CN103295131A - 一种具备可转移性的条件电子支付系统 - Google Patents

Abstract

本发明公开了一种具备可转移性的条件电子支付系统，具有支付平台，银行，一个付款人，所述付款人账户，以及至少一个收款人，其特征在于，包括以下步骤：（1）支付生成；（2）条件转移；（3）用户注册；（4）附加转移；（5）兑现支付；（6）识别双重支付者。本发明有益效果在于，本发明所构建既不需要低效的分割选择技术，也不需要复杂的知识证明协议，同时也消除了在所有条件转让协议中对银行随时在线的需求。且本发明的条件电子支付系统具备可转让性，可使得一连串的收款人能够匿名的进一步交易货币。

Description

一种具备可转移性的条件电子支付系统

技术领域

本发明涉及电子支付领域，具体涉及一种具备可转移性的条件电子支付系统。

背景技术

由Chaum提出的电子支付原型（或电子现金原型），可以说是现代密码学最重要的应用之一。在其提出后，近30年间大量的研究工作都已经完成。有两种类型的电子现金方案分别是在线的和离线的。在线的电子现金方案可以给电子现金方案中最棘手的问题提供很好的解决方案，例如双重支付问题。但是，它需要收款人在每次交易时都要与银行联系，这就需要银行任何时间都要在线。也就是说，银行不久将成为这个系统发展的瓶颈。因此，离线的方案在构建电子现金系统时更具有吸引力。

Shi等人首先提出了一种新的原型称为条件电子支付。与传统的电子支付方案相比，条件电子支付在满足一定商定的公共条件时，将允许用户在将来的某个时间以匿名方式兑现银行发行的电子货币。除此之外，条件支付系统中的电子货币在交易过程中并不与收款人的身份相绑定，因此就在整个过程中保护了收款人的匿名性。条件电子支付在大量的应用中都是非常有益的，例如市场预测，匿名网上投注以及证券交易。

Shi等人同时提出了条件电子支付的一个完整的架构。但是，由于使用了分割选择协议和秘密共享技术，该方案是非常低效的。此外，条件交易协议需要银行的参与。尽管Carbunar随后提出了基于不经意传输技术的条件电子支付的离线版本，它仍然使用低效的分割选择协议和秘密共享技术。

Blanton基于CL签名提出了一种改进的的条件电子支付（具备可转移性）。这是一种离线方案，并且不使用分割选择协议。因此具有较低计算量和通信负载。然而，由于使用了CL签名，他需要一些复杂的零知识证明。去寻找条件电子支付（具备可转移性）的一种有效的构建仍然是一个有趣的问题。

发明内容

鉴于现有技术的不足，本发明旨在于提供一种高效的条件电子支付系统。

为了实现上述目的，本发明采用的技术方案如下：

一种具备可转移性的条件电子支付系统，具有支付平台，银行，一个付款人，所述付款人账户，以及至少一个收款人，包括以下步骤：

（1）支付生成，其中，当所述付款人希望向所述银行提取一个货币，所述付款人须要证明所述付款人账户的所有权，并协商一个公共的信息,双方之间通过提取协议，最终所述付款人得到银行兑现的货币；

（2）条件转移，其中，所述付款人希望支付他的货币给所述收款人时；双方之间通过收款人生成的三个随机数和已知信息，进行运算和双线性对验证，验证通过后收款人即接受付款人发送的货币。

（3）用户注册，一个和所述银行之间的交互协议。其中，所述银行生成一个限制性部分盲签名给一个具体的信息，这个协议与步骤（1）协议基本相同，据具体是电子货币的实际价值是0。最终，获得一个有效的证书硬币作为他的代表；

（4）附加转移，当希望转移一个货币给，双方之间通过生成的三个随机数和已知信息，进行一定的运算和双线性对验证，验证通过后即接受转移的货币；

（5）兑现支付，根据步骤（4）结果所述收款方发送货币给所述银行；

（6）识别双重支付者，所述银行检测双重存储或双重支付。

需要说明的是，所述步骤（3）中协商的公共信息为。

本发明有益效果在于，本发明所构建既不需要低效的分割选择技术，也不需要复杂的知识证明协议，同时也消除了在所有条件转让协议中对银行随时在线的需求。且本发明的条件电子支付系统具备可转让性，可使得一连串的收款人能够匿名的进一步交易货币。

具体实施方式

下面将结合实施例对本发明作进一步的描述。

一种具备可转移性的条件电子支付系统，具有支付平台，银行，一个付款人，所述付款人账户，以及至少一个收款人，包括以下步骤：

（1）支付生成，其中，当所述付款人希望向所述银行提取一个货币，所述付款人须要证明所述付款人账户的所有权，并协商一个公共的信息,双方之间通过提取协议，最终所述付款人得到银行兑现的货币；

（2）条件转移，其中，所述付款人希望支付他的货币给所述收款人时；双方之间通过收款人生成的三个随机数和已知信息，进行运算和双线性对验证，验证通过后收款人即接受付款人发送的货币。

