柳 欣 張 波

1(山東青年政治學(xué)院信息工程學(xué)院 濟(jì)南 250103)2(山東省高校信息安全與智能控制重點(diǎn)實(shí)驗(yàn)室(山東青年政治學(xué)院) 濟(jì)南 250103)3(濟(jì)南大學(xué)信息科學(xué)與工程學(xué)院 濟(jì)南 250022) (lxonne@163.com)

?

基于DAA-A的改進(jìn)可授權(quán)電子現(xiàn)金系統(tǒng)

柳 欣1,2張 波3

1(山東青年政治學(xué)院信息工程學(xué)院 濟(jì)南 250103)2(山東省高校信息安全與智能控制重點(diǎn)實(shí)驗(yàn)室(山東青年政治學(xué)院) 濟(jì)南 250103)3(濟(jì)南大學(xué)信息科學(xué)與工程學(xué)院 濟(jì)南 250022) (lxonne@163.com)

當(dāng)前，已有的可授權(quán)電子現(xiàn)金系統(tǒng)通信效率不高，同時(shí)其公平交換子協(xié)議要求使用低效的cut-and-choose證明技術(shù)且集中式的可信第三方(trusted third party, TTP)容易遭受拒絕服務(wù)攻擊.此外，多個(gè)相關(guān)的公平支付系統(tǒng)或者要求使用cut-and-choose證明技術(shù)，或者使用了具有安全性缺陷的可驗(yàn)證加密技術(shù).利用基于屬性的自盲化證書系統(tǒng)構(gòu)造了一個(gè)具有屬性的直接匿名證明(direct anonymous attestation with attributes, DAA-A)方案，然后基于該方案構(gòu)造了滿足更強(qiáng)可開脫性的可授權(quán)電子現(xiàn)金系統(tǒng).為了提高用戶端在支付過程中的運(yùn)算效率，使用了Arfaoui等人的集合關(guān)系證明協(xié)議，同時(shí)利用預(yù)計(jì)算技術(shù)對用戶的知識(shí)簽名進(jìn)行了效率優(yōu)化.為了避免執(zhí)行低效的cut-and-choose證明，設(shè)計(jì)了一個(gè)支持分布式TTP的樂觀公平交換子協(xié)議.通過與Golle-Mironov模型相結(jié)合，新系統(tǒng)可以應(yīng)用于外包計(jì)算領(lǐng)域.與已有同類系統(tǒng)相比，新系統(tǒng)同時(shí)滿足允許多次支付、無需使用cut-and-choose技術(shù)和用戶無狀態(tài)性等多個(gè)理想性質(zhì).此外，新系統(tǒng)的公平交換子協(xié)議引入了分布式TTP，即考慮了拒絕服務(wù)攻擊的風(fēng)險(xiǎn).

可授權(quán)電子現(xiàn)金；直接匿名證明；公平交換；cut-and-choose證明；外包計(jì)算

直接匿名證明(direct anonymous attestation, DAA)方案[4-6]是當(dāng)前可信計(jì)算技術(shù)的一個(gè)重要分支.在此類方案中，嵌入了可信平臺(tái)模塊(trusted platform module, TPM)芯片的用戶主機(jī)平臺(tái)(Host)可以向驗(yàn)證者證明自己掌握有效的認(rèn)證令牌.本質(zhì)上講，該令牌是由發(fā)布權(quán)威為TPM私鑰頒發(fā)的數(shù)字證書.認(rèn)證過程的主要運(yùn)算由Host承擔(dān)，且TPM僅執(zhí)行少量關(guān)鍵性的運(yùn)算.具有屬性的直接匿名證明(direct anonymous attestation with attributes, DAA-A)[5]是對DAA方案的擴(kuò)展，即用戶的認(rèn)證令牌是關(guān)于TPM私鑰k0和用戶屬性向量(k1,k2,…,kn)的數(shù)字證書.同時(shí)，在認(rèn)證過程中，用戶可以靈活設(shè)置由“公開”屬性和“隱藏”屬性構(gòu)成的集合，從而符合了隱私保護(hù)的最小信息泄露原則.本文認(rèn)為，可以將DAA-A方案作為設(shè)計(jì)可授權(quán)電子現(xiàn)金系統(tǒng)的有效本原.具體原因包括4點(diǎn)：

1) 在DAA-A方案中，TPM與Host是2個(gè)不同的實(shí)體,只要TPM保持誠實(shí)，即使在Host被攻破的情況下，仍然可以保護(hù)用戶不受陷害;

2) 可授權(quán)電子現(xiàn)金系統(tǒng)的取款和支付協(xié)議分別對應(yīng)于DAA-A方案的用戶注冊和簽名協(xié)議;

3) DAA-A方案允許用戶有選擇性地對個(gè)人敏感屬性進(jìn)行隱藏，從而有利于將個(gè)人信息的泄露降低至最低程度;

4) DAA-A方案容易與其他的可信計(jì)算技術(shù)(如基于TPM的群托管協(xié)議[7])相結(jié)合，從而設(shè)計(jì)出效率更高的公平交換協(xié)議.

我們認(rèn)為，Camenisch等人[1]的系統(tǒng)(簡稱原始系統(tǒng))存在2個(gè)主要缺點(diǎn)：1)該系統(tǒng)是基于強(qiáng)RSA假設(shè)設(shè)計(jì)的，因此用戶在支付過程中的通信效率不高.2)背書元素end與數(shù)字商品之間的交換是基于Asokan等人[8]的樂觀公平交換協(xié)議實(shí)現(xiàn)的，從而繼承了后者的4個(gè)缺點(diǎn)，即:①要求用戶在交換過程中執(zhí)行低效的cut-and-choose證明過程;②要求交換雙方在發(fā)生爭執(zhí)的情況下向可信第三方(trusted third party, TTP)申請仲裁，即必須無條件地信任TTP;③TTP本身是集中式的，因此容易遭受拒絕服務(wù)攻擊;④交換雙方都可能成為爭議解決子協(xié)議的發(fā)起者，因此用戶必須保持狀態(tài)[9].

