CN111917533A

CN111917533A - 具有减少泄漏的区间统计量的隐私保护基准分析

Info

Publication number: CN111917533A
Application number: CN201911050625.8A
Authority: CN
Inventors: K.比彻; A.施罗普弗尔
Original assignee: SAP SE
Current assignee: SAP SE
Priority date: 2019-05-10
Filing date: 2019-10-31
Publication date: 2020-11-10
Also published as: US20200358594A1; EP3737030A1; US11190336B2

Abstract

本文公开了计算机实现的方法、***和计算机程序产品(计算机可读存储介质)实施例，其以减少泄漏、保护参与者的隐私和参与者数据的保密性的方式对统计量进行基准分析。实施例包括接收多个加密值并计算复合统计量，该复合统计量对应于多个加密值的至少一子集。实施例还可以包括输出至少一个复合统计量。复合统计量可以计算为与多个加密值中的任何加密值不同，从而保护隐私。另外的实施例还可以包括生成复合统计量与多个加密值中的给定加密值之间的比较，以及输出比较的结果。在一些实施例中，加密值可以例如根据同态或半同态加密方案使用一个加密密钥来加密。

Description

具有减少泄漏的区间统计量的隐私保护基准分析

背景技术

文中可以使用基准分析(Benchmarking)来指代对等组之间关键绩效指标(KPI)的比较。例如，KPI可以是可用于评估企业的绩效的统计参量。因此，对等组可以是比较KPI的一组相似的企业。对等组的成员可能会在给定的行业中相互竞争，这意味着需要对KPI保密，并确保对等组的相应成员的隐私，使得对等组成员和相应的KPI之间的关联不会透露给第三方。

隐私保护基准分析的一种可能的方法是使用受信任的第三方(TTP)，该第三方对某些函数f(x)进行相应的计算，而不会泄露任何隐私数据。但是，对于互不信任的公司，找到这样的TTP可能会很困难。在安全多方计算(MPC)的领域中可能会发现不需要信任的方法。提供输入x_i的参与者称为“玩家”，而计算f(x)的参与者称为“处理器”。参与者可以同时是玩家和处理器。MPC可以是安全的，因为任何给定的参与者只能学习输出，并且可以从输出中推断出与参与者的已知输入有关的信息。

例如，至少有几个对等企业的制造业中的企业可能会寻求降低生产成本。为了对效率做出明智的决定，例如，不浪费努力在没有产生超过收益本身的收益的改进上，对等组的成员可以通过基准分析将自己的生产KPI(例如，组装部件或成品所需的时间)与同一行业中其他对等者的KPI进行比较。因此，在一个示例中，根据基准分析的结果，对于给定的KPI，给定的企业可能会发现自己在其组中表现最好。在这种情况下，为改善KPI而进行的进一步努力可能无法产生足够的边际收益以证明进行这种改进的理由。另一方面，给定KPI的平均绩效低于平均水平可能意味着企业相对于同行业中的对等者具有更大的改进潜力。

由于企业可能出于各种原因不愿透露其机密和敏感的机密生产KPI，因此，因此，基准分析必须以确保公司KPI保密的方式进行，并且仍必须以足够高的准确性提供所需的统计量度以供参考。现有的基准分析***可以提供各种统计量度作为输出，这些统计量度是公司机密KPI的均值、方差、中位数、最小值、最大值和四分位数。但是，基于排名的统计量度(例如中位数、最大值和四分位数)是机密KPI的输入集合的特定值。因此，即使这种统计量度对于寻求评估其对等组中的绩效的对等者来说很重要，但这些统计量度可能会泄漏与基准分析有关的对等组成员的至少一些机密KPI信息。因此，企业可能不愿意参与这种基准分析。

附图说明

附图被并入本文并且形成说明书的一部分。

图1描绘了根据一些实施例的用于列表的中位数的区间。

图2是根据一些实施例的示例***架构的框图。

图3是示出根据一些实施例的实现本文所述的一些增强技术的过程的流程图。

图4是可用于实现各种实施例的示例计算机***的框图。

图5-9是描绘了根据一些实施例的用于值的加密、比较和验证的协议步骤的迭代。

在附图中，类似的附图标记通常指示相同或相似的元件。此外，通常，最左边的参考数字的(多个)数字标识该附图标记首次出现的附图。

具体实施方式

本文提供了***、设备、装置、方法和/或计算机程序产品实施例，和/或其组合和子组合，用于与以减少泄漏、保护参与者的隐私和参与者数据的保密性的方式用统计量(statistics)进行基准分析。

隐私保护基准分析可以被描述为比较KPI的过程，其中KPI被视为跨不同公司的安全输入。对等组的每个成员都可以学习其针对共同参与的其他成员表现如何，但是，任何成员都无需将其标识、私有KPI或其他机密信息透露给受信任或其他方式的第三方。这样的隐私保护基准分析可以重复定期，例如，每年、每季度、每月等，来调查一段时间内相对于特定行业的绩效发展情况。

