可任意花费的可传递电子现金系统

张江霄¹ ， 冯春辉¹ ， 马金鑫² ， 张斌¹ ， 徐畅³ ， 李舟军⁴ ， 党莹⁵

(1 .邢台学院 数学与信息技术学院,河北,邢台 054001 ；2 .中国信息安全测评中心,北京100191 ；3 .北京理工大学 计算机学院,北京 100081 ；4 .北京航空航天大学 软件开发环境国家重点实验室,北京 100191 ；5 .邢台医学高等专科学校，河北，邢台054000 )

摘 要 ：针对现有的可传递电子现金系统在传递协议中传递花费顺序固定以及传递次数受限制的问题，利用Groth -Sahai 证明系统、对承诺的承诺和Ghadafi 群盲签名，在标准模型下构建一个具有最优匿名性的可任意花费的等长可传递电子现金系统，该系统中电子现金的花费不受任何花费顺序限制，传递次数是任意次. 基于对承诺的承诺，可以对所传递的序列号进行压缩，从而保证用户传递电子现金的长度是常量；基于Ghadafi 群盲签名，实现了电子现金花费用户的任意性；在标准模型下，证明了新系统的安全属性，该系统具有不可伪造性、最优匿名性、不可重复花费性和不可诬陷性.

关键词 ：可传递电子现金系统；对承诺的承诺；Groth -Sahai 证明；Ghadafi 的群盲签名

电子现金^[1-14]是现实货币的电子等价物，匿名性保证诚实用户的身份永不被泄露，具有传递性的电子现金系统允许用户收到电子现金后，直接花费给其他人，这一特性与现实中的货币特性一致. 不存在用户收到花费的电子现金后，先存入银行，再花费的缺点，这将减少用户和银行间的交流次数.

可传递性有如此多的优点，很多研究者做了相关工作^[1-2,7-14]. 可传递性是由Okamoto和Ohta^[1-2] 首次提出，仅满足用户的弱匿名性. 首个强匿名性的可传递电子现金在1992年，由Chaum^[7]提出，并证明可传递电子现金的电子现金长度与传递次数成正比. 可传递属性的形式化定义是Canard和Gouget^[9]提出的，并得出了最优匿名性的概念. Fuchsbauer等^[11]构建了首个实用的可传递电子现金，但用户需要很大的代价来避免自己被诬陷发生了重复花费. Blazy等^[12]构建具有最优匿名性的可传递电子现金，但实用性不高. Zhang等^[13]设计了一个电子现金长度不是常量的可传递电子现金. 2015年，张江霄等^[14]构建了一个具有条件性的可传递电子现金，该协议允许用户在一个条件性下传递电子现金，解决了云计算中的不公平计算问题. Baldimtsi等^[15]构建了一个匿名的可传递电子现金系统，但该系统中电子现金的长度仍然和传递次数成正比. 同年，张江霄等^[16]构建了一个具有最优匿名性的、电子现金长度等长的可传递电子现金系统，但该系统中用户在可传递花费中有很多限制，可传递花费的用户个数最多是个，且用户的传递花费顺序不可变，即只能向预设的人花费该电子现金.

可见，现存唯一的最优匿名的等长可传递电子现金系统，用户在传递电子现金时，花费顺序受到花费链的严格限制，构建花费链必须由银行在最初构建，一旦构建，该电子现金的最长花费次数就固定了. 为构建一个可任意花费的可传递电子现金系统，本文采用了对承诺的承诺^[17]和Ghadafi群盲签名^[18]两大密码学原语. 利用对承诺的承诺，使得电子现金在传递的过程中长度是常量；由于对Ghadafi群盲签名的使用，保证了用户可以向其他任意用户花费，且没有花费次数的限制，同时，新系统中电子现金传递的长度是常量. 最后利用Groth-Sahai证明，保证新系统具有最优匿名性.

1 基本定义

定义1 (双线性对) 双线性对是一个满足下面条件的映射，定义其中群G ₁、G ₂和G ₃是p 阶乘法循环群，p 为素数;g ,h 分别是群G ₁和G ₂的生成元.

① (双线性)，∀x ∈G ₁,y ∈G ₂且则

② (非退化性)；

③ (可计算性)：是多项式时间可计算的.

