高效的强隐私保护和可转让的属性票据方案

发布时间：2022-06-13

　　摘 要：为了解决电子票据中面临的效率低、灵活性差和隐私保护不全面的问题，提出了高效的强隐私保护且可转让的属性票据方案。首先，结合属性证书和集合承诺构建了基于属性泄露的票据购买算法;其次，利用等价类上的结构保持签名和动态可延展签名降低了票据购买的计算复杂度，实现了常数复杂度的票据转让和票据验证;再次，为了杜绝恶意的验票方根据卖方身份猜测用户信息的可能，在票据验证中同时实现了用户和卖方的匿名性;最后，给出了方案的安全性定义，并将其安全性规约到普通密码学假设或已证明安全的密码学原语的安全性上。对比和实验结果表明了所提方案的灵活性和高效性。

　　关键词：属性票据;隐私保护;匿名证书;结构保持签名

　　0 引言

　　随着手机、平板电脑、可穿戴设备等移动终端和互联网技术的快速发展，电子票据正迅速普及并为人们的生活带来了极大的便利。目前，电子票据已成为交通、娱乐等行业的许多公司登记、处理和销售票据的一种趋势。此外，在云环境下，电子票据还可以作为访问在线服务的一种凭证。例如，Han 等[1]利用电子票据构造了一个在线的匿名单登录系统。相比于传统的纸质票据，电子票据可存储在移动设备上，不需要消耗纸质，减少了资源浪费，有助于实现碳达峰和碳中和;电子票据可在线购买和验证，减少了复杂的线下交易，提升了用户体验。

　　与匿名的纸质票据相比，电子票据的主要安全隐患是用户隐私信息的泄露。在电子票据系统中，用户数据(如姓名、住址、身份证号码、电话和其他属性信息等)可能会被收集和滥用。此外，传统的电子票据[2-8]模型都假设卖方的身份是公开的，但这也可能泄露用户的很多信息，例如，美国电子驾照签发者的身份中可能包含用户的邮政编码，进而可以推测出用户的家庭住址。因此，为了更全面地保护用户隐私，杜绝恶意的验票方根据卖方身份推测用户信息的可能，有必要隐藏卖方的身份。2021 年 8 月，我国颁布了《中华人民共和国个人信息保护法》，使保护用户信息权益变得更加重要。为了保护用户隐私，国内外学者使用假名[9]、盲签名[10]、群签名[11]、随机化签名[12-14]和匿名证书[2,8]等技术设计了很多电子票据方案，但是已有方案都仅提供了用户的匿名性，却不支持卖方的匿名性。

　　属性票据作为电子票据的一种特殊类型，可提供基于属性泄露的票据购买方式，这种方式在保证认证性的同时实现了个人信息的最小化泄露。例如，学生购买优惠票时只需泄露学生属性，而姓名、学号和所在学院等信息都应保密;残疾人购买优惠票时只需泄露残疾属性，而不需要泄露更多的患病细节和其他个人信息;军人在购买优惠票时只需泄露军人属性，而具体的服役单位、军衔和职务等信息都应保密。属性票据提高了电子票据使用的灵活性，是电子票据方案应该具备的一个重要功能。Han 等[2]第一次提出了支持属性策略的电子票据方案，但是其方案使用了复杂的零知识证明(ZKP, zero knowledge proof)，使票据购买算法的计算消耗随着用户属性数量的增加线性增长。

　　非实名纸质票据的另一重要特点是可转让性，如电影票、景区门票、排队票等;用户可以方便地将票据赠送给其他用户(如朋友、家人等)。目前，已有的可转让电子票据方案[5-6]都使用签名链的方式构造票据转让算法，使票据转让和票据验证算法的计算消耗都随着票据转让次数的增加呈线性增长。