在不经意传输(oblivious transfer，OT)协议中，第一玩家P₁拥有l个秘密消息m₁，...，m_l，其中l≥2。此外，第二玩家P₂希望选择并接收消息m_i而不会使P₁学习值i。另外，除了m_i，P₁不希望P₂学习任何其他东西。根据该示例，这样的OT协议可以由

来表示。对于现有的OT技术的进一步描述，参见Florian Kerschbaum的2010年的博士论文，“APrivacy-Preserving Benchmarking Platform”，其通过引用并入本文。

假设非对称加密***使用(随机化的)加密函数E(·)和解密函数D(·)，同态加密***在仅给出其密文E(x_i)...，E(x_n)的情况下，启动对明文密值x₁，...，x_n的计算。对这样的密文应用运算可能会产生相应的同态运算的结果的密文，就像将其应用于明文并加密一样。这样的密码***可以为一个或多个算术运算提供同态运算。半同态加密(SHE)方案提供了一种这样的同态，例如，加法或乘法。与之相比，全同态加密(FHE)方案可以启用至少两个算术运算，例如加法和乘法，使得这两个运算的组合可以允许的任意的算术函数的计算。例如，Paillier的可加(半)同态密码***可以具有等式(1)和(2)中所示的性质：

D(E(x₁·E(x₂))＝x₁+x₂ (1)

Rivest-Shamir-Adleman(RSA)的可乘(半)同态密码***可以提供以下等式：

E(x₁)·E(x₂))＝x₁·x₂ (3)

同态语义安全的密码***可允许密文的重新随机化，如下：

E(x_i+0)＝E(x_i)·E(0)＝E′(x_i) (4)

具有相对高的可能性，E(x_i)≠E′(x_i)可以设置为使得E(x_i)和E′(x_i)可以是在计算上不可区分的。

虽然本文中所考虑的示例可能更专注于Paillier的加密方案，但在本公开的精神和范围内，其他可加同态加密方案和等效物可在这里替代地使用。

n个值x₁，...，x_n的列表的统计量度均值、方差、中位数、最小值、最大值、下四分位数和上四分位数可以如下限定：

1.均值：算术平均值

2.方差：标准差的平方

3.中位数：排序列表中的中间值，其中

表示值x_i的排序列表第i个元素-

A.如果n是奇数：

B.如果n是偶数：

C.替代备用定义(对于任何自然数n)：

4.最小值-最小的，即升序排列的排序列表的第一个值：

5.最大值-最大的，即升序排列的排序列表的最后一个值：

6.下四分位数-最大的，即排序列表的下四分之一的最后一个值：

7.上四分位数-最小的，即排序列表的上四分之一的第一个值：

考虑到以下因素，中值的计算可以使用上面的统计量度3.c中给出的替代定义，但是可以使用其他定义而不脱离本公开的精神或范围。

在本文呈现的安全基准分析协议的一些实施例中，与先前的基准分析***相比，可以实现改进，例如在基于排名的统计量度(比如，中位数、最小值、最大值、下四分位数和上四分位数)的更复杂的计算的方面。代替提供表示特定统计量度的精确元素，可以将围绕相应的元素周围的区间用作该区间的复合统计量(例如，平均值)的基础，从而例如为区间内的各个输入值提供一层匿名化。该区间的尺寸k可以动态地选择且可以为每个参与者所知。图1描绘了输入

的排序列表的中位数元素的这种区间。在这种情况下，协议可以输出以列表的中位数

为中心且包括其的k＝3个元素(以阴影高亮)的平均值μ，而不是准确的中位数元素

(以更深的阴影高亮)。

在执行协议之前。每个玩家P_i都可与例如经由如上面引用且并入本文的2010Kerschbaum论文中所述的证书认证(CA)和/或公钥基础设施(PKI)来学习以下两个密钥：

·K_DEC：SHE方案的秘密解密密钥。

·K_MAC：消息认证码(MAC)的对称密钥。

每个参与者，包括服务提供商P_S，都可以学习与K_DEC相对应的公共加密密钥K_ENC。玩家可以使用相同的秘密密钥进行解密。因此，玩家只能直接与服务提供商进行通信，例如经由使用标准方法保护的成对通道，以保护不安全网络上的传输。

在一些实施例中，HE或SHE可以使用对称密钥密码***来实现，其中，相同的秘密密钥被用于加密和解密，但是服务提供商不知道该秘密密钥。在服务提供商需要对数据进行加密作为计算的一部分的情况下，可以使用采用分开的密钥进行加密和解密的非对称密钥密码***来代替对称密钥密码***，以避免允许服务提供商直接访问敏感数据-明文从而可以不可由P_S访问。

这里使用的协议可以包括诸如求和、排名计算、选择和解密的技术的组合。加密值的求和可以通过乘以密文来进行(参见等式(1))。对于n个值x_i，加密的总和可以表示为

例如，求和可以用于计算均值mean(步骤1和2)和方差var(步骤17和18)。总和可以通过添加随机值而被密码地盲化。由于玩家可以知道对等组的大小n，则在给定总和的情况下，每个玩家进而能够通过将总和除以n而计算出均值。

