CN110176983A - 基于全同态加密的隐私保护关联规则挖掘方法 - Google Patents

Abstract

本发明公开了一种基于全同态加密的隐私保护关联规则挖掘方法。其方案是：1)设置参数；2)数据拥有者上传原始数据，挖掘者上传挖掘事务；3)两个云服务器计算内积值密文向量和查询支持度密文；4)两个云服务器计算支持度比较结果密文；5)挖掘者和两个云服务器合作，将支持度比较结果明文传输给挖掘者；6)两个云服务器对子查询密文向量重复执行4)，得到子支持度密文向量；7)两个云服务器计算置信度结果密文向量；8)挖掘者和两个云服务器对置信度结果密文向量中每一个分量重复执行6)；9)挖掘者得到结果。本发明降低了云服务器的解密能力，提高了安全性且降低了通信量，可用于商场的购物篮分析、云平台服务推送、身体分析场景。

Description

基于全同态加密的隐私保护关联规则挖掘方法

技术领域

本发明属于计算机技术领域，涉及一种隐私保护关联规则挖掘方法，可应用于商场的购物篮分析、云平台服务推送、身体健康分析场景。

背景技术

云计算的计算能力将成为一种新的能源，因为它具有支持大量数据存储分析和处理大量数据的出色能力。数据挖掘是云计算的一个重要应用场景，关联规则挖掘是数据挖掘中一个非常重要的技术。低门槛云服务访问可以节省大量数据收集成本，云数据库收集大量数据可以显着提高挖掘结果的准确性和有效性。然而，这样将不可避免地收集到用户的大量敏感信息，并且这些敏感信息的泄露将损害用户的隐私权益。因此，在关联规则挖掘过程中使用隐私保护技术是非常有必要的。全同态加密是一种安全性很高的隐私保护加密技术，它允许在不解密密文的情况下对明文进行计算。使用全同态加密技术会产生较大的计算量，所以这一技术的实现要将计算外包给云服务器等第三方平台。然而，由于云计算的用户数量庞大，在关联规则挖掘过程中会产生大量的通信量，所以降低挖掘过程中产生的通信量是势在必行的。

Lin Liu和Jinshu Su等人在论文“Privacy-Preserving Mining of AssociationRule on Outsourced Cloud Data from Multiple Parties”(Australasian Conferenceon Information Security&Privacy.2018.)提出了一种安全性很高的隐私保护关联规则挖掘方法。该方法使用了一种具有双解密机制的同态加密系统，在系统初始化时定义了系统模型包括密钥生成中心、第一云服务器C_A、第二云服务器C_B、数据拥有者和数据挖掘者。数据拥有者用自己的公钥加密数据并上传到C_A的云数据库存储。C_A负责存储加密数据和提供主要计算。C_B掌握有解密密码系统中任何密文的主密钥，负责提供C_A无法实现的计算操作。挖掘者加密查询数据上传给C_A请求服务，C_A和C_B联合执行安全计算协议得到关联规则挖掘结果。然后将结果加密后安全的传送给数据挖掘者。该方法的不足之处在于系统模型中C_B掌握的解密能力过于强大，严重威胁了数据拥有者和数据挖掘者的隐私，而且采用的密码系统和安全计算协议会导致云服务器之间的通信量很大，降低了效率。

发明内容

本发明的目的在于提出一种基于全同态加密的隐私保护关联规则挖掘方法，旨在解决上述系统模型中存在的云服务器解密权限过高的问题，同时降低通信量，提高效率。

本发明的技术思路是：将Paillier密码系统中的私钥基于乘法分成两部分，将这两部分私钥分别传输给两个云服务器C_A和C_B，以降低云服务器解密权限；通过统一加密公钥和缩短密文长度，降低云服务器之间通信交互的次数和单次通信交互的通信量，实现安全、高效的隐私保护关联规则挖掘。

根据上述技术思路，实现本发明目的采取的技术方案包括如下步骤：

(1)系统初始化：

(1a)密钥生成中心根据Paillier全同态加密方法，生成系统参数，整数N和预私钥λ；

(1b)密钥生成中心生成第一个随机整数k_r，满足gcd(k_r,N)＝1，计算出第一子私钥λ₁和第二子私钥λ₂，满足λ₁×λ₂＝k_r×λ，确定私钥s_k＝(λ₁,λ₂)，其中，k_r≠0，gcd(k_r,N)是k_r和N的最大公约数；

(1c)密钥生成中心生成第二个随机整数k_p，计算公共模数N²，从中选取一个成员g，满足和gcd(k_t,N)＝1两个条件，确定公钥p_k＝(N,g)，其中，k_p为{1,2,...,λ}中任意一个，gcd(x,N)是整数x和N的最大公约数，公开整数k_t＝(g^krλ mod N²-1)/N；

(1d)密钥生成中心将公钥p_k和公开整数k_t公布到公共信道，将第一子私钥λ₁安全的传递给第一云服务器C_A，将第二子私钥λ₂安全的传递给第二云服务器C_B，其中，C_A和C_B是两个不共谋的服务器；

(2)数据拥有者利用p_k公钥对原始明文向量集合R＝{t₁,t₂,...,t_i,...,t_n}中的向量加密并上传到第一云服务器C_A的云数据库中，云数据库表示为其中，是利用公钥p_k对第i个原始明文向量t_i加密得到的第i个原始密文向量，利用公钥p_k对向量加密是对该向量各分量值加密，原始明文向量t_i长度为m且各分量值为0或1，满足 是m的二进制比特长，是N的二进制比特长，n是云数据库中原始密文向量的个数，i∈{1,2,...,n}；

