安全远程聚合的制作方法

本发明涉及用于装置的性能指示符的聚合的方法和系统。本发明具体涉及用于装置联队（fleetsofdevices）的性能指示符的聚合的方法和系统。

背景技术

朝向数据的远程存储和分析的趋势引起提供中央基础设施的平台的开发，所述中央基础设施管理到客户的远程连接、提供对于所收集的数据的存储装置、并且能够对所收集的数据执行分析。此类平台的一个至关重要的方面是机密性和完整性，即，平台在对数据执行聚合和其它功能时不应了解有关它存储和处理的数据的任何事。

当存在既不信任彼此又不信任存储和处理平台的若干用户，而跨所有用户的功能仍必须被实行时，实现此目标的难度增大。此问题的特定情况是联队管理。联队是例如共同由单个资产拥有者所管理的相同类型的被服务产品/系统的集合。具体地说，这涉及其中若干客户向具体平台提供加密的数据，该具体平台进而在只是了解所计算的聚合值的情况下计算跨此数据的关键性能指示符kpi的情形。在此上下文中，下文还被称为性能指示符的kpi指的是关于装置的输出数据的任何集合或者关于与装置其本身有关的性能数据的任何集合的任何聚合功能。

具体地说，在有多供应商策略的公司的产品线经理（其负责产品联队）意欲按设备类型来聚合/编排（compose）/组合设备的各个资产健康检查的结果。这允许产品线经理在任何时间点知道联队表现如何和联队的哪些成员需要关注。此信息有助于对来自管理的查询迅速作出响应、调度维护动作、并且也有助于将其联队与竞争者的那些联队进行比较。

此用例不同于经典远程数据处理，因为每一个客户在理想的情况下通过其自己的私有密钥来加密其数据，但服务提供方仍应能从此信息推导出可行见解（actionableinsight）。与传统多方计算相反，应尽可能少的牵涉到客户。在理想的情况下，他们仅提供输入，并且对于进一步交互不需要他们。

隐私被客户认为是关键要求。例如，在化学行业中，化学反应是公知的，但客户认为知识产权是生产过程。对于此类应用，甚至领导提供方也不被允许查看各个参数，这使得数据的联队管理极为困难。

存在关于计算的隐私保留式外包（privacy-preservingoutsourcing）的许多有关工作。然而，在文献中发现的机制具有不同情形、更弱的安全性假设、或更高的复杂性，例如在各方之间所要求的通信的方面。

[1]涉及基于各方是“准诚信（semi-honest）”的假设的高效外包多方计算，即，它们忠实地执行给定协议，并且仅收集对其可访问的信息。然而，未假设攻击者也能例如通过滥用（misuse）协议来主动尝试聚集信息。

在[2]中也已提议了不要求许多通信回合（communicationround）的基于“多密钥完全同态加密”的方案；然而，解密阶段是交互式的，并且计算开销大[2]。

rafik等人的期刊投稿“sa-spkc：secureandefficientaggregationschemeforwirelesssensornetworksusingstatefulpublickeycryptography”（ieeeprogrammingandsystems（isps），201311thinternationalsymposium，96-102页）涉及无线传感器网络中的数据聚合和解决其中仅基站能验证个体数据和识别恶意节点的无线传感器网络的安全性服务的相应安全性协议。

lu等人的期刊投稿“eppa：anefficientandprivacy-preservingaggregationschemeforsecuresmartgridcommunications”（ieeetransactionsonparallelanddistributedsystems，2012，1621-1631页）涉及用于安全智能电网通信的聚合方案。

技术实现要素：

本发明解决了以安全方式处置装置联队的数据的问题。为此，在不受信任的第三方平台（即云）中存储和处理数据是必需的。平台不必知道各个数据项；然而，平台必须能计算关于数据的聚合（平台能够使其可用于服务提供方）。服务提供方能够在不了解有关来自每个装置的数据的任何精细细化信息的情况下，使用这些聚合来确定其装置的使用和性能度量。

有关隐私的关注是对于采纳联队管理的显著障碍。因此，本发明的目的是通过提供对用户数据的有力保护来促进采纳联队管理系统。

本发明的目的是为被连接到计算集群（即云）的装置的用户提供安全性，其超出了通常仅保护客户与云之间的通信和静止在云中的数据的云提供方的安全性保证。然而，云提供方通常具有检验所有数据的解密密钥并可能不正当地使用它们。

