岳 璐，賈小珠，茹俊麗

(青島大學 信息工程學院，山東 青島 266071)

1 預備知識

1.1 符號定義

其中：G1、G2分別是基為素數(shù)p的循環(huán)群，它們可以相同也可以不同。

G1、G2、GT中的元素都有唯一的二進制表示。

g0、h0分別是群 G1、G2的生成元。

ψ：G2→G1是同構體 G2到 G1的映射，滿足 ψ(h0)=g0。

1.2 數(shù)學假設

1.2.1 DDH假設

循環(huán)群 G 上的 DDH 假設為：給定 g，ga，gb，gc，去判斷gab=gc是否成立是困難的。其中，g為G的生成元，a、b、c 為隨機數(shù)，滿足 a，b，c∈{0，1，…，q-1}。 DDH 假設與解離散對數(shù)問題相關，因此，在循環(huán)群G中基于離散對數(shù)的困難性假設，DDH假設是成立的。

1.2.2 y-DDHI假設[6，13]

1.2.3 LRSW假設[14]

設 G=＜g＞是以素數(shù) p 為底的循環(huán)群，u=gx，v=gy，Ou，v(·)滿足對于 a∈G，m∈Zp能夠計算得到(ay，ax+mxy)。素數(shù)群 G 上的 LRSW 問題指： 對于 g，u，v，Ou，v(·)，求(m，a，b，c)滿足 m≠0∧a∈G∧b=ay∧c=ax+mxy，且 m 不是 Ou，v(·)的輸入。 素數(shù)群 G上的 LRSW 假設指素數(shù)群G上的LRSW問題是難解的。

2 基于CL簽名的壓縮電子現(xiàn)金方案

2.1 銀行初始化

λ為系統(tǒng)安全參數(shù)，(G1，G2)是雙線性群組，同構體G1、G2滿足|G1|=|G2|=p。

假設Gp是以p為底的群，且滿足DDH假設。

設 H：{0，1}*→Zp是加密哈希函數(shù)。

2.2 用戶初始化

2.3 取款協(xié)議

2.4 支付協(xié)議

設用戶的電子錢包為(a，b，c，A1，A2，A3，A4，B1，B2，B3，B4，s，t，x，y，r，J)，其中，J≤k，商家身份為 I，并同意取款信息，計算 R=H(info，I)。

2.4.1 單一貨幣的支付協(xié)議

其中，δ2=1/r2mod p，δ4=1/r4mod p，δJ=Jx，δ5=r5x，δt=tx。

2.4.2 壓縮支付協(xié)議

2.4.3 批處理支付

2.5 存款協(xié)議

商家發(fā)送給銀行支付協(xié)議的復本，銀行檢驗商家與用戶交易的復本的正確性，為了防止用戶和商家串通起來進行聯(lián)合欺騙，銀行需檢驗商家的身份I，確認R=H(info，I)沒有被使用過，防止電子現(xiàn)金的重復花費。同時為了防止商家將1次交易的復本提交給銀行2次，在確認 R=H(info，I)沒有被使用過以后，銀行將 S，T，R 存入自己的數(shù)據(jù)庫。(如果是壓縮支付，則銀行對于i=1，…，k，計算 Si=Ved(s，i)，并將所有的(S，T，R)，(S，Tc，s，t，R)存入相應的數(shù)據(jù)庫)。

3 非法用戶的追蹤

對于重復花費者的追蹤：當銀行收到一個新的支付協(xié)議的復本時，銀行首先檢查數(shù)據(jù)庫中是否存在S，如果有，則說明重復花費了電子現(xiàn)金，銀行對重復花費者按以下方式進行追蹤。

(1)單個電子現(xiàn)金的重復花費

(2)壓縮支付中和單個電子現(xiàn)金重復

設銀行數(shù)據(jù)庫中的記錄為(S，Tc，s，t)，當前提交的新的復本為(S，T，R)，銀行確認 i滿足 Si=Vrf(s，i)，并計算PK=T/(Vrf(t，i)R)，找出非法用戶，并進行懲罰。

