CN107124268B

CN107124268B - 一种可抵抗恶意攻击的隐私集合交集计算方法

Info

Publication number: CN107124268B
Application number: CN201710213391.9A
Authority: CN
Inventors: 杨晓元; 罗小双; 周潭平; 张卓; 杨海滨; 张帅伟; 韩益亮; 薛帅
Original assignee: Engineering University of Chinese Peoples Armed Police Force
Current assignee: Engineering University of Chinese Peoples Armed Police Force
Priority date: 2017-04-01
Filing date: 2017-04-01
Publication date: 2020-08-11
Anticipated expiration: 2037-04-01
Also published as: CN107124268A

Abstract

本发明涉及一种可抵抗恶意攻击的隐私集合交集计算方法，包括以下步骤：1)客户端和服务器建立参数；2)客户端向服务器发送请求，服务器对客户端的身份进行验证；3)根据客户端的请求，服务器向客户端发送数据；4)客户端按照协议计算出与服务器数据集合的交集部分。本发明同时满足了机密性、完整性和可用性，本发明的隐私集合交集协议(PSI)是在保证双方各自隐私安全的前提下，计算出两者数据集合的交集，其中只有一方能够计算出交集元素，另外一方无法计算得到交集，并且双方都不能获得或推测出对方除交集以外的任何集合元素，确保了参与双方敏感信息的安全保密。

Description

一种可抵抗恶意攻击的隐私集合交集计算方法

技术领域

本发明属于计算机网络通信中数据安全和隐私保护领域，具体涉及一种可抵抗恶意攻击的隐私集合交集计算方法

背景技术

保护隐私的集合运算是当前计算机网络安全和隐私保护领域研究的热点问题。隐私集合交集协议是集合运算中最重要的技术之一，它使拥有秘密集合的参与者在不泄露隐私数据的前提下，一方或者双方共同计算出两者数据集合的交集，并且只能得到交集的结果，且得不到除交集以外的任何数据。其广泛的应用于隐私数据挖掘、人类基因研究、社交网络、刑事侦察等各个领域。2004年，Freedman等人首次提出了半诚实模型下基于多项式的模糊隐私匹配问题，为解决该类问题提供了有效的思路和方法。

现有的构造出隐私集合交集协议的方法有四类：

第一类是基于不经意多项式(oblivious polynomial evaluation)。通过定义一个多项式

其根是集合的元素。利用同态加密方法来加密系数发送给接收方，接收方在不解密的情况下判断双方元素是否相同。

第二类是基于不经意伪随机方程。令(I_PRF,F_PRF)伪随机方程的组合，前者为安全的计算出后者而生成密钥。C为每个y_i选择密钥k←I_PRF(1^S)并且输出

发送集合

给S，S输出集合

作为交集。

第三类是基于盲签名。利用盲签名，客户端获得输入的签名而不会泄露它。其思想是产生集合元素的签名，哈希验证的结果，通过计算出哈希值的交集来获得集合元素的交集。

第四类是基于Bloom Filter。双方将集合元素哈希后存放到Bloom Filter集合中，通过对Bloom Filter进行操作来恢复出两者数据集合的交集。

发明内容

本发明的目的是解决计算机网络通信中数据安全和隐私保护问题，为此，本发明提出一种可抵抗恶意攻击的隐私集合交集计算方法，本发明方案充分利用Bloom Filter(BF)数据结构，引入基于身份的密钥协商方案，对BF分组加密后通过公开信道进行传输，接收方接收数据后计算出交集部分。

为了达到上述目的，本发明采用的技术方案如下：

一种可抵抗恶意攻击的隐私集合交集计算方法，利用基于身份的密钥协商过程中，客户端向服务器发出请求，服务器同意参与协议后才能进行密钥协商，起到验证身份合法性的作用，达到了一定的安全目的。

