概率型2 选1 不经意传输协议的方案设计*

张艳硕, 赵瀚森, 陈辉焱, 杨亚涛

1. 北京电子科技学院 密码科学与技术系, 北京100070

2. 密码科学技术国家重点实验室, 北京100878

3. 北京电子科技学院 电子与通信工程系, 北京100070

1 引言

不经意传输协议(oblivious transfer, OT)[1], 是密码学的一个基本协议, 是一种可保护隐私的双方通信协议, 通信双方可以以一种模糊化的方式传送消息. 他使得服务的接收方以不经意的方式得到服务发送方输入的某些消息, 这样就可以在保证接收者在不知道发送者隐私的前提下, 保护接受者的隐私不被发送者所知道. 因此不经意传输协议也经常作为一种基本的密码模块来实现许多密码协议的构造, 如安全多方计算、零知识证明和电子合同等.

不经意传输协议最初是由Rabin[2]在1981 年提出的, 在Rabin 的方案中实现了1 选1 不经意传输协议, 接收方有50%的概率可以成功获取秘密信息, 从此不经意传输协议逐渐成为密码学的一个重要组成部分, 随着学者们的不断深入研究, 不经意传输协议也在不断的发展和完善, 逐渐应用到我们生活的各个领域, 如安全多方计算、电子交易、公平拍卖协议等. 目前, 不经意传输协议主要分为以下四个研究方向:经典1 选1 不经意传输协议[2]、2 选1 不经意传输协议[3]、n 选1 不经意传输协议[4]和n 选k 不经意传输协议[5].

其中, 2 选1 不经意传输协议是由Even[6]在1985 年最先提出的, 并随之涌现出许多基于该协议的研究设计, 如Bellare[7]提出的非交互式2 选1 不经意传输协议、Naor[8]基于Bellare 的协议所提出的改进方案和Huang[9]基于EDDH (extended decisional Diffe-Hellman) 假设而设计出的2 选1 不经意传输协议等等, 均是对2 选1 不经意传输协议的很好的应用扩展.

我们对经典的Even 方案[6]、Bellare 方案[7]和Naor 方案[8]研究后发现, 这三个典型的2 选1 不经意传输协议可以根据接收方成功获取所需秘密信息的概率分为两类: 一类是接收方有50% 的概率可以获取自己所需的秘密信息, 如Even 方案和Bellare 方案; 另一类是接收方有100% 的概率可以获取自己所需的秘密信息, 如Naor 方案. 因此, 本文分别对Even[6]、Bellare[7]和Naor[8]的2 选1 不经意传输协议进行了一般化推广, 提出了三个接收方可以以一般概率接受信息的概率型2 选1 不经意传输协议,针对三个基本方案中接收方获取信息的概率进行了一般化改进, 使得接收方可以以一定的概率获取信息,且经过分析, 本文所提出的三个概率型2 选1 不经意传输协议方案是安全、可行的. 原来的Even 方案、Bellare 方案和Naor 方案中接收方获取所需信息的概率是固定的, 而在我们所提出的三个概率型2 选1不经意传输协议方案中, 概率可以根据实际需要灵活调整, 可以说, 我们用一种可变换概率的方式将三个经典方案在概率上实现了统一的P =的形式, 而这种形式也就可以实现我们统一的目的——在复杂网络中根据实际需要进行概率的灵活变化和调整, 更好得适应目前复杂网络环境中不经意传输协议的信息传输需求.

2 不经意传输协议

不经意传输协议经过多年的研究发展, 逐渐成为密码学的一个重要组件. 目前不经意传输协议的研究主要分为四类: 经典1 选1 不经意传输协议[2]、2 选1 不经意传输协议[3]、n 选1 不经意传输协议[4]和n 选k 不经意传输协议[5], 这四类不经意传输协议在后续的研究中均有很大的进展.

经典1 选1 不经意传输协议在1981 年由Rabin[2]第一次提出, 在Rabin 的方案中, 接收方有50%的概率可以成功获取发送方所持有的唯一的秘密信息, 且发送方并不知道接收方到底是否得到了秘密信息, 此方案是基于二次剩余计算的. 在2009 年, 郑天翔等人[3]将Rabin 方案中的二次剩余替换成三次剩余, 对Rabin 方案进行了改进.

