具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

申请人在研究隐私计算的过程中发现隐私计算平台并没有得到很好的监管，人们只能通过事后的计算结果去大体上判断该计算结果有无错误，假设隐私计算的结果是60，而实际的结果是60.1，这两个结果在数值上差别不大。但是数据量一旦复杂起来，其涉及到的计算过程更会增多。那么最终的隐私计算结果与实际结果将会形成巨大差异，基于此，本发明通过引入监管机制来解决此类问题，本发明能够非常契合现实应用场景的方式，例如引入政府职能部门，以政府职能部门来对计算结果做监管和背书，可以使得越来越多的企业接受隐私计算，满足隐私计算的需求，下面将结合实际例子来说明本发明。

图1是本发明实施例中基于可信存证的可监管隐私计算方法流程图，如图1所示，所述方法包括：

102、数据拥有者将盲化数据秘密共享给各个参与节点，并将所述盲化数据对应的哈希值上传至区块链中；

在本步骤前，需要对系统进行初始化，定义系统相关公共参数，并生成伪随机数序列和各个隐私计算参与节点的公私钥对。

图2是本发明实施例中系统进行初始化的过程，如图2所示，对系统进行初始化的过程可以包括：

1)输入安全参数，并定义一个哈希函数H，形如：其中，q表示素数；定义一个随机函数f，形如：其中，k表示系统安全参数，n表示随机数的空间大小，l表示随机数的位数。

2)各个参与节点通过随机函数f得到各自的随机数，并将其作为各自的私钥r，再公开各个参与节点各自的公钥y＝g^r。

3)通过调用序列密码算法ZUC，并以噪声源作为输入，产生伪随机数序列；整个隐私计算过程中的随机数都将由这个有序集合来提供。

4)输出系统公开系统参数，例如哈希函数H和各个参与节点的公钥y。

上述系统指的是数据隐私计算系统，在本发明实施例中，将传统的数据隐私计算系统与区块链结合，数据拥有者、数据请求者、参与节点以及监管节点都可以是区块链中的一个节点，并可具有区块链节点的功能，例如验证、存储和传输事务等。

在一些实施例中，所述噪声源是通过多个信号产生的，具体的，利用第一序列对产生第一信号S1，利用第二序列对产生第二信号S2，以此类推，利用第N序列产生第N信号SN；从第一信号到第N信号中随机选择K个信号，将这个K个信号采用自适应权重进行合并，输出处理后的噪声源，其中N≥3，1≤K＜N。

其中，所述自适应权重可以采用现有的任意一种自适应权重分配方法，例如可以采用人工智能学习的方式学习出自适应权重。

在本步骤中，数据拥有者将盲化处理后的原始隐私数据即盲化数据秘密共享给各个参与节点。然后，再将盲化处理后的原始隐私数据的哈希值上传至区块链中。

在一些优选实施例中，将盲化数据秘密共享给各个参与节点的过程可以包括：

数据拥有者之间先选定一个随机值x(该随机值来自于伪随机数序列)，并使用该随机值来盲化其拥有的原始隐私数据。例如，数据拥有者甲将自身的原始隐私数据A盲化为A/x，而数据拥有者乙将自身的原始隐私数据B盲化为B*x。为了方便理解，本发明仍然用A和B来代替盲化后的原始隐私数据。

数据拥有者将盲化后的原始隐私数据秘密共享给各个参与节点，即[A]＝{A₁,A₂,...,A_n}，[B]＝{B₁,B₂,...,B_n}，其中，[]表示公开，A_n表示盲化数据，其中n表示数据划分的份额数量，每一份对应一个参与节点；也即是n代表隐私计算平台中的参与节点(计算节点)的个数。

在一些优选实施例中，将所述盲化数据对应的哈希值上传至区块链的过程主要是：

数据拥有者将盲化后的原始隐私数据A和B的哈希值H(A)，H(B)等分别上传至区块链。

可以理解的是，在本发明的数据隐私计算系统中包括多个数据拥有者，每个数据拥有者可以包括多种相同或者不同的数据，数据拥有者对其自身的原始隐私数据进行盲化时可以采用相同或者不同的方式进行盲化，本发明对此不作具体的限制。

