WO2020034755A1

WO2020034755A1 - 多方安全计算方法及装置、电子设备

Info

Publication number: WO2020034755A1
Application number: PCT/CN2019/092340
Authority: WO
Inventors: 李漓春; 殷山; 王华忠; 林文珍
Original assignee: 阿里巴巴集团控股有限公司
Priority date: 2018-08-14
Filing date: 2019-06-21
Publication date: 2020-02-20
Also published as: TWI733125B; CN109241016B; US11206132B2; US20210051001A1; EP3779717A1; EP3779717B1; CN109241016A; TW202009777A; EP3779717A4; SG11202010756PA

Abstract

一种多方安全计算方法，应用于分布式网络中部署的任一计算节点；所述分布式网络部署了多个计算节点，所述多个计算节点基于各自持有的隐私数据共同参与多方安全计算；其中，所述计算节点对接了可信密钥源；所述方法包括：从所述可信密钥源获取可信密钥；基于获取到的所述可信密钥对持有的隐私数据进行加密得到密文数据；至少将所述密文数据作为计算参数发送至参与多方安全计算的其它计算节点，以由所述其它计算节点基于收集到的由参与多方安全计算的各计算节点发送的计算参数执行多方安全计算。

Description

多方安全计算方法及装置、电子设备

技术领域

本说明书一个或多个实施例涉及分布式计算领域，尤其涉及一种多方安全计算方法及装置、电子设备。

背景技术

多方安全计算是一种密码学技术，参与计算的多方可以通过执行一个多方安全计算算法，基于各自持有的输入数据来共同进行安全计算，得到出一个计算结果，而不向其它各方泄露持有的输入数据。

多方安全计算算法，虽然能保护隐私数据，但不正确甚至恶意的算法实现，仍然可能会泄露隐私数据。最理想情况下，各方可以自行开发自己的多方安全计算软件，并各自利用各自开发的多方安全计算软件来参与多方安全计算。然而，在实际应用中，各方通常使用的可能是一个提供商提供的多方安全计算软件；因此，对于提供商而言，则需要证明其提供的多方安全计算软件是可信的，没有泄露隐私数据。

发明内容

本说明书提出一种多方安全计算方法，应用于分布式网络中部署的任一计算节点；所述分布式网络部署了多个计算节点，所述多个计算节点基于各自持有的隐私数据共同参与多方安全计算；其中，所述计算节点对接了可信密钥源；所述方法包括：

从所述可信密钥源获取可信密钥；

基于获取到的所述可信密钥对持有的隐私数据进行加密得到密文数据；

至少将所述密文数据作为计算参数发送至参与多方安全计算的其它计算节点，以由所述其它计算节点基于收集到的由参与多方安全计算的各计算节点发送的计算参数执行多方安全计算。

可选的，还包括：

创建与本计算节点发送至其它计算节点的密文数据对应的审计日志；其中，所述审计日志记录了与所述密文数据相关的描述信息。

可选的，还包括：

收集参与多方安全计算的其它各计算节点发送的计算参数；其中，该计算参数至少包括由其它各计算节点对持有的隐私数据进行加密得到的密文数据；

基于收集到的计算参数执行多方安全计算；以及，

创建与所述其它各计算节点发送的密文数据对应的审计日志；其中，所述审计日志包括与加密后的隐私数据相关的描述信息。

可选的，还包括：

基于所述审计日志对参与多方安全计算的计算节点发送的密文数据进行隐私审计，确认所述计算节点发送的作为计算参数的密文数据是否存在隐私泄露风险；

或者，将所述审计日志发送至第三方的审计节点，以由所述审计节点对参与多方安全计算的计算节点发送的作为计算参数的密文数据进行隐私审计，确认所述计算节点发送的作为计算参数的密文数据是否存在隐私泄露风险。

可选的，与所述密文数据相关的描述信息，包括：与所述密文数据对应的加密密钥；

所述基于所述审计日志对参与多方安全计算的计算节点发送的密文数据进行隐私审计，确认所述计算节点发送的作为计算参数的密文数据是否存在隐私泄露风险，包括：

校验所述审计日志中记录的，与参与多方安全计算的计算节点发送的密文数据对应的加密密钥，是否匹配来自所述可信密钥源的可信密钥；

如果是，确认所述计算节点发送的作为计算参数的密文数据不存在隐私泄露风险；

如果否，确认所述计算节点发送的作为计算参数的密文数据存在隐私泄露风险。

可选的，其中，与本计算节点发送至所述其它计算节点的密文数据对应的审计日志中，还记录了与密文数据对应的解密密钥、以及与所述密文数据对应的明文数据；

所述方法还包括：

基于所述审计日志中记录的，与参与多方安全计算的计算节点发送的密文数据对应的解密密钥，对所述密文数据进行解密得到明文数据；

校验解密后的明文数据与所述审计日志中记录的与所述密文数据对应的明文数据是否匹配；

可选的，所述可信密钥为随机数；

从所述可信密钥源获取可信密钥，包括以下中的任一：

获取由所述可信密钥源生成的随机数作为所述可信密钥；

获取由所述可信密钥源生成的随机数，将由所述可信密钥源生成的随机数，与本计算节点生成的随机数进一步进行运算得到的结果，作为所述可信密钥；

获取由所述可信密钥源生成的随机数，将所述随机数输入密钥生成函数计算得到的随机数作为所述可信密钥；

获取由所述可信密钥源生成的随机数，将所述随机数输入密钥生成函数计算得到的随机数，与本计算节点生成的随机数进一步进行运算得到的结果，作为所述可信密钥。

本说明书还提出一种多方安全计算装置，应用于分布式网络中部署的任一计算节点；所述分布式网络部署了多个计算节点，所述多个计算节点基于各自持有的隐私数据共同参与多方安全计算；其中，所述计算节点对接了可信密钥源；所述方法包括：

获取模块，从所述可信密钥源获取可信密钥；

加密模块，基于获取到的所述可信密钥对持有的隐私数据进行加密得到密文数据；

发送模块，至少将所述密文数据作为计算参数发送至参与多方安全计算的其它计算节点，以由所述其它计算节点基于收集到的由参与多方安全计算的各计算节点发送的计算参数执行多方安全计算。

