本文对安全多方计算MPC技术的方案、挑战和未来进行了全面的阐述

本文分析了安全多方计算技术及其应用。结论是安全的多方计算可以解决不信任的参与者之间的隐私保护问题。安全多方计算扩展了传统分布式计算的边界和信息安全的范畴，对解决网络环境下的信息安全问题具有重要价值。安全多方计算可以与多行业数据融合相结合，对数据市场的发展具有重要意义。

数据是一个复杂的概念，具有多种类和丰富的特征。随着时代从互联网向区块链的转变，数据即将成为能够产生经济价值的资产。然而，由于数据安全和个人隐私问题，大多数企业对数据共享非常谨慎。对于个人数据，控制和隐私保护比所有权更重要。因此，企业在平衡数据输入的隐私性和输出的结果时常常遇到困难。

例如，医院需要与保险公司共享患者数据，但不能泄露个人隐私。安全多方计算为无可信第三方协作计算提供了一种技术解决方案。

本文分为三个部分：第一部分讨论了安全多方计算的体系结构。第二部分研究安全多方计算的技术实现。第三部分分析了安全多方计算的应用和发展前景。

安全多方计算的定义与体系结构

定义

安全多方计算可以定义为在分布式网络中，没有可信的第三方，多个参与实体持有秘密输入，希望共同完成一个函数的计算并得到结果，但各参与实体除其本身外，不得知悉其它参与实体之输入信息。

安全多方计算的数学表达式如下：

安全多方计算体系结构

安全多方计算主要分为参与节点和集线器节点两部分。每个参与节点具有相同的状态，可以发起协同计算任务，也可以选择参与其他方发起的计算任务。hub节点不参与实际的协同计算，主要用于控制传输网络、路由寻址和计算逻辑传输。另外，在去中心化网络拓扑中，可以删除hub节点，参与节点可以与其他参与节点点对点连接，直接完成协同计算。

在安全多方计算过程中，每个数据持有者可以发起协同计算任务，通过集线器节点路由地址，并选择其他数据类相似的数据持有者进行安全协同计算。参与协同计算的多个数据持有者的参与节点根据计算逻辑从本地数据库中查询所需数据，并在密集数据流之间联合进行协同计算，以实现安全的多方计算任务。整个过程中各方的明文数据存储在本地，不会提供给其他节点。在保证数据隐私的前提下，中心节点将计算结果输出给整个计算任务系统，使各方都能得到正确的数据结果。

安全多方计算有三个主要特点

隐私。安全多方计算的主要目的是如何保护协同计算中参与者的私有数据，即在计算过程中，各方必须保证私有输入是独立的，并且在计算过程中不泄漏本地数据。

正确性。多方计算的参与者通过安全多方计算协议发起计算任务，进行协同计算，计算数据的结果是正确的。

去中心化。在安全多方计算中，所有参与方地位平等，没有特权参与方或第三方，这就提供了一种去中心化的计算模。

图1：安全多方计算技术框架，来源：中国信息通信科学院云计算与大数据研究院，

安全的多方计算信任环境

安全多方计算的信任环境或整体安全定义通常用真实的理想范式来表达。在真实理想模中，存在一个虚拟的“理想”环境，并与真实环境进行了比较。在一个理想的环境中，所有参与者都将自己的秘密数据发送给可信的第三方，由可信的第三方完成计算。在现实环境中，没有这样可信的第三方。所有参与者交换信息以完成协作计算，并且会有对手控制部分参与者。

在一个理想的环境中，攻击者在理想的环境中比真实的对手更能对安全造成伤害，这意味着在理想的环境中，攻击者也不能在理想的环境中对另一方造成伤害环境。根据逆无命题，事实上，没有一个对手可以对理想环境造成危害，因此我们可以得出结论：现实环境中没有成功的对手。

一般来说，在安全多方计算中，根据攻击者的能力差异，可以定义两种不同的与攻击者相关的安全模。

半诚实优势的安全性。在半诚实行为模中，假设对手诚实地参与安全多方计算的特定协议，并遵循协议的每一步，但会试图通过协议实现过程中获得的内容推断对方的隐私。

恶意对手的安全。在恶意行为模中，恶意节点可能不遵循协议，采取任意行为（如伪造消息或拒绝响应）来获取他人的隐私。

目前，已有许多改进的安全多方计算方案可以实现恶意行为模的安全性，但都需要付出巨大的性能代价。大安全多方计算产品，基本上只考虑半诚实模，恶意行为模的求解将严重影响效率和实用性。

安全多方计算的实现

秘密分享

秘密共享是多方安全签名技术中常用的一种，主要用于保护重要信息不被丢失或篡改。通过秘密共享机制，秘密信息将被分割。每个参与者只持有秘密的一部分，个人持有的部分秘密不能用于恢复秘密。因此，应收集预定数量（或阈值）的片段。

不经意传输

不经意传输是一种广泛应用于安全多方计算的密码协议

例如，Alice有两组密封的密码组合，Bob只能得到一组密码，Bob希望Alice不会知道他选择哪一组。此时，可以通过使用意外传输来完成事务。

图2：意外传输示意图，来源：连文

在无意的传输中有两个角色，发送者和接收者。一个可行的实施过程分为四个步骤

乱序电路

模糊电路是20世纪80年代姚启志教授提出的安全多方计算的概念，它是一种密码协议，根据该协议，两个参与者可以在不知道对方数据的情况下计算出一个函数。

以姚明的百万富翁问题为例。爱丽丝和鲍勃，两个百万富翁，想在不知道对方财富确切价值的情况下比较谁的财富更高。例如，爱丽丝的财富价值是20，而鲍勃的财富价值是15。通过混淆电路，Alice和Bob都可以知道谁更富有，但是Alice和Bob都不知道对方的财富。混淆电路的核心逻辑是将计算问题转化为由与门或与非门组成的布尔逻辑电路，然后通过公钥加密、无意传输等技术对这些电路值进行干扰，以掩盖信息。在整个过程中，双方传输密码或随机数，不会出现有效的信息泄露。因此，在得到计算结果的同时，双方都达到了隐私数据保护的目的。

