55、基于Tardos的通信最优非对称指纹识别方案

最新推荐文章于 2025-11-02 13:17:57 发布

perl8

最新推荐文章于 2025-11-02 13:17:57 发布

阅读量27

点赞数

CC 4.0 BY-SA版权

分类专栏： CT-RSA 2015密码学精粹文章标签： Tardos码非对称指纹识别通信最优

本文链接：https://blog.youkuaiyun.com/perl8/article/details/154333267

CT-RSA 2015密码学精粹专栏收录该内容

58 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

基于Tardos的通信最优非对称指纹识别方案

在非对称指纹识别领域，实现接近1的通信率是提高效率的关键问题。因为发送方传输的文件通常较大，如电影文件，通信率不接近1的方案在实际应用中可能毫无用处。此外，非对称指纹识别方案的安全分析也颇具挑战，既要防止服务提供商（SP）诬陷无辜用户，又要确保恶意用户无法逃脱追踪。同时，还存在“指控撤回”和“选择性中止”等未解决的安全问题。

1. 研究贡献

速率最优性 ：提出了首个速率最优的非对称指纹识别方案，该方案基于Tardos码。为实现这一特性，使用了速率最优的1-out-of-2不经意传输（(2,1)-OT）和新的速率最优的1-out-of-2强条件不经意传输（(2,1)-SCOT），它们均基于速率最优的同态加密方案构建。在此基础上，提出了速率最优的指纹数据传输协议，该协议专门针对基于偏置的码，包括Tardos码。
在扩展的Pfit zmann - Schunter模型中的完整安全分析 ：在扩展的Pfit zmann - Schunder模型中对方案的安全性进行了分析。扩展主要体现在两个方面：一是扩展模型以处理多次指控的情况，允许指控一组用户，同时解决了组指控可能导致的指控撤回问题；二是在安全模型中明确处理中止操作，防止恶意用户利用传输中止策略逃避检测。

2. 速率最优的OT和SCOT协议

OT协议和SCOT协议的功能 ：OT协议和强条件OT（SCOT）协议分别安全地实现以下功能：
(f_{OT}(b, (m_0, m_1)) = (m_b, \perp))
(f_{Q - SCOT}(x, (y, m_0, m_1)) = (m_{Q(x,y)}, \perp))
速率最优的OT协议 ：可定义一个速率最优的(2,1)-不经意传输协议，称为不经意下载（OD）。服务器根据客户端密文(Encr(x))和输入((m_0, m_1))进行计算(OD_s[Encr(x), (m_0, m_1)])。
速率最优的SCOT协议 ：利用大输出分支程序同态加密（LHE）方案构建高效的SCOT协议。对于具有多项式大小分支程序的谓词(Q)，可以实现速率为(1 - o(1))的SCOT协议。以LEQ谓词为例，可在时间(\Theta(\ell))和速率(1 - o(1))下安全实现(f_{LEQ - SCOT})，服务器计算表示为(LEQ_s[Encr(x), (y, m_0, m_1)])。

协议名称	功能	速率
OT协议	(f_{OT}(b, (m_0, m_1)) = (m_b, \perp))	接近1
SCOT协议	(f_{Q - SCOT}(x, (y, m_0, m_1)) = (m_{Q(x,y)}, \perp))	接近1

3. 基于偏置码的指纹数据传输

指纹码基础 ：二进制指纹码是一对算法((gen, trace))。(gen)是概率算法，根据输入的用户数量(N)、检测联盟大小上限(t)和安全参数(\epsilon)输出(N)个码字和追踪密钥(tk)；(trace)是确定性算法，根据追踪密钥(tk)和“盗版”码字输出被指控用户的子集。基于偏置的码，每个码字根据偏置向量(\langle p_1, \ldots, p_n \rangle)采样。
Tardos码 ：长度为(n = 100t^2k)，其中(k = \log \frac{1}{\epsilon})。(gen)算法为每个段索引选择一个偏置(p_j)，满足(\frac{1}{300t} \leq p_j \leq 1 - \frac{1}{300t})。对于任何大小不超过(t)的联盟，追踪算法以至少(1 - \frac{\epsilon t}{4})的概率指控联盟成员，非成员被指控的概率至多为(\epsilon)。
指纹数据传输的定义 ：指纹数据传输（FDT）功能涉及发送方(S)和接收方(R)。发送方输入两个偏置(p_0, p_1 \in [0, 1])、四组消息((m_0^0, m_1^0), (m_0^1, m_1^1))和一个比特(c)；接收方无输入。协议结束时，接收方根据偏置从每组消息中采样一个消息，发送方得知接收方第(c)组的输出。
通信最优的指纹数据传输 ：协议分为握手阶段和内容传输阶段。握手阶段根据发送方指定的偏置采样码字，内容传输阶段根据采样的码字传输实际内容。使用SCOT协议采样分布，使用速率最优的OT协议（OD）进行内容传输。通信率分析表明，当LHE方案速率最优时，FDT协议和非对称指纹识别方案也是速率最优的。

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px

    A([开始]):::startend --> B(发送方选择r0, r1):::process
    B --> C(发送方计算Com(r0), Com(r1)):::process
    C --> D(接收方选择s0, s1):::process
    D --> E(接收方发送Encr(s0), Encr(s1)):::process
    E --> F(发送方计算c0 = Encr(r0 ⊕ s0)):::process
    F --> G(发送方计算c1 = Encr(r1 ⊕ s1)):::process
    G --> H(发送方计算μ0 = LEQs[c0, (t0, h10, h00)]):::process
    H --> I(发送方计算μ1 = LEQs[c1, (t1, h11, h01)]):::process
    I --> J(发送方发送µ0, µ1, Encs(c)):::process
    J --> K(接收方检索hb00, hb11):::process
    K --> L(接收方计算uc = ODs[Encs(c), (hb00, hb11)]):::process
    L --> M(接收方发送uc):::process
    M --> N(发送方解密uc并检查有效性):::process
    N --> O(发送方计算Encr(b0) = LEQs[c0, (t0, 1, 0)]):::process
    O --> P(发送方计算Encr(b1) = LEQs[(c1, (t1, 1, 0)]):::process
    P --> Q(发送方计算C0 = ODs[Encr(b0), (m00, m10)]):::process
    Q --> R(发送方计算C1 = ODs[Encr(b1), (m01, m11)]):::process
    R --> S(发送方发送C0, C1):::process
    S --> T(接收方检查有效性):::process
    T --> U([结束]):::startend

4. 安全分析

在半诚实模型下，协议的正确性源于抛硬币和LHE的特性。安全性方面，发送方和接收方的视图可以轻松模拟以保持与输出的一致性。在恶意模型下，协议结构高度结构化，SP可以通过常规检查记录的一致性轻松检测用户的不当行为。

总之，该方案在速率最优性和安全性方面取得了显著进展，为非对称指纹识别的实际应用提供了有力支持。

基于Tardos的通信最优非对称指纹识别方案

5. 详细协议流程及分析

5.1 指纹数据传输协议步骤

握手阶段
1. 发送方 (S) 随机选择 (r_0, r_1 \in Z_T)，并计算承诺 (Com(r_0), Com(r_1))，然后将它们发送给接收方 (R)。
2. 接收方 (R) 随机选择 (s_0, s_1 \in Z_T)，并将 (Encr(s_0), Encr(s_1)) 发送给发送方 (S)。
3. 发送方 (S) 计算 (c_0 = Encr(r_0 \oplus s_0)) 和 (c_1 = Encr(r_1 \oplus s_1))。
4. 发送方 (S) 计算 (\mu_0 = LEQ_s[Encr(s_0), (t_0, h_1^0, h_0^0)]) 和 (\mu_1 = LEQ_s[Encr(s_1), (t_1, h_1^1, h_0^1)])，并将 (\mu_0, \mu_1, Encs(c)) 发送给接收方 (R)。
内容传输阶段
1. 接收方 (R) 检索 (h_{b_0}^0, h_{b_1}^1)，并计算 (u_c = OD_s[Encs(c), (h_{b_0}^0, h_{b_1}^1)])，然后将 (u_c) 发送给发送方 (S)。
2. 发送方 (S) 解密 (u_c) 并检查有效性。
3. 发送方 (S) 计算 (Encr(b_0) = LEQ_s[c_0, (t_0, 1, 0)]) 和 (Encr(b_1) = LEQ_s[c_1, (t_1, 1, 0)])。
4. 发送方 (S) 计算 (C_0 = OD_s[Encr(b_0), (m_0^0, m_1^0)]) 和 (C_1 = OD_s[Encr(b_1), (m_0^1, m_1^1)])，并将 (C_0, C_1) 发送给接收方 (R)。
5. 接收方 (R) 检查有效性，输出 (m_{b_0}^0, m_{b_1}^1)；发送方 (S) 输出 (b_c)。

