(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210853802.1 (22)申请日 2022.07.12 (71)申请人 启明星辰信息技 术集团股份有限公 司 地址 100193 北京市海淀区东北旺西路8号 中关村软件园21号楼启明星辰 大厦一 层 申请人 北京启明星 辰信息安全技 术有限公 司 (72)发明人 于婧悦　卞超轶　 (74)专利代理 机构 北京科石知识产权代理有限 公司 11595 专利代理师 徐红岗 (51)Int.Cl. H04L 9/00(2022.01)H04L 9/06(2006.01) H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于同态变色龙哈希的多服务器安全 聚合系统和方法 (57)摘要 一种基于同态变色龙哈希的多服务器安全 聚合系统和方法， 该系统利用可信第三方维护的 公告板系统进行数据的输出与下载收集， 并通过 公钥加密和秘密共享保证数据的安全性， 利用同 态变色龙哈希实现聚合的验证， 保证聚合的完整 性， 构建了无需客户端与多服务器 之间建立安全 信道的非交互式安全聚合模式。 本系统中的系统 架构简单易于实现， 安全可验证， 并进一步提高 了通信效率。 权利要求书2页 说明书7页 附图2页 CN 115021891 A 2022.09.06 CN 115021891 A 1.一种基于同态变色龙哈希的多服务器安全聚合系统， 包括： 客户端， 服务器， 可信第 三方及其负责维护的公告板， 其中： 公告板， 为各参与 方的数据交互中介， 所有参与方输出的数据均上传至公告板， 并从公 告板下载所需的数据； 可信第三方， 用于 完成同态变色龙哈希公共参数的生成并分发给 所有参与方； 客户端， 用于生成同态变色龙随机数， 计算自己私有输入的同态变色龙哈希值； 并基于 加法同态秘密 共享， 针对不同服务器分别生成自己私有输入和同态变色龙随机数的秘密 共 享份额， 将二 者经公钥加密生成密文， 输出密文和所述同态变色龙哈希值； 服务器， 用于生成自己的公私钥对 并将公钥公开； 对收集到的密文解密， 将各客户端秘 密共享份额进行秘密聚合， 输出聚合结果； 所述系统为公开可验证， 任何一方均可利用公告板上公布的聚合结果和所述同态变色 龙哈希公共参数及同态变色龙哈希值， 对聚合结果进行秘密重构， 并基于变色龙哈希函数 的同态性对聚合结果进行验证。 2.根据权利要求1所述的安全聚合系统， 其特征在于， 系统包括运行于所述客户端、 服 务器和可信第三方的密码组件， 所述密码组件 包括： 公钥加密模块， 用于生成服务器的公私钥对， 对客户端发送的消息进行加密， 以及在服 务器端进行解密； 加法同态秘密共享模块， 用于基于加法同态秘密共享， 客户端生成自 己私有输入和同 态变色龙随机数的秘密共享份额， 并分发给服务器， 在服务器端进 行秘密聚合， 以及 对聚合 结果进行秘密重构； 同态变色龙哈希模块， 用于生成同态变色龙哈希公共参数和同态变色龙哈希值， 以及 基于变色龙哈希函数的同态性对聚合结果进行验证。 3.根据权利要求1所述的安全聚合系统， 其特 征在于， 所述系统为非交 互式。 4.一种可用于权利要求1 ‑3中任一系统 的基于同态变色龙哈希的多服务器安全聚合方 法， 包括以下步骤： 公共参数生成： 可信第三方生成同态变色龙哈希的公共参数， 分发给 所有参与方； 密钥生成： 服 务器生成自己的公私钥对， 并公布公钥； 输入共享生成： 客户端生成同态变色龙随机数， 计算自 己私有输入的同态变色龙哈希 值； 并基于加法 同态秘密共享， 针对不同服务器分别生成自己私有输入和同态变色龙随机 数的秘密共享份额， 二 者经公钥加密生成密文， 输出密文和同态变色龙哈希值； 聚合： 服务器解密收到的密文， 对收到的各客户端秘密共享份额进行秘密聚合， 输出聚 合结果； 验证： 任何一方利用公告板上公布的聚合结果和所述同态变色龙哈希公共参数及同态 变色龙哈希值， 对聚合结果进行秘密重构， 并基于变色龙哈希函数 的同态性对聚合结果进 行验证； 其中， 所有参与方输出的数据均输出至公告板并从公告板下 载所需的数据。 5.根据权利要求4所述的多服务器安全聚合方法， 其特征在于， 还包括将客户端的私有 输入参数打包为 一个单独的大整数的步骤。 6.根据权利要求4所述的多服务器安全聚合方法， 其特征在于， 采用RSA公钥加密算法权　利　要　求　书 1/2 页 2 CN 115021891 A 2进行公私钥对生成、 公钥加密和密文解密。 7.根据权利要求5所述的多服务器安全聚合方法， 其特征在于， 所述加法同态秘密共享 采用Shamir秘密分享方法， 用于生成秘密共享份额， 秘密聚合， 以及聚合结果的秘密重构。 8.根据权利要求6所述的多服务器安全聚合方法， 其特征在于， 采用基于离散对数假设 的Pedersen  vector commitment方案填充的同态变色龙哈希算法进行聚合验证信息的生 成及聚合结果的验证， 具体包括： 公共参数生成： CH.Gen(1κ)→(CHpp＝(p， G， g， h)， TD＝α )， 其中， 1κ为安全参数； CHpp为 公共参数； TD为陷门； g为一个阶为p的循环群 的生成元； h为群元素， 是模p的整数集 合； 哈希值计算： CH.Hash((p， G， g， h)， x， r) →(ch＝gxhr)， 其中， ch为哈希值， x为待哈希的 消息； r为随机数， 所述哈希算法还满足： 对于任意给定的x和x ′， 对于任意的r可以找到r ’＝(x‑x′+α r)/α 满足： CH.Hash(C Hpp， x， r)＝C H.Hash(C Hpp， x′， r′)； 以及： CH.Hash(C Hpp， x1+x2， r1+r2)＝CH.Hash(C Hpp， x1， r1)·CH.Hash(C Hpp， x2， r2) 对于聚合结果， 则验证CH.Hash(CHpp， y， r)＝Πi∈[1， n]chi是否成立， 其中y， r为聚合结 果， n为客户端数量。权　利　要　求　书 2/2 页 3 CN 115021891 A 3