基于隐私计算的行程轨迹求交方案的性能研究

第50卷第4期
2023年
北京化工大学学报(自然科学版)
Journal of Beijing University of Chemical Technology (Natural Science)
Vol.50,No.4
2023
引用格式:陈聘之,李辉.基于隐私计算的行程轨迹求交方案的性能研究[J].北京化工大学学报(自然科学版),2023,50(4):
42-49.
CHEN PinZhi,LI Hui.Performance of a travel path intersection scheme based on privacy computing[J].Journal of Beijing University of Chemical Technology (Natural Science),2023,50(4):42-49.
基于隐私计算的行程轨迹求交方案的性能研究
陈聘之　李　辉*
(北京化工大学信息科学与技术学院,北京　100029)
摘　要:云计算㊁大数据㊁物联网及人工智能等技术的快速发展在给人们生活带来便利的同时,也造成隐私泄露和信息滥用等问题,因此在不泄露行程轨迹的情况下对行程轨迹求交问题具有重要的现实意义㊂提出两种多维行程轨迹数据集隐私集合求交方案,并进行了性能分析实验验证㊂实验结果表明,基于Rivest -Shamir -Adleman(RSA)公钥密码体制的隐私集合求交方法具有较高的运算效率,而基于Ben⁃Or -Goldwasser -Wigderson(BGW)秘密共享的隐私集合求交方法支持更复杂的运算,从而可实现近似求交㊂由此提出结合两方法特点㊁取长补短的综合方案㊂关键词:Rivest -Shamir -Adleman(RSA);秘密共享;隐私集合求交;行程轨迹;多维数据中图分类号:TP309 DOI :10.13543/j.bhxbzr.2023.04.006
收稿日期:2022-04-07
基金项目:教育部人文社会科学研究规划基金(21YJAZH040)第一作者:女,2000年生,本科生*通信联系人
E⁃mail:ray@
引　言
近年来,云计算㊁大数据㊁物联网及人工智能等技术高速发展,在给人们生活带来便利的同时,也使得隐私保护越来越困难[1-3]㊂在新型冠状病毒肺炎疫情爆发期间,越来越多感染者的行程轨迹数据被公开,这对他们的生活造成一定困扰㊂例如,一位成都女孩因行程轨迹涉及多家酒吧而遭到网暴,被贴上一些不雅标签[4]㊂因此,在不泄露行程轨迹的情况下对行程轨迹进行求交成为一种迫切需求㊂
隐私集合求交(private set intersection,PSI)[1]是指多个参与方能够得到数据集合的交集而不暴露除交集外的其他信息,可以用来解决上述隐私泄露问题㊂已有许多学者使用各种方法来实现隐私集合求交,如公钥加密机制[5-6]㊁混乱电路[7-9]㊁不经意传输[10-11]㊁秘密共享[12-17]等㊂基于公钥加密机制的隐私集合求交协议主要包括基于Diffie -Hellmann 密钥协商的PSI 方案[6]和基于Rivest -Shamir -Adleman(RSA)公钥密码体制的PSI 方案[5]㊂秘密
共享方案由Shamir [12]和Blakley [13]在1979年各自独立提出,分别基于拉格朗日插值法和线性几何投影性质㊂Ben⁃Or 等[14]在1988年提出基于Shamir 秘密共享方案的Ben⁃Or -Goldwasser -Wigderson (BGW)方法,支持加法㊁数乘和乘法运算㊂此外,其他研究者也提出了不同的秘密共享实现方法,如基于中国剩余定理的秘密共享[15]㊁可验证的秘密共享[16]和可公开验证的秘密共享[17]等㊂
尽管上述方法各不相同,但大多都是将集合元素视为一维整数,关于多维元素集合的隐私集合求交问题研究较少[18]㊂事实上,日常生活中关于多维元素的隐私集合求交应用广泛㊂例如,上文提到的行程轨迹求交问题以及空间中的点集求交问题都是多维元素隐私集合求交的应用;又如,保险公司规定曾经有过某几种疾病史的客户不能购买疾病险,保险公司将客户信息和规定的几种疾病与医院数据库进行求交[18]也是一种应用㊂
由于多维数据集合求交问题具有广泛的应用场景,本文基于两种PSI 协议提出实现三维行程轨迹数据集的求交方案,将三维数据转换为一维整数,以解决多维行程轨迹数据集隐私集合求交问题㊂在对计算速度要求比较高或数据粗粒度的情况下,使用基于RSA 公钥密码体制的隐私集合求交方法,该方法在运算效率方面有明显优势;而在数据粒度较细且对计算速度要求较低的情况下,使用基于BGW
