基于合作的高效安全两方计算系统及计算方法技术方案

本发明专利技术公开了一种基于合作的高效安全两方计算系统及方法，包括：函数无关预处理模块，为通信双方预生成安全计算所需的可验证的随机比特分享份额和输入线路的标签对集合；函数相关预处理模块，参与方分别担任混淆方，为前半电路和后半电路分别生成可验证的混淆电路分享份额；输入预处理模块，计算方获取电路各输入线路真值掩饰值形式对应的标签集合；电路分析模块，参与方依次担任计算方，分别恢复和分析前半电路、后半电路的混淆电路，验证电路计算的正确性；输出模块，通信双方从输出线路标签获取对应掩饰值并恢复输出真值。该系统能保证电路计算正确性和输入隐私性，且通信复杂度低，参与双方平摊计算压力，安全计算效率高，可以抵御恶意敌手。可以抵御恶意敌手。可以抵御恶意敌手。

【技术实现步骤摘要】
基于合作的高效安全两方计算系统及计算方法


[0001]本专利技术涉及数据安全和隐私保护
，特别涉及一种基于合作的高效安全两方计算系统及计算方法。

技术介绍

[0002]安全多方计算协议(SecureMulti
‑
Party Computation，SMPC)允许各参与方在不暴露隐私数据的情况下完成联合计算的任务，通过分离数据所有权和数据使用权解决隐私保护问题。经过多年的发展，安全多方计算协议已经从理论阶段发展为可以应用于实际场景的隐私保护核心技术，是数据安全领域的研究热点之一。
[0003]安全两方计算协议(Two
‑
Party Security Computation，2PC)实现在两个参与方之间完成安全计算任务。一方面，安全两方计算协议是安全多方计算协议实现的基础；另一方面，安全两方计算协议可应用于有隐私保护需求的两方场景，如基因比对、模式匹配等。安全两方计算协议分为通用安全两方计算协议和特定安全两方计算协议。特定安全两方计算协议是在特定应用场景下实现的安全两方计算协议，例如隐私集合求交集技术(Private Set Intersection，PSI)。与特定安全两方计算协议相比，通用安全两方计算协议不受场景限制，拥有更广泛的应用场景，具有重要的现实意义。通用安全两方计算协议的计算模型包括布尔电路和算术电路两种类型。与算术电路相比，布尔电路的硬件实现速度快，效率高。一般而言，异或门和与门的组合具有完备性，可以表示任意函数。因此，布尔电路模型的通用安全两方计算协议具有重要的研究意义。
[0004]通信轮数(round)是指通信双方为了完成计算任务所需进行交互的轮数。在每一轮中，至少有一个通信方可以根据当前轮的交互消息计算得到一些中间信息。通信轮数划分为常数轮和线性轮两种。常数轮是指在有限通信轮数内可以完成计算，不会随着电路深度的增大而增加；线性轮是指通信轮数与电路的深度线性相关，当前轮的计算需要等电路上一层计算的完成。根据轮数的不同，布尔电路模型的通用安全两方计算协议主要划分为基于秘密分享技术实现的安全两方计算协议和基于混淆电路技术实现的安全两方计算协议两大类。基于秘密分享技术实现的安全两方计算协议在线性轮数内完成联合计算任务，实现恶意敌手模型下的安全，具有高吞吐量但高时延的特点。基于混淆电路技术实现的安全两方计算协议在常数轮内完成联合计算任务，实现半诚实敌手模型下的安全，具有低时延但低吞吐量的特点。
[0005]可验证混淆分享方案结合了秘密分享技术和混淆电路技术，是实现恶意敌手模型下安全的混淆方案。具体地，通信双方基于秘密分享技术，分别生成一个混淆电路分享份额。然后，计算方在恢复得到完整混淆电路后可以进行分析工作。基于可验证混淆分享方案实现的安全两方计算协议将秘密分享技术和混淆电路技术的优势相结合，可以在常数轮内完成联合计算任务，实现恶意敌手模型下的安全，旨在达到高吞吐量且低时延的目标，在加强抵御恶意敌手的能力的同时，提升安全计算的效率。现有的可验证混淆电路分享方案包括基于异或无开销混淆技术(Free
‑
XOR)实现的和基于半门混淆技术(Half
‑
Gates)实现的
可验证混淆分享方案。通信复杂度和计算复杂度都达到电路大小级别，因此，高通信复杂度和高计算复杂度这两个问题仍是基于可验证混淆电路分享方案实现的安全两方计算协议效率提升的瓶颈。

