CN112910631A - 一种基于云服务器辅助的高效隐私集合交集计算方法及系统 - Google Patents

Abstract

本发明提供了一种不经意两方分布式伪随机函数(Otd‑PRF)，实施特点可描述为：参量：服务方S，客户端C，OPRF函数，单向哈希函数H：{0，1}^*→{0，1}^*，输入：客户端输入x₁，服务方输入x₂，1.OPRF实例生成，2.服务方计算主密钥

若x＝y，

若x≠y，

结果不带有用信息。本发明可将主要计算交给不可信云的服务器，实际使用时客户端计算量少，通信代价低且不必实时在线，适用于客户端设备受限的应用场景。并且能够在半诚实模型下保证参与方数据安全，还可以保密地计算隐私集合交集基数。

Description

一种基于云服务器辅助的高效隐私集合交集计算方法及系统

技术领域

本发明涉及多方安全计算中隐私集合交集计算领域，具体来说，是一种不经意两方分布式伪随机函数及基于该函数和不可信云服务器辅助的高效隐私交集计算方法及其系统。

背景技术

隐私集合交集(Private Set Intersection，PSI)技术是安全保密计算技术中的重要部分，其允许各自持有私有集合数据的多方在不泄露除交集外任何额外信息的情况下计算出集合交集。隐私集合交集技术作为安全多方计算中许多复杂功能的基础板块，在隐私技术业内受到广泛关注。近几年，PSI技术发展迅速，已经应用于许多领域，如私有联系人查找，广告曝光效果计算和接触者追踪等。隐私集合交集基数(PSI cardinality，PSI-CA)指隐私交集集合中元素的数量，常被应用于私有分布式数据的一些分析。

现在已经有非常多传统的两方本地隐私集合交集方案被提出。其中一种简单通用的方法是使用隐私相等性测试协议(private equality test，PEQT)对比双方元素是否相等，如果双方各持有m个元素，这项工作最坏将需要m²次对比。通过计算哈希值将元素映射到向量对比次数能够减少到O(nlogn)。在这个基础上使用茫然传输协议拓展技术能将通信复杂度下降至O(mλ)。

以上传统的PSI方案很高效，但存有潜在限制，对客户端的硬件设备仍有较高要求又无法安全的将计算外包给不可信云，在客户持有受限设备与大型服务提供商之间执行PSI协议时，可能会出现客户端算力不足或者通信受限等问题。现有适用于客户端持有受限设备(如：手机)的PSI协议，也仅限于适用在双方集合数量不平衡的场景。传统的PSI协议适用于数据拥有者们在本地隐私的计算集合交集，并不能在不可信云环境下仍然保证数据的隐私。云计算给用户提供了经济高效的存储和计算资源，并且一直在吸引个人和企业的关注，是现代工业至关重要的技术之一。将计算外包给云服务器，客户端将无需花费大量资金来购买和维护硬件设备，这大大降低了资金支出成本。理想情况下，不受信任的云服务器应该能够对客户端的外包数据集进行计算，但不应了解有关隐私数据集或计算结果的任何信息。设计一个将计算委托给不可信云的PSI协议并不是一件简单的事情，因为不仅必须像传统的PSI模型那样保证另一方的安全性，而且还要保证不可信云服务器的安全性。迄今为止，已有非常多高效的能在云环境下保证数据安全的隐私集合交集协议被提出，但都存在一定安全隐患或者委托之后客户端计算量通信量仍然过大等问题。因此，需要一个基于不可信云服务器辅助的高效隐私交集计算方法。

