CN102984156A - 一种可验证的分布式隐私数据比较与排序方法及装置 - Google Patents

Abstract

本发明涉及安全多方计算领域，尤其涉及一种可验证的分布式隐私数据比较与排序方法及装置，该方法通过分布式的客户端初始化、查询者初始化、查询者P_a使用归并排序算法对n个客户端的隐私数据进行排序等步骤，针对数据存储在大量分布式节点上的情况，利用数字签名和半同态加密***，在整个查询过程中完全采用无中心的方式进行；所有客户端数据均使用客户端公钥进行加密，仅客户端私钥可解密，保证了数据隐私；本发明的验证机制保证所有客户端无法输入虚假数据，也不能对比较和排序结果作假。

Description

一种可验证的分布式隐私数据比较与排序方法及装置

技术领域

本发明涉及安全多方计算领域，尤其涉及一种可验证的分布式隐私数据比较与排序方法及装置。

背景技术

在各种数据相关的应用中常常都会使用到数据大小比较和排序操作，随着现代信息技术的发展，很多数据的存储已经不再是中心式的存储方式，而是分布在多个客户端上。比如传感器网络中节点采集到的感知数据和网络数据则分布在各个传感器节点上；移动社交网络中的数据则分布在各个用户的手机上；分布式数据库中的数据都分别存储在多个服务器上等。如何对分布在不同客户端上的数据进行实施的比较和如何对多个客户端上的数据进行排序是一个具有挑战性的题目。目前已经有大量的分布式计算方法提出来解决这个问题，这些方法普遍关注与计算和通信的开销，旨在提高计算的效率，却忽略了对数据隐私的保护。实际上在很多应用中的数据是一种隐私，具有敏感性需要得到保护，这些数据客户端并不愿意将自己的数据暴露给任何查询者或者其他客户端，例如在很多安全传感器网络和移动社交网络中，每个传感器或者手机上的数据都需要得到保护，不能向外界暴露。在隐私问题日益严重的现在，人们提出了需要完全不暴露客户端隐私数据的情况下，对分布式的隐私数据进行比较和排序操作。

传统的安全多方计算方法计算开销都非常大，尤其是在计算资源受限的移动设备上几乎无法进行，使得他们在如传感网，移动社交网络等很多场景下都难以得到实际应用。并且所有相关的解决方案都将重点放在了隐私保护，保证数据不被泄露，而忽略了运算输入和结果的可验证性。采用这些方法的查询得到的比较和排序结果的正确性都建立在客户端诚实地执行该方法的假设上，实际上，恶意客户端很容易伪造其输入输出数据而导致错误的比较和排序结果，但是传统的方法却很难对这样的情况进行验证和发现。这样无法验证的计算方法显然无法满足大量安全性较高的应用的需要。

发明内容

本发明的目的在于提出一种可验证的分布式隐私数据比较与排序方法，以便于让数据的管理者和查询者在不破坏数据隐私的情况下实现安全可验证的数据比较和查询操作。

为达此目的，本发明采用以下技术方案：

一种可验证的分布式隐私数据比较与排序方法，包括：

A、分布式的客户端初始化：

定义存储有隐私数据的n个客户端，每个客户端P_i的隐私数据为v_i；定义提供服务的可信第三方为P_T，P_T拥有一对数字签名算法公钥和私钥Pk_T和Sk_T；定义E_i(v_i，r_i)表示使用快速Paillier加密算法用P_i的公钥Pk_i对v_i进行加密，r_i是作为加密算法输入的随机数；

客户端P_i向P_T发送初始化请求、隐私数据为v_i验证请求、一系列随机数{δ_k}；P_T为客户端P_i分配一个唯一标示ID_i，采用快速Pai11ier加密***为P_i生成唯一的公钥和私钥Pk_i和Sk_i，在验证隐私数据为v_i为合法数据后，使用一系列随机数{δ_k}分别乘以v_i得到集合{δ_kv_i}，使用客户端P_i的公钥Pk_i加密{δ_k}和{δ_kv_i}，分别对这两个集合中的值进行哈希，对哈希值用P_T的私钥Sk_T进行签名得到{Sig(E_i(δ_k，r_i))}、{Sig(E_i(δ_kv_i，r_i′))}，形成该隐私数据v_i的一系列证书的集合{C(P_i，δ_kv_i)}＝{＜Sig(ID_i)，E_i(v_i，r_i)，E_i(δ_k，r_i)，E_i(δ_kv_i，r_i′)，Sig(E_i(δ_k，r_i))，Sig(E_i(δ_kv_i，r_i′))，Pk_i，Pk_T＞}，

将该一系列证书的集合发送到客户端P_i；

B、数据的查询者始化：

查询者P_a向P_T发送初始化请求；P_T为查询者P_a分配一个唯一标示，采用快速Paillier加密***为P_a生成唯一的公钥和私钥Pk_a和Sk_a；

C、查询者P_a使用归并排序算法对n个客户端的隐私数据进行排序；

C1、查询者P_a使用归并排序算法将n个客户端两两归并，分成两个一组；

C2、令同一组的两个客户端分别为P₁和P₂，他们的隐私数据分别为v₁和v₂；向n个客户端广播分组结果和P_a的公钥Pk_a；

C3、P₁随机地从v₁的证书集合{C(P₁，δ_kv₁)}中选出一个证书为C(P₁，δ₁v₁)＝＜Sig(ID₁)，E₁(v₁，r₁)，E₁(δ₁，r₁)，E₂(δ₁v₁，r₂′)，Sig(E₁(δ₁，r₁))，Sig(E₁(δ₁v₁，r₁′))，Pk₁，Pk_T＞计算m₁₁＝E₂(E_a(δ₁v₁，r_1a)，r₁₂)和m₁₂＝E₂(E_a(r′₁，r₁))；