秘密共享的隐私集合求交方法对集合元素求差㊂如果两个元素之差小于一定阈值,则认为它们相等,阈值大小取决于数据粒度㊂
1　隐私集合求交
1.1　基于RSA的隐私集合求交
1.1.1　RSA算法
在1976年以前,所有的加密方法都使用对称加密,即加密和解密使用相同的密钥㊂1976年,Diffie 和Hellman[19]提出一种新的加密模式,即加密和解密使用不同的密钥的公钥密码体制㊂
1978年,Rivest等[20]设计了一种基于大素数因式分解困难性的加密算法 RSA算法㊂RSA算法基于一个事实,即两个大素数相乘十分容易,但对其乘积进行因式分解却十分困难㊂
RSA算法会产生3个整数N㊁e㊁d,其中N是两个大素数p和q的乘积㊂N㊁e㊁d具有如下关系:ed≡1modφ(N),其中φ(N)是N的欧拉函数值,φ(N)= (p-1)(q-1);(N,e)构成公钥,对外公开;(N,d)构成私钥,d不对外公开㊂
1.1.2　RSA算法的安全性
只要能对N进行因式分解,得到p和q,就可以根据p和q求出φ(N),且由于公钥(N,e)是公开的,可以根据e和φ(N)求出d㊂当攻击者截获密文C之后,再对N进行因式分解,就可以求出明文M㊂RSA的安全性是建立在因式分解难题的基础上的㊂迄今为止,仍未找到一种大整数因式分解的多项式算法[21]㊂目前破译大整数因式分解问题主要依赖于现代计算机技术,低位数的大素数因式分解问题已不再困难[21]㊂不过,因式分解所需时间随密钥长度的增加呈指数级增长㊂因此,当密钥长度较长时,RSA算法的安全性仍能得到保障㊂本文在实现基于RSA公钥密码体制的隐私集合求交方法[5]时,将N的位数设为2048位㊂
1.1.3　基于RSA公钥密码体制的隐私集合求交方法设Alice拥有集合X={x1,x2, ,x v},Bob拥有集合Y={y1,y2, ,y w}㊂Bob通过RSA获得公钥(N,e)和私钥(N,d),并将公钥(N,e)发送给Alice㊂设H()和H′()是两个公开的哈希函数,其中H:{0, 1}*→Z*n,H′:{0,1}*→{0,1}τ㊂
离线阶段:
(1)对集合X中的每个元素x i,Alice获得随机数r i(r i是(0,N)内的正整数且与N互质,如果r i与N不互质,后续求r i相对于N的模逆可能不唯一或者不存在)并计算u i=(r i)e㊃H(x i)mod N,这一步中r i的作用是加盲干扰,保护H(x i);
(2)Bob对集合Y中的每个元素y j,计算t bj= H′(H(y j)d mod N);
在线阶段:
(3)Alice将集合U={u1,u2, ,u v}发送给Bob;
(4)Bob对每个u i,计算u i′=(u i)d mod N,使u i′= (r i)ed㊃H(x i)d mod N=r i H(x i)d mod N;之后,将U′= {u1′,u2′, ,u v′}以及T b={t b1,t b2, ,t bw}发送给Alice;
(5)Alice计算t ai,t ai=H′(r i H(x i)d/r i mod N)= H′(H(x i)d mod N)=H′(u i′/r i mod N),这一步中/r i 的操作在实际编程过程中等同于乘以r i的逆元㊂之后,对集合T a={t a1,t a2, ,t av}和T b={t b1,t b2, ,t bw}求交得到的即为X和Y的交集㊂
在上述过程中,t ai=H′(H(x i)d mod N),t bj= H′(H(y j)d mod N),如果x i=y j,则t ai=t bj;但如果t ai=t bj,x i不一定等于y j㊂因为H()是全域哈希函数,那么当x i≠y j时,H(x i)和H(y j)有极小的概率相等㊂这个概率极小,因此可忽略㊂基于RSA公钥密码体制的隐私集合求交方法流程图如图1所示
㊂
图1　基于RSA公钥密码体制的隐私集合求交方法Fig.1　Private set intersection method based on an RSA public⁃key cryptosystem
1.2　基于BGW的隐私集合求交
1.2.1　Shamir秘密共享
BGW方法[14]依赖于Shamir秘密共享[12],巧妙地利用Shamir秘密共享的同态性,即对各个秘密份
