CN114202812B

CN114202812B - 基于可更新匿名凭证的车联网匿名支付系统

Info

Publication number: CN114202812B
Application number: CN202111539300.3A
Authority: CN
Inventors: 杨旸; 薛文溢
Original assignee: Fuzhou University
Current assignee: Fuzhou University
Priority date: 2021-12-16
Filing date: 2021-12-16
Publication date: 2023-10-10
Anticipated expiration: 2041-12-16
Also published as: CN114202812A

Abstract

本发明涉及一种基于可更新匿名凭证的车联网匿名支付系统。该系统针对车联网自动化停车中的隐私认证与匿名支付问题，提出了一个高效的匿名停车支付系统，利用基于属性的可更新匿名凭证和零知识证明实现恒定高效的匿名停车费支付。为了进一步提高效率，本发明设计了基于线性同态加密的安全停车费聚合协议，该协议隐藏了每笔停车交易的金额，并保证了停车场在费用收益方面的私密性。此外，本发明实现了可审计匿名性，支持系统对恶意用户追踪并问责。

Description

基于可更新匿名凭证的车联网匿名支付系统

技术领域

本发明涉及一种基于可更新匿名凭证的车联网匿名支付系统。

背景技术

随着物联网和人工智能技术的发展，停车管理的数字化、自动化和智能化程度也与日俱增。智能停车是一种新兴的停车范式，涉及传感器、无线通信、GPS定位和人工智能等多个交叉领域。据市场调查显示，停车行业的市场规模正以14％的复合年增长率增长，并预计于2023年达到38亿美元。高速发展的停车技术有效地整合了车位配置、导航和车辆管理功能，最大限度地利用了停车资源，大幅提高了停车效率，也使停车场利润得到了可观的增长。

在为城市生活带来了诸多便利的同时，停车管理的自动化、智能化也为私家车辆(及其驾驶员)带来了隐私和安全隐患。近日，弗吉尼亚州亚历山大市的数百万司机就面临着个人信息泄露的风险，这就是由于所使用的停车应用程序ParkMobile遭到网络入侵所导致的。由于系统漏洞、信道窃听和管理不善等原因，司机的个人信息(如电话号码、电子邮件、车牌号码、停车记录和车辆描述等)容易遭到泄露并用于非法用途。此外，现有停车场通常依赖第三方支付平台(如支付宝、微信等)收取停车费。骇入上述平台的黑客可以收集司机的个人信息，链接停车账单和支付记录，并尝试分析司机的行为和轨迹。采用这些传统支付方式的司机面临着个人数据失窃和被滥用的风险。在自动化停车系统中引入匿名性是保护驾驶员隐私的有效手段。通过将司机的停车、付款记录与其个人标识相分离，不仅可以对司机的隐私进行有效保护，也能大幅降低数据泄露所带来的风险。

除了匿名性要求外，停车支付的效率和灵活性也是一个隐私保护的停车系统应当重点考量的环节。现有的许多匿名停车支付系统采用基于盲签名的匿名货币实现交易。具体来说，每一枚匿名货币的生成和验证都需要恒定的计算开销，支付的总开销会随着所使用的硬币货币的增加而线性增长。此外，上述解决方案也存在灵活性问题。例如，假设一枚货币价值10元，由于货币是不可分割的基本支付单位，停车场难以进行促销活动(例如费用打八折)或适当的价格调整(将停车费降低1元)。还有一些研究使用基于区块链的加密货币完成支付。例如，部分解决方案构建于以太坊区块链中，利用以太币支付停车费。虽然这样的支付是高效恒定的，但是支付者的地址会被记录在以太坊中，因此可以通过比较支付者的地址而链接并追踪司机的停车记录。

传统匿名停车方案往往只关注司机的隐私，而对停车场的隐私保护也是很有必要的。具体来说，停车场收取的每一笔停车费都需要保密。通过分析停车场的实时收入，商业竞争对手可以推断停车场的优惠策略，进而采取有针对性的竞争措施。在传统的数字支付应用中，具体的停车收入是向第三方支付平台公开的。如果这些平台中存储的数据被泄露，停车场收入的隐私将得不到保证。基于区块链的匿名停车支付方案通常将每笔付款的具体金额被记录在区块链上，以防止重复消费和透支，因而也不满足这一需求。因此，有必要一种安全的停车费聚合方式以保护停车场的收入隐私。

