基于SM2聯(lián)合簽名的電子發(fā)票公開驗(yàn)證方案

羅玙榕，曹進(jìn)，李暉，趙興文，尚超

（西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院，陜西 西安 710071）

0 引言

隨著移動(dòng)互聯(lián)網(wǎng)及電子商務(wù)的迅速發(fā)展，我國網(wǎng)絡(luò)/移動(dòng)支付逐漸普及，目前已有7.68億網(wǎng)絡(luò)支付用戶，占網(wǎng)絡(luò)用戶的85%[1]。發(fā)票是支付消費(fèi)的憑證文件，而在網(wǎng)絡(luò)支付盛行環(huán)境中，基于環(huán)保與便利的需求，傳統(tǒng)紙質(zhì)發(fā)票逐步實(shí)現(xiàn)電子化，網(wǎng)絡(luò)支付與電子發(fā)票技術(shù)體系融合程度逐步加深，能夠推動(dòng)行業(yè)效能及發(fā)展的大幅提升。電子發(fā)票具有無紙化、易存儲(chǔ)、便于傳遞與交付、低消耗等優(yōu)勢，但電子發(fā)票文件因失去物理防偽特征，給發(fā)票防偽及其查驗(yàn)操作帶來許多安全挑戰(zhàn)[2]。

紙質(zhì)發(fā)票可通過特殊的制造工藝進(jìn)行防偽，并同時(shí)保證發(fā)票的唯一性，防止重復(fù)報(bào)銷。由于電子發(fā)票數(shù)據(jù)易于復(fù)制且流轉(zhuǎn)頻繁，收票方難以保證所持有的電子發(fā)票的完整性、有效性及合法性[3]。電子發(fā)票防偽數(shù)據(jù)簡單、開票核驗(yàn)方單一等，導(dǎo)致偽造成本低，易重復(fù)報(bào)銷。電子發(fā)票因缺乏相關(guān)安全標(biāo)準(zhǔn)，從2013年京東集團(tuán)發(fā)布中國網(wǎng)絡(luò)支付首張電子發(fā)票至今，我國尚未形成完備的電子發(fā)票防偽體系，也為電子發(fā)票的推行帶來阻礙。因此，電子發(fā)票的防偽碼生成及公開查驗(yàn)成為電子發(fā)票技術(shù)應(yīng)用推廣的核心問題之一。此外，目前電子發(fā)票查驗(yàn)?zāi)Ｊ綖樗囊貙?duì)比查驗(yàn)，且開具、交付與流轉(zhuǎn)方式未進(jìn)行安全管控，電子發(fā)票文件中交易信息以明文形式存儲(chǔ)，導(dǎo)致銷售方商業(yè)數(shù)據(jù)外流，同時(shí)引發(fā)購買方隱私數(shù)據(jù)泄露等嚴(yán)重的數(shù)據(jù)安全問題，在公開查驗(yàn)的同時(shí)保護(hù)交易雙方隱私數(shù)據(jù)成為未來電子發(fā)票查驗(yàn)技術(shù)發(fā)展的必然趨勢。為實(shí)現(xiàn)發(fā)票的全面安全無紙化，建立統(tǒng)一普適的電子發(fā)票公開查驗(yàn)架構(gòu)具有非常重要的理論意義和應(yīng)用前景。

