柳欣，徐秋亮，張波

（1. 山東青年政治學(xué)院信息工程學(xué)院，山東 濟(jì)南 250103；2. 山東省高校信息安全與智能控制重點(diǎn)實(shí)驗(yàn)室（山東青年政治學(xué)院），山東 濟(jì)南 250103；3. 山東大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，山東 濟(jì)南 250101；4. 濟(jì)南大學(xué)信息科學(xué)與工程學(xué)院，山東 濟(jì)南 250022）

基于DAA的輕量級(jí)多商家多重息票系統(tǒng)

柳欣1,2，徐秋亮3，張波4

（1. 山東青年政治學(xué)院信息工程學(xué)院，山東 濟(jì)南 250103；2. 山東省高校信息安全與智能控制重點(diǎn)實(shí)驗(yàn)室（山東青年政治學(xué)院），山東 濟(jì)南 250103；3. 山東大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，山東 濟(jì)南 250101；4. 濟(jì)南大學(xué)信息科學(xué)與工程學(xué)院，山東 濟(jì)南 250022）

基于Brickell等的DAA（direct anonymous attestation）方案提出一個(gè)支持多商家環(huán)境的多重息票系統(tǒng)。新系統(tǒng)將多重息票中的關(guān)鍵元素與抗篡改的TPM（trusted platform module）芯片進(jìn)行綁定，從而能更有效地阻止用戶的共享行為。新系統(tǒng)的構(gòu)造過程使用了Chow等的服務(wù)器輔助簽名驗(yàn)證技術(shù)、Yang等的自盲化證書技術(shù)以及Peng等的區(qū)間證明技術(shù)，使用戶在息票發(fā)布和兌換協(xié)議中均無(wú)需執(zhí)行低效的對(duì)運(yùn)算。相對(duì)于多個(gè)同類系統(tǒng)，新系統(tǒng)同時(shí)滿足多個(gè)較理想的性質(zhì)，而且與ARM TrustZone平臺(tái)上的移動(dòng)支付框架兼容。此外，新系統(tǒng)在通信和運(yùn)算耗費(fèi)方面具有明顯優(yōu)勢(shì)。

多重息票；直接匿名證明；服務(wù)器輔助簽名驗(yàn)證；區(qū)間證明；不可分割性

1 引言

息票（coupon）是一種傳統(tǒng)的廣告和促銷手段。目前，電子息票（e-coupon）已在電子商務(wù)領(lǐng)域得到廣泛應(yīng)用，且能有效解決傳統(tǒng)紙質(zhì)息票的環(huán)境污染問題[1]。此外，還提出了移動(dòng)息票[2]（m-coupon）和多重息票[3～9]（MC, multi-coupon）的概念。其中，MC可視為包含k張可獨(dú)立兌換息票的集合，它有助于商家與客戶建立長(zhǎng)期的購(gòu)買關(guān)系，形成穩(wěn)定的購(gòu)買群體。出于安全性的考慮，多重息票系統(tǒng)（MCS,multi-coupon system）必須滿足以下性質(zhì)。為了保護(hù)商家利益，不允許顧客使用偽造的MC進(jìn)行兌換，也不允許多名顧客對(duì)同一張MC進(jìn)行分割使用。同時(shí)，為了保護(hù)顧客的隱私，應(yīng)當(dāng)確保顧客交易過程的機(jī)密性和同一名顧客的多個(gè)交易間的無(wú)關(guān)聯(lián)性。

2005年，Chen等[3]提出MCS的安全模型，同時(shí)設(shè)計(jì)了一個(gè)實(shí)例化的系統(tǒng)。然而，該系統(tǒng)的最大缺點(diǎn)是息票發(fā)布和兌換階段的復(fù)雜度線性依賴于MC的價(jià)值。此后，文獻(xiàn)[4]提出了通信和運(yùn)算復(fù)雜度均獨(dú)立于MC價(jià)值的改進(jìn)系統(tǒng)。但是，該系統(tǒng)的弱點(diǎn)是要求將k作為系統(tǒng)的固定參數(shù)。2007年，Chen等[5]指出已有系統(tǒng)[3,4]僅滿足弱不可分割性（weak unsplittability），即只要客戶 U1、U2間存在完全信任關(guān)系，就可以通過復(fù)制操作實(shí)現(xiàn)對(duì)MC的分割使用。為此，Chen等構(gòu)造了滿足強(qiáng)不可分割性（strong unsplittability）的改進(jìn)系統(tǒng)，即只要客戶U1、U2相互信任且U1承諾在共享使用MC后與U2執(zhí)行某種交互，就能確保U2可以繼續(xù)使用MC。由于要求顧客以固定順序進(jìn)行兌換，因此 Chen等的系統(tǒng)仍無(wú)法滿足實(shí)際應(yīng)用的需要。文獻(xiàn)[6]指出，已有的MCS僅考慮了單一商家的情況。為了實(shí)現(xiàn)客戶友好性質(zhì)，應(yīng)當(dāng)將此類系統(tǒng)推廣至更具有一般性的環(huán)境，即允許不同類型的商家構(gòu)成聯(lián)合體，當(dāng)獲得由任何一個(gè)商家頒發(fā)的MC之后，顧客可以向聯(lián)合體中的其他商家進(jìn)行兌換。為此，文獻(xiàn)[6]提出第一個(gè)支持多商家環(huán)境的MCS，且無(wú)需限制兌換順序。需要指出的是，文獻(xiàn)[6]系統(tǒng)的缺點(diǎn)是聯(lián)合體的公/私鑰對(duì)是在商家間共享的，一旦某個(gè)商家退出聯(lián)合體，將為 MCS帶來(lái)安全隱患。此外，聯(lián)合體是以靜態(tài)方式創(chuàng)建的，并未考慮商家的動(dòng)態(tài)加入問題。最近，文獻(xiàn)[7,8]提出多個(gè)滿足額外性質(zhì)的改進(jìn)系統(tǒng)，如支持批量?jī)稉Q、息票發(fā)布子協(xié)議滿足并發(fā)安全性等。但是，這些系統(tǒng)[7,8]并不支持多商家環(huán)境。2015年，Hinarejos等[9]提出一個(gè)輕量級(jí)的多商家多重息票系統(tǒng)。然而，該系統(tǒng)的用戶匿名性是借助群簽名技術(shù)實(shí)現(xiàn)的，因此僅實(shí)現(xiàn)了較低的匿名性等級(jí)，即使客戶保持誠(chéng)實(shí)，也必須期望MC的發(fā)布者不與商家進(jìn)行合謀。盡管采用群簽名技術(shù)有利于通過揭示身份而實(shí)現(xiàn)對(duì)惡意用戶的懲罰，但是最新的隱私增強(qiáng)匿名認(rèn)證技術(shù)提倡采取“拒絕為欺詐用戶提供服務(wù)而非損害其隱私”的寬容做法[10,11]。此外，該系統(tǒng)僅滿足弱不可分割性。在文獻(xiàn)[12]中，Canard等指出MC可用于為病人開具藥物處方，并提出允許用戶分割使用MC的系統(tǒng)。本文認(rèn)為，文獻(xiàn)[12]系統(tǒng)與上述系統(tǒng)[3～9]的應(yīng)用目標(biāo)并不一致。

