CN115051791A - 一种基于密钥协商的高效三方隐私集合求交方法及系统 - Google Patents

一种基于密钥协商的高效三方隐私集合求交方法及系统 Download PDF

Info

Publication number
CN115051791A
CN115051791A CN202210521061.7A CN202210521061A CN115051791A CN 115051791 A CN115051791 A CN 115051791A CN 202210521061 A CN202210521061 A CN 202210521061A CN 115051791 A CN115051791 A CN 115051791A
Authority
CN
China
Prior art keywords
party
participant
intersection
key
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210521061.7A
Other languages
English (en)
Other versions
CN115051791B (zh
Inventor
魏立斐
张蕾
贺崇德
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Ocean University
Original Assignee
Shanghai Ocean University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Ocean University filed Critical Shanghai Ocean University
Priority to CN202210521061.7A priority Critical patent/CN115051791B/zh
Publication of CN115051791A publication Critical patent/CN115051791A/zh
Application granted granted Critical
Publication of CN115051791B publication Critical patent/CN115051791B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种基于密钥协商的高效三方隐私集合求交方法及系统,包括如下步骤:参数准备、参与方A生成多项式、参与方B计算输出密钥、参与方C计算输出密钥、交集计算阶段。参与方A,用于与参与方B和接收者C之间计算集合交集;参与方B,用于与参与方A和接收者C之间计算集合交集;接收方C,用于与参与方A和参与方B之间计算集合交集。可以在恶意敌手存在的情况下安全地计算三方集合交集。本发明所产生的通信成本很低,在宽带受限的场景下将具有更大优势。对比同样适用于弱通信场景的同态加密方法,本发明将具有更高的效率。本发明保证在恶意敌手存在时可以安全地计算出集合交集,并允许任意两个参与方进行合谋,提供了更高的安全性。