发明内容

本发明的目的在于提供一种基于可更新匿名凭证的车联网匿名支付系统，首先，本发明利用可更新匿名凭证设计了一种高效的匿名支付方法，其支付过程中的开销是固定的，开销独立于每次支付的金额；本发明通过更新凭证的属性实现了支付的匿名性，在保证支付匿名且不可链接的同时，比现有解决方案更加高效；为了保护停车场的隐私性，本发明采用线性同态加密实现停车费用的安全聚合；本发明也实现了可审计匿名性，恶意司机的匿名性可以被仲裁器有效地撤销。

为实现上述目的，本发明的技术方案是：一种基于可更新匿名凭证的车联网匿名支付系统，包括：

证书颁发者端负责为完成注册的司机颁发匿名凭证，为司机端/>的停车卡充值，从停车卡中扣除停车费用，并向停车场端/>支付聚合后的停车费，当发现任何司机实施恶意行为时，/>会在仲裁者端/>的监督下公开恶意司机的真实身份；

停车场端为匿名司机提供停车服务并收取停车费用，/>会验证/>的匿名凭证，确保/>的停车卡余额充足，并向其索要预付款收据；通过与/>交互，/>可以汇总预付款收据向/>收取总停车费用；

司机端向/>注册并获取匿名凭证，通过与/>交互，/>可以为停车卡充值；在停车阶段，/>与/>进行交互，预支付停车费并生成一个预付款收据；然后，/>与/>运行一个交互式协议，以从停车卡中扣除停车费；

仲裁者端是一个受信任的实体，负责监督/>对恶意司机的追踪，防止可审计性被滥用。

在本发明一实施例中，该系统实现方式如下：

(1)系统初始化：在系统初始化阶段，运行Setup算法生成系统公共参数；

(2)密钥生成：在密钥生成阶段，和/>生成各自的公私钥对；

(3)司机证书颁发：在使用停车服务前，应当向/>注册其身份标识符ID_dv和公钥PK_dv以成为一名合法用户；在此阶段，/>可以预先支付val作为存储于停车卡中的初始余额；

(4)停车卡充值：当停车卡余额不足时，与/>运行TopUp协议以进行充值，并更新/>匿名凭证中的余额；为保护司机的隐私，停车卡的充值是匿名且不可链接的；

(5)停车与预支付：当车辆离开停车场并结账时，根据收费政策计算/>应付的停车费chrg；然后，/>执行Pre-Payment协议为/>生成一个预付款收据；通过这一收据，/>可以在费用扣除阶段从/>的停车卡中扣除停车费用；

(6)停车费用扣除：在停车场进行预付费之后，应与/>交互更新匿名凭证cred_dv中的余额val和双花标识符dsid，否则在下一次停车时，/>将会由于进行了双花行为而被侦测；

(7)支付聚合：与/>会定期交互以安全聚合停车费用，/>会根据聚合结果向/>支付总停车费；此处采用线性同态加密技术防止/>知道每笔具体的停车费；

(8)司机追踪：如果发现恶意存在双花行为或涉嫌刑事犯罪，就需要从预付款收据中恢复出司机的真实身份。

相较于现有技术，本发明具有以下有益效果：

(1)高效停车支付：本发明提出了一种高效的匿名停车支付机制。本发明将司机的停车卡余额视作匿名凭证的属性，利用凭证属性更新协议实现停车费的高效支付，使得支付与充值可以在恒定时间内完成，避免了支付开销随停车费增加而线性增长所带来的计算负担。

(2)匿名且不可链接认证：本发明以属性匿名凭证为基础，在验证停车司机具有合法身份的同时，确保司机执行充值阶段、停车与预支付阶段、扣费阶段的过程是匿名且不可链接的。停车场与证书颁发者无法通过司机提交的请求判断出司机的真实身份，也无法通过链接不同的匿名凭证或与支付收据来链接同一个司机的不同停车记录。

(3)停车费安全聚合：本发明支持停车场安全聚合多笔交易，而不泄露每一笔交易的确切停车费用。本发明引入线性同态加密计算，允许停车场对具体停车费用加密并聚合。同时，零知识证明的使用也确保了停车场对协议的正确执行。