從實(shí)際角度考慮，MCS應(yīng)當(dāng)同時(shí)滿足以下性質(zhì)：1)支持多商家應(yīng)用環(huán)境，從而拓寬MC的使用范圍，提高其兌換率；2)支持息票對(duì)象[5,6]的概念，即利用息票對(duì)象表示息票代表的商品或服務(wù)，因?yàn)椴煌碳姨峁┑膬稉Q服務(wù)是不同的；3)為顧客提供一定的靈活性，即允許顧客與發(fā)布者共同協(xié)商MC的價(jià)值以及商品類型；4)滿足更強(qiáng)的不可分割性，因?yàn)橐延邢到y(tǒng)[3～9]的不可分割性都是基于純軟件技術(shù)實(shí)現(xiàn)的，這種方式僅能為用戶的共享行為設(shè)置障礙，而無(wú)法真正地阻止這種行為；5)系統(tǒng)的執(zhí)行過程應(yīng)當(dāng)盡量避免用戶執(zhí)行低效的密碼運(yùn)算。已有系統(tǒng)[3～9]要求顧客執(zhí)行RSA群上的模指數(shù)運(yùn)算或者對(duì)運(yùn)算。然而，這2類運(yùn)算并不適合于移動(dòng)設(shè)備[13～15]。

直接匿名證明（DAA, direct anonymous attestation）[16～19]是一類由可信計(jì)算組織（TCG, trusted computing group）提出的匿名證書系統(tǒng)，且適用于配置了專用安全芯片TPM（trusted platform module）的計(jì)算平臺(tái)。DAA方案最初用于解決可信計(jì)算平臺(tái)遠(yuǎn)程身份證明中的隱私保護(hù)問題[20]。當(dāng)前，此類方案在眾多應(yīng)用系統(tǒng)的設(shè)計(jì)中同樣得到廣泛采用[19]。需要指出的是，標(biāo)準(zhǔn)的匿名證書系統(tǒng)（如文獻(xiàn)[21]）往往難以杜絕用戶復(fù)制和共享證書的行為。為此，Cesena等[18]利用DAA技術(shù)構(gòu)造了可以阻止此類行為的匿名認(rèn)證方案。

本文基于 Brickell DAA方案[16]提出一個(gè)改進(jìn)的MCS。該系統(tǒng)具有以下的顯著特點(diǎn)：1)商家間無(wú)需共享秘密信息，當(dāng)某個(gè)商家離開聯(lián)合體時(shí)，不會(huì)帶來(lái)安全性問題；2)用戶在息票發(fā)布和息票兌換協(xié)議中均無(wú)需執(zhí)行對(duì)運(yùn)算，因此本文 MCS在某種程度上是“輕量級(jí)的”；3)本文系統(tǒng)在新定義的多商家MCS模型下滿足可證安全；4)在效率方面，本文系統(tǒng)的通信和運(yùn)算耗費(fèi)較已有系統(tǒng)有明顯優(yōu)勢(shì)；5)本文MCS與Pirker等[22]的基于ARM TrustZone技術(shù)的移動(dòng)支付框架相兼容，因?yàn)門PM端與Host端分別對(duì)應(yīng)于 TrustZone系統(tǒng)的 Secure World環(huán)境和Normal World環(huán)境。

2 多商家多重息票系統(tǒng)的定義及安全模型

2.1 多商家多重息票系統(tǒng)的定義

本文MCS定義是在文獻(xiàn)[9]定義基礎(chǔ)上修改得到的。具體地，多商家環(huán)境下的 MCS可視為由以下算法/協(xié)議構(gòu)成的集合，即Setup、Affiliation、Disaffiliation、Issue、Redeem和Claim。其中，Setup算法用于產(chǎn)生系統(tǒng)參數(shù)以及為發(fā)布者I產(chǎn)生公/私鑰對(duì)。商家V通過與I執(zhí)行Affiliation算法加入到聯(lián)合體Fed中，且可以在今后通過與I執(zhí)行Disaffiliation算法離開聯(lián)合體。用戶U利用Issue協(xié)議向發(fā)布者I申請(qǐng)MC，且MC中的每張息票都是可以獨(dú)立兌換的。當(dāng)希望獲得某類商品或服務(wù)時(shí)，U通過執(zhí)行Redeem協(xié)議向聯(lián)合體Fed中的某個(gè)商家V兌換MC中的一張息票。此后，V通過Claim協(xié)議向I證明自己為U提供了兌換服務(wù)，從而要求后者向自己支付費(fèi)用。在本文模型下，安全的 MCS應(yīng)當(dāng)滿足如下安全性質(zhì)。

1) 正確性：若誠(chéng)實(shí)的用戶U與發(fā)布者I執(zhí)行Issue協(xié)議，并且獲得由I提供的MC，則U總是能利用MC中未曾使用的息票向聯(lián)合體Fed中的商家V兌換商品或服務(wù)，且V總是能向I證明這個(gè)事實(shí)，使后者向自己支付相應(yīng)的費(fèi)用。

2) 不可偽造性：由惡意用戶構(gòu)成的聯(lián)合與誠(chéng)實(shí)商家V執(zhí)行的兌換次數(shù)不能超過他們通過執(zhí)行Issue協(xié)議而取得的合法息票數(shù)量之和。同時(shí)，由惡意商家構(gòu)成的聯(lián)合無(wú)法向I做出虛假聲明，即聲明的兌換次數(shù)超過他們實(shí)際為誠(chéng)實(shí)用戶提供兌換服務(wù)的次數(shù)。

3) 無(wú)關(guān)聯(lián)性：好奇的商家V無(wú)法對(duì)用戶U執(zhí)行Issue協(xié)議和Redeem協(xié)議的行為進(jìn)行關(guān)聯(lián)，也無(wú)法對(duì)該用戶2次執(zhí)行Redeem協(xié)議的行為進(jìn)行關(guān)聯(lián)。

4) 可聲明性：若誠(chéng)實(shí)的商家V為用戶U兌換了某張息票，則他總是能向I證明這個(gè)事實(shí)。

5) 不可分割性：用戶U1無(wú)法與另一個(gè)用戶U2分割使用自己的MC。

2.2 多商家多重息票系統(tǒng)的安全模型

在文獻(xiàn)[9]中，Hinarejos等提出一個(gè)MCS安全模型。但是，Hinarejos等[9]要求的防止息票重復(fù)兌換性質(zhì)完全可以由不可偽造性所蘊(yùn)含。此外，Hinarejos等將無(wú)關(guān)聯(lián)性實(shí)驗(yàn)分為2個(gè)模式，即分別在“由惡意商家構(gòu)成聯(lián)合”與“由惡意商家和發(fā)布者構(gòu)成聯(lián)合”2種情況下進(jìn)行分析。本文認(rèn)為無(wú)需再對(duì)這2種情況進(jìn)行細(xì)分，因?yàn)槿鬗CS在后一種情況下滿足無(wú)關(guān)聯(lián)性，則在前一種情況下同樣滿足無(wú)關(guān)聯(lián)性。為此，本文結(jié)合文獻(xiàn)[6,9]的安全模型定義提出更為簡(jiǎn)潔的 MCS安全模型。在本節(jié)的描述中，符號(hào)Adv與B分別表示安全性實(shí)驗(yàn)中的攻擊者與歸約算法，U、V、I分別表示誠(chéng)實(shí)用戶、商家以及發(fā)布者，分別表示惡意（或被攻破的）用戶、商家以及發(fā)布者，表示部分被攻破的用戶，即的host部分已經(jīng)被攻破，但TPM部分仍然保持誠(chéng)實(shí)。表1對(duì)Adv與B在不同安全性質(zhì)實(shí)驗(yàn)中充當(dāng)?shù)慕巧M(jìn)行了總結(jié)。

