一种基于秘密分享的不经意随机打乱方法和系统与流程

1.本发明涉及多方安全计算领域，尤其涉及一种基于秘密分享的不经意随机打乱方法和系统。


背景技术：

2.多方安全计算（multi-party computation，可以简称为mpc），指多方共同计算出一个函数的结果，而不泄露这个函数各方的输入数据，计算的结果公开给其中的一方或多方。多方安全计算典型的应用包括联邦学习、隐私求交（private set intersection，psi）等。
3.联邦学习指的是拥有数据的各个数据方，在不共享受保护的隐私数据且自有数据不传递到外部的前提下，通过加密的方式交换模型相关信息从而实现协同优化联邦学习模型。隐私求交可以理解为在基于隐私保护的前提下，确定多方之间的数据交集。
4.在基于多方安全计算的联邦学习以及隐私求交等应用场景中，存在需要将参与方的输入数据进行打乱的情况。如何在不泄露数据隐私的前提下，实现对数据进行打乱，成为目前亟待解决的问题。


技术实现要素：

5.本发明实施例提供一种基于秘密分享的不经意随机打乱方法和系统，可以在多方安全计算中，在不泄露数据隐私的前提下，实现对数据进行随机打乱。
6.为了解决上述问题，本发明实施例公开了一种基于秘密分享的不经意随机打乱方法，应用于多方安全计算中的参与方，所述多方安全计算包括n个参与方，所述n个参与方持有第一数据向量的分片，所述第一数据向量的长度为m，所述n个参与方包括参与方s0~s
n-1
，所述方法包括：所述n个参与方分别生成随机排序向量，所述随机排序向量的长度为m；所述n个参与方基于各自持有的第一数据向量的分片和各自持有的随机排序向量进行n轮迭代的打乱操作，使得所述n个参与方得到第二数据向量的分片，所述第二数据向量为所述第一数据向量按照所述n个参与方的随机排序向量进行n轮迭代打乱后的向量；所述n轮迭代的打乱操作中，前一轮的输出结果作为后一轮的输入。
7.另一方面，本发明实施例公开了一种多方安全计算系统，所述多方安全计算系统用于进行多方安全计算，所述多方安全计算包括n个参与方，所述n个参与方持有第一数据向量的分片，所述第一数据向量的长度为m，所述n个参与方包括参与方s0~s
n-1
，其中，所述n个参与方，用于分别生成随机排序向量，所述随机排序向量的长度为m；所述n个参与方，还用于基于各自持有的第一数据向量的分片和各自持有的随机排序向量进行n轮迭代的打乱操作，使得所述n个参与方得到第二数据向量的分片，所述第二数据向量为所述第一数据向量按照所述n个参与方的随机排序向量进行n轮迭代打乱后的向量；所述n轮迭代的打乱操作中，前一轮的输出结果作为后一轮的输入。
8.再一方面，本发明实施例公开了一种用于基于秘密分享的不经意随机打乱的装置，包括有存储器，以及一个以上程序，其中一个以上程序存储于存储器中，且经配置以由一个以上处理器执行所述一个以上程序，所述一个以上程序包含用于进行如前述一个或多个所述的基于秘密分享的不经意随机打乱方法的指令。
9.又一方面，本发明实施例公开了一种机器可读存储介质，其上存储有指令，当所述指令由装置的一个或多个处理器执行时，使得装置执行如前述一个或多个所述的基于秘密分享的不经意随机打乱方法。
10.本发明实施例包括以下优点：本发明实施例提供了一种基于秘密分享的不经意随机打乱方法，n个参与方中的每个参与方分别生成一个随机排序向量，利用每个参与方的随机排序向量对第一数据向量依次进行n轮迭代的打乱操作，所述n轮迭代的打乱操作中，前一轮的输出结果作为后一轮的输入，在n轮迭代的打乱操作执行完成后，得到最终的打乱结果。在打乱过程中，每个参与方持有的是第一数据向量的分片，不会得到第一数据向量的明文；此外，由于每个参与方生成的是随机排序向量，且互相之间没有透露自己的随机排序向量，因此，在进行n轮迭代的打乱操作后，每个参与方只能得到第一数据向量的随机打乱结果（第二数据向量）的一个分片，不会得到第二数据向量的明文；再者，n轮迭代的打乱操作中，前一轮的输出结果作为后一轮的输入，且每一轮的打乱顺序是某个参与方生成的随机排序，n轮迭代的打乱操作后，每个参与方都无法得到打乱的具体顺序，可以实现打乱的随机性，保证数据的隐私安全。
附图说明
11.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
12.图1是本发明的一种基于秘密分享的不经意随机打乱方法实施例的步骤流程图；图2是本发明的一种多方安全计算系统200实施例的结构框图；图3是本发明的一种用于基于秘密分享的不经意随机打乱的装置800的框图；图4是本发明的一些实施例中服务器的结构示意图。
具体实施方式
13.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
14.本发明的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”等所区分的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。此外，说明书以及权利要求中的术语“和/或”用于描述关联对象的关联关系，表
