權重型n 選1 不經意傳輸協議*

張辰旭 張艷碩 張黎仙

北京電子科技學院,北京市 100070

1 引言

不經意傳輸協議[1],是一種可保護雙方隱私的通信協議,它在一個消息集合中以一種不經意的方式來“秘密”獲取部分消息。

不經意傳輸協議保證了接收者在不知道發送者隱私的情況下獲取秘密消息,同時保證了接收者自身的隱私不被發送者知道,因此不經意傳輸協議可以作為單獨的協議應用到數字產品交易、電子選舉方案等諸多信息交易中,還可以作為密碼模塊應用到眾多安全多方計算當中。

不經意傳輸的概念最初由Rabin[2]在1981年提出,從此以后不經意傳輸協議逐漸成為了密碼學的一個重要組成部分,隨著學者研究的不斷深入,諸多的不經意傳輸協議相繼問世。 具體可分為以下4 類:1 選1 不經意傳輸協議[2-3]、2 選1 不經意傳輸協議[4]、n 選1 不經意傳輸協議[5]、n 選k 不經意傳輸協議[6-7]。

在Rabin 之后,Even[8]提出了一個2 選1 不經意傳輸協議,后來Brassard[5]將2 選1 不經意傳輸協議推廣到了n 選1 不經意傳輸協議,即發送者發送n 條消息,接收者僅能獲取其中的1 條消息,并且發送者不知道接收者選擇的是哪條消息。 Naor 和Pinkas[9]基于Diffie-Hellman 假設提出了第一個n 選1 不經意傳輸協議,同時它也是一個可復用的n 選1 不經意傳輸協議。

在本文中,我們提出了權重型不經意傳輸協議的概念,并對經典的n 選1 不經意傳輸協議Naor 方案進行了研究分析,將接收者以固定概率接收發送者消息進行了改進,新的方案可以根據接收者的實際需求設置相應的權重進行獲取。而這種形式也滿足了我們在復雜網絡環境中的多樣化需求, 更好地適應目前復雜網絡環境中不經意傳輸協議的信息傳輸需求。

2 不經意傳輸協議簡介

不經意傳輸的概念由Rabin[2]在1981 年提出后,不經意傳輸協議逐漸成為了密碼學的一個重要組成部分,隨著學者研究的不斷深入,諸多的不經意傳輸協議相繼問世。 按照功能具體分為以下4 類經典不經意傳輸協議:1 選1 不經意傳輸協議[2-3]、2 選1 不經意傳輸協議[4]、n 選1不經意傳輸協議[5]、n 選k 不經意傳輸協議[6-7]。 具體介紹如下:

(1)1 選1 不經意傳輸協議:發送方將一條消息傳送給接收方,接收方有1/2 的概率接收成功,而發送方不知道接收方是否接收成功;

(2)2 選1 不經意傳輸協議:信息的發送方持有的消息集合包含兩個秘密信息,接收方可以且僅可以成功恢復其中一條秘密信息,同時發送方并不知道他成功恢復的是哪一條秘密消息;

(3)n 選1 不經意傳輸協議:信息的發送方持有的消息集合包含n 個秘密信息,而接收方在協議執行完畢后只能成功恢復其中一個秘密信息,同時發送方并不知道他成功恢復的是哪一條秘密消息;

(4)n 選k 不經意傳輸協議:信息的發送方持有的消息集合包含n 個秘密信息,而接收方在協議執行完畢后只能成功恢復其中k 個秘密信息,同時發送方并不知道他成功恢復的是哪k 條秘密消息。

對于一般性的不經意傳輸協議,要考慮三個性質:

(1)正確性:只要發送方和接收方均遵守協議,那么執行完協議后接收方可以得到他想要的信息;

(2)發送發的安全性:執行完協議后,接收方得不到除了他選擇外的其他任何秘密消息;

