CN112805769B - 秘密s型函数计算系统、装置、方法及记录介质 - Google Patents

Abstract

提供高速并且高精度地对S型函数进行秘密计算的技术。秘密S型函数计算系统将g(x)设为能秘密计算的函数，根据输入值x的份额[[x]]计算对于输入值x的S型函数的值的份额[[σ'(x)]]，包括：第一比较单元，生成第一比较结果[[c]]＝less_than([[x]],t₁)；第二比较单元，生成第二比较结果[[d]]＝greater_than([[x]],t₀)；第一逻辑计算单元，生成第一逻辑计算结果[[e]]＝not([[c]])；第二逻辑计算单元，生成第二逻辑计算结果[[k]]＝and([[c]],[[d]])或者[[k]]＝mul([[c]],[[d]])；以及函数值计算单元，计算份额[[σ'(x)]]＝mul([[k]],[[g(x)]])+[[e]]。

Description

秘密S型函数计算系统、装置、方法及记录介质

技术领域

本发明涉及秘密计算技术，尤其涉及对S型函数(Sigmoid function)进行秘密计算的技术。

背景技术

作为用于对S型函数进行秘密计算的以往的方法，有非专利文献1中记载的方法。

这里，所谓秘密计算是指不复原被加密的数值而得到指定的运算的运算结果的方法(例如，参照参考非专利文献1)。在参考非专利文献1的方法中，进行将能够复原数值的多个信息分散于三个秘密计算装置这样的加密，不复原数值，而能够保持将加减运算、常数和、乘法运算、常数倍、逻辑运算(否定、逻辑积、逻辑和、异或)、数据形式变换(整数、二进制数)的结果分散在三个秘密计算装置的状态、即保持被加密的状态。一般而言，分散数量不限于3，可以设为W(W为3以上的规定的常数)，通过基于W个秘密计算装置的协调计算实现秘密计算的协议称为多方协议。

(参考非专利文献1：千田浩司，濱田浩気，五十嵐大，高橋克巳，“軽量検証可能3パーティ秘匿関数計算の再考”，In CSS，2010.)

现有技术文献

非专利文献

非专利文献1：Payman Mohassel and Yupeng Zhang,“SecureML:A System forScalable Privacy-Preserving Machine Learning”,In IEEE Symposium on Securityand Privacy(SP)2017,pp.19-38,2017.

发明内容

发明要解决的课题

但是，S型函数是由下式表示的非线性函数(参照图1)，不容易兼顾精度和处理速度两者来进行秘密计算。

【数1】

σ(x)＝1(1+exp(-x))…(1)

例如，在非专利文献1中记载的方法中，由于使用利用了1/2能够在整数环或逻辑电路上高速进行处理的函数，所以能够比较高速地进行处理，但由于使用不以S型函数的近似为主要目的的、以处理速度为优先的函数，所以近似精度低。

因此，本发明的目的在于提供高速且高精度地对S型函数进行秘密计算的技术。

用于解决课题的手段

本发明的一方式涉及的秘密S型函数计算系统将t₀,t₁设为满足t₀<t₁的实数，将g(x)设为能秘密计算的函数，该秘密S型函数计算系统由3个以上的秘密S型函数计算装置构成，根据输入值x的份额[[x]]，计算对于输入值x的S型函数的值的份额[[σ'(x)]]，包括：第一比较单元，根据所述份额[[x]]，通过[[c]]＝less_than([[x]],t₁)，生成第一比较结果[[c]]；第二比较单元，根据所述份额[[x]]，通过[[d]]＝greater_than([[x]],t₀)，生成第二比较结果[[d]]；第一逻辑计算单元，根据所述第一比较结果[[c]]，通过[[e]]＝not([[c]])，生成第一逻辑计算结果[[e]]；第二逻辑计算单元，根据所述第一比较结果[[c]]和所述第二比较结果[[d]]，通过[[k]]＝and([[c]],[[d]])或者[[k]]＝mul([[c]],[[d]])，生成第二逻辑计算结果[[k]]；以及函数值计算单元，根据所述份额[[x]]、所述第一逻辑计算结果[[e]]和所述第二逻辑计算结果[[k]]，通过[[σ'(x)]]＝mul([[k]],[[g(x)]])+[[e]]，计算所述份额[[σ'(x)]]。

发明效果

按照本发明，能够高速且高精度地对S型函数进行秘密计算。

附图说明

图1是表示S型函数σ(x)的图。

图2是表示秘密S型函数计算算法的图。

图3是表示秘密逻辑回归计算算法的图。

图4是表示近似S型函数σ’(x)的图。

图5是表示秘密S型函数计算系统10的结构的框图。

图6是表示秘密S型函数计算装置100_i的结构的框图。

图7是表示秘密S型函数计算系统10的动作的流程图。

图8是表示秘密逻辑回归计算系统20的结构的框图。

图9是表示秘密逻辑回归计算装置200_i的结构的框图。

图10是表示秘密逻辑回归计算系统20的动作的流程图。

具体实施方式

以下，对本发明的实施方式进行详细说明。另外，对具有相同功能的结构部标注相同的标号，省略重复说明。

通过现有的秘密计算上的运算的组合来构建后述的秘密S型函数计算算法、秘密逻辑回归计算算法。这些算法所需的运算是隐匿化、加法运算、乘法运算、大小比较、逻辑运算(否定、逻辑积)、hpsum。另外，hpsum是指积和。以下，对各运算进行说明。