示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本发明实施例中术语“多个”是指两个或两个以上，其它量词与之类似。
15.参照图1，示出了本发明的一种基于秘密分享的不经意随机打乱方法实施例的步骤流程图，应用于多方安全计算中的参与方，所述多方安全计算包括n个参与方，所述n个参与方持有第一数据向量的分片，所述第一数据向量的长度为m，所述n个参与方包括参与方s0~s
n-1
，所述方法可以包括如下步骤：步骤101、所述n个参与方分别生成随机排序向量，所述随机排序向量的长度为m；步骤102、所述n个参与方基于各自持有的第一数据向量的分片和各自持有的随机排序向量进行n轮迭代的打乱操作，使得所述n个参与方得到第二数据向量的分片，所述第二数据向量为所述第一数据向量按照所述n个参与方的随机排序向量进行n轮迭代打乱后的向量；所述n轮迭代的打乱操作中，前一轮的输出结果作为后一轮的输入。
16.本发明实施例提供的基于秘密分享的不经意随机打乱方法，可应用于多方安全计算中需要将第一数据向量进行随机打乱的场景。所述第一数据向量和所述随机排序向量是向量型数据。
17.本发明实施例的基于秘密分享的不经意随机打乱方法可应用于基于秘密分享协议的多方安全计算场景。秘密分享(secret share)协议，是密码学中由多个参与方进行秘密分发、保存、计算、恢复的信息保护协议。各个参与方可以将一份数据分成多份，每份称为一个分享（或分片）并分发给其他参与方，之后通过计算和通信，可以完成对这些数据正确的函数计算并且保障参与方数据的隐私。
18.示例性地，所述第一数据向量可以表示为x={x0,..,x
m-1
}，参与方sj的随机排序向量可以表示为一个排列函数πj，如πj:{0,1,2,...,m-1}，或者π
j ({0,1,2,...,m-1})，j的取值为0~n-1。
19.在本发明实施例中，不经意随机打乱（oblivious random shuffle），是依次让每个参与方提供一个随机排序向量，如参与方sj的随机排序向量为πj，并利用每个参与方的随机排序向量对第一数据向量依次进行n轮迭代的打乱操作，所述n轮迭代的打乱操作中，前一轮的输出结果作为后一轮的输入，在n轮迭代的打乱操作执行完成后，得到最终的排序结果。由于每个参与方生成的是随机排序向量，且互相之间没有透露自己的随机排序向量，因此，进行n轮迭代的打乱操作后，每个参与方只能得到第一数据向量的随机打乱结果（第二数据向量）的一个分片，各个参与方无法得到第一数据向量的明文数据，也无法得到第二数据向量的具体顺序，可以保证数据的隐私安全。
20.在本发明实施例中，所述多方安全计算包括n个参与方，n为大于1的整数。所述n个参与方持有第一数据向量的分片。也即，所述n个参与方分别持有x的一个分片。进一步地，由于x是向量型数据，x中包含了m个元素，如x0~x
m-1
，因此，所述n个参与方分别持有x的一个分片，也就是所述n个参与方分别持有x中每个元素的一个分片。例如，对于参与方s0，其持有第一数据向量x的一个分片，指的是参与方s0持有x0的一个分片，参与方s0持有x1的一个分片，以此类推，参与方s0持有x
m-1
的一个分片。同样地，对于参与方s1，其持有第一数据向量x的一个分片，指的是参与方s1持有x0的一个分片，参与方s1持有x1的一个分片，以此类推，参与方s1持有x
m-1
的一个分片。只有同时获取s0~s
n-1
这n个参与方分别持有的第一数据向量x
的分片，才可以恢复得到x={x0,..,x
m-1
}的明文。
21.本发明实施例对所述第一数据向量的来源不做限制。在本发明的一种可选实施例中，所述第一数据向量可以为所述n个参与方中任意一个参与方所拥有并秘密分享给所述n个参与方，或者，所述第一数据向量可以为所述n个参与方进行多方安全计算产生的中间结果。
22.本发明实施例可以将n个参与方中任意一个或任意多个参与方拥有的向量型数据（第一数据向量）进行随机打乱，且在打乱过程中，不会恢复得到第一数据向量的明文，也无法得到打乱的具体顺序。拥有该第一数据向量的参与方可以将该第一数据向量进行秘密分享，使得n个参与方分别持有该第一数据向量的一个分片。
23.所述第一数据向量还可以为所述n个参与方进行多方安全计算产生的中间结果。本发明实施例可以将n个参与方在多方安全计算中得到的中间结果进行随机打乱，且在打乱过程中，不会恢复得到该中间结果的明文，也无法得到打乱的具体顺序。拥有该中间结果的参与方可以将该中间结果进行秘密分享，使得n个参与方分别持有该向中间结果的一个分片。该中间结果为向量型数据。
24.本发明实施例对所述多方安全计算的类型不做限制。例如，所述多方安全计算可以包括基于秘密分享的联邦学习或者隐私集合求交等。
25.在多方秘密分享协议中，每个参与方可以拥有一个计算引擎，可以视为黑盒。每个参与方将拥有的分片输入到各自的计算引擎中，多个参与方的计算引擎进行多方安全计算，多个参与方的计算引擎在进行多方安全计算的过程中会进行通信和计算，最后每个参与方的计算引擎将计算结果的分片输出至对应的参与方。
