基于秘密分享协议的安全高效数学对数计算的优化方法与流程

1.本发明属于网络空间安全技术领域，具体涉及一种基于秘密分享协议的安全高效数学对数函数计算的优化方法。


背景技术：

2.shamir秘密共享[2]是安全多方计算(mpc：secure multi
‑
party computation)[1]中核心的底层协议之一，其中心思想在于通过把秘密进行分割，并把秘密在所有n个参与者中分享，使得只有多于特定个数t的参与者合作才可以计算出或是恢复秘密。简单来说，其允许多个数据所有者在互不信任的情况下进行协同计算，输出计算结果，并保证任何一方均无法得到除应得的计算结果之外的其他任何信息。shamir秘密共享是基于多项式插值算法设计的，假设一个有限域f
p
，秘密s∈f
p
，其中s＜p且p为素数，在域中随机选择t个元素记为a1，...，a
t
，令a0＝s，通过这些元素可以构建多项式f(x)＝a0 a1x a2x2 ... a
t
x
t
，并生成n个点{i，f(i)|i＝1，...，n}，将这些点相应地分发给每一方，每一个点就称为秘密s的一个秘密分享，记为[s]，这样给定任何n个秘密分享中t 1的子集，就可以通过拉格朗日插值法求解多项式f(x)的系数最终重构秘密s。
[0003]
而bgw协议[3]是一个基于shamir秘密共享，支持三个及以上参与方的安全计算协议。它提供在有限域中的加法，乘法等线性运算的方案。由多项式的性质可知，两个秘密之间的加法，以及与常数的乘法，都可以在本地直接进行运算：假设秘密s1，s2分别由t阶多项式f(x)和g(x)进行秘密分享，那么各参与方只需要直接将各自持有的f(i)和g(i)相加，就可以得到s1 s2的秘密分享；相似地，要计算秘密s1与常数a的乘法，只需在本地将f(i)与a相乘，那么a*f(i)即为a*f(i)的秘密分享。
[0004]
除此之外，bgw协议还提供了两个秘密值相乘的解决方法。假设要计算s1*s2的秘密分享，首先所有参与方各自计算h(i)＝f(i)*g(i)。可以知道，{i，h(i)|i＝1，...，n}为多项式h(x)＝f(x)*g(x)上的点，其中h(x)为2t阶的多项式且h(0)＝s1*s2。由于bgw秘密共享的要求是给定任意t 1个秘密分享都能重新计算出多项式的系数并重构被分享的秘密，显然2t阶的多项式不满足这一要求，因此接下来还需要对多项式h(x)进行降阶操作得到t阶多项式h
′
(x)，并保证h
′
(x)常数项仍为s1*s2。
[0005]
假设向量s＝(h(i)，...，h(n))，r＝(h
′
(i)，...，h
′
(n))，要将s转换为r还需要执行一系列操作。假设矩阵b为n
×
n维的范德蒙矩阵，t是一个n
×
n维的对角矩阵，其中对于i＝j≤t，t(i，j)＝1，其余的t(i，j)＝0。基于以上条件，可以推算出r＝btb
‑1s，由此就完成了降阶操作。这样，只需经过有限次线性运算，2t阶的多项式就可以被降为t阶的多项式，从而也就完成了两个秘密的乘法运算。