皮带输送机构带动穴盘从机架下穿过，机架上安装有左、右支撑板，主轴通过轴承安装在支撑板上，主轴与支撑轮相连，支撑轮与滚筒相连，滑板在滚筒与支撑轮形成的滑板滑道内上下运动。滑板两侧连接有滚子，滚子可在焊接于支撑板上的凸轮槽内滚动。支撑板上坐有料箱，料箱上通过螺栓连接固定有导料板。调速电机由接近开关控制，通过链传动带动主轴旋转。

（2）对于建筑电气安装工程使用的关键材料而言，必须要确保电气安装工程材料的合格性与质量，且在发现电气材料无质量证明书与出厂合格书后，需要对材料进行退换操作，以使得建筑电气安装工程的施工材料合格性可以得到保障。

定义2 (SXDH问题)^[19]给定攻击者判断c =ab 的优势是可忽略的，即在群G ₁上DDH问题是困难的. 同样给定攻击者判断c ₂=a ₂b ₂的优势也是可忽略的，即在群G ₂上DDH问题也是困难的. SXDH(symmetric external Diffe-Hellman)问题指在群G ₁和G ₂上DDH问题是困难的.

定义3 (Groth-Sahai证明) 本文只用到Groth-Sahai证明^[19]中的双线性乘积等式，具体如下.

给出x ₁,x ₂…,x _n ,A _i ∈G ₁,y ₁,y ₂…，y _n ,B _i∈ G ₂,t ₃∈G ₃γ _i,j ∈Z _n . 下面给出双线性等式.

将合成的降粘型型聚羧酸减水剂PC-A和市售普通减水剂PC-1和进口知名品牌减水剂PC-2进行C60混凝土应用性能对比实验，结果见表2。

x ₁,x ₂…,x _n ,y ₁,y ₂…,y _n ∈Z _p 为变量. 为证明变量满足上面等式，先要对变量做GS承诺，即GScom (X ₁),…,GScom (X _n ),GScom (y ₁),…,GScom (y _n )，简写为：C _X1 ,…,C _Xn ,C _y1 ,…,C _yn . 然后利用双线性乘积等式给出证明，最后证明者发送变量承诺以及相关的证明给验证者，验证者可验证所给的变量是否满足双线性等式. 缩写“Groth-Sahai”为“GS”.

定义4 (对群元素的承诺) 对群元素的承诺^[17]可以对多个群元素或者承诺的承诺进行承诺，从而把多个群元素承诺为一个群元素. 对群元素承诺的具体定义见文献[17].

定义8 (匿名性) 多项式时间下，A 成功优势和可忽略，则此协议具有匿名性.

定义6 (Ghadafi群盲签名) Ghadafi群盲签名^{[18 ]}提供了双重的隐私安全，即：保证了签名者的匿名性，也保证了所签消息的匿名性，Ghadafi构建了两个实例，本文使用第一个实例，且其中的盲签名由自同态盲签名^[17]来实例化，为了简单，定义GBS()为Ghadafi的群盲签名. Ghadafi的群盲签名由群成员加入协议和签名协议组成，具体定义见文献[18].

2 系统的一般描述

本系统中电子现金由银行和用户选择的序列号、最初取款的用户公钥和银行签名组成，其中取款用户公钥和银行签名保证电子现金的真实性，一系列的序列号便于检查用户是否存在重复花费；在传递协议中，利用对承诺的承诺把一系列序列号压缩成一个常量；利用Ghadafi群盲签名保证加入群的用户可以向任意用户花费任意次的电子现金；具体由加入协议、取款协议、传递协议和存款协议组成. 下面分别给出简单的描述.

社会治理是建立在多元主体共同参与基础之上的。在此过程中，只有不断激发各个参与主体的参与热情，社会治理才能达到预期的理想效果。就此而论，社会治理强调的是现代的多元主体参与，而不是传统意义上的自上而下的管理、命令或统治，其目的是要实现从“要我参与”到“我要参与”的转型和升级。在这一现代转型之中，不同主体要通过协商和对话，实现差异性偏好的理性转换，对社会治理中的重大问题形成各方均能接受的一致性意见，赢得各参与主体最大程度的理解、认同和支持。

对于加入协议，所有的用户构成一个群，为保证用户获得的证书是一个群元素，本系统采用自同态盲签名协议，以便在传递协议中，用户利用Ghadafi群盲签名对要传递的电子现金进行签名；对于取款协议，用户获得银行签名的电子现金后，把序列号和利用GS的自更新性更新后的电子现金发给群管理者，这部分不再包含到传递的电子现金中，减少传递电子现金的长度，虽然用户发给群管理者的是随机数，由承诺具有隐藏性，可知攻击者无法将这个随机数和电子现金中随机数的承诺联系起来；对于传递协议，本系统利用对承诺的承诺，压缩序列号，同时利用Ghadafi群盲签名保证可传递电子现金花费的随意性；对于存款协议，银行通过提取序列号来判断用户是否发生重复花费，若银行找到两个从同一个序列号开始的序列，说明有用户发生重复花费，将相关信息发给群管理者，群管理者验证正确后，提取出重复花费用户身份.

3 安全模型

本节给出可传递电子现金系统所基于的安全模型，针对每个安全属性，即：不可伪造性、完全匿名性(全匿名性、完美匿名性1和完美匿名性2^[9])、不可重复花费性和不可诬陷性，详细给出攻击者A 所具有的攻击能力和安全模型.

为了详细给出A 的攻击能力，先给出以下随机预言机. 交互签名预言机(CSign ())；初始化预言机(USetup ())；取款预言机(UWithdraw ())；传递预言机(UTranfer ())；存款预言机(MDeposit ()).

给出下面几个算法：SetUp (λ )；WBSetUp (parms )；DBSetUp (params )；UMSetUp (params )；UJoin (params ,pk _Ui ,sk _Ui ,pk _DB )；Withdraw (U ↔WB )；Transfer (U ↔M )；Deposit (M ↔DB )；Identify (params ,coinm ,db ).

当前的软件工程专业的教学目标应该是培养职业化的具备软件、硬件、网络等各学科综合知识的复合型人才。因此，软件专业的教学目标可以基于S-CDIO培养模式，将培养高层次、实用型、复合型的人才培养作为教学目标，同时强调培养学生扎实的计算机基础知识、强力的实践能力和理论应用能力。此外，还要引导学生时刻关注软件工程及相关行业的各种新技术，如大数据、云计算、VR等。通过明确教学目标，从而能够有针对性地设置课程体系和培养学生能力。

通过序列法详细分析安全属性的形式化定义. 下面实验中是攻击者A 与挑战者c 进行一系列的实验. 详细说明如下.

3.1 不可伪造性

初始化阶段：c 通过算法WBSetUp (λ )和DBSetUp (λ )生成取款银行和存款银行的公私钥对(pk _WB ,sk _WB )和(pk _DB ,sk _DB )，自己保存银行私钥，把公钥发给A ；

本节分析并对比Carard等^[15]协议、张江霄等^[16]协议和新协议的效率，用C 表示所需做的承诺次数，GS 表示所需做的零知识证明次数，V 表示要验证的零知识证明次数，L _C 表示一个承诺的长度，L _GS 表示一个零知识证明的长度. 以下从取款协议用户的计算量、传递协议用户U _i 和U _i+1 的计算量、存款协议银行的计算量和传递中电子现金的大小4个方面来分析. 具体的分析如的表1所示.

终止阶段：A 经过多项式次的取款协议、传递协议和存款协议，获得电子现金v ₁+v ₂+v ₃-v _s，存入存款银行的电子现金是v _d+v _s. 若(v ₁+v ₂+v ₃-v _s)>v _d+v _s，即A 能伪造出大于自己所获得的电子现金面额，能成功伪造一个新的电子现金. 定义成功伪造电子现金的优势为

一些“动点路线问题”中点的路线，有时难以通过工具操作或描点画图直观发现，可根据条件通过抽象与推理发现运动规律，进而再进行定量计算.

定义7 (不可伪造性) 多项式时间下，A 成功的优势可忽略，则具有不可伪造性.

3.2 匿名性

本系统分别从全匿名性、完美匿名性1和完美匿名性2三个方面进行说明(篇幅原因省略了细节，完整版本请参考全文).

① 全匿名性.

定义A 攻破协议全匿名性的优势为

久厌尘嚣避世荣，一丘恬淡寄余生。当时同调人何处，今夕伤怀泪独倾。几负竹窗清月影，更惭花坞晓莺声。岂知共结烟霞志，总付千秋别鹤情。[9]274

② 完美匿名性1.

