計算機科學2004Vol. 31N9. 1電子現(xiàn)金技術*)李繼國’曹珍富? 李建中'(哈爾濱工業(yè)大學計算學院哈爾濱 150001)' ( 上海交通大學計算機系上海 200030)2摘要本文首先介紹電子現(xiàn)金產(chǎn)生的背景、概念、研究思路、 國內(nèi)外現(xiàn)狀與進展。然后介紹了電子現(xiàn)金系統(tǒng)的模型、分類、關鍵技術、存在的問題及述評。最后對電子現(xiàn)金技術的未來進行展望。目的在于讓廣大讀者了解電子現(xiàn)金的發(fā)展和重要意義,激發(fā)讀者積極參與電子現(xiàn)金技術的研究,促進我國電子商務的發(fā)展。關鍵詞電子現(xiàn)金,盲簽名 ,匿名性,可分性E-Cash TechnologyLI Ji-Guo' CAO Zhen-Fu2 Li Jian-Zhong '(School of Computer Science &. Technology, Harbin Institute of Technology , Harbin 150001, Chia )1(Department of Computer Science &. Technology，Shanghai Jiao Tong University ，Shanghai 200030, China)?Abstract This paper firstly introduces background ,conception ,research idea，present situation and progress at homeand abroad of e-cash technology. Then we introduce models ,categories ,key technologies ,open problems and remarksof e-cash system. Finally,we look into the future of e-cash technology. We want to make most readers learn aboutprogress and significance of e-cash technology ,to encourage readers to participant the research of e-cash technology,and to accelerate development of e-commerce in our country.Keywords E-cash, Blind signature, Anonymity, Divisibility易拷貝,因此重復花費不可避免,并且事后檢查出的重復花費1.引言所造成的損失如何挽回也是尚待解決的問題。完全匿名的電隨著Internet 網(wǎng)絡技術的飛速發(fā)展,建立在Internet 網(wǎng)子現(xiàn)金系統(tǒng)[口可使不法分子進行“完美犯罪”18],如敲詐、勒絡技術基礎之上的電子商務正在逐漸走進我們的生活。人們索、非法購買.行賄受賄等。于是基于密鑰托管[18.19]、公平盲對方便、快捷.安全的電子支付技術的需求越來越迫切，而電簽名9和間接論述證明120(indirect discourse proofs)等思想子現(xiàn)金(E-Cash)就是-種非常重要的安全電子支付系統(tǒng),電的匿名撤銷的離線電子現(xiàn)金方案[19-12.21和公平離線電子現(xiàn)子現(xiàn)金正是在這樣的背景下應運而生的。商家希望通過金方案[0.222成為研究的熱點。針對在線和離線電子現(xiàn)金系統(tǒng)Internet來銷售其商品,顧客也希望能夠通過Internet方便而的優(yōu)缺點，陳愷,張玉清和肖國鎮(zhèn)[3]給出一種概率驗證方案,安全地購買物品。這一切,既為Internet 技術的發(fā)展提供了新建立了一個聯(lián)機和脫機相結合的匿名可分電子現(xiàn)金系統(tǒng)。-的動力，同時也使其面臨著巨大的挑戰(zhàn)。這是因為,電子商務個理想的電子現(xiàn)金系統(tǒng)應具有如下性質(zhì):的發(fā)展離不開電子化的交易手段，而Internet卻缺乏標準的獨立性:電子現(xiàn)金的安全性不依賴于任何物理位置,電子安全機制,難以保證在電子化交易中交易雙方的身份認證、交現(xiàn)金能通過計算機網(wǎng)絡傳送。易數(shù)據(jù)的保密性、匿名性.不可否認性以及交易的公平性。條件匿名性:現(xiàn)金的使用不泄露合法用戶的身份,在必要為了解決這些問題,計算機專家和密碼學專家們利用密時(如用戶被懷疑敲詐、勒索等)可借助可信第三方撤銷匿名.碼技術,在Internet標準協(xié)議基礎之上進行了深入的探討與研究，提出了許多電子現(xiàn)金方案1-1]。電子現(xiàn)金(E- Cash)又不可偽造性:除了銀行合法發(fā)行電子現(xiàn)金外,任何人都不稱電子貨幣(E-money/coin),數(shù)字現(xiàn)金(Digital cash/能偽造電子現(xiàn)金。money),它可以看作是現(xiàn)實紙幣的電子或數(shù)字模擬,但比現(xiàn)不可重復花費性:電子現(xiàn)金只能使用一次,重復花費將以實紙幣更方便經(jīng)濟,它是-種重要的電子支付系統(tǒng)。它的最簡很大的概率被發(fā)現(xiàn)。單形式包括三個主體和四個安全協(xié)議過程:商店,用戶,銀行;可分性:電子現(xiàn)金可以分成更小數(shù)額的幾份現(xiàn)金,但總金注冊協(xié)議,提款協(xié)議,支付協(xié)議,存款協(xié)議。第一個電子現(xiàn)金方額保持不變。案由Chaum在1982 年提出,他利用盲簽名技術,可以完全可傳遞性:用戶可以任意地將電子現(xiàn)金轉(zhuǎn)借給別人,而不保護用戶的隱私權。根據(jù)電子現(xiàn)金在花費時是否與銀行進聯(lián)被追蹤。