電子現金技術(shù)

計算機科學(xué)2004Vol. 31N9. 1電子現金技術(shù)*)李繼國’曹珍富? 李建中'(哈爾濱工業(yè)大學(xué)計算學(xué)院哈爾濱 150001)' ( 上海交通大學(xué)計算機系上海 200030)2摘要本文首先介紹電子現金產(chǎn)生的背景、概念、研究思路、 國內外現狀與進(jìn)展。然后介紹了電子現金系統的模型、分類(lèi)、關(guān)鍵技術(shù)、存在的問(wèn)題及述評。最后對電子現金技術(shù)的未來(lái)進(jìn)行展望。目的在于讓廣大讀者了解電子現金的發(fā)展和重要意義,激發(fā)讀者積極參與電子現金技術(shù)的研究,促進(jìn)我國電子商務(wù)的發(fā)展。關(guān)鍵詞電子現金,盲簽名 ,匿名性,可分性E-Cash TechnologyLI Ji-Guo' CAO Zhen-Fu2 Li Jian-Zhong '(School of Computer Science &. Technology, Harbin Institute of Technology , Harbin 150001, Chia )1(Department of Computer Science &. Technology，Shanghai Jiao Tong University ，Shanghai 200030, China)?Abstract This paper firstly introduces background ,conception ,research idea，present situation and progress at homeand abroad of e-cash technology. Then we introduce models ,categories ,key technologies ,open problems and remarksof e-cash system. Finally,we look into the future of e-cash technology. We want to make most readers learn aboutprogress and significance of e-cash technology ,to encourage readers to participant the research of e-cash technology,and to accelerate development of e-commerce in our country.Keywords E-cash, Blind signature, Anonymity, Divisibility易拷貝,因此重復花費不可避免,并且事后檢查出的重復花費1.引言所造成的損失如何挽回也是尚待解決的問(wèn)題。完全匿名的電隨著(zhù)Internet 網(wǎng)絡(luò )技術(shù)的飛速發(fā)展,建立在Internet 網(wǎng)子現金系統[口可使不法分子進(jìn)行“完美犯罪”18],如敲詐、勒絡(luò )技術(shù)基礎之上的電子商務(wù)正在逐漸走進(jìn)我們的生活。人們索、非法購買(mǎi).行賄受賄等。于是基于密鑰托管[18.19]、公平盲對方便、快捷.安全的電子支付技術(shù)的需求越來(lái)越迫切，而電簽名9和間接論述證明120(indirect discourse proofs)等思想子現金(E-Cash)就是-種非常重要的安全電子支付系統,電的匿名撤銷(xiāo)的離線(xiàn)電子現金方案[19-12.21和公平離線(xiàn)電子現子現金正是在這樣的背景下應運而生的。商家希望通過(guò)金方案[0.222成為研究的熱點(diǎn)。針對在線(xiàn)和離線(xiàn)電子現金系統Internet來(lái)銷(xiāo)售其商品,顧客也希望能夠通過(guò)Internet方便而的優(yōu)缺點(diǎn)，陳愷,張玉清和肖國鎮[3]給出一種概率驗證方案,安全地購買(mǎi)物品。這一切,既為Internet 技術(shù)的發(fā)展提供了新建立了一個(gè)聯(lián)機和脫機相結合的匿名可分電子現金系統。-的動(dòng)力，同時(shí)也使其面臨著(zhù)巨大的挑戰。這是因為,電子商務(wù)個(gè)理想的電子現金系統應具有如下性質(zhì):的發(fā)展離不開(kāi)電子化的交易手段，而Internet卻缺乏標準的獨立性:電子現金的安全性不依賴(lài)于任何物理位置,電子安全機制,難以保證在電子化交易中交易雙方的身份認證、交現金能通過(guò)計算機網(wǎng)絡(luò )傳送。易數據的保密性、匿名性.不可否認性以及交易的公平性。條件匿名性:現金的使用不泄露合法用戶(hù)的身份,在必要為了解決這些問(wèn)題,計算機專(zhuān)家和密碼學(xué)專(zhuān)家們利用密時(shí)(如用戶(hù)被懷疑敲詐、勒索等)可借助可信第三方撤銷(xiāo)匿名.碼技術(shù),在Internet標準協(xié)議基礎之上進(jìn)行了深入的探討與研究，提出了許多電子現金方案1-1]。電子現金(E- Cash)又不可偽造性:除了銀行合法發(fā)行電子現金外,任何人都不稱(chēng)電子貨幣(E-money/coin),數字現金(Digital cash/能偽造電子現金。money),它可以看作是現實(shí)紙幣的電子或數字模擬,但比現不可重復花費性:電子現金只能使用一次,重復花費將以實(shí)紙幣更方便經(jīng)濟,它是-種重要的電子支付系統。它的最簡(jiǎn)很大的概率被發(fā)現。單形式包括三個(gè)主體和四個(gè)安全協(xié)議過(guò)程:商店,用戶(hù),銀行;可分性:電子現金可以分成更小數額的幾份現金,但總金注冊協(xié)議,提款協(xié)議,支付協(xié)議,存款協(xié)議。第一個(gè)電子現金方額保持不變。案由Chaum在1982 年提出,他利用盲簽名技術(shù),可以完全可傳遞性:用戶(hù)可以任意地將電子現金轉借給別人,而不保護用戶(hù)的隱私權。根據電子現金在花費時(shí)是否與銀行進(jìn)聯(lián)被追蹤。