CN109328377A

CN109328377A - 秘密计算系统、秘密计算装置、秘密计算方法、以及程序

Info

Publication number: CN109328377A
Application number: CN201780037589.4A
Authority: CN
Inventors: 滨田浩气
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: Nippon Telegraph and Telephone Corp
Priority date: 2016-07-06
Filing date: 2017-06-30
Publication date: 2019-02-12
Anticipated expiration: 2037-06-30
Also published as: WO2018008545A1; US20190229904A1; JP6534778B2; EP3483866A1; CN109328377B; EP3483866A4; EP3483866B1; JPWO2018008545A1; US11121868B2

Abstract

通过秘密计算高效地计算费希尔精确检验。计算范围决定单元(12)决定i₀,i₁,x₀,x₁。事先计算单元(13)计算f(x₀),…,f(x₁)，生成排列M＝(f(x₀),…,f(x₁))。隐匿化单元(14)，将排列M隐匿化，生成隐匿文的排列<M>＝(<f(x₀)>,…,<f(x₁)>)。批量读取单元(15)执行下式，生成函数值的隐匿文(<f(a_i)>,<f(b_i)>,<f(c_i)>,<f(d_i)>)(i₀≦i≦i₁)，

Description

秘密计算系统、秘密计算装置、秘密计算方法、以及程序

技术领域

本发明涉及密码应用技术，特别是涉及不公开输入数据地计算费希尔精确检验(Fisher's exact test)的技术。

背景技术

作为关于作为2×2的列联表提供的说明变量和目的变量的有无关联而进行假设检验的统计学的检验法之一，费希尔的精确检验广为人知。在非专利文献1中，作为费希尔精确检验的利用例，记载了全基因组关联分析(GWAS:Genome-Wide Association Study)。

对费希尔精确检验进行说明。下表是按照有无变异和有无确定的疾病的发病对n人的被验者进行分类以及计数的2×2列联表的例子。

【表1】

	有变异	无变异	基于疾病的小计
				有疾病	a	b	n<sub>1·</sub>
无疾病	c	d	n<sub>2·</sub>
				基于变异的小计	n<sub>·1</sub>	n<sub>·2</sub>	n

表中的a,b,c,d表示频数，n_1·,n_2·,n_·1,n_·2表示小计，为n_1·＝a+b,n_2·＝c+d,n_·1＝a+c,n_·2＝b+d。a,b,c,d,n_1·,n_2·,n_·1,n_·2全部是非负整数。

这时，对于非负整数i，计算以式(1)定义的概率p_i，通过式(2)所示的概率的和p与称为显著性水平的规定的值α的大小关系，调查说明变量(上表的例子中为有无变异)和目的变量(在上表的例子中为有无疾病)有无关联。这里，p_a是对将实际的合计值即a,b,c,d设为频数的列联表，通过式(1)算出的概率值。

作为不复原被加密的数值而得到确定的运算结果的方法，有被称为秘密计算的方法(例如参照非专利文献2)。在非专利文献2的方法中，进行使数值的碎片分散到三个秘密计算装置的加密，通过三个秘密计算装置进行协调计算，可以不复原数值，而保持使加减运算、常数加法、乘法、常数倍、逻辑运算(“否”、“与”、“或”、“异或”)、数据形式变换(整数、二进数)的结果分散在三个秘密计算装置的状态，即仍被加密。

由于基因组信息的微妙性和机密性，有通过加密技术隐匿基因组信息，同时进行全基因组关联分析的现有研究(例如参照非专利文献3)。在非专利文献3中提出了隐匿基因组信息的同时进行卡方检验的方法。

【现有技术文献】

【非专利文献】

【非专利文献1】Konrad Karczewski,“How to do a GWAS”,Lecture note inGENE 210:Genomics and Personalized Medicine,2015.

【非专利文献2】千田浩司、濱田浩気、五十嵐大、高橋克巳、“軽量検証可能3パーティ秘匿関数計算の再考”、CSS2010、2010

【非专利文献3】Yihua Zhang,Marina Blanton,and Ghada Almashaqbeh,“Securedistributed genome analysis for gwas and sequence comparison computation”,BMCmedical informatics and decision making,Vol.15,No.Suppl 5,p.S4,2015.

