引言
　　文献 提 出 了 两 方 安 全 计 算 概 念并 证 明 了任何多项式时间函数都可以在半诚实模型下实现安全的两方计算 为了弥补文献 的方案只能在半诚实模型下证明 安 全 性 这 一 个 缺 点 文 献给出了一个在恶意模型下安全的两方计算协议尽管协议的效率很低 但因为对恶意模型下两方安全计算的存在性给出了证明 所以具有较大的理论意义目前两方安全计算工作大都集中在如何提高效率上比 如 文 献 中 用 方 法 第一次证明了一个在恶意模型下实用的高效方案随后有一 些 方 案 也 沿 用 了 文 献 中 的方法
　　本 文 主 要 是 用 轮 换 映 射 在 实 用 错 误 率 范 围 内提高了协议的效率 并对协议的正确性和错误率进行了详细的分析 文献 所用的方案在检测输入一致性时使用了 全 连 通 图 相 比 文 献 的 方 案在检测输入一致 性 时 本协议利用轮换映射 使 得构造的 只 形 成 连 通 图 而 不 是 全连通图从而提高了协议的效率 和文献 的方案相比虽然文献 的方案用随机算法在协议中构造了一个 正则图提 高 了 协 议 效 率 但 由 于 使 用的是随机 算 法 在 特 殊 情 况 下 正则图的不连通性会造成错误率迅速上升 所以在实用错误率范围内文献 方案的效率并没有本协议高
　　另外本文基于理想现实模型用回退的方法和 协 议 的 完 全 模 拟 性 以 及 知 识 证 明 等 性 质给出了 协 议 的 一 个 严 格完整的形式化证明 同时对协议的失 败 情 况 给 出 了 详 细 的 分 析 这 也 使得协议的安全性基础更扎实 当作一个子协议使用时有了 更 充 分 的 理 论 依 据 此 外本 文 还 对 文 献的 协 议 进 行 了 补 充 因 为 协 议 在 恶 意 参 与方 的攻击下可能泄露参与方 输 入 的 相 关 信息 本协议可 以 抵 制 类 似 的 攻 击 所 以本 文 相比于文献 的方案有着更高的效率和更完整 严格的形式化证明 与文献 的方案相比在实用错误率范 围 内 有 着 更 高 的 效 率 与方案相比使用了更少的指数运算
　　本协议没有过多地考虑公平性 所以执行协议时如果在 得到双方的输入前 中 断 执 行则达不到计算 目 的 如 果 得到计算结果后输出结果前中断那 么 达 不 到 目 的 为了增强协议的公平性可以借鉴文献 方案的方法这样恶意中断者比诚实者最多只有一个比特的优势 所以本文暂且不考虑公平性 而只考虑效率
　　基础知识
　　两方安全计算的定义两 个 参 与 方 和 分 别 输 入和 共 同 参 与 计 算 函 数其中 得到输出 得 到 输 出 如 果和 除此之 外 得 不 到 任 何 其 它 信 息那 么 就说 和 对函数 进行了安全的两方计算混合电路首 先假设 是一个可计算函数 那么 可表示成一个多 项 式 大 小 的 电 路 构 造 相 应的 电 路称 为 电 路 构 造 方 使 用 传输的输入值计算电路 称为电路计算方具体方法是 为 电 路 中 的 每 一 个 输 入 线路 随机挑 选 两 个 随 机 串 和其分别代表 值 和 然后为 电路中的每一个门电路计算一个混乱真值表 最 后为每一个输出线路 计算 一 个 输 出 翻 译 对 照 表这样的电路就称为 混乱电路对上述电路 计 算 的 方 法 是 把 自 己 输 入的 值对 应 的 随 机 串 传 输 给 在 传 输的输 入 对 应 的 随 机 串 时为 了 使 知 道 且 只 知道两个输入中的一个 同时 不 知 道 选 择的哪 一 个 和 执 行 一 个 传 输 协 议这样 就 得 到 了 和 自 己 输 入 的 值 对应的随机串 然后 用得到的随机串计算混乱电路最后通过对应每一个输出线路的翻译对照表得出 