封化民，史瑞，袁峰，李艷俊，楊旸

（1.北京郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100876；2.北京電子科技學(xué)院信息安全研究所，北京 100070；3.中國(guó)航天科工集團(tuán)第二研究院706 所，北京 100854；4.中國(guó)電子科技集團(tuán)第十五研究所，北京 100846；5.福州大學(xué)數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院，福建 福州 350108）

0 引言

隨著手機(jī)、平板電腦、可穿戴設(shè)備等移動(dòng)終端和互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，電子票據(jù)正迅速普及并為人們的生活帶來了極大的便利。目前，電子票據(jù)已成為交通、娛樂等行業(yè)的許多公司登記、處理和銷售票據(jù)的一種趨勢(shì)。此外，在云環(huán)境下，電子票據(jù)還可以作為訪問在線服務(wù)的一種憑證。例如，Han等[1]利用電子票據(jù)構(gòu)造了一個(gè)在線的匿名單登錄系統(tǒng)。相比于傳統(tǒng)的紙質(zhì)票據(jù)，電子票據(jù)可存儲(chǔ)在移動(dòng)設(shè)備上，不需要消耗紙質(zhì)，減少了資源浪費(fèi)，有助于實(shí)現(xiàn)碳達(dá)峰和碳中和；電子票據(jù)可在線購(gòu)買和驗(yàn)證，減少了復(fù)雜的線下交易，提升了用戶體驗(yàn)。

與匿名的紙質(zhì)票據(jù)相比，電子票據(jù)的主要安全隱患是用戶隱私信息的泄露。在電子票據(jù)系統(tǒng)中，用戶數(shù)據(jù)（如姓名、住址、身份證號(hào)碼、電話和其他屬性信息等）可能會(huì)被收集和濫用。此外，傳統(tǒng)的電子票據(jù)[2-8]模型都假設(shè)賣方的身份是公開的，但這也可能泄露用戶的很多信息，例如，美國(guó)電子駕照簽發(fā)者的身份中可能包含用戶的郵政編碼，進(jìn)而可以推測(cè)出用戶的家庭住址。因此，為了更全面地保護(hù)用戶隱私，杜絕惡意的驗(yàn)票方根據(jù)賣方身份推測(cè)用戶信息的可能，有必要隱藏賣方的身份。2021年8 月，我國(guó)頒布了《中華人民共和國(guó)個(gè)人信息保護(hù)法》，使保護(hù)用戶信息權(quán)益變得更加重要。為了保護(hù)用戶隱私，國(guó)內(nèi)外學(xué)者使用假名[9]、盲簽名[10]、群簽名[11]、隨機(jī)化簽名[12-14]和匿名證書[2，8]等技術(shù)設(shè)計(jì)了很多電子票據(jù)方案，但是已有方案都僅提供了用戶的匿名性，卻不支持賣方的匿名性。

屬性票據(jù)作為電子票據(jù)的一種特殊類型，可提供基于屬性泄露的票據(jù)購(gòu)買方式，這種方式在保證認(rèn)證性的同時(shí)實(shí)現(xiàn)了個(gè)人信息的最小化泄露。例如，學(xué)生購(gòu)買優(yōu)惠票時(shí)只需泄露學(xué)生屬性，而姓名、學(xué)號(hào)和所在學(xué)院等信息都應(yīng)保密；殘疾人購(gòu)買優(yōu)惠票時(shí)只需泄露殘疾屬性，而不需要泄露更多的患病細(xì)節(jié)和其他個(gè)人信息；軍人在購(gòu)買優(yōu)惠票時(shí)只需泄露軍人屬性，而具體的服役單位、軍銜和職務(wù)等信息都應(yīng)保密。屬性票據(jù)提高了電子票據(jù)使用的靈活性，是電子票據(jù)方案應(yīng)該具備的一個(gè)重要功能。Han等[2]第一次提出了支持屬性策略的電子票據(jù)方案，但是其方案使用了復(fù)雜的零知識(shí)證明（ZKP，zero knowledge proof），使票據(jù)購(gòu)買算法的計(jì)算消耗隨著用戶屬性數(shù)量的增加線性增長(zhǎng)。

非實(shí)名紙質(zhì)票據(jù)的另一重要特點(diǎn)是可轉(zhuǎn)讓性，如電影票、景區(qū)門票、排隊(duì)票等；用戶可以方便地將票據(jù)贈(zèng)送給其他用戶（如朋友、家人等）。目前，已有的可轉(zhuǎn)讓電子票據(jù)方案[5-6]都使用簽名鏈的方式構(gòu)造票據(jù)轉(zhuǎn)讓算法，使票據(jù)轉(zhuǎn)讓和票據(jù)驗(yàn)證算法的計(jì)算消耗都隨著票據(jù)轉(zhuǎn)讓次數(shù)的增加呈線性增長(zhǎng)。

為了解決電子票據(jù)方案存在的上述問題，本文提出了一個(gè)高效的強(qiáng)隱私保護(hù)且支持屬性策略和票據(jù)轉(zhuǎn)讓功能的電子票據(jù)方案，主要貢獻(xiàn)如下。

1)強(qiáng)隱私保護(hù)。該方案既能保護(hù)用戶的匿名性，也在票據(jù)驗(yàn)證中保護(hù)了賣方的匿名性。這使惡意的驗(yàn)票方無法從票據(jù)驗(yàn)證中獲得用戶和賣方的任何信息，這種強(qiáng)隱私保護(hù)特征彌補(bǔ)了已有電子票據(jù)方案在用戶隱私保護(hù)方面的不足。

2)可轉(zhuǎn)讓的屬性票據(jù)。該方案支持基于屬性泄露的售票策略，用戶可以通過泄露個(gè)人部分屬性從賣方匿名地購(gòu)買任何符合售票策略的票據(jù)。該方案支持靈活的票據(jù)轉(zhuǎn)讓功能，用戶可以將票據(jù)轉(zhuǎn)讓給任何已注冊(cè)的用戶，賣方也可在發(fā)布票據(jù)時(shí)禁止票據(jù)轉(zhuǎn)讓。

3)高效的算法。與文獻(xiàn)[2]方案相比，該方案將票據(jù)購(gòu)買算法的計(jì)算復(fù)雜度從O(n)降低到O(n-k)。與文獻(xiàn)[5-6]方案相比，該方案將票據(jù)轉(zhuǎn)讓和票據(jù)驗(yàn)證算法的計(jì)算復(fù)雜度從O(t)降低到O(1)。其中，n、k、t分別為用戶屬性數(shù)量、泄露屬性數(shù)量和票據(jù)轉(zhuǎn)讓次數(shù)。

