超级会员免费看
高效广播加密与相关行动选择方案解析
广播加密方案分析
密钥不可区分性
在广播加密领域,我们关注方案的安全性,其中密钥不可区分性是一个重要指标。用 ε 表示敌手 A 区分真实密钥和随机密钥的概率,即 (|Pr[A \text{ outputs } i|s k_i] - Pr[A \text{ outputs } i|r k_i]| \leq \varepsilon)。如果敌手 A 能区分密钥,就可能破坏函数 f 或 h 的伪随机性,因为密钥集合 (K_u) 包含了函数 f 或 h 在密钥上的输出。所以,当两个单向函数 f 和 h 的伪随机性得到保证时,ε 是可忽略的。
设 (P_{ij}) 为在给定 (S_i) 中的子集密钥时,A 输出 i 的概率,其中前 j 个密钥是真实密钥,其余 (t - j) 个是随机密钥,即 (P_{ij} = Pr[A \text{ outputs } i|s k_{i1}, \ldots, s k_{ij}, r k_{ij + 1}, \ldots, r k_{it}])。通过标准的混合论证,由于 (|P_{ij} - P_{ij + 1}| < \varepsilon)(对于 (1 \leq j < t)),我们可以得到 (|Pr[A \text{ outputs } i|s k_{i1}, \ldots, s k_{it}] - Pr[A \text{ outputs } i|r k_{i1}, \ldots, r k_{it}]| \leq t \cdot \varepsilon)。这表明在给定函数 f 和 g 的伪随机性下,该方案满足密钥不可区分性。
不同广播加密方案复杂度比较
我们分析了各种广播加密方案的复杂度,包括 SD 方案、LSD 方案、SSD 方案、π 方案和 B1 方案等。以实际情况为例,假设密钥大小为 128 位,用户数量 (n = 10^8)。不同方案在传输成本、密钥存储和计算成本方面存在权衡,其复杂度会根据定义分层程度的系统参数而变化。
| 方案 | 传输成本 | 密钥存储 | 计算成本 |
|---|---|---|---|
| SD [19] | ≤2r | 368 (5.74 Kbyte) | 27 |
| Basic LSD [15] | ≤4r | 143 (2.24 Kbyte) | 27 |
| SSD [12] | ≤8r | 213 (3.33 Kbyte) | 100 |
| (1,100)-π1 [16] | ≤2r + 106 | 5274 (82.4 Kbyte) | 100 |
| B1 [14] | ≤8r | 27 (0.432 Kbyte) | 100 |
| 我们的方案 | ≤2r | 129 (2.06 Kbyte) | 80 |
从表中可以看出,SD 方案和 LSD 方案的计算成本固定为 (O(\log n)),而其他方案的计算成本随系统参数变化。我们将计算成本限制在 100,对于 SSD 方案和 B1 方案,当计算成本为 100 时,系统参数 d 和 k 为 4,传输成本为 (2 \cdot (4r))。
方案优势与应用场景
我们的方案在合理的计算成本和对数密钥限制下,具有最有效的传输成本。它的传输成本低,存储大小小,适用于计算和存储受限的手持设备,以及传输成本高的机顶盒和 CD/DVD 等场景。此外,由于该方案基于子集覆盖框架,当一组恶意用户(叛徒)组合他们的秘密密钥生成盗版解码器时,中心可以通过子集追踪程序追踪到至少一个叛徒。同时,该方案也适用于无线网络的广播加密,因为无线网络中的目标设备通常内存小、计算能力低,且带宽较窄。
密钥分配技术的扩展应用
我们方案中使用的密钥分配技术还可以应用于具有层次结构的方案,如 SSD 方案和 B2 方案。修改后的方案的传输成本将与层次结构的层数无关。
高效相关行动选择方案
背景与动机
在电子商务和其他在线协作中,参与者往往是自私和理性的,博弈论在这个领域具有重要意义。在许多常见游戏中,玩家的联合策略由一组行动对表示,根据指定的相关概率分布选择其中一对。传统博弈论中,需要一个可信的第三方中介进行随机选择,并向每个玩家透露推荐的行动。然而,寻找这样一个可信的第三方存在诸多问题,如隐私泄露风险、运营成本高等。因此,密码学在解决这个问题上具有巨大潜力。
相关工作回顾
