史瑞，封化民，謝惠琴，史國(guó)振，劉飚，楊旸

（1.北京郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100876；2.北京電子科技學(xué)院，北京 100070；3.福州大學(xué)數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院，福建 福州 350108）

0 引言

電子票據(jù)是用戶(hù)屬性信息、紙質(zhì)票據(jù)和實(shí)體證件的電子化版本。隨著智能移動(dòng)終端（如智能手機(jī)、平板電腦）的普及和高速互聯(lián)網(wǎng)絡(luò)（如5G、Wi-Fi）的應(yīng)用，電子票據(jù)正逐步取代紙質(zhì)票據(jù)和實(shí)體卡成為人們?nèi)粘Ｉ畹谋匦杵贰＠纾覈?guó)已經(jīng)廣泛使用電子醫(yī)?？ù鎸?shí)體醫(yī)?？ň歪t(yī)，人們可在移動(dòng)端完成掛號(hào)、取號(hào)和繳費(fèi)等流程。在一些國(guó)家，航空、地鐵和出入境票據(jù)的管理已全面電子化，人們可在手機(jī)上自助完成買(mǎi)票、檢票和退票流程。此外，在購(gòu)物、住宿、娛樂(lè)等領(lǐng)域，會(huì)員卡、年卡、優(yōu)惠券和電影票等各種票據(jù)也已逐步電子化。

雖然關(guān)于電子票據(jù)的研究已有許多成果[1-17]，但是在移動(dòng)應(yīng)用場(chǎng)景中部署電子票據(jù)系統(tǒng)仍然面臨著一些至今沒(méi)有解決的問(wèn)題。1) 無(wú)法將電子票據(jù)系統(tǒng)部署在資源受限的設(shè)備中（如智能卡）。智能卡設(shè)備由于功耗低、存儲(chǔ)安全和攜帶方便等優(yōu)點(diǎn)成為部署電子票據(jù)的最合適的平臺(tái)。已有的屬性票據(jù)方案[6,17]雖然可以在功能強(qiáng)大的設(shè)備（如個(gè)人計(jì)算機(jī)）中使用，但是這些方案使用了耗時(shí)的雙線(xiàn)性映射運(yùn)算，而目前標(biāo)準(zhǔn)的智能卡設(shè)備不支持這類(lèi)運(yùn)算，因此它們無(wú)法在輕量級(jí)設(shè)備中部署。2) 無(wú)法防止電子票據(jù)在未授權(quán)設(shè)備（用戶(hù)）之間共享。在交通、購(gòu)物、娛樂(lè)等商業(yè)領(lǐng)域中部署電子票據(jù)系統(tǒng)所帶來(lái)的一個(gè)重要問(wèn)題是無(wú)法阻止未付費(fèi)（未授權(quán)）設(shè)備（用戶(hù)）訪(fǎng)問(wèn)服務(wù)。解決這個(gè)問(wèn)題的最直接方法是將票據(jù)的秘密信息存儲(chǔ)在安全硬件設(shè)備中（如具有安全存儲(chǔ)和防復(fù)制功能的智能卡），使沒(méi)有安全硬件的參與就無(wú)法完成票據(jù)購(gòu)買(mǎi)和消費(fèi)協(xié)議。這不僅可以解決惡意用戶(hù)不受限制地共享票據(jù)的問(wèn)題，而且為誠(chéng)實(shí)用戶(hù)增加了額外的安全防護(hù)。

智能卡設(shè)備雖然有很多優(yōu)點(diǎn)，但是其沒(méi)有完整的電源和通信裝置，因此需要借助外部輔助設(shè)備，通過(guò)接觸或非接觸方式才能完成讀寫(xiě)和運(yùn)算操作。因此，不依賴(lài)輔助設(shè)備而單獨(dú)在智能卡上實(shí)現(xiàn)用戶(hù)端的電子票據(jù)協(xié)議是不可能的。移動(dòng)終端（如智能手機(jī)）由于部署面廣、使用頻率高、外部接口豐富、計(jì)算和通信效率高等優(yōu)點(diǎn)是目前作為輔助設(shè)備的最優(yōu)選擇。這種以智能卡作為核心設(shè)備，移動(dòng)終端作為輔助設(shè)備的模式已得到廣泛應(yīng)用。例如，在與銀行的認(rèn)證協(xié)議中，用戶(hù)的硬件部分由U 盾（智能卡）和智能手機(jī)（移動(dòng)終端）組成，其中，U 盾是可信的并負(fù)責(zé)存儲(chǔ)用戶(hù)私鑰和執(zhí)行數(shù)字簽名，智能手機(jī)負(fù)責(zé)執(zhí)行賬號(hào)管理和網(wǎng)絡(luò)通信；銀行在線(xiàn)轉(zhuǎn)賬的安全性由U 盾保障而不依賴(lài)于智能手機(jī)，即使智能手機(jī)是惡意的也無(wú)法通過(guò)獲取U 盾中用戶(hù)私鑰的方式偽造轉(zhuǎn)賬。為了解決電子票據(jù)系統(tǒng)面臨的上述問(wèn)題，本文提出了一個(gè)基于帶智能卡的移動(dòng)終端（如帶U 盾的智能手機(jī)）部署的屬性票據(jù)方案。

在本文的系統(tǒng)架構(gòu)中，用戶(hù)的硬件部分由一張資源受限但安全可信的智能卡和一部功能強(qiáng)大的移動(dòng)終端組成。其核心思想是將智能卡作為用戶(hù)的核心設(shè)備，存儲(chǔ)用戶(hù)的所有秘密信息，并執(zhí)行與密鑰有關(guān)但輕量化的運(yùn)算；將移動(dòng)終端作為用戶(hù)的輔助設(shè)備，執(zhí)行與密鑰無(wú)關(guān)但耗時(shí)的運(yùn)算；每個(gè)用戶(hù)的智能卡唯一，而移動(dòng)終端可以隨時(shí)替換，且沒(méi)有智能卡的參與移動(dòng)終端無(wú)法完成任何協(xié)議。

本文給出了基于帶智能卡的移動(dòng)終端實(shí)現(xiàn)的屬性票據(jù)方案的系統(tǒng)模型和安全模型，并結(jié)合偽隨機(jī)函數(shù)、匿名的臨時(shí)身份方案、帶隨機(jī)化標(biāo)簽的可聚合簽名和Pointcheval-Sanders（PS）簽名提出了一個(gè)高效的構(gòu)造實(shí)例，證明了所提方案滿(mǎn)足不可偽造性和不可鏈接性的安全需求。

在所提方案的用戶(hù)運(yùn)算中，除了用戶(hù)的注冊(cè)驗(yàn)證和票據(jù)驗(yàn)證操作需要移動(dòng)終端參與外，剩余的用戶(hù)注冊(cè)請(qǐng)求、票據(jù)購(gòu)買(mǎi)請(qǐng)求和票據(jù)消費(fèi)請(qǐng)求都可由智能卡單獨(dú)完成，且移動(dòng)終端參與的操作不需要任何用戶(hù)秘密信息的參與。此外，用戶(hù)的私鑰和票據(jù)秘密信息不出卡，用戶(hù)的身份、公鑰、屬性和證書(shū)等公開(kāi)信息也可存儲(chǔ)在智能卡中。因此，即使移動(dòng)終端是惡意的，也無(wú)法在沒(méi)有智能卡的參與下完成電子票據(jù)的任何協(xié)議。

所提方案支持基于屬性泄露的購(gòu)票策略，可在最小化信息泄露的原則下完成票據(jù)購(gòu)買(mǎi)，最大程度地保護(hù)了用戶(hù)隱私。例如，學(xué)生購(gòu)買(mǎi)優(yōu)惠票據(jù)時(shí)只需泄露“學(xué)生”屬性，而學(xué)號(hào)、學(xué)院、住址、電話(huà)等敏感信息都應(yīng)保密。與最新的屬性票據(jù)方案[6,17]使用耗時(shí)的零知識(shí)證明和基于屬性的隨機(jī)化簽名實(shí)現(xiàn)支持屬性泄露策略的票據(jù)購(gòu)買(mǎi)協(xié)議不同，所提方案使用一種聚合的方法構(gòu)造用戶(hù)屬性證書(shū)，顯著降低了票據(jù)購(gòu)買(mǎi)算法的計(jì)算復(fù)雜度。

