適用電子商務環境之金鑰恢復與託管機制研究

全文

(1)適用電子商務環境之金鑰恢復與託管機制研究曹偉駿. 林幸君. 大葉大學資訊管理學系. 大葉大學資訊管理學系. wjtsaur@mail.dyu.edu.tw. shingjiun@yahoo.com.tw. 摘要在電子商務環境中，一個安全的交易環境是不可或缺的，而安全的密碼系統正提供我們一個很好的解決方案。本研究所要探討的課題即是密碼系統中的金鑰恢復與金鑰託管機制。由於金鑰恢復與金鑰託管機制之運作需要繁複的金鑰運算與訊息傳遞。而本研究提出之金鑰恢復與託管機制，利用橢圓曲線密碼系統中金鑰長度較短與計算速度快之優點，以及自我認證公開金鑰密碼系統中有效率的驗證公鑰正確性之優點，讓此機制不必依靠系統中心就能達到身份確認以及提高效率性。另外我們在電子現金系統中加入託管的功能，設計出託管電子現金系統，避免電子現金完全匿名可能產生之犯罪行為，我們所設計的託管電子現金系統除了具有防範網路犯罪之功能(如洗錢、勒索)，並且能迅速地找出犯罪者，還給受害者一個公道。關鍵詞：橢圓曲線密碼系統、自我認證公開金鑰密碼系統、金鑰恢復機制、金鑰託管機制、電子現金系統。 1. 前言在電子商務環境中，金鑰恢復與託管機制提供的金鑰管理技術讓使用者能安心的使用密碼系統。金鑰託管機制能確保使用者通信之秘密性，並防止不當使用者的網路犯罪行為[2]；金鑰恢復機制則能協助使用者重新取回遺失或毀損之解密金鑰，避免商業上的損失[8]。此外，在電子商務環境中，電子付款機制因其便利的特性也漸漸被發展，其中的電子現金系統較為大眾所接受[13]。但電子現金系統中的匿名特性卻可能會造成網路犯罪的產生，因此探討如何在必要時廢止電子現金的匿名性是很有意義的。. 2. 金鑰恢復與託管機制傳統的金鑰恢復與託管機制，存在有金鑰產生、訊息傳送及金鑰儲存等階段，在傳統機制中公鑰的認證常需要第三公正單位的協助，以及儲存公鑰憑證，如此必須花費較大的計算時間與儲存空間 [6, 7, 8, 10, 12]。本研究目的在於設計出一個既安全又有效率的金鑰恢復與託管機制，減少金鑰恢復與託管機制之運算量及通訊量，並且能有效率的驗證公鑰之正確性，讓金鑰恢復與託管機制能更有效率的提昇電子商務環境之安全。我們利用陳[1]提出的基於橢圓曲線密碼系統之自我認證公開金鑰密碼系統與 Nechvatal[7]基於公開金鑰之金鑰託管系統之觀念來設計我們提出的機制。以下說明此機制之組成要素： (1)系統中心(System Authority, SA)：協助使用者、金鑰託管單位產生其公私鑰，並且回傳公鑰與公鑰證明。在合法授權情況下，經由金鑰託管單位的協助重新建構恢復使用者的交談金鑰(session key, SK)，進而解密加密的訊息。 (2)金鑰託管單位(Key Escrow Agent, KEA)：協助使用者產生 LEAF(Law Enforcement Access Field)，並於合法授權情況下，協助系統中心重新建構恢復使用者的 SK。 (3)子金鑰託管單位(KEA1i, KEA2j)：協助金鑰託管單位託管其金鑰，並在必要時，提供足夠之子金鑰給系統中心。. 2.1 系統建置階段系統中心的初始化，用以建立公開及秘密參數。由 SA 計算以下參數： (1)p：在一般應用中 p 為一個奇數質數或者是 2 的乘幕次方，長度為 160 位元。 (2)Fp 場中的橢圓曲線 E： E：y2＝x3＋ax＋b (mod p)，其中 a、b∈Fp，4a3 ＋27b2≠0 (mod p)，且在 E 上的所有點(x, y)∈Fp， E(Fp)集合中包含一個點無窮遠點 O。 (3)B：在 E(Fp)中序為 q 的基點，q 為一個 160 位元的大質數，其中#E(Fp)為在 E 之中與 Fp 相關的點的總數，且可被 n 除盡。 (4)PSA：系統中心的公鑰，其中 PSA＝sSA．B (mod p)(“．”表示為數值與橢圓曲線點的乘法運.

