CN104468612B - 基于对称加密的保护隐私的属性匹配方法 - Google Patents

Abstract

本发明涉及一种基于对称加密的保护隐私的属性匹配方法，其利用匹配用户之间天然共享的公共属性来生成密钥，用该密钥加密连接建立请求和安全信道密钥，在只有匹配用户才能生成相同的密钥并方便地解密信息，并获得信道密钥，通过一轮通信即同步地完成了保护隐私的属性匹配和安全信道构建，能够支持精确和模糊的匹配/查找，在相似度低于该阈值的参与者无法获得任何隐私信息，实现的安全信道建立能够抵御中间人攻击，同时属性匹配机制是可验证的，能够抵御匹配结果欺骗的攻击。本发明和大部分依赖非对称加密系统和可信第三方的现有工作相比显著节省了计算和通信开销，具有计算量小，实用、灵活以及轻量的优势。

Description

基于对称加密的保护隐私的属性匹配方法

技术领域

本发明涉及一种匹配方法，尤其是一种基于对称加密的保护隐私的属性匹配方法，属于隐私保护以的技术领域。

背景技术

信息系统中常常使用属性来标注和搜索系统中的数据对象或实体。基于属性的匹配被用在各种网络系统中，如内容分发系统，信息共享系统，医疗系统和社交网络系统。其基本模式为由发起方给出目标对象的属性描述，通过系统的匹配/搜索功能，为发起方返回与其描述对象属性相似度超过一定阈值的对象。在很多系统中，属性是数据拥有方的隐私，如医疗系统中的用户的病症和病史，社交网络中的个人信息等。近来，更是涌现了大量移动社交网络应用，通过属性匹配来帮助人们寻找满足一定条件的用户。在这些应用中，我们面临着一个很大的挑战是如何高效地实现基于属性的匹配任务，同时有效地保护属性的隐私不会泄漏给不匹配的用户。

基于隐私属性匹配的服务允许两个用户在不公开自己属性给对方的情况下完成属性的匹配过程。目前解决该问题的方法多基于安全多方计算的思想，其相关工作分为两个主要类别。第一类提供基于PSI和PCSI的隐私属性匹配。第二类利用隐私向量的点积来度量用户属性的距离。这些方法依赖公钥加密系统和同态加密，导致了高的计算开销，并且它们往往需要一个可信的第三方。其预设过程(例如交换公钥)和每对用户之间保护隐私的匹配都需要进行多轮交互，造成较大的通信开销。此外，大多数现有协议都缺乏有效的方法来对匹配结果进行验证。最后，在这些方法中，匹配上的用户和未匹配的用户都需要付出高昂的运算代价并且均获知了与发起者匹配的结果(例如档案属性的交集)。以上这些局限性限制了安全多方计算相关的保护隐私的匹配方法在实际系统中的应用。

发明内容

本发明的目的是克服现有技术中存在的不足，提供一种基于对称加密的保护隐私的属性匹配方法，其不需要任何可信第三方，能够抵御中间人攻击以及匹配结果欺骗的攻击，能有效节省计算和通信开销，实用可靠。

按照本发明提供的技术方案，一种基于对称加密的保护隐私的属性匹配方法，所述属性匹配方法包括如下步骤：

步骤1、在社交网络中的每个用户v_k均建立一个属性集合的档案A_k，所述档案A_k包含m_k个属性，其中，表示档案A_k中第i维的属性；

步骤2、发起者v_i创建一个描述目标匹配用户特征的请求档案和一条秘密信息，其中，请求档案为经过排序的属性集合A_t，请求档案A_t包含m_t个属性来描述发起者v_i所希望搜索到的用户，秘密信息包含了给目标匹配用户的信道密钥X和确认信息ACK；

步骤3、将上述发起者v_i创建的请求档案A_t生成请求档案向量H_t，并基于请求档案向量H_t生成档案密钥K_t，且发起者使用档案密钥K_t作为对称加密算法的密钥来对秘密信息进行加密；

