可扩展多方私有集合交集

可扩展的多方私有集合交集

摘要

在大数据时代，可扩展性和灵活性对于隐私保护协议变得至关重要。私有集合交集（PSI）是重要的隐私保护协议之一。通常，PSI由两方执行，即一个客户端和一个服务器，其中客户端和服务器共同计算其私有集合的交集，最终只有客户端得知交集结果，而服务器得不到任何信息。然而从可扩展性的角度来看，参与方的数量不应局限于两个。在本文中，我们首次提出了一种可扩展且灵活的多方私有集合交集（MPSI）协议：每一方的数据大小相互独立，且计算复杂度与参与方数量无关。我们还首次提出了 d‐方及以上MPSI方案。

1 引言

在大数据时代，可扩展性和灵活性对于隐私保护协议变得至关重要。私有集合交集（PSI）是重要的隐私保护协议之一。PSI 由两方执行，即客户端和服务器，双方共同计算其私有集合的交集，最终只有客户端得知交集结果，而服务器一无所知。然而从可扩展性的角度来看，参与方的数量并不局限于两个，因此多方私有集合交集（MPSI）[8,14]变得尤为重要。但现有方案仍远未达到可扩展性要求：其计算复杂度依赖于参与方数量，且各方的数据大小必须相等，在 [14]和[8]中仅能计算交集的大致数量。

在本文中，我们提出了一种可扩展且灵活的MPSI：每一方的数据大小相互独立，且计算复杂度与参与方数量无关。此外，我们还为 d ≤ n提出了一种新的 d‐及以上多方位私有集合交集（d‐及以上MPSI）概念。 d‐及以上MPSI指的是安全地计算⋂ ≥d S j =⋃n≥≥d( S j1 ∩···∩Sj) ，其中 Si是Pi的集合。让我们考虑以下场景：在一个购物中心中有 n家商店Pi，其客户列表为 Si。这些商店希望互相促进客户数量，并计划开展一次促销活动。在该促销活动中，一个shopPi希望了解参加包括Pi在内的三个或更多商店交集的顾客，而不获取有关不在该交集中的顾客的任何信息。据作者所知，这样的可扩展MPSI尚未被提出。

本文组织如下。第2节总结了我们方案中使用的安全假设和构建模块。第 3节介绍了先前的研究成果。接着，在第 n节中研究了4个参与方情况下的集合操作之后，我们在第 d节提出了MPSI及5方以上MPSI的具体方案。与先前 MPSI[14]方案的比较结果在第6节中给出。

2 预备知识

本节总结了我们方案中使用的安全假设和构建模块。

2.1 安全假设

我们描述两种标准的敌手模型[10]：半诚实敌手和恶意敌手。在半诚实敌手模型中，所有参与方均按照协议规定的步骤执行操作。如果一个协议在半诚实模型下是安全的，那么任何参与方都无法获得关于其他参与方私有输入集合的额外信息，除非这些信息可以从协议结果中推导出来。另一方面，在恶意敌手模型中，敌手参与方可任意行为。特别是，我们无法阻止恶意参与方拒绝参与协议、使用任意值替换其输入，或提前中断协议的执行。

我们的协议中使用的安全假设定义如下。

定义1（DDH假设） 。设 Fp为一个有限域， g ∈ Fp具有素数阶 q，且 q的大小为 。若对于任意高效算法 A，存在 ε> 0使得以下概率成立： |Pr [x, y ←{0, 1}: A(g, g x, gy, g xy)= 1] − Pr[x, y, z ←{0, 1}: A(g, g x, gy, g z) = 1]| < ε，则称DDH（判定性Diffie-Hellman）问题在 G中是困难的。

2.2 布隆过滤器

布隆过滤器[2],，记为BF，是一种节省空间的概率数据结构，用于测试某个元素 x 是否包含在集合 S中。可能出现误报匹配，但不会出现漏报，因此布隆过滤器的召回率为100%。元素可以被添加到集合中，但不能被删除。布隆过滤器是一个由 m 位组成的数组，最多可表示包含 w个元素的集合 S。布隆过滤器使用一组 k个独立的均匀哈希函数 H={H0,…, Hk−1}，其中 Hi：{0, 1} ∗ −→{0, 1,···, m−1}( 0 ≤ ∀i ≤ k −1)。此后，我们将参数为(m, k)并编码集合 S的布隆过滤器表示为BFm, k(S)。下面解释const.BF（见算法1）如何构造BF：

