一种保护隐私的无中心点积计算方法

一种保护隐私的无中心点积计算方法
【专利摘要】本发明提供一种保护隐私的无中心点积计算方法，包括以下步骤：S1、第一、二参与方分别与可信第三方连接，以获取其对应隐私向量的证书，所述证书包含所述隐私向量的密文；S2、所述第一参与方将其证书发送至所述第二参与方；S3、基于所述第一参与方证书中隐私向量的密文，所述第二参与方进行密文的同态点积计算，并将点积密文及所述第二参与方的证书发送至所述第一参与方；S4、所述第一参与方对所述点积密文进行解密，得到所述第一、二参与方隐私向量的点积；本发明实现了在没有中心服务器参与的情况下的安全多方点积运算，保证了用户输入输出的可验证性，满足用户在不可信环境下对个人数据的隐私保护和对点积运算结果可靠性的需求。
【专利说明】一种保护隐私的无中心点积计算方法

【技术领域】
[0001] 本发明涉及安全多方计算领域，特别涉及一种保护隐私的无中心点积计算方法。

【背景技术】
[0002] 保护隐私的安全多方计算被广泛应用在现实生活中的各个领域。安全多方计算是 在不暴露计算参与方的数据隐私的情况下，用多方数据进行计算，仅将计算结果暴露给计 算参与者。例如社交网络中的用户相似度计算，隐私保护的投票和拍卖，传感网络中的安全 数据采集和排序和数据外包计算等。解决该问题的最简单的方法便是采用可信的中心服 务器，计算参与方将各自隐私的数据交给可信中心，由可信中心进行计算，再将计算结果返 回给参与方。但是在很多情况下并不是所有用户都能访问到中心服务器，例如在没有互联 网接入或者在服务器失效的情况下中心计算便无法展开；而且频繁的与计算中心交互还会 带来高额的费用和安全隐患；此外，由于中心服务器并非绝对可信，若所述中心服务器被攻 击则可能导致大量用户隐私暴露，因此很多用户并不愿意将其隐私的数据暴露给中心服务 器，这也阻碍了云计算本身的发展。面对中心计算的方式存在的种种局限，急需设计分布式 无中心的保护隐私的安全多方计算协议。
[0003] 现有的无中心安全多方计算协议支持多方隐私数据输入的函数计算，每个参与方 只能得到协议规定的计算结果，无法得到他人的隐私数据。但是现有的方法计算开销都非 常大，使得它们很难实际应用，尤其是在计算资源受限的移动设备上几乎无法进行。虽然后 续也有一些工作从计算开销上对无中心的安全多方计算协议进行了改进，但是这些协议都 将重点放在了隐私保护上，而忽略了用户输入输出的可验证性。这些协议计算结果的正确 性都建立在计算参与方都将诚实地执行协议的基础上，并且计算结果通常都由其中一方先 得到然后再告诉其他参与者。实际上，恶意用户可以通过简单的伪造其输入数据就能产生 出错误的计算结果，或者先得到计算结果的参与方可以向其他参与者撒谎，使其相信错误 的计算结果。这样一来计算的正确性就无法得到保证，严重的可能导致用户隐私的泄漏。 例如，在社交网络中常常进行隐私保护的相似度计算来帮助用户与匹配的用户建立朋友关 系，一个缺乏验证机制的计算协议就可能让恶意用户输入虚假的个人属性，或者对计算结 果撒谎，以此骗取他人信任成为朋友。以此，我们急需提供一种在不可信环境中的可验证的 保护隐私的无中心多方计算方法，并且这个方法需要降低计算和通信开销以支持大量的普 通计算设备。
[0004] 点积运算是一种非常基础的运算，在很多应用中都发挥着重要的作用。如在数据 搜索，社交网络等大量应用中都需要使用到相似度度量来量化两个向量的距离和相似度， 如计算编辑距离、计算集合的公共元素数量、计算余弦相似度等都可以映射为两个向量的 点积运算。目前这些应用普遍利用了可信中心服务器，少数采用无中心方式进行计算的工 作也忽略了对用户输入输出的验证，导致这些方法存在很大的隐私漏洞。
[0005] 基于此，现有技术确实有待于改善。