步骤4、根据上述请求档案向量H_t生成所述请求档案向量的余数向量，且发起者v_i确定目标匹配用户的必要属性、可选属性和相似度阈值，并根据相似度阈值从请求档案向量构建线索矩阵，以使得目标匹配用户能恢复得到档案密钥K_t；

步骤5、发起者v_i将加密后的秘密信息、余数向量和线索矩阵打包成一个请求数据包并发送至社交网络中的用户；

步骤6、发起者v_i发送的请求数据包被社交网络中的用户接收，用户能将接收到的请求数据包转发至社交网络中的其他用户；在社交网络中的用户接收请求数据包后，利用余数向量对自身的档案向量进行快速排查，当且仅当转发用户的档案向量中有与余数向量符合的子向量时，则将所述用户标定为待匹配用户并跳转步骤7，否则，所述用户将接收到的请求数据包转发至社交网络中的其他用户；

步骤7、待匹配用户通过自身的档案和线索矩阵生成一个候选档案向量集合，并根据候选档案向量集合生成一个候选档案密钥集合；

步骤8、若上述候选档案密钥集合中的任何一个候选密钥均能正确的对加密后的秘密信息进行解密，则所述待匹配用户即为目标匹配用户，查询和信道密钥X交换过程即同时完成，否则，待匹配用户将请求数据包转发至社交网络中的其他用户，并使得其他用户在接收到请求数据包后跳转至步骤6；

步骤9、目标匹配用户使用解密得到的信号密钥X加密预定义的确认信息ACK和一个随机数Y，以形成加密数据包；目标匹配用户将加密数据包发回至发起者v_i。

所述步骤3中，利用密码哈希函数H对请求档案中的属性进行逐个哈希生成，以得到请求档案向量H_t，其中，请求档案向量其中，在得到请求档案向量H_t后利用公开哈希函数生成档案密钥K_t。

步骤4中，根据请求档案向量H_t生成余数向量R_t为：取一个不大于m_t的质数p，则余数向量

步骤4中，将请求档案A_t表示为A_t＝{N_t,O_t}，其中，N_t由λ个必要属性组成，目标匹配用户必须包含所有的λ个必须属性，O_t为由m_t-λ个可选属性组成，目标匹配用户必须至少包含其中的β个属性，则相似度阈值θ为θ＝(λ+β)/m_t，则根据相似度阈值θ得到线索矩阵的步骤为：

步骤4-1、生成约束矩阵，其中，约束矩阵的行数为γ＝m_t-λ-β，约束矩阵的列数m_t-λ，得到C_{r×(r+β)}＝[I_{γ×γ},R_{γ÷β}]，矩阵I为γ维的单元矩阵，R为γ×β维的随机矩阵，随机矩阵R中的每个元素为非零的随机整数；

步骤4-2、将约束矩阵与请求档案相连中的可选属性相乘，得到

步骤4-3、线索矩阵M由约束矩阵C和矩阵B组合而成，即M＝[C,B]。

步骤6中，用户接收请求数据包后进行排查的步骤为：

步骤6-1、接收到请求数据包的用户的属性向量为H_k，在基于余数向量R_t用户在利用自身的属性向量H_k为每个余数计算候选属性集合满足

步骤6-2、用户从每个候选属性集合中任取出一个属性值，即构成一个档案向量，从每候选属性集合中挑选不同的属性值，可组合成不同的档案向量；若候选属性相连集合为空集，则所述接收到请求数据包的用户不满足请求档案中的属性即所得到的档案向量中对应的属性值为未知；

步骤6-3、若接收到请求数据包的用户至少能使用自身属性构建出一个档案向量H_c且档案向量H_c满足下述条件，则所述用户为待匹配用户：

条件1、档案向量H_c中λ个必要属性都可知；

条件2、档案向量H_c中未知属性个数不超过γ；

条件3、由于档案向量H_c和用户自身的属性向量H_k均有序，则档案向量H_c的组成元素与属性向量H_k保持一致的排序。

所述步骤7中，每个档案向量H_c可包含不超过γ个的未知属性，并且对其中的任一未知项(档案向量H_c内的第i个元素)都有i>λ，则档案向量H_c中未知属性的数量可以通过下述线性方程组解得