機驗證,分為在線電子現(xiàn)金系統(tǒng)和離線電子現(xiàn)金系統(tǒng)。盡管在.不可連接性:用戶不同的電子現(xiàn)金不能被聯(lián)系起來。線電子現(xiàn)金系統(tǒng)有非常好的安全性,但巨大的通信量和驗證離中國煤化工時，商店不需要和銀行進中心的瓶頸會使得系統(tǒng)的效率極低。而離線電子現(xiàn)金系統(tǒng)對行聯(lián)機MHC NMH G,用戶的重復花費都是進行事后檢測,又由于電子現(xiàn)金非常容目例凹介工已僅八收用時電丁現(xiàn)金系統(tǒng)有Netcash[24]電*)國家自然科學基金(No.60072018),國家杰出青年科學基金資助項目(60225007),教育部高等學校博士學科點專項基金(20020248024)。李繼國博士生,主要研究方向為密碼學理論與技術、 電子商務等;曹珍富教授 .博士生導師,主要研究方向為數(shù)論與現(xiàn)代密碼算法理論、信息安全的理論與技術、密碼協(xié)議與網(wǎng)絡安全、電子商務等;李建中教授, 博士生導師，主要研究領域為數(shù)據(jù)庫系統(tǒng)技術,并行計算技術。子現(xiàn)金構架,歐盟ESPRIT計劃研制的CAFE251(Conditional據(jù)來自B的取款協(xié)議信息返回取款來源信息。B能通過訪問Access for Europe)系統(tǒng),D. Chaum建立的E-Cash[26]系統(tǒng)以它的存款協(xié)議信息使用T的返回值來發(fā)現(xiàn)貨幣。及CyberCash[2r]等電子現(xiàn)金系統(tǒng)。而國內(nèi)在電子現(xiàn)金設計方用戶跟蹤協(xié)議允許授權機構阻止洗黑錢,因為他們能發(fā)面的工作僅限于理論研究,暫時還沒有安全、有效、實用的電現(xiàn)可疑貨幣的來源。它也允許授權機構發(fā)現(xiàn)使用匿名服務的子現(xiàn)金系統(tǒng)。盡管各國都在積極地研究電子現(xiàn)金技術,但出于顧客的身份,而對合法用戶仍然提供匿名性。安全和效率等多方面的技術原因,真正實用的大規(guī)模電子現(xiàn)貨幣跟蹤協(xié)議允許授權機構發(fā)現(xiàn)可疑取款的目的地。這金系統(tǒng)尚不多見。能解決勒索問題8]:-名顧客被勒索并且強迫匿名提取電子貨幣,以至勒索者能不被驗證身份地使用這些貨幣,實際上進2.主要電子現(xiàn)金模型行著“完美犯罪”，當然不幸者不得不抱怨并且要求繼續(xù)跟蹤本文總結出四個常用的電子現(xiàn)金模型如圖1~4。取款。當可疑用戶取款時,該機制也能跟蹤他的活動。圖1是電子現(xiàn)金的基本模型,包括三個主體和四個安全張方國、張福泰、王育民]首次提出了多銀行電子現(xiàn)金協(xié)議過程:商店s.用戶U,銀行B;一個取款協(xié)議,用戶U從模型,如圖4所示,這些銀行形成一個群體，受中央管理,每個.銀行B提取電子現(xiàn)金,這時他的帳戶被記入借方;一個支付銀行都可以發(fā)行電子現(xiàn)金。這個系統(tǒng)的參與主體有:中央銀行協(xié)議,用戶U支付電子現(xiàn)金給商店S;一個存款協(xié)議，商店SB,各地分行B;,可信第三方T ,某個用戶U(他有自己的銀行把電子現(xiàn)金存入銀行B,這時它的帳戶被記入貸方。B;),商店(他有自己的銀行B)。工作過程如下:在離線電子現(xiàn)金系統(tǒng)中,同- -電子現(xiàn)金兩次花費能被檢注冊:用戶U首先在可信第三方建立起身份與化名,或查,但不能防止。針對這一問題，1992年D.Chaum 和身份與匿名的身份號的聯(lián)系,使得以后可信第三方通過這些T. P. Pedersen5]利用防竄擾設備(如smart卡)解決了這一問聯(lián)系能夠?qū)崿F(xiàn)用戶的匿名撤銷,同時用戶也得到了可信第三題,并給出了具有電子錢包的電子現(xiàn)金模型(如圖2所示)。在方發(fā)給他的可以證明已經(jīng)注冊的合法證書。該模型中,Smart卡與用戶相互制約防止用戶兩次花費同一開戶:用戶U在自己的銀行B,有帳號。電子現(xiàn)金。即如果用戶刪除對Smart卡不利的信息或兩次花提款:用戶U從自己的銀行B;提取- -筆電子現(xiàn)金。費同一電子現(xiàn)金,則Smart卡不工作。另一方面,Smart卡不支付:用戶U在商店買了東西,將現(xiàn)金支付給商店。能直接向外部發(fā)送或從外部接收信息,而必須通過用戶進行，存款:商店在自己的銀行B;將得到的電子現(xiàn)金存入自己以防止Smart卡將用戶的保密信息(如身份等)泄露出去。其的帳號，它工作過程如基本模型。追蹤:銀行B;發(fā)現(xiàn)這筆電子現(xiàn)金有問題時，由中央銀行找到銀行B,然后借助可信第三方追蹤到用戶U。提款銀行人存款為了減輕商店的工作量,使得商店可方便地驗證任意-筆電子現(xiàn)金的合法性,假定所有銀行形成一個群體,各銀行利(用戶支付用群盲簽名技術發(fā)行電子現(xiàn)金15]。(可信第三方中央銀行圖跟蹤Smart ..提敕,存款..(銀行i)...(銀行j..( 銀行s注冊\存蔌\用j商店用戶圖2J. Camenisch, U. Maurer . M. Stadler[o]提出的公平離線圖4多銀行公平電子現(xiàn)金模型電子現(xiàn)金模型(如圖3所示)擴展了上述兩個模型的功能。除了具有基本模型的全部功能外,它還可利用可信第三方T來3.電子現(xiàn)金的關鍵技術進行用戶跟蹤和貨幣跟蹤。用戶跟蹤協(xié)議跟蹤指定貨幣的用戶身份。在這個協(xié)議中B把存款協(xié)議的信息提供給T。T返3.1盲 簽名技術回一個包含驗證信息的串,通過它B由帳戶數(shù)據(jù)庫驗證用戶1982年,Chaum]首次提出盲簽名概念,并利用盲簽名的身份。技術提出了第一個電子現(xiàn)金方案。