張辰旭 張艷碩 張黎仙
北京電子科技學院,北京市 100070
不經(jīng)意傳輸協(xié)議[1],是一種可保護雙方隱私的通信協(xié)議,它在一個消息集合中以一種不經(jīng)意的方式來“秘密”獲取部分消息。
不經(jīng)意傳輸協(xié)議保證了接收者在不知道發(fā)送者隱私的情況下獲取秘密消息,同時保證了接收者自身的隱私不被發(fā)送者知道,因此不經(jīng)意傳輸協(xié)議可以作為單獨的協(xié)議應用到數(shù)字產(chǎn)品交易、電子選舉方案等諸多信息交易中,還可以作為密碼模塊應用到眾多安全多方計算當中。
不經(jīng)意傳輸?shù)母拍钭畛跤蒖abin[2]在1981年提出,從此以后不經(jīng)意傳輸協(xié)議逐漸成為了密碼學的一個重要組成部分,隨著學者研究的不斷深入,諸多的不經(jīng)意傳輸協(xié)議相繼問世。 具體可分為以下4 類:1 選1 不經(jīng)意傳輸協(xié)議[2-3]、2 選1 不經(jīng)意傳輸協(xié)議[4]、n 選1 不經(jīng)意傳輸協(xié)議[5]、n 選k 不經(jīng)意傳輸協(xié)議[6-7]。
在Rabin 之后,Even[8]提出了一個2 選1 不經(jīng)意傳輸協(xié)議,后來Brassard[5]將2 選1 不經(jīng)意傳輸協(xié)議推廣到了n 選1 不經(jīng)意傳輸協(xié)議,即發(fā)送者發(fā)送n 條消息,接收者僅能獲取其中的1 條消息,并且發(fā)送者不知道接收者選擇的是哪條消息。 Naor 和Pinkas[9]基于Diffie-Hellman 假設提出了第一個n 選1 不經(jīng)意傳輸協(xié)議,同時它也是一個可復用的n 選1 不經(jīng)意傳輸協(xié)議。
在本文中,我們提出了權重型不經(jīng)意傳輸協(xié)議的概念,并對經(jīng)典的n 選1 不經(jīng)意傳輸協(xié)議Naor 方案進行了研究分析,將接收者以固定概率接收發(fā)送者消息進行了改進,新的方案可以根據(jù)接收者的實際需求設置相應的權重進行獲取。而這種形式也滿足了我們在復雜網(wǎng)絡環(huán)境中的多樣化需求, 更好地適應目前復雜網(wǎng)絡環(huán)境中不經(jīng)意傳輸協(xié)議的信息傳輸需求。
不經(jīng)意傳輸?shù)母拍钣蒖abin[2]在1981 年提出后,不經(jīng)意傳輸協(xié)議逐漸成為了密碼學的一個重要組成部分,隨著學者研究的不斷深入,諸多的不經(jīng)意傳輸協(xié)議相繼問世。 按照功能具體分為以下4 類經(jīng)典不經(jīng)意傳輸協(xié)議:1 選1 不經(jīng)意傳輸協(xié)議[2-3]、2 選1 不經(jīng)意傳輸協(xié)議[4]、n 選1不經(jīng)意傳輸協(xié)議[5]、n 選k 不經(jīng)意傳輸協(xié)議[6-7]。 具體介紹如下:
(1)1 選1 不經(jīng)意傳輸協(xié)議:發(fā)送方將一條消息傳送給接收方,接收方有1/2 的概率接收成功,而發(fā)送方不知道接收方是否接收成功;
(2)2 選1 不經(jīng)意傳輸協(xié)議:信息的發(fā)送方持有的消息集合包含兩個秘密信息,接收方可以且僅可以成功恢復其中一條秘密信息,同時發(fā)送方并不知道他成功恢復的是哪一條秘密消息;
(3)n 選1 不經(jīng)意傳輸協(xié)議:信息的發(fā)送方持有的消息集合包含n 個秘密信息,而接收方在協(xié)議執(zhí)行完畢后只能成功恢復其中一個秘密信息,同時發(fā)送方并不知道他成功恢復的是哪一條秘密消息;
(4)n 選k 不經(jīng)意傳輸協(xié)議:信息的發(fā)送方持有的消息集合包含n 個秘密信息,而接收方在協(xié)議執(zhí)行完畢后只能成功恢復其中k 個秘密信息,同時發(fā)送方并不知道他成功恢復的是哪k 條秘密消息。
對于一般性的不經(jīng)意傳輸協(xié)議,要考慮三個性質(zhì):