可选的，还包括：

创建模块，创建与本计算节点发送至其它计算节点的密文数据对应的审计日志；其中，所述审计日志记录了与所述密文数据相关的描述信息。

可选的，还包括：

收集模块，收集参与多方安全计算的其它各计算节点发送的计算参数；其中，该计算参数至少包括由其它各计算节点对持有的隐私数据进行加密得到的密文数据；

计算模块，基于收集到的计算参数执行多方安全计算；

所述创建模块进一步：

可选的，还包括：

审计模块，基于所述审计日志对参与多方安全计算的计算节点发送的密文数据进行隐私审计，确认所述计算节点发送的作为计算参数的密文数据是否存在隐私泄露风险；

所述审计模块进一步：

可选的，所述可信密钥为随机数；

获取由所述可信密钥源生成的随机数作为所述可信密钥；

本说明书还提出一种电子设备，包括：

处理器；

用于存储机器可执行指令的存储器；

其中，通过读取并执行所述存储器存储的与多方安全计算的控制逻辑对应的机器可执行指令，所述处理器被促使：

从所述可信密钥源获取可信密钥；

通过以上技术方案，由于参与多方安全计算的各计算节点，可以从对接的可信密钥源获取可信密钥，并基于该可信密钥对持有的隐私数据进行加密得到密文数据，然后将该密文数据作为计算参数，发送给参与多方安全计算的其它计算节点来执行多方安全计算，使得计算节点在对持有的隐私数据进行加密计算时，可以不再使用搭载的多方安全计算算法在本地生成的密钥，而是使用从对接的可信密钥源获取到的可信密钥，从而可以避免恶意的多方安全计算算法基于持有的隐私数据来构造密钥对隐私数据进行加密，而造成的隐私泄露的风险。

附图说明

图1是一示例性实施例提供的一种多方安全计算方法的流程图。

图2是一示例性实施例提供的一种电子设备的结构示意图。

图3是一示例性实施例提供的一种多方安全计算装置的框图。

具体实施方式

对于搭载诸如同态加密、混淆电路等多方安全计算算法的计算节点而言，通常会基于搭载的随机算法生成一个或者多个随机数作为随机密钥，并使用生成的随机密钥对持有的隐私数据进行加密计算得到密文数据，然后将计算得到的密文数据作为计算参数，传输给参与多方安全计算的其它计算节点。

而在实际应用中，恶意的多方安全算法，可能会使用参与多方安全计算的其它计算节点持有的已知密钥，来加密持有的隐私数据；进而，通过这种方式，在将密文数据发送给其它参与多方安全计算的其它计算节点时，其它计算节点就可以基于持有的已知密钥对该密文数据进行解密，获取到由其它计算节点持有的隐私数据，从而造成隐私泄露。

基于此，本说明书中则旨在提出一种，基于来自可信密钥源的可信密钥对持有的隐私数据进行加密，以避免基于参与多方安全计算的计算节点持有的已知密钥对隐私数据进行加密而造成的隐私泄露的技术方案。

在实现时，分布式网络中的计算节点，除了可以搭载由提供商提供的多方安全计算算法以外，还可以分别对接一个可信密钥源；其中，上述可信密钥源可以是由各计算节点的运营方独立开发的密钥源，也可以是由上述提供商以外的可信第三方开发的密钥源。

各计算节点在基于持有的隐私数据参与多方安全计算时，可以从对接的可信密钥源中，获取一个可信密钥，并基于该可信密钥对持有的隐私数据进行加密得到密文数据，然后至少将该密文数据作为计算参数，发送至分布式网络中参与多方安全计算的其它各计算节点，由其它计算节点基于收集到的由参与多方安全计算的各计算节点发送的计算参数来执行多方安全计算。

下面通过具体实施例并结合具体的应用场景对本说明书进行描述。

请参考图1，图1是本说明书一实施例提供的一种多方安全计算方法，应用于分布式网络中部署的任一计算节点；上述分布式网络部署了多个计算节点，上述多个计算节点基于各自持有的隐私数据共同参与多方安全计算；其中，所述分布式网络中部署的各计算节点分别对接了可信密钥源；所述多方安全计算方法执行以下步骤：

步骤102，从所述可信密钥源获取可信密钥；

步骤104，基于获取到的所述可信密钥对持有的隐私数据进行加密得到密文数据；

步骤106，至少将所述密文数据作为计算参数发送至参与多方安全计算的其它计算节点，以由所述其它计算节点基于收集到的由参与多方安全计算的各计算节点发送的计算参数执行多方安全计算。

上述分布式网络，可以包括能够支撑多方安全计算，且采用了分布式架构的任意形态的数据网络；

例如，在一种场景下，上述分布式网络可以是由若干台计算设备组成的设备集群(比如服务器集群)搭建的多方安全计算平台；

又如，在另一种场景下，上述分布式网络也可以是由若干台节点设备组成的区块链网络；在该区块链网络中可以部署需要由多台节点设备基于持有的隐私数据共同参与多方安全计算，且需要保证持有的隐私数据不公开给其它节点设备的在线业务。其中，上述在线业务的具体类型，在本说明书中不进行特别限定。

上述计算节点，具体可以包括上述分布式网络中，能够搭载上述多方安全计算算法的节点设备。

上述多方安全计算算法，具体可以包括由各计算节点独立开发，或者由提供方统一提供的多方安全计算算法；比如，在实际应用中，上述多方安全计算算法，具体可以对应由各计算节点独立开发，或者由提供方统一提供的多方安全计算软件。

上述计算参数，具体是指由参与多方安全计算的各计算节点，基于搭载的多方安全计算算法生成的，与各计算节点持有的隐私数据相关计算参数；各计算节点需要计算节点之间通过交互消息互相传输生成的计算参数，并基于收集到的各计算节点生成的计算参数来执行多方安全计算。