利用盲簽名技術可以完全保護用戶的隱私權,因此，盲簽名技術仍在諸多電子現(xiàn)金方可信第三方案°~I中廣泛使用。貨幣跟蹤↓↓用戶跟蹤盲簽名:一個盲簽名方案包括兩個實體,消息發(fā)送者和簽銀.行名者。它允許發(fā)送者讓簽名者對給定的消息簽名,并且沒有泄.取款露關中國煤化工:支付,名者.THCNMHG們設A為發(fā)送者B為簽說有如下幾個步驟:(1)A將消息m乘-個隨機數(shù)得m',這個隨機數(shù)通常稱為盲因子,A將盲消息m'送給B。圖3公平離線電子現(xiàn)金模型(2)B對m'簽名后,將其簽名sig(m' )送給A.貨幣跟蹤協(xié)議跟蹤貨幣取款的來源。在這個協(xié)議中,T根(3)A通過除去盲因子可從B關于m'的簽名sig(m' )中●6●得到B關于原始消息m的簽名sig(m)。用目前流行的各種盲簽名方案,則無法獲取有關待簽名的盲.但遺憾的是S.vanSolms,D.Naccade[8]指出盲簽名在完簽名候選的任何信息,因此必需使用“分割選擇”技術來檢查全保護用戶隱私的同時,也為許多不法分子提供了方便。他們盲簽名候選的內(nèi)容,這極大地降低了電子現(xiàn)金的效率。1996利用電子現(xiàn)金的完全匿名性進行-些違法犯罪活動,如敲詐年,M. Abe,E. Fujsaki[OJ針對在線電子現(xiàn)金系統(tǒng)銀行數(shù)據(jù)庫勒索、洗錢、貪污、非法購買等。出于這個原因,1995年，無限增長問題提出的部分盲簽名概念為此問題的解決提供了M. Stadler,J-M. Piveteau和J. Camenisch[9]提出了公平盲簽思路。鐘鳴、楊義先[52]提出了一個部分盲簽名方案,簽名者在名的概念,可用于條件匿名支付系統(tǒng)[10~12]。公平盲簽名模型.簽名消息中加入某種身份信息,無需使用“分割選擇”方法來包括發(fā)送者.簽名者、可信第三方(如法官)和兩個協(xié)議(發(fā)送檢查盲簽名候選的內(nèi)容,并且在此基礎上給出了一個基于比者和簽名者之間的簽名協(xié)議、簽名者和可信第三方之間的連特承諾的有效.不可連接、可分電子現(xiàn)金方案153],這極大地提接恢復協(xié)議)(見圖5)。高了電子現(xiàn)金的效率。s. Miyazaki和K. SakuraiC34J也利用部通過執(zhí)行簽名協(xié)議，發(fā)送者獲得他所選擇消息的有效簽分盲簽名方案設計了一個切實可行的電子現(xiàn)金系統(tǒng)。文[35~名,使得簽名者不能把他看到的盲消息簽名對與原始消息簽37]中提出的部分盲簽名方案和門限部分盲簽名方案也能很名對聯(lián)系起來。通過運行連接恢復協(xié)議簽名者從法官獲得信.容易地運用到目前的電子現(xiàn)金方案中。息,使他能識別出相應的盲消息簽名對和原始消息簽名對。根3.2分 割選擇技術據(jù)連接恢復協(xié)議中法官從簽名者獲得的消息,可把公平盲簽分割選擇技術是密碼學的重要技術之一,在電子現(xiàn)金系名方案分為兩種類型:統(tǒng).8.3中有重要的應用。在取款階段用戶向銀行發(fā)送2n類型1 :給定簽名者的盲消息簽名對,法官發(fā)送信息使簽條“盲候選"(其中n是安全參數(shù)),銀行隨機選擇其中的n條名者能有效地認出相應的原始消息簽名對。盲候選要求用戶泄露盲候選的內(nèi)部結構,銀行驗證它們的正類型1 :給定原始消息簽名對,法官發(fā)送信息使簽名者能確性并對剩余的n條盲候選進行盲簽名。在支付階段類似的.有效地識別相應的原始消息的發(fā)送者或發(fā)現(xiàn)相應的盲消息簽分割選擇技術被商店利用來驗證用戶身份的“線索”(hint),名對。使得如果用戶兩次花費,則商店通過兩條線索識別用戶。由此可見,分割選擇技術是驗證貨幣正確性的零知識證明的一個發(fā)送者簽名協(xié)議簽名者工具。因此,它保持了用戶的匿名性。顯然,分割選擇技術導致通信.計算和存儲開支的過分浪費,因為在每個階段都有k個貨幣傳輸、存儲和驗證。因此,使用分割選擇技術的電子現(xiàn)金消息簽名對-..不可連接性盲消息簽名對系統(tǒng)效率低,后來這種技術逐步被其它技術所取代,如部分盲下連接恢復協(xié)議簽名225.8技術,電子錢包技術5.40~48]等,類型I3.3 比特承諾技術.所謂比特承諾,簡單地說就是證明者P想對驗證者V承諾一個預測(即1比特或比特序列),但直到某個時間后才揭圖5公平盲 簽名示他的預測。另一方面,V想確信P承諾了他的預測后,他沒有改變他的想法。T.Okamotol4]首先提出檢查使用離散對數(shù)公平盲簽名主要有兩方面的應用。-方面,在匿名支付系承諾的數(shù)是否在指定的區(qū)間這一思想,并應用到電子現(xiàn)金系統(tǒng)中為防止洗錢提供工具。在基于類型I 的支付系統(tǒng)中,可信統(tǒng)中。后來A.Chan，Y. Frankel, Y. Tsiounis[45]改進了第三方能發(fā)現(xiàn)可疑取款的目的地,而在基于類型I的支付系T. Okamoto方案,降低了計算復雜性和通信量,并且他們的統(tǒng)中,他們能確定可疑現(xiàn)金源。另一方面,它能防止文[8]中提方案可以方便地使用文[10,11,20]中的跟蹤方法。最近,鐘出的“完美犯罪”方案:即一個用戶被敲詐并強迫他匿名提取.鳴,楊義先[33]1也利用文[44]中的比特承諾技術給出了一個有現(xiàn)金。如果使用公平盲簽名方案類型1,在給定銀行取款協(xié)議效的不可連接電子現(xiàn)金方案。比特承諾技術在電子現(xiàn)金系統(tǒng)中所看到的信息后,可信第三方能跟蹤被敲詐的電子現(xiàn)金。中發(fā)揮著重要作用。因此,在某種程度上說能否設計出安全、注1:公平盲簽名技術不能解決廣義敲詐問題,即不法分高效、實用的電子現(xiàn)金系統(tǒng)關鍵在于能否設計出高效的比特子強迫銀行使用完全盲簽名協(xié)議,則無法跟蹤該不法分子。承諾方案。M. Stadler ,J-M. Piveteau和J. Camenisch[9]提出了兩種公平3.4 - 次零知識認證技術盲簽名方案。