秘密共享由Adi Shamir和George Blakley在1979年各自独立提出，是指将一个秘密分配给多个参与者，每个参与者都能分配到一部分秘密，当且仅当足够数量的不同秘密组合在一起时才能恢复出完整的秘密，参与者无法单独恢复秘密。本发明使用了一个基于简单异或操作但高效且被广泛使用的秘密共享方案，该方案产生n-1个与秘密s长度相同的随机字符串r₁，..r_n-1，同时计算

r_i为秘密分享值，收集n个分享值后可以计算

恢复出秘密s，而任何少于n个分享值的情况都不会泄露与秘密s的相关信息。

不经意伪随机函数(Oblivious Pseudo-Random Functions，OPRF)由Freedman等人在2005年提出的一个安全两方协议，参与对象由接收方和发送方组成，协议执行时随着接收方输入值x，不经意伪随机函数计算协议产生种子值k。最终，发送方得到种子值k，接收方得到OPRF结果F(k，x)。发送方可通过种子值k计算F(k，y)，其中y为想计算的任何值。OPRF主要过程可分为以下三步：(1)等待接收者输入值x；(2)生成一个随机PRF种子k将其发送给发送者；(3)将F(k，x)发送给接收者。

Pinkas等人提出了一种基于少量公钥加密和大量分组密钥加密操作的OPRF协议，能以非常低的代价高效的产生大量的OPRF实例。Kolesnikov等人又介绍了一种PRF密钥为相关对(s，k)的不经意伪随机函数BaRK-OPRF，第一个密钥s是由发送者选择的随机秘密值，执行协议生成大量OPRF实例时，所有实例都使用相同的相关密钥值s。第二个密钥的组成结构为

其中x为OPRF输入值，C()为随机函数，∧表示按比特与(AND)操作。值t作为PRF输出由函数随机选择或直接由接受者选择，接受者最终能够得到F_s(k，x)＝t。在BaRK-OPRF的每个OPRF实例中，接收者能够计算唯一的输入值x，发送者能够计算任意y值的PRF结果

将k值代入后能得到

显然，如果x＝y，则F_s(k，y)＝t，此时F_s(k，y)＝F_s(k，x)成立。

Duong等人在BaRK-OPRF的基础上提出了一种结果满足异或同态性质的伪随机函数Odk-PRF，由于其异或同态性，计算能够通过秘密共享外包给m个由不可信云服务器扮演的接收方。Odk-PRF由一个发送方和m个接收方组成，设

接收方i(1≤i≤m)持有经XOR秘密共享后关键字x的一部分x_i，执行Odk-PRF协议后，发送方可以得到一个相关密钥s和PRF密钥k，

接收方i则得到PRF部分结果F_s(k_i，x_i)。

收集m个PRF部分结果，可重构出由值x、相关密钥s和密钥k生成的PRF结果F_s(k，x)。其中

于是有

成立，应用具有XOR同态性的线性编码函数C能使得

成立。定义F_s(k，x)：＝t，其中

Odk-PRF的原始结构要求m个客户端不能全部合谋，腐败人数达到秘密共享门限便可恢复x值，Odk-PRF假定存在不全合谋的多个云服务器网络提供计算能力，但在隐私集合交集计算中往往用不到如此庞大的云网络，使用Odk-PRF若只将计算外包给一台服务器又不能保证客户端集合数据的安全。因此也需要一种新的适用于将计算外包的不经意伪随机函数出现。

发明内容

本发明要解决的问题是提供一种不经意两方分布式伪随机函数及基于该函数和不可信云服务器辅助的高效隐私交集计算方法及相应的系统，该方法和系统使用秘密共享将弱设备参与方的计算外包给不可信云，使得用户能够在自身硬件设备有限的情况下也能进行隐私集合交集计算，可实现受限设备与大型服务提供商之间进行隐私集合计算时客户端将主要计算交给不可信云。

为高效的解决隐私集合交集计算安全外包问题，本发明还设计了一种不经意两方分布式伪随机函数(Oblivious two-party distributed Pseudorandom Function，Otd-PRF)，使得两方参与者能够隐私的比较双方的元素是否相等，同时能安全的将其中一方的计算外包给云服务器。本发明尤其适用于弱客户端借助不可信的云服务器与有一定计算能力的服务提供商之间计算隐私集合交集，方案通信复杂度和计算复杂度均为O(n)与弱客户端集合大小承线性关系，与服务提供商集合大小无关，并且经过调整能够只对隐私集合交集基数进行计算。

