电子现金技术

计算机科学2004Vol. 31N9. 1电子现金技术*)李继国’曹珍富? 李建中'(哈尔滨工业大学计算学院哈尔滨 150001)' ( 上海交通大学计算机系上海 200030)2摘要本文首先介绍电子现金产生的背景、概念、研究思路、 国内外现状与进展。然后介绍了电子现金系统的模型、分类、关键技术、存在的问题及述评。最后对电子现金技术的未来进行展望。目的在于让广大读者了解电子现金的发展和重要意义,激发读者积极参与电子现金技术的研究,促进我国电子商务的发展。关键词电子现金,盲签名 ,匿名性,可分性E-Cash TechnologyLI Ji-Guo' CAO Zhen-Fu2 Li Jian-Zhong '(School of Computer Science &. Technology, Harbin Institute of Technology , Harbin 150001, Chia )1(Department of Computer Science &. Technology，Shanghai Jiao Tong University ，Shanghai 200030, China)?Abstract This paper firstly introduces background ,conception ,research idea，present situation and progress at homeand abroad of e-cash technology. Then we introduce models ,categories ,key technologies ,open problems and remarksof e-cash system. Finally,we look into the future of e-cash technology. We want to make most readers learn aboutprogress and significance of e-cash technology ,to encourage readers to participant the research of e-cash technology,and to accelerate development of e-commerce in our country.Keywords E-cash, Blind signature, Anonymity, Divisibility易拷贝,因此重复花费不可避免,并且事后检查出的重复花费1.引言所造成的损失如何挽回也是尚待解决的问题。完全匿名的电随着Internet 网络技术的飞速发展,建立在Internet 网子现金系统[口可使不法分子进行“完美犯罪”18],如敲诈、勒络技术基础之上的电子商务正在逐渐走进我们的生活。人们索、非法购买.行贿受贿等。于是基于密钥托管[18.19]、公平盲对方便、快捷.安全的电子支付技术的需求越来越迫切，而电签名9和间接论述证明120(indirect discourse proofs)等思想子现金(E-Cash)就是-种非常重要的安全电子支付系统,电的匿名撤销的离线电子现金方案[19-12.21和公平离线电子现子现金正是在这样的背景下应运而生的。商家希望通过金方案[0.222成为研究的热点。针对在线和离线电子现金系统Internet来销售其商品,顾客也希望能够通过Internet方便而的优缺点，陈恺,张玉清和肖国镇[3]给出一种概率验证方案,安全地购买物品。这一切,既为Internet 技术的发展提供了新建立了一个联机和脱机相结合的匿名可分电子现金系统。-的动力，同时也使其面临着巨大的挑战。这是因为,电子商务个理想的电子现金系统应具有如下性质:的发展离不开电子化的交易手段，而Internet却缺乏标准的独立性:电子现金的安全性不依赖于任何物理位置,电子安全机制,难以保证在电子化交易中交易双方的身份认证、交现金能通过计算机网络传送。易数据的保密性、匿名性.不可否认性以及交易的公平性。条件匿名性:现金的使用不泄露合法用户的身份,在必要为了解决这些问题,计算机专家和密码学专家们利用密时(如用户被怀疑敲诈、勒索等)可借助可信第三方撤销匿名.码技术,在Internet标准协议基础之上进行了深入的探讨与研究，提出了许多电子现金方案1-1]。电子现金(E- Cash)又不可伪造性:除了银行合法发行电子现金外,任何人都不称电子货币(E-money/coin),数字现金(Digital cash/能伪造电子现金。money),它可以看作是现实纸币的电子或数字模拟,但比现不可重复花费性:电子现金只能使用一次,重复花费将以实纸币更方便经济,它是-种重要的电子支付系统。它的最简很大的概率被发现。单形式包括三个主体和四个安全协议过程:商店,用户,银行;可分性:电子现金可以分成更小数额的几份现金,但总金注册协议,提款协议,支付协议,存款协议。第一个电子现金方额保持不变。案由Chaum在1982 年提出,他利用盲签名技术,可以完全可传递性:用户可以任意地将电子现金转借给别人,而不保护用户的隐私权。根据电子现金在花费时是否与银行进联被追踪。机验证,分为在线电子现金系统和离线电子现金系统。尽管在.不可连接性:用户不同的电子现金不能被联系起来。线电子现金系统有非常好的安全性,但巨大的通信量和验证离中国煤化工时，商店不需要和银行进中心的瓶颈会使得系统的效率极低。