在实际应用中，上述计算参数通常可以包括：需要参与多方安全计算的随机数；和/或，需要参与多方安全计算的密文数据。

其中，需要说明的是，在实际应用中，上述多方安全计算算法，通常包括诸如秘密分享、同态加密、混淆电路等多方安全计算算法。而上述计算参数所包含的具体内容，通常取决于各计算节点所搭载的多方安全计算算法的具体算法类型。当各节点设备搭载以上列举出的不同算法时，上述计算参数所包含的内容，也会存在一定的差异。

例如，基于秘密分享算法，上述计算参数，通常包括各计算节点将持有的隐私数据拆分出的N个随机数；其中，上述N个随机数包括N-1个独立生成的随机数、和将上述N-1个随机数与持有的隐私数据一起进行运算得到的运算结果(即第N个随机数)。

基于同态加密算法，上述计算参数，通常包括基于持有的密钥对隐私数据进行加密后得到的密文数据。

基于混淆电路算法，上述计算参数，通常包括用于对混淆电路的输入值(即参与计算的输入数据)和输出值分别进行替换的随机数(也称之为输入值和输出值的混淆值)，以及将输入值的混淆值作为密钥，对输出数据的混淆值进行加密后得到的密文数据。

上述可信密钥源，可以包括由各计算节点的运营方独立开发的密钥源，也可以包括由上述提供商以外的可信第三方提供的密钥源；例如，在实际应用中，上述可信密钥源具体可以是一个由各计算节点的运营方独立开发的用于生成可信密钥源的计算机程序(比如，可信密钥生成算法、生成函数，等等),也可以是由上述提供商以外的可信第三方开发的用于生成可信密钥源的计算机程序。

在本说明书中，可以在分布式网络中，部署多个计算节点，各个计算节点作为多方安全计算的参与方，可以通过共同搭载同一种多方安全计算算法，在不泄露各自持有的隐私数据的前提下，来参与多方安全计算。

例如，各个计算节点可以共同搭载由多方安全计算算法的提供商提供的多方安全计算软件，通过该多方安全计算软件进行消息交互，在各个计算节点之间传输参与多方安全计算的密文数据，来参与多方安全计算。

其中，需要说明的是，在本说明书中，各计算节点所搭载的多方安全计算算法具体是指，支持将基于密钥对持有的隐私数据进行加密得到的密文数据作为计算参数，向其它参与多方安全计算的计算节点进行传输的一类算法；例如，同态加密、混淆电路等多方安全计算算法。

上述分布式网络中部署的各个计算节点，除了需要共同搭载上同一种多方安全计算算法以外，还可以分别部署独立的可信密钥源、独立的数据源，结果存储系统、以及日志存储系统。

其中，上述可信密钥源，用于生成随机的可信密钥。

上述数据源，用于存储和维护各个数据节点持有的隐私数据。

上述结果存储系统，用于存储和维护各个数据节点参与多方安全计算最终得到的计算结果。

需要说明的是，在实际应用中，上述可信密钥源，具体也可以是除了上述多方安全计算算法的提供商以外的可信第三方提供的密钥源，在这种情况下，各个计算节点，也可以不再本地部署可信密钥源，而是直接对接第三方的可信密钥源，来获取用于对持有的隐私数据进行加密的可信密钥源。

另外，在一些仅有少量数据参与的安全多方计算中，各个节点设备也可以不需要部署独立的数据源和结果存储系统。在这种情况下，各个计算节点，可以直接获取用户通过操作界面输入的数据作为数据源，并将最终的多方安全计算的计算结果，通过该操作界面向用户输出即可。

上述日志存储系统，用于存储和维护由各个数据节点创建的与计算参数相关的审计日志。

需要说明的是，对于创建的审计日志，也可以存储在第三方的存储设备或者存储系统中，在这种情况下，各个计算节点本地则可以不需要部署独立的日志存储系统；也即，在实际应用中，审计日志的生成节点和存储节点，可以相同也可以不同，在本说明书中不进行特别限定。

对于参与多方安全计算的任一目标计算节点而言，在与其它各计算节点共同完成多方安全计算时，首先可以从部署的数据源中读取需要参与多方安全计算的隐私数据，并从上述可信密钥源获取一个可信密钥；

然后，可以基于获取到的可信密钥，对读取到的隐私数据进行加密计算，生成与持有的隐私数据对应的密文数据。

其中，需要说明的是，可信密钥源生成的可信密钥，通常是基于密钥函数生成的一个随机数。

在示出的一种实施方式中，上述目标计算节点在从可信密钥源获取可信密钥时，可以直接获取可信密钥源生成的随机数作为可信密钥；或者，也可以仅从可信密钥源获取用于生成随机数的随机数(即用于生成随机数的随机数种子)，在本地将该随机数输入密钥生成函数进行计算，然后将计算得到的随机数作为可信密钥。

在示出的另一种实施方式中，上述目标计算节点在从可信密钥源获取可信密钥时，也可以将从可信密钥源获取到的随机数，与基于搭载的密钥生成函数在本地生成的随机数，进一步进行运算得到的结果，作为可信密钥；或者，也可以将从可信密钥源获取到的随机数输入密钥生成函数计算生成的随机数，与基于搭载的随机数生成函数在本地生成的随机数(即采用本地生成的随机数种子进行随机数计算)，进一步进行运算得到的结果，作为可信密钥。

当上述目标计算节点基于获取到的可信密钥，对读取到的隐私数据进行加密计算，生成与持有的隐私数据对应的密文数据之后，上述目标计算节点可以基于搭载的多方安全计算算法现有的消息交互机制，来构建交互消息，至少将生成的密文数据作为计算参数，发送至参与多方安全计算的其它计算节点。

而其它计算节点可以收集由参与多方安全计算的各计算节点通过交互消息发送的计算参数，并基于收集到的计算参数，来执行多方安全计算，然后将计算结果在本地部署的上述结果存储系统中进行存储。

相应的，上述目标计算节点也可以收集由参与多方安全计算的各计算节点，通过交互消息发送的计算参数，并基于收集到的计算参数，来执行多方安全计算，然后将计算结果在本地部署的上述结果存储系统中进行存储。