2 选1 不经意传输协议首先由Even[6]在1985 年提出, 是结合电子商务通信时代的背景所构建的一种通信协议, 这种方案是由发送方向接收方秘密传送两个秘密消息, 而接收方只能接收其中一个秘密消息,且发送方也不知道接收方所接收的是哪一个秘密消息,这样就保证了双方的隐私性. 1987 年,Goldreich 等人[10]用2 选1 不经意传输协议构造了一种安全多方计算方案; 2008 年, Parakh[11]基于Diffie-Hellman方案, 为实现不经意传输的传统方法提供了一种有用的替代方案; 1989 年, Crépeau 等人[12]用2 选1 不经意传输协议实现了对未察觉电路的评估和比特的公平交换; 1995 年, Stadler 等人[13]基于2 选1 不经意传输协议构造了一种公平的盲签名方案; 1999 年, Naor 等人[14]用2 选1 不经意传输协议构造了一个用于公平安全拍卖的体系结构; 2000 年, Cachin 等人[15]基于2 选1 不经意传输协议实现了一轮的安全多方计算; 2010 年, Jain 等人[16]对Parakh 的2 选1 不经意传输协议进行推广. 在Jain 所提出的协议中, 相关各方不经意地生成Diffie-Hellman 密钥, 然后将它们用于秘密的不经意传输; 2015 年, Kumar等人[17]提出了一种非自适应的, 并且是完全可模拟的2 选1 不经意传输协议方案; 2017 年, Plesch 等人[18]提出了一种更为简化的2 选1 不经意传输协议.

n 选1 不经意传输协议在1986 年由Brassard[4]第一次提出, 通过调用n 次2 选1 的不经意传输协议来实现. 接着, 在1987 年, Brassard[4]进一步改进了n 选1 的方案, 仅需调用log2n 次2 选1 不经意传输协议, 大大提高了协议的效率. 2000 年, Gertner 等人[19]提出了一种分布式n 选1 不经意传输协议; 2004 年, Tzeng 等人[20]基于判定性Diffie Hellman 困难性假设, 设计出了一个新的不经意传输协议;接着在2005 年, 赵春明等人[21]在Tzeng 等人的方案的基础上加以改进, 提出了增强的n 选1 不经意传输协议; 2006 年, 叶君耀等人[22]提出了一个基于门限思想并且可复用的n 选1 不经意传输协议, 在效率方面优于以往的Naor 协议和Tzeng 协议; 2007 年, 朱健东等人[23]在Naor 协议的基础上, 基于现有公钥体制同态性设计出了一个在计算上更简单的不经意传输协议的构造方法; 2007 年, Camenisch 等人[24]基于一些基础的密码学原件设计出了不经意传输协议方案; 2008 年, 张京良等人[25]对Naor 协议进行改进并应用到群签名中; 2019 年, Mi 等人[26]提出了一种基于NTRU 密码原语的更适合在异构和分布式环境中部署的后量子轻量级n 选1 不经意传输协议.

n 选k 不经意传输协议首次提出是在1989 年由Bellare[7]所构建的一类提出非交互式n 选k 不经意传输, 第一次实现了接收方可以一次选择接收多个秘密信息. 1999 年, Naor[5]在2 选1 不经意传输协议的基础上, 提出了一个只针对某种特殊情况可以使用的n 选k 不经意传输协议, 到了2001 年, Naor又接着[8]提出了具有普适性的n 选k 不经意传输协议, 成为以后不经意传输协议研究的基础之一; 2009年, Chang 等人[27]提出一种基于CRT 的鲁棒n 选k 的不经意传输协议; 2014 年, Lou 等人[28]在椭圆曲线密码体制的基础上, 提出了一种新的用于私人信息检索的n 选k 不经意传输协议, 该协议更适合于智能卡或移动设备; 2018 年, Lai 等人[29]提出了一个以最小通讯成本的n 选k 不经意传输方案; 2019年, Dottling 等人[30]提出了一种构造恶意安全的两轮不经意转移的新方法, 在可计算Diffie-Hellman(computational Diffie-Hellman, CDH) 假设或学习等价噪声(Learning Parity with Noise, LPN) 假设下给出了基本OT 的简单构造, 得到了恶意两轮OT 的第一个构造; 2020 年, Goyal 等人[31]给出了三轮不经意传输协议的第一个构造-在普通模型中-基于多项式时间假设, 实现接收者的统计隐私和发送者对抗恶意对手的计算隐私.

