2003 年 3 月 01 日
“過去的窮人口袋里沒錢,現(xiàn)在富人口袋里沒錢,今后大家口袋里都沒有錢,因?yàn)?各種各樣的電子現(xiàn)金和電子支付手段將引起貨幣形式的又一場革命” 。本文對目前電子現(xiàn)金系統(tǒng)的研究進(jìn)行了較為全面的闡述,給出了電子現(xiàn)金系統(tǒng)的基本概念、分類及所使用的密碼學(xué)關(guān)鍵技術(shù),目前所使用方案的優(yōu)劣,并給出一個 實(shí)用的公平電子現(xiàn)金方案及其安全性分析。最后指出電子現(xiàn)金系統(tǒng)未來發(fā)展方向。
?
電子商務(wù)是通過 Internet網(wǎng)所進(jìn)行的商務(wù)活動,對于電子商務(wù)一個非常關(guān)鍵的要求就是要有一個安全高效的電子現(xiàn)金系統(tǒng)。自 19 8 2年D. Chaum[2]發(fā)表第一篇關(guān)于電子現(xiàn)金系統(tǒng)的論文以來,在電子現(xiàn)金系統(tǒng)的研究方面已取得了很多研究成果。
電 子現(xiàn)金( E-cash )又稱為電子貨幣 ( E-money )或數(shù)字貨幣( digital cash ),是一種非常重要的電子支付系統(tǒng),它可以被看作是現(xiàn)實(shí)貨幣的電子或數(shù)字模擬,電子現(xiàn)金以數(shù)字信息形式存在,通過互聯(lián)網(wǎng)流通。但比現(xiàn)實(shí)貨幣更加方便、經(jīng) 濟(jì)。它最簡單的形式包括三個主體:商家,用戶,銀行;和四個安全協(xié)議過程:初始化協(xié)議,提款協(xié)議,支付協(xié)議,存款協(xié)議。第一個電子現(xiàn)金方案是由 Chaum[2]在1982年提出,他利用盲簽名技術(shù)來實(shí)現(xiàn),可以完全保護(hù)用戶的隱私權(quán)。但這種完全匿名的電子現(xiàn)金也為許多不法分子提供了方便,他們利用 電子現(xiàn)金的完全匿名性進(jìn)行一些違法犯罪活動,例如貪污、非法購買(如購買毒 品、軍 火等 )、敲詐勒索等。警方即便拿到贓款,也不能抓出犯罪分子。基于這個原因,合理的電子現(xiàn)金系統(tǒng)應(yīng)該是不完全或條件匿名的。1995年,Stadler等人 [3]提出了公平盲簽名 ( fair blind signature)的概念,可以用于條件匿名的支付系統(tǒng)。1996年,Camenisch等人[4]和 Frankel等人[5]分別獨(dú)立地首次提出了公平的離線電子現(xiàn)金( fair off-line electronic cash )的概念,同時給出了兩個方案。公平電子現(xiàn)金中的用戶的匿名性是不完全的,它可以被一個可信賴的第三方 ( TTP)撤消,從而可以防止利用電子現(xiàn)金的完全匿名性進(jìn)行的犯罪活動。
電子現(xiàn)金在其生命周期中要經(jīng)過提取、支付和存款 3個過程,涉及用戶、商家和銀行等 3方。電子現(xiàn)金的基本流通模式如圖 1所示。用戶與銀行執(zhí)行提取協(xié)議從銀行提取電子現(xiàn)金;用戶與商家執(zhí)行支付協(xié)議支付電子現(xiàn)金;商家與銀行執(zhí)行存款協(xié)議 ,將交易所得的電子現(xiàn)金存入銀行。典型的電子現(xiàn)金支付模型如下:
?
