1、利用“多”的安全多方計算賈伊迪普動態(tài) Vaidya計算機系科學(xué)與CERIAS普渡大學(xué)250 N大學(xué)圣西拉斐特在479072066 HYPERLINK mailto: 克里斯克利夫頓計算機系科學(xué)與CERIAS普渡大學(xué)250 N大學(xué)圣西拉斐特在479072066 HYPERLINK mailto: 摘要安全多方計算實現(xiàn)與各方數(shù)據(jù)計算的全球協(xié)作功能，同時他們的私人數(shù)據(jù)并沒有被透 露。在折痕關(guān)于敏感數(shù)據(jù)的計算機聯(lián)網(wǎng)，以及提高處理數(shù)據(jù)能力，整

2、合和利用這些數(shù)據(jù)的方法下，使時間實際安全多方計算的時機已經(jīng)成熟。本文調(diào)查的辦法是給出了一個方法，即一個有效的協(xié)議，為雙方使用不受信任的第三方，可用于構(gòu)建一個高效率的同輩對同輩安全的多方協(xié)議。分類和主題描述K.4.4 計算機與社會:電子商務(wù)安全一般條款安全關(guān)鍵詞隱私，多方計算，分布式安全計算1。引言在增強的隱私和安全的新時代意識作用下，安全的分布式計算正在獲得越來越多的張 力。大量存在的情況下，各個方面有本地數(shù)據(jù)，并希望分享這些數(shù)據(jù)獲取全球有益的成果。 但這種愿望往往沖突，共享和整合這些數(shù)據(jù)可能侵犯隱私權(quán)的限制。理論結(jié)果顯示它可以安全地計算幾乎所有功能沒有透露其他以外的任何輸出。然而，在實際執(zhí)行

3、此計算方式是另一個問題。一般方法是對復(fù)雜的操作效率超過大型數(shù)據(jù)集。這促使許多領(lǐng)域?qū)Π踩珔f(xié)議的研究計算的實際效率。重點一直是計算效率，溝通效率，或兩者兼而有之。大部分工作已經(jīng)在兩黨協(xié)議，都是可證明安全和有效的。有三個或更多（越 來越多的）當事人，挑戰(zhàn)（和所謂的機遇）變得更加困難。但是，有希望。我們提出一個方法，其中，通過使對某些假設(shè)有什么可以做得到，不能透露，我們充分利用在多方計算各方很多種。建議對所有問題的具體解決方案是一個非常艱巨的任務(wù)。與其這樣，我們提出一個有效的方法，允許多解的產(chǎn)生提供。?安全兩方解決問題的存在。?未成熟，和可量化的，額外的信息集是可以被發(fā)現(xiàn)。我們首先是安全多方計算和有關(guān)

4、工作的討論簡短評論。在第3節(jié)，我們給出一個通過安全多方計算執(zhí)行的隱私限制非正式的定義，并說明各種辦法，爭取多方計算。我們的方法來產(chǎn)生方協(xié)議是在第 4節(jié)，其次是在第5節(jié)的一些示范性的例子。我們結(jié)束了今后工作的想法 簡短的討論。2。相關(guān)工作目前已在計算工作之間的合作實體互相不信任對方。這可以是任何計算排序： 科學(xué)，數(shù)據(jù)處理，甚至秘密共享。 兩方安全計算姚的首次調(diào)查，后來推廣到多方計算。由戈德賴希等 人的論文證明了一個安全的解決方案存在任何功能。該方法是采用如下：函數(shù)f來計算，首先作為一個方面代表的組合，然后運行為每個門電路中短期協(xié)議。每一個參與者得到（隨機選擇）部分，即輸入和輸出值。 進行沒有關(guān)于