-種是基于Chaum[]盲簽名方案和分割選擇方T. Okamoto和K. Ohta[6提出了一個新型認證技術,一法[1.4),另一種是基于Fiat- Shamirl28]方案的變形和不經(jīng)意傳次零知識認證系統(tǒng)。通俗地說,在這個認證系統(tǒng),兩次使用同輸概念(29]。前者在簽名協(xié)議中需要大量的數(shù)據(jù)交換,而且簽一認證被阻止?；谶@種技術和分割選擇技術,他們提出了-名較長,后者雖然簽名非常短但簽名協(xié)議效率低,兩者都不適個新的滿足不可跟蹤性和不可再次花費性的不可跟蹤電子現(xiàn)合于實際應用。因此,高效的公平盲簽名方案尚待進-步研金方案,并進-步探討了電子現(xiàn)金的可傳遞性和可分性。下面我們給出-次零知識認證的定義和存在性定理。在現(xiàn)有的公平電子現(xiàn)金系統(tǒng)中,商家和用戶必需使用同-次零知識認證:認證系統(tǒng)(A,{P,V,))是-次零知識一銀行,這一 要求使電子現(xiàn)金的廣泛使用受到一定程度的限的,如中國煤化工制。1998 年,A. Lysyanskaya和Z. Ramzan[sI擴展了J. Came-存在一個概率多項式時間nisch和M. Stadler(80的群簽名方案,提出了群盲簽名方案,并圖靈機YHc N M H G,(P.(S),Y.(2)(I)是多指出如何利用群盲簽名方案構造多銀行電子現(xiàn)金思想。最近，項式不可區(qū)分的。張方國、張福泰、王育民”首次提出了多銀行電子現(xiàn)金模型，●-次性:存在一個概率多項式時間圖靈機Mv,使得如并設計了一個可跟蹤用戶的多銀行電子現(xiàn)金方案。果P,的認證以同-(C,X)被V,兩次接受,那么對于輸入I盲簽名方案是匿名電子現(xiàn)金的基礎。但是,如果單純地使由Mv,產(chǎn)生的輸出以壓倒多數(shù)的概率滿足關系R。下面定理說明-次零知識認證系統(tǒng)是存在的(FOLC),或者作為構造非交互間接論述證明的一個塊,它能定理如果存在一個安全比特承諾方案(或單向函數(shù))和夠提供FOLC所必需的一些功能。安全數(shù)字簽名方案,那么-次零知識認證系統(tǒng)能使用NP完設置:一個概率多項式時間(p.p.t. )證明者P和一個全關系來構造。p.p.t.驗證者V。一般輸入是A,B,a,b,G,G,Gs,其中a,b,注2:通俗地說,零知識性意味著當有效的證明者P,的Gi,G2,Gs是素階子群G,的生成元,q∈Z;,p是大素數(shù),Z;認證以同-(C,X)執(zhí)行一次，則不會泄露關于秘密信息s的是乘群。假定證明者不知道與a,b,G,,Gr,Gs相對應的離散對任何知識。一次性意味著當有效的證明者P,的認證以同一故。向P秘密輸入x,v,w使得A=a°G{(mod p),B=b°G%(C,X)執(zhí)行兩次.則秘密信息s會被驗證者泄露。(mod p)。符號:EqLog[(A,a),G,(B,b),G2]表示A=a"Gi3.5證明對數(shù)等式技術(mod p),B=bGf(mod p),其中x∈G,G,Gz是G,的生成證明對數(shù)等式技術主要用于電子現(xiàn)金系統(tǒng)(4.20.3.40的跟元。人們直覺地認為log.A=logrB((計算總是模p)證明如圖蹤。用戶和貨幣跟蹤的一個基本工具是對數(shù)等式的有效盲證6所示。明。這種證明或者孤立地用在公平離線電子現(xiàn)金系統(tǒng)EqLog[(A,a),G,(B,b),Gr]輸入:A,BP證明A=a"G(mod p),B=b'G"(mod p),即log.A- logoB: .py,sirsg.s∈rZqA'=a°Gp ,B' =b"GyA',B'c∈rZ,或c= H(A,A' ,a,Gi.B,B' ,b,G2.Info)r=c●x+yri=c●v+si+r2=c●w+s2Verify:a"●G1 ?A°●A'和b5●G2 ?B'. B'圖6對數(shù)等式的證明到目前為止，仍沒有十分系統(tǒng)的分類。H.Petersen和4.電子現(xiàn)金的分類G.Poupard(487根據(jù)電子現(xiàn)金系統(tǒng)的功能、性質(zhì)、效率和安全性電子現(xiàn)金技術經(jīng)過20年的發(fā)展,已取得了豐碩的成果。等綜合考慮，給出了較為系統(tǒng)的分類.如圖7.圖8所示。電子現(xiàn)金系統(tǒng)跟蹤系統(tǒng)不可蹺蹤系統(tǒng)信用卡支付微支付在線支付離線支付[不可撇銷匿名][ 可撇銷匿名}[ 不可歉銷匿名[ 可敬銷匿名]C分割選擇[ 限制性盲簽名]圖7電子現(xiàn)金系統(tǒng)的分類可撤銷匿名第三方參與取款」第三方參與注冊第三方參與初始化| 不可連接系統(tǒng)|連接系統(tǒng)]l 不可連接系統(tǒng)}不可連接系統(tǒng)|[ 不防敲詐][ 在線防敲詐) [在線防敲詐][ 離線防敲詐]不防敲詐防敲詐支付除的“給*當?shù)墓ぁ安患用苤袊夯€圖8公 平電子現(xiàn)金系統(tǒng)YHCNMHG許值。5.可能的攻擊不誠實的商店不誠實的用戶●冒充(impersonation):商店多次重復花費或重復存儲●透支(overspending):用戶花費的現(xiàn)金值超出了它的允用戶支付的現(xiàn)金。●洗錢(moneylaundry):商店通過非法活動獲得電子現(xiàn)值得探討的問題。金,為了隱藏貨幣的來源,商店設法將這些錢合法化。(3)可分性是電子現(xiàn)金的重要性質(zhì),其中最重要的是提供不誠實的銀行精確支付問題。非可分電子現(xiàn)金方案[1限制了可分精度和精●跟蹤用戶:銀行跟蹤電子現(xiàn)金與用戶之間的關系。確支付的次數(shù)?？煞蛛娮蝇F(xiàn)金方案一般采用二叉樹方●借助第三方跟蹤用戶:銀行向第三方謊稱電子現(xiàn)金已14,但它允許同一電子硬幣的不同支付之間的可連接透支,在借助第三方跟蹤該現(xiàn)金的誠實用戶的身份后,指控該性,這就影響了用戶支付的匿名性。