（3）用户注册，一个和所述银行之间的交互协议。其中，所述银行生成一个限制性部分盲签名给一个具体的信息，这个协议与步骤（1）协议基本相同，据具体是电子货币的实际价值是0。最终，获得一个有效的证书硬币作为他的代表；

（4）附加转移，当希望转移一个货币给，双方之间通过生成的三个随机数和已知信息，进行一定的运算和双线性对验证，验证通过后即接受转移的货币；

（5）兑现支付，根据步骤（4）结果所述收款方发送货币给所述银行；

（6）识别双重支付者，所述银行检测双重存储或双重支付。

需要说明的是，所述步骤（3）中协商的公共信息为。

为了更好的理解本发明，下面将结合实施例对本发明作进一步的描述：

1、支付生成：当U希望提取一个货币，他首先要证明账户所有权，并协商一个公共的信息c。为此，U和B之间的提取协议为：

（1）B生成一个随机数r∈_RΖ_q，并发送z＝(Ig₂)^rx，b＝(Ig₂)^r，和a＝y^r给U。

（2）U检查e(z,g)＝e(b,y)＝e(Ig₂,a)是否成立。若等式不成立，它就会终止协议。若成立，U生成一系列随机数α,λ,x₁,x₂,μ∈_RΖ_q，同时计算A＝(Ig₂)^α,z'＝z^αλ,b'＝b^αλ,a'＝a^λ,和 $\tilde{m}=H(A,B,z^{\′},b^{\′},a^{\′},c){\left(g^{H_0\left(c\right)}y\right)}^{\mathrm{\μ}}.$ 然后它发送

给B。

（3）B给U反馈

然后U计算

如果 $e(\mathrm{\σ},g^{H_0\left(c\right)}y)=e(H(A,B,z^{\′},b^{\′},a^{\′},c),g),$ 于是(A,B,c,(z',b',a',σ))就是一个U知道表示的有效货币。

2、条件转移：当U希望支付他的货币(A,B,c,(z',b',a',σ))给S₁，将执行下述的协议：

（1）S₁生成三个随机数α₁,β₁,γ₁∈_RΖ_q，然后发送 $A_1={\left(I_1{g}_2\right)}^{{\mathrm{\α}}_1},B_1=g_1^{{\mathrm{\β}}_1}{g}_2^{{\mathrm{\γ}}_1}$ 给U。

（2）令d＝H₁(A,B,A₁,B₁)，U计算r₁＝d(μ₀α)+x₁modq，r₂＝dα+x₂modq，然后发送(A,B,c,(z',b',a',σ),r₁,

VEDL(r₂))给S₁。

（3）S₁接受货币，当且仅当：A≠1,e(z',g)＝e(b',y)＝e(A,a')， $e(\mathrm{\σ},g^{H_0\left(c\right)}y)=e(H(A,B,z^{\′},b^{\′},a^{\′},c),g),$ $g_1^{r_1}{g}_2^{r_2}=A^{d}B,$ 并且VEDL(r₂)是r₂的一个有效的可验证的加密。

在事件不利结果的情况下，U可以与自身参与到上述的条件转让协议中去。同样的，U可以现金支付。

3、用户注册：一个S_i和B之间的交互协议。结果是，B生成一个限制性部分盲签名给一个具体的信息

这个协议与支付生成协议几乎是一样的。唯一的区别在于公用信息是c^*而不是c，也就是说电子货币的实际价值是0。最终，S_i获得一个有效的证书硬币(A_i,B_i,c^*,(z_i',b_i',a_i',σ_i))作为他的代表。

4、附加转让：当S_i希望转移一个货币给S_i+1(1≤i≤n-1)，以下的协议将被执行：

（1）S_i+1生成三个随机数α_i+1，β_i+1，γ_i+1∈_RΖ_q并发送 ${(A}_{i+1}={\left(I_{i+1}{g}_2\right)}^{{\mathrm{\α}}_1+1},B_{i+1}=g_1^{{\mathrm{\β}}_{1+1}}{g}_2^{{\mathrm{\γ}}_{i+1}})$ 给S_i。

（2）令d_i＝H₁(A_i,B_i,A_i+1,B_i+1)，U计算τ_i＝d_i(u_iα_i)+β_imodq，v_i＝d_iα_i+γ_imodq，并发送(A,B,c,(z',b',a',σ),r₁,VEDL(r₂))和(A_j,B_j,c^*,(z'_j,b'_j,a'_j,σ_j),τ_j,v_j)(1≤j≤i)给S_i+1。也就是说，每一次附加的转移将添加(A_j,B_j,c^*,(z'_j,b'_j,a'_j,σ_j),τ_j,v_j)(1≤j≤i)信息给货币。