排名计算可以产生以升序排序的列表中的值x_i的排名。为此，值x_i可以与每个值x_j进行比较。为了该比较，可以通过置换φ和φ′来置换秘密值的索引。i的分配的元素可以由φ(i)来表示，而j的对应的分配的元素则可以具有索引φ′(j)。x_φ(i)和x_φ′(j)之间的差异可以通过两个随机值

和

来密码地盲化。对于每个j，这些随机值可以分别从自然数的集合或从使用的密码***的明文空间选择。盲化差异

然后可以以矢量

存储。对该矢量的非负元素

计数可以产生多个小于x_φ(i)的输入值。给定该列表，可以通过以下等式找到给定矢量的排名：

现在，由于置换(例如，φ和φ′)，给定的玩家(例如，P_i，对于表示对等组的特定成员的任何唯一值i，且其可以在对等组的任何或所有成员上进行迭代)可以保持对应于玩家P_φ(i)的值x_φ(i)的排名。可以在协议中(例如，下面列出的48个示例协议步骤中的协议步骤3)执行排名计算。例如，排名计算可以用于计算中值med、最小值min、最大值max、下四分位数bquart和上四分位数tquart。

选择可以涉及计算具有特定(选定)排名的秘密值的密文的动作。P_S可以分别为每个玩家P_i选择随机值r_i且可以计算密文E(x_φ(i)+r_i)和E(r_i)。该计算可以在密码学术语上视为由r_i盲化的P_i’的分配的排名的值和由r_i盲化的0。通过使用2选1(1-out-of-2)OT协议(一种不经意传输)，如果玩家的分配的排名在k个选定的排名的区间中，玩家P_i可以接收E(x_φ(i)+r_i)，(密码地盲化的秘密值)。其他玩家可以接收盲化的0。对于统计量度，例如，中位数、最小值、最大值、下四分位数和上四分位数，大小k的区间可以如下确定：

I_min＝[1，k] (18)

I_max＝[n-(k-1)，n] (19)

在OT步骤之后，玩家可以通过以下方式来重新随机化接收到的值：将接收到的值乘以加密的0(参见上面的公式(4))，并将乘积发送给服务提供商。服务提供商可以乘以他接收到的加密值，删除随机值r_i，并获得相应的区间中的k个输入x_φ(i)的加密的总和sum_k。由于玩家可以知道区间的大小k，玩家可以通过将从P_S获得的sum_k除以区间大小k来计算相应的统计量度。选择可以用于计算例如中位数、最小值、最大值、下四分位数和上四分位数。选择示例可见于步骤4至8(OT)，步骤12至16(返回选定的值)和步骤19值23(计算结果)。

密文结果的解密可以允许服务提供商学习结果，例如，出于其他计算目的。例如，通过这种方式，服务提供商可以将结果四舍五入(rounding)后再发送给玩家。在本公开的精神和范围内，其他示例也是可能的。

为了解密给定密文E(v)的结果v，P_S可以用给定的随机值r盲化给定的结果并将盲化的密文E(v+r)发送给玩家。每个玩家P_i可以解密盲化的结果并将明文v+r与相应的MAC标签一起发送

θ_i＝MAC(v+r//i，K_MAC) (22)

回到P_S。例如，服务提供商可以通过减去随机值r来获得v。为了证明相同加密的盲化的结果已发送给玩家，P_S可以使用加密散列函数计算接收到的MAC标签θ_i的散列值

与结果v一起，P_S可以将该散列值送给玩家。每个P_i然后可以计算MAC标签和散列值，且可以将散列值与服务提供商接收到的散列值进行比较，且可以获得验证位

该位，其中s指示协议步骤，可以在成功进行散列验证的情况下设定为1，可以在其他情况下设定为0。验证位可以指示服务提供商是否已经向每个P_i发送了相同的统计量度。

例如，解密可用于均值、方差、中位数、最小值、最大值、下四分位数和上四分位数的任何统计量度。解密可以如图所示发生在以下任何步骤中：步骤2和18至23(发送解密的结果)、步骤9、10和25至36(返回解密的、盲化的结果)、步骤11和37至42(发送解密的结果)、以及步骤24和43至48(发送散列的MAC标签)。

参考以上述公开内容为初步基础，基于同态加密的具有区间统计量的隐私保护基准分析的协议可以至少包括以下步骤，并在下面对协议步骤进行进一步说明。

步骤1.P_i→P_S：E(x_i)

步骤2.

步骤3.

步骤4.

步骤5.

步骤6.

步骤7.

步骤8.

步骤9.P_i→P_S：sum+r₁＝D(E(sum+r₁))

步骤10.MAC(sum+r₁//i，K_MAC)

步骤11.P_S→P_i：sum＝sum+r₁-r₁

步骤12.

步骤13.

步骤14.

步骤15.

步骤16.

步骤17.

步骤18.

步骤19.

步骤20.

步骤21.

步骤22.

步骤23.

