基于橢圓曲線盲簽名的電子現(xiàn)金系統(tǒng)設(shè)計

1、基于橢圓曲線盲簽名的電子現(xiàn)金系統(tǒng)設(shè)計摘要利用橢圓曲線盲簽名算法，可獲得比rsa算法更高的的平安性；銀行與認證中心a結(jié)合實現(xiàn)電子現(xiàn)金的匿名控制，必要時可對問題現(xiàn)金及非法使用者進展追蹤，揭露其身份；方案在設(shè)計時同時考慮了set協(xié)議的運作形式，更合適人們的消費習(xí)慣和電子商務(wù)開展的需要。關(guān)鍵詞電子現(xiàn)金橢圓曲線盲簽名匿名控制平安性一、引言電子商務(wù)的開展離不開先進的支付手段，電子現(xiàn)金作為電子支付的關(guān)鍵技術(shù)，自80年代中期以來已獲得了很大的研究成果。其平安性和可靠性主要依靠密碼技術(shù)來實現(xiàn)，如零知識證明、盲數(shù)字簽名等，早期的電子現(xiàn)金系統(tǒng)主要基于rsa、dlp公鑰密碼技術(shù)，如digiash公司的easht，ni

2、st也于1991年將dsa算法作為數(shù)字簽名的標(biāo)準。1985年，n.kblitz和v.iller分別獨立提出了橢圓曲線密碼體制(e)，利用有限域上橢圓曲線的點構(gòu)成的群實現(xiàn)了離散對數(shù)密碼算法，由于其具有計算量小，處理速度快、存儲空間占用孝帶寬要求低等優(yōu)點，在電子現(xiàn)金應(yīng)用領(lǐng)域得到廣泛關(guān)注，set協(xié)議的制定者已把它作為下一代set協(xié)議中缺省的公鑰密碼算法。考慮到set協(xié)議將成為事實上電子商務(wù)支付的標(biāo)準，我們認為電子現(xiàn)金應(yīng)符合set形式。由于在set中只涉及四個對象：用戶u、銀行bank、商家shp和認證中心a，所以電子現(xiàn)金應(yīng)該是在線、支持認證中心(a)并由a實現(xiàn)匿名性的控制，本文將利用基于橢圓曲線盲簽

3、名，設(shè)計一平安、實用、匿名可控的電子現(xiàn)金系統(tǒng)。一、橢圓曲線盲簽名算法edsa橢圓曲線數(shù)字簽名一般是將基于離散對數(shù)的簽名體制如shnr、eigaal、dsa以及導(dǎo)出變種形式移植到橢圓曲線上，在文獻4中也給出了多種簽名方案及盲簽名方案。設(shè)p是一個大素數(shù)，a,bgf(p),滿足4a3+27b20。橢圓曲線e(a,b)(gf(p)可定義為點集(x,y)gf(p)*gf(p),滿足y2=x3+ax+b,我們定義一個零元，用表示，這樣，這些點構(gòu)成了一個阿貝爾群。g是e(a,b)(gf(p)中的一個階為q的元素。drzn*，是簽名私鑰，q=dg是簽名驗證公鑰。rx(a)表示點a的x坐標(biāo)值，h是一個單向has

4、h函數(shù)，h:0,1*0,1k，我們用來表示兩個串的連接。系統(tǒng)的參數(shù)為p,a,b,g,q,q,d,h。橢圓曲線的shnredsa盲簽名體制可描繪如下：發(fā)送方隨機選擇一個整數(shù)krzn*，計算kg；接收方隨機選擇，rzn*，計算：a=kg+g+q，t=rx(a)dn，=h(t)，=-,將送出。發(fā)送方計算：s=k-d。接收方計算：s=s+。由于，是隨機選擇的，所以簽名者不會知道簽名的內(nèi)容，盲簽名的形式為,s。從上過程可看出，kg可預(yù)先計算，當(dāng)?shù)絹頃r，僅需一次乘法和一次加法運算就可完成簽名，因此計算量孝運算速度快，簽名結(jié)果也較短，比擬合適電子現(xiàn)金系統(tǒng)使用。二、電子現(xiàn)金系統(tǒng)方案設(shè)計對于a認證中心，需要使用

5、系統(tǒng)參數(shù)建立edsa的數(shù)字簽名。隨機選擇xagf(q)*作為自己的私鑰，然后計算pa=xag，將pa作為自己的公開密鑰。同樣，銀行、用戶的私鑰分別為xb、xu，公鑰分別為pb、pu。將pa、pb、pu公開。1.注冊registratin用戶提交自己的信息，由a使用edsa進展簽名，用于向用戶提供包含其身份信息的電子執(zhí)照。在取款時必須出示該簽名。設(shè)id為用戶標(biāo)識信息，包含姓名、身份證號等。注冊過程即用戶向認證中心提供個人可信信息，存案備查。即i=edsa(xah(id)，此時，i相當(dāng)于一個簡單的數(shù)字證書。2.取款協(xié)議ithdraalprtl電子現(xiàn)金的核心協(xié)議，用戶從自己的銀行賬戶上提取電子現(xiàn)金。

6、為了保證用戶匿名的前提下獲得帶有銀行簽名的合法電子現(xiàn)金，用戶將與銀行交互執(zhí)行盲簽名協(xié)議，同時銀行必須確信電子現(xiàn)金上包含必要的用戶身份。設(shè)為用戶的取款信息，是個五元組數(shù)量，面值，賬號，時間，a的簽名i。取款信息中的i，向銀行說明自己是一個合法的用戶，銀行利用a的公開密鑰pa來驗證，這就保證了取款時用戶必須提供自己的正確信息，從而在構(gòu)造電子現(xiàn)金時嵌入這些信息，而銀行又不知道信息的詳細內(nèi)容，用戶的隱私也得到了保護。其后的工作是使用edsa盲簽名來完成取款過程。描繪如下：(1)用戶：任選zrzq*，計算t=edsa(xu()，,=zg,=rx()ry()，將(，t)送銀行。(2)銀行:用pb驗證簽名，

7、verify(pu(t)；任選krzq*,計算=kg,s=edsa(xb()(3)用戶：收到(，s)后，驗證，verify(pb()；,rzq*,計算a=+g+pb，h=rx(a)0dq，e=h(h)，e=e-；將e送出；(4)銀行：計算s=k-exb；(5)用戶：計算s=s+；驗證e=h(rx(epb+sg)dq)；驗證推導(dǎo)過程略。上式假如成立，(e,s)即為盲簽名結(jié)果。此時，銀行就可以記錄下i，,，t存入自己的數(shù)據(jù)庫，同時從用戶的賬戶上減去相應(yīng)的取款數(shù)。由上，得出電子現(xiàn)金的構(gòu)造：in=，e，s，i3.存款協(xié)議存款的過程比擬簡單，經(jīng)過一段交易周期后，商家將收到的電子現(xiàn)金到銀行處進展存儲。商家

8、將在支付中得到的電子現(xiàn)金in=，e，s，i和自己的賬號傳遞給銀行,銀行首先對電子現(xiàn)金進展有效期檢查，確認是否有效，然后使用核驗自己和認證中心的簽名e，s，假設(shè)無誤，那么開場搜索電子現(xiàn)金數(shù)據(jù)庫，如搜索失敗，說明此電子現(xiàn)金是第一次使用，銀行將此，e，s，i和交易日期時間存入數(shù)據(jù)庫，并將此現(xiàn)金的數(shù)額存入商家的帳戶。假設(shè)搜索成功，那么說明在用戶和商家中肯定有一個是欺詐者。假設(shè)新發(fā)送來的電子現(xiàn)金的交易日期、時間與搜索到的一樣，說明商家在重復(fù)存儲該電子現(xiàn)金。否那么說明用戶在重復(fù)使用同一電子現(xiàn)金。三、電子現(xiàn)金身份揭露a的存在，也使得對電子現(xiàn)金及其使用者的追蹤變得容易，省去了許多復(fù)雜的計算。1.重復(fù)使用者的揭

9、露銀行知道電子現(xiàn)金的構(gòu)造，e，s，i，發(fā)現(xiàn)重用的現(xiàn)金后，即從中提取出i信息，發(fā)送給a，因i是a對用戶注冊信息的簽名，故a有才能解密i，求出id，然后將其發(fā)送給銀行。銀行以為關(guān)鍵字從自己的數(shù)據(jù)庫中查找，找到，t，形成如下構(gòu)造信息id，t，這實際上是用戶的身份識別信息。2.問題現(xiàn)金追蹤當(dāng)出現(xiàn)利用電子現(xiàn)金進展洗錢、詐騙等問題時，需要跟蹤現(xiàn)金的使用，用戶提交他的id給銀行，問題現(xiàn)金消費時，一定會出現(xiàn)一樣的id，銀行計算出kg，可實現(xiàn)跟蹤。四、平安性分析由于a的引入，強化了平安保證，在電子現(xiàn)金中同時嵌入了a和銀行的簽名，增加了偽造的難度，也滿足了匿名性的要求。方案平安性建立在橢圓曲線對數(shù)edlp分解之上

10、的，強度高于rsa方法，其分解是非常困難的，目前還沒有有效的方法，本方案是平安的。注意到參數(shù)域rzq*，單向函數(shù)h以及公鑰pu、pb、pa、ps均是公開的，攻擊者當(dāng)然可以得到這些信息；同時注冊、取款、存款等交易業(yè)務(wù)過程均在公共網(wǎng)絡(luò)平臺之上，即存在可能的不平安信道，攻擊者可能截獲,s、,；從取款協(xié)議中可看出，由于、是隨機選取的，e=h(rx(+g+pb),因此偽造電子現(xiàn)金的簽名相當(dāng)于分解edlp難題。假如攻擊者截獲了用戶發(fā)給商家的in信息，意味著現(xiàn)金的喪失，解決方法是在支付協(xié)議中商家對用戶進展質(zhì)詢。商家發(fā)給用戶,，用戶響應(yīng)，由于計算中對于f=fg、=zg，f和z是任選的，如前所述，攻擊者想得知f

11、、z是困難的，無法計算出=fzdq，故無法正確答復(fù)商家的質(zhì)詢，所以他也無法花費，商家更不會受騙而發(fā)貨。五、結(jié)語本文設(shè)計的電子現(xiàn)金系統(tǒng)，結(jié)合set協(xié)議形式，使用橢圓曲線盲簽名edsa，平安實用，符合目前電子現(xiàn)金的支付形式,能實現(xiàn)電子現(xiàn)金的匿名可撤銷性；缺點是需要認證中心a一直在線，與其他方案相比，多了注冊環(huán)節(jié)，且完成一次取款、支付到存款的過程需要次簽名，次驗證，因此效率有待于進步。參考文獻:1v.siller:usefelliptiurveinryptgraphya.advanesinryptlgyrypt85.springer-verlag,1984,4174262張方國王常杰王育民:基于橢圓曲線的數(shù)字簽名與盲簽名j.通信學(xué)報,2001,22(8):22283davida,y.frakel,y.tsiuns:yung,annyityntrline-as