一种不经意传输方法、多方安全计算平台和用于不经意传输的装置与流程

1.本发明涉及计算机技术领域，尤其涉及一种不经意传输方法、多方安全计算平台和用于不经意传输的装置。


背景技术：

2.不经意传输（oblivious transfer，ot）是多方安全计算的基础协议，是一种两方协议，具体是接收方（receiver）与发送方（sender）之间的交互协议。由于ot协议可以保证接收方与发送方两方数据的安全性，从而被广泛应用于各个领域中。
3.一种不经意传输协议需要解决的问题可以描述如下：发送方a拥有秘密m0和m1，接收方b拥有索引a，发送方a和接收方b执行不经意传输协议，使得接收方可以获得其索引a对应的秘密ma（如果a=0，则获得秘密m0；如果a=1，则获得秘密m1），并且上述过程中发送方a不知道接收方b获得的是哪一个秘密。
4.申请号为202110912825.0的专利申请文件，公开了一种两方隐私集合并集计算方法，其中涉及发送方和接收方执行n次不经意传输协议。


技术实现要素：

5.本发明实施例提供一种不经意传输方法、多方安全计算平台和用于不经意传输的装置，可以极大减少ot协议的数据传输量，提高数据传输效率。
6.第一方面，本发明实施例公开了一种不经意传输方法，应用于多方安全计算平台，所述多方安全计算平台包括发送方和接收方，所述方法包括：发送方基于持有的n个消息组，接收方基于持有的n个目标索引，双方执行n次预设操作；其中，一个消息组中包含两个待选择的消息，所述n个目标索引根据接收方的k个原始索引生成，n≥1，n≥k≥1；其中，第i次预设操作包括如下步骤：接收方基于本地产生的随机数和sm2算法的基点g计算第一参数，并将所述第一参数发送给发送方；发送方基于本地产生的随机数和所述第一参数，计算公钥和私钥，并基于预设的密钥生成函数和所述私钥对第i个消息组中的消息进行加密，得到第i个消息组的密文，发送方将所述第i个消息组的密文和所述公钥作为第二参数发送给接收方；接收方基于第i个目标索引、所述密钥生成函数、以及所述第二参数，计算从第i个消息组中选择的目标消息。
7.第二方面，本发明实施例公开了一种不经意传输方法，应用于多方安全计算平台中的发送方，所述多方安全计算平台中还包括接收方，所述方法包括：基于持有的n个消息组与接收方执行n次预设操作，其中，一个消息组中包含两个待选择的消息，接收方持有n个目标索引，所述n个目标索引根据接收方的k个原始索引生
成，n≥1，n≥k≥1；其中，第i次预设操作包括如下步骤：接收来自接收方的第一参数，所述第一参数为接收方基于本地产生的随机数和sm2算法的基点g计算得到；基于本地产生的随机数和所述第一参数，计算公钥和私钥，并基于预设的密钥生成函数和所述私钥对第i个消息组中的消息进行加密，得到第i个消息组的密文，将所述第i个消息组的密文和所述公钥作为第二参数发送给接收方。
8.第三方面，本发明实施例公开了一种不经意传输方法，应用于多方安全计算平台中的接收方，所述多方安全计算平台中还包括发送方，所述方法包括：基于持有的n个目标索引与发送方执行n次预设操作，其中，发送方持有n个消息组，一个消息组中包含两个待选择的消息，所述n个目标索引根据接收方的k个原始索引生成，n≥1，n≥k≥1；其中，第i次预设操作包括如下步骤：基于本地产生的随机数和sm2算法的基点g计算第一参数，并将所述第一参数发送给发送方；接收来自发送方的第二参数，其中，发送方基于本地产生的随机数和所述第一参数，计算公钥和私钥，并基于预设的密钥生成函数和所述私钥对第i个消息组中的消息进行加密，得到第i个消息组的密文，所述第二参数包括所述第i个消息组的密文和所述公钥；基于第i个目标索引、所述密钥生成函数、以及所述第二参数，计算从第i个消息组中选择的目标消息。
9.第四方面，本发明实施例公开了一种多方安全计算平台，所述多方安全计算平台包括发送方和接收方，所述发送方基于持有的n个消息组，所述接收方基于持有的n个目标索引，双方执行n次预设操作；其中，一个消息组中包含两个待选择的消息，所述n个目标索引根据接收方的k个原始索引生成，n≥1，n≥k≥1；所述接收方包括第一参数计算模块，用于基于本地产生的随机数和sm2算法的基点g计算第一参数，并将所述第一参数发送给发送方；所述发送方包括第二参数计算模块，用于基于本地产生的随机数和所述第一参数，计算公钥和私钥，并基于预设的密钥生成函数和所述私钥对第i个消息组中的消息进行加密，得到第i个消息组的密文，将所述第i个消息组的密文和所述公钥作为第二参数发送给接收方；所述接收方还包括目标消息计算模块，用于基于第i个目标索引、所述密钥生成函数、以及所述第二参数，计算从第i个消息组中选择的目标消息。
10.第五方面，本发明实施例公开了一种多方安全计算平台中的接收方，所述多方安全计算平台中还包括发送方，所述发送方基于持有的n个消息组，所述接收方基于持有的n个目标索引，双方执行n次预设操作；其中，一个消息组中包含两个待选择的消息，所述n个目标索引根据接收方的k个原始索引生成，n≥1，n≥k≥1；所述接收方包括：第一参数计算模块，用于基于本地产生的随机数和sm2算法的基点g计算第一参数，并将所述第一参数发送给发送方；第二参数接收模块，用于接收来自发送方的第二参数，其中，所述发送方基于本地
产生的随机数和所述第一参数，计算公钥和私钥，并基于预设的密钥生成函数和所述私钥对第i个消息组中的消息进行加密，得到第i个消息组的密文，发送方将所述第i个消息组的密文和所述公钥作为第二参数；目标消息计算模块，用于基于第i个目标索引、所述密钥生成函数、以及所述第二参数，计算从第i个消息组中选择的目标消息。
11.第六方面，本发明实施例公开了一种多方安全计算平台中的发送方，所述多方安全计算平台中还包括接收方，所述发送方基于持有的n个消息组，所述接收方基于持有的n个目标索引，双方执行n次预设操作；其中，一个消息组中包含两个待选择的消息，所述n个目标索引根据接收方的k个原始索引生成，n≥1，n≥k≥1；所述发送方包括：第一参数接收模块，用于接收来自接收方的第一参数，所述第一参数为接收方基于本地产生的随机数和sm2算法的基点g计算得到；第二参数计算模块，用于基于本地产生的随机数和所述第一参数，计算公钥和私钥，并基于预设的密钥生成函数和所述私钥对第i个消息组中的消息进行加密，得到第i个消息组的密文，将所述第i个消息组的密文和所述公钥作为第二参数发送给接收方。
12.第七方面，本发明实施例公开了一种用于不经意传输的装置，包括有存储器，以及一个以上程序，其中一个以上程序存储于存储器中，且经配置以由一个以上处理器执行所述一个以上程序，所述一个以上程序包含用于进行如前述一个或多个所述的不经意传输方法的指令。
13.第八方面，本发明实施例公开了一种机器可读介质，其上存储有指令，当所述指令由装置的一个或多个处理器执行时，使得装置执行如前述一个或多个所述的不经意传输方法。
14.本发明实施例包括以下优点：本发明实施例基于sm2椭圆曲线算法实现2选1的ot协议，并且在2选1的ot协议基础上，通过执行n次2选1的ot协议可以扩展实现n选1的ot协议以及n选k的ot协议。相对于传统的rsa加密算法，sm2可以使用比rsa更短的密钥得到相同的安全性，在实现同等安全性的情况下，本发明实施例可以极大减少ot协议的数据传输量，提高数据传输效率。
