CN111628991A - 一种通用且抗恶意敌手的安全计算方法 - Google Patents

Abstract

本发明公开了一种通用且抗恶意敌手的安全计算方法，是应用于由n个数据提供者提供计算输入和两个非共谋的计算方执行安全计算所组成的场景中，并包括以下步骤：1、输入承诺；2、承诺构造检查；3、标签一致性检验及标签计算；4、加密电路计算；5、输出验证。本发明能解决当前恶意敌手模型中多个数据提供者(如安全的云资源拍卖)的安全计算问题，从而能对输入和输出进行正确性和一致性的检查和对计算过程的检验，在恶意敌手存在的前提下实现隐私保护。

Description

一种通用且抗恶意敌手的安全计算方法

技术领域

本发明涉及网络与信息安全技术领域，尤其涉及一种通用且抗恶意敌手的安全计算方法。

背景技术

安全多方计算允许多个参与方共同计算一个在各自私有输入上的函数，同时保护每个参与方的输入不泄漏给其他方。由于安全多方计算和云计算技术的迅猛发展，研究者们提出了许多实用的安全计算方案。以拍卖为例，满足不同属性(如真实性、社会福利最大化等)的云资源拍卖机制有很多。然而，云资源拍卖的安全性却很少被考虑。如果没有安全保障，一些敏感信息可能会泄露，可能会造成不可弥补的损失。所以不同的安全拍卖机制得到了广泛的研究，在满足各种经济属性的同时保护拍卖隐私。为了解决拍卖过程中的隐私问题，将安全多方计算技术和拍卖机制结合是大家研究的目标。此类方案中，研究者们使用加密电路、秘密分享、同态加密等技术来保护隐私。然而，当前的安全拍卖方案，尤其是云资源拍卖，只在半诚实的敌手存在的情况下提供安全性。一旦存在恶意方，这些方案都不足以保证拍卖的安全性。

在现实生活中，存在这样一类通用的安全计算场景。在此场景中，多个数据所有者希望联合且安全地分析他们的数据。例如，私有数据由数据所有者持有，为了保护数据的隐私，数据所有者只提供加密后的输入数据。然后，计算方只负责参与计算，也就是说，计算方接收加密的输入数据并执行安全计算。最后，将加密的计算结果返回给数据所有者，而计算方不知道任何的明文结果。在满足上述计算场景的前提下，为了在恶意敌手存在的情况下保护数据的隐私，存在不小的挑战。而目前的方案没有同时满足输入的正确性和一致性，在计算过程中计算方不作假和验证最后的输出。

由此可见，在上述安全计算场景中，应该考虑到信息的隐私保护。也就是说，不仅要保护计算过程的隐私性，而且要对计算之前的输入阶段和计算之后的输出阶段进行检查。

发明内容

本发明为克服现有技术的不足之处，提供一种通用且抗恶意敌手的安全计算方法，以期能解决当前恶意敌手模型中多个数据提供者(如安全的云资源拍卖)的安全计算问题，从而能对输入和输出进行正确性和一致性的检查和对计算过程的检验，在恶意敌手存在的前提下实现隐私保护。

本发明为达到上述发明目的，采用如下技术方案：

本发明一种通用且抗恶意敌手的安全计算方法的特点是应用于由n个数据提供者{d₁,d₂,...,d_u,...,d_n}持有各自的私有输入数据{x₁,x₂,...,x_u,...,x_n}，并由两个非共谋的计算方P₁和P₂接收加密的私有输入数据后在两个加密电路中执行安全计算，从而得到最终输出{y₁,y₂,...,y_u,...,y_n}所组成的场景中；其中，d_u表示第u个数据提供者；x_u表示第u个数据提供者d_u的私有输入数据；y_u表示第u个数据提供者d_u的最终输出；u＝1,2,...,n；所述安全计算方法包括以下步骤：

步骤1、输入承诺：

步骤1.1、定义所述私有输入数据x_u的位数为l；所述私有输入数据x_u的每一位输入对应的承诺集合对的数量为s；

对于第u个数据提供者d_u的私有输入数据x_u的第i位输入，第u个数据提供者d_u按式(1)和式(2)共同产生s个承诺集合对

式(1)和式(2)中，com表示最佳绑定承诺方案；com(·)表示一个承诺；||表示字符串之间的连接符；b表示第i位的乱序值，且在每个承诺集合对中随机、独立地被选择，b∈{0,1}；W_u,i,j和W′_u,i,j分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对中第一个承诺集合和第二个承诺集合；

和

分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对在第一个加密电路中分配给0和1的标签；

和

分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对在第二个加密电路中分配给b和1-b的标签；

和

分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对在第二个加密电路中分配给0和1的标签；

和

分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对在第一个加密电路中分配给b和1-b的标签；j＝1,...,s；

步骤1.2、第u个数据提供者d_u为s个承诺集合对

产生一个位置集

其中，b_u,i,j表示第u个数据提供者d_u的第i位输入的第j个承诺集合对的标志位，且b_u,i,j∈{0,1}，当b_u,i,j＝0表示在第j个承诺集合对中输入承诺集为第一个承诺集合W_u,i,j；b_u,i,j＝1表示在第j个承诺集合对中输入承诺集为第二个承诺集合W′_u,i,j；

步骤1.3、第u个数据提供者d_u将所有承诺集合对发送给两个计算方P₁和P₂；

步骤2、承诺构造检查：

步骤2.1、对于第u个数据提供者d_u的第i位输入，第一计算方P₁使用抛硬币协议选择一个长度为s的随机字符串ρ₁∈{0,1}^s；第二计算方P₂使用抛硬币协议选择一个长度为s的随机字符串ρ₂∈{0,1}^s；