解出档案向量H_c中未知属性的个数后，用户可以恢复出完整的候选档案向量H′_C；将恢复出的候选档案向量H′_C利用公开的哈希函数得到候选档案集合。

本发明的优点：本发明不需要任何可信第三方和预设置，通过一轮通信即同步地完成了保护隐私的属性匹配和安全信道构建，只有目标匹配用户才能生成相同的密钥并方便地解密信息，并获得信道密钥。本发明能够支持精确和模糊的匹配/查找，发起者可以定义一个相似度阈值，相似度低于该阈值的参与者无法获得任何隐私信息，实现的安全信道建立能够抵御中间人攻击。同时本发明提出的属性匹配机制是可验证的，能够抵御匹配结果欺骗的攻击。此外，本发明和大部分依赖非对称加密系统和可信第三方的现有工作相比显著节省了计算和通信开销(将计算量从秒级降至毫秒级别)，具有计算量小，实用、灵活以及轻量的优势。

附图说明

图1为本发明的流程图。

图2为本发明生成档案密钥和余数向量的示意图。

具体实施方式

下面结合具体附图和实施例对本发明作进一步说明。

如图1所示：为了能在不需要任何可信第三方，能够抵御中间人攻击以及匹配结果欺骗的攻击，能有效节省计算和通信开销，本发明基于对称密钥的在社交网络中进行保护隐私的属性匹配和安全信道建立方法，利用匹配用户之间天然共享的公共属性来生成密钥，用该密钥加密连接建立请求和安全信道密钥，通过使用对称加密以显著降低计算开销，从而满足各类社交网络应对用户隐私保护和计算效率的需求。因此，属性匹配的方法包括如下步骤：

步骤1、在社交网络中的每个用户v_k均建立一个属性集合的档案A_k，所述档案A_k包含m_k个属性，其中，表示档案A_k中第i维的属性，其中，此处的i为1到m_t之间的任一整数。

步骤2、发起者v_i创建一个描述目标匹配用户特征的请求档案和一条秘密信息，其中，请求档案为经过排序的属性集合A_t，请求档案A_t包含m_t个属性来描述发起者v_i所希望搜索到的用户，秘密信息包含了给目标匹配用户的信道密钥X和确认信息ACK；

步骤3、将上述发起者v_i创建的请求档案A_t生成请求档案向量H_t，并基于请求档案向量H_t生成档案密钥K_t，且发起者使用档案密钥K_t作为对称加密算法的密钥来对秘密信息进行加密；

具体地，利用密码哈希函数H对请求档案中的属性进行逐个哈希生成，以得到请求档案向量H_t，其中，请求档案向量在得到请求档案向量H_t后利用公开哈希函数生成档案密钥K_t。本发明实施例中，对称加密算法可以采用常用的算法，如AES加密算法等；公开的哈希函数如SHA-0和SHA-1等，密码哈希函数H也可以采用公开的哈希函数，具体类型可以根据需要进行选择，具体为本技术领域人员所熟知，此处不再赘述。

步骤4、根据上述请求档案向量H_t生成所述请求档案向量的余数向量，且发起者v_i确定目标匹配用户的必要属性、可选属性和相似度阈值，并根据相似度阈值从请求档案向量构建线索矩阵，以使得目标匹配用户能恢复得到档案密钥K_t；

具体地，根据请求档案向量H_t生成余数向量R_t为：取一个不大于m_t的质数p，则余数向量

为了支持无需完美匹配时灵活的模糊查询，发起者v_i还可以定义目标匹配用户的必要属性、可选属性和相似度阈值。即将请求档案A_t表示为A_t＝{N_t,O_t}，其中，N_t由λ个必要属性组成，目标匹配用户必须包含所有的λ个必须属性，O_t为由m_t-λ个可选属性组成，目标匹配用户必须至少包含其中的β个属性，则相似度阈值θ为θ＝(λ+β)/m_t，同时根据相似度阈值的定义从请求档案向量H_t构建一个线索矩阵，使得匹配用户能够恢复出档案密钥。线索矩阵描述了个可选属性之间的线性约束关系。当发起者v_i要求完美匹配的用户时(此时，m_t＝λ)，则不需要使用线索矩阵，因此，则根据相似度阈值θ得到线索矩阵的步骤为：

