CN117411616A - 一种多方门限隐私集合交集方法 - Google Patents

Abstract

本发明提供了一种多方门限隐私集合交集方法，属于信息交互技术领域。本发明从各参与方中选择一个作为判断方，一个作为发起方，令发起方随机生成一个秘密并获得与集合大小相同个数的份额和索引，并对集合元素、秘密份额和索引进行编码以获得OKVS；令其他方分别对各自集合元素和元素哈希值进行编码以获得对应OKVS；并将各自的OKVS分成N‑1份，并将其发送给其他各方，之后使用这些获得的OKVS份额来计算新的OKVS；最后由判断方与发起方和各协议方分别执行OPPRF协议，判断方来判断各方的交集中的数量是否达到门限值，并根据获得的值计算交集。通过上述过程，本发明实现了多方TPSI协议，无需门限全同态加密，计算量小、复杂度低，能够有效实现多方TPSI协议。

Description

一种多方门限隐私集合交集方法

技术领域

本发明提供了一种多方门限隐私集合交集方法，属于信息交互技术领域。

背景技术

隐私集合交集(Private Set Intersection，PSI)允许参与方在不泄露自己隐私集合信息的情况下得到自己集合与他人集合的交集信息，具有重要的研究意义与使用价值，并已在许多领域中广泛应用，如社交联系人发现、测量广告转化率等。

普通的PSI协议不适用于某些场景，例如：在隐私保护数据挖掘和机器学习中，数据是在多方之间进行垂直分割的，各方可能希望得到其他数据集的交集，也仅会在交集足够大的情况下才开始合作，如果他们的交集太小，在这种情况下他们没有强烈的动机进行合作。在具有保护用户隐私的拼车应用中，对于多个用户而言，只有在他们的大部分轨迹在地图上相交时才想要拼车。

为此，Freedman等人提出了门限隐私集合交集(Threshold Private SetIntersection，TPSI)的概念。TPSI协议允许N个拥有大小为n的私有集的参与方，仅在其交集中的元素数量大于或等于门限值t时，才能得到其集合的交集，而不透露任何关于其输入的其他信息。

然而，现有的TPSI大多时针对两方的情况进行设计，针对多方场景下TPSI协议的研究还存在许多挑战，并且现有的TPSI协议使用公钥算法，如全同态加密等，成本较高。

发明内容

本发明的目的在于提供一种多方门限隐私集合交集方法，用于解决多方场景下使用TPSI协议时成本高的问题。

本发明提供了一种多方门限隐私集合交集方法，该方法包括以下步骤：

1)为每个参与交互的N个参与方配置各自的集合，同时配置一个编解码方案和两个哈希函数为各参与方共享，N大于等于3，选取一个参与方作为判断方，一个参与方作为发起方，其余参与方作为协议方；

2)令发起方随机生成一个秘密s和n个索引，并以此得到n个份额以及对应的秘密多项式，并利用索引、份额和发起方集合中的元素进行编码，得到发起方的OKVS，并将秘密s的哈希值H(s)发送给判断方；

3)令协议方分别根据自身的集合中的元素、元素哈希值进行编码得到对应的OKVS；

4)令发起方和各协议方分别将各自的OKVS分成N-1份发送给除判断方外的其他参与方，发起方和各协议方分别根据接收的OKVS份额重新构建OKVS；

5)令判断方与发起方和各协议方分别执行OPPRF协议，判断方计算与各方执行OPPRF协议得到的结果，以此得到重构的秘密份额和索引；

6)判断方基于重构的秘密份额和索引进行多项式重构，根据重构的多项式和秘密s的哈希值H(s)判断与各方的交集中的数量是否达到门限值，并根据获得的值计算交集。

本发明从各参与方中选择一个作为判断方，一个作为发起方，令发起方随机生成一个秘密并获得与集合大小相同个数的份额和索引，并对集合元素、秘密份额和索引进行编码以获得OKVS；令其他方分别对各自集合元素和元素哈希值进行编码以获得对应OKVS；并将各自的OKVS分成N-1份，并将其发送给其他各方，之后使用这些获得的OKVS份额来计算新的OKVS；最后由判断方与发起方和各协议方分别执行OPPRF协议，判断方来判断各方的交集中的数量是否达到门限值，并根据获得的值计算交集。通过上述过程，本发明实现了多方TPSI协议，无需门限全同态加密，计算量小、复杂度低，能够有效实现多方TPSI协议。

