CN109886663B - 基于链表结构的可分电子现金构造方法 - Google Patents

Abstract

本发明公开了一种基于链表结构的可分电子现金构造方法，在本发明中，对于交易金额在链表长度L以下的交易，用于执行支付协议的运算量为常数，与支付金额无关，即用户只需要2次杂凑运算、3次循环群上的指数运算、1次签名运算、3次循环群上的指数等式的零知识证明和2次数字签名等式的零知识证明即可，提高了支付效率；此外，商户存储一个电子现金的计算量为常数，与电子现金的金额无关，即商户存储电子现金时，银行仅需进行4次对运算就可返回结果给商户，并告知商户存储是否成功，提高了进行电子现金存储的效率。

Description

基于链表结构的可分电子现金构造方法

技术领域

本发明涉及信息安全技术领域，特别是涉及一种基于链表结构的可分电子现金构造方法。

背景技术

可分电子现金一般涉及三个实体，即银行、用户和商户。可分电子系统允许用户从银行购买电子现金，然后分多次支付给商户，并能够为用户提供匿名性保护，以及实现对双花用户的身份追踪，同时还具有可分性，使用非常方便。

然而，现有的可分电子现金系统仅允许用户购买单个的电子现金，然后分多次使用。虽然这种电子现金在支付协议中能够满足任何额度的支付，但是可能需要较多的支付次数，且存储的时间较长，从而导致支付与存储效率的降低。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于链表结构的可分电子现金构造方法。

本发明的目的是通过以下技术方案来实现的：基于链表结构的可分电子现金构造方法，包括：

S1.设置电子现金系统的公共参数，具体包括：

定义S₀是由L个连续的正整数组成的集合，正整数s₁是集合S₀中的最小数，正整数s_L是集合S₀中的最大数；集合SH_i＝{s_i+1,s_i+2,···,s_L}，其中，s_i+1＝s_i+1，

集合SQ_i＝{s₁,s₂,···,s_i-1}，其中，

链表的每个节点都由集合S₀中的一个正整数s_i(1≤i≤L)标识；

定义G₁,G₂,G_T是阶为素数p的循环群，e为一个双线性映射且满足e(G₁,G₂)→G_T；{G₁,G₂,G_T,e}为一个双线性群，g,h,u₁,u₂,w为G₁的生成元，

为G₂的生成元，

为G_T的生成元；

一个可信第三方生成以下参数：对每一个正整数s∈S₀，随机选择

为整数集{1,2,…,(p-1)}，且

对每一个s_i∈S₀\{s₁}和s_j∈SQ_i，

其中，

表示从节点s_i到s_j；对每一个s_i∈S₀\{s_L}和s_j∈SH_i，

选定两个防碰撞的杂凑函数：

和

系统公共参数为

S2.生成密钥，具体包括生成银行密钥、用户密钥和商户密钥；

生成银行密钥：银行选择两个不同的签名算法Σ₀和Σ₁，Σ₀＝(Keygen,Sign,Verify)，消息空间为

Σ₁＝(Keygen,Sign,Verify)，消息空间为

银行设置密钥(sk₁,pk₁)←Σ₁.Keygen(1^k)，并为链表的第i个节点设置

1≤i≤L，对于每一个s_i∈S₀，计算

将银行私钥bsk设置为sk₁，银行公钥bpk设置为

生成用户密钥：用户随机选择

作为其私钥，计算其公钥upk＝g^usk；

生成商户密钥：商户随机选择

作为其私钥，计算其公钥mpk＝g^msk；

S3.电子现金交易，具体包括取款、支付和存钱中的至少一种；

取款：用户随机选择

并计算

然后将

以及关于x,y,usk的零知识证明发送给银行，称该零知识证明为第一零知识证明，如果

是未被使用过的，且第一零知识证明有效，则银行使用签名算法Σ₁对

中的usk,x,y进行签名得到签名σ，并将签名σ发送给用户，这里x,y为用户的秘密值，用户设C←(x,y,σ)，当前指针指向节点s₁；

支付：用户要使用的节点包括s_c,s_c+1,…,s_c+l-1，记i＝c+l-1，s_c为当前指针标记的节点，在电子现金初次支付时，s_c为s₁，l为要支付的电子现金的价值，用户计算r＝H(info)，

其中，info＝(l,date,mpk,trans)，date为支付时间，trans包含交易的商品的规格参数，用户提供一个知道

σ的零知识证明，称该零知识证明为第二零知识证明，所述第二零知识证明满足以下关系式：

将签名σ分成(z₁,z₂,z₃,z₄,)，选择随机数

计算

用户选择随机数

计算

和z＝k+C·x，记

Π＝(σ′,C,z)，其中，

用户将电子现金(l,Z,Π)发送给商户，商户收到电子现金(l,Z,Π)后，验证签名σ′和第二零知识证明的有效性，若二者都有效，则此次支付成功，当前指针指向节点s_i+1；