(2) 算)。 (5)sSA：系統中心的私鑰，且 sSA∈[2, q–2]。 (6)h( )：單向雜湊函數(One-way hash function)，允許可變的長度輸入然後產生一個固定長度輸出值 j，j∈[2, q–2]且為 160 位元。 (7)Pi：使用者 Ui 的公鑰。 (8)si：使用者 Ui 的私鑰。 (9)(PKEA1, SKEA1)：KEA1 的公私鑰。 (10)(PKEA2, SKEA2)：KEA2 的公私鑰。 (11)wi：使用者的公鑰證明(Witness)。 (12)X(P)：輸出點 P 在 X 座標軸上的值。 (13)Ii：使用者 Ui 的身份資訊。當 SA 建立這些參數後，將{E, B, p, q, PSA, h( ) }公開，保留 sSA 當成其密鑰。. 2.2 使用者駐冊階段使用者 Ui 執行以下步驟向 SA 註冊以取得合法公鑰及證明，並計算其密鑰。 1.使用者 Ui 隨機選擇一個亂數 xi，且計算 Vi＝h(xi, Ii)．B (mod p)，並將自己的身分 Ii 與 Vi 傳送給 SA。 2.SA 選擇一個亂數 ki，且計算使用者 Ui 的公鑰為 Pi＝Vi＋(ki－h(Ii))．B (mod p)與公鑰證明 wi＝ki ＋sSA．(X(Pi)＋h(Ii)) (mod q)，並傳送 Pi 與 wi 給使用者 Ui。 3.使用者 Ui 計算自己的私鑰 si＝wi＋h(xi, Ii) (mod q)，並驗證公鑰的有效性是否成立：si．B＝Pi＋ h(Ii)．B＋(X(Pi)＋h(Ii))．PSA (mod p) (1) 若驗證成功，則使用者 Ui 的私鑰為 si，公鑰為 Pi。定理 1：使用者可於註冊階段驗證從 SA 取得的公鑰 Pi 之有效性。證明： si．B＝(wi＋h(xi, Ii))．B (mod p)＝wi．B＋h(xi, Ii)． B (mod p)＝(ki＋sSA．(X(Pi)＋h(Ii))．B＋h(xi, Ii)．B (mod p)＝(ki＋h(xi, Ii))．B＋(X(Pi)＋h(Ii))．PSA (mod p)＝ki．B＋Vi＋(X(Pi)＋h(Ii))．PSA (mod p)＝Pi＋ h(Ii) ． B ＋ (X(Pi) ＋ h(Ii)) ． PSA (mod p) Q.E.D. KEA1 與 KEA2 註冊方式與上述相同。. 2.3 金鑰託管階段此階段使用 Pedersen[9]提出之可驗證式秘密分享機制將 KEA1 與 KEA2 之秘密金鑰 SKEA1 與 SKEA2 分別分享到 KEA1i 與 KEA2j 中，達成金鑰託管的目的。KEA1 運作金鑰託管過程如下： (1)KEA1 選擇一個 t–1 次方的多項式 f(x)＝a0＋a1x ＋…＋at-1xt-1，令 a0＝SKEA1＝f(0)，每個 KEA1i 都有一個獨一無二的身份 IKEA1i，計算 SKEA1i＝ f(IKEA1i)，i＝1~n，並且秘密將 SKEA1i 分別送給 KEA1i。 (2)KEA1 將驗證序列 K= (PKEA11＝SKEA11．B (mod p),. PKEA12, …, PKEA1n)公佈給所有 KEA1i。 k. (3)KEA1i 分別計算 hi＝(∑ak．IKEA1i )．B＝f(IKEA1i)． B＝SKEA1i．B＝PKEA1i (mod p)，k＝0~ t–1，i＝ 1~n，並驗證 h i =? PKEA1i。若不成立則將採用廣播的方式告知 KEA1i 所收到的 SKEA1i 為偽的。若成立則 KEA1i 接受此 SKEA1i。 KEA2 運作金鑰託管過程與上述相同。. 2.4 通訊階段此階段分為三個部份，分別是交談金鑰互換、LEAF 產生與驗證、加解密。以下說明其運作過程。 (一)交談金鑰互換機制使用者 Ua 與 Ub 分別建立其共同的 SKab 如下： 1.Ua 任選一亂數 xa∈[2, q–2]，計算 Ta＝xa．B (mod p)，並將 Ia、Pa 與 Ta 傳送給 Ub。 2.Ub 任選一亂數 xb∈[2, q–2]，計算 Tb＝xb．B (mod p)，並將 Ib、Pb 與 Tb 傳送給 Ua。 3.Ua 計算其交談金鑰 SKab 如下： Vb＝Pb＋h(Ib)．B＋(X(Pb)＋h(Ib))．PSA (mod p) SKab＝xa．Vb＋sa．Tb＝xa．sb．B＋sa．xb．B (mod p) 4. Ub 計算其交談金鑰 SKab 如下： Va＝Pa＋h(Ia)．B＋(X(Pa)＋h(Ia))．PSA (mod p)； SKab＝xb．Va＋sb．Ta＝xb．sa．B＋sb．xa．B (mod p) (二)LEAF 產生階段使用者 Ua 與 Ub 進行通訊時，必須事先產生之 LEAF，其產生過程如下：計算 c＝X(SK)．B (mod p)；計算 t＝(PKEA1＋PKEA2)． X(SK) (mod p)；計算 n＝SK＋t (mod p)；則可得出 LEAF＝(c, n) (三)加/解密機制以下列出此機制之運作過程及參數定義。 M 為欲加密之訊息；Ua 為加密者；Ub 為解密者。 [加密] Ua 利用事先產生的 SKab 加密 M，得出 C＝ESKab(M)。傳送 C 與 LEAF 給 Ub。 [解密] Ub 取得 C 與 LEAF。Ub 利用 SKab 解密即可獲得 M。. 2.5 金鑰恢復階段此階段之運作過程如下： 1.合法授權者向系統中心提出金鑰恢復的請求，並且傳送接收到之{C, LEAF}給系統中心。 2.系統中心向 KEA1 與 KEA2 提出要求，利用任意 t 個 KEA1i 與 KEA2j 回傳之 SKEA1i 與 SKEA2j，用 Lagrange 內插法還原得出 SKEA1 與 SKEA2。 3.系統中心得到 SKEA1 與 SKEA2 後，計算 w＝(－SKEA1 －SKEA2)＝－(SKEA1＋SKEA2) (mod q) 4.再計算 SK＝(w．c＋n) (mod p) (2) 即可得出 SK，解密 C 後，得出原訊息 M，傳送.

(3) M 給提出請求之合法授權者。定理 2：系統中心可於 LEAF 解密階段重新恢復出交談金鑰 SK。證明： (w．c＋n) (mod p)＝(－(SKEA1＋SKEA2)．X(SK))．B ＋(SK＋t) (mod p)＝－X(SK)．(PKEA1＋PKEA2)＋SK ＋(PKEA1＋PKEA2)．X(SK) (mod p)＝SK (mod p) Q.E.D .. 2.6 安全性分析本研究機制之安全性主要是基於解橢圓曲線離散對數問題與單向雜湊函數的困難度。以下將探討機制中各個階段的安全性。 (一)註冊階段系統中心無法取得使用者的私鑰 si，其安全度是基於解橢圓曲線離散對數問題的困難度；攻擊者無法取得使用者的私鑰 si 與系統中心的私鑰 sSA，其安全度是基於解橢圓曲線離散對數問題的困難度；使用者無法自行計算有效的公鑰及證明。 (二)金鑰託管階段因為 KEA1 與 KEA2 會將驗證序列公佈給所有的 KEA1i 與 KEA2，所以 KEA1 與 KEA2 無法偽造分 j 享之 SKEA1i 與 SKEA2j。 (三)通訊階段第三者無法解出交談金鑰，其安全性是基於解橢圓曲線離散對數問題的困難度；攻擊者無法由 LEAF 中求出交談金鑰，此安全性為基於解橢圓曲線離散對數問題的困難度；攻擊者截取到 C 與 LEAF 後無法解出明文，因為使用者無法取得交談金鑰 SK，其安全度是基於解橢圓曲線離散對數問題的困難度。 (四)金鑰恢復階段 SA 無法自行重新恢復交談金鑰。. 2.7 複雜度分析複雜度分析包含計算時間複雜度與通訊傳輸量兩方面。 (一)計算時間複雜度為了方便分析，故定義以下參數： K：一個任意大小的有限場；TEM：進行一次 ECC 乘法運算所需花費的時間(如：Pi＝si．B (mod p))； TEA：進行一次 ECC 加法運算所需花費的時間(如： P＋Q＝R)；TMM：進行一次模數 K 乘法運算所需花費的時間；TMD：進行一次模數 K 除法運算所需花費的時間；TMA：進行一次模數 K 加法運算所需花費的時間；TME：進行一次模數 K 指數運算所需花費的時間；TH：進行一次單向雜湊函數運算所需花費的時間；TSYM：進行一次對稱式加/解密所需花費的時間；TINV：進行一次模數 K 乘法反元素運算所需花費的時間。相較於模數乘法，模數加法、模數減法、互. 斥運算時間相當低，故可忽略不記。另外根據文獻 [4]所作的假設得知，在橢圓曲線中，計算 k．B 是針對所有的點 B∈E(Fp)且 p≈2160，其中 k 是一個隨機的 160 位元整數。此外，對於 gx mod P 的計算，其中 P 是一個 1024 位元的質數，x 是一個隨機的 160 位元整數。於是可以推得出 TEM≈29TMM 、 TEA≈(5/41)TMM≈0.12TMM、TME≈240TMM，且由文獻[3] log. 3. 1.585. ， TMD≈TMM 以及 TINV 可知 TMM ＝ |K| 2 ≈|K| ≈(0.843*ln(K)＋1.47)*TMD 。表 2-1 計算時間複雜度及概略估計比較表項目系統建置階段使用者註冊階段. Nechvatal [34]系統 TME ≈ 240TMM (2n2－1)TMM. 金鑰託管階段. 2TME ＋ 2TMM 482TMM 2nTME ≈ 480nTMM. 通訊階段. 金鑰恢復階段. ≈. 本研究機制 TEM ≈ 29TMM 5TEM ＋ 3TEA ＋ TMM ＋ 4TH ≈ 146.36TMM ＋ 4TH 4nTEM ≈ 116n TMM. TME＋TMM ≈ 241TMM. 8TEM ＋ 6TEA ＋ 2TH ＋ 2TSYM ≈ 232.72TMM＋2 TH＋2TSYM TEM＋TEA ≈ 29.12 TMM. n：子金鑰託管單位之個數。由表 2-1 可看出本研究機制各階段之時間複雜度皆比 Nechvatal[7]之系統來得少。所以此基於橢圓曲線密碼系統之自我認證公開金鑰密碼系統設計之機制，會比 Nechvatal 的系統更來得有效率，故本研究機制應用到電子商務環境確實兼具效率性及安全性。 (二)通訊傳輸量為了方便分析，故定義以下參數： |M|：明文大小；|M’|：使用交談金鑰加密過的長度； |I|：身份相關資訊的大小；|p|：經過模 p 運算後的大小，p 為 160 位元的質數；|q|：經過模 q 運算後的大小，q 為 160 位元的質數；|q’|：經過模 q’運算後的大小，q’為 512 位元的質數；|X|：使用者自行選擇的隨機整數大小；|cert|：公鑰憑證。表 2-2 通訊傳輸量比較表項目使用者註冊階段金鑰託管階段通訊階段金鑰恢復階段. Nechvatal[7]系統 2n2|p| 2|p|＋|M’|＋|cert| |M’|+|M|+2|p| ＋ 2n|q’|. 本研究機制 |I|＋2|p|＋|q| 2n|q| 2|I|＋4|p|＋|M’| |M’|+|M|+2|p| ＋ 2t|q|. n：子金鑰託管單位的總數(n>t)。 t：重新恢復金鑰所需之子金鑰託管單位的個數。由表 2-2 中可看出，本研究提出之機制僅有在金鑰託管階段的通訊傳輸量大於 Nechvatal 的系統，但以整體來看，本研究機制之通訊傳輸量是少於 Nechvatal 的系統。因此可得知，本研究機制除具有 ECC 的安全性外，亦能增加訊息傳輸的效率性，正可應用於需要快速運算的電子商務環境中。.

(4) 3. 託管電子現金系統本研究所設計的託管電子現金系統是基於 Tsaur 與 Ho[11]所提出的電子付款系統，並結合了前述的金鑰恢復與託管機制。此系統共包含七個主要的階段，以下簡單描述系統組成之要素： 1.系統中心(SA)：協助所有參與者產生其金鑰對。 2.金鑰託管機構(KEA)：託管使用者與商店的秘密金鑰或交談金鑰，以及在必要時協助 SA 恢復金鑰。 3.銀行(Bank)：發行電子現金與清償商家儲存之電子現金。. 3.1 系統建置階段系統中心的初始化，用以建立公開及秘密參數。由 SA 計算以下參數：p、Fp 場中的橢圓曲線 E、B、h( )、X(P)、PSA、sSA、wUi 與 IUi 之定義如前 2.1 所述。當 SA 建立這些參數後，將{E, B, p, q, PSA, h( ) }公開，保留 sSA 當成其密鑰。. 3.2 初始階段此階段包括使用者向銀行開設帳戶，以及所有參與者向系統中心註冊取得金鑰對。另外，資料的傳送是利用雙方產生之交談金鑰將資料加密，交談金鑰產生方式如前 2.4 所述。以下就各個參與者的參數作說明： (一)使用者(User) IUi：使用者 Ui 的身份；sUi：使用者 Ui 的秘密金鑰； ACCUi：使用者 Ui 的帳戶號碼；PUi：使用者 Ui 的公開金鑰；C-DB：儲存所提領還沒有花費的電子現金的資料庫；PSx-DB：儲存使用者秘密金鑰及秘密資訊的資料庫。 (二)銀行(Bank) IBj：銀行的身份；sBj：銀行的秘密金鑰；PBj：銀行的公開金鑰；U-DB：儲存使用者身份以及銀行帳戶號碼的資料庫； W-DB ：儲存提款副本 (Withdrawal Transcripts)的資料庫；D-DB：儲存清償副本(Deposit Transcripts)的資料庫。 (三)商家(Shop) ISk：商家的身份；sSk：商家的秘密金鑰；PSk：商家的公開金鑰；ACCSk：商家的帳戶號碼；P-DB：儲存尚未清償電子現金的付款資料庫；U-BL：記錄廢止的使用者公開金鑰；C-WL：記錄合法的電子現金； B-BL ：記錄廢止的銀行公開金鑰； PS-WL：記錄合法的使用者公開金鑰。 (四)金鑰託管機構(Key Escrow Agent) (PKEA1, sKEA1)：KEA1 的公私金鑰；(PKEA2, sKEA2)： KEA2 的公私金鑰。 [開設帳戶] 使用者 Ui 使用 IUi 向銀行 Bj 開設帳戶，得到一組帳戶號碼 ACCUi。銀行 Bj 儲存(IUi, ACCUi)在 U-DB 資料庫中。 [使用者註冊]. 使用者 Ui 執行以下步驟向 SA 註冊以取得合法公鑰及證明，並計算其密鑰。 1.使用者 Ui 隨選一個亂數 xUi，且計算 VUi＝h(xUi, IUi)．B (mod p)，並將自己的身分 IUi 與 VUi 傳送給 SA。 2.SA 選擇一個亂數 kUi，且計算使用者 Ui 的公鑰為 PUi＝VUi＋(kUi－h(IUi))．B (mod p)與公鑰證明 wUi ＝kUi＋sSA．(X(PUi)＋h(IUi)) (mod q)，並傳送 PUi 與 wUi 給使用者 Ui。 3.使用者 Ui 計算自己的私鑰 sUi＝wUi＋h(xUi, IUi) (mod q)，並驗證公鑰的有效性是否成立：sUi．B ＝PUi＋h(IUi)．B＋(X(PUi)＋h(IUi))．PSA (mod p) 若驗證成功，則使用者 Ui 的私鑰為 sUi，公鑰為 PUi。在註冊階段中，銀行須隨選亂數 xBj、kBj；商家須隨選亂數 xSk、kSk。而銀行、商家與金鑰託管單位產生公鑰與私鑰的方法皆如同使用者註冊。. 3.3 金鑰託管階段當使用者與商店向 SA 註冊後，必須將其部份秘密金鑰與交談金鑰託管至 KEA1 與 KEA2 中。 (一)使用者金鑰託管 1.Ui 與 KEA1、KEA2 共同產生交談金鑰 SKUK1、 SKUK2，以便在傳輸資料時供加/解密用。 2.Ui 分別將(wUi, PUi, IUi)與(h(xUi, IUi), PUi, IUi)送給 KEA1 與 KEA2。 3.KEA1 計算 C2＝wUi．B (mod p)；KEA2 計算 C3 ＝h(xUi, IUi)．B (mod p)。並且分別傳送 C2 與 C3 到 SA。 4.SA 收到後，驗證 C2＋C3 之值是否等於 PUi＋ h(IUi)．B＋(X(PUi)＋h(IUi))．PSA (mod p)。 (二)商家金鑰託管 1.商家將其與使用者共同產生之交談金鑰 SKSU 託管至金鑰託管單位。 2.Sk 與 KEA1、KEA2 共同產生交談金鑰 SKSK1、 SKSK2，以便在傳輸資料時供加/解密用。 3.Sk 計算 n＝SKUS＋(PKEA1＋PKEA2)．X(SKUS) (mod p)，分別將(X(SKUS), PSk, ISk)與(n, PUi, IUi)送給 KEA1 與 KEA2。. 3.4 提款階段使用者執行以下步驟向銀行提領電子現金： 1.使用者 Ui 與銀行 Bj 共同產生 SKUB，在傳輸資料時加/解密用。SKUB 產生方式同前述 2.4.1。 2.Ui 選擇 C 並計算 C’=h(X(PUi), C)，將 ESKUB(C’, C) 傳給 Bj。 3.Bj 收到後，隨機選取一個數 uBj 並計算 RBj’＝uBj． B (mod p)，將 RBj’傳給 Ui。 4.Ui 收到後隨機選取兩個數 a 與 b 並計算 RBj ＝RBj’．a＋b．B (mod p)；F＝h(X(RB), C, X(PUi))；F’＝F/a (mod q)；將 F’傳給 Bj。 5.Bj 收到 F’後，計算 SBj’＝sBj．F’＋uBj (mod q)，並.

