秘密随机数生成系统、秘密计算装置、秘密随机数生成方法以及程序制造方法及图纸

不进行近似而生成遵循离散拉普拉斯分布的秘密随机数。秘密计算装置(1

【技术实现步骤摘要】
【国外来华专利技术】秘密随机数生成系统、秘密计算装置、秘密随机数生成方法以及程序


[0001]本专利技术涉及秘密计算技术及隐私(privacy)保护技术。

技术介绍

[0002]近来，在以个人信息为代表的隐私数据的应用需求提高的过程中，能够在保持将信息设为秘密的状态下进行各种计算的秘密计算技术正在受到关注。秘密计算是富有各种应用例的有用的技术(例如，参考非专利文献1)。但是，由于秘密计算保证了计算结果的正确性(合法性)，所以不能覆盖被称为“输出隐私”的计算结果的隐私。为了保护输出隐私，例如需要利用随机噪声的计算结果的搅拌等，在秘密计算中，这样的搅拌、进而随机噪声的生成也成为一个技术课题。
[0003]针对这样的课题，在非专利文献2中，公开了使用秘密计算，生成遵循离散拉普拉斯分布的秘密的随机噪声的方法。由于遵循离散拉普拉斯分布的噪声用于满足被称为差分隐私的输出隐私保护基准，所以非专利文献2可以说是在秘密计算中实现输出隐私保护的有用的技术。
[0004]现有技术文献
[0005]非专利文献
[0006]非专利文献1：桐淵直人，五十嵐大，濱田浩気，菊池亮，
“プログラマブルな
秘密計算
ライブラリ
MEVAL3”，暗号
と
情報
セキュリティシンポジウム
(SCIS)，2018年(桐渊直人，五十岚大，滨田浩气，菊池亮，“可编程的秘密计算程序库MEVAL3”，密码和信息安全研讨会(SCIS)，2018年)
[0007]非专利文献2：C.Dwork,K,Kenthapadi,F.McSherry,I.Mironov,M.Naor,"Our data,ourselves:privacy via distributed noise generation,"Advances in Cryptology,EUROCRYPT,LNCS 4004,pp.486
‑
503,2006.