表1 Adv與B在不同安全性質(zhì)實(shí)驗(yàn)中充當(dāng)?shù)慕巧?/p>

2.2.1 不可偽造性實(shí)驗(yàn)

該實(shí)驗(yàn)的執(zhí)行過程分為以下2個(gè)模式。

1) 模式1

② 交互：B為Adv提供以下的預(yù)言服務(wù)。

散列詢問：當(dāng)Adv提出關(guān)于散列函數(shù)Hi的詢問M，B向Adv返回。

Issue詢問：當(dāng)Adv請(qǐng)求獲得一張MC，則B以I的身份與Adv執(zhí)行Issue協(xié)議。

Semi-Issue詢問：當(dāng)Adv請(qǐng)求獲得一張 MC，則B以部分被攻破用戶的 TPM 的身份與Adv聯(lián)合執(zhí)行同I的Issue協(xié)議。

Redeem詢問：當(dāng)Adv請(qǐng)求向V兌換一張對(duì)象為ob的息票，則B以V的身份與Adv執(zhí)行Redeem協(xié)議。

Semi-Redeem詢問：當(dāng)Adv請(qǐng)求向V兌換一張對(duì)象為ob的息票，則B以部分被攻破用戶的 TPM的身份與Adv聯(lián)合執(zhí)行同V的Redeem協(xié)議。

Corrupt詢問：當(dāng)Adv請(qǐng)求攻破U，則B向Adv返回U的私鑰，同時(shí)將U標(biāo)記為被攻破的用戶。

③ 結(jié)束：Adv輸出ob*。若同時(shí)滿足以下條件，則判定Adv在實(shí)驗(yàn)中獲勝，即Adv向B兌換的“具有息票對(duì)象ob*”的息票數(shù)量大于它通過與B執(zhí)行Issue協(xié)議而獲得的“具有息票對(duì)象ob*”的息票數(shù)量。

2) 模式2

① 初始化：B執(zhí)行模式 1中描述的初始化操作。此外，B定義計(jì)數(shù)器CtrR，用于統(tǒng)計(jì)已經(jīng)為誠(chéng)實(shí)用戶執(zhí)行的兌換次數(shù)。

② 交互：B為Adv提供以下的預(yù)言服務(wù)。

散列詢問：描述方式同模式1。

Issue詢問：當(dāng)Adv請(qǐng)求為U發(fā)布一張MC，則B以I的身份與U執(zhí)行Issue協(xié)議。

Redeem詢問：當(dāng)Adv請(qǐng)求為U兌換一張對(duì)象為ob的息票，則B以U的身份與Adv執(zhí)行Redeem協(xié)議。

③ 結(jié)束：最終，Adv輸出由Redeem協(xié)議副本構(gòu)成的列表Ltrans，并且請(qǐng)求I為L(zhǎng)trans中所含的交易支付費(fèi)用，B以I的身份與Adv執(zhí)行Claim協(xié)議。若Claim協(xié)議執(zhí)行成功且滿足則判定Adv在實(shí)驗(yàn)中獲勝。

2.2.2 無(wú)關(guān)聯(lián)性實(shí)驗(yàn)

該實(shí)驗(yàn)的具體過程分為以下階段。

1) 初始化：B執(zhí)行不可偽造性實(shí)驗(yàn)中描述初始化操作，并且向Adv提供

2) 交互：B為Adv提供以下的預(yù)言服務(wù)。

散列詢問：描述過程同不可偽造性實(shí)驗(yàn)（模式 1）。

Issue詢問：B以U的身份與Adv執(zhí)行Issue協(xié)議，并且獲得由Adv提供的MC。

Redeem詢問：B以U的身份與Adv執(zhí)行Redeem協(xié)議。

Corrupt詢問：當(dāng)Adv請(qǐng)求攻破U，則B將U標(biāo)記為被攻破的用戶。

4) 結(jié)束：Adv輸出猜測(cè)結(jié)果b，若b=c，則判定Adv在實(shí)驗(yàn)中獲勝。

2.2.3 可聲明性實(shí)驗(yàn)

該實(shí)驗(yàn)的具體過程分為以下階段。

1) 初始化：B執(zhí)行無(wú)關(guān)聯(lián)性實(shí)驗(yàn)中描述的初始化操作。

2) 交互：B為Adv提供以下的預(yù)言服務(wù)。散列詢問：描述過程同不可偽造性實(shí)驗(yàn)。

Redeem詢問：當(dāng)Adv請(qǐng)求向V兌換一張對(duì)象為ob的息票，B以V的身份與Adv執(zhí)行Redeem協(xié)議。

3) 結(jié)束：最終，Adv請(qǐng)求向V兌換一張對(duì)象為ob*的息票，若滿足以下條件，則判定Adv在實(shí)驗(yàn)中獲勝，即：①B與Adv成功執(zhí)行Redeem協(xié)議并且獲得對(duì)應(yīng)的交易副本trans*；②當(dāng)B以trans*為輸入與Adv執(zhí)行Claim協(xié)議時(shí)，該協(xié)議總是失敗，即B無(wú)法證明自己為用戶提供兌換服務(wù)這個(gè)事實(shí)。

2.2.4 不可分割性實(shí)驗(yàn)

該實(shí)驗(yàn)的具體過程分為以下階段。

1) 初始化：B執(zhí)行不可偽造性實(shí)驗(yàn)（模式1）中描述的初始化操作。

2) 交互：B為Adv提供以下的預(yù)言服務(wù)。

散列詢問：描述過程同不可偽造性實(shí)驗(yàn)（模式 1）。

Issue詢問：描述過程同不可偽造性實(shí)驗(yàn)（模式 1）。

Semi-Issue詢問：描述過程同不可偽造性實(shí)驗(yàn)（模式1）。

Redeem詢問：描述過程同不可偽造性實(shí)驗(yàn)（模式 1）。

Semi-Redeem詢問：描述過程同不可偽造性實(shí)驗(yàn)（模式1）。

3) 結(jié)束：Adv輸出MC*。若同時(shí)滿足以下條件，則判定Adv在實(shí)驗(yàn)中獲勝，即：①M(fèi)C*是有效的；②MC*的剩余價(jià)值大于0；③當(dāng)B以MC*為輸入執(zhí)行Redeem協(xié)議時(shí)，該協(xié)議總是失敗，這表明Adv已經(jīng)將MC*的剩余價(jià)值轉(zhuǎn)移至其他的MC′，即實(shí)現(xiàn)了對(duì)MC*的分割使用。

3 預(yù)備知識(shí)

令G1、G2、GT分別為素?cái)?shù)p階循環(huán)群，滿足。令?表示雙線性映射，使G1×。令表示素?cái)?shù)p階循環(huán)群，滿足

3.1 復(fù)雜性假設(shè)

q-SDH（q-strong Diffie-Hellman）假設(shè)[23]：對(duì)于任何的PPT（probabilistic polynomial time）算法A，定義概率

y-DDHI（decisional Diffie-Hellman inversion）假設(shè)[12]。對(duì)于任何的PPT算法A，定義概率

G1-DDH（G1- decisional Diffie-Hellman）假設(shè)[19]：對(duì)于任何的PPT算法A，定義概率

G1-DDH假設(shè)表明是可以忽略的。

3.2 BBS+簽名方案

3.3 自盲化證書技術(shù)

最近，Yang等[24]提出了旨在減輕用戶端運(yùn)算耗費(fèi)的自盲化證書技術(shù)。為了證明掌握 BBS+方案簽名(A,e,s)，證明者選取f∈Zp，計(jì)算A′=Af,，其中，于是，證明掌握秘密元素，使驗(yàn)證等式成立，等價(jià)于證明掌握秘密元素使關(guān)系成立。此外，要求驗(yàn)證者額外驗(yàn)證等式是否成立以及是否滿足