26.在本发明实施例中，所述多方安全计算包括n个参与方，如记为参与方s0~s
n-1
，所述n个参与方持有第一数据向量的分片，所述第一数据向量的长度为m。其中，n为大于1的整数。
27.首先，所述n个参与方分别在本地生成各自的随机排序向量。本发明实施例对生成随机排序向量的方法不做限制。例如，可以使用明文的shuffle算法（例如knuth shuffle）生成随机排序向量。
28.所述n个参与方基于各自持有的第一数据向量的分片和各自持有的随机排序向量进行n轮迭代的打乱操作，在所述n轮迭代的打乱操作中，前一轮的输出结果作为后一轮的输入。
29.例如，通过第一轮的打乱操作，将第一数据向量按照参与方s0的随机排序向量进行打乱，得到第一轮打乱的结果。将第一轮打乱的结果作为第二轮的输入，执行第二轮的打乱操作。通过第二轮的打乱操作，将第一轮打乱的结果按照参与方s1的随机排序向量进行打乱，得到第二轮打乱的结果。以此类推，直到n轮迭代的打乱操作完成。
30.在本发明的一种可选实施例中，所述n个参与方基于各自持有的第一数据向量的分片和各自持有的随机排序向量进行n轮迭代的打乱操作，可以包括：步骤s11、所述n个参与方基于各自持有的第一数据向量的分片以及参与方s0持有的随机排序向量进行第一轮的打乱操作，使得所述n个参与方得到第一个中间向量的分片，所述第一个中间向量为所述第一数据向量按照所述参与方s0的随机排序向量打乱后的向量；
步骤s11、所述n个参与方基于各自持有的第k-1个中间向量的分片以及参与方s
k-1
持有的随机排序向量进行第k轮的打乱操作，使得所述n个参与方得到第k个中间向量的分片，所述第k个中间向量为所述第k-1个中间向量按照所述参与方s
k-1
的随机排序向量打乱后的向量；其中，k的取值为2~n。
31.在本发明实施例中，将第一轮打乱操作得到的结果称为第一个中间向量。需要说明的是，在第一轮打乱操作执行完成时，每个参与方得到的是第一个中间向量的一个分片。同理，将第二轮打乱操作得到的结果称为第二个中间向量，每个参与方得到的是第二个中间向量的一个分片。以此类推，将第n轮打乱操作得到的结果称为第n个中间向量，每个参与方得到的是第n个中间向量的一个分片。第n个中间向量即为所述第二数据向量，也即，第n个中间向量即为对所述第一数据向量进行基于秘密分享的不经意随机打乱得到的结果。
32.在本发明实施例中，每一轮打乱操作可以看作是一个黑盒操作。该黑盒操作的输入包括n个参与方输入各自计算引擎的数据，该黑盒操作的输出是n个参与方的计算引擎的输出。
33.例如，对于第一轮打乱操作，第一轮打乱操作的输入包括n个参与方各自持有的第一数据向量的分片以及参与方s0持有的随机排序向量。n个参与方的计算引擎利用自己持有的数据进行通信，协同计算得到各自输出的结果。每个参与方的计算引擎输出的是第一个中间向量的一个分片，第一个中间向量为所述第一数据向量按照所述参与方s0的随机排序向量打乱后的向量。在第一轮打乱操作的过程中，任意一个参与方都无法获得第一个中间向量的明文。n个参与方中的每个参与方只能得到第一个中间向量的一个分片。
34.对于第二轮打乱操作，第二轮打乱操作的输入包括n个参与方各自持有的第一个中间向量的分片以及参与方s1持有的随机排序向量。n个参与方的计算引擎利用自己持有的数据进行通信，协同计算得到各自输出的结果。每个参与方的计算引擎输出的是第二个中间向量的一个分片，第二个中间向量为所述第一个中间向量按照所述参与方s1的随机排序向量打乱后的向量。在第二轮打乱操作的过程中，任意一个参与方都无法获得第二个中间向量的明文。n个参与方中的每个参与方只能得到第二个中间向量的一个分片。
35.对于第三轮打乱操作，第三轮打乱操作的输入包括n个参与方各自持有的第二个中间向量的分片以及参与方s2持有的随机排序向量。n个参与方的计算引擎利用自己持有的数据进行通信，协同计算得到各自输出的结果。每个参与方的计算引擎输出的是第三个中间向量的一个分片，第三个中间向量为所述第二个中间向量按照所述参与方s2的随机排序向量打乱后的向量。在第三轮打乱操作的过程中，任意一个参与方都无法获得第三个中间向量的明文。n个参与方中的每个参与方只能得到第三个中间向量的一个分片。
36.以此类推，直到第n轮打乱操作执行完成，所述n个参与方得到第n个中间向量的分片，也即，所述n个参与方得到第二数据向量的分片。
37.在本发明的一种可选实施例中，所述n个参与方基于各自持有的第一数据向量的分片以及参与方s0持有的随机排序向量进行第一轮的打乱操作，可以包括：步骤s21、所述参与方s0生成第一矩阵和第二矩阵；所述第一矩阵为(p0,p1,...,p
m-1
)
t
，其中，pi=(i,i,...,i)，i的取值为0~m-1；所述第二矩阵为(ind,ind,...,ind)
t
，其中，ind为所述参与方s0持有的随机排序向量；所述第一矩阵和所述第二矩阵为m
×
m的矩阵；
