CN104580145A - 可验证秘密分享的移动代理安全支付方法 - Google Patents

Abstract

本发明涉及移动电子交易安全领域，公开了一种可验证秘密分享的移动代理安全支付方法，包括以下具体步骤：包括一至少包含一个公钥的公钥组以及一至少包含一个私钥s_i(i＝0,1,…,n)的私钥组；所述公钥以及私钥均由同一域Z_q随机挑选生成；所述公钥包括由分发者D进行第一次分发的公钥E_i0＝E(s_ij,t_ij)以及由分发者D进行第二次分发的公钥E_id＝E(F_id,G_id)；所述公钥E_i0以及公钥E_id分别由私钥s_i以及t_i∈Z_q共同生成，其中Z_q表示一个包括一组数字的域。本发明的优点在于，在基于可验证秘密分享的基础上，弱化移动代理协议的限制条件，克服移动代理协议在实际应用中的局限性，保证了移动代理协议能具有合适运行效率，提高了移动支付的安全性和便捷性，具有较好的应用价值。

Description

可验证秘密分享的移动代理安全支付方法

技术领域

本发明涉及移动电子交易安全领域，特别涉及一种可验证秘密分享的移动代理安全支付方法。

背景技术

随着科学技术的发展，移动代理技术因为其采用的分布式系统，为用户和商户的交易带来了更好的便捷性，也为分布式计算机系统带来了更好的安全性和灵活性。移动代理是一种能够在分布式计算机之间自主迁移的程序，特别是在广阔的异构网络中，能够利用移动代理的特点满足用户的特定需求。与此同时，移动代理具有的移动性、安全性、自主性和协作性以及智能性等优势，也为移动代理带来了广阔的发展前景。虽然移动代理为我们的生活带来了很多便利,但也带来了许多很全隐患。如何有效地解决移动代理免受恶意主机的攻击，是目前移动代理研究的热门问题之一，也是最难解决的问题。移动代理(MobileAgent)在大型的异构网络上，被认为是一种能在异质网络中，分布式计算机之间能自主迁移的程序,为用户完成特定的任务。移动代理具有的移动性、安全性、自主性和协作性以及智能性为其带来了广阔的发展前景。

虽然移动代理为我们的生活带来了很多便利,但也带来了许多很全隐患。如何防止移动代理免遭恶意主机攻击使目前最难解决的问题之一,现有的技术仍不能完全的解决这一难题，这也是移动代理仍未得到广泛应用的原因之一。除此之外，移动代理协议的安全执行还要满足一些条件：

(1)用户购买的商品金额是预先设定的；

(2)移动代理的电子货币最多只能有个主机共谋窃取；

(3)代理携带的电子货币不能由商户和主机共谋窃取；

(4)可信的第三方和商户不能收到主机发送的错误秘密份额；

(5)可信的第三份既不会与商户、也不能与部分主机共谋。

因为这些条件的限制，协议不能广泛的在实际中得到应用。因此，本发明建立了一种新的移动代理支付协议。

发明内容

本发明针对现有技术存在较多限制，特别是安全性方面的缺陷导致应用受到限制的缺点，提供了可验证秘密分享的移动代理安全支付方法，较好地实现了强化移动支付安全性的目的。

为实现上述目的，本发明可采取下述技术方案：

一种可验证秘密分享的移动代理安全支付方法，包括以下具体步骤：包括一至少包含一个公钥的公钥组以及一至少包含一个私钥s_i(i＝0,1,…,n)的私钥组；

所述公钥以及私钥均由同一域Z_q随机挑选生成；

所述公钥包括由分发者D进行第一次分发的公钥E_i0＝E(s_ij,t_ij)以及由分发者D进行第二次分发的公钥E_id＝E(F_id,G_id)；

所述公钥E_i0以及公钥E_id分别由私钥s_i以及t_i∈Z_q共同生成，其中Z_q表示一个包括一组数字的域。

于本申请的实施例中，所述公钥其中，g、h均为G_p的生成元，G_p为的唯一q阶子群，p、q为大素数，且q|(p-1)，为Z_q的排除0的一个子群，j＝0,1,…,n，t_ij∈Z_q。

于本申请的实施例中，所述公钥其中，F_id为多项式F_i(x)＝s₁+F_i1x+…+F_i(k-1)x^k-1的系数，d＝1,2,…,k-1，G_id∈Z_q，g、h均为G_p的生成元，G_p为的唯一q阶子群，p、q为大素数，且q|(p-1)，为Z_q的排除0的一个子群。