3.4 Peng-Yi區(qū)間證明技術(shù)

本文系統(tǒng)的構(gòu)造過程要求使用 Peng等[25]的關(guān)于秘密元素j屬于公開集合[1,Ji]的準(zhǔn)確區(qū)間證明協(xié)議，記為。其基本思想是首先將目標(biāo)證明等價(jià)為，其中。然后，計(jì)算秘密元素j?1關(guān)于底數(shù)的表達(dá)式，滿足，從而將關(guān)于的證明約化為l個(gè)關(guān)于的更為簡(jiǎn)單的證明?，F(xiàn)在，證明進(jìn)一步等價(jià)于證明

3.5 對(duì)委托運(yùn)算協(xié)議與服務(wù)器輔助簽名驗(yàn)證技術(shù)

委托運(yùn)算技術(shù)有利于用戶將繁重的運(yùn)算任務(wù)委托給不可信的服務(wù)器，且此類運(yùn)算模式特別適合于當(dāng)前的云計(jì)算應(yīng)用環(huán)境。對(duì)委托運(yùn)算（pairing delegation）協(xié)議是一種委托計(jì)算技術(shù)，使用戶端無(wú)需再執(zhí)行昂貴的對(duì)運(yùn)算。Canard等[15]指出，對(duì)委托運(yùn)算協(xié)議應(yīng)當(dāng)滿足完備性、可驗(yàn)證性和保密性。

服務(wù)器輔助簽名驗(yàn)證（SASV, server-aided signature verification）技術(shù)的目標(biāo)是幫助用戶將數(shù)字簽名驗(yàn)證過程中涉及的對(duì)運(yùn)算任務(wù)委托給服務(wù)器。最近，Chow等[14]提出了一般性的SASV框架，且允許將任何對(duì)委托運(yùn)算協(xié)議作為該框架的底層模塊。此類技術(shù)要求滿足以下性質(zhì)：1)適應(yīng)性選擇消息與驗(yàn)證攻擊下的存在的不可偽造性；2)合謀的適應(yīng)性選擇驗(yàn)證攻擊下的可靠性。

4 對(duì)本文系統(tǒng)的描述

4.1 本文系統(tǒng)的設(shè)計(jì)思想

4.2 具體描述

4.2.1 系統(tǒng)中的參與方

在本文系統(tǒng)中，共涉及以下參與方，即由TPM和主機(jī)host構(gòu)成的用戶U，由多個(gè)商家構(gòu)成的聯(lián)合體

4.2.2 系統(tǒng)建立（Setup）

以安全參數(shù)1λ作為輸入，I執(zhí)行下列步驟。

6) 創(chuàng)建公共數(shù)據(jù)庫(kù)DB，并且為DB創(chuàng)建任意的標(biāo)準(zhǔn)數(shù)字簽名方案SIG下的公/私鑰對(duì)，用于為向DB中寫入重復(fù)檢測(cè)標(biāo)簽的商家產(chǎn)生收據(jù)。創(chuàng)建廢除列表BL，以及列表AL、ADL。

4.2.3 商家加入聯(lián)合體（Affiliation）

希望加入Fed的商家V與I簽署商業(yè)合作協(xié)議，其內(nèi)容包括：規(guī)定V支持兌換的商品或服務(wù)類型，I承諾為V提供兌換服務(wù)而支付費(fèi)用等。然后，I為V分配身份標(biāo)識(shí)idV，執(zhí)行AL←AL∪

4.2.4 息票發(fā)布（Issue）

該協(xié)議由U（host+TPM）和I共同執(zhí)行。假設(shè)TPM 已經(jīng)與I建立起可信信道[16]。為了提高在線運(yùn)算效率，假設(shè)TPM已事先選取，并計(jì)算，具體步驟如下。

上述的cnt是TPM內(nèi)部計(jì)數(shù)器。本文允許用戶通過多次執(zhí)行當(dāng)前協(xié)議而獲得多個(gè)MC，且假設(shè)在每次執(zhí)行當(dāng)前協(xié)議時(shí)，cnt的取值不變。

4)I驗(yàn)證nI。對(duì)于每個(gè)sk′∈BL，I驗(yàn)證是否滿足若滿足，則計(jì)算，驗(yàn)證是否滿足。若不滿足，則選取e, s∈RZp，計(jì)算向TPM發(fā)送

5) TPM向host發(fā)送(F1,mid,cre)，host驗(yàn)證cre是否為關(guān)于的有效 BBS+簽名，即是否滿足驗(yàn)證等式

為了提高驗(yàn)證效率，host利用 Chow 等[14]的SASV技術(shù)進(jìn)行驗(yàn)證，具體過程如下。

4.2.5 息票兌換（Redeem）

4) 若V接收到收據(jù)（receipt），則利用PKDB驗(yàn)證receipt的有效性，然后，V為用戶提供所請(qǐng)求的類型obi的服務(wù)，并且保存交易副本。相反，若V接收到的是出錯(cuò)信息，則拒絕為U提供兌換服務(wù)。

4.2.6 聲明（Claim）當(dāng)V已經(jīng)積累了由若干兌換交易副本構(gòu)成的列表，且希望向I索取費(fèi)用，則與I執(zhí)行以下步驟。

2) I檢查是否滿足idV∈AL，若滿足，則對(duì)于Ltrans中的每個(gè)交易副本，I執(zhí)行如下檢查：①驗(yàn)證知識(shí)簽名π的有效性；②驗(yàn)證是否滿足S∈DB；③驗(yàn)證receipt的有效性。若上述檢查都通過，則I為V支付費(fèi)用。相反，若滿足S?DB或receipt驗(yàn)證失敗，則判定V進(jìn)行欺詐。

4.2.7 商家退出聯(lián)合體（Disaffiliation）

5 知識(shí)簽名π的實(shí)現(xiàn)過程

為了便于理解，本文將π的執(zhí)行過程分成2個(gè)子簽名π1、π2進(jìn)行描述。

5.1 子簽名π1的實(shí)現(xiàn)過程

在π1的構(gòu)造過程中，本文采用Yang等[24]的自盲化證書技術(shù)對(duì) Au等[23]的關(guān)于“掌握有效BBS+方案簽名”的方法進(jìn)行了優(yōu)化。π1的最終形式為

π1的具體產(chǎn)生過程如下。

2) host在[1,Ji]中選取未使用過的序號(hào)j，計(jì)算重復(fù)檢測(cè)標(biāo)簽，選取 rs∈RZp，計(jì)算，選取，計(jì)算。對(duì)于，選取，計(jì)算

5) host在Zp上計(jì)算

π1的驗(yàn)證過程如下。

5.2 子簽名π2的實(shí)現(xiàn)過程

根據(jù)3.4節(jié)可知，可以利用Peng等[25]的小區(qū)間準(zhǔn)確區(qū)間證明技術(shù)將轉(zhuǎn)換為

3) 將π2細(xì)化為如下形式

π2的驗(yàn)證過程如下。

2)采用π2產(chǎn)生過程中的方式計(jì)算系數(shù)，計(jì)算。計(jì)算驗(yàn)證是否滿足

5.3 子簽名π1與π2的合成

知識(shí)簽名π是通過對(duì)子簽名π1、π2執(zhí)行并行合成而得到的。最終的合成結(jié)果為

在驗(yàn)證過程中，驗(yàn)證者需要根據(jù)5.1節(jié)和5.2節(jié)的方式計(jì)算且最終的驗(yàn)證等式為

6 安全性分析

證明 限于篇幅，省略了正確性的證明過程。

1) 不可偽造性。當(dāng)前實(shí)驗(yàn)分為以下2個(gè)模式。

散列詢問：根據(jù)文獻(xiàn)[16]的結(jié)論，無(wú)需將散列函數(shù)H1、H3視為隨機(jī)預(yù)言機(jī)，因?yàn)樗鼈兌际莾?nèi)部函數(shù)。因此，B只需提供對(duì)函數(shù)H2、H4的模擬，即對(duì)于Adv提出的詢問，B返回在Zp上隨機(jī)選取的元素作為應(yīng)答，同時(shí)確保所提供的應(yīng)答滿足一致性。

