39、标准模型下可分割电子现金的构建与分析

标准模型下可分割电子现金的构建与分析

1 可分割电子现金概述

可分割电子现金是一种重要的数字货币形式，其已知的构建方法常利用具有 L + 1 层的二叉树（对应货币价值为 2^L）。在这个二叉树中，每个节点对应一定金额，且该金额恰好是其父节点金额的一半。为了检测双重花费行为，系统会确保用户不能同时花费与某个节点及其后代或祖先对应的硬币。

然而，基于树的构建方式存在一个难题，即用户难以高效证明连接已花费节点与根节点的路径是正确的。此前的一些解决方案采用了不同阶的群，例如使用一系列素数阶的群 G1, …, GL + 1，其中 Gν 是 Z⋆pν - 1 的子群。另一种解决方案则使用 L + 2 个有界累加器，以减少不同群阶的使用。但这些使用不同阶群的方法与 Groth - Sahai 证明不太兼容，因此需要寻找一种新的技术来防止用户在同一棵树中花费与某个节点及其祖先对应的硬币。

2 方案总体描述

本方案采用基于树的方法。每个钱包 W 包含一个价值为 2^L（L 为自然数）的可分割硬币，消费阶段的复杂度取决于树中节点的深度，节点越深，消费阶段的成本越高。

当诚实用户 U 拥有密钥对 (pkU, skU) 与银行 B 交互时，用户会获得一个钱包 W = (s, t, skU, σ, state)。其中，σ 是银行对向量 (s, t, skU) 的签名，s 和 t 是 Dodis - Yampolskiy 伪随机函数（PRF）的种子，state 是一个表示硬币可用性的变量。

2.1 消费硬币的步骤

若用户 U 要在树中消费价值为 v = 2^ℓ（ℓ ≤ L）的硬币，需按以下步骤操作：
1. 确定未花费节点 ：用户确定对应高度为 ℓ 的未花费硬币的下一个节点。如果用户想一次性花完整个钱包，则使用树根；叶子节点对应最小的可扩展金额。每个节点会被分配一个唯一的标签，标签是区间 [1, 2^(L + 1) - 1] 内的整数。一种简单的分配方式是将树根标记为 x0 = 1，最右侧叶子节点标记为 2^(L + 1) - 1，其他节点从左到右、从根节点开始按出现顺序标记。
2. 构建有效硬币 ：用户选择合适层级的先前未花费的标签为 xcoin 的节点，并完成以下操作：
- 证明签名知识 ：证明自己知道对已承诺消息 (s, t, skU) 的有效签名以及 skU 的知识。使用多块 P - 签名方案对块 (s, t, skU) 进行签名，并利用 P - 签名中 SigProve 产生的证明，在非交互零知识证明（NIZK）中高效证明对已承诺输入的签名知识。
- 承诺 PRF 种子 ：通过对群元素 (S, T) = (h^s, h^t) 的承诺来承诺 PRF 种子。
- 承诺路径并证明有效性 ：承诺连接 xcoin 到根节点的路径，并证明这些承诺对应一个有效路径。
- 计算硬币序列号 ：计算硬币序列号 YL - ℓ = g^(1 / (s + xcoin))，其中输入是要花费的节点的标签。
- 生成 NIZK 证明 ：生成 NIZK 证明，确保所有操作的一致性。
- 添加防双重花费材料 ：添加一些材料，使得后续花费 xcoin 的祖先或后代节点时能够被检测到。

2.2 防双重花费的关键步骤

为了解决双重花费问题，在每个节点的路径上，用户需要添加一些特殊的对。如果 {x0, …, xL - ℓ} 表示从根节点 x0 到 xL - ℓ = xcoin 的路径，对于每个 j ∈ {0, …, L - ℓ}，在硬币中包含一对 (Tj, 1, Tj, 2)，其中 Tj, 1 = h^δj, 1（δj, 1 是从 Zp 中随机选取的），Tj, 2 = e(Yj, Tj, 1)，Yj = g^(1 / (s + xj)) 是标签 xj 的 PRF 值。同时，用户必须添加 NIZK 证明，证明对 (Tj, 1, Tj, 2) 的计算是正确的。这样，银行在每次存款时通过进行 ns 次配对评估（ns 表示先前已花费硬币的数量），能够检测到已花费节点是否在连接先前已花费节点到根节点的路径上。