而离线电子现金系统对行联机MHC NMH G,用户的重复花费都是进行事后检测,又由于电子现金非常容目例凹介工已仅八收用时电丁现金系统有Netcash[24]电*)国家自然科学基金(No.60072018),国家杰出青年科学基金资助项目(60225007),教育部高等学校博士学科点专项基金(20020248024)。李继国博士生,主要研究方向为密码学理论与技术、 电子商务等;曹珍富教授 .博士生导师,主要研究方向为数论与现代密码算法理论、信息安全的理论与技术、密码协议与网络安全、电子商务等;李建中教授, 博士生导师，主要研究领域为数据库系统技术,并行计算技术。子现金构架,欧盟ESPRIT计划研制的CAFE251(Conditional据来自B的取款协议信息返回取款来源信息。B能通过访问Access for Europe)系统,D. Chaum建立的E-Cash[26]系统以它的存款协议信息使用T的返回值来发现货币。及CyberCash[2r]等电子现金系统。而国内在电子现金设计方用户跟踪协议允许授权机构阻止洗黑钱,因为他们能发面的工作仅限于理论研究,暂时还没有安全、有效、实用的电现可疑货币的来源。它也允许授权机构发现使用匿名服务的子现金系统。尽管各国都在积极地研究电子现金技术,但出于顾客的身份,而对合法用户仍然提供匿名性。安全和效率等多方面的技术原因,真正实用的大规模电子现货币跟踪协议允许授权机构发现可疑取款的目的地。这金系统尚不多见。能解决勒索问题8]:-名顾客被勒索并且强迫匿名提取电子货币,以至勒索者能不被验证身份地使用这些货币,实际上进2.主要电子现金模型行着“完美犯罪”，当然不幸者不得不抱怨并且要求继续跟踪本文总结出四个常用的电子现金模型如图1~4。取款。当可疑用户取款时,该机制也能跟踪他的活动。图1是电子现金的基本模型,包括三个主体和四个安全张方国、张福泰、王育民]首次提出了多银行电子现金协议过程:商店s.用户U,银行B;一个取款协议,用户U从模型,如图4所示,这些银行形成一个群体，受中央管理,每个.银行B提取电子现金,这时他的帐户被记入借方;一个支付银行都可以发行电子现金。这个系统的参与主体有:中央银行协议,用户U支付电子现金给商店S;一个存款协议，商店SB,各地分行B;,可信第三方T ,某个用户U(他有自己的银行把电子现金存入银行B,这时它的帐户被记入贷方。B;),商店(他有自己的银行B)。工作过程如下:在离线电子现金系统中,同- -电子现金两次花费能被检注册:用户U首先在可信第三方建立起身份与化名,或查,但不能防止。针对这一问题，1992年D.Chaum 和身份与匿名的身份号的联系,使得以后可信第三方通过这些T. P. Pedersen5]利用防窜扰设备(如smart卡)解决了这一问联系能够实现用户的匿名撤销,同时用户也得到了可信第三题,并给出了具有电子钱包的电子现金模型(如图2所示)。在方发给他的可以证明已经注册的合法证书。该模型中,Smart卡与用户相互制约防止用户两次花费同一开户:用户U在自己的银行B,有帐号。电子现金。即如果用户删除对Smart卡不利的信息或两次花提款:用户U从自己的银行B;提取- -笔电子现金。费同一电子现金,则Smart卡不工作。另一方面,Smart卡不支付:用户U在商店买了东西,将现金支付给商店。能直接向外部发送或从外部接收信息,而必须通过用户进行，存款:商店在自己的银行B;将得到的电子现金存入自己以防止Smart卡将用户的保密信息(如身份等)泄露出去。其的帐号，它工作过程如基本模型。追踪:银行B;发现这笔电子现金有问题时，由中央银行找到银行B,然后借助可信第三方追踪到用户U。提款银行人存款为了减轻商店的工作量,使得商店可方便地验证任意-笔电子现金的合法性,假定所有银行形成一个群体,各银行利(用户支付用群盲签名技术发行电子现金15]。(可信第三方中央银行图跟踪Smart ..提敕,存款..(银行i)...(银行j..( 银行s注册\存蔌\用j商店用户图2J. Camenisch, U. Maurer . M. Stadler[o]提出的公平离线图4多银行公平电子现金模型电子现金模型(如图3所示)扩展了上述两个模型的功能。除了具有基本模型的全部功能外,它还可利用可信第三方T来3.电子现金的关键技术进行用户跟踪和货币跟踪。用户跟踪协议跟踪指定货币的用户身份。在这个协议中B把存款协议的信息提供给T。T返3.1盲 签名技术回一个包含验证信息的串,通过它B由帐户数据库验证用户1982年,Chaum]首次提出盲签名概念,并利用盲签名的身份。技术提出了第一个电子现金方案。利用盲签名技术可以完全保护用户的隐私权,因此，盲签名技术仍在诸多电子现金方可信第三方案°~I中广泛使用。货币跟踪↓↓用户跟踪盲签名:一个盲签名方案包括两个实体,消息发送者和签银.行名者。它允许发送者让签名者对给定的消息签名,并且没有泄.取款露关中国煤化工:支付,名者.THCNMHG们设A为发送者B为签说有如下几个步骤:(1)A将消息m乘-个随机数得m',这个随机数通常称为盲因子,A将盲消息m'送给B。图3公平离线电子现金模型(2)B对m'签名后,将其签名sig(m' )送给A.货币跟踪协议跟踪货币取款的来源。在这个协议中,T根(3)A通过除去盲因子可从B关于m'的签名sig(m' )中●6●得到B关于原始消息m的签名sig(m)。用目前流行的各种盲签名方案,则无法获取有关待签名的盲.但遗憾的是S.vanSolms,D.Naccade[8]指出盲签名在完签名候选的任何信息,因此必需使用“分割选择”技术来检查全保护用户隐私的同时,也为许多不法分子提供了方便。