输出BFm,k(S)作为集合 S的输入。最初，数组中的所有位都被设置为0。要将元素 x ∈ S插入过滤器中， 需使用 k个哈希函数对该元素进行哈希运算，得到 k个索引号。将这些索引位置的位设置为1，即设置BFm, k[Hi(x)]= 1 ，其中 0 ≤ i ≤ k − 1。为了检查项目 y是否在 S中，我们执行check.BF（见算法 2）： y通过 k个哈希函数进行哈希运算，并检查 y被哈希到的所有位置。如果其中任意位置的位为0，则 y不在 S中；否则 y很可能在 S中。然而，可能发生误报，即 y实际上不在集合 S中，但所有BF[Hi(y)]均被设置为1。误报概率 p为[3]： p={1 −(1 − 1 m)kw} k ≈{1 − e−kw/m}k.对于给定的 m和 w，使误报概率最小的 k值为： k= m w ln2。当 e−kw/m= 1/2时，误报概率 p=(1/2) k ≈(0.6185)m/w。对于集合 S的布隆过滤器中0位的数量 z在其期望 m(1−1/m)k|S|[3]附近高度集中。因此，给定 z、 m和 k，S的大小近似为 |S| = ln(z/m) k ln(1−1/m).

算法1。const.BF(S)
要求：一个集合 S
确保： 一个布隆过滤器 BFm，k(S)
1: 对于 i= 0到 m−1执行
2: BFm,k[i] ← 0
3:结束循环 4:对所有 x ∈ S 执行
5:对 i= 0到 k −1 执行
6: j= Hi(x)
7:如果 BFm,k[j]= 0，则
8: BFm,k[j] ← 1 9: 结束如果
10:结束循环
11:结束循环

算法2。check.BF(BF Sq)
要求： 一个布隆过滤器 BFm，k(S)，一个集合 Sq
确保：一个集合 S∩(= S ∩ Sq) 1：生成空集 S∩={}
2: 对于 所有 x ∈ Sq do
3:对于 i= 0到 k−1 执行
4: j= Hi(x)
5:结束循环 6:如果all BFm,k[j]= 1，那么
7:将 x 添加到集合 S∩ 中
8:结束如果
9:结束循环

2.3 加法同态加密

加法同态加密是处理加密数据的重要工具。一种典型的加法同态加密是 Paillier加密[16]。在我们的方案中，加法同态加密用于匹配，因此指数 ElGamal加密 [4]已足够且比Paillier加密更高效。实际上，ex‐ElGamal的解密结果可以区分两条消息 m1和 m2是否相等，尽管它无法直接解密消息本身。此外，ex‐ElGamal可扩展为分布式解密，其中 n参与方 Pi（1 ≤ i ≤ n）联合解密，该过程包含三个函数：

密钥生成：
设 F p 是一个具有素数阶 q 的有限域。每个参与方选择 xi ∈ Z q 随机计算 yi= gxi(mod p)，则 y=∏n i=1 yi(mod p) 为一个公钥，每个 xi 是参与方用于解密密文的份额。

加密：Enc[m] →(u, v)
对于消息 m ∈ Zq 和公钥 y，随机选择 r ∈ Zq，计算 u= gr(mod p) 和 v= gmyr(mod p)，然后输出 (u, v) 作为 m 的密文。

解密：dis.Dec [(u, v)] → gm
各方共同计算 zi= uxi(mod p) 和 z= ∏n i=1 zi(mod p)，并解密密文为 gm= v/z (mod扩 p)。扩展ElGamal加密及其上述分布式版本具有以下特性：（1）对消息 m1, m2 ∈ Zp的加法同态性：Enc(m1)Enc(m2) = Enc(m1+ m2)。（2）对消息 m 和k ∈ Zq的标量同态性：Enc(m)k= Enc(km)。