此外，为了暴露双重花费者的公钥 pkU，用户还需要在路径的每个节点添加一对 (Tj, 3, Tj, 4) = (h^δj, 2, pkU · e(Yj, Tj, 3))。如果用户后续花费路径中 xcoin 上方的节点，pkU 就会被暴露。对于涉及同一树节点 xcoin 的另一种双重花费情况，用户需要使用钱包的种子 t 和商家的数据 R 计算另一个安全标签 ZL - ℓ = g^skU * g^R / (t + xL - ℓ)，用于识别作弊用户。

最后，为了获得免责性（防止不诚实的银行错误指控用户双重花费硬币），还需要添加另一对形式为 (h^δj, 3, e(g0, h^skU) · e(Yj, h^δ3)) 的元素，其中 g0 ∈ G1 是公共参考串（CRS）的一部分，这样诬陷用户需要计算 e(g0, h^skU) 并解决一个（计算）双线性 Diffie - Hellman 实例。

2.3 生成 NIZK 证明

为了解决生成非交互证明的问题，需要为多个配对积方程生成证明。由于匿名性的要求，需要构建一个模拟器来模拟证明者而无需知道任何见证信息，这意味着需要多次为配对积方程生成 NIZK 证明。幸运的是，特定的方程属于可以通过引入额外变量来生成 NIZK 证明的类别，因此需要为每个配对积方程引入辅助变量。

以下是消费硬币步骤的流程图：

graph TD;
    A[确定未花费节点] --> B[证明签名知识];
    B --> C[承诺 PRF 种子];
    C --> D[承诺路径并证明有效性];
    D --> E[计算硬币序列号];
    E --> F[生成 NIZK 证明];
    F --> G[添加防双重花费材料];

3 系统构建

3.1 初始化算法

• CashSetup(λ) ：选择阶为 p > 2^λ 的双线性群 (G1, G2, GT) 以及生成元 g, g0（随机从 G1 中选取），h（随机从 G2 中选取）。生成 Groth - Sahai 公共参考串 paramsGS = {g, h, ⃗u1, ⃗u2, ⃗v1, ⃗v2} 用于完美健全性设置。同时选择一个抗碰撞哈希函数 H : {0, 1}* → Zp。输出 params := {(G1, G2, GT), g0, paramsGS, H}。
• BankKG(params, L) ：运行 SigSetup(λ, n)（n = 3）以获得 P - 签名的密钥对 (sk, pk)。银行的密钥对定义为 (skB, pkB) = (sk, pk)，其中 pkB 包含 u, U = g^β, ˜U = h^β, {Vi = g^ai, ˜Vi = h^ai}（i 从 1 到 3）和 L。
• UserKG(params) ：用户 U 为随机选取的 skU（从 Zp 中）定义其密钥对为 (skU, pkU = e(g, h)^skU)。

