CN113472524B - 一种抗恶意传输数据攻击的数据聚合签名系统及方法 - Google Patents

Abstract

本发明公开了一种抗恶意传输数据攻击的数据聚合签名系统及方法，系统包括用户A(User A)和用户B(User B)。用户A和用户B通过合作，基于我们的方案，完成梯度下降模型的训练。方法包括系统参数和验证密钥的生成、两方合作更新θ、聚合签名、集合验证、消除多余参数五部分；本发明能够保证在恶意攻击下用户隐私不被泄露。

Description

一种抗恶意传输数据攻击的数据聚合签名系统及方法

技术领域

本发明属于安全多方计算技术领域和隐私保护深度学习技术领域，涉及一种两方隐私保护的模型训练方法；特别涉及一种针对恶意传输数据攻击，用户数据隐私保护需要的抗恶意传输数据攻击的数据聚合签名系统及方法。

背景技术

线性回归模型是深度学习的典型应用模型。无论在医学，农业还是金融行业，回归模型都有很好的应用。随着大数据的蓬勃发展，线性回归模型得以建立。已被用作深度学习的通用模型。如今，线性回归模型已用于许多领域，例如计算机视觉，语音识别，疾病诊断和其他场景。对于像百度这样的大公司，他们有足够的数据为他们提供线性回归模型的训练。

所以对于大多数中小公司而言，他们需要合作才能进行线性回归模型的训练，这样会涉及到多种多样的数据安全问题。当两个公司进行合作时，双方都希望能够获取对方的数据，同时又不希望暴露自己的数据，显然这是存在隐私安全问题的。同时在双方合作传输的过程当中，攻击者可能对数据进行破坏从而导致训练失败，以此来破坏线性回归模型的训练。

目前已经出现了一些解决上述问题的方法，例如通过同态加密以及最小二乘法完成线性回归模型的训练，简单来说就是用户通过加密将数据合并，从而在加密的情况下计算得出(X^TX)^-1X^TY的结果。

现有的方案能够有效地防止用户双方获取另一方的数据，但是在加密的情形下计算得出θ＝(X^TX)^-1X^TY显然是非常困难的。在密文上计算(X^TX)^-1需要耗费大量的时间，这样的方法实用效果并不高。并且在用户传输数据的过程中，敌手可以通过破坏数据从而导致训练失败。

两方隐私保护线性回归的现有的方案并不能抵抗敌手的攻击，且由于耗时过大并不具有实用性。

发明内容

为了解决上述问题，本发明提供了一种针对恶意传输数据攻击，用户数据隐私保护需要的抗恶意传输数据攻击的数据聚合签名系统及方法。

本发明所采用的技术方案是：一种抗恶意传输数据攻击的数据聚合签名方法，采用抗恶意传输数据攻击的数据聚合签名系统；所述系统包括用户A和用户B；

所述方法包括以下步骤：

步骤1.1：用户B选择安全参数κ，然后根据κ随机选择两个大素数p₁,q₁并计算N₁＝p₁×q₁，选择生成元

Paillier密码系统的公钥pk＝(N₁,g)和私钥sk＝(λ,μ)，其中

用户B选择BLS短签名的密钥x_B和生成元g₁并计算BLS短签名的公共密钥

其中，

表示集合{1,2,…,N₁ ²-1}。

步骤1.2：用户A选择BLS短签名的密钥x_A以及选择g₂作为生成元并计算BLS短签名的公共密钥

用户A选择学习率α；

步骤1.3：用户A和用户B协商迭代次数N；

步骤1.4：用户B公布公共参数{m₁,pk,pk_B}；用户A公布公共参数{m₂,α,pk_A}，其中m₁为用户B的数据总量，m₂为用户A的数据总量；

步骤1.5：用户A和用户B分别计算出用户数据总量m＝m₁+m₂；

步骤2：两方合作更新参数模型θ；

步骤2.1：用户B计算

和

其中X₁为用户B的数据矩阵，Y₁每一行为X₁每一行对应的结果，

为矩阵X₁的转置；并将

和

加密，得到C_B1,C_B2；然后将加密后的C_B1,C_B2通过聚合签名算法进行签名，得到D_B1,D_B2；

步骤2.2：用户B将C_B1,C_B2和D_B1,D_B2发送给用户A；

步骤2.3：用户A通过集合验证算法验证D_B1,D_B2是否正确，如果正确用户A接受C_B1,C_B2；用户A计算

和

并计算出X^TX和X^TY；用户A选择一个随机向量R_A1，并计算出C_A1＝E_pk(α(X^TXθ₀-X^TY)+R_A1)，其中θ₀为第一轮计算的参数模型；用户A通过聚合签名算法对C_A1进行签名，得到D_A1；其中，E_pk()表示使用公钥pk进行加密的通用加密算法；X代表用户A的数据X₁和用户B的数据X₂的合集，而Y代表着用户A的数据Y₁和用户B的数据Y₂的合集；