步骤s22、所述参与方s0在本地对所述第一矩阵和所述第二矩阵进行明文比较操作，得到第一比较结果矩阵；步骤s23、所述参与方s0将所述第一比较结果矩阵进行秘密分享，使得所述n个参与方得到所述第一比较结果矩阵的分片；步骤s24、所述n个参与方基于各自持有的第一数据向量的分片和第一比较结果矩阵的分片进行秘密分享的乘法操作，使得所述n个参与方得到所述第一个中间向量的分片。
38.在本发明实施例中，每一轮的打乱操作，是n个参与方依次按照其中一个参与方的随机排序向量执行基于秘密分享的不经意随机打乱方法的过程。
39.以第一轮打乱操作为例，参与方s0可以在本地生成第一矩阵和第二矩阵。所述第一矩阵为(p0,p1,...,p
m-1
)
t
，其中，pi=(i,i,...,i)，i的取值为0~m-1。
40.在本发明实施例中，假设参与方sj生成随机排序向量πj({0,1,2,...,m-1})，并将πj({0,1,2,...,m-1})记为ind，将第二矩阵记为(ind,ind,...,ind)
t
。在第一轮打乱操作中，参与方s0在本地生成第二矩阵，该第二矩阵中的ind为所述参与方s0持有的随机排序向量。在第二轮打乱操作中，参与方s1在本地生成第一矩阵和第二矩阵。参与方s1生成的第一矩阵与参与方s0生成的第一矩阵相同，参与方s1生成的第二矩阵中的ind为参与方s1持有的随机排序向量。在第三轮打乱操作中，参与方s2在本地生成第一矩阵和第二矩阵，以此类推。所述第一矩阵和第二矩阵为m
×
m的矩阵。
41.示例一，假设n=3，m=4。示例性地，将第一数据向量记为x，假设x=(x0,x1,x2,x3)；将参与方sj的随机排序向量记为πj，j的取值为0~n-1。经过秘密分享，第一数据向量(x0,x1,x2,x3)被分为三个分片，三个参与方各持有一个分片。
42.在示例一中，将3个参与方记为s0、s1和s2，参与方s0在本地生成第一矩阵，如将第一矩阵记为p_matrix，则p_matrix=(p0,p1,p2,p3)
t
。其中，p0=(0,0,0,0)，p1=(1,1,1,1)，p2=(2,2,2,2)，p3=(3,3,3,3)。假设将参与方s0生成的第一矩阵记为p_matrix_0，则：第一矩阵p_matrix_0为m
×
m的矩阵，第一矩阵p_matrix_0中的元素值可以为明文。
43.参与方s0在本地生成第二矩阵，如将第二矩阵记为ind_matrix，则ind_matrix=(ind,ind,...,ind)
t
。假设s0生成的随机排序向量为π0=(3,2,1,0)，则ind=(3,2,1,0)。将参与方s0生成的第二矩阵记为ind_matrix_0，则：第二矩阵ind_matrix_0为m
×
m的矩阵，第二矩阵ind_matrix_0中的元素值可以为明文。
44.参与方s0在本地对其生成的所述第一矩阵p_matrix_0和所述第二矩阵ind_
matrix_0进行明文比较操作，得到第一比较结果矩阵。如将参与方s0得到的第一比较结果矩阵记为cmp_matrix_0，则：参与方s0在本地对第一矩阵p_matrix_0和第二矩阵ind_matrix_0中每个对应位置的元素进行比较，若相同位置的两个元素相等，则将第一比较结果矩阵cmp_matrix_0中该位置的元素值记为1，否则记为0。
45.第一比较结果矩阵cmp_matrix_0为m
×
m的矩阵，第一比较结果矩阵cmp_matrix_0中的元素值可以为明文。
46.参与方s0将其计算得到的第一比较结果矩阵cmp_matrix_0进行秘密分享，使得所述n个参与方得到所述第一比较结果矩阵cmp_matrix_0的分片；所述n个参与方基于各自持有的第一数据向量x的分片和第一比较结果矩阵cmp_matrix_0的分片进行秘密分享的乘法操作，使得所述n个参与方得到所述第一个中间向量的分片。
47.在示例一中，参与方s0将第一比较结果矩阵cmp_matrix_0进行秘密分享，参与方s1和s2会收到第一比较结果矩阵cmp_matrix_0的分片但不知道第一比较结果矩阵cmp_matrix_0的明文。参与方s0、s1和s2三方执行秘密分享的矩阵乘法操作，分别得到第一个中间向量的分片。
48.如将第一个中间向量记为res0，则res0=(x3,x2,x1,x0)。参与方s0、s1和s2三方分别持有res0的一个分片。
49.在本发明实施例中，所述n个参与方基于各自持有的第一数据向量的分片和第一比较结果矩阵的分片进行秘密分享的乘法操作，该乘法操作可以看作是一个黑盒操作。该黑盒操作的输入包括n个参与方输入各自计算引擎的数据，该黑盒操作的输出是n个参与方的计算引擎的输出。该乘法操作的输入包括n个参与方输入的各自持有的第一数据向量的分片，以及n个参与方输入的各自持有的第一比较结果矩阵的分片。n个参与方的计算引擎利用自己持有的数据进行通信，协同计算得到各自输出的结果。每个参与方的计算引擎输出的是第一个中间向量的一个分片，所述第一个中间向量为所述第一数据向量按照参与方s0的随机排序向量打乱后的向量。在该乘法操作过程中任意一个参与方都无法获得第一个中间向量的明文。n个参与方中的每个参与方只能得到第一个中间向量的一个分片。
