CN115941181B - 一种乱序秘密分享方法、系统和可读存储介质 - Google Patents

Abstract

本发明实施例提供了一种乱序秘密分享方法、系统和可读存储介质。所述方法包括：第二参与方生成第一随机数序列；第一参与方和第二参与方执行n×2^n‑1个基于不经意传输的预置算子，使得第一参与方获得第一分片序列，第二参与方获得第二随机数序列，第一分片序列与第二随机数序列中第一位置的元素之和等于数据序列与第一随机数序列中第二位置的元素之和；第二参与方根据第一随机数序列和第二随机数序列，计算得到第二分片序列，使得第一分片序列与第二分片序列构成数据序列经过乱序序列打乱后的序列的加法秘密分享结果。本发明实施例可以提高乱序秘密分享协议的运行效率，从而提高多方安全计算的效率。

Description

一种乱序秘密分享方法、系统和可读存储介质

技术领域

本发明涉及多方安全计算领域，尤其涉及一种乱序秘密分享方法、系统和可读存储介质。

背景技术

多方安全计算（Multi-party Computation，可以简称为MPC），指多方共同计算出一个函数的结果，而不泄露这个函数各方的输入数据，计算的结果公开给其中的一方或多方。多方安全计算典型的应用包括联邦学习、隐私求交（Private set intersection，PSI）等。在基于多方安全计算的联邦学习以及隐私求交等应用场景中，存在需要将参与方的输入数据进行乱序的情况。

乱序秘密分享是指：A拥有m条数据的序列(x₁,x₂,…,x_m)，A和B执行乱序秘密分享协议，最终B获得一个1~m的乱序序列π，且获得随机数序列(r₁,r₂,…,r_m)，A获得随机数序列(x_π(1)-r₁, x_π(2)-r₂,…,x_π(m)-r_m)。也就是说，A和B分别拥有数据序列(x_π(1), x_π(2),…, x_π(m))的加法秘密分享，即拥有数据序列(x₁,x₂,…,x_m)经过π乱序后的数据序列的加法秘密分享。其安全性要求是，A无法得知乱序π和随机数序列(r₁,r₂,…,r_m)的信息，B无法得知A的数据序列(x₁,x₂,…,x_m)的信息。

目前的乱序秘密分享协议是利用同态加密来实现的。但是利用同态加密构造乱序秘密分享协议，需要进行m次加密、解密和同态运算，具有线性的公钥复杂度运算开销。当m较大时，O(m)的计算复杂度开销会导致乱序秘密分享协议的运行耗时非常长，在实际场景中不具有实用性。

发明内容

本发明实施例提供一种乱序秘密分享方法、系统和可读存储介质，可以提高乱序秘密分享协议的运行效率，进而可以提高多方安全计算的效率。

为了解决上述问题，本发明实施例公开了一种乱序秘密分享方法，应用于多方安全计算平台，所述多方安全计算平台包括第一参与方和第二参与方，所述第一参与方拥有长度为m的数据序列，m=2ⁿ，所述方法包括：

所述第二参与方生成长度为m的第一随机数序列；

所述第一参与方和所述第二参与方执行n×2^n-1个基于不经意传输的预置算子，使得所述第一参与方获得长度为m的第一分片序列，所述第二参与方获得长度为m的第二随机数序列，并且所述第一分片序列与所述第二随机数序列中第一位置的元素之和等于所述数据序列与所述第一随机数序列中第二位置的元素之和，所述第一位置为所述第二位置经过乱序序列打乱后的位置，所述乱序序列由所述第二参与方所拥有；

所述第二参与方根据所述第一随机数序列和所述第二随机数序列，计算得到第二分片序列，使得所述第一分片序列与所述第二分片序列构成所述数据序列经过所述乱序序列打乱后的序列的加法秘密分享结果。

另一方面，本发明实施例公开了一种乱序秘密分享系统，应用于多方安全计算平台，所述多方安全计算平台包括第一参与方和第二参与方，所述第一参与方拥有长度为m的数据序列，m=2ⁿ，其中：

所述第二参与方，用于生成长度为m的第一随机数序列；

所述第一参与方和所述第二参与方，用于执行n×2^n-1个基于不经意传输的预置算子，使得所述第一参与方获得长度为m的第一分片序列，所述第二参与方获得长度为m的第二随机数序列，并且所述第一分片序列与所述第二随机数序列中第一位置的元素之和等于所述数据序列与所述第一随机数序列中第二位置的元素之和，所述第一位置为所述第二位置经过乱序序列打乱后的位置，所述乱序序列由所述第二参与方所拥有；

所述第二参与方，还用于根据所述第一随机数序列和所述第二随机数序列，计算得到第二分片序列，使得所述第一分片序列与所述第二分片序列构成所述数据序列经过所述乱序序列打乱后的序列的加法秘密分享结果。

再一方面，本发明实施例公开了一种用于乱序秘密分享的装置，包括有存储器，以及一个以上程序，其中一个以上程序存储于存储器中，且经配置以由一个以上处理器执行所述一个以上程序，所述一个以上程序包含用于进行如前述一个或多个所述的乱序秘密分享方法的指令。

又一方面，本发明实施例公开了一种机器可读存储介质，其上存储有指令，当所述指令由装置的一个或多个处理器执行时，使得装置执行如前述一个或多个所述的乱序秘密分享方法。

本发明实施例包括以下优点：

本发明实施例通过n×2^n-1个SS-select算子可以实现1个数据量为2ⁿ的Shuffle-SS协议，而SS-select算子是基于不经意传输实现的，基于不经意传输实现的Shuffle-SS协议，具有更高的运算效率，复杂度是O(m×log₂m)，复杂度开销主要是对称密钥复杂度开销，复杂度的量级远小于基于同态加密实现的公钥复杂度开销，相较于利用同态加密实现的Shuffle-SS协议，本发明实施例可以提高乱序秘密分享协议的运行效率，进而可以提高多方安全计算的效率。此外，本发明实施例基于不经意传输实现Shuffle-SS协议，可应用于需要进行乱序等非线性操作的多方安全计算中，以弥补秘密分享等通用多方安全计算对于处理这些非线性操作较为吃力的弱点。进一步地，本发明实施例的输出结果为秘密分享形式可以更加方便地适配一些通用多方安全计算的中间结果，使得Shuffle-SS协议使用起来更加灵活。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明的一种乱序秘密分享方法实施例的步骤流程图；

