第3秘密计算装置生成与对于第1输入值mA以及运算符*满足mA=s*t的片断t的各比特b对应的各数据Wb、和与各比特b的各反向比特(1-b)对应的各数据W(1-b),并且将数据Wb发送到第1秘密计算装置,将包含数据Wb以及数据W(1-b)的数据W发送到第2秘密计算装置。第2秘密计算装置使用满足mA=s*t的片断s和逻辑电路函数f以及数据W,生成隐藏了片断s嵌入到逻辑电路函数f的逻辑电路函数f(s*X)的数据T,根据该数据T和数据Wb能够求出运算结果f(mA),将数据T发送到第1秘密计算装置。第1秘密计算装置使用数据T和数据Wb计算运算结果f(mA)。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及密文应用技术,特别涉及在隐藏了输入值的前提下获得对于该输入值 的运算结果的技术。
技术介绍
在非专利文献1中公开了在隐藏了输入值的前提下获得运算结果的技术。图1是 表示使用了非专利文献1中公开的技术的秘密计算系统的结构的方框图。参照图1,秘密计 算系统具有秘密计算装置81A和秘密计算装置81B。秘密计算装置81A拥有逻辑电路函数f (X,y)和成为χ的输入的比特串mA。秘密 计算装置81B同样拥有逻辑电路函数f(x,y)和成为y的输入的比特串mB。通过秘密计算装置81A和秘密计算装置81B相互进行通信,秘密计算装置81A、81B 的任一方或者双方获得逻辑电路函数f(x,y)的运算结果f(mA,mB),而不是秘密计算装置 81A获得能够容易恢复mB的数据,也不是秘密计算装置81B获得能够容易恢复mA的数据。另外,逻辑电路函数f(x,y)可以由一个或者多个逻辑门电路g的组合来实现。逻 辑门电路g对所输入的一个或者两个比特进行规定的逻辑运算,并输出表示其结果的一个 比特。逻辑门电路的例子是AND门(“与”门)、0R门(“或”门)等。此外,将各逻辑门电 路g的输入输出序列称为引线,将输入侧的引线称为输入引线,将输出侧的引线称为输出 引线。概述非专利文献1所公开的方法。以下,作为一例,举出秘密计算装置81A用于获 得f(mA,mB)的处理步骤。拥有逻辑电路函数f (x,y)和成为y的输入的比特串mB的秘密计算装置B,通过隐 藏构成逻辑电路函数f(x,y)的各逻辑门电路的真值表,从而隐藏逻辑电路函数f(x,y)。逻辑门电路的真值表如下。另外,在“与”门的例子中,g(0,0) =g(0,l) =g(l, 0) = 0,g(l,l) = 1。输入引线输出引线0,0 g(0,0) 0,1 g(0,l)1,0g(l,0)1,1g(l,l)在隐藏逻辑门电路时,秘密计算装置B对各输入引线和输出引线分别对应与各引 线的值对应的固定长度的随机数、和与各引线的值对应的随机比特的组。并且,使用相对应 的(固定长度的随机数,随机比特)再次构成真值表,从而隐藏真值表。但是,仅凭此,即使 是不知道各引线的值与(固定长度的随机数,随机比特)的对应的人,也能够根据与输出引 线对应的(固定长度的随机数,随机比特)的组合来推测出逻辑门电路的内容。因此,使用 伪随机函数进行进一步隐藏。由此,能够隐藏逻辑门电路。并且,通过对构成逻辑电路函数f (X,mB)的各逻辑门电路执行同样的隐藏,从而能够隐藏逻辑电路函·改 f (x, mB) ο具体地说,秘密计算装置B通过执行以下的(a) (山,隐丨藏逻辑电路函数f(x,mB)。 m(a)秘密计算装置81B对逻辑电路函数f(x,mB)的各引线i生成固定长度的随机效 Wi0, Wi1,并使其分别与0、1对应。(b)接_:,秘密计算装置81B生成随机比特Ci e {0,1}。Ci作为随机化的标签来使用。(c)进而,秘密计算装置8IB使({w,0,4{w};Cl))与引线i.对应。这里,设c = l-c。另外,< α,β >表示α对应于β 。(d)接_:,秘密计算装置81Β对于以i、j作为输入引线,以k作为输出引线的逻辑门电路g,生成4个附标签数据C,,C,:(町_,g(0,0)十。十々(。) &),c 'cj (Wkgi0'l), g(0,i) Θ c,) Θ Fw (c;) Θ Fwj (ct),C^cj: (r/(1-0), g(l,0) Θ c,) Θ Fw! (Cj) Θ Fwl (c,),C1,cJ : (Wkg{l'l\g(U) Θ Ci) Φ Fwl (C;) θ Fw] (Ct),并且生成将这些附标签数据排列成随机的顺序的数据Tg。这里,将冒号的左侧设 为标签,将右侧设为数据,Fw(X)是以X、W作为输入,对X、W输出唯一确定的固定长度的随 机数的函数(伪随机函数)。此外,α十β表示α和β的“异或”。此外,(α,β)θγ表示α和β的比特联结值α I β与Y的“异或”。