(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111621978.6 (22)申请日 2021.12.28 (65)同一申请的已公布的文献号 申请公布号 CN 114003962 A (43)申请公布日 2022.02.01 (73)专利权人 支付宝 （杭州） 信息技 术有限公司 地址 310000 浙江省杭州市西湖区西溪路 556号8层B段801-1 1 (72)发明人 潘无穷　韦韬　李婷婷　李天一　 (74)专利代理 机构 北京亿腾知识产权代理事务 所(普通合伙) 11309 代理人 陈霁　周良玉 (51)Int.Cl. G06F 21/62(2013.01) G06F 21/60(2013.01)(56)对比文件 CN 112347501 A,2021.02.09 CN 112000979 A,2020.1 1.27 CN 112597524 A,2021.04.02 审查员 李思彤 (54)发明名称 保护数据隐私的多方数据查询方法及装置 (57)摘要 本说明书实施例提供一种保护数据隐私的 多方数据查询方法及装置， 多方包括多个数据拥 有方， 其各自持有N个目标对象的若干属性项的 属性值， 方法通过多方之外的中间方执行， 方法 包括： 获得各数据拥有方发送的N个目标对象的 属性值密文， 以得到密文表格， 其中， 密文表格的 一行对应于一个目标对象， 一列对应于一个属性 项； 以行为单位对密文表格进行乱序， 得到乱序 表格； 响应于针对目标属性项 查询排序相关数据 的查询指令， 对乱序表格中目标属性项对应的属 性值密文进行排序， 得到目标排序表格， 基于目 标排序表格， 得到排序相关数据作为 查询结果。 权利要求书3页 说明书18页 附图4页 CN 114003962 B 2022.04.12 CN 114003962 B 1.一种保护数据隐私的多方数据查询方法， 所述多方包括多个数据拥有方， 其各自持 有N个目标对象的若干属性项的属性值， 所述方法通过所述多方之外的中间方执行， 所述方 法包括： 获得各数据拥有方发送 的N个目标对象的属性值密文， 以得到密文表格， 其中， 所述密 文表格的一行对应于一个目标对象， 一列对应于一个属性项； 以行为单位对所述密文表格进行乱序， 得到乱序表格； 响应于针对目标属性项查询排序相关数据的查询 指令， 对所述乱序表格中所述目标属 性项对应的属性值密文进 行排序， 得到目标排序 表格， 基于所述目标排序 表格， 得到所述排 序相关数据作为 查询结果。 2.根据权利要求1所述的方法， 其中， 所述中间方为密态计算系统， 其中包括M个执行 方； 所述获得 各数据拥有方发送的N个目标对象的属性 值密文， 包括： 所述M个执行方中的各执行方， 分别获得各数据拥有方发送的一份属性值分片作为属 性值密文， 其中， 每 份属性值分片是， 各 数据拥有方将其持有的属性 值划分成M份而确定的； 所述以行为单位对所述密文表格进行乱序， 包括： 所述各执行方基于本方所持有 的属性值密文， 通过多方安全计算MPC方案， 与其他M ‑1 个执行方联合以行为单位对所述密文表格进行乱序。 3.根据权利要求1所述的方法， 其中， 所述排序相关数据为， 对所述目标属性项对应的 排序序列中指定X位的属性 值密文进行指定计算的计算结果； 所述得到所述 排序相关数据作为 查询结果， 包括： 从所述目标排序表格中得到所述指定X位的目标属性 值密文； 对所述目标属性 值密文进行所述指定计算。 4.根据权利要求1所述的方法， 其中， 所述以行为单位对所述密文表格进行乱序， 包括： 通过至少一个乱序流 程对所述密文表格进行乱序， 其中， 任一当前乱序流 程包括： 针对所述密文表格的各目标子表格， 从该目标子表格中确定 至少一对置换 行； 针对各对置换行， 以一定概率执行位置置换， 以得到该目标子表格对应的乱序子表格， 基于所述乱序子表格确定 本轮乱序流 程的输出表格， 用于形成所述乱序表格。 