因此尋求-種 新的有效可用戶。分電子現(xiàn)金的表示方法,使得電子現(xiàn)金具有不可連接性和無誣陷用戶:銀行虛假地指控用戶透支現(xiàn)金。限可分精度仍是-個尚未解決的問題23.17。誣陷商店:銀行虛假地指控商店兩次向銀行存同一個.(4)在文[17]中給出了兩個尚未解決的問題:一是設計一有效的電子現(xiàn)金。個實用的多銀行電子現(xiàn)金方案不一定利用群簽名技術;二是.透支后偽造現(xiàn)金:銀行對一個已經(jīng)透支的現(xiàn)金產(chǎn)生虛設計一個可廢除群成員的群簽名方案,這也是群簽名方案的假的支付文本,以獲取過多地賠償。-個公開問題,若設計出可廢除群成員的群簽名方案,則可克不誠實的可信第三方服文[17,52]中的電子現(xiàn)金方案的缺點。本文作者認為使用向●誣陷用戶:可信第三方虛假地識別一個誠實的用戶,因前安全的數(shù)字簽名方案5.54]結合文[17]中的思想可解決第此銀行可能會毫無理由地指控該用戶，二個尚未解決的問題。不誠實的局外人不誠實的局外 人是一個實體,它可能(5)盡管國內(nèi)外學者對電子現(xiàn)金系統(tǒng)中的敲詐問題進行向可信第三方注冊(但不是必須的)或者有一個銀行帳戶。了深入地探討與研究。但到目前為止，由s. van Solms,●偽造現(xiàn)金對于偽造現(xiàn)金有三種不同的攻擊:D.Naccadel°]提出的廣義敲詐問題(即不法分子強迫銀行使用-般偽造(universal forgery):一個實體為了獲得有效的完全盲簽名協(xié)議匿名地提取電子現(xiàn)金而無有效方法跟蹤不法電子現(xiàn)金,在已知公開參數(shù)和過去的支付文本的情況下,偽造分子)仍沒有得到徹底解決。銀行的簽名。(6)目前所有的公平電子現(xiàn)金方案都借助可信第三方(即多次取款偽造(one more forge):-個實體參與n次取款密鑰托管的思想(18.19])來實現(xiàn)對可疑用戶和現(xiàn)金進行跟蹤。協(xié)議后,能獲得第n+1次的有效電子現(xiàn)金。這樣就存在兩個問題:-是可信第三方權力過大,它只要與銀透支偽造:一個實體知道幾個透支的支付文本產(chǎn)生新鮮行合謀就能隨意地跟蹤合法的用戶和現(xiàn)金，侵犯了用戶的隱.現(xiàn)金文本,并且能夠存入銀行。私權。二是可信第三方無條件可信這個條件過強。本文作者認●現(xiàn)金或假名的竊聽:一個消極的攻擊者竊聽取款、支付.為對于前者可通過秘密分享思想[55加以解決,對于后者采用或存款的通信以獲得可花費的現(xiàn)金,-個積極的竊聽者可扮半可信第三方的思想56.57]似乎更為合理。另一方面,現(xiàn)有的作中間人并且修改協(xié)議數(shù)據(jù)。同樣的攻擊也可應用在注冊階電子現(xiàn)金方案都是單銀行發(fā)行電子現(xiàn)金,-旦銀行的密鑰泄段獲取簽名的假名。露或被攻擊者竊取,那將是災難性的。因為攻擊者能夠偽造電. 竊取或敲詐用戶的現(xiàn)金:攻擊者可能從用戶的設備(如子現(xiàn)金且很難發(fā)現(xiàn),對于這種情況作者認為如果采用公平門Smart卡)竊取現(xiàn)金文本或強迫用戶從他的帳戶取款,并且把限盲簽名9]1或部分門限盲簽名技術80],多個銀行對電子現(xiàn)金它們轉(zhuǎn)移到攻擊者的設備,使得他以后能花費這筆現(xiàn)金。進行盲簽名,即使攻擊者得到-個或幾個(小于門限值)銀行●竊取或敲詐商店的現(xiàn)金:攻擊者或者竊取商店設備中的簽名密鑰仍無法偽造合法的電子現(xiàn)金。同時銀行定期更換尚未存入銀行的支付文本,或者強迫商店泄露它們。密鑰,這能極大提高系統(tǒng)的安全性,當然這也會相應地增加計.竊取或敲詐秘密鑰:攻擊者或者竊取銀行(用戶/商店)算量和通信代價。的秘密鑰,例如,黑客攻擊進入系統(tǒng)或者強迫泄露秘密鑰。結論與展望隨著信 息技術的突飛猛進,電子支付的革●廣義敲詐(blindfolding):攻擊者強迫銀行(可信第三命使得傳統(tǒng)商業(yè)銀行迅速向綜合服務機構轉(zhuǎn)變.業(yè)務范圍擴方)使用完全盲簽名協(xié)議,以獲得電子現(xiàn)金并且他能成功地花展至社會生活每-角落,如財務咨詢.委托理財、外匯、代理稅費而不被跟蹤。收、代收工資費用等,以及通過網(wǎng)絡進-步提供旅游、信息服6.存在的問題及述評務、交通和娛樂等全方位的公共服務,成為電子商務不可或缺的媒介.作為電子商務關鍵技術之-的電子現(xiàn)金系統(tǒng)將在未(1)一個尚未解決的問題是基于密碼學假定(例如，離散來的電子支付手段中占主導地位。因此,對安全、高效、可分的對數(shù))的有效電子現(xiàn)金方案的安全性證明。因為安全性是電子公平離線電子現(xiàn)金系統(tǒng)的研究不僅具有重要的科研學術價現(xiàn)金系統(tǒng)得以實際應用的-個重要保障,它涉及到用戶、商家值,而且對國家電子商務、金融體系機構的信息化建設和國民及銀行的風險問題。目前幾乎所有的電子現(xiàn)金方案都沒有從經(jīng)濟的發(fā)展具有重大的意義。理論上給出嚴格的安全性證明,值得慶幸的是這-問題已引起國內(nèi)外密碼學者的高度重視。Pointcheval和Stern49.50在參考文獻這方面的研究取得了-定的進展并給出了-些簽名方案的安.Chaum D. Blind signature for untraceable payment. Advances in全性證明,指出Brands[2]方案的安全性證明是可行的。但是Cryptology- Eurocrypt'82 Proceedings, Plenum Press, 1983. 199為了證明現(xiàn)存的各種電子現(xiàn)金方案的安全性,仍有-些數(shù)論~203Brands S. Untraceable off-line cash in wallets with observers. In問題尚待解決。