(1)正確性:只要發(fā)送方和接收方均遵守協(xié)議,那么執(zhí)行完協(xié)議后接收方可以得到他想要的信息;
(2)發(fā)送發(fā)的安全性:執(zhí)行完協(xié)議后,接收方得不到除了他選擇外的其他任何秘密消息;
(3)接收方的安全性:執(zhí)行完協(xié)議后,發(fā)送方不會知道他的選擇。
本節(jié)將重點介紹n 選1 不經(jīng)意傳輸協(xié)議的發(fā)展歷程和最新進展以及兩個經(jīng)典的n 選1 不經(jīng)意傳輸協(xié)議方案。
我們首先介紹一般的n 選1 不經(jīng)意傳輸協(xié)議。 Brassard[5]在2 選1 不經(jīng)意傳輸協(xié)議的基礎上推廣到了n 選1 不經(jīng)意傳輸協(xié)議,其具體概念為:發(fā)送方有n 個消息s1,s2,…,sn,接收方通過選擇i∈{1,2…,n} 的值來獲得消息si,但卻不知道其他的秘密消息sj(j≠i),或者這些sj(j≠i) 的組合消息,同時發(fā)送方也不知道接收方具體的選擇i,即獲取的是哪一條消息。
在獨立的n 選1 不經(jīng)意傳輸協(xié)議被設計出來之前,要實現(xiàn)n 選1 不經(jīng)意傳輸協(xié)議的功能就要通過多次執(zhí)行2 選1 不經(jīng)意傳輸協(xié)議來實現(xiàn),因此這些不同形式的不經(jīng)意傳輸協(xié)議之間是可以相互轉(zhuǎn)化的,但是這樣的協(xié)議構造往往會造成很高的通信代價,因此人們將研究n 選1 不經(jīng)意傳輸協(xié)議的主要精力放在了直接設計獨立的n選1 不經(jīng)意傳輸協(xié)議。
Naor 和Pinkas[9]提出了第一個獨立的n 選1 不經(jīng)意傳輸協(xié)議,該協(xié)議是一個基于Diffie-Hellman 假設并且可復用的n 選1 不經(jīng)意傳輸協(xié)議,大大減少了為實現(xiàn)n 選1 不經(jīng)意傳輸功能而多次執(zhí)行2 選1 不經(jīng)意傳輸協(xié)議的通信代價;后來Tzeng[10]基于Diffie-Hellman 假設也提出了一個n 選1 的不經(jīng)意傳輸協(xié)議,它沒有初始化階段, 但它的傳輸階段效率還不如Naor 的協(xié)議;2006 年葉君曜[11]等人基于門限思想提出了一個可復用的n 選1 的不經(jīng)意傳輸協(xié)議;2008 年,張京良[12]等人對Naor 方案進行了改進并應用到群簽名當中;2015 年,Shin-Yan Chiou[13]等人提出了一種基于離散對數(shù)問題(DLP)的代理簽名n 選1 的不經(jīng)意傳輸方案,它結合了代理簽名和不經(jīng)意簽名的優(yōu)點,滿足了兩種簽名的安全特性,由于該協(xié)議提供了收件人選擇的模糊性,它非常適用于電子投票應用;2019 年,邱錫彥和陳俊名[14]兩人首先提出了一種基于不經(jīng)意傳輸?shù)膎 選1 不經(jīng)意傳輸簽名方案,不僅滿足了完整性、不可偽造性、隱私性的安全要求,而且還滿足了選擇限制和非重復性的要求,使得這種方案非常適合于多選電子投票的應用,并在手機上實現(xiàn)了該方案,使用戶能夠安全、方便地進行投票;在一些車聯(lián)網(wǎng)(VANET)技術的特征匹配中,用戶的隱私泄露問題已經(jīng)嚴重威脅到人身安全并造成了相當大的經(jīng)濟損失,2020 年WangXianmin[15]等人構建了一個高效的OT 協(xié)議,被采用來給出一個帶有平等測試的PSI 協(xié)議,VANET 的兩方可以獲得他們的特征集的交集,而這種交集之外的任何信息都是不可用的。 因此,內(nèi)部攻擊者無法從雙方的特征匹配中獲得任何有用的信息,雙方也無法獲得對方的額外數(shù)據(jù);2020 年3 月,Wahaballa Abubaker[16]等人提出了一個安全的n 選1 不經(jīng)意傳輸協(xié)議,該協(xié)議具有隱藏的訪問控制和基于確定性有限自動機(DFA)的功能加密的外包解密(HACOT-DFA),可以應用在車輛傳感器中,傳感器的數(shù)據(jù)被處理并以記錄的形式存儲在車載傳感器數(shù)據(jù)庫中,這些記錄可以被其他車輛或路邊單位訪問和共享,目的是提高道路安全。 