存钱：银行维护一个数据库DB用来存放商户的存款，数据库DB初始时为空；商户将(l,Z,Π)发给银行进行存储，银行首先检查Z是否已经被存储过，并验证(l,Z,Π)的有效性，如果Z已经被存储过且(l,Z,Π)是无效的，则银行退出协议；

如果Z未被存储过且(l,Z,Π)是有效的，银行首先计算

和

检查

是否已经存储到数据库DB上，若都没有存储到数据库DB上，则银行接受此次存款，返回结果给商户，商户完成存款；对于每一个s_j∈{s_c,s_c+1,…,s_i-1}，银行计算

对于每一个s_j∈{s_c+1,s_c+2,…,s_i}，银行计算

银行将

添加到数据库DB上，所述

为电子现金序列号，同时保存(l,Z,Π)；

若

有一个在已经存在数据库DB中，那么存在一个电子现金(l′,Z′,Π′)在数据库DB中，电子现金(l′,Z′,Π′)使用了节点s_c或s_i，j∈{c,c+1,…,i}相等，银行返回[(l,Z,Π),(l′,Z′,Π′)]给商户。

优选的，所述可分电子现金构造方法还包括双花识别：

输入[(l,Z,Π),(l′,Z′,Π′)]；

验证(l,Z,Π)和(l′,Z′,Π′)的有效性，若(l,Z,Π)和(l′,Z′,Π′)中任意一个无效，则返回⊥给银行，

表示失败；若(l,Z,Π)和(l′,Z′,Π′)均有效，且Z和Z′分别包含

和

对于k∈{1,2}，对于每一个节点

计算列表

若列表

和列表

中没有相同的元素，返回

若列表

和列表

中有相同的元素，则存在

使得

及

若某个用户的公钥upk使公式

成立，则该用户为双花用户。

本发明的有益效果是：

(1)本发明中，对于交易金额在链表长度L以下的交易，用于执行支付协议的运算量为常数，与支付金额无关，即用户只需要2次杂凑运算、3次循环群上的指数运算、1次签名运算、3次循环群上的指数等式的零知识证明和2次数字签名等式的零知识证明即可，提高了支付效率；

(2)本发明中，商户存储一个电子现金的计算量为常数，与电子现金的金额无关，即商户存储电子现金时，银行仅需进行4次对运算就可返回结果给商户，并告知商户存储是否成功，提高了进行电子现金存储的效率。

附图说明

图1为本发明的一种流程示意图。

具体实施方式

下面将结合实施例，对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有付出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

参阅图1，本发明提供一种基于链表结构的可分电子现金构造方法：

所述基于链表结构的可分电子现金构造方法包括：

S1.设置电子现金系统的公共参数。

所述步骤S1具体包括：

S11.定义S₀是由L个连续的正整数组成的集合，正整数s₁是集合S₀中的最小数，正整数s_L是集合S₀中的最大数；集合SH_i＝{s_i+1,s_i+2,···,s_L}，其中，s_i+1＝s_i+1，

集合SQ_i＝{s₁,s₂,···,s_i-1}，其中，

链表的每个节点都由集合S₀中的一个正整数s_i(1≤i≤L)标识。

S12.定义G₁,G₂,G_T是阶为素数p的循环群，e为一个双线性映射且满足e(G₁,G₂)→G_T，符号→表示映射；{G₁,G₂,G_T,e}为一个双线性群，g,h,u₁,u₂,w为G₁的生成元，

为G₂的生成元，

为G_T的生成元。

S13.一个可信第三方生成以下参数：对每一个正整数s∈S₀，随机选择

为整数集{1,2,…,(p-1)}，且

对每一个s_i∈S₀\{s₁}和s_j∈SQ_i，

其中，符号\表示去掉，符号

表示从...到...,

表示从节点s_i到s_j；对每一个s_i∈S₀\{s_L}和s_j∈SH_i，

S14.选定两个防碰撞的杂凑函数：

和

系统公共参数为

S2.生成密钥，所述密钥包括银行密钥、用户密钥和商户密钥。

所述步骤S2具体包括：

S21.生成银行密钥：

S211.银行选择两个不同的签名算法Σ₀和Σ₁，Σ₀＝(Keygen,Sign,Verify)，消息空间为

Σ₁＝(Keygen,Sign,Verify)，消息空间为

签名算法Σ₀为a.Masayuki Abe,Jens Groth,Kristiyan Haralambiev,与MiyakoOhkubo在Crypto-2011上发布的基于非对称双线性群的结构保护型签名算法；签名算法Σ₁为b.Jan Camenisch与Anna Lysyanskaya在Cryopto-2004上发布的签名算法，签名者不需要知道签名消息。