附图说明
15.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
16.图1是本发明的一种不经意传输方法实施例中第i次预设操作的步骤流程图；图2是本发明的一次预设操作中发送方和参与方的交互流程示意图；图3是本发明的一种n选1的不经意传输场景中发送方和参与方的交互流程示意图；图4是本发明的一种n选k的不经意传输场景中发送方和参与方的交互流程示意图；图5是本发明的另一种不经意传输方法实施例中第i次预设操作的步骤流程图；
图6是本发明的又一种不经意传输方法实施例中第i次预设操作的步骤流程图；图7是本发明的一种多方安全计算平台实施例的结构框图；图8是本发明的一种用于不经意传输的装置800的框图；图9是本发明的一些实施例中服务器的结构示意图。
具体实施方式
17.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
18.本发明的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”等所区分的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。此外，说明书以及权利要求中的术语“和/或”用于描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本发明实施例中术语“多个”是指两个或两个以上，其它量词与之类似。
19.本发明实施例提供了一种不经意传输方法，所述方法可应用于多方安全计算平台，所述多方安全计算平台可以包括发送方和接收方，所述方法可以包括如下步骤：发送方基于持有的n个消息组，接收方基于持有的n个目标索引，双方执行n次预设操作；其中，一个消息组中包含两个待选择的消息，所述n个目标索引根据接收方的k个原始索引生成，n≥1，n≥k≥1。参照图1，示出了本发明一种不经意传输方法实施例中第i次预设操作的步骤流程图，所述第i次预设操作可以包括如下步骤：步骤101、接收方基于本地产生的随机数和sm2算法的基点g计算第一参数，并将所述第一参数发送给发送方；步骤102、发送方基于本地产生的随机数和所述第一参数，计算公钥和私钥，并基于预设的密钥生成函数和所述私钥对第i个消息组中的消息进行加密，得到第i个消息组的密文，发送方将所述第i个消息组的密文和所述公钥作为第二参数发送给接收方；步骤103、接收方基于第i个目标索引、所述密钥生成函数、以及所述第二参数，计算从第i个消息组中选择的目标消息。
20.本发明实施例的不经意传输方法可以基于多方安全计算平台实现不经意传输（oblivious transfer，ot）协议。ot协议是一种密码学协议，被广泛应用于多方安全计算等领域。
21.本发明实施例的不经意传输方法可适用于1-out-of-2（2选1）的ot协议、1-out-of-n（n选1）的ot协议、以及k-out-of-n（n选k）的ot协议等。
22.1-out-of-2（2选1）的 ot协议解决的问题可以描述如下：假设参与方包括alice和bob，alice（发送方）持有两个待选择的消息m0和m1，bob（接收方）持有索引a，a的取值为0或1。alice和bob双方执行1-out-of-2的ot协议，使得bob仅可以得到索引a对应的消息ma（如
果a=0，则得到消息m0；如果a=1，则得到消息m1），bob对其他消息一无所知，并且上述过程中alice不知道bob获得的是哪一个消息。
23.1-out-of-n（n选1）的ot协议解决的问题可以描述如下：假设参与方包括alice和bob，alice（发送方）持有n个待选择的消息m0、m1、m2、
…
、m
n-1
，bob（接收方）持有索引a，a的取值可以为0~n-1中的某一个。alice和bob双方执行1-out-of-n的ot协议，使得bob仅可以得到索引a对应的消息ma，bob对其他消息一无所知，并且上述过程中alice不知道bob获得的是哪一个消息。
24.k-out-of-n（n选k）的ot协议解决的问题可以描述如下：假设参与方包括alice和bob，alice（发送方）持有n个待选择的消息m0、m1、m2、
…
、m
n-1
，bob（接收方）持有k个索引a0~a
k-1
，a0~a
k-1
中每一个的取值可以为0~n-1中的某一个。alice和bob双方执行k-out-of-n的ot协议，使得bob仅可以得到索引a0~a
k-1
对应的消息m
a0
~m
ak-1
，bob对其他消息一无所知，并且上述过程中alice不知道bob获得的是哪些消息。
25.上述1-out-of-2（2选1）的ot协议、1-out-of-n（n选1）的ot协议、以及k-out-of-n（n选k）的ot协议是多方安全计算的基础组件之一，可应用于混淆电路、预处理数据生成、不经意多项式计算等应用场景。
26.需要说明的是，本发明实施例中使用alice和bob来标识两个对等的通信实体。通信实体alice和bob 分别对应发送方和接收方，两者的地位与顺序可以互换。
27.需要说明的是，在2选1的ot协议场景下，n=1，k=1，也即发送方持有1个消息组，该消息组中包含两个待选择的消息，如记为消息m0和m1；接收方持有1个原始索引，如记为a，a的值可以为0或1。在2选1的ot协议场景下，接收方持有的1个原始索引即可作为目标索引。双方执行一次预设操作，所述预设操作的执行结果为接收方获得消息ma，而对未选择的消息一无所知，且发送方无法获知接收方选择了哪个消息。
28.在本发明实施例中，在n=1，k=1时，接收方将持有的1个原始索引作为目标索引，发送方和接收方执行一次预设操作，可以实现1-out-of-2（2选1）的ot协议。在n＞1，k=1时，接收方将持有的1个原始索引扩展为n个目标索引，发送方和接收方执行n次预设操作，可以实现1-out-of-n（n选1）的ot协议。在n＞1，k＞1时，接收方将持有的k个原始索引扩展为n个目标索引，发送方和接收方执行n次预设操作，可以实现k-out-of-n（n选k）的ot协议。
29.在本发明实施例中，执行一次预设操作实际是发送方和接收方执行了一次1-out-of-2（2选1）的ot协议。在此基础上，发送方和接收方执行n次预设操作（也即执行n次2选1的ot协议），可以实现1-out-of-n（n选1）的ot协议以及k-out-of-n（n选k）的ot协议。下面分别进行描述。
30.在2选1的ot协议场景下，发送方和接收方双方执行的一次预设操作的具体过程如下：接收方基于本地产生的随机数和sm2算法的基点g计算第一参数，并将所述第一参数发送给发送方；发送方基于本地产生的随机数和所述第一参数，计算公钥和私钥，并基于预设的密钥生成函数和所述私钥对消息m0和m1分别进行加密，得到每个消息的密文，发送方将每个消息的密文和所述公钥作为第二参数发送给接收方；接收方基于持有的目标索引a、所述密钥生成函数、以及所述第二参数，计算从消息m0和m1中选择的目标消息ma。