本发明可以定义为有三方参与：客户端C，大型服务商S和云服务器H。假定云服务器H不与服务商S合谋。基于不可信云服务器辅助的高效隐私交集计算协议表示为Π：⊥×({0，1}^*)^N×({0，1}^*)ⁿ→⊥×⊥×f_|∩|，其中⊥表示空输入或空输出，{0，1}^*表示输入项的域，N和n表示集合大小，f表示PSI函数。对于每一组分别属于H，C，S的输入⊥，大小为n的集合X和大小为N的集合Y，函数对H和S输出⊥，对C输出f_|∩|＝|X∩Y|。

为解决上述技术问题，本发明通过以下4种技术方案组合而成：

(1)秘密共享(Secret Sharing)

产生n-1个与秘密s长度相同的随机字符串r₁，..r_n-1，同时计算

所有r_i是分享值，收集n个分享值后可以计算

恢复出秘密s，而任何少于n个分享值的情况都不会泄露与秘密s的相关信息。

(2)布谷鸟哈希算法(Cuckoo hashing)

布谷鸟哈希算法是一种借助k个哈希函数H₁，…，H_k建立密集哈希表的方法，已经被的广阔的应用在了隐私集合交集领域。原始布谷鸟哈希算法将元素x插入到哈希表B[1…β]的过程如下：(1)随机选择一个索引i，i∈[1，k]，尝试将待插入元素x插入到B[H_i(x)]处。(2)若B[H_i(x)]为空则直接插入，若B[H_i(x)]已有元素y，则取出y值作为待插入元素重复步骤1，直到没有元素取出或者重复步骤达到一定上界。

在插入过程中重复插入达到一定深度时则代表密集的哈希表构建失败，为防止插入失败常常在步骤2中重复步骤达到一定上界时将y值放入一个特殊的存储空间stash中.对布谷鸟哈希映射法的选参详细分析后，能证明合理选择参数β，k可使得成功几率(1-2^-λ)足够高且不再需要为防止构建失败生成额外的存储空间stash。

(3)朴素哈希法(Simple hashing)

服务端S使用布谷鸟哈希算法中相同的k个哈希函数将集合Y映射到长度为β的二维向量中，其中每个y∈Y在二维向量中出现k次。基于参数k，β，|Y|经随机算法分析能够推测一个上边界η，使得β个向量中存在向量的元素数量超过上边界η的几率为2^-λ。

(4)集合信息的打包方法

集合信息的打包主要由两个方法组成：pack(S)→∏：集合S＝{(a₁，b₁)，…，(a_η，b_η)}，通过该方法处理集合S后输出一个集合的其他表示形式Π；unpack(Π，a)→v：将Π和关键字a作为参数放入此方法中可得到一个输出值v；打包方法应该满足以下性质：正确性：如果(a，b)∈S且Π←pack(S)，那么(a，unpack(Π，a))∈S应该成立。不经意性：当b_i均匀分布，按照方法pack({(a₁，b₁)，…，(a_η，b_η)})得到集合的表示形式Π，对于不相等的a_i和a_j，pack(Π，a_i)和pack(Π，a_j)产生的结果应当不可区分。

基于不同方法的不同结构在计算和通信上有不同表现，本发明使用但不限于两种技术对集合信息打包处理方法：

基于多项式的打包结构：pack(S)方法表示构建一个(η-1)次多项式Π来表达S＝{(a₁，b₁)，…，(a_η，b_η)}点集.unpack(Π，a)方法表示将关键字a代入到多项式Π中求取结果.显然Π满足上述不经意性和正确性。但多项式插值操作需要O(ηlog²η)步时，η取值大时多项式操作昂贵。

基于混淆布隆过滤器的打包结构：H＝{h₁，…，h_k}|h_i：{0，1}^*→[τ]表示一组哈希函数，GBF表示一个字符串数组GBF[1…τ]，键值对(a，b)插入GBF后表现为

构建过程：将数组GBF[1…τ]初始化为空⊥。对要插入的键值对(a，b)，集合T＝{h_i(a)|i∈[k]，GBF[h_i(a)]＝⊥}表示当前GBF中未被赋值的位置，选取满足

