[发明专利]一种离线电子货币支付的安全运行方法

权利要求书

1.一种离线电子货币支付的安全运行方法，包括银行服务器和用户端，其特征在于，包括下列步骤：

步骤a.银行服务器初始化系统参数：

选择安全参数k，基于安全参数k选择大素数p，设置p阶有限域上的p阶加法循环群G₁、G_T，从群G₁中选择生成元g、g₀、g₁、h、h₀、h₁、h₂从群G_T中选择一个随机数记为H_T，设置双线性对为从群G₁到群G_T的映射并基于生成元g和h计算两个双线性映射值和从模p的加法循环群Z_p中选择随机数α、β作为私钥，并计算得到公钥W＝g^α，X＝g^β，设置两个抗碰撞哈希函数H₁和H₂，其中H₁为从0和1组成的比特序列集映射到群G_T，H₂为从0和1组成的比特序列集映射到群Z_p；

步骤b.账户建立：

步骤b1：用户端从群Z_p中选择用户端主密钥u和随机数s′，生成用户端的身份标识U＝G^u和承诺密钥

用户端运行零知识证明协议PK₁生成PK₁承诺值，其中零知识证明协议PK₁的陈述为： 符号“^”表示逻辑与；

用户端将身份标识U、承诺密钥C和PK₁承诺值发送给银行服务器；

步骤b2：银行服务器生成PK₁挑战值并发送给用户端；

步骤b3：用户端生成PK₁响应值并发送给银行服务器；

步骤b4：银行服务器验证零知识证明协议PK₁是否有效，若否，则拒绝开户；否则，存储用户端的身份标识U，并从群Z_p中选择随机数s″和e，根据公式计算得到参数A，并将A、e、s″发送给用户端；

步骤b5：用户端存储账户(A,e,s,u)，其中参数s＝s′+s″；

步骤c.用户取款：

步骤c1：用户端从群Z_p中选择随机数t′和v′，生成取款承诺

用户端运行零知识证明协议PK₂生成PK₂承诺值，其中零知识证明协议PK₂的陈述为：

用户端将取款承诺C′和PK₂承诺值发送给银行服务器；

步骤c2：银行服务器生成PK₂挑战值并发送给用户端；

步骤c3：用户端生成PK₂响应值并发送给银行服务器；

步骤c4：银行服务器验证零知识证明协议PK₂是否有效和确认身份标识U是否为当前用户端的身份标识，若否，则拒绝取款；若是，则从群Z_p中选择随机数t″、f和v″，根据公式 计算得到参数B，并将B、f、t″、v″发送给用户端；

步骤c5：用户端存储电子货币(B,f,t,v)，其中参数t＝t′+t″，v＝v′+v″；

步骤d.付款人支付收款人电子货币：

步骤d1：收款用户端生成交易信息INFO，所述交易信息INFO包含支付金额、支付时间、支付理由，选择随机数作为交易时间戳N，基于交易信息INFO和交易时间戳N生成交易标识符

收款用户端运行零知识证明协议PK₃生成PK₃承诺值，其中零知识证明协议PK₃的陈述为：其中账户(A^*,e^*,s^*,u^*)中的各参数对应步骤b5中的A、e、s、u，上标“*”用于标识账户(A^*,e^*,s^*,u^*)的拥有用户端为收款用户端，符号“||”表示追加操作；

收款用户端将交易标识符M、交易时间戳N和PK₃承诺值发送给付款用户端；

步骤d2：付款用户端生成PK₃挑战值并发送给收款用户端；

步骤d3：收款用户端生成PK₃响应值并发送给付款用户端；

步骤d4：付款用户端验证零知识证明协议PK₃是否有效，若否，则拒绝支付；否则，计算交易信息哈希值R＝H₂(INFO||N||M)和电子货币编号S＝H^v；

付款用户端运行零知识证明协议SPK生成SPK承诺值，其中零知识证明协议SPK的陈述为：

付款用户端基于SPK的承诺值生成SPK挑战值，并基于所述SPK挑战值生成SPK响应值；

付款用户端将交易信息哈希值R、电子货币编号S和SPK响应值、SPK挑战值发送给收款用户端；

步骤d5：收款用户端验证零知识证明协议SPK是否有效，若否，则拒绝并终止交易；否则，存储电子货币证据(SPK,S,INFO,N,M)，其中参数SPK为SPK响应值和SPK挑战值；

步骤e.用户兑换电子货币：

步骤e1：用户端运行零知识证明协议PK₃生成PK₃承诺值，并将电子货币证据(SPK,S,INFO,N,M)和PK₃承诺值发送给银行服务器；

步骤e2：银行服务器生成PK₃挑战值并发送给用户端；

步骤e3：用户端生成PK₃响应值并发送给银行服务器；

步骤e4：银行服务器验证零知识证明协议PK₃是否有效和基于电子货币证据中的SPK响应值、SPK挑战值验证零知识证明协议SPK是否有效，若否，则拒绝兑换；若是，则计算交易信息哈希值R＝H₂(INFO||N||M)，验证交易信息哈希值R和时间戳N在本端是否已经存在，若是，则拒绝兑换；否则执行步骤e5；

步骤e5：银行服务器提示用户端证明身份标识，并为用户端生成新的电子货币：

步骤e5-1：基于银行服务器的提示信息，用户端从群Z_p中选择随机数和生成兑换承诺

用户端运行零知识证明协议PK₄生成PK₄承诺值，其中零知识证明协议PK₄的陈述为：

用户端将兑换承诺和PK₄承诺值发送给银行服务器；

步骤e5-2：银行服务器生成PK₄挑战值并发送给用户端；

步骤e5-3：用户端生成PK₄响应值并发送给银行服务器；

步骤e5-4：银行服务器验证零知识证明协议PK₄是否有效，若否，则拒绝兑换；否则从群Z_p中选择随机数和根据公式计算得到参数并将 发送给用户端；

步骤e5-5：用户端存储新的电子货币其中参数

步骤e6：银行服务器存储电子货币证据(SPK,S,INFO,N,M)；

步骤f.用户存款：

步骤f1：用户端运行零知识证明协议PK₅生成PK₅承诺值，其中零知识证明协议PK₅的陈述为：

用户端将电子货币证据(SPK,S,INFO,N,M)和PK₅承诺值发送给银行服务器；

步骤f2：银行服务器生成PK₅挑战值并发送给用户端；

步骤f3：用户端生成PK₅响应值并发送给银行服务器；

步骤f4：银行服务器验证零知识证明协议PK₅是否有效和基于电子货币证据中的SPK响应值、SPK挑战值验证零知识证明协议SPK是否有效，若否，则拒绝兑换；若是，则基于当前电子货币证据(SPK,S,INFO,N,M)计算交易信息哈希值R＝H₂(INFO||N||M)，并判断交易信息哈希值R和时间戳N是否在本端已经存在，若是，则拒绝兑换；否则，则接受存款；

步骤f5：银行服务器存储电子货币证据(SPK,S,INFO,N,M)。