S212.银行设置密钥(sk₁,pk₁)←Σ₁.Keygen(1^k)，并为链表的第i个节点设置

1≤i≤L，对于每一个s_i∈S₀，计算

S213.将银行私钥bsk设置为sk₁，银行公钥bpk设置为

这里符号←表示生成；

S22.生成用户密钥：用户随机选择

作为其私钥，计算其公钥upk＝g^usk。

S23.生成商户密钥：商户随机选择

作为其私钥，计算其公钥mpk＝g^msk。

S3.电子现金交易，所述电子现金交易包括取款、支付和存钱中的至少一种；

所述步骤S3具体包括：

S31.取款：

S311.用户随机选择

并计算

S312.用户将

以及第一零知识证明发送给银行，所述第一零知识证明为关于x,y,usk的零知识证明。第一零知识证明可采用Schnorr在Crypto-89年提出的交互式方法。

S313.如果

是未被使用过的，且第一零知识证明有效，则银行使用签名算法Σ₁对

中的usk,x,y进行签名得到签名σ，这里x,y为用户的秘密值，并将签名σ发送给用户，当前指针指向节点s₁。

S32.支付：

S321.用户要使用的节点包括s_c,s_c+1,…,s_c+l-1，记i＝c+l-1，s_c为当前指针标记的节点，在电子现金初次支付时，s_c为s₁，l为要支付的电子现金的价值。

S322.用户计算r＝H(info)，

其中，info＝(l,date,mpk,trans)，date为支付时间，trans包含交易的商品的规格参数。

S323.用户提供一个知道usk,x,y,g_si,h_si,τ_si,σ的零知识证明，称该零知识证明为第二零知识证明，所述第二零知识证明满足以下关系式：

符号^表示并且。

S324.将签名σ分成(z₁,z₂,z₃,z₄,)，选择随机数

计算

S325.用户选择随机数

计算

和z＝k+C·x，记

Π＝(σ′,C,z)，其中，

S326.用户将电子现金(l,Z,Π)发送给商户，商户收到电子现金(l,Z,Π)后，验证签名σ′和第二零知识证明的有效性，若二者都有效，则此次支付成功，当前指针指向节点s_i+1。

S33.存钱：

S331.银行维护一个数据库DB用来存放商户的存款，数据库DB初始时为空。

S332.商户将(l,Z,Π)发给银行进行存储，银行首先检查Z是否已经被存储过，并验证(l,Z,Π)的有效性，该有效性指σ′和第二零知识证明的有效性，如果Z已经被存储过且(l,Z,Π)是无效的，则银行退出协议。

S333.如果Z未被存储过且(l,Z,Π)是有效的，银行首先计算

和

检查

是否已经存储到数据库DB上，若都没有存储到数据库DB上，则银行接受此次存款，返回结果给商户，商户完成存款。对于每一个s_j∈{s_c,s_c+1,…,s_i-1}，银行计算

对于每一个s_j∈{s_c+1,s_c+2,…,s_i}，银行计算

银行将

添加到数据库DB上，所述

为电子现金序列号，同时保存(l,Z,Π)。

S334.若

有一个在已经存在数据库DB中，那么存在一个电子现金(l′,Z′,Π′)在数据库DB中，电子现金(l′,Z′,Π′)使用了节点s_c或s_i，银行返回[(l,Z,Π),(l′,Z′,Π′)]给商户。

所述可分电子现金构造方法还包括：S4.双花识别。

所述步骤S4包括：

S41.输入[(l,Z,Π),(l′,Z′,Π′)]。

S42.验证(l,Z,Π)和(l′,Z′,Π′)的有效性，若(l,Z,Π)和(l′,Z′,Π′)中任意一个无效，则返回

给银行，

表示失败；若(l,Z,Π)和(l′,Z′,Π′)均有效，且Z和Z′分别包含

和

对于k∈{1,2}，对于每一个节点

计算列表

S43.若列表

和列表

中没有相同的元素，返回

若列表

和列表

中有相同的元素，则存在

使得

及

S44.若某个用户的公钥upk使公式

成立，则该用户为双花用户。

以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。

Claims (2)

1.基于链表结构的可分电子现金构造方法，其特征在于，包括：

S1.设置电子现金系统的公共参数，具体包括：

定义S₀是由L个连续的正整数组成的集合，正整数s₁是集合S₀中的最小数，正整数s_L是集合S₀中的最大数；集合SH_i＝{s_i+1,s_i+2,···,s_L}，其中，s_i+1＝s_i+1，

集合SQ_i＝{s₁,s₂,···,s_i-1}，其中，

链表的每个节点都由集合S₀中的一个正整数s_i(1≤i≤L)标识；

定义G₁,G₂,G_T是阶为素数p的循环群，e为一个双线性映射且满足e(G₁,G₂)→G_T；{G₁,G₂,G_T,e}为一个双线性群，g,h,u₁,u₂,w为G₁的生成元，