此外,与逻辑电路函数f的最后级的门电路g对应的Tg的Ck设定为0。上述这样的Tg对构成逻辑电路函数f(x,mB)的各门电路生成,所生成的Tg的集合 T作为逻辑电路函数f (X,mB)的隐藏数据被发送到秘密计算装置81A。拥有成为χ的输入的比特串mA的秘密计算装置81A与秘密计算装置81B执行 l-out-of-2不经意传输协议。由此,秘密计算装置81A获得对应于以mA的比特b e {0,1} 作为输入的引线的数据〈%*,6Θ .〉。接着,秘密计算装置8IA使用从秘密计算装置8IB接收到的数据Tg和(W^b C^i,计算逻辑电路函数f的最后级的逻辑门电路g的引线的输出〈Ocfc〉。进而,秘密计算装置8IA根据{W^b ^CkxJ获得运算结果f (mA, mB)的比特6。在上述处理步骤中的步骤C1-3中,秘密计算装置81A在被提供了与输入引线i、 j、输出引线k的门电路对应的数据Tg和(i/e{0,l})(1)时,首先根据数据Tg取出与标签{b^c^dQCj)对应的数据十 )十厂—办十…(2 )。并且,秘密计算装置81A计算十。) 々ΟΘ _)(3)。秘密计算装置81Α进行式⑵和式(3)的“异或”,获得与输出引线对应的数据9(fT/(M),g(U)十 Ci)(4)。然后,秘密计算装置81A例如将与输出引线对应的数据作为其他逻辑门电路的 输入引线的一个数据,并对其他逻辑门电路也进行同样的处理,最终获得f的最后级的逻 辑门电路g的引线的输出。通过将与逻辑电路函数f的最后级的门电路g对应的Tg的Ck设定为0,成为(Wk' ,b ck) = (Wk' j Θ 0〉=〈时,巧,因此,秘密计算装置81Α在步骤C1-4中,能够获得b 。如以上说明的那样,在非专利文献1的方法中,需要在第2步骤中秘密计算装置 8IA和秘密计算装置8IB执行l-out-of-2不经意传输协议。l-out-of-2不经意传输协议 是具有以下特征的协议,在秘密计算装置81B拥有数据dQ、Cl1,秘密计算装置81A拥有比特 b时,秘密计算装置81A能够获得db,但不能获得d-b,并且秘密计算装置81B不能获得b。通过使用这样的协议,能够防止从秘密计算 装置81A对秘密计算装置81B泄漏mA的比特b,并且能够防止Tg中所隐藏的逻辑电路函数 f(x,mB)的信息泄漏给秘密计算装置81A。另外,该协议的细节在非专利文献2中有说明。在非专利文献3中公开了隐藏输入值的前提下获得运算结果的其他技术。图2是 表示使用非专利文献3所公开的技术的秘密计算系统的结构的方框图。参照图2,秘密计算 系统具有多个变换装置QO1 90n和秘密计算装置91A、91B。通过两个秘密计算装置91A、 91B构成秘密计算装置组91。由秘密计算装置91A、91B构成的秘密计算装置组91使用各变换装置QO1 90N所 拥有的数据mn(l彡η彡N),求逻辑电路函数f (Xl,. . . , χΝ)的运算结果f On1,. . .,mN),而不 获得能够容易恢复输入值mn的数据。以下,概述该处理步骤。首先,秘密计算装置91B通过执行以下的(a) (d),隐藏逻辑本文档来自技高网...
【技术保护点】
一种秘密计算系统,在第1输入值mA被隐藏的前提下,计算逻辑电路函数f对于该第1输入值mA的运算结果f(mA),该秘密计算系统包括第1秘密计算装置、存储了所述逻辑电路函数f的第2秘密计算装置、以及第3秘密计算装置,所述第3秘密计算装置包括:生成与对于所述第1输入值mA以及运算符*满足mA=s*t的片断t的各比特b对应的各数据Wb、和与所述各比特b的各反向比特(1-b)对应的各数据W(1-b)的部件;将所述数据Wb发送到所述第1秘密计算装置的部件;以及不特别指定所述比特b以及反向比特(1-b)与所述数据Wb以及所述数据W(1-b)的对应,将包含所述数据Wb以及所述数据W(1-b)的数据W发送到所述第2秘密计算装置的部件,所述第2秘密计算装置包括:使用满足mA=s*t的片断s和所述逻辑电路函数f以及所述数据W,生成隐藏了所述片断s嵌入到所述逻辑电路函数f的逻辑电路函数f(s*X)的数据T的部件,根据该数据T和所述数据Wb能够求出所述运算结果f(mA);以及将所述数据T发送到所述第1秘密计算装置的部件,所述第1秘密计算装置包括:输入所述数据T和所述数据Wb的部件;以及使用所述数据T和所述数据Wb计算所述运算结果f(mA)的部件。...
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:千田浩司,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。