3.2 取款协议

用户 U 和银行 B 执行以下交互式协议：
1. 用户生成承诺并证明 ：用户 U 随机选取 s′, t′（从 Zp 中），计算完美隐藏承诺 Cs′ = Com(s′, opens′)，Ct′ = Com(t′, opent′) 和 CskU = Com(skU; openskU)。用户将 (Cs′, Ct′, CskU) 发送给银行 B，并提供交互式见证不可区分证明，证明自己知道如何打开 (Cs′, Ct′)。此外，用户还提供交互式零知识证明，证明 CskU 是对用于生成 pkU 的私钥 skU 的承诺。
2. 银行发送辅助值 ：如果证明验证通过，银行 B 选取 (s′′, t′′)（从 Z2p 中）并发送给用户 U。
3. 用户更新承诺并证明 ：用户 U 设置 s = s′ + s′′，t = t′ + t′′，将承诺 Cs′ 和 Ct′ 更新为 Cs = Com(s, opens) 和 Ct = Com(t, opent)。用户将 (Cs, Ct) 发送给银行，并提供证明，证明这些承诺的计算是正确的。
4. 联合运行协议获取签名 ：用户 U 和银行 B 联合运行协议 SigIssue(params, sk, (Cs, Ct, CskU)) ⇆ SigObtain(params, pk, (s, t, skU), (opens, opent, openskU))，最终用户 U 获得银行对 (s, t, skU) 的签名 σ。用户 U 存储钱包 W = (s, t, skU, σ, state)，其中 state = ∅。
5. 银行记录信息 ：银行 B 在用户 U 的账户上记录价值为 v = 2^L 的借方。银行存储协议的记录和追踪信息 pkU 到其数据库 T 中。

3.3 消费协议

假设用户 U 要在初始价值为 2^L 的钱包 W 中消费价值为 2^ℓ 的硬币，用户 U 确定对应高度为 ℓ 的未花费硬币的第一个节点的标签 xcoin，并计算 S = h^s 和 T = h^t，然后执行以下步骤：
1. 证明签名知识 ：用户 U 生成承诺和证明 {CS, i}（i 从 1 到 3），{CT, i}（i 从 1 到 3），{CU, i}（i 从 1 到 3），πsig ← SigProve(params, pk, σ, (s, t, skU))。输出包括对 (LU, 1, LU, 2, LU, 3) = (h^skU, u^skU, ˜V^skU3) 的承诺 {CU, i}（i 从 1 到 3），以及包含 (LS, 1, LS, 2, LS, 3) = (h^s, u^s, ˜V^s1) 和 (LT, 1, LT, 2, LT, 3) = (h^t, u^t, ˜V^t2) 的 {CS, i, CT, i}（i 从 1 到 3）。此外，用户计算 CKU = GSCom(h^skU, open′U) 作为对 KU = h^skU 的承诺，并生成 NIZK 证明 πKU ← EqComProve(LU, 1, KU)，证明 CKU 和 CU, 1 是对同一值的承诺。
2. 处理路径节点 ：对于 j 从 0 到 L - ℓ 执行以下操作：
- 生成节点相关承诺和证明 ：如果 j > 0，生成对 Xj = h^xj 的承诺 CXj = GSCom(h^xj, openxj)，并证明 xj = 2xj - 1 + bj（bj 为 0 或 1）。为此，生成承诺 Cbj = GSCom(g^bj, openbj) 和 C′bj = GSCom(h^bj, open′bj)，以及 NIZK 证明 πxj ← EqComProve(CXj, C′Xj)，证明 CXj 和 C′Xj = C2Xj - 1 · C′bj 打开到相同的值。为了证明 bj ∈ {0, 1}，用户生成 NIZK 证明 (πbj, 1, πbj, 2) 用于配对积方程 e(g^bj, h) = e(g, h^bj) 和 e(g^bj, h^bj) = e(g^bj, h)。
- 生成 PRF 值相关承诺和证明 ：如果 j < L - ℓ，生成对 PRF 值 Yj = g^(1 / (s + xj)) 的承诺 CYj = GSCom(Yj, openYj) 以及 NIZK 证明 πYj，证明 e(Yj, LS, 1 · Xj) = e(g, h)。这包括对变量 ΦYj ∈ G1 的承诺 CΦYj 和证明 e(ΦYj, LS, 1 · Xj) = e(g, h) 以及 e(Yj / ΦYj, h^θ) = 1GT。然后，随机选取 δj, 1, δj, 2, δj, 3（从 Zp 中），计算 Tj, 1 = h^δj, 1，Tj, 2 = e(Yj, h)^δj, 1，Tj, 3 = h^δj, 2，Tj, 4 = pkU · e(Yj, h)^δj, 2，Tj, 5 = h^δj, 3，Tj, 6 = e(g0, h^skU) · e(Yj, h)^δj, 3。生成 NIZK 证明 (πj, T1, πj, T3, πj, T5) 证明 (Yj, KU) 满足 Tj, 2 = e(Yj, Tj, 1)，Tj, 4 = e(g, KU) · e(Yj, Tj, 3)，Tj, 6 = e(g0, KU) · e(Yj, Tj, 5)。
- 计算序列号和安全标签 ：如果 j = L - ℓ，计算序列号 YL - ℓ = g^(1 / (s + xL - ℓ)) 并生成 NIZK 证明 πYL - ℓ，证明 e(YL - ℓ, LS, 1 · XL - ℓ) = e(g, h)。计算 ZL - ℓ = g^skU * g^R / (t + xL - ℓ)（其中 R = H(info, pkM) ∈ Zp），并生成 NIZK 证明 πZL - ℓ 证明 ZL - ℓ 的格式正确。
3. 更新状态并输出硬币 ：最后，用户将 state 更新为 state′ = state ∪ {(xcoin)}，并输出硬币 coin，其包含各种承诺、证明、序列号、安全标签和信息。

