基于Pay Word的微支付机制及改进分析综述*

李方伟，闫少军

（重庆邮电大学移动通信安全研究所 重庆400065）

1 引言

随着网络和信息技术的迅速发展，网上购物亦随之普及、发展起来，信息产品的销售越来越得到人们的关注。信息产品包括的范围比较广，如网上新闻、信息查询、资料检索等，所涉及的支付费用很小，往往只要几分钱、几元钱或者几十元钱。微支付（micro payment)就是为解决这些“小金额的支付”而提出的，其特点在于交易额度小，同时自身的交易量大，颇有薄利多销的意味。这种支付机制有着特殊的系统要求，在满足一定的安全性的前提下，要求尽量少的信息传输、较低的管理和存储需求，即速度和效率要求比较高，支付系统不能复杂，否则，支付系统处理每笔支付本身的费用可能超过要支付的费用。

目前，微支付的研究比较活跃，微支付协议按照连接形式分为在线（on-line）和离线（off-line），典型的离线微支付协议包括Pay Word和MicroMint、Minipay等。美国电子商务专家Ronld L Rivest和Adi Shamir提出的基于信用的Pay Word微支付协议[1]，以其高效性、便利性和保持原子性等特点，成为美国甚至国际电子商务发展中应用较为广泛的一种微支付方式。但是该协议不能有效地解决匿名性、双向认证性等问题，国内外的相关学者在其基础上，改进、扩展了相关协议，并在一些新的领域得到了应用，以满足不同的安全性和效率需求。但目前的问题是缺乏全面系统的分析和比较，使人们无法判断协议的优劣，也无法在实际应用中选择和扩展协议。

2 基于Pay Word的改进微支付协议的研究现状

目前，关于Pay Word协议的研究主要可以分为3个方面：安全性、公平性、高效性。其中，安全性与公平性是当前研究的热点，而研究高效性的文献则相对较少。对于安全性的相关研究，包括传输中的信息保密安全、对客户的隐私保护（即匿名性）、双向认证以及Hash链的交叉问题；对于公平性的研究，其目的是为了更好地维护用户和商家的权益不受侵害，目前较好的方法是利用分割电子货币的思想、双Pay Word链技术、预扣费以及将同时生效签名引入到协议中；对于高效性的相关研究，主要是从计算复杂度、存储开销以及多面额Hash链3个方面进行的。

3 Pay Word协议

Pay Word是一种基于信用方式的协议，也就是说客户是在购买到商品一定时间以后才进行实际的支付。它采用一条称为Pay Word的Hash链值表示货币[1]，每个Pay Word表示某一单位的货币值。首先，顾客C要在经纪人B处注册一个账户，并由B发给C一个Pay Word证书，利用该证书，B授权C制造Pay Word链，以作为支付凭证提交给M，并保证M可以在以后通过B进行兑换。在第一次支付请求时，顾客计算并签署对某一特定Pay Word链w1,…,wn的承诺书 （包含根值w0和其他附加信息的数字签名）。C随机选取一个wn，并在此基础上以相反的顺序创建Pay Word链，如下所示：

其中，i=n-1,n-2,…,0，h是一个单向无碰撞的Hash函数（如MD5）[2]，w0是不用于支付的根。C把承诺、w0和第i个支付对 （wi，i）一同发给M，M对承诺中的签名进行验证，然后利用w0验证支付对。在某一周期的最后，M把最后的支付对（wm，m）和承诺提交给B，通过验证后，B从C的账户中扣除价值m的货币并转移到M的账户中，至此，完成了整个Pay Word协议。

通过以上介绍，可以看出Pay Word与其他微支付方式相比，具有如下优势。

·支付交易中不需要保留过多的记录，只需存储最后一次交易所支付的Pay Word支付对，节省了存储开销，提高了效率。

·Pay Word支持可变大小支付，如顾客在一次交易中需要支付n个单元的Pay Word，首先向M发送(w1，1)，然后再发送（wn，n）即可。

·防止伪造。由于采用了强散列函数，从已花费的Pay Word中导出未花费的Pay Word在计算上是困难的，这样可以有效防止伪造Pay Word。

·防止多重花费。在每一次支付过程中，顾客都必须

提交支付承诺和相应的Pay Word链，而最后一次消费的Pay Word和根都会让商家和经纪人保留和跟踪，一旦顾客重复消费，则必须提交相同的支付承诺和支付链，商家通过数据库形式存储某一支付承诺项以及其对应的已花费Pay Word，可以有效防止多重花费。

