37、高效可证明安全的限制性部分盲签名及隐私保护优惠券系统

高效可证明安全的限制性部分盲签名及隐私保护优惠券系统

1. 高效可证明安全的限制性部分盲签名

1.1 签名生成与验证

对于共享信息 (c) 和消息 (m’)，最终的签名为 ((z’, b’, a’, \sigma))。签名过程如下：
- 签名者选择 (r \in_R Z_q)，计算 (z = mrx)，(b = mr)，(a = yr)，并将 (z)，(b)，(a) 发送给接收者。
- 接收者检查 (e(z, g) = e(b, y) = e(m, a)) 是否成立。若成立，选择 (\alpha, \lambda, u \in_R Z_q)，计算 (m’ = m\alpha)，(z’ = z\alpha\lambda)，(b’ = b\alpha\lambda)，(a’ = a\lambda)，(\tilde{m} = H(m’, z’, b’, a’, c)(gH_0(c)y)^u)，并将 (\tilde{m}) 发送给签名者。
- 签名者计算 (\tilde{\sigma} = \tilde{m}^{\frac{1}{H_0(c)+x}}) 并发送给接收者。
- 接收者计算 (\sigma = \tilde{\sigma}g^{-u})。

签名验证 SV：若以下方程成立，则 ((z’, b’, a’, \sigma)) 是关于 (c) 和 (m’) 的有效签名：
- (e(\sigma, gH_0(c)y) = e(H(m’, z’, b’, a’, c), g))
- (e(z’, g) = e(b’, y) = e(m’, a’))

1.2 安全性分析

1.2.1 完整性

该方案实现了完整性，证明如下：
[
\begin{align }
e(\sigma, gH_0(c)y) &= e(\tilde{\sigma}g^{-u}, gH_0(c)y) \
&= e(\tilde{m}^{\frac{1}{H_0(c)+x}} g^{-u}, gH_0(c)y) \
&= e(H(m’, z’, b’, a’, c)^{\frac{1}{H_0(c)+x}}, gH_0(c)y) \
&= e(H(m’, z’, b’, a’, c), g)
\end{align }
]
[
e(z’, g) = e(mrx\alpha\lambda, g) = e(b’, y) = e(m\alpha, g^{rx\lambda}) = e(m’, a’)
]

1.2.2 限制性

该方案实现了限制性，证明与定理 2 相同。

1.2.3 部分盲性

假设在定义 4 的游戏步骤 5 中，(S^ ) 得到 (\perp)，(S^ ) 确定 (b) 的概率为 (\frac{1}{2})（与随机猜测 (b) 的概率相同）。即使是无限强大的 (S^*)，确定 (b) 的概率也仅为 (\frac{1}{2})。

1.2.4 不可伪造性

若对于所有信息 (info)，(l_{info} < poly(\log k))，则该方案是不可伪造的。证明分两种情况：
- 共同部分伪造：攻击者伪造关于从未在定义 5 的游戏中出现过的共同信息 (c) 的签名（即 (l_c = 0)）。
- 多一次伪造：(l_c \neq 0)。

1.3 效率分析

将该签名方案与 Maitland - Boyd 的签名方案进行比较，如下表所示：
| 属性 | Scheme [14] | 我们提出的方案 |
| — | — | — |
| 签名长度 | (|p| + 4|q|) | (4|G_1|) |
| 通信量 | (4|p| + 5|q|) | (5|G_1|) |
| 计算量（签名生成） | (20E + 2R) | (9M + 1R + 3P) |
| 计算量（签名验证） | (6E) | (5P) |

虽然该方案的计算复杂度比 Maitland - Boyd 的签名方案高，因为配对计算是最耗时的操作，但该方案的签名长度短，通信复杂度低，更适合低带宽通信环境。

1.4 电子现金系统应用

使用该限制性部分盲签名方案构建电子现金系统，涉及银行 (B)、账户持有者 (U) 和商店 (S)，具体流程如下：

1.4.1 系统设置

设 (G) 是素数阶 (q) 的间隙 Diffie - Hellman 群，((g, g_1, g_2)) 是随机生成元组。银行 (B) 的密钥对为 ((x, y = g^x))，定义三个密码安全哈希函数 (H : G\times G\times G \to G)，(H_0 : {0, 1}^* \to Z_q) 和 (H_1 : G \times G \times ID_S \times Date/Time \to Z_q)。