5、輸入的功能，是因為哪一方獲得的份額是隨機 決定的信息。在最后，雙方交換他們的資料，使每個計算獲得最終結(jié)果。該協(xié)議已經(jīng)被證明起到預(yù)期的結(jié)果沒有公布以外的任何其他結(jié)果。這種做法，雖然它的吸引力在SIM卡和通用性，但意味著該議定書的大小對電路，對輸入的大小取決于大小而定。其他一般技術(shù)已經(jīng)被提出來。然而，一般的方法，通常是相當大的投入效率不高，特別是大量的當事人。該電路的評價大投入的成本，導(dǎo)致在一系列的算法更有效地為具體計算功能。許多協(xié)議已經(jīng)發(fā)展到解決具體問題，都在安全文學(xué)出版以及在應(yīng)用領(lǐng)域的文獻。有些包括安全總結(jié)， 數(shù)量積，有些科學(xué)計算，安全并集，安全交集的基數(shù)，私人置換和計算嫡。林德爾和平卡斯研究

6、了計算的水平分區(qū)的使用，這是聰明的泰勒級數(shù)展開的應(yīng)用程序數(shù)據(jù)嫡問題。阿格拉瓦爾等人還獨立提出了計算交點，交點尺寸，加入和參加大型數(shù)據(jù)庫大小的技術(shù)。瑙爾等人定義了一個由多方減少的方案將兩方的解決方案。Kantarcioglu和Vaidya也定義了一個類似的架構(gòu)，使隱私保護多方數(shù)據(jù)挖掘。這兩種假設(shè)所有各方將能夠商定具體各 方的信任，也提升了安全風(fēng)險失去所有的資料，“打擊風(fēng)險”的只有兩個當事人。本文的削減要求，任何兩個雙方必須在至少一個對方同意的信任。這是一個可行的選擇，有必要的外部受信任的第三方，這往往難以實現(xiàn)。杜和阿塔拉是一種安全多方計算問題及其應(yīng)用，而優(yōu)秀的調(diào)查提出一個實用的方法，采用安全的多

7、方的計算，接受對安全的妥協(xié)。我們進一步擴大這一想法。根據(jù)有關(guān)隱私的限制 較為實際的假設(shè)，我們演示了如何利用一個問題（特別是非常復(fù)雜的各方的多樣性），以建立一個有效的解決方案。3。模型的安全多方計算我們現(xiàn)在舉一個品種的安全多方協(xié)議的概述。說明，我們將用一個簡單的和良好的研究例如，標量點積問題。雖然這是一個兩方的問題，想法很容易擴展到更多的方面。問題是，正式定義如下：假設(shè)甲方有載體？ X = （X 1,。時，Xn）和乙方載體？為丫 = （Y1的。，吟）。雙方 希望標量計算的產(chǎn)品（或點積） X Y =Pni=1 Xi _ yi,沒有透露任何有關(guān)X或信息？，這不是沒有 原因的，結(jié)果發(fā)現(xiàn)X Y .與信任

8、的第三方安全協(xié)議最簡單的方法是基于一個信任的存在第三方。一個方面是一個值得信賴的人私人價值可以發(fā)現(xiàn)在不違反隱私限制。如果我們只有一個方面，是由參與者，一個非常簡單的協(xié)議，所有的信任是可用。根本每一方發(fā)送其輸入到受信任的第三方，各個方面的信任和共享的計算結(jié)果。而該相同的協(xié)議，可利用的數(shù)量與本地機構(gòu)無關(guān)。在現(xiàn)實中，許多協(xié)議的工作是這樣的。 一個常見的例子是支付代管。買方發(fā)出支付給托管代理，誰驗證收到付款，并告訴賣方進行交易。只有當貨物交付并支付代管代理發(fā)行。在以上（如地產(chǎn)）復(fù)雜的交易，可能會有額外的當事方，例如按揭公司，以及代管代理人所需 的計算可更為復(fù)雜。這是“黃金標準安全多方計算”。有了這個例