发明内容

【发明要解决的课题】

在费希尔精确检验中计算各概率p_i时，出现许多x！或log(x！)等相同的计算。将该计算作为函数f(x)，预先计算函数f(x)的计算结果…,f(-1),f(0),f(1),f(2),…，可以根据需要通过参照计算结果的值而高效化。但是，以往技术在设a_i＝a+i,b_i＝b-i,c_i＝c-i,d_i＝d+i，计算f(a+b),f(c+d),f(a+c),f(b+d),f(a+b+c+d),f(a_i),f(b_i),f(c_i),f(d_i)时将计算结果的值设为m种类，在将计算的概率p_i设为n种类(即，i＝0,…,n-1)时，需要进行4n+5次m大小的表的参照。特别是，要在秘密计算中实现它的情况下，因为在m大小的表的参照中需要O(m)的计算量，所以全体的计算量为O(mn)。

本发明的秘密计算技术鉴于上述那样的点，目的是通过秘密计算高效地计算费希尔精确检验。

【用于解决课题的手段】

为了解决上述的课题，本发明的秘密计算系统为包含3台以上的秘密计算装置的秘密计算系统，秘密计算装置将a,b,c,d设为非负整数，将a设为2×2的列联表中的第1行第1列的频数，将b设为列联表中的第1行第2列的频数，将c设为列联表中的第2行第1列的频数，将d设为列联表中的第2行第2列的频数，将<a>,,<c>,<d>分别设为频数a,b,c,d的隐匿文，BatchRead(<α>；<β>；j₀,…,j_m-1)表示从大小为n的排列的隐匿文<α>＝(<α[0]>,<α[1]>,…,<α[n-1]>)生成大小为m的排列的隐匿文(<α[β+j₀mod n]>,…,<α[β+j_m-1mod n]>)的函数，秘密计算装置包括：决定满足i₀≦i₁,x₀≦x₁的i₀,i₁,x₀,x₁的计算范围决定单元；对于任意的函数f(x)，计算f(x₀),…,f(x₁)，生成排列M＝(f(x₀),…,f(x₁))的事先计算单元；将排列M隐匿化而生成隐匿文的排列<M>＝(<f(x₀)>,…,<f(x₁)>)的隐匿化单元；执行下式，生成函数值的隐匿文(<f(a_i)>,<f(b_i)>,<f(c_i)>,<f(d_i)>)(i₀≦i≦i₁)的批量读取单元。

发明效果

按照本发明，可以不公开成为费希尔精确检验的输入的列联表的频数a,b,c,d，而高效地求成为计算对象的频数的函数值f(a_i),f(b_i),f(c_i),f(d_i)。因此，可以通过秘密计算高效地计算费希尔精确检验。进而，可以在隐匿基因组信息的同时执行费希尔精确检验。这例如可以在仍隐匿了多个研究机构所持有的基因组数据而不相互公开地，得到综合的数据的费希尔精确检验的执行结果，可以期待提供安全级别极高的基因组解析的执行环境，进而还可以期待促进医疗的进一步发展。

附图说明

图1是例示秘密计算系统的功能结构的图。

图2是例示秘密计算装置的功能结构的图。

图3是例示秘密计算方法的处理步骤的图。

具体实施方式

实施方式的说明之前，说明本说明书中的表记方法以及本说明书中使用的用语的定义。

＜表记方法＞

将通过加密或秘密分散等将某个值隐匿化后的值称为a的隐匿文，表记为<a>。而且，将a称为<a>的明文。隐匿化为秘密分散的情况下，通过<a>参照各部分持有的秘密分散的碎片的集合。

＜隐匿偏移＞

将大小为n的隐匿文的排列<a>＝(<a[0]>,<a[1]>,…,<a[n-1]>)和偏移量d的隐匿文<d>作为输入，计算将<a>仅向左偏移了d的隐匿文的排列<a'>＝(<a[d]>,<a[d+1]>,…,<a[n-1]>,<a[0]>,<a[1]>,…,<a[d-1]>)的处理称为隐匿偏移，以下式记述。

<a′>←Shift(<a>,<d>)

实现隐匿偏移的方法记载在下述参考文献1中。

〔参考文献1〕濱田浩気、桐淵直人、五十嵐大、“ラウンド効率のよい秘密計算パターンマッチング”、コンピュータセキュリティシンポジウム2014論文集、第2014巻、pp.674-681、2014年10月

