CN116032492A - 具有身份中止和公正性的安全多方计算方法 - Google Patents

Abstract

本发明公开了一种具有身份中止和公正性的安全多方计算方法，首先由安全多方计算的参与方协同生成密钥、掩码和乘法三元组，同时生成每个掩码和乘法三元组的签名以及签名验证函数，每个参与方对安全多方计算中的输入进行输入共享，然后执行其持有的计算算术电路，得到计算结果以及对应签名和签名验证函数，对乘法阶段的打开值进行检验，检验通过后再对各个参与方进行可验证的计算结果共享。本发明在电路计算完成后增加共享阶段，使用同态签名来确定计算过程的正确性，从而在不暴露计算结果的前提下完成计算结果验证，实现诚实方多数时的公正性和恶意方多数环境下的身份中止。

Description

具有身份中止和公正性的安全多方计算方法

技术领域

本发明属于密码学技术领域，更为具体地讲，涉及一种具有身份中止和公正性的安全多方计算方法。

背景技术

安全多方计算(Secure Multi-Party Computation，SMPC)允许各个互不信任的参与方联合计算某个函数，并且除了预定的输出以外，这个计算过程不会泄露任何信息。安全多方计算是隐私计算的一个重要原语之一。SPDZ是安全多方计算中一个重要的协议。SPDZ最早是2012年由Multiparty Computation from Somewhat Homomorphic Encryption提出，通过引入一套较为复杂的预处理过程，使线上计算部分变得容易，其主要优势是能在恶意方多数环境下运行。

SPDZ协议包括两个阶段，离线阶段和在线阶段。在离线阶段，使用同态加密或不经意传输生成掩码值和Beaver三元组，在在线阶段，通过使用掩码值，各个参与方将自己的输入进行共享，以电路的形式计算功能函数，在计算完成后使用消息验证码验证。在验证时，首先各个参与方广播自己计算的结果，然后再进行验证过程，因此恶意方可以在收到这些值后提供错误的信息导致验证失败，因此无法保证公正性。另一方面，由于验证是通过计算认证码和的方式完成的，诚实方无法识别恶意方的身份。

目前的常用方式是通过使用签名或承诺方案代替消息认证码来实现SPDZ的身份中止。使用承诺方案进行验证时需要较大计算开销，而且恶意方可以在学习到诚实方输出后拒绝打开承诺或者打开一个错误的值；同态签名则需要暴露计算结果，这与公正性的要求是冲突的，因为恶意方总是能滞后输出。现有的身份中止技术没有实现公正性。尽管SPDZ的主要优势是在任意恶意参与方数量下执行，但是可以实现一个SPDZ协议，其功能根据计算环境而变化，即在诚实方多数时实现公正性，而当恶意方多数时提供身份中止功能。

发明内容

本发明的目的在于克服现有技术的不足，提供一种具有身份中止和公正性的安全多方计算方法，在电路计算完成后增加共享阶段，使用同态签名来确定计算过程的正确性，从而在不暴露计算结果的前提下完成计算结果验证，实现诚实方多数时的公正性和恶意方多数环境下的身份中止。

为了实现上述发明目的，本发明具有身份中止和公正性的安全多方计算方法包括以下步骤：

S1：采用以下方法生成密钥：

1)1)安全多方计算中的N个参与方P_i协同，从域

中随机生成N个常数

然后从域

中随机生成W个N维常数向量

w＝1,2,…,W，W为预设的密钥数量，满足W＝(N_R+3N_T)×N，N_R表示掩码数量，满足N_R＞N_I，N_I表示所有参与方的输入总数，N_T表示乘法三元组数量，满足N_T＞N_M，N_M表示安全多方计算中计算电路中乘法门数量；

2)参与方P_i从域

中随机生成N维常数向量

计算得到N个常数

和W个常数向量

3)参与方P_i确定其签名私钥

以及验证密钥vk_i＝(v_i,α_i,{β_i,w}_{w＝1,2,…,W})；

S2：N个参与方P_i联合为每个输入随机生成掩码R_p，p＝1,2,…,N_R，具体方法为：每个参与方P_i随机生成一个掩码贡献值r_i,p，N个参与方P_i采用签名私钥sk_i联合对参与方P_i的掩码贡献值r_i,p生成签名σ(r_i,p)，记掩码贡献值r_i,p的签名序号w_i,p＝(p-1)N+i，则签名