31.其中，sm2 是国家密码管理局发布的椭圆曲线公钥密码算法。g是椭圆曲线的一个基点。第一参数用于生成公钥和私钥，发送方利用私钥可以对其持有的消息进行加密生成
消息的密文。第二参数中包括消息的密文和公钥，接收方基于持有的索引，利用第二参数可以解密得到目标消息。所述密钥生成函数可以用于生成密钥。例如，密钥生成函数可以为kdf（key derivation function，密钥派生函数）。
32.椭圆曲线密码（elliptic curve cryptography，ecc）是一种基于在有限域上定义的椭圆曲线算法的公开密钥体制。sm2算法是是ecc密码体制的一种具体算法。在国家标准《gb/t 32918信息安全技术sm2椭圆曲线公钥密码算法》标准中规定了一种椭圆曲线公钥密码算法，基于sm2的加密算法和解密算法符合该标准的规定。本发明实施例利用sm2算法实现ot协议，将多方安全计算与国产密码算法进行结合，使得多方安全计算更加符合国家标准。此外，相较于常用的rsa加密算法，sm2算法具有更高的安全性和计算速度。
33.在本发明的一种可选实施例中，所述接收方基于本地产生的随机数和sm2算法的基点g计算第一参数，可以包括：步骤s11、接收方令第一临时公钥g0=g，生成第一随机数r_r1，基于第一随机数r_r1与基点g的点乘计算，得到第二临时公钥g1；步骤s12、接收方生成第二随机数r_r2，基于第二随机数r_r2与基点g的点乘计算和点加计算、以及第二临时公钥g1，计算得到第三临时公钥h0和第四临时公钥h1；步骤s13、接收方生成第一随机数组r_r3，基于第一随机数组r_r3与基点g的点乘计算和点加计算、以及第i个目标索引、第一临时公钥g0、第二临时公钥g1、第三临时公钥h0、第四临时公钥h1，计算得到第五临时公钥g’和第六临时公钥h’；步骤s14、接收方将第二临时公钥g1、第三临时公钥h0、第四临时公钥h1、第五临时公钥g’、以及第六临时公钥h’作为第一参数。
34.在2选1的ot协议场景下，假设发送方持有消息m0和m1，接收方持有目标索引a。接收方令第一临时公钥g0=g，g0可以是发送方和接收方双方都知道的公知参数。接收方生成第一随机数r_r1，基于第一随机数r_r1与基点g的点乘计算，得到第二临时公钥g1，如g1=[r_r1]*g。其中，[]表示椭圆曲线上的倍点运算。例如，[r_r1]*g表示椭圆曲线上点g的r_r1倍点。接收方生成第二随机数r_r2，基于第二随机数r_r2与基点g的点乘计算和点加计算、以及第二临时公钥g1，计算得到第三临时公钥h0和第四临时公钥h1，如h0=[r_r2]*g，h1=g1 [r_r2]*g。接收方生成第一随机数组r_r3，第一随机数组r_r3可以包含n个随机数。接收方基于第一随机数组r_r3与基点g的点乘计算和点加计算，以及第i个目标索引（如记为ai）、第一临时公钥g0、第二临时公钥g1、第三临时公钥h0、第四临时公钥h1，计算得到第五临时公钥g’和第六临时公钥h’，如g’=g
ai
[r_r3]*g，h’= h
ai
[r_r3]*g。接收方将第二临时公钥g1、第三临时公钥h0、第四临时公钥h1、第五临时公钥g’、以及第六临时公钥h’作为第一参数给发送方。其中，当ai=0时，g
ai
=g0，h
ai
=h0；当ai=1时，g
ai
=g1，h
ai
=h1。
[0035]
需要说明的是，本发明实施例对生成随机数的方式不做限制，上述r_r1、r_r2、r_r3仅作为一种符号表示，并不用于限制随机数的具体数值。此外，在本发明实施例中，第i个目标索引可以表示为ai或者ai。例如，在第i个目标索引作为下标时，本发明实施例中以ai表示。如g
ai
、h
ai
等。
[0036]
在本发明的一种可选实施例中，所述发送方基于本地产生的随机数和所述第一参数，计算公钥和私钥，并基于预设的密钥生成函数和所述私钥对第i个消息组中的消息进行加密，得到第i个消息组的密文，可以包括：
步骤s21、发送方生成第二随机数组，基于第二随机数组中的随机数与第一参数中的参数的点乘计算和点加计算，得到第一公钥u0、第一私钥v0、第二公钥u1、以及第二私钥v1；步骤s22、发送方基于第一私钥v0和预设的密钥生成函数生成第一密钥，利用第一密钥对第i个消息组中的第一消息进行加密，得到第一消息的密文e0，以及基于第二私钥v1和密钥生成函数生成第二密钥，利用第二密钥对第i个消息组中的第二消息进行加密，得到第二消息的密文e1。
[0037]
在2选1的ot协议场景下，假设发送方持有消息m0和m1，接收方持有目标索引a。接收方将第二临时公钥g1、第三临时公钥h0、第四临时公钥h1、第五临时公钥g’、以及第六临时公钥h’作为第一参数给发送方。发送方生成第二随机数组，基于第二随机数组中的随机数与第一参数中的参数的点乘计算和点加计算，得到第一公钥u0、第一私钥v0、第二公钥u1、以及第二私钥v1。
[0038]
示例性地，发送方生成的第二随机数组包括如下随机数：s0、s1、t0、t1。u0=[s0]*g0 [t0]*h0，v0=[s0]*g’ [t0]*h’，u1=[s1]*g1 [t1]*h1，v1=[s1]*g’ [t1]*h’。
[0039]
发送方基于第一私钥v0和预设的密钥生成函数kdf生成第一密钥，利用第一密钥对第一消息（如消息m0）进行加密，得到第一消息的密文e0，如e0=kdf(v0)
⊕
m0；其中，
⊕
表示两者按比特逐一进行异或操作。发送方基于第二私钥v1和kdf生成第二密钥，利用第二密钥对第二消息（如消息m1）进行加密，得到第二消息的密文e1，如e1= kdf(v1)
⊕
m1。
[0040]
发送方将第一消息的密文、第二消息的密文、第一公钥u0和第二公钥u1作为第二参数发送给接收方。
[0041]
接收方基于持有的目标索引ai、所述密钥生成函数、以及所述第二参数，计算从消息m0和消息m1中选择的目标消息，得到目标消息为m
ai
。
[0042]
在本发明的一种可选实施例中，所述接收方基于第i个目标索引、所述密钥生成函数、以及所述第二参数，计算从第i个消息组中选择的目标消息，可以包括：通过下式计算得到目标消息m
ai
：m
ai
=kdf(u
ai-[r_r3]g)
⊕eai
，其中，ai表示第i个目标索引，kdf为密钥生成函数；当ai=0时，u
ai
=u0，e
ai
=e0；当ai=1时，u
ai
=u1，e
ai
=e1。
[0043]
在2选1的ot协议场景下，假设发送方持有消息m0和m1，接收方仅持有一个目标索引（也即原始索引），如记为a，a取值为0或1，则可以通过下式计算目标消息ma：ma=kdf(u
a-[r_r3]g)
⊕
ea。其中，当a=0时，ua= u0，ea= e0；当a=1时，ua= u1，ea= e1。
[0044]
参照图2，示出了一次预设操作中发送方和参与方的交互流程示意图。也即，图2示出了执行一次2选1的不经意传输协议场景中双方的交互流程示意图。其中，发送方持有消息m0和m1，接收方持有目标索引a。如图2所示，双方交互过程具体如下：步骤0、接收方令g0=g；生成第一随机数r_r1，基于sm2标准椭圆曲线上的点乘计算，得到g1=[r_r1]*g。
