CN106603232A - 一种基于不经意量子密钥分配的最近隐私查询方法 - Google Patents

Abstract

本发明公开一种基于不经意量子密钥分配的最近隐私查询方法，其特征在于包括两个参与方：数据拥有者Bob和用户Alice，数据拥有者Bob拥有一个隐私数据集B；用户Alice拥有一个隐私数据x，在保护各自隐私的前提下，经量子方法查询后，Alice得到Bob隐私数据集中离x最近的元素x_i。本发明能降低隐私查询中数据库服务器的计算复杂度和双方之间的通信复杂度，并且依据量子力学物理原理提高安全性，从而能使本方法更加实用且能更好地适用于大型数据库的最近隐私查询。

Description

一种基于不经意量子密钥分配的最近隐私查询方法

技术领域

本发明涉及保护隐私的条件查询与量子信息处理领域，具体涉及一种基于不经意量子密钥分配的最近隐私查询方法。

背景技术

随着大数据的迅速发展，数据库规模越来越庞大，应用也越来越广泛。从安全角度看，尽管如今的数据库已经具有一些基本的安全措施，但是在一些实际应用中仍然面临许多问题，其中最主要的就是隐私泄露问题。为了解决一般的隐私泄露问题，Chor等人在1995年首次提出隐私信息检索(Private Information Retrieval，PIR)的概念和模型，并于1998年给出规范化定义，这种策略能够避免数据持有者获取用户查询语句的相关信息，从而保护用户隐私。但是，由于数据库本身是个庞大的系统，其内部有很多敏感的信息，如何保护数据库的隐私也成了一个更大的难题。为了同时保护数据库的隐私数据，Gertner等人随后提出了对称隐私信息检索(Symmetrically Private Information Retrieval，SPIR)，这可以被描述为：一个用户Alice想获取数据库持有者Bob所持数据库中的一个元素，但她不希望Bob知道自己具体对哪个元素感兴趣(用户隐私)，反过来Bob不允许Alice获得数据库中其他敏感的信息(数据库隐私)。

而对于一些满足特殊查询条件的隐私查询时，现有PIR或SPIR方案不再适用。具体考虑到最近隐私查询：查询用户有一个隐私秘密，而数据拥有者有一个隐私的数据集；在保证双方隐私的前提下，查询用户想知道数据拥有者的隐私数据集中哪一个元素离自己的隐私秘密最近。该查询在位置服务上有广泛应用。例如，一个用户正处于路途中的某个位置，而该用户的车油将要用尽，此时他需要从服务器中查询离他当前位置最近的加油站。而在这个查询过程中，用户的位置信息不能暴露给服务器，否则将会导致用户隐私泄露；另一方面也要保证用户无法获取服务器中其他位置服务点信息，因为服务器中的私有数据同样需要保护。

目前求解最近隐私查询的方法不多，而且这些方法均是借助经典密码学，多是基于经典的计算复杂性难题而设计的，而这些基于计算复杂性的困难问题对于量子计算机而言将变得不再困难。也就是说这些经典的方法不能抵抗量子计算机的攻击。另一方面，已有方法为了保护隐私需要牺牲大量的通信开销，故通信复杂度也很高。因此，这些为数不多的经典最近隐私查询方法很难应用到当今日益庞大的数据库服务中。此外，经典的最近隐私查询还引入了不合谋的第三方，然而在实际应用中，第三方为了利益可能会与其中一方勾结，那么这就会损害其他方的利益，也就使得隐私查询的安全性大大降低。

发明内容

本发明的目的在于解决现有经典技术中隐私数据库查询的不足，提供一种基于不经意量子密钥分配的最近隐私查询方法，以期能降低隐私查询中数据库服务器的计算复杂度和双方之间的通信复杂度，并且依据量子力学物理原理提高安全性，从而能使本方法更加实用且能更好地适用于大型数据库的最近隐私查询。