Description

一种基于密钥协商的高效三方隐私集合求交方法及系统
技术领域
本发明涉及多方安全计算中隐私集合交集计算领域,具体来说,是一种基于密钥协商的高效小集合隐私交集计算方法及其系统。
背景技术
隐私集合交集(Private Set Intersection,PSI)技术是安全多方计算的重要场景之一,经典的PSI协议包含两个参与方,它们各自持有自己的私有集合,在协议结束时,两方或者其中一方作为接收者获得两方集合的交集,而不会泄露除交集之外的任何元素信息。作为重要的密码学工具,PSI在许多协议的基础模块中被构建。此外,PSI也被广泛应用于人工智能和数据挖掘的安全领域,如带隐私保护的数据挖掘、私有通讯录查找、新冠接触者追踪以及衡量在线广告转化率等。
目前PSI技术已经得到了快速的发展,但现有的协议大多仅适用于经典的拥有两个参与方的场景,此类协议已经达到非常高的效率。在数据共享的时代背景下,两个以上参与方的场景需求更加广泛,但目前仅有少数方案适用于此类场景。在现实应用场景中,需要进行隐私计算的参与方往往不止两个,例如在社交软件中的隐私联系人查找功能在查找多个用户的共同好友时需要多个用户共同参与。
最早的PSI协议采用朴素哈希的方式,即先对集合元素求哈希,并通过对哈希值的对比得出交集,这种方案是十分高效的,但容易受到碰撞攻击。为了解决碰撞攻击的问题,需要采用安全对比的方法。对于持有m个元素的集合,为了求出交集元素,最坏的情况需要进行m2次对比。通过将元素映射到布隆过滤器进行对比,对比次数减少到O(nlogn),n为布隆过滤器的长度。随着PSI技术的成熟,通过布谷鸟哈希、不经意伪随机函数和高效的OT扩展等技术,一些PSI协议实现了O(n)的计算和通信复杂度。
现有PSI协议有多种实现方式,在本发明中,我们重点关注基于密钥协商的PSI协议。目前大多数高效的PSI方案都是基于OT协议构建,得益于高效的OT扩展技术,各方可以通过少量的公钥操作生成大量的OT协议实例,使得基于OT的PSI协议所需要的公钥操作数量仅与安全参数有关,而与集合大小无关。因此利用OT技术可以高效地构造具有较大集合的PSI协议。一般来说,基于OT的PSI协议比基于密钥协商的协议更快,但需要更多的通信。现有的基于密钥协商的PSI主要依赖于经典的Diffie-Hellman密钥协商协议。虽然基于OT的协议一般要比基于密钥协商的协议更快,但由于基于密钥协商的协议通信量低、安全性高,所以在实际场景中基于密钥协商的协议应用十分广泛。Rosulek等人基于Diffie-Hellman密钥协商和多项式插值技术在小集合情况下实现了迄今为止最快的PSI方案。遗憾的是,现存的基于密钥协商的方案都仅适用于具有两个参与方的场景。需要注意的是,两方协议无法直接扩展到多方,PSI协议的隐私性要求除交集之外的任何信息都无法被泄露,而两方协议直接扩展到多方将不可避免地泄露交集之外的两两相交的部分,这是无法接受的。因此必须独立设计多方PSI协议以符合安全性需求。
基于密钥协商构造的PSI协议一般具有通信量低及在小集合上高效的优势。在某些场景下,通信成本比计算成本更重要,在谷歌内部部署PSI功能时选择了基于Diffie-Hellman密钥协商的PSI,它们指出:在共享网络中添加CPU比扩大网络容量要便宜的多。基于密钥协商的PSI比基于OT的PSI具有更低的通信量。另一方面,小集合求交是隐私集合求交的一个典型场景,具有广泛的应用。例如,可以通过对用户的整个地址薄(几千项)和另一个用户的个人标识符(电活号码或电子邮箱;可能是10项)进行PSI,从而用于苹果手机的隔空投送功能。另外,各方可能希望利用可用日历时间的PSI来安排会议时间。对于此类输入大小的集合,基于密钥协商的PSI是计算成本最低的。
虽然传统两方PSI协议的已经发展的非常成熟,但针对两个参与方以上场景的PSI协议仍然较少,且已有的多方PSI协议大多仅实现了半诚实安全性,而不能实现更符合实际场景的恶意安全性。
因此,需要一个恶意安全的基于密钥协商的小集合隐私集合交集计算方法。
发明内容
本发明要解决的问题是提供一种基于密钥协商的高效三方隐私集合求交方法及系统,该方法将集合元素通过多项式映射到密钥协商的共享密钥空间,通过对比输出密钥的方式得到最终的集合交集。本发明尤其适用于小集合求交的场景,在小集合情况下,本发明具有很高的运行效率,并大大减少了通信量。