顯然

Corrupt詢問：當(dāng)Adv請(qǐng)求攻破用戶Ui，若Ui在Reg的對(duì)應(yīng)表目中的標(biāo)識(shí)位滿足c=0，則B向Adv返回Ui的私鑰ski，設(shè)置Adv在當(dāng)前實(shí)驗(yàn)中獲勝的條件是，使。根據(jù)底層區(qū)間證明協(xié)議[25]的可靠性以及偽隨機(jī)函數(shù)[26]的抗碰撞性，Adv不可能實(shí)現(xiàn)對(duì)MC的透支使用，也不可能利用使用過的重復(fù)檢測(cè)標(biāo)簽S執(zhí)行兌換而不被發(fā)覺。因此，若Adv在實(shí)驗(yàn)中獲勝，則它必然在某次兌換過程中成功實(shí)現(xiàn)了對(duì)BBS+簽名方案實(shí)例的偽造攻擊。于是，B可以利用上述的重繞技術(shù)提取出關(guān)于秘密元組(sk**,的 BBS+方案簽名Reg且sk**?BL，即違背了q-SDH假設(shè)。

② 模式2。B執(zhí)行當(dāng)前實(shí)驗(yàn)?zāi)Ｊ?下的初始化操作，并且定義計(jì)數(shù)器CtrR。在當(dāng)前實(shí)驗(yàn)中，B為Adv提供以下的預(yù)言服務(wù)。

散列詢問：描述方式同模式1。

Issue詢問：當(dāng)Adv請(qǐng)求為U發(fā)布一張MC，則B自行模擬I與U執(zhí)行Issue協(xié)議的過程。

Redeem詢問：當(dāng)Adv要求為用戶U兌換一張對(duì)象為obi的息票，B以U的身份與Adv執(zhí)行Redeem協(xié)議。若該協(xié)議執(zhí)行成功，則B設(shè)置

最終，Adv輸出由Redeem協(xié)議副本構(gòu)成的列表Ltrans，若Ltrans中的每個(gè)副本都能通過Claim協(xié)議的驗(yàn)證過程且滿足則表明，且該副本并非通過與B執(zhí)行Redeem協(xié)議而獲得的。此時(shí)，B對(duì)Adv執(zhí)行重繞，必然能從π*中提取出關(guān)于秘密元組的 BBS+方案簽名即違背了q-SDH假設(shè)。

散列詢問：描述過程同不可偽造性實(shí)驗(yàn)（模式1）。

情況 1：若滿足i=i*，B設(shè)置 F1=v且自己并不掌握B采用以下方式模擬Issue協(xié)議，即選取，選取，計(jì)算，設(shè)置

無(wú)論屬于哪種情況，當(dāng)Issue協(xié)議結(jié)束后，B均需執(zhí)行以下操作。

④若i=i*，則設(shè)置，其中，符號(hào)“*”表示未知元素。否則，設(shè)置

情況1：若滿足i=i*，則B采用模擬方式產(chǎn)生知識(shí)簽名π。

情況2：若i≠i*，則B以誠(chéng)實(shí)方式產(chǎn)生知識(shí)簽名π。

Corrupt詢問：當(dāng)Adv請(qǐng)求攻破用戶Ui，若，則B運(yùn)行失?。环駝t，B采用不可偽造性實(shí)驗(yàn)（模式1）中的方式模擬當(dāng)前詢問。

①B以Uc的身份與執(zhí)行Redeem協(xié)議，并且在該協(xié)議中向兌換第α0張MC中的第β0張息票。在該協(xié)議中，B選取r∈RZp，設(shè)置且采用當(dāng)前實(shí)驗(yàn)Redeem詢問中的技術(shù)模擬產(chǎn)生知識(shí)簽名π。

②B以U1?c的身份與執(zhí)行Redeem協(xié)議，并且在該協(xié)議中向兌換第α1張MC中的第β1張息票。在該協(xié)議中，B以誠(chéng)實(shí)方式產(chǎn)生知識(shí)簽名π。

最終，Adv輸出對(duì)挑戰(zhàn)比特c的猜測(cè)結(jié)果b。若滿足b=c，則B判定z為群G1上的隨機(jī)元素，否則，B判定z=uab成立，從而攻破了群G1上的DDH假設(shè)。

注意，Adv同樣無(wú)法在當(dāng)前實(shí)驗(yàn)中借助U0, U1在兌換過程中產(chǎn)生的重復(fù)檢測(cè)標(biāo)簽S對(duì)它們進(jìn)行分辨。因?yàn)椋鶕?jù)文獻(xiàn)[13]結(jié)論，在群上的y-DDHI假設(shè)下，元素S與上的隨機(jī)元素是不可分辨的。

3) 可聲明性。B執(zhí)行可聲明性實(shí)驗(yàn)的初始化操作，并且采用可聲明性實(shí)驗(yàn)中定義的方式回答Adv提出的散列詢問和Redeem詢問。由于Claim算法中的驗(yàn)證操作是V在Redeem協(xié)議中執(zhí)行的驗(yàn)證操作的子集，因此，Adv將無(wú)法在該實(shí)驗(yàn)中獲勝。

4) 不可分割性。B執(zhí)行不可分割性實(shí)驗(yàn)的初始化操作。此外，B創(chuàng)建計(jì)數(shù)器，該計(jì)數(shù)器的取值代表了第i張MC的剩余價(jià)值，其中N表示Adv提出的Issue詢問次數(shù)上界。B創(chuàng)建一維數(shù)組，其中，用于存儲(chǔ)為Adv發(fā)布的第i張MC。在實(shí)驗(yàn)中，B為Adv提供以下的預(yù)言服務(wù)。

散列詢問：描述過程同不可偽造性實(shí)驗(yàn)（模式1）。

Issue詢問：假設(shè)B已經(jīng)為Adv發(fā)布了i?1張MC。當(dāng)Adv提出詢問B利用重繞技術(shù)提取出秘密知識(shí)B為Adv產(chǎn)生crei=。B 設(shè)置

Semi-Issue詢問：假設(shè)B已經(jīng)為Adv發(fā)布了i? 1張MC。當(dāng)Adv提出詢問(J1,?,Jn)，B自行選取，為Adv產(chǎn)生。B設(shè)置

Redeem詢問：B以V的身份與Adv執(zhí)行Redeem協(xié)議，并且通過對(duì)Adv執(zhí)行重繞而提取出秘密知識(shí)。B根據(jù)mid在數(shù)組中進(jìn)行查找而判定Adv使用的是哪張MC。假設(shè)滿足B設(shè)置

