CN111984984A - 基于集合运算的保密统计数据共享方法及系统 - Google Patents

Abstract

本发明属于信息安全领域，提供了一种基于集合运算的保密统计数据共享方法及系统。其中，基于集合运算的保密统计数据共享方法包括保密统计数据共享的通信一方利用布谷哈希将其输入集合X映射到哈希表中，保密统计数据共享的通信另一方利用普通哈希将其输入集合Y中每个元素放置到哈希表中的所有可能位置；利用共享成员测试方法，判断通信一方的输入集合中的元素是否属于通信另一方的输入集合，得到共享计算结果；基于共享计算结果，计算关于集合X和Y运算的统计信息，利用茫然随机函数在保密统计数据共享的通信双方之间传输相应集合统计信息。

Description

基于集合运算的保密统计数据共享方法及系统

技术领域

本发明属于信息安全领域，尤其涉及一种基于集合运算的保密统计数据共享方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

目前，通过共享分散于多机构的孤立数据、挖掘其中蕴含的潜在价值，从而服务于政府决策以及提高服务质量，已经成为一种客观需求。然而，在很多场景下，数据持有者往往有隐私需求，并且待分享的数据通常包含一定的商业价值，因而数据持有者不想揭示持有数据的明文信息。况且，国内外关于数据安全的法律法规，如欧洲的GDPR和国内密码法的生效，为数据安全提出了更高的要求。因此，如何在保护数据隐私的前提下，对分散的数据进行融合计算，发掘数据的潜在价值，已经成为学术界和工业界的热点研究问题。

在数据共享场景中，一种典型应用需求是集合求交运算。以两方计算为例，参与方P0持有集合X，P1持有集合Y，执行集合求交运算后，双方得到交集结果X∩Y，而不泄露任何其他信息。集合求交可广泛应用于隐私需求较高的保险、医疗、征信等业务场景，如两个银行计算共同客户而不泄露自己持有的客户群体。然而，仅仅计算集合求交并不能满足持续扩大的需求。具体来说，很多场景下，通信双方可能不仅仅满足于交集计算，而想计算集合运算结果的某些函数输出。比如，双方可能只想泄露关于交集的某个函数f(X∩Y)，如交集大小、交集权值和等。发明人发现，在隐私需求较高的保险、医疗、征信等业务场景中，很多时候泄露交集元素都是不被允许的，通信双方可能会计算集合并集以及基于并集的统计量。

发明内容

为了解决上述问题，本发明提供一种基于集合运算的保密统计数据共享方法及系统，其能够在不泄露交集元素的前提下，保密计算交集元素的统计信息。

为了实现上述目的，本发明采用如下技术方案：

本发明的第一个方面提供一种基于集合运算的保密统计数据共享方法，包括：

保密统计数据共享的通信一方利用布谷哈希将其输入集合X映射到哈希表中，保密统计数据共享的通信另一方利用普通哈希将其输入集合Y中每个元素放置到哈希表中的所有可能位置；

利用共享成员测试方法，判断通信一方的输入集合中的元素是否属于通信另一方的输入集合，得到共享计算结果；

基于共享计算结果，计算关于集合X和Y运算的统计信息，利用茫然随机函数在保密统计数据共享的通信双方之间传输相应集合统计信息。

本发明的第二个方面提供了一种基于集合运算的保密统计数据共享系统，其包括：

保密统计数据共享的通信一方，其利用布谷哈希将其输入集合X映射到哈希表中；

保密统计数据共享的通信另一方，其利用普通哈希将其输入集合Y中每个元素放置到哈希表中的所有可能位置；

保密统计数据共享的通信双方被配置为：

利用共享成员测试方法，判断其输入集合中的元素是否属于通信另一方的输入集合，得到共享计算结果，进而计算关于集合X和Y运算的统计信息；

利用茫然随机函数传输集合统计信息。

与现有技术相比，本发明的有益效果是：

保密集合统计是很重要的隐私保护数据处理协议，具有实际的商业应用前景，本发明仅利用茫然传输，设计了一组支持计算集合统计函数的方法，能够在不泄露集合元素的前提下，计算集合交集大小、并集大小以及交集权值和、交集权值方差。本发明利用哈希技巧，对协议的通信量进行了优化，能够在不泄露集合元素的前提下，保密计算集合元素的统计信息。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1是本发明实施例的计算交集权值哈希映射的示意图。