步骤24.

h(MAC(sum+r₁||1，K_MAC)，...，MAC(sum+r₁||n，K_MAC))

步骤25.P_i→P_S：var+r₉＝D(E(var+r₉))

步骤26.MAC(var+r₉//i，K_MAC)

步骤27.med+r₁₀＝D(E(med+r₁₀))

步骤28.MAC(med+r₁₀//i，K_MAC)

步骤29.min+r₁₁＝D(E(min+r₁₁))

步骤30.MAC(min+r₁₁//i，K_MAC)

步骤31.max+r₁₂＝D(E(max+r₁₂))

步骤32.MAC(max+r₁₂//i，K_MAC)

步骤33.bquart+r₁₃＝D(E(bquart+r₁₃))

步骤34.MAC(bquart+r₁₃//i，K_MAC)

步骤35.tquart+r₁₄＝D(E(tquart+r₁₄))

步骤36.MAC(tquart+r₁₄//i，K_MAC)

步骤37.P_S→P_i：var＝var+r₉-r₉

步骤38.med＝med+r₁₀-r₁₀

步骤39.min＝min+r₁₁-r₁₁

步骤40.max＝max+r₁₂-r₁₂

步骤41.bquart＝bquart+r₁₃-r₁₃

步骤42.tquart＝tquart+r₁₄-r₁₄

步骤43.P_S→P_i：h(MAC(var+r₉||1，K_MAC)，...，MAC(var+r₉||n，K_MAC))

步骤44.h(MAC(med+r₁₀//1，K_MAC)，...，MAC(med+r₁₀//n，K_MAC))

步骤45.h(MAC(min+r₁₁//1，K_MAC)，...，MAC(min+r₁₁//n，K_MAC))

步骤46.h(MAC(max+r₁₂//1，K_MAC)，...，MAC(max+r₁₂//n，K_MAC))

步骤47.h(MAC(bquart+r₁₃//1，K_MAC)，...，MAC(bquart+r₁₃//n，K_MAC))

步骤48.h(MAC(tquart+r₁₄//1，K_MAC)，...，MAC(tquart+r₁₄//n，K_MAC))

轮次1(步骤1)：每个玩家P_i可以将加密的输入发送给服务提供商P_S。

轮次2(步骤2-17)：服务提供商可以计算输入值的加密的、盲化的总和并将其返回给P_i。另外，P_S可以进行排名计算，之后每个玩家可以被赋予一些玩家P_j的输入值的排名。在给定排名的情况下，给定的玩家P_i可以经由OT接收加密的、盲化的输入或加密的随机值，这取决于给定的玩家的分配的排名是否在相应的统计量度的区间中。

轮次2可以针对任何复合统计量量度重复，例如中位数、最小值、最大值、下四分位数和上四分位数。本领域技术人员将理解，在一些实施例中，基于对等组的其他划分的排名的计算作为中位数和四分位数的附加或替代，例如，三分位数、五分位数、百分位数或其他分位数。在类似的情景下，索引、复合统计量或复合量度可以指以下中的任何一个：例如，均质、中位数、众数、方差、标准差、极差、最小值、最大值、五分位数、或一组相关值中的其他排名。

玩家可以解密他们接收的(n个输入值的)盲化的总和，且玩家可以将解密的、盲化的总和与盲化的总和的MAC标签一起返回给P_S。P_S可以将总和发送给每个玩家P_i。玩家可以通过将总和除以n来计算n个输入值的均值。总计算均值之后，玩家可以重新随机化OT步骤并将重新随机化的输出发送回给服务提供商。每个玩家可以计算自己的输入和均值之间的平方差，将加密的结果发送回给P_S，作为方差计算的基础。

轮次3(步骤18-42)：服务提供商可以针对复合统计量度(例如中位数、最小值、最大值、下四分位数和上四分位数)计算加密的、盲化的方差和(区间中的k个值的)加密的、盲化的区间聚合体，例如通过乘以在轮次2中接收到的值。P_S可以将得到的乘积以及(n个输入值)的盲化的总和的散列的MAC标签一起发送给玩家。后者然后可以由玩家使用，以验证每个玩家先前是否接收到(n个输入值)的相同的盲化的总和。类似于轮次2，每个玩家然后可以解密盲化的方差和盲化的区间聚合体，以与它们相应的MAC标签一起发送给P_S。在轮次3的最后一个步骤中。P_S可以将未盲化的方差和未盲化的区间聚合体发送给玩家。

轮次4(步骤43-48)：例如，服务提供商可以将中位数、最小值、最大值、下四分位数和上四分位数的盲化的方差和盲化的区间聚合体的散列的MAC标签发送给每个玩家。在一些实施例中，玩家可以使用这些复合统计量来验证输出完整性。

给定区间聚合体，根据一些实施例，玩家可以本地地计算统计量度中位数、最小值、最大值、下四分位数和上四分位数(和/或其他排名或复合统计量)，例如通过用k除以区间聚合体。

图5-9是描绘了根据一些实施例的用于值的加密、比较和验证的协议步骤的迭代。图5是描述在请求和确认步骤之间在客户端(玩家)和服务端(提供者)上执行上述各个轮次的概况的流程图。图6是示出关于轮次1的另外的细节的流程图，包括至少一个状态消息的交换。

图7是示出关于轮次2的另外的细节的流程图。图8是示出关于轮次3的另外的细节的流程图。图9是示出关于轮次4的另外的细节的流程图。图9还示出了与验证相关的细节，其中如果给定的散列值无效则可以输出错误消息。