除了原始系統(tǒng)之外，相關(guān)的代表性文獻(xiàn)總結(jié)如下：在文獻(xiàn)[10]中，Blanton提出一個(gè)改進(jìn)的有條件電子現(xiàn)金系統(tǒng).此類系統(tǒng)將標(biāo)準(zhǔn)電子現(xiàn)金系統(tǒng)的支付協(xié)議替換為有條件的轉(zhuǎn)移協(xié)議.該協(xié)議要求付款方與收款方共同參與，且收款方最終將獲得一筆有條件的付款，即該付款僅能在某個(gè)公開條件R得到滿足后才能得到兌現(xiàn).Blanton的系統(tǒng)[10]與可授權(quán)電子現(xiàn)金系統(tǒng)[1]的2個(gè)主要區(qū)別是：1)要求由TTP宣布條件R是否得到滿足;2)允許收款人將所得的有條件的付款轉(zhuǎn)移給他人.然而，Blanton的系統(tǒng)效率不高且要求付款方與收款方完全信任TTP.在文獻(xiàn)[11]中，Chen等人基于可授權(quán)電子現(xiàn)金技術(shù)[1]和Golle-Mironov外包計(jì)算模型[12]提出一個(gè)公平的有條件支付系統(tǒng).該系統(tǒng)允許用戶將運(yùn)算任務(wù)分為多項(xiàng)更小的任務(wù)，并將所得任務(wù)連同未經(jīng)授權(quán)的電子貨幣coin′外包給志愿的計(jì)算機(jī)(稱為worker).每當(dāng)worker完成任務(wù)并返回正確的運(yùn)算結(jié)果，用戶會(huì)對事先支付的coin′提供授權(quán).考慮到雙方相互并不信任，該系統(tǒng)還提供了借助TTP確保交換過程公平性的機(jī)制.然而，Chen等人的系統(tǒng)存在3個(gè)主要缺點(diǎn)：1)底層的可授權(quán)電子現(xiàn)金系統(tǒng)是基于Brands電子現(xiàn)金系統(tǒng)構(gòu)造的.但是，后者的安全性尚未得到完全證明[13]，而且不支持多次支付.因此，用戶需要在每次外包運(yùn)算之前重新執(zhí)行取款協(xié)議.2)TTP并非完全可信，即TTP有可能會(huì)與用戶或worker進(jìn)行合謀.3)該系統(tǒng)的公平交換協(xié)議是基于Ateniese[9]的關(guān)于離散對數(shù)的可驗(yàn)證加密方案實(shí)現(xiàn)的.需要指出的是，Ateniese的技術(shù)存在缺陷，因?yàn)槠涞讓蛹用芊桨竷H滿足較弱的語義安全性[14].在文獻(xiàn)[15]中，Carbunar等人提出一個(gè)適用于外包運(yùn)算環(huán)境的公平支付系統(tǒng).該系統(tǒng)存在3個(gè)主要缺點(diǎn)：1)底層電子現(xiàn)金系統(tǒng)不滿足匿名性，因此無法保護(hù)用戶的隱私;2)為了驗(yàn)證用戶預(yù)先支付的電子貨幣是否有效，用戶需要與worker執(zhí)行低效的cut-and-choose證明協(xié)議;3)并未引入爭議解決機(jī)制，即未考慮worker有可能不向用戶提供外包運(yùn)算結(jié)果的情況.最近，Küpcü[16]提出一個(gè)新的公平支付系統(tǒng).在外包運(yùn)算開始之前，用戶與worker需要事先在同一家銀行開設(shè)賬戶.銀行負(fù)責(zé)對雙方賬戶余額進(jìn)行托管，且worker需要為自己提供錯(cuò)誤運(yùn)算結(jié)果的惡意行為支付罰金.需要指出的是，為了實(shí)現(xiàn)對錯(cuò)誤結(jié)果的檢測，該系統(tǒng)要求用戶將同一個(gè)任務(wù)外包給多個(gè)worker，因此顯著增加了用戶的通信和運(yùn)算耗費(fèi).

本文著重研究了基于DAA-A技術(shù)設(shè)計(jì)可授權(quán)電子現(xiàn)金系統(tǒng)的問題以及如何利用所得系統(tǒng)解決外包運(yùn)算環(huán)境下的公平支付問題.具體貢獻(xiàn)體現(xiàn)在4個(gè)方面：

1) 本文提出新的可授權(quán)電子現(xiàn)金系統(tǒng)安全模型.已有的安全模型[1]是基于模擬方式定義的.新的安全模型是基于游戲方式定義的，且考慮了用戶端Host被攻破而TPM芯片保持誠實(shí)的情況，即定義了更強(qiáng)的可開脫性.

2) 本文基于Ringers等人[17]的自盲化證書系統(tǒng)具體實(shí)現(xiàn)了文獻(xiàn)[5]中的DAA-A方案框架.然后，基于所得DAA-A方案構(gòu)造了改進(jìn)的可授權(quán)電子現(xiàn)金系統(tǒng)，使得用戶在支付階段只需執(zhí)行雙線性群G1上的高效運(yùn)算.

3) 本文提出與可授權(quán)電子現(xiàn)金系統(tǒng)緊密結(jié)合的公平交換協(xié)議.該協(xié)議支持用戶利用背書元素end購買商家的數(shù)字商品m，且允許雙方在發(fā)生爭執(zhí)時(shí)向分布式的TTP申請仲裁.同時(shí)，用戶只是爭議解決子協(xié)議的被動(dòng)參與方，因此無需保持狀態(tài).

4) 本文提出新系統(tǒng)的具體應(yīng)用實(shí)例，即構(gòu)造了支持用戶購買外包運(yùn)算結(jié)果的公平支付系統(tǒng).

1 預(yù)備知識(shí)

3) 屬性空間上的簽名方案以及基于屬性的自盲化證書系統(tǒng).最近，Ringers等人[17]提出一個(gè)簽名方案，該方案由密鑰產(chǎn)生、簽名、驗(yàn)證3個(gè)步驟構(gòu)成：

Step1. 簽名者選取Q∈RG2，選取a,a0,a1,…,an,z∈R*p，設(shè)置A=Qa,A0=Qa0,A1=Qa1,A2,…,An=Qan,Z=Qz.簽名者設(shè)置公鑰為(Q,A,A0,A1,…,An,Z)，私鑰為(a,a0,a1,…,an,z).

Step2. 給定屬性向量(k0,k1,…,kn)，簽名者選取κ∈R*p,K∈RG1，計(jì)算.最后，輸出簽名(κ,K,S,S0,S1,…,Sn,T).

Step3. 給定屬性向量(k0,k1,…,kn)和對應(yīng)的簽名(κ,K,S,S0,S1,…,Sn,T)，驗(yàn)證者驗(yàn)證是否同時(shí)滿足：

此外，Ringers等人利用上述方案構(gòu)造了基于屬性的自盲化證書系統(tǒng).該系統(tǒng)允許用戶多次展示關(guān)于屬性向量(k0,k1,…,kn)的證書，并且根據(jù)需要定義向驗(yàn)證者揭示的屬性集合.

4) 關(guān)于離散對數(shù)的可驗(yàn)證加密技術(shù).假設(shè)證明者P與驗(yàn)證者V共享公開元素gm，且P額外掌握秘密元素m，使得(gm,m)滿足離散對數(shù)關(guān)系R.假設(shè)Enc表示Camenisch-Shoup公鑰加密方案[14]的加密算法，且pk表示TTP在該方案下的公鑰.在文獻(xiàn)[14]中，Camenisch等人提出關(guān)于離散對數(shù)的可驗(yàn)證加密技術(shù).利用該項(xiàng)技術(shù)，P可以向V提供Encp k(m)，并且向V證明2項(xiàng)事實(shí)：①Encp k(m)是利用pk產(chǎn)生的關(guān)于秘密元素m的Camenisch-Shoup方案密文;②秘密元素m是元素gm關(guān)于底數(shù)g的離散對數(shù).