图2是本发明实施例的计算交集权值流程的示意图；

图3是本发明实施例的基于集合运算的保密统计数据共享方法流程图。

具体实施方式

下面结合附图与实施例对本发明作进一步说明。

应该指出，以下详细说明都是例示性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

术语解释：

茫然传输(OT)：

OT是安全多方计算的核心组件。以应用最广泛的(1,2)-OT为例，发送者提供两个消息m₀,m₁,接收者提供选择比特b，最终接收者拿到m_b。OT的安全性要求接收者不知道m_1-b，而发送者不知道接收者的选择比特b。更一般地，可以定义(1,n)–OT，其中发送者提供n个消息，接收者只能拿到一个消息。OT只能通过公钥密码原语进行构造，但是可以利用对称技巧进行高效拓展.具体来说，OT拓展协议只需要执行少量的基础OT，附加高效的对称操作，就可以产生大量的拓展OT。

茫然伪随机函数：

茫然伪随机函数(Oblivious PRF)是一个两方协议，其中发送方持有F的密钥key,而接收方持有输入x。双方执行协议后，接收方输出F(key,x)而发送方输出为空。OPRF的理想功能函数定义如下：

F_OPRF功能函数：

1)接收方提供输入(m₁,…,m_t),随机选一个PRF密钥key；

2)将key发送给发送方，(F(key,m₁),…,F(key,m_t))发送给接收方；

OPRF理想功能函数可通过多种方式实现，如通过两方计算AES来实现，其中发送方持有密钥，接收方持有输入，双方执行安全计算AES，最终将安全计算结果揭示给OPRF接收方。此外，可利用专用协议计算PRF(key,x)＝H(x,H’(x)^key)，其中H是普通哈希函数，H’的输出为某个群元素.在实际中，通信双方可以根据具体场景的需求来选取合适的OPRF协议。为了描述简单，本实施例用F_OPRF来代替具体的OPRF协议。

哈希技巧：

当前的集合求交/求并协议中，往往利用到了某些特殊的哈希技术来提高协议的渐进复杂度。具体来说，假设参与方P₀持有集合X，而参与方P₁持有集合Y，其中X，Y的规模为O(n)。为执行求交协议，P₀需要对所有的x∈X测试其是否属于Y，从而造成总共O(n²)的复杂度.采用一些特殊的哈希方法，如布谷鸟哈希能够实现最优O(n)的协议通信复杂度。

在布谷鸟哈希方案中，哈希表保存了b个桶B₁,…,B_b，布谷鸟哈希利用了两个哈希函数h₁，h₂：

将m个元素映射到b＝2(1+ε)m个桶中.在布谷鸟哈希的元素插入过程中，当插入元素e时，首先利用两个哈希函数计算两个位置h₁(e)和h₂(e)，然后检查h₁(e)和h₂(e)哪一个位置空缺。如果有空缺，那么随机选一个空缺位置插入e。如果两个位置都已经存在元素，那么随机选一个位置，用e替换此位置的原元素o。然后继续计算h₁(o)和h₂(o),并对元素o继续做插入处理。持续以上过程，直到没有元素被移出或者移出次数达到某个界值。对于后一种情况，最后一个被移出的数据会被放置在缓存Stash中。现存结论表明，对于|Stash|≤logm，插入m个元素后失败的概率为m-^s。布谷鸟哈希的查找非常高效，对于待查元素x,只需要计算h₁(x)和h₂(x)，然后查找B中对应两个位置。如果元素x存在，必存在h₁(x)和h₂(x)或者Stash中。

通过增加布谷哈希函数个数(如哈希函数数目k设为3，4，5)以及合理设置桶的数目，可以在很大的概率下将所有元素放置在桶中，而无需stash.这种无stash的布谷哈希技巧，可以避免stash中元素和集合Y的成员测试。在本实施例方案中，所有布谷哈希采用此类无stash的布谷鸟哈希构造技巧。

共享等值比较：

在一个共享等值比较中，参与方P₀和P₁各自提供输入x和y，运行结束后，双方共享等值比较结果e。其中，如果x＝y,P₀和P₁共享比特e＝1；否则，共享0。其功能函数为：

F_SEQ：

1)从P₀收到x，从P₁收到y；

2)如果x＝y,e←1,否则e←0；

3)随机选取

发送r给P₀,发送

给P₁；

以上功能函数可以通过Yao协议或者GMW协议计算等值比较电路来实现。然而，简单的基于电路的方法存在通信量或者轮数过高的缺点。在本发明中，我们利用OT给出一个安全计算F_SEQ的协议Π_SEQ，相比基于电路的实现，该协议的轮数仅为O(logl)。