＜运算＞

[隐匿化]

将[[x]]设为通过秘密分散对x隐匿后的值(以下称为x的份额)。在秘密分散方法中可以使用任意的方法。例如，可以使用GF(2⁶¹-1)上的Shamir秘密分散、Z₂上的复制秘密分散。

也可以在某一个算法中组合使用多个秘密分散方法。在该情况下，设适当地进行相互变换。

另外，对于n维向量x^→＝(x₀,…,x_n-1)，设[[x^→]]＝([[x₀]],…,[[x_n-1]])。

另外，将x称为[[x]]的明文。

作为根据x求出[[x]]的方法(隐匿化)、根据[[x]]求出x的方法(复原)，具体地说，有参考非专利文献1、参考非专利文献2中记载的方法。

(参考非专利文献2：Shamir,A.,“How to share a secret”,Communications ofthe ACM,Vol.22,No.11,pp.612-613,1979.)

[加法运算、乘法运算]

基于秘密计算的加法运算[[x]]+[[y]]，将[[x]]、[[y]]设为输入，输出[[x+y]]。基于秘密计算的乘法运算[[x]]×[[y]](mul([[x]],[[y]]))，将[[x]]、[[y]]设为输入，输出[[x×y]]。

另外，也可以是[[x]]、[[y]]的任一个未被隐匿的值(以下称为公开值)。例如，也可以将β、γ作为公开值，将[[x]]、β作为输入，而输出[[x+β]]，或者将γ、[[y]]设为输入，而输出[[γ×y]]。

作为加法运算、乘法运算的具体的方法，有参考非专利文献3、参考非专利文献4中记载的方法。

(参考非专利文献3：Ben-Or,M.,Goldwasser,S.and Wigderson,A.,“Completeness theorems for non-cryptographic fault-tolerant distributedcomputation”,Proceedings of the twentieth annual ACM symposium on Theory ofcomputing,ACM,pp.1-10,1988.)

(参考非专利文献4：Gennaro,R.,Rabin,M.O.and Rabin,T.,“Simplified VSSand fast-track multiparty computations with applications to thresholdcryptography”,Proceedings of the seventeenth annual ACM symposium onPrinciples of distributed computing,ACM,pp.101-111,1998.)

[大小比较]

秘密计算less_than([[x]],t)(t为公开值)将[[x]]设为输入，输出[[〔x<t〕]]。秘密计算greater_than([[x]],t)(t为公开值)将[[x]]设为输入，输出[[〔x>t〕]]。这里，〔·〕表示谓词(述语)。例如，〔x<t〕表示“x比t小”这样的谓词，在“x比t小”为真的情况下，[[〔x<t〕]]＝[[1]]，在为假的情况下，[[〔x<t〕]]＝[[0]]。

[逻辑运算]

基于秘密计算的否定￢[[x]]将[[x]]设为输入，输出[[￢x]]。基于秘密计算的逻辑积and([[x]],[[y]])将[[x]]、[[y]]设为输入，输出[[and(x,y)]]。

[hpsum]

秘密计算hpsum([[x^→]],[[y^→]])将[[x^→]]、[[y^→]](其中，x^→＝(x₀,…,x_n-1),y^→＝(y₀,…,y_n-1))设为输入，输出[[Σ_j＝0 ^n-1x_jy_j]]。即，输出两个向量的第j要素的积的和。

＜技术背景＞

(近似S型函数)

S型函数σ(x)是图1所示那样的单调增加函数。另外，S型函数σ(x)具有lim_x→∞σ(x)＝1、lim_x→-∞σ(x)＝0的性质。从图1也可知，在x成为5以上的情况下，σ(x)大致为1，在x成为-5以下的情况下大致为0。进而，可知在σ(x)的值大致为0的部分和σ(x)的值大致为1的部分之间(特别是x＝0的附近)线性地增加。如果仅着眼于该部分，则即使用单纯的函数(例如，1次函数)进行近似，也有可能得到相应的近似精度。

因此，考虑S型函数σ(x)的这样的特征，考虑根据x的值使用3个式子进行近似。即，通过下式定义对S型函数σ(x)进行近似的函数σ'(x)(以下称为近似S型函数σ'(x))。

【数2】

从式(2)可知，函数σ'(x)为：在x为阈值t₁以上的情况下为1，在为阈值t₀以下的情况下为0，在位于阈值t₀和阈值t₁之间的情况下，用规定的函数g(x)对σ(x)进行近似。

近似S型函数σ'(x)在利用条件分支式“IFγTHENαELSEβ”能够通过数学式“γα+(1-γ)β”表现的情况时，如下式所示，能够用一个式子表示。

【数3】

其中，c＝〔x<t₁〕,d＝〔x>t₀〕。因此，c，d在括弧内的式子为真的情况下为1，在为假的情况下为0。另外，由于and(c,d)＝cd，因此式(3)也可以如下式这样表示。

【数4】

例如，可以将用于近似S型函数σ'(x)的定义的函数g(x)设为1次函数g(x)＝ax+b。

[算法]