然而,這些記錄可能包含非常敏感的信息,如車輛的識別碼和位置,這些信息需要特別的保護,而該協(xié)議就確保了車輛用戶的隱私和保密性;2020 年6 月,WangXiaotian[17]等人在ECDH 的假設下,設計了一種新型的n 選1 不經(jīng)意傳輸協(xié)議。 該協(xié)議可以在惡意模式下安全實現(xiàn),在n 個輸入值中選擇其中的1 個。 在此假設下定義了RAND 函數(shù),并給出了安全定義,構建了發(fā)送方和接收方的安全交互模式。 最后分析了該協(xié)議的正確性,并給出了安全證明。 該協(xié)議具有常數(shù)級的交互復雜度,計算和通信復雜度只與n 線性有關;2020 年8 月,Nibedita Kundu[18]等人利用多變量公鑰密碼學(MPKC)的OT 協(xié)議的構造,提出了一個2 選1 的不經(jīng)意傳輸協(xié)議,而我們可以進行n 次的復用以實現(xiàn)n 選1 不經(jīng)意傳輸?shù)墓δ?該方案的安全性是在多變量二次方(MQ)問題的硬度下實現(xiàn)的,該設計是第一個基于MPKC 的后量子OT 協(xié)議;2020 年9 月,Shanshan Zhang[19-20]利用格上不經(jīng)意傳輸協(xié)議的特點,設計了一個使用決策性Diffie-Hellman 假設和混淆不可區(qū)分的基于LWE的n 選1 不經(jīng)意傳輸協(xié)議,該協(xié)議主要的工具包括基于LWE 的雙模式密碼系統(tǒng)和安全的不可區(qū)分性混淆,保證了該n 選1 不經(jīng)意傳輸協(xié)議的安全性;2021 年5 月,Saeid Esmaeilzade[21]等人采用了非對稱同態(tài)加密的概念,使用了一些著名的同態(tài)加密方案(如RSA、Paillier 和NTRU)來實例化他們的結構,以獲得具體的不經(jīng)意傳輸協(xié)議,提出了一個通用的結構來建立簡單而高效的n 選1 不經(jīng)意傳輸協(xié)議,該協(xié)議的通用結構在通用可組合框架中是安全的;2021 年11 月,Wang Ping[22]等人在量子信道的幫助下,設計了一種新型的計算安全的量子n 選1 不經(jīng)意傳輸(QOT)協(xié)議,其最低假設要求是:單向函數(shù)的存在。
獨立的n 選1 不經(jīng)意傳輸協(xié)議雖然在降低了通信代價的同時,實現(xiàn)了相應的通信功能,但這種功能是不完善的,因為它沒有考慮到接收方的實際需求,因此我們給出了權重型n 選1 不經(jīng)意傳輸協(xié)議的定義和性質(zhì),并在下一節(jié)提出了具體的設計方案,下面我們介紹幾種經(jīng)典的n 選1不經(jīng)意傳輸協(xié)議。
本節(jié)對Naor[7]的n 選1 不經(jīng)意傳輸協(xié)議進行描述,具體過程如下:
初始化:Alice 選擇隨機數(shù)C1,C2,…,CN-1和r,并計算(Ci)r和gr的值。Bob可以獲得C1,C2,…,CN-1和gr的值。 其中1 ≤i≤N- 1,g為Zq的生成元。
傳輸階段: Alice 的輸入為 (M0,M1,…MN-1)。 Bob 的輸入為σ∈{0,…N- 1} (他選擇獲取Mσ)。
(1)Bob 選擇k∈Zq,并設置PKσ=gk。 如果σ≠0,將計算PK0=Cσ/PKσ,并向Alice 發(fā)送PK0, 并且已經(jīng)可以計算解密密鑰(gr)k=(PKσ)r;
(2 ) Alice 計 算 (PK0)r, (PKi)r=(Ci)r/(PK0)r,1 ≤i≤N- 1。 Alice 再選擇隨機字符串R,通過計算H((PKi)r,R,i) ⊕Mi來加密每個Mi, 并將這些加密數(shù)據(jù)、R發(fā)送給Bob;
(3) Bob 使 用H((PKσ)r,R,σ), 來 解 密Mσ。