5) 基于TPM的可驗(yàn)證群托管協(xié)議.假設(shè)發(fā)送方P擁有公開元素cmt，且cmt滿足某個(gè)性質(zhì)R.在文獻(xiàn)[7]中，Tate等人提出基于TPM的可驗(yàn)證群托管協(xié)議.在該協(xié)議中，P向接收方V提供關(guān)于秘密證據(jù)end的托管密文escrow，并且能使得后者確信P掌握證據(jù)end，滿足(cmt,end)∈R.同時(shí)，當(dāng)自己與某個(gè)符合特定訪問結(jié)構(gòu)Γ的恢復(fù)代理集合進(jìn)行合作時(shí)，就能得到證據(jù)end；相反，則無法獲得有關(guān)end的任何有用信息.Tate等人指出，可以利用(k,n)門限技術(shù)實(shí)現(xiàn)訪問結(jié)構(gòu)Γ，并且提供了該協(xié)議在R為離散對數(shù)關(guān)系情況下的具體實(shí)例.此外，Tate等人強(qiáng)調(diào)，若end為P在公平交換過程中的秘密信息，則可以利用該協(xié)議取代低效的cut-and-choose證明技術(shù)和可驗(yàn)證加密技術(shù).該協(xié)議的顯著特點(diǎn)是，P利用TPM芯片產(chǎn)生托管密文escrow，并且使用存儲(chǔ)于TPM內(nèi)部受保護(hù)區(qū)域中的證明身份密鑰(attestation identity key)AIK產(chǎn)生對escrow的簽名，從而利用V對TPM芯片本身的信任取代了經(jīng)典cut-and-choose證明技術(shù)借助驗(yàn)證雙方的多輪交互而實(shí)現(xiàn)的統(tǒng)計(jì)上的信任.

2 改進(jìn)的可授權(quán)電子現(xiàn)金系統(tǒng)

2.1 設(shè)計(jì)思想

1) 在Avoine等人的協(xié)議中，用戶需要在交換(Exchange)子協(xié)議中使用Stadler[24]的公開可驗(yàn)證的秘密分享方案和基于離散對數(shù)的可驗(yàn)證加密方案.然而，Stadler的可驗(yàn)證加密方案因?yàn)槭褂昧藘H滿足語義安全性的ElGamal加密方案而存在安全隱患[14].同時(shí)，該方案要求用戶執(zhí)行低效的cut-and-choose證明.為了提高用戶端運(yùn)算效率，本文使用了基于TPM的可驗(yàn)證群托管協(xié)議[7].

2) 在Avoine等人的協(xié)議中，商家同樣需要在恢復(fù)(Recovery)子協(xié)議中使用Stadler的可驗(yàn)證加密方案.基于上述原因，本文使用了效率更高且滿足選擇密文攻擊(chosen-ciphertext attack, CCA)安全性的Camenisch-Shoup可驗(yàn)證加密方案[14].

2.2 本文系統(tǒng)的參與方

本文系統(tǒng)的執(zhí)行過程涉及以下參與方，即用戶U、銀行B、商家M以及TTPP1,P2,…,Pn，其中U的角色可以劃分為TPM芯片與主機(jī)Host.

2.3 本文系統(tǒng)的符號(hào)描述

1) 假設(shè)所有的參與方都利用安全信道進(jìn)行通信[23].

2) 假設(shè)U的TPM芯片是由誠實(shí)制造廠商根據(jù)公開標(biāo)準(zhǔn)生產(chǎn)的，且滿足5個(gè)性質(zhì)：①TPM本身具備抗篡改性;②TPM使用的公鑰加密算法滿足CCA安全性;③TPM使用的數(shù)字簽名算法在自適應(yīng)選擇消息攻擊下滿足不可偽造性;④TPM利用抗碰撞的單向函數(shù)產(chǎn)生消息摘要;⑤可信CA已經(jīng)為TPM的密鑰AIK頒發(fā)了數(shù)字證書cert(AIK)[7].

2.5 本文系統(tǒng)的詳細(xì)描述

2.5.1 系統(tǒng)建立(Setup)

可信算法執(zhí)行以下步驟：

Step3. 定義抗碰撞的散列函數(shù)H1:{0,1}*→p,H2:{0,1}*→G1,H3:{0,1}*→p,H4:{0,1}*→{0,1}ω′;

基于彈性梁彎曲理論建立小麥莖稈在橫向受迫條件下的力學(xué)模型，如圖2為單株小麥莖稈在受橫向載荷F下發(fā)生彎曲時(shí)的示意圖，XL為單株小麥莖稈在橫向力F的作用下，麥穗頂端的撓度值。

2.5.2 銀行系統(tǒng)建立(Setup for Bank)

B執(zhí)行以下步驟：

Step1. 選取a,a0,a1,a2,z∈R*p，設(shè)置A=Qa,Z=Qz,Ai=Qai,i=0,1,2;

Step2. 選取ξ∈R*p，設(shè)置Y=Q′ξ;

Step4. 初始化公開列表RL={};

Step5. 定義skB=(a,a0,a1,a2,z,ξ),pkB=(A,A0,A1,A2,Z,Y).

2.5.3 用戶系統(tǒng)建立(Setup for Bank)

U(TPM+Host)執(zhí)行以下步驟：

Step3. 選取帶密鑰的散列函數(shù)Hash以及密鑰hk.

2.5.4 取款(Withdraw)

為了提取可支付的電子錢包，U(TPM+Host)與B執(zhí)行以下步驟：

Step1.Host向B發(fā)送取款請求reqWithdraw,B選取nB∈Rp,K∈RG1，計(jì)算S=Ka,Si=Kai,i=0,1,2，并且向Host發(fā)送(ID,nB,K,S,S0,S1,S2).

Step4.B驗(yàn)證π1是否有效，若是，則選取κ″∈R

2.5.5 現(xiàn)金分割(Splitcoin)

假設(shè)U(TPM+Host)希望向M支付一個(gè)電子貨幣,它需要與M共同執(zhí)行以下步驟：

Step1.Host向M發(fā)送支付請求reqSpend.

Step2.M選取nM∈R*p，并且返回nM.

Step4.Host與TPM聯(lián)合產(chǎn)生知識(shí)簽名

2.5.6 支付(Spend)

在該協(xié)議中，U(TPM+Host)向M支付未經(jīng)授權(quán)的電子貨幣,雙方的具體步驟如下：

Step1.Host向M發(fā)送cmt,coin′.

Step3. 對于i=1,2,…,|RL|，M驗(yàn)證是否滿足t≠bki,0，其中ki,0∈RL.

Step4. 若上述檢查通過，則M保存cmt,coin′.

2.5.7 重構(gòu)(Reconstruction)

2.5.8 存款(Deposit)

假設(shè)M獲得了U支付的coin.為了實(shí)現(xiàn)存款，M與B執(zhí)行如下步驟：

Step1.M向B發(fā)送coin.

Step3. 若驗(yàn)證通過，則B將coin作為已支付的電子貨幣進(jìn)行保存，并且將相應(yīng)金額存入M的賬戶,同時(shí)，B向M返回確認(rèn)信息;否則，B向M返回失敗信息.

2.5.9 身份追蹤(Identify)

2.6 公平交換協(xié)議的詳細(xì)描述

2.6.1 交換(Exchange)

假設(shè)U(TPM+Host)希望向M購買數(shù)字商品m，且m可以編碼為ρ上的整數(shù).為此，M已經(jīng)向U提供了關(guān)于m的描述信息descr(m)=gm，其中g(shù)為ρ階循環(huán)群Υ的生成元，滿足×2-ω′-ω″-1[25]且參數(shù)ω′與ω″分別用于定義底層Camenisch-Shoup可驗(yàn)證加密方案的知識(shí)證明協(xié)議的挑戰(zhàn)空間以及控制該協(xié)議的零知識(shí)性.而且，U已經(jīng)利用支付協(xié)議向M提供了cmt,coin′.對于i=1,2,…,n，假設(shè)TTP中Pi已經(jīng)公開了自己在某CCA安全的加密方案(Enc,Dec)下的公鑰pki.在當(dāng)前協(xié)議中，U與M將實(shí)現(xiàn)關(guān)于end和m的公平交換.此外，符號(hào)Time表示交換交易的截止時(shí)間，且Timemax表示M在恢復(fù)子協(xié)議中發(fā)送給任何參與方的消息總是能在Timemax時(shí)間內(nèi)送達(dá).雙方具體交換過程如下：

Step1.1. 產(chǎn)生隨機(jī)數(shù)r，并將r保存在其內(nèi)部受保護(hù)區(qū)域.

