（管理科学与工程专业论文）匿名控制的kSpendable电子现金方案研究.pdf

本人郑重声明： 独立进行研究工作 本论文不包含任何其他个人或集体已经发表或撰写过的作品成 果。对本文的研究作出重要贡献的个人和集体，均已在文中以明 确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：蕉、中j o 日期：砷年歹月乡日 学位论文使用授权声明 本人完全了解中山大学有关保留、使用学位论文的规定，即：学 校有权保留学位论文并向国家主管部门或其指定机构送交论文的电 子版和纸质版，有权将学位论文用于非赢利目的的少量复制并允许论 文进入学校图书馆、院系资料室被查阅，有权将学位论文的内容编入 有关数据库进行检索，可以采用复印、缩印或其他方法保存学位论文。 学位论文作者签名：蒜呻九 日期：砂7 年f 月fe l 导师签名：豆南 日期：z 纩可年月f 日 匿名控制的k - s p e n d a b l e 电子现金方案研究 专业：管理科学与工程 硕士生：黄帆 指导教师：王茜副教授 摘要 随着全球经济一体化进程的加快，电子化支付方式在世界范围内逐渐得到普 及与应用。电子现金( e c a s h ) 作为纸币的电子等价物，由于其保留了传统现金的 基本属性，并可很好地保护消费者的隐私，符合日常支付习惯，具有低成本、高 效率、离线支付等诸多优点，成为电子支付中不可替代的重要支付手段。但目前 电子现金还多局限于理论研究与实验阶段，与其大规模应用普及还有一定的距离。 鉴于电子现金在经济活动中的重大意义和潜在的巨大商业前景，电子现金的理论 应用研究一直吸引着世界各国政府、学术界和经济界的极大关注，成为全球范围 内具有前瞻性的研究课题； 近年来，各国学者在电子现金研究中取得了丰硕的成果，为电子现金的广泛 应用奠定了坚实的基础。其中，k s p e n d a b l e 电子现金方案由于其独有的数据压 缩性( c o m p a c t n e s s ) 和高效性等特点，成为该领域的研究热点。 本文针对k - s p e n d a b l e 电子现金方案在匿名性控制、银行数据库控制等方面 存在的问题，采用零知识证明、s c h n o r r 身份识别算法、委托方案、可验证随机 函数、盲签名算法、双线性映射以及时间戳等技术，围绕具有有限流通期的可撤 销匿名性的k - s p e n d a b l e 电子现金方案展开深入的研究，为电子现金方案走向实 用进行了有益的探索。具体研究工作如下： 1 、对国内外电子现金方案进行了文献梳理。重点针对k - s p e n d a b l e 电子现金 方案，从算法的复杂度、方案的可分性、匿名性、可转移性等方面作了系统的总 结。 2 、针对k - s p e n d a b l e 方案缺乏匿名性控制机制的问题，提出了一个基于离线 可信第三方的匿名控制k - s p e n d a b l e 电子现金方案，从而有效地防止了诸如沈钱、 贪污、敲诈勒索等犯罪问题。该方案采用零知识证明技术、d f 委托方案以及c l 签名算法，利用町信第三方的公钥构造现金标记，并将其嵌入k - s p e n d a b l e 电子 现金中；同时，方案采用可验证随机函数和零知识证明技术，构造嵌入支付信息 的现金追踪标记和消费者追踪标记，实现了消费者的条件匿名性，即在必要的情 况下，可由银行和可信第三方联合撤销消费者的匿名性，并且银行或者可信第三 方单方嘶都不可以对合法消费者进行现金追踪或者消费者追踪，保证了消费者匿 名性与匿名控制的平衡。 3 、利用消费者对银行追踪过程进行事前审计的方法，提出了一种基于消费 者审计追踪的匿名控制k - s p e n d a b l e 电子现金方案。方案采用零知识证明技术、 p e d e r s e n 委托方案、哈希函数以及观+ 签名算法等方法，构造现金标记和取款时 间戳，并将其嵌入k - s p e n d a b l e 电子现金中，使取款时间戳保持非盲状态。在必 要的情况下，银行提供司法证据，要求消费者揭示其现金秘密数，从而实现现金 追踪或消费者追踪，并且消费者对于银行的追踪活动是可察觉的。 4 、利用双线性映射、高效的c + 签名算法改进了电子现金交易协议的执行 效率，利用“一次知识证明”代替支付过程的“或证明”，使得基于消费者审计 追踪的匿名控制k - s p e n d a b l e 电子现金方案的复杂度及现金的存储量由对数阶 o ( 1 0 9 k + d 减少为常数阶d a ) 。 5 、针对k - s p e n d a b l e 方案中银行数据库无限制增大的问题，利用委托方案和 哈希函数，将取款日期嵌入到电子现金中，实现了电子现金的有限流通期，从而 减小银行需要维护的数据库，提高搜索效率，增加数据库的可维护性和可靠性提 高了系统的性能。 