(3)数据挖掘者上传挖掘的事务：

(3a)数据挖掘者定义查询向量q＝(q₁,q₂,...,q_j,...,q_m)、支持度门限值为整数T₁和置信度门限值为有理数T₂＝α/β，挖掘者根据查询向量q，生成子查询向量集合Q＝{q₁,q₂,...,q_v,...,q_u}，使用公钥p_k对查询向量q、T₁、分子α和分母β、子查询向量q_v分别进行加密，得到查询密文向量支持度门限值密文分子密文和分母密文子查询密文向量集合其中，q_j是查询向量q的第j个分量，q_v是第v个子查询向量，是第v个子查询密文向量，q、q_v和长度均为m且q的各分量值为0或1，v∈{1,2,...,u}，u是子查询密文向量集合Q₁中密文向量的个数，α和β是整数，0＜T₁＜n，0＜T₂＜1；

(3b)数据挖掘者将支持度门限值密文分子密文和分母密文子查询密文向量集合Q₁上传给第一云服务器C_A；

(4)两个云服务器C_A和C_B利用云数据库中n个原始密文向量和查询密文向量分别计算查询向量q和t_i的内积值密文将这n个密文组成内积值密文向量

(5)两个云服务器C_A和C_B利用查询密文向量和内积值密文向量计算出查询向量q的查询支持度密文

(6)两个云服务器C_A和C_B利用查询支持度密文和支持度门限值密文计算支持度比较结果密文

(7)两个云服务器C_A和C_B将支持度比较结果密文的支持度比较结果明文h_q安全地传输给挖掘者：

(7a)数据挖掘者选取两个随机数w_q和w'_q，利用公钥p_k加密两随机数，得到第一传输随机密文和第二传输随机密文并发送给第一云服务器C_A，其中， gcd(x,N)是两整数x和N的最大公约数；

(7b)第一云服务器C_A利用和计算混淆结果密文利用子私钥λ₁部分解密和得到中间随机密文和部分混淆结果密文并将两者发送给第二云服务器C_B，其中，

(7c)第二云服务器C_B利用子私钥λ₂完全解密和得到混淆结果和第一传输随机数w_q，并根据这两者计算出传输信息ο_p，将ο_p发送给挖掘者，其中ο_p＝(w_q×(h_q+w'_q))modN；

(7d)挖掘者使用两个随机数w_q、w'_q和传输信息ο_p还原出支持度比较结果明文h_q，其中，还原计算为h_q＝(ο_p×w_q ^-1-w'_q)modN；

(8)两个云服务器C_A和C_B对u个子查询密文向量重复执行步骤(4)和步骤(5)，得到子支持度密文向量其中，是子查询向量q_v在云数据库中的支持度密文；

(9)两个云服务器C_A和C_B利用子支持度密文向量S的第v个分量与查询支持度密文分母密文分子密文计算出置信度结果密文u个置信度结果密文组成置信度结果密文向量

(10)两个云服务器C_A、C_B和数据挖掘者对置信度结果密文向量θ中的每一个分量重复执行步骤(7)，将置信度结果明文θ_v安全传输给挖掘者；

(11)数据挖掘者根据支持度比较结果明文h_q判断关联规则挖掘的结果：

若h_q＝1，则查询向量q对应项目集是频繁项目集，执行(12)，

若h_q＝0，则查询向量q对应项目集不是频繁项目集，且子查询向量q_v对应的项目集之间不存在强关联规则；

(12)数据挖掘者根据置信度结果明文θ_v判断子查询向量q_v对应项目集与差向量q-q_v对应项目集之间是否存在强关联规则：

若θ_v＝1，则子查询向量q_v对应项目集与差向量q-q_v对应项目集之间是强关联规则，

若θ_v＝0，则子查询向量q_v对应项目集与差向量q-q_v对的项目集之间不是强关联规则。

本发明与现有技术相比，具有如下优点：

1.通信量较低。

本发明使用Paillier密码技术代替原方案的中BCP密码技术，可以有效的减少两个云服务器之间通信交互的次数，并且降低了单个密文的长度，因此可以显著的降低两个云服务器之间的通信开销。

2.安全性较高。

为了避免了原方案中云服务器C_B掌握的主密钥的解密能力过于强大，进而严重威胁数据拥有者和数据挖掘者个人隐私的情况，本发明将私钥分解成两部分，分别传输给两个云服务器C_A和C_B，限制了两个云服务器C_A和C_B的解密能力，保护了数据拥有者和数据挖掘者个人隐私。

附图说明

图1是本发明的实现流程图。

图2是本发明中使用的系统模型图。

具体实施方式

以下结合附图对本发明进行详细说明，

参照图2，本发明的系统模型中存在五部分实体，分别为密钥生成中心、第一云服务器C_A、第二云服务器C_B、数据拥有者和数据挖掘者，其中，密钥生成中心负责生成公钥p_k、私钥s_k和公开整数k_t，将公钥p_k和公开整数k_t公布到公共信道，将第一子私钥λ₁传送给第一云服务器，将第二子私钥λ₂传送给第二云服务器，数据拥有者使用公钥加密原始数据并上传给第一云服务器C_A，数据挖掘者生成挖掘事务上传给第一云服务器C_A，两个云服务器C_A和C_B合作计算数据挖掘者的查询需求。

参照图1，本实例的实现步骤如下：

步骤1，系统初始化。

(1.1)密钥生成中心根据安全需求，生成两个素数p和q，且满足根据素数p和q，计算整数N＝p×q，计算N的Carmichael函数值λ＝lcm(p-1,q-1)，其中，和分别是素数p和q的二进制比特长，lcm(p-1,q-1)是p-1和q-1最小公倍数；

(1.2)密钥生成中心生成第一个随机整数k_r，满足gcd(k_r,N)＝1，计算出第一子私钥λ₁和第二子私钥λ₂，满足λ₁×λ₂＝k_r×λ，确定私钥s_k＝(λ₁,λ₂)，其中，k_r≠0，gcd(k_r,N)是k_r和N的最大公约数；