電子發(fā)票防偽技術(shù)主要分為三類：①稅控碼防偽；②電子簽章或電子簽名防偽；③二維條碼防偽。稅控碼防偽方案與紙質(zhì)發(fā)票統(tǒng)一，采用在線開具系統(tǒng)，由稅務(wù)機(jī)關(guān)生成與交易信息一致的稅控防偽碼，發(fā)票內(nèi)容與電子發(fā)票圖形文件保存完全一致從而進(jìn)行對(duì)比查驗(yàn)。文獻(xiàn)[4]實(shí)現(xiàn)了稅控碼防偽查驗(yàn)系統(tǒng)，是目前稅務(wù)機(jī)關(guān)官方采用的查驗(yàn)方案。持票人登錄國家稅務(wù)總局全增值稅發(fā)票查驗(yàn)平臺(tái)進(jìn)行復(fù)雜的查驗(yàn)操作，需要手動(dòng)輸入發(fā)票號(hào)碼及稅控信息，因?yàn)橄到y(tǒng)并發(fā)服務(wù)資源控制了用戶每日查驗(yàn)次數(shù)，導(dǎo)致用戶無法根據(jù)自身需求隨時(shí)隨地進(jìn)行便捷的真?zhèn)尾轵?yàn)。電子簽章或電子簽名可以實(shí)現(xiàn)與紙質(zhì)發(fā)票稅務(wù)機(jī)關(guān)蓋章相同的效果，并可通過對(duì)發(fā)票數(shù)據(jù)簽名保障發(fā)票信息的完整性及不可否認(rèn)性。文獻(xiàn)[5]設(shè)計(jì)了一種適應(yīng)差異化用戶的電子發(fā)票生成及查驗(yàn)系統(tǒng)，其方案采用數(shù)字簽名對(duì)發(fā)票信息進(jìn)行傳遞完整性保護(hù)，但系統(tǒng)仍采用數(shù)據(jù)庫要素對(duì)比的方式進(jìn)行真?zhèn)尾轵?yàn)，查驗(yàn)的便捷性和效率仍未提升。文獻(xiàn)[6]提出了一種基于SM2數(shù)字簽名的發(fā)票真?zhèn)尾轵?yàn)方案，融合了稅務(wù)機(jī)關(guān)及開票方的雙重簽名，查驗(yàn)者可通過驗(yàn)證簽名從而進(jìn)行公開查驗(yàn)。但該方案中，稅務(wù)機(jī)關(guān)僅對(duì)發(fā)票模板進(jìn)行簽名，未對(duì)發(fā)票交易信息進(jìn)行核驗(yàn)，可能引發(fā)發(fā)票數(shù)據(jù)造假等問題。此外，該方案未對(duì)發(fā)票交易信息進(jìn)行傳輸安全性保護(hù)，導(dǎo)致交易雙方隱私泄露。文獻(xiàn)[7]為巴西官方電子發(fā)票設(shè)計(jì)管理系統(tǒng)，采用公鑰體制對(duì)電子發(fā)票數(shù)據(jù)進(jìn)行簽名，但其中僅包括稅務(wù)機(jī)關(guān)的核驗(yàn)及簽名，發(fā)票交易信息的正確性無法得到保障。文獻(xiàn)[8]提出一種通用的基于數(shù)字簽名的發(fā)票真?zhèn)尾轵?yàn)方案，但其需要多重驗(yàn)證，導(dǎo)致計(jì)算開銷過大。二維條碼防偽方式基于我國自主知識(shí)產(chǎn)權(quán)的二維碼技術(shù)[9-10]，可將發(fā)票要素信息加密編碼，具有存儲(chǔ)量大及防偽效率高等優(yōu)勢，文獻(xiàn)[11]詳細(xì)說明了我國基于二維碼的電子發(fā)票防偽查驗(yàn)方案，但二維碼查驗(yàn)方式對(duì)硬件需求高，需要手機(jī)攝像頭或?qū)Ｓ貌轵?yàn)機(jī)器掃描后與稅務(wù)系統(tǒng)數(shù)據(jù)庫進(jìn)行發(fā)票對(duì)比查驗(yàn)，查驗(yàn)流程復(fù)雜且難實(shí)現(xiàn)全票面信息防偽查驗(yàn)。此外，有一些基于新技術(shù)的電子發(fā)票查驗(yàn)方案，文獻(xiàn)[12-13]提出基于區(qū)塊鏈的電子發(fā)票查驗(yàn)及異常追溯方案，其本質(zhì)是傳統(tǒng)發(fā)票要素對(duì)比方案，并且造成大量存儲(chǔ)冗余，不適用于當(dāng)前的電子商務(wù)環(huán)境。以上方案均需在客戶端在線請求稅務(wù)系統(tǒng)數(shù)據(jù)庫信息對(duì)比稅控信息，從而實(shí)現(xiàn)發(fā)票真?zhèn)悟?yàn)證，實(shí)時(shí)性和便捷性較低。我國稅務(wù)信息化從“紙質(zhì)控稅”發(fā)展至“互聯(lián)網(wǎng)+電子票據(jù)融合”，急需一種電子發(fā)票查驗(yàn)方案實(shí)現(xiàn)發(fā)票數(shù)據(jù)真?zhèn)涡?、完整性、有效性等全方位的?yàn)證，為收票方、報(bào)銷單位等各種角色提供公開、隱私保護(hù)控制、便捷高效的查驗(yàn)方案，支撐電子發(fā)票服務(wù)的全面落地與實(shí)施。

本文主要的研究工作如下。

1) 建立基于電子簽名的電子發(fā)票公開查驗(yàn)架構(gòu)。針對(duì)開票、流轉(zhuǎn)、查驗(yàn)等三大流程，綜合考慮電子發(fā)票信息的多方來源，設(shè)計(jì)融合了開票方及稅務(wù)主管部門核驗(yàn)的電子發(fā)票通用防偽碼生成機(jī)制。

2) 基于SM2簽名算法設(shè)計(jì)了適用于電子發(fā)票系統(tǒng)的聯(lián)合無證書簽名方案，實(shí)現(xiàn)電子發(fā)票信息與交易信息的雙重完整性、真?zhèn)涡?、有效性保護(hù)，對(duì)發(fā)票交易信息進(jìn)行加密保護(hù)，控制用戶敏感信息的傳播。聯(lián)合簽名有效降低查驗(yàn)者的驗(yàn)簽次數(shù)，提高查驗(yàn)效率及便捷性。