- 電子現(xiàn)金系統(tǒng)根據(jù)其交易的載體可分為基于賬戶的電子現(xiàn)金系統(tǒng)和基于代金券的電子現(xiàn)金系統(tǒng);
- 根據(jù)電子現(xiàn)金在花費(fèi)時商家是否需要與銀行進(jìn)行聯(lián)機(jī)驗(yàn)證分為聯(lián)機(jī)電子現(xiàn)金系統(tǒng)和脫機(jī)電子現(xiàn)金系統(tǒng);
- 根據(jù)一個電子現(xiàn)金是否可以合法的支付多次將電子現(xiàn)金分為可分電子現(xiàn)金和不可分電子現(xiàn)金。
電子現(xiàn)金在經(jīng)濟(jì)領(lǐng)域起著與普通現(xiàn)金同樣的作用,對正常的經(jīng)濟(jì)運(yùn)行至關(guān)重要。電子現(xiàn)金應(yīng)具備以下性質(zhì) :
- 獨(dú)立性: 電子現(xiàn)金的安全性不能只靠物理上的安全來保證,必須通過電子現(xiàn)金自身使用的各項(xiàng)密碼技術(shù)來保證電子現(xiàn)金的安全;
- 不可重復(fù)花費(fèi): 電子現(xiàn)金只能使用一次,重復(fù)花費(fèi)能被容易地檢查出來;
- 匿名性:銀行和商家相互勾結(jié)也不能跟蹤電子現(xiàn)金的使用,就是無法將電子現(xiàn)金的用戶的購買行為聯(lián)系到一起,從而隱蔽電子現(xiàn)金用戶的購買歷史;
- 不可偽造性:用戶不能造假幣,包括兩種情況:一是用戶不能憑空制造有效的電子現(xiàn)金;二是用戶從銀行提取N個有效的電子現(xiàn)金后,也不能根據(jù)提取和支付這N個電子現(xiàn)金的信息制造出有效的電子現(xiàn)金;
- 可傳遞性:用戶能將電子現(xiàn)金像普通現(xiàn)金一樣,在用戶之間任意轉(zhuǎn)讓,且不能被跟蹤;
- 可分性:電子現(xiàn)金不僅能作為整體使用,還應(yīng)能被分為更小的部分多次使用,只要各部分的面額之和與原電子現(xiàn)金面額相等,就可以進(jìn)行任意金額的支付;
電子現(xiàn)金系統(tǒng)中使用的密碼技術(shù)
電子現(xiàn)金的安全性和可靠性等主要是依靠密碼技術(shù)來實(shí)現(xiàn)的,主要有:
- 分 割選擇技術(shù): 用戶在提取電子現(xiàn)金時,不能讓銀行知道電子現(xiàn)金中用戶的身份信息,但銀行需要知道提取的電子現(xiàn)金是正確構(gòu)造的。分割選擇技術(shù)是用戶正確構(gòu)造N個電子現(xiàn)金傳 給銀行,銀行隨機(jī)抽取其中的N-1個讓用戶給出它們的構(gòu)造,如果構(gòu)造是正確的,銀行就認(rèn)為另一個的構(gòu)造也是正確的,并對它進(jìn)行簽名。
- 零知識證明:證明者向驗(yàn)證者證明并使其相信自己知道或擁有某一消息,但證明過程不能向驗(yàn)證者泄漏任何關(guān)于被證明消息的信息。以上兩種技術(shù)用于將用戶的身份信息嵌入到電子現(xiàn)金中。
- 認(rèn)證:認(rèn)證一方面是鑒別通信中信息發(fā)送者是真實(shí)的而不是假冒的;另一方面是驗(yàn)證被傳送信息是正確和完整的,沒有被篡改、重放或延遲。
- 盲數(shù)字簽名: 簽名申請者將待簽名的消息經(jīng)"盲變換"后發(fā)送給簽名者, 簽名者并不知道所簽發(fā)消息的具體內(nèi)容, 該技術(shù)用于實(shí)現(xiàn)用戶的匿名性。
?
|
|
?
?