本发明是通过以下技术方案实现的:
一种基于密钥协商的高效三方隐私集合求交方法,包括如下步骤:
(1)参数准备:在协议正式开始之前,参与方B和C随机选择
Figure BDA0003641558250000041
以及
Figure BDA0003641558250000042
并计算bP和cP发送给对方,对于每个A的集合元素xi∈X,参与方A选择n个随机值
Figure BDA0003641558250000043
(2)参与方A生成多项式:参与方A插值多项式Q(·)并将其发送给参与方B和C;
(3)参与方B计算输出密钥:参与方B用自己的集合元素yi查询随机预言机H1(yi),然后用H1(yi)对多项式求响应,并计算每个响应对应的输出密钥值ki,然后再次查询随机预言机得到K=
Figure BDA0003641558250000044
将其乱序发送给C;
(4)参与方C计算输出密钥:参与方C用自己的集合元素zi查询随机预言机H1(zi),然后用H1(zi)对多项式求响应,并计算每个响应对应的密钥值;
(5)交集计算阶段:参与方C判断
Figure BDA0003641558250000045
是否在K中,从而得出交集。
作为最优选的实施例,当集合中元素≤500或在宽带受限的场景下,本发明将具有更高的效率来计算隐私集合交集。
作为最优选的实施例,存在恶意攻击者,不按正常的协议步骤执行时,系统仍可以安全地计算出集合交集,并且允许任意两个参与方进行合谋,也不会泄露第三方除了交集以外的元素信息,提供了更高的安全性。
一种基于密钥协商的高效三方隐私集合求交系统,包括:
参与方A,用于与参与方B和接收者C之间计算集合交集;
参与方B,用于与参与方A和接收者C之间计算集合交集;
接收方C,用于与参与方A和参与方B之间计算集合交集。
作为最优选的实施例,所述参与方A,包括:
接收方C服务请求处理模块,用于同意或拒绝接收方C的服务请求;
信道构建模块,用于与参与方B和接收方C构建高速通信信道并进行数据交互测试;
数据处理传输模块,用于使用生成插值多项式,并将其发送给参与方B和接收方C。
作为最优选的实施例,所述参与方B,包括:
接收方C服务请求处理模块,用于同意或拒绝接收方C的服务请求;
信道构建模块,用于与参与方B和接收方C构建高速通信信道并进行数据交互测试;
数据接收模块,用于接收参与方C发送的数据值;
密钥计算模块,用于与参与方A进行复杂的协议运算,并得到输出密钥。
作为最优选的实施例,所述接收方C,包括:
服务请求模块,用于向参与方A和参与方B发起服务请求;
数据接收模块,用于接收参与方B发送的数据值;
密钥计算模块,用于与参与方A进行复杂的协议运算,并得到输出密钥;
集合解出模块,用于使用从参与方B接收到的数据解出与三方集合交集的正确结果。
作为最优选的实施例,所述参与方A、B信道构建模块,用于与参与方A、B构建高速信道并进行数据交互测试。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现一种基于密钥协商的高效三方隐私集合求交方法。
本发明技术原理:
在本发明的原始思路是将集合元素信息映射到密钥协商后的公共密钥空间上,如果三方获得的公共密钥相同,则可判断对应的元素在交集中,否则该元素不在交集中。参与方B和C随机选择
Figure BDA0003641558250000061
以及
Figure BDA0003641558250000062
并计算bP和cP发送给对方。通过共用bP和cP,参与方B和C可以在n个点上计算输出密钥,这将帮助协议降低所需通信量和计算量。
直观上,对于所有xi∈X,参与方A可以选择n个随机值
Figure BDA0003641558250000063
并直接插值多项式Q(·)使得Q(xi)=aiP,将Q发送给B、C,用于之后的密钥协商。为了保证协议的安全性,我们让参与方A插值多项式Q使得Q(xi)=Π-1(aiP),其中Π是理想置换。在安全性证明中,理想置换通过编程Π输出模拟器选择的消息为模拟器的模拟提供帮助。
接下来,参与方B、C用自己的集合元素对接收到的多项式求响应并进行理想映射,分别得到Π(P(yi))和Π(P(zi))并将此结果按照三方密钥协商中的方式做双线性映射得到各自的输出密钥。在这种情况下,参与方B和参与方C的输出密钥中都包含各自集合与参与方A的集合的交集信息。需要注意的是,如果B、C接收到的多项式阶数小于1(常数多项式)协议将终止。最后参与方B将其输出密钥发送给参与方C,参与方B通过对比双方的输出密钥从而得出交集元素。