的随机值赋值给{GBF[j]|j∈[T]}(

时构建失败)。最后将GBF[j]＝⊥处填充随机值.构建过程计算复杂度为O(η)，构建完毕后Π大小为O(η)，合理选择参数可使构建失败几率为低于2^-λ。

本发明将使用基于原始OPRF和Odk-PRF自行设计的不经意两方分布式伪随机函数(Otd-PRF)协议。受Odk-PRF启发，本发明后续OPRF结构中随机函数C均采用已证明安全性的具有XOR同态性的线性编码函数。

一种不经意两方分布式伪随机函数(Otd-PRF)，能使得两方参与者隐私的比较双方的元素是否相等，同时能安全的将其中一方的计算外包给云服务器，实施特点可描述为：

参量：服务方S，客户端C，OPRF函数，单向哈希函数H：{0，1}^*→{0，1}^*

输入：客户端输入x₁，服务方输入x₂

1.OPRF实例生成

客户端C与服务方S执行一次OPRF函数：

-客户端C参与OPRF作为接受者输入x₁；

-服务方S参与OPRF作为发送者得到PRF密钥k′和相关密钥s，其中

-客户端C得到PRF结果值t；

2.服务方计算主密钥

若x＝y，

若x≠y，

结果不带有用信息。

一种基于权利要求1所述的不经意两方分布式伪随机函数(Otd-PRF)构建不可信云服务器辅助的高效隐私交集计算方法，适合于弱客户端借助不可信的云服务器与有一定计算能力的服务提供商之间计算隐私集合交集，包括如下步骤：

(1)初始化阶段：客户端C选择随机种子r发送给服务方S，双方生成β个随机数R＝{r₁，…，r_β}←PRG(r)，其中β为构造布谷鸟哈希表的向量数；

(2)外包阶段：客户端C使用布谷鸟哈希算法将集合X映射到β个向量B_C[β]中，随后使用XOR秘密共享方案将各向量b∈[β]分发给云服务器H和服务方S.云服务器H得到

其中

服务方S则得到一组随机数

x_b表示第b个向量中的真实值且

恒成立；

(3)服务器计算阶段：云服务器H和服务方S为每个向量b∈β生成一个Otd-PRF实例，服务方S得到Otd-PRF密钥k_b，云服务器H得到t_b←F(k_b，x_b)，随后服务方S使用朴素哈希法(Simple hashing)将集合Y映射到容量为η的β个向量B_s[β]中，对于每个向量B_S[b]，b∈[β]，服务方S使用对应密钥k_b计算其中y_i的PRF结果值u_b，_i←F(k_b，y_i)，生成一组点集P_b＝{(H(u_b，j)，r_b)|y_i∈B_S[b]}，其中H()为双方共有的单向哈希函数，r_b为初始化阶段产生的R集中的随机数，服务方S将点集P_b打包Π_b←pack(P_b)并将{Π_b|b∈β}发送给云服务器H，云服务器H通过持有的t_b和收到的{Π_b|b∈β}解出v_b←unpack(Π_b，H(t_b))并将结果集V＝{v₁，…，v_β}发送给客户端C；

(4)对比交集阶段：客户端C通过计算V∩R可以得到PSI输出结果X∩Y。

一种基于不经意两方分布式伪随机函数(Otd-PRF)和不可信云服务器辅助的高效隐私交集计算方法，其基数计算方法，包括如下步骤：

(1)初始化阶段：客户端C选择随机种子r发送给服务方S，客户端C生成β个随机数R＝{r₁，…，r_β}←PRG(r)，其中β为构造布谷鸟哈希表的向量数，服务方S打乱通过PRG(r)生成β个随机数后的结果得到P＝{p₁，…，p_β}，

(2)外包阶段：客户端C使用布谷鸟哈希算法将集合X映射到β个向量B_C[β]中，随后使用XOR秘密共享方案将各向量b∈[β]分发给云服务器H和服务方S，云服务器H得到