于本申请的实施例中，令所述私钥s_i＝F_i(j)。

于本申请的实施例中，还包括以下具体步骤：分发步骤I：分发者D针对私钥s_i分发公钥E_i0，并随机挑选t_ij以用于生成公钥E_i0；

分发步骤II：随机挑选F_id并生成多项式F_i(x)，并由s_i＝F_i(j)得到私钥s_i，同时随机选取G_id，计算并分发公钥E_id；

生成步骤：令G_i(x)＝t₁+G_i1x+…+G_i(k-1)x^k-1，t_ij＝G_i(j)，将分发者D将(s_ij,t_ij)以不公开的方式分发给使用者H_j。

于本申请的实施例中，还包括以下具体步骤：

验证步骤：使用者H_j得到(s_ij,t_ij)后，通过计算验证得到的(s_ij,t_ij)是否有效。

于本申请的实施例中，还包括以下步骤：

初始步骤：由使用者H_j创建至少一个移动代理，每个移动代理分别持有不同的私钥s_i以及t_ij。

于本申请的实施例中，海报哭以下具体步骤：

支付步骤：1)主代理选取k-1个代理，将账单分别发给上述代理，同时将(g,h)以及公钥E_id(d＝1,2,…,k-1)发给商户M；2)k-1个代理对账单进行验证，证实签名合法后，根据商户M计算需要支付的电子货币的数量，上述代理将(s_ij,t_ij)秘密传送给商户；3)商户M收到上述代理发来的(s_ij,t_ij)后，经验证有效后，将该有效的信息发送至主代理；4)主代理确认商户M发来的信息合法后，将自己持有的(s_ij,t_ij)连同应当支付的电子货币交给可信的第三方T，同时，商户M向第三方T传送自己持有的(s_ij,t_ij)；5)第三方T证实(s_ij,t_ij)有效后，返回确认信息；6)商户M得到私钥s_i后，解密电子货币并将该电子货币交付至银行。

本发明具有以下的显著技术效果：

上述方法在基于可验证秘密分享的基础上，进一步地弱化移动代理协议的限制条件，克服移动代理协议在实际应用中的局限性，保证了移动代理协议能具有合适运行效率的同时，提高了移动支付系统的安全性和便捷性，与已有的移动支付协议相比较，很好的克服了移动安全支付中的限制条件。

附图说明

图1为可验证秘密分享的移动代理安全支付方法的较为详细的流程示意图。

图2为可验证秘密分享的移动代理安全支付方法的另一种大致流程示意图。

具体实施方式

下面结合实施例对本发明作进一步的详细描述。

实施例1

首先，本实施例所记载的方法采用以下的符号进行标识：商户M，接收电子货币已完成交易。最小电子货币单位C₀，电子货币面额值C_i＝2ⁱC₀。e_s(m)表示用私钥s_i加密消息m，可选地，所述私钥s_i可以为采用对称密钥加密算法得到的对称密钥s。d_s(g)表示用私钥s_i解密消息g，同样地，该处采用对称密钥s亦可。E_x(m)表示用公钥对消息m进行的对称或者非对称加密。S_x(m)表示用密钥对消息m进行的签字。H(o)表示单向抗碰撞的Hash函数，L表示主代理，T表示可信的部分或者全部第三方机构。

一种可验证秘密分享的移动代理安全支付方法，如图1、2所示，包括以下具体步骤：包括一至少包含一个公钥的公钥组以及一至少包含一个私钥s_i(i＝0,1,…,n，下同)的私钥组。

所述公钥以及私钥s_i均由同一域Z_q随机挑选生成；

所述公钥包括由分发者D进行第一次分发的公钥E_i0＝E(s_ij,t_ij)以及由分发者D进行第二次分发的公钥E_id＝E(f_id,G_id)；

所述公钥E_i0以及公钥E_id分别由私钥s_i以及t_i∈Z_q共同生成，其中Z_q表示一个包括一组数字的域，特别地，在一般的情况下，Z_q为一个q阶群，群内所包含的数据由生成者，通常是分发者D随机选取的数值的集合，作为优选的方案，Z_q内数据的值与大素数相关，至少为大素数的若干倍，本领域的技术人员可以做出相关的调整。

所述公钥其中，g、h均为G_p的生成元，G_p为的唯一q阶子群，p、q为大素数，且q|(p-1)，为Z_q的排除0的一个子群，j＝0,1,…,n，下同，t_ij∈Z_q。

所述公钥其中，F_id为多项式F_i(x)＝s₁+F_i1x+…+F_i(k-1)x^k-1的系数，d＝1,2,…,k-1，下同，G_id∈Z_q，g、h均为G_p的生成元，G_p为的唯一q阶子群，p、q为大素数，且q|(p-1)，为Z_q的排除0的一个子群。

令所述私钥s_i＝F_i(j)，并由上述多项式F_i(x)计算并得到具体私钥s_i，并进行对公钥E_id的公布。

还包括以下具体步骤：分发步骤I100：分发者D针对私钥s_i分发公钥E_i0，并随机挑选t_ij以用于生成公钥E_i0；

分发步骤II200：随机挑选F_id并生成多项式F_i(x)，并由s_i＝F_i(j)得到私钥s_i，同时随机选取G_id，计算并分发公钥E_id；

生成步骤300：令G_i(x)＝t₁+G_i1x+…+G_i(k-1)x^k-1，t_ij＝G_i(j)，将分发者D将(s_ij,t_ij)以不公开的方式分发给使用者H_j。

还包括以下具体步骤：

验证步骤400：使用者H_j得到(s_ij,t_ij)后，通过计算验证得到的(s_ij,t_ij)是否有效。具体地：

$\begin{array}{c}E(s_{\mathrm{ij}},t_{\mathrm{ij}})=g^{s_{\mathrm{ij}}}{h}^{t_{\mathrm{ij}}}=g^{F_i\left(j\right)}{h}^{G_i\left(j\right)}=g^{s_i+F_{i1}j+...+F_{i(k-1)}{j}^{k-1}}{h}^{t_i+G_{i1}j+...+G_{i(k-1)}{j}^{k-1}}\\ =\left(g^{s_i}{h}^{t_i}\right){\left(g^{F_{i1}}{h}^{G_{i1}}\right)}^j...\left(g^{F_{i(k-1)}}{h}^{G_{i(k-1)}}\right){j^{k-1}}^{}=\underset{d=0}{\overset{k-1}{\mathrm{\Π}}}{E}_{\mathrm{id}}^{\mathrm{jd}}\end{array}$

进一步地，还包括恢复步骤()；对于任意k个正确的(s_ij,t_ij)，可以求出以验证器安全性。该算法的安全性包括：1)若再协议中，分发者是诚实的，则诚实的持有的份额的参与者可以用拉格朗日多项式插值法，得到一个唯一的k-1次多项式。2)在有恶意参与者存在的情况下，份额集合的任何包含k个正确份额的子集都可用来正确的恢复出秘密，因为其能为秘密恢复阶段提供每一份额的正确性信息。3)在协议中，得到的信息独立于所分享的秘密，因此所分享的秘密是无条件安全的。

此外，还包括协议假设步骤()：1)最多只允许k-1个主机和商户共谋窃取代理的电子货币。2)可信度较低的第三方T，可以单独窃取代理的电子货币，也可以与至多k-1个主机共谋，但是不能与商户m共谋。

进一步地，在上述实施例的基础上还包括以下步骤，但对于本领域的技术人员而言，下述步骤也可以单独存在并被实施：

初始步骤500：由使用者H_j创建至少一个移动代理，每个移动代理分别持有不同的私钥s_i以及t_ij，用户创建的n个移动代理，每个代理a_j携带由不同秘钥s_j加密的电子货币，以及对秘钥s_j进行拆分后，移动代理所分享的秘密份额s_ij,t_ij。因此第j,j＝0,1,…,n移动代理携带的信息为 $\{E_T\left({e_S}_i\left(c_i\right)\right),(g,h),(s_{\mathrm{ij}},t_{\mathrm{ij}}),E_{\mathrm{id}},H(s_{\mathrm{ij}},t_{\mathrm{ij}}),i=\mathrm{0,1},...,l-1,d=\mathrm{1,2},...,k-1\},$ 其中l以及k均表示可选的自然数范围，用户将(g,h)以及E_id,d＝1,2,…,k-1发送至T。

进一步地，还包括以下具体步骤：

支付步骤600：当n个移动代理中的一个代理开始支付时，该代理此时就成为主代理L，商户给主代理出示的账单为P＝S_M(U,L,M,G,m)，其中U是交易的唯一标识符；G是对商品的描述；m为商品交易的金额。

具体的步骤包括：

1)主代理选取k-1个代理，将账单分别发给上述代理，同时将(g,h)以及公钥E_id(d＝1,2,…,k-1)发给商户M，其中，L→k-1个移动代理：L,(s_iL,t_iL),M,P,i＝0,1,…,l-j，L→M:E_M((g,h),E_id),d＝1,2,…,k-1。

2)k-1个代理对账单进行验证，证实签名合法后，根据商户M计算需要支付的电子货币的数量为c_i(∑_ic_i＝m)，上述k-1个代理将(s_ij,t_ij)秘密传送给商户a_j→M:E_M(U,(s_i,t_ij))，其中，(s_ij,t_ij)为分享的加密c_i的密钥秘密份额。

