基于OT的多方匿名身份查詢協議

摘要：多方數據源的隱私信息安全檢索是網絡安全中亟待解決的問題，不經意傳輸技術的特點是能夠保證各個參與方的數據安全，因此將不經意傳輸技術與密碼學中的同態密碼及對稱密碼相結合，設計了一種多方數據源匿名查詢協議。首先，基于不經意傳輸的思想設計了一種三方匿名查詢協議，給出了協議的模型及協議的具體流程。其次，對協議的正確性與安全性進行了證明與分析。最后，將三方匿名查詢協議擴展到多方查詢協議，并將其應用于數字產品交易中黑名單用戶的驗證，解決了在網絡安全交易過程中買家用戶惡意交易問題。實驗數據表明，該算法在保證各方數據安全的情況下查詢結果正確且效率高。

關鍵詞：不經意傳輸；同態加密；對稱加密；多方數據；網絡交易

中圖分類號：TP309.7文獻標志碼：A

文章編號：1001-3695（2022）04-039-1190-05

doi：10.19734/j.issn.1001-3695.2021.09.0380

Multi-party anonymous identity query protocol based on OT

Zhang Ailuan，Li Zhenzhen，Ding Haiyang，Zhang Zhenzhen，Li Zichen

（Center of Digital Copyright Protection Technology Research，Beijing Institute of Graphic Communication，Beijing 102600，China）

Abstract：Privacy information security retrieval of multi-party data sources is an urgent problem in network security.The feature of oblivious transfer technology is to ensure the data security of each participant.Therefore，this paper combined oblivious transfer technology with homomorphic encryption and symmetric encryption in cryptography to design an anonymous query protocol for multi-party data sources.Firstly，based on the idea of oblivious transfer，this paper designed a three-party anonymous query protocol，and gave the model of the protocol and the specific process of the protocol.Secondly，this paper proved and analyzed the correctness and security of the protocol.Finally，

it extended the three-party anonymous query protocol to the multi-party query protocol，and it applied to the verification of blacklist users in digital product transaction，which solved the problem of malicious transaction of buyer users in the process of network security transaction.Experimental data shows that the algorithm has correct query results and high efficiency under the condition of ensuring the data security of all parties.

Key words：oblivious transfer；homomorphic encryption；symmetric encryption；multi-party data；network transaction

0引言

在互聯網時代，多方數據源的隱私信息安全檢索［1，2］是一個關鍵問題，具有廣泛的應用前景。如：網絡安全交易［3］中，為了防止惡意用戶購買數字產品，交易平臺在與用戶開始交易之前，對其進行黑名單驗證；在保險行業中，為了降低用戶惡意投保的風險，在投保之前對用戶進行黑名單篩查。以上兩種黑名單查詢的應用場景都需要在多個數據源中進行查詢。比如，在網絡安全交易的過程中，購買者可能在多個交易平臺有黑名單記錄；在保險行業，投保者可能在多個保險公司有黑名單記錄。其中，交易平臺（保險公司）之間存在著競爭的關系，因此在數據查詢的過程中保證各方的數據安全是非常關鍵的。目前的方案中，主要解決的是單個數據源的隱私信息安全檢索問題［4，5］，單個數據源的隱私信息檢索并不能解決現實應用中的一些特殊場景。為此，本文提出了一種多方數據源匿名查詢協議。

上文提出的應用場景中要求查詢的過程中不會泄露各個參與方的信息，這一點與不經意傳輸技術的安全特點非常契合，因此本文協議基于該技術的安全性進行設計。不經意傳輸（oblivious transfer，OT），是一個密碼學協議，在這個協議中，消息發送者通過不經意傳輸技術從數據庫中發送一條消息給接收者，但在整個傳輸過程中發送者不清楚具體發送了哪個消息給接收者，該特性保證了信息查詢過程中的匿名性。OT是安全多方計算技術［6］的一種，由文獻［7］首次提出。文獻［8］提出了OT協議的另一種形式OT12。文獻［9～11］利用數學困難問題假設分別研究了如何設計高效率的OT12、OT1n與OTkn協議。近幾年人們對OT協議的研究主要集中在提高兩方OT協議的效率、安全性與探討協議在實際中的應用等方面。