【发明内容】

[0006] 针对现有技术的不足，本发明提供一种保护隐私的无中心点积计算方法，以实现 在没有中心服务器参与的情况下的安全多方点积运算，并保证用户输入输出的可验证性， 满足用户在不可信环境下对个人数据的隐私保护和对点积运算结果正确性、可靠性的需 求。
[0007] 为实现以上目的，本发明通过以下技术方案予以实现：
[0008] 本发明提供一种保护隐私的无中心点积计算方法，包括以下步骤：
[0009] S1、第一、二参与方分别与可信第三方连接，以获取其对应隐私向量的证书，所述 证书包含所述隐私向量的密文；
[0010] S2、所述第一参与方将其证书发送至所述第二参与方；
[0011] S3、基于所述第一参与方证书中隐私向量的密文，所述第二参与方进行密文的同 态点积计算，并将点积密文及所述第二参与方的证书发送至所述第一参与方；
[0012] S4、所述第一参与方对所述点积密文进行解密，得到所述第一、二参与方隐私向量 的点积。
[0013] 优选的，所述可信第三方Ρτ拥有一对数字签名算法对应的公钥PkT和私钥Sk T。
[0014] 优选的，所述步骤S1进一步包括：
[0015] S11、预定义快速加密算法，并将所述第一参与方Pi及第二参与方P2分别与可信第 三方Ρ τ连接；
[0016] S12、基于所述快速加密算法，所述可信第三方Ρτ为所述第一、二参与方分别分配 对应的公钥Pkp私钥Sh以及唯一标示IDp并对所述第一、二参与方的隐私向量\进行验 证；
[0017] S13、所述第一、二参与方利用其对应的公钥Pki对其隐私向量\分别进行加密，得 到Ε, (\，氏），其中，所述氏为所述快速加密算法的随机数；
[0018] S14、所述可信第三方Ρτ对所述Ei (Vi，氏）进行哈希，并利用其私钥SkT对该哈希值 进行数字签名，得到Sig的％，氏)）；
[0019] S15、根据所述Sig^d幻），所述可信第三方PT将生成的所述隐私向量\的证 书颁发给所述第一、二参与方；所述证书包含所述隐私向量的密文；
[0020] 其中，i= {1,2}。
[0021] 优选的，所述快速加密算法为快速Paillier加密算法。
[0022] 优选的，所述第一、二参与方隐私向量Vi的证书C(Pi，VJ为：
[0023] C (P" VD =〈Sig (ID)，Ei %，氏)，Sig 的 ％，氏)），Pk" PkT>。
[0024] 优选的，所述步骤S3中：
[0025] 基于所述第一参与方证书中隐私向量的密文，所述第二参与方P2根据所述快速 Paillier加密算法的同态计算方法，计算点积密文：
[0026] θρΕ! (V! · V2,札· V2)，efEi (R2 · V" 札· R2)。
[0027] 优选的，所述方法进一步包括：
[0028] S5、基于所述可信第三方，对所述第二参与方隐私向量的证书进行验证，并验证所 述第一、二参与方隐私向量的点积是否正确。
[0029] 优选的，所述步骤S5进一步包括：
[0030] S51、所述第一参与方Pi利用所述可信第三方Ρτ的公钥PkT，对所述第二参与方P 2 隐私向量的证书进行验证，若验证通过，则所述第二参与方P2的输入正确，否则所述第二参 与方P2的输入错误；
[0031] S52、基于所述第二参与方P2隐私向量的证书以及所述快速Paillier解密算法的 同态计算方法，验证所述第一、二参与方隐私向量的点积是否正确。
[0032] 优选的，所述步骤S52进一步包括：
[0033] S521、根据步骤S4,所述第一参与方对所述点积密文ei进行解密，得到( ei)， 同理所述第一参与方对所述点积密文e2进行解密，得到d2=D 2(e2)和R2 · %的值；
[0034] S522、利用所述快速Paillier解密算法的同态计算方法，判断 E2(Vi ·ν2, R2 d2)是否成立，若成立，贝1J所述第一、二参与方隐私向量的点积正确， 否则第一、二参与方隐私向量的点积无效。
[0035] 本发明通过提供一种保护隐私的无中心点积计算方法，在点积运算之前，各参与 方分别只与可信第三方进行一次连接，在整个点积计算过程中完全采用无中心的方式进 行，无须服务器的参与；采用Paillier加密，利用各参与方的公钥对参与计算的隐私向量 进行加密，点积计算在密文上利用同态计算进行，各参与计算方在无需暴露自己向量值的 情况下便能得到计算结果；该方法设计了严密的验证机制，保证计算参与方的输入的合法 性和输出的可验证性，使计算参与方无法对计算的输入和计算结果作假；该方法采用快速 Pai 11 ier加密，计算复杂度小，适用于各种计算平台。