在票據(jù)購(gòu)買(mǎi)協(xié)議中，智能卡發(fā)送完票據(jù)購(gòu)買(mǎi)請(qǐng)求后，可能由于意外或惡意的行為導(dǎo)致其在沒(méi)有收到賣(mài)方返回的票據(jù)驗(yàn)證信息的情況下被強(qiáng)制斷電，如智能卡從移動(dòng)終端上被突然拔出或移動(dòng)終端突然掉電。在這種情況下，即使智能卡重新上電，由于不能實(shí)時(shí)保存協(xié)議執(zhí)行的上下文信息，將會(huì)導(dǎo)致用戶(hù)購(gòu)票失敗。為了解決這個(gè)問(wèn)題，在所提方案中使用帶密鑰的偽隨機(jī)函數(shù)產(chǎn)生票據(jù)購(gòu)買(mǎi)請(qǐng)求和賣(mài)方票據(jù)驗(yàn)證都需要的上下文信息。這意味著用戶(hù)可以在智能卡上電后重新恢復(fù)上下文再驗(yàn)證票據(jù)的正確性。

通過(guò)與最新的屬性票據(jù)方案[6,17]在個(gè)人計(jì)算機(jī)（華為Matebook）上的實(shí)驗(yàn)對(duì)比，所提方案實(shí)現(xiàn)了最優(yōu)的效率。通過(guò)在國(guó)產(chǎn)智能卡（愛(ài)信諾ACH512）和智能手機(jī)（華為榮耀9i）上的實(shí)驗(yàn)顯示，所提方案完成一次票據(jù)購(gòu)買(mǎi)算法需要在智能卡上消耗約369 ms，在移動(dòng)終端上消耗約196 ms；完成一次票據(jù)消費(fèi)算法只需要在智能卡上消耗約197 ms。

Mut-Puigserver 等[1]按照功能需求（有效期、靈活性等）和安全需求（不可鏈接性、不可偽造性、傳遞性、不可雙花等）將電子票據(jù)方案分為可傳遞票據(jù)[2-3]、不可傳遞票據(jù)[4]、一次性票據(jù)[2-5]和可多次使用的票據(jù)[1,4]。此外，Han 等[6]還提出了支持屬性策略的電子票據(jù)。本文的研究?jī)?nèi)容是不可傳遞、一次性和支持屬性策略的電子票據(jù)方案。

Fan 等[7]、Song 等[8]、Quercia 等[9]、Rupp 等[10]，以及Milutinovice 等[4]分別利用不同的盲簽名[11]提出了保護(hù)用戶(hù)隱私的電子票據(jù)方案，但是他們的方案都不支持票據(jù)的不可傳遞性。Nakanishi 等[12]和Vives-Guasch 等[13]分別使用不同的群簽名[14]提出了電子票據(jù)方案，雖然他們的方案支持不可鏈接性和不可傳遞性，但是不支持屬性策略。Heydt-Benjamin 等[3]和Arfaoui 等[15]分別利用匿名證書(shū)[16]提出了電子票據(jù)方案，但是他們的方案不支持屬性策略，也沒(méi)有正式的安全證明。Han 等[6]使用隨機(jī)化簽名和零知識(shí)證明提出了首個(gè)支持屬性策略的電子票據(jù)方案，但是該方案使用了大量的雙線(xiàn)性對(duì)運(yùn)算實(shí)現(xiàn)票據(jù)購(gòu)買(mǎi)和票據(jù)消費(fèi)算法，因此無(wú)法應(yīng)用在智能卡設(shè)備中使用。封化民等[17]使用結(jié)構(gòu)保持簽名和可延展簽名等提出了一個(gè)可轉(zhuǎn)讓的強(qiáng)隱私保護(hù)的屬性票據(jù)方案，該方案首次在票據(jù)驗(yàn)證協(xié)議中同時(shí)實(shí)現(xiàn)了用戶(hù)和賣(mài)方的匿名性，但是票據(jù)購(gòu)買(mǎi)算法仍然需要4 個(gè)雙線(xiàn)性映射運(yùn)算，因此無(wú)法在智能卡設(shè)備中部署。

Mostowski 等[18]在智能卡上實(shí)現(xiàn)了U-prove 匿名證書(shū)方案；Camenisch 等[19]提出了一個(gè)適用于智能卡實(shí)現(xiàn)的帶密鑰驗(yàn)證的匿名證書(shū)方案；Verheul等[20]提出了一個(gè)在智能卡上實(shí)現(xiàn)的可自盲化的匿名證書(shū)方案。這些不同類(lèi)型的證書(shū)方案雖然可在智能卡上部署，但是它們都不是屬性票據(jù)方案。Hanzlik 等[21]提出了一種在核心輔助環(huán)境下部署的匿名證書(shū)方案，該方案中用戶(hù)由核心設(shè)備（如智能卡）和輔助設(shè)備（如智能手機(jī)組成）組成，為在移動(dòng)環(huán)境下部署匿名證書(shū)提供了一種新的方法。

1 預(yù)備知識(shí)

1.1 雙線(xiàn)性對(duì)

設(shè) G1,G2,GT是階為素?cái)?shù)p的循環(huán)群，g和分別是 G1和G2的生成元。TYPE-3 型雙線(xiàn)性[22]映射e:G1×G2→GT滿(mǎn)足雙線(xiàn)性、非退化性和可計(jì)算性，且 G1和G2之間不存在同態(tài)映射。

1.2 零知識(shí)的知識(shí)簽名

對(duì)于任意的多項(xiàng)式時(shí)間非確定性（NP,non-deterministic polynomial）關(guān)系R，NP 語(yǔ)言L(fǎng)R=｛y: ?x,(x,y)∈R｝的零知識(shí)的知識(shí)簽名（ZKSoK,zero knowledge signature of knowledge）[23]定義為。如果知識(shí)簽名滿(mǎn)足正確性、可模擬性和可提取性，則知識(shí)簽名是模擬提取安全的。

1.3 平方離散對(duì)數(shù)假設(shè)

設(shè)G 是階為素?cái)?shù)p的循環(huán)群，g＇是G 的生成元。平方離散對(duì)數(shù)（SDL,square discrete logarithm）假設(shè)是指給定三元組，其 中，任意概率多項(xiàng)式時(shí)間（PPT,probabilistic polynomial time）敵手求解x的概率是可忽略的。

1.4 判定性平方Diffie-Hellman 假設(shè)

設(shè)G 是階為素?cái)?shù)p的循環(huán)群，g＇是G 的生成元。判定性平方Diffie-Hellman（DSqDH,decisional square diffie-hellman）假設(shè)[24]是指給定三元組其中，任意PPT 敵手區(qū)分出下面2 種情形的概率是可忽略的：y=x2；y從中隨機(jī)選取。

1.5 偽隨機(jī)函數(shù)

偽隨機(jī)函數(shù)（PRF,pseudorandom function）由密鑰生成和偽隨機(jī)數(shù)生成2 個(gè)算法組成。

1) 密鑰生成：PRF.KeyGen(1λ) → psk，產(chǎn)生一個(gè)密鑰。

2) 偽隨機(jī)數(shù)生成：對(duì)于一個(gè)有限的集合S 和任意字符串x∈ {0,1}*，輸出隨機(jī)數(shù)y=PRF.Evalpsk(x)，其中y∈S。

