CN114422135A

CN114422135A - 一种基于椭圆曲线的可验证的不经意传输方法

Info

Publication number: CN114422135A
Application number: CN202210067698.3A
Authority: CN
Inventors: 魏萌萌; 孙晨昊
Original assignee: Shandong Duofang Semiconductor Co ltd
Current assignee: Shandong Duofang Semiconductor Co ltd
Priority date: 2022-01-20
Filing date: 2022-01-20
Publication date: 2022-04-29
Anticipated expiration: 2042-01-20
Also published as: CN114422135B

Abstract

本发明公开了一种基于椭圆曲线的可验证的不经意传输方法，包括：接收端计算待获取的第α个消息标识的加密份额T_α和接收端身份验证参数h，并将加密份额T_α和接收端身份验证参数h发送至发送端；发送端验证接收端身份是否真实性，若是，则计算出k个发送端身份验证参数、解密份额V和k个消息标识密文{E₁,E₂,…E_k}，发送至接收端；接收端对第α个消息标识密文E_α进行解密，得到第α个消息标识m_α；接收端验证消息来源是否真实；若是，则表示消息来源真实，接收解密得到的消息标识m_α，否则，拒绝接收解密得到的消息标识m_α。本发明在基于椭圆曲线的不经意传输协议的执行中，发送端可以验证接收端身份的真实性，接收端也可以验证解密消息来源的真实性。

Description

一种基于椭圆曲线的可验证的不经意传输方法

技术领域

本发明涉及信息安全技术领域，更具体的说是涉及一种基于椭圆曲线的可验证的不经意传输方法。

背景技术

随着数据量的日益增长，隐私保护面临越来越严峻的考验，不经意传输作为数据隐私保护的一种有效方法，成为信息安全领域一个重要的研究课题。不经意传输可以让接收者从发送者的两条或多条消息中选择一条消息，而发送者却不能获得接收者所选取消息的任何信息，并且接收者也不能获得除所选取的那条消息之外的其他消息的任何信息，已被应用于电子商务、电子投票等互联网通信中。

但是，由于互联网开放性特点，在设计基于椭圆曲线的不经意输方法时，可验证性成为一个值得考虑的问题。即发送者可以验证与自己通信的接收者的身份是否是真实的，而不是被冒充的，同时接收者又能验证获得的消息是否来源于真实的发送者。

然而，在现有的基于椭圆曲线的不经意传输方法中，如果攻击者冒充接收者的身份与发送者进行通信，虽然最终攻击者不能从发送者那里获得有关真实接收者所选取消息的任何信息，但是由于发送者不能检测出与自己通信的接收者的身份是被冒充的，发送者需要完成整个协议的计算，从而浪费了自己的计算资源。另外，如果攻击者冒充发送者的身份向接收者发送错误的消息，接收者不能检测出所获得的消息是否来源于真实的发送者，从而可以导致攻击者利用错误消息达到攻击的目的，对通信双方造成一定的损失。

因此，如何提供一种能够验证接收者身份与消息来源真实性的基于椭圆曲线的可验证的不经意传输方法是本领域技术人员亟需解决的问题。

发明内容

有鉴于此，本发明提供了一种基于椭圆曲线的可验证的不经意传输方法，在不经意传输协议的执行中，发送端可以验证接收端身份的真实性，同时接收端也可以验证解密消息来源的真实性。

为了实现上述目的，本发明采用如下技术方案：

一种基于椭圆曲线的可验证的不经意传输方法，发送端和接收端预先共享一条有限域上的椭圆曲线，包括以下步骤：

接收端计算待获取的第α个消息标识的加密份额T_α和接收端身份验证参数h，并将加密份额T_α和接收端身份验证参数h发送至发送端；其中，α∈[1,k]，表示待选取的消息标识序号，k表示发送端拥有的消息标识的个数；

发送端计算接收端身份判断参数h′，并与接收端身份验证参数h进行比较；若二者相等，则表示接收端身份真实，并计算出k个发送端身份验证参数{z₁,z₂,…,z_k}、解密份额V和k个消息标识密文{E₁,E₂,…,E_k}，发送至接收端；否则，退出协议执行；

接收端从k个消息标识密文{E₁,E₂,…,E_k}中寻找第α个消息标识密文E_α，并进行解密操作，得到第α个消息标识m_α；

接收端计算第α个发送端身份判断参数z′_α，并与收到的k个发送端身份验证参数{z₁,z₂,…,z_k}中的第α个参数进行比较；若相等，则表示消息来源真实，接收解密得到的消息标识m_α，否则，拒绝接收解密得到的消息标识m_α。

进一步的，在上述一种基于椭圆曲线的可验证的不经意传输方法中，接收端拥有一对椭圆曲线上的公私钥(d_B,Q_B)，其中，d_B表示接收端基于椭圆曲线的私钥，Q_B＝d_BG表示接收端基于椭圆曲线的公钥；发送端拥有一对椭圆曲线上的公私钥(d_A,Q_A)和k个消息标识(m₁,m₂,…m_k)，其中，d_A表示发送端基于椭圆曲线的私钥，Q_A＝d_AG表示发送端基于椭圆曲线的公钥，m_i表示基于椭圆曲线的长度为256比特的二进制0、1串。

进一步的，在上述一种基于椭圆曲线的可验证的不经意传输方法中，所述接收端计算待获取的第α个消息标识的加密份额T_α和接收端身份验证参数h，包括：

随机选取一个整数s∈[1,n-1]，计算接收端加密验证参数P，P＝(P_x,P_y)＝d_BQ_A，其中，P_x表示接收端加密验证参数P的横坐标，P_y表示接收端加密验证参数P的纵坐标；

为待获取的第α个消息标识计算加密份额T_α，其中，T_α＝αP+sG；

计算接收端身份验证参数h，h＝H(P_x||P_y)；其中，H表示映射到数的哈希，长度为256比特，||表示二进制0、1串链接操作。

进一步的，在上述一种基于椭圆曲线的可验证的不经意传输方法中，接收端身份判断参数h′的计算公式为：h′＝(P′_x||P′_y)，P′＝d_AQ_B。

进一步的，在上述一种基于椭圆曲线的可验证的不经意传输方法中，k个发送端身份验证参数z_i的计算公式为：z_i＝H(m_i||P′_x||P′_y)；

解密份额V的计算公式为：V＝vG；

k个消息标识密文E_i的计算公式为：

其中，i＝1,2,…,k，

表示二进制逐位异或操作。

进一步的，在上述一种基于椭圆曲线的可验证的不经意传输方法中，接收端解密得到的第α个消息标识m_α的计算公式为：

进一步的，在上述一种基于椭圆曲线的可验证的不经意传输方法中，第α个发送端身份判断参数z′_α的计算公式为：z′_α＝H(m_α||P_x||P_y)。

经由上述的技术方案可知，与现有技术相比，本发明公开提供了一种基于椭圆曲线的可验证的不经意传输方法，发送端在收到接收端发送的信息后，会首先验证接收端身份的真实性，避免因接收端身份不真实而造成计算资源的浪费；同时，接收端可以验证消息标识来源的真实性，抵抗发送端的冒名攻击。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1附图为本发明提供的一种基于椭圆曲线的可验证的不经意传输方法流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例公开了一种基于椭圆曲线的可验证的不经意传输方法，发送端和接收端预先共享一条有限域上的椭圆曲线，包括以下步骤：

接收端计算待获取的第α个消息标识的加密份额T_α和接收端身份验证参数h，并将加密份额T_α和接收端身份验证参数h发送至发送端；其中，α∈[1,k]，表示待选取的消息标识序号，k表示发送端待发送的消息标识的个数；

发送端计算接收端身份判断参数h′，并与接收端身份验证参数h进行比较；若二者相等，则表示接收端身份真实，并计算出k个发送端身份验证参数{z₁,z₂,…,z_k}、解密份额V和k个消息标识密文E_i，发送至接收端；否则，退出协议执行；

接收端从k个消息标识密文E_i中寻找第α个消息标识密文E_α，并进行解密操作，得到第α个消息标识m_α；

下面，以一个具体实施例对上述步骤进行详细描述。

接收端和发送端提前共享一条有限域F_p上的椭圆曲线T＝(p,a,b,G,n,h)，其中p表示一个长度为256比特的大素数，a,b表示椭圆曲线的系数，G表示椭圆曲线的基点，n表示椭圆曲线的阶，h表示余因子。接收端拥有一对椭圆曲线上的公私钥(d_B,Q_B)，其中d_B表示接收端基于椭圆曲线的私钥，Q_B＝d_BG表示接收端基于椭圆曲线的公钥。发送端拥有一对椭圆曲线上的公私钥(d_A,Q_A)和k个消息标识(m₁,m₂,…m_k)，其中，d_A表示发送端基于椭圆曲线的私钥，Q_A＝d_AG表示发送端基于椭圆曲线的公钥，m_i表示基于椭圆曲线的长度为256比特的二进制0、1串。具体步骤如下：