Characteristics of Southern Indian Ocean Dipole variation and its relationship with ENSO events

定义A 攻破协议完美匿名性1的优势为

③ 完美匿名性2.

实验3：实验3如实验2一样运行. 但引入事件E ₃，即A 存款的总额大于所提取的总额：q _w<q _s，则A 成功伪造合法的电子现金coin ₁={C _k1 ,π _k1 ,C _σbk1 ,π _bk1 ,C _σuk1 ,π _uk1 ,C _σAcc ,π _Acc ,π _w1 ,}，且和该电子现金有关的累计值及消息对应的签名都不是来自于表accdb 和recdb . 通过实验1和实验2，可知A 无法对任何现有的电子现金和新的电子现金进行伪造，所以实验3和实验2是不可区分的.

定义5 (自同态盲签名) 自同态盲签名^[17]是一个结构保存签名，即：被签名消息、验证密钥和签名都由群元素组成的，该盲签名可以与GS证明完美结合，为了方便，把自同态签名简记为ABSign(). 具体的自同态盲签名定义见文献[17].

实验2：实验2如实验1一样运行. 但引入事件E ₂，即A 成功地复制一个现有的电子现金字符串，但是算法Identify 的输出为0，同时银行没有检查出攻击者A 对电子现金的伪造. 如果E ₂发生，那么只有两种可能，或者A 对同一个电子现金使用相同的零知识证明，或者不同. 对于第一种可能，c 肯定拒绝相同的电子现金，则A 与c 之间的交易无法完成. 对于第二种可能，若A 对于已有的电子现金，能给出一个新的零知识证明，那么和实验1的证明相同，A 需要攻破累加器的自同态盲签名和Ghadafi的群盲签名，因为攻破自同态盲签名和Ghadafi的群盲签名是可忽略的，所以实验2和实验1是不可区分的.

3.3 不可重复花费性

定义A 攻破新协议不可重复花费性的优势为

定义9 (不可重复花费性) 若多项式时间下，A 成功的优势可忽略，则此协议具有不可重复花费性.

3.4 不可诬陷性

定义A 攻破不可诬陷性的优势为

定义10 (不可诬陷性) 多项式时间下，A 成功优势可忽略，则此协议具有不可诬陷性.

4 可传递电子现金的构造

本系统由用户(U ₁,U ₂,…,U _n )、商家M (特定用户)、取款银行WB 、存款银行DB 和群管理者GM 组成.GM 负责用户加入，给每个用户分发签名所需证书，然后U ₁从B 提取出电子现金后，购买商品或服务，U ₁把该电子现金花费给U ₂时，需利用银行授权的证书进行签名，直到U _i (1≤i ≤n )不花费该电子现金.

4.1 基本参数

λ 是安全参数，双线性群的公共参数其中G ₁,G ₂是阶为p 的素数阶群，选择随机数F ,K ,T ∈G ₁,GS证明的两对承诺和提取密钥为(ck _WB ,ek _WB )和(ck _GM ,ek _GM )，其中取款银行用(ck _WB ,ek _WB )恢复序列号，管理者GM 用(ck _GM ,ek _GM )恢复重复花费者的身份. 用户计算自同态盲签名所需公私钥(uspk _U ,ussk _U ),(ugpk _U ,ugsk _U )，(ukpk _U ,ussk _U )是用户在发售电子现金时使用的密钥对，(ugpk _U ,ugsk _U )是用户在加入群时使用的密钥对，群管理者GM 和银行计算自同态盲签名所需的公私钥(pk _GM ,sk _GM ),(pk _WB ,sk _WB )和(pk _DB ,sk _DB )，另外存款银行还需要生成一个对应的承诺提取密钥对(ck _DB ,ek _DB ).

4.2 加入协议

加入协议允许用户U _i (1≤i ≤n )从群管理者GM 获得签名所需参数，然后U _i 才能花费该电子现金. 具体协议如图1.