优 对 关键词：电予现金，匿名控制，k - s p e n d a b l e ，有限流通期，双线性映射 i i ! s t u d yo nk - s p e n a n o m a j o r ：m a n a g e m e n ts c i e n c ea n de n g i n e e r i n g n a m e ：h u a n g f a n s u p e r v i s o r ：a s s o c i a t ep r o f e s s o rw a n gq i a n a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to ft h eg l o b a l i z a t i o no fe c o n o m y , e l e c t r o n i cp a y m e n t g o i n g si n t og r e a tp r a c t i c ei nt h ew h o l ew o r t h a st h ee q u a l i z a t i o no fr e a lc a s h , e l e c t r o n i cc a s h ( e - c a s h ) h o l d i n gb a c kt h en o r m a lp r o p e r t i e so fr e a lc a s h , h a st h e a d v a n t a g eo fp r o t e c t i n gc u s t o m e r s p r i v a c ya n di so fl o wc o s t ，h i g he f f i c i e n c ya n d o f f - l i n es u c ht h a ti ti sm o r es u i t a b l ef o rt h en e e do fe c o m m e r c e t h er e s e a r c ho f e c a s hi sl i m i t e dt ob et h e o r e t i c a la n de x p e r i m e n t a lr i g h ta tt h em o m e n t h o w e v e r , c o n s i d e r i n gt o i t s i m p o r t a n c e f o r g l o b a le c o n o m ya n dt h ep o t e n t i a lb u s i n e s s p e r s p e c t i v e ，e c a s hh a sb e e nr e c e i v i n gm u c hr e s e a r c h v e r yr e c e n t l y , t h er e s e a r c ho fe c a s hh a sc o m eo u tm u c hv a l u a b l er e s u l t s d u et o t h eh i g he f f i c i e n c ya n dc o m p a c t n e s s ，t h ec o m p a c tk - s p e n d a b l ee l e c t r o n i cc a s hs c h e m e h a sb e e ne x t e n s i v e l ys t u d i e dd u r i n gt h el a s t3y e a r s t os o l v et h ep r o b l e mt h a tt h en o v e lc o m p a c tk - s p e n d a b l ee c a s hl a c k so ft h e p r o p e r t yo fa n o n y m i t yc o n t r o la n dt h eb a n k s d a t a b a s e c o n t r o l , b yu s i n gt h e t e c h n o l o g i e so fz e r o - k n o w l e d g ep r o o f , s c h n o r ri d e n t i f i c a t i o ns c h e m e ，c o m m i t m e n t s c h e m e ，v e r i f i a b l er a n d o mf u n c t i o n , b l i n ds i g n a t u r es c h e m e ，b i l i n e a rm a pa n d t i m et a m p , t h i sp a p e rm a k e sr e s e a r c ho nt h ec o m p a c tk - s p e n d a b l ee l e c t r o n i cc a s h ， i v w h i c hi sag o o dp r o b ef o rt h ep r a c t i c eo fe c a s h 