本发明为解决技术问题所采用如下的技术方案是：

本发明一种基于不经意量子密钥分配的最近隐私查询方法的特点包括两个参与方：数据拥有者Bob和用户Alice，所述数据拥有者Bob拥有一个隐私数据集B＝{x₁,x₂,...,x_i,...,x_m}；x_i表示第i个n位的元素，且x_i∈{0,1,2,…,N-1}；1≤i≤m；N＝2ⁿ；所述用户Alice拥有一个隐私数据x，x∈{0,1,2,…,N-1}；所述最近隐私查询方法是按如下步骤进行：

步骤1、所述数据拥有者Bob建立一个具有N个数据项的数据库D，其中，任意第j个数据项记为D(j)，且D(j)＝x_l表示所述隐私数据集B中与j最近的元素是x_l，x_l∈B；0≤j≤N-1；

步骤2、不经意量子密钥分配

步骤2.1、初始化i＝1；将第j个数据项D(j)的第i位二进制数记为D_i(j)；

步骤2.2、所述数据拥有者Bob基于不经意量子密钥分配方法建立一个N位的第i个密钥k(i)，并将第i个密钥k(i)的第j位记为k_j(i)；

步骤2.3、所述数据拥有者Bob得到全部N位的第i个密钥k(i)，所述用户Alice得到第i个密钥k(i)的第x位k_x(i)；

步骤2.4、将i+1赋值给i，并判断i＞n是否成立，若成立，则执行步骤3，否则返回步骤2.2；

步骤3、所述数据拥有者Bob生成密文C并公开；

步骤3.1、初始化i＝1；

步骤3.2、初始化j＝0；

步骤3.3、利用式(1)得到第i列第j行的密文c[i,j]：

步骤3.4、将j+1赋值给j，并判断j＞N-1否成立，若成立，则执行步骤3.5，否则返回步骤3.3；

步骤3.5、将i+1赋值给i，并判断i＞n是否成立，若成立，则公开所得到密文C，并执行步骤4，否则返回步骤3.2；

步骤4、所述用户Alice根据所述隐私数据x、密文C以及n个密钥的第x位k_x(1),k_x(2)，…,k_x(i)，…,k_x(n)，得到第x个数据项记为D(x)，其中，第x个数据项第i位是通过式(2)获得：

与已有技术相比，本发明的有益效果体现在：

1、本发明相较于经典方法降低了数据库服务器的计算复杂度和双方之间的通信复杂度，并且提高了安全性，从而使本发明更加实用且能更好地适用于大型数据库的查询。此外，本发明还能够推广到二维、三维以及更高维的最近点对隐私查询情形。

2、本发明的安全性是由量子力学的基本物理原理保证的，而非经典密码中基于计算复杂度的困难性问题，这在计算能力日益增强的现状下大大提高了安全性。

3、本发明采用的不经意量子密钥分配技术在理论上已被证明是无条件安全的，这是经典密码学所无法超越的。

4、本发明采用的不经意量子密钥分配技术已经逐渐成熟，这种基于单光子的不经意量子密钥分配技术简单且容易实现，可以用与SARG04协议兼容的任何现有量子密钥分配来实现。

5、本发明能够有效抵抗量子存储攻击、发送伪造量子态攻击以及纠缠测量攻击，同时具有很高的信道损耗容忍度。

附图说明

图1为本发明SARG04量子密钥分配原理图；

图2为本发明Alice和Bob移位操作的示意图。

具体实施方式

下面对本发明技术方案进行详细说明，但是本发明的保护范围不局限于所述实施例。

本实施例中，一种基于不经意量子密钥分配的最近隐私查询方法，包括两个参与方：数据拥有者Bob和用户Alice，数据拥有者Bob拥有一个隐私数据集B＝{x₁,x₂,...,x_i,...,x_m}；x_i表示第i个n位的元素，且x_i∈{0,1,2,…,N-1}；1≤i≤m；N＝2ⁿ；用户Alice拥有一个隐私数据x，x∈{0,1,2,…,N-1}；具体的说，该最近隐私查询方法是按如下步骤进行：