(4)快速双花检测和可审计匿名：本发明设计了一种高效的双花检测机制。首先，司机的匿名凭证中包含一个唯一的双花标识符，每当停车时司机进行预支付，都需要揭示该标识符。只有在后续阶段诚实执行扣费协议的司机才能更新双花标识符。如果司机企图逃避扣费，将会由于重复的标识符而被快速检测。同时，本发明还提供了可审计匿名性，双花司机的身份可以在仲裁者协助下被追踪。

(5)属性可更新：在本发明中，停车凭据是用属性向量参数化的(例如驾驶证号、驾驶年限、车辆类型、余额等)，当进行身份验证时，司机可以证明属性满足某些优惠政策而无需泄露其他信息(例如持有军官证或残疾人证)。本发明允许用户在属性发生变动时直接更新属性，而无需重新申请匿名凭证。属性更新过程是隐私保护的，证书颁发者仅能了解更新的正确执行，而无法得知更新前后的属性。

用途：

实现支付匿名性是车联网自动化停车应用的迫切需求。现有的匿名停车支付大多方案存在效率低下或灵活性不足的问题，单次支付所需的计算和通信成本会随着支付金额的增加而线性增加。本发明提出了一个基于可更新匿名凭证的高效匿名停车支付系统，实现了匿名且不可链接的车辆认证与高效的匿名支付。为了进一步提高效率与保护隐私，本发明基于线性同态加密与零知识证明构建了一个安全停车费聚合机制，隐藏了每笔停车交易的金额，并保证了停车场的收益隐私。本发明允许对实施双花行为或其他恶意行为的司机快速检测并问责，实现了有效的双花对策与可审计匿名。

附图说明

图1为本发明系统模型。

具体实施方式

下面结合附图，对本发明的技术方案进行具体说明。

本发明：一种基于可更新匿名凭证的车联网匿名支付系统，包括：

证书颁发者负责为完成注册的司机颁发匿名凭证，为司机端/>的停车卡充值，从停车卡中扣除停车费用，并向停车场端/>支付聚合后的停车费，当发现任何司机实施恶意行为时，/>会在仲裁者端/>的监督下公开恶意司机的真实身份；

该系统实现方式如下：

(2)密钥生成：在密钥生成阶段，和/>生成各自的公私钥对；

(5)停车与预支付：当车辆离开停车场并结账时，根据收费政策计算/>应付的停车费chrg；然后，/>执行Pre-Payment协议为/>生成一个预付款收据；通过这一收据，可以在费用扣除阶段从/>的停车卡中扣除停车费用；

以下为本发明具体实现过程。

1、本发明涉及部分符号变量说明如表1所示。

表1：符号变量

2、本发明系统中涉及如下算法。

1.Setup(1^λ)→pp.该算法由执行，以安全参数1^λ为输入，生成系统公共参数pp。

2.CI.KeyGen(pp)→(SK_ci,PK_ci).该算法由执行，以公共参数pp为输入，生成其公私钥对(SK_ci,PK_ci)。

3.PL.KeyGen(pp)→(SK_pl,PK_pl).该算法由执行，以公共参数pp为输入，生成其公私钥对(SK_pl,PK_pl)。

4.AR.KeyGen(pp)→(SK_ar,PK_ar).该算法由执行，以公共参数pp为输入，生成其公私钥对(SK_ar,PK_ar)。

5.DV.KeyGen(pp)→(SK_dv,PK_dv).该算法由执行，以公共参数pp为输入，生成其公私钥对(SK_dv,PK_dv)。

6.通过与/>交互运行此算法。/>以其私钥-公钥对(SK_dv,PK_dv)、身份标识符ID_dv和初始预支付余额val为输入；/>以其私钥-公钥对(SK_ci,PK_ci)为输入。交互返回/>一个匿名凭证cred_dv和一个双花标识符dsid。

7.通过与交互运行此算法。/>以其私钥SK_dv、匿名凭证cred_dv、双花标识符dsid、停车卡余额val和充值额inc为输入；/>以其私钥-公钥对(SK_ci,PK_ci)为输入。交互返回/>一个更新后的匿名凭证/>和一个充值后的余额val^*。

8. 通过与/>交互运行此算法。/>以其私钥SK_dv、/>的公钥PK_pl、/>的公钥PK_ar、匿名凭证cred_dv、双花标识符dsid、停车卡余额val和停车费chrg为输入；/>以其私钥-公钥对(SK_pl,PK_pl)为输入。交互返回/>一个预付款收据(T_dv,E_dv,C_dv)。