3 经典2 选1 不经意传输协议的对比研究

3.1 2 选1 不经意传输协议

2 选1 不经意传输协议是一种能保护通信双方隐私的通信协议, 信息的持有者将自己所拥有的两个秘密信息加密后发送给接收方, 接收方只能成功恢复其中一个消息, 而信息持有者并不知道接收方恢复的是哪一个秘密消息.

本节所列举了三个典型的2 选1 不经意传输协议, 分别是1985 年Even[6]首次提出的2 选1 不经意传输协议、1990 年Bellare[7]提出的非交互式2 选1 不经意传输协议和2001 年Naor[8]针对Bellare方案提出的改进2 选1 不经意传输协议方案, 而这三个方案也是后续2 选1 不经意传输协议的基础, 后续各位学者所提出的各个新的方案及各个领域的应用, 有相当一部分与这三个方案密切相关, 是对这三个方案中的某一个的改进扩展, 因此我们也将基于这三个基础方案进行概率的一般化扩展, 提出三个概率型2 选1 不经意传输协议方案.

3.2 Even 的2 选1 不经意传输协议

3.3 Bellare 的2 选1 不经意传输协议

3.4 Naor 的2 选1 不经意传输协议

3.5 2 选1 不经意传输协议的对比分析

Even 的方案由发送方选取公钥算法和两个随机数发送给接收方, 接收方选择加密密钥k 并用发送方的公钥加密. Bellare 的方案中, 由接收方选取公钥, 两个公钥的乘积固定为C, 且logCg是对接收方保密的, 因此可以使得接收方的选择保密且只能知道其中一个的对应的私钥. Naor 的方案中, 由接收方选取两个公钥, 而接收方只使用一个公钥, 另一个公钥由发送方计算得到.

在Even 的方案中, 接收方随机选择消息序号, 并且最后得到的秘密信息是由通信双方共同决定的, 因此得到自己想要的秘密消息的概率是50%. 在Bellare 的方案中, 由于消息序号是由接收方随机选择的,且方案本身是非交互的, 决定可以获取哪一个消息的只有接收方随机选择的消息序号, 因此接收方得到自己想要的消息的概率为50%. Naor 的方案中, 接收方会按照自己的需求选择消息序号, 因此接收方其实是可以确定能够得到自己想要的信息的. 我们从是否初始化、协议执行轮数、协议安全基础和接收方获取所需信息概率四个方面对三个经典方案进行了对比, 对比结果见表1.

目前, 2 选1 不经意传输协议涉及到许多领域的扩展, 但各个扩展研究主要是基于Even 的2 选1 不经意传输协议、Bellare 的2 选1 不经意传输协议和Naor 的2 选1 不经意传输协议这三个基础的方案,且通过表1 我们发现这三个基础的方案可以依据接收方获取自己想得到的信息的概率的不同而进行分类,一类是接收方可以以50% 的概率获取到自己所需要的信息, 比如Even 方案和Bellare 方案; 另一类是接收方可以以100% 的概率获取到自己所需要的信息, 比如Naor 方案.

表1 三个经典方案的对比Table 1 Comparison of three classical schemes

如果信息的持有者Alice 持有两个秘密消息M0,M1, 而接收方Bob 想要获取其中一个秘密消息Mσ(σ ∈{0,1}), 在经过一系列的加解密与传输过程中, Bob 最终只能获取其中一个秘密消息, 而此时获取的秘密消息可能有两种情况: 一是有50% 的概率是Bob 想获取的消息Mσ, 50% 的概率是另一个消息M1−σ; 二是Bob 一定可以获得其获取的消息Mσ. 但无论是哪种情况, 信息的持有者都无法知道Bob 最终得到了哪一个消息.

