CN110247913A - 一种支持矩阵零元素隐私保护的安全矩阵乘法外包方法 - Google Patents

Abstract

本发明公开了一种支持矩阵零元素隐私保护的安全矩阵乘法外包方法，包括：步骤10，客户端生成用于矩阵转换的向量和稀疏矩阵；步骤20，客户端利用生成的向量和稀疏矩阵，对A矩阵和B矩阵进行转换得到盲化矩阵，其中，在对B矩阵进行转换前，需要将B矩阵分割成B₁矩阵和B₂矩阵，且B＝B₁+B₂；然后将盲化矩阵打包成两个矩阵对分别发送给两个不同的云服务器；步骤30，两个不同的云服务器根据接收到的矩阵对进行矩阵乘法计算，得到矩阵对计算结果，并将矩阵对计算结果返回给客户端；步骤40，客户端对接收到两个云服务器返回的矩阵对计算结果进行恢复并验证。本发明可以防止客户端数据的信息泄露，包括矩阵中大量零元素的信息。

Description

一种支持矩阵零元素隐私保护的安全矩阵乘法外包方法

技术领域

本发明涉及云计算技术领域，尤其是一种支持矩阵零元素隐私保护的安全矩阵乘法外包方法。

背景技术

云计算的快速发展使得资源受限的用户可以获得大量的计算资源，从而完成更加复杂的科学计算。近年来，大数据技术和物联网的发展使得终端设备需要处理的数据量越来越大，然而一般的客户端由于经济等原因没有足够的资源完成庞大数据的处理，将需要解决的计算问题外包给云服务器成为了解决客户端资源受限问题的主要解决方案。

虽然云服务器可以解决客户端资源受限的问题，但是将数据外包给云服务器存在隐私泄露的问题。云服务器不一定是诚实可信的，半诚实云和恶意云是外包计算经常面临的两种模型。半诚实云模型严格按照协议执行计算，并返回正确的结果给客户端，但是它会记录外包数据的信息；恶意云模型可能不会按照协议执行计算，返回一个错误的结果企图欺骗客户端，并且恶意云服务器会调动资源试图获得外包数据包含的重要信息。因此一个安全有效的外包计算方案是解决云服务器威胁的重要方法。

矩阵乘法在科学研究中有着非常重要的作用，例如统计学、机器学习、图像加密和远程医疗等。一般来说，矩阵乘法的计算复杂度为O(n³)。在矩阵维数很高的情况下，一般的客户端需要耗费很长的时间来完成这项计算，如果将矩阵乘法计算外包给云服务器，客户端只需要恢复计算结果，并且验证结果的正确性即可。在云服务器的帮助下，资源受限的客户端只需要完成计算复杂度为O(n²)的计算。

传统的矩阵乘法外包计算方案虽然能够实现矩阵的外包计算，但是存在严重的信息泄露问题。传统的矩阵乘法外包计算方案在矩阵左右两边各乘上一个元素值只有0和1的稀疏矩阵，这样就改变了矩阵元素的位置信息，但是这样的方案并没有改变矩阵元素的数值信息，这是一个严重的信息泄露问题。

经过调研，已经有了一些解决的方案，但是方案存在以下问题：

1.已有的方案虽然解决了矩阵元素数值信息的问题，但是在某些特殊的情况下存在信息泄露的问题。当外包的矩阵中包含整行或者整列的零元素时，这些零元素的数值信息就会泄露。

2.另一个方案虽然对矩阵的零元素进行了处理，也改变了所有元素的数值。但是矩阵元素的位置没有发生变化，这也是一种信息的泄露。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供一种支持矩阵零元素隐私保护的安全矩阵乘法外包方法。

