一种支持更新的隐私集合求交集势与和的方法及系统技术方案

本发明专利技术提出了一种支持更新的隐私集合求交集势与和的方法及系统，涉及隐私计算领域，客户端确定客户端的原始数据集与服务器端的增量数据集的第一交集，计算第一交集的势与和盲化值；客户端确定客户端的增量数据集与服务器端的完整数据集的第二交集，计算第二交集的势与和盲化值；客户端将第一交集的势与和盲化值和第二交集的势与和盲化值发送给服务器端，服务器端解盲化得到最终的完整势与和；本发明专利技术从基于DDH的PSI

【技术实现步骤摘要】
一种支持更新的隐私集合求交集势与和的方法及系统


[0001]本专利技术属于隐私计算领域，尤其涉及一种支持更新的隐私集合求交集势与和的方法及系统。

技术介绍

[0002]本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息，不必然构成在先技术。
[0003]隐私集合运算，是安全多方计算(secure multi
‑
party computation，MPC)领域的关键技术，可保护各方输入集合的隐私，完成集合运算操作，提供了“数据可用不可见”的安全流通模式，是解决当下“数据孤岛”问题的强有力密码工具。
[0004]隐私集合求交集势与和(private set intersection sum withcardinality，PSI
‑
card
‑
sum)是一种特殊的隐私集合运算协议，参与方各自拥有一组隐私集合数据，共同计算交集元素的个数和交集元素标签的和，并且不泄露其他任何信息；该问题在实际生活中有重要的应用场景，比如计算广告的实际效果：两个参与方分别持有包含用户标识符的数据集，其中一方还拥有与每个用户标识符相关的标签值数据集，双方希望在不透露其他任何有关他们隐私输入的前提下，获知他们共同拥有的标识符的数量以及与这些用户相关的标签值的总和，以评估广告的有效程度。
[0005]据专利技术人了解，目前的PSI
‑
card
‑
sum的实现方式主要包括：(1)基于判定性的Diffie
‑
Hellman(DDH)的PSI
‑
card
‑
sum实现方式；(2)基于不经意传输的PSI
‑
card
‑
sum实现方式；(3)基于加密布隆过滤器的PSI
‑
card
‑
sum实现方式；(4)基于乱码电路的PSI
‑
card
‑
sum实现方式。
[0006]然而，上述四种类型的PSI
‑
card
‑
sum方案缺陷在于没有考虑双方数据集更新的场景。即当双方各自更新(增加或删除元素)数据集时，每次需要对更新后的数据集执行新的隐私集合计算；在双方数据更新频繁或对现有数据集更新很小的情况下，这将造成极大的计算开销和通信开销。
[0007]因此，如何在双方数据集周期性更新的场景下设计出安全高效的PSI
‑
card
‑
sum方案，满足计算开销和通信开销均与每次更新的数据量线性相关，是目前该领域亟待解决的问题。