　　为了解决电子票据方案存在的上述问题，本文提出了一个高效的强隐私保护且支持属性策略和票据转让功能的电子票据方案，主要贡献如下。

　　1) 强隐私保护。该方案既能保护用户的匿名性，也在票据验证中保护了卖方的匿名性。这使恶意的验票方无法从票据验证中获得用户和卖方的任何信息，这种强隐私保护特征弥补了已有电子票据方案在用户隐私保护方面的不足。

　　2) 可转让的属性票据。该方案支持基于属性泄露的售票策略，用户可以通过泄露个人部分属性从卖方匿名地购买任何符合售票策略的票据。该方案支持灵活的票据转让功能，用户可以将票据转让给任何已注册的用户，卖方也可在发布票据时禁止票据转让。

　　3) 高效的算法。与文献[2]方案相比，该方案将票据购买算法的计算复杂度从 O n( ) 降低到 On k ( ) − 。与文献[5-6]方案相比，该方案将票据转让和票据验证算法的计算复杂度从 O t( ) 降低到 O(1) 。其中，n、k、t 分别为用户属性数量、泄露属性数量和票据转让次数。

　　4) 高效的双花检测和追踪。对于可转让电子票据，双花者可能是票据转让链中的任何用户，该方案结合“施诺尔(Schnorr)技巧”[15]和公钥加密技术实现了票据转让链中所有双花用户的身份追踪。

　　本文使用 MIRACL(multiprecision integer and rational arithmetic C/C++ library)实现了该方案，并与已有的属性票据[2]和可转让票据[5]方案进行了效率对比;实验结果表明，所提方案在功能和效率上都优于已有方案。

　　Quercia 等[16]利用 Chaum[10]盲签名提出了一种用于移动交易的电子票据方案。Rupp 等[17]基于 Chaum[10]盲签名和 Boneh 等[18]短签名方案衍生出来一种保护隐私的预支付方案。Milutinovic 等[19] 基于 Abe 等[20]的盲签名、Pedersen[21]的秘密共享和 Camenisch 等[12]的匿名证书提出了一种保护用户隐私的电子票据方案。这些方案都可以保护用户隐私，但与本文方案不同，它们不支持属性票据，不能保护卖方隐私，不支持高效的票据转让，且出现重复消费后无法对恶意用户进行身份追踪。

　　Nakanishi 等[22]基于 Camenisch 群签名提出了一种电子优惠券方案。Vives-Guasch 等[23]利用 Boneh 群签名提出了一种自动收费系统。Heydt-Benjamin 等[3] 使用匿名证书、电子现金和代理重新加密技术实现了公共交通电子票据系统的安全性和隐私性。Arfaoui 等[7]将 Bonyeh-Boyen 签名[24]与 Camenisch 等[12]的匿名证书方案相结合，提出了一种保护隐私的近场通信移动票据系统。Vives-Guasch 等[25]使用轻量级加密技术和具有近场通信能力的移动电话提出了一个电子票据系统。这些方案可以实现用户和票据的匿名性，但与本文方案不同，它们不支持属性票据，不能保护卖方隐私，也不支持高效的票据转让。

　　Han 等[2]基于 Bonyeh-Boyen 签名[24]的范围证明提出了一个基于属性证书的隐私保护电子票据方案。Han 的方案支持属性策略和双花用户的身份追踪，但是与本文方案不同，它不能保护卖方隐私，也不支持高效的票据转让，且其票据购买算法的计算消耗和通信消耗都随用户属性数量的增大呈线性增加。

　　Vives-Guasch 等[5]使用群签名构造了匿名和可转让的电子票据方案;Payeras-Capella 等[6]测试了文献[5]方案的性能。文献[5]方案实现了可转让的匿名票据，但是与本文方案不同，它们不支持属性票据，不能保护卖方隐私，且其票据转让和验证算法的计算消耗随着票据转让次数的增加呈线性增加。