步骤1、数据拥有者Bob建立一个具有N个数据项的数据库D，其中，任意第j个数据项记为D(j)，且D(j)＝x_l表示隐私数据集B中与j最近的元素是x_l，x_l∈B；0≤j≤N-1；

本实施例中，Bob拥有的隐私数据集B＝{1,2,3,6,7,10,11,14}，即m＝8；且B中的所有元素属于整数集Z₁₆，即n＝4。此外Alice有一个隐私的秘密x＝8。然后Bob在整数集Z₁₆上建立一个具有16个数据项的数据库D，如表1前三列所示，其中D(0)＝x₁＝1表示隐私数据集B中与“0”最近的元素是x₁＝1，这里由于n＝4，故用4位二进制串“0001”表示1。注：表1中“？”表示不确定的比特位，而0、1是确定已知的。

表1所述实施例查询过程各状态参数

步骤2、不经意量子密钥分配

步骤2.1、初始化i＝1；将第j个数据项D(j)的第i位二进制数记为D_i(j)；

表1第三列所示，例如，D₁(9)＝1,D₂(9)＝0,D₃(9)＝1,D₄(9)＝0。

步骤2.2、数据拥有者Bob基于不经意量子密钥分配方法建立一个N位的第i个密钥k(i)，并将第i个密钥k(i)的第j位记为k_j(i)；

本实施例中不经意量子密钥分配方法借鉴Jakobi等人首次提出的基于量子密钥分配的实用量子隐私查询原理(即SARG04QKD协议的变体)。此外，为了检测Bob的诚实性，在具体实施过程中实际建立一个N+(a-1)位的第i个密钥k(i)，其中Bob知道k(i)的所有位而Alice仅仅知道其中的a位(a是一个小整数)，其中任意的a-1位将用于诚实检测并在检测后丢弃，从而保证Alice最终仅仅知道N位k(i)中的一位。本实施例中N＝16，a＝3，具体步骤如下：

2.2.1、Bob随机制备一个长光子序列(长度略大于18)，其中每个光子处于集合{|0>,|1>,|+>,|->}中的某个状态，并且将|0>和|1>编码为0，|+>和|->编码为1。

2.2.2、Bob将制备的光子逐一发送给Alice，Alice对接收到的每个光子随机选择基B_Z或B_X进行测量，并公布哪些光子已成功测量，忽略丢失光子所携带的信息。

在这里Bob虽然可以发送一种伪造量子态将Alice测量获得确定性结果的概率控制在之间。然而Bob每一次这样的攻击都将会引入错误，在上面的例子中Alice记录|1>和|->是一个等可能事件，因此Bob只有1/2的概率正确猜对该比特值，意味着比特误码率高达50％。

2.2.3、Bob对于Alice已经成功测量的每个光子公布一个“0”或“1”，其中“0”代表该光子原始状态为|0>或|+>，“1”代表该光子原始状态为|1>或|->。一旦Alice成功测量的光子数达到18个时停止光子的分发。

2.2.4、Alice根据Bob公布的“0”或“1”来推断光子的原始状态，如图1所示，理论上她有1/4的概率准确推断出原始状态。例如Bob发送一个光子|+>，Alice接收到后随机选择B_Z基并成功测量的结果为|1>，根据Bob公开的“0”Alice能够准确推断该光子原始状态为|+>，即能够确定该位的密钥比特值是“1”。又如Bob发送一个光子|0>，Alice接收到后随机选择B_X基并成功测量的结果为|+>，根据Bob公开的“0”Alice无法推断该光子原始状态是|0>还是|+>，即该位比特值记为“？”。由此来产生一个长度为18的生密钥串ROK，Bob完全已知：