㊃34㊃
第4期 陈聘之等:基于隐私计算的行程轨迹求交方案的性能研究
额进行处理,就可以在秘密份额上实现安全计算㊂
Shamir 秘密共享是基于多项式插值法构造的
(t ,n )门限秘密共享方案:n 个人分别持有秘密的一部分,只有当t 或t 以上个人共享他们的秘密时才可以恢复秘密,任何小于t 个人的情况都不能得到任
何关于秘密的信息㊂
BGW 秘密共享(图2)可以分为两个步骤:1)秘
密分享将秘密分成n 个份额,每个参与者获得其中的一份㊂数据提供方生成一个随机多项式f (x )=s +a 1x +a 2x 2+ +a t -1x t -1mod p ,其中s 是秘密值,p 是比s 和n 都大的素数㊂然后选择n 个随机值α1,α2, ,αn ,将(αi ,f (αi ))作为秘密份额发送给第i 个参与者P i ㊂2)秘密重构　秘密重构是指任何t 个参与者共享自己的秘密份额,从而重构出秘密㊂任意t 个参与者利用其手中的秘密份额(αi ,f (αi )),就可以通过多项式插值重构出f (x ),然后计算f (0)得到秘密s
㊂
图2　BGW 秘密分享与重构
Fig.2　Secret sharing and reconstruction of BGW protocol
1.2.2　加法重构
假设有两个秘密a 和b ,已经通过随机多项式f (x )和g (x )利用Shamir 门限体制共享给了各个参与者,第i 个参与者P i 获得秘密份额(αi ,f (αi ))以及(αi ,g (αi )),要恢复出秘密a +b ,每个参与者P i 分别计算自己的f (αi )+g (αi ),即为a +b 的秘密份额㊂恢复a +b 只需重构多项式h (x )=f (x )+g (x ),然后计算h (0)即可㊂加法重构过程如图3所示㊂
1.2.3　基于加法重构实现隐私集合求交
假设Alice 拥有集合X ,Bob 拥有集合Y ,对两个集合进行隐私集合求交,只需将Alice 和Bob 其中一方集合中的元素变为其相反数㊂假设将集合Y 中的每个元素y j 转变为其相反数-y j 作为输入,那么对于X 中的任一元素x i ,其与-y j
进行加法重构
图3　加法重构
Fig.3　Additive homomorphism
后将得到x i +(-y j )=x i -y j ,即两个元素的差㊂如果x i -y j 的结果为0或x i -y j 的绝对值小于一定的阈值,那么x i =y j ㊂
2　实现行程轨迹的隐私集合求交
2.1　多维数据处理为一维整数
行程轨迹的数据包括两部分信息:时间和位置㊂位置可以通过邮政编码或经纬度来表示,因此行程轨迹数据是二维(时间,邮政编码)或三维(时间,经度,纬度)数据㊂本文采用三维数据(时间,经度,纬度)㊂
对行程轨迹的隐私集合求交需要解决如下问题:有两个数据集合X 和Y ,集合中的每个元素都是一个三维数据;要在不泄露除交集以外信息的情况下对两个集合求交,两个集合中的元素相等当且仅当元素对应的每一维相等或小于一定阈值㊂解决思
路是对集合中的数据进行处理,将三维数据(x 1i ,x 2
i ,x 3i )和(y 1j ,y 2j ,y 3j )转换成一维数据x′i 和y′j ,当且仅当x 1i =y 1j ,x 2i =y 2j ,x 3i =y 3j 时,x′i =y′j ㊂可以对数据进行
简单的拼接,减少维数,增加数据长度,然后对x′i 和y′j 形成的数据集X′和Y′用第1节中所述方法进行隐私集合求交㊂
本文实验测试过程中为进行算法比较选取阈值为0,即精准求交,表1是转换后的一维数据的形式,举例说明如下㊂
表1　转换后的一维数据格式
Table 1　Converted one⁃dimensional data format
时间北纬(1)/南纬(0)
纬度东经(1)/西经(0)
经度1325
11122
1115450636210
067541
01305
(1)时间hhmmss(时分秒)格式,范围[000000,
240000);
㊃44㊃北京化工大学学报(自然科学版) 2023年
(2)纬度ddmm.mmmm(度分)格式,范围[-9000.0000,9000.0000),0°~90°属于北纬, -90°~0°属于南纬;
(3)经度dddmm.mmmm(度分)格式,范围[-18000.0000,18000.0000),0°~180°属于东经,-180°~0°属于西经㊂