图6-9附加地说明了作为对等组的成员的一个或多个(n个)参与玩家。因此，在实施例中，协议执行可以涉及提交加密的输入(例如，给定的KPI)的n个玩家和服务提供商(例如，云服务)。在具有4个通信轮次的对话式方式中，n个玩家和服务提供商可以共同计算“区间统计量度”例如，上述k个中值元素的均值。在此期间中，可以对加密的输入进行全程加密，而没有任何解密过程。

在该实施例中，加密的输入、任何中间结果和区间统计量可以只能由玩家解密，而不能由服务提供商解密，因为只有玩家才具有秘密解密密钥。在协议的轮次3中，玩家可以解密区间统计量(通过添加随机值密码地盲化)并将统计量(仍处于盲化形式)发送给服务提供商。

因此，协议执行的结果是一组区间统计量度，例如k个中值元素的均值。然后，可以将这些区间统计量与玩家的秘密KPI进行比较，以调查该玩家与协议执行中涉及的其他玩家相比的表现。在所有实施例中，该最终比较不一定被认为是协议的实际步骤。

因此，可以实现基于同态加密的安全的多方基准分析协议，以计算为机密输入保留隐私的区间统计量。这些区间统计量可以总结特定排名周围的区间，例如，在一些实施例中，输入的中位数或其他分位数。这样的“区间统计量”可以进一步一般化为输入的k个中值元素的均值。以这种方式，精确的输入，例如实际的中值输入值，可以保持为秘密的。

图2是根据一些实施例的示例***架构200的框图。如图2所示，可以看到该安全基准分析***实施方式的一个实施例的概述。图2中示出了框图，以高等级描述了非限制性示例，其包括计算机***平台和部件，该示例可以实现并受益于本文描述的增强技术。在本公开的范围和精神内，可以实现其他实施例或实施方式。图2的随附说明在以下段落中。

在实施例中，一个示例实施方式可以包括至少两个部分：安全基准分析客户端210和安全基准分析服务端220。作为一个非限制性示例，两者之一或两者都可以使用至少一个数据库(包括使用PostgreSQL实现的结构化数据存储)来启用持久性数据存储。例如，安全基准分析客户端210可以与它自己的对等组、KPI和结果230的特定数据库对接。在一个非限制性实施例中，服务可以被实现为例如运行在Cloud Foundry上的Java servlet。

例如，安全基准分析客户端210可以被实现为Java控制台应用程序。在基于同态加密的具有区间统计量的改进的基准分析协议的执行期间，安全基准分析客户端210和安全基准分析服务端220可以例如经由HTTPS彼此通信，发送串行化数据或对象的字符串。根据一些实施例，安全基准分析服务端220可以包括通信222微服务或模块。

根据一些实施例，安全基准分析服务端220还可以包括计算224微服务或模块，以执行协议步骤的计算，例如对于(半)同态加密和用其加密的值的统计量度(例如，机密KPI)。安全基准分析服务端的任何部件都可以自己访问安全基准分析服务端的数据存储，该数据可以是存储来自多个对等组和结果226的数据的数据库。在一些实施例中，存储在226中的这种结果可以从计算224微服务或模块导出。

类似地配置为交付相同结果的其他程序、协议或架构也落入本公开的精神和范围内。图2示出了***架构的一个非限制性示例，但是在所附权利要求的范围内可以实现其他配置。

参考图3，这里的流程图示出了根据一些实施例的实现本文描述的一些增强技术的过程300。处理300可以由处理逻辑来执行，该处理逻辑可以包括硬件(例如，电路、专用逻辑、可编程逻辑、微码等)、软件(例如，在处理装置上执行的指令)或其组合。

将参考图1-4描述过程300。然而，过程300不仅限于那些示例实施例。过程300的步骤可以由耦接到至少一个存储器装置的至少一个计算机处理器执行。下面参照图4描述示例性处理器和(多个)存储器装置。在一些实施例中，过程300可以由图2中的***架构200的***执行，该***可以进一步包括至少一个处理器和存储器，诸如图4的那些。

在302中，至少一个处理器404可以配置为接收多个加密值。加密值可以例如根据同态或半同态加密方案使用一个加密密钥来加密。上面描述的等式和协议步骤(例如，等式1-23和协议步骤1-48)进一步描述了与同态和半同态加密有关的示例，通过这些示例，值可以在变换时保持在加密状态中。

在一些实施例中，如对于上述示例协议的轮次1、步骤1，由至少一个处理器404接收的加密值可以包括属于给定对等组的多个实体中的每个实体的给定KPI的值。附加地或替代地，加密值可以表示来自属于多个组的实体的多个不同的KPI和/或值，它们可以重叠也可以不重叠。数据库，例如用于存储图2中的对等组和结果226的数据库，可以为给定的基准分析服务端220存储此类值。

