基于秘密共享的分布式廣義不經(jīng)意傳輸協(xié)議

解咪咪，廖曉峰，周 慶

?

基于秘密共享的分布式廣義不經(jīng)意傳輸協(xié)議

解咪咪，廖曉峰，周 慶

(重慶大學(xué)計算機學(xué)院，重慶 400044)

對不經(jīng)意傳輸進行分布式設(shè)置可以更好地保障發(fā)送方的安全以及秘密消息的可達性。為此，提出一種基于秘密共享的分布式廣義不經(jīng)意傳輸協(xié)議，允許用戶按發(fā)送方設(shè)定的特殊規(guī)則選擇并獲取一個合法的秘密消息集合。應(yīng)用廣義秘密共享接入結(jié)構(gòu)的補集設(shè)置消息的檢索規(guī)則，通過對多項式的構(gòu)建以及重構(gòu)實現(xiàn)協(xié)議的分布式特性。發(fā)送者根據(jù)加密消息、密鑰以及校驗值產(chǎn)生 3個對應(yīng)的多項式，并將多項式分配給多個服務(wù)器，用戶通過與一定數(shù)目的服務(wù)器通信獲取所需信息。分析結(jié)果表明，該協(xié)議易于實現(xiàn)、計算簡單，同時具有較高的通信效率和安全性。

不經(jīng)意傳輸；秘密共享；分布式模型；廣義模型；檢索結(jié)構(gòu)；接入結(jié)構(gòu)

1 概述

不經(jīng)意傳輸[1]是一個雙方密碼學(xué)原語，被研究者應(yīng)用于密碼學(xué)協(xié)議的構(gòu)建中[2]，如比特檢驗、零知識證明和多方計算協(xié)議等[3]。隨著網(wǎng)絡(luò)的發(fā)展，不經(jīng)意傳輸協(xié)議變得愈加重要，在實踐中被廣泛應(yīng)用[4]。不經(jīng)意傳輸受到越來越多研究者的關(guān)注，許多新的不經(jīng)意傳輸協(xié)議被提出[5-6]。

在文獻[1]協(xié)議中，Alice持有一條消息，她與Bob協(xié)商傳遞此消息。最終的結(jié)果是Bob或者獲得了這條消息或者沒有獲得。2個事件的概率相等，均為1/2，同時，Alice無法獲知Bob是否獲得了此消息。隨后，1取2、1取和取[7]的協(xié)議接連被提出。在取不經(jīng)意傳輸協(xié)議中，Alice持有個秘密消息，Bob只能從這個秘密消息中選取個秘密消息與Alice協(xié)商獲取。最終，Alice對于Bob的選擇毫不知情，而Bob只能獲得他要求的個消息。分布式不經(jīng)意傳輸協(xié)議將Alice的角色分發(fā)給幾個服務(wù)器，Bob通過與一定數(shù)目的服務(wù)器通信獲得需要的消息。分布式的模型使協(xié)議變得更加安全和靈活。比如在不經(jīng)意傳輸應(yīng)用中，假如發(fā)送者不在線，那么用戶就無法請求獲取信息。而如果發(fā)送者被攻擊成功的話，那么它持有的所有消息都會暴露。而在分布式模型下，只要服務(wù)器運行，即使Alice不在線，協(xié)議也可以進行。不經(jīng)意傳輸?shù)姆植际侥Ｐ徒夥帕税l(fā)送者。發(fā)送者無需保持在線，用戶只需與一定數(shù)目的在線服務(wù)器通信來獲取信息。與非分布式模型相比，在分布式的設(shè)置下，攻擊者需要攻擊多個服務(wù)器而不是單個發(fā)送者才能竊取信息，更好地保障了消息的安全。文獻[8]則實現(xiàn)了取的分布式不經(jīng)意傳輸協(xié)議。

在取不經(jīng)意傳輸協(xié)議被提出之后，文獻[9]提出了廣義不經(jīng)意傳輸協(xié)議，即Alice預(yù)先規(guī)定幾個消息子集，每個子集中的消息數(shù)量不等，Bob只能從這幾個子集中選擇一個子集請求獲取消息。廣義不經(jīng)意傳輸在現(xiàn)實中有很多重要的應(yīng)用。如在電子商務(wù)中，假如Alice想要從商店購買一些物品，卻不愿透露自己所買的物品名稱，而店主想要確認(rèn)Alice買的所有物品的總價格不超過一定數(shù)目。這種情況只需要將價格不超過一定數(shù)目的物品組合規(guī)定為合法消息子集，即可通過廣義不經(jīng)意傳輸模型簡便實現(xiàn)。