假设Alice和Bob之间有一个模糊的电路协议。模糊处理电路的实现分为四个步骤

爱丽丝产生了混淆电路。从图4可以看出，在Alice产生的混淆电路中连接了许多逻辑门。每个逻辑门都有输入线和输出线，每个逻辑门都有一组真值表。

爱丽丝和鲍勃交流。Alice对称加密逻辑门的真值表，并将真值表的行和列置乱为乱码表并传输给Bob。

在接收到加密的真相表之后，Bob解密加密的真相表的每一行。最后，只有一行可以成功解密，并提取相关的加密信息。Bob通过无意的传输协议从Alice获得相应的解密字符串。不经意的传输确保Bob获得相应的解密字符串，ALCE无法知道Bob得到哪一个。

最后，Bob将计算结果返回给Alice，双方共享计算结果。由于双方都需要在每个逻辑门上操作多个对称密钥，因此采用模糊电路的方案具有较高的计算复杂度，当扩展到参与人数较多的计算场景时，会更加复杂。

A602A607

图3：通用电路，门和真值表，来源：安全计算和密码a603

零知识证明

零知识证明意味着演示者可以在不向验证者提供任何有用信息的情况下使验证者相信断言是正确的。在零知识证明中有两个或多个角色：证明者和验证者。演示者声明一个命题为真，而验证者则确认命题是否为真。

经典的零知识证明（sigma协议）通常由三个步骤组成

演示者首先根据命题内容将命题语句发送给验证者，而后者必须将命题语句转换为密集语句（一般称为“承诺”），且命题内容不能被篡改或拒绝。

验证器随机生成一个质询并发送给验证器。

演示者根据挑战和命题讨论生成证明信息并发送给验证者。验证者利用证据信息来判断演示者是否通过了挑战。

重复这三个步骤多次可以降低演示者的概率，因为幸运元素通过挑战。演示者提供的稠密命题论证有两个功能：一是防止演示者临时伪造命题内容；二是使验证者无法知晓全部信息，并保持隐私。

零知识证明有三个属性

完整性。如果论证命题是真的，那么诚实的验证者就会被诚实的论证者说服。

可靠性，如果论证命题是假的，那么演示者只能以很小的概率欺骗诚实的验证者。

零知识。验证者只能知道命题是否为真，而不能从整个交互证明过程中获得任何其他有用的信息。安全多方计算通常使用零知识证明作为辅助手段，如验证恶意节点发送虚假数据或进行节点识别。

安全多方计算的应用与难点

目前，安全多方计算主要通过混淆电路和秘密共享来实现。基于模糊电路的协议更适合于双向逻辑运算，通信负担较低，但扩展性较差。基于秘密共享的安全多方计算具有很强的扩展性，支持无限的多方参与，计算效率高，但通信负载大。

目前，安全多方计算的应用可分为数据融合和数据资本化两个部分。

数据融合

目前，安全多方计算在两方或多方之间的数据融合和协作中发挥着最有价值的作用。例如，联合信用报告。银行有与用户财务行为相关的数据，而互联网公司一般都有用户网络的使用数据。如何实现双方的数据协作，共同建立信用模是数据协同的关键问题。利用安全的多方计算，可以在保持双方隐私的前提下找到共同的数据集，基于多方数据训练的信用模将更加精确，从而为未知情况提供更合理的预测，降低数据融合的外部性。

此外，数据安全存储也是一大应用。企业可以利用秘密共享技术秘密存储数据，有效防止内部人员非法窃取数据。同时，存储的数据不需要解密就可以计算出来，既保证了安全性，又提高了计算效率。

数据资本化

安全多方计算为未来数据资本化和数据市场的发展提供了契机。因为安全多方计算可以在数据传输过程中从技术层面保证数据权限的确认，从而明确了数据的所有权和使用权。因此，企业或个人可以通过安全的多方计算，将有价值的数据视为资产，在市场上流动或交易。数据提供程序可以指定数据的用法、用法和有效性。数据用户获取数据后，只能在授权范围内合理使用数据，并对剩余数据的使用权进行量化或进一步流转。

安全多方计算可以将数据市场的性质从数据所有权转变为数据使用权，保护原始数据拥有者的权益，有效遏制原始数据的泄露，降低数据泄露造成的数据流通风险，促进数据的大规模应用。

未来的挑战

随着区块链和大数据技术的逐步发展，我们对数据和计算提出了更高的要求。例如：区块链需要匿名，数据计算需要隐私保护，等等。因此，在安全多方计算等密码学技术的实际应用中，解释成本很高，效率很低。

安全多方计算涉及到大量的计算和通信，尤其是公钥操作。目前，安全多方计算的单次操作可以达到毫秒级，也就是说，它最多每秒可以进行几百次计算。然而，在大数据环境下，一个数据应用或模训练往往涉及数十万个单位的数据样本和特征量，因此操作效率会成为一个问题。此外，对于一些具有复杂计算任务的在线或实时计算场景，安全多方计算可能难以负担。