CN110719159A - 抗恶意敌手的多方隐私集合交集方法 - Google Patents

Abstract

本发明涉及一种抗恶意敌手的多方隐私集合交集方法，包括离线阶段和在线阶段；离线阶段进行约定承诺、不经意传输等，在线阶段进行运算；主要使用了门限同态加密方案、非交互式零知识证明和改进的布隆过滤器等对协议进行构造。即使恶意敌手能获得所有诚实方的布隆过滤器与操作结果，但在针对多方的情况下，与操作结果并不能泄露除交集外的各诚实参与方额外信息。本专利实现了公告栏功能，并在所有参与方发送相应信息到公告栏的同时将其承诺值一并公开，以便于后期对其公布的信息进行验证，防止部分参与方的恶意行为。

Description

抗恶意敌手的多方隐私集合交集方法

技术领域

本发明属于隐私集合交集技术领域，特别是一种抗恶意敌手的多方隐私集合交集方法。

背景技术

隐私集合交集作为安全多方计算的一个重要分支，能在不泄露参与方私有集合信息的情况下进行交集计算，在现实生活中有着极其广泛的应用。隐私集合交集可以用于社交网络，僵尸网络检测，人类基因组测试和邻近性检测等。

Freedman等人在半诚实模型下提出基于同态加密和平衡哈希的隐私集合交集协议，并使用了cut-and-choose方法实现了在恶意模型下的两方隐私集合交集协议。Kissner和Song引入了基于多项式的隐私集合交集协议。Huang等人使用混淆电路实现了两方的隐私集合交集协议。Chen等人提出基于同态加密的两方隐私集合交集协议，该协议在一定程度上减少了通信开销。Kolesnikov等人提出第一个在半诚实环境下的多方隐私集合交集协议。Pinkas等人提出一个新的基于电路的隐私集合交集协议，这是基于布谷鸟哈希在二维的变体，在半诚实模型下，该协议可以由两方扩展到多方。Patsakis等人在半诚实模型下提出服务器辅助的隐私集合交集协议，在保护参与者隐私的同时，还能提高基因组挖掘的性能。Abadi等人提出了一个基于云外包的隐私集合交集协议，该协议允许客户将他们的隐私输入信息和计算外包给云服务器，客户将信息独立地上传至云服务器，而最终云服务器不能得到交集结果。但是，如果存在参与方与云服务器勾结，那么该协议的安全性将受到威胁。

隐私集合交集协议除了需要达到隐私性和正确性，公平性也至关重要，更具体地说，恶意参与方只有在所有诚实参与方都得到的情况下才会得到最终交集结果。为了达到公平性的目的，Dong等人提出一个在半诚实仲裁者作用下的公平隐私集合交集协议。在该协议中，仲裁者不能与其他参与方串通勾结获取额外信息。Debnath等人提出了一种基于公平的隐私集合交集协议，该协议具有线性通信和计算复杂度，并且在标准模型中是安全的。此外，该协议的公平性也是由半诚实的仲裁者来保证的。Zhang等人针对社会理性方的服务器辅助的隐私集合交集协议，在该协议中，假设存在两个互不勾结的云服务器辅助计算。Kamara等人提出了适用于半诚实和恶意模型的几种基于服务器辅助的隐私集合交集协议。这些协议同样公平有效。但是，该协议存在一些问题：首先，他们假设服务器不与各参与方勾结。如果服务器与一方串通，其他参与方的私有集合将会被泄露；其次，在协议中，各参与方使用相同的对称密钥加密各自的私有集合，解密服务器返回的密文。尽管对称密码操作比公钥操作更有效，但是在一个对称密钥环境中，一方存在恶意行为，所有通信都会受到威胁，安全性较差。

综上所述，现有的隐私集合交集协议在恶意两方的研究虽然已经取得突破性进展，但是在更一般的应用场景——多方的情况下，只存在半诚实情况下的有效隐私集合交集协议，尚未有针对恶意敌手的多方隐私集合交集协议的效果好、效率高的实现方式。