2.1.2 不同灌水量对啤酒大麦产量的影响 不同灌溉水平下甘啤6号的产量和方差分析结果表明：随着灌水量的增加，产量显著提高。灌水量在750 m3/hm2时，产量极低，仅为 4 645.65 kg/hm2，水分的亏缺严重影响了啤酒大麦的产量；灌水量在1 500～2 250 m3/hm2时，产量水平较高，各处理间产量差异不显著，折合产量为7760.55～7970.7 kg/hm2，灌水量在2250m3/hm2以上时，增产不显著（见表3）。

图1 加入协议
Fig. 1 Joining protocol

4.3 取款协议

通过取款协议U ₁从取款银行获取电子现金coin ₁. 具体的协议如图2.

图2 取款协议
Fig.2 Withdraw protocol

4.4 传递协议

此协议U _t 花费给U _i+1 (也为商家M )，具体的传递协议如图3.

图3 传递协议
Fig.3 Transferable protocol

图3完成，U _i+1 发送给GM . 然后U _i+1 利用对群元素的承诺，把生成承诺因为对序列号利用对承诺的承诺压缩，保证了电子现金的长度为常量，U _i+1 得到电子现金

4.5 存款协议

存款协议允许U _j 把coin _j 存入银行，在存入存款银行以前，银行所做工作如图4.

图4 存款协议
Fig.4 Deposit protocol

在银行完成图4后，从n ₁,n ₂,…,n _j 和n ₁,n ₂,…,n _i 中找到最后一个相同的序列号n ，发送和给GM ，GM 验证和若正确则恢复出pk _Ut .

5 效率对比

张江霄等^[16]在计算序列号和安全标签时，需要转换，一个序列号相当于2个承诺，一个安全标签相当于4个承诺. 其中i 是电子现金传递的次数.

探测阶段：A (扮作用户)可以多项式次地访问c 的预言机USetup ()、UWithdraw ()、UTransfer ()和MDeposit ()，从而A 可以和c 进行创建用户、取款协议、传递协议和存款协议.A 从c (扮作银行)提取电子现金的价值为v ₁，然后与诚实的商家进行传递协议，花费的电子现金价值为v _s.A 可以收买已取款的用户，用户提供所提取的电子现金价值为v ₂.A (扮作商家)和诚实的用户进行传递协议，从用户得到电子现金价值为v ₃. 最后A 通过存款协议，存入存款银行的电子现金价值为v _d，收到A 电子现金的商家存入存款银行的电子现金价值为v _s.

微服公访更是治疗官僚主义和形式主义的良药。以往的有些调研，都是先发通知、提出要求、公布路线、浩浩荡荡，听取汇报、检查工作、指导运动，全是设计好的套路。途经各乡、县，都是地方领导送出乡、县边界，下一站的乡、县领导又恭候于边界，领导都提问什么问题，关注哪些方面，饮食方面有什么特殊要求，等等，都要提前摸清。开座谈会时都是训练过的地方干部装扮成群众，发言早已提前演练过，一如电视剧中的台词。这种“调研”“检查”能摸到什么实情？再看看现在以解决问题为导向的督导、督察、巡视、巡察，深感今是而昨非。

表1 协议效率比较

Tab .1 Comparison of scheme efficiency

利用攻击者A 和挑战者c 之间的一系列实验序列，在标准模型下证明新协议的安全性. 为达到最优匿名性，把银行分为取款银行和存款银行，因此在匿名性的安全证明中，使用银行公钥pk _WB 和pk _DW ，但在其它安全证明中，使用银行公钥pk _B . 在下面的实验中，A 表示攻击者，c 表示挑战者. 具体的安全证明如下(由于篇幅原因本节只给出一部分安全证明，详细的请参见全文).

6 安全证明

由表1可知:新协议在取款协议的计算量不如Carard等^[15]协议，但优于张江霄等^[16]协议；在传递协议中，新协议U _i 计算量优于Carard等^[15]协议和张江霄等^[16]协议，U _i+1 的计算量不如Carard等^[15]协议和张江霄等^[16]协议；在存款协议中，银行的计算量优于Carard等^[15]协议和张江霄等^[16]协议. 而新协议和文献[15]相比，不存在用户传递花费时花费次数的限制；新协议和张江霄等^[16]协议相比，在传递中电子现金的大小是常量，但张江霄等^[16]协议在传递中电子现金的大小和传递的次数成正比. 因此新协议比Carard等^[15]协议和张江霄等^[16]协议更实用.

定理 1 (不可伪造性) 若自同态盲签名和Ghadafi的群盲签名不可伪造的，则新协议是不可伪造的.