9、子，我們假設(shè)一個值得信賴第三方T , A和B都送他們到T的載體產(chǎn)品執(zhí)行點，并返回結(jié)果。明確地 A和B都沒學(xué)到任何東西，除了 從協(xié)議結(jié)果，也不（假設(shè)保密通信）作出任何除了T,這也是一個普遍有效的協(xié)議。最大的缺點該模型是對失去隱私的-必須有一個方面，保證所有的數(shù)據(jù)可信。法律問題是，商業(yè)秘密和隱私問題結(jié)合起來利用這樣的方面存在疑問，特別是與許多締約方。 安全多方計算的目標大約是在一個可信的情況下建立這種模式。絕對安全的多方協(xié)議與此相反的極端是只進行了一個計算，各方誰擁有數(shù)據(jù)和愿望的結(jié)果。因此，一個安全的兩方協(xié)議是完全進行，是由兩方，如，艾麗斯和鮑勃，不涉及任何在計算其他各方。每個 都有自己的輸出，與

10、別人得到什么無關(guān)。通常情況下，沒有簡單的假設(shè)，這些協(xié)議是非常低效。有幾個在文獻標注產(chǎn)品的有效和安全的協(xié)議標量運算只用兩方產(chǎn)品。該協(xié)議是在完全代數(shù)： 一方添加偶合其價值觀和發(fā)送給對方，而這部分計算和發(fā)送數(shù)據(jù)計算從自己的價值觀回來。由聰明的選擇原偶合， 和正確的價值觀被遣送回原來那方，第一方能夠標量計算的產(chǎn)品。總成本大約是1.5次輸入的大小。此協(xié)議是不完全私人的，因為在協(xié)議中看到隨著外部學(xué)習(xí)的私人資料顯示值的一半，只顯示另一半。其他協(xié)議使用更昂貴的加密方法實現(xiàn)隱私逼近不可信第三方模型，假定各方不“作弊”的執(zhí)行該協(xié)議。計算的SecureMulti的文獻顯示幾乎所有的功能可以私下計算。在這個模型，一般

11、的做法并不規(guī)模。由于好復(fù)雜的問題和對大型數(shù)據(jù)集，從而導(dǎo)致許多專門為特定功能的協(xié)議。我們現(xiàn)在看兩個可供選擇的模式，使實際和有效的解決方案， 同時保持同等程度的隱私。完全安全的多方模式商品服務(wù)器模型不受信任的第三方模型兩方協(xié)議的一個不受信任的第三方一個不受信任的第三方的存在使效率協(xié)議沒有透露私人信息。這個想法的不受信任的第三方，它愿意執(zhí)行某些在協(xié)議的計算（或許為各方費）。這是不可信的數(shù)據(jù)或結(jié)果。在這一 方的信任，它是：1。不得相互串通同與會各方對任何侵犯隱私的信息，2。正確地執(zhí)行該協(xié)議。正確執(zhí)行該協(xié)議只規(guī)定， 以保證正確的結(jié)果，甚至一個不誠實的第三方無法了解個人信 息的相互勾結(jié)的情況下。通常情況下

12、，第三方是在加密的形式提供了一些信息。通過加密， 我們只是說，第三方 不能給它的任何資料在該協(xié)議所涉及的當?shù)馗鞣降脑５谌綀?zhí)行計算的加密數(shù)據(jù)，可能與其他各方的信息交流在這個過程中。最后，計算結(jié)果是加密透露給當?shù)馗鞣剑l能夠解密的結(jié)果。對于我們的產(chǎn)品的協(xié)議標量，考慮以下幾點：A和B共同決定一個（可能是隨機的）置換，N,這是只知道他們的內(nèi)容。A和B也隨機生成一個共同的載體，包括n個元素。現(xiàn)在，A生成的向量X而B生成Y, A和B發(fā)送X和Y不受信任白勺第三方 U。U的計算數(shù)量積S=XY。恒置換兩個向量的數(shù)量不會對產(chǎn)品的影響，只是因為它有效地 改變了補充訂單的總和。因此，S = X Y + X R

