概率型2 選1 不經(jīng)意傳輸協(xié)議的方案設(shè)計*

張艷碩, 趙瀚森, 陳輝焱, 楊亞濤

1. 北京電子科技學(xué)院 密碼科學(xué)與技術(shù)系, 北京100070

2. 密碼科學(xué)技術(shù)國家重點實驗室, 北京100878

3. 北京電子科技學(xué)院 電子與通信工程系, 北京100070

1 引言

不經(jīng)意傳輸協(xié)議(oblivious transfer, OT)[1], 是密碼學(xué)的一個基本協(xié)議, 是一種可保護隱私的雙方通信協(xié)議, 通信雙方可以以一種模糊化的方式傳送消息. 他使得服務(wù)的接收方以不經(jīng)意的方式得到服務(wù)發(fā)送方輸入的某些消息, 這樣就可以在保證接收者在不知道發(fā)送者隱私的前提下, 保護接受者的隱私不被發(fā)送者所知道. 因此不經(jīng)意傳輸協(xié)議也經(jīng)常作為一種基本的密碼模塊來實現(xiàn)許多密碼協(xié)議的構(gòu)造, 如安全多方計算、零知識證明和電子合同等.

不經(jīng)意傳輸協(xié)議最初是由Rabin[2]在1981 年提出的, 在Rabin 的方案中實現(xiàn)了1 選1 不經(jīng)意傳輸協(xié)議, 接收方有50%的概率可以成功獲取秘密信息, 從此不經(jīng)意傳輸協(xié)議逐漸成為密碼學(xué)的一個重要組成部分, 隨著學(xué)者們的不斷深入研究, 不經(jīng)意傳輸協(xié)議也在不斷的發(fā)展和完善, 逐漸應(yīng)用到我們生活的各個領(lǐng)域, 如安全多方計算、電子交易、公平拍賣協(xié)議等. 目前, 不經(jīng)意傳輸協(xié)議主要分為以下四個研究方向:經(jīng)典1 選1 不經(jīng)意傳輸協(xié)議[2]、2 選1 不經(jīng)意傳輸協(xié)議[3]、n 選1 不經(jīng)意傳輸協(xié)議[4]和n 選k 不經(jīng)意傳輸協(xié)議[5].

其中, 2 選1 不經(jīng)意傳輸協(xié)議是由Even[6]在1985 年最先提出的, 并隨之涌現(xiàn)出許多基于該協(xié)議的研究設(shè)計, 如Bellare[7]提出的非交互式2 選1 不經(jīng)意傳輸協(xié)議、Naor[8]基于Bellare 的協(xié)議所提出的改進方案和Huang[9]基于EDDH (extended decisional Diffe-Hellman) 假設(shè)而設(shè)計出的2 選1 不經(jīng)意傳輸協(xié)議等等, 均是對2 選1 不經(jīng)意傳輸協(xié)議的很好的應(yīng)用擴展.

我們對經(jīng)典的Even 方案[6]、Bellare 方案[7]和Naor 方案[8]研究后發(fā)現(xiàn), 這三個典型的2 選1 不經(jīng)意傳輸協(xié)議可以根據(jù)接收方成功獲取所需秘密信息的概率分為兩類: 一類是接收方有50% 的概率可以獲取自己所需的秘密信息, 如Even 方案和Bellare 方案; 另一類是接收方有100% 的概率可以獲取自己所需的秘密信息, 如Naor 方案. 因此, 本文分別對Even[6]、Bellare[7]和Naor[8]的2 選1 不經(jīng)意傳輸協(xié)議進行了一般化推廣, 提出了三個接收方可以以一般概率接受信息的概率型2 選1 不經(jīng)意傳輸協(xié)議,針對三個基本方案中接收方獲取信息的概率進行了一般化改進, 使得接收方可以以一定的概率獲取信息,且經(jīng)過分析, 本文所提出的三個概率型2 選1 不經(jīng)意傳輸協(xié)議方案是安全、可行的. 原來的Even 方案、Bellare 方案和Naor 方案中接收方獲取所需信息的概率是固定的, 而在我們所提出的三個概率型2 選1不經(jīng)意傳輸協(xié)議方案中, 概率可以根據(jù)實際需要靈活調(diào)整, 可以說, 我們用一種可變換概率的方式將三個經(jīng)典方案在概率上實現(xiàn)了統(tǒng)一的P =的形式, 而這種形式也就可以實現(xiàn)我們統(tǒng)一的目的——在復(fù)雜網(wǎng)絡(luò)中根據(jù)實際需要進行概率的靈活變化和調(diào)整, 更好得適應(yīng)目前復(fù)雜網(wǎng)絡(luò)環(huán)境中不經(jīng)意傳輸協(xié)議的信息傳輸需求.