3 先前工作

本节概述了服务器与客户端之间的私有集合交集以及 n方之间的MPSI的先前工作。在 PSI中，设服务器和客户端的数据集分别为 S={s1,…, sv}和 C={c1,…, cw}，其中 |S| = v和 |C| = w。在MPSI中，为简化起见，我们假设每一方的集合大小相等。

基于多项式求值的PSI协议： 主要思想是将 C中的元素表示为多项式的根，并将其加密的多项式发送给服务器；然后在 S中的元素上进行求值，该方法由弗里德曼[9]首次提出。在公钥加密下，该方法对半诚实敌手是安全的。其计算复杂度为 O(vw)次指数运算，通信复杂度为 O(v+ w)。通过使用平衡分配技术 [1]，可将计算复杂度降低至 O(v log log w)次指数运算。基斯纳和宋将该协议扩展到MPSI[14]。其计算复杂度为 O(nw2)次指数运算，通信复杂度为 O(nw)，并且在随机预言模型下利用通用零知识证明可抵御半诚实和恶意敌手。

基于DDH的PSI协议： 主要思想是应用DDH假设[6]：在将每个数据表示为哈希值{h(si)}和{h(ci)}之后，客户端发送一组由随机数 ri加密的{h(ci) r i}；服务器返回{h(ci) rr i}和{h(si) r}，其中使用随机数 r，最后客户端通过解密得到{h(ci) r}来计算 S∩C。该方案在DDH假设下对半诚实敌手是安全的。总的计算复杂度为 O(v+ w)次指数运算，总通信复杂度为 O(v+ w)。在随机预言模型中，通过使用盲签名，其安全性可提升至抵抗恶意敌手[5] 。然而，目前尚未提出基于DDH的MPSI扩展方案。

PSI Protocol Based on Bloom Filter: 基于布隆过滤器的PSI协议首次在[15]中提出，仅通过执行服务器布隆过滤器的AND操作即可实现以及客户端。然而，该协议并不安全，因为布隆过滤器本身会泄露关于另一方集合的信息。在[13],中，通过将布隆过滤器与戈德瓦塞尔‐米卡利加密[11]相结合来增强安全性。在半诚实模型下，计算复杂度为 O(kw)次哈希操作和 O(m)次公钥操作，通信复杂度为 O(m)，其中(m, k)是布隆过滤器的参数。另一种协议结合了布隆过滤器、不经意传输扩展[12,17],以及新构造的混淆布隆过滤器[7]。布隆过滤器与混淆布隆过滤器的主要区别在于，布隆过滤器是一个1位数组，而混淆布隆过滤器是一个 λ‐位数组。要将元素 x ∈ S添加到混淆布隆过滤器中，需使用基于异或的秘密共享(x= x1⊕…⊕ xk)将 x拆分为 k个每份λ位的份额，并映射 xi到 Hi(x)的一个索引位置。要查询元素 y，需将 Hi(y)处的所有比特串进行异或运算，如果结果为 y，则 y在 S中，否则 y不在 S中。客户端使用布隆过滤器BF(C)，服务器使用混淆布隆过滤器GBF(S)。因此，若元素 x在 C∩ S 中，则对于其哈希到的每一个位置 i，BF(C)[i]必须为1且GBF(S)[i]必须为 xi。于是客户端执行评估 C ∩ S。其计算复杂度为 O(kw)次哈希操作和 O(m)次公钥操作，通信复杂度为 O(m)，其中通过使用不经意传输扩展，公钥操作的数量可降低至 O(λ)。该方案在安全不经意传输协议下可抵御半诚实敌手。另一项研究计算了多方集合并集的近似数量[8]。然而，已有基于布隆过滤器的 MPSI被提出。

4 多方集合交集

我们研究在 n方参与的情况下需要哪些集合运算。让我们考察以下场景：存在 n个医疗机构Pi，其患者名单为 Si。患者通常会使用多家医疗机构。每个医疗机构Pi希望找出共同患者，但不掌握不在 Si中的任何患者信息。也就是说， P1希望了解使用包括Pi在内的两家及以上医疗机构的患者，同时不掌握不属于Pi的任何患者信息，该集合记为 ∩≥ 2Sj[1]。