本文算法基于以上的技術解決了安全多方計算中多方數據源的保密數據庫查詢［12］問題。首先，給出了三方匿名查詢方案的模型，并基于該模型詳細介紹了算法的協議流程；其次，通過理論證明與實驗仿真的方式分析了該算法的正確性，并利用四個定理的證明來分析其安全性；最后，將三方的匿名查詢方案擴展到多方的匿名查詢，使得算法不受數據源個數的限制，應用更加廣泛。本文的實驗部分通過改變實驗參數的方式來對該算法的時間負載進行分析，實驗數據表明，該協議在保證查詢結果正確的前提下，有效提高了查詢效率。

1相關知識

1.1OT的定義

定義1不經意傳輸，數據擁有者A擁有n個秘密記為{m1，m2，…，mn}，其中n≥2。用戶B想要獲取這n個秘密中的k個，其中1≤klt;n。

a）當n=2，k=1時，稱之為2選1的不經意傳輸，記為OT12；

b）當ngt;2，k=1時，稱之為n選1的不經意傳輸，記為OT1n；

c）當ngt;2，1lt;klt;n時，稱之為n選k的不經意傳輸，記為OTkn。

不經意傳輸的安全特點是能夠保證在整個數據傳輸的過程中，數據擁有者A不知道用戶B具體選擇了n個秘密中的哪個k，用戶B除了獲取的目標查詢的k個數據外，對A中剩余的n-k個秘密信息一無所知。

1.2同態加密

同態加密是近年來國際密碼學界研究的熱點，此概念由Rivest等人在20世紀70年代首先提出。同態加密具有極其重要的應用價值，其在云計算、電子投票、安全多方計算等方面具有較多的應用。同態加密中，第三方用戶對各個密文進行運算可以映射到對相應的明文進行運算。該特點可以應用于保密數據庫查詢中，第三方對各個數據源方查詢出的密文結果進行操作得到一個匯總的密文結果，查詢方通過解密得到最終結果，使得在整個查詢過程中，各個數據源針對目標用戶的黑名單情況不會泄露給查詢方，從而保證數據源方的安全。本文用到了同態密碼中的Paillier算法［13］，算法流程如下：

a）密鑰生成。首先選取兩個大素數p和q，計算n=p×q，然后隨機選取參數g，其中g滿足g∈Z*n2且n|ordn2（g）。令Sn={ult;n2|u≡1 mod n}，對于任意的u∈Sn，定義函數L（u）=（u-1）/n。最后生成公鑰為（n，g），私鑰為λ或者（p，q）。

b）加密算法。對任意的明文m（m∈Zn）加密后得到密文：

C=E（m）=gm×rn mod n2（1）

c）解密算法。利用上述私鑰對密文C解密得到明文：

m=L（Cλ mod n2）L（gλ mod n2）（2）

下面展示該算法的同態性質，對載體信息m1與水印信息w1，分別加密后可得

E（m1）=gm1×rn1 mod n2

E（w1）=gw1×rn2 mod n2（3）

對加密后的兩個密文信息E（m1）、E（w1）相乘得到

E（m1）E（w1）=gm1+w1×（r1r2）n mod n2（4）

由式（4），兩個密文相乘再解密可以得到

D（E（m1）E（w1） mod n2）=（m1+w1） mod n（5）

由此可得，Paillier密碼算法具有加法同態性質，即明文相加對應密文的相乘。

2基于OT的三方身份匿名查詢協議

下面以三方之間的匿名查詢為例來對本文協議進行說明。協議中涉及到三個角色分別為：查詢方R、被查詢方（數據源方）S1、被查詢方S2。假設S1有m個秘密信息x1，x2，…，xm，S2有n個秘密信息y1，y2，…，yn，R想通過目標查詢用戶的id從S1與S2的數據源信息中獲得該用戶的黑名單信息。各個數據源方利用0/1來表示用戶的黑名單情況，其中1-表示用戶為黑名單用戶，0-表示用戶不是黑名單用戶。下面，首先給出了一個匿名查詢的模型，然后根據該模型詳細地設計了一個三方匿名查詢協議。

