一种基于密钥协商的高效三方隐私集合求交方法及系统技术方案

本发明专利技术提供了一种基于密钥协商的高效三方隐私集合求交方法及系统，包括如下步骤：参数准备、参与方A生成多项式、参与方B计算输出密钥、参与方C计算输出密钥、交集计算阶段。参与方A，用于与参与方B和接收者C之间计算集合交集；参与方B，用于与参与方A和接收者C之间计算集合交集；接收方C，用于与参与方A和参与方B之间计算集合交集。可以在恶意敌手存在的情况下安全地计算三方集合交集。本发明专利技术所产生的通信成本很低，在宽带受限的场景下将具有更大优势。对比同样适用于弱通信场景的同态加密方法，本发明专利技术将具有更高的效率。本发明专利技术保证在恶意敌手存在时可以安全地计算出集合交集，并允许任意两个参与方进行合谋，提供了更高的安全性。性。性。

【技术实现步骤摘要】
一种基于密钥协商的高效三方隐私集合求交方法及系统


[0001]本专利技术涉及多方安全计算中隐私集合交集计算领域，具体来说，是一种基于密钥协商的高效小集合隐私交集计算方法及其系统。

技术介绍

[0002]隐私集合交集(Private Set Intersection，PSI)技术是安全多方计算的重要场景之一，经典的PSI协议包含两个参与方，它们各自持有自己的私有集合，在协议结束时，两方或者其中一方作为接收者获得两方集合的交集，而不会泄露除交集之外的任何元素信息。作为重要的密码学工具，PSI在许多协议的基础模块中被构建。此外，PSI也被广泛应用于人工智能和数据挖掘的安全领域，如带隐私保护的数据挖掘、私有通讯录查找、新冠接触者追踪以及衡量在线广告转化率等。
[0003]目前PSI技术已经得到了快速的发展，但现有的协议大多仅适用于经典的拥有两个参与方的场景，此类协议已经达到非常高的效率。在数据共享的时代背景下，两个以上参与方的场景需求更加广泛，但目前仅有少数方案适用于此类场景。在现实应用场景中，需要进行隐私计算的参与方往往不止两个，例如在社交软件中的隐私联系人查找功能在查找多个用户的共同好友时需要多个用户共同参与。
[0004]最早的PSI协议采用朴素哈希的方式，即先对集合元素求哈希，并通过对哈希值的对比得出交集，这种方案是十分高效的，但容易受到碰撞攻击。为了解决碰撞攻击的问题，需要采用安全对比的方法。对于持有m个元素的集合，为了求出交集元素，最坏的情况需要进行m2次对比。通过将元素映射到布隆过滤器进行对比，对比次数减少到O(nlogn)，n为布隆过滤器的长度。随着PSI技术的成熟，通过布谷鸟哈希、不经意伪随机函数和高效的OT扩展等技术，一些PSI协议实现了O(n)的计算和通信复杂度。
[0005]现有PSI协议有多种实现方式，在本专利技术中，我们重点关注基于密钥协商的PSI协议。目前大多数高效的PSI方案都是基于OT协议构建，得益于高效的OT扩展技术，各方可以通过少量的公钥操作生成大量的OT协议实例，使得基于OT的PSI协议所需要的公钥操作数量仅与安全参数有关，而与集合大小无关。因此利用OT技术可以高效地构造具有较大集合的PSI协议。一般来说，基于OT的PSI协议比基于密钥协商的协议更快，但需要更多的通信。现有的基于密钥协商的PSI主要依赖于经典的Diffie
‑
Hellman密钥协商协议。虽然基于OT的协议一般要比基于密钥协商的协议更快，但由于基于密钥协商的协议通信量低、安全性高，所以在实际场景中基于密钥协商的协议应用十分广泛。Rosulek等人基于Diffie
‑
Hellman密钥协商和多项式插值技术在小集合情况下实现了迄今为止最快的PSI方案。遗憾的是，现存的基于密钥协商的方案都仅适用于具有两个参与方的场景。需要注意的是，两方协议无法直接扩展到多方，PSI协议的隐私性要求除交集之外的任何信息都无法被泄露，而两方协议直接扩展到多方将不可避免地泄露交集之外的两两相交的部分，这是无法接受的。因此必须独立设计多方PSI协议以符合安全性需求。
[0006]基于密钥协商构造的PSI协议一般具有通信量低及在小集合上高效的优势。在某
些场景下，通信成本比计算成本更重要，在谷歌内部部署PSI功能时选择了基于Diffie
‑
Hellman密钥协商的PSI，它们指出：在共享网络中添加CPU比扩大网络容量要便宜的多。基于密钥协商的PSI比基于OT的PSI具有更低的通信量。另一方面，小集合求交是隐私集合求交的一个典型场景，具有广泛的应用。例如，可以通过对用户的整个地址薄(几千项)和另一个用户的个人标识符(电活号码或电子邮箱；可能是10项)进行PSI，从而用于苹果手机的隔空投送功能。另外，各方可能希望利用可用日历时间的PSI来安排会议时间。对于此类输入大小的集合，基于密钥协商的PSI是计算成本最低的。
[0007]虽然传统两方PSI协议的已经发展的非常成熟，但针对两个参与方以上场景的PSI协议仍然较少，且已有的多方PSI协议大多仅实现了半诚实安全性，而不能实现更符合实际场景的恶意安全性。
[0008]因此，需要一个恶意安全的基于密钥协商的小集合隐私集合交集计算方法。