(1.3)密钥生成中心生成第二个随机整数k_p，计算公共模数N²，从中选取一个成员g，满足和gcd(k_t,N)＝1两个条件，确定公钥p_k＝(N,g)，其中，k_p为{1,2,...,λ}中任意一个，gcd(x,N)是整数x和N的最大公约数，公开整数

(1.4)密钥生成中心将公钥p_k和公开整数k_t公布到公共信道，将第一子私钥λ₁安全的传递给第一云服务器C_A，将第二子私钥λ₂安全的传递给第二云服务器C_B，其中，C_A和C_B是两个不共谋的服务器；

在实际场景中，为了保证密文的安全性，素数p和q的二进制比特长通常选取1536bits，N的二进制比特长为3072bits，其他参数的数量级也非常大。

步骤2，数据拥有者上传原始数据到云数据库。

(2.1)数据拥有者选取第一加密随机数集合R₁＝{ρ_1,1,ρ_1,2,...,ρ_1,i,...,ρ_1,n}，ρ_1,i是R₁中的第i个向量，其中，ρ_1,i＝(ρ_1,i,1,ρ_1,i,2,...,ρ_1,i,j,...,ρ_1,i,m)，ρ_1,i,j是ρ_1,i的第j个分量，ρ_1,i,j是{1,2,...,N-1}中的随机数；

(2.2)数据拥有者根据公钥p_k和R₁，使用Paillier方法对原始明文向量集合R＝{t₁,t₂,...,t_i,...,t_n}中的第i个原始明文向量t_i加密，即数据拥有者根据公钥p_k和R₁使用Paillier方法对t_i＝(t_i,1,t_i,2,...,t_i,j,...,t_i,m)的每个分量t_i,j分别加密为得到第i个原始密文向量其中，t_i,j∈{0,1}，n是原始明文向量的个数，m是原始明文向量的长度，且满足 是m的二进制比特长，是N的二进制比特长，的计算式如下，

i∈{1,2,...,n}，j∈{1,2,...,m}；

(2.2)数据拥有者将加密的结果上传到第一云服务器C_A的云数据库，其中，云数据库表示为

本实例使用t₁＝(1,1,1,0)，t₂＝(0,1,1,0)，t₃＝(1,0,0,0)，t₄＝(0,1,0,1)，t₅＝(1,1,1,1)表示原始明文向量，使用 表示云数据库中的原始密文向量。

步骤3，数据挖掘者上传挖掘的事务。

(3.1)数据挖掘者定义查询向量q＝(q₁,q₂,...,q_j,...,q_m)、支持度门限值T₁和置信度门限值T₂＝α/β，其中，q_j是查询向量q的第j个分量，q_j∈{0,1}，T₁、α和β是整数，0＜T₁＜n，0＜T₂＜1；

(3.2)数据挖掘者根据查询向量q，生成子查询向量集合Q＝{q₁,q₂,...,q_v,...,q_u}，其中，q_v是第v个子查询向量，其实现如下，

(3.2.1)根据查询向量q＝(q₁,q₂,...,q_j,...,q_m)中分量值为1的下标j，生成下标集合X；

(3.2.2)生成下标集合X的u个非空真子集Y_v，v∈{1,2,...,u}；

(3.2.3)根据非空真子集Y_v，生成第v个子查询向量q_v＝(q_v,1,q_v,2,...,q_v,j,...,q_v,m)，其中，q_v,j是子查询向量q_v的第j个分量，若j∈Y_v，q_v,j为1，否则，q_v,j为0，j∈{1,2,...,m}，v∈{1,2,...,u}；

(3.2.4)将u个子查询向量q_v组成集合Q＝{q₁,q₂,...,q_v,...,q_u}，v∈{1,2,...,u}；

(3.3)数据挖掘者选取第二加密随机集合R₂＝{ρ_2,1,ρ_2,2,...,ρ_2,v,...,ρ_2,u}，ρ_2,v是R₂中的第i个向量，第一临时随机数向量χ₁＝(χ_1,1,χ_1,2,...,χ_1,j,...,χ_1,m)，门限值随机数σ₁，分子随机数ρ_α，分母随机数ρ_β，其中，ρ_2,v＝(ρ_2,v,1,ρ_2,v,2,...,ρ_2,v,j,...,ρ_2,v,m)，ρ_2,v,j是ρ_2,v的第j个分量，χ_1,j是χ₁的第j个分量，χ_1,j，σ₁，ρ_α，ρ_β，ρ_2,v,j均是{1,2,...,N-1}中的随机数，j∈{1,2,...,m}，v∈{1,2,...,u}；

(3.4)数据挖掘者根据公钥p_k和(3.3)中的随机数使用Paillier方法，对查询向量q、支持度门限值T₁、分子α和分母β、第v个子查询向量q_v分别加密，得到查询密文向量支持度门限值密文分子密文和分母密文第v个子查询密文向量其中，是的第j个分量，是的第j个分量， j∈{1,2,...,m}，v∈{1,2,...,u}；

(3.5)数据挖掘者将查询密文向量支持度门限值密文分子密文和分母密文u个子查询密文向量全部上传给第一云服务器C_A，v∈{1,2,...,u}。

本实例使用q＝(0,1,1,0)作为查询向量，取T₁＝3，α＝4，β＝5，生成的子查询向量为q₁＝(0,0,1,0)和q₂＝(0,1,0,0)，加密得到

步骤4，两个云服务器C_A和C_B利用查询密文向量和n个原始密文向量分别计算查询向量q与n个原始明文向量t_i的n个内积值密文并将这n个内积值密文组成内积值密文向量