选取恰当的时间和经纬度长度,舍弃末尾多余的数据,并且将小数数据乘以10m,将其由小数转换为整数,用0/1来区分北纬南纬和东经西经,最后将数据拼接成表1所示的格式㊂例如,本文数据选取6位时间hhmmss㊁5位纬度ddmm.m和6位经度dddmm.m构成的数据集,不忽略前导0,将经纬度都乘以10从而转换为整数,再加上表示经纬度方向的两位数据,形成长度为19位的数据㊂表1的第一行数据表示时间为13时25分,北纬11°22′,东经115°45′㊂
2.2　数据构造
本文通过随机漫步[22]模拟行程轨迹,具体步骤如下:
(1)设每经过t单位时间对行程轨迹进行一次采样,在t单位时间内,行程轨迹在经纬度方向上变化为a;
(2)确定数据集大小n以及时间和经纬度范围,随机生成初始时间和经纬度;
(3)生成符合高斯分布并且与数据集大小相同的两个数组;
(4)生成数据,上一个数据的时间增加t,经纬度根据步骤(3)生成的两个数组中元素的大小,每次相对于上一个数据的经纬度±a;
(5)重复步骤(4)n次,形成大小为n的数据集㊂
利用上述构造数据的方法,构造数据长度分别为9㊁15和19的数据,再通过第1节描述的两种方法进行行程轨迹数据集的隐私集合求交㊂
3　实验结果及分析
3.1　数据分析
参与方所使用的计算机配置为Intel®Core (TM)i5-9300H CPU@2.40GHz㊂当数据长度分别为9㊁15和19时,采用基于RSA公钥密码体制的隐私集合求交方法和基于BGW秘密共享的隐私集合求交方法对计算时长进行测试,统计并取测试10次结果的平均值,结果如表2㊁3和图4所示㊂
表2　基于RSA公钥密码体制的隐私集合求交方法时不同数据长度的计算时长
Table2　Calculation time for different data lengths of the private set intersection method based on the RSA public⁃key
cryptosystem
数据集大小
计算时长/s
数据长度为9数据长度为15数据长度为19 1000.24670.25360.2535
3000.76250.77950.7660
5001.27411.27131.2546
7001.77821.80241.8015
10002.55662.55772.5319
30007.96647.97447.9349
500013.720313.729513.6121
700019.702719.791819.7914
1000029.864829.713029.6156
30000117.5861120.3919117.2338
50000245.4154240.9537242.0710
100000753.7248729.4855726.7388
表3　基于BGW秘密共享的隐私集合求交方法时
不同数据长度的计算时长
Table3　Calculation time for different data lengths of the private set intersection method based on BGW secret sharing
数据集大小
计算时长/s
数据长度为9数据长度为15数据长度为19 1000.05490.04690.0613
3000.55210.50450.5069
5001.42961.38831.4993
7002.74232.81112.7245
10005.76045.59845.8923
300050.782150.749052.8288
5000138.7973143.3275141.9083
7000267.6450279.0922274.8837
10000553.0211575.5632555.0983
300004917.44925178.52855040.8882 图4显示了两种PSI方法在数据长度分别为9㊁15和19时的计算时长曲线,横坐标表示数据集的大小,且集合X和Y大小相同,纵坐标为计算时长㊂同时,对基于RSA公钥密码体制的隐私集合求交方法进行改进,去掉其中的哈希操作㊂测试当数据长度为15时,基于RSA公钥密码体制无哈希的隐私集合求交方法的计算时长,所得数据如表4所示㊂
㊃54㊃
第4期 陈聘之等:基于隐私计算的行程轨迹求交方案的性能研究
