一種離線電子貨幣支付的安全運(yùn)行方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及移動電子商務(wù)中離線電子貨幣支付的安 全運(yùn)行方法。
【背景技術(shù)】
[0002] 近年來，由于智能手機(jī)、平板電腦等移動設(shè)備的普及和3G、4G網(wǎng)絡(luò)的發(fā)展，移動電 子商務(wù)得到了快速崛起，并呈現(xiàn)出爆發(fā)式的發(fā)展勢頭。但在網(wǎng)絡(luò)安全威脅日益嚴(yán)重的今天， 移動電子商務(wù)的安全成為一個(gè)不容忽視的重要問題。由于無線網(wǎng)絡(luò)體系結(jié)構(gòu)的不安全性， 使得移動電子商務(wù)比傳統(tǒng)電子商務(wù)存在更多的威脅。因此，如何讓用戶放心地使用移動設(shè) 備進(jìn)行電子支付成為亟需解決的問題。目前最普遍的三種移動支付模式是信用卡，電子錢 包和手機(jī)支付。但是，這些支付方式有一個(gè)共同的特點(diǎn)是支付時(shí)必須得訪問網(wǎng)絡(luò)，即需要外 部的服務(wù)器來管理支付過程，這使得其應(yīng)用和普及受到了限制，例如在無線蜂窩網(wǎng)絡(luò)中，移 動設(shè)備在無信號的地方無法連接到服務(wù)器，而只能實(shí)現(xiàn)同一個(gè)蜂窩網(wǎng)絡(luò)的用戶可以相互通 信，對于需要服務(wù)器參與支付過程的電子支付方式就無法運(yùn)行。而且，這些支付方式并不保 護(hù)用戶的隱私，這使得用戶在交易的過程中泄漏一些關(guān)鍵的個(gè)人信息，例如身份信息和位 置信息，這些信息的泄漏可能間接造成用戶的身體傷害和財(cái)產(chǎn)的損失。因此，尋找能夠模擬 現(xiàn)實(shí)世界的交易場景的移動電子支付方式是一項(xiàng)意義重大且富有挑戰(zhàn)的工作。
[0003] 電子貨幣（ElectronicCash)又稱為數(shù)字現(xiàn)金或數(shù)字貨幣，是現(xiàn)實(shí)貨幣在數(shù)字世 界的替代物，它既具有真實(shí)貨幣的便攜性、無交易費(fèi)用的優(yōu)點(diǎn)，又能夠在數(shù)字世界中使用， 是一種重要的電子商務(wù)支付方式，廣泛地用于網(wǎng)絡(luò)中的小額現(xiàn)金交易。通常情況下，電子貨 幣系統(tǒng)包括三個(gè)主體：客戶、商家和銀行，以及四個(gè)安全交互協(xié)議：開戶協(xié)議、取款協(xié)議、支 付協(xié)議和存款協(xié)議?？蛻羰紫扰c銀行執(zhí)行開戶協(xié)議建立賬戶。用戶通過與銀行運(yùn)行取款協(xié) 議得到電子貨幣后，就與商家執(zhí)行支付協(xié)議將電子貨幣支付給商家，商家最后與銀行運(yùn)行 存款協(xié)議將電子貨幣存入銀行。1982年，Chaim提出了利用盲簽名技術(shù)構(gòu)造了第一個(gè)電子 貨幣協(xié)議，能夠保護(hù)客戶的隱私。但這種客戶身份完全匿名的電子商務(wù)支付方式給違法犯 罪分子提供了可乘之機(jī)。后來，Stadler等人利用公平盲簽名構(gòu)造了條件匿名的電子貨幣支 付系統(tǒng)，使得客戶的匿名性是不完全的，可以被信任的第三方撤銷。1993年，F(xiàn)ranklin等人 提出了公平的離線電子現(xiàn)金的概念，并利用不經(jīng)意認(rèn)證子構(gòu)造了離線電子貨幣方案。2007 年，可分割的電子貨幣（離線電子貨幣）系統(tǒng)也在歐密會上被提出，而作為一個(gè)安全實(shí)用的 電子貨幣協(xié)議，匿名性、平衡性和無法脫罪性是三個(gè)基本的性質(zhì)。匿名性又稱為隱私性，是 指電子貨幣在支付過程中不會泄漏客戶的支付地點(diǎn)、支付模式和個(gè)人信息；平衡性是指即 使客戶和商家合謀也無法在銀行不察覺的情況下存儲大于提取數(shù)額的電子貨幣；無法脫罪 性是指任何不誠實(shí)的參與者在二次使用電子貨幣后無法逃避責(zé)任。
[0004]目前，構(gòu)造實(shí)用的電子貨幣協(xié)議所用到的技術(shù)主要有三種：盲數(shù)字簽名、認(rèn)證和零 知識證明，但這些方案普遍存在以下問題：
[0005] (1)商家支配收到的電子貨幣的便捷性差，即商家只有先將獲得的電子貨幣通過 與銀行運(yùn)行存款協(xié)議將收到的電子貨幣存入銀行，然后再通過與銀行運(yùn)行取款協(xié)議，提取 重新生成的電子貨幣來實(shí)現(xiàn)支配使用；
[0006] (2)盲簽名、零知識證明等技術(shù)雖然實(shí)現(xiàn)了客戶的隱私保護(hù)，但無法保護(hù)商家的隱 私，因?yàn)閱渭兊氖褂昧阒R證明無法實(shí)現(xiàn)商家的隱私保護(hù)，即客戶在向商家支付電子貨幣 時(shí)，可以直接獲取商家的身份信息，從而導(dǎo)致商家的身份信息對客戶和銀行是公開的，而給 商家?guī)順O大的潛在風(fēng)險(xiǎn)和威脅。
[0007] 因此有必要對現(xiàn)行的離線電子貨幣支付的運(yùn)行進(jìn)行改進(jìn)，提升離線電子貨幣系統(tǒng) 的隱私性，實(shí)現(xiàn)對離線電子貨幣支付和收取雙方的隱私保護(hù)。

【發(fā)明內(nèi)容】

[0008] 本發(fā)明的發(fā)明目的在于：針對上述問題，提供一種離線電子貨幣支付的安全運(yùn)行 方法，隱私保護(hù)的離線電子貨幣的實(shí)現(xiàn)方法，既能保護(hù)客戶和商家的個(gè)人隱私，又實(shí)現(xiàn)了移 動電子商務(wù)中快捷安全的支付模式。
[0009] -種離線電子貨幣支付的安全運(yùn)行方法，包括銀行服務(wù)器和用戶端，分別執(zhí)行下 列步驟：
[0010]步驟a.銀行服務(wù)器初始化系統(tǒng)參數(shù)：
[0011] 選擇安全參數(shù)k，基于安全參數(shù)k選擇大素?cái)?shù)p，設(shè)置p階有限域上的p階加法循 環(huán)群61、61^，從群61中選擇生成元區(qū)、8 (|、81、11、11(|、111、112從群6沖選擇一個(gè)隨機(jī)數(shù)記為11 1，設(shè) 置雙線性對纟為從群h到群GT的映射
【主權(quán)項(xiàng)】
1. 一種離線電子貨幣支付的安全運(yùn)行方法，包括銀行服務(wù)器和用戶端，其特征在于，包 括下列步驟： 步驟a.銀行服務(wù)器初始化系統(tǒng)參數(shù)： 選擇安全參數(shù)k，基于安全參數(shù)k選擇大素?cái)?shù)P，設(shè)置P階有限域上的P階加法循環(huán)群Gi、Gt，從群G沖選擇生成元g、g。、gi、h、h。、Vha從群GT中選擇一個(gè)隨機(jī)數(shù)記為HT，設(shè)置雙 線性對?S為從群Gi到群GT的映射:句X^ ，并基于生成元g和h計(jì)算兩個(gè)雙線性映 射值G=如別和打=飾，々），從模P的加法循環(huán)群Zp中選擇隨機(jī)數(shù)a、p作為私鑰，并計(jì) 算得到公鑰W=g%X=gP，設(shè)置兩個(gè)抗碰撞哈希函數(shù)Hi和H2,其中Hi為從0和1組成的 比特序列集映射到群Gt，為從0和1組成的比特序列集映射到群ZP; 步驟b.賬戶建立： 步驟bl;用戶端從群Zp中選擇用戶端主密鑰U和隨機(jī)數(shù)s'，生成用戶端的身份標(biāo)識U=G"和承諾密鑰C=茲各;'； 用戶端運(yùn)行零知識證明協(xié)議PKi生成PK1承諾值，其中零知識證明協(xié)議PK1的陳述為： 戶_^1 {〇'，M):C=濟(jì)'說At/ =G"}，符號"-"表示邏輯與； 用戶端將身份標(biāo)識U、承諾密鑰C和PKi承諾值發(fā)送給銀行服務(wù)器； 步驟b2 ;銀行服務(wù)器生成PKi挑戰(zhàn)值并發(fā)送給用戶端； 步驟b3 ;用戶端生成PKi響應(yīng)值并發(fā)送給銀行服務(wù)器； 步驟b4 ;銀行服務(wù)器驗(yàn)證零知識證明協(xié)議PKi是否有效，若否，則拒絕開戶；否則，存儲 用戶端的身份標(biāo)識U，并從群Zp中選擇隨機(jī)數(shù)S"和e，根據(jù)公式;^ (各C各0〇^"+^>計(jì)算得到 參數(shù)A，并將A、e、s"發(fā)送給用戶端； 步驟b5;用戶端存儲賬戶（A，e，s，u)，其中參數(shù)s=s' +S"; 步驟C.用戶取款： 步驟cl;用戶端從群Zp中選擇隨機(jī)數(shù)t'和V'，生成取款承諾C二旬,7?