(4.1)第一云服务器C_A选取第三加密随机向量集合R₃＝{ρ_3,1,ρ_3,2,...,ρ_3,i,...,ρ_3,n}和第四加密随机向量集合R₄＝{ρ_4,1,ρ_4,2,...,ρ_4,i,...,ρ_4,n}，ρ_3,i是R₃中第i个向量，ρ_4,i是R₄中第i个向量，其中，ρ_3,i＝(ρ_3,i,1,ρ_3,i,2,...,ρ_3,i,j,...,ρ_3,i,m)，ρ_4,i＝(ρ_4,i,1,ρ_4,i,2,...,ρ_4,i,j,...,ρ_4,i,m)，ρ_3,i,j是ρ_3,i的第j个分量，ρ_4,i,j是ρ_4,i的第j个分量，ρ_3,i,j和ρ_4,i,j是{1,2,...,N-1}中的随机数，i∈{1,2,...,n}j∈{1,2,...,m}；

(4.2)第一云服务器C_A选取第一随机向量r_i＝(r_i,1,r_i,2,...,r_i,j,...,r_i,m)和第二随机向量γ_i＝(γ_i,1,γ_i,2,...,γ_i,j,...,γ_i,m)，根据公钥p_k、ρ_3,i和ρ_4,i，使用Paillier加密方法将r_i和γ_i加密，得到第一随机密文向量和第二随机密文向量其中，r_i,j是r_i的第j个分量，γ_i,j是γ_i的第j个分量，是的第j个分量，是的第j个分量，和的计算式如下，

(4.3)第一云服务器C_A利用对进行混淆，得到第一混淆向量利用对进行混淆，得到第二混淆向量其中，为的第j个分量，为的第j个分量， 为的第j个分量，为的第j个分量，

(4.4)第一云服务器C_A使用第一子私钥λ₁部分解密和得到第一部分解密向量和第二部分解密向量并将这两者发送给第二云服务器C_B，其中，为的第j个分量， 为的第j个分量，

(4.5)第二云服务器C_B利用第二子私钥λ₂和公开整数k_t完全解密和得到第一内积中间向量a_i＝(a_i,1,a_i,2,...,a_i,j,...,a_i,m)和第二内积中间向量b_i＝(b_i,1,b_i,2,...,b_i,j,...,b_i,m)，其中，a_i,j是a_i的第j个分量，b_i,j是b_i的第j个分量，a_i,j和b_i,j的计算式如下：

(4.6)第二云服务器C_B利用a_i和b_i计算混淆内积向量c_i＝(c_i,1,c_i,2,...,c_i,j,...,c_i,m)，其中，c_i,j是c_i的第j个分量，c_i,j＝(a_i,j×b_i,j)modN＝[(t_i,j+r_i,j)×(q_j+γ_i,j)]modN；

(4.7)第二云服务器C_B选取第二临时随机数向量χ₂＝(χ_2,1,χ_2,2,...,χ_2,j,...,χ_2,m)，χ_2,j是χ₂的第j个分量，根据公钥p_k和χ₂，使用Paillier加密方法将c_i加密，得到混淆内积密文向量并将发送给第一云服务器C_A，其中，是的第j个分量，χ_2,j是{1,2,...,N-1}中的随机数；

(4.8)第一云服务器C_A利用混淆内积密文向量查询密文向量原始密文向量第一随机向量r_i、第二随机向量γ_i和第二随机密文向量计算结果密文向量其中，是的第j个分量，的计算式如下：

(4.9)第一云服务器C_A利用结果密文向量计算内积值密文

本实例用计算查询向量q＝(0,1,1,0)和t₁＝(1,1,1,0)的内积值密文来说明：选取随机向量r₁＝(r_1,1,r_1,2,r_1,3,r_1,4)和γ₁＝(γ_1,1,γ_1,2,γ_1,3,γ_1,4)，加密这两者得到和经过混淆后得到解密后得到a₁＝(1+r_1,1,1+r_1,2,1+r_1,3,r_1,4)，b₁＝(γ_1,1,1+γ_1,2,1+γ_1,3,γ_1,4)，根据a₁和b₁，计算混淆内积向量c₁＝((1+r_1,1)×γ_1,1,(1+r_1,2)×(1+γ_1,2),(1+r_1,3)×(1+γ_1,3),r_1,4×γ_1,4)，加密得到混淆内积密文向量再根据查询密文向量原始密文向量r₁、γ₁和计算出结果密文向量得到同样可得到

步骤5，两个云服务器C_A和C_B利用查询密文向量和内积值密文向量计算出查询向量q的查询支持度密文

(5.1)第一云服务器C_A利用查询密文向量计算数量密文选取第一单随机数ρ_k，利用公钥p_k和ρ_k，使用Paillier加密方法将1加密，得到1的密文其中，ρ_k是{1,2,...,N-1}中的随机数；

(5.2)第一云服务器C_A选取第一比较随机数向量ω＝(ω₁,ω₂,...,ω_i,...,ω_n)和第二比较随机数向量ω'＝(ω'₁,ω'₂,...,ω'_i,...,ω'_n)，利用内积值密文向量ω和ω'，计算判断向量其中，ω_i是ω的第i个分量，ω'_i是ω'的第i个分量，是的第i个分量，ω_i∈{0,1}， 是ω'_i的二进制比特长，的计算式如下，

(5.3)第一云服务器C_A使用第一子私钥λ₁部分解密得到部分判断向量并将其发送给第二云服务器C_B，其中，是的第i个分量，的计算式为

(5.4)第二云服务器C_B使用第二子私钥λ₂和公开整数k_t完全解密得到判断向量D＝(D₁,D₂,...,D_i,...,D_n)，其中，D_i是D的第i个分量，D_i的计算式如下，

(5.5)第二云服务器C_B利用D_i得到结果向量e＝(e₁,e₂,...,e_i,...,e_n)，其中，e_i是e的第i个分量，当时，生成e_i＝0，否则e_i＝1，为D_i的二进制比特长，i∈{1,2,...,n}；

(5.6)第二云服务器C_B选取第三临时随机数向量χ₃＝(χ_3,1,χ_3,2,...,χ_3,i,...,χ_3,n)，χ_3,i是χ₃的第i个分量，利用公钥p_k和χ₃，使用Paillier加密方法将e加密，得到结果密文向量并

