统中的每个记录还可W包括一组权重,其中所 述一组权重包括至少一个权重。在所述系统中的所述权重可W对应于在所述记录中的各令 牌的频率和评级的量度之一。
[0015] 根据本原理的一个方面,在所述系统中的所述评估器处理器还可W被配置为:接 收每个记录的令牌数,其中所述令牌数是由所述源发送的。在所述系统中的所述源处理器 可W被配置为:当每个记录的所述令牌数小于表示最大值的值时,用空条目填充每个记录, W创建具有与所述值相等的令牌数的记录。在所述系统中的所述一组记录的所述源可W是 数据库和一组用户中的一个,并且其中如果所述源是一组用户,每个用户包括用于接收至 少一个输入/输出(404)的处理器(402)和至少一个存储器(406,408),并且每个用户提供至 少一个记录。
[0016] 本发明的另外的特征和优点将通过如下的参考附图进行的说明性实施例的详细 描述而变得显而易见。
【附图说明】
[0017] 本原理可W通过参考W下简单说明的示例性附图而更好地理解:
[0018] 图I示出了现有技术的推荐系统的构件;
[0019] 图2示出了根据本原理的隐私保护计数系统的构件;
[0020] 图3示出了根据本原理的隐私保护计数方法的流程图;
[0021 ]图4示出了根据本原理的计数器的流程图;W及
[0022] 图5示出了用于实现本原理的计算环境的框图。
【具体实施方式】
[0023] 根据本原理,提供了一种用于W隐私保护的方式安全计数的方法。本领域的技术 人员将理解,本发明有许多应用。一种可能的应用是计数来自给定组的关键词在单人或多 人的电子邮件中出现得多勤。在线服务可能希望发现在电子邮件语料库中的例如"电影 院"、"n票"、"鞋"等单词的出现频率,W决定给(一个或多个)用户展示什么样的广告。运种 方法允许服务执行运样的计数,而不明确获知每一电子邮件的内容。
[0024] 通过本原理解决的运个问题的正式说明是:一项服务希望计数在记录语料库中的 令牌的出现数,每一个包括一组令牌。技术人员将理解,在上面的实例中,记录可W是电子 邮件,令牌可W是词语,服务希望使用某关键词来计数记录数。但是,为了确保所设个人的 隐私,服务希望运样做,而无需获知运些计数之外的任何内容。特别是,该服务不应该获知: (a)每个关键词出现在哪些记录/电子邮件中,更不消说,(b)有什么令牌/词语出现在每一 封电子邮件中。
[0025] 另一个应用是从评级语料库中计算对例如电影的项目的观看数乃至平均评级,而 不透露谁评了每部电影或者他们给了什么评级。在运种情况下,记录是用户评级的/观看的 一组电影W及相应的评级,并且令牌是movie_id(电影标识符)。本发明可用于计数有多少 用户评价了或观看了一部电影,而不获知哪位用户观看了哪部电影。此外,本发明可用于计 算诸如每部电影的平均评分等统计数据,而不获知哪位用户评级了哪部电影或者该用户给 予了什么评级。类似地,本发明还可W用于在单一候选人(例如,市长或竞赛获奖者)或多名 候选人(如,代表委员会)选举中的表决计算,而不获知每个用户的投票。
[00%]因此,根据本原理,一种方法接收一组记录("语料库")作为输入,每个语料库包括 其自身的一组令牌。该组或记录包括至少一个记录,该组令牌包括至少一个令牌。此外,该 方法接收单独一组令牌作为输入,并且将发现在所述单独一组令牌中的每个令牌在多少个 记录中出现。单独一组令牌可W包括在所有记录中的所有令牌、在所有记录中的令牌的一 个子集,或者甚至可包含不在记录中的令牌。该方法W安全的方式对每个令牌出现在多少 记录中进行计数,而不获知任何个人记录的内容或除了该计数之外的、从记录中提取的任 何信息。如下面所讨论的那样,该方法是由安全多方计算(MPC)算法来实现的。
[0027]安全多方计算(MPC)最初是由A.化i-化化Yao在二十世纪八十年代提出的。化O协 议(又名加密电路)是用于安全多方计算的通用方法。在其一个改编自IE趾S&P,2013的 V.Nikolaenko、U.Weinsberg、S.IoannidiS、M.Joye、D.Boneh和N.Taft的《Privacy-preserving Ridge Regression on Hundreds ofmillions ofrecords》的变型中,该协议 是在一组n个输入所有者(其中ai表示用户i(l含i含n)的私密输入)、希望评估f(ai,. . .,an) 的评估器和第S方(加密服务提供器(CSP))之间运行的。在协议结束时,评估器获知f (ai,...,an)的值,但没有一方获知得比从运一输出值所透露的内容更多。该协议要求函数f 可用布尔电路表示,例如作为或(OR)、与(AND)、非(NOT)和异或(XOR)n的图表示,并且该评 估器和CSP不串通。
