[发明专利]一种可验证的分布式隐私数据比较与排序方法及装置

权利要求书

1.一种可验证的分布式隐私数据比较与排序方法，其特征在于，包括：

A、分布式的客户端初始化：

定义存储有隐私数据的n个客户端，每个客户端P_i的隐私数据为v_i；定义提供服务的可信第三方为P_T，P_T拥有一对数字签名算法公钥和私钥Pk_T和Sk_T；定义E_i(v_i，r_i)表示使用快速Pailliier加密算法用P_i的公钥Pk_i对v_i进行加密，r_i是作为加密算法输入的随机数；

客户端P_i向P_T发送初始化请求、隐私数据为v_i验证请求、一系列随机数{δ_k}；P_T为客户端P_i分配一个唯一标示ID_i，采用快速Pail1ier加密系统为P_i生成唯一的公钥和私钥Pk_i和Sk_i，在验证隐私数据为v_i为合法数据后，使用一系列随机数{δ_k}分别乘以v_i得到集合{δkv_i}，使用客户端P_i的公钥Pk_i加密{δ_k}和{δ_kv_i}，分别对这两个集合中的值进行哈希，对哈希值用P_T的私钥Sk_T进行签名得到{Sig(E_i(δ_k，r_i))}、{Sig(E_i(δ_kv_i，r_i′))}，形成该隐私数据v_i的一系列证书的集合{C(P_i，δ_kv_i)}＝{＜Sig(ID_i)，E_i(v_i，r_i)，E_i(δ_k，r_i)，E_i(δ_kv_i，r_i′)，Sig(E_i(δ_k，r_i))，Sig(E_i(δ_kv_i，r_i′))，Pk_i，Pk_T＞}，

将该一系列证书的集合发送到客户端P_i；

B、数据的查询者始化：

查询者P_a向P_T发送初始化请求；P_t为查询者P_a分配一个唯一标示，采用快速Paillier加密系统为P_a生成唯一的公钥和私钥Pk_a和Sk_a；

C、查询者P_a使用归并排序算法对n个客户端的隐私数据进行排序；

C1、查询者P_a使用归并排序算法将n个客户端两两归并，分成两个一组；

C2、令同一组的两个客户端分别为P₁和P₂，他们的隐私数据分别为v₁和v₂；向n个客户端广播分组结果和P_a的公钥Pk_a；

C3、P₁随机地从v₁的证书集合{C(P₁，δ_kv₁)}中选出一个证书为C(P₁，δ₁v₁)＝＜Sig(ID₁)，E₁(v₁，r₁)，E₁(δ₁，r₁)，E₂(δ₁v₁，r₁′)，Sig(E₁(δ₁，r₁))，Sig(E₁(δ₁v₁，r₂′))，Pk₁，Pk_T＞计算m₁₁＝E₁(E_a(δ₁v₁，r_1a)，r₁₂)和m₁₂＝E₂(E_a(r′₁，r₁))；

P₁将C(P₁，δ₁v₁)，m₁₁，m₁₂发送给P₂；

C4、P₂随机地从v₂的证书集合{C(P₂，δ_kv₂)}选出一个证书为C(P₂，δ₂v₂)＝＜Sig(ID₂)，E₂(v₂，r₂)，E₂(δ₂，r₂)，E₂(δ₂v₂，r₂′)，Sig(E₂(δ₂，r₂))，Sig(E₁(δ₂v₂，r₂′))，Pk₂，Pk_T＞计算m₂₁＝E₁(E_a(δ₂v₂，r_2a)，r₂₁)和m₂₂＝E₁(E_a(r′₂，r₂))；

P₂将C(P₂，δ₂v₂)，m₂₁，m₂₂发送给P₁；

C5、P₁利用可信第三方P_T的公钥Pk_T验证证书C(P₂，δ₂v₂)的值，对P₂的输入值进行验证，如验证通过则表明P₂的输入值正确，否则表明P₂对输入值作假；P₁解密m₂₁和m₂₂，并使用证书C(P₂，δ₂v₂)中的值计算得到以下值：

e₁₁＝E_a(δ₁δ₂v₂，δ₁r_2a)，e₁₂＝E_a(E₂(δ₁δ₂v₁，δ₁v₁r₂))，e₁₃＝E_a(E₂(δ₁δ₂v₂，δ₁r₂′))，e₁₄＝E_a(δ₁r₂′，δ₁r₂)，e₁₅＝E_a(δ₂v₂r₁，r₁r₂′)；

