（概率论与数理统计专业论文）一组使用可转移离线匿名电子货币的公平网络交易协议.pdf

摘要 自从c h a u m 首次提出盲签名并将其用于设计不可追踪离线电子货币以来，许多电子 货币系统被相继提出电子货币的各种属性，如匿名性、不可重复花费性、可分性等，被 广泛研究但作为传统纸币的一个自然属性，可转移性却长期被忽视现有的使用可转 移电子货币构造的系统仅将注意力集中到安全地支付电子货币，而没有考虑到支付过程 中对交易双方的公平性公平的网络交易意味着网络上远程交易的双方在一方得到货物 的同时另一方也得到了相应的货款，利用离线的可信第三方为交易双方保证交易的公平 性，即使交易一方恶意中止协议也可以由可信第三方为另一方维护相应的利益从而， 解决了网上交易先交钱还是先交货的问题本文第一次使用可转移离线匿名电子货币构 造了一组公平的网络交易协议，并实现找钱功能替代了复杂的可分性设计 关键词电子货币离线 匿名可转移公平网络交易协议可信第三方 a b s t r a c t s i n c ec h a 呲丘r s ti n t r o d u c e db l i n ds i 口a t u r e sa dp r e s e n t e dt h e 丘r s tu n t r a c e a b ke l e c t r o n i c c 嬲hs 出e m e ，l a r g en 砌b e i so f e l e c t r 血cc a s hs c h e m e sh a v eb e e np r o p o s e d t h e 嘶e dp r 叩e r t i e s 0 f e k c t r o i cc a s h ，s u c ha sa n o n y m i 也n od o u b l es p e n d i n g ，d i v i s i b i l i 蚵e t c w 盯es t u d i e d 诵d e l y b u tt h et r a s f e r a b n 主t ya so n eo ft h en a t u r ep r o p e r t i e so fr e a lc a s hw e r er a r e l yb e e ns t u d i e d s y s t e m sl l s i n gt r a s f e r a b l ec o i no n 】yp a ya t t e n t i o nt oh a wt op a yt h ee l e c t r o n i cc o i ns 如1 弘 b u tn oo ec 盯ea b o u tt h ef 妇e s sd u r i n gt h ep a y m e n t f h j rn 棚kp a y m e tm e a n st h et w o p a r t i e s 砒a i 培et h ee l e c t r o i ci t e m s 研t he a c ho t h e ri af a i l m a n n e rt h a tn oo n ec a ng a j n a d 、忸皿t a g eo v e rt h eo t h e re v e ni ft h e r ea r em 址d o u sa c t i o n sd 1 】r i n ge x c h a n g i n gp r o o e s s i ts o l 、，e s t h ep r o b l e mt h a 七m 仰e y 丘r s to r9 0 0 d s 丘r s t t h i s 叭i c l e 丘r s t l yc r e a t e saf a i rn e 细o r kp a y m e n t s y s t e m 谢t hat r a n s f e r a b l eo 尽l i n ea n o n y m o u se k c t 瑚i cc o i n ，a n di m p l e m e t st h ef l m c t i o n c h a 百n gt os u b s t i t u t et h ec o m p h c a t e dd i v i s i b i l i t y k e yw o r d s e i e c t r o n i cc 血o 毋l i n ea n 硼y m o l l s蛐f e r a b l em rn e t w o r kp a y m e n t p r o t o c o l u s t e dt h i r dp a 哪 南开大学学位论文版权使用授权书 本人完全了解南开大学关于收集、保存、使用学位论文的规定， 同意如下各项内容：按照学校要求提交学位论文的印刷本和电子版 本；学校有权保存学位论文的印刷本和电子版，并采用影印、缩印、 扫描、数字化或其它手段保存论文；学校有权提供目录检索以及提供 木学位论文全文或者部分的阅览服务；学校有权按有关规定向国家有 关部门或者机构送交论文的复印件和电子版；在不以赢利为目的的前 提下，学校可以适当复制论文的部分或全部内容用于学术活动。 