让我们形式化 n 方的交集。正如我们在上述场景中所见，所有参与方的交集以及 d‐方及以上的交集对于 ∀d(≤ n) 是必要的，它们分别称为 MPSI 和 d-and-over MPSI。这里， d‐方及以上多方集合交集用 ⋂ ≥d S j = ⋃n≥≥d( S j 1 ∩ ··· ∩ S j) .表示。例如，给定 4 个参与方的集合 S1={g, h, i, j, f, n, o, k}、 S2={a, h, n, m, b, i, o, }, S3={f, n, o, k, e, m, l, d} 和 S4={b, i, o, l, c, j, k, d}。则 MPSI 为 {o}；三方及以上多方集合交集由 ⋂ 3 Si={i, k, , n, o} 给出。然后，将三方及以上多方集合交集的结果分别提供给每个 Pi，结果分别为 ∩ ≥3S j[1]={i, k, n, o}、 ∩ ≥3S j[2]={i, , n, o}, ∩ ≥3S j[3]={k, , n, o}, 和 ∩ ≥3S j[4]={i, k, , o}。

让我们讨论如何实现MPSI以及 d方及以上的MPSI。如果我们应用PSI来实现 MPSI，其计算和通信复杂度似乎会依赖于参与方数量，这正是[14]所发生的情况。另一方面，如果我们应用MPSI来实现 d方及以上的MPSI，我们将需要执行MPSI操作 nCd次，这相当浪费。因此，有必要直接在MPSI上构建MPSI和 d，以及在MPSI上进行 d与运算。另一方面，MPSI及 d‐与‐过MPSI上的隐私问题非正式地如下所述。

MPSI 隐私： 如果任意参与方Pi无法获知关于其他方集合中除∩Sj.d中元素外的信息

d‐and‐over MPSI 隐私： 一种 d‐ and‐over MPSI 方案是参与方隐私 如果 任意一方Pi除了 ∩≥dSj[i]中的元素外，无法获知其他参与方集合中任何元素的信息。

5 可扩展的多方私有集合交集

在简要描述协议直觉之后，我们将介绍MPSI和 d‐and‐over MPSI的我们的方案。

5.1 协议思路

以下符号用于我们的两个协议中。

– Pi：第 i方，参与方数量为 n
– D：不掌握输入或输出信息的分发者
– Si={si,1, si,2,···, si,wi}：Pi的集合，其中 |Si| = ωi
– ∩Sj或 ∩≥dSj：所有或 d个及以上参与方的交集，共 n方
– ∩≥dS[i]：由Pi持有的 d个及以上参与方的交集， ∩≥dS ⊂ Si
– Enc/dis.Dec：所有Pi执行的分布式ex‐ElGamal加密/解密
– m：布隆过滤器的大小
– H={H0,…, Hk−1}：布隆过滤器中使用的哈希函数集合，其中 k为哈希函数的数量
– = ,···, ：一个 m维数组，数组中的所有字符串均设置为
– BFm,k(Si)=[BFi[0],···,BF i[m−1]]：集合 Si上的布隆过滤器
– IBFm,k(∪Si)=[∑ n i=1 BFi[0],···,∑ n i=1 BFi[m − 1]]： n个集合{Si}的集成布隆过滤器，其中 ∑ n i=1BFi[j]表示所有参与方数组的总和
– IBFm,k(∪Si)\ = ∑ i=1 BFi[0] − ,···,∑ n i=1 BF i[m − 1] − ：从IBFm,{v55}(∪Si)中进行次减法操作的结果