Step1.3. 產(chǎn)生r在(k,n)-Shamir門限方案下的秘密份額r1,r2,…,rn，即選取s1,s2,…,sk-1∈R*p，定義.對于i=1,2,…,n，計(jì)算ri=F(i).

Step1.4. 對于i=1,2,…,n，執(zhí)行以下步驟：

Step1.4.1. 設(shè)置hCond=H3(ConditionU)；

Step1.4.3. 利用AIK中的私鑰SKA產(chǎn)生關(guān)于ci的簽名SignSKA(ci)，并且設(shè)置Ci=(ci,SignSKA(ci)).

Step2.1. 驗(yàn)證由隱私CA頒發(fā)的證書cert(AIK)是否有效；

Step2.2. 對于i=1,2,…,n，將Ci分離為Ci=(ci,SignSKA(ci))的形式，并且驗(yàn)證簽名SignSKA(ci)是否有效；

Step3. 在接收到m之后，Host驗(yàn)證是否滿足gm=descr(m)，若是，則向M發(fā)送end；否則，Host一直等待直至Time時(shí)刻，從而終止當(dāng)前交換過程.

2.6.2 恢復(fù)(Recovery)

在Time-Timemax時(shí)刻之前，M與P1,P2,…,Pn共同執(zhí)行以下步驟：

3 知識(shí)簽名的具體實(shí)現(xiàn)過程

本節(jié)介紹知識(shí)簽名π1,π2的實(shí)現(xiàn)過程.在具體執(zhí)行過程中，我們采用文獻(xiàn)[6]中的方式實(shí)現(xiàn)了TPM與Host間的運(yùn)算任務(wù)分配.此外，π3的實(shí)現(xiàn)可以直接根據(jù)文獻(xiàn)[14,25]中的技術(shù)得出.

3.1 π1的具體實(shí)現(xiàn)過程

1)π1的產(chǎn)生過程如下：

Step1.Host選取κ′,k1,k2∈R*p，并且向TPM發(fā)送(ID,cntID,nB,S,S0,S1,S2,κ′,k1,k2).

Step5.Host輸出π1=(c,sκ′,sk0,sk1,sk2).

2)π1的驗(yàn)證過程如下：

Step1. 將π1分離為π1=(c,sκ′,sk0,sk1,sk2)的形式;

3.2 π2的具體實(shí)現(xiàn)過程

1)π2的產(chǎn)生過程如下：

Step2.TPM計(jì)算私鑰k0=H1(DAASeed‖cntID‖ID)，計(jì)算t=bk0.TPM選取rk0,rk0×(J+k2)∈R

Step3.Host選取rβ,rκ,rk1,rk2,rend,rJ,rend×(J+k1),rend×(J+k2),rl,rν∈Rp，計(jì)算：

然后，Host向TPM發(fā)送(R1,R2,R4,R5,…,R10,rβ,rκ,rk1,rk2,rend,rJ,rend×(J+k1),rend×(J+k2),rl,rν);

Step5.Host輸出π2=(c,sβ,sκ,sk0,sk1,sk2,send,sJ,send×(J+k1),sk0×(J+k2),send×(J+k2),sl,sν).

2)π2的驗(yàn)證過程如下：

Step1. 將π2分離為π2=(c,sβ,sκ,sk0,sk1,sk2,send,sJ,send×(J+k1),sk0×(J+k2),send×(J+k2),sl,sν)的形式;

Step2. 計(jì)算:

3.3 π2實(shí)現(xiàn)過程的效率優(yōu)化

為了進(jìn)一步提高π2實(shí)現(xiàn)過程的效率，可以采用文獻(xiàn)[6]的方式將π2的實(shí)現(xiàn)過程劃分為預(yù)計(jì)算階段和在線計(jì)算階段.優(yōu)化后的π2實(shí)現(xiàn)過程如下：

1) 在預(yù)計(jì)算階段

2) 在線計(jì)算階段

Step3.Host計(jì)算R6,R8，并且向TPM發(fā)送(R1,R2,R4,R5,…,R10,rβ,rκ,rk1,rk2,rend,rJ,rend×(J+k1),rend×(J+k2),rl,rν);

Step4.TPM計(jì)算并且向Host發(fā)送(c,sβ,sκ,sk0,sk1,sk2,send,sJ,send×(J+k1),sk0×(J+k2),send×(J+k2),sl,sν);

Step5.Host輸出π2=(c,sβ,sκ,sk0,sk1,sk2,send,sJ,send×(J+k1),sk0×(J+k2),send×(J+k2),sl,sν).

引理1. 在隨機(jī)預(yù)言模型下，可以在多項(xiàng)式時(shí)間內(nèi)從知識(shí)簽名π2中提取出秘密知識(shí)，使得以下等式成立，即

(1)

(2)

(3)

(4)

(5)

(6)

(7)

(8)

(9)

(10)

(11)

(12)

(13)

(14)

(15)

(16)

(17)

(18)

(19)

(20)

(21)

(22)

根據(jù)式(17)、式(22)得出:

(23)

(24)

證畢.

Step1.選取J∈R{1,2,…,M},l∈R*p，并且設(shè)置；

Step2.選取α,β∈R*p，并且設(shè)置；

證畢.

4 本文系統(tǒng)的安全性分析

4.1 新的可授權(quán)電子現(xiàn)金系統(tǒng)的安全模型

1) 正確性.首先，U通過與B執(zhí)行取款協(xié)議而獲得電子貨幣coin.在交易之前，B利用現(xiàn)金分割協(xié)議將coin轉(zhuǎn)化為(end,cmt,coin′)的形式，使得end與cmt滿足單向群同態(tài)關(guān)系cmt=φ(end).然后，U利用支付協(xié)議向M支付(cmt,coin′).在完成交易后，M獲得end，滿足cmt=φ(end).此時(shí)，M可以利用重構(gòu)算法將coin′轉(zhuǎn)換為coin.此后，當(dāng)M利用coin與B執(zhí)行存款協(xié)議時(shí)，該協(xié)議一定會(huì)取得成功.

① 初始化.B執(zhí)行系統(tǒng)建立和銀行系統(tǒng)建立算法.然后，B向A提供params,pkB.

② 詢問.在該階段，B為A模擬預(yù)言機(jī)Hash(·),Withdraw(·),Spend(·)和Corrupt(·)的執(zhí)行過程：

Ⅰ Hash詢問.當(dāng)接收到A提供的(i,M)，B在散列函數(shù)Hi(i=1,2)的值域上選取隨機(jī)元素，并將該元素返回給A.

ⅡWithdraw詢問.該詢問分2種情況：

情況2. 當(dāng)接收到A提供的用戶身份U*，TPM私鑰k0和att，B代表B與A執(zhí)行取款協(xié)議，并且將TPM私鑰k0加入列表RL.