1.6 匿名的臨時(shí)身份

匿名的臨時(shí)身份（AET,anonymous ephemeral tag）方案[24]由初始化、標(biāo)簽生成、標(biāo)簽隨機(jī)化、標(biāo)簽證明和標(biāo)簽驗(yàn)證算法組成。

1.7 帶隨機(jī)化標(biāo)簽的可聚合簽名

帶隨機(jī)化標(biāo)簽的可聚合簽名（ASRT,aggregatable signature with randomizable tag）[24]由初始化、密鑰生成、簽名、聚合并隨機(jī)化簽名和驗(yàn)簽算法組成。在一般群模型下[25]，如果對(duì)每一個(gè)標(biāo)簽-索引對(duì)簽名預(yù)言機(jī)只能被詢(xún)問(wèn)一次，那么帶隨機(jī)化標(biāo)簽的可聚合簽名是不可偽造的。如果DSqDH 問(wèn)題是難解的，那么帶隨機(jī)化標(biāo)簽的可聚合簽名是不可鏈接的。

1.8 Pointcheval-Sanders 簽名

支持隱藏消息簽發(fā)的PS（Pointcheval-Sanders）簽名[26]由初始化、密鑰生成、簽名協(xié)議和驗(yàn)簽算法組成。在一般群模型下，PS 簽名[26]在選擇消息攻擊模型下是不可偽造的。

2 系統(tǒng)模型和安全模型

2.1 系統(tǒng)架構(gòu)

系統(tǒng)架構(gòu)如圖1 所示?；趲е悄芸ǖ囊苿?dòng)終端實(shí)現(xiàn)的隱私保護(hù)的屬性票據(jù)方案由4 類(lèi)實(shí)體組成：證書(shū)中心（CA）、賣(mài)方（S）、用戶(hù)（U）和驗(yàn)證方（V），用戶(hù)的硬件部分由一張智能卡（如U 盾）和一部移動(dòng)終端設(shè)備（如智能手機(jī)）組成。智能卡存儲(chǔ)用戶(hù)的所有密鑰信息并執(zhí)行與密鑰相關(guān)的運(yùn)算，移動(dòng)終端執(zhí)行與密鑰無(wú)關(guān)但耗時(shí)的運(yùn)算。智能卡是安全可信的，敵手無(wú)法復(fù)制智能卡或從智能卡導(dǎo)出用戶(hù)的秘密信息。移動(dòng)終端是誠(chéng)實(shí)但好奇的，一方面它誠(chéng)實(shí)地與智能卡協(xié)作完成電子票據(jù)協(xié)議；另一方面它好奇用戶(hù)的密鑰和票據(jù)秘密信息。驗(yàn)證方維護(hù)一個(gè)只能添加的公開(kāi)數(shù)據(jù)庫(kù)用于存儲(chǔ)已消費(fèi)票據(jù)的標(biāo)識(shí)。

圖1 系統(tǒng)架構(gòu)

方案的工作流程如下所述。

步驟1系統(tǒng)初始化。CA 執(zhí)行系統(tǒng)初始化操作，產(chǎn)生系統(tǒng)公共參數(shù)、主公私鑰對(duì)和一個(gè)票據(jù)策略集合。其中，系統(tǒng)公共參數(shù)、主公鑰和票據(jù)策略集合公開(kāi)，使其他參與實(shí)體可以獲得。

步驟2賣(mài)方注冊(cè)。2.1) S 產(chǎn)生賣(mài)方公私鑰對(duì)，并向CA 發(fā)起賣(mài)方注冊(cè)請(qǐng)求；2.2) CA 驗(yàn)證S 的請(qǐng)求后為S 簽發(fā)賣(mài)方證書(shū)；2.3) S 驗(yàn)證CA 返回的賣(mài)方證書(shū)后將其保存在本地。

步驟3用戶(hù)注冊(cè)。3.1) U 的智能卡設(shè)備生成用戶(hù)公私鑰對(duì)（私鑰不出卡），并通過(guò)移動(dòng)終端設(shè)備的信道向CA 發(fā)起注冊(cè)請(qǐng)求；3.2) CA 驗(yàn)證U 的注冊(cè)請(qǐng)求后為U 簽發(fā)用戶(hù)屬性證書(shū)；3.3) U 的移動(dòng)終端設(shè)備收到CA 返回的用戶(hù)證書(shū)后與智能卡設(shè)備協(xié)作驗(yàn)證其正確性后將其保存在本地。

步驟4票據(jù)購(gòu)買(mǎi)和發(fā)布。4.1) 為了向S 證明U 已被CA 認(rèn)證且其泄露的屬性集合符合票據(jù)策略集合中的一條屬性策略，U 的智能卡設(shè)備計(jì)算一個(gè)屬性泄露證明，并通過(guò)移動(dòng)終端設(shè)備的信道向S 發(fā)起票據(jù)購(gòu)買(mǎi)請(qǐng)求；4.2) S 驗(yàn)證U 的購(gòu)買(mǎi)請(qǐng)求后為U 簽發(fā)票據(jù)；4.3) U 的移動(dòng)終端設(shè)備收到票據(jù)并與智能卡設(shè)備協(xié)作驗(yàn)證其正確性后將其保存在本地。

步驟5票據(jù)消費(fèi)和驗(yàn)證。5.1) U 的智能卡設(shè)備產(chǎn)生票據(jù)消費(fèi)證明并通過(guò)移動(dòng)終端設(shè)備向V 發(fā)送票據(jù)消費(fèi)請(qǐng)求；5.2) V 收到消費(fèi)請(qǐng)求后，首先檢查票據(jù)是否雙重消費(fèi)，然后驗(yàn)證其合法性。

2.2 威脅模型

CA 是誠(chéng)實(shí)可信的。它誠(chéng)實(shí)地產(chǎn)生安全的系統(tǒng)參數(shù)、主公私鑰對(duì)和一個(gè)票據(jù)策略集合；它誠(chéng)實(shí)地驗(yàn)證賣(mài)方和用戶(hù)的身份和屬性信息，并為合法賣(mài)方和用戶(hù)簽發(fā)證書(shū)。

S 是誠(chéng)實(shí)且好奇的。它誠(chéng)實(shí)地驗(yàn)證用戶(hù)的合法性以及用戶(hù)泄露的屬性子集與票據(jù)策略的一致性；它誠(chéng)實(shí)地為合法用戶(hù)簽發(fā)票據(jù)，但好奇用戶(hù)的真實(shí)身份和隱藏的屬性信息。

U 是惡意的。惡意的用戶(hù)通過(guò)偽造用戶(hù)的證書(shū)購(gòu)買(mǎi)合法票據(jù)，或者直接偽造一個(gè)票據(jù)試圖通過(guò)V的驗(yàn)證，或者雙重消費(fèi)一個(gè)合法票據(jù)。

V 是誠(chéng)實(shí)且好奇的。它誠(chéng)實(shí)地維護(hù)公開(kāi)數(shù)據(jù)庫(kù)，檢查票據(jù)消費(fèi)請(qǐng)求是否是雙重消費(fèi)，驗(yàn)證票據(jù)消費(fèi)請(qǐng)求是否合法，但好奇用戶(hù)的真實(shí)身份信息。

2.3 形式化定義

安全的智能卡設(shè)備具有防復(fù)制和安全存儲(chǔ)功能，可以有效地阻止移動(dòng)終端讀取用戶(hù)密鑰的行為，從硬件層面確保了好奇的移動(dòng)終端無(wú)法獲得智能卡中的密鑰，也就不會(huì)影響用戶(hù)側(cè)的安全性，因此在本節(jié)中將用戶(hù)的智能卡和移動(dòng)終端設(shè)備統(tǒng)稱(chēng)為用戶(hù)而不再加以區(qū)分。表1 給出了所提方案常用的符號(hào)定義。隱私保護(hù)的屬性票據(jù)方案由5 個(gè)算法組成。

