3570                               Journal of Software  软件学报 Vol.32, No.11, November 2021

                                   °
                 阈值 T i 将逐渐趋近于 T ,即 lim |T − T °  | ε≤ .
                                      i→∞  i
                    综上所述,基于 IRT 的隐私分数计算方法具有以下几个优点.
                    (1)  由于不同上传数据之间相互独立,因此 CSP 可以同时计算多个不同上传数据的 PR;
                    (2)  基于 IRT 的隐私分数计算中所使用的参数是通过似然函数估算得出的,满足群组不变性的性质要求,
                        这使得不同上传数据所对应的 PR 可以直接进行比较.
                 4    安全性证明与分析

                    新方案的设计目标是:通过阈值的可调节性,更好地保护隐私数据的安全.攻击者在不掌握原始数据的情况
                 下,仅仅通过数据的查询标签来欺骗 CSP 并获取数据的成功概率是可忽略的.在此,我们主要讨论查询标签的不
                 可伪造性和可区分性,安全性分析如下.
                                                                  *
                                                  *
                    引理 1.  对于安全的散列函数 H:{0,1} →G 1 ,∀D 1 ,D 2 ∈[0,1] ,D 1 ≠D 2 ,H(D 1 )=H(D 2 )的概率是可忽略的.
                    即 P[H(D 1 )=H(D 2 )|D 1 ≠D 2 ]≤ε,ε为可忽略的值.
                                                                                                 X
                    定理 1(数据查询标签的不可伪造性).  设初始上传用户 U 0 上传数据 F 的查询标签为 s F =e(Y,H(F)) .当用户
                                                  X
                 U j 上传 F′时,F′的查询标签为 s F′ =e(Y,H(F′)) .当且仅当 s F =s F′ 时 F=F′成立,即若 s F =s F′ ,则 F≠F′的概率是可忽略的.
                    证明:若 F≠F′,我们从以下两个方面讨论敌手对数据查询标签的攻击.
                    1.   假设敌手 A 是恶意用户,则 A 能获得参数 X;
                    2.   假设敌手 A 是 CSP,则对 A 而言,参数 H(F)和 X 都是不可预测的.
                    以上 2 种情况,敌手 A 都无法构造出满足等式 s F =s F′ 的查询标签.根据引理 1 可以推出:F≠F′⇔H(F)≠H(F′)⇔
                                                   X
                                          X
                                                                          X
                                                                                    X
                 e(Y,H(F))≠e(Y,H(F′))⇔e(Y,H(F)) ≠e(Y,H(F′)) ⇔s F ≠s F′ ,即 P[F≠F′|e(Y,H(F)) =e(Y,H(F′)) ]≤ε.因此,数据的查询标
                 签具有不可伪造性,根据 s F =s F′ 即可判断出 F=F′.证毕.                                                 □
                                                                                               X
                    定理 2(查询标签的可区分性).  设数据 F 的初始上传用户 U 0 上传的查询标签为 s F =e(Y,H(F)) .当用户 U j
                                                   X
                 上传 F′时,上传的查询标签为 s F′ =e(Y,H(F′)) .若 F≠F′,则 s F =s F′ 的概率是可忽略的,即 P[s F =s F′ |F≠F′]≤ε.
                    证明:假设存在 F≠F′使得 s F =s F′ .根据双线性映射的性质可得等式:
                                              X
                                                        X
                                                                      X
                                                             X
                                 s F =s F′ ⇔e(Y,H(F)) =e(Y,H(F′)) ⇔e(Y ,H(F))=e(Y ,H(F′))⇔H(F)=H(F′).
                    若使上式成立,则 H(F)=H(F′)必须成立.
                    根据引理 1 可得 F=F′,与假设矛盾,因此假设不成立,即 P[s F =s F′ |F≠F′]≤ε.
                    可见,当且仅当 F=F′时 s F =s F′ 成立.即数据的查询标签之间具有可区分性.证毕.                                   □
                    引理 2(计算 Diffie-Hellman 问题(CDH)).  假设(G 0 ,⋅)是一个 P 阶的乘法循环群,单位元记为 g.对于给定的
                                                     ∗
                   a
                                a
                 g,g ,h∈G 0 ,计算 Q=h ∈G 0 是困难的,其中, a∈ Z .
                                                     n
                    定理 3(数据标签的安全性). CSP 无法对数据的查询标签进行离线穷举攻击,进而获得任何明文信息.
                                                         X
                    证明:设 CSP 对数据的查询标签 s F =e(Y,H(F)) 进行离线穷举攻击.CSP 穷举大量数据{F i },试图找到满足
                 s F =s F′ 的数据 F′.CSP 可以计算出 e(Y,H(F 1 )),但由于不是授权用户,无法从广播中心获得安全参数 X.由引理 2 可
                                                        X
                                  X
                 知:即使已知 e(Y,H(F)) ,e(Y,H(F 1 )),计算 e(Y,H(F 1 )) 仍然是困难的.因此,CSP 无法通过穷举攻击的方式从查询标
                 签中获得数据明文信息.证毕.                                                                       □
                 5    仿真实验
                    实验采用 PBC    [27] 、GMP [28] 、PBC_bce [29] 和 OPENSSL [30] 函数库,使用 C++语言编程实现.选用腾讯云的云
                 存储服务器进行部署,其配置为 4GB 内存,4 核 CPU,1Mb/s 带宽,1T 存储盘.为便于用户理解和操作,本方案在实
                 现隐私分数评分时作出了较为人性化的设计.当上传用户对某一数据进行隐私分数评分时,只需给出一个
                 1~100 之间的数值作为评分即可.系统自动对其进行换算,并更新该数据隐私分数和阈值.这种符合百分制评分
                 习惯的方式,使用户更直观地理解上传数据的隐私程度,提升了用户体验.考虑到样本选取的难度,本文采用生