【专利附图】

【附图说明】
[0036] 图1为本发明一实施例的流程图。

【具体实施方式】
[0037] 下面结合附图和实施例，对本发明的【具体实施方式】作进一步详细描述。以下实施 例用于说明本发明，但不用来限制本发明的范围。
[0038] 如图1所示，本发明提供一种保护隐私的无中心点积计算方法，包括以下步骤：
[0039] S1、第一、二参与方分别与可信第三方连接，以获取其对应隐私向量的证书，所述 证书包含所述隐私向量的密文；每个参与方只需要在计算开始前连接一次可信第三方，获 得其所需的隐私向量证书即可，在之后的计算中将不再需要连接所述可信第三方；且每个 隐私向量对应一个证书，若所述第一、二参与方均有多个隐私向量需要参与计算，贝 1J需一次 性获取多个证书。
[0040] S2、所述第一参与方将其证书发送至所述第二参与方；
[0041] S3、基于所述第一参与方证书中隐私向量的密文，所述第二参与方进行密文的同 态点积计算，并将点积密文及所述第二参与方的证书发送至所述第一参与方；
[0042] S4、所述第一参与方对所述点积密文进行解密，得到所述第一、二参与方隐私向量 的点积。
[0043] 优选的，所述可信第三方Ρτ拥有一对数字签名算法对应的公钥PkT和私钥Sk T，该 数字签名方法为任意的，如常用的RSA算法。
[0044] 优选的，所述步骤S1进一步包括：
[0045] S11、预定义快速加密算法，并将所述第一参与及第二参与方P2分别与可信第 三方Ρ τ连接；
[0046] S12、基于所述快速加密算法，所述可信第三方Ρτ为所述第一、二参与方分别分配 对应的公钥Pkp私钥Sh以及唯一标示IDp并对所述第一、二参与方的隐私向量\进行验 证；
[0047] S13、所述第一、二参与方利用其对应的公钥Pki对其隐私向量\分别进行加密，得 到Ε, (\，氏），其中，所述氏为所述快速加密算法的随机数；
[0048] S14、所述可信第三方Ρτ对所述Ei (Vi，氏）进行哈希，并利用其私钥SkT对该哈希值 进行数字签名，得到Sig的％，氏)）；
[0049] S15、根据所述Sig^d幻），所述可信第三方PT将生成的所述隐私向量\的证 书颁发给所述第一、二参与方；所述证书包含所述隐私向量的密文；
[0050] 其中，i={l，2}。
[0051] 优选的，所述快速加密算法为快速Paillier加密算法，如下表所示：
[0052]