本文研究廣義的分布式不經(jīng)意傳輸協(xié)議，基于廣義秘密共享模型實現(xiàn)廣義不經(jīng)意傳輸協(xié)議的分布式模型構(gòu)建，并通過分析證明該協(xié)議是安全、高效的。

2 相關(guān)概念

2.1 檢索結(jié)構(gòu)

2.2 接入結(jié)構(gòu)

2.3 廣義不經(jīng)意傳輸?shù)姆植际侥Ｐ?/h3>

廣義分布式不經(jīng)意傳輸將發(fā)送者的角色分配給了多個服務(wù)器，發(fā)送者根據(jù)所持有的消息確定一個檢索結(jié)構(gòu)，用戶通過與固定數(shù)目的服務(wù)器通信獲取檢索結(jié)構(gòu)中的一個消息集合。具體模型如圖1所示。

圖1 不經(jīng)意傳輸?shù)姆植际侥Ｐ?/p>

一個分布式不經(jīng)意傳輸協(xié)議包含3個參與方和2個階段。安全的分布式不經(jīng)意傳輸協(xié)議要滿足多個安全條件。

(1)參與方

(2)協(xié)議構(gòu)建

分布式協(xié)議包含構(gòu)建階段和傳遞階段：

1)構(gòu)建階段(發(fā)送者和服務(wù)器)：發(fā)送者按一定的方法將所持秘密消息份額分配給個服務(wù)器。

2)傳遞階段(服務(wù)器和用戶)：用戶與固定數(shù)目的服務(wù)器通信來獲取持有消息的一個消息子集。

(3)安全屬性

分布式不經(jīng)意傳輸協(xié)議必須滿足一般不經(jīng)意傳輸協(xié)議的安全要求，同時由于其分布式設(shè)置也要滿足一些附加的安全條件：

1)正確性：如果用戶和個誠實的服務(wù)器中的個通信并且正確履行協(xié)議，那么用戶可以正確獲取他所選集合的消息。

2)發(fā)送者的安全：如果服務(wù)器誠實履行協(xié)議，那么用戶不能獲得所選消息之外的任何消息。另外，少于個服務(wù)器聯(lián)合攻擊不能重構(gòu)任何發(fā)送者持有的消息。

3)用戶的隱私：少于個服務(wù)器聯(lián)合攻擊也不能獲悉用戶對于秘密消息的選擇。因為發(fā)送者在整個協(xié)議的傳遞階段都沒有參與，所以發(fā)送者絕不可能獲取用戶對于秘密消息的選擇消息。

3 本文協(xié)議

3.1 協(xié)議原理

3.2 協(xié)議描述

然后設(shè)置：

(1)構(gòu)建階段(發(fā)送者和服務(wù)器)

1)生成3個多項式

2)多項式分配

(2)傳遞階段(用戶和服務(wù)器)

在協(xié)議的傳遞階段，用戶需要和服務(wù)器進行2輪通信。

第1輪：

1)選擇消息和服務(wù)器

2)產(chǎn)生請求消息

第2輪：

1)恢復(fù)校驗值

3)密鑰傳遞

4)恢復(fù)請求的消息

4 安全性和效率分析

4.1 協(xié)議安全性

從用戶、發(fā)送方2個方面討論本文協(xié)議的安全性。

1)在傳遞階段第1輪結(jié)束時，由于接入結(jié)構(gòu)的完美性，僅當(dāng)用戶按照協(xié)議選擇合法的消息集時才能重構(gòu)校驗值。在第2輪中，僅當(dāng)校驗值正確時，服務(wù)器才會返回密鑰。因此，當(dāng)用戶選擇的消息集不屬于檢索結(jié)構(gòu)時，用戶無法獲得密鑰，也無法恢復(fù)秘密消息。

4.2 協(xié)議效率

本節(jié)討論協(xié)議的存儲和通信效率。假設(shè)協(xié)議存在一個完美的秘密共享接入結(jié)構(gòu)，那么由這個秘密共享模型產(chǎn)生的共享份額和秘密消息的大小相同。