(5) Bj 儲存 IUi, C’, sBj 在 W-DB 資將 SBj’傳給 U。然後 i 料庫中，並從使用者帳戶中扣款。 6.Ui 收到 SBj’後計算 SBj＝SBj’．a＋b (mod q)，σBj ＝(RBj, SBj)並驗證 SBj．B＝PBj．h(X(RBj), C, X(PUi)) ＋RBj (mod p) 驗證式成立後，則儲存電子現金(C, σBj, PUi)在 C-DB 資料庫中。. 3.5 付款階段在付款階段中，使用者將其電子現金，傳送給商家作付款的動作。此階段運作方法如下： 1.使用者 Ui 與商家 Sk 共同產生交談金鑰 SKUS，在傳輸資料時加/解密用。SKUB 產生方式同前 2.4。 2.商家 Sk 寄給使用者 Ui 時間戳記 mess。 3.Ui 收到後，隨機選取一個數 KUi 並計算 RUi＝KUi． B (mod p) ； SUi ＝ sUi ． h(X(RUi), C, IUi, mess, X(PUi))+KUi (mod q)；σUi＝(RUi, SUi)；將 C, PUi, σBj, σUi 傳給商家。 4.商家收到 C, PUi, σBj, σUi 後檢驗：假如 PUi∈U-BL ，則拒絕電子現金 C ；假如 PBj∈B-BL 且 h(X(PUi), C)∉C-WL，則拒絕電子現金 C； 5.若上述檢驗都沒問題，則驗證下面等式是否成立： SBj．B＝PBj．h(X(RBj), C, X(PUi))＋RBj (mod p)；SUi． B＝PUi．h(X(RUi), C, IUi, mess, X(PUi))＋RUi (mod p)；若等式都驗證成立，則將(C, PUi, mess, σUi, σBj) 儲存在 P-DB 資料庫中，接受使用者的付款。. 3.6 清償階段商家執行以下步驟向銀行要求清償動作： 1.商家 Sk 將電子現金(C, σBj, PUi)傳送給銀行 Bj。 2.Bj 收到電子現金(C, σBj, PUi)後，驗證以下等式是否成立。SBj．B＝PBj．h(X(RBj), C, X(PUi))＋RBj (mod p)。若等式成立後，接著檢驗 C 是不是已經清償過了，搜尋 D-DB 資料庫中，假如找到(C, σUi’)，則代表是重複清償，Bj 回傳 Sk 一個有關電子現金 C 是不合法的回應；如沒找到，則 Bj 傳給 Sk 一個有關電子現金 C 是合法的回應。 3.Sk 再將 ISk, ACCSk, mess, σUi 傳給 Bk。 4.Bk 再驗證下列等式是否成立。SUi ．B＝PUi ． h(X(RUi), C, IUi, mess, X(PUi))＋RUi (mod p)。若等式成立，則檢驗是否有超支，假如超支的話，則執行追蹤階段。假如沒有超支的話，則將錢存入商家的帳戶中，銀行儲存(C, PUi, ISk, σUi)在 D-DB 資料庫中。. 3.7 追蹤階段 (一)使用者追蹤假如發現超支，則執行以下步驟： (1)銀行 Bj 將(C, PUi, mess, σUi, σBj)送給 SA。. (2)SA 向 KEA1 與 KEA2 提出合法授權要求。 (3)KEA1 計算 C2＝wUi．B (mod p)；KEA2 計算 C3 ＝h(xUi, IUi)．B (mod p)。並且分別傳送(C2, PUi, IUi)與(C3, PUi, IUi)到 SA。 (4)SA 收到後，驗證 C2+C3 之值是否等於 PUi＋ h(IUi)．B＋(X(PUi)＋h(IUi))．PSA (mod p)。 (5)驗證成功後，SA 可得知 IUi，之後告知 Bj 以便找出是誰超支花費。 (二)違法交易追蹤假設調查單位懷疑商家進行非法交易時，追蹤步驟如下： (1)擷取交易的密文 C’，其中 C’是以 SKUS 加密(C, PUi, σBj, σUi)。 (2)調查單位持 C’向 SA 申請解密。 (3)SA 向 KEA1 與 KEA2 提出合法授權的請求。 (4)KEA1 計算 c＝X(SKUS)．B (mod p)，KEA1 與 KEA2 分別將(c, sKEA1, ISk)與(n, sKEA2, ISk)送到 SA。 (5)SA 計算–(sKEA1＋sKEA2)．c＋n＝SKUS。 (6)為了查出電子現金的使用者，此時調查單位必須再執行使用者追蹤，以便找出電子現金的使用者。. 3.8 安全性分析本研究所提出之託管電子現金系統是以 Tsaur 與 Ho[11]提出之電子付款系統為基礎，加入前面所提出之金鑰恢復與託管機制來設計。其安全性主要是基於解橢圓曲線離散對數問題之困難度與雜湊函數之安全性。 (一)初始階段系統中心無法取得參與者的秘密金鑰，其安全度是基於解橢圓曲線離散對數問題的困難度；攻擊者無法取得參與者的私鑰 si 與系統中心的私鑰 sSA，其安全性是基於解橢圓曲線離散對數問題的困難度；參與者無法自行計算有效的公鑰及證明。 (二)金鑰託管階段攻擊者無法取得使用者傳送至金鑰託管單位的資料，因為攻擊者無法取得使用者與金鑰託管單位共同產生之交談金鑰 SKUK1 與 SKUK2；攻擊者無法取得商家傳送至金鑰託管單位的資料，因為攻擊者無法取得商家與金鑰託管單位共產產生之交談金鑰 SKSK1 與 SKSK2；由於使用者並非直接託管其金鑰，故可避免託管單位得知使用者金鑰，保護使用者金鑰的安全。 (三)提款階段電子現金無法被偽造，因為使用者所提領的電子現金是經由銀行簽署過的，所以沒有人可以偽造銀行來發行電子現金。 (四)付款階段商家可自行驗證電子現金商家可自行驗證，而不用請發行電子現金的銀行來幫忙驗證，此乃由於採用自我認證的方式。此外，在驗證電子現金真偽時，也可以驗證對方的身份及其公鑰有效性。 (五)清償階段.

(6) 銀行可檢驗電子現金是否已經清償與超支。 (六)追蹤階段非法交易發生時可追蹤出犯罪者。. 3.9 複雜度分析 (一)計算時間複雜度參數定義如前 2.7 所述。表 3-1 託管電子現金系統之時間複雜度概略估計 SA 系統建置初始託管. User. Bank. Shop. KEA1& KEA2. 116.24 TMM ＋ 2TH 45.36 TMM ＋ 2TH 263.6 TMM ＋ TSYM ＋ 5TH 175.36 TMM ＋ 3TH. 116.24 TMM ＋ 2TH. 116.24 TMM ＋ 2TH 174.6 TMM ＋ 2TH. 32.48 TMM ＋ 4TH 87TMM ＋ TH. 29TMM. 150.6 TMM ＋ 10TH 58.36 TMM ＋ 2TH. 提款. 付款. 261.6 TMM ＋ 4TH. 清償使用者追蹤違法追蹤. 175.36 TMM ＋ 2TH 261.6 TMM ＋ 4TH 145.36 TMM ＋ 2TH. 58.36 TMM ＋ 2TH. 58TMM ＋ TH. 29.12 TMM. 29TMM. 初始提款. 付款清償使用者追蹤. Trustee 29TMM. User. Bank. 264.36TMM ＋6TH. 204.12TMM ＋ 2TH. 204.12TMM ＋ 2TH 117.12 TMM. 263.36TMM ＋ (0.843 × ln(q) ＋ 1.47) × TMD ＋TH 30TMM＋TH. 項目初始階段金鑰託管階段. 通訊傳輸總量 5|I|+10|p|+5|q| 使用者金鑰託管. 2|I|＋6|p|＋2|M’|. 商家金鑰託管. 2|I|＋4|p|＋2|M’|. 提款階段付款階段清償階段追蹤階段. 2|I|＋5|p|＋2|q|＋|M’| 2|I|＋7|p|＋2|q|＋|X|＋|m| |I|＋3|p|＋2|q|＋|X|＋|m|＋|Acc| 使用者追蹤 |I|＋3|p|＋2|q|＋|X|＋|m|＋2|M’| 2|M’| 違法追蹤. Shop. 204.12TMM ＋2TH. 項目初始階段提款階段付款階段清償階段追蹤階段. 通訊傳輸總量 3|I| + 12|I| + 6|I| 2|p| + 2|q|＋|M’| 8|p|＋3|q|＋|X|＋|m| |I|＋10|p|＋4|q|＋|X|＋|m|＋|Acc| 使用者追蹤 |I|＋12|p|＋4|q|＋|X|. 理論上來說|I|會小於|p|與|q|，因此由表 3-3、 3-4 可得知，我們的系統在初始、提款、付款與清償階段之傳輸量皆小於 Lee 等[5] 學者提出之系統，只有在追蹤階段之傳輸量略大於 Lee 等學者提出之系統。此外本研究機制中多了金鑰託管單位的存在，故會增加金鑰託管階段的傳輸量，但是因為這個階段的存在，我們才能提供使用者更安全的環境，並且讓犯罪者能更快的經由追蹤階段被找出。因此，本研究機制除了具有 ECC 的安全性與效率外，提供之追蹤階段更能幫助執法單位快速找出犯罪者，讓使用者能更安心的在電子商務環境中進行交易。. 4. 結論 174.36TMM ＋3TH 58.12TMM ＋ TH. 174.36TMM ＋3TH. 表 3-3 託管電子現金系統之通訊傳輸量. 表 3-4 Lee 等學者提出系統之通訊傳輸量. 表 3-2 Lee 等學者提出系統之時間複雜度概略估計系統建置. 我們比較表 3-1、3-2 後可以發現到，在初始階段及使用者追蹤階段中，本研究機制的計算複雜度是較低的。雖然在其他階段之計算複雜度略大於 Lee 等[5]學者提出之系統，但是本研究機制卻提供使用者更大的安全性。因為我們的機制中另外增添了違法交易追蹤的功能，因此在安全性上是優於 Lee 等[5]提出之系統。並且由於我們的機制在追蹤部分的計算複雜度是較少的，故當犯罪行為產生時，能更迅速地找出犯罪者，還給使用者一個公道。 (二)通訊傳輸量各參數的定義如下： 1. |M|、|M’|、|I|、|p|、|q|、|X|之定義如前 2.7。 2. |m|：時間戳記長度；|Acc|：銀行帳號長度。. 58.12TMM ＋ TH. 本研究提出之兩個機制皆應用自我認證的安全機制，使得使用者不必依賴系統中心就能達到身份確認，因為可以在同一個邏輯步驟內完成身份驗證與公鑰的正確性檢查，故能提高效率性。而在安全性方面，本論文提出之兩個機制因為是植基於橢圓曲線密碼系統來發展，故可以更少的位元數來達到相同的安全等級，因此適合應用於需要快速運算.