利用Bloom Filter(BF)数据结构，既保证了集合数据元素的安全性，同时也能够提高协议的运算效率。

利用分组加密方法，使得本方法能够适用于较大规模的数据集合，提高在大数据环境下的适用能力。具体的方案包括下列步骤：

(1)参数建立：客户端C建立BF_C，服务器建立GBF_S并获取GBF-M。设置集合大小m，元素个数n，安全参数λ，哈希函数H＝{h₀,h₁,…,h_k-1}，分组加解密算法Enc和Dec。

(2)密钥协商：密钥协商之前，客户端会向服务器发送包含身份ID的请求，试图获得对服务器的访问权限。服务器验证客户端的身份后，如果服务器同意，那么客户端与服务器参与基于身份的密钥协商协议，双方共同得到分组加密的共享密钥sk。否则服务器拒绝客户端的请求，协议终止。

(3)数据传输：服务器首先对GBF_S做哈希运算得到hash(GBF_S)，并与GBF-M提取出的hash(GBF_S)进行对比，如果相同则继续对GBF_S[i]进行哈希运算，即hash(GBF_S[i])，产生tbit输出，然后用密钥sk对GBF_S[i]和hash(GBF_S[i])分组加密得到E_i＝Enc_sk(GBF_S[i]||hash(GBF_S[i]))，否则协议停止。服务器与客户端共同参与OT协议，服务器作为发送方将m对(λ+t)bit串(x_i,0,x_i,1)发送给客户端(x_i,0是随机生成的(λ+t)bit串，0≤i≤1)。如果BF_C[i]＝0，客户端则接受随机(λ+t)bit串；如果BF_C[i]＝1，客户端则接受E_i＝Enc_sk(GBF_S[i]||hash(GBF_S[i]))；

其中，GBF_S[i]来表示GBF_S中第i个λbit串,BF_C[i]表示BF_C中第i个数据位。

(4)计算交集：客户端建立空白GBF_C∩S，如果BF_C[i]＝0，则

如果BF_C[i]＝1，则客户端解密E_i，即Dec_sk(Enc_sk(GBF_S[i]||hash(GBF_S[i])))得到GBF_S[i]和哈希值hash(GBF_S[i])。然后，客户端对GBF_S[i]哈希并与hash(GBF_S[i])进行比对。如果两个哈希值相同，则使得GBF_C∩S[i]＝GBF_S[i]，否则该过程失败，最终客户端可以用C对GBF_C∩S进行查询，得到两个集合的交集。

本发明的有益效果在于：

(1)本发明方案基于随机预言机模型，安全性基于离散对数困难问题(DLP)和计算性Diffie-Hellman问题(CDH)，能够抵抗非法用户的恶意攻击。

(2)本发明方案在效率上能够达到线性复杂度，提高了协议的运算效率。

(3)采用基于身份的密钥协商方案，抵御了密钥泄露的风险，从源头上保证了整个协议的安全性。

(4)采用Bloom Filter和Garbled Bloom Filter(GBF)数据结构，结合秘密共享方案，通过不经意传输协议，使得客户端得到Bloom Filter的交集部分，有效恢复出交集元素。运算效率较高，具备支持较大规模数据集合的运算能力。

附图说明

图1是本发明加解密计算流程图。

具体实施方式

下面结合具体实施例对本发明做进一步详细的描述，但本发明的实施方式不限于此。

本发明所述的一种可抵抗恶意攻击的隐私集合交集计算方法，以服务器S作为发送方，客户端C作为接收方。客户端计算出与服务器数据集合相同的元素，而不能获得或者推测出服务器除交集以外的任何数据信息。

首先简述BF的生成算法，用BF_C来表示元素集合C生成的Bloom filters，用BF_C[i]来表示BF_C中第i个数据位，用GBF_C来表示元素集合C生成的garbled Bloom filter，用GBF_C[i]来表示GBF_C中第i个λbit串。如图1所示，初始化时，所有的数据位都被置为0，当插入元素x∈C时，k个哈希函数对x进行运算得到k个索引数，令相应位置为1，即BF_C[h_i(x)]＝1，0≤i≤k-1。当查询y是否在C中时，y同样被k个哈希函数运算，得到k个哈希值来检查对应的数据位，如果其中任何一个数据位为0，则y不在集合S中，否则y可能存在于S中。

