CN113468548A - 一种保护隐私的多维数据聚合方法 - Google Patents

Abstract

本发明公开了一种保护隐私的多维数据聚合方法，本发明方法适用于多层聚合模型下的多维数据安全聚合场景。在这种场景下，数据请求者通过两层聚合将数据提供者的数据安全地进行汇集，并且在这个过程中保证数据的隐私性和完整性。与现有方法相比，本发明的计算效率更高，可以应用于计算能力受限的设备。

Description

一种保护隐私的多维数据聚合方法

技术领域：

本发明涉及一种保护隐私的多维数据聚合方法，属于信息安全技术领域。

背景技术：

随着信息科技的快速发展，移动设备大量普及，数据呈爆炸式的增长，移动感知成为一个研究热点。在移动感知环境下，数据请求者要求数据提供者定期提供其感知数据。然而，提供者的数据中包含了其敏感信息，会导致一些隐私和安全问题，并且，单维数据的采集已经难以满足数据请求者细粒度分析数据的需求。为了解决以上两个问题，需要设计保护隐私的多维数据聚合方法。当前，保护隐私的数据聚合技术已经被广泛应用于智慧交通、环境监测、医疗保健以及智能电网等各个领域。例如，2017年Shen等人提出了一种保护隐私的多维数据聚合方案ECDA(Efficient Privacy-Preserving Cube-Data AggregationScheme for Smart Grids，IEEE TRANSACTIONS ON INFORMATION FORENSICS ANDSECURITY)。但是，该方案基于复杂的Paiilier同态加密算法以及需要双线性操作的BLS短签名算法，给系统带来了较大的计算开销。

发明内容：

为克服现有技术的缺陷，本发明的目的在于提供一种保护隐私的多维数据聚合方法，保证数据机密性和完整性的同时，降低系统的计算开销。

本发明解决技术问题采用如下技术方案：

一种保护隐私的多维数据聚合方法，系统框架包括一个数据请求者DR、一个第二层聚合节点SAN，多个第一层聚合节点FAN以及多个数据提供者DP；

所述数据聚合方法包括步骤：

系统建立，数据请求者DR完成密钥分发和系统参数生成，具体步骤如下：

(1)DR随机选择不同的整数i∈[1，m]分发给第一层聚合节点FAN作为标识，表示成FAN_i；随机选择不同的整数k∈[1，n]分发给数据提供者，数据提供者用(i，k)作为标识，表示成DP_ik；用户DP_ik的l维数据表示为d_ik＝(d_ik1，...，d_ikj，...，d_ikl)；

(2)输入安全参数κ，模数N＝pq，其中p，q是长度为κ的两个不同素数；定义哈希函数H：Z→[0，N²-1]；伪随机函数F₁，F₂：Z→[0，N²-1]；

(3)选择n×m个随机数s_ik∈[0，N²-1]，i∈[1，m]，k∈[1，n]；将s_ik分配给DP_ik作为加密密钥，将密钥

分配给FAN_i，i∈[1，m]；

(4)DR选择一个任意大小的密钥a₀和密钥a∈[0，N²-1]；将a发给SAN；SAN将a随机分成m份a_i分发给各个FAN_i，满足

FAN_i将a_i分成n份a_ik分发给 DP_ik，满足

(5)随机选择R₁和R₂满足R₁，R₂＞nD，其中D＝max(d_ikj)，i∈[1，m]，k∈[1，n]，j∈[1，l]；

(6)公开参数{N，H，F₁，F₂，a₀，R₁，R₂}。

作为优选，进一步地，所述数据聚合方法还包括步骤：

数据提供者报告提交，DP_ik利用密钥s_ik对数据d_ik执行加密，利用密钥a_ik生成认证码，组合成数据提供者报告上传到第一层聚合节点，具体步骤如下：

(1)在时刻t，DP_ik对数据d_ik＝(d_ik1，...，d_ikl)执行整合，生成

(2)DP_ik对数据M_ik加密，得到密文

(3)DP_ik计算认证码tag_ik＝F₁(a₀)·C_ik+F₂(t)·a_ikmod N²；

(4)DP_ik将报告{C_ik，tag_ik，i，k，t}上传给FAN_i。

作为优选，进一步地，所述数据聚合方法还包括步骤：

第一层聚合节点聚合，每个FAN对认证码执行验证，若验证通过，FAN对收到的密文执行聚合运算，并利用MAC密钥对计算结果生成新的认证码，生成第一层聚合报告上传到第二层聚合节点，具体步骤如下：