为了对抗恶意敌手,我们让参与方A插值多项式Q,使得Q(H(xi))=Π-1(aiP),其中Π是理想置换,H是随机预言机。随机预言机的存在可以帮助模拟器进行输入提取,从而抵抗恶意敌手的攻击。最后将参与方B的输出密钥替换为
Figure BDA0003641558250000071
将参与方B的集合元素和输出密钥ki同时作为随机预言机的输入并查询结果发送给参与方C,这再次帮助模拟器进行输入提取,从而抵抗恶意敌手的攻击。
有益效果:
传统的隐私集合计算方法适用于大型集合的计算,通过OT扩展协议提高了运行效率,但也带来了巨大的通信开销。在实际的应用场景中,通信成本有时会远高于计算成本,此时传统方法所带来的通信开销是无法接受的。小集合求交是典型的集合求交场景,传统的隐私集合求交方法大多仅适用于大集合的求交,在小集合情况下由于具有较大固定开销而不适用,本发明提出的方案十分适合小集合求交,在拥有500个或更少元素的场景下,本发明十分高效,并同时仅需极低的通信量。相比于同样适用于降低通信量的同态加密的方法,本发明具有更少的计算量。
附图说明
图1为本发明的系统结构示意图。
图2为本发明流程结构示意图。
具体实施方式
下面结合附图对本发明的实施例作详细说明:本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
实施例:
如图1、2所示,对本发明的实施例作了详细说明,本文发明包含三个参与方:参与方A、B、C。每个参与方都有可能是恶意参与者且允许任意两方合谋。在协议开始前,参与方A、B、C各自持有私有集合,在协议执行结束后,参与方C作为接收方获得交集,在这个过程中不会泄露除交集之外的任何信息。基于密钥协商的高效恶意安全隐私交集计算协议表示为Π:({0,1}*)n×({0,1}*)n×({0,1}*)n→⊥×⊥×f|∩|,其中⊥表示空输入或空输出,{0,1}*表示输入项的域,n表示集合大小,f表示PSI函数。对于每一组分别属于A,B,C的大小为n的输入集合X,Y,Z,函数对A和B输出⊥,对C输出f|∩|=|X∩Y∩Z|。
为解决上述技术问题,本发明通过以下3种技术方案组合而成:
(1)理想置换
在理想置换模型中,各方可以访问{0,1}n上的随机置换Π及其逆置换Π-1,本文用Π±表示这一对随机置换。在安全性证明中,模拟器可以观察理想置换Π±上的所有查询并编码响应。理想置换基于固定密钥的块密码进行加密操作,而不需要关心密钥调度问题。理想置换模型与理想密码模型相似,但比理想密码的成本低。一个理想密码包含多个理想置换,与密钥一一对应。目前,理想置换已经被用于实现混乱电路和OT协议中高效的哈希函数。
(2)双线性配对
双线性配对是本发明的基础密码原语之一,其广泛应用于密码学,使得很多不可行的密码构件变得可行而高效。设
Figure BDA0003641558250000091
是素数q阶加法循环群,
Figure BDA0003641558250000092
是q阶乘法循环群。映射e:
Figure BDA0003641558250000093
如果满足下列性质,则被称为一个双线性配对:
(1)双线性性:对于任意的
Figure BDA0003641558250000094
a,b∈Zq,则有e(aP,bP)=e(P,Q)ab
(2)非退化性:存在
Figure BDA0003641558250000095
使得
Figure BDA0003641558250000096
其中
Figure BDA0003641558250000097
Figure BDA0003641558250000098
中的单位元。
(3)可计算性:对于任意的
Figure BDA0003641558250000099
存在有效的多项式时间算法可以计算e(P,Q)。
本文发明的安全性主要由以下困难问题保证:
i)配对的不可逆性给定一个配对值
Figure BDA0003641558250000101
要求在
Figure BDA0003641558250000102
找到P,Q满足:e(P,Q)=v,这是不可行的。
ii)双线性判定性问题(Bilinear Decision Diffie-Hellman Problem,BDDHP)给定群