機驗證,分為在線(xiàn)電子現金系統和離線(xiàn)電子現金系統。盡管在.不可連接性:用戶(hù)不同的電子現金不能被聯(lián)系起來(lái)。線(xiàn)電子現金系統有非常好的安全性,但巨大的通信量和驗證離中國煤化工時(shí)，商店不需要和銀行進(jìn)中心的瓶頸會(huì )使得系統的效率極低。而離線(xiàn)電子現金系統對行聯(lián)機MHC NMH G,用戶(hù)的重復花費都是進(jìn)行事后檢測,又由于電子現金非常容目例凹介工已僅八收用時(shí)電丁現金系統有Netcash[24]電*)國家自然科學(xué)基金(No.60072018),國家杰出青年科學(xué)基金資助項目(60225007),教育部高等學(xué)校博士學(xué)科點(diǎn)專(zhuān)項基金(20020248024)。李繼國博士生,主要研究方向為密碼學(xué)理論與技術(shù)、 電子商務(wù)等;曹珍富教授 .博士生導師,主要研究方向為數論與現代密碼算法理論、信息安全的理論與技術(shù)、密碼協(xié)議與網(wǎng)絡(luò )安全、電子商務(wù)等;李建中教授, 博士生導師，主要研究領(lǐng)域為數據庫系統技術(shù),并行計算技術(shù)。子現金構架,歐盟ESPRIT計劃研制的CAFE251(Conditional據來(lái)自B的取款協(xié)議信息返回取款來(lái)源信息。B能通過(guò)訪(fǎng)問(wèn)Access for Europe)系統,D. Chaum建立的E-Cash[26]系統以它的存款協(xié)議信息使用T的返回值來(lái)發(fā)現貨幣。及CyberCash[2r]等電子現金系統。而國內在電子現金設計方用戶(hù)跟蹤協(xié)議允許授權機構阻止洗黑錢(qián),因為他們能發(fā)面的工作僅限于理論研究,暫時(shí)還沒(méi)有安全、有效、實(shí)用的電現可疑貨幣的來(lái)源。它也允許授權機構發(fā)現使用匿名服務(wù)的子現金系統。盡管各國都在積極地研究電子現金技術(shù),但出于顧客的身份,而對合法用戶(hù)仍然提供匿名性。安全和效率等多方面的技術(shù)原因,真正實(shí)用的大規模電子現貨幣跟蹤協(xié)議允許授權機構發(fā)現可疑取款的目的地。這金系統尚不多見(jiàn)。能解決勒索問(wèn)題8]:-名顧客被勒索并且強迫匿名提取電子貨幣,以至勒索者能不被驗證身份地使用這些貨幣,實(shí)際上進(jìn)2.主要電子現金模型行著(zhù)“完美犯罪”，當然不幸者不得不抱怨并且要求繼續跟蹤本文總結出四個(gè)常用的電子現金模型如圖1~4。取款。當可疑用戶(hù)取款時(shí),該機制也能跟蹤他的活動(dòng)。圖1是電子現金的基本模型,包括三個(gè)主體和四個(gè)安全張方國、張福泰、王育民]首次提出了多銀行電子現金協(xié)議過(guò)程:商店s.用戶(hù)U,銀行B;一個(gè)取款協(xié)議,用戶(hù)U從模型,如圖4所示,這些銀行形成一個(gè)群體，受中央管理,每個(gè).銀行B提取電子現金,這時(shí)他的帳戶(hù)被記入借方;一個(gè)支付銀行都可以發(fā)行電子現金。這個(gè)系統的參與主體有:中央銀行協(xié)議,用戶(hù)U支付電子現金給商店S;一個(gè)存款協(xié)議，商店SB,各地分行B;,可信第三方T ,某個(gè)用戶(hù)U(他有自己的銀行把電子現金存入銀行B,這時(shí)它的帳戶(hù)被記入貸方。B;),商店(他有自己的銀行B)。工作過(guò)程如下:在離線(xiàn)電子現金系統中,同- -電子現金兩次花費能被檢注冊:用戶(hù)U首先在可信第三方建立起身份與化名,或查,但不能防止。針對這一問(wèn)題，1992年D.Chaum 和身份與匿名的身份號的聯(lián)系,使得以后可信第三方通過(guò)這些T. P. Pedersen5]利用防竄擾設備(如smart卡)解決了這一問(wèn)聯(lián)系能夠實(shí)現用戶(hù)的匿名撤銷(xiāo),同時(shí)用戶(hù)也得到了可信第三題,并給出了具有電子錢(qián)包的電子現金模型(如圖2所示)。在方發(fā)給他的可以證明已經(jīng)注冊的合法證書(shū)。該模型中,Smart卡與用戶(hù)相互制約防止用戶(hù)兩次花費同一開(kāi)戶(hù):用戶(hù)U在自己的銀行B,有帳號。電子現金。即如果用戶(hù)刪除對Smart卡不利的信息或兩次花提款:用戶(hù)U從自己的銀行B;提取- -筆電子現金。費同一電子現金,則Smart卡不工作。另一方面,Smart卡不支付:用戶(hù)U在商店買(mǎi)了東西,將現金支付給商店。能直接向外部發(fā)送或從外部接收信息,而必須通過(guò)用戶(hù)進(jìn)行，存款:商店在自己的銀行B;將得到的電子現金存入自己以防止Smart卡將用戶(hù)的保密信息(如身份等)泄露出去。其的帳號，它工作過(guò)程如基本模型。追蹤:銀行B;發(fā)現這筆電子現金有問(wèn)題時(shí)，由中央銀行找到銀行B,然后借助可信第三方追蹤到用戶(hù)U。提款銀行人存款為了減輕商店的工作量,使得商店可方便地驗證任意-筆電子現金的合法性,假定所有銀行形成一個(gè)群體,各銀行利(用戶(hù)支付用群盲簽名技術(shù)發(fā)行電子現金15]。(可信第三方中央銀行圖跟蹤Smart ..提敕,存款..(銀行i)...(銀行j..( 銀行s注冊\存蔌\用j商店用戶(hù)圖2J. Camenisch, U. Maurer . M. Stadler[o]提出的公平離線(xiàn)圖4多銀行公平電子現金模型電子現金模型(如圖3所示)擴展了上述兩個(gè)模型的功能。除了具有基本模型的全部功能外,它還可利用可信第三方T來(lái)3.電子現金的關(guān)鍵技術(shù)進(jìn)行用戶(hù)跟蹤和貨幣跟蹤。用戶(hù)跟蹤協(xié)議跟蹤指定貨幣的用戶(hù)身份。在這個(gè)協(xié)議中B把存款協(xié)議的信息提供給T。T返3.1盲 簽名技術(shù)回一個(gè)包含驗證信息的串,通過(guò)它B由帳戶(hù)數據庫驗證用戶(hù)1982年,Chaum]首次提出盲簽名概念,并利用盲簽名的身份。