他们盲签名候选的内容,这极大地降低了电子现金的效率。1996利用电子现金的完全匿名性进行-些违法犯罪活动,如敲诈年,M. Abe,E. Fujsaki[OJ针对在线电子现金系统银行数据库勒索、洗钱、贪污、非法购买等。出于这个原因,1995年，无限增长问题提出的部分盲签名概念为此问题的解决提供了M. Stadler,J-M. Piveteau和J. Camenisch[9]提出了公平盲签思路。钟鸣、杨义先[52]提出了一个部分盲签名方案,签名者在名的概念,可用于条件匿名支付系统[10~12]。公平盲签名模型.签名消息中加入某种身份信息,无需使用“分割选择”方法来包括发送者.签名者、可信第三方(如法官)和两个协议(发送检查盲签名候选的内容,并且在此基础上给出了一个基于比者和签名者之间的签名协议、签名者和可信第三方之间的连特承诺的有效.不可连接、可分电子现金方案153],这极大地提接恢复协议)(见图5)。高了电子现金的效率。s. Miyazaki和K. SakuraiC34J也利用部通过执行签名协议，发送者获得他所选择消息的有效签分盲签名方案设计了一个切实可行的电子现金系统。文[35~名,使得签名者不能把他看到的盲消息签名对与原始消息签37]中提出的部分盲签名方案和门限部分盲签名方案也能很名对联系起来。通过运行连接恢复协议签名者从法官获得信.容易地运用到目前的电子现金方案中。息,使他能识别出相应的盲消息签名对和原始消息签名对。根3.2分 割选择技术据连接恢复协议中法官从签名者获得的消息,可把公平盲签分割选择技术是密码学的重要技术之一,在电子现金系名方案分为两种类型:统.8.3中有重要的应用。在取款阶段用户向银行发送2n类型1 :给定签名者的盲消息签名对,法官发送信息使签条“盲候选"(其中n是安全参数),银行随机选择其中的n条名者能有效地认出相应的原始消息签名对。盲候选要求用户泄露盲候选的内部结构,银行验证它们的正类型1 :给定原始消息签名对,法官发送信息使签名者能确性并对剩余的n条盲候选进行盲签名。在支付阶段类似的.有效地识别相应的原始消息的发送者或发现相应的盲消息签分割选择技术被商店利用来验证用户身份的“线索”(hint),名对。使得如果用户两次花费,则商店通过两条线索识别用户。由此可见,分割选择技术是验证货币正确性的零知识证明的一个发送者签名协议签名者工具。因此,它保持了用户的匿名性。显然,分割选择技术导致通信.计算和存储开支的过分浪费,因为在每个阶段都有k个货币传输、存储和验证。因此,使用分割选择技术的电子现金消息签名对-..不可连接性盲消息签名对系统效率低,后来这种技术逐步被其它技术所取代,如部分盲下连接恢复协议签名225.8技术,电子钱包技术5.40~48]等,类型I3.3 比特承诺技术.所谓比特承诺,简单地说就是证明者P想对验证者V承诺一个预测(即1比特或比特序列),但直到某个时间后才揭图5公平盲 签名示他的预测。另一方面,V想确信P承诺了他的预测后,他没有改变他的想法。T.Okamotol4]首先提出检查使用离散对数公平盲签名主要有两方面的应用。-方面,在匿名支付系承诺的数是否在指定的区间这一思想,并应用到电子现金系统中为防止洗钱提供工具。在基于类型I 的支付系统中,可信统中。后来A.Chan，Y. Frankel, Y. Tsiounis[45]改进了第三方能发现可疑取款的目的地,而在基于类型I的支付系T. Okamoto方案,降低了计算复杂性和通信量,并且他们的统中,他们能确定可疑现金源。另一方面,它能防止文[8]中提方案可以方便地使用文[10,11,20]中的跟踪方法。最近,钟出的“完美犯罪”方案:即一个用户被敲诈并强迫他匿名提取.鸣,杨义先[33]1也利用文[44]中的比特承诺技术给出了一个有现金。如果使用公平盲签名方案类型1,在给定银行取款协议效的不可连接电子现金方案。比特承诺技术在电子现金系统中所看到的信息后,可信第三方能跟踪被敲诈的电子现金。中发挥着重要作用。因此,在某种程度上说能否设计出安全、注1:公平盲签名技术不能解决广义敲诈问题,即不法分高效、实用的电子现金系统关键在于能否设计出高效的比特子强迫银行使用完全盲签名协议,则无法跟踪该不法分子。承诺方案。M. Stadler ,J-M. Piveteau和J. Camenisch[9]提出了两种公平3.4 - 次零知识认证技术盲签名方案。-种是基于Chaum[]盲签名方案和分割选择方T. Okamoto和K. Ohta[6提出了一个新型认证技术,一法[1.4),另一种是基于Fiat- Shamirl28]方案的变形和不经意传次零知识认证系统。通俗地说,在这个认证系统,两次使用同输概念(29]。前者在签名协议中需要大量的数据交换,而且签一认证被阻止。基于这种技术和分割选择技术,他们提出了-名较长,后者虽然签名非常短但签名协议效率低,两者都不适个新的满足不可跟踪性和不可再次花费性的不可跟踪电子现合于实际应用。因此,高效的公平盲签名方案尚待进-步研金方案,并进-步探讨了电子现金的可传递性和可分性。下面我们给出-次零知识认证的定义和存在性定理。在现有的公平电子现金系统中,商家和用户必需使用同-次零知识认证:认证系统(A,{P,V,))是-次零知识一银行,这一 要求使电子现金的广泛使用受到一定程度的限的,如中国煤化工制。