（概率论与数理统计专业论文）包含多类多级银行的电子现金系统.pdf

摘要 摘要 随着信息化的普及、电子商务的兴起，电子现金作为一种重要的网络货币支 付手段，逐渐受到人们的重视本文提出了一种新型的电子现金系统模型，该模型 中包含多个银行，其中银行从横向分为不同类型的银行，纵向分为不同级别的银 行银行的最高领导是中央银行c b ，同时引入可信第三方珊：以分散c b 的权 力每种类型的银行都有一个总行，总行同时受中央银行c b 与可信第三方 t r p 监督管理每个总行有若干个支行，支行受总行监督管理直接受理用户业务 的是支行用户在某个支行开设帐户后，可以在任何一个支行取款，不论取款支行 与开户支行是否是同一支行，或是否是属于同一总行的支行，也就是说，可以实现 同支行取款、同行异地取款和跨行取款基于此模型，本文提出了一套利用代理签 名的电子现金系统该系统的多类多级银行不仅和现实世界的银行系统十分接近， 而且在理论上有很多优点，如分散银行的数据存储负担，便利用户取款，以及防止 r r 即和c b 联合滥用权力等，具有良好的安全性和效率性 关键词电子现金；多银行；代理签名；零知识证明；取款协议 a b s t r a c t a b s t r a c t i nr e c e n ty e a r s w i t ht h ep o p u l a r i z a t i o no fi n f o r m a t i o ns o c i e t ya n de b u s i n e s s ，e c a s h ，w h i c hi sas i g n i f i c a t em e a n st oh a n d l en e t w o r kp a y m e n t ，h a sb e e na t t a c h e dm u c h i m p o r t a n c et o i nt h i sp a p e r , an e wm o d e lf o re c a s hs y s t e mw i t hg r a d e dm u l t i b a n k s o fd i f f e r e n tk i n d si sp r o p o s e d e v e r yk i n do fb a n k sh a sah e a d q u a r t e rb a n ka n ds o m e b r a n c h e s t h et o p m o s tb a n ki st h ec e n t e rb a n k ( c b ) ，w h i c hs u p e r v i s e sa l lt h eh e a d q u a r t e rb a n k s ，t o g e t h e rw i t ht h et r u s t e dt h i r dp a r t y ( t 】m ) c ba n d1 限m a y r e s t r i c t e a c ho t h e r s p o w e r e v e r yh e a d q u a r t e rb a n ks u p e r v i s e si t sb r a n c h e s t h eb r a n c h e sa r e t h eo n ew h os e r v ef o ru s e r sd i r e c t l y a f t e ro p e n i n ga na c c o u n t ，t h eu s e rc a nw i t h d r a w e c a s ha ta n yb r a n c ho fa n yh e a d q u a r t e rb a n k a sar e s u l t ，i ti sr e a l i z e dt ow i t h d r a w e c a s ha ta n o t h e rb r a n c ho ft h eh e a d q u a r t e rb a n ko ft h ea c c o u n t o p e n i n gb r a n c h ，o ra t ab r a n c ho fa n o t h e rh e a d q u a r t e rb a n k b a s e do nt h em o d e la b o v e an e we - c a s hs y s t e m w i t hg r a d e dm u l t i b a n k so fd i f f e r e n tk i n d si sp r o p o s e d t h es y s t e mi ss i m i l a rt ot h e b a n ks y s t e mo fo u rr e a ll i f e a sw e l la sm o r ep r a c t i c a b l e ，t h es y s t e mh a sm a n ye x c e l - l e n c eo ns a f e t ya n d e f f i c i e n c y , s u c ha sd i s p e r s i n gt h eb u r d e no fd a t as t o r a g e ，p r e v e n t i n g t t pa n dc bf r o mc o o p e r a t i n gt oi m i t a t ei s s u i n gb a n k sa n df o r g ec - c a s h 。