【技术实现步骤摘要】
本专利技术属于安全两方计算领域,具体涉及一种基于格的加密技术,设计出在不泄露任意参与方私有数据(向量)的前提下,两个参与方合作计算出所持数据(向量)的内积的方法。
技术介绍
1、姚期智(a.c.yao)于1982年在著名的“百万富翁”问题中提出了安全多方计算(mpc)问题,其旨在解决一组互不信任、拥有隐私数据的参与方之间的协同计算问题。随后,许多安全多方计算模型是根据不同适用场景和不同需求提出的。
2、我们这里考虑两方安全计算向量内积的通信协议,即,通信一方p1拥有秘密向量u,通信另一方p2拥有秘密向量v,在经过若干轮公开信道上的通信后,p1获得u和v的内积,但不能得到关于v的其他信息,p2不能获得关于u的任何信息,任何不参与通信的第三方也不能得到关于u和v的任何信息。注意到,在数据挖掘、神经网络和机器学习等领域中,许多问题都被抽象为向量内积计算模型,例如计算两个用向量形式表出的样本点的相似度可以使用余弦相似性度量,即计算两个向量夹角的余弦值,且会涉及向量内积计算。因此如何安全地实现两方私密向量的内积运算是被工业界高度关注的问题。
3、另一方面,自1994年shor提出结合量子计算机高效破解离散对数问题、大整数因子分解问题的算法以来,后量子两方安全计算协议的设计一直是重要的研究方向。目前,基于格的密码被广泛认为是最有潜力的后量子密码之一,特别是,格难题往往具有最难情形困难性保证,目前这是其他后量子密码体制所不具有的良好性质。因此,目前后量子安全两方计算协议的构造一般基于计算困难问题:lpn问题、lwe问题
4、由于任意的两方安全计算模型都涉及参与方p1把自己的数据(或与之相关的信息)加密再传给参与方p2的操作,反之亦然,因此我们称一个基于格的安全两方计算协议,通常是指其对私密数据加密的方法是基于格的。现有两方安全计算向量内积的方法存在如下问题:1)大部分两方安全计算向量内积的方法套用的是通用的两方安全计算方法,因此,其结构相较于专门针对向量内积计算的方法而言更为复杂;2)通信轮数多,线上通信效率有待提高。
技术实现思路
1、针对现有技术中存在的技术问题,本专利技术提供了一种基于格的高效的安全计算两方所持向量内积的方法。该方法在半诚实模型下不会泄露任意参与方的隐私数据(向量),使参与双方安全地合作计算出所持数据的内积。本专利技术可以一次性打包隐藏了多个明文,即私密向量的每个元素,大大提高了运算效率;同时,本专利技术提出了单边输出内积的方法,该方法能直接应用于1-out-of-not(oblivious transfer,不经意传输)上;另外,该方法的底层困难问题是lwe问题或模lwe(mlwe)问题,其取决于输入的私密向量所在的环,因此被普遍认为是抗量子的。
2、本专利技术涉及两个参与方,分别用p1、p2表示。问题的形式化定义如下:参与方p1和参与方p2分别持有私密向量u和v,希望通过合作计算得到向量u和v的内积值,且不泄露参与方输入的信息。
3、本专利技术涉及一个公钥加密方案,该加密系统基于regev公钥加密方案(参考文献”on lattices,learning with errors,random linear codes,and cryptography”)修改得到。具体地,本专利技术涉及的公钥加密方案一次性打包加密多个明文,即私密向量的每个元素,进而提高了运算效率。在两个参与方合作计算的过程中,参与方p1首先将自己的私有向量隐藏到部分公钥中,接着p2在此公钥下按该公钥加密方案打包加密自己的私有向量和自己所选的随机数,并将该密文传输给参与方p1;本方案p1是先手,p2需要得到p1的密文(即该加密方案的部分公钥)后生成自己的密文,当p1收到p2的密文后进行解密以获得两方私有向量内积值和p2所选的随机数,最后p1利用该随机数掩盖内积值并把掩盖后的数据发给p2,进而p2可反解出内积值。
4、本专利技术涉及剩余类环当q为正偶数时,选取作为的代表元;当q为正奇数时,选取作为的代表元。
5、本专利技术涉及剩余类环上的多项式环及其商环,对于整系数多项式f(x),记商环其中为剩余类环上的多项式环。
6、本专利技术涉及浮点数近似规则记为最接近x的整数,其中
