一個單服務器輔助的高效n取k茫然傳輸協議

趙圣楠 蔣 瀚 魏曉超 柯俊明 趙明昊

1(山東大學計算機科學與技術學院 濟南 250101) 2(山東師范大學信息科學與工程學院 濟南 250358) (yucheng＿zhao@163．com)

2017-06-11；

2017-07-29

國家自然科學基金項目(61572294)；國家自然科學基金青年科學基金項目(61602287)；國家自然科學基金重點項目(61632020)；山東大學基本科研業務費專項資金項目(2017JC019) This work was supported by the National Natural Science Foundation of China (61572294), the National Natural Science Foundation of China for Young Scientists (61602287), the Key Program of the National Natural Science Foundation of China (61632020), and the Fundamental Research Funds of Shandong University (2017JC019).

蔣瀚(jianghan@sdu.edu.cn)

一個單服務器輔助的高效n取k茫然傳輸協議

趙圣楠1蔣 瀚1魏曉超2柯俊明1趙明昊1

1(山東大學計算機科學與技術學院 濟南 250101)2(山東師范大學信息科學與工程學院 濟南 250358) (yucheng＿zhao@163．com)

茫然傳輸；外包計算；判定性Diffie-Hellamn假設；半誠實模型；安全多方計算

外包計算作為當今新型的計算模式，日漸受到研究者和企業界的關注.物聯網、移動計算、無線傳感器網絡等技術的興起和普及極大地方便了我們的生活、溝通與信息獲取，但是出于效率和成本等因素的考慮，這類設備通常采用輕量級硬件架構，計算和存儲能力受到極大的限制.

云計算的興起為能力受限的移動設備提供了完美的后端支持.當前的服務計算架構中，一方面云服務器為移動設備提供視頻分發、數據分析以及廣告推送等服務；另一方面移動設備會將復雜的計算任務外包到云端，云端完成計算任務后將計算結果返回給移動設備.云計算和外包計算模式，極大地豐富了移動計算的內容[1].

出于安全和隱私性考慮，移動設備(如手機客戶端、RFID芯片、傳感器網絡節點等)之間往往需要執行認證和加密等多種密碼學原語，其中以公鑰密碼原語居多.在公鑰密碼中通常需要涉及大量的群上的指數運算，這對于移動設備來說是極大的負擔.目前雖然可以設計專用的嵌入式芯片來高速實現密碼原語操作[2-3]，但這一定程度上會增加設備成本.因此，目前一個很理想的解決方案是將公鑰加密方案的部分復雜運算外包到云端來進行.

茫然傳輸(oblivious transfer, OT)是密碼學中一個基礎工具.傳統的茫然傳輸協議中有2個參與方：發送方S和接收方R，協議的目的是讓接收方從發送方的輸入中獲取自己選擇的輸入，且滿足：1)發送方不知道接收方的選擇；2)接收方只能獲得自己選擇的輸入且無法獲得額外的輸入信息.茫然傳輸在隱私保護的數據查詢、安全多方計算等多個領域有重要應用[4].

1 相關工作和主要結論

1.1相關工作

雙向OT使得每個參與方都兼有發送者和接受者的雙重身份，該原語可以大大降低基于cut-and-choose的安全多方計算協議的輪復雜度.Zhao等人[27]和Wei等人[28]在雙向OT領域做出了創舉性的研究；抗量子OT有文獻[29-30]等.