其中

服务方S则得到一组随机数

x_b表示第b个向量中的真实值且

恒成立，

(3)服务器计算阶段：云服务器H和服务方S为每个向量b∈β生成一个Otd-PRF实例，服务方S得到Otd-PRF密钥k_b，云服务器H得到t_b←F(k_b，x_b)，随后服务方S使用朴素哈希法(Simple hashing)将集合Y映射到容量为η的β个向量B_s[β]中.对于每个向量B_S[b]，b∈[β]，服务方S使用对应密钥k_b计算其中y_i的PRF结果值u_b，_i←F(k_b，y_i)，生成一组点集P_b＝{(H(u_b，j)，p_b)|y_i∈B_S[b]}，其中H()为双方共有的单向哈希函数，p_b为初始化阶段产生的P集中的随机数，服务方S将点集P_b打包Π_b←pack(P_b)并将{Π_b|b∈β}发送给云服务器H，云服务器H通过持有的t_b和收到的{Π_b|b∈β}解出v_b←unpack(Π_b，H(t_b))并将结果集V＝{v₁，…，v_β}打乱后发送给客户端C，

(4)比交集阶段：客户端C通过计算|V∩R|可以得到PSI-CA输出结果|X∩Y|。

安全性分析：Otd-PRF的安全性直接来自其构建模块OPRF和秘密共享的安全性。原始数据x的安全性在客户端和服务方不合谋的情况下由秘密共享保证。实际应用中，接收方常能够得到

但由于接收方不知道长度为κ的s，且当y≠x时，C(x)和C(y)汉明距离≥κ，F_s(k，y)对于接收方来说不包含有用任何信息。

本发明技术原理：

在本发明的原始思路中，服务方S通过点集{(y₁，r₁)，…，(y_N，r_N)}插值得到唯一的(N-1)阶多项式P(y)，其中R＝{r₁，…，r_N}是被客户端C和服务方S所知的随机数集.服务方S将多项式系数发送给云服务器H，云服务器H将x_i∈X(假设云服务器H知道X中的元素)代入多项式计算得到P(x_i)＝r_i′.显而易见，若有x_i∈Y则必定有r_i′∈R。然而由于云服务对R一无所知，因此无法根据r_i′推测出任何相关信息。云服务器H将x_i与对应的r_i′发送给客户端C，客户端C将r_i′与R中的元素进行比对能得知x_i是否为双方共有。

注意，上述的简要概述需假定云服务器H知道X中的元素，使用自行设计的Otd-PRF能使云服务器H能够计算出多项式结果r_i而无需知道集合X。客户端通过秘密分享将自身元素x_i∈[n]分发给不合谋的不可信云服务器H和服务方S。云服务器H与服务方S产生n个Otd-PRF实例。对于每个Otd-PRF实例，云服务器H作为Otd-PRF的客户端输入x_i得到PRF结果值t_i，服务方S作为Otd-PRF的服务方得到PRF密钥对(k_i∈[n]，s)，后续部分将省略相关密钥s的书写，使用PRF密钥k_i表示密钥对(k_i，s)。

为了使得云服务器H在x_i∈Y时从多项式中得到正确的r_i并保证当

时只得到一个随机值，需基于PRF结果值生成多项式。服务方S持有的Otd-PRF密钥k_i∈[n]和集合Y中的元素y_j∈[N]将产生n*N个OPRF结果值，这意味着需要构建一个(n*N-1)阶多项式，但是高阶多项式的插值和计算操作非常昂贵.为避免多项式阶数过高，使用类似于Pinkas等人对集合的处理方法将元素映射到多个向量中后对各向量中的元素分别进行多项式操作。但集合X对于不可信云和服务方S属于隐私信息，客户端需要将集合X中的元素映射到容量为1的多个向量(一维向量)中，而服务方将集合Y中的元素映射到容量为η的多个向量(二维向量)中。客户端C将向量中的元素秘密地分享给不可信云服务器H和服务方S，之后的多项式操作将在各向量中分开进行，构建的多项式阶数将大幅减少，插值和计算等操作将更加高效。