其中，需要说明的是，参与多方安全计算的各计算节点，在基于收集到的计算参数执行多方安全计算的计算过程，通常取决于各计算节点所搭载的多方安全计算算法的具体算法类型，不同类型的多方安全计算算法所涉及的计算过程通常会存在一定的差异。

以下分别以各计算节点搭载的多方安全计算算法为同态加密算法、混淆电路算法为例，对以上列举出的各种算法的算法逻辑进行简要描述。

1)同态加密算法

同态加密(homomorphic encryption)算法，是一类能在密文状态下进行数据运算的加密算法。在不解密也不需使用解密密钥情况下，对密文进行计算，也可以得到基于明文进行计算得到的计算结果的密文。

例如，对a的同态加密密文E(a)和b的同态加密密文E(b)进行运算，可以得到a+b的密文E(a+b)，且操作过程中不会泄露a、b或a+b，也不需要使用解密的密钥对密文进行解密。

如果上述分布式网络中部署的各计算节点，所搭载的多方安全计算算法为同态加密算法，上述目标计算节点在从部署的数据源中读取到需要参与多方安全计算的隐私数据S之后，基于同态加密算法现有的计算逻辑，通常会基于同态加密算法生成一对同态加密的加密密钥PK和解密密钥SK。

而在本说明书中，上述加密密钥PK和解密密钥SK可以不再由同态加密算法生成，而是由计算节点本地部署的可信密钥源来生成。

在这种情况下，上述目标计算节点可以从本地部署的可信密钥源来获取上述加密密钥PK和解密密钥SK作为可信密钥，并基于上述加密密钥PK对上述隐私数据进行加密生成密文数据，然后基于同态加密算法现有的消息交互机制，来构建交互消息，将生成的上述密文数据，分别发送给其它参与多方安全计算的各计算节点。

一方面，其它各计算节点，也可以采用相同的方式，从部署的可信密钥源获取一对同态加密的加密密钥PK和解密密钥SK作为可信密钥，基于加密密钥PK对从本地部署的数据源中读取的隐私数据进行加密得到密文数据，并收集各计算节点发送的对各自持有的隐私数据进行加密后得到的密文数据，然后将收集到的由其它各计算节点发送的密文数据，和本地生成的密文数据一起按照约定好的运算逻辑进行计算，得到对各个计算节点各自持有的隐私数据进行多方安全计算的最终计算结果对应的密文数据(上述其它各计算节点无法在其本地解密该密文数据)。

当得到与最终计算结果对应的密文数据后，其它各计算节点可以将与最终计算结果对应的密文数据，向各节点设备进行广播。而当上述目标计算节点在收到与最终计算结果对应的密文数据后，可以基于上述解密密钥SK对收到的与最终计算结果对应的密文数据进行解密，得到最终计算结果的明文数据，然后将上述最终计算结果的明文数据在本地部署的结果存储系统中进行存储。

另一方面，上述目标计算节点，也可以收集其它各计算节点发送的对各自持有的隐私数据进行加密后得到的密文数据，然后将收集到的由其它各计算节点发送的密文数据，和本地生成的密文数据一起按照约定好的运算逻辑进行计算，得到对各个计算节点各自持有的隐私数据进行多方安全计算的最终计算结果对应的密文数据(上述目标计算节点无法在其本地解密该密文数据)。

当得到与最终计算结果对应的密文数据后，上述目标计算节点可以将与最终计算结果对应的密文数据，向其它各计算节点进行广播。而当其它各计算节点在收到与最终计算结果对应的密文数据后，可以基于上述解密密钥SK对收到的与最终计算结果对应的密文数据进行解密，得到最终计算结果的明文数据，然后将上述最终计算结果的明文数据在本地部署的结果存储系统中进行存储。

其中，需要说明的是，各计算节点约定好的运算逻辑，仍然取决于实际的多方安全计算需求，在本说明书中不进行特别限定。但基于同态加密算法，任何运算逻辑，都可以分解为加法同态加密、乘法同态加密等基础的运算。

2)混淆电路算法

混淆电路算法，原理是通过用计算机模拟ASIC集成电路，来实现多方安全计算。任何多方安全计算任务，都可以用为其设计的ASIC集成电路来实现。即可以按照多方安全计算任务对应的运算逻辑，利用多个运算门(与门、异或门等基础运算门)连接起来，模拟出与上述运算逻辑对应的门电路，然后使用门电路来进行运算。

基于混淆电路算法，通常将多方安全计算任务对应的运算逻辑表示为门电路，并对上述门电路的每条运算线路进行加密，加密后的上述门电路称为混淆电路。最终通过用计算机来执行混淆电路的运算，来实现多方安全计算。

在基于混淆电路算法来实现多方安全计算时，参与多方安全计算的计算节点，通常会被划分为混淆电路生成方，和混淆电路的执行方两种角色。

例如，在一个由K个计算节点参与的多方安全计算中，通常会由其中的K-1个计算节点作为电路生成方，来生成混淆电路，而剩余的一个计算节点作为混淆电路的执行方，来执行混淆电路的运算，来得到最终的计算结果。

如果上述分布式网络中部署的各计算节点，所搭载的多方安全计算算法为混淆电路算法，首先可以将与多方安全计算任务对应的运算逻辑，表示为门电路；

其中，由于该运算逻辑需要由多个计算节点基于各自持有的隐私数据来共同参数，对于每一个计算节点而言，可能仅能够对应上述门电路中的一个或者其中几个运算门，其持有的隐私数据可能仅能够作为上述门电路中的一个或者其中几个运算门的输入数据。

进一步的，上述目标计算节点在从部署的数据源中读取到需要参与多方安全计算的隐私数据S之后，可以将读取到的隐私数据S，作为该目标计算节点在上述门电路中对应的运算门的输入值，在上述运算门中进行运算，得到上述运算门的输出值。

其中，在实际应用中，上述门电路中每个运算门的运算逻辑，都可以用

真值表来表示和执行。一张真值表用于记录该运算门的输入线路取任何输入值时，输出线路得到的输出值。真值表中的每一行对应输入线路的一种输入值组合。而为了在门电路的运算中隐藏该运算门中各运算线路的真实值：