4)高效的雙花檢測(cè)和追蹤。對(duì)于可轉(zhuǎn)讓電子票據(jù)，雙花者可能是票據(jù)轉(zhuǎn)讓鏈中的任何用戶，該方案結(jié)合“施諾爾（Schnorr）技巧”[15]和公鑰加密技術(shù)實(shí)現(xiàn)了票據(jù)轉(zhuǎn)讓鏈中所有雙花用戶的身份追蹤。

本文使用MIRACL（multiprecision integer and rational arithmetic C/C++library）實(shí)現(xiàn)了該方案，并與已有的屬性票據(jù)[2]和可轉(zhuǎn)讓票據(jù)[5]方案進(jìn)行了效率對(duì)比；實(shí)驗(yàn)結(jié)果表明，所提方案在功能和效率上都優(yōu)于已有方案。

Quercia 等[16]利用Chaum[10]盲簽名提出了一種用于移動(dòng)交易的電子票據(jù)方案。Rupp 等[17]基于Chaum[10]盲簽名和Boneh 等[18]短簽名方案衍生出來一種保護(hù)隱私的預(yù)支付方案。Milutinovic 等[19]基于Abe 等[20]的盲簽名、Pedersen[21]的秘密共享和Camenisch 等[12]的匿名證書提出了一種保護(hù)用戶隱私的電子票據(jù)方案。這些方案都可以保護(hù)用戶隱私，但與本文方案不同，它們不支持屬性票據(jù)，不能保護(hù)賣方隱私，不支持高效的票據(jù)轉(zhuǎn)讓，且出現(xiàn)重復(fù)消費(fèi)后無法對(duì)惡意用戶進(jìn)行身份追蹤。

Nakanishi 等[22]基于Camenisch 群簽名提出了一種電子優(yōu)惠券方案。Vives-Guasch 等[23]利用Boneh 群簽名提出了一種自動(dòng)收費(fèi)系統(tǒng)。Heydt-Benjamin 等[3]使用匿名證書、電子現(xiàn)金和代理重新加密技術(shù)實(shí)現(xiàn)了公共交通電子票據(jù)系統(tǒng)的安全性和隱私性。Arfaoui等[7]將Bonyeh-Boyen 簽名[24]與Camenisch 等[12]的匿名證書方案相結(jié)合，提出了一種保護(hù)隱私的近場(chǎng)通信移動(dòng)票據(jù)系統(tǒng)。Vives-Guasch 等[25]使用輕量級(jí)加密技術(shù)和具有近場(chǎng)通信能力的移動(dòng)電話提出了一個(gè)電子票據(jù)系統(tǒng)。這些方案可以實(shí)現(xiàn)用戶和票據(jù)的匿名性，但與本文方案不同，它們不支持屬性票據(jù)，不能保護(hù)賣方隱私，也不支持高效的票據(jù)轉(zhuǎn)讓。

Han 等[2]基于Bonyeh-Boyen 簽名[24]的范圍證明提出了一個(gè)基于屬性證書的隱私保護(hù)電子票據(jù)方案。Han 的方案支持屬性策略和雙花用戶的身份追蹤，但是與本文方案不同，它不能保護(hù)賣方隱私，也不支持高效的票據(jù)轉(zhuǎn)讓，且其票據(jù)購(gòu)買算法的計(jì)算消耗和通信消耗都隨用戶屬性數(shù)量的增大呈線性增加。

Vives-Guasch 等[5]使用群簽名構(gòu)造了匿名和可轉(zhuǎn)讓的電子票據(jù)方案；Payeras-Capella 等[6]測(cè)試了文獻(xiàn)[5]方案的性能。文獻(xiàn)[5]方案實(shí)現(xiàn)了可轉(zhuǎn)讓的匿名票據(jù)，但是與本文方案不同，它們不支持屬性票據(jù)，不能保護(hù)賣方隱私，且其票據(jù)轉(zhuǎn)讓和驗(yàn)證算法的計(jì)算消耗隨著票據(jù)轉(zhuǎn)讓次數(shù)的增加呈線性增加。

1 預(yù)備知識(shí)

1.1 雙線性對(duì)

1.2 零知識(shí)的知識(shí)簽名

對(duì)于任意的多項(xiàng)式時(shí)間非確定性（NP，non-deterministic polynomial）關(guān)系R，NP 語(yǔ)言LR={y:?x，(x，y)∈R}的零知識(shí)的知識(shí)簽名（ZKSoK，zero knowledge signature of knowledge）[26]定義為π=ZKSoK{(x，y)∈R}(m)。如果知識(shí)簽名滿足正確性、可模擬性和可提取性，則知識(shí)簽名是模擬提取安全[26]的。

1.3 離散對(duì)數(shù)假設(shè)

離散對(duì)數(shù)假設(shè)是指給定二元組g，gx∈G，其中，任意概率多項(xiàng)式時(shí)間（PPT，probabilistic polynomial time）敵手求解x的概率是可忽略的。

1.4 集合承諾

集合承諾（SC，set commitment）[27-28]由初始化、計(jì)算承諾、打開承諾、打開子集、驗(yàn)證子集算法組成。在標(biāo)準(zhǔn)模型下，集合承諾滿足正確性、綁定性、隱藏性和被打開子集的不可偽造性。

1.5 等價(jià)類上的結(jié)構(gòu)保持簽名

等價(jià)類上的結(jié)構(gòu)保持簽名（SPS-EQ，structure-preserving signature on equivalence class）[27]由初始化、密鑰生成、簽名、修改簽名和驗(yàn)簽算法組成。在一般群模型下，SPS-EQ 簽名滿足正確性、不可偽造性和簽名適應(yīng)性，且其明文空間是類隱藏的。

1.6 動(dòng)態(tài)可延展簽名

動(dòng)態(tài)可延展簽名（DMS，dynamically malleable signatures）[29]由初始化、密鑰生成、簽名、驗(yàn)證延展密鑰、延展簽名和驗(yàn)簽算法組成。在一般群模型下，DMS 簽名具有正確性、不可偽造性和完美的派生隱私性。