我们的方案对参与方的数据大小是灵活的，因此每个参与方的数据大小相互独立。我们引入一个分发者D以降低各参与方的计算复杂度。D可以外包，因为它对 Si或 |Si|一无所知。采用一种在 n方之间的分布式ex‐ElGamal加密，以在不泄露 Si本身的情况下完成所有计算，并在最后共同进行解密。在两个协议中，每个Pi为集合 Si构造布隆过滤器m,k(Si)，并使用Enc对每个数组进行加密。所有加密后的布隆过滤器由分发者D在不解密的情况下安全地相加。这些过程在MPSI和 d方及以上的MPSI中均被执行。在MPSI中，D对IBFm的随机化减法 n,k(∪Si)、 r(IBFm,k(∪Si)\n)进行加密。如果 x ∈ ∩Si，则加密数组中由 k个哈希函数将 x映射到的相应数组位置的值是0的加密形式；否则为随机化值的加密。在 d‐及以上的MPSI中，D计算 减法的随机化加密，即 r(IBFm,k({v2})\ ) 对于 d ≤ ≤ n。如果x ∈ ∩S对于 d ≤ ∃ ≤ n,，布隆过滤器IBFm,k(∪Si)\ j中由 k个哈希函数映射的相应数组位置 x是0的加密；否则为随机化值的加密。与MPSI的一个不同之处在于，即使 x ∈ ∩S，布隆过滤器IBFm,k(∪Si)\中的相应数组位置也不必然是0的加密。

5.2 MPSI和 d及以上MPSI

首先，我们提出MPSI，MPSI包含4个阶段：初始化、Pi的布隆过滤器构建、D对IBFm,k (∪Si)的加密减法运算，以及最后Pi的MPSI计算。作为系统参数，提供一个有限域 Fp 和一个阶为 q的基点 g ∈ Fp ，用于分布式ex‐ElGamal加密（Enc, dis.Dec），这些参数提供给Pi和D，但const.BF(S)和check.BF(BF Sq)仅提供给Pi。当我们对一个向量（例如布隆过滤器BFm,k=[a0,···, am−1]）进行加密或随机化时，每个位置被独立地加密或随机化：Enc(BFm,k)=[Enc(a0) ···,Enc(am−1)]或 rBFm,k= [r0a0,···, rm−1am−1]分别通过 r=[r0,···, rm−1] ∈ Zmq实现。

初始化： Pi执行以下操作：
1. 生成一个密钥 xi ∈ Zq 并计算公钥 yi= gxi ∈ Zq，然后将 yi 广播给其他参与方。
2. 计算一个 n 方公钥 y=∏i yi，其对应的密钥为 x=∑ xi。

布隆过滤器m,k(Si) 构造： Pi执行以下操作：
1. 对const.BFm,k(Si) −→BFm,k(Si)=[BFi[0],···, BFi[m−1]]执行算法1。
2. 使用公钥 y对BFm,k(Si)的每个数组进行加密：Ency(BFm,k(Si))=[Ency (BFi[0]) ···, Ency(BFi[m−1])]。
3. 将Ency(BFm,k(Si))发送给D。

E n的加密 ‐ IBFm,k(∪Si) 的减法： 不掌握输入或输出信息的分发者 执行以下操作:
1. 在不知道 IBFm,k(∪Si) 的情况下，通过 Ency 加密 IBFm,k(∪Si)，如下所示： Ency(IBFm,k(∪Si))=∏ n y(BFm,k(Si))。
2. 使用 r=[r0,···, rm−1] ∈ Z m q 对 IBFm,k(∪Si) 进行随机化并加密：Ency(r(IBFm,k (∪Si)\n))=(Ency(IBFm,k(∪Si)) ·Ency(−n))r，其中 Ency(−n)=[Ency( −n) ···, Ency(−n)]。
3. 将 Ency(r(IBFm,k(∪Si)\n)) 广播给 Pi。

MPSI 计算： Pi执行以下操作：
1. 所有 Pi联合解密 Ency(r(IBFm,k(∪Si)\n))。
2. 执行 check.BFm,k(r (IBFm,k(∪Si)\n) Si) −→ ∩Si并输出 ∩Si。

MPSI的正确性源于以下事实：如果一个元素 x包含在∩Si中，则其在Ency(r (IBFm,k(∪Si)\n))中由 k个哈希函数映射到的数组位置为对0的加密，该加密值将被解密为1；否则为对随机化值的加密。

接下来，我们介绍 d‐及以上的MPSI。 d‐及以上的MPSI的流程与MPSI相同，直到 D计算Ency(IBFm,k(∪Si))为止。因此，我们从D计算Ency(IBFm,k(∪Si))之后开始描述。