密碼學原語的部分外包.通常來講群指數運算是密碼算法中最為耗時的運算.Dijk等人[31]首先考慮將指數運算外包給一個不可信的服務器；Ma等人[32]考慮了將指數操作外包到2個非合謀的不可信服務器；Hohenberger等人[33]和Chen等人[34]將變基和變冪的指數算法外包到(雙服務器模型下的)單一惡意服務器，即要求2個服務器中僅有一個服務器為惡意的，且不與另一個誠實服務器合謀.文獻[34]同時考慮了安全與高效的并發指數(simultaneous exponentiations)操作外包；Wang等人[35]實現了一個單一非可信服務器模型下的指數運算外包方案；Chevalier等人[36]對該方案做了細致的密碼學分析，并給出了一個優化的構造方案；Tsang等人[37]首先考慮了以批量的方式將橢圓曲線上的點對運算(pairing)外包到云服務器上來實現；Canard等人[38]給出了一個更為高效的安全點對運算外包方案；Xu等人[39]考慮將復雜運算外包到計算服務器P，并將外包計算結果的正確性驗證外包到驗證服務器V，其隱私性保證不向計算服務器和驗證服務器泄漏數據信息；Gennaro等人[40]首次提出非交互的可驗證外包計算；Carter等人[41]將基于cut-and-choose安全多方計算中的混亂電路求值外包給云服務器來做；文獻[42-43]則將混亂電路的生產任務外包給移動設備；服務器輔助的通用兩方計算協議方案有文獻[44-45]等.和本文工作最為相關的是Wei等人[45]提出的云服務器輔助茫然傳輸協議，該方案涉及2個非合謀的服務器且在半誠實模型下達到可證明安全.

1.2本文工作

我們設計了一種新的基于單個云服務器的k-out-of-nOT協議.文獻[45]將群指數運算外包到2個誠實但好奇且相互獨立的云服務器上，云服務器誠實但好奇的性質說明該協議是在半誠實模型下執行，云服務器之間相互獨立意味著2個云服務器之間不能合謀.該方案雖然降低了通信雙方的本地計算量，卻存在2個明顯的弊端：首先外包計算目前仍需要支付大量的費用，將群指數運算外包到2個云服務器更是要有足夠的經濟支撐，出于預算考慮在某些應用場景下不得不放棄使用該協議；再者，2個云服務器不能合謀的安全假設過于理想，2個云服務器一旦合謀就可以知道接收方的輸入選擇，或者云服務器與接收方合謀來獲得發送方的全部輸入，這樣協議的安全性就完全得不到保證.因此，我們希望在保證安全和效率的基礎上將云服務器的個數減少至一個，從而避免2個云服務器合謀的嚴重弊端.我們具體的貢獻有3方面：

1) 將RAND 函數的計算過程分散到發送方和云服務器，并以一種新的形式嵌入發送方的輸入值.

2) 將群指數運算外包到一個云服務器，設計出基于單個云輔助的高效n取k茫然傳輸協議，該協議是安全三方計算的實例，并依據誠實方大多數原則證明其安全性.

3) 相對于其他基于DDH假設的n取k茫然傳輸協議，我們將協議的計算和通信復雜度降至O(n)量級.

2 基本知識和安全定義

2.1DH元組

令G為一個以g為生成元的q階群，q為素數.將形如(gα,gβ,gαβ)的三元組稱為DH元組，這里的α,β隨機取自q.也就是說，對于任意群G上的三元組(gα,gβ,gγ)，α,β,γ∈q，若γ≡α×β(modq)則稱該元組為DH元組，否則為非DH元組.

2.2DDH假設

DDH問題定義：給定上述群G上的四元組(g,gα,gβ,gγ)，α,β,γ∈q，判定γ≡α×β(modq)是否成立.若等式成立，由于該元組的第1個元素為生成元，所以該四元組與上述所定義的三元組構成的DH元組并不矛盾，四元組(g,gα,gβ,gγ)仍稱為DH元組.將生成元看作一個公開參數，那么任意三元組都可以寫成四元組的形式，因此從現在起所有的DH元組均默認為四元組.那么，DDH假設是指下述2種總體分布是計算不可區分的：

1)X1=(g,ga,gb,ga b)，這里a,b∈q；

2)X2=(g,ga,gb,gc)，這里a,b∈q，但ab≠c.

2.3RAND函數

RAND函數定義在群G構成的DH元組(w,x,y,z)上，w,x,y,z∈G，函數RAND(w,x,y,z)=(u,v)，其中u=ws×yt，v=xs×zt，這里s,t∈q.注意，對任意的DH元組(w,x,y,z)，必然存在a∈q，滿足y=wa,z=xa.因此，RAND函數有性質：

1) 如果(w,x,y,z)是DH元組且滿足y=wa，z=xa，那么對于u,v←RAND(w,x,y,z)滿足ua=v.

2) 如果(w,x,y,z)為非DH元組，那么(w,x,y,z,RAND(w,x,y,z))，(w,x,y,z,ga,gb)在分布上是等價的，這里α,β隨機取自q.

顯然，RAND函數的計算過程能夠分為ws，yt，xs和zt這4個部分，我們可以將這4個部分分發給不同參與方，然后聯合計算出函數值.

2.4安全性定義

本文中我們考慮基于單服務器輔助的n取k茫然傳輸協議.為了定義基于云服務器外包協議的安全性，我們參考了文獻[45-46]中提出的安全多方計算在外包環境中安全定義.在文獻[45]中協議是基于2個相互獨立的云服務器，我們的協議將云服務器個數減少為一個，相當于發送方在協議執行過程中扮演了原方案中一個云服務器的角色.協議共涉及3個參與方，因此我們將協議的執行過程看作是安全三方計算的實例，遵循誠安全多方計算里誠實方大多數原則，即在該協議中敵手只能腐化至多一個參與方，因此不考慮任意2方合謀的情況.我們設計的協議中，仍然定義云服務器是誠實但好奇的，且與協議雙方保持獨立.誠實但好奇意味著云服務器不僅根據指令誠實地執行協議的每一步操作，并且想要依據接收到的消息副本來試圖獲得發送方或接收方的輸入.但云服務器不能與發送方或接收方中的任意一方合謀，也就是說云服務器只負責提供額外的計算能力或者依照協議指令傳送特定內容.

現在我們分別定義發送方安全和接收方安全.

3) 針對接收方的發送方安全定義.對于接收方的任意選擇集合C={σ1,σ2,…,σk}，發送方對接收方并未選擇地輸入值的加密結果應與隨機計算不可區分.

3 單服務器輔助的n取k茫然傳輸協議

在本節中，我們給出一個半誠實敵手模型下的單服務器輔助的n取k茫然傳輸協議的具體過程.

協議所設計的系統模型如圖1所示.協議共涉及3個參與方:發送方S、接收方R和云服務器Server.協議一共需要進行3輪交互.首先，R根據自己的選擇構造出多項式，并將多項式的系數分割成2部分分別發送給S和Server；接著，S接收到的部分系數后計算RAND函數的部分結果，并將自己的輸入嵌入到其中；最后，Server接收到來自S和R的消息后完成RAND函數的全部運算，將函數值發送給R，R在本地進行解密獲得自己所選的值.

Fig. 1 The system model圖1 系統模型

協議.單服務器輔助的高效n取k茫然傳輸協議.

輸入：S輸入n個值(x1,x2,…,xn)∈{0,1}n、R輸入k個值(σ1,σ2,…,σk)∈{1,2,…,n}、云服務器Server沒有輸入；

輔助輸入：安全參數n以及一個q階群G，其生成元為g0；

協議執行過程：

步驟1.R隨機選擇一個k階多項式f(x)=(x-σ1)(x-σ2)…(x-σk)+β=a0+a1x+…+ak-1xk-1+xkmodq，其中β∈q.針對任意i=0,1,…,k-1，R計算并將(c0,c1)發送給S，將(c2,c3,…,ck-1)發送給云服務器Server.然后，R隨機選擇y1,y2,…,yn∈q，并將這n個值分別發送給S和Server.此外，R隨機選擇一個σm∈{σ1,σ2,…,σk}以及r∈q，并計算和h=gβ，然后將(g,h)發送給Server.

