一个通用可组合的多会话不经意传输协议框架.pdf
《一个通用可组合的多会话不经意传输协议框架.pdf》由会员分享,可在线阅读,更多相关《一个通用可组合的多会话不经意传输协议框架.pdf(8页珍藏版)》请在咨信网上搜索。
1、H J S F X Y X B1一一个通用可组合的多会话不经意传输协议框架景建笃(汉江师范学院 数学与计算机科学学院,湖北 十堰 4 4 2 0 0 0)摘 要P e i k e r t等提出的通用可组合的不经意传输协议要求不同的协议实例使用不同的公共参考串,采用C a n e t t i的J U C技术虽然能够一定程度地解决这个问题,但是公共参考串的长度会随着协议实例的增加而线性增长.基于P e i k e r t的双模加密技术,提出了一个多重会话重复使用公共参考串的通用可组合安全的不经意传输协议框架,并给出了基于D DH和D L安全性假设的协议框架的具体实现.关键词 不经意传输;通用可组合
2、安全;公共参考串;S i g m a协议 d o i1 0.1 9 5 7 5/j.c n k i.c n 4 2-1 8 9 2/g 4.2 0 2 3.0 3.0 0 1 中图分类号TN 9 1 8.1 文献标识码A 文章编号2 0 9 63 7 3 4(2 0 2 3)0 30 0 0 10 8 R a b i n1提出的不经意传输(O b l i v i o u st r a n s f e r,O T)协议作为一个基本的密码学原语被广泛使用于两方或多方安全计算协议2,3这种较复杂的密码学协议的构造中.K i l i a n4已证明不经意传输协议是完备的,这意味着给定一个计算不经意传输
3、协议的黑盒,我们能够安全地计算任何函数.一个O T协议,有两个参与者,分别是发送者和接收者.一般地,发送者拥有消息m0和m1,而接收者拥有0,1.协议运行结束后,接收者收到消息m,但不知道m1-,而发送者不知道.这样的O T协议称作O T21(即,2选1).另外,根据发送者持有的消息数和接收者一次获取的消息数不同,还有Z e n g等在文献5中讨论的O Tn1和O Tnh.基于计算复杂性的密码学理论在证明协议安全时所采用的标准方法是源自于G o l d w a s s e r的零知识证明6思想的i d e a l/r e a l模型.在这种模型中,把现实中敌手的攻击归约到有可信第三方参与的理想
4、世界,判断理想世界参与者的输出是否和现实世界参与者的输出计算不可区分.这种定义在有的文献7中被称作全仿真安全.C a n e t t i在文献8中提出了通用可组合的安全 框 架(U n i v e r s a l l y C o m p o s a b l e,U C).U C框架是一种对安全性要求更高的 定义,满足U C安全的协议在和任意的协议并发组合运行时都能保证安全性.C a n e t t i已经证明9,在p l a i n模型下,即不存在初始可信的S e t u p时,不能实现任何理想函数的U C安全协议.U C框架下使用的可信的S e t u p主 要 有,公 共 参 考 串(C
5、o mm o nR e f e r e n c eS t r i n g,C R S),密钥注册1 0和防篡改硬件1 1等.O T协议提出后,由于其重要性,吸引了众多学者的注意.N a o r和P i n k a s1 2使用S C S实现了O T21,C h u和T z e n g1 3使用D D H假设实现了O Tnh,这两个实现都只是半仿真安全7.C a m e n i s c h等1 4使用y-P o w e rD D H和q-S t r o n gD H的实现适应性的O T协议,G r e e n和H o h e n b e r g e r1 5基于D B D H实现了O T21,L
6、 i n d e l l7基于D D H高效地实现了O T21,O s t r o v s k y在文献1 6中提出的黑盒轮最优的机制实现了O T21,他们的实现是全仿真安全.U C安全的不经意传输协议最早的实现是P e i k e r t等人1 7在C R Y P T O2 0 0 8提中出的基于双模加密的两轮协议.在协议的安全证明中,仿真器要根据被攻陷者的2 0 2 3年6月汉江师范学院学报J u n.2 0 2 3第4 3卷第3期J o u r n a l o fH a n j i a n gN o r m a lU n i v e r s i t yV o l.4 3 N o.3 收稿