图2是本发明一种通过预置算子实现乱序秘密分享协议的示意图；

图3是本发明一种通过两两交换的蝶形置换网络进行乱序的示意图；

图4是本发明的一种乱序秘密分享系统实施例的结构框图；

图5是本发明的一种用于乱序秘密分享的装置800的框图；

图6是本发明的一些实施例中服务器的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”等所区分的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。此外，说明书以及权利要求中的术语“和/或”用于描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本发明实施例中术语“多个”是指两个或两个以上，其它量词与之类似。

参照图1，示出了本发明的一种乱序秘密分享方法实施例的步骤流程图，应用于多方安全计算平台，所述多方安全计算平台包括第一参与方和第二参与方，所述第一参与方拥有长度为m的数据序列，m=2ⁿ，所述方法可以包括如下步骤：

步骤101、所述第二参与方生成长度为m的第一随机数序列；

步骤102、所述第一参与方和所述第二参与方执行n×2^n-1个基于不经意传输的预置算子，使得所述第一参与方获得长度为m的第一分片序列，所述第二参与方获得长度为m的第二随机数序列，并且所述第一分片序列与所述第二随机数序列中第一位置的元素之和等于所述数据序列与所述第一随机数序列中第二位置的元素之和，所述第一位置为所述第二位置经过乱序序列打乱后的位置，所述乱序序列由所述第二参与方所拥有；

步骤103、所述第二参与方根据所述第一随机数序列和所述第二随机数序列，计算得到第二分片序列，使得所述第一分片序列与所述第二分片序列构成所述数据序列经过所述乱序序列打乱后的序列的加法秘密分享结果。

本发明实施例提供的乱序秘密分享方法，可应用于多方安全计算中需要将第一参与方拥有的数据序列进行随机乱序的场景。所述数据序列可以为所述第一数据方拥有的数据，或者，所述数据序列可以为所述第一参与方在多方安全计算过程中获取的中间结果。

本发明实施例的乱序秘密分享方法可应用于基于秘密分享协议的多方安全计算场景，如基于秘密分享协议的联邦学习或者隐私集合求交等场景。秘密分享(SecretShare)协议，是密码学中由多个参与方进行秘密分发、保存、计算、恢复的信息保护协议。各个参与方可以将一份数据分成多份，每份称为一个分享（或分片）并分发给其他参与方，之后通过计算和通信，可以完成对这些数据正确的函数计算并且保障参与方数据的隐私。

在本发明实施例中，将乱序秘密分享称为Shuffle-SS，本发明实施例中使用的乱序秘密分享协议由若干个基于OT（Oblivious Transfer，不经意传输）的预置算子实现，预置算子在本发明实施例中称为SS-select算子。

不经意传输是指：客户端C拥有查询比特x，x=0或x=1，服务端S拥有两个消息m₀和m₁。双方执行不经意传输协议后，客户端C根据查询比特x得到服务端S的其中1个消息m_x，但不知道m_1-x的任何信息，而服务端S不知道客户端C的查询比特x的任何信息。上述称为1-out-of-2（2选1）的OT协议，可扩展为k-out-of-n（n选k）的OT协议，即客户端C从服务端S的n个消息中查询到k个消息。

本发明实施例将Shuffle-SS协议的乱序操作分解为若干个两两交换的算子（也即SS-select算子），通过n×2^n-1个基于不经意传输的SS-select算子可以实现1个数据量为2ⁿ的Shuffle-SS协议，且乱序序列只有第二参与方可以获知，第一参与方对此一无所知。

参照图2，示出了本发明一种通过预置算子实现乱序秘密分享协议的示意图。如图2所示，假设第一参与方拥有长度m=8的数据序列，如记为(x₁,x₂,x₃,x₄,x₅,x₆,x₇,x₈)，第二参与方生成长度m=8的第一随机数序列，如记为(r₁,r₂,r₃,r₄,r₅,r₆,r₇,r₈)，m=2ⁿ，n=3。第一参与方和第二参与方执行n×2^n-1=12个预置算子后，第一参与方获得第一分片序列，如记为(y₆,y₄,y₃,y₁,y₂,y₇,y₈,y₅)，第二参与方获得第二随机数序列，如记为(t₆,t₄,t₃,t₁,t₂,t₇,t₈,t₅)。第一分片序列和第二随机数序列都是经过乱序的序列，且仅第二参与方知道乱序序列π，该乱序序列为一个1~m的序列，如该示例中乱序序列π为(6,4,3,1,2,7,8,5)。

第一参与方获得的第一分片序列与第二参与方获得的第二随机数序列满足如下关系：第一分片序列与第二随机数序列中第一位置的元素之和等于数据序列与第一随机数序列中第二位置的元素之和。需要说明的是，第一位置和第二位置中的第一和第二仅用于区分不同序列中的位置，并不表示顺序关系。所述第一位置为所述第二位置经过乱序序列打乱后的位置。例如，该示例中乱序序列为(6,4,3,1,2,7,8,5)，以第一参与方为例，数据序列中的第二位置（如数据序列中第一个元素所在的位置）经过该乱序序列打乱后映射为第一分片序列中的第一位置（如第一分片序列中第4个元素所在的位置）；数据序列中的第二位置（如数据序列中第2个元素所在的位置）经过该乱序序列打乱后映射为第一分片序列中的第一位置（如第一分片序列中第5个元素所在的位置）；数据序列中的第二位置（如数据序列中第3个元素所在的位置）经过该乱序序列打乱后映射为第一分片序列中的第一位置（如第一分片序列中第3个元素所在的位置）；以此类推。第二参与方同理。