Figure BDA0003641558250000103
Figure BDA0003641558250000104
它们的阶同为素数q,给定双线性配对e:
Figure BDA0003641558250000105
Figure BDA0003641558250000106
的生成元为P,那么双线性确定性Diffie-Hellman问题为给定(P,aP,bP,cP)和一个元素
Figure BDA0003641558250000107
判断h=e(P,P)abc是否成立,这是不可行的。
(3)三方密钥协商
本发明提供的三方PSI协议基于Toux等人提出的三方Diffie-Hellman密钥协商协议。该协议仅需要一轮通信即可构建一个共享的密钥。三方密钥协商的主要步骤如下:
三个参与方A、B、C,给定双线性映射e:
Figure BDA0003641558250000108
其中
Figure BDA0003641558250000109
是素数q阶加法循环群,
Figure BDA00036415582500001010
是q阶乘法循环群。P是
Figure BDA00036415582500001011
的一个生成元。协议执行如下:
(1)A选择随机数
Figure BDA00036415582500001012
计算aP并发送给B和C。
(2)B选择随机数
Figure BDA00036415582500001013
计算bP并发送给A和C。
(3)C选择随机数
Figure BDA00036415582500001014
计算cP并发送给A和B。
(4)A计算共享密钥为KA=e(bP,cP)a=e(P,P)abc
(5)B计算共享密钥为KB=e(aP,cP)b=e(P,P)abc
(6)C计算共享密钥为KC=e(aP,bP)c=e(P,P)abc
一种基于密钥协商的高效恶意安全三方隐私交集计算方法,同样适合于具有弱通信能力及带有小集合(500个元素或更少)的参与方之间计算隐私集合交集,包括如下步骤:
参量:三个参与方A,B,C;
有限域
Figure BDA00036415582500001112
循环群
Figure BDA0003641558250000111
Figure BDA0003641558250000112
P是
Figure BDA0003641558250000113
的生成元;
理想置换Π,Π-1
Figure BDA0003641558250000114
双线性配对e:
Figure BDA0003641558250000115
随机预言机H1
Figure BDA0003641558250000116
H2
Figure BDA0003641558250000117
随机密钥空间|K|≥2κ
输入:参与方A,B,C分别输入集合X,Y,Z
输出:X∩Y∩Z
(1)B随机选择
Figure BDA0003641558250000118
计算bP发送给C,同时C随机选择
Figure BDA0003641558250000119
计算cP发送给B;
(2)A随机选择n个随机值
Figure BDA00036415582500001110
插值多项式Q(H1(xi),Π-1(aiP))并发送给B、C;
(3)B、C接收多项式,如果多项式阶数小于1,则协议终止。
(4)B计算输出密钥。B用自己的集合元素yi查询随机预言机H1(yi),然后用H1(yi)对多项式求响应,并计算每个响应对应的密钥值:ki=e(Π(Q(H1(yi))),cP)b,其中yi∈Y。
(5)B计算
Figure BDA00036415582500001111
将其乱序发送给C;
(6)C计算输出密钥。用集合元素zi查询随机预言机H1(zi),然后用H1(zi)对多项式求响应,并计算每个响应对应的密钥值:ki=e(Π(Q(H1(zi))),bP)c。然后计算
Figure BDA0003641558250000121
(7)计算交集。参与方C判断
Figure BDA0003641558250000122
是否在K中,如果
Figure BDA0003641558250000123
则输出zi.