50.在具体实施中，n个参与方基于各自持有的第一数据向量的分片和第一比较结果矩阵的分片进行秘密分享的乘法操作，该乘法操作可以通过调用秘密分享的矩阵乘法算子来实现或者通过直接调用乘法算子来实现。示例性地，调用秘密分享的矩阵乘法算子的方式，可以通过ot（oblivious transfer，不经意传输）或全同态生成矩阵beaver三元组实现。直接调用乘法算子的方式，可以通过将矩阵乘法转换为m
×k×
n次乘法和k次加法实现。本发明实施例对秘密分享的矩阵乘法算子的内部实现不作限制，将其作为黑盒算子进行调用，已有的以及未来将会出现的能实现前述矩阵乘法功能的算法均可为本发明实施例使用。
51.接下来执行第二轮的打乱操作。需要说明的是，第k轮的打乱操作与第一轮的打乱
操作步骤相同，区别在于输入数据有所不同。例如，第一轮的打乱操作的输入数据为n个参与方各自持有的第一数据向量的分片，第二轮的打乱操作的输入数据为n个参与方各自持有的第一个中间向量的分片。此外，在第k轮的打乱操作中，由参与方s
k-1
生成m
×
m的第一矩阵和第二矩阵，并在本地对其生成的第一矩阵和第二矩阵进行明文比较操作，得到第一比较结果矩阵，以及将该第一比较结果矩阵进行秘密分享。
52.在第二轮的打乱操作中，参与方s1在本地生成第一矩阵，假设记为p_matrix_1，则p_matrix_1= (p0,p1,p2,p3)
t
。其中，p0=(0,0,0,0)，p1= (1,1,1,1)，p2=(2,2,2,2)，p3=(3,3,3,3)。也即：参与方s1在本地生成第二矩阵，假设记为ind_matrix_1，则ind_matrix_1=(ind,ind,...,ind)
t
。假设s1生成的随机排序向量为π1=(2,1,0,3)，则ind=(2,1,0,3)。也即：参与方s1在本地对其生成的所述第一矩阵p_matrix_1和所述第二矩阵ind_matrix_1进行明文比较操作，得到第一比较结果矩阵cmp_matrix_1，则：参与方s1在本地对第一矩阵p_matrix_1和第二矩阵ind_matrix_1中每个对应位置的元素进行比较，若相同位置的两个元素相等，则将第一比较结果矩阵cmp_matrix_1中该位置的元素值记为1，否则记为0。
53.参与方s1将其计算得到的第一比较结果矩阵cmp_matrix_1进行秘密分享，使得所述n个参与方得到所述第一比较结果矩阵cmp_matrix_1的分片；所述n个参与方基于各自持有的第一个中间向量的分片和第一比较结果矩阵cmp_matrix_1的分片进行秘密分享的乘法操作，使得所述n个参与方得到所述第二个中间向量的分片。
54.在示例一中，参与方s1将第一比较结果矩阵cmp_matrix_1进行秘密分享，参与方s0和s2会收到第一比较结果矩阵cmp_matrix_1的分片但不知道第一比较结果矩阵cmp_matrix_1的明文。参与方s0、s1和s2三方执行秘密分享的矩阵乘法操作，分别得到第二个中间向量的分片。
55.如将第二个中间向量记为res1，则res1=(x1,x2,x3,x0)。参与方s0、s1和s2三方分别持有res1的一个分片。
56.接下来执行第三轮的打乱操作。
57.参与方s2在本地生成第一矩阵，如记为p_matrix_2，则p_matrix_2=(p0,p1,p2,p3)
t
。
其中，p0=(0,0,0,0)，p1= (1,1,1,1)，p2=(2,2,2,2)，p3=(3,3,3,3)。也即：参与方s2在本地生成第二矩阵，如记为ind_matrix_2，则ind_matrix_2=(ind,ind,...,ind)
t
。假设s2生成的随机排序向量为π2=(1,3,2,0)，则ind=(1,3,2,0)。也即：参与方s2在本地对其生成的所述第一矩阵p_matrix_2和所述第二矩阵ind_matrix_2进行明文比较操作，得到第一比较结果矩阵cmp_matrix_2，则：参与方s2在本地对第一矩阵p_matrix_2和第二矩阵ind_matrix_2中每个对应位置的元素进行比较，若相同位置的两个元素相等，则将第一比较结果矩阵cmp_matrix_2中该位置的元素值记为1，否则记为0。
58.参与方s2将其计算得到的第一比较结果矩阵cmp_matrix_2进行秘密分享，使得所述n个参与方得到所述第一比较结果矩阵cmp_matrix_2的分片；所述n个参与方基于各自持有的第二个中间向量的分片和第一比较结果矩阵cmp_matrix_2的分片进行秘密分享的乘法操作，使得所述n个参与方得到所述第三个中间向量的分片。
59.在示例一中，参与方s2将第一比较结果矩阵cmp_matrix_2进行秘密分享，参与方s0和s1会收到第一比较结果矩阵cmp_matrix_2的分片但不知道第一比较结果矩阵cmp_matrix_2的明文。参与方s0、s1和s2三方执行秘密分享的矩阵乘法操作，分别得到第三个中间向量的分片。
60.如将第三个中间向量记为res2，则res2=(x2,x0,x3,x1)。参与方s0、s1和s2三方分别持有res2的一个分片。
61.此时，n轮迭代的打乱操作执行完成，参与方s0、s1和s2三方分别持有第二数据向量（res2）的一个分片。