7、本专利技术的安全两方内积计算包括两个阶段:初始化、执行协议。
8、一、初始化:
9、选取正整数p,q,m,n,其中1<p<q且p与q互素,n是秘密向量的维数;将向量所在的环记为rp,这里rp可以是整数模p的剩余类环或剩余类上的多项式环的商环,即或选取整系数多项式f(x)并记商环为相对应地记为整数模q的剩余类环或选取环rq上的分布χ1,χ2,χ3,χ4,χ5,一般选择离散高斯分布或中心二项分布等高度集中的分布,即当按分布χ1,χ2,χ3,χ4,χ5取rq中的元素时,该元素的绝对值将以很大概率比较小;均匀随机地选取rq上n×m维矩阵将上述选取的p,q,m,n,rq,rp,χ1,χ2,χ3,χ4,χ5和矩阵a作为公开参数公开。
10、二、执行协议,包含以下步骤:
11、步骤1:p1持有的参与运算的n维私有向量记为p2持有的参与运算的n维私有向量记为表示环rp上的n维向量。
12、步骤2:p1生成n维秘密向量其中s′的各分量依分布χ1从环rq中抽取,表示环rq上的n维向量。
13、步骤3:p1生成m维错误向量其中e的各分量依分布χ2从环rq中抽取。
14、步骤4:p1计算并将b发送给p2。
15、步骤5:p2生成m维随机向量其中r的各分量依分布χ3从环rq中抽取。
16、步骤6:p2均匀随机地选取rp上的元素r0。
17、步骤7:p2生成n维错误向量其中e1的各分量依分布χ4从环rq中抽取。
18、步骤8:p2生成错误e2∈rq,其中e2依分布χ5从环rq中抽取。
19、步骤9:p2计算并将c0,c1发送给p1。
20、步骤10:p1计算和并将y=<u,v>-r0发送给p2。最终输出内积结果<u,v>。
21、步骤11:p2计算并输出<u,v>=r0+y。
22、注意到通过合理的参数选取,可以保证的绝对值(或该多项式各系数的绝对值)以设定概率小于1/2;另外通过合理的参数选取,可以保证p<s′,v>+<u,v>modp+p<s,e1>-p<e,r>-pe2的绝对值(或该多项式各系数的绝对值)以设定概率小于进而且(p<s′,v>+<u,v>+p<s,e1>-p<e,r>-pe2mod q)mod p=p<s′,v>+<u,v>+p<s,e1>-p<e,r>-pe2mod p=<u,v>∈rp;即p1、p2正确计算本文档来自技高网...
【技术保护点】
1.一种基于格的安全计算两方持有向量的内积的方法,其步骤包括:
2.一种基于格的1-out-of-n不经意传输方法,其步骤包括:
3.根据权利要求1或2所述的方法,其特征在于,矩阵A由随机选取的伪随机数种子经由选定的伪随机数发生器生成,且公开该伪随机数种子。
4.根据权利要求1或2所述的方法,其特征在于,环Rp,Rq是剩余类上的多项式环的商环。
5.根据权利要求1或2所述的方法,其特征在于,分布χ1=χ2=χ3=χ4=χ5。
6.根据权利要求1或2所述的方法,其特征在于,e的选取方式依赖于ATs的值,e1的选取方式依赖于Ar+v的值,e2的选取方式依赖于bTr的值。
7.根据权利要求1或2所述的方法,其特征在于,分布χ1,χ2,χ3,χ4,χ5为离散高斯分布或中心二项分布。
8.根据权利要求1或2或所述的方法,其特征在于,χ3为形如[-B,B]上的均匀分布,χ4=χ5=0。
9.根据权利要求1所述的方法,其特征在于,当步骤4中选取r0=0时,步骤5中P1不把y发送给P2,步骤3中P2输
...【技术特征摘要】
1.一种基于格的安全计算两方持有向量的内积的方法,其步骤包括:
2.一种基于格的1-out-of-n不经意传输方法,其步骤包括:
3.根据权利要求1或2所述的方法,其特征在于,矩阵a由随机选取的伪随机数种子经由选定的伪随机数发生器生成,且公开该伪随机数种子。
4.根据权利要求1或2所述的方法,其特征在于,环rp,rq是剩余类上的多项式环的商环。
5.根据权利要求1或2所述的方法,其特征在于,分布χ1=χ2=χ3=χ4=χ5。
6.根据权利要...
【专利技术属性】
技术研发人员:潘彦斌,许婧婷,
申请(专利权)人:中国科学院数学与系统科学研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。