3.4 验证硬币和存款协议

• VerifyCoin(params, pkM, pkB, v = 2^ℓ, coin) ：解析硬币并检查所有证明是否验证通过，若通过则返回 1。
• Deposit(params, pkB, pkM, coin, 2^ℓ, DBB) ：解析硬币并执行与 VerifyCoin 相同的检查。然后，定义 DB′B = DBB ∪ {(coin, flag, 2^ℓ, pkM)}，其中 flag 的值取决于硬币是否是价值为 2^ℓ 的有效硬币以及是否检测到作弊尝试。
  • 如果硬币验证不通过，银行将 flag 设置为 “M”，表示作弊的商家。
  • 如果硬币验证通过，银行进行以下测试：对于数据库 DBB 中的每个条目 (coins, flags, 2^ℓs, pkMs)，解析 coins。如果 (infos, pkMs) = (info, pkM)，银行将 flag 设置为 “M”。否则，从 coins 中提取路径、序列号和标签，与当前硬币的相应信息进行比较。如果 ℓ < ℓs 且 TL - ℓs, 2 = e(YL - ℓs, TL - ℓs, 1)，或者 ℓ > ℓs 且 Ts, L - ℓ, 2 = e(YL - ℓ, Ts, L - ℓ, 1)，或者 ℓ = ℓs 且 YL - ℓ = YL - ℓs，银行将 flag 设置为 “U”，输出 coins 和 coin 并报告双重花费。
  • 如果硬币验证通过且未检测到双重花费，银行将 flag 设置为 “accept”，并将 2^ℓ 的金额存入商家 pkM 的账户。

3.5 识别双重花费者

如果输入欺诈性硬币 coina 和 coinb，银行 B 可以按以下方式识别双重花费者：
1. 提取信息 ：从 coina 中提取 infoa，{(T(a)j, 1, T(a)j, 2, T(a)j, 3, T(a)j, 4)}（j 从 0 到 L - ℓa - 1），(Y(a)L - ℓa, Z(a)L - ℓa)；从 coinb 中提取 infob，{(T(b)j, 1, T(b)j, 2, T(b)j, 3, T(b)j, 4)}（j 从 0 到 L - ℓb - 1）和 (Y(b)L - ℓb, Z(b)L - ℓb)。
2. 恢复公钥 ：如果 ℓb > ℓa，通过 pkU = T(a)L - ℓb, 4 / e(Y(b)L - ℓb, T(a)L - ℓb, 3) 恢复 pkU；如果 ℓb < ℓa，通过 pkU = T(b)L - ℓa, 4 / e(Y(a)L - ℓa, T(b)L - ℓa, 3) 恢复 pkU；如果 ℓa = ℓb，计算 Ra = H(infoa, pkMa)，Rb = H(infob, pkMb)，然后计算 κ = (Z(a)L - ℓa / Z(b)L - ℓb)^(1 / (Ra - Rb))，进而恢复 g^skU = Z(a)L - ℓa / κ^Ra，最终得到 pkU = e(g^skU, h)。