各个参与方P_i将掩码贡献值r_i,p和签名σ(r_i,p)一起发送给需要该掩码的参与方P_j，参与方P_j将各参与方的掩码贡献值为r_i,p和签名σ(r_i,p)汇总得到掩码<R_p>＝{r_i,p,σ(r_i,p)}_{i＝1,2,…,N}，每个掩码贡献值对应的签名验证函数

为掩码签名验证函数的自变量；

S3：N个参与方P_i协同，生成H个乘法三元组(A_h,B_h,C_h)，h＝1,2,…,N_T，具体方法为：每个参与方P_i随机生成一组乘法三元组贡献值(a_i,h,b_i,h,c_i,h)，其中c_i,h＝a_i,h×b_i,h，采用签名私钥sk_i对三元组贡献值(a_i,h,b_i,h,c_i,h)生成签名σ(a_i,h)、σ(b_i,h)和σ(c_i,h)，得到H个三元组参数<A_h>＝{a_i,h,σ(a_i,h)}_{i＝1,2,…,N}、<B_h>＝{b_i,h,σ(b_i,h)}_{i＝1,2,…,N}、<C_h>＝{c_i,h,σ(c_i,h)}_{i＝1,2,…,N}，记三元组参数中每个贡献值a_i,h、b_i,h、c_i,h的签名序号分别为w_{a_i,h}＝N×N_R+3h-2、w_{b_i,h}＝N×N_R+3h-1、w_{c_i,h}＝N×N_R+3h，每个贡献值对应的签名验证函数分别为

表示三元组参数签名验证函数的自变量；

S4：N个参与方P_i对安全多方计算中的每个输入进行输入共享，具体方法为：记输入X对应的参与方为P_i，则参与方P_i为输入X配置掩码

计算输入X的贡献值

其中

贡献值x_i的签名为

签名验证函数

其他参与方P_i′令输入X的贡献值为

其中i′＝1,2,…,N&i′≠i，贡献值x_i′的签名为

签名验证函数

S5：各个参与方P_i执行其持有的计算算术电路，得到计算结果z_i，并计算对应签名σ(z_i)和签名验证函数

计算算术电路中包含加法电路和乘法电路，在加法电路中执行本地计算，在乘法电路中需要通过消耗三元组将乘法操作转换为线性操作，其中：

加法电路的具体执行过程为：N个参与方P_i联合计算

其中

分别表示加法电路的两个输入，记每个参与方P_i所拥有的输入

和

的贡献值为

和

其签名分别为

对应签名验证函数为

和

各个参与方令本地计算结果

对应签名

对应签名验证函数

乘法电路的具体执行过程为：N个参与方P_i联合计算

其中

分别表示乘法电路的两个输入，记每个参与方P_i所拥有的输入

和

的贡献值为

和

其签名分别为

对应签名验证函数为

和

N个参与方P_i联合选定一个可用乘法三元组记为(a^mul,b^mul,c^mul)，每个参与方P_i对该乘法三元组的贡献值为

其签名分别为

对应的签名验证函数为

每个参与方P_i广播自己的计算值

然后每个参与方P_i分别计算中间值

中间值

即中间值ε和中间值ρ对所有参与方为打开状态，每个参与方P_i令乘法计算结果

对应签名

对应签名验证函数

S6：记步骤S5中所有参与方在乘法阶段的打开值为{u₁,u₂,…,u_D}，其中u_d为第d个打开值，d＝1,2,…,D，D＝2N_M，记每个打开值u_d中由参与方P_i提供的贡献值为u_d,i，满足

将贡献值u_d,i计算时所使用的乘法三元组参数的签名作为贡献值u_d,i的签名σ(u_d,i)，将所使用的乘法三元组参数的签名验证函数作为贡献值u_d,i的签名函数

采用如下方法对乘法阶段打开值进行检验：

S6.1：N个参与方P_i协同生成D个随机值k_d；

S6.2：每个参与方P_i计算得到本地融合打开值

系数k_d为预设的属于域

的参数，然后采用如下方法对融合打开值h_i进行签名，得到签名σ(h_i)：

参与方P_i广播签名σ(h_i)、融合打开值h_i和其对应的签名认证函数

其中c_w表示签名验证函数f_h,i中自变量

的系数，γ为常数项；

S6.3：每个参与方P_j在接收到其他参与方P_i广播的广播签名σ(h_i)、融合打开值h_i和其对应的签名认证函数

根据验证密钥vk_j＝(v_j,α_j,{β_j,w}_{w＝1,2,…,W})采用如下方法进行检验：

计算检验参数

检查等式

是否成立，其中σ(h_i)[n]是签名σ(h_i)中第n维分量，如果成立，则检验通过，否则检验不通过；

S7：判断步骤S6中的乘法阶段打开值检验是否通过，如果所有打开值均检验通过，则进入步骤S8，否则进入步骤S9，多方计算中止，并输出未检验通过的打开值对应的参与方身份；

