CN109495465B - 基于智能合约的隐私集合交集方法 - Google Patents

Abstract

本发明涉及基于智能合约的隐私集合交集方法，包括：各参与者使用公钥加密各自的隐私信息，生成密文，将密文发送至除自己外的其他参与者；各参与者根据收到的密文结合各自的密文及私钥计算各自的解密密钥子份额，并且将各自的解密密钥子份额发送到区块链中；通过部署在区块链上的智能合约对解密密钥子份额进行验证计算，验证各参与者发送的解密密钥子份额是否正确，当验证不正确时，则停止解密；当验证正确时，则进行解密。本发明解决了现有隐私集合交集协议中存在的公平性问题，不能有效保证参与者隐私信息的安全性问题，及对于隐私信息量较大的参与者而言，增加参与者的设备的计算开销量导致的运算效率低的问题。

Description

基于智能合约的隐私集合交集方法

技术领域

本发明属于隐私集合交集技术领域，具体涉及基于智能合约的隐私集合交集方法。

背景技术

安全多方计算是互不信任的参与方之间保护隐私的协同计算问题，最终所有的参与者都能获得最终结果，且不知道其他参与者的隐私信息。1982年Yao A C提出了安全两方计算的概念，1987年Goldreich O等人证明了多方隐私保护计算问题在理论上是可解的，并提出了通用的解决方法。其中，隐私集合交集(Private Set Intersection，PSI)作为安全多方计算的特例，受到越来越多学者的关注。

隐私集合交集是信息安全领域的重要内容，也是密码协议设计的基本工具，其在社交网络、人类基因组研究和国家安全等方面有着重要的应用。隐私集合交集允许两个或者多个参与者计算各自输入的交集结果，并且不会泄露自己的隐私信息。2004年FreedmanM J等人提出了基于同态加密和哈希平衡的两方隐私集合交集协议，该协议在半诚实模型和恶意模型中是安全的。2004年Kissner L等人提出更有效的多方隐私集合交集协议。Zhang E等人提出基于声誉系统的服务器辅助的多方隐私集合交集协议，该协议允许参与各方使用不同的加密密钥，不需要公共密钥基础设施，最终所有的用户都可公平的获得交集结果。Vladimir Et Al等人提出了基于1-out-of-2的隐私集合交集协议，该协议在半诚实模型下是安全的。Laine Et Al等人提出一个基于全同态加密的隐私集合交集协议，协议的通信开销较小并且能够抵御恶意敌手的攻击。Peter P等人认识到协议中恶意安全版本存在问题，并展示如何使用低开销的方法解决其存在的问题，同时避免原始协议中的计算瓶颈。

PSI为存在多个参与方在不泄露各自隐私信息的前提下进行协作计算，最终获得信息集合的交集。但现有的隐私集合比较协议还不能有效解参与者之间的公平性问题。

综上，现有技术的隐私集合交集协议存在如下几个主要缺点：

(1)现有隐私集合交集协议不能有效解决参与者的公平性问题。即存在不诚实的参与者可以通过发送假的解密子份额来阻止其他参与者进行解密，而自己却可以得到来自其他参与者的正确解密子份额合成解密密钥进行解密，得到最终结果，或者最后一个发送解密子份额的参与者可以比其他参与者更早进行解密得到最终结果，这对于其他参与者是不公平的。

(2)现有的隐私集合交集协议不能有效的保证参与者隐私信息的安全性。即现有隐私集合交集协议是基于半诚实模型下保证参与者隐私信息的安全性，但是在恶意模型下执行协议时无法有效保证参与者隐私信息的安全性。基于恶意模型执行协议时，无法确认参与者与第三方是可信任的，参与者与第三方合作能将另一方信息恶意破解，参与者的隐私信息随时可能泄露，所以现有隐私集合交集协议无法有效保证在恶意模型下参与者的隐私信息不被泄露。

(3)现有的隐私集合交集协议对于设备的计算开销量大。一方面，现有隐私集合交集协议在进行安全性计算时，虽然保证了协议在半诚实模型下的安全性。但是由于可验证算法的算法复杂度较高，设备的计算开销量大；另一方面，当参与者执行协议时，如果参与者用于计算的隐私信息量较大时，协议的算法运算效率较低，对于设备的负荷量大，对参与者造成不必要的损失。

发明内容

本发明的目的是提供基于智能合约的隐私集合交集方法，用于解决现有隐私集合交集协议不能有效解决参与者的公平性问题，解决现有的隐私集合交集协议不能有效的保证参与者隐私信息的安全性问题，及现有的隐私集合交集协议对于隐私信息量较大的参与者而言，增加参与者的设备的计算开销量导致的运算效率低的问题。