在304中，处理器404可以配置为计算与多个加密值的至少一子集相对应的复合统计量。复合统计量可以计算为与多个加密值中的任何加密值不同，从而保护隐私。

例如，如图1所示，如果实体在其对等组的中间有一个KPI，例如99的第50个，则对等组中的KPI的常规中值计算会泄露第50个实体的实际KPI，可能会损害对等组的第50个实体的私有标识。

为了减轻这种意外泄露的风险，对等组的复合统计量可以进一步被给定数据点周围的指定区间或预定区间的复合统计量掩盖，以使得给定数据点的值本身没有被披露。因此，代替透露对等组的第50个成员的值，可以使用第49个、第50个和第51个成员的对应值的均值来近似对等组的中位数，而不会泄露给定成员的任何实际值，如图1所示。

区间越大，越能减少披露的风险。但是，相对于总体对等组大小而言，更大的区间样本大小可能还会使相应的复合统计量更容易被异常值所歪曲，因此可能会降低可靠性或参考性。

在306中，处理器404可以配置为输出至少一个复合统计量。复合统计量可以包括以下中的至少一个：均值、中位数、众数、最小值、最大值、极差、方差、标准值、分位数或排名。例如，复合统计量还可以基于所需的元素、排名或其他复合统计量周围的区间的单独复合统计量来表示所需的复合统计量的近似值。

使用本文描述的各种(半)同态加密方案和/或协议步骤中的任何一种，服务提供商，例如使用安全基准分析服务端220，可以计算出上述任何复合统计量，包括通过单独区间复合统计量进一步模糊的复合统计量，所有这些都无法访问与在302接收到的加密值相对应的实际底层明文值。

在308中，至少一个处理器404可以配置为生成复合统计量和给定值之间的比较。在一些实施例中，至少一个处理器404可以包括作为给定玩家(对等组成员)的客户端的处理器，并且该给定值可以是给定玩家的输入值，其可以以明文本地存储。在另外的实施例中，至少一个处理器404可以包括服务提供商和/或第三方提供商的一个或多个处理器，它们可以将复合统计量与多个加密值的给定加密值进行比较。例如，在308的上述任何一种情况下，代替输出绝对排名(例如，举一个说明性示例，对等组的217个成员中的第48个)，处理器404可以基于306处的输出，替代地生成对等组的给定成员的相对量度。

例如，至少一个处理器404能够确定给定成员在对等组的中位数(或近似中位数)之上或之下，例如，不指示在之上或之下多远，或给定成员在对等组中的确切排名。在一些实施例中，任何其他复合统计量或近似值都可以用作比较的基础，例如，由客户将其自身的输入与复合统计量或来自服务提供商的类似输出进行比较。

在310中，至少一个处理器404可以配置为输出比较的结果。因此，输出可以是服务端到客户端，使得避免将其他成员的敏感信息泄露给客户端或服务端。客户端实施方式的示例可以是如图4所示并且在下面进一步描述的计算机***400的实例。在一些实施例中，可以在成员的客户端实施方式处以明文本地地计算和处理比较结果，而无需将该成员的敏感信息泄露给其他成员或服务端。这样一来，无需信任平台即可可靠地保护隐私，因为成员自己的比较结果不会离开成员的客户端实施方式。

例如，在另外的实施例中，多个加密值可以从经由至少一个不可信方(例如，服务提供商和/或作为对等组的成员的其他竞争方)接收到的机密数据导出。这样的机密数据可以从多个竞争方导出。在一些实施例中，复合统计量的计算因此可以进一步包括安全多方计算。

并非在所有情况下都需要过程300的所有步骤来执行本文公开的增强技术。此外，本领域普通技术人员将理解，过程300的某些步骤可以同时执行，或者以与图3所示顺序不同的顺序执行。

例如，可以使用一个或多个公知的计算机***，例如图4所示的计算机***400，来实现各种实施例。例如，可以使用一个或多个计算机***400来实现本文所讨论的任何实施例及其组合和子组合。

计算机***400可以包括一个或多个处理器(也称为中央处理单元，或CPU)，例如处理器404。处理器404可以连接到总线或通信基础结构406。

计算机***400还可包括用户输入/输出装置403，例如监视器、键盘、指点装置等，其可通过用户输入/输出接口402与通信基础设施406通信。

处理器404中的一个或多个可以是图形处理单元(GPU)。在实施例中，GPU可以是处理器，其是被设计为处理数学上密集的应用的专用电子电路。GPU可具有并行结构，其可高效地并行处理大数据块，例如对于计算机图形应用程序、图像、视频等常见的数学密集型数据。

计算机***400还可以包括主存储器或初级存储器408，例如随机存取存储器(RAM)。主存储器408可包括一级或多级高速缓存。主存储器408可以在其中存储控制逻辑(即，计算机软件)和/或数据。

计算机***400还可包括一个或多个次级存储装置或存储器410。次级存储器410可以包括例如硬盘驱动器412和/或可移动存储装置或驱动器414。可移动存储驱动器414可以是软盘驱动器、磁带驱动器、光盘驱动器、光存储装置、磁带备份装置和/或任何其他存储装置/驱动器。