学位论文作者签名：溉 加占年j 月；日 经指导教师同意，本学位论文属于保密，在年解密后适用 本授权书。 指导教师签名：学位论文作者签名： 解密时问：年月日 各密级的最长保密年限及书写格式规定如下 f j 薯焉焉= l ! w 1 鼍? 曩= 一嚣鬟一一一 i 内部5 年( 最妖5 年i 剪爹于5 年 r 秘密l o 年( 最长l e 年，可少千1 0 年) 机密2 0 年( 最长2 0 年。可少子2 0 年) 南开大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，进行 研究工作所取得的成果。除文中已经注明引用的内容外，本学位论文 的研究成果不包含任何他人创作的、已公开发表或者没有公开发表的 作品的内容。对本论文所涉及的研究工作做出贡献的其他个人和集 体，均已在文中以明确方式标明。本学位论文原创性声明的法律责任 由本人承担。 学位论文作者签名：诲晋 力6 年j 月弓7 日 第一章引言 1 1 研究意义 面对已经到来的数字化时代，随着金融电子化和i t e r n e t 的迅猛发展，网络作为一 种新的贸易领域正在逐渐成为商务的一大发展趋势随着社会的信息化和电子化以及远 距离贸易的增多，传统纸币由于其物理特性的限制，已无法适应在网络上进行实时交易 的要求 在电子商务中，使用电子货币进行支付与使用传统货币进行支付相比具有许多的优 势首先，电子货币能够通过通讯系统在短时间内进行远距离传递，快捷方便其次，电 子货币可以采用计算机进行管理，具有保存成本低、流通费用低、标准化成本低、使用 成本低、货币的发行费用降低等优势，弥补了传统货币管理成本高的缺憾第三，电子 货币的匿名性比传统货币要强，避免了面对面的直接交易第四，电子货币与传统的货 币相比具有信息量大的优点，可以利用这些信息追查洗黑钱、敲诈、勒索等犯罪活动 面对电子商务的快速发展及其广阔的应用前景，拓展电子货币业务是经济发展的必 然要求，随着不断加快的经济全球化进程以及信息技术的快速发展，货币金融体系电子 化的实现将是一个必然趋势，研究有效可行的电子支付系统成为发展电子商务的当务之 急电子货币将会朝更便利、更安全、更规范化的方向发展，支付方式也会趋于简单化和 统一化，电子货币必然有更广阔的发展前景相信在不久的将来，在电子商务不断发展 的带动下，电子货币也将会在社会经济生活中得到更加全面的发展因而，研究电子货 币和安全公平的交易模式无论是在理论上还是在应用上都有重要意义 1 2 电子货币和交易模式简介 电子货币的研究有两个基本出发点一种是可追踪的电子货币，银行可以追踪用户 的每一笔开支，此类电子货币利用现有的密码学技术便可以设计出满意的产品，现今所 实施的都是这种电子货币，如信用卡、借记卡等各种银行卡但这种电子货币不能保护 用户的隐私权，不能提供传统纸币所具有全部的优点，所以不是用户理想的选择另一 种是不可追踪的电子货币，它的设计比较复杂，现有的系统还有许多不完善的地方。这 种电子货币在保护了用户的隐私权的同时，也为犯罪分子带来了可乘之机，例如绑架勒 索、洗黑钱等，可以不留线索地进行为此我们采取了折中的办法，一方面，使合法用户 的隐私得到保护，其匿名性不能被撤销；另一方面，使非法用户的存取款行为可在其他 技术( 例如可信第三方) 的协助下被检查跟踪此外，电子货币按支付方式可分为在线 电子货币和离线电子货币在线电子货币要求每次支付都要有银行的参加，主要是为了 防止超额消费，它的通讯代价很高，一般适用于高额支付离线电子货币在支付的过程 中不需和银行联系，主要需解决的是防止多重花费的问题，一般适用于低额支付。电子 货币按其面值还可分为两种：一种是面值固定不变的，称为硬币；另一种是面值可以变 化的，称为支票 一个理想的电子货币系统应和传统纸币具有相同的特点文献 1 8 】定义了理想的电 子货币系统的标准： ( 1 ) 独立性t 电子货币不依赖于所用的任何物理属性的物质，可以通过网络传输。 ( 2 ) 安全性t 电子货币能够防止重用和伪造，能安全储存在计算机或智能卡中 ( 3 ) 匿名性：电子货币不能提供用于跟踪持有者的信息，即用户和他购买的物品之间的 关系不能被任何人跟踪，用户的隐私受到保护 ( 4 ) 离线支付能力：在用户支付的过程中，商家无须和银行在线联系 ( 5 ) 可转移性：用户可以将电子货币转让给其他人 ( 6 ) 可分性：给定数量的电子货币可以分成具有任何期望的较小的面额，并且总值不变 怎样使购买者和商家在网络上以一种公平的方式交换现金和电子产品是电子交易中 的一个关键问题因为大部分电子商务都是在公开的、不安全的网络上进行的，怎样防止 异常行为，如在交易过程中恶意中止，成为设计公平交易协议时需要考虑的主要问题 在网络上购物的人常会担心自己付款后商家不将产品发送给他；另一方面，商家也担心 发货后收不到付款由于交易双方互不信任，谁也不愿意先透露自己的秘密信息 当前，提出了两种解决公平交换的方法。一种是双方同时发送信息。一个简单的办 法是双方一比特一比特的透露秘密信息。