Dodis、Halevi 和 Rabin 提出了一个双方协议,通过密码学手段消除了第三方中介。该协议在均匀分布下工作高效,但在非均匀分布下效率较低。Teague 随后将工作扩展到非均匀分布,但协议的最坏情况复杂度仍然是指数级的。我们的工作在此基础上进行了改进,提供了一个最坏情况复杂度指数级更好的协议。
方案框架与目标
我们的方案框架与之前的工作相同,两个实体希望协调各自的行动,实现一个由 m 对行动组成的策略,每对行动有一个相关的选择概率。如果一对行动被选中,该对的第一个(第二个)元素是第一个(第二个)实体的推荐行动,且每个实体不应了解对方的推荐行动。在存在均衡的情况下,每个实体有动力遵循推荐行动,因为偏离推荐行动不能增加其预期收益。
符号与输入转换
我们使用以下符号:设 k 为安全参数,m 个行动对表示为 ({(a_i, b_i)} {i = 1}^m),每对行动的选择概率为 (q_i),且 (\sum {i = 1}^m q_i = 1)。每个 (q_i) 以有理数形式表示为 (\frac{\alpha_i}{\beta_i})。我们的算法需要将每个 (q_i) 转换为 l 位整数 (p_i),使得 (q_i = \frac{p_i}{\sum_{j = 1}^m p_j})。通过计算所有 (\beta_j) 的最小公倍数 L,我们可以设置 (p_i = L \cdot q_i = \alpha_i(\frac{L}{\beta_i})),从而 (\sum_{j = 1}^m p_j = L) 且 (q_i = \frac{p_i}{L})。如果 (L < 2^{\ell}),我们添加一个虚拟元素 (p_{m + 1} = 2^{\ell} - L),使得 (\sum_{i = 1}^{m + 1} p_i = 2^{\ell})。如果协议执行返回第 (m + 1) 个结果,则重新启动计算,重新启动的概率小于 (\frac{1}{2})。
与先前工作的比较
我们的方案在不同模型下的复杂度如下表所示:
| 模型 | Teague [2] | SFE [10,11,9] | 我们的方案 |
|---|---|---|---|
| 诚实但好奇 | (O(\max{m, 2^{\ell}})) | (O(m\ell)) | (O(m + \ell\log m)) |
| 恶意 | (O(\sigma \cdot \max{m, 2^{\ell}})) | (O(m\ell)) | (O(m\ell)) |
在恶意模型下,我们的方案在渐近最坏情况和实际应用中都优于 Teague 的方案,因为我们的方案是多项式复杂度,且不使用切分选择技术。在诚实但好奇模型下,我们的方案在最坏情况渐近复杂度上有所改进,但对于某些输入,Teague 的方案可能更实用。
诚实但好奇模型的协议
安全模型
我们使用标准模型来定义安全。非正式地说,如果一个双方协议 Π 在半诚实执行期间,从一方的视图中可以获得的任何信息也可以从该方的输入和输出中获得,那么我们说协议 Π 私下计算函数 f。具体定义如下:设 (f_1(x, y)) 和 (f_2(x, y)) 分别是 (f(x, y)) 的第一个和第二个元素,(view_{\Pi}^1(x, y))((view_{\Pi}^2(x, y)))表示第一个(第二个)方在执行协议 Π 时的视图,(output_{\Pi}^1(x, y))((output_{\Pi}^2(x, y)))表示第一个(第二个)方的输出。如果存在概率多项式时间算法 (M_1) 和 (M_2),使得集合 ({M_1(x, f_1(x, y)), f(x, y)} {x, y}) 和 ({view {\Pi}^1(x, y), output_{\Pi}(x, y)} {x, y}) 以及集合 ({M_2(y, f_2(x, y)), f(x, y)} {x, y}) 和 ({view_{\Pi}^2(x, y), output_{\Pi}(x, y)}_{x, y}) 在计算上不可区分,则协议 Π 私下计算函数 f。
综上所述,我们的广播加密方案在传输成本、密钥存储和计算成本方面具有优势,适用于多种实际场景。同时,我们的相关行动选择方案在复杂度上有显著改进,为解决在线协作中的协调问题提供了更高效的解决方案。
协议流程与操作步骤
下面详细介绍诚实但好奇模型下协议的具体操作步骤:
1.