P₁将C(P₁，δ₁v₁)，m₁₁，m₁₂发送给P₂；

C4、P₂随机地从v₂的证书集合{C(P₂，δ_kv₂)}选出一个证书为C(P₂，δ₂v₂)＝＜Sig(ID₂)，E₂(v₂，r₂)，E₂(δ₂，r₂)，E₂(δ₂ v₂，r₂′)，Sig(E₂(δ₂，r₂))，Sig(E₁(δ₂v₂，r₂′))，Pk₂，Pk_T＞计算m₂₁＝E₁(E_a(δ₂v₂，r_2a)，r₂₁)和m₂₂＝E₁(E_a(r′₂，r₂))；

P₂将C(P₂，δ₂v₂)，m₂₁，m₂₂发送给P₁；

C5、P₁利用可信第三方P_T的公钥Pk_T验证证书C(P₂，δ₂v₂)的值，对P₂的输入值进行验证，如验证通过则表明P₂的输入值正确，否则表明P₂对输入值作假；P₁解密m₂₁和m₂₂，并使用证书C(P₂，δ₂v₂)中的值计算得到以下值：

e₁₁＝E_a(δ₁δ₂v₂，δ₁r_2a)，e₁₂＝E_a(E₂(δ₁δ₂v₁，δ₁v₁r₂))，e₁₃＝E_a(E₂(δ₁δ₂v₂，δ₁r₂′))，e₁₄＝E_a(δ₁r₂′，δ₁r₂)，e₁₅＝E_a(δ₂v₂r₁，r₁r₂′)；

P₁将Pk₁，e₁₁，e₁₂，e₁₃，e₁₄，e₁₅发送给数据查询者P_a；

C6、P₂利用可信第三方P_T的公钥Pk_T验证证书C(P₁，δ₁v₁)的值，对P₁的输入值进行验证，如验证通过则表明P₁的输入值正确，否则表明P₁对输入值作假；P₂解密m₁₁和m₁₂，并使用证书C(P₁，δ₁v₁)中的值计算得到以下值：

e₂₁＝E_a(δ₁δ₂v₁，δ₂r_1a)，e₂₂＝E_a(E₁(δ₁δ₂v₂，δ₂v₂r₁))，e₂₃＝E_a(E₁(δ₁δ₂v₁，δ₂r₁′))，e₂₄＝E_a(δ₂r₁′δ₂r₁)，e₂₅＝E_a(δ₁v₁r₂，r₁′r₂)。

P₂将Pk₂，e₂₁，e₂₂，e₂₃，e₂₄，e₂₅发送给数据查询者P_a；

C7、定义D_i(e)表示使用快速Paillier解密算法，用P_i的私钥Sk_i对e进行解密；查询者解密d₁＝D_a(e₁₁)和d₂＝D_a(e₂₁)，比较d₁和d₂的大小得到v₁、v₂的大小比较结果，若d₁＞d₂则v₁＜v₂；若d₁＝d₂则v₁＝v₂；若d₁＜d₂则v₁＞v₂；

P_a解密e₁₄，e₁₅，e₂₄，e₂₅，得到δ₁r₂′，δ₂v₂r₁，δ₂r₁′，δ₁v₁r₂，并计算以下四个等式：

E₂(d₁，δ₁r₂′)＝D_a(e₁₃)，E₁(d₁，δ₂v₂r₁)＝D_a(e₂₂)，

E₁(d₂，δ₂r₁′)＝D_a(e₂₃)，E₂(d₂，δ₁v₁r₂)＝D_a(e₁₂)；

如果四个等式均成立，则说明P_a得到正确的比较结果，否则说明比较结果无效；

C8、查询者P_a使用归并排序算法对n个客户端重新分组，循环步骤C2-C8，直到将所有客户端的比较结果合并为排序结果为止。

一种可验证的分布式隐私数据比较与排序装置，包括：

客户端初始化单元，用于分布式的客户端初始化：

定义存储有隐私数据的n个客户端，每个客户端P_i的隐私数据为v_i；定义提供服务的可信第三方为P_T，P_T拥有一对数字签名算法公钥和私钥Pk_T和Sk_T；定义E_i(v_i，r_i)表示使用快速Paillier加密算法用P_i的公钥Pk_i对v_i进行加密，r_i是作为加密算法输入的随机数；

客户端P_i向P_T发送初始化请求、隐私数据为v_i验证请求、一系列随机数{δ_k}；P_T为客户端P_i分配一个唯一标示ID_i，采用快速Paillier加密***为P_i生成唯一的公钥和私钥Pk_i和Sk_i，在验证隐私数据为v_i为合法数据后，使用一系列随机数{δ_k}分别乘以v_i得到集合{δ_kv_i}，使用客户端P_i的公钥Pk_i加密{δ_k}和{δ_kv_i}，分别对这两个集合中的值进行哈希，对哈希值用P_T的私钥Sk_T进行签名得到{Sig(E_i(δ_k，r_i))}、{Sig(E_i(δ_kv_i，r_i′))}，形成该隐私数据v_i的一系列证书的集合{C(P_i，δ_kv_i)}＝{＜Sig(ID_i)，E_i(v_i，r_i)，E_i(δ_k，r_i)，E_i(δ_kv_i，r_i′)，Sig(E_i(δ_k，r_i))，Sig(E_i(δ_kv_i，r_i′))，Pk_i，Pk_T＞}，