这些和其它目的通过根据独立权利要求的方法、系统和计算机程序产品而得以实现。根据从属专利权利要求，优选实施例是显而易见的。

具体地说，本发明提供以下安全性特征：

1.即使服务提供方与计算集群串通，它也只是了解聚合。

2.如果计算集群和服务提供方不串通，则计算集群不了解有关聚合或各个数据项的任何事。

3.服务提供方能验证计算集群正确实行了功能。

本发明为新服务铺平了道路，因为客户能验证牵涉到的密码算法，并且因此确保装置联队的提供方不能跟踪各个值，但仍能分析客户的数据。

本发明涉及一种用于装置的性能指示符的聚合的方法，包括以下步骤：

a）在装置中将相应第一数据项连结到多个第二数据项；

b）使用装置中的第一加密密钥来加密对于计算性能指示符相关的多个连结的第二数据项，其中第一加密密钥基于加性同态加密方案；

c）将所加密的连结的第二数据项发送到计算集群；

d）在计算集群上使用所加密的连结的第二数据项来计算性能指示符，并且通过将所加密的连结的第二数据项相加来计算关于性能指示符的聚合值；

e）将聚合值发送到装置的服务提供方的服务器；

f）在服务提供方的服务器上使用第二加密密钥来解密聚合值；以及

g）通过检查通过将所加密的连结的第二数据项相加所计算的所解密的总和是否包括预确定值，来验证所解密的结果。

优选的是，第一数据项包括或者是数n∈{1…m}的至少一个集合中的至少一个数。换而言之，优选的是，步骤a）包括将数n∈{1…m}的相应集合连结到装置中的多个第二数据项。优选的是，预定义的值是m（m+1）/2。优选的是，每个数1、...、m确切地出现一次。这确保总和为m（m+1）/2。优选的是，多个数被相加，使得对于每个被加数的总和变成m（m+1）/2。

优选的是，第一数据项包含针对计算的完整性的保护功能、是针对计算的完整性的保护功能的一部分、是针对计算的完整性的保护功能的至少一个值、或者包括针对计算的完整性的保护功能的至少一个值。换而言之，优选的是，（相应的）第一数据项配置成允许确保计算的完整性的保护。

优选的是，第二加密密钥只配置成解密聚合值。

优选的是，第二加密密钥也基于同态加密方案。

优选的是，方法进一步包括以下步骤：使用第二装置中的第三加密密钥来加密对于计算性能指示符相关的多个连结的第二数据项，并且其中在计算集群上使用装置和第二装置的加密的连结的第二数据项来计算性能指示符，并且在装置和第二装置的加密的连结的第二数据项的基础上计算关于性能指示符的聚合值。

优选的是，聚合值是通过进一步执行以下函数中的至少一个来计算的：计算所加密的连结的第二数据项的平均值、计算所加密的连结的第二数据项的方差、以及计算所加密的连结的第二数据项的加权总和。

优选的是，方法进一步包括在步骤a）前的以下步骤：将要加密的明文与验证数连结，其中验证数优选地从数的预定义集合中随机选取。优选的是，步骤e）后的验证所解码的结果基于检查所解密的明文的验证数部分是否等于某个值。优选的是，该某个值取决于用于计算性能指示符的函数。

优选的是，方法进一步包括在步骤c）与d）之间的以下步骤：

将聚合值发送到电子装置的用户、电子装置、或第二提供方；

解密关于性能指示符的聚合值；以及

通过与第一加密密钥不同的密钥来加密关于性能指示符的聚合值，并且其中步骤d）包括将所重新加密的关于性能指示符的聚合值发送到装置的服务提供方的步骤。

优选的是，第二加密密钥基于有状态加密方案。通过有状态加密，可能对服务提供方赋予仅允许总和的解密但不允许各个值的解密的密钥。优选的是，在第一数据项是或者包括数n∈{1…m}的至少一个集合中的至少一个数的情况下，通过将随机值kj加到第j个数据项来执行m个第一数据项的加密，其中∑jkj=k。如果服务提供方知道k，则能从获得的结果中减去k以得到数据项的总和。

优选的是，性能指示符是至少一个装置的所平均温度。优选的是，性能指示符是以下项中的至少一项：压力、湿度、扭矩、力、噪声级别、电压、安培数、或累加的事件（诸如异常事件的数量、故障的数量或诸如此类）。