|7<; 用戶端運(yùn)行零知識證明協(xié)議PK2生成PK2承諾值，其中零知識證明協(xié)議PK2的陳述為：PK雖，U:C二！ih'成aU二G')'， 用戶端將取款承諾C'和PK2承諾值發(fā)送給銀行服務(wù)器； 步驟c2 ;銀行服務(wù)器生成PK2挑戰(zhàn)值并發(fā)送給用戶端； 步驟c3 ;用戶端生成PK2響應(yīng)值并發(fā)送給銀行服務(wù)器； 步驟c4 ;銀行服務(wù)器驗(yàn)證零知識證明協(xié)議PK2是否有效和確認(rèn)身份標(biāo)識U是否為當(dāng)前 用戶端的身份標(biāo)識，若否，則拒絕取款諾是，則從群Zp中選擇隨機(jī)數(shù)t"、f和V"，根據(jù)公 式巧= (AC%皆計(jì)算得到參數(shù)B，并將B、f、t"、v"發(fā)送給用戶端； 步驟c5;用戶端存儲電子貨幣炬，f，t，v)，其中參數(shù)t=t' +t"，v=v' +V"; 步驟d.付款人支付收款人電子貨幣： 步驟dl;收款用戶端生成交易信息INFO,所述交易信息INK)包含支付金額、支付時(shí)間、 支付理由，選擇隨機(jī)數(shù)作為交易時(shí)間戳N，基于交易信息INK)和交易時(shí)間戳N生成交易標(biāo)識 符M=巧(/WF0||AT)"'; 收款用戶端運(yùn)行零知識證明協(xié)議PK3生成PK3承諾值，其中零知識證明協(xié)議PK3的陳 述為；戶A"パレ!V'，.sV。<'):約/^\略''') =c;(徽;V'，各)AM= パ|(//VF()||八0"1.，其中賬戶 (A*，e*，s*，u*)中的各參數(shù)對應(yīng)步驟b5中的A、e、s、u，上標(biāo)用于標(biāo)識賬戶（A*，e*，s*，u*) 的擁有用戶端為收款用戶端，符號"II"表示追加操作； 收款用戶端將交易標(biāo)識符M、交易時(shí)間戳N和PKs承諾值發(fā)送給付款用戶端； 步驟d2;付款用戶端生成PKs挑戰(zhàn)值并發(fā)送給收款用戶端； 步驟d3 ;收款用戶端生成PKs響應(yīng)值并發(fā)送給付款用戶端； 步驟d4 ;付款用戶端驗(yàn)證零知識證明協(xié)議PKs是否有效，若否，則拒絕支付；否則，計(jì)算 交易信息哈希值R=H2(INF0| |N||M)和電子貨幣編號S=HV; 付款用戶端運(yùn)行零知識證明協(xié)議SPK生成SPK承諾值，其中零知識證明協(xié)議SPK的陳 述為；5戶A'i(公，./'乂V，"):(度，義7/) = (;(/卸/?;'/與，月)八S= //' ) (/?); 付款用戶端基于SPK的承諾值生成SPK挑戰(zhàn)值，并基于所述SPK挑戰(zhàn)值生成SPK響應(yīng) 值； 付款用戶端將交易信息哈希值R、電子貨幣編號S和SPK響應(yīng)值、SPK挑戰(zhàn)值發(fā)送給收 款用戶端； 步驟d5 ;收款用戶端驗(yàn)證零知識證明協(xié)議SPK是否有效，若否，則拒絕并終止交易；否 貝1J，存儲電子貨幣證據(jù)（SPK，S，INFO,N，M)，其中參數(shù)SPK為SPK響應(yīng)值和SPK挑戰(zhàn)值； 步驟e.用戶兌換電子貨幣： 步驟el;用戶端運(yùn)行零知識證明協(xié)議PKs生成PK3承諾值，并將電子貨幣證據(jù) (SPK，S，INFO,N，M)和PKs承諾值發(fā)送給銀行服務(wù)器； 步驟e2;銀行服務(wù)器生成PKs挑戰(zhàn)值并發(fā)送給用戶端； 步驟e3 ;用戶端生成PKs響應(yīng)值并發(fā)送給銀行服務(wù)器； 步驟e4 ;銀行服務(wù)器驗(yàn)證零知識證明協(xié)議PKs是否有效和基于電子貨幣證據(jù)中的SPK響應(yīng)值、SPK挑戰(zhàn)值驗(yàn)證零知識證明協(xié)議SPK是否有效，若否，則拒絕兌換；若是，則計(jì)算交 易信息哈希值R=H2(INF0| |N||M)，驗(yàn)證交易信息哈希值R和時(shí)間戳N在本端是否已經(jīng)存 在，若是，則拒絕兌換；否則執(zhí)行步驟e5 ; 步驟e5 ;銀行服務(wù)器提示用戶端證明身份標(biāo)識，并為用戶端生成新的電子貨幣： 步驟e5-l