2 方案和安全模型

2.1 方案模型

如圖1 所示，可轉(zhuǎn)讓的屬性票據(jù)方案包括證書中心（CA，certificate authority）、用戶（U，user）、賣方（S，seller）和驗(yàn)票方（V，verifier）四類實(shí)體。CA 執(zhí)行系統(tǒng)初始化（步驟1)），產(chǎn)生售票策略集合，并向U和S 簽發(fā)證書（步驟2)和步驟3)）；S 是票據(jù)賣方，它從CA 獲取公鑰證書（步驟2)），并根據(jù)CA 公布的售票策略向U 銷售票據(jù)（步驟4)）；U 是擁有多個(gè)屬性的用戶，它從CA 獲取屬性證書（步驟3)），并根據(jù)售票策略匿名的從S 購(gòu)買票據(jù)（步驟4)）；V 是驗(yàn)票方，它負(fù)責(zé)驗(yàn)證票據(jù)的合法性（步驟6)），并檢查票據(jù)是否是重復(fù)消費(fèi)，若是重復(fù)消費(fèi)則追蹤用戶的公鑰（步驟7)）。U 可以將票據(jù)轉(zhuǎn)讓給其他可信用戶（步驟5)），任何擁有票據(jù)（從S 購(gòu)買或由其他用戶轉(zhuǎn)讓）的已注冊(cè)用戶都可以向V 匿名地消費(fèi)票據(jù)（步驟6)）。

圖1 可轉(zhuǎn)讓屬性票據(jù)的方案模型

表1 定義了常用的符號(hào)。一個(gè)可轉(zhuǎn)讓的屬性票據(jù)方案包括7 個(gè)算法，具體介紹如下。

表1 符號(hào)定義

1)系統(tǒng)初始化：Setup(1λ)→(pp，msk，S)。CA執(zhí)行系統(tǒng)初始化算法，輸入安全參數(shù)λ，輸出系統(tǒng)參數(shù)pp、主私鑰msk和售票策略集合S。

2)賣方注冊(cè)：SR eg(S(ssk，spk，pp)?CA(msk，pp))→creds。S 與CA 交互執(zhí)行賣方注冊(cè)算法。S產(chǎn)生賣方私鑰ssk和公鑰spk，S 輸入ssk、spk和pp；CA 輸入msk和pp。若算法執(zhí)行成功，S 獲得公鑰證書creds，否則返回⊥。

3)用戶注冊(cè)：UReg(U(usk，upk，A，pp)?CA(msk，pp))→credu。U 與CA 交互執(zhí)行用戶注冊(cè)算法。U 產(chǎn)生用戶私鑰usk和公鑰upk，輸入usk、u pk、p p和用戶屬性集合A=；CA 輸入msk和pp。若算法執(zhí)行成功，U 獲得屬性證書credu，否則返回⊥。

4)票據(jù)購(gòu)買：Issue(U(usk，credu，A，D，pp)?S(ssk，creds，pp))→(tkt，f，tk)。U 與S 交互執(zhí)行票據(jù)購(gòu)買算法。為了證明U 符合售票策略集合S中的一條策略，U 需要泄露屬性集合 D?A。S 設(shè)置票據(jù)轉(zhuǎn)讓標(biāo)識(shí)f，若f=1則允許U 轉(zhuǎn)讓票據(jù)，否則禁止轉(zhuǎn)讓。若算法執(zhí)行成功，U 獲得票據(jù)tkt、票據(jù)轉(zhuǎn)讓標(biāo)識(shí)f和轉(zhuǎn)讓密鑰tk，否則返回⊥。

5)票據(jù)轉(zhuǎn)讓：Transfer(U(ssk，tkt，tk，f，pp)?U′(ssk′，pp))→(tkt′，f，tk′)。U 與用戶U′交互執(zhí)行票據(jù)轉(zhuǎn)讓算法。U 輸入ssk、t kt、f、t k和pp，U′輸入私鑰ssk′和pp。若算法執(zhí)行成功，U′獲得票據(jù)tkt′、轉(zhuǎn)讓標(biāo)識(shí)f和轉(zhuǎn)讓密鑰tk′，否則返回⊥。

6)票據(jù)驗(yàn)證：Show(U(ssk，credu，tkt，pp)?V(pp))→(b，tid，ds)。U與V交互執(zhí)行票據(jù)驗(yàn)證算法。若票據(jù)驗(yàn)證成功，V 輸出b=1、票據(jù)標(biāo)識(shí)tid和追蹤雙花信息ds，否則輸出b=0。

7)雙花追蹤：DsTrace(tid，ds，tid′，ds′)→(upk，upk′)。V?輸入?2?個(gè)票據(jù)驗(yàn)證算法的輸出(tid，ds)和(tid′，ds′)，若tid=tid′，則檢測(cè)到重復(fù)消費(fèi)，V 執(zhí)行雙花追蹤算法，輸出重復(fù)消費(fèi)者的公鑰。

2.2 威脅模型

CA 在系統(tǒng)中是完全可信的實(shí)體。S 是誠(chéng)實(shí)且好奇的，它誠(chéng)實(shí)地按照CA 發(fā)布的售票策略集合為用戶售票，但好奇用戶的真實(shí)身份和屬性信息。U是惡意的，它可能偽造票據(jù)或重復(fù)消費(fèi)票據(jù)，但在票據(jù)轉(zhuǎn)讓協(xié)議中，票據(jù)轉(zhuǎn)讓用戶U和接受轉(zhuǎn)讓用戶U′之間是互信的。V 是誠(chéng)實(shí)且好奇的，它誠(chéng)實(shí)地驗(yàn)證票據(jù)，檢測(cè)重復(fù)消費(fèi)并追蹤惡意用戶公鑰，但它好奇用戶和賣方的真實(shí)身份。

2.3 安全模型

電子票據(jù)方案應(yīng)滿足以下安全要求：用戶證書和票據(jù)的不可偽造性、誠(chéng)實(shí)用戶的不可鏈接性和驗(yàn)票算法中賣方身份的不可鏈接性。為了準(zhǔn)確地定義上述安全需求，本文使用基于游戲[12-15，27，29]的方法定義了電子票據(jù)方案的安全模型。

全局變量：使用集合HU、CU、USK、UPK 分別記錄誠(chéng)實(shí)用戶編號(hào)、惡意用戶編號(hào)、用戶私鑰和用戶公鑰；使用集合HS、CS、SSK、SPK分別記錄誠(chéng)實(shí)賣方編號(hào)、惡意賣方編號(hào)、賣方私鑰和賣方公鑰；使用列表LU=(UI，UC，UA)記錄注冊(cè)用戶編號(hào)、用戶證書和屬性集合；使用列表LS=(SI，SC)記錄注冊(cè)賣方編號(hào)和賣方證書；使用列表LT=(TI，TKT，TK，TF)記錄用戶編號(hào)、票據(jù)、票據(jù)轉(zhuǎn)讓密鑰和轉(zhuǎn)讓標(biāo)識(shí)。