正確性:主要依賴于方案中的隨機預言機H(通常是一個哈希函數(shù)),只有在接受到完整的隨機預言機H加密后的數(shù)據(jù)后,才可以對其進行計算解密。 對于本方案中的隨機原語H加密結果H((PKi)r,R,i), 當且僅當Bob 知道正確的(PKσ)r、σ以及R才能計算正確結果獲得想要的秘密信息。
安全性:在假設Diffie-Hellman 問題難解的情況下,該方案使用的隨機預言機H在Diffie-Hellman 假設下可以證明其安全性。 由于Bob只能計算唯一的解密密鑰(PKσ)r=(gr)k,因此也就無法獲得除了自己選擇的消息外的任意消息,這保證了Alice 的安全性與隱私性。
PK0信息理論上的分布是獨立于C0,…,CN-1和σ的,與他們的值無關,僅與他選擇的隨機數(shù)k有關,而Alice 并不知道具體的隨機數(shù)k的值。 因此Alice 無法依據(jù)PK0計算出相對應的Cσ值,也就無法得知Bob 想獲得的秘密消息是哪一個了,這就保證了Bob 的安全性與隱私性。
不經(jīng)意性:接收方發(fā)送給發(fā)送方的PK0參數(shù)僅與他選擇的隨機數(shù)k有關,而發(fā)送方并不知道具體的隨機數(shù)k的值。 故接收方將PK0發(fā)送給發(fā)送方后,發(fā)送方無法依據(jù)PK0計算出相對應的Cσ值,也就無法得知σ,也就是接收方想獲得的秘密消息是哪一個了。
本節(jié)對Tzeng[8]的n 選1 不經(jīng)意傳輸協(xié)議進行描述,具體過程如下:
傳輸階段:Alice 的輸入為(M1,M2,…MN∈Gq)。 Bob 的輸入為α∈{1,…N} (他選擇獲取Mσ)。
(1)Bob 計算y=grhα,r∈RZq,并將其發(fā)送給Alice;
(2) Alice 計算ci= (gki,Mi(y/hi)ki),ki∈RZq,1 ≤i≤N,并將其發(fā)送給Bob;
(3)設cα= (a,b),Bob 計算Mα=b/ar。
正確性:該方案基于DDH 假設,只要Alice和Bob 均遵守協(xié)議,那么執(zhí)行完協(xié)議后Bob 可以得到他想要的信息。
安全性:因為DDH 假設是強于DL 假設的,因此Bob 不能計算兩對不同的(r,α) 和(r′,α′)同時滿足y=grhα=gr′hα′。 除非Bob 可以計算loggh= (r′-r)/(α-α′)mod q。 因此,Bob 不能得到除了他選擇得到的秘密消息外的任何一個,這保證了發(fā)送方的安全性與隱私性。
Alice 無法通過y=grhα計算出σ的值,也就無法得知Bob 想獲得的秘密消息是哪一個了,這保證了接收方的安全性與隱私性。
不經(jīng)意性:在該方案中沒有(g,h,Gq) 的初始化,而是Alice 將(g,h,Gq) 一同發(fā)送給Bob。當Bob 接收到這些系統(tǒng)參數(shù)后,他需要去檢查一下是否q為素數(shù)、g≠1 和h≠1。 否則,如果Alice 選擇了一個非素數(shù)q和非常小的g和h,他將會知道Bob 的選擇σ。 當然,在Bob 檢查沒有問題的情況下,即使Alice 知道,Bob 的選擇也是無條件安全的,Alice 也就無法知道Bob的選擇了。
本節(jié)重點介紹權重型n 選1 不經(jīng)意傳輸協(xié)議的定義、性質(zhì)以及權重型n 選1 不經(jīng)意傳輸協(xié)議方案。
n 選1 不經(jīng)意傳輸協(xié)議同其他眾多經(jīng)典的不經(jīng)意傳輸協(xié)議一樣,作為通信協(xié)議可以通過不經(jīng)意的方式,在保護雙方隱私的情況下達成獲取信息的目的,并且可以應用到數(shù)字產(chǎn)品交易、電子選舉方案等諸多信息交易中,以及眾多安全多方計算當中。 但目前為止的n 選1 不經(jīng)意傳輸協(xié)議都是令接收者獲取信息的概率為固定值,為了更好的拓展應用,我們提出了一個可以根據(jù)接收方實際需求設置相應權重的權重型n 選1 不經(jīng)意傳輸協(xié)議。
權重型n 選1 不經(jīng)意傳輸協(xié)議是一種在保護通信雙方隱私的同時,可以讓接收者以一定的權重成功從秘密消息中恢復自己想得到的消息的通信協(xié)議,但得不到任何其他的消息或者其他消息的組合形式,同時發(fā)送者也不知道接收者選擇的是哪一個消息。