安全性分析:基于密钥协商的隐私集合交集协议的安全性直接由三方密钥协商的安全性及理想置换的安全性保证。因为Π是理想置换,所以每一个Π-1(aiP)都是一个均匀随机的值,因此Q是一个随机均匀的多项式而与输入x无关,即Q与随机选取的多项式是无法区分的,及多项式Q不会泄露任何信息。由三方密钥协议的安全性可以得知参与方B发送给C的密钥与随机值是不可区分的,也即不会泄露任何集合元素信息。此外,随机预言机保证了在恶意敌手存在时的安全性,通过观察随机预言机的查询,模拟器可以进行输入提取,从而保证恶意敌手存在下的安全。因此该隐私集合交集方案不会泄露任何信息。
本发明提供的基于密钥协商的三方隐私集合交集计算方法主要可分为四个阶段。
(1)参数准备:在协议正式开始之前,参与方B和C随机选择
Figure BDA0003641558250000124
以及
Figure BDA0003641558250000125
并计算bP和cP发送给对方。对于每个A的集合元素xi∈X,参与方A选择n个随机值
Figure BDA0003641558250000126
(2)参与方A生成多项式:参与方A插值多项式Q(·)并将其发送给参与方B和C.
(3)参与方B计算输出密钥:参与方B用自己的集合元素yi查询随机预言机H1(yi),然后用H1(yi)对多项式求响应,并计算每个响应对应的输出密钥值ki。然后再次查询随机预言机得到
Figure BDA0003641558250000131
Figure BDA0003641558250000132
将其乱序发送给C;
(4)参与方C计算输出密钥:参与方C用自己的集合元素zi查询随机预言机H1(zi),然后用H1(zi)对多项式求响应,并计算每个响应对应的密钥值。
(5)交集计算阶段:参与方C判断
Figure BDA0003641558250000133
是否在K中,从而得出交集
具体实现过程包括以下参数和步骤:
参数:三个参与方A,B,C;
有限域
Figure BDA0003641558250000134
循环群
Figure BDA0003641558250000135
Figure BDA0003641558250000136
P是
Figure BDA0003641558250000137
的生成元;
理想置换Π,Π-1
Figure BDA0003641558250000138
双线性配对e:
Figure BDA0003641558250000139
随机预言机H1
Figure BDA00036415582500001310
H2
Figure BDA00036415582500001311
随机密钥空间|K|≥2κ
输入:参与方A输入集合X={x1,…,xn};参与方B输入集合Y={y1,…,yn};参与方Z输入集合Z={z1,…,zn}.
(1)B随机选择
Figure BDA00036415582500001312
计算bP发送给C,同时C随机选择
Figure BDA00036415582500001313
计算cP发送给B;
(2)A随机选择n个随机值
Figure BDA00036415582500001314
插值多项式Q(H1(xi),Π-1(aiP))并发送给B、C;
(3)B、C接收多项式,如果多项式阶数小于1,则协议终止。
(4)B计算输出密钥。B用自己的集合元素yi查询随机预言机H1(yi),然后用H1(yi)对多项式求响应,并计算每个响应对应的密钥值:ki=e(Π(Q(H1(yi))),cP)b,其中yi∈Y。
(5)B计算
Figure BDA0003641558250000141
将其乱序发送给C;
(6)C计算输出密钥。用集合元素zi查询随机预言机H1(zi),然后用H1(zi)对多项式求响应,并计算每个响应对应的密钥值:ki=e(Π(Q(H1(zi))),bP)c。然后计算
Figure BDA0003641558250000142
(7)计算交集。参与方C判断
Figure BDA0003641558250000143
是否在K中,如果
Figure BDA0003641558250000144
则输出zi.
本发明与现有技术相比更适用于弱通信场景的三方隐私集合交集计算,在小集合场景下更加高效。本发明与现有三方隐私集合交集方法相比具有更少的通信量,与同样适应于弱通信场景的基于同态加密的方法相比具有更低的计算量。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (9)

