計(jì)算機(jī)科學(xué)2004Vol. 31N9. 1電子現(xiàn)金技術(shù)*)李繼國’曹珍富? 李建中'(哈爾濱工業(yè)大學(xué)計(jì)算學(xué)院哈爾濱 150001)' ( 上海交通大學(xué)計(jì)算機(jī)系上海 200030)2摘要本文首先介紹電子現(xiàn)金產(chǎn)生的背景、概念、研究思路、 國內(nèi)外現(xiàn)狀與進(jìn)展。然后介紹了電子現(xiàn)金系統(tǒng)的模型、分類、關(guān)鍵技術(shù)、存在的問題及述評(píng)。最后對電子現(xiàn)金技術(shù)的未來進(jìn)行展望。目的在于讓廣大讀者了解電子現(xiàn)金的發(fā)展和重要意義,激發(fā)讀者積極參與電子現(xiàn)金技術(shù)的研究,促進(jìn)我國電子商務(wù)的發(fā)展。關(guān)鍵詞電子現(xiàn)金,盲簽名 ,匿名性,可分性E-Cash TechnologyLI Ji-Guo' CAO Zhen-Fu2 Li Jian-Zhong '(School of Computer Science &. Technology, Harbin Institute of Technology , Harbin 150001, Chia )1(Department of Computer Science &. Technology，Shanghai Jiao Tong University ，Shanghai 200030, China)?Abstract This paper firstly introduces background ,conception ,research idea，present situation and progress at homeand abroad of e-cash technology. Then we introduce models ,categories ,key technologies ,open problems and remarksof e-cash system. Finally,we look into the future of e-cash technology. We want to make most readers learn aboutprogress and significance of e-cash technology ,to encourage readers to participant the research of e-cash technology,and to accelerate development of e-commerce in our country.Keywords E-cash, Blind signature, Anonymity, Divisibility易拷貝,因此重復(fù)花費(fèi)不可避免,并且事后檢查出的重復(fù)花費(fèi)1.引言所造成的損失如何挽回也是尚待解決的問題。完全匿名的電隨著Internet 網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,建立在Internet 網(wǎng)子現(xiàn)金系統(tǒng)[口可使不法分子進(jìn)行“完美犯罪”18],如敲詐、勒絡(luò)技術(shù)基礎(chǔ)之上的電子商務(wù)正在逐漸走進(jìn)我們的生活。人們索、非法購買.行賄受賄等。于是基于密鑰托管[18.19]、公平盲對方便、快捷.安全的電子支付技術(shù)的需求越來越迫切，而電簽名9和間接論述證明120(indirect discourse proofs)等思想子現(xiàn)金(E-Cash)就是-種非常重要的安全電子支付系統(tǒng),電的匿名撤銷的離線電子現(xiàn)金方案[19-12.21和公平離線電子現(xiàn)子現(xiàn)金正是在這樣的背景下應(yīng)運(yùn)而生的。商家希望通過金方案[0.222成為研究的熱點(diǎn)。針對在線和離線電子現(xiàn)金系統(tǒng)Internet來銷售其商品,顧客也希望能夠通過Internet方便而的優(yōu)缺點(diǎn)，陳愷,張玉清和肖國鎮(zhèn)[3]給出一種概率驗(yàn)證方案,安全地購買物品。這一切,既為Internet 技術(shù)的發(fā)展提供了新建立了一個(gè)聯(lián)機(jī)和脫機(jī)相結(jié)合的匿名可分電子現(xiàn)金系統(tǒng)。-的動(dòng)力，同時(shí)也使其面臨著巨大的挑戰(zhàn)。這是因?yàn)?電子商務(wù)個(gè)理想的電子現(xiàn)金系統(tǒng)應(yīng)具有如下性質(zhì):的發(fā)展離不開電子化的交易手段，而Internet卻缺乏標(biāo)準(zhǔn)的獨(dú)立性:電子現(xiàn)金的安全性不依賴于任何物理位置,電子安全機(jī)制,難以保證在電子化交易中交易雙方的身份認(rèn)證、交現(xiàn)金能通過計(jì)算機(jī)網(wǎng)絡(luò)傳送。易數(shù)據(jù)的保密性、匿名性.不可否認(rèn)性以及交易的公平性。條件匿名性:現(xiàn)金的使用不泄露合法用戶的身份,在必要為了解決這些問題,計(jì)算機(jī)專家和密碼學(xué)專家們利用密時(shí)(如用戶被懷疑敲詐、勒索等)可借助可信第三方撤銷匿名.碼技術(shù),在Internet標(biāo)準(zhǔn)協(xié)議基礎(chǔ)之上進(jìn)行了深入的探討與研究，提出了許多電子現(xiàn)金方案1-1]。電子現(xiàn)金(E- Cash)又不可偽造性:除了銀行合法發(fā)行電子現(xiàn)金外,任何人都不稱電子貨幣(E-money/coin),數(shù)字現(xiàn)金(Digital cash/能偽造電子現(xiàn)金。money),它可以看作是現(xiàn)實(shí)紙幣的電子或數(shù)字模擬,但比現(xiàn)不可重復(fù)花費(fèi)性:電子現(xiàn)金只能使用一次,重復(fù)花費(fèi)將以實(shí)紙幣更方便經(jīng)濟(jì),它是-種重要的電子支付系統(tǒng)。它的最簡很大的概率被發(fā)現(xiàn)。單形式包括三個(gè)主體和四個(gè)安全協(xié)議過程:商店,用戶,銀行;可分性:電子現(xiàn)金可以分成更小數(shù)額的幾份現(xiàn)金,但總金注冊協(xié)議,提款協(xié)議,支付協(xié)議,存款協(xié)議。第一個(gè)電子現(xiàn)金方額保持不變。案由Chaum在1982 年提出,他利用盲簽名技術(shù),可以完全可傳遞性:用戶可以任意地將電子現(xiàn)金轉(zhuǎn)借給別人,而不保護(hù)用戶的隱私權(quán)。根據(jù)電子現(xiàn)金在花費(fèi)時(shí)是否與銀行進(jìn)聯(lián)被追蹤。機(jī)驗(yàn)證,分為在線電子現(xiàn)金系統(tǒng)和離線電子現(xiàn)金系統(tǒng)。盡管在.不可連接性:用戶不同的電子現(xiàn)金不能被聯(lián)系起來。線電子現(xiàn)金系統(tǒng)有非常好的安全性,但巨大的通信量和驗(yàn)證離中國煤化工時(shí)，商店不需要和銀行進(jìn)中心的瓶頸會(huì)使得系統(tǒng)的效率極低。而離線電子現(xiàn)金系統(tǒng)對行聯(lián)機(jī)MHC NMH G,用戶的重復(fù)花費(fèi)都是進(jìn)行事后檢測,又由于電子現(xiàn)金非常容目例凹介工已僅八收用時(shí)電丁現(xiàn)金系統(tǒng)有Netcash[24]電*)國家自然科學(xué)基金(No.60072018),國家杰出青年科學(xué)基金資助項(xiàng)目(60225007),教育部高等學(xué)校博士學(xué)科點(diǎn)專項(xiàng)基金(20020248024)。李繼國博士生,主要研究方向?yàn)槊艽a學(xué)理論與技術(shù)、 電子商務(wù)等;曹珍富教授 .博士生導(dǎo)師,主要研究方向?yàn)閿?shù)論與現(xiàn)代密碼算法理論、信息安全的理論與技術(shù)、密碼協(xié)議與網(wǎng)絡(luò)安全、電子商務(wù)等;李建中教授, 博士生導(dǎo)師，主要研究領(lǐng)域?yàn)閿?shù)據(jù)庫系統(tǒng)技術(shù),并行計(jì)算技術(shù)。子現(xiàn)金構(gòu)架,歐盟ESPRIT計(jì)劃研制的CAFE251(Conditional據(jù)來自B的取款協(xié)議信息返回取款來源信息。B能通過訪問Access for Europe)系統(tǒng),D. Chaum建立的E-Cash[26]系統(tǒng)以它的存款協(xié)議信息使用T的返回值來發(fā)現(xiàn)貨幣。及CyberCash[2r]等電子現(xiàn)金系統(tǒng)。而國內(nèi)在電子現(xiàn)金設(shè)計(jì)方用戶跟蹤協(xié)議允許授權(quán)機(jī)構(gòu)阻止洗黑錢,因?yàn)樗麄兡馨l(fā)面的工作僅限于理論研究,暫時(shí)還沒有安全、有效、實(shí)用的電現(xiàn)可疑貨幣的來源。它也允許授權(quán)機(jī)構(gòu)發(fā)現(xiàn)使用匿名服務(wù)的子現(xiàn)金系統(tǒng)。盡管各國都在積極地研究電子現(xiàn)金技術(shù),但出于顧客的身份,而對合法用戶仍然提供匿名性。安全和效率等多方面的技術(shù)原因,真正實(shí)用的大規(guī)模電子現(xiàn)貨幣跟蹤協(xié)議允許授權(quán)機(jī)構(gòu)發(fā)現(xiàn)可疑取款的目的地。這金系統(tǒng)尚不多見。能解決勒索問題8]:-名顧客被勒索并且強(qiáng)迫匿名提取電子貨幣,以至勒索者能不被驗(yàn)證身份地使用這些貨幣,實(shí)際上進(jìn)2.主要電子現(xiàn)金模型行著“完美犯罪”，當(dāng)然不幸者不得不抱怨并且要求繼續(xù)跟蹤本文總結(jié)出四個(gè)常用的電子現(xiàn)金模型如圖1~4。取款。當(dāng)可疑用戶取款時(shí),該機(jī)制也能跟蹤他的活動(dòng)。圖1是電子現(xiàn)金的基本模型,包括三個(gè)主體和四個(gè)安全張方國、張福泰、王育民]首次提出了多銀行電子現(xiàn)金協(xié)議過程:商店s.用戶U,銀行B;一個(gè)取款協(xié)議,用戶U從模型,如圖4所示,這些銀行形成一個(gè)群體，受中央管理,每個(gè).銀行B提取電子現(xiàn)金,這時(shí)他的帳戶被記入借方;一個(gè)支付銀行都可以發(fā)行電子現(xiàn)金。這個(gè)系統(tǒng)的參與主體有:中央銀行協(xié)議,用戶U支付電子現(xiàn)金給商店S;一個(gè)存款協(xié)議，商店SB,各地分行B;,可信第三方T ,某個(gè)用戶U(他有自己的銀行把電子現(xiàn)金存入銀行B,這時(shí)它的帳戶被記入貸方。B;),商店(他有自己的銀行B)。工作過程如下:在離線電子現(xiàn)金系統(tǒng)中,同- -電子現(xiàn)金兩次花費(fèi)能被檢注冊:用戶U首先在可信第三方建立起身份與化名,或查,但不能防止。針對這一問題，1992年D.Chaum 和身份與匿名的身份號(hào)的聯(lián)系,使得以后可信第三方通過這些T. P. Pedersen5]利用防竄擾設(shè)備(如smart卡)解決了這一問聯(lián)系能夠?qū)崿F(xiàn)用戶的匿名撤銷,同時(shí)用戶也得到了可信第三題,并給出了具有電子錢包的電子現(xiàn)金模型(如圖2所示)。在方發(fā)給他的可以證明已經(jīng)注冊的合法證書。該模型中,Smart卡與用戶相互制約防止用戶兩次花費(fèi)同一開戶:用戶U在自己的銀行B,有帳號(hào)。電子現(xiàn)金。即如果用戶刪除對Smart卡不利的信息或兩次花提款:用戶U從自己的銀行B;提取- -筆電子現(xiàn)金。費(fèi)同一電子現(xiàn)金,則Smart卡不工作。另一方面,Smart卡不支付:用戶U在商店買了東西,將現(xiàn)金支付給商店。能直接向外部發(fā)送或從外部接收信息,而必須通過用戶進(jìn)行，存款:商店在自己的銀行B;將得到的電子現(xiàn)金存入自己以防止Smart卡將用戶的保密信息(如身份等)泄露出去。其的帳號(hào)，它工作過程如基本模型。追蹤:銀行B;發(fā)現(xiàn)這筆電子現(xiàn)金有問題時(shí)，由中央銀行找到銀行B,然后借助可信第三方追蹤到用戶U。提款銀行人存款為了減輕商店的工作量,使得商店可方便地驗(yàn)證任意-筆電子現(xiàn)金的合法性,假定所有銀行形成一個(gè)群體,各銀行利(用戶支付用群盲簽名技術(shù)發(fā)行電子現(xiàn)金15]。(可信第三方中央銀行圖跟蹤Smart ..提敕,存款..(銀行i)...(銀行j..( 銀行s注冊\存蔌\用j商店用戶圖2J. Camenisch, U. Maurer . M. Stadler[o]提出的公平離線圖4多銀行公平電子現(xiàn)金模型電子現(xiàn)金模型(如圖3所示)擴(kuò)展了上述兩個(gè)模型的功能。除了具有基本模型的全部功能外,它還可利用可信第三方T來3.電子現(xiàn)金的關(guān)鍵技術(shù)進(jìn)行用戶跟蹤和貨幣跟蹤。用戶跟蹤協(xié)議跟蹤指定貨幣的用戶身份。在這個(gè)協(xié)議中B把存款協(xié)議的信息提供給T。T返3.1盲 簽名技術(shù)回一個(gè)包含驗(yàn)證信息的串,通過它B由帳戶數(shù)據(jù)庫驗(yàn)證用戶1982年,Chaum]首次提出盲簽名概念,并利用盲簽名的身份。技術(shù)提出了第一個(gè)電子現(xiàn)金方案。利用盲簽名技術(shù)可以完全保護(hù)用戶的隱私權(quán),因此，盲簽名技術(shù)仍在諸多電子現(xiàn)金方可信第三方案°~I中廣泛使用。貨幣跟蹤↓↓用戶跟蹤盲簽名:一個(gè)盲簽名方案包括兩個(gè)實(shí)體,消息發(fā)送者和簽銀.行名者。它允許發(fā)送者讓簽名者對給定的消息簽名,并且沒有泄.取款露關(guān)中國煤化工:支付,名者.THCNMHG們設(shè)A為發(fā)送者B為簽說有如下幾個(gè)步驟:(1)A將消息m乘-個(gè)隨機(jī)數(shù)得m',這個(gè)隨機(jī)數(shù)通常稱為盲因子,A將盲消息m'送給B。圖3公平離線電子現(xiàn)金模型(2)B對m'簽名后,將其簽名sig(m' )送給A.貨幣跟蹤協(xié)議跟蹤貨幣取款的來源。在這個(gè)協(xié)議中,T根(3)A通過除去盲因子可從B關(guān)于m'的簽名sig(m' )中●6●得到B關(guān)于原始消息m的簽名sig(m)。用目前流行的各種盲簽名方案,則無法獲取有關(guān)待簽名的盲.但遺憾的是S.vanSolms,D.Naccade[8]指出盲簽名在完簽名候選的任何信息,因此必需使用“分割選擇”技術(shù)來檢查全保護(hù)用戶隱私的同時(shí),也為許多不法分子提供了方便。他們盲簽名候選的內(nèi)容,這極大地降低了電子現(xiàn)金的效率。1996利用電子現(xiàn)金的完全匿名性進(jìn)行-些違法犯罪活動(dòng),如敲詐年,M. Abe,E. Fujsaki[OJ針對在線電子現(xiàn)金系統(tǒng)銀行數(shù)據(jù)庫勒索、洗錢、貪污、非法購買等。出于這個(gè)原因,1995年，無限增長問題提出的部分盲簽名概念為此問題的解決提供了M. Stadler,J-M. Piveteau和J. Camenisch[9]提出了公平盲簽思路。鐘鳴、楊義先[52]提出了一個(gè)部分盲簽名方案,簽名者在名的概念,可用于條件匿名支付系統(tǒng)[10~12]。公平盲簽名模型.簽名消息中加入某種身份信息,無需使用“分割選擇”方法來包括發(fā)送者.簽名者、可信第三方(如法官)和兩個(gè)協(xié)議(發(fā)送檢查盲簽名候選的內(nèi)容,并且在此基礎(chǔ)上給出了一個(gè)基于比者和簽名者之間的簽名協(xié)議、簽名者和可信第三方之間的連特承諾的有效.不可連接、可分電子現(xiàn)金方案153],這極大地提接恢復(fù)協(xié)議)(見圖5)。高了電子現(xiàn)金的效率。s. Miyazaki和K. SakuraiC34J也利用部通過執(zhí)行簽名協(xié)議，發(fā)送者獲得他所選擇消息的有效簽分盲簽名方案設(shè)計(jì)了一個(gè)切實(shí)可行的電子現(xiàn)金系統(tǒng)。文[35~名,使得簽名者不能把他看到的盲消息簽名對與原始消息簽37]中提出的部分盲簽名方案和門限部分盲簽名方案也能很名對聯(lián)系起來。通過運(yùn)行連接恢復(fù)協(xié)議簽名者從法官獲得信.容易地運(yùn)用到目前的電子現(xiàn)金方案中。息,使他能識(shí)別出相應(yīng)的盲消息簽名對和原始消息簽名對。根3.2分 割選擇技術(shù)據(jù)連接恢復(fù)協(xié)議中法官從簽名者獲得的消息,可把公平盲簽分割選擇技術(shù)是密碼學(xué)的重要技術(shù)之一,在電子現(xiàn)金系名方案分為兩種類型:統(tǒng).8.3中有重要的應(yīng)用。在取款階段用戶向銀行發(fā)送2n類型1 :給定簽名者的盲消息簽名對,法官發(fā)送信息使簽條“盲候選"(其中n是安全參數(shù)),銀行隨機(jī)選擇其中的n條名者能有效地認(rèn)出相應(yīng)的原始消息簽名對。盲候選要求用戶泄露盲候選的內(nèi)部結(jié)構(gòu),銀行驗(yàn)證它們的正類型1 :給定原始消息簽名對,法官發(fā)送信息使簽名者能確性并對剩余的n條盲候選進(jìn)行盲簽名。在支付階段類似的.有效地識(shí)別相應(yīng)的原始消息的發(fā)送者或發(fā)現(xiàn)相應(yīng)的盲消息簽分割選擇技術(shù)被商店利用來驗(yàn)證用戶身份的“線索”(hint),名對。使得如果用戶兩次花費(fèi),則商店通過兩條線索識(shí)別用戶。由此可見,分割選擇技術(shù)是驗(yàn)證貨幣正確性的零知識(shí)證明的一個(gè)發(fā)送者簽名協(xié)議簽名者工具。因此,它保持了用戶的匿名性。顯然,分割選擇技術(shù)導(dǎo)致通信.計(jì)算和存儲(chǔ)開支的過分浪費(fèi),因?yàn)樵诿總€(gè)階段都有k個(gè)貨幣傳輸、存儲(chǔ)和驗(yàn)證。因此,使用分割選擇技術(shù)的電子現(xiàn)金消息簽名對-..不可連接性盲消息簽名對系統(tǒng)效率低,后來這種技術(shù)逐步被其它技術(shù)所取代,如部分盲下連接恢復(fù)協(xié)議簽名225.8技術(shù),電子錢包技術(shù)5.40~48]等,類型I3.3 比特承諾技術(shù).所謂比特承諾,簡單地說就是證明者P想對驗(yàn)證者V承諾一個(gè)預(yù)測(即1比特或比特序列),但直到某個(gè)時(shí)間后才揭圖5公平盲 簽名示他的預(yù)測。另一方面,V想確信P承諾了他的預(yù)測后,他沒有改變他的想法。T.Okamotol4]首先提出檢查使用離散對數(shù)公平盲簽名主要有兩方面的應(yīng)用。-方面,在匿名支付系承諾的數(shù)是否在指定的區(qū)間這一思想,并應(yīng)用到電子現(xiàn)金系統(tǒng)中為防止洗錢提供工具。在基于類型I 的支付系統(tǒng)中,可信統(tǒng)中。后來A.Chan，Y. Frankel, Y. Tsiounis[45]改進(jìn)了第三方能發(fā)現(xiàn)可疑取款的目的地,而在基于類型I的支付系T. Okamoto方案,降低了計(jì)算復(fù)雜性和通信量,并且他們的統(tǒng)中,他們能確定可疑現(xiàn)金源。另一方面,它能防止文[8]中提方案可以方便地使用文[10,11,20]中的跟蹤方法。