本发明采用的技术方案如下：

一种支持矩阵零元素隐私保护的安全矩阵乘法外包方法，设原始矩阵为(A·B)，A是m×n的矩阵，B是n×s的矩阵，包括如下步骤：

步骤10，客户端生成用于矩阵转换的向量和稀疏矩阵；

步骤20，客户端利用生成的向量和稀疏矩阵，对A矩阵和B矩阵进行转换得到盲化矩阵，其中，在对B矩阵进行转换前，需要将B矩阵分割成B₁矩阵和B₂矩阵，且B＝B₁+B₂；然后将盲化矩阵打包成两个矩阵对分别发送给两个不同的云服务器；

步骤30，两个不同的云服务器根据接收到的矩阵对进行矩阵乘法计算，得到矩阵对计算结果，并将矩阵对计算结果返回给客户端；

步骤40，客户端对接收到两个云服务器返回的矩阵对计算结果进行恢复并验证。

进一步地，步骤10中客户端生成用于矩阵转换的向量的方法为：客户端生成用于转换矩阵的两个随机列向量α和β，α是m×1的向量，β是n×1的向量。

进一步地，步骤10中客户端生成用于矩阵转换的稀疏矩阵的方法为：

步骤12.1，客户端生成4个不含零元素的向量θ:{θ₁,......,θ_m}、γ:{γ₁,......,γ_n}、μ:{μ₁,......,μ_s}和λ:{λ₁,......,λ_s}；

步骤12.2，客户端生成4个随机置换函数π₁、π₂、π₃和π₄；

步骤12.3，客户端利用4个不含零元素的向量和4个随机置换函数生成8个稀疏矩阵： 其中δ_x,y为克罗内克函数，当x与y相等时函数值为1，否则为0；π_k(i)......(k＝1,2,3,4)为置换函数，为对应的反置换函数。

进一步地，步骤20中客户端利用生成的向量和稀疏矩阵对A矩阵进行转换的方法为：

步骤21.1，客户端利用向量α和β转换A矩阵得到：A'＝A+αβ^T；

步骤21.2，客户端利用稀疏矩阵对A'再进行转换得到盲化矩阵A”＝P₁A'P₂。

进一步地，步骤20中客户端利用生成的向量和稀疏矩阵对B矩阵进行转换的方法为：

步骤22.1，客户端将B矩阵分割成B₁矩阵和B₂矩阵，且B＝B₁+B₂；

步骤22.2，客户端利用稀疏矩阵分别对B₁矩阵和B₂矩阵进行转换得到盲化矩阵和

进一步地，步骤22.1，客户端将B矩阵分割成B₁矩阵和B₂矩阵的方法为：客户端，以及一个二进制向量ω:{ω₁,......,ω_s}，其中，ω的元素只有0和1；然后利用二进制向量ω，当ω_i为1时，将B矩阵的第i列元素作为B₁矩阵第i列的元素，B₂矩阵的第i列元素全部赋值为0；当ω_i为0时，将B矩阵的第i列元素作为B₂矩阵第i列的元素，B₁矩阵的第i列元素全部赋值为0。

进一步地，步骤20中将盲化矩阵打包成两个矩阵对(A”、B₁')和(A”、B₂')。

进一步地，步骤30中两个不同的云服务器根据接收到的矩阵对进行矩阵乘法计算，得到矩阵对计算结果的方法为：两个不同的云服务器根据接收到的矩阵对进行矩阵乘法计算，得到矩阵对计算结果：S₁＝(A”·B₁')和S₂＝(A”·B₂')。

进一步地，步骤40中客户端对接收到两个云服务器返回的矩阵对计算结果进行恢复的方法为：

步骤41.1，客户端对接收到两个云服务器返回的矩阵对计算结果S₁和S₂进行第一次恢复处理，得到中间结果：

步骤41.2，客户端对中间结果进行第二次恢复处理，得到原始矩阵计算结果：(A·B)＝S₁+S₂-(α(β^TB))。

进一步地，步骤40中客户端对接收到两个云服务器返回的矩阵对计算结果进行验证的方法为：

步骤42.1，客户端生成一个随机的二进制列向量v:{v₁,......,v_s}；

步骤42.2，客户端计算P＝A·(B·v)-S·v；

步骤42.3，客户端将步骤42.1～42.2执行k次循环，若出现P≠{0,......,0}，则立即结束循环，并拒绝接受云服务器返回的结果，重新执行协议；若客户端正常执行k次循环，则接受云服务器返回的矩阵对计算结果，并结束协议。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

