CN105637798A

CN105637798A - 用于隐私保护计数的方法和系统

Info

Publication number: CN105637798A
Application number: CN201380074041.9A
Authority: CN
Inventors: 伊夫斯特拉蒂奥斯·埃尼迪斯; 埃胡德·魏恩斯贝格; 妮娜·安妮·塔夫特; 马克·乔伊; 瓦莱里亚·尼科拉恩科
Original assignee: Thomson Licensing SAS
Current assignee: Thomson Licensing SAS
Priority date: 2013-03-04
Filing date: 2013-12-19
Publication date: 2016-06-01
Also published as: US20160019394A1; WO2014138752A3; EP3031166A2; EP3031164A2; US20160020904A1; WO2014137449A3; WO2014138754A2; US20160012238A1; KR20150122162A; WO2014138753A2; KR20160009012A; WO2014138754A3; WO2014138753A3; US20160004874A1; KR20160030874A; EP2965464A2; WO2014138752A2; JP2016509268A; WO2014137449A2

Abstract

一种用于安全地计数的方法，包括：接收一组记录作为输入，其中所述一组记录包括至少一个记录，每个记录包括一组令牌，其中所述一组令牌包括至少一个令牌；接收包括至少一个令牌的单独一组的令牌，处理所述一组记录和所述单独一组令牌以对属于所述单独一组令牌的每个令牌出现在多少记录中进行计数，而无需获知任何个人记录以及除所述计数之外的、从所述记录中提取的任何信息的内容。

Description

用于隐私保护计数的方法和系统

相关申请的交叉引用

本申请在35U.S.C.119(e)下要求在2013年8月9日提交的美国临时专利申请的优先权：序号为No.61/864085和名称为“AMETHODANDSYSTEMFORPRIVACYPRESERVINGCOUNTING”；序号为No.61/864088和名称为“AMETHODANDSYSTEMFORPRIVACYPRESERVINGMATRIXFACTORIZATION”；序号为61/864094和名称为“AMETHODANDSYSTEMFORPRIVACY-PRESERVINGRECOMMENDATIONTORATINGCONTRIBUTINGUSERSBASEDONMATRIXFACTORIZATION”；以及序号为61/864098和名称为“AMETHODANDSYSTEMFORPRIVACY-PRESERVINGRECOMMENDATIONBASEDONMATRIXFACTORIZATIONANDRIDGEREGRESSION”。在本文中，出于所有目的，通过引用明确地将临时申请整体并入。

技术领域

本原理涉及隐私保护推荐系统和安全多方计算，特别地，涉及隐私保护方式中的安全计数。

背景技术

在过去十年中，大量的研究和商业活动已导致了广泛使用推荐系统。这样的系统为用户提供诸如电影、电视节目、音乐、书籍、宾馆、饭店等多种项目的个性化推荐。图1示出了一般性的推荐系统100的构件：多个用户110，其代表源；和推荐器系统(RecSys)130，其处理用户的输入120和输出推荐140。为了接收有用的推荐，用户提供关于其偏好的大量个人信息(用户输入)，相信推荐器会适当地处理这些数据。

然而，诸如B.Mobasher、R.Burke、R.Bhaumik和C.Williams的《Towardtrustworthyrecommendersystems：Ananalysisofattackmodelsandalgorithmrobustness》，ACMTrans.InternetTechn.，7(4)，2007以及E.A′imeur、G.Brassard、J.M.Fernandez和F.S.M.Onana的《ALAMBIC：Aprivacy-preservingrecommendersystemforelectroniccommerce》，Int.JournalInf.Sec.，7(5)，2008等较早的研究已经标识出推荐器可以滥用此类信息或将用户暴露于隐私威胁的多种方式。推荐器往往有转售数据以盈利的动机，而且还提取超出用户有意透露的信息。例如，甚至电影分级或个人电视观看历史等通常不被视为敏感的用户偏好记录可以被用来推断用户的政治立场和性别等。出于恶意或良性的目的，可以从推荐系统中的数据推断出来的私人信息随着新的数据挖掘和推理方法的开发而不断演进。在极端情况下，用户偏好记录甚至可以用于唯一地标识用户：A.Naranyan和V.Shmatikov在2008年的IEEES&P中的《Robustde-anonymizationoflargesparsedatasets》中通过对Netflix数据集进行去匿名而惊人地证明了这一点。因此，即使推荐器不是恶意的，非故意泄漏这样的数据也使得用户容易受到联动攻击，即使用一个数据库作为辅助信息来损害在不同的数据库中的隐私的攻击。