表1 符號(hào)定義

1) 系統(tǒng)初始化算法：Setup(1λ,n) → (pp,P,msk,mpk)。此算法由CA 執(zhí)行。CA 輸入一個(gè)安全參數(shù)1λ和一個(gè)正整數(shù)n，輸出系統(tǒng)參數(shù)pp、主私鑰msk 和主公鑰mpk。

2) 賣(mài)方注冊(cè)算法：SReg(S(pp) ?CA(pp,msk,mpk)) →((ssk,spk,creds)/ ⊥)。此算法由S 和CA 交互執(zhí)行。S 輸入pp，CA 輸入pp、msk和mpk。若算法執(zhí)行成功，S 輸出賣(mài)方私鑰ssk、賣(mài)方公鑰spk和賣(mài)方證書(shū) creds，否則算法輸出⊥。

2.4 安全性定義

為了在防止惡意用戶(hù)偽造票據(jù)的同時(shí)保護(hù)誠(chéng)實(shí)用戶(hù)的隱私，屬性票據(jù)方案應(yīng)該同時(shí)滿(mǎn)足不可偽造性和不可鏈接性。所提方案的安全性定義遵循文獻(xiàn)[6,17]的工作，不同之處是為了使安全性的定義更準(zhǔn)確地反映威脅模型，本文將不可偽造性分為證書(shū)的不可偽造性和票據(jù)的不可偽造性，將不可鏈接性分為證書(shū)的不可鏈接性和票據(jù)的不可鏈接性。

首先，給出安全性定義需要調(diào)用的全局變量和預(yù)言機(jī)。定義A 為PPT 敵手，C 為挑戰(zhàn)者。在實(shí)驗(yàn)中，C 向A 模擬所有預(yù)言機(jī)，所有預(yù)言機(jī)都可以訪(fǎng)問(wèn)全局變量。

全局變量介紹如下。

1) HU：存儲(chǔ)誠(chéng)實(shí)用戶(hù)身份的列表。

2) CU：存儲(chǔ)惡意用戶(hù)身份的列表。

3) HS：存儲(chǔ)誠(chéng)實(shí)賣(mài)方身份的列表。

4) CS：存儲(chǔ)惡意賣(mài)方身份的列表。

5) SR：存儲(chǔ)賣(mài)方私鑰、公鑰和證書(shū)的列表。

6) UR：存儲(chǔ)用戶(hù)身份、私鑰、公鑰、屬性和證書(shū)的列表；

7) TKT：存儲(chǔ)用戶(hù)身份、賣(mài)方身份、票據(jù)、票據(jù)有效期和票據(jù)唯一標(biāo)識(shí)的列表。

8) TOK：存儲(chǔ)用戶(hù)身份、賣(mài)方身份、票據(jù)和票據(jù)消費(fèi)請(qǐng)求的列表。

預(yù)言機(jī)介紹如下。

3) OCU(i)：此預(yù)言機(jī)用于描述A 獲得一個(gè)誠(chéng)實(shí)用戶(hù)i的秘密信息。如果i?HU，則返回⊥；否則，查詢(xún)UR[i]，從HU 刪除i，添加CU←i，返回

4) OSReg(j)：此預(yù)言機(jī)用于描述一個(gè)誠(chéng)實(shí)賣(mài)方j(luò)和CA 執(zhí)行賣(mài)方注冊(cè)算法。如果j∈ HS ∪ CS，則返回⊥；否則，CA 和j執(zhí)行算法SReg(S(pp)?CA(pp,msk,mpk) →((ssk,spk,creds)/ ⊥)。如果算法輸出⊥，則返回⊥；否則，設(shè)置HS←j，SR[j] ← (j,ssk,spk,creds)。

5) OSReg.CA(j)：此預(yù)言機(jī)用于描述一個(gè)惡意賣(mài)方j(luò)和CA 執(zhí)行賣(mài)方注冊(cè)算法。如果j∈ HS ∪ CS，則返回⊥；否則，CA 和A 執(zhí)行算法：SReg(A(·) ?CA(pp,msk,mpk) →((ssk,spk,creds)/ ⊥)，其中賣(mài)方j(luò)的運(yùn)算部分由A 執(zhí)行。如果算法輸出⊥，則返回⊥；否則，設(shè)置HS←j，SR[j] ← (j,*,spk,creds)，其中*為未知私鑰。

6) OCS(j)：此預(yù)言機(jī)用于描述A 獲得一個(gè)誠(chéng)實(shí)賣(mài)方j(luò)的秘密信息。如果j?HS，則返回⊥；否則，查詢(xún)SR[j]，從HS 刪除j，添加CS←j，返回(j,ssk,spk,creds)。

7) OObtIss(i,j,I)：此預(yù)言機(jī)用于描述一個(gè)誠(chéng)實(shí)用戶(hù)i和一個(gè)誠(chéng)實(shí)賣(mài)方j(luò)執(zhí)行票據(jù)購(gòu)買(mǎi)和發(fā)布算法。如果i? HU,j? HS,I? [1,n]，則返回⊥；否則，查詢(xún) UR[i]和 SR[j]，并執(zhí)行算法如果算法輸出⊥，則返回⊥；否則，設(shè)置TKT[i][j]←(i,j,tkt,VP,sn)。

8) OObtain(i,j,I)：此預(yù)言機(jī)用于描述一個(gè)誠(chéng)實(shí)用戶(hù)i和一個(gè)惡意賣(mài)方j(luò)執(zhí)行票據(jù)購(gòu)買(mǎi)和發(fā)布算法。如果i? HU,j? CS,I? [1,n]，則返回⊥；否則，查詢(xún) UR[i]，并和 A 執(zhí)行算法，其中賣(mài)方j(luò)的運(yùn)算部分由A 執(zhí)行。如果算法輸出⊥，則返回⊥；否則，設(shè)置TKT[i][j] ←(i,j,tkt,VP,sn)。

9) OIssue(i,j,I)：此預(yù)言機(jī)用于描述一個(gè)惡意用戶(hù)i和一個(gè)誠(chéng)實(shí)賣(mài)方j(luò)執(zhí)行票據(jù)購(gòu)買(mǎi)和發(fā)布算法。如果i? CU,j? HS,I? [1,n]，則返回⊥；否則，查詢(xún) SR[j]，并和 A 執(zhí)行算法。如果算法輸出⊥，則返回⊥；否則，設(shè)置TKT[i][j] ←(i,j,*,VP,*)，其中*為未知票據(jù)和未知票據(jù)標(biāo)識(shí)。

10) OShow(i,j,k)：此預(yù)言機(jī)用于描述一個(gè)誠(chéng)實(shí)用戶(hù)i和一個(gè)惡意驗(yàn)證方k執(zhí)行票據(jù)消費(fèi)和驗(yàn)證算法。如果i?HU，則返回⊥；否則，查詢(xún)UR[i]、SR[j]和TKT[i][j]，并和 A 執(zhí)行算法，其中驗(yàn)證方的計(jì)算部分由A 執(zhí)行。如果算法輸出0，則返回0；否則，設(shè)置TOK[i][j] ←(i,j,tkt,tok)，并返回1。

證書(shū)的不可偽造性確保惡意的用戶(hù)無(wú)法通過(guò)偽造證書(shū)從賣(mài)方購(gòu)買(mǎi)票據(jù)。在證書(shū)不可偽造性實(shí)驗(yàn)中，敵手模擬惡意用戶(hù)的行為且允許敵手詢(xún)問(wèn)CA和誠(chéng)實(shí)賣(mài)方的預(yù)言機(jī)。如果在實(shí)驗(yàn)結(jié)束時(shí)，敵手在票據(jù)購(gòu)買(mǎi)算法中輸出了一個(gè)未注冊(cè)用戶(hù)或已注冊(cè)誠(chéng)實(shí)用戶(hù)的合法購(gòu)買(mǎi)請(qǐng)求，則敵手贏得了實(shí)驗(yàn)。

定義1證書(shū)的不可偽造性。在 EXPunf-cred(A,λ,n)中，如果對(duì)任意的PPT 敵手A，存在可忽略函數(shù)ε(λ)，使，則屬性票據(jù)方案滿(mǎn)足證書(shū)的不可偽造性。

4) 如果b=⊥或i*∈CU或j*?HS，返回0；

5) 返回1。

票據(jù)的不可偽造性確保了惡意用戶(hù)無(wú)法通過(guò)偽造票據(jù)通過(guò)驗(yàn)證方的驗(yàn)證。在票據(jù)的不可偽造性實(shí)驗(yàn)中，敵手模擬惡意用戶(hù)的行為且允許敵手詢(xún)問(wèn)CA 和誠(chéng)實(shí)賣(mài)方的預(yù)言機(jī)。如果在實(shí)驗(yàn)結(jié)束時(shí)，敵手在票據(jù)消費(fèi)算法中輸出了一個(gè)未注冊(cè)用戶(hù)或已注冊(cè)誠(chéng)實(shí)用戶(hù)的合法的票據(jù)消費(fèi)請(qǐng)求，則敵手贏得了實(shí)驗(yàn)。

定義 2票據(jù)的不可偽造性。在 EXPunf-tkt(A,λ,n)中，如果對(duì)任意的PPT 敵手A，存在可忽略函數(shù)ε(λ)，使則屬性票據(jù)方案滿(mǎn)足票據(jù)的不可偽造性。

4) 如果b=0或i*∈CU或j*?HS，返回0；

5) 返回1。

證書(shū)的不可鏈接性確保了好奇的賣(mài)方無(wú)法通過(guò)為用戶(hù)簽發(fā)票據(jù)獲取用戶(hù)的任何身份和隱藏的屬性信息，具體指賣(mài)方無(wú)法將任意的2 個(gè)票據(jù)購(gòu)買(mǎi)請(qǐng)求鏈接。

定義 3證書(shū)的不可鏈接性。在(A,λ,n)中，如果對(duì)任意的PPT 敵手A，存在可忽略函數(shù)ε(λ)，使ε(λ)，則屬性票據(jù)方案滿(mǎn)足證書(shū)的不可鏈接性。

4) 如果b*=b，返回1；

5) 返回0。

票據(jù)的不可鏈接性確保了好奇的驗(yàn)證方（也同時(shí)是賣(mài)方）無(wú)法通過(guò)驗(yàn)證票據(jù)消費(fèi)請(qǐng)求獲取用戶(hù)的任何身份信息，具體指驗(yàn)證方無(wú)法將任意的2 個(gè)票據(jù)消費(fèi)請(qǐng)求鏈接。

定義 4票據(jù)的不可鏈接性。在(A,λ,n)中，如果對(duì)任意的PPT 敵手A，存在可忽略函數(shù)ε(λ)，使ε(λ)，則屬性票據(jù)方案滿(mǎn)足票據(jù)的不可鏈接性。

5) 如果b*=b，返回1；

6) 返回0。

3 方案設(shè)計(jì)

3.1 設(shè)計(jì)思想

構(gòu)造電子票據(jù)方案面臨的主要挑戰(zhàn)是在滿(mǎn)足上文定義的系統(tǒng)模型和安全模型下將用戶(hù)的所有運(yùn)算輕量化，使其可在智能卡上高效實(shí)現(xiàn)。

為了在票據(jù)購(gòu)買(mǎi)算法中實(shí)現(xiàn)高效的屬性泄露證明，所提方案將匿名的臨時(shí)身份作為用戶(hù)公鑰，使用戶(hù)公鑰成為一個(gè)可隨機(jī)化的標(biāo)簽；在用戶(hù)注冊(cè)時(shí)，CA 對(duì)每個(gè)用戶(hù)屬性分別簽發(fā)一個(gè)帶隨機(jī)化標(biāo)簽（用戶(hù)公鑰）的簽名；在購(gòu)買(mǎi)票據(jù)時(shí)，用戶(hù)只需按照票據(jù)策略將需泄露的屬性對(duì)應(yīng)的多個(gè)簽名聚合，然后將用戶(hù)公鑰和聚合后的簽名隨機(jī)化后發(fā)送給賣(mài)方。這種方法避免了將大量不需要泄露的屬性隱藏在簽名中，且聚合簽名和用戶(hù)公鑰的隨機(jī)化操作只需 G1上的冪運(yùn)算，提高了票據(jù)購(gòu)買(mǎi)的效率。

為了阻止雙花消費(fèi)，在票據(jù)購(gòu)買(mǎi)時(shí)為每個(gè)票據(jù)產(chǎn)生唯一的標(biāo)識(shí)；當(dāng)消費(fèi)票據(jù)時(shí)，驗(yàn)證方可根據(jù)票據(jù)唯一標(biāo)識(shí)檢查票據(jù)是否為雙重消費(fèi)。在票據(jù)購(gòu)買(mǎi)和發(fā)布算法中，票據(jù)的唯一標(biāo)識(shí)不能泄露給賣(mài)方（如果泄露將破壞票據(jù)的不可鏈接性），因此票據(jù)發(fā)布算法需支持隱私屬性的票據(jù)簽發(fā)。為此，所提方案使用支持高效協(xié)議的PS 簽名構(gòu)造用戶(hù)票據(jù)。在票據(jù)購(gòu)買(mǎi)時(shí)，用戶(hù)產(chǎn)生一個(gè)票據(jù)標(biāo)識(shí)的承諾；在票據(jù)發(fā)布時(shí)，賣(mài)方在承諾上簽名；在票據(jù)消費(fèi)時(shí)，所提方案使用了文獻(xiàn)[27]的方法，避免了用戶(hù)執(zhí)行耗時(shí)的雙線(xiàn)性映射運(yùn)算。此外，為了防止智能卡突然斷電導(dǎo)致的購(gòu)票失敗，所提方案利用帶密鑰的偽隨機(jī)函數(shù)生成票據(jù)購(gòu)買(mǎi)算法的上下文信息，使智能卡重新上電后仍可驗(yàn)證賣(mài)方返回的票據(jù)。

3.2 方案構(gòu)造

2) 賣(mài)方注冊(cè)：SReg(S(pp) ?CA(pp,msk,mpk)) →((ssk,spk,creds)/ ⊥)。

如圖2 所示，為了獲得賣(mài)方證書(shū)，首先，S 產(chǎn)生PS 簽名私鑰ssk 和公鑰spk；然后，S 計(jì)算知識(shí)簽名π1證明其擁有ssk 的知識(shí)；最后將注冊(cè)請(qǐng)求信息 (spk,π1)發(fā)送CA。CA 驗(yàn)證S 的身份和π1后，計(jì)算PS 簽名 creds，并返回S。S 驗(yàn)證 creds的正確性后，將 creds作為證書(shū)保存。

圖2 賣(mài)方注冊(cè)算法

如圖3 所示，為了獲得賣(mài)方證書(shū)，首先，智能卡產(chǎn)生偽隨機(jī)函數(shù)的密鑰ρ和私鑰μ，并設(shè)置用戶(hù)密鑰usk=(ρ,μ)；然后，智能卡計(jì)算與用戶(hù)身份id綁定的隨機(jī)元素h，并計(jì)算公鑰upk；最后，智能卡計(jì)算知識(shí)簽名π2證明其擁有μ的知識(shí)，并將注冊(cè)請(qǐng)求發(fā)送給移動(dòng)終端。移動(dòng)終端收到智能卡的注冊(cè)請(qǐng)求后轉(zhuǎn)發(fā)給CA。CA 驗(yàn)證U的身份、屬性信息和π2后，分別為每個(gè)屬性-標(biāo)簽對(duì)(mi,upk)計(jì)算ASRT 簽名σi，并將返回U。移動(dòng)終端驗(yàn)證 credu的正確性后，將其發(fā)送給智能卡。智能卡將 credu作為證書(shū)保存。

圖3 用戶(hù)注冊(cè)算法

如圖4 所示，為了獲得票據(jù)，首先，智能卡從移動(dòng)終端收到一個(gè)S 產(chǎn)生的挑戰(zhàn)隨機(jī)數(shù)nounce；然后，智能卡將需泄露的屬性集合對(duì)應(yīng)的簽名{σi}i∈I聚合為一個(gè)簽名σ，并將用戶(hù)公鑰和聚合簽名隨機(jī)化為(upk＇,σ＇)；為了防止雙重消費(fèi)，智能卡使用偽隨機(jī)函數(shù)生成票據(jù)唯一標(biāo)識(shí)sn 和加密密鑰t，并使用ElGamal[28]算法將μ和sn 的承諾加密為T(mén)；最后，智能卡計(jì)算知識(shí)簽名π3證明其擁有秘密信息 (μ,t,sn)，并將票據(jù)購(gòu)買(mǎi)請(qǐng)求(upk＇,σ＇,T,{mi}i∈I,π3)發(fā)送給移動(dòng)終端。移動(dòng)終端收到智能卡的票據(jù)購(gòu)買(mǎi)請(qǐng)求后轉(zhuǎn)發(fā)給S。S 首先驗(yàn)證π3、upk＇和σ＇后，然后設(shè)置票據(jù)有效期VP，最后計(jì)算 PS 簽名(α,β)，并將票據(jù)驗(yàn)證信息(α,β,VP)返回用戶(hù)。移動(dòng)終端收到票據(jù)驗(yàn)證信息后將其轉(zhuǎn)發(fā)給智能卡，智能卡使用密鑰t解密后獲得票據(jù) (T1,T2)；為了不泄露票據(jù)秘密信息的同時(shí)驗(yàn)證票據(jù)的正確性，智能卡計(jì)算T～，并將 (T1,T2,T)發(fā)送移動(dòng)終端；移動(dòng)終端驗(yàn)證通過(guò)后，智能卡設(shè)置票據(jù) tkt=(T1,T2)，并將(tkt,VP,sn)保存。

圖4 票據(jù)購(gòu)買(mǎi)和發(fā)布算法

如圖4 所示，在票據(jù)購(gòu)買(mǎi)算法中，用戶(hù)使用臨時(shí)產(chǎn)生的加密密鑰t和票據(jù)唯一標(biāo)識(shí)sn 參與計(jì)算票據(jù)購(gòu)買(mǎi)請(qǐng)求，同時(shí)t和sn 作為協(xié)議的上下文信息也用于驗(yàn)證賣(mài)方簽發(fā)的票據(jù)。如果用戶(hù)發(fā)送完票據(jù)購(gòu)買(mǎi)請(qǐng)求后設(shè)備意外斷電，用戶(hù)（智能卡）可使用偽隨機(jī)函數(shù)重新恢復(fù)t和sn，從而繼續(xù)完成票據(jù)驗(yàn)證而不需要重新發(fā)起購(gòu)票請(qǐng)求。

如圖5 所示，為了消費(fèi)票據(jù)，首先，智能卡將票據(jù)tkt 隨機(jī)化為tkt＇；然后，為了在泄露票據(jù)唯一標(biāo)識(shí)sn 和票據(jù)有效期VP 的同時(shí)證明tkt＇的正確性，智能卡計(jì)算κ和ν；最后，智能卡計(jì)算知識(shí)簽名π4證明其擁有用戶(hù)密鑰的知識(shí)，并將票據(jù)消費(fèi)請(qǐng)求tok=(tkt＇,κ,ν,π4,sn,VP)發(fā)送V。V 收到票據(jù)消費(fèi)請(qǐng)求后，首先驗(yàn)證其有效期和是否為雙重消費(fèi)，然后驗(yàn)證π4和tkt＇的正確性，若驗(yàn)證通過(guò)，V 輸出1，否則輸出0。

圖5 票據(jù)消費(fèi)和驗(yàn)證算法

4 安全性分析

4.1 證書(shū)的不可偽造性

定理1如果SDL 問(wèn)題在 G1上是難解的且ASRT 簽名是不可偽造的，那么所提方案滿(mǎn)足證書(shū)的不可偽造性。

證明如果敵手贏得了證書(shū)的不可偽造性實(shí)驗(yàn) EXPunf-cred(A,λ,n)，敵手或者偽造了一個(gè)未注冊(cè)用戶(hù)或者偽造了一個(gè)已注冊(cè)誠(chéng)實(shí)用戶(hù)的票據(jù)購(gòu)買(mǎi)請(qǐng)求。

引理1如果敵手A 在證書(shū)的不可偽造性實(shí)驗(yàn)中以不可忽略的概率ε(λ)偽造了一個(gè)誠(chéng)實(shí)用戶(hù)的購(gòu)買(mǎi)請(qǐng)求，那么存在挑戰(zhàn)者C 以的概率求解SDL 問(wèn)題，其中q為誠(chéng)實(shí)用戶(hù)數(shù)量。

證明假設(shè)是一個(gè)SDL 挑戰(zhàn)，C使 用(g,G1)作為參數(shù)，執(zhí)行(pp,P,msk,mpk)←Setup(1λ,n)產(chǎn)生剩余參數(shù)，并將(pp,P,mpk)發(fā)送 A。C 猜測(cè)一個(gè)誠(chéng)實(shí)用戶(hù)i*∈HU，使得實(shí)驗(yàn)結(jié)束時(shí)，A 偽造了i*的一個(gè)票據(jù)購(gòu)買(mǎi)請(qǐng)求。

2) OCU(i)：如果i≠i*，C 的模擬與真實(shí)的執(zhí)行一致；否則，返回⊥。

4) OUReg.CA,OSReg,OIssue：因?yàn)镃 擁有CA 和S的密鑰，所以可以完美地模擬這些預(yù)言機(jī)。

如果A在票據(jù)購(gòu)買(mǎi)算法中偽造了誠(chéng)實(shí)用戶(hù)i*的票據(jù)購(gòu)買(mǎi)請(qǐng)求（概率為因?yàn)橹R(shí)簽名π3是模擬提取安全的，那么C 可提取i*的密鑰μ*，且成功的概率為。證畢。

引理2如果敵手A 在證書(shū)的不可偽造性實(shí)驗(yàn)中以不可忽略的概率ε(λ)偽造了一個(gè)未注冊(cè)用戶(hù)的購(gòu)買(mǎi)請(qǐng)求，那么存在挑戰(zhàn)者C 以相同的概率偽造ASRT 簽名。

4.2 票據(jù)的不可偽造性

定理2如果SDL 問(wèn)題在 G1上是難解的且PS簽名是不可偽造的，那么所提方案滿(mǎn)足票據(jù)的不可偽造性。

證明如果敵手贏得了票據(jù)的不可偽造性實(shí)驗(yàn) EXPunf-tkt(A,λ,n)，敵手或者偽造了一個(gè)未注冊(cè)用戶(hù)或者偽造了一個(gè)已注冊(cè)誠(chéng)實(shí)用戶(hù)的票據(jù)消費(fèi)請(qǐng)求。

引理3如果敵手A 在票據(jù)的不可偽造性實(shí)驗(yàn)中以不可忽略的概率ε(λ)偽造了一個(gè)誠(chéng)實(shí)用戶(hù)的購(gòu)買(mǎi)請(qǐng)求，那么存在挑戰(zhàn)者C 以的概率求解SDL 問(wèn)題，其中q為誠(chéng)實(shí)用戶(hù)數(shù)量。

證明假設(shè)是一個(gè)SDL 挑戰(zhàn)，C使用(g,G1)作為參數(shù)，執(zhí)行(pp,P,msk,mpk)←Setup(1λ,n)產(chǎn)生剩余?參數(shù)，并將(pp,P,mpk)發(fā)送A。C 猜測(cè)一個(gè)誠(chéng)實(shí)用戶(hù)i*∈HU，使得實(shí)驗(yàn)結(jié)束時(shí)，A 偽造了i*的一個(gè)票據(jù)購(gòu)買(mǎi)請(qǐng)求。

C 可向A 模擬如下預(yù)言機(jī)。

1) OUReg,OCU,OObtIss,OUReg.CA,OSReg,OIssue：C 的模擬與引理1 一致。

2) OShow(i,j,k)：如果i≠i*，C 的模擬與真實(shí)的執(zhí)行一致；否則，C 計(jì)算，并通過(guò)模擬知識(shí)簽名π4完成票據(jù)消費(fèi)。

如果A在票據(jù)消費(fèi)算法中偽造了誠(chéng)實(shí)用戶(hù)i*的票據(jù)消費(fèi)請(qǐng)求（概率為），因?yàn)橹R(shí)簽名π4是模擬提取安全的，那么C 可提取i*的密鑰μ*，且成功的概率為。證畢。

引理4如果敵手A 在票據(jù)的不可偽造性實(shí)驗(yàn)中以不可忽略的概率ε(λ)偽造了一個(gè)未注冊(cè)用戶(hù)的消費(fèi)請(qǐng)求，那么存在挑戰(zhàn)者C 以的概率偽造PS 簽名，其中q為誠(chéng)實(shí)賣(mài)方的數(shù)量。

證明C 執(zhí)行PS 簽名的不可偽造性實(shí)驗(yàn)，獲得公共參數(shù)pp 和簽名公鑰F2,F3)，且C 可以不限次數(shù)的詢(xún)問(wèn)PS 簽名預(yù)言機(jī)使用pp 作為參數(shù)，執(zhí)行(pp,P,msk,mpk) ←Setup(1λ,n)產(chǎn)生剩余參數(shù)，并將(pp,P,mpk)發(fā)送A。

C 猜測(cè)A 將偽造賣(mài)方j(luò)*簽發(fā)的票據(jù)，并向A模擬如下預(yù)言機(jī)。

1) OSReg(j)：如果j≠j*，C 的模擬與真實(shí)的執(zhí)行一致；否則，C 設(shè)置 spkj*=spkps，并通過(guò)模擬知識(shí)簽名π1完成賣(mài)方注冊(cè)。

2) OIssue(i,j,I)：如果j≠j*，C 的模擬與真實(shí)的執(zhí)行一致；否則，C 將(T,VP)發(fā)送，然后將輸出的簽名(α,β)和VP 都返回A。

3) OObtIss(i,j,I)：如果j≠j*，C 的模擬與真實(shí)的執(zhí)行一致；否則，C 隨機(jī)選擇，將(μi,sn,VP)發(fā)送，然后將輸出的簽名 (T1,T2)作為票據(jù)保存在全局變量。

4) OUReg,OUReg.CA,OCU,OShow：因?yàn)镃 擁有用戶(hù)、CA 的私鑰和S 的公鑰，因此可以完美地模擬這些預(yù)言機(jī)。

4.3 證書(shū)的不可鏈接性

定理3如果DsqDH 問(wèn)題在 G1上是難解的，那么所提方案滿(mǎn)足證書(shū)的不可鏈接性。

證明如果敵手以不可忽略的概率ε(λ)贏得證書(shū)的不可鏈接性實(shí)驗(yàn)，那么存在挑戰(zhàn)者C 以的概率求解 G1上的DsqDH 問(wèn)題，其中q為誠(chéng)實(shí)用戶(hù)數(shù)量。

在實(shí)驗(yàn)的第一階段，C 向A 模擬如下預(yù)言機(jī)。

2) OObtIss,OObtain：C 的模擬與引理 1 中的OObtIss(i,j,I)一致。

3) OSReg,OSReg.CA,OCS：因?yàn)镃 擁有CA 和S 的密鑰，所以可以完美地模擬這些預(yù)言機(jī)。

在實(shí)驗(yàn)的某個(gè)階段，A 輸出2 個(gè)誠(chéng)實(shí)用戶(hù)身份i0,i1和一個(gè)賣(mài)方身份j。如果ib≠i*（概率為那么C 中止實(shí)驗(yàn)，否則繼續(xù)模擬如下預(yù)言機(jī)。

如果η=μ2，C 的模擬是完美的；否則，(upk',σ＇,T)都是隨機(jī)元素，此時(shí)A 無(wú)法以不可忽略的概率贏得實(shí)驗(yàn)。除非實(shí)驗(yàn)中止，A 的任何輸出都可以被C 用于解決DsqDH 問(wèn)題，因此C 成功的概率為。證畢。

4.4 票據(jù)的不可鏈接性

定理4如果DsqDH 問(wèn)題在 G1上是難解的，那么所提方案滿(mǎn)足票據(jù)的不可鏈接性。

證明如果敵手以不可忽略的概率ε(λ)贏得票據(jù)的不可鏈接性實(shí)驗(yàn)，那么存在挑戰(zhàn)者C 以的概率求解 G1上的DsqDH 問(wèn)題，其中q為誠(chéng)實(shí)用戶(hù)數(shù)量。

實(shí)驗(yàn)設(shè)置與第一階段預(yù)言機(jī)的模擬與定理3 相同，除了下面的預(yù)言機(jī)。

1) OShow(i,j,k)：如果i≠i*，C 的模擬與真實(shí)的執(zhí)行一致；否則，C 計(jì)算，并通過(guò)模擬知識(shí)簽名π4完成票據(jù)消費(fèi)。

在實(shí)驗(yàn)的某個(gè)階段，A 輸出2 個(gè)誠(chéng)實(shí)用戶(hù)身份i0,i1和一個(gè)賣(mài)方身份j。如果ib≠i*（概率為），那么C 中止實(shí)驗(yàn)，否則繼續(xù)模擬如下預(yù)言機(jī)。

5 效率分析

5.1 理論分析

表2 將所提方案與最新的電子票據(jù)方案在功能上進(jìn)行了比較，其中√表示支持此項(xiàng)，×表示不支持此項(xiàng)。核心輔助設(shè)置指是否支持將用戶(hù)的計(jì)算安全地分割為智能卡和移動(dòng)終端實(shí)現(xiàn)；屬性票據(jù)指是否支持屬性泄露策略；不可轉(zhuǎn)讓指是否支持不可轉(zhuǎn)讓性；安全證明指是否有形式化的安全性證明；雙花檢測(cè)指是否能夠檢測(cè)雙重消費(fèi)；不可鏈接性和不可偽造性指是否支持此類(lèi)安全需求。由表2 可知，文獻(xiàn)[4,7-10]方案不支持核心輔助設(shè)置、屬性票據(jù)和票據(jù)的不可轉(zhuǎn)讓性；文獻(xiàn)[12-13]方案不支持核心輔助設(shè)置和屬性票據(jù)；文獻(xiàn)[3,15]方案不支持核心輔助設(shè)置和屬性票據(jù)，也沒(méi)有安全性證明；文獻(xiàn)[6,17]方案和所提方案都支持屬性票據(jù)、雙花檢測(cè)、不可鏈接性和不可偽造性，且都有形式化的安全證明，但是文獻(xiàn)[6,17]方案都不支持核心輔助設(shè)置，且文獻(xiàn)[17]方案不支持不可轉(zhuǎn)讓性。表3將所提方案與最新的2個(gè)屬性票據(jù)方案[6,17]在效率上進(jìn)行了比較，其中P1,P2,PT,Pe分別表示G1,G2,GT上的冪運(yùn)算和雙線(xiàn)性映射運(yùn)算。相比文獻(xiàn)[6,17]中的方案，所提方案顯著降低了用戶(hù)的運(yùn)算量。在所提方案中，票據(jù)購(gòu)買(mǎi)算法需用戶(hù)執(zhí)行13 個(gè) G1上的運(yùn)算、3 個(gè)G2上的運(yùn)算和2 個(gè)雙線(xiàn)性映射運(yùn)算；票據(jù)消費(fèi)算法需用戶(hù)執(zhí)行6 個(gè) G1上的運(yùn)算和2 個(gè)G2上的運(yùn)算。所提方案中用戶(hù)注冊(cè)的計(jì)算量明顯高于文獻(xiàn)[17]方案，但是新用戶(hù)僅需執(zhí)行一次注冊(cè)用戶(hù)算法。