進-步,目前所有實用的電子現(xiàn)金方案都是建"rvptolnov- Crvntn*93 Proceedings, Lecture Notes立在存在隨機Oracle模型假定之上,這是一個非常強的假inC中國煤化工Verlag.1993. 302~318定,因此如果能弱化或回避這一假定也是一項非常有趣且值.inimalistic approach to ECon |YHCN M H Gp on Practic and Theory in得進一步研究的問題。Public Key Cryptography, PKC'99, Lecture Notes in Computer(2)另外 一個值得注意的問題是:往往一個理論上被證明Science 1560, Springer Verlag, 1999. 122 ~ 135非常安全的電子現(xiàn)金系統(tǒng)可能由于通信代價和計算復雜度過Chaum D, Fiat A,Naor M. Untraceable electronie (cash. In: Proe.of Crypto'88，Lecture Notes in Computer Science 403 , Springer-高導致在實踐中是不可行的。因此在電子現(xiàn)金系統(tǒng)的安全性Verlag,1990. 319~327問題上，如何在理論證明與實際應用之間尋求一種妥協(xié)也是Chaum D, Pedersen T. Wallet databases with observers. In:●9●Proc. of Crypto'92， Lecture Notes in Computer Science 740，32 Zhong Ming, Yang Yixian. Partial blind signature based on bitSpringer- Verlag.89~ 105commitment. Chinese Journal of Elctronics, 2000，9(3): 284~Ferguson N. Single term off line coins. In: Proc. of Eurocry-286pto'93,Lecture Notes in Computer Science 765，Springer- Verlag，3 Zhong Ming, Yang Yixian. An efficient unlinkable electronic cash318~ 328based on bit commitment. Chinese Journal of Electronics. 2001.Okamoto T, Ohta K. Universal electronic cash. In: Proc. of10(2): 255~258Crypto'91. Lecture Notes in Computer Science 576， Springer-34 Miyazaki s, Sakurai K. A practical off-line digitalmoney systemVerlag ,324~ 337with partially blind signatures based on the discrete logarithm8 van Solms s,Naccade D. On blind signatures and perfect crimes.problem. IEICE Trans. Fundamentals, 2000, E83-A(1): 106 ~Computers and Security ,1992,11(6):581~ 583108Stadler M, Piveteau J M, Camenisch J. Fair blind signature. In:35 Abe M ,Camenisch J. Partially blind signature schemes. SCIS97.Proc. of Eurocrypt'95， Lecture Notes in Computer Science ，1997Springer-Verlag.1995.921 :209~21936 Juang W-S,Lei C-L. Partially blind threshold signatures based on10 Camenisch J,Maurer U ,Stadler M. Digital payment systems withthe discrete logarithm. Compuer Communications 1999,22: 73~passive anoymity- revoking trustee. In Esorics'96, Leeture Notesin Computer Science 1146, Springer- Verlag, Italy 1996. 33~ 4337 Juang W-S,Lei C-L,Liaw H T. Fair blind threshold signatures11 Davida G,Frankel Y ,Tsiounis Y, Yung M. Anonymity control inbased on the discrete logarithm. Compuer Systems Science &.e-cash. In:Proc.of the 1” Financial Cryptography Conf. Lecture .Engineering .2001.6: 371 ~ 379Notes in Computer Science 1318， Anguilla， BWI, Springer-38 Franklin M， Yung M. Secure and Efficient Off- line DigitalVerlag,Feb. 1997. 