62.在示例一中，第一数据向量x=(x0,x1,x2,x3)，第二数据向量res2=(x2,x0,x3,x1)。所述第二数据向量为所述第一数据向量按照所述n个参与方的随机排序向量进行n轮迭代打乱后的向量。由于每个参与方生成的是随机排序向量，且互相之间没有透露自己的随机排序向量，每个参与方生成的随机排序向量仅作为其中一轮的打乱顺序，在n次迭代打乱后，任意一个参与方都无法得到具体的打乱顺序，可以保证数据的隐私安全。
63.在本发明的一种可选实施例中，所述n个参与方还持有第三数据向量的分片，所述方法还可以包括：
步骤s31、将所述第二数据向量作为目标排序向量；步骤s32、所述n个参与方基于各自持有的目标排序向量的分片和各自持有的第三数据向量的分片，执行基于秘密分享的不经意打乱操作，使得所述n个参与方得到第四数据向量的分片，所述第四数据向量为所述第三数据向量按照所述目标排序向量打乱后的向量。
64.在执行本发明实施例的基于秘密分享的不经意随机打乱方法后，可以将第一数据向量进行随机打乱，每个参与方可以得到随机打乱结果（第二数据向量）的一个分片。进一步地，还可以将第二数据向量作为目标排序向量，对第三数据向量进行基于秘密分享的不经意打乱。在该不经意打乱的过程中，打乱的具体顺序不是由某个参与方提供的，而是通过秘密分享的方式进行多次迭代计算得到的，可以实现不经意打乱的随机性，保证任意一个参与方都无法得知打乱的具体顺序，可以进一步保证数据的隐私安全。
65.综上，本发明实施例提供了一种基于秘密分享的不经意随机打乱方法，n个参与方中的每个参与方分别生成一个随机排序向量，利用每个参与方的随机排序向量对第一数据向量依次进行n轮迭代的打乱操作，所述n轮迭代的打乱操作中，前一轮的输出结果作为后一轮的输入，在n轮迭代的打乱操作执行完成后，得到最终的打乱结果。在打乱过程中，每个参与方持有的是第一数据向量的分片，不会得到第一数据向量的明文；此外，由于每个参与方生成的是随机排序向量，且互相之间没有透露自己的随机排序向量，因此，在进行n轮迭代的打乱操作后，每个参与方只能得到第一数据向量的随机打乱结果（第二数据向量）的一个分片，不会得到第二数据向量的明文；再者，n轮迭代的打乱操作中，前一轮的输出结果作为后一轮的输入，且每一轮的打乱顺序是某个参与方生成的随机排序，n轮迭代的打乱操作后，每个参与方都无法得到打乱的具体顺序，可以实现打乱的随机性，保证数据的隐私安全。
66.需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。
67.参照图2，示出了本发明的一种多方安全计算系统200实施例的结构框图，所述多方安全计算系统用于进行多方安全计算，所述多方安全计算包括n个参与方，所述n个参与方持有第一数据向量的分片，所述第一数据向量的长度为m，所述n个参与方包括参与方s0~s
n-1
，其中，所述n个参与方，用于分别生成随机排序向量，所述随机排序向量的长度为m；所述n个参与方，还用于基于各自持有的第一数据向量的分片和各自持有的随机排序向量进行n轮迭代的打乱操作，使得所述n个参与方得到第二数据向量的分片，所述第二数据向量为所述第一数据向量按照所述n个参与方的随机排序向量进行n轮迭代打乱后的向量；所述n轮迭代的打乱操作中，前一轮的输出结果作为后一轮的输入。
68.可选地，所述n个参与方，具体用于基于各自持有的第一数据向量的分片以及参与方s0持有的随机排序向量进行第一轮的打乱操作，使得所述n个参与方得到第一个中间向量的分片，所述第一个中间向量为所述第一数据向量按照所述参与方s0的随机排序向量打
乱后的向量；基于各自持有的第k-1个中间向量的分片以及参与方s
k-1
持有的随机排序向量进行第k轮的打乱操作，使得所述n个参与方得到第k个中间向量的分片，所述第k个中间向量为所述第k-1个中间向量按照所述参与方s
k-1
的随机排序向量打乱后的向量；其中，k的取值为2~n。
69.可选地，所述参与方s0，具体用于生成第一矩阵和第二矩阵；所述第一矩阵为(p0,p1,...,p
m-1
)
t
，其中，pi=(i,i,...,i)，i的取值为0~m-1；所述第二矩阵为(ind,ind,...,ind)
t
，其中，ind为所述参与方s0持有的随机排序向量；所述第一矩阵和所述第二矩阵为m
×
m的矩阵；在本地对所述第一矩阵和所述第二矩阵进行明文比较操作，得到第一比较结果矩阵；以及将所述第一比较结果矩阵进行秘密分享，使得所述n个参与方得到所述第一比较结果矩阵的分片；所述n个参与方，具体用于基于各自持有的第一数据向量的分片和第一比较结果矩阵的分片进行秘密分享的乘法操作，使得所述n个参与方得到所述第一个中间向量的分片。
70.可选地，所述n个参与方持有第三数据向量的分片，并将所述第二数据向量作为目标排序向量；所述n个参与方，还用于基于各自持有的目标排序向量的分片和各自持有的第三数据向量的分片，执行基于秘密分享的不经意打乱操作，使得所述n个参与方得到第四数据向量的分片，所述第四数据向量为所述第三数据向量按照所述目标排序向量打乱后的向量。