S8：采用如下方法进行可验证的计算结果共享：

S8.1：每个参与方P_i对其电路计算结果z_i进行秘密共享，具体方法为：预先设置秘密所属域Z_p，令z_i∈Z_p，其中p和(p-1)/2为素数；每个参与方P_j选择并广播随机数q_j；然后参与方P_i随机选取N/2个随机数t₁,t₂,…,t_N/2，计算检验辅助参数

和

并广播，其中n′＝1,2,…,N/2，g为预设的域Z_p的生成元；参与方P_i计算向参与方P_j的共享值

并发送给参与方P_j，参与方P_j在接收到共享值z_i,j后，判断

是否成立，如果成立，则检验通过，否则检验不通过，参与方P_j广播参与方P_i进行错误共享的消息；

S8.2：如果有参与方在秘密共享时存在检验不通过，则进入步骤S8.3，如果所有参与方在秘密共享时均检验通过，则进入步骤8.4；

S8.3：当有参与方P_j广播参与方P_i进行错误共享的消息时，参与方P_i采用零知识证明算法证明自己发送给参与方P_j的是正确共享值，证明过程向所有参与方公开，如果参与方P_i能够提供正确证明，则其他参与方联合判定参与方P_i′为恶意方，否则其他参与方联合判定参与方P_i为恶意方；证明结束后多方计算中止；

S8.4：每个参与方生成计算结果z_i的签名广播值

并进行广播，σ(z_i)[n]表示计算结果z_i签名σ(z_i)的第n维分量；每个参与方P_j在接收到参与方P_i的计算结果广播值

和计算结果签名广播值

后，根据验证密钥vk_j＝(v_j,α_j,{β_j,w}_{w＝1,2,…,W})采用如下方法进行检验：

记计算结果z_i的签名验证函数

其中c′_w表示签名验证函数

中自变量

的系数，γ′为常数项；计算检验参数

检查等式

是否成立，如果成立，则检验通过，进入步骤S8.4，否则检验不通过，参与方P_j广播参与方P_i为恶意方的消息，多方计算中止；

S8.5：每个参与方P_i分别广播其计算结果，记参与方P_i的广播计算结果为

其他参与方在接收到广播计算结果

后，判断

是否与步骤S8.1中广播的

一致，即是否

如果一致，则不做任何操作，如果不一致，则广播参与方P_i为恶意方，进入步骤S8.6；

S8.6：判断当前被声称为恶意方的参与方数量是否大于N/2，如果是，则安全多方计算中止，否则进入步骤S8.7；

S8.7：基于拉格朗日插值算法对恶意方的计算结果进行恢复，恢复成功则安全多方计算完成，否则安全多方计算中止，并输出恶意方身份。

本发明具有身份中止和公正性的安全多方计算方法，首先由安全多方计算的参与方协同生成密钥、掩码和乘法三元组，同时生成每个掩码和乘法三元组的签名以及签名验证函数，每个参与方对安全多方计算中的输入进行输入共享，然后执行其持有的计算算术电路，得到计算结果以及对应签名和签名验证函数，对乘法阶段的打开值进行检验，检验通过后再对各个参与方进行可验证的计算结果共享。

本发明具有以下有益效果：

1)本发明中使用同态签名进行验证，恶意方想要成功欺骗必须生成对应签名，其概率是可忽略的，增加了安全多方计算的安全性；

2)本发明在计算电路执行后增加了可验证的计算结果共享，在该阶段各个参与方共享自己的计算输出，确保超过半数以上时秘密可以恢复，从而实现诚实方多数时的公正性；

3)本发明在诚实方多数情况下能实现公正性，在恶意方多数时实现身份中止。

附图说明

图1是本发明具有身份中止和公正性的安全多方计算方法的具体实施方式流程图；

图2是本发明中检验乘法阶段打开值的流程图；

图3是本发明中可验证的计算结果共享的流程图。

具体实施方式

下面结合附图对本发明的具体实施方式进行描述，以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是，在以下的描述中，当已知功能和设计的详细描述也许会淡化本发明的主要内容时，这些描述在这里将被忽略。