24~28Money. In: Proc. of the twentieth international Colloquium on12 Claessens J，Preneel B, Vandewalle J. Anonymity controlledAutomata，Languages and Programming (ICALP 1993)， Lund,electronic payment system. In: Proc. 20hmposim onSweden，. LectNotes in Computer Science 700)， Springer-Information Theory in the Benclux， Hasrode， Belgium,Verlag，1993. 265~ 2761999. 109~11639Pailles J C. New protocols for electronic money. In: Proc. of13鐘鳴,楊義先， 一種基于RSA盲簽名和二次剩余的電子現(xiàn)金方Ausicrypt'92 ，263~274案，北京郵電大學學報,2000,23(3):87~900 Camer R，Pedersen T. Improved privacy in wallets with14王常吉,裴定一。-類公正的離線的電子現(xiàn)金方案.計算機應observers. In Advances in Cryptology. Proc. of Euroerypto*93，用,2001 ,21(3):9~10Lecture Notes in Computer Science 765， Springer-Verlag,15 Lysyanskaya A, Ramzan Z. Group blind signatures: A scalable1993. 329~ 343solutions to electronic cash. In: Hirschfeld R ed. Lecture Notes41楊波,劉勝利.王育民. 利用Smart卡的可撤銷匿名性的電子支in Computer Science 1465, Berlin: Springer- Verlag, 1998. 184 ~付系統(tǒng).電子學報，999,27(10);792-79619742楊波，王育民，利用電子錢包的公正支付系統(tǒng)。計算機學報，16左英男,戴英俠,許劍卓. -種安全的Internet小額交易協(xié)議分析.計算機工程,2000.26(7): 136~13843陳愷,楊波,王育民,肖國鎮(zhèn).利用電子錢包的有效的公正支付系17張方國,張福泰.王育民。 多銀行電子現(xiàn)金系統(tǒng).計算機學報，統(tǒng)。計算機學報,2001.24(11):1191~11952001 ,21(5):454 ~46244 Okamoto T. An efficient divisible electronic cash scheme. In Don18曹珍富.基于公鑰密碼系統(tǒng)的門限密鑰托管方案.中國科學ECoppersmith, ed. Advances in Cryptology, Proc. of Crypto'95,輯,2000,30(4); 360~ 366Lecture Notes in Computer Science 963，Springer- Verlag，Santa19曹珍富,李繼國.基于EIGamal體制的門限密鑰托管方案.計算Barbara ,California, U. s. A,1995.27~31機學報2002.25(4):346~3505 Chan A. Frankel Y, Tsiounis Y. Easy come easy go divisible2(Frankel Y, Tsiounis Y, Yung M. Indirect discourse proofs:cash. In: Advances in Cryptology- Eurocrypto'98. Espoo,Achieving fair off-line e cash. Advances in Cryptology. In: Proc.Finland: Springer-Verlag，1998. 561~ 575of Asiacrypt'96， Lecture Notes in Computer Science 1163，46 Okamoto T,Ohta K. One- time zero- knowledge authenticationsKyongju, South Korea, Nov. Springer- Verlag，1996. 286~ 30Cand their applications to untraceable electronic cash. IEICE21 Jakobsson M. Yung M. Revokable and versatile electronicTrans. Fundamentals, 1998. E81-A(1): 2~10money. In: Proc.of the 3rd ACM Conf. on Computer Communi-47 Tsiounis Y. Efficient electronic cash: New notions andcation SSecurity ,ACM Press ,1996. 76~87techniques:PhD Thesis ] . College of ComScience,22 Solages D, Traore J. An eficient fair off line electronic cashNortheastern University Boston, Massachusetts , 1997system with extensions to checks and wallets with observers. In:48 Petersen H, Poupard G. Eficient scalable fair cash with off-lineProc.of the 1* Financial Cryptography Conference， Anguilla,extortion prevention. Lecture Notes in Computer Science, 1997，BW1, Springer- Verlag. 19981334: 463~49523陳愷,張玉清.肖國鎮(zhèn)。 基于概率驗證的可分電子現(xiàn)金系統(tǒng)。計49 Poincheval D, Stern. Provably secure blind signature schemes. In算機研究與發(fā)展,2000,37(6):752 ~757Advances in Cryptology. In: Proc. of Asiacrypt'96 ，Lecture Notes24 Medvinsky G, Neuman B C. Netcash: A design for practicalin Computer Science 1163, Kyongju, South Korea, Springer-electronic currency on the Internet. In: Proc.of the 1* AnnualVerlag Nov. 1996ACM Conf. on Computer and Communications Security, ACM50 Poincheval D, Stern. Security proofs for signature schemes. 1Press，1993. 102~106Advances in Cryptology, Proc. of Eurocrypt*96， Zaragoza,25 Camenisch J L, Piveteau J-M, Stadler M. An efficient paymentSpain , Springer-Verlag.1996.387~ 398system protecting privacy. In: Proc.of ESORICS'94， Lecture51 Kozen D, Zaks s. Optimal bounds for the change- makingNotes in Computer Science 875， Springer-Verlag， 1994. 207 ~problem. Theoretical Computer Science, 1994,123:377~ 38852 Traore. Group signature and their relevance to privacy protecting6 eCash Technologies ,2000. http:// www. digicash. com/off-line electronic cash systems. In: Proc.4" Australian Conf. on27 CyberCash, Inc，1999. http://www. cybercash. comInformation Security and Privacy, Australia, 1999.228~2438 Fiat A.Shamir A. How to prove yourself: Practical solutions to .3 Abdalla M, Reyzin L. A new forward- secure digital signatureidentification and signature problems. In; Proc.of Crypto'86, .scheme. In Advances in Cryptology，Proc. of Asiaerypt' 2000,Lecture Notes in Computer Science 263. Springer- Verlag, 186~Lecture Notes in Computer Science Springer- Verlag. 200019454 Bellare M.MinerS. A forward- secure digital signature scheme.29 Even s, Goldreich O, Lempel A. A randomized protocol forAdy中國煤化工Cryp1*96. Leeture Notes insigning contracts. Communications of the ACM, 1985.28 :637. ed. , Springer Verlag, 199930 Camenisch J, Stadler M. Efficient group signature schemes for6475 Sh(11HC N M H GCommun. ACM， 1979. 24large groups. In:Kaliski Jr B s, ed. Lecture Notes in Computer6蔣曉寧,葉澄清,潘霄增?；诎肟尚烹x線第三方的公平交易協(xié)Science 1294. Berlin: Springer: Verlag. 1997. 410~424議.計算機研究與發(fā)展.2001,38<4): 502~50831 Abe M, Fujisaki E. How to date blind signatures. Advances in .57 Franklin M K, Reiter M K. Fair exchange with a semi-trustedCryptology- Asiacrypt'96，Lecture Notes in Computer Sciencethird party. In: proc.of 4ψ ACM Conf on Conputer and11631，Springer, New York,1996. 244~251Communication Security, Zurich; ACM Press,1997. 1~5●10.