图4　不同长度数据对计算时长的影响Fig.4　Influence of data with different lengths on the calculation time
表4　数据长度为15时基于RSA 公钥密码体制无哈希的PSI 方法计算时长
Table 4　Calculation time of the private set intersection method
based on the RSA public⁃key cryptosystem without Hash when the data length is 15
数据集大小
计算时长/s 数据集大小
计算时长/s 1000.2544500013.947
73000.7527700020.20525001.26041000030.6410
700
1.772530000126.98991000
2.553650000275.926030007.9706
图5为基于RSA 公钥密码体制无哈希操作的隐私集合求交方法和另外两种隐私集合求交方法在计算时长上的对比,其中横坐标表示数据集大小,集
合X 和Y 大小相同,纵坐标为计算时长㊂
图5　3种不同隐私集合求交方法的时间对比
Fig.5　Time comparison of three different private
set intersection methods
从图4可以看出,数据长度对计算时长的影响不大㊂但在图5中,如果基于RSA 公钥密码体制的隐私集合求交方法不进行哈希操作,那么当数据集较大时,计算时长明显增加㊂由于N =2048,在运算过程中数据经过幂运算长度最大可达2048位㊂如果进行SHA-1哈希操作,那么数据大小将被限制在160位,大大减小了计算过程中数据的长度㊂在哈希操作㊁幂运算和模运算等操作中,无论是基于RSA 公钥密码体制的隐私集合求交方法还是基于BGW 秘密共享的隐私集合求交方法,其数据大小都
会限制在一定范围,因此输入的数据集中数据长度不会影响计算时长㊂
从图5中还可以发现,当数据集大小达到1000及以上时,基于RSA 公钥密码体制的隐私集合求交方法与基于BGW 秘密共享的隐私集合求交方法的运算效率差距更加明显㊂当数据集大小为30000时,基于RSA 公钥密码体制的隐私集合求交方法比基于BGW 秘密共享的隐私集合求交方法快40多倍,且这个倍数随着数据集的增大而持续增加㊂因此,基于RSA 公钥密码体制的隐私集合求交方法在计算时长上具有显著优势㊂
大量的公钥操作会导致协议非常低效,而在基于RSA 公钥密码体制的隐私集合求交方法中,公钥加解密操作的次数与集合大小成线性关系,因此业界普遍认为基于BGW 秘密共享的隐私集合求交方法效率更高[2]㊂但是BGW 方法的拥护者忽略了一点,即其主要性能瓶颈是在协议最后的求交操作上㊂假设集合大小为n ,那么基于RSA 公钥密码体制的隐私集合求交方法在在线阶段只需进行n 次的私钥解密,而基于BGW 秘密共享的隐私集合求交方法却需要进行n ×n 次的加法重构㊂虽然一次加法重构的速度比一次私钥解密高,但当数据集较大时,n ×n 次的加法重构要慢于n 次的私钥解密㊂
图6是当数据集较小时,基于RSA 公钥密码体制的隐私集合求交方法和基于BGW 秘密共享的隐私集合求交方法的计算时长对比㊂从图6可以看出,当数据集小于500时,基于BGW 秘密共享的隐私集合求交方法更快,即当数据集较小时,n ×n 次加法重构快于n 次私钥解密㊂然而,基于RSA 公钥密码体制的隐私集合求交方法此时性能尚可,与BGW 方案相比差距较小㊂
最后阶段的求交操作对两种方法的性能都有较
大的影响㊂在基于RSA 公钥密码体制的隐私集合
㊃64㊃北京化工大学学报(自然科学版) 2023年
图6　在小数据集上实现PSI的方法对比
Fig.6　Comparison of methods to implement PSI on
small data sets
求交方法的最后一步中,需要对集合T a和T b求交㊂相比于双重循环遍历求交,下面提出一种优化的求交方法,可以大大降低计算时长㊂
(1)对集合T a和T b进行升序排序;
(2)初始化i=0,j=0,ans=0,其中ans表示两个集合中相等元素的个数,i和j分别为集合T a和T b的下标,t ai和t bj分别表示集合T a和T b中的第i+ 1和j+1个元素;
(3)如果t ai=t bj,则i=i+1,j=j+1,ans=ans+ 1;如果t ai>t bj,则不断增大j,直到t ai≤t bj;如果t ai< t bj,则不断增大i,直到t ai≥t bj;