2.1定義模型

三方的匿名查詢模型，可以分為如下幾個模塊，各個模塊的流程如下：

a）混淆目標查詢id。

R將目標查詢id混淆到兩個不同的集合ID與ID*中，并且隨機將id隱藏在兩個集合中的第g（g∈[1，n]）個位置（R已知g的值）；

b）生成密鑰。

（a）R生成同態加密密鑰（pk，sk）；

（b）S1生成n個對稱密鑰AS={AS1，AS2，…，ASn}；

（c）S2生成n個對稱密鑰BS={BS1，BS2，…，BSn}。

c）匿名傳輸。

利用對稱密碼算法和同態加密算法技術設計三方匿名傳輸算法。

2.2協議描述

基于上述的模型本文設計了三方匿名查詢協議，具體的協議步驟如圖1所示。

a）R根據目標查詢的id產生一個混淆集合

ID={ID1，ID2，…，IDn}。為了方便表示，令g=2，即將id隱藏在混淆集合的第二個位置（只有R知道ID2=id）。接著，R將混淆集合發送給S1。S1根據接收到的混淆集合ID匹配到數據庫中的n個結果{a1，a2，…，an}。

b）R根據id產生另外一個混淆集合ID*={ID*1，ID*2，…，ID*n}，g=2，則ID*2=id，并將集合ID*發送給S2，S2根據混淆集ID*匹配數據庫中的n個結果{b1，b2，…，bn}。

c）R生成一對加法同態密碼Paillier的公私鑰（pk，sk）。

d）S1根據查詢出的n個結果，對應生成n個SM4對稱加密密鑰AS={AS1，AS2，…，ASn}，并將密鑰集發送給R。

e）S2根據查詢出的n個結果，對應生成n個SM4對稱加密密鑰BS={BS1，BS2，…，BSn}，并將密鑰集發送給R。

f）R選擇AS2與BS2對公鑰pk分別進行加密得到EAS2（pk）、EBS2（pk），并將EAS2（pk）發送給S1方，EBS2（pk）發送給S2方。

g）S1用密鑰集合AS中的每一個秘鑰對EAS2（pk）進行解密得到Apk={Apk1，Apk2，…，Apkn}，其中Apk2=pk。

h）S1利用{Apk1，Apk2，…，Apkn}對查詢出的n個結果{a1，a2，…，an}利用Paillier密碼算法加密得到EA={EA1，…，EAn}。

i）S2方用密鑰集合BS對EBS2（pk）進行解密得到Bpk={Bpk1，Bpk2，…，Bpkn}，其中Bpk2=pk。

j）S2利用{Bpk1，pk，…，Bpkn}對查詢出的n個結果{b1，b2，…，bn}利用Paillier密碼算法加密得到EB={EB1，…，EBn}，并將其發送給S1。

k）S1利用Paillier密碼算法的加法同態性質，對兩個密文EA與EB進行計算得到：Ei=EAi×EBi，最終得到密文集{E1，E2，…，En}，并將其發送給R。

l）R已知目標查詢的結果為密文集中的第二個元素，因此R利用自己的私鑰sk對{E1，E2，…，En}中的E2進行解密得到最終結果m。如果m=0，則該用戶不是黑名單用戶；如果mgt;0，則該用戶是黑名單用戶。

