(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210067698.3 (22)申请日 2022.01.20 (71)申请人 山东多次方半导体有限公司 地址 250000 山东省济南市高新区新 泺大 街1299号鑫盛大厦2号楼704室 (72)发明人 魏萌萌　孙晨昊　 (74)专利代理 机构 北京首捷专利代理有限公司 11873 代理人 梁婧宇 (51)Int.Cl. H04L 9/30(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于椭圆曲线的可验证的不经意传输 方法 (57)摘要 本发明公开了一种基于椭圆曲线的可验证 的不经意传输方法， 包括： 接收端计算待获取的 第α个消息标识的加密份额Tα和接收端身份验 证参数h， 并将加密份额Tα和接收端身份验证参 数h发送至发送端； 发送端验证接收端身份是否 真实性， 若是， 则计算出k个发送端身份验证参 数、 解密份额V和k个消息 标识密文{E1,E2,…Ek}， 发送至接收端； 接收端对第α个消息标识密文 Eα进行解密， 得到第α个消息标识mα； 接收端 验证消息来源是否真实； 若是， 则表示消息来源 真实， 接收解密得到的消息标识mα， 否则， 拒绝 接收解密得到的消息标识mα。 本发明在基于椭 圆曲线的不经意传输协议的执行中， 发送端可以 验证接收端身份的真实性， 接收端也可以验证解 密消息来源的真实性。 权利要求书1页 说明书4页 附图1页 CN 114422135 A 2022.04.29 CN 114422135 A 1.一种基于椭圆曲线的可验证的不经意传输方法， 发送端和接收端预先共享一条有限 域上的椭圆曲线， 其特 征在于， 包括以下步骤： 接收端计算待获取的第α 个消息标识的加密份额Tα和接收端身份验证参数h， 并将加密 份额Tα和接收端身份验证参数h发送至发送端； 其中， α∈[1,k]， 表示待选取的消息标识序 号， k表示发送端拥有的消息标识的个数； 发送端计算接收端身份判断参数h ′， 并与接收端身份验证参数h进行比较； 若二者相 等， 则表示接收端身份 真实， 并计算出k个发送端身份验证参数{z1,z2,…,zk}、 解密份额V和 k个消息标识密文{E1,E2,…,Ek}， 发送至 接收端； 否则， 退 出协议执 行； 接收端从k个消息标识密文{E1,E2,…,Ek}中寻找第α 个消息标识密文Eα， 并进行解密操 作， 得到第α 个消息标识mα； 接收端计算第α个发送端身份判断参数z ′α， 并与收到的k个发送端身份验证参数{z1, z2,…,zk}中的第α 个参数进行比较； 若相等， 则表示消息来源真实， 接收解密得到的消息标 识mα， 否则， 拒绝接收解密得到的消息标识mα。 2.根据权利要求1所述的一种基于椭圆曲线的可验证的不经意传输方法， 其特征在于， 接收端拥有一对椭圆曲线上的公私钥(dB,QB)， 其中， dB表示接收端基于椭圆曲线的私钥， QB ＝dBG表示接收端基于椭圆 曲线的公钥； 发送端拥有一对椭圆 曲线上的公私钥(dA,QA)和k个 消息标识(m1,m2,…mk)， 其中， dA表示发送端基于椭圆曲线的私钥， QA＝dAG表示发送端基于 椭圆曲线的公钥， mi表示基于椭圆曲线的长度为25 6比特的二进制0、 1串。 3.根据权利要求2所述的一种基于椭圆曲线的可验证的不经意传输方法， 其特征在于， 所述接收端计算待获取的第α 个消息标识的加密份额Tα和接收端 身份验证参数h， 包括： 随机选取一个整 数s∈[1,n ‑1]， 计算接收端加密 验证参数P， P＝(Px,Py)＝dBQA， 其中， Px 表示接收端加密验证参数P的横坐标， Py表示接收端加密验证参数P的纵坐标； 为待获取的第α 个消息标识计算加密份额Tα， 其中， Tα＝α P+sG； 计算接收端身份验证参数h， h＝H(Px||Py)； 其中， H表示映射到数的哈希， 长度为256比 特， ||表示二进制0、 1串链接操作。 4.根据权利要求3所述的一种基于椭圆曲线的可验证的不经意传输方法， 其特征在于， 接收端身份判断参数h ′的计算公式为： h ′＝(Px′||Py′)， P′＝dAQB。 5.根据权利要求4所述的一种基于椭圆曲线的可验证的不经意传输方法， 其特征在于， k个发送端 身份验证参数zi的计算公式为： zi＝H(mi||Px′||Py′)； 解密份额V的计算公式为： V＝vG； k个消息标识密文Ei的计算公式为： Ei＝mi⊕H((v(Tα‑iP′))x||(v(Tα‑iP′))y)； 其中， i＝1,2,…,k，⊕表示二进制逐位异或操作。 6.根据权利要求5所述的一种基于椭圆曲线的可验证的不经意传输方法， 其特征在于， 接收端解密得到的第α 个消息标识mα的计算公式为： mα＝Eα⊕H(sV)。 7.根据权利要求1所述的一种基于椭圆曲线的可验证的不经意传输方法， 其特征在于， 第α 个发送端 身份判断参数z ′α的计算公式为： z ′α＝H(mα||Px||Py)。权　利　要　求　书 1/1 页 2 CN 114422135 A 2一种基于椭圆曲线的可验证的不经 意传输方 法 技术领域 [0001]本发明涉及信息安全技术领域， 更具体的说是涉及一种基于椭圆曲线的可验证的 不经意传输方法。 背景技术 [0002]随着数据量的日益增长， 隐私保护面临越来越严峻的考验， 不经意传输作为数据 隐私保护的一种有效方法， 成为信息安全领域一个重要的研究课题。 不经意传输可以让接 收者从发送者的两条或多 条消息中选择一条消息， 而发送者却不能获得接收者所选取消息 的任何信息， 并且接 收者也不能获得除所选取 的那条消息之外的其他消息的任何信息， 已 被应用于电子商务、 电子投票 等互联网通信中。 [0003]但是， 由于互联 网开放性特点， 在设计基于椭圆曲线的不经意输方法时， 可验证性 成为一个值得考虑的问题。 即发送者可以验证与自己通信的接 收者的身份是否是真实的， 而不是被冒充的， 同时接收者又能验证获得的消息是否来源于真实的发送者。 [0004]然而， 在现有的基于椭 圆曲线的不经意传输方法中， 如果攻击者冒充接收者的身 份与发送者进 行通信， 虽然最终攻击者不能从发送者那里获得有关真实接收者所选取消息 的任何信息， 但是 由于发送者不能检测出与自己通信的接 收者的身份是被冒充的， 发送者 需要完成整个协 议的计算， 从而浪费了自己的计算资源。 另外， 如果攻击者冒充发送者的身 份向接收者发送错误的消息， 接收者不能检测出所获得的消息是否来源于真实的发送者， 从而可以导 致攻击者利用错 误消息达到攻击的目的， 对通信双方造成一定的损失。 [0005]因此， 如何提供一种能够验证接收者身份与消息来源真实性的基于椭圆曲线的可 验证的不经意传输方法是本领域 技术人员亟需解决的问题。 发明内容 [0006]有鉴于此， 本发明提供了一种基于椭 圆曲线的可验证的不经意传输方法， 在不经 意传输协议的执行中， 发送端可以验证接 收端身份的真实性， 同时接 收端也可以验证解密 消息来源的真实性。 [0007]为了实现上述目的， 本发明采用如下技 术方案： [0008]一种基于椭圆曲线的可验证的不经意传输方法， 发送端和接收端预先共享一条有 限域上的椭圆曲线， 包括以下步骤： [0009]接收端计算待获取的第α 个消息标识的加密份额Tα和接收端身份验证参数h， 并将 加密份额Tα和接收端身份验证参数h发送至发送端； 其中， α∈[1,k]， 表示待选取的消息标 识序号， k表示发送端拥有的消息标识的个数； [0010]发送端计算接收端身份判断参数h ′， 并与接收端身份验证参数h进行比较； 若二者 相等， 则表 示接收端身份真实， 并计算出k个发送端身份验证参数{z1,z2,…,zk}、 解密份额V 和k个消息标识密文{E1,E2,…,Ek}， 发送至 接收端； 否则， 退 出协议执 行； [0011]接收端从k个消息标识密文{E1,E2,…,Ek}中寻找第α 个消息标识密文Eα， 并进行解说　明　书 1/4 页 3 CN 114422135 A 3