-
取款協(xié)議(Withdrawal Protocol):用戶從自己的銀行帳戶上提取電子現(xiàn)金。為了保證用戶匿名的前提下獲得帶有銀行簽名的合法電子現(xiàn)金,用戶將與銀行交互執(zhí)行盲簽名協(xié)議,同時銀行必須確信電子現(xiàn)金上包含必要的用戶身份。一般取款協(xié)議分為如下兩步子協(xié)議:
- 開戶協(xié)議。這一步通常計(jì)算量較大,用于向用戶提供包含其身份信息的電子執(zhí)照。
- 取款協(xié)議。這一步只是單純的盲簽名過程,用戶能夠從其帳戶中提取電子現(xiàn)金。
-
支付協(xié)議(Payment Protocal):用戶使用電子現(xiàn)金從商店中購買貨物。通常也分為兩個子協(xié)議:
- 驗(yàn)證電子現(xiàn)金的簽名,用于確認(rèn)電子現(xiàn)金是否合法。
- 知識泄露協(xié)議。買方將向賣方泄露部分有關(guān)自己的身份的信息,用于防止買方濫用電子現(xiàn)金。
- 存款協(xié)議(Deposit Protocal):用戶及商家將電子現(xiàn)金存入到自己的銀行賬戶上。在這一步中銀行將檢查存入的電子現(xiàn)金是否被合法使用,如果發(fā)現(xiàn)有非法使用的情況發(fā)生,銀行將使用重用檢測協(xié)議跟蹤非法用戶的身份,對其進(jìn)行懲罰。
一、初始化協(xié)議(只執(zhí)行一次)
銀行B基于離散對數(shù)問題選擇參數(shù):選擇兩個大素?cái)?shù)p、q 且q |(p-1)。定義乘法群ZP上的階為素?cái)?shù)q的子群Gq以及Gq的一個生成元組(g,g
1
,g
2
),銀行B的簽名私鑰x∈Zq ,無碰撞單向散列函數(shù)H0、H1,銀行B公開其公鑰y =g
x
,以及p、q、g、g
1
、g
2
、H0、
H1(為了簡單起見,只考慮單一面額和單一有效期,不同簽名私鑰對應(yīng)電子現(xiàn)金的不同面額。)
用戶U設(shè)置(開戶協(xié)議):選取u1∈RZq,計(jì)算I U =(g 1 ) u1 作為用戶的銀行賬號,并將知識證明的簽名SPK{(lán)a|I U =g 1 a }(m)傳給銀行,這里m表示用戶的身份識別信息,銀行驗(yàn)證此知識證明的簽名,若驗(yàn)證成功,存儲I U 與用戶的身份識別信息。
二、取款協(xié)議(銀行和用戶之間的認(rèn)證及盲簽名協(xié)議)
- 用戶→銀行:用戶先通過身份識別協(xié)議(如schnorr協(xié)議),向銀行證明自己是其賬號的持有者,然后將取款需求(電子現(xiàn)金的面值,數(shù)量等)傳送給銀行;
- 銀行→用戶:銀行先驗(yàn)證用戶提交的身份識別信息,然后選取w∈RZq,計(jì)算a 0 =gw,b0=(I U g 2 )w,z0 = (I U g 2 )x ,傳送a 0 ,b0 ,z0給用戶。
- 用戶→銀行:選取x 1 , x 2 ,s,u,v∈RZq ,計(jì)算B=g 1 x1 g 2 x2 ,A=(I U g 2 ) s ,z= (z0) s , a= (a 0 )ugv , b=(b0)suAv ,c=H0(A‖B‖z‖a‖b) ,c 0 =c/umod q, 傳送c 0 給銀行。
- 銀行→用戶:計(jì)算r 0 = w+c 0 x mod q, 傳送r 0 給用戶,同時借記用戶的賬號。
- 用戶:檢查gr 0 yc0a 0 和 (I U g 2 )r0 (z0)c0b0 , 若驗(yàn)證通過, 則計(jì)算r=v+r 0 u1 mod q 。取款協(xié)議實(shí)際上是一個盲簽名協(xié)議,一個簽名Sign(A, B)=(z,a,b,r)有效,當(dāng)且僅當(dāng)gr = yH0 (A‖B‖z‖a‖b) a和A r =zH0 (A‖B‖z‖a‖b) b成立。用戶得到的電子現(xiàn)金為Coin = {A,B,Sign(A,B)}
三、支付協(xié)議(在匿名信道上的用戶U和商家S的協(xié)議)
- 用戶→商家:用戶將電子現(xiàn)金Coin發(fā)送給商家。
- 商家→用戶:驗(yàn)證電子現(xiàn)金Coin上銀行的簽名,若驗(yàn)證通過,則計(jì)算質(zhì)詢串d=H1(A‖B‖Is),然后將質(zhì)詢串d傳送給用戶U。其中Is表示商家在銀行的賬戶。
- 用戶→商家:用戶計(jì)算出應(yīng)答r1 =d(u1s) +x 1 mod q,r2=ds+x 2 modq,將(r1,r2)發(fā)送給商家。
