CN103064931A - 可验证的隐私数据比较与排名查询方法 - Google Patents

Abstract

本发明公开了一种可验证的隐私数据比较与排名查询方法，该方法包括步骤：S1系统初始化，对用户的隐私数据v_i和相关的随机数进行验证和加密，对加密的数据进行签名形成数字证书颁发给用户；S2用户p₁发送证书给用户p₂，P₂对接收的数据进行验证和同态计算，并将结果发送给用户p₁；S3用户P₁解密用户p₂发送的同态计算结果，得到隐私数据的比较结果；S4用户p₁验证隐私数据的比较结果的正确性；S5针对各用户进行步骤S2-S5，获得各用户的排名。采用本发明的方法能够在保护用户隐私数据的情况下进行比较，并对结果进行验证，保证用户无法输入或对比虚假数据，并且在整个查询过程中无需服务器参与，处理速度快，计算开销小，不受平台限制。

Description

可验证的隐私数据比较与排名查询方法

技术领域

本发明涉及数据安全与分析处理领域，特别涉及一种可验证的隐私数据比较与排名查询方法。

背景技术

数据大小比较和基于数据比较的数据排名作为一种非常基础的数据查询，被广泛应用在各种数据应用场景，如传感网络中节点进行数据查询，社交网络中好友间数据的比较查询，云计算等。很多应用场景中，仅仅需要数据的比较和排名结果，但参与比较和排名的数据本身是一种隐私，具有敏感性需要得到保护，比如用户希望在不暴露个人分数的情况下比较两个用户的得分，进行个人分数在多用户中排名的查询。

安全多方计算最简单的解决方法便是采用可信的中心服务器，计算参与方将各自隐私的数据交给可信中心，由可信中心进行计算，再将计算结果返回给参与方。在这种有中心的解决方案中，固然可以进行数据大小比较和排名的运算。但是在很多情况下，如无线自组织传感网，移动社交网络等，并不是所有用户都能访问到中心服务器，例如在没有互联网接入或者在服务器失效的情况下运算便无法展开。频繁与计算中心交互还会带来高额的费用，同时也增大了数据隐私暴露的隐患。此外，由于服务器并非绝对可信，服务器被攻击可能导致大量用户隐私暴露，因此很多用户并不愿意将其隐私的数据暴露给服务器。由于采用可信中心的方式存在的种种局限，因此急需无中心的隐私数据比较和排名查询方法。

目前已经有部分工作支持保护隐私的无中心数据比较，来保证每个用户只能得到比较和排名的结果而无法得到他人的隐私数据。但是现有的方法计算开销都非常大，尤其是在计算资源受限的移动设备上几乎无法进行，使得它们在很多场景下都难以得到实际应用。目前所有相关的解决方案都将重点放在了隐私保护，保证数据不被泄露，而忽略了运算输入和结果的可验证性。采用这些方法的进行比较和排序，其结果的正确性都建立在用户诚实地执行该方法的假设上。实际上，恶意用户可以通过简单的伪造其输入数据就能更改数据比较结果，导致错误的排名结果；或者先得到比较结果的用户可以向其他用户谎报排名结果。例如，恶意用户可以简单的输入一个非常大的数值而获得最高排名。这样无法验证的运算结果显然无法满足大量安全性较高的应用的需要。

发明内容

（一）要解决的技术问题

本发明要解决的技术问题是：如何提供一种可验证的隐私数据比较与排名查询方法，使得该方法在整个查询过程中无需服务器参与，不受平台限制，能够在比较数据降低计算开销的同时保护数据的安全性，并能够提供一种严密的验证机制。

（二）技术方案

为解决上述技术问题，本发明提供了一种可验证的隐私数据比较与排名查询方法，该方法运行的系统中存在可信第三方，所述可信第三方拥有公钥Pk_T和私钥Sk_T，该方法包括步骤：

S1每个用户连接可信第三方，获取一对公钥Pk_i和私钥Sk_i，由可信第三方对用户的隐私数据v_i和相关的随机数进行验证，使用用户获取的公钥Pk_i对隐私数据v_i和相关的随机数进行加密，对加密的数据进行签名形成数字证书颁发给用户；

S2用户p₁发送证书给用户p₂，用户p₂对用户P₁发送的数字证书中加密的数据进行验证和同态计算，并将同态计算的结果发送给用户P₁；

S3用户P₁解密用户P₂发送的同态计算结果，得到隐私数据的比较结果；

S4用户p₁验证隐私数据的比较结果的正确性；

S5针对各用户进行步骤S2-S5，获得各用户的排名。

优选的，步骤S1中，所述隐私数据v_i和相关的随机数的加密和验证方法为：可信第三方为每个用户分配一个标示ID_i，定义E_i(v_i，r_i)表示使用快速Paillier加密算法利用用户P_i的公钥Pk_i对v_i进行加密，其中r_i是作为快速Paillier加密算法输入的随机数。用户P_i选择一系列随机数{δ_k}发送给可信第三方来验证v_i的合法性。

优选的，步骤S1中，所述对加密的数据进行签名和形成数字证书的方法为：用一系列相关随机数{δ_k}分别乘以v_i得到集合{δ_kv_i}，可信第三方使用用户p_i的公钥Pk_i加密得到E_i(v_i，r_i)、集合{E_i(δ_k，r_i)}和E_i(δ_kv_i，r_i′)}，并将r_i和r_i′告知p_i。然后可信第三方分别对所述E_i(v_i，r_i)、集合{E_i(δ_k，r_i)}和{E_i(δ_kv_i,r_i′)}进行哈希，再对哈希的结果用可信第三方的私钥Sk_T进行签名Sig形成该数据的证书

C(P_i，v_i)＝＜Sig(ID_i)，E_i(v_i，r_i)，Sig(E_i(v_i，r_i))，Pk_i，Pk_T＞

和一系列证书的集合{C(p_i，δ_kv_i)}＝{＜Sig(ID_i)，

E_i(v_i，r_i)，E_i(δ_k，r_i)，E_i(δ_kv_i，r_i′)，Sig(E_i(δ_k，r_i))，Sig(E_i(δ_kv_i，r_i′))，Pk_i，Pk_T＞}

其中r_i′为随机数。

优选的，步骤S2中所述用户p₁发送的证书为：

(P₁，v₁)＝＜Sig(ID₁)，E₁(v₁，r₁)，Sig(E₁(v₁，r₁))，Pk₁，Pk_T＞

所述数据的数据验证和同态计算方法为：用户p₂随机地从v₂的证书集合{C(p₂，δ_kv₂)}中选出一个证书C(p₂，δ₁v₂)＝＜Sig(IID₂)，

E₂(v₂，r₂)，E₂(δ₁，r₂)，E₂(δ₁v₂,r₂′)，Sig(E₂(δ₁，r₂))，Sig(E₁(δ₁v₂，r₂′))，Pk₂，Pk_T＞p₂基于P₁的证书中的值，利用快速Paillier加密系统的同态计算，得到同态计算结果：

e₁＝E₁(δ₁v₁+δ₂，δ₁r₁+δ₂),e₂＝E₁(δ₁v₂+δ₂，r₂)，e₃＝E₂(δ₂，r₂″)，

e₄＝E₁(r₂v₁+r″₂，r₂r₁+r″₂)，e₅＝E1(r″₂+r″₂，r₂)

其中δ₂和r″₂为生成的随机数。

优选的，步骤S3中，所述得到隐私数据比较结果方法为：定义D_i(e)表示使用快速Paillier解密算法用p_i的私钥Sk_i对同态计算结果进行解密，计算d₁＝D₁(e₁)和d₂＝D₁(e₂)，比较d₁和d₂的大小即可得到隐私数据v₁和v₂的大小比较结果。

优选的，步骤S4中，所述验证正确性的方法为：P₁计算d₄＝D₁(e₄)，d₅＝D₁(e₅)，然后用证书C(P₂，δ₁v₂)中的值，以及e₃，采用快速Paillier加密的同态性计算以下等式：

E₂(δ₁v₁+δ₂，d₄)＝E₂(d₁)，E₂(δ₁v₂+δ₂，d₅)＝E₂(d₂)

如果两个等式均成立，则说明P₁得到正确的比较结果，否则说明P₂对计算结果作假，则该计算结果无效。

优选的，步骤S5中，获得各用户的排名的具体方法为：p₁在n个用户中，p₁反复采用步骤S2到S4的方法，分别与其他n-1个用户进行的保护隐私的数据比较和验证，并记录数值小于p₁的用户的个数R。比较完成后，p₁就能得到自己在n个用户中的排名为R+1，采用相同的方法获得各用户的排名。