1998 年,A. Lysyanskaya和Z. Ramzan[sI扩展了J. Came-存在一个概率多项式时间nisch和M. Stadler(80的群签名方案,提出了群盲签名方案,并图灵机YHc N M H G,(P.(S),Y.(2)(I)是多指出如何利用群盲签名方案构造多银行电子现金思想。最近，项式不可区分的。张方国、张福泰、王育民”首次提出了多银行电子现金模型，●-次性:存在一个概率多项式时间图灵机Mv,使得如并设计了一个可跟踪用户的多银行电子现金方案。果P,的认证以同-(C,X)被V,两次接受,那么对于输入I盲签名方案是匿名电子现金的基础。但是,如果单纯地使由Mv,产生的输出以压倒多数的概率满足关系R。下面定理说明-次零知识认证系统是存在的(FOLC),或者作为构造非交互间接论述证明的一个块,它能定理如果存在一个安全比特承诺方案(或单向函数)和够提供FOLC所必需的一些功能。安全数字签名方案,那么-次零知识认证系统能使用NP完设置:一个概率多项式时间(p.p.t. )证明者P和一个全关系来构造。p.p.t.验证者V。一般输入是A,B,a,b,G,G,Gs,其中a,b,注2:通俗地说,零知识性意味着当有效的证明者P,的Gi,G2,Gs是素阶子群G,的生成元,q∈Z;,p是大素数,Z;认证以同-(C,X)执行一次，则不会泄露关于秘密信息s的是乘群。假定证明者不知道与a,b,G,,Gr,Gs相对应的离散对任何知识。一次性意味着当有效的证明者P,的认证以同一故。向P秘密输入x,v,w使得A=a°G{(mod p),B=b°G%(C,X)执行两次.则秘密信息s会被验证者泄露。(mod p)。符号:EqLog[(A,a),G,(B,b),G2]表示A=a"Gi3.5证明对数等式技术(mod p),B=bGf(mod p),其中x∈G,G,Gz是G,的生成证明对数等式技术主要用于电子现金系统(4.20.3.40的跟元。人们直觉地认为log.A=logrB((计算总是模p)证明如图踪。用户和货币跟踪的一个基本工具是对数等式的有效盲证6所示。明。这种证明或者孤立地用在公平离线电子现金系统EqLog[(A,a),G,(B,b),Gr]输入:A,BP证明A=a"G(mod p),B=b'G"(mod p),即log.A- logoB: .py,sirsg.s∈rZqA'=a°Gp ,B' =b"GyA',B'c∈rZ,或c= H(A,A' ,a,Gi.B,B' ,b,G2.Info)r=c●x+yri=c●v+si+r2=c●w+s2Verify:a"●G1 ?A°●A'和b5●G2 ?B'. B'图6对数等式的证明到目前为止，仍没有十分系统的分类。H.Petersen和4.电子现金的分类G.Poupard(487根据电子现金系统的功能、性质、效率和安全性电子现金技术经过20年的发展,已取得了丰硕的成果。等综合考虑，给出了较为系统的分类.如图7.图8所示。电子现金系统跟踪系统不可跷踪系统信用卡支付微支付在线支付离线支付[不可撇销匿名][ 可撇销匿名}[ 不可歉销匿名[ 可敬销匿名]C分割选择[ 限制性盲签名]图7电子现金系统的分类可撤销匿名第三方参与取款」第三方参与注册第三方参与初始化| 不可连接系统|连接系统]l 不可连接系统}不可连接系统|[ 不防敲诈][ 在线防敲诈) [在线防敲诈][ 离线防敲诈]不防敲诈防敲诈支付除的“给*当的工“不加密中国煤化工个图8公 平电子现金系统YHCNMHG许值。5.可能的攻击不诚实的商店不诚实的用户●冒充(impersonation):商店多次重复花费或重复存储●透支(overspending):用户花费的现金值超出了它的允用户支付的现金。●洗钱(moneylaundry):商店通过非法活动获得电子现值得探讨的问题。金,为了隐藏货币的来源,商店设法将这些钱合法化。(3)可分性是电子现金的重要性质,其中最重要的是提供不诚实的银行精确支付问题。非可分电子现金方案[1限制了可分精度和精●跟踪用户:银行跟踪电子现金与用户之间的关系。确支付的次数。可分电子现金方案一般采用二叉树方●借助第三方跟踪用户:银行向第三方谎称电子现金已14,但它允许同一电子硬币的不同支付之间的可连接透支,在借助第三方跟踪该现金的诚实用户的身份后,指控该性,这就影响了用户支付的匿名性。因此寻求-种 新的有效可用户。分电子现金的表示方法,使得电子现金具有不可连接性和无诬陷用户:银行虚假地指控用户透支现金。限可分精度仍是-个尚未解决的问题23.17。诬陷商店:银行虚假地指控商店两次向银行存同一个.(4)在文[17]中给出了两个尚未解决的问题:一是设计一有效的电子现金。个实用的多银行电子现金方案不一定利用群签名技术;二是.透支后伪造现金:银行对一个已经透支的现金产生虛设计一个可废除群成员的群签名方案,这也是群签名方案的假的支付文本,以获取过多地赔偿。-个公开问题,若设计出可废除群成员的群签名方案,则可克不诚实的可信第三方服文[17,52]中的电子现金方案的缺点。本文作者认为使用向●诬陷用户:可信第三方虚假地识别一个诚实的用户,因前安全的数字签名方案5.54]结合文[17]中的思想可解决第此银行可能会毫无理由地指控该用户，二个尚未解决的问题。不诚实的局外人不诚实的局外 人是一个实体,它可能(5)尽管国内外学者对电子现金系统中的敲诈问题进行向可信第三方注册(但不是必须的)或者有一个银行帐户。了深入地探讨与研究。但到目前为止，由s. van Solms,●伪造现金对于伪造现金有三种不同的攻击:D.Naccadel°]提出的广义敲诈问题(即不法分子强迫银行使用-般伪造(universal forgery):一个实体为了获得有效的完全盲签名协议匿名地提取电子现金而无有效方法跟踪不法电子现金,在已知公开参数和过去的支付文本的情况下,伪造分子)仍没有得到彻底解决。