3協議分析

3.1正確性分析

匿名查詢協議的正確性是R經過執行本文的算法能夠得到正確的目標查詢用戶的信息。下面，將通過理論分析以及實驗仿真來證明本文算法的正確性。

3.1.1理論分析

定理1正確性，假設查詢方與各個數據源方遵守協議流程，協議結束后，查詢方將得到正確的目標秘密信息。

證明a）假設g=2時，S1方根據混淆集合ID匹配到n個查詢結果{a1，a2，…，an}，并對應生成n個對稱加密密鑰AS={AS1，AS2，…，ASn}。S2方根據混淆集合ID*匹配到n個查詢結果{b1，b2，…，bn}，對應生成n個對稱加密密鑰BS={BS1，BS2，…，BSn}。R生成（pk，sk），利用SM4密碼算法對pk進行加密得到EAS2（pk）、EBS2（pk）。

b）S1與S2利用密鑰集AS與BS對EAS2（pk）、EBS2（pk）解密得到

Apki={DAS1（EAS2（pk）），DAS2（EAS2（pk）），…，DASn（EAS2（pk））}=

{Apk1，pk，…，Apkn}（6）

Bpki={DBS1（EBS2（pk）），DBS2（EBS2（pk）），…，DBSn（EBS2（pk））}=

{Bpk1，pk，…，Bpkn}（7）

c）S1與S2利用密鑰{Apk1，pk，…，Apkn}、{Bpk1，pk，…，Bpkn}分別對查詢的結果{b1，b2，…，bn}利用Paillier密碼算法加密得到

EA={EApk1（a1），Epk（a2），…，EApkn（an）}（8）

EB={EBpk1（b1），Epk（b2），…，EBpkn（bn）}（9）

d）S1利用Paillier密碼算法的加法同態性質，對兩個密文EA與EB進行處理得到Ei=EAi×EBi，最終得到密文集{E1，E2，…，En}，并將其發送給R。

e）通過以上的計算可以將數據源方的信息匯總，得到集合{E1，E2，…，En}，R利用私鑰sk對E2進行解密即可得到目標查詢用戶的黑名單情況。E2的密文結果可以分為如下幾種情況：

假設a2=b2=0，則

E2=Epk（a2）×Epk（b2）=Epk（0）×Epk（0）=Epk（0）（10）

假設a2=b2=1，則

E2=Epk（a2）×Epk（b2）=Epk（1）×Epk（1）=Epk（1+1）=Epk（2）（11）

假設a2≠b2，則

E2=Epk（a2）×Epk（b2）=

Epk（0）×Epk（1）=Epk（1）

Epk（1）×Epk（0）=Epk（1）（12）

R對以上三種情況進行解密都可得到正確的查詢結果，因此本文算法邏輯是正確的。

3.1.2實驗分析

本文在IntelliJ IDEA2017.3.2，Windows10操作系統下對匿名查詢系統進行仿真，本節以兩方數據源為例進行數據的查詢。首先給出了數據源A方與B方的數據庫，如表1所示。

圖2為使用Java語言實現的匿名查詢系統，查詢方R輸入目標查詢ID后，點擊查詢按鈕，通過本文的算法系統返回查詢過程中的每個流程，并且最終輸出關于用戶的正確的黑名單情況。由實驗結果可看出，當目標查詢id=223 458時，實驗結果為該用戶為黑名單用戶。由表1的兩個數據庫的內容可看出，該用戶在A方數據源中為非黑名單用戶，在B方數據庫中是黑名單用戶，即目標查詢用戶為黑名單用戶。因此，從理論證明和實驗仿真上，該算法是正確且可實現的。

3.2安全性分析

該算法的安全性是能夠保證各方在查詢過程中的匿名性。首先，是查詢方的匿名性，在查詢過程中不會暴露查詢方目標查詢的用戶的ID信息，保證了查詢方的信息安全；其次，數據源方的匿名性，查詢方通過該算法只能得到目標查詢用戶的匯總信息，而不能獲取數據源中其他用戶的信息以及單個數據源針對該用戶的信息，從而保證了數據源方的安全；最后，是為了防止各個數據源方的共謀，在整個查詢過程中各個數據源之間的數據是不會被暴露的，這就保證了數據源之間的匿名性。下面通過四個定理來證明本文算法的安全性。