在此，说明使用近似S型函数σ'(x)对S型函数进行秘密计算的算法(秘密S型函数计算算法)。秘密S型函数计算算法将x的份额[[x]]设为输入，使用参数t₀、t₁和能秘密计算的函数g(x)，计算并输出[[σ'(x)]]。这里，函数g(x)为能秘密计算的函数，是指能够根据输入值x的份额[[x]]，计算函数值g(x)的份额[[g(x)]]的函数。在图2表示设g(x)＝ax+b的情况下的具体的步骤。在该情况下，a、b可以设为任意的值。另外，t₀、t₁也可以设为任意的值。另外，a、b、t₀、t₁都是不需要隐匿的值(公开值)。如果观察图2，则可知在步骤1～步骤5中，按照式(3)'计算[[σ'(x)]]。

由于1次函数g(x)＝ax+b可以分别逐次乘法运算和加法运算来计算，因此计算成本非常低。相对于此，例如，在对函数g(x)使用3次函数来对S型函数进行近似的情况下，如一般地3次函数表示为ax³+bx²+cx+d可知，与用1次函数进行近似的情况相比，计算成本明显变大。另外，还可知关于近似S型函数σ'(x)的计算所需要的处理，作为整体，如大小比较2次、否定1次、乘法运算3次、加法运算2次(或者，大小比较2次、否定1次、逻辑积1次、乘法运算2次、加法运算2次)这样，复杂的S型函数的计算可以仅由简单的运算构成。

另外，以下，假设将秘密S型函数计算算法表示为Sigmoid。因此，Sigmoid([[x]])＝[[σ'(x)]]。

(逻辑回归分析)

逻辑回归分析的模型f(x^→)(其中，x^→＝(x₁,…,x_n))将n+1维向量w^→＝(w₀,…,w_n)作为模型参数，通过下式表示。

【数5】

其中，(1,x^→)表示n+1维向量(1,x₁,…,x_n)。

作为对模型参数w^→进行学习的方法，有探索函数的最小值的学习法、即最速下降法。在最速下降法中，使用以下的输入、参数进行学习。

(输入)说明变量的数据x_i ^→、目的变量的数据y_i(其中，0≤i≤m-1，m为1以上的整数，表示学习数据的数)

(参数)学习率η(0<η<1)、学习次数T

另外，对于学习率η以及学习次数T，假设设定适当的值。

将w_t ^→＝(w_0,t,…,w_n,t)作为进行了t次(0≤t≤T-1)更新后的模型参数，通过以下的式进行学习。

【数6】

即，使用学习数据x_i ^→,y_i，对模型参数w^→的每个第j要素w_j进行更新。另外，假设对于模型参数w^→的初始值w₀ ^→设定适当的值。

[算法]

这里说明对于逻辑回归模型的模型参数进行秘密计算的算法(秘密逻辑回归计算算法)。秘密逻辑回归计算算法将说明变量的数据x_i→的份额[[x_i ^→]]、目的变量的数据y_i的份额[[y_i]]作为输入，使用作为公开值的参数η、T，计算模型参数w^→的份额[[w^→]]并输出。图3表示具体的过程。如果观察图3，则可知在步骤4～步骤19中，按照式(5)计算[[w^→]]。另外，还可知在步骤8中，使用秘密S型函数计算算法Sigmoid，求出S型函数的值。

若使用秘密S型函数计算算法Sigmoid，则S型函数的计算的精度会变好，因此，逻辑回归的计算的精度也会变好。另外，只要观察秘密逻辑回归计算算法的各步骤就可知，由于在计算过程中秘密被保持，因此完全不会将信息泄漏到外部，能够安全地进行计算。

另外，从处理成本的观点出发，在使用(不是浮点)定点进行秘密逻辑回归计算算法的计算的情况下，每次进行乘法时，数值精度增大，有时超过数据型的上限。在该算法中，为了反复进行包括乘法运算在内的处理，需要进行位数减少以不引起数字溢出(在中途有意地降低数值精度)。

(适用例)

图4表示设a＝0.25,b＝0.5,t₀＝-2,t₁＝2时的近似S型函数σ'(x)。图4的混合近似表示近似S型函数σ'(x)。由于S型函数σ(x)在x＝0的斜率为0.25，值为0.5，因此设为了a＝0.25,b＝0.5。在图4中，还一并示出S型函数(图中的sigmoid)，若观察该图，则可知S型函数σ(x)通过近似S型函数σ'(x)被高精度地近似。

另外，在逻辑回归分析中，作为最终进行2值分类时的阈值，多使用x＝0附近的值，因此优选x＝0附近的S型函数的近似精度变高。如果使用近似S型函数σ'(x)，则x＝0附近的近似精度变高，因此作为逻辑回归分析中的最终计算结果的模型参数的精度变高。

＜第1实施方式＞

以下，参照图5～图7说明秘密S型函数计算系统10。图5是表示秘密S型函数计算系统10的结构的框图。秘密S型函数计算系统10包括W个(W为3以上的规定的整数)秘密S型函数计算装置100₁，…，100_W。秘密S型函数计算装置100₁，…，100_W与网络800连接，可相互通信。网络800可以是因特网等的通信网络或广播通信路径等。图6是表示秘密S型函数计算装置100_i(1≤i≤W)的结构的框图。图7是表示秘密S型函数计算系统10的动作的流程图。