银行的签名。(6)目前所有的公平电子现金方案都借助可信第三方(即多次取款伪造(one more forge):-个实体参与n次取款密钥托管的思想(18.19])来实现对可疑用户和现金进行跟踪。协议后,能获得第n+1次的有效电子现金。这样就存在两个问题:-是可信第三方权力过大,它只要与银透支伪造:一个实体知道几个透支的支付文本产生新鲜行合谋就能随意地跟踪合法的用户和现金，侵犯了用户的隐.现金文本,并且能够存入银行。私权。二是可信第三方无条件可信这个条件过强。本文作者认●现金或假名的窃听:一个消极的攻击者窃听取款、支付.为对于前者可通过秘密分享思想[55加以解决,对于后者采用或存款的通信以获得可花费的现金,-个积极的窃听者可扮半可信第三方的思想56.57]似乎更为合理。另一方面,现有的作中间人并且修改协议数据。同样的攻击也可应用在注册阶电子现金方案都是单银行发行电子现金,-旦银行的密钥泄段获取签名的假名。露或被攻击者窃取,那将是灾难性的。因为攻击者能够伪造电. 窃取或敲诈用户的现金:攻击者可能从用户的设备(如子现金且很难发现,对于这种情况作者认为如果采用公平门Smart卡)窃取现金文本或强迫用户从他的帐户取款,并且把限盲签名9]1或部分门限盲签名技术80],多个银行对电子现金它们转移到攻击者的设备,使得他以后能花费这笔现金。进行盲签名,即使攻击者得到-个或几个(小于门限值)银行●窃取或敲诈商店的现金:攻击者或者窃取商店设备中的签名密钥仍无法伪造合法的电子现金。同时银行定期更换尚未存入银行的支付文本,或者强迫商店泄露它们。密钥,这能极大提高系统的安全性,当然这也会相应地增加计.窃取或敲诈秘密钥:攻击者或者窃取银行(用户/商店)算量和通信代价。的秘密钥,例如,黑客攻击进入系统或者强迫泄露秘密钥。结论与展望随着信 息技术的突飞猛进,电子支付的革●广义敲诈(blindfolding):攻击者强迫银行(可信第三命使得传统商业银行迅速向综合服务机构转变.业务范围扩方)使用完全盲签名协议,以获得电子现金并且他能成功地花展至社会生活每-角落,如财务咨询.委托理财、外汇、代理税费而不被跟踪。收、代收工资费用等,以及通过网络进-步提供旅游、信息服6.存在的问题及述评务、交通和娱乐等全方位的公共服务,成为电子商务不可或缺的媒介.作为电子商务关键技术之-的电子现金系统将在未(1)一个尚未解决的问题是基于密码学假定(例如，离散来的电子支付手段中占主导地位。因此,对安全、高效、可分的对数)的有效电子现金方案的安全性证明。因为安全性是电子公平离线电子现金系统的研究不仅具有重要的科研学术价现金系统得以实际应用的-个重要保障,它涉及到用户、商家值,而且对国家电子商务、金融体系机构的信息化建设和国民及银行的风险问题。目前几乎所有的电子现金方案都没有从经济的发展具有重大的意义。理论上给出严格的安全性证明,值得庆幸的是这-问题已引起国内外密码学者的高度重视。Pointcheval和Stern49.50在参考文献这方面的研究取得了-定的进展并给出了-些签名方案的安.Chaum D. Blind signature for untraceable payment. Advances in全性证明,指出Brands[2]方案的安全性证明是可行的。但是Cryptology- Eurocrypt'82 Proceedings, Plenum Press, 1983. 199为了证明现存的各种电子现金方案的安全性,仍有-些数论~203Brands S. Untraceable off-line cash in wallets with observers. In问题尚待解决。进-步,目前所有实用的电子现金方案都是建"rvptolnov- Crvntn*93 Proceedings, Lecture Notes立在存在随机Oracle模型假定之上,这是一个非常强的假inC中国煤化工Verlag.1993. 302~318定,因此如果能弱化或回避这一假定也是一项非常有趣且值.inimalistic approach to ECon |YHCN M H Gp on Practic and Theory in得进一步研究的问题。Public Key Cryptography, PKC'99, Lecture Notes in Computer(2)另外 一个值得注意的问题是:往往一个理论上被证明Science 1560, Springer Verlag, 1999. 122 ~ 135非常安全的电子现金系统可能由于通信代价和计算复杂度过Chaum D, Fiat A,Naor M. Untraceable electronie (cash. In: Proe.of Crypto'88，Lecture Notes in Computer Science 403 , Springer-高导致在实践中是不可行的。因此在电子现金系统的安全性Verlag,1990. 