e t c k e yw o r d se - c a s h ；m u l t i b a n k s ；p r o x ys i g n a t u r e ；z e r o k n o w l e d g ep r o v e ；d e p o s i t p r o t o c 0 1 南开大学学位论文版权使用授权书 本人完全了解南开大学关于收集、保存、使用学位论文的规定， 同意如下各项内容：按照学校要求提交学位论文的印刷本和电子版 本；学校有权保存学位论文的印刷本和电子版，并采用影印、缩印、 扫描、数字化或其它手段保存论文；学校有权提供目录检索以及提供 本学位论文全文或者部分的阅览服务；学校有权按有关规定向国家有 关部门或者机构送交论文的复印件和电子版；在不以赢利为目的的前 提下，学校可以适当复制论文的部分或全部内容用于学术活动。 学位论文作者签名：上j - 楚 枷年y 月弓日 经指导教师同意，本学位论文属于保密，在年解密后适用 本授权书。 指导教师签名：学位论文作者签名： 解密时间：年月 日 各密级的最长保密年限及书写格式规定如下： 南开大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，进行研究工作 所取得的成果。除文中已经注明引用的内容外，本学位论文的研究成果不包含 任何他人创作的、己公开发表或者没有公开发表的作品的内容。对本论文所涉 及的研究工作做出贡献的其他个人和集体，均已在文中以明确方式标明。本学 位论文原创性声明的法律责任由本人承担。 学位论文作者签名： l 注莛 p 区年s 月弓。日 第一章引言 第一章引言 本章分为三节，我们在第一节中阐述了电子现金的研究意义，第二节叙述了 多银行电子现金系统的研究背景，第三节介绍了本文的组织结构电子现金是随 着计算机网络的应用生活化，以及电子商务的兴起，而逐渐受到人们关注的电子 现金是将现实中的钱币转化为电子的形式，也就是说，我们在虚拟的网络世界中， 用一串序列数来代表一张现实中的钱币，并且可以用它去购买需要的商品电子 现金系统的构造，就是为电子现金创建一个可以流通的平台在这个平台上，人们 可以从银行取出电子现金，并且可以将它消费在接收电子现金的商家第一个电 子现金系统是1 9 8 2 年d c h a u m 提出的之后，很多学者在此领域进行了研究，并 提出了各式各样的电子现金系统。例如在线型电子现金系统、离线型电子现金系 统、单银行电子现金系统、以及多银行电子现金系统本文中提出的电子现金系 统是多银行的离线型电子现金系统 1 1 研究意义 随着计算机的应用生活化，随着网络技术和软件技术的飞速发展，信息革命 对传统的办公和生活方式产生了巨大冲击，电子商务活动也逐渐兴起和发展，如 今它已经成为新的商务模式但是，当人们尽情地享受网上购物、网上贸易等电子 商务带来的种种便利时，也不得不承受电子商务带来的一些安全问题比如，我们 可能会担心，将我们的银行帐号和密码输入联网计算机是否安全，我们付款后商 品是否能按协议发货等等归根结底，如何在虚拟的环境中使货款支付更方便安 全。是我们急需考虑的针对这个问题，研究中陆续出现了几种网络支付方式，如 银行联网刷卡、网上银行等其中电子现金作为一种重要的支付手段，逐渐走入人 们的视线。并且受到越来越多的关注 电子现金又称数字现金，是实际中纸币硬币的的电子表现广义上来说，电子 现金是指那些以数字( 电子) 形式存储的货币，它可以直接用于电子购物狭义上 讲，电子现金通常是指一种以数字( 电子) 形式存储并流通的货币，它通过把用户 银行帐户中的资金转换为一系列的加密序列数，通过这些序列数来表示实际生活 中各种金额的现金，用户用这些加密的序列数就可以在网上可以接收电子现金的 第一章引言 商店购物了本文讨论的电子现金指狭义的电子现金，并认为它是由金融机构( 银 行) 发行并承诺其价值，可以验证其真伪但不可伪造的串密文电子现金理论上 可以实现纸币的所有功能，保护消费者的权益，并且防止拒绝支付和重复消费 电子现金的使用必须基于一个电子现金系统，其中包含电子现金发行者( 银 行) ( b a n k ) 、消费者( 用户) ( u s e r ) 、商家( s h o p ) 、以及可信第三方( t r u s t e d t h i r dp a r t y ) 四种角色电子现金发行者负责把真实的钱币或帐户存款转换成电子 现金帐户存款，并为用户办理电子现金的取、存业务消费者( g j 户) 则是电子现 金的使用者，他们可以在银行开户、取款，一旦他们手中持有电子现金，则可以将 其消费在可以接收电子现金的商家，目的是购买某种商品或服务商家收到电子 现金后，再将电子现金存入自己的电子现金帐户可信第三方( t r p ) 是一个类似 于政府机关的角色，负责监管银行、商家、用户，保证电子现金的流通过程安全、 公平、无误以上就是电子现金的流通过程近年来，如何获得一个安全、高效的 电子现金系统，一直是电子支付领域研究的热点。 