安全多方计算（四）

姓名：陈宇辉；

学号：17180120024;

学院：网络与信息安全学院；

【嵌牛导读】隐私保护集合交集（private set intersection，PSI）计算协议作为安全多方计算在实际应用框架下的重要组成部分，针对现有的隐私数据计算中的问题，它既使得信息得以共享，又保障了隐私数据的安全。

【嵌牛鼻子】隐私保护集合交集协议

【嵌牛提问】基于公钥加密的PSI协议的原理是什么

【嵌牛正文】

前言

PSI计算协议与密码学有着紧密的联系，在实际应用和科学研究中使用广泛。PSI协议的数学模型是指n个互不信任的参与方将自己的私有数据集合信息作为输入，协议过后参与者只能知道交集集合内的信息而其余信息一概不知。目前，有越来越多的PSI协议被提出，但是追根溯源按照协议实现的原理大致可以分成三类：1.基于公钥加密体系的PSI协议。2.基于混淆电路的PSI协议。3.基于不经意传输的PSI协议。

本次主要介绍基于公钥加密框架的PSI协议。其实现方法是：对集合内的元素使用复杂的公钥加密算法得到密文，之后在密文空间上进行隐私集合的计算。这一类型的PSI协议又可以根据设计理念的不同又分为：基于不经意多项式[5]（oblivious polynomial evaluation，OPE）计算的PSI协议、基于不经意伪随机函数[6]（oblivious evaluation of pseudorandom functions，OPRF）的PSI协议和基于盲签名(Blind Signature）的PSI协议这三大类。

(1)基于不经意多项式的PSI协议

基于不经意多项式实现的PSI协议主要是利用多项式的系数来表示集合内的元素。并利用同态加密可以先计算然后再解密同样也会反映道明文上的性质进行设计。

（2）基于不经意伪随机函数的PSI协议

基于不经意伪随机函数实现的PSI协议实现方法是：利用伪随机函数（Pseudo Random Function，PRF）将集合内元素根据持有的密钥输入PRF中，客户端和服务器端在进行交集计算。因为PRF是一个单向函数所以可以保证无法从PRF的输出来反推出原信息

（3）基于盲签名的PSI协议

基于盲签名的实现PSI协议原理是：客户端取随机值作为盲化因子，将集合内元素经过盲化后发送给客户端，客户端对经过盲化的消息进行签名返回给客户端，并将自己集合的元素签名后发送往客户端。客户端去盲化对两个签名进行计算。最新的方法是Cristofaro等人通过零知识证明实现半诚实和恶意敌手模型下安全的PSI协议。