7、日期2 0 2 2-1 1-2 0 基金项目 湖北省教育厅科学技术研究计划指导性项目“通用可组合安全的不经意传输机制研究”(项目编号:B 2 0 1 8 2 1 0)资助.作者简介 景建笃(1 9 7 4-),男,山西芮城人,汉江师范学院数学与计算机科学学院硕士,副教授,主要从事计算复杂性密码学、安全协议的可组合理论研究.H J S F X Y X B2不同来选择不同的C R S,显然这意味着不同的协议实例使用不同的C R S,当大量的实例并发运行时,为不同的实例选择C R S是一笔不小的开销.也就是说P e i k e r t协议只 是 实 现 了 理 想 函 数FO T.虽 然 采 用C
8、a n e t t i的J U C技术1 8虽然能够一定程度地解决这个问题,但是公共参考串的长度会随着协议实例的增加而线性增长.G a r a y等人1 9采用投币产生C R S的方式解决了P e i k e r t机制中共享C R S的问题,但他们的协议需要五轮.本文仍然是在P e i k e r t论文的基础上,使用双模加密技术,提出了一个U C安全的四轮O T协议实现理想函数FMO T.主要思想是,扩展P e i k e r t的C R S,我们机制中的C R S由两部分组成,这实际上就是给仿真器提供了发送者被攻陷和接收者被攻陷都时能完成仿真所需的陷门.1 基础知识 首先说明文章中的符号
9、表示及其含义.N表示自然数集合;表示选取的安全参数;c表示计算不可区分;s表示统计不可区分;xS表示从S中均匀随机地选取x;对于一个概率算法A,yA(x)表示以r为随机数,x为输入,运行A(x,r)得到输出y.C R S的理想函数表示为FC R S.1.1 U C安全框架 U C框架本质上是一种协议安全性的定义,将挑战协议置于和任意其他协议并发运行的环境中来研究挑战协议的安全性,如果挑战协议被证明是U C安全的,那么挑战协议可以和任意的协议进行组合都达到同样的安全,也就是挑战协议的安全性不再依赖于它的运行环境.在U C框架中,首先要定义一个协议的“理想函数”,然后证明运行在一个给定环境下的这个
10、协议的一个具体实现安全地实现这个理想函数.现实协议的运行涉及的基本实体有:n个协议的参与者P1,Pn,一个敌手A和一个环境Z.在给定敌手A和环境Z的情况下,一个协议的现实运行就是这些实体的活动序列.这里,环境Z首先被激活,给其他的参与者产生特定的输入,然后通过敌手A和参与者及环境Z之间交换消息协议继续运行.最后,环境输Z出一个b i t,这是协议的输出.理想协议是一个分布式算法,它涉及的基本实体有:n个协议的参与者P1,Pn,一个敌手S和一个环境Z,还有一个另外的实体,即理想函数F.本质上,理想函数F是一个不能被攻陷的可信第三方,我们可以对它进行编程以执行给定任务的功能.理想协议中的参与者之间
11、不相互通信,因此被称为哑参与者,这些哑参与者仅仅秘密地提供各自的输入给可信方和秘密地从可信方出得到各自的输出.敌手S仅被允许和理想函数F交互,不和任何参与者交互.和现实协议一样,环境Z也输出一个b i t,它是理想协议的输出.这里R E A L,A,Z(x)表示环境Z、敌手A和现实协议在输入x交互后环境Z输出的随机变量,I D E A LF,A,Z(x)表示环境Z、敌手S和理想函数F代表的协议在输入x交互后环境Z出的随机变量.总体R E A L,A,Z(x)x 0,1*表示为R E A L,A,Z,I D E A LF,A,Zx0,1*表示为I D E A LF,A,Z.U C安全定义:设和F
12、是两个P P T协议.如果有ASZI D E A LF,S,ZcR E A L,A,Z(1)成立,则说U C-e m u l a t e sF.其中,所有的A、S和Z都要求是概率多项式时间的算法.文章中要实现的是一个多会话的O T的理想函数,即现实协议在运行时多个实例可以并发进行,且不是子例程不相关的,即多个实例共用一个C R S.图1给出的是多会话O T理想函数FMO T.其中FMO T发送私有延迟输出(r e c e i v e,s i d,s s i d,Pi,Pj,mb)给S是指,FMO T先发送消息(r e c e i v e,s i d,s s i d,Pi,Pj)给敌手S,在得到
13、敌手的确认 消 息 后,再 把(r e c e i v e,s i d,s s i d,Pi,Pj,mb)发送给接收者Pj.图1多会话O T理想函数景建笃:一个通用可组合的多会话不经意传输协议框架H J S F X Y X B31.2 两个语句或合成的S i g m a协议 对于一个二元关系R,有R0,1*0,1*,可以定义一个语言集合LR=x|(x,w)R.这里可以把x看作一些计算问题的实例,又称作语句,w是问题的解,称w为xLR的证据.另外,若证明者和验证者拥有公共输入(x0,x1),证明者想要给验证者证明 他 知 道 证 据w,满 足(x0,w)R或者(x1,w)R,这种证明要求是两个语