預(yù)言機(jī)：下面給出安全定義中使用的預(yù)言機(jī)。

OHS(j)：輸入賣方編號(hào)j。若j∈CS或j∈HS，則返回⊥，否則產(chǎn)生誠(chéng)實(shí)賣方j(luò)的密鑰對(duì)(SSK[j]，SPK[j])，將j添加到HS，返回SPK[j]。

OSR(j)：輸入賣方編號(hào)j。若j?HS，則返回⊥，否則執(zhí)行賣方注冊(cè)算法creds←SReg(S(SSK[j]，SPK[j]，pp)?CA(ms k，pp))，將(j，creds)添加到LS。

OCS(j)：輸入賣方編號(hào)j。若j?HS，則返回⊥，否則將j從HS 刪除并添加到CS，返回SSK[j]和(SI[k]，SC[k])，其中SI[k]=j。

OHU(i)：輸入用戶編號(hào)i。若i∈CU或i∈HU，則返回⊥，否則產(chǎn)生誠(chéng)實(shí)用戶i的密鑰(USK[i]，UPK[i])，將i添加到HU，返回UPK[i]。

OUR(i，A)：輸入用戶編號(hào)i和屬性集合A。若i?HU，則返回⊥，否則執(zhí)行用戶注冊(cè)算法credu?←?UR?eg(U(USK[i]，UPK[i]，A，pp)?C A(msk，pp))，將(i，credu，A)添加到LU。

OCU(i)：輸入用戶編號(hào)i。若i?HU，則返回⊥，否則將i從HU 刪除并添加到CU，返回USK[i]和(UI[k]，UC[k]，UA[k])，其中UI[k]=i。

OIss(i，j，I，f)：輸入用戶編號(hào)i、賣方編號(hào)j、符合售票策略的屬性集合索引I和票據(jù)轉(zhuǎn)讓標(biāo)識(shí)f。若i?HU或j?HS，則返回⊥，否則執(zhí)行票據(jù)購(gòu)?買?算?法?(tkt，f，tk)←Issue(U(USK[i]，UC[k]，UA[k]，D，pp)?S(SSK[j]，SC[k′]，pp))，其中D=(ai)i∈I，UI[k]=i，SI[k′]=j，將(i，tkt，tk，f)添加到LT。

OIss.U(i，j，I，f)：輸入用戶編號(hào)i和符合售票策略的屬性集合索引I。若i?HU，則返回⊥，否則敵手A 模擬賣方j(luò)與誠(chéng)實(shí)用戶i交互執(zhí)行票據(jù)購(gòu)買協(xié) 議(tkt，f，tk)←Issue(U(USK[i]，UC[k]，UA[k]，D，pp)?A(j，·))，其中D=(ai)i∈I，UI[k]=i，將(i，tkt，tk，f)添加到LT。

OIss.S(i，j，I，f)：輸入賣方編號(hào)j和符合售票策略的屬性集合索引I。若j?HS，則返回⊥，否則敵手A 模擬用戶i與誠(chéng)實(shí)賣方j(luò)交互執(zhí)行票據(jù)購(gòu)買算法(tkt，f，tk)←Issue(A(i，D，·))?S(SSK[j]，SC[k′]，pp))其中D=(ai)i∈I，SI[k′]=j，將(i，tkt，tk，f)添加到LT。

OTra(i，i′)：輸入用戶編號(hào)i和i′。若i?HU或i′?HU，則返回⊥，否則執(zhí)行票據(jù)轉(zhuǎn)讓算法(tkt′，f，tk′)←Transfer (U(U SK[i]，TKT[k]，TK[k]，TF[k]，pp)?U′(U SK[k′]，pp))，其中TI[k]=i，TI[k′]=i′，將(i′，tkt′，tk′，f)添加到LT。

OShw(i)：輸入用戶編號(hào)i。若i?HU，則返回⊥，否則敵手A 模擬驗(yàn)票方與誠(chéng)實(shí)用戶i交互執(zhí)行票據(jù)驗(yàn)證算法(b，tid，ds)←Show(U(ssk，credu，tkt，pp)? A(·))，返回(b，tid，ds)。

不可偽造性：不可偽造性保護(hù)誠(chéng)實(shí)的賣方和驗(yàn)票方不受惡意用戶的攻擊。

定義1在Expunf(A，λ)（如圖2 所示）中，如果對(duì)于任意的PPT 敵手A，存在可忽略函數(shù)ε(λ)，使

圖2 不可偽造性實(shí)驗(yàn)

則電子票據(jù)方案是不可偽造的。

匿名性：匿名性保護(hù)誠(chéng)實(shí)的用戶不受惡意賣方和惡意驗(yàn)票方的攻擊。

定義2在(A，λ，b)和(A，λ，b)中（如圖3 所示），如果對(duì)于任意的PPT 敵手A，存在可忽略函數(shù)ε(λ)，使

圖3 匿名性實(shí)驗(yàn)

