隐私集合求交PSI简述--学习笔记

1. 引言

随着互联网大数据时代的到来，人们通过对大量分布数据进行挖掘发现其潜在价值，从而更好的服务于人们，如用户爱好推荐系统、广告精准营销等。但是在挖掘数据潜在价值的过程中，经常会有隐私数据泄露、信息滥用等问题的发生。因此，实现数据可用不可见变得迫在眉睫。

隐私数据保护最早源于安全多方计算，由姚期智院士借百万富翁问题提出。安全多方计算技术是一种密码原语，在解决数据可控共享问题和保证数据信息安全方面有着天然的优势。隐私集合交集(Private Set Intersection，PSI)是安全多方计算中的热点问题，允许两个或多个参与方联合计算各自输入集合的交集，但不泄露除交集外的任何额外信息。在隐私保护场景中，PSI具有重要意义，如新冠接触者追踪、隐私通讯录查找、在线广告实际效果计算、基因序列配检测等。

2. 基础知识

2.1 密码技术

2.1.1秘密共享
秘密共享技术(Secret sharing，SS)是安全多方计算协议的核心，是信息安全和数据保密的重要手段，被广泛应用于隐私保护领域。

秘密共享是将秘密信息用适当的方式拆分成n份，并分配给不同的管理者持有。其中任意一个参与方都不能够单独恢复秘密。只有达到指定数目的参与者，集合他们手中持有的秘密，经过计算才能得出原始的秘密信息。

秘密共享的关键在于如何构建秘密分配算法和秘密重构算法。

到目前为止，其实现方式主要有：基于多项式插值的秘密共享、基于线性几何投影原理的秘密共享、基于中国剩余定理的秘密共享以及安全多方环境下的(n，n)秘密共享方案等等。

2.1.2同态加密

同态加密(Homomorphic Encryption，HE)是将原始数据进行同态加密后，对加密的数据进行特定运算(主要是加法运算和乘法运算)，然后将计算结果进行同态解密，最终解密得到的结果同未加密的原始数据进行同样的运算得到的结果相同。

其种加法同态加密主要是Paillier加密，乘法同态加密主要是RSA加密和EIGamal加密，此外还有一种全同态加密(Fully Homomorphic Encryption，FHE)同时支持加法和乘法两种运算，但全同态加密算法的效率不足以应用于实际场景。

2.1.3不经意传输

不经意传输协议(Oblivious Transfer，OT)是安全多方计算的基础协议，是一种秘密地传输信息的协议，在n-选-t OT中, 发送方持有一组大小为n的消息m，接收方在协议中可以任意选择发送方中的t (0≤t≤n)个元素, 协议完成后发送方不知道接收方选择了哪些信息，接收方也不知道发送方除了自己选择的t个元素之外的任何其它信息。

其中，传统的2-选-1 OT，即发送方持有一对消息(m0，m1)，接收方持有自己的私密比特b∈{0，1}，执行完OT21之后，发送方不知道接收方选择的是m0还是m1，接收方也不会知道有关m1-b的任何信息。

2.1.4混淆电路

混淆电路是将任意功能函数转化位电路的通用性基础协议。通过混淆电路表和OT加密电信值实现安全隐私保护。

混淆电路的构造主要有Yao协议和GMW协议。

基于电路的PSI协议通常效率低下，但仍是研究的热点，因其具有通用性，不必更改主电路只需添加子电路，即可实现基于求交的函数。

2.2安全模型

安全多方计算的安全模型可以分为两种，一种是半诚实模型，一种是恶意模型。

在半诚实模型下，敌手完全遵循协议的执行过程，但可能会记录协议执行过程中的所有数据，并试图从数据中获得额外的信息。

恶意模型下，敌手不仅可以通过协议过程中得到的数据推测敏感信息，还可以不遵循协议规范、拒绝参与协议、修改输入集合信息或者提前终止协议的执行等。

3隐私集合交集的设计框架

3.1基于公钥加密的设计框架

隐私集合交集早期思想是直接对元素进行加密，然后在密文上进行相应的操作，其中最常用的技术是同态加密，即发送方将加密的集合发给接收方，接收方利用同态加密性质对密文进行计算，然后将结果发给发送方，发送方利用私钥对其进行解密，得到交集。