第一参与方获取的第一分片序列(y₆,y₄,y₃,y₁,y₂,y₇,y₈,y₅)和第二参与方获取的第二随机数序列(t₆,t₄,t₃,t₁,t₂,t₇,t₈,t₅)满足如下关系：第一分片序列(y₆,y₄,y₃,y₁,y₂,y₇,y₈,y₅)与第二随机数序列(t₆,t₄,t₃,t₁,t₂,t₇,t₈,t₅)中第一位置的元素之和等于数据序列(x₁,x₂,x₃,x₄,x₅,x₆,x₇,x₈)与第一随机数序列(r₁,r₂,r₃,r₄,r₅,r₆,r₇,r₈)中第二位置的元素之和。也即，y_i+t_i=x_i+r_i，i取值为1~8。如图2所示，y₁+ t₁= x₁+r₁，y₂+ t₂= x₂+r₂，以此类推，y₈+ t₈= x₈+r₈。

第二参与方根据第一随机数序列(r₁,r₂,r₃,r₄,r₅,r₆,r₇,r₈)和第二随机数序列(t₆,t₄,t₃,t₁,t₂,t₇,t₈,t₅)，计算得到第二分片序列，使得所述第一分片序列与所述第二分片序列构成所述数据序列经过乱序序列打乱后的序列的加法秘密分享结果。

在本发明的一种可选实施例中，所述第二参与方根据所述第一随机数序列和所述第二随机数序列，计算得到第二分片序列，可以包括：所述第二参与方将所述第二随机数序列中的各元素减去所述第一随机数序列被所述乱序序列打乱后的序列中的各元素。

例如，在该示例中，第二随机数序列为(t₆,t₄,t₃,t₁,t₂,t₇,t₈,t₅)，第一随机数序列(r₁,r₂,r₃,r₄,r₅,r₆,r₇,r₈)被所述乱序序列(6,4,3,1,2,7,8,5)打乱后的序列为(r₆,r₄,r₃,r₁,r₂,r₇,r₈,r₅)，第二参与方可以计算得到第二分片序列为(t₆-r₆,t₄-r₄,t₃-r₃,t₁-r₁,t₂-r₂,t₇-r₇,t₈-r₈,t₅-r₅)。由于y_i+t_i=x_i+r_i，也即y_i+(t_i-r_i)=x_i，因此，第一参与方获取的第一分片序列(y₆,y₄,y₃,y₁,y₂,y₇,y₈,y₅)与第二参与方获取的第二分片序列(t₆-r₆,t₄-r₄,t₃-r₃,t₁-r₁,t₂-r₂,t₇-r₇,t₈-r₈,t₅-r₅)共同形成数据序列(x₁,x₂,x₃,x₄,x₅,x₆,x₇,x₈)经过乱序序列(6,4,3,1,2,7,8,5)打乱后的序列的加法秘密分享结果。其中，数据序列(x₁,x₂,x₃,x₄,x₅,x₆,x₇,x₈)经过乱序序列(6,4,3,1,2,7,8,5)打乱后的序列为(x₆,x₄,x₃,x₁,x₂,x₇,x₈,x₅)。对于第一参与方来说，第一分片序列只是无意义的随机数；对于第二参与方来说，第二分片序列也只是无意义的随机数。

本发明实施例通过第一参与方和第二参与方执行n×2^n-1个预置算子可以实现乱序秘密分享，使得第一参与方和第二参与方分别拥有数据序列(x₁,x₂,…,x_m)经过乱序序列打乱后的序列的加法秘密分享结果，并且第一参与方无法得知乱序序列的信息，也无法得知第二参与方的第一随机数序列和第二随机序列的信息，第二参与方无法得知第一参与方的数据序列(x₁,x₂,…,x_m)的信息。

本发明实施例通过n×2^n-1个SS-select算子可以实现1个数据量为2ⁿ的Shuffle-SS协议，而且SS-select算子是基于不经意传输实现的，基于不经意传输实现的Shuffle-SS协议，具有更高的运算效率，复杂度是O(m×log₂m)，复杂度开销主要是对称密钥复杂度开销，复杂度的量级远小于基于同态加密实现的公钥复杂度开销，相较于利用同态加密实现的Shuffle-SS协议，本发明实施例可以提高乱序秘密分享协议的运行效率，进而可以提高多方安全计算的效率。此外，本发明实施例基于不经意传输实现Shuffle-SS协议，可应用于需要进行乱序等非线性操作的多方安全计算中，以弥补秘密分享等通用多方安全计算对于处理这些非线性操作较为吃力的弱点。进一步地，本发明实施例的输出结果为秘密分享形式可以更加方便地适配一些通用多方安全计算的中间结果，使得Shuffle-SS协议使用起来更加灵活。

在本发明的一种可选实施例中，所述第一参与方和所述第二参与方执行n×2^n-1个基于不经意传输的预置算子，可以包括：所述第一参与方和所述第二参与方通过两两交换的蝶形置换网络执行n×2^n-1个基于不经意传输的预置算子；其中，所述蝶形置换网络包括log₂m层网络，每层网络包括2^n-1个预置算子。

参照图3，示出了本发明一种通过两两交换的蝶形置换网络进行乱序的示意图。如图3所示，长度为m=2ⁿ的数据数列通过两两交换的蝶形置换网络进行乱序，该示例中，n=3，待乱序的数据序列为(x₁,x₂,x₃,x₄,x₅,x₆,x₇,x₈)，需使用log₂m=3层的两两交换的蝶形置换网络，两两交换的蝶形置换网络每次数据交换考虑两个位置（如图3中的一个交叉线对），这两个位置的数据有50%的可能性不发生变动，有50%的可能性会交换位置。那么经过此蝶形置换网络的n×2^n-1次可能的数据交换，最终原始数据数列中的每个数据被交换到其他任意位置的概率都是1/2ⁿ，保留在原来位置的概率也是1/2ⁿ。也就是说，1个数据量为2ⁿ的Shuffle-SS协议可以由log₂2ⁿ层两两交换的蝶形置换网络实现。

因此，所述第一参与方和所述第二参与方可以通过两两交换的蝶形置换网络执行n×2^n-1个基于不经意传输的SS-select算子，每层网络包括2^n-1个SS-select算子，对于长度为m=2ⁿ=8的数据数列，n=3，蝶形置换网络包括n=3层网络，每层网络包括2^n-1=4个交叉线对，每个交叉线对可以通过一个SS-select算子实现，由此，如图3所示的蝶形置换网络包括n×2^n-1=3×4=12个SS-select算子。例如，对于图2中的示例，第一参与方和第二参与方可以通过图3所示的蝶形置换网络执行12个SS-select算子，且仅第二参与方知道蝶形置换网络中所有预置算子组合得到的乱序序列，如(6,4,3,1,2,7,8,5)。

进一步地，由于所述两两交换的蝶形置换网络同一个网络层中的预置算子之间互不影响，因此，同一个网络层中的预置算子可以并行执行；所述两两交换的蝶形置换网络的不同网络层之间具有先后依赖关系，如后一个网络层的计算依赖于前一个网络层的结果，因此，不同网络层中的预置算子需要串行执行。

在本发明的一种可选实施例中，所述方法还可以包括：若所述数据序列的长度m不是2的幂，则所述第一参与方选取最小的n使得m=2ⁿ，并使用假数据将所述数据序列的长度m填充至2ⁿ。

在本发明实施例，第一参与方和第二参与方可以对长度m=2ⁿ的数据数列进行Shuffle-SS，如果第一参与方持有的数据数列的长度m不是2的幂，则第一参与方可以选取最小的n使得m=2ⁿ，并使用假数据将所述数据序列的长度m填充至2ⁿ。

示例性地，第一参与方有5条数据，如(x₁,x₂,x₃,x₄,x₅)，也即数据数列的长度m=5，此时m不是2的幂，可以选取最小的n使得m=2ⁿ，这里可以选取n=3。第一参与方可以在数据数列(x₁,x₂,x₃,x₄,x₅)的末尾填充3条假数据，得到填充后的数据序列(x₁,x₂,x₃,x₄,x₅,x₆,x₇,x₈)，其中，x₆~x₈为填充的假数据。

需要说明的是，本发明实施例对假数据的内容不做限制。示例性地，所述假数据可以是和原始数据长度相同的随机数。

在本发明的一种可选实施例中，所述方法还可以包括：

步骤S11、所述第二参与方从所述第二分片序列中过滤掉所述假数据对应的秘密分享结果，并将所述假数据的位置信息发送给所述第一参与方；

步骤S12、所述第一参与方根据所述位置信息，从所述第一分片序列中过滤掉所述假数据对应的秘密分享结果。

在第一参与方的数据序列的长度m不是2的幂的情况下，第一参与方会使用假数据将其数据序列的长度m填充至2ⁿ。因此，在第一参与方和第二参与方执行完成n×2^n-1个基于不经意传输的预置算子之后，第一参与方和第二参与方需要从各自获得的秘密分享结果中过滤掉假数据对应的秘密分享结果。

在具体实施中，可以约定第一参与方在填充假数据时是在数据序列的末尾进行填充，这样，第一参与方可以告知第二参与方填充的假数据的个数，由于第二参与方知道假数据的个数和乱序序列，因此，第二参与方可以得知乱序后假数据的位置信息。第二参与方可以从其获取的第二分片序列中过滤掉假数据对应的秘密分享结果，并将所述假数据的位置信息发送给所述第一参与方；进而第一参与方可以根据假数据的位置信息，从其获取的第一分片序列中过滤掉所述假数据对应的秘密分享结果。两方即可完成数据量m为任意数值的Shuffle-SS协议。

例如，在上述示例中，第一参与方拥有数据序列(x₁,x₂,x₃,x₄,x₅)，m=5，第一参与方在数据数列(x₁,x₂,x₃,x₄,x₅)的末尾填充3条假数据，得到填充后的数据序列(x₁,x₂,x₃,x₄,x₅,x₆,x₇,x₈)。其中，x₆~x₈为填充的假数据。第二参与方知道第一参与方的第6、7、8条数据是假数据，也知道乱序序列，假设乱序序列为(6,4,3,1,2,7,8,5)，故第二参与方知道第6、7、8条数据乱序后分别被映射到第1、6、7的位置。第二参与方将这3个假数据的位置信息（如1、6、7）告知第一参与方，第一参与方和第二参与方分别对执行Shuffle-SS协议后各自得到的8条秘密分享结果进行过滤，如过滤掉各自8条秘密分享结果中第1、6、7位置的结果，各自剩下5条秘密分享结果即为最终的秘密分享结果。由此第一参与方和第二参与方完成数据量m为5的Shuffle-SS协议。

本发明实施例通过n×2^n-1个基于不经意传输的两两交换的SS-select算子可以实现1个数据量为2ⁿ的Shuffle-SS协议。进一步地，n×2^n-1个基于不经意传输的SS-select算子可以和蝶形置换网络组合为整个Shuffle-SS协议。

在本发明实施例中，单个SS-select算子可以实现两个数据的不经意交换。在本发明的一种可选实施例中，一个预置算子的定义如下：第一参与方拥有x₁和x₂，第二参与方拥有r₁和r₂以及选择比特b，b=0或b=1；双方执行预置算子，使得第一参与方获得随机数x₁'和x₂'，第二参与方获得随机数r₁'和r₂'；若b=0，则x₁'+r₁'=x₁+r₁，x₂'+r₂'=x₂+r₂；若b=1，则x₁'+r₁'=x₂+r₂，x₂'+r₂'=x₁+r₁。

需要说明的是，上述预置算子的定义中的符号x₁、x₂、r₁、r₂、b、x₁'、x₂'、r₁'、r₂'是为了描述预置算子使用的一般性符号，不特指具体的数据。

第一参与方和第二参与方执行单个预置算子（SS-select算子）后，双方各自拥有的两条数据都变成了两条新的随机数。例如，第一参与方拥有的x₁和x₂变成了x₁'和x₂'，第二参与方拥有的r₁和r₂变成了r₁'和r₂'。双方获得的新的随机数正好是原来对应数据之和的加法秘密分享结果，且根据选择比特b进行了换位。例如，b=0时，新的随机数x₁'和r₁'是x₁+r₁的加法秘密分享结果，新的随机数x₂'和r₂'是x₂+r₂的加法秘密分享结果；b=1时，新的随机数x₁'和r₁'是x₂+r₂的加法秘密分享结果，新的随机数x₂'和r₂'是x₁+r₁的加法秘密分享结果。

本发明实施例的SS-select算子可以看作是一个黑盒，第一参与方输入数据x₁和x₂，第二参与方输入随机数r₁和r₂以及选择比特b，双方即可得到该黑盒输出给各自的结果，第一参与方获得随机数x₁'和x₂'，第二参与方获得随机数r₁'和r₂'；并且满足若b=0，则x₁'+r₁'=x₁+r₁，x₂'+r₂'=x₂+r₂；若b=1，则x₁'+r₁'=x₂+r₂，x₂'+r₂'=x₁+r₁。n×2^n-1个SS-select算子的选择比特组合起来可以形成1个数据量为2ⁿ的Shuffle-SS协议的乱序序列，且该乱序序列仅第二参与方能够获知。

在本发明实施例中，一个SS-select算子可以通过一次OT实现。在本发明的一种可选实施例中，所述第一参与方拥有数据x₁和x₂，所述第二参与方拥有随机数r₁和r₂以及选择比特b，b=0或b=1；所述第一参与方和所述第二参与方双方执行一个预置算子的步骤，可以包括：

步骤S21、所述第一参与方生成随机数t，并获取不经意传输的待查询消息包括：t和t+(x₂-x₁)；所述第二参与方将所述选择比特b作为不经意传输的查询比特；

步骤S22、所述第一参与方与所述第二参与方执行以所述第一参与方为发送方、所述第二参与方为接收方的2选1不经意传输协议，所述第二参与方得到查询结果(t+b×(x₂-x₁))；

步骤S23、所述第一参与方构造得到(x₁-t)和(x₂+t)；

步骤S24、所述第二参与方构造得到((t+b×(x₂-x₁))+b×(r₂-r₁)+r₁)和(-(t+b×(x₂-x₁))-b×(r₂-r₁)+r₂)。

在本发明实施例中，第一参与方作为不经意传输的服务端，生成随机数t，并将t和t+(x₂-x₁)作为不经意传输的待查询消息。第二参与方作为不经意传输的客户端，将SS-select算子的选择比特b作为不经意传输的查询比特，第一参与方与第二参与方执行以所述第一参与方为发送方、所述第二参与方为接收方的2选1不经意传输协议，所述第二参与方得到OT查询结果(t+b×(x₂-x₁))。由于随机数t是第一参与方随机生成的，故x₁和x₂的信息被完全掩盖了，因此，第二参与方无法获取x₁和x₂的有效信息。此外，第一参与方无法得到选择比特b的信息，因此，n×2^n-1个SS-select算子的选择比特组合起来形成的乱序序列，第一参与方对此也是一无所知。第一参与方可以构造新的随机数为(x₁-t)和(x₂+t)，第二参与方利用OT查询结果可以构造新的随机数为((t+b×(x₂-x₁))+b×(r₂-r₁)+r₁)和(-(t+b×(x₂-x₁))-b×(r₂-r₁)+r₂)。那么可以验证，第一参与方和第二参与方构造的新的随机数（都是其本地拥有的、生成的数据以及OT查询得到的数据）共同形成(x₁+r₁)和(x₂+r₂)经过选择比特b翻转换位后的加法秘密分享结果，符合本发明实施例中SS-select算子的定义。

在本发明的一种可选实施例中，所述方法还可以包括：所述第一参与方和所述第二参与方在离线阶段预先执行随机不经意传输，并保存所述随机不经意传输的预计算结果，以在双方执行预置算子时使用所述随机不经意传输的预计算结果进行不经意传输协议的计算。

在本发明实施例中，SS-select算子基于的不经意传输指的标准OT协议，如1-out-of-2的choose-input OT。一个SS-select算子的开销仅为1个1-out-of-2的choose-inputOT，而标准OT可以由Random OT（随机不经意传输）转化得到。

一个标准的OT协议是一个确定性的功能函数, 输入信息都是由参与方给定的。一个随机OT（Random OT，ROT）协议是一个随机化的功能函数, 输入信息都是协议均匀随机生成而非参与方给定的。ROT可以转化为标准OT。如果需要大量的标准OT，可以通过离线/在线阶段来生成。首先在离线预计算阶段中生成大量的ROT，然后在在线阶段中使用Beaver去随机化技术将ROT转化为确定性的标准OT。

本发明实施例通过n×2^n-1个基于不经意传输的SS-select算子可以实现1个数据量为2ⁿ的Shuffle-SS协议，也即，一个数据量为2ⁿ的Shuffle-SS协议需要执行n×2^n-1个标准OT，这n×2^n-1个标准OT可以由n×2^n-1个ROT转化得到。所述第一参与方和所述第二参与方可以在离线阶段（比如双方都处于无任务的空闲状态时）预先执行n×2^n-1个ROT，并保存ROT的预计算结果，在双方在线执行Shuffle-SS协议时可以直接使用所述预计算结果来进行所有n×2^n-1个SS-select算子的标准OT转化，由此可以进一步加速Shuffle-SS协议的执行效率，并且可以减少在线计算的压力。

综上，本发明实施例通过n×2^n-1个SS-select算子可以实现1个数据量为2ⁿ的Shuffle-SS协议，而SS-select算子是基于不经意传输实现的，基于不经意传输实现的Shuffle-SS协议，具有更高的运算效率，复杂度是O(m×log₂m)，复杂度开销主要是对称密钥复杂度开销，复杂度的量级远小于基于同态加密实现的公钥复杂度开销，相较于利用同态加密实现的Shuffle-SS协议，本发明实施例可以提高乱序秘密分享协议的运行效率，进而可以提高多方安全计算的效率。此外，本发明实施例基于不经意传输实现Shuffle-SS协议，可应用于需要进行乱序等非线性操作的多方安全计算中，以弥补秘密分享等通用多方安全计算对于处理这些非线性操作较为吃力的弱点。进一步地，本发明实施例的输出结果为秘密分享形式可以更加方便地适配一些通用多方安全计算的中间结果，使得Shuffle-SS协议使用起来更加灵活。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。

参照图4，示出了本发明的一种乱序秘密分享系统实施例的结构框图，所述系统应用于多方安全计算平台，所述多方安全计算平台包括第一参与方401和第二参与方402，所述第一参与方拥有长度为m的数据序列，m=2ⁿ，其中：

所述第二参与方402，用于生成长度为m的第一随机数序列；

所述第一参与方401和所述第二参与方402，用于执行n×2^n-1个基于不经意传输的预置算子，使得所述第一参与方获得长度为m的第一分片序列，所述第二参与方获得长度为m的第二随机数序列，并且所述第一分片序列与所述第二随机数序列中第一位置的元素之和等于所述数据序列与所述第一随机数序列中第二位置的元素之和，所述第一位置为所述第二位置经过乱序序列打乱后的位置，所述乱序序列由所述第二参与方所拥有；

所述第二参与方402，还用于根据所述第一随机数序列和所述第二随机数序列，计算得到第二分片序列，使得所述第一分片序列与所述第二分片序列构成所述数据序列经过所述乱序序列打乱后的序列的加法秘密分享结果。

可选地，所述第二参与方，具体用于将所述第二随机数序列中的各元素减去所述第一随机数序列被所述乱序序列打乱后的序列中的各元素。

可选地，一个预置算子的定义如下：第一参与方拥有x₁和x₂，第二参与方拥有r₁和r₂以及选择比特b，b=0或b=1；双方执行预置算子，使得第一参与方获得随机数x₁'和x₂'，第二参与方获得随机数r₁'和r₂'；若b=0，则x₁'+r₁'=x₁+r₁，x₂'+r₂'=x₂+r₂；若b=1，则x₁'+r₁'=x₂+r₂，x₂'+r₂'=x₁+r₁。

可选地，所述第一参与方和所述第二参与方，具体用于通过两两交换的蝶形置换网络执行n×2^n-1个基于不经意传输的预置算子；其中，所述蝶形置换网络包括log₂m层网络，每层网络包括2^n-1个预置算子。

可选地，所述第一参与方，还用于若所述数据序列的长度m不是2的幂，则选取最小的n使得m=2ⁿ，并使用假数据将所述数据序列的长度m填充至2ⁿ。

可选地，所述第二参与方，还用于从所述第二分片序列中过滤掉所述假数据对应的秘密分享结果，并将所述假数据的位置信息发送给所述第一参与方；

所述第一参与方，还用于根据所述位置信息，从所述第一分片序列中过滤掉所述假数据对应的秘密分享结果。

可选地，所述第一参与方拥有数据x₁和x₂，所述第二参与方拥有随机数r₁和r₂以及选择比特b，b=0或b=1；

所述第一参与方，具体用于生成随机数t，并获取不经意传输的待查询消息包括：t和t+(x₂-x₁)；

所述第二参与方，具体用于将所述选择比特b作为不经意传输的查询比特，所述第一参与方与所述第二参与方执行以所述第一参与方为发送方、所述第二参与方为接收方的2选1不经意传输协议，所述第二参与方得到查询结果(t+b×(x₂-x₁))；

所述第一参与方，具体用于构造得到(x₁-t)和(x₂+t)；

所述第二参与方，具体用于构造得到((t+b×(x₂-x₁))+b×(r₂-r₁)+r₁)和(-(t+b×(x₂-x₁))-b×(r₂-r₁)+r₂)。

可选地，所述第一参与方和所述第二参与方，还用于在离线阶段预先执行随机不经意传输，并保存所述随机不经意传输的预计算结果，以在双方执行预置算子时使用所述随机不经意传输的预计算结果进行不经意传输协议的计算。

本发明实施例通过n×2^n-1个SS-select算子可以实现1个数据量为2ⁿ的Shuffle-SS协议，而SS-select算子是基于不经意传输实现的，基于不经意传输实现的Shuffle-SS协议，具有更高的运算效率，复杂度是O(m×log₂m)，复杂度开销主要是对称密钥复杂度开销，复杂度的量级远小于基于同态加密实现的公钥复杂度开销，相较于利用同态加密实现的Shuffle-SS协议，本发明实施例可以提高乱序秘密分享协议的运行效率，进而可以提高多方安全计算的效率。此外，本发明实施例基于不经意传输实现Shuffle-SS协议，可应用于需要进行乱序等非线性操作的多方安全计算中，以弥补秘密分享等通用多方安全计算对于处理这些非线性操作较为吃力的弱点。进一步地，本发明实施例的输出结果为秘密分享形式可以更加方便地适配一些通用多方安全计算的中间结果，使得Shuffle-SS协议使用起来更加灵活。

对于系统实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

关于上述实施例中的系统，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本发明实施例提供了一种用于乱序秘密分享的装置，包括有存储器，以及一个以上的程序，其中一个以上程序存储于存储器中，且经配置以由一个以上处理器执行所述一个以上程序包含用于进行上述一个或多个实施例中所述的乱序秘密分享方法的指令。

图5是根据一示例性实施例示出的一种用于乱序秘密分享的装置800的框图。例如，装置800可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图5，装置800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出（I/ O）的接口812，传感器组件814，以及通信组件816。

处理组件802通常控制装置800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理元件802可以包括一个或多个处理器820来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。