1 2 研究背景 1 9 8 2 年，d c h a u m 在文献【7 】中提出了第一个电子现金系统从此，不同类 型的具有各种不同特性的电子现金系统相继提出电子现金系统根据支付时是否 由银行实时验证电子现金的真伪而分为两种：在线型( o n 1 i n e ) 和离线型( o f f - l i n e ) 在线的电子现金系统中每个支付行为发生时，必须有银行验证其真实性后 商家j 接受该电子现金，如文献 2 8 】中方案这种方法可以有效防止伪造和重复消 费，但是给银行带来很大负担，效率低，实现起来比较困难从这方面来讲，在线 型电子现金系统实用性不如离线型，所以离线型系统受到了很多学者的青睐，文 献 6 ，8 ，1 1 ，1 5 ，1 6 ，1 8 ，2 4 ，3 3 】中分别提出了不同的离线电子现金系统 直到1 9 9 8 年，几乎所有的电子现金系统都是基于“单一银行”模型的但是， 现实世界的银行系统不是只有单一的银行，而是具有多种类型的银行所以，“多 种银行”模型更接近实际，实现起来也更方便一些多银行电子现金系统这一概 念是l y s y a n s k a y a 和r a m z a n 在1 9 9 8 的金融密码会议( f c 9 8 ) 上首次提出的，他 们还利用由他们首次提出的群盲签名技术设计了一个离线的完全匿名多银行电子 现金方案，但是其中所用的群盲签名数据传输量特别大，签名太长2 0 0 1 年，张方 国和张福泰在文献 3 5 】中第一次提出由多个银行发行的公平电子现金模型，并基 于椭圆曲线上的群盲签名方案设计了一个可跟踪用户的多银行电子现金方案但 2 第一章引言 是，这两个系统都是基于群签名设计的，其中所有银行形成一个群体，受中央银行 管理，均可发行货币然而现有的群签名方案都存在一些缺陷，如群签名的公钥长 度依赖于群的大小、增加或废除成员均需更改群公钥及所有成员的公钥、不能抵 御成员联合攻击等【1 】 之后的2 0 0 4 年，文章 3 6 】中提出了一个基于代理签名的多级银行电子现金系 统该方案中，代理签名可以很容易地实现中央银行对各发币银行的权力委托和 权力撤销但不足之处是其中的银行均为同等地位，未分级别，并且在1 m 和c b 联合伪造现金方面显得无能为力针对这个问题，文献 3 提出了含有分级银行的 电子现金系统，其中发币银行为总行，每个总行均有若干个支行，总行在接受1 限 和c b 的委托后，再将发币权力委托给各支行该系统基于委托保护型的代理签 名，解决了防止t 曙和c b 联合伪造的问题但是该方案存在以下问题：( 1 ) 所有 银行共享一个在线数据库，当每一个取款存款动作发生时都要访问数据库，这样 易于导致数据库完整性的破损，从而使数据库的维护变的艰难；( 2 ) 该方案中一 个总行的所有支行使用同一个代理密钥，这样不利于总行对支行的监督管理；( 3 ) 该方案没有解决跨支行和跨总行取款的问题，实用性有待改善 针对上述问题，本文提出了一个新型的包含多类多级银行的电子现金模型其 中银行从横向分为不同种类的银行，纵向分为不同级别的银行最顶层是中央银 行c b 。中间层是各个不同类型的总行，最下层是每个总行的支行总行同时受中 央银行c b 和可信第三方1 曙监管，支行由各自的总行监管，间接由c b 和1 t r p 监管基于上述模型应用代理签名，上级银行通过给下级银行授予代理密钥，而达 到监管目的同一种银行内部共享一个在线数据库，包括帐户信息、存款信息和取 款信息等真正为用户受理开户、取款、存款业务的是各个支行用户取款行为 可以在其开户支行所属总行的其他支行进行，也可以在其他类型总行的支行进行， 这两种取款方式类似于实际中的同行异地取款和跨行取款另外，基于b r a n d s 的 电子现金协议，本文给出了一种新型的有效的电子现金方案，重点说明了不同情 况下的取款协议 1 3 文章结构 本文如下安排：第二章解释了文中所用的符号及术语，并给出了后文用到的 代理签名方案和零知识证明方案；第三章提出了包含多类多级银行的电子现金系 统模型；第四章给出了基于该模型的电子现金方案，此方案由委托协议、开户协 3 第一章引言 议、用户取款协议、支付协议、商家存款协议五部分构成，其中取款协议分为同行 取款协议，跨支行取款协议，跨总行取款协议三种，是本文的核心部分；第五章中 对该方案的安全性进行了分析；第六章总结了本文的主要工作 4 第二章符号说明及预备知识 第二章符号说明及预备知识 在本章中，我们首先介绍了文中所用到的术语及各种符号代表的意义之后 的第二节中，我们说明了代理签名的含义和作用，并且给出了后文构建电子现金 系统所用到的代理签名方案该代理签名方案是本文所提出电子现金系统的基础 方案，各级银行之间密钥的委托都是基于该代理签名方案实现的第三节给出了 零知识证明方案在后文的电子现金系统中，此零知识证明方案用于客户向银行 证明自己对某帐号的所有性采用零知识证明可以让验证者在证明和验证过程中 得不到帐号内部的私钥信息，从而维护了证明者的利益 2 1 术语及符号说明 电子现金系统是电子现金的流通平台一般的电子现金系统包含四种角色和 四种流通行为，从而构成了电子世界的货币流通其中的四种角色就是流通过程 的主体。