1、本发明实现了完整的矩阵乘法外包协议，相比传统的方案更加安全，可以防止客户端数据的信息泄露，包括矩阵中大量零元素的信息。

2、本发明在矩阵转换时，将A矩阵与αβ^T相加得到A'，再将A'与稀疏矩阵相乘，既保护了零元素的数值信息，也保护了矩阵元素的位置信息。

3、本发明在矩阵转换时，利用矩阵分割技术将外包矩阵乘法的B矩阵分割为B₁和B₂，且B＝B₁+B₂，再将矩阵与稀疏矩阵相乘，既保护了B矩阵零元素的隐私信息，也保护了B矩阵非零元素的隐私信息。

4、本发明将转换后的矩阵打包成两个矩阵对，分别发送给不同的云服务器计算，可以抵抗云服务器的非合谋攻击，有效地保护了矩阵的隐私信息。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明支持矩阵零元素隐私保护的安全矩阵乘法外包方法的原理图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

以下结合实施例对本发明的特征和性能作进一步的详细描述。

本实施例提供的一种支持矩阵零元素隐私保护的安全矩阵乘法外包方法，如图1所示，其硬件架构包括一个客户端和两个云服务器，设原始矩阵为(A·B)，A是m×n的矩阵，B是n×s的矩阵，客户端由于资源受限需要将原始矩阵(A·B)外包给云服务器。如图1所示，所述支持矩阵零元素隐私保护的安全矩阵乘法外包方法，包括如下步骤：

步骤10，客户端生成用于矩阵转换的向量和稀疏矩阵；

(1)客户端生成用于转换矩阵的两个随机列向量α和β，α是m×1的向量，β是n×1的向量。

(2)客户端生成用于矩阵转换的稀疏矩阵：

步骤12.1，客户端生成4个不含零元素的向量θ:{θ₁,......,θ_m}、γ:{γ₁,......,γ_n}、μ:{μ₁,......,μ_s}和λ:{λ₁,......,λ_s}；

步骤12.2，客户端生成4个随机置换函数π₁、π₂、π₃和π₄；π的生成方法为：选取元素为1到m的整数的恒等置换函数π，让i从m递减到2，每次随机选取一个数j，并且j满足1≤j≤i，将π[j]与π[i]的值进行交换，最后得到一个随机的置换函数。

步骤12.3，客户端利用4个不含零元素的向量和4个随机置换函数生成8个稀疏矩阵： 其中δ_x,y为克罗内克函数，当x与y相等时函数值为1，否则为0；π_k(i)......(k＝1,2,3,4)为置换函数，为对应的反置换函数。

步骤20，客户端利用生成的向量和稀疏矩阵，对A矩阵和B矩阵进行转换得到盲化矩阵，其中，在对B矩阵进行转换前，需要将B矩阵分割成B₁矩阵和B₂矩阵，且B＝B₁+B₂；然后将盲化矩阵打包成两个矩阵对分别发送给两个不同的云服务器；

(1)客户端利用生成的向量和稀疏矩阵对A矩阵进行转换：

步骤21.1，客户端利用向量α和β转换A矩阵得到：A'＝A+αβ^T；

步骤21.2，客户端利用稀疏矩阵对A'再进行转换得到盲化矩阵A”＝P₁A'P₂。

(2)客户端利用生成的向量和稀疏矩阵对B矩阵进行转换：

步骤22.1，客户端将B矩阵分割成B₁矩阵和B₂矩阵，且B＝B₁+B₂。具体地，，客户端生成一个二进制向量ω:{ω₁,......,ω_s}，其中，ω的元素只有0和1；然后利用二进制向量ω，当ω_i为1时，将B矩阵的第i列元素作为B₁矩阵第i列的元素，B₂矩阵的第i列元素全部赋值为0；当ω_i为0时，将B矩阵的第i列元素作为B₂矩阵第i列的元素，B₁矩阵的第i列元素全部赋值为0。

