[发明专利]基于链表结构的可分电子现金构造方法

摘要

本发明公开了一种基于链表结构的可分电子现金构造方法，在本发明中，对于交易金额在链表长度L以下的交易，用于执行支付协议的运算量为常数，与支付金额无关，即用户只需要2次杂凑运算、3次循环群上的指数运算、1次签名运算、3次循环群上的指数等式的零知识证明和2次数字签名等式的零知识证明即可，提高了支付效率；此外，商户存储一个电子现金的计算量为常数，与电子现金的金额无关，即商户存储电子现金时，银行仅需进行4次对运算就可返回结果给商户，并告知商户存储是否成功，提高了进行电子现金存储的效率。

主权项

1.基于链表结构的可分电子现金构造方法，其特征在于，包括：S1.设置电子现金系统的公共参数，具体包括：定义S₀是由L个连续的正整数组成的集合，正整数s₁是集合S₀中的最小数，正整数s_L是集合S₀中的最大数；集合SH_i＝{s_i+1,s_i+2,···,s_L}，其中，s_i+1＝s_i+1，集合SQ_i＝{s₁,s₂,···,s_i‑1}，其中，链表的每个节点都由集合S₀中的一个正整数s_i(1≤i≤L)标识；定义G₁,G₂,G_T是阶为素数p的循环群，e为一个双线性映射且满足e(G₁,G₂)→G_T；{G₁,G₂,G_T,e}为一个双线性群，g,h,u₁,u₂,w为G₁的生成元，为G₂的生成元，为G_T的生成元；一个可信第三方生成以下参数：对每一个正整数s∈S₀，随机选择r_s,为整数集{1,2,…,(p‑1)}，且对每一个s_i∈S₀\{s₁}和s_j∈SQ_i，其中，表示从节点s_i到s_j；对每一个s_i∈S₀\{s_L}和s_j∈SH_i，选定两个防碰撞的杂凑函数：H:和系统公共参数为S2.生成密钥，具体包括生成银行密钥、用户密钥和商户密钥；生成银行密钥：银行选择两个不同的签名算法Σ₀和Σ₁，Σ₀＝(Keygen,Sign,Verify)，消息空间为Σ₁＝(Keygen,Sign,Verify)，消息空间为银行设置密钥(sk₁,pk₁)←Σ₁.Keygen(1^k)，并为链表的第i个节点设置1≤i≤L，对于每一个s_i∈S₀，计算将银行私钥bsk设置为sk₁，银行公钥bpk设置为生成用户密钥：用户随机选择作为其私钥，计算其公钥upk＝g^usk；生成商户密钥：商户随机选择作为其私钥，计算其公钥mpk＝g^msk；S3.电子现金交易，具体包括取款、支付和存钱中的至少一种；取款：用户随机选择x,并计算然后将upk,以及关于x,y,usk的零知识证明发送给银行，称该零知识证明为第一零知识证明，如果是未被使用过的，且第一零知识证明有效，则银行使用签名算法Σ₁对中的usk,x,y进行签名得到签名σ，这里x,y为用户的秘密值，并将签名σ发送给用户，当前指针指向节点s₁；支付：用户要使用的节点包括s_c,s_c+1,…,s_c+l‑1，记i＝c+l‑1，s_c为当前指针标记的节点，在电子现金初次支付时，s_c为s₁，l为要支付的电子现金的价值，用户计算r＝H(info)，其中，info＝(l,date,mpk,trans)，date为支付时间，trans包含交易的商品的规格参数，用户提供一个知道usk,x,y,σ的零知识证明，称该零知识证明为第二零知识证明，所述第二零知识证明满足以下关系式：将签名σ分成(z₁,z₂,z₃,z₄,)，选择随机数计算用户选择随机数计算和z＝k+C·x，记Π＝(σ′,C,z)，其中，用户将电子现金(l,Z,Π)发送给商户，商户收到电子现金(l,Z,Π)后，验证签名σ′和第二零知识证明的有效性，若二者都有效，则此次支付成功，当前指针指向节点s_i+1；存钱：银行维护一个数据库DB用来存放商户的存款，数据库DB初始时为空；商户将(l,Z,Π)发给银行进行存储，银行首先检查Z是否已经被存储过，并验证(l,Z,Π)的有效性，该有效性指σ′和第二零知识证明的有效性，如果Z已经被存储过且(l,Z,Π)是无效的，则银行退出协议；如果Z未被存储过且(l,Z,Π)是有效的，银行首先计算和检查是否已经存储到数据库DB上，若都没有存储到数据库DB上，则银行接受此次存款，返回结果给商户，商户完成存款；对于每一个s_j∈{s_c,s_c+1,…,s_i‑1}，银行计算对于每一个s_j∈{s_c+1,s_c+2,…,s_i}，银行计算银行将c≤j≤i，添加到数据库DB上，所述c≤j≤i为电子现金序列号，同时保存(l,Z,Π)；若有一个在已经存在数据库DB中，那么存在一个电子现金(l′,Z′,Π′)在数据库DB中，电子现金(l′,Z′,Π′)使用了节点s_c或s_i，银行返回[(l,Z,Π),(l′,Z′,Π′)]给商户。