图6所示的秘密S型函数计算装置100_i包括：第一比较部110_i、第二比较部120_i、第一逻辑计算部130_i、第二逻辑计算部140_i、函数值计算部150_i、记录部190_i。除了记录部190_i以外的秘密S型函数计算装置100_i的各结构部被构成为，能够执行在秘密S型函数计算算法中所需要的运算，即能够执行在至少隐匿化加法运算、乘法运算、大小比较、否定、逻辑积、hpsum中的、实现各结构部的功能上所需要的运算。在本发明中用于实现各个运算的具体的功能结构，例如能够执行参考非专利文献1～4各自中公开的算法的结构就足够了，由于它们是以往的结构，所以省略详细的说明。另外，记录部190_i是记录秘密S型函数计算装置100_i的处理所需要的信息的结构部。例如，记录部190_i记录参数t₀、t₁(其中，t₀、t₁是满足t₀<t₁的实数)。另外，记录部190_i还记录用于计算在近似S型函数σ'(x)的定义中使用的函数g(x)所需要的参数。另外，函数g(x)可以设为任意的能秘密计算的函数。例如，可以设为g(x)＝ax+b(其中，a、b为实数)。在该情况下，记录部190_i还一并记录参数a、b。

通过基于W个秘密S型函数计算装置100_i的协调计算，秘密S型函数计算系统10实现作为多方协议的秘密S型函数计算算法。由此，秘密S型函数计算系统10的第一比较单元110(未图示)由第一比较部110₁，…，110_W构成，第二比较单元120(未图示)由第二比较部120₁，…，120_W构成，第一逻辑计算单元130(未图示)由第一逻辑计算部130₁，…，130_W构成，第二逻辑计算单元140(未图示)由第二逻辑计算部140₁，…，140_W构成，函数值计算单元150(未图示)由函数值计算部150₁，…，150_W构成。

秘密S型函数计算系统10根据输入值x的份额[[x]]，计算对于输入值x的S型函数的值的份额[[σ'(x)]](参照图2)。以下，按照图7说明秘密S型函数计算系统10的动作。

第一比较单元110根据输入值x的份额[[x]]，通过[[c]]＝less_than([[x]],t₁)生成第一比较结果[[c]](S110)。与图2的秘密S型函数计算算法的步骤1对应。

第二比较单元120根据输入值x的份额[[x]]，通过[[d]]＝greater_than([[x]],t₀)，生成第二比较结果[[d]](S120)。与图2的秘密S型函数计算算法的步骤2对应。

第一逻辑计算单元130根据由S110生成的第一比较结果[[c]]，通过[[e]]＝not([[c]])，生成第一逻辑计算结果[[e]](S130)。与图2的秘密S型函数计算算法的步骤3对应。

第二逻辑计算单元140根据由S110生成的第一比较结果[[c]]和由S120生成的第二比较结果[[d]]，通过[[k]]＝and([[c]],[[d]])，生成第二逻辑计算结果[[k]](S140)。与图2的秘密S型函数计算算法的步骤4对应。当然，也可以使用[[k]]＝mul([[c]],[[d]])，来取代[[k]]＝and([[c]],[[d]])。

函数值计算单元150根据输入值x的份额[[x]]、由S130生成的第一逻辑计算结果[[e]]和由S140生成的第二逻辑计算结果[[k]]，通过[[σ'(x)]]＝mul([[k]],[[g(x)]])+[[e]]，计算函数值的份额[[σ'(x)]](S150)。与图2的秘密S型函数计算算法的步骤5对应。

根据本实施方式的发明，能够高速且高精度地对S型函数进行秘密计算。

在本实施方式的发明中，将不容易秘密计算的非线性函数、即S型函数的计算还原为隐匿化、加法运算、乘法运算等简单的运算的组合。由此，能够进行高速且高精度的S型函数的秘密计算。另外，由于计算中途的值被隐匿化，因此能够进行安全的S型函数的秘密计算。

＜第2实施方式＞

以下，参照图8～图10说明秘密逻辑回归计算系统20。图8是表示秘密逻辑回归计算系统20的结构的框图。秘密逻辑回归计算系统20包含W'个(W'为3以上的规定的整数)的秘密逻辑回归计算装置200₁，…，200_W'。秘密逻辑回归计算装置200₁，…，200_W'与网络800连接，能相互地进行通信。网络800例如可以是因特网等的通信网络或者广播通信路径等。图9是表示秘密逻辑回归计算装置200_i(1≤i≤W')的结构的框图。图10是表示秘密逻辑回归计算系统20的动作的流程图。

如图9所示，秘密逻辑回归计算装置200_i包括：初始化部210_i、误差计算部220_i、模型参数更新部230_i、收敛条件判定部240_i、以及记录部290_i。将记录部290_i除外的秘密逻辑回归计算装置200_i的各结构部被构成为，能够执行在秘密S型函数计算算法中所需要的运算，即能够执行在至少隐匿化加法运算、乘法运算、大小比较、否定、逻辑积、hpsum中的、实现各结构部的功能上所需要的运算。在本发明中用于实现各个运算的具体的功能结构，例如能够执行参考非专利文献1～4各自中公开的算法的结构就足够了，由于它们是以往的结构，所以省略详细的说明。另外，记录部290_i是记录秘密逻辑回归计算装置200_i的处理所需要的信息的结构部。例如，记录部290_i记录参数η、T(其中，将η设为满足0<η<1的实数，T为1以上的整数)。另外，记录部290_i还记录秘密S型函数计算算法Sigmoid的计算所需要的参数。例如，记录部290_i记录参数t₀、t₁。

