类型a

Francesca Falzon（ETH Zürich，瑞士）和Evangelia Anna Markatou（TU Delft，荷兰）于2025年在《Proceedings on Privacy Enhancing Technologies》上发表了关于授权私有集合交集（APSI）的研究。

本研究属于隐私保护计算领域，旨在解决私有集合交集（PSI）协议中存在的安全隐患。传统的PSI协议允许两个互不信任的参与方安全地计算其集合的交集，但无法防止参与方在集合中注入额外元素以误导对方或获取更多信息。为了解决这一问题，研究人员提出了授权私有集合交集（APSI），通过引入可信第三方法官对集合元素进行授权来增强安全性。然而，APSI要求客户端向法官披露整个集合，这可能损害隐私。因此，作者提出了部分授权私有集合交集（Partial-APSI），这是一种新的隐私保护变体，允许客户端仅向法官披露集合的一部分子集进行授权。

该研究包括两个主要流程：授权阶段和交集计算阶段。首先，在授权阶段，客户端需要将其集合的部分或全部元素提交给法官进行授权。对于APSI协议，客户端将整个集合发送给完全可信的法官；而对于Partial-APSI协议，客户端使用随机数r对集合元素进行盲化处理，并仅向半诚实法官披露部分盲化值。法官验证这些披露的元素是否有效，如果有效，则对所有盲化值进行签名并返回给客户端。其次，在交集计算阶段，客户端和服务器共同计算集合交集。服务器对其集合元素进行编码，并与客户端交换信息以计算交集。在Partial-APSI中，客户端和服务器还需通过不经意伪随机函数（OPRF）协议，使服务器能够使用客户端的秘密r对集合元素进行指数运算。

研究中涉及的主要实验对象是模拟的信用卡号数据集，用于执行集合交集操作。实验在两种硬件环境下进行：一种是配备3.49 GHz CPU、16GB RAM和10核处理器的M2 MacBook Pro；另一种是配备双28核Intel Xeon Gold 6258R 2.7GHz处理器（Turbo最高可达4GHz/支持AVX512）、384GB DDR4 2933MHz ECC内存的计算集群。实验中使用了基于配对的密码学库（PBC库）实现默认的Type-3配对操作。此外，研究还实现了两种协议：APSI协议和Partial-APSI协议。

研究结果表明，APSI协议在授权阶段和交集计算阶段均表现出良好的性能。在授权阶段，客户端和服务器需要的时间比法官更多，因为法官只需对每个元素执行一次哈希函数评估和一次指数运算。通信量随N线性增长，但交集计算阶段所需的带宽总体较少。对于Partial-APSI协议，当|x| = |y|且p = 0.20时，时间趋势与APSI类似，但由于客户端在授权阶段对元素进行盲化处理并在交集计算阶段运行OPRF协议，服务器和客户端所需时间之间的差距更大。尽管如此，双线性配对仍然是最耗时的操作，新增的操作（如EEA和OPRF协议）对时间的影响较小。通信量也呈现类似的线性趋势，值得注意的是，虽然授权阶段的通信开销与APSI变体相似，但交集计算阶段需要更多的通信量。

该研究得出的主要结论是，所提出的APSI和Partial-APSI协议在保证安全性的同时，具有较高的效率和实用性。APSI协议在对抗恶意客户端和半诚实服务器的情况下是安全的，而Partial-APSI协议在对抗输入恶意客户端、半诚实法官和服务器的情况下也是安全的。这两种协议均可在商用硬件上高效运行，并且高度可并行化。研究的价值在于提供了更灵活的隐私保护方案，适用于广告转化率测量、基因组匹配和隐私政策合规等多种应用场景。

本研究的亮点包括：1）提出了一种新的实用APSI协议，基于双线性配对，优于以往工作，减少了通信轮次和渐近通信成本；2）引入并形式化了APSI的隐私保护推广版本——Partial-APSI；3）扩展了APSI协议以实现Partial-APSI功能；4）提供了正式的安全性和正确性分析，证明了协议的安全性；5）实现了两种协议并展示了其效率和高度并行化的特性。

此外，研究还探讨了如何将方案升级到恶意安全性，提出了密钥一致性的重要性，即确保在协议的两个阶段中使用相同的密钥对元素进行盲化/加密。研究建议通过让法官在授权阶段签署一个附加元素d，并在交集计算阶段将其发送给服务器，以确保密钥一致性。未来工作还包括使用恶意安全的OPRF协议。