定理2查詢方安全，R不會泄露目標查詢用戶的id信息。

證明假設R在n個數據源中進行匿名查詢，R會將目標查詢id隱藏在集合中后再發送給S1與S2進行查詢，整個查詢過程中S1與S2都是對混淆集合進行操作的而不知道目標查詢id具體是哪一個，因此保證了目標查詢id的匿名性。

定理3數據源方安全，R不能獲得數據源中關于目標查詢用戶id以外的其他用戶的信息。

證明本協議的查詢方法利用R生成的公私鑰對（pk，sk）的保密性使得R不能從數據源中獲得除了目標用戶信息以外的其他信息，從而保證了數據源端的信息安全。該算法中S1利用{Apk1，Apk2，…，Apkn}對{a1，a2，…，an}進行加密得到EA={EApk1（a1），Epk（a2），…，EApkn（an）}，S2利用{Bpk1，pk，…，Bpkn}對{b1，b2，…，bn}進行加密得到EB={EBpk1（b1），Epk（b2），…，EBpkn（bn）}，并在S1端對兩組密文利用同態密碼進行操作得到{E1，E2，…，En}。由于只有E2是用密鑰pk進行加密的，那么R接收到{E1，E2，…，En}后只能利用私鑰sk得到對E2解密的結果。因此，R不能獲得除了目標用戶的黑名單信息以外的其他用戶數據，從而保證了數據源端的信息安全。

定理4數據源方安全，R只能獲得各方數據源處理后的最終結果，而單個數據源針對被查詢用戶的查詢結果不會被泄露。

證明在S1端利用同態性質，對各個數據源端的密文數據進行匯總得到密文信息{E1，E2，…，En}，R端通過解密只能得到目標查詢用戶是否是黑名單用戶，而不能通過密文{E1，E2，…，En}分解出各個數據源的密文，從而保障了各個數據源的安全。

定理5數據源安全，在整個查詢過程中數據源端，不會暴露各自的數據信息給其他數據源端。

證明S1端對兩組密文EA={EApk1（a1），Epk（a2），…，EApkn（an）}、EB={EBpk1（b1），Epk（b2），…，EBpkn（bn）}利用同態密碼進行信息匯總操作得到{E1，E2，…，En}是數據源端之間的唯一一次數據交互，證明數據源安全只需要證明在此次交互的過程中各個數據源中的信息不會被泄露即可。在協議之初，R產生兩個不同的混淆集合ID與ID*分別發送給數據源端S1與S2，數據源方分別查詢出不同的數據結果{a1，a2，…，an}、{b1，b2，…，bn}。S1端接收到EB={EApk1（b1），Epk（b2），…，EApkn（bn）}后并不知道該密文集各個元素代表哪個用戶的信息，S1不能從中獲得任何有用信息。因此，各個數據源端之間的信息交互是安全的。

定理6公平性，當多個數據源方沒有誠實執行協議時，仍然能夠保證查詢方的合法權益。

證明協議中，R根據目標查詢的id產生一個混淆集合ID={ID1，ID2，…，IDn}，其中ID2=id，分別將集合發送給S1與S2。在查詢的過程中數據庫方可以得到一個待查詢集合，但是并不知道查詢方具體查的是哪一個用戶。因此，無論數據源方存在何種不誠實的行為都不會將待查詢的數據暴露給數據源方，從而保證了數據源方的安全。

另外，方案的各個環節都是相互關聯的，如果數據源方想要在中間過程惡意竄改某些數據，有可能會出現下面兩種結果：a）不會影響查詢結果，比如數據方S1惡意竄改除Apk2=pk以外的其他秘鑰Apki，是不會影響R解密出正確的數據的；b）影響查詢的結果，且R能夠覺察查詢信息錯誤，拒絕查詢信息，比如數據源方S1惡意竄改秘鑰Apk2，S2方正常執行流程，查詢方用私鑰解密同態運算匯總的密文，由于同態運算的密鑰并不是同一個密鑰，因此會解密出一個異常的字符串。當S1方與S2方合謀同時惡意竄改密鑰Apk2，由于同態運算與解密運算所用的密鑰不相等，那么查詢方解密仍然會解密出一串異常的字符串。所以當數據源方存在合謀惡意竄改數據的行為時，查詢方會察覺到數據異常，并拒絕數據。當數據源方存在不誠實的行為時，仍然能夠保證查詢方的權益。