步骤2.2、两个计算方P₁和P₂交换随机字符串，双方都计算出最终的挑战字符串

当挑战字符串ρ中的第j位为1时，对应的承诺集合对{W_u,i,j,W′_u,i,j}作为检查集；当挑战字符串ρ中的第j位为0时，对应的承诺集合对{W_u,i,j,W′_u,i,j}作为评估集；

步骤2.3、对于第u个数据提供者d_u的第i位输入，第u个数据提供者d_u打开s个承诺集合对中检查集里的两个承诺集合；同时，第u个数据提供者d_u打开s个承诺集合对中评估集的位置集得到b_u,i,j，当b_u,i,j＝0表示打开评估集的第一个承诺集合，b_u,i,j＝1表示打开评估集的第二个承诺集合；

假设被打开的检查集或评估集为承诺集合W_u,i,j或W′_u,i,j，则定义承诺集合W_u,i,j或W′_u,i,j中包含的两个承诺分别被打开为两个三元组(K_1,1,K_1,2,K_1,3)和(K_2,1,K_2,2,K_2,3)，并将两个三元组发送给两个计算方P₁和P₂；其中，K_1,1、K_1,2和K_1,3分别表示第一个三元组的第一个值、第二个值和第三个值；K_2,1、K_2,2和K_2,3分别表示第二个三元组的第一个值、第二个值和第三个值；

两个计算方P₁和P₂分别检查两个三元组(K_1,1,K_1,2,K_1,3)和(K_2,1,K_2,2,K_2,3)的前两个值是否满足K_1,1≠K_1,2，K_2,1≠K_2,2；同时，两个三元组(K_1,1,K_1,2,K_1,3)和(K_2,1,K_2,2,K_2,3)的第三个值是否满足K_1,1＝K_2,3且K_2,1＝K_1,3或者满足K_1,2＝K_2,3且K_2,2＝K_1,3；

若同时满足，则表示通过承诺构造检查，并执行步骤3，否则表示未通过承诺构造检查，且两个计算方P₁和P₂都输出“错误的输入”并终止执行；

步骤3、标签一致性检验及标签计算：

对于第u个数据提供者d_u的第i位输入，定义其对应评估集的索引集合为

定义对应的输入承诺集为

步骤3.1、将输入承诺集

中的第一个承诺打开，并将打开后的三元组

发送给第一计算方P₁；

将输入承诺集

中的第二个承诺打开，并将打开后的三元组

发送给第二计算方P₂；其中，

和

分别表示打开输入承诺集

的第一个三元组的第一个值、第二个值和第三个值；

和

分别表示打开输入承诺集

的第二个三元组的第一个值、第二个值和第三个值；

步骤3.2、第一计算方P₁计算

和

其中，

表示异或操作；H表示一个抗碰撞的哈希函数；H(·)表示哈希函数值；H^1,q表示第一个加密电路的第q个哈希值，C^1,q表示第一个加密电路的第q个哈希承诺，q∈{1,2,3}；

步骤3.3、第二计算方P₂计算

和

其中，H^2,q表示第二个加密电路的第q个哈希值，C^2,q表示第二个加密电路的第q个哈希承诺；

步骤3.4、第一计算方P₁对(H^1,1,H^1,2)进行随机地排序，得到排序后的哈希值对

且对应顺序的哈希承诺为

第一计算方P₁将

和

发送给第二计算方P₂；其中，

和

分别表示重新排序后，第一个加密电路的第一个哈希值和第二个哈希值；

和

分别表示重新排序后，第一个加密电路的第一个哈希承诺和第二个哈希承诺；

步骤3.5、第二计算方P₂对(H^2,1,H^2,2)进行随机地排序，得到排序后的哈希值对

且对应顺序的哈希承诺为

第二计算方P₂将

和

发送给第一计算方P₁；其中，

和

分别表示重新排序后，第二个加密电路的第一个哈希值和第二个哈希值；

和

分别表示重新排序后，第二个加密电路的第一个哈希承诺和第二个哈希承诺；

步骤3.6、第一计算方P₁检查是否满足

如果满足，则执行步骤3.7；否则，所述第一计算方P₁输出“输入错误”的信息和第一证据后执行步骤3.8，所述第一证据由

和

组成；

步骤3.7、第二计算方P₂检查是否满足

如果满足，则执行步骤3.9，否则第二计算方P₂输出“输入错误”的信息和第二证据后执行步骤3.8，所述第二证据由

和

组成；

步骤3.8、所有的数据提供者都能通过检查相应的证据进行验证，若验证通过，则执行步骤3.9，否则终止执行；

步骤3.9、标签计算：

第一计算方P₁计算

第二计算方P₂计算

K^1,q表示第一个加密电路的第q个最终标签，K^2,q表示第二个加密电路的第q个最终标签；

第一计算方P₁使用(K^1,1,K^1,2)作为第一个加密电路的编码，使用K^1,3作为第二个加密电路的标签；第二计算方P₂使用(K^2,1,K^2,2)作为第二个加密电路的编码，使用K^2,3作为第一个加密电路的标签；