通过基于W'个秘密逻辑回归计算装置200_i的协调计算，秘密逻辑回归计算系统20实现作为多方协议的秘密逻辑回归计算算法。由此，秘密逻辑回归计算系统20的初始化单元210(未图示)由初始化部210₁，…，210_W'构成，误差计算单元220(未图示)由误差计算部220₁，…，220_W'构成，模型参数更新单元230(未图示)由模型参数更新部230₁，…，230_W'构成，收敛条件判定单元240(未图示)由收敛条件判定部240₁，…，240_W'构成。

秘密逻辑回归计算系统20根据说明变量的数据x_i ^→的份额[[x_i ^→]](0≤i≤m-1，其中，m为1以上的整数)、目的变量的数据y_i的份额[[y_i]](0≤i≤m-1)，计算逻辑回归模型的模型参数w^→的份额[[w^→]](参照图3)。以下，根据图10说明秘密逻辑回归计算系统20的动作。

初始化单元210设定模型参数w^→的初始值w₀ ^→的份额[[w₀ ^→]](S210)。具体地说，也可以设定预先在记录部290_i中记录的、适当的初始值w₀ ^→的份额[[w₀ ^→]]。与图3的秘密逻辑回归计算算法的步骤1对应。

误差计算单元220对i＝0,…,m-1，根据进行了t次更新的模型参数w^→的值w_t ^→的份额[[w_t ^→]]和份额[[x_i ^→]]，通过[[b_i]]＝hpsum([[w_t ^→]],[[(1,x_i ^→)]])，计算[[b_i]]，根据[[b_i]]，通过[[c_i]]＝Sigmoid([[b_i]])，计算[[c_i]]，根据份额[[y_i]]和[[c_i]]，通过[[d_i]]＝[[c_i]]-[[y_i]]，计算误差[[d_i]](S220)。与图3的秘密逻辑回归计算算法的步骤5～11对应。另外，Sigmoid使用秘密S型函数计算系统10来计算即可。

模型参数更新单元230对j＝0,…,n，根据由S220计算出的误差[[d_i]](0≤i≤m-1)和份额[[x_i ^→]]的第j要素[[x_i,j]](0≤i≤m-1)，通过[[e]]＝Σ_i＝0 ^m-1[[d_i]][[x_i,j]]，计算[[e]]，根据份额[[w_t ^→]]的第j要素[[w_j,t]]和[[e]]，通过[[w_j,t+1]]＝[[w_j,t]]-η(1/m)[[e]]，计算进行了t+1次更新的模型参数w^→的值w_t+1 ^→的份额[[w_t+1 ^→]]的第j要素[[w_j,t+1]](S230)。这里，设x_i,0＝1(i＝0,…,m-1)。与图3的秘密逻辑回归计算算法的步骤12～17对应。

收敛条件判定单元240判定事先设定的模型参数更新的反复条件、即t<T，在条件满足的情况下，反复进行S220～S230的处理，在反复条件不满足的情况下(达到了规定的学习次数T的情况下)，将份额[[w_T-1 ^→]]作为模型参数w^→的份额[[w^→]]输出，结束处理(S240)。

根据本实施方式的发明，能够高速并且高精度地对逻辑回归模型的模型参数进行秘密计算。

＜补记＞

本发明的装置例如作为单一的硬件实体，具有：能连接键盘等的输入部、能连接液晶显示器等的输出部、能连接能够对硬件实体的外部进行通信的通信装置(例如通信电缆)的通信部、CPU(也可以具有中央处理单元(Central Processing Unit)、闪存或寄存器等)、作为存储器的RAM(随机存取存储器)或ROM(只读存储器)、作为硬盘的外部存储装置、以及进行连接以在这些输入部、输出部、通信部、CPU、RAM、ROM、外部存储装置之间进行数据交换的总线。另外，根据需要，在硬件实体中也可以设置能够读写CD－ROM等的记录介质的装置(驱动器)等。作为具有这样的硬件资源的物理的实体，有通用计算机等。

在硬件实体的外部存储装置中，存储了用于实现上述的功能所需要的程序以及在该程序的处理中所需要的数据等(不限于外部存储装置，例如也可以预先读出程序，使其存储在作为专用存储装置的ROM)。而且，通过这些程序的处理所得到的数据等，被适当地存储在RAM或外部存储装置等中。

在硬件实体中，在外部存储装置(或者ROM等)所存储的各程序和该各程序的处理所需要的数据根据需要被读入到存储器，适当地在CPU中进行解释执行/处理。其结果，CPU实现规定的功能(作为上述、…部、…单元等表示的各构成要件)。

本发明不限于上述的实施方式，在不脱离本发明的宗旨的范围内能够进行适当变更。上述实施方式中说明的处理不仅按照记载的顺序按时序被执行，也可以根据执行处理的装置的处理能力或者根据需要并行或者单独地被执行。

如已述那样，在通过计算机实现上述实施方式中说明的硬件实体(本发明的装置)中的处理功能的情况下，硬件实体应该具有的功能性的处理内容通过程序被记述。然后，通过在计算机上执行该程序，在计算机上实现上述硬件实体中的处理功能。

