CN113591146A - 基于合作的高效安全两方计算系统及计算方法 - Google Patents

基于合作的高效安全两方计算系统及计算方法 Download PDF

Info

Publication number
CN113591146A
CN113591146A CN202110866050.8A CN202110866050A CN113591146A CN 113591146 A CN113591146 A CN 113591146A CN 202110866050 A CN202110866050 A CN 202110866050A CN 113591146 A CN113591146 A CN 113591146A
Authority
CN
China
Prior art keywords
circuit
party
share
participant
line
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110866050.8A
Other languages
English (en)
Other versions
CN113591146B (zh
Inventor
张宗洋
刘翔宇
史可心
刘建伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Original Assignee
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University filed Critical Beihang University
Priority to CN202110866050.8A priority Critical patent/CN113591146B/zh
Publication of CN113591146A publication Critical patent/CN113591146A/zh
Application granted granted Critical
Publication of CN113591146B publication Critical patent/CN113591146B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于合作的高效安全两方计算系统及方法,包括:函数无关预处理模块,为通信双方预生成安全计算所需的可验证的随机比特分享份额和输入线路的标签对集合;函数相关预处理模块,参与方分别担任混淆方,为前半电路和后半电路分别生成可验证的混淆电路分享份额;输入预处理模块,计算方获取电路各输入线路真值掩饰值形式对应的标签集合;电路分析模块,参与方依次担任计算方,分别恢复和分析前半电路、后半电路的混淆电路,验证电路计算的正确性;输出模块,通信双方从输出线路标签获取对应掩饰值并恢复输出真值。该系统能保证电路计算正确性和输入隐私性,且通信复杂度低,参与双方平摊计算压力,安全计算效率高,可以抵御恶意敌手。

Description

基于合作的高效安全两方计算系统及计算方法
技术领域
本发明涉及数据安全和隐私保护技术领域,特别涉及一种基于合作的高效安全两方计算系统及计算方法。
背景技术
安全多方计算协议(SecureMulti-Party Computation,SMPC)允许各参与方在不暴露隐私数据的情况下完成联合计算的任务,通过分离数据所有权和数据使用权解决隐私保护问题。经过多年的发展,安全多方计算协议已经从理论阶段发展为可以应用于实际场景的隐私保护核心技术,是数据安全领域的研究热点之一。
安全两方计算协议(Two-Party Security Computation,2PC)实现在两个参与方之间完成安全计算任务。一方面,安全两方计算协议是安全多方计算协议实现的基础;另一方面,安全两方计算协议可应用于有隐私保护需求的两方场景,如基因比对、模式匹配等。安全两方计算协议分为通用安全两方计算协议和特定安全两方计算协议。特定安全两方计算协议是在特定应用场景下实现的安全两方计算协议,例如隐私集合求交集技术(PrivateSet Intersection,PSI)。与特定安全两方计算协议相比,通用安全两方计算协议不受场景限制,拥有更广泛的应用场景,具有重要的现实意义。通用安全两方计算协议的计算模型包括布尔电路和算术电路两种类型。与算术电路相比,布尔电路的硬件实现速度快,效率高。一般而言,异或门和与门的组合具有完备性,可以表示任意函数。因此,布尔电路模型的通用安全两方计算协议具有重要的研究意义。
通信轮数(round)是指通信双方为了完成计算任务所需进行交互的轮数。在每一轮中,至少有一个通信方可以根据当前轮的交互消息计算得到一些中间信息。通信轮数划分为常数轮和线性轮两种。常数轮是指在有限通信轮数内可以完成计算,不会随着电路深度的增大而增加;线性轮是指通信轮数与电路的深度线性相关,当前轮的计算需要等电路上一层计算的完成。根据轮数的不同,布尔电路模型的通用安全两方计算协议主要划分为基于秘密分享技术实现的安全两方计算协议和基于混淆电路技术实现的安全两方计算协议两大类。基于秘密分享技术实现的安全两方计算协议在线性轮数内完成联合计算任务,实现恶意敌手模型下的安全,具有高吞吐量但高时延的特点。基于混淆电路技术实现的安全两方计算协议在常数轮内完成联合计算任务,实现半诚实敌手模型下的安全,具有低时延但低吞吐量的特点。
可验证混淆分享方案结合了秘密分享技术和混淆电路技术,是实现恶意敌手模型下安全的混淆方案。具体地,通信双方基于秘密分享技术,分别生成一个混淆电路分享份额。然后,计算方在恢复得到完整混淆电路后可以进行分析工作。基于可验证混淆分享方案实现的安全两方计算协议将秘密分享技术和混淆电路技术的优势相结合,可以在常数轮内完成联合计算任务,实现恶意敌手模型下的安全,旨在达到高吞吐量且低时延的目标,在加强抵御恶意敌手的能力的同时,提升安全计算的效率。现有的可验证混淆电路分享方案包括基于异或无开销混淆技术(Free-XOR)实现的和基于半门混淆技术(Half-Gates)实现的可验证混淆分享方案。通信复杂度和计算复杂度都达到电路大小级别,因此,高通信复杂度和高计算复杂度这两个问题仍是基于可验证混淆电路分享方案实现的安全两方计算协议效率提升的瓶颈。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的一个目的在于提出一种基于合作的高效安全两方计算系统,该系统在保证电路计算正确性和输入隐私性的前提下,降低通信复杂度,平衡参与方的计算压力,提升安全计算的效率,实现抵御恶意敌手的能力。
本发明的另一个目的在于提出一种基于合作的高效安全两方计算方法。
为达到上述目的,本发明一方面实施例提出了一种基于合作的高效安全两方计算系统,包括:
函数无关预处理模块,用于为通信双方预生成安全计算所需的可验证的随机比特分享份额和输入线路的标签对集合;
函数相关预处理模块,用于将参与方分别担任混淆方,为前半电路和后半电路分别生成可验证的混淆电路分享份额;
输入预处理模块,用于为计算方获取电路各输入线路真值的掩饰值形式对应的标签集合;
电路分析模块,用于将所述参与方依次担任计算方,分别恢复和分析前半电路和后半电路的混淆电路,并判断电路计算的正确性;
输出模块,用于为通信双方从输出线路标签获取对应掩饰值,并恢复得到输出真值。
为达到上述目的,本发明另一方面实施例提出了一种基于合作的高效安全两方计算方法,包括以下步骤:
第一参与方和第二参与方通过各自持有的全局密钥和线路密钥,为电路各输入线路以及与门的门输出线路生成掩码分享份额及其消息验证码,根据布尔电路的拓扑结构,为与门的门输出线路生成掩码运算分享份额及其消息验证码;
所述第一参与方基于自身持有的全局密钥为前半电路的输入线路生成标签对集合,所述第二参与方基于自身持有的全局密钥为后半电路的输入线路生成标签对集合;
通过提出的基于Three-Halves混淆电路技术实现的可验证混淆分享方案,所述第一参与方计算生成前半的混淆电路分享份额并发给所述第二参与方,所述第一参与方本地持有的所述第二参与方后半线路掩码分享份额的消息验证码集合作为后半的混淆电路分享份额;所述第二参与方计算生成后半的混淆电路分享份额并发给所述第一参与方,所述第二参与方持有的所述第一参与方前半电路线路掩码分享份额的消息验证码集合作为前半电路混淆分享份额;
所述第一参与方将对应所述第二参与方输入线路的掩码分享份额及其消息验证码发给所述第二参与方,所述第二参与方验证并恢复前半输入线路中对应自身输入值的线路的掩码,将输入真值的掩饰值形式发给所述第一参与方,所述第一参与方将对应掩饰值的线路标签发给所述第二参与方;
所述第二参与方将对应所述第一参与方输入线路的掩码分享份额及其消息验证码发给所述第一参与方,所述第一参与方验证并恢复前半输入线路中对应自身输入值的线路的掩码,所述第一参与方将输入真值的掩饰值形式、对应掩饰值的线路标签发给所述第二参与方;
所述第二参与方本地恢复前半的完整混淆电路,根据前半电路的拓扑结构进行分析,获得前半电路的输出线路掩饰值及其对应的标签集合,将掩饰值集合对应的后半电路输入线路的标签集合发给所述第一参与方;
所述第一参与方本地恢复后半的完整混淆电路,根据后半电路的拓扑结构进行分析,获得后半电路的输出线路掩饰值及其对应的标签集合,在分析后半混淆电路的同时,所述第一参与方基于前半电路的掩饰值及持有的掩码随机比特份额,与所述第二参与方核对前半电路计算的正确性,如果检查没有错误,则发送输出线路掩饰值给所述第二参与方;否则,直接终止协议流程;
所述第二参与方基于后半电路的掩饰值及持有的掩码随机比特份额,与所述第一参与方核对后半电路计算的正确性,如果检查没有错误,则两个参与方公开持有的输出线路掩码比特分享份额及其消息验证码,双方本地恢复并验证电路输出线路的掩码,从掩饰值获得输出线路真值;否则,直接终止协议流程。
本发明实施例的基于合作的高效安全两方计算系统及计算方法,利用可验证随机比特分享方案、Beaver乘法三元组方案、基于合作的流程设计以及可验证混淆分享方案,实现高效安全的两方计算,有益效果为:
1)降低了通信复杂度,在保证输出计算正确性与输入隐私性的前提下,实现了以更少的通信量完成混淆电路结构的发送过程,降低了通信时延。
2)平摊了计算压力,提升了协议的实现效率,通过基于合作的流程设计,将完整电路划分成前后两个子电路,两个参与方分别生成或分析前后子电路的混淆电路分享份额,从电路层面平摊计算压力。
3)具有抵御恶意敌手的能力,在基于合作的高效安全两方计算协议中,一方面,线路掩码和混淆电路由两个参与方共同生成,没有任何一方知道完整的混淆电路,因此可以抵抗恶意的混淆方进行选择失败攻击;另一方面,协议中具有电路计算的正确性检查工作,因此可以抵抗恶意的计算方随意伪造电路计算结果。
4)基于合作的流程设计可以与其他混淆电路技术兼容,实现安全两方计算协议。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本发明一个实施例的基于合作的高效安全两方计算系统结构示意图;
图2为根据本发明一个实施例的基于合作的高效安全两方计算系统工作流程示意图;
图3为根据本发明一个实施例的关键步骤示意图;
图4为根据本发明一个实施例的基于合作的高效安全两方计算方法的流程图;
图5为根据本发明一个具体实施例的基于合作的高效安全两方计算方法的流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参照附图描述根据本发明实施例提出的基于合作的高效安全两方计算系统及计算方法。
本发明中涉及到的参数含义如表1所示:
表1
Figure BDA0003187525340000041
Figure BDA0003187525340000051
首先将参照附图描述根据本发明实施例提出的基于合作的高效安全两方计算系统。
图1为根据本发明一个实施例的基于合作的高效安全两方计算系统结构示意图。图2为根据本发明一个实施例的基于合作的高效安全两方计算系统工作流程示意图。
如图1和图2所示,该基于合作的高效安全两方计算系统包括:函数无关预处理模块100、函数相关预处理模块200、输入预处理模块300、电路分析模块400和输出模块500。
其中,函数无关预处理模块100,用于为通信双方预生成安全计算所需的可验证的随机比特分享份额和输入线路的标签对集合。函数相关预处理模块200,用于将参与方分别担任混淆方,为前半电路和后半电路分别生成可验证的混淆电路分享份额。输入预处理模块300,用于为计算方获取电路各输入线路真值的掩饰值形式对应的标签集合。电路分析模块400,用于将参与方依次担任计算方,分别恢复和分析前半电路和后半电路的混淆电路,并判断电路计算的正确性。输出模块500,用于为通信双方从输出线路标签获取对应掩饰值,并恢复得到输出真值。
进一步地,在本发明的一个实施例中,函数无关预处理模块进一步用于根据布尔电路中线路的数量,使得参与方通过交互和本地计算的方式为电路的各输入线路、与门的门输出线路生成掩码比特分享份额及其消息验证码集合、为与门的门输出线路生成掩码运算比特分享份额及其消息验证码集合、分别为前半电路的输入线路和后半电路的输入线路生成标签对集合。
进一步地,两个参与方分别表示为第一参与方PA和第二参与方PB。其中,第一参与方PA承担前半电路的混淆生成工作和后半电路的混淆分析工作;第二参与方PB承担前半电路的混淆分析工作和后半电路的混淆生成工作。
进一步地,掩码比特分享份额及其消息验证码集合的生成是通过可验证随机比特方案实现的。
首先,PA和PB分别本地生成全局密钥(△A,△B)以及线路密钥集合,然后,PA和PB分别为电路的各输入线路、与门的门输入线路生成随机比特,最后,PA和PB通过可验证随机比特生成方案为各掩码比特分享份额生成消息验证码。
进一步地,与门的门输出线路的掩码运算比特分享份额是通过Beaver乘法三元组方案实现的。
首先,PA和PB分别生成线路运算密钥集合,然后,根据布尔电路拓扑结构,得到各逻辑门输出线路的掩码运算比特分享份额。如果逻辑门是异或门,那么各参与方本地将异或门两条输入线路的掩码比特分享份额和消息验证码分别进行异或,就可以获得异或门的掩码运算比特分享份额及其消息验证码。如果逻辑门是与门,那么通过Beaver乘法三元组方案生成掩码运算比特分享份额及其消息验证码集合。
进一步地,输入线路的标签对集合是基于随机比特生成工具和全局密钥实现的。
首先,PA为前半电路的输入线路集合随机选取比特值0的标签集合,PB为后半电路的输入线路集合随机选取比特值0的标签集合,然后,根据比特值0的标签集合与全局密钥,PA为前半电路的输入线路集合生成比特值1的标签集合,PB为后半电路的输入线路集合生成比特值1的标签集合。
进一步地,在本发明的一个实施例中,函数相关预处理模块具体用于,
PA和PB为前半布尔电路构造一个混淆电路,其中,PA基于自己的全局密钥△A、线路掩码分享份额和线路标签生成混淆电路分享份额并发送给PB,PB本地持有另一部分混淆电路分享份额;PA和PB为后半布尔电路构造一个混淆电路,其中,PB基于自己的全局密钥△B、线路掩码分享份额和线路标签生成混淆电路分享份额并发送给PA,PA本地持有另一部分混淆电路分享份额。
进一步地,混淆电路的构造是通过本发明提出的基于Three-Halves混淆电路技术实现的可验证混淆分享方案实现的。
进一步地,基于Three-Halves混淆电路技术实现的可验证混淆分享方案中,参与方根据电路的拓扑结构逐门生成混淆表,混淆表由两个参与方共同生成。其中,Three-Halves混淆电路技术是由Rosulek和Roy提出的。
如果逻辑门是与门。首先,两个参与方分别将门输入线路和输出线路的标签对集合、全局密钥划分成左半部分和右半部分;然后根据门线路掩码分享份额生成位置信息比特向量的分享份额,根据门运算逻辑以及各标签对的相关性确定线路标签可能的组合,根据组合方式生成控制比特矩阵以及其压缩加密形式;最后,基于控制比特矩阵、位置信息比特向量以及划分后的标签集合,生成混淆表分享份额和控制比特矩阵的加密压缩形式。
以前半电路中的门
Figure BDA0003187525340000071
为例,其中α,β分别是门
Figure BDA0003187525340000072
的两条输入线路,γ是门
Figure BDA0003187525340000073
的输出线路,∧表示该门是与门。生成的两个混淆结构份额分别满足:
Figure BDA0003187525340000074
Figure BDA0003187525340000075
其中,公式中各参数的描述如下。
(1){Lγ,0,Lα,0,Lβ,0,△}都是分片形式的,例如,Lγ,0=Lγ,0L||Lγ,0R
(2)
Figure BDA0003187525340000076
是混淆结构,用于分析混淆表,得到门输出线路的标签Lγ,基于两个混淆表份额可以恢复得到完整混淆结构
Figure BDA0003187525340000077
其中
Figure BDA0003187525340000078
是PB通过本地持有的掩码分享份额和掩码运算分享份额生成的;
(3)
Figure BDA0003187525340000079
是基于输入标签生成的哈希值向量,
Figure BDA00031875253400000710
用于加密不同混淆行的输出对应标签;
(4)V和M是具有相同列空间的常量比特矩阵。需要注意的是,因为混淆结构是在标签分片形式的基础上构造的,所以公式中的{Lα,0,Lβ,0,Lγ,0,△}都表示[L0L,L0R]T的向量形式,矩阵V和M的维度分别是8×2和8×6,矩阵的秩都是5;
(5)是标识混淆表的输出值位置信息的矩阵,例如t=[0,0,1,0],代表第三行混淆行对应的输出标签是
Figure BDA00031875253400000711
其它混淆行对应的输出标签是Lγ,0,这里所说的混淆行是与真值表各行相对应的混淆表中的行信息。公式等号两侧需要具有相同的空间维度,因此t实际上是维度为8×2的扩展形式。公式中的tA是矩阵t的一个分享份额,是参与方PA根据所持掩码分享份额生成的,表示为如下等式:
Figure BDA00031875253400000712
其中,生成tA所用的线路掩码分享份额都是随机比特值,
Figure BDA00031875253400000713
是通过Beaver乘法三元组方案生成的。
(6)矩阵R是根据tA以及门输入线路标签可能组合方式生成的控制比特矩阵,维度大小为8×6。为了不暴露输出结果位置信息tA给参与方PB,防止破坏隐私性,R是与随机矩阵异或后的加密形式;
(7)
Figure BDA0003187525340000081
是控制比特矩阵R的压缩表示形式,维度大小为8×d,小于矩阵的维度。发送压缩形式比特矩阵可以实现降低通信量。其中,d=2适用于泄漏门类型的逻辑门,d=4适用于隐藏门类型的逻辑门。
Figure BDA0003187525340000082
Figure BDA0003187525340000083
Figure BDA0003187525340000084
的低d/2比特位
Figure BDA0003187525340000085
异或后得到的加密形式,满足公式
Figure BDA0003187525340000086
(8)
Figure BDA0003187525340000087
是通过参与方PA持有的用于为PB持有的掩码分享份额生成消息验证码的线路密钥生成的,表示为如下等式:
Figure BDA0003187525340000088
后半电路中与门的混淆结构生成过程与上述类似,但是由参与方PB使用全局密钥△B计算生成混淆分享份额。
如果逻辑门是异或门,那么参与方之间无需进行交互,即无需生成额外的混淆结构发给另一参与方。
进一步地,在本发明的一个实施例中,输入预处理模块具体用于,PA和PB验证输入线路掩码随机比特份额的正确性之后恢复自己对应的输入线路的线路掩码,分别本地生成自己对应的输入线路掩饰值,发送给另一方;
PA将与电路输入线路集合I中各输入线路真值的掩饰值形式对应的标签发送给PB,电路输入线路集合I就是前半电路的输入线路集合。
进一步地,真值的掩饰值形式表示为
Figure BDA0003187525340000089
其中,γ是电路线路的下标,λγ是线路γ的完整掩码,zγ是线路γ的对应真值,
Figure BDA00031875253400000810
是真值的掩饰值形式。
进一步地,在本发明的一个实施例中,电路分析模块具体用于,
PB恢复得到前半电路的完整混淆电路结构,使用输入线路集合I对应的标签集合分析前半电路的混淆电路结构,得到一组前半电路的输出线路集合中各输出线路的标签以及掩饰值;
PB将前半电路的输出线路集合中各线路的真值的掩饰形式对应的后半电路的输入线路标签集合以及掩饰值发送给PA,另外,前半电路的与门输出掩饰值也发送给PA
PA恢复得到后半电路的完整混淆电路结构,使用获取的后半电路输入线路标签集合分析后半电路的混淆电路结构,得到一组后半电路的输出线路集合中各线路的标签以及相应掩饰值。其中,后半电路的与门输出掩饰值发送给PB。在分析后半电路的混淆电路结构的同时,PA基于可验证随机比特分享方案的异或同态属性,对接收到的前半电路掩饰值计算的正确性进行验证,如果前半电路正确性检验过程发现错误,则直接终止协议;
PB基于可验证随机比特分享方案的异或同态属性,对接收到的后半电路掩饰值计算的正确性进行验证,同样地,如果后半电路的正确性检验过程出现了错误,则直接终止协议。如果正确性验证通过,则继续。
进一步地,在本发明的一个实施例中,完整的混淆电路的恢复和分析过程是通过本发明提出的基于Three-Halves混淆电路技术实现的可验证混淆分享方案实现的,电路分析过程仍是根据电路拓扑结构逐门进行分析的。
根据逻辑门的类型,混淆表分析过程分别描述如下。
逻辑门
Figure BDA0003187525340000091
是与门。仍以前半电路的门
Figure BDA0003187525340000092
为例,参与方PB在接收到来自参与方PA的混淆结构份额
Figure BDA0003187525340000093
和加密压缩形式的控制比特矩阵
Figure BDA0003187525340000094
之后,首先通过一组对应门输入线路真值的标签组合解密
Figure BDA0003187525340000095
Figure BDA0003187525340000096
有且仅有一行能够被PB解密成功得到压缩形式的控制比特矩阵
Figure BDA0003187525340000097
的相应行,进而分析得到控制比特矩阵的局部视图;然后,PB将以的局部视图表示的
Figure BDA0003187525340000098
Figure BDA0003187525340000099
异或,可以恢复得到混淆表中某一混淆行的信息,进而推得输出线路γ的掩饰值对应标签,掩饰值是标签的最后一位。后半电路中与门的混淆结构生成过程与上述类似,但是由参与方PA承担分析混淆结构的工作。
逻辑门
Figure BDA00031875253400000910
是异或门。承担混淆电路分析工作的参与方可以直接本地计算得到输出线路掩饰值及其对应标签。具体地,分析混淆电路的参与方计算输出线路γ的掩饰值对应标签为
Figure BDA00031875253400000911
掩饰值是标签Lγ的最后一位。
进一步地,在本发明的一个实施例中,基于可验证随机比特分享方案的异或同态属性是指任意两个随机比特a和b的消息验证码和线路密钥满足如下等式,
Figure BDA00031875253400000912
其中,K[a]、K[b]是线路密钥,△是全局密钥,他们由同一个参与方持有;M[a]、M[b]和两个随机比特a和b由另一个参与方持有,M[a]和M[b]是消息验证码。异或同态属性是生成异或门输出线路掩码及其分享份额的前提。
进一步地,在本发明的一个实施例中,电路的正确性检验过程是参与方对电路中与门计算的正确性进行验证,因为异或门的线路值是直接本地计算得到的,通过验证与门计算的正确性就可以同时验证异或门计算的正确性,进而验证电路计算的正确性。
首先,两个参与方通过本地持有的掩码分享份额及其消息验证码、线路密钥以及线路的掩饰值计算得到每个与门的运算逻辑比特cγ的可验证分享份额,
Figure BDA0003187525340000101
然后,两个参与方将所有与门可验证分享份额的异或组合结果公开,参与方分别验证并恢复得到各与门运算逻辑比特的异或组合结果,如果异或组合结果为0,则说明与门运算的正确性;否则,说明电路运算存在错误,发现错误的参与方可以选择直接终止协议。
进一步地,在本发明的一个实施例中,输出模块具体用于,
PA和PB公开集合O中各输出线路的掩码分享份额及其消息验证码,PA和PB分别在本地验证对方掩码分享份额的正确性后恢复完整的输出线路掩码,从输出线路掩饰值得到各输出线路真值。
进一步地,验证掩码分享份额的正确性是通过一个参与方公开掩码分享比特及其消息验证码,另一个参与方基于持有的全局密钥和线路密钥,计算公式
Figure BDA0003187525340000102
是否成立。如果成立,则说明掩码分享份额是正确的;否则,说明掩码分享比特是错误的,发现错误的参与方可以选择直接终止协议。
下面通过一个具体实施例对发明的基于合作的高效安全两方计算系统进行详细说明。
本发明的实施例中共包含两种角色,1)混淆方(Garbler):混淆方负责生成混淆电路;2)计算方(Evaluator):计算方负责根据输入线路值对应的标签集合分析混淆电路,获得输出结果。在系统中,参与方PA担任前半电路的混淆方和后半电路的计算方,参与方PB担任后半电路的混淆方和前半电路的计算方。
系统的工作流程如图3所示。假设计算的电路C具有条输入线路和p条输出线路。电路拓扑结构中,与门总数为个,前半电路的输出线路为n′条。
进一步地,函数无关预处理模块为两个参与方分别生成可验证掩码分享份额、输入线路标签对集合。
具体地,首先,PA和PB分别本地生成全局密钥(△A,△B)以及线路密钥集合,过程分别描述为:
Figure BDA0003187525340000103
Figure BDA0003187525340000104
其中,λ代表安全参数,{1,…,m}是输入线路下标集合,代表电路中与门总数,{n+1,…,n+m}是与门的门输出线路下标集合,{1,…,m}是在掩码运算密钥集合中与门的门输出线路下标集合。(△A,△B)为全局密钥,KA,i和KB,i为线路i对应的线路密钥,
Figure BDA0003187525340000105
Figure BDA0003187525340000106
分别是输出线路j对应的掩码运算密钥。
然后,PA和PB分别为电路的各输入线路、与门的门输入线路生成随机比特,过程分别描述为:
Figure BDA0003187525340000111
Figure BDA0003187525340000112
其中,λ代表安全参数,{1,…,n}是输入线路下标集合,m代表电路中与门总数,{n+1,…,n+m}是与门的门输出线路下标集合。aA,i和bB,i分别是PA和PB为线路生成的随机比特。因此,线路的掩码可以表示为
Figure BDA0003187525340000113
aA,i和bB,i也称作掩码比特分享份额。
接着,参与方分别为各掩码比特分享份额生成消息验证码,过程描述为:
Figure BDA0003187525340000114
Figure BDA0003187525340000115
其中,掩码比特分享份额bB,i的消息验证码由PB持有,满足
Figure BDA0003187525340000116
掩码比特分享份额aA,i的消息验证码由PA持有,满足
Figure BDA0003187525340000117
然后,根据布尔电路拓扑结构,得到各逻辑门输出线路的掩码运算比特分享份额。如果逻辑门是异或门,那么各参与方本地将异或门两条输入线路的掩码比特分享份额和消息验证码分别进行异或,就可以获得异或门的掩码运算比特分享份额及其消息验证码。如果逻辑门是与门,那么通过Beaver乘法三元组方案生成掩码运算比特分享份额及其消息验证码集合,过程描述为:
Figure BDA0003187525340000118
其中,线路下标i∈{1,m},分别对应各与门的门输出线路,下标1和2分别指输出线路i对应与门的两条输入线路。与门的门输出线路的掩码运算比特分享份额是两条输入线路的掩码比特的与计算结果
Figure BDA0003187525340000119
的分享份额,即满足
Figure BDA00031875253400001110
Figure BDA00031875253400001111
另外,
Figure BDA00031875253400001112
的消息验证码由PB持有,满足
Figure BDA00031875253400001113
Figure BDA00031875253400001114
的消息验证码由PA持有,满足
Figure BDA00031875253400001115
另外,输入线路的标签对集合是基于随机比特生成工具和全局密钥实现的。
首先,PA为前|C|/2电路的输入线路集合随机选取比特值0对应的标签集合,过程描述为
Figure BDA0003187525340000121
输入线路集合的比特值1对应的标签集合表示为
Figure BDA0003187525340000122
然后,PB为后|C|/2电路的输入线路集合随机选取比特值0的标签集合,过程描述为
Figure BDA0003187525340000123
输入线路集合的比特值1的标签集合表示为
Figure BDA0003187525340000124
进一步地,函数相关预处理模块用于生成可验证混淆电路分享份额。
具体地,PA和PB为前|C|/2布尔电路构造一个混淆电路G1,其中,PA基于自己的全局密钥△A、线路掩码分享份额和线路标签生成混淆电路分享份额
Figure BDA0003187525340000125
并发送给PB,PB本地持有混淆电路分享份额
Figure BDA0003187525340000126
PA和PB为后|C|/2布尔电路构造一个混淆电路G2,其中,PB基于自己的全局密钥△B、线路掩码分享份额和线路标签生成混淆电路分享份额
Figure BDA0003187525340000127
并发送给PA,PA本地持有混淆电路分享份额
Figure BDA0003187525340000128
混淆电路结构的是根据电路的拓扑结构逐门生成混淆结构的。
逻辑门是与门。首先,两个参与方分别将门输入线路和输出线路的标签对集合、全局密钥划分成左半部分和右半部分;然后根据门线路掩码分享份额生成位置信息比特向量的分享份额,根据门运算逻辑以及各标签对的相关性确定线路标签可能的组合,根据组合方式生成控制比特矩阵以及其压缩加密形式;最后,基于控制比特矩阵、位置信息比特向量以及划分后的标签集合,生成混淆表分享份额和控制比特矩阵的加密压缩形式。
仍以前|C|/2电路中的门
Figure BDA0003187525340000129
为例,其中α,β分别是门
Figure BDA00031875253400001210
的两条输入线路,γ是门
Figure BDA00031875253400001211
的输出线路,∧表示该门是与门。生成的两个混淆结构份额分别满足:
Figure BDA00031875253400001212
Figure BDA00031875253400001213
后|C|/2电路中与门的混淆结构生成过程与上述类似,但是由参与方PB使用全局密钥△B计算生成上述第一部分的混淆分享份额。
逻辑门是异或门。参与方之间无需进行交互,即无需生成额外的混淆结构发给另一方。
进一步地,输入预处理模块用于获取各电路输入线路掩饰值形式及其对应标签。
具体地,PA和PB验证输入线路掩码随机比特份额的正确性之后恢复自己对应的输入线路的线路掩码,分别本地生成自己对应的输入线路掩饰值,发送给另一方;PA将与电路输入线路集合I中各输入线路真值的掩饰值形式对应的标签发送给PB,电路输入线路集合I就是前|C|/2电路的输入线路集合。
真值的掩饰值形式表示为
Figure BDA0003187525340000131
其中,γ是电路线路下标,λγ是线路γ的完整掩码,zγ是线路γ的对应真值,
Figure BDA0003187525340000132
是线路真值zγ的掩饰值形式。
进一步地,在本发明的一个实施例中,电路分析模块用于恢复和分析前半混淆电路、验证前半电路计算的正确性、恢复和分析后半混淆电路以及验证后半电路计算的正确性。
具体地,PB首先恢复得到完整的混淆电路结构
Figure BDA0003187525340000133
使用输入线路集合I对应的标签集合分析混淆电路
Figure BDA0003187525340000134
得到一组前|C|/2电路的输出线路集合OFront中各输出线路的标签以及掩饰值;
然后,PB将OFront中各线路的真值的掩饰形式对应的后|C|/2电路的输入线路标签集合以及掩饰值发送给PA,另外前|C|/2电路的与门输出掩饰值也发送给PA
接着,PA恢复得到完整的混淆电路结构
Figure BDA0003187525340000135
使用获取的后|C|/2电路输入线路标签集合分析混淆电路
Figure BDA0003187525340000136
得到一组后|C|/2电路的输出线路集合O中各线路的标签以及相应掩饰值。其中,后|C|/2电路的与门输出掩饰值发送给PB。在分析混淆电路
Figure BDA0003187525340000137
的同时,pA基于可验证随机比特分享方案的异或同态属性,对接收到的前|C|/2电路掩饰值计算的正确性进行验证,如果前|C|/2电路正确性检验过程发现错误,则直接终止协议。
最后,PB基于可验证随机比特分享方案的异或同态属性,对接收到的后|C|/2电路掩饰值计算的正确性进行验证,同样地,如果后|C|/2电路的正确性检验过程出现了错误,则直接终止协议。如果正确性验证通过,则继续。
电路分析过程仍是根据电路拓扑结构逐门进行分析的。根据逻辑门的类型,混淆表分析过程描述如下。
逻辑门是与门。仍以前|C|/2电路的门
Figure BDA0003187525340000138
为例,参与方PB在拥有
Figure BDA0003187525340000139
Figure BDA00031875253400001310
之后,通过收到的一组门输入线路标签组合解密
Figure BDA00031875253400001311
Figure BDA00031875253400001312
有且仅有一行能够被pB解密成功得到
Figure BDA00031875253400001313
的相应行,即分析得到矩阵的局部视图,然后结合
Figure BDA00031875253400001314
可以恢复得到混淆表中某一混淆行的信息,由此推得输出线路真值对应标签,掩饰值是标签的最后一位。后|C|/2电路中与门的混淆结构生成过程与上述类似,但是由参与方PA分析混淆结构。
逻辑门是异或门。承担混淆电路分析工作的参与方可以直接本地计算得到输出线路掩饰值及其对应标签。以门
Figure BDA0003187525340000141
为例,分析混淆电路的参与方计算输出线路γ的掩饰值对应标签为
Figure BDA0003187525340000142
掩饰值是标签Lγ的最后一位。
进一步地,电路的正确性检验过程是参与方对电路中与门计算的正确性进行验证,因为异或门的线路值是直接本地计算得到的,通过验证与门计算的正确性就可以同时验证异或门计算的正确性,进而验证电路计算的正确性。
首先,两个参与方通过本地持有的掩码分享份额及其消息验证码、线路密钥以及线路的掩饰值计算得到每个与门的运算逻辑比特cγ的可验证分享份额。以门
Figure BDA0003187525340000143
为例,cγ描述为
Figure BDA0003187525340000144
其中,各线路掩码λα,λβ,λγ以及输出线路运算掩码
Figure BDA0003187525340000145
的分享份额及其消息验证码分别由两个参与方持有,两个参与方可以本地计算得到比特cγ的可验证分享份额。
然后,两个参与方将所有与门可验证分享份额的异或组合结果公开,参与方分别验证并恢复得到各与门运算逻辑比特的异或结果形式,如果异或组合结果的运算逻辑比特等于0,则可以说明与门运算的正确性;否则,说明电路的运算存在错误,发现错误的参与方可以选择直接终止协议。
进一步地,输出模块用于获得电路输出线路对应真值。
具体地,PA和PB公开集合O中各输出线路的掩码分享份额及其消息验证码,PA和PB分别在本地验证对方掩码分享份额的正确性后恢复完整的输出线路掩码,从输出线路掩饰值得到各输出线路真值。
其中,验证掩码分享份额的正确性是通过一个参与方公开掩码分享比特及其消息验证码,另一个参与方基于持有的全局密钥和线路密钥,计算公式
Figure BDA0003187525340000146
是否成立。如果成立,则说明掩码分享份额是正确的;否则,说明掩码分享比特是错误的,发现错误的参与方可以选择直接终止协议。
根据本发明实施例提出的基于合作的高效安全两方计算系统,具有通信复杂度低、计算压力平衡、安全计算效率高的特点。第一,提出基于合作的流程设计,将完整电路划分成前后两个子电路,由两个参与方分别构造或分析子电路的混淆电路结构,从电路层面上有效地分摊混淆方生成混淆电路的计算压力,平衡参与方的资源利用情况。第二,提出基于Three-Halves的可验证混淆分享方案,在基于合作的流程设计的基础上,利用Beaver乘法三元组方案、可验证随机比特分享方案和Three-Halves混淆电路技术,实现可验证混淆电路分享份额的构造,进而使得通信双方的通信量降低,通信时延得到缩减,并实现抵抗恶意混淆方选择失败攻击的能力。第三,基于桶集合验证思想(Buckets),提出电路计算的正确性检验方案,优化两个参与方的通信量,提升正确性检验的效率,并实现抵抗恶意计算方随意伪造计算结果的能力。第四,通过将完整电路的正确性检验过程划分为前半电路和后半电路的正确性检验过程,如果前半电路的正确性检验有误,协议流程将提前终止,不再进行后续的协议流程,实现计算有误的提前发现,一定程度上可以避免进行无效计算。第五,基于合作的流程设计将完整电路拓扑结构划分为前半电路和后半电路分别由两个参与方承担混淆和分析的工作,混淆生成的正确性可以通过承诺方案保证,该流程设计可以作为通用的协议流程与其他混淆电路技术兼容,实现安全两方计算协议,提升安全计算的效率。
其次参照附图描述根据本发明实施例提出的基于合作的高效安全两方计算方法。
图4为根据本发明一个实施例的基于合作的高效安全两方计算方法的流程图。
如图4所示,该基于合作的高效安全两方计算方法包括:
S1,第一参与方和第二参与方通过各自持有的全局密钥和线路密钥,为电路各输入线路以及与门的门输出线路生成掩码分享份额及其消息验证码,根据布尔电路的拓扑结构,为与门的门输出线路生成掩码运算分享份额及其消息验证码。
S2,第一参与方基于自身持有的全局密钥为前半电路的输入线路生成标签对集合,第二参与方基于自身持有的全局密钥为后半电路的输入线路生成标签对集合。
S3,通过提出的基于Three-Halves混淆电路技术实现的可验证混淆分享方案,第一参与方计算生成前半的混淆电路分享份额并发给第二参与方,第一参与方本地持有的第二参与方后半线路掩码分享份额的消息验证码集合作为后半混淆电路分享份额;第二参与方计算生成后半混淆电路分享份额并发给第一参与方,第二参与方持有的第一参与方前半电路线路掩码分享份额的消息验证码集合作为前半电路混淆分享份额。
S4,第一参与方将对应第二参与方输入线路的掩码分享份额及其消息验证码发给第二参与方,第二参与方验证并恢复前半输入线路中对应自身输入值的线路的掩码,将输入真值的掩饰值形式发给第一参与方,第一参与方将对应掩饰值的线路标签发给第二参与方。
S5,第二参与方将对应第一参与方输入线路的掩码分享份额及其消息验证码发给第一参与方,第一参与方验证并恢复前半输入线路中对应自身输入值的线路的掩码,第一参与方将输入真值的掩饰值形式、对应掩饰值的线路标签发给第二参与方。
S6,第二参与方本地恢复前半的完整混淆电路,根据前半电路的拓扑结构进行分析,获得前半电路的输出线路掩饰值及其对应的标签集合,将掩饰值集合对应的后半电路输入线路的标签集合发给第一参与方。
S7,第一参与方本地恢复后半的完整混淆电路,根据后半电路的拓扑结构进行分析,获得后半电路的输出线路掩饰值及其对应的标签集合,在分析后半混淆电路的同时,第一参与方基于前半电路的掩饰值及持有的掩码随机比特份额,与第二参与方核对前半电路计算的正确性,如果检查没有错误,则发送输出线路掩饰值给第二参与方;否则,直接终止协议流程。
S8,第二参与方基于后半电路的掩饰值及持有的掩码随机比特份额,与第一参与方核对后半电路计算的正确性,如果检查没有错误,则两个参与方公开持有的输出线路掩码比特分享份额及其消息验证码,双方本地恢复并验证电路输出线路的掩码,从掩饰值获得输出线路真值;否则,直接终止协议流程。
进一步地,基于合作的流程设计是将完整电路拓扑结构划分为前半电路和后半电路分别由两个参与方承担混淆和分析的工作,混淆生成的正确性可以通过承诺方案保证,该流程设计可以与其他混淆电路技术兼容,实现安全两方计算协议。
结合图5对基于合作的高效安全两方计算方法进行详细说明。
如图5所示,基于合作的高效安全两方计算方法包括以下步骤:
第一参与方PA和第二参与方PB通过各自持有的全局密钥和线路密钥,为电路各输入线路以及与门的门输出线路生成掩码分享份额及其消息验证码,根据布尔电路的拓扑结构,为与门的门输出线路生成掩码运算分享份额及其消息验证码。
第一参与方PA基于自身持有的全局密钥为前|C|/2电路的输入线路生成标签对集合,第二参与方PB基于自身持有的全局密钥为后|C|/2电路的输入线路生成标签对集合。
通过提出的基于Three-Halves混淆电路技术实现的可验证混淆分享方案,第一参与方PA计算生成前|C|/2电路的混淆电路分享份额并发给第二参与方PB,第一参与方PA本地持有的第二参与方PB后|C|/2电路的线路掩码分享份额的消息验证码集合作为后|C|/2的混淆电路分享份额;同时,第二参与方PB计算生成后|C|/2电路的混淆电路分享份额并发给第一参与方PA,第二参与方PB本地持有的第一参与方PA前|C|/2的线路掩码分享份额的消息验证码集合作为前|C|/2的混淆电路分享份额。
第一参与方PA将对应第二参与方PB输入线路的掩码分享份额及其消息验证码发给第二参与方PB,第二参与方PB验证并恢复前|C|/2电路的输入线路中对应自身输入值的线路的掩码,将输入真值的掩饰值形式发给第一参与方PA,第一参与方PA将对应掩饰值的线路标签发给第二参与方PB;第二参与方PB将对应第一参与方PA输入线路的掩码分享份额及其消息验证码发给第一参与方PA,第一参与方PA验证并恢复前|C|/2电路的输入线路中对应自身输入值的线路的掩码,第一参与方PA将输入真值的掩饰值形式、对应掩饰值的线路标签发给第二参与方PB
第二参与方PB恢复前|C|/2电路的完整混淆电路,根据前|C|/2电路的拓扑结构进行分析,获得前|C|/2电路的输出线路掩饰值及其对应的标签集合,将掩饰值集合对应的后|C|/2电路输入线路的标签集合发给第一参与方PA
第一参与方PA恢复后|C|/2的完整混淆电路,根据后|C|/2电路的拓扑结构进行分析,获得后|C|/2电路的输出线路掩饰值及其对应的标签集合,在分析后|C|/2混淆电路的同时,第一参与方PA基于前|C|/2电路的掩饰值及持有的掩码随机比特份额,与第二参与方PB核对前|C|/2电路计算的正确性,如果检查没有错误,那么发送输出线路掩饰值给第二参与方PB;否则,直接终止协议流程。
第二参与方PB基于后|C|/2电路的掩饰值及持有的掩码随机比特份额,与第一参与方PA核对后|C|/2电路计算的正确性,如果检查没有错误,那么两个参与方公开持有的输出线路掩码比特分享份额及其消息验证码,双方本地恢复并验证电路输出线路的掩码,从掩饰值获得输出线路真值;否则,直接终止协议流程。
需要说明的是,前述对系统实施例的解释说明也适用于该实施例的方法,此处不再赘述。
根据本发明实施例提出的基于合作的高效安全两方计算方法,利用可验证随机比特分享方案、Beaver乘法三元组方案、基于合作的流程设计以及可验证混淆分享方案,实现高效安全的两方计算。降低了通信复杂度,在保证输出计算正确性与输入隐私性的前提下,实现了以更少的通信量完成混淆电路结构的发送过程,降低了通信时延;平摊了计算压力,提升了协议的实现效率,通过基于合作的流程设计,将完整电路划分成前后两个子电路,两个参与方分别生成或分析前后子电路的混淆电路分享份额,平衡了计算压力;具有抵御恶意敌手的能力,在基于合作的高效安全两方计算方法中,一方面,线路掩码和混淆电路由两个参与方共同生成,没有任何一方知道完整的混淆电路,因此可以抵抗恶意的混淆方进行选择失败攻击;另一方面,协议中具有电路计算的正确性检查工作,因此可以抵抗恶意的计算方随意伪造电路计算结果;基于合作的流程设计可以与其他混淆电路技术兼容,实现安全两方计算协议。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (8)

1.一种基于合作的高效安全两方计算系统,其特征在于,包括:
函数无关预处理模块,用于为通信双方预生成安全计算所需的可验证的随机比特分享份额和输入线路的标签对集合;
函数相关预处理模块,用于将参与方分别担任混淆方,为前半电路和后半电路分别生成可验证的混淆电路分享份额;
输入预处理模块,用于为计算方获取电路各输入线路真值的掩饰值形式对应的标签集合;
电路分析模块,用于将所述参与方依次担任计算方,分别恢复和分析前半电路和后半电路的混淆电路,并判断电路计算的正确性;
输出模块,用于为通信双方从输出线路标签获取对应掩饰值,并恢复得到输出真值。
2.根据权利要求1所述的系统,其特征在于,所述函数无关预处理模块进一步用于根据布尔电路中线路的数量,使得所述参与方通过交互和本地计算的方式为电路的各输入线路、与门的门输出线路生成掩码比特分享份额及其消息验证码集合、为与门的门输出线路生成掩码运算比特分享份额及其消息验证码集合、分别为所述前半电路的输入线路和所述后半电路的输入线路生成标签对集合。
3.根据权利要求1所述的系统,其特征在于,在所述函数相关预处理模块中,
第一参与方和第二参与方为前半布尔电路构造混淆电路,其中,第一参与方基于自己的全局密钥、线路掩码分享份额和线路标签计算生成混淆电路分享份额并发送给第二参与方,第二参与方本地持有另一部分的混淆电路分享份额;
第一参与方和第二参与方为后半布尔电路构造混淆电路,其中,第二参与方基于自己的全局密钥、线路掩码分享份额和线路标签计算生成混淆电路分享份额并发送给第一参与方,第一参与方本地持有另一部分的混淆电路分享份额。
4.根据权利要求1所述的系统,其特征在于,在所述输入预处理模块中,第一参与方和第二参与方验证输入线路掩码随机比特份额的正确性之后,恢复自己对应的输入线路的线路掩码,分别本地生成自己对应的输入线路掩饰值,发送给另一方,其中,第一参与方将与电路输入线路集合中各输入线路真值的掩饰值形式对应的标签发送给第二参与方。
5.根据权利要求1所述的系统,其特征在于,在所述电路分析模块中,
第二参与方使用输入线路集合对应的标签集合恢复和分析前半电路的混淆电路,得到前半电路的输出线路集合的对应真值掩饰值以及标签;
第二参与方将前半电路的输出线路集合的对应真值掩饰值对应的后半电路的输入线路标签集合以及前半电路的与门输出掩饰值发送给第一参与方;
第一参与方使用后半输入线路集合对应的标签集合恢复和分析后半电路的混淆电路,得到后半电路的输出线路集合的对应真值掩饰值以及标签,其中,后半电路的与门输出掩饰值发送给第二参与方,且在恢复和分析混淆电路的同时,第一参与方基于可验证随机比特分享方案的异或同态属性,对前半电路掩饰值计算的正确性进行验证,如果前半电路正确性检验过程发现错误,则直接终止协议;
第二参与方基于可验证随机比特分享方案的异或同态属性,对后半电路掩饰值计算的正确性进行验证,其中,如果后半电路的正确性检验过程发现错误,则直接终止协议。
6.根据权利要求1所述的系统,其特征在于,所述函数相关预处理模块使所述参与方根据电路的拓扑结构逐门生成混淆表,所述混淆表由两个参与方共同生成。
7.根据权利要求1所述的系统,其特征在于,在所述输出模块中,
第一参与方和第二参与方公开完整布尔电路各输出线路的掩码分享份额及其消息验证码,第一参与方和第二参与方分别在本地验证对方掩码分享份额的正确性后恢复完整的输出线路掩码,从输出线路掩饰值得到各输出线路真值。
8.一种基于合作的高效安全两方计算方法,其特征在于,利用上述1-7任一项所述的基于合作的高效安全两方计算系统,其中,方法包括以下步骤:
第一参与方和第二参与方通过各自持有的全局密钥和线路密钥,为电路各输入线路以及与门的门输出线路生成掩码分享份额及其消息验证码,根据布尔电路的拓扑结构,为与门的门输出线路生成掩码运算分享份额及其消息验证码;
所述第一参与方基于自身持有的全局密钥为前半电路的输入线路生成标签对集合,所述第二参与方基于自身持有的全局密钥为后半电路的输入线路生成标签对集合;
通过提出的基于Three-Halves混淆电路技术实现的可验证混淆分享方案,所述第一参与方计算生成前半的混淆电路分享份额并发给所述第二参与方,所述第一参与方本地持有的所述第二参与方后半线路掩码分享份额的消息验证码集合作为后半混淆电路分享份额;所述第二参与方计算生成后半混淆电路分享份额并发给所述第一参与方,所述第二参与方持有的所述第一参与方前半电路线路掩码分享份额的消息验证码集合作为前半电路混淆分享份额;
所述第一参与方将对应所述第二参与方输入线路的掩码分享份额及其消息验证码发给所述第二参与方,所述第二参与方验证并恢复前半输入线路中对应自身输入值的线路的掩码,将输入真值的掩饰值形式发给所述第一参与方,所述第一参与方将对应掩饰值的线路标签发给所述第二参与方;
所述第二参与方将对应所述第一参与方输入线路的掩码分享份额及其消息验证码发给所述第一参与方,所述第一参与方验证并恢复前半输入线路中对应自身输入值的线路的掩码,所述第一参与方将输入真值的掩饰值形式、对应掩饰值的线路标签发给所述第二参与方;
所述第二参与方本地恢复前半的完整混淆电路,根据前半电路的拓扑结构进行分析,获得前半电路的输出线路掩饰值及其对应的标签集合,将掩饰值集合对应的后半电路输入线路的标签集合发给所述第一参与方;
所述第一参与方本地恢复后半的完整混淆电路,根据后半电路的拓扑结构进行分析,获得后半电路的输出线路掩饰值及其对应的标签集合,在分析后半混淆电路的同时,所述第一参与方基于前半电路的掩饰值及持有的掩码随机比特份额,与所述第二参与方核对前半电路计算的正确性,如果检查没有错误,则发送输出线路掩饰值给所述第二参与方;否则,直接终止协议流程;
所述第二参与方基于后半电路的掩饰值及持有的掩码随机比特份额,与所述第一参与方核对后半电路计算的正确性,如果检查没有错误,则两个参与方公开持有的输出线路掩码比特分享份额及其消息验证码,双方本地恢复并验证电路输出线路的掩码,从掩饰值获得输出线路真值;否则,直接终止协议流程。
CN202110866050.8A 2021-07-29 2021-07-29 基于合作的高效安全两方计算系统及计算方法 Active CN113591146B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110866050.8A CN113591146B (zh) 2021-07-29 2021-07-29 基于合作的高效安全两方计算系统及计算方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110866050.8A CN113591146B (zh) 2021-07-29 2021-07-29 基于合作的高效安全两方计算系统及计算方法

Publications (2)

Publication Number Publication Date
CN113591146A true CN113591146A (zh) 2021-11-02
CN113591146B CN113591146B (zh) 2024-02-13

Family

ID=78252007

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110866050.8A Active CN113591146B (zh) 2021-07-29 2021-07-29 基于合作的高效安全两方计算系统及计算方法

Country Status (1)

Country Link
CN (1) CN113591146B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024674A (zh) * 2021-11-23 2022-02-08 支付宝(杭州)信息技术有限公司 两方安全比较的方法及系统
CN114244497A (zh) * 2021-12-09 2022-03-25 支付宝(杭州)信息技术有限公司 两方协同生成分片的方法及装置
CN114285558A (zh) * 2021-12-24 2022-04-05 浙江大学 一种基于半可信硬件的多方隐私计算方法及装置
CN114494803A (zh) * 2022-04-18 2022-05-13 山东师范大学 基于安全计算的图像数据标注方法及系统
CN114500006A (zh) * 2022-01-05 2022-05-13 支付宝(杭州)信息技术有限公司 查询请求的处理方法及装置
CN114499845A (zh) * 2022-01-13 2022-05-13 蚂蚁区块链科技(上海)有限公司 多方安全计算的方法、装置及系统
CN115865311A (zh) * 2022-09-16 2023-03-28 河南理工大学 一种高效恒定轮次安全多方计算协议的优化方法和系统
CN117114059A (zh) * 2023-05-16 2023-11-24 华为云计算技术有限公司 神经网络中激活函数的计算方法、装置以及计算设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040111455A1 (en) * 2002-12-05 2004-06-10 Micron Technology, Inc. Hybrid arithmetic logic unit
CN109756442A (zh) * 2017-11-01 2019-05-14 清华大学 基于混淆电路的数据统计方法、装置以及设备
WO2019231481A1 (en) * 2018-05-29 2019-12-05 Visa International Service Association Privacy-preserving machine learning in the three-server model
CN110580409A (zh) * 2019-08-09 2019-12-17 阿里巴巴集团控股有限公司 模型参数确定方法、装置和电子设备
CN111008256A (zh) * 2019-10-29 2020-04-14 矩阵元技术(深圳)有限公司 一种基于安全多方计算的空间数据分布模式分析方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040111455A1 (en) * 2002-12-05 2004-06-10 Micron Technology, Inc. Hybrid arithmetic logic unit
CN109756442A (zh) * 2017-11-01 2019-05-14 清华大学 基于混淆电路的数据统计方法、装置以及设备
WO2019231481A1 (en) * 2018-05-29 2019-12-05 Visa International Service Association Privacy-preserving machine learning in the three-server model
CN110580409A (zh) * 2019-08-09 2019-12-17 阿里巴巴集团控股有限公司 模型参数确定方法、装置和电子设备
CN111008256A (zh) * 2019-10-29 2020-04-14 矩阵元技术(深圳)有限公司 一种基于安全多方计算的空间数据分布模式分析方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
宋春芝;董晓蕾;曹珍富;: "高效可验证的隐私保护推荐系统", 华东师范大学学报(自然科学版), no. 02 *

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024674A (zh) * 2021-11-23 2022-02-08 支付宝(杭州)信息技术有限公司 两方安全比较的方法及系统
CN114024674B (zh) * 2021-11-23 2024-05-31 支付宝(杭州)信息技术有限公司 两方安全比较的方法及系统
CN114244497A (zh) * 2021-12-09 2022-03-25 支付宝(杭州)信息技术有限公司 两方协同生成分片的方法及装置
CN114244497B (zh) * 2021-12-09 2024-02-13 支付宝(杭州)信息技术有限公司 两方协同生成分片的方法及装置
CN114285558A (zh) * 2021-12-24 2022-04-05 浙江大学 一种基于半可信硬件的多方隐私计算方法及装置
CN114285558B (zh) * 2021-12-24 2023-09-08 浙江大学 一种基于半可信硬件的多方隐私计算方法及装置
US12069170B2 (en) 2021-12-24 2024-08-20 Zhejiang University Multi-party privacy computing method and device based on semi-trusted hardware
CN114500006A (zh) * 2022-01-05 2022-05-13 支付宝(杭州)信息技术有限公司 查询请求的处理方法及装置
CN114500006B (zh) * 2022-01-05 2023-08-04 支付宝(杭州)信息技术有限公司 查询请求的处理方法及装置
CN114499845B (zh) * 2022-01-13 2024-04-30 蚂蚁区块链科技(上海)有限公司 多方安全计算的方法、系统、装置、存储介质及设备
CN114499845A (zh) * 2022-01-13 2022-05-13 蚂蚁区块链科技(上海)有限公司 多方安全计算的方法、装置及系统
CN114494803A (zh) * 2022-04-18 2022-05-13 山东师范大学 基于安全计算的图像数据标注方法及系统
CN115865311A (zh) * 2022-09-16 2023-03-28 河南理工大学 一种高效恒定轮次安全多方计算协议的优化方法和系统
CN115865311B (zh) * 2022-09-16 2023-09-26 河南理工大学 一种恒定轮次安全多方计算协议的优化方法和系统
CN117114059A (zh) * 2023-05-16 2023-11-24 华为云计算技术有限公司 神经网络中激活函数的计算方法、装置以及计算设备

Also Published As

Publication number Publication date
CN113591146B (zh) 2024-02-13

Similar Documents

Publication Publication Date Title
CN113591146B (zh) 基于合作的高效安全两方计算系统及计算方法
CN112989368B (zh) 多方联合进行隐私数据处理的方法及装置
JP6970379B2 (ja) 事前計算装置、方法、およびプログラム、並びにベクトル乗算装置、および方法
JP4828355B2 (ja) コンピュータによるデータ分類方法、コンピュータによる分類方法
CN104685826A (zh) 用于双方安全功能评估的输入一致性校验
US8533487B2 (en) Secure logical vector clocks
US20090175443A1 (en) Secure function evaluation techniques for circuits containing XOR gates with applications to universal circuits
Alarood et al. IES: Hyper-chaotic plain image encryption scheme using improved shuffled confusion-diffusion
JP7259876B2 (ja) 情報処理装置、秘密計算方法及びプログラム
CN117118617B (zh) 一种基于模分量同态的分布式门限加解密方法
Tang et al. Secure multi-party computation protocol for sequencing problem
CN114337994A (zh) 数据处理方法、装置及系统
CN115913537A (zh) 基于隐私保护的数据求交方法、系统及相关设备
CN115001651A (zh) 适用于半诚实模型下基于全同态加密的多方计算方法
CN107465508A (zh) 一种软硬件结合构造真随机数的方法、系统和设备
CN116595589B (zh) 基于秘密共享机制的分布式支持向量机训练方法及系统
JP7259875B2 (ja) 情報処理装置、秘密計算方法及びプログラム
CN113472524B (zh) 一种抗恶意传输数据攻击的数据聚合签名系统及方法
Wang et al. FVFL: A Flexible and Verifiable Privacy-Preserving Federated Learning Scheme
US20230046000A1 (en) Secure computation system, secure computation server apparatus, securecomputation method, and secure computation program
TWI818708B (zh) 驗證模型更新的方法
Zhang et al. An image encryption algorithm based on an epidemic spreading model
CN111339549A (zh) 一种区块链密钥托管方法及装置
Raeini et al. Secure error correction using multiparty computation
Huang et al. A black-box construction of strongly unforgeable signature scheme in the leakage setting

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant