基于可链接环签名的电子消费方案

张瑞丽,李顺东

(陕西师范大学计算机科学学院,西安710119)

基于可链接环签名的电子消费方案

张瑞丽,李顺东

(陕西师范大学计算机科学学院,西安710119)

在当今电子消费系统中,经常出现由于多次消费而导致效率较低甚至金额紊乱的现象,为解决这一问题,提出一种新的电子消费方案。该方案基于双线性对和可链接环签名,运用可链接环签名的高效安全性,能够判断签名正确与否,并检测出同一用户的有限金额是否重复花费的功能,通过取款、消费、存款3个阶段,使消费者、商家及银行三方的交易相互联系,完成电子消费过程。分析结果表明,该方案安全、可行,能实现用户的匿名性及无法重复花费性,满足电子消费的基本要求。与Liu等人提出的方案(Wuhan University Journal of Natural Sciences, 2013,No.2)相比,计算成本较低,效率较高。

电子消费;环签名;可链接环签名;匿名性;重复花费

1 概述

随着网络的迅速发展,各种电子活动应运而生,而80%的电子活动是以消费为主[1],电子消费可以使用户足不出户就能通过网络进行消费,如购物、充值、转账等。与此同时,电子消费是否被第三者知道,用户的金额是否到达对方等安全问题成了人们重视并必须解决的问题。为了解决这些问题,则需要用到数字签名的相关性质。在数字签名[2-4]研究的初期,多数研究是以群签名[5]为基础的,但由于群签名需要管理群成员,建立及删除成员耗资较大,因此其效率较低,实用性不高。自环签名[6]的概念被提出后,人们更多地是单纯对环签名方案的研究,而对实际环签名的应用研究较少。随着用户的需求,环签名的应用愈加广泛,在保证完全匿名的前提下,由于环签名无法判断2个信息是否由同一人签名,因此在此基础上产生了可链接环签名,它是在2004年由Liu[7]首次提出,方案可以判断2个签名是否由同一人所签,其主要目的是防止用户在消费过程中进行重复花费,所以对可链接环签名的研究意义重大。Au在此基础上对可链接环签名进行认证[8],进一步证明其高效性、匿名性及不可伪造性。由于可链接环签名的日益成熟,它更多地被应用于实际中。2013年,Liu再次提出一种完全无条件匿名的可链接环签名方案[9],使其安全性更高。

首个电子现金系统[10]由Chaum于1982年提出,该方案基于盲签名,满足匿名性,并能通过在线检测的方式防止重复花费的问题,但只能在线检测,所以应用非常有限,1990年Chaum等人再次对此方案进行改进[11],使其在离线状态下仍然可以检测,此方案将电子现金的研究推向高潮。但由于此时兴起的电子现金大多数基于群签名或群盲签名[12-13],其缺点显而易见,因此利用环签名设计电子现金系统非常有必要。2007年孟纯煜等人设计了一种电子现金方案[14],此方案较之前的方案效率有所提高,但它基于RSA,效率提高仍然有限制。此后,Liu提出了一种利用代理盲签名设计的离线电子现金方案[15],使得电子现金方案愈加成熟。本文利用双线性对的性质和可链接环签名设计一种安全高效的电子消费方案。该方案满足电子消费的基本条件:正确性,匿名性,不可伪造性,离线性以及无法重复花费性。

2 预备知识

2.1 双线性对

设G1是一个由P生成的且阶为素数q的循环加法群,G2是一个循环乘法群,阶仍为q。映射e:G1×G1→G2是一个双线性映射,且满足以下3个性质:

(1)双线性:∀P,Q∈G1,∀a,b∈Z*q,e(aP,bQ)=e(P,Q)ab;

(2)非退化性:存在P,Q∈G1,使得e(P,Q)≠1;

(3)可计算性:对于所有的P,Q∈G1,存在有效的算法计算e(P,Q)。

2.2 问题的困难性描述

对一些问题的困难性描述如下:

(1)离散对数问题(DLP):任取Q∈G1,寻找n∈,使得Q=nP;

(2)判定性Diffie-Hellman问题(DDHP):对于a,b,c∈,X∈G1,给定(cX,aX,bX),判断c≡abmodq;

(3)计算性Diffie-Hellman问题(CDHP):对于a,b∈,X∈G1,给定(X,aX,bX),计算abX;

(4)Gap Diffie-Hellman问题(GDHP):在多项式时间内,对于群G1上的DDHP易解决而CDHP难解决,则称群G1为GDH群。

假设DLP问题和CDHP问题是困难的,则在多项式时间内DLP问题、CDHP问题均无法被解决。

3 电子消费方案设计

本文提出的电子消费方案包括5个步骤:初始化阶段,取款阶段,消费阶段,商家验证阶段,存款阶段,该方案的资金流向如图1所示。

图1 电子消费资金流向

方案具体描述如下:

(1)初始化阶段

设P是G1的一个生成元;双线性映射e:G1×G1→G2,H1:{0,1}*→,H2:{0,1}*→G1,H3:均为哈希函数。银行随机选择一个作为其私钥,令Q=sP作为其公钥。系统将系统参数集合{G1,G2,e,q,P,Q,H1,H2}公开,同时将s作为主密钥。