1.一种基于密钥协商的高效三方隐私集合求交方法,其特征在于,包括如下步骤:
(1)参数准备:在协议正式开始之前,参与方B和C随机选择
Figure FDA0003641558240000011
以及
Figure FDA0003641558240000012
并计算bP和cP发送给对方,对于每个A的集合元素xi∈X,参与方A选择n个随机值
Figure FDA0003641558240000013
(2)参与方A生成多项式:参与方A插值多项式Q(·)并将其发送给参与方B和C;
(3)参与方B计算输出密钥:参与方B用自己的集合元素yi查询随机预言机H1(yi),然后用H1(yi)对多项式求响应,并计算每个响应对应的输出密钥值ki,然后再次查询随机预言机得到K=
Figure FDA0003641558240000014
将其乱序发送给C;
(4)参与方C计算输出密钥:参与方C用自己的集合元素zi查询随机预言机H1(zi),然后用H1(zi)对多项式求响应,并计算每个响应对应的密钥值;
(5)交集计算阶段:参与方C判断
Figure FDA0003641558240000015
是否在K中,从而得出交集。
2.根据权利要求1所述的一种基于密钥协商的高效三方隐私集合求交方法,其特征在于,当集合中元素≤500或在宽带受限的场景下,本发明将具有更高的效率来计算隐私集合交集。
3.根据权利要求1所述的一种基于密钥协商的高效三方隐私集合求交方法,其特征在于,存在恶意攻击者,不按正常的协议步骤执行时,系统仍可以安全地计算出集合交集,并且允许任意两个参与方进行合谋,也不会泄露第三方除了交集以外的元素信息,提供了更高的安全性。
4.一种基于密钥协商的高效三方隐私集合求交系统,其特征在于,包括:
参与方A,用于与参与方B和接收者C之间计算集合交集;
参与方B,用于与参与方A和接收者C之间计算集合交集;
接收方C,用于与参与方A和参与方B之间计算集合交集。
5.根据权利要求4所述的一种基于密钥协商的高效三方隐私集合求交系统,其特征在于,所述参与方A,包括:
接收方C服务请求处理模块,用于同意或拒绝接收方C的服务请求;
信道构建模块,用于与参与方B和接收方C构建高速通信信道并进行数据交互测试;
数据处理传输模块,用于使用生成插值多项式,并将其发送给参与方B和接收方C。
6.根据权利要求4所述的一种基于密钥协商的高效三方隐私集合求交系统,其特征在于,所述参与方B,包括:
接收方C服务请求处理模块,用于同意或拒绝接收方C的服务请求;
信道构建模块,用于与参与方B和接收方C构建高速通信信道并进行数据交互测试;
数据接收模块,用于接收参与方C发送的数据值;
密钥计算模块,用于与参与方A进行复杂的协议运算,并得到输出密钥。
7.根据权利要求4所述的一种基于密钥协商的高效三方隐私集合求交系统,其特征在于,所述接收方C,包括:
服务请求模块,用于向参与方A和参与方B发起服务请求;
数据接收模块,用于接收参与方B发送的数据值;
密钥计算模块,用于与参与方A进行复杂的协议运算,并得到输出密钥;
集合解出模块,用于使用从参与方B接收到的数据解出与三方集合交集的正确结果。
8.根据权利要求4所述的一种基于密钥协商的高效三方隐私集合求交系统,其特征在于,所述参与方A、B信道构建模块,用于与参与方A、B构建高速信道并进行数据交互测试。
9.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,该程序被处理器执行时实现如权利要求1所述的步骤。
CN202210521061.7A 2022-05-12 2022-05-12 一种基于密钥协商的高效三方隐私集合求交方法及系统 Active CN115051791B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210521061.7A CN115051791B (zh) 2022-05-12 2022-05-12 一种基于密钥协商的高效三方隐私集合求交方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210521061.7A CN115051791B (zh) 2022-05-12 2022-05-12 一种基于密钥协商的高效三方隐私集合求交方法及系统

