CN113591146B - 基于合作的高效安全两方计算系统及计算方法 - Google Patents

Abstract

本发明公开了一种基于合作的高效安全两方计算系统及计算方法，包括：函数无关预处理模块，为通信双方预生成安全计算所需的可验证的随机比特分享份额和输入线路的标签对集合；函数相关预处理模块，参与方分别担任混淆方，为前半电路和后半电路分别生成可验证的混淆电路分享份额；输入预处理模块，计算方获取电路各输入线路真值掩饰值形式对应的标签集合；电路分析模块，参与方依次担任计算方，分别恢复和分析前半电路、后半电路的混淆电路，验证电路计算的正确性；输出模块，通信双方从输出线路标签获取对应掩饰值并恢复输出真值。该系统能保证电路计算正确性和输入隐私性，且通信复杂度低，参与双方平摊计算压力，安全计算效率高，可以抵御恶意敌手。

Description

基于合作的高效安全两方计算系统及计算方法

技术领域

本发明涉及数据安全和隐私保护技术领域，特别涉及一种基于合作的高效安全两方计算系统及计算方法。

背景技术

安全多方计算协议(SecureMulti-Party Computation，SMPC)允许各参与方在不暴露隐私数据的情况下完成联合计算的任务，通过分离数据所有权和数据使用权解决隐私保护问题。经过多年的发展，安全多方计算协议已经从理论阶段发展为可以应用于实际场景的隐私保护核心技术，是数据安全领域的研究热点之一。

安全两方计算协议(Two-Party Security Computation，2PC)实现在两个参与方之间完成安全计算任务。一方面，安全两方计算协议是安全多方计算协议实现的基础；另一方面，安全两方计算协议可应用于有隐私保护需求的两方场景，如基因比对、模式匹配等。安全两方计算协议分为通用安全两方计算协议和特定安全两方计算协议。特定安全两方计算协议是在特定应用场景下实现的安全两方计算协议，例如隐私集合求交集技术(PrivateSet Intersection，PSI)。与特定安全两方计算协议相比，通用安全两方计算协议不受场景限制，拥有更广泛的应用场景，具有重要的现实意义。通用安全两方计算协议的计算模型包括布尔电路和算术电路两种类型。与算术电路相比，布尔电路的硬件实现速度快，效率高。一般而言，异或门和与门的组合具有完备性，可以表示任意函数。因此，布尔电路模型的通用安全两方计算协议具有重要的研究意义。

通信轮数(round)是指通信双方为了完成计算任务所需进行交互的轮数。在每一轮中，至少有一个通信方可以根据当前轮的交互消息计算得到一些中间信息。通信轮数划分为常数轮和线性轮两种。常数轮是指在有限通信轮数内可以完成计算，不会随着电路深度的增大而增加；线性轮是指通信轮数与电路的深度线性相关，当前轮的计算需要等电路上一层计算的完成。根据轮数的不同，布尔电路模型的通用安全两方计算协议主要划分为基于秘密分享技术实现的安全两方计算协议和基于混淆电路技术实现的安全两方计算协议两大类。基于秘密分享技术实现的安全两方计算协议在线性轮数内完成联合计算任务，实现恶意敌手模型下的安全，具有高吞吐量但高时延的特点。基于混淆电路技术实现的安全两方计算协议在常数轮内完成联合计算任务，实现半诚实敌手模型下的安全，具有低时延但低吞吐量的特点。

可验证混淆分享方案结合了秘密分享技术和混淆电路技术，是实现恶意敌手模型下安全的混淆方案。具体地，通信双方基于秘密分享技术，分别生成一个混淆电路分享份额。然后，计算方在恢复得到完整混淆电路后可以进行分析工作。基于可验证混淆分享方案实现的安全两方计算协议将秘密分享技术和混淆电路技术的优势相结合，可以在常数轮内完成联合计算任务，实现恶意敌手模型下的安全，旨在达到高吞吐量且低时延的目标，在加强抵御恶意敌手的能力的同时，提升安全计算的效率。现有的可验证混淆电路分享方案包括基于异或无开销混淆技术(Free-XOR)实现的和基于半门混淆技术(Half-Gates)实现的可验证混淆分享方案。通信复杂度和计算复杂度都达到电路大小级别，因此，高通信复杂度和高计算复杂度这两个问题仍是基于可验证混淆电路分享方案实现的安全两方计算协议效率提升的瓶颈。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的一个目的在于提出一种基于合作的高效安全两方计算系统，该系统在保证电路计算正确性和输入隐私性的前提下，降低通信复杂度，平衡参与方的计算压力，提升安全计算的效率，实现抵御恶意敌手的能力。

本发明的另一个目的在于提出一种基于合作的高效安全两方计算方法。

为达到上述目的，本发明一方面实施例提出了一种基于合作的高效安全两方计算系统，包括：

函数无关预处理模块，用于为通信双方预生成安全计算所需的可验证的随机比特分享份额和输入线路的标签对集合；

函数相关预处理模块，用于将参与方分别担任混淆方，为前半电路和后半电路分别生成可验证的混淆电路分享份额；

输入预处理模块，用于为计算方获取电路各输入线路真值的掩饰值形式对应的标签集合；

电路分析模块，用于将所述参与方依次担任计算方，分别恢复和分析前半电路和后半电路的混淆电路，并判断电路计算的正确性；

输出模块，用于为通信双方从输出线路标签获取对应掩饰值，并恢复得到输出真值。

为达到上述目的，本发明另一方面实施例提出了一种基于合作的高效安全两方计算方法，包括以下步骤：

第一参与方和第二参与方通过各自持有的全局密钥和线路密钥，为电路各输入线路以及与门的门输出线路生成掩码分享份额及其消息验证码，根据布尔电路的拓扑结构，为与门的门输出线路生成掩码运算分享份额及其消息验证码；