3) 仿真結(jié)果及安全分析表明，本文方案具有很高的計(jì)算效率及簡潔的發(fā)票存儲(chǔ)結(jié)構(gòu)，能實(shí)現(xiàn)具有隱私保護(hù)的電子發(fā)票公開多維信息查驗(yàn)并能抵抗各類協(xié)議攻擊。與傳統(tǒng)基于數(shù)字簽名的發(fā)票查驗(yàn)方案進(jìn)行性能對(duì)比，驗(yàn)證了本文方案的高效性及安全功能的多樣性。

1 電子發(fā)票查驗(yàn)?zāi)Ｐ?/h2>

1.1 安全模型

文獻(xiàn)[14]的電子發(fā)票服務(wù)架構(gòu)包含電子發(fā)票服務(wù)系統(tǒng)、收票方、開票方、查驗(yàn)方（如圖1所示）。

圖1 電子發(fā)票服務(wù)架構(gòu) Figure 1 Electronic invoice service structure

1) 電子發(fā)票服務(wù)系統(tǒng)。電子發(fā)票服務(wù)系統(tǒng)由國家稅務(wù)機(jī)關(guān)進(jìn)行管理及運(yùn)營，為包括商家和消費(fèi)者在內(nèi)的實(shí)體用戶提供開票、查驗(yàn)及安全監(jiān)管服務(wù)，在本文的查驗(yàn)架構(gòu)中，電子發(fā)票服務(wù)系統(tǒng)中應(yīng)包含密鑰生成中心（KGC, key generation center）及開票子服務(wù)系統(tǒng)。

2) 開票方。開票方一般為商品銷售方，為購買者提供電子發(fā)票。

3) 收票方。收票方一般為商品消費(fèi)者，需要獲得發(fā)票進(jìn)行報(bào)銷等活動(dòng)。

4) 查驗(yàn)方。查驗(yàn)方即查驗(yàn)者，本文方案中任何獲得電子發(fā)票文件的實(shí)體均可進(jìn)行發(fā)票真?zhèn)尾轵?yàn)。

本文方案中攻擊者可監(jiān)聽、截獲或篡改公開信道傳輸?shù)南?，本文電子發(fā)票查驗(yàn)方案應(yīng)滿足以下安全需求。

1) 電子發(fā)票真?zhèn)喂_可驗(yàn)證性：獲得電子發(fā)票文件的任意實(shí)體可驗(yàn)證電子發(fā)票真?zhèn)?，即可?zhǔn)確判斷該電子發(fā)票為攻擊者偽造/篡改的假票或?yàn)槎悇?wù)機(jī)關(guān)及開票方均認(rèn)可的真票。發(fā)票真?zhèn)涡园娮影l(fā)票數(shù)據(jù)的準(zhǔn)確性、完整性及有效性。

2) 電子發(fā)票防偽造性：攻擊者無法根據(jù)公開信道所截獲的信息偽造出能通過真?zhèn)涡则?yàn)證的發(fā)票數(shù)據(jù)。攻擊者可能是服務(wù)架構(gòu)中任何一方，也可能是電子發(fā)票服務(wù)系統(tǒng)中無身份的攻擊者。

3) 發(fā)票隱私信息保護(hù)性：電子發(fā)票包含商品購買者的隱私信息（如購買的具體商品及數(shù)量信息），本文方案應(yīng)保障除報(bào)銷等用途外的查驗(yàn)者可獲得發(fā)票具體信息，其他查驗(yàn)者僅能查驗(yàn)其真?zhèn)味鵁o法獲取購買者的隱私信息。

1.2 電子發(fā)票公開查驗(yàn)架構(gòu)

電子發(fā)票元數(shù)據(jù)由發(fā)票唯一標(biāo)識(shí)、交易數(shù)據(jù)及稅控信息等部分組成，其中稅控信息為稅務(wù)部門生成的發(fā)票信息安全保障數(shù)據(jù)，如防偽碼、真?zhèn)悟?yàn)證碼等。交易信息主要為兩部分：①由收票方提供包括購買方名稱、納稅人識(shí)別號(hào)、開戶銀行等信息在內(nèi)的發(fā)票抬頭；②由開票方提交包括購買商品詳情/價(jià)格/數(shù)量、銷售方信息、交易時(shí)間等在內(nèi)的交易明細(xì)。