步骤4-1、生成约束矩阵，其中，约束矩阵的行数为γ＝m_t-λ-β，约束矩阵的列数m_t-λ，得到C_{r×(r+β)}＝[I_{γ×γ},R_{γ÷β}]，矩阵I为γ维的单元矩阵，R为γ×β维的随机矩阵，随机矩阵R中的每个元素为非零的随机整数；

步骤4-2、将约束矩阵与请求档案相连中的可选属性相乘，得到

步骤4-3、线索矩阵M由约束矩阵C和矩阵B组合而成，即M＝[C,B]。

步骤5、发起者v_i将加密后的秘密信息、余数向量和线索矩阵打包成一个请求数据包并发送至社交网络中的用户；

本发明实施例中，请求档案向量H_t仅用于生成密钥，请求档案向量H_t本身并没有跟随请求数据包发送出去。

步骤6、发起者v_i发送的请求数据包被社交网络中的用户接收，用户能将接收到的请求数据包转发至社交网络中的其他用户；在社交网络中的用户接收请求数据包后，利用余数向量对自身的档案向量进行快速排查，当且仅当转发用户的档案向量中有与余数向量符合的子向量时，则将所述用户标定为待匹配用户并跳转步骤7，否则，所述用户将接收到的请求数据包转发至社交网络中的其他用户；

具体地，用户接收请求数据包后进行排查的步骤为：

步骤6-1、接收到请求数据包的用户的属性向量为H_k，在基于余数向量R_t用户在利用自身的属性向量H_k为每个余数计算候选属性集合满足此步骤中的用户的属性向量H_k为属性档案A_k经过哈希函数后生成的。

步骤6-2、用户从每个候选属性集合中任取出一个属性值，即构成一个档案向量，从每候选属性集合中挑选不同的属性值，可组合成不同的档案向量；若候选属性相连集合为空集，则所述接收到请求数据包的用户不满足请求档案中的属性即所得到的档案向量中对应的属性值为未知；

步骤6-3、若接收到请求数据包的用户至少能使用自身属性构建出一个档案向量H_c且档案向量H_c满足下述条件，则所述用户为待匹配用户：

条件1、档案向量H_c中λ个必要属性都可知；

条件2、档案向量H_c中未知属性个数不超过γ；

条件3、由于档案向量H_c和用户自身的属性向量H_k均有序，则档案向量H_c的组成元素与属性向量H_k保持一致的排序。

本发明实施例中符合上述条件档案向量H_c称为一个候选档案向量。不满足以上三个条件的档案，一定不可能和请求的档案匹配，因此可以被快速的排除掉。

如果该用户的档案向量中没有候选档案向量，则该用户知道自己和该请求并不匹配，他会立即转发这个请求给其他用户，其他用户在接收到请求数据包仍然执行步骤6。如果他的档案向量中存在候选档案向量，则他通过了快速检测并进行步骤7。

步骤7、待匹配用户通过自身的档案和线索矩阵生成一个候选档案向量集合，并根据候选档案向量集合生成一个候选档案密钥集合；

具体地，每个档案向量H_c可包含不超过γ个的未知属性，并且对其中的任一未知项(档案向量H_c内的第i个元素)都有i>λ，则档案向量H_c中未知属性的数量可以通过下述线性方程组解得