13、+ Y R + R R.。A和B也發(fā)送到X和Y。U減去這些來自S來獲得，S0 = -X Y + R R.o u送回來到A和B,誰減去得到最 終結(jié)果。由于沒有R,也不知道到U置換是什么或結(jié)果。此協(xié)議也是非常有效的，由于通信復(fù) 雜性，因為排列隨機向量 R可以用一個隨機生成種子，通信成本為 O （n）,其中n的大小的 載體。兩方協(xié)議服務(wù)器與商品比弗介紹了另一種模式的商品第三方服務(wù)器模型。在此模型中，服務(wù)器會生成一種商品是由雙方所使用的數(shù)據(jù)，使他們能夠“同步”及其議定書。這個信托要求是作為一個不受信任的第三方。關(guān)鍵的實際區(qū)別是，第三方，通常具有較低的計算成本，而不是作為一個不受 信任的第三方商品的服務(wù)

14、器。一個商品的服務(wù)器基礎(chǔ)的協(xié)議是由于在：這個想法是，商品服務(wù)器生成兩個隨機向量，Ra和 Rb,兩個部分 ra, rb,在標準白產(chǎn)品 Ra Rb (i.e., ra + rb = Ra Rb).這一對，(Ra, ra)發(fā)送到A ,而(Rb, rb)發(fā)送到B。A和B進行一涉及這些對計算和自己的投入找到標產(chǎn)品。 完整的協(xié)議是由于在：服務(wù)器協(xié)議是在商品普遍低于協(xié)議的第3.3類高效率。但是，一個有說服力的證明，第三者不知道什么是平凡的，因為它從來沒有得到任何信息。綜述不使用任何其他各方的多方協(xié)議常常很復(fù)雜，效率低下。當一個可信的第三方，使我們能夠輕松地解決問題，這樣一個完全可以信賴的方假設(shè)并不總是現(xiàn)實。

15、協(xié)議使用商品服務(wù)器或不受信任的第三方允許符合隱私權(quán)的限制，實現(xiàn)可接受的性能，優(yōu)雅的解決方案。由第三方協(xié)議的基本假設(shè)是不勾結(jié)：第三方將不符合工作的參與者之一，以侵犯另一個參與者的隱私。不同的計算模型概述圖 1。4。高效多方參加的協(xié)議一個問題與不可信的第三方和商品服務(wù)器協(xié)議是要求外部的一方愿意執(zhí)行計算。雖然這可能是一個有趣的商業(yè)模式在本節(jié)中，但是我們提出一個替代辦法。對于聯(lián)想功能，如果我們稍有松懈的安全保障，我們就可以創(chuàng)造一個任何功能高效率的多方協(xié)議，而我們有一個有效的兩方在不受信任的第三方模型協(xié)議。其基本思想是利用參加者為不可信的第三方。通過選擇什么與會者可以看到他們作為一個不受信任的第三方的角

16、色，我們可以確保他們的學(xué)習(xí)只是一個外部的一方更會。假設(shè)關(guān)閉安全協(xié)議的一般行業(yè)的效率。然而，在安全產(chǎn)生一個大的效率改進小妥協(xié)。此外， 由于這是一個特定的解決方案，而不是一個普通的技術(shù)，它需要實際的兩方協(xié)議將作為插件 使用。這些問題現(xiàn)在討論細節(jié)。功能限制這里介紹的一般方法并不適用于所有的問題。事實上，它是只適用于一類函數(shù)纖維蛋白原(代表我們的一類函數(shù)的一般方法可解)，其定義如下屬性。一個K輸入的公式y(tǒng) = f(x1, . . . , xk)屬于公式Fg,當且僅當y = f(x1, . . . , xk) = x1 x2 xk,并進一步，這就是聯(lián)想。這些函數(shù)的例子包括設(shè)置聯(lián)盟/交集，以及大多數(shù)添加劑

17、/乘法功能。兩個廠商解決方案的協(xié)議 P主要的假設(shè)是，一個有效的安全協(xié)議P的存在是為了解決雙方的問題。該協(xié)議可能使一個不受信任的第三方服務(wù)器或單個商品，即使用，協(xié)議P是在任一節(jié)描述的協(xié)議類協(xié)議 3.3或3.4節(jié)。此協(xié)議P將被用來作為一個插件的一般協(xié)議。它提供的P允許的，而不是原來的結(jié)果，雙方的第三方。這種不對稱的協(xié)議允許使用情況是可逆的，即給予 =預(yù)算外，我們還可 以判斷x的。在這種情況下，對稱的協(xié)議，使該結(jié)果與數(shù)據(jù)將自動侵犯當事人的隱私。協(xié)議 的例子這是在第5條所述的問題。適應(yīng)性協(xié)議P這不是一個實際的協(xié)議，我們提出一個如何建構(gòu)一個協(xié)議，并證明它的安全方法。這就要求納入總體規(guī)劃的協(xié)議 P一體化。

