CN107463849A - 基于单服务器的隐私信息恢复方法 - Google Patents

Abstract

本发明提出了一种基于单服务器的隐私信息恢复方法，用于解决现有隐私信息恢复方法中存在的计算量和通信量大的技术问题。实现步骤为：用户设置两个大素数作为参数，使用这两个参数，获取解密私钥，通过模乘法运算构造二元多项式，对索引进行加密，得到索引密文，由索引密文生成询问，发送给数据服务器；数据服务器对询问中的索引密文进行基于截断多项式的拉格朗日插值多项式处理，生成响应，并将其返回给用户；用户通过解密私钥，对数据进行恢复，得到本次查询的数据结果。可用于用户查询数据时对查询索引的保护。

Description

基于单服务器的隐私信息恢复方法

技术领域

本发明属于数据处理技术领域，涉及一种隐私信息恢复方法，具体涉及一种基于单服务器的隐私信息恢复方法，可用于用户查询数据时对查询索引的保护。

背景技术

网络信息时代的发展使得日常生活中数据爆发式增长，大规模数据库往往以委托计算的方式外包给第三方，因此，用户在实现检索功能时，存在信息泄露的风险。实现检索功能最简单的方法就是对存储在数据服务器上的信息进行加密，当用户想要获得某一条数据时，数据服务器简单地将整个数据库发送给用户，用户自己实现检索功能，但这种方法的通信量和计算量很大，不实用。因此，需要一种通信量和计算量小的保护用户隐私的方法，其中一种典型的方法为隐私信息恢复方法。

隐私信息恢复方法有两种类型：基于多服务器背景的隐私信息恢复方法和基于单服务器背景的隐私信息恢复方法。其中，基于多服务器背景的隐私信息恢复方法中，数据库被复制到多个服务器上，查询由服务器联合应答，第一个隐私信息恢复方法是Chor等人在1995年提出的，是一种基于多服务器背景的隐私信息恢复方法，为了实现对用户隐私的保护，其服务器必须是可信的并且不能被腐蚀。

基于单服务器背景的隐私信息恢复方法，将索引数据对存储在数据服务器上，当用户想要获得某一条数据时，生成询问并发送给数据服务器，数据服务器对询问进行处理，生成响应并返回给用户，用户利用响应进行数据恢复，得到需要的数据。这种方法中，数据服务器实现检索功能，相对于用户实现检索功能，在一定程度上减少了通信量和计算量，但仍不能满足实际应用的需要。例如，XunYi，Mohammed Kaosar，Russell Paulet，ElisaBertino在论文“Single-Database Private Information Retrieval from FullyHomomorphic Encryption”(IEEE Transactions on knowledge and data engineering,2013)中提出了一种基于全同态加密的隐私信息恢复方法。该方法的实现过程是：用户随机选择公钥和私钥，在生成询问过程中，用有噪音的全同态加密算法加密查询索引，将询问上传给数据服务器，数据服务器对询问进行处理，将响应返回给用户，用户通过全同态的解密算法对数据进行恢复，得到查询索引对应的数据。然而该全同态的隐私信息恢复方法批处理功能有限，用户对索引的加密过程复杂，导致计算量大，且数据服务器生成的响应尺寸大，导致通信量大。

发明内容

本发明的目的在于克服上述现有技术存在的缺陷，提出了一种基于单服务器的隐私信息恢复方法，用于解决现有隐私信息恢复方法中存在的计算量和通信量大的技术问题。

为实现上述技术目的，本发明采取的技术方案包括如下步骤：

(1)参数设置：用户根据安全参数随机生成k比特长的大素数p和q，其中，k≥1024；

(2)用户获取解密私钥：

(2.1)用户计算RSA模数N，N＝pq，并构造模N意义下的剩余类环

(2.2)用户保存从中均匀且随机选择出的整数a和b，并将其作为解密私钥；

(3)用户生成询问，并将其发送给数据服务器：

(3.1)用户定义查询索引i，定义数据服务器保存的索引数据对为{(i,a_i)}，其中，查询索引i为隐私信息，1≤i≤n，n为索引数据对的个数；

(3.2)用户通过模乘法运算构造二元多项式：用户均匀随机且独立地选取9个整数系数并根据a_st构造二元多项式其中，s,t＝0,1,2；

(3.3)用户利用二元多项式f(x,y)，计算含有根(a,b)的二元多项式F(x,y)：F(x,y)≡f(x,y)-f(a,b)(modN)；

(3.4)用户对查询索引i进行加密，得到索引密文c(x,y)≡F(x,y)+i(modN)；

(3.5)用户计算整数u≡a³(modN)和整数v≡b³(modN)，将u、v、模数N和索引密文c(x,y)进行组合，得到(u,v,N,c(x,y))，令其作为询问，并发送给数据服务器；