但是Pay Word协议本身也存在着一定的缺陷，表现在以下几方面。

·未能提供匿名性。如果其他人获取了中间人的公钥，就可以解密证书，了解到证书中所涉及到的顾客的所有私密信息，严重破坏了顾客的匿名性。

·顾客必须对其所需要支付的商家签署一个支付承诺，如果频繁互换商家，将会带来很大的计算消耗。

·商家欺骗。商家与顾客交易后，立即向银行请款，传送给银行的消费要求以及最后一次的消费金额wi都无误，但是却没有寄送商品给使用者，因而商家就有机会欺骗使用者向银行收取货款。

·Pay Word链存在着Hash链的交叉问题。如果顾客A和顾客B分别产生Pay Word链，而这两条链有部分相互交叉，当他们与某一商家交易时，商家就有可能利用其交叉部分。

·没有提供双向认证功能。

4 基于Pay Word的改进微支付协议

4.1 安全性的改进

由于移动电子商务依赖于安全性较差的无线通信网络，在信息的传输中有可能发生信息泄密或引入黑客攻击，导致客户的私人信息外泄；在没有双方认证的情况下，交易一方被冒名取代，给原交易双方造成损失。此外，本文将Hash链的交叉问题亦归为安全性问题。因此安全性是移动电子商务中需要重点考虑的因素。

针对Hash链的交叉所引起的安全问题，目前相关研究很少，仅参考文献[3]提出了一种改进方案，该方案也是一种基于信用方式的协议，采用了Pay Word的Hash链技术，减少了Hash链的交叉情况，使一条Hash链可以在多个商家之间使用，适合于客户在短时间内和同一个商家之间的频繁交易，同样也适合于客户在不同商家之间的交易。针对客户私人信息外泄的安全问题，即匿名性问题，参考文献[4]提出了一种改进方案，在交易过程中经纪人B为交易双方分配一个会话密钥，对交易过程中的重要信息进行加密，有效地保证了交易信息在传输时的保密性，并取消了证书中的客户姓名、地址等关键信息，即使证书被破解，攻击者也得不到客户的具体信息，在一定程度上保证了客户的部分匿名性。参考文献[5,6]通过引入盲签名技术使中介无法获知顾客信息，满足顾客对于中介的匿名性，但是盲签名的引入会使整个协议的流程变复杂，不再适用于以满足小额、量大、交易频繁为目的的微支付系统。参考文献[7]提出了微支付协议下的完整匿名性定义，并在此定义下设计了一个有效的匿名微支付协议，该协议以Hash链作为交换媒质，通过引入假名机制并采用先付方式避免顾客信息在交易中出现，有效地实现了匿名性。针对Pay Word协议未能提供双向认证这一安全问题，参考文献[4]采用公钥技术对服务请求及支付承诺进行加密、解密操作，实现了用户和商家的相互认证，但遗憾的是，此过程需要第三方经纪人B的参与。参考文献[8]提出了一种基于令牌的快速认证方法，但仍需第三方的参与。参考文献[9]采用对称加密和杂凑运算实现了双向认证，并有效地减少了认证时延。参考文献[10]采用CEMBS证书，实现了用户和商家的相互认证。参考文献[11]描述了一种适用于移动通信增值服务的认证和支付模型，提供了用户和增值服务提供者之间的双向身份认证机制。

4.2 公平性的改进

移动电子商务中的交易做到现实中的一手交钱一手交货是不可能的，支付的时候总会有一方先进行操作，若商家先发送商品给客户，则存在客户不进行支付的可能，对商家造成损失；若客户先进行支付，则存在商家不发送商品或者发送错误商品而进行欺诈的可能；另外也存在着客户恶意透支的问题，因而公平性在移动电子商务中也是一个重点研究的方向。