1 1 1 er e s u l t so ft h i sp a p e ra r ea s 南l l o w s ： l 、t l l i sp a p e rg i v e sa l lo v e r v i e wo ft h em a i ne f f o r t si nt h ee - c a s hd e s i g n ；i t m a k e sr e s e a r c ho nt h en o v e lc o m p a c tk - s p e n d a b l ee l e c t r o n i cc a s h , i n c l u d i n g c o m p l e x i t yo fa l g o r i t h ma n dt h ep r o p e r t i e so fd i v i s i b i l i t y , t r a n s f e r a b i l i t y , a n o n y m i t y a n ds oo n 2 、t os o l v et h ep r o b l e mt h a tt h en o v e lc o m p a c tk - s p e n d a b l ee c a s hl a c k so ft h e p r o p e r t yo fa n o n y m i t yc o n t r o la n dt h eb a n k sd a t a b a s ec o n t r o l , t h i sp a p e rp r o p o s e sa n c o m p a c tk - s p e n d a b l ee - c a s hs c h e m ew i t ha n o n y m i t y c o n t r o la n d 、，a l i dp e r i o db a s e d o nt h et r u s t e dt h i r dp a r t y ( w h i c hi sc a l l e dc e a c - ts c h e m e ) s ot h a ti tc a np r e v e n tf r o m p e r f e c tc r i m e ss u c h 鹬m o n e yl a u n d e r i n g ，e m b e z z l e m e n t ，f o r g e r ya n de x t o r t i o n b y u t i l i z i n gt h et e c h n o l o g i e so fz e r o - k n o w l e d g ep r o o d fc o m m i t m e n ts c h e m ea n dc l s i g n a t u r es c h e m e ，t h ec e a c - ts c h e m ec o n s t r u c t se - c a s ht a gb a s e do nt h ep u b l i ck e y o ft t pa n de m b e d st h et a gi n t ot h ee l e c t r o n i cw a h e t i tt h e nu s e st h ev e r i f i a b l e r a n d o mf u n c t i o na n dz e r o k n o w l e d g ep r o o ft oc o n s t r u c tc o i n st r a c i n gt a ga n d c u s t o m e rt r a c i n gt a ga n de m b e d st h et a g si n t ot h ep a y m e n ti n f o r m a t i o n b yt h i sw a y , t h ec e a c - ts c h e m er e a l i z e st h ep r o p e r t yo fa n o n y m i t yc o n t r 0 1 t h eb a n k ，t o g e t h e r w i t ht h e ，i - i p ，c o u l dr e v o k ec u s t o m e r s a n o n y m i t yw h e nn e c e s s a r y , w h i l en e i t h e ro f t h e mc a nu n i l a t e r a l l ya c t sc o i n st r a c i n go rc u s t o m e r st r a c i n g 3 、t a k i n ga d v a n t a g eo f t h em e t h o dt h a tc u s t o m e r sa u d i ti na d v a n c