P₁将Pk₁，e₁₁，e₁₂，e₁₃，e₁₄，e₁₅发送给数据查询者P_a；C6、P₂利用可信第三方P_T的公钥Pk_T验证证书C(P₁，δ₁v₁)的值，对P₁的输入值进行验证，如验证通过则表明P₁的输入值正确，否则表明P₁对输入值作假；P₂解密m₁₁和m₁₂，并使用证书C(P₁，δ₁v₁)中的值计算得到以下值：

e₂₁＝E_a(δ₁δ₂v₁，δ₂r_1a)，e₂₂＝E_a(E₁(δ₁δ₂v₂，δ₂v₂r₁))，e₂₃＝E_a(E₁(δ₁δ₂v₁，δ₂r₁′))，e₂₄＝E_a(δ₂r₁′δ₂r₁)，e₂₅＝E_a(δ₁v₁r₂，r₁′r₂)。

P₂将Pk₂，e₂₁，e₂₂，e₂₃，e₂₄，e₂₅发送给数据查询者P_a；

C7、定义D_i(e)表示使用快速Paillier解密算法，用P_i的私钥Sk_i对e进行解密；查询者解密d₁＝D_a(e₁₁)和d₂＝D_a(e₂₁)，比较d₁和d₂的大小得到v₁、v₂的大小比较结果，若d₁＞d₂则v₁＜v₂；若d₁＝d₂则v₁＝v₂；若d₁＜d₂则v₁＞v₂；

P_a解密e₁₄，e₁₅，e₂₄，e₂₅，得到δ₁r₂′，δ₂v₂r₁，δ₂r₁′，δ₁v₁r₂，并计算以下四个等式：

E₂(d₁，δ₁r₂′)＝D_a(e₁₃)，E₁(d₁，δ₂v₂r₁)＝D_a(e₂₂)，

E₁(d₂，δ₂r₁′)＝D_a(e₂₃)，E₂(d₂，δ₁v₁r₂)＝D_a(e₁₂)；

如果四个等式均成立，则说明P_a得到正确的比较结果，否则说明比较结果无效；

C8、查询者P_a使用归并排序算法对n个客户端重新分组，循环步骤C2-C8，直到将所有客户端的比较结果合并为排序结果为止。

2.一种可验证的分布式隐私数据比较与排序装置，其特征在于，包括：

客户端初始化单元，用于分布式的客户端初始化：

定义存储有隐私数据的n个客户端，每个客户端P_i的隐私数据为v_i；定义提供服务的可信第三方为P_T，P_T拥有一对数字签名算法公钥和私钥Pk_r和Sk_T；定义E_i(v_i，r_i)表示使用快速Paillier加密算法用P_i的公钥Pk_i对v_i进行加密，r_i是作为加密算法输入的随机数；

客户端P_i向P_T发送初始化请求、隐私数据为v_i验证请求、一系列随机数{δ_k}；P_T为客户端P_i分配一个唯一标示ID_i，采用快速Paillier加密系统为P_i生成唯一的公钥和私钥Pk_i和Sk_i，在验证隐私数据为v_i为合法数据后，使用一系列随机数{δ_k}分别乘以v_i得到集合{δ_kv_i}，使用客户端P_i的公钥Pk_i加密{δ_k}和{δ_kv_i}，分别对这两个集合中的值进行哈希，对哈希值用P_T的私钥Sk_T进行签名得到{Sig(E_i(δ_k，r_i))}、{Sig(E_i(δ_kv_i，r_i′))}，形成该隐私数据v_i的一系列证书的集合{C(P_i，δ_kv_i)}＝{＜Sig(ID_i)，E_i(v_i，r_i)，E_i(δ_k，r_i)，E_i(δ_kv_i，r_i′)，Sig(E_i(δ_k，r_i))，Sig(E_i(δ_kv_i，r_i′))，Pk_i，Pk_T＞}，

