课件14长-电子商务安全.ppt

例8.4 盲Schnorr签字 假定用户想为自己的电子现金获得Schnorr签字，用户可在Gq上随机选择一个秘密值b0, 将银行的询问向上平移b0，这样用户将得到一新直线和新直线上的点，虽然他不知道新直线的斜率，但因他没有改变新、旧直线的斜率， 所以银行的签字仍然有效。 当商家在银行存款时，银行看到的是在新直线上实现的协议；因为只有用户自己知道新旧直线平移的长度，所以银行不能把商家的存款和用户的提款联系起来。 8.4.3 电子钱包 在联机的支付系统中，用于支付的电子现金会被马上与记录在案的已使用过的电子现金比较，以检查是否重复花费。但在脱机的支付系统中，重复花费的检查是在用户支付以后, 商家在银行存款时进行的。这种事后检查在大部分情况下可阻止重复花费，但在某些情况下则无效，比如某人以假身份获得一帐号或者某人在重复花费某一大宗款项后藏匿起来。所以在脱机系统中仅依靠事后检查是不够的，还需要依靠物理上的安全设备。 防窜扰的卡可通过去掉已花费的电子现金或通过使已花费过的电子现金变得无效来防止重复花费。然而，实际中并不存在真正的防窜扰的卡， 这里所说的防窜扰卡是指其在物理构造上使得修改其内容是困难的，如Smart卡、 PC卡或任何含有防窜扰计算机芯片的存储设备。所以，即使使用防窜扰的卡仍然有必要提供密码保护来防止电子现金的伪造以及检查和识别重复花费。  因为敌手难于读取和修改存于防窜扰卡中的信息（如秘密钥、算法或记录），所以防窜扰卡也能为持卡者提供个人安全和保密。 但是仅使用防窜扰卡来防止重复花费还有一个缺陷，即用户必须对其完全信任。因为用户自己没有控制进出卡的信息的能力， 所以防窜扰卡可在用户不知道的情况下泄露用户的保密信息。 电子钱包（见图8.6）是将防窜扰设备嵌入由用户控制的一个外部组件中，外部组件可以是手持计算机或PC机。 不能被用户读取或修改的内部组件（即防窜扰设备）称为“观察者”，进出观察者的所有信息必须通过外部组件，并能被用户控制其进出， 以防观察者将用户的保密信息泄露出去。而且外部组件的工作必须在结合观察者后才能进行，以防用户进行未经许可的活动， 如重复花费等。 图 8.6 电子线包的基本组成 电子现金协议技术 不可跟踪的电子现金协议技术 该协议中，同一电子现金如果只被用户支付一次，则具有不可跟踪性。但同一电子现金被用户支付两次，用户的身份信息将被暴露。 协议中电子现金的形式为 mod N 其中，x为一整数，f(x)为一单向函数，N是RSA模数，只有银行知道N的大素数分解。这种电子现金的不可伪造性是基于求模N的立方根是不可行的这一假定，即如果某人能够求模N的立方根， 就可伪造这种电子现金。  协议分为三步：提款协议、支付协议和存款协议。以下描述中，将协议中的三方(用户、银行、商家)分别记为U、B、M。 1. 提款协议技术（UB） (1) U随机选取n个三元组（ai, bi, ci）, 其中 i=1, 2, 3, …, n, n为安全参数。  (2)U计算Bi=r3i f(xi, yi), (i=1, 2, …, n)，其中，ri是作为盲因子的随机整数，xi=g (ai, ci), yi=g (ai⊕(u‖v+i), di), g和f是两个无碰撞杂凑函数，‖为链接，u是U的帐号，v是帐目。 (3) B在集合{1, 2, …, n}中随机选取大小为n/2个元素的子集R={ij| j=1, …, n/2},  B→U ：R (4) U→B：{ri, ai, ci, di|i∈R}, B检查收到的四元组是否与Bi一致。若不一致，则终止协议。 (5) ，并在U的帐目中去掉相应的数目。 （6）U计算  (mod N)。  为简化记法，可进一步假定不在R中的i都在集合{1, 2, …, n/2}中， 所以 ，U以C作为自己在B所提取的款项。 2. 支付协议技术（U M） (1) U→M： C。 (2) M→U： e，其中e=(e1, …，en/2)，ei∈R{0, 1}(i=1, …, n/2)，e作为M对U的询问。 (3) U对M的询问作为应答 (4) M根据U的应答，对C加以验证。 3. 存款协议技术（M B） (1) M将C，e以及U对e的应答存入B