发明内容

本发明的目的是提供一种抗恶意敌手的多方隐私集合交集方法，用于解决现有方法效果差、效率低的问题。

本发明的技术方案包括：

一种抗恶意敌手的多方隐私集合交集方法，包括离线阶段和在线阶段；在离线阶段，执行如下步骤：

1)所有参与者共同调用投币协议，生成哈希函数；所有参与者共同约定一个门限同态加密方案；所有参与者共同约定一个承诺方案；所述所有参与者包括发送方P₀与作为接收方的其他各参与方Pi；0<i≤t；t为除P₀以外的其他参与者数量；

2)P₀与Pi执行随机不经意传输协议；N_OT表示不经意传输协议OT中接收方的输入长度；

3)P₀使用所述承诺方案计算并公布承诺值；Pi使用所述门限同态加密方案THE计算并公布加密结果；

4)所有参与者共同执行投币协议选择集合

P₀公布承诺内容，Pi公布公开值；所有参与者检查所述公开值以判断是否有恶意参与者；

在在线阶段，执行如下步骤：

5)P_i生成他的输入集合所对应的布隆过滤器；置换步骤4)中未被选择的集合，并公开；

6)P₀将所有随机数按位置异或，得到m_j；根据步骤3)和步骤5)得到的结果，P_i利用所述门限同态加密方案THE的算法进行解密计算，得到m_j’；

7)P₀将其输入集合与对应随机数的异或结果m_j哈希运算得到集合K，发送给接收方P₁；

8)P₁将其输入集合与P_i所对应的随机数的异或结果m_j’进行哈希运算。

进一步的，所述集合C_i中的每个元素的选取都是独立的，并且该集合大小为N_OT×p；p表示从[N_OT]选取元素的比例。

进一步的，所述判断是有恶意参与者的条件为：步骤4)所选择的集合C_i对应的比特为“1”的数量大于给定值N_maxones即为恶意参与者。

进一步的，所述步骤8)中，运算得到的结果与集合K进行比较，若运算得到的结果在集合K中，那么则对应的x值即在所有参与者的交集中，否则不在所有参与者的交集中。

首先，本专利使用了门限同态加密方案、非交互式零知识证明和改进的布隆过滤器等对协议进行构造。即使恶意敌手能获得所有诚实方的布隆过滤器的与操作结果，但在多方的情况下，与操作结果并不能泄露除交集外的各诚实参与方额外信息。其次，本专利利用区块链技术实现了公告栏功能，并在所有参与方发送相应信息到公告栏的同时将其承诺值一并公开，以便于后期对其公布的信息进行验证，能够有效防止部分参与方的恶意行为。因此，本发明实现了在恶意环境下的多方隐私集合交集协议。在恶意敌手存在的情况下，防止敌手获取各诚实参与方的隐私信息，并且防止恶意敌手向各诚实参与方发送不一致的消息，若存在以上情况，则会终止协议，以维护所有诚实参与方的权益。本发明使用了门限加法同态加密和节省空间的布隆过滤器的数据结构，将零知识证明与智能合约相结合，减少了参与者的计算开销和通信开销，极大地提高了其运行效率：一，只使用轻量级对称密钥原语，例如不经意传输和散列函数等，使协议的开销与参与方数量呈线性相关。二，通过在离线阶段对大量的计算进行预处理，节省了大量的时间开销。

附图说明

图1是离线阶段示意图；

图2是在线阶段示意图。

具体实施方式

下面结合附图及实施例，对本发明作进一步的详细说明。

如图1、2所示，网络中包括P₀、P₁、P₂、P₃、P_t多个参与者，即网络中的参与者为P₀与P_i，i＝1、2…t，即P_i(i∈[t])。

本实施例中，隐私集合交集方法主要分为离线阶段和在线阶段，下面具体进行介绍。

离线阶段：

1，初始化阶段

参数设置：参与者P_i有各自的输入集合

Φ_i是参与者P_i的集合元素个数。N_BF和N_OT分别表示布隆过滤器的长度和不经意传输协议OT中接收方的输入长度；k是布隆过滤器中哈希函数的个数；H表示输出长度为k的随机预言；α表示除P₀外的参与者采样的(0,1)比特串中比特值为“1”的比例；p表示从[N_OT]选取元素的比例；N_maxones是cut-and-choose阶段能通过验证的比特值为“1”的最大数量。

