(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210412161.6 (22)申请日 2022.04.19 (71)申请人 贵州大学 地址 550025 贵州省贵阳市花溪区花溪大 道南段2708号 (72)发明人 陶俊宏　陈玉玲　钱晓斌　何小川　 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/30(2006.01) H04L 9/08(2006.01) (54)发明名称 基于半诚实模型 下的安全比较协议 (57)摘要 本发明设计了一种基于半诚实模型下的安 全比较协议。 其主要思想是： 本文基于零知识证 明与同态加密算法对DGK比较协议进行改进， 将 仅适用于半诚实模型下的DGK比较协议改进 为适 用于恶意参与方存在的场景， 其中引入了一个半 诚实裁判方， 由裁判方分四轮阶段对协议中异或 部分进行计算， 将原本交给参与方的计算任务转 移到半诚实的裁判方进行计算， 同时由裁判方给 参与方进行零知识证明验证并正确执行协议。 最 后安全分析表明， 本文 方案可以为参与方提供很 好地密文隐私性， 并且裁判方在参与过程中不能 获取任何关于参与方密文的隐私信息 。 权利要求书1页 说明书2页 附图1页 CN 114884670 A 2022.08.09 CN 114884670 A 1.一种基于半诚实模型 下的安全比较协议， 其方案具体步骤如下： 步骤一： 同态乘法： 参与 方A和B需要用特定的加密算法将自己的明文信息进行加密， 然 后参与方B需要将自己的加密密 文E(mb,i)发送给参与方A， 参与方A在收到参与方B的密 文之 后， 用自己的明文对参与方B的密文 进行指数运 算； 步骤二： 同态加法： 参与 方A与上阶段同理对参与方B的密文进行乘法运算， 从而达到同 态加法的目的， 最终得到 Ca+b与Ca*b， 并将两个结果发送给裁判方C； 步骤三： 不经意传输阶段： 裁判方C对Ca+b与Ca*b进行解密 得到参与方A和B明文的加法值 和乘法值， 再计算明文值之间的异或值 最后找到关键比较bit位， 再通过 “L传1”不经意 传输协议得到关键比较位的密文值{Ca,t',Cb,t'}， 再计算比较结果C*； 步骤四： 结果验证： 参与方A和B对比较结果C*进行联合解密， 如果解密结果为0则证明ma <mb。权　利　要　求　书 1/1 页 2 CN 114884670 A 2基于半诚实 模型下的安全比较协议 技术领域： [0001]本发明属于隐私保护技 术领域， 涉及安全比较协议。 背景技术： [0002]近年来， 互联网的纵深普及为安全比较协议提供了巨大的发展机会， 自1982年， 姚 期智提出了 “百万富翁问题 ”： 两个富翁如何在不透漏财富值的情况下比较谁比较富有。 百 万富翁问题的提出， 引起了学者们的广泛关注。 1982 年， 姚首次提出了安全比较协 议解决了 这个问题， 并由Goldreich和Micali和Wigderson对其进行了扩展。 安全比较协议是安全多 方计算中的一个基本模块， 安全比较协 议指参与者之 间能够秘密比较双方输入值的大小关 系， 并且不会透露各自的隐私 。 安全比较协议目前被广泛的应用在隐私保护拍卖、 机器学习 以及电子投票等现实生活领域。 2008年， Damgard等人提出了DGK比较协议， 此协议为百万富 翁问题形成了一个有效的解决方案： 通过使用具有加法同态性质的加密算法来计算每个比 特位， 从而能够在不泄露 隐私的情况下比较双方输入的大小， 并且该协议有较优的通信效 率。 但是在DGK比较协议计算过程中， 只能由参与者双方来进行协议中的比较运算， 如果存 在恶意参与方就会导致协议无法正确执行， 也就是说该协议只在半诚实参与方模型下是安 全的。 然而在 诸多现实场景中， 并不 允许由参与方进 行自主的计算， 即很难存在参与方半诚 实的情况。 所以本文研究的场景在于第三方整数比较协议， 即在参与方各自隐私输入自己 的整数之后， 将比较计算的任务交给第三方， 但是第三方并不能得到其中的数据隐私信息， 只能得到最 终的比较结果。 本文通过零知识证明以及同态加密等技术将DGK比较协 议改进， 使改进后的协议 不仅适用于参与方恶意模型 下， 并且还能保证参与方的输入隐私。 发明内容： [0003]本章通过零知识证明并引进第三裁判方将原本只适用于半诚实模型的DGK比较协 议， 改进成一种适用于恶意参与方模 型的多方比较协 议， 将原DGK协 议中的比较计算任务交 给第三裁判方， 这时只要半诚实的裁判方正确执行协 议， 那么在不会泄露任何隐私的同时， 也可以正确的比较出双方隐私输入的大小关系： [0004]步骤一： 同态乘法。 参与方A和B需要用特定 的加密算法将自己的明文信息进行加 密。 然后参与方B需要将自己的加密密文E(mb,i)发送给参与方A。 参与方A在收到参与方B的 密文之后， 用自己的明文对参与方B的密文 进行指数运 算。 [0005]步骤二： 同态加法。 参与方A与上阶段同理对参与方B的密文进行乘 法运算， 从而达 到同态加法的目的。 最终得到 Ca+b与Ca*b。 并将两个结果发送给裁判方C 。 [0006]步骤三： 不经意传 输阶段。 裁判方C对Ca+b与Ca*b进行解密得到参与方A和B明文的加 法值和乘法值， 再计算明文值之间的异或值 最后找到关键比较bit位， 再通过 “L传1”不 经意传输协议得到关键比较位的密文值{Ca,t',Cb,t'}， 再计算比较结果C*。 [0007]步骤四： 结果验证。 参与方A和B对比较结果C*进行联合解密， 如果解密结果为0则 证明ma<mb。说　明　书 1/2 页 3 CN 114884670 A 3