因为一个人不能总预见到未来的推理威胁、意外的信息泄露或内部威胁(有目的的泄漏)，所以，建立一个其中用户在明文状态下也不会透露其个人资料的推荐系统是有益的。当今，没有操作加密数据的现实的推荐系统。此外，建立一种能够不获知用户提供的评级或甚至不获知用户评级了哪些项目而对项目进行介绍的推荐器是有益的。本发明解决了这样的安全推荐系统的一个方面，它也可用于推荐之外的目的。

发明内容

本原理提出了一种用于以隐私保护的方式来安全地计数的方法和系统。特别是，本方法接收一组记录(“语料库”)作为输入，每个语料库包括其自身的一组令牌。此外，本方法接收单独的一组令牌作为输入，并将找到每个令牌出现在多少记录中。本方法对每个令牌出现在多少记录中进行计数，而无需获知任何个人记录的内容以及除所述计数之外的、从所述记录中提取的任何信息。

根据本原理的一个方面，提供了一种用于安全地计数记录的方法，使得所述记录对评估所述记录的评估器(230)保持隐私，所述方法包括：接收一组记录(220，340)，其中每一个记录包括一组令牌，并且其中每一个记录对所述记录的源之外的各方保持秘密；和用加密电路评估所述一组记录(370)，其中所述加密电路的输出是计数。本方法可以包括：接收或确定单独一组令牌(320)。本方法可以进一步包括：在加密系统提供器(CSP)中设计所述加密电路来计数在所述一组记录中的所述单独一组令牌(350)；和将所述加密电路传送到所述评估器(360)。在本方法中的设计步骤可以包括：设计作为布尔电路(352)的计数器。在本方法中的设计计数器的步骤可以包括：构建所述一组记录和所述单独一组令牌的阵列(410)；和执行在所述阵列上排序(420，440)、移位(430)、相加(430)和存储的操作。在本方法中的接收步骤可以通过在源、评估器和CSP之间的代理不经意传输(342)进行(350)，其中所述源提供了记录并且所述记录被对评估器和CSP保持隐私，并且其中所述加密电路取所述记录的加密值作为输入。本方法可以进一步包括：由所述CSP接收一组参数以用于加密电路的设计，其中所述参数是由所述评估器发送的(330)。

根据本原理的一个方面，该方法还可以包括：加密所述一组记录以创建加密记录(380)，其中，所述加密的步骤是在所述接收一组记录的步骤之前进行的。所述方法中的设计步骤(350)可以包括：将在所述加密电路(354)内的所述加密记录进行解密。加密系统可以是部分同态加密(382)，并且所述方法可以进一步包括：掩码所述评估器中的所述加密记录来创建掩码记录(385)；和解密所述CSP中的所述掩码记录来创建解密的掩码记录(395)。所述方法中的设计步骤(350)可以包括：在对所述加密电路内的所述解密的掩码记录进行处理之前，将其进行解掩码(356)。

根据本原理的一个方面，在该方法中的每个记录还可以包括一组权重，其中，该组权重包括至少一个权重。在该方法中的权重可对应于在所述记录中的各令牌的频率和评级的量度之一。

根据本原理的一个方面，该方法可以进一步包括：接收每个记录的令牌数(220，310)。此外，该方法可以进一步包括：当每个记录的令牌数小于表示最大值的值时，用空条目填充每个记录，以创建具有与所述值相等的令牌数的记录(312)。在该方法中的该组记录的所述源可以是一组用户(210)和数据库中的一个，并且如果所述源是一组用户，每个用户提供至少一个记录。

根据本原理的一个方面，提出了一种用于安全地计数记录的系统，其包括：提供所述记录的源、提供所述安全计数器的加密服务提供器(CSP)和评估所述记录的评估器，以使得记录对所述评估器和所述CSP保持隐私；其中，所述源、所述CSP和所述评估器的每一个都包括用于接收至少一个输入/输出(404)的处理器(402)和与所述处理器进行信号通信的至少一个存储器(406，408)，其中所述评估器处理器被配置为：接收一组记录，其中每一个记录包括一组令牌，并且其中每一个记录被保持秘密；和用加密电路评估所述一组记录，其中所述加密电路的输出是计数。在所述系统中的所述评估器处理器可以被配置为：接收单独一组令牌。在所述系统中的所述CSP处理器可以被配置为：在CSP中设计所述加密电路来计数在所述一组记录中的所述单独一组令牌；和将所述加密电路传送到所述评估器。在所述系统中的所述CSP处理器可以被配置为通过被配置为设计作为布尔电路的计数器来设计所述加密电路。在所述系统中的所述CSP处理器可以被配置为通过被配置为构建所述一组记录和所述单独一组令牌的阵列和执行在所述阵列上排序、移位、相加和存储的操作来设计所述计数器。所述源处理器、所述评估器处理器和所述CSP处理器可以被配置为执行代理不经意传输，其中所述源提供所述记录，所述评估器接收所述记录的加密值，所述记录对所述评估器和所述CSP保持隐私，并且其中所述加密电路取所述记录的加密值作为输入。在所述系统中的所述CSP处理器可以进一步被配置为：接收一组参数以用于加密电路的设计，其中所述参数是由所述评估器发送的。