本发明的有益效果为：

传统的隐私集合计算方法适用于数据拥有者们在本地隐私的计算集合交集，并不能在不可信云环境下仍然保证数据的隐私，与传统隐私集合交集计算方案相比，本发明的计算方法能够将将隐私集合的计算外包给不可信云服务器，要进行大数据隐私集合计算的客户端将无需花费大量资金购买和维护硬件设备，能直接降低资金支出成本。现已有部分适用于云环境的隐私集合交集计算方法，但都存在一定安全隐患或者委托之后客户端计算量通信量仍然过大等问题，本发明客户端的计算量更少，通信代价非常低且不必实时在线，适用于客户端设备受限的应用场景，所有参与方通信复杂度和计算复杂度均为O(n)与弱客户端集合大小承线性关系，与大集合大小无关，经过细微调整能够对隐私集合交集基数进行计算。

附图说明

图1为本发明的系统结构示意图。

图2为本发明流程结构示意图。

图3为不经意两方分布式伪随机函数示意图。

具体实施方式

下面结合附图对本发明的实施例作详细说明：本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

如图1、2、3所示，对本发明的实施例作了详细说明，

一种不经意两方分布式伪随机函数，其特征在于，能使得两方参与者隐私地判断各自持有的元素是否相等，实施特点可描述为：

参量：服务方S，客户端C，OPRF函数，单向哈希函数H：{0，1}^*→{0，1}^*，

输入：客户端输入x₁，服务方输入x₂，

1.OPRF实例生成，

客户端C与服务方S执行一次OPRF函数：

-客户端C参与OPRF作为接受者输入x₁；

-服务方S参与OPRF作为发送者得到PRF密钥k′和相关密钥s，其中

-客户端C得到PRF结果值t；

2.服务方计算主密钥

若x＝y，

若x≠y，

结果不带有用信息。

本发明提供的云辅助隐私集合交集计算方法主要可分为四个阶段。

(1)初始化阶段：客户端C选择随机种子r发送给服务方S，双方生成β个随机数R＝{r₁，…，r_β}←PRG(r)，其中β为构造布谷鸟哈希表的向量数。

(2)外包阶段：客户端C使用布谷鸟哈希算法将集合X映射到β个向量B_C[β]中，随后使用XOR秘密共享方案将各向量b∈[β]分发给云服务器H和服务方S。云服务器H得到

其中

服务方S则得到一组随机数

x_b表示第b个向量中的真实值且

恒成立。

(3服务器计算阶段：云服务器H和服务方S为每个向量b∈β生成一个Otd-PRF实例，服务方S得到Otd-PRF密钥k_b，云服务器H得到t_b←F(k_b，x_b)。随后服务方S使用朴素哈希法(Simple hashing)将集合Y映射到容量为η的β个向量B_s[β]中。对于每个向量B_S[b]，b∈[β]，服务方S使用对应密钥k_b计算其中y_i的PRF结果值u_b，i←F(k_b，y_i)，生成一组点集P_b＝{(H(u_b，j)，r_b)|y_i∈B_S[b]}，其中H()为双方共有的单向哈希函数，r_b为初始化阶段产生的R集中的随机数。服务方S将点集P_b打包Π_b←pack(P_b)并将{Π_b|b∈β}发送给云服务器H，云服务器H通过持有的t_b和收到的{Π_b|b∈β}解出v_b←unpack(Π_b，H(t_b))并将结果集V＝{v₁，…，v_β}发送给客户端C。

(4)对比交集阶段：客户端C通过计算V∩R可以得到PSI输出结果X∩Y。

具体实现过程包括以下参数和步骤：

参数：客户端C，服务方S，云服务器H；单项哈希函数H：{0，1}^*→{0，1}^*，布谷鸟哈希算法和朴素哈希算法；Otd-PRF函数；pack()和unpack()方法。