2 不經(jīng)意傳輸協(xié)議

不經(jīng)意傳輸協(xié)議經(jīng)過多年的研究發(fā)展, 逐漸成為密碼學(xué)的一個重要組件. 目前不經(jīng)意傳輸協(xié)議的研究主要分為四類: 經(jīng)典1 選1 不經(jīng)意傳輸協(xié)議[2]、2 選1 不經(jīng)意傳輸協(xié)議[3]、n 選1 不經(jīng)意傳輸協(xié)議[4]和n 選k 不經(jīng)意傳輸協(xié)議[5], 這四類不經(jīng)意傳輸協(xié)議在后續(xù)的研究中均有很大的進展.

經(jīng)典1 選1 不經(jīng)意傳輸協(xié)議在1981 年由Rabin[2]第一次提出, 在Rabin 的方案中, 接收方有50%的概率可以成功獲取發(fā)送方所持有的唯一的秘密信息, 且發(fā)送方并不知道接收方到底是否得到了秘密信息, 此方案是基于二次剩余計算的. 在2009 年, 鄭天翔等人[3]將Rabin 方案中的二次剩余替換成三次剩余, 對Rabin 方案進行了改進.

2 選1 不經(jīng)意傳輸協(xié)議首先由Even[6]在1985 年提出, 是結(jié)合電子商務(wù)通信時代的背景所構(gòu)建的一種通信協(xié)議, 這種方案是由發(fā)送方向接收方秘密傳送兩個秘密消息, 而接收方只能接收其中一個秘密消息,且發(fā)送方也不知道接收方所接收的是哪一個秘密消息,這樣就保證了雙方的隱私性. 1987 年,Goldreich 等人[10]用2 選1 不經(jīng)意傳輸協(xié)議構(gòu)造了一種安全多方計算方案; 2008 年, Parakh[11]基于Diffie-Hellman方案, 為實現(xiàn)不經(jīng)意傳輸?shù)膫鹘y(tǒng)方法提供了一種有用的替代方案; 1989 年, Crépeau 等人[12]用2 選1 不經(jīng)意傳輸協(xié)議實現(xiàn)了對未察覺電路的評估和比特的公平交換; 1995 年, Stadler 等人[13]基于2 選1 不經(jīng)意傳輸協(xié)議構(gòu)造了一種公平的盲簽名方案; 1999 年, Naor 等人[14]用2 選1 不經(jīng)意傳輸協(xié)議構(gòu)造了一個用于公平安全拍賣的體系結(jié)構(gòu); 2000 年, Cachin 等人[15]基于2 選1 不經(jīng)意傳輸協(xié)議實現(xiàn)了一輪的安全多方計算; 2010 年, Jain 等人[16]對Parakh 的2 選1 不經(jīng)意傳輸協(xié)議進行推廣. 在Jain 所提出的協(xié)議中, 相關(guān)各方不經(jīng)意地生成Diffie-Hellman 密鑰, 然后將它們用于秘密的不經(jīng)意傳輸; 2015 年, Kumar等人[17]提出了一種非自適應(yīng)的, 并且是完全可模擬的2 選1 不經(jīng)意傳輸協(xié)議方案; 2017 年, Plesch 等人[18]提出了一種更為簡化的2 選1 不經(jīng)意傳輸協(xié)議.

n 選1 不經(jīng)意傳輸協(xié)議在1986 年由Brassard[4]第一次提出, 通過調(diào)用n 次2 選1 的不經(jīng)意傳輸協(xié)議來實現(xiàn). 接著, 在1987 年, Brassard[4]進一步改進了n 選1 的方案, 僅需調(diào)用log2n 次2 選1 不經(jīng)意傳輸協(xié)議, 大大提高了協(xié)議的效率. 2000 年, Gertner 等人[19]提出了一種分布式n 選1 不經(jīng)意傳輸協(xié)議; 2004 年, Tzeng 等人[20]基于判定性Diffie Hellman 困難性假設(shè), 設(shè)計出了一個新的不經(jīng)意傳輸協(xié)議;接著在2005 年, 趙春明等人[21]在Tzeng 等人的方案的基礎(chǔ)上加以改進, 提出了增強的n 選1 不經(jīng)意傳輸協(xié)議; 2006 年, 葉君耀等人[22]提出了一個基于門限思想并且可復(fù)用的n 選1 不經(jīng)意傳輸協(xié)議, 在效率方面優(yōu)于以往的Naor 協(xié)議和Tzeng 協(xié)議; 2007 年, 朱健東等人[23]在Naor 協(xié)議的基礎(chǔ)上, 基于現(xiàn)有公鑰體制同態(tài)性設(shè)計出了一個在計算上更簡單的不經(jīng)意傳輸協(xié)議的構(gòu)造方法; 2007 年, Camenisch 等人[24]基于一些基礎(chǔ)的密碼學(xué)原件設(shè)計出了不經(jīng)意傳輸協(xié)議方案; 2008 年, 張京良等人[25]對Naor 協(xié)議進行改進并應(yīng)用到群簽名中; 2019 年, Mi 等人[26]提出了一種基于NTRU 密碼原語的更適合在異構(gòu)和分布式環(huán)境中部署的后量子輕量級n 選1 不經(jīng)意傳輸協(xié)議.