将发送给第一云服务器C_A，其中， 是的第i个分量，χ_3,i是{1,2,...,N-1}中的随机数；

(5.7)第一云服务器C_A利用结果密文向量 和第一比较随机数向量ω，计算最终结果密文向量其中，是的第i个分量，当ω_i＝0时，当ω_i＝1时，

(5.8)第一云服务器C_A利用最终结果密文向量计算查询向量q的查询支持度密文其中，

本实例计算用查询密文向量和根据计算出数量密文选取第一随机数向量ω＝(0,0,1,0,1)和第二随机数向量ω'＝(ω'₁,ω'₂,ω'₃,ω'₄,ω'₅)，根据ω和ω'，计算判断向量完全解密后，得到D＝(ω'₁,ω'₂,ω'₃,-ω'₄,-ω'₅)，根据D生成结果密文向量根据和ω计算最终结果密文向量根据计算查询支持度密文

步骤6，两个云服务器C_A和C_B利用查询支持度密文和支持度门限值密文计算支持度比较结果密文

(6.1)第一云服务器C_A选取第一支持度随机数ω_a和第二支持度随机数ω_b，利用查询支持度密文和支持度门限值密文计算支持度判断密文其中，ω_a∈{0,1}，支持度判断密文的计算式如下，

(6.2)第一云服务器C_A利用第一子私钥λ₁部分解密后，得到部分支持度判断密文并发送给第二云服务器C_B，其中，

(6.3)第二云服务器C_B使用第二子私钥λ₂和公开整数k_t完全解密得到支持度判断明文D_q，根据D_q生成支持度判断结果e_q，其中，D_q计算如下，

当时，生成判断结果e_q＝0，否则，e_q＝1，是D_q的二进制比特长；

(6.4)第二云服务器C_B选取第二单随机数ρ_e，根据公钥p_k和ρ_e，使用Paillier方法加密e_q得到判断结果密文并将其发送给第一云服务器C_A，其中，ρ_e是{1,2,...,N-1}中的随机数；

(6.5)第一云服务器C_A利用判断结果密文和第一支持度随机数ω_a，计算支持度比较结果密文其中，当ω_a＝0时，当ω_a＝1时

本实例计算用查询支持度密文和支持度门限值密文选取第一支持度随机数ω_a＝1和第二支持度随机数ω_b，根据ω_a、ω_b，计算支持度判断密文将完全解密后，得到D_q＝-ω_b，根据D_q生成判断结果密文根据和ω_a，计算出支持度比较结果密文

步骤7，两个云服务器C_A和C_B将支持度比较结果密文的支持度比较结果明文h_q传输给挖掘者：

(7.1)数据挖掘者选取第一传输随机数w_q和第二传输随机数w'_q，再选取第三单随机数ρ_w和第四单随机数ρ'_w，其中，ρ_w和ρ'_w是{1,2,...,N-1}中的随机数；

(7.2)数据挖掘者根据公钥p_k、ρ_w和ρ'_w，使用Paillier方法加密w_q和w'_q，得到第一传输随机密文和第二传输随机密文并全发送给第一云服务器C_A，其中， gcd(x,N)是两整数x和N的最大公约数，

(7.3)第一云服务器C_A利用和计算混淆结果密文利用子私钥λ₁部分解密和得到中间随机密文和部分混淆结果密文并将两者发送给第二云服务器C_B，其中，

(7.4)第二云服务器C_B利用子私钥λ₂完全解密和得到混淆结果和随机数w_q，并根据这两者计算出传输信息ο_p，将ο_p发送给挖掘者，其中ο_p＝(w_q×(h_q+w'_q))modN；

(7.5)挖掘者使用第一传输随机数w_q、第二传输随机数w'_q和传输信息ο_p，还原出支持度比较结果明文h_q，其中，还原计算为h_q＝(ο_p×w_q ^-1-w'_q)modN。

本实例计算用支持度比较结果密文数据挖掘者选取第一传输随机数w_q＝2和第二传输随机数w'_q＝5，加密后得到和将这两者发送给第一云服务器C_A；C_A利用和得到混淆结果密文使用第一子私钥部分解密和得到中间随机密文和部分混淆结果密文并将这两者发送给第二云服务器C_B；C_B使用第二子私钥完全解密和得到w_q和混淆结果根据w_q和计算ο_p＝12，将ο_p发送给数据挖掘者；数据挖掘者利用w_q＝2、w'_q＝5和ο_p＝12，计算出h_q＝1。

步骤8，两个云服务器C_A和C_B对u个子查询密文向量重复执行步骤4和步骤5，得到子支持度密文向量其中，是子查询向量q_v在云数据库中的子支持度密文。

本实例中执行结果得到子支持度密文向量

步骤9，两个云服务器C_A和C_B利用子支持度密文向量S的第v个分量与查询支持度密文分母密文分子密文计算出置信度结果密文u个置信度结果密文组成置信度结果密文向量

(9.1)两个云服务器利用查询支持度密文和分母密文计算公共比较数

(9.1.1)第一云服务器C_A生成第三支持度随机数ω_c、第四支持度随机数ω_d、第五单随机数ρ_c和第六单随机数ρ_d，根据公钥p_k、ρ_c和ρ_d，使用Paillier方法加密ω_c和ω_d，得到第三支持度随机密文和第四支持度随机密文其中，

(9.1.2)第一云服务器C_A利用对进行混淆得到第一混淆密文利用对分母密文进行混淆得到第二混淆密文其中，

(9.1.3)第一云服务器C_A利用第一子私钥λ₁部分解密和得到第一部分混淆密文和第二部分混淆密文再将和发送给第二云服务器C_B，其中，

(9.1.4)第二云服务器C_B利用第二子私钥λ₂和公开整数k_t完全解密和得到第一混淆明文a_q和第二混淆明文b_q，其中，a_q和b_q计算式如下，

(9.1.5)第二云服务器C_B利用a_q和b_q计算第三混淆明文c_q，再选取第七单随机数ρ_s，根据公钥p_k和ρ_s，使用Paillier方法加密c_q，得到第三混淆密文将发送给第一云服务器C_A，c_q的计算式为c_q＝(a_q×b_q)modN,