(3)接收方的安全性:執行完協議后,發送方不會知道他的選擇。

3 n 選1 不經意傳輸協議

本節將重點介紹n 選1 不經意傳輸協議的發展歷程和最新進展以及兩個經典的n 選1 不經意傳輸協議方案。

我們首先介紹一般的n 選1 不經意傳輸協議。 Brassard[5]在2 選1 不經意傳輸協議的基礎上推廣到了n 選1 不經意傳輸協議,其具體概念為:發送方有n 個消息s1,s2,…,sn,接收方通過選擇i∈{1,2…,n} 的值來獲得消息si,但卻不知道其他的秘密消息sj(j≠i),或者這些sj(j≠i) 的組合消息,同時發送方也不知道接收方具體的選擇i,即獲取的是哪一條消息。

在獨立的n 選1 不經意傳輸協議被設計出來之前,要實現n 選1 不經意傳輸協議的功能就要通過多次執行2 選1 不經意傳輸協議來實現,因此這些不同形式的不經意傳輸協議之間是可以相互轉化的,但是這樣的協議構造往往會造成很高的通信代價,因此人們將研究n 選1 不經意傳輸協議的主要精力放在了直接設計獨立的n選1 不經意傳輸協議。

Naor 和Pinkas[9]提出了第一個獨立的n 選1 不經意傳輸協議,該協議是一個基于Diffie-Hellman 假設并且可復用的n 選1 不經意傳輸協議,大大減少了為實現n 選1 不經意傳輸功能而多次執行2 選1 不經意傳輸協議的通信代價;后來Tzeng[10]基于Diffie-Hellman 假設也提出了一個n 選1 的不經意傳輸協議,它沒有初始化階段, 但它的傳輸階段效率還不如Naor 的協議;2006 年葉君曜[11]等人基于門限思想提出了一個可復用的n 選1 的不經意傳輸協議;2008 年,張京良[12]等人對Naor 方案進行了改進并應用到群簽名當中;2015 年,Shin-Yan Chiou[13]等人提出了一種基于離散對數問題(DLP)的代理簽名n 選1 的不經意傳輸方案,它結合了代理簽名和不經意簽名的優點,滿足了兩種簽名的安全特性,由于該協議提供了收件人選擇的模糊性,它非常適用于電子投票應用;2019 年,邱錫彥和陳俊名[14]兩人首先提出了一種基于不經意傳輸的n 選1 不經意傳輸簽名方案,不僅滿足了完整性、不可偽造性、隱私性的安全要求,而且還滿足了選擇限制和非重復性的要求,使得這種方案非常適合于多選電子投票的應用,并在手機上實現了該方案,使用戶能夠安全、方便地進行投票;在一些車聯網(VANET)技術的特征匹配中,用戶的隱私泄露問題已經嚴重威脅到人身安全并造成了相當大的經濟損失,2020 年WangXianmin[15]等人構建了一個高效的OT 協議,被采用來給出一個帶有平等測試的PSI 協議,VANET 的兩方可以獲得他們的特征集的交集,而這種交集之外的任何信息都是不可用的。 因此,內部攻擊者無法從雙方的特征匹配中獲得任何有用的信息,雙方也無法獲得對方的額外數據;2020 年3 月,Wahaballa Abubaker[16]等人提出了一個安全的n 選1 不經意傳輸協議,該協議具有隱藏的訪問控制和基于確定性有限自動機(DFA)的功能加密的外包解密(HACOT-DFA),可以應用在車輛傳感器中,傳感器的數據被處理并以記錄的形式存儲在車載傳感器數據庫中,這些記錄可以被其他車輛或路邊單位訪問和共享,目的是提高道路安全。 然而,這些記錄可能包含非常敏感的信息,如車輛的識別碼和位置,這些信息需要特別的保護,而該協議就確保了車輛用戶的隱私和保密性;2020 年6 月,WangXiaotian[17]等人在ECDH 的假設下,設計了一種新型的n 選1 不經意傳輸協議。 該協議可以在惡意模式下安全實現,在n 個輸入值中選擇其中的1 個。 在此假設下定義了RAND 函數,并給出了安全定義,構建了發送方和接收方的安全交互模式。 最后分析了該協議的正確性,并給出了安全證明。 該協議具有常數級的交互復雜度,計算和通信復雜度只與n 線性有關;2020 年8 月,Nibedita Kundu[18]等人利用多變量公鑰密碼學(MPKC)的OT 協議的構造,提出了一個2 選1 的不經意傳輸協議,而我們可以進行n 次的復用以實現n 選1 不經意傳輸的功能,該方案的安全性是在多變量二次方(MQ)問題的硬度下實現的,該設計是第一個基于MPKC 的后量子OT 協議;2020 年9 月,Shanshan Zhang[19-20]利用格上不經意傳輸協議的特點,設計了一個使用決策性Diffie-Hellman 假設和混淆不可區分的基于LWE的n 選1 不經意傳輸協議,該協議主要的工具包括基于LWE 的雙模式密碼系統和安全的不可區分性混淆,保證了該n 選1 不經意傳輸協議的安全性;2021 年5 月,Saeid Esmaeilzade[21]等人采用了非對稱同態加密的概念,使用了一些著名的同態加密方案(如RSA、Paillier 和NTRU)來實例化他們的結構,以獲得具體的不經意傳輸協議,提出了一個通用的結構來建立簡單而高效的n 選1 不經意傳輸協議,該協議的通用結構在通用可組合框架中是安全的;2021 年11 月,Wang Ping[22]等人在量子信道的幫助下,設計了一種新型的計算安全的量子n 選1 不經意傳輸(QOT)協議,其最低假設要求是:單向函數的存在。