一方面，基于混淆电路算法现有的计算逻辑，上述目标计算节点，通常可以基于混淆电路算法搭载的随机函数在本地生成随机数，对上述运算门的真值表中的输入值和输出值分别进行替换；其中，替换后的随机数称之为混淆值。

而在本说明书中，上述用于对运算门的真值表中的输入值和输出值进行替换的随机数，可以不再由混淆电路算法搭载的随机函数在本地生成，而是由计算节点本地部署的可信密钥源来生成。

在这种情况下，上述目标计算节点，可以从上述可信密钥源来获取随机数，并基于获取到的随机数对上述真值表中的输入值和输出值进行替换。

另一方面，上述目标计算节点，还可以将上述运算门的输入值对应的混淆值作为密钥，对上述运算门的真值表中的输出值的混淆值进行加密得到密文数据，并基于该密文数据对原来真值表中的输出值的混淆值进行替换，得到一张混淆真值表；或者，也可以基于该密文数据单独创建一张混淆真值表(即混淆真值表中仅包括该密文数据)。

第三方面，上述目标计算节点，还可以打乱上述混淆真值表中的每一行的顺序。

当上述目标计算节点完成以上三方面的针对上述门电路中对应的运算门的真值表的混淆替换后，此时上述混淆电路生成完毕，上述目标计算节点可以基于混淆电路现有的消息交互机制，来构建交互消息，上述目标计算节点在上述门电路中对应的运算门的输入值对应的混淆值，以及将上述运算门的输入值对应的混淆值作为密钥，对上述运算门的真值表中的输出值的混淆值进行加密得到的密文数据作为计算参数，发送给作为混淆电路执行方的计算节点。

例如，在实际应用中，在基于混淆电路算法来实现多方安全计算时，通常会将混淆电路算法与不经意传输技术进行结合，上述目标计算节点在向作为作为混淆电路执行方的计算节点发送计算参数时，一方面，可以通常可以将上述混淆真值表采用明文发送的形式，直接发送给作为混淆电路执行方的计算节点；另一方面，可以采用不经意传输技术，将上述目标计算节点在上述门电路中对应的运算门的输入值对应的混淆值，通过模糊化的传送方式，发送给作为混淆电路执行方的计算节点；其中，基于不经意传输技术向作为混淆电路执行方的计算节点传输数据的具体实施过程，在本说明书中不再进行详述，本领域技术人员在将本说明书的技术方案付诸实现时，可以参考相关技术中的记载。

而作为混淆电路执行方的计算节点，在收到各计算节点发送的计算参数后，可以根据各计算节点在上述门电路中对应的运算门的输入值对应的混淆值，对与各计算节点在上述门电路中对应的运算门的混淆真值表中记录的密文数据进行解密，得到各计算节点在上述门电路中对应的运算门的输出值的混淆值。

最后，作为混淆电路执行方的计算节点，可以基于最终解密出的上述门电路中的各个运算门的输出值的混淆值后，可以逐级进行运算，得到上述门电路最终的输出值对应的混淆值，然后可以将该混淆值作为最终的计算结果，发送给其它的各计算节点。

上述目标计算计算在收到与门电路最终的输出值对应的混淆值后，可以查询真值表，基于混淆值与真正的输出值之间的对应关系，得到与该混淆值对应的输出值，并将该输出值作为多方安全计算的最终计算结果的原始值，在本地部署的结果存储系统中进行存储。

对于上述分布式网络中部署的各计算节点而言，当完成了以上示出的多方安全计算过程，还可以将存储在上述结果存储系统中的计算结果，向计算节点的管理用户进行可视化输出。

在本说明书中，对于搭载诸如同态加密、混淆电路等多方安全计算算法的计算节点之间，通常传输携带大量的密文的交互消息，而即便对于多方安全计算算法的使用者而言，通常也很难理解以上交互消息中携带的密文的具体含义

基于此，在本说明书中，当上述目标节点设备在基于搭载的多方安全计算算法的现有的消息交互机制，通过构建交互消息，将生成的密文数据作为计算参数发送给参与多方安全计算的各计算节点时，还可以在本地创建与发送的密文数据相关的审计日志，并将创建的审计日志，在本地部署的日志存储系统中进行存储。

其中，上述审计日志，具体可以用于记录向参与多方安全计算的各计算节点发送的密文数据相关的描述信息；

在示出的一种实施方式中，计算节点需要向其它参与多方安全计算的计算节点发送的计算参数，通常是携带在该计算节点所构建的交互消息中的消息字段中，因此可以在审计日志中记录计算节点所构建的交互消息中，每一个字段的具体含义，以及与每一个字段相关的描述信息，以供审计使用。

相应的，当上述目标节点设备在接收到由其它各计算节点通过构建的交互消息发送的至少包括对持有的隐私数据进行加密得到的密文数据的计算参数时，也可以在本地创建与其它各计算节点发送的密文数据相关的审计日志，并将创建的审计日志，在本地部署的日志存储系统中进行存储。

例如，对于部署在上述分布式网络中的各计算节点而言，通常搭载了同一多方安全计算算法，因此各计算节点构建的交互消息通常遵循相同的消息格式；因此，上述目标计算节点在收到其它各计算节点发送的交互消息后，可以按照标准的消息格式对该交互消息进行解析，生成相应的审计日志，并在审计日志中记录该交互消息中的每一个字段的具体含义。

在本说明书中，上述审计日志中记录的与上述密文数据相关的描述信息，可以涵盖任意形式的，能够证明与该密文数据对应的加密密钥，为来自上述可信密钥源的可信密钥的描述信息，在本说明书中不进行特别限定。

在示出的一种实施方式中，上述审计日志中记录的与上述密文数据相关的描述信息，具体可以包括与上述密文数据对应的加密密钥；从而，在基于日志存储系统中存储的审计日志，对各计算节点发送的密文数据进行隐私审计时，可以直接审计该审计日志中记录的与上述密文数据对应的加密密钥，是否为来源于上述可信密钥源的可信密钥，来确认该密文数据是否存在隐私泄露的风险。