所有参与者P₀,...,P_t共同执行下列步骤：

1.1，所有参与者共同调用一个理想函数F_M-COIN生成k个哈希函数h₁,......,h_k:{0,1}^*→[N_BF]；F_M-COIN为投币协议，属于现有技术，下文会进行介绍。

1.2，所有参与者共同约定一个门限同态加密方案THE(THE.Setup,THT.Enc,THE.Eval,THE.Dec)，P₁,...,P_t执行该方案生成公钥THE.pk，参与者们会得到各自的私钥THE.sk_i(i∈[t].)；

门限同态加密方案THE为现有技术，下文会进行介绍；

1.3，所有参与者共同约定一个承诺方案CM(CM.Setup,CM.Commit,CM.Open)。P₀执行CM.Setup得到公共参数CM.para，该参数属于算法CM.Commit和CM.Open的隐式输入。承诺方案CM属于现有技术，下文会进行介绍。

2，随机不经意传输阶段

作为发送方的P₀与作为接收方的P_i(i∈[t])执行理想函数F_E-OT。最终P₀会得到随机的λ位的消息对

P_i根据各自的比特串

得到

为接收方的P_i得到的结果。b⁽ⁱ⁾是P_i自主生成的选择比特串。

发送方可以通过不经意传输协议发送给接收方所需要的信息，但是发送方知道接收方所获取的信息是什么；而接收方可以通过不经意传输协议得到他所需的信息，除此之外得不到其他信息。而随机不经意传输OT发送方持有的信息是随机数，关于比特为0的随机数和关于比特为1的随机数，接收方根据自己的选择比特得到相应的结果。其余性质与不经意传输一致。

在本方案中，发送方有两份不同的数据信息，一份是其在布隆过滤器中真实存放集合元素的相关随机数，另一份是与集合元素无关的随机数；而接收方根据自己的选择比特利用OT得到发送方的随机数(选择比特为0，则得到与集合元素无关的随机数；选择比特为1，则得到与集合元素相关的随机数)。

F_E-OT为不经意传输协议，属于现有技术。

3，承诺阶段

3.1，P₀使用承诺方案CM计算并公布承诺值

3.2，P_i使用门限同态加密方案THE计算并公布加密结果如果

那么

是随机选取的，如果

那么

4，Cut-and-Choose阶段

4.1，所有参与者(包括P₀)共同执行理想函数F_M-COIN来选择集合

(P₁得到C₁，P₂得到C₂……不包括P₀)，而C_i中的每个元素的选取都是独立的，并且该集合大小为N_OT×p；

4.2，P₀使用承诺方案CM打开承诺，即公布承诺内容

P_i公布公开值

4.3，所有的参与者检查这些公布的公开值，以判断是否有人是恶意的。判断的条件时：如果|C_i|-|R_i|>N_maxones，

则表示存在恶意行为。R_i为C_i中0的索引，取绝对值表示求数量，N_maxones为给定的；即步骤4)所选择的集合C_i对应的比特为“1”的数量大于N_maxones为恶意参与者。

在线阶段：

5，置换未打开OT阶段

5.1，P_i生成他的输入集合所对应的布隆过滤器；

5.2，P_i确定各自的一个随机单射函数g_i:[N_BF]→(N_OT\C_i)，即BF_i[l]＝b_gi(l)(l∈[N_BF])，并将其公布。该置换是将5.1中生成的布隆过滤器中的0/1随机置换到[N_OT\C_i](C_i是在cut-and-choose阶段已经打开的0/1的索引值的集合，[N_OT\C_i]则表示剩余未打开的0/1所表示的0/1串。