0 0 1 0 0 1 1 1 0 0 0 1 1 1 0 1 0 1

而Alice只知道其中的5位(理论上是4位，实际操作中可能在4位上下轻微浮动)：

0 ？ ？ ？ ？ ？ 1 1 0 ？ ？ ？ ？ ？ ？ ？ ？ 1

2.2.5、后处理过程：18比特的生密钥串ROK记为R₁R₂...R₁₈，此外18比特的最终不经意密钥串FOK记为F₁F₂...F₁₈。后处理具体步骤如下：

2.2.5.1、首先Bob为了使Alice最终不经意密钥FOK上已知密钥位数a控制在3位，他可以通过如下式(1)来计算确定安全参数k的值：

2.2.5.2、Bob和Alice各自采取式(2)的方法将ROK处理成FOK：

处理之后Bob的FOK为：

0 1 1 0 1 0 0 1 0 0 1 0 0 1 1 1 1 1

Alice的FOK为：

？ ？ ？ ？ ？ ？ 0 1 ？ ？ ？ ？ ？ ？ ？ ？ ？ 1

2.2.6、诚实性检测过程：本次操作Alice的最终不经意密钥FOK的已知位数恰好为3位(实际上每次操作可能会在3位上下轻微浮动)，此时她将随机选择其中的第7,17位来检测Bob的诚实性(下标从0开始计数)，即要求Bob公布这2位对应的比特值，如果出现不一致的位，则终止本轮的密钥建立，直接返回步骤(2.2.1)；在这里2位检测位完全相同，通过诚实性检测，随之Alice和Bob将FOK中已检测的第7,17位丢弃，其他密钥位顺序不变，并将此记为最终已成功检测的密钥FCOK，Bob处为：

0 1 1 0 1 0 0 0 0 1 0 0 1 1 1 1

Alice处为：

？ ？ ？ ？ ？ ？ 0 ？ ？ ？ ？ ？ ？ ？ ？ ？

在以上诚实性检测过程中，若Alice存在如下欺诈：Alice任意挑选其它不确定的比特位作为检测位，而保留实际确定已知的比特位。那么，一方面，Alice将失去检测Bob诚实性的能力，也即Alice将不能保证她所收到的不经意密钥是安全的；另一方面，因a-1是一个小整数，例如a-1＝2，而在实际应用过程中a-1远远小于N，所以密钥的泄露量也很少，相对于N可以忽略不计。

2.2.7、移位操作：Alice根据自己的隐私数据x＝8以及FCOK中的已知位下标y＝6通过式(3)计算后将结果s发送给Bob：

s＝y-x (3)

随后Alice和Bob根据s值对各自的FCOK进行移位，如图2所示，s_j＜0，右移；s_j＞0，左移动；s_j＝0，不移动，结果记为k(i)。

本实施例中Bob处k(1)为：

1 1 0 1 1 0 1 0 0 0 0 1 0 0 1 1

Alice处k(1)为：

？ ？ ？ ？ ？ ？ ？ ？ 0 ？ ？ ？ ？ ？ ？ ？

另外本实施例中k₀(1)＝1,k₂(1)＝0。

步骤2.3、数据拥有者Bob得到全部N位的第i个密钥k(i)，用户Alice得到第i个密钥k(i)的第x位k_x(i)；

本实施例中Bob得到全部16位的第i个密钥k(i)，用户Alice得到第i个密钥k(i)的第8位k₈(i)。

步骤2.4、将i+1赋值给i，并判断i＞n是否成立，若成立，则执行步骤3，否则返回步骤2.2；

本实施例中n＝4，直至步骤2结束后，本例中Bob处其余3个k(i)的值分别为(如表1第四列所示)：

Alice处其余3个k(i)的值分别为(如表1第六列所示)：

步骤3、数据拥有者Bob生成密文C并公开；

步骤3.1、初始化i＝1；

步骤3.2、初始化j＝0；

步骤3.3、利用式(4)得到第i列第j行的密文c[i,j]：

步骤3.4、将j+1赋值给j，并判断j＞N-1否成立，若成立，则执行步骤3.5，否则返回步骤3.3；

本实施例中N＝16。

步骤3.5、将i+1赋值给i，并判断i＞n是否成立，若成立，则公开所得到密文C，并执行步骤4，否则返回步骤3.2；

直至步骤3结束后，Bob公开了所有密文，如表1第五列所示。

步骤4、所述用户Alice根据所述隐私数据x、密文C以及n个密钥的第x位k_x(1),k_x(2)，…,k_x(i)，…,k_x(n)，得到第x个数据项记为D(x)，其中，第x个数据项第i位是通过式(5)获得：

