(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221080718 8.5 (22)申请日 2022.07.10 (71)申请人 贵州大学 地址 550025 贵州省贵阳市花溪区花溪大 道南段2708号 (72)发明人 陈玉玲　罗运　钱晓斌　杨义先　 (51)Int.Cl. H04L 9/06(2006.01) H04L 9/08(2006.01) (54)发明名称 一种基于LWE假设的安全多方计算轮数优化 方案 (57)摘要 在大数据网络中存在着许多分布式的交互 场景， 它们需要在不同的环境下进行联合计算。 在传统的安全多方计算(SMPC)中， 存在常数轮或 更多轮数的交互， 这大大增加了通信开销。 在本 发明中， 我们通过构造一个基于多项式难题假设 的安全多方计算协议， 来解决优化轮数复杂 度的 问题。 基于陷门矩阵采用多线性映射操作进行多 方交互计算， 所得到的结果通过广播信道进行传 输， 构造具有轮数优化的协议方案。 安全性分析 表明， 该协议实现了静态安全性。 权利要求书1页 说明书2页 附图1页 CN 115276956 A 2022.11.01 CN 115276956 A 1.一种基于L WE假设的安全多方计算轮数优化方案， 其具体步骤如下： 第1轮： N参与者P1,P2,...,Pn， s1,s2,...,sn对应每个参与者的输入， 其中 步骤1： 使用L WE实例编码方案对输入进行编码L WEencode(k,q,si)； 步骤2： 生成会话 id sid， 并在广播信道上传输 第二轮： 对于所有参与者的Pi， 执行以下操作: 步骤1： 当参与方Pi收到,(Pj,input,sid, ·)j∈[n]\i时记录(Pj,input,sid, ·)， 并验证 proof， 忽略后续的(Pj,input,·)； 步骤2： 通过验证的编码输入 添加到操作中， 如果参与方收到其他n ‑1(考虑未有参与 方中止， 若有终止的参与方， 则需去除终止参与方的输入)个参与方的编码输入， 参与者使 用算术电路进行计算， 输出 结果y:＝Πi＝[n]siAn+enoise； 步骤3： 输出(Pi,output,y),并在广播信道上进行传输， 若存在参与方在协议过程中终 止的情况输出(Pi,output,{sid}abort,y)， 表示脱离协议， 其他参与方将不会对其输入加入 进行计算。权　利　要　求　书 1/1 页 2 CN 115276956 A 2一种基于LWE假设的安全多方计算轮数优化方案 技术领域 [0001]本发明属于信息安全技 术， 密码学 领域， 涉及安全多方计算 技术。 背景技术 [0002]安全的多方计算指的是多个分布式参与者共同计算一个共同的函数， 并且每个参 与者的私人输入被计算以得到相应的输出， 在这个意义上是安全的， 即每个参与者只能从 输出中获得自己的信息。 安全性在于每个参与者只能从输出中获得自己的信息而没有其他 信息， 而且协议的结果可以被安全地传递。 [0003]生成n个参与方各自对应的陷门矩阵， 输入元素 m＝m1+m2.采样矩阵 对于所有的xi其中 在高斯分布 采样 对于所有的i其中1≤i≤n， 采样一个均匀分布矩 阵 并计算Ai＝[A′|Gx‑A′Ri]， 若Ai不是根据上一级的陷门Ri‑1来生成当前级 的Di矩阵， 则返回带有陷门的矩阵Ai， 以及对应陷门矩阵Ri， 否则重新进行矩阵采样 并计算 矩阵Ai。 发明内容 [0004]本发明采用如下技 术方案： [0005]安全多方计算参与方私有输入进行LWE实例化编码： 输入矩阵Ai∈UA， 以及陷门集 R， 输入si←S， 采样一个LWE误差矩阵ei←χm或 使用陷门Ri∈R计算 将输入si编码到 中， 输出 [0006]计算操作具体操作如下： 假设n个参与方P1， P2， ...， Pn， 有s1， s2， ...， sn对应各参与 方的输入， 其中 假设有n+1个带有陷门的矩阵集UA＝{A， A1， ...， An}， 每个参 与方使用对应的矩阵Ai∈UA对si进行编码， P1对自己的s1进行编码 P2对自 己的s2进行编码 直到Pn对sn进行编码 整个过程形 成一个嵌套 型的链式结构， 基于上一级带有陷门的矩阵Ai‑1来生成当前的矩阵 使得输入 si被编码到 中， si被隐藏了起 来。 在多线性映射系统中， 给定n个从 1到n级的配对运 算， A以 及 将所有参与方的编码结果相乘起 来： [0007] [0008]其中enoise表示最后相 乘得到的噪声， 通过上式的乘积得到了编码了s1s2…sn的实 例， 进行了n层的嵌套。 在具有同阶编码的信息可以相互结合， 可进行相应的加减运 算。说　明　书 1/2 页 3 CN 115276956 A 3