4 安全性分析

该方案的安全性依赖于哈希函数 H 的抗碰撞性以及一些难解性假设，如 SXDH、D3DH、TDH、D3DH、qw - HSDH 和 2^(L + 2) - DDHI 假设（qw 表示取款查询的数量）。在这些假设成立的情况下，该电子现金方案提供了匿名性、平衡性、可识别性和弱免责性。

其中，最困难的安全证明部分是匿名性证明。在构建模拟器时，需要为形式如 (2) 的配对积方程模拟 NIZK 证明，这并非易事。通常只有当方程的目标元素可以表示为已知 G1 和 G2 元素的配对时，才知道如何进行模拟。为了解决这个问题，采用了与之前类似的方法，借助 D3DH 假设，将 D3DH 输入元素 Γ（可能是 gabc 或 G1 中的随机元素）作为目标配对值的 “原像”，通过引入辅助变量来模拟配对积方程的证明。

综上所述，本可分割电子现金方案在解决双重花费问题、保证用户匿名性和安全性方面具有一定的优势，但在实际应用中还需要进一步考虑性能和效率等方面的因素。未来可以在这些方面进行优化和改进，以推动可分割电子现金的更广泛应用。

5 关键技术点分析

5.1 双线性群与 Groth - Sahai 证明

本方案中使用了双线性群 (G1, G2, GT)，双线性群在密码学中具有重要作用，它提供了一种高效的方式来进行加密和证明操作。Groth - Sahai 公共参考串 paramsGS 的生成是为了支持完美健全性设置下的证明系统。在消费协议和验证过程中，大量的证明都依赖于双线性群的性质和 Groth - Sahai 证明机制。例如，在证明签名知识、路径有效性以及各种配对积方程时，都需要利用双线性映射的特性来构建和验证证明。

5.2 伪随机函数（PRF）

方案中使用了 Dodis - Yampolskiy PRF，种子 s 和 t 用于生成各种关键值，如硬币序列号 YL - ℓ = g^(1 / (s + xcoin)) 和 PRF 值 Yj = g^(1 / (s + xj))。PRF 的使用增加了系统的随机性和安全性，使得攻击者难以预测和伪造相关值。同时，在计算安全标签 ZL - ℓ = g^skU * g^R / (t + xL - ℓ) 时，也依赖于 PRF 种子 t，进一步增强了系统对双重花费的抵抗能力。

5.3 承诺方案

承诺方案在整个系统中起到了重要的作用，用于隐藏敏感信息并在后续步骤中进行证明。用户在取款协议中生成的承诺 Cs′、Ct′ 和 CskU，以及在消费协议中生成的各种承诺，如 CXj、CYj、CKU 等，都是为了在不泄露具体值的情况下证明自己拥有相关知识。例如，用户通过交互式见证不可区分证明和交互式零知识证明来证明对承诺的打开能力，从而确保系统的安全性和隐私性。

5.4 多块 P - 签名方案

多块 P - 签名方案用于对向量 (s, t, skU) 进行签名，在证明签名知识的步骤中，利用 SigProve 产生的证明可以在 NIZK 中高效证明对已承诺输入的签名知识。这使得用户能够在不泄露签名具体内容的情况下向银行和商家证明自己拥有合法的签名，从而完成消费和验证过程。

6 性能与效率考虑

6.1 消费阶段复杂度

消费阶段的复杂度取决于树中节点的深度，节点越深，消费阶段的成本越高。这是因为随着节点深度的增加，需要处理的路径节点数量增多，相应的承诺和证明操作也会增加。例如，在处理路径节点时，对于每个节点 j 从 0 到 L - ℓ，都需要进行一系列的承诺生成、证明计算和配对评估等操作，这些操作的数量与节点深度成正比。