将该一系列证书的集合发送到客户端P_i；

查询者初始化单元，用于数据的查询者始化：

查询者P_a向P_T发送初始化请求；P_T为查询者P_a分配一个唯一标示，采用快速Paillier加密***为P_a生成唯一的公钥和私钥Pk_a和Sk_a；

比较排序单元，用于查询者P_a使用归并排序算法对n个客户端的隐私数据进行排序；

C1、查询者P_a使用归并排序算法将n个客户端两两归并，分成两个一组；

C2、令同一组的两个客户端分别为P₁和P₂，他们的隐私数据分别为v₁和v₂；向n个客户端广播分组结果和P_a的公钥Pk_a；

C3、P₁随机地从v₁的证书集合{C(P₁，δ_kv₁)}中选出一个证书为C(P₁，δ₁v₁)＝＜Sig(ID₁)，E₁(v₁，r₁)，E₁(δ₁，r₁)，E₂(δ₁v₁，r₁′)，Sig(E₁(δ₁，r₁))，Sig(E₁(δ₁v₁，r₁′))，Pk₁，Pk_T＞计算m₁₁＝E₂(E_a(δ₁v₁，r_1a)，r₁₂)和m₁₂＝E₂(E_a(r′₁，r₁))；

P₁将C(P₁，δ₁v₁)，m₁₁，m₁₂发送给P₂；

C4、P₂随机地从v₂的证书集合{C(P₂，δ_kv₂)}选出一个证书为C(P₂，δ₂v₂)＝＜Sig(ID₂)，E₂(v₂，r₂)，E₂(δ₂，r₂)，E₂(δ₂v₂，r₂′)，Sig(E₂(δ₂，r₂))，Sig(E₁(δ₂v₂，r₂′))，Pk₂，Pk_T＞计算m₂₁＝E₁(E_a(δ₂v₂，r_2a)，r₂₁)和m₂₂＝E₁(E_a(r′₂，r₂))；

P₂将C(P₂，δ₂v₂)，m₂₁，m₂₂发送给P₁；

C5、P₁利用可信第三方P_T的公钥Pk_T验证证书C(P₂，δ₂v₂)的值，对P₂的输入值进行验证，如验证通过则表明P₂的输入值正确，否则表明P₂对输入值作假；P₁解密m₂₁和m₂₂，并使用证书C(P₂，δ₂v₂)中的值计算得到以下值：

e₁₁＝E_a(δ₁δ₂v₂，δ₁r_2a)，e₁₂＝E_a(E₂(δ₁δ₂v₁，δ₁v₁r₂))，e₁₃＝E_a(E₂(δ₁δ₂v₂，δ₁r₂′))，

e₁₄＝E_a(δ₁r₂′，δ₁r₂)，e₁₅＝E_a(δ₂v₂r₁，r₁r₂′)；

P₁将Pk₁，e₁₁，e₁₂，e₁₃，e₁₄，e₁₅发送给数据查询者P_a；

C6、P₂利用可信第三方P_T的公钥Pk_T验证证书C(P₁，δ₁v₁)的值，对P₁的输入值进行验证，如验证通过则表明P₁的输入值正确，否则表明P₁对输入值作假；P₂解密m₁₁和m₁₂，并使用证书C(P₁，δ₁v₁)中的值计算得到以下值：

e₂₁＝E_a(δ₁δ₂v₁，δ₂r_1a)，e₂₂＝E_a(E₁(δ₁δ₂v₂，δ₂v₂r₁))，e₂₃＝E_a(E₁(δ₁δ₂v₁，δ₂r₁′))，e₂₄＝E_a(δ₂r₁′δ₂r₁)，e₂₅＝E_a(δ₁v₁r₂，r₁′r₂)。

P₂将Pk₂，e₂₁，e₂₂，e₂₃，e₂₄，e₂₅发送给数据查询者P_a；

C7、定义D_i(e)表示使用快速Paillier解密算法，用P_i的私钥Sk_i对e进行解密；查询者解密d₁＝D_a(e₁₁)和d₂＝D_a(e₂₁)，比较d₁和d₂的大小得到v₁、v₂的大小比较结果，若d₁＞d₂则v₁＜v₂；若d₁＝d₂则v₁＝v₂；若d₁＜d₂则v₁＞v₂；

P_a解密e₁₄，e₁₅，e₂₄，e₂₅，得到δ₁r₂′，δ₂v₂r₁，δ₂r₁′，δ₁v₁r₂，并计算以下四个等式：

E₂(d₁，δ₁r₂′)＝D_a(e₁₃)，E₁(d₁，δ₂v₂r₁)＝D_a(e₂₂)，

E₁(d₂，δ₂r₁′)＝D_a(e₂₃)，E₂(d₂，δ₁v₁r₂)＝D_a(e₁₂)；

如果四个等式均成立，则说明P_a得到正确的比较结果，否则说明比较结果无效；

C8、查询者P_a使用归并排序算法对n个客户端重新分组，循环步骤C2-C8，直到将所有客户端的比较结果合并为排序结果为止。

本发明的有益效果为：本发明提出了一种可验证的分布式隐私数据比较与排序方法及装置，该方法通过分布式的客户端初始化、查询者初始化、查询者P_a使用归并排序算法对n个客户端的隐私数据进行排序等步骤，针对数据存储在大量分布式节点上的情况，利用数字签名和半同态加密***，只需***初始化时连接可信第三方一次，之后无需再次连接服务器，在整个查询过程中完全采用无中心的方式进行；所有客户端数据均使用客户端公钥进行加密，仅客户端私钥可解密，保证了数据隐私；本发明的验证机制保证所有客户端无法输入虚假数据，也不能对比较和排序结果作假；快速Paillier***的计算消耗较小，完全能支持本发明在移动设备上使用，使得发明的应用范围不受平台限制。