為保障電子發(fā)票的可驗(yàn)證性，電子發(fā)票應(yīng)由稅務(wù)主管部門及開票方共同簽名，保證交易信息的正確性及發(fā)票的有效性。文獻(xiàn)[6]提出一種可驗(yàn)證的稅務(wù)主管部門/開票方雙簽名方案，但該方案中由主管部門對(duì)模板簽名后直接交予開票方，無法由主管部門確認(rèn)及記錄交易信息，不利于發(fā)票的追溯與稽查，該方案需要兩次簽名驗(yàn)證，造成極大的計(jì)算消耗。因此，本文引入一種基于SM2算法的聯(lián)合無證書簽名方案，設(shè)計(jì)了一種電子發(fā)票公開查驗(yàn)架構(gòu)（如圖2所示），具體過程如下。

圖2 電子發(fā)票公開查驗(yàn)架構(gòu) Figure 2 electronic credentials public verification architecture

1) 收票方發(fā)起開票請求，向開票方提供發(fā)票抬頭信息。

2) 開票方向電子發(fā)票服務(wù)系統(tǒng)提出開票申請，開票子系統(tǒng)反饋發(fā)票唯一標(biāo)識(shí)及發(fā)票抬頭單位或個(gè)人公鑰至開票方。

3) 開票方生成開票信息（含交易明細(xì)、發(fā)票抬頭等信息），通過其交易安全信道發(fā)送至收票方，如購物平臺(tái)客戶端發(fā)送至消費(fèi)者。

4) 收票方確認(rèn)交易信息等開票信息無誤后，開票方將交易信息與發(fā)票唯一標(biāo)識(shí)簽名后發(fā)送至開票子系統(tǒng)。

5) 稅務(wù)主管部門驗(yàn)證簽名及交易信息合規(guī)后，對(duì)發(fā)票內(nèi)容進(jìn)行簽名，并根據(jù)標(biāo)準(zhǔn)電子發(fā)票模板生成電子發(fā)票數(shù)據(jù)發(fā)送至收票方。

6) 收票方可直接通過簽名內(nèi)容驗(yàn)證發(fā)票內(nèi)容的有效性，或提交至報(bào)銷單位由報(bào)銷單位查驗(yàn)。其他獲得電子發(fā)票數(shù)據(jù)的實(shí)體也可直接驗(yàn)證簽名有效性進(jìn)行真?zhèn)涡圆轵?yàn)。

2 公開查驗(yàn)方案

2.1 系統(tǒng)初始化

基于SM2[15]無證書簽名方案可生成電子發(fā)票稅控信息，實(shí)現(xiàn)電子發(fā)票真?zhèn)喂_查驗(yàn)。為適用于電子發(fā)票服務(wù)架構(gòu)，基于文獻(xiàn)[16]中的無證書SM2加密方案設(shè)計(jì)無證書聯(lián)合簽名方案生成電子發(fā)票查驗(yàn)碼，形成具有隱私保護(hù)的電子憑據(jù)查驗(yàn)架構(gòu)，防止發(fā)票信息泄露、篡改、造假等，保障電子發(fā)票數(shù)據(jù)的準(zhǔn)確性、完整性、有效性。表1為系統(tǒng)參數(shù)符號(hào)對(duì)照。

表1 系統(tǒng)參數(shù)符號(hào)對(duì)照Table 1 System parameter symbol cross-reference

電子發(fā)票服務(wù)系統(tǒng)遵循國家標(biāo)準(zhǔn)[17]生成橢圓曲線參數(shù)，其中G為橢圓曲線的基點(diǎn)，G的階為素?cái)?shù)n，KGC生成系統(tǒng)公私鑰對(duì)( PKS,SKS)。

2.2 系統(tǒng)n用戶注冊

對(duì)任意用戶（包括開票方商戶、收票方及查驗(yàn)方）i在電子發(fā)票服務(wù)系統(tǒng)注冊，將生成一對(duì)用戶公私鑰，并與稅務(wù)主管Qi= (di)?1QED+kiG部門生成一對(duì)聯(lián)合公私鑰。注冊步驟如下。

1) 稅務(wù)主管部門選取隨機(jī)數(shù)kED∈ [1 ,n? 1]，計(jì)算QED=kEDG并通過公開信道發(fā)送至用戶i。

2) 用戶i選取隨機(jī)數(shù)ki∈ [1 ,n?1]及di∈ [1 ,n? 2]，計(jì)算Qi= (di)?1QED+kiG并通過公開信道發(fā)送至KGC。

3) KGC選取隨機(jī)數(shù)k0∈ [1 ,n? 1]，計(jì)算Q=Qi+k0G、t0=k0+H(i‖Q)SKs( modn)，其中，Q作為用戶i的部分公鑰發(fā)布，t0發(fā)送至i。

4) 用戶i計(jì)算ti=di(ki+t0+ 1) ( modn)及公鑰Pi= (di)?1G作為公鑰發(fā)布，私鑰為di。

5) 稅務(wù)主管部門計(jì)算相關(guān)的私鑰，用于與用戶i聯(lián)合簽名，即dED=(kED+ti)?1(modn)及對(duì)應(yīng)公鑰PED= (dED)?1Pi。