步骤4、加密电路计算：

步骤4.1、第一计算方P₁使用

作为所有数据提供者的输入的编码，产生第一个加密电路GC₁及其输出编码为E₁；其中，

和

分别表示在第一个加密电路中，对于数据提供者d_u的第i位输入，分配给0和分配给1的最终标签；

所述第一计算方P₁将第一个加密电路GC₁发送给第二计算方P₂，第一计算方P₁自己持有

其中，

和

分别表示在第一个加密电路中，对于第u个数据提供者d_u的第i位输出，分配给0和分配给1的标签；l′表示输出位的长度；

步骤4.2、第二计算方P₂使用

作为所有数据提供者的输入的编码，产生第二个加密电路GC₂及其输出编码为E₂；其中，

和

分别表示在第二个加密电路中，对于第u个数据提供者d_u的第i位输入，分配给0和分配给1的最终标签；

所述第二计算方P₂将第二个加密电路GC₂发送给第一计算方P₁，第二计算方P₂自己持有

其中，

和

分别表示在第二个加密电路中，对于第u个数据提供者d_u的第i位输出，分配给0和分配给1的标签；

步骤4.3、第一计算方P₁使用

作为输入标签计算第二个加密电路GC₂，从而获得输出标签

其中，x_u,i和y_u,i分别表示第u个数据提供者d_u的第i位的输入和输出；u＝1,2,...,n；x_u,i∈{0,1}；y_u,i∈{0,1}；

步骤4.4、第二计算方P₂使用

作为输入标签计算第二个加密电路GC₁，从而获得输出标签

其中，x_u,i和y_u,i分别表示第u个数据提供者d_u的第i位的输入和输出；

步骤5、输出验证：

步骤5.1、第一计算方P₁通过式(3)计算出第一个加密电路的输出编码的承诺com(E₁)，并通过式(4)计算出第二个加密电路的输出标签的承诺com(O₂)：

式(3)和式(4)中，E_1,u表示第u个数据提供者d_u收到的第一次加密电路的输出编码；O_2,u表示第u个数据提供者d_u收到的第二次加密电路的输出标签；

步骤5.2、第二计算方P₂通过式(5)计算出第二个加密电路的输出编码的承诺com(E₂)，并通过式(6)计算出第一个加密电路的输出标签的承诺com(O₁)：

式(5)和式(6)中，E_2,u表示第u个数据提供者d_u收到的第二次加密电路的输出编码；O_1,u表示第u个数据提供者d_u收到的第一次加密电路的输出标签；

步骤5.3、两个计算方P₁和P₂向所有的数据提供者公布所有的承诺；

步骤5.4、对于第u个数据提供者d_u，第一计算方P₁打开承诺com(E_1,u)和com(O_2,u)；第二计算方P₂打开承诺com(E_2,u)和com(O_1,u)；

步骤5.5、第u个数据提供者d_u通过输出标签O_1,u和输出编码E_1,u解密得到第一个加密电路的明文结果

并通过输出标签O_2,u和输出编码E_2,u解密得到第二个加密电路的明文结果

第u个数据提供者d_u检查是否满足

如果满足，则表示检查成功，第u个数据提供者d_u接受明文结果

或

作为私有输入数据x_u的输出结果y_u，否则表示检查失败，第u个数据提供者d_u丢弃明文结果

和

并通过公布输出标签O_1,u和O_2,u以及输出编码E_1,u和E_2,u来向其他数据提供者证明失败结果。

本发明所述的安全计算方法的特点也在于，所述步骤3.8包括：

假设任意一个数据提供者d₀作为验证者收到了一个由

和

组成的第二证据，所述第二证据表明对于第u个数据提供者d_u的第i个输入不满足一致性；所述验证者d₀按如下过程进行结果验证：

步骤3.8.1、所述验证者d₀请求第一计算方P₁打开哈希承诺

和

从而得到抗碰撞的哈希函数值

和

其中，

和

分别为重排序后的哈希承诺

和

包含的标签；

所述验证者d₀请求第二计算方P₂打开哈希承诺C^2,3，从而得到抗碰撞的哈希函数值

步骤3.8.2、所述验证者d₀检查是否满足

和

如果都满足，则执行步骤3.8.3；否则所述验证者d₀得出有一个计算方欺骗的结论；

步骤3.8.3、对于所有的

所述验证者d₀检查是否满足

或者

如果满足则表示验证成功，否则，表示检查失败，验证标签不一致。

与现有技术相比，本发明的有益效果在于：

1、本发明能在恶意敌手存在的情况下为多个数据提供者提供安全计算，并通过只运行两个独立的加密电路(交换计算双方的角色)就实现了恶意敌手模型中的安全性，并且在加密电路计算中消除了无关传输技术的使用；从而带来了在恶意敌手模型中安全计算效率的提升；

2、本发明设计了一个输入一致性检查机制，以确保所有的数据提供者为两个独立的加密电路的计算提供相同的输入值；此外，该机制可以通过提供作弊证据来确定哪些数据提供者正在作弊；从而保证了输入的正确性和一致性，避免了恶意的数据提供者造成的影响；

3、本发明还设计了一个输出验证机制，这样所有的数据提供者都可以公开地验证输出的正确性，而计算双方都不知道输出的任何信息；从而保证了输出的正确性，保护了输出的隐私；

4、本发明提出的面向多数据提供者的安全计算方法针对现实场景，不仅可以保护隐私，而且只要符合此类计算场景都是通用的。

附图说明

图1是本发明方法的应用场景图；

图2是本发明的输入承诺集合图；

图3是本发明的承诺构造检查图；

图4是本发明的标签一致性检验图；

图5是本发明的标签评估图。

具体实施方式

本实施例中，如图1所示，一种通用且抗恶意敌手的安全计算方法，是应用于由n个数据提供者{d₁,d₂,...,d_u,...,d_n}持有各自的私有输入数据{x₁,x₂,...,x_u,...,x_n}，并由两个非共谋的计算方P₁和P₂接收加密的私有输入数据后在两个加密电路中执行安全计算f(x₁,x₂,...,x_u,...,x_n)，从而得到相应的最终输出{y₁,y₂,...,y_u,...,y_n}所组成的场景中；其中，d_u表示第u个数据提供者；x_u表示第u个数据提供者d_u的私有输入数据；f表示一个基于n个数据提供者的私有输入数据合作计算的函数；y_u表示第u个数据提供者d_u的最终输出；u＝1,2,...,n；该安全计算方法包括以下步骤：

步骤1、输入承诺：

步骤1.1、定义私有输入数据x_u的位数为l；私有输入数据x_u的每一位输入对应的承诺集合对的数量为s；

对于第u个数据提供者d_u的私有输入数据x_u的第i位输入，第u个数据提供者d_u按式(1)和式(2)共同产生s个承诺集合对

式(1)和式(2)中，com表示最佳绑定承诺方案，此方案参考文献[Foundations ofcryptography:volume 1，basic tools，2007]里的perfectly binding commitmentscheme；com(·)表示一个承诺；

和

分别是W_u,i,j里的第一个承诺和第二个承诺；

和

分别是W′_u,i,j里的第一个承诺和第二个承诺；||表示字符串之间的连接符；b表示第i位的乱序值，且在每个承诺集合对中随机、独立地被选择，b∈{0,1}；W_u,i,j和W′_u,i,j分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对中第一个承诺集合和第二个承诺集合；

和

分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对在第一个加密电路中分配给0和1的标签；

和

分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对在第二个加密电路中分配给b和1-b的标签；

和

分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对在第二个加密电路中分配给0和1的标签；

和

分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对在第一个加密电路中分配给b和1-b的标签；j＝1,...,s；

步骤1.2、第u个数据提供者d_u为s个承诺集合对

产生一个位置集

其中，b_u,i,j表示第u个数据提供者d_u的第i位输入的第j个承诺集合对的标志位，且b_u,i,j∈{0,1}，当b_u,i,j＝0表示在第j个承诺集合对中输入承诺集为第一个承诺集合W_u,i,j；b_u,i,j＝1表示在第j个承诺集合对中输入承诺集为第二个承诺集合W′_u,i,j；

图2左边表示对应于第u个数据提供者d_u的第一位输入线的所有承诺集合对；右边一列代表第一位输入线的位置集；假设第u个数据提供者d_u的第一位输入线的位置集为{com(0),com(1),...,com(0)}，则代表对应的输入承诺集合分别为W_u,1,1,W′_u,1,2,...,W_u,1,s；

步骤1.3、第u个数据提供者d_u将所有承诺集合对发送给两个计算方P₁和P₂；

步骤2、承诺构造检查：

步骤2.1、对于第u个数据提供者d_u的第i位输入，第一计算方P₁使用抛硬币协议选择一个长度为s的随机字符串ρ₁∈{0,1}^s；第二计算方P₂使用抛硬币协议选择一个长度为s的随机字符串ρ₂∈{0,1}^s；

步骤2.2、两个计算方P₁和P₂交换随机字符串，双方都计算出最终的挑战字符串

当挑战字符串ρ中的第j位为1时，对应的承诺集合对{W_u,i,j,W′_u,i,j}作为检查集；当挑战字符串ρ中的第j位为0时，对应的承诺集合对{W_u,i,j,W′_u,i,j}作为评估集；

步骤2.3、对于第u个数据提供者d_u的第i位输入，第u个数据提供者d_u打开s个承诺集合对中检查集里的两个承诺集合；同时，第u个数据提供者d_u打开s个承诺集合对中评估集的位置集得到b_u,i,j，当b_u,i,j＝0表示打开评估集的第一个承诺集合，b_u,i,j＝1表示打开评估集的第二个承诺集合；

假设被打开的检查集或评估集为承诺集合W_u,i,j或W′_u,i,j，则定义承诺集合W_u,i,j或W′_u,i,j中包含的两个承诺分别被打开为两个三元组(K_1,1,K_1,2,K_1,3)和(K_2,1,K_2,2,K_2,3)，并将两个三元组发送给两个计算方P₁和P₂；其中，K_1,1、K_1,2和K_1,3分别表示第一个三元组的第一个值、第二个值和第三个值；K_2,1、K_2,2和K_2,3分别表示第二个三元组的第一个值、第二个值和第三个值；

两个计算方P₁和P₂分别检查两个三元组(K_1,1,K_1,2,K_1,3)和(K_2,1,K_2,2,K_2,3)的前两个值是否满足K_1,1≠K_1,2，K_2,1≠K_2,2；同时，两个三元组(K_1,1,K_1,2,K_1,3)和(K_2,1,K_2,2,K_2,3)的第三个值是否满足K_1,1＝K_2,3且K_2,1＝K_1,3或者满足K_1,2＝K_2,3且K_2,2＝K_1,3；