附图说明

图1是本发明的方法流程图；

图2是本发明的装置结构示意图；

图3是本发明的快速Paillier加密算法流程示意图

具体实施方式

下面将结合图1-图3并通过具体实施方式来进一步说明本发明的技术方案。

本发明一种可验证的分布式隐私数据比较与排序方法的第一实施例如图1所示：

一种可验证的分布式隐私数据比较与排序方法，包括：

A、分布式的客户端初始化：

定义存储有隐私数据的n个客户端，每个客户端P_i的隐私数据为v_i；定义提供服务的可信第三方为P_T，P_T拥有一对数字签名算法公钥和私钥Pk_T和Sk_T；定义E_i(v_i，r_i)表示使用快速Paillier加密算法用P_i的公钥Pk_i对v_i进行加密，r_i是作为加密算法输入的随机数；

客户端P_i向P_T发送初始化请求、隐私数据为v_i验证请求、一系列随机数{δ_k}；P_T为客户端P_i分配一个唯一标示ID_i，采用快速Paillier加密***为P_i生成唯一的公钥和私钥Pk_i和Sk_i，在验证隐私数据为v_i为合法数据后，使用一系列随机数{δ_k}分别乘以v_i得到集合{δ_k v_i}，使用客户端P_i的公钥Pk_i加密{δ_k}和{δ_kv_i}，分别对这两个集合中的值进行哈希，对哈希值用P_T的私钥Sk_T进行签名得到{Sig(E_i(δ_k，r_i))}、{Sig(E_i(δ_kv_i，r_i′)}，形成该隐私数据v_i的一系列证书的集合{C(P_i，δ_kv_i)}＝{＜Sig(ID_i)，E_i(v_i，r_i)，E_i(δ_k，r_i)，E_i(δ_kv_i，r_i′)，Sig(E_i (δ_k，r_i))，Sig(E_i(δ_kv_i，r_i′))，Pk_i，Pk_T＞}，

将该一系列证书的集合发送到客户端P_i，该证书集合中每个证书对应一个δ_k值，一个v_i值对应一系列证书，证书的个数等于δ_k值的个数；

B、数据的查询者始化：

查询者P_a向P_T发送初始化请求；P_T为查询者P_a分配一个唯一标示，采用快速Paillier加密***为P_a生成唯一的公钥和私钥Pk_a和Sk_a；

C、查询者P_a使用归并排序算法对n个客户端的隐私数据进行排序；

C1、查询者P_a使用归并排序算法将n个客户端两两归并，分成两个一组；

C2、令同一组的两个客户端分别为P₁和P₂，他们的隐私数据分别为v₁和v₂；向n个客户端广播分组结果和P_a的公钥Pk_a；

C3、P₁随机地从v₁的证书集合{C(P₁，δ_kv₁)}中选出一个证书为C(P₁，δ₁v₁)＝＜Sig(ID₁)，E₁(v₁，r₁)，E₁(δ₁，r₁)，E₂(δ₁v₁，r₁′)，Sig(E₁(δ₁，r₁))，Sig(E₁(δ₁v₁，r₁′))，Pk₁，Pk_T＞

计算m₁₁＝E₂(E_a(δ₁v₁，r_1a)，r₁₂)和m₁₂＝E₂(E_a(r′₁，r₁))；

P₁将C(P₁，δ₁v₁)，m₁₁，m₁₂发送给P₂；

C4、P₂随机地从v₂的证书集合{C(P₂，δ_kv₂)}选出一个证书为C(P₂，δ₂v₂)＝＜Sig(ID₂)，E₂(v₂，r₂)，E₂(δ₂，r₂)，E₂(δ₂v₂，r₂′)，Sig(E₂(δ₂，r₂))，Sig(E₁(δ₂v₂，r₂′))，Pk₂，Pk_T＞计算m₂₁＝E₁(E_a(δ₂v₂，r_2a)，r₂₁)和m₂₂＝E₁(E_a(r′₂，r₂))；

P₂将C(P₂，δ₂v₂)，m₂₁，m₂₂发送给P₁；

C5、P₁利用可信第三方P_T的公钥Pk_T验证证书C(P₂，δ₂v₂)的值，对P₂的输入值进行验证，如验证通过则表明P₂的输入值正确，否则表明P₂对输入值作假；P₁解密m₂₁和m₂₂，并使用证书C(P₂，δ₂v₂)中的值计算得到以下值：

e₁₁＝E_a(δ₁δ₂v₂，δ₁r_2a)，e₁₂＝E_a(E₂(δ₁δ₂v₁，δ₁v₁r₂))，e₁₃＝E_a(E₂(δ₁δ₂v₂，δ₁r₂′))，

e₁₄＝E_a(δ₁r₂′，δ₁r₂)，e₁₅＝E_a(δ₂v₂r₁，r₁r₂′)；

P₁将Pk₁，e₁₁，e₁₂，e₁₃，e₁₄，e₁₅发送给数据查询者P_a；

C6、P₂利用可信第三方P_T的公钥Pk_T验证证书C(P₁，δ₁v₁)的值，对P₁的输入值进行验证，如验证通过则表明P₁的输入值正确，否则表明P₁对输入值作假；P₂解密m₁₁和和m₁₂，并使用证书C(P₁，δ₁v₁)中的值计算得到以下值：

e₂₁＝E_a(δ₁δ₂v₁，δ₂r_1a)，e₂₂＝E_a(E₁(δ₁δ₂v₂，δ₂v₂r₁))，e₂₃＝E_a(E₁(δ₁δ₂v₁，δ₂r₁′))，e₂₄＝E_a(δ₂r₂′δ₂r₁)，e₂₅＝E_a(δ₁v₁r₂，r₁′r₂)。

P₂将Pk₂，e₂₁，e₂₂，e₂₃，e₂₄，e₂₅发送给数据查询者P_a；

C7、如图3所示，定义D_i(e)表示使用快速Paillier解密算法，用P_i的私钥Sk_i对e进行解密；查询者解密d₁＝D_a(e₁₁)和d₂＝D_a(e₂₁)，比较d₁和d₂的大小得到v₁、v₂的大小比较结果，若d₁＞d₂则v₁＜v₂；若d₁＝d₂则v₁＝v₂；若d₁＜d₂则v₁＞v₂；

P_a解密e₁₄，e₁₅，e₂₄，e₂₅，得到δ₁r₂′，δ₂v₂r₁，δ₂r₁′，δ₁v₁r₂，并计算以下四个等式：

E₂(d₁，δ₁r₂′)＝D_a(e₁₃)，E₁(d₁，δ₂v₂r₁)＝D_a(e₂₂)，

E₁(d₂，δ₂r₁′)＝D_a(e₂₃)，E₂(d₂，δ₁v₁r₂)＝D_a(e₁₂)；

如果四个等式均成立，则说明P_a得到正确的比较结果，否则说明比较结果无效；

C8、查询者P_a使用归并排序算法对n个客户端重新分组，循环步骤C2-C8，直到将所有客户端的比较结果合并为排序结果为止。

本发明的一种可验证的分布式隐私数据比较与排序装置的第二实施例如图2所示，包括：

客户端初始化单元，用于分布式的客户端初始化：

定义存储有隐私数据的n个客户端，每个客户端P_i的隐私数据为v_i；定义提供服务的可信第三方为P_T，P_T拥有一对数字签名算法公钥和私钥Pk_T和Sk_T；定义E_i(v_i，r_i)表示使用快速Paillier加密算法用P_i的公钥Pk_i对v_i进行加密，r_i是作为加密算法输入的随机数；

客户端P_i向P_T发送初始化请求、隐私数据为v_i验证请求、一系列随机数{δ_k}；P_T为客户端P_i分配一个唯一标示ID_i，采用快速Paillier加密***为P_i生成唯一的公钥和私钥Pk_i和Sk_i，在验证隐私数据为v_i为合法数据后，使用一系列随机数{δ_k}分别乘以v_i得到集合{δ_kv_i}，使用客户端P_i的公钥Pk_i加密{δ_k}和{δ_kv_i}，分别对这两个集合中的值进行哈希，对哈希值用P_T的私钥Sk_T进行签名得到{Sig(E_i(δ_k，r_i))}、{Sig(E_i(δ_kv_i，r_i′))}，形成该隐私数据v_i的一系列证书的集合{C(P_i，δ_kv_i)}＝{＜Sig(ID_i)，E_i(v_i，r_i)，E_i(δ_k，r_i)，E_i(δ_kv_i，r_i′)，Sig(E_i(δ_k，r_i))，Sig(E_i(δ_kv_i，r_i′))，Pk_i，Pk_T＞}，

将该一系列证书的集合发送到客户端P_i；

查询者初始化单元，用于数据的查询者始化：

查询者P_a向P_T发送初始化请求；P_T为查询者P_a分配一个唯一标示，采用快速Paillier加密***为P_a生成唯一的公钥和私钥Pk_a和Sk_a；

比较排序单元，用于查询者P_a使用归并排序算法对n个客户端的隐私数据进行排序；

C1、查询者P_a使用归并排序算法将n个客户端两两归并，分成两个一组；

C2、令同一组的两个客户端分别为P₁和P₂，他们的隐私数据分别为v₁和v₂；向n个客户端广播分组结果和P_a的公钥Pk_a；

C3、P₁随机地从v₁的证书集合{C(P₁，δ_kv₁)}中选出一个证书为C(P₁，δ₁v₁)＝＜Sig(ID₁)，E₁(v₁，r₁)，E₁(δ₁，r₁)，E₂(δ₁v₁，r₁′)，Sig(E₁(δ₁，r₁))，Sig(E₁(δ₁v₁，r₁′))，Pk₁，Pk_T＞计算m₁₁＝E₂(E_a(δ₁v₁，r_1a)，r₁₂)和m₁₂＝E₂(E_a(r′₁，r₁))；

P₁将C(P₁，δ₁v₁)，m₁₁，m₁₂发送给P₂；

C4、P₂随机地从v₂的证书集合{C(P₂，δ_kv₂)}选出一个证书为C(P₂，δ₂v₂)＝＜Sig(ID₂)，E₂(v₂，r₂)，E₂(δ₂，r₂)，E₂(δ₂v₂，r₂′)，Sig(E₂(δ₂，r₂))，Sig(E₁(δ₂v₂，r₂′))，Pk₂，Pk_T＞计算m₂₁＝E₁(E_a(δ₂v₂，r_2a)，r₂₁)和m₂₂＝E₁(E_a(r′₂，r₂))；