(4)重复步骤(3)直到i≥v或j≥w㊂
实验数据表明,运用这种优化的求交方法可以大大降低计算时长㊂当数据集大小为100000时,基于RSA公钥密码体制的隐私集合求交方法的平均计算时长可由737s降低到250s㊂
在基于BGW秘密共享的隐私集合求交方法中如果使用优化的求交方法,可以极大地降低计算时长㊂但是这要求基于BGW秘密共享的隐私集合求交方法的两个参与方对各自的数据进行升序排序,而这在求交阶段将会暴露更多的信息㊂恢复秘密的参与方可以得到集合中任意两个元素的差,同时由于集合中的元素是升序排序的,参与方可以根据这些信息推断出一方集合中的任一元素在另一方集合中的位置㊂
3.2　优缺点分析
综上所述,基于RSA公钥密码体制的隐私集合求交方法具有如下优势:①当数据集较大时,计算时长更短;当数据集较小时,运算效率尚可;②更适用于小集合与大集合求交的情况㊂由于基于RSA公钥密码体制的隐私集合求交方法的在线阶段只有一方需要进行私钥解密,另一方只需进行求交运算,因此可以将小集合方作为Alice,大集合方作为Bob,从而降低计算时长㊂
相比于基于RSA公钥密码体制的隐私集合求交方法,基于BGW秘密共享的隐私集合求交方法可以利用加法重构求差,而基于RSA公钥密码体制的隐私集合求交方法无法实现近似求交㊂
4　安全性
在安全性方面,基于RSA公钥密码体制的隐私集合求交方法和基于BGW秘密共享的隐私集合求交方法都是半诚实模型[2]下的安全方案,即各参与方在遵守约定的前提下,可以根据输入和协议的输出信息推断其他参与者的信息㊂
在基于RSA公钥密码体制的隐私集合求交方法中,Bob获得u i,但是由于随机数r i的干扰,Bob 无法通过u i得到H(x i),也就无法通过暴力枚举Hash值获得x i㊂Alice获得u′i和t bj,由1.1.2节对RSA算法的安全性分析可知,Alice无法得到d的值,也即基于RSA公钥密码体制的隐私集合求交方法是基于RSA算法的安全性㊂在RSA算法中,N越大安全性越好,但计算时长也会随之增加,因此在选取N的大小时要综合考虑㊂对基于RSA公钥密码体制的隐私集合求交方法的具体安全性证明可参见文献[5]㊂
在基于BGW秘密共享的隐私集合求交方法中,假设攻击者获得了t-1个秘密份额(α1, f(α1)), ,(αt-1,f(αt-1))㊂对于[0,p)中的每个秘密的可能的值s′,他能且仅能构造出一个t-1次多项式f′(x),使得f′(0)=s′,f′(αi)=f(αi)㊂攻击者无法区分构造出的这p个可能的多项式,几乎不可能推算出s的真实值㊂因此,攻击者必须获得t 个及以上的秘密份额才能恢复出秘密,当t很大时,这是非常困难的㊂
在恶意模型下,不诚实的参与者存在以下欺骗现象[23]:1)恶意的秘密分发者分发错误的秘密份额给参与者,造成无法重构秘密;2)恶意的参与者提供错误的秘密份额,破坏秘密恢复㊂基于BGW秘密共享的隐私集合求交方法在上述两种情况下是不安全的㊂而在半诚实模型下,参与者必须遵守协议的约定,不会存在上述两种情况,因而基于BGW秘密共享的隐私集合求交方法具有半诚实安全性㊂
㊃74㊃
第4期 陈聘之等:基于隐私计算的行程轨迹求交方案的性能研究
5　结束语
本文提出如下两种行程轨迹隐私集合求交方案:1)在对计算时长要求较高或数据粗粒度的情况下,例如两个人曾出现在同一条街道上(位置信息用邮政编码表示)就表示他们的行程轨迹相交,则使用基于RSA公钥密码体制的隐私集合求交方法;
2)在数据细粒度以及对位置信息的精确性要求较高的情况下,如两个人只有在同一餐厅就餐等距离之差小于一定阈值的情况下才算相交,则使用基于BGW秘密共享的隐私集合求交方法㊂这两种方法优势互补,在实际应用系统中可分情况同时应用㊂基于RSA公钥密码体制的隐私集合求交方法虽然在计算时长上相较于基于BGW秘密共享的隐私集合方法更有优势,但大量的公钥操作会导致协议效率低下,因此继续改进计算时长是后续工作的一个方向㊂同时,本文数据由多维转变为一维的方法适用于数据维数较少的情况,当数据维数较高时,会出现数据长度过长的问题㊂因此后续工作的另一个方向是寻找一种适用于维数较高的数据处理方法以及能够兼顾计算复杂度和数据求差功能的隐私集合求交方案,使得高维行程轨迹数据求交运算更快且更精确㊂
参考文献:
[1]　唐春明,林旭慧.隐私保护集合交集计算协议[J].