則電子票據(jù)方案是匿名的。

3 設(shè)計(jì)思想和方案構(gòu)造

3.1 設(shè)計(jì)思想

本文方案的構(gòu)造使用了集合承諾[27-28]、SPS-EQ簽名[27]、DMS 簽名[29]和“Schnorr 技巧”[15]，主要面臨的挑戰(zhàn)是如何將它們結(jié)合，并構(gòu)造出具有以下特點(diǎn)的電子票據(jù)方案。1)在票據(jù)購(gòu)買算法中，為了符合基于屬性的售票策略，在用戶注冊(cè)時(shí)首先利用集合承諾將用戶屬性信息聚合為一個(gè)承諾，再使用SPS-EQ 簽名將屬性承諾和用戶公鑰簽名；在票據(jù)購(gòu)買算法中，利用集合承諾打開子集算法和SPS-EQ 修改簽名算法，高效地實(shí)現(xiàn)了匿名的屬性泄露證明。2)在票據(jù)驗(yàn)證算法中，為了隱藏賣方公鑰和證書，使用SPS-EQ 簽名簽發(fā)賣方公鑰證書；利用SPS-EQ 簽名可同時(shí)隨機(jī)化消息和簽名的特點(diǎn)，在票據(jù)驗(yàn)證時(shí)用戶不需要獲取賣方私鑰就可以對(duì)賣方的公鑰和證書隨機(jī)化，用戶僅增加了少量計(jì)算就隱藏了賣方的公鑰和證書。3)為了支持靈活的票據(jù)轉(zhuǎn)讓功能，使用DMS 簽名簽發(fā)票據(jù)；在票據(jù)轉(zhuǎn)讓時(shí)，執(zhí)行DMS 簽名的延展簽名算法，實(shí)現(xiàn)了常數(shù)復(fù)雜度的票據(jù)轉(zhuǎn)讓和票據(jù)驗(yàn)證。4)為了支持票據(jù)出現(xiàn)雙花時(shí)的身份追蹤，在票據(jù)驗(yàn)證算法中，首先使用公鑰加密算法將用戶公鑰upk 加密，再使用“Schnorr 技巧”將加密密鑰ek 隱藏起來。如果V檢測(cè)到任何2 個(gè)相同tid 的票據(jù)，則立即識(shí)別到重復(fù)消費(fèi)，并計(jì)算出所有雙花用戶的公鑰。

3.2 方案構(gòu)造

1)系統(tǒng)初始化：Setup(1λ)→(pp，msk，S)。如圖4 所示，CA 執(zhí)行系統(tǒng)初始化算法。

2)賣方注冊(cè)：SR eg(S(ssk，spk，pp)?CA(msk，pp))→creds。如圖5 所示，S 與CA 交互執(zhí)行賣方注冊(cè)算法。

圖5 賣方注冊(cè)

3)用?戶?注?冊(cè)：UReg(U(usk，upk，A，pp)?CA(msk，pp))→credu。如圖6 所示，U 與CA 交互執(zhí)行用戶注冊(cè)算法。

圖6 用戶注冊(cè)

4)票據(jù)購(gòu)買：Issue(U(usk，credu，A，D，pp)?S(ssk，creds，pp))→(tkt，f，tk)。如圖7 所示，U 與S交互執(zhí)行票據(jù)購(gòu)買算法。

圖7 票據(jù)購(gòu)買

5)票?據(jù)?轉(zhuǎn)?讓：Transfer(U(ssk，tkt，tk，f，pp)?U′(ssk′，pp))→(tkt′，f，tk′)。如圖8 所示，當(dāng)f=1時(shí)，轉(zhuǎn)讓用戶U 與接受用戶U′交互執(zhí)行票據(jù)轉(zhuǎn)讓算法。

圖8 票據(jù)轉(zhuǎn)讓

6)票據(jù)驗(yàn)證：Show(U(ssk，credu，tkt，pp)?V(pp))→(b，tid，ds)。如圖9 所示，U 與V 交互執(zhí)行票據(jù)驗(yàn)證算法。

圖9 票據(jù)驗(yàn)證

7)雙花追蹤：DsTrace(tid，ds，tid′，ds′)→(upk，upk′)。若tid=tid′，則V 檢測(cè)到重復(fù)消費(fèi)。此時(shí)，V 計(jì)算，輸出upk=

4 安全性分析

4.1 不可偽造性

定理1已知π1，π1′，π2，π3，π4是知識(shí)簽名，如果SPS-EQ簽名和DMS簽名在選擇消息攻擊模型下是不可偽造的，集合承諾的被打開子集是不可偽造的，且離散對(duì)數(shù)問題在G1上是難解的，那么電子票據(jù)方案是不可偽造的。

證明在不可偽造性實(shí)驗(yàn)Expunf(A，λ)中，證明區(qū)分了4 種類型的敵手。

引理1如果存在類型1 的敵手A 以概率ε贏得不可偽造性游戲，那么存在挑戰(zhàn)者C 以相同的概率偽造了SPS-EQ 簽名。

證明C 執(zhí)行SPS-EQ 簽名的不可偽造性游戲，獲得參數(shù)pp ′=(ppbp，mpku)；C 使用pp′作為參數(shù)產(chǎn)生系統(tǒng)剩余參數(shù)(ppsc，mpks，w)和msk=(q，msks)。C 將參數(shù)pp=(pp′，ppsc，mpks，w)發(fā)送給A。C 能夠不限次數(shù)地訪問SPS-EQ 簽名預(yù)言機(jī)OSign(·)，并向A模擬預(yù)言機(jī)OHS，OSR，OHU，OCU，OIss，OIss.S，OTra，OShw。因?yàn)镃 擁有所有用戶、賣方和部分CA 的私鑰，所以這些預(yù)言機(jī)的執(zhí)行與真實(shí)的游戲是一致的。

OUR(i，A)。對(duì)于用戶注冊(cè)預(yù)言機(jī)，C 計(jì)算屬性集合A 的承諾Cu，將(Cu，UPK[i])發(fā)送給OSign(·)，獲得簽名σu；C 將(i，credu，A)添加到LU。

如果敵手以ε的概率偽造了證書，并在票據(jù)購(gòu)買算法中通過構(gòu)造知識(shí)簽名π3通過了S 的驗(yàn)證，或在票據(jù)驗(yàn)證算法中通過構(gòu)造知識(shí)簽名π4通過了V 的驗(yàn)證。因?yàn)棣?，π4是知識(shí)簽名，所以C 可執(zhí)行知識(shí)提取器獲取證據(jù)(usk，v)，其中upk*=upkv。因?yàn)榇颂幙紤]類型1 的偽造，所以對(duì)?i∈HU ∪CU，UC[i]≠，C沒有詢問過等價(jià)類的簽名。因?yàn)镃 的模擬不會(huì)中斷，所以C 以ε的概率偽造了SPS-EQ 簽名的消息簽名對(duì)。證畢。

引理2如果存在類型2 的敵手A 以概率ε贏得不可偽造性游戲，那么存在挑戰(zhàn)者C 以相同的概率偽造了集合承諾的打開子集證明。

證明C 執(zhí)行集合承諾的不可偽造性游戲，獲得參數(shù)pp ′=(ppsc，g，)；C 使用pp′作為參數(shù)產(chǎn)生系統(tǒng)剩余參數(shù)(GT，e，mpku，mpks，w)和msk=(msku，msks)。C 將參數(shù)pp 發(fā)送給A。因?yàn)槿魏螀⑴c實(shí)體根據(jù)集合承諾的參數(shù)都可計(jì)算承諾，所以所有預(yù)言機(jī)的執(zhí)行都與真實(shí)的游戲是一致的。