[0028] 近期有很多实施化O加密电路的框架。针对通用MPC的不同的方法基于秘密共享方 案,另一个方法基于全同态加密(F皿)。已经提出了秘密共享方案来用于各种线性代数运 算,诸如求解线性系统、线性回归和竞价等。秘密共享需要至少=个平等地共享计算工作量 并多轮交流的非串通在线权限;只要它们中间没有两方串通,计算就是安全的。加密电路假 设只有两个非串通权限和更少的通信,运更适合于其中评估器是云服务并且加密服务提供 器(CSP)是W可信赖的硬件构件实现的情境。
[0029] 不管使用哪种密码原语,建立用于安全多方计算的有效算法的主要挑战是W数据 无关无关方式实现算法,也就是说,W使执行路径不依赖于输入。在一般情况下,在有界时 间T内可执行的任何RAM程序都可W被转换为0(r 3)图灵机(TM),运是由Alan化ring发明 的理论计算机W作为数学计算的理想化模型,其中0(r3)表示复杂性与T 3成比例。此外,任 何有界T时间TM可W转换为大小为O(TlogT)的电路,它是数据无关无关的。运意味着,任何 有界T时间可执行的RAM程序可W被转换为具有0(r31ogT)的复杂性的数据无关无关电路。 运样的复杂性太高,并且在大多数应用中令人望而却步。对于高效数据无关无关实现是未 知的算法的调查可W在W.Du和M.J.Atallah在2001 年化W Security 化radigms Workshop 上的《Secure multi-party computation problems and their applications:A review and open problems》中找到。
[0030] 最初开发排序网络是为了启用排序并行及高效硬件实现。运些网络是将输入序列 (曰1,日2, . . .,an)排序成单增序列(日/ 1,日/ 2, . . .,a\)的电路。它们是通过将比较和交换电路 (compare-and-swap circuits)(它们的主要组成块)接线在一起而构成的。一些工作利用 了排序网络的数据无关性来用于密码目的。然而,加密不总是足W确保隐私。如果攻击者可 W观察你对加密存储的访问模式,他们仍然可W获知有关你的应用程序正在做什么的敏感 信息。
[0031 ]本原理提出了一种基于安全多方排序的方法,它接近于加权集合交集,但采用了 加密电路并着重于计数。使用加密电路实施本原理的计数器的单纯做法具有很高的计算成 本,需要与语料库中的令牌数成二次方关系的计算。在本原理中提出的实施快得多,需要与 语料库中的令牌数几乎成线性关系的成本。
[0032] 如图2所示,本原理由S个构件组成:
[0033] I.评估器系统化val)230,它是执行安全计数而不获知有关记录的任
[0034] 何情况或除计数C 240外的、从记录中提取的任何信息的实体。
[0035] II.加密服务提供器(CSP)250,它将启用安全计数而不获知有关记录
[0036] 的任何情况或从记录中提取的任何信息。
[0037] III.源,它由一个或多个用户210构成,每一个用户都具有一个记录或
[0038] 一组记录220,每个记录包括要被计数的一组令牌,并且每个记录都对
[0039] 该记录的源(即,用户)之外的各方保持秘密。等效地,源可W代表
[0040] 含有一个或多个用户的数据的数据库。
[0041] 本原理的优选实施例包括一个满足图3中的流程图300的协议,由W下步骤进行说 明:
[0042] PI.源向评估器报告对于每一个参与的记录有多少令牌将被提交(310);
[0043] P2.评估器向CSP报告必要的参数W设计加密电路(330),其包括令牌332的数目和 用于表示该计数334的位数。此外,评估器接收或确定单独一组令牌(320),在其上计算计 数。运组令牌可W包括在语料库中的所有令牌、所有令牌的子集或甚至不存在于记录中的 令牌。单独一组令牌,如果不是所有的令牌,将包含在参数中。
[0044] P3.CSP准备了计算计数的、被技术人员称为加密电路的电路(350)。为了加密,电 路首先作为布尔电路352写入。到电路的输入被假定为是一列令牌(token id l,token_id_ 2,...,token id M),其中M是语料库中的令牌总数(即,由每个用户提交的令牌的总和)。具 体地说,加密电路取记录/令牌的加密值作为输入,并处理所述一组记录和所述单独一组令 牌Tl W计数属于所述单独一组令牌的每个令牌出现在多少记录中,而无需获知任何个人记 录的内容W及除所述计数之外的、从所述记录中提取的任何信息。
[0045] P4. CSP加密运个电路,把它发送给评估器(360)。具体地说,CSP将口处理为加