103、使用伪随机数序列中的部分随机数充当Beaver三元组并秘密共享给各个参与节点，并将伪随机数序列对应的噪声源共享给监管节点；

本步骤中，系统使用伪随机数序列中的部分随机数充当Beaver三元组并秘密共享给各个参与节点。然后，再将噪声源共享给监管节点。

系统将生成的伪随机数序列的部分随机数当作Beaver三元组秘密共享给各个参与节点，即[a]＝{a₁,a₂,...,a_n}，[b]＝{b₁,b₂,...,b_n}，[c]＝{c₁,c₂,...,c_n}。其中，c＝a×b。最后，再将噪声源共享给监管节点。

其中，所述噪声源作为随机数种子可以产生伪随机数序列，因此该伪随机数序列就对应一个噪声源，本发明中直接将噪声源共享给监管节点，监管节点直接就可以获得一系列的随机数，不需要再从系统中的伪随机数序列中调用选取随机数。

在本发明优选实施例中，在所述监管节点根据所述噪声源和所述中间数据来复现Beaver乘法运算过程之前还包括采用门限认证的方式，从监管节点中恢复出噪声源，即若超过门限数量的多个监管节点认证通过，则将这多个监管节点对应的噪声源恢复出来。也就是说本发明的噪声源不会单独发送给某一监管节点，而是将噪声源秘密共享给多家监管节点，举个例子，假设区块链系统中包括有五家监管机构(监管节点)，例如，公安部、证监会等等，我们把门限设置为3，如果此时要进行监管的话，那么就允许其中三家监管机构认证通过就可以恢复出这个噪声源了。

在上述优选实施例中，本发明采用监管机构门限认证的方式能够杜绝去中心化的隐私计算由于绕过了中心监管所带来的敏感数据滥用的问题，也就是说，本发明虽然没有设置中心监管，但是本发明利用这种方式仍然使得系统具备监管的功能，能够保证数据安全计算。

在本发明实施例中，隐私数据上传过程主要包括盲化数据的哈希值上传至区块链以及伪随机数序列对应的噪声源共享给监管节点；如图3所示，数据拥有者将盲化后的原始数据的哈希值上传至区块链后，一方面系统可以将Beaver三元组秘密共享给各个参与节点，另一方面，系统还可以将噪声源共享给监管节点，这两方面可以同时实现，也可以先后实现。

104、各个参与节点根据接收到的隐私数据进行Beaver乘法运算，得到中间数据；所述隐私数据包括盲化数据和所述Beaver三元组；

图4是本发明实施例中隐私计算流程图，如图4所示，参与节点对接收到的隐私数据进行隐私计算，这个过程主要包括：

各个参与节点计算并公开中间数据[α]＝[A]-[a]和[β]＝[B]-[b]。

其中，[α]表示公开的第一中间数据，[β]表示公开的第二中间数据；[A]表示公开的第一盲化数据，[B]表示公开的第二盲化数据；[a]表示第一随机Beaver数据；[b]表示第二随机Beaver数据。

各个参与节点计算并公开局部计算结果值[z]。

其中，在计算并公开局部计算结果值之前，各个参与节点需要重构出α和β，从而计算[z]＝[c]+α·[b]+β·[a]+α·β。

其中，[z]表示参与节点公开的局部计算结果值；[c]表示第三随机Beaver数据；α表示重构的第一中间数据，β表示重构的第二中间数据。

105、监管节点根据所述噪声源和所述中间数据来复现Beaver乘法运算过程，并找出存在作弊行为的参与节点；

在本步骤中，各个参与节点在进行Beaver乘法的时候，会产生中间值。监管节点会根据这些中间值来判定参与节点是否作弊，并通过这些中间值来复现整个Beaver乘法运算，从而找出哪个参与节点存在作弊行为。

监管节点通过收到来自其他参与节点公开的第一中间数据[α]和第二中间数据[β]重构出α和β。

监管节点根据ZUC序列密码算法和噪声源生成伪随机数序列，并得到用于隐私计算的Beaver三元组从而可以反推出第一盲化数据A和第二盲化数据B。

监管节点对反推出的A和B做哈希运算，得到H(A)和H(B)，再对比于存在于区块链中区块链中的第一盲化数据[A]和所述第二盲化数据[B]所对应的H(A)和H(B)，从而判断是否有参与节点存在作弊行为。

监管节点根据本身所拥有的完整的Beaver三元组来分别复现各参与节点的计算工作，再根据验证各参与节点上传至区块链的哈希值来确定[z]的所属问题，由于区块链的特性，因此本发明既可以判断出是否有参与节点存在作弊行为，又能够确定是哪个参与节点有作弊行为。