若同时满足，则表示通过承诺构造检查，并执行步骤3，否则表示未通过承诺构造检查，且两个计算方P₁和P₂都输出“错误的输入”并终止执行；

图3表示对第u个数据提供者d_u的第一位输入线进行承诺构造检查的例子；在此实施例例中，假设挑战字符串ρ＝<1010…0>，这决定了在图3中，被矩形圈出的承诺集合属于检查集，没有被矩形圈出的承诺集合属于评估集，检查集里的承诺全部被打开；第u个数据提供者d_u的第一位输入线对应的位置集为{com(0),com(1),com(1),com(0)...,com(0)}，这决定了在图3的评估集中，被圆圈圈出的输入承诺集被打开；最后，两个计算方P₁和P₂按步骤2.3方法检查是否所有被打开的检查集都被正确地构造；

步骤3、标签一致性检验及标签计算：

对于第u个数据提供者d_u的第i位输入，定义其对应评估集的索引集合为

定义对应的输入承诺集为

步骤3.1、将输入承诺集

中的第一个承诺打开，并将打开后的三元组

发送给第一计算方P₁；

将输入承诺集

中的第二个承诺打开，并将打开后的三元组

发送给第二计算方P₂；其中，

和

分别表示打开输入承诺集

的第一个三元组的第一个值、第二个值和第三个值；

和

分别表示打开输入承诺集

的第二个三元组的第一个值、第二个值和第三个值；

步骤3.2、第一计算方P₁计算

和

其中，

表示异或操作；H表示一个抗碰撞的哈希函数；H(·)表示一个哈希函数值；

表示哈希值

之间的异或操作；

表示哈希值

之间的连接操作；H^1,q表示第一个加密电路的第q个哈希值，C^1,q表示第一个加密电路的第q个哈希承诺，q∈{1,2,3}；

步骤3.3、第二计算方P₂计算

和

其中，H^2,q表示第二个加密电路的第q个哈希值，C^2,q表示第二个加密电路的第q个哈希承诺；

步骤3.4、第一计算方P₁对(H^1,1,H^1,2)进行随机地排序，得到排序后的哈希值对

且对应顺序的哈希承诺为

第一计算方P₁将

和

发送给第二计算方P₂；其中，

和

分别表示重新排序后，第一个加密电路的第一个哈希值和第二个哈希值；

和

分别表示重新排序后，第一个加密电路的第一个哈希承诺和第二个哈希承诺；

步骤3.5、第二计算方P₂对(H^2,1,H^2,2)进行随机地排序，得到排序后的哈希值对

且对应顺序的哈希承诺为

第二计算方P₂将

和

发送给第一计算方P₁；其中，

和

分别表示重新排序后，第二个加密电路的第一个哈希值和第二个哈希值；

和

分别表示重新排序后，第二个加密电路的第一个哈希承诺和第二个哈希承诺；

步骤3.6、第一计算方P₁检查是否满足

如果满足，则执行步骤3.7；否则，第一计算方P₁输出“输入错误”的信息和第一证据后执行步骤3.8，第一证据由

和

组成；

步骤3.7、第二计算方P₂检查是否满足

如果满足，则执行步骤3.9，否则第二计算方P₂输出“输入错误”的信息和第二证据后执行步骤3.8，第二证据由

和

组成；

步骤3.8、所有的数据提供者都能通过检查相应的证据进行验证，若验证通过，则执行步骤3.9，否则终止执行；

假设任意一个数据提供者d₀作为验证者收到了一个由

和

组成的第二证据，第二证据表明对于第u个数据提供者d_u的第i个输入不满足一致性；验证者d₀按如下过程进行结果验证：

步骤3.8.1、验证者d₀请求第一计算方P₁打开哈希承诺

和

从而得到抗碰撞的哈希函数值

和

其中，

和

分别为重排序后的哈希承诺

和

包含的标签；

验证者d₀请求第二计算方P₂打开哈希承诺C^2,3，从而得到抗碰撞的哈希函数值

步骤3.8.2、验证者d₀检查是否满足

和

如果都满足，则执行步骤3.8.3；否则验证者d₀得出有一个计算方欺骗的结论；

步骤3.8.3、对于所有的

验证者d₀检查是否满足

或者

如果满足则表示验证成功，否则，表示检查失败，验证标签不一致；

图4演示了在图3的例子前提下，如何检查第u个数据提供者d_u的第一位输入线的标签一致性；对于第一位输入线，在图4中所有的输入承诺集里，相同位置被打开的标签进行哈希后再相互之间进行异或操作，即第一计算方P₁计算

和

第二计算方P₂计算

和

其中，

和

分别表示第一个加密电路中，对于第u个数据提供者d_u的第一位输入线，分配给0和1的最终哈希值，

和

分别表示第二个加密电路中，对于第u个数据提供者d_u的第一位输入线，分配给0和1的最终哈希值；第一计算方P₁对

随机排序得到

并将

发送给第二计算方P₂，第二计算方P₂检查

是否包含在

中；其中，

和

分别表示重排序后第一个加密电路中，对于第u个数据提供者d_u的第一位输入线的第一个和第二个最终哈希值；类似地，第二计算方P₂对

随机排序得到

并将

发送给第一计算方P₁，第一计算方P₁检查

是否包含在

中；其中，

和

分别表示重排序后第二个加密电路中，对于第u个数据提供者d_u的第一位输入线的第一个和第二个最终哈希值；如果两个检查都成功，则标签一致性检查成功；如果检查失败，则按步骤3.8进行验证；

步骤3.9、标签计算：

第一计算方P₁计算

第二计算方P₂计算

K^1,q表示第一个加密电路的第q个最终标签，K^2,q表示第二个加密电路的第q个最终标签；

第一计算方P₁使用(K^1,1,K^1,2)作为第一个加密电路的编码，使用K^1,3作为第二个加密电路的标签；第二计算方P₂使用(K^2,1,K^2,2)作为第二个加密电路的编码，使用K^2,3作为第一个加密电路的标签；

图5显示了在图3的例子的前提下，如何计算第u个数据提供者d_u的第一位输入线的最终的标签；对于第一位输入线的输入承诺集，相同位置上的所有打开的标签都被执行异或操作以得到最终的标签；具体来说，第一计算方P₁计算

和

第二计算方P₂计算

和

其中，

和

分别表示在第一个加密电路中，对于第u个数据提供者d_u的第一位输入，分配给0和分配给1的最终标签；

和

分别表示在第二个加密电路中，对于第u个数据提供者d_u的第一位输入，分配给0和分配给1的最终标签；最后，第一计算方P₁将

作为第一个加密电路的编码，使用

作为第二个加密电路的标签；类似地，第二计算方P₂将

作为第一个加密电路的编码，使用

作为第二个加密电路的标签；

步骤4、加密电路计算：

步骤4.1、第一计算方P₁使用

作为所有数据提供者的输入的编码，产生第一个加密电路GC₁及其输出编码为E₁；其中，

和

分别表示在第一个加密电路中，对于数据提供者d_u的第i位输入，分配给0和分配给1的最终标签；

第一计算方P₁将第一个加密电路GC₁发送给第二计算方P₂，第一计算方P₁自己持有

其中，

和

分别表示在第一个加密电路中，对于第u个数据提供者d_u的第i位输出，分配给0和分配给1的标签；l′表示输出位的长度；

步骤4.2、第二计算方P₂使用

作为所有数据提供者的输入的编码，产生第二个加密电路GC₂及其输出编码为E₂；其中，

和

分别表示在第二个加密电路中，对于第u个数据提供者d_u的第i位输入，分配给0和分配给1的最终标签；

第二计算方P₂将第二个加密电路GC₂发送给第一计算方P₁，第二计算方P₂自己持有

其中，

和

分别表示在第二个加密电路中，对于第u个数据提供者d_u的第i位输出，分配给0和分配给1的标签；

步骤4.3、第一计算方P₁使用

作为输入标签计算第二个加密电路GC₂，从而获得输出标签

其中，x_u,i和y_u,i分别表示第u个数据提供者d_u的第i位的输入和输出；u＝1,2,...,n；x_u,i∈{0,1}；y_u,i∈{0,1}；

步骤4.4、第二计算方P₂使用

作为输入标签计算第二个加密电路GC₁，从而获得输出标签

其中，x_u,i和y_u,i分别表示第u个数据提供者d_u的第i位的输入和输出；

步骤5、输出验证：

步骤5.1、第一计算方P₁通过式(3)计算出第一个加密电路的输出编码的承诺com(E₁)，并通过式(4)计算出第二个加密电路的输出标签的承诺com(O₂)：

式(3)和式(4)中，E_1,u表示第u个数据提供者d_u收到的第一次加密电路的输出编码；O_2,u表示第u个数据提供者d_u收到的第二次加密电路的输出标签；

步骤5.2、第二计算方P₂通过式(5)计算出第二个加密电路的输出编码的承诺com(E₂)，并通过式(6)计算出第一个加密电路的输出标签的承诺com(O₁)：

式(5)和式(6)中，E_2,u表示第u个数据提供者d_u收到的第二次加密电路的输出编码；O_1,u表示第u个数据提供者d_u收到的第一次加密电路的输出标签；

步骤5.3、两个计算方P₁和P₂向所有的数据提供者公布所有的承诺；

步骤5.4、对于第u个数据提供者d_u，第一计算方P₁打开承诺com(E_1,u)和com(O_2,u)；第二计算方P₂打开承诺com(E_2,u)和com(O_1,u)；

步骤5.5、第u个数据提供者d_u通过输出标签O_1,u和输出编码E_1,u解密得到第一个加密电路的明文结果

并通过输出标签O_2,u和输出编码E_2,u解密得到第二个加密电路的明文结果

第u个数据提供者d_u检查是否满足

如果满足，则表示检查成功，第u个数据提供者d_u接受明文结果

或

作为私有输入数据x_u的输出结果y_u，否则表示检查失败，第u个数据提供者d_u丢弃明文结果

和

并通过公布输出标签O_1,u和O_2,u以及输出编码E_1,u和E_2,u来向其他数据提供者证明失败结果。

Claims (2)

1.一种通用且抗恶意敌手的安全计算方法，其特征是应用于由n个数据提供者{d₁,d₂,...,d_u,...,d_n}持有各自的私有输入数据{x₁,x₂,...,x_u,...,x_n}，并由两个非共谋的计算方P₁和P₂接收加密的私有输入数据后在两个加密电路中执行安全计算，从而得到最终输出{y₁,y₂,...,y_u,...,y_n}所组成的场景中；其中，d_u表示第u个数据提供者；x_u表示第u个数据提供者d_u的私有输入数据；y_u表示第u个数据提供者d_u的最终输出；u＝1,2,...,n；所述安全计算方法包括以下步骤：

步骤1、输入承诺：

步骤1.1、定义所述私有输入数据x_u的位数为l；所述私有输入数据x_u的每一位输入对应的承诺集合对的数量为s；

对于第u个数据提供者d_u的私有输入数据x_u的第i位输入，第u个数据提供者d_u按式(1)和式(2)共同产生s个承诺集合对

式(1)和式(2)中，com表示最佳绑定承诺方案；com(·)表示一个承诺；||表示字符串之间的连接符；b表示第i位的乱序值，且在每个承诺集合对中随机、独立地被选择，b∈{0,1}；W_u,i,j和W′_u,i,j分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对中第一个承诺集合和第二个承诺集合；