　　1 预备知识

　　1.1 双线性对

　　设 1 2 , , GGGT 是阶为素数 p 的循环群， G G 1 2 ≠ ，G1与G2之间不存在同态映射，双线性映射 1 2 : T e GG G × → 满足以下 3 个条件。① 双线性：任 意 * 2 2 , ,, p g g ab ∈∈ ∈ G G  Z ， 有 ( , ) (, a b eg g eg  = ) ab g ;②非退化性：对于 1 2 g g ≠ ≠ 1, 1  G G ， 有 (,) 1 T egg ≠ G ;③可计算性：任意 2 2 g g ∈ ∈ G G ,  ，存在高效算法计算egg (,) 。

　　1.2 零知识的知识签名

　　对于任意的多项式时间非确定性( NP, non-deterministic polynomial)关系 R ，NP 语言 LR =∃ ∈ {y x xy R : ,( , ) } 的零知识的知识签名(ZKSoK, zero knowledge signature of knowledge)[26]定义为 π = ∈ ZKSoK ( , ) ( ) {x xy R m } 。如果知识签名满足正确性、可模拟性和可提取性，则知识签名是模拟提取安全[26]的。

　　1.3 离散对数假设

　　离散对数假设是指给定二元组 , x g g ∈G ，其中 * p x∈Z ，任意概率多项式时间(PPT, probabilistic polynomial time)敌手求解 x 的概率是可忽略的。

　　1.4 集合承诺

　　集合承诺(SC,set commitment)[27-28]由初始化、计算承诺、打开承诺、打开子集、验证子集算法组成。在标准模型下，集合承诺满足正确性、绑定性、隐藏性和被打开子集的不可伪造性。

　　1.5 等价类上的结构保持签名

　　等价类上的结构保持签名(SPS-EQ, structure-preserving signature on equivalence class)[27]由初始化、密钥生成、签名、修改签名和验签算法组成。在一般群模型下，SPS-EQ 签名满足正确性、不可伪造性和签名适应性，且其明文空间是类隐藏的。

　　1.6 动态可延展签名

　　动态可延展签名(DMS, dynamically malleable signatures)[29]由初始化、密钥生成、签名、验证延展密钥、延展签名和验签算法组成。在一般群模型下，DMS 签名具有正确性、不可伪造性和完美的派生隐私性。

　　2 方案和安全模型

　　2.1 方案模型

　　如图 1 所示，可转让的属性票据方案包括证书中心(CA，certificate authority)、用户(U，user)、卖方(S，seller)和验票方(V，verifier)四类实体。CA 执行系统初始化(步骤 1))，产生售票策略集合，并向 U 和 S 签发证书(步骤 2)和步骤 3));S 是票据卖方，它从 CA 获取公钥证书(步骤 2))，并根据 CA 公布的售票策略向 U 销售票据(步骤 4));U 是拥有多个属性的用户，它从 CA 获取属性证书(步骤 3))，并根据售票策略匿名的从 S 购买票据(步骤 4));V 是验票方，它负责验证票据的合法性(步骤 6))，并检查票据是否是重复消费，若是重复消费则追踪用户的公钥(步骤 7))。U 可以将票据转让给其他可信用户(步骤 5))，任何拥有票据(从 S 购买或由其他用户转让)的已注册用户都可以向 V 匿名地消费票据(步骤 6))。

　　1) 系统初始化：Setup(1 ) (pp,msk, ) λ → S 。CA 执行系统初始化算法，输入安全参数λ ，输出系统参数 pp、主私钥 msk 和售票策略集合S 。

　　2) 卖方注册：S A(msk Reg(S(ssk,spk,pp) C , ↔ s pp)) cred → 。S 与 CA 交互执行卖方注册算法。S 产生卖方私钥ssk 和公钥 spk ，S 输入 ssk spk 、 和 pp;CA 输入 msk 和 pp。若算法执行成功，S 获得公钥证书 s cred ，否则返回 ⊥ 。