证明 现在利用实验序列的方法来证明定理1. 假设A 可以进行多项式时间τ 次询问，且A 成功伪造电子现金的优势为

实验0：根据不可伪造性定义，此实验是A 和c 之间的真实协议执行. 具体分析如下.

定义变量q _w为用户取款成功的次数，变量q _s为成功花费电子现金的价值. 构造一个c 可以借助签名预言机sign ()攻破自同态盲签名和Ghadafi的群盲签名的不可伪造性，即：c 可以伪造一个自同态盲签名和Ghadafi的群盲签名.c 维护表accdb 和recdb ，表rccdb 用来存放累加值和累加的次数，表recdb 存放消息和对应的签名对，表rccdb 和recdb 均初始化为空.

账户建立阶段：假设A 能进行n 次传递花费，就要伪造银行生成的自同态盲签名，也要伪造n 个Ghadafi的群盲签名.

取款阶段：假设A 从c (扮作银行)提取价值为L 的电子现金，c 通过访问自同态盲签名预言机Sign ()，并把签名以及相对应的消息值存放到表recdb 中，若取款成功，则变量q _w=q _w+1.

传递阶段：A 与c (扮作商家)进行价值为L 的电子现金的传递协议.c 从A 提交的序列号的承诺、Ghadafi的群盲签名和对应的证明中，提取相应的消息及对应签名，并存储到表recdb 中，若花费成功，则变量q _s的值增加1.

本组试验选取的数据为排水管壁试样直径d=100 mm、水力梯度相同的条件下，不同土体的稳定梯度比Gr值进行对比(如图6所示)。图6显示：在试样面积、水力梯度一致的条件下，与残积砾质黏性土相比，残积砂质黏性土的稳定梯度比Gr值增长了21%～30%，残积粉质黏性土的稳定梯度比Gr值增长了60%～69%，稳定梯度比Gr值随着黏性土中黏粒含量的增加而增大，且增大幅度较其他两种影响因素大。

协议终止：在任何时候都A 能停止对预言机的询问，从而和c 完成本协议.

实验1：实验1如实验0一样运行. 但引入事件E ₁，即A 成功地伪造一个新的电子现金序列号k _i 的承诺及对应的证明；如果E ₁发生，则A 能伪造相关的零知识证明. 还要能伪造银行对该电子现金的自同态盲签名，即A 能够攻破自同态盲签名的不可伪造性，假设A 攻破交互签名的优势为但攻破自同态盲签名的优势是可忽略的，所以实验1和实验0是不可区分的.

水是水利风景区得以存在和发展的核心要素。保持景区的“生态性”是确保景区和谐有序发展的重要前提和基础，所以相关专家在制定区域规划时，要体现可持续发展的理念，保证满足水生态环境保护的基本要求，做到环保用水、节约用水、循环用水，在不对当地水体、水产、周边植被造成破坏的前提下，适时制定开发战略，以促进旅游业和生态的共生。在旅游开发中，必须请相关工程环境部门对区域水生态环境的承载力进行评估，同时请生态和旅游专家共同确定适宜在周边开展的旅游活动，在把握区域生态状况、水利设施条件和功能及环境质量的前提下，通过旅游业的发展提升水文化内涵。

选取2013年7月—2014年4月在萍乡市某三甲医院临床实习的护生150例，其中本科生30例，大专生52例，中专生68例，均为女生，年龄17～23岁。

定义A 攻破协议完美匿名性2的优势为

综上所述，A 成功的优势为：

Ad (λ )≤Ad (λ )+Ad (λ ).

定理 2 (匿名性) 如果GS证明具有零知识性，且SXDH假设成立，则新协议具有匿名性.

证明 为达到最优匿名性，新协议的匿名性应该同时满足全匿名性、完美匿名性2和完美匿名性1，具体如下.

① 全匿名性.

为达到全匿名性，A 不能观察在挑战阶段的电子现金. 在新协议中，电子现金是利用序列号的承诺以及对应的证明表示的，且承诺是利用基于SXDH的承诺. 如果A 想要确定在挑战阶段挑战者选择哪个序列号，他就要知道d _ni 中被承诺的序列号是哪个，因此A 需要攻破GS证明零知识性，但是GS证明具有零知识性，且SXDH假设成立，所以新协议具有全匿名性.