进一步地，所述步骤2)中发起方的OKVS为：

其中Encode为编码方案，为发起方所属集合中的第l个元素，s_l为第l个秘密份额，ind_l为第l个索引，n为集合中元素的个数，也为索引的个数。

进一步地，所述步骤3)中协议方得到的OKVS为：

其中Encode为编码方案，为协议方所属集合中的第l个元素，/>为协议方所属集合中第l个元素的哈希值，n为集合中元素的个数。

进一步地，所述步骤5)中判断方计算与各方执行OPPRF协议的过程如下：

令发起方和各协议方作为发送者，根据其所属集合中的元素以及构建的新的OKVS构造一组点集，并将构建的点集作为OPPRF协议的输入，构建的点集S_j′为发起方或者协议方重新构建的OKVS，Decode为解码方案；

令判断方作为接收者，将其所属集合作为输入；

判断方与发起方和各协议方分别执行完OPPRF协议，得到的结果为如果判断方所属集合的某个元素为发起方和协议方中所属集合中的元素，即/> 则令/>否则令/>为一个随机值；

判断方计算与各方执行完OPPRF协议得到的结果之和以此得到重构的秘密份额和索引。

进一步地，所述步骤5)中重构出的秘密份额和索引为：

其中||表示两个字符串的连接，等式右面的计算出来的结果为一个2λ比特的字符串，把前λ比特定义为s_l′，后λ比特定义为ind_l′；为判断方所属集合中的第l个元素的哈希值，s_l′为重构出的第l个秘密份额；ind_l′为重构出的第l个索引。

进一步地，所述步骤6)中的判断过程如下：

判断方输入重构出的秘密份额和索引执行重构算法得到多项式f′(·)，判断H(f′(0))是否等于H(s)，如果H(f′(0))等于H(s)，就说明交集中元素的数量达到门限值t。

进一步地，所述步骤2)采用RSS份额生成算法得到各个份额以及对应的密钥多项式；所述步骤6)采用RSS重构算法得到多项式。

进一步地，所述步骤2)中秘密s的哈希值H(s)采用第一哈希函数计算得到；所述步骤3)中元素的哈希值采用第二哈希函数计算得到。

附图说明

图1为本发明实施例中多方门限隐私集合交集方法的流程框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明了，以下结合附图及实施例，对本发明进行进一步详细说明。

多方门限隐私集合交集方法的实施例：

本发明的多方门限隐私集合交集方法首次实现了多方秘密交集。该交集方法主要基于三个密码学原语：弹性秘密共享(Robust Secret Sharing，RSS)、不经意键值对存储(Oblivious Key-Value Stores，OKVS)和不经意可编程伪随机函数(ObliviousProgrammable PRF，OPPRF)。

弹性秘密共享(Robust Secret Sharing，RSS)是对标准秘密共享的加强，其允许在某些份额不正确的情况下恢复共享的秘密。换句话说，当正确的份额数量不小于门限t时，秘密s就可以被正确的恢复，本发明用里德-所罗门解码算法实例化RSS功能。RSS包括有份额生成算法和秘密重构算法。其中份额生成算法为：输入秘密s，随机选择n个互不相等的索引{ind₁,…,ind_n}，选择一个t-1次秘密多项式f(·)满足f(0)＝s；计算秘密份额:s₁＝f(ind₁),…,s_n＝f(ind_n)，输出秘密份额的集合S＝{s₁,…,s_n}。秘密重构算法为：输入一个份额集合S′＝{s₁′,…,s_n′}(其中S′可能与S不同)。通过里德-所罗门解码算法计算出一个多项式f′(·)满足f′(ind_i)＝s_i′；如果S′中的正确份额(即S中的份额)的数量大于等于t，则f′(0)＝f(0)＝s。