电 路 的 计 算 结 果从 而 完 成 两 方 安 全 计算相关定义定义 理 想 模 型 虚 构 一 个 不 存 在 的 无 条件信 任 的 第 三 方 在 进行安全计 算 时 参 与 方 把 输 入 和 分 别 发 送 给然 后 由 计 算 函 数 并 把 计 算 结 果及 分别送回给两参与方 并且在计算过程中参与双方遵守一个相容策略对策略指任一个在多项式时间内完成的概率算法我们称 是 相 容 策 略 对 如果参与方中 至 少 有 一 个 参 与 方 的 策 略 或 者是诚实地按照协议规程进行安全计算的那么我们把这个带有 并遵守相容策略对的模型叫做两方安全计算的理想模型 用公式表示为其中把 输 出 表 示 为 和 是 因 为 在 相 容 策 略对作用下参与方的输出可能是恶意参与方修改过的输出也可能恶意参与方中途退出而根本没有得到输出定义 现 实 模 型 是 计 算 函 数 的 现 实协议 是 在 执 行 协 议 时 参 与 方 遵守的相容策略 对 如果参与方中至少有一个的策略 或者 是诚实地按照协议规程执行那么我们把在相容策略对下计算函数 的 协 议 定 义 为两方安全计算的现实模型 公式表示为其中 的含义与理想模型中 和 的相同定义 两 方 安 全 计 算 模 型 如 果 一 个 拥 有相容策略对 计算函数 的现实模 型能够被拥有相容策略对 计算同样函数 的理想模型所模拟那 就 是 说计 算 函 数 的杨 勇一种恶意模型下高效的两方安全计算协议协议 的 安 全 性 和 理 想 模 型 下 计 算 函 数 的 安 全性是一样的而 理 想 模 型 是 一 个 完 美 模 型所 以 就证明了现实模型可以安全地计算函数 我 们 把这个用现实模拟理想的模型定义为两方安全计算模型并称这个模型为理想 现实对模型用公式表示为恶意模型下高效的两方安全计算协议协 议 的 基 本 思 想 是 参 与 方 作 为 协 议 的 构造者构造所有的电路 但要求构造电路正确并且不能进行成功 的 欺 骗 参 与 方 作为协议的计算者对 构造的电路进行计算 但要求在对各自输入保密的情况下 计 算 协 议 中 添 加 第 步 的 原 因 是通常的 协 议 在 恶 意 参 与 方 的 参 与 下 不 安全有可能泄漏参与方 的输入 的相关信息定义 本 质 是 对 两 个 不 同电路 相 应 输 入 的 随 机 密 钥 对 应 同 一值做出的承诺比如为了保证 两个电路的第个 输 入 的 两 个 随 机 密 钥 对 应 着 同 一 个值那 么 就构造一个关于两个密钥对应着同一 个 值 的 承 诺 承诺 对应着同一个 值比如 于是就把这种承诺称为完备协议输入参与方 的 输 入参 与 方 的 输 入辅助输入函数 的计算电路扩 展 输 入 把 参 与 方 的 每 一 比 特输 入 用异或电路形式扩展成 比特输入 于 是 参 与 方 的 个 输入扩展 成 了 个 输 入 从而达到了防止恶意参与方 利用 协议获得参与方 输入信息的目的构造电 路 首 先参 与 方 构 造 个计算函 数 的 电 路并 且 这 个 电 路 和 原 电 路 相同编号分别 为 其 次把 这 个 刚构造的电路随机分成相等的两组如 图 所 示每组有 个电路构造承诺在上一步两个分组中的每一个分组中对参与方 的第 个电路第 个 输 入 两 两 构 造承诺 其中 也就是说对和 这两 个 电 路 的 第 个 输 入 对 应 的 密 钥构 造 的这 样 不 同 电 路 的 同 一 输 入 每 一 组 中 有个两 组 共 有 个如图 所示在 两 个 分 组 间 随 机 构 造 一 个 电路的映 射这 样 两 组 电 路 之 间 都 是 双 射 的 然后在这个双射的基础上再构造一个轮换映射 