基于秘密共享的洗牌协议的对比分析

第３１卷第２期北京电子科技学院学报
２０２３年６月
Ｖｏｌ．３１Ｎｏ．２ＪｏｕｒｎａｌｏｆＢｅｉｊｉｎｇＥｌｅｃｔｒｏｎｉｃＳｃｉｅｎｃｅａｎｄＴｅｃｈｎｏｌｏｇｙＩｎｓｔｉｔｕｔｅＪｕｎ．２０２３
基于秘密共享的洗牌协议的对比分析∗
张艳硕㊀满子琪㊀刘㊀冰
北京电子科技学院，北京市㊀１０００７０
摘㊀要：互联网㊁大数据的快速发展，给人们的日常生活带来了极大的便利，同时也给数据隐私保护等方面提出了更高的要求㊂作为安全多方计算的重要组成部分，基于秘密共享的洗牌协议可以有效的保护数据隐私，提高网络的安全性，因此得到了广泛的使用㊂本文综述了基于秘密共享的洗牌协议的种类和功能，将其分为基于公钥密码方式㊁基于对称密码方式和基于共享转换方式，并分别在应用㊁效率等方面进行了对比分析㊂本文还对比了不同洗牌协议的安全性能，得出了采用共享转换方法的洗牌协议具有更好的安全性的结论㊂最后，本文结合了当下的热门研究类型，从参与者的增加㊁协议的优化，协议的有机结合等方法对该协议提出了优化方向㊂关键词：秘密共享；洗牌协议；不经意传输；隐私保护；密码学；加密算法中图分类号：ＴＮ９１８㊀㊀㊀文献标识码：Ａ
文章编号：１６７２－４６４Ｘ（２０２３）２－１０－１９
∗㊀基金项目：２０２２年基本科研业务费优硕培养项目 基于秘密共享的洗牌协议的设计与实现 （项目编号：３２８２０２２２８）； 信息安
全 国家级一流本科专业建设点和２０２０年教育部新工科项目 新工科背景下数学课程群的教学改革与实践
∗∗㊀作者简介：张艳硕（１９７９－），男，副教授，博士，硕导，从事密码理论及其应用研究㊂Ｅ⁃ｍａｉｌ：ｚｈａｎｇ＿ｙａｎｓｈｕｏ＠１６３．ｃｏｍ
满子琪（２０００－），男，研究生在读，网络空间安全专业㊂Ｅ⁃ｍａｉｌ：２６７３０２８４５０＠ｑｑ．ｃｏｍ刘㊀冰（１９７６－），男，副教授，博士，硕导，研究方向为密码学㊂Ｅ⁃ｍａｉｌ：１９０３０１９９２＠ｑｑ．ｃｏｍ
１㊀引言
㊀㊀随着时代的发展，信息泄露的现象日趋增多，数据隐私保护变得越来越重要㊂近几年，由于新冠疫情的存在，很多企业上架了相应的大数据产品，政府等有关部门也在统计风险地区的人员信息㊂在此过程中，很多个人的隐私信息面临着泄露㊁篡改等挑战㊂如何在不泄露隐私信息的情况下，实现对信息的共享和传播成为了一个重要的问题㊂以秘密共享技术为主题的洗牌技术可以有效的处理数据隐私问题，故而得到了广泛的运用㊂
ＥｌＧａｍａｌ［１］于１９８５年提出了ＥｌＧａｍａｌ算法，
其加密思路为基于秘密共享的洗牌技术提供了
很好的方案㊂该算法支持乘法同态，双方得到一个乘法共享，最后需要使用乱码电路将乘法共享转换为算术共享㊂在该算法加密后得到的密文对中，任意一个单密文都无法还原出明文，这与秘密共享的门限思路不谋而合，故为秘密共享领域提供了很好的思路㊂Ｐａｉｌｌｉｅｒ［２］在１９９９年提出了符合加法同态的Ｐａｉｌｌｉｅｒ加密算法，其可以用来完成秘密共享的洗牌㊂在该算法中，向量的每个元素都需要被加密，同时，每个元素需要被分成大小为ｎ的小块（其中ｎ为给定的两个长度相等的大素数的乘积）㊂该算法可以直接对密文进行操作，并达到与在明文上进行操作相同的效果㊂该方法降低了第三方对于明文的需求，因此在密码学上具有重要的意义㊂Ｍｏｈａｓｓｅｌ［３］在
第３１卷基于秘密共享的洗牌协议的对比分析㊀
２０１３年基于秘密共享技术提出了一个应用置换网络进行原子交换，主要采用了电路拓扑隐藏功能和私有门评估功能，从而运用于私有函数的评估与计算上㊂该方法较之公钥方法有较大的工作效率的提高，主要应用到了对称加密而非传统的公钥加密算法㊂
理想情况下，当需要安全的计算在两个集合交集上的一个函数时，我们可以使用一个基于私有集合交集的协议，该协议以加密的形式输出交集㊂例如：先加密交集中的元素，然后在安全多方计算协议下安全地计算对应的函数㊂然而，Ｃｉａｍｐｉ［４］于２０１８年提出，在实际情况下，基于私有集合交集的协议只能输出一个加密的位向量㊂位向量用于判断每个元素是否在两方协议的交集上，这就需要我们在安全多方协议下过滤掉不在交集中的元素㊂
当双方的交集较小而各自的输入集相对较大的时候，过滤元素这一任务的计算量会变得很大㊂针对这种情况，Ｍｅｌｉｓｓａ［５］于２０２０年提出了将加密的元素和加密的位向量进行洗牌㊂这样各方都可以显示加密的位向量，并丢弃不在交集中的元素㊂出于安全性的考虑，洗牌的顺序不能被任何一方知道，因此，洗牌的结果必须是某种加密或是秘密共享的形式㊂该方法能够安全的评估在交集上的任意函数㊂张剑等人［６］于２０２２年最新提出的一种利用多等级门限结构的秘密共享方案，该方案利用了中国剩余定理的多项式形式，构造了两种多等级结构的多秘密共享方案，有效的减少了公开值的个数，并能够实现多等级功能㊂
目前，基于秘密共享的洗牌协议已经得到了广泛的应用㊂在安全协同过滤㊁不经意排序㊁以及在集合交集上的安全函数评估等协议的构建中，基于秘密共享的洗牌协议都作为其中的重要的组成部分㊂当需要安全的评估属于双方两个不同集合的交集上的某个函数时（尤其是交集本身也需要保持秘密的时候），基于秘密共享的洗牌协议显得尤为重要㊂洗牌算法有效的保证了任意一个单方都无法知道自己的某一部分是否在交集中，从而大大增加了对隐私的保护㊂本文总结了基于秘密共享的洗牌技术的相关概念，综述了基于秘密共享的洗牌协议的发展，归纳了现有的基于秘密共享的洗牌协议的种类，并对不同的洗牌协议进行分析，将洗牌协议分成了三种，分别是基于公钥密码方式㊁基于置换网络上对称密码方式和基于共享转换方式㊂在此基础上，本文结合现有的研究，对不同的洗牌协议的相关功能进行了阐述，对基于秘密共享的洗牌协议的具体应用（如云计算等）进行了分析，由此给出了不同的基于秘密共享的洗牌协议的优缺点和效率的对比㊂在对现有的基于秘密共享的洗牌协议研究的基础上，本文分析了一些最新的相关领域的技术，得到了洗牌协议的相关应用与发展前景，并提出了自己的一些看法㊂２㊀基于秘密共享的洗牌协议
２ １㊀洗牌协议
洗牌［７］又名 乱序 ，故洗牌协议是一种故意打乱一组数据并产生随机序列的协议㊂与 排序 相对立，洗牌的特点在于它的随机性，数据集中的每组数据在洗牌后都等概率的出现在空间的各个位置，从而把有序的数列变为随机的数列㊂洗牌的实现方式有排序和交换等，实现的过程中需要运用到伪随机数㊂基于秘密共享的洗牌协议优势在于：隐藏了洗牌的顺序以及方法，从而在乱序的基础上实现了隐私㊂
２ ２㊀基于秘密共享的洗牌协议的介绍
秘密共享技术是指将秘密采用一定的方法分成不同的份额，每一个份额由选定的不同的参与者进行管理，其中单个参与者无法恢复秘密信息，同时也不具备比普通人有更大的破解概率㊂秘密共享技术主要包括秘密㊁参与者和分发者㊂假定有正整数ｎ和ｔ，其中ｎ为参与者的个数，ｔ为门限值㊂只有当破译秘密的参与者的个数超