技術(shù)提出了第一個(gè)電子現金方案。利用盲簽名技術(shù)可以完全保護用戶(hù)的隱私權,因此，盲簽名技術(shù)仍在諸多電子現金方可信第三方案°~I中廣泛使用。貨幣跟蹤↓↓用戶(hù)跟蹤盲簽名:一個(gè)盲簽名方案包括兩個(gè)實(shí)體,消息發(fā)送者和簽銀.行名者。它允許發(fā)送者讓簽名者對給定的消息簽名,并且沒(méi)有泄.取款露關(guān)中國煤化工:支付,名者.THCNMHG們設A為發(fā)送者B為簽說(shuō)有如下幾個(gè)步驟:(1)A將消息m乘-個(gè)隨機數得m',這個(gè)隨機數通常稱(chēng)為盲因子,A將盲消息m'送給B。圖3公平離線(xiàn)電子現金模型(2)B對m'簽名后,將其簽名sig(m' )送給A.貨幣跟蹤協(xié)議跟蹤貨幣取款的來(lái)源。在這個(gè)協(xié)議中,T根(3)A通過(guò)除去盲因子可從B關(guān)于m'的簽名sig(m' )中●6●得到B關(guān)于原始消息m的簽名sig(m)。用目前流行的各種盲簽名方案,則無(wú)法獲取有關(guān)待簽名的盲.但遺憾的是S.vanSolms,D.Naccade[8]指出盲簽名在完簽名候選的任何信息,因此必需使用“分割選擇”技術(shù)來(lái)檢查全保護用戶(hù)隱私的同時(shí),也為許多不法分子提供了方便。他們盲簽名候選的內容,這極大地降低了電子現金的效率。1996利用電子現金的完全匿名性進(jìn)行-些違法犯罪活動(dòng),如敲詐年,M. Abe,E. Fujsaki[OJ針對在線(xiàn)電子現金系統銀行數據庫勒索、洗錢(qián)、貪污、非法購買(mǎi)等。出于這個(gè)原因,1995年，無(wú)限增長(cháng)問(wèn)題提出的部分盲簽名概念為此問(wèn)題的解決提供了M. Stadler,J-M. Piveteau和J. Camenisch[9]提出了公平盲簽思路。鐘鳴、楊義先[52]提出了一個(gè)部分盲簽名方案,簽名者在名的概念,可用于條件匿名支付系統[10~12]。公平盲簽名模型.簽名消息中加入某種身份信息,無(wú)需使用“分割選擇”方法來(lái)包括發(fā)送者.簽名者、可信第三方(如法官)和兩個(gè)協(xié)議(發(fā)送檢查盲簽名候選的內容,并且在此基礎上給出了一個(gè)基于比者和簽名者之間的簽名協(xié)議、簽名者和可信第三方之間的連特承諾的有效.不可連接、可分電子現金方案153],這極大地提接恢復協(xié)議)(見(jiàn)圖5)。高了電子現金的效率。s. Miyazaki和K. SakuraiC34J也利用部通過(guò)執行簽名協(xié)議，發(fā)送者獲得他所選擇消息的有效簽分盲簽名方案設計了一個(gè)切實(shí)可行的電子現金系統。文[35~名,使得簽名者不能把他看到的盲消息簽名對與原始消息簽37]中提出的部分盲簽名方案和門(mén)限部分盲簽名方案也能很名對聯(lián)系起來(lái)。通過(guò)運行連接恢復協(xié)議簽名者從法官獲得信.容易地運用到目前的電子現金方案中。息,使他能識別出相應的盲消息簽名對和原始消息簽名對。根3.2分 割選擇技術(shù)據連接恢復協(xié)議中法官從簽名者獲得的消息,可把公平盲簽分割選擇技術(shù)是密碼學(xué)的重要技術(shù)之一,在電子現金系名方案分為兩種類(lèi)型:統.8.3中有重要的應用。在取款階段用戶(hù)向銀行發(fā)送2n類(lèi)型1 :給定簽名者的盲消息簽名對,法官發(fā)送信息使簽條“盲候選"(其中n是安全參數),銀行隨機選擇其中的n條名者能有效地認出相應的原始消息簽名對。盲候選要求用戶(hù)泄露盲候選的內部結構,銀行驗證它們的正類(lèi)型1 :給定原始消息簽名對,法官發(fā)送信息使簽名者能確性并對剩余的n條盲候選進(jìn)行盲簽名。在支付階段類(lèi)似的.有效地識別相應的原始消息的發(fā)送者或發(fā)現相應的盲消息簽分割選擇技術(shù)被商店利用來(lái)驗證用戶(hù)身份的“線(xiàn)索”(hint),名對。使得如果用戶(hù)兩次花費,則商店通過(guò)兩條線(xiàn)索識別用戶(hù)。由此可見(jiàn),分割選擇技術(shù)是驗證貨幣正確性的零知識證明的一個(gè)發(fā)送者簽名協(xié)議簽名者工具。因此,它保持了用戶(hù)的匿名性。顯然,分割選擇技術(shù)導致通信.計算和存儲開(kāi)支的過(guò)分浪費,因為在每個(gè)階段都有k個(gè)貨幣傳輸、存儲和驗證。因此,使用分割選擇技術(shù)的電子現金消息簽名對-..不可連接性盲消息簽名對系統效率低,后來(lái)這種技術(shù)逐步被其它技術(shù)所取代,如部分盲下連接恢復協(xié)議簽名225.8技術(shù),電子錢(qián)包技術(shù)5.40~48]等,類(lèi)型I3.3 比特承諾技術(shù).所謂比特承諾,簡(jiǎn)單地說(shuō)就是證明者P想對驗證者V承諾一個(gè)預測(即1比特或比特序列),但直到某個(gè)時(shí)間后才揭圖5公平盲 簽名示他的預測。另一方面,V想確信P承諾了他的預測后,他沒(méi)有改變他的想法。T.Okamotol4]首先提出檢查使用離散對數公平盲簽名主要有兩方面的應用。-方面,在匿名支付系承諾的數是否在指定的區間這一思想,并應用到電子現金系統中為防止洗錢(qián)提供工具。在基于類(lèi)型I 的支付系統中,可信統中。后來(lái)A.Chan，Y. Frankel, Y. Tsiounis[45]改進(jìn)了第三方能發(fā)現可疑取款的目的地,而在基于類(lèi)型I的支付系T. Okamoto方案,降低了計算復雜性和通信量,并且他們的統中,他們能確定可疑現金源。另一方面,它能防止文[8]中提方案可以方便地使用文[10,11,20]中的跟蹤方法。最近,鐘出的“完美犯罪”方案:即一個(gè)用戶(hù)被敲詐并強迫他匿名提取.鳴,楊義先[33]1也利用文[44]中的比特承諾技術(shù)給出了一個(gè)有現金。如果使用公平盲簽名方案類(lèi)型1,在給定銀行取款協(xié)議效的不可連接電子現金方案。