键值存储(Key-Value Store，KVS)由一组键集合K、一组值集合V与编码算法和解码算法组成。编码算法Encode：从有限键值对的域K×V中获取一组(k_i,v_i)的键值对作为输入，并且输出数据结构S。解码算法Decode：输入数据结构S与键k，算法输出值v。一个KVS结构是正确的，如果对于任意有：

Pr[Encode(M)＝⊥]的概率是可忽略的；如果Encode(M)＝S≠⊥且(k,v)∈M，那么Decode(S,k)＝v。

实验

对于i∈[m]，随机选择v_i←V；返回

考虑实验如果对于任意大小为m的键集合K₁，K₂和一个概率多项式时间敌手满足：

则称KVS结构为是一个不经意键值对存储结构(oblivious KVS，OKVS)。二进制OKVS的解码算法具有以下同态特性：

其中S与S′是不经意键值对存储结构(OKVS)，并且他们具有相同的维度。

不经意可编程伪随机函数(Oblivious Programmable PRF，OPPRF)是由不经意为随机函数(OPRF)改进而成，其中不经意伪随机函数(OPRF)是一种两方的协议，该协议允许发送方学习伪随机函数的密钥k，接收方学习F(k，q₁),...,F(k,q_t)，其中F是一个伪随机函数，而(q₁,···,q_t)是接收方选择的输入。并且接收方的输入信息不会透露给发送方，密钥k也不会透露给接收方。

一个可编程伪随机函数(PPRF)是由以下算法组成：

1)KeyGen(λ,P)→(k,hint)：给定安全参数λ以及一组具有不同a_i值的点P＝{(a₁,b₁),···,(a_u,b_u)}，然后生成一个伪随机函数密钥k和(公共)辅助信息提示hint。

2)F(k,hint,a)→b：计算输入a上的伪随机函数，并给出输出b。

以下给出了不经意可编程伪随机函数(OPPRF)功能的正式定义，不经意可编程伪随机函数功能与不经意伪随机函数功能类似，不同之处在于：

它允许发送方最初提供给一组P点，并将P点编程到伪随机函数中，还向接收者提供提示值。

不经意可编程伪随机函数(OPPRF)的理想函数

参数：一个可编程的伪随机函数F，待编程点数的上限u和查询数的上限v。

过程：等待发送方S的输入P＝{(a₁,b₁),···,(a_u,b_u)}和接收方R的输入(q₁,···,q_v)，最后运行(k,hint)←KeyGen(λ,P)，并把(k,hint)发给S，把(hint,F(k,hint,q₁),···,F(k,hint,q_v))发给R。

基于上述技术，本发明提供了一种多方门限隐私集合交集方法，本发明从多个参与方中选取一个参与方作为判断方，一个参与方作为发起方，其余参与方作为协议方，该方法通过发起方P₂随机生成一个秘密s执行RSS的份额生成阶段以获得与集合大小相同个数的份额并对集合元素和秘密份额进行编码以获得OKVS；协议方P₃,···,P_N对集合元素和散列值进行编码以获得OKVS；然后，将各自的OKVS分成N-1份，并将其发送给其他各方；之后使用这些获得的OKVS份额来计算新的OKVS；最后，判断方P₁和P₂,···,P_N执行OPPRF协议；判断方P₁判断各方的交集中的数量是否达到门限值，并根据获得的值计算交集。该方法的实现流程如图1所示，具体实现步骤如下。

本实施例中有N个参与方P₁,···,P_N，每个参与方P_i拥有一个集合一个OKVS方案(Encode，Decode)，两个Hash函数H:{0,1}^*→{0,1}^λ和h:{0,1}^*→{0,1}^2λ，t为协议的门限值，可在0到n之间任意取值，0＜t≤n。其中，P₁为判断方，P₂为发起方，P₃,···,P_N为协议方。