根据本原理的一个方面，在所述系统中的所述源处理器可以被配置为：在提供所述一组记录之前将所述一组记录加密以创建加密记录。在所述系统中的所述CSP处理器可以被配置为通过被进一步配置为在对所述加密电路内的所述加密记录进行处理之前将其进行解密来设计所述加密电路。所述加密是部分同态加密，并且，在所述系统中的所述评估器处理器还可以被配置为：掩码所述加密记录来创建掩码记录；所述CSP处理器还可以被配置为：解密所述掩码记录来创建解密的掩码记录。所述CSP处理器可以被配置为通过被进一步配置为在对所述加密电路内的所述解密的掩码记录处理之前将其进行解掩码来设计所述加密电路。

根据本原理的一个方面，在所述系统中的每个记录还可以包括一组权重，其中所述一组权重包括至少一个权重。在所述系统中的所述权重可以对应于在所述记录中的各令牌的频率和评级的量度之一。

根据本原理的一个方面，在所述系统中的所述评估器处理器还可以被配置为：接收每个记录的令牌数，其中所述令牌数是由所述源发送的。在所述系统中的所述源处理器可以被配置为：当每个记录的所述令牌数小于表示最大值的值时，用空条目填充每个记录，以创建具有与所述值相等的令牌数的记录。在所述系统中的所述一组记录的所述源可以是数据库和一组用户中的一个，并且其中如果所述源是一组用户，每个用户包括用于接收至少一个输入/输出(404)的处理器(402)和至少一个存储器(406，408)，并且每个用户提供至少一个记录。

本发明的另外的特征和优点将通过如下的参考附图进行的说明性实施例的详细描述而变得显而易见。

附图说明

本原理可以通过参考以下简单说明的示例性附图而更好地理解：

图1示出了现有技术的推荐系统的构件；

图2示出了根据本原理的隐私保护计数系统的构件；

图3示出了根据本原理的隐私保护计数方法的流程图；

图4示出了根据本原理的计数器的流程图；以及

图5示出了用于实现本原理的计算环境的框图。

具体实施方式

根据本原理，提供了一种用于以隐私保护的方式安全计数的方法。本领域的技术人员将理解，本发明有许多应用。一种可能的应用是计数来自给定组的关键词在单人或多人的电子邮件中出现得多勤。在线服务可能希望发现在电子邮件语料库中的例如“电影院”、“门票”、“鞋”等单词的出现频率，以决定给(一个或多个)用户展示什么样的广告。这种方法允许服务执行这样的计数，而不明确获知每一电子邮件的内容。

通过本原理解决的这个问题的正式说明是：一项服务希望计数在记录语料库中的令牌的出现数，每一个包括一组令牌。技术人员将理解，在上面的实例中，记录可以是电子邮件，令牌可以是词语，服务希望使用某关键词来计数记录数。但是，为了确保所涉个人的隐私，服务希望这样做，而无需获知这些计数之外的任何内容。特别是，该服务不应该获知：(a)每个关键词出现在哪些记录/电子邮件中，更不消说，(b)有什么令牌/词语出现在每一封电子邮件中。

另一个应用是从评级语料库中计算对例如电影的项目的观看数乃至平均评级，而不透露谁评了每部电影或者他们给了什么评级。在这种情况下，记录是用户评级的/观看的一组电影以及相应的评级，并且令牌是movie_id(电影标识符)。本发明可用于计数有多少用户评价了或观看了一部电影，而不获知哪位用户观看了哪部电影。此外，本发明可用于计算诸如每部电影的平均评分等统计数据，而不获知哪位用户评级了哪部电影或者该用户给予了什么评级。类似地，本发明还可以用于在单一候选人(例如，市长或竞赛获奖者)或多名候选人(如，代表委员会)选举中的表决计算，而不获知每个用户的投票。

因此，根据本原理，一种方法接收一组记录(“语料库”)作为输入，每个语料库包括其自身的一组令牌。该组或记录包括至少一个记录，该组令牌包括至少一个令牌。此外，该方法接收单独一组令牌作为输入，并且将发现在所述单独一组令牌中的每个令牌在多少个记录中出现。单独一组令牌可以包括在所有记录中的所有令牌、在所有记录中的令牌的一个子集，或者甚至可包含不在记录中的令牌。该方法以安全的方式对每个令牌出现在多少记录中进行计数，而不获知任何个人记录的内容或除了该计数之外的、从记录中提取的任何信息。如下面所讨论的那样，该方法是由安全多方计算(MPC)算法来实现的。