将该一系列证书的集合发送到客户端P_i；

查询者初始化单元，用于数据的查询者始化：

查询者P_a向P_T发送初始化请求；P_T为查询者P_a分配一个唯一标示，采用快速Paillier加密系统为P_a生成唯一的公钥和私钥Pk_a和Sk_a；

比较排序单元，用于查询者P_a使用归并排序算法对n个客户端的隐私数据进行排序；

C1、查询者P_a使用归并排序算法将n个客户端两两归并，分成两个一组；

C2、令同一组的两个客户端分别为P₁和P₂，他们的隐私数据分别为v₁和v₂；向n个客户端广播分组结果和P_a的公钥Pk_a；

C3、P₁随机地从v₁的证书集合{C(P₁，δ_k，v₁)}中选出一个证书为C(P₁，δ₁v₁)＝＜Sig(ID₁)，E₁(v₁，r₂)，E₁(δ₁，r₁)，E₂(δ₁v₁，r₂′)，Sig(E₁(δ₁，r₁))，Sig(E₁(δ₁v₁，r₁′))，Pk₁，Pk_T＞计算m₁₁＝E₂(E_a(δ₁v₁，r_1a)，r₁₂)和m₁₂＝E₂(E_a(r′₁，r₁))；

P₁将C(P₁，δ₁v₁)，m₁₁，m₁₂发送给P₂；

C4、P₂随机地从v₂的证书集合{C(P₂，δ_kv₂)}选出一个证书为C(P₂，δ₂v₂)＝＜Sig(ID₂)，E₂(v₂，r₂)，E₂(δ₂，r₂)，E₂(δ₂v₂，r₂′)，Sig(E₂(δ₂，r₂))，Sig(E₁(δ₂v₂，r₂′))，Pk₂，Pk_T＞计算m₂₁＝E₁(E_a(δ₂v₂，r_2a)，r₂₁)和m₂₂＝E₁(E_a(r′₂，r₂))；

P₂将C(P₂，δ₂v₂)，m₂₁，m₂₂发送给P₁；

C5、P₁利用可信第三方P_T的公钥Pk_T验证证书C(P₂，δ₂v₂)的值，对P₂的输入值进行验证，如验证通过则表明P₂的输入值正确，否则表明P₂对输入值作假；P₁解密m₂₁和m₂₂，并使用证书C(P₂，δ₂v₂)中的值计算得到以下值：

e₁₁＝E_a(δ₁δ₂v₂，δ₁r_2a)，e₁₂＝E_a(E₂(δ₁δ₂v₁，δ₁v₁r₂))，e₁₃＝E_a(E₂(δ₁δ₂v₂，δ₁r₂′))，e₁₄＝E_a(δ₁r₂′，δ₁r₂)，e₁₅＝E_a(δ₂v₂r₁，r₁r₂′)；

P₁将Pk₁，e₁₁，e₁₂，e₁₃，e₁₄，e₁₅发送给数据查询者P_a；

C6、P₂利用可信第三方P_T的公钥Pk_T验证证书C(P₁，δ₁v₁)的值，对P₁的输入值进行验证，如验证通过则表明P₁的输入值正确，否则表明P₁对输入值作假；P₂解密m₁₁和m₁₂，并使用证书C(P₁，δ₁v₁)中的值计算得到以下值：

e₂₁＝E_a(δ₁δ₂v₁，δ₂r_1a)，e₂₂＝E_a(E₁(δ₁δ₂v₂，δ₂v₂r₁))，e₂₃＝E_a(E₁(δ₁δ₂v₂，δ₂r₁′))，e₂₄＝E_a(δ₂r₁′δ₂r₁)，e₂₅＝E_a(δ₁v₁r₂，r₁′r₂)。

P₂将Pk₂，e₂₁，e₂₂，e₂₃，e₂₄，e₂₅发送给数据查询者P_a；

C7、定义D_i(e)表示使用快速Paillier解密算法，用P_i的私钥Sk_i对e进行解密；查询者解密d₁＝D_a(e₁₁)和d₂＝D_a(e₂₁)，比较d₁和d₂的大小得到v₁、v₂的大小比较结果，若d₁＞d₂则v₁＜v₂；若d₁＝d₂则v₁＝v₂；若d₁＜d₂则v₁＞v₂；

P_a解密e₁₄，e₁₅，e₂₄，e₂₅，得到δ₁r₂′，δ₂v₂r₁，δ₂r₁′，δ₁v₁r₂，并计算以下四个等式：

E₂(d₁，δ₁r₂′)＝D_a(e₁₃)，E₁(d₂，δ₂v₂r₁)＝D_a(e₂₂)，

E₁(d₂，δ₂r₁′)＝D_a(e₂₃)，E₂(d₂，δ₁v₁r₂)＝D_a(e₁₂)；

如果四个等式均成立，则说明P_a得到正确的比较结果，否则说明比较结果无效；

C8、查询者P_a使用归并排序算法对n个客户端重新分组，循环步骤C2-C8，直到将所有客户端的比较结果合并为排序结果为止。