319~327问题上，如何在理论证明与实际应用之间寻求一种妥协也是Chaum D, Pedersen T. Wallet databases with observers. In:●9●Proc. of Crypto'92， Lecture Notes in Computer Science 740，32 Zhong Ming, Yang Yixian. Partial blind signature based on bitSpringer- Verlag.89~ 105commitment. Chinese Journal of Elctronics, 2000，9(3): 284~Ferguson N. Single term off line coins. In: Proc. of Eurocry-286pto'93,Lecture Notes in Computer Science 765，Springer- Verlag，3 Zhong Ming, Yang Yixian. An efficient unlinkable electronic cash318~ 328based on bit commitment. Chinese Journal of Electronics. 2001.Okamoto T, Ohta K. Universal electronic cash. In: Proc. of10(2): 255~258Crypto'91. Lecture Notes in Computer Science 576， Springer-34 Miyazaki s, Sakurai K. A practical off-line digitalmoney systemVerlag ,324~ 337with partially blind signatures based on the discrete logarithm8 van Solms s,Naccade D. On blind signatures and perfect crimes.problem. IEICE Trans. Fundamentals, 2000, E83-A(1): 106 ~Computers and Security ,1992,11(6):581~ 583108Stadler M, Piveteau J M, Camenisch J. Fair blind signature. In:35 Abe M ,Camenisch J. Partially blind signature schemes. SCIS97.Proc. of Eurocrypt'95， Lecture Notes in Computer Science ，1997Springer-Verlag.1995.921 :209~21936 Juang W-S,Lei C-L. Partially blind threshold signatures based on10 Camenisch J,Maurer U ,Stadler M. Digital payment systems withthe discrete logarithm. Compuer Communications 1999,22: 73~passive anoymity- revoking trustee. In Esorics'96, Leeture Notesin Computer Science 1146, Springer- Verlag, Italy 1996. 33~ 4337 Juang W-S,Lei C-L,Liaw H T. Fair blind threshold signatures11 Davida G,Frankel Y ,Tsiounis Y, Yung M. Anonymity control inbased on the discrete logarithm. Compuer Systems Science &.e-cash. In:Proc.of the 1” Financial Cryptography Conf. Lecture .Engineering .2001.6: 371 ~ 379Notes in Computer Science 1318， Anguilla， BWI, Springer-38 Franklin M， Yung M. Secure and Efficient Off- line DigitalVerlag,Feb. 1997. 24~28Money. In: Proc. of the twentieth international Colloquium on12 Claessens J，Preneel B, Vandewalle J. Anonymity controlledAutomata，Languages and Programming (ICALP 1993)， Lund,electronic payment system. In: Proc. 20hmposim onSweden，. LectNotes in Computer Science 700)， Springer-Information Theory in the Benclux， Hasrode， Belgium,Verlag，1993. 265~ 2761999. 109~11639Pailles J C. New protocols for electronic money. In: Proc. of13钟鸣,杨义先， 一种基于RSA盲签名和二次剩余的电子现金方Ausicrypt'92 ，263~274案，北京邮电大学学报,2000,23(3):87~900 Camer R，Pedersen T. Improved privacy in wallets with14王常吉,裴定一。