记述了该处理内容的程序，能够被预先记录在计算机可读取的记录介质中。作为由计算机可读取的记录介质，例如磁记录装置、光盘、光磁记录介质、半导体存储器等什么样的装置都可以。具体地说，例如，作为磁记录装置，可以使用硬盘装置、软盘、磁带等，作为光盘，可以使用DVD(Digital Versatile Disc，数字通用光盘)、DVD－RAM(Random AccessMemory，随机存取存储器)、CD－ROM(Compact Disc Read Only Memory，压缩光盘只读存储器)、CD－R(Recordable，可记录)/RW(ReWritable，可改写)等，作为光磁记录介质，可以使用MO(Magneto-Optical disc，磁光盘)等，作为半导体存储器，可以使用EEP－ROM(Electronically Erasable and Programmable-Read Only Memory，电可擦可编程只读存储器)等。

而且，例如通过贩卖、转让、出租记录了该程序的DVD、CD－ROM等可便携式记录介质等来进行该程序的流通。进而，也可以将该程序预先存储在服务器计算机的存储装置中，经由网络，将该程序通过从服务器计算机转发到其它计算机，使该程序流通。

首先，执行这样的程序的计算机例如将从记录于便携式记录介质的程序或者服务器计算机转发而来的程序临时储存于自己的存储装置。接着，在执行处理时，该计算机读取储存于自己的存储装置的程序，并根据读取到的程序而执行处理。此外，作为该程序的其他执行形态，也可以设为计算机从便携式记录介质直接读取程序，执行按照该程序的处理，进一步也可以设为每当该计算机被从服务器计算机转发来程序，则该计算机依次执行按照接受到的程序的处理。此外，也可以设为如下结构：不从服务器计算机进行程序向该计算机的转发，则仅通过其执行指示和结果获取而实现处理功能，即通过所谓的ASP(ApplicationService Provider，应用服务提供商)型的服务，而执行上述的处理。另外，假设在本方式中的程序包括用于电子计算机的处理而提供的、与程序等效的信息(并非对于计算机的直接的指令，但具有规定计算机的处理的性质的数据等)。

而且，在该方式中，通过在计算机上执行规定的程序而构成硬件实体，但也可以将这些处理内容的至少一部分由硬件实现。

上述的本发明的实施方式的记载是以例证和记载为目的进行提示的。没有穷举的意思，也没有将发明限定于公开的严密形式的意思。变形和变化可以根据上述的教导而进行。实施方式是为了提供本发明的原理的最佳的例证，并且为了该领域的技术人员对本发明以各种实施方式且附加各种变形进行利用，以适合深思熟虑的实际的使用而选择并表现的方式。所有这样的变形或变化都在由附加的权利要求书所确定的本发明的范围内，所述附加权利要求书是按照公正合法公平给出的范围被解释的。

Claims (7)

1.一种秘密S型函数计算系统，

将t₀,t₁设为满足t₀<t₁的实数，将g(x)设为能秘密计算的函数，

所述秘密S型函数计算系统由3个以上的秘密S型函数计算装置构成，根据输入值x的份额[[x]]，计算对于输入值x的S型函数的值的份额[[σ'(x)]]，

所述秘密S型函数计算系统包括：

第一比较单元，根据所述份额[[x]]，通过[[c]]＝less_than([[x]],t₁)，生成第一比较结果[[c]]，其中，less_than([[x]],t)将[[x]]设为输入，输出[[〔x<t〕]]，这里，〔·〕表示谓词，t为公开值；

第二比较单元，根据所述份额[[x]]，通过[[d]]＝greater_than([[x]],t₀)，生成第二比较结果[[d]]，其中，greater_than([[x]],t)将[[x]]设为输入，输出[[〔x>t〕]]，这里，〔·〕表示谓词，t为公开值；

第一逻辑计算单元，根据所述第一比较结果[[c]]，通过[[e]]＝not([[c]])，生成第一逻辑计算结果[[e]]，其中，not([[x]])将[[x]]设为输入，输出[[￢x]]；

第二逻辑计算单元，根据所述第一比较结果[[c]]和所述第二比较结果[[d]]，通过[[k]]＝and([[c]],[[d]])或者[[k]]＝mul([[c]],[[d]])，生成第二逻辑计算结果[[k]]，其中，and([[x]],[[y]])将[[x]]、[[y]]设为输入，输出[[and(x,y)]]，mul([[x]],[[y]]))将[[x]]、[[y]]设为输入，输出[[x×y]]；以及

函数值计算单元，根据所述份额[[x]]、所述第一逻辑计算结果[[e]]和所述第二逻辑计算结果[[k]]，通过[[σ'(x)]]＝mul([[k]],[[g(x)]])+[[e]]，计算所述份额[[σ'(x)]]，

所述函数g(x)是g(x)＝ax+b，其中，a,b是实数。

2.一种秘密逻辑回归计算系统，

将m设为1以上的整数，将η设为满足0<η<1的实数，将Sigmoid([[x]])设为如下的函数：使用权利要求1所述的秘密S型函数计算系统，根据输入值x的份额[[x]]计算对于输入值x的S型函数的值的份额，

所述秘密逻辑回归计算系统由3个以上的秘密逻辑回归计算装置构成，根据说明变量的数据x_i ^→的份额[[x_i ^→]](0≤i≤m-1)、目的变量的数据y_i的份额[[y_i]](0≤i≤m-1)，计算逻辑回归模型的模型参数w^→的份额[[w^→]]，