(2)取款阶段

此阶段是消费者进行电子消费的第一步,向银行申请取款,从自己的银行账户上提取电子现金。为了保证在消费者匿名的前提下,获得带有银行签名的合法电子现金,银行必须确信电子现金中包含必要的用户身份及足够的金额之后,与消费者交互执行以下盲签名协议:

1)消费者提取相关信息:取款金额m,时间t,然后随机选取盲化因子r∈,计算U=rQH1(m||t),消费者将U发送至银行。

2)银行收到信息后,用自己的私钥s对U进行签名,计算U1=sU,将U1传回给消费者。

3)消费者进行去盲运算,U=U1/r,得到电子现金m。

(3)消费阶段

此阶段是消费者与商家之间进行交易的阶段。

1)假设有k个消费者,将他们的身份信息集合设为L,并存入消费者数据库,则L={L1,L2,…,Lk},计算Qi=H2(Li)作为消费者的公钥。

2)消费者随机选取V∈G1,计算初始值:v=c0=e(V,P)。

3)为其他消费者随机选择Xi∈G1,计算:ci+1= [e(U,H3(ci)Qi)·e(Xi,P)]。

4)形成环:ci+1=[e(U,H3(ci)Qi)·e(Xi,P)]=v。

5)解出Xi,令:X=∑Xi。

6)输出信息:(L;X;c1,c2,…,ck)。

(4)商家验证阶段

商家收到消费请求信息后,进行以下验证:

1)将收到的身份信息L与数据库中的身份信息匹配,以检查其是否正确。

3)将收到的签名与数据库中原有的签名进行一一对比,判断两者是否相等,如果相等,说明是同一个消费者想要重复花费,商家拒绝;如果不等,说明是一个新的消费者,则商家接受此电子金额,并将其签名信息存入消费者数据库,以备与之后的消费者信息比较。

(5)存款阶段

商家将此签名信息发送至银行,银行检测:如果商家没有存过此金额,则接受此金额;否则,认为商家想要重复存款,拒绝。

4 方案分析

4.1 正确性

本文方案基于环签名,满足完全匿名性:

序列{ci}环签名的验证过程和产生过程中是一致的,因此,有ck+1=c0。

4.2 匿名性

本文方案基于环签名,在消费者取款阶段,随机选取盲化因子r∈对取款信息进行盲化,商家和银行若想从接收到的数据中得到消费者的相关信息U,必须知道盲因子r,而r是消费者随机选取并保密的,从而保证了电子消费的匿名性。

4.3 不可伪造性

假设攻击者A的身份信息LA不在公钥集合L中,但是如果他要伪造一个有效的消费信息,他只能或者伪造一个LA∈L,或者执行以下过程:

(1)攻击者A询问私钥生成中心,它给A输出p个私钥,利用已知的参数和Li(Li⊄L,i=1,2,…,p),返回其对应的公钥Qi=H2(Li)。

(2)令r=|L|,i=0,1,…,k-2,模仿真实消费者的支付阶段过程,产生环序列,即执行支付阶段的(c)。

(3)随机选取c0∈,并指定:c0=[e(U,H3(ck-1)Qk-1)·e(Xk-1,P)]。

(4)输出消费信息:(L;X;c1,c2,…,ck)。

若A完成上述步骤(1),并得到((Lm,Sm)),使得H2(Lm)=H2(Ln),Ln∈L,那么他能够伪造一个有效的举报信息,但是,由于H2是随机预言机,私钥生成中心产生的随机数是均匀分布的,因此此询问无法得到任何结果。所以,式(3)中的等式c0=[e(U,H3(ck-1)Qk-1)·e(Xk-1,P)]正确的概率只有1/p,因此,此消费信息是不可伪造的。

4.4 离线性

在本文方案中,取款阶段,商家无需参与,只需消费者与银行交易;支付阶段,只需消费者与商家交易;在存款阶段,只需银行与商家交易。可见,在此电子消费方案的每个阶段只需要相关的人员参与即可,因此本文系统完全可以在离线状态下使用,提高了整个电子消费系统的便捷性。

4.5 无法重复花费性

由于消费者的身份信息一直是匿名的,商家无法知道,只有通过环签名的可链接性,执行商家验证中的步骤(3),如果发现一个消费者重复花费,根据其公钥Qi信息,可以从密钥数据库中查到他的真实身份,从而控制他的重复花费行为。

4.6 效率分析

在本文的效率分析中,假设哈希函数的计算成本为H,椭圆曲线上的乘法的计算成本为MC,一个加密和解密算法的计算成本为AED,双线性对的计算成本为Pa,本文方案与其他方案的计算成本比较结果如表1所示。

表1 本文方案与文献[15]方案的计算成本比较

文献[15]方案采用代理签名,每次代理签名中都会有原始签名者的参与,签名权在必要时需要转移或撤销,所以通信量大,计算复杂性高。由于本文方案基于双线性对且没有代理阶段,所以哈希过程和双线性的计算成本大大减少,在支付阶段采用环签名,没有群签名的群建立、群管理及群撤销等阶段,另外在存款阶段,通过简单快速的方法进行验证。综合考虑,本文方案符合电子消费的基本要求且效率较高。