安全多方计算(MPC)最初是由A.Chi-ChihYao在二十世纪八十年代提出的。Yao协议(又名加密电路)是用于安全多方计算的通用方法。在其一个改编自IEEES&P，2013的V.Nikolaenko、U.Weinsberg、S.Ioannidis、M.Joye、D.Boneh和N.Taft的《Privacy-preservingRidgeRegressiononHundredsofmillionsofrecords》的变型中，该协议是在一组n个输入所有者(其中a_i表示用户i(1≤i≤n)的私密输入)、希望评估f(a₁，...，a_n)的评估器和第三方(加密服务提供器(CSP))之间运行的。在协议结束时，评估器获知f(a₁，...，a_n)的值，但没有一方获知得比从这一输出值所透露的内容更多。该协议要求函数f可用布尔电路表示，例如作为或(OR)、与(AND)、非(NOT)和异或(XOR)门的图表示，并且该评估器和CSP不串通。

近期有很多实施Yao加密电路的框架。针对通用MPC的不同的方法基于秘密共享方案，另一个方法基于全同态加密(FHE)。已经提出了秘密共享方案来用于各种线性代数运算，诸如求解线性系统、线性回归和竞价等。秘密共享需要至少三个平等地共享计算工作量并多轮交流的非串通在线权限；只要它们中间没有两方串通，计算就是安全的。加密电路假设只有两个非串通权限和更少的通信，这更适合于其中评估器是云服务并且加密服务提供器(CSP)是以可信赖的硬件构件实现的情境。

不管使用哪种密码原语，建立用于安全多方计算的有效算法的主要挑战是以数据无关无关方式实现算法，也就是说，以使执行路径不依赖于输入。在一般情况下，在有界时间T内可执行的任何RAM程序都可以被转换为O(T^3)图灵机(TM)，这是由AlanTuring发明的理论计算机以作为数学计算的理想化模型，其中O(T^3)表示复杂性与T³成比例。此外，任何有界T时间TM可以转换为大小为O(TlogT)的电路，它是数据无关无关的。这意味着，任何有界T时间可执行的RAM程序可以被转换为具有O(T^3logT)的复杂性的数据无关无关电路。这样的复杂性太高，并且在大多数应用中令人望而却步。对于高效数据无关无关实现是未知的算法的调查可以在W.Du和M.J.Atallah在2001年NewSecurityParadigmsWorkshop上的《Securemulti-partycomputationproblemsandtheirapplications：Areviewandopenproblems》中找到。

最初开发排序网络是为了启用排序并行及高效硬件实现。这些网络是将输入序列(a₁，a₂，...，a_n)排序成单增序列(a′₁，a′₂，...，a′_n)的电路。它们是通过将比较和交换电路(compare-and-swapcircuits)(它们的主要组成块)接线在一起而构成的。一些工作利用了排序网络的数据无关性来用于密码目的。然而，加密不总是足以确保隐私。如果攻击者可以观察你对加密存储的访问模式，他们仍然可以获知有关你的应用程序正在做什么的敏感信息。

本原理提出了一种基于安全多方排序的方法，它接近于加权集合交集，但采用了加密电路并着重于计数。使用加密电路实施本原理的计数器的单纯做法具有很高的计算成本，需要与语料库中的令牌数成二次方关系的计算。在本原理中提出的实施快得多，需要与语料库中的令牌数几乎成线性关系的成本。

如图2所示，本原理由三个构件组成：

I.评估器系统(Eval)230，它是执行安全计数而不获知有关记录的任

何情况或除计数C240外的、从记录中提取的任何信息的实体。

II.加密服务提供器(CSP)250，它将启用安全计数而不获知有关记录

的任何情况或从记录中提取的任何信息。

III.源，它由一个或多个用户210构成，每一个用户都具有一个记录或

一组记录220，每个记录包括要被计数的一组令牌，并且每个记录都对

该记录的源(即，用户)之外的各方保持秘密。等效地，源可以代表

含有一个或多个用户的数据的数据库。

本原理的优选实施例包括一个满足图3中的流程图300的协议，由以下步骤进行说明：

P1.源向评估器报告对于每一个参与的记录有多少令牌将被提交(310)；

P2.评估器向CSP报告必要的参数以设计加密电路(330)，其包括令牌332的数目和用于表示该计数334的位数。此外，评估器接收或确定单独一组令牌(320)，在其上计算计数。这组令牌可以包括在语料库中的所有令牌、所有令牌的子集或甚至不存在于记录中的令牌。单独一组令牌，如果不是所有的令牌，将包含在参数中。