本发明也涉及一种用于装置的性能指示符的聚合的系统，包括：装置，其中装置配置成将相应第一数据项连结到多个第二数据项，并且配置成使用第一加密密钥来加密对于计算装置的性能指示符相关的多个连结的第二数据项，其中第一加密密钥基于加性同态加密方案，发送单元，发送单元配置成将所加密的连结的第二数据项发送到计算集群；计算集群配置成使用所加密的连结的第二数据项来计算装置的性能指示符，并配置成通过将所加密的连结的第二数据项相加来计算关于性能指示符的聚合值；以及发送单元，发送单元配置成将聚合值发送到装置的服务提供方的服务器，其中系统进一步包括服务提供方的服务器，服务的服务器配置成使用第二加密密钥来解密聚合值，以及其中系统进一步包括验证单元，验证单元配置成通过检查通过将所加密的连结的第二数据项相加所计算的所解密总和是否包括预确定值，来验证所解密的结果。

优选的是，系统进一步包括第二装置，其配置成使用第三加密密钥来加密对于计算性能指示符相关的多个连结的第二数据项。优选的是，计算集群配置成使用装置和第二装置的加密的连结的第二数据项来计算性能指示符，并且配置成在装置和第二装置的加密的连结的第二数据项的基础上计算关于性能指示符的聚合值。

优选的是，计算集群配置成通过进一步执行以下函数中的至少一个来计算聚合值：计算所加密的连结的第二数据项的平均值、计算所加密的连结的第二数据项的方差、以及计算所加密的连结的第二数据项的加权总和。在本上下文中，加密的连结的第二数据项的平均值优选指的是对，即总和与计数。另外，方差也优选指的是对，即，平方值的总和与值的总和的平方。

优选的是，发送单元配置成将聚合值发送到电子装置的用户、电子装置、或第二提供方。

优选的是，电子装置的用户、电子装置、或第二提供方配置成解密聚合值，并且配置成通过与第一加密密钥不同的加密密钥来加密聚合值。

优选的是，发送单元配置成将所重新加密的聚合值发送到装置的服务提供方的服务器。

优选的是，第二加密密钥基于有状态加密方案。

优选的是，服务提供方的服务器配置成使用第二加密密钥来解密聚合值。

附图说明

参照在附图中示出的优选示范性实施例，在以下文本中将更详细地解释本发明的主题，在附图中：

图1以示意性方式示出根据本发明的实施例的、用于装置的性能指示符的聚合的系统。

附图中使用的参考符号及其主要含意在标号列表中以概要形式列出。原则上，在附图中对相同部分提供相同参考符号。

具体实施方式

图1以示意性方式示出用于装置101-10n的性能指示符的聚合的系统。

系统包括装置联队100和计算集群200。装置联队100包括多个装置101到10n。然而，对于技术人员所理解的是，本发明也涉及其中仅存在一个装置的情况。装置联队100可以是相同或不同的装置。多个装置101到10n中的至少一个装置（例如装置101）a）将相应第一数据项连结到多个第二数据项。在此实施例中，第一数据项包括数n∈{1…m}的至少一个集合。然后，装置101使用第一加密密钥来加密对于计算性能指示符（例如平均温度）相关的多个连结第二数据项。第一加密密钥基于加性同态加密方案。装置101将加密的连结第二数据项发送到计算集群200（下文称为云200）。

云200计算性能指示符（即此实施例中的平均温度），并且还计算关于平均温度的聚合值。

然后，云200将聚合值发送到装置联队100的提供方300。

装置联队100的提供方300使用第二加密密钥来解密聚合值，其中第二加密密钥仅能解密聚合值而不能解密性能指示符其本身。换而言之，第二加密密钥仅能解密聚合值而不能解密各个值。

本发明提供a）关于单独装置的大量数据项的一个或多个性能指示符的聚合（所谓的时间聚合）、和/或b）关于大量装置的一个或多个性能指示符的聚合（所谓的空间聚合）。然而，本领域技术人员理解的是，时间聚合和空间聚合的任何组合是可能的。