6) 用戶i與稅務(wù)主管部門的聯(lián)合公鑰為P=Q+H(i‖Q)PKS。

2.3 電子發(fā)票防偽碼生成

電子發(fā)票信息由稅務(wù)主管部門、開票方、收票方三方數(shù)據(jù)共同生成，并由稅務(wù)主管部門和開票方核驗(yàn)交易信息后聯(lián)合簽名形成電子發(fā)票防偽碼。發(fā)票防偽碼生成步驟如下。

步驟1接收開票請求后，稅務(wù)主管部門創(chuàng)建一份新的電子發(fā)票。

1) 生成發(fā)票唯一標(biāo)識(shí)碼I。

2) 再次選取隨機(jī)數(shù)kED∈ [1,n? 1]，并計(jì)算RED=kEDPED。

3) 發(fā)送 (I,RED)至開票方IE。

步驟2開票方IE與收票方IR通過線下或線上安全交易平臺(tái)確認(rèn)開票交易信息M及收票方自選隨機(jī)數(shù)N，其中收票方IR提供的發(fā)票抬頭單位或個(gè)人為V。

步驟3開票方對(duì)發(fā)票信息進(jìn)行SM2簽名算法中的標(biāo)準(zhǔn)預(yù)處理[16]生成算法參數(shù)，并對(duì)交易信息簽名，具體如下。

1) 預(yù)處理1輸出字符串用于預(yù)處理2：Z=H(ENTL‖ IE ‖a‖b‖xG‖yG‖xp‖yp)；其中，ENTL為實(shí)體標(biāo)識(shí)符IE的比特長度，a、b為系統(tǒng)橢圓曲線參數(shù)。

步驟4 開票方簽名。

1) 開票方選取隨機(jī)數(shù)kIE∈ [1 ,n? 1]，計(jì)算

開票方生成的部分簽名 (r,sIE)和交易數(shù)據(jù)均通過電子憑據(jù)系統(tǒng)安全信道傳輸至稅務(wù)主管部門。

步驟5稅務(wù)主管部門對(duì)開票方簽名、開票信息進(jìn)行核查。

1) 計(jì)算RED+sIEPIE?rG= (x1',y1')。

2) 驗(yàn)證r=是否成立，驗(yàn)證開票信息(T,M)是否異常。

3) 若等式成立，未出現(xiàn)異常，則稅務(wù)主管部門正常簽名生成電子發(fā)票。

最終防偽碼簽名為(r,s)。發(fā)票數(shù)據(jù)為

2.4 發(fā)票沖銷或作廢

目前，發(fā)票使用規(guī)定中表明在發(fā)生銷貨退回、開票有誤等情形，或開具時(shí)發(fā)現(xiàn)有誤的，可作廢處理。作廢發(fā)票需在防偽稅控系統(tǒng)中將相應(yīng)的數(shù)據(jù)或文件標(biāo)記“作廢”處理。本文方案中，需由開票方提出申請并簽名后，由稅務(wù)部門審核并簽名生成“作廢發(fā)票”發(fā)送至發(fā)票抬頭所指定的個(gè)人或單位，防止作廢發(fā)票的使用，發(fā)票沖銷或作廢步驟如下。

開票方收到退貨或發(fā)票開具錯(cuò)誤提醒時(shí)，生成作廢發(fā)票信息(I⊕N, invalid,C)，其中C為開票方選取的隨機(jī)數(shù)，稱為沖銷編號(hào)。

1) 預(yù)處理2生成作廢發(fā)票簽名信息MV。

2) 開票方將消息MV及 (I⊕N, invali d,C)發(fā)送至稅務(wù)主管部門申請發(fā)票沖銷，主管部門批準(zhǔn)后選取隨機(jī)數(shù)kE′D∈ [ 1,n? 1]并計(jì)算RE′D=kEDPED發(fā)送至開票方。

3) 開票方采取發(fā)票防偽碼生成步驟4中方式對(duì)MV進(jìn)行簽名，并將部分簽名 (r′,sI′E)發(fā)送至稅務(wù)主管部門。

4) 稅務(wù)主管部門采取發(fā)票防偽碼生成步驟5中方式生成簽名(r′,s′)，沖銷（作廢）發(fā)票數(shù)據(jù)為

5) 稅務(wù)主管部門將沖銷（作廢）發(fā)票MIV存儲(chǔ)記錄，并發(fā)送至開票方IE及發(fā)票抬頭中的單位或個(gè)人V，防止作廢發(fā)票的使用。

2.5 發(fā)票公開查驗(yàn)

對(duì)于任意獲得發(fā)票數(shù)據(jù)的驗(yàn)證者，均可通過驗(yàn)證發(fā)票中的聯(lián)合簽名有效性判斷發(fā)票真?zhèn)?。查?yàn)方公開查驗(yàn)步驟如下。

1) 查詢開票方部分公鑰后，計(jì)算開票方IE的聯(lián)合公鑰P=Q+H(IE ‖Q)PKS。

2) 與發(fā)票防偽碼生成中步驟3一致，完成預(yù)處理計(jì)算獲得M。

3) 提取發(fā)票信息計(jì)算u=r+s(modn)，sG+uP= (x2,y2)。

4) 驗(yàn)證r=是否成立，若等式成立，則判斷為有效真發(fā)票，若等式不成立，則判斷發(fā)票無效。

5) 對(duì)發(fā)票抬頭中指定的單位或個(gè)人V應(yīng)首先檢查發(fā)票編號(hào)是否在沖銷發(fā)票數(shù)據(jù)庫中或已報(bào)銷，若為有效發(fā)票編號(hào)則按照步驟1)～步驟3)進(jìn)行驗(yàn)證，并使用私鑰計(jì)算Decdv(EncPV(M⊕T))⊕T獲得發(fā)票具體交易信息，進(jìn)行報(bào)銷等操作。

3 方案安全分析

3.1 安全功能正確性分析

3.1.1 簽名有效性

由式(2)及PIE= (dIE)?1G可推得稅務(wù)機(jī)關(guān)驗(yàn)證部分簽名有

從上式可得x1=x1'，繼而可推得r=+x1) (modn) =(M+x1′) ( modn)成立，部分簽名驗(yàn)證有效。

對(duì)標(biāo)準(zhǔn)SM 2簽名算法，僅需驗(yàn)證等式sG+uP=RIE= (x1,y1)成立。

由式(6)及等式u=r+s( modn)可推得

可證本文方案中所采用的聯(lián)合簽名有效性與標(biāo)準(zhǔn)SM2簽名一致。

3.1.2 公開可驗(yàn)證性

任何獲得發(fā)票數(shù)據(jù)MI可通過提取簽名及查詢開票方公鑰計(jì)算簽名聯(lián)合公鑰，對(duì)發(fā)票真?zhèn)芜M(jìn)行驗(yàn)證，僅需一次驗(yàn)簽即可驗(yàn)證稅務(wù)主管部門及開票方雙方簽名的發(fā)票數(shù)據(jù)。稅務(wù)主管部門的有效簽名代表該發(fā)票符合國家稅務(wù)相關(guān)法規(guī)，即發(fā)票合法性。開具方有效簽名代表發(fā)票交易信息經(jīng)開具方及消費(fèi)方核驗(yàn)認(rèn)可，即發(fā)票的正確性。此外，簽名有效可證明發(fā)票數(shù)據(jù)未被篡改，即發(fā)票的完整性。綜上，發(fā)票數(shù)據(jù)所有者可便捷地實(shí)現(xiàn)電子發(fā)票真?zhèn)蔚墓_驗(yàn)證。

3.1.3 防偽造性

由簽名不可偽造性可知，僅由稅務(wù)主管部門及開票方雙方核驗(yàn)簽名后才可生成有效簽名，攻擊者需要同時(shí)持有稅務(wù)主管部門私鑰dED及開票方私鑰dIE或僅持有聯(lián)合私鑰d=(dEDdIE)?1? 1 (modn)才能生成有效簽名，其中任意一方或其他攻擊者無法仿冒或偽造簽名。本文方案中，發(fā)票由稅務(wù)機(jī)關(guān)給出的唯一標(biāo)識(shí)碼I及收票方選擇的發(fā)票隨機(jī)數(shù)編碼N保持發(fā)票唯一性，并添加電子發(fā)票開具時(shí)間戳T防止重放攻擊偽造發(fā)票，同時(shí)發(fā)票報(bào)銷單位可通過記錄已報(bào)銷/已處理發(fā)票的(I,N)防止不合規(guī)的重復(fù)使用。

3.1.4 隱私保護(hù)性

本文方案形成的發(fā)票數(shù)據(jù)中交易信息等用戶敏感隱私數(shù)據(jù)以EncPV(M⊕T)加密形式存儲(chǔ)或流轉(zhuǎn)。發(fā)票抬頭中指向的單位或個(gè)人V可使用私鑰解密獲得具體的發(fā)票交易信息，用于報(bào)銷等后續(xù)操作。在本文方案設(shè)計(jì)中，僅開票方、消費(fèi)方（申請開票者）、稅務(wù)主管部門及發(fā)票抬頭中單位或個(gè)人可檢查交易信息，在保障發(fā)票可追蹤、可用性的同時(shí)保護(hù)了交易雙方的隱私信息。

3.1.5 抗協(xié)議攻擊

本文方案能夠抵抗多種協(xié)議攻擊。首先，稅務(wù)系統(tǒng)需核驗(yàn)開票方簽名有效性后生成最終聯(lián)合簽名，能夠抵抗中間人攻擊。其次，電子發(fā)票標(biāo)識(shí)由稅務(wù)系統(tǒng)給出的唯一標(biāo)識(shí)及開票方所選定的隨機(jī)數(shù)組成，并在發(fā)票數(shù)據(jù)中加入時(shí)間戳后由雙方簽名，能夠保證發(fā)票的唯一性防止重放攻擊。本文方案還具有抗仿冒攻擊能力，即防偽造性。此外，本文采用無證書聯(lián)合簽名方案，有效解決了密鑰托管問題，能防止單方面密鑰泄露導(dǎo)致的簽名仿冒攻擊。

3.2 協(xié)議安全仿真

本文使用協(xié)議安全仿真軟件Scyther[18]進(jìn)行協(xié)議總體安全仿真驗(yàn)證，基于模型改進(jìn)算法，Scyther可用于協(xié)議攻擊搜索、協(xié)議角色執(zhí)行模擬和安全驗(yàn)證。Scyther是一種在完全密碼假設(shè)下對(duì)安全協(xié)議進(jìn)行形式化分析的工具，可用于發(fā)現(xiàn)由協(xié)議構(gòu)建方式引發(fā)的問題，該工具下設(shè)立了一系列的聲明包括保密性及可信認(rèn)證，如保密性secrecy、有效性aliveness、抗重放攻擊 Niagree及仿冒與中間人攻擊Weakagree等[19]。

本次仿真采用了Dolev-Yao[20]攻擊模型，和1.1節(jié)中設(shè)定的安全模型一致，攻擊者可以控制公開信道并在應(yīng)用場景中實(shí)施一系列攻擊，模型中需要驗(yàn)證可信性的角色為發(fā)票票面信息MS及發(fā)票唯一標(biāo)識(shí)符I，以及驗(yàn)證發(fā)票交易信息M的公開信道保密性。使用安全協(xié)議描述語言（SPDL, security protocol description language）在Scyther中構(gòu)建第2節(jié)中描述協(xié)議，仿真結(jié)果如圖3所示，發(fā)票票面信息MS及唯一標(biāo)識(shí)符I可以成功抵抗各類攻擊下驗(yàn)證消息的有效性，并保障交易信息M的保密性，本文方案在Scyther工具仿真下未發(fā)現(xiàn)有效攻擊。

圖3 查驗(yàn)協(xié)議在Scyther工具下的安全仿真結(jié)果 Figure 3 Formal verification results of Scyther

表2列舉了本文方案與文獻(xiàn)[8]中電子發(fā)票典型驗(yàn)證方案、文獻(xiàn)[12]中基于數(shù)字簽名的查驗(yàn)方案在安全功能上的對(duì)比。通過以上分析可知，本文方案在實(shí)現(xiàn)電子發(fā)票公開真?zhèn)涡圆轵?yàn)的基礎(chǔ)上，同時(shí)實(shí)現(xiàn)交易雙方隱私信息的保護(hù)，并能抵抗多種類型的協(xié)議攻擊。

表2 本文方案與同類方案安全功能對(duì)比Table 2 Comparison of security features between the proposed scheme and other schemes

4 方案性能分析

4.1 計(jì)算開銷分析

本節(jié)主要分析本文所提電子發(fā)票公開查驗(yàn)架構(gòu)的計(jì)算開銷。在本文方案、文獻(xiàn)[8]中電子發(fā)票典型驗(yàn)證方案與文獻(xiàn)[12]中基于數(shù)字簽名的查驗(yàn)方案中統(tǒng)一使用SM2數(shù)字簽名/加解密算法及SM3雜湊函數(shù)，可對(duì)比協(xié)議整體流程計(jì)算開銷。因?qū)嶋H電子發(fā)票場景中，服務(wù)各方所依托的設(shè)備算力具有差異，分別在3個(gè)計(jì)算能力不同的設(shè)備上實(shí)施C語言封裝的SM2及SM3算法統(tǒng)計(jì)所消耗的時(shí)間以接近現(xiàn)實(shí)應(yīng)用場景。設(shè)備1模擬稅務(wù)機(jī)關(guān)電子發(fā)票服務(wù)系統(tǒng)ED，CPU參數(shù)為Intel Xeon Gold 6240 2.60 GHz 72核。設(shè)備2模擬開票方客戶端IE，CPU參數(shù)為Intel Xeon E5-2682 v4 2.50 GHz 2核。設(shè)備3模擬查驗(yàn)方客戶端IR，CPU參數(shù)為Intel Core 2 2.40 GHz 2核。SM2-256及SM3算法計(jì)算消耗時(shí)間如表3所示，其中，SM2簽名及驗(yàn)簽消耗中不包括兩項(xiàng)SM3預(yù)處理時(shí)間。

表3 各算法計(jì)算消耗時(shí)間Table 3 Time consumption of each algorithm

各方案計(jì)算消耗時(shí)間對(duì)比如表4所示，計(jì)算消耗對(duì)比如圖4所示，通過引入基于SM2的聯(lián)合簽名在保障多方核驗(yàn)的情況下有效減少了查驗(yàn)方的計(jì)算消耗，考慮到查驗(yàn)方一般使用移動(dòng)終端且查驗(yàn)是較為頻繁的操作，本文方案能大幅提高查驗(yàn)服務(wù)效率，此外，在稅務(wù)機(jī)關(guān)、開票方計(jì)算效率方面具有一定優(yōu)勢。由于各方案簽名方不同，簽名方計(jì)算消耗有所差異，本文方案計(jì)算消耗主要集中在計(jì)算能力較強(qiáng)的電子發(fā)票服務(wù)系統(tǒng)中，且本文方案中稅務(wù)機(jī)關(guān)及開票方計(jì)算總體消耗較其他方案低。此外，本方文案使用聯(lián)合簽名，對(duì)同一開票方具有相同公鑰簽名的特征，在處理來自同一開票方（如京東等大型電商企業(yè)）的發(fā)票時(shí)可共享公共參數(shù)，有效降低計(jì)算開銷，大批量同一開票方發(fā)票查驗(yàn)計(jì)算消耗對(duì)比如圖5所示。綜上，本文方案在提高查驗(yàn)效率的同時(shí)對(duì)交易雙方的敏感隱私數(shù)據(jù)進(jìn)行了保護(hù)和傳播控制。

表4 各方案計(jì)算消耗時(shí)間對(duì)比Table 4 Computation time comparison of each scheme

圖4 各方案計(jì)算消耗對(duì)比 Figure 4 Verification calculated consumption comparison of each scheme

圖5 大批量同一開票方發(fā)票查驗(yàn)計(jì)算消耗對(duì)比 Figure 5 Comparison of the consumption of large quantities of the same invoicing party invoice verification calculation

4.2 電子發(fā)票數(shù)據(jù)量分析

電子發(fā)票文件需要便于存儲(chǔ)與傳輸，因此電子發(fā)票的數(shù)據(jù)量大小是其重要參數(shù)。本節(jié)主要分析發(fā)票文件大小，即各方案生成的每張可查驗(yàn)發(fā)票所占存儲(chǔ)數(shù)量的對(duì)比?；诒疚闹惺褂玫腟M2-256及SM3算法，對(duì)電子發(fā)票方案中的各參數(shù)做出以下長度定義。① SM2簽名長度32 byte。② SM2加密長度與明文一致（不含校驗(yàn)碼）。③ SM3哈希長度32 byte。④ 身份標(biāo)識(shí)、發(fā)票標(biāo)識(shí)、時(shí)間戳均為4 bytes；⑤ 發(fā)票交易信息為64 byte。同類型方案發(fā)票數(shù)據(jù)量對(duì)比如表5所示，相比其他方案，本文方案因使用聯(lián)合簽名精簡了發(fā)票存儲(chǔ)內(nèi)容，有效降低了多方核驗(yàn)簽名的數(shù)據(jù)量，有利于生成簡潔的電子發(fā)票文件，適用于大規(guī)模電子商務(wù)交易場景。

表5 同類型方案發(fā)票數(shù)據(jù)量對(duì)比Table 5 Comparison of data bytes of related solutions

5 結(jié)束語

本文針對(duì)電子發(fā)票查驗(yàn)問題，結(jié)合SM2數(shù)字簽名算法，設(shè)計(jì)了基于無證書聯(lián)合簽名的電子發(fā)票真?zhèn)喂_驗(yàn)證方案。本文方案充分考慮了電子發(fā)票流轉(zhuǎn)頻繁、交易信息敏感、易復(fù)制偽造等特點(diǎn)，設(shè)計(jì)了多方核驗(yàn)簽名的電子發(fā)票查驗(yàn)架構(gòu)，在保障公開高效查驗(yàn)的前提下，對(duì)發(fā)票交易信息進(jìn)行傳輸保護(hù)，防止交易雙方隱私泄露。理論及仿真分析表明，本文方案不僅保障了電子發(fā)票的多方核驗(yàn)生成、即時(shí)公開真?zhèn)尾轵?yàn)、抵抗協(xié)議攻擊等安全需求，還能實(shí)現(xiàn)用戶隱私信息保護(hù)。與同類型方案相比，本文方案在提供更多安全功能及更強(qiáng)安全性的基礎(chǔ)上，有效提高查驗(yàn)效率且具有更精簡的發(fā)票結(jié)構(gòu)，利于電子發(fā)票存儲(chǔ)及傳輸，更適用于海量電子商務(wù)交易下的電子發(fā)票應(yīng)用場景，支撐電子發(fā)票服務(wù)的推廣與應(yīng)用。