技术实现思路

[0008]为克服上述现有技术的不足，解决双方各自更新数据集后每次都需要对更新后的集合执行新的隐私集合计算造成较大的计算开销和通信开销问题，本专利技术提供了一种支持更新的隐私集合求交集势与和的方法及系统，从基于DDH的PSI
‑
card
‑
sum方案出发，结合全同态加密与多项式表示技术，提出在参与方数据集周期性更新场景下的PSI
‑
card
‑
sum方案，当参与方数据更新频繁或对现有数据集合更新很小的情况时，实现计算开销和通信开销均与每次更新的数据量线性相关而非整个数据集。
[0009]为实现上述目的，本专利技术的一个或多个实施例提供了如下技术方案：
[0010]本专利技术第一方面提供了一种支持更新的隐私集合求交集势与和的方法；
[0011]一种支持更新的隐私集合求交集势与和的方法，包括：
[0012]步骤S1：客户端确定客户端的原始数据集与服务器端的增量数据集的第一交集，计算第一交集的势与和盲化值；
[0013]步骤S2：客户端确定客户端的增量数据集与服务器端的完整数据集的第二交集，计算第二交集的势与和盲化值；
[0014]步骤S3：客户端将第一交集的势与和盲化值和第二交集的势与和盲化值发送给服务器端，服务器端解盲化得到最终的完整势与和。
[0015]进一步的，还包括，步骤S0：在开始计算势与和前，对系统参数进行初始化，具体为：
[0016]设置密钥空间和密码学哈希函数；
[0017]客户端和服务器端分别在密钥空间中随机选取第一秘钥和第二秘钥；
[0018]客户端通过全同态加密的密钥生成算法得到密钥对。
[0019]进一步的，所述步骤S1，具体为：
[0020]服务器端通过第二秘钥对服务器端的增量数据集进行加密得到第一集合，将第一集合发送给客户端；
[0021]客户端通过第一秘钥对收到的第一集合进行加密，得到第二集合；
[0022]服务器端将客户端的原始数据集进行置换操作，得到第三集合，并发送给客户端；
[0023]客户端比较第二集合和置换后的原始数据集得到第一交集的向量；
[0024]服务器端和客户端均调用不经意传输协议，服务器端随机选取第一模数并输入消息，客户端输入从第一交集的向量中选择的比特，客户端得到第一交集的势与和盲化值。
[0025]进一步的，所述步骤S2，具体为：
[0026]服务器端对服务器端的原始数据集和增量数据集进行插值多项式计算，得到第一多项式和第二多项式；
[0027]客户端计算客户端的增量数据集的密文，并发送给服务器端；
[0028]服务器端通过第一多项式和第二多项式对收到的增量数据集的密文进行计算，得到第一密态集合和第二密态集合，并将第一密态集合和第二密态集合置换后发送给客户端；
[0029]客户端解密第二密态集合得到第二交集的向量；
[0030]服务器端和客户端均调用不经意传输协议，服务器端随机选取第二模数并输入消息，客户端输入从第二交集的向量中选择的比特，客户端得到第二交集的势与和盲化值。
[0031]进一步的，所述步骤S3中，服务端根据选取的第一模数和第二模数，对客户端发送的第一交集的势与和盲化值和第二交集的势与和盲化值进行解盲，得到最终的完整势与和。
[0032]进一步的，还包括，步骤S4：得到完整势与和后，更新最终的原始数据集，具体为：
[0033]所述客户端通过选取的第一秘钥，对客户端的增量数据集进行加密，并发送给服务器端；
[0034]所述服务器端通过选取的第二秘钥，对收到的增量数据集密文进行加密，并对加
密后的数据集进行置换操作，置换完成后发送给客户端；
[0035]客户端将置换后的增量数据集与原始数据集进行合并操作，得到最终的原始数据集。
[0036]进一步的，在步骤S2中，还可以对第一密态集合和第二密态集合进行两方秘密分享而无需置换，使两方分别获得密文ct
1,i
解密后是否为0的分享值和ct
2,i
解密后是否为标签值的分享值，最后两方调用通用MPC协议计算得到两方交集的势与标签和。
[0037]本专利技术第二方面提供了一种支持更新本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种支持更新的隐私集合求交集势与和的方法，其特征在于，包括：步骤S1：客户端确定客户端的原始数据集与服务器端的增量数据集的第一交集，计算第一交集的势与和盲化值；步骤S2：客户端确定客户端的增量数据集与服务器端的完整数据集的第二交集，计算第二交集的势与和盲化值；步骤S3：客户端将第一交集的势与和盲化值和第二交集的势与和盲化值发送给服务器端，服务器端解盲化得到最终的完整势与和。2.如权利要求1所述的一种支持更新的隐私集合求交集势与和的方法，其特征在于，还包括，步骤S0：在开始计算势与和前，对系统参数进行初始化，具体为：设置密钥空间和密码学哈希函数；客户端和服务器端分别在密钥空间中随机选取第一秘钥和第二秘钥；客户端通过全同态加密的密钥生成算法得到密钥对。3.如权利要求1所述的一种支持更新的隐私集合求交集势与和的方法，其特征在于，所述步骤S1，具体为：服务器端通过第二秘钥对服务器端的增量数据集进行加密得到第一集合，将第一集合发送给客户端；客户端通过第一秘钥对收到的第一集合进行加密，得到第二集合；服务器端将客户端的原始数据集进行置换操作，得到第三集合，并发送给客户端；客户端比较第二集合和置换后的原始数据集得到第一交集的向量；服务器端和客户端均调用不经意传输协议，服务器端随机选取第一模数并输入消息，客户端输入从第一交集的向量中选择的比特，客户端得到第一交集的势与和盲化值。4.如权利要求1所述的一种支持更新的隐私集合求交集势与和的方法，其特征在于，所述步骤S2，具体为：服务器端对服务器端的原始数据集和增量数据集进行插值多项式计算，得到第一多项式和第二多项式；客户端计算客户端的增量数据集的密文，并发送给服务器端；服务器端通过第一多项式和第二多项式对收到的增量数据集的密文进行计算，得到第一密态集合和第二密态集合，并将第一密态集合和第二密态集合置换后发送给客户端；客户端解密第二密态集合得到第二交集的向量；服务器端和客户端均调用不经意传输协议，服务器端随机选取第二模数并输入消息，客户端输入从第二交集的向量中选择的比特，客户端得到第二交集的势与和盲化值。5.如权利要求1所述的一种支持更新的隐私集合求交集势与和...

【专利技术属性】
技术研发人员：张响鸰，涂彬彬，陈宇，
申请(专利权)人：山东大学，
类型：发明
国别省市：