在下文中，解释了时间聚合和空间聚合：

a）时间聚合

对于时间聚合（即，在预定义时间窗口内来自一个装置的数据的聚合），下文描述了示范性实施例，其中加性同态加密被用于加密。被发送到云200并且云100针对时间聚合而处理的所有连结第二数据项根据相同密钥而被加密。对于重新加密，有三个选项。

a）计算集群200将被可选地致盲的聚合的加密结果（即，聚合值）发送到装置101，其随后解密聚合值、通过服务提供方300的公共密钥来验证和重新加密聚合值。之后，由装置101将重新加密的聚合值发送到服务提供方300。

b）通过有状态加密，可能对服务提供方300赋予仅允许总和的解密而不允许各个值的解密的密钥。作为示例，在第一数据项是或者包括数n∈{1…m}的至少一个集合的情况下，考虑通过将随机值kj加到第j个数据项来对m个数据项加密，∑jkj=k。如果服务提供方300知道k，则它能够从获得的结果减去k以得到数据项的总和。

c）未与计算集群（例如第二提供方）串通的一方被赋予服务提供方的代理重新加密密钥。计算集群200将致盲的结果/聚合值发送到这一方。如果验证过程成功，则它通过服务提供方的密钥来实行聚合值的重新加密，并将聚合值发送回到计算集群200。计算集群200随后移除致盲项（blind），并且将结果转发到服务提供方300。

b）空间聚合

对于空间聚合（即关于装置集合在时间t的数据的聚合），必须考虑对于每个装置101到10n可能根据不同密钥来加密数据项。

为使得计算集群200能运算聚合值（例如性能指示符的总和），根据此实施例，（i）存在用于确保密文根据相同密钥而被加密的操作，或者（ii）加密方案必须提供对密钥的操作以推导根据其来加密总和的密文的密钥。

-论及（i）的本发明的实施例使用了bcp方案[3]具有以下属性的事实：假设k=k1+k2。对于数据项d成立的是，通过用k1运行一次解密操作，并且随后按照k2运行一次，能够解密根据密钥k的d的加密，即，d=d（k2，d（k1，e（k，m））。在此情况下，非串通的第三方（例如第二服务提供方）能被赋予密钥k，其对于计算集群200是未知的。牵涉到过程的每个装置101到10n生成随机数kj，并将它发送到计算集群200。随后通过将kj加到k，装置101到10n的私有密钥pkj能被计算。换而言之，pk=k_i+k，即，基于装置100的私有密钥和云200的密钥k来计算k_i。所有装置101到10n通过其密钥pkj来加密其数据项，并将它们发送到计算集群200，计算集群200进而通过kj1运行一个解密操作。这确保所有值根据第三方密钥k而被加密。对于其余步骤，能够使用时间聚合的过程。

-在使用（ii）的实施例中，每个装置101到10n通过根据非串通第三方的公共密钥而被加密的随机值xj来致盲其（一个或多个）数据项。换而言之，发送了一个对：致盲的数据项，并且还有加密的致盲项。计算集群200能够将致盲的数据项和加密的随机值两者相加，并将这些总和的致盲版本发送到第三方。第三方能够因此解密随机值的总和、在随机值的验证成功时从致盲的数据项的总和减去随机值的总和、并且随后针对服务提供方300重新加密结果。计算集群200从结果（即聚合值）中移除致盲项，并将它转发到服务提供方300。

虽然本发明已在附图和前面描述中被详细描述，但此类描述要被视为是说明性或示范性而不是限制性的。通过研究附图、本公开和随附权利要求，在本领域中并实践要求保护的发明的那些技术人员能够理解和实现对所公开实施例的变化。在权利要求中，词语“包括”不排除其它元素或步骤，并且不定冠词“一（a或an）”不排除多个。在不同权利要求中阐述某些元素或步骤的纯粹事实并非指示不能将这些元素或步骤的组合用于优点，具体而言，除实际权利要求相关性外，任何其它有意义的权利要求组合应视为被公开。

标号列表

100-装置联队

101-10n-装置

200-计算集群

300-服务提供方

参考文献

[1]–peter,adrian,eriktews,andstefankatzenbeisser."efficientlyoutsourcingmultipartycomputationundermultiplekeys."informationforensicsandsecurity,ieeetransactionson8,no.12(2013):2046-2058.

[2]–lópez-alt,adriana,erantromer,andvinodvaikuntanathan."on-the-flymultipartycomputationonthecloudviamultikeyfullyhomomorphicencryption."proceedingsoftheforty-fourthannualacmsymposiumontheoryofcomputingstoc),2012.

[3]–bresson,emmanuel,dariocatalano,anddavidpointcheval."asimplepublic-keycryptosystemwithadoubletrapdoordecryptionmechanismanditsapplications."inadvancesincryptology-asiacrypt2003,pp.37-54。