- 商家:檢驗(yàn)g 1 r1 g 2 r2 AdB,若檢驗(yàn)通過,則接受用戶的支付,否則拒絕。
四、存款協(xié)議
商家傳送支付協(xié)議的一個副本給銀行, (如商家一樣地)檢驗(yàn)電子現(xiàn)金上銀行的盲簽名Sign(A,B) = (z,a,b,r)是否有效,若檢驗(yàn)通過,銀行在此數(shù)據(jù)庫中存儲(A,r
1
,r
2
,I
s
),并且在商家的賬戶中存入電子現(xiàn)金相應(yīng)的金額。
該電子現(xiàn)金系統(tǒng)方案的安全性是建立在計(jì)算離散對數(shù)問題困難性的基礎(chǔ)上的。
無法偽造合法的電子現(xiàn)金
不法用戶即使以合法用戶的身份在銀行提取k個合法的電子現(xiàn)金,他仍然不能根據(jù)已經(jīng)得到的信息偽造出第k+1個合法的電子現(xiàn)金,因?yàn)樗麩o法得到銀行的秘密私鑰x
合法用戶的匿名性得到保證
在 電子現(xiàn)金中嵌入有用戶的識別信息(即賬號IU),商家和銀行在支付協(xié)議和存款協(xié)議中,獲得的數(shù)據(jù)有A,B,Sign(A,B),r1,r2,其中B,r2 不含用戶的識別信息IU,而A,r1,Sign(A,B)都是IU盲化后的結(jié)果,商家和銀行若想從接收到的數(shù)據(jù)中得到用戶的識別信息(即IU),必須知道 盲因子s,而s是用戶隨機(jī)選取并保密的,這就保證了電子現(xiàn)金的匿名性。
商家無法偽造有效的支付信息
在支付協(xié)議中,盡管商家知道A,B,Sign(A,B),他可以計(jì)算d,但由于他不知道用戶的秘密鑰u1、s,因而他自己不能隨意構(gòu)造r'1,r'2,使得滿足gr'1gr'2 AdB,所以在沒有合法用戶的參與下,商家無法偽造有效的支付信息。
?
|
|
|
?
傳 遞性是物理現(xiàn)金一個基本的特征,但在電子現(xiàn)金中還沒有應(yīng)用,最主要的原因是:電子現(xiàn)金中為了能跟蹤重復(fù)花費(fèi)的用戶,在電子現(xiàn)金中加入了盲化的用戶身份信 息,在電子現(xiàn)金流動的過程中將加入使用過該電子現(xiàn)金的所有用戶身份信息,因此根據(jù)信息論的理論,電子現(xiàn)金的長度是不斷地增長的,每次交易都將造成大通信量 問題,無法有利于實(shí)際應(yīng)用;另外電子現(xiàn)金無論是在構(gòu)造還是存款過程中,相對于物理現(xiàn)金都是相當(dāng)容易而有效的。因此目前公平的離線電子現(xiàn)金的研究并不關(guān)注電 子現(xiàn)金的傳遞性。
現(xiàn) 有的公平電子現(xiàn)金方案都是由一個銀行發(fā)行的,但在現(xiàn)實(shí)生活中由多個電子銀行系統(tǒng)發(fā)行的電子現(xiàn)金較之單個銀行發(fā)行的電子現(xiàn)金是更適合的,因?yàn)樵谝粋€國家或地 區(qū)具有電子現(xiàn)金發(fā)行能力的銀行可能不止一家。這多個銀行形成一個群體,它們受國家的中央銀行管理,每個銀行都可以發(fā)行電子現(xiàn)金。所以由多個銀行發(fā)行的公平 電子現(xiàn)金模型是電子現(xiàn)金系統(tǒng)研究的重要方向,在這方面的研究主要是利用改進(jìn)的群簽名方案和群盲簽名方案設(shè)計(jì)的多銀行公平電子現(xiàn)金方案。但現(xiàn)在存在兩個公開 問題:第一是設(shè)計(jì)一個實(shí)用的多銀行公平電子現(xiàn)金方案當(dāng)然不一定是只是利用群簽名技術(shù),利用其它的技術(shù)可能更好地解決;第二是設(shè)計(jì)一個可廢除群成員的群簽名 方案,這也是群簽名研究中的一個公開問題。