分别是： 1 b ：电子现金的发行者，即银行( b a n k ) ，是发行电子现金的金融机构，为 电子现金的使用者受理开户、取款及存款等业务； 2 u ：使用电子现金的普通消费者，即用户( u s e r ) ； 3 s ：可以接收电子现金的商家( s h o p ) ，为用户提供商品、信息或服务； 4 1 m ：可信第三方( t r u s t e dt h i r dp a r t y ) ，监管部门，相当于现实世界的 政府部门，他直接或间接地监督着货币流通的每一个环节，目的是保 证公平无误无欺骗 文中用下标区分同一角色的不同个体本文提出的电子现金方案中包含多类 多级银行，所以下面介绍不同类型及不同级别的银行的表示： c b ：表示中央银行，即最高级银行该电子现金系统中只有唯一的c b ， 它的职能是发行货币，并且将发币权利委托给各个总行，同时监督管 理下级银行的行为； b m ：表示总行用不同的下标m 的来区分不同类的总行； 5 第二章符号说明及预备知识 ：表示支行支行的下标蜘中，m 表示该支行所属的总行种类，j 表示支行序列号，例如表示氏的第歹个支行 主体的四种流通行为是： 1 用户在银行开户； 2 用户从银行取款( 电子现金) ； 3 用户将电子现金支付给商家并获得某种商品或服务； 4 商家将收取的电子现金存入银行 容易看出，电子现金由银行发行，经过用户、商家，最终回到银行，这与现实世 界的现金流通过程是一致的 2 2 代理数字签名 2 2 1 代理签名简介 签名代表了签名人的一种权利在手写签名中，签名权利依赖于签名人的书 写习惯和书写特征；在印签中，签名权利依赖于签名人掌握的印章，同时人们常常 根据印章的可传递性，将自己的签名权力( 印签) 委托给( 可信的) 代理人代表他 们在文件上盖章( 签名) 在数字化的信息社会里，数字签名代替了传统的手写签 名和印签，签名权利依赖于签名人的秘密密钥此时，人们仍然会遇到需要将签名 权利委托给他人的情况如何以安全、可行、有效的方法实现数字签名权利的委 托，称为数字签名权利的代理问题 1 9 9 6 年，m a m b o 等人于提出了一种特殊的数字签名一代理签名一方案利用 代理签名，一个被称为原始签名人的用户，可以将他的数字签名权力委托给另外 一个被称为代理签名人的用户代理签名人代表原始签名人生成的数字签名，称 为代理签名任何一个代理签名方案都包括以下几个部分：初始化过程、数字签 名权力的委托过程、代理签名的生成过程、代理签名的验证过程 根据数字签名权力的委托过程的不同方式，代理签名方案可以大致分为完全 委托型，部分委托型和带委任状的委托型三种基本类型本文第四章的电子现金 方案正是基于部分委托型代理数字签名而构造的即：原始签名人利用他的秘密 密钥计算出一个新的秘密密钥，并把这个新密钥秘密的交给代理签名人，使得代 6 第二章符号说明及预备知识 理签名人能利用新密钥生成代理签名，但不能根据这个新密钥计算出原始签名人 真正的秘密密钥；验证代理签名时，必须用到原始签名人的公开密钥 代理签名方案应该满足以下基本性质：基本的不可伪造性，代理签名的不可 伪造性，代理签名的可区分性，签名的不可抵赖性，签名人的身份证实性，代理密钥 对原始签名人密钥的依赖性，代理权力的可注销性另外，已经出现了多种复杂的 代理签名方案，例如多级代理签名方案、多重代理签名体制，详细可参考文献 3 4 1 2 2 2 代理签名方案介绍 下面介绍本文第四章中所用到的基于离散对数的代理数字签名协议，并对它 满足的性质进行分析。 系统初始化： 假定( r ，s k ，p k ，m ，s ，k e y g e n ，s i g n ，v e r ) 是一个基于离散对数问题的数 字签名方案p ，q 是两个大素数，满足：q 1 0 1 ) ，皿是一个安全的哈希函数 用户a 和b 的密钥分别是( x a ，y a ) 和( z 口，y b ) ，其中x a 和x b 分别是a ，b 的 私钥，纵和拈是对应的公钥，满足：y a = 旷 m o dp 和y b = 旷br o o dp 委托过程： 假设a 要将自己的签名权利委托给b ，那么a 与b 进行下面的委托过程，分 为三个步骤： ( 1 ) a 随机选取一个数k 召，计算出= g 知m o dp ： ( 2 ) a 计算出d r = x a h l ( k ) + kr o o dp ，并将( 盯，k ) 秘密的发送给b 。 ( 3 ) b 验证等式g 盯兰! ，署1 k k ( m o dp ) 是否成立，如果不成立，则b 要求a 重新执行委托过程或终止协议。 