所述第一参与方基于自身持有的全局密钥为前半电路的输入线路生成标签对集合，所述第二参与方基于自身持有的全局密钥为后半电路的输入线路生成标签对集合；

通过提出的基于Three-Halves混淆电路技术实现的可验证混淆分享方案，所述第一参与方计算生成前半的混淆电路分享份额并发给所述第二参与方，所述第一参与方本地持有的所述第二参与方后半线路掩码分享份额的消息验证码集合作为后半的混淆电路分享份额；所述第二参与方计算生成后半的混淆电路分享份额并发给所述第一参与方，所述第二参与方持有的所述第一参与方前半电路线路掩码分享份额的消息验证码集合作为前半电路混淆分享份额；

所述第一参与方将对应所述第二参与方输入线路的掩码分享份额及其消息验证码发给所述第二参与方，所述第二参与方验证并恢复前半输入线路中对应自身输入值的线路的掩码，将输入真值的掩饰值形式发给所述第一参与方，所述第一参与方将对应掩饰值的线路标签发给所述第二参与方；

所述第二参与方将对应所述第一参与方输入线路的掩码分享份额及其消息验证码发给所述第一参与方，所述第一参与方验证并恢复前半输入线路中对应自身输入值的线路的掩码，所述第一参与方将输入真值的掩饰值形式、对应掩饰值的线路标签发给所述第二参与方；

所述第二参与方本地恢复前半的完整混淆电路，根据前半电路的拓扑结构进行分析，获得前半电路的输出线路掩饰值及其对应的标签集合，将掩饰值集合对应的后半电路输入线路的标签集合发给所述第一参与方；

所述第一参与方本地恢复后半的完整混淆电路，根据后半电路的拓扑结构进行分析，获得后半电路的输出线路掩饰值及其对应的标签集合，在分析后半混淆电路的同时，所述第一参与方基于前半电路的掩饰值及持有的掩码随机比特份额，与所述第二参与方核对前半电路计算的正确性，如果检查没有错误，则发送输出线路掩饰值给所述第二参与方；否则，直接终止协议流程；

所述第二参与方基于后半电路的掩饰值及持有的掩码随机比特份额，与所述第一参与方核对后半电路计算的正确性，如果检查没有错误，则两个参与方公开持有的输出线路掩码比特分享份额及其消息验证码，双方本地恢复并验证电路输出线路的掩码，从掩饰值获得输出线路真值；否则，直接终止协议流程。

本发明实施例的一种基于合作的高效安全两方计算系统及计算方法，利用可验证随机比特分享方案、Beaver乘法三元组方案、基于合作的流程设计以及可验证混淆分享方案，实现高效安全的两方计算，有益效果为：

1)降低了通信复杂度，在保证输出计算正确性与输入隐私性的前提下，实现了以更少的通信量完成混淆电路结构的发送过程，降低了通信时延。

2)平摊了计算压力，提升了协议的实现效率，通过基于合作的流程设计，将完整电路划分成前后两个子电路，两个参与方分别生成或分析前后子电路的混淆电路分享份额，从电路层面平摊计算压力。

3)具有抵御恶意敌手的能力，在基于合作的高效安全两方计算协议中，一方面，线路掩码和混淆电路由两个参与方共同生成，没有任何一方知道完整的混淆电路，因此可以抵抗恶意的混淆方进行选择失败攻击；另一方面，协议中具有电路计算的正确性检查工作，因此可以抵抗恶意的计算方随意伪造电路计算结果。

4)基于合作的流程设计可以与其他混淆电路技术兼容，实现安全两方计算协议。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本发明一个实施例的一种基于合作的高效安全两方计算系统结构示意图；

图2为根据本发明一个实施例的一种基于合作的高效安全两方计算系统工作流程示意图；

图3为根据本发明一个实施例的关键步骤示意图；

图4为根据本发明一个实施例的一种基于合作的高效安全两方计算方法的流程图；

图5为根据本发明一个具体实施例的一种基于合作的高效安全两方计算方法的流程图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参照附图描述根据本发明实施例提出的一种基于合作的高效安全两方计算方法及系统。

本发明中涉及到的参数含义如表1所示：

表1

首先将参照附图描述根据本发明实施例提出的一种基于合作的高效安全两方计算系统。

图1为根据本发明一个实施例的一种基于合作的高效安全两方计算系统结构示意图。图2为根据本发明一个实施例的一种基于合作的高效安全两方计算系统工作流程示意图。

如图1和图2所示，该一种基于合作的高效安全两方计算系统包括：函数无关预处理模块100、函数相关预处理模块200、输入预处理模块300、电路分析模块400和输出模块500。

其中，函数无关预处理模块100，用于为通信双方预生成安全计算所需的可验证的随机比特分享份额和输入线路的标签对集合。函数相关预处理模块200，用于将参与方分别担任混淆方，为前半电路和后半电路分别生成可验证的混淆电路分享份额。输入预处理模块300，用于为计算方获取电路各输入线路真值的掩饰值形式对应的标签集合。电路分析模块400，用于将参与方依次担任计算方，分别恢复和分析前半电路和后半电路的混淆电路，并判断电路计算的正确性。输出模块500，用于为通信双方从输出线路标签获取对应掩饰值，并恢复得到输出真值。

进一步地，在本发明的一个实施例中，函数无关预处理模块进一步用于根据布尔电路中线路的数量，使得参与方通过交互和本地计算的方式为电路的各输入线路、与门的门输出线路生成掩码比特分享份额及其消息验证码集合、为与门的门输出线路生成掩码运算比特分享份额及其消息验证码集合、分别为前半电路的输入线路和后半电路的输入线路生成标签对集合。

进一步地，两个参与方分别表示为第一参与方P_A和第二参与方P_B。其中，第一参与方P_A承担前半电路的混淆生成工作和后半电路的混淆分析工作；第二参与方P_B承担前半电路的混淆分析工作和后半电路的混淆生成工作。

进一步地，掩码比特分享份额及其消息验证码集合的生成是通过可验证随机比特方案实现的。

首先，P_A和P_B分别本地生成全局密钥(△_A,△_B)以及线路密钥集合，然后，P_A和P_B分别为电路的各输入线路、与门的门输入线路生成随机比特，最后，P_A和P_B通过可验证随机比特生成方案为各掩码比特分享份额生成消息验证码。

进一步地，与门的门输出线路的掩码运算比特分享份额是通过Beaver乘法三元组方案实现的。

首先，P_A和P_B分别生成线路运算密钥集合，然后，根据布尔电路拓扑结构，得到各逻辑门输出线路的掩码运算比特分享份额。如果逻辑门是异或门，那么各参与方本地将异或门两条输入线路的掩码比特分享份额和消息验证码分别进行异或，就可以获得异或门的掩码运算比特分享份额及其消息验证码。如果逻辑门是与门，那么通过Beaver乘法三元组方案生成掩码运算比特分享份额及其消息验证码集合。

进一步地，输入线路的标签对集合是基于随机比特生成工具和全局密钥实现的。

首先，P_A为前半电路的输入线路集合随机选取比特值0的标签集合，P_B为后半电路的输入线路集合随机选取比特值0的标签集合，然后，根据比特值0的标签集合与全局密钥，P_A为前半电路的输入线路集合生成比特值1的标签集合，P_B为后半电路的输入线路集合生成比特值1的标签集合。

进一步地，在本发明的一个实施例中，函数相关预处理模块具体用于，

P_A和P_B为前半布尔电路构造一个混淆电路，其中，P_A基于自己的全局密钥△_A、线路掩码分享份额和线路标签生成混淆电路分享份额并发送给P_B，P_B本地持有另一部分混淆电路分享份额；P_A和P_B为后半布尔电路构造一个混淆电路，其中，P_B基于自己的全局密钥△_B、线路掩码分享份额和线路标签生成混淆电路分享份额并发送给P_A，P_A本地持有另一部分混淆电路分享份额。

进一步地，混淆电路的构造是通过本发明提出的基于Three-Halves混淆电路技术实现的可验证混淆分享方案实现的。

进一步地，基于Three-Halves混淆电路技术实现的可验证混淆分享方案中，参与方根据电路的拓扑结构逐门生成混淆表，混淆表由两个参与方共同生成。其中，Three-Halves混淆电路技术是由Rosulek和Roy提出的。

如果逻辑门是与门。首先，两个参与方分别将门输入线路和输出线路的标签对集合、全局密钥划分成左半部分和右半部分；然后根据门线路掩码分享份额生成位置信息比特向量的分享份额，根据门运算逻辑以及各标签对的相关性确定线路标签可能的组合，根据组合方式生成控制比特矩阵以及其压缩加密形式；最后，基于控制比特矩阵、位置信息比特向量以及划分后的标签集合，生成混淆表分享份额和控制比特矩阵的加密压缩形式。

以前半电路中的门为例，其中α,β分别是门的两条输入线路，γ是门的输出线路，∧表示该门是与门。生成的两个混淆结构份额分别满足：

其中，公式中各参数的描述如下。

(1){L_γ,0,L_α,0,L_β,0,△}都是分片形式的，例如，L_γ,0＝L_γ,0L||L_γ,0R；

(2)是混淆结构，用于分析混淆表，得到门输出线路的标签L_γ，基于两个混淆表份额可以恢复得到完整混淆结构其中是P_B通过本地持有的掩码分享份额和掩码运算分享份额生成的；

(3)是基于输入标签生成的哈希值向量，用于加密不同混淆行的输出对应标签；

(4)V和M是具有相同列空间的常量比特矩阵。需要注意的是，因为混淆结构是在标签分片形式的基础上构造的，所以公式中的{L_α,0,L_β,0,L_γ,0,△}都表示[L_0L,L_0R]^T的向量形式，矩阵V和M的维度分别是8×2和8×6，矩阵的秩都是5；

(5)t是标识混淆表的输出值位置信息的矩阵，例如t＝[0,0,1,0]，代表第三行混淆行对应的输出标签是其它混淆行对应的输出标签是L_γ,0，这里所说的混淆行是与真值表各行相对应的混淆表中的行信息。公式等号两侧需要具有相同的空间维度，因此t实际上是维度为8×2的扩展形式。公式中的t_A是矩阵t的一个分享份额，是参与方P_A根据所持掩码分享份额生成的，表示为如下等式：

其中，生成t_A所用的线路掩码分享份额都是随机比特值，是通过Beaver乘法三元组方案生成的。

(6)矩阵R是根据t_A以及门输入线路标签可能组合方式生成的控制比特矩阵，维度大小为8×6。为了不暴露输出结果位置信息t_A给参与方P_B，防止破坏隐私性，R是与随机矩阵异或后的加密形式；

(7)是控制比特矩阵R的压缩表示形式，维度大小为8×d，小于矩阵R的维度。发送压缩形式比特矩阵可以实现降低通信量。其中，d＝2适用于泄漏门类型的逻辑门，d＝4适用于隐藏门类型的逻辑门。是与的低d/2比特位异或后得到的加密形式，满足公式

(8)是通过参与方P_A持有的用于为P_B持有的掩码分享份额生成消息验证码的线路密钥生成的，表示为如下等式：

后半电路中与门的混淆结构生成过程与上述类似，但是由参与方P_B使用全局密钥△_B计算生成混淆分享份额。

如果逻辑门是异或门，那么参与方之间无需进行交互，即无需生成额外的混淆结构发给另一参与方。

进一步地，在本发明的一个实施例中，输入预处理模块具体用于，P_A和P_B验证输入线路掩码随机比特份额的正确性之后恢复自己对应的输入线路的线路掩码，分别本地生成自己对应的输入线路掩饰值，发送给另一方；

P_A将与电路输入线路集合I中各输入线路真值的掩饰值形式对应的标签发送给P_B，电路输入线路集合I就是前半电路的输入线路集合。

进一步地，真值的掩饰值形式表示为其中，γ是电路线路的下标，λ_γ是线路γ的完整掩码，z_γ是线路γ的对应真值，是真值的掩饰值形式。

进一步地，在本发明的一个实施例中，电路分析模块具体用于，

P_B恢复得到前半电路的完整混淆电路结构，使用输入线路集合I对应的标签集合分析前半电路的混淆电路结构，得到一组前半电路的输出线路集合中各输出线路的标签以及掩饰值；

P_B将前半电路的输出线路集合中各线路的真值的掩饰形式对应的后半电路的输入线路标签集合以及掩饰值发送给P_A，另外，前半电路的与门输出掩饰值也发送给P_A；

P_A恢复得到后半电路的完整混淆电路结构，使用获取的后半电路输入线路标签集合分析后半电路的混淆电路结构，得到一组后半电路的输出线路集合中各线路的标签以及相应掩饰值。其中，后半电路的与门输出掩饰值发送给P_B。在分析后半电路的混淆电路结构的同时，P_A基于可验证随机比特分享方案的异或同态属性，对接收到的前半电路掩饰值计算的正确性进行验证，如果前半电路正确性检验过程发现错误，则直接终止协议；

P_B基于可验证随机比特分享方案的异或同态属性，对接收到的后半电路掩饰值计算的正确性进行验证，同样地，如果后半电路的正确性检验过程出现了错误，则直接终止协议。如果正确性验证通过，则继续。

进一步地，在本发明的一个实施例中，完整的混淆电路的恢复和分析过程是通过本发明提出的基于Three-Halves混淆电路技术实现的可验证混淆分享方案实现的，电路分析过程仍是根据电路拓扑结构逐门进行分析的。

根据逻辑门的类型，混淆表分析过程分别描述如下。

逻辑门是与门。仍以前半电路的门为例，参与方P_B在接收到来自参与方P_A的混淆结构份额和加密压缩形式的控制比特矩阵之后，首先通过一组对应门输入线路真值的标签组合解密 有且仅有一行能够被P_B解密成功得到压缩形式的控制比特矩阵的相应行，进而分析得到控制比特矩阵R的局部视图；然后，P_B将以R的局部视图表示的与异或，可以恢复得到混淆表中某一混淆行的信息，进而推得输出线路γ的掩饰值对应标签，掩饰值是标签的最后一位。后半电路中与门的混淆结构生成过程与上述类似，但是由参与方P_A承担分析混淆结构的工作。

逻辑门是异或门。承担混淆电路分析工作的参与方可以直接本地计算得到输出线路掩饰值及其对应标签。具体地，分析混淆电路的参与方计算输出线路γ的掩饰值对应标签为掩饰值是标签L_γ的最后一位。

进一步地，在本发明的一个实施例中，基于可验证随机比特分享方案的异或同态属性是指任意两个随机比特a和b的消息验证码和线路密钥满足如下等式，

其中，K[a]、K[b]是线路密钥，△是全局密钥，他们由同一个参与方持有；M[a]、M[b]和两个随机比特a和b由另一个参与方持有，M[a]和M[b]是消息验证码。异或同态属性是生成异或门输出线路掩码及其分享份额的前提。

进一步地，在本发明的一个实施例中，电路的正确性检验过程是参与方对电路中与门计算的正确性进行验证，因为异或门的线路值是直接本地计算得到的，通过验证与门计算的正确性就可以同时验证异或门计算的正确性，进而验证电路计算的正确性。

首先，两个参与方通过本地持有的掩码分享份额及其消息验证码、线路密钥以及线路的掩饰值计算得到每个与门的运算逻辑比特c_γ的可验证分享份额，

然后，两个参与方将所有与门可验证分享份额的异或组合结果公开，参与方分别验证并恢复得到各与门运算逻辑比特的异或组合结果，如果异或组合结果为0，则说明与门运算的正确性；否则，说明电路运算存在错误，发现错误的参与方可以选择直接终止协议。

进一步地，在本发明的一个实施例中，输出模块具体用于，

P_A和P_B公开集合O中各输出线路的掩码分享份额及其消息验证码，P_A和P_B分别在本地验证对方掩码分享份额的正确性后恢复完整的输出线路掩码，从输出线路掩饰值得到各输出线路真值。

进一步地，验证掩码分享份额的正确性是通过一个参与方公开掩码分享比特及其消息验证码，另一个参与方基于持有的全局密钥和线路密钥，计算公式是否成立。如果成立，则说明掩码分享份额是正确的；否则，说明掩码分享比特是错误的，发现错误的参与方可以选择直接终止协议。

下面通过一个具体实施例对发明的一种基于合作的高效安全两方计算系统进行详细说明。

本发明的实施例中共包含两种角色，1)混淆方(Garbler)：混淆方负责生成混淆电路；2)计算方(Evaluator)：计算方负责根据输入线路值对应的标签集合分析混淆电路，获得输出结果。在系统中，参与方P_A担任前半电路的混淆方和后半电路的计算方，参与方P_B担任后半电路的混淆方和前半电路的计算方。

系统的工作流程如图3所示。假设计算的电路C具有n条输入线路和p条输出线路。电路拓扑结构中，与门总数为m个，前半电路的输出线路为n′条。

进一步地，函数无关预处理模块为两个参与方分别生成可验证掩码分享份额、输入线路标签对集合。

具体地，首先，P_A和P_B分别本地生成全局密钥(△_A,△_B)以及线路密钥集合，过程分别描述为：

其中，λ代表安全参数，{1,…,n}是输入线路下标集合，m代表电路中与门总数，{n+1,…,n+m}是与门的门输出线路下标集合，{1,…,m}是在掩码运算密钥集合中与门的门输出线路下标集合。(△_A,△_B)为全局密钥，K_A,i和K_B,i为线路i对应的线路密钥，和分别是输出线路j对应的掩码运算密钥。

然后，P_A和P_B分别为电路的各输入线路、与门的门输入线路生成随机比特，过程分别描述为：

其中，λ代表安全参数，{1,…,n}是输入线路下标集合，m代表电路中与门总数，{n+1,…,n+m}是与门的门输出线路下标集合。a_A,i和b_B,i分别是P_A和P_B为线路i生成的随机比特。因此，线路i的掩码可以表示为a_A,i和b_B,i也称作掩码比特分享份额。

接着，参与方分别为各掩码比特分享份额生成消息验证码，过程描述为：

其中，掩码比特分享份额b_B,i的消息验证码由P_B持有，满足掩码比特分享份额a_A,i的消息验证码由P_A持有，满足

然后，根据布尔电路拓扑结构，得到各逻辑门输出线路的掩码运算比特分享份额。如果逻辑门是异或门，那么各参与方本地将异或门两条输入线路的掩码比特分享份额和消息验证码分别进行异或，就可以获得异或门的掩码运算比特分享份额及其消息验证码。如果逻辑门是与门，那么通过Beaver乘法三元组方案生成掩码运算比特分享份额及其消息验证码集合，过程描述为：

其中，线路下标i∈{1,m}，分别对应各与门的门输出线路，下标1i和2i分别指输出线路i对应与门的两条输入线路。与门的门输出线路的掩码运算比特分享份额是两条输入线路的掩码比特的与计算结果的分享份额，即满足 另外，的消息验证码由P_B持有，满足 的消息验证码由P_A持有，满足

另外，输入线路的标签对集合是基于随机比特生成工具和全局密钥实现的。

首先，P_A为前|C|/2电路的输入线路集合随机选取比特值0对应的标签集合，过程描述为输入线路集合的比特值1对应的标签集合表示为

然后，P_B为后|C|/2电路的输入线路集合随机选取比特值0的标签集合，过程描述为输入线路集合的比特值1的标签集合表示为

进一步地，函数相关预处理模块用于生成可验证混淆电路分享份额。

具体地，P_A和P_B为前|C|/2布尔电路构造一个混淆电路G₁，其中，P_A基于自己的全局密钥△_A、线路掩码分享份额和线路标签生成混淆电路分享份额并发送给P_B，P_B本地持有混淆电路分享份额

P_A和P_B为后|C|/2布尔电路构造一个混淆电路G₂，其中，P_B基于自己的全局密钥△_B、线路掩码分享份额和线路标签生成混淆电路分享份额并发送给P_A，P_A本地持有混淆电路分享份额

混淆电路结构的是根据电路的拓扑结构逐门生成混淆结构的。

逻辑门是与门。首先，两个参与方分别将门输入线路和输出线路的标签对集合、全局密钥划分成左半部分和右半部分；然后根据门线路掩码分享份额生成位置信息比特向量的分享份额，根据门运算逻辑以及各标签对的相关性确定线路标签可能的组合，根据组合方式生成控制比特矩阵以及其压缩加密形式；最后，基于控制比特矩阵、位置信息比特向量以及划分后的标签集合，生成混淆表分享份额和控制比特矩阵的加密压缩形式。

仍以前|C|/2电路中的门为例，其中α,β分别是门的两条输入线路，γ是门的输出线路，∧表示该门是与门。生成的两个混淆结构份额分别满足：

后|C|/2电路中与门的混淆结构生成过程与上述类似，但是由参与方P_B使用全局密钥△_B计算生成上述第一部分的混淆分享份额。

逻辑门是异或门。参与方之间无需进行交互，即无需生成额外的混淆结构发给另一方。

进一步地，输入预处理模块用于获取各电路输入线路掩饰值形式及其对应标签。

具体地，P_A和P_B验证输入线路掩码随机比特份额的正确性之后恢复自己对应的输入线路的线路掩码，分别本地生成自己对应的输入线路掩饰值，发送给另一方；P_A将与电路输入线路集合I中各输入线路真值的掩饰值形式对应的标签发送给P_B，电路输入线路集合I就是前|C|/2电路的输入线路集合。

真值的掩饰值形式表示为其中，γ是电路线路下标，λ_γ是线路γ的完整掩码，z_γ是线路γ的对应真值，是线路真值z_γ的掩饰值形式。

进一步地，在本发明的一个实施例中，电路分析模块用于恢复和分析前半混淆电路、验证前半电路计算的正确性、恢复和分析后半混淆电路以及验证后半电路计算的正确性。

具体地，P_B首先恢复得到完整的混淆电路结构使用输入线路集合I对应的标签集合分析混淆电路得到一组前|C|/2电路的输出线路集合O_Front中各输出线路的标签以及掩饰值；

然后，P_B将O_Front中各线路的真值的掩饰形式对应的后|C|/2电路的输入线路标签集合以及掩饰值发送给P_A，另外前|C|/2电路的与门输出掩饰值也发送给P_A；

接着，P_A恢复得到完整的混淆电路结构使用获取的后|C|/2电路输入线路标签集合分析混淆电路得到一组后|C|/2电路的输出线路集合O中各线路的标签以及相应掩饰值。其中，后|C|/2电路的与门输出掩饰值发送给P_B。在分析混淆电路的同时，P_A基于可验证随机比特分享方案的异或同态属性，对接收到的前|C|/2电路掩饰值计算的正确性进行验证，如果前|C|/2电路正确性检验过程发现错误，则直接终止协议。

最后，P_B基于可验证随机比特分享方案的异或同态属性，对接收到的后|C|/2电路掩饰值计算的正确性进行验证，同样地，如果后|C|/2电路的正确性检验过程出现了错误，则直接终止协议。如果正确性验证通过，则继续。

电路分析过程仍是根据电路拓扑结构逐门进行分析的。根据逻辑门的类型，混淆表分析过程描述如下。

逻辑门是与门。仍以前|C|/2电路的门为例，参与方P_B在拥有和之后，通过收到的一组门输入线路标签组合解密 有且仅有一行能够被P_B解密成功得到的相应行，即分析得到矩阵R的局部视图，然后结合可以恢复得到混淆表中某一混淆行的信息，由此推得输出线路真值对应标签，掩饰值是标签的最后一位。后|C|/2电路中与门的混淆结构生成过程与上述类似，但是由参与方P_A分析混淆结构。

逻辑门是异或门。承担混淆电路分析工作的参与方可以直接本地计算得到输出线路掩饰值及其对应标签。以门为例，分析混淆电路的参与方计算输出线路γ的掩饰值对应标签为掩饰值是标签L_γ的最后一位。

进一步地，电路的正确性检验过程是参与方对电路中与门计算的正确性进行验证，因为异或门的线路值是直接本地计算得到的，通过验证与门计算的正确性就可以同时验证异或门计算的正确性，进而验证电路计算的正确性。

首先，两个参与方通过本地持有的掩码分享份额及其消息验证码、线路密钥以及线路的掩饰值计算得到每个与门的运算逻辑比特c_γ的可验证分享份额。以门为例，c_γ描述为其中，各线路掩码λ_α,λ_β,λ_γ以及输出线路运算掩码的分享份额及其消息验证码分别由两个参与方持有，两个参与方可以本地计算得到比特c_γ的可验证分享份额。

然后，两个参与方将所有与门可验证分享份额的异或组合结果公开，参与方分别验证并恢复得到各与门运算逻辑比特的异或结果形式，如果异或组合结果的运算逻辑比特等于0，则可以说明与门运算的正确性；否则，说明电路的运算存在错误，发现错误的参与方可以选择直接终止协议。

进一步地，输出模块用于获得电路输出线路对应真值。

具体地，P_A和P_B公开集合O中各输出线路的掩码分享份额及其消息验证码，P_A和P_B分别在本地验证对方掩码分享份额的正确性后恢复完整的输出线路掩码，从输出线路掩饰值得到各输出线路真值。

其中，验证掩码分享份额的正确性是通过一个参与方公开掩码分享比特及其消息验证码，另一个参与方基于持有的全局密钥和线路密钥，计算公式是否成立。如果成立，则说明掩码分享份额是正确的；否则，说明掩码分享比特是错误的，发现错误的参与方可以选择直接终止协议。

根据本发明实施例提出的一种基于合作的高效安全两方计算系统，具有通信复杂度低、计算压力平衡、安全计算效率高的特点。第一，提出基于合作的流程设计，将完整电路划分成前后两个子电路，由两个参与方分别构造或分析子电路的混淆电路结构，从电路层面上有效地分摊混淆方生成混淆电路的计算压力，平衡参与方的资源利用情况。第二，提出基于Three-Halves的可验证混淆分享方案，在基于合作的流程设计的基础上，利用Beaver乘法三元组方案、可验证随机比特分享方案和Three-Halves混淆电路技术，实现可验证混淆电路分享份额的构造，进而使得通信双方的通信量降低，通信时延得到缩减，并实现抵抗恶意混淆方选择失败攻击的能力。第三，基于桶集合验证思想(Buckets)，提出电路计算的正确性检验方案，优化两个参与方的通信量，提升正确性检验的效率，并实现抵抗恶意计算方随意伪造计算结果的能力。第四，通过将完整电路的正确性检验过程划分为前半电路和后半电路的正确性检验过程，如果前半电路的正确性检验有误，协议流程将提前终止，不再进行后续的协议流程，实现计算有误的提前发现，一定程度上可以避免进行无效计算。第五，基于合作的流程设计将完整电路拓扑结构划分为前半电路和后半电路分别由两个参与方承担混淆和分析的工作，混淆生成的正确性可以通过承诺方案保证，该流程设计可以作为通用的协议流程与其他混淆电路技术兼容，实现安全两方计算协议，提升安全计算的效率。

其次参照附图描述根据本发明实施例提出的一种基于合作的高效安全两方计算方法。

图4为根据本发明一个实施例的一种基于合作的高效安全两方计算方法的流程图。

如图4所示，该一种基于合作的高效安全两方计算方法包括：

S1，第一参与方和第二参与方通过各自持有的全局密钥和线路密钥，为电路各输入线路以及与门的门输出线路生成掩码分享份额及其消息验证码，根据布尔电路的拓扑结构，为与门的门输出线路生成掩码运算分享份额及其消息验证码。

S2，第一参与方基于自身持有的全局密钥为前半电路的输入线路生成标签对集合，第二参与方基于自身持有的全局密钥为后半电路的输入线路生成标签对集合。

S3，通过提出的基于Three-Halves混淆电路技术实现的可验证混淆分享方案，第一参与方计算生成前半的混淆电路分享份额并发给第二参与方，第一参与方本地持有的第二参与方后半线路掩码分享份额的消息验证码集合作为后半混淆电路分享份额；第二参与方计算生成后半混淆电路分享份额并发给第一参与方，第二参与方持有的第一参与方前半电路线路掩码分享份额的消息验证码集合作为前半电路混淆分享份额。

S4，第一参与方将对应第二参与方输入线路的掩码分享份额及其消息验证码发给第二参与方，第二参与方验证并恢复前半输入线路中对应自身输入值的线路的掩码，将输入真值的掩饰值形式发给第一参与方，第一参与方将对应掩饰值的线路标签发给第二参与方。

S5，第二参与方将对应第一参与方输入线路的掩码分享份额及其消息验证码发给第一参与方，第一参与方验证并恢复前半输入线路中对应自身输入值的线路的掩码，第一参与方将输入真值的掩饰值形式、对应掩饰值的线路标签发给第二参与方。

S6，第二参与方本地恢复前半的完整混淆电路，根据前半电路的拓扑结构进行分析，获得前半电路的输出线路掩饰值及其对应的标签集合，将掩饰值集合对应的后半电路输入线路的标签集合发给第一参与方。

S7，第一参与方本地恢复后半的完整混淆电路，根据后半电路的拓扑结构进行分析，获得后半电路的输出线路掩饰值及其对应的标签集合，在分析后半混淆电路的同时，第一参与方基于前半电路的掩饰值及持有的掩码随机比特份额，与第二参与方核对前半电路计算的正确性，如果检查没有错误，则发送输出线路掩饰值给第二参与方；否则，直接终止协议流程。

S8，第二参与方基于后半电路的掩饰值及持有的掩码随机比特份额，与第一参与方核对后半电路计算的正确性，如果检查没有错误，则两个参与方公开持有的输出线路掩码比特分享份额及其消息验证码，双方本地恢复并验证电路输出线路的掩码，从掩饰值获得输出线路真值；否则，直接终止协议流程。

进一步地，基于合作的流程设计是将完整电路拓扑结构划分为前半电路和后半电路分别由两个参与方承担混淆和分析的工作，混淆生成的正确性可以通过承诺方案保证，该流程设计可以与其他混淆电路技术兼容，实现安全两方计算协议。

结合图5对一种基于合作的高效安全两方计算方法进行详细说明。

如图5所示，一种基于合作的高效安全两方计算方法包括以下步骤：

第一参与方P_A和第二参与方P_B通过各自持有的全局密钥和线路密钥，为电路各输入线路以及与门的门输出线路生成掩码分享份额及其消息验证码，根据布尔电路的拓扑结构，为与门的门输出线路生成掩码运算分享份额及其消息验证码。

第一参与方P_A基于自身持有的全局密钥为前|C|/2电路的输入线路生成标签对集合，第二参与方P_B基于自身持有的全局密钥为后|C|/2电路的输入线路生成标签对集合。

通过提出的基于Three-Halves混淆电路技术实现的可验证混淆分享方案，第一参与方P_A计算生成前|C|/2电路的混淆电路分享份额并发给第二参与方P_B，第一参与方P_A本地持有的第二参与方P_B后|C|/2电路的线路掩码分享份额的消息验证码集合作为后|C|/2的混淆电路分享份额；同时，第二参与方P_B计算生成后|C|/2电路的混淆电路分享份额并发给第一参与方P_A，第二参与方P_B本地持有的第一参与方P_A前|C|/2的线路掩码分享份额的消息验证码集合作为前|C|/2的混淆电路分享份额。

第一参与方P_A将对应第二参与方P_B输入线路的掩码分享份额及其消息验证码发给第二参与方P_B，第二参与方P_B验证并恢复前|C|/2电路的输入线路中对应自身输入值的线路的掩码，将输入真值的掩饰值形式发给第一参与方P_A，第一参与方P_A将对应掩饰值的线路标签发给第二参与方P_B；第二参与方P_B将对应第一参与方P_A输入线路的掩码分享份额及其消息验证码发给第一参与方P_A，第一参与方P_A验证并恢复前|C|/2电路的输入线路中对应自身输入值的线路的掩码，第一参与方P_A将输入真值的掩饰值形式、对应掩饰值的线路标签发给第二参与方P_B。

第二参与方P_B恢复前|C|/2电路的完整混淆电路，根据前|C|/2电路的拓扑结构进行分析，获得前|C|/2电路的输出线路掩饰值及其对应的标签集合，将掩饰值集合对应的后|C|/2电路输入线路的标签集合发给第一参与方P_A。

第一参与方P_A恢复后|C|/2的完整混淆电路，根据后|C|/2电路的拓扑结构进行分析，获得后|C|/2电路的输出线路掩饰值及其对应的标签集合，在分析后|C|/2混淆电路的同时，第一参与方P_A基于前|C|/2电路的掩饰值及持有的掩码随机比特份额，与第二参与方P_B核对前|C|/2电路计算的正确性，如果检查没有错误，那么发送输出线路掩饰值给第二参与方P_B；否则，直接终止协议流程。

第二参与方P_B基于后|C|/2电路的掩饰值及持有的掩码随机比特份额，与第一参与方P_A核对后|C|/2电路计算的正确性，如果检查没有错误，那么两个参与方公开持有的输出线路掩码比特分享份额及其消息验证码，双方本地恢复并验证电路输出线路的掩码，从掩饰值获得输出线路真值；否则，直接终止协议流程。

需要说明的是，前述对系统实施例的解释说明也适用于该实施例的方法，此处不再赘述。

根据本发明实施例提出的一种基于合作的高效安全两方计算方法，利用可验证随机比特分享方案、Beaver乘法三元组方案、基于合作的流程设计以及可验证混淆分享方案，实现高效安全的两方计算。降低了通信复杂度，在保证输出计算正确性与输入隐私性的前提下，实现了以更少的通信量完成混淆电路结构的发送过程，降低了通信时延；平摊了计算压力，提升了协议的实现效率，通过基于合作的流程设计，将完整电路划分成前后两个子电路，两个参与方分别生成或分析前后子电路的混淆电路分享份额，平衡了计算压力；具有抵御恶意敌手的能力，在基于合作的高效安全两方计算方法中，一方面，线路掩码和混淆电路由两个参与方共同生成，没有任何一方知道完整的混淆电路，因此可以抵抗恶意的混淆方进行选择失败攻击；另一方面，协议中具有电路计算的正确性检查工作，因此可以抵抗恶意的计算方随意伪造电路计算结果；基于合作的流程设计可以与其他混淆电路技术兼容，实现安全两方计算协议。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (3)

1.一种基于合作的高效安全两方计算系统，其特征在于，包括：

函数无关预处理模块，用于为通信双方预生成安全计算所需的可验证的随机比特分享份额和输入线路的标签对集合；

函数相关预处理模块，用于将参与方分别担任混淆方，为前半电路和后半电路分别生成可验证的混淆电路分享份额；

输入预处理模块，用于为计算方获取电路各输入线路真值的掩饰值形式对应的标签集合；

电路分析模块，用于将所述参与方依次担任计算方，分别恢复和分析前半电路和后半电路的混淆电路，并判断电路计算的正确性；

输出模块，用于为通信双方从输出线路标签获取对应掩饰值，并恢复得到输出真值；

其中，所述函数无关预处理模块进一步用于根据布尔电路中线路的数量，使得所述参与方通过交互和本地计算的方式为电路的各输入线路、与门的门输出线路生成掩码比特分享份额及其消息验证码集合、为与门的门输出线路生成掩码运算比特分享份额及其消息验证码集合、分别为所述前半电路的输入线路和所述后半电路的输入线路生成标签对集合；

在所述函数相关预处理模块中，第一参与方和第二参与方为前半布尔电路构造混淆电路，其中，第一参与方基于自己的全局密钥、线路掩码分享份额和线路标签计算生成混淆电路分享份额并发送给第二参与方，第二参与方本地持有另一部分的混淆电路分享份额；

第一参与方和第二参与方为后半布尔电路构造混淆电路，其中，第二参与方基于自己的全局密钥、线路掩码分享份额和线路标签计算生成混淆电路分享份额并发送给第一参与方，第一参与方本地持有另一部分的混淆电路分享份额；

在所述输入预处理模块中，第一参与方和第二参与方验证输入线路掩码随机比特份额的正确性之后，恢复自己对应的输入线路的线路掩码，分别本地生成自己对应的输入线路掩饰值，发送给另一方，其中，第一参与方将与电路输入线路集合中各输入线路真值的掩饰值形式对应的标签发送给第二参与方；

在所述电路分析模块中，第二参与方使用输入线路集合对应的标签集合恢复和分析前半电路的混淆电路，得到前半电路的输出线路集合的对应真值掩饰值以及标签；

第二参与方将前半电路的输出线路集合的对应真值掩饰值对应的后半电路的输入线路标签集合以及前半电路的与门输出掩饰值发送给第一参与方；

第一参与方使用后半输入线路集合对应的标签集合恢复和分析后半电路的混淆电路，得到后半电路的输出线路集合的对应真值掩饰值以及标签，其中，后半电路的与门输出掩饰值发送给第二参与方，且在恢复和分析混淆电路的同时，第一参与方基于可验证随机比特分享方案的异或同态属性，对前半电路掩饰值计算的正确性进行验证，如果前半电路正确性检验过程发现错误，则直接终止协议；

第二参与方基于可验证随机比特分享方案的异或同态属性，对后半电路掩饰值计算的正确性进行验证，其中，如果后半电路的正确性检验过程发现错误，则直接终止协议；

在所述输出模块中，第一参与方和第二参与方公开完整布尔电路各输出线路的掩码分享份额及其消息验证码，第一参与方和第二参与方分别在本地验证对方掩码分享份额的正确性后恢复完整的输出线路掩码，从输出线路掩饰值得到各输出线路真值。

2.根据权利要求1所述的系统，其特征在于，所述函数相关预处理模块使所述参与方根据电路的拓扑结构逐门生成混淆表，所述混淆表由两个参与方共同生成。

3.一种基于合作的高效安全两方计算方法，其特征在于，利用上述1-2任一项所述的基于合作的高效安全两方计算系统，其中，方法包括以下步骤：

第一参与方和第二参与方通过各自持有的全局密钥和线路密钥，为电路各输入线路以及与门的门输出线路生成掩码分享份额及其消息验证码，根据布尔电路的拓扑结构，为与门的门输出线路生成掩码运算分享份额及其消息验证码；

所述第一参与方基于自身持有的全局密钥为前半电路的输入线路生成标签对集合，所述第二参与方基于自身持有的全局密钥为后半电路的输入线路生成标签对集合；

通过提出的基于Three-Halves混淆电路技术实现的可验证混淆分享方案，所述第一参与方计算生成前半的混淆电路分享份额并发给所述第二参与方，所述第一参与方本地持有的所述第二参与方后半线路掩码分享份额的消息验证码集合作为后半混淆电路分享份额；所述第二参与方计算生成后半混淆电路分享份额并发给所述第一参与方，所述第二参与方持有的所述第一参与方前半电路线路掩码分享份额的消息验证码集合作为前半电路混淆分享份额；

所述第一参与方将对应所述第二参与方输入线路的掩码分享份额及其消息验证码发给所述第二参与方，所述第二参与方验证并恢复前半输入线路中对应自身输入值的线路的掩码，将输入真值的掩饰值形式发给所述第一参与方，所述第一参与方将对应掩饰值的线路标签发给所述第二参与方；

所述第二参与方将对应所述第一参与方输入线路的掩码分享份额及其消息验证码发给所述第一参与方，所述第一参与方验证并恢复前半输入线路中对应自身输入值的线路的掩码，所述第一参与方将输入真值的掩饰值形式、对应掩饰值的线路标签发给所述第二参与方；

所述第二参与方本地恢复前半的完整混淆电路，根据前半电路的拓扑结构进行分析，获得前半电路的输出线路掩饰值及其对应的标签集合，将掩饰值集合对应的后半电路输入线路的标签集合发给所述第一参与方；

所述第一参与方本地恢复后半的完整混淆电路，根据后半电路的拓扑结构进行分析，获得后半电路的输出线路掩饰值及其对应的标签集合，在分析后半混淆电路的同时，所述第一参与方基于前半电路的掩饰值及持有的掩码随机比特份额，与所述第二参与方核对前半电路计算的正确性，如果检查没有错误，则发送输出线路掩饰值给所述第二参与方；否则，直接终止协议流程；

所述第二参与方基于后半电路的掩饰值及持有的掩码随机比特份额，与所述第一参与方核对后半电路计算的正确性，如果检查没有错误，则两个参与方公开持有的输出线路掩码比特分享份额及其消息验证码，双方本地恢复并验证电路输出线路的掩码，从掩饰值获得输出线路真值；否则，直接终止协议流程。