＜批量读取算法＞

批量读取算法是，将大小为n的隐匿文的排列<a>＝(<a[0]>,<a[1]>,…,<a[n-1]>)、表示位置的自然数x的隐匿文<x>、以及表示离x的相对的位置的m个明文j₀,j₁,…,j_m-1作为输入，不公开x和a[0],a[1],…,a[n-1]的值，得到m个隐匿文＝(<a[x+j₀mod n]>,<a[x+j₁mod n]>,…,<a[x+j_m-1mod n]>)的方法。以下，批量读取算法以下式记述。

←BatchRead(<a>；<x>；j₀,j₁,…,j_m-1)

批量读取算法通过使用上述的隐匿偏移如以下那样实际安装，可以更高效地执行。但是，本发明中可适用的批量读取算法不限于此，只要是可以实现上述的输入输出的算法可以是任意算法。首先，输入大小为n的隐匿文的排列<a>＝(<a[0]>,<a[1]>,…,<a[n-1]>)、表示位置的大于等于0且小于n的整数x的隐匿文<x>、以及表示离x的相对的位置的m个明文j₀,…,j_m-1。接着，通过<a'>←Shift(<a>,<x>)，得到将排列<a>仅向左偏移了<x>的排列<a'>＝(<a'[0]>,<a'[1]>,…,<a'[n-1]>)。然后，作为<b[k]>＝<a'[j_k]>(0≦k<m)，生成隐匿文的排列＝(<b[0]>,<b[1]>,…,<b[m-1]>)＝(<a'[j₀]>,<a'[j₁]>,…,<a'[j_m-1]>)。

以下，详细地说明本发明的实施方式。而且，对附图中具有相同的功能的结构单元赋予相同的标号，省略重复说明。

＜第一实施方式＞

如图1中例示的那样，第一实施方式的秘密计算系统包含n(≧3)台秘密计算装置1₁,…,1_n。在本实施方式中，秘密计算装置1₁,…,1_n分别连接到通信网2。通信网2是构成为秘密计算装置1₁,…,1_n各自可相互通信的电路交换方式或者分组交换方式的通信网，例如可以使用因特网、LAN(Local Area Network)、WAN(Wide Area Network)等。而且，各装置不一定需要能够经由通信网2以在线方式通信。例如，可以构成为将输入到秘密计算装置1_i(i∈{1,…,n})的信息存储在磁带或USB存储器等可拆装型记录介质中，从该可拆装型记录介质以离线方式输入。

如图2中例示的那样，秘密计算装置1包括：输入单元11、计算范围决定单元12、事先计算单元13、隐匿化单元14、批量读取单元15、以及输出单元16。该秘密计算装置1通过进行图3中例示的各步骤的处理，实现第一实施方式的秘密计算方法。

秘密计算装置1例如是在具有中央运算处理装置(CPU:Central ProcessingUnit)、主存储装置(RAM:Random Access Memory)等的公知或者专用的计算机中读入特别的程序而构成的特别的装置。秘密计算装置1例如在中央运算处理装置的控制下执行各处理。输入到秘密计算装置1的数据或在在各处理中得到的数据例如被存储在主存储装置中，存储在主存储装置中的数据根据需要被读出到中央运算处理装置，利用于其它处理。秘密计算装置1的各处理单元的至少一部分也可以通过集成电路等硬件构成。

参照图3，说明第一实施方式的秘密计算方法的处理步骤。

在步骤S11中，对输入单元11输入2×2列联表的频数的组(a,b,c,d)的隐匿文(<a>,,<c>,<d>)。这里，2×2列联表通过下表定义，a,b,c,d是非负整数。

【表2】

	有事件1	无事件1	基于事件2的小计
				有事件2	a	b	n<sub>1●</sub>
无事件2	c	d	n<sub>2●</sub>
				基于事件1的小计	n<sub>●1</sub>	n<sub>●2</sub>	n

在步骤S12中，计算范围决定单元12决定满足i₀≦i₁,x₀≦x₁的值i₀,i₁,x₀,x₁。这里，设为决定为i₀＝-n,i₁＝n,x₀＝-n,x₁＝2n。值x₀,x₁被送至事先计算单元13。值i₀,i₁被送至批量读取单元15。

在步骤S13中，事先计算单元13对于函数f(x)，计算f(x₀),f(x₀+1),…,f(x₁)，生成排列M＝(f(x₀),f(x₀+1),…,f(x₁))。在第一实施方式中，为了计算以下式定义的概率p_i(i₀≦i≦i₁)，函数f(x)设为f(x):＝x！。