【权利要求】
1. 一种保护隐私的无中心点积计算方法，其特征在于，包括以下步骤： 51、 第一、二参与方分别与可信第三方连接，以获取其对应隐私向量的证书，所述证书 包含所述隐私向量的密文； 52、 所述第一参与方将其证书发送至所述第二参与方； 53、 基于所述第一参与方证书中隐私向量的密文，所述第二参与方进行密文的同态点 积计算，并将点积密文及所述第二参与方的证书发送至所述第一参与方； 54、 所述第一参与方对所述点积密文进行解密，得到所述第一、二参与方隐私向量的点 积。
2. 如权利要求1所述的方法，其特征在于，所述可信第三方&拥有一对数字签名算法 对应的公钥PkT和私钥Sk T。
3. 如权利要求2所述的方法，其特征在于，所述步骤S1进一步包括： 511、 预定义快速加密算法，并将所述第一参与方Pi及第二参与方P2分别与可信第三方 Ρτ连接； 512、 基于所述快速加密算法，所述可信第三方Ρτ为所述第一、二参与方分别分配对应 的公钥Pkp私钥Sh以及唯一标示ID。并对所述第一、二参与方的隐私向量\进行验证； 513、 所述第一、二参与方利用其对应的公钥Ph对其隐私向量\分别进行加密，得到 Ei (\，氏），其中，所述氏为所述快速加密算法的随机数； 514、 所述可信第三方Ρτ对所述Ei (\，氏）进行哈希，并利用其私钥SkT对该哈希值进行 数字签名，得到Sig^^Ri)); 515、 根据所述Sig(Ei (\，氏)），所述可信第三方Ρτ将生成的所述隐私向量\的证书颁 发给所述第一、二参与方；所述证书包含所述隐私向量的密文； 其中，i={l，2}。
4. 如权利要求3所述的方法，其特征在于，所述快速加密算法为快速Paillier加密算 法。
5. 如权利要求4所述的方法，其特征在于，所述第一、二参与方隐私向量的证书 为： C (Pi； =<Sig (IDi), Ei (Vi； Ri), Sig (Ei (Vi； ), Pki； PkT>〇
6. 如权利要求5所述的方法，其特征在于，所述步骤S3中： 基于所述第一参与方证书中隐私向量的密文，所述第二参与方P2根据所述快速 Paillier加密算法的同态计算方法，计算点积密文： (Vi · V2, Ri · V2), (R2 · ^ · R2) 〇
7. 如权利要求1-6任一项所述的方法，其特征在于，所述方法进一步包括： 55、 基于所述可信第三方，对所述第二参与方隐私向量的证书进行验证，并验证所述第 一、二参与方隐私向量的点积是否正确。
8. 如权利要求7所述的方法，其特征在于，所述步骤S5进一步包括： 551、 所述第一参与方匕利用所述可信第三方Ρτ的公钥PkT，对所述第二参与方P2隐私 向量的证书进行验证，若验证通过，则所述第二参与方P 2的输入正确，否则所述第二参与方 P2的输入错误； 552、 基于所述第二参与方己隐私向量的证书以及所述快速Paillier解密算法的同态 计算方法，验证所述第一、二参与方隐私向量的点积是否正确。
9.如权利要求8所述的方法，其特征在于，所述步骤S52进一步包括： 5521、 根据步骤S4,所述第一参与方对所述点积密文ei进行解密，得到(ei)，同理 所述第一参与方对所述点积密文e2进行解密，得到d2=D2(e 2)和R2 · %的值； 5522、 利用所述快速Paillier解密算法的同态计算方法，判断 E2(Vi ·ν2, R2 d2)是否成立，若成立，贝1J所述第一、二参与方隐私向量的点积正确， 否则第一、二参与方隐私向量的点积无效。
【文档编号】G06F21/62GK104156671SQ201310175473
【公开日】2014年11月19日 申请日期:2013年5月13日 优先权日:2013年5月13日
【发明者】孙家广, 张兰, 刘云浩 申请人:清华大学