6，计算阶段

P₀和P_i分别做以下操作：

6.1，根据步骤2得到的结果，P₀计算

即P₀将所有随机数按位置异或起来，得到m_j；

6.2，根据步骤3.2和步骤5.2，P_i通过算法THE.Eval计算

6.3，P₁,...,P_t通过调用算法THE.Dec合作解密cj，得到的结果我们表示为m′_j(j∈[N_BF])。

7，随机化混淆布隆过滤器阶段

7.1，P₀对于输入集合

中的元素依次计算出

P₀将其输入集合与对应随机数的异或结果m_j哈希运算；

7.2，P₀将其计算出的结果随机置换放入集合K中，并发送给P₁。

8，输出阶段

P₁计算并输出

P₁将其输入集合与P_i所对应的随机数的异或结果m_j’进行哈希运算，得到的结果与集合K进行比较，若在集合K中，若运算得到的结果在集合K中，那么则对应的x值即在所有参与者P₀,...,P_t的交集中，否则不在交集中。

关于一些技术术语的解释。

理想函数FM-COIN：

P₀,P₁,...,P_t共同执行该协议，协议的输出是l比特的串。

每个参与者P_i发送各自的输入P_i-INPUT给理想函数F_M-COIN，该函数将消息转发给其他参与者；

收到各方发出的确认信息后，该函数采样一个随机串r，并发送r给所有参与者，作为所有参与者共同拥有的随机值。

承诺方案CM：

一个非交互式的承诺方案CM包括三个算法：CM.Setup,CM.Commit,CM.Open，具体算法如下：

CM.Setup(1^λ)：该算法输入为计算安全参数λ，输出方案所需要的公共参数。在这里将公共参数简单地定义为M,C和R，分别表示消息空间，承诺空间和打开值空间。

CM.Commit(m)：该算法输入为消息m∈M，输出为承诺值c∈C，和一个打开值r∈R(r是一个随机数，从空间R中选取)。

CM.Open(c,m,r)：该算法输入为承诺值c，消息m，和打开值r，输出为一个比特b∈{0,1}，b＝1表示此承诺是有效，否则则表示此承诺无效。

理想函数F_E-OT：

参数说明：l是OT消息的比特长度，N_OT是接受方的输入长度。

通过接收到接收方的输入比特串

后，该函数选取N_OT对{m_i,0,m_i,1}←{0,1}^l(i∈[N_OT])。发送方将由此函数得到所有

接收方仅得到

布隆过滤器：

布隆过滤器是一种高效的空间概率数据结构，它的大小只与映射到表中的元素数量相关，而与元素的大小无关。布隆过滤器具有计算复杂度低、空间利用率高、查询效率高等优点，在具体实践中有着广泛的应用。

布隆过滤器可以将个元素进行编码并映射到m个存储空间内，该结构包括三个算法(Gen,Add,Test)，如下所示：

Gen(m,k):m,k∈N作为算法输入。采样k个均匀独立的哈希函数h₁,h₂,...,h_k＝H，m个存储空间BF[j]∈{0,1},(j∈[1,m])初始值都设置为0。输出结果为(H,BF[j])。

Add(H,BF[j],x):输入元素x，根据哈希函数H找到存储空间BF[h_i(x)]，将其置为1，最终输出BF[j]。

Test(H,BF[j],x):根据已知的哈希函数H，BF[j]和需要检测的元素x，该算法将会对x进行k次哈希得到h₁(x),h₂(x),...,h_k(x)，然后检查是否所有对应位置的值都是1，如果所有位都为1，那么则可以认定该元素x在布隆过滤器中，输出为1，否则输出0。

但是，布隆过滤器在查询元素x阶段存在假阳性，即在所有相关位置都为1的情况下，存在

的概率x不在布隆过滤器中，但是这个概率在一定情况下是可忽略的。

随机混淆布隆过滤器：

混淆布隆过滤器G在每一个存储空间G[i]都存储一个m位的比特串而不是0或者1单独的一位。为了表示一个集合X，每个属于集合X的元素x都使用k个哈希函数h₁,h₂,...,h_k得到对应位置h₁(x),h₂(x),...,h_k(x)，且利用秘密共享使