比特承諾技術(shù)在電子現金系統中所看到的信息后,可信第三方能跟蹤被敲詐的電子現金。中發(fā)揮著(zhù)重要作用。因此,在某種程度上說(shuō)能否設計出安全、注1:公平盲簽名技術(shù)不能解決廣義敲詐問(wèn)題,即不法分高效、實(shí)用的電子現金系統關(guān)鍵在于能否設計出高效的比特子強迫銀行使用完全盲簽名協(xié)議,則無(wú)法跟蹤該不法分子。承諾方案。M. Stadler ,J-M. Piveteau和J. Camenisch[9]提出了兩種公平3.4 - 次零知識認證技術(shù)盲簽名方案。-種是基于Chaum[]盲簽名方案和分割選擇方T. Okamoto和K. Ohta[6提出了一個(gè)新型認證技術(shù),一法[1.4),另一種是基于Fiat- Shamirl28]方案的變形和不經(jīng)意傳次零知識認證系統。通俗地說(shuō),在這個(gè)認證系統,兩次使用同輸概念(29]。前者在簽名協(xié)議中需要大量的數據交換,而且簽一認證被阻止?；谶@種技術(shù)和分割選擇技術(shù),他們提出了-名較長(cháng),后者雖然簽名非常短但簽名協(xié)議效率低,兩者都不適個(gè)新的滿(mǎn)足不可跟蹤性和不可再次花費性的不可跟蹤電子現合于實(shí)際應用。因此,高效的公平盲簽名方案尚待進(jìn)-步研金方案,并進(jìn)-步探討了電子現金的可傳遞性和可分性。下面我們給出-次零知識認證的定義和存在性定理。在現有的公平電子現金系統中,商家和用戶(hù)必需使用同-次零知識認證:認證系統(A,{P,V,))是-次零知識一銀行,這一 要求使電子現金的廣泛使用受到一定程度的限的,如中國煤化工制。1998 年,A. Lysyanskaya和Z. Ramzan[sI擴展了J. Came-存在一個(gè)概率多項式時(shí)間nisch和M. Stadler(80的群簽名方案,提出了群盲簽名方案,并圖靈機YHc N M H G,(P.(S),Y.(2)(I)是多指出如何利用群盲簽名方案構造多銀行電子現金思想。最近，項式不可區分的。張方國、張福泰、王育民”首次提出了多銀行電子現金模型，●-次性:存在一個(gè)概率多項式時(shí)間圖靈機Mv,使得如并設計了一個(gè)可跟蹤用戶(hù)的多銀行電子現金方案。果P,的認證以同-(C,X)被V,兩次接受,那么對于輸入I盲簽名方案是匿名電子現金的基礎。但是,如果單純地使由Mv,產(chǎn)生的輸出以壓倒多數的概率滿(mǎn)足關(guān)系R。下面定理說(shuō)明-次零知識認證系統是存在的(FOLC),或者作為構造非交互間接論述證明的一個(gè)塊,它能定理如果存在一個(gè)安全比特承諾方案(或單向函數)和夠提供FOLC所必需的一些功能。安全數字簽名方案,那么-次零知識認證系統能使用NP完設置:一個(gè)概率多項式時(shí)間(p.p.t. )證明者P和一個(gè)全關(guān)系來(lái)構造。p.p.t.驗證者V。一般輸入是A,B,a,b,G,G,Gs,其中a,b,注2:通俗地說(shuō),零知識性意味著(zhù)當有效的證明者P,的Gi,G2,Gs是素階子群G,的生成元,q∈Z;,p是大素數,Z;認證以同-(C,X)執行一次，則不會(huì )泄露關(guān)于秘密信息s的是乘群。假定證明者不知道與a,b,G,,Gr,Gs相對應的離散對任何知識。一次性意味著(zhù)當有效的證明者P,的認證以同一故。向P秘密輸入x,v,w使得A=a°G{(mod p),B=b°G%(C,X)執行兩次.則秘密信息s會(huì )被驗證者泄露。(mod p)。符號:EqLog[(A,a),G,(B,b),G2]表示A=a"Gi3.5證明對數等式技術(shù)(mod p),B=bGf(mod p),其中x∈G,G,Gz是G,的生成證明對數等式技術(shù)主要用于電子現金系統(4.20.3.40的跟元。人們直覺(jué)地認為log.A=logrB((計算總是模p)證明如圖蹤。用戶(hù)和貨幣跟蹤的一個(gè)基本工具是對數等式的有效盲證6所示。明。這種證明或者孤立地用在公平離線(xiàn)電子現金系統EqLog[(A,a),G,(B,b),Gr]輸入:A,BP證明A=a"G(mod p),B=b'G"(mod p),即log.A- logoB: .py,sirsg.s∈rZqA'=a°Gp ,B' =b"GyA',B'c∈rZ,或c= H(A,A' ,a,Gi.B,B' ,b,G2.Info)r=c●x+yri=c●v+si+r2=c●w+s2Verify:a"●G1 ?A°●A'和b5●G2 ?B'. B'圖6對數等式的證明到目前為止，仍沒(méi)有十分系統的分類(lèi)。H.Petersen和4.電子現金的分類(lèi)G.Poupard(487根據電子現金系統的功能、性質(zhì)、效率和安全性電子現金技術(shù)經(jīng)過(guò)20年的發(fā)展,已取得了豐碩的成果。等綜合考慮，給出了較為系統的分類(lèi).如圖7.圖8所示。電子現金系統跟蹤系統不可蹺蹤系統信用卡支付微支付在線(xiàn)支付離線(xiàn)支付[不可撇銷(xiāo)匿名][ 可撇銷(xiāo)匿名}[ 不可歉銷(xiāo)匿名[ 可敬銷(xiāo)匿名]C分割選擇[ 限制性盲簽名]圖7電子現金系統的分類(lèi)可撤銷(xiāo)匿名第三方參與取款」第三方參與注冊第三方參與初始化| 不可連接系統|連接系統]l 不可連接系統}不可連接系統|[ 不防敲詐][ 在線(xiàn)防敲詐) [在線(xiàn)防敲詐][ 離線(xiàn)防敲詐]不防敲詐防敲詐支付除的“給*當的工“不加密中國煤化工個(gè)圖8公 平電子現金系統YHCNMHG許值。5.可能的攻擊不誠實(shí)的商店不誠實(shí)的用戶(hù)●冒充(impersonation):商店多次重復花費或重復存儲●透支(overspending):用戶(hù)花費的現金值超出了它的允用戶(hù)支付的現金?！裣村X(qián)(moneylaundry):商店通過(guò)非法活動(dòng)獲得電子現值得探討的問(wèn)題。金,為了隱藏貨幣的來(lái)源,商店設法將這些錢(qián)合法化。(3)可分性是電子現金的重要性質(zhì),其中最重要的是提供不誠實(shí)的銀行精確支付問(wèn)題。