实施例

图1是本发明具有身份中止和公正性的安全多方计算方法的具体实施方式流程图。如图1所示，本发明具有身份中止和公正性的安全多方计算方法的具体步骤包括：

S101：生成密钥：

为了实现安全多方计算的安全性，首先采用以下方法生成密钥：

1)安全多方计算中的N个参与方P_i协同，从域

中随机生成N个常数

然后从域

中随机生成W个N维常数向量

w＝1,2,…,W，W为预设的密钥数量，满足W＝(N_R+3N_T)×N，N_R表示掩码数量，满足N_R＞N_I，N_I表示所有参与方的输入总数，N_T表示乘法三元组数量，满足N_T＞N_M，N_M表示安全多方计算中计算电路中乘法门数量。在实际应用中，输入总数和乘法门数量并不是一定已知，因此掩码数量N_R和乘法三元组数量N_T可以设置一个绝对大值，以提高普适性。

2)参与方P_i从域

中随机生成N维常数向量

计算得到N个常数

和W个常数向量

3)参与方P_i确定其签名私钥

以及验证密钥vk_i＝(v_i,α_i,{β_i,w}_{w＝1,2,…,W})。

S102：生成掩码：

N个参与方P_i联合为每个输入随机生成掩码R_p，p＝1,2,…,N_R，具体方法为：每个参与方P_i随机生成一个掩码贡献值r_i,p，N个参与方P_i采用签名私钥sk_i联合对参与方P_i的掩码贡献值r_i,p生成签名σ(r_i,p)，记掩码贡献值r_i,p的签名序号w_i,p＝(p-1)N+i，则签名

该签名过程可以采用同态签名或不经意传输实现。各个参与方P_i将掩码贡献值r_i,p和签名σ(r_i,p)一起发送给需要该掩码的参与方P_j，参与方P_j将各参与方的掩码贡献值为r_i,p和签名σ(r_i,p)汇总得到掩码<R_p>＝{r_i,p,σ(r_i,p)}_{i＝1,2,…,N}，每个掩码贡献值对应的签名验证函数

为掩码签名验证函数的自变量。

采用这种方式，掩码<R_p>仅为使用该掩码的参与方所知，其他参与方只知道其掩码贡献值r_i,p。

S103：生成乘法三元组：

N个参与方P_i协同，生成H个乘法三元组(A_h,B_h,C_h)，h＝1,2,…,N_T，具体方法为：每个参与方P_i随机生成一组乘法三元组贡献值(a_i,h,b_i,h,c_i,h)，其中c_i,h＝a_i,h×b_i,h，采用签名私钥sk_i对三元组贡献值(a_i,h,b_i,h,c_i,h)生成签名σ(a_i,h)、σ(b_i,h)和σ(c_i,h)，得到H个三元组参数＜A_h>＝{a_i,h,σ(a_i,h)}_{i＝1,2,…,N}、<B_h>＝{b_i,h,σ(b_i,h)}_{i＝1,2,…,N}、＜C_h>＝{c_i,h,σ(c_i,h)}_{i＝1,2,…,N}，记三元组参数中每个贡献值a_i,h、b_i,h、c_i,h的签名序号分别为w_{a_i,h}＝N×N_R+3h-2、w_{b_i,h}＝N×N_R+3h-1、w_{c_i,h}＝N×N_R+3h，每个贡献值对应的签名验证函数分别为

表示三元组参数签名验证函数的自变量。

步骤S101至步骤S103共同构成离线阶段，在离线阶段，各个参与方协同在随机值上计算掩码值和三元组。此阶段得到的结果被用来加速在线阶段对应的操作，即掩码值用来输入共享，三元组加速乘法操作。接下来需要进行在线计算以及验证。

S104：输入共享：

N个参与方P_i对安全多方计算中的每个输入进行输入共享，具体方法为：记输入X对应的参与方为P_i，则参与方P_i为输入X配置掩码

计算输入X的贡献值

其中

贡献值x_i的签名为

签名验证函数

其他参与方P_i′令输入X的贡献值为

其中i′＝1,2,…,N&i′≠i，贡献值x_i′的签名为

签名验证函数

容易验证

根据以上描述可知，贡献值的签名验证函数中，贡献值x_i相对比掩码的签名验证函数多了一个常数项，贡献值x_i′的签名验证函数与对应掩码的签名验证函数相同。

S105：执行计算电路：

各个参与方P_i执行其持有的计算算术电路，得到计算结果z_i，并计算对应签名σ(z_i)和签名验证函数

计算算术电路中包含加法电路和乘法电路，在加法电路中执行本地计算，在乘法电路中需要通过消耗三元组将乘法操作转换为线性操作。在计算电路中乘法电路的执行过程中，对乘法电路中的中间结果[x₁]-<a>、[x₂]-<b>进行打开，其中[x₁]、[x₂]分别为该乘法电路的输入，<a>、<b>分别表示为该乘法电路分配的三元组中的参数。

具体来说，对于加法电路，N个参与方P_i联合计算

其中

分别表示加法电路的两个输入，记每个参与方P_i所拥有的输入

和

的贡献值为

和

其签名分别为

对应签名验证函数为

和

为了执行加法，各个参与方令本地计算结果

对应签名

对应签名验证函数

对于乘法电路，N个参与方P_i联合计算

其中

分别表示乘法电路的两个输入，记每个参与方P_i所拥有的输入

和

的贡献值为

和

其签名分别为

对应签名验证函数为

和

N个参与方P_i联合选定一个可用乘法三元组记为(a^mul,b^mul,c^mul)，每个参与方P_i对该乘法三元组的贡献值为

其签名分别为

对应的签名验证函数为

每个参与方P_i广播自己的计算值

然后每个参与方P_i分别计算中间值

值

即中间值ε和中间值ρ对所有参与方为打开状态，每个参与方P_i令乘法计算结果

对应签名

对应签名验证函数

不难验证，

S106：乘法电路执行中打开值检验：

在电路执行完成后，需要进行正确性检测。在计算电路执行过程中，每个乘法电路分别打开了2个值(即ε和ρ)，需要对2N_M个打开值进行检验。记步骤S105中所有参与方在乘法阶段的打开值为{u₁,u₂,…,u_D}，其中u_d为第d个打开值，d＝1,2,…,D，D＝2N_M，记每个打开值u_d中由参与方P_i提供的贡献值为u_d,i(即

或

)，满足

将贡献值u_d,i计算时所使用的乘法三元组参数的签名(即

或

)作为贡献值u_d,i的签名σ(u_d,i)，将所使用乘法三元组参数的签名验证函数作为贡献值u_d,i的签名函数

图2是本发明中检验乘法阶段打开值的流程图。如图2所示，本发明中检验乘法阶段打开值的具体步骤包括：

S201：生成随机值：

N个参与方P_i协同生成D个随机值k_d。

S202：对打开值进行预处理并签名广播：

每个参与方P_i计算得到本地融合打开值

系数k_d为预设的属于域

的参数，然后采用如下方法对融合打开值h_i进行签名，得到签名σ(h_i)：

参与方P_i广播签名σ(h_i)、融合打开值h_i和其对应的签名认证函数

其中c_w表示签名验证函数f_h,i中自变量

的系数，γ为常数项。

S203：签名检验：

每个参与方P_j在接收到其他参与方P_i广播的广播签名σ(h_i)、融合打开值h_i和其对应的签名认证函数

根据验证密钥vk_j＝(v_j,α_j,{β_j,w}_w＝12…W)采用如下方法进行检验：

计算检验参数

检查等式

是否成立，其中σ(h_i)[n]是签名σ(h_i)中第n维分量，

是常数向量v_j中第n维分量，如果成立，则检验通过，否则检验不通过。

S107：判断步骤S106中的乘法阶段打开值检验是否通过，如果所有打开值均检验通过，则进入步骤S108，否则进入步骤S109，多方计算中止，并输出未检验通过的打开值对应的参与方身份。

S108：可验证的计算结果共享：

为了实现公正性，本发明在计算结果共享时采用可验证的计算结果共享。图3是本发明中可验证的计算结果共享的流程图。如图3所示，本发明中可验证的计算结果共享的具体步骤包括：

S301：计算结果秘密共享：

每个参与方P_i对其电路计算结果z_i进行秘密共享，具体方法为：预先设置秘密所属域Z_p，令z_i∈Z_p，其中p和(p-1)/2为素数。每个参与方P_j选择并广播随机数q_j。然后参与方P_i随机选取N/2个随机数t₁,t₂,…,t_N/2，计算检验辅助参数

和

并广播，其中n′＝1,2,…,N/2，g为预设的域Z_p的生成元。参与方P_i计算向参与方P_j的共享值

并发送给参与方P_j，参与方P_j在接收到共享值z_i,j后，判断

是否成立，如果成立，则检验通过，否则检验不通过，参与方P_j广播参与方P_i进行错误共享的消息。

S302：如果有参与方在秘密共享时存在检验不通过，则进入步骤S303，如果所有参与方在秘密共享时均检验通过，则进入步骤S304。

S303：零知识证明：

当有参与方P_j广播参与方P_i进行错误共享的消息时，参与方P_i采用零知识证明算法证明自己发送给参与方P_j的是正确共享值，证明过程向所有参与方公开，如果参与方P_i能够提供正确证明，则其他参与方联合判定参与方P_i′为恶意方，否则其他参与方联合判定参与方P_i为恶意方。证明结束后多方计算中止。

本实施例中零知识证明算法采用文献“J.Camenisch,V.Shoup,in AnnualInternational Cryptology Conference(Springer,2003),pp.126–144”公开的算法。

S304：计算结果保密性打开：

由于步骤1)中，每个参与方P_i已经公开了检验辅助参数

因此，本步骤中，每个参与方生成计算结果z_i的签名广播值

并进行广播，σ(z_i)[n]表示计算结果z_i签名σ(z_i)的第n维分量。每个参与方P_j在接收到参与方P_i的计算结果广播值

和计算结果签名广播值

后，根据验证密钥vk_j＝(v_j,α_j,{β_j,w}_{w＝1,2,…,W})采用如下方法进行检验：

记计算结果z_i的签名验证函数

其中c′_w表示签名验证函数

中自变量

的系数，γ′为常数项。计算检验参数

检查等式

是否成立，如果成立，则检验通过，进入步骤S304，否则检验不通过，参与方P_j广播参与方P_i为恶意方的消息，多方计算中止。

在保密性打开中，签名广播值

在生成和计算过程都是保密的，并且在验证之后也是保密的，签名的正确性和保密性直接根据离散对数的困难性可得，从而确保参与方诚实地输出共享计算结果，同时也可以实现对于恶意方身份的检测。

S305：计算结果一致性判断：

每个参与方P_i分别广播其计算结果，记参与方P_i的广播计算结果为

其他参与方在接收到广播计算结果

后，判断

是否与步骤S301中广播的

一致，即是否

如果一致，则不做任何操作，如果不一致，则广播参与方P_i为恶意方，进入步骤S306。

S306：判断当前被声称为恶意方的参与方数量是否大于N/2，如果是，则安全多方计算中止，否则进入步骤S307。

S307：基于拉格朗日插值算法对恶意方的计算结果进行恢复，恢复成功则安全多方计算完成，否则安全多方计算中止，并输出恶意方身份。本实施例中，恶意方计算结果恢复的具体方法如下：

1)记待恢复的参与方为

初始化次数t＝1。

2)随机选择N/2个诚实方构成重构小组，用于提供重构数据。

3)基于拉格朗日插值算法对参与方

的计算结果进行重构，具体方法如下：

记当前重构小组中N/2个诚实方为

其中i_n′表示这N/2个诚实方的原始序号，记其在步骤S301中得到的参与方

的共享值为

记其在步骤S301中广播的随机数为

将共享值为随机数构成N/2个点值对

基于这N/2个点值对

拟合得到拉格朗日多项式，然后再每个参与方P_j广播的随机数q_j，基于拉格朗日多项式得到对应的重构共享值

4)对参与方

的重构共享值

进行输入一致性检验，具体方法为：判断是否

如果是则检验通过，进入步骤5)，否则检验不通过，进入步骤6)。

6)计算重构参与方

的计算结果

7)判断是否t＜N/2，如果是，进入步骤8)，否则重构失败。

8)筛选出属于重构小组且在步骤4)中未通过输入一致性检验的参与方，从剩余诚实方中随机选择诚实方对其进行替换，对重构小组进行更新，然后令t＝t+1，返回步骤3)。

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

Claims (2)

1.一种具有身份中止和公正性的安全多方计算方法，其特征在于，包括以下步骤：

S1：采用以下方法生成密钥：

1)1)安全多方计算中的N个参与方P_i协同，从域

中随机生成N个常数

然后从域

中随机生成W个N维常数向量

W为预设的密钥数量，满足W＝(N_R+3N_T)×N，N_R表示掩码数量，满足N_R＞N_I，N_I表示所有参与方的输入总数，N_T表示乘法三元组数量，满足N_T＞N_M，N_M表示安全多方计算中计算电路中乘法门数量；

2)参与方P_i从域

中随机生成N维常数向量

计算得到N个常数

和W个常数向量

3)参与方P_i确定其签名私钥

以及验证密钥vk_i＝(v_i,α_i,{β_i,w}_{w＝1,2,…,W})；

S2：N个参与方P_i联合为每个输入随机生成掩码R_p，p＝1,2,…,N_R，具体方法为：每个参与方P_i随机生成一个掩码贡献值r_i,p，N个参与方P_i采用签名私钥sk_i联合对参与方P_i的掩码贡献值r_i,p生成签名σ(r_i,p)，记掩码贡献值r_i,p的签名序号w_i,p＝(p-1)N+i，则签名

各个参与方P_i将掩码贡献值r_i,p和签名σ(r_i,p)一起发送给需要该掩码的参与方P_j，参与方P_j将各参与方的掩码贡献值为r_i,p和签名σ(r_i,p)汇总得到掩码<R_p>＝{r_i,p,σ(r_i,p)}_{i＝1,2,…,N}，每个掩码贡献值对应的签名验证函数

为掩码签名验证函数的自变量；

S3：N个参与方P_i协同，生成H个乘法三元组(A_h,B_h,C_h)，h＝1,2,…,N_T，具体方法为：每个参与方P_i随机生成一组乘法三元组贡献值(a_i,h,b_i,h,c_i,h)，其中c_i,h＝a_i,h×b_i,h，采用签名私钥sk_i对三元组贡献值(a_i,h,b_i,h,c_i,h)生成签名σ(a_i,h)、σ(b_i,h)和σ(c_i,h)，得到H个三元组参数<A_h>＝{a_i,h,σ(a_i,h)}_{i＝1,2,…,N}、<B_h>＝{b_i,h,σ(b_i,h)}_{i＝1,2,…,N}、<C_h>＝{c_i,h,σ(c_i,h)}_{i＝1,2,…,N}，记三元组参数中每个贡献值a_i,h、b_i,h、c_i,h的签名序号分别为w_{a_i,h}＝N×N_R+3h-2、w_{b_i,h}＝N×N_R+3h-1、w_{c_i,h}＝N×N_R+3h，每个贡献值对应的签名验证函数分别为

表示三元组参数签名验证函数的自变量；

S4：N个参与方P_i对安全多方计算中的每个输入进行输入共享，具体方法为：记输入X对应的参与方为P_i，则参与方P_i为输入X配置掩码

计算输入X的贡献值

其中

贡献值x_i的签名为

签名验证函数

其他参与方P_i′令输入X的贡献值为

其中i′＝1,2,…,N&i′≠i，贡献值x_i′的签名为

签名验证函数

S5：各个参与方P_i执行其持有的计算算术电路，得到计算结果z_i，并计算对应签名σ(z_i)和签名验证函数

计算算术电路中包含加法电路和乘法电路，在加法电路中执行本地计算，在乘法电路中需要通过消耗三元组将乘法操作转换为线性操作，其中：

加法电路的具体执行过程为：N个参与方P_i联合计算

其中

分别表示加法电路的两个输入，记每个参与方P_i所拥有的输入

和

的贡献值为

和

其签名分别为

对应签名验证函数为

和

各个参与方令本地计算结果

对应签名

对应签名验证函数

乘法电路的具体执行过程为：N个参与方P_i联合计算

其中

分别表示乘法电路的两个输入，记每个参与方P_i所拥有的输入

和

的贡献值为

和

其签名分别为

对应签名验证函数为

和

N个参与方P_i联合选定一个可用乘法三元组记为(a^mul,b^mul,c^mul)，每个参与方P_i对该乘法三元组的贡献值为

其签名分别为

对应的签名验证函数为

每个参与方P_i广播自己的计算值

然后每个参与方P_i分别计算中间值

中间值

即中间值ε和中间值ρ对所有参与方为打开状态，每个参与方P_i令乘法计算结果

对应签名

对应签名验证函数

S6：记步骤S5中所有参与方在乘法阶段的打开值为{u₁,u₂,…,u_D}，其中u_d为第d个打开值，d＝1,2,…,D，D＝2N_M，记每个打开值u_d中由参与方P_i提供的贡献值为u_d,i，满足

将贡献值u_d,i计算时所使用的乘法三元组参数的签名作为贡献值u_d,i的签名σ(u_d,i)，将所使用的乘法三元组参数的签名验证函数作为贡献值u_d,i的签名函数

采用如下方法对乘法阶段打开值进行检验：

S6.1：N个参与方P_i协同生成D个随机值k_d；

S6.2：每个参与方P_i计算得到本地融合打开值

系数k_d为预设的属于域

的参数，然后采用如下方法对融合打开值h_i进行签名，得到签名σ(h_i)：

参与方P_i广播签名σ(h_i)、融合打开值h_i和其对应的签名认证函数

其中c_w表示签名验证函数f_h,i中自变量

的系数，γ为常数项；

S6.3：每个参与方P_j在接收到其他参与方P_i广播的广播签名σ(h_i)、融合打开值h_i和其对应的签名认证函数

根据验证密钥vk_j＝(v_j,α_j,{β_j,w}_{w＝1,2,…,W})采用如下方法进行检验：

计算检验参数

检查等式

是否成立，其中σ(h_i)[n]是签名σ(h_i)中第n维分量，如果成立，则检验通过，否则检验不通过；

S7：判断步骤S6中的乘法阶段打开值检验是否通过，如果所有打开值均检验通过，则进入步骤S8，否则进入步骤S9，多方计算中止，并输出未检验通过的打开值对应的参与方身份；

