一个新型的不可追踪的离线电子现金系统外文翻译资料

英语原文共 6 页，剩余内容已隐藏，支付完成后下载完整资料

一个新型的不可追踪的离线电子现金系统

Ziba Eslami , MehdiTalebi

Department of Computer Science,Shahid Beheshti University GC Tehran Iran

关键词

电子现金 支付系统 盲签名 ElGamal数字签名方案 密码 离散对数

摘要

在未来几年，电子商务中的数字内容交易将大幅增加。在这方面，良好设计的电子支付方案和高质量的数字内容是两个至关重要的因素。不可追踪的电子现金方案使得顾客可以在隐私收到保护的网络通信中支付电子现金给商家。因此，有必要发明新的电子支付协议，具有强大的加密算法，将最终取代目前的纸质现金计划。有2种类型的电子现金计划，即网上和离线。一般来说离线方案比在线方案更有效率。任何的离线支付方案有两个基本问题是双重支付和匿名性的检测。本文提出了一种新的不可离线电子现金方案可以保持匿名，双重支付的检测和具有很强的欺诈控制能力。此外，本文将截止日期和币相联系，使银行系统更有效率地管理其数据库。该方案是基于密码技术如ElGamal盲签名。通过该方案产生的现金可以通过计算机网络传送到存储设备，反之亦然，便携性是有保证的。

1.介绍

由于计算机技术的快速发展，数据处理的效率和信息生成的速度有了很大的提高。先进的网络服务，新技术的优势，大大缩短了分布式实体间的通信时间。在这些服务中，无法追踪的电子现金（现金）因为它实现了传统现金的数字化成为其中受欢迎的一个。这些方案使得在隐私受到保护的网络通信中支付电子现金给商家成为可能。然而，尽管电子支付有这么多好处，但是公认的信用卡/借记卡系统，它仍然是早期的数字货币的世界，它是我们走向全球化的电子现金方案的过渡期。其中一个原因是应该有大量投资到所需基础设施当中使得新的支付机制在不同环境中展示出可以和信用卡，传统现金相比较的优势。因此，有必要发明一个具有强大的加密算法的新电子支付协议，有可能取代目前的现金方案。这里有许多人们期望电子现金方案具有的功能。在下面我们列出其中的一些。

匿名性：支付的现金必须保持匿名性。如果现金被合法地支付，无论签收者或是银行都不能辨别出支付者。

不可重用性：数字现金的不可复制和重复使用。

然后，我们要尽量减少伪造的风险，建立一个良好的真实性系统。

不可伪造性：只有授权方（即银行）可以生产数字硬币。

离线支付：该交易可以进行离线，意思是在交易过程中不需要与中央银行进行沟通。

可转让性：电子货币可以在人群之间进行流传，不管交易在线上还是离线。

可分性：电子现金可以分成更小的

量。

可移植性：数字现金的安全性和使用是不依赖于任何物理位置。现金可以通过计算机网络传输到存储设备中，反之亦然。

尽管大量基于数字现金的研究在进行，但是通用电子现金方案尚未制定。到目前为止，已经提出了得许多现金计划，往往只集中在一个有限的预期属性的子集。只有很少的建议方案实际上是只用于在线支付，而无需其他电子支付方式，如信用卡/借记卡的基本支持。到目前为止，电子货币的研究主要通过适当的安全协议和机制的设计来解决安全要求。面临的挑战是，试图满足上述要求的方法，最终会产生非常复杂的数学，繁重的网络流量，和低效冒险的实现。例如，要实现价值的可分性和双重支出检测，现金机制应该采用交易记录的在线认证和提供现金池给信用/借记卡，或是使用能够通过私有或专用线路通信的特殊设备。双重支出也是一个挑战，在设计一个可转让的计划时，为了实际使用，通常有一个允许传输的数量的限制，使发现欺诈交易的成本不会是巨大的。因此，转让方案需要追溯机制来识别恶意用户，同时那样不能确保在完全的匿名和安全。

在本文中，我们提出了一个不可追踪的离线基于盲签名的电子现金方案。我们提出的方案将联系截止日期到每个硬币中使得旧硬币可以通过一种称为交换协议的协议兑换为新的硬币。此功能可以大大减少银行必须管理的数据库的大小。该方案的欺诈控制程序证明了该方案对各种可能的欺诈行为是高度安全的。为了实现双重支付的检测，我们采用一个特殊的签名方案，ElGamal签名方案，（正如在5.3节）如果硬币是花了两次，支付者的身份被有效地揭开。该方案的安全性来自于非连续对数问题和大整数分解素数的难度。我们在标准模型中也证明了匿名性。

余下的论文将如下组织。在2节，在电子现金上已有的方案进行综述。在3节简单地件数本文使用的技术。本文的方案将在4节拟述。安全分析在5节和欺诈控制程序在6节描述。比较放在了7节和最后的总结放在了8节。

2.已有的方案

使用最广泛的电子支付方案的模型涉及三个不同的部分，即银行、支付者和商家。一个通用的电子钱币机制的生命周期涉及所有的方。首先，一个支付者从银行提取钱币。然后支付者将钱币给商人来换取一些货物和服务。最后，当商人将钱币存入银行时候完成了一个周期。三个不同的阶段。在这个周期中，有三个阶段，提款阶段，付款阶段，和存款阶段。在此之前，我们有初始化阶段，必要的信息，如生成公共密钥和帐户开放阶段，用户在银行注册。有2种类型的电子现金方案即在线和离线。在一般的离线方案会更多地参与每一笔款项的支付。然而，由于硬币付款的时候不会被验证，让不诚实的人有可能重复花费他们的硬币。这是因为数字现金，这基本上是一组数字，很容易复制。另一个要求电子硬币需要是匿名的，就是说，消费者的隐私需要保护。因此，我们希望再次强调，匿名性和双重支付的需求使得安全高效的电子支付机制的设计成为了一个具有挑战性的任务。在一个在线电子现金中，付款和存款阶段发生在同一交易。换句话说，每一个钱币在支付时侯会被银行确认。这就需要

银行消费者与商家之间的交换的钱币而在线。

分割选择技术由Chaum提出（1983）作为一个解决离线匿名电子现金双重支出问题的解决方法。通俗地，每一枚钱币都是以K个两个数字的集合组成。给出在相同集合中的任意两个数字，任何人能够计算出钱币拥有者的身份，不管涉及的集合的数目，这是完全计算不可行的辨别支付者。当支付者希望支付钱币给商户，支付者需要揭开k个不同的数字，每一个来自一个集合。这些数字的集合通常被作为商户盲目随机选择的响应。如果支付者重复支付任意钱币，对于重复支付的钱币，银行最终会获得在同一个集合中两个不同的数字。这将揭示支付者的身份。然而这技术非常低效在于每次在支付者和商户之间进行交易时每个钱币包含2k个不同数字这么大的数据进行交互。在原方案后，多次改进和新构造被提出来。例如(Ferguson 1994, Okamoto and Ohta 1991, Brand 1993, Camenisch et al. 1996, Ferguson 1994, Frankel etal. 1996, Yacobi 1995)。Brands（1993）和Ferguson（1994）的工作中在没有使用分割选择的方法下实现了双重支付的预防和支付者的匿名性。

盲签名，由Chaum（1983）最初用于设计电子现金协议。随后，许多不可追踪的电子现金协议，在此基础上进行构建（Chaum 1983、 Fan and Lei1998，Ferguson 1994，Pointcheval和Stern 1997，Camenisch等。1995、pointchval和Stern 1996）。在这些方案中，银行的签名是用于产生一个硬币，这样，没有链接可以被驱动在提款和存款阶段，即银行在有致盲因素的情况下无法链接盲形式的电子现金钱币，致盲因素是由支付者保存。

在这里，我们提出了一种电子现金方案，满足重要的基准要求如匿名性、不可重用性、可移植性，和不可伪造性，因此在现有的解决方案中有相当的优势。

1. 预备知识

在本节中，我们简要覆盖贯穿整个论文的相关技术。我们使用下面的lemma，其在Trappe和Washington被提出证明。

Lemma 1.让a 作为素数p原始的根。对于整数i和j , gⁱ Xi; g^j 当且仅当 i Xi; j（mod (p -1)) .

3.1 RSA加密/解密

让（p_x,,q_x,n_x,e_x,d_x)作为X的RSA参数，其中p_x和q_x 是两个大素数，n_x = p_xq_x 和e_xd_x Xi; 1(mod p_x -1)(q_x -1)).(p_xq_xd_x)是私有的 然（n_xe_x）是公有的。RSA的公有操作（加密/认证）会被应用到消息m上，通过使用X的公钥e_x， 即 m被加密（认证）作为m^e_x(mod

N_x）。RSA的私钥（解密、签名）会被使用通过实体X的私钥d_x使得m被解密带有签名作为m^d_x(mod n_x).很明显有这结果：m^d_x^e_x = m^e_x ^d_x = m (mod n_x).

3.2盲签名

盲签名，最初由Chaum提出被使用于设计电子现金协议。之后Fujioka利用它们在电子投票方案中。盲签名被使用在党我需要X在m上的签名同时我们不希望暴露m的内容给X。为了得到X的RSA盲签名在文档m上，选择一个随机数b作为致盲因子，给X信息b^e_xm（即 m的随机乘数）去签名。X签名为（b^e_xm ) ^d_x (mod n_x)将导致bm^d_x （mod n_x）。通过从签名信息中移除致盲因子，我们很容易得到在m上的所需签名(通过乘b^-1)。注意为了b^-1(mod n_x)存在，必须保证gcd(b,n_x) = 1.

3.3离散对数问题

让G作为顺序q中的一个循环组，带有生成器g，使得G = { g⁰,g1,g2,.....g^q-1,}.对于每个在G集合中的h，有一个独特的x属于Z_q , 以至于g^x = h和h被称作x的离散对数带有引述的g。离散对数假设一种状态，存在一个组G使得技术离散对数变得困难，因此我们有离散对数难题。

3.4 ElGamal签名方案

签名被使用在我们的方案中意味着可以揭示那些使用钱币超过一次的钱币拥有者的身份。（详见5.3.ELGamal签名在1985年被描述。在该方案的修改中作为DSA被采用。该算法是不确定的，这意味着有许多有效的签名为任何给定的消息，并查验算法必须能够接受

这些有效签名的真实性。一个完整的处理方案可以在Stinson（2005）中查找。让p当作素数使得离散log难题在Z_p中是不可追踪的，让a属于Z^*_p做为一个原始的数。定义K = {（p,a,w,g):gXi;a^w(mod p)}当作所有可能钥匙的集合。值p,a和g是公钥，w是私钥。对于d属于Z*_p，K = (p,a,w,g),和一个秘密地随机数y属于Z*_p-1.定义

1. 本文方案

该方案有四名参与者：一个中央权威（CA）、银行（B），支付者（S）和商人（M）。

由于该方案中的钱币被使用在开放的（不可信）渠道，如互联网，适当的安全考虑，隐私和真实性必须考虑。隐私属于保护个人信息未经授权的披露。因此，应该设计一个方案，合法钱币的拥有者的身份不会被揭示，在同一时间，一个钱币不能追查回到它的主人。真实性可以通过实现基础设施以确保密钥管理，用户身份,信息完整性来实现。因此，作为认证的基础设施是一个独立于银行的实体，我们称之为中央管理局（CA），其负责联系参与支付交易的参与者的身份和相关的证明，并结合公共密钥作为一个实体。

有五个清晰的阶段：（1）初始化阶段如公开钥匙的必要信息的生成。（2）在每个硬币的提款阶段，每个钱币随着带有特定性质的六元证书的生成。（3）在付款阶段，采取必要的措施，以确保不诚实的客户重复使用钱币，（4）存款阶段，商人存储银行可接受的电子钱币，同时欺诈控制程序会进行检测可能的欺骗，（5）在交换阶段，旧的（未经存款和交易）钱币换为新的有效的钱币。

银行保持两个表：deposittable和exchangetable。这些表用于存款和交换阶段以及欺诈控制程序。注意，我们使用的符号Aacute;B（m）来表示消息m从实体A发送到实体B.

4.1初始化阶段

在这个阶段由CA完成，最初一些参数会被设置。假定对应银行的公共密钥，消费者和商家都会被CA认证，即，每个认证的参与者在访问时侯都应该能够提供它的数字证书。

Step1.中心认证机构CA

1.1选择一个大素数p使得q=(p-1)/2同样是个素数。

1.2选择a作为mod p

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[154195]，资料为PDF文档或Word文档，PDF文档可免费转换为Word