CN114491578A - 一种用于隐私计算的安全数据聚合方法 - Google Patents

Abstract

本发明提供一种用于隐私计算的安全数据聚合方法，数据提供者广播临时公钥，构造会话标识符，对自己的身份标识、临时公钥和会话标识符进行签名并发送给其他参与者；数据提供者使用公钥证书验证接收签名的有效性，若全部通过则接受此次聚合任务，否则拒绝；数据提供者计算与其他方两两之间协商的DH密钥；数据提供者使用DH密钥派生得到的秘密掩蔽值盲化数据，同态加密盲化值并将密文发送给数据聚合者；数据聚合者对密文求和得到密文聚合值，将其发送给数据提供者；数据提供者解密得到最终的聚合值。本发明一方面能防止聚合者获得聚合值，另一方面即使聚合者与某个数据提供者合谋，也能保证诚实参与方的个人数据的隐私性。

Description

一种用于隐私计算的安全数据聚合方法

技术领域

本发明涉及隐私保护领域，具体是一种用于隐私计算的安全数据聚合技术。

背景技术

联邦学习是一种分布式机器学习，允许多个训练者在数据集不共享的情况下合作训练一个模型。在每一轮的训练中，训练者基于本地数据集和当前轮的全局模型计算梯度，并把梯度发送给聚合者(如云服务器)。然后聚合者聚合所有梯度并返回聚合值。训练者可以通过该聚合值和当前轮的全局模型计算下一轮的全局模型。尽管用户的数据得到了保护，联邦学习仍然面临用户隐私泄露风险。攻击者(如聚合者)可以通过训练者的梯度推导出训练者的训练数据集。因此，直接传输未经保护的梯度进行梯度聚合会泄露训练数据集。

为了解决这个问题，训练者可以采用隐私计算中的安全数据聚合技术来保护梯度数据。安全数据聚合技术通常指在不泄露个人敏感数据的情况下对多方数据提供者提供的数据进行安全求和计算。在含有聚合者的安全数据聚合模型中，每个数据提供者提供受保护的数据给聚合者以获得聚合值。一种有效保护数据提供者个人数据的安全聚合方法是使用加法同态加密技术构造，在该方法中，每个数据提供者都拥有相同的同态加密的解密私钥SK而公钥PK公开。如图1所示，在一共有n个数据提供者的联邦学习系统中，第i个数据提供者DP_i(i∈[1,n])将个人数据(即梯度)m_i加密得密文E_PK(m_i)，并通过安全信道传输给聚合者，聚合者将密文聚合值

返回给每位数据提供者。数据提供者对密文聚合值解密即可获得最终的聚合值。由于私钥对聚合者保密，因此他无法解密得到任何个人数据。此外，由于数据提供者通过安全信道来传输数据的密文给聚合者，其他方无法获取该密文并解密恢复对应的个人数据。然而，这种方法假设聚合者与数据提供者不能合谋，一旦合谋发生，所有诚实参与方的个人数据都会被解密从而遭到泄露。

为了防止聚合者与某个数据提供者合谋窃取诚实方的个人数据，可以使用成对掩蔽技术(Pairwise Masking)对数据进行保护：数据提供者使用两两之间协商的秘密掩蔽值对个人数据进行盲化，并将盲化后的结果(即盲化值)发送给聚合者。如图2所示，所有盲化值求和后成对的掩蔽值将抵消，最终获得多方个人数据的聚合值。即使聚合者与某个数据提供者合谋，因为他们没有诚实参与方之间的秘密掩蔽值，所以诚实方的个人数据也无法被恢复。但是，重用相同的秘密掩蔽值会造成数据信息泄露。因此该方法要求所有数据提供者为每次聚合进行一轮通信来两两协商新的掩蔽值，而一次聚合任务往往需要执行多次数据聚合，如隐私保护联邦学习需要为每次模型更新聚合一次梯度，即需要协商多次秘密掩蔽值，这将导致大量的计算和通信开销。此外，在该方法中，聚合者能够获得最终的聚合值，一定程度上泄露了数据隐私信息。

发明内容

本发明所要解决的问题是，提供一种在联邦学习数据聚合过程中既能防止聚合者获取聚合值，又能在聚合者与某个数据提供者合谋的情况下保证诚实参与方个人数据的隐私性的方法。

本发明为解决上述问题所采用的技术方案是，一种用于隐私计算的安全数据聚合方法，n个数据提供者拥有各自的待聚合数据，将待聚合数据通过以下方式进行处理并传输至数据聚合者处，数据聚合者接收n个数据提供者处理后的待聚合数据进行聚合得到密文聚合值，将密文聚合值发送给每个数据提供者，数据提供者可以解密得到聚合值，具体包括以下步骤：

1)每个数据提供者广播临时公钥，共同生成一个会话标识符，再对会话标识符签名后发送至其他数据提供者处，各数据提供者对来自其他数据提供者的会话标识符签名进行有效性验证，如果验证通过则接受此次聚合任务，否则终止此次聚合任务；

2)各数据提供者对待聚合数据进行盲化以及加法同态加密处理，得到处理后的密文，将密文发送至数据聚合者；

3)数据聚合者对来自n个数据提供者的密文求和得到密文聚合值，并将密文聚合值发送至各数据提供者；

4)各数据提供者使用加法同态加密的私钥解密密文聚合值得到聚合值。

可选的，步骤2)具体包括：

2-1)各数据提供者计算与其他数据提供者之间的能随时间或者数据属性变化的秘密掩蔽值mask_i,k；

2-2)各数据提供者利用秘密掩蔽值mask_i,k对待聚合数据m_i进行盲化得到盲化值blind_i；

2-3)各数据提供者使用加法同态加密的公钥PK加密盲化值blind_i得到密文c_i＝E_PK(blind_i)，并将c_i发送给数据聚合者，E_PK(·)表示公钥PK加密的加密算法。

可选的，步骤2)具体包括：

2-1)各数据提供者计算与其他数据提供者之间的能随时间或者数据属性变化的秘密掩蔽值mask_i,k；

2-2)各数据提供者加法同态加密的公钥PK加密数据m_i得到密文c_i＝E_PK(m_i)， E_PK(·)表示公钥PK加密的加密算法；

2-3)各数据提供者秘密掩蔽值mask_i,k对密文c_i进行盲化得到盲化后的密文blind_i，并将blind_i发送给数据聚合者。

本发明利用加法同态加密及成对掩蔽技术，提出了一种用于隐私计算的安全数据聚合协议，该协议一方面能防止聚合者获得聚合值，另一方面即使聚合者与某个数据提供者合谋，也能保证诚实参与方的个人数据的隐私性。此外，多次数据聚合时数据提供者使用的不同秘密掩蔽值可以由他们之间两两协商的DH密钥派生得到，而无需数据提供者为了这些秘密掩蔽值进行多次协商，减少了计算和通信开销。

本发明的有益效果是：

(1)数据聚合者只能得到密文聚合值，保护了数据提供者个人数据的隐私信息；

(2)即使聚合者与某个数据提供者合谋，因为他们没有诚实参与者之间协商的秘密掩蔽值，所以诚实参与者的个人数据也无法被恢复；

(3)在多次数据聚合时，数据提供者使用的不同秘密掩蔽值可以由他们之间两两协商的DH密钥派生得到，而无需数据提供者为了这些秘密掩蔽值进行多次协商，降低了计算和通信开销。

附图说明

图1为基于加法同态加密的安全数据聚合方法示意图；

图2为基于成对掩蔽技术的安全数据聚合方法示意图；

图3为本发明中一种用于隐私计算的安全数据聚合协议示意图；

图4为本发明中一种用于隐私计算的安全数据聚合协议流程图。

具体实施方式

下面结合附图和实施例对本发明进行进一步的说明。

基于安全数据聚合的联邦学习方法，云服务器(即聚合者)将全局模型发送至各参与方，参与方基于本地数据集和全局模型进行一轮训练得到本地梯度，各参与方将本地梯度发送至云服务器进行聚合，云服务器再将聚合结果发送至各参与方，其中，在参与方将本地梯度发送至云服务器进行聚合时，首先使用成对掩蔽技术对本地梯度进行盲化，再使用加法同态加密加密盲化值，其中盲化时使用的秘密掩蔽值可以由参与方之间两两协商的DH密钥派生得到。

如图3所示，本发明基于的安全数据聚合模型包含一个证书颁发机构CA、一个数据聚合者S和n个数据提供者，数据提供者使用其身份标识DP_i(i∈[1,n])来表示，其中DP_i拥有数据m_i∈[0,R_U]，R_U为预设的数据m_i取值范围的上界。一种用于隐私计算的安全数据聚合协议包括以下步骤：

1、设置阶段

(1)每个数据提供者为本次聚合任务选择一个加法同态加密方案，设置同态加密公钥PK和私钥SK，并把PK发送给数据聚合者；所有数据提供者选择DH密钥协商协议的参数

其中p是一个大素数，

是阶为p、生成元为g的循环群；所有数据提供者选择一个伪随机数生成器PRG(·)和一个抗碰撞的哈希函数H(·)；每个数据提供者选择签名私钥SK_i并计算对应公钥；证书颁发机构生成并发布每个数据提供者的公钥证书Cert_i；i为数据提供者序号，i∈[1,n]，各数据提供者的身份标识为DP_i；

(2)各数据提供者生成本次会话的临时私钥x_i与临时公钥

并把

广播出去，其中

代表模p剩余类环，

(3)各数据提供者利用n个数据提供者的身份标识和临时公钥构造会话标识符

使用签名私钥计算签名

并发送

和σ_i给其他数据提供者，

表示使用签名私钥SK_i的签名算法；k为数据提供者序号；

(4)各数据提供者接收到其他数据提供者发送的

和σ_k,k≠i,k＝1,…,n，并使用其他数据提供者的公钥证书Cert_k对应验证签名σ_k的有效性；若所有签名都通过检验，则接受此次聚合任务，否则终止此次聚合任务；

(5)各数据提供者利用自己的临时私钥sk_i和其他数据提供者的临时公钥

来计算各数据提供者与其他数据提供者之间共享的DH密钥

s_i,k为第i个数据提供者与第k个数据提供者之间共享的DH密钥；

2、数据保护与聚合阶段

(1)各数据提供者计算与其他数据提供者之间的秘密掩蔽值mask_i,k＝PRG(H(SID||s_i,k||t||a))，其中t表示时间，a代表数据属性，||表示字符串连接；在一次聚合任务中，可以通过改变时间t或数据属性a，为多次数据聚合派生出多个秘密掩蔽值；

(2)各数据提供者对待聚合数据m_i进行盲化得到盲化值

其中R＝nR_U+1，mod为取模运算；

(3)各数据提供者使用加法同态加密的公钥PK加密盲化值blind_i得到密文 c_i＝E_PK(blind_i)，并将c_i发送给数据聚合者，E_PK(·)表示公钥PK加密的加密算法；

(4)数据聚合者对来自n个数据提供者的密文求和得到密文聚合值

并将z发送给每个数据提供者，其中

表示加法同态加密密文域上满足

的运算；

(5)各数据提供者使用加法同态加密的私钥SK解密z得到聚合值

在数据保护与聚合阶段，本发明展示了数据提供者先盲化数据再对盲化值加密的策略，值得注意的是我们也可以先同态加密数据再对密文进行盲化。

可选的，各数据提供者使用加法同态加密的公钥PK加密数据m_i得到密文 c_i＝E_PK(m_i)，再使用编码到密文域中的秘密掩蔽值mask_i,k对密文c_i进行盲化得到盲化值

其中

表示加法同态加密密文域上满足

的运算。在接收到所有盲化值后，数据聚合者S计算得到密文聚合值

实施例如图4所示，一种用于隐私计算的安全数据聚合协议流程为：

1、设置阶段

(1)所有数据提供者为此次聚合任务选择一个加法同态加密方案，设置同态加密公钥PK和私钥SK，并把PK发送给S。本实施例中加法同态加密方案若采用Paillier同态加密方案，则公钥PK＝N，私钥SK＝(p′-1)(q′-1)，其中N为两个大素数p′和q′的乘积。所有数据提供者选择DH密钥协商协议的参数

其中p是一个大素数，

是阶为p、生成元为g的循环群。所有数据提供者选择一个伪随机数生成器PRG(·)和一个抗碰撞的哈希函数H(·)。每个数据提供者DP_i(i∈[1,n])选择签名私钥SK_i，计算对应的公钥，CA生成并发布DP_i的公钥证书Cert_i；

(2)DP_i(i∈[1,n])生成本次会话的临时公私钥

其中x_i为私钥，

代表模p剩余类环，

为公钥，并把

广播出去；

(3)DP_i(i∈[1,n])利用n个数据提供者的身份标识和临时公钥构造会话标识符

计算签名

并发送

给其他数据提供者；

(4)DP_i(i∈[1,n])接收

并使用公钥证书{Cert_k}_{k≠i∧k＝1,…,n}分别验证签名{σ_k}_{k≠i∧k＝1,…,n}的有效性。若所有签名都通过检验，则接受此次聚合任务，否则终止此次聚合任务；

(5)DP_i(i∈[1,n])利用自己的临时私钥sk_i和DP_k(k≠i∧k＝1,…,n)的临时公钥

计算与DP_k共享的DH密钥

2、数据保护与聚合阶段

(1)DP_i(i∈[1,n])计算秘密掩蔽值mask_i,k＝PRG(H(SID||s_i,k||t||a))，其中t表示时间，a代表数据属性。本实施例中抗碰撞的哈希函数H(·)若采用SHA256:{0,1}^*→ {0,1}²⁵⁶，则秘密掩蔽值mask_i,k＝PRG(SHA256(SID||s_i,k||t||a))。在一次聚合任务中，可以通过改变时间t或数据属性a，为多次数据聚合派生出多个秘密掩蔽值；

(2)DP_i(i∈[1,n])对数据m_i进行盲化得到盲化值

其中R＝nR_U+1，mod为取模运算；

(3)DP_i(i∈[1,n])选择随机数

加密盲化值blind_i得到密文

其中

代表模N的简化剩余系构成的乘法群。随后，DP_i将c_i发送给数据聚合者S；

(4)S对密文求和得到密文聚合值

并将z发送给每个数据提供者，其中

表示加法同态加密密文域上满足

的运算；

(5)DP_i(i∈[1,n])解密z得到聚合值

安全数据聚合技术被广泛应用于隐私计算中，允许多个数据提供者在保证个人数据不泄露的同时对数据进行安全求和计算。现存的安全数据聚合协议要么不能防止聚合者获取聚合值，要么在聚合者与某个数据提供者合谋的情况下不能保证诚实参与方个人数据的隐私性。为了同时解决这两个问题并且减少计算和通信开销，本发明提供了一种用于隐私计算的安全数据聚合协议并对该方法进行了详细介绍。本文应用了具体个例对本发明的原理及实施方式进行了阐述。应当指出，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (10)

1.一种用于隐私计算的安全数据聚合方法，n个数据提供者拥有各自的待聚合数据，将待聚合数据通过以下方式进行处理并传输至数据聚合者处，数据聚合者接收n个数据提供者处理后的待聚合数据进行聚合得到密文聚合值，将密文聚合值发送给每个数据提供者，数据提供者可以解密得到聚合值，其特征在于，包括以下步骤：

1)每个数据提供者广播临时公钥，共同生成一个会话标识符，再对会话标识符签名后发送至其他数据提供者处，各数据提供者对来自其他数据提供者的会话标识符签名进行有效性验证，如果验证通过则接受此次聚合任务，否则终止此次聚合任务；

2)各数据提供者对待聚合数据进行盲化以及加法同态加密处理，得到处理后的密文，将密文发送至数据聚合者；

3)数据聚合者对来自n个数据提供者的密文求和得到密文聚合值，并将密文聚合值发送至各数据提供者；

4)各数据提供者使用加法同态加密的私钥解密密文聚合值得到聚合值。

2.如权利要求1所述方法，其特征在于，步骤2)具体包括：

2-1)各数据提供者计算与其他数据提供者之间的能随时间或者数据属性变化的秘密掩蔽值mask_i,k；

2-2)各数据提供者利用秘密掩蔽值mask_i,k对待聚合数据m_i进行盲化得到盲化值blind_i；

2-3)各数据提供者使用加法同态加密的公钥PK加密盲化值blind_i得到密文c_i＝E_PK(blind_i)，并将c_i发送给数据聚合者，E_PK(·)表示公钥PK加密的加密算法。

3.如权利要求2所述方法，其特征在于，步骤3)具体包括：数据聚合者对来自n个数据提供者的密文求和得到密文聚合值

并将z发送给每个数据提供者，其中

表示加法同态加密密文域上满足

的运算。

4.如权利要求1所述方法，其特征在于，步骤2)具体包括：

2-1)各数据提供者计算与其他数据提供者之间的能随时间或者数据属性变化的秘密掩蔽值mask_i,k；

2-2)各数据提供者使用加法同态加密的公钥PK加密数据m_i得到密文c′_i＝E_PK(m_i)，E_PK(·)表示公钥PK加密的加密算法；

2-3)各数据提供者利用秘密掩蔽值mask_i,k对密文c′_i进行盲化得到盲化后的密文blind′_i，并将blind′_i发送给数据聚合者。

5.如权利要求4所述方法，其特征在于，步骤3)具体包括：数据聚合者对来自n个数据提供者的密文求和得到密文聚合值

并将z发送给每个数据提供者，其中

表示加法同态加密密文域上满足

的运算。

6.如上述任一项权利要求所述方法，其特征在于，步骤1)具体包括：

1-1)n个数据提供者为本次聚合任务选择一个加法同态加密方案，设置同态加密公钥PK和私钥SK，并发送PK到数据聚合者；所有数据提供者选择DH密钥协商协议的参数

其中p是一个大素数，

是阶为p、生成元为g的循环群；每个数据提供者选择签名私钥SK_i并计算对应的公钥；证书颁发机构生成并发布每个数据提供者的公钥证书Cert_i；i为数据提供者序号，i∈[1,n]，各数据提供者的身份标识为DP_i；

1-2)各数据提供者生成本次会话的临时私钥x_i与临时公钥

并把

广播出去，其中

代表模p剩余类环，

1-3)各数据提供者利用n个数据提供者的身份标识和临时公钥构造会话标识符

使用签名私钥计算签名

并发送DP_i,

和σ_i给其他数据提供者，

表示使用签名私钥SK_i的签名算法；k为数据提供者序号；

1-4)各数据提供者接收到其他数据提供者发送的

和σ_k,k≠i,k＝1,…,n，使用其他数据提供者的公钥证书Cert_k对应验证签名σ_k的有效性；若所有签名都通过检验，则接受此次聚合任务，否则终止此次聚合任务。

7.如权利要求6所述方法，其特征在于，步骤1-2)之后还包括步骤：各数据提供者利用自己的临时私钥sk_i和其他数据提供者的临时公钥

来计算各数据提供者与其他数据提供者之间共享的DH密钥

s_i,k为第i个数据提供者与第k个数据提供者之间共享的DH密钥。

8.如权利要求7所述方法，其特征在于，步骤1-1)还包括所有数据提供者选择一个伪随机数生成器PRG(·)和一个抗碰撞的哈希函数H(·)；

步骤2-1)中秘密掩蔽值mask_i,k＝PRG(H(SID||s_i,k||t||a))，其中t表示时间，a代表数据属性，||表示字符串连接。

9.如权利要求8所述方法，其特征在于，盲化值

其中R＝nR_U+1，mod为取模运算；R_U为预设的m_i的取值范围上限。

10.如权利要求8所述方法，其特征在于，盲化后的密文

其中

表示加法同态加密密文域上满足

的运算。

Images