14、句的或合成.S i g m a协议2 0是一个3轮诚实验证者零知识协议,即HV Z K.这3轮分别是证明者的承诺、验证者的挑战和证明者的响应,用元组(a,e,z)表示.一个S i g m a协议必须满足的三个属性是:完备性、特别正确性和特别诚实验证者零知识属性(s HV Z K).把一个S i g m a协议转换为一个Z K协议的方法是,验证者首先发送对挑战的承诺,然后在协议的第三轮验证者打开承诺.对于语句的或合成的证明可以使用S i g m a协议来构造,构造后的证明也是一个S i g m a协议.设(P,V)是一个S i g m a协议,S是仿 真 器.(PO R,VO R)是 或 合 成
15、 语 句 的S i g m a协议,SO R是该协议的仿真器,下面是其抽象的过程.证明者PO R选取随机数r和e1,计算a0P(x0,r),(a1,z1)S(x1,e1),发送(a0,a1)给验证者VO R;VO R选取随机的挑战e发送给PO R;PO R计算e0=ee1,z0P(x0,r,e0),发送响应(e0,z0,e1,z1)给VO R;VO R验证e=?e0e1,V(a0,e0,z0)=?1,V(a1,e1,z1)=?1,如果都成立,则接受,否则拒绝.1.3 可歧义的承诺机制 C h o i在文献2 1中定义的可歧义承诺如下.定义1 设(Kc o m,c o m)是一个使用C R S的
16、非交互的承诺机制,Kc o m是C R S的产生算法,c o m是承诺算法.如果存在一个P P T算法元组(Sc o m1,Sc o m2,Sc o m3)满足下列属性,那么我们说这个承诺机制是可歧义的承诺机制.计算绑定性 设M和R是承诺机制隐含定义的消息空间和随机空间,对于N和所有非均匀的多项式时间的敌手A,下列概率是可忽略的.P rc r sKc o m(1);(m,m,r,r)A(c r s):mma n dC o m(c r s;m,r)=C o m(c r s;m,r)模式的不可区分性 c r sKc o m(1):c r sN cc r sSc o m1(1):c r sN(2)歧
17、义性对于N,(c r s,t)S u p p o r t(Sc o m1(1)和所有的敌手A,下面两个总体的分布相等.mA(c r s);rR;c=C o m(c r s;m,r):(m,r,c)(3)mA(c r s);(c,s)=Sc o m2(t);rSc o m3(s,m):(m,r,c)(4)1.4 双模加密系统 P e i k e r t在文献1 7中引入了一个双模加密系统(D u a l-M o d e).该系统使用一个由可信第三方产生的系统参数来初始化,这个系统参数也叫做c r s.对于任何被选定的参数,该系统可被初始化成两种模式之一:混杂模式(m e s s y)和解密模式(
18、d e c r y p t i o n).对于任一种模式,密钥产生算法有一个称作可解密分支的输入参数0,1,当加密一个消息时,加密算法同样要指定一个消息加密分支b0,1.只有当b=时,被加密的消息才能用对应的私钥解密.在混杂模式下,当b时,在分支b上对消息进行加密将是不可解密的,即丢失被加密的消息,这种情况称作混杂.在知道c r s陷门的情况下,对于混杂模式下产生的任何公钥,很容易计算出其混杂分支.在解密模式下,给定c r s的陷门,我们可以产生(p k,s k0,s k1),则任何加密分支的消息都可以解密.D u a l-Mo d e双模加密系统包含下列六个概率算法,0,1l是双模加密系统的
19、景建笃:一个通用可组合的多会话不经意传输协议框架H J S F X Y X B4消息空间.S e t u p(1n,):n是安全参数,0,1是初始化的模式,算法的输出是(c r s,t),t是 陷 门 信 息.为 了 表 示 上 更 清 楚,S e t u p M e s s y(1n):=S e t u p(1n,0)是混杂模式 的 初 始 化 算 法;S e t u p D e c(1n):=S e t u p(1n,0)是解密模式的初始化算法.下面其他算法的第一个默认输入是c r s.K e y G e n():是分支,输出(p k,s k).E n c(p k,b,m):在分支b上对消