9.通过与/>交互运行此算法。/>以其私钥SK_dv、匿名凭证cred_dv、双花标识符dsid、停车卡余额val、停车费chrg和T_dv为输入；/>以其私钥-公钥对(SK_ci,PK_ci)为输入。交互返回/>一个更新后的匿名凭证/>一个更新后的双花标识符dsid^*和一个充值后的余额val^*。

10.通过与/>交互运行此算法。/>以其私钥-公钥对(SK_pl,PK_pl)、收集的预付款收据/>和对应的停车费用{chrg_i}_i∈I为输入；/>以其私钥-公钥对(SK_ci,PK_ci)为输入。交互结束后，支付聚合的停车费用Chrg＝∑_i∈Ichrg_i给/>

11.通过与/>交互运行此算法。/>以其私钥SK_ci和一个预付款收据(T_dv,E_dv,C_dv)为输入；/>以其私钥SK_ar为输入。交互将返回生成元组(T_dv,E_dv,C_dv)的恶意司机的真实身份标识符ID_dv。

3、本发明涉及其他相关算法：

1)、双线性群与假设

令为阶为素数p的乘法循环群。若以下三个性质成立，则e:/>为一个双线性映射：(1)双线性性：对所有/>和a,/>等式/>成立。(2)非退化性：对所有/>和/>(3)可计算性：/>可被高效计算。

假设1(LRSW假设)令为一个Type-III的双线性群。g和/>分别为群和/>的生成元。对一个给定的四元组/>(其中x,/>)，我们定义寓言机/>其对每个输入/>会随机选取/>输出三元组T＝(h,h^y,h^x ^+my)。若任何拥有访问寓言机/>权限的敌手/>都无法在未向寓言机查询m^*的前提下，输出同样形式的三元组/>则我们认为LRSW假设成立。

假设2(divisible decision Diffie-Hellman(DDDH)假设)给定四元组(g,g^a,g^b,r)，其中a,b,/>我们定义敌手在DDDH假设中的优势为其中λ为安全参数。如果优势/>是可忽略的，则我们认为DDDH假设成立。

2)、零知识证明

零知识证明(zero-knowledge proof，ZKP)是一种常用的密码学方法，通过这种方法，证明者能够向验证者证明某一语句是正确的，而不泄露任何冗余信息。具体来说，语言的知识证明(proofofknowledge，PoK)协议可表示为/>其中证明者P旨在保密见证w的同时，使验证者V相信见证w和公开陈述x之间满足关系R。若以下性质成立，则一个证明可被认为是零知识证明：

完备性(Completeness)。如果P知道满足关系(w,x)∈R的秘密见证w的知识，则V以不低于1-∈(x)的概率接受该证明，其中∈(x)是可忽略的。

稳健性(Soundness)。如果P是一个对满足关系(w,x)∈R的秘密见证w一无所知的作弊证明者，则V以不低于1-∈(x)的概率拒绝该证明，其中∈(x)是可忽略的。

辅助输入零知识(Auxiliary-input Zero-Knowledge)。对所有多项式时间验证者V，存在多项式时间模拟器M_V，使得分布与/>是不可区分的(其中y为V的辅助输入)。

3)、PS签名

PS签名是一个由Pointcheval和Sanders提出的可随机化短签名。该签名该具有与CL签名相同的特性，但是签名长度更短(仅两个群元素)，签名和验证的计算效率更高。本发明将PS签名作为匿名凭证的一个基本构建块。一个多消息PS盲签名方案由以下多项式时间算法组成：

Setup(1^λ)→pp:该算法以安全参数λ为输入，生成阶为p的Type-III双线性群和一个双线性映射e:/>设置/>

Keygen(pp,1ⁿ)→(sk,pk):签名者随机选取并保证/>成立。接着，签名者选取/>计算/>和算法输出sk＝X，/>

Commit(pp,pk,{m_i}_i∈[n])→cmt:用户选取计算承诺/>算法输出cmt并将其发送给签名者。

Sign(pp,pk,sk,cmt)→σ′:给定一个承诺cmt，签名者选取通过计算σ′＝(g^u,(X·cmt)^u)对承诺签名。

Unblind(pp,pk,σ′,{m_i}_i∈[n],t)→(σ/⊥):给定签名σ′，用户计算并校验等式/>如果等式成立，算法输出σ；否则，算法中断。

Verify(pp,pk,σ,{m_i}_i∈[n])→(1/0):验证者验证等式若等式成立，算法输出1；否则算法输出0。

4)、线性同态加密

线性同态加密(linear homomorphic encryption，LHE)是Elgamal加密的一种扩展。加密方案保留了加法同态性，即E(m₁)·E(m₂)＝E(m₁+m₂)。一个线性同态加密方案由下列算法构成。