和

分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对在第一个加密电路中分配给0和1的标签；

和

分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对在第二个加密电路中分配给b和1-b的标签；

和

分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对在第二个加密电路中分配给0和1的标签；

和

分别表示第u个数据提供者d_u的第i位输入的第j个承诺集合对在第一个加密电路中分配给b和1-b的标签；j＝1,...,s；

步骤1.2、第u个数据提供者d_u为s个承诺集合对

产生一个位置集

其中，b_u,i,j表示第u个数据提供者d_u的第i位输入的第j个承诺集合对的标志位，且b_u,i,j∈{0,1}，当b_u,i,j＝0表示在第j个承诺集合对中输入承诺集为第一个承诺集合W_u,i,j；b_u,i,j＝1表示在第j个承诺集合对中输入承诺集为第二个承诺集合W′_u,i,j；

步骤1.3、第u个数据提供者d_u将所有承诺集合对发送给两个计算方P₁和P₂；

步骤2、承诺构造检查：

步骤2.1、对于第u个数据提供者d_u的第i位输入，第一计算方P₁使用抛硬币协议选择一个长度为s的随机字符串ρ₁∈{0,1}^s；第二计算方P₂使用抛硬币协议选择一个长度为s的随机字符串ρ₂∈{0,1}^s；

步骤2.2、两个计算方P₁和P₂交换随机字符串，双方都计算出最终的挑战字符串

当挑战字符串ρ中的第j位为1时，对应的承诺集合对{W_u,i,j,W′_u,i,j}作为检查集；当挑战字符串ρ中的第j位为0时，对应的承诺集合对{W_u,i,j,W′_u,i,j}作为评估集；

步骤2.3、对于第u个数据提供者d_u的第i位输入，第u个数据提供者d_u打开s个承诺集合对中检查集里的两个承诺集合；同时，第u个数据提供者d_u打开s个承诺集合对中评估集的位置集得到b_u,i,j，当b_u,i,j＝0表示打开评估集的第一个承诺集合，b_u,i,j＝1表示打开评估集的第二个承诺集合；

假设被打开的检查集或评估集为承诺集合W_u,i,j或W′_u,i,j，则定义承诺集合W_u,i,j或W′_u,i,j中包含的两个承诺分别被打开为两个三元组(K_1,1,K_1,2,K_1,3)和(K_2,1,K_2,2,K_2,3)，并将两个三元组发送给两个计算方P₁和P₂；其中，K_1,1、K_1,2和K_1,3分别表示第一个三元组的第一个值、第二个值和第三个值；K_2,1、K_2,2和K_2,3分别表示第二个三元组的第一个值、第二个值和第三个值；

两个计算方P₁和P₂分别检查两个三元组(K_1,1,K_1,2,K_1,3)和(K_2,1,K_2,2,K_2,3)的前两个值是否满足K_1,1≠K_1,2，K_2,1≠K_2,2；同时，两个三元组(K_1,1,K_1,2,K_1,3)和(K_2,1,K_2,2,K_2,3)的第三个值是否满足K_1,1＝K_2,3且K_2,1＝K_1,3或者满足K_1,2＝K_2,3且K_2,2＝K_1,3；

若同时满足，则表示通过承诺构造检查，并执行步骤3，否则表示未通过承诺构造检查，且两个计算方P₁和P₂都输出“错误的输入”并终止执行；

步骤3、标签一致性检验及标签计算：

对于第u个数据提供者d_u的第i位输入，定义其对应评估集的索引集合为

定义对应的输入承诺集为

步骤3.1、将输入承诺集

中的第一个承诺打开，并将打开后的三元组

发送给第一计算方P₁；

将输入承诺集

中的第二个承诺打开，并将打开后的三元组

发送给第二计算方P₂；其中，

和

分别表示打开输入承诺集

的第一个三元组的第一个值、第二个值和第三个值；

和

分别表示打开输入承诺集

的第二个三元组的第一个值、第二个值和第三个值；

步骤3.2、第一计算方P₁计算

和

其中，

表示异或操作；H表示一个抗碰撞的哈希函数；H(·)表示哈希函数值；H^1,q表示第一个加密电路的第q个哈希值，C^1,q表示第一个加密电路的第q个哈希承诺，q∈{1,2,3}；