所述秘密逻辑回归计算系统包括：

误差计算单元，对于i＝0,…,m-1，

根据进行了t次更新的模型参数w^→的值w_t ^→的份额[[w_t ^→]]和所述份额[[x_i ^→]]，通过[[b_i]]＝hpsum([[w_t ^→]],[[(1,x_i ^→)]])计算[[b_i]]，其中，hpsum([[x^→]],[[y^→]])将[[x^→]]、[[y^→]]设为输入，输出[[Σ_j＝0 ^n-1x_jy_j]]，其中，x^→＝(x₀,…,x_n-1),y^→＝(y₀,…,y_n-1))，

根据所述[[b_i]]，通过[[c_i]]＝Sigmoid([[b_i]])，计算[[c_i]]，

根据所述份额[[y_i]]和所述[[c_i]]，通过[[d_i]]＝[[c_i]]-[[y_i]]，计算误差[[d_i]]；以及

模型参数更新单元，对于j＝0,…,n，

根据所述误差[[d_i]](0≤i≤m-1)和所述份额[[x_i ^→]]的第j要素[[x_i,j]](0≤i≤m-1)，通过[[e]]＝Σ_i＝0 ^m-1[[d_i]][[x_i,j]]，计算[[e]]，

根据所述份额[[w_t ^→]]的第j要素[[w_j,t]]和所述[[e]]，通过[[w_j,t+1]]＝[[w_j,t]]-η(1/m)[[e]]，计算进行了t+1次更新后的模型参数w^→的值w_t+1 ^→的份额[[w_t+1 ^→]]的第j要素[[w_j,t+1]]。

3.一种秘密S型函数计算装置，其是秘密S型函数计算系统中的秘密S型函数计算装置，

在所述秘密S型函数计算系统中，将t₀,t₁设为满足t₀<t₁的实数，将g(x)设为能秘密计算的函数，

所述秘密S型函数计算系统由3个以上的秘密S型函数计算装置构成，根据输入值x的份额[[x]]，计算对于输入值x的S型函数的值的份额[[σ'(x)]]，

所述秘密S型函数计算装置包括：

第一比较部，用于根据所述份额[[x]]，通过[[c]]＝less_than([[x]],t₁)，生成第一比较结果[[c]]，其中，less_than([[x]],t)将[[x]]设为输入，输出[[〔x<t〕]]，这里，〔·〕表示谓词，t为公开值；

第二比较部，用于根据所述份额[[x]]，通过[[d]]＝greater_than([[x]],t₀)，生成第二比较结果[[d]]，其中，greater_than([[x]],t)将[[x]]设为输入，输出[[〔x>t〕]]，这里，〔·〕表示谓词，t为公开值；

第一逻辑计算部，用于根据所述第一比较结果[[c]]，通过[[e]]＝not([[c]])，生成第一逻辑计算结果[[e]]，其中，not([[x]])将[[x]]设为输入，输出[[￢x]]；

第二逻辑计算部，用于根据所述第一比较结果[[c]]和所述第二比较结果[[d]]，通过[[k]]＝and([[c]],[[d]])或者[[k]]＝mul([[c]],[[d]])，生成第二逻辑计算结果[[k]]，其中，and([[x]],[[y]])将[[x]]、[[y]]设为输入，输出[[and(x,y)]]，mul([[x]],[[y]]))将[[x]]、[[y]]设为输入，输出[[x×y]]；以及

函数值计算部，用于根据所述份额[[x]]、所述第一逻辑计算结果[[e]]和所述第二逻辑计算结果[[k]]，通过[[σ'(x)]]＝mul([[k]],[[g(x)]])+[[e]]，计算所述份额[[σ'(x)]]，

所述函数g(x)是g(x)＝ax+b，其中，a,b是实数。

4.一种秘密逻辑回归计算装置，其是秘密逻辑回归计算系统中的秘密逻辑回归计算装置，

在所述秘密逻辑回归计算系统中，将m设为1以上的整数，将η设为满足0<η<1的实数，将Sigmoid([[x]])设为如下的函数：使用由3个以上的权利要求3所述的秘密S型函数计算装置构成的秘密S型函数计算系统，根据输入值x的份额[[x]]，计算对于输入值x的S型函数的值的份额，

所述秘密逻辑回归计算系统由3个以上的秘密逻辑回归计算装置构成，根据说明变量的数据x_i ^→的份额[[x_i ^→]](0≤i≤m-1)、目的变量的数据y_i的份额[[y_i]](0≤i≤m-1)，计算逻辑回归模型的模型参数w^→的份额[[w^→]]，

所述秘密逻辑回归计算装置包括：

误差计算部，用于对于i＝0,…,m-1，

根据进行了t次更新的模型参数w^→的值w_t ^→的份额[[w_t ^→]]和所述份额[[x_i ^→]]，通过[[b_i]]＝hpsum([[w_t ^→]],[[(1,x_i ^→)]])，计算[[b_i]]，其中，hpsum([[x^→]],[[y^→]])将[[x^→]]、[[y^→]]设为输入，输出[[Σ_j＝0 ^n-1x_jy_j]]，其中，x^→＝(x₀,…,x_n-1),y^→＝(y₀,…,y_n-1))，

根据所述[[b_i]]，通过[[c_i]]＝Sigmoid([[b_i]])，计算[[c_i]]，

根据所述份额[[y_i]]和所述[[c_i]]，通过[[d_i]]＝[[c_i]]-[[y_i]]，计算误差[[d_i]]；以及

模型参数更新部，用于对于j＝0,…,n，

根据所述误差[[d_i]](0≤i≤m-1)和所述份额[[x_i ^→]]的第j要素[[x_i,j]](0≤i≤m-1)，通过[[e]]＝Σ_i＝0 ^m-1[[d_i]][[x_i,j]]，计算[[e]]，