如图 所示 同 样在两组有对应关系的电路间构造 这样不同电路的同一输入在两组间 共 构 造 个 与一共构造了 个图 电路分组方法和 的 构 造对 参 与 方 的 个 输 入为 每一个输 入 构 造 一 组 承 诺 信 息其 中第 个 电 路 第 个 输 入的密钥 的承诺为传输 的 输 入 密 钥 对 的 每 个 输入 和 执行一个 协议传输下面两组中的一个其 中 为 的解承诺从而 把 的 个输入对应的密钥和解承诺传给把 上 面 构 造 的 电 路混 乱 加 密 表输出对照表和 的 承 诺 输 入 密 钥 对 应 的承诺和 输 入 密 钥 对 应 的 传 给公平抛硬币协议 和 执 行 公 平抛硬币协 议共 同 决 定 从 中 随 机 选 取 个 电 路如图 所示计算机工程与科学图 电路的选择方式和连通性检查所选电路的正确性把 随 机 选 择 的 电 路 中 与 的输 入 密 钥 相 关 的 的 解 承 诺以及 输 入 密 钥 传给把 随 机 选 择 的 电 路 中 与 的输入密钥相关的解承诺信息 和密钥 传给把电路的混乱加密表和相应的输出对应表传输给这样 就 可 以 完 全 解 密 电 路 并 根 据检验 的 输 入 的 一 致 性 的 输 入以及加密的混乱 电 路 的 正 确 性 如果上述检查不通过则退出协议传输 的输入密钥 把剩余的个电路相对 应 的 的 输 入 密 钥 相对应的这些密钥一 致 性 检 验 的 的 解 承 诺 传 给检 验 的 输 入 的 一 致 性 因 为 所 选电路的 在 组 内 是 一 个 全 连 接而组间也是连 通 的 如 节 的 证 明 因 而 可 以根据 传 送 的 检 验 关 于个电路的输入 的 一 致 性 如果检查不通过则退出协议计 算 电 路 值 由 就 得 到 关于 输 入 的 密 钥 以 及 在 协 议 中 得 到 的 自己输入的密钥于是就可以用这些密钥计算相关电路的值 计算这些电路值 并把数量占优 的 电 路值输出协议分析协议的初步证明为了证明协议的正确性 首先说明如何在协议中用 保证 输入的一致性根据 的 定 义为 了 更 好 地 判断 个电路对应 输 入 的 一 致 性 用的传递性构造 一 个 图 这个图把承诺两个密钥对应输入 一 致 性 的 作 为 图 的 边比如 把其中不同电路的对应输入的密钥作为图的顶点 比 如 这 样 构 成 的图如果是连通的 那么图中顶点表示的随机密钥代表的 值 是 一 致 的 这 种 由构成的图叫一致性检测图 简称电路图所以为了检测恶意参与方 输 入 的 一 致 性必须使 随机选择的 个 电 路 和 剩 余 的 个电路构成的一致性检测图是连通的证明可以分 为 两 步 第 一 步 证 明 组 内 连 通 性由图 可知组内电路是全连接的因而连通 第二步证明两组元素间至少有一对元素连接根据图论中的匹配原理 这 一 结 论 也 成 立 这 样 因 为 组 内 元素连通并且 组 间 也 有 元 素 连 接那 么 所 选 的个元素连通协议通信效率分析两 方 安 全 协 议 的 效 率 主 要 由 两 方 之 间 的 通 信量衡量这主要表现为混乱电路和所构造承诺解承诺的传 输其 中 在 两 方 之 间 关 于承诺的传输占了很大比例 因而如果能在一定错误率范围内 减 少 的 传 输就 可 以 有效提高协议效率在文献 方案中构造的关于 输 入 的 一 致性检测图是全连接的 也就是同一输入的 个密钥用了 个 然 而 证 明 时只打开了其中的 个这样大约有 的传输浪 费 了 本 文 一 共 构 造 并 传输了 个又因为本文可以 保 证 所 构造的一致性检测图的连通性 所以在相同的错误率下相比文献 的方案节省了大约一半的传输虽然文 献 方 案 构 造 的 更少但由于是 正 则 图所 以 不 能 保 证 这 个 随机选取的电路构成的图是连通的这样就造成协议错误率的迅速提高 因而在实用错误率范围内效率并没有本 协 议 高 例 如为 了 得 到 低 于的 错 误 率 就 需 要 构 造 比 本 协 议 更 多 的所以文献 方 案 的 优 势 更 多 地 体 现 在理论上体现在错误率趋向于极小的时候所以本文在相同错误率的情况下比文献的方案节约了大约一半 的 构 造 与杨 勇一种恶意模型下高效的两方安全计算协议传输在实用错误率 范 围 内 比 文 献 的 方 案 更 有实用价值协议错误率的计算本协议的错误率是 在 协 议 开 始 时 恶 意 输 入错误值并成功逃避检查的概率 分析如下如果把 个 电 路 的 对 应 输 入 分 成 个 集 合每个集合的对应输入相同 不同集合的对应输入不同并且只有 一 个 集 合 为 输 入 正 确 的 集 合 那 么当打开的 个电路属于不同集合时 就会发现欺骗 因为由上述分析可知 这 个电路构成的一致性检测图是连通的 所以不同集合的对应输入间必然存 在 又因为不同集合的对应输入不 同所 以 这 样 构 造 的 是假的从而发现欺骗但是当打开的 个电路都属于输入正确的那个集合时 就有可能在欺骗时逃避检验 因而协议的欺骗率至多为 这个计 算 式 的 含 义 是 从 构 造 正 确 的 个 电 路 中 选个电路共 个 逃 避 检 验 的 选 法 与 从 个 电路中选 个 电 路 共 个 选 法 的 比 值 其 中为根据以 上 分 析 要 欺 骗 成 功 当 且 仅 当 为时概率最大值为安全性的证明为了在理想现实对模型下对协议的安全性进行形式化证明首先构造一个对手 模拟者这个对手模 拟 者 位 于 理 想 模 型 和 现 实 模 型 之 间 其 主 要作用是在恶意攻击者的攻击下模拟现实模型的执行是恶意攻击者的证明为了证明这种情况下的安全性 首先构造一个对手模拟者 如果 能在恶意 攻 击 者 的 攻击下模拟理想模型的执行 那么就可以证明协议是安全的协议模拟示意图如图 所示为了用模拟的方法证明协议的安全性首 先协议必须能 抵 制 恶 意 攻 击 者 的 恶 意 行 为 这 要求对手模拟者 必 须 在 恶 意 攻 击 者 的 攻 击 下 得到恶意参与方 的 真 实 输 入 参 与 方 不 能 从自己的输入和协议执行中得到其它信息 其 次必须保证协议模拟的正确性 这首先要求理想模型和现实模型下的输出是多项式时间不可分辨的再者图 模 拟 者 的位置与协议模拟示意图模拟 情 况 下 的 和现实协议执行中 的是多项式时间不可分辨的具体模拟如下所示和 执行协议 模拟参与方 如协议构造承 诺 和 电 路 在 协 议 以 任何一个输入 进 入 协 议 使 得 和 执 行协议 然 后 把电路的相关承诺和传给 并共同选择要打开的 个电路如诚 实 参 与 方 一样接收并检查从 传 输 的数据如果发现不正确 则退出协议输出 如果都正确则返 回 重 新 执 行 协 议 再 一 次 重 新随机选取 个电路再打开并证明其正确性 然后 按照协 议 传 送 其 输 入 对 应 的 密 钥 这 时 因 为在第一次执行时完全打开了电路所以已经暴露了密 钥 对 应 的 值因 而 模 拟 者 可 以 根 据 传 送 的密钥值得到恶 意 参 与 方 的 输 入 这 样 模 拟 者就可以把得到的这个输入 作 为 恶 意 参 与 方 的输入传给理想 模 型 中 的 可 信 第 三 方 然 后 继 续 执行协议因为假设只有 输 出 结 果因 而 只 要 模 拟者不退出协议那么模拟成功以下对协议的模拟进行分析首先根据对协议的初步证明和错误率分析可知当 是恶意 攻 击 者 时 构 造 错 误 