本例中Alice知道4个密钥的第8位k₈(1),k₈(2),k₈(3),k₈(4)，通过4次公式(2)的计算解密得到D₈(1)＝0,D₈(2)＝1,D₈(3)＝1,D₈(4)＝1(如表1最后一列所示)，即准确查询到离8最近的是7(“0111”)。此外，在每一轮的不经意密钥分配过程中Alice可能得到不止1位的密钥位，但每一轮的移位都不一样。因此，即使有少量的密钥泄露，Alice也得不到其它的D(x')。

本发明一种基于不经意量子密钥分配的最近隐私查询方法的安全性基于不经意量子密钥分配，而Jakobi等人提出的不经意量子密钥分配的安全性基于SARG04量子密钥分配，进而SARG04量子密钥分配被证明是无条件安全的，因此不经意的量子密钥分配保证了本发明的安全性。此外，该方法能够有效抵抗量子存储攻击、发送伪造量子态攻击以及纠缠测量攻击，同时具有很高的信道损耗容忍度。

Claims (1)

1.一种基于不经意量子密钥分配的最近隐私查询方法，其特征在于包括两个参与方：数据拥有者Bob和用户Alice，所述数据拥有者Bob拥有一个隐私数据集B＝{x₁,x₂,...,x_i,...,x_m}；x_i表示第i个n位的元素，且x_i∈{0,1,2,…,N-1}；1≤i≤m；N＝2ⁿ；所述用户Alice拥有一个隐私数据x，x∈{0,1,2,…,N-1}；所述最近隐私查询方法是按如下步骤进行：

步骤1、所述数据拥有者Bob建立一个具有N个数据项的数据库D，其中，任意第j个数据项记为D(j)，且D(j)＝x_l表示所述隐私数据集B中与j最近的元素是x_l，x_l∈B；0≤j≤N-1；

步骤2、不经意量子密钥分配

步骤2.1、初始化i＝1；将第j个数据项D(j)的第i位二进制数记为D_i(j)；

步骤2.2、所述数据拥有者Bob基于不经意量子密钥分配方法建立一个N位的第i个密钥k(i)，并将第i个密钥k(i)的第j位记为k_j(i)；

步骤2.3、所述数据拥有者Bob得到全部N位的第i个密钥k(i)，所述用户Alice得到第i个密钥k(i)的第x位k_x(i)；

步骤2.4、将i+1赋值给i，并判断i＞n是否成立，若成立，则执行步骤3，否则返回步骤2.2；

步骤3、所述数据拥有者Bob生成密文C并公开；

步骤3.1、初始化i＝1；

步骤3.2、初始化j＝0；

步骤3.3、利用式(1)得到第i列第j行的密文c[i,j]：

$c\[i,j\]=D_i\left(j\right)\⊕k_j\left(i\right)---\left(1\right)$

步骤3.4、将j+1赋值给j，并判断j＞N-1否成立，若成立，则执行步骤3.5，否则返回步骤3.3；

步骤3.5、将i+1赋值给i，并判断i＞n是否成立，若成立，则公开所得到密文C，并执行步骤4，否则返回步骤3.2；

步骤4、所述用户Alice根据所述隐私数据x、密文C以及n个密钥的第x位k_x(1),k_x(2)，…,k_x(i)，…,k_x(n)，得到第x个数据项记为D(x)，其中，第x个数据项第i位是通过式(2)获得：

$D_i\left(x\right)=c\[i,x\]\⊕k_x\left(i\right)---\left(2\right).$