解出档案向量H_c中未知属性的个数后，用户可以恢复出完整的候选档案向量H′_C；将恢复出的候选档案向量H′_C利用公开的哈希函数得到候选档案集合。本发明实施例中，此处的公开哈希函数与步骤3中使用的公开哈希函数必须为同一个函数。此外，本发明实施例中所涉及的哈希函数必须均采用相同的函数类型，即均可以采用公开的哈希函数，当其中一个哈希函数确定后，其他步骤中进行的哈希函数操作均采用同一个的哈希函数，以确保属性匹配过程的顺利进行。

步骤8、若上述候选档案密钥集合中的任何一个候选密钥均能正确的对加密后的秘密信息进行解密，则所述待匹配用户即为目标匹配用户，查询和信道密钥X交换过程即同时完成，否则，待匹配用户将请求数据包转发至社交网络中的其他用户，并使得其他用户在接收到请求数据包后跳转至步骤6；

步骤9、目标匹配用户使用解密得到的信号密钥X加密预定义的确认信息ACK和一个随机数Y，以形成加密数据包；目标匹配用户将加密数据包发回至发起者v_i。

具体地，发起者v_i在收到目标匹配用户的加密数据包后，可决定是否与该用户使用X异或Y作为信道密钥建立安全连接。

本发明不需要任何可信第三方和预设置，通过一轮通信即同步地完成了保护隐私的属性匹配和安全信道构建，只有目标匹配用户才能生成相同的密钥并方便地解密信息，并获得信道密钥。本发明能够支持精确和模糊的匹配/查找，发起者可以定义一个相似度阈值，相似度低于该阈值的参与者无法获得任何隐私信息，实现的安全信道建立能够抵御中间人攻击。同时本发明提出的属性匹配机制是可验证的，能够抵御匹配结果欺骗的攻击。此外，本发明和大部分依赖非对称加密系统和可信第三方的现有工作相比显著节省了计算和通信开销(将计算量从秒级降至毫秒级别)，具有计算量小，实用、灵活以及轻量的优势。

Claims (6)

1.一种基于对称加密的保护隐私的属性匹配方法，其特征是，所述属性匹配方法包括如下步骤：

步骤1、在社交网络中的每个用户v_k均建立一个属性集合的档案A_k，所述档案A_k包含m_k个属性，其中，表示档案A_k中第i维的属性；

步骤2、发起者v_i创建一个描述目标匹配用户特征的请求档案和一条秘密信息，其中，请求档案为经过排序的属性集合A_t，请求档案A_t包含m_t个属性来描述发起者v_i所希望搜索到的用户，秘密信息包含了给目标匹配用户的信道密钥X和确认信息ACK；

步骤3、将上述发起者v_i创建的请求档案A_t生成请求档案向量H_t，并基于请求档案向量H_t生成档案密钥K_t，且发起者使用档案密钥K_t作为对称加密算法的密钥来对秘密信息进行加密；

步骤4、根据上述请求档案向量H_t生成所述请求档案向量的余数向量，且发起者v_i确定目标匹配用户的必要属性、可选属性和相似度阈值，并根据相似度阈值从请求档案向量构建线索矩阵，以使得目标匹配用户能恢复得到档案密钥K_t；

步骤5、发起者v_i将加密后的秘密信息、余数向量和线索矩阵打包成一个请求数据包并发送至社交网络中的用户；

步骤6、发起者v_i发送的请求数据包被社交网络中的用户接收，用户能将接收到的请求数据包转发至社交网络中的其他用户；在社交网络中的用户接收请求数据包后，利用余数向量对自身的档案向量进行快速排查，当且仅当转发用户的档案向量中有与余数向量符合的子向量时，则将所述用户标定为待匹配用户并跳转步骤7，否则，所述用户将接收到的请求数据包转发至社交网络中的其他用户；

步骤7、待匹配用户通过自身的档案和线索矩阵生成一个候选档案向量集合，并根据候选档案向量集合生成一个候选档案密钥集合；

步骤8、若上述候选档案密钥集合中的任何一个候选密钥均能正确的对加密后的秘密信息进行解密，则所述待匹配用户即为目标匹配用户，查询和信道密钥X交换过程即同时完成，否则，待匹配用户将请求数据包转发至社交网络中的其他用户，并使得其他用户在接收到请求数据包后跳转至步骤6；