et h eb a n k s t r a c i n ga c t i v i t i e s ，t h i sp a p e rp r o p o s e sac o m p a c tk - s p e n d a b l ee c a s hw i t ha n o n y m i t y c o n t r o la n dv a l i dp e r i o db a s e do na u d i t i n gt r a c e ( w h i c hi sc a l l e dc e a c - as c h e m e ) o no n eh a n d ，b yu t i l i z i n gt h et e c h n o l o g i e so fz e r o k n o w l e d g ep r o o f ；p e d e r s e n c o m m i t m e n ts c h e m e ，h a s hf u n c t i o na n dc + s i g n a t u r es c h e m e ，t h ec e a c - as c h e m e c o n s t r u c t se c a s ht a ga n dt i m et a m p ( w h i c hi sk e p tn o n - b l i n d ) b a s e do nt h ep u b l i c i n f o r m a t i o no ft h es y s t e ma n de m b e d st h e mi n t ot h ee l e c t r o n i cw a l l e t i fn e c e s s a r y , t h eb a n kp r o v i d e sj u d i c a t u r ee v i d e n c ea n da s k sc u s t o m e r st od i s c l o s et h e i rs e c r e t v a l u e ss ot h a tt h eb a n k ，t o g e t h e rw i t ht h ec u s t o m e r , c a nr e v o k ec u s t o m e r s a n o n y m i t y v a n dt h et r a c i n ga c t i v i t i e sa r et h u sk n o w nt oc u s t o m e r s 4 、t h i sp a p e ru s e st h eb i l i n e a rm a pa n de f f i c i e n tc l + s i g n a t u r es c h e m et o i m p r o v et h ee f f i c i e n c yo ft h ec e a c - as c h e m e r e p l a c i n gt h e o rp r o o f i nt h e s p e n d i n gp r o t o c o lb y “o n c ek n o w l e d g ep r o o f ，t h ec o m p l e x i t y o ft h ec e a c - a s c h e m ei sr e d u c e dt ob eo fc o n s t a n to r d e rf r o ml o g a r i t h mo r d e r 5 、t os o l v et h ep r o b l e mt h a tt h eb a n k sd a t a b a s ei si n c r e a s i n gl a r g e l y , t h i sp a p e r i n t r o d u c et h ei d e ao fv a l i dp e r i o do fe - c a s h b yu s i n gc o m m i t m e n ts c h e m ea n dh a s h f u n c t i o n , t h ew i t h d r a w a ld a t ei se m b e d d e di n t ot h ee l e c t r o n i cc a s ha n du s e r ss h o u l d v a l i d a t et h ev a l i dp e r i o dw h e ns p e n d i n go rd e p o s i t i n g t h e r e f o r e ，t h es i z eo ft h e b a n k sd a t a b a s ei sr e d u c e da n dt h e s e a r c h i n ge f f i c i e n c y i s i m p r o v e