1.通过P₂随机生成一个秘密s，利用RSS份额生成算法以获得与集合大小相同个数的份额并对集合元素和秘密份额进行编码以获得OKVS，并将秘密s的哈希值H(s)给P₁。

对本实施例而言，P₂随机产生一个秘密s和n个索引{ind₁,···,ind_n}，然后使用RSS的份额生成算法得到n个份额{s₁,···,s_n}和秘密多项式f(·)，对于所有的l∈[n]有f(ind_l)＝s_l，每个份额和索引都是一个λ位的字符串，P₂根据其集合中的元素、份额和索引进行编码，得到OKVS S₂。

同时，P₂将秘密s进行按照第一哈希函数进行哈希运算，得到对应的哈希值H(s)，并将发送给参与方P₁。

2.其他参与方对集合元素和散列值进行编码以获得OKVS。

对用于除了第一参与方P₁和第二参与方P₂之外，其他参与方P_i(i∈[3,N])分别根据自己的集合以及Hash函数h:{0,1}^*→{0,1}^2λ确定集合中各元素对应的散列值，其他参与方对自身集合中的元素和对应的散列值进行编码，得到该参与方对应的OKVS，即：

其中表示第i个参与方集合中的第l个元素，因此，通过该步骤，其他参与方均能得到对应的OKVS，

3.P_i(i∈[2,N])将各自的OKVSS_i分成N-1份发送给除第一方外的其他各方，其他各方根据接收的OKVS份额重新构建新的OKVS。

除了第一参与方P₁外的各方P_i(i∈[2,N])将对应的S_i分成N-1份，并分配给其他各方，即例如对于参与方N等于5，那么参与方P₂会将自己的S₂分成4份，分别给P₂、P₃、P₄和P₅，同时，P₂也会收到P₃、P₄和P₅分别发送的份额。P_i(i∈[2,N])基于得到的N-1个份额重构各自的OKVS，例如，参与方P₂会根据自己的份额/>以及从P₃、P₄和P₅分别接收到的份额/>和/>构建新的OKVS，对于用户P_j(j∈[2,N])而言，其构建的新的OKVS为：

4.各参与方执行OPPRF协议，P₁计算与各方执行完OPPRF协议得到的结果。

参与方P_j(j∈[2,N])作为发送者，根据其所属集合中的元素以及构建的S_j′构造一组点集，并将其作为输入，构造的点集

参与方P₁作为接收者，将其所属集合作为输入。

P₁与P_j(j∈[2,N])各方执行完OPPRF协议，都会得到对应如果P₁所属集合的某个元素为P_j(j∈[2,N])所属集合中的元素，即/>则令否则令/>为一个随机值，其中/>表示参与方P_j的集合中的第l′个元素，对于参与方P₁的一个集合元素/>它可能与参与方P_j集合中的某个元素相等，但是这个元素对应在P_j集合中的索引不一定也为l，所以用下标l′表示这个元素可能出现在P_j集合中的位置。

通过该过程，P₁与P_j(j∈[2,N])执行完OPPRF协议会得到例如P₁与P₂执行完OPPRF协议会得到/>

参与方P₁计算与各方执行完OPPRF协议得到的结果之和对于集合中所有的元素l∈[n]，如果N是奇数，P₁计算/>(||表示两个字符串的连接，等式右面的计算出来的结果为一个2λ比特的字符串，把前λ比特定义为s_l′，后λ比特定义为ind_l′)；否则用户P₁计算/>

5.P₁判断各方的交集中的数量是否达到门限值，并根据获得的值计算交集。

P₁输入{s_l′}_l∈[n]和{ind_l′}_l∈[n]执行RSS的重构阶段得到多项式f′(·)，并判断H(f′(0))是否等于H(s)，如果H(f′(0))等于H(s)，就说明交集中元素的数量达到门限值t，因为若H(f′(0))等于H(s)，则说明{s_l′}_l∈[n]中正确的份额数量达到了门限值t(只有正确的份额数量达到了门限值才能重构出正确的秘密多项式，才能使得f′(0)＝s)，进而说明交集的数量达到了门限值t，一个交集元素可以获得一个正确的份额；否则协议结束。