步驟4.R輸出：

1) 針對步驟1中R隨機選擇的σm，R計算：

2) 針對每一個σj∈{σ1,σ2,…,σk}且σj?σm，R計算：

3.2協議正確性分析

1) 針對i=σm，有f(i)=β，

2) 針對每一個i∈{σ1,σ2,…,σk}但i≠σm,同樣有f(i)=β，計算得到：

3) 當i∈{1,2,…,n}但i?{σ1,σ2,…,σk}，此時f(i)≠β，則計算為

綜上可以看出，接收方R能且僅能獲得與自己選擇相對應的k個值.

3.3協議安全性證明

下面我們給出協議的形式化安全證明.

定理1. 如果云服務器Server是誠實但好奇的且與發送方S相互獨立，那么針對發送方協議滿足接收方的安全性要求.

證畢.

定理2. 如果在群G上DDH假設成立，并且發送方S與云服務器Server是誠實但好奇的且相互獨立，那么針對云服務器協議滿足接收方的安全性要求.

證畢.

定理3. 如果在群G上DDH假設成立，并且發送方S與云服務器Server是誠實但好奇的且相互獨立，那么針對接收方協議滿足發送方的安全性要求.

證明. 首先我們分析接收方R通過惡意行為來獲取除自己選擇外的值.接收方R可以試圖構造一個多項式f(x)滿足f(1)=f(2)=…=f(n)=β，從而可以恢復出發送方S的n個輸入.這必然導致所構造出的多項式的階大于k，在協議中云服務器Server檢查了接收方R所發送的系數的個數，利用這個方法可以將多項式f(x)的階嚴格限制為k，因此n個元組中DH元組的個數也是k.接下來證明接收方R不可能從n-k個非DH元組中獲取額外信息.

根據RAND函數的性質，如果(w,x,y,z)為非DH元組，那么RAND(w,x,y,z)的結果是群G中的隨機值.假設接收方的輸入為(σ1,σ2,…,σk)，對于每一個j?{σ1,σ2,…,σk}對應的(gj,g,hj,h)都不是DH元組.不妨從q中隨機選擇a和b，使得hj=(gj)a，h=gb,且a≠b.為了證明RAND(gj,g,hj,h)的結果在群G中是隨機的，只需說明這里α,β隨機取自q.由于RAND(gj,g,hj,h)=((gj)s×(hj)t,(g)s×(h)t)，這里s,t隨機取自q，因此上述的概率是來自于s和t的隨機性.令g=(gj)γ，γ隨機取自q，那么元組(gj,g,hj,h)可以表示為(gj,(gj)γ,(gj)a,(gj)γ×b)，相應的RAND(gj,g,hj,h)=((gj)s+a×t,(gj)s×γ+γ×b×t).這樣，對于方程組：

綜上所述，我們完成對協議的安全性證明.

證畢.

3.4協議效率分析與比較

我們設計的協議中需要交互3輪:第1輪接收方R向同時向發送方S和云服務器Server發送消息；第2輪發送方S向云服務器Server發送一系列本地計算的結果；第3輪云服務器Server接收到發送方S發送的消息后將四元組“加密”后發送給接收方R，R在本地進行解密運算.

每一輪中具體的指數運算如下：

2) 發送方S共進行了4n-1次群指數運算.2n次群指數運算用來計算矩陣：

n-1次群指數運算用來計算矩陣：

3) 云服務器Server共進行2(k+1)n+1-k次群指數運算.(k-1)n次用于計算矩陣：

(n-1)(k-1)次用于計算矩陣：

最后，我們統計出協議中的各參與方發送的群元素的個數：

3) 云服務器Sever把2n個元素發送給接收方R：(u1,w1),(u2,w2),…,(un,wn).

表1是我們所設計的協議與文獻[12,45]的對比結果.Chu等人[19]提出的n取k茫然傳輸協議不需要云服務器輔助，因此需要發送方和接收方進行大量群指數運算.Wei等人提出的協議將大部分群指數運算外包至2個云服務器，從而降低發送方和接收方的群指數運算.我們的協議僅使用一個云服務器且相對高效.

Table 1 Comparison of k-out-of-n Oblivious Transfer Protocols

4 結束語

[1] Li Zhenhua, Dai Yafei, Chen Guihai, et al. Content Distribution for Mobile Internet: A Cloud-based Approach[M]. Singapore: Springer Science Business Media, 2016

[2] Liu Zhe, Weng Jian, Hu Zhi, et al. Efficient elliptic curve cryptography for embedded devices[J]. ACM Trans on Embedded Computing Systems, 2016, 16(2): Article No 53

[3] Liu Zhe, Seo H, Gro?sch?dl J, et al. Efficient imple-mentation of NIST-compliant elliptic curve cryptography for 8-bit AVR-based sensor nodes[J]. IEEE Trans on Information Forensics and Security, 2016, 11(7): 1385-1397

[4] Jiang Han, Xu Qiuliang. Advances in key techniques of practical secure multi-party computation[J]. Journal of Computer Research and Development, 2015, 52(10): 2247-2257 (in Chinese)

(蔣瀚, 徐秋亮. 實用安全多方計算協議關鍵技術研究進展[J]. 計算機研究與發展, 2015, 52(10): 2247-2257)

[5] Rabin M O. How to exchange secrets with oblivious transfer, TR-81[R]. Cambridge, MA: Harvard University, 1981

[6] Even S, Goldreich O, Lempel A. A randomized protocol for signing contracts[J]. Communications of the ACM, 1985, 28(6): 637-647

[7] Brassard G, Crepeau C, Robert J M. All-or-nothing disclosure of secrets[G] //LNCS 263: Advances in Cryptology (CRYPTO 1986). Berlin: Springer, 1986: 234-238

[8] Stern J P. A new and efficient all-or-nothing disclosure of secrets protocol[G] //LNCS 1514: Advances in Cryptology (Asiacrypt 1998). Berlin: Springer, 1998: 357-371

[9] Cramer R, Shoup V. Universal Hash proofs and a paradigm for adaptive chosen ciphertext secure public-key encryption[G] //LNCS 2332: Advances in Cryptology (EUROCRYPT 2002). Berlin: Springer, 2002: 45-64

[10] Kalai Y T. Smooth projective hashing and two-message oblivious transfer[G] //LNCS 3494: Advances in Cryptology (EUROCRYPT 2005). Berlin: Springer, 2005: 78-95

[11] Naor M, Pinkas B. Efficient oblivious transfer protocols[C]//Proc of the 12th Annual ACM-SIAM Symp on Discrete Algorithms (SODA). New York: ACM, 2001: 448-457.

[12] Tzeng W G. Efficient 1-out-noblivious transfer schemes[G] //LNCS 2274: Public Key Cryptography. Berlin: Springer, 2002: 159-171

[13] Wei Xiaochao, Jiang Han, Zhao Chuan. An efficient 1-out-of-noblivious transfer protocol with full simulation[J]. Journal of Computer Research and Development, 2016, 53(11): 2475-2481 (in Chinese)

(魏曉超, 蔣瀚, 趙川. 一個高效可完全模擬的n取1茫然傳輸協議[J]. 計算機研究與發展, 2016, 53(11): 2475-2481)

[14] Lindell A Y. Efficient fully-simulatable oblivious transfer[G] //LNCS 4964: Topics in Cryptology (CT-RSA 2008). Berlin: Springer, 2008: 52-70

[15] Peikert C, Vaikuntanathan V, Waters B. A framework for efficient and composable oblivious transfer[G] //LNCS 5157: Advances in Cryptology (CRYPTO 2008). Berlin: Springer, 2008: 554-571

[16] Feng Tao, Ma Jianfeng, Li Fenghua. Efficient and universally composable security oblivious transfer[J]. Acta Electronica Sinica, 2008, 36(1): 17-23 (in Chinese)

(馮濤, 馬建峰, 李鳳華. UC安全的高效不經意傳輸協議[J]. 電子學報, 2008, 36(1): 17-23)

[17] Green M, Hohenberger S. Universally composable adaptive oblivious transfer[G] //LNCS 5350: Advances in Cryptolog (Asiacrypt 2008). Berlin: Springer, 2008: 179-197

[18] Garay J A, Ishai Y, Kumaresan R, et al. On the complexity of UC commitments[G] //LNCS 8441: Advances in Cryptology (CRYPTO 2014). Berlin: Springer, 2014: 677-694

[19] Chu C K, Tzeng W G. Efficientk-out-of-noblivious transfer schemes with adaptive and non-adaptive queries[G] //LNCS 3386: Public Key Cryptography (PKC 2005). Berlin: Springer, 2005: 172-183

[20] Zhang Jianhong, Wang Yumin. Two provably securek-out-of-noblivious transfer schemes[J]. Applied Mathematics and Computation, 2005, 169(2): 1211-1220

[21] Camenisch J, Neven G, Shelat A. Simulatable adaptive oblivious transfer[G] //LNCS 4515: Advances in Cryptology (EUROCRYPT 2007). Berlin: Springer, 2007: 573-590

[22] Zeng Bin, Tartary C, Xu Peng, et al. A practical framework fort-out-of-noblivious transfer with security against covert adversaries[J]. IEEE Trans on Information Forensics and Security, 2012, 7(2): 465-479

[23] Harnik D, Ishai Y, Kushilevitz E, et al. OT-combiners via secure computation[G] //LNCS 4948: Theory of Cryptography. Berlin: Springer, 2008: 393-411

[24] Nielsen J B, Nordholt P S, Orlandi C, et al. A new approach to practical active-secure two-party computation[G]//LNCS 7417: Advances in Cryptology (CRYPTO 2012). Berlin: Springer, 2012: 681-700

[25] Asharov G, Lindell Y, Schneider T, et al. More efficient oblivious transfer extensions[J]. Journal of Cryptology, 2017, 30(3): 805-858

[26] Patra A, Sarkar P, Suresh A. Fast actively secure OT extension for short secrets[C] //Proc of the 24th Network and Distributed System Security Symp (NDSS). Reston, VA: Internet Society, 2017

[27] Zhao Chuan, Jiang Han, Wei Xiaochao, et al. Cut-and-choose bilateral oblivious transfer and its application[C] //Proc of the 14th IEEE Int Conf on Trust, Security and Privacy in Computing and Communications. Los Alamitos, CA: IEEE Computer Society, 2015: 384-391

[28] Wei Xiaochao, Jiang Han, Zhao Chuan, et al. Fast cut-and-choose bilateral oblivious transfer for malicious adversaries[C] //Proc of the 15th IEEE Int Conf on Trust, Security and Privacy in Computing and Communications. Los Alamitos, CA: IEEE Computer Society, 2016: 418-425

[29] Plesch M, Pawowski M, Pivoluska M. 1-out-of-2 oblivious transfer using a flawed bit-string quantum protocol[J]. Physical Review A, 2017, 95(4): 042324

[30] Yang Yugang, Yang Rui, Cao Weifeng, et al. Flexible quantum oblivious transfer[J]. International Journal of Theoretical Physics, 2017, 56(4): 1286-1297

[31] Van Dijk M, Clarke D, Gassend B, et al. Speeding up exponentiation using an untrusted computational resource[J]. Designs, Codes and Cryptography, 2006, 39(2): 253-273

[32] Ma Xu, Li Jin, Zhang Fangguo. Outsourcing computation of modular exponentiations in cloud computing[J]. Cluster Computing, 2013, 16(4): 787-796

[33] Hohenberger S, Lysyanskaya A. How to securely outsource cryptographic computations[G] //LNCS 3378: Theory of Cryptography Conference (TCC 2005). Berlin: Springer, 2005: 264-282

[34] Chen Xiaofeng, Li Jin, Ma Jianfeng, et al. New algorithms for secure outsourcing of modular exponentiations[J]. IEEE Trans on Parallel and Distributed Systems, 2014, 25(9): 2386-2396