3)商户M收到上述代理发来的(s_ij,t_ij)后，经验证有效后，将该有效的信息发送至主代理M→L:S_M(U,M,L,所有的(s_ij,t_ij))；

4)主代理确认商户M发来的信息合法后，将自己持有的(S_ij,t_ij)连同应当支付的电子货币交给可信的第三方T，L→T:E_T(U,L,M)，同时，商户M向第三方T传送自己持有的(s_ij,t_ij)，具体地：M→T:E_T(U,L,M)；

5)第三方T证实(s_ij,t_ij)有效后，可以先执行返回确认信息，将该确认信息至少发送至商户M和主代理： $T\→M:S_T\left(E_M(U,L,M\left({e_s}_i\left(c_i\right)\right),(s_{\mathrm{iL}},t_{\mathrm{iL}}))\right),$ T→L:S_T(U,L,M,H(s_iL,t_iL))；

6)商户M得到私钥s_i后，商户M可能得到不止一个私钥s_i，解密电子货币，具体地，并将该电子货币交付至银行，并存储到自己的账户中，从而结束并完成交易。

总之，以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所作的均等变化与修饰，皆应属本发明专利的涵盖范围。

Claims (8)

1.一种可验证秘密分享的移动代理安全支付方法，其特征在于，包括以下具体

步骤：包括一至少包含一个公钥的公钥组以及一至少包含一个私钥

s_i(i＝0,1,…,n)的私钥组；

所述公钥以及私钥均由同一域Z_q随机挑选生成；

所述公钥包括由分发者D进行第一次分发的公钥E_i0＝E(s_ij,t_ij)以及由分发者D进行第二次分发的公钥E_id＝E(F_id,G_id)；

所述公钥E_i0以及公钥E_id分别由私钥s_i以及t_i∈Z_q共同生成，其中Z_q表示一个包括一组数字的域。

2.根据权利要求1所述的可验证秘密分享的移动代理安全支付方法，其特征在于，所述公钥其中，g、h均为G_p的生成元，G_p为的唯一q阶子群，p、q为大素数，且q|(p-1)，为Z_q的排除0的一个子群，h＝0,1,…,n，t_ij∈Z_q。

3.根据权利要求1所述的可验证秘密分享的移动代理安全支付方法，其特征在于，所述公钥其中，F_id为多项式F_i(x)＝s₁+F_i1x+…+F_i(k-1)x^k-1的系数，d＝1,2,…,k-1，G_id∈Z_q，g、h均为G_p的生成元，G_p为的唯一q阶子群，p、q为大素数，且q|(p-1)，为Z_q的排除0的一个子群。

4.根据权利要求3所述的可验证秘密分享的移动代理安全支付方法，其特征在于，令所述私钥s_i＝F_i(j)。

5.根据权利要求1所述的可验证秘密分享的移动代理安全支付方法，其特征在于，还包括以下具体步骤：分发步骤I(100)：分发者D针对私钥s_i分发公钥E_i0，并随机挑选t_ij以用于生成公钥E_i0；

分发步骤II(200)：随机挑选F_id并生成多项式F_i(x)，并由s_i＝F_i(j)得到私钥s_i，同时随机选取G_id，计算并分发公钥E_id；

生成步骤(300)：令G_i(x)＝t₁+G_i1x+…+G_i(k-1)x^k-1，t_ij＝G_i(j)，将分发者D将(s_ij,t_ij)以不公开的方式分发给使用者H_j。

6.根据权利要求5所述的可验证秘密分享的移动代理安全支付方法，其特征在于，还包括以下具体步骤：

验证步骤(400)：使用者H_j得到(s_ij,t_ij)后，通过计算验证得到的(s_ij,t_ij)是否有效。

7.根据权利要求5所述的可验证秘密分享的移动代理安全支付方法，其特征在于，还包括以下步骤：

初始步骤(500)：由使用者H_j创建至少一个移动代理，每个移动代理分别持有不同的私钥s_i以及t_ij。

8.根据权利要求5所述的可验证秘密分享的移动代理安全支付方法，其特征在于，海报哭以下具体步骤：

支付步骤(600)：1)主代理选取k-1个代理，将账单分别发给上述代理，同时将(g,h)以及公钥E_id(d＝1,2,…,k-1)发给商户M；2)k-1个代理对账单进行验证，证实签名合法后，根据商户M计算需要支付的电子货币的数量，上述代理将(s_ij,t_ij)秘密传送给商户；3)商户M收到上述代理发来的(s_ij,t_ij)后，经验证有效后，将该有效的信息发送至主代理；4)主代理确认商户M发来的信息合法后，将自己持有的(s_ij,t_ij)连同应当支付的电子货币交给可信的第三方T，同时，商户M向第三方T传送自己持有的(s_ij,t_ij)；5)第三方T证实(s_ij,t_ij)有效后，返回确认信息；6)商户M得到私钥s_i后，解密电子货币并将该电子货币交付至银行。