阶段	步骤	发送方操作	接收方操作
握手阶段	1	选择 (r_0, r_1)，计算 (Com(r_0), Com(r_1)) 并发送	-
握手阶段	2	-	选择 (s_0, s_1)，发送 (Encr(s_0), Encr(s_1))
握手阶段	3	计算 (c_0 = Encr(r_0 \oplus s_0))，(c_1 = Encr(r_1 \oplus s_1))	-
握手阶段	4	计算 (\mu_0, \mu_1)，发送 (\mu_0, \mu_1, Encs(c))	-
内容传输阶段	1	-	检索 (h_{b_0}^0, h_{b_1}^1)，计算 (u_c) 并发送
内容传输阶段	2	解密 (u_c) 并检查有效性	-
内容传输阶段	3	计算 (Encr(b_0), Encr(b_1))	-
内容传输阶段	4	计算 (C_0, C_1) 并发送	-
内容传输阶段	5	输出 (b_c)	检查有效性，输出 (m_{b_0}^0, m_{b_1}^1)

5.2 通信率分析

通信率 (\alpha) 的估计如下：
[
\frac{1}{\alpha} \approx \frac{2(|Com(r_0)| + |Encr(s_0)| + |Encr(h_{b_0}^0)|) + |Encs(c)| + |Encs(h_{b_c}^c)| + 2|Encr(m_{b_0}^0)|}{2|m_{b_0}^0| + 1} \approx \frac{o(|m_{b_0}^0|)}{2|m_{b_0}^0|} + \frac{|Encr(b_0)| + |Encr(m_{b_0})|}{|b_0| + |P[b_0, (m_0^0, m_1^0)]|} \to \frac{1}{r}, \text{ 当 } m \to \infty
]
其中 (m) 是消息大小，(r) 是第2节中定义的速率。当LHE方案速率最优时，FDT协议和非对称指纹识别方案也是速率最优的。

6. 恶意模型下的安全性

在恶意模型下，需要考虑恶意用户可能的攻击行为。
- 用户不当行为检测 ：
- 在硬币抛掷阶段的第2轮，用户不遵循协议不会获得额外信息，因为恶意用户的模拟不受 (s_0, s_1) 选择的影响。
- 在第4轮，发送方 (S) 检查 (h_{b_c}^c = H(m_{b_c}^c)||c||b_c) 的有效性。如果 (u_c) 未按协议计算却通过检查，意味着恶意用户找到了一个与 (H(m_{1 - b_c}^c)) 相等的值。由于消息段 (m_{1 - b_c}^c) 具有足够的熵，(h_{1 - b_c}^c) 是不可预测的，否则用户可以通过从 (m_{1 - b_c}^c) 的分布中随机采样消息轻松找到碰撞。
- 安全性证明 ：
- 正确性 ：协议的正确性源于抛硬币和LHE的特性。例如，若 (r_0 \oplus s_0 \leq t_0)，(\mu_0 = Encr(h_1^0), C_0 = Encr(m_1^0))，此时 (Pr[b_0 = 1] = \frac{t_0}{T} = p_0)。
- 接收方安全性 ：如果底层加密 (Encr) 是IND - CPA安全的，则协议满足接收方安全性。
- 发送方安全性 ：如果底层承诺方案 (Com(\cdot)) 是计算隐藏的，且加密 (Encs) 是IND - CPA安全的，则协议满足发送方安全性。

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px

    A([开始]):::startend --> B{用户是否遵循协议?}:::decision
    B -->|是| C(正常执行协议):::process
    B -->|否| D(检测用户不当行为):::process
    D --> E{是否在第2轮?}:::decision
    E -->|是| F(用户无额外信息):::process
    E -->|否| G(检查hbc的有效性):::process
    G --> H{是否通过检查?}:::decision
    H -->|是| I(可能存在碰撞问题):::process
    H -->|否| J(检测到恶意行为):::process
    C --> K([结束]):::startend
    F --> K
    I --> K
    J --> K

7. 总结

该基于Tardos的通信最优非对称指纹识别方案在多个方面取得了重要成果：
- 速率最优性 ：通过使用速率最优的OT和SCOT协议，以及精心设计的指纹数据传输协议，实现了通信率渐近为1，满足了实际应用中对高效通信的需求。
- 安全分析 ：在扩展的Pfit zmann - Schunter模型下进行了完整的安全分析，不仅考虑了半诚实模型下的安全性，还对恶意模型下的攻击行为进行了详细分析和应对，确保了方案的安全性。
- 实际应用潜力 ：该方案可以作为构建更复杂应用的基础，如“匿名买卖水印”系统，为版权保护提供了有力的支持。

未来，该方案有望在数字内容分发、版权保护等领域得到广泛应用，并可能在安全性和效率方面进一步优化和拓展。