[0045]
步骤1、接收方生成第二随机数r_r2。
[0046]
步骤2、接收方基于sm2标准椭圆曲线上的点乘及点加，计算：h0=[r_r2]g，h1=g1 [r_r2]g。
[0047]
步骤3、接收方生成包含n个随机数的第一随机数组r_r3。
[0048]
步骤4、接收方针对目标索引a，基于sm2标准椭圆曲线上的点乘及点加，计算：g’=
(ga) [r_r3]g，h’=(ha) [r_r3]g。接收方将g1，h0，h1，g’，h’发送给发送方。
[0049]
步骤5、发送方生成第二随机数组，包括随机数s0、s1、t0、t1。
[0050]
步骤6、发送方基于sm2标准椭圆曲线上的点乘及点加，计算：u0=[s0]*g0 [t0]*h0，v0=[s0]*g’ [t0]*h’;u1=[s1]*g1 [t0]*h1，v1=[s1]* g’ [t1]* h’。
[0051]
步骤7、发送方令kdf为密钥生成函数，计算e0=kdf(v0)
⊕
m0，e1=kdf(v1)
⊕
m1。发送方将e0、e1；u0、u1发送给接收方。
[0052]
步骤8、接收方计算目标消息ma=kdf(u
a-[r_r3]*g)
⊕
ea。
[0053]
在本发明的一种可选实施例中，所述多方安全计算平台可以基于半诚实参与方模型的不经意传输协议。
[0054]
在多方安全计算中存在两种安全模型：半诚实参与方模型和恶意参与方模型。半诚实参与方模型是指，在协议执行时参与方按照协议规定的流程执行，但是可能会被恶意攻击者监听获取到在协议执行过程中的自己的输入输出以及在协议运行过程中获得的信息。恶意参与方模型是指：在协议执行时，攻击者可以通过在其控制下的参与方进行通过不合法的输入，或者恶意篡改输入等等方法来分析诚实的参与者的隐私信息，还可以通过提前终止和拒绝参与等方式导致协议的终止。
[0055]
本发明实施例基于sm2算法和随机数对发送方的消息和接收方的索引进行了加密（遮盖），使得参与方无法基于协议运行中的信息获得ot定义中需要保密的信息。因此，通过本发明实施例的不经意传输方法，可以实现半诚实参与方模型的不经意传输协议。
[0056]
n选1的ot协议以及n选k的ot协议与2选1的ot协议的实现过程相类似。在n选1的ot协议以及n选k的ot协议场景下，发送方和接收方双方执行n（n＞1）次预设操作，也即执行n次前述的2选1的ot协议。在本发明实施例中，n、k、i均为整数。下面分别描述n选1的ot协议场景以及n选k的ot协议场景。
[0057]
在本发明的一种可选实施例中，在n选1的ot协议场景下，n＞1，k=1，发送方持有如下n个消息：m0～m
n-1
，如包含m0、m1、m2、
…
、m
n-1
，接收方持有原始索引a，a的取值范围为0～n-1，也即a的取值可以为0～n-1中的任意一个整数。
[0058]
在n选1的ot协议场景下，所述方法还可以包括：步骤s31、发送方根据持有的n个消息，设置n个消息组，其中，第j个消息组包括如下消息：0和mj，j的取值范围为0～n-1；步骤s32、接收方根据持有的原始索引a，设置n个目标索引，该n个目标索引中的第a个目标索引的值为1，其余目标索引的值为0；步骤s33、接收方在第a次预设操作完成时获得n选1的不经意传输结果ma。
[0059]
在n选1的ot协议场景下，发送方根据持有的如下n个消息：m0，m1， m2，
…ꢀmn-1
，设置如下n个消息组：[0, m0]、[0, m1]、[0, m2]、
…
、[0, m
a0
]、
…
、[0, m
n-1
]。接收方根据持有的原始索引a，设置如下n个目标索引：0、0、0、
…
、1、
…
、0。其中，第a个目标索引的值为1，其余目标索引的值为0。
[0060]
在n选1的ot协议场景下，发送方基于其持有的n个消息组，接收方基于持有的n个索引，双方执行前述n次预设操作，也即执行n次前述的2选1的ot协议。其中，发送方基于其持有的第i个消息组，接收方基于其持有的第i个目标索引，双方执行第i次预设操作。
[0061]
参照图3，示出了本发明的一种n选1的不经意传输场景中发送方和参与方的交互流程示意图。
[0062]
示例性地，发送方基于第0个消息组[0, m0]，接收方基于第0个目标索引0，执行第0次前述的2选1的ot协议，此时得到的结果为接收方选择消息0，因此不会泄露消息m0。发送方基于第1个消息组[0, m1]，接收方基于第1个目标索引0，执行第1次前述的2选1的ot协议，此时得到的结果为接收方选择消息0，因此不会泄露消息m1。以此类推，发送方基于第a个消息组[0, ma]，接收方基于第a个目标索引1，执行第a次前述的2选1的ot协议，此时得到的结果为接收方选择消息ma。直到完成发送方基于第n-1个消息组[0, m
n-1
]，接收方基于第n-1个目标索引0，执行第n-1次前述的2选1的ot协议，此时得到的结果为接收方选择消息0，因此不会泄露消息m
n-1
。也即，接收方在第a次2选1的ot协议执行完成时获得n选1的ot协议传输的结果ma。
[0063]
在本发明的一种可选实施例中，在n选k的ot协议场景下，n＞1，k＞1，发送方持有n个消息：m0～m
n-1
，如包含m0、m1、m2、
…
、m
n-1
，接收方持有原始索引a0～a
k-1
，a0～a
k-1
中每一个的取值范围为0～n-1。也即，a0～a
k-1
中每一个的取值可以为0～n-1中的任意一个整数。
[0064]
在n选k的ot协议场景下，所述方法还可以包括：步骤s41、发送方根据持有的n个消息，设置n个消息组，其中，第j个消息组包括如下消息：0和mj，j的取值范围为0～n-1；步骤s42、接收方根据持有的原始索引a0～a
k-1
，设置n个目标索引，该n个目标索引中的第a0～a
k-1
个目标索引的值为1，其余目标索引的值为0；步骤s43、接收方在第a0~a
k-1
次预设操作完成时获得n选k的不经意传输结果m
a0
~m
ak-1
。
[0065]
在n选k的ot协议场景下，发送方根据持有的如下n个消息：m0，m1， m2，
…ꢀmn-1
，设置如下n个消息组：[0, m0]、[0, m1]、[0, m2]、
…
、[0, m
a0
]、
…
、[0, m
n-1
]。接收方根据持有的原始索引a0~a
k-1
，设置如下n个目标索引：0、1、0、
…
、1、0、
…
、1、
…
、0。其中，第a0~a
k-1
个目标索引的值为1，其余目标索引的值为0。
[0066]
在n选k的ot协议场景下，发送方基于其持有的n个消息组，接收方基于其持有的n个目标索引，双方执行前述n次预设操作，也即执行n次前述的2选1的ot协议。其中，发送方基于其持有的第i个消息组，接收方基于其持有的第i个目标索引，双方执行第i次预设操作。
[0067]
参照图4，示出了本发明的一种n选k的不经意传输场景中发送方和参与方的交互流程示意图。
[0068]
示例性地，发送方基于第0个消息组[0, m0]，接收方基于第0个目标索引0，执行第0次前述的2选1的ot协议，此时得到的结果为接收方选择消息0，因此不会泄露消息m0。发送方基于第1个消息组[0, m1]，接收方基于第1个目标索引0，执行第1次前述的2选1的ot协议，此时得到的结果为接收方选择消息0，因此不会泄露消息m1。以此类推，发送方基于第a0个消息组[0, m
a0
]，接收方基于第a0个目标索引1，执行第a0次前述的2选1的ot协议，此时得到的结果为接收方选择消息m
a0
。以此类推，发送方基于第a1个消息组[0, m
a1
]，接收方基于第a1个目标索引1，执行第a1次前述的2选1的ot协议，此时得到的结果为接收方选择消息m
a1
。直到完成发送方基于第n-1个消息组[0, m
n-1
]，接收方基于第n-1个目标索引0，执行第
n-1次前述的2选1的ot协议，此时得到的结果为接收方选择消息0，因此不会泄露消息m
n-1
。也即，接收方在第a0~a
k-1
次2选1的ot协议执行完成时获得n选1的ot协议传输的结果m
a0
~m
ak-1
。
[0069]
需要说明的是，本发明实施例中从0开始计数，当然，在具体实施中，本发明对此不做限制，可以从任意数值开始计数。此外，a0~a
k-1
个索引可以是连续的目标索引，也可以是不连续的目标索引，上述示例仅作为本发明的一种应用示例，不应作为本发明实现n选k的ot协议的限制。
[0070]
综上，本发明实施例基于sm2椭圆曲线算法实现2选1的ot协议，并且在2选1的ot协议基础上，通过执行n次2选1的ot协议可以扩展实现n选1的ot协议以及n选k的ot协议。相对于传统的rsa加密算法，sm2可以使用比rsa更短的密钥得到相同的安全性，在实现同等安全性的情况下，本发明实施例可以极大减少ot协议的数据传输量，提高数据传输效率。
[0071]
本发明实施例提供了一种不经意传输方法，所述方法可应用于多方安全计算平台中的发送方，所述多方安全计算平台中还包括接收方，所述方法可以包括如下步骤：基于持有的n个消息组与接收方执行n次预设操作，其中，一个消息组中包含两个待选择的消息，接收方持有n个目标索引，所述n个目标索引根据接收方的k个原始索引生成，n≥1，n≥k≥1。参照图5，示出了本发明的另一种不经意传输方法实施例中第i次预设操作的步骤流程图，所述第i次预设操作可以包括如下步骤：步骤501、接收来自接收方的第一参数，所述第一参数为接收方基于本地产生的随机数和sm2算法的基点g计算得到；步骤502、基于本地产生的随机数和所述第一参数，计算公钥和私钥，并基于预设的密钥生成函数和所述私钥对第i个消息组中的消息进行加密，得到第i个消息组的密文，将所述第i个消息组的密文和所述公钥作为第二参数发送给接收方。
[0072]
接收方接收到发送方发送的第二参数后，可以基于第i个目标索引、所述密钥生成函数、以及所述第二参数，计算从第i个消息组中选择的目标消息。
[0073]
可选地，所述基于本地产生的随机数和所述第一参数，计算公钥和私钥，并基于预设的密钥生成函数和所述私钥对第i个消息组中的消息进行加密，得到第i个消息组的密文，包括：生成第二随机数组，基于第二随机数组中的随机数与第一参数中的参数的点乘计算和点加计算，得到第一公钥u0、第一私钥v0、第二公钥u1、以及第二私钥v1；基于第一私钥v0和预设的密钥生成函数生成第一密钥，利用第一密钥对第i个消息组中的第一消息进行加密，得到第一消息的密文e0，以及基于第二私钥v1和密钥生成函数生成第二密钥，利用第二密钥对第i个消息组中的第二消息进行加密，得到第二消息的密文e1。
[0074]
可选地，所述第i个消息组中包含第一消息m0和第二消息m1，第i个目标索引为ai，其中，第二随机数组包括如下随机数：s0、s1、t0、t1；第一公钥u0=[s0]*g0 [t0]*h0；第一私钥v0=[s0]*g’ [t0]*h’；第二公钥u1=[s1]*g1 [t1]*h1；
第二私钥v1=[s1]*g’ [t1]*h’；第一消息的密文e0=kdf(v0)
⊕
m0，kdf为密钥生成函数；第二消息的密文e1= kdf(v1)
⊕
m1。
[0075]
可选地，在n选1的ot协议场景下，n＞1，所述发送方持有n个消息：m0～m
n-1
，如包括m0、m1、m2、
…
、m
n-1
，所述方法还包括：根据持有的n个消息，设置n个消息组，其中，第j个消息组包括如下消息：0和mj，j的取值范围为0～n-1。
[0076]
在n选1的ot协议场景下，n＞1，k=1，发送方持有如下n个消息：m0～m
n-1
，如包含m0、m1、m2、
…
、m
n-1
，接收方持有原始索引a，a的取值范围为0～n-1，也即a的取值可以为0～n-1中的任意一个整数。接收方根据持有的原始索引a，设置如下n个目标索引：0、0、0、
…
、1、
…
、0。其中，第a个目标索引的值为1，其余目标索引的值为0。
[0077]
在n选1的ot协议场景下，发送方基于其持有的n个消息组，接收方基于持有的n个索引，双方执行前述n次预设操作，也即执行n次前述的2选1的ot协议。其中，发送方基于其持有的第i个消息组，接收方基于其持有的第i个目标索引，双方执行第i次预设操作。接收方在第a次2选1的ot协议执行完成时获得n选1的ot协议传输的结果ma。
[0078]
在n选k的ot协议场景下，n＞1，k＞1，发送方持有n个消息：m0～m
n-1
，如包含m0、m1、m2、
…
、m
n-1
，接收方持有原始索引a0～a
k-1
，a0～a
k-1
中每一个的取值范围为0～n-1。也即，a0～a
k-1
中每一个的取值可以为0～n-1中的任意一个整数。
[0079]
在n选k的ot协议场景下，发送方根据持有的如下n个消息：m0，m1， m2，
…ꢀmn-1
，设置如下n个消息组：[0, m0]、[0, m1]、[0, m2]、
…
、[0, m
a0
]、
…
、[0, m
n-1
]。接收方根据持有的原始索引a0~a
k-1
，设置如下n个目标索引：0、1、0、
…
、1、0、
…
、1、
…
、0。其中，第a0~a
k-1
个目标索引的值为1，其余目标索引的值为0。
[0080]
在n选k的ot协议场景下，发送方基于其持有的n个消息组，接收方基于其持有的n个目标索引，双方执行前述n次预设操作，也即执行n次前述的2选1的ot协议。其中，发送方基于其持有的第i个消息组，接收方基于其持有的第i个目标索引，双方执行第i次预设操作。接收方在第a0~a
k-1
次2选1的ot协议执行完成时获得n选1的ot协议传输的结果m
a0
~m
ak-1
。
[0081]
可选地，所述多方安全计算平台基于半诚实参与方模型的不经意传输协议。
[0082]
本发明实施例的不经意传输方法可适用于1-out-of-2（2选1）的ot协议、1-out-of-n（n选1）的ot协议、以及k-out-of-n（n选k）的ot协议等。
[0083]
图5所示的不经意传输方法中发送方的执行步骤在图1所示的实施例中已经具体说明，此处不再赘述，参考前述实施例中的具体过程即可。
[0084]
本发明实施例基于sm2椭圆曲线算法实现2选1的ot协议，并且在2选1的ot协议基础上，通过执行n次2选1的ot协议可以扩展实现n选1的ot协议以及n选k的ot协议。相对于传统的rsa加密算法，sm2可以使用比rsa更短的密钥得到相同的安全性，在实现同等安全性的情况下，本发明实施例可以极大减少ot协议的数据传输量，提高数据传输效率。
[0085]
本发明实施例提供了一种不经意传输方法，所述方法可应用于多方安全计算平台中的接收方，所述多方安全计算平台中还包括发送方，所述方法可以包括如下步骤：基于持有的n个目标索引与发送方执行n次预设操作，其中，发送方持有n个消息组，一个消息组中包含两个待选择的消息，所述n个目标索引根据接收方的k个原始索引生成，n≥1，n≥k≥1。
参照图6，示出了本发明的又一种不经意传输方法实施例中第i次预设操作的步骤流程图，所述第i次预设操作可以包括如下步骤：步骤601、基于本地产生的随机数和sm2算法的基点g计算第一参数，并将所述第一参数发送给发送方；步骤602、接收来自发送方的第二参数，其中，发送方基于本地产生的随机数和所述第一参数，计算公钥和私钥，并基于预设的密钥生成函数和所述私钥对第i个消息组中的消息进行加密，得到第i个消息组的密文，所述第二参数包括所述第i个消息组的密文和所述公钥；步骤603、基于第i个目标索引、所述密钥生成函数、以及所述第二参数，计算从第i个消息组中选择的目标消息。
[0086]
可选地，所述基于本地产生的随机数和sm2算法的基点g计算第一参数，包括：令第一临时公钥g0=g，生成第一随机数r_r1，基于第一随机数r_r1与基点g的点乘计算，得到第二临时公钥g1；生成第二随机数r_r2，基于第二随机数r_r2与基点g的点乘计算和点加计算、以及第二临时公钥g1，计算得到第三临时公钥h0和第四临时公钥h1；生成第一随机数组r_r3，基于第一随机数组r_r3与基点g的点乘计算和点加计算、以及第i个目标索引、第一临时公钥g0、第二临时公钥g1、第三临时公钥h0、第四临时公钥h1，计算得到第五临时公钥g’和第六临时公钥h’；将第二临时公钥g1、第三临时公钥h0、第四临时公钥h1、第五临时公钥g’、以及第六临时公钥h’作为第一参数。
[0087]
可选地，所述第i个消息组中包含第一消息m0和第二消息m1，所述第i个目标索引为ai，其中，第二临时公钥g1=[r_r1]*g；第三临时公钥h0=[r_r2]*g；第四临时公钥h1=g1 [r_r2]*g；第五临时公钥g’=(g
ai
) [r_r3]*g；其中，当ai=0时，g
ai
=g0；当ai=1时，g
ai
=g1；第六临时公钥h’=(h
ai
) [r_r3]*g；其中，当ai=0时，h
ai
=h0；当ai=1时，h
ai
=h1。
[0088]
可选地，可以通过下式计算从第i个消息组中选择的目标消息m
ai
：m
ai
=kdf(u
ai-[r_r3]*g)
⊕eai
，kdf为密钥生成函数；其中，当ai=0时，u
ai
=u0，e
ai
=e0；当ai=1时，u
ai
=u1，e
ai
=e1。
[0089]
可选地，n＞1，k=1，所述接收方持有原始索引a，a的取值范围为0～n-1；所述方法还包括：根据持有的原始索引a，设置n个目标索引，该n个目标索引中的第a个目标索引的值为1，其余目标索引的值为0；在第a次预设操作完成时获得n选1的不经意传输结果ma。
[0090]
在n选1的ot协议场景下，n＞1，k=1，发送方持有如下n个消息：m0～m
n-1
，如包含m0、m1、m2、
…
、m
n-1
，接收方持有原始索引a，a的取值范围为0～n-1，也即a的取值可以为0～n-1中的任意一个整数。接收方根据持有的原始索引a，设置如下n个目标索引：0、0、0、
…
、1、
…
、0。其中，第a个目标索引的值为1，其余目标索引的值为0。
[0091]
在n选1的ot协议场景下，发送方基于其持有的n个消息组，接收方基于持有的n个
索引，双方执行前述n次预设操作，也即执行n次前述的2选1的ot协议。其中，发送方基于其持有的第i个消息组，接收方基于其持有的第i个目标索引，双方执行第i次预设操作。接收方在第a次2选1的ot协议执行完成时获得n选1的ot协议传输的结果ma。
[0092]
可选地，n＞1，k＞1，所述接收方持有原始索引a0～a
k-1
，a0～a
k-1
中每一个的取值范围为0～n-1；所述方法还包括：根据持有的原始索引a0～a
k-1
，设置n个目标索引，该n个目标索引中的第a0～a
k-1
个目标索引的值为1，其余目标索引的值为0；在第a0~a
k-1
次预设操作完成时获得n选k的不经意传输结果m
a0
~m
ak-1
。
[0093]
在n选k的ot协议场景下，n＞1，k＞1，发送方持有n个消息：m0～m
n-1
，如包含m0、m1、m2、
…
、m
n-1
，接收方持有原始索引a0～a
k-1
，a0～a
k-1
中每一个的取值范围为0～n-1。也即，a0～a
k-1
中每一个的取值可以为0～n-1中的任意一个整数。
[0094]
在n选k的ot协议场景下，发送方根据持有的如下n个消息：m0，m1， m2，
…ꢀmn-1
，设置如下n个消息组：[0, m0]、[0, m1]、[0, m2]、
…
、[0, m
a0
]、
…
、[0, m
n-1
]。接收方根据持有的原始索引a0~a
k-1
，设置如下n个目标索引：0、1、0、
…
、1、0、
…
、1、
…
、0。其中，第a0~a
k-1
个目标索引的值为1，其余目标索引的值为0。
[0095]
在n选k的ot协议场景下，发送方基于其持有的n个消息组，接收方基于其持有的n个目标索引，双方执行前述n次预设操作，也即执行n次前述的2选1的ot协议。其中，发送方基于其持有的第i个消息组，接收方基于其持有的第i个目标索引，双方执行第i次预设操作。接收方在第a0~a
k-1
次2选1的ot协议执行完成时获得n选1的ot协议传输的结果m
a0
~m
ak-1
。
[0096]
可选地，所述多方安全计算平台基于半诚实参与方模型的不经意传输协议。
[0097]
本发明实施例的不经意传输方法可适用于1-out-of-2（2选1）的ot协议、1-out-of-n（n选1）的ot协议、以及k-out-of-n（n选k）的ot协议等。
[0098]
图6所示的不经意传输方法中接送方的执行步骤在图1所示的实施例中已经具体说明，此处不再赘述，参考前述实施例中的具体过程即可。
[0099]
本发明实施例基于sm2椭圆曲线算法实现2选1的ot协议，并且在2选1的ot协议基础上，通过执行n次2选1的ot协议可以扩展实现n选1的ot协议以及n选k的ot协议。相对于传统的rsa加密算法，sm2可以使用比rsa更短的密钥得到相同的安全性，在实现同等安全性的情况下，本发明实施例可以极大减少ot协议的数据传输量，提高数据传输效率。
[0100]
需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。
[0101]