1.4.2 开户

账户持有者 (U) 随机生成 (u_1 \in_R Z_q)，计算唯一账户号 (I = g_1^{u_1})。若 (g_1^{u_1}g_2 \neq 1)，则 (U) 将 (I) 发送给 (B)，并保留 (u_1) 秘密。银行 (B) 将 (U) 的标识信息与 (I) 一起存储在账户数据库中。

1.4.3 取款协议

• 步骤 1：银行 (B) 生成随机数 (r \in_R Z_q)，发送 (z = (Ig_2)^{rx})，(b = (Ig_2)^r)，(a = y^r) 给 (U)。
• 步骤 2：(U) 检查 (e(z, g) = e(b, y) = e(Ig_2, a)) 是否成立。若成立，生成随机数 (\alpha, \lambda, x_1, x_2, u \in_R Z_q)，计算 (A = (Ig_2)^{\alpha})，(z’ = z\alpha\lambda)，(b’ = b\alpha\lambda)，(a’ = a\lambda)，(B = g_1^{x_1}g_2^{x_2}) 和 (\tilde{m} = H(A, B, z’, b’, a’, c)(gH_0(c)y)^u)，并将 (\tilde{m}) 发送给 (B)。
• 步骤 3：银行 (B) 响应 (\tilde{\sigma} = \tilde{m}^{\frac{1}{H_0(c)+x}})，(U) 计算 (\sigma = \tilde{\sigma}g^{-u})。若 (e(\sigma, gH_0(c)y) = e(H(A, B, z’, b’, a’, c), g))，则 (A)，(B)，(c)，((z’, b’, a’, \sigma)) 是一个有效的硬币。

1.4.4 支付协议

• 步骤 1：(U) 将 (A)，(B)，(c)，((z’, b’, a’, \sigma)) 发送给 (S)。
• 步骤 2：若 (A \neq 1)，(S) 发送挑战 (d = H_1(A, B, ID_S, date/time)) 给 (U)。
• 步骤 3：(U) 计算响应 (r_1 = d(u_1\alpha)+ x_1) 和 (r_2 = d\alpha+ x_2) 并发送给 (S)。商店 (S) 接受硬币当且仅当 (e(\sigma, gH_0(c)y) = e(H(A, B, z’, b’, a’, c), g))，(e(z’, g) = e(b’, y) = e(A, a’))，(g_1^{r_1}g_2^{r_2} = A^dB) 成立。

1.4.5 存款协议

商店 (S) 将支付记录发送给银行 (B)，银行 (B) 首先检查硬币的有效性，然后搜索存款数据库，若 (A) 未存储过，则存储 (A)，(c)，(date/time)，((r_1, r_2))；否则，可检测到双重存款或双重花费。

2. 隐私保护优惠券系统

2.1 引言

优惠券是企业吸引新客户或增加现有客户吸引力的有用手段。多优惠券可以在与优惠券发行者相关的企业中多次兑换。然而，若优惠券与用户相关联，可能会侵犯用户隐私。隐私保护优惠券（PPC）系统可以解决这个问题，使购买不可关联，用户隐私得到保护。

2.2 现有系统问题

CESSS05 系统存在一些问题：
- 发行和兑换优惠券的成本与兑换限制呈线性关系。
- 系统安全性未得到证明，仅提供了一些关于系统属性的论证。
- 优惠券永久有效，无法终止。

2.3 新方案特点

提出了一种新的 PPC 系统，具有以下特点：
- 通信和计算成本恒定，不依赖于多优惠券的价值上限。
- 优惠券可撤销，系统可证明安全。

2.4 系统优势

与其他优惠券系统相比，该系统的优势明显。一些系统虽然保护用户隐私但允许优惠券拆分，一些系统会泄露优惠券的剩余价值或允许交易关联，还有一些系统无法限制优惠券的兑换。而该系统解决了这些问题，提供了更好的隐私保护和安全性。