输入：客户端C输入集合X＝{x₁，…，x_n}；服务方S输入集合Y＝{y₁，…，y_n}；云服务器H无输入。

步骤一：系统初始化

-客户端C选择随机种子r并将其发送给服务方S；

-客户端C和服务方S通过随机种子r生成相同的数集R＝{r₁，…，r_β}←PRG(r)；

步骤二：数据外包

-客户端C通过布谷鸟哈希算法将集合X映射到β个向量中.B_C[b]表示客户端第b个向量中的元素。

-对于每一个x_b∈B_C[b]，客户端C选取随机数

并计算

将集合

发送给云服务器H，将集合

发送给服务方S，

步骤三：服务器计算

-云服务器H与服务方S执行Otd-PRF生成大量Otd-PRF实例。对于所有b∈[β]，服务方S得到Otd-PRF密钥k_b，云服务器H得到输入

的PRF结果值

-服务方S使用朴素哈希法(Simple hashing)将集合Y映射到β个向量中，B_S[b]表示第b个向量中所有元素组成的集合。

-对于所有b∈[β]，服务方S计算y_i∈B_S[b]的PRF值u_b，i←F(k_b，y_i)，生成点集P_b＝{(H(u_b，j)，r_b)|y_i∈B_S[b]}后将Π_b←pack(P_b)发送给云服务器H。

-云服务器H收到{Π_b|b∈β}后，计算v_b←unpack(Π_b，H(t_b))并将V＝{v₁，…，v_β}发送给客户端C。

步骤四：客户端得到交集

客户端C收到V＝{v₁，…，v_β}后，解出序号集O＝{b|r_b＝v_b，r_b∈R，v_b∈V}，得到交集X∩Y＝{B_C[b]|b∈O}。

服务方S在执行步骤I时，若将通过种子r生成的随机数据集R顺序打乱而得到

使用P代替R进行后续流程，步骤III中云服务器将集合V发送给客户端之前也进行一次打乱，便能保证客户端只得到隐私集合基数而各参与方不泄露任何其他信息。

本发明与现有技术相比更适用于弱设备借助不可信服务器辅助计算隐私集合交集和隐私集合交集基数。通过借助云服务器而不是升级硬件的方式实现大数据量的隐私集合交集计算更符合市场规律，本发明与现有隐私集合交集外包方法相比对客户端的硬件要求更低，计算量和通信量更少。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (5)

1.一种不经意两方分布式伪随机函数，其特征在于，能使得两方参与者隐私地判断各自持有的元素是否相等，实施特点可描述为：

参量：服务方S，客户端C，OPRF函数，单向哈希函数

输入：客户端输入x₁，服务方输入x₂，

1.OPRF实例生成，

客户端C与服务方S执行一次OPRF函数：

-客户端C参与OPRF作为接受者输入x₁；

-服务方S参与OPRF作为发送者得到PRF密钥k′和相关密钥s，其中

-客户端C得到PRF结果值t；

2.服务方计算主密钥

若x＝y，

若x≠y，

结果不带有用信息。

2.一种基于权利要求1所述的不经意两方分布式伪随机函数的隐私交集计算方法，适合于弱客户端借助不可信的云服务器的辅助，与有一定计算能力的服务提供商之间计算隐私集合交集，其特征在于，包括如下步骤：

(1)初始化阶段：客户端C选择随机种子r发送给服务方S，双方生成β个随机数R＝{r₁，...，r_β}←PRG(r)，其中β为构造布谷鸟哈希表的向量数；

(2)外包阶段：客户端C使用布谷鸟哈希算法将集合X映射到β个向量B_C[β]中，随后使用XOR秘密共享方案将各向量b∈[β]分发给云服务器H和服务方S.云服务器H得到

其中

服务方S则得到一组随机数

x_b表示第b个向量中的真实值且

恒成立；

(3)服务器计算阶段：云服务器H和服务方S为每个向量b∈β生成一个Otd-PRF实例，服务方S得到Otd-PRF密钥k_b，云服务器H得到t_b←F(k_b，x_b)，随后服务方S使用朴素哈希法(Simple hashing)将集合Y映射到容量为η的β个向量B_s[β]中，对于每个向量B_S[b]，b∈[β]，服务方S使用对应密钥k_b计算其中y_i的PRF结果值u_b，i←F(k_b，y_i)，生成一组点集P_b＝{(H(u_b，j)，r_b)|y_i∈B_S[b]}，其中H()为双方共有的单向哈希函数，r_b为初始化阶段产生的R集中的随机数，服务方S将点集P_b打包Π_b←pack(P_b)并将{Π_b|b∈β}发送给云服务器H，云服务器H通过持有的t_b和收到的{Π_b|b∈β}解出v_b←unpack(Π_b，H(t_b))并将结果集V＝{v₁，...，v_β}发送给客户端C；