基于公钥加密的安全性假设主要有3种：
1) 基于Diffie-Hellman假设(基于离散对数困难问题实现DH密钥交换协议并以此实现PSI功能，但基于椭圆曲线密码的PSI安全性和效率性更高)；
2) 基于RSA假设(基于整数分解困难问题的RSA盲签名技术实现半诚实PSI，基于离散对数密码的PSI比基于整数分解密码的PSI协议更高效)；
3) 基于同态加密(Paillier加法加密、EIGamal乘法加密)。

基于公钥加密的PSI协议一般具有较小的通信轮数，适用于具有较强计算能力的模型，但通信带宽和时间复杂度是实际应用中一个很大的瓶颈障碍。

3.2基于不经意传输的设计框架

其构造思想是首先将集合元素通过特定数据结构存储，然后双方为每一个桶运行OT协议：发送方使用随机值盲化集合元素并将盲化结果发送给接收方，接收方在本地执行相等性测试得到隐私集合交集。
由于需要使用大量的OT，传统的OT协议限制PSI协议的安全性和效率性，可以通过OT扩展技术可以有效解决。

OT扩展根据设计思想可以分为两类：
1) 基于矩阵变换，利用少量公钥OT实现大量OT实例的IKNP-OT。
2) 基于子向量不经意线性评估实现具有更低的通信效率但计算复杂度增加的Silent-OT。

既可以满足安全多方计算对安全性的要求，保护参与方的隐私，又可以相较于公钥和混淆电路，在计算开销和通信开销方面达到平衡，满足对实用性的需求。

基于OT的PSI协议是目前两方平衡PSI场景下最高效的实现方案，其关键在于OT扩展协议的构造与选择。

3.3基于混淆电路的设计框架

混淆电路可以将任意函数转换为布尔电路，其主要思想是在预处理阶段减少电路的比较次数和电路的深度，电路阶段只进行元素的相等性测试以实现通用的PSI协议，并可在电路PSI协议的基础上执行对称函数(交集基数、交集和、阈值-交集)。

混淆电路有2种抵抗半诚实敌手的电路Yao协议和GMW协议。

基于混淆电路的PSI协议的瓶颈问题在于功能函数的电路设计较复杂，门电路个数多且电路深度较大，通信复杂度较高。

4结论与展望

综上所述，PSI作为安全多方计算协议的重要分支，已被广泛应用于隐私计算，具有重要的理论和实践意义。随着隐私计算的进一步深入，传统PSI在安全性、高效性、适用性、可扩展性等方面受到了巨大的挑战。因此未来的研究方向有：
1)考虑威胁性更高的场景，目前主流的PSI协议中，通常只考虑半诚实的敌手，然而在现实生活中，可能会有黑客入侵，篡改数据等，因此需要将半诚实模型推广到恶意模型，保证在恶意攻击下仍然使得数据具有一致性与可用性。
2)传统PSI一般只有2个参与方，且无法简单推广至构建多方PSI(会导致部分隐私数据的泄露)，多方PSI协议允许多个参与方共同计算所有参与方的交集，增加了PSI协议的适用范围。此外现有的多方PSI协议常用星型通信结构，导致中心参与方的开销过大。因此如何选取合适的通信结构来平衡协议中各参与方的开销，也是未来的研究方向。
3)面向新型场景构建 PSI协议。在某些特定场景中，通过PSI协议得到的交集元素仍然是敏感信息，如电子医疗中的病患数据、基因测序中的序列数据等，需要对现有PSI协议进行改造，允许参与方在交集保密的情况下对交集中的元素进行各种函数的运算，如计数、求和等．
4)提高现有方案的效率，目前大部分的PSI方案都是复杂的密码学操作，计算或通信开销随数据集大小呈线性增长。且目前PSI协议的数据集大小是百万数量级，当大小达到百亿数量级时，传统PSI方案的效率会大幅度下降，因此，需要构建面向海量数据的高效PSI协议，实现数据的共享。

[1]高莹,王玮.多方隐私集合交集计算技术综述[J/OL].电子与信息学报:1-14[2023-05-17].http://kns.cnki.net/kcms/detail/11.4494.TN.20221126.1643.002.html
[2]魏立斐,刘纪海,张蕾,王勤,贺崇德.面向隐私保护的集合交集计算综述[J].计算机研究与发展,2022,59(08):1782-1799.