为解决上述技术问题，本发明提出基于智能合约的隐私集合交集方法，包括以下步骤：

1)各参与者使用公钥加密各自的隐私信息，生成密文，将密文发送至除自己外的其他参与者；

2)各参与者根据收到的密文结合各自的密文及私钥计算各自的解密密钥子份额，并且将各自的解密密钥子份额发送到区块链中；

3)通过部署在区块链上的智能合约对解密密钥子份额进行验证计算，验证各参与者发送的解密密钥子份额是否正确，当验证不正确时，则停止解密；当验证正确时，则进行解密。

本发明利用区块链这一平台，利用区块链上部署的智能合约验证各参与者发送的解密密钥子份额，只有在验证正确时才进行解密，对于验证不正确时不进行解密，保证了参与者的公平性；且本发明的隐私集合交集过程是通过区块链完成的，不依赖可信第三方平台，保证参与者隐私信息的安全性；另外，各参与者仅通过自己的设备生成密文和解密密钥子份额，验证过程是由区块链上部署的智能合约完成的，在参与者的隐私信息量较大时也不会额外增加参与者的设备的计算开销量，保证参与者的设备的运算效率。

步骤2)中，各参与者在规定时间内将各自的解密密钥子份额发送到区块链中，保证各参与者及时将解密密钥子份额发送至区块链。

为使每个参与者都有动机诚实地发送正确的解密密钥子份额，在步骤1)之前还包括：各参与者将设定的押金作为保证金提交至区块链；步骤3)中，将解密密钥子份额验证正确的参与者的押金返还，将解密密钥子份额验证不正确的参与者的押金扣除。

步骤1)中各参与者将密文发送至除自己外的其他参与者之前，还包括各参与者向区块链发送承诺值，以保证各参与者发送密文的独立性。

附图说明

图1是本发明的基于智能合约的隐私集合交集示意图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步的说明。

本发明的基于智能合约的隐私集合交集方法，如图1所示，包括以下步骤：

(1)初始化阶段

1)参与者P_i(1≤i≤n)在时间点t_FinalDeposit之前提交押金d以太币到以太坊区块链中，作为保证金；

2)每个参与者P_i都有各自的隐私信息X_i＝{x_i,1,x_i,2...x_i,li}，并生成一个长度为m的布隆过滤器BF_i[m]，将布隆过滤器BF_i[m]中每个位置的值都设置为0，然后对集合中的每个元素使用k个哈希函数H＝{h₁,h₂...h_k}进行哈希，然后将布隆过滤器中对应位置的值设为1，最终，参与者P_i分别得到长度为m的布隆过滤器BF_i[m]。

(2)密钥生成阶段

1)参与者之间进行交互共同约定参数(p,q,g,γ)∈Z_q，其中q为素数；

2)参与者P_i随机选择α_i∈Z_q，设定sk_i＝α_i作为各自的私钥，并计算

发送给其他参与者；

3)每个参与者都各自计算vk＝g,vk_i＝h_i,j＝g^γ,

和

4)每个参与者都拥有公钥pk，私钥sk_i和vk,vk₁,vk₂...vk_n，其中，除了私钥sk_i外，公钥pk和vk,vk₁,vk₂...vk_n都是公开的。

(3)用户协同计算阶段

1)参与者P_i随机选择s_i,j,t_i,j∈Z_q，其中i∈[1,n],j∈[0,m-1]，将各自的隐私信息对应的布隆过滤器进行加密，计算

和

并在时间点t_FinalCommit之前发送承诺值H(y_i||z_i)发送到以太坊区块链中，以保证各参与者P_i发送密文的独立性；

2)所有参与者等到承诺值H(y_i||z_i)出现在区块链中之后，将各自的密文c_i＝(y_i,z_i)发送给其他参与者；

3)每个参与者各自对收到的密文c_i＝(y_i,z_i)进行计算，计算得到c＝(y,z)，具体计算过程如下：

(4)用户解密查询阶段

1)参与者P_i在计算出密文c＝(y,z)之后，计算各自的解密密钥子份额

并在规定时间点t_FinalPublish之前发送到以太坊区块链中；

2)部署在区块链上的智能合约进行验证计算，验证参与者P_i发送的解密密钥子份额ds_i是否正确，如果验证正确，则将之前参与者P_i提交到区块链上的押金退还到参与者P_i的账户中；否则，合约将会对不诚实的用户进行处罚，具体验证的计算过程如下：

当等号左右两边相等时，表示验证正确，当等号左右两边不相等时，表示验证不正确；

3)经过验证之后，如果验证正确，则每个参与者P_i计算

并进行解密，具体解密过程如下所示：

4)参与者P_i计算出

之后，进行计算得到最终结果BF_∩[j]＝BF₁[j]+BF₂[j]+...+BF_n[j]，进行查询计算，参与者P_i对集合X_i中的每个元素使用k个哈希函数H＝{h₁,h₂...h_k}进行哈希，如果布隆过滤器BF_∩[j]中对应位置的值都为n，即BF_∩[j]＝n，则所查元素为集合交集元素。