E 减法的加密 IBFm,k(∪Si)： 不掌握输入或输出信息的分发者 执行以下操作 g:
1. 使用 r=[r0,···, rm−1] ∈ Zm q(d ≤ ≤ n) 随机化的 IBFm,k(∪Si)\ 进行加密：Ency (r(IBFm,k(∪Si)\ ))=(Ency(IBFm,k(∪Si)) ·Ency(−))r.
2. 将 {Ency(r(IBFm,k(∪Si)\ ))}(d ≤ ≤ n) 广播给 Pi。

d‐且以上的 MPSI 计算： Pi执行以下操作：
1. 所有Pi联合解密 {Ency(r(IBFm,k(∪Si)\ ))}。
2. 设CBF为一个 m‐数组，用于 d ≤ ≤ n,，其中若 rIBFm,k(∪Si)\ 的对应数组为1，则该数组置为1，否则置为0。
3. 设置CBF = CBF ∨··· ∨ CBFn。
4. 执行check.BFm,k( CBF Si) −→ ∩≥dS[i]并输出 ∩≥dS[i]。

d‐and‐over MPSI 的正确性基于以下事实：如果一个元素 x ∈ ∩S 对于 d ≤ ∃ ≤ n,，其在 IBFm,k(∪Si)\j 中对应的数组位置对于 ≤ ∃j ≤n 被 k 个哈希函数映射为0 的加密值，则解密结果为1；否则为随机化值的加密。

两个协议的安全性如下所述，其证明将在最终的论文中给出。

定理 1. 如果判定性Diffie-Hellman假设成立，那么MPSI和 d-and-over都对半诚实敌手是安全的。

6 比较

表 1比较了我们的协议与[14]在计算和通信复杂度方面的表现。每个协议在各自所采用的公钥加密方案的安全假设下，均对半诚实敌手安全，且不依赖可信第三方：[14]使用Paillier加密（判定性合数剩余(DCR)），而我们的协议使用 ex‐ElGamal加密（DDH）。我们协议中使用的布隆过滤器参数(m, k)设置如下： k= 80且 m= 80ω/ ln 2，其中ω为最大 |Si| = ωi。此时，误报概率由 p= 2−80给出。Pi的主导计算复杂度为布隆过滤器构建以及MPSI或 d‐ and‐over MPSI计算，其复杂度为 O(ωi)，且与参与方数量无关，这与[14]不同。D的主导计算复杂度为IBF的 n‐次减法运算,k(∪Si)，其在MPSI和 d‐and‐over MPSI中均为 O(nω)。我们的方案对参与方的数据大小是灵活的，因此各参与方的数据大小彼此独立。文献[8]中提出了一种利用布隆过滤器特性来计算 MPSI近似数量的方法。我们的协议可轻松转换以计算 | ∩ S j| 或| ∩ ≥d S[i]|的近似数量。

表1. MPSI比较

协议	[14]	[14]	[14]	[14]	我们的协议	我们的协议	我们的协议	我们的协议	我们的协议
计算复杂度	O(nω²)	O(nω²)	O(nω²)	O(nω²)	Pi: O(ωi), D: O(nω)	Pi: O(ωi), D: O(nω)	Pi: O(ωi), D: O(nω)	Pi: O(ωi), D: O(nω)	Pi: O(ωi), D: O(nω)
通信复杂度	O(nω)	O(nω)	O(nω)	O(nω)	O(nω)	O(nω)	O(nω)	O(nω)	O(nω)
输入数据数量	|S₁|=…=|Sn|	|S₁|=…=|Sn|	|S₁|=…=|Sn|	|S₁|=…=|Sn|	any |S₁|,…, |Sn|	any |S₁|,…, |Sn|	any |S₁|,…, |Sn|	any |S₁|,…, |Sn|	any |S₁|,…, |Sn|

7 结论

在本文中，我们提出了一种可扩展且灵活的多方PSI（MPSI）。我们还提出了一种新的 d‐and‐over MPSI概念，并给出了一个具体的协议。我们的方案是灵活的：每一方的数据大小相互独立。我们引入了一个分发者D来降低各参与方的计算复杂度，该分发者与可信第三方相反，不掌握任何关于输入或输出（包括其大小）的信息，因此可以被外包。得益于D，Pi的计算复杂度为 O(ωi)，这与参与方数量无关，不同于[14]。