参照图7，示出了本发明的一种多方安全计算平台实施例的结构框图，多方安全计算平台可以执行不经意传输协议，所述多方安全计算平台包括发送方701和接收方702，所述发送方701基于持有的n个消息组，所述接收方702基于持有的n个目标索引，双方执行n次预设操作；其中，一个消息组中包含两个待选择的消息，所述n个目标索引根据接收方的k个原始索引生成，n≥1，n≥k≥1；所述接收方702包括第一参数计算模块7021，用于基于本地产生的随机数和sm2算
法的基点g计算第一参数，并将所述第一参数发送给发送方；所述发送方701包括第二参数计算模块7011，用于基于本地产生的随机数和所述第一参数，计算公钥和私钥，并基于预设的密钥生成函数和所述私钥对第i个消息组中的消息进行加密，得到第i个消息组的密文，将所述第i个消息组的密文和所述公钥作为第二参数发送给接收方；所述接收方702还包括目标消息计算模块7022，用于基于第i个目标索引、所述密钥生成函数、以及所述第二参数，计算从第i个消息组中选择的目标消息。
[0102]
在本发明实施例中，所述发送方701还可以包括：第一参数接收模块，用于接收来自接收方的第一参数，所述第一参数为接收方基于本地产生的随机数和sm2算法的基点g计算得到。
[0103]
在本发明实施例中，所述接收方702还可以包括：第二参数接收模块，用于接收来自发送方的第二参数，其中，所述发送方基于本地产生的随机数和所述第一参数，计算公钥和私钥，并基于预设的密钥生成函数和所述私钥对第i个消息组中的消息进行加密，得到第i个消息组的密文，发送方将所述第i个消息组的密文和所述公钥作为第二参数。
[0104]
可选地，所述第一参数计算模块，包括：第一计算子模块，用于令第一临时公钥g0=g，生成第一随机数r_r1，基于第一随机数r_r1与基点g的点乘计算，得到第二临时公钥g1；第二计算子模块，用于生成第二随机数r_r2，基于第二随机数r_r2与基点g的点乘计算和点加计算、以及第二临时公钥g1，计算得到第三临时公钥h0和第四临时公钥h1；第三计算子模块，用于生成第一随机数组r_r3，基于第一随机数组r_r3与基点g的点乘计算和点加计算、以及第i个目标索引、第一临时公钥g0、第二临时公钥g1、第三临时公钥h0、第四临时公钥h1，计算得到第五临时公钥g’和第六临时公钥h’；第一参数确定子模块，用于将第二临时公钥g1、第三临时公钥h0、第四临时公钥h1、第五临时公钥g’、以及第六临时公钥h’作为第一参数；所述第二参数计算模块，包括：公钥计算子模块，用于生成第二随机数组，基于第二随机数组中的随机数与第一参数中的参数的点乘计算和点加计算，得到第一公钥u0、第一私钥v0、第二公钥u1、以及第二私钥v1；数据加密子模块，用于基于第一私钥v0和预设的密钥生成函数生成第一密钥，利用第一密钥对第i个消息组中的第一消息进行加密，得到第一消息的密文e0，以及基于第二私钥v1和密钥生成函数生成第二密钥，利用第二密钥对第i个消息组中的第二消息进行加密，得到第二消息的密文e1。
[0105]
可选地，所述第i个消息组中包含第一消息m0和第二消息m1，所述第i个目标索引为ai，其中，第二临时公钥g1=[r_r1]*g；第三临时公钥h0=[r_r2]*g；第四临时公钥h1=g1 [r_r2]*g；第五临时公钥g’=(g
ai
) [r_r3]*g；其中，当ai=0时，g
ai
=g0；当ai=1时，g
ai
=g1；
第六临时公钥h’=(h
ai
) [r_r3]*g；其中，当ai=0时，h
ai
=h0；当ai=1时，h
ai
=h1；第二随机数组包括如下随机数：s0、s1、t0、t1；第一公钥u0=[s0]*g0 [t0]*h0；第一私钥v0=[s0]*g’ [t0]*h’；第二公钥u1=[s1]*g1 [t1]*h1；第二私钥v1=[s1]*g’ [t1]*h’；第一消息的密文e0=kdf(v0)
⊕
m0，kdf为密钥生成函数；第二消息的密文e1= kdf(v1)
⊕
m1。
[0106]
可选地，通过下式计算从第i个消息组中选择的目标消息m
ai
：m
ai
=kdf(u
ai-[r_r3]g)
⊕eai
；其中，当ai=0时，u
ai
=u0，e
ai
=e0；当ai=1时，u
ai
=u1，e
ai
=e1。
[0107]
可选地，n＞1，k=1，发送方持有n个消息：m0～m
n-1
，接收方持有原始索引a，a的取值范围为0～n-1；所述发送方还包括第一消息设置模块，用于根据持有的n个消息，设置n个消息组，其中，第j个消息组包括如下消息：0和mj，j的取值范围为0～n-1；所述接收方还包括第一索引设置模块，用于根据持有的原始索引a，设置n个目标索引，该n个目标索引中的第a个目标索引的值为1，其余目标索引的值为0；所述接收方还包括第一结果获取模块，用于在第a次预设操作完成时获得n选1的不经意传输结果ma。
[0108]
可选地，n＞1，k＞1，发送方持有n个消息：m0～m
n-1
，接收方持有原始索引a0～a
k-1
，a0～a
k-1
中每一个的取值范围为0～n-1；所述发送方还包括第二消息设置模块，用于根据持有的n个消息，设置n个消息组，其中，第j个消息组包括如下消息：0和mj，j的取值范围为0～n-1；所述接收方还包括第二索引设置模块，用于根据持有的原始索引a0～a
k-1
，设置n个目标索引，该n个目标索引中的第a0～a
k-1
个目标索引的值为1，其余目标索引的值为0；所述接收方还包括第二结果获取模块，用于在第a0～a
k-1
次预设操作完成时获得n选k的不经意传输结果m
a0
~m
ak-1
。
[0109]
可选地，所述多方安全计算平台基于半诚实参与方模型的不经意传输协议。
[0110]
本发明实施例基于sm2椭圆曲线算法实现2选1的ot协议，并且在2选1的ot协议基础上，通过执行n次2选1的ot协议可以扩展实现n选1的ot协议以及n选k的ot协议。相对于传统的rsa加密算法，sm2可以使用比rsa更短的密钥得到相同的安全性，在实现同等安全性的情况下，本发明实施例可以极大减少ot协议的数据传输量，提高数据传输效率。
[0111]
对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0112]
本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。
[0113]
关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。
[0114]
本发明实施例提供了一种用于不经意传输的装置，包括有存储器，以及一个以上的程序，其中一个以上程序存储于存储器中，且经配置以由一个以上处理器执行所述一个
以上程序包含用于进行前述一个或多个所述的不经意传输方法的指令。
[0115]
图8是根据一示例性实施例示出的一种用于不经意传输的装置800的框图。例如，装置800可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。
[0116]
参照图8，装置800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出（i/ o）的接口812，传感器组件814，以及通信组件816。