引理3如果存在類型3 的敵手A 以概率ε贏得不可偽造性游戲，那么存在挑戰(zhàn)者C 以的概率計(jì)算出G1上的離散對(duì)數(shù)，其中m為誠(chéng)實(shí)賣方的數(shù)量。

證明設(shè)(G1，g，gx)是一個(gè)離散對(duì)數(shù)挑戰(zhàn)，C使用(G1，g)作為參數(shù)產(chǎn)生剩余參數(shù)，并將參數(shù)pp發(fā)送給A。在不可偽造性游戲中，C 猜測(cè)誠(chéng)實(shí)用戶i*∈HU，游戲結(jié)束時(shí)如果敵手偽造了i*的證書，C可通過知識(shí)提取器獲得x。C 向A 模擬預(yù)言機(jī)。

OHS，OSR，OIss.S，OTra。因?yàn)镃 知道賣方和CA 的私鑰，所以這些預(yù)言機(jī)的執(zhí)行與真實(shí)的游戲一致。

OHU(i)。如果i≠i*，預(yù)言機(jī)的執(zhí)行與真實(shí)的游戲是一致的；如果i=i*，C 設(shè)置UPK[i]=gx。

OCU(i)。如果i≠i*，預(yù)言機(jī)的執(zhí)行與真實(shí)的游戲是一致的；如果i=i*，返回⊥。

OUR(i，A)，OIss(i，j，I，f)，OShw(i)。如果i≠i*，那么這些預(yù)言機(jī)的執(zhí)行與真實(shí)的游戲是一致的；如果i=i*，C 模擬知識(shí)簽名π2，π3和π4。

因?yàn)榇颂幙紤]類型3 的偽造，如果敵手以ε的概率偽造了誠(chéng)實(shí)用戶i的證書，并在票據(jù)購(gòu)買算法中通過構(gòu)造知識(shí)簽名π3通過了S 的驗(yàn)證，或在票據(jù)驗(yàn)證算法中通過構(gòu)造知識(shí)簽名π4通過了V 的驗(yàn)證。如果i≠i*，游戲中斷；否則，因?yàn)棣?，π4是知識(shí)簽名，C 可執(zhí)行知識(shí)提取器獲取證據(jù)(usk，v)，其中usk=x。因?yàn)橛螒蛑袛嗟母怕蕿閙-，所以C 以的概率計(jì)算出離散對(duì)數(shù)。證畢。

引理4如果存在類型4 的敵手A 以概率ε贏得不可偽造性游戲，那么存在挑戰(zhàn)者C 以的概率偽造了DMS 簽名，其中m為誠(chéng)實(shí)賣方的數(shù)量。

證明C 執(zhí)行DMS 簽名的不可偽造性游戲，獲得參數(shù)(ppbp，spk*)。C 使用ppbp作為參數(shù)產(chǎn)生系統(tǒng)剩余參數(shù)，并將參數(shù)pp 發(fā)送給A。在DMS 簽名的不可偽造性游戲中，C 能夠不限次數(shù)地訪問DMS簽名預(yù)言機(jī)OSign(·)。在電子票據(jù)的不可偽造性游戲中，C猜測(cè)誠(chéng)實(shí)賣方j(luò)*∈HS，如果游戲結(jié)束時(shí)敵手偽造了賣方j(luò)*簽發(fā)的票據(jù)，C 就獲得了一個(gè)偽造的DMS 簽名。C 向A 模擬預(yù)言機(jī)。

OHU，OUR，OCU，OTra，OShw。因?yàn)镃 知道CA和用戶的私鑰，所以這些預(yù)言機(jī)的執(zhí)行與真實(shí)的游戲一致。

OHS(j)。如果j≠j*，預(yù)言機(jī)的執(zhí)行與真實(shí)的游戲是一致的；如果j=j*，令SPK[j]=spk*。

OSR(j)。如果j≠j*，預(yù)言機(jī)的執(zhí)行與真實(shí)的游戲是一致的；如果j=j*，C 模擬知識(shí)簽名π2。

OIss(i，j，I，f)，OIss.S(i，j，I，f)。如果j≠j*，預(yù)言機(jī)的執(zhí)行與真實(shí)的游戲是一致的；如果j=j*，C 模擬知識(shí)簽名π2；收到用戶的購(gòu)票申請(qǐng)后，C 通過知識(shí)提取器從知識(shí)簽名π3中提取(z，usk，dsrnd，ek，tid′，r0，…，r3)；C 隨機(jī)選取tid′′，計(jì)算tid=tid ′+tid′，設(shè)置票據(jù)有效期VP∈Zp，將(usk，dsrnd，ek，tid，VP)和(r0，…，r3)分別發(fā)送DMS 簽名預(yù)言機(jī)OSign(·)，并獲得簽名(h，δ1)和，δ2)；然后C 計(jì)算

最后，敵手以ε的概率偽造了誠(chéng)實(shí)賣方j(luò)簽發(fā)的票據(jù)，并在票據(jù)驗(yàn)證算法中通過構(gòu)造知識(shí)簽名π4通過了V 的驗(yàn)證。如果j≠j*，游戲中斷；如果j=j*，因?yàn)棣?是知識(shí)簽名，C 可執(zhí)行知識(shí)提取器獲取證據(jù)(usk*，dsrnd*，ek*)。因?yàn)榇颂幙紤]類型4的偽造，對(duì)，C 沒有詢問過(usk*，dsrnd*，ek*，tid*，VP*)的DMS 簽名，其中tid*和VP*是敵手在票據(jù)驗(yàn)證時(shí)泄露的。因?yàn)镃中斷的概率為m-，所以C 以的概率偽造了消息(usk*，dsrnd*，ek*，tid*，VP*)的DMS 簽名證畢。

4.2 匿名性

定理2已知，π3，π4是知識(shí)簽名，如果SPS-EQ簽名滿足簽名適應(yīng)性和明文空間的類隱藏性，DMS簽名具有完美的派生隱私性，那么電子票據(jù)方案滿足匿名性。

證明在匿名性實(shí)驗(yàn)(A，λ，b)中，敵手A 模擬惡意的驗(yàn)票方，試圖在票據(jù)驗(yàn)證算法中區(qū)分賣方身份。在匿名性實(shí)驗(yàn)(A，λ，b)中，敵手A模擬惡意的賣方，試圖在票據(jù)購(gòu)買或票據(jù)驗(yàn)證算法中區(qū)分用戶身份。