Π_SEQ:

1)令v←l,x^(v)←x,y^(v)←y

2)While v＞δ

a)For i∈[1，v],P₀随机选取

P₀和P₁计算调用F_OT，其中提供P₀输入

P₁输入

最终，P₁从F_OT收到

b)P₀计算

P₁计算

c)令

P₀设置x^(v)←α，P₁设置y^(v)←β

3)令N←2^v,P₀随机选取

计算(m₀，...，m_N-1),其中

而对于任意i≠x^(v),m_i＝b。

4)P₀和P₁执行N选1OT，P₀输入(m₀，...，m_N-1)，P₁输入y^(v).最终，P₀输出b，P₁输出m_y(v)。

该协议的主要思想是将等值比较问题转化为计算两个输入比特串的汉明距离。若两个输入串相等，当且仅当两个输入串的汉明距离为0。为此，可利用OT来计算两个输入串的汉明距离，并将计算结果共享到通信双方。

共享成员测试：

成员测试针对以下场景：P₀持有元素x,P₁持有集合Y。P₀想测试元素x是否属于P₁的集合Y.针对该场景，我们要求成员测试的结果共享在通信双方，而任意一方不知道测试结果。为此，我们定义如下的共享成员测试理想功能函数F_SPMT：

F_SPMT功能函数：

1)P₀输入元素x，P₁输入集合Y

2)计算成员测试结果c,如果x∈Y，则c←1,否则c←0

3)随机选取

发送r给P₀,发送

给P₁

针对该理想功能函数，我们给出了一个计算F_SPMT的协议Π_SPMT，该协议利用了功能函数F_OPRF和F_SEQ，因此工作在(F_OPRF，F_SEQ)-混合模式。

Π_SPMT:

1)P₀作为F_OPRF的接收方，输入x.P₁作为F_OPRF的接收方.最终，F_OPRF发送伪随机函数F的密钥key给P₁，发送F(key,x)给P₀；

2)针对任意y_i∈Y，其中i∈[1，|Y|],P₁随机选取r∈F_p，计算多项式：

P₁发送多项式P的系数给P₀；

3)P₀计算s＝P(F(key，x)).两个参与方调用F_SEQ，其中P₀输入s，P₁输入r.最终参与方共享r和s的等值关系。

通过协议Π_SPMT，参与方首先调用F_OPRF使得P₀拿到PRF输出F(key，x).随后，P₁生成多项式P(x)并将多项式的系数发送给P₀.如果x∈Y，那么x必定是P(x)–r的某个零点值，那么P₀计算s＝P(F(key，x))必定和r相等。因此，对s和r调用共享等值功能函数F_SEQ，最终将x是否属于Y最终共享到参与方。

实施例一

如图3所示，本实施例提供了基于集合运算的保密统计数据共享方法，其包括：

步骤1：保密统计数据共享的通信一方利用布谷哈希将其输入集合X映射到哈希表中，保密统计数据共享的通信另一方利用普通哈希将其输入集合Y中每个元素放置到哈希表中的所有可能位置；

步骤2：利用共享成员测试方法，判断通信一方的输入集合中的元素是否属于通信另一方的输入集合，得到共享计算结果；

步骤3：基于共享计算结果，计算关于集合X和Y运算的统计信息，利用茫然随机函数在保密统计数据共享的通信双方之间传输相应集合统计信息。

其中，集合X和集合Y的协议通信复杂度相等。

保密统计数据共享的通信一方的输入集合还对应由权值集合，权值集合中的元素由输入集合中各元素的权值构成。

关于集合X和Y运算的统计信息包括交/并集大小、交集权值和以及交集权值方差。

具体地，关于集合X和Y运算的统计信息的具体计算过程如下：

1.计算交集权值和

如图2所示，计算交集权值和针对以下场景：P₀输入集合X以及权值集合V，其中V中的每个元素对应集合X中的每个元素x，记V_x为元素x的权重。P₁输入集合Y，其中|X|＝|Y|＝O(n).双方想要计算交集的权值之和∑_e∈X∩YV_e。具体来说，以上功能可以通过理想功能函数来描述。