權重型不經(jīng)意傳輸協(xié)議和概率型不經(jīng)意傳輸協(xié)議[3][12]的區(qū)別在于:概率型的不經(jīng)意傳輸協(xié)議的接收方成功獲取發(fā)送方的各個消息概率之和為1,比如對于概率型2 選1 不經(jīng)意傳輸協(xié)議來說,若接收方想以概率P獲取秘密信息Mj,那么對于另一個秘密信息的獲取概率為1-P;而權重型n 選1 不經(jīng)意傳輸協(xié)議只能以1/m的權重獲取所選擇的消息, 而對于其他消息,由于缺少解密密鑰()r, 故而無法成功解密,所有消息的獲取概率之和仍為1/m。
結合一般的n 選1 不經(jīng)意傳輸協(xié)議,權重型n 選1 不經(jīng)意傳輸協(xié)議具有以下基本性質(zhì):
(1)協(xié)議的正確性:在協(xié)議完成后,如果發(fā)送方和接收方能夠正確執(zhí)行協(xié)議,那么接收方可以通過協(xié)議以一定的比重正確獲得自己想要獲得的秘密消息。
(2)發(fā)送方的隱私性:執(zhí)行完協(xié)議后,即使是惡意的接收方不能夠遵守協(xié)議內(nèi)容,那么他也無法獲得其余N- 1 個秘密消息。
(3)接收方的隱私性:執(zhí)行完協(xié)議后,發(fā)送方無法以任何方式得知接收方恢復的是哪一條秘密消息。
權重型n 選1 不經(jīng)意傳輸協(xié)議可以根據(jù)接收者的實際需求設置相應的權重進行獲取,而這種形式的通信代價并不會因此而提高,相反還會優(yōu)于許多一般的n 選1 不經(jīng)意傳輸協(xié)議,因此它能夠在保證自身通信代價的同時,滿足了我們在復雜的網(wǎng)絡環(huán)境中多樣化的需求。
表1 符號說明
設q是一個大素數(shù),所有的數(shù)據(jù)操作都在一個以g為生成元的循環(huán)群Zq上進行,符合Diffie-Hellman 假設,此外,還假設存在一個隨機預言機H(通常是一個哈希函數(shù))。 方案框架如圖1。
圖1 權重型n 選1 不經(jīng)意傳輸協(xié)議框架
初始化:Alice 選擇N- 1 個隨機常量C1,C2,…,CN-1(滿足公式PK0·PKi=Ci)。 他還選擇了一個隨機數(shù)r并計算gr。C1,…,CN-1和gr的值均被發(fā)送給Bob。 所有傳輸都將使用相同的值。 (Alice 可預計算1 ≤i≤N-1 每個(Ci)r的值)。
(1)Bob 選擇m個隨機數(shù)kj(j= 1,2,…,m),并設置相應的m個=gkj(j= 1,2,…,m)。 如果σ≠0, 他將計算m個=Cσ/(j= 1,2,…,m),并將這些值和m一同發(fā)送給Alice,并且已經(jīng)可以計算解密密鑰(gr)kj= ()r。
然后Alice 隨機選擇m- 1 種j∈{1,2,…,m} ,對其對應的(m- 1)×N種()r利用其自身的公鑰pj一一進行加密。 沒有被選擇到的唯一一個j記為j*。 并對自身持有的i 個消息(0 ≤i≤N- 1) 進行j 次的復制(1 ≤j≤m),以形成的消息矩陣,以便后續(xù)的加密操作。Alice 選擇隨機字符串R。 然后,他通過計算H(()r,R,i,j) ⊕來加密每個,并將這些加密數(shù)據(jù)和R發(fā)送給Bob。
(3) Bob 使用H(()r,R,σ,j) 來解密。但由于其中的()r有(m-1)×N種都被公鑰加密后的數(shù)據(jù)替代,也就是說當j取值到Alice 隨機選擇的m-1 種j∈{1,2,…,m} 中的任意一種都不能成功獲取秘密消息。 只有當j取值為沒有被Alice 選取到的唯一值j*時,才能成功獲取秘密消息。 也就是權重為1/m。
圖2 加密消息分布
該權重型n 選1 不經(jīng)意傳輸協(xié)議方案與一般的n 選1 不經(jīng)意傳輸協(xié)議相比,初始化階段并沒有改動,而是通過接收者設置的權重將之前單一的加密消息變成m×N的加密矩陣的形式,再通過發(fā)送方持有公鑰對部分加密參數(shù)進行再加密,接收方通過新增加密參數(shù)j進而實現(xiàn)了以一定權重恢復選擇的秘密消息的功能。