S8：采用如下方法进行可验证的计算结果共享：

S8.1：每个参与方P_i对其电路计算结果z_i进行秘密共享，具体方法为：预先设置秘密所属域Z_p，令z_i∈Z_p，其中p和(p-1)/2为素数；每个参与方P_j选择并广播随机数q_j；然后参与方P_i随机选取N/2个随机数t₁,t₂,…,t_N2，计算检验辅助参数

和

并广播，其中n′＝1,2,…,N/2，g为预设的域Z_p的生成元；参与方P_i计算向参与方P_j的共享值

并发送给参与方P_j，参与方P_j在接收到共享值z_i,j后，判断

是否成立，如果成立，则检验通过，否则检验不通过，参与方P_j广播参与方P_i进行错误共享的消息；

S8.2：如果有参与方在秘密共享时存在检验不通过，则进入步骤S8.3，如果所有参与方在秘密共享时均检验通过，则进入步骤8.4；

S8.3：当有参与方P_j广播参与方P_i进行错误共享的消息时，参与方P_i采用零知识证明算法证明自己发送给参与方P_j的是正确共享值，证明过程向所有参与方公开，如果参与方P_i能够提供正确证明，则其他参与方联合判定参与方P_i′为恶意方，否则其他参与方联合判定参与方P_i为恶意方；证明结束后多方计算中止；

S8.4：每个参与方生成计算结果z_i的签名广播值

并进行广播，σ(z_i)[n]表示计算结果z_i签名σ(z_i)的第n维分量；每个参与方P_j在接收到参与方P_i的计算结果广播值

和计算结果签名广播值

后，根据验证密钥vk_j＝(v_j,α_j,{β_j,w}_{w＝1,2,…,W})采用如下方法进行检验：

记计算结果z_i的签名验证函数

其中c′_w表示签名验证函数

中自变量

的系数，γ′为常数项；计算检验参数

检查等式

是否成立，如果成立，则检验通过，进入步骤S8.4，否则检验不通过，参与方P_j广播参与方P_i为恶意方的消息，多方计算中止；

S8.5：每个参与方P_i分别广播其计算结果，记参与方P_i的广播计算结果为

其他参与方在接收到广播计算结果

后，判断

是否与步骤S8.1中广播的

一致，即是否

如果一致，则不做任何操作，如果不一致，则广播参与方P_i为恶意方，进入步骤S8.6；

S8.6：判断当前被声称为恶意方的参与方数量是否大于N/2，如果是，则安全多方计算中止，否则进入步骤S8.7；

S8.7：基于拉格朗日插值算法对恶意方的计算结果进行恢复，恢复成功则安全多方计算完成，否则安全多方计算中止，并输出恶意方身份。

2.根据权利要求1所述的安全多方计算方法，其特征在于，所述步骤S8.6中，恶意方计算结果恢复的具体方法如下：

1)记待恢复的参与方为

初始化次数t＝1；

2)随机选择N/2个诚实方构成重构小组，用于提供重构数据；

3)基于拉格朗日插值算法对参与方

的计算结果进行重构，具体方法如下：

记当前重构小组中N/2个诚实方为

其中i_n′表示这N/2个诚实方的原始序号，记其在步骤S8.1中得到的参与方

的共享值为

记其在步骤S8.1中广播的随机数为

将共享值为随机数构成N/2个点值对

基于这N/2个点值对

拟合得到拉格朗日多项式，然后再每个参与方P_j广播的随机数q_j，基于拉格朗日多项式得到对应的重构共享值

4)对参与方

的重构共享值

进行输入一致性检验，具体方法为：判断是否

如果是则检验通过，进入步骤5)，否则检验不通过，进入步骤6)；

6)计算重构参与方

的计算结果

7)判断是否t＜N/2，如果是，进入步骤8)，否则重构失败；

8)筛选出属于重构小组且在步骤4)中未通过输入一致性检验的参与方，从剩余诚实方中随机选择诚实方对其进行替换，对重构小组进行更新，然后令t＝t+1，返回步骤3)。

Images