F_PSI-SUM功能函数：

1)P₀输入X以及权值集合V，P₁输入集合Y。

2)计算∑_e∈X∩YV_e，并将该值发送给P₁。

针对以上理想功能函数，我们设计了计算交集权值和的协议Π_PSI-SUM.该协议利用共享等值比较协议和OT来安全实现F_PSI-SUM。

Π_PSI-SUM：

输入：P₀输入集合X以及每个元素的权值集合V，P₁输入集合Y，其中|X|＝|Y|＝n，以及共享布谷哈希桶个数B＝k(1+ε)n，其中k是哈希函数个数，如图1所示。

输出：P₀无输出，P₁输出∑_e∈X∩YV_e。

1)P₀利用布谷哈希将X映射到哈希表B₁,…,B_b中，令桶i中的元素为x_i.P₁利用简单哈希，将集合Y映射到b个桶中，其中每个桶中的元素们定义为Y_i。

2)参与方对逐桶执行协议Π_SPMT.P₀输入x_i，P₁输入Y_i，参与方共享x_i是否属于Y_i的比特信息c_i。最终P₀输出[c_i]₀，P₁输出[c_i]₁，其中

3)P₀随机选一个元素

P₀和P₁执行2选1OT，P₀作为发送者输入

P₁作为OT接收者输入[c_i]₁，最终P₁输出

mod 2^l。

4)P₀计算a＝∑_i∈[1，b]-[r_i]₀mod 2^l，P₁计算

P₀发送a给P₁，后者输出计算结果∑_e∈X∩Y S_e＝b+a mod 2^l。

协议Π_PSI-SUM可计算交集大小f(X∩Y)＝|X∩Y|。协议开始时，P₀和P₁分别持有集合X和Y。首先，参与方利用哈希技巧，对元素进行组织。具体来说，P₀利用布谷哈希将X映射到B个桶中，而P₁利用简单哈希将Y映射到B个桶中，其中每个桶中可能有多个元素。为了保护桶中的元素个数，P₁可以在桶中加入无用元素，使得所有桶的元素个数相等。桶中元素数目设置为O(logn)时，能够保证以上分配的失败概率足够小。随后，通信双方逐桶执行共享成员测试协议.这样，对于每个桶i，通信双方共享了x_i是否属于Y_i的比特信息c_i。然后，利用共享的等值比较结果，通信双方计算∑_e∈X∩YV_e，其中V_e为元素e的权值。通过一个基于OT的协议来实现以上需求。具体来说，针对每个桶B_i，P₀作为OT发送者输入两个消息

P₁作为OT接收者输入[c_i]₁，P₁输出

mod 2^l。对所有桶执行上述操作后，本质上对每个桶i，通信双方共享了值

也就是说，如果c_i＝1，那么

共享在参与方之间；否则，0共享到参与方。最后，通信双方逐桶将份额相加，并将计算结果∑_e∈X∩Y V_e＝b+a mod 2^l揭示给P₁，完成计算。

以上发明也可以很方便地计算交集和并集权值大小。针对交集大小，发送者只需将每个元素对应的权值统一设置为1即可，这样只有在交集中的元素被计数为1，否则为0。此外，由于并集大小可以通过公式|X∪Y|＝|X|+|Y|-|X∩Y|求得。

例如：

针对更加一般的情况，Π_PSI-SUM可以用于计算广告转化率。在计算广告转化率协议中，广告投放商拥有访问广告的用户集合，用户点击广告后，可能会转向零售商购买商品。因此，零售商不仅拥有购买商品的用户集合，还额外拥有用户的消费金额。广告商和零售商想要计算所有交集用户的消费总和。可见，计算广告转化率本质上是求交集用户的消费之和，因而可以通过协议Π_PSI-SUM解决。本发明不需要泄露交集大小，并且仅仅需要OT就可以实现计算需求.考虑到当下高效的OT拓展和OT预处理技术，本发明的计算效率更加高效。

2.计算交/并集大小

利用以上方法也可以很方便地计算交集和并集权值大小。

针对交集大小，P0只需将每个元素对应的权值统一设置为1即可，只有在交集中的元素被计数为1，否则为0。由于并集大小可以通过公式|X∪Y|＝|X|+|Y|-|X∩Y|求得。

3.计算交集权值的方差

P0输入集合X以及权值集合V，其中V中的每个元素对应集合X中的每个元素x，记V_x为元素x的权重，每个权重值的比特长度为l.P1输入集合Y，其中|X|＝|Y|＝O(n)；双方想要计算交集的权值方差

