[发明专利]一种同态加密隐私集合求交下的密文还原方法

说明书

本发明公开了一种同态加密隐私集合求交下的密文还原方法，对应已知现有邮票问题的对偶版本为：已知h＝2^L，M(h，A_k)＝m+1的前提下求解尽可能小的k以及对应的集合A_k。本发明实现了由较小数值的问题实例的解转化为较大数值的M(h，A_k)问题实例的解的方法，解决了较大数值下解空缺的问题，并且，所需储存的加和表达式总数仅为其与最优解情况下所需总数m相比，该方法可以大幅度节约储存成本。

技术领域

本发明涉及计算机软件领域，尤其涉及的是一种同态加密隐私集合求交下的密文还原方法。

背景技术

隐私集合求交是一种基于现代密码学的隐私计算技术，它允许各自持有相应数据集合的执行双方能够计算数据集的交集而同时保证各自数据集中交集以外的任何内容不会暴露给对方。能够实现隐私集合求交的密码学技术有多种，采用全同态加密为热门方法之一，特别是在执行双方的数据集大小较为不平衡的情况下,例如一方数据条目为千级，另一方为亿级。论文1(Resende AC D,Aranha D F.Faster unbalanced private setintersection[C]//International Conference on Financial Cryptography and DataSecurity.Springer,Berlin,Heidelberg,2018:203-22)1。

全同态加密的作用在于允许数据在加密状态下进行加、减、乘等操作，这使得私有数据外包计算成为可能。对于基于全同态加密的隐私集合求交应用场景而言，持有小集合数据方一般称为用户端，持有大集合数据方一般称为服务器端，具体操作流程简述如下：

1)用户端与服务器端共同协商全同态加密方案Scheme-FHE，并确定方案的相关公共参数pparams；

2)用户端根据协商所确定的Scheme-FHE和pparams，随机生成用于加密用户端数据的私钥sk，和用于密文同态计算的转化钥evk；

3)用户端将转化钥evk发送给服务器端，并安全储存私钥sk，确保sk不会泄露；

4)用户端通过私钥sk对用户端数据明文Y进行加密生成数据密文cY，并将cY发送给服务器端；

5)服务器端通过转化钥evk，服务器端数据明文X以及接收到的用户端数据密文cY，计算出求交结果密文cInsec，并将cInsec发送给用户端；

6)用户端通过私钥sk对密文cInsec进行解密，得到求交结果明文Insec，进而得出集合求交结果。

在以上隐私集合求交流程中，服务器端的数据X没有对外发出，保证用户端不会获得X中交集之外的内容；用户端的数据Y则是以加密后的密文cY的形式发送给服务器端，保证服务器端也不会得知Y中交集之外的任何信息；具体可以参考图1；在1)-6)执行完毕之后，用户端得到了X与Y的交集信息，用户端可直接通过一些安全传输手段(如对称加密)将交集信息发送给服务器端，但这就要求用户端必须完全诚实。然而，目前的一些隐私集合求交应用场景中(诸如数据对齐、隐私检索)，不需要数据集求交结果是双向的，即服务器端不需要获知求交结果。

在基于同态的隐私集合求交中，相交集合的确定是通过遍历每一个用户数据y，并判定其是否在服务器端的数据X＝{x₁，x₂，x₃，...，x_m}中存在相同数据来计算的。

更具体而言，计算表达式(y-x₁)(y-x₂)(y-x₃)...(y-x_m)的值，如果值为0，则证明该y位于交集中，否则不然。然而，在全同态加密的前提下，表达式中的y均为密文状态。