P₂将C(P₂，δ₂v₂)，m₂₁，m₂₂发送给P₁；

C5、P₁利用可信第三方P_T的公钥Pk_T验证证书C(P₂，δ₂v₂)的值，对P₂的输入值进行验证，如验证通过则表明P₂的输入值正确，否则表明P₂对输入值作假；P₁解密m₂₁和m₂₂，并使用证书C(P₂，δ₂v₂)中的值计算得到以下值：

e₁₁＝E_a(δ₁δ₂v₂，δ₁r_2a)，e₁₂＝E_a(E₂(δ₁δ₂v₁，δ₁v₁r₂))，e₁₃＝E_a(E₂(δ₁δ₂v₂，δ₁r₂′))，e₁₄＝E_a(δ₁r₂′，δ₁r₂)，e₁₅＝E_a(δ₂v₂r₁，r₁r₂′)；

P₁将Pk₁，e₁₁，e₁₂，e₁₃，e₁₄，e₁₅发送给数据查询者P_a；C6、P₂利用可信第三方P_T的公钥Pk_T验证证书C(P₁，δ₁v₁)的值，对P₁的输入值进行验证，如验证通过则表明P₁的输入值正确，否则表明P₁对输入值作假；P₂解密m₁₁和m₁₂，并使用证书C(P₁，δ₁v₁)中的值计算得到以下值：

e₂₁＝E_a(δ₁δ₂v₁，δ₂r_1a)，e₂₂＝E_a(E₁(δ₁δ₂v₂，δ₂v₂r₁))，e₂₃＝E_a(E₁(δ₁δ₂v₁，δ₂r₁′))，e₂₄＝E_a(δ₂r₁′δ₂r₁)，e₂₅＝E_a(δ₁v₁v₂，r₁′r₂)。

P₂将Pk₂，e₂₁，e₂₂，e₂₃，e₂₄，e₂₅发送给数据查询者P_a；

C7、如图3所示，定义D_i(e)表示使用快速Paillier解密算法，用P_i的私钥Sk_i对e进行解密；查询者解密d₁＝D_a(e₁₁)和d₂＝D_a(e₂₁)，比较d₁和d₂的大小得到v₁、v₂的大小比较结果，若d₁＞d₂则v₁＜v₂；若d₁＝d₂则v₁＝v₂；若d₁＜d₂则v₁＞v₂；

P_a解密e₁₄，e₁₅，e₂₄，e₂₅，得到δ₁r₂′，δ₂v₂r₁，δ₂r₁′，δ₁v₁r₂，并计算以下四个等式：

E₂(d₁，δ₁r₂′)＝D_a(e₁₃)，E₁(d₁，δ₂v₂r₁)＝D_a(e₂₂)，

E₁(d₂，δ₂r₁′)＝D_a(e₂₃)，E₂(d₂，δ₁v₁r₂)＝D_a(e₁₂)；

如果四个等式均成立，则说明P_a得到正确的比较结果，否则说明比较结果无效；

C8、查询者P_a使用归并排序算法对n个客户端重新分组，循环步骤C2-C8，直到将所有客户端的比较结果合并为排序结果为止。

本领域的技术人员可以清楚地了解到本发明可借助软件加必须的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以使个人计算机，服务器，或者网络设备等)执行本发明各个实施咧或者实施例的某些部分所述的方法。

以上所述仅为本发明的具体实施方式，这些描述只是为了解释本发明的原理，而不能以任何方式解释为对本发明保护范围的限制。基于此处的解释，本领域的技术人员不需要付出创造性的劳动即可联想到本发明的其它具体实施方式，这些方式都将落入本发明的保护范围之内。

Claims (2)

1.一种可验证的分布式隐私数据比较与排序方法，其特征在于，包括：

A、分布式的客户端初始化：

定义存储有隐私数据的n个客户端，每个客户端P_i的隐私数据为v_i；定义提供服务的可信第三方为P_T，P_T拥有一对数字签名算法公钥和私钥Pk_T和Sk_T；定义E_i(v_i，r_i)表示使用快速Pailliier加密算法用P_i的公钥Pk_i对v_i进行加密，r_i是作为加密算法输入的随机数；

客户端P_i向P_T发送初始化请求、隐私数据为v_i验证请求、一系列随机数{δ_k}；P_T为客户端P_i分配一个唯一标示ID_i，采用快速Pail1ier加密***为P_i生成唯一的公钥和私钥Pk_i和Sk_i，在验证隐私数据为v_i为合法数据后，使用一系列随机数{δ_k}分别乘以v_i得到集合{δkv_i}，使用客户端P_i的公钥Pk_i加密{δ_k}和{δ_kv_i}，分别对这两个集合中的值进行哈希，对哈希值用P_T的私钥Sk_T进行签名得到{Sig(E_i(δ_k，r_i))}、{Sig(E_i(δ_kv_i，r_i′))}，形成该隐私数据v_i的一系列证书的集合{C(P_i，δ_kv_i)}＝{＜Sig(ID_i)，E_i(v_i，r_i)，E_i(δ_k，r_i)，E_i(δ_kv_i，r_i′)，Sig(E_i(δ_k，r_i))，Sig(E_i(δ_kv_i，r_i′))，Pk_i，Pk_T＞}，

将该一系列证书的集合发送到客户端P_i；

B、数据的查询者始化：

查询者P_a向P_T发送初始化请求；P_t为查询者P_a分配一个唯一标示，采用快速Paillier加密***为P_a生成唯一的公钥和私钥Pk_a和Sk_a；

C、查询者P_a使用归并排序算法对n个客户端的隐私数据进行排序；

C1、查询者P_a使用归并排序算法将n个客户端两两归并，分成两个一组；

C2、令同一组的两个客户端分别为P₁和P₂，他们的隐私数据分别为v₁和v₂；向n个客户端广播分组结果和P_a的公钥Pk_a；

C3、P₁随机地从v₁的证书集合{C(P₁，δ_kv₁)}中选出一个证书为C(P₁，δ₁v₁)＝＜Sig(ID₁)，E₁(v₁，r₁)，E₁(δ₁，r₁)，E₂(δ₁v₁，r₁′)，Sig(E₁(δ₁，r₁))，Sig(E₁(δ₁v₁，r₂′))，Pk₁，Pk_T＞计算m₁₁＝E₁(E_a(δ₁v₁，r_1a)，r₁₂)和m₁₂＝E₂(E_a(r′₁，r₁))；

P₁将C(P₁，δ₁v₁)，m₁₁，m₁₂发送给P₂；

C4、P₂随机地从v₂的证书集合{C(P₂，δ_kv₂)}选出一个证书为C(P₂，δ₂v₂)＝＜Sig(ID₂)，E₂(v₂，r₂)，E₂(δ₂，r₂)，E₂(δ₂v₂，r₂′)，Sig(E₂(δ₂，r₂))，Sig(E₁(δ₂v₂，r₂′))，Pk₂，Pk_T＞计算m₂₁＝E₁(E_a(δ₂v₂，r_2a)，r₂₁)和m₂₂＝E₁(E_a(r′₂，r₂))；

P₂将C(P₂，δ₂v₂)，m₂₁，m₂₂发送给P₁；

C5、P₁利用可信第三方P_T的公钥Pk_T验证证书C(P₂，δ₂v₂)的值，对P₂的输入值进行验证，如验证通过则表明P₂的输入值正确，否则表明P₂对输入值作假；P₁解密m₂₁和m₂₂，并使用证书C(P₂，δ₂v₂)中的值计算得到以下值：

e₁₁＝E_a(δ₁δ₂v₂，δ₁r_2a)，e₁₂＝E_a(E₂(δ₁δ₂v₁，δ₁v₁r₂))，e₁₃＝E_a(E₂(δ₁δ₂v₂，δ₁r₂′))，e₁₄＝E_a(δ₁r₂′，δ₁r₂)，e₁₅＝E_a(δ₂v₂r₁，r₁r₂′)；

P₁将Pk₁，e₁₁，e₁₂，e₁₃，e₁₄，e₁₅发送给数据查询者P_a；C6、P₂利用可信第三方P_T的公钥Pk_T验证证书C(P₁，δ₁v₁)的值，对P₁的输入值进行验证，如验证通过则表明P₁的输入值正确，否则表明P₁对输入值作假；P₂解密m₁₁和m₁₂，并使用证书C(P₁，δ₁v₁)中的值计算得到以下值：

e₂₁＝E_a(δ₁δ₂v₁，δ₂r_1a)，e₂₂＝E_a(E₁(δ₁δ₂v₂，δ₂v₂r₁))，e₂₃＝E_a(E₁(δ₁δ₂v₁，δ₂r₁′))，e₂₄＝E_a(δ₂r₁′δ₂r₁)，e₂₅＝E_a(δ₁v₁r₂，r₁′r₂)。

P₂将Pk₂，e₂₁，e₂₂，e₂₃，e₂₄，e₂₅发送给数据查询者P_a；

C7、定义D_i(e)表示使用快速Paillier解密算法，用P_i的私钥Sk_i对e进行解密；查询者解密d₁＝D_a(e₁₁)和d₂＝D_a(e₂₁)，比较d₁和d₂的大小得到v₁、v₂的大小比较结果，若d₁＞d₂则v₁＜v₂；若d₁＝d₂则v₁＝v₂；若d₁＜d₂则v₁＞v₂；

P_a解密e₁₄，e₁₅，e₂₄，e₂₅，得到δ₁r₂′，δ₂v₂r₁，δ₂r₁′，δ₁v₁r₂，并计算以下四个等式：

E₂(d₁，δ₁r₂′)＝D_a(e₁₃)，E₁(d₁，δ₂v₂r₁)＝D_a(e₂₂)，

E₁(d₂，δ₂r₁′)＝D_a(e₂₃)，E₂(d₂，δ₁v₁r₂)＝D_a(e₁₂)；

如果四个等式均成立，则说明P_a得到正确的比较结果，否则说明比较结果无效；

C8、查询者P_a使用归并排序算法对n个客户端重新分组，循环步骤C2-C8，直到将所有客户端的比较结果合并为排序结果为止。

2.一种可验证的分布式隐私数据比较与排序装置，其特征在于，包括：

客户端初始化单元，用于分布式的客户端初始化：

定义存储有隐私数据的n个客户端，每个客户端P_i的隐私数据为v_i；定义提供服务的可信第三方为P_T，P_T拥有一对数字签名算法公钥和私钥Pk_r和Sk_T；定义E_i(v_i，r_i)表示使用快速Paillier加密算法用P_i的公钥Pk_i对v_i进行加密，r_i是作为加密算法输入的随机数；

客户端P_i向P_T发送初始化请求、隐私数据为v_i验证请求、一系列随机数{δ_k}；P_T为客户端P_i分配一个唯一标示ID_i，采用快速Paillier加密***为P_i生成唯一的公钥和私钥Pk_i和Sk_i，在验证隐私数据为v_i为合法数据后，使用一系列随机数{δ_k}分别乘以v_i得到集合{δ_kv_i}，使用客户端P_i的公钥Pk_i加密{δ_k}和{δ_kv_i}，分别对这两个集合中的值进行哈希，对哈希值用P_T的私钥Sk_T进行签名得到{Sig(E_i(δ_k，r_i))}、{Sig(E_i(δ_kv_i，r_i′))}，形成该隐私数据v_i的一系列证书的集合{C(P_i，δ_kv_i)}＝{＜Sig(ID_i)，E_i(v_i，r_i)，E_i(δ_k，r_i)，E_i(δ_kv_i，r_i′)，Sig(E_i(δ_k，r_i))，Sig(E_i(δ_kv_i，r_i′))，Pk_i，Pk_T＞}，