最近,鐘出的“完美犯罪”方案:即一個(gè)用戶被敲詐并強(qiáng)迫他匿名提取.鳴,楊義先[33]1也利用文[44]中的比特承諾技術(shù)給出了一個(gè)有現(xiàn)金。如果使用公平盲簽名方案類型1,在給定銀行取款協(xié)議效的不可連接電子現(xiàn)金方案。比特承諾技術(shù)在電子現(xiàn)金系統(tǒng)中所看到的信息后,可信第三方能跟蹤被敲詐的電子現(xiàn)金。中發(fā)揮著重要作用。因此,在某種程度上說能否設(shè)計(jì)出安全、注1:公平盲簽名技術(shù)不能解決廣義敲詐問題,即不法分高效、實(shí)用的電子現(xiàn)金系統(tǒng)關(guān)鍵在于能否設(shè)計(jì)出高效的比特子強(qiáng)迫銀行使用完全盲簽名協(xié)議,則無法跟蹤該不法分子。承諾方案。M. Stadler ,J-M. Piveteau和J. Camenisch[9]提出了兩種公平3.4 - 次零知識(shí)認(rèn)證技術(shù)盲簽名方案。-種是基于Chaum[]盲簽名方案和分割選擇方T. Okamoto和K. Ohta[6提出了一個(gè)新型認(rèn)證技術(shù),一法[1.4),另一種是基于Fiat- Shamirl28]方案的變形和不經(jīng)意傳次零知識(shí)認(rèn)證系統(tǒng)。通俗地說,在這個(gè)認(rèn)證系統(tǒng),兩次使用同輸概念(29]。前者在簽名協(xié)議中需要大量的數(shù)據(jù)交換,而且簽一認(rèn)證被阻止?；谶@種技術(shù)和分割選擇技術(shù),他們提出了-名較長,后者雖然簽名非常短但簽名協(xié)議效率低,兩者都不適個(gè)新的滿足不可跟蹤性和不可再次花費(fèi)性的不可跟蹤電子現(xiàn)合于實(shí)際應(yīng)用。因此,高效的公平盲簽名方案尚待進(jìn)-步研金方案,并進(jìn)-步探討了電子現(xiàn)金的可傳遞性和可分性。下面我們給出-次零知識(shí)認(rèn)證的定義和存在性定理。在現(xiàn)有的公平電子現(xiàn)金系統(tǒng)中,商家和用戶必需使用同-次零知識(shí)認(rèn)證:認(rèn)證系統(tǒng)(A,{P,V,))是-次零知識(shí)一銀行,這一 要求使電子現(xiàn)金的廣泛使用受到一定程度的限的,如中國煤化工制。1998 年,A. Lysyanskaya和Z. Ramzan[sI擴(kuò)展了J. Came-存在一個(gè)概率多項(xiàng)式時(shí)間nisch和M. Stadler(80的群簽名方案,提出了群盲簽名方案,并圖靈機(jī)YHc N M H G,(P.(S),Y.(2)(I)是多指出如何利用群盲簽名方案構(gòu)造多銀行電子現(xiàn)金思想。最近，項(xiàng)式不可區(qū)分的。張方國、張福泰、王育民”首次提出了多銀行電子現(xiàn)金模型，●-次性:存在一個(gè)概率多項(xiàng)式時(shí)間圖靈機(jī)Mv,使得如并設(shè)計(jì)了一個(gè)可跟蹤用戶的多銀行電子現(xiàn)金方案。果P,的認(rèn)證以同-(C,X)被V,兩次接受,那么對于輸入I盲簽名方案是匿名電子現(xiàn)金的基礎(chǔ)。但是,如果單純地使由Mv,產(chǎn)生的輸出以壓倒多數(shù)的概率滿足關(guān)系R。下面定理說明-次零知識(shí)認(rèn)證系統(tǒng)是存在的(FOLC),或者作為構(gòu)造非交互間接論述證明的一個(gè)塊,它能定理如果存在一個(gè)安全比特承諾方案(或單向函數(shù))和夠提供FOLC所必需的一些功能。安全數(shù)字簽名方案,那么-次零知識(shí)認(rèn)證系統(tǒng)能使用NP完設(shè)置:一個(gè)概率多項(xiàng)式時(shí)間(p.p.t. )證明者P和一個(gè)全關(guān)系來構(gòu)造。p.p.t.驗(yàn)證者V。一般輸入是A,B,a,b,G,G,Gs,其中a,b,注2:通俗地說,零知識(shí)性意味著當(dāng)有效的證明者P,的Gi,G2,Gs是素階子群G,的生成元,q∈Z;,p是大素?cái)?shù),Z;認(rèn)證以同-(C,X)執(zhí)行一次，則不會(huì)泄露關(guān)于秘密信息s的是乘群。假定證明者不知道與a,b,G,,Gr,Gs相對應(yīng)的離散對任何知識(shí)。一次性意味著當(dāng)有效的證明者P,的認(rèn)證以同一故。向P秘密輸入x,v,w使得A=a°G{(mod p),B=b°G%(C,X)執(zhí)行兩次.則秘密信息s會(huì)被驗(yàn)證者泄露。(mod p)。符號(hào):EqLog[(A,a),G,(B,b),G2]表示A=a"Gi3.5證明對數(shù)等式技術(shù)(mod p),B=bGf(mod p),其中x∈G,G,Gz是G,的生成證明對數(shù)等式技術(shù)主要用于電子現(xiàn)金系統(tǒng)(4.20.3.40的跟元。人們直覺地認(rèn)為log.A=logrB((計(jì)算總是模p)證明如圖蹤。用戶和貨幣跟蹤的一個(gè)基本工具是對數(shù)等式的有效盲證6所示。明。這種證明或者孤立地用在公平離線電子現(xiàn)金系統(tǒng)EqLog[(A,a),G,(B,b),Gr]輸入:A,BP證明A=a"G(mod p),B=b'G"(mod p),即log.A- logoB: .py,sirsg.s∈rZqA'=a°Gp ,B' =b"GyA',B'c∈rZ,或c= H(A,A' ,a,Gi.B,B' ,b,G2.Info)r=c●x+yri=c●v+si+r2=c●w+s2Verify:a"●G1 ?A°●A'和b5●G2 ?B'. B'圖6對數(shù)等式的證明到目前為止，仍沒有十分系統(tǒng)的分類。H.Petersen和4.電子現(xiàn)金的分類G.Poupard(487根據(jù)電子現(xiàn)金系統(tǒng)的功能、性質(zhì)、效率和安全性電子現(xiàn)金技術(shù)經(jīng)過20年的發(fā)展,已取得了豐碩的成果。等綜合考慮，給出了較為系統(tǒng)的分類.如圖7.圖8所示。電子現(xiàn)金系統(tǒng)跟蹤系統(tǒng)不可蹺蹤系統(tǒng)信用卡支付微支付在線支付離線支付[不可撇銷匿名][ 可撇銷匿名}[ 不可歉銷匿名[ 可敬銷匿名]C分割選擇[ 限制性盲簽名]圖7電子現(xiàn)金系統(tǒng)的分類可撤銷匿名第三方參與取款」第三方參與注冊第三方參與初始化| 不可連接系統(tǒng)|連接系統(tǒng)]l 不可連接系統(tǒng)}不可連接系統(tǒng)|[ 不防敲詐][ 在線防敲詐) [在線防敲詐][ 離線防敲詐]不防敲詐防敲詐支付除的“給*當(dāng)?shù)墓ぁ安患用苤袊夯€(gè)圖8公 平電子現(xiàn)金系統(tǒng)YHCNMHG許值。