ⅢSpend詢問.該詢問分2種情況：

情況1. 當(dāng)接收到A提供的用戶身份U，B代表U與A執(zhí)行現(xiàn)金分割和支付協(xié)議.

3) 匿名性.假設(shè)敵手A能攻破B*,M*和U*.對于A而言，它無法將U的取款、現(xiàn)金分割和支付操作關(guān)聯(lián)起來，也無法將U執(zhí)行的2次取款操作關(guān)聯(lián)起來.在實(shí)驗(yàn)執(zhí)行過程中，A充當(dāng)B*,M*和U*的角色，且B充當(dāng)U的角色.詳細(xì)步驟如下：

① 初始化.B執(zhí)行系統(tǒng)建立和銀行系統(tǒng)建立算法.然后，B向A提供params,pkB,skB.

② 詢問階段1.在該階段，B為A模擬預(yù)言機(jī)Hash(·),Withdraw(·),Spend(·)和Corrupt(·)的執(zhí)行過程：

Ⅰ Hash詢問.模擬過程與平衡性實(shí)驗(yàn)相同.

ⅡWithdraw詢問.當(dāng)接收到A提供的用戶身份U和att，B代表U與A執(zhí)行取款協(xié)議.

ⅢSpend詢問.當(dāng)接收到A提供的用戶身份U，B代表U與A執(zhí)行現(xiàn)金分割和支付協(xié)議.

ⅣCorrupt詢問.當(dāng)接收到A提供的用戶身份U，B返回該用戶的TPM私鑰k0，att和電子錢包，并將k0加入列表RL.

⑤ 結(jié)束.A輸出挑戰(zhàn)用戶下標(biāo)b′.最終，A獲勝的條件是b′=b.

① 初始化.B執(zhí)行系統(tǒng)建立算法.然后，B向A提供params，并且接受后者提供的pkB.

② 詢問.在該階段，B為A模擬預(yù)言機(jī)Hash(·),Withdraw(·),Spend(·)和Corrupt(·)的執(zhí)行過程：

Ⅰ Hash詢問.模擬過程與平衡性實(shí)驗(yàn)相同.

ⅢSpend詢問.該詢問分2種情況：

情況1. 當(dāng)接收到A提供的用戶身份U，B代表U與A執(zhí)行現(xiàn)金分割和支付協(xié)議.

③ 結(jié)束.A輸出coin1與coin2.最終，A的獲勝條件是同時(shí)滿足：

Ⅰcoin1與coin2均能通過存款協(xié)議的驗(yàn)證過程;

Ⅱcoin1與coin2含有相同的貨幣序列號(hào);

Ⅲ 當(dāng)利用coin1與coin2執(zhí)行身份追蹤算法時(shí)，將揭示某個(gè)誠實(shí)用戶的身份.

定理1. 在隨機(jī)預(yù)言模型下，只要XKEA假設(shè)、XDH假設(shè)和離散對數(shù)假設(shè)成立，則新的可授權(quán)電子現(xiàn)金系統(tǒng)滿足正確性、平衡性、匿名性和可開脫性.

證明. 假設(shè)B在各安全性質(zhì)實(shí)驗(yàn)之前自行創(chuàng)建列表HU,CU,RL,Swallet，分別用于存放誠實(shí)TPM的私鑰、被攻破的TPM的私鑰、被廢除的TPM的私鑰以及用戶提取的電子錢包.

1) 正確性.該性質(zhì)容易觀察得出.限于篇幅，省略了具體過程.

2) 平衡性.B以底層屬性空間上的簽名方案公鑰(Q,A,A0,A1,A2,Z)作為輸入.B利用系統(tǒng)建立算法中的方式產(chǎn)生params中的剩余參數(shù).B選取ξ∈R*p，設(shè)置Y=Q′ξ，并且定義集合}.B初始化列表RL.B設(shè)置pkB=(Q,A,A0,A1,A2,Z),skB=(*,*,*,*,*,ξ)，其中，*表示未知元素.最后，B向A提供params,pkB.在當(dāng)前實(shí)驗(yàn)中，B為A提供以下的預(yù)言服務(wù)：

① Hash詢問.當(dāng)接收到A提出的關(guān)于Hi(i=1,2)的散列詢問，B分別返回在p(或G1)上選取的隨機(jī)元素.同時(shí)，B需要確保所提供的回答滿足一致性.

②Withdraw詢問.對該詢問的回答分為2種情況：

③Spend詢問.對該詢問的回答分為2種情況：

情況1. B以誠實(shí)用戶Uj的身份與A執(zhí)行現(xiàn)金分割和支付協(xié)議.

Ⅰcoin*可以通過存款協(xié)議的有效性驗(yàn)證過程;

Ⅱ 對于每個(gè)kj,0∈CU，滿足kj,0∈RL;

Ⅲcoin*并非通過向B提出Spend詢問而產(chǎn)生的.

① Hash詢問.模擬方式同平衡性實(shí)驗(yàn).

②Withdraw詢問.當(dāng)接收到A的詢問內(nèi)容Uj,att，B與A執(zhí)行取款協(xié)議.在該過程中，B充當(dāng)Uj的角色，且A充當(dāng)B*的角色.最后，B設(shè)置HU←HU∪{kj,0},Swallet←Swallet∪{((kj,0,kj,1,kj,2),κj,Sj,0,Sj,1,Sj,2,Tj,Jj=0)}.

③Spend詢問.當(dāng)接收到A的詢問內(nèi)容Uj，B分為3種情況進(jìn)行處理：

情況1. 滿足j?{j0,j1}.B利用所掌握的Uj的TPM私鑰和電子錢包誠實(shí)地與A執(zhí)行現(xiàn)金分割和支付協(xié)議.

情況2. 滿足j=j0.B選取r∈R*p，設(shè)置r.B丟棄在取款協(xié)議中產(chǎn)生的TPM私鑰.B借助對隨機(jī)預(yù)言機(jī)輸出的控制能力模擬產(chǎn)生cmt,coin′，并且將它們提供給A.coin′中的知識(shí)簽名

情況3. 滿足j=j1.B選取r∈R*p，設(shè)置r.剩余的模擬過程與情況2相同.

④Corrupt詢問.當(dāng)A請求攻破Uj，若j?{j0,j1}，則B將對應(yīng)的TPM私鑰kj,0和電子錢包返回給A，并且設(shè)置CU←CU∪{kj,0},RL←RL∪{kj,0}.否則，B模擬失敗.

① Hash詢問.模擬方式同平衡性實(shí)驗(yàn).

情況1. 滿足j≠j*，B在取款協(xié)議中選取kj,0，并且以誠實(shí)方式與A合作產(chǎn)生知識(shí)簽名π1.最后，B設(shè)置HU←HU∪{kj,0},Swallet←Swallet∪{((kj,0,kj,1,kj,2),κj,Sj,0,Sj,1,Sj,2,Tj,Jj=0)}.

Ⅲ B設(shè)置HU←HU∪{kj*,0},Swallet←Swallet∪{((kj*,0,kj*,1,kj*,2),κj*,Sj*,0,Sj*,1,Sj*,2,Tj*,Jj*=0)}，其中kj*,0為未知元素.

③Spend詢問.B分為2種情況進(jìn)行處理：

情況1. B以誠實(shí)用戶Uj的身份與A執(zhí)行現(xiàn)金分割和支付協(xié)議.此時(shí)，若滿足j≠j*，則B利用所掌握的TPM私鑰和電子錢包以誠實(shí)方式產(chǎn)生cmt,coin′，并將它們提供給A.若滿足j=j*，則B模擬產(chǎn)生cmt,coin′，并將它們提供給A.