代理签名的生成过程： 对某个消息m ，b 生成普通的数字签名8 = s i g n ( a ，m ) ，然后以( 8 ，k ) 作为 他代表a 对消息m 生成的数字签名 代理签名的验证过程： 如果代理签名的接收方收到了消息仇和代理签名( 8 ，k ) ，那么他进行以下步 骤来验证代理签名的有效性 7 第二章符号说明及预备知识 ( 1 ) 计算出：秒= 可署1 k km o d p ； ( 2 ) 验证：v e r ( y a ，( 8 ，k ) ，m ) = t r u e 告令v e r ( ( ：r ，m ，s ) = t r u e 。 下面讨论上述代理协议满足代理签名的基本性质： 1 基本的不可伪造性：上述代理签名协议中，b 很难根据他得到的( 盯，k ) 计算出 z a ，从而不能伪造a 的普通数字签名由此也说明任何其他攻击者都难以伪 造a 的普通数字签名 2 代理签名的不可伪造性：因为a 和b 都知道( 盯，k ) ，所以a 和b 都能生成代 理签名但是，除了a 和b 以外，其他任何人都难以伪造一个有效的代理签名 3 代理签名的可区分性：代理签名( 8 ，k ) 由两部分组成，一部分是普通数字签 名8 ，另一部分是某个数k 代理签名比普通签名多出一部分，因此容易将代 理签名与普通数字签名区分开假如除了b 以外，还有另外一个代理签名人 c ，a 在委托过程中发送给c 的消息是( 盯1 ，k 1 ) ，其中k 1 = g k t m o d p ，h k ， 于是c 生成的代理签名的形式一定为( s 1 ，k 1 ) 可以看出：由于k 1 k ，所以 k 1 k ，从而可以将b 和c 生成的代理签名区分开 4 不可依赖性：因为任何人都不能伪造a 的普通数字签名，所以a 不能否认他 的一个有效的普通签名由于除了a 和b 外，任何人都不能伪造b 的代理签 名所以a 和b 都不能否认一个有效的代理签名( 8 ，k ) 是由他们中的某个人 生成的但是，a 和b 可以互相对有效的代理签名进行抵赖声称它是由对方 而不是自己生成的。 5 身份证实性：在这个代理签名协议中，如果a 在向b 发送( 盯，k ) 时候，将k 和b 的身份保存在一起，那么当a 看到一个有效的代理签名( 8 ，k ) 的时候， 就可以通过k 确认b 的身份 6 密钥依赖性：在这个代理签名协议中，代理签名密钥盯是a 的秘密密钥z a 的 函数值，即它依赖于o a 7 可注销性：a 如果想注销b 拥有的代理签名密钥盯，那么就可以向大家传达一 条消息( 这个消息应该由a 签名) ，宣布k 不再有效，从而b 生成的所有代理 签名随之失效 8 第二章符号说明及预备知识 2 3 零知识证明 在第四章给出的电子现金系统中，取款协议用到了零知识证明假设u 从帐 号，中取款，受理银行为6 m ，此时，u 需要向6 m ，证明自己对帐号j 的所有性， 是在开户协议中建立的，i = 硝1m o dp ，其中仳1 是u 的私钥，只有u 自己知道u 通过零知识证明向6 m f 证明自己对j 的所有性，同时不暴露私钥u 1 此处用到的 零知识证明过程如下，其中p ，q 是两个大素数，满足q l ( p 一1 ) ： u 选取一个随机数p rz ，计算6 = 夕pm o d p ，将6 发送给6 嘶； 6 删选取一个随机数r 召，将其发送给u ； u 计算盯= p u l m o dq 将盯传送给6 喇； 检验6 三g i ”( m o dp ) 是否成立若成立，则6 町, - i p a 认为u 知道 隐含在j 中的私钥乱1 上述过程如图2 1 所示 图2 1 零知识证明方案 分析上述证明与验证过程，由离散对数的难解性可知，如果上述过程顺利完 成，6 嘶可以认为u 是具备”u 1 ”的知识的验证成功的同时，6 晒很难得到关于 ”u 1 ”是什么的信息 9 第三章包含多类多级银行的电子现金系统模型 第三章包含多类多级银行的电子现金系统模型 本章给出了一种新型的电子现金系统模型，如图3 1 所示模型总体上包含 四种角色：可信第三方( r r 田) 、银行系统( b ) 、用户( u ) 、商家( s ) 当然，一 个成员可能具有商家和用户两种身份其中银行又根据各自的性质和职能分为 中央银行( c b ) ，总行( b i ，i = 1 ，2 ，l ) ，总行分布在各个地域的支行( b i j ，i = 1 ，2 ，厶j = 1 ，2 ，m ) ，其中每个总行直接且同时由1 r r r p 和c b 监管这里引 入1 田可以起到监督c b 滥用权力的作用另外，支行b i f 的下标两位数字i 和歹 分别表示他的所属总行种类和支行序列号 总行在接受r r 曙和c b 的发币权力委托后，再将发币权力委托给自己的支行， 终端直接为用户受理开户、存款、取款业务的是各个支行用户u 可以在任何一 类银行的支行开户、取款取款银行和开户银行可以是同一个支行，或是同一个总 行的不同支行，也可以是不同总行的支行也就是说，可以实现同支行取款、同行 异地取款和跨行取款当用户u 将取得的电子现金消费于商家s 处后，s 可以通 过自己认为合适的银行将电子现金存入自己的帐户此模型非常接近于现实 