71.可选地，所述第一数据向量为所述n个参与方中任意一个参与方所拥有并秘密分享给所述n个参与方，或者，所述第一数据向量为所述n个参与方进行多方安全计算产生的中间结果。
72.在本发明实施例中，不经意随机打乱（oblivious random shuffle），是依次让每个参与方提供一个随机排序向量，并利用每个参与方的随机排序向量对第一数据向量依次进行n轮迭代的打乱操作，所述n轮迭代的打乱操作中，前一轮的输出结果作为后一轮的输入，在n轮迭代的打乱操作执行完成后，得到最终的打乱结果。由于每个参与方生成的是随机排序向量，且互相之间没有透露自己的随机排序向量，因此，进行n轮迭代的打乱操作后，每个参与方只能得到第一数据向量的随机打乱结果（第二数据向量）的一个分片，各个参与方无法得到第一数据向量的明文数据，也无法得到第二数据向量的具体顺序，可以保证数据的隐私安全。
73.综上，本发明实施例提供了一种多方安全计算系统，可用于实现基于秘密分享的不经意随机打乱方法。所述多方安全计算系统包括n个参与方，n个参与方中的每个参与方分别生成一个随机排序向量，利用每个参与方的随机排序向量对第一数据向量依次进行n轮迭代的打乱操作，所述n轮迭代的打乱操作中，前一轮的输出结果作为后一轮的输入，在n轮迭代的打乱操作执行完成后，得到最终的打乱结果。在打乱过程中，每个参与方持有的是第一数据向量的分片，不会得到第一数据向量的明文；此外，由于每个参与方生成的是随机排序向量，且互相之间没有透露自己的随机排序向量，因此，在进行n轮迭代的打乱操作后，每个参与方只能得到第一数据向量的随机打乱结果（第二数据向量）的一个分片，不会得到第二数据向量的明文；再者，n轮迭代的打乱操作中，前一轮的输出结果作为后一轮的输入，
且每一轮的打乱顺序是某个参与方生成的随机排序，n轮迭代的打乱操作后，每个参与方都无法得到打乱的具体顺序，可以实现打乱的随机性，保证数据的隐私安全。
74.对于系统实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
75.本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。
76.关于上述实施例中的系统，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。
77.本发明实施例提供了一种用于基于秘密分享的不经意随机打乱的装置，包括有存储器，以及一个以上的程序，其中一个以上程序存储于存储器中，且经配置以由一个以上处理器执行所述一个以上程序包含用于进行上述一个或多个实施例中所述的基于秘密分享的不经意随机打乱方法的指令。
78.图3是根据一示例性实施例示出的一种用于基于秘密分享的不经意随机打乱的装置800的框图。例如，装置800可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。
79.参照图3，装置800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出（i/ o）的接口812，传感器组件814，以及通信组件816。
80.处理组件802通常控制装置800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理元件802可以包括一个或多个处理器820来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。
81.存储器804被配置为存储各种类型的数据以支持在设备800的操作。这些数据的示例包括用于在装置800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器（sram），电可擦除可编程只读存储器（eeprom），可擦除可编程只读存储器（eprom），可编程只读存储器（prom），只读存储器（rom），磁存储器，快闪存储器，磁盘或光盘。
82.电源组件806为装置800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为装置800生成、管理和分配电力相关联的组件。
83.多媒体组件808包括在所述装置800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器（lcd）和触摸面板（tp）。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当设备800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
84.音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风（mic），当装置800处于操作模式，如呼叫模式、记录模式和语音信息处理模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。
85.i/ o接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。