所有未映射到的位置都设置为m位的随机比特串。而在随机混淆布隆过滤器中，所有x映射到的k个位置存放完全随机的随机数，并且由这k个随机数重构不出x。

非交互零知识证明：

Fiat-Shamir启发式零知识证明主要是证明者P是一种既不泄露x信息，又能使验证者V相信的方式向V证明他知道y＝g^x中的指数x。具体步骤如下：

a)P向V验证P知道x：y＝g^x；

b)P随机选取

并计算t＝g^v；

c)P计算c＝H(g,y,t)(H是加密哈希函数)；

d)P计算r＝v-cx，由此产生一对(t,r)，并将其公布；

e)V可以检测t与g^ry^c是否相等。

本方案构造了一个有效的非交互式零知识证明(NIZK)，该证明对于百万级的数据量是可行的。本方案需要NIZK和NIZK-PoK系统用于以下组语言：

为了提高效率，本方案考虑了以下由多个DH元组组成的更通用的语言：

然后本方案利用了一个具体的三轮∑协议，对于百万数量级的集合元素来说，这是一个兼具实用性与灵活性的协议。

门限同态加密：

由ElGamal加密实现的门限同态加密，主要包含四个算法密钥生成算法KeyGen，解密算法Dec，加密算法Enc以及求值算法Eval。具体算法如下：

参与方P₁,...,P_n执行以下步骤(P_i的消息表示为m_i)：

KeyGen：所有参与者共同执行投硬币协议得到一个公共随机串ρ并且执行(G,q,g)＝Gen(ρ)。每个参与者P_i采样一个随机数

并将其设置为私钥sk_i，然后计算并将h_i公布。

Enc：采样一个随机数

输入公钥pk＝(G,q,g,h)和消息m_i∈G，输出密文

Eval：输入公钥pk＝(G,q,g,h)和密文ct₁＝(y₁,z₁),...,ct_n＝(y_n,z_n)，输出ct^*＝(∏_i∈[n]y_i,∏_i∈[n]z_i)。

Dec：P_i计算

并将其公布，所有参与方计算ds＝∏_i∈[n]ds_i。然后计算结果

Claims (4)

1.一种抗恶意敌手的多方隐私集合交集方法，其特征在于，包括离线阶段和在线阶段；在离线阶段，执行如下步骤：

1)所有参与者共同调用投币协议，生成哈希函数；所有参与者共同约定一个门限同态加密方案；所有参与者共同约定一个承诺方案；所述所有参与者包括发送方P₀与作为接收方的其他各参与方Pi；0<i≤t；t为除P₀以外的其他参与者数量；

2)P₀与Pi执行随机不经意传输协议；N_OT表示不经意传输协议OT中接收方的输入长度；

3)P₀使用所述承诺方案计算并公布承诺值；Pi使用所述门限同态加密方案THE计算并公布加密结果；

4)所有参与者共同执行投币协议选择集合

P₀公布承诺内容，Pi公布公开值；所有参与者检查所述公开值以判断是否有恶意参与者；

在在线阶段，执行如下步骤：

5)P_i生成他的输入集合所对应的布隆过滤器；置换步骤4)中未被选择的集合，并公开；

6)P₀将所有随机数按位置异或，得到m_j；根据步骤3)和步骤5)得到的结果，P_i利用所述门限同态加密方案THE的算法进行解密计算，得到m_j’；

7)P₀将其输入集合与对应随机数的异或结果m_j进行哈希运算得到集合K，发送给接收方P₁；

8)P₁将其输入集合与P_i所对应的随机数的异或结果m_j’进行哈希运算。

2.根据权利要求1所述的抗恶意敌手的多方隐私集合交集方法，其特征在于，所述集合C_i中的每个元素的选取都是独立的，并且该集合大小为N_OT×p；p表示从[N_OT]选取元素的比例。

3.根据权利要求2所述的抗恶意敌手的多方隐私集合交集方法，其特征在于，所述判断是有恶意参与者的条件为：步骤4)所选择的集合C_i对应的比特为“1”的数量大于给定值N_maxones即为恶意参与者。

4.根据权利要求1所述的抗恶意敌手的多方隐私集合交集方法，其特征在于，所述步骤8)中，运算得到的结果与集合K进行比较，若运算得到的结果在集合K中，那么则对应的x值即在所有参与者的交集中，否则不在所有参与者的交集中。

Images