(1)FAN_i使用密钥a_i验证等式

(2)FAN_i对n份密文执行聚合运算，生成

(3)若验证通过，FAN_i使用密钥a_i∈[0，N²]对C_i生成认证码

tag_i＝F₁(a₀)·C_i+F₂(t)·a_imod N²；

(4)FAN_i将报告{C_i，tag_i，i，t}上传给第二层聚合节点SAN。

作为优选，进一步地，所述数据聚合方法还包括步骤：第二层聚合节点聚合，SAN对接收到的计算结果执行聚合后上传至数据请求者，具体步骤如下：

(1)SAN对m个FAN_i的计算结果执行聚合，生成聚合密文和聚合标签

(2)SAN将{C，tag，t}上传到数据请求者DR；

作为优选，进一步地，所述数据聚合方法还包括步骤：数据解密和解析，DR对认证码进行验证，若验证通过，则对计算结果执行解密和解析，具体步骤如下：

(1)DR使用密钥a验证等式

是否成立；

(2)若等式成立，DR对计算结果C执行解密得到

即，得到

(3)DR将AM和R₂作为算法1的输入，得到

(4)DR将AM_i和R₁作为算法1的输入，得到

与已有技术相比，本发明的有益效果体现在：

本发明提出一种保护隐私的多维数据聚合方法，使用轻量的加密算法和认证技术实现终端数据的机密性和完整性，显著降低了系统的计算开销。

附图说明：

图1为本发明的系统模型图。

图2为本发明的方案流程图。

图3为本发明实施例计算开销比较(m＝30)

图4为本发明实施例计算开销比较(n＝10)

以下通过具体实施方式，并结合附图对本发明作进一步说明。

具体实施方式：

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例：本发明的保护隐私的多维数据聚合方法，系统框架包括一个数据请求者DR、一个第二层聚合节点SAN，多个第一层聚合节点FAN以及多个数据提供者DP；

所述数据聚合方法包括步骤：

系统建立、数据提供者报告提交、第一层聚合节点聚合、第二层聚合节点聚合、数据解密和解析，其中，系统建立，数据请求者DR完成密钥分发和系统参数生成，具体步骤如下：

(1)DR随机选择不同的整数i∈[1，m]分发给第一层聚合节点FAN作为标识，表示成FAN_i；随机选择不同的整数k∈[1，n]分发给数据提供者，数据提供者用(i，k)作为标识，表示成DP_ik；用户DP_ik的l维数据表示为d_ik＝(d_ik1，...，d_ikj，...，d_ikl)；

(2)输入安全参数κ，模数N＝pq，其中p，q是长度为κ的两个不同素数；定义哈希函数H：Z→[0，N²-1]；伪随机函数F₁，F₂：Z→[0，N²-1]；

(3)选择n×m个随机数s_ik∈[0，N²-1]，i∈[1，m]，k∈[1，n]；将s_ik分配给DP_ik作为加密密钥，将密钥

分配给FAN_i，i∈[1，m]；

(4)DR选择一个任意大小的密钥a₀和密钥a∈[0，N²-1]；将a发给SAN；SAN将a随机分成m份a_i分发给各个FAN_i，满足

FAN_i将a_i分成n份a_ik分发给 DP_ik，满足

(5)随机选择R₁和R₂满足R₁，R₂＞nD，其中D＝max(d_ikj)，i∈[1，m]，k∈[1，n]，j∈[1，l]；

(6)公开参数{N，H，F₁，F₂，a₀，R₁，R₂}。

其中，数据提供者报告提交，DP_ik利用密钥s_ik对数据d_ik执行加密，利用密钥a_ik生成认证码，组合成数据提供者报告上传到第一层聚合节点，具体步骤如下：

(1)在时刻t，DP_ik对数据d_ik＝(d_ik1，...，d_ikl)执行整合，生成

(2)DP_ik对数据M_ik加密，得到密文

(3)DP_ik计算认证码tag_ik＝F₁(a₀)·C_ik+F₂(t)·a_ikmod N²；

(4)DP_ik将报告{C_ik，tag_ik，i，k，t}上传给FAN_i。

其中，第一层聚合节点聚合，每个FAN对认证码执行验证，若验证通过，FAN对收到的密文执行聚合运算，并利用MAC密钥对计算结果生成新的认证码，生成第一层聚合报告上传到第二层聚合节点，具体步骤如下：