n 選k 不經(jīng)意傳輸協(xié)議首次提出是在1989 年由Bellare[7]所構(gòu)建的一類提出非交互式n 選k 不經(jīng)意傳輸, 第一次實現(xiàn)了接收方可以一次選擇接收多個秘密信息. 1999 年, Naor[5]在2 選1 不經(jīng)意傳輸協(xié)議的基礎(chǔ)上, 提出了一個只針對某種特殊情況可以使用的n 選k 不經(jīng)意傳輸協(xié)議, 到了2001 年, Naor又接著[8]提出了具有普適性的n 選k 不經(jīng)意傳輸協(xié)議, 成為以后不經(jīng)意傳輸協(xié)議研究的基礎(chǔ)之一; 2009年, Chang 等人[27]提出一種基于CRT 的魯棒n 選k 的不經(jīng)意傳輸協(xié)議; 2014 年, Lou 等人[28]在橢圓曲線密碼體制的基礎(chǔ)上, 提出了一種新的用于私人信息檢索的n 選k 不經(jīng)意傳輸協(xié)議, 該協(xié)議更適合于智能卡或移動設(shè)備; 2018 年, Lai 等人[29]提出了一個以最小通訊成本的n 選k 不經(jīng)意傳輸方案; 2019年, Dottling 等人[30]提出了一種構(gòu)造惡意安全的兩輪不經(jīng)意轉(zhuǎn)移的新方法, 在可計算Diffie-Hellman(computational Diffie-Hellman, CDH) 假設(shè)或?qū)W習(xí)等價噪聲(Learning Parity with Noise, LPN) 假設(shè)下給出了基本OT 的簡單構(gòu)造, 得到了惡意兩輪OT 的第一個構(gòu)造; 2020 年, Goyal 等人[31]給出了三輪不經(jīng)意傳輸協(xié)議的第一個構(gòu)造-在普通模型中-基于多項式時間假設(shè), 實現(xiàn)接收者的統(tǒng)計隱私和發(fā)送者對抗惡意對手的計算隱私.

3 經(jīng)典2 選1 不經(jīng)意傳輸協(xié)議的對比研究

3.1 2 選1 不經(jīng)意傳輸協(xié)議

2 選1 不經(jīng)意傳輸協(xié)議是一種能保護通信雙方隱私的通信協(xié)議, 信息的持有者將自己所擁有的兩個秘密信息加密后發(fā)送給接收方, 接收方只能成功恢復(fù)其中一個消息, 而信息持有者并不知道接收方恢復(fù)的是哪一個秘密消息.

本節(jié)所列舉了三個典型的2 選1 不經(jīng)意傳輸協(xié)議, 分別是1985 年Even[6]首次提出的2 選1 不經(jīng)意傳輸協(xié)議、1990 年Bellare[7]提出的非交互式2 選1 不經(jīng)意傳輸協(xié)議和2001 年Naor[8]針對Bellare方案提出的改進2 選1 不經(jīng)意傳輸協(xié)議方案, 而這三個方案也是后續(xù)2 選1 不經(jīng)意傳輸協(xié)議的基礎(chǔ), 后續(xù)各位學(xué)者所提出的各個新的方案及各個領(lǐng)域的應(yīng)用, 有相當(dāng)一部分與這三個方案密切相關(guān), 是對這三個方案中的某一個的改進擴展, 因此我們也將基于這三個基礎(chǔ)方案進行概率的一般化擴展, 提出三個概率型2 選1 不經(jīng)意傳輸協(xié)議方案.