(4)对比交集阶段：客户端C通过计算V∩R可以得到PSI输出结果X∩Y。

3.根据权利要求2所述的一种基于不经意两方分布式伪随机函数的隐私交集计算方法，其特征在于，其基数计算方法，包括如下步骤：

(1)初始化阶段：客户端C选择随机种子r发送给服务方S，客户端C生成β个随机数R＝{r₁，...，r_β}←PRG(r)，其中β为构造布谷鸟哈希表的向量数，服务方S打乱通过PRG(r)生成β个随机数后的结果得到P＝{p₁，...，p_β}，

(2)外包阶段：客户端C使用布谷鸟哈希算法将集合X映射到β个向量B_C[β]中，随后使用XOR秘密共享方案将各向量b∈[β]分发给云服务器H和服务方S，云服务器H得到

其中

服务方S则得到一组随机数

x_b表示第b个向量中的真实值且

恒成立，

(3)服务器计算阶段：云服务器H和服务方S为每个向量b∈β生成一个Otd-PRF实例，服务方S得到Otd-PRF密钥k_b，云服务器H得到t_b←F(k_b，x_b)，随后服务方S使用朴素哈希法(Simple hashing)将集合Y映射到容量为η的β个向量B_s[β]中.对于每个向量B_S[b]，b∈[β]，服务方S使用对应密钥k_b计算其中y_i的PRF结果值u_b，i←F(k_b，y_i)，生成一组点集P_b＝{(H(u_b，j)，p_b)|y_i∈B_S[b]}，其中H()为双方共有的单向哈希函数，p_b为初始化阶段产生的P集中的随机数，服务方S将点集P_b打包Π_b←pack(P_b)并将{Π_b|b∈β}发送给云服务器H，云服务器H通过持有的t_b和收到的(Π_b|b∈β}解出v_b←unpack(Π_b，H(t_b))并将结果集V＝{v₁，...，v_β}打乱后发送给客户端C，

(4)比交集阶段：客户端C通过计算|V∩R|可以得到PSI-CA输出结果|X∩Y|。

4.一种基于不可信云服务器辅助的高效隐私交集计算系统，其特征在于，包括：

客户端，用于与有一定计算能力的服务商之间计算集合交集；

服务商，用于设备受限的客户端之间计算集合交集；

云辅助服务器，用于辅助客户端与服务商之间计算集合交集；

其中，

客户端，包括：

云辅助服务器选择模块，用于自由选择外包计算的云辅助服务器，并进行信道传输测试；

服务请求模块，用于向服务商发起服务请求，上传云辅助服务器通信地址；

数据加密分享模块，用于使用秘密共享方案将集合数据分享给云辅助服务器和服务商；

集合解出模块，用于使用从云辅助服务器返回的数据解出与服务商集合交集的正确结果；

服务商，包括：

客户端服务请求处理模块，用于同意或拒绝客户端服务请求；

密文共享数据接收模块，用于接收客户端分享的数据集秘密共享值；

云辅助服务器信道构建模块，用于与客户端选定云辅助服务器构建高速通信信道并进行数据交互测试；

基于云辅助服务器计算模块，用于与云辅助服务器进行交集协议的复杂计算；

云辅助服务器，包括：

密文共享数据接收模块，用于接收客户端分享的数据集秘密共享值；

服务商信道构建模块，用于与服务商构建高速信道并进行数据交互测试；

辅助计算模块，用于辅助客户端与服务商的交集计算，执行两方不经意伪随机函数和点集打包技术解集计算；

计算结果传回模块，用于将与服务商交互计算的结果传回给客户端。

5.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1至4任一项所述方法的步骤。

Images