引理5在實(shí)驗(yàn)(A，λ，b)中，如果SPSEQ 簽名滿足簽名適應(yīng)性和明文空間的類隱藏性，那么電子票據(jù)方案滿足匿名性。

證明挑戰(zhàn)者C 執(zhí)行(pp，msk，S)←Setup(1λ)產(chǎn)生CA 私鑰和系統(tǒng)參數(shù)，并將(pp，S)發(fā)送給A。在匿名性游戲中，C 猜測(cè)A 要區(qū)分的誠(chéng)實(shí)賣方j(luò)*∈HS。通過定義不可區(qū)分的游戲序列的方式可以證明，在最后的游戲中A 成功的概率是可忽略的。

Game0。與(A，λ，b)相同。

Game1。在預(yù)言機(jī)OIss、OIss.U、OShw中，如果j=j*，使用SPS-EQ 的簽名算法代替修改簽名算法，其他操作與Game0相同。因?yàn)镃 知道CA 的私鑰，所以上述代替可以實(shí)現(xiàn)。因?yàn)镾PS-EQ 簽名滿足簽名適應(yīng)性和明文空間的類隱藏性，因此

Game2。在預(yù)言機(jī)OIss、OIss.U、OShw中，如果j=j*，使用DMS 的簽名算法代替延展簽名算法，其他操作與Game1相同。因?yàn)镃 知道S 的私鑰，所以上述代替可以實(shí)現(xiàn)。因?yàn)镈MS 簽名具有完美的派生隱私性，所以

Game3。在預(yù)言機(jī)OIss、OIss.U、OShw中，如果j=j*，模擬知識(shí)簽名π1′，π3，π4，其他操作與Game2相同。因?yàn)橹R(shí)簽名的模擬是完美的，因此

Game4。m是誠(chéng)實(shí)賣方的數(shù)量，在游戲的第一階段，敵手A 輸出2 個(gè)賣方j(luò)0和j1。在第二階段，C隨機(jī)選擇b∈{0，1}，如果jb≠j*則返回⊥，否則A 猜測(cè)票據(jù)賣方j(luò)b，其他的操作與Game3相同。因?yàn)镚ame4返回失敗的概率為m-，所以。當(dāng)jb=j*時(shí)，因?yàn)橹R(shí)簽名的模擬是完美的，SPS-EQ 簽名滿足簽名適應(yīng)性和明文空間的類隱藏性，且DMS 簽名具有完美的派生隱私性，所以

5 效率分析

5.1 理論分析

表2 將本文方案與最近提出的電子票據(jù)方案和屬性證書方案在功能上進(jìn)行了比較，其中√表示支持，×表示不支持，—表示不涉及此項(xiàng)。文獻(xiàn)[19]方案實(shí)現(xiàn)了匿名性和雙花檢測(cè)，但是不支持屬性票據(jù)和可轉(zhuǎn)讓票據(jù)，不能實(shí)現(xiàn)賣方的匿名性和雙花追蹤。文獻(xiàn)[3，21]方案實(shí)現(xiàn)了匿名性、雙花追蹤和雙花檢測(cè)，但是不支持屬性票據(jù)、可轉(zhuǎn)讓票據(jù)和雙花追蹤。文獻(xiàn)[12-14]方案支持匿名性和屬性證書，但是其屬性泄露證明使用了ZKP。文獻(xiàn)[2]方案支持匿名性、屬性票據(jù)、雙花追蹤和雙花檢測(cè)，并給出了正式的安全證明，但是其不支持票據(jù)轉(zhuǎn)讓，屬性泄露證明使用了ZKP 實(shí)現(xiàn)。文獻(xiàn)[5-6]方案支持可轉(zhuǎn)讓票據(jù)、雙花檢測(cè)和雙花追蹤，但是其不支持屬性票據(jù)和賣方的匿名性，并且該方案使用簽名鏈實(shí)現(xiàn)票據(jù)轉(zhuǎn)讓，導(dǎo)致票據(jù)轉(zhuǎn)讓和票據(jù)驗(yàn)證算法的計(jì)算復(fù)雜度隨著轉(zhuǎn)讓次數(shù)的增加線性增長(zhǎng)。本文方案不僅支持匿名性、屬性票據(jù)、可轉(zhuǎn)讓、雙花檢測(cè)和雙花追蹤等功能，而且使用SPS-EQ 簽名實(shí)現(xiàn)了高效的屬性泄露證明和賣方的匿名性，使用DMS 簽名實(shí)現(xiàn)了常數(shù)復(fù)雜度的票據(jù)轉(zhuǎn)讓和票據(jù)驗(yàn)證。

表2 功能比較

表3將本文方案與文獻(xiàn)[2]方案在效率上進(jìn)行了比較，其中n和k分別為用戶屬性數(shù)量和泄露屬性數(shù)量。本文方案將票據(jù)購(gòu)買算法中用戶的計(jì)算復(fù)雜度從O(n)降低到O(n-k)，將賣方的計(jì)算復(fù)雜度從O(n)降低到O(k)。

表3 與文獻(xiàn)[2]方案的效率比較

表4 將本文方案與文獻(xiàn)[5-6]方案在票據(jù)轉(zhuǎn)讓和票據(jù)驗(yàn)證算法的效率上進(jìn)行了比較，其中t為票據(jù)轉(zhuǎn)讓次數(shù)。本文方案將票據(jù)轉(zhuǎn)讓算法中用戶U′的計(jì)算復(fù)雜度從O(t)降低到O(1)，將票據(jù)驗(yàn)證算法中驗(yàn)票方的計(jì)算復(fù)雜度從O(t)降低到O(1)，實(shí)現(xiàn)了常數(shù)復(fù)雜度的票據(jù)轉(zhuǎn)讓和票據(jù)驗(yàn)證。

表4 與文獻(xiàn)[5-6]方案的效率比較

5.2 實(shí)驗(yàn)分析

使用基于數(shù)論的密碼庫(kù)MIRACL和Type-3雙線性對(duì)實(shí)現(xiàn)了本文方案。其中橢圓曲線使用AES-100比特安全級(jí)別的Barreto-Naehrig 曲線（BN-256）。實(shí)驗(yàn)平臺(tái)為HUAWEI MateBook，CPU 為AMD Ryzen-5 4600H，時(shí)鐘頻率為3.0 GHz；操作系統(tǒng)為64 位Ubuntu Kylin 16.04，運(yùn)行內(nèi)存為16 GB，實(shí)現(xiàn)語(yǔ)言為C/C++，編譯器為GCC/G++。