就现在的2 选1 不经意传输协议来看, 如果接收方只能以一种固定的概率获取到自己想得到的信息,那么在应用中可能会略显刻板, 应用的场景也会受到一定的限制, 因此我们在Even 方案、Bellare 方案和Naor 方案的基础上, 提出一种可根据现实需求设置接收方接收到自己所需的信息的概率型2 选1 不经意传输协议, 并给出三个对应的方案, 在一些实际的应用中也可以更加灵活.

4 概率型2 选1 不经意传输协议

4.1 概率型2 选1 不经意传输协议定义及性质

2 选1 不经意传输协议作为一种经典的通信协议, 可以很好的保护通信双方的隐私并达成获取信息的目的, 可以应用到一些安全多方计算和部分信息交易中. 但由于接收方接受信息的概率较为固定, 主要分为两种: 一种是以Even 和Bellare 方案为代表的接收方有50% 的概率获取到自己想要的信息, 另一种是以Naor 方案为代表的接收方有100% 的概率获取到秘密信息, 因此在应用方面也较为受限, 因此我们提出一种可根据需求设置接收方成功接收概率的概率型2 选1 不经意传输协议, 在应用中可以更加灵活.

概率型2 选1 不经意传输协议是一种可以保护通信双方隐私、可以使接收方以一定的概率成功从发送方所拥有的两个秘密信息中恢复自己想得到的信息的通信协议.

概率型2 选1 不经意传输协议具有以下基本性质:

(1) 协议的正确性: 这是最基本的属性, 在协议完成后, 接收方可以通过协议以一定的概率正确的得

到自己所选择的消息.

(2) 发送方的隐私性: 在协议完成后, 接收方无法知道除了自己得到的消息的另一个消息是什么.

(3) 接收方的隐私性: 在协议完成后, 发送方不能以任何方式了解接收方恢复了哪条秘密消息.

4.2 基于Even 方案的概率型2 选1 不经意传输协议

本节基于Even[6]的方案提出了一种概率型2 选1 不经意传输协议方案, 方案框架如图1.

图1 基于Even 的概率型2 选1 不经意传输协议Figure 1 Probabilistic 1 out of 2 oblivious transfer protocol based on Even

4.3 基于Bellare 方案的概率型2 选1 不经意传输协议

在本节中基于Bellare[7]的方案提出一种概率型2 选1 不经意传输协议方案, 方案框架如图2.

图2 基于Bellare 的概率型2 选1 不经意传输协议Figure 2 Probabilistic 1 out of 2 oblivious transfer protocol based on Bellare

由于本方案是以经典的Bellare 方案为基础构造的, 实际上, 本节提出的方案是对Bellare 方案的一般化处理, Bellare 方案是本方案的一种特殊情况, 且概率P 中的a 和b 的值可以取任意正整数, 因此可以在实际的应用中根据具体需求灵活的调整接收方获取信息的概率.

4.4 基于Naor 方案的概率型2 选1 不经意传输协议

图3 基于Naor 的概率型2 选1 不经意传输协议Figure 3 Probabilistic 1 out of 2 oblivious transfer protocol based on Naor

4.5 三个概率型方案的概率分析

本节分别基于Even 方案、Bellare 方案和Naor 方案提出了三个概率型2 选1 不经意传输协议. 在Even 方案中, 由于最终接收方获取的信息的消息序号是由接收方和发送方共同决定的, 因此接收方能够获取自己所需的信息的概率为50%; 在Bellare 方案中, 由于接收方并不知道任何和信息有关的内容, 因此在选择消息序号时是随机进行选择的, 所以接收方也只有50% 的概率可以获取自己所需的信息; 而在Naor 方案中, 接收方并不是随机选择的消息序号, 因此接收方有100% 的概率可以获取自己所需的信息.

而在上述概率型2 选1 不经意传输协议中的概率P 可以认定为的形式, 其中a, b 是可以取任意正整数的, 因此, 在本文提出的概率型2 选1 不经意传输协议中, 接收方成功接收自己所需的秘密信息的概率可以根据实际应用的需要, 在50% 到100% 的概率范围中进行适当的调整, 以实现在应用中更加的灵活多变.