方案具体包括下列步骤：

1、客户端C建立BF_C，服务器建立GBF_S并获取GBF-M。设置集合大小m，元素个数n，安全参数λ，哈希函数H＝{h₀,h₁,…,h_k-1}，分组加解密算法Enc和Dec。GBF生成算法和GBF-M生成算法分别如下所示。

2、密钥协商之前，客户端会向服务器发送包含身份ID的请求，试图获得对服务器的访问权限。服务器验证客户端的身份后，如果服务器同意，那么客户端与服务器参与基于身份的密钥协商协议，双方共同得到分组加密的共享密钥sk。否则服务器拒绝客户端的请求，协议终止。基于身份的密钥协商算法如下：

参数建立阶段：双线性映射

其中G₁是素数q阶加法群，G₂是素数q阶乘法群，P为G₁生成元。

1)KGC随机选取整数

作为私钥(s是群元素，

是群)，选取哈希函数

其中，KGC(key generation center)指密钥产生中心；

2)KGC计算用户的公钥Q_ID＝H₁(ID)和相应的私钥S_ID＝sQ_ID，其中ID为用户的身份；

3)KGC在安全信道下将S_ID发送给具有身份信息ID的用户，用户在基于身份的协议中的公私钥对为(Q_ID,S_ID)，其中Q_ID,S_ID∈G₁。

认证密钥协商阶段：令客户端的公私钥为(Q_A,S_A)，服务器的公私钥对为(Q_B,S_B)。

1)客户端和服务器随机选择私钥

计算出相应的公钥T_A＝aP和T_B＝bP。

2)客户端向服务器发送T_A，服务器向客户端发送T_B。

3)客户端计算出会话密钥K_AB＝H(A,B,K_A,V_A)，其中K_A＝a·T_B，

服务器同样计算出K_BA＝H(A,B,K_B,V_B)，其中K_B＝b·T_A，

显然，

客户端与服务器得到相同的共享密钥K。

3、服务器首先对GBF_S做哈希运算得到hash(GBF_S)，并与GBF-M提取出的hash(GBF_S)进行对比，如果相同则继续对GBF_S[i]进行哈希运算，即hash(GBF_S[i])，产生t bit输出，然后用密钥sk对GBF_S[i]和hash(GBF_S[i])分组加密得到E_i＝Enc_sk(GBF_S[i]||hash(GBF_S[i]))，否则协议停止。服务器与客户端共同参与OT协议，服务器作为发送方将m对(λ+t)bit串(x_i,0,x_i,1)发送给客户端(x_i,0是随机生成的(λ+t)bit串，0≤i≤1)。如果BF_C[i]＝0，客户端则接受随机(λ+t)bit串；如果BF_C[i]＝1，客户端则接受E_i＝Enc_sk(GBF_S[i]||hash(GBF_S[i]))。

值得注意的是，合成的GBF-M由GBF_S和hash(GBF_S)两部分组成，||表示将GarbleBloom Filter中m个λbit串联接起来。

4、客户端建立空白GBF_C∩S，如果BF_C[i]＝0，则

如果BF_C[i]＝1，则客户端解密E_i，即Dec_sk(Enc_sk(GBF_S[i]||hash(GBF_S[i])))得到GBF_S[i]和哈希值hash(GBF_S[i])。然后，客户端对GBF_S[i]哈希并与hash(GBF_S[i])进行比对。如果两个哈希值相同，则使得GBF_C∩S[i]＝GBF_S[i]，否则该过程失败。最终客户端可以用C对GBF_C∩S进行查询，得到两个集合的交集。