其中，在一些场景下，除了加密密钥以外，上述审计日志中，还可以携带对上述密文数据进行解密的解密密钥；甚至，还可以携带上述密文数据的明文数据。

例如，在一种实现方式中，计算节点创建的与本地发送给其它各计算节点的密文数据相关的审计日志，和计算节点创建的与接收到的其它各计算节点发送的密文数据相关的审计日志，所记录的与密文数据相关的描述信息，可以存在一定的差异。

由于多方安全计算节点，各个计算节点采用的输入数据，通常需要向其它参与多方安全计算的计算节点严格保密；因此，计算节点创建的与它各计算节点发送的密文数据相关的审计日志中，可以仅记录与该密文数据相关的加密密钥。而对于计算节点创建的与本地发送给其它各计算节点的计算参数相关的审计日志中，则除了可以记录该密文数据的加密密钥，还可以记录该密文数据的解密密钥，以及该密文数据的明文数据。

通过这种方式，使得计算节点的管理用户，可以基于审计日志记录的解密密钥，对该计算节点在本地生成的作为计算参数的密文数据进行解密后，来进一步校验解密后的明文数据，与审计日志中记录的计算参数的明文数据是否一致，来审计该算节点搭载的多方安全计算算法，是否在用户不知情的情况下，在传输的密文数据中恶意添加了隐私数据，以此来提升算法的可审计性。

在本说明书中，对于上述分布式网络中部署的各计算节点而言，可能共同使用由多方安全计算算法的提供方所提供的多方安全算法，虽然多方安全算法本身是用于保护隐私数据的算法，但不正确甚至恶意的算法实现，仍然可能会存在隐私数据泄露的风险。

例如，在一种场景下，恶意的多方安全计算算法，可能会在使用用户不知情的情况下，选择使用其它参与方已知的密钥来加密需要向其它各计算节点传输的隐私数据，使得接收方可以通过已知的密钥解密数据，获得其它计算节点持有的隐私数据；

在本说明书中，对于上述分布式网络中部署的各计算节点而言，可以基于上述日志存储系统中存储的审计日志，对各计算节点搭载的多方安全算法进行隐私审计(也可以仅对本节点搭载的多方安全算法，或者各计算节点中某一指定的计算节点搭载的多方安全算法进行隐私审计)，来确定各计算节点发送的密文数据，是否存在隐私泄露的风险。

当然，在实际应用中，对各计算节点搭载的多方安全算法进行隐私审计，也可以由第三方的审计节点来完成；在这种情况下，上述分布式网络中部署的各计算节点，可以将上述日志存储系统中所述审计日志，发送给上述审计节点(比如可以主动发送审计日志，也可以由审计节点来主动调用审计日志)，由上述第三方的审计节点基于接收到的审计日志，对各计算节点搭载的多方安全算法进行隐私审计，来确定各计算节点发送的计算参数，是否存在隐私泄露的风险。

例如，在一种场景下，各计算节点搭载由提供商提供的多方安全计算算法，并由各计算节点的运营方，来独立的部署审计节点，用于对提供商提供的多方安全计算算法进行隐私审计。

其中，对各计算节点搭载的多方安全算法进行隐私审计的审计逻辑，取决于上述审计日志中记录的与密文数据相关的描述信息的具体内容；

在示出的一种实施方式中，上述审计日志中记录的与上述密文数据相关的描述信息，具体可以包括与上述密文数据对应的加密密钥。

在这种场景下，计算节点可以从本地部署的日志存储系统中，读取参与多方安全计算的各计算节点发送的作为计算参数的密文数据对应的审计日志，并基于读取到的审计日志中记录的，与上述密文数据对应的加密密钥，来校验该加密密钥，是否匹配来自部署的可信密钥源的可信密钥；

例如，在实际应用中，可信密钥源在生成作为可信密钥的随机数时，通常是在预设的随机数取值空间中，采用随机抽取的方式，随机抽取一个随机数作为可信密钥；因此，在校验审计日志中记录的与上述密文数据对应的加密密钥，是否匹配来自部署的可信密钥源的可信密钥时，具体可以将作为该加密密钥的随机数取值，与上述随机数取值空间进行匹配，来确定该加密密钥的随机数取值，是否在上述随机数取值空间的取值范围之内；如果是，表明该加密密钥的随机数取值，是从上述随机数取值空间的取值范围内，抽取的随机数，此时该加密密钥为来自可信密钥源的可信密钥；反之，则表明该加密密钥的随机数取值，并不是从上述随机数取值空间的取值范围内，抽取的随机数，此时该加密密钥可能并不是来自可信密钥源的可信密钥。

如果经过校验确认，上述密文数据对应的加密密钥来自可信密钥源的可信密钥，则上述密文数据对应的加密密钥并不是其它各计算节点持有的已知密钥，此时上述密文数据并不存在隐私泄露的风险；反之，如果经过校验确认，上述密文数据对应的加密密钥并不来自可信密钥源的可信密钥，则上述密文数据对应的加密密钥有可能其它各计算节点持有的已知密钥，此时上述密文数据存在隐私泄露的风险。

通过这种方式，使得计算节点通过对本地部署的日志存储系统中的审计日志进行简易的审计，就可以确认作为计算参数的密文数据对应的密钥，是否为来自可信密钥源的可信密钥，从而可以及时发现隐私泄露的风险。

当然，在一些场景下，如果上述审计日志中，除了携带加密密钥以外，还携带了对上述密文数据进行解密的解密密钥，以及上述密文数据的明文数据，此时计算节点还可以基于读取到的审计日志中记录的，与上述密文数据对应的解密密钥，以及上述密文数据的明文数据，进一步对上述密文数据进行安全校验，来确认上述密文数据是否被搭载的多方安全计算算法，恶意添加了隐私数据；

例如，在实际应用中，可以基于审计日志记录的解密密钥，对该计算节点在本地生成的作为计算参数的密文数据进行解密后，来进一步校验解密后的计算参数的明文数据，是否与审计日志中记录的计算参数的明文数据是否一致，来审计该计算节点搭载的多方安全计算算法，是否在用户不知情的情况下，在传输的作为计算参数的密文数据中恶意添加了隐私数据；如果一致，表明该计算节点搭载的由提供商提供的多方安全计算算法的实现逻辑，与该多方安全计算算法的设计一致，该密文数据不存在隐私泄露风险；如果不一致，表明该计算节点搭载的由算法提供方提供的多方安全计算算法，可能在用户不知情的情况下，在传输的计算参数中恶意添加了隐私数据，此时该密文数据存在隐私泄露的风险。

通过这种方式，使得计算节点通过对本地部署的日志存储系统中的审计日志进行简易的审计，就可以确认作为计算参数的密文数据中，是否被搭载的多方安全算法恶意添加了隐私数据，从而可以及时发现隐私泄露的风险。

与上述方法实施例相对应，本说明书还提供了一种多方安全计算装置的实施例。本说明书的多方安全计算装置的实施例可以应用在电子设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在电子设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图2所示，为本说明书的多方安全计算装置所在电子设备的一种硬件结构图，除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的电子设备通常根据该电子设备的实际功能，还可以包括其他硬件，对此不再赘述。

图3是本说明书一示例性实施例示出的一种多方安全计算装置的框图。

请参考图3，所述多方安全计算装置30可以应用在前述图2所示的电子设备中，包括有：获取模块301、加密模块302、和发送模块303。

获取模块301，从所述可信密钥源获取可信密钥；

加密模块302，基于获取到的所述可信密钥对持有的隐私数据进行加密得到密文数据；

发送模块303，至少将所述密文数据作为计算参数发送至参与多方安全计算的其它计算节点，以由所述其它计算节点基于收集到的由参与多方安全计算的各计算节点发送的计算参数执行多方安全计算。

在本实施例中，所述装置30还包括：

创建模块304(图3中未示出)，创建与本计算节点发送至其它计算节点的密文数据对应的审计日志；其中，所述审计日志记录了与所述密文数据相关的描述信息。

在本实施例中，所述装置30还包括：

收集模块305(图3中未示出)，收集参与多方安全计算的其它各计算节点发送的计算参数；其中，该计算参数至少包括由其它各计算节点对持有的隐私数据进行加密得到的密文数据；

计算模块306(图3中未示出)，基于收集到的计算参数执行多方安全计算；

所述创建模块304进一步：

在本实施例中，所述装置30还包括：

审计模块307，基于所述审计日志对参与多方安全计算的计算节点发送的密文数据进行隐私审计，确认所述计算节点发送的作为计算参数的密文数据是否存在隐私泄露风险；

在本实施例中，与所述密文数据相关的描述信息，包括：与所述密文数据对应的加密密钥；

所述审计模块307进一步：

在本实施例中，其中，与本计算节点发送至所述其它计算节点的密文数据对应的审计日志中，还记录了与密文数据对应的解密密钥、以及与所述密文数据对应的明文数据；

所述审计模块307进一步：

在本实施例中，所述可信密钥为随机数；

从所述可信密钥源获取可信密钥，包括以下中的任一：

获取由所述可信密钥源生成的随机数作为所述可信密钥；

上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

上述实施例阐明的系统、装置、模块或模块，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

与上述方法实施例相对应，本说明书还提供了一种电子设备的实施例。该电子设备包括：处理器以及用于存储机器可执行指令的存储器；其中，处理器和存储器通常通过内部总线相互连接。在其他可能的实现方式中，所述设备还可能包括外部接口，以能够与其他设备或者部件进行通信。

在本实施例中，通过读取并执行所述存储器存储的与多方安全计算的控制逻辑对应的机器可执行指令，所述处理器被促使：

从所述可信密钥源获取可信密钥；

基于收集到的计算参数执行多方安全计算；以及，

基于所述审计日志对参与多方安全计算的计算节点发送的密文数据进行隐私审计，确认所述计算节点发送的作为计算参数的密文数据是否存在隐私泄露风险。

通过读取并执行所述存储器存储的与多方安全计算的控制逻辑对应的机器可执行指令，所述处理器被促使：

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本说明书的真正范围和精神由下面的权利要求指出。

应当理解的是，本说明书并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。

以上所述仅为本说明书的较佳实施例而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。

Claims

一种多方安全计算方法，应用于分布式网络中部署的任一计算节点；所述分布式网络部署了多个计算节点，所述多个计算节点基于各自持有的隐私数据共同参与多方安全计算；其中，所述计算节点对接了可信密钥源；所述方法包括：

从所述可信密钥源获取可信密钥；

基于获取到的所述可信密钥对持有的隐私数据进行加密得到密文数据；

至少将所述密文数据作为计算参数发送至参与多方安全计算的其它计算节点，以由所述其它计算节点基于收集到的由参与多方安全计算的各计算节点发送的计算参数执行多方安全计算。
根据权利要求1所述的方法，还包括：

创建与本计算节点发送至其它计算节点的密文数据对应的审计日志；其中，所述审计日志记录了与所述密文数据相关的描述信息。
根据权利要求2所述的方法，还包括：

收集参与多方安全计算的其它各计算节点发送的计算参数；其中，该计算参数至少包括由其它各计算节点对持有的隐私数据进行加密得到的密文数据；

基于收集到的计算参数执行多方安全计算；以及，

创建与所述其它各计算节点发送的密文数据对应的审计日志；其中，所述审计日志包括与加密后的隐私数据相关的描述信息。
根据权利要求2或3所述的方法，还包括：

基于所述审计日志对参与多方安全计算的计算节点发送的密文数据进行隐私审计，确认所述计算节点发送的作为计算参数的密文数据是否存在隐私泄露风险；

或者，将所述审计日志发送至第三方的审计节点，以由所述审计节点对参与多方安全计算的计算节点发送的作为计算参数的密文数据进行隐私审计，确认所述计算节点发送的作为计算参数的密文数据是否存在隐私泄露风险。
根据权利要求4所述的方法，与所述密文数据相关的描述信息，包括：与所述密文数据对应的加密密钥；

所述基于所述审计日志对参与多方安全计算的计算节点发送的密文数据进行隐私审计，确认所述计算节点发送的作为计算参数的密文数据是否存在隐私泄露风险，包括：

校验所述审计日志中记录的，与参与多方安全计算的计算节点发送的密文数据对应的加密密钥，是否匹配来自所述可信密钥源的可信密钥；

如果是，确认所述计算节点发送的作为计算参数的密文数据不存在隐私泄露风险；

如果否，确认所述计算节点发送的作为计算参数的密文数据存在隐私泄露风险。
根据权利要求5所述的方法，其中，与本计算节点发送至所述其它计算节点的密文数据对应的审计日志中，还记录了与密文数据对应的解密密钥、以及与所述密文数据对应的明文数据；

所述方法还包括：

基于所述审计日志中记录的，与参与多方安全计算的计算节点发送的密文数据对应的解密密钥，对所述密文数据进行解密得到明文数据；

校验解密后的明文数据与所述审计日志中记录的与所述密文数据对应的明文数据是否匹配；

如果是，确认所述计算节点发送的作为计算参数的密文数据不存在隐私泄露风险；

如果否，确认所述计算节点发送的作为计算参数的密文数据存在隐私泄露风险。
根据权利要求1所述的方法，所述可信密钥为随机数；

从所述可信密钥源获取可信密钥，包括以下中的任一：

获取由所述可信密钥源生成的随机数作为所述可信密钥；

获取由所述可信密钥源生成的随机数，将由所述可信密钥源生成的随机数，与本计算节点生成的随机数进一步进行运算得到的结果，作为所述可信密钥；

获取由所述可信密钥源生成的随机数，将所述随机数输入密钥生成函数计算得到的随机数作为所述可信密钥；

获取由所述可信密钥源生成的随机数，将所述随机数输入密钥生成函数计算得到的随机数，与本计算节点生成的随机数进一步进行运算得到的结果，作为所述可信密钥。
一种多方安全计算装置，应用于分布式网络中部署的任一计算节点；所述分布式网络部署了多个计算节点，所述多个计算节点基于各自持有的隐私数据共同参与多方安全计算；其中，所述计算节点对接了可信密钥源；所述方法包括：

获取模块，从所述可信密钥源获取可信密钥；

加密模块，基于获取到的所述可信密钥对持有的隐私数据进行加密得到密文数据；

发送模块，至少将所述密文数据作为计算参数发送至参与多方安全计算的其它计算节点，以由所述其它计算节点基于收集到的由参与多方安全计算的各计算节点发送的计算参数执行多方安全计算。
根据权利要求8所述的装置，还包括：

创建模块，创建与本计算节点发送至其它计算节点的密文数据对应的审计日志；其中，所述审计日志记录了与所述密文数据相关的描述信息。
根据权利要求9所述的装置，还包括：

收集模块，收集参与多方安全计算的其它各计算节点发送的计算参数；其中，该计算参数至少包括由其它各计算节点对持有的隐私数据进行加密得到的密文数据；

计算模块，基于收集到的计算参数执行多方安全计算；

所述创建模块进一步：

创建与所述其它各计算节点发送的密文数据对应的审计日志；其中，所述审计日志包括与加密后的隐私数据相关的描述信息。
根据权利要求10所述的装置，还包括：

审计模块，基于所述审计日志对参与多方安全计算的计算节点发送的密文数据进行隐私审计，确认所述计算节点发送的作为计算参数的密文数据是否存在隐私泄露风险；

或者，将所述审计日志发送至第三方的审计节点，以由所述审计节点对参与多方安全计算的计算节点发送的作为计算参数的密文数据进行隐私审计，确认所述计算节点发送的作为计算参数的密文数据是否存在隐私泄露风险。
根据权利要求10或11所述的装置，与所述密文数据相关的描述信息，包括：与所述密文数据对应的加密密钥；

所述审计模块进一步：

校验所述审计日志中记录的，与参与多方安全计算的计算节点发送的密文数据对应的加密密钥，是否匹配来自所述可信密钥源的可信密钥；

如果是，确认所述计算节点发送的作为计算参数的密文数据不存在隐私泄露风险；

如果否，确认所述计算节点发送的作为计算参数的密文数据存在隐私泄露风险。
根据权利要求12所述的装置，其中，与本计算节点发送至所述其它计算节点的密文数据对应的审计日志中，还记录了与密文数据对应的解密密钥、以及与所述密文数据对应的明文数据；

所述审计模块进一步：

基于所述审计日志中记录的，与参与多方安全计算的计算节点发送的密文数据对应的解密密钥，对所述密文数据进行解密得到明文数据；

校验解密后的明文数据与所述审计日志中记录的与所述密文数据对应的明文数据是否匹配；

如果是，确认所述计算节点发送的作为计算参数的密文数据不存在隐私泄露风险；

如果否，确认所述计算节点发送的作为计算参数的密文数据存在隐私泄露风险。
根据权利要求8所述的装置，所述可信密钥为随机数；

从所述可信密钥源获取可信密钥，包括以下中的任一：

获取由所述可信密钥源生成的随机数作为所述可信密钥；

获取由所述可信密钥源生成的随机数，将由所述可信密钥源生成的随机数，与本计算节点生成的随机数进一步进行运算得到的结果，作为所述可信密钥；

获取由所述可信密钥源生成的随机数，将所述随机数输入密钥生成函数计算得到的随机数作为所述可信密钥；

获取由所述可信密钥源生成的随机数，将所述随机数输入密钥生成函数计算得到的随机数，与本计算节点生成的随机数进一步进行运算得到的结果，作为所述可信密钥。
一种电子设备，包括：

处理器；

用于存储机器可执行指令的存储器；

其中，通过读取并执行所述存储器存储的与多方安全计算的控制逻辑对应的机器可执行指令，所述处理器被促使：

从所述可信密钥源获取可信密钥；

基于获取到的所述可信密钥对持有的隐私数据进行加密得到密文数据；

至少将所述密文数据作为计算参数发送至参与多方安全计算的其它计算节点，以由所述其它计算节点基于收集到的由参与多方安全计算的各计算节点发送的计算参数执行多方安全计算。