Semi-Redeem詢問：B的模擬過程同不可偽造性實(shí)驗(yàn)（模式1）。

最終，Adv輸出某張MC*的序列號(hào)mid*，滿足，B根據(jù)計(jì)數(shù)器的取值而判定的剩余價(jià)值是否大于零。若是，則B以為輸入執(zhí)行Redeem協(xié)議。顯然，該協(xié)議總是能執(zhí)行成功。由于用戶因滿足而無(wú)法通過Redeem協(xié)議的驗(yàn)證過程，同時(shí)用戶的host部分不掌握TPM私鑰，因而無(wú)法實(shí)現(xiàn)對(duì)MC*的分割使用，即Adv將無(wú)法在當(dāng)前實(shí)驗(yàn)中獲勝。

盡管對(duì)委托運(yùn)算協(xié)議[14,15]有利于減輕用戶的運(yùn)算負(fù)擔(dān)，但是在現(xiàn)實(shí)應(yīng)用中無(wú)法確保提供委托運(yùn)算服務(wù)的服務(wù)器一定保持誠(chéng)實(shí)。由于對(duì)Φ的調(diào)用發(fā)生在用戶端host對(duì)證書進(jìn)行驗(yàn)證的環(huán)節(jié)，因此，需要對(duì)定理 1證明過程中涉及“由歸約算法B充當(dāng)誠(chéng)實(shí)用戶且由攻擊者Adv充當(dāng)惡意參與方”的攻擊場(chǎng)景進(jìn)行重新討論，即需要對(duì)不可偽造性實(shí)驗(yàn)（模式2）和無(wú)關(guān)聯(lián)性實(shí)驗(yàn)進(jìn)行重新討論。同時(shí)，在本節(jié)假設(shè)Adv總是與提供對(duì)運(yùn)算服務(wù)的惡意服務(wù)器（記為）進(jìn)行合謀。

引理 1 在不可偽造性實(shí)驗(yàn)（模式 2）中，即使攻擊者Adv與惡意服務(wù)器進(jìn)行合謀，也無(wú)助于它在該實(shí)驗(yàn)中獲勝。

證明 除了定理1中描述的執(zhí)行過程，當(dāng)前實(shí)驗(yàn)還可以以下方式執(zhí)行。B設(shè)置列表Lcre，用于保存以誠(chéng)實(shí)方式產(chǎn)生的用戶證書。在實(shí)驗(yàn)執(zhí)行過程中，B為Adv提供以下的預(yù)言服務(wù)。

采用類似的技術(shù)，可以證明以下3個(gè)引理。

引理 2 在不可偽造性實(shí)驗(yàn)（模式 2）中，即使攻擊者Adv與惡意服務(wù)器進(jìn)行合謀，也無(wú)法使誠(chéng)實(shí)用戶接受錯(cuò)誤的委托運(yùn)算結(jié)果。

引理 3 在無(wú)關(guān)聯(lián)性實(shí)驗(yàn)中，即使攻擊者Adv與惡意服務(wù)器進(jìn)行合謀，也無(wú)法使誠(chéng)實(shí)用戶在服務(wù)器輔助驗(yàn)證和標(biāo)準(zhǔn)驗(yàn)證2種模式下獲得不一致的驗(yàn)證結(jié)果。

引理 4 在無(wú)關(guān)聯(lián)性實(shí)驗(yàn)中，即使攻擊者Adv與惡意服務(wù)器進(jìn)行合謀，也無(wú)法實(shí)現(xiàn)對(duì)誠(chéng)實(shí)用戶進(jìn)行分辨。

定理 2 只要底層 BBS+簽名方案在適應(yīng)性選擇消息攻擊下滿足存在的不可偽造性，同時(shí)底層對(duì)委托運(yùn)算協(xié)議Φ滿足完備性、可驗(yàn)證性和保密性，則在引入底層協(xié)議Φ后，本文MCS仍然是安全的。

證明 在不可偽造性實(shí)驗(yàn)（模式 2）和無(wú)關(guān)聯(lián)性實(shí)驗(yàn)中，歸約算法B以誠(chéng)實(shí)用戶身份與Adv和惡意服務(wù)器的聯(lián)合進(jìn)行交互。盡管B在執(zhí)行交互過程中需要將對(duì)運(yùn)算的任務(wù)委托給，但引理1～引理4表明，委托運(yùn)算過程并不會(huì)有助于Adv在這2個(gè)實(shí)驗(yàn)中獲勝。綜上得出，在引入底層對(duì)委托運(yùn)算協(xié)議Φ后，本文MCS仍然是安全的。

7 本文系統(tǒng)的性能分析

表2為本文系統(tǒng)與已有系統(tǒng)的主要性質(zhì)對(duì)比。在發(fā)布協(xié)議中，表2中的所有系統(tǒng)在本質(zhì)上均要求用戶與商家（或發(fā)布者）執(zhí)行一次或多次盲簽名協(xié)議。其中，文獻(xiàn)[5,6]系統(tǒng)要求執(zhí)行的盲簽名輪次與MC的價(jià)值k呈線性關(guān)系，而其他系統(tǒng)僅需執(zhí)行 1次盲簽名發(fā)布協(xié)議。在表2中，本文系統(tǒng)、文獻(xiàn)[7]的方案 2以及文獻(xiàn)[9,12]系統(tǒng)均支持息票對(duì)象的概念，因而允許用戶利用1張MC兌換多種類型的商品或服務(wù)，而其他的系統(tǒng)僅允許兌換一種類型的商品或服務(wù)。早期的系統(tǒng)[3,4]要求將MC的價(jià)值k作為系統(tǒng)的固定參數(shù)，因而影響了其實(shí)用性，此后的系統(tǒng)均支持用戶與發(fā)布者（或商家）協(xié)商k的取值。需要指出的是，本文系統(tǒng)和文獻(xiàn)[6,9]系統(tǒng)均考慮了多商家聯(lián)合經(jīng)營(yíng)的模式，因此滿足更好的客戶友好性質(zhì)。如前所述，文獻(xiàn)[3～9]系統(tǒng)都是利用純軟件的方法來(lái)確保多重息票的不可分割性，本文系統(tǒng)則借助 TPM 芯片實(shí)現(xiàn)了最強(qiáng)的不可分割性。此外，文獻(xiàn)[12]系統(tǒng)是目前唯一支持對(duì)多重息票進(jìn)行分割使用的系統(tǒng)。在匿名性方面，文獻(xiàn)[9]系統(tǒng)因構(gòu)造過程使用了群簽名技術(shù)而實(shí)現(xiàn)了最弱的匿名性。

表2 本文系統(tǒng)與已有系統(tǒng)的主要性質(zhì)比較

表3 本文系統(tǒng)與已有系統(tǒng)的通信耗費(fèi)比較

表3和表4對(duì)本文系統(tǒng)與表2所列其他系統(tǒng)（文獻(xiàn)[12]系統(tǒng)除外）進(jìn)行了通信耗費(fèi)和運(yùn)算耗費(fèi)的詳細(xì)比較。所采用的具體方法如下。

1) 文獻(xiàn)[3,5,6]系統(tǒng)都是在 RSA 群上構(gòu)造的，本文選取了相同的安全參數(shù)[30]。文獻(xiàn)[4]系統(tǒng)和本文系統(tǒng)都是在雙線性群對(duì)12(G, G)上構(gòu)造的，本文同樣選取了相同的參數(shù)。此外，文獻(xiàn)[7～9]系統(tǒng)的構(gòu)造過程同時(shí)使用了RSA群與雙線性群對(duì)。在比較中，本文用符號(hào)|G1|、|GT|分別表示群G1和目標(biāo)群GT上的元素長(zhǎng)度，表示有限域Zp上的元素長(zhǎng)度，表示 RSA群上的元素長(zhǎng)度。根據(jù)文獻(xiàn)[24]的結(jié)論，當(dāng)在MNT曲線上實(shí)現(xiàn)群對(duì)且以 80 bit安全性為目標(biāo)時(shí)，滿足