(3)重復壓縮支付

4 特性分析

(2)可分性。用戶1次從銀行取得n個電子現(xiàn)金放入自己的電子錢包，每當有支付請求時，取i個總和滿足支付請求的電子現(xiàn)金進行支付，滿足1次取款多次支付的要求，從而達到可分。

(3)高效性。系統(tǒng)基于CHL協(xié)議的設計思想，當用戶能夠計算得到Si和Ti，則直接提交相應的 s和 t。充分利用了CL簽名的優(yōu)點，除批處理支付協(xié)議外，其他協(xié)議均為常數(shù)級時間復雜度，而且，批處理支付協(xié)議的時間復雜度也與花費的電子現(xiàn)金的數(shù)目線性相關。因此，系統(tǒng)整體效率較高。

本文將壓縮支付和批處理支付的思想融入到壓縮型電子現(xiàn)金系統(tǒng)中，給出了運用這種思想的可靠電子現(xiàn)金方案，基于CL簽名構建了一種安全高效的可分電子現(xiàn)金系統(tǒng)。但是，CL簽名不支持并發(fā)簽名，所以，提款協(xié)議必須按序進行。目前，在安全的壓縮型電子現(xiàn)金系統(tǒng)中，設計并行取款的新型系統(tǒng)是下一步研究方向。

[1]NAKANISHI T， SHIOTA M， SUGIYAMA Y.An unlinkable divisible electronic cash with user’s less computations using active trustees[C].ISITA 2002，2002.

[2]CANARD S， GOUGET A， HUFSCHMITT E.A handy multi-coupon system[J].Applied Cryptography and Network Security-ACNS 2006， LNCS， 2006(3989):66-81.

[3]李夢東，楊義先.無可信第三方的離線電子現(xiàn)金匿名性控制[J].電子學報，2005，33(3):456-458.

[4]費雄偉，李喬良.一個新的安全且高效的電子現(xiàn)金系統(tǒng)[J].計算機應用研究，2008，25(5):1543-1545.

[5]BRICKELL E， GEMMELL P， KRAVITZ D.Trustee-based tracing extensions to anonymous cash and the making of anonymous change[C].In SODA ’95， Proceedings of the Sixth Annual ACM-SIAM Symposium on Discrete Algorithms.Society forIndustrialand Applied Mathematics，1995:457-466.

[6]CAMENISCH J， HOHENBERGER S， LYSYANSKAYA A Compact e-cash[J].In EUROCRYPT， LNCS， 2005(3494):302-321.

[7]CANARD S， TRAOR’E J.On fair e-cash systems based on group signature schemes.In ACISP，2003:237-248.

[8]AU M H，WU Q，SUSILO W，et al.Compact e-cash from bounded accumulator.In CT-RAS，2007.

[9]TERANISHI I，SAKO K.K-times anonymous authentication with a constant proving cost.In Public Key Cryptography，2006.

[10]CAMENISCHAND J，LYSYANSKAYA A.Signature schemesand anonymouscredentialsfrom bilinearmaps[J].In CRYPTO，2004(3152):56-72.

[11]AU M H，SUSILO W，MU Y.Constant-size Dynamic k-TAA[C].In SCN 2006，volume 4116 of LNCS.Springer-Verlag，2006.

[12]BONEH D，BOYEN X.Short signatures without random oracles[C].In EUROCRYPT 2004， Berlin， LNCS 3027，Springer-Verlag，2004.

[13]DODIS Y，YAMPOLSKIY A.A verifiable random function with short proofs and keys[J].In PKC 2005，volume 3386 of LNCS，2005:416-431.

[14]LYSYANSKAYA A， RIVEST R L， SAHAI A， et al.Pseudonym systems.In Selected Areas in Cryptography[J]，Lecture Notes in Computer Science，1999(1758):184-199.