步骤9、目标匹配用户使用解密得到的信号密钥X加密预定义的确认信息ACK和一个随机数Y，以形成加密数据包；目标匹配用户将加密数据包发回至发起者v_i。

2.根据权利要求1所述的基于对称加密的保护隐私的属性匹配方法，其特征是：所述步骤3中，利用密码哈希函数H对请求档案中的属性进行逐个哈希生成，以得到请求档案向量H_t，其中，请求档案向量其中，在得到请求档案向量H_t后利用公开哈希函数生成档案密钥K_t。

3.根据权利要求1所述的基于对称加密的保护隐私的属性匹配方法，其特征是，步骤4中，根据请求档案向量H_t生成余数向量R_t为：取一个不大于m_t的质数p，则余数向量

4.根据权利要求3所述的基于对称加密的保护隐私的属性匹配方法，其特征是，步骤4中，将请求档案A_t表示为A_t＝{N_t,O_t}，其中，N_t由λ个必要属性组成，目标匹配用户必须包含所有的λ个必须属性，O_t为由m_t-λ个可选属性组成，目标匹配用户必须至少包含其中的β个属性，则相似度阈值θ为θ＝(λ+β)/m_t，则根据相似度阈值θ得到线索矩阵的步骤为：

步骤4-1、生成约束矩阵，其中，约束矩阵的行数为γ＝m_t-λ-β，约束矩阵的列数m_t-λ，得到C_{r×(r+β)}＝[I_{γ×γ},R_{γ÷β}]，矩阵I为γ维的单元矩阵，R为γ×β维的随机矩阵，随机矩阵R中的每个元素为非零的随机整数；

步骤4-2、将约束矩阵与请求档案相连中的可选属性相乘，得到

$B=C\×{\[h_t^{(\mathrm{\λ}+1)},h_t^{(\mathrm{\λ}+2)},...,h_t^{\left(m_t\right)}\]}^T;$

步骤4-3、线索矩阵M由约束矩阵C和矩阵B组合而成，即M＝[C,B]。

5.根据权利要求4所述的基于对称加密的保护隐私的属性匹配方法，其特征是，步骤6中，用户接收请求数据包后进行排查的步骤为：

步骤6-1、接收到请求数据包的用户的属性向量为H_k，在基于余数向量R_t用户在利用自身的属性向量H_k为每个余数r_t ⁱ计算候选属性集合满足

步骤6-2、用户从每个候选属性集合中任取出一个属性值，即构成一个档案向量，从每候选属性集合中挑选不同的属性值，可组合成不同的档案向量；若候选属性相连集合为空集，则所述接收到请求数据包的用户不满足请求档案中的属性即所得到的档案向量中对应的属性值为未知；

步骤6-3、若接收到请求数据包的用户至少能使用自身属性构建出一个档案向量H_c且档案向量H_c满足下述条件，则所述用户为待匹配用户：

条件1、档案向量H_c中λ个必要属性都可知；

条件2、档案向量H_c中未知属性个数不超过γ；

条件3、由于档案向量H_c和用户自身的属性向量H_k均有序，则档案向量H_c的组成元素与属性向量H_k保持一致的排序。

6.根据权利要求5所述的基于对称加密的保护隐私的属性匹配方法，其特征是，所述步骤7中，每个档案向量H_c包含不超过γ个的未知属性，并且对其中的任一未知项都有i＞λ，则档案向量H_c中未知属性的数量可以通过下述线性方程组解得

$\[I,R\]\×{\[h_c^{\{\mathrm{\λ}+1\}},h_c^{\{\mathrm{\λ}+2\}},...,h_c^{\left\{m_t\right\}}\]}^T=B$

解出档案向量H_c中未知属性的个数后，用户可以恢复出完整的候选档案向量H′_C；将恢复出的候选档案向量H′_C利用公开的哈希函数得到候选档案集合；

其中，未知项指档案向量H_c内的第i个元素。