优选的，所述快速Paillier加密算法为：

c＝E(m，r)＝g^m+nrmodn²

其中m为加密数据，n为用户公钥的模，g为用户公式的基，r为随机数。

优选的，所述快速Paillier加密系统的同态计算算法为：

E(m₁，r₁)E(m₂，r₂)mod n²＝E(m₁+m₂，r₁+r₂)mod n²

$E(m_1,r_1)m_2{\mathrm{mod}n}^2=E(m_1{m}_2,r_1{m}_2)\mathrm{mod}{n}^2$

其中m₁、m₂为加密数据，n为用户公钥的模，r₁`r₂为随机数。

优选的，所述快速Paillier解密算法为：

$m=D\left(c\right)=\frac{L\left(c^{\mathrm{\λ}}\mathrm{mod}{n}^2\right)}{L\left(g^{\mathrm{\λ}}\mathrm{mod}{n}^2\right)}\mathrm{mod}n$

其中λ为用户私钥。

（三）有益效果

采用本发明的可验证隐私数据比较与排名查询方法能够在保护用户隐私数据的情况下进行比较，并对结果进行验证，保证用户无法输入或对比虚假数据，并且在整个查询过程中无需服务器参与，处理速度快，计算开销小，不受平台限制。

附图说明

图1是本发明实施例可验证的隐私数据比较与排名查询方法步骤流程图。

图2是本发明实施例可验证的隐私数据比较与排名查询方法流程框图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

本发明实施例的一种隐私数据比较与排名查询方法，每个用户p_i都拥有自己的数据v_i，该数据为用户的隐私不可暴露。存在一个提供服务的可信第三方P_T，拥有一对数字签名算法的公钥和私钥Pk_T和Sk_T。该方法包括步骤如图1和2所示：

S1每个用户连接可信第三方，获取为一个标示ID_i、一对公钥Pk_i和私钥Sk_i，由可信第三方对用户的隐私数据v_i和相关的随机数进行验证。定义E_i(v_i，r_i)表示使用快速Paillier加密算法利用用户P_i的公钥Pk_i对v_i进行加密，其中r_i是作为快速Paillier加密算法输入的随机数。用户P_i选择一系列随机数{δ_k}发送给可信第三方来验证v_i的合法性。

使用用户获取的公钥Pk_i对隐私数据v_i和相关的随机数进行加密，对加密的数据进行签名形成数字证书颁发给用户。用一系列相关随机数{δ_k}分别乘以v_i得到集合{δ_kv_i}，可信第三方使用用户p_i的公钥Pk_i加密得到E_i(v_i，r_i)和集合{E_i(δ_k，r_i)}、{E_i(δ_kv_i，r_i′)},并将r_i和r_i′告知p_i。然后可信第三方分别对所述E_i(v_i，r_i)、集合{E_i(δ_k，r_i)}和{E_i(δ_kv_i，r_i′)}进行哈希，再对哈希的结果用可信第三方的私钥Sk_T进行签名Sig形成该数据的证书

C(P_i，v_i)＝＜Sig(ID_i)，E_i(v_i，r_i)，Sig(E_i(v_i，r_i))，Pk_i，Pk_T＞

和一系列证书的集合{C(p_i，δ_kv_i)}＝{＜Sig(ID_i)，

E_i(v_i，r_i)，E_i(δ_k，r_i)，E_i(δ_kv_i，r_i′)，Sig(E_i(δ_k，r_i))，Sig(E_i(δ_kv_i，r_i′))，Pk_i，Pk_T＞}

其中r_i′为随机数。

S2用户P₁证书(p₁，v₁)＝＜Sig(ID₁)，E₁(v₁，r₁)，Sig(E₁(v₁，r₁))，Pk₁，Pk_T＞发送给用户P₂。

用户p₂对用户P₁发送的数字证书中加密的数据进行验证和同态计算，并将同态计算的结果发送给用户p₁。所述数据的数据验证和同态计算方法为：用户P₂随机地从v₂的证书集合{C(p₂，δ_kv₂)}中选出一个证书C(p₂，δ₁v₂)＝＜Sig(ID₂)，

E₂(v₂，r₂)，E₂(δ₁，r₂)，E₂(δ₁v₂，r₂′)，Sig(E₂(δ₁，r₂))，Sig(E₁(δ₁v₂，r₂′))，Pk₂，Pk_T＞p₂基于p₁的证书中的值，利用快速Paillier加密系统的同态计算，得到同态计算结果：

e₁＝E₁(δ₁v₁+δ₂，δ₁r₁+δ₂)，e₂＝E₁(δ₁v₂+δ₂，r₂)，e₃＝E₂(δ₂，r₂″)，

e₄＝E₁(r₂v₁+r″₂，r₂r₁+r″₂)，e₅＝E₁(r′₂+r″₂，r₂)