3.2 Even 的2 選1 不經(jīng)意傳輸協(xié)議

3.3 Bellare 的2 選1 不經(jīng)意傳輸協(xié)議

3.4 Naor 的2 選1 不經(jīng)意傳輸協(xié)議

3.5 2 選1 不經(jīng)意傳輸協(xié)議的對比分析

Even 的方案由發(fā)送方選取公鑰算法和兩個隨機數(shù)發(fā)送給接收方, 接收方選擇加密密鑰k 并用發(fā)送方的公鑰加密. Bellare 的方案中, 由接收方選取公鑰, 兩個公鑰的乘積固定為C, 且logCg是對接收方保密的, 因此可以使得接收方的選擇保密且只能知道其中一個的對應(yīng)的私鑰. Naor 的方案中, 由接收方選取兩個公鑰, 而接收方只使用一個公鑰, 另一個公鑰由發(fā)送方計算得到.

在Even 的方案中, 接收方隨機選擇消息序號, 并且最后得到的秘密信息是由通信雙方共同決定的, 因此得到自己想要的秘密消息的概率是50%. 在Bellare 的方案中, 由于消息序號是由接收方隨機選擇的,且方案本身是非交互的, 決定可以獲取哪一個消息的只有接收方隨機選擇的消息序號, 因此接收方得到自己想要的消息的概率為50%. Naor 的方案中, 接收方會按照自己的需求選擇消息序號, 因此接收方其實是可以確定能夠得到自己想要的信息的. 我們從是否初始化、協(xié)議執(zhí)行輪數(shù)、協(xié)議安全基礎(chǔ)和接收方獲取所需信息概率四個方面對三個經(jīng)典方案進行了對比, 對比結(jié)果見表1.

目前, 2 選1 不經(jīng)意傳輸協(xié)議涉及到許多領(lǐng)域的擴展, 但各個擴展研究主要是基于Even 的2 選1 不經(jīng)意傳輸協(xié)議、Bellare 的2 選1 不經(jīng)意傳輸協(xié)議和Naor 的2 選1 不經(jīng)意傳輸協(xié)議這三個基礎(chǔ)的方案,且通過表1 我們發(fā)現(xiàn)這三個基礎(chǔ)的方案可以依據(jù)接收方獲取自己想得到的信息的概率的不同而進行分類,一類是接收方可以以50% 的概率獲取到自己所需要的信息, 比如Even 方案和Bellare 方案; 另一類是接收方可以以100% 的概率獲取到自己所需要的信息, 比如Naor 方案.

表1 三個經(jīng)典方案的對比Table 1 Comparison of three classical schemes

如果信息的持有者Alice 持有兩個秘密消息M0,M1, 而接收方Bob 想要獲取其中一個秘密消息Mσ(σ ∈{0,1}), 在經(jīng)過一系列的加解密與傳輸過程中, Bob 最終只能獲取其中一個秘密消息, 而此時獲取的秘密消息可能有兩種情況: 一是有50% 的概率是Bob 想獲取的消息Mσ, 50% 的概率是另一個消息M1?σ; 二是Bob 一定可以獲得其獲取的消息Mσ. 但無論是哪種情況, 信息的持有者都無法知道Bob 最終得到了哪一個消息.

就現(xiàn)在的2 選1 不經(jīng)意傳輸協(xié)議來看, 如果接收方只能以一種固定的概率獲取到自己想得到的信息,那么在應(yīng)用中可能會略顯刻板, 應(yīng)用的場景也會受到一定的限制, 因此我們在Even 方案、Bellare 方案和Naor 方案的基礎(chǔ)上, 提出一種可根據(jù)現(xiàn)實需求設(shè)置接收方接收到自己所需的信息的概率型2 選1 不經(jīng)意傳輸協(xié)議, 并給出三個對應(yīng)的方案, 在一些實際的應(yīng)用中也可以更加靈活.

4 概率型2 選1 不經(jīng)意傳輸協(xié)議

4.1 概率型2 選1 不經(jīng)意傳輸協(xié)議定義及性質(zhì)

2 選1 不經(jīng)意傳輸協(xié)議作為一種經(jīng)典的通信協(xié)議, 可以很好的保護通信雙方的隱私并達成獲取信息的目的, 可以應(yīng)用到一些安全多方計算和部分信息交易中. 但由于接收方接受信息的概率較為固定, 主要分為兩種: 一種是以Even 和Bellare 方案為代表的接收方有50% 的概率獲取到自己想要的信息, 另一種是以Naor 方案為代表的接收方有100% 的概率獲取到秘密信息, 因此在應(yīng)用方面也較為受限, 因此我們提出一種可根據(jù)需求設(shè)置接收方成功接收概率的概率型2 選1 不經(jīng)意傳輸協(xié)議, 在應(yīng)用中可以更加靈活.