(1)FAN_i使用密钥a_i验证等式

(2)FAN_i对n份密文执行聚合运算，生成

(3)若验证通过，FAN_i使用密钥a_i∈[0，N²]对C_i生成认证码

tag_i＝F₁(a₀)·C_i+F₂(t)·a_imod N²；

(4)FAN_i将报告{C_i，tag_i，i，t}上传给第二层聚合节点SAN。

其中，第二层聚合节点聚合，SAN对接收到的计算结果执行聚合后上传至数据请求者，具体步骤如下：

(1)SAN对m个FAN_i的计算结果执行聚合，生成聚合密文和聚合标签

(2)SAN将{C，tag，t}上传到数据请求者DR；

其中，数据解密和解析，DR对认证码进行验证，若验证通过，则对计算结果执行解密和解析，具体步骤如下：

(1)DR使用密钥a验证等式

是否成立；

(2)若等式成立，DR对计算结果C执行解密得到

即，得到

(3)DR将AM和R₂作为算法1的输入，得到

(4)DR将AM_i和R₁作为算法1的输入，得到

本实施例技术方案的验证：

正确性分析：

(1)DR解密数据：

(2)DR解析数据(以将AM和R₂作为算法1的输入求{AM_i}_i∈[1，m]为例)：

(3)FAN_i执行完整性检测：

(4)DR执行完整性检测：

安全性分析

在本方案中，假设用户、第一层聚合节点以及第二层聚合节点都是半诚实的，他们按照协议执行，但是会保留所有中间计算结果以试图推导其他隐私的信息。

首先，每个数据提供者的多维数据d_ik被整合成单维数据M_ik，经过加密生成形如

的密文。不考虑合谋攻击的情况下，由于密钥s_ik是数据提供者独有的，通过两个伪随机函数生成的认证码是伪随机的，那么，第一层聚合节点FAN_i无法从密文中获得任一数据提供者的数据M_ik，被M_ik隐藏的多维数据d_ik是安全的。其次，由于第二层聚合节点SAN以及数据请求者DR的计算均是基于密文的计算，所以他们均无法通过分析中间的计算结果来推断出任意单个数据d_ik。最后，DR对聚合密文执行解密和解析恢复出数据{AM_i}_i∈[1，m]以及{AM_ij}_j∈[1，l]，不会暴露任一数据提供者的数据d_ik。

为了防止数据在传输过程中被恶意攻击者破坏，本发明使用了一种认证技术实现端到端的完整性检测。具体地，如果攻击者破坏了传输数据，数据的接收方检测完整性的验证等式将不成立。

由于本方案假定参与方是半诚实的，所以外部攻击者无法伪造或者破坏传输数据。以FAN_i执行完整性检测为例，假设攻击者破坏了第n个数据(tag_in，C_in)变成(tag_in ^*，C_in ^*)， FAN_i验证

攻击者伪造的数据无法通过验证等式。

性能分析：

下面分析算法的计算开销。令n表示为每个第一层聚合节点管理的终端设备数，m为第一层聚合节点总数。忽略Z_N上的乘法运算和加法计算，令Exp，Mul，Add分别代表

上的指数运算、乘法运算和加法运算；Exp₁代表群G上的指数运算；Bp代表双线性配对运算；在Intel(R)Core(TM)i5-75003.41HZ机器上，基于GMP库和PBC库，选择 1024比特N和160比特G，得到Exp＝33ms，Mul＝0.007ms，Add＝0.004ms，Exp₁＝13ms， BP＝14ms。

表1计算开销比较

Table1Computation overhead comparison

根据表1，方案ECDA的总计算时间为

T_ecdh＝(2mn+2)Exp+(2mn-1)Mul+(mn+m+1)Exp₁+(mn+3m+4)Bp，

本方案的总计算时间为

T_our＝(mn+m)Exp+(2mn²+mn+4n+3)Mul+(2mn²-mn+2m+2n)Add。

表2 Table2 Computation overhead comparison(m＝30)(说明书附图图3)展示了固定第一层聚合节点数为30，方案的计算时间随数据提供者数变化的变化。表3 Table3Computation overhead comparison(n＝10)(说明书附图图4)展示了每个第一层聚合节点接收10个用户数据时，方案的计算时间随第一层聚合节点数变化的变化。

需要说明的是，本发明中未详细阐述部分属于本领域公知技术，或可直接从市场上采购获得，本领域技术人员不需要付出创造性劳动即可获得，其具体的连接方式在本领域或日常生活中有着极其广泛的应用，此处不再详述。

此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (5)

1.一种保护隐私的多维数据聚合方法，其特征在于：

系统框架包括一个数据请求者DR、一个第二层聚合节点SAN，多个第一层聚合节点FAN以及多个数据提供者DP；

所述数据聚合方法包括步骤：

系统建立，数据请求者DR完成密钥分发和系统参数生成，具体步骤如下：

(1)DR随机选择不同的整数i∈[1，m]分发给第一层聚合节点FAN作为标识，表示成FAN_i；随机选择不同的整数k∈[1，n]分发给数据提供者，数据提供者用(i，k)作为标识，表示成DP_ik；用户DP_ik的l维数据表示为d_ik＝(d_ik1，...，d_ikj，...，d_ikl)；

(2)输入安全参数κ，模数N＝pq，其中p，q是长度为κ的两个不同素数；定义哈希函数H：Z→[0，N²-1]；伪随机函数F₁，F₂：Z→[0，N²-1]；

(3)选择n×m个随机数s_ik∈[0，N²-1]，i∈[1，m]，k∈[1，n]；将s_ik分配给DP_ik作为加密密钥，将密钥

分配给FAN_i，i∈[1，m]；

(4)DR选择一个任意大小的密钥a₀和密钥a∈[0，N²-1]；将a发给SAN；SAN将a随机分成m份a_i分发给各个FAN_i，满足

FAN_i将a_i分成n份a_ik分发给DP_ik，满足

(5)随机选择R₁和R₂满足R₁，R₂＞nD，其中D＝max(d_ikj)，i∈[1，m]，k∈[1，n]，j∈[1，l]；

(6)公开参数{N，H，F₁，F₂，a₀，R₁，R₂}。

2.根据权利要求1所述的一种保护隐私的多维数据聚合方法，其特征在于，所述数据聚合方法还包括步骤：

数据提供者报告提交，DP_ik利用密钥s_ik对数据d_ik执行加密，利用密钥a_ik生成认证码，组合成数据提供者报告上传到第一层聚合节点，具体步骤如下：

(1)在时刻t，DP_ik对数据d_ik＝(d_ik1，...，d_ikl)执行整合，生成

(2)DP_ik对数据M_ik加密，得到密文

(3)DP_ik计算认证码tag_ik＝F₁(a₀)·C_ik+F₂(t)·a_ikmodN²；

(4)DP_ik将报告{C_ik，tag_ik，i，k，t}上传给FAN_i。

3.根据权利要求1所述的一种保护隐私的多维数据聚合方法，其特征在于，所述数据聚合方法还包括步骤：

第一层聚合节点聚合，每个FAN对认证码执行验证，若验证通过，FAN对收到的密文执行聚合运算，并利用MAC密钥对计算结果生成新的认证码，生成第一层聚合报告上传到第二层聚合节点，具体步骤如下：

(1)FAN_i使用密钥a_i验证等式

(2)FAN_i对n份密文执行聚合运算，生成

(3)若验证通过，FAN_i使用密钥a_i∈[0，N²]对C_i生成认证码

tag_i＝F₁(a₀)·C_i+F₂(t)·a_imodN²；

(4)FAN_i将报告{C_i，tag_i，i，t}上传给第二层聚合节点SAN。

4.根据权利要求1所述的一种保护隐私的多维数据聚合方法，其特征在于，所述数据聚合方法还包括步骤：第二层聚合节点聚合，SAN对接收到的计算结果执行聚合后上传至数据请求者，具体步骤如下：

(1)SAN对m个FAN_i的计算结果执行聚合，生成聚合密文和聚合标签

(2)SAN将{C，tag，t}上传到数据请求者DR。

5.根据权利要求1所述的一种保护隐私的多维数据聚合方法，其特征在于，所述数据聚合方法还包括步骤：数据解密和解析，DR对认证码进行验证，若验证通过，则对计算结果执行解密和解析，具体步骤如下：

(1)DR使用密钥a验证等式

是否成立；

(2)若等式成立，DR对计算结果C执行解密得到

即，得到

(3)DR将AM和R₂作为算法1的输入，得到

的

(4)DR将AM_i和R₁作为算法1的输入，得到

的

Images