5.可能的攻擊不誠實(shí)的商店不誠實(shí)的用戶●冒充(impersonation):商店多次重復(fù)花費(fèi)或重復(fù)存儲(chǔ)●透支(overspending):用戶花費(fèi)的現(xiàn)金值超出了它的允用戶支付的現(xiàn)金。●洗錢(moneylaundry):商店通過非法活動(dòng)獲得電子現(xiàn)值得探討的問題。金,為了隱藏貨幣的來源,商店設(shè)法將這些錢合法化。(3)可分性是電子現(xiàn)金的重要性質(zhì),其中最重要的是提供不誠實(shí)的銀行精確支付問題。非可分電子現(xiàn)金方案[1限制了可分精度和精●跟蹤用戶:銀行跟蹤電子現(xiàn)金與用戶之間的關(guān)系。確支付的次數(shù)?？煞蛛娮蝇F(xiàn)金方案一般采用二叉樹方●借助第三方跟蹤用戶:銀行向第三方謊稱電子現(xiàn)金已14,但它允許同一電子硬幣的不同支付之間的可連接透支,在借助第三方跟蹤該現(xiàn)金的誠實(shí)用戶的身份后,指控該性,這就影響了用戶支付的匿名性。因此尋求-種 新的有效可用戶。分電子現(xiàn)金的表示方法,使得電子現(xiàn)金具有不可連接性和無誣陷用戶:銀行虛假地指控用戶透支現(xiàn)金。限可分精度仍是-個(gè)尚未解決的問題23.17。誣陷商店:銀行虛假地指控商店兩次向銀行存同一個(gè).(4)在文[17]中給出了兩個(gè)尚未解決的問題:一是設(shè)計(jì)一有效的電子現(xiàn)金。個(gè)實(shí)用的多銀行電子現(xiàn)金方案不一定利用群簽名技術(shù);二是.透支后偽造現(xiàn)金:銀行對一個(gè)已經(jīng)透支的現(xiàn)金產(chǎn)生虛設(shè)計(jì)一個(gè)可廢除群成員的群簽名方案,這也是群簽名方案的假的支付文本,以獲取過多地賠償。-個(gè)公開問題,若設(shè)計(jì)出可廢除群成員的群簽名方案,則可克不誠實(shí)的可信第三方服文[17,52]中的電子現(xiàn)金方案的缺點(diǎn)。本文作者認(rèn)為使用向●誣陷用戶:可信第三方虛假地識(shí)別一個(gè)誠實(shí)的用戶,因前安全的數(shù)字簽名方案5.54]結(jié)合文[17]中的思想可解決第此銀行可能會(huì)毫無理由地指控該用戶，二個(gè)尚未解決的問題。不誠實(shí)的局外人不誠實(shí)的局外 人是一個(gè)實(shí)體,它可能(5)盡管國內(nèi)外學(xué)者對電子現(xiàn)金系統(tǒng)中的敲詐問題進(jìn)行向可信第三方注冊(但不是必須的)或者有一個(gè)銀行帳戶。了深入地探討與研究。但到目前為止，由s. van Solms,●偽造現(xiàn)金對于偽造現(xiàn)金有三種不同的攻擊:D.Naccadel°]提出的廣義敲詐問題(即不法分子強(qiáng)迫銀行使用-般偽造(universal forgery):一個(gè)實(shí)體為了獲得有效的完全盲簽名協(xié)議匿名地提取電子現(xiàn)金而無有效方法跟蹤不法電子現(xiàn)金,在已知公開參數(shù)和過去的支付文本的情況下,偽造分子)仍沒有得到徹底解決。銀行的簽名。(6)目前所有的公平電子現(xiàn)金方案都借助可信第三方(即多次取款偽造(one more forge):-個(gè)實(shí)體參與n次取款密鑰托管的思想(18.19])來實(shí)現(xiàn)對可疑用戶和現(xiàn)金進(jìn)行跟蹤。協(xié)議后,能獲得第n+1次的有效電子現(xiàn)金。這樣就存在兩個(gè)問題:-是可信第三方權(quán)力過大,它只要與銀透支偽造:一個(gè)實(shí)體知道幾個(gè)透支的支付文本產(chǎn)生新鮮行合謀就能隨意地跟蹤合法的用戶和現(xiàn)金，侵犯了用戶的隱.現(xiàn)金文本,并且能夠存入銀行。私權(quán)。二是可信第三方無條件可信這個(gè)條件過強(qiáng)。本文作者認(rèn)●現(xiàn)金或假名的竊聽:一個(gè)消極的攻擊者竊聽取款、支付.為對于前者可通過秘密分享思想[55加以解決,對于后者采用或存款的通信以獲得可花費(fèi)的現(xiàn)金,-個(gè)積極的竊聽者可扮半可信第三方的思想56.57]似乎更為合理。另一方面,現(xiàn)有的作中間人并且修改協(xié)議數(shù)據(jù)。同樣的攻擊也可應(yīng)用在注冊階電子現(xiàn)金方案都是單銀行發(fā)行電子現(xiàn)金,-旦銀行的密鑰泄段獲取簽名的假名。露或被攻擊者竊取,那將是災(zāi)難性的。因?yàn)楣粽吣軌騻卧祀? 竊取或敲詐用戶的現(xiàn)金:攻擊者可能從用戶的設(shè)備(如子現(xiàn)金且很難發(fā)現(xiàn),對于這種情況作者認(rèn)為如果采用公平門Smart卡)竊取現(xiàn)金文本或強(qiáng)迫用戶從他的帳戶取款,并且把限盲簽名9]1或部分門限盲簽名技術(shù)80],多個(gè)銀行對電子現(xiàn)金它們轉(zhuǎn)移到攻擊者的設(shè)備,使得他以后能花費(fèi)這筆現(xiàn)金。進(jìn)行盲簽名,即使攻擊者得到-個(gè)或幾個(gè)(小于門限值)銀行●竊取或敲詐商店的現(xiàn)金:攻擊者或者竊取商店設(shè)備中的簽名密鑰仍無法偽造合法的電子現(xiàn)金。同時(shí)銀行定期更換尚未存入銀行的支付文本,或者強(qiáng)迫商店泄露它們。密鑰,這能極大提高系統(tǒng)的安全性,當(dāng)然這也會(huì)相應(yīng)地增加計(jì).竊取或敲詐秘密鑰:攻擊者或者竊取銀行(用戶/商店)算量和通信代價(jià)。的秘密鑰,例如,黑客攻擊進(jìn)入系統(tǒng)或者強(qiáng)迫泄露秘密鑰。結(jié)論與展望隨著信 息技術(shù)的突飛猛進(jìn),電子支付的革●廣義敲詐(blindfolding):攻擊者強(qiáng)迫銀行(可信第三命使得傳統(tǒng)商業(yè)銀行迅速向綜合服務(wù)機(jī)構(gòu)轉(zhuǎn)變.業(yè)務(wù)范圍擴(kuò)方)使用完全盲簽名協(xié)議,以獲得電子現(xiàn)金并且他能成功地花展至社會(huì)生活每-角落,如財(cái)務(wù)咨詢.委托理財(cái)、外匯、代理稅費(fèi)而不被跟蹤。收、代收工資費(fèi)用等,以及通過網(wǎng)絡(luò)進(jìn)-步提供旅游、信息服6.存在的問題及述評(píng)務(wù)、交通和娛樂等全方位的公共服務(wù),成為電子商務(wù)不可或缺的媒介.