Setup(1^λ)→pp:以安全参数λ为输入，算法选取阶为p的循环群G，输出公共参数pp＝(G,p)。

Keygen(pp)→(sk,pk):用户随机选取与x,/>计算X＝g^x,Y＝g^y。算法输出私钥sk＝(x,y)，公钥pk＝(g,X,Y)。

Enc(pp,pk,m)→c:对待加密的消息m，算法选取a,计算密文c＝(c₁,c₂,c₃)＝(X^a,Y^b,g^a+bm)。

Dec(pp,sk,c)→m:对待解密的密文c，算法计算

5)、可更新匿名凭证

可更新匿名凭证系统(updatable anonymous credential systems，UACS)是一种基于属性的匿名凭证，具有隐私保护属性更新的特性。在UACS中，用户可以与他的证书颁发者交互以更新凭据属性，而无需向颁发者透露这些属性。要安全地更新一组属性，应当预定义一个更新函数ψ。持有属性与隐藏参数α的用户与颁发者交互运行更新协议，以获得具有新属性/>的匿名凭证。通过执行零知识证明协议，证书颁发者可以确保属性的更新正确执行，而无需了解/>与α的任何信息。UACS由以下算法组成。

Setup(1^λ)→cpp:Setup算法生成系统公共参数cpp，其中包含盲签名方案Π_sig的公共参数和ZKP系统的参数。

IssuerKeyGen(cpp,1ⁿ)→(sk,pk):在该算法中，证书颁发者运行Π_sig的KeyGen算法生成自己的密钥对(sk,pk)。

在该算法中，用户与证书颁发者运行一个交互式协议生成匿名凭证cred。用户首先生成一个更新参数α，保证初始属性然后，用户与颁发者执行零知识证明协议和盲签名协议，以与/>相关联的有效匿名凭证。

在该算法中，用户与证书颁发者交互以获得更新的凭据凭证cred^*。用户首先在/>上计算更新参数α和承诺cmt。通过执行ZKP协议，用户向证书颁发者证明/>和/>如果证明被接受，颁发者对cmt签名以生成cred^*。

在该算法中，用户和验证者首先就揭露谓词φ达成共识。然后，用户生成证书cred的一个表示，并将其连同零知识证明一起发送给验证者。验证者运行Π_sig的Verify算法与零知识证明，以确保证书属性满足谓词/>如果以上验证通过，则验证者输出1，否则输出0。

如图1所示，本发明所提出的系统由以下四个实体构成。

(1)证书颁发者

负责为完成注册的司机颁发匿名凭证(相当于停车卡)(步骤①)，为/>的停车卡充值(步骤②)，从停车卡中扣除停车费用(步骤④)，并向/>支付聚合后的停车费(步骤⑤)。当发现任何司机实施了恶意行为时，/>会在/>的监督下公开恶意司机的真实身份(步骤⑥)。

(2)停车场

在本发明中，为匿名司机提供停车服务并收取停车费用(步骤③)，/>会验证的匿名凭证，确保/>的停车卡余额充足，并向其索要预付款收据。通过与/>交互，/>可以汇总预付款收据向/>收取总停车费用(步骤⑤)。

(3)司机

向/>注册并获取匿名凭证(①)。通过与/>交互，/>可以为停车卡充值(步骤②)。在停车阶段，/>与/>进行交互，预支付停车费并生成一个预付款收据(步骤③)。然后，/>与/>运行一个交互式协议，以从停车卡中扣除停车费(步骤④)。

(4)仲裁者

是一个受信任的实体，负责监督/>对恶意司机的追踪，防止可审计性被滥用(步骤⑥)。

本发明系统具体执行如下：

1、系统初始化

在系统初始化阶段，运行Setup算法生成系统公共参数。

Setup(1^λ)→pp.

给定安全参数1^λ，生成双线性映射e:/>其中/>和/>是阶为p的循环群。选取/>的生成元g,w、/>的生成元/>和一个抗冲突哈希函数H:/>算法输出公共参数/>

2、密钥生成

在密钥生成阶段，和/>生成各自的公私钥对。

CI.KeyGen(pp)→(SK_ci,PK_ci).