非可分電子現金方案[1限制了可分精度和精●跟蹤用戶(hù):銀行跟蹤電子現金與用戶(hù)之間的關(guān)系。確支付的次數?？煞蛛娮蝇F金方案一般采用二叉樹(shù)方●借助第三方跟蹤用戶(hù):銀行向第三方謊稱(chēng)電子現金已14,但它允許同一電子硬幣的不同支付之間的可連接透支,在借助第三方跟蹤該現金的誠實(shí)用戶(hù)的身份后,指控該性,這就影響了用戶(hù)支付的匿名性。因此尋求-種 新的有效可用戶(hù)。分電子現金的表示方法,使得電子現金具有不可連接性和無(wú)誣陷用戶(hù):銀行虛假地指控用戶(hù)透支現金。限可分精度仍是-個(gè)尚未解決的問(wèn)題23.17。誣陷商店:銀行虛假地指控商店兩次向銀行存同一個(gè).(4)在文[17]中給出了兩個(gè)尚未解決的問(wèn)題:一是設計一有效的電子現金。個(gè)實(shí)用的多銀行電子現金方案不一定利用群簽名技術(shù);二是.透支后偽造現金:銀行對一個(gè)已經(jīng)透支的現金產(chǎn)生虛設計一個(gè)可廢除群成員的群簽名方案,這也是群簽名方案的假的支付文本,以獲取過(guò)多地賠償。-個(gè)公開(kāi)問(wèn)題,若設計出可廢除群成員的群簽名方案,則可克不誠實(shí)的可信第三方服文[17,52]中的電子現金方案的缺點(diǎn)。本文作者認為使用向●誣陷用戶(hù):可信第三方虛假地識別一個(gè)誠實(shí)的用戶(hù),因前安全的數字簽名方案5.54]結合文[17]中的思想可解決第此銀行可能會(huì )毫無(wú)理由地指控該用戶(hù)，二個(gè)尚未解決的問(wèn)題。不誠實(shí)的局外人不誠實(shí)的局外 人是一個(gè)實(shí)體,它可能(5)盡管?chē)鴥韧鈱W(xué)者對電子現金系統中的敲詐問(wèn)題進(jìn)行向可信第三方注冊(但不是必須的)或者有一個(gè)銀行帳戶(hù)。了深入地探討與研究。但到目前為止，由s. van Solms,●偽造現金對于偽造現金有三種不同的攻擊:D.Naccadel°]提出的廣義敲詐問(wèn)題(即不法分子強迫銀行使用-般偽造(universal forgery):一個(gè)實(shí)體為了獲得有效的完全盲簽名協(xié)議匿名地提取電子現金而無(wú)有效方法跟蹤不法電子現金,在已知公開(kāi)參數和過(guò)去的支付文本的情況下,偽造分子)仍沒(méi)有得到徹底解決。銀行的簽名。(6)目前所有的公平電子現金方案都借助可信第三方(即多次取款偽造(one more forge):-個(gè)實(shí)體參與n次取款密鑰托管的思想(18.19])來(lái)實(shí)現對可疑用戶(hù)和現金進(jìn)行跟蹤。協(xié)議后,能獲得第n+1次的有效電子現金。這樣就存在兩個(gè)問(wèn)題:-是可信第三方權力過(guò)大,它只要與銀透支偽造:一個(gè)實(shí)體知道幾個(gè)透支的支付文本產(chǎn)生新鮮行合謀就能隨意地跟蹤合法的用戶(hù)和現金，侵犯了用戶(hù)的隱.現金文本,并且能夠存入銀行。私權。二是可信第三方無(wú)條件可信這個(gè)條件過(guò)強。本文作者認●現金或假名的竊聽(tīng):一個(gè)消極的攻擊者竊聽(tīng)取款、支付.為對于前者可通過(guò)秘密分享思想[55加以解決,對于后者采用或存款的通信以獲得可花費的現金,-個(gè)積極的竊聽(tīng)者可扮半可信第三方的思想56.57]似乎更為合理。另一方面,現有的作中間人并且修改協(xié)議數據。同樣的攻擊也可應用在注冊階電子現金方案都是單銀行發(fā)行電子現金,-旦銀行的密鑰泄段獲取簽名的假名。露或被攻擊者竊取,那將是災難性的。因為攻擊者能夠偽造電. 竊取或敲詐用戶(hù)的現金:攻擊者可能從用戶(hù)的設備(如子現金且很難發(fā)現,對于這種情況作者認為如果采用公平門(mén)Smart卡)竊取現金文本或強迫用戶(hù)從他的帳戶(hù)取款,并且把限盲簽名9]1或部分門(mén)限盲簽名技術(shù)80],多個(gè)銀行對電子現金它們轉移到攻擊者的設備,使得他以后能花費這筆現金。進(jìn)行盲簽名,即使攻擊者得到-個(gè)或幾個(gè)(小于門(mén)限值)銀行●竊取或敲詐商店的現金:攻擊者或者竊取商店設備中的簽名密鑰仍無(wú)法偽造合法的電子現金。同時(shí)銀行定期更換尚未存入銀行的支付文本,或者強迫商店泄露它們。密鑰,這能極大提高系統的安全性,當然這也會(huì )相應地增加計.竊取或敲詐秘密鑰:攻擊者或者竊取銀行(用戶(hù)/商店)算量和通信代價(jià)。的秘密鑰,例如,黑客攻擊進(jìn)入系統或者強迫泄露秘密鑰。結論與展望隨著(zhù)信 息技術(shù)的突飛猛進(jìn),電子支付的革●廣義敲詐(blindfolding):攻擊者強迫銀行(可信第三命使得傳統商業(yè)銀行迅速向綜合服務(wù)機構轉變.業(yè)務(wù)范圍擴方)使用完全盲簽名協(xié)議,以獲得電子現金并且他能成功地花展至社會(huì )生活每-角落,如財務(wù)咨詢(xún).委托理財、外匯、代理稅費而不被跟蹤。收、代收工資費用等,以及通過(guò)網(wǎng)絡(luò )進(jìn)-步提供旅游、信息服6.存在的問(wèn)題及述評務(wù)、交通和娛樂(lè )等全方位的公共服務(wù),成為電子商務(wù)不可或缺的媒介.作為電子商務(wù)關(guān)鍵技術(shù)之-的電子現金系統將在未(1)一個(gè)尚未解決的問(wèn)題是基于密碼學(xué)假定(例如，離散來(lái)的電子支付手段中占主導地位。因此,對安全、高效、可分的對數)的有效電子現金方案的安全性證明。因為安全性是電子公平離線(xiàn)電子現金系統的研究不僅具有重要的科研學(xué)術(shù)價(jià)現金系統得以實(shí)際應用的-個(gè)重要保障,它涉及到用戶(hù)、商家值,而且對國家電子商務(wù)、金融體系機構的信息化建設和國民及銀行的風(fēng)險問(wèn)題。目前幾乎所有的電子現金方案都沒(méi)有從經(jīng)濟的發(fā)展具有重大的意義。理論上給出嚴格的安全性證明,值得慶幸的是這-問(wèn)題已引起國內外密碼學(xué)者的高度重視。