在本发明实施例中，比较哈希值主要包括两个阶段，第一阶段，该阶段即为对应盲化数据的哈希值对比，即反推出的盲化数据与区块链中公开的盲化数据的哈希值进行对比。第二阶段，对应各个参与节点所计算出来的[z]，先将其[z]进行哈希计算得到一个哈希值，将该哈希值上链，这样每个参与节点就上传一个哈希值上链；此时监管节点在复现的过程中，也会涉及到[z]的生成，所以监管节点在每复现出来一个[z]之后就采用一次哈希运算，然后与区块链上的哈希值对比，这样要是出现比对不成功，则说明链上的哈希值所对应的[z]有问题，即可判断出是哪个参与节点在作弊了。

图5是本发明实施例中监管流程图，如图5所示，所述监管节点对隐私计算进行监管的流程可以包括：

监管节点通过中间数据和噪声源反推出盲化处理后的原始隐私数据A和B；

监管节点对反推出的盲化处理后的原始隐私数据A和B做哈希运算，得到其对应的哈希值H(A)和H(B)；

将得到的哈希值H(A)和H(B)与区块链中的哈希值H(A)和H(B)进行对比；

验证得到的哈希值和区块链中对应的哈希值是否相等；

若不相等，则监管节点将计算失败的结果返回给数据拥有者，即通知数据拥有者隐私计算失败，结束流程。

若相等，则监管节点根据自身三元组和中间数据来复现出各参与节点的局部计算结果值[z]；

验证复现出的局部计算结果值与区块链中的局部计算结果值是否相等；

若相等，则直接结束流程；

若不相等，则监管节点可根据区块链中的哈希值来确定存在作弊行为的参与节点的身份，同时，监管节点将计算失败结果返回给数据拥有者，即通知数据拥有者隐私计算失败，结束流程。

106、若监管节点没有找出存在作弊行为的参与节点，则各个参与节点公开其局部计算结果值并将这些局部计算结果值得到最终计算结果值，将所述最终计算结果值发送给数据请求者或/和返回给数据拥有者；

在本步骤中，如果监管节点没有发现有作弊行为的参与节点，因此则将对应的所有参与节点公开的局部计算结果值叠加得到总体的最终计算结果值，这个最终计算结果值是经过隐私计算得到的数据，这个隐私计算的数据结果也能够得到监管节点的监管，并且由于区块链防伪、防篡改以及可追溯等特性，能够及时发现隐私计算过程是否出现了作弊行为，提高了隐私计算的可信性。

107、若监管节点找出存在作弊行为的参与节点，则通过监管节点通知数据拥有者隐私计算失败。

在本步骤中，监管节点一旦发现在隐私计算过程中存在作弊行为的参与节点，则监管节点会通知数据拥有者上传的盲化数据隐私计算失败。

图6是本发明实施例中的一种基于可信存证的可监管隐私计算系统架构图，如图6所示，基于可信存证的可监管隐私计算系统200包括：

201、数据上传模块，用于将盲化数据秘密共享给各个参与节点，并将所述盲化数据对应的哈希值上传至区块链中；

在一些优选实施例中，本发明中还可以包括初始化模块，所述初始化模块用于初始化区块链系统的公共参数，并生成伪随机数序列和隐私计算各个参与节点的公私钥对；调用ZUC序列密码算法，以噪声源作为输入，产生伪随机数序列。

在一些优选实施例中，本发明还可以包括随机数产生模块，所述随机数产生模块用于产生伪随机数序列对应的噪声源，其产生过程包括利用第一序列对产生第一信号，利用第二序列对产生第二信号，利用第N序列产生第N信号；从第一信号到第N信号中随机选择K个信号，将这个K个信号采用自适应权重进行合并，输出处理后的噪声源，其中N≥3，1≤K＜N。

202、数据共享模块，使用伪随机数序列中的部分随机数充当Beaver三元组并秘密共享给各个参与节点，并将伪随机数序列对应的噪声源共享给监管节点；

具体的，所述数据拥有者调用所述数据共享模块将盲化数据秘密共享给各个参与节点包括数据拥有者从伪随机数序列中选择一个随机值，并使用该随机值来盲化原始隐私数据，得到盲化数据。203、隐私计算模块，用于根据接收到的隐私数据进行Beaver乘法运算，得到中间数据；所述隐私数据包括盲化数据和所述Beaver三元组；