概率型2 選1 不經(jīng)意傳輸協(xié)議是一種可以保護通信雙方隱私、可以使接收方以一定的概率成功從發(fā)送方所擁有的兩個秘密信息中恢復(fù)自己想得到的信息的通信協(xié)議.

概率型2 選1 不經(jīng)意傳輸協(xié)議具有以下基本性質(zhì):

(1) 協(xié)議的正確性: 這是最基本的屬性, 在協(xié)議完成后, 接收方可以通過協(xié)議以一定的概率正確的得

到自己所選擇的消息.

(2) 發(fā)送方的隱私性: 在協(xié)議完成后, 接收方無法知道除了自己得到的消息的另一個消息是什么.

(3) 接收方的隱私性: 在協(xié)議完成后, 發(fā)送方不能以任何方式了解接收方恢復(fù)了哪條秘密消息.

4.2 基于Even 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議

本節(jié)基于Even[6]的方案提出了一種概率型2 選1 不經(jīng)意傳輸協(xié)議方案, 方案框架如圖1.

圖1 基于Even 的概率型2 選1 不經(jīng)意傳輸協(xié)議Figure 1 Probabilistic 1 out of 2 oblivious transfer protocol based on Even

4.3 基于Bellare 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議

在本節(jié)中基于Bellare[7]的方案提出一種概率型2 選1 不經(jīng)意傳輸協(xié)議方案, 方案框架如圖2.

圖2 基于Bellare 的概率型2 選1 不經(jīng)意傳輸協(xié)議Figure 2 Probabilistic 1 out of 2 oblivious transfer protocol based on Bellare

由于本方案是以經(jīng)典的Bellare 方案為基礎(chǔ)構(gòu)造的, 實際上, 本節(jié)提出的方案是對Bellare 方案的一般化處理, Bellare 方案是本方案的一種特殊情況, 且概率P 中的a 和b 的值可以取任意正整數(shù), 因此可以在實際的應(yīng)用中根據(jù)具體需求靈活的調(diào)整接收方獲取信息的概率.

4.4 基于Naor 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議

圖3 基于Naor 的概率型2 選1 不經(jīng)意傳輸協(xié)議Figure 3 Probabilistic 1 out of 2 oblivious transfer protocol based on Naor

4.5 三個概率型方案的概率分析

本節(jié)分別基于Even 方案、Bellare 方案和Naor 方案提出了三個概率型2 選1 不經(jīng)意傳輸協(xié)議. 在Even 方案中, 由于最終接收方獲取的信息的消息序號是由接收方和發(fā)送方共同決定的, 因此接收方能夠獲取自己所需的信息的概率為50%; 在Bellare 方案中, 由于接收方并不知道任何和信息有關(guān)的內(nèi)容, 因此在選擇消息序號時是隨機進行選擇的, 所以接收方也只有50% 的概率可以獲取自己所需的信息; 而在Naor 方案中, 接收方并不是隨機選擇的消息序號, 因此接收方有100% 的概率可以獲取自己所需的信息.

而在上述概率型2 選1 不經(jīng)意傳輸協(xié)議中的概率P 可以認(rèn)定為的形式, 其中a, b 是可以取任意正整數(shù)的, 因此, 在本文提出的概率型2 選1 不經(jīng)意傳輸協(xié)議中, 接收方成功接收自己所需的秘密信息的概率可以根據(jù)實際應(yīng)用的需要, 在50% 到100% 的概率范圍中進行適當(dāng)?shù)恼{(diào)整, 以實現(xiàn)在應(yīng)用中更加的靈活多變.

對于概率P 可取的范圍為50% 到100%, 在這里作補充說明. 若接收方想以概率P 獲取秘密信息Mj, 那么對于另一個秘密信息的獲取概率為1 ?P, 此時, 若概率P 小于50%, 則可以將兩個秘密信息的獲取概率互換, 即令P′=1 ?P, 實現(xiàn)獲取秘密信息Mj⊕1的概率為50% 到100% 之間.

實際上, 我們在本節(jié)所提出的三個概率型2 選1 不經(jīng)意傳輸協(xié)議分別是Even 方案、Bellare 方案和Naor 方案的一般化擴展, 而Even 方案、Bellare 方案和Naor 方案也分別是三個概率型2 選1 不經(jīng)意傳輸協(xié)議的一種特殊情況.

而原來的Even 方案、Bellare 方案和Naor 方案由于接收方獲取所需信息的概率不同被分為兩大類,分別為50%和100%的概率,而在我們所提出的三個概率型2 選1 不經(jīng)意傳輸協(xié)議方案中,概率可以根據(jù)實際需要靈活調(diào)整,可以說,我們用一種可變換概率的方式將三個經(jīng)典方案在概率上實現(xiàn)了統(tǒng)一的P =的形式, 而這種形式也就可以實現(xiàn)我們統(tǒng)一的目的——根據(jù)實際應(yīng)用的需要進行概率的靈活變化.