为了更好地说明本发明的交互方法，现将本发明应用的具体的实例中，假设本实例中的参与方为有三家公司P₁、P₂、P₃，这三家公司想联合各自的数据集共同训练机器学习模型，期望在公共的数据集大小达到一定的门限值时才展开合作。为了便于说明，假设P₁的数据集为X₁＝{1,3,4,6,8}，P₂的数据集为X₂＝{1,2,3,4,9}，P₃的数据集为X₃＝{1,3,4,5,8}。现在设定门限值t＝3，即在三方的交集数量达到3时才会得到交集。其具体的交互过程如下：

1)P₂随机选择一个秘密s和与集合元素个数相同数量的索引{ind₁,ind₂,ind₃,ind₄,ind₅}，执行RSS的份额生成算法得到一个秘密多项式f(·)和份额{s₁,s₂,s₃,s₄,s₅}，其中f(ind₁)＝s₁,…,f(ind₅)＝s₅。

2)P₂将集合元素和份额一一对应构造一个点集{(1,s₁||ind₁),(2,s₂||ind₂),(3,s₃||ind₃),(4,s₄||ind₄),(9,s₅||ind₅)}；P₂将点集作为输入通过OKVS的Encode算法得到S₂：S₂←Encode({(1,s₁||ind₁),(2,s₂||ind₂),(3,s₃||ind₃),(4,s₄||ind₄),(9,s₅||ind₅)})；然后把S₂分成2份使得：并令P₂发送/>给P₃，P₂发送s的哈希值H(s)给P₃。

3)P₃构造点集{(1,h(1)),(3,h(3)),(4,h(4)),(5,h(5)),(8,h(8))}，P₃将点集作为输入通过OKVS的Encode算法得到S₃：S₃←Encode({(1,h(1)),(3,h(3)),(4,h(4)),(5,h(5)),(8,h(8))})，然后把S₃分成2份使得：令P₃发送/>给P₂，P₂计算P₃计算/>

4)P₁分别与P₂和P₃执行OPPRF协议，P₁作为接收方，输入为集合X₁＝{1,3,4,6,8}，P₂、P₃作为发送方，各自构造一组点集：

D₂＝{(1,Decode(S₂′,1)),(2,Decode(S₂′,2)),(3,Decode(S₂′,3)),(4,Decode(S₂′,4)),(9,Decode(S₂′,9))}

D₃＝{(1,Decode(S₃′,1)),(3,Decode(S₃′,3)),(4,Decode(S₃′,4)),(5,Decode(S₃′,5)),(8,Decode(S₃′,8))}

P₂、P₃将构造的点集作为输入，P₁与P₂执行完OPPRF协议会得到(通过输入1获得/>通过输入3获得/>…，通过输入8获得/>)，其中若P₁的输入如果在P₂的输入点集D₂的横坐标值中，则获得对应纵坐标值，否则拿到一个随机值。例如，P₁的输入1其实在P₂的输入点集中，那么通过输入1得到的/>P₁的输入6不在P₂的输入点集中，那么通过输入6得到的/>为一个随机值，P₁与P₃执行完OPPRF协议会得到分析同上。

5)P₁计算 P₁输入{s₁′,s₂′,s₃′,s₄′,s₅′}和{ind₁′,ind₂′,ind₃′,ind₄′,ind₅′}执行RSS的秘密重构算法获得多项式f′(·)，判断H(f′(0))是否等于H(s)。如果相等，则说明正确的份额数量达到了门限值，进而说明交集的数量达到了门限值，因为一个交集元素可以获得一个正确的份额，不等则终止协议；

6)若上步判断二者相等，继续执行协议，P₁判断是否相等，如果相等，则将对应的元素/>放进交集I中。例如，s₁′＝f′(ind₁′)说明元素1是交集元素，把1放入交集I，最终P₁输出交集I＝{1,3,4}给P₂、P₃。