5.根据权利要求4所述的方法， 其中， 所述一定概率根据针对该对置换行生成的随机数 确定。 6.根据权利要求4所述的方法， 其中， 所述当前乱序流程为首次乱序流程时， 所述目标 子表格为所述密文表格； 所述当前乱序流程为非首次乱序流程时， 所述 目标子表格为上一 乱序流程对应的输出表格中行 数不小于2的表格。 7.根据权利要求4所述的方法， 其中， 所述从该目标子表格中确定至少一对置换行， 包 括： 基于该目标子表格的行 数， 确定循环阈值； 迭代执行多次循环过程， 每次循环过程包括， 至少基于当前的循环次数， 从该目标子表 格中选出至少一对置换 行； 直到达到与所述循环阈值相关的循环结束条件。 8.根据权利要求7所述的方法， 其中， 所述至少基于当前的循环次数， 从该目标子表格 中选出至少一对置换 行， 包括：权　利　要　求　书 1/3 页 2 CN 114003962 B 2从该目标子表格中， 分别选择所对应行标号等于当前的循环次数的行， 以及所对应行 标号等于当前的循环次数与所述循环阈值之和的行， 作为 一对置换 行。 9.根据权利要求7所述的方法， 其中， 所述基于所述乱序子表格确定本轮乱序流程的输 出表格， 包括： 利用所述循环阈值， 划分所述乱序子表格， 以确定出本轮乱序流 程的输出表格。 10.根据权利要 求7所述的方法， 其中， 所述循环阈值形式为2m， 其中m与该目标子表 格的 行数n满足如下 条件： 2m<n<=2m+1。 11.根据权利要求7所述的方法， 其中， 所述密文表格中各行对应的行标号通过二进制 表示； 至少基于当前的循环次数， 从该目标子表格中选出至少一对置换 行， 包括： 从该目标子表格中选择所对应行标号除第i位外其他位均相同的两行， 作为一对置换 行， 其中， 所述 i等于所述当前的循环次数， 所述目标子表格为所述密文表格自身。 12.根据权利要求1 ‑11任一项所述的方法， 其中， 所述对所述乱序表格 中所述目标属性 项对应的属性 值密文进行排序， 包括： 迭代执行多个排序流 程， 其中， 任意 一个排序流 程， 包括： 针对所述乱序表格中当前待排序的各表格部分， 从该表格部分包含的目标属性项对应 的属性值密文中， 确定出基准密文； 基于所述基准密文， 对该表格部分包含的目标属性项对应的其他属性值密文进行分 组， 以得到大于所述基准密文的第一行集 合， 小于所述基准密文的第二行集 合； 将各表格部分对应的第一行集合和第二行集合中行数大于1的集合， 作为下一排序流 程对应的待排序的表格部分； 直至得到目标排序表格。 13.根据权利要求12所述的方法， 其中， 所述分组还得到等于所述基准密文的第 三行集 合。 14.根据权利要求13所述的方法， 其中， 所述任意一个排序流程还包括， 将各表格部分 对应的第一行集合、 第二行集合和第三行集合进行排列放置， 使得第一行集合放置于第三 行集合的下部， 第二行集 合放置于第三行集 合的上部 。 15.根据权利要求1 ‑11任一项所述的方法， 其中， 所述以行为单位对所述密文表格进行 乱序， 包括： 判断所述密文表格的总行数是否满足预设乱序 条件， 其中， 所述预设乱序 条件包括： 总 行数等于预设数值的整数次幂； 若判断不满足所述预设乱序 条件， 使用特定行填充所述密文表格， 得到填充表格， 所述 填充表格的总行 数满足所述预设乱序条件； 以行为单位对所述 填充表格进行乱序， 以得到乱序表格。 16.根据权利要求15所述的方法， 所述得到目标排序表格， 包括： 对所述乱序表格中所述目标属性项对应的属性 值密文进行排序， 得到排序后表格； 将排序后表格中所填充的特定行移除， 得到所述目标排序表格。 17.一种保护数据隐私的多方数据查询装置， 所述多方包括多个数据拥 有方， 其各自持 有N个目标对象的若干属性项的属性值， 所述装置部署在所述多 方之外的中间方， 所述装置 包括：权　利　要　求　书 2/3 页 3 CN 114003962 B 3