5 概率型2 選1 不經(jīng)意傳輸協(xié)議方案分析

5.1 概率型2 選1 不經(jīng)意傳輸協(xié)議方案正確性

在基于Even 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議中, 任意可交換公鑰密碼均滿足Ex(Dx(k)) =Dx(Ex(k))=k, 且在該協(xié)議中, 接收方可以成功恢復(fù)秘密消息也是基于上述性質(zhì).

對于基于Naor 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議來說, 方案中的隨機預(yù)言機可以被認(rèn)定為一個理想的哈希函數(shù), 只有當(dāng)完全知道了哈希函數(shù)加密的數(shù)據(jù)后, 才可以對哈希函數(shù)進行計算.

定理3 對于H((PKi)r,R,i) 來說, 當(dāng)且僅當(dāng)知道了PKi和i 的值才可以成功計算結(jié)果.

對于基于Naor 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議來說, Bob 在接收到b ?1 個加密的結(jié)果后, 由于只有Bob 自己知道自己選擇的消息序號是多少, 因此Bob 可以成功得出H((PKσ)r,R,σ) 的值, 之后找到σ 對應(yīng)的加密結(jié)果, 并將H((PKσ)r,R,σ) 和該加密結(jié)果進行模加, 便可以成功恢復(fù)信息mσ.

5.2 概率型2 選1 不經(jīng)意傳輸協(xié)議方案安全性

由于上文所描述的三個概率型的不經(jīng)意傳輸協(xié)議方案均是經(jīng)典的2 選1 不經(jīng)意傳輸協(xié)議方案的一個推廣改進, 因此這三個概率型不經(jīng)意傳輸協(xié)議的方案在安全性上和3 個對應(yīng)的經(jīng)典2 選1 不經(jīng)意傳輸協(xié)議的方案是等同的.

對于基于Even 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議來說, 傳輸過程中均沒有明文直接傳輸秘密信息, 且使用了發(fā)送方的公鑰加解密系統(tǒng), 因此即使截獲了傳遞的信息也無法成功得到秘密信息. 且在該方案中由發(fā)送方選取公鑰的加解密系統(tǒng)和兩個隨機數(shù), 由接收方選擇加密密鑰k, 用發(fā)送方公鑰加密后再用接收到的隨機數(shù)對加密后的k 進行盲化. 發(fā)送方去盲化后解密得到b ?1 個加密密鑰, 其中只有一個是真正的加密密鑰k, 可以使發(fā)送方的安全性得到保證. 同時, 由于最后接收方真正獲取的秘密信息序號由發(fā)送方和接收方分別所選擇的隨機數(shù)s 和r 共同決定, 因此接收方的隱私性也可以得到保證. 除接收方成功恢復(fù)的消息外, 其他消息接收方并不知道對應(yīng)k′的值, 因此無法得知其他消息, 保證了發(fā)送方的隱私.

對于基于Bellare 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議來說, 由于協(xié)議本身是非交互的, 且在僅有的一次信息傳遞過程中實際上是由接收方的公鑰進行加密后傳輸?shù)? 因此方案的安全性可以得到保障. 接收方在協(xié)議結(jié)束后可以得到秘密信息si, Diffie-Hellman 假設(shè)意味著接收方無法計算其他的γ 的值, 也就無法成功恢復(fù)除秘密信息si以外的其他秘密信息, 保證了發(fā)送方的隱私性. 同時由于其非交互的特點, 接收方從未向發(fā)送方發(fā)送任何消息, 因此接收方的隱私性也得到了保障.

對于基于Naor 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議來說, 在傳輸過程中存在隨機預(yù)言機, 因此第三方即使獲取到傳遞的密文也是難以成功恢復(fù)秘密信息的. 在證明發(fā)送方的安全性時, 使用隨機預(yù)言機模型,在CDH 假設(shè)下可以證明發(fā)送方的安全性. 接收方將PK0發(fā)送給發(fā)送方后, 發(fā)送方無法根據(jù)PK0計算得出Cσ, 也就無法得知接收方的選擇. 由于接收方只能計算得到PKσ這一個解密密鑰, 無法得到其他的解密密鑰, 因此也就無法成功解密除了自己選擇的其他消息.