d t h e m a i n t a i n a b i l i t ya n dr e l i a b i l i t yo f t h ed a t a b a s ei se n h a n c e da sw e l l 6 、a n a l y s i so ft h et w op r o p o s e ds c h e m e s ，i n c l u d i n gt h ec o m p l e x i t y , p r o p e r t i e s ， a d v a n t a g e sa n dd i s a d v a n t a g e s ，a r ep e r f o r m e da n dt h es e c u r i t y i s p r o v e do nt h e r a n d o mo r a c l em o d e l c o n c l u s i o n sa n df u r t h e rs t e p sa r el i s t e da tt h ee n d k e y w o r d s ：e l e c t r o n i cc a s h ，a n o n y m i t yc o n t r o l ，k - s p e n d a b l e ，v a l i dp e r i o d ，b i l i n e a r m a p v i 摘要 a b s t r a 目录 第一章 1 1 研 1 2 研 1 3 研 第二章文献综述。6 2 1 匿名不可分的电子现金方案6 2 2 匿名控制的电子现金方案7 2 3 可分电子现金方案1 1 2 4 数据压缩k - s p e n d a b l e 电子现金方案1 3 第三章基于离线可信第三方的匿名控制k - s p e n d a b l e 电子现金方案2 1 3 1 方案基本思想2 l 3 2 基本符号2 2 3 3 预备知识2 4 3 4c e a c - t 电子现金方案设计。3 0 第四章基于消费者审计追踪的匿名控制k - s p e n d a b l e 电子现金方案4 0 4 1 方案基本思想4 0 4 2 基本符号4 l 4 3 预备知识4 2 4 4c e a c - a 电子现金方案设计4 8 v 第五章匿名控制k - s p e n d a b l e 电子现金方案分析6 0 5 1 算法复杂度一6 0 5 2 性能分析一6 2 5 3 方案的优缺点6 3 5 4 安全性分析6 4 第六章结论与展望 6 1 论文完成的主要工作8 l 6 2 下一步的研究方向一8 3 参考文献 附录9 2 附录l 攻读硕士学位期间参加的科研工作和研究成果9 2 附录2 攻读硕士学位期间所获奖励9 2 后 记9 3 v 1 1 1 图1 1 论文研究框架 图2 1 电予现金的二叉树表示一1 1 图3 一l 基于离线可信第三方的匿名控制的k - s p e n d a b l e 电子现金模型2 1 图4 - l 基于审计追踪的匿名控制k - s p e n d a b l e 电子现金模型4 0 表2 。l 表5 1 表5 2 表5 3 表目录 c e 方案与c e c t 方案的效率及现金的存储量1 5 c e 、c e c t 、c e a 钾、c e a c - a 方案的算法复杂度比较6 1 c e 、c e c t 、c 醐c 丁、c e a c - a 方案性能比较6 3 c e 、c e c t 、c e a c - t 、c e a c - a 方案优缺点比较6 4 i x 1 1 研究背景 随着信息技术的飞速发展，电子商务得到了广发的普及应用。相对于传统商 务模式，电子商务具有便捷、高效的优点。作为信息化社会独特的商务模式，电 子商务的最终目标是实现贸易活动各环节的电子化，达到网上物流、资金流和信 息流的统一。 电子支付是实现电子商务资金流的关键环节。电子现金( e c a s h ) 作为纸币的 电子等价物，由于其保留了传统现金的基本属性，并可很好地保护消费者的隐私， 符合人们的日常支付习惯，具有低成本、高效率、离线支付等诸多优点，成为电 子支付中不可替代的重要支付手段。各国政府、研究机构、公司和银行都意识到 电子现金的重大经济意义和广阔应用前景，积极开展电子现金的研究和试验。 世界上最早的电子钱包应用系统是由英国的米德兰( m i d l a n d ) 银行和威斯 敏斯特( w e s t m i n s t e r ) 银行联合开发的m o d e x 电子现金支付系统。该系统在英 国斯温顿市、美国纽约、澳大利亚、香港等世界许多发达国家和地区进行了试用 和推广。 d i g i c a s h 公司是一个致力于电子现金研究和试验的，公司开发出著名的无条 件匿名电子现金系统，该系统允许消费者使用电子现金进行在线交易；随后，公 司开发出的c y b e r b u c k s 电子现金系统在m a r kt w a i n 、e u n e t 等世界著名银行发 布使用。 