表2 功能比較

表3 效率比較

5.2 實(shí)驗(yàn)分析

為了準(zhǔn)確地比較和評(píng)估所提方案的效率，使用MIRACL、Barreto-Naehrig 曲線(xiàn)（BN-256）[29]和SHA-256 實(shí)現(xiàn)了所提方案。

5.2.1 在個(gè)人計(jì)算機(jī)上的實(shí)現(xiàn)和對(duì)比

使用華為MateBook 作為實(shí)驗(yàn)平臺(tái)，CPU 為AMD Ryzen-54 600 H，時(shí)鐘頻率為3.0 GHz；操作系統(tǒng)為64 位Ubuntu Kylin 16.04，運(yùn)行內(nèi)存為16 GB，實(shí)現(xiàn)語(yǔ)言為 C/C++，編譯器為 GCC/G++。在AES-100 比特安全級(jí)別和相同實(shí)驗(yàn)環(huán)境下，將所提方案與最新的屬性票據(jù)方案[6,17]進(jìn)行了性能比較。不同之處是文獻(xiàn)[6]方案只能使用TYPE-1 型雙線(xiàn)性對(duì)實(shí)現(xiàn)，而所提方案和文獻(xiàn)[17]方案使用了計(jì)算效率更高的TYPE-3 型雙線(xiàn)性對(duì)實(shí)現(xiàn)。

表4 將所提方案與文獻(xiàn)[6,17]方案在算法運(yùn)行時(shí)間上進(jìn)行了對(duì)比，其中測(cè)試時(shí)設(shè)置n=20，m=5。所提方案各個(gè)算法的運(yùn)行時(shí)間顯著小于文獻(xiàn)[6]方案。與文獻(xiàn)[17]方案相比，所提方案的票據(jù)購(gòu)買(mǎi)、票據(jù)發(fā)布、票據(jù)消費(fèi)和票據(jù)驗(yàn)證算法的運(yùn)行效率分別提高了約200%、100%、700%、300%；所提方案的用戶(hù)注冊(cè)和證書(shū)發(fā)布算法的運(yùn)行時(shí)間高于文獻(xiàn)[17]，但是新用戶(hù)只執(zhí)行一次用戶(hù)注冊(cè)算法。

表4 算法運(yùn)行時(shí)間（單位：ms）對(duì)比

表5 是隨著用戶(hù)屬性數(shù)量的增多，用戶(hù)注冊(cè)算法的運(yùn)行時(shí)間對(duì)比。3 種方案的運(yùn)行時(shí)間都隨著用戶(hù)屬性數(shù)量的增加而增長(zhǎng)。所提方案的運(yùn)行時(shí)間比文獻(xiàn)[6]方案小，比文獻(xiàn)[17]方案大，但是新用戶(hù)只執(zhí)行一次用戶(hù)注冊(cè)算法。

表5 用戶(hù)注冊(cè)算法的運(yùn)行時(shí)間（單位：ms）對(duì)比

表6 是隨著用戶(hù)屬性數(shù)量的增多，票據(jù)購(gòu)買(mǎi)算法的運(yùn)行時(shí)間對(duì)比。在文獻(xiàn)[6,17]方案中，運(yùn)行時(shí)間都隨著用戶(hù)屬性數(shù)量的增加而增長(zhǎng)。所提方案實(shí)現(xiàn)了常數(shù)復(fù)雜度的票據(jù)購(gòu)買(mǎi)算法，與文獻(xiàn)[17]方案相比，所提方案的票據(jù)購(gòu)買(mǎi)算法的運(yùn)行效率在用戶(hù)屬性數(shù)量為10、20、30、40、50 時(shí)分別提高了約180%、200%、230%、250%、280%。

表6 票據(jù)購(gòu)買(mǎi)算法的運(yùn)行時(shí)間（單位：ms）對(duì)比

表7 是隨著用戶(hù)屬性數(shù)量的增多，票據(jù)消費(fèi)算法的運(yùn)行時(shí)間對(duì)比。3 個(gè)方案都實(shí)現(xiàn)了常數(shù)復(fù)雜度的票據(jù)消費(fèi)算法，所提方案的運(yùn)行時(shí)間顯著小于文獻(xiàn)[6]方案。與文獻(xiàn)[17]方案相比，所提方案的票據(jù)購(gòu)買(mǎi)算法的運(yùn)行效率提高了約700%。

表7 票據(jù)消費(fèi)算法的運(yùn)行時(shí)間（單位：ms）對(duì)比

5.2.2 在智能卡和移動(dòng)手機(jī)上的實(shí)現(xiàn)

為了評(píng)估所提方案在帶智能卡的移動(dòng)終端上的運(yùn)行效率，本節(jié)使用智能手機(jī)作為用戶(hù)的移動(dòng)終端，使用個(gè)人計(jì)算機(jī)作為CA、賣(mài)方和驗(yàn)證方的實(shí)現(xiàn)平臺(tái)，并在國(guó)產(chǎn)智能卡上測(cè)試了所提方案。其中，智能卡為愛(ài)信諾ACH512 智能卡芯片，運(yùn)行內(nèi)存為128 KB，設(shè)置時(shí)鐘頻率為40 MHz；智能手機(jī)為華為榮耀9i，CPU 為Hisilicon kirin 659 (ARMv8-A)，運(yùn)行內(nèi)存為4 GB，主頻為2.36 GHz，操作系統(tǒng)為Andriod 9.0；個(gè)人計(jì)算機(jī)為華為Matebook。其中，測(cè)試時(shí)設(shè)置n=20，m=5。

如圖6 所示，在所提方案中執(zhí)行用戶(hù)注冊(cè)算法需在智能卡上消耗116.7 ms，在移動(dòng)終端上消耗8 250 ms，在個(gè)人計(jì)算機(jī)（執(zhí)行CA 的運(yùn)算）上消耗40.1 ms。

圖6 用戶(hù)注冊(cè)算法執(zhí)行時(shí)間

如圖7 所示，在所提方案中執(zhí)行票據(jù)購(gòu)買(mǎi)和發(fā)布算法需在智能卡上消耗368.5 ms，在移動(dòng)終端上消耗195 ms，在個(gè)人計(jì)算機(jī)（執(zhí)行S 的運(yùn)算）上消耗51 ms。

圖7 票據(jù)購(gòu)買(mǎi)和發(fā)布算法執(zhí)行時(shí)間

如圖8 所示，在所提方案中執(zhí)行票據(jù)消費(fèi)和驗(yàn)證算法需在智能卡上消耗196.6 ms，在個(gè)人計(jì)算機(jī)（執(zhí)行V 的運(yùn)算）上消耗38.4 ms，不需要移動(dòng)終端參與任何運(yùn)算。

圖8 票據(jù)消費(fèi)和驗(yàn)證算法執(zhí)行時(shí)間

6 結(jié)束語(yǔ)

本文提出了一個(gè)適合在帶智能卡的移動(dòng)終端上部署的隱私保護(hù)的屬性票據(jù)方案。所提方案滿(mǎn)足不可鏈接性和不可偽造性的安全需求，并解決了現(xiàn)有電子票據(jù)系統(tǒng)難以在資源受限設(shè)備中部署，以及無(wú)法防止票據(jù)在未授權(quán)設(shè)備之間共享的問(wèn)題。本文在個(gè)人計(jì)算機(jī)、智能卡和智能手機(jī)上測(cè)試了所提方案，測(cè)試結(jié)果證明了所提方案的高效性。