P3.CSP准备了计算计数的、被技术人员称为加密电路的电路(350)。为了加密，电路首先作为布尔电路352写入。到电路的输入被假定为是一列令牌(tokenid1，token_id_2，...，tokenidM)，其中M是语料库中的令牌总数(即，由每个用户提交的令牌的总和)。具体地说，加密电路取记录/令牌的加密值作为输入，并处理所述一组记录和所述单独一组令牌T1以计数属于所述单独一组令牌的每个令牌出现在多少记录中，而无需获知任何个人记录的内容以及除所述计数之外的、从所述记录中提取的任何信息。

P4.CSP加密这个电路，把它发送给评估器(360)。具体地说，CSP将门处理为加密表并将其按照由电路结构定义的次序传送给评估器。

P5.通过在源、评估器和CSP342之间的代理不经意传输，评估器获知用户输入的加密值，而其自身或CSP无需获知真实值。技术人员将理解，不经意传输是一种传输类型，其中发送器将可能是许多条信息中的一条传输给接收器，它对于哪条(如果有的话)已经被传输是保持不经意的。代理不经意传输是其中有三方或更多方参与的不经意传输。特别地，在这个代理不经意传输中，源提供记录/令牌，评估器接收记录/令牌的加密值，CSP充当代理，而评估器和CSP都不获知记录。

P6.评估器评估加密电路并输出所请求的值(370)。

在技术上，这个协议除C240外也泄漏由每个用户提供的令牌数。这可以通过一个简单的协议修改进行纠正，例如，通过用适当的“空”条目“填充”提交的记录，直到达到预先设定的最大数目为止(312)。为简化起见，在对协议的说明中未涉及此“填充”操作。

本发明提出的电路的实现方式使用了排序网络。简言之，所述电路将所有的输入与用于每个令牌的计数器一起放于阵列中。然后，它对阵列进行排序以确保计数器以某种方式进行置换，使得它们立即紧邻必须要被计数的令牌。通过进行线性经过阵列，电路然后就能计数令牌出现了多少次，并将这一信息存储在适当的计数器中。

在本原理的计数电路的示例性详细描述中，假定为标准的“协作过滤”设置，其中n个用户对m个可能项目(例如电影)的子集进行评级。对于用户组[n]：＝{1，...，n}和项目组[m]：＝{1，...，m}，由表示已为其生成了评级的用户/项目对，由M＝[M]表示总的评级数。最后，对于(i，j)∈M，由r_i，j∈R表示由用户i对项目j生成的评级。

在实际的设定中，n和m都是大的数字，通常介于10⁴和10⁶之间。另外，所提供的评级稀疏，即M＝O(n+m)，这比可能评级总数n×m小得多。这与典型的用户行为是一致的，因为每个用户可能只评级有限数目的项目(不依赖于“目录”大小m)。

本原理还假定c_j＝|{i：(i，j)∈M}|是所接收的项目j∈[m]评级数，并且电路取集合M作为输入，并输出计数{c_j}_j∈[m]。技术人员将理解，在RAM模型中，这种任务的复杂性是O＝(m+M)，因为所有的c_j都可以通过单次通过M同时计算，以高并行度为代价。与此相反，使用指示器δ_i，j＝1_(i，j)∈M，如果i对j进行了评级；则δ_i，j＝1否则δ_i，j＝0的单纯电路(naivecircuit)实现方式生成了复杂性非常高、为O(n×m)的电路。

所述单纯实现的低效率起因于在电路设计时无法标识哪些用户评级了项目以及用户评级了哪些项目，从而降低了利用数据中的固有稀疏的能力。取而代之的是，本原理提出了一种电路，其在电路内高效率地执行用户和项目之间的匹配，并且能够使用排序网络在O((m+M)polylog(m+M))个步骤内返回{c_j}_j∈[m]，其中polylog是指多重对数函数。

满足图4中的流程图400的、根据本原理的优选实施例的计数器可通过以下步骤来描述：

C1.给定M作为输入，构造(m+M)个元组的阵列S(410)。首先，对于每个j∈[m]，创建(j，⊥，o)形式的元组，其中“空”符号⊥是占位符412。其

次，对于每个(i，j)∈M，创建(j，1，1)414形式的元组，从而产生了：

S = (\begin{matrix} 1 & 2 & m & j_{1} & j_{2} & j_{M} \\ &perp; & &perp; & ... & &perp; & 1 & 1 & ... & 1 \\ 0 & 0 & 0 & 1 & 1 & 1 \end{matrix}) - - - (1)

在直观上，最初的m个元组将作为“计数器”，存储每个令牌的计数数目。其余的M个元组包含要被计数的“输入”。每个元组中的第三个元素为二进制标志，从而将计数器与输入分离。