㊃１１㊃
北京电子科技学院学报２０２３年
过了ｔ，该秘密才能够被破解，否则该秘密是安全的㊂由于秘密共享具有使得多方共享秘密的一部分而未达到门限值的小部分群体无法获取秘密的特点，因此该方法在许多维度得到了具体的应用㊂
基于秘密共享下的洗牌协议使得共享秘密的任意一方都无法获取秘密的排列顺序，从而能够较好的保护数据隐私㊂其基本原理如图１所示，主要为：双方共同洗牌需要保密的数据，并获得结果的附加秘密共享
㊂
图１㊀基于秘密共享的洗牌协议的组成
这种做法的好处在于：经过秘密共享后的洗牌数据集较为有效的防止了原始数据和洗牌数据的链接，从而任意一方都无法知晓自己的一些元素是否处于交集之中，达到了保密的效果㊂
洗牌协议是一种很常见的基于随机问题的协议㊂其主要通过一定的排序算法，对相关数据集进行打乱并随机排序㊂基于秘密共享的洗牌协议主要是指双方协同洗牌一个含有Ｎ个元素的数据集Ｘ，双方各自得到洗牌后的数据集的秘密共享的一部分㊂这样一来，双方都无法知晓洗牌的顺序㊂本文后续所提及的洗牌协议都是指基于秘密共享的洗牌协议㊂
２ ３㊀基于秘密共享的洗牌协议的特点
在总结了Ｍｅｌｉｓｓａ［５］等人洗牌协议的基础
上，对基于秘密共享的洗牌协议的特点总结如下：
（１）基于秘密共享的洗牌协议的特点在于
洗牌的 密 ㊂该协议是为了保护洗牌的隐私而诞生的㊂单纯的洗牌协议只能对数据集进行随机的打乱，但是没有任何的隐私保护措施㊂一旦
洗牌的顺序发生了泄露或是洗牌的方式遭到了窃听，攻击者很有可能掌握了洗牌的方法，进而在一些具体的应用中，对相关的数据隐私安全性造成了破坏，那么此时，洗牌的意义就不复存在了㊂而当洗牌协议受到了秘密共享技术的 保护 后，这种信息泄露的可能性就会被极大的降低㊂
（２）基于秘密共享的洗牌协议的特点还在
于洗牌的 乱 ㊂一个不 乱 的洗牌协议不是一个好的洗牌协议， 洗牌 正是为了避免 排序 的规律性，从而做到数据集中的任意元素在空间内等概率出现，有效的降低了攻击者找到某一特点元素进而展开攻击的风险性㊂２ ４㊀基于秘密共享的洗牌协议的功能依据基于秘密共享的洗牌协议的介绍与特点，其具备的功能包括但不限于：
（１）安全的评估一个或多个处于不同协议的交集上的秘密㊂这里的秘密为洗牌数据集，也可以是函数㊂当秘密是洗牌数据集时，秘密共享技术掩盖了其洗牌的顺序，从而有效的保证了洗牌方法不被窃听或破译；当秘密为数据集时，通过洗牌与秘密共享，其中的任何的单方都无法判断自己的某个元素是否在交集上㊂因此洗牌协议可以有效的保证该秘密或是该秘密的一部分不被两方协议中任意一个单方知晓㊂
（２）第三方数据存储㊂该协议支持用户将数据存储至第三方，其洗牌协议保障了潜在的攻击者对单个用户的大量信息的归类，其秘密共享使攻击者即使获得了单个管理员的特权仍然无法破译信息，从而用户能够放心的将信息存储至第三方㊂
３㊀基于秘密共享的洗牌协议的类型分析
３ １㊀基于秘密共享的洗牌协议的类型
基于洗牌过程中排列的不同方式，本文将现
有的基于秘密共享的洗牌协议分成了三种，分别
㊃
２１㊃
第３１卷基于秘密共享的洗牌协议的对比分析㊀
是基于公钥密码方式的秘密共享洗牌协议㊁基于
置换网络上对称密码方式的秘密共享洗牌协议㊁
以及基于共享转换方式的秘密共享洗牌协议㊂
不同的洗牌协议应用了不同加密（秘密共享）方
法，具有不同的效率㊁复杂度以及应用场景㊂
这里假设一个洗牌协议的基本模型为：进行