随机选取x，y₁，y₂，y₃，/>计算和/> 输出SK_ci＝(x,y₁,y₂,y₃,z)和/>作为私钥-公钥对。

PL.KeyGen(pp)→(SK_pl,PK_pl).

随机选取/>并计算/>算法输出/>的私钥-公钥对(SK_pl,PK_pl)＝(x_pl,Y_pl)。

AR.KeyGen(pp)→(SK_ar,PK_ar).

随机选取/>并计算/>算法输出/>的私钥-公钥对(SK_ar,PK_ar)＝(x_ar,Y_ar)。

DV.KeyGen(pp)→(SK_dv,PK_dv).

随机选取/>并计算/>算法输出/>的私钥-公钥对(SK_dv,PK_dv)＝(x_dv,Y_dv)。

3、司机证书颁发

在使用停车服务前，司机应当向/>注册其身份标识符ID_dv和公钥PK_dv以成为一名合法用户。在此阶段，/>可以预先支付val作为存储于停车卡中的初始余额。

该协议通过与/>间的交互执行。/>随机选取dsid_dv,/>其中dsid_dv将作为/>的双花标识符中的一个部件，而k_dv则是一个随机数。/>计算承诺/>和一个相应的零知识证明/> 发送/>给/>

收到来自的证书颁发请求后，/>验证证明/>的有效性。如果该证明是有效的，对承诺Cm_dv,1生成签名/>其中/>(r_ci,dsid_ci为/>上的随机数)。/>保存(PK_dv,ID_dv)，并返回/>给/>收到消息后，从签名中计算其匿名凭证cred_dv＝(σ_dv,1,σ_dv,2)，其中/>而

使用dsid＝dsid_dv+dsid_ci作为双花标识符，并通过检验等式来验证匿名凭证cred_dv的有效性。如果凭证是有效的，/>存储(cred_dv,dsid)。

4、停车卡充值

当停车卡余额不足时，与/>运行TopUp协议以进行充值，并更新/>匿名凭证中的余额。为了保护司机的隐私，停车卡的充值是匿名且不可链接的。

该协议通过与/>间的交互执行。为保证充值过程的不可链接性，/>首先选取ψ_dv,/>对凭证cred_dv进行随机化，得到一个盲化的凭证其次，/>对(x_dv,dsid,val,φ_dv)生成零知识证明：/>令/>打算充值的金额为inc，则/>向/>发送/>作为充值请求。

在验证的有效性后，/>选取/>并计算/>其中/> 接着，/>将/>发送给/> 更新匿名凭证/>其中/>若等式成立，则认为更新后的凭证/>是有效的，/>存储

5、停车与预支付

当车辆离开停车场并结账时，根据收费政策计算/>应付的停车费chrg。然后，执行Pre-Payment协议为/>生成一个预付款收据。通过这一收据，/>可以在费用扣除阶段从/>的停车卡中扣除停车费用。

→(T_dv,E_dv,C_dv).该协议通过与/>间的交互执行。/>选取ξ_dv,ζ_dv,c_dv,d_dv,将凭证cred_dv随机化为/>接着，/>计算与双花标识符dsid相绑定的T_dv＝w^dsid，并对停车费chrg计算一个承诺C_dv＝(C_dv,1,C_dv,2)：计算零知识证明/>并给/>零知识证明/>具体如下：

收到来自的请求后，/>检查/>的有效性，这是确保了/>是一个合法的司机，并能够负担停车费(即/>停车卡中的余额val不低于chrg)。如果上述验证通过，/>存储收到的数据，并将(T_dv,E_dv,C_dv)发送给/>由于T_dv＝w^dsid包含了双花标识符dsid，/>能够通过判断T_dv是否重复出现来进行双花检测。

6、停车费用扣除

在停车场进行预付费之后，应与/>交互更新匿名凭证cred_dv中的余额val和双花标识符dsid(匿名凭证中余额的更新即为停车费的扣除)。否则在下一次停车时，/>将会由于进行了双花行为而被侦测。

该协议通过与/>间的交互执行。/>选取δ_dv,∈_dv,/>计算此外，/>对更新后的双花标识符dsid^*＝dsid+e_dv和停车卡余额val^*＝val-chrg，计算承诺/>(e_dv为停车和预支付阶段中生成的随机数)。/>生成零知识证明/>并发送/>给/>零知识证明/>具体如下：

