CN115051791A - 一种基于密钥协商的高效三方隐私集合求交方法及系统 - Google Patents

Abstract

本发明提供了一种基于密钥协商的高效三方隐私集合求交方法及系统，包括如下步骤：参数准备、参与方A生成多项式、参与方B计算输出密钥、参与方C计算输出密钥、交集计算阶段。参与方A，用于与参与方B和接收者C之间计算集合交集；参与方B，用于与参与方A和接收者C之间计算集合交集；接收方C，用于与参与方A和参与方B之间计算集合交集。可以在恶意敌手存在的情况下安全地计算三方集合交集。本发明所产生的通信成本很低，在宽带受限的场景下将具有更大优势。对比同样适用于弱通信场景的同态加密方法，本发明将具有更高的效率。本发明保证在恶意敌手存在时可以安全地计算出集合交集，并允许任意两个参与方进行合谋，提供了更高的安全性。

Description

一种基于密钥协商的高效三方隐私集合求交方法及系统

技术领域

本发明涉及多方安全计算中隐私集合交集计算领域，具体来说，是一种基于密钥协商的高效小集合隐私交集计算方法及其系统。

背景技术

隐私集合交集(Private Set Intersection，PSI)技术是安全多方计算的重要场景之一，经典的PSI协议包含两个参与方，它们各自持有自己的私有集合，在协议结束时，两方或者其中一方作为接收者获得两方集合的交集，而不会泄露除交集之外的任何元素信息。作为重要的密码学工具，PSI在许多协议的基础模块中被构建。此外，PSI也被广泛应用于人工智能和数据挖掘的安全领域，如带隐私保护的数据挖掘、私有通讯录查找、新冠接触者追踪以及衡量在线广告转化率等。

目前PSI技术已经得到了快速的发展，但现有的协议大多仅适用于经典的拥有两个参与方的场景，此类协议已经达到非常高的效率。在数据共享的时代背景下，两个以上参与方的场景需求更加广泛，但目前仅有少数方案适用于此类场景。在现实应用场景中，需要进行隐私计算的参与方往往不止两个，例如在社交软件中的隐私联系人查找功能在查找多个用户的共同好友时需要多个用户共同参与。

最早的PSI协议采用朴素哈希的方式，即先对集合元素求哈希，并通过对哈希值的对比得出交集，这种方案是十分高效的，但容易受到碰撞攻击。为了解决碰撞攻击的问题，需要采用安全对比的方法。对于持有m个元素的集合，为了求出交集元素，最坏的情况需要进行m²次对比。通过将元素映射到布隆过滤器进行对比，对比次数减少到O(nlogn)，n为布隆过滤器的长度。随着PSI技术的成熟，通过布谷鸟哈希、不经意伪随机函数和高效的OT扩展等技术，一些PSI协议实现了O(n)的计算和通信复杂度。

现有PSI协议有多种实现方式，在本发明中，我们重点关注基于密钥协商的PSI协议。目前大多数高效的PSI方案都是基于OT协议构建，得益于高效的OT扩展技术，各方可以通过少量的公钥操作生成大量的OT协议实例，使得基于OT的PSI协议所需要的公钥操作数量仅与安全参数有关，而与集合大小无关。因此利用OT技术可以高效地构造具有较大集合的PSI协议。一般来说，基于OT的PSI协议比基于密钥协商的协议更快，但需要更多的通信。现有的基于密钥协商的PSI主要依赖于经典的Diffie-Hellman密钥协商协议。虽然基于OT的协议一般要比基于密钥协商的协议更快，但由于基于密钥协商的协议通信量低、安全性高，所以在实际场景中基于密钥协商的协议应用十分广泛。Rosulek等人基于Diffie-Hellman密钥协商和多项式插值技术在小集合情况下实现了迄今为止最快的PSI方案。遗憾的是，现存的基于密钥协商的方案都仅适用于具有两个参与方的场景。需要注意的是，两方协议无法直接扩展到多方，PSI协议的隐私性要求除交集之外的任何信息都无法被泄露，而两方协议直接扩展到多方将不可避免地泄露交集之外的两两相交的部分，这是无法接受的。因此必须独立设计多方PSI协议以符合安全性需求。