步骤22.2，客户端利用稀疏矩阵分别对B₁矩阵和B₂矩阵进行转换得到盲化矩阵和

(3)客户端将盲化矩阵打包成两个矩阵对(A”、B₁')和(A”、B₂')，并分别发送给两个不同的云服务器。本发明使用两个云服务器减少了客户端的等待时间，提高了方案的整体效率。

步骤30，两个不同的云服务器根据接收到的矩阵对进行矩阵乘法计算，得到矩阵对计算结果，并将矩阵对计算结果返回给客户端：两个不同的云服务器根据接收到的矩阵对进行矩阵乘法计算，得到矩阵对计算结果：S₁＝(A”·B₁')和S₂＝(A”·B₂')：

(1)客户端对接收到两个云服务器返回的矩阵对计算结果进行恢复：

步骤41.1，客户端对接收到两个云服务器返回的矩阵对计算结果S₁和S₂进行第一次恢复处理，得到中间结果：

步骤41.2，客户端对中间结果进行第二次恢复处理，得到原始矩阵计算结果：(A·B)＝S₁+S₂-(α(β^TB))。等式右边一定按照括号的顺序进行计算，这样可以保证客户端的计算复杂度为O(n²)。

(2)客户端对接收到两个云服务器返回的矩阵对计算结果进行验证，本发明采用蒙特卡罗验证算法来验证云服务器返回的结果是否正确：

步骤42.1，客户端生成一个随机的二进制列向量v:{v₁,......,v_s}；

步骤42.2，客户端计算P＝A·(B·v)-S·v；

步骤42.3，客户端将步骤42.1～42.2执行k次循环，若出现P≠{0,......,0}，表示两个云服务器中至少有一个云服务器返回了错误的结果，则立即结束循环，并拒绝接受云服务器返回的结果，重新执行协议；若客户端正常执行k次循环，则接受云服务器返回的矩阵对计算结果，并结束协议。在技术应用中，一般取k>20即可，k过大会造成客户端消耗增大。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种支持矩阵零元素隐私保护的安全矩阵乘法外包方法，设原始矩阵为(A·B)，A是m×n的矩阵，B是n×s的矩阵，其特征在于，包括如下步骤：

步骤10，客户端生成用于矩阵转换的向量和稀疏矩阵；

步骤20，客户端利用生成的向量和稀疏矩阵，对A矩阵和B矩阵进行转换得到盲化矩阵，其中，在对B矩阵进行转换前，需要将B矩阵分割成B₁矩阵和B₂矩阵，且B＝B₁+B₂；然后将盲化矩阵打包成两个矩阵对分别发送给两个不同的云服务器；

步骤30，两个不同的云服务器根据接收到的矩阵对进行矩阵乘法计算，得到矩阵对计算结果，并将矩阵对计算结果返回给客户端；

步骤40，客户端对接收到两个云服务器返回的矩阵对计算结果进行恢复并验证。

2.根据权利要求1所述的支持矩阵零元素隐私保护的安全矩阵乘法外包方法，其特征在于，步骤10中客户端生成用于矩阵转换的向量的方法为：客户端生成用于转换矩阵的两个随机列向量α和β，α是m×1的向量，β是n×1的向量。

3.根据权利要求2所述的支持矩阵零元素隐私保护的安全矩阵乘法外包方法，其特征在于，步骤10中客户端生成用于矩阵转换的稀疏矩阵的方法为：

步骤12.1，客户端生成4个不含零元素的向量θ:{θ₁,......,θ_m}、γ:{γ₁,......,γ_n}、μ:{μ₁,......,μ_s}和λ:{λ₁,......,λ_s}；

