一种基于秘密共享的对称私有信息检索协议

一种基于秘密共享的对称私有信息检索协议1

廖干才1,3，罗守山2,3

1北京邮电大学理学院，北京 (100876)

2北京邮电大学软件学院，北京 (100876)

3西安电子科技大学综合业务网理论及关键技术国家重点实验室，西安 (710071）

E-mail：gancailiao@

摘要：对称私有信息检索是安全多方计算协议一个重要的研究方向, 是指在不泄漏各自的私有信息的情况下，参与查询的用户与数据库拥有者完成对数据库的查询操作。将秘密共享和安全多方计算结合, 提出了半诚实模型下的单项对称私有信息检索协议，它能够保证查询者无法通过多次查询获取更多的信息。并将以上协议推广至多项对称私有信息检索协议，并对协议的正确性，安全性，效率进行了分析。

关键词：密码学，对称私有信息检索，安全多方计算，半诚实模型，秘密共享

中图分类号：TN309

1．引言

私有信息检索问题(简称PIR)是指在用户的私有信息不被泄露的情况下，对数据库完成查询. 该协议在文献[1]中被首次扩展为对称私有信息检索(SPIR),即需要满足数据库的私有

信息也不能够被泄露. 私有信息检索问题是安全多方计算的一个重要研究方向，有广阔的应用前景,例如,多个公司之间的合作查询、专利数据库查询、股票数据库查询，在商业竞争、军事合作、国家情报部门等多个领域对称私有信息检索问题也普遍存在.

实现私有信息检索的平凡算法是将数据库的存储信息全部发送给用户, 用户在本地查询其所要的信息，但是通讯的数据量太大.目前大多数PIR研究致力于如何设计保护用户的私有信息，而对数据库私有信息的保护关注的比较少。1995 年Chor等[3]首次提出了PIR的概念,并给了一个有效的解决方案,该方案通过K个互不通信的数据库副本共同协作完成查询,这种通过多个数据库副本实现的PIR的研究方法称作是信息论私有信息检索。自此以后，文献[5][11-15]在不同的方面对私有信息检索做了不少研究。文献[5]在单数据库模型下，提出了一个可计算的PIR。C. Cachin等人在文献[13]中提出了一个通信复杂度较低的可计算PIR。1998年Yael Gertner等人[10]首次提出了SPIR的概念，并从形式上证明了任何的PIR在一定的条件下都可能转化成SPIR，并保证通信复杂度在同一数量级，轮数也不变。2002年Erica Y. Yang等[2]将秘密共享技术应用到私有信息检索领域，解决了抵抗数据库所有者的恶意攻击问题。

目前，私有信息检索大都是通过多个互不通信的数据库副本服务器, 允许用户向不同的服务器提交不同的查询, 然后合并这些服务器的应答消息得到最终的查询结果, 整个过程中任何单一的服务器都没有得到关于用户的私有信息.在理论上PIR的研究已经比较成熟，但是在保护数据库隐私方面的研究不是很多，同时关于SPIR的执行协议效率不高。

本文运用秘密共享技术，提出了一种低复杂度的对称私有信息检索协议。本文主要的贡献如下：

(1)提出了一种利用秘密共享技术的对称私有信息检索协议，并给出了安全性证明；

(2)为了提高协议效率和实际应用的需求，将单项对称私有信息检索协议推广到一次能1本课题得到国家自然科学基金（项目编号：60672132）的资助。

够查询多条记录的多项对称私有信息检索协议；

(3) 在通信复杂度和计算复杂度两方面而言，本文的方案是目前比较高效。

本文结构如下，第二节简单介绍几个基本概念如秘密分享，半诚实模型等；第三节提出了单项对称私有信息检索协议并分析了该协议的正确性，安全性等；第四节将单项对成私有信息检索协议扩展到多项对称私有信息检索协议，并对它的正确性，安全性等作了分析；第五节给出了效率分析；第六节做出结论。

2．基本概念

我们首先简要介绍协议要用到的几个概念：

2.1秘密分享

简单介绍一种研究与应用最广泛秘密分享方案---Shamir(n,t)门限秘密分享方案。

假定n 是分享者的数目，t 是门限值，p 是一个大素数，均在有限域中)(p GF 计算。 秘密分发者D 给n 个分享者i P (1i n)≤≤分配份额的过程如下：

（1）

D 随机选择一个)(p GF 上的1−t 次多项式 ][)(1110x Z x a x a a x f p t t ∈+⋅⋅⋅++=−−

使得k f a ==)0(0，k 是需n 个分享者分享的秘密；D 对)(x f 保密；

（2） D 在p Z 中选择n 个非零且互不相同的元素12n x x x …、，计算()i i y f x =

（3） 将(,)i i x y 分配给分享者i P ，值i x 是公开知道的，i y 作为i P 的秘密份额

恢复过程如下：

给定任何t 个点),(11l l y x 、),(22l l y x 、……、),(lt lt y x ，易于计算出秘密k ；因为

）（）（）（）（，p x x x y f k lj li lj t i t

i j j li mod Π011−−⋅==∑=≠= 同理也容易恢复出多项式其他的系数。

2.2半诚实模型

该模型假定所有参与者都是半诚实参与者，本文方案的安全性均假设参与者(查询者和数据库所有者）为半诚实的.简单地说,所谓半诚实参与者是指参与者在协议执行过程中将不折不扣地执行协议,但他们也会保留计算的中间结果并且试图推导出其他参与者的输入.

2.3 PIR 和SPIR 问题描述

假设A 是查询者、B 是数据库所有者,B 存储的数据表示为一个n-bits 的字符串123.....n X x x x x =,查询者A 的查询索引为{1,2...}i n ∈. A 对B 提出查询请求, 希望从B 那里

检索得到i x ,但A 不希望B 知道自己对i x 感兴趣，

即不泄漏“i ”的信息; 这样的问题就是PIR ，但是若B 也不愿意A 知道除i x 以外的数据库信息,在这种情况下完成的查询就是SPIR 问题。我们可以将SPIR 可以看作是PIR 的一种特殊情况，即通讯的双方在都不泄漏自己的信息情况下完成查询，而PIR 只是不泄漏查询者信息下完成的查询。