图3 1 包含多类多级银行的电子现金模型 跟传统的电子现金系统不同，基于本模型的电子现金系统包含以下个过程： l o 第三章包含多类多级银行的电子现金系统模型 1 密钥委托：每个总行分别从t i p 和c b 处得到两个代理密钥b m 将得到 的代理密钥以及自己的代理密钥一起授予其下属支行只有通过这样的密钥 委托过程，支行6 m f 才具备资格为用户办理开户、取款、存款等手续； 2 开户：u 在某个支行b l f 建立自己的帐户； 3 取款：u 在某个支行取款，这个支行可以是玩f ( u 的开户银行) 、b i 七( u 的开户 银行所属总行的其他支行) 、6 一( 不同于u 的开户银行所属总行的其他总行 的支行) ； 4 支付：u 在s 处消费，将电子现金支付给s ； 5 存款：s 将得到的电子现金存储到自己的帐户； 6 重复消费追踪：若u 将电子现金重复消费，那么u 的帐号可以很容易地被揭 示出来 第四章基于代理签名的多类多级银行电子现金系统 第四章基于代理签名的多类多级银行电子现金系统 在本章中，我们首先给出了一个密钥委托协议，其中包括1 【p 和c b 分别对 每个的委托，以及每个既分别对自己每个支行6 m j 的委托委托协议之后， 我们基于b r a n d s 电子现金协议【2 】，构造了一个包含多类多级银行的完整电子现 金系统该电子现金系统包含开户协议、取款协议、支付协议、存款协议四个部 分，其中重点说明了取款协议根据用户的开户银行和取款银行的同异，将取款行 为分为三种不同情况：1 ) ，取款银行与开户银行是同一总行的同一支行；2 ) ，取款银 行与开户银行是同一总行的不同支行；3 ) ，取款银行与开户银行分属不同总行这 三种情况在现实世界中都普遍存在，其中第二种情况对应于现实中的同行异地取 款，第三种情况对应于现实中的跨行取款也就是说，本章给出的电子现金系统不 仅模拟现实生活中的多银行系统，而且实现了同行异地取款和跨行取款 4 1 系统初始化 c b 选取两个大素数p ，q 满足q l ( p 一1 ) ；并选取四个合适的安全的哈希函数 h ，h 0 ，h i ，凰c b 随机选取召中阶为q 的元素序列( 夕，9 1 ，9 2 ) c b 的私钥为 x c r 召，对应的公钥为y c = 旷cm o d p p ，q ，( 9 ，g l ，9 2 ) ，日，凰，研，凰公开r 即 选取自己的私钥x t r 召，对应的公钥为y t = 旷rm o dp 选取自己的私钥 x b 。r 召，对应的公钥为= 旷腑r o o d p 每个商家s 都拥有一个表明其身份的序列号l ，此序列号可以唯一标识商家 每类银行的总行建立该类银行的两个数据库：第一个称为帐户数据库a d m ( a c c o u n td a t a b a s e ) ，用来存储每个帐户的帐号，以及包含帐户持有者信息在内的 开户信息；第二个称为存款数据库d d m ( d e p o s i td a t a b a s e ) ，用来存储商家接收电 子现金后的存款信息二者不同的是，每类银行的帐户数据库a d m 只在其内部共 享，并可内部在线查询；存款数据库d d m 对所有银行公开，可供所有银行实时查 询 1 2 第四章基于代理签名的多类多级银行电子现金系统 4 2 密钥委托协议 在我们提出的电子现金系统模型中，支行是直接为客户办理业务的银行，而 每个支行只有得到总行的代理密钥后爿。具备受理银行业务的资格，所以必须先进 行密钥的委托首先，1 p 和c b 分别将各自的代理密钥授予各个总行，即分别将 发币权力委托给各个总行；之后，每个总行将从r r p 和c b 处得到的代理密钥连 同自身产生的代理密钥一起分发给自己的支行下面给出的代理密钥委托协议中， 支行6 m f 得到的代理密钥为： ( z 删，) ， 其中，z 州是最终代理密钥，作为支行受理业务时的签名密钥；他。是t t p 授予 b m 的代理密钥的一部分，k 文是c b 授予b m 的代理密钥的一部分；k b m ，是b m 自身产生并分配给6 删的代理密钥每个6 喇的代理密钥是不同的那么，可 以通过公布代理密钥。j 来终止6 喇的代理资格同时，1 m 和c b 可以分别公 布各自授予b m 的代理密钥k t 和k 来终止的代理资格 4 2 1t t p 委托总行 首先，b m 向1 m 证明自己银行总行的身份真实性验证之后，r i p 通过一个 安全信道将代理密钥发送给，证明t t p 授予了作为银行总行的资格代理 密钥的产生过程如图4 1 所示 图4 1r r p _ 上k 委托协议 1 3 第四章基于代理签名的多类多级银行电子现金系统 如果b m 验证9 三斯h 1 k t m k ( m o d p ) 是正确的，那么，b m 接受r l p 授 予的代理密钥( ，k ) 4 2 2c b 委托总行 c b 委托总行的过程与4 2 1 中1 曙委托总行的过程非常相似首先，b m 向 c b 证明自己银行总行的身份真实性之后，c b 通过一个安全信道将代理密钥发 送给b m ，证明c b 授予了作为银行总行的资格代理密钥的产生过程如图4 2 所示 图4 2c b _ b 。