1. 概述

传统的支付过程是纸质的，往往在买家、卖家和银行三方之间进行。但随着互联网和电子商务的飞速发展，电子支付也随之发展成熟。在电子支付中，不可避免地会出现很多小额支付，如购买在线音乐、按页购买资料、按次付费等场景，这些支付金额可能是很小的，这种情况下，电子支付本身的计算成本可能已经超过本次支付的价值了。为了解决这个问题，人们提出了许多微支付协议或方案，其中人气较高且使用较广泛的微支付协议是由Rivest和Shamir提出的PayWord [1]。许多有效的微支付方案都是基于PayWord思想进行研究和改进的，这些微支付方案都需要可信的第三方经纪人，但实际情况是我们不得不考虑第三方经纪人的诚实性。经纪人往往掌握着支付双方的个人信息且负责资金结算，如果经纪人有恶意，很容易就能和买卖双方中其中一方合谋攻击另一方，造成被攻击方个人信息泄露或利益受损。

近年来，随着区块链技术的发展，许多行业都在积极探索并推进区块链技术与本行业进行结合，如供应链 [2] [3]，医疗保健 [4] [5]，数据交易 [6] [7] 等。同样的，区块链技术也为原有微支付方案中存在的问题提供了新的解决思路。

本文提出了一种基于区块链的新型微支付协议，该协议基于区块链，借鉴双支付链 [8] 的思想，使用智能合约代替传统方案中的经纪人，实现了去中心化，保证了支付的安全性和匿名性。同时，双支付链机制也保证了支付的公平性和高效性。

2. 相关理论与研究

2.1. PayWord微支付协议

PayWord是基于信用的离线微支付协议，该协议使用非对称加密算法实现数字签名，来保证顾客的可靠性。利用哈希函数运算速度快和单向性的特点，保证了高效性和安全性。

PayWord协议共有三个实体参与：顾客(U)，经纪人(B)，供应商(V)，其中B一般由银行来担任。其交互过程如图1所示，主要步骤如下：

① U向B提交自己的信息，建立账户。

② B向U颁发数字签名证书。

③ 通过②中获得的证书，U被授权生成用于当作支付凭证的以 $w_0$ 为根哈希值的哈希链 $w_0,w_1,\cdots ,w_N$。哈希链生成方法为：用户随机选取一个哈希值 $w_N$，通过 $w_N$ 以相反顺序计算前一个哈希值，即 $w_{i-1}=h\left(w_i\right),i=N,N-1,\cdots ,1$。其中h为单向哈希函数。同时U生成支付承诺并连同本次支付凭证 $\left(w_i,i\right)$ 一同发送给V。

④ U向V提供本次支付的支付凭证 $w_i$。

⑤ V向U提供服务或商品。

⑥ 在支付结束后，V可以向B提交U的支付承诺和最后一次收到的支付凭证 $\left(w_i,i\right)$，B验证支付凭证，若验证通过，则将前i次支付的资金从U的账户转到V的账户中。

2.2. 区块链与智能合约

区块链技术来源于一种P2P电子支付系统——比特币(Bitcoin) [9]，是一个去中心化、点对点的分布式分类账。它的状态并非由某个或某些特权节点来决定，而是由各个节点共同决定。其具有去中心化、可验证性、透明化和不变性等显著特性。区块链由一系列块组成，新生成的块通过引用前一个块的哈希值来锁定前一个块，通过共识机制来确定有效的块，从而确定主链。

智能合约 [10] 是在互不信任的各方之间以数字方式执行特定协议的合约。通常在区块链上执行，通过区块链的特性来保证即使是智能合约的部署者也无法在部署后对合约进行更改或者使合约异常执行。目前发展较好且较受欢迎的智能合约平台为以太坊(Ethereum) [11]，其提供了一种图灵完备的语言供用户自己编写和定义智能合约，并运行在以太坊虚拟机(EVM)之上。

2.3. 相关研究

PayWord作为一个经典的微支付协议，有许多微支付方案都是基于其思想进行的研究与改进。

樊利民等 [8] 在分割PayWord链中哈希值的思想上，提出了双PayWord链的概念，同时实现了非单元支付的功能。依靠数据业务管理平台和双PayWord链提出了一种新的小额支付协议，保证了支付的完全公平性和高效性。Mona Hosseinkhani等 [12] 提出了一种基于PayWord的小额支付系统，其使用户使用一个哈希链就可以从不同的V处购买商品，同时使用通用货币使支付方案成为匿名的，提高了方案的效率同时保证了匿名性，保护了支付双方的隐私。Tao-Ku Chang等 [13] 提出了一种针对移动支付的微支付方案，保证了买家、卖家和银行三方相互不可抵赖，且买家可以在多个设备上使用一条哈希链进行支付，提高了微支付方案的安全性、可用性和高效性。Aye Mi San等 [14] 提出了一种离线的多卖家的微支付协议，买家、卖家和银行三方传递信息全部用对称加密进行加密，保证了良好的安全性和效率。

以上基于PayWord思想的微支付方案研究，同大多数方案一样，都需要第三方经纪人参与，恶意经纪人一旦与双方当中的某一方串通，会给另一方造成极大的利益损失。本文提出的方案使用智能合约代替经纪人，保证支付的安全性。使用双支付链，支持多个元支付一次性执行，提高了支付的效率，同时配合本文的仲裁子协议，保证方案的公平性。

3. 协议设计与说明

本文提出的协议中同样有三个实体：顾客(U)、供应商(V)、仲裁机构(ARB)，一个非实体：智能合约(SC)，且包含五个子协议。为方便描述，文中后续部分都使用表1中定义的符号。

微支付协议的整体模型如图2所示。

3.1. 初始化子协议

U随机选择一个二元组 $\left(w_{mN},w_{sN}\right)$，并利用强抗碰撞的单向哈希函数，利用公式(1)(2)生成两条长度为N+1的哈希链，支付意向链 $w_m\left(w_{m0},w_{m1},w_{m2},\cdots ,w_{mN}\right)$ 和支付凭证链 $w_s\left(w_{s0},w_{s1},w_{s2},\cdots ,w_{sN}\right)$。

$w_{mi}=h\left(w_{m\left(i+1\right)}\right),i=N-1,N-2,\cdots ,0$ (1)

$w_{si}=h\left(w_{s\left(i+1\right)}\right),i=N-1,N-2,\mathrm{...},0$ (2)

随后U将 $\left\{Add{r}_U,Add{r}_V,P{K}_U,w_{m0},w_{s0},Price,UnitPrice,N,Deadline\right\}S{K}_U$ 发送给V。V收到后首先进行签名验证，若验证通过，对商品序列 $G\left(G_1,G_2,\cdots ,G_N\right)$ 进行哈希运算，生成哈希值序列 $w_G\left(w_{G_1},w_{G_2},\cdots ,w_{G_N}\right)$ 并签名得到 $\left\{w_G\right\}S{K}_V$，随后将 $\left(P{K}_V,\left\{w_G\right\}S{K}_V\right)$ 发送给U。

U收到 $\left(P{K}_V,\left\{w_G\right\}S{K}_V\right)$ 后首先验证签名，若验证通过，则使用信息 $\left\{Add{r}_U,Add{r}_V,P{K}_U,P{K}_V,w_{m0},w_{s0},N,UnitPrice,Deadline\right\}S{K}_U$ 部署并初始化SC，并向SC中存入大于等于 $UnitPrice\ast N$ 的资金，支付流程开始。

3.2. 支付子协议

设支付金额和购买的商品均为1个单位的支付为元支付，每次支付至少进行一个元支付或将多个元支付合成一个支付组，一次性执行。

U先向V发送支付意向 $\left(w_{m\left(i+j\right)},i+j\right)$，V收到后验证 $w_{m\left(i+j\right)}$，即验证 $w_{m\left(i+j\right)}$ 经过j次哈希运算是否等于最后一次收到的支付意向 $\left(w_{mi},i\right)$。若验证通过，V向U发送第i到第i+j个商品 $\left(G_{i+1,i+j},i+1,i+j\right)$，U收到并进行签名验证后，将支付凭证 $\left(w_{s\left(i+j\right)},i+j\right)$ 发送给V，V收到后依旧按上述方法进行验证，若验证通过， $\left(w_{s\left(i+j\right)},i+j\right)$ 便是合法的支付凭证。

3.3. 资金结算子协议

SC使用 $S{N}_V$ 记录已经结算的支付单位个数。在某次支付结束后，V可以将最后一次收到的支付凭证 $\left(w_{si},i\right)$ 提交给SC发起结算申请。SC验证 $\left(w_{si},i\right)$，若验证通过且 $i-S{N}_V>0$，则SC将 $i-S{N}_V$ 个支付单位的资金总额转入 $Add{r}_V$，同时更新 $S{N}_V$，令 $S{N}_V=i$。若 $i-S{N}_V\le 0$，表示V提交的支付凭证在之前已经结算过，则本次结算视为重放攻击，SC将拒绝结算。

3.4. 仲裁子协议

若在支付过程中，U收到V发送的 $\left(G_{i+1,i+j},i+1,i+j\right)$ 后，拒绝向V本次支付的支付凭证 $\left(w_{s\left(i+j\right)},i+j\right)$，则V可以根据仲裁子协议，向SC提起仲裁。

V向SC申请仲裁并向ARB提供证据 $\left(w_{m\left(i+j\right)},i+1,i+j,\left\{G_{i+1,i+j}\right\}S{K}_V\right)$，U也需要向ARB提交证据 $\left(\left\{w_G\right\}S{K}_V\right)$ 令ARB验证 $\left\{G_{i+1,i+j}\right\}$ 是否为本次支付U应得的数据。

仲裁机构首先验证所有签名以及 $w_{m\left(i+j\right)}$ 的正确性，随后对商品 $G_{i+1,i+j}$ 进行哈希运算，将得到的哈希值与 $w_G$ 进行比对，判断 $G_{i+1,i+j}$ 是否为U应得商品。若上述验证通过或U拒绝提供证据，则V仲裁成功，ARB将 $\left\{G_{i+1,i+j}\right\}S{K}_V$ 发送给U，并调用SC将总额为 $\left(i+j-S{N}_V\right)\ast UnitPrice$ 的资金从U存储的资金中扣除并转入V的账户；若上述验证失败，则本次仲裁失败，ARB调用SC结束仲裁。

3.5. 注销子协议

在支付结束前，U可以随时注销尚未使用的支付凭证。U首先向SC申请注销支付凭证，随后V使用最后一次收到的支付凭证向SC申请资金结算，得到自己应得的利益。结算后，SC将不再接受任何资金结算请求，尚未使用的支付凭证自动注销。

4. 协议分析

4.1. 安全性分析

使用SC代替原有协议中的经纪人的地位，由于SC一旦部署双方均不能更改，必须按照SC的规定执行，所以避免了原协议中恶意经纪人与U或V合谋攻击另一方的情况。同时，由于使用SC，双方无需像原协议一样向经纪人提交信息并在经纪人处开设账户，只需要拥有一个加密货币账户即可。双方只需要自行生成各自账户，顾客将支付所需的资金存入SC，然后向SC提交V的账户地址 $Add{r}_V$，在V结算阶段SC直接将资金转入 $Add{r}_V$ 即可，保证了支付的匿名性。

在SC部署时就已经规定了支付次数与单次支付金额，V每次结算前SC都会验证当前支付凭证 $\left(w_{si},i\right)$ 并比较当前已结算支付单位数i与SC中记录的上次结算的支付单位数 $S{N}_V$，若当前支付次数超过SC规定的总支付次数，则视为恶意透支，拒绝结算；若当前支付次数小于等于SC记录的 $S{N}_V$，则视为重放攻击，拒绝结算。

综上，该协议可保证双方的匿名性，同时可防止顾客进行恶意透支和重放攻击，保证了支付的安全性。

4.2. 公平性分析

协议采用双支付链的形式进行支付，U和V交替发送各自的信息给对方，若支付双方完全按协议执行，直至支付结束，那么协议本身是公平的，所以整个支付过程是公平的。若有恶意的U在收到V发送的 $\left(G_{i+1,i+j},i+1,i+j\right)$ 后，不发送支付凭证 $\left(w_{s\left(i+j\right)},i+j\right)$ 给V，则V可根据仲裁子协议向SC申请仲裁，使用仲裁子协议保证支付的公平性。

另外，若V长时间无应答或恶意拖延时间，则U的资金会被长时间冻结在SC中无法使用和取回，这必将导致U的利益受损。SC中设置了支付期限Deadline，若当前时间超过Deadline，则U可向SC申请结束支付并取回SC中剩余的所有资金，支付结束。这可以保证U的资金不会被长时间冻结在SC中，保证了支付的公平性。

4.3. 效率分析

本协议虽然使用了SC，但具体的交易和支付过程及U和V针对对方信息的验证过程均是在链下进行，SC并不参与，避开了区块链吞吐量低，存储及计算代价昂贵的缺点，保证了SC不会拉低支付速度，避免SC成为效率瓶颈。

U和V在已经建立信任的基础上，可以将多个元支付打包为支付组进行支付。这便完成了一组元支付一次性执行，极大提升了支付效率。

5. 结束语

本文分析了原有微支付方案的缺陷，基于区块链提出了一种的新的安全且公平的微支付协议。该协议采用PayWord的思想，用智能合约代替原有方案中的经纪人，实现去中心化，避免恶意经纪人与某一方合谋攻击另一方，同时防止顾客恶意透支和重放攻击，保证了支付的安全。借鉴了双支付链思想 [8]，保证了支付公平性，同时支持一组元支付的一次性执行，提升了支付效率。下一步研究工作，需要尽量减少非对称加密次数以及签名次数，以进一步提高支付效率。

参考文献