[35] Wang Yujie, Wu Qianhong, Wong D S, et al. Securely outsourcing exponentiations with single untrusted program for cloud storage[G] //LNCS 8712: Computer Security (ESORICS 2014). Berlin: Springer, 2014: 326-343

[36] Chevalier C, Laguillaumie F, Vergnaud D. Privately outsourcing exponentiation to a single server: Cryptanalysis and optimal constructions[C] //LNCS 9878: Computer Security (ESORICS 2016). Berlin: Springer, 2016: 261-278

[37] Tsang P P, Chow S S M, Smith S W. Batch pairing delegation[G] //LNCS 4752: Advances in Information and Computer Security. Berlin: Springer, 2007: 74-90

[38] Canard S, Devigne J, Sanders O. Delegating a pairing can be both secure and efficient[G] //LNCS 8479: Applied Cryptography and Network Security. Berlin: Springer, 2014: 549-565

[39] Xu G, Amariucai G T, Guan Y. Delegation of computation with verification outsourcing: Curious verifiers[J]. IEEE Trans on Parallel and Distributed Systems, 2017, 28(3): 717-730

[40] Gennaro R, Gentry C, Parno B. Non-interactive verifiable computing: Outsourcing computation to untrusted workers[G] //LNCS 6223: Advances in Cryptology (CRYPTO 2010). Berlin: Springer, 2010: 465-482

[41] Carter H, Mood B, Traynor P, et al. Secure outsourced garbled circuit evaluation for mobile devices[J]. Journal of Computer Security, 2016, 24(2): 137-180

[42] Carter H, Lever C, Traynor P. Whitewash: Outsourcing garbled circuit generation for mobile devices[C] //Proc of the 30th Annual Computer Security Applications Conf. New York: ACM, 2014: 266-275

[43] Mohassel P, Orobets O, Riva B. Efficient server-aided 2PC for mobile phones[J]. Proceedings on Privacy Enhancing Technologies, 2016, 2016(2): 82-99

[44] Carter H, Mood B, Traynor P, et al. Outsourcing secure two-party computation as a black box[J]. Security and Communication Networks, 2016, 9(14): 2261-2275

[45] Wei Xiaochao, Zhao Chuan, Jiang Han, et al. Practical server-aidedk-out-of-noblivious transfer protocol[G] //LNCS 9663: Green, Pervasive, and Cloud Computing 2016. Berlin: Springer, 2016: 261-277

[46] Kamara S, Mohassel P, Raykova M. Outsourcing multi-party computation[OL]. [2017-08-25]. https://eprint.iacr.org/2011/272/pdf

AnEfficientSingleServer-Aidedk-out-of-nObliviousTransferProtocol

Zhao Shengnan1, Jiang Han1, Wei Xiaochao2, Ke Junming1, and Zhao Minghao1

1(SchoolofComputerScienceandTechnology,ShandongUniversity,Jinan250101)2(SchoolofInformationScienceandEngineering,ShandongNormalUniversity,Jinan250358)

oblivious transfer (OT); outsourcing computing; decisional Diffie-Hellamn (DDH) assumption; semi-honest model; secure multi-party computation

TP301

ZhaoShengnan, born in 1994. PhD candidate. His main research interests include secure multiparty computation and search on encrypted data.

JiangHan, born in 1974. PhD and lecturer. His main research interests include theory of cryptography, side-channel attacks and cryptographic protocols.

WeiXiaochao, born in 1990. PhD and lecturer. His main research interests include secure multiparty computation and search on encrypted data (weixiaochao2008@163.com).

KeJunming, born in 1994. Master candidate. His main research interests include computer security and cryptocurrencies (Junmingke1994@gmail.com).

ZhaoMinghao, born in 1991. PhD candidate in Tsinghua University. Received his MSc degree in Shandong University and bachelor degree in Harbin Engineering University. Student member of ACM, CCF and CACR. His main research interests include cloud computing, storage system, mobile computing, privacy-preserving techniques and applied cryptography.