6.2 配对评估次数

在存款协议中，银行需要进行配对评估来检测双重花费。每次存款时需要进行 ns 次配对评估（ns 表示先前已花费硬币的数量），这会随着已花费硬币数量的增加而增加系统的计算负担。因此，在实际应用中，需要考虑如何优化配对评估的过程，以提高系统的效率。

6.3 辅助变量的引入

为了生成 NIZK 证明，需要为每个配对积方程引入辅助变量。虽然这些辅助变量使得可以为特定的配对积方程生成 NIZK 证明，但也增加了系统的复杂度和计算量。在实际应用中，需要权衡引入辅助变量带来的安全性提升和性能开销之间的关系。

以下是系统各阶段性能影响因素的表格总结：
| 阶段 | 性能影响因素 | 影响说明 |
| ---- | ---- | ---- |
| 消费阶段 | 节点深度 | 深度越深，承诺和证明操作越多，成本越高 |
| 存款阶段 | 已花费硬币数量 | 数量越多，配对评估次数越多，计算负担越大 |
| 证明生成 | 辅助变量引入 | 增加系统复杂度和计算量 |

7 应用场景与潜在挑战

7.1 应用场景

可分割电子现金方案具有广泛的应用场景，例如在电子商务中，用户可以根据商品的价格灵活分割电子现金进行支付，提高支付的灵活性和效率。在小额支付领域，可分割电子现金可以方便地进行多次小额交易，减少交易成本。此外，在一些需要匿名支付的场景中，该方案的匿名性和安全性可以满足用户对隐私的需求。

7.2 潜在挑战

• 性能优化 ：如前面所述，消费阶段的复杂度和存款阶段的配对评估次数等问题需要进一步优化，以提高系统的性能和响应速度。
• 安全假设依赖 ：方案的安全性依赖于多个难解性假设，如 SXDH、D3DH 等。如果这些假设在未来被破解，系统的安全性将受到威胁。因此，需要持续关注密码学领域的研究进展，及时调整安全策略。
• 用户体验 ：由于系统涉及大量的证明和计算操作，可能会影响用户的使用体验。例如，在消费过程中，用户需要等待较长时间来完成证明生成和验证，这可能会导致用户的不满。因此，需要在保证安全性的前提下，简化操作流程，提高用户体验。

7.3 应对策略

为了应对上述潜在挑战，可以采取以下策略：
- 性能优化 ：研究更高效的算法和数据结构，减少不必要的计算和存储开销。例如，优化配对评估算法，减少配对评估的次数。
- 安全策略调整 ：定期评估安全假设的有效性，及时引入新的安全技术和假设。同时，采用多因素认证和加密技术，增强系统的安全性。
- 用户体验改进 ：设计简洁易用的界面和操作流程，减少用户的操作负担。例如，开发移动应用程序，提供更便捷的支付方式。

以下是应对潜在挑战策略的流程图：

graph TD;
    A[性能优化] --> B[研究高效算法和数据结构];
    B --> C[优化配对评估算法];
    D[安全策略调整] --> E[评估安全假设有效性];
    E --> F[引入新安全技术和假设];
    F --> G[采用多因素认证和加密技术];
    H[用户体验改进] --> I[设计简洁界面和操作流程];
    I --> J[开发移动应用程序];

8 总结与展望

可分割电子现金方案在解决双重花费问题、保证用户匿名性和安全性方面具有重要意义。通过基于树的方法和一系列的密码学技术，如双线性群、PRF、承诺方案和多块 P - 签名方案等，实现了可分割电子现金的安全交易。然而，该方案在性能、效率和用户体验等方面还存在一些挑战。

未来的研究方向可以集中在以下几个方面：
- 性能提升 ：进一步优化算法和协议，减少计算和存储开销，提高系统的响应速度和处理能力。
- 安全增强 ：探索新的安全技术和假设，提高系统对各种攻击的抵抗能力。
- 用户体验改善 ：设计更加友好和便捷的用户界面和操作流程，提高用户的满意度。

通过不断的研究和改进，可分割电子现金有望在未来的数字支付领域发挥更大的作用，为用户提供更加安全、便捷和高效的支付体验。