[4]中采取经纪人B检查客户账户余额的措施，有效地防止了客户的恶意透支，但是却忽略了商家对客户进行欺诈的可能。参考文献[12]在Pay Word协议的基础上增加了银行延迟付款的功能，有效地防止了商家对客户的欺诈。参考文献[13]提出了一种基于“虚借记”的NPAY微支付协议，有效地解决了消费者超额消费的问题。参考文献[14]根据分次支付的思想把用于一次性数字签名的双Hash链方案引入了移动支付协议。参考文献[15]提出了一种预付费方案，有效地防止了消费者进行重复花费。参考文献[16]提出了一种基于Pay Word的小额电子支付协议，借鉴了参考文献[17]中分割货币的思想，有效地提供了部分的公平性，可以支持更多种类信息商品的在线交易。参考文献[18]将同时生效签名引入移动支付协议中，通过消费者和商家分别对支付信息和商品信息进行生效签名，有效地解决了交易过程中缺乏公平性的问题。参考文献[19]提出了双Pay Word链（DPWC）的概念，在数据业务管理平台（DSMP）的基础上，通过引入一个仲裁子协议，实现了支付的完全公平性。参考文献[20]提出了一种小额电子支付协议Proofword，用户首先向商家预付足够额度的费用且发送给商家一定价值的消费证据，因而用户可以通过银行要求商家退款，保证了用户一方的公平性。参考文献[21]提出了一种完全杜绝透支的新型支付方案，并且有效避免了预支付机制的弊端。

4.3 高效性的改进

高效性是指Pay Word微支付系统在电子商务支付结算过程中，能够以高效快捷、成本低廉、方便易用的方式进行支付交易的特性。

参考文献[8]提出了多面额Hash链的思想，结合自更新Hash链机制，有效地解决了传统的Hash链长度受限制的问题，提高了支付协议的执行效率。参考文献[19]利用双Pay Word链的特点，实现了非单元支付的功能，减少了用户和SP之间的交互次数，有效地提高了协议的效率。参考文献[22]提出了一种改进的二维Hash链并应用在Pay Word协议中，二维Hash链的效率相比一维Hash链有了大幅提升，使最大Hash运算次数由o(n)降为o(姨n )，并且能跟多个商家进行交易，极大地提高了协议的支付效率。参考文献[23]通过使用Merkle树将散列链连接起来，使多个散列链共用一个消费者的数字签名，减少了公钥的计算量，节省了计算开销，消费者在支付过程中的计算量由o(n)降为o)，方案的执行效率有了大大的提高。参考文献[24]提出了一种离线预支付系统，支持数字货币的可分性，并允许消费者使用同一个Hash链与多个商家进行交易，该系统仅采用对称加密体制，完全没有使用公钥算法，支付效率有了很大的提高。参考文献[25]提出了一种高认证效率的移动商务小额支付协议，并且从计算资源需求和存储能力方面进行改进，提高了支付效率。

4.4 对目前研究情况的总结

在基于Pay Word协议安全性的改进方面，由于对称加密和公钥加密技术的应用日趋成熟，信息传输的安全保密性得到可靠的保证。在匿名性方面，现有的改进协议仅限于取消消息传递过程中交易双方的身份信息等，并未实现完全的匿名性，亦或是采用随机匿名标识代表参与者的身份，实现了交易双方的相互匿名性，但是这种匿名性对于经纪是透明的，很难预防恶意经纪与交易某一方的合谋攻击；在双向认证方面，目前的协议都需要有第三方的参与，这将会是协议的一个瓶颈。

在基于Pay Word协议公平性的改进方面，预防客户透支和预防商家欺骗这两个方向的研究方法较多，也较为完善，但是现有的改进协议并没有达到完全的公平性。

在基于Pay Word协议高效性的改进方面，目前的协议大都是在针对Hash链的产生应用所作的改进，达到了一定的效果，但对于存储、计算消耗这两方面的研究相对较少。

上述各种改进协议都是着重改进安全性、公平性、高效性中的一个方面，适用性不是很强。

5 结束语

本文对现有的基于Pay Word的改进微支付协议按照改进类型进行分类，从不同方面对它们进行分析，上述这些改进的微支付协议对于安全性、公平性以及高效性都有一定的保证和提高，但也存在着一些问题。