基于密钥协商构造的PSI协议一般具有通信量低及在小集合上高效的优势。在某些场景下，通信成本比计算成本更重要，在谷歌内部部署PSI功能时选择了基于Diffie-Hellman密钥协商的PSI，它们指出：在共享网络中添加CPU比扩大网络容量要便宜的多。基于密钥协商的PSI比基于OT的PSI具有更低的通信量。另一方面，小集合求交是隐私集合求交的一个典型场景，具有广泛的应用。例如，可以通过对用户的整个地址薄(几千项)和另一个用户的个人标识符(电活号码或电子邮箱；可能是10项)进行PSI，从而用于苹果手机的隔空投送功能。另外，各方可能希望利用可用日历时间的PSI来安排会议时间。对于此类输入大小的集合，基于密钥协商的PSI是计算成本最低的。

虽然传统两方PSI协议的已经发展的非常成熟，但针对两个参与方以上场景的PSI协议仍然较少，且已有的多方PSI协议大多仅实现了半诚实安全性，而不能实现更符合实际场景的恶意安全性。

因此，需要一个恶意安全的基于密钥协商的小集合隐私集合交集计算方法。

发明内容

本发明要解决的问题是提供一种基于密钥协商的高效三方隐私集合求交方法及系统，该方法将集合元素通过多项式映射到密钥协商的共享密钥空间，通过对比输出密钥的方式得到最终的集合交集。本发明尤其适用于小集合求交的场景，在小集合情况下，本发明具有很高的运行效率，并大大减少了通信量。

本发明是通过以下技术方案实现的：

一种基于密钥协商的高效三方隐私集合求交方法，包括如下步骤：

(1)参数准备：在协议正式开始之前，参与方B和C随机选择

以及

并计算bP和cP发送给对方，对于每个A的集合元素x_i∈X，参与方A选择n个随机值

(2)参与方A生成多项式：参与方A插值多项式Q(·)并将其发送给参与方B和C；

(3)参与方B计算输出密钥：参与方B用自己的集合元素y_i查询随机预言机H₁(y_i)，然后用H₁(y_i)对多项式求响应，并计算每个响应对应的输出密钥值k_i，然后再次查询随机预言机得到K＝

将其乱序发送给C；

(4)参与方C计算输出密钥：参与方C用自己的集合元素z_i查询随机预言机H₁(z_i)，然后用H₁(z_i)对多项式求响应，并计算每个响应对应的密钥值；

(5)交集计算阶段：参与方C判断

是否在K中，从而得出交集。

作为最优选的实施例，当集合中元素≤500或在宽带受限的场景下，本发明将具有更高的效率来计算隐私集合交集。

作为最优选的实施例，存在恶意攻击者，不按正常的协议步骤执行时，系统仍可以安全地计算出集合交集，并且允许任意两个参与方进行合谋，也不会泄露第三方除了交集以外的元素信息，提供了更高的安全性。

