[发明专利]基于链表结构的可分电子现金构造方法

权利要求书

1.基于链表结构的可分电子现金构造方法，其特征在于，包括：

S1.设置电子现金系统的公共参数，具体包括：

定义S₀是由L个连续的正整数组成的集合，正整数s₁是集合S₀中的最小数，正整数s_L是集合S₀中的最大数；集合SH_i＝{s_i+1,s_i+2,···,s_L}，其中，s_i+1＝s_i+1，集合SQ_i＝{s₁,s₂,···,s_i-1}，其中，链表的每个节点都由集合S₀中的一个正整数s_i(1≤i≤L)标识；

定义G₁,G₂,G_T是阶为素数p的循环群，e为一个双线性映射且满足e(G₁,G₂)→G_T；{G₁,G₂,G_T,e}为一个双线性群，g,h,u₁,u₂,w为G₁的生成元，为G₂的生成元，为G_T的生成元；

一个可信第三方生成以下参数：对每一个正整数s∈S₀，随机选择r_s,为整数集{1,2,…,(p-1)}，且对每一个s_i∈S₀\{s₁}和s_j∈SQ_i，其中，表示从节点s_i到s_j；对每一个s_i∈S₀\{s_L}和s_j∈SH_i，

选定两个防碰撞的杂凑函数：H:和系统公共参数为

S2.生成密钥，具体包括生成银行密钥、用户密钥和商户密钥；

生成银行密钥：银行选择两个不同的签名算法Σ₀和Σ₁，Σ₀＝(Keygen,Sign,Verify)，消息空间为Σ₁＝(Keygen,Sign,Verify)，消息空间为银行设置密钥(sk₁,pk₁)←Σ₁.Keygen(1^k)，并为链表的第i个节点设置1≤i≤L，对于每一个s_i∈S₀，计算将银行私钥bsk设置为sk₁，银行公钥bpk设置为

生成用户密钥：用户随机选择作为其私钥，计算其公钥upk＝g^usk；

生成商户密钥：商户随机选择作为其私钥，计算其公钥mpk＝g^msk；

S3.电子现金交易，具体包括取款、支付和存钱中的至少一种；

取款：用户随机选择x,并计算然后将upk,以及关于x,y,usk的零知识证明发送给银行，称该零知识证明为第一零知识证明，如果是未被使用过的，且第一零知识证明有效，则银行使用签名算法Σ₁对中的usk,x,y进行签名得到签名σ，这里x,y为用户的秘密值，并将签名σ发送给用户，当前指针指向节点s₁；

支付：用户要使用的节点包括s_c,s_c+1,…,s_c+l-1，记i＝c+l-1，s_c为当前指针标记的节点，在电子现金初次支付时，s_c为s₁，l为要支付的电子现金的价值，用户计算r＝H(info)，其中，info＝(l,date,mpk,trans)，date为支付时间，trans包含交易的商品的规格参数，用户提供一个知道usk,x,y,σ的零知识证明，称该零知识证明为第二零知识证明，所述第二零知识证明满足以下关系式：

将签名σ分成(z₁,z₂,z₃,z₄,)，选择随机数计算用户选择随机数计算和z＝k+C·x，记Π＝(σ′,C,z)，其中，用户将电子现金(l,Z,Π)发送给商户，商户收到电子现金(l,Z,Π)后，验证签名σ′和第二零知识证明的有效性，若二者都有效，则此次支付成功，当前指针指向节点s_i+1；

存钱：银行维护一个数据库DB用来存放商户的存款，数据库DB初始时为空；商户将(l,Z,Π)发给银行进行存储，银行首先检查Z是否已经被存储过，并验证(l,Z,Π)的有效性，该有效性指σ′和第二零知识证明的有效性，如果Z已经被存储过且(l,Z,Π)是无效的，则银行退出协议；

如果Z未被存储过且(l,Z,Π)是有效的，银行首先计算和检查是否已经存储到数据库DB上，若都没有存储到数据库DB上，则银行接受此次存款，返回结果给商户，商户完成存款；对于每一个s_j∈{s_c,s_c+1,…,s_i-1}，银行计算对于每一个s_j∈{s_c+1,s_c+2,…,s_i}，银行计算银行将c≤j≤i，添加到数据库DB上，所述c≤j≤i为电子现金序列号，同时保存(l,Z,Π)；

若有一个在已经存在数据库DB中，那么存在一个电子现金(l′,Z′,Π′)在数据库DB中，电子现金(l′,Z′,Π′)使用了节点s_c或s_i，银行返回[(l,Z,Π),(l′,Z′,Π′)]给商户。

2.根据权利要求1所述的基于链表结构的可分电子现金构造方法，其特征在于，所述可分电子现金构造方法还包括双花识别：

输入[(l,Z,Π),(l′,Z′,Π′)]；

验证(l,Z,Π)和(l′,Z′,Π′)的有效性，若(l,Z,Π)和(l′,Z′,Π′)中任意一个无效，则返回⊥给银行，⊥表示失败；若(l,Z,Π)和(l′,Z′,Π′)均有效，且Z和Z′分别包含和对于k∈{1,2}，对于每一个节点计算列表

若列表和列表中没有相同的元素，返回⊥；若列表和列表中有相同的元素，则存在使得及

若某个用户的公钥upk使公式成立，则该用户为双花用户。