技术实现思路

[0008]专利技术要解决的课题
[0009]但是，在非专利文献2中，通过利用几何分布对离散拉普拉斯分布进行近似来进行噪声生成，由此存在隐私保护强度会比原来降低的问题。
[0010]本专利技术的目的在于，鉴于上述的技术课题，不进行近似而生成遵循离散拉普拉斯分布的秘密随机数。
[0011]用于解决课题的手段
[0012]为了解决上述课题，本专利技术的一方式的秘密随机数生成系统，是包括多个秘密计算装置、生成遵循参数α的离散拉普拉斯分布的随机数r的隐匿值[r]的秘密随机数生成系统，其中，将α设为大于0且小于1的数，将N为2以上的整数，秘密计算装置包括：比特串生成部，生成由遵循概率(1
‑
α)/(1+α)的伯努利分布的随机数比特b0的隐匿值[b0]、和分别遵循
概率(1
‑
α)的伯努利分布的随机数比特b1,
…
,b
N
的隐匿值[b1],
…
,[b
N
]构成的隐匿值的列[b0],[b1],
…
,[b
N
]；绝对值决定部，获得随机数比特b0,b1,
…
,b
N
中从开头开始观察而最初被设定了1的位置L的隐匿值[L]；以及代码(code)决定部，获得对隐匿值[L]乘以随机的代码s的隐匿值[s]而得到的结果[L
·
s]，作为随机数r的隐匿值[r]。
[0013]专利技术的效果
[0014]根据本专利技术，能够不进行近似而生成遵循离散拉普拉斯分布的秘密随机数。通过使用该秘密随机数进行计算结果的搅拌，能够提高秘密计算中的输出隐私的保护强度。
附图说明
[0015]图1是例示秘密随机数生成系统的功能结构的图。
[0016]图2是例示秘密计算装置的功能结构的图。
[0017]图3是例示秘密随机数生成方法的处理过程的图。
[0018]图4是例示计算机的功能结构的图。
具体实施方式
[0019]首先，对本专利技术中作为前提的现有技术进行说明。
[0020]<秘密计算>
[0021]秘密计算是保持对数值进行加密或隐匿的状态下进行计算的技术(例如非专利文献1)。以下，将对某个值
·
进行了隐匿得到的值称为“隐匿值”，表示为[
·
]。在秘密计算中，能够计算隐匿值[a]、[b]的加法运算[a+b]、减法运算[a
‑
b]以及乘法运算[a
·
b]。另外，特别是在a、b为真假值(1比特的值)的情况下，能够计算异或[a XOR b]、逻辑积[a AND b]以及逻辑和[a OR b]。
[0022]已知有利用以上的性质，通过秘密计算实现更复杂的处理的方法。以下示出这样的处理中在本专利技术中使用的处理。
[0023]《前缀逻辑和(Prefix
‑
OR)》
[0024]如果使用逻辑和的计算，则对于作为比特串(a1,
…
,a
n
)的隐匿值的([a1],
…
,[a
n
])，能够求出比特串(b1,
…
,b
n
)的隐匿值([b1]＝[a1],[b2]＝[a
1 OR a2],
…
,[b
n
]＝[a1OR a
2 OR
…
ORa
n
])。此时，对于在某个i中初次成为a
i
＝1且其以前的a1,
…
,a
i
‑1全部为0的任意的比特串(a1,
…
,a
n
)，比特串(b1,
…
,b
n
)成为满足b1,
…
,b
i
‑1＝0且b
i
,
…
,b
n
＝1的比特串。
[0025]《均匀随机数生成》
[0026]根据参考文献1、2，能够不知道原来的随机数r而生成均匀随机数r的隐匿值[r]。
[0027]〔参考文献1〕R.Cramer,I.Damgard,and Y.Ishai,"Share conversion,pseudorandom secret
‑
sharing and applications to secure computation,"Theory of Cryptography,LNCS 3378,pp.342
‑
362,2005.
[0028]〔参考文献2〕J.Bar
‑
Ilan and D.Beaver,"Non
‑
cryptographic fault
‑
tolerant本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种秘密随机数生成系统，是包括多个秘密计算装置、生成遵循参数α的离散拉普拉斯分布的随机数r的隐匿值[r]的秘密随机数生成系统，其中，将α设为大于0且小于1的数，将N为2以上的整数，所述秘密计算装置包括：比特串生成部，生成由遵循概率(1
‑
α)/(1+α)的伯努利分布的随机数比特b0的隐匿值[b0]、和分别遵循概率(1
‑
α)的伯努利分布的随机数比特b1,
…
,b
N
的隐匿值[b1],
…
,[b
N
]构成的隐匿值的列[b0],[b1],
…
,[b
N
]；绝对值决定部，获得所述随机数比特b0,b1,
…
,b
N
中从开头开始观察而最初被设定了1的位置L的隐匿值[L]；以及代码决定部，获得对所述隐匿值[L]乘以随机的代码s的隐匿值[s]而得到的结果[L
·
s]，作为所述随机数r的隐匿值[r]。2.根据权利要求1所述的秘密随机数生成系统，其中，将Z
p
设为位数p的有限域，将i设为0以上且N以下的各整数，所述比特串生成部包括：区间设定部，设定|I|/p成为伯努利分布的概率附近的区间I；随机数生成部，对于各整数i，生成所述有限域Z
p
上的随机数r
i
的隐匿值[r
i
]；以及间隔测试部，对于各整数i，使用所述隐匿值[r
i
]，生成对所述随机数r
i
是否包含在所述区间I中进行判定而得到的结果，作为所述隐匿值[b
i
]。3.根据权利要求2所述的秘密随机数生成系统，其中，所述绝对值决定部包括：前缀逻辑和部，对于各整数i，将计算[b0]OR
…
OR[b
i
]得到的结果作为隐匿值[c
i
]，生成隐匿值的列[c0],[c1],
…
,[c
N
]；以及比特反转总和部，生成计算Σ
i
(1
‑
[c
i
...

【专利技术属性】
技术研发人员：市川敦谦，
申请(专利权)人：日本电信电话株式会社，
类型：发明
国别省市：