(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210019500.4 (22)申请日 2022.01.10 (71)申请人 北京理工大 学 地址 100081 北京市海淀区中关村南大街5 号 (72)发明人 徐畅　饶鸿洲　祝烈煌　张川　 陈宇鹏　 (74)专利代理 机构 北京正阳理工知识产权代理 事务所(普通 合伙) 11639 专利代理师 张利萍 (51)Int.Cl. H04L 9/00(2022.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于隐私保护的公开验证真值确定方 法 (57)摘要 本发明涉及一种基于隐私保护的公开验证 真值确定方法。 在真值发现阶段， 任务执行者和 平台使用基于阈值的Paillier同态加密体系， 在 保护任务执行者隐私数据前提下完成真值发现。 同时， 任务执行者在真值发现阶段产生与自身数 据相关的同态哈希值 以及对应的随机数和承诺 值， 并将承诺值发送给平台， 保留同态哈希值和 随机数， 平台将这些承诺值发送给验证者。 在验 证阶段， 任务执行者通过平台将所有同态哈希值 和随机数均发送给验证者， 验证者利用随机数和 同态哈希 值验证从平台接受到的承诺值， 防止平 台篡改数据。 通过验证后， 具备计算能力的个体 可使用平台公开的计算数据验证真值发现结果。 本方法在保护用户隐私的情况下， 降低了用户和 平台的计算 开销和通信开销。 权利要求书5页 说明书15页 附图2页 CN 114567422 A 2022.05.31 CN 114567422 A 1.一种基于隐私保护的公开验证真值确定方法， 其特征在于， 包括真值发现阶段和验 证阶段； 在真值发现阶段， 任务执行者和平台使用基于阈值的Paillier同态加密体系， 在保护 任务执行者的隐私数据的前提下， 完成真值 发现算法； 同时， 任务执行者在真值发现阶段产 生与自身数据相关的同态哈希值以及对应的随机数和承诺值， 并将承诺值发送给平台， 保 留同态哈希值和随机数， 平台将这些承诺值发送给验证者； 在验证阶段， 任务执行者通过平台， 将所有同态哈希值和随机数均发送给验证者， 验证 者首先利用这些随机数和同态哈希值， 验证之前从平台接受到的承诺值， 防止平台篡改数 据； 通过验证后， 具备计算能力的个体能够 使用平台之前公开出来的计算数据， 验证真值 发 现的结果； 其中， 用户是指在平台上注册过的持有移动智能感知设备的注册用户， 简称为用户， 分 为任务发起 者和任务执 行者； 任务发起 者， 简称为发起 者； 任务执 行者， 简称为执 行者； 发起者负责将自己的感知任务上传到平台； 之后， 发起者作为执行者上传数据 给平台， 或作为验证者验证最终的结果； 最后， 发起者收到平台返回的任务结果和验证者返回的验 证结果； 执行者负责从平台领取到感知任务， 利用自身设备获取感知数据， 并加密上传给平台； 随后， 执行者辅助平台完成真值发现算法， 并产生验证阶段 所需的数据； 验证者负责从平台获取到验证所需的数据后， 验证平台的计算结果， 最后将验证结果 通过平台安全传递给发起 者和执行者。 2.如权利要求1所述的一种基于隐私保护的公开验证真值确定方法， 其特征在于， 具体 实现过程如下： 步骤1： 首先， 由一个可信第三方机构， 简称可信机构， 生成支 持阈值的Paillier同态加 密体系的公钥和一个完整私钥， 同时为平台及其所有用户生成各自的一部分私钥； 之后， 该可信机构公开公钥， 通过安全通道向平台和各个用户传递对应的另一部分私 钥， 并将两 部分汇总后完整的私钥进行保存 且保密； 然后， 该可信机构公开同态哈希算法的参数； 最后， 可信 机构选取一条曲线作为椭圆曲线迪菲 ‑赫尔曼秘钥交换的加密曲线， 并为每 个用户生成椭圆曲线迪菲 ‑赫尔曼秘钥交换的私钥； 步骤2： 用户进行密钥协商； 每个用户ui以平台为中间通信者， 与其他用户Uj使用椭圆曲线迪菲 ‑赫尔曼秘钥交换方 法进行密钥交换， 得到对称密钥ki， j； 之后， 用户在平台上发布/ 接收感知任务； 步骤3： 进行权 重更新； 用户在平台上接受感知任务并获悉感知任务的数据精度P， 即本次任务中所有数据的 精度到小数点后P位； 每位用户将自己的感知数据 处理后， 加密发送给平台； 平台使用基于 支持阈值的Paillier同态加密安全 聚合方法聚合所有用户的密文， 并得到聚合后的明文； 最后， 平台更新每 个用户的权 重； 其中， 基于支持阈值的Pai llier同态加密安全聚合方法， 具体如下： 输入： 每个用户ui的加密数据ci， 与ci对应的明文mi， 其中i∈[1， U]；权　利　要　求　书 1/5 页 2 CN 114567422 A 2输出： 所有用户的明文聚合 值 首先， 每个用户ui向平台发送加密数据ci； 然后， 平台将所有的密文相乘得到聚合值： 平台选取至少 x‑1个用户， 向其发送聚合 值 被选中的用户使用自己的部分私钥解密 并将得到的部分明文A发送给平台； 平台最后收到至少x ‑1份部分明文A， 加上自己计算得出的部分明文B， 使用支持阈值的Paillier同态加密联合解密方法得到完 整明文， 即 步骤4： 各用户在 自己的权重明文不泄露的前提下， 通过平台作为中间通信者， 对自身 权重密文进行解密； 步骤5： 各用户在不泄露自己权重和感知数据的前提下， 与平台一起完成感知任务的真 值更新； 步骤6： 循环执行步骤3至步骤5， 直到所有感知任务的真值收敛或者达到循环次数上限 L， 即停止循环； 步骤7： 所有用户将自己的每一轮产生的同态哈希值hi、 hhi与hwi以及对应的随机数ri、 rri与rwi通过平台发送给验证者； 验证者先验证每一个承诺值， 如果某一项验证不通过， 则 可以判定平台真值结果 不正确； 否则进行后续的验证 计算。 3.如权利要求2所述的一种基于隐私保护的公开验证真值确定方法， 其特征在于， 步骤 1具体包括以下步骤： 步骤1.1： 可信机构选取两个素数δ和β， 使δ＝2δ ′+1， β ＝2β ′+1， 其中， δ ′和β′均为素数； 令τ＝δ β， γ＝δ ′β′， 令 能够整除γ， 同时还满足 除以τ后余1， 即为完整私钥； 此时， 生成 支持阈值的Paillier同态加密体系的一个公钥PK＝( θ， τ )， 其中θ＝τ+1； 此时， 可信机构选 取一个大于用户数量U的数 X， 设X是用户数量U的两倍， 生成如式1所示的多 项式： 其中， x表示当满足至少有x个部分私钥解密密文C的部分明文， 密文C是明文M用PK加密 的密文， 即可得到C对应的明文M； a0、 ai均为X的系数， 且 ai∈{0， 1， ...， τ(γ ‑1)}， 0 ＜i＜x； 用户和平台各自私钥为si， 根据式1， si＝f(i)， 1≤i≤U+1； 可信机构将PK＝( θ， τ )公开； 可信机构将各用户和平台所对应的私钥si通过安全 通信通 道发送给他们， 且不让第三方知道； 可信机构将完整私钥 保密； 步骤1.2： 可信机构根据安全参数κ 选定一个生成元g； 阶数为q的循环群 q是 一个素数， g、 q即为被公开的公共参数Lpp； 设真值发现的最大迭代次数为L， 单次真值发 现中的感知任务的数量上限为T； 设T＞L， 此时可信机构选取T个参数： 并公 开； 步骤1.3： 可信机构选取一条椭圆曲线α作为椭圆曲线迪菲 ‑赫尔曼秘钥交换的加密曲 线， 然后为每个用户生成一个椭圆曲线迪菲 ‑赫尔曼秘钥交换的私钥ski， 并通过安全通信 通道发给每 个用户。 4.如权利要求2所述的一种基于隐私保护的公开验证真值确定方法， 其特征在于， 步骤权　利　要　求　书 2/5 页 3 CN 114567422 A 3