步骤12.2，客户端生成4个随机置换函数π₁、π₂、π₃和π₄；

步骤12.3，客户端利用4个不含零元素的向量和4个随机置换函数生成8个稀疏矩阵： 其中δ_x,y为克罗内克函数，当x与y相等时函数值为1，否则为0；π_k(i)......(k＝1,2,3,4)为置换函数，为对应的反置换函数。

4.根据权利要求3所述的支持矩阵零元素隐私保护的安全矩阵乘法外包方法，其特征在于，步骤20中客户端利用生成的向量和稀疏矩阵对A矩阵进行转换的方法为：

步骤21.1，客户端利用向量α和β转换A矩阵得到：A'＝A+αβ^T；

步骤21.2，客户端利用稀疏矩阵对A'再进行转换得到盲化矩阵A”＝P₁A'P₂。

5.根据权利要求4所述的支持矩阵零元素隐私保护的安全矩阵乘法外包方法，其特征在于，步骤20中客户端利用生成的向量和稀疏矩阵对B矩阵进行转换的方法为：

步骤22.1，客户端将B矩阵分割成B₁矩阵和B₂矩阵，且B＝B₁+B₂；

步骤22.2，客户端利用稀疏矩阵分别对B₁矩阵和B₂矩阵进行转换得到盲化矩阵和

6.根据权利要求5所述的支持矩阵零元素隐私保护的安全矩阵乘法外包方法，其特征在于，步骤22.1，客户端将B矩阵分割成B₁矩阵和B₂矩阵的方法为：客户端生成一个二进制向量ω:{ω₁,......,ω_s}，其中，ω的元素只有0和1；然后利用二进制向量ω，当ω_i为1时，将B矩阵的第i列元素作为B₁矩阵第i列的元素，B₂矩阵的第i列元素全部赋值为0；当ω_i为0时，将B矩阵的第i列元素作为B₂矩阵第i列的元素，B₁矩阵的第i列元素全部赋值为0。

7.根据权利要求5所述的支持矩阵零元素隐私保护的安全矩阵乘法外包方法，其特征在于，步骤20中将盲化矩阵打包成两个矩阵对(A”、B₁')和(A”、B₂')。

8.根据权利要求7所述的支持矩阵零元素隐私保护的安全矩阵乘法外包方法，其特征在于，步骤30中两个不同的云服务器根据接收到的矩阵对进行矩阵乘法计算，得到矩阵对计算结果的方法为：两个不同的云服务器根据接收到的矩阵对进行矩阵乘法计算，得到矩阵对计算结果：S₁＝(A”·B₁')和S₂＝(A”·B₂')。

9.根据权利要求8所述的支持矩阵零元素隐私保护的安全矩阵乘法外包方法，其特征在于，步骤40中客户端对接收到两个云服务器返回的矩阵对计算结果进行恢复的方法为：

步骤41.1，客户端对接收到两个云服务器返回的矩阵对计算结果S₁和S₂进行第一次恢复处理，得到中间结果：

步骤41.2，客户端对中间结果进行第二次恢复处理，得到原始矩阵计算结果：(A·B)＝S₁+S₂-(α(β^TB))。

10.根据权利要求9所述的支持矩阵零元素隐私保护的安全矩阵乘法外包方法，其特征在于，步骤40中客户端对接收到两个云服务器返回的矩阵对计算结果进行验证的方法为：

步骤42.1，客户端生成一个随机的二进制列向量v:{v₁,......,v_s}；

步骤42.2，客户端计算P＝A·(B·v)-S·v；

步骤42.3，客户端将步骤42.1～42.2执行k次循环，若出现P≠{0,......,0}，则立即结束循环，并拒绝接受云服务器返回的结果，重新执行协议；若客户端正常执行k次循环，则接受云服务器返回的矩阵对计算结果，并结束协议。