獨立的n 選1 不經意傳輸協議雖然在降低了通信代價的同時,實現了相應的通信功能,但這種功能是不完善的,因為它沒有考慮到接收方的實際需求,因此我們給出了權重型n 選1 不經意傳輸協議的定義和性質,并在下一節提出了具體的設計方案,下面我們介紹幾種經典的n 選1不經意傳輸協議。

3.1 Naor 方案

本節對Naor[7]的n 選1 不經意傳輸協議進行描述,具體過程如下:

初始化:Alice 選擇隨機數C1,C2,…,CN-1和r,并計算(Ci)r和gr的值。Bob可以獲得C1,C2,…,CN-1和gr的值。 其中1 ≤i≤N- 1,g為Zq的生成元。

傳輸階段: Alice 的輸入為 (M0,M1,…MN-1)。 Bob 的輸入為σ∈{0,…N- 1} (他選擇獲取Mσ)。

(1)Bob 選擇k∈Zq,并設置PKσ=gk。 如果σ≠0,將計算PK0=Cσ/PKσ,并向Alice 發送PK0, 并且已經可以計算解密密鑰(gr)k=(PKσ)r;

(2 ) Alice 計 算 (PK0)r, (PKi)r=(Ci)r/(PK0)r,1 ≤i≤N- 1。 Alice 再選擇隨機字符串R,通過計算H((PKi)r,R,i) ⊕Mi來加密每個Mi, 并將這些加密數據、R發送給Bob;

(3) Bob 使 用H((PKσ)r,R,σ), 來 解 密Mσ。

正確性:主要依賴于方案中的隨機預言機H(通常是一個哈希函數),只有在接受到完整的隨機預言機H加密后的數據后,才可以對其進行計算解密。 對于本方案中的隨機原語H加密結果H((PKi)r,R,i), 當且僅當Bob 知道正確的(PKσ)r、σ以及R才能計算正確結果獲得想要的秘密信息。

安全性:在假設Diffie-Hellman 問題難解的情況下,該方案使用的隨機預言機H在Diffie-Hellman 假設下可以證明其安全性。 由于Bob只能計算唯一的解密密鑰(PKσ)r=(gr)k,因此也就無法獲得除了自己選擇的消息外的任意消息,這保證了Alice 的安全性與隱私性。

PK0信息理論上的分布是獨立于C0,…,CN-1和σ的,與他們的值無關,僅與他選擇的隨機數k有關,而Alice 并不知道具體的隨機數k的值。 因此Alice 無法依據PK0計算出相對應的Cσ值,也就無法得知Bob 想獲得的秘密消息是哪一個了,這就保證了Bob 的安全性與隱私性。

不經意性:接收方發送給發送方的PK0參數僅與他選擇的隨機數k有關,而發送方并不知道具體的隨機數k的值。 故接收方將PK0發送給發送方后,發送方無法依據PK0計算出相對應的Cσ值,也就無法得知σ,也就是接收方想獲得的秘密消息是哪一個了。

3.2 Tzeng 方案

本節對Tzeng[8]的n 選1 不經意傳輸協議進行描述,具體過程如下:

傳輸階段:Alice 的輸入為(M1,M2,…MN∈Gq)。 Bob 的輸入為α∈{1,…N} (他選擇獲取Mσ)。

(1)Bob 計算y=grhα,r∈RZq,并將其發送給Alice;

(2) Alice 計算ci= (gki,Mi(y/hi)ki),ki∈RZq,1 ≤i≤N,并將其發送給Bob;

(3)設cα= (a,b),Bob 計算Mα=b/ar。

正確性:該方案基于DDH 假設,只要Alice和Bob 均遵守協議,那么執行完協議后Bob 可以得到他想要的信息。

安全性:因為DDH 假設是強于DL 假設的,因此Bob 不能計算兩對不同的(r,α) 和(r′,α′)同時滿足y=grhα=gr′hα′。 除非Bob 可以計算loggh= (r′-r)/(α-α′)mod q。 因此,Bob 不能得到除了他選擇得到的秘密消息外的任何一個,這保證了發送方的安全性與隱私性。

Alice 無法通過y=grhα計算出σ的值,也就無法得知Bob 想獲得的秘密消息是哪一個了,這保證了接收方的安全性與隱私性。

不經意性:在該方案中沒有(g,h,Gq) 的初始化,而是Alice 將(g,h,Gq) 一同發送給Bob。當Bob 接收到這些系統參數后,他需要去檢查一下是否q為素數、g≠1 和h≠1。 否則,如果Alice 選擇了一個非素數q和非常小的g和h,他將會知道Bob 的選擇σ。 當然,在Bob 檢查沒有問題的情況下,即使Alice 知道,Bob 的選擇也是無條件安全的,Alice 也就無法知道Bob的選擇了。

4 權重型n 選1 不經意傳輸協議

本節重點介紹權重型n 選1 不經意傳輸協議的定義、性質以及權重型n 選1 不經意傳輸協議方案。

4.1 權重型n 選1 不經意傳輸協議定義

n 選1 不經意傳輸協議同其他眾多經典的不經意傳輸協議一樣,作為通信協議可以通過不經意的方式,在保護雙方隱私的情況下達成獲取信息的目的,并且可以應用到數字產品交易、電子選舉方案等諸多信息交易中,以及眾多安全多方計算當中。 但目前為止的n 選1 不經意傳輸協議都是令接收者獲取信息的概率為固定值,為了更好的拓展應用,我們提出了一個可以根據接收方實際需求設置相應權重的權重型n 選1 不經意傳輸協議。

權重型n 選1 不經意傳輸協議是一種在保護通信雙方隱私的同時,可以讓接收者以一定的權重成功從秘密消息中恢復自己想得到的消息的通信協議,但得不到任何其他的消息或者其他消息的組合形式,同時發送者也不知道接收者選擇的是哪一個消息。

權重型不經意傳輸協議和概率型不經意傳輸協議[3][12]的區別在于:概率型的不經意傳輸協議的接收方成功獲取發送方的各個消息概率之和為1,比如對于概率型2 選1 不經意傳輸協議來說,若接收方想以概率P獲取秘密信息Mj,那么對于另一個秘密信息的獲取概率為1-P;而權重型n 選1 不經意傳輸協議只能以1/m的權重獲取所選擇的消息, 而對于其他消息,由于缺少解密密鑰()r, 故而無法成功解密,所有消息的獲取概率之和仍為1/m。

4.2 權重型n 選1 不經意傳輸協議性質

結合一般的n 選1 不經意傳輸協議,權重型n 選1 不經意傳輸協議具有以下基本性質:

(1)協議的正確性:在協議完成后,如果發送方和接收方能夠正確執行協議,那么接收方可以通過協議以一定的比重正確獲得自己想要獲得的秘密消息。

(2)發送方的隱私性:執行完協議后,即使是惡意的接收方不能夠遵守協議內容,那么他也無法獲得其余N- 1 個秘密消息。

(3)接收方的隱私性:執行完協議后,發送方無法以任何方式得知接收方恢復的是哪一條秘密消息。

4.3 權重型n 選1 不經意傳輸協議功能

權重型n 選1 不經意傳輸協議可以根據接收者的實際需求設置相應的權重進行獲取,而這種形式的通信代價并不會因此而提高,相反還會優于許多一般的n 選1 不經意傳輸協議,因此它能夠在保證自身通信代價的同時,滿足了我們在復雜的網絡環境中多樣化的需求。

4.4 權重型n 選1 不經意傳輸協議的設計

表1 符號說明

設q是一個大素數,所有的數據操作都在一個以g為生成元的循環群Zq上進行,符合Diffie-Hellman 假設,此外,還假設存在一個隨機預言機H(通常是一個哈希函數)。 方案框架如圖1。

圖1 權重型n 選1 不經意傳輸協議框架

初始化:Alice 選擇N- 1 個隨機常量C1,C2,…,CN-1(滿足公式PK0·PKi=Ci)。 他還選擇了一個隨機數r并計算gr。C1,…,CN-1和gr的值均被發送給Bob。 所有傳輸都將使用相同的值。 (Alice 可預計算1 ≤i≤N-1 每個(Ci)r的值)。

(1)Bob 選擇m個隨機數kj(j= 1,2,…,m),并設置相應的m個=gkj(j= 1,2,…,m)。 如果σ≠0, 他將計算m個=Cσ/(j= 1,2,…,m),并將這些值和m一同發送給Alice,并且已經可以計算解密密鑰(gr)kj= ()r。

然后Alice 隨機選擇m- 1 種j∈{1,2,…,m} ,對其對應的(m- 1)×N種()r利用其自身的公鑰pj一一進行加密。 沒有被選擇到的唯一一個j記為j*。 并對自身持有的i 個消息(0 ≤i≤N- 1) 進行j 次的復制(1 ≤j≤m),以形成的消息矩陣,以便后續的加密操作。Alice 選擇隨機字符串R。 然后,他通過計算H(()r,R,i,j) ⊕來加密每個,并將這些加密數據和R發送給Bob。

(3) Bob 使用H(()r,R,σ,j) 來解密。但由于其中的()r有(m-1)×N種都被公鑰加密后的數據替代,也就是說當j取值到Alice 隨機選擇的m-1 種j∈{1,2,…,m} 中的任意一種都不能成功獲取秘密消息。 只有當j取值為沒有被Alice 選取到的唯一值j*時,才能成功獲取秘密消息。 也就是權重為1/m。

圖2 加密消息分布

該權重型n 選1 不經意傳輸協議方案與一般的n 選1 不經意傳輸協議相比,初始化階段并沒有改動,而是通過接收者設置的權重將之前單一的加密消息變成m×N的加密矩陣的形式,再通過發送方持有公鑰對部分加密參數進行再加密,接收方通過新增加密參數j進而實現了以一定權重恢復選擇的秘密消息的功能。

5 三個性質的分析

在本節重點介紹權重型n 選1 不經意傳輸協議的正確性分析、安全性分析以及對比分析。

5.1 正確性分析

對于權重型n 選1 不經意傳輸協議來說,其正確性主要依賴于方案中的隨機預言機H(通常是一個哈希函數),只有在接受到完整的隨機預言機H加密后的數據后,才可以對其進行計算解密。

定理1:對于H(()r,R,σ,j) 來說,當且僅當知道正確的()r、σ以及j才能計算正確結果。

證明:對于本方案中的隨機原語H加密結果H(()r,R,σ,j),當且僅當接收者知道正確的()r、σ以及j*才能計算正確結果獲得想要的秘密信息。 接收者在收到m×N個加密結果后,根據自己事先選擇的消息序號σ,以及預先計算好的解密密鑰()r= (gr)kj, 隨機選擇j∈{1,2,…,m},將計算結果H(()r,R,σ,j) 與該j相對應的加密結果進行模加,如果該j =j*,則可以成功以1/m的權重獲取該秘密消息。

5.2 安全性分析

對于第三方來說,由于本方案中的隨機原語H(通常是一個哈希函數)的存在,所以即使在傳輸過程當中有第三方成功截獲了密文消息,那么也是難以恢復出秘密信息的。

發送方的安全性:在假設Diffie-Hellman 問題難解的情況下,該方案使用的隨機預言機H在Diffie-Hellman 假設下可以證明其安全性。 由于接收方只能計算唯一的解密密鑰()r=(gr)kj,從而無法得知其余的N- 1 個解密密鑰,因此也就無法獲得除了自己選擇的消息外的任意消息,這保證了發送方的安全性與隱私性。

要注意的第一點是,如果接收方知道了一個以上的公共加密參數PK(例如PKi1和PKi2)的值(PKi1)r和 (PKi2)r, 那么就可以得出(PKi1)r/(PKi2)r=(Ci1/Ci2)r。 這反過來可以用來推導隨機數C和隨機數gr的Diffie-Hellman值:給定輸入A=ga和B=gb(其中目標是計算gab),模擬器A 通過生成一個隨機數ri和gr=gb的常量Ci=Ari來模擬A。 如果A 在i1和i2上成功,則(Ci1/Ci2)r=gabri1/gabri2, 將后者提高到1/(ri1-ri2) 次冪就可以得到gab。

由于我們在協議過程中使用了相同的C1,C2,…,CN-1和gr對Naor 方案進行了m次復用生成了加密矩陣,我們應該使用模擬器A′對控制了某些用戶子集的對手的操作進行描述。 因此,隨機預言機H的輸入包含一個隨機元素R,它確保協議的不同調用中的輸入將不同。 與之前一樣,目標是生成模擬器A 感興趣的值(并在理想模型中獲取它們)。 A′ 隨機選擇C1,C2,…,CL-1以及gr。 當模擬器A 發送第m個消息時,A′ 以(α0,α2,…,αN-1) 隨機進行響應,用于加密Mi和隨機字符串Rm。 每當A 在點(x,R′,σ,m) 上查詢H時,A′都會檢查對于某些m是否滿足R′=Rm。 如果沒有,則給出一個隨機的答案,如果R′=Rm并且x=()r,則A′在理想模型中詢問與σ對應的值,并得到Mσ。 然后,它必須適當地設置H(()r,Rm,σ,m)=ασ⊕。 模擬的A 看到的分布和真實的分布之間的唯一區別發生在:

(2)提前查詢其中一個H(x,Rm,σ,m), 但對于每個查詢,這種情況發生的可能性很低。

需要注意的第二點是,如果該協議使用普通的ElGamal 加密而不是隨機的預言機,那么該協議將是不安全的:假設轉移的形式為()r·,()r·。 然后,如果接收者事先知道其中一個傳輸的元素(例如,), 即使他知道另一個元素的私鑰,他也可以從加密的消息中計算出相應的加密密鑰()r。 因此,他可以計算()r和()r,將它們相乘并得到(Ci)r。此值使他能夠在每次其他傳輸中解密這兩個元素。

5.3 不經意性分析

定理2:不經意性也指一種模糊化的方式,具體是指發送方在整個協議的執行過程中不會知道接收方具體選擇的是哪一個秘密消息。

6 對比分析

Naor[9]方案是一個基于Diffie-Hellman 假設的,并可復用的n 選1 不經意傳輸協議,也是第一個真正意義上的n 選1 不經意傳輸協議。 我們的方案就是基于Naor 方案進行設計的,理論上對Naor 方案進行了m次的復用并加以改進,但我們的初始化次數與傳輸階段只執行一次,因此整個傳輸過程僅需進行兩次信息的傳遞,而不是2m次,同時也避免了多次的初始化,增加計算量與通信負擔,使其不較為刻板。