在本節(jié)重點介紹權重型n 選1 不經(jīng)意傳輸協(xié)議的正確性分析、安全性分析以及對比分析。
對于權重型n 選1 不經(jīng)意傳輸協(xié)議來說,其正確性主要依賴于方案中的隨機預言機H(通常是一個哈希函數(shù)),只有在接受到完整的隨機預言機H加密后的數(shù)據(jù)后,才可以對其進行計算解密。
定理1:對于H(()r,R,σ,j) 來說,當且僅當知道正確的()r、σ以及j才能計算正確結果。
證明:對于本方案中的隨機原語H加密結果H(()r,R,σ,j),當且僅當接收者知道正確的()r、σ以及j*才能計算正確結果獲得想要的秘密信息。 接收者在收到m×N個加密結果后,根據(jù)自己事先選擇的消息序號σ,以及預先計算好的解密密鑰()r= (gr)kj, 隨機選擇j∈{1,2,…,m},將計算結果H(()r,R,σ,j) 與該j相對應的加密結果進行模加,如果該j =j*,則可以成功以1/m的權重獲取該秘密消息。
對于第三方來說,由于本方案中的隨機原語H(通常是一個哈希函數(shù))的存在,所以即使在傳輸過程當中有第三方成功截獲了密文消息,那么也是難以恢復出秘密信息的。
發(fā)送方的安全性:在假設Diffie-Hellman 問題難解的情況下,該方案使用的隨機預言機H在Diffie-Hellman 假設下可以證明其安全性。 由于接收方只能計算唯一的解密密鑰()r=(gr)kj,從而無法得知其余的N- 1 個解密密鑰,因此也就無法獲得除了自己選擇的消息外的任意消息,這保證了發(fā)送方的安全性與隱私性。
要注意的第一點是,如果接收方知道了一個以上的公共加密參數(shù)PK(例如PKi1和PKi2)的值(PKi1)r和 (PKi2)r, 那么就可以得出(PKi1)r/(PKi2)r=(Ci1/Ci2)r。 這反過來可以用來推導隨機數(shù)C和隨機數(shù)gr的Diffie-Hellman值:給定輸入A=ga和B=gb(其中目標是計算gab),模擬器A 通過生成一個隨機數(shù)ri和gr=gb的常量Ci=Ari來模擬A。 如果A 在i1和i2上成功,則(Ci1/Ci2)r=gabri1/gabri2, 將后者提高到1/(ri1-ri2) 次冪就可以得到gab。
由于我們在協(xié)議過程中使用了相同的C1,C2,…,CN-1和gr對Naor 方案進行了m次復用生成了加密矩陣,我們應該使用模擬器A′對控制了某些用戶子集的對手的操作進行描述。 因此,隨機預言機H的輸入包含一個隨機元素R,它確保協(xié)議的不同調(diào)用中的輸入將不同。 與之前一樣,目標是生成模擬器A 感興趣的值(并在理想模型中獲取它們)。 A′ 隨機選擇C1,C2,…,CL-1以及gr。 當模擬器A 發(fā)送第m個消息時,A′ 以(α0,α2,…,αN-1) 隨機進行響應,用于加密Mi和隨機字符串Rm。 每當A 在點(x,R′,σ,m) 上查詢H時,A′都會檢查對于某些m是否滿足R′=Rm。 如果沒有,則給出一個隨機的答案,如果R′=Rm并且x=()r,則A′在理想模型中詢問與σ對應的值,并得到Mσ。 然后,它必須適當?shù)卦O置H(()r,Rm,σ,m)=ασ⊕。 模擬的A 看到的分布和真實的分布之間的唯一區(qū)別發(fā)生在:
(2)提前查詢其中一個H(x,Rm,σ,m), 但對于每個查詢,這種情況發(fā)生的可能性很低。
需要注意的第二點是,如果該協(xié)議使用普通的ElGamal 加密而不是隨機的預言機,那么該協(xié)議將是不安全的:假設轉(zhuǎn)移的形式為()r·,()r·。 然后,如果接收者事先知道其中一個傳輸?shù)脑?例如,), 即使他知道另一個元素的私鑰,他也可以從加密的消息中計算出相應的加密密鑰()r。 因此,他可以計算()r和()r,將它們相乘并得到(Ci)r。此值使他能夠在每次其他傳輸中解密這兩個元素。
定理2:不經(jīng)意性也指一種模糊化的方式,具體是指發(fā)送方在整個協(xié)議的執(zhí)行過程中不會知道接收方具體選擇的是哪一個秘密消息。