由于在预支付阶段中，已将(T_dv,E_dv,C_dv)发给了/> 可以使用T_dv将其与收到的请求相关联。如果/>是有效的，/>计算/>(δ_ci,∈_ci为随机数)，并返回/> 从签名中派生更新后的匿名凭证/>其中如果等式成立，/>更新dsid^*＝dsid+e_dv，val^*＝val-chrg，并保存

7、支付聚合

在本发明中，与/>会定期交互以安全聚合停车费用，/>会根据聚合结果向/>支付总停车费。本发明采用线性同态加密技术防止/>知道每笔具体的停车费。

首先，收集停车交易的标识符并将其插入列表/> 计算与一个零知识证明并发送/>给/>在验证/>的有效性后，/>计算/> 其中Chrg＝∑_i∈Ichrg_i为/>应当支付的总停车费用。/>检验/>如果等式成立，/>向/>支付Chrg。

8、司机追踪

如果发现恶意存在双花行为或涉嫌刑事犯罪，就需要从预付款收据中恢复出司机的真实身份。如果Trace算法由/>独立执行，可能会在正常情况下侵犯司机的隐私。因此，为了避免问责的滥用，Trace算法需要/>和仲裁者/>的协同执行

该算法以可疑的预支付记录(T_dv,E_dv,C_dv)为输入。首先利用私钥z计算C_ci,3＝(E_dv,2)^z，并将预支付记录(T_dv,E_dv,C_dv)和C_ci,3发送给/>如果追踪是合理的，/>计算并返回恶意司机的公钥PK_dv。由于/>在证书颁发阶段存储了元组(PK_dv,ID_dv)，因此可以直接从恶意司机的公钥PK_dv中揭示其真实身份ID_dv。

以上是本发明的较佳实施例，凡依本发明技术方案所作的改变，所产生的功能作用未超出本发明技术方案的范围时，均属于本发明的保护范围。

Claims

1.一种基于可更新匿名凭证的车联网匿名支付系统，其特征在于，包括：

仲裁者端是一个受信任的实体，负责监督/>对恶意司机的追踪，防止可审计性被滥用；

所述系统实现方式如下：

(2)密钥生成：在密钥生成阶段，和/>生成各自的公私钥对；

2.根据权利要求1所述的基于可更新匿名凭证的车联网匿名支付系统，其特征在于，所述步骤(1)中，运行Setup系统建立算法生成系统公共参数的具体实现方式为：

Setup算法即Setup(1^λ)→pp：给定安全参数1^λ，生成双线性映射/>其中是阶为素数p的循环群；选取/>的生成元g、w，/>的生成元/>和一个抗冲突哈希函数/> 即集合{1,2，…,p-1}；输出公共参数/>

3.根据权利要求2所述的基于可更新匿名凭证的车联网匿名支付系统，其特征在于，所述步骤(2)中，和/>生成各自的公私钥对的具体实现方式为：

运行CI.KeyGen(pp)→(SK_ci,PK_ci)证书颁发者密钥生成算法如下：

随机选取/>计算/> 和/> 输出私钥SK_ci＝(x,y₁,y₂,y₃,z)和公钥作为/>的私钥-公钥对；

运行PL.KeyGen(pp)→(SK_pl,PK_pl)停车场密钥生成算法如下：

从集合/>中选取随机数/>并计算/>算法输出/>的私钥-公钥对(SK_pl,PK_pl)＝(x_pl,Y_pl)；

运行AR.KeyGen(pp)→(SK_ar,PK_ar)仲裁者密钥生成算法如下：

随机选取/>并计算/>算法输出/>的私钥-公钥对(SK_ar,PK_ar)＝(x_ar,Y_ar)；

运行DV.KeyGen(pp)→(SK_dv,PK_dv)司机密钥生成算法如下：

4.根据权利要求3所述的基于可更新匿名凭证的车联网匿名支付系统，其特征在于，所述步骤(3)具体实现方式为：

与/>间交互执行Issue证书颁发协议即协议执行过程如下：

随机选取dsid_dv、/>其中dsid_dv将作为/>的双花标识符中的一个部件，而k_dv则是一个随机数；/>计算承诺/>和一个相应的零知识证明发送/>给/>其中，ID_dv为/>的身份标识符，PK_dv为/>的公钥，val为停车卡余额，Cm_dv,1为/>的承诺值，/>为承诺Cm_dv,1的零知识证明；