根据所述份额[[w_t ^→]]的第j要素[[w_j,t]]和所述[[e]]，通过[[w_j,t+1]]＝[[w_j,t]]-η(1/m)[[e]]，计算进行了t+1次更新的模型参数w^→的值w_t+1 ^→的份额[[w_t+1 ^→]]的第j要素[[w_j,t+1]]。

5.一种秘密S型函数计算方法，

将t₀,t₁设为满足t₀<t₁的实数，将g(x)设为能秘密计算的函数，

由3个以上的秘密S型函数计算装置构成的秘密S型函数计算系统根据输入值x的份额[[x]]，计算对于输入值x的S型函数的值的份额[[σ'(x)]]，

所述秘密S型函数计算方法包括：

第一比较步骤，所述秘密S型函数计算系统根据所述份额[[x]]，通过[[c]]＝less_than([[x]],t₁)，生成第一比较结果[[c]]，其中，less_than([[x]],t)将[[x]]设为输入，输出[[〔x<t〕]]，这里，〔·〕表示谓词，t为公开值；

第二比较步骤，所述秘密S型函数计算系统根据所述份额[[x]]，通过[[d]]＝greater_than([[x]],t₀)，生成第二比较结果[[d]]，其中，greater_than([[x]],t)将[[x]]设为输入，输出[[〔x>t〕]]，这里，〔·〕表示谓词，t为公开值；

第一逻辑计算步骤，所述秘密S型函数计算系统根据所述第一比较结果[[c]]，通过[[e]]＝not([[c]])，生成第一逻辑计算结果[[e]]，其中，not([[x]])将[[x]]设为输入，输出[[￢x]]；

第二逻辑计算步骤，所述秘密S型函数计算系统根据所述第一比较结果[[c]]和所述第二比较结果[[d]]，通过[[k]]＝and([[c]],[[d]])或者[[k]]＝mul([[c]],[[d]])，生成第二逻辑计算结果[[k]]，其中，and([[x]],[[y]])将[[x]]、[[y]]设为输入，输出[[and(x,y)]]，mul([[x]],[[y]]))将[[x]]、[[y]]设为输入，输出[[x×y]]；以及

函数值计算步骤，所述秘密S型函数计算系统根据所述份额[[x]]、所述第一逻辑计算结果[[e]]和所述第二逻辑计算结果[[k]]，通过[[σ'(x)]]＝mul([[k]],[[g(x)]])+[[e]]，计算所述份额[[σ'(x)]]，

所述函数g(x)是g(x)＝ax+b，其中，a,b是实数。

6.一种秘密逻辑回归计算方法，

将m设为1以上的整数，将η设为满足0<η<1的实数，将Sigmoid([[x]])设为如下的函数：使用权利要求5所述的秘密S型函数计算方法，根据输入值x的份额[[x]]，计算对于输入值x的S型函数的值的份额，

由3个以上的秘密逻辑回归计算装置构成的秘密逻辑回归计算系统根据说明变量的数据x_i ^→的份额[[x_i ^→]](0≤i≤m-1)、目的变量的数据y_i的份额[[y_i]](0≤i≤m-1)，计算逻辑回归模型的模型参数w^→的份额[[w^→]]，

所述秘密逻辑回归计算方法包括：

误差计算步骤，所述秘密逻辑回归计算系统对于i＝0,…,m-1，

根据进行了t次更新的模型参数w^→的值w_t ^→的份额[[w_t ^→]]和所述份额[[x_i ^→]]，通过[[b_i]]＝hpsum([[w_t ^→]],[[(1,x_i ^→)]])，计算[[b_i]]，其中，hpsum([[x^→]],[[y^→]])将[[x^→]]、[[y^→]]设为输入，输出[[Σ_j＝0 ^n-1x_jy_j]]，其中，x^→＝(x₀,…,x_n-1),y^→＝(y₀,…,y_n-1))，

根据所述[[b_i]]，通过[[c_i]]＝Sigmoid([[b_i]])，计算[[c_i]]，

根据所述份额[[y_i]]和所述[[c_i]]，通过[[d_i]]＝[[c_i]]-[[y_i]]，计算误差[[d_i]]；以及

模型参数更新步骤，所述秘密逻辑回归计算系统对于j＝0,…,n，

根据所述误差[[d_i]](0≤i≤m-1)和所述份额[[x_i ^→]]的第j要素[[x_i,j]](0≤i≤m-1)，通过[[e]]＝Σ_i＝0 ^m-1[[d_i]][[x_i,j]]，计算[[e]]，

根据所述份额[[w_t ^→]]的第j要素[[w_j,t]]和所述[[e]]，通过[[w_j,t+1]]＝[[w_j,t]]-η(1/m)[[e]]，计算进行了t+1次更新的模型参数w^→的值w_t+1 ^→的份额[[w_t+1 ^→]]的第j要素[[w_j,t+1]]。

7.一种计算机可读取的记录介质，记录了由计算机的处理器所执行的计算机指令，所述计算机指令用于使所述计算机作为权利要求3所述的秘密S型函数计算装置或权利要求4所述的秘密逻辑回归计算装置发挥作用。