-类公正的离线的电子现金方案.计算机应observers. In Advances in Cryptology. Proc. of Euroerypto*93，用,2001 ,21(3):9~10Lecture Notes in Computer Science 765， Springer-Verlag,15 Lysyanskaya A, Ramzan Z. Group blind signatures: A scalable1993. 329~ 343solutions to electronic cash. In: Hirschfeld R ed. Lecture Notes41杨波,刘胜利.王育民. 利用Smart卡的可撤销匿名性的电子支in Computer Science 1465, Berlin: Springer- Verlag, 1998. 184 ~付系统.电子学报，999,27(10);792-79619742杨波，王育民，利用电子钱包的公正支付系统。计算机学报，16左英男,戴英侠,许剑卓. -种安全的Internet小额交易协议分析.计算机工程,2000.26(7): 136~13843陈恺,杨波,王育民,肖国镇.利用电子钱包的有效的公正支付系17张方国,张福泰.王育民。 多银行电子现金系统.计算机学报，统。计算机学报,2001.24(11):1191~11952001 ,21(5):454 ~46244 Okamoto T. An efficient divisible electronic cash scheme. In Don18曹珍富.基于公钥密码系统的门限密钥托管方案.中国科学ECoppersmith, ed. Advances in Cryptology, Proc. of Crypto'95,辑,2000,30(4); 360~ 366Lecture Notes in Computer Science 963，Springer- Verlag，Santa19曹珍富,李继国.基于EIGamal体制的门限密钥托管方案.计算Barbara ,California, U. s. A,1995.27~31机学报2002.25(4):346~3505 Chan A. Frankel Y, Tsiounis Y. Easy come easy go divisible2(Frankel Y, Tsiounis Y, Yung M. Indirect discourse proofs:cash. In: Advances in Cryptology- Eurocrypto'98. Espoo,Achieving fair off-line e cash. Advances in Cryptology. In: Proc.Finland: Springer-Verlag，1998. 561~ 575of Asiacrypt'96， Lecture Notes in Computer Science 1163，46 Okamoto T,Ohta K. One- time zero- knowledge authenticationsKyongju, South Korea, Nov. Springer- Verlag，1996. 286~ 30Cand their applications to untraceable electronic cash. IEICE21 Jakobsson M. Yung M. Revokable and versatile electronicTrans. Fundamentals, 1998. E81-A(1): 2~10money. In: Proc.of the 3rd ACM Conf. on Computer Communi-47 Tsiounis Y. Efficient electronic cash: New notions andcation SSecurity ,ACM Press ,1996. 76~87techniques:PhD Thesis ] . College of ComScience,22 Solages D, Traore J. An eficient fair off line electronic cashNortheastern University Boston, Massachusetts , 1997system with extensions to checks and wallets with observers. In:48 Petersen H, Poupard G. Eficient scalable fair cash with off-lineProc.of the 1* Financial Cryptography Conference， Anguilla,extortion prevention. Lecture Notes in Computer Science, 1997，BW1, Springer- Verlag. 19981334: 463~49523陈恺,张玉清.肖国镇。 基于概率验证的可分电子现金系统。