·每一种改进的微支付协议都是针对某一方面进行的，缺乏一种综合性强的、在保证安全性和公平性的基础上保证协议执行效率的微支付协议。

·在双向认证方面，都必须要有第三方的参与。

·由于无线通信网络的安全性较差，所有协议一般仅考虑了信息传输过程的保密安全性，在用户接入网时段的安全性并没有得到任何的改进。

·所有改进协议并未真正地实现完全的匿名性和公平性。

随着3G的普及发展，移动电子商务必将兴盛起来，如何保证完全的匿名性和公平性以及在没有第三方参与的情况下实现双向认证等问题亟待解决。因此，必须加强对基于Pay Word的微支付协议的研究，才能有效促进移动电子商务的迅速发展。下一步研究的重点方向包括：如何实现一种在没有第三方参与的情况下的双向认证协议，并且要保证完全的匿名性；如何实现支付的完全的公平性。

参考文献

1 Rivest R,Shamir A.Pay Word and MicroMint:two simple micropayment schemes.In:Fourth Cambridge Workshop on Security Protocols,Springer-Verlag,Lecture Notes in Computer Science,1996

2 Ronald L Rivest.The MD5 message-digest algorithm.Internet Request for Comments,1992(4)

3 王志恒,古大武,白英彩.一种新型小额电子支付协议的研究与设计.计算机工程与应用，2001(17)：51~53

4 李凌春.Pay Word微支付系统的安全性分析及其改进研究.大众科技,2008(11):23~24

5 Hwang M,Sung P.A study of Micro-payment based on one-way Hash chain.International Journal of Network Security,2006,2(2):81~90

6 Wenbo M.Light-weight micro-cash payment for the Internet.In:Proceedings of the 4th European Symposium on Research in Computer Security,1996

7 何文鑫,吕玉琴,赵鑫等.基于Hash链的微支付协议匿名性研究.中国电子科学研究院学报,2008(6):599~603

8 孟健,杨阳.基于Pay Word的自更新Hash链微支付协议.计算机工程,2009(35):63~65

9 姬东耀,王育民.移动计算网络环境中的认证与小额支付协议.电子学报,2002,30(4):495~498

10 李方伟,孙逊.移动电子商务微支付协议的改进.重庆邮电大学学报（自然科学版）,2009,21(6):815~818

11 李明柱,李志江,杨义先.移动通信增值服务认证和支付研究.通信学报,2003,24(4):123~127

12 刘伟,陈卫东,王义新.基于Pay Word安全微支付的改进实现.农业网络信息，2007(11):13~115

13 卿丽研.基于Pay Word的微支付系统NPAY设计与研究.商场现代化,2008(1):34~35

14 曹华,金瓯,贺建飈.基于双哈希链的公平移动支付协议的设计和分析.计算机测量与控制,2007,15(1):117~119

15 谭运猛,付雄,朗为民.基于多Pay Word链的新型高效微支付方案.华中科技大学学报，2004,32(5):29~31

16 姬东耀,王育民.基于Pay Word的小额电子支付协议.电子学报,2002;(2):301~303

17 Jakobsson M.Ripping coins for a fair exchange.Advances in Cryptology-EuroCrypt’95,LNCS921,1995

18 刘军.基于同时生效签名的Pay Word协议公平性改进.计算机应用,2010,30(6):1 493~1 494

19 樊利民,廖建新.公平的移动小额支付协议.电子与信息学报，2007(11):2 599~2 602

20 秦小龙,杨义先.一个新的小额电子支付协议.计算机工程与设计,2003,24(10):23~25

21 练斌.移动增值服务支付协议的设计与分析.计算机工程与应用,2008,44(25):115~118

22 刘亿宁,李宏伟,田金兵.二维Hash链在Pay Word中的应用.计算机工程，2006(23):34~35

23 谭运猛,朗为民,杨宗凯.基于Merkle树的微支付方案.华中科技大学学报（自然科学版）,2004,32(6):27~32

24 朗为民,焦巧,李建军,刘建中.基于对称加密体制和散列链的新型公正微支付系统.专题研究,2009(3):4~6

25 陈莉,张浩军.祝跃飞.一种新的移动商务小额支付协议.计算机应用,2007,27(8):2 059~2 061