4基于OT的多方身份匿名查詢模型

在網絡安全交易協議［14］中，某些惡意的買方用戶在購買數字產品之后，為了獲取利益，惡意復制傳輸數字產品。為了防止上述情況發生，假設每個交易平臺都擁有一個黑名單數據庫，在與Buyer交易之前通過多方數據庫匿名聯合查詢得到該用戶的黑名單信息來核對其信用情況，從而降低交易風險。該過程中，涉及到多個用戶之間的查詢，并且各方都是存在競爭關系的交易平臺，因此在交互的過程中保障各方的信息安全至關重要。

在現實應用中，數據源的個數是隨機的，基于此，本節以上文的三方匿名查詢協議為基礎，將算法擴展成m方匿名查詢協議中，并將其應用于數字交易協議中，實現Buyer身份信息驗證的功能模塊。假設查詢方為R，數據源方為{S1，…，Sm}，下面給出多方匿名查詢流程如下：

a）Buyer與數字產品交易平臺R交易：R獲取Buyer的id。

b）混淆目標查詢id。

（a）R根據目標查詢的id以及數據源的個數產生m組混淆集合ID1，…，IDm，并且將目標查詢的id混淆到每個集合的第g個位置（g∈［1，n］，n代表混淆集合的長度，為了方便說明，g=2）。

（b）R將m個集合ID1，…，IDm對應分發給數據源方S1，…，Sm，各個數據源方對應查詢出m個數據集合M1，…，Mm。

c）秘密傳遞公鑰pk。

（a）R生成對稱加密密鑰（pk，sk）；

（b）m個數據源方S1，…，Sm對應生成m個對稱加密密鑰集Key1，…，Keym，所有的數據源方將生成的m個密鑰集發送給R。

（c）R選擇m個密鑰集合中每個集合的第二個密鑰對公鑰pk進行加密，并將m個密文數據分別發送給各個數據源方。

（d）每個數據源方Si（i∈［1，m］）利用自己的密鑰集合Keyi（i∈［1，m］）中的每一個密鑰對密文進行解密得到{pk1，pk，…，pkn}，然后利用解密出的結果作為密鑰對數據庫中查詢出的結果Mi={m1，…，mn}加密得到E（Mi）={Epk1（m1），Epk（m2），…，Epkn（mn）}（i∈［1，m］）。各個數據源方將E（Mi）發送給S1，S1得到m個密文集E（M1），E（M2），…，E（Mm）。

d）利用同態性質匿名匯總各方數據源的查詢結果。S1接收到各方發送的密文集，S1對密文m組密文對應位置進行相乘運算后得到{E1，E2，…，En}，并將密文集發送給R。將各方發送過來的密文集中對應位置的密文相乘得到新的密文。

e）R得到目標查詢結果。R選擇第g=2個密文E2進行解密得到各個數據源中對目標查詢用戶信息的匯總結果。

（a）若result=Dsk（E2）=Dsk（Epk（0））=0，則該用戶非黑名單用戶。

（b）若result=Dsk（E2）=Dsk（Epk（t））=t（0lt;t≤m），則該用戶為黑名單用戶。

當協議結束后，R在各個數據源端匿名查詢到目標用戶的黑名單信息，并對交易流程作出改變。如果查詢結果顯示該用戶不是黑名單用戶，R繼續與Buyer進行數據交易；如果查詢結果顯示該用戶是黑名單用戶，為了防止Buyer惡意購買數字產品的現象發生，R可以拒絕與Buyer進行交易或者與Buyer交易完成后R有針對性地對Buyer進行一個長期的異常行為監視，因此可以減少惡意用戶對R造成的損失，并且R可以根據t值的大小來評判該用戶的危險等級，t越大表示該用戶的危險等級越高。