Pointcheval和Stern49.50在參考文獻這方面的研究取得了-定的進(jìn)展并給出了-些簽名方案的安.Chaum D. Blind signature for untraceable payment. Advances in全性證明,指出Brands[2]方案的安全性證明是可行的。但是Cryptology- Eurocrypt'82 Proceedings, Plenum Press, 1983. 199為了證明現存的各種電子現金方案的安全性,仍有-些數論~203Brands S. Untraceable off-line cash in wallets with observers. In問(wèn)題尚待解決。進(jìn)-步,目前所有實(shí)用的電子現金方案都是建"rvptolnov- Crvntn*93 Proceedings, Lecture Notes立在存在隨機Oracle模型假定之上,這是一個(gè)非常強的假inC中國煤化工Verlag.1993. 302~318定,因此如果能弱化或回避這一假定也是一項非常有趣且值.inimalistic approach to ECon |YHCN M H Gp on Practic and Theory in得進(jìn)一步研究的問(wèn)題。Public Key Cryptography, PKC'99, Lecture Notes in Computer(2)另外 一個(gè)值得注意的問(wèn)題是:往往一個(gè)理論上被證明Science 1560, Springer Verlag, 1999. 122 ~ 135非常安全的電子現金系統可能由于通信代價(jià)和計算復雜度過(guò)Chaum D, Fiat A,Naor M. Untraceable electronie (cash. In: Proe.of Crypto'88，Lecture Notes in Computer Science 403 , Springer-高導致在實(shí)踐中是不可行的。因此在電子現金系統的安全性Verlag,1990. 319~327問(wèn)題上，如何在理論證明與實(shí)際應用之間尋求一種妥協(xié)也是Chaum D, Pedersen T. Wallet databases with observers. In:●9●Proc. of Crypto'92， Lecture Notes in Computer Science 740，32 Zhong Ming, Yang Yixian. Partial blind signature based on bitSpringer- Verlag.89~ 105commitment. Chinese Journal of Elctronics, 2000，9(3): 284~Ferguson N. Single term off line coins. In: Proc. of Eurocry-286pto'93,Lecture Notes in Computer Science 765，Springer- Verlag，3 Zhong Ming, Yang Yixian. An efficient unlinkable electronic cash318~ 328based on bit commitment. Chinese Journal of Electronics. 2001.Okamoto T, Ohta K. Universal electronic cash. In: Proc. of10(2): 255~258Crypto'91. Lecture Notes in Computer Science 576， Springer-34 Miyazaki s, Sakurai K. A practical off-line digitalmoney systemVerlag ,324~ 337with partially blind signatures based on the discrete logarithm8 van Solms s,Naccade D. On blind signatures and perfect crimes.problem. IEICE Trans. Fundamentals, 2000, E83-A(1): 106 ~Computers and Security ,1992,11(6):581~ 583108Stadler M, Piveteau J M, Camenisch J. Fair blind signature. In:35 Abe M ,Camenisch J. Partially blind signature schemes. SCIS97.Proc. of Eurocrypt'95， Lecture Notes in Computer Science ，1997Springer-Verlag.1995.921 :209~21936 Juang W-S,Lei C-L. Partially blind threshold signatures based on10 Camenisch J,Maurer U ,Stadler M. Digital payment systems withthe discrete logarithm. Compuer Communications 1999,22: 73~passive anoymity- revoking trustee. In Esorics'96, Leeture Notesin Computer Science 1146, Springer- Verlag, Italy 1996. 33~ 4337 Juang W-S,Lei C-L,Liaw H T. Fair blind threshold signatures11 Davida G,Frankel Y ,Tsiounis Y, Yung M. Anonymity control inbased on the discrete logarithm. Compuer Systems Science &.e-cash. In:Proc.of the 1” Financial Cryptography Conf. Lecture .Engineering .2001.6: 371 ~ 379Notes in Computer Science 1318， Anguilla， BWI, Springer-38 Franklin M， Yung M. Secure and Efficient Off- line DigitalVerlag,Feb. 1997. 