2.5 系统方案实现

2.5.1 方案整体思路

该方案采取了与 CESSS05 不同的方法，旨在提供具有更高效率、安全性和功能性的 PPC 系统。它是首个通信和计算成本不依赖于多优惠券价值上限的多优惠券系统，也是首个将用户隐私保护与多优惠券可撤销性相结合的系统。

2.5.2 安全模型与证明

为该 PPC 系统建立了安全模型，并在该模型中证明了系统的安全性。这确保了系统在面对各种攻击时能够保持其隐私保护和不可伪造等特性。

2.6 方案对比分析

下面通过表格对比该 PPC 系统与其他一些典型系统的特性：
| 系统特性 | 部分已有系统（如 [12], [5], [19]） | 部分已有系统（如 [15], [23]） | 部分已有系统（如 [6], [20]） | 本方案 PPC 系统 |
| — | — | — | — | — |
| 用户隐私保护 | 有 | 部分有或无 | 有或无 | 有 |
| 优惠券拆分 | 允许 | 不允许或未提及 | 不允许或未提及 | 不允许 |
| 剩余价值透露 | 不透露或未提及 | 透露 | 不透露或未提及 | 不透露 |
| 交易可链接性 | 不可链接或未提及 | 可链接 | 不可链接或未提及 | 不可链接 |
| 优惠券兑换限制 | 无限制或未提及 | 有或无 | 无限制 | 有 |
| 优惠券可撤销性 | 无 | 无 | 无 | 有 |
| 成本与价值上限关系 | 未提及或有依赖 | 未提及或有依赖 | 未提及或有依赖 | 无依赖 |

从表格中可以清晰地看出，本方案的 PPC 系统在多个关键特性上具有明显优势，能够更好地满足实际应用中对优惠券系统的需求。

2.7 系统流程

下面通过 mermaid 流程图展示该 PPC 系统的主要流程：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([开始]):::startend --> B(用户请求优惠券):::process
    B --> C{系统验证用户}:::decision
    C -->|通过| D(系统生成优惠券):::process
    C -->|不通过| E(拒绝请求):::process
    D --> F(用户使用优惠券):::process
    F --> G{商家验证优惠券}:::decision
    G -->|有效| H(交易完成):::process
    G -->|无效| I(拒绝交易):::process
    H --> J{系统检查是否撤销}:::decision
    J -->|是| K(撤销优惠券):::process
    J -->|否| L(继续有效):::process
    E --> M([结束]):::startend
    I --> M
    K --> M
    L --> M

该流程图展示了从用户请求优惠券到最终交易完成以及系统对优惠券状态管理的整个过程。用户首先请求优惠券，系统进行验证，通过后生成优惠券。用户使用优惠券时，商家进行验证，若有效则完成交易。交易完成后，系统会检查是否需要撤销优惠券，根据检查结果进行相应处理。

3. 总结

3.1 签名方案总结

提出的高效可证明安全的限制性部分盲签名方案具有多方面的优势。在安全性上，通过严格的证明实现了完整性、限制性、部分盲性和不可伪造性，能够有效抵御各种攻击。在效率方面，虽然计算复杂度因配对计算而有所增加，但签名长度短和通信复杂度低的特点使其更适合低带宽通信环境。在电子现金系统的应用中，该方案为银行、账户持有者和商店之间的交易提供了安全可靠的解决方案，能够有效防止双重花费等问题。

3.2 优惠券系统总结

新的隐私保护优惠券系统针对现有系统的不足进行了改进。通过提供恒定的通信和计算成本、可撤销的优惠券以及可证明的安全性，该系统解决了现有系统在成本、安全性和功能性方面的问题。与其他系统相比，该系统在用户隐私保护、优惠券管理等多个关键特性上表现出色，能够更好地满足实际应用中对优惠券系统的需求，为企业和用户提供了更优质的服务。

总体而言，这两个方案在各自的领域都具有重要的应用价值，为相关领域的安全和效率提升提供了新的思路和方法。