④Corrupt詢問.當(dāng)A請求攻破Uj，若j≠j*，則B將對應(yīng)的TPM私鑰kj,0，att和電子錢包返回給A，并且設(shè)置CU←CU∪{kj,0},RL←RL∪{kj,0}.否則，B模擬失敗.

證畢.

定理2. 假設(shè)k表示底層Shamir門限方案的門限值，在滿足|B2|

證明.

1) 完備性.該性質(zhì)表明，當(dāng)U與M均保持誠實(shí)時(shí)，U會(huì)在交換協(xié)議結(jié)束后獲得所期望的數(shù)字商品m.同時(shí)，M會(huì)獲得U的秘密元素end.觀察得出，在U與M保持誠實(shí)的情況下，該性質(zhì)一定會(huì)得到滿足.若由于通信延遲而導(dǎo)致U的消息message3無法在Time-Timemax之前及時(shí)送達(dá)，M將執(zhí)行恢復(fù)子協(xié)議.根據(jù)條件|B2|

2) 公平性.該性質(zhì)表明，當(dāng)在U與M中至少有一方保持誠實(shí)時(shí)，在交換協(xié)議結(jié)束后，或者是U得到m且M得到end，或者U與M均未獲得有關(guān)m與end的任何信息.公平性的證明過程分2種情況：

①U保持誠實(shí)且M*是惡意的.需要指出的是，由于U是誠實(shí)的，因此消息message1是采用正確方式產(chǎn)生的.此時(shí)，分為2種子情況：

ⅠM*提供的消息message2是錯(cuò)誤的.此時(shí)，U可以借助驗(yàn)證等式gm=descr(m)而發(fā)覺這一點(diǎn)，此時(shí)它不再向M*發(fā)送消息message3，而是一直等待直至Time時(shí)刻.若M*選擇不運(yùn)行恢復(fù)子協(xié)議，則任何參與方都無法獲得有關(guān)商品m的任何有用信息.顯然，此時(shí)整個(gè)交換過程是公平的.若M*選擇在Time-Timemax時(shí)刻之后執(zhí)行恢復(fù)子協(xié)議，由于只有Pi∈B2才會(huì)為M*提供關(guān)于Ci的解密服務(wù).根據(jù)條件|B2|

②U*是惡意的且M是誠實(shí)的.此時(shí)，分為2種子情況：

ⅠU*提供的消息message1是錯(cuò)誤的(或已經(jīng)丟失).顯然，M能借助底層可驗(yàn)證群托管協(xié)議的SigVerifier算法發(fā)覺這一點(diǎn)，因此它決定不向U*提供message2.此時(shí)，整個(gè)交換過程將在Time時(shí)刻后終止.顯然，此時(shí)整個(gè)交換過程是公平的.

3) 時(shí)效性.該性質(zhì)表明，整個(gè)交換過程最終一定會(huì)終止.由于設(shè)置了超時(shí)時(shí)間Time，因此本文協(xié)議滿足該性質(zhì).

4) 保密性.該性質(zhì)表明，任何其他的參與方都無法獲得有關(guān)m與end的任何有用信息.若恢復(fù)子協(xié)議并未得到執(zhí)行，則表明信息交換僅發(fā)生在U與M之間.此時(shí)，被動(dòng)參與方Pi∈(B1∪B2∪B3∪B4)無法獲得有關(guān)m與end的任何有用信息.若恢復(fù)子協(xié)議得到執(zhí)行，則某些Pi∈(B1∪B2∪B3∪B4)會(huì)獲得Ci∈message1的解密結(jié)果.盡管k個(gè)合謀的Pi能恢復(fù)r，但由于它們不掌握d，因此無法恢復(fù)end.顯然，根據(jù)π3的零知識(shí)性和底層Camenisch-Shoup加密方案的安全性，它們也無法揭示m.

證畢.

5 改進(jìn)的有條件的公平支付系統(tǒng)

在本節(jié)，我們基于第2節(jié)的可授權(quán)電子現(xiàn)金系統(tǒng)提出改進(jìn)的有條件的公平支付系統(tǒng).與可授權(quán)電子現(xiàn)金系統(tǒng)相比，新的支付系統(tǒng)需要增加運(yùn)算任務(wù)產(chǎn)生算法，且該算法使用了Golle等人[11-12]的技術(shù).同時(shí)，需要對原有的現(xiàn)金分割、支付和公平交換協(xié)議做出修改.限于篇幅，我們僅著重描述本節(jié)公平支付系統(tǒng)與第2節(jié)電子現(xiàn)金系統(tǒng)的主要差別：

2) 現(xiàn)金分割協(xié)議.在該協(xié)議中，除了向workeri提供cmt,coin′，Host還需要提供運(yùn)算任務(wù)Fi=(f,Di,Mi)以及輔助程序Si.

6 本文系統(tǒng)的性能分析

在本節(jié)，我們以實(shí)現(xiàn)外包計(jì)算環(huán)境下的公平支付為應(yīng)用目標(biāo)，對本文系統(tǒng)與已有的相關(guān)系統(tǒng)[1,10-11,15-16]進(jìn)行了比較.首先，我們在表1中提供了它們在7個(gè)重要性質(zhì)方面的比較結(jié)果.在運(yùn)算平臺(tái)方面，本文系統(tǒng)要求部署在可信計(jì)算平臺(tái)上，而其他系統(tǒng)都是針對PC機(jī)平臺(tái)設(shè)計(jì)的.在文獻(xiàn)[1,16]和本文系統(tǒng)中，用戶通過執(zhí)行取款協(xié)議而獲得可以多次支付的電子錢包，而其他系統(tǒng)則僅支持單次支付.文獻(xiàn)[1]系統(tǒng)的公平交換過程以及文獻(xiàn)[10,15]系統(tǒng)的支付過程均要求用戶與worker執(zhí)行低效的cut-and-choose證明.為了避免執(zhí)行該項(xiàng)證明，文獻(xiàn)[11,16]系統(tǒng)使用了可驗(yàn)證加密技術(shù)，而本文系統(tǒng)則采用了基于TPM的群托管技術(shù).文獻(xiàn)[11,15]和本文系統(tǒng)都使用了Golle-Mironov外包計(jì)算模型，其他系統(tǒng)則未采用該模型.為了保護(hù)用戶隱私，多數(shù)系統(tǒng)都滿足取款和支付過程的匿名性，但文獻(xiàn)[15]系統(tǒng)除外.文獻(xiàn)[10,15]系統(tǒng)均未提供用戶與worker間的公平交換機(jī)制，其余系統(tǒng)均借助TTP實(shí)現(xiàn)了公平交換過程.然而，僅有本文系統(tǒng)考慮了拒絕服務(wù)攻擊的風(fēng)險(xiǎn).最后，本文系統(tǒng)與文獻(xiàn)[11]系統(tǒng)的一個(gè)優(yōu)勢是，用戶無需在公平交換過程中保持狀態(tài)，從而有利于在移動(dòng)設(shè)備上進(jìn)行部署.