委托协议协议 如果b m 验证9 三玢h 1 k t m ) k ( m o d p ) 是正确的，另v z - , ，b m 接受t r p 授 予的代理密钥( ，k ) 不同的有不同的代理密钥这部分密钥和从t t p 处得到的代理密钥一起共同构成b m 的完整代理密钥 4 2 3 总行委托支行 在总行委托支行的环节，总行b t n 首先验证，确是其支行验证完毕后，日n 针对6 m ，生成密钥。，连同从c b 和t i p 处得到的部分代理密钥酝。、k 构成支行的代理密钥，并通过安全信道传送给6 m j 详细过程如图4 3 所示 协议结束时，如果6 嘶验证旷删三蜥h 1 ( k k 谚1 配m k 可嚣k b m ) k j ( m o d p ) 成立，则接受代理密钥( z 删，k t ，k ，k 日仇，) 为方便，记旷m ，为y m j 在后面 的协议中，z m f 将作为支行为用户受理业务时的最终代理签名密钥 1 4 第四章基于代理签名的多类多级银行电子现金系统 图4 3 _ 6 嘶委托协议 4 3 开户协议 用户u 可以根据自己的实际便利选择开户银行此处假设u 选择的开户银 行是k ，当u 在6 m ，处开户时，首先要求u 出示自己的身份信息，并验证其 身份的真实性然后，u 生成一个随机数u 1 ，计算，卜9 1 1r o o d p 。如果鳄1 9 2 1 ， 则u 将传给f ，并且保存u 1 作为自己的开户私钥此处，作为u 所开设帐户 的帐号，的单一性是非常重要的假如u 实施了重复消费，那么银行可以通过帐 号j 唯一识别u 接着，6 嘶计算z 卜( 1 9 2 ) 卫一m o d p ，并将名，k ，k r m ，k b 。传 送给u 此协议的具体过程如图4 4 所示 协议结束时，u 保存( u l ，i ，z ，k ，k ，州) ；将u 的身份信息和( i ，名) 保存到其总行的帐户数据库a d 。，此数据库由既建立并维护，且其分支可在线 共享 4 4 取款协议 在实际的取款行为中，用户可以去自己的开户银行取款但是也有其他两种 情况经常发生，其一是用户可以在与开户银行所属同一总行的不同支行取款( 跨 支行取款) ，也就是通常实际中所说的同行异地取款，即u 在开户，在6 m i 取 1 5 第四章基于代理签名的多类多级银行电子现金系统 图4 4 开户协议 款；其二是用户可以跨总行取款，也就是实际中的跨行取款，即u 在6 m f 开户，在 取款根据这三种实际情况的不同，本文给出的电子现金系统用不同的协议分 别实现了这三种取款方式下面将列出三种不同的情况时的取款协议三种协议 都是基于b r a n d s 的电子现金协议【2 】 4 4 1 同支行取款 u 的开户银行和取款银行是同一总行的同一支行，我们假设该支行为6 m f 当u 取款时，u 向f 传送帐号，并用零知识证明其对，的所有性也就是 说，u 要证明自己确实知道i = g u - 中包含的密秘信息u 1 6 m f 通过在线的存款数 据库a d m 查看帐号，的信息以验证是否有足够的余额一旦验证u 对，的所有 性成立且余额充足，那么取款协议开始协议详细过程按下面步骤执行： 1 u 将帐户i 传送给6 砌，并用零知识证明使6 嘶相信u 确实是，的所 有者 2 6 m f 验证u 的零知识证明是否正确若正确，则从数据库a d m 中查 看，的信息以及余额是否充足若充足，则继续；否则，终止协议 3 6 喇随机选取u rz 计算。卜m o dp 和b 卜( 1 9 2 ) 。r o o dp ，将 ( a ，b ) 传送给u 4 u 随机选取8 rz ，计算a 卜( 1 9 2 ) 8m o dp ，z 7 卜扩r o o dp ；再 选取x l ，x 2 ，u ，u 冗刃，计算b 卜9 ；1 鳝2m o dp ，a 7 - 铲夕”m o dp ， 6 ，卜6 舳a m o dp ，d 卜h ( a ，b ，z 7 ，a 7 ，6 ，) c 卜e ur o o dg ；将c 发送给 1 6 第四章基于代理签名的多类多级银行电子现金系统 b m j 5 b m j 计算r 卜( 喇+ u ) m o dg ；将r 发送给u 5 u 验证g 三口( m o dp ) 和( ，夕2 ) 三z c b ( m o dp ) 是否成立若成立， 则计算，卜r u b ym o d 口并保存 a ，b ，( z 7 ，a 7 ，6 ，r ，) ，k ，地。，k b 。，) 取款协议结束 上述协议过程如图4 5 所示 u 保存的 a ，b ，( z 7 ，6 1 ，6 ，r ，) jk ，k ，k b m ，) ，就是从帐户，中提取的电子 现金 需要说明的是，用户u 可以提前计算= 旷m j = 纾h i k k 格1 k c m k 可口h 。1 ( k b m j ) k b m m o dp ，以各验证时使用，可以提高取款协议执行效率 定理4 1 取款行为中，如果u 和b m j 都诚实地按照协议执伉则u 可以得到 有效的电子现金，同时在u 的帐号上减去取款数额 证明 当u 和6 m 都诚实的按照协议执行，则u 验证时有以下等式模p 成 立： g 三g e 2 m j三( g x m j ) 。