步骤3.3、第二计算方P₂计算

和

其中，H^2,q表示第二个加密电路的第q个哈希值，C^2,q表示第二个加密电路的第q个哈希承诺；

步骤3.4、第一计算方P₁对(H^1,1,H^1,2)进行随机地排序，得到排序后的哈希值对

且对应顺序的哈希承诺为

第一计算方P₁将

和

发送给第二计算方P₂；其中，

和

分别表示重新排序后，第一个加密电路的第一个哈希值和第二个哈希值；

和

分别表示重新排序后，第一个加密电路的第一个哈希承诺和第二个哈希承诺；

步骤3.5、第二计算方P₂对(H^2,1,H^2,2)进行随机地排序，得到排序后的哈希值对

且对应顺序的哈希承诺为

第二计算方P₂将

和

发送给第一计算方P₁；其中，

和

分别表示重新排序后，第二个加密电路的第一个哈希值和第二个哈希值；

和

分别表示重新排序后，第二个加密电路的第一个哈希承诺和第二个哈希承诺；

步骤3.6、第一计算方P₁检查是否满足

如果满足，则执行步骤3.7；否则，所述第一计算方P₁输出“输入错误”的信息和第一证据后执行步骤3.8，所述第一证据由

和

组成；

步骤3.7、第二计算方P₂检查是否满足

如果满足，则执行步骤3.9，否则第二计算方P₂输出“输入错误”的信息和第二证据后执行步骤3.8，所述第二证据由

和

组成；

步骤3.8、所有的数据提供者都能通过检查相应的证据进行验证，若验证通过，则执行步骤3.9，否则终止执行；

步骤3.9、标签计算：

第一计算方P₁计算

第二计算方P₂计算

K^1,q表示第一个加密电路的第q个最终标签，K^2,q表示第二个加密电路的第q个最终标签；

第一计算方P₁使用(K^1,1,K^1,2)作为第一个加密电路的编码，使用K^1,3作为第二个加密电路的标签；第二计算方P₂使用(K^2,1,K^2,2)作为第二个加密电路的编码，使用K^2,3作为第一个加密电路的标签；

步骤4、加密电路计算：

步骤4.1、第一计算方P₁使用

作为所有数据提供者的输入的编码，产生第一个加密电路GC₁及其输出编码为E₁；其中，

和

分别表示在第一个加密电路中，对于数据提供者d_u的第i位输入，分配给0和分配给1的最终标签；

所述第一计算方P₁将第一个加密电路GC₁发送给第二计算方P₂，第一计算方P₁自己持有

其中，

和

分别表示在第一个加密电路中，对于第u个数据提供者d_u的第i位输出，分配给0和分配给1的标签；l′表示输出位的长度；

步骤4.2、第二计算方P₂使用

作为所有数据提供者的输入的编码，产生第二个加密电路GC₂及其输出编码为E₂；其中，

和

分别表示在第二个加密电路中，对于第u个数据提供者d_u的第i位输入，分配给0和分配给1的最终标签；

所述第二计算方P₂将第二个加密电路GC₂发送给第一计算方P₁，第二计算方P₂自己持有

其中，

和

分别表示在第二个加密电路中，对于第u个数据提供者d_u的第i位输出，分配给0和分配给1的标签；

步骤4.3、第一计算方P₁使用

作为输入标签计算第二个加密电路GC₂，从而获得输出标签

其中，x_u,i和y_u,i分别表示第u个数据提供者d_u的第i位的输入和输出；u＝1,2,...,n；x_u,i∈{0,1}；y_u,i∈{0,1}；

步骤4.4、第二计算方P₂使用

作为输入标签计算第二个加密电路GC₁，从而获得输出标签

其中，x_u,i和y_u,i分别表示第u个数据提供者d_u的第i位的输入和输出；

步骤5、输出验证：

步骤5.1、第一计算方P₁通过式(3)计算出第一个加密电路的输出编码的承诺com(E₁)，并通过式(4)计算出第二个加密电路的输出标签的承诺com(O₂)：

式(3)和式(4)中，E_1,u表示第u个数据提供者d_u收到的第一次加密电路的输出编码；O_2,u表示第u个数据提供者d_u收到的第二次加密电路的输出标签；

步骤5.2、第二计算方P₂通过式(5)计算出第二个加密电路的输出编码的承诺com(E₂)，并通过式(6)计算出第一个加密电路的输出标签的承诺com(O₁)：

式(5)和式(6)中，E_2,u表示第u个数据提供者d_u收到的第二次加密电路的输出编码；O_1,u表示第u个数据提供者d_u收到的第一次加密电路的输出标签；

步骤5.3、两个计算方P₁和P₂向所有的数据提供者公布所有的承诺；

步骤5.4、对于第u个数据提供者d_u，第一计算方P₁打开承诺com(E_1,u)和com(O_2,u)；第二计算方P₂打开承诺com(E_2,u)和com(O_1,u)；

步骤5.5、第u个数据提供者d_u通过输出标签O_1,u和输出编码E_1,u解密得到第一个加密电路的明文结果

并通过输出标签O_2,u和输出编码E_2,u解密得到第二个加密电路的明文结果

第u个数据提供者d_u检查是否满足

如果满足，则表示检查成功，第u个数据提供者d_u接受明文结果

或

作为私有输入数据x_u的输出结果y_u，否则表示检查失败，第u个数据提供者d_u丢弃明文结果

和

并通过公布输出标签O_1,u和O_2,u以及输出编码E_1,u和E_2,u来向其他数据提供者证明失败结果。

2.根据权利要求1所述的安全计算方法，其特征是，所述步骤3.8包括：

假设任意一个数据提供者d₀作为验证者收到了一个由

和

组成的第二证据，所述第二证据表明对于第u个数据提供者d_u的第i个输入不满足一致性；所述验证者d₀按如下过程进行结果验证：

步骤3.8.1、所述验证者d₀请求第一计算方P₁打开哈希承诺

和

从而得到抗碰撞的哈希函数值

和

其中，

和

分别为重排序后的哈希承诺

和

包含的标签；

所述验证者d₀请求第二计算方P₂打开哈希承诺C^2,3，从而得到抗碰撞的哈希函数值

步骤3.8.2、所述验证者d₀检查是否满足

和

如果都满足，则执行步骤3.8.3；否则所述验证者d₀得出有一个计算方欺骗的结论；

步骤3.8.3、对于所有的

所述验证者d₀检查是否满足

或者

如果满足则表示验证成功，否则，表示检查失败，验证标签不一致。

Images