这种方法的缺点是在交换数据的过程中需要许 多步此外，如果有人恶意中途退出，他还会占有一比特数据的优势第二种方法是在 交易过程中加入可信第三方。一个最直接的方法就是可信第三方作为中间人参与每次交 换，他将从双方收到的信息转发给另一方然而，由于第三方参与每次信息交换，即使 双方诚实的发送信息时也是如此，他会成为通信中的瓶颈为了提高性能，后来提出了 一种称为离线可信第三方的模型在这种模型中，第三方仅当出现异常中止或发生错误 时才被要求参与这意味着，可信第三方只用来处理争议，而无需参与每次交易。 交易双方利用离线可信第三方交换秘密信息的过程简单描述如下。a 将加密的签名 发送给b ，使b 相信签名有效，并且可以由可信第三方对其解密若b 验证成功，则将 2 自己的秘密信息发送给a 在一般的情况下，a 应该在接收到b 的秘密信息后，将自 己真正的签名发送给b 。然而，如果a 恶意退出协议并拒绝将真正的签名发送给b ，b 可以将a 加密的签名发送给可信第三方，要求可信第三方对其解密 1 3 研究现状 离线匿名电子货币是由c h a u m ，f i a t 和n ”r 在文献 4 】中提出的。他们的方法的安 全性依赖于一些非常苛刻的假设，也没有给出正式的证明尽管该方法难以实际应用， 但他们的方法说明了怎样建立离线电子货币，为研究更为安全有效的电子货币奠定了基 础 o b m o t o 和o h t a 在文献【17 】中将文献 4 】中最复杂的部分，提款协议中对用户身份 的零知识证明，转移到了开户协议，这个协议的执行次数相对要少得多他们的方法依 赖于更为合理的假设，在开户协议不频繁执行的情况下提高了效率后来，o l o t o ， o h t a ，它n g ，c h a n ，n a n k e l 和t 8 i o u n i s 分别在文献 1 8 ，1 l ，5 】中，利用二叉树模型实 现了可分电子货币，并不断改进，逐步提高了执行效率 b r d s 在文献3 1 中也给出了一个不可追踪的离线电子货币系统，并提出了一种可 以预防重复花费行为的系统后来的很多系统都是根据这个方法进行的改进，本文也是 对b r a n d s 系统的一种改进 c h a m 在文献f 6 1 中提出的指定确认者签名( d e s i g n a t e dc o n 丘m e rs i 印a t l l r e ，d c s ) ， 为公平交换数字签名等信息提供了一个好方法c h i h - h u gw a n g 在文献1 2 0 】中利用的确 认受限制签名( r t r i c t i v ec o 缶m a t i o s i 弘a t l l r es c h e m e ，r c s s ) 技术就是由d c s 发展而 来的他还利用了离线可信第三方，提出一组用于在网络上交易软件产品的公平的网络 交易协议 v 缸a n t w e r p e n 在文献【1 9 中第一次给出了使电子货币具有可转移性的一般方法。 c h a m 和p e d e r s e n 在文献| 9 1 中说明了匿名电子货币在转移过程中会不断变大的必然性 这也成为匿名电子货币的转移性不太受关注的主要原因之一。然而，转移性作为传统纸 币的重要属性之一，应该在电子货币中得到体现因为，使用不可转移的电子货币需要 频繁的与银行进行提款通信，会给银行带来巨大的负担，使得银行成为整个系统中的瓶 颈另外，拥有了可转移性，在银行暂时出现故障时，用户仍然可以使用接收到的电子货 币进行消费。 本丈基于b r a d s 系统，利用了r c s s 技术和离线可信第三方实现了一种公平的网络 交易模型。并且为电子货币实现了可转移性，舍弃了复杂的可分性设计，而是利用找钱 的方法，使本系统更为接近我们的日常生活习惯，更容易被人们接受。 3 1 4 内容与主要结果 第二章首先给出了一个证明两个离散对数相等的方法，用来代替文献【2 0 】中的b i _ p m o f ( 文献 1 2 】) 。然后介绍了确认受限制签名r c s s 在文献 2 0 】中，作者对r c s s 的 描述有错误，确认者与验证者前后出现了混淆，无法正确对签名进行转换本章对其作 了改正，清晰明了的说明了参与签名各方所代表的意义 第三章具体给出了利用可转移的离线匿名电子货币构造的公平网络交易系统为了 使叙述简单，只描述了每次支付一枚电子货币的方法整个协议组由系统设置、开户协 议、取款协议、支付协议、争端协议、存款协议和追踪协议七部分组成 第四章将基础协议扩展为可以同时支付多枚电子货币，并且可以找钱的系统由于大 部分协议内容与第三章相同，本章只对变化较大的支付协议和争端协议作了具体描述 第五章对本文的系统做了安全性分析，证明所使用的电子货币具有不可伪造性、不 可区分性、匿名性、可以追踪重复花费行为等性质，证明了交易系统对交易双方都是公 平的，可以保证支付者得到货物的同时接收者得到相应的电子货币还指出了本系统在 效率上应该继续研究改进的方面 本文第一次使用可转移离线匿名电子货币构造了一组公平的网络交易协议，并实现 找钱功能替代了复杂的可分性设计可转移的离线匿名电子货币，其性质更接近于传统 纸币，拥有更多纸币的优点可转移性使得电子货币可以像纸币一样一次取款多次流通， 减少用户与银行的通信次数，降低了银行的负担；匿名性保持了使用纸币支付带给用户 的隐私性；找钱功能使支付者可以自由支付所需金额，相对于可分性设计更接近于传统 纸币的使用方法，易于理解、实现简单。公平的网络交易意味着网络上远程交易的双方 在一方得到货物的同时另一方也得到了相应的货款，利用离线的可信第三方为交易双方 保证交易的公平性，解决了网上交易先交钱还是先交货的问题 4 第二章确认受限制签名 在文献 2 0 】中，作者提出了一种签名方案叫做确认受限制签名( t h er e s t r i c t i v ec o n 缸 m a t i o s i 口a t u r es d l e m e ，r c s s ) 签名者( s i g e r 玲在签名时指定一个验证者( v e 曲e r ) y ， 并使得签名确认者( c o n 丘m e r ) g 或接收者( r e c i p i e t ) r 确信事先指定的y 可以在没有s 的参与下帮助他们向其他人证明签名的有效性本文使用一种更简单的方法替代文献【2 0 】 中的b i - p m o f 系统( 文献【1 2 ) ，来证明两个离散对数相等 2 1 证明离散对数相等 给定某大素数p ，g 。是乘法群石的q 阶乘法子群，o ，6 娣 证明者p 知道一个秘密数z 蜀，a = 矿m o d p ，b = 铲m o d p 证明者p 和验证者y 都知道a ，b ，口，6 ，p ，口，p 要向矿证明1 0 9 。a = l b ，从而说 明他知道秘密数z ，但又不向y 泄露z 的值 定义一个无碰撞的h a s h 函数h ： 岛) 6 一名 证明过程如下： ( 1 ) p 随机选取r 蜀，计算 a 1 = o ”m o d p ， b 1 = 泸m o d p ， c = h ( a ，a l ，b ，b 1 ，n ，6 ) ， r = c z + 可m o d p ， 将a 1 ，b l ，r 传送给y 。 一， ( 2 ) y 计算 c = h ( a ，a 1 ，b ，b 1 ，b ) ， 并验证 o = a 。a 1 m o d p ， 6 r = b 。b l m o dp 当验证无误，y 相信l o g 。a = l o 岛b ，并且p 知道该离散对数值z 。 将上述证明过程记为p r o o f l 0 9 e q ( o ，a ，6 ，b ) ，它给出1 0 a 与l 0 9 6b 是否相等的结论。 r 2 2 确认受限制签名( r c s s ) 数字签名s i g n r c s s 慨eg ，m ) 是一个r c s s ，如果确认者g 只能使一些特殊的验证 者k g 相信对消息m 的签名正确并且确实是由签名者s 签名的根据本文的需要， 下面仅描述有一名验证者g = y ) 的情形，记为s i g n r c s s ( sgkm ) 2 2 1 系统设置 选择大素数p j g ，g i 如一1 ) ，g 口是乘法群露的q 阶乘法子群，使得在g 。上求解 离散对数是不可行的，9 是岛的生成元，f l 和f 2 是两个无碰撞的h a s h 函数 s e y 分别建立自己的密钥对 ， ( z s r z ；，乳= 旷5 m o d p ) ， ( z 。r z ：，! c = 9 。m o d p ) ， 、 ( z 。r 露，= g 。”m o d p ) 2 2 2 签名协议 s 对和g 协商好的消息m 进行签名，并且指定一个验证者y ，日后可以帮助g 将 签名转换为无需s 帮助即可向其他人证明签名有效性的数字签名 s 首先创建一个关于m 的与y 公钥相关的不可否认签名( n ，6 ，d ) s 随机选取 t r 召，计算 n = 矿m o d n 6 = 玩m o d p ， + 6 = ( f l ( m i i n ) + 6 ) “m o d p s 随机选取，“， l ，地r 露，计算 c = ( c 1 i l c 2 ) ，c 1 = 9 “聪1 o dp ，q = 9 “好m o d 弘 叫= f 2 ( c l b l i 玑i l f l ( m i i ) + 6 i | 6 i i g l | ( f l ( m l o ) + 6 ) ) ， z = 七一z s ( 叫+ u ) m o d p ， 则对m 的r c s s 为一个八元组 s i g r e s s g e m ) = ( n ，6 ，“， l ， 2 ，叫。：6 ) 6 2 2 3 验证协议 g 验证从s 得到的对消息m 的签名是否正确，并且要求s 向其证明两个离散对数值 是相等的，从而相信自己日后可以不需s 的参与而从y 处得到帮助，对签名进行转换。 g 计算 c = ( c 1 | | c 2 ) ，c 1 = 9 “皖1 m o d p ，晓= 9 “醒2 m o d 西， 并验证 叫= f 2 ( c | i g | i 蜘| i f l ( m i i o ) + 6 6j | 9 。以山+ “l | ( f l ( m ij 口) + 6 ) 。