技术实现思路

[0009]本专利技术要解决的问题是提供一种基于密钥协商的高效三方隐私集合求交方法及系统，该方法将集合元素通过多项式映射到密钥协商的共享密钥空间，通过对比输出密钥的方式得到最终的集合交集。本专利技术尤其适用于小集合求交的场景，在小集合情况下，本专利技术具有很高的运行效率，并大大减少了通信量。
[0010]本专利技术是通过以下技术方案实现的：
[0011]一种基于密钥协商的高效三方隐私集合求交方法，包括如下步骤：
[0012](1)参数准备：在协议正式开始之前，参与方B和C随机选择以及并计算bP和cP发送给对方，对于每个A的集合元素x
i
∈X，参与方A选择n个随机值
[0013](2)参与方A生成多项式：参与方A插值多项式Q(
·
)并将其发送给参与方B和C；
[0014](3)参与方B计算输出密钥：参与方B用自己的集合元素y
i
查询随机预言机H1(y
i
)，然后用H1(y
i
)对多项式求响应，并计算每个响应对应的输出密钥值k
i
，然后再次查询随机预言机得到K＝将其乱序发送给C；
[0015](4)参与方C计算输出密钥：参与方C用自己的集合元素z
i
查询随机预言机H1(z
i
)，然后用H1(z
i
)对多项式求响应，并计算每个响应对应的密钥值；
[0016](5)交集计算阶段：参与方C判断是否在K中，从而得出交集。
[0017]作为最优选的实施例，当集合中元素≤500或在宽带受限的场景下，本专利技术将具有更高的效率来计算隐私集合交集。
[0018]作为最优选的实施例，存在恶意攻击者，不按正常的协议步骤执行时，系统仍可以安全地计算出集合交集，并且允许任意两个参与方进行合谋，也不会泄露第三方除了交集以外的元素信息，提供了更高的安全性。
[0019]一种基于密钥协商的高效三方隐私集合求交系统，包括：
[0020]参与方A，用于与参与方B和接收者C之间计算集合交集；
[0021]参与方B，用于与参与方A和接收者C之间计算集合交集；
[0022]接收方C，用于与参与方A和参与方B之间计算集合交集。
[0023]作为最优选的实施例，所述参与方A，包括：
[0024]接收方C服务请求处理模块，用于同意或拒绝接收方C的服务请求；
[0025]信道构建模块，用于与参与方B和接收方C构建高速通信信道并进行数据交互测试；
[0026]数据处理传输模块，用于使用生成插值多项式，并将其发送给参与方B和接收方C。
[0027]作为最优选本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于密钥协商的高效三方隐私集合求交方法，其特征在于，包括如下步骤：(1)参数准备：在协议正式开始之前，参与方B和C随机选择以及并计算bP和cP发送给对方，对于每个A的集合元素x
i
∈X，参与方A选择n个随机值(2)参与方A生成多项式：参与方A插值多项式Q(
·
)并将其发送给参与方B和C；(3)参与方B计算输出密钥：参与方B用自己的集合元素y
i
查询随机预言机H1(y
i
)，然后用H1(y
i
)对多项式求响应，并计算每个响应对应的输出密钥值k
i
，然后再次查询随机预言机得到K＝将其乱序发送给C；(4)参与方C计算输出密钥：参与方C用自己的集合元素z
i
查询随机预言机H1(z
i
)，然后用H1(z
i
)对多项式求响应，并计算每个响应对应的密钥值；(5)交集计算阶段：参与方C判断是否在K中，从而得出交集。2.根据权利要求1所述的一种基于密钥协商的高效三方隐私集合求交方法，其特征在于，当集合中元素≤500或在宽带受限的场景下，本发明将具有更高的效率来计算隐私集合交集。3.根据权利要求1所述的一种基于密钥协商的高效三方隐私集合求交方法，其特征在于，存在恶意攻击者，不按正常的协议步骤执行时，系统仍可以安全地计算出集合交集，并且允许任意两个参与方进行合谋，也不会泄露第三方除了交集以外的元素信息，提供了更高的安全性。4.一种基于密钥协商的高效三方隐私集合求交系统，其特征在于，包括：参与方...

【专利技术属性】
技术研发人员：魏立斐，张蕾，贺崇德，
申请(专利权)人：上海海洋大学，
类型：发明
国别省市：