其中δ₂和r″₂为生成的随机数。

P_T将这些证书颁发给用户p_i。每个用户只需要在比较开始前连接一次可信第三方得其数据的证书即可，在之后的运算中将不再需要连接服务器。

S3用户P₁解密用户p₂发送的同态计算结果，得到隐私数据的比较结果。定义D_i(e)表示使用快速Paillier解密算法用p_i的私钥Sk_i对同态计算结果进行解密，计算d₁＝D₁(e₁)和d₂＝D₁(e₂)，比较d₁和d₂的大小即可得到隐私数据v₁和v₂的大小比较结果。

S4用户P₁验证隐私数据的比较结果的正确性。p₁计算d₄＝D₁(e₄)，d₅＝D₁(e₅)，然后用证书C(P₂，δ₁v₂)中的值，以及e₃，采用快速Paillier加密的同态性计算以下等式：

E₂(δ₁v₁+δ₂，d₄)＝E₂(d₁),E₂(δ₁v₂+δ₂，d₅)＝E₂(d₂)

如果两个等式均成立，则说明P₁得到正确的比较结果，否则说明P₂对计算结果作假，则该计算结果无效。

S5针对各用户进行步骤S2-S5，获得各用户的排名。p₁在n个用户中，P₁反复采用步骤S2到S4的方法，分别与其他n-1个用户进行的保护隐私的数据比较和验证，并记录数值小于p₁的用户的个数R。比较完成后，p₁就能得到自己在n个用户中的排名为R+1，采用相同的方法获得各用户的排名。

所述快速Paillier加密算法为：

c＝E(m，r)＝g^m+nrmodn²

其中m为加密数据，n为用户公钥的模，g为用户公式的基，r为随机数。

所述快速Paillier加密系统的同态计算算法为：

E(m₁，r₁)E(m₂，r₂)mod n²＝E(m₁+m₂，r₁+r₂)mod n²

$E{(m_1,r_1)}^{m_2}\mathrm{mod}{n}^2=E(m_1{m}_2,r_1{m}_2)\mathrm{mod}{n}^2$

其中m₁、m₂为加密数据，n为用户公钥的模，r₁、r₂为随机数。

所述快速Paillier解密算法为：

$m=D\left(c\right)=\frac{L\left(c^{\mathrm{\λ}}\mathrm{mod}{n}^2\right)}{L\left(g^{\mathrm{\λ}}\mathrm{mod}{n}^2\right)}\mathrm{mod}n$

其中

λ为用户私钥。

以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。

Claims (10)

1.一种可验证的隐私数据比较与排名查询方法，其特征在于，该方法运行的系统中存在可信第三方，所述可信第三方拥有公钥Pk_T和私钥Sk_T，该方法包括步骤： 

S1每个用户连接可信第三方，获取一对公钥Pk_i和私钥Sk_i，由可信第三方对用户的隐私数据v_i和相关的随机数进行验证，使用用户获取的公钥Pk_i对隐私数据v_i和相关的随机数进行加密，对加密的数据进行签名形成数字证书颁发给用户； 

S2用户P₁发送证书给用户P₂，用户P₂对用户P₁发送的数字证书中加密的数据进行验证和同态计算，并将同态计算的结果发送给用户P₁； 

S3用户P₁解密用户P₂发送的同态计算结果，得到隐私数据的比较结果； 

S4用户P₁验证隐私数据的比较结果的正确性； 

S5针对各用户进行步骤S2-S5，获得各用户的排名。 

2.权利要求1所述的可验证的隐私数据比较与排名查询方法，其特征在于，步骤S1中，所述隐私数据v_i和相关的随机数的加密和验证方法为：可信第三方为每个用户分配一个标示ID_i，定义E_i(v_i，r_i)表示使用快速Paillier加密算法利用用户P_i的公钥Pk_i对v_i进行加密，其中r_i是作为快速Paillier加密算法输入的随机数。用户P_i选择一系列随机数{δ_k}发送给可信第三方来验证v_i的合法性。 

3.权利要求2所述的可验证的隐私数据比较与排名查询方法，其特征在于，步骤S1中，所述对加密的数据进行签名和形成数字证书的方法为：用一系列相关随机数{δ_k}分别乘以v_i得到集合{δ_kv_i}，可信第三方使用用户P_i的公钥Pk_i加密得到E_i(v_i，r_i)和集合{E_i(δ_k，r_i)}和i{E(δ_kv_i，r_i′)},并将r_i和r_i′告知p_i。然后可信第三方分别对所述E_i(v_i，r_i)、集合{E_i(δ_k，r_i)}和{E_i(δ_kv_i,r_i′)}进行哈希，再对哈希的结果用可信第三方的私钥Sk_T进行签名Sig形成该数据的证书 