可移动存储驱动器414可以与可移动存储单元418交互。可移动存储单元418可以包括其上存储有计算机软件(控制逻辑)和/或数据的计算机可用或可读存储装置。可移动存储单元418可以是软盘、磁带、光盘、DVD、光存储盘和/或任何其他计算机数据存储装置。可移动存储驱动器414可以从可移动存储单元418读取和/或向其写入。

次级存储器410可以包括用于允许计算机程序和/或其他指令和/或数据被计算机***400访问的其他装置、设备、组件，仪器或其他方式。这样的装置、设备、组件、仪器或其他方式可以包括例如可移动存储单元422和接口420。可移动存储单元422和接口420的示例可以包括：程序盒带和盒带接口(例如在视频游戏装置中使用的接口)、可移动存储芯片(例如EPROM或PROM)和相关的插槽、存储棒和USB端口、存储卡和相关的存储卡插槽、和/或任何其他可移动存储单元和相关的接口。

计算机***400还可以包括通信或网络接口424。通信接口424可以使计算机***400能够与外部装置、外部网络、外部实体等的任何组合进行通信和交互。(分别和共同由附图标记428指示)。例如，通信接口424可以允许计算机***400通过通信路径426与外部或远程装置428通信，该通信路径可以是有线和/或无线的(或其组合)，并且可以包括LAN、WAN、互联网等的任何组合。可以经由通信路径426将控制逻辑和/或数据发送到计算机***400和从计算机***400发送。

计算机***400也可以是以下中的任何一个：个人数字助理(PDA)、台式工作站、便携式计算机或笔记本计算机、上网本、平板电脑、智能电话、智能手表或其他可穿戴设备、家用电器、物联网的一部分，和/或嵌入式***，仅举几个非限制性示例，或其任意组合。

计算机***400可以是客户端或服务器，可以通过任何交付方式访问或托管任何应用程序和/或数据，包括但不限于远程或分布式云计算解决方案；本地或当地(on-premises)软件(基于云的“当地”解决方案)；“即服务”模型(例如，内容即服务(CaaS)，数字内容即服务(DCaaS)，软件即服务(SaaS)，托管软件即服务(MSaaS)，平台即服务(PaaS)，桌面即服务(DaaS)，框架即服务(FaaS)，后端即服务(BaaS)，移动后端即服务(MBaaS)，基础设施即服务(IaaS)，等等)；和/或混合模型，包括上述示例或其他服务或交付方式的任意组合。

计算机***400中的任何适用的数据结构、文件格式和模式可以源自以下标准，包括但不限于：JavaScript对象符号(JSON)，可扩展标记语言(XML)，另一种标记语言(YAML)，可扩展超文本标记语言的标准中(XHTML)，无线标记语言(WML)，MessagePack，XML用户界面语言(XUL)或任何其他功能相似的表示形式，单独或组合使用。替代地，可以专有地或与已知或开放的标准结合使用专有数据结构、格式或模式。

在一些实施例中，包括存储在其上的控制逻辑(软件)的有形、非暂时性计算机可用或可读介质的有形、非暂时性设备或制品在本文中也可以称为计算机程序产品或程序存储装置。这包括但不限于计算机***400、主存储器408、次级存储器410、可移动存储单元418和422，以及体现上述任意组合的有形制品。当由一个或多个数据处理装置(例如计算机***400)执行时，这样的控制逻辑可以使这样的数据处理装置按本文所述进行操作。

基于本公开中包含的教导，对于相关领域的技术人员而言显而易见的是，如何使用除图4中所示之外的数据处理装置、计算机***和/或计算机架构来制造和使用本公开的实施例。特别地，除了本文描述的实施方式之外，实施例还可以与软件、硬件和/或操作***实施方式一起操作。

应当理解，“具体实施方式”部分而不是其他任何部分旨在用于解释权利要求。其他部分可以阐述发明人所设想的一个或多个但不是全部示例性实施例，因此，无意以任何方式限制本公开或所附的权利要求。

尽管本公开描述了示例性领域和应用的示例性实施例，但是应当理解，本公开不限于此。其他实施例及其修改是可能的，并且在本公开的范围和精神内。例如，并且在不限制本段落的一般性的情况下，实施例不限于本文描述的附图和/或所示的软件、硬件、固件和/或实体。此外，实施例(无论是否在本文明确描述)对于本文所描述的示例以外的领域和应用都具有显著的实用性。

本文已经借助于示出特定功能及其关系的实施方式的功能构建块描述了实施例。为了描述的方便，本文已经任意定义了这些功能构建块的边界。只要适当地执行了指定的功能和关系(或其等同物)，可以定义替代边界。另外，替代实施例可以使用与本文所述顺序不同的顺序执行功能块、步骤、操作、方法等。

本文中对“一个实施例”、“实施例”、“示例实施例”、“一些实施例”或类似短语的引用表示所描述的实施例可以包括特定的特征、结构或特性，但是每个实施例都不一定包括特定的特征、结构或特性。此外，这些短语不一定指相同的实施例。此外，当结合实施例描述特定特征、结构或特性时，无论是否在本文明确提及或描述，将这种特征、结构或特性结合到其他实施例中都将在相关领域技术人员的知识范围内。另外，可以使用表述“耦接”和“连接”及其派生词来描述一些实施例。这些术语不一定是彼此的同义词。例如，可以使用术语“连接”和/或“耦接”来描述一些实施例，以表示两个或更多个元件彼此直接物理或电接触。但是，术语“耦接”也可以表示两个或多个元素彼此不直接接触，但仍然彼此协作或交互。