对于概率P 可取的范围为50% 到100%, 在这里作补充说明. 若接收方想以概率P 获取秘密信息Mj, 那么对于另一个秘密信息的获取概率为1 −P, 此时, 若概率P 小于50%, 则可以将两个秘密信息的获取概率互换, 即令P′=1 −P, 实现获取秘密信息Mj⊕1的概率为50% 到100% 之间.

实际上, 我们在本节所提出的三个概率型2 选1 不经意传输协议分别是Even 方案、Bellare 方案和Naor 方案的一般化扩展, 而Even 方案、Bellare 方案和Naor 方案也分别是三个概率型2 选1 不经意传输协议的一种特殊情况.

而原来的Even 方案、Bellare 方案和Naor 方案由于接收方获取所需信息的概率不同被分为两大类,分别为50%和100%的概率,而在我们所提出的三个概率型2 选1 不经意传输协议方案中,概率可以根据实际需要灵活调整,可以说,我们用一种可变换概率的方式将三个经典方案在概率上实现了统一的P =的形式, 而这种形式也就可以实现我们统一的目的——根据实际应用的需要进行概率的灵活变化.

5 概率型2 选1 不经意传输协议方案分析

5.1 概率型2 选1 不经意传输协议方案正确性

在基于Even 方案的概率型2 选1 不经意传输协议中, 任意可交换公钥密码均满足Ex(Dx(k)) =Dx(Ex(k))=k, 且在该协议中, 接收方可以成功恢复秘密消息也是基于上述性质.

对于基于Naor 方案的概率型2 选1 不经意传输协议来说, 方案中的随机预言机可以被认定为一个理想的哈希函数, 只有当完全知道了哈希函数加密的数据后, 才可以对哈希函数进行计算.

定理3 对于H((PKi)r,R,i) 来说, 当且仅当知道了PKi和i 的值才可以成功计算结果.

对于基于Naor 方案的概率型2 选1 不经意传输协议来说, Bob 在接收到b −1 个加密的结果后, 由于只有Bob 自己知道自己选择的消息序号是多少, 因此Bob 可以成功得出H((PKσ)r,R,σ) 的值, 之后找到σ 对应的加密结果, 并将H((PKσ)r,R,σ) 和该加密结果进行模加, 便可以成功恢复信息mσ.

5.2 概率型2 选1 不经意传输协议方案安全性

由于上文所描述的三个概率型的不经意传输协议方案均是经典的2 选1 不经意传输协议方案的一个推广改进, 因此这三个概率型不经意传输协议的方案在安全性上和3 个对应的经典2 选1 不经意传输协议的方案是等同的.

对于基于Even 方案的概率型2 选1 不经意传输协议来说, 传输过程中均没有明文直接传输秘密信息, 且使用了发送方的公钥加解密系统, 因此即使截获了传递的信息也无法成功得到秘密信息. 且在该方案中由发送方选取公钥的加解密系统和两个随机数, 由接收方选择加密密钥k, 用发送方公钥加密后再用接收到的随机数对加密后的k 进行盲化. 发送方去盲化后解密得到b −1 个加密密钥, 其中只有一个是真正的加密密钥k, 可以使发送方的安全性得到保证. 同时, 由于最后接收方真正获取的秘密信息序号由发送方和接收方分别所选择的随机数s 和r 共同决定, 因此接收方的隐私性也可以得到保证. 除接收方成功恢复的消息外, 其他消息接收方并不知道对应k′的值, 因此无法得知其他消息, 保证了发送方的隐私.

对于基于Bellare 方案的概率型2 选1 不经意传输协议来说, 由于协议本身是非交互的, 且在仅有的一次信息传递过程中实际上是由接收方的公钥进行加密后传输的, 因此方案的安全性可以得到保障. 接收方在协议结束后可以得到秘密信息si, Diffie-Hellman 假设意味着接收方无法计算其他的γ 的值, 也就无法成功恢复除秘密信息si以外的其他秘密信息, 保证了发送方的隐私性. 同时由于其非交互的特点, 接收方从未向发送方发送任何消息, 因此接收方的隐私性也得到了保障.