作為電子商務(wù)關(guān)鍵技術(shù)之-的電子現(xiàn)金系統(tǒng)將在未(1)一個(gè)尚未解決的問題是基于密碼學(xué)假定(例如，離散來的電子支付手段中占主導(dǎo)地位。因此,對安全、高效、可分的對數(shù))的有效電子現(xiàn)金方案的安全性證明。因?yàn)榘踩允请娮庸诫x線電子現(xiàn)金系統(tǒng)的研究不僅具有重要的科研學(xué)術(shù)價(jià)現(xiàn)金系統(tǒng)得以實(shí)際應(yīng)用的-個(gè)重要保障,它涉及到用戶、商家值,而且對國家電子商務(wù)、金融體系機(jī)構(gòu)的信息化建設(shè)和國民及銀行的風(fēng)險(xiǎn)問題。目前幾乎所有的電子現(xiàn)金方案都沒有從經(jīng)濟(jì)的發(fā)展具有重大的意義。理論上給出嚴(yán)格的安全性證明,值得慶幸的是這-問題已引起國內(nèi)外密碼學(xué)者的高度重視。Pointcheval和Stern49.50在參考文獻(xiàn)這方面的研究取得了-定的進(jìn)展并給出了-些簽名方案的安.Chaum D. Blind signature for untraceable payment. Advances in全性證明,指出Brands[2]方案的安全性證明是可行的。但是Cryptology- Eurocrypt'82 Proceedings, Plenum Press, 1983. 199為了證明現(xiàn)存的各種電子現(xiàn)金方案的安全性,仍有-些數(shù)論~203Brands S. Untraceable off-line cash in wallets with observers. In問題尚待解決。進(jìn)-步,目前所有實(shí)用的電子現(xiàn)金方案都是建"rvptolnov- Crvntn*93 Proceedings, Lecture Notes立在存在隨機(jī)Oracle模型假定之上,這是一個(gè)非常強(qiáng)的假inC中國煤化工Verlag.1993. 302~318定,因此如果能弱化或回避這一假定也是一項(xiàng)非常有趣且值.inimalistic approach to ECon |YHCN M H Gp on Practic and Theory in得進(jìn)一步研究的問題。Public Key Cryptography, PKC'99, Lecture Notes in Computer(2)另外 一個(gè)值得注意的問題是:往往一個(gè)理論上被證明Science 1560, Springer Verlag, 1999. 122 ~ 135非常安全的電子現(xiàn)金系統(tǒng)可能由于通信代價(jià)和計(jì)算復(fù)雜度過Chaum D, Fiat A,Naor M. Untraceable electronie (cash. In: Proe.of Crypto'88，Lecture Notes in Computer Science 403 , Springer-高導(dǎo)致在實(shí)踐中是不可行的。因此在電子現(xiàn)金系統(tǒng)的安全性Verlag,1990. 319~327問題上，如何在理論證明與實(shí)際應(yīng)用之間尋求一種妥協(xié)也是Chaum D, Pedersen T. Wallet databases with observers. In:●9●Proc. of Crypto'92， Lecture Notes in Computer Science 740，32 Zhong Ming, Yang Yixian. Partial blind signature based on bitSpringer- Verlag.89~ 105commitment. Chinese Journal of Elctronics, 2000，9(3): 284~Ferguson N. Single term off line coins. In: Proc. of Eurocry-286pto'93,Lecture Notes in Computer Science 765，Springer- Verlag，3 Zhong Ming, Yang Yixian. An efficient unlinkable electronic cash318~ 328based on bit commitment. Chinese Journal of Electronics. 2001.Okamoto T, Ohta K. Universal electronic cash. In: Proc. of10(2): 255~258Crypto'91. Lecture Notes in Computer Science 576， Springer-34 Miyazaki s, Sakurai K. A practical off-line digitalmoney systemVerlag ,324~ 337with partially blind signatures based on the discrete logarithm8 van Solms s,Naccade D. On blind signatures and perfect crimes.problem. IEICE Trans. Fundamentals, 2000, E83-A(1): 106 ~Computers and Security ,1992,11(6):581~ 583108Stadler M, Piveteau J M, Camenisch J. Fair blind signature. In:35 Abe M ,Camenisch J. Partially blind signature schemes. SCIS97.Proc. of Eurocrypt'95， Lecture Notes in Computer Science ，1997Springer-Verlag.1995.921 :209~21936 Juang W-S,Lei C-L. Partially blind threshold signatures based on10 Camenisch J,Maurer U ,Stadler M. Digital payment systems withthe discrete logarithm. Compuer Communications 1999,22: 73~passive anoymity- revoking trustee. In Esorics'96, Leeture Notesin Computer Science 1146, Springer- Verlag, Italy 1996. 