技术实现要素：

[0006]
本发明的目的在于提供基于bgw秘密分享协议的安全高效的对数函数计算的优化方法。
[0007]
本发明提供的基于bgw秘密分享协议的安全高效的对数函数计算的优化方法，利用线性拟合和位运算，对非线性对数计算提供高精度的近似计算。具体地，给定密文输入[x]，输出密文[y]，其计算过程可以公式化地表示为[y]
←
log2([x])。这里，我们考虑以定点数统一编码计算数据，使用k个比特表示数据，同时以小数点后固定f比特位数表示精度2
‑
f
。
[0008]
(1)首先，观察到可以将x∈[2
m
‑1，2
m
‑
1]转换得到x＝x
′
*2
exp
，其中x
′
∈[1，2)，因此根据对数函数计算的性质，我们可以得到log2(x)＝log2(x
′
) exp；
[0009]
(2)其次，为了计算非线性函数log2(x
′
)，使用多项式线性拟合的方式，采用一个二阶的多项式f(x)＝a0 a1x a2x2对[1，2)区间的log(x)函数进行拟合。由于log函数在此区间上能够以一个较低阶的多项式较为准确地拟合，因此可以节省高阶函数计算所带来的多次乘法的开销。
[0010]
基于上述两点，可以通过以下步骤得到x
′
和exp：
[0011]
(1)输入密文[x]，对其进行比特分解，得到即x的每一个比特位(0或1)的秘密分享；
[0012]
(2)对上述x的比特位进行后缀或运算，即推导可得当i∈[0，m
‑
1]时，c
i
＝1，当i∈[m，k
‑
2]时，c
i
＝0；
[0013]
(3)将上步得到的c
i
求和并减去f 1，即可得到
[0014]
(4)计算由于x∈[2
m
‑1，2
m
‑
1]，因此b*x∈[2
k
‑2，2
k
‑1‑
1]；
[0015]
(5)计算x
′
*2
f
＝b*x/2
k
‑
f
‑2∈[2
f
，2
f 1
‑
1]，其中x
′
∈[1，2)；
[0016]
(6)将上述x
′
代入在[1，2)区间上log(x)函数拟合的f(x)中进行计算，可得y＝f(x
′
) exp。
[0017]
本发明中，基于线性拟合和位运算的非线性对数高精度近似计算，将非线性的对数计算通过线性拟合的方式转化为线性多项式计算，其中关键是将输入数据进行变换，将拟合区间缩减到[1，2)，因此可以使用一个低阶的多项式(2阶)拟合达到较高的准确率，减少所需乘法导致的开销，参见表1。
[0018]
表1
[0019]
协议通信回合数通信量大小对数计算(log)74k
[0020]
。
[0021]
本发明中，计算协议输入的密文即为秘密分享。持有隐私数据的n个参与方将在执行计算前，基于bgw秘密共享协议将隐私数据拆分成n份发送给其余参与方。
[0022]
本发明中，定点数都会被映射到域中进行运算。映射构造过程如下：假设为有理数域q<k，f>中的有理数，其中k表示的比特位数，f为小数点后的精度。需要将映射到整数域，令则可以得到q
<k，f>
→
z
<k>
的映射；接着对进行模运算，使得则完成了z
<k>
→
f
p
的映射，其中p为域f
p
的大小且p＞2
k
。上述协议中的所有运算都是在域f
p
上完成的。
[0023]
本发明中，采用的安全模型的是半诚实敌手模型，即假设各敌手不会偏离规定的
协议，但会尝试收集和推导其收到的中间信息。
[0024]
本发明中，若t＜n/2，则此协议可以保证信息论安全，此结论在bgw协议的证明中可以得到。
[0025]
本发明提供的基于bgw秘密分享协议的对数函数计算的优化方法，能够高效地计算出计算结果：
[0026]
(1)对数函数计算协议通过变换输入数据，将x∈[2
m
‑1，2
m
‑
1]转换得到x＝x
′
*2
exp
，从而使拟合区间缩减到[1，2)，因此可以用一个低阶的多项式(2阶)拟合log函数达到较高的准确率，同时减少所需乘法导致的开销；
[0027]
(2)采用位分解和位运算的方式，在没有x明文信息的情况下，以秘密分享形式得到x的最高位；同时在此基础上，得到转换后的x
′
，使其值属于区间[1，2)。
附图说明
[0028]
图1为参与方共同进行对数函数计算的流程。
具体实施方式
[0029]
下面结合附图详细描述本发明。
[0030]
(1)首先各参与方将自己手中所持有的隐私数据通过上文提到的秘密分享的方法，交互分享给其余参与方，这样每个参与方都将会持有隐私数据的秘密分享。后续将在此基础上执行计算，以达到保护数据隐私的目的。此外，在计算过程中，我们考虑以定点数统一编码计算数据，使用k表示数据的比特位数，f表示小数固定的精度。
[0031]
(2)各参与方执行对数函数计算协议时，则执行以下步骤：
[0032]
i.各方输入秘密分享[x]，调用比特分解的协议bitdec，得到x的每一个比特位(0或1)的秘密分享
[0033]
ii.调用sufor协议，对x的比特位进行后缀或运算，即假设m为[x]的最高有效位，那么当i∈[0，m
‑
1]时，c
i
＝1，当i∈[m，k
‑
2]时，c
i
＝0。
[0034]
iii.将上步求得的c
i
累加求和后减去f
‑
1得到exp。由于于则为[x]需要左移的位数。
[0035]
iv计算由于m为[x]的最高比特位，则[x]∈[2
m
‑1，2
m
‑
1]，因此b*[x]∈[2
k
‑2，2
k
‑1‑
1]。
[0036]
v.计算b*[x]/2
k
‑
f
‑2。因为b*[x]∈[2
k
‑2，2
k
‑1‑
1]，所以[x
′
]*2
f
＝b*[x]/2
k
‑
f
‑2∈[2
f
，2
f 1
‑
1]，在此调用div2mp协议对b*[x]的后k
‑
f
‑
2位个比特进行截断，即[x
′
]＝div2mp(b*[x]，k，k
‑
f
‑
2)。可以推得[x]＝[x
′
]*2
exp
，其中[x
′
]∈[1，2)。
[0037]
vi.计算最终结果[y]＝appro([x
′
]) exp*tran
k，f
(1)，其中appro表示对[1，2)区间的log(x)的拟合函数，tran
k，f
(1)表示2
f
，即可得到[y]＝log2[x]。
[0038]
算法伪代码见附件。
[0039]
附件：
[0040]
安全对数计算协议
[0041][0042]
。
[0043]
参考文献
[0044]
[1]a.c.yao,"protocols for secure computations,"23rd annual symposium on foundations of computer science(sfcs 1982),1982,pp.160
‑
164.
[0045]
[2]shamir,a.(1979).how to share a secret.communications of the acm,22(11),612
‑
613.
[0046]
[3]ben
‑
or,m.,goldwasser,s.,&wigderson,a.(2019).completeness theorems for non
‑
cryptographic fault
‑
tolerant distributed computation.in providing sound foundations for cryptography:on the work of shafi goldwasser and silvio micali(pp.351
‑
371)。