秘密共享双方分别为Ａ和Ｂ，其中Ａ持有置换π，Ｂ持有数据库ｘ，协议的双方都想共享在置换数据库ｘ下的秘密（而不造成相关秘密信息的泄
露）㊂
（１）基于公钥密码方式的秘密共享洗牌协议
该协议的主要思想是将Ａ的关于ｘ的秘密
以某种加密的形式交给Ｂ，让Ｂ对Ａ加密后的
数据π进行排列，重新随机化，然后返回给Ａ㊂
这是一种民间的解决方案，使用可重新随机化的
同态公钥加密，属于计算密集型㊂
基于不同的同态加密，公钥密码方式下的秘
密共享洗牌协议还可以分为三种，一种是使用以Ｐａｉｌｌｉｅｒ算法为代表的加法同态，另外一种方法是使用提供乘法同态的ＥｌＧａｍａｌ加密，还有一种是支持乘法和加法同态的全同态加密㊂
ＥｌＧａｍａｌ于１９８５年［１］提出了具有乘法同态的ＥｌＧａｍａｌ算法㊂该算法的特点是破解难度取决于离散对数难题㊂Ｐａｉｌｌｉｅｒ算法是公钥密码体系的一个代表，最早由Ｐａｉｌｌｉｅｒ［２］在１９９９年提出㊂Ｐａｉｌｌｉｅｒ算法是一种同态加密算法，该算法不仅仅能够实现加密的一些基本的运算，还能在密文直接上进行操作，因此该算法在需要对密文进行操作的应用场合具备优势㊂Ｇｅｎｔｒｙ等人［８］于２００９年提出了第一个全同态加密方案㊂该方案支持有限次数的乘法以及加法操作，但是由于低效率的问题，没有投入到实际的运用中㊂涂航［９］于２０２１年基于全同态加密技术设计了一个安全多方计算协议㊂在该协议中，参与者通过全同态加密算法对输入进行加密，然后将明文发送给服务器进行安全多方计算㊂在该协议中，服务器和其他的参与者无法得到该参与者的相关输入信息，有效的保证了参与者的隐私㊂（２）基于置换网络上对称密码方式的秘密共享洗牌协议
基于置换网络上对称密码方式的秘密共享洗牌协议是从秘密共享数据库ｘ开始，联合计算原子交换，直到所有元素到达它们的目标位置㊂为了防止链接，每个原子交换也应该运行秘密共享洗牌协议㊂这种情况下，各方共同对共享的秘密应用置换网络㊂其中的每个原子交换应该重新随机分配共享㊂
Ｍｏｈａｓｓｅｌ在处理私有函数计算的问题时，通过不经意转移实现了原子交换，并提出了一个通用的框架［３］㊂Ｍｏｈａｓｓｅｌ将隐藏电路拓扑的任务简化为编码电路拓扑的映射的无关评估，同时设计了单个函数私有评估的子协议，以此获得了高效和安全的私有函数计算的方法㊂ＹＡＯ［１０］的乱码电路思想也具有一定的应用㊂在这类方法中，Ｈｕａｎｇ［１１］通过乱码电路来实现原子交换，该方法的缺点是存在较大的通信复杂度㊂（３）基于共享转换方式的秘密共享洗牌协议
基于共享转换方式的秘密共享洗牌协议允许双方共同洗牌数据，并获得结果的附加秘密份额，而不需要任何一方学习洗牌所对应的排列㊂该方案的核心是使用了一种名为 共享转换 的方法，主要通过输出两组与排列相关的伪随机值，并将数据洗牌的问题转换为随机值洗牌的问题㊂该方案的第二步是对洗牌进行分解，将其分解成几个不同的㊁作用于少量元素的排列组合㊂徐秋亮［１２］基于此提出了一种利用不经意传输扩展协议的办法㊂该方法在半诚实敌手模型下是安全的，但不能够抵抗恶意接收者攻击㊂在Ｍｅｌｉｓｓａ［５］方案中，Ｍｅｌｉｓｓａ提出了 Ｐｅｒｍｕｔｅ＋ｓｈｕｆｆｌｅ ㊂ Ｐｅｒｍｕｔｅ＋ｓｈｕｆｆｌｅ 是指其中的置换关系只由某一方拥有㊂本协议的实现可以通过两次 Ｐｅｒｍｕｔｅ＋ｓｈｕｆｆｌｅ 来获得㊂为了
㊃３１㊃
北京电子科技学院学报２０２３年
得到 Ｐｅｒｍｕｔｅ＋ｓｈｕｆｆｌｅ ，Ｍｅｌｉｓｓａ提出了共享转
换协议㊂通过对单方建立一定的假设来构造
Ｐｅｒｍｕｔｅ＋ｓｈｕｆｆｌｅ ㊂共享转换协议需要建立在
不经意可穿刺向量的构建上，而不经意可穿刺向
量的得到需要通过不经意转移和伪随机函数㊂
３ ２㊀基于秘密共享的洗牌协议的类型对比分析
作为基于秘密共享的洗牌协议，三种方式的
共同点在于洗牌保护数据集，秘密共享保护洗
牌㊂其中，基于公钥密码方式的洗牌协议主要侧
重于利用公钥密码的同态性，例如直接对密文进
行操作即可达到对明文操作的效果，灵活性好㊂
基于置换网络的洗牌协议侧重于使用对称密码㊂
基于共享转换的洗牌协议注重于效率的提高和
开销的减少㊂在后续的几节中，本文还将不同的
洗牌协议的具体应用（云计算㊁协同过滤等）㊁效
率（成本开销，时间开销，通信复杂度）㊁安全性
能进行了对比㊂三种基于秘密共享的洗牌协议
的具体的对比如表１所示㊂
表１㊀不同的基于秘密共享的洗牌协议的对比
种类相同点不同点
基于公钥密码方式的秘密共享洗牌协议
基于对称密码方式的秘密共享洗牌协议
基于共享转换方式的秘密共享洗牌协议１．思路： 洗
牌 与 秘密
共享 的有机
结合；
２．方法：采用
洗牌算法和
秘密共享
算法㊂
３．特点：洗牌
保护数据集㊁
秘密共享保
护洗牌方式㊂
利用了传统的公钥加密，
主要基于同态算法，后期
衍生成全同态，具备原理
简单㊁灵活性高的特点㊂
利用置换网络和原子交
换，主要基于分组密码，
效率比单纯的公钥加密
高，同时也具备的对称密
码的不方便之处㊂
采用了共享翻译协议和
构建不经意可穿刺向量
的方法，具有高效率㊁低
消耗的特点，然而灵活性
有欠缺㊂
４㊀基于秘密共享的洗牌协议的效率分析
㊀㊀为了了解基于秘密共享的洗牌协议的开销及复杂度，从而实现在不同情况下选择最优方法的洗牌协议，本文对洗牌协议的效率进行了分析，从成本开销，时间开销，通信复杂度等几个部分进行了对比，具体如下㊂
４ １㊀基于秘密共享的洗牌协议的效率（１）基于公钥密码方式的秘密共享洗牌协议
传统的基于公钥密码的秘密共享洗牌方式在带宽上的解决方案效率较高，但是其成本开销与计算量都很大㊂这种利用公钥密码的秘密共享洗牌是最为传统的洗牌方式㊂使用Ｐａｉｌｌｉｅｒ算法的公钥密码方式需要４０９６位质数，这将具有较大的开销和计算量㊂由于其价格昂贵，现在在很多的应用上已经慢慢的摒弃了这种方法㊂但是抛开时空复杂度，使用公钥密码的同态加密的洗牌协议也有其自身的优势㊂
使用ＥｌＧａｍａｌ加密的公钥密码方式有两种解决方案㊂在第一种解决方案中，ＥｌＧａｍａｌ算法可以在椭圆曲线上实现，参数很小，通常为２５６位㊂但这意味着乘性份额是椭圆曲线点份额；在乱码电路中将椭圆共享额转换为算术共享是十分昂贵的㊂第二种解决方案避免使用椭圆曲线，并使用大型有限域，但这将需要较大的参数，约２０００比特或更多㊂这将导致在大型有限域上的乘法份额㊂使用乱码电路转换到算术共享也非常昂贵㊂
基于公钥密码方式，Ｋａｔｚ［１３］设计了一种基于单同态加密的两方洗牌协议㊂其中该协议的复杂度与电路的大小成线性关系，公钥操作的数量也与电路的大小成线性关系㊂这种方法在面对大型电路的时候，效率会优于对称密码的方式；在处理中小型电路的时候，效率明显偏低㊂（２）基于置换网络上对称密码方式的秘密共享洗牌协议
基于置换网络上对称密码方式的秘密共享洗牌协议的通信复杂度较为适中㊂其通信复杂度与数据库中元素的数量以及每个元素的位长成正比，为ＷＮｌｏｇＮ，其中Ｎ是数据库中元素的个数，Ｗ是每个元素的位长㊂这种开销是联合计算下原子交换所固有的开销，因为每个元素至
㊃４１㊃
第３１卷基于秘密共享的洗牌协议的对比分析㊀
少具有ｌｏｇＮ次交换㊂
（３）基于共享转换方式的秘密共享洗牌协议
基于共享转换方式的秘密共享洗牌协议采用了共享转换的技术㊂其通过生成两组 通过排列关联 的伪随机值，将数据集洗牌的问题减少为伪随机值洗牌的问题，从而实现了计算和通信方面的优化㊂
该协议运行三轮，通信与ＡＮｌｏｇＮ＋ＮＷｌｏｇＮ／ｌｏｇＴ成比例，其中Ａ是安全参数，Ｎ是数据库中元素的数量，Ｗ是每个元素的大小，Ｔ是协议的一个参数，通过改变Ｔ的值来优化性能㊂Ｍｅｌｉｓｓａ［５］在对２２０－２３２大小的数据库的实验中，得出Ｔ的最佳值为１６到２５６之间，因此ｌｏｇＴ的大小范围为４－８㊂该方案使用了像 异或 和 排列 这样的轻量级操作，除了一组基本的不经意转移之外不使用任何的公钥操作㊂因此，该协议具有效率高的特点㊂在下一节的对比中，我们可以发现，当元素比较大时，该方案的性能比基于公钥密码的方案提高了三个数量级，比基于置换网络的方案提高了一个数量级㊂
４ ２㊀基于秘密共享的洗牌协议的效率对比分析在不同的数据库大小以及网络带宽下，Ｍｅ⁃ｌｉｓｓａ［５］比较了三种不同的洗牌方案的性能，并做出了相应的对比㊂我们可以发现，第三种洗牌方案的性能比前两种有了一定的提高㊂
经过汇总，如表２所示，我们可以发现，基于共享转换方式的洗牌方案与传统的公钥洗牌相比有２６０－７０００ｘ（其中ｘ指倍数）的提高㊂在带宽较大的情况下，有两个数量级的提高；在带宽较小的情况下，可以达到提升三个数量级㊂由于置换网络上对称密码方式的秘密共享洗牌协议主要受通信约束，数据库选择了较为小的容量㊂即使是这样，如表３所示，基于共享转换方式的洗牌方案较之基于置换网络上对称密码方式的洗牌方案也有不小的提高，增益范围为３－１２ｘ㊂
表２㊀基于公钥密码方式和基于共享转换方式的
秘密共享洗牌协议效率对比
数据库大小
（元素个数）Ｔ（值）带宽公钥时间／共享转换
方式时间（倍）２２０１６１Ｇｂｐｓ３０００ｘ－７０００ｘ
２２０１２８７２Ｇｂｐｓ４００－６００ｘ
２３２１６１Ｇｂｐｓ１９００－４０００ｘ
２３２２５６７２Ｇｂｐｓ２６０－４００ｘ表３㊀基于置换网络上对称密码方式和基于共享转换方式的秘密共享洗牌协议效率对比
数据库大小
（元素个数）Ｔ（值）带宽置换网络时间／
共享转换方式时间（倍）１２８１２８１Ｇｂｐｓ３－５ｘ
１２８１２８１００Ｇｂｐｓ４－１１ｘ
１２８１２８７２Ｇｂｐｓ５－１２ｘ５㊀基于秘密共享的洗牌协议的应用对比分析
㊀㊀在本节中，先按种类分别阐述了三种不同的洗牌协议各自的原理以及特点㊂紧接着，本节描述基于秘密共享的洗牌协议在云计算㊁私有函数计算㊁协同过滤等具体应用中具备的功能和意义，并对这些具体应用进行了分析㊂
５ １㊀基于秘密共享的洗牌协议的具体应用（１）基于公钥密码方式的秘密共享洗牌协议
基于公钥密码方式是秘密共享洗牌是一种利用公钥加密算法的协议㊂其安全性以及复杂度主要依赖现代科技的发展现状㊂随着相关技术的不断发展，该算法需要不断的增加时空复杂度㊂如：使用Ｐａｉｌｌｉｅｒ算法的公钥密码方式需要４０９６位质数才能满足现在的安全性标准㊂该协议的特点是算法简单，适用性广，但在处理多用户数据的时候，会造成大量的冗余开销；同时该协议在面对大型数据集时，开销相对较大，效率会较低㊂
该协议能够适用于云计算［１４］㊂云计算和云存储的逐渐普及，带来巨大的经济收益的同时，
㊃５１㊃
北京电子科技学院学报２０２３年
也存在用户隐私保护等方面的问题㊂云服务提供商并不是一个完全可信任的第三方，因此云用户希望存储于云中的数据的安全性能够得到保证㊂Ｐａｉｌｌｉｅｒ算法是一种同态加密的公钥算法，能够在密文上直接进行操作，结果解密后与在明文操作后的效果一样㊂由于同态加密使得第三方无需密钥也能直接进行对密文的操作，以此解决了云计算上数据保密存储和保密计算的问题㊂因此用户能够放心的将信息放在第三方云上处理而不会泄露㊂
此外，该协议在同态签名㊁电子投票等方面也存在着诸多应用㊂
（２）基于置换网络上对称密码方式的秘密共享洗牌协议
基于置换网络的洗牌协议可以用于私有函数计算的问题㊂可以假设单个参与方Ａ持有一个电路，每个参与方都持有自己的一个私有输入，考虑如何使用所有参与方的一个子集学习这个电路㊂该任务的一个通用的方法为：先将未知电路拓扑的任务简化为编码电路拓扑的映射的无关评估，然后设计用于单个私有评估的子协议；最后结合这两个组件来获得高效和安全的私有函数计算㊂
该协议的特点为：开销与效率适中，安全性㊁适用性较好㊂
该协议可以适用于：了解某些功能会暴露隐私㊁安全漏洞或是应用服务商需要隐藏某项功能以保护相关的知识产权㊂
（３）基于共享转换方式的秘密共享洗牌协议
假设存在一个商家，他想要对看广告且购买商品的用户的相关数据运行一些的机器学习算法来分析其广告的效率性问题㊂商家主要想知道看了广告的用户是否会刺激其购买可能性，以及这一增比具体有多大㊂显然，这一组数据是广告供应商（知道哪些人看了广告）和商家（知道哪些人购买了商品）之间的交集数据㊂因此，相应的机器学习算法也应该在两个数据库的交集上运行，且必须使用安全多方计算协议进行计算㊂
在运行安全多方计算协议前，算法需要消除商家和广告供应商之间的非交集元素㊂与此同时，双方不能知道元素的排列顺序，否则单方有可能会知道自己的一些元素是否在其中㊂排序的结果是某种加密的或秘密共享的形式，这样有效的防止了原始元素和经过排序的元素的联系性㊂
该协议的特点为：采用了较为简单的数学语言，故而有较小的开销；有较高的安全性，但适用性较低㊂
该协议的可应用于协同过滤㊂协同过滤主要指一组拥有相同元素的双方过滤满足某个标准的元素㊂这也可能包括删除形式异常的元素㊂具体方法为：先进行洗牌，然后对每个元素应用两方协议来进行评估标准，最后删除结果为１的数据项㊂此外，该协议对两个用户下秘密共享的排序㊁随机存取存储器的安全计算也有很大的帮助作用㊂
５ １㊀基于秘密共享的洗牌协议的具体应用对比三种基于秘密共享的洗牌协议的具体应用如表４所示㊂从该表中，可以看出基于公钥密码方式的秘密共享洗牌协议与云计算应用较为紧密结合，基于对称密码方式的秘密共享洗牌协议偏向于隐藏功能，而基于共享转换方式的秘密共享洗牌协议可应用于安全多方计算协议㊂
表４㊀基于秘密共享的洗牌协议的应用
基于秘密共享的洗牌协
议的种类
基于秘密共享的洗牌协议的应用
场景
基于公钥密码方式的秘
密共享洗牌协议
云计算应用㊁云存储应用㊁电子投
票㊁同态签名等㊂
基于对称密码方式的秘
密共享洗牌协议
隐藏某项特定的功能以保护知识
产权和安全漏洞㊂
基于共享转换方式的秘
密共享洗牌协议
协同过滤㊁两个用户下秘密共享
的排序㊁随机存取存储器的安全
计算㊂
㊃６１㊃。