5 结束语

电子消费方案的应用在网络快速发展的当今越来越广泛,用户对其的要求与期望也越来越高,因此,电子消费方案的功能也随之更加便捷、完善。本文通过应用双线性的性质对及可链接环签名,设计了一种新的电子消费方案,该方案将消费者的相关信息形成环后与商家进行电子交易,满足消费者的匿名性;由于交易时只需要相关实体参与即可,因此该电子消费系统满足离线操作,使得系统更加简易、效率更高;在电子消费过程中,利用可链接环签名对重复花费的行为进行检测,避免消费者的重复花费行为而引起资金流动混乱。由于本文没有考虑系统故障时电子现金的流向,因此如何使得电子现金在突发故障的情况下仍能成功交易将是今后研究的重点。

[1] Turban E.电子商务:管理视角[M].严建援,译.北京:机械工业出版社,2010.

[2] 张焕国,王张宣.密码学引论[M].武汉:武汉大学出版社,2009.

[3] 赵泽茂.数字签名理论[M].北京:科学出版社,2007.

[4] Rivest R L.Shamir A,Adleman L.A Method for Obtaining Digital Signatures and Public-key Cryptosystems[J]. Communications of the ACM,1976,21(2):120-126.

[5] 刘丹妮,王兴伟,郭 磊,等.一种群签名方案的分析及改进[J].东北大学学报,2010,31(2):189-192.

[6] Rivest R L,Shamir A.How to Leak a Secret[C]//Proc. of Asiacrypt'01.Berlin,Germany:Springer-Verlag,2001: 552-565.

[7] Liu J K,Wei V K,Wong D S.Linkable Spontaneous Anonymous Group Signature for Ad Hoc Groups[C]//Proc.of ACISP'04.Berlin,Germany:Springer,2004:325-335.

[8] Au M H,Liu J K,Susilo W,et al.Certificate Based(Linkable)Ring Signature[C]//Proc.of ISPEC'07.Berlin, Germany:Springer,2007:79-92.

[9] Liu J,Au M,Susilo W,et al.Linkable Ring Signature with Unconditional Anonymity[J].IEEE Transactions on Knowledge and Data Engineering,2013,26(1):157-165.

[10] Chaum D.Blind Signatures for Untraceable Payments [C]//Proc.of CRYPTO'82.Santa Barbara,USA: Springer,1982:199-203.

[11] Chaum D,Fiat A,Naor M.Untraceable Electronic Cash [C]//Proc.ofCRYPTO'88.New York,USA: Springer,1990:319-327.

[12] Canard S,Traoré J.On Fair E-cash Systems Based on Group Signature Schemes[C]//Proc.of ACISP'03. Berlin,Germany:Springer,2003:237-248.

[13] Yu Tao.Multivariate Threshold Group Signature Scheme Withstanding Conspiracy Attack[C]//Proc.of ICADE'12. [S.l.]:IEEE Press,2012:114-118.

[14] 孟纯煜,殷新春,宋春来.利用可链接环签名的电子现金支付方案[J].扬州大学学报:自然科学版,2007,10 (2):54-56.

[15] Liu Jianwei,Qiu Xiufeng.A Proxy Blind Signature Scheme and an Off-line Electronic Cash Scheme[J]. Wuhan University Journal of Natural Sciences,2013,18 (2):117-125.

编辑 金胡考

Electronic Consumption Scheme Based on Linkable Ring Signature

ZHANG Rui-li,LI Shun-dong
(School of Computer Science,Shaanxi Normal University,Xi'an 710119,China)

In existed electronic consumption system,multi-consumption often occurs and causes low efficiency even cash disorder.For tackling this trouble,this paper proposes a new efficient and safe electronic consumption scheme.The scheme is based on bilinear pairings and linkable ring signature.Linkable ring signature has the efficiency and the security of ring signature.The scheme can check whether the signature is correct or not.It can detect the same user uses limited amount of cash repeatedly,by the three stages of designing,consuming and saving,connects the transaction of consumers, businesses and banks each other,and makes electronic consumption go on.The scheme can preserve the user's anonymity,prevent multiple consuming,and satisfy the basic requirement of electronic consuming.Analysis and proof show that the scheme is more feasible and efficient than the scheme proposed by Liu,etc.(Wuhan University Journal of Natural Sciences,2013,No.2).

electronic consumption;ring signature;linkable ring signature;anonymity;multiple consuming

1000-3428(2014)09-0170-04

A

TP309

10.3969/j.issn.1000-3428.2014.09.034

国家自然科学基金资助面上项目“高性能保密计算算法与协议研究”(61070189);国家自然科学基金资助面上项目“云计算与云存储若干关键问题研究”(61272435)。

张瑞丽(1989-),女,硕士研究生,主研方向:密码学,信息安全;李顺东,教授、博士生导师。

2013-10-15

2013-11-07E-mail:15029034846@126.com