5 結(jié)束語

分布式不經(jīng)意傳輸在在線應(yīng)用中扮演著非常重要的角色，與傳統(tǒng)的不經(jīng)意傳輸相比，分布式的設(shè)置可以更好地保障發(fā)送方的安全以及秘密消息的可達性。本文提出廣義不經(jīng)意傳輸?shù)姆植际絽f(xié)議，將發(fā)送者的角色分配給多個服務(wù)器，只要一定數(shù)目的服務(wù)器在線，不經(jīng)意傳輸協(xié)議即可進行。協(xié)議應(yīng)用廣義秘密共享模型和檢驗值設(shè)置實現(xiàn)了檢索結(jié)構(gòu)的設(shè)計，又通過構(gòu)建和重構(gòu)多項式實現(xiàn)了發(fā)送者角色的分配以及用戶和服務(wù)器之間的不經(jīng)意傳輸。由于所用方法僅是多項式計算和多項式插值算法，因此協(xié)議計算量和通信負(fù)載都較低。同時，該協(xié)議建立在秘密共享模型的安全條件下，也能較好地保障發(fā)送方數(shù)據(jù)的安全以及用戶的隱私。

[1] Rabin M O. How to Exchange Secrets by Oblivious Transfer[R]. Aiken Computation Laboratory, Tech. Rep.: TR-81, 1981.

[2] Kilian J. Founding Cryptography on Oblivious Transfer[C]// Proc. of the 20th Annual ACM Symposium on Theory of Computing. New York, USA: ACM Press, 1988: 20-31.

[3] Yao A C. Protocols for Secure Computation[C]//Proc. of FOCS’82. [S. l.]: IEEE Press, 1982: 160-164.

[4] 張云鶴, 朱艷琴. 基于價格不經(jīng)意傳輸?shù)碾[私保護交易方案[J]. 計算機應(yīng)用與軟件, 2012, 29(5): 35-37.

[5] 王鳳和, 胡予濮, 劉振華. 格基不經(jīng)意傳輸協(xié)議[J]. 通信學(xué)報, 2011, 32(3): 125-130.

[6] 謝 娟, 朱艷琴, 羅喜召. 基于ECC 簽名的接入控制不經(jīng)意傳輸方案[J]. 計算機工程, 2010, 36(16): 140-142.

[7] Naor M, Pinkas B. Efficient Oblivious Transfer Protocols[C]// Proc. of SODA’01. [S. l.]: ACM Press, 2001: 448-457.

[8] Nanor M, Pinkas B. Distributed Oblivious Transfer[C]//Proc. of ASIACRYPT’00. Heidelberg, Germany: Springer-Verlag, 2000: 205-219.

[9] Ishai Y, Kushilevitz E. Private Simultaneous Messages Pro- tocols with Applications[C]//Proc. of ISTCS’97. [S. l.]: IEEE Computer Society, 1997: 174-184.

[10] BeimelA, Ishai Y. On the Power of Nonlinear Secret- sharing[C]//Proc. of the 16th Annual Conference on Structure in Complexity Theory. Chicago, USA: IEEE Press, 2001: 188-202.

[11] Christian L F, Ghodosi C H.-out-of-Distributed Oblivious Transfer Protocols in Non-adaptive and Adaptive Settings[C]// Proc.of the 8th International Conference on Information Security Practice and Experience. [S. l.]: IEEE Press, 2012: 126-143.

[12] TamirT. Generalized Oblivious Transfer by Secret Sharing[J]. Designs, Codes and Cryptography, 2011, 58(1): 11-21.

編輯 金胡考

Generalized Oblivious Transfer Protocol in Distributed Setting Based on Secret Sharing

XIE Mi-mi, LIAO Xiao-feng, ZHOU Qing

(College of Computer Science, Chongqing University, Chongqing 400044, China)

For oblivious transfer, distributed settings can better protect the safety of the sender and the accessibility of secret message. So this paper presents a generalized oblivious transfer protocol in distributed setting based on secret sharing, which allows a user to select and retrieve a qualified subset of secret messages according to specific rules set by the sender. This protocol combines generalized secret sharing scheme and construction of polynomials, predefines the retrieve rules of messages by introducing the complement of secret sharing access structure and realizes the distributed setting with construction and reconstruction of polynomials. In the phase of construction, the sender builds three polynomials according to the encrypted messages, keys and verification value and sends the polynomials to the participating servers. The user obtains his requested messages by communicating with predefined number of servers. Analysis result indicates that this protocol is easy to implement with low computation complexity and ensures high efficiency and security as well.

oblivious transfer; secret sharing; distributed model; generalized model; retrieve structure; access structure

1000-3428(2014)03-0184-04

A

TP309

重慶市自然科學(xué)基金資助重點項目(2009BA2024)；輸配電裝備及系統(tǒng)安全與新技術(shù)國家重點實驗室自主研究基金資助項目(2007DA10512709207)。

解咪咪(1987－)，女，碩士研究生，主研方向：信息安全；廖曉峰，教授、博士；周 慶，副教授、博士。

2013-02-01

2013-03-09 E-mail：kaixinmier1106@163.com

10.3969/j.issn.1000-3428.2014.03.038