e c a s h 系统是由d i g i c a s h 公司开发的又一个在线交易电子现金系统，该系统 在m a r kt w a i n 银行进行了试验，参加系统试验的消费者约1 万人，零售商家约 2 0 0 0 家。 在日本，f e l i c a 是最著名的电子现金平台，包括s u i c a 电子现金系统和e d y 电子现金系统。此后，s o n y 联合d o c o m o 公司将f e l i c a 平台推广到移动手机上。 另一方面，为了打破s o n y - d o c o m o 电子现金系统的垄断地位，日本两大零售商 i yg r o u p 和i o ng r o u p ，分别推出n a n a c o 和w a o n 电子现金系统。 此外，v i s a 信用卡集团人v i s a c a s h 、惠普的h p v w a l l e t 、微软的m i c r o s o r w a l l e t 、i b m 的i b mw a l l e t 等系统都是各大公司积极开展电子现金服务的 典型代表。 在国内，1 9 9 3 年，“金卡工程”开始在全国范围内开展。2 0 0 2 年，欧洲最大 的智能卡供应商b u l l 为深圳城市合作银行设计了一款基于电子钱包的支付系统。 与国外相比，国内的研究和试验开展得相对较晚。但目前我国政府及各大商业银 行都在积极推动e c a s h 业务。 虽然目前电子现金还多局限于理论研究与实验阶段，与其大规模应用普及还 有一定的距离。但是，鉴于电子现金在经济活动中的重大意义和潜在的巨大商业 前景，电子现金的理论应用研究一直吸引着世界各国政府、学术界和经济界的极 大关注，成为全球范围内具有前瞻性的研究课题。 1 2 研究内容及意义 现有的k - s p e n d a b l e 电子现金方案的强匿名性使得不法分子可能进行犯罪活 动而不被抓获，比如洗钱、绑架勒索、贪污、敲诈等等；同时，所有的k - s p e n d a b l e 电子现金方案都没有实现电子现金的有限流通期( 即有效期) ，银行需要创建和 维护一个数据库，用于储存消费者已花费的全部电子货币，在每次存款时搜索该 数据库以检查重复花费行为，随着时间的推移，该数据库将会不断膨胀，从而降 低了银行的查询和管理效率。 本文针对k - s p e n d a b l e 电子现金方案在匿名性控制、银行数据库控制等方面 存在的问题，采用零知识证明、s c h n o r r 身份识别算法、委托方案、可验证随机 函数、盲签名算法、双线性映射以及时间戳等技术，围绕可撤销匿名性的 2 贪污、伪造、敲诈勒索等犯罪问题。该方案采用零知识证明技术、d f 委托方案 以及c l 签名算法，利用可信第三方的公钥构造现金标记，并将其嵌入k - s p e n d a b l e 电子现金中；同时，方案采用可验证随机函数和零知识证明技术，构造现金追踪 标记和消费者追踪标记，并将其嵌入支付信息中，实现了消费者的条件匿名性， 即在必要的情况下，可由银行和可信第三方联合撤销消费者的匿名性，并且银行 或者可信第三方任何一方均不可以对合法消费者进行现金追踪或者消费者追踪， 有效保证了消费者匿名性与匿名控制的平衡。 3 、利用消费者对银行追踪过程进行事前审计的方法，提出了一个基于消费 者审计追踪的匿名控制k s p e n d a b l e 电子现金方案。本方案采用零知识证明技术、 p e d e r s e n 委托方案、哈希函数以及c l + 签名算法等方法，构造现金标记和取款时 间戳，并将其嵌入k - s p e n d a b l e 电子现金；同时，使取款时间戳保持非盲状态。 在必要的情况下，银行提供司法证据，要求消费者揭示其现金秘密数，从而实现 现金追踪或消费者追踪以及消费者对银行追踪活动是可察觉性。 4 、利用双线性映射、高效的以+ 签名算法改进了电子现金交易协议的执行 效率，利用“一次知识证明”代替支付过程的“或证明”，使得基于消费者审计 追踪的匿名控制k - s p e n d a b l e 电子现金方案的复杂度及现金的存储量由对数阶 o ( 1 0 9 k + a ) 减少为常数阶0 a ) 。 5 、针对k - s p e n d a b l e 方案中银行数据库无限制增大的问题，引入电子现金有 效期的概念，利用委托方案和哈希技术，将取款日期嵌入到电子现金中，实现了 电子现金的有限流通期，从而减小银行需要维护的数据库，提高搜索效率，增加 数据库的可维护性和可靠性，提高了系统的性能。 6 、对匿名控制的k - s p e n d a b l e 电子现金方案在算法的复杂度、方案的性能、 3 优缺点等方面进行分析和比较；同时，在随机预言机( r a n d o mo r a c l e ) 模型下， 对电子现金方案的安全性进行了严格的证明。 总之，本文围绕电予现金最新研究成果展开研究，致力于实现电子支付的安 全性、高效性，对于提高电子现金的实用性、推动电子支付乃至电子商务的发展 有着积极的意义。 