圖10 將本文方案與文獻(xiàn)[2]方案中的算法運(yùn)行時(shí)間進(jìn)行了對(duì)比，其中測(cè)試時(shí)設(shè)置用戶屬性數(shù)量n=10，泄露屬性數(shù)量k=3。1-CA 表示系統(tǒng)初始化算法；2-S 表示賣方注冊(cè)算法的賣方計(jì)算部分，2-CA表示賣方注冊(cè)算法的CA 計(jì)算部分；3-U 表示用戶注冊(cè)算法的用戶計(jì)算部分，3-CA 表示用戶注冊(cè)算法的CA 計(jì)算部分；4-U 表示票據(jù)購(gòu)買算法的用戶計(jì)算部分，4-S 表示票據(jù)購(gòu)買算法的賣方計(jì)算部分；5-U 表示票據(jù)驗(yàn)證算法的用戶計(jì)算部分，5-V 表示票據(jù)驗(yàn)證算法的驗(yàn)票方計(jì)算部分。由圖10 可知，本文方案各個(gè)算法的運(yùn)行時(shí)間僅分別為文獻(xiàn)[2]方案的4%、10%、45.6%、4%、16.6%、5.8%、4.3%、3.7%和16.4%。

圖10 運(yùn)行時(shí)間比較

圖11 是隨著用戶屬性數(shù)量的增多，本文方案和文獻(xiàn)[2]方案中的票據(jù)購(gòu)買算法運(yùn)行時(shí)間對(duì)比，其中在測(cè)試時(shí)設(shè)置泄露屬性數(shù)量k=5，用戶屬性數(shù)量n={20，40，60，80，100}。其中圖11(a)為票據(jù)購(gòu)買算法用戶計(jì)算部分的比較，圖11(b)為票據(jù)購(gòu)買算法賣方計(jì)算部分的比較。由圖11(a)可知，本文方案和文獻(xiàn)[2]方案的用戶計(jì)算時(shí)間都隨用戶屬性數(shù)量的增加線性增長(zhǎng)，但是本文方案的時(shí)間消耗僅約為文獻(xiàn)[2]方案的6%。由圖11(b)可知，文獻(xiàn)[2]方案的賣方計(jì)算時(shí)間隨用戶屬性數(shù)量的增加線性增長(zhǎng)，但是本文方案的計(jì)算時(shí)間（約為107 ms）與屬性數(shù)量無關(guān)，且本文方案的時(shí)間消耗僅約為文獻(xiàn)[2]方案的4%。

圖11 票據(jù)購(gòu)買算法運(yùn)行時(shí)間比較

圖12 是隨著票據(jù)轉(zhuǎn)讓次數(shù)的增加，本文方案和文獻(xiàn)[5]方案中的票據(jù)轉(zhuǎn)讓和票據(jù)驗(yàn)證算法運(yùn)行時(shí)間的對(duì)比，其中測(cè)試時(shí)設(shè)置用戶屬性數(shù)量n=10，泄露屬性數(shù)量k=3，轉(zhuǎn)讓次數(shù)t={2，4，6，8，10}。其中圖12(a)為票據(jù)轉(zhuǎn)讓算法轉(zhuǎn)讓用戶計(jì)算部分的比較，圖12(b)為票據(jù)轉(zhuǎn)讓算法受讓用戶計(jì)算部分的比較，圖12(c)為票據(jù)驗(yàn)證算法用戶計(jì)算部分的比較，圖12(d)為票據(jù)驗(yàn)證算法驗(yàn)票方計(jì)算部分的比較。由圖12(a)可知，本文方案和文獻(xiàn)[5]方案的票據(jù)轉(zhuǎn)讓算法的轉(zhuǎn)讓用戶計(jì)算時(shí)間都與轉(zhuǎn)讓次數(shù)無關(guān)，其中本文方案和文獻(xiàn)[5]方案耗時(shí)分別約2.5 ms和129 ms，本文方案的時(shí)間消耗僅約為文獻(xiàn)[5]方案的2%。由圖12(b)可知，文獻(xiàn)[5]方案的受讓用戶的計(jì)算時(shí)間隨著轉(zhuǎn)讓次數(shù)的增加線性增長(zhǎng)，但是本文方案的計(jì)算時(shí)間（約為48 ms）與轉(zhuǎn)讓次數(shù)無關(guān)，且本文方案的時(shí)間消耗僅約為文獻(xiàn)[5]方案的9%。由圖12(c)可知，本文方案和文獻(xiàn)[5]方案的票據(jù)驗(yàn)證算法的用戶計(jì)算時(shí)間都與轉(zhuǎn)讓次數(shù)無關(guān)，其中本文方案和文獻(xiàn)[5]方案耗時(shí)分別約42 ms和37 ms，2 種方案的時(shí)間消耗基本相當(dāng)。由圖12(d)可知，文獻(xiàn)[5]方案的驗(yàn)證方計(jì)算時(shí)間隨著轉(zhuǎn)讓次數(shù)的增加線性增長(zhǎng)，但是本文方案的計(jì)算時(shí)間（約為170 ms）與轉(zhuǎn)讓次數(shù)無關(guān)，且本文方案的時(shí)間消耗僅約為文獻(xiàn)[5]方案的34%。

圖12 票據(jù)轉(zhuǎn)讓和驗(yàn)證算法中票據(jù)轉(zhuǎn)讓次數(shù)與運(yùn)行時(shí)間關(guān)系

以上分析和比較表明，本文方案與目前最新的電子票據(jù)方案相比，計(jì)算開銷顯著降低。

6 結(jié)束語(yǔ)

本文構(gòu)造了高效的強(qiáng)隱私保護(hù)且支持屬性策略和票據(jù)轉(zhuǎn)讓功能的電子票據(jù)方案。與目前的電子票據(jù)方案相比，本文方案不僅支持匿名性、屬性票據(jù)、可轉(zhuǎn)讓、雙花檢測(cè)和雙花追蹤等功能，而且顯著降低了票據(jù)購(gòu)買算法的計(jì)算消耗，實(shí)現(xiàn)了常數(shù)復(fù)雜度的票據(jù)轉(zhuǎn)讓和驗(yàn)證算法，并以較少的計(jì)算代價(jià)實(shí)現(xiàn)了賣方的匿名性。