步骤2.4：用户A将C_A1和D_A1发送给用户B；

步骤2.5：用户B通过集合验证算法验证D_A1是否正确，如果正确则用户B接受C_A1；用户B解密得到α(X^TXθ₀-X^TY)+R_A1；用户B选择一个随机向量R_B1，计算C_B3＝α(X^TXθ₀-X^TY)/m+R_A1/m+R_B1；用户B通过聚合签名算法对C_B3进行签名得到D_B3；

步骤2.6：用户B将C_B3和D_B3发送给用户A；

步骤2.7：用户A通过集合验证算法验证D_B3是否正确，如果正确则用户A接受C_B3，用户A移除R_A1/m并通过计算得到θ₁-R_B1＝θ₀-α(X^TXθ₀-X^TY)/m-R_B1，其中θ₁为第二轮的参数模型；用户A选择随机向量R_A2并计算C_A2＝E_pk(α(X^TXθ₀-X^TY)-αX^TXR_B1+R_A2)；用户A通过聚合签名算法对C_A2进行签名，得到D_A2；

步骤2.8：用户A将C_A2和D_A2发送给用户B；

步骤2.9：用户B通过集合验证算法验证D_A2是否正确，如果正确则接受C_A2；用户B解密得到α(X^TXθ₀-X^TY)-αX^TXR_B1+R_A2；用户B通过消除多余参数算法与用户A协商消除αX^TXR_B1得到α(X^TXθ₀-X^TY)+R_A2-R_A3；用户B选择随机向量R_B2，并计算C_B4＝α(X^TXθ₁-X^TY)/m+R_A2-R_A3/m+R_B2；用户B通过聚合签名算法对C_B4进行签名得到D_B4；其中，R_A3是由消除多余参数算法中用户A生成的随机向量；

步骤2.10：用户B将C_B4和D_B4发送给用户A；

步骤2.11；用户A通过集合验证算法验证D_B4是否正确，如果正确则接受C_B4。用户A移除R_A2-R_A3/m；并通过计算得出θ₂-R_B2，其中θ₂为第三轮更新的参数模型；之后循环执行步骤2.7至步骤2.11完成其中的计算，直到迭代次数达到N次为止。

本发明确保用户进行梯度下降模型训练的过程中的用户隐私在外部攻击、内部攻击下不被泄露，具有很高的实用性。两位用户在进行交互的时候都对自己的明文进行了加密，或者对明文加入了随机向量，其目的是用来实现抗外部攻击(通过监听通信信道等方式获得用户传输的信息)和内部攻击(通过入侵网关等方式获得用户的传输信息)，签名的目的是为了实现防篡改的功能，如果在传输的过程中传输的信息被伪造或者篡改，用户能够及时的终止交互。同时，信道中传输的均是密文或是被随机向量打乱的明文。因此，本发明具有很高的隐私保护安全性。