表4 本文系統(tǒng)與已有系統(tǒng)的運(yùn)算耗費(fèi)比較

2) 在運(yùn)算耗費(fèi)的分析中，本文并未對(duì)多指數(shù)運(yùn)算與單指數(shù)運(yùn)算進(jìn)行區(qū)分，因?yàn)樵趯?duì)指數(shù)運(yùn)算過程進(jìn)行優(yōu)化的情況下，這2種運(yùn)算的耗費(fèi)是接近的[24]。用符號(hào)P表示執(zhí)行1次對(duì)運(yùn)算的耗費(fèi)，用和分別表示在群G1、G2、GT和Zn上執(zhí)行1次指數(shù)運(yùn)算的耗費(fèi)?？梢宰龀鋈缦碌墓浪?，即此外，本文認(rèn)為在文獻(xiàn)[7]系統(tǒng)中，用戶和商家需要執(zhí)行群G1上指數(shù)長(zhǎng)度為30 bit的小指數(shù)運(yùn)算。根據(jù)“指數(shù)長(zhǎng)度為x bit特的指數(shù)運(yùn)算相當(dāng)于1.5x次乘法”的結(jié)論[31]得出，1次群G1上的標(biāo)準(zhǔn)指數(shù)運(yùn)算相當(dāng)于 5次此類的小指數(shù)運(yùn)算。最終，本文將G1、G2、GT和Zn上的指數(shù)運(yùn)算以及小指數(shù)運(yùn)算都估算為G1上的指數(shù)運(yùn)算。

3) 在本文系統(tǒng)中，特定參數(shù)n表示MC支持兌換的服務(wù)類型種類，Ji表示第i類對(duì)象的數(shù)量。為了便于比較，本文假設(shè)用戶在所有系統(tǒng)中僅申請(qǐng)一種類型的服務(wù)，于是n=1。同時(shí)，假設(shè)每張MC的價(jià)值均為50。不失一般性，對(duì)于本文系統(tǒng)，假設(shè)滿足J1=50。此外，在本文系統(tǒng)的息票兌換協(xié)議中，底層的區(qū)間證明協(xié)議要求在以為底數(shù)的編碼系統(tǒng)中對(duì)未使用過的息票序號(hào)進(jìn)行分解。在文獻(xiàn)[7]系統(tǒng)中，同樣要求在u(ugt;2)進(jìn)制下對(duì)MC的已兌換次數(shù)進(jìn)行分解。此處選取

4) 在本文系統(tǒng)的息票發(fā)布協(xié)議中，用戶需要調(diào)用底層的對(duì)委托運(yùn)算協(xié)議實(shí)現(xiàn)對(duì) BBS+方案簽名的服務(wù)器輔助驗(yàn)證。為此，本文使用了文獻(xiàn)[15]中的PVPV（public variable point and public variable point）類型協(xié)議。用戶每次調(diào)用該協(xié)議的運(yùn)算耗費(fèi)約為

5) 在本文系統(tǒng)的Issue和Redeem協(xié)議中，發(fā)布者（或商家）還需要根據(jù)底層DAA方案的列表BL驗(yàn)證用戶的 TPM 私鑰是否因泄露而被廢除，而參與比較的其他系統(tǒng)并未考慮這個(gè)問題。為了比較的公平，表4的運(yùn)算耗費(fèi)比較中并未統(tǒng)計(jì)執(zhí)行此項(xiàng)檢查的耗費(fèi)。此外，用符號(hào)“*”和“**”對(duì)本文系統(tǒng)中TPM端和host端的運(yùn)算耗費(fèi)分別進(jìn)行標(biāo)記。

作為總結(jié)，本文系統(tǒng)實(shí)現(xiàn)了表2列舉的所有重要性質(zhì)。在通信耗費(fèi)方面，本文系統(tǒng)僅次于最高效的文獻(xiàn)[4]系統(tǒng)。在發(fā)布協(xié)議的運(yùn)算耗費(fèi)方面，本文系統(tǒng)接近于高效的文獻(xiàn)[3,9]系統(tǒng)，且本文系統(tǒng)在兌換協(xié)議用戶端的運(yùn)算耗費(fèi)方面是最高效的。

8 結(jié)束語(yǔ)

針對(duì)已有多重息票系統(tǒng)未能較好解決防止惡意用戶對(duì)多重息票進(jìn)行分割使用的現(xiàn)實(shí)問題，本文提出了基于DAA的輕量級(jí)多商家多重息票系統(tǒng)。相對(duì)于已有系統(tǒng)，本文系統(tǒng)不僅實(shí)現(xiàn)了支持兌換不同類型的服務(wù)、允許用戶與發(fā)布者協(xié)商兌換次數(shù)和適合于多商家環(huán)境等實(shí)用性質(zhì)，而且滿足最強(qiáng)等級(jí)的不可分割性。此外，本文系統(tǒng)不要求用戶執(zhí)行任何的對(duì)運(yùn)算，而且與Pirker等的移動(dòng)支付框架相兼容。效率分析表明，本文系統(tǒng)在運(yùn)算和通信耗費(fèi)方面較已有系統(tǒng)具有明顯優(yōu)勢(shì)。今后將進(jìn)一步優(yōu)化用戶端（特別是TPM）的運(yùn)算效率，考慮所設(shè)計(jì)的系統(tǒng)與下一代TPM 2.0標(biāo)準(zhǔn)的兼容問題等。

[1] CHANG C C, SUN C Y. A secure and efficient authentication scheme for e-coupon systems[J]. Wireless Personal Communications, 2014,77(4): 2981-2996.

[2] HSUEH S C, CHEN J M. Sharing secure m-coupons for peer-generated targeting via eWOM communications[J]. Electronic Commerce Research and Applications, 2010, 9(4): 283-293.

[3] CHEN L, ENZMANN M, SADEGHI A R, et al. A privacy-protecting coupon system[C]//The 9th International Conference on Financial Cryptography and Data Security. Roseau, 2005: 93-108.

[4] NGUYEN L. Privacy-protecting coupon system revisited[C]//The 10th International Conference on Financial Cryptography and Data Security.Anguilla, British West Indies, 2006: 266-280.

[5] CHEN L, ESCALANTE A, L?HR H, et al. A privacy-protecting multi-coupon scheme with stronger protection against splitting[C]//The 11th International Conference on Financial Cryptography and Data Security. Scarborough, Trinidad and Tobago, 2008: 29-44.

[6] L?HR H. Privacy-preserving protocols and applications for trusted platforms[D]. Bochum: Ruhr-Universit, 2012.

[7] 柳欣, 徐秋亮. 實(shí)用的強(qiáng)不可分割多重息票方案[J]. 計(jì)算機(jī)研究與發(fā)展, 2012,49(12): 2575-2590.LIU X, XU Q L. Practical multi-coupon systems with strong unsplittability[J]. Journal of Computer Research and Development, 2012,49(12): 2575-2590.

[8] 柳欣, 徐秋亮. 并發(fā)安全的緊湊多重息票方案[J].電子學(xué)報(bào),2012,40(5): 877-882.LIU X, XU Q L. Compact multi-coupon systems with concurrent security[J]. Acta Electronica Sinica, 2012, 40(5):877-882.