(9.1.6)第一云服务器C_A利用第三混淆密文支持度密文第三支持度随机数ω_c、第四支持度随机数ω_d、第三支持度随机密文计算出公共比较数τ_q，其中，τ_q的计算式如下，

(9.2)两个云服务器C_A和C_B对子支持度密文向量的第v个分量与分子密文重复执行步骤(9.1)，得到子比较数τ_v，其中，

(9.3)两个云服务器C_A和C_B对公共比较数τ_q和子比较数τ_v重复执行步骤(6)，计算出置信度结果密文u个置信度结果密文组成置信度结果密文向量：其中，是θ的第v个分量，v∈{1,2,...,u}。

本实例计算使用查询支持度密文分母密文分子密文选取两个随机数ω_c和ω_d，加密这两者得到和 混淆后得到 混淆后得到解密后得到a_q＝3+ω_c，b_q＝5+ω_d，根据a_q和b_q，计算混淆明文c_q＝(3+ω_c)×(5+ω_d)，加密得到混淆密文再根据ω_c、ω_d和计算出公共比较数同样可以计算出第一子比较数和第一子比较数τ_q和两个子比较数τ₁和τ₂分别执行步骤6，得到置信度结果密文和从而得到

步骤10，两个云服务器C_A、C_B和数据挖掘者对置信度结果密文向量θ中的每一个分量重复执行步骤7，直到将置信度结果明文θ_v全部传输给挖掘者，v∈{1,2,...,u}。

本实例中，θ₁＝1和θ₂＝0安全传输给数据挖掘者。

步骤11，数据挖掘者得到关联规则挖掘结果。

(11.1)数据挖掘者根据支持度比较结果明文h_q判断关联规则挖掘的结果：

若h_q＝1，则查询向量q对应项目集是频繁项目集，执行(11.2)，

若h_q＝0，则查询向量q对应项目集不是频繁项目集，且子查询向量q_v对应的项目集之间不存在强关联规则。

(11.2)数据挖掘者根据置信度结果明文θ_v判断子查询向量q_v对应项目集与差向量q-q_v对应项目集之间是否存在强关联规则：

若θ_v＝1，则子查询向量q_v对应项目集与差向量q-q_v对应项目集之间是强关联规则，

若θ_v＝0，则子查询向量q_v对应项目集与差向量q-q_v对的项目集之间不是强关联规则。

本实例中，数据挖掘者根据h_q＝1得到，查询向量q＝(0,1,1,0)对应项目集是频繁项目集；根据θ₁＝1得到，子查询向量q₁对应项目集与差向量q-q₁对应项目集之间存在强关联规则，即是强关联规则；根据θ₂＝0得到，子查询向量q₂对应项目集与差向量q-q₂对应项目集之间不是强关联规则，即不是强关联规则。

以上描述仅是本发明的一个具体实例，并未构成对本发明的任何限制，显然对于本领域的专业人员来说，在了解了本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上的各种修改和改变，但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。

Claims (9)

1.基于全同态加密的隐私保护关联规则挖掘方法，其特征在于，包括如下：

(1)系统初始化：

(1a)密钥生成中心根据Paillier全同态加密方法，生成系统参数，整数N和预私钥λ；

(1b)密钥生成中心生成第一个随机整数k_r，满足gcd(k_r,N)＝1，计算出第一子私钥λ₁和第二子私钥λ₂，满足λ₁×λ₂＝k_r×λ，确定私钥s_k＝(λ₁,λ₂)，其中，k_r≠0，gcd(k_r,N)是k_r和N的最大公约数；

(1c)密钥生成中心生成第二个随机整数k_p，计算公共模数N²，从中选取一个成员g，满足和gcd(k_t,N)＝1两个条件，确定公钥p_k＝(N,g)，其中，k_p为{1,2,...,λ}中任意一个，gcd(x,N)是整数x和N的最大公约数，公开整数

(1d)密钥生成中心将公钥p_k和公开整数k_t公布到公共信道，将第一子私钥λ₁安全的传递给第一云服务器C_A，将第二子私钥λ₂安全的传递给第二云服务器C_B，其中，C_A和C_B是两个不共谋的服务器；

(2)数据拥有者利用p_k公钥对原始明文向量集合R＝{t₁,t₂,...,t_i,...,t_n}中的向量加密并上传到第一云服务器C_A的云数据库中，云数据库表示为其中，是利用公钥p_k对第i个原始明文向量t_i加密得到的第i个原始密文向量，利用公钥p_k对向量加密是对该向量各分量值加密，原始明文向量t_i长度为m且各分量值为0或1，满足 是m的二进制比特长，是N的二进制比特长，n是云数据库中原始密文向量的个数，i∈{1,2,...,n}；

(3)数据挖掘者上传挖掘的事务：

(3a)数据挖掘者定义查询向量q＝(q₁,q₂,...,q_j,...,q_m)、支持度门限值为整数T₁和置信度门限值为有理数T₂＝α/β，挖掘者根据查询向量q，生成子查询向量集合Q＝{q₁,q₂,...,q_v,...,q_u}，使用公钥p_k对查询向量q、T₁、分子α和分母β、子查询向量q_v分别进行加密，得到查询密文向量支持度门限值密文分子密文和分母密文子查询密文向量集合其中，q_j是查询向量q的第j个分量，q_v是第v个子查询向量，是第v个子查询密文向量，q、q_v和长度均为m且q的各分量值为0或1，u是子查询密文向量集合Q₁中密文向量的个数，α和β是整数，0＜T₁＜n，0＜T₂＜1，v∈{1,2,...,u}；