② 完美匿名性2.

完美匿名性2允许A 获得探测阶段电子现金coin ₁和coin ₂中使用的是哪个序列号，但是不允许A 在挑战阶段与存款银行进行交互. 因此A 只能观察条件阶段中商家和存款银行的交互. 下面利用实验序列的方法来证明新协议具有完美匿名性2.

③ 完美匿名性1.

完美匿名性1的证明类似于完美匿名性2，只是A 不能与挑战阶段中扮作用户的Tranfer ()预言机交互，但是A 可以与存款银行交互. 由于限制A 在挑战阶段的能力，所以A 没有接受过c 选择的任何一个电子现金，即A 无法判断c 选择的是哪个序列号. 因此新协议具有完美匿名性1.

综上所述，A 攻破匿名性的优势为：

Ad (λ )≤Ad (λ )+Ad (λ ).

定理 3 (不可重复花费性) 如果自同态盲签名和Ghadafi的群盲签名是不可伪造的，则新协议具有不可重复花费性；定义A 攻破不可重复花费性的优势为：Ad (λ )≤Ad (λ ).

定理 4 (不可诬陷性) 若GS证明具有零知识性，且自同态盲签名和Ghadafi的群盲签名是不可伪造的，则新协议具有不可诬陷性. 定义A 攻破不可诬陷性优势为

Ad (λ )≤Ad (λ )+Ad (λ ).

7 结束语

本文利用GS证明系统、Ghadafi群盲签名和对承诺的承诺，设计了一个标准模型下可任意花费的可传递电子现金系统. 基于Ghadafi群盲签名，用户可以向任意用户进行传递花费，且没有花费次数的限制；基于对承诺的承诺，用户在传递协议中，压缩了序列号，保证了传递电子现金的长度是常量；与现有的系统相比，新系统可以向任意成员进行传递花费，花费的次数也没有限制；在标准模型下，新系统具有最优匿名性.

参考文献 :

[1] Okamoto T,Ohta K.Disposable zero-knowledge authentications and their applications to untraceable electronic cash[C]∥Advances in Cryptology-CRYPTO Advances in Cryptology-CRYPTO.Santa Barbara,USA:[s.n.],1990:481-496.

[2] Okamoto T,Ohta K.Universal electronic cash[C]∥Advances in Cryptology-CRYPTO.Santa Barbara,USA:[s.n.],1992:324-337.

[3] Wang F,Chang C C,Chang S C.Robust off-line e-cash scheme with recoverability and anonymity revocation[J].Security and Communication Networks,2016,9(14)：2412-2421.

[4] Scheir M,Balasch J,Balasch J,et al.Anonymous split e-cash toward mobile anonymous payments[J].ACM Transactions on Embedded Computing Systems,2015,14(4):1-25.

[5] Canard S,Pointcheval D,Sanders O,et al.Divisible e-cash made practical[J].IET Information Security,2016,10(6):332-347.

[6] Islam SKH,Amin R,Biswas GP,et al.Provably secure pairing-free identity-based partially blind signature scheme and its application in online e-cash system[J].Arabian Journal for Science and Engineering,2016，41(8):3163-3176.

[7] Chaum D,Pedersen T P.Transferred cash grows in size[C]∥Advances in Cryptology-EUROCRYPT.Balatonfured,Hungary:[s.n.]，1993:390-407.

[8] Canard S,Gouget A,Traore J.Improvement of efficiency in (unconditional) anonymous transferable e-cash[C]∥Financial Cryptography and Data Security.Cozumel,Mexico:[s.n.],2008:202-214.

[9] Canard S,Gouget A.Anonymity in transferable e-cash[C]∥Applied Cryptography and Network Security.New York:[s.n.],2008:207-223.

[10] Blanton M.Improved conditional e-payments[C]∥Applied Cryptography and Network Security.New York:[s.n.],2008:188-206.

[11] Fuchsbauer G,Pointcheval D,Vergnaud D.Transferable anonymous constant size fair e-cash[C]∥Cryptography and Network Security.Kanazawa,Japan:[s.n.],2009:226-247.

[12] Blazy O,Canard S,Fuchsbauer G,et al.Achieving optimal anonymity in transferalbe e-cash with a judge[C]∥Progress in Cryptology-Africacrypt.Dakar,Senegal:[s.n.],2011:206-223.