为G₂的生成元，

为G_T的生成元；

一个可信第三方生成以下参数：对每一个正整数s∈S₀，随机选择r_s,

为整数集{1,2,…,(p-1)}，且

对每一个s_i∈S₀\{s₁}和s_j∈SQ_i，

其中，

表示从节点s_i到s_j；对每一个s_i∈S₀\{s_L}和s_j∈SH_i，

选定两个防碰撞的杂凑函数：H:

和

系统公共参数为

S2.生成密钥，具体包括生成银行密钥、用户密钥和商户密钥；

生成银行密钥：银行选择两个不同的签名算法Σ₀和Σ₁，Σ₀＝(Keygen,Sign,Verify)，消息空间为

Σ₁＝(Keygen,Sign,Verify)，消息空间为

银行设置密钥(sk₁,pk₁)←Σ₁.Keygen(1^k)，并为链表的第i个节点设置

1≤i≤L，对于每一个s_i∈S₀，计算

将银行私钥bsk设置为sk₁，银行公钥bpk设置为

生成用户密钥：用户随机选择

作为其私钥，计算其公钥upk＝g^usk；

生成商户密钥：商户随机选择

作为其私钥，计算其公钥mpk＝g^msk；

S3.电子现金交易，具体包括取款、支付和存钱中的至少一种；

取款：用户随机选择x,

并计算

然后将upk,

以及关于x,y,usk的零知识证明发送给银行，称该零知识证明为第一零知识证明，如果

是未被使用过的，且第一零知识证明有效，则银行使用签名算法Σ₁对

中的usk,x,y进行签名得到签名σ，这里x,y为用户的秘密值，并将签名σ发送给用户，当前指针指向节点s₁；

支付：用户要使用的节点包括s_c,s_c+1,…,s_c+l-1，记i＝c+l-1，s_c为当前指针标记的节点，在电子现金初次支付时，s_c为s₁，l为要支付的电子现金的价值，用户计算r＝H(info)，

其中，info＝(l,date,mpk,trans)，date为支付时间，trans包含交易的商品的规格参数，用户提供一个知道usk,x,y,

σ的零知识证明，称该零知识证明为第二零知识证明，所述第二零知识证明满足以下关系式：

将签名σ分成(z₁,z₂,z₃,z₄,)，选择随机数

计算

用户选择随机数

计算

和z＝k+C·x，记

Π＝(σ′,C,z)，其中，

用户将电子现金(l,Z,Π)发送给商户，商户收到电子现金(l,Z,Π)后，验证签名σ′和第二零知识证明的有效性，若二者都有效，则此次支付成功，当前指针指向节点s_i+1；

存钱：银行维护一个数据库DB用来存放商户的存款，数据库DB初始时为空；商户将(l,Z,Π)发给银行进行存储，银行首先检查Z是否已经被存储过，并验证(l,Z,Π)的有效性，该有效性指σ′和第二零知识证明的有效性，如果Z已经被存储过且(l,Z,Π)是无效的，则银行退出协议；

如果Z未被存储过且(l,Z,Π)是有效的，银行首先计算

和

检查

是否已经存储到数据库DB上，若都没有存储到数据库DB上，则银行接受此次存款，返回结果给商户，商户完成存款；对于每一个s_j∈{s_c,s_c+1,…,s_i-1}，银行计算

对于每一个s_j∈{s_c+1,s_c+2,…,s_i}，银行计算

银行将

c≤j≤i，添加到数据库DB上，所述

c≤j≤i为电子现金序列号，同时保存(l,Z,Π)；

若

有一个在已经存在数据库DB中，那么存在一个电子现金(l′,Z′,Π′)在数据库DB中，电子现金(l′,Z′,Π′)使用了节点s_c或s_i，银行返回[(l,Z,Π),(l′,Z′,Π′)]给商户。

2.根据权利要求1所述的基于链表结构的可分电子现金构造方法，其特征在于，所述可分电子现金构造方法还包括双花识别：

输入[(l,Z,Π),(l′,Z′,Π′)]；

验证(l,Z,Π)和(l′,Z′,Π′)的有效性，若(l,Z,Π)和(l′,Z′,Π′)中任意一个无效，则返回⊥给银行，⊥表示失败；若(l,Z,Π)和(l′,Z′,Π′)均有效，且Z和Z′分别包含

和

对于k∈{1,2}，对于每一个节点

计算列表

若列表

和列表

中没有相同的元素，返回⊥；若列表

和列表

中有相同的元素，则存在

使得

及

若某个用户的公钥upk使公式

成立，则该用户为双花用户。

Images