存储器804被配置为存储各种类型的数据以支持在设备800的操作。这些数据的示例包括用于在装置800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器（SRAM），电可擦除可编程只读存储器（EEPROM），可擦除可编程只读存储器（EPROM），可编程只读存储器（PROM），只读存储器（ROM），磁存储器，快闪存储器，磁盘或光盘。

电源组件806为装置800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为装置800生成、管理和分配电力相关联的组件。

多媒体组件808包括在所述装置800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器（LCD）和触摸面板（TP）。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当设备800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风（MIC），当装置800处于操作模式，如呼叫模式、记录模式和语音信息处理模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。

I/ O接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件814包括一个或多个传感器，用于为装置800提供各个方面的状态评估。例如，传感器组件814可以检测到设备800的打开/关闭状态，组件的相对定位，例如所述组件为装置800的显示器和小键盘，传感器组件814还可以搜索装置800或装置800一个组件的位置改变，用户与装置800接触的存在或不存在，装置800方位或加速/减速和装置800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件816被配置为便于装置800和其他设备之间有线或无线方式的通信。装置800可以接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件816还包括近场通信（NFC）模块，以促进短程通信。例如，在NFC模块可基于射频信息处理（RFID）技术，红外数据协会（IrDA）技术，超宽带（UWB）技术，蓝牙（BT）技术和其他技术来实现。

在示例性实施例中，装置800可以被一个或多个应用专用集成电路（ASIC）、数字信号处理器（DSP）、数字信号处理设备（DSPD）、可编程逻辑器件（PLD）、现场可编程门阵列（FPGA）、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器804，上述指令可由装置800的处理器820执行以完成上述方法。例如，所述非临时性计算机可读存储介质可以是ROM、随机存取存储器（RAM）、CD-ROM、磁带、软盘和光数据存储设备等。

图6是本发明的一些实施例中服务器的结构示意图。该服务器1900可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器（central processingunits，CPU）1922（例如，一个或一个以上处理器）和存储器1932，一个或一个以上存储应用程序1942或数据1944的存储介质1930（例如一个或一个以上海量存储设备）。其中，存储器1932和存储介质1930可以是短暂存储或持久存储。存储在存储介质1930的程序可以包括一个或一个以上模块（图示没标出），每个模块可以包括对服务器中的一系列指令操作。更进一步地，中央处理器1922可以设置为与存储介质1930通信，在服务器1900上执行存储介质1930中的一系列指令操作。

服务器1900还可以包括一个或一个以上电源1926，一个或一个以上有线或无线网络接口1950，一个或一个以上输入输出接口1958，一个或一个以上键盘1956，和/或，一个或一个以上操作系统1941，例如Windows ServerTM，MacOS XTM，UnixTM, LinuxTM，FreeBSDTM等等。

一种非临时性计算机可读存储介质，当所述存储介质中的指令由装置（服务器或者终端）的处理器执行时，使得装置能够执行图1所示的乱序秘密分享方法。

一种非临时性计算机可读存储介质，当所述存储介质中的指令由装置（服务器或者终端）的处理器执行时，使得装置能够执行前文图1所对应实施例中乱序秘密分享方法的描述，因此，这里将不再进行赘述。另外，对采用相同方法的有益效果描述，也不再进行赘述。对于本申请所涉及的计算机程序产品或者计算机程序实施例中未披露的技术细节，请参照本申请方法实施例的描述。

此外，需要说明的是：本申请实施例还提供了一种计算机程序产品或计算机程序，该计算机程序产品或者计算机程序可以包括计算机指令，该计算机指令可以存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器可以执行该计算机指令，使得该计算机设备执行前文图1所对应实施例中乱序秘密分享方法的描述，因此，这里将不再进行赘述。另外，对采用相同方法的有益效果描述，也不再进行赘述。对于本申请所涉及的计算机程序产品或者计算机程序实施例中未披露的技术细节，请参照本申请方法实施例的描述。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

以上对本发明所提供的一种乱序秘密分享方法、一种乱序秘密分享系统、一种用于乱序秘密分享的装置和一种可读存储介质，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (16)

1.一种乱序秘密分享方法，其特征在于，应用于多方安全计算平台，所述多方安全计算平台包括第一参与方和第二参与方，所述第一参与方拥有长度为m的数据序列，m=2ⁿ，所述方法包括：

所述第二参与方生成长度为m的第一随机数序列；

所述第一参与方和所述第二参与方执行n×2^n-1个基于不经意传输的预置算子，使得所述第一参与方获得长度为m的第一分片序列，所述第二参与方获得长度为m的第二随机数序列，并且所述第一分片序列与所述第二随机数序列中第一位置的元素之和等于所述数据序列与所述第一随机数序列中第二位置的元素之和，所述第一位置为所述第二位置经过乱序序列打乱后的位置，所述乱序序列由所述第二参与方所拥有；

所述第二参与方根据所述第一随机数序列和所述第二随机数序列，计算得到第二分片序列，使得所述第一分片序列与所述第二分片序列构成所述数据序列经过所述乱序序列打乱后的序列的加法秘密分享结果；

其中，一个预置算子的定义如下：第一参与方拥有x₁和x₂，第二参与方拥有r₁和r₂以及选择比特b，b=0或b=1；双方执行预置算子，使得第一参与方获得随机数x₁'和x₂'，第二参与方获得随机数r₁'和r₂'；若b=0，则x₁'+r₁'=x₁+r₁，x₂'+r₂'=x₂+r₂；若b=1，则x₁'+r₁'=x₂+r₂，x₂'+r₂'=x₁+r₁。

2.根据权利要求1所述的方法，其特征在于，所述第二参与方根据所述第一随机数序列和所述第二随机数序列，计算得到第二分片序列，包括：

所述第二参与方将所述第二随机数序列中的各元素减去所述第一随机数序列被所述乱序序列打乱后的序列中的各元素。

3.根据权利要求1所述的方法，其特征在于，所述第一参与方和所述第二参与方执行n×2^n-1个基于不经意传输的预置算子，包括：

所述第一参与方和所述第二参与方通过两两交换的蝶形置换网络执行n×2^n-1个基于不经意传输的预置算子；其中，所述蝶形置换网络包括log₂m层网络，每层网络包括2^n-1个预置算子。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若所述数据序列的长度m不是2的幂，则所述第一参与方选取最小的n使得m=2ⁿ，并使用假数据将所述数据序列的长度m填充至2ⁿ。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