本公开的广度和范围不应由任何上述示例性实施例限制，而应仅根据所附权利要求及其等同物来限定。

Claims

1.一种用于转换密文的计算机实现的方法，所述方法包括：

由至少一个处理器接收多个加密值；

由所述至少一个处理器计算复合统计量，所述复合统计量对应于所述多个加密值的至少一子集，

其中所述加密值在所述计算期间保持在加密状态，

其中所述复合统计量被加密，并且

其中所述复合统计量和所述多个加密值配置为由解密密钥解密，所述解密密钥不可由所述至少一个处理器访问；以及

由所述至少一个处理器输出所述至少一个复合统计量，

其中所述复合统计量不同于所述多个加密值中的任何加密值，并且

其中所述接收、计算和输出由一个或多计算装置执行。

2.如权利要求1所述的方法，所述输出还包括：

由所述至少一个处理器生成所述复合统计量与所述多个加密值中的给定加密值之间的比较；以及

由所述至少一个处理器输出所述比较的结果。

3.如权利要求1所述的方法，其中所述多个加密值根据同态加密方案使用至少一个加密密钥来加密。

4.如权利要求1所述的方法，其中所述多个加密值从机密数据导出，且其中所述接收经由至少一个不可信方执行。

5.如权利要求1所述的方法，其中所述机密数据从多个竞争方导出，且其中所述计算包括安全多方计算。

6.如权利要求1所述的方法，其中所述复合统计量包括以下中的至少一个：均值、中位数、众数、最小值、最大值、极差、方差、标准值、分位数或排名；且其中所述子集是围绕所述多个加密值的排序列表中的给定加密值的区间。

7.如权利要求1所述的方法，还包括由所述至少一个处理器对从所述结果的密码地盲化的明文值导出的至少一个信息认证码(MAC)标签进行散列。

8.一种配置为转换密文的***，所述***包括：

用于接收多个加密值的装置；

用于计算复合统计量的装置，所述复合统计量对应于所述多个加密值的至少一子集，

其中所述加密值在所述计算期间保持在加密状态，

其中所述复合统计量被加密，并且

用于输出所述至少一个复合统计量的装置，其中所述复合统计量不同于所述多个加密值中的任何加密值。

9.如权利要求8所述的***，所述用于输出的装置还包括：

用于生成所述复合统计量与所述多个加密值中的给定加密值之间的比较的装置；以及

用于输出所述比较的结果的装置。

10.如权利要求8所述的***，其中所述多个加密值根据同态加密方案使用至少一个加密密钥来加密。

11.如权利要求8所述的***，其中所述多个加密值从机密数据导出，且其中所述接收经由至少一个不可信方执行。

12.如权利要求11所述的***，其中所述机密数据从多个竞争方导出，且其中所述计算包括安全多方计算。

13.如权利要求8所述的***，其中所述复合统计量包括以下中的至少一个：均值、中位数、众数、最小值、最大值、极差、方差、标准值、分位数或排名；且其中所述子集是围绕所述多个加密值的排序列表中的给定加密值的区间。

14.如权利要求8所述的***，还包括用于对从所述结果的密码地盲化的明文值导出的至少一个信息认证码(MAC)标签进行散列的装置。

15.一种非暂时性计算机可读存储介质，具有存储在其上的指令，当由至少一个计算装置执行所述指令时使得所述至少一个计算装置执行以下步骤，所述步骤包括：

接收多个加密值的步骤；

计算复合统计量的步骤，所述复合统计量对应于所述多个加密值的至少一子集，

其中所述加密值在所述计算期间保持在加密状态，

其中所述复合统计量被加密，并且

输出所述至少一个复合统计量的步骤，其中所述复合统计量不同于所述多个加密值中的任何加密值。

16.如权利要求15所述的非暂时性计算机可读存储介质，所述输出的步骤还包括：

生成所述复合统计量与所述多个加密值中的给定加密值之间的比较的步骤；以及

输出所述比较的结果的步骤。

17.如权利要求15所述的非暂时性计算机可读存储介质，其中所述多个加密值根据同态加密方案使用至少一个加密密钥来加密。

18.如权利要求15所述的非暂时性计算机可读存储介质，其中所述多个加密值从机密数据导出，其中所述接收经由至少一个不可信方执行，且其中所述计算包括安全多方计算。

19.如权利要求15所述的非暂时性计算机可读存储介质，其中所述复合统计量包括以下中的至少一个：均值、中位数、众数、最小值、最大值、极差、方差、标准值、分位数或排名；且其中所述子集是围绕所述多个加密值的排序列表中的给定加密值的区间。

20.如权利要求15所述的非暂时性计算机可读存储介质，所述步骤还包括对从所述结果的密码地盲化的明文值导出的至少一个信息认证码(MAC)标签进行散列的步骤。