（3）S_i+1接受货币，当且仅当A≠1，e(z',g)＝e(b',y)＝e(A,a')， $e(\mathrm{\σ},g^{H_0\left(c\right)}y)=e(H(A,B,z^{\′},b^{\′},a^{\′},c),g),$ $g_1^{r_1}{g}_2^{r_2}=A^{d}B,$ VEDL(r₂)是r₂的一个有效的可验证的加密，并且A_j≠1，e(z'_j,g)＝e(b'_j,y)＝e(A_j,a'_j)， $e({\mathrm{\σ}}_j,g^{H_0\left(c^{*}\right)}y)=e(H(A_j,B_j,z_j^{\′},b_j^{\′},a_j^{\′},c^{*}),g),$ $g_1^{{\mathrm{\τ}}_j}{g}_2^{v_j}=A_j^d{B}_j(1\≤j\≤i).$

在事件理想发生的情况下，S_n发送VEDL(r₂)给T.如果VEDL(r₂)是有效的，T计算并发送r₂给S_n。最终。S_n存储(A,B,c,(z',b',a',σ),r₁,r₂)，(A_j,B_j,c^*,(z'_j,b'_j,a'_j,σ_j),τ_j,v_j)(1≤j≤n-1)和(A_n,B_n)作为可兑现的货币。

5、兑现支付：收款方S_i(1≤i≤n)发送货币(A,B,c,(z',b',a',σ),r₁,r₂)，(A_j,B_j,c^*,(z'_j,b'_j,a'_j,σ_j),τ_j,v_j)(1≤j≤n-1)和(α_i,β_i,γ_i)给B。如果S_k和S_l(k＜l)都兑现了支付，B就能够追踪到双重支付人S_k。

对于S_i提供的一个货币，B首先检查货币的有效性。如果所有验证通过，他然后搜索存款数据库来查找是否A已经被存储过。如果A之前没有被存储过，B就把(A,c,d,r₁,r₂)，(A_j,c^*,d_j,τ_j,v_j)(1≤j≤i-1)和α_i存储到数据库中，并归于S_i的账户中；否则，B就调用识别双重支付者算法。

6、识别双重支付者：B可以通过如下方法检测双重存储或双重支付：

（1）利用两个不同的五元组(A,c,d,r₁,r₂)和(A,c,d',r₁',r₂')，B可以计算u₀＝(r₁-r₁')/(r₂-r₂')modq并追踪双重支付者U。在这种情况下，B也可以了解到U第一次提取货币。

（2）利用两个不同的五元组(A_j,c^*,d_j,τ_j,v_j)和(A_j,c^*,d'_j,τ'_j,v'_j)，B可以计算u_j＝(τ_j-τ'_j)/(v_j-v'_j)modq并追踪双重支付者S_j。

（3）令l＜n-1是最大的指标，所有A_j(1≤j≤l)已经存储在数据库中。利用两个不同的五元组(A_l,c^*,d_l,τ_l,v_l)和(A_k,c^*,d_k,τ_k,v_k)，B能够以下述方式验证不端行为：

如果k＜l，B可以推断出S_k+1试图两次存储相同的支付，因此他将拒绝S_k+1的请求；

如果k＞l，B可以推断出S_l+1是一个双重支付者，因为在这种情况下，意味着同一个支付既被S_l+1兑现，又被它转让。利用A_l+1和a_l+1的信息，B可以计算出S_l+1的账户信息：

对于本领域的技术人员来说，可根据以上描述的技术方案以及构思，做出其它各种相应的改变以及变形，而所有的这些改变以及变形都应该属于本发明权利要求的保护范围之内。

Claims (2)

1.一种具备可转移性的条件电子支付系统，具有支付平台，银行，一个付款人，所述付款人账户，以及至少一个收款人S_i，其特征在于，包括以下步骤：

（1）支付生成，其中，当所述付款人希望向所述银行提取一个货币，所述付款人须要证明所述付款人账户的所有权，并协商一个公共的信息c,双方之间通过提取协议，最终所述付款人得到银行兑现的货币；

（2）条件转移，其中，所述付款人希望支付他的货币给所述收款人时；双方之间通过收款人生成的三个随机数和已知信息，进行运算和双线性对验证，验证通过后收款人即接受付款人发送的货币；

（3）用户注册，一个S_i和所述银行之间的交互协议。其中，所述银行生成一个限制性部分盲签名给一个具体的信息，这个协议与步骤（1）协议基本相同，据具体是电子货币的实际价值是0。最终，S_i获得一个有效的证书硬币作为他的代表；

（4）附加转移，当S_i希望转移一个货币给S_i+1(1≤i≤n-1)，双方之间通过S_i+1生成的三个随机数和已知信息，进行一定的运算和双线性对验证，验证通过后S_i+1即接受S_i转移的货币；

（5）兑现支付，根据步骤（4）结果所述收款方发送货币给所述银行；

（6）识别双重支付者，所述银行检测双重存储或双重支付。

2.根据权利要求1所述的支付系统，其特征在于，所述步骤（3）中协商的公共信息为c^*。