Claims (8)

1.一种多方门限隐私集合交集方法，其特征在于，该方法包括以下步骤：

1)为每个参与交互的N个参与方配置各自的集合，同时配置一个编解码方案和两个哈希函数为各参与方共享，N大于等于3，选取一个参与方作为判断方，一个参与方作为发起方，其余参与方作为协议方；

2)令发起方随机生成一个秘密s和n个索引，并以此得到n个份额以及对应的秘密多项式，并利用索引、份额和发起方集合中的元素进行编码，得到发起方的OKVS，并将秘密s的哈希值H(s)发送给判断方；

3)令协议方分别根据自身的集合中的元素、元素哈希值进行编码得到对应的OKVS；

4)令发起方和各协议方分别将各自的OKVS分成N-1份发送给除判断方外的其他参与方，发起方和各协议方分别根据接收的OKVS份额重新构建OKVS；

5)令判断方与发起方和各协议方分别执行OPPRF协议，判断方计算与各方执行OPPRF协议得到的结果，以此得到重构的秘密份额和索引；

6)判断方基于重构的秘密份额和索引进行多项式重构，根据重构的多项式和秘密s的哈希值H(s)判断与各方的交集中的数量是否达到门限值，并根据获得的值计算交集。

2.根据权利要求1所述的多方门限隐私集合交集方法，其特征在于，所述步骤2)中发起方的OKVS为：

其中Encode为编码方案，为发起方所属集合中的第l个元素，s_l为第l个秘密份额，ind_l为第l个索引，n为集合中元素的个数，也为索引的个数。

3.根据权利要求1所述的多方门限隐私集合交集方法，其特征在于，所述步骤3)中协议方得到的OKVS为：

其中Encode为编码方案，为协议方所属集合中的第l个元素，/>为协议方所属集合中第l个元素的哈希值，n为集合中元素的个数。

4.根据权利要求1所述的多方门限隐私集合交集方法，其特征在于，所述步骤5)中判断方计算与各方执行OPPRF协议的过程如下：

令发起方和各协议方作为发送者，根据其所属集合中的元素以及构建的新的OKVS构造一组点集，并将构建的点集作为OPPRF协议的输入，构建的点集S′_j为发起方或者协议方重新构建的OKVS，Decode为解码方案；

令判断方作为接收者，将其所属集合作为输入；

判断方与发起方和各协议方分别执行完OPPRF协议，得到的结果为如果判断方所属集合的某个元素为发起方和协议方中所属集合中的元素，即/> 则令/>否则令/>为一个随机值；

判断方计算与各方执行完OPPRF协议得到的结果之和以此得到重构的秘密份额和索引。

5.根据权利要求4所述的多方门限隐私集合交集方法，其特征在于，所述步骤5)中重构出的秘密份额和索引为：

其中||表示两个字符串的连接，等式右面的计算出来的结果为一个2λ比特的字符串，把前λ比特定义为s_l′，后λ比特定义为ind_l′；为判断方所属集合中的第l个元素的哈希值，s_l′为重构出的第l个秘密份额；ind_l′为重构出的第l个索引。

6.根据权利要求4或5所述的多方门限隐私集合交集方法，其特征在于，所述步骤6)中的判断过程如下：

判断方输入重构出的秘密份额和索引执行重构算法得到多项式f′(·)，判断H(f′(0))是否等于H(s)，如果H(f′(0))等于H(s)，就说明交集中元素的数量达到门限值t。

7.根据权利要求6所述的多方门限隐私集合交集方法，其特征在于，所述步骤2)采用RSS份额生成算法得到各个份额以及对应的密钥多项式；所述步骤6)采用RSS重构算法得到多项式。

8.根据权利要求6所述的多方门限隐私集合交集方法，其特征在于，所述步骤2)中秘密s的哈希值H(s)采用第一哈希函数计算得到；所述步骤3)中元素的哈希值采用第二哈希函数计算得到。