Naor[9]方案是一個基于Diffie-Hellman 假設的,并可復用的n 選1 不經(jīng)意傳輸協(xié)議,也是第一個真正意義上的n 選1 不經(jīng)意傳輸協(xié)議。 我們的方案就是基于Naor 方案進行設計的,理論上對Naor 方案進行了m次的復用并加以改進,但我們的初始化次數(shù)與傳輸階段只執(zhí)行一次,因此整個傳輸過程僅需進行兩次信息的傳遞,而不是2m次,同時也避免了多次的初始化,增加計算量與通信負擔,使其不較為刻板。
在Naor 提出他的n 選1 不經(jīng)意傳輸協(xié)議之后,Tzeng[10]也提出了一個方案基于Diffie-Hellman 假設的n 選1 不經(jīng)意傳輸協(xié)議,但他省去了初始化階段,相反地導致他的傳輸階段效率大大降低,比Naor 的還要低,同理在一定的條件下也要低于我們的權重型n 選1 不經(jīng)意傳輸協(xié)議。
葉君曜等人[11]提出了可復用的基于門限思想的n 選1 不經(jīng)意傳輸協(xié)議,同樣僅僅進行一次初始化即可完成多次的復用,他的安全性來自于shamir 門限方案的安全性。 在方案的效率通用性上,我們對其的傳輸階段輪數(shù)、是否初始化、安全性基礎以及相應功能做了簡單的對比,見表2。
表2 權重型方案與其他方案的對比
接下來我們將對我們的權重型n 選1 不經(jīng)意傳輸協(xié)議、Naor 方案、Tzeng 方案以及葉君曜方案在協(xié)議的計算量與通信量上進行對比分析。表3 給出了初始化階段的各方案在計算量和通信量上的對比、表4 給出了傳輸階段的各方案在計算量和通信量上的對比。
表3 初始化階段
表4 傳輸階段
由此可見,我們的權重型n 選1 不經(jīng)意傳輸協(xié)議初始化階段的計算量和通信量并沒有變化,并且小于葉君曜方案。
由此可見,傳輸階段即使因為實現(xiàn)以可變化的權重獲取信息的功能而增加了通信量,但是在一定的條件下,即素數(shù)q p的情況下,我們的協(xié)議在傳輸階段的通信量是明顯小于葉君曜和Tzeng 方案的,因此我們的協(xié)議效率也是明顯要高于他們的。
在本節(jié)中,將用一個例子來解釋權重型n 選1 不經(jīng)意傳輸協(xié)議。
例:假設Alice 有9 個秘密消息(M0,M1,…,M8),Bob 想以1/3 的權重獲得第7 個消息M6。
初始化:Alice 選擇8 個隨機常量C1,…,C8,隨機數(shù)r,并計算gr,(Ci)r,1 ≤i≤8。 將C1,…,C8和gr發(fā)送給Bob;
傳輸階段:
(1)Bob 選擇3 個隨機數(shù)k1,k2,k3, 并計算以及與之相對應的
圖3 3 × 9 的加密參數(shù)矩陣
Alice 選擇隨機字符串R, 計算H(()r,R,i,j)⊕生成3× 9 的加密消息矩陣,將其和R發(fā)送給Bob;加密消息矩陣如圖4。
圖4 3 × 9 的加密消息矩陣
(3) Bobs 選擇j= 2, 又已知()r=(gr)k2、R、i= 6,因為j=j*。 因此成功以1/3的權重解密第7 個消息M6。
通過舉例,我們可以總結出:本協(xié)議通過靈活的變形成功實現(xiàn)了以一定權重成功獲取秘密消息的功能,以此我們可以推廣應用到現(xiàn)實生活的多個場景,如不經(jīng)意的網(wǎng)上訂購,消費者可能不愿意暴露其購買的某些商品( 如某些藥品) ;線上線下購物平臺中,商家設置獎品抽獎環(huán)節(jié),可以根據(jù)獎品等級高低固定相應權重的數(shù)值,等級越高權重越低,等級越低權重越高,同時為了保護中獎顧客的隱私,該協(xié)議可保證商家無法得知幾號顧客中了幾號獎品。
本節(jié)是對前文權重型n 選1 不經(jīng)意傳輸協(xié)議的設計實現(xiàn),介紹了基于權重型n 選1 不經(jīng)意傳輸協(xié)議的編程實現(xiàn),主要包括開發(fā)工具、運行環(huán)境介紹和權重型n 選1 不經(jīng)意傳輸協(xié)議的功能實現(xiàn)。
本協(xié)議的實現(xiàn)采用IntelliJ IDEA Community Edition 2020.3.1 x64 作為技術平臺與開發(fā)工具。
