CN113806795B

CN113806795B - 一种两方隐私集合并集计算方法和装置

Info

Publication number: CN113806795B
Application number: CN202110912825.0A
Authority: CN
Inventors: 张聪; 陈宇; 刘巍然; 林东岱
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2021-08-10
Filing date: 2021-08-10
Publication date: 2024-03-01
Anticipated expiration: 2041-08-10
Also published as: CN113806795A

Abstract

本发明涉及一种两方隐私集合并集计算方法和装置，属于安全协议技术领域。现有方案的反向隐私元素成员测试协议并不支持批处理，本发明的批处理反向隐私元素成员测试协议不需要让发送方得到指示字符串的明文，而是密文，可以一次性使得发送方测试多个元素。现有的反向隐私元素成员测试协议虽然也支持加密，但是使用的是不经意伪随机函数协议构造的一次一密方案，本发明通过推广到一般的加密方案，可以避免不经意伪随机函数的调用。本发明使用了可重随机公钥加密方案，可以防止交集信息泄露给接收者。本发明提出的新型两方隐私集合并集计算协议具有线性通信与线性计算复杂度，且主要运用对称操作，其实际效率超过了KRTW方案的十倍左右。

Description

一种两方隐私集合并集计算方法和装置

技术领域

本发明属于安全协议技术领域，具体涉及一种两方隐私集合并集计算方法和装置。

背景技术

近年，随着网络技术的不断发展，高性能计算机等为代表的日益强大的计算环境的出现，极大地改变了计算的含义及计算的方式，这使得用户可以通过网络使用这些强大的计算资源完成自己的计算任务。而在这种环境中，数据隐私变得越来越重要，如何保证用户数据的安全，是一个亟待解决的问题。安全多方计算正是在这样的背景之下日益引起人们的关注。目前多方安全计算协议已经具有了一些通用的方法。然而，在某些情况下，需要计算的函数的具体结构可以使我们能够找到更快、更具针对性的解决方案。私有集合操作协议就是其中一类重要的研究内容。私有集合操作协议是指两个参与方每方有一个集合，他们想要计算各自集合的上的一个函数，如交集或并集，并且不泄露关于集合的其他任何信息。

目前关于隐私集合操作的协议研究最多也最实用的方案是隐私集合交集协议，然而，目前关于隐私集合并集协议的研究还处在起步阶段，其通信与计算复杂度均较高，无法达到让人满意的效果。目前隐私集合并集协议的最好结果是发布在亚洲密码年会2019上的KRTW方案(https://eprint.iacr.org/2019/776)。假设双方集合各有n个元素，KRTW方案的主要思路是首先让双方执行n次反向隐私元素成员测试(Reverse Private MembershipTest，简称RPMT)子协议，使得接收者能够得到发送者的元素是否属于接收者集合，再执行不经意传输协议(Oblivious Transfer，简称OT)取回不在自己集合中的元素，如图1所示。

目前隐私集合并集协议具有两个特点，要么是其具有线性通信复杂度，非线性计算复杂度，且需要大量的加法同态加密计算操作，导致实际效率特别低；要么是其通信复杂度和计算复杂度非线性，但是主要使用了对称加密算法，实现效率较高。而主要使用对称计算操作且通信复杂度与计算复杂度均为线性的方案还是一个公开的尚未解决的问题。

发明内容

本发明的方案解决了上述问题，本发明提出的新型两方隐私集合并集计算协议具有线性通信与线性计算复杂度，且主要运用对称操作，其实际效率超过了KRTW方案的十倍左右。

本发明采用的技术方案如下：

一种两方隐私集合并集计算方法，包括以下步骤：

发送方和接收方执行一次批处理反向隐私元素成员测试子协议，在该协议中，发送方的输入为集合Y，接收方的输入为集合X，最终接收方得到输出b，发送方没有输出；其中b是一个n比特字符串，第i个比特为1表示集合Y的第i个元素属于集合X，反之，第i个比特为0表示集合Y的第i个元素不属于集合X；

发送方和接收方执行n次不经意传输协议，第i次执行中，发送方的输入是集合Y的第i个输入和一个空字符串，接收方的输入是b的第i个比特，最终接收方得到集合Y中不在集合X的所有元素，结合集合X，接收方最终输出集合Y和集合X的并集。

进一步地，所述批处理反向隐私元素成员测试子协议，包括以下步骤：

接收方对集合X选取一个随机的指示字符串s；

接收方使用加密方案对s加密n次，得到n个密文s_i，加密方案的安全性需要满足这n个密文与随机分布不可区分；

接收方计算键值映射KV，键为集合X的元素x_i，值为n个密文s_i，并将KV发送给发送方；

发送方根据KV计算出集合Y中的元素y_i对应的值将/>作为新的密文；

双方执行向量不经意解密与匹配子协议，在该协议中，发送方的输入是n个新的密文，接收方的输入是一个指示字符串s和加密方案的密钥k，最终接收方得到输出b，发送方没有输出；其中b是一个n比特字符串，第i个比特为1表示发送方输入的第i个密文解密后等于s，反之，第i个比特为0表示发送方输入的第i个密文解密后不等于s；

接收方以向量不经意解密与匹配子协议的输出b作为批处理反向隐私元素成员测试子协议的输出。

进一步地，所述加密方案为对称加密方案，发送方和接收方使用通用两方安全计算来执行向量不经意解密与匹配子协议。

进一步地，所述加密方案为可重随机化的公钥加密方案，双方采用以下步骤执行所述向量不经意解密与匹配子协议：

发送方使用重随机化算法，对n个密文做重随机化，并将得到的新密文发送给接收方；

接收方对发送方发过来的n个密文解密，如果解密结果为s，则令b的第i个比特为1，否则为0。

一种两方隐私集合并集计算装置，其包括：

批处理反向隐私元素成员测试子协议执行模块，用于供发送方和接收方执行一次批处理反向隐私元素成员测试子协议，在该协议中，发送方的输入为集合Y，接收方的输入为集合X，最终接收方得到输出b，发送方没有输出；其中b是一个n比特字符串，第i个比特为1表示集合Y的第i个元素属于集合X，反之，第i个比特为0表示集合Y的第i个元素不属于集合X；

不经意传输协议执行模块，用于供发送方和接收方执行n次不经意传输协议，第i次执行中，发送方的输入是集合Y的第i个输入和一个空字符串，接收方的输入是b的第i个比特，最终接收方得到集合Y中不在集合X的所有元素，结合集合X，接收方最终输出集合Y和集合X的并集。

本发明的关键创新点如下：

1.现有方案的反向隐私元素成员测试协议并不支持批处理，原因在于其内部结构的设计使得简单的批处理推广会泄露交集。本发明的批处理反向隐私元素成员测试协议的关键点在于不需要让发送方得到指示字符串的明文，而是密文，这样就可以一次性使得发送方测试多个元素。

2.现有的反向隐私元素成员测试协议虽然也支持加密，但是使用的是不经意伪随机函数协议构造的一次一密方案，本发明通过推广到一般的加密方案，可以避免不经意伪随机函数的调用。

3.本发明使用了可重随机公钥加密方案，这可以防止交集信息泄露给接收者。

与现有技术相比，本发明的有益效果如下：

1.现有的键值映射方案使用的是插值多项式方案，其计算复杂度较高。本发明使用更高效的键值映射方案，例如混淆布隆过滤器，混淆布谷鸟表等，可实现线性计算复杂度。

2.现有的最快隐私集合并集计算协议的轮数是与集合元素个数的对数成正比的，本发明的轮数是常数。其中轮数即协议的步骤数。本发明列出的步骤是确定的，是和集合大小无关的常数。而现有的方案有一步需要进行log n次循环，因此轮数是log n，这里n是集合大小。

3.现有方案的通信与计算复杂度均是集合大小的非线性，本发明的通信与计算复杂度均与集合大小成线性关系，是渐进意义下的最优结果。

4.现有方案的具体通信与计算效率也不是很高，本发明的具体通信和实现速度超过了现有方案的十倍左右。

附图说明

图1是隐私集合并集协议的现有的KRTW方案的示意图。其中灰色表示交集元素，交集元素不会被协议所泄露。

图2是本发明的两方隐私集合并集计算协议的示意图。

图3是本发明的批处理反向隐私元素成员测试子协议的示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图，对本发明做进一步详细说明。

本发明的一种新型两方隐私集合并集计算协议，参与方为发送方(Sender)与接收方(Receiver)，最终接收方得到输出。其包括以下步骤，流程如图2所示：

1.双方首先执行一次批处理反向隐私元素成员测试子协议(Batch RPMT)，在该协议中，发送方的输入为自己的集合Y＝{y₁,…y_n}，接收方的输入为自己的集合X＝{x₁,…x_n}，集合Y和集合X各有n个元素，最终接收方得到输出b，发送方没有输出。这里b∈{0,1}ⁿ是一个n比特字符串，第i个比特为1表示发送方集合Y的第i个元素属于接收方集合X，反之，第i个比特为0表示发送方集合Y的第i个元素不属于接收方集合X。