信息网络安全,2020,20(1):9-15.
TANG C M,LIN X H.Protocol of privacy⁃preserving set
intersection computation[J].Netinfo Security,2020,
20(1):9-15.(in Chinese)
[2]　申立艳,陈小军,时金桥,等.隐私保护集合交集计
算技术研究综述[J].计算机研究与发展,2017,
54(10):2153-2169.
SHEN L Y,CHEN X J,SHI J Q,et al.Survey on pri⁃
vate preserving set intersection technology[J].Journal of
Computer Research and Development,2017,54(10):
2153-2169.(in Chinese)
[3]　程瑶,应凌云,焦四辈,等.移动社交应用的用户隐
私泄漏问题研究[J].计算机学报,2014,37(1):
87-100.
CHENG Y,YING L Y,JIAO S B,et al.Research on
user privacy leakage in mobile social messaging applica⁃
tions[J].Chinese Journal of Computers,2014,37(1):
87-100.(in Chinese)
[4]　高红霞,罗昱.成都20岁新冠患者遭 网暴”专家警
示:心理创伤不亚于躯体受伤[EB/OL].(2020-12-
09)[2022-04-05].http:∥/n2/
2020/1209/c345167-34463669.html.
GAO H X,LUO Y.A20⁃year⁃old COVID-19patient in
Chengdu suffers from cyber violence”,expert warning:
psychological trauma is no less than physical injury[EB/
OL].(2020-12-09)[2022-04-05].http:∥sc.peo⁃
/n2/2020/1209/c345167-34463669.ht⁃
ml.(in Chinese)
[5]　CRISTOFARO E D,TSUDIK G.Practical private set in⁃
tersection protocols with linear complexity[M]∥SION R.
Financial cryptography and data security.FC2010.Lec⁃
ture notes in computer science,vol6052.Berlin:Spring⁃
er,2010.
[6]　MEADOWS C.A more efficient cryptographic matchmak⁃
ing protocol for use in the absence of a continuously avail⁃
able third party[C]∥1986IEEE Symposium on Security
and Privacy(S&P).Oakland,1986:134-137. [7]　KOLESNIKOV V,SCHNEIDER T.Improved garbled cir⁃
cuit:free XOR gates and applications[M]∥ACETO L,
DAMGÅRD I,GOLDBERG L A,et al.Automata,lan⁃
guages and programming.ICALP2008.Lecture notes in
computer science,vol5126.Berlin:Springer,2008.
[8]　YAO A C.How to generate and exchange secrets[C]∥
27th Annual Symposium on Foundations of Computer Sci⁃
ence.Toronto,1986:162-167.
[9]　ZAHUR S,ROSULEK M,EVANS D.Two halves make
a whole:reducing data transfer in garbled circuits using
half gates[C]∥Annual International Conference on the
Theory and Applications of Cryptographic Techniques.
Berlin:Springer,2015.
[10]ISHAI Y,KILIAN J,NISSIM K,et al.Extending oblivi⁃
ous transfers efficiently[M]∥BONEH D.Advances in
cryptology⁃CRYPTO2003.CRYPTO2003.Lecture notes
in computer science,vol2729.Berlin:Springer,2003.
[11]KOLESNIKOV V,KUMARESAN R.Improved OT exten⁃
sion for transferring short secrets[M]∥CANETTI R,
GARAY J A.Advances in cryptology⁃CRYPTO2013.
CRYPTO2013.Lecture notes in computer science,vol
8043.Berlin:Springer,2013.
