一种可验证分布式非法传输的解决方案.docxVIP

一种可验证分布式非法传输的解决方案 0 分布式不法传输协议 1981年，ra斌首次提出了不遵守条约的协议。此后，ot协议也出现了几种形式。1985年，even等人提出了两个不遵守条约的协议。1986年，brysar、crepeau和罗伯特提出了n-1的不遵守条约的概念。2001年，naor等人描述了n检验不遵守条约的协议的具体说明，这也是所有不正当的协议中最常见的形式。目前, OT协议已成为密码学的一个基础本原知识和基本模块, 在信息挖掘、数据库访问、电子合同、安全多方计算等许多密码协议中都有着举足轻重的作用。 然而, 随着网络技术的飞速发展, 各种信息系统得到广泛应用的同时, 也变得日益复杂起来, 在庞大的待处理的信息面前, 集中式计算渐露疲态, 分布式计算应运而生。因此, 不经意传输协议也逐步拓展到分布式环境中, 解决了OT协议中计算复杂度高、效率低、带宽消耗高等问题。文献提出了分布式不经意传输协议, 即S持有n条消息,R期望得到其中的某一条, 但S和R并不直接交互, 而是由m个代理服务器实现与R的不经意传输, 且S在初始化协议之后, 就下线不再与R进行任何通信, 各个服务器之间也互不通信。Naor和Pinkas的基本思想是把秘密共享应用于不经意传输中, 并给出了基于多项式插值的 (k,m) -DOT2121方案;文献从信息论的角度定义了正确且保密的 (k, m) -DOTn1n1协议, 并在文献的基础上给出了基于多项式插值的 (k, m) -DOTn1n1方案和基于一般接入结构的 (k, m) -DOTn1n1方案;文献提出了对于一般安全参数的信息论定义的分布式不经意传输协议, 并扩展了文献中基于多项式插值的结果;文献提出了基于可验证秘密共享的2取1的可验证分布式不经意传输方案 (VDOT2121) 。 目前普遍存在的分布式不经意传输协议方案, 存在着以下两个方面的问题:一方面, 一般情况下, 在一次协议中, 虽然各代理服务器不知道R到底与多少个代理服务器交互过, 但如果不能控制R至多得到k个子秘密, 那么即使协议本身是安全的, 发送方的安全也不能保障。针对上述问题, 在文献中给出了km/2情况下的解决方案, 而在文献中则是令k=m回避了此问题。另一方面, 为了便于安全性分析, 通常假定所有的代理服务器都是半可信的, 但如果存在某些恶意的代理服务器, 那么将会导致接收者重构出错误的消息。针对这些恶意的代理服务器, 文献仅给出了VDOT2121的解决方案。 本文针对上述两个问题, 在VDOT21的基础上提出了VDOTn1方案, 该方案除了具备一般分布式不经意传输协议的特点外, 还具备以下优点: (1) 接收者R可以与所有的服务器进行交互, 避免了一般方案中对门限值k的限制; (2) 接收者R可以验证所有消息的正确性, 避免了恶意的代理服务器通过某些手段造成对其隐私的危害, 如:篡改某个消息的秘密份额并监听该篡改行为是否会被发现等等。 1 代理服务器秘密共享方案的可公开验证 首先, 我们对一般形式的ElGamal加密方案做了一些扩展, 具体描述如下: 令A、B为加密方案的参与双方。A随机选取两个大素数p,q, 使之满足等式p=2q+1,g是有限域Gq上的生成元, 选取β∈[0,q-1]和u,u0, …,un-1∈Gq, 使之满足u=u0, …,un-1,uσ=1, 并计算Gσ=uσg(n-1)β,Gi=ui/gβ(0≤i≠σ≤n-1) , 发送 (G0, …,Gn-1,u) 给B, 并用零知识证明可以计算出loggG0, …, loggGn-1中的某一个。 B验证A的零知识证明是否有效,u是否在有限域Gq上, 及等式u=G0, …,Gn-1是否成立, 若上述均成立, 则B响应n条加密的消息ˉsi=siGki, 其中k∈[0,q-1]是其私钥, 计算并公布其公钥K=gk;否则, 终止协议。 由于Gkσ= (g(n-1)β)k=K(n-1)β, 故当A收到B发送的加密消息后, 可以解密出sσ=ˉsσ/Κ(n-1)β;又由于A不能计算出loggGb(0≤b≠σ≤n-1) , 故无法解密出sb。 其次, 为了重构正确的消息sσ,R必须能够检测所有的代理服务器是否对秘密份额进行了篡改。本文借助于文献中提到的可公开验证的秘密共享方案, 以解决上述问题。它是一个不需要可信机构参与的非交互式的可验证秘密共享方案, 我们只需采用上述方案的秘密分发阶段和秘密重构阶段即可, 其主要思想为:能够验证秘密份额的一致性, 更确切的说, 假定 (x1, …,xm) 是在秘密分发阶段分发给各个代理服务器的某条消息的秘密份额, 则在秘密重构阶段, 一定存在∏j∈Jxj∏i≠jl∈Jj-li-l=xi, 其中J是一个选定的集合, 且|J|=t,i?J。 本文