收到来自的证书颁发请求后，/>验证证明/>的有效性；如果该证明是有效的，对承诺Cm_dv,1生成签名/>其中/>r_ci、dsid_ci为/>上的随机数；/>保存(PK_dv,ID_dv)，并返回/>给/>收到消息后，/>从签名中计算其匿名凭证cred_dv＝(σ_dv,1,σ_dv,2)，其中/>而

使用dsid＝dsid_dv+dsid_ci作为双花标识符，并通过检验等式/>来验证匿名凭证cred_dv的有效性；如果凭证是有效的，/>存储(cred_dv,dsid)。

5.根据权利要求4所述的基于可更新匿名凭证的车联网匿名支付系统，其特征在于，所述步骤(4)具体实现方式为：

与/>间交互执行Topup充值协议即协议执行过程如下：

为保证充值过程的不可链接性，首先选取/>对凭证cred_dv进行随机化，得到一个盲化的凭证/>其次，/>对(x_dv,dsid,val,φ_dv)生成零知识证明：/>令/>打算充值的金额为inc，则/>向/>发送/>作为充值请求；

6.根据权利要求5所述的基于可更新匿名凭证的车联网匿名支付系统，其特征在于，所述步骤(5)具体实现方式为：

与/>间交互执行Pre-Payment预支付协议即协议执行过程如下：

选取/>将凭证cred_dv随机化为/>接着，/>计算与双花标识符dsid相绑定的T_dv＝w^dsid，并对停车费chrg计算一个承诺C_dv＝(C_dv,1,C_dv,2)：/> 计算计算零知识证明/>并给/>零知识证明/>具体如下：

收到来自的请求后，/>检查/>的有效性，这是确保/>是一个合法的司机，并能够负担停车费，即/>停车卡中的余额val不低于chrg；如果上述验证通过，/>存储收到的数据，并将(T_dv,E_dv,C_dv)发送给/>其中T_dv＝w^dsid，/> 由于T_dv＝w^dsid包含双花标识符dsid，/>能够通过判断T_dv是否重复出现来进行双花检测。

7.根据权利要求6所述的基于可更新匿名凭证的车联网匿名支付系统，其特征在于，所述步骤(6)具体实现方式为：

与/>间交互执行FeeDED扣费协议即协议执行过程如下：

选取/>计算/>并计算与双花标识符dsid相绑定的T_dv＝w^dsid；此外，/>对更新后的双花标识符dsid^*＝dsid+e_dv和停车卡余额val^*＝val-chrg，计算承诺/> 生成零知识证明/>并发送/>给/>零知识证明/>具体如下：

由于在预支付阶段中，已将(T_dv,E_dv,C_dv)发给/> 可以使用T_dv将其与收到的请求相关联；如果/>是有效的，/>计算/>δ_ci,∈_ci为随机数，并返回从签名中派生更新后的匿名凭证/>其中/> 如果等式成立，/>更新dsid^*＝dsid+e_dv，val^*＝val-chrg，并保存

8.根据权利要求7所述的基于可更新匿名凭证的车联网匿名支付系统，其特征在于，所述步骤(7)具体实现方式为：

与/>间交互执行Aggregate聚合协议即协议执行过程如下：

首先，检索每个/>在预支付阶段中提交的(T_dv,E_dv,C_dv)和停车费chrg，将其插入列表/>中；令I为列表中所有项编号的集合，/>为列表的第i项；/>计算与一个零知识证明并发送/>给/>在验证/>的有效性后，/>计算/> 其中Chrg＝∑_i∈Ichrg_i为/>应当支付的总停车费用；/>检验/>如果等式成立，/>向/>支付Chrg。

9.根据权利要求8所述的基于可更新匿名凭证的车联网匿名支付系统，其特征在于，所述步骤(8)具体实现方式为：

和仲裁者/>的协同执行Trace追踪协议即协议执行过程如下：

以可疑的预支付记录(T_dv,E_dv,C_dv)为输入；首先利用私钥z计算C_ci,3＝(E_dv,2)^z，并将预支付记录(T_dv,E_dv,C_dv)和C_ci,3发送给/>如果追踪是合理的，/>计算/> 并返回恶意司机的公钥PK_dv；由于/>在证书颁发阶段存储元组(PK_dv,ID_dv)，因此可以直接从恶意司机的公钥PK_dv中揭示其真实身份ID_dv。