[12]SHAMIR A.How to share a secret[J].Communications
of the ACM,1979,22(11):612-613. [13]BLAKLEY G R.Safeguarding cryptographic keys[C]∥
International Workshop on Managing Requirements
Knowledge(MARK).New York,1979:313-317.
[14]BEN⁃OR M,GOLDWASSER S,WIGDERSON ⁃
pleteness theorems for non⁃cryptographic fault⁃tolerant
㊃84㊃北京化工大学学报(自然科学版) 2023年
distributed computation[C]∥20th Annual ACM Sympo⁃sium on Theory of Computing (STOC).Chicago,1988.
[15]李洁平,韦性佳.基于中国剩余定理的秘密共享方案
[J].通信技术,2018,51(3):671-675.
LI J P,WEI X J.Secret⁃sharing scheme based on Chi⁃nese remained theory[J].Communications Technology,2018,51(3):671-675.(in Chinese)
[16]CHOR B,GOLDWASSER S,MICALI S,et al.Verifia⁃
ble secret sharing and achieving simultaneity in the pres⁃ence of faults[C]∥26th Annual Symposium on Founda⁃tions of Computer Science(SFCS 1985).Portland,1985:383-395.
[17]STADLER M.Publicly verifiable secret sharing [M]∥
MAURER U.Advances in cryptology EUROCRYPT ’96.EUROCRYPT 1996.Lecture notes in computer sci⁃ence,vol 1070.Berlin:Springer,1996.[18]唐桐,李轶,吴文渊,等.复数域上的隐私保护集合
交集势计算[J].计算机科学与应用,2021,11(6):
1649-1661.
TANG T,LI Y,WU W Y,et al.The computation of pri⁃vate set intersection cardinality over complex number[J].Computer Science and Application,2021,11(6):1649-
1661.(in Chinese)
[19]DIFFIE W,HELLMAN M E.New directions in cryptog⁃
raphy [J ].IEEE Transactions on Information Theory,1976,22(6):644-654.
[20]RIVEST R L,SHAMIR A,ADLEMAN L.A method for
obtaining digital signatures and public⁃key cryptosystems [J].Communications of the ACM,1978,21(2):120-
126.
[21]陈竹.RSA 的加密算法与安全性浅析[J].衡阳师范
学院学报,2012,33(6):69-71.
CHEN Z.Analysis of RSA encryption algorithms and se⁃curity [J ].Journal of Hengyang Normal University,
2012,33(6):69-71.(in Chinese)[22]陈秀.基于随机游走模型的眼动轨迹分析[D].武汉:
武汉大学,2017.
CHEN X.Application of random walk model in eye track⁃ing protocols [D ].Wuhan:Wuhan University,2017.(in Chinese)
[23]田秀霞,张悦,颜赟成.秘密共享的发展与应用综述
[J].上海电力大学学报,2022,38(1):66-74,81.TIAN X X,ZHANG Y,YAN Y C.A review of the de⁃velopment and application of secret sharing [J].Journal
of Shanghai University of Electric Power,2022,38(1):
66-74,81.(in Chinese)
Performance of a travel path intersection scheme based on
privacy computing
CHEN PinZhi　LI Hui *
(College of Information Science and Technology,Beijing University of Chemical Technology,Beijing 100029,China)
Abstract :Although the rapid development of technologies including cloud computing,big data,the internet of things and artificial intelligence brings convenience to human life,these technologies cause problems like privacy leakage and information misuse.There is an urgent need to find the intersection of travel trajectories without leaking travel trajectories.We have designed and analyzed the performance of two private set intersection schemes of a mul⁃tidimensional travel trajectory data set.Experimental results show that a private set intersection method based on the
Rivest -Shamir -Adleman(RSA)public⁃key cryptosystem has high computational efficiency,while a private set in⁃tersection method based on Ben⁃Or -Goldwasser -Wigderson(BGW)secret sharing supports more complex opera⁃tions,and furthermore can realize approximate intersection.Therefore,we propose a comprehensive scheme combi⁃ning the characteristics of the two methods in order to make the best of both schemes.
Key words :Rivest -Shamir -Adleman(RSA);secret sharing;private set intersection;travel path;multidimen⁃
sional data
(责任编辑:吴万玲)
㊃
94㊃第4期 陈聘之等:基于隐私计算的行程轨迹求交方案的性能研究。