(4)数据服务器生成响应，并将其返回给用户：

(4.1)数据服务器获取包含数据a_i的二元多项式：

数据服务器获取询问(u,v,N,c(x,y))中的模数N、整数u和整数v对密文索引c(x,y)进行基于截断多项式的拉格朗日插值多项式处理，得到包含数据a_i的二元多项式g(x,y)：

其中，j为整数，1≤j≤n；

(4.2)数据服务器将二元多项式g(x,y)作为响应，并返回给用户；

(5)用户进行数据恢复：

用户将解密私钥a和b代入多项式g(x,y)，得到本次查询的数据结果a_i。

本发明与现有技术相比，具有以下优点：

1.本发明由于在生成询问过程中，用户通过模乘法运算构造二元多项式，对索引进行加密，实现简单，从而避免了现有隐私信息恢复方法中加密方法的复杂性，减少了用户的本地计算量；而且在对数据进行恢复过程中每次查询可恢复大量的比特信息，从而避免了现有隐私信息恢复方法中每次查询仅能恢复少量比特的问题，极大提高了隐私数据信息恢复方法的批处理能力。

2.本发明由于在生成响应过程中，数据服务器对询问中的索引密文进行基于截断多项式的拉格朗日多项式处理，其通信量是常数级的，从而避免了现有隐私信息恢复方法中数据扩展大的问题，降低了用户的通信量。

附图说明

附图1为本发明的实现流程图。

具体实施方式

以下结合附图和具体实施例，对本发明进行进一步详细说明。

参照图1，一种基于单服务器的隐私信息恢复方法，包括如下步骤：

步骤1)参数设置：用户根据安全参数随机生成k比特长的大素数p和q，其中，k≥1024；

用户根据安全参数将k＝1024作为一个具体实施例；

步骤2)用户获取解密私钥：

步骤2.1)用户计算RSA模数N，N＝pq，并构造模N意义下的剩余类环

步骤2.2)用户保存从中均匀且随机选择出的整数a和b，并将其作为解密私钥；

步骤3)用户生成询问，并将其发送给数据服务器：

步骤3.1)用户定义查询索引i，数据服务器保存的索引数据对为{(i,a_i)}，1≤i≤n，n为索引数据对的个数，其中查询索引i为隐私信息；

取n＝100，i＝6作为一个具体实施例；

步骤3.2)用户通过模乘法运算构造二元多项式：用户均匀随机且独立地选取9个整数系数并根据a_st构造二元多项式其中，s,t＝0,1,2；

步骤3.3)用户利用二元多项式f(x,y)，计算含有根(a,b)的二元多项式F(x,y)：F(x,y)≡f(x,y)-f(a,b)(mod N)；

步骤3.4)用户对查询索引i进行加密，得到索引密文c(x,y)≡F(x,y)+i(mod N)；

步骤3.5)用户计算整数u≡a³(mod N)和整数v≡b³(mod N)，将u、v、模数N和索引密文c(x,y)进行组合，得到(u,v,N,c(x,y))，令其作为询问，并发送给数据服务器；

上述生成询问过程中，用户通过模乘法运算构造二元多项式，对索引进行加密，实现简单，避免了现有隐私信息恢复方法中加密方法的复杂性，减少了用户的本地计算量；

步骤4)数据服务器生成响应，并将其返回给用户：

步骤4.1)数据服务器获取包含数据a_i的二元多项式：

数据服务器获取询问(u,v,N,c(x,y))中的模数N、整数u和整数v对密文索引c(x,y)进行基于截断多项式的拉格朗日插值多项式处理，得到包含数据a_i的二元多项式g(x,y)：

其中，j为整数，1≤j≤n；

上述二元多项式g(x,y)中使用模数N、整数u和整数v，构造出二元截断多项式环：

该环中的元素为关于变量x和y的次数均不超过2、系数个数为9项的二元多项式。二元截断多项式环中的加法运算是普通的多项式相加(即，对应系数相加)，并把相加的结果取模N运算；二元截断多项式环中的乘法运算是普通的多项式相乘，并把乘得的多项式中的x³项替换为u，x⁴项替换为ux，y³项替换为v，y⁴项替换为vy，然后再对多项式的系数取模N运算，并把相加的结果取模N运算；在计算二元多项式g(x,y)过程中，除法运算是指求模N的逆元的乘法运算。