24~28Money. In: Proc. of the twentieth international Colloquium on12 Claessens J，Preneel B, Vandewalle J. Anonymity controlledAutomata，Languages and Programming (ICALP 1993)， Lund,electronic payment system. In: Proc. 20hmposim onSweden，. LectNotes in Computer Science 700)， Springer-Information Theory in the Benclux， Hasrode， Belgium,Verlag，1993. 265~ 2761999. 109~11639Pailles J C. New protocols for electronic money. In: Proc. of13鐘鳴,楊義先， 一種基于RSA盲簽名和二次剩余的電子現金方Ausicrypt'92 ，263~274案，北京郵電大學(xué)學(xué)報,2000,23(3):87~900 Camer R，Pedersen T. Improved privacy in wallets with14王常吉,裴定一。-類(lèi)公正的離線(xiàn)的電子現金方案.計算機應observers. In Advances in Cryptology. Proc. of Euroerypto*93，用,2001 ,21(3):9~10Lecture Notes in Computer Science 765， Springer-Verlag,15 Lysyanskaya A, Ramzan Z. Group blind signatures: A scalable1993. 329~ 343solutions to electronic cash. In: Hirschfeld R ed. Lecture Notes41楊波,劉勝利.王育民. 利用Smart卡的可撤銷(xiāo)匿名性的電子支in Computer Science 1465, Berlin: Springer- Verlag, 1998. 184 ~付系統.電子學(xué)報，999,27(10);792-79619742楊波，王育民，利用電子錢(qián)包的公正支付系統。計算機學(xué)報，16左英男,戴英俠,許劍卓. -種安全的Internet小額交易協(xié)議分析.計算機工程,2000.26(7): 136~13843陳愷,楊波,王育民,肖國鎮.利用電子錢(qián)包的有效的公正支付系17張方國,張福泰.王育民。 多銀行電子現金系統.計算機學(xué)報，統。計算機學(xué)報,2001.24(11):1191~11952001 ,21(5):454 ~46244 Okamoto T. An efficient divisible electronic cash scheme. In Don18曹珍富.基于公鑰密碼系統的門(mén)限密鑰托管方案.中國科學(xué)ECoppersmith, ed. Advances in Cryptology, Proc. of Crypto'95,輯,2000,30(4); 360~ 366Lecture Notes in Computer Science 963，Springer- Verlag，Santa19曹珍富,李繼國.基于EIGamal體制的門(mén)限密鑰托管方案.計算Barbara ,California, U. s. A,1995.27~31機學(xué)報2002.25(4):346~3505 Chan A. Frankel Y, Tsiounis Y. Easy come easy go divisible2(Frankel Y, Tsiounis Y, Yung M. Indirect discourse proofs:cash. In: Advances in Cryptology- Eurocrypto'98. Espoo,Achieving fair off-line e cash. Advances in Cryptology. In: Proc.Finland: Springer-Verlag，1998. 561~ 575of Asiacrypt'96， Lecture Notes in Computer Science 1163，46 Okamoto T,Ohta K. One- time zero- knowledge authenticationsKyongju, South Korea, Nov. Springer- Verlag，1996. 286~ 30Cand their applications to untraceable electronic cash. IEICE21 Jakobsson M. Yung M. Revokable and versatile electronicTrans. Fundamentals, 1998. E81-A(1): 2~10money. In: Proc.of the 3rd ACM Conf. on Computer Communi-47 Tsiounis Y. Efficient electronic cash: New notions andcation SSecurity ,ACM Press ,1996. 