　　3) 用户注册： U upk, ,pp) Reg(U(usk, A ↔ CA(msk,pp)) cred → u 。U 与 CA 交互执行用户注册算法。U 产生用户私钥 usk 和公钥 upk ，输入 usk upk pp 、 、 和用户属性集合 1 ( )n i i a A = = ;CA 输入 msk 和 pp 。若算法执行成功，U 获得属性证书 u cred ，否则返回 ⊥ 。

　　4) 票据购买： u Issue(U(usk,cred , , ,pp) A D ↔ S(ssk,cred ,pp)) (tkt, , tk) s → f 。U 与 S 交互执行票据购买算法。为了证明 U 符合售票策略集合S 中的一条策略，U 需要泄露属性集合D A ⊆ 。S 设置票据转让标识 f ，若 f =1则允许 U 转让票据，否则禁止转让。若算法执行成功，U 获得票据 tkt 、票据转让标识 f 和转让密钥 tk ，否则返回 ⊥ 。

　　5) 票据转让： Transfer(U(ssk,tkt,tk, ,pp) f ↔ U'(ssk ,pp)) (tkt , , tk ) ' 'f ' → 。U 与用户 U′交互执行票据转让算法。U 输入 ssk tkt tk 、 、、 和 f pp，U′ 输入私钥 ssk′ 和 pp。若算法执行成功， U′获得票据 tkt′ 、转让标识 f 和转让密钥 tk′ ，否则返回 ⊥ 。

　　6) 票据验证： Show(U(ssk,cred , tkt,pp) u ↔ V(pp)) ( ,tid,ds) → b 。U与V交互执行票据验证算法。若票据验证成功，V 输出b =1、票据标识 tid 和追踪双花信息ds ，否则输出b = 0 。

　　7) 双花追踪： DsTrace(tid,ds,tid ,ds ) ' ′ → (upk,upk )' 。V 输入 2 个票据验证算法的输出 (tid,ds) 和 (tid ,ds ) ' ′ ，若 tid tid = ′ ，则检测到重复消费，V 执行双花追踪算法，输出重复消费者的公钥。

　　2.2 威胁模型

　　CA 在系统中是完全可信的实体。S 是诚实且好奇的，它诚实地按照 CA 发布的售票策略集合为用户售票，但好奇用户的真实身份和属性信息。U 是恶意的，它可能伪造票据或重复消费票据，但在票据转让协议中，票据转让用户 U 和接受转让用户 U′之间是互信的。V 是诚实且好奇的，它诚实地验证票据，检测重复消费并追踪恶意用户公钥，但它好奇用户和卖方的真实身份。

　　2.3 安全模型

　　电子票据方案应满足以下安全要求：用户证书和票据的不可伪造性、诚实用户的不可链接性和验票算法中卖方身份的不可链接性。为了准确地定义上述安全需求，本文使用基于游戏[12-15,27,29]的方法定义了电子票据方案的安全模型。

　　全局变量：使用集合 HU CU USK UPK 、、 、 分别记录诚实用户编号、恶意用户编号、用户私钥和用户公钥;使用集合 HS CS SSK SPK 、 、 、 分别记录诚实卖方编号、恶意卖方编号、卖方私钥和卖方公钥;使用列表 LU (UI, UC, UA) = 记录注册用户编号、用户证书和属性集合;使用列表 LS (SI,SC) = 记录注册卖方编号和卖方证书;使用列表 LT (TI,TKT,TK,TF) = 记录用户编号、票据、票据转让密钥和转让标识。——论文作者：封化民 1,2，史瑞 1,2，袁峰 3 ，李艳俊 4 ，杨旸 5

　　本文来源于：《通信学报》是由中国通信学会主办的一级学术性刊物，创刊于1980年，面向国内外公开发行。设有学术论文、技术报告、综述、短文、学术通信等栏目，有英文目次和英文摘要。及时反映中国通信科学技术发展水平，交流国内外通信科技新成果，促进学术进步和人才成长，探索新理论、新技术。面向：信息通信领域的研究人员、大专院校通信及相关专业的教师和研究生。