C2.相应于项目标识符(即在每个元组中的第一元素)以递增次序对元组排序(420)。如果两个标识符相等，通过比较元组的标志(即每个元组中的第三个元素)来打破平局。因此，在排序后，每个“计数器”元组后面是具有相同标识符的“输入”元组：

S = (\begin{matrix} 1 & 1 & 1 & m & m & m \\ &perp; & 1 & ... & 1 & ... & &perp; & 1 & ... & 1 \\ 0 & 1 & 1 & 0 & 1 & 1 \end{matrix}) - - - (2)

C3.从最右侧的元组开始，从右向左移动，将在每个元组中第二条目的值相加(430)；如果达到了计数器元组(即零标志)，就将所计算的值存储在⊥条目中，并重新计数。更正式地，由a_l，k表示第k个元组的第1个元素。这种“从右至左”通过相当于以下赋值：

s_2，k←s_3，k+s_3，k+1×s_2，k+1(3)

k的范围是从(m+M-1)下至1。

C4.再次以递增次序排序阵列，这次是相对于标志S_l，k(440)。所得到的阵列的前m个元组包含计数器，它被作为输出释放。

本领域的技术人员会认识到，上述计数器可以容易地作为对每一个项目j∈[m]取M作为输入和输出(j，c_j)的电路实现。步骤1可作为一个输入是元组(i，j)∈M、输出是初始阵列S和使用O(m+M)个门的电路实现。排序操作可以使用例如Batcher排序网络来执行，它取初始阵列作为输入并输出排序后的阵列，需要O((m+M)log′(m+M))个门。最后，从右到左通过可以作为在每个元组上执行(3)的电路实现，也具有O(m+M)个门。至关重要的是，该通过是数据无关的：(3)通过标志s_3，k和s_3，k+1区分“计数器”和“输入”，但在阵列的所有元素上执行相同的操作。特别地，该电路可以作为布尔电路(例如，作为或(OR)、与(AND)、非(NOT)和异或(XOR)门的图)实现，如前所述，它允许实现方式被加密。例如，加密电路构造可基于FastGC，这是一个基于Java的开源框架，能使用基本的异或、或和与门实现电路定义。一旦电路构造后，该框架就处理加密电路的加密、不经意传输和完整评估。

根据本原理，上面的计数器连同先前描述的协议的实现提供了一种新颖的、用于以隐私保护的方式安全计数的方法。此外，这种解决方案通过使用排序网络在明文状态下产生了具有在所执行的计数器的多重对数因子之内的复杂性的电路。

本发明的第二个实施例还描述在图3的流程图300(包括流程图中的添加A、B和C)中，用户将其输入的加密值提交给估算器(380)，CSP准备首先解密输入354、然后操作数据的电路(350)。加密电路被发送给估算器(360)，它通过(普通，非代理)不经意传输344获得加密数据的加密值，然后使用它们来评价电路。这一实现具有用户可以提交其输入然后“离开”协议(即，不要求停留在线)的优势。

本发明的第三个实施例还描述在图3的流程图300(包括流程图中的添加A、B、D和E)中，用户通过部分同态加密382提交其输入的加密值(380)。技术人员将了解，同态加密是一种加密形式，其允许对密文执行特定类型的计算并获得解密匹配在明文上执行的操作结果的加密结果。例如，一个人可能会将两个加密数字相加、然后另一个人可以解密结果，而他们中的任何一个人都不能发现各个数的值。部分同态加密是对应于在明文上进行一个运算(加法或乘法)的同态。部分同态加密可以是对应于标量的加法和乘法的同态。

在接收到加密值之后，评估器向用户输入添加掩码(385)。本领域的技术人员将理解，掩码是数据混淆的一种形式，并且可以是如随机数发生器或重排(shuffling)一样简单。评估器随后将掩码的用户输入发送给CSP(390)，该CSP对它们进行解密(395)。CSP然后准备加密电路(350)，其接收来自评估器的掩码、解掩码输入356，在执行计数之前，对其进行加密，并将其发送到评估器(360)。通过(普通，非代理)不经意传输344，评估器获得掩码数据的加密值，然后用它们来评估电路。这一实现具有用户可以提交其输入然后“离开”协议(即，不要求停留在线)以及不需要在CSP内解密的优势。

本发明的第四个实施例也满足图3的流程图300，用户提交(token_id(令牌标识附)，权重)形式的输入，其中权重可以对应于例如关键字在语料库中出现的频率以及其对用户的重要性。在记录是观看的电影和/或评级的情况下，权重对应于评级。然后，每部电影的平均评级可以通过适当地修改电路而使用我们的方法来计算。一边计数一部电影对应有多少个评级，“从右到左”通过(步骤C3)也将一边将所有的评级相加。评级总和与计数的比会产生平均评级；也可以通过类似的修改来计算其它统计数据(如方差)。

