基于區(qū)塊鏈的外包安全多方統(tǒng)計計算可驗證隱私保護(hù)方案
2024-07-17 00:00:00夏虎田雯高建彬張?zhí)炝x高然夏琦
無線電工程 2024年4期
摘 要:安全多方求和/ 乘積是安全多方計算(Secure MultiParty Computation,MPC) 的一種典型問題,近年來在智能電網(wǎng)、電子投票和聯(lián)合征信等場景中有諸多應(yīng)用。如何實現(xiàn)數(shù)據(jù)隱私保護(hù)是安全多方求和/ 乘積計算應(yīng)用領(lǐng)域的一個關(guān)鍵性問題。針對此問題,引入了區(qū)塊鏈構(gòu)建可信數(shù)據(jù)共享環(huán)境,以此為基礎(chǔ)結(jié)合可驗證秘密共享協(xié)議設(shè)計了簡單可行的基于區(qū)塊鏈的外包安全多方統(tǒng)計計算可驗證隱私保護(hù)方案。應(yīng)用實例證明了方案的安全性和可行性,理論分析和實驗測試表明該方案可實現(xiàn)安全多方統(tǒng)計計算過程中數(shù)據(jù)的可驗證隱私保護(hù),且較Feldman 方案在數(shù)據(jù)驗證過程中有更小的計算開銷。
關(guān)鍵詞:區(qū)塊鏈;安全多方計算;智能合約;隱私保護(hù);秘密共享
中圖分類號:TP311 文獻(xiàn)標(biāo)志碼:A 開放科學(xué)(資源服務(wù))標(biāo)識碼(OSID):
文章編號:1003-3106(2024)04-0835-13
0 引言
隨著信息技術(shù)的發(fā)展,網(wǎng)絡(luò)中的數(shù)據(jù)種類和規(guī)模正以前所未有的速度增大,數(shù)據(jù)從簡單的處理對象開始轉(zhuǎn)變?yōu)橐环N基礎(chǔ)性資源[1],已經(jīng)成為眾多企業(yè)和研究者的重點關(guān)注對象,數(shù)據(jù)分析和數(shù)據(jù)挖掘的廣泛應(yīng)用成為了一個發(fā)展趨勢。企業(yè)、運營商等為了提高自己的利潤或其他服務(wù)目的,積極地在各自擁有的數(shù)據(jù)或互聯(lián)網(wǎng)上發(fā)布的數(shù)據(jù)中挖掘其中潛在的價值[2],但隱私泄露的問題也隨之愈加突出。
安全多方計算(Secure MultiParty Computation,MPC)的出現(xiàn)給數(shù)據(jù)挖掘中的隱私保護(hù)問題提供了一種可行辦法。MPC 是隱私計算技術(shù)的一種表現(xiàn)形式,能夠在多個實體共享數(shù)據(jù)、進(jìn)行聯(lián)合多方計算的同時,實現(xiàn)在不暴露加密密鑰的基礎(chǔ)上保護(hù)數(shù)據(jù)機(jī)密性,最終實現(xiàn)數(shù)據(jù)的所有權(quán)和使用權(quán)的分離。近四十年來,許多密碼學(xué)家對其進(jìn)行了廣泛而具體的研究,包括計算模型、計算協(xié)議設(shè)計、可行性分析、實際應(yīng)用和擴(kuò)展等方面[3-17],但是大多MPC 協(xié)議的設(shè)計著重于對每個場景制定單一實踐方案,導(dǎo)致協(xié)議不易于擴(kuò)展,且MPC 協(xié)議的計算復(fù)雜度和通信復(fù)雜度較大,存在數(shù)據(jù)計算過程結(jié)果不可驗證、計算過程不透明導(dǎo)致計算方不易追責(zé)等問題。
區(qū)塊鏈(Blockchain)技術(shù)是一種分布式的互聯(lián)網(wǎng)數(shù)據(jù)庫技術(shù),具有去中心化、去信任化和公開透明等特點,可以使陌生節(jié)點在不依賴于可信第三方的情況下建立點對點的可信價值傳遞[18],實現(xiàn)數(shù)據(jù)的安全共享。隱私計算與區(qū)塊鏈技術(shù)的結(jié)合,既能保證輸入數(shù)據(jù)可信,又能隱藏運算過程,可以很好地進(jìn)行互補。區(qū)塊鏈與MPC 的結(jié)合[19]最早始于零知識證明在區(qū)塊鏈中的應(yīng)用,隨著智能合約將區(qū)塊鏈從僅附加分布式分類賬轉(zhuǎn)換為了可編程狀態(tài)機(jī),隱私智能合約不斷發(fā)展,進(jìn)一步增大了區(qū)塊鏈對MPC 的需求。
近年來,國內(nèi)外學(xué)者對基于區(qū)塊鏈的MPC 進(jìn)行了深入研究。Enigma 協(xié)議[20]允許互不信任的多個參與方共同對數(shù)據(jù)進(jìn)行存儲和計算,并能徹底地保證數(shù)據(jù)的隱私,其計算模型建立在MPC 之上,采用了高度優(yōu)化的可驗證秘密分享體系,一個外部的區(qū)塊鏈Catalys 被用作該存儲計算網(wǎng)絡(luò)的控制器,管理著數(shù)據(jù)的訪問控制權(quán)限和數(shù)字身份,并充當(dāng)一個防篡改的事件日志庫。Andrychowicz 等[21]利用比特幣構(gòu)造了限時承諾,設(shè)計激勵機(jī)制對參與者的行為進(jìn)行限制,防止兩方或多方共謀獲取非法的信息。Guon 等[22]提出了一種基于區(qū)塊鏈的邊緣智能電網(wǎng)雙側(cè)隱私保護(hù)多方計算方案,利用秘密共享的方法來保證邊緣節(jié)點中多方計算的安全性,并提出了一種基于環(huán)簽名的數(shù)據(jù)混淆方法和一種新的一次性地址方案以保護(hù)數(shù)據(jù)通信雙方的隱私。Gao等[3]用一種激勵機(jī)制來鼓勵各方合作解決了MPC中的公平性和健壯性問題,并用博弈論證明了方案的公平性。以上研究關(guān)注的更多是安全多方和協(xié)議中的數(shù)據(jù)隱私和正確性、半誠實模型下的數(shù)據(jù)公平性和魯棒性以及數(shù)據(jù)外包MPC 過程的隱私性,而忽略了實際應(yīng)用場景下個人節(jié)點計算資源有限需要利用專有計算節(jié)點進(jìn)行輔助計算時專有計算節(jié)點的計算資源利用率問題。以下是對相關(guān)問題的詳細(xì)補充內(nèi)容:
① 計算資源稀缺性問題:引入?yún)^(qū)塊鏈和MPC結(jié)合后,計算資源的稀缺性變得尤為明顯,特別是在分布式網(wǎng)絡(luò)中。由于個人節(jié)點計算資源有限,如何更有效地利用區(qū)塊鏈系統(tǒng)中的節(jié)點算力成為一個緊迫的問題。盡管某些研究已經(jīng)關(guān)注了這一問題,但在實際應(yīng)用中的解決方案仍然需要更深入的研究。例如,一些方案可能嘗試通過任務(wù)調(diào)度和資源分配的方式來最大化節(jié)點的計算能力。
② 專有計算節(jié)點利用率挑戰(zhàn):大部分研究側(cè)重于多方參與的計算過程,而忽略了在實際應(yīng)用中,個人節(jié)點可能需要借助專有計算節(jié)點進(jìn)行輔助計算的情況。在這種情況下,如何優(yōu)化專有計算節(jié)點的利用率成為一個關(guān)鍵問題。尚未有充分解決專有計算節(jié)點利用率的成熟方案。未來的研究可以考慮設(shè)計智能合約或機(jī)制,以更有效地整合和利用專有計算節(jié)點,從而提高整體計算資源的利用率。
③ 分布式計算效率問題:區(qū)塊鏈本質(zhì)上是一種分布式系統(tǒng),而MPC 需要多個參與方的合作。在此背景下,如何設(shè)計計算任務(wù)的分發(fā)和協(xié)調(diào)機(jī)制,以提高整體計算效率,降低通信復(fù)雜度,是需要深入研究的方向。已有一些關(guān)注分布式計算效率的研究,通過改進(jìn)任務(wù)分發(fā)和協(xié)調(diào)機(jī)制來提高整體效率。然而,這仍然是一個不斷發(fā)展的領(lǐng)域,需要更多關(guān)于分布式計算優(yōu)化的研究。
④ 可擴(kuò)展性問題:現(xiàn)有的MPC 協(xié)議設(shè)計通常局限于對每個場景的單一實踐方案,導(dǎo)致協(xié)議不易擴(kuò)展。在區(qū)塊鏈MPC 中,如何設(shè)計具有良好可擴(kuò)展性的協(xié)議,以適應(yīng)不同規(guī)模和復(fù)雜度的計算任務(wù),是一個需要解決的問題。目前已有一些嘗試提高可擴(kuò)展性的工作,但這仍然是一個挑戰(zhàn)。未來的研究可以探索更靈活的協(xié)議結(jié)構(gòu)或算法,以實現(xiàn)更好的可擴(kuò)展性。
⑤ 計算過程可驗證性問題:區(qū)塊鏈要求計算過程具有可驗證性,以確保計算結(jié)果的正確性和透明性。在MPC 過程中實現(xiàn)計算結(jié)果的可驗證性是一個亟待解決的挑戰(zhàn)。一些研究已經(jīng)開始考慮如何確保MPC 過程中計算結(jié)果的可驗證性,以滿足區(qū)塊鏈的公開透明要求。然而,這仍然需要更多的工作來建立更強(qiáng)大的機(jī)制,確保計算的合法性。
針對上述問題,本文提出了一種基于區(qū)塊鏈的外包安全多方統(tǒng)計計算隱私保護(hù)方案(OutsourcingSecure Multiparty Statistical Computing Privacy Protection Scheme based on Blockchain,OSPPS)。該方案將外包計算節(jié)點進(jìn)行分簇,可以同時響應(yīng)多項外包計算請求,從而充分利用區(qū)塊鏈系統(tǒng)中節(jié)點的算力;針對聯(lián)合統(tǒng)計計算任務(wù)外包過程中的數(shù)據(jù)不透明問題,引入?yún)^(qū)塊鏈構(gòu)建可信執(zhí)行環(huán)境,將執(zhí)行外包計算任務(wù)的節(jié)點納入?yún)^(qū)塊鏈系統(tǒng)中,構(gòu)建一套帶懲罰機(jī)制的節(jié)點管理智能合約,加強(qiáng)對節(jié)點的可控管理;針對聯(lián)合統(tǒng)計計算任務(wù)外包過程的數(shù)據(jù)隱私保護(hù)問題,提出基于秘密共享的外包MPC 機(jī)制,使用隨機(jī)參數(shù)對秘密輸入進(jìn)行混淆,設(shè)計基于可驗證秘密共享協(xié)議的數(shù)據(jù)驗證機(jī)制保障MPC 方案的公平性,保證數(shù)據(jù)在傳遞和計算的過程中始終以秘密的方式進(jìn)行呈現(xiàn)。
1 相關(guān)技術(shù)
1. 1 MPC
MPC 最早是由華裔計算機(jī)科學(xué)家、圖靈獎獲得者姚期智教授通過百萬富翁問題[23]提出的,而后經(jīng)過Goldreich 等[24]的不斷研究,通過GMW 協(xié)議給出了實質(zhì)性的描述。百萬富翁問題指的是,在沒有可信第三方的前提下,2 個百萬富翁如何不泄露自己的真實財產(chǎn)狀況來比較誰更有錢。姚教授將兩方的數(shù)據(jù)計算抽象為一個邏輯電路,對電路輸入進(jìn)行混淆后由一方發(fā)送給另一方進(jìn)行計算最后公布輸出,計算過程中雙方不進(jìn)行私有輸入數(shù)據(jù)的交互,雙方除最終的比較結(jié)果外得不到任何中間結(jié)果。經(jīng)過眾多學(xué)者的努力,其已成為密碼學(xué)研究的一個重要分支,協(xié)議參與者個數(shù)也由兩方擴(kuò)展到多方。
MPC 模型如圖1 所示,可概括如下:P = {P1 ,P2 ,…,PN }是N 個參與者集合,他們想要共同“安全地”計算某個給定的有N 個輸入和N 個輸出的函數(shù)f(x1 ,x2 ,…,xN )= (y1 ,y2 ,…,yN )。其中,函數(shù)f 的N 個輸入x1 ,x2 ,…,xN 分別由N 個參與者P1 ,P2 ,…,PN 秘密地掌握而不被他人知道,在計算結(jié)束后,P1 ,P2 ,…,PN 分別得到輸出y1 ,y2 ,…,yN 。同時MPC 的安全性要求即使在某些參與者存在欺騙行為的情況下,仍然保證計算結(jié)果的正確性,即計算結(jié)束后每個誠實的參與者Pi 都能得到正確的輸出yi,同時還要求保證參與者輸入的保密性,即每個參與者Pi 除了知道(xi,yi)以及從中推導(dǎo)出的信息之外,得不到任何其他信息。
秘密共享是許多MPC 協(xié)議的核心,是必不可少的密碼原語。最早被提出的秘密共享模型是門限類的秘密共享模型,如著名的Shamir[25](t,n)門限秘密共享體制,在(t,n)門限秘密共享體制中,秘密的持有者把秘密分割成n 個份額,分別分配于n 個參與者,使得只有獲得這n 個份額中的至少t 個才可能有效地恢復(fù)出原來的秘密,而任何少于t 個的份額集合都不能恢復(fù)出原來的秘密,得不到關(guān)于原秘密任何有用的信息。如果要共享有限域K 上的元素a,則密鑰管理中心選擇K 上至多t-1 次的隨機(jī)多項式f(x)滿足f(0)= a,然后將ai = f(i)通過秘密信道發(fā)送給Pi(1≤i≤n)。該方式可使得任何t-1 份秘密信息都不能恢復(fù)出關(guān)于a 的任何信息,而任意t 份子秘密重構(gòu)都可以得到元素a。
為了檢驗秘密共享的正確性,出現(xiàn)了可驗證的秘密共享方案。一個正常執(zhí)行的可驗證秘密共享方案能夠保證:在秘密分發(fā)階段,分發(fā)者發(fā)送給參與者的共享是正確的;在秘密恢復(fù)階段,參與者提交的共享也是正確的[26]。Feldman VSS[27] 是一種基于Shamir 秘密共享構(gòu)造的可驗證秘密共享方案。用戶要共享一個秘密s,分給n 個參與者,其中任意t 個參與者可以重構(gòu)秘密s,尋找一個t - 1 次多項式f(x)= a0 +a1 x+…+at-1 xt-1 ,其中a0 = s;用戶為每一個參與者任意選擇非0 的xi 計算si = f(xi )為i 的子秘密發(fā)送給參與者Pi,同時該用戶計算Ai = gaj,其中j= 0,1,…,t-1,并公開這些參數(shù);參與者收到秘密si后,t 通過式(1)是否成立驗證si 的有效性。
1. 2 區(qū)塊鏈技術(shù)
區(qū)塊鏈?zhǔn)欠植际綌?shù)據(jù)存儲、點對點傳輸、共識機(jī)制和加密算法等技術(shù)的集成應(yīng)用,是使用密碼技術(shù)將共識確認(rèn)過的區(qū)塊按順序追加而形成的分布式賬本[28]。區(qū)塊鏈的意義在于消除對中心化實體的需求,以協(xié)調(diào)網(wǎng)絡(luò)中交易方之間的交易或流程[29]。2008 年,比特幣的誕生標(biāo)志著區(qū)塊鏈技術(shù)的第一次落地應(yīng)用,此后,區(qū)塊鏈技術(shù)不斷發(fā)展,其應(yīng)用從最初的金融領(lǐng)域,已經(jīng)延伸到物聯(lián)網(wǎng)、智能制造、供應(yīng)鏈管理和數(shù)字資產(chǎn)交易等多個領(lǐng)域。
智能合約是由Nick Szabo 在20 世紀(jì)90 年代提出的概念,由于缺乏可信環(huán)境而未能實現(xiàn)實際應(yīng)用,區(qū)塊鏈技術(shù)本身包含的可信執(zhí)行環(huán)境特性與智能合約要求天然契合,在區(qū)塊鏈2. 0 時代,智能合約賦予區(qū)塊鏈可編程的特性,可以存儲價值和維持自己的狀態(tài)。基于區(qū)塊鏈技術(shù)的智能合約不僅使流程自動化,而且使結(jié)果難以篡改,這確保了對系統(tǒng)的信任[30]。將智能合約以數(shù)字化的形式寫入?yún)^(qū)塊鏈中,通過區(qū)塊鏈技術(shù)的特性來保障數(shù)據(jù)的存儲、讀取和執(zhí)行,實現(xiàn)整個過程透明可跟蹤、不可篡改。同時,由區(qū)塊鏈自帶的共識算法構(gòu)建出的一套狀態(tài)機(jī)系統(tǒng)將使得智能合約的運行非常高效。
2 方案模型
方案的總體體系結(jié)構(gòu)如圖2 所示,該系統(tǒng)為滿足數(shù)據(jù)外包計算過程中的隱私保護(hù),改變了傳統(tǒng)貨幣區(qū)塊鏈系統(tǒng)中礦工的算力打包區(qū)塊獲取利益的方式,部分節(jié)點可作為MPC 節(jié)點按照不同的計算需要作為服務(wù)提供方完成鏈下節(jié)點的外包計算過程從而獲得收益,因此本系統(tǒng)除了數(shù)據(jù)外有3 種角色,分別是MPC 參與方、計算節(jié)點和驗證節(jié)點。
MPC 參與方:MPC 參與方是系統(tǒng)的被服務(wù)方,享受區(qū)塊鏈系統(tǒng)中的節(jié)點提供的安全計算的服務(wù)并支付一定量的傭金,負(fù)責(zé)將數(shù)據(jù)以秘密共享的形式傳到服務(wù)方節(jié)點中,參與方集合要求人數(shù)至少為2,他們需要對數(shù)據(jù)進(jìn)行預(yù)處理以保證數(shù)據(jù)分發(fā)過程中的安全性。
計算節(jié)點:MPC 數(shù)據(jù)計算過程由計算節(jié)點參與,既要從區(qū)塊鏈上讀取和計算任務(wù)相關(guān)的參數(shù),如參與者的公鑰集合,還要負(fù)責(zé)與驗證節(jié)點就數(shù)據(jù)處理過程的有效性進(jìn)行確認(rèn)。
驗證節(jié)點:驗證節(jié)點需要對MPC 參與方的計算任務(wù)進(jìn)行審核,包括任務(wù)的傭金是否滿足需要,并決定管理的計算節(jié)點是否參與計算任務(wù)以及哪些節(jié)點參與計算任務(wù)。
3 基于區(qū)塊鏈的外包安全多方統(tǒng)計計算可驗證隱私保護(hù)模型設(shè)計理念
3. 1 計算節(jié)點管理
計算節(jié)點可以看作是區(qū)塊鏈系統(tǒng)中特殊的“礦工”,區(qū)塊鏈系統(tǒng)中的正常事務(wù)處理的打包由記賬節(jié)點負(fù)責(zé),而計算節(jié)點可以利用自己的計算資源“承接”外包計算任務(wù),由于是鏈上節(jié)點,其數(shù)據(jù)處理全過程受區(qū)塊鏈監(jiān)管,處理過程透明且自動化執(zhí)行,保證了系統(tǒng)的安全可信。針對計算節(jié)點在模型中參與的通信過程設(shè)計了3 類智能合約來實現(xiàn)對計算節(jié)點的全生命周期管控,下面是這3 類智能合約及其各自詳細(xì)設(shè)計說明。
(1)初始化合約(IeC)
為了充分利用計算節(jié)點的計算資源,在系統(tǒng)創(chuàng)世區(qū)塊產(chǎn)生后需要執(zhí)行IeC 的內(nèi)容,將區(qū)塊鏈系統(tǒng)中滿足信譽值條件且計算能力足夠的節(jié)點進(jìn)行分簇,在每簇中選取一個簇頭節(jié)點負(fù)責(zé)外包計算任務(wù)的轉(zhuǎn)接響應(yīng)、維護(hù)簇內(nèi)可通信列表等任務(wù)。
合約邏輯如下:
① 驗證節(jié)點發(fā)布多項簡易計算任務(wù)以及任務(wù)最晚完成時限。
② 時限截止時,驗證節(jié)點收集已完成所有計算任務(wù)的礦工節(jié)點,并將其組成計算節(jié)點集合。
③ 驗證節(jié)點基于圖的算法指定N 個計算節(jié)點簇的簇組節(jié)點。其余計算節(jié)點根據(jù)通信響應(yīng)時長最短原則自動加入某個計算節(jié)點簇。節(jié)點選擇完成后,計算節(jié)點簇內(nèi)共同維護(hù)一個可通信列表和簇狀態(tài)數(shù)組。
④ 初始化各計算節(jié)點簇的平均信譽值為系統(tǒng)初始值。
(2)計算節(jié)點簇選取合約(SeC)
為了保證承擔(dān)數(shù)據(jù)用戶發(fā)起的外包計算請求時選取的計算節(jié)點簇的公平性,對于每一個驗證通過的外包計算請求,驗證節(jié)點需要通過SeC 選取出執(zhí)行該請求的計算節(jié)點簇。該合約的設(shè)計理念是平均信譽值越高的計算節(jié)點簇被選取的概率越大。
合約偽代碼如下:
function Select(SigGWit,GG _ Com,P _ H,rand,task _ID)
if Verify(SigGWit)= = true then
# 用于存儲符合條件的計算節(jié)點簇及其權(quán)重
validNodes = []
# 計算符合條件的計算節(jié)點簇的總權(quán)重
totalWeight = 0
# 遍歷計算節(jié)點簇數(shù)組,篩選出信譽值大于等于閾值的節(jié)點簇
for each node inGG_Com do
if node. score ≥ P_H then
validNodes. push(node)
totalWeight + = node. score - P_H
end if
end for
#生成范圍在[0,totalWeight]的隨機(jī)數(shù)
selectNum = rand(0,totalWeight)
∥根據(jù)隨機(jī)數(shù)選擇計算節(jié)點簇
selectedNode = null
cumulativeWeight = 0
for each node invalidNodes do
cumulativeWeight + = node. score - P_H
if selectNum < cumulativeWeight then
selectedNode = node
break
end if
end for
# 返回選取的計算節(jié)點簇
return selectedNode
end if
end function
(3)計算節(jié)點獎懲合約(ReC)
為了實現(xiàn)對計算節(jié)點行為的正向激勵、維護(hù)系統(tǒng)穩(wěn)定,設(shè)計了ReC,其設(shè)計理念是計算節(jié)點正確執(zhí)行外包計算任務(wù)要求的數(shù)據(jù)交互和數(shù)據(jù)計算后將獲得任務(wù)對應(yīng)的獎勵費用并提升信譽值;反之則扣除承擔(dān)任務(wù)時抵付的押金并降低信譽值。
合約邏輯如下:節(jié)點激勵機(jī)制旨在通過激勵層分配獎勵,推動節(jié)點正確執(zhí)行區(qū)塊鏈協(xié)議。機(jī)制貫穿MPC 合約執(zhí)行全過程,確保計算節(jié)點簇和鏈下用戶節(jié)點數(shù)據(jù)計算正確。對鏈下用戶,驗證輸入正確性,不通過將沒收押金。對鏈上計算節(jié)點,按輪次驗證計算結(jié)果,通過則獎勵信譽值和服務(wù)費用,不通過則扣信譽值和押金。驗證通過的計算節(jié)點獲得獎勵,未通過的節(jié)點受到懲罰。
3. 2 共識算法
本模型中驗證節(jié)點按照共識算法完成對外包計算請求的響應(yīng)、計算節(jié)點簇的選取和計算節(jié)點的行為監(jiān)督等工作。針對驗證節(jié)點在模型中參與的通信過程設(shè)計了共識算法來實現(xiàn)對驗證節(jié)點的行為監(jiān)督和區(qū)塊鏈?zhǔn)聞?wù)的狀態(tài)同步。共識算法按輪次T1 進(jìn)行,在每一個輪次T1 中有一個proposer 節(jié)點負(fù)責(zé)當(dāng)前輪次的任務(wù)并發(fā)起投票,其余驗證節(jié)點做出投票響應(yīng)和彼此間狀態(tài)同步。對于每一個外包安全多方統(tǒng)計計算任務(wù),驗證節(jié)點是否接受任務(wù)請求的響應(yīng)算法如算法1 所示。
驗證節(jié)點若同意了MPC 參與方集體發(fā)起的外包計算任務(wù)請求,則在選擇好具體的計算節(jié)點簇后需要將計算節(jié)點簇的有關(guān)信息告知給MPC 參與方集體,MPC 參與方集體將自己的秘密輸入分配給計算節(jié)點簇中的各計算節(jié)點,再由驗證節(jié)點隨機(jī)選取t個計算節(jié)點,逐一對它們從MPC 參與方集體處獲取到的秘密份額和可驗證秘密份額做份額驗證,驗證共識算法如算法2 所示。
若MPC 參與方集體提供的秘密輸入均通過驗證后則計算節(jié)點開始按照外包安全多方統(tǒng)計計算的任務(wù)需要執(zhí)行數(shù)據(jù)交互和數(shù)據(jù)計算,數(shù)據(jù)交互按輪次T2 進(jìn)行,在每個T2 輪次中由驗證節(jié)點按照算法執(zhí)行對計算節(jié)點的行為監(jiān)督。
若MPC 參與方集體在一定時限內(nèi)沒有收到外包計算請求的響應(yīng)結(jié)果或者被通知需要重新發(fā)起外包計算請求,則可以重新發(fā)起一條費用為0 的相同任務(wù)編號的外包計算請求,由新輪次的proposer 節(jié)點按照共識算法執(zhí)行響應(yīng),具體算法如算法3 所示。
3. 3 數(shù)據(jù)驗證機(jī)制
為了增強(qiáng)對數(shù)據(jù)用戶即MPC 參與方集體的行為約束設(shè)計的數(shù)據(jù)驗證機(jī)制是本方案的重要內(nèi)容,也是保證MPC 參與方集體正確執(zhí)行數(shù)據(jù)預(yù)處理操作的重要支撐。其設(shè)計理念是借助可驗證秘密共享方案對基于同態(tài)秘密共享方案的秘密份額進(jìn)行驗證,旨在在保護(hù)秘密輸入的隱私安全的前提下以較小的驗證計算消耗完成數(shù)據(jù)驗證。數(shù)據(jù)驗證機(jī)制包含如下3 個過程。
① 數(shù)據(jù)秘密共享。MPC 參與方集體從驗證節(jié)點獲取到所選的計算節(jié)點簇的有關(guān)信息和一組隨機(jī)數(shù)后,利用隨機(jī)數(shù)將自己的真實秘密輸入做混淆處理,再利用類似文獻(xiàn)[31]中的方法和同態(tài)Shamir 算法分別生成可驗證秘密份額和秘密份額Sinput _share 一起分發(fā)出去。
② 可驗證秘密份額驗證。proposer 節(jié)點從計算節(jié)點簇中隨機(jī)選擇t 個計算節(jié)點,t 個所選計算節(jié)點利用各自的私鑰和MPC 參與方集體的公鑰計算出各自的Y 給驗證節(jié)點,驗證節(jié)點對t 個計算節(jié)點提供的Y 逐一作判斷驗證計算節(jié)點提供的可驗證秘密份額是否正確。
③ 秘密份額重構(gòu)驗證。只有所選的t 個計算節(jié)點均通過可驗證秘密份額驗證時才執(zhí)行秘密份額重構(gòu)驗證。其設(shè)計理念是將所選t 個計算節(jié)點的Y、公鑰連同MPC 參與方集體提供的已知參數(shù)一起作為輸入,按照插值公式構(gòu)建出可驗證秘密重構(gòu)結(jié)果,所得結(jié)果與t 個計算節(jié)點的秘密份額Sinput_share 的重構(gòu)結(jié)果做對比,一致則驗證通過;反之則不通過。
3. 4 安全目標(biāo)
本方案的目標(biāo)是設(shè)計一種基于區(qū)塊鏈的外包并行MPC 隱私保護(hù)方案。特別地,本文所提的方案需要達(dá)到以下幾點需求。
① 高效性。本文所提出的方案可以同時實現(xiàn)多組外包MPC 的快速響應(yīng)需要,且不降低MPC 結(jié)果的準(zhǔn)確性。
② 安全性。參與方的秘密輸入數(shù)據(jù)、MPC 協(xié)議中間計算結(jié)果的隱私安全應(yīng)該得到保證。參與方不能“偽造”秘密輸入份額、計算節(jié)點不能“偽造”中間計算結(jié)果且驗證節(jié)點不能“偽造”計算請求的響應(yīng)結(jié)果和計算節(jié)點的輪次交互驗證結(jié)果。
③ 準(zhǔn)確性。在滿足一定數(shù)量的可信計算節(jié)點的情況下MPC 的結(jié)果具有確定性和準(zhǔn)確性。
4 方案流程
前述的模型設(shè)計理念給出了方案成立的基本條件,即驗證節(jié)點受共識算法鉗制能夠?qū)ν獍嬎阏埱蟮捻憫?yīng)、秘密輸入的有效性驗證、計算節(jié)點的行為驗證3 個過程做出正確響應(yīng)結(jié)果;MPC 參與方受數(shù)據(jù)驗證機(jī)制影響需要嚴(yán)格執(zhí)行方案要求;計算節(jié)點受計算節(jié)點管理合約的管控,出于長期利益考慮將正確執(zhí)行外包計算任務(wù)。方案共分為MPC 任務(wù)請求的發(fā)起階段、MPC 任務(wù)請求的響應(yīng)階段、秘密輸入的共享及驗證階段、輔助驗證階段和結(jié)果輸出階段。具體符號說明如表1 所示。
4. 1 MPC 任務(wù)請求的發(fā)起階段
某一MPC 參與方集體Puser 經(jīng)過協(xié)商一致完成某一統(tǒng)計計算智能合約MPCContract 的設(shè)計,合約包含兩部分;一部分是統(tǒng)計計算函數(shù);另一部分是輔助驗證函數(shù)。隨后發(fā)送帶有群簽名的合約信息給集體中的某一位確定成員PM 進(jìn)行合約部署。PM 驗證群簽名是否正確,驗證通過PM 將該合約編譯部署到區(qū)塊鏈上,并返回合約標(biāo)識task_ID 等信息。
隨后MPC 參與方集體Puser 中的任意一個參與方需要將自己的秘密輸入通過秘密共享的方式分發(fā)給計算節(jié)點。這里以一個參與方的秘密輸入的共享及驗證涉及的參數(shù)進(jìn)行舉例。一個參與方生成2 個大素數(shù)p、q,計算N = p×q;進(jìn)一步選擇數(shù)Q 和g,其中Q 為大于N 的任意一個整數(shù),g 為異于p、q 的[根號下N ,N]的一個整數(shù);隨后隨意地選擇一個與p-1和q-1 都互素的整數(shù)SK0 ∈[2,N]作為該參與者的私鑰,計算PK0 = gSK0 modN 作為公鑰;進(jìn)一步計算滿足SK0 ×M = 1modφ(N)。
MPC 參與方集體Puser 各自生成了有關(guān)參數(shù)并成功部署了統(tǒng)計計算智能合約以后即可發(fā)起MPC計算請求message(Siguser,task_ID,gas,{[gi,Ni,Qi,Mi],i∈[1, Puser ]},請求由合約部署者PM 發(fā)起,請求內(nèi)容包含簽名、合約標(biāo)識和任務(wù)支付費用等信息。
4. 2 MPC 任務(wù)請求的響應(yīng)階段
鏈上驗證節(jié)點收到請求以后調(diào)用算法1 驗證請求是否通過,驗證內(nèi)容包括對簽名的有效性驗證及參與方對該任務(wù)的支付費用gas 是否大于任務(wù)難度映射的費用e(task_ID). gas,映射關(guān)系為任務(wù)難度越大支付費用越高,任務(wù)難度由統(tǒng)計計算智能合約轉(zhuǎn)化為布爾電路的電路層級數(shù)和門數(shù)決定。驗證通過后驗證節(jié)點將調(diào)用計算節(jié)點SeC,選取出用于執(zhí)行計算任務(wù)的計算節(jié)點簇select_N。
選取以后驗證節(jié)點需要發(fā)送通知消息給計算節(jié)點簇select_N 通知其準(zhǔn)備執(zhí)行任務(wù),計算節(jié)點簇中的每個計算節(jié)點按照MPC 參與方集體Puser 提供的系統(tǒng)參數(shù)生成一次性公私鑰用于對秘密輸入份額的驗證。首先計算節(jié)點Pselect_Ni,隨機(jī)選擇一個互異的整數(shù)SKi∈[2,N]作為該計算節(jié)點的私鑰也就是可驗證秘密共享份額,計算PKi = gSKi modN 作為公鑰。發(fā)送公鑰給驗證節(jié)點,驗證節(jié)點接收以后返回任務(wù)請求的響應(yīng)message(pk_select_N,true,{nonce})給MPC 集體Puser。{nonce}是統(tǒng)計計算結(jié)果為0 或1的一組數(shù)集合。
4. 3 秘密輸入的共享及驗證階段
MPC 參與方集體Puser 收到來自驗證節(jié)點的接受請求響應(yīng)以后各參與方隨機(jī)選取noncei,需要將自己的秘密輸入與noncei 計算后通過秘密共享的方式分發(fā)給選定的計算節(jié)點。這可以保證秘密共享份額驗證時的正確性。以一個參與者將自己的秘密輸入利用秘密共享進(jìn)行共享及驗證舉例說明。假定所選的計算節(jié)點簇的計算節(jié)點總數(shù)為n,秘密共享門限閾值為t。一個擁有秘密輸入的參與方Puseri 計算Ri = PKSKi I modN 并使用n +1 個點(0,S +noncei ),(PK1 ,R1 ),…,(PKn,Rn )去構(gòu)建n 階多項式f(x)modQ,如式(2)所示:
f(x) = a0 + a1 x + a2 x2 + … + an xn modQ。(2)
緊接著參與方借助shamir 秘密共享方案利用不同的計算節(jié)點公鑰生成不同的秘密份額Sinput_sharei 和輔助驗證份額assist_sharei 發(fā)送出去。然后參與方向驗證節(jié)點發(fā)送消息message({[hi,f(hi )],i∈[1,n+1-t]})以驗證秘密份額的正確性,其中hi為集合[1,Q-1]-{PKi i∈[1,n]}中第i 小的整數(shù)。驗證節(jié)點需要任意選取所選計算節(jié)點簇select_N中的t 個節(jié)點進(jìn)行秘密份額的輔助驗證,該t 個所選計算節(jié)點A = {Pv 1 ,Pv 2 ,…,Pvt }各自計算Yvi =PK0 SKvi modN 并發(fā)送給驗證節(jié)點,驗證節(jié)點利用t 個Yvi 進(jìn)行式(3)的互相驗證以決定是否相信MPC 參與方的身份驗證。
YMvi = PKvi modN。(3)
所選t 個計算節(jié)點提供的Yvi 均滿足式(3)時,認(rèn)為該t 個計算節(jié)點可以成功構(gòu)建出參與方的秘密。利用該t 個參與方的Sinput_sharei 借助shamir秘密共享方案重構(gòu)出的秘密值與利用n + 1 個點{[hi,f(hi )],i∈[1,n +1 -t],[(PKvj,Yvj ),j∈ [1,t]]},按照式(4)構(gòu)建出的秘密值S = f(0)modQ 進(jìn)行比對,一致則認(rèn)為MPC 參與方秘密份額共享正確。
4. 4 輔助驗證階段
秘密輸入份額驗證通過后的計算節(jié)點從區(qū)塊鏈上下載MPC 計算智能合約MPCContract,按照MPC計算智能合約MPCContract 轉(zhuǎn)化為布爾電路的電路層級數(shù)作為數(shù)據(jù)交互計算的輪次數(shù)T2 ,在每一輪T2 中對輔助驗證份額按照輔助驗證函數(shù)要求做一定計算,計算函數(shù)滿足同態(tài)性,計算結(jié)果份額提交給驗證節(jié)點做驗證,驗證節(jié)點在每一輪次收到計算份額以后做同態(tài)結(jié)果驗證。本方案假定每輪中計算節(jié)點輔助計算驗證通過則表明計算節(jié)點正確執(zhí)行了MPC 計算智能合約;若驗證不通過則終止合約執(zhí)行并通知MPC 參與方集體Puser 重新發(fā)起計算請求并調(diào)用節(jié)點獎懲合約對計算節(jié)點簇的信譽值做一定更改。
4. 5 結(jié)果輸出階段
計算節(jié)點簇中的計算節(jié)點完成MPC 計算智能合約操作以后返回給各參與方計算結(jié)果份額Soutput_share,各參與方收到t 個Soutput_share 以后利用秘密共享方案進(jìn)行秘密統(tǒng)計計算結(jié)果重構(gòu),重構(gòu)結(jié)果即為真實輸出結(jié)果。此時proposer 節(jié)點將該MPC 計算請求從待處理的外包計算請求池中進(jìn)行剔除。
5 隱私安全分析
5. 1 身份隱私保護(hù)
為了隱藏MPC 參與方集體共識通過后發(fā)起計算任務(wù)請求的發(fā)起者身份,使用了Chaum 提出的群簽名技術(shù),群簽名既可以實現(xiàn)一個參與者代表群體進(jìn)行簽名,又能實現(xiàn)在群管理者的參與下對簽名者身份的可追蹤性。
5. 2 數(shù)據(jù)安全
MPC 中的數(shù)據(jù)隱私安全主要是保證數(shù)據(jù)所有者將私有數(shù)據(jù)進(jìn)行聯(lián)合計算過程中各方數(shù)據(jù)的私密性、計算過程及結(jié)果的公平性,因此可以將數(shù)據(jù)隱私安全分為三方面:一是輸入數(shù)據(jù)的有效性;二是輸入數(shù)據(jù)的隱私性;三是協(xié)議的抗合謀攻擊能力。輸入數(shù)據(jù)的有效性是保證MPC 計算結(jié)果公平性的必要條件,而輸入數(shù)據(jù)的隱私性和抗合謀攻擊能力是MPC 協(xié)議/ 方案的必備特性。
(1)MPC 參與方提供的秘密輸入份額的有效性
在本方案中,MPC 參與方可能出于自身利益需要偽造秘密份額,本方案采取的借助可驗證秘密共享方案驗證秘密共享份額的方法可以有效解決該問題。
假設(shè)MPC 參與方集體中的一個參與方Pi 從驗證節(jié)點返回的隨機(jī)數(shù)參數(shù)中隨機(jī)選取出一個,和自身的私密輸入數(shù)據(jù)做統(tǒng)計計算所得結(jié)果為混淆秘密輸入Si。則該參與方可能進(jìn)行的偽造秘密份額操作的情況有以下幾種:
① 參與方提供給驗證節(jié)點的可驗證秘密份額集合[hi,f(hi )],i∈[1,n+1-t]正確而對秘密共享份額中的一個或多個進(jìn)行偽造。
證明:根據(jù)文獻(xiàn)[29]證明計算節(jié)點簇中的任意t 個計算節(jié)點的可驗證秘密份額做一定計算需要滿足式(3)才被認(rèn)為可驗證秘密份額正確可知,只要驗證節(jié)點隨機(jī)選取一組包含t 個計算節(jié)點的集合A = {Pv 1 ,Pv 2 ,…,Pvt},每個計算節(jié)點計算Yvi 并發(fā)送給驗證節(jié)點,則可將Yvi 做式(5)的變化驗證計算節(jié)點是否為誠實節(jié)點。
若該t 個計算節(jié)點提供的Yvi 均滿足上式即認(rèn)為該t 個計算節(jié)點可以用于重構(gòu)出秘密,又由于參與方提供給驗證節(jié)點的可驗證秘密份額集合正確,則由插值公式特點可知按照式(4)可以重構(gòu)出真實秘密輸入S′= Si。而假設(shè)該t 個計算節(jié)點包含擁有偽造的秘密份額的節(jié)點,則利用shamir 秘密重構(gòu)算法可得S″≠Si,即證明參與方提供的秘密輸入份額有誤,對參與方進(jìn)行追責(zé)。
根據(jù)該證明的假設(shè)條件可知,當(dāng)秘密份額存在偽造時參與方未被追責(zé)的概率為((n -x)!· (n -t)! / (n-x-t)!),其中x 為偽造的秘密份額個數(shù)。
② 參與方提供給驗證節(jié)點的可驗證秘密份額集合[hi,f(hi )],i∈[1,n+1-t]中的一個或多個偽造份額而shamir 秘密份額為正確的。
證明:根據(jù)文獻(xiàn)[31]中的安全性證明可知,參與方提供給驗證節(jié)點的可驗證秘密份額存在一個或多個偽造份額時,驗證節(jié)點從計算節(jié)點簇中隨機(jī)選取t 個計算節(jié)點,這些節(jié)點各自計算Yvi = PKSKvi 0 modN 并發(fā)送給驗證節(jié)點,由于可驗證秘密份額均正確故可得到Yvi 滿足式(3)。
此時驗證節(jié)點認(rèn)為該t 個計算節(jié)點可以重構(gòu)出真實秘密,而由于插值公式的特性可知重構(gòu)出的n 階多項式不等同于原來的多項式,所得結(jié)果與shamir 重構(gòu)結(jié)果不一致故可證得參與方提供的秘密份額有誤,即可對參與方進(jìn)行追責(zé)。
③ 參與方提供的可驗證秘密份額集合[hi,f(hi)],i∈[1,n+1-t]和shamir 秘密份額均存在一個或多個偽造的情況。
證明:同②的證明。
(2)MPC 參與方秘密輸入的隱私性
如5. 1 節(jié)的描述,MPC 參與方集體中的每個參與方將自己的秘密輸入Sinput 聯(lián)合隨機(jī)選取的參數(shù)nonce 一起進(jìn)行統(tǒng)計計算得到最終秘密輸入S,該秘密輸入經(jīng)過可驗證秘密共享和shamir 秘密共享后發(fā)送出去,再由驗證節(jié)點對秘密份額做重構(gòu)可得到S′= S″= S 。
由于S≠Sinput 且驗證節(jié)點不能確定參與方各自選取的nonce 參數(shù)的具體數(shù)值,故不能得到參與方的真實輸Sinput,只能猜測出參與方的真實秘密輸入為S′-{nonce}集合中的任意一個,即可得到參與方輸入泄露的概率為1 / Puser 。參與方人數(shù)較多時1 / Puser 可忽略不計。可證得參與方的真實秘密輸入在數(shù)據(jù)傳輸和數(shù)據(jù)計算過程中始終不會暴露,做到了參與方輸入的數(shù)據(jù)安全。
(3)數(shù)據(jù)抗參與者合謀攻擊能力
由5. 1 節(jié)可知,驗證節(jié)點將生成一組統(tǒng)計計算結(jié)果為0 或1 的隨機(jī)數(shù)參數(shù)集合{nonce},而MPC參與方集體Puser 中的參與方隨機(jī)選取一個參數(shù)與自身秘密輸入進(jìn)行統(tǒng)計計算得到最終秘密輸入S。由方案的安全模型可知,驗證節(jié)點是誠實節(jié)點其不會與參與方串通公布參與方的最終秘密輸入S。涉及利益需要的參與者合謀攻擊是針對隨機(jī)數(shù)參數(shù)的一類攻擊,是指攻擊者與MPC 參與方集體Puser 中的一個或多個參與者聯(lián)合起來,根據(jù)計算節(jié)點返回的計算結(jié)果以及各自的隨機(jī)數(shù)參數(shù){noncepi },試圖破解出誠實參與方的秘密輸入Sinput。
由上述(2)所描述的秘密輸入的隱私性分析可知,這種參與者合謀攻擊成功的概率隨攻擊者串通的人數(shù)呈曲線形式增大,且只有攻擊者勾結(jié)人數(shù)為MPC 參與方的總?cè)藬?shù)減1 時攻擊成功概率為1。顯然,這種合謀攻擊成功的概率很低,能在很大程度上保證參與方輸入的數(shù)據(jù)安全。
6 實驗分析
為了測試本文提出的外包安全多方統(tǒng)計計算,進(jìn)行了理論分析和實驗評估。根據(jù)方案流程說明的具體運行步驟,將數(shù)據(jù)流通過程涉及的數(shù)據(jù)計算分為3 個過程,分別是可驗證秘密份額和秘密份額的分發(fā)(Setup)、可驗證秘密份額的驗證和可驗證秘密份額重構(gòu)結(jié)果與秘密份額重構(gòu)結(jié)果進(jìn)行比較的完整驗證過程(Verify)、同態(tài)秘密共享的秘密份額計算與秘密結(jié)果重構(gòu)的完整重構(gòu)過程(Get)。
在本文提出的方案中,一個擁有m 個參與方的MPC 參與方集體生成(t,n)可驗證秘密份額和(tn)同態(tài)秘密份額共進(jìn)行了m(E+(t-1)F+2G+(2n+1-t)H)的計算量,其中E 為n 次模乘計算的計算量,F為一個隨機(jī)數(shù)系數(shù)選取的計算量,G 為已知系數(shù)的情況下多項式構(gòu)造的計算量,H 為一次多項式計算的計算量。而一個Feldman 可驗證秘密份額需要m((t / n)E+(t-1)F+G+nH)的計算量。本文方案中n 個計算節(jié)點收到m 組秘密份額以后的驗證過程共進(jìn)行了m((2t / n)E+2S+2H)的計算量,而Feldman可驗證秘密份額和(t,n)同態(tài)秘密份額要進(jìn)行m(tE+S+H)的計算量,其中S 為t 個秘密子份額構(gòu)造的重構(gòu)算法多項式的計算量。本文方案和Feldman 方案的重構(gòu)的計算量一致,均為nm+S+H。即本文方案與Feldman 方案的計算量性能比較如表2 所示。
從分發(fā)的秘密份額份數(shù)和3 個過程的計算時間消耗的關(guān)系進(jìn)行性能測試。實驗環(huán)境搭載在配備2. 6 GHz 六核Intel Core i7 處理器的MacBook Pro(2019)上,用Nodejs 創(chuàng)建了一個包含5 個服務(wù)器的對等網(wǎng)絡(luò),而3 個數(shù)據(jù)計算代碼是用python 編寫的。實驗設(shè)置MPC 參與方數(shù)量為30,秘密共享方案的閾值數(shù)t = 3,得到3 個計算過程對應(yīng)的計算時間消耗結(jié)果如圖3 所示。
由表2 和圖3 可知,本文方案在Setup 階段的計算復(fù)雜性略高于Feldman 方案在該階段的計算量,而在Verify 階段Feldman 方案隨著秘密份額份數(shù)的增大與本文方案的計算差異也越大,這是因為模乘計算對計算量的影響較大。圖3 中3 個階段與秘密份額份數(shù)大小呈線性增長關(guān)系是因為秘密份額份數(shù)越大,Setup 階段本文方案產(chǎn)生的可驗證秘密份額的模乘次數(shù)和秘密份額的計算次數(shù)呈線性比例越大,而Verify 階段本文方案選取的驗證節(jié)點數(shù)固定所以模乘計算量差別不大,總的計算量增長緩慢。
為了確保MPC 的準(zhǔn)確性,采取以下措施進(jìn)行檢驗與證明。首先,在計算過程中每一步都經(jīng)過一定數(shù)量的可信計算節(jié)點的確認(rèn),確保每個階段的計算結(jié)果都經(jīng)過了足夠的驗證,防止?jié)撛诘腻e誤或惡意操作;然后,引入可驗證秘密份額的驗證過程(Verify),對生成的秘密份額進(jìn)行驗證,確保其符合預(yù)期的數(shù)學(xué)屬性,檢查在Setup 階段生成的可驗證秘密份額是否滿足規(guī)定的條件,從而提高計算結(jié)果的可信度;最后,在同態(tài)秘密共享的秘密份額計算與重構(gòu)的過程(Get)中,強(qiáng)調(diào)對計算結(jié)果的驗證,確保在最終結(jié)果的計算中沒有錯誤,且結(jié)果是基于正確的秘密份額進(jìn)行的。
通過以上準(zhǔn)確性驗證與證明措施,可以確保該MPC 方案在滿足一定數(shù)量的可信計算節(jié)點的情況下,結(jié)果具有高度的準(zhǔn)確性和可信度。
7 結(jié)束語
本文主要介紹了基于區(qū)塊鏈的外包安全多方統(tǒng)計計算可驗證隱私保護(hù)方案,首先針對數(shù)據(jù)外包MPC 過程中數(shù)據(jù)不透明問題,依托區(qū)塊鏈構(gòu)建可信執(zhí)行環(huán)境,將執(zhí)行外包計算任務(wù)的節(jié)點納入?yún)^(qū)塊鏈系統(tǒng)中,利用智能合約實現(xiàn)對節(jié)點的全行為監(jiān)督;針對聯(lián)合統(tǒng)計計算任務(wù)外包過程的數(shù)據(jù)隱私保護(hù)問題,提出了一種基于秘密共享的外包MPC 機(jī)制,該機(jī)制通過引入一組nonce 參數(shù)來對參與方的秘密輸入做“加密計算”,借助可驗證秘密共享方案對秘密共享份額做驗證,一方面保證了統(tǒng)計計算結(jié)果對各個參與方的公平性,另一方面實現(xiàn)了對參與方輸入的隱私保護(hù)。隨后分析了方案的安全性和可行性,理論分析和實驗測試表明,本方案可實現(xiàn)安全多方統(tǒng)計計算過程中數(shù)據(jù)的可驗證隱私保護(hù),且較Feldman 方案在數(shù)據(jù)驗證過程中有更小的計算開銷。本方案在實現(xiàn)隱私保護(hù)的情況下采用的一次性生成參數(shù)方法對參與方和計算節(jié)點的本地計算和存儲能力要求比較高,使得本方案的實際應(yīng)用還有待考慮,未來將針對此問題繼續(xù)研究。
參考文獻(xiàn)
[1] 孟小峰,慈祥. 大數(shù)據(jù)管理:概念、技術(shù)與挑戰(zhàn)[J]. 計算機(jī)研究與發(fā)展,2013,50(1):146-169.
[2] 方濱興,賈焰,李愛平,等. 大數(shù)據(jù)隱私保護(hù)技術(shù)綜述[J]. 大數(shù)據(jù),2016,2(1):1-18.
[3] GAO H M,MA Z F,LUO S S,et al. BFRMPC:A Blockchainbased Fair and Robust Multiparty ComputationScheme[J]. IEEE Access,2019,7:110439-110450.
[4] QAOSAR M,ZAMAN A,SIDDIQUE M A,et al. Secure kskyband Computation Framework in Distributed Multiparty Databases [J]. Information Sciences,2020,515:388-403.
[5] HOLZER A,FRANZ M,KATZENBEISSER S,et al.Secure Twoparty Computations in ANSI C [C]∥ Proceedings of the 19th ACM Conference on Computer andCommunications Security. Raleigh:Association for Computing Machinery,2012:772-783.
[6] WANG X,MALOZEMOFF A J,KATZ J. EMPtoolkit:Efficient MultiParty Computation Toolkit[EB / OL]. [2023-06-13]. https:∥github. com / emp-toolkit.
[7] JI Z X,ZHANG H G,WANG H Z,et al. QuantumProtocols for Secure Multiparty Summation[J]. QuantumInformation Processing,2019,18(6):168.
[8] VU D H,LUONG T D,HO T B. An Efficient Approach forSecure Multiparty Computation Without AuthenticatedChannel[J]. Information Sciences,2020,527:356-368.
[9] KELLER M. MPSPDZ:A Versatile Framework for Multiparty Computation [C]∥ Proceedings of the 27th ACMSIGSAC Conference on Computer and CommunicationsSecurity. [S. l. ]:Association for Computing Machinery,2020:1575- 1590.
[10] BENOR M,GOLDWASSER S,WIGDERSON A. Completeness Theorems for Noncryptographic FaulttolerantDistributed Computation [C ] ∥ Proceedings of theTwentieth Annual ACM Symposium on Theory of Computing. Chicago:ACM,1988:1-10.
[11] BOGDANOV D,KAMM L,LAUR S,et al. Rmind:A Toolfor Cryptographically Secure Statistical Analysis[J]. IEEETransactions on Dependable & Secure Computing,2014:15(3):481-495.
[12] DE COCK M,DOWSLEY R,NASCIMENTO A C A,et al.Fast, Privacy Preserving Linear Regression overDistributed Datasets Based on Predistributed Data[C]∥In Proceedings of the 8th ACM Workshop on Artificial Intelligence and Security. Denver:Association for ComputingMachinery,2015:3-14.
[13] LIU J,TIAN Y,ZHOU Y,et al. Privacy Preserving Distributed Data Mining Based on Secure Multiparty Computation[J]. Computer Communications,2020,153:208-216.
[14] DU W L,HAN Y S,CHEN S G. Privacypreserving Multivariate Statistical Analysis:Linear Regression and Classification[C]∥Proceedings of the 4th SIAM International Conference on Data Mining. Bethesda:SIAM,2004:222-233.
[15] BOGDANOV D,NIITSOO M,TOFT T,et al. Highperformance Secure Multiparty Computation for Data MiningApplications[J]. International Journal of Information Security,2012,11(6):403-418.
[16] DU W L,ATALLAH M J. Privacypreserving CooperativeStatistical Analysis [C]∥ Seventeenth Annual ComputerSecurity Applications Conference. New Orleans:IEEE,2001:102-110.
[17] 王旭升. 基于區(qū)塊鏈的安全多方計算研究與分析[D].蘭州:蘭州理工大學(xué),2021.
[18] 祝烈煌,董慧,沈蒙. 區(qū)塊鏈交易數(shù)據(jù)隱私保護(hù)機(jī)制[J]. 大數(shù)據(jù),2018,4(1):46-56.
[19] SASSON E B,CHIESA A,GARMAN C,et al. Zerocash:Decentralized Anonymous Payments from Bitcoin[C]∥InProc of the 35th IEEE Symposium on Security andPrivacy. Berkeley:IEEE,2014:459-474.
[20] The Enigma Project Team. EnigmaWas Created to Solvethe Privacy Crisis[EB / OL]. [2023 - 10 - 04]. https:∥www. enigma. co / about / Andrychowicz.
[21] ANDRYCHOWICZ M,DZIEMBOWSKI S,MALINOWSKID,et al. Fair Twoparty Computations via Bitcoin Deposits[C]∥ International Conference on Financial Cryptographyand Data Security. Barbados:Springer,2014:105-121.
[22] GUAN Z T,ZHOU X,LIU P,et al. A BlockchainbasedDualside Privacypreserving Multiparty ComputationScheme for Edgeenabled Smart Grid[J]. IEEE Internetof Things Journal,2022,9(16):14287-14299.
[23] YAO A C. Protocols for Secure Computations[C]∥ 23rdAnnual IEEE Symposium on Foundations of ComputerScience. Chicago:IEEE,1982:160-164.
[24] GOLDREICH O,MICALI S,WIGDERSON A. How toPlay ANY Mental Game[C]∥ STOC’87:Proceedings ofthe Nineteenth Annual ACM Symposium on Theory ofComputing. New York:Association for Computing Machinery,1987:218-229.
[25] SHAMIR A. How to Share a Secret[J]. Communicationsof the ACM,1979,22(11):612-613.
[26] 石潤華,黃劉生. 一種簡單的可驗證秘密共享方案[J]. 計算機(jī)應(yīng)用,2006(8):1821-1823.
[27] FELDMAN P. A Practical Scheme for NoninteractiveVerifiable Secret Sharing[C]∥ 28th Annual Symposiumon Foundations of Computer Science. Los Angeles:IEEE,1987:427-438.
[28] 夏琦,高建彬. 區(qū)塊鏈數(shù)據(jù)主權(quán)技術(shù)[M]. 北京:科學(xué)出版社,2020.
[29] SIFAH E B,XIA Q,XIA H,et al. Selective Sharing of Outsourced Encrypted Data in Cloud Environments[J]. IEEEInternet of Things Journal,2021,8(18):14141-14155.
[30] GAO J B,ADJEIARTHUR B,SIFAH E B,et al. SupplyChain Equilibrium on a Game Theoryincentivized Blockchain Network[J]. Journal of Industrial Information Integration,2022,26:100288.
[31] WANG N,CAI Y Y,FU J S,et al. Information PrivacyProtection Based on Verifiable (t,n)Threshold Multisecret Sharing Scheme [J ]. IEEE Access,2020,8:20799-20804.
作者簡介
夏 虎 男,(1981—),博士,副研究員。主要研究方向:區(qū)塊鏈理論與應(yīng)用、大數(shù)據(jù)安全。
田 雯 女,(2000—),碩士研究生。主要研究方向:區(qū)塊鏈可擴(kuò)展性。
高建彬 男,(1976—),博士,副教授。主要研究方向:區(qū)塊鏈理論與應(yīng)用、網(wǎng)絡(luò)數(shù)據(jù)安全。
張?zhí)炝x 男,(1996—),碩士研究生。主要研究方向:區(qū)塊鏈跨鏈技術(shù)。
高 然 男,(2002—)。主要研究方向:區(qū)塊鏈共識機(jī)制研究。
(通信作者)夏 琦 女,(1979—),博士,教授,博士生導(dǎo)師。主要研究方向:區(qū)塊鏈理論與應(yīng)用、網(wǎng)絡(luò)數(shù)據(jù)安全、大數(shù)據(jù)安全。
基金項目:國家自然科學(xué)基金(U22B2029);四川省科技計劃項目(2023JDRC0001);基礎(chǔ)加強(qiáng)計劃技術(shù)領(lǐng)域基金項目(2021JCJQ-JJ0463)