Table 1 Main Properties Comparison of the Related Systems

在表2中，我們提供了本文系統(tǒng)與已有系統(tǒng)的通信耗費(fèi)比較結(jié)果，且比較過程中假定以80 b安全性為目標(biāo).文獻(xiàn)[1,11,15-16]系統(tǒng)是在p階橢圓曲線群G和RSA群N上構(gòu)造的，而文獻(xiàn)[10]和本文系統(tǒng)是在雙線性群(G1,G2)和RSA群N上構(gòu)造的.對于文獻(xiàn)[1,11,15-16]系統(tǒng)，選取|p|=160 b，且N上的元素長度為1024 b.對于文獻(xiàn)[10]和本文系統(tǒng)，假設(shè)(G1,G2)是采用MNT曲線實(shí)現(xiàn)的，群G1上的元素長度為171 b[26].對于文獻(xiàn)[1,10-11,15-16]系統(tǒng)，散列函數(shù)的輸出長度為160 b.對于本文系統(tǒng)，散列函數(shù)H1,H2,H3,H4的輸出長度分別為160 b,171 b,160 b,512 b.文獻(xiàn)[1,10,15]系統(tǒng)使用了cut-and-choose證明技術(shù)，根據(jù)文獻(xiàn)[8]結(jié)論，該項(xiàng)證明要求至少迭代執(zhí)行40輪.需要指出的是，文獻(xiàn)[11,15]和本文系統(tǒng)的外包運(yùn)算過程都使用了Golle-Mironov模型，因此要求用戶在公平交換過程中向worker提供由檢查點(diǎn)構(gòu)成的集合.在表2中，我們采用了文獻(xiàn)[15]的估算方法，即假設(shè)該集合中檢查點(diǎn)的數(shù)量為10.為了獲得具體的通信耗費(fèi)估算結(jié)果，我們采用了文獻(xiàn)[12]中的外包運(yùn)算任務(wù)實(shí)例，即給定80 b對稱加密方案下的密文CT和明文PT，要求尋找與PT相匹配的密鑰.此外，符號(hào)Sol表示worker提供的外包運(yùn)算結(jié)果，其通信耗費(fèi)設(shè)為|Sol|.正如引言中所述，文獻(xiàn)[16]系統(tǒng)要求用戶將同一個(gè)運(yùn)算任務(wù)外包給多個(gè)worker，因此用戶在支付和公平交換過程中的通信耗費(fèi)需要乘以一個(gè)為θ>1的因子.

Table 2 Communication Cost Comparison of the Related Systems

在表3中，我們提供了本文系統(tǒng)與已有系統(tǒng)的運(yùn)算耗費(fèi)比較結(jié)果.在比較中，我們僅統(tǒng)計(jì)代價(jià)較高的指數(shù)運(yùn)算和對運(yùn)算，而且不再區(qū)分單指數(shù)運(yùn)算和多指數(shù)運(yùn)算.我們采用如下方式將所有運(yùn)算都估算為RSA群上的指數(shù)運(yùn)算：在使用MNT曲線的情況下，1次群G1和群GT上的指數(shù)運(yùn)算分別相當(dāng)于0.1次和1次RSA群的指數(shù)運(yùn)算[26].1次對運(yùn)算相當(dāng)于10次RSA群的指數(shù)運(yùn)算[26].1次群G上的指數(shù)運(yùn)算相當(dāng)于 0.1次RSA群的指數(shù)運(yùn)算.文獻(xiàn)[1,10,15]系統(tǒng)的cut-and-choose證明過程和本文系統(tǒng)的公平交換過程都要求使用CCA安全的公鑰加密系統(tǒng).在比較過程中，我們統(tǒng)一采用了RSA-OAEP加密方案.該方案解密過程的運(yùn)算耗費(fèi)相當(dāng)于1次RSA群的指數(shù)運(yùn)算，而加密過程高效得多(其效率約為前者的18～19倍[27]).此外，本文系統(tǒng)的公平交換過程要求TPM利用AIK中的私鑰部分產(chǎn)生數(shù)字簽名，我們使用了RSA簽名方案.同時(shí)，TPM需要利用(k,n)-Shamir方案對背書元素end進(jìn)行秘密分享.采用文獻(xiàn)[7]的估算方法，我們選取n=2.如上所述，對于文獻(xiàn)[16]系統(tǒng)，用戶在支付和公平交換過程中的運(yùn)算耗費(fèi)需要乘以一個(gè)為θ的因子.最后，我們在表3中用上標(biāo)*和 **分別指示本文系統(tǒng)中TPM和Host的運(yùn)算耗費(fèi).同時(shí)，上標(biāo)+指示采用預(yù)計(jì)算技術(shù)后的運(yùn)算耗費(fèi).

Table 3 Computation Cost Comparison of the Related Systems (Number of Exponential Operations)

Note: *indicates the computation cost of TPM;**indicates the computation cost of Host; +indicates the computation cost by using the technique of pre-computation.

7 總 結(jié)

針對已有的可授權(quán)電子現(xiàn)金系統(tǒng)通信效率不高且要求使用低效cut-and-choose證明技術(shù)的問題，本文基于DAA-A技術(shù)提出一個(gè)改進(jìn)的可授權(quán)電子現(xiàn)金系統(tǒng)，并利用所得系統(tǒng)解決了外包運(yùn)算環(huán)境下的公平支付問題.與已有同類系統(tǒng)相比，本文系統(tǒng)的優(yōu)勢是可以部署于可信計(jì)算平臺(tái)，而且同時(shí)滿足允許多次支付、無需使用cut-and-choose技術(shù)和用戶匿名性等實(shí)用性質(zhì).此外，本文系統(tǒng)的公平交換子協(xié)議可以有效抵抗拒絕服務(wù)攻擊，且無需要求用戶保持狀態(tài).效率分析表明，在支付和公平交換階段，本文系統(tǒng)用戶端的運(yùn)算和通信耗費(fèi)接近于高效的文獻(xiàn)[11]系統(tǒng).在采用預(yù)計(jì)算技術(shù)后，用戶端在支付階段的運(yùn)算性能顯著優(yōu)于其他系統(tǒng).

[1]Camenisch J, Lysyanskaya A, Meyerovich M. Endorsed e-cash[C] //Proc of IEEE S&P 2007. Piscataway, NJ: IEEE, 2007: 101-115

[2]Camenisch J, Hohenberger S, Lysyanskaya A. Compact e-cash[G] //LNCS 3494: Proc of EUROCRYPT 2005. Berlin: Springer, 2005: 302-321

[3]Yu Yulei, Dong Xiaolei, Cao Zhenfu. A trustee-based and efficient divisible e-cash scheme[J]. Journal of Computer Research and Development, 2015, 52(10): 2304-2312 (in Chinese)(虞郁磊, 董曉蕾, 曹珍富. 基于可信第三方的高效可分電子現(xiàn)金方案[J]. 計(jì)算機(jī)研究與發(fā)展, 2015, 52(10): 2304-2312)

[4]Yang Bo, Feng Dengguo, Qin Yu, et al. Research on direct anonymous attestation scheme based on trusted mobile platform[J]. Journal of Computer Research and Development, 2014, 51(7): 1436-1445 (in Chinese)(楊波, 馮登國, 秦宇, 等. 基于可信移動(dòng)平臺(tái)的直接匿名證明方案研究[J]. 計(jì)算機(jī)研究與發(fā)展, 2014, 51(7): 1436-1445)

[5]Chen L, Urian R. DAA-A: Direct anonymous attestation with attributes[G] //LNCS 9229: Proc of TRUST 2015. Berlin: Springer, 2015: 228-245