S1、接收端计算加密份额T_α和接收端身份验证参数h；并将加密份额T_α和接收端身份验证参数h发送给发送端。具体计算过程为：

S11、随机选取一个整数s∈[1,n-1]，计算接收端加密验证参数P＝(P_x,P_y)＝d_BQ_A，其中，P_x表示接收端加密验证参数P的横坐标，P_y表示接收端加密验证参数P的纵坐标；

S12、为待获取的第α∈[1,k]个消息标识计算加密份额T_α＝αP+sG，其中，k表示发送端消息标识的个数；

S13、计算接收端身份验证参数h＝H(P_x||P_y)，其中，H表示映射到数的哈希，长度为256比特，如SM3哈希算法，||表示二进制0、1串链接操作。

S2、发送端收到接收端发送过来的加密份额T_α和接收端身份验证参数h后，进行以下操作：

S21、计算发送端加密验证参数P′＝d_AQ_B，并计算h′＝(P′_x||P′_y)，其中h′表示发送端计算出来的接收端身份判断参数；

S22、判断收到的接收端身份验证参数h与自己计算出来的接收端身份判断参数h′是否相等，若相等，则说明与发送端进行通信的接收端的身份是真实的，继续执行S23，否则，退出协议的执行过程；

S23、计算k个发送端身份验证参数z_i＝H(m_i||P′_x||P′_y)，i＝1,2,…,k；

S24、随机选取一个整数v∈[1,n-1]，计算解密份额V＝vG和k个消息标识密文

其中，i＝1,2,…,k，

表示二进制逐位异或操作；

S25、发送端将解密份额V，k个发送端身份验证参数{z₁,z₂,…,z_k}和k个消息标识密文{E₁,E₂,…,E_k}发送给接收端。

S3、接收端收到发送端发送过来的信息后，进行以下操作：

S31、寻找第α个消息标识密文E_α，进行解密操作获得第α个消息标识

S32、计算第α个发送端身份判断参数z′_α＝H(m_α||P_x||P_y)，并与收到的发送端身份验证参数集合{z₁,z₂,…,z_k}里面的第α个参数进行比较，判断两个参数是否相等，若相等，则说明解密得到的消息标识来自于真实的发送端，此时，接收解密得到的消息标识，否则，拒绝接收解密得到的消息标识。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种基于椭圆曲线的可验证的不经意传输方法，发送端和接收端预先共享一条有限域上的椭圆曲线，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于椭圆曲线的可验证的不经意传输方法，其特征在于，接收端拥有一对椭圆曲线上的公私钥(d_B,Q_B)，其中，d_B表示接收端基于椭圆曲线的私钥，Q_B＝d_BG表示接收端基于椭圆曲线的公钥；发送端拥有一对椭圆曲线上的公私钥(d_A,Q_A)和k个消息标识(m₁,m₂,…m_k)，其中，d_A表示发送端基于椭圆曲线的私钥，Q_A＝d_AG表示发送端基于椭圆曲线的公钥，m_i表示基于椭圆曲线的长度为256比特的二进制0、1串。

3.根据权利要求2所述的一种基于椭圆曲线的可验证的不经意传输方法，其特征在于，所述接收端计算待获取的第α个消息标识的加密份额T_α和接收端身份验证参数h，包括：

4.根据权利要求3所述的一种基于椭圆曲线的可验证的不经意传输方法，其特征在于，接收端身份判断参数h′的计算公式为：h′＝(P_x′||P_y′)，P′＝d_AQ_B。

5.根据权利要求4所述的一种基于椭圆曲线的可验证的不经意传输方法，其特征在于，k个发送端身份验证参数z_i的计算公式为：z_i＝H(m_i||P_x′||P_y′)；

解密份额V的计算公式为：V＝vG；

k个消息标识密文E_i的计算公式为：E_i＝m_i⊕H((v(T_α-iP′))_x||(v(T_α-iP′))_y)；

其中，i＝1,2,…,k，⊕表示二进制逐位异或操作。

6.根据权利要求5所述的一种基于椭圆曲线的可验证的不经意传输方法，其特征在于，接收端解密得到的第α个消息标识m_α的计算公式为：m_α＝E_α⊕H(sV)。

7.根据权利要求1所述的一种基于椭圆曲线的可验证的不经意传输方法，其特征在于，第α个发送端身份判断参数z′_α的计算公式为：z′_α＝H(m_α||P_x||P_y)。