2.双方执行n次不经意传输协议(OT)，第i次执行中(i∈[n])，发送方的输入是自己集合Y的第i个输入y_i和一个空字符串接收方的输入是之前得到的b的第i个比特即b_i。最终，接收方得到发送方集合Y中不在自己集合X的所有元素z_i。结合自己的集合X，接收方最终输出集合Y和集合X的并集：X∪Y:＝X∪{z_i}_i∈[n]。

本发明的关键步骤是上述提到的第一步，即批处理反向隐私元素成员测试子协议，该协议包括以下步骤，流程如图3所示：

1.接收方先对自己的集合X选取一个随机的指示字符串s；s←{0,1}^l，其中，0、1表示一个比特串，l表示比特串的长度。

2.接收方使用加密方案对s加密n次，得到n个密文s_i:＝Enc(k,s)，i∈[n]，其中Enc表示加密方案，k表示加密方案的密钥，加密方案的安全性需要满足这n个密文与随机分布不可区分。

3.接收方计算键值映射KV，键为自己的集合元素x_i，值为n个密文s_i，即KV:＝Encode((x₁,s₁),…,(x_n,s_n))，其中Encode表示键值映射生成算法，并将KV发送给发送方。其中，键值映射生成算法可以采用混淆布隆过滤器、混淆布谷鸟表等来实现。

4.发送方根据KV计算出自己集合Y中的元素y_i对应的值将这些值/>作为新的密文输入。

5.双方此时执行向量不经意解密与匹配子协议(vector ODM，其中ODM的全称是Oblivious Decryption-then-Matching)，该协议是本发明提出的一个新的组件。在该协议中，发送方的输入是步骤4得到的n个新的密文，接收方输入是一个指示字符串s和加密方案的密钥k。最终接收方得到输出b，发送方没有输出。这里b是一个n比特字符串，第i个比特为1表示发送方输入的第i个密文解密后等于s，反之，第i个比特为0表示发送方输入的第i个密文解密后不等于s。

6.接收方以向量不经意解密与匹配子协议的输出b作为自己批处理反向隐私元素成员测试子协议的输出。

在本发明的批处理反向隐私元素成员测试协议中，使用了一个向量不经意解密与匹配子协议，该协议与对应的加密方案相关。本发明提出了两个候选方案，用以实例化上述批处理反向隐私元素成员测试协议。

作为可选择的实施方式，本发明的第一个方案基于对称加密方案，包括以下步骤：

1.接收方先对自己的集合X选取一个随机的指示字符串s；

2.接收方使用对称加密方案对s加密n次，得到n个密文，加密方案的安全性需要满足这n个密文与随机分布不可区分；

3.接收方计算键值映射KV，键集合为自己的集合元素，值集合为n个密文，并将KV发送给发送方；

4.发送方根据KV计算出自己集合中的元素对应的值，将这些值作为新的密文输入；

5.双方此时使用通用的两方安全计算方法来执行向量不经意解密与匹配子协议，接收方得到输出b；其中，通用的两方安全计算方法是指一般的两方安全计算方法，例如混淆电路(Garbled Circuit)、秘密分享(Secret Sharing)等；

作为可选择的实施方式，本发明的第二个实例化基于可重随机化的公钥加密方案，包括以下步骤：

1.接收方先对自己的集合X选取一个随机的指示字符串s；

2.接收方使用可重随机化的公钥加密方案对s加密n次，得到n个密文，加密方案的安全性需要满足这n个密文与随机分布不可区分；

4.发送方根据KV计算出自己集合中的元素对应的值，将这些值作为新的密文；然后执行向量不经意解密与匹配子协议，即步骤5、6；

5.此时发送方使用重随机化算法，对自己求得的n个密文做重随机化，并将得到的新密文发送给接收方；

6.接收方对发送方发过来的n个密文解密，如果解密结果为s，则令b的第i个比特为1，否则为0；

7.接收方将b作为自己批处理反向隐私元素成员测试子协议的输出。

本发明的其他实施方式：

1.在本发明的批处理反向隐私元素成员测试协议中使用的键值映射，上述实施例只是提供了候选方案，其他任何满足键值映射功能的组件均在本发明的保护范围之内。

2.任何使用其他方法实现批处理反向隐私元素成员测试的协议均在本发明的保护范围内。

3.采用任何其他可重随机化的加密方案来代替上述加密方案的实例均在本发明的保护范围内。

表1是本发明与现有技术的实验对比数据。其中，KRTW是现有的方案。PKE-fast是本发明提出的基于可重随机化公钥加密实例化的方案。n表示集合大小。Comm表示通信量，Running time表示运行时间。花体S表示发送方通信量，花体R表示接收方通信量，Total是总通信量。LAN表示局域网，其带宽为10Gbps，延迟是0.2ms。其他带宽的延迟是40ms。该实现使用Java语言。

表1

基于同一发明构思，本发明的另一个实施例提供一种两方隐私集合并集计算装置，其包括：

其中各模块的具体实施过程参见前文对本发明方法的描述。

基于同一发明构思，本发明的另一实施例提供一种电子装置(计算机、服务器、智能手机等)，其包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行本发明方法中各步骤的指令。

基于同一发明构思，本发明的另一实施例提供一种计算机可读存储介质(如ROM/RAM、磁盘、光盘)，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现本发明方法的各个步骤。

本发明的具体应用场景包括但不限于以下场景：

1.通过联合IP黑名单和联合漏洞数据进行网络风险评估和管理。例如，某组织的目标是优化其安全更新，以最小化其基础设施中的漏洞。在上述过程中，黑名单IP地址、特征网络跟踪和其他相关数据的联合列表以及漏洞扫描程序报告的数据点的联合列表发挥了关键作用。与此同时，可以理解的是，组织不愿意透露有关其当前或过去攻击或敏感网络数据的细节。因此，在计算上述数据集的集合并集时使用多方安全计算协议将减轻组织的担忧。在这个应用中，主要的性能瓶颈是集合并集的私有计算。本发明定制的隐私集合并集协议将作为主要构建块应用于此计算。

2.实现隐私ID功能(private-ID)。在这个功能中，双方都提供了一组项。该功能为每个项目分配一个真正随机的标识符(相同的项接收相同的标识符)。然后，它向每一方显示与它们自己的项相对应的标识符，以及所有标识符的整个集合(即，它们的输入集的并集的标识符)。这里也可以运用本发明的隐私集合并集协议。Private ID的优点是，双方都可以根据全局标识符集对其私有数据进行排序。然后他们可以逐项进行，执行任何所需的私有计算，并确保相同的项对齐。

3.其他应用程序和用例。例如两个互联网提供商考虑合并，他们想在不透露其现有网络信息的情况下，计算由此产生的联合网络的效率，此时可以使用本发明的隐私集合并集协议。集合并集的另一个应用是，可以考虑以下场景：一个社会服务组织想确定领取福利金的癌症患者名单。一些病人可能在多家医院接受癌症治疗。通过使用隐私集合并集协议，可以计算每个医院的癌症患者列表的并集，同时删除重复的患者而不泄漏患者的详细信息。

以上公开的本发明的具体实施例，其目的在于帮助理解本发明的内容并据以实施，本领域的普通技术人员可以理解，在不脱离本发明的精神和范围内，各种替换、变化和修改都是可能的。本发明不应局限于本说明书的实施例所公开的内容，本发明的保护范围以权利要求书界定的范围为准。

Claims

1.一种两方隐私集合并集计算方法，其特征在于，包括以下步骤：

发送方和接收方执行n次不经意传输协议，第i次执行中，发送方的输入是集合Y的第i个输入和一个空字符串，接收方的输入是b的第i个比特，最终接收方得到集合Y中不在集合X的所有元素，结合集合X，接收方最终输出集合Y和集合X的并集；

所述批处理反向隐私元素成员测试子协议，包括以下步骤：

接收方对集合X选取一个随机的指示字符串s；

2.根据权利要求1所述的方法，其特征在于，所述加密方案为对称加密方案，发送方和接收方使用通用两方安全计算来执行向量不经意解密与匹配子协议。

3.根据权利要求1所述的方法，其特征在于，所述加密方案为可重随机化的公钥加密方案，双方采用以下步骤执行所述向量不经意解密与匹配子协议：

4.一种两方隐私集合并集计算装置，其特征在于，包括：

不经意传输协议执行模块，用于供发送方和接收方执行n次不经意传输协议，第i次执行中，发送方的输入是集合Y的第i个输入和一个空字符串，接收方的输入是b的第i个比特，最终接收方得到集合Y中不在集合X的所有元素，结合集合X，接收方最终输出集合Y和集合X的并集；

所述批处理反向隐私元素成员测试子协议，包括以下步骤：

接收方对集合X选取一个随机的指示字符串s；

5.根据权利要求4所述的装置，其特征在于，所述加密方案为对称加密方案，发送方和接收方使用通用两方安全计算来执行所述向量不经意解密与匹配子协议。

6.根据权利要求4所述的装置，其特征在于，所述加密方案为可重随机化的公钥加密方案，所述向量不经意解密与匹配子协议包括以下步骤：

7.一种电子装置，其特征在于，包括存储器和处理器，所述存储器存储计算机程序，所述计算机程序被配置为由所述处理器执行，所述计算机程序包括用于执行权利要求1～3中任一权利要求所述方法的指令。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储计算机程序，所述计算机程序被计算机执行时，实现权利要求1～3中任一权利要求所述的方法。