[6]Desmoulins N, Lescuyer R, Sanders O. Direct anonymous attestations with dependent basename opening[G] //LNCS 8813: Proc of CANS 2014. Berlin: Springer, 2014: 206-221

[7]Tate S R, Vishwanathan R. Efficient verifiable escrow and fair exchange with trusted hardware[EB/OL]. (2013-05-29) [2015-11-01]. http://eprint.iacr.org/2013/427

[8]Asokan M, Shoup V, Waidner M. Optimistic fair exchange of digital signatures[J]. IEEE Journal on Selected Areas in Communications, 2000, 18(4): 593-610

[9]Ateniese G. Verifiable encryption of digital signatures and applications[J]. ACM Trans on Information and System Security, 2004, 7(1): 1-20

[10]Blanton M. Improved conditional e-payments[G] //LNCS 5037: Proc of ACNS 2008. Berlin: Springer, 2008: 188-206

[11]Chen Xiaofeng, Li Jin, Susilo W. Efficient fair conditional payments for outsourcing computations[J]. IEEE Trans on Information Forensics and Security, 2012, 7(6): 1687-1694

[12]Golle P, Mironov I. Uncheatable distributed computations[G] //LNCS 2020: Proc of CT-RSA 2001. Berlin: Springer, 2001: 425-440

[13]Baldimts F, Lysyanskaya A. On the security of one-witness blind signature schemes[G] //LNCS 8270: Proc of ASIACRYPT 2013. Berlin: Springer, 2013: 82-99

[14]Camenisch J, Shoup V. Practical verifiable encryption and decryption of discrete logarithms[G] //LNCS 2729: Proc of CRYPTO 2003. Berlin: Springer, 2003: 126-144

[15]Carbunar B, Tripunitara M V. Payments for outsourced computations[J]. IEEE Trans on Parallel and Distributed Systems, 2012, 23(2): 313-320

[16]Küpcü A. Incentivized outsourced computation resistant to malicious contractors[EB/OL]. (2014-12-12) [2016-03-01]. http://eprint.iacr.org/2014/992

[17]Ringers S, Verheul E, Hoepman J H. An effcient self-blindable attribute-based credentials[EB/OL]. [2016-01-03]. https://sietseringers.net/files/abc.pdf

[18]Hwang J Y, Chen L, Cho H S, et al. Short dynamic group signature scheme supporting controllable linkability[J]. IEEE Trans on Information Forensics and Security, 2015, 10(6): 1109-1124

[19]Camenisch J, Chaabouni R, Shelat A. Efficient protocols for set membership and range proofs[G] //LNCS 5350: Proc of ASIACRYPT 2008. Berlin: Springer, 2008: 234-252

[20]Boneh D, Boyen X. Short signatures without random oracles and the SDH assumption in bilinear groups[J]. Journal of Cryptology, 2008, 21(2): 149-177

[21]Arfaoui G, Lalande J F, Traoré J, et al. A practical set-membership proof for privacy-preserving NFC mobile ticketing [C]//Proc of PETS 2015. Berlin: De Gruyter Press, 2015: 25-45

[22]Boudot F. Efficient proofs that a committed number lies in an interval[G] //LNCS 1807: Proc of EUROCRYPT 2000. Berlin: Springer, 2000: 431-444

[23]Avoine G, Vaudena S. Optimistic fair exchange based on publicly verifiable secret sharing[G] //LNCS 3108: Proc of ACISP 2004. Berlin: Springer, 2004: 74-85

[24]Stadler M. Publicly verifiable secret sharing[G] //LNCS 1070: Proc of EUROCRYPT 1996. Berlin: Springer, 1996: 190-199

[25]Liu J K, Tsang P P, Wong D S, et al. Universal custodian-hiding verifiable encryption for discrete logarithms[G] //LNCS 3935: Proc of ICISC 2005. Berlin: Springer, 2006: 389-409

[26]Boyen X. A tapestry of identity-based encryption: Practical frameworks compared[J]. International Journal of Applied Cryptography, 2008, 1(1): 3-21

[27]Lauter K. The advantages of elliptic curve cryptography for wireless security[J]. IEEE Wireless Communications, 2004, 11(1): 62-67

Liu Xin, born in 1978. PhD and associate professor. Member of China Computer Federation. His main research interests include cryptography and information security.

Zhang Bo, born in 1981. PhD and Lecturer. His main research interests include cryptography and information security (zbsdu@126.com).

附錄A. 知識(shí)簽名π3的具體實(shí)現(xiàn)過程

1)π3的產(chǎn)生過程如下：

R4=grm,

Step3.M在上計(jì)算sr′=rr′+cr,sm=rm+cm,ss=rs+cs.

Step4.M輸出π3=(c,sr′,sm,ss).

2)π3的驗(yàn)證過程如下：

Step1. 將π3分離為π3=(c,sr′,sm,ss)的形式.

Step2. 計(jì)算

Improved Endorsed E-Cash System with DAA-A

Liu Xin1,2and Zhang Bo3

1(SchoolofInformationEngineering,ShandongYouthUniversityofPoliticalScience,Jinan250103)2(KeyLaboratoryofInformationSecurityandIntelligentControlinUniversitiesofShandong(ShandongYouthUniversityofPoliticalScience),Jinan250103)3(SchoolofInformationScienceandEngineering,UniversityofJinan,Jinan250022)

At present, the existing endorsed e-cash system has a low communication efficiency, and its fair exchange protocol employs inefficient cut-and-choose proofs. In addition, the centralized TTP (trusted third party) is vulnerable to denial-of-service attacks. So far, several related fair payment systems have been proposed. Unfortunately, some of them use cut-and-choose proofs, and the others adopt verifiable encryption schemes with security flaw. Inspired by the idea of self-blindable attribute-based credentials, a concrete DAA-A (direct anonymous attestation with attributes) scheme is constructed. Based on the new DAA-A scheme, an improved endorsed e-cash system is proposed, which achieves a high level of exculpability. In order to improve users’ computational efficiency in the spending process, the set-membership proof by Arfaoui et al’s is adopted, and the efficiency of user’s signature of knowledge is also optimized with the technique of pre-computation. In order to bypass the expensive cut-and-choose proof, a new optimistic fair exchange sub-protocol supporting distributed TTPs is provided. Furthermore, if combined with the Golle-Mironov model, the new system also suits for the environment of outsourcing computing. Compared with the previous similar ones, the new system meets several desirable properties simultaneously, i.e., it supports multiple payments, and does not depend on cut-and-choose proofs and allows users to be stateless, etc. What’s more, the fair exchange protocol of the new system considers the risk of denial-of-service attacks.

endorsed e-cash; direct anonymous attestation; fair exchange; cut-and-choose proofs; outsourced computation

2016-06-14；

2016-08-10

山東省自然科學(xué)基金項(xiàng)目(ZR2015FL023,ZR2014FL011)；山東省高等學(xué)?？萍加?jì)劃項(xiàng)目(J14LN61)；山東青年政治學(xué)院博士科研啟動(dòng)經(jīng)費(fèi)資助項(xiàng)目(14A007)

TP309

This work was supported by the Natural Science Foundation of Shandong Province of China (ZR2015FL023,ZR2014FL011), the Project of Shandong Province Higher Educational Science and Technology Program (J14LN61), and the Doctoral Research Start-up Funding Project of Shandong Youth University of Political Science (14A007).