1 3 研究框架及章节安排 本文研究框架如图1 1 所示。 医囊瑟豳逐壅缀溺 图1 1 论文研究框架 4 论文的章节安排如下： 第一章，分析了电子现金研究背景，指出了本文的研究意义、研究内容、研 究框架以及章节安排。 第二章，对电子现金研究现状进行文献梳理。重点针对k - s p e n d a b l e 电子现 金方案，从方案的复杂度、可分性、匿名性、可转移性等方面作了系统的总结。 第三章，针对k - s p e n d a b l e 方案缺乏匿名控制机制的问题，提出了一个基于 离线可信第三方的匿名控制k - s p e n d a b l e 电子现金方案。本章首先对复杂性假设、 零知识证明、d f 委托方案、c l 签名算法、s c h n o r r 身份识别算法等预备知识进 行总结。基于上述知识，在传统的k - s p e n d a b l e 电子现金方案基础上引入可信第 三方，实现了消费者的条件匿名性；同时，针对k - s p e n d a b l e 方案中银行数据库 无限制增大的问题，引入电子现金有效期的概念，利用d f 委托方案和哈希技术， 将取款日期嵌入到电子现金中，实现了电子现金的有限流通期，从而减小银行需 要维护的数据库，提高搜索效率，增加数据库的可维护性和可靠性提高了系统的 性能。 第四章，利用消费者对银行追踪过程进行事前审计的方法，提出了一个基于 消费者审计追踪的匿名控制k - s p e n d a b l e 电子现金方案。本章首先对p e d e r s e n 委 托方案、双线性映射、c l + 签名算法等预备知识进行了总结。基于上述理论知识， 在传统的k - s p e n d a b l e 电子现金方案基础上引入现金标记及时间戳技术，在必要 的情况下，银行提供司法证据，要求消费者揭示其现会秘密数，从而实现现金追 踪或消费者追踪，并且消费者对于银行的追踪活动是可察觉的。另一方面，该方 案利用双线性映射、高效签名算法改进了电子现金交易协议的执行效率，利用“一 次知识证明”代替支付过程的“或证明”，使得系统复杂度的复杂度及现金的存 储量由对数阶o ( 1 0 9 k + a ) 减少为常数阶d q ) ：同时，方案利用p e d e r s e n 委托方 案和哈希技术，将取款日期嵌入电子现金中，实现了电子现金的有限流通期。 第五章，对匿名控制的k - s p e n d a b l e 电子现金方案在算法的复杂度、方案的 性能、优缺点等方面进行分析和比较；同时，在随机预言机( r a n d o mo r a c l e ) 模型下，对电子现金方案的安全性进行了严格的证明。 第六章，总结论文主要工作成果，指出研究的局限性和后续研究的主要方向。 第二章文献综述 弟一早义陬综硷 电子现金是一种比较理想的电子支付方式，具有匿名性、低成本、高效率、 离线支付等特点。电子现金的广阔应用前景和潜在的商业价值引起了各国学者的 广泛关注和大量研究。1 9 8 2 年，d a v i dc h u a m 基于r s a 盲签名首次提出了电子 现金的概念【l i 。随后，各国学者对电子现金方案展开了大量有意义的研究。以下 根据电子现金方案所解决的主要问题作出文献综述。 2 1 匿名不可分的电子现金方案 1 9 8 8 年，c h a u m 、f i a t 和n a o r 等人基于r s a 盲数字签名和碰撞自由单向函 数等技术，首次提出了离线完全匿名的电子现金方案2 1 。由于取款协议采用切割 选择( c u t - a n d - c h o o s e ) 技术，计算量、通信量和存储量都非常大；另一方面， 方案没有给出电子现金支付协议的严格安全性证明。尽管如此，该方案提出了构 造离线匿名电子现金支付系统的方法，开辟了电子现金研究的先河。 此后，各国学者对电子现金方案的可验证安全性和协议的执行效率展开了广 泛而深入的研究。 在方案的可验证安全性方面，1 9 8 8 年，d a m g a r d 利用两方安全密码协议和零 知识证明的方法，首次提出了可验证安全性的电子现金方案【3 1 ，对电子现金系统 安全性给出了严格的证明。1 9 9 1 年，p f i t z m a n n 与w a i d e r 等人在假定存在“陷门 单向函数”的前提下，对d a m g a r d 的方梨习进行了改进，为电子现金的可验证安 全性的研究和发展奠定了基础【4 1 。1 9 9 3 年，f r a n k l i n 与y u n g 等人将切割选择技 术和文献【4 】的可验证安全性结合起来，提出了一种基于离散对数假设的可验证 安全性的电子现金系统1 5 1 。 在提高电子现金协议执行效率方面，1 9 9 1 年，o k a m o t o 与o h t a 等人在文献 6 【2 】的电子现金方案中引入实现消费者身份隐匿的账户建立协议，并提出了通用 电子现金( u n i v e r s a le l e c t r o n i cc a s h ) 方案【6 l 。在该方案巾，消费者无须在每次提 款时都实施身份的隐匿，系统的效率得到了一定的提高。但由于仍然采用切割选 择技术，效率的提高并不明显。1 9 9 2 年c h a u m 和p e d e r s e n 等人放弃使用效率低 下的切割选择方法，首次利用“单个现金”的技术，构造出基于离散对数和随机 性假设的电予现金方案【7 1 。1 9 9 3 年，f e r g u s o n 提出了单项( s i n g l e t e r m ) 电子现 金方案【8 1 。该方案利用c h a u m 等人的“单个现金”【7 1 技术，避开了复杂的切割 选择方法，电子现金只包含一个项，降低了计算量和通信量。同时，b r a n d s 基于 s c h n o r r 数字签名和素数阶群上的表示问题，提出了一个单项电子现金方案1 9 】， 即b r a n d s 电子现金方案。方案的安全性建立在离散对数和随机预言机( o r a c l e ) 模型的基础上，是公认的效率最高的离线完全匿名的电子现金方案之一。 2 2 匿名控制的电子现金方案 早期的电子现金方案都强调对保护消费者的隐私，任何人都不能把电子现金 与取款人的身份联系起来。正如n a c c a c h a 等人提出，电子现金的这种完全匿名 性( 即无条件匿名性) 为犯罪分子从事洗钱、敲诈、勒索等活动提供了机会【l o l 。 因此各国学者对电子现金的匿名控制( a n o n y m i t yc o n t r 0 1 ) 机制展开了研究。匿 名控制的电子现金方案可实现对电子现金及其所有者的追踪( c o i n st r a c e 与 c u s t o m e rt r a c e ) ，因此满足电子现金的条件匿名性( 即可撤销匿名性) 。 2 2 1 基于可信第三方的匿名控制电子现金方案 1 9 9 5 年，s t a d l e r ，p i v e t e a u 与c a m e n i s c h 等人引入可信第三方( t r u s t e dt h i r d p a r t y ，t t p ) ，实现了对消费者的追踪，首次提出了匿名控制电子现金方案1 1 。 方案的基本思想是：电子现金包含两部分秘密信息，其中一部分秘密信息将会提 交给t t p ，另一部分秘密信息则在支付时提交给商家。银行在t t p 的协助下， 将两部分秘密信息结合起来，即可确定出消费者的身份。但是该方案只是实现了 7 对取款者的追踪，并没有解决如何追踪电子现金的问题。为了进一步完善电子现 金方案的匿名控制机制，1 9 9 6 年，s t a d l e r ，p i v e t e a u 与c a m e n i s e h 等人基于公正 盲数字签名的思想，提出了实现现金追踪的电子现金方梨1 2 j 。 上述电子现金方案实现了匿名控制机制，解决了电子现金及其所有者的追踪， 但方案要求t t p 在消费者提款过程中保持在线，大大降低了协议的执行效率。 针对t t p 在线导致方案效率低下的问题，1 9 9 6 年，f r a n k e l 与t s i o u n i s 等人 利用间接推理证明技术，在b r a n d s 电子现金方案的基础上设计出一个”m 无须 参与每次取款协议的匿名控制电子现金方案1 3 】。具体来讲，系统的计算是建立在 阶为q 的循环群岛上，q 是一个足够大的素数，使得在循环群q 上求解离散对数 问题是计算上不可行的。g l 和9 2 都是q 的生成元。t t p 初始化时生成一个公私 密钥对( 研，h r ) ，其中| t r = 口主r ，然后公开奠亍1 。消费者取款时，利用随机生成 的秘密数s 和t t p 的公开信息，l 亍1 产生追踪标i g a l 瑚( 钟) s 一，a 2 = ( h 7 1 ) s ( 其中 是一个可逆函数) ，并利用“证明两个离散对数相等”的技术，证明a 1 ，a 2 中的 s 是同一个随机数。支付时，消费者向商家提供1 目2 ) 5 ，( h 7 1 ) s 以及银行的签 名，其中( a 1 9 2 ) s 作为电子现金的一部分，在存款时需要提交给银行。在电子现 金追踪协议中，银行把消费者取款时的追踪标记a 2 = ( h 7 1 ) s 传送给t t p ，i - r p 计 算出a 2 x r = ( ( j l 亍1 ) s ) x r = ( ( 夕主厂1 ) s ) 即= 讲，并把a z x r 的值发送给银行，银行 再计算h ( a da 2 x r 得出( j l ( 计) s 9 2 ) s = 1 夕2 ) s ，于是可识别出商家存款时的电 子现金。在现金所有者的追踪协议中，银行把商家的存款记录似1 曰2 ) s 发送给t t p ， t t p 计算出( a 坩2 么( j l 孑1 ) ，) x r = h f a l ) ，从而求解出消费者的身份信息。但是， 该方案电子现金的追踪和现金所有者的追踪都比较复杂，各个参与方都芾要执行 大量的的大整数模幂运算，效率受到了影响。 1 9 9 7 年，d a v i d a ，f r a n k e l 与t s i o u n