(7) 的電子商務環境上。. 5. 參考文獻 [1] 陳宗保，「行動電子商務環境下安全協定之研究」，大葉大學資訊管理研究所碩士論文，民國 90 年。 [2] D. E. Denning and M. Smid, “Key escrowing today,” IEEE Communications, Vol. 32, pp. 58-68, 1994. [3] D. F. Knuth, “Seminumerical Algorithms,” The Art of Computer Programming, Addison-Wesley, Vol. 2, 1981. [4] N. Koblitz, “Elliptic curve cryptosystems,” Mathematics of Computation, Vol. 48, No. 17, pp. 203-209, 1987. [5] M. Lee, G. Ahn, J. Kim, J. Park, B. Lee, K. Kim, and H. Lee, “Design and implementation of an efficient fair off-line E-Cash system based on elliptic curve discrete logarithm problem,” Journal of Communications and Networks, Vol. 4, 2002. [6] W. Mao, “Publicly verifiable partial key escrow,” International Conference on Information and Communications Security, Springer-Verlag, LNCS , pp. 409-413, 1997. [7] J. Nechvatal, “A public-key-based key escrow system,” Journal of Systems and Software, Vol. 35, pp. 73-83, 1996. [8] J. M. Nieto, K. Viswanathan, C. Boyd, and E. Dawson, “Key recovery system for the commercial environment,” International Journal of Information Security, Vol. 1, pp. 161-174, 2002. [9] T. P. Pedersen, “Distributed provers with applications to undeniable signature,” Advances in Cryptology–EUROCRYPT’91, LNCS, Vol. 547, Springer-Verlag, pp. 221-238, 1991. [10] A. Shamir, “ Partial key escrow ： A New Approach to Software Key Escrow,” NIST Key Escrow Standards meeting, 1995. [11] W. J. Tsaur and C. H. Ho, “A Secure Electronic Payment System Based on Efficient Public Key Infrastructure,” Proceedings of the 2002 International Workshop for Asian Public Key Infrastructures (IWAP 2002), Taipei, Taiwan, 2002. [12] K. Viswanathan, C. Boyd and E. Dawson, “Strong binding for software key escrow,” International Workshops on Parallel Processing, IEEE Press., 1999. [13] H Wang, and Y. Zhang “Untraceable off-line electronic cash flow in e-commerce,” Proceedings of Computer Science Conference, pp. 191-198, 2001..

(8)