对于基于Naor 方案的概率型2 选1 不经意传输协议来说, 在传输过程中存在随机预言机, 因此第三方即使获取到传递的密文也是难以成功恢复秘密信息的. 在证明发送方的安全性时, 使用随机预言机模型,在CDH 假设下可以证明发送方的安全性. 接收方将PK0发送给发送方后, 发送方无法根据PK0计算得出Cσ, 也就无法得知接收方的选择. 由于接收方只能计算得到PKσ这一个解密密钥, 无法得到其他的解密密钥, 因此也就无法成功解密除了自己选择的其他消息.

5.3 概率型2 选1 不经意传输协议方案效率

基于Even 方案的概率型2 选1 不经意传输协议总共需要进行三次信息传递才可完成协议, 而由于基于Naor 方案的概率型2 选1 不经意传输协议有初始化阶段, 且初始化阶段承担了了较大的计算量和部分传输过程, 因此在传输阶段仅需进行两次信息传递. 但也因为初始化阶段, 使基于Naor 方案的概率型2选1 不经意传输协议较为刻板, 一次初始化只能应用于本次的协议, 对于多个协议则需要多次初始化, 会增加计算量和通信负担. 而基于Bellare 方案的概率型2 选1 不经意传输协议, 由于方案本身是非交互的,因此只需进行一轮信息传递.

近来, 还有其他的一些不经意传输协议方案被提出, 如石润华等人[32]提出了一种具有统计特性的不经意传输协议方案; 刘沫萌[33]提出了UC 通用的不经意传输协议框架. 在方案效率通用性上, 我们对这些方案在传输阶段轮数、安全性和功能进行了简单的对比, 见表2.

表2 概率型方案与其他方案的对比Table 2 Comparison between probabilistic schemes and other schemes

提出的概率型2 选1 不经意传输协议相较于一些不经意传输协议的通用模型来说, 如Dottling等人[30]所提出的在计算Diffie-Hellman 假设或LPN 假设下给出的基本不经意传输协议的简单构造;Branco 等人[34]提出了一个高效且通用的、用于使用一轮密钥交换的不经意传输框架; Choi 等人[35]研究了出了高效的、使用最少数量的无状态令牌的通用可组合的不经意传输协议; Benhamouda 等人[36]提出自适应安全的不经意传输协议的通用可组合性框架; Blazy 等人[37]从抗碰撞Chameleon 哈希方案(Chameleon hash, CH) 和光滑投影散列函数(smooth projective hash function, SPHF) 的CCA 加密方案出发, 构造了一个完全通用的UC 安全不经意传输方案等; 上述的方案均可以更好的适用于多种协议方案的构造, 但仅在2 选1 不经意传输协议的应用方面, 我们所提出的概率型2 选1 不经意传输协议则可以更好的应用于多个实际应用中. 概率型方案与其他方案的具体概率对比见表2.

在方案的代码实现方面, 对代码效率简单分析后得到, 基于Even 方案的概率型2 选1 不经意传输协议中, 每次执行协议时, 接收方需要进行1 次公钥加密运算(具体运算规则可根据发送方的选择变化), 发送方则需要进行1 次对应的解密运算; 而基于Naor 方案的概率型2 选1 不经意传输协议在初始化阶段,发送方需要进行b 次模幂运算. 在传输阶段, 接收方要进行2 次模幂运算, 1 次模除, 1 次随机预言机计算,发送方则需要进行b 次模幂, b −1 次模除, 1 次随机预言机计算; 基于Bellare 方案的概率型2 选1 不经意传输协议在初始化阶段中接收方需要进行1 次模幂, b −1 次模除. 在传输阶段, 发送方要进行2b 次模幂运算, 接收方只需要1 次模幂运算. 而除了上述所提到的运算外, 其他的运算如模加等, 基于目前的运算能力来说是轻量级的.

5.4 概率型2 选1 不经意传输协议方案比较

所提出的概率型2 选1 不经意传输协议均具备协议的正确性. 基于Naor 方案的概率型2 选1 不经意传输协议是针对Naor[8]的2 选1 不经意传输协议进行的概率化改进, 基于Bellare 方案的概率型2选1 不经意传输协议是针对Bellare[7]的2 选1 不经意传输协议进行的概率化改进, 基于Even 方案的概率型2 选1 不经意传输协议是针对Even[6]的2 选1 不经意传输协议进行的概率化改进. 三个方案中的接收方都可以以一定的概率来成功恢复秘密信息, 且都是通过发送方对两个秘密信息进行复制, 设置秘密信息M0和M1的个数来实现概率获取信息.