应当理解，本原理可以以各种形式的硬件、软件、固件、专用处理器、或其组合来实现。优选地，本原理被作为硬件和软件的组合实现。此外，软件优选地作为有形地包含在程序存储设备上的应用程序来实现。该应用程序可以上载到包括任何合适架构的机器并由其执行。优选地，该机器在具有诸如一个或多个中央处理单元(CPU)、随机存取存储器(RAM)和输入/输出(I/O)接口等硬件的计算机平台上实现。计算机平台还包括操作系统和微指令代码。本文描述的各种处理和功能可以是通过操作系统执行的微指令代码的一部分或应用程序的一部分(或其组合)。此外，各种其它外围设备可以被连接到诸如附加的数据存储设备和打印设备等计算机平台。

图5示出了用来实现本原理的最小计算环境500的框图。计算环境500包括处理器510和至少一个(优选为多于一个)I/O接口520。I/O接口可以是有线或无线的，在无线实现方式中，其预配置有适当的无线通信协议，以允许计算环境500在全局网络(例如，互联网)上操作并与其它计算机或服务器(如基于云的计算或存储服务器)通信，以提供本原理，例如作为远程提供给最终用户的软件即服务(SAAS)特征。在计算环境500内还提供了一个或多个存储器530和/或存储设备(HDD)540。计算环境500或多个计算机环境500可以根据本原理的一个实施例为计数器C1-C4(图4)实现P1-6协议(图3)。特别地，在本原理的实施例中，计算环境500可以实现评估器230；独立的计算环境500可以实现CSP250，源可含有一个或多个计算机环境500，每一个计算环境都与不同的用户210相关联，包括但不限于台式计算机、蜂窝电话、智能电话、电话手表、平板计算机、个人数字助理(PDA)、上网本和笔记本电脑，用于与评估器230和CSP250通信。此外，CSP250可作为单独的处理器或作为由源处理器运行的计算机程序而包括在源中，或等同地，包含在源的每一个用户210的计算机环境中。

应当进一步理解的是，因为在附图中描绘的一些组成系统构件和方法步骤优选地以软件来实现，所以，在系统构件(或处理步骤)之间的实际连接可能会有不同，其取决于本原理被编程的方式。考虑到本文的教导，相关领域的普通技术人员将能够设想本原理的这些和类似的实现或配置。

虽然已在本文中参照附图描述了说明性实施例，但是应当理解，本原理不限于那些精确的实施例，相关领域的普通技术人员可以在其中进行各种变化和修改，而不偏离本原理的范围或精神。所有这些变化和修改旨在包括于由所附权利要求书所述的本原理的范围之内。

Claims

1.一种用于安全地计数记录的方法，使得所述记录对评估所述记录的评估器(230)保持隐私，所述方法包括：

接收一组记录(220，340)，其中每一个记录包括一组令牌，并且其中每一个记录对除所述记录的源之外的各方保持秘密；和

用加密电路评估所述一组记录(370)，其中所述加密电路的输出是计数。

2.如权利要求1所述的方法，进一步包括：

接收或确定单独一组令牌(320)。

3.如权利要求2所述的方法，进一步包括：

在加密系统提供器(CSP)中设计所述加密电路来计数在所述一组记录中的所述单独一组令牌(350)；和

将所述加密电路传送到所述评估器(360)。

4.如权利要求3所述的方法，其中，所述设计的步骤包括：

将计数器设计为布尔电路(352)。

5.如权利要求4所述的方法，其中，所述设计计数器的步骤包括：

构建所述一组记录和所述单独一组令牌的阵列(410)；和

执行在所述阵列上排序(420，440)、移位(430)、相加(430)和存储的操作。

6.如权利要求1所述的方法，其中接收步骤是通过在源、所述评估器和所述CSP之间的代理不经意传输(342)进行的(350)，其中所述源提供了所述记录并且所述记录被对所述评估器和所述CSP保持隐私，并且其中所述加密电路取所述记录的加密值作为输入。

7.如权利要求3所述的方法，进一步包括：

加密所述一组记录以创建加密记录(380)，其中，所述加密的步骤是在所述接收一组记录的步骤之前进行的。

8.如权利要求7所述的方法，其中所述设计步骤(350)包括：

在对所述加密电路内的加密记录进行处理之前，对其进行解密(354)。

9.如权利要求7所述的方法，其中所述加密是部分同态加密(382)，所述方法包括：

在所述评估器中对所述加密记录进行掩码来创建掩码记录(385)；和

在所述CSP中对所述掩码记录进行解密来创建解密的掩码记录(395)。

10.如权利要求9所述的方法，其中所述设计步骤(350)包括：

在对所述加密电路内的解密的掩码记录进行处理之前，对其进行解掩码(356)。

11.如权利要求1所述的方法，其中每个记录进一步包括一组权重，其中所述一组权重包括至少一个权重。

12.如权利要求11所述的方法，其中所述权重对应于在所述记录中的各令牌的频率和评级的量度之一。

13.如权利要求1所述的方法，进一步包括：

接收每个记录的令牌数(220，310)。

14.如权利要求1所述的方法，进一步包括：

当每个记录的令牌数小于表示最大值的值时，用空条目填充每个记录，以创建具有与所述值相等的令牌数的记录(312)。

15.如权利要求1所述的方法，其中所述一组记录的源是数据库和一组用户(210)中的一个，并且其中如果所述源是一组用户，则每个用户提供至少一个记录。

16.如权利要求3所述的方法，进一步包括：

通过所述CSP接收一组参数以用于加密电路的设计，其中所述参数是由所述评估器发送的(330)。

17.一种用于安全地计数记录的系统，包括：

源，其将提供所述记录；

加密服务提供器(CSP)，其将提供所述安全计数器；和

评估器，其将评估所述记录，使得记录对所述评估器和所述CSP保持隐私；其中，所述源、所述CSP和所述评估器的每一个都包括：

处理器(402)，用于接收至少一个输入/输出(404)；和

至少一个存储器(406，408)，其与所述处理器进行信号通信，并且其中所述评估器处理器被配置为：

接收一组记录，其中每一个记录包括一组令牌，并且其中每一个记录被保持秘密；和

用加密电路评估所述一组记录，其中所述加密电路的输出是计数。

18.如权利要求17所述的系统，其中所述评估器处理器被配置为：

接收单独一组令牌。

19.如权利要求18所述的系统，其中所述CSP处理器被配置为：

设计所述加密电路来计数在所述一组记录中的所述单独一组令牌；和

将所述加密电路传送到所述评估器。

20.如权利要求19所述的系统，其中所述CSP处理器被配置为通过被配置为按以下操作来设计所述加密电路：

将计数器设计为布尔电路。

21.如权利要求20所述的系统，其中所述CSP处理器被配置为通过被配置为按以下操作来设计所述计数器：

构建所述一组记录和所述单独一组令牌的阵列；和

执行在所述阵列上排序、移位、相加和存储的操作。

22.如权利要求17所述的系统，其中所述源处理器、所述评估器处理器和所述CSP处理器被配置为执行代理不经意传输，其中所述源提供所述记录，所述评估器接收所述记录的加密值，所述记录对所述评估器和所述CSP保持隐私，并且其中所述加密电路取所述记录的加密值作为输入。

23.如权利要求19所述的系统，其中所述源处理器被配置为：

在提供所述一组记录之前将所述一组记录加密以创建加密记录。

24.如权利要求23所述的系统，其中所述CSP处理器被配置为通过被进一步配置为按以下操作来设计所述加密电路：

在对所述加密电路内的加密记录进行处理之前，对其进行解密。

25.如权利要求23所述的系统，其中所述加密是部分同态加密，并且其中所述评估器处理器被进一步配置为：

对所述加密记录进行掩码来创建掩码记录；并且

所述CSP处理器被进一步配置为：

对所述掩码记录进行解密来创建解密的掩码记录。

26.如权利要求25所述的系统，其中所述CSP处理器被配置为通过被进一步配置为按以下操作来设计所述加密电路：

在对所述加密电路内的解密的掩码记录进行处理之前，对其进行解掩码。

27.如权利要求17所述的系统，其中每个记录进一步包括一组权重，其中所述一组权重包括至少一个权重。

28.如权利要求27所述的系统，其中所述权重对应于在所述记录中的各令牌的频率和评级的量度之一。

29.如权利要求17所述的系统，其中所述评估器处理器被进一步配置为：

接收每个记录的令牌数，其中所述令牌数是由所述源发送的。

30.如权利要求17所述的系统，其中所述源处理器被配置为：

当每个记录的所述令牌数小于表示最大值的值时，用空条目填充每个记录，以创建具有与所述值相等的令牌数的记录。

31.如权利要求17所述的系统，其中所述一组记录的源是数据库和一组用户中的一个，并且其中如果所述源是一组用户，则每个用户包括用于接收至少一个输入/输出(504)的处理器(502)和至少一个存储器(506，508)，并且每个用户提供至少一个记录。

32.如权利要求19所述的系统，其中所述CSP处理器被进一步配置为：

接收一组参数以用于加密电路的设计，其中所述参数是由所述评估器发送的。