通信双方首先调用交集权值和协议，共享∑_e∈X∩YV_e ²；

继续调用交集权值和协议，计算并共享∑_e∈X∩YV_e；

通信双方执行共享的减法运算，计算并揭示∑_e∈X∩Y(V_e ²-V_e)给P1；

继续调用交集权值和协议，计算并揭示交集大小X∩Y给P1；

P1计算

得到交集权值的方差。

实施例二

本实施例提供了基于集合运算的保密统计数据共享系统，其包括：

保密统计数据共享的通信一方，其利用布谷哈希将其输入集合X映射到哈希表中；

保密统计数据共享的通信另一方，其利用普通哈希将其输入集合Y中每个元素放置到哈希表中的所有可能位置；

保密统计数据共享的通信双方被配置为：

利用共享成员测试方法，判断其输入集合中的元素是否属于通信另一方的输入集合，得到共享计算结果，进而计算关于集合X和Y运算的统计信息；

利用茫然随机函数传输集合统计信息。

其中，集合X和集合Y的协议通信复杂度相等。

保密统计数据共享的通信一方的输入集合还对应由权值集合，权值集合中的元素由输入集合中各元素的权值构成。

关于集合X和Y运算的统计信息包括交/并集大小、交集权值和以及交集权值方差。

茫然伪随机函数通过保密统计数据共享的通信双方计算AES来实现，其中发送方持有密钥，接收方持有输入数据，双方执行安全计算AES，最终将安全计算结果揭示给接收方。

本实施例仅利用茫然传输，设计了一组支持计算集合统计函数的方法，能够在不泄露集合元素的前提下，计算集合交集大小、并集大小以及交集权值和、交集权值方差。利用哈希技巧，对协议的通信量进行了优化。能够在不泄露集合元素的前提下，保密计算集合元素的统计信息。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于集合运算的保密统计数据共享方法，其特征在于，包括：

保密统计数据共享的通信一方利用布谷哈希将其输入集合X映射到哈希表中，保密统计数据共享的通信另一方利用普通哈希将其输入集合Y中每个元素放置到哈希表中的所有可能位置；

利用共享成员测试方法，判断通信一方的输入集合中的元素是否属于通信另一方的输入集合，得到共享计算结果；

基于共享计算结果，计算关于集合X和Y运算的统计信息，利用茫然随机函数在保密统计数据共享的通信双方之间传输相应集合统计信息。

2.如权利要求1所述的基于集合运算的保密统计数据共享方法，其特征在于，集合X和集合Y的协议通信复杂度相等。

3.如权利要求1所述的基于集合运算的保密统计数据共享方法，其特征在于，保密统计数据共享的通信一方的输入集合还对应由权值集合，权值集合中的元素由输入集合中各元素的权值构成。

4.如权利要求3所述的基于集合运算的保密统计数据共享方法，其特征在于，关于集合X和Y运算的统计信息包括交/并集大小、交集权值和以及交集权值方差。

5.如权利要求1所述的基于集合运算的保密统计数据共享方法，其特征在于，茫然伪随机函数通过保密统计数据共享的通信双方计算AES来实现，其中发送方持有密钥，接收方持有输入数据，双方执行安全计算AES，最终将安全计算结果揭示给接收方。

6.一种基于集合运算的保密统计数据共享系统，其特征在于，包括：

保密统计数据共享的通信一方，其利用布谷哈希将其输入集合X映射到哈希表中；

保密统计数据共享的通信另一方，其利用普通哈希将其输入集合Y中每个元素放置到哈希表中的所有可能位置；

保密统计数据共享的通信双方被配置为：

利用共享成员测试方法，判断其输入集合中的元素是否属于通信另一方的输入集合，得到共享计算结果，进而计算关于集合X和Y运算的统计信息；

利用茫然随机函数传输集合统计信息。

7.如权利要求6所述的基于集合运算的保密统计数据共享系统，其特征在于，集合X和集合Y的协议通信复杂度相等。

8.如权利要求6所述的基于集合运算的保密统计数据共享系统，其特征在于，保密统计数据共享的通信一方的输入集合还对应由权值集合，权值集合中的元素由输入集合中各元素的权值构成。

9.如权利要求8所述的基于集合运算的保密统计数据共享系统，其特征在于，关于集合X和Y运算的统计信息包括交/并集大小、交集权值和以及交集权值方差。

10.如权利要求6所述的基于集合运算的保密统计数据共享系统，其特征在于，茫然伪随机函数通过保密统计数据共享的通信双方计算AES来实现，其中发送方持有密钥，接收方持有输入数据，双方执行安全计算AES，最终将安全计算结果揭示给接收方。

Images