5性能分析

下面分別從效果與效率兩方面來分析協議的性能。

5.1效果分析

表2從查詢數據源個數、單次查詢的信息數以及是否能夠保證數據源安全幾個方面來對比本文算法與其他算法的效果。

由表2可以看出，相比于傳統的兩方不經意傳輸協議，本文算法能夠實現多方的信息查詢，并且本文算法的安全性除了能夠保證最基本的不經意傳輸的安全性質外，還延伸出更多安全性質，如：a）R只能獲得各方數據源處理后的最終結果，而單個數據源針對被查詢用戶的查詢結果不會被泄露；b）在整個查詢過程中數據源端不會暴露各自的數據信息給其他數據源端，防止各個數據源端的共謀。本文算法既能保障查詢方與數據源端之間的安全，又能保證數據源端與數據源端之間的安全。綜合以上效果分析，本文的多方匿名查詢方案的應用前景廣泛，安全性更高。

5.2效率分析

本節通過改變數據源的個數、數據庫數據量以及混淆集合的數據量等相關參數，記錄運行時間的變化，并從時間負載的角度來分析本文算法的效率。

表3中數據源個數代表被查詢方的個數，數據庫數據量表示被查詢方數據庫的數據量，混淆集數量表示查詢方將目標查詢數據混淆到的集合大小，時間表示在不同數據庫數量、數據源個數、混淆集數據量的條件限制下查詢一條數據所花費的時間。由表中數據可以看出，隨著數據源數量、數據庫數據量以及混淆集數據量的增加，多方匿名查詢系統的運行時間增加。現實應用中，數據源的個數以及數據庫的數量是隨機且不可控的，唯一可控的因素是混淆集數據集。可以根據系統的效率要求，調節混淆集的數量來控制時間。從表3的時間負載的數據可以看出，本文算法的運行效率高、可擴展性強。

6結束語

本文利用OT協議的安全優勢，結合密碼學中的同態加密和對稱加密算法，設計了一個在多方數據源下的匿名查詢協議。該協議在保證各個參與者安全的前提下，實現了用戶信息的匿名查詢，可以應用于網絡安全交易中的黑名單驗證。實驗數據表明，本方案查詢結果正確、安全性高、查詢效率高。在下一步的研究中，可以尋求一種更高效的多方匿名查詢協議，如單次可以查詢多個數據的高效查詢協議。

參考文獻：

［1］葛奕飛，鄭彥斌.帶有糾刪或糾錯性質的隱私保護信息檢索方案［J］.廣西師范大學學報：自然科學版，2020，38（3）：33-44.（Ge Yifei，Zheng Yanbin.Privacy preserving information retrieval scheme with erasure or error correction［J］.Journal of Guangxi Normal University：Natural Science Edition，2020，38（3）：33-44.）

［2］張靜，羅守山，楊義先，等.安全兩方集合交集云外包計算協議［J］.北京郵電大學學報，2019，42（2）：13-18.（Zhang Jing，Luo Shoushan，Yang Yixian，et al.Security two party collective intersection cloud outsourcing computing protocol［J］.Journal of Beijing University of Posts and Telecommunications，2019，42（2）：13-18.）

［3］Frattolillo F.A multiparty watermarking protocol for cloud environments［J］.Journal of Information Security and Applications，2019，47（8）：246-257.

［4］竇家維，葛雪，王穎囡.保護隱私的曼哈頓距離計算及其推廣應用［J］.計算機學報，2020，43（2）：352-365.（Dou Jiawei，Ge Xue，Wang Yingnan.Privacy preserving Manhattan distance calculation and its application［J］.Chinese Journal of Computers，2020，43（2）：352-365.）

［5］李文娟.私有信息檢索中若干關鍵技術的研究［D］.合肥：安徽大學，2012.（Li Wenjuan.Research on some key technologies in private information retrieval［D］.Hefei：Anhui University，2012.）

［6］劉俊旭，孟小峰.機器學習的隱私保護研究綜述［J］.計算機研究與發展，2020，57（2）：346-362.（Liu Junxu，Meng Xiaofeng.Survey of privacy protection in machine learning［J］.Computer Research and Development，2020，57（2）：346-362.）

［7］Even S，Goldreich O，Lempel A.A randomized protocol for signing contracts［J］.Communications of the ACM，1982，28（6）：205-210.