计49 Poincheval D, Stern. Provably secure blind signature schemes. In算机研究与发展,2000,37(6):752 ~757Advances in Cryptology. In: Proc. of Asiacrypt'96 ，Lecture Notes24 Medvinsky G, Neuman B C. Netcash: A design for practicalin Computer Science 1163, Kyongju, South Korea, Springer-electronic currency on the Internet. In: Proc.of the 1* AnnualVerlag Nov. 1996ACM Conf. on Computer and Communications Security, ACM50 Poincheval D, Stern. Security proofs for signature schemes. 1Press，1993. 102~106Advances in Cryptology, Proc. of Eurocrypt*96， Zaragoza,25 Camenisch J L, Piveteau J-M, Stadler M. An efficient paymentSpain , Springer-Verlag.1996.387~ 398system protecting privacy. In: Proc.of ESORICS'94， Lecture51 Kozen D, Zaks s. Optimal bounds for the change- makingNotes in Computer Science 875， Springer-Verlag， 1994. 207 ~problem. Theoretical Computer Science, 1994,123:377~ 38852 Traore. Group signature and their relevance to privacy protecting6 eCash Technologies ,2000. http:// www. digicash. com/off-line electronic cash systems. In: Proc.4" Australian Conf. on27 CyberCash, Inc，1999. http://www. cybercash. comInformation Security and Privacy, Australia, 1999.228~2438 Fiat A.Shamir A. How to prove yourself: Practical solutions to .3 Abdalla M, Reyzin L. A new forward- secure digital signatureidentification and signature problems. In; Proc.of Crypto'86, .scheme. In Advances in Cryptology，Proc. of Asiaerypt' 2000,Lecture Notes in Computer Science 263. Springer- Verlag, 186~Lecture Notes in Computer Science Springer- Verlag. 200019454 Bellare M.MinerS. A forward- secure digital signature scheme.29 Even s, Goldreich O, Lempel A. A randomized protocol forAdy中国煤化工Cryp1*96. Leeture Notes insigning contracts. Communications of the ACM, 1985.28 :637. ed. , Springer Verlag, 199930 Camenisch J, Stadler M. Efficient group signature schemes for6475 Sh(11HC N M H GCommun. ACM， 1979. 24large groups. In:Kaliski Jr B s, ed. Lecture Notes in Computer6蒋晓宁,叶澄清,潘霄增。基于半可信离线第三方的公平交易协Science 1294. Berlin: Springer: Verlag. 1997. 410~424议.计算机研究与发展.2001,38<4): 502~50831 Abe M, Fujisaki E. How to date blind signatures. Advances in .57 Franklin M K, Reiter M K. Fair exchange with a semi-trustedCryptology- Asiacrypt'96，Lecture Notes in Computer Sciencethird party. In: proc.of 4ψ ACM Conf on Conputer and11631，Springer, New York,1996. 244~251Communication Security, Zurich; ACM Press,1997. 1~5●10.