本实施例的安全性依赖于基于身份的密钥协商协议的安全性，以及不经意传输协议的安全性。如果DLP问题与CDH问题是数学困难问题，那么密钥协商协议和不经意传输协议是安全的，该实施例方案就能够在恶意客户端用户存在的条件下安全的计算出集合交集，较同类方案安全性更高。

本实施例同时满足了机密性、完整性和可用性。隐私集合交集协议(PSI)是在保证双方各自隐私安全的前提下，计算出两者数据集合的交集，其中只有一方能够计算出交集元素，另外一方无法计算得到交集，并且双方都不能获得或推测出对方除交集以外的任何集合元素，确保了参与双方敏感信息的安全保密。为了抵抗非法用户的恶意攻击，达到隐私保护和安全防御的目的，设计了一种基于Bloom Filter数据结构的隐私集合交集协议，抵御了密钥泄露的风险，减少了加解密的运算量。该协议能够较好的抵抗恶意用户的非法访问和蓄意攻击，并且具备支持较大规模集合数据的运算能力，能有效的计算出数据结果。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims

1.一种可抵抗恶意攻击的隐私集合交集计算方法，包括以下步骤：

步骤一：系统参数建立

客户端建立BF_C，服务器建立GBF_S并获取GBF-M，设置集合大小m，元素个数n，安全参数λ，哈希函数H＝{h₀,h₁,…,h_k-1}，分组加解密算法Enc和Dec；

步骤二：双方密钥协商

客户端向服务器发送包含身份ID的请求，试图获得对服务器的访问权限，服务器对客户端的身份进行验证，若服务器同意客户端的请求，则客户端与服务器参与基于身份的密钥协商协议，双方共同得到分组加密的共享密钥sk；若服务器拒绝客户端的请求，则协议终止；

步骤三：数据传输

根据客户端的请求，服务器向客户端发送数据，客户端通过公开信道接收服务器发送的数据流；

步骤四：计算交集

客户端按照协议计算出与服务器数据集合的交集部分；

所述步骤三包括以下步骤：

1)服务器首先对GBF_S作哈希运算得到hash(GBF_S)，并与GBF-M提取出的hash(GBF_S)进行对比，如果相同则继续对GBF_S[i]进行哈希运算，即hash(GBF_S[i])，产生t bit输出，然后用密钥sk对GBF_S[i]和hash(GBF_S[i])分组加密得到E_i＝Enc_sk(GBF_S[i]||hash(GBF_S[i]))，否则协议停止；

2)服务器与客户端共同参与OT协议，服务器作为发送方将m对(λ+t)bit串(x_i,0,x_i,1)发送给客户端，其中，x_i,0是随机生成的(λ+t)bit串，0≤i≤1；如果BF_C[i]＝0，客户端则接受随机(λ+t)bit串；如果BF_C[i]＝1，客户端则接受E_i＝Enc_sk(GBF_S[i]||hash(GBF_S[i]))；

其中，GBF_S[i]来表示GBF_S中第i个λbit串,BF_C[i]表示BF_C中第i个数据位；

BF_C表示客户端元素集合C生成的Bloom filters,BF_S表示服务器元素集合S生成的Bloom filters,合成的GBF-M由GBF_S和hash(GBF_S)两部分组成，GBF_S表示服务器元素集合S生成的Garbled Bloom Filter，||表示将Garble Bloom Filter中m个λbit串联接起来，h_k-1表示的是第k个哈希函数；

所述步骤四包括以下步骤：

1)客户端建立空白GBF_C∩S，如果BF_C[i]＝0，则GBF_C∩S[i]←{0，1}^λ；如果BF_C[i]＝1，则客户端解密E_i，即Dec_sk(Enc_sk(GBF_S[i]||hash(GBF_S[i])))得到GBF_S[i]和哈希值hash(GBF_S[i])；

2)客户端对GBF_S[i]哈希并与hash(GBF_S[i])进行比对；如果两个哈希值相同，则使得GBF_C∩S[i]＝GBF_S[i]，否则该步骤四结束，最终客户端用C对GBF_C∩S进行查询，得到两个集合的交集。