一种基于密钥协商的高效三方隐私集合求交系统，包括：

参与方A，用于与参与方B和接收者C之间计算集合交集；

参与方B，用于与参与方A和接收者C之间计算集合交集；

接收方C，用于与参与方A和参与方B之间计算集合交集。

作为最优选的实施例，所述参与方A，包括：

接收方C服务请求处理模块，用于同意或拒绝接收方C的服务请求；

信道构建模块，用于与参与方B和接收方C构建高速通信信道并进行数据交互测试；

数据处理传输模块，用于使用生成插值多项式，并将其发送给参与方B和接收方C。

作为最优选的实施例，所述参与方B，包括：

接收方C服务请求处理模块，用于同意或拒绝接收方C的服务请求；

信道构建模块，用于与参与方B和接收方C构建高速通信信道并进行数据交互测试；

数据接收模块，用于接收参与方C发送的数据值；

密钥计算模块，用于与参与方A进行复杂的协议运算，并得到输出密钥。

作为最优选的实施例，所述接收方C，包括：

服务请求模块，用于向参与方A和参与方B发起服务请求；

数据接收模块，用于接收参与方B发送的数据值；

密钥计算模块，用于与参与方A进行复杂的协议运算，并得到输出密钥；

集合解出模块，用于使用从参与方B接收到的数据解出与三方集合交集的正确结果。

作为最优选的实施例，所述参与方A、B信道构建模块，用于与参与方A、B构建高速信道并进行数据交互测试。

一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现一种基于密钥协商的高效三方隐私集合求交方法。

本发明技术原理：

在本发明的原始思路是将集合元素信息映射到密钥协商后的公共密钥空间上，如果三方获得的公共密钥相同，则可判断对应的元素在交集中，否则该元素不在交集中。参与方B和C随机选择

以及

并计算bP和cP发送给对方。通过共用bP和cP，参与方B和C可以在n个点上计算输出密钥，这将帮助协议降低所需通信量和计算量。

直观上，对于所有x_i∈X，参与方A可以选择n个随机值

并直接插值多项式Q(·)使得Q(x_i)＝a_iP，将Q发送给B、C，用于之后的密钥协商。为了保证协议的安全性，我们让参与方A插值多项式Q使得Q(x_i)＝Π^-1(a_iP)，其中Π是理想置换。在安全性证明中，理想置换通过编程Π输出模拟器选择的消息为模拟器的模拟提供帮助。

接下来，参与方B、C用自己的集合元素对接收到的多项式求响应并进行理想映射，分别得到Π(P(y_i))和Π(P(z_i))并将此结果按照三方密钥协商中的方式做双线性映射得到各自的输出密钥。在这种情况下，参与方B和参与方C的输出密钥中都包含各自集合与参与方A的集合的交集信息。需要注意的是，如果B、C接收到的多项式阶数小于1(常数多项式)协议将终止。最后参与方B将其输出密钥发送给参与方C，参与方B通过对比双方的输出密钥从而得出交集元素。

为了对抗恶意敌手，我们让参与方A插值多项式Q，使得Q(H(x_i))＝Π^-1(a_iP)，其中Π是理想置换，H是随机预言机。随机预言机的存在可以帮助模拟器进行输入提取，从而抵抗恶意敌手的攻击。最后将参与方B的输出密钥替换为

将参与方B的集合元素和输出密钥k_i同时作为随机预言机的输入并查询结果发送给参与方C，这再次帮助模拟器进行输入提取，从而抵抗恶意敌手的攻击。

有益效果：

传统的隐私集合计算方法适用于大型集合的计算，通过OT扩展协议提高了运行效率，但也带来了巨大的通信开销。在实际的应用场景中，通信成本有时会远高于计算成本，此时传统方法所带来的通信开销是无法接受的。小集合求交是典型的集合求交场景，传统的隐私集合求交方法大多仅适用于大集合的求交，在小集合情况下由于具有较大固定开销而不适用，本发明提出的方案十分适合小集合求交，在拥有500个或更少元素的场景下，本发明十分高效，并同时仅需极低的通信量。相比于同样适用于降低通信量的同态加密的方法，本发明具有更少的计算量。

附图说明

图1为本发明的系统结构示意图。

图2为本发明流程结构示意图。

具体实施方式

下面结合附图对本发明的实施例作详细说明：本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

实施例：

如图1、2所示，对本发明的实施例作了详细说明，本文发明包含三个参与方：参与方A、B、C。每个参与方都有可能是恶意参与者且允许任意两方合谋。在协议开始前，参与方A、B、C各自持有私有集合，在协议执行结束后，参与方C作为接收方获得交集，在这个过程中不会泄露除交集之外的任何信息。基于密钥协商的高效恶意安全隐私交集计算协议表示为Π：({0，1}^*)ⁿ×({0，1}^*)ⁿ×({0，1}^*)ⁿ→⊥×⊥×f_|∩|，其中⊥表示空输入或空输出，{0，1}^*表示输入项的域，n表示集合大小，f表示PSI函数。对于每一组分别属于A，B，C的大小为n的输入集合X，Y，Z，函数对A和B输出⊥，对C输出f_|∩|＝|X∩Y∩Z|。

为解决上述技术问题，本发明通过以下3种技术方案组合而成：

(1)理想置换

在理想置换模型中，各方可以访问{0,1}ⁿ上的随机置换Π及其逆置换Π^-1，本文用Π^±表示这一对随机置换。在安全性证明中，模拟器可以观察理想置换Π^±上的所有查询并编码响应。理想置换基于固定密钥的块密码进行加密操作，而不需要关心密钥调度问题。理想置换模型与理想密码模型相似，但比理想密码的成本低。一个理想密码包含多个理想置换，与密钥一一对应。目前，理想置换已经被用于实现混乱电路和OT协议中高效的哈希函数。

(2)双线性配对

双线性配对是本发明的基础密码原语之一，其广泛应用于密码学，使得很多不可行的密码构件变得可行而高效。设

是素数q阶加法循环群，

是q阶乘法循环群。映射e：

如果满足下列性质，则被称为一个双线性配对：

(1)双线性性：对于任意的

a,b∈Z_q，则有e(aP,bP)＝e(P,Q)^ab。

(2)非退化性：存在

使得

其中

是

中的单位元。

(3)可计算性：对于任意的

存在有效的多项式时间算法可以计算e(P,Q)。

本文发明的安全性主要由以下困难问题保证：

i)配对的不可逆性给定一个配对值

要求在

找到P,Q满足：e(P,Q)＝v，这是不可行的。

ii)双线性判定性问题(Bilinear Decision Diffie-Hellman Problem，BDDHP)给定群

和

它们的阶同为素数q，给定双线性配对e：

的生成元为P，那么双线性确定性Diffie-Hellman问题为给定(P,aP,bP,cP)和一个元素

判断h＝e(P,P)^abc是否成立，这是不可行的。

(3)三方密钥协商

本发明提供的三方PSI协议基于Toux等人提出的三方Diffie-Hellman密钥协商协议。该协议仅需要一轮通信即可构建一个共享的密钥。三方密钥协商的主要步骤如下：

三个参与方A、B、C，给定双线性映射e：

其中

是素数q阶加法循环群，

是q阶乘法循环群。P是

的一个生成元。协议执行如下：

(1)A选择随机数

计算aP并发送给B和C。

(2)B选择随机数

计算bP并发送给A和C。

(3)C选择随机数

计算cP并发送给A和B。

(4)A计算共享密钥为K_A＝e(bP,cP)^a＝e(P,P)^abc。

(5)B计算共享密钥为K_B＝e(aP,cP)^b＝e(P,P)^abc。

(6)C计算共享密钥为K_C＝e(aP,bP)^c＝e(P,P)^abc。

一种基于密钥协商的高效恶意安全三方隐私交集计算方法，同样适合于具有弱通信能力及带有小集合(500个元素或更少)的参与方之间计算隐私集合交集，包括如下步骤：

参量：三个参与方A，B，C；

有限域

循环群

和

P是

的生成元；

理想置换Π,Π^-1：

双线性配对e:

随机预言机H₁：

H₂：

随机密钥空间|K|≥2^κ

输入：参与方A，B，C分别输入集合X，Y，Z

输出：X∩Y∩Z

(1)B随机选择

计算bP发送给C，同时C随机选择

计算cP发送给B；

(2)A随机选择n个随机值

插值多项式Q(H₁(x_i),Π^-1(a_iP))并发送给B、C；

(3)B、C接收多项式，如果多项式阶数小于1，则协议终止。

(4)B计算输出密钥。B用自己的集合元素y_i查询随机预言机H₁(y_i)，然后用H₁(y_i)对多项式求响应，并计算每个响应对应的密钥值：k_i＝e(Π(Q(H₁(y_i))),cP)^b，其中y_i∈Y。

(5)B计算

将其乱序发送给C；

(6)C计算输出密钥。用集合元素z_i查询随机预言机H₁(z_i)，然后用H₁(z_i)对多项式求响应，并计算每个响应对应的密钥值：k_i＝e(Π(Q(H₁(z_i))),bP)^c。然后计算

(7)计算交集。参与方C判断

是否在K中，如果

则输出z_i.

安全性分析：基于密钥协商的隐私集合交集协议的安全性直接由三方密钥协商的安全性及理想置换的安全性保证。因为Π是理想置换，所以每一个Π^-1(a_iP)都是一个均匀随机的值，因此Q是一个随机均匀的多项式而与输入x无关，即Q与随机选取的多项式是无法区分的，及多项式Q不会泄露任何信息。由三方密钥协议的安全性可以得知参与方B发送给C的密钥与随机值是不可区分的，也即不会泄露任何集合元素信息。此外，随机预言机保证了在恶意敌手存在时的安全性，通过观察随机预言机的查询，模拟器可以进行输入提取，从而保证恶意敌手存在下的安全。因此该隐私集合交集方案不会泄露任何信息。

本发明提供的基于密钥协商的三方隐私集合交集计算方法主要可分为四个阶段。

(1)参数准备：在协议正式开始之前，参与方B和C随机选择

以及

并计算bP和cP发送给对方。对于每个A的集合元素x_i∈X，参与方A选择n个随机值

(2)参与方A生成多项式：参与方A插值多项式Q(·)并将其发送给参与方B和C.

(3)参与方B计算输出密钥：参与方B用自己的集合元素y_i查询随机预言机H₁(y_i)，然后用H₁(y_i)对多项式求响应，并计算每个响应对应的输出密钥值k_i。然后再次查询随机预言机得到

将其乱序发送给C；

(4)参与方C计算输出密钥：参与方C用自己的集合元素z_i查询随机预言机H₁(z_i)，然后用H₁(z_i)对多项式求响应，并计算每个响应对应的密钥值。

(5)交集计算阶段：参与方C判断

是否在K中，从而得出交集

具体实现过程包括以下参数和步骤：

参数：三个参与方A，B，C；

有限域

循环群

和

P是

的生成元；

理想置换Π,Π^-1：

双线性配对e:

随机预言机H₁：

H₂：

随机密钥空间|K|≥2^κ

输入：参与方A输入集合X＝{x₁，…，x_n}；参与方B输入集合Y＝{y₁，…，y_n}；参与方Z输入集合Z＝{z₁，…，z_n}.

(1)B随机选择

计算bP发送给C，同时C随机选择

计算cP发送给B；

(2)A随机选择n个随机值

插值多项式Q(H₁(x_i),Π^-1(a_iP))并发送给B、C；

(3)B、C接收多项式，如果多项式阶数小于1，则协议终止。

(4)B计算输出密钥。B用自己的集合元素y_i查询随机预言机H₁(y_i)，然后用H₁(y_i)对多项式求响应，并计算每个响应对应的密钥值：k_i＝e(Π(Q(H₁(y_i))),cP)^b，其中y_i∈Y。

(5)B计算

将其乱序发送给C；

(6)C计算输出密钥。用集合元素z_i查询随机预言机H₁(z_i)，然后用H₁(z_i)对多项式求响应，并计算每个响应对应的密钥值：k_i＝e(Π(Q(H₁(z_i))),bP)^c。然后计算

(7)计算交集。参与方C判断

是否在K中，如果

则输出z_i.

本发明与现有技术相比更适用于弱通信场景的三方隐私集合交集计算，在小集合场景下更加高效。本发明与现有三方隐私集合交集方法相比具有更少的通信量，与同样适应于弱通信场景的基于同态加密的方法相比具有更低的计算量。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (9)

1.一种基于密钥协商的高效三方隐私集合求交方法，其特征在于，包括如下步骤：

(1)参数准备：在协议正式开始之前，参与方B和C随机选择

以及

并计算bP和cP发送给对方，对于每个A的集合元素x_i∈X，参与方A选择n个随机值

(2)参与方A生成多项式：参与方A插值多项式Q(·)并将其发送给参与方B和C；

(3)参与方B计算输出密钥：参与方B用自己的集合元素y_i查询随机预言机H₁(y_i)，然后用H₁(y_i)对多项式求响应，并计算每个响应对应的输出密钥值k_i，然后再次查询随机预言机得到K＝

将其乱序发送给C；

(4)参与方C计算输出密钥：参与方C用自己的集合元素z_i查询随机预言机H₁(z_i)，然后用H₁(z_i)对多项式求响应，并计算每个响应对应的密钥值；

(5)交集计算阶段：参与方C判断

是否在K中，从而得出交集。

2.根据权利要求1所述的一种基于密钥协商的高效三方隐私集合求交方法，其特征在于，当集合中元素≤500或在宽带受限的场景下，本发明将具有更高的效率来计算隐私集合交集。

3.根据权利要求1所述的一种基于密钥协商的高效三方隐私集合求交方法，其特征在于，存在恶意攻击者，不按正常的协议步骤执行时，系统仍可以安全地计算出集合交集，并且允许任意两个参与方进行合谋，也不会泄露第三方除了交集以外的元素信息，提供了更高的安全性。

4.一种基于密钥协商的高效三方隐私集合求交系统，其特征在于，包括：

参与方A，用于与参与方B和接收者C之间计算集合交集；

参与方B，用于与参与方A和接收者C之间计算集合交集；

接收方C，用于与参与方A和参与方B之间计算集合交集。

5.根据权利要求4所述的一种基于密钥协商的高效三方隐私集合求交系统，其特征在于，所述参与方A，包括：

接收方C服务请求处理模块，用于同意或拒绝接收方C的服务请求；

信道构建模块，用于与参与方B和接收方C构建高速通信信道并进行数据交互测试；

数据处理传输模块，用于使用生成插值多项式，并将其发送给参与方B和接收方C。

6.根据权利要求4所述的一种基于密钥协商的高效三方隐私集合求交系统，其特征在于，所述参与方B，包括：

接收方C服务请求处理模块，用于同意或拒绝接收方C的服务请求；

信道构建模块，用于与参与方B和接收方C构建高速通信信道并进行数据交互测试；

数据接收模块，用于接收参与方C发送的数据值；

密钥计算模块，用于与参与方A进行复杂的协议运算，并得到输出密钥。

7.根据权利要求4所述的一种基于密钥协商的高效三方隐私集合求交系统，其特征在于，所述接收方C，包括：

服务请求模块，用于向参与方A和参与方B发起服务请求；

数据接收模块，用于接收参与方B发送的数据值；

密钥计算模块，用于与参与方A进行复杂的协议运算，并得到输出密钥；

集合解出模块，用于使用从参与方B接收到的数据解出与三方集合交集的正确结果。

8.根据权利要求4所述的一种基于密钥协商的高效三方隐私集合求交系统，其特征在于，所述参与方A、B信道构建模块，用于与参与方A、B构建高速信道并进行数据交互测试。

9.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，该程序被处理器执行时实现如权利要求1所述的步骤。

Images