(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210817202.X (22)申请日 2022.07.12 (71)申请人 启明星辰信息技 术集团股份有限公 司 地址 100193 北京市海淀区东北旺西路8号 中关村软件园21号楼启明星辰 大厦一 层 申请人 北京启明星 辰信息安全技 术有限公 司 (72)发明人 于婧悦　卞超轶　 (74)专利代理 机构 北京科石知识产权代理有限 公司 11595 专利代理师 徐红岗 (51)Int.Cl. H04L 9/00(2022.01)H04L 9/06(2006.01) H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种去中心化的多服务器安全聚合系统和 方法 (57)摘要 一种去中心化的多服务器安全聚合系统和 方法， 该系统利用多服务器产生公共参数， 并由 多服务器共同维护的公告板系统进行数据的输 出与下载收集， 通过公钥加密和秘密共享保证数 据的安全性， 利用同态变色龙哈希实现聚合的验 证， 保证聚合的完整性， 构建了不依赖于可信第 三方、 且无需客户端与多服务器 之间建立安全信 道的非交互式安全聚合模式。 本系统中的系统架 构简单易于实现， 安全可验证， 并进一步提高了 通信效率。 权利要求书2页 说明书8页 附图2页 CN 115378572 A 2022.11.22 CN 115378572 A 1.一种去中心化的多服务器安全聚合系统， 其特征在于， 包括： 客户端， 服务器， 以及由 服务器共同进行维护的公告板系统， 其中： 公告板， 为各参与 方的数据交互中介， 所有参与方输出的数据均上传至公告板， 并从公 告板下载所需的数据； 客户端， 用于生成同态变色龙随机数， 计算自己私有输入的同态变色龙哈希值； 并基于 加法同态秘密 共享， 针对不同服务器分别生成自己私有输入和同态变色龙随机数的秘密 共 享份额， 将二 者经服务器公钥加密生成密文， 输出密文和所述同态变色龙哈希值； 服务器， 用于与其他服务器共 同参与生成同态变色龙哈希公共参数， 并分发给所有参 与方； 生成自己的公私钥对并将公钥公开； 对收集到的密 文解密， 将各客户端秘密共享份额 进行秘密聚合， 输出聚合结果； 所述系统为公开可验证， 任何一方均可利用公告板上公布的聚合结果和所述同态变色 龙哈希公共参数及同态变色龙哈希值， 对聚合结果进行秘密重构， 并基于变色龙哈希函数 的同态性对聚合结果进行验证。 2.根据权利要求1所述的安全聚合系统， 其特征在于， 所述系统包括运行于所述客户端 和服务器端的密码组件， 所述密码组件 包括： 公钥加密模块， 用于生成服务器的公私钥对， 对客户端发送的消息进行加密， 以及在服 务器端进行解密； 加法同态秘密共享模块， 用于基于加法同态秘密共享， 针对不同服务器分别生成自 己 私有输入和同态变色龙随机数 的秘密共享份额， 在服务器端进行秘密聚合， 以及对聚合结 果进行秘密重构； 同态变色龙哈希模块， 用于生成同态变色龙哈希公共参数和同态变色龙哈希值， 以及 基于变色龙哈希函数的同态性对聚合结果进行验证。 3.一种去中心化的多服 务器安全聚合方法， 包括以下步骤： 公共参数生成： 由多服 务器共同生成同态变色龙哈希的公共参数， 分发给 所有参与方； 密钥生成： 服 务器生成自己的公私钥对， 并公布公钥； 输入共享生成： 客户端生成同态变色龙随机数， 计算自 己私有输入的同态变色龙哈希 值； 并基于加法 同态秘密共享， 针对不同服务器分别生成自己私有输入和同态变色龙随机 数的秘密共享份额， 二 者经服务器公钥加密生成密文， 输出密文和同态变色龙哈希值； 聚合： 服务器解密收到的密文， 对收到的各客户端秘密共享份额进行秘密聚合， 输出聚 合结果； 验证： 任意参与 方利用公告板上公布的聚合结果和所述同态变色龙哈希公共参数及同 态变色龙哈希值， 对聚合结果进行秘密重构， 并基于变色龙哈希函数 的同态性对聚合结果 进行验证； 其中， 所有参与方输出的数据均输出至公告板并从公告板下 载所需的数据。 4.根据权利要求3所述的多服务器安全聚合方法， 其特征在于， 所述公共参数生成的方 法采用针对经典离 散对数问题的Σ协议经 Fiat‑Shamir转 化后的非交 互零知识证明算法： 给定公共输入(g,h,p)， 其中p为素数且|p|＝κ,g为 的一个阶为p的子群 的生成元， κ 为安全参数； 证明者向验证者证明他知道α 使得h＝gα，权　利　要　求　书 1/2 页 2 CN 115378572 A 2Prove(g,h, α ) →(a,z)： 证明者以g,h和私有输入α 作为输入， 其中h＝gα, (1)证明者随机 选取 并计算a＝gr； (2)对于哈希函数 计算e＝H(g,h,a)； (3)计算z＝r+e ·α； (4)输出证明(a,z)； Verify(g,h,a,z) →0/1： 验证者以g,h和证明(a,z)为输入， (1)根据上述哈希函数H( ·)， 计算e＝H(g,h,a)； (2)验证等式 gz＝a·he是否成立； (3)如果上述 等式成立， 则接受证明输出1， 否则拒绝证明， 输入0； 服务器Sj随机选取 并计算得到 利用 将(hj,aj,zj)公开； 服务器Sj或客户端Ci均可运行上述零知识证明协议的验证算法Verify(g,hj’,aj′,zj′)， 在对于j′∈{1,2,…m}均验证通过的情况下， 得到 作为同态变色龙哈希的公共参 数 CHpp， 其中j＝1, …m， m为聚合系统中多服 务器的个数。 5.根据权利要求3所述的多服务器安全聚合方法， 其特征在于， 还包括将客户端的私有 输入参数打包为 一个单独的大整数的步骤。 6.根据权利要求3所述的多服务器安全聚合方法， 其特征在于， 采用RSA公钥加密算法 进行公私钥对生成、 公钥加密和密文解密。 7.根据权利要求3所述的多服务器安全聚合方法， 其特征在于， 所述加法同态秘密共享 采用Shamir秘密分享方法， 用于生成秘密共享份额， 秘密聚合， 以及聚合结果的秘密重构。权　利　要　求　书 2/2 页 3 CN 115378572 A 3