33~ 4337 Juang W-S,Lei C-L,Liaw H T. Fair blind threshold signatures11 Davida G,Frankel Y ,Tsiounis Y, Yung M. Anonymity control inbased on the discrete logarithm. Compuer Systems Science &.e-cash. In:Proc.of the 1” Financial Cryptography Conf. Lecture .Engineering .2001.6: 371 ~ 379Notes in Computer Science 1318， Anguilla， BWI, Springer-38 Franklin M， Yung M. Secure and Efficient Off- line DigitalVerlag,Feb. 1997. 24~28Money. In: Proc. of the twentieth international Colloquium on12 Claessens J，Preneel B, Vandewalle J. Anonymity controlledAutomata，Languages and Programming (ICALP 1993)， Lund,electronic payment system. In: Proc. 20hmposim onSweden，. LectNotes in Computer Science 700)， Springer-Information Theory in the Benclux， Hasrode， Belgium,Verlag，1993. 265~ 2761999. 109~11639Pailles J C. New protocols for electronic money. In: Proc. of13鐘鳴,楊義先， 一種基于RSA盲簽名和二次剩余的電子現(xiàn)金方Ausicrypt'92 ，263~274案，北京郵電大學(xué)學(xué)報(bào),2000,23(3):87~900 Camer R，Pedersen T. Improved privacy in wallets with14王常吉,裴定一。-類公正的離線的電子現(xiàn)金方案.計(jì)算機(jī)應(yīng)observers. In Advances in Cryptology. Proc. of Euroerypto*93，用,2001 ,21(3):9~10Lecture Notes in Computer Science 765， Springer-Verlag,15 Lysyanskaya A, Ramzan Z. Group blind signatures: A scalable1993. 329~ 343solutions to electronic cash. In: Hirschfeld R ed. Lecture Notes41楊波,劉勝利.王育民. 利用Smart卡的可撤銷匿名性的電子支in Computer Science 1465, Berlin: Springer- Verlag, 1998. 184 ~付系統(tǒng).電子學(xué)報(bào)，999,27(10);792-79619742楊波，王育民，利用電子錢包的公正支付系統(tǒng)。計(jì)算機(jī)學(xué)報(bào)，16左英男,戴英俠,許劍卓. -種安全的Internet小額交易協(xié)議分析.計(jì)算機(jī)工程,2000.26(7): 136~13843陳愷,楊波,王育民,肖國鎮(zhèn).利用電子錢包的有效的公正支付系17張方國,張福泰.王育民。 多銀行電子現(xiàn)金系統(tǒng).計(jì)算機(jī)學(xué)報(bào)，統(tǒng)。計(jì)算機(jī)學(xué)報(bào),2001.24(11):1191~11952001 ,21(5):454 ~46244 Okamoto T. An efficient divisible electronic cash scheme. In Don18曹珍富.基于公鑰密碼系統(tǒng)的門限密鑰托管方案.中國科學(xué)ECoppersmith, ed. Advances in Cryptology, Proc. of Crypto'95,輯,2000,30(4); 360~ 366Lecture Notes in Computer Science 963，Springer- Verlag，Santa19曹珍富,李繼國.基于EIGamal體制的門限密鑰托管方案.計(jì)算Barbara ,California, U. s. A,1995.27~31機(jī)學(xué)報(bào)2002.25(4):346~3505 Chan A. Frankel Y, Tsiounis Y. Easy come easy go divisible2(Frankel Y, Tsiounis Y, Yung M. Indirect discourse proofs:cash. In: Advances in Cryptology- Eurocrypto'98. Espoo,Achieving fair off-line e cash. Advances in Cryptology. In: Proc.Finland: Springer-Verlag，1998. 561~ 575of Asiacrypt'96， Lecture Notes in Computer Science 1163，46 Okamoto T,Ohta K. One- time zero- knowledge authenticationsKyongju, South Korea, Nov. Springer- Verlag，1996. 286~ 30Cand their applications to untraceable electronic cash. IEICE21 Jakobsson M. Yung M. Revokable and versatile electronicTrans. Fundamentals, 1998. E81-A(1): 2~10money. In: Proc.of the 3rd ACM Conf. on Computer Communi-47 Tsiounis Y. Efficient electronic cash: New notions andcation SSecurity ,ACM Press ,1996. 