在步骤S14中，隐匿化单元14生成将排列M隐匿化的隐匿文的排列<M>＝(<f(x₀)>,<f(x₀+1)>,…,<f(x₁)>)。隐匿文的排列<M>被送至批量读取单元15。

在步骤S15中，批量读取单元15执行下式，生成函数值的隐匿文(<f(a_i)>,<f(b_i)>,<f(c_i)>,<f(d_i)>)(i＝i₀,…,i₁)。

在步骤S16中，从输出单元16输出函数值的隐匿文(<f(a_i)>,<f(b_i)>,<f(c_i)>,<f(d_i)>)。

＜第二实施方式＞

参照图3，说明第二实施方式的秘密计算方法的处理步骤。以下，以与上述的第一实施方式的不同点为中心进行说明。

在步骤S13中，事先计算单元13对函数f(x)计算f(x₀),f(x₀+1),…,f(x₁)，生成排列M＝(f(x₀),f(x₀+1),…,f(x₁))。在第二实施方式中，为了在计算了以下式定义的概率logp_i(i₀≦i≦i₁)后计算概率p_i＝exp(log p_i)，函数f(x)设为f(x):＝log(x！)。

logp_i＝f(a+b)+f(c+d)+f(a+c)+f(b+d)

-f(a+b+c+d)-f(a_i)-f(b_i)-f(c_i)-f(d_i)

本发明的要点是，利用函数值f(a_i0),f(a_i0+1),…,f(a_i1)的输入a_i0,a_i0+1,…,a_i1的差是即使公开也可以的信息，使用批量读取算法高效地实现函数值的隐匿文<f(a_i0)>,<f(a_i0+1)>,…,<f(a_i1)>的计算。

通过这样构成，按照本发明的秘密计算技术，通过批量地执行多个表参照，可以在秘密计算中高效地计算费希尔精确检验。由于来自大小为n的排列的批量读取为O(n)的计算量，所以作为1+i₁-i₀＝K,1+x₁-x₀＝L，全体的计算量从O(KL)改善为O(L)。

以上，说明了本发明的实施方式，但是具体的结构不限于这些实施方式，在不脱离本发明的趣旨的范围内即使存在适当设计的变更等，不用说也包含在本发明中。实施方式中说明的各种处理，不仅可以按照记载的顺序时间序列地执行，也可以根据执行处理的装置的处理能力或者根据需要并行地或者单独地执行。

[程序，记录介质]

在通过计算机实现上述实施方式中说明的各装置中的各种处理功能的情况下，通过程序记述各装置应具有的功能的处理内容。然后，通过计算机执行该程序，在计算机上实现上述各装置中的各种处理功能。

记述了该处理内容的程序可以记录在计算机可读取的记录介质中。作为计算机可读取的记录介质，例如可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任何介质。

而且，该程序的流通例如通过销售、转让、租借等记录了该程序的DVD、CD-ROM等可拆装型记录介质来进行。进而，也可以设为将该程序存储在服务器计算机的存储装置中，经由网络，通过将该程序从服务器计算机转发到其它计算机，使该程序流通的结构。

执行这样的程序的计算机，例如，首先，将可拆装型记录介质中记录的程序或者从服务器计算机转发的程序暂时存储在自己的存储装置中。然后，在执行处理时，该计算机读取自己的记录装置中存储的程序，执行按照读取的程序的处理。而且，作为该程序其它执行方式，计算机也可以从可拆装型记录介质直接读取程序，执行按照该程序的处理，而且，也可以在每次从服务器计算机对该计算机转发程序时，逐次执行按照接受的程序的处理。而且，也可以设为通过不进行从服务器计算机向该计算机的程序的转发，仅通过该执行指示和结果取得来实现处理功能的、所谓ASP(Application Service Provider，应用服务提供商)型的服务，执行上述的处理的结构。而且，本方式中的程序中，包含供电子计算机的处理用的信息即基于程序的信息(虽然不是对于计算机的直接的指令，但是具有规定计算机的处理的性质的数据等)。

而且，在本方式中，设为通过在计算机上执行规定的程序来构成本装置，但是也可以硬件性地实现这些处理内容的至少一部分。

【产业上的可利用性】

本发明的秘密计算技术例如能够适用于，在处理机密信息的全基因组关联分析中，在隐匿了基因组信息的情况下通过秘密计算进行费希尔精确检验。

Claims

1.一种秘密计算系统，包含3台以上的秘密计算装置，

所述秘密计算装置包括：

计算范围决定单元，决定满足i₀≦i₁,x₀≦x₁的i₀,i₁,x₀,x₁；

事先计算单元，对于任意的函数f(x)，计算f(x₀),…,f(x₁)，生成排列M＝(f(x₀),…,f(x₁))；

隐匿化单元，将上述排列M隐匿化，生成隐匿文的排列<M>＝(<f(x₀)>,…,<f(x₁)>)；以及

批量读取单元，执行下式，生成函数值的隐匿文(<f(a_i)>,<f(b_i)>,<f(c_i)>,<f(d_i)>)(i₀≦i≦i₁)，

其中，将a,b,c,d设为非负整数，将a设为2×2的列联表中的第1行第1列的频数，将b设为上述列联表中的第1行第2列的频数，将c设为上述列联表中的第2行第1列的频数，将d设为上述列联表中的第2行第2列的频数，将<a>,,<c>,<d>分别设为频数a,b,c,d的隐匿文，BatchRead(<α>；<β>；j₀,…,j_m-1)表示从大小为n的排列的隐匿文<α>＝(<α[0]>,<α[1]>,…,<α[n-1]>)生成大小为m的排列的隐匿文(<α[β+j₀mod n]>,…,<α[β+j_m-1mod n]>)的函数。

2.如权利要求1所述的秘密计算系统，

所述事先计算单元将所述函数f(x)设为f(x):＝x！，为了计算以下式定义的概率p_i(i₀≦i≦i₁)，而计算f(x₀),…,f(x₁)，

3.如权利要求1所述的秘密计算系统，

所述事先计算单元将所述函数f(x)设为f(x):＝log(x！)，为了在计算以下式定义的log p_i(i₀≦i≦i₁)后计算概率p_i＝exp(log p_i)，而计算f(x₀),…,f(x₁)的单元，

log p_i＝f(a+b)+f(c+d)+f(a+c)+f(b+d)

-f(a+b+c+d)-f(a_i)-f(b_i)-f(c_i)-f(d_i)。

4.一种秘密计算装置，包括：

将a,b,c,d设为非负整数，将a设为2×2的列联表中的第1行第1列的频数，将b设为所述列联表中的第1行第2列的频数，将c设为所述列联表中的第2行第1列的频数，将d设为所述列联表中的第2行第2列的频数，将<a>,,<c>,<d>分别设为频数a,b,c,d的隐匿文，BatchRead(<α>；<β>；j₀,…,j_m-1)是表示从大小为n的排列的隐匿文<α>＝(<α[0]>,<α[1]>,…,<α[n-1]>)生成大小为m的排列的隐匿文(<α[β+j₀mod n]>,…,<α[β+j_m-1modn]>)的函数，

所述秘密计算装置包括：

隐匿化单元，将所述排列M隐匿化，生成隐匿文的排列<M>＝(<f(x₀)>,…,<f(x₁)>)；

5.一种秘密计算方法，

将a,b,c,d设为非负整数，将a设为2×2的列联表中的第1行第1列的频数，将b设为所述列联表中的第1行第2列的频数，将c设为所述列联表中的第2行第1列的频数，将d设为所述列联表中的第2行第2列的频数，将<a>,,<c>,<d>分别设为频数a,b,c,d的隐匿文，BatchRead(<α>；<β>；j₀,…,j_m-1)表示从大小为n的排列的隐匿文<α>＝(<α[0]>,<α[1]>,…,<α[n-1]>)生成大小为m的排列的隐匿文(<α[β+j₀mod n]>,…,<α[β+j_m-1mod n]>)的函数，计算范围决定单元决定满足i₀≦i₁,x₀≦x₁的i₀,i₁,x₀,x₁，

事先计算单元对于任意的函数f(x)，计算f(x₀),…,f(x₁)，生成排列M＝(f(x₀),…,f(x₁))，

隐匿化单元将所述排列M隐匿化，生成隐匿文的排列<M>＝(<f(x₀)>,…,<f(x₁)>)，

批量读取单元执行下式，生成函数值的隐匿文(<f(a_i)>,<f(b_i)>,<f(c_i)>,<f(d_i)>)(i₀≦i≦i₁)，

6.一种程序，使计算机具有作为权利要求4中记载的秘密计算装置的功能。