[13] Zhang J X,Li Z J,Guo H.Anonymous transferable conditional e-cash[C]∥Security and Privacy in Communication Networks.Padua,Italy:[s.n.],2013:45-60.

[14] Zhang J X,Guo H,Li Z J,et al.Transferable conditional e-cash with optimal anonymity in the standard[J].IET Information Security,2014,9(1):59-72.

[15] Baldimtsi F,Chase M,Fuchsbauer G,et al.Anonymous transferable E-cash[C]∥Public-Key Cryptography-PKC.Gaithersburg,MD,USA:[s.n.],2015:101-124.

[16] 张江霄,李舟军,高延武，等.基于花费链最优匿名的等长可传递电子现金系统[J].电子学报,2015,43(9)：1805-1809.

Zhang Jiangxiao,Li Zhoujun,Gao Yanwu,et al.Transferable e-cash system of equal length with optimal anonymity based on spending chain[J].Acta Electronica Sinica,2015,43(9):1805-1809.(in Chinese)

[17] Abe M,Fuchsbauer G,Groth J,et al.Structure-preserving signatures and commitments to group elements[C]∥Advances in Cryptology-CRYPTO.CA,USA:[s.n.],2010:209-236.

[18] Ghada E.Formalizing group blind signatures and practical constructions without random oracles[C]∥ACISP-Information Security and Privacy.Brisbane,Australia:[s.n.],2013:330-346.

[19] Groth J，Sahai A.Efficient non-interactive proof systems for bilinear groups[C]∥Advances in Cryptology-EUROCRYP.Istanbul,Turkey:[s.n.],2008:415-432.

Transferable E -Cash System with Arbitrarily Spending Order

ZHANG Jiang-xiao¹, FENG Chun-hui¹, MA Jin-xin²,ZHANG Bin¹, XU Chang³, LI Zhou-jun⁴, DANG Ying⁵

(1.Mathematics and Information Technology Institute,Xingtai University,Xingtai,Hebei 054001,China; 2.China Information Technology Security Evaluation Center,Beijing 100191,China;3.School of Computer Science & Technology,Beijing Institute of Technology,Beijing 100081,China;4.State Key Laboratory of Software Development Environment,Beihang University,Beijing 100191,China; 5.Xingtai Medical college,Xingtai,Hebei 054000,China)

Abstract :There exist some problems such that the user spending order is fixed in the transferable E-cash system, and the transferable number is restricted. Using the Groth-Sahai proof system, Ghadafi group blind signature and commitment to commitment, a transferable E-cash system of equal length with optimal anonymity and arbitrarily spending order was designed in a standard model. It was arranged that, based on the commitment to commitment, the users could compress the transferable serial number, and the length of the E-cash could be constant in the spending protocol, based on the Ghadafi group blind signature, the arbitrarily spending order could be achieved. Finally, the security of the transferable E-cash system was verified in the standard model. Results show its unforgeability, anonymity, identification of double spender and exculpability.

Key words :transferable E-cash system;commitment to commitment;Groth-Sahai proof;Ghadafi group blind signature

中图分类号 ：TP309

文献标志码： A

文章编号： 1001 -0645 (2019 )03 -0283 -07

DOI ：10 .15918 /j.tbit1001 -0645 .2019 .03 .010

收稿日期 ：2017-07-30

基金项目 ：国家“八六三”计划项目(2015AA016004)；国家自然科学基金资助项目(61672081，61502536,61402037)；河北省科技厅项目(17214707)；邢台学院技级重点项目(XTXYZD2018008)；河北省教育厅人文青年拔尖人才项目(BJ2018211)

作者简介 ：张江霄(1983—)，男，博士，讲师，E-mail:orange_0090208@163.com.

通信作者 ：党莹(1982—)，女，硕士，副教授，E-mail:xtyzdy@1216.com.

(责任编辑：刘芳)

标签：可传递电子现金系统论文;  对承诺的承诺论文;  Groth-Sahai证明论文;  Ghadafi的群盲签名论文;  邢台学院数学与信息技术学院论文;  中国信息安全测评中心论文;  北京理工大学计算机学院论文;  北京航空航天大学软件开发环境国家重点实验室论文;  邢台医学高等专科学校论文;