6 m + ”) c 与s 进行离散对数相等证明p r o o f i 州e q ( 吼。，乳，6 ) ，来确认1 0 岛o = 1 0 9 6 2 2 4 确认协议 c 将从s 得到的签名 s i g n r c s s ( s g u m ) = ( 口，6 ，“， 1 ，地，叫，z ，占) 传送给y ，由y 确认 y 验证c ，是否正确( 与验证协议相同) ，验证1 0 9 。蜘= l o g 。6 = z ：是否成立，检 查无误则相信s l g n r 璐s ( s ，gvm ) 有效 2 2 5 转换协议 如果y 在确认协议中相信签名有效，则帮助g 将签名转换为可由g 自己向其他人 证明有效性的签名，实际上就是使g 可以向他人证明n 和6 的关系。 y 选择口rz ，计算 e = ，0 d p t = 盯+ z n f ( 口，e ) m o d 口， f 为一无碰撞h a s h 函数 矿把粥e r = ( e ，t ) 传给g ，g 通过( e ，t ) 验证 使其他人相信o ，6 的关系正确。 ，：e 6 f ( n ，司 在后面的交易协议中，支付者巩相当于这里的s ，货币接受者巩+ ，相当于这里的 g ，可信第三方( u s t e dt h i r dp a r 母) 竹p 相当于这里的y ，对交易达成的协议( o r d e r a f e e m e n t ) 0 a 相当于这里的m 。 ， 7 第三章基础协议 本章介绍一种可转移的离线匿名电子货币，并且使用该电子货币和前面介绍的r c s s 构造一组公平的网络交易协议为了使表达简单明了，本章仅描述每次只处理一枚电子 货币的情形，下一章介绍一次处理多枚货币的情形。 3 1 系统设置 银行b 选择大素数p ，口，q i 一1 ) ，岛是乘法群z ；的q 阶乘法子群，使得在g 口 上求解离散对数是不可行的，( 玑m ，啦) 是岛的一个生成元组 b 秘密选取z ，知r 露，计算 、 = 旷m o d p ， 珈= 矿。m o d p z 用于对不同面值的电子货币签名，z o 用于对电子钱包签名。 h ，凰是两个无碰撞的h a s h 函数： h ： 岛) 7 一召， h o ： g 口g q 刃 g q q + d n t e 死m e 一名 b 公开口1 吼9 1 ，9 2 ，玑珈，h ，凰) ，同时建立两个数据库a 耐，d 印d s n r c s s 的系统设置采用与电子货币系统相同的有限域设置开p 选取秘密密钥z t r 召，公开公共密钥鲫= 旷r m o d p 3 2 开户协议 每一位用户巩与银行b 进行开户协议以秘密选取啦r z ，计算 五= 9 ：m o dp ， 使得五9 2 1 ，将其传给b 。 b 计算 五= ( 厶船) 。m o dp 并将厶作为阢的账号与其身份信息一起保存至a c c d u n t 数据库，把五传给巩。 8 3 3 取款协议 b 使用密钥z o 为用户签发电子钱包w n 2 f e t ，使用密钥z 为用户签发不同面值的电 子货币c 反n ( 1 ) 矿向b 证明自己的身份，并提出取款”n f 元请求为了避免电子货币面值混乱，银 行b 对允许取款的面值进行规定，如为一元、五元、十元、五十元等，与我们日常生 活中所用到的相似 ( 2 ) b 选取r 露，计算 o = 9 m o d p ， 6 = ( 地) ”m o d p ， 把吼6 传给u ( 3 ) 【，选取s ，z l ，z 2 r 露，计算 a = ( j 9 2 ) 5 m o d 鼽 b = 9 ；1 鳝2 m o d p ， z = ，m o d p ， 选取 l ，t j 2 ，t e r z ，计算 n ，= 口”1 9 也m o d p ， 6 ，= 6 ”a ”m o d p ， ( n t ，b ) = ( 9 m o d p ，西m o d p ) ， c ，= h ( a ，b ， 以，z ，n ，6 ，b ) + 西m o d p ， c = c ，”1 m o d p ， 把c 传给b ( 4 ) b 计算 r = c z + m o d p ， 把r 传给u ，并从u 的账户中减去”o z 元 9 ( 5 ) u 验证 g r = 可。n m o d p ， ( 幻2 ) 7 = z 。6 m o dp r = r 1 + 屹m o d p 现在u 得到了： s i 驴。( a ，口， 以) = ( z ，n ，矿，r ，叼，b ) ， 为银行b 对( a ，b ，u 甜) 的盲签名， c 反n = 为一个电子货币， ( s ，u ，z 1 ，。2 ，t ) 为支付该货币时必须掌握的信息，相当于对货币的所有权。 当”甜= o 时，b 使用密钥z o 进行签名，得到 w 7 口z z d = 为一个电子钱包。 3 4 支付协议 用户以将电子货币支付给阢+ ，巩+ t 使用从b 取得的电子钱包接收电子货币电 子货币的首次支付与再次转手在实现细节上略有不同，下面分别描述这两种情况。 3 4 1 首次支付 巩与巩对交易内容达成一致，仉把从b 取得的电子货币 g 嘶竹l = = 支付给巩，( s ，u 1 ，z ，1 ，z 2 ，1 ，t 1 ) 是支付该电子货币必须掌握的信息。 巩将他们放入自己从b 取得的电子钱包 o f f e t 2 = = 中，用于日后再次支付 1 0 ( 1 ) 仉对交易协议0 a 1 进行确认受限制签名r c s s 口1 = s i g n r c s s ( 仉，巩，田p i d 1 ) d a l = j d 巩，j d 啦，d n t e n m e l ，d e s c r 卿i d 凡1 ，( a 1 ，b 1 ，口n z ) ，( a 2 ，b 2 ) ) 巩把口1 与g 捌n 1 都传给巩 ( 2 ) 巩检查o a l 并利用r c s s 的验证协议验证签名日1 ，且当a 1 1 时，计算 d 1 = h o ( ( a 1 ，b 1 ，u o f ) ，( a 2 ，上i 2 ) ，d n 亡e n m e l ) ， 把d l 传给巩 ( 3 ) 巩计算 ( 后1 ，七i ) = ( d l s l t 正l + z l ，1m o d p ，d l s l + 。2 1m o d p ) ， 仉把( h ，k i ) 传给巩，并向证明两个离散对数相等p r o o f l o g e q 0 ，o l l ，鲫，吐1 ) ( 4 ) 验证电子货币的正确性t 9 i = 铲( 1 ，b ，删t 。i ，吐，虬，h ，1 ) + 叼- 1 吐， a ：i = z f 1 ，占1 ，”“ 。i ，西，m ，h ，- ? + 。t ，醴， 9 ，毋= a d l b l ， 全部正确则将货物发送给仉。 ( 5 ) 仉验收货物无误，则将t 1 传给巩得到了t l ，巩就可以自己向其他人证明o r l 与h 1 的关系。 ( 6 ) 巩得到 e o t n 2 = ， 为可再次支付的电子货币 如果仉在收到货物后中止协议，拒绝将t 1 发送给沈，则现与刀p 执行争端协 议 3 4 2 非首次支付 c 饶n - 已被支付过j 一1 次，正在从向+ l 进行第j 次支付 吩手中的货币为 c 西唧= ， ( 1 ) 与+ 1 达成交易协议o 如= d 屿，d + 1 ，d 口e 孔m 勺，d e s c r 奶t o 唧，( a 1 ，b 1 ，伽【z ) ，( a ，b ) ，i = 2 ，- 一，j + 1 ， 对其进行确认受限制签名 如= s i g r c s s ( 吩，屿+ 1 ，刀p j o 山) ， 把如和c o 传给+ ( 2 ) + 1 检查。山并验证岛，且当a f 1 时，江1 ，2 ，j + 1 ，计算 如= h o ( ( a 1 ，b 1 ，t ，口f ) ，( a ，b ) ，t = 2 ，+ 一，j + 1 ，d 缸e t i m 勺) ， 把吗传给 ( 3 ) 计算 ( b ，磁) = ( 由勺嘶+ z 1 ，j m o d p ，吗勺+ z 2 j m o d p ) ， 巧把( 弓，巧) 传给屿+ i ，并向码+ z 证明两个离散对数相等p r 0 蚯e q 0 ，。巧，卵，6 巧) ( 4 ) + 1 验证g 疵唧的正确性； 9 = 可h ( l t b l ，删，2 i ，。：，虬，b 1 ) + 叼1 n i ， 群= 。，h 似1 ，8 1 ，州，。i t 啦，m ，h ) + 4 r - 醍， = 旅a 溉。咖珥吒t ) + 哪，洁2 ，3 ， 以= z h t b l o 。： b ，- ) + 叼，- 噬，f = 2 ，3 ，一，丘 ( 叼t ，吒i ) = ( 萨m o dp 1 婷m o d p ) ，江1 ，2 ，j l ， 也= h o ( ( a l ，b 1 ， o z ) ，( a b ，b k ) ，岛= 2 ，一，i + l ，d n t e t t m 岛) ， = l ，2 ，一，j l ， 9 ：t 建：= a 鼠，t = l ，2 ，一，j ， 正确则将货物发送给仉 1 2 ( 5 ) 验收货物无误，则将勺传给+ 1 ( 6 ) + 1 得到 g 疵唧+ 1 = 为可再次支付的电子货币 如果码在收到货物后中止协议，拒绝将句发送给+ ，则屿+ 1 与田p 执行争端 协议 3 5 争端协议 恶意中止协议，拒绝发送给+ - ，+ 1 利用已接收到的信息与刀p 合作 可以将接收到的信息转换成能够支付的货币 ( 1 ) + 1 把d 如、巳、货物和缺少勺的g o + 1 传送给刀p ( 2 ) 刀p 验证c o 唧+ l 是否被正确创建( 与支付协议中码+ 1 进行的验证内容相同) ，货 物与。如中的描述是否一致，使用r c s s 的确认协议确认乃被正确创建，检查无误 则使用r c s s 的转换协议构造t g e 勺= ( 马，乃) ，并将其传给屿+ 1 其中 马= 吃m o d a 弓= q + z 。t ，1 马0 d 吼 0 5 r z ：， 同时将货物转发给巩 ( 3 ) + 1 现在得到 g 翻码+ 1 = ， 为可再次支付的电子货币形e r j 可以代替句验证n 巧与吣的关系， 吃= 马烤7 驯， 3 6 存款协议 经过n 次支付后，+ 1 得到货币 g 们+ 1 = ， 要把它存入银行 ( 1 ) + l 首先向b 表明自己的身份，再把c 嘶+ l 传给银行b ( 2 ) b 验证g 嘶+ 1 是否正确，不正确则拒绝接收货币，正确则以a l 为关键字在d e p d s n 数据库中进行查找： ( a ) 若查找失败，则认为没有发生重复花费，b 在d 印o s 托数据库中加入纪录 威c d r d = ， 在a o c d u n t 数据库中查找+ l 的账户，并存入 口l 元 ( b ) 若查找成功，则说明发生了重复花费的情形，执行追踪协议 3 7 追踪协议 b 在d e p o s 秘数据库中找到已保存的记录 r e c o r d l = 和将要存入的记录 兄e c d r d 2 = 拥有相同的a 1 ，说明有人进行了重复花费 b 比较两个 a ) 序列，如果两个序列相同，则说明+ 1 试图重复存储同一货币； 如果两个序列不同，则最后一个相同的a 就是重复花费的用户阢的身份的盲信息。 假设两个 a ) 序列直到第i 项都相等，则巩进行了重复花费，1 i sm i n ( m ，n ) 因为是无碰撞的h a s h 函数，故 ( 磕，h 七：1 ) ( o ，o ) ， ( 凰，1 ，惫：，1 r e c d r d l ，2 ，尼：，2 r e c d r d 2 ) ， b 计算 厶：g p 一”m ：t t 一蚴m o d n 1 4 即为重复花费者以的i d ，( 堍，1 ，1 ) 与( h 尚。) 为其重复花费的证据 证明 9 ”州t 1 _ q ”m o d p 萨1 一也小“似r 血小m o d p 卵m o d p 五 1 5 第四章协议扩展 上一章的内容描述了仅支付一枚电子货币的情况，而实际生活中我们经常需要使用 多枚货币凑成所需金额，很多时候还需要对方找回零钱对于这种情况，只需将上一章 的部分协议稍作改动即可 4 1 支付协议 双方达成交易协议后，支付者仉将接收者巩作为找钱的电子货币信息也一起加入 d a 中， d = j d 仉，d u 2 ，d 耐e 2 1 m e ，d e s c r 咖坑d n ， ( a l ， ，b l ，t ，口o k ) g 嘶礼l ，t ，( a ；川呸，i ) w 7 a “e t 2 ，i = l j 2 ，一，m ， ( 4 2 j ，b 2 j ， n ) g d t n 2 j ，( a i ，j ，b i ，j ) w 7 0 2 2 e 1 j ，j = l ，2 ，佗) ， g 抚n 1 ， ，江l ，2 ，碗是巩要支付给观的m 个电子货币，w f f e 2 mi = l ，2 ，m 是 巩用来接收付款的m 个电子钱包，g 撕n 2 mj = 1 ，2 ，n 是巩要找回给仉的n 个电 子货币，w o z 地，j = l ，2 ，n 是仉用来接收找钱的n 个电子钱包巩对d a 进行 确认受限制签名。得到日 巩验证日和巩支付的m 个电子货币都正确后，发送货物并将要找给巩的n 个电 子货币同时支付给仉 巩得到货物和找钱的全部信息后，包括( d 2 n 也，j ，t 2 j ) ，j = 1 ，2 ，n ，验证无误 再把扎，江1 ，2 ，m 发送给巩。 如果所涉及的电子货币不是第一次被支付，则参照上面的模式对非第一次支付协议 作相应修改即可 4 2 争端协议 由于仉最后才将完整的货币信息发送给巩，所以，如果巩不遵守协议( 货物与 o a 中描述不一致或找钱不正确) ，巩可以拒绝发送札，从而不会受到损失。所以只需 考虑巩收货和接到找钱后，拒绝发送完整货币的情况。 1 6 巩把o a 、口、货物和巩支付的m 个不完整的电子货币( 缺少机，江1 ，2 ，m ) 以及应找给巩的n 个电子货币 ，j = 1 ，2 ，一，礼， 发送给 1 p t r p 验证收到的m + n 个货币是否被正确创建，作为找钱的n 个货币是否正确存放 进与o a 中指定的n “嘞j ，j = l ，2 ，一，n 中，货物与o a 中的描述是否一致，口是否 正确，检查无误则构造t c ，j = 1 ，2 ，m ，并将其发送给巩，将货物和找钱转发给 仉 1 7 第五章性能分析 5 1 安全性分析 本文协议的安全性主要依赖于b r a d s 的电子货币系统( 文献 3 】) 和确认受限制签 名，即求解离散对数的困难性和h a s h 函数的安全性对于确认受限制签名的安全性和有 效性可以参看文献 2 0 】，本节主要讨论电子货币系统的不可伪造性、不可区分性、匿名 性、不可重复花费性和支付系统的公平性下面我们将不包含离散对数值t 的电子货币 称为一个伪电子货币 命题5 1 ( 不可伪造性) ： 没有人可以假冒用户u ，构造u 的伪电子货币 证明假设攻击者a 随机选择面，i ，瓦，瓦r z ，计算 才= ( 9 ) 8 m o d p ， 百= 乔萨m o d p 这种情况下，a 可以随机选择可冠召，尹，了r 名，来计算 孑= 可一一m o d 弘 驴= 万丁一m o d p a 这样做的目的是为了找到合适的而和石，使得 孑= h ( 五，百，m f ，7 ，孑，矿，菇) + 瓦云 然而，尽管4 可以通过随机选择耳凡召轻易的计算出 石f = 了一h ( 五，百，u n 2 ，7 ，孑，驴，i ) ， 但是由于日是无碰撞的h a s h 函数，要找到对应同一个离散对数的而和耳，使之满足 l o 岛而= l o g 。