输入准备
:
- 双方获取 m 对行动 ({(a_i, b_i)}
{i = 1}^m) 以及对应的概率 (q_i),并将 (q_i) 转换为 (p_i),确保 (\sum
{i = 1}^m p_i = L)。若 (L < 2^{\ell}),添加虚拟元素 (p_{m + 1} = 2^{\ell} - L)。
2.
随机数生成
:
- 每个实体内部进行硬币抛掷,生成随机数 (r_1) 和 (r_2)。
3.
消息交互
:
- 双方通过一系列消息交换 (m_1, \ldots, m_d) 来执行协议。这些消息的交换遵循特定的规则,以确保最终能根据概率分布选择行动对。
4.
行动选择与输出
:
- 根据协议执行的结果,每个实体得到自己的推荐行动 (output_{\Pi}^1(x, y)) 和 (output_{\Pi}^2(x, y))。
整个流程可以用以下 mermaid 流程图表示:
graph TD;
A[输入准备] --> B[随机数生成];
B --> C[消息交互];
C --> D[行动选择与输出];
恶意模型下的方案处理
额外的密码学工具
在恶意模型下,为了保证协议的安全性,我们需要使用一些额外的密码学工具。这些工具可以帮助检测和防止恶意实体的欺诈行为。例如,我们可能会使用零知识证明、数字签名等技术,确保每个实体在协议执行过程中诚实地遵循规则。
协议复杂度与优势
在恶意模型下,我们的协议计算和通信复杂度为 (O(m\ell))。与之前的工作相比,我们的协议在渐近最坏情况和实际应用中都具有明显优势。Teague 的方案复杂度为 (O(\sigma \cdot \max{m, 2^{\ell}})),使用了切分选择技术,而我们的方案避免了这种高复杂度的技术,直接实现了多项式复杂度。
总结与展望
方案总结
我们提出了两个高效的方案:广播加密方案和相关行动选择方案。广播加密方案在合理的计算成本和对数密钥限制下,具有最有效的传输成本,适用于多种实际场景,如手持设备、无线网络等。相关行动选择方案在复杂度上有显著改进,为在线协作中的协调问题提供了更高效的解决方案。在不同模型下(诚实但好奇和恶意),我们的方案都能在保证安全性的前提下,实现较低的复杂度。
未来展望
未来,我们可以进一步优化这两个方案。对于广播加密方案,可以研究如何进一步降低传输成本和存储大小,以适应更严格的设备限制。对于相关行动选择方案,可以考虑将其扩展到更多参与者的场景,以及处理更复杂的概率分布。此外,我们还可以探索将这两个方案结合起来,应用于更复杂的在线协作场景,如分布式电子商务系统、多用户游戏等。
以下是两个方案在不同方面的对比表格总结:
| 方案类型 | 优势 | 应用场景 | 复杂度(诚实但好奇) | 复杂度(恶意) |
| — | — | — | — | — |
| 广播加密方案 | 传输成本低、存储小、可追踪叛徒 | 手持设备、机顶盒、无线网络 | - | - |
| 相关行动选择方案 | 复杂度指数级改进 | 电子商务、在线协作 | (O(m + \ell\log m)) | (O(m\ell)) |
通过以上的分析和总结,我们可以看到这两个方案在实际应用中具有很大的潜力,未来的研究和优化将进一步提升它们的性能和适用性。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