本程序在jdk1.8.0_131 版本、Windows 環(huán)境下運行。
本小節(jié)主要介紹權重型n 選1 不經(jīng)意傳輸協(xié)議實現(xiàn)的各功能模塊和相關的功能測試。
8.2.1 測試功能模塊
我們Alice 的消息合集和Bob 的選擇以及權重等參數(shù)的設置均是在次模塊進行。 如圖5所示,我們的消息合集為{2018,2019,2020,2021,2022},也就是n=5,Bob 的選擇σ=5,權重的設置為1/m= 1/2,選擇j= 2。
圖5 測試功能的參數(shù)設置
8.2.2 發(fā)送方功能模塊
我們通過for 循環(huán)生成了隨機常量C1,C2,…,CN-1和gr,如圖6 所示。
圖6 初始化隨機常量的生成
如圖7 所示,該部分完成了發(fā)送方的系列加密。 具體加密細節(jié)請見4.4 中傳輸階段的第2步。 最終發(fā)送方通過計算H(()r,R,i,j) ⊕來加密每個。
圖7 發(fā)送方進行加密
8.2.3 接收方功能模塊
如圖8 所示,該部分完成了接收方m個隨機數(shù)kj(j=1,2,…,m)和相應的m個=gkj(j= 1,2,…,m)的設置。 具體細節(jié)請見章節(jié)4.4中傳輸階段的第1 步。
圖8 接收方對 = gkj 的準備
如圖9 所示,該部分完成了接收方計算解密 密鑰(gr)kj= ()r。
圖9 接收方計算解密密鑰(gr)kj = ()r
如圖10 所示,該部分通過對H(()r,R,σ,j) 的計算完成了對秘密消息的解密。 具體細節(jié)請見章節(jié)4.4 中傳輸階段的第3 步。
圖10 接收方對自己的選擇進行解密
Alice 持有消息集 {2018,2019,2020,2021},共有4 個秘密消息,也就是n= 4。
Bob 的選擇σ= 2,也就是他的選擇是m2={2019}。
接下來Bob 設置權重為1/m= 1/3,同時選擇j= 1。
根據(jù)協(xié)議等價于Bob 通過計算H(()r,R,2,1) ⊕來進行解密。 解密結果如圖11 所示,成功以1/3 的權重恢復該秘密消息。
圖11 Bob 成功恢復秘密信息
此時Bob 設置同樣權重為1/m= 1/3,但選擇j= 2。
根據(jù)協(xié)議等價于Bob 通過計算H(()r,R,2,2) ⊕來進行解密。 解密結果如圖12 所示,未通過1/3 的權重成功恢復該秘密消息。
圖12 Bob 未成功恢復秘密信息
Alice 持有消息集{2018,2019,2020,2021,2022},共有5 個秘密消息,也就是n= 5。
Bob 的選擇σ= 5,也就是他的選擇是m5={2022}。
接下來Bob 設置權重為1/m= 1/2,同時選擇j= 1。
根據(jù)協(xié)議等價于Bob通過計算H((r,R,5,1) ⊕來進行解密。 解密結果如圖13 所示,成功以1/2 的權重恢復該秘密消息。
圖13 Bob 成功恢復秘密信息
此時Bob 設置同樣權重為1/m= 1/2,但選擇j= 2。
根據(jù)協(xié)議等價于Bob 通過計算H(()r,R,5,2) ⊕來進行解密。 解密結果如圖14 所示,未通過1/2 的權重成功恢復該秘密消息。
圖14 Bob 未成功恢復秘密信息
通過對已有的不經(jīng)意傳輸協(xié)議概念的研究,提出了權重型的不經(jīng)意傳輸協(xié)議,使接收方可以選擇一定的權重獲得自己需要的秘密消息,并對Naor 的n 選1 不經(jīng)意傳輸協(xié)議進行研究,給出了具體的權重型n 選1 不經(jīng)意傳輸協(xié)議設計方案及分析,包括正確性、安全性、不經(jīng)意性分析和對比分析,滿足了我們在復雜的網(wǎng)絡中根據(jù)實際需要靈活變化和調(diào)整, 更好地適應目前復雜網(wǎng)絡環(huán)境中不經(jīng)意傳輸協(xié)議的信息傳輸需求。 最后,我們還進行了權重型n 選1 不經(jīng)意傳輸方案的編程實現(xiàn)和相關測試,證明了權重型n 選1 不經(jīng)意傳輸在未來應用方面的可能性。