将该一系列证书的集合发送到客户端P_i；

查询者初始化单元，用于数据的查询者始化：

查询者P_a向P_T发送初始化请求；P_T为查询者P_a分配一个唯一标示，采用快速Paillier加密***为P_a生成唯一的公钥和私钥Pk_a和Sk_a；

比较排序单元，用于查询者P_a使用归并排序算法对n个客户端的隐私数据进行排序；

C1、查询者P_a使用归并排序算法将n个客户端两两归并，分成两个一组；

C2、令同一组的两个客户端分别为P₁和P₂，他们的隐私数据分别为v₁和v₂；向n个客户端广播分组结果和P_a的公钥Pk_a；

C3、P₁随机地从v₁的证书集合{C(P₁，δ_k，v₁)}中选出一个证书为C(P₁，δ₁v₁)＝＜Sig(ID₁)，E₁(v₁，r₂)，E₁(δ₁，r₁)，E₂(δ₁v₁，r₂′)，Sig(E₁(δ₁，r₁))，Sig(E₁(δ₁v₁，r₁′))，Pk₁，Pk_T＞计算m₁₁＝E₂(E_a(δ₁v₁，r_1a)，r₁₂)和m₁₂＝E₂(E_a(r′₁，r₁))；

P₁将C(P₁，δ₁v₁)，m₁₁，m₁₂发送给P₂；

C4、P₂随机地从v₂的证书集合{C(P₂，δ_kv₂)}选出一个证书为C(P₂，δ₂v₂)＝＜Sig(ID₂)，E₂(v₂，r₂)，E₂(δ₂，r₂)，E₂(δ₂v₂，r₂′)，Sig(E₂(δ₂，r₂))，Sig(E₁(δ₂v₂，r₂′))，Pk₂，Pk_T＞计算m₂₁＝E₁(E_a(δ₂v₂，r_2a)，r₂₁)和m₂₂＝E₁(E_a(r′₂，r₂))；

P₂将C(P₂，δ₂v₂)，m₂₁，m₂₂发送给P₁；

C5、P₁利用可信第三方P_T的公钥Pk_T验证证书C(P₂，δ₂v₂)的值，对P₂的输入值进行验证，如验证通过则表明P₂的输入值正确，否则表明P₂对输入值作假；P₁解密m₂₁和m₂₂，并使用证书C(P₂，δ₂v₂)中的值计算得到以下值：

e₁₁＝E_a(δ₁δ₂v₂，δ₁r_2a)，e₁₂＝E_a(E₂(δ₁δ₂v₁，δ₁v₁r₂))，e₁₃＝E_a(E₂(δ₁δ₂v₂，δ₁r₂′))，e₁₄＝E_a(δ₁r₂′，δ₁r₂)，e₁₅＝E_a(δ₂v₂r₁，r₁r₂′)；

P₁将Pk₁，e₁₁，e₁₂，e₁₃，e₁₄，e₁₅发送给数据查询者P_a；

C6、P₂利用可信第三方P_T的公钥Pk_T验证证书C(P₁，δ₁v₁)的值，对P₁的输入值进行验证，如验证通过则表明P₁的输入值正确，否则表明P₁对输入值作假；P₂解密m₁₁和m₁₂，并使用证书C(P₁，δ₁v₁)中的值计算得到以下值：

e₂₁＝E_a(δ₁δ₂v₁，δ₂r_1a)，e₂₂＝E_a(E₁(δ₁δ₂v₂，δ₂v₂r₁))，e₂₃＝E_a(E₁(δ₁δ₂v₂，δ₂r₁′))，e₂₄＝E_a(δ₂r₁′δ₂r₁)，e₂₅＝E_a(δ₁v₁r₂，r₁′r₂)。

P₂将Pk₂，e₂₁，e₂₂，e₂₃，e₂₄，e₂₅发送给数据查询者P_a；

C7、定义D_i(e)表示使用快速Paillier解密算法，用P_i的私钥Sk_i对e进行解密；查询者解密d₁＝D_a(e₁₁)和d₂＝D_a(e₂₁)，比较d₁和d₂的大小得到v₁、v₂的大小比较结果，若d₁＞d₂则v₁＜v₂；若d₁＝d₂则v₁＝v₂；若d₁＜d₂则v₁＞v₂；

P_a解密e₁₄，e₁₅，e₂₄，e₂₅，得到δ₁r₂′，δ₂v₂r₁，δ₂r₁′，δ₁v₁r₂，并计算以下四个等式：

E₂(d₁，δ₁r₂′)＝D_a(e₁₃)，E₁(d₂，δ₂v₂r₁)＝D_a(e₂₂)，

E₁(d₂，δ₂r₁′)＝D_a(e₂₃)，E₂(d₂，δ₁v₁r₂)＝D_a(e₁₂)；

如果四个等式均成立，则说明P_a得到正确的比较结果，否则说明比较结果无效；

C8、查询者P_a使用归并排序算法对n个客户端重新分组，循环步骤C2-C8，直到将所有客户端的比较结果合并为排序结果为止。

Images