另外，在以上方法中定义以下三种情况，参与者可以得到返还的押金，具体如下：

①截至时间点t_FinalDeposit之后，存在没有交押金的参与者，则返还押金给参与者；

②在时间点t_FinalCommit之后，存在没有发送承诺值到区块链的参与者，返还押金给参与者；

③当超过时间点t_FinalPublish之后，存在参与者没有公开解密密钥子份额，则返还押金给参与者。

本发明结合部署在区块链上的智能合约，提出一种公平的隐私集合交集方法，该方法的参与者可以公平地进行隐私集合交集的计算而不依赖任何可信第三方平台(指可信但能够泄密的第三方平台，而区块链无法泄密)。具体的说，利用区块链上部署的智能合约验证各参与者发送的解密密钥子份额，只有在验证正确时才进行解密，对于验证不正确时不进行解密，保证了参与者的公平性；另外，只要参与者诚实的执行协议，押金就会退还到参与者的账户中，否则，将会对不诚实的参与者进行处罚，换言之，只要参与者存在不诚实的行为，他们将会受到经济处罚，这使得每个参与者都有动机来诚实地执行协议，保证了诚实参与者的个人利益，解决了参与者之间的公平性问题。

避免出现用户隐私泄露问题，增强了隐私集合交集计算的安全性，本发明将门限同态加密算法与隐私集合交集结合，参与者进行交互产生公钥，然后使用公钥加密各自的隐私信息并发送给其他参与者，所有参与者对密文进行计算，利用密文得到各自的解密密钥子份额，待验证通过后，进行解密获得最终结果。由于本发明使用了门限同态加密算法，在隐私集合交集的执行过程中参与者发送与接收的都是密文，基于离散对数的安全性，参与者不能破解其他参与者发送的密文信息，确保不会泄露参与者的隐私信息。

下面对本实施例利用的门限同态加密算法进行介绍：

门限同态加密为n个参与者P_i(1≤i≤n)知道公钥pk和自己的私钥sk_i，参与者使用公钥pk对各自的隐私信息进行加密并发送给其他参与者，参与者可以对密文进行同态计算，所有参与者需要用各自的私钥sk_i来计算出最终解密密钥ds，最终所有的参与者可以进行解密计算，得到最终结果。门限同态加密分为密钥产生、加密、解密和密文同态计算四部分：

①生成密钥：输入1ⁿ，生成公钥pk和自己的私钥sk_i；

②加密计算：存在加密算法E、公钥pk和明文M，进行加密计算得到密文c＝E_pk(M)；

③解密计算：存在门限同态解密算法Π_DEC，n个参与者P_i(1≤i≤n)输入各自的私钥sk_i，得到最终解密密钥ds对各自的密文进行解密计算，得到明文M；

④对密文进行计算具体介绍：密文为c_i＝(y_i,z_i)，随机选择s_i,t_i∈Z_q和明文M₁,M₂...,M_n(s_i,t_i对应的是用户协同计算阶段中的s_i,j,t_i,j，M₁,M₂...,M_n对应的是用户协同计算阶段中的BF₁[j],BF₂[j],…,BF_n[j])，具体计算公式如下：

Claims (4)

1.基于智能合约的隐私集合交集方法，其特征在于，包括以下步骤：

1)各参与者使用公钥加密各自的隐私信息，生成密文，将密文发送至除自己外的其他参与者；具体包括：

参与者之间进行交互共同约定参数(p,q,g,γ)∈Z_q，其中q为素数；

参与者P_i随机选择α_i∈Z_q，设定sk_i＝α_i作为各自的私钥，并计算

发送给其他参与者；

每个参与者都各自计算vk＝g,vk_i＝h_i,j＝g^γ,

和

每个参与者都拥有公钥pk，私钥sk_i和vk,vk₁,vk₂...vk_n，其中，除了私钥sk_i外，公钥pk和vk,vk₁,vk₂...vk_n都是公开的；

每个参与者各自对收到的密文c_i＝(y_i,z_i)进行计算，计算得到c＝(y,z)，具体计算过程如下：

2)各参与者根据收到的密文结合各自的密文，采用门限同态解密算法，输入各自的私钥，计算各自的解密密钥子份额

并且将各自的解密密钥子份额发送到区块链中；

3)通过部署在区块链上的智能合约对解密密钥子份额进行验证计算，验证各参与者发送的解密密钥子份额是否正确，具体验证的计算过程如下：

当等号左右两边相等时，表示验证正确，当等号左右两边不相等时，表示验证不正确；当验证不正确时，则停止解密；当验证正确时，则进行解密。

2.根据权利要求1所述的基于智能合约的隐私集合交集方法，其特征在于，步骤2)中，各参与者在规定时间内将各自的解密密钥子份额发送到区块链中。

3.根据权利要求1所述的基于智能合约的隐私集合交集方法，其特征在于，在步骤1)之前还包括：各参与者将设定的押金作为保证金提交至区块链；步骤3)中，将解密密钥子份额验证正确的参与者的押金返还，将解密密钥子份额验证不正确的参与者的押金扣除。

4.根据权利要求1所述的基于智能合约的隐私集合交集方法，其特征在于，步骤1)中各参与者将密文发送至除自己外的其他参与者之前，还包括：各参与者向区块链发送承诺值，具体包括：

参与者P_i随机选择s_i,j,t_i,j∈Z_q，其中i∈[1,n],j∈[0,m-1]，将各自的隐私信息对应的布隆过滤器进行加密，计算

和

并在时间点t_FinalCommit之前发送承诺值H(y_i||z_i)发送到以太坊区块链中。

Images