［8］Kundu N，Debnath S K，Mishra D.1-out-of-2：post-quantum oblivious transfer protocols based on multivariate public key cryptography［J］.Sādhanā，2020，45（1）：1-12.

［9］Tzeng W G.Efficient 1-out-of-noblivious transfer schemes with universally usable parameters［J］.IEEE Trans on Computers，2004，53（2）：232-240.

［10］Mi Bo，Huang Darong，Wan Shaohua，et al.A post-quantum light weight 1-out-n oblivious transfer protocol［J］.Computers amp; Electrical Engineering，2019，75：90-100.

［11］秦靜，李麗，李寶.高效率的非交互OTkn協議及其應用［J］.北京郵電大學學報，2008，31（4）：1-5.（Qin Jing，Li Li，Li Bao.Efficient non interactive OTkn protocol and its application［J］.Journal of Beijing University of Posts and Telecommunications，2008，31（4）：1-5.）

［12］李順東，王道順.基于同態加密的高效多方保密計算［J］.電子學報，2013，41（4）：798-803.（Li Shundong，Wang Daoshun.Efficient multi party secure computing based on homomorphic encryption［J］.Acta Electronica Sinica，2013，41（4）：798-803.）

［13］陳志偉，杜敏，楊亞濤，等.基于RSA和Paillier的同態云計算方案［J］.計算機工程，2013，39（7）：35-39.（Chen Zhiwei，Du Min，Yang Yatao，et al.Homomorphic cloud computing scheme based on RSA and Paillier［J］.Computer Engineering，2013，39（7）：35-39.）

［14］李煊.云計算環境中基于加密域圖像水印的Buyer-Seller模型研究［D］.南京：南京信息工程大學，2018.（Li Xuan.Research on Buyer- Seller model based on image watermarking in encrypted domain in cloud computing environment［D］.Nanjing：Nanjing University of Information Technology，2018.）

［15］楊孝鵬，李偉春，曹浩.利用格密碼的非對稱性構造尺寸優化的隱藏認證不經意傳輸協議［J］.計算機應用研究，2020，37（S1）：306-309.（Yang Xiaopeng，Li Weichun，Cao Hao.Constructing size optimized hidden authentication inadvertent transmission protocol by using the asymmetry of lattice cipher［J］.Application Research of Computers，2020，37（S1）：306-309.

［16］徐彥蛟，李順東，陳振華.基于雙線性對的高效不經意傳輸協議［J］.計算機工程，2013，39（6）：166-169，173.（Xu Yanjiao，Li Shundong，Chen Zhenhua.Efficient oblivious transmission protocol based on bilinear pairs［J］.Computer Engineering，2013，39（6）：166-169，173.）

收稿日期：2021-09-06；修回日期：2021-11-05基金項目：國家自然科學基金資助項目（61370188）；北京市教委科研計劃一般項目（KM202010015009）；北京市教委科研計劃資助項目（KM202110015004）；北京印刷學院博士啟動基金資助項目（27170120003/020）；BIGCProject（Ec202007）；北京印刷學院校內學科建設項目（21090121021）；北京印刷學院校級重點教改項目（22150121033/009）

作者簡介：張愛孌（1997-），女，河北滄州人，碩士研究生，主要研究方向為信息安全、密碼學；李禎禎（1991-），女（通信作者），講師，主要研究方向為信息安全、量子密碼（o_dhy@163.com）；丁海洋（1979-），男，副教授，主要研究方向為信息隱藏、半色調信息隱藏、數字圖像處理；張珍珍（1986-），女，講師，主要研究方向為視頻信息隱藏、視頻取證；李子臣（1965-），男，教授，主要研究方向為信息安全、數字水印、數字簽名、密碼學等．