附图说明

图1：本发明实施例的系统构架图；

图2：本发明实施例的方法中系统参数和验证密钥的生成流程图；

图3：本发明实施例的方法中两方合作更新θ流程图的。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

请见图1，本发明提供的一种抗恶意传输数据攻击的数据聚合签名系统。具体包括用户A(User A)和用户B(User B)。

用户A和用户B通过合作，基于我们的方案，完成梯度下降模型的训练。

请见图2和图3，本发明提供的一种抗恶意传输数据攻击的数据聚合签名方法，包括以下步骤：

步骤1：系统参数和验证密钥的生成；

步骤1.1：用户B选择安全参数κ，然后根据κ随机选择两个大素数p₁,q₁并计算N₁＝p₁×q₁，选择生成元

Paillier密码系统的公钥pk＝(N₁,g)和私钥sk＝(λ,μ)，其中

用户B选择BLS短签名的密钥x_B和生成元g₁并计算BLS短签名的公共密钥

其中，

表示集合{1,2,…,N₁ ²-1}。

步骤1.2：用户A选择BLS短签名的密钥x_A以及选择g₂作为生成元并计算BLS短签名的公共密钥

用户A选择学习率α；

步骤1.3：用户A和用户B协商迭代次数N；

步骤1.4：用户B公布公共参数{m₁,pk,pk_B}；用户A公布公共参数{m₂,α,pk_A}，其中m₁为用户B的数据总量，m₂为用户A的数据总量；

步骤1.5：用户A和用户B分别计算出用户数据总量m＝m₁+m₂；

步骤2：两方合作更新参数模型θ；

步骤2.1：用户B计算

和

其中X₁为用户B的数据矩阵，Y₁每一行为X₁每一行对应的结果，

为矩阵X₁的转置；并将

和

加密，得到C_B1,C_B2；然后将加密后的C_B1,C_B2通过聚合签名算法进行签名，得到D_B1,D_B2；

步骤2.2：用户B将C_B1,C_B2和D_B1,D_B2发送给用户A；

步骤2.3：用户A通过集合验证算法验证D_B1,D_B2是否正确，如果正确用户A接受C_B1,C_B2；用户A计算

和

并计算出X^TX和X^TY；用户A选择一个随机向量R_A1，并计算出C_A1＝E_pk(α(X^TXθ₀-X^TY)+R_A1)，其中θ₀为第一轮计算的参数模型；用户A通过聚合签名算法对C_A1进行签名，得到D_A1；其中，E_pk()表示使用公钥pk进行加密的通用加密算法；X代表用户A的数据X₁和用户B的数据X₂的合集，而Y代表着用户A的数据Y₁和用户B的数据Y₂的合集；

步骤2.4：用户A将C_A1和D_A1发送给用户B；

步骤2.5：用户B通过集合验证算法验证D_A1是否正确，如果正确则用户B接受C_A1；用户B解密得到α(X^TXθ₀-X^TY)+R_A1；用户B选择一个随机向量R_B1，计算C_B3＝α(X^TXθ₀-X^TY)/m+R_A1/m+R_B1；用户B通过聚合签名算法对C_B3进行签名得到D_B3；

步骤2.6：用户B将C_B3和D_B3发送给用户A；

步骤2.7：用户A通过集合验证算法验证D_B3是否正确，如果正确则用户A接受C_B3，用户A移除R_A1/m并通过计算得到θ₁-R_B1＝θ₀-α(X^TXθ₀-X^TY)/m-R_B1，其中θ₁为第二轮的参数模型；用户A选择随机向量R_A2并计算C_A2＝E_pk(α(X^TXθ₀-X^TY)-αX^TXR_B1+R_A2)；用户A通过聚合签名算法对C_A2进行签名，得到D_A2；

步骤2.8：用户A将C_A2和D_A2发送给用户B；

步骤2.9：用户B通过集合验证算法验证D_A2是否正确，如果正确则接受C_A2；用户B解密得到α(X^TXθ₀-X^TY)-αX^TXR_B1+R_A2；用户B通过消除多余参数算法与用户A协商消除αX^TXR_B1得到α(X^TXθ₀-X^TY)+R_A2-R_A3；用户B选择随机向量R_B2，并计算C_B4＝α(X^TXθ₁-X^TY)/m+R_A2-R_A3/m+R_B2；用户B通过聚合签名算法对C_B4进行签名得到D_B4；其中，R_A3是由消除多余参数算法中用户A生成的随机向量；

步骤2.10：用户B将C_B4和D_B4发送给用户A；

步骤2.11；用户A通过集合验证算法验证D_B4是否正确，如果正确则接受C_B4。用户A移除R_A2-R_A3/m；并通过计算得出θ₂-R_B2，其中θ₂为第三轮更新的参数模型，此时可以将θ₂-R_B2看作步骤2.7中的θ₁-R_B1；之后重复步骤2.7至步骤2.11完成其中的计算，直到迭代次数达到N次为止。

本实施例中的聚合签名算法，具体实现包括以下子步骤：

步骤2.1.1：用户B(以C_B1为例，之后的步骤与此过程相同)通过H(•)计算RV_i＝H(C_B1[i][1]||…||C_B1[i][N])(0≤i≤N)。计算完成之后计算R＝H(RV₁||…||RV_N)。最后计算得到A＝H(R)；

步骤2.1.2：用户B计算

其中ID_Alice代表用户A的身份信息，ID_Bob代表用户B的身份信息，T是时间戳；用户B计算得到D_Bk＝ID_Bob||ID_Alice||T||σ_Bk。

本实施例的集合验证算法，具体实现包括以下子步骤：

步骤2.3.1：用户A(以C_B1为例，之后的步骤与此过程相同)通过H(·)计算RV_i＝H(C_B1[i][1]||…||C_B1[i][N])(0≤i≤N)。计算完成之后计算R＝H(RV₁||…||RV_N)。最后计算得到A＝H(R)；

步骤2.3.2：用户A验证等式

是否成立，如果成立则接受C_B1否则拒绝接受C_B1。

本实施例的消除多余参数算法，具体实现包括以下子步骤：

步骤2.9.1：用户B计算C_B5＝c(R_B1)，并通过聚合签名算法对C_B5进行签名得到D_B5；其中，c()为加密算法；

步骤2.9.2：用户B将C_B5和D_B5发送给用户A；

步骤2.9.3：用户A通过集合验证算法验证D_B5是否正确，如果正确则接受C_B5；用户A选择随机向量R_A3，并计算C_A3＝c(αX^TXR_B1+R_A3)，用户A通过聚合签名算法对C_A3进行签名得到，D_A3；

步骤2.9.4：用户A将C_A3和D_A3发送给用户B。

步骤2.9.5：用户B通过集合验证算法验证D_A3是否正确，如果正确则接受C_A3。用户B解密C_A3得到αX^TXR_B1+R_A3。

本发明基于离散对数问题和同态加密算法实现了一种梯度下降模型训练方案，该方案不仅实现了抗外部攻击和内部攻击，而且还实现了抗恶意数据挖掘攻击。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims (4)

1.一种抗恶意传输数据攻击的数据聚合签名方法，采用抗恶意传输数据攻击的数据聚合签名系统；所述系统包括用户A和用户B；

其特征在于，所述方法包括以下步骤：

步骤1：系统参数和验证密钥的生成；

步骤1.1：用户B选择安全参数κ，然后根据κ随机选择两个大素数p₁,q₁并计算N₁＝p₁×q₁，选择生成元

Paillier密码系统的公钥pk＝(N₁,g)和私钥sk＝(λ,μ)，其中

用户B选择BLS短签名的密钥x_B和生成元g₁并计算BLS短签名的公共密钥

其中，

表示集合{1,2,…,N₁ ²-1}；

步骤1.2：用户A选择BLS短签名的密钥x_A以及选择g₂作为生成元并计算BLS短签名的公共密钥

用户A选择学习率α；

步骤1.3：用户A和用户B协商迭代次数N；

步骤1.4：用户B公布公共参数{m₁,p_k,p_kB}；用户A公布公共参数{m₂,α,pk_A}，其中m₁为用户B的数据总量，m₂为用户A的数据总量；

步骤1.5：用户A和用户B分别计算出用户数据总量m＝m₁+m₂；

步骤2：两方合作更新参数模型θ；

步骤2.1：用户B计算

和

其中X₁为用户B的数据矩阵，Y₁每一行为X₁每一行对应的结果，

为矩阵X₁的转置；并将

和

加密，得到C_B1,C_B2；然后将加密后的C_B1,C_B2通过聚合签名算法进行签名，得到D_B1,D_B2；

步骤2.2：用户B将C_B1,C_B2和D_B1,D_B2发送给用户A；

步骤2.3：用户A通过集合验证算法验证D_B1,D_B2是否正确，如果正确用户A接受C_B1,C_B2；用户A计算

和

并计算出X^TX和X^TY；用户A选择一个随机向量R_A1，并计算出C_A1＝E_pk(α(X^TXθ₀-X^TY)+R_A1)，其中θ₀为第一轮计算的参数模型；用户A通过聚合签名算法对C_A1进行签名，得到D_A1；其中，E_pk()表示使用公钥pk进行加密的加密算法；X代表用户A的数据X₁和用户B的数据X₂的合集，而Y代表着用户A的数据Y₁和用户B的数据Y₂的合集；

步骤2.4：用户A将C_A1和D_A1发送给用户B；

步骤2.5：用户B通过集合验证算法验证D_A1是否正确，如果正确则用户B接受C_A1；用户B解密得到α(X^TXθ₀-X^TY)+R_A1；用户B选择一个随机向量R_B1，计算C_B3＝α(X^TXθ₀-X^TY)/m+R_A1/m+R_B1；用户B通过聚合签名算法对C_B3进行签名得到D_B3；

步骤2.6：用户B将C_B3和D_B3发送给用户A；

步骤2.7：用户A通过集合验证算法验证D_B3是否正确，如果正确则用户A接受C_B3，用户A移除R_A1/m并通过计算得到θ₁-R_B1＝θ₀-α(X^TXθ₀-X^TY)/m-R_B1，其中θ₁为第二轮的参数模型；用户A选择随机向量R_A2并计算C_A2＝E_pk(α(X^TXθ₀-X^TY)-αX^TXR_B1+R_A2)；用户A通过聚合签名算法对C_A2进行签名，得到D_A2；

步骤2.8：用户A将C_A2和D_A2发送给用户B；

步骤2.9：用户B通过集合验证算法验证D_A2是否正确，如果正确则接受C_A2；用户B解密得到α(X^TXθ₀-X^TY)-αX^TXR_B1+R_A2；用户B通过消除多余参数算法与用户A协商消除αX^TXR_B1得到α(X^TXθ₀-X^TY)+R_A2-R_A3；用户B选择随机向量R_B2，并计算C_B4＝α(X^TXθ₁-X^TY)/m+R_A2-R_A3/m+R_B2；用户B通过聚合签名算法对C_B4进行签名得到D_B4；其中，R_A3是由消除多余参数算法中用户A生成的随机向量；

步骤2.10：用户B将C_B4和D_B4发送给用户A；

步骤2.11；用户A通过集合验证算法验证D_B4是否正确，如果正确则接受C_B4；用户A移除R_A2-R_A3/m；并通过计算得出θ₂-R_B2，其中θ₂为第三轮更新的参数模型；之后循环执行步骤2.7至步骤2.11完成其中的计算，直到迭代次数达到N次为止。

2.根据权利要求1所述的抗恶意传输数据攻击的数据聚合签名方法，其特征在于，步骤2.1中所述将加密后的C_B1，C_B2通过聚合签名算法进行签名，具体实现包括以下子步骤：

步骤2.1.1：针对C_Bk，k＝1，2；用户B通过H(·)计算RV_i＝H(C_Bk[i][1]||...||C_Bk[i][N])，0≤i≤N，计算完成之后计算R＝H(RV₁||...||RV_N)；最后计算得到A＝H(R)；

步骤2.1.2：用户B计算

其中ID_Alice代表用户A的身份信息，ID_Bob代表用户B的身份信息，T是时间戳；用户B计算得到D_Bk＝ID_Bob||ID_Alice||T||σ_Bk。

3.根据权利要求2所述的抗恶意传输数据攻击的数据聚合签名方法，其特征在于，步骤2.3中所述用户A通过集合验证算法验证D_B1，D_B2是否正确，具体实现包括以下子步骤：

步骤2.3.1：针对C_Bk，k＝1，2；用户A通过H(·)计算RV_i＝H(C_Bk[i][1]||...||C_Bk[i][N])，0≤i≤N，计算完成之后计算R＝H(RV₁||...||RV_N)；最后计算得到A＝H(R)；

步骤2.3.2：用户A验证等式

是否成立，如果成立则接受C_Bk否则拒绝接受C_Bk。

4.根据权利要求3所述的抗恶意传输数据攻击的数据聚合签名方法，其特征在于，步骤2.9中所述用户B通过消除多余参数算法与用户A协商消除αX^TXR_B1得到α(X^TXθ₀-X^TY)+R_A2-R_A3，具体实现包括以下子步骤：

步骤2.9.1：用户B计算C_B5＝c(R_B1)，并通过聚合签名算法对C_B5进行签名得到D_B5；其中，c()为加密算法；

步骤2.9.2：用户B将C_B5和D_B5发送给用户A；

步骤2.9.3：用户A通过集合验证算法验证D_B5是否正确，如果正确则接受C_B5；用户A选择随机向量R_A3，并计算C_A3＝c(αX^TXR_B1+R_A3)，用户A通过聚合签名算法对C_A3进行签名得到，D_A3；

步骤2.9.4：用户A将C_A3和D_A3发送给用户B；

步骤2.9.5：用户B通过集合验证算法验证D_A3是否正确，如果正确则接受C_A3；用户B解密C_A3得到αX^TXR_B1+R_A3。

Images