(3b)数据挖掘者将支持度门限值密文分子密文和分母密文子查询密文向量集合Q₁上传给第一云服务器C_A；

(4)两个云服务器C_A和C_B利用云数据库中n个原始密文向量和查询密文向量分别计算查询向量q和t_i的内积值密文将这n个密文组成内积值密文向量

(5)两个云服务器C_A和C_B利用查询密文向量和内积值密文向量计算出查询向量q的查询支持度密文

(6)两个云服务器C_A和C_B利用查询支持度密文和支持度门限值密文计算支持度比较结果密文

(7)两个云服务器C_A和C_B将支持度比较结果密文的支持度比较结果明文h_q安全地传输给挖掘者：

(7a)数据挖掘者选取第一传输随机数w_q和第二传输随机数w'_q，利用公钥p_k加密两随机数，得到第一传输随机密文和第二传输随机密文并发送给第一云服务器C_A，其中， gcd(x,N)是两整数x和N的最大公约数；

(7b)第一云服务器C_A利用和计算混淆结果密文利用第一子私钥λ₁部分解密和得到中间随机密文和部分混淆结果密文并将两者发送给第二云服务器C_B，其中，

(7c)第二云服务器C_B利用第二子私钥λ₂完全解密和得到混淆结果和第一传输随机数w_q，并根据这两者计算出传输信息ο_p，将ο_p发送给挖掘者，其中ο_p＝(w_q×(h_q+w'_q))modN；

(7d)挖掘者使用第一传输随机数w_q、第二传输随机数w'_q和传输信息ο_p还原出支持度比较结果明文h_q，其中，还原计算为h_q＝(ο_p×w_q ^-1-w'_q)modN；

(8)两个云服务器C_A和C_B对u个子查询密文向量重复执行步骤(4)和步骤(5)，得到子支持度密文向量其中，是子查询向量q_v在云数据库中的子支持度密文；

(9)两个云服务器C_A和C_B利用子支持度密文向量S的第v个分量与查询支持度密文分母密文分子密文计算出置信度结果密文u个置信度结果密文组成置信度结果密文向量

(10)两个云服务器C_A、C_B和数据挖掘者对置信度结果密文向量θ中的每一个分量重复执行步骤(7)，将置信度结果明文θ_v安全传输给挖掘者；

(11)数据挖掘者根据支持度比较结果明文h_q判断关联规则挖掘的结果：

若h_q＝1，则查询向量q对应项目集是频繁项目集，执行(12)，

若h_q＝0，则查询向量q对应项目集不是频繁项目集，且子查询向量q_v对应的项目集之间不存在强关联规则；

(12)数据挖掘者根据置信度结果明文θ_v判断子查询向量q_v对应项目集与差向量q-q_v对应项目集之间是否存在强关联规则：

若θ_v＝1，则子查询向量q_v对应项目集与差向量q-q_v对应项目集之间是强关联规则，

若θ_v＝0，则子查询向量q_v对应项目集与差向量q-q_v对的项目集之间不是强关联规则。

2.根据权利要求1所述的方法，其特征在于，步骤(1a)中密钥生成中心生成系统参数,整数N和预私钥λ，实现步骤如下：

(1a1)密钥生成中心生成两个素数p和q，且满足其中，和分别是素数p和q的二进制比特长；

(1a2)根据素数p和q，计算整数N＝p×q；

(1a3)计算N的Carmichael函数值λ＝lcm(p-1,q-1)，其中，lcm(p-1,q-1)是p-1和q-1最小公倍数。

3.根据权利要求1所述的方法，其特征在于，(3a)中挖掘者根据查询向量q，生成子查询向量集合Q,其实现如下：

(3a1)根据查询向量q＝(q₁,q₂,...,q_j,...,q_m)中分量值为1的下标j，生成下标集合X，其中，q_j是查询向量q的第j个分量，m是查询向量的长度，j∈{1,2,...,m}；

(3a2)根据下标集合X，生成u个X的非空真子集Y_v，v∈{1,2,...,u}；

(3a3)根据非空真子集Y_v，生成子查询向量q_v＝(q_v,1,q_v,2,...,q_v,j,...,q_v,m)，其中，q_v,j是子查询向量q_v的第j个分量，若j∈Y_v，q_v,j为1，否则，q_v,j为0，j∈{1,2,...,m}，v∈{1,2,...,u}；

(3a4)将u个子查询向量q_v组成集合Q。

4.根据权利要求1所述的方法，其特征在于，(4)中两个云服务器C_A和C_B利用云数据库中n个原始密文向量和查询密文向量分别计算查询向量q和t_i的内积值密文其实现如下：

(4a)第一云服务器C_A选取第一随机向量r_i＝(r_i,1,r_i,2,...,r_i,j,...,r_i,m)和第二随机向量γ_i＝(γ_i,1,γ_i,2,...,γ_i,j,...,γ_i,m)，利用公钥p_k将r_i和γ分别加密，得到第一随机密文向量和第二随机密文向量利用对进行混淆，得到第一混淆向量利用对进行混淆，得到第二混淆向量使用第一子私钥λ₁部分解密和得到第一部分解密向量和第二部分解密向量并将这两者发送给第二云服务器C_B，其中：r_i,j是r_i的第j个分量，γ_i,j是γ_i的第j个分量，是的第j个分量，是的第j个分量，为的第j个分量，为的第j个分量，为的第j个分量，为的第j个分量，为的第j个分量，为的第j个分量，