Publications (2)

Publication Number Publication Date
CN115051791A true CN115051791A (zh) 2022-09-13
CN115051791B CN115051791B (zh) 2024-04-16

Family

ID=83158471

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210521061.7A Active CN115051791B (zh) 2022-05-12 2022-05-12 一种基于密钥协商的高效三方隐私集合求交方法及系统

Country Status (1)

Country Link
CN (1) CN115051791B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115333721A (zh) * 2022-10-13 2022-11-11 北京融数联智科技有限公司 一种隐私集合交集计算方法、装置和系统
CN116506124A (zh) * 2023-06-29 2023-07-28 杭州金智塔科技有限公司 多方隐私求交系统及方法
CN117240619A (zh) * 2023-11-13 2023-12-15 杭州金智塔科技有限公司 隐私集合求交集基数系统及方法
CN117595991A (zh) * 2024-01-18 2024-02-23 深圳大学 一种结合密钥协商的隐私信息检索方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050027618A1 (en) * 1996-01-17 2005-02-03 Privacy Infrastructure, Inc. Third party privacy system
CN111931207A (zh) * 2020-08-07 2020-11-13 北京百度网讯科技有限公司 获得隐私集合交集的方法、装置、设备及存储介质
CN112651050A (zh) * 2020-12-23 2021-04-13 上海同态信息科技有限责任公司 一种基于不可信第三方隐私数据求交集扰动校验方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050027618A1 (en) * 1996-01-17 2005-02-03 Privacy Infrastructure, Inc. Third party privacy system
CN111931207A (zh) * 2020-08-07 2020-11-13 北京百度网讯科技有限公司 获得隐私集合交集的方法、装置、设备及存储介质
EP3826222A2 (en) * 2020-08-07 2021-05-26 Beijing Baidu Netcom Science And Technology Co. Ltd. Method and apparatus for obtaining privacy set intersection, device and storage medium
CN112651050A (zh) * 2020-12-23 2021-04-13 上海同态信息科技有限责任公司 一种基于不可信第三方隐私数据求交集扰动校验方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
MICHAEL BEYE等: "Efficient privacy preserving K-means clustering in a three-party setting", 《IEEE》, 31 December 2012 (2012-12-31) *
宋祥福;盖敏;赵圣楠;蒋瀚;: "面向集合计算的隐私保护统计协议", 计算机研究与发展, no. 10, 9 October 2020 (2020-10-09) *
徐勇: "基于隐私保护的复杂量子安全多方计算研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》, 15 January 2019 (2019-01-15) *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115333721A (zh) * 2022-10-13 2022-11-11 北京融数联智科技有限公司 一种隐私集合交集计算方法、装置和系统
CN115333721B (zh) * 2022-10-13 2023-02-03 北京融数联智科技有限公司 一种隐私集合交集计算方法、装置和系统
CN116506124A (zh) * 2023-06-29 2023-07-28 杭州金智塔科技有限公司 多方隐私求交系统及方法
CN116506124B (zh) * 2023-06-29 2023-09-19 杭州金智塔科技有限公司 多方隐私求交系统及方法
CN117240619A (zh) * 2023-11-13 2023-12-15 杭州金智塔科技有限公司 隐私集合求交集基数系统及方法
CN117240619B (zh) * 2023-11-13 2024-04-16 杭州金智塔科技有限公司 隐私集合求交集基数系统及方法
CN117595991A (zh) * 2024-01-18 2024-02-23 深圳大学 一种结合密钥协商的隐私信息检索方法
CN117595991B (zh) * 2024-01-18 2024-04-05 深圳大学 一种结合密钥协商的隐私信息检索方法

Also Published As

Publication number Publication date
CN115051791B (zh) 2024-04-16

Similar Documents

Publication Publication Date Title
CN115051791B (zh) 一种基于密钥协商的高效三方隐私集合求交方法及系统
RU2534944C2 (ru) Способ обеспечения безопасности связи в сети, используемые для этого устройство связи, сеть и компьютерная программа
CN107294696B (zh) 针对Leveled全同态密钥分配方法
CN107767281B (zh) 一种基于移动社交网络二度人脉的交友匹配隐私保护方法及系统
CN114866225A (zh) 一种基于不经意伪随机秘密共享的超阈值多方隐私集合求交方法
Abusukhon et al. Efficient and secure key exchange protocol based on elliptic curve and security models
Huang et al. A Conference Key Scheme Based on the Diffie-Hellman Key Exchange.
CN117353912A (zh) 基于双线性映射的三方隐私集合交集基数计算方法及系统
CN110890961B (zh) 一种新型安全高效的多授权属性基密钥协商协议
Li et al. Perturbation-based private profile matching in social networks
Li et al. An efficient privacy-preserving bidirectional friends matching scheme in mobile social networks
Zhu et al. An Improved Two-party Password-Authenticated Key Agreement Protocol with Privacy Protection Based on Chaotic Maps.
Sun et al. A Certificateless Group Authenticated Key Agreement Protocol Based on Dynamic Binary Tree.
CN116681141A (zh) 隐私保护的联邦学习方法、终端及存储介质
CN115225266A (zh) 基于云服务器辅助的多方门限隐私集合求交方法和系统
Meng et al. A secure and efficient on-line/off-line group key distribution protocol
CN114710294A (zh) 一种新型区块链隐私保护方法
CN113556225A (zh) 一种基于哈希及密钥交换的高效psi方法
Lee et al. Provably Secure Conference Key Distribution Mechanism Preserving the Forward and Backward Secrecy.
Geng et al. A secure certificateless authenticated group key agreement protocol
Zhu et al. New public key encryption with equality test based on non-abelian factorization problems
Chen et al. An Effective Security Comparison Protocol in Cloud Computing.
CN110572788A (zh) 基于非对称密钥池和隐式证书的无线传感器通信方法和系统
Yin et al. A symmetric key exchange protocol bsaed on virtual S-box
Jiang et al. Improvement and Implementation of SM4 Algorithm Based on FPGA

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant