CN111277406B - 一种基于区块链的安全两方向量优势比较方法 - Google Patents

Abstract

本发明属于密码学与信息安全领域，更具体地，涉及一种基于区块链的安全两方向量优势比较方法。方法采用了区块链加云外包计算作为基础框架，利用区块链作为驱动工具，代替可信任第三方来管理和监督整个计算过程，确保向量比较正常运行。利用云外包计算，将繁重的计算任务从用户转移到拥有足够计算力的外包服务器，减轻了用户的负担，充分利用了额外的计算资源。将云外包计算和区块链结合起来，提供可靠的奖励惩罚机制，减轻用户计算开销的同时，大大增加了恶意服务器的攻击成本，从而使得原本在实际运行中受限严重的半诚实模型协议有了保障。

Description

一种基于区块链的安全两方向量优势比较方法

技术领域

本发明属于密码学与信息安全领域，更具体地，涉及一种基于区块链的安全两方向量优势比较方法。

背景技术

随着信息技术的飞速发展，互联网在人们的日常生活中变得越来越重要。近年来，互联网应用和服务如雨后春笋般涌现。尽管这些互联网应用给人们的生活带来了巨大的便利，但同时许多应用也在这个过程中收集了大量的用户数据，因此这也引起了人们对隐私信息泄露的关注。作为一种有效保护隐私的技术，多方安全计算是研究人员重点关注的方向之一，它关注如何在分布式场景中，利用参与者的私有信息来完成相关计算任务。两方向量优势比较是多方安全计算的一个子课题，是单个数字比较的一个扩展，同时也增加了新的限制条件。假定Alice 和Bob分别持有私人的向量A和向量B，它要求Alice和Bob能进行比较，查看是否存在某一个向量中的所有元素都大于另外一个向量对应元素的情况，并且在这个过程中既不能向对方暴露向量里面的元素信息，也不能暴露对应元素的大小关系。两方向量优势比较作为多方安全计算的一个子课题，使用了大量的以密码学知识为基础的技术，属于密码学与信息安全领域。

2001年，Atallah等首次提出了两方向量优势比较的定义，并给出了一种利用置换和混淆输入的方法完成比较。通过混淆输入和置换，Atallah将A与B两个n维向量扩展成为4n维向量A′与向量B′，然后利用A′与B′对元素进行逐个比较。2006年，Ibrahim提出了新的算法，算法第一步利用对应位置的元素计算是否存在向量优势，在确定存在向量优势后，第二步两方分别计算各自向量的元素的总和，然后以总和进行比较判断谁的向量是优势。2008年，Jin等提出了以按位比较为基础的方法来解决向量优势问题。首先Alice将加密密钥和加密后的向量比特发送给Bob，Bob收到Alice的数据后在加密的环境下计算对应元素对应比特的差值，并将差值累计起来。Bob将累计的结果经过混淆后发送给Alice，Alice解密后由差值判断向量之间是否存在优势比较。

上述的方法虽然能够解决两方向量比较问题，但是他们都只适用于半诚实模型，即参与者都必须诚实地执行每个步骤，无法对恶意行为进行抵抗。同时， Atallah提出的方法使用了可信任的第三方，在实际使用中缺乏可行性。Ibrahim 的方法缺少针对向量节点相等的情况，在不进行预处理的前提下，可能会造成用户隐私泄露。同时，以上方法用户要做大量的计算和通信操作，给用户带来更多的开销。

发明内容

本发明为克服上述现有技术中的缺陷，提供一种基于区块链的安全两方向量优势比较方法，利用云外包计算，将繁重的计算任务从用户转移到拥有足够计算力的外包服务器，减轻了用户的负担，充分利用了额外的计算资源。

为解决上述技术问题，本发明采用的技术方案是：一种基于区块链的安全两方向量优势比较方法，包括以下步骤：

S1.假定Alice持有向量A＝[a₁ … a_n]，Bob持有向量B＝[b₁ … b_n]，每个元素都表示为K比特的整数；

S2.密钥协商：Alice和Bob通信协商ELGamal加密所需的参数p、q，各自在群Z_q中选取随机元素S_A、S_B，并计算

得到

在G_q中选取元素f，使用h、f和群G_q的生成元g构造加密密钥(g，h，f)；其中，p、q是两个大素数，满足条件p＝2q+1，G_q是群

的q阶乘法子群，它的生成元是g；

S3.Alice将自己的数据按位进行秘密分享，将矩阵A＝[a₁ … a_n]的每个元素a_i分为K份分享，其中1≤i≤n，每一份分享都包含了元素a_i的一个bit， [a_i]_p＝[[a_i1]_p[a_i2]_p...[a_ik]_p]，其中[a_i]_p表示元素a_i的秘密分享形式，[a_it]_p表示元素a_i的第t个比特的分享，满足[a_it]_p∈{0，1}，1≤t≤K；同时，Alice计算 a_i的最长前缀a′_i的长度J_i，Alice将分享后的数据、J_i和加密密钥(g，h，f)上传到区块链；

S4.Bob根据自己的向量B计算每个元素的前缀集合，对于每个元素 b_i，其中1≤i≤n，Bob使用零编码算法计算b_i所有的前缀，得到含有K_i个元素的集合

Bob将每个

按位进行秘密分享得到

其中

表示元素

的秘密分享形式，

表示元素

的第m个比特的分享，m_j表示

的长度，满足

然后将数据上传到区块链；

S5.区块链收到Alice和Bob上传的数据，将数据和计算任务分配给计算节点进行多轮计算，计算得到加密数据y_i,K，其中1≤i≤n；

S6.在步骤S5的多轮运算中，每一对元素a_i与b_i经过计算后得到结果y_i,K，n 对元素全部计算完成后，区块链和计算节点通过通信和计算得到Y＝y_1,K· y_2,K...·y_n,K＝(x,y)，将结果Y返回给Alice和Bob；

S7.Alice和Bob根据ELGamal密码体制的要求，利用步骤S2中的S_A、S_B和步骤S6所得到的Y中的x，分别计算

和

并交换，然后对Y进行解密，若解密的结果

则A＞B，即向量A对向量B存在向量优势，否则向量A对向量B不存在向量优势。

进一步的，所述的S5步骤具体包括：首先区块链根据向量元素的长度K在网络中随机选择2K个计算节点，每个节点获取a_i与

中的一个比特，然后这2K个节点重复执行以下计算，其中i＝1,2...n；

S51.负责[a_i]_p的节点从群Z_q中选取两个随机数

与

设节点持有

这一比特，i代表了元素a_i在向量A中的位置，j对应

在

的位置，l表示在元素a_i中的位置，z[i,l,0]与z[i,l,1]分别代表了计算节点根据数据

计算的加密向量中的两个元素；

当j＝1时，负责前J_i位的节点进行以下计算，其中1≤l≤K：

若

生成向量[z[i,l,0]＝E(0),

若

生成向量

z[i,l,1]＝E(1)]；

负责其他位的节点生成向量

当j＞1时，负责前J_i位的节点根据收到的y_i,j-1进行以下计算，其中

代表y_i,j-1的

次幂运算，1≤l≤K：

若

生成向量

若

生成向量

负责其他位的节点生成向量

S52.负责[a_i]_p的节点将计算得到的向量发送给区块链，由区块链转发给负责对应的

的节点；

S53.负责

的节点收到区块链转发的加密向量[z[i,l,0]，z[i,l,1]]后，根据自己持有的数据进行计算；设节点持有

i代表b_i在向量B中的位置，j代表

在

中的位置，m(1≤m≤m_j)表示

在元素

中的位置；

当1≤j≤K_i时，若

则选取z[i,j,m]＝z[i,j,0]，若

则选取z[i,j,m]＝z[i,j,1]；然后节点通信计算得到y_i,j＝z[i,j,m_j]·z[i,j,m_j- 1]...·z[i,j,1]·E(0)；

当(K_i+1)≤j≤K时，在Z_n中随机选取元素r_j，计算

然后节点将y_i,j返回给区块链；

S54.j＝j+1，当j≤K时回到步骤S51利用a_i与新的

进行新的计算，当 j＝K时，计算节点通过多次计算得到加密数据y_i,K，其中1≤i≤n，此时令 i＝i+1，j＝1，利用下一对a_i与

进行计算。

在本发明中，ELGamal加密框架包括：

密钥生成：p、q是两个大素数，满足条件p＝2q+1；G_q是群

的q阶乘法子群，它的生成元是g；Alice在群Z_q中随机选取一个元素S_A，Bob在群Z_q中随机选取一个元素S_B；Alice和Bob分别计算

和

并交换，得出

在G_q中选取元素f，至此得到加密的公钥(g,h,f)；

加密运算：给定明文w∈Z_q，通过加密算法计算得到E(w)＝(x,y)＝ (g^α,h^αf^w)，其中α是在Z_q中选取的随机元素；

解密运算：给定密文c＝(x,y)，Alice和Bob分别计算和分享

和

通过解密算法计算得到

在本发明中，提出的方法采用了区块链加云外包计算作为基础框架，利用区块链作为驱动工具，代替可信任第三方来管理和监督整个计算过程，确保向量比较正常运行。利用云外包计算，将繁重的计算任务从用户转移到拥有足够计算力的外包服务器，减轻了用户的负担，充分利用了额外的计算资源。而每一个计算服务器都必须在区块链中进行注册，并且需要抵押一定的电子资产在区块链作为保证金。如果服务器在计算的过程中没有按照协议进行计算，区块链将针对该服务器的电子资产进行惩罚，扣除该服务器的电子资产，补偿给诚信运行的节点还有用户。而诚信运行的节点的电子资产可以在计算任务后自由取回，并且会收到来自区块链的诚信奖励和用户的服务费。这样将云外包计算和区块链结合起来，提供可靠的奖励惩罚机制，减轻用户计算开销的同时，大大增加了恶意服务器的攻击成本，从而使得原本在实际运行中受限严重的半诚实模型协议有了保障。服务器为了获取奖励，会更倾向于诚实运行而非打破协议，使自己的资产受损。

效率分析：本方案的开销分为计算开销和通信开销两个部分。对于用户Alice 和Bob，主要开销来自密钥协商和上传数据，他们的通信开销都是O(nK)。对于云服务器，需要接收用户的数据，并进行加密比较，单个服务器的通信开销位 O(nK)，计算开销位O(nK)，所有云服务器的总开销为O(nK²)，n代表用户向量元素个数，K代表单个元素的长度。

安全性分析：本方案使用了零编码和隐私保护前缀检测。假设向量A对向量 B存在向量优势，那么向量B中元素b_i的零编码合集

中必定含有对应元素a_i的前缀。在本方案的步骤S5中，对于每一个元素a_i和

中的每个元素

都进行了隐私保护前缀测试，若

元素a_i的前缀，那么对于得到的y_i,j＝E(R_i,j)中有R_i,j＝0。如果A对B存在向量优势，那么最终汇总的结果

且 D(Y)＝1。而如果A对B存在向量优势不成立，那么存在i′，j′使得R_i′,j′≠0，从而最终结果

而

由于R_i′,j′由服务器随机产生，所以只有极小的概率R_i′,j′＝0，因此本方案是完备的。

与现有技术相比，有益效果是：本发明提供的一种基于区块链的安全两方向量优势比较方法，用了区块链与云外包计算作为基础框架，利用区块链作为驱动工具，代替可信任第三方来管理和监督整个计算过程，确保向量比较正常运行。利用云外包计算，将繁重的计算任务从用户转移到拥有足够计算力的外包服务器，减轻了用户的负担，充分利用了额外的计算资源。将云外包计算和区块链结合起来，提供可靠的奖励惩罚机制，减轻用户计算开销的同时，大大增加了恶意服务器的攻击成本，从而使得原本在实际运行中受限严重的半诚实模型协议有了保障。

具体实施方式

一种基于区块链的安全两方向量优势比较方法，包括以下步骤：

S1.假定Alice持有向量A＝[a₁ … a_n]，Bob持有向量B＝[b₁ … b_n]，每个元素都表示为K比特的整数；

S2.密钥协商：Alice和Bob通信协商ELGamal加密所需的参数p、q，各自在群Z_q中选取随机元素S_A、S_B，并计算

得到

在G_q中选取元素f，使用h，f和群G_q的生成元g构造加密密钥(g,h,f)；其中，p、q是两个大素数，满足条件p＝2q+1，G_q是群

的q阶乘法子群，它的生成元是g；

S3.Alice将自己的数据按位进行秘密分享，将矩阵A＝[a₁ … a_n]的每个元素a_i分为K份分享，其中1≤i≤n，每一份分享都包含了元素a_i的一个bit， [a_i]_p＝[[a_i1]_p[a_i2]_p...[a_ik]_p]，其中[a_it]_p∈{0,1}，1≤t≤K；同时，Alice计算a_i的最长前缀a′_i的长度J_i，Alice将分享后的数据、J_i和加密密钥(g,h,f)上传到区块链；

S4.Bob根据自己的向量B计算每个元素的前缀集合，对于每个元素 b_i，其中1≤i≤n，Bob使用零编码算法计算b_i所有的前缀，得到含有K_i个元素的集合

Bob将每个

按位进行秘密分享得到

其中

m_j表示

的长度，然后将数据上传到区块链；

S5.区块链收到Alice和Bob上传的数据，将数据和计算任务分配给计算节点进行多轮计算，计算得到加密数据y_i,K，其中1≤i≤n；

S6.在步骤S5的多轮运算中，每一对元素a_i与b_i经过计算后得到结果y_i,K，n 对元素全部计算完成后，区块链和计算节点通过通信和计算得到Y＝y_1,K· y_2,K...·y_n,K＝(x,y)，将结果Y返回给Alice和Bob；

S7.Alice和Bob根据ELGamal密码体制的要求，利用步骤S2中的S_A、S_B和步骤S6所得到的Y中的x，分别计算

和

并交换，然后对Y进行解密，若解密的结果

则A＞B，即向量A对向量B存在向量优势，否则向量A对向量B不存在向量优势。

进一步的，所述的S5步骤具体包括：首先区块链根据向量元素的长度K在网络中随机选择2K个计算节点，每个节点获取a_i与

中的一个比特，然后这2K个节点重复执行以下计算，其中i＝1,2...n；

S51.负责[a_i]_p的节点从群Z_q中选取两个随机数

与

设节点持有

这一比特，i代表了元素a_i在向量A中的位置，j对应

在

的位置，l表示在元素a_i中的位置，z[i,l,0]与z[i,l,1]分别代表了计算节点根据

计算的加密向量中的两个元素；

当j＝1时，负责前J_i位的节点进行以下计算，其中1≤l≤K：

若

生成向量[z[i,l,0]＝E(0),

若

生成向量

z[i,l,1]＝E(1)]；

负责其他位的节点生成向量

当j＞1时，负责前J_i位的节点根据收到的y_i,j-1进行以下计算，其中

代表y_i,j-1的

次幂运算，1≤l≤K：

若

生成向量

若

生成向量

负责其他位的节点生成向量

S52.负责[a_i]_p的节点将计算得到的向量发送给区块链，由区块链转发给负责对应的

的节点；

S53.负责

的节点收到区块链转发的加密向量[z[i,l,0]，z[i,l,1]]后，根据自己持有的数据进行计算；设节点持有

i代表b_i在向量B中的位置，j代表

在

中的位置，m(1≤m≤m_j)表示

在元素

中的位置；

当1≤j≤K_i时，若

则选取z[i,j,m]＝z[i,h,0]，若

则选取z[i,j,m]＝z[i,j,1]；然后节点通信计算得到y_i,j＝z[i,j,m_j]·z[i,j,m_j- 1]...·z[i,j,1]·E(0)；

当(K_i+1)≤j≤K时，在Z_n中随机选取元素r_j，计算

然后节点将y_i,j返回给区块链；

S54.j＝j+1，当j≤K时回到步骤S51利用a_i与新的

进行新的计算，当 j＝K时，计算节点通过多次计算得到加密数据y_i,K，其中1≤i≤n，此时令 i＝i+1，j＝1，利用下一对a_i与

进行计算。

1.ELGamal加密框架包括：

密钥生成：p、q是两个大素数，满足条件p＝2q+1；G_q是群

的q阶乘法子群，它的生成元是g；Alice在群Z_q中随机选取一个元素S_A，Bob在群Z_q中随机选取一个元素S_B；Alice和Bob分别计算

和

并交换，得出

在G_q中选取元素f，至此得到加密的公钥(g,h,f)；

加密运算：给定明文w∈Z_q，通过加密算法计算得到E(w)＝(x,y)＝ (g^α,h^αf^w)，其中α是在Z_q中选取的随机元素；

解密运算：给定密文c＝(x,y)，Alice和Bob分别计算和分享

和

通过解密算法计算得到

2.零编码：假设有长度为k的二进制字符串s＝(s₁s₂...s_k)，其中s_i(i∈[1,k]) 代表一个比特位，那么它的零编码为：

零编码在数字比较中有重要作用，它具有以下性质：给定两个长度为k的二进制字符串a和b，当且仅当a＞b时，b的零编码

集合中包含a的前缀。

3.隐私保护前缀检测：

利用零编码的性质，我们通过以下方案即可检测两个数的大小关系。假定 Alice有二进制字符串a＝(a_ka_k-1...a₁)，Bob有二进制字符串b＝(b_kb_k-1...b₁)， Alice和Bob通过隐私保护前缀检测来判定b的零编码是否是a的前缀，从而判断 a和b的大小关系。完整的过程如下所示：

1)Bob根据字符串b计算b的零编码，得到含有k_j个元素的集合

设其中一个待测元素的二进制表示为

其长度

2)Alice使用零编码算法计算a的最长前缀a′，其长度为|a′|＝J_a，并在Z_q中随机选取两个元素r₀、r₁，构造2×K矩阵

其中Z的每个元素如下：

当k≥i≥J_a且a_i＝0时，

当k≥i≥J_a且a_i＝1时，

当J_a-1≥i≥1时，

Alice将矩阵Z发送给Bob；

3)Bob根据矩阵Z、

计算

然后Bob并将y_j发送给Alice；

4)Alice和Bob将y_j进行解密，如果D(y_j)＝1，则

是a的前缀，且可以推出a＞b。

4.秘密分享：秘密分享一般分为分享和重构两个部分。分享是将秘密分解成若干个分享，而重构就是将这个若干个分享重新组成秘密。(n,t)秘密分享，代表了将秘密分为n份，而任意的t+1份分享都能重新组成秘密，而少于等于t份则不能。在本发明创造中，使用一种按位分享的秘密分享机制，即将一个k位的整数分享成k份，每份一个比特。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。

Claims (2)

1.一种基于区块链的安全两方向量优势比较方法，其特征在于，包括以下步骤：

S1.假定Alice持有向量A＝[a₁…a_n]，Bob持有向量B＝[b₁…b_n]，每个元素都表示为K比特的整数；

S2.密钥协商：Alice和Bob通信协商ELGamal加密所需的参数p、q，各自在群Z_q中选取随机元素S_A、S_B，并计算

得到

在G_q中选取元素f，使用h、f和群G_q的生成元g构造加密密钥(g，h，f)；其中，p、q是两个大素数，满足条件p＝2q+1，G_q是群

的q阶乘法子群，它的生成元是g；

S3.Alice将自己的数据按位进行秘密分享，将矩阵A＝[a₁…a_n]的每个元素a_i分为K份分享，其中1≤i≤n，每一份分享都包含了元素a_i的一个bit，[a_i]_p＝[[a_i1]_p[a_i2]_p…[a_ik]_p]，其中[a_i]_p表示元素a_i的秘密分享形式，[a_it]_p表示元素a_i的第t个比特的分享，满足[a_it]_p∈{0，1}，1≤t≤K；同时，Alice计算a_i的最长前缀a′_i的长度J_i，Alice将分享后的数据、J_i和加密密钥(g，h，f)上传到区块链；

S4.Bob根据自己的向量B计算每个元素的前缀集合，对于每个元素b_i，其中1≤i≤n，Bob使用零编码算法计算b_i所有的前缀，得到含有K_i个元素的集合

Bob将每个

按位进行秘密分享得到

其中

表示元素

的秘密分享形式，

表示元素

的第m个比特的分享，m_j表示

的长度，满足

然后将数据上传到区块链；

S5.区块链收到Alice和Bob上传的数据，将数据和计算任务分配给计算节点进行多轮计算，计算得到加密数据y_i，K，其中1≤i≤n；

S6.在步骤S5的多轮运算中，每一对元素a_i与b_i经过计算后得到结果y_i，K，n对元素全部计算完成后，区块链和计算节点通过通信和计算得到Y＝y_1，K·y_2，K...·y_n，K＝(x，y)，将结果Y返回给Alice和Bob；

S7.Alice和Bob根据ELGamal密码体制的要求，利用步骤S2中的S₄、S_B和步骤S6所得到的Y中的x，分别计算

和

并交换，然后对Y进行解密，若解密的结果

则A＞B，即向量A对向量B存在向量优势，否则向量A对向量B不存在向量优势；

其中，所述的S5步骤具体包括：首先区块链根据向量元素的长度K在网络中随机选择2K个计算节点，每个节点获取a_i与

中的一个比特，然后这2K个节点重复执行以下计算，其中i＝1，2…n；

S51.负责[a_i]_p的节点从群Z_q中选取两个随机数

与

设节点持有

这一比特，i代表了元素a_i与b_i在向量中的位置，j对应

在

的位置，l表示在元素a_i中的位置，z[i，l，0]与z[i，l，1]分别代表了计算节点根据数据

计算的加密向量中的两个元素；

当j＝1时，负责前J_i位的节点进行以下计算，其中1≤l≤K：

若

生成向量

若

生成向量

负责其他位的节点生成向量

当j＞1时，负责前J_i位的节点根据收到的y_i，j-1进行以下计算，其中

代表y_i，j-1的

次幂运算，1≤l≤K：

若

生成向量

若

生成向量

负责其他位的节点生成向量

S52.负责[a_i]_p的节点将计算得到的向量发送给区块链，由区块链转发给负责对应的

的节点；

S53.负责

的节点收到区块链转发的加密向量[z[i，l，0]，z[i，l，1]]后，根据自己持有的数据进行计算；设节点持有

i代表了元素a_i与b_i在向量中的位置，j代表

在

中的位置，m表示

在元素

中的位置，其中，1≤m≤m_j；

当1≤j≤K_i时，若

则选取z[i，j，m]＝z[i，j，0]，若

则选取z[i，j，m]＝z[i，j，1]；然后节点通信计算得到y_i，j＝z[i，j，m_j]·z[i，j，m_j-1]...·z[i，j，1]·E(0)；

当(K_i+1)≤j≤K时，在Z_n中随机选取元素r_j，计算

然后节点将y_i，j返回给区块链；

S54.j＝j+1，当j≤K时回到步骤S51利用a_i与新的

进行新的计算，当j＝K时，计算节点通过多次计算得到加密数据y_i，K，其中1≤i≤n，此时令i＝i+1，j＝1，利用下一对a_i与

进行计算。

2.根据权利要求1所述的基于区块链的安全两方向量优势比较方法，其特征在于，ELGamal加密框架包括：

密钥生成：p、q是两个大素数，满足条件p＝2q+1；G_q是群

的q阶乘法子群，它的生成元是g；Alice在群Z_q中随机选取一个元素S_A，Bob在群Z_q中随机选取一个元素S_B；Alice和Bob分别计算

和

并交换，得出

在G_q中选取元素f，至此得到加密的公钥(g，h，f)；

加密运算：给定明文w∈Z_q，通过加密算法计算得到E(w)＝(x，y)＝(g^α，h^αf^w)，其中α是在Z_q中选取的随机元素；

解密运算：给定密文c＝(x，y)，Alice和Bob分别计算和分享

和

通过解密算法计算得到