86.传感器组件814包括一个或多个传感器，用于为装置800提供各个方面的状态评估。例如，传感器组件814可以检测到设备800的打开/关闭状态，组件的相对定位，例如所述组件为装置800的显示器和小键盘，传感器组件814还可以搜索装置800或装置800一个组件的位置改变，用户与装置800接触的存在或不存在，装置800方位或加速/减速和装置800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如cmos或ccd图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。
87.通信组件816被配置为便于装置800和其他设备之间有线或无线方式的通信。装置800可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件816还包括近场通信（nfc）模块，以促进短程通信。例如，在nfc模块可基于射频信息处理（rfid）技术，红外数据协会（irda）技术，超宽带（uwb）技术，蓝牙（bt）技术和其他技术来实现。
88.在示例性实施例中，装置800可以被一个或多个应用专用集成电路（asic）、数字信号处理器（dsp）、数字信号处理设备（dspd）、可编程逻辑器件（pld）、现场可编程门阵列（fpga）、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。
89.在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器804，上述指令可由装置800的处理器820执行以完成上述方法。例如，所述非临时性计算机可读存储介质可以是rom、随机存取存储器（ram）、cd-rom、磁带、软盘和光数据存储设备等。
90.图4是本发明的一些实施例中服务器的结构示意图。该服务器1900可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器（central processing units，cpu）1922（例如，一个或一个以上处理器）和存储器1932，一个或一个以上存储应用程序1942或数据1944的存储介质1930（例如一个或一个以上海量存储设备）。其中，存储器1932和存储介质1930可以是短暂存储或持久存储。存储在存储介质1930的程序可以包括一个或一个以上模块（图示没标出），每个模块可以包括对服务器中的一系列指令操作。更进一步地，中央处理器1922可以设置为与存储介质1930通信，在服务器1900上执行存储介质1930中的一系列指令操作。
91.服务器1900还可以包括一个或一个以上电源1926，一个或一个以上有线或无线网络接口1950，一个或一个以上输入输出接口1958，一个或一个以上键盘1956，和/或，一个或一个以上操作系统1941，例如windows servertm，mac os xtm，unixtm, linuxtm，
freebsdtm等等。
92.一种非临时性计算机可读存储介质，当所述存储介质中的指令由装置（服务器或者终端）的处理器执行时，使得装置能够执行图1所示的基于秘密分享的不经意随机打乱方法。
93.一种非临时性计算机可读存储介质，当所述存储介质中的指令由装置（服务器或者终端）的处理器执行时，使得装置能够执行前文图1所对应实施例中基于秘密分享的不经意随机打乱方法的描述，因此，这里将不再进行赘述。另外，对采用相同方法的有益效果描述，也不再进行赘述。对于本技术所涉及的计算机程序产品或者计算机程序实施例中未披露的技术细节，请参照本技术方法实施例的描述。
94.此外，需要说明的是：本技术实施例还提供了一种计算机程序产品或计算机程序，该计算机程序产品或者计算机程序可以包括计算机指令，该计算机指令可以存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器可以执行该计算机指令，使得该计算机设备执行前文图1所对应实施例中基于秘密分享的不经意随机打乱方法的描述，因此，这里将不再进行赘述。另外，对采用相同方法的有益效果描述，也不再进行赘述。对于本技术所涉及的计算机程序产品或者计算机程序实施例中未披露的技术细节，请参照本技术方法实施例的描述。
95.本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。
96.应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
97.以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
98.以上对本发明所提供的一种基于秘密分享的不经意随机打乱方法、一种多方安全计算系统、一种用于基于秘密分享的不经意随机打乱的装置和一种可读存储介质，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。