(4b)第二云服务器C_B利用第二子私钥λ₂和公开整数k_t完全解密和得到第一内积中间向量a_i＝(a_i,1,a_i,2,...,a_i,j,...,a_i,m)和第二内积中间向量b_i＝(b_i,1,b_i,2,...,b_i,j,...,b_i,m)；根据两者计算混淆内积向量c_i＝(c_i,1,c_i,2,...,c_i,j,...,c_i,m)，利用公钥p_k将c_i加密，得到混淆内积密文向量并将发送给第一云服务器C_A，其中，a_i,j是a_i的第j个分量，b_i,j是b_i的第j个分量，c_i,j是c_i的第j个分量，是的第j个分量，a_i,j和b_i,j的计算式如下：

c_i,j＝(a_i,j×b_i,j)mod N＝[(t_i,j+r_i,j)×(q_j+γ_i,j)]mod N,

(4c)第一云服务器C_A利用混淆内积密文向量查询密文向量原始密文向量第一随机向量r_i、第二随机向量γ_i、第二随机密文向量计算结果密文向量其中，是的第j个分量，的计算式如下：

(4d)第一云服务器C_A利用结果密文向量计算内积值密文

5.根据权利要求1所述的方法，其特征在于，(5)中两个云服务器C_A和C_B利用查询密文向量和内积值密文向量计算出查询向量q的查询支持度密文其实现如下：

(5a)第一云服务器C_A利用查询密文向量计算数量密文其中，

(5b)第一云服务器C_A选取第一比较随机数向量ω＝(ω₁,ω₂,...,ω_i,...,ω_n)和第二比较随机数向量ω'＝(ω'₁,ω'₂,...,ω'_i,...,ω'_n)，利用内积值密文向量ω和ω'，计算判断向量使用第一子私钥λ₁部分解密得到部分判断向量并将其发送给第二云服务器C_B，其中，ω_i是ω的第i个分量，ω'_i是ω'的第i个分量，是的第i个分量，是的第i个分量，ω_i∈{0,1}， 是ω'_i的二进制比特长，的计算式如下， 是1的密文，的计算式为

(5c)第二云服务器C_B使用第二子私钥λ₂和公开整数k_t完全解密得到判断明文向量D＝(D₁,D₂,...,D_i,...,D_n)，利用D_i得到结果密文向量将发送给第一云服务器C_A，i∈{1,2,...,n}，其中，D_i是D的第i个分量，是的第i个分量，D_i的计算式如下，

当时，生成否则 为D_i的二进制比特长，为整数N的二进制比特长，是0的密文，是1的密文，i∈{1,2,...,n}；

(5d)第一云服务器C_A利用结果密文向量和第一比较随机数向量ω，计算最终结果密文向量其中，是的第i个分量，当ω_i＝0时，当ω_i＝1时，

(5e)第一云服务器C_A利用最终结果密文向量计算查询密文向量在云数据库中的支持度密文其中，

6.根据权利要求1所述的方法，其特征在于，(6)中两个云服务器C_A和C_B利用查询支持度密文和支持度门限值密文计算支持度比较结果密文其实现如下：

(6a)第一云服务器C_A选取第一支持度随机数ω_a和第二支持度随机数ω_b，利用查询支持度密文和支持度门限值密文计算支持度判断密文使用第一子私钥λ₁部分解密后得到部分支持度判断密文并发送给第二云服务器C_B，其中，ω_a∈{0,1}，支持度判断密文的计算式如下，

部分支持度判断密文

(6b)第二云服务器C_B使用第二子私钥λ₂和公开整数k_t完全解密得到支持度判断明文D_q，根据D_q的二进制比特长，生成支持度判断结果密文将其发送给第一云服务器C_A，其中，D_q计算如下，

当时，生成的支持度判断结果密文否则， 是D_q的二进制比特长；

(6c)第一云服务器C_A利用支持度判断结果密文和第一支持度随机数ω_a，计算支持度比较结果密文其中，当ω_a＝0时，当ω_a＝1时

7.根据权利要求1所述的方法，其特征在于，(9)中两个云服务器C_A和C_B利用子支持度密文向量S的第v个分量与查询支持度密文分母密文分子密文计算出置信度结果密文其实现如下：

(9a)第一云服务器C_A生成第三支持度随机数ω_c和第四支持度随机数ω_d，使用公钥p_k加密ω_c和ω_d，得到第三支持度随机密文和第四支持度随机密文利用对进行混淆得到第一混淆密文利用对分母密文进行混淆得到第二混淆密文利用第一子私钥λ₁部分解密和得到第一部分混淆密文和第二部分混淆密文再将和发送给第二云服务器C_B，其中：

(9b)第二云服务器C_B利用第二子私钥λ₂和公开整数k_t完全解密和得到第一混淆明文a_q和第二混淆明文b_q，根据a_q和b_q计算第三混淆明文c_q，利用公钥p_k加密c_q，得到第三混淆密文将发送给第一云服务器C_A，其中，

c_q的计算式为c_q＝(a_q×b_q)modN,表示为

(9c)第一云服务器C_A利用第三混淆密文支持度密文第三支持度随机数ω_c、第四支持度随机数ω_d、第三支持度随机密文计算出公共比较数τ_q，其中，τ_q的计算式如下，

(9d)两个云服务器C_A和C_B对子支持度密文向量的第v个分量与分子密文重复执行步骤(9a-9c)，得到子比较数τ_v，其中，

(9e)两个云服务器C_A和C_B对公共比较数τ_q和子比较数τ_v重复执行步骤(6)，计算出置信度结果密文其中是对τ_q和τ_v进行比较的结果。

8.根据权利要求或1或4或5或6或7所述的方法，其特征在于，利用公钥p_k加密某明文ε，是采用Paillier加密方法，即选取一个随机数计算得到对应密文

其中，N是公钥p_k＝(N,g)中的第一部分，g是公钥p_k＝(N,g)中的第二部分，

9.根据权利要求或1或4所述的方法，其特征在于，利用公钥p_k加密某向量ψ＝(ψ₁,ψ₂,...,ψ_j,...,ψ_m)，是用Paillier加密方法对ψ的第j个分量ψ_j分别加密，j∈{1,2,...,m}。