所述第二参与方从所述第二分片序列中过滤掉所述假数据对应的秘密分享结果，并将所述假数据的位置信息发送给所述第一参与方；

所述第一参与方根据所述位置信息，从所述第一分片序列中过滤掉所述假数据对应的秘密分享结果。

6.根据权利要求1所述的方法，其特征在于，所述第一参与方拥有数据x₁和x₂，所述第二参与方拥有随机数r₁和r₂以及选择比特b，b=0或b=1；所述第一参与方和所述第二参与方双方执行一个预置算子的步骤，包括：

所述第一参与方生成随机数t，并获取不经意传输的待查询消息包括：t和t+(x₂-x₁)；

所述第二参与方将所述选择比特b作为不经意传输的查询比特，所述第一参与方与所述第二参与方执行以所述第一参与方为发送方、所述第二参与方为接收方的2选1不经意传输协议，所述第二参与方得到查询结果(t+b×(x₂-x₁))；

所述第一参与方构造得到(x₁-t)和(x₂+t)；

所述第二参与方构造得到((t+b×(x₂-x₁))+b×(r₂-r₁)+r₁)和(-(t+b×(x₂-x₁))-b×(r₂-r₁)+r₂)。

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述第一参与方和所述第二参与方在离线阶段预先执行随机不经意传输，并保存所述随机不经意传输的预计算结果，以在双方执行预置算子时使用所述随机不经意传输的预计算结果进行不经意传输协议的计算。

8.一种乱序秘密分享系统，其特征在于，应用于多方安全计算平台，所述系统包括第一参与方和第二参与方，所述第一参与方拥有长度为m的数据序列，m=2ⁿ，其中：

所述第二参与方，用于生成长度为m的第一随机数序列；

所述第一参与方和所述第二参与方，用于执行n×2^n-1个基于不经意传输的预置算子，使得所述第一参与方获得长度为m的第一分片序列，所述第二参与方获得长度为m的第二随机数序列，并且所述第一分片序列与所述第二随机数序列中第一位置的元素之和等于所述数据序列与所述第一随机数序列中第二位置的元素之和，所述第一位置为所述第二位置经过乱序序列打乱后的位置，所述乱序序列由所述第二参与方所拥有；

所述第二参与方，还用于根据所述第一随机数序列和所述第二随机数序列，计算得到第二分片序列，使得所述第一分片序列与所述第二分片序列构成所述数据序列经过所述乱序序列打乱后的序列的加法秘密分享结果；

其中，一个预置算子的定义如下：第一参与方拥有x₁和x₂，第二参与方拥有r₁和r₂以及选择比特b，b=0或b=1；双方执行预置算子，使得第一参与方获得随机数x₁'和x₂'，第二参与方获得随机数r₁'和r₂'；若b=0，则x₁'+r₁'=x₁+r₁，x₂'+r₂'=x₂+r₂；若b=1，则x₁'+r₁'=x₂+r₂，x₂'+r₂'=x₁+r₁。

9.根据权利要求8所述的系统，其特征在于，所述第二参与方，具体用于将所述第二随机数序列中的各元素减去所述第一随机数序列被所述乱序序列打乱后的序列中的各元素。

10.根据权利要求8所述的系统，其特征在于，所述第一参与方和所述第二参与方，具体用于通过两两交换的蝶形置换网络执行n×2^n-1个基于不经意传输的预置算子；其中，所述蝶形置换网络包括log₂m层网络，每层网络包括2^n-1个预置算子。

11.根据权利要求8所述的系统，其特征在于，所述第一参与方，还用于若所述数据序列的长度m不是2的幂，则选取最小的n使得m=2ⁿ，并使用假数据将所述数据序列的长度m填充至2ⁿ。

12.根据权利要求11所述的系统，其特征在于，所述第二参与方，还用于从所述第二分片序列中过滤掉所述假数据对应的秘密分享结果，并将所述假数据的位置信息发送给所述第一参与方；

所述第一参与方，还用于根据所述位置信息，从所述第一分片序列中过滤掉所述假数据对应的秘密分享结果。

13.根据权利要求8所述的系统，其特征在于，所述第一参与方拥有数据x₁和x₂，所述第二参与方拥有随机数r₁和r₂以及选择比特b，b=0或b=1；

所述第一参与方，具体用于生成随机数t，并获取不经意传输的待查询消息包括：t和t+(x₂-x₁)；

所述第二参与方，具体用于将所述选择比特b作为不经意传输的查询比特，所述第一参与方与所述第二参与方执行以所述第一参与方为发送方、所述第二参与方为接收方的2选1不经意传输协议，所述第二参与方得到查询结果(t+b×(x₂-x₁))；

所述第一参与方，具体用于构造得到(x₁-t)和(x₂+t)；

所述第二参与方，具体用于构造得到((t+b×(x₂-x₁))+b×(r₂-r₁)+r₁)和(-(t+b×(x₂-x₁))-b×(r₂-r₁)+r₂)。

14.根据权利要求8所述的系统，其特征在于，所述第一参与方和所述第二参与方，还用于在离线阶段预先执行随机不经意传输，并保存所述随机不经意传输的预计算结果，以在双方执行预置算子时使用所述随机不经意传输的预计算结果进行不经意传输协议的计算。

15.一种用于乱序秘密分享的装置，其特征在于，包括有存储器，以及一个以上程序，其中一个以上程序存储于存储器中，且经配置以由一个以上处理器执行所述一个以上程序，所述一个以上程序包含用于进行如权利要求1至7中任一所述的乱序秘密分享方法的指令。

16.一种可读存储介质，其上存储有指令，当所述指令由装置的一个或多个处理器执行时，使得装置执行如权利要求1至7中任一所述的乱序秘密分享方法。

Images