[0117]
处理组件802通常控制装置800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理元件802可以包括一个或多个处理器820来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。
[0118]
存储器804被配置为存储各种类型的数据以支持在设备800的操作。这些数据的示例包括用于在装置800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器（sram），电可擦除可编程只读存储器（eeprom），可擦除可编程只读存储器（eprom），可编程只读存储器（prom），只读存储器（rom），磁存储器，快闪存储器，磁盘或光盘。
[0119]
电源组件806为装置800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为装置800生成、管理和分配电力相关联的组件。
[0120]
多媒体组件808包括在所述装置800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器（lcd）和触摸面板（tp）。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当设备800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
[0121]
音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风（mic），当装置800处于操作模式，如呼叫模式、记录模式和语音信息处理模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。
[0122]
i/ o接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。
[0123]
传感器组件814包括一个或多个传感器，用于为装置800提供各个方面的状态评估。例如，传感器组件814可以检测到设备800的打开/关闭状态，组件的相对定位，例如所述组件为装置800的显示器和小键盘，传感器组件814还可以搜索装置800或装置800一个组件的位置改变，用户与装置800接触的存在或不存在，装置800方位或加速/减速和装置800的
温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如cmos或ccd图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。
[0124]
通信组件816被配置为便于装置800和其他设备之间有线或无线方式的通信。装置800可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件816还包括近场通信（nfc）模块，以促进短程通信。例如，在nfc模块可基于射频信息处理（rfid）技术，红外数据协会（irda）技术，超宽带（uwb）技术，蓝牙（bt）技术和其他技术来实现。
[0125]
在示例性实施例中，装置800可以被一个或多个应用专用集成电路（asic）、数字信号处理器（dsp）、数字信号处理设备（dspd）、可编程逻辑器件（pld）、现场可编程门阵列（fpga）、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。
[0126]
在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器804，上述指令可由装置800的处理器820执行以完成上述方法。例如，所述非临时性计算机可读存储介质可以是rom、随机存取存储器（ram）、cd-rom、磁带、软盘和光数据存储设备等。
[0127]
图9是本发明的一些实施例中服务器的结构示意图。该服务器1900可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器（central processing units，cpu）1922（例如，一个或一个以上处理器）和存储器1932，一个或一个以上存储应用程序1942或数据1944的存储介质1930（例如一个或一个以上海量存储设备）。其中，存储器1932和存储介质1930可以是短暂存储或持久存储。存储在存储介质1930的程序可以包括一个或一个以上模块（图示没标出），每个模块可以包括对服务器中的一系列指令操作。更进一步地，中央处理器1922可以设置为与存储介质1930通信，在服务器1900上执行存储介质1930中的一系列指令操作。
[0128]
服务器1900还可以包括一个或一个以上电源1926，一个或一个以上有线或无线网络接口1950，一个或一个以上输入输出接口1958，一个或一个以上键盘1956，和/或，一个或一个以上操作系统1941，例如windows servertm，mac os xtm，unixtm, linuxtm，freebsdtm等等。
[0129]
一种非临时性计算机可读存储介质，当所述存储介质中的指令由装置（服务器或者终端）的处理器执行时，使得装置能够执行图1或图5或图6所示的不经意传输方法。
[0130]
一种非临时性计算机可读存储介质，当所述存储介质中的指令由装置（服务器或者终端）的处理器执行时，使得装置能够执行前文图1或图5或图6所对应实施例中不经意传输方法的描述，因此，这里将不再进行赘述。另外，对采用相同方法的有益效果描述，也不再进行赘述。对于本技术所涉及的计算机程序产品或者计算机程序实施例中未披露的技术细节，请参照本技术方法实施例的描述。
[0131]
此外，需要说明的是：本技术实施例还提供了一种计算机程序产品或计算机程序，该计算机程序产品或者计算机程序可以包括计算机指令，该计算机指令可以存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器
可以执行该计算机指令，使得该计算机设备执行前文图1所对应实施例中不经意传输方法的描述，因此，这里将不再进行赘述。另外，对采用相同方法的有益效果描述，也不再进行赘述。对于本技术所涉及的计算机程序产品或者计算机程序实施例中未披露的技术细节，请参照本技术方法实施例的描述。
[0132]
本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。
[0133]
应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
[0134]
以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
[0135]
以上对本发明所提供的一种不经意传输方法、一种多方安全计算平台和一种用于不经意传输的装置，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。