g 伽三可m cj u ，o ( i g u ) 三( i g u ) 。z m ，+ u 三( i g u ) 伽( ( ，夕2 ) z ”) 。三( i g u ) 伽z 。三b z 。 所以，取款协议将成功完成，定理成立 口 4 4 2 跨支行取款 在此节中，我们假设用户u 在6 。f 开户，在t 取款，即u 的开户银行和取款 银行为同一总行的不同支行，对应于实际情况中的同类银行异地取款u 想要通 过b 。l 从自己得帐号，上取款时，双方按以下步骤执行协议： 1 u 将帐户j 传送给b 。t ，并用零知识证明使b 仇i 相信u 确实是，的所 有者；同时告知6 m t 他的开户银行编号m j 2 6 m t 验证u 的零知识证明是否正确若正确，则从数据库中查看j 的 信息以及余额是否充足若充足，则继续；否则，终止协议 3 k i 计算：乏卜( ，仍) z 一随机选取u r 刃计算a 卜旷r o o dp 和 b 卜( 1 9 2 ) 。m o d p ，将( 乏，k 8 仇。，a ，b ) 传送给u 1 7 第四章基于代理签名的多类多级银行电子现金系统 图4 5 同行取款协议 1 8 第四章基于代理签名的多类多级银行电子现金系统 4 u 随机选取8 _ r 召，计算a 卜( 1 9 2 ) 8m o dp ，z 卜2 8m o dp ；再 选取x 1 ，z 2 ，u ，v r 刃，计算b 卜9 ；1 鲒2m o dp ，a 卜a u g ”m o dp ， 6 ，卜扩u a ”m o dp ，d 卜h ( a ，b ，z 7 ，a 7 ，6 ，) ，c 卜c ，让m o dg ；将c 发送给 t 5 i 计算7 卜( 凹m i + u ) m o d 口；将r 发送给u 6 u 验证g 三编 a ( r o o d p ) 和( 1 9 2 ) 7 三2 c b ( m o d p ) 是否成立若成立， 则计算，卜r u + vm o d q 并保存 a ，b ，( z 7 ，a 7 ，b 7 ，r ，) ，k ，k ，k b 。) 取款协议结束 上述协议过程如图4 5 所示 u 保存 a ，b ，( z 7 ，a 7 ，6 ，r i ) ，托。，k ，k b m ；) ，即为从帐户，中提取的电子现 定理4 2 同行异地取款行为中，u 在6 删开户，在6 m t 取款，即u 的开户银行 和取款银行为同一总行的不同支行，如果u 和b m t 都诚实的按照上述取款协议执 行，则u 可以得到有效的电子现金，同时b 。t 在u 的帐号上减去取款数额 证明当u 和6 m f 都诚实的按照协议执行，则u 验证时有以下等式模p 成 立： g 三夕凹m 三( 旷) 。g w 兰( ) 。o ； ( 1 9 2 ) 7 三( ，夕2 ) 。而喇+ u 三( 1 9 2 ) 加( ( j 仍) 2 ”) 。三( 1 9 2 ) 伽严三6 牙。 所以，取款协议将成功完成，定理成立 口 4 4 3 跨总行取款 在此节中，我们假设u 在的支行6 嘶开户，在b 凡的支行b n i 取款，即开户 和取款的受理银行不是属于同一家银行，这种情况对应于实际中的跨行取款在 实际中。这种情况是时有发生的，所以本节构造了一个跨行取款协议在此，本节 假设下面命题成立 命题4 3 每个总行与它的支行之间都设有安全信遣且总行与支行之间是无 欺骗的 u 的开户银行是，那么u 在取款时，双方按以下步骤执行协议： 1 9 第四章基于代理签名的多类多级银行电子现金系统 u 用零知识证明向b 。i 证明自己是j 的拥有者： 出示其开户银行编号m j s r 召 a 一( ，夕2 ) 8 m o d p 名7 - 2 8m o dp x l ，x 2 ，u ， r 召 b 一贫1 鳝2m o d p a - a u g ”m o d p b 7 + 一6 8 “a ”m o d p c ，一h ( a ，b ，z ，a 7 ，b 7 ) c - c ：| u r o o d q 验证：g ”三m c i a ( r o o d p ) ( 1 9 2 ) 7 兰u b ( m o d p ) 验证成立时，u 计算： r 7 _ ( r u + u ) m o dq 查看帐户数据库中，的信息： 并查看其余额余额足则继续， 否则协议终止 牙_ f 1 9 2 ) 2 m m o d p rz ； 口。g “m o d p b 一( ，9 2 ) 。m o dp 2 ，k b 。i ，a ，b 一 验证成立 将，的余额减去相应数日 图4 6 跨支行取款协议 第四章基于代理签名的多类多级银行电子现金系统 1 u 将帐户( ，m ，p = h 2 ( ，z ) ) 传送给k ，并用零知识证明使相信 u 确实是的所有者；同时告知k t 他的开户银行编号m 2 验证u 的零知识证明是否正确；若正确，则k l 将从u 处得到的信息 ( i ，m ，p = 凰( ，z ) )