18、小的修改就必須整合到協(xié)議。該協(xié)議P應(yīng)該是合理的修改納入可塑性。這也不是一個真正的假設(shè)，而是一個工程的要求得到整個事情的工作。合謀核心安全的假設(shè)是相同的，在不受信任的第三方需要/服務(wù)器模式的商品。所選擇的第三方不得相互勾結(jié)，任何一方對另一方。因此，對每一個雙方必須能夠找到至少一個其他的 方，它相信不勾結(jié)。雖然不誠實和不受信的當事人可以很難發(fā)現(xiàn)這個，但是在許多實際情況下，它是可行的。例如，在商業(yè)關(guān)系這一共同的信任程度（例如，不披露協(xié)議），但法律或 合同規(guī)定可以并處比可以通過這樣的協(xié)議感到滿意較強的限制。這為我們尋找替代非勾結(jié)外部第三方愿意參加該議定書，但這實現(xiàn)起來常常是困難的。總體框架考慮到多方，

19、我們的目標是計算一個函數(shù) y 2Fg,這里丫 = f（x1, . . . , xk）,是當?shù)氐膋各方 的投入，請注意，由假設(shè) 4.1.1,由于y 2 Fg, y = x1x2 -x。通過4.1.2假設(shè)，我們有一個協(xié) 議P到安全的計算兩個輸入功能。關(guān)鍵的想法是創(chuàng)建兩個分區(qū) P0和P1.并且同樣分裂成兩個分區(qū) K表的各方。現(xiàn)在，我們 可以利用分區(qū)中的各方 Pi為不受信任的第三方評估分區(qū)P1-i。想像這一點，該分區(qū)上建立一個二元樹Pi與葉作為在這一方的Pi （圖2）。最多可以有P1-i內(nèi)部節(jié)點二進制樹。由于（幾 乎）均勻，以及以下不變的一貫主張：|P1-i|_|Pi|- 1,把它們都賦值為io因此，

20、在有足夠的其他分區(qū)作為當事方的內(nèi)部節(jié)點。在分區(qū)中白當事人P1- i是作為商品在服務(wù)器或不可信的第三方分區(qū)中的各方 Pio在第一輪，把K / 4作為K / 2雙方在第一個分區(qū)其他第三方分區(qū)行為的當事人。至于余下的logK / 2 - 1輪為其他的K / 4,沿樹作為第三方當事人的行為向上第二分區(qū)。對于每個第 三方收到一些中間結(jié)果的形式，利用它的下一輪，重要的是要分析的數(shù)據(jù)量。如果需要限制信息的披露，那么這個顯示，在這一點上的第三方就要修改該協(xié)議。整個過程如圖2所示，在那里我們展示了分區(qū)的前 k / 2求解P0各方組成的過程。因此，所有各方 Pk/2+1, . . . Pk作為 一個單一的電話/商

21、用服務(wù)器的應(yīng)用協(xié)議 P時，在葉節(jié)點向當事方的第三方發(fā)送的行為。有一種logK / 2在其中白P協(xié)議P幾個通話的同時進行。類似的過程，是對其他分區(qū)做 P1,用兩個最頂層的雙方代表使用安全雙方協(xié)議P昧計算最終結(jié)果。每一方可能獲得了一些有關(guān)其他各方數(shù)，但這違反了安全多方計算的要求。但是，只要是在嚴格的信息披露（和可證明的）邊界舉行，就會使這個高效率和實用性有限的信息披露。正如我們將要顯示在第5節(jié)，中間的信息披露一般都可以用介紹的形式，不透露私人信息。安全鑒于安全多方計算（SMC）的風(fēng)格證明安全協(xié)議 P,它是直接提供整個安全協(xié)議的證明。 這個被證明后，申請的組成酒取決于定理，考慮P是子程序調(diào)用。根據(jù)內(nèi)

