超级会员免费看
通用可组合自适应定价不经意传输方案解析
1. 引言
交易安全和隐私问题是阻碍电子商务发展的重要因素。如今,用户愈发重视隐私保护,倾向于选择能提供更好隐私保护的商家,甚至愿意为此支付更高价格。因此,商家有必要部署能让买家在交易中尽量少披露信息的电子商务应用。
目前,增强数字商品电子商务隐私性的解决方案大致可分为两类:
-
匿名购买
:通过匿名电子现金构建系统,使买家能在不透露身份的情况下从银行提取并使用货币。但这种方式存在诸多不足,如不利于商家进行客户管理、限制支付方式,且实现强匿名性困难,还易遭受攻击。
-
不经意购买
:允许商家有效管理客户并支持多种支付方式,还可集成到现有数字版权管理系统中。虽然商家难以得知具体销售的商品,但可通过市场调研等其他途径获取产品需求信息。
不经意购买采用了定价不经意传输(POT)这一原语,它是著名的不经意传输(OT)原语的扩展,用于实现私密购买。OT 是发送者 S 和接收者 R 之间的双方协议,R 选择消息并与 S 交互,既能获取所选消息,又不会得知其他消息,同时 S 也无法知晓 R 的选择。POT 则是供应商 V 和买家 B 之间的协议,V 向 B 出售带有价格的消息,B 除了要满足与 OT 相同的隐私要求外,还需在不被 V 知晓支付金额的情况下支付所选消息的价格。OT 和 POT 都有自适应变体,更适合构建不经意数据库,在医疗记录存储、基于位置的服务以及隐私保护电子商务等领域有重要应用。
在以往的研究中,OT 的安全性分析多采用半模拟模型,存在针对接收者安全的实际攻击风险。虽然有高效的自适应 OT 方案,但大多不具备通用可组合安全性(UC 安全)。近期提出的自适应 UC 安全 OT 方案采用了辅助解密方法,具有较低的计算和通信复杂度,适合构建不经意数据库。然而,目前还没有在 UC 安全范式下经过证明的高效 POT 方案。
2. 贡献与方案概述
我们提出了一种 POT N
k×1 方案,该方案在存在诚实生成的公共参考字符串的假设下是 UC 安全的,且在静态腐败模型中证明了安全性,不依赖随机预言机。初始化阶段复杂度为 O(N),每个传输阶段的通信轮数最优,计算和通信成本恒定。
方案采用了预付费机制,买家 B 先向供应商 V 存入初始资金。在每个传输阶段,B 选择消息并证明有足够资金购买,同时从存款中扣除相应价格,而 V 不会得知价格和新的存款值。为此,B 使用零知识证明来证明账户更新正确且新账户余额非负。为实现这一点,我们设计了一种非交互式范围知识证明,将最近提出的高效交互式范围证明应用于 Groth - Sahai 非交互式证明系统,这是标准模型中首个用于证明值在给定区间内的高效非交互式知识证明。
此外,我们还采用了辅助解密方法和自适应 UC 安全 OT 方案中的一些技术,如双陷门加密,并在 DLIN 假设下证明了密文的安全性。与以往方案不同的是,我们广泛使用了 P 签名,即具有高效非交互式签名拥有证明的签名方案,以确保 B 诚实地计算请求。具体而言,我们使用了一种稍作修改的用于对消息块签名的 P 签名方案,该方案在 HSDH 和 TDH 假设下是安全的。多块 P 签名的使用使我们的方案密文大小更小,且该 POT 方案可轻松简化为 OT 方案。
3. 定义
-
自适应 k 选 N 定价不经意传输(POT N
k×1) :这是供应商 V 和买家 B 之间的双方协议。初始化阶段,V 接收消息及其价格,B 接收初始存款。之后,双方最多进行 k 个传输阶段。在第 i 个传输阶段,如果 B 的初始存款减去已成功购买消息的价格后仍足够支付当前所选消息的价格,则 V 和 B 更新状态信息,B 获得所选消息;否则,状态信息保持不变。 - 通用可组合安全性 :我们使用带有静态腐败的通用可组合安全框架来证明方案的安全性。在该框架中,协议 ψ 是 UC 安全的,意味着不存在环境 Z 能够区分其是与对手 A 和运行协议 ψ 的各方交互,还是与执行理想任务的理想过程交互。更正式地说,对于所有环境 Z,IDEALFψ,E,Z 和 REALψ,A,Z 这两个集合在计算上是不可区分的。
我们的方案在 FCRS - 混合纯模型中运行,各方可访问诚实生成的公共参考字符串 crs 和认证通道。我们假设环境 Z 从对手 A 处获取 crs,这使得模拟器 E 能够设置带有陷门信息的 crs,以便在安全证明中模拟 A。
下面是理想功能 FCRS 和 FP OT 的描述:
-
FCRS
:
- 输入:接收来自参与方 P 的 (sid, crs)。
- 处理:若 P 不在参与方集合 P 中,则中止;若未记录值 r,则从分布 D 中选取 r 并记录,然后将 (sid, crs, r) 发送给 P。
-
FP OT
:
- 输入 (sid, vendor, m1, …, mN, p1, …, pN) 来自 V:存储消息和价格,并将价格发送给 B 和对手。
- 输入 (sid, buyerdep, deposit) 来自 B:若之前未收到 V 的消息,则不做处理;否则,存储存款并发送给 V。
- 输入 (sid, buyerreq, σ) 来自 B:若之前未收到 V 的消息和 B 的存款消息,或存款不足以支付所选消息的价格,则不做处理;否则,向 V 发送请求,接收 V 的响应并传递给对手,根据响应结果更新存款并向 B 发送相应消息。
4. 技术预备知识
- 可忽略函数和困难问题 :若对于每个整数 c,存在整数 K,使得对于所有 k > K,|ν(k)| < 1/kc,则函数 ν 是可忽略的。若不存在概率多项式时间(p.p.t.)算法能以不可忽略的概率解决某个问题,则该问题是困难的。
-
双线性映射
:设 G 和 GT 是素数阶 p 的群,双线性映射 e : G×G →GT 需满足以下性质:
- 双线性 :e(ax, by) = e(a, b)xy。
- 非退化性 :对于 G 的所有生成元 g,e(g, g) 生成 GT。
- 高效性 :存在高效算法输出配对群设置 (p, G, GT, e, g) 并计算 e(a, b)。
5. 假设
方案的安全性依赖于以下假设:
-
隐藏强 DH 假设(HSDH)
:给定输入 (g, gα) ∈G2,u ∈G 和一组元组 (g1/(α+ci), gci, uci)l
i=1,输出新元组 (g1/(α+c), gc, uc) 是计算困难的。
-
三重 DH 假设(TDH)
:给定输入 (g, gx, gy) ∈G3 和一组元组 (g1/(x+ci), ci)l
i=1,输出元组 (gμx, gμy, gμxy)(μ ∈Zp/{0})是计算困难的。
-
决策线性假设(DLIN)
:给定输入 (g, ga, gb, gac, gbd, z) ∈G6(a, b, c, d 为随机指数),判断 z = gc+d 是否成立是计算困难的。
6. 非交互式零知识知识证明
设 R 是一个可有效计算的关系,L = {y : ∃w|R(y, w) = accept} 是一个 NP 语言。对于元组 (y, w) ∈R,y 称为实例,w 称为见证。非交互式知识证明系统由 PKSetup、PKProve 和 PKVerify 三个算法组成:
- PKSetup(1κ) 输出公共参考字符串 crsP K。
- PKProve(crsP K, y, w) 使用见证 w 计算实例 y 的证明 pok。
- PKVerify(crsP K, y, pok) 在 pok 正确时输出接受。
零知识要求验证者除了知道陈述的真实性外,无法从证明中获取其他信息;见证不可区分性则保证验证者无法得知证明中使用的是哪个见证。此外,证明还需满足稳健性(诚实验证者不会被虚假陈述说服)和完备性(所有正确计算的证明都会被诚实验证者接受)。
知识证明还需具备可提取性,即存在多项式时间提取器 (PKExtractSetup, PKExtract)。PKExtractSetup(1κ) 生成与 PKSetup 生成的参数相同分布的参数 crsP K 和提取陷门 tdext,PKExtract(crsP K, tdext, y, pok) 在 PKVerify(crsP K, y, pok) 输出接受时,以几乎不可忽略的概率提取见证 w。
我们还回顾了 Belenkiy 等人定义的 f - 可提取性概念,它是原始可提取性定义的扩展。在 f - 可提取证明系统中,提取器提取的值 z 满足 ∃w : z = f(w) ∧(y, w) ∈R。当 f(·) 为恒等函数时,即为通常的可提取性概念。
7. 承诺方案
非交互式承诺方案由 ComSetup 和 Commit 两个算法组成:
- ComSetup(1κ) 生成承诺方案的参数 paramsCom。
- Commit(paramsCom, x, open) 使用辅助信息 open 输出对 x 的承诺 C。通过揭示 (x, open) 并检查 Commit(paramsCom, x, open) = C 来打开承诺。
承诺方案具有隐藏性和绑定性。隐藏性确保对 x 的承诺 C 不会泄露关于 x 的任何信息,绑定性确保 C 不能被打开为另一个值 x′。在上下文明确时,我们会省略承诺参数 paramsCom。
下面是一个简单的 mermaid 流程图,展示了 POT 方案的基本流程:
graph TD
A[初始化阶段] --> B[买家存入初始资金]
B --> C{是否进入传输阶段}
C -- 是 --> D[买家选择消息]
D --> E[买家证明有足够资金]
E --> F[扣除所选消息价格]
F --> G[买家获得所选消息]
G --> C
C -- 否 --> H[结束]
| 方案特性 | 描述 |
|---|---|
| 安全性 | 在静态腐败模型中,基于诚实生成的公共参考字符串,不依赖随机预言机,满足 UC 安全 |
| 复杂度 | 初始化阶段复杂度 O(N),传输阶段通信轮数最优,计算和通信成本恒定 |
| 技术 | 预付费机制、非交互式范围知识证明、双陷门加密、P 签名 |
通用可组合自适应定价不经意传输方案解析
8. 非交互式范围证明的设计
为了让买家 B 证明她有足够的资金购买消息且新账户余额非负,我们需要设计一个非交互式范围证明。我们通过将高效交互式范围证明应用于 Groth - Sahai 非交互式证明系统来实现这一目标。
具体步骤如下:
1. 采用 [27] 中提出的高效交互式范围证明。
2. 将其应用到 Groth - Sahai [28] 的非交互式证明系统中。
通过这样的设计,我们得到了第一个在标准模型中用于证明值在给定区间内的高效非交互式知识证明。这个证明系统在保证买家资金证明的安全性和效率方面起着关键作用。
9. 方案的具体实现细节
我们的方案采用了预付费机制和辅助解密方法,结合了多种技术来确保安全性和效率。以下是详细的实现步骤:
1.
初始化阶段
:
- 买家 B 向供应商 V 存入初始资金。
- 供应商 V 准备好消息集合 (m_1, \cdots, m_N) 及其对应的价格 (p_1, \cdots, p_N)。
2.
每个传输阶段
:
-
买家选择
:买家 B 选择一个选择值 (\sigma_i)。
-
资金证明
:
- B 使用零知识证明来证明她有足够的资金购买消息 (m_{\sigma_i})。
- 具体来说,B 证明她正确更新了账户,并且新账户余额是非负的。这通过我们设计的非交互式范围证明来实现。
-
资金扣除
:B 从她的存款中减去价格 (p_{\sigma_i}),而供应商 V 既不知道 (p_{\sigma_i}) 也不知道新的存款值。
-
消息获取
:
- 我们采用辅助解密方法,类似于自适应 UC 安全 OT 方案中的技术。
- 具体使用双陷门加密,并且在 DLIN 假设下证明了密文的安全性。
- 供应商 V 协助买家 B 解密所选的消息 (m_{\sigma_i})。
3.
P 签名的使用
:
- 为了确保买家 B 诚实地计算请求,我们广泛使用了 P 签名。
- 我们使用了一种稍作修改的用于对消息块签名的 P 签名方案,该方案在 HSDH 和 TDH 假设下是安全的。
- P 签名具有高效非交互式签名拥有证明,这使得买家能够有效地证明她的请求是合法的。
10. 方案的优势分析
与以往的方案相比,我们的 POT 方案具有以下显著优势:
| 优势 | 描述 |
| ---- | ---- |
| 安全性 | 在静态腐败模型中证明了 UC 安全,不依赖随机预言机,避免了以往方案在安全性证明中使用黑盒模拟和对抗性回溯的问题。 |
| 效率 | 初始化阶段复杂度为 (O(N)),每个传输阶段的通信轮数最优,计算和通信成本恒定。 |
| 密文大小 | 多块 P 签名的使用使得我们的方案密文大小比 [17] 中的方案更小。 |
| 可简化性 | 该 POT 方案可以轻松简化为 OT 方案,为 OT 方案提供了一种替代选择。 |
11. 方案的安全性证明
我们在静态腐败模型中证明了方案的 UC 安全性。具体来说,我们需要证明对于所有环境 (Z),IDEAL( {F {POT},E,Z}) 和 REAL(_{\psi,A,Z}) 这两个集合在计算上是不可区分的。
证明过程中,我们利用了以下关键技术和假设:
1.
公共参考字符串
:假设存在诚实生成的公共参考字符串 (crs),并且环境 (Z) 从对手 (A) 处获取 (crs)。这使得模拟器 (E) 能够设置带有陷门信息的 (crs),以便在安全证明中模拟 (A)。
2.
双陷门加密
:使用双陷门加密技术,并在 DLIN 假设下证明了密文的安全性。
3.
P 签名
:P 签名方案在 HSDH 和 TDH 假设下是安全的,确保了买家请求的合法性。
4.
非交互式范围证明
:设计的非交互式范围证明确保了买家资金证明的有效性和安全性。
12. 总结与展望
我们提出的通用可组合自适应定价不经意传输(POT)方案在电子商务隐私保护方面具有重要的应用价值。通过采用预付费机制、非交互式范围证明、双陷门加密和 P 签名等技术,我们实现了在静态腐败模型下的 UC 安全,同时保证了方案的效率和密文大小的优势。
未来,我们可以进一步研究以下方面:
-
扩展应用场景
:将该方案应用到更多的电子商务场景中,如分布式系统、物联网等。
-
性能优化
:进一步优化方案的计算和通信成本,提高方案的效率。
-
安全性增强
:探索在更复杂的腐败模型下的安全性证明,增强方案的安全性。
下面是一个 mermaid 流程图,展示了方案安全性证明的基本思路:
graph TD
A[环境 Z 与对手 A 和协议 ψ 交互] --> B{是否可区分}
B -- 否 --> C[证明 UC 安全]
B -- 是 --> D[方案不安全]
E[模拟器 E 设置 crs 陷门信息] --> F[模拟对手 A]
F --> B
G[双陷门加密安全性证明] --> B
H[P 签名安全性证明] --> B
I[非交互式范围证明有效性] --> B
综上所述,我们的方案为电子商务中的隐私保护提供了一种有效的解决方案,并且具有良好的扩展性和优化空间。
扫一扫
687
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