[9] HINAREJOS M F, ISERN-DEYà A P, FERRER-GOMILA J L, et al.MC-2D: an efficient and scalable multicoupon scheme[J]. The Computer Journal, 2015, 58(4): 758-778.

[10] WANG W J, FENG D G, QIN Y, et al. ExBLACR: extending BLACR system[C]//The 19th Australasian Conference on Information Security and Privacy. Wollongong, NSW, Australia, 2014:397-412.

[11] XI L, FENG D G. FARB: fast anonymous reputation-based blacklisting without TTPs[C]//The 13th Workshop on Privacy in the Electronic Society. Scottsdale, Arizona, USA, 2014:139-148.

[12] CANARD S, GOUGET A, HUFSCHMITT E. A handy multi-coupon system[C]//The 4th International Conference Applied Cryptography and Network Security. Singapore, 2006: 66-81.

[13] ISERNS-DEYà A P, HUGUET-ROTGER L, PAYERAS-CAPELLà M M, et al. On the practicability of using group signatures on mobile devices: implementation and performance analysis on the android platform[J]. International Journal of Information Security, 2014,(8): 1-11.

[14] CHOW S S M, AU M H, SUSILO W. Server-aided signatures verification secure against collusion attack[J]. Information Security Technical Report, 2013, 17(3): 46-57.

[15] CANARD S, DEVIGNE J, SANDERS O. Delegating a pairing can be both secure and efficient[C]//The 12th International Conference on Applied Cryptography and Network Security. Lausanne, Switzerland,2014: 549-565.

[16] BRICKELL E, LI J T. A pairing-based DAA scheme further reducing TPM resources[C]//The 3rd International Conference on Trust and Trustworthy Computing. Berlin, Germany, 2010: 181-195.

[17] 楊波, 馮登國(guó), 秦宇, 等. 基于可信移動(dòng)平臺(tái)的直接匿名證明方案研究[J]. 計(jì)算機(jī)研究與發(fā)展, 2014,51(7):1436-1445.YANG B, FENG D G, QIN Y, et al. Research on direct anonymous attestation scheme on trusted mobile platform[J]. Journal of Computer Research and Development, 2014, 51(7): 1436-1445.

[18] CESENA E, L?HR H, RAMUNNO G, et al. Anonymous authentication with TLS and DAA[C]//The 3rd International Conference on Trust and Trustworthy Computing. Berlin, Germany, 2010: 47-62.

[19] CHEN L. A DAA scheme requiring less TPM resources[C]//The 5th International Conference on Information Security and Cryptology.Beijing, China, 2010: 350-365.

[20] 張倩穎, 馮登國(guó), 趙世軍. 基于可信芯片的平臺(tái)身份證明方案研究[J]. 通信學(xué)報(bào),2014,35(8):95-106.ZHANG Q Y, FENG D G, ZHAO S J. Research of platform identity attestation based on trusted chip[J]. Journal on Communications,2014,35(8):95-106.

[21] BALDIMTSI F, LYSYANSKAYA A. Anonymous credentials light[C]//2013 ACM SIGSAC conference on Computer amp; Communications Security. Berlin, Germany, 2013:1087-1098.

[22] PIRKER M, SLAMANIG D. A framework for privacy-preserving mobile payment on security enhanced arm trustzone platforms[C]//Proceedings in 2012 IEEE 11th International Conference on Trust,Security and Privacy in Computing and Communications. Liverpool,UK, 2012: 1155-1160.

[23] AU M H, SUSILO W, MU Y, et al. Constant-size dynamic k-times anonymous authentication[J]. IEEE Systems Journal, 2013, 7(2):249-261.

[24] YANG Y, DING X, LU H, et al. Self-blindable credential: towards lightweight anonymous entity authentication[EB/OL]. https://eprint.iacr.org/2013/207.pdf.

[25] PENG K, YI L. Studying a range proof technique-exception and optimization[C]//The 6th International Conference on Cryptology in Africa. Cairo, Egypt, 2013: 328-341.

[26] DODIS Y, YAMPOLSKIY A. A verifiable random function with short proofs and keys[C]//The 8th International Workshop on Theory and Practice in Public Key Cryptography. Les Diablerets, Switzerland,2005: 416-431

[27] SCOTT M. Unbalancing pairing-based key exchange protocols[EB/OL].https://eprint.iacr.org/2013/688.pdf.

[28] AU M H, SUSILO W, YIU S M. Event-oriented k-times revocable-iff-linked group signatures[C]//The 11th Australasian Conference on Information Security and Privacy. Melbourne, Australia, 2006:223-234.

[29] PENG K. A general, flexible and efficient proof of inclusion and exclusion[C]//Cryptographers’ Track at the RSA Conference 2011. San Francisco, CA, USA, 2011: 33-48.

[30] CAMENISCH J, LYSYANSKAYA A. A signature scheme with efficient protocols[C]//The 3rd International Conference on Security in Communication Networks. Amalfi, Italy, 2002: 268-289.

[31] PENG K, BOYD C, DAWSON E. Batch zero knowledge proof and verification and its applications[J]. ACM Transactions on Information and System Security, 2007, 10(2): 1-28.

Lightweight multi-coupon system for multi-merchant environments with DAA

LIU Xin1,2, XU Qiu-liang3, ZHANG Bo4
（1. School of Information Engineering, Shandong Youth University of Political Science, Jinan 250103, China;2. Key Laboratory of Information Security and Intelligent Control in Universities of Shandong(Shandong Youth University of Political Science), Jinan 250103, China;3. School of Computer Science and Technology, Shandong University, Jinan 250101, China;4. School of Information Science and Engineering, University of Jinan, Jinan 250022, China）

A multi-coupon system for multi-merchant environments was proposed by extending the DAA (direct anonymous attestation) scheme of Brickell etc. The new system bound the key elements in multi-coupon with the tamper-resistant TPM（trusted platform module）chip, so that it could prevent users from sharing behavior more effectively.By using the server-aided signature verification of Chow etc, the self-blindable credential technique of Yang etc, and range proof of Peng etc, the new system does not require customers to perform expensive pairing operations in the issue protocol and the redeem protocol. Compared with previous similar systems, the new system simultaneously satisfies several ideal properties and it is compatible with the mobile payment framework on the ARM TrustZone platform. Moreover,it has obvious advantages in aspects of communication and computation costs.

multi-coupon, direct anonymous attestation, server-aided signature verification, range proof, unsplittability

s: The National Natural Science Foundation of China(No. 61173139), Shandong Provincial Natural Science Foundation(No.ZR2015FL023, No.ZR2014FL011),The Project of Shandong Province Higher Educational Science and Technology Program(No.J14LN61), The Doctoral Research Start-up Funding Project of Shandong Youth University of Political Science (No.14A007)

TN918.2

A

10.11959/j.issn.1000-436x.2016175

2015-09-24；

2016-07-07

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61173139）；山東省自然科學(xué)基金資助項(xiàng)目（No.ZR2015FL023, No.ZR2014FL011）；山東省高等學(xué)校科技計(jì)劃資助項(xiàng)目（No.J14LN61）；山東青年政治學(xué)院博士科研啟動(dòng)經(jīng)費(fèi)資助項(xiàng)目（No.14A007）

柳欣（1978-），男，山東廣饒人，博士，山東青年政治學(xué)院副教授，主要研究方向?yàn)槊艽a學(xué)與信息安全。

徐秋亮（1960-），男，山東淄博人，山東大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)槊艽a學(xué)與信息安全。

張波（1981-），男，山東德州人，博士，濟(jì)南大學(xué)講師，主要研究方向?yàn)槊艽a學(xué)與信息安全。