本文所提出的概率型2 选1 不经意传输协议均具备协议的安全性, 且信息传递次数均和原始方案保持一致. 基于Naor 方案的概率型2 选1 不经意传输协议由于有初始化阶段的存在, 因此通信双方之间的传递只需进行两次; 基于Bellare 方案的概率型2 选1 不经意传输协议本身就是非交互式的, 因此只进行一次信息传递; 基于Even 方案的概率型2 选1 不经意传输协议则需要进行三次通信双方之间的信息传递. 基于Naor 方案的概率型2 选1 不经意传输协议中接收方将加密密钥用公钥加密后再用随机数进行盲化, 发送方在去盲化再解密后, 得到的明文中只有一个是加密密钥, 因此保证了发送方的安全性; 基于Even 方案的概率型2 选1 不经意传输协议中则采用了随机问答机, 在CDH 的假设下证明了发送方的安全性.

概率型2 选1 不经意传输协议在复杂网络下的电子信息交易中可以有很好的应用: 当信息的持有者拥有两个秘密信息, 而信息购买者对其中的一个秘密信息感兴趣, 但是购买欲望不是很强时, 便可以通过使用概率型2 选1 不经意传输协议来达成交易: 接收方根据自己的购买欲望来选择对应的获取概率, 同时发送方根据接收方所选择的概率进行降价处理.

例如, 信息的持有者拥有秘密信息M0和M1, 而购买者想得到秘密信息Mj, 且选择的获取概率为P,若概率P 小于50%, 则可以认为购买者所选择的获得秘密信息Mj⊕1的概率P′=1 −P, 此时可以将获得秘密信息Mj⊕1的概率P′告知信息持有者; 若概率P 大于50%, 则直接将获取秘密信息Mj的概率P 告知信息持有者. 这样一来信息的持有者并不知道购买者真正想获得的是哪一个秘密信息.

而对于本文所提出的三个概率型2 选1 不经意传输协议来说, 基于Even 的概率型方案的安全性取决于所选公钥系统的安全性, 基于Bellare 的概率型方案的安全性是基于协议本身的非交互性, 基于Naor的概率型方案的安全性取决于方案中的随机预言机, 对于这三个安全基础而言, 后两者在安全性的方面略强于基于Even 的概率型方案, 但理想的随机预言机要求是一个无限大的函数, 要想达到理想条件是较为困难的. 而除了基于Even 的概率型方案外, 另外两个方案都需要进行有一定计算量的初始化阶段, 而为了安全性, 一次的初始化只能用于本次的协议执行中, 因此若想执行多次协议, 基于Even 的概率型协议的效率略高于另外两个协议. 因此在实际的应用中, 若更注重协议效率且需要执行多次的话, 基于Even 的概率型协议更好一些, 若更注重安全性, 则基于Bellare 的和基于Naor 的概率型协议更好一些.

从是否初始化、协议执行轮数、协议安全基础和应用范围四个方面对三个概率型2 选1 不经意传输协议进行了对比, 对比结果见表3.

表3 概率型方案对比Table 3 Comparison of probabilistic schemes

6 总结

通过对Even[6]方案、Bellare[7]方案和Naor[8]方案的研究, 我们发现这三种经典的2 选1 不经意传输协议在执行时, 接收方只能以50% 或100% 的概率获取自己所需的秘密信息, 而考虑到网络环境的复杂性, 对概率型2 选1 不经意传输协议提出了严格的定义. 在Even[6]方案、Bellare[7]方案和Naor[8]方案的2 选1 不经意传输协议的基础上, 提出了三个接收方以一般概率接受信息的概率型2 选1不经意传输协议, 对原始的典型方案中接收方获取信息的概率只能是50% 或者100% 的情况进行了推广,可以实现接收方以任意概率成功接收秘密信息.