5.3 概率型2 選1 不經(jīng)意傳輸協(xié)議方案效率

基于Even 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議總共需要進行三次信息傳遞才可完成協(xié)議, 而由于基于Naor 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議有初始化階段, 且初始化階段承擔(dān)了了較大的計算量和部分傳輸過程, 因此在傳輸階段僅需進行兩次信息傳遞. 但也因為初始化階段, 使基于Naor 方案的概率型2選1 不經(jīng)意傳輸協(xié)議較為刻板, 一次初始化只能應(yīng)用于本次的協(xié)議, 對于多個協(xié)議則需要多次初始化, 會增加計算量和通信負(fù)擔(dān). 而基于Bellare 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議, 由于方案本身是非交互的,因此只需進行一輪信息傳遞.

近來, 還有其他的一些不經(jīng)意傳輸協(xié)議方案被提出, 如石潤華等人[32]提出了一種具有統(tǒng)計特性的不經(jīng)意傳輸協(xié)議方案; 劉沫萌[33]提出了UC 通用的不經(jīng)意傳輸協(xié)議框架. 在方案效率通用性上, 我們對這些方案在傳輸階段輪數(shù)、安全性和功能進行了簡單的對比, 見表2.

表2 概率型方案與其他方案的對比Table 2 Comparison between probabilistic schemes and other schemes

提出的概率型2 選1 不經(jīng)意傳輸協(xié)議相較于一些不經(jīng)意傳輸協(xié)議的通用模型來說, 如Dottling等人[30]所提出的在計算Diffie-Hellman 假設(shè)或LPN 假設(shè)下給出的基本不經(jīng)意傳輸協(xié)議的簡單構(gòu)造;Branco 等人[34]提出了一個高效且通用的、用于使用一輪密鑰交換的不經(jīng)意傳輸框架; Choi 等人[35]研究了出了高效的、使用最少數(shù)量的無狀態(tài)令牌的通用可組合的不經(jīng)意傳輸協(xié)議; Benhamouda 等人[36]提出自適應(yīng)安全的不經(jīng)意傳輸協(xié)議的通用可組合性框架; Blazy 等人[37]從抗碰撞Chameleon 哈希方案(Chameleon hash, CH) 和光滑投影散列函數(shù)(smooth projective hash function, SPHF) 的CCA 加密方案出發(fā), 構(gòu)造了一個完全通用的UC 安全不經(jīng)意傳輸方案等; 上述的方案均可以更好的適用于多種協(xié)議方案的構(gòu)造, 但僅在2 選1 不經(jīng)意傳輸協(xié)議的應(yīng)用方面, 我們所提出的概率型2 選1 不經(jīng)意傳輸協(xié)議則可以更好的應(yīng)用于多個實際應(yīng)用中. 概率型方案與其他方案的具體概率對比見表2.

在方案的代碼實現(xiàn)方面, 對代碼效率簡單分析后得到, 基于Even 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議中, 每次執(zhí)行協(xié)議時, 接收方需要進行1 次公鑰加密運算(具體運算規(guī)則可根據(jù)發(fā)送方的選擇變化), 發(fā)送方則需要進行1 次對應(yīng)的解密運算; 而基于Naor 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議在初始化階段,發(fā)送方需要進行b 次模冪運算. 在傳輸階段, 接收方要進行2 次模冪運算, 1 次模除, 1 次隨機預(yù)言機計算,發(fā)送方則需要進行b 次模冪, b ?1 次模除, 1 次隨機預(yù)言機計算; 基于Bellare 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議在初始化階段中接收方需要進行1 次模冪, b ?1 次模除. 在傳輸階段, 發(fā)送方要進行2b 次模冪運算, 接收方只需要1 次模冪運算. 而除了上述所提到的運算外, 其他的運算如模加等, 基于目前的運算能力來說是輕量級的.

5.4 概率型2 選1 不經(jīng)意傳輸協(xié)議方案比較

所提出的概率型2 選1 不經(jīng)意傳輸協(xié)議均具備協(xié)議的正確性. 基于Naor 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議是針對Naor[8]的2 選1 不經(jīng)意傳輸協(xié)議進行的概率化改進, 基于Bellare 方案的概率型2選1 不經(jīng)意傳輸協(xié)議是針對Bellare[7]的2 選1 不經(jīng)意傳輸協(xié)議進行的概率化改進, 基于Even 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議是針對Even[6]的2 選1 不經(jīng)意傳輸協(xié)議進行的概率化改進. 三個方案中的接收方都可以以一定的概率來成功恢復(fù)秘密信息, 且都是通過發(fā)送方對兩個秘密信息進行復(fù)制, 設(shè)置秘密信息M0和M1的個數(shù)來實現(xiàn)概率獲取信息.