22、部節(jié)點的意見，一般會做簡單模擬，鑒于該協(xié)議 P結(jié)果使用該節(jié)點的一方不可信一樣，都是由該當事人看到的 結(jié)果的一部分看待。這使得一個簡單的模擬顯示沒有其他的證據(jù)顯示數(shù)據(jù)。這樣的一個例子是用于以下證明。5。實例在本節(jié)中，我們給出了一些應(yīng)用實例的一般方法，以解決實際問題。5.1節(jié)提供了一個解決辦法計算的異或相當瑣碎的問題。5.2節(jié)的方法提供了更具體的表現(xiàn)來計算交集。異或瑣碎的應(yīng)用在分布式計算的位集中這種方法提供了一個簡單的演示。該問題如下：鑒于各K方P1 .Pk,各有它自己的私有位雙向，安全計算s = b1_b2_ 二bk,其中標志著XOR運算。安全地計算異或使只有雙方?jīng)]有任何意義，因為結(jié)果顯示對方的

23、輸入，但它是一個對n 2可行的問題時，當事人，或雙方，如果一些第三方(只有第三方)允許查看結(jié)果。考慮A和B與它們源數(shù)據(jù)的雙方x和y,和第三方U,這是可以知道結(jié)果的是 XY,但是不 信任的任何X或Y。一個合適的協(xié)議P如下：A和B兩個隨機比特共同同意 R1和R2。然后，A發(fā) 送Ma = x _ r1 _ r2到U,同時B發(fā)送Mb = y _ r1 _ r2到U. U現(xiàn)在可以輕松地找到的結(jié)果：A/a Mb = (T ?! F2) (/ 1=y) (ri n) (r2 77)=(14)。1=xU可以采取兩個它接收到的信息獲取所需的逆xy的異或結(jié)果。這個協(xié)議可以很容易地擴展到兩個以上當事方的一般方法，即

24、為簡單的應(yīng)用程序。 各當事方的全套分為兩個分區(qū)。為一個分區(qū)計算樹的內(nèi)部節(jié)點，我們用來自其他分區(qū)的各方。對重復(fù)應(yīng)用協(xié)議P各級要給予預(yù)期的效果。每一方都沒有學(xué)習(xí)，但由于這些包括它自己的位沒 有一些額外的信息(即低于它的子樹中的位異或)，但沒有獲得有關(guān)在樹的葉子個人數(shù)據(jù)值的信息。唯一的例外是根，作為其位于包含在它的結(jié)果得知，但由于學(xué)習(xí)一切需要的最終結(jié)果是什么，學(xué)習(xí)是不可避免的。一個輕微的變化將允許一個完全安全的協(xié)議。而不是只選擇R1和R2,雙方將選擇在與其他葉子節(jié)點的隨機值，這樣才會從根本上取消了額外的偶合合 作。安全交集一個更安全的獲得有用的例子是在幾個集合的交集中比較大小。問題的定義如下。有k個方面，P1, . . . , Pk,與每一個集合SK來自一個共同的(全局)U。他們希望計算|kj=1 Sj |, 即共同相交集的基數(shù)。這是非常有用的幾個應(yīng)用，例如數(shù)據(jù)挖掘關(guān)聯(lián)規(guī)則(見21詳情。)由于交集是結(jié)合的，我們可以利用我們提供的第4條協(xié)議有一個安全的兩方協(xié)議來使用不受信任的第三方。現(xiàn)在，我們勾勒出雙方協(xié)議P使用不受信任的第三的方來計算|Sa Sb|o協(xié)議背后的核心思想 P是用一個交換加密方案(例如，與這兩個鍵的 RSA 18保密)。交換 性確保Ek1(Ek2(x) = Ek2(Ek