再，这是计算上不可行的 口 命题5 2 ( 不可区分性) ：没有支付者或者田p 的帮助，没有人可以区分一个 有效的伪电子货币和一个假冒的模拟伪电子货币 证明 根据命题5 1 ，一个假冒的伪电子货币可以表示为 任何感兴趣的组织，如银行，没有支付者或者玎p 的帮助是无法区分一个正确构造的伪 电子货币和一个假冒的伪电子货币的这是因为银行不知道离散对数l o g 。而和1 0 9 。i ， 也就是说银行不能确信这两个离散对数相等这条性质提供了公平性，即使支付者在接 收到货物之前将伪电子货币发送给接收者，接收者也不能向其他人证明伪电子货币的有 效性，所以支付者在交易中不会更占据优势 口 命题5 3 ( 可转换性) 当接收者接收了伪电子货币，他被保证日后开p 可以 将伪电子货币转换为可以直接花费的电子货币。 命题5 4 ( 公平性) ：如果我们的支付协议满足了上面提到的不可伪造性、不可 区分性和可转换性，则可以保证在交易结束时，支什者得到货物当且仅当接收者得到了 等价的电子货币。 证明显然，如果交易双方都是诚实的，则公平性可以在没有砑p 的参与下得到 保证一方面，不可伪造性保证支付者不能通过发送无效的伪电子货币来欺骗接收者； 可转换性可以防止支付者拒绝发送真正的电子货币或者发送伪造的电子货币给接收者 另一方面，如果接收者不诚实，他可以在接收到有效地伪电子货币后不发送货物给支付 者然而由于不可区分性，如果接收者在交易中那样做，他就不能接收到可以有效支付 或存款的电子货币 口 命题5 5 ( 不可追踪性) ：除了接收者和竹p ，没有人能确认签名日，也就是 说，只有接收者和玎p 能够确认交易协议d a 是有效的 证明这条命题成立是因为口是一个r c s s 。因此，接收者只能使玎p 相信p 确实 是由支付者签署的 口 命题5 6 ( 匿名性) 所有合法支付者的购买活动的匿名性都可以得到保护。除 了参与交易的双方，银行或任何组织都不能根据交易记录计算出支付者的身份信息。 证明 分为两种情况：追踪电子货币的原始拥有者和追踪电子货币转移过程中的中 间支付者 ( 1 ) 对原始拥有者的追踪在取款的时候，取款记录中保留的用户电子货币信息是 ， 在支付记录中记录的信息是 ，在存款记录中保留的信 息是 。可见，对原始用户的追踪就是通过a = ( j 9 2 ) 5 m o d p 求j ，或者通过 c = ( h ( a ，b ，”以，z ，n ，6 ，b ) + t ) 1 m o d p 计算a 通过a 求j 需要猜测随机数s ， 猜中的概率是1 加，可以忽略通过c 求a 需要破解无碰撞的h a s h 函数，计算成功 的概率也是可以忽略的所以，不存在有效的概率多项式时间算法可以将取款记录 与支付记录或存款记录联系起来，追踪电子货币的原始拥有者 ( 2 ) 对中间支付者的追踪一种情况是通过支付记录中o “咄中的a 计算厶，计算成 功的概率为可以忽略的1 q 另一种情况是通过银行保留的提取电子钱包时纪录的 c i 计算a ，成功的概率也可以忽略不计与对电子货币原始拥有者的追踪一样，不 存在概率多项式时间算法可以追踪中间支付者 口 命题5 7 ( 不可重复花费) 任何重复花费的行为都会在重复花费的电子货币存 入银行的时候被检查到，并且可以计算出重复花费者的身份信息 5 2 效率和进一步研究 在本文的协议中，用户u 在接收每一枚电子货币时需要使用不同的n f f 酣，如果不 这样做会损害用户的隐私性假如u 每次都使用同一个d f l e t ，银行b 以该n 2 f d 中 的a 为关键字搜索d e p d s 托数据库中记录所有的a ，则当u 使用过该0 2 j 酣一次以上 时，b 可以使用追踪协议中的算法计算出u 的身份幻或者在同一枚电子货币的生命 周期( 从银行取出到存回银行) 中，被同一个用户两次接收，也会由于相同的a 被计算 出旬，而且能够接触到该电子货币的任何人都可以根据追踪协议中的方法，自行计算得 出。这促使我们寻找一种比从银行多次提取电子钱包更高效的方法，可以一次性从银行 提取多个电子钱包 所有的离线电子货币系统都有出现重复花费的风险，虽然日后可以追查出重复花费 的用户，有一定的威慑力，但在重复花费的货币被两次存入银行之前，重复花费行为都 无法被侦测为了尽快发现重复花费行为，减少损失，银行应该对分发的电子货币加入 支付有效期和可转移的次数，适当缩短货币的生命周期，避免由于电子货币一直在流通 中，重复花费行为长期不被发现文献 3 】中给出了一种利用存储一个只允许使用一次的 随机数的方法，来预防重复花费行为 显然，可转移的电子货币随着转移次数的增加要存储的信息也越来越大，文献 9 】对 此进行了说明，所以适当限制可转移的次数同时也可以避免交易中传输和验证的数据过 多。 、 由此可