技术实现思路

[0006]本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。
[0007]为此，本专利技术的一个目的在于提出一种基于合作的高效安全两方计算系统，该系统在保证电路计算正确性和输入隐私性的前提下，降低通信复杂度，平衡参与方的计算压力，提升安全计算的效率，实现抵御恶意敌手的能力。
[0008]本专利技术的另一个目的在于提出一种基于合作的高效安全两方计算方法。
[0009]为达到上述目的，本专利技术一方面实施例提出了一种基于合作的高效安全两方计算系统，包括：
[0010]函数无关预处理模块，用于为通信双方预生成安全计算所需的可验证的随机比特分享份额和输入线路的标签对集合；
[0011]函数相关预处理模块，用于将参与方分别担任混淆方，为前半电路和后半电路分别生成可验证的混淆电路分享份额；
[0012]输入预处理模块，用于为计算方获取电路各输入线路真值的掩饰值形式对应的标签集合；
[0013]电路分析模块，用于将所述参与方依次担任计算方，分别恢复和分析前半电路和后半电路的混淆电路，并判断电路计算的正确性；
[0014]输出模块，用于为通信双方从输出线路标签获取对应掩饰值，并恢复得到输出真值。
[0015]为达到上述目的，本专利技术另一方面实施例提出了一种基于合作的高效安全两方计算方法，包括以下步骤：
[0016]第一参与方和第二参与方通过各自持有的全局密钥和线路密钥，为电路各输入线路以及与门的门输出线路生成掩码分享份额及其消息验证码，根据布尔电路的拓扑结构，为与门的门输出线路生成掩码运算分享份额及其消息验证码；
[0017]所述第一参与方基于自身持有的全局密钥为前半电路的输入线路生成标签对集合，所述第二参与方基于自身持有的全局密钥为后半电路的输入线路生成标签对集合；
[0018]通过提出的基于Three
‑
Halves混淆电路技术实现的可验证混淆分享方案，所述第一参与方计算生成前半的混淆电路分享份额并发给所述第二参与方，所述第一参与方本地持有的所述第二参与方后半线路掩码分享份额的消息验证码集合作为后半的混淆电路分享份额；所述第二参与方计算生成后半的混淆电路分享份额并发给所述第一参与方，所述第二参与方持有的所述第一参与方前半电路线路掩码分享份额的消息验证码集合作为前半电路混淆分享份额；
[0019]所述第一参与方将对应所述第二参与方输入线路的掩码分享份额及其消息验证码发给所述第二参与方，所述第二参与方验证并恢复前半输入线路中对应自身输入值的线路的掩码，将输入真值的掩饰值形式发给所述第一参与方，所述第一参与方将对应掩饰值的线路标签发给所述第二参与方；
[0020]所述第二参与方将对应所述第一参与方输入线路的掩码分享份额及其消息验证码发给所述第一参与方，所述第一参与方验证并恢复前半输入线路中对应自身输入值的线路的掩码，所述第一参与方将输入真值的掩饰值形式、对应掩饰值的线路标签发给所述第二参与方；
[0021]所述第二参与方本地恢复前半的完整混淆电路，根据前半电路的拓扑结构进行分析，获得前半电路的输出线路掩饰值及其对应的标签集合，将掩饰值集合对应的后半电路输入线路的标签集合发给所述第一参与方；
[0022]所述第一参与方本地恢复后半的完整混淆电路，根据后半电路的拓扑结构进行分析，获得后半电路的输出线路掩饰值及其对应的标签集合，在分析后半混淆电路的同时，所述第一参与方基于前半电路的掩饰值及持有的掩码随机比特份额，与所述第二参与方核对前半电路计算的正确性，如果检查本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于合作的高效安全两方计算系统，其特征在于，包括：函数无关预处理模块，用于为通信双方预生成安全计算所需的可验证的随机比特分享份额和输入线路的标签对集合；函数相关预处理模块，用于将参与方分别担任混淆方，为前半电路和后半电路分别生成可验证的混淆电路分享份额；输入预处理模块，用于为计算方获取电路各输入线路真值的掩饰值形式对应的标签集合；电路分析模块，用于将所述参与方依次担任计算方，分别恢复和分析前半电路和后半电路的混淆电路，并判断电路计算的正确性；输出模块，用于为通信双方从输出线路标签获取对应掩饰值，并恢复得到输出真值。2.根据权利要求1所述的系统，其特征在于，所述函数无关预处理模块进一步用于根据布尔电路中线路的数量，使得所述参与方通过交互和本地计算的方式为电路的各输入线路、与门的门输出线路生成掩码比特分享份额及其消息验证码集合、为与门的门输出线路生成掩码运算比特分享份额及其消息验证码集合、分别为所述前半电路的输入线路和所述后半电路的输入线路生成标签对集合。3.根据权利要求1所述的系统，其特征在于，在所述函数相关预处理模块中，第一参与方和第二参与方为前半布尔电路构造混淆电路，其中，第一参与方基于自己的全局密钥、线路掩码分享份额和线路标签计算生成混淆电路分享份额并发送给第二参与方，第二参与方本地持有另一部分的混淆电路分享份额；第一参与方和第二参与方为后半布尔电路构造混淆电路，其中，第二参与方基于自己的全局密钥、线路掩码分享份额和线路标签计算生成混淆电路分享份额并发送给第一参与方，第一参与方本地持有另一部分的混淆电路分享份额。4.根据权利要求1所述的系统，其特征在于，在所述输入预处理模块中，第一参与方和第二参与方验证输入线路掩码随机比特份额的正确性之后，恢复自己对应的输入线路的线路掩码，分别本地生成自己对应的输入线路掩饰值，发送给另一方，其中，第一参与方将与电路输入线路集合中各输入线路真值的掩饰值形式对应的标签发送给第二参与方。5.根据权利要求1所述的系统，其特征在于，在所述电路分析模块中，第二参与方使用输入线路集合对应的标签集合恢复和分析前半电路的混淆电路，得到前半电路的输出线路集合的对应真值掩饰值以及标签；第二参与方将前半电路的输出线路集合的对应真值掩饰值对应的后半电路的输入线路标签集合以及前半电路的与门输出掩饰值发送给第一参与方；第一参与方使用后半输入线路集合对应的标签集合恢复和分析后半电路的混淆电路，得到后半电路的输出线路集合的对应真值掩饰值以及标签，其中，后半电路的与门输出掩饰值发送给第二参与方，且在恢复和分析混淆电路的同时，第一参与方基于可验证随机比特分享方案的异或同态属性，对前半电路掩饰值计算的正确性进行验证，如果前半电路正确性检验过程发现错误，则直接终止协议；第二参与方基于可验证随机比特分享方案的异或同态属性，对后半电路掩饰值计算的正确性进行验证，其中，如果后半电路的正确性检验过程发现错误，则直接终止协议。6.根据权利要求1所述的系统，其特征在于，所述函数相关预处理模块使所述参与方根
...

【专利技术属性】
技术研发人员：张宗洋，刘翔宇，史可心，刘建伟，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：