在Naor 提出他的n 選1 不經意傳輸協議之后,Tzeng[10]也提出了一個方案基于Diffie-Hellman 假設的n 選1 不經意傳輸協議,但他省去了初始化階段,相反地導致他的傳輸階段效率大大降低,比Naor 的還要低,同理在一定的條件下也要低于我們的權重型n 選1 不經意傳輸協議。

葉君曜等人[11]提出了可復用的基于門限思想的n 選1 不經意傳輸協議,同樣僅僅進行一次初始化即可完成多次的復用,他的安全性來自于shamir 門限方案的安全性。 在方案的效率通用性上,我們對其的傳輸階段輪數、是否初始化、安全性基礎以及相應功能做了簡單的對比,見表2。

表2 權重型方案與其他方案的對比

接下來我們將對我們的權重型n 選1 不經意傳輸協議、Naor 方案、Tzeng 方案以及葉君曜方案在協議的計算量與通信量上進行對比分析。表3 給出了初始化階段的各方案在計算量和通信量上的對比、表4 給出了傳輸階段的各方案在計算量和通信量上的對比。

表3 初始化階段

表4 傳輸階段

由此可見,我們的權重型n 選1 不經意傳輸協議初始化階段的計算量和通信量并沒有變化,并且小于葉君曜方案。

由此可見,傳輸階段即使因為實現以可變化的權重獲取信息的功能而增加了通信量,但是在一定的條件下,即素數q p的情況下,我們的協議在傳輸階段的通信量是明顯小于葉君曜和Tzeng 方案的,因此我們的協議效率也是明顯要高于他們的。

7 權重型n 選1 不經意傳輸舉例

在本節中,將用一個例子來解釋權重型n 選1 不經意傳輸協議。

例:假設Alice 有9 個秘密消息(M0,M1,…,M8),Bob 想以1/3 的權重獲得第7 個消息M6。

初始化:Alice 選擇8 個隨機常量C1,…,C8,隨機數r,并計算gr,(Ci)r,1 ≤i≤8。 將C1,…,C8和gr發送給Bob;

傳輸階段:

(1)Bob 選擇3 個隨機數k1,k2,k3, 并計算以及與之相對應的

圖3 3 × 9 的加密參數矩陣

Alice 選擇隨機字符串R, 計算H(()r,R,i,j)⊕生成3× 9 的加密消息矩陣,將其和R發送給Bob;加密消息矩陣如圖4。

圖4 3 × 9 的加密消息矩陣

(3) Bobs 選擇j= 2, 又已知()r=(gr)k2、R、i= 6,因為j=j*。 因此成功以1/3的權重解密第7 個消息M6。

通過舉例,我們可以總結出:本協議通過靈活的變形成功實現了以一定權重成功獲取秘密消息的功能,以此我們可以推廣應用到現實生活的多個場景,如不經意的網上訂購,消費者可能不愿意暴露其購買的某些商品( 如某些藥品) ;線上線下購物平臺中,商家設置獎品抽獎環節,可以根據獎品等級高低固定相應權重的數值,等級越高權重越低,等級越低權重越高,同時為了保護中獎顧客的隱私,該協議可保證商家無法得知幾號顧客中了幾號獎品。

8 權重型n 選1 不經意傳輸協議的實現

本節是對前文權重型n 選1 不經意傳輸協議的設計實現,介紹了基于權重型n 選1 不經意傳輸協議的編程實現,主要包括開發工具、運行環境介紹和權重型n 選1 不經意傳輸協議的功能實現。

8.1 開發工具及運行環境

本協議的實現采用IntelliJ IDEA Community Edition 2020.3.1 x64 作為技術平臺與開發工具。

本程序在jdk1.8.0_131 版本、Windows 環境下運行。

8.2 權重型n 選1 不經意傳輸協議功能模塊

本小節主要介紹權重型n 選1 不經意傳輸協議實現的各功能模塊和相關的功能測試。

8.2.1 測試功能模塊

我們Alice 的消息合集和Bob 的選擇以及權重等參數的設置均是在次模塊進行。 如圖5所示,我們的消息合集為{2018,2019,2020,2021,2022},也就是n=5,Bob 的選擇σ=5,權重的設置為1/m= 1/2,選擇j= 2。

圖5 測試功能的參數設置

8.2.2 發送方功能模塊

我們通過for 循環生成了隨機常量C1,C2,…,CN-1和gr,如圖6 所示。

圖6 初始化隨機常量的生成

如圖7 所示,該部分完成了發送方的系列加密。 具體加密細節請見4.4 中傳輸階段的第2步。 最終發送方通過計算H(()r,R,i,j) ⊕來加密每個。

圖7 發送方進行加密

8.2.3 接收方功能模塊

如圖8 所示,該部分完成了接收方m個隨機數kj(j=1,2,…,m)和相應的m個=gkj(j= 1,2,…,m)的設置。 具體細節請見章節4.4中傳輸階段的第1 步。

圖8 接收方對 = gkj 的準備

如圖9 所示,該部分完成了接收方計算解密 密鑰(gr)kj= ()r。

圖9 接收方計算解密密鑰(gr)kj = ()r

如圖10 所示,該部分通過對H(()r,R,σ,j) 的計算完成了對秘密消息的解密。 具體細節請見章節4.4 中傳輸階段的第3 步。

圖10 接收方對自己的選擇進行解密

8.3 功能測試

Alice 持有消息集 {2018,2019,2020,2021},共有4 個秘密消息,也就是n= 4。

Bob 的選擇σ= 2,也就是他的選擇是m2={2019}。

接下來Bob 設置權重為1/m= 1/3,同時選擇j= 1。

根據協議等價于Bob 通過計算H(()r,R,2,1) ⊕來進行解密。 解密結果如圖11 所示,成功以1/3 的權重恢復該秘密消息。

圖11 Bob 成功恢復秘密信息

此時Bob 設置同樣權重為1/m= 1/3,但選擇j= 2。

根據協議等價于Bob 通過計算H(()r,R,2,2) ⊕來進行解密。 解密結果如圖12 所示,未通過1/3 的權重成功恢復該秘密消息。

圖12 Bob 未成功恢復秘密信息

Alice 持有消息集{2018,2019,2020,2021,2022},共有5 個秘密消息,也就是n= 5。

Bob 的選擇σ= 5,也就是他的選擇是m5={2022}。

接下來Bob 設置權重為1/m= 1/2,同時選擇j= 1。

根據協議等價于Bob通過計算H((r,R,5,1) ⊕來進行解密。 解密結果如圖13 所示,成功以1/2 的權重恢復該秘密消息。

圖13 Bob 成功恢復秘密信息

此時Bob 設置同樣權重為1/m= 1/2,但選擇j= 2。

根據協議等價于Bob 通過計算H(()r,R,5,2) ⊕來進行解密。 解密結果如圖14 所示,未通過1/2 的權重成功恢復該秘密消息。

圖14 Bob 未成功恢復秘密信息

9 結束語

通過對已有的不經意傳輸協議概念的研究,提出了權重型的不經意傳輸協議,使接收方可以選擇一定的權重獲得自己需要的秘密消息,并對Naor 的n 選1 不經意傳輸協議進行研究,給出了具體的權重型n 選1 不經意傳輸協議設計方案及分析,包括正確性、安全性、不經意性分析和對比分析,滿足了我們在復雜的網絡中根據實際需要靈活變化和調整, 更好地適應目前復雜網絡環境中不經意傳輸協議的信息傳輸需求。 最后,我們還進行了權重型n 選1 不經意傳輸方案的編程實現和相關測試,證明了權重型n 選1 不經意傳輸在未來應用方面的可能性。