上述生成响应过程中，数据服务器对对询问中的索引密文进行基于截断多项式的拉格朗日多项式处理，其通信量是常数级的，避免了现有隐私信息恢复方法中数据扩展大的问题，降低了用户的通信量。

步骤4.2)数据服务器将二元多项式g(x,y)作为响应，并返回给用户；

步骤5)用户进行数据恢复：

用户将解密私钥a和b代入多项式g(x,y)，得到本次查询的数据结果a_i：

由可知，必存在二元多项式α(x,y)和使下式成立：

由a³-u≡0(mod N)，b³-v≡0(mod N)，将a和b代入g(x,y)得到：

其中，c(a,b)≡F(a,b)+i(mod N)≡i(mod N)；

展开二元多项式g(a,b)得到：

本实施例中，加法中除第6项a₆外，其余各项均为零，于是g(a,b)≡a₆(mod N)，得到数据a₆。

上述在对数据进行恢复过程中的，每次查询可恢复大量的比特信息，避免了现有隐私信息恢复方法中每次查询仅能恢复少量比特的问题，极大提高了隐私数据信息恢复方法的批处理能力；

以上描述仅是本发明的一个具体实例，显然对于本领域的专业人士来说，在了解了本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上的各种修正和改变，但是这些基于本发明思想修正和改变仍在本发明的权利要求保护范围之内。

Claims (1)

1.一种基于单服务器的隐私信息恢复方法，实现步骤为：

(1)参数设置：用户根据安全参数随机生成k比特长的大素数p和q，其中，k≥1024；

(2)用户获取解密私钥：

(2.1)用户计算RSA模数N，N＝pq，并构造模N意义下的剩余类环

(2.2)用户保存从中均匀且随机选择出的整数a和b，并将其作为解密私钥；

(3)用户生成询问，并将其发送给数据服务器：

(3.1)用户定义查询索引i，定义数据服务器保存的索引数据对为{(i,a_i)}，其中，查询索引i为隐私信息，1≤i≤n，n为索引数据对的个数；

(3.2)用户通过模乘法运算构造二元多项式：用户均匀随机且独立地选取9个整数系数并根据a_st构造二元多项式其中，s,t＝0,1,2；

(3.3)用户利用二元多项式f(x,y)，计算含有根(a,b)的二元多项式F(x,y)：F(x,y)≡f(x,y)-f(a,b)(modN)；

(3.4)用户对查询索引i进行加密，得到索引密文c(x,y)≡F(x,y)+i(modN)；

(3.5)用户计算整数u≡a³(modN)和整数v≡b³(modN)，将u、v、模数N和索引密文c(x,y)进行组合，得到(u,v,N,c(x,y))，令其作为询问，并发送给数据服务器；

(4)数据服务器生成响应，并将其返回给用户：

(4.1)数据服务器获取包含数据a_i的二元多项式：

数据服务器获取询问(u,v,N,c(x,y))中的模数N、整数u和整数v对密文索引c(x,y)进行基于截断多项式的拉格朗日插值多项式处理，得到包含数据a_i的二元多项式g(x,y)：

<mrow> <mi>g</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>,</mo> <mi>y</mi> <mo>)</mo> </mrow> <mo>&amp;equiv;</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <msub> <mi>a</mi> <mi>i</mi> </msub> <munder> <mo>&amp;Pi;</mo> <mrow> <mi>j</mi> <mo>&amp;NotEqual;</mo> <mn>1</mn> </mrow> </munder> <mfrac> <mrow> <mi>c</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>,</mo> <mi>y</mi> <mo>)</mo> </mrow> <mo>-</mo> <mi>j</mi> </mrow> <mrow> <mi>i</mi> <mo>-</mo> <mi>j</mi> </mrow> </mfrac> <mrow> <mo>(</mo> <mi>mod</mi> <mi> </mi> <mi>N</mi> <mo>,</mo> <msup> <mi>x</mi> <mn>3</mn> </msup> <mo>-</mo> <mi>u</mi> <mo>,</mo> <msup> <mi>y</mi> <mn>3</mn> </msup> <mo>-</mo> <mi>v</mi> <mo>)</mo> </mrow> <mo>,</mo> </mrow>

其中，j为整数，1≤j≤n；

(4.2)数据服务器将二元多项式g(x,y)作为响应，并返回给用户；

(5)用户进行数据恢复：

用户将解密私钥a和b代入多项式g(x,y)，得到本次查询的数据结果a_i。