C(P_i，v_i)＝＜Sig(ID_i)，E_i(v_i，r_i)，Sig(E_i(v_i，r_i))，Pk_i，Pk_T＞ 

和一系列证书的集合{C(p_i，δ_kv_i)}＝{＜Sig(ID_i)， 

E_i(v_i，r_i)，E_i(δ_k，r_i)，E_i(δ_kv_i，r_i′)，Sig(E_i(δ_k，r_i))，Sig(E_i(δ_kv_i，r_i′))，Pk_i，Pk_T＞} 

其中r_i′为随机数。 

4.权利要求3所述的可验证的隐私数据比较与排名查询方法，其特征在于，步骤S2中所述用户p₁发送的证书为： 

(P₁，v₁)＝＜Sig(ID₁)，E₁(v₁，r₁)，Sig(E₁(v₁，r₁))，Pk₁，Pk_T＞ 

所述数据的数据验证和同态计算方法为：用户p₂随机地从v₂的证书集合{C(p₂，δ_kv₂)}中选出一个证书C(p₂，δ₁v₂)＝＜Sig(IID₂)， 

E₂(v₂，r₂)，E₂(δ₁，r₂)，E₂(δ₁v₂,r₂′)，Sig(E₂(δ₁，r₂))，Sig(E₁(δ₁v₂，r₂′))，Pk₂，Pk_T＞P₂基于p₁的证书中的值，利用快速Paillier加密系统的同态计算，得到同态计算结果： 

e₁＝E₁(δ₁v₁+δ₂，δ₁r₁+δ₂)，e₂＝E₁(δ₁v₂+δ₂，r₂)，e₃＝E₂(δ₂，r₂″)， 

e₄＝E₁(r₂v₁+r″₂，r₂r₁+r″₂)，e₅＝E₁(r′₂+r″₂，r₂) 

其中δ₂和r″₂为生成的随机数。 

5.权利要求4所述的可验证的隐私数据比较与排名查询方法，其特征在于，步骤S3中，所述得到隐私数据比较结果方法为：定义D_i(e)表示使用快速Paillier解密算法用p_i的私钥Sk_i对同态计算结果进行解密，计算d₁＝D₁(e₁)和d₂＝D₁(e₂)，比较d₁和d₂的大小即可得到隐私数据v₁和v₂的大小比较结果。 

6.权利要求5所述的可验证的隐私数据比较与排名查询方法，其特征在于，步骤S4中，所述验证正确性的方法为：P₁计算d₄＝D₁(e₄)，d₅＝D₁(e₅)，然后用证书C(P₂，δ₁v₂)中的值，以及e₃，采用快速Paillier加密的同态性计算以下等式： 

E₂(δ₁v₁+δ₂，d₄)＝E₂(d₁)，E₂(δ₁v₂+δ₂，d₅)＝E₂(d₂) 

如果两个等式均成立，则说明P₁得到正确的比较结果，否则说明P₂对计算结果作假，则该计算结果无效。 

7.权利要求6所述的可验证的隐私数据比较与排名查询方法，其特征在于，步骤S5中，获得各用户的排名的具体方法为：p₁在n个用户中，p₁反复采用步骤S2到S4的方法，分别与其他n-1个用户进行的保护隐私的数据比较和验证，并记录数值小于p₁的用户的个数R。比较完成后，P₁就能得到自己在n个用户中的排名为R+1，采用相同的方法获得各用户的排名。 

8.权利要求2所述的可验证的隐私数据比较与排名查询方法，其特征在于，所述快速Paillier加密算法为： 

c＝E(m，r)＝g^m+nrmodn²

其中m为加密数据，n为用户公钥的模，g为用户公式的基，r为随机数。 

9.权利要求4所述的可验证的隐私数据比较与排名查询方法，其特征在于，所述快速Paillier加密系统的同态计算算法为： 

E(m₁，r₁)E(m₂，r₂)mod n²＝E(m₁+m₂，r₁+r₂)mod n²

其中m₁、m₂为加密数据，n为用户公钥的模，r₁、r₂为随机数。 

10.权利要求8所述的可验证的隐私数据比较与排名查询方法，其特征在于，所述快速Paillier解密算法为： 

其中

λ为用户私钥。 

Images