本文所提出的概率型2 選1 不經(jīng)意傳輸協(xié)議均具備協(xié)議的安全性, 且信息傳遞次數(shù)均和原始方案保持一致. 基于Naor 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議由于有初始化階段的存在, 因此通信雙方之間的傳遞只需進行兩次; 基于Bellare 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議本身就是非交互式的, 因此只進行一次信息傳遞; 基于Even 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議則需要進行三次通信雙方之間的信息傳遞. 基于Naor 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議中接收方將加密密鑰用公鑰加密后再用隨機數(shù)進行盲化, 發(fā)送方在去盲化再解密后, 得到的明文中只有一個是加密密鑰, 因此保證了發(fā)送方的安全性; 基于Even 方案的概率型2 選1 不經(jīng)意傳輸協(xié)議中則采用了隨機問答機, 在CDH 的假設(shè)下證明了發(fā)送方的安全性.

概率型2 選1 不經(jīng)意傳輸協(xié)議在復(fù)雜網(wǎng)絡(luò)下的電子信息交易中可以有很好的應(yīng)用: 當(dāng)信息的持有者擁有兩個秘密信息, 而信息購買者對其中的一個秘密信息感興趣, 但是購買欲望不是很強時, 便可以通過使用概率型2 選1 不經(jīng)意傳輸協(xié)議來達成交易: 接收方根據(jù)自己的購買欲望來選擇對應(yīng)的獲取概率, 同時發(fā)送方根據(jù)接收方所選擇的概率進行降價處理.

例如, 信息的持有者擁有秘密信息M0和M1, 而購買者想得到秘密信息Mj, 且選擇的獲取概率為P,若概率P 小于50%, 則可以認(rèn)為購買者所選擇的獲得秘密信息Mj⊕1的概率P′=1 ?P, 此時可以將獲得秘密信息Mj⊕1的概率P′告知信息持有者; 若概率P 大于50%, 則直接將獲取秘密信息Mj的概率P 告知信息持有者. 這樣一來信息的持有者并不知道購買者真正想獲得的是哪一個秘密信息.

而對于本文所提出的三個概率型2 選1 不經(jīng)意傳輸協(xié)議來說, 基于Even 的概率型方案的安全性取決于所選公鑰系統(tǒng)的安全性, 基于Bellare 的概率型方案的安全性是基于協(xié)議本身的非交互性, 基于Naor的概率型方案的安全性取決于方案中的隨機預(yù)言機, 對于這三個安全基礎(chǔ)而言, 后兩者在安全性的方面略強于基于Even 的概率型方案, 但理想的隨機預(yù)言機要求是一個無限大的函數(shù), 要想達到理想條件是較為困難的. 而除了基于Even 的概率型方案外, 另外兩個方案都需要進行有一定計算量的初始化階段, 而為了安全性, 一次的初始化只能用于本次的協(xié)議執(zhí)行中, 因此若想執(zhí)行多次協(xié)議, 基于Even 的概率型協(xié)議的效率略高于另外兩個協(xié)議. 因此在實際的應(yīng)用中, 若更注重協(xié)議效率且需要執(zhí)行多次的話, 基于Even 的概率型協(xié)議更好一些, 若更注重安全性, 則基于Bellare 的和基于Naor 的概率型協(xié)議更好一些.

從是否初始化、協(xié)議執(zhí)行輪數(shù)、協(xié)議安全基礎(chǔ)和應(yīng)用范圍四個方面對三個概率型2 選1 不經(jīng)意傳輸協(xié)議進行了對比, 對比結(jié)果見表3.

表3 概率型方案對比Table 3 Comparison of probabilistic schemes

6 總結(jié)

通過對Even[6]方案、Bellare[7]方案和Naor[8]方案的研究, 我們發(fā)現(xiàn)這三種經(jīng)典的2 選1 不經(jīng)意傳輸協(xié)議在執(zhí)行時, 接收方只能以50% 或100% 的概率獲取自己所需的秘密信息, 而考慮到網(wǎng)絡(luò)環(huán)境的復(fù)雜性, 對概率型2 選1 不經(jīng)意傳輸協(xié)議提出了嚴(yán)格的定義. 在Even[6]方案、Bellare[7]方案和Naor[8]方案的2 選1 不經(jīng)意傳輸協(xié)議的基礎(chǔ)上, 提出了三個接收方以一般概率接受信息的概率型2 選1不經(jīng)意傳輸協(xié)議, 對原始的典型方案中接收方獲取信息的概率只能是50% 或者100% 的情況進行了推廣,可以實現(xiàn)接收方以任意概率成功接收秘密信息.