在本发明实施例中，所述隐私计算模块还可以内设有门限监管装置，所述门限监管装置采用门限认证的方式，从监管节点中恢复出噪声源，即若超过门限数量的多个监管节点认证通过，则将这多个监管节点对应的噪声源恢复出来。

204、作弊监管模块，用于根据所述噪声源和所述中间数据来复现Beaver乘法运算过程，并找出存在作弊行为的参与节点；

所述作弊监管模块中，监管节点接收来自其他参与节点的公开的第一中间数据[α]和第二中间数据[β]，并重构出对应的第一隐藏数据α和第二隐藏数据β；调用ZUC序列密码算法，将噪声源所对应的随机数种子作为输入来生成伪随机数序列，并得到用于隐私计算的Beaver三元组；根据所述Beaver三元组、第一中间数据[α]和第二中间数据[β]来反推出第一盲化数据A和第二盲化数据B；计算所述第一盲化数据A和所述第二盲化数据B的哈希值，将计算出的哈希值与区块链中的第一盲化数据和所述第二盲化数据的哈希值进行对应对比。

监管节点通过判断各参与节点上传至区块链的哈希值来确定[z]的所属来确定是否存在作弊行为的参与节点，即根据反推出的第一盲化数据A和第二盲化数据B的哈希值与区块链中的第一盲化数据[A]和所述第二盲化数据[B]的哈希值进行对应比较，若相等，则该参与节点不存在作弊，若不相等，则该参与节点存在作弊。

205、数据处理模块，用于根据没有作弊行为的参与节点所公开的局部计算结果值计算得到最终计算结果值；

206、数据下载模块，用于将所述最终计算结果值发送给数据拥有者或/和数据请求者，或者找出存在作弊行为的参与节点；

207、信息传输模块，用于基于存在作弊行为的参与节点，通过监管节点通知数据拥有者隐私计算失败。

图7是本发明实施例中的一种电子设备结构图，如图7所示，所述电子设备包括：

存储器330和处理器310，存储器330与处理器310之间通过总线320连接；该存储器330中存储有计算机程序，该处理器310被设置为通过计算机程序执行上述任一项方法实施例中的步骤。

可选地，在本实施例中，上述电子设备可以位于计算机网络的多个网络设备中的至少一个网络设备。

可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：

数据拥有者将盲化数据秘密共享给各个参与节点，并将所述盲化数据对应的哈希值上传至区块链中；

使用伪随机数序列中的部分随机数充当Beaver三元组并秘密共享给各个参与节点，并将伪随机数序列对应的噪声源共享给监管节点；

各个参与节点根据接收到的隐私数据进行Beaver乘法运算，得到中间数据；所述隐私数据包括盲化数据和所述Beaver三元组；

监管节点根据所述噪声源和所述中间数据来复现Beaver乘法运算过程，并找出存在作弊行为的参与节点；

若监管节点没有找出存在作弊行为的参与节点，则各个参与节点公开其局部计算结果值并将这些局部计算结果值得到最终计算结果值，将所述最终计算结果值发送给数据请求者或/和返回给数据拥有者；

若监管节点找出存在作弊行为的参与节点，则通过监管节点通知数据拥有者隐私计算失败。

可选地，本领域普通技术人员可以理解，图7所示的结构仅为示意，电子设备也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices，MID)、PAD等终端设备。图7其并不对上述计算机设备的结构造成限定。例如，计算机设备还可包括比图7中所示更多或者更少的组件(如网络接口等)，或者具有与图7所示不同的配置。

其中，存储器330可用于存储软件程序以及模块，如本发明实施例中的服务熔断方法和装置对应的程序指令/模块，处理器310通过运行存储在存储器330内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的一种基于可信存证的可监管隐私计算方法。存储器330可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器330可进一步包括相对于处理器310远程设置的存储器，这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。其中，存储器330具体可以但不限于用于一种基于可信存证的可监管隐私计算中公私钥、盲化数据、哈希值等信息。

在本发明的描述中，需要理解的是，术语“同轴”“底部”“一端”“顶部”“中部”“另一端”“上”“一侧”“顶部”“内”“外”“前部”“中央”“两端”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

在本发明中，除非另有明确的规定和限定，术语“安装”“设置”“连接”“固定”“旋转”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系，除非另有明确的限定，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。