20、息m0,1l使用公钥p k进行加密,输出密文.D e c(s k,c):使用s k对密文c进行解密,输出消息m0,1l.F i n d M e s s y(t,p k):给定陷门t和公钥p k,输出公钥p k的混杂分支b0,1.T r a p K e y G e n(t):给 定 陷 门t,输 出(p k,s k0,s k1),p k是公钥,s k0和s k1分别是分支0和1的解密私钥.定义2 一个双模加密系统是满足下列属性的上述算法元组.解密分支的完备性:对于所有的0,1,(c r s,t)S e t u p(1n,),0,1,(p k,s k)K e y G e n(),m0,1l,D e
21、 c(s k,E n c(p k,m)=m.模式的不可区分性:S e t u p M e s s y(1n)cS e t u p D e c(1n).混杂模式下混杂分支的陷门可识别性:对于所有的(c r s,t)S e t u p M e s s y(1n)和所有的p k,F i n d M e s s y(t,p k)输出b0,1,满足对于 任 意 的m0,m10,1l,E n c(p k,b,m0)sE n c(p k,b,m1).解密模式下两个分支可解密密钥的陷 门 可 产 生 性:对 于 所 有 的(c r s,t)S e t u p D e c(1n),(p k,s k0,s k1)
22、T r a p K e y G e n(t),且对于每个0,1,(p k,s k)sK e y G e n().2 一个4轮OT21协议的框架 P e i k e r t的方案是一个2轮的O T21协议框架,他们实现的是单会话的理想函数FO T,当多个协议实例并发运行时,每个实例必须有各自的C R S.在P e i k e r t的方案的基础上,下面是我们提出的实现多会话理想函数FMO T的协议框架.2.1 协议框架 设(Kc o m,c o m)是一个可歧义的承诺机制,(PO R,VO R)是 一 个 或 合 成 语 句 的HV Z K协议,D u a l-Mo d e是一个双模加密系统.使
23、用这些组件,在c r s模型上我们构造一个4轮的O T21协议框架.其中是Pi发送者,Pj是接收者.公共参考串:c r s0S e t u p M e s s y(1),c r s1S e t u p M e s s y(1),c r sc o mKc o m(1),则c r sO T=(c r sc o m,c r s0,c r s1).下面是我们构造的4轮O T21协议框架.参与者的输入:发送者Pi持有消息(m0,m1)0,1l,接收者Pj持有一个位0,1.R 1:作为协议的发起者,Pj做下列工作:随机选择rR0,1,计算(p k0,s k0)K e y G e n(c r s0;,r),
24、(p k1,s k1)K e y G e n(c r s1;,r);对于语言L*=(p k0,p k1):(r,)s.t.(p k0,s k0)K e y G e n(c r s0;,r),(p k1,s k1)K e y G e n(c r s1;,r),随机选择rR0,1和r R0,1,计算aPO R(p k0,p k1),r),cC o m(c r sc o m;a,r);Pj发送消息(p k0,p k1,c)给Pi;R 2:当收到消息(pk0,pk1,c)后,Pi选择e0,1,发送挑战e给Pj;R 3:Pj计算zPO R(p k0,p k1),r,e),发送(r,a,z)给Pi;R 4
25、:Pi验证VO R(p k0,p k1),e,z)=?1,且c=?C o m(c r sc o m;a;r).在两式都相等的情况下,对于b0,1,计算y0,b E n c(pk0,b,mb)和y1,bE n c(p k1,b,mb),然后发送消息(y0,0,y0,1,y1,0,y1,1)给Pj.接收者的输出:Pj计算m D e c(s k0,y0,),mD e c(s k1,y1,),如果m=m那么输出m,否则输出.定理1 设(Kc o m,c o m)是一个可歧义的承诺机制,(PO R,VO R)是一个或合成景建笃:一个通用可组合的多会话不经意传输协议框架H J S F X Y X B5语句
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 一个 通用 组合 会话 不经意 传输 协议 框架
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。