(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210191130.2 (22)申请日 2022.03.01 (65)同一申请的已公布的文献号 申请公布号 CN 114301609 A (43)申请公布日 2022.04.08 (73)专利权人 华控清交信息科技 （北京） 有限公 司 地址 100084 北京市海淀区中关村东路1号 院3号楼10层10 09-1 (72)发明人 王天雨　 (74)专利代理 机构 北京润泽恒知识产权代理有 限公司 1 1319 专利代理师 苏培华 (51)Int.Cl. H04L 9/32(2006.01)H04L 9/30(2006.01) H04L 9/08(2006.01) H04L 9/40(2022.01) (56)对比文件 CN 105721140 A,2016.0 6.29 US 2015143102 A1,2015.0 5.21 CN 108632035 A,2018.10.09 CN 112039655 A,2020.12.04 CN 113259329 A,2021.08.13 CN 112019333 A,2020.12.01 CN 112671802 A,2021.04.16 于海勇.基 于区块链的数据交易方法研究. 《中国优秀硕士学位 论文全文数据库 （电子期 刊） 》 .2021,9,18-2 2. 审查员 白芳芳 (54)发明名称 一种不经意传输方法、 多 方安全计算平台和 用于不经意传输的装置 (57)摘要 本发明实施例提供了一种不经意传输方法、 多方安全计算平台和用于不经意传输的装置。 其 中的方法包括： 发送方基于持有的n个消息组， 接 收方基于持有的n个索引和验证子集J， 双方执行 n次2选1不经意传输协议， 并且在执行第j次时， 若j属于验证子集， 则接收方对第j次的传输 数据 进行验证； 其中， 一个消息组中包含两个待选择 的消息， n＞1， J ⊂[n]； 在所述n次2选1不经意传 输协议执行完成时， 若验证子集的验证结果满足 预设条件， 则接收方获得可信的不经意传输结 果。 本发明实施例使 得不经意传输协议可以在恶 意参与方模 型下能被正确执行， 可以提高不经意 传输协议的安全性。 权利要求书5页 说明书16页 附图4页 CN 114301609 B 2022.05.17 CN 114301609 B 1.一种不经意传输方法， 其特征在于， 应用于多方安全计算平台， 所述多方安全计算平 台包括发送方和接收方， 所述方法包括： 发送方基于持有的n个消息组， 接收方基于持有的n个索引和验证子集J， 双方执行n次2 选1不经意传输协 议， 并且在执行第 j次时， 若j属于验证子集， 则接收方对第 j次的传输数据 进行验证； 其中， 一个消息组中包含两个待选择的消息， n＞1， J ⊂[n]， [n]为0到n ‑1的整数 所组成的集 合； 在所述n次2选1不经意传输协议执行完成时， 若验证子集的验证结果满足预设条件， 则 接收方获得 可信的不经意传输结果； 所述双方 执行n次2选1不经意传输协议中的第j次包括如下步骤： 接收方基于本地产生的随机数、 SM2算法的基点G、 以及所述j是否属于验证子集， 计算 第一参数， 并将所述第一 参数发送给发送方； 发送方基于本地产生的随机数和所述第一参数， 计算公钥和私钥， 并基于预设的密钥 生成函数和所述私钥对第j个消息组中的消息进行加密， 得到第j个消息组的密文， 发送方 将所述第j个消息组的密文和所述公钥作为第二 参数发送给接收方； 接收方基于第j个索引、 所述密钥生成函数、 以及所述第二参数， 计算从第j个消息组中 选择的目标消息， 并且在j属于验证子集时， 计算 从第j个消息组中未选择的非目标消息， 验 证所述非目标消息 。 2.根据权利要求1所述的方法， 其特征在于， 所述接收方基于本地产生的随机数、 SM2算 法的基点G、 以及所述j是否属于验证子集， 计算第一 参数之后， 所述方法还 包括： 接收方对所述第 一参数进行零知识证明， 并将所述零知识证明的相关信 息发送给发送 方； 发送方对所述 零知识证明的相关信息进行验证， 若验证不 通过， 则中止协议。 3.根据权利要求1所述的方法， 其特征在于， 所述接收方基于本地产生的随机数、 SM2算 法的基点G、 以及所述j是否属于验证子集， 计算第一 参数， 包括： 接收方令第一临时公钥g0=G， 生成第一随机数R_r1， 基于第一随机数R_r1与基点G的点 乘计算， 得到第二临时公钥g1； 接收方生成第一随机数组R_r2， 基于第一随机数组R_r2与基点G的点乘计算和点加计 算， 以及第二临时公钥g1、 所述j是否属 于验证子集， 计算得到第三临时公钥hj0和第四临时 公钥hj1； 接收方生成第二随机数组R_r3， 基于第二随机数组R_r3与基点G的点乘计算和点加计 算， 以及第j个索引、 第一临时公钥g0、 第二临时公钥g1、 第三临时公钥hj0、 第四临时公钥hj1， 计算得到第五临时公钥gj’和第六临时公钥hj’； 接收方将第二临时公钥g1、 第三临时公钥hj0、 第四临时公钥hj1、 第五临时公钥gj’、 以及 第六临时公钥hj’作为第一 参数； 所述发送方基于本地产生的随机数和所述第一参数， 计算公钥和私钥， 并基于预设的 密钥生成函数和所述私钥对第j个消息组中的消息进行加密， 得到第j个消息组的密文， 包 括： 发送方生成第 三随机数组， 基于第 三随机数组中的随机数与第 一参数中的参数的点乘 计算和点加计算， 得到第一公钥uj0、 第一私钥vj0、 第二公钥uj1、 以及第二私钥vj1；权　利　要　求　书 1/5 页 2 CN 114301609 B 2发送方基于第一私钥vj0和预设的密钥生成函数生成第一密钥， 利用第一密钥对第j个 消息组中的第一消息进行加密， 得到第一消息的密文ej0， 以及基于第二私钥vj1和密钥生成 函数生成第二密钥， 利用第二密钥对第 j个消息组中的第二消息进 行加密， 得到第二消息的 密文ej1。 4.根据权利要求3所述的方法， 其特征在于， 所述第j个消 息组中包含第一消 息m0j和第 二消息m1j， 所述第j个索引为aj， 其中， 第二临时公钥g1=[R_r1]*G； j属于验证子集时， 第三临时公钥hj0=[R_r2[j]]*G， 第四临时公钥hj1=g1+[R_r2[j]]*G； j不属于验证子集时， 第三临时公钥hj0=[R_r2[j]]*G， 第四临时公钥hj1=g1+[R_r2[j]+ 1]*G； 第五临时公钥gj’=(gaj)+[R_r3[j] ]*G； 其中， 当aj= 0时， gaj=g0； 当aj=1时， gaj =g1； 第六临时公钥hj’=(haj)+[R_r3[j] ]*G； 其中， 当aj= 0时， haj=h0； 当aj=1时， haj=h1； 第三随机数组包括如下随机数： sj0、 sj1、 tj0、 tj1； 第一公钥uj0=[sj0]*g0+[tj0]*hj0； 第一私钥vj0=[sj0]*gj’+[tj0]*hj’； 第二公钥uj1=[sj1]*g1+[tj1]*hj1； 第二私钥vj1=[sj1]*gj’+[tj1]*hj’； 第一消息的密文ej0=KDF(vj0)⊕m0j， KDF为密钥生成函数； 第二消息的密文ej1=KDF(vj1)⊕m1j。 5.根据权利要求4所述的方法， 其特征在于， 第j个消息组中包含消息m0j和m1j， 通过下 式计算从第j个消息组中选择的目标消息mjaj： mjaj=KDF(ujaj‑[R_r3]*G) ⊕ejaj； 其中， 当aj=0时， ujaj =uj0， ejaj =ej0， mjaj = m0j； 当aj =1时， ujaj =uj1， ejaj =ej1， mjaj = m1j； 通过下式计算从第j个消息组中未选择的非目标消息mj1‑aj： mj1‑aj=KDF(ujaj‑[R_r3]*G ‑[R_r1]*G) ⊕ej1‑aj； 其中， 当aj=0时， ujaj =uj0， ejaj =ej0， mj1‑aj = m1j； 当aj=1时， ujaj =uj1， ejaj =ej1， mj1‑aj = m0j。 6.根据权利要求1所述的方法， 其特征在于， 所述验证子集的验证结果满足预设条件， 包括： 在j属于验证子集时， 接收方计算得到的从第j个消息组中选择的目标消息以及从第j 个消息组中未选择的非目标消息均正确。 7.一种不经意传输方法， 其特征在于， 应用于多方安全计算平台中的接收方， 所述多方 安全计算平台 中还包括发送方， 所述方法包括： 基于持有的n个索引和验证子集J， 与发送方执行n次2选1不经意传输协议， 并且在执行 第j次时， 若j属于验证子集， 则接收方对第j次的传输数据进行验证； 其中， 发送方持有n个 消息组， 一个消息组中包含两个待选择的消息， n＞1， J ⊂[n]， [n]为0到n ‑1的整数所 组成的 集合； 在所述n次2选1不经意传输协议执行完成时， 若验证子集的验证结果满足预设条件， 则 接收方获得 可信的不经意传输结果； 所述n次2选1不经意传输协议中的第j次包括如下步骤：权　利　要　求　书 2/5 页 3 CN 114301609 B 3