76~87techniques:PhD Thesis ] . College of ComScience,22 Solages D, Traore J. An eficient fair off line electronic cashNortheastern University Boston, Massachusetts , 1997system with extensions to checks and wallets with observers. In:48 Petersen H, Poupard G. Eficient scalable fair cash with off-lineProc.of the 1* Financial Cryptography Conference， Anguilla,extortion prevention. Lecture Notes in Computer Science, 1997，BW1, Springer- Verlag. 19981334: 463~49523陳愷,張玉清.肖國鎮(zhèn)。 基于概率驗(yàn)證的可分電子現(xiàn)金系統(tǒng)。計(jì)49 Poincheval D, Stern. Provably secure blind signature schemes. In算機(jī)研究與發(fā)展,2000,37(6):752 ~757Advances in Cryptology. In: Proc. of Asiacrypt'96 ，Lecture Notes24 Medvinsky G, Neuman B C. Netcash: A design for practicalin Computer Science 1163, Kyongju, South Korea, Springer-electronic currency on the Internet. In: Proc.of the 1* AnnualVerlag Nov. 1996ACM Conf. on Computer and Communications Security, ACM50 Poincheval D, Stern. Security proofs for signature schemes. 1Press，1993. 102~106Advances in Cryptology, Proc. of Eurocrypt*96， Zaragoza,25 Camenisch J L, Piveteau J-M, Stadler M. An efficient paymentSpain , Springer-Verlag.1996.387~ 398system protecting privacy. In: Proc.of ESORICS'94， Lecture51 Kozen D, Zaks s. Optimal bounds for the change- makingNotes in Computer Science 875， Springer-Verlag， 1994. 207 ~problem. Theoretical Computer Science, 1994,123:377~ 38852 Traore. Group signature and their relevance to privacy protecting6 eCash Technologies ,2000. http:// www. digicash. com/off-line electronic cash systems. In: Proc.4" Australian Conf. on27 CyberCash, Inc，1999. http://www. cybercash. comInformation Security and Privacy, Australia, 1999.228~2438 Fiat A.Shamir A. How to prove yourself: Practical solutions to .3 Abdalla M, Reyzin L. A new forward- secure digital signatureidentification and signature problems. In; Proc.of Crypto'86, .scheme. In Advances in Cryptology，Proc. of Asiaerypt' 2000,Lecture Notes in Computer Science 263. Springer- Verlag, 186~Lecture Notes in Computer Science Springer- Verlag. 200019454 Bellare M.MinerS. A forward- secure digital signature scheme.29 Even s, Goldreich O, Lempel A. A randomized protocol forAdy中國煤化工Cryp1*96. Leeture Notes insigning contracts. Communications of the ACM, 1985.28 :637. ed. , Springer Verlag, 199930 Camenisch J, Stadler M. Efficient group signature schemes for6475 Sh(11HC N M H GCommun. ACM， 1979. 24large groups. In:Kaliski Jr B s, ed. Lecture Notes in Computer6蔣曉寧,葉澄清,潘霄增。基于半可信離線第三方的公平交易協(xié)Science 1294. Berlin: Springer: Verlag. 1997. 410~424議.計(jì)算機(jī)研究與發(fā)展.2001,38<4): 502~50831 Abe M, Fujisaki E. How to date blind signatures. Advances in .57 Franklin M K, Reiter M K. Fair exchange with a semi-trustedCryptology- Asiacrypt'96，Lecture Notes in Computer Sciencethird party. In: proc.of 4ψ ACM Conf on Conputer and11631，Springer, New York,1996. 244~251Communication Security, Zurich; ACM Press,1997. 1~5●10.