可 分電子現(xiàn)金系統(tǒng)能夠讓用戶進(jìn)行多次合法的精確支付,減少提款次數(shù),從而可以降低網(wǎng)絡(luò)通信量,提高系統(tǒng)效率,因此可分的電子現(xiàn)金系統(tǒng)是研究的重點(diǎn)。 Okamoto和Ohta于1991年首次提出了一個可分電子現(xiàn)金系統(tǒng),該系統(tǒng)允許用戶將電子現(xiàn)金分成任意金額進(jìn)行多次支付,直到與該電子現(xiàn)金的總額相等 為止。為使銀行能夠有效地檢測用戶的重復(fù)支付,他們采用了二叉樹技術(shù)對電子現(xiàn)金進(jìn)行表示,但這種技術(shù)導(dǎo)致電子現(xiàn)金的支付協(xié)議通信量大、計(jì)算復(fù)雜度高、效率 低,盡管許多學(xué)者對該方案從不同的角度提出了改進(jìn)[6~10],但都由于使用二叉樹表示使得支付協(xié)議的執(zhí)行效率仍然很低。因此,到目前為止,可分電子現(xiàn)金 系統(tǒng)依然是不實(shí)用的。關(guān)于這方面研究,還可以引入可信第三方來實(shí)現(xiàn)對超額支付者的識別,使電子現(xiàn)金的支付協(xié)議中沒必要包含進(jìn)行重復(fù)支付檢查的信息,這樣就 可以放棄可分電子現(xiàn)金的二叉樹表示技術(shù),從而構(gòu)造更簡單的可分電子現(xiàn)金系統(tǒng)。
?
-
楊義先編著. 信息安全新技術(shù). 北京:北京郵電大學(xué)出版社.2002
-
Chaum D. Blind Signatures for Untraceable Payments [A]. Advances in Cryptology, ProcofCrypto 82[C]. SantaBarbara, California: Springer Verlag, 1983.199~203 .
-
Sadler M, Piveteau JM, Camenisch J. Fairblindsignatures. In: Lecture Notesin Computer Science, 921. Berlin:Springer-Verlag, 1995.209-219
-
Camenisch J, Maurer U, Stadler M. Digital payment systems with passive anonymity-revoking trustee.In:Bertino Eetal. eds. Lecture Notesin Computer Science, 1146. Berlin: Springer-Verlag, 1996.33-43
-
Frankel Y, TsiounisY, YungM. Indirect discourse proofs: Achieving fair off-line e-cash. In: ProcAsiacrypt'96, Ky-ongju, Korea, 1996. 286-300
-
Chan A, Frankel Y, Tsiounish Y. Easy Come Easy Go Divisible Cash[A]. Advances in Cryptology Proceedings of Eurocrypt 98[C]. Espoo, Finland: Springer Verlag, 1998.561-575.
-
Chen Kai, Zhang Yuqing, XiaoGuozhen, etal. A Practical Efficient Anonymous Divisible E-Cash System[A]. International Workshop.
-
Tsiounis Y. Efficient electronic cash: New notions and techniques [PhD dissertation]. Boston: College of Computer Science, Northeastern University, 1997. Available at
http://www.ccs.neu.edu/home/yiannis/pubs.html
?
|
|
||
|
|
戴元軍,男,28歲,北京郵電大學(xué)信息安全中心博士生,參加國家自然科學(xué)基金項(xiàng)目、國家973項(xiàng)目、國家863項(xiàng)目,并已發(fā)表多篇學(xué)術(shù)文章。主要研究方向:網(wǎng)絡(luò)安全與信息安全,密碼學(xué),電子支付,數(shù)字水印。Email: dai_yuanjun@163.com 。 |
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯(lián)系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長非常感激您!手機(jī)微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