76~87techniques:PhD Thesis ] . College of ComScience,22 Solages D, Traore J. An eficient fair off line electronic cashNortheastern University Boston, Massachusetts , 1997system with extensions to checks and wallets with observers. In:48 Petersen H, Poupard G. Eficient scalable fair cash with off-lineProc.of the 1* Financial Cryptography Conference， Anguilla,extortion prevention. Lecture Notes in Computer Science, 1997，BW1, Springer- Verlag. 19981334: 463~49523陳愷,張玉清.肖國鎮。 基于概率驗證的可分電子現金系統。計49 Poincheval D, Stern. Provably secure blind signature schemes. In算機研究與發(fā)展,2000,37(6):752 ~757Advances in Cryptology. In: Proc. of Asiacrypt'96 ，Lecture Notes24 Medvinsky G, Neuman B C. Netcash: A design for practicalin Computer Science 1163, Kyongju, South Korea, Springer-electronic currency on the Internet. In: Proc.of the 1* AnnualVerlag Nov. 1996ACM Conf. on Computer and Communications Security, ACM50 Poincheval D, Stern. Security proofs for signature schemes. 1Press，1993. 102~106Advances in Cryptology, Proc. of Eurocrypt*96， Zaragoza,25 Camenisch J L, Piveteau J-M, Stadler M. An efficient paymentSpain , Springer-Verlag.1996.387~ 398system protecting privacy. In: Proc.of ESORICS'94， Lecture51 Kozen D, Zaks s. Optimal bounds for the change- makingNotes in Computer Science 875， Springer-Verlag， 1994. 207 ~problem. Theoretical Computer Science, 1994,123:377~ 38852 Traore. Group signature and their relevance to privacy protecting6 eCash Technologies ,2000. http:// www. digicash. com/off-line electronic cash systems. In: Proc.4" Australian Conf. on27 CyberCash, Inc，1999. http://www. cybercash. comInformation Security and Privacy, Australia, 1999.228~2438 Fiat A.Shamir A. How to prove yourself: Practical solutions to .3 Abdalla M, Reyzin L. A new forward- secure digital signatureidentification and signature problems. In; Proc.of Crypto'86, .scheme. In Advances in Cryptology，Proc. of Asiaerypt' 2000,Lecture Notes in Computer Science 263. Springer- Verlag, 186~Lecture Notes in Computer Science Springer- Verlag. 200019454 Bellare M.MinerS. A forward- secure digital signature scheme.29 Even s, Goldreich O, Lempel A. A randomized protocol forAdy中國煤化工Cryp1*96. Leeture Notes insigning contracts. Communications of the ACM, 1985.28 :637. ed. , Springer Verlag, 199930 Camenisch J, Stadler M. Efficient group signature schemes for6475 Sh(11HC N M H GCommun. ACM， 1979. 24large groups. In:Kaliski Jr B s, ed. Lecture Notes in Computer6蔣曉寧,葉澄清,潘霄增?；诎肟尚烹x線(xiàn)第三方的公平交易協(xié)Science 1294. Berlin: Springer: Verlag. 1997. 410~424議.計算機研究與發(fā)展.2001,38<4): 502~50831 Abe M, Fujisaki E. How to date blind signatures. Advances in .57 Franklin M K, Reiter M K. Fair exchange with a semi-trustedCryptology- Asiacrypt'96，Lecture Notes in Computer Sciencethird party. In: proc.of 4ψ ACM Conf on Conputer and11631，Springer, New York,1996. 244~251Communication Security, Zurich; ACM Press,1997. 1~5●10.