电 路 或 篡 改输入而攻击成功的概率是指数级小的 再者对比模拟协议和现实协议的执行有以下区别 可 能以 而不是 进入协议模拟协议执行了两遍所以为了保证模拟不被中断 需要保证 以或 者 进 入 协 议 时 退出协议的概率差别是多项式时间不可分辨的 并且协议重复执行的条件下模拟失败的 情 况 是 指 数 级 小 的 具 体 分 析 如 下所示在以上模 拟 不 被 中 断 的 条 件 下 如 果 把 的看作第二次协议模拟执行时的 很 明 显现实协议的 和模拟协议的 是多项 式 不可分辨的 进一步可以证明理想模型和现实模型的输出是多项 式 不 可 分 辨 的 因 为 根 据 上 述 模 拟如果 在构造电路或传送输入时不被模拟者计算机工程与科学发现那么 在 现 实 模 型 和 理 想 模 型 中 都 只 能 以自己 的 真 实 输 入 进 入 协 议 而 这 时 参 与 方 又是诚实的 参 与 方 所以两个模型中参与方输入相同同时又因为 模 拟 成 功 所以两模型输出概率同分布也就是多项式不可分辨的为了保证协议模拟不被中断 下面对模拟过程中出现的几个事件进行概率分析上述模拟过程中 为了得到输入 就必须使得第一次选择的电路与第二次计算的电路有重合 这样重合的电路中第一次打开电路时知道了随机密钥 对 应 的 值在第二次传输时就可以根据传输的随机密钥值 得 到 输 入 为了保证分析的准确性我们希望两次选择的重合部分至少为全部电路的 如果小于 那 么 执 行 失 败 模 拟 者退出这个事件 记 为 如 果 当 重 合 集 合 的 输入与恶意参 与 方 的 输 入 不 一 致 时 模 拟 同 样 失败这个 事 件 记 为 下面证明这两个事件的概率都是指数小的事 件 的 概 率 在 两 次 随 机 选 择 中第一次被选中第二次没有被选中的电路符合上述要求这样的概率为 如 果 符合这样要求的电路少于 个那么根据界定的上限事件 的概率为所以事件 的概率是指数级小的事件 发生的概率和恶意攻击者欺骗概率的计算方法一致 假如 事 件 选 取 了个电路那么这 个电 路 在 第 一 次 选 择 中 被打开所以证明 这 个 电 路 输 入 一 致 同 样 第 二次选择打开的 个 电 路 也 输 入 一 致 因 而 如 果最后 输入 的 值 和 被 选 中 的 个 电 路 不 同 并且协议没有 发 生 中 断 那 么 说 明 恶 意 攻 击 者 欺骗成功也就是说在剩余的 个电路中至少有个电路输入是恶意的 但 没 有 被 检 查 出 来 根 据上面分析这个概率为为了保证模拟正确 下面证明 因为输入不同值 和 退出协议的概率差别为如果 因为不同输入 和 退出协议只可能发生在执行 时其它协议中断明显和 的不同输入无关 在 把参与方 的 每 一 个 输入扩充成了 个输入所以对原来 电 路 的 每 一 位 输入相应地考虑 扩 展 后 个 输 入 假 如 恶 意 攻 击 者在传输 个输入的 个 协议中对其中的 个协议输 入 一 个 恶 意 值 和 一 个 正 确 值 那 么会以概率 退出 同样如果对所有 个协议都输入一位恶意值 比如都对应逻辑值 那么只有当这 个 输 入 都 对 应 逻 辑 值 并 且 个输入对应扩展前逻辑值 时 协 议 不 退 出 所 以 退出概率为 那么只要个输入中包含逻辑值 并 且 这 个输入对应的是扩展前的另一个 逻辑值那么 以概率 退出协议两者的概率差别为 因共 有 个 输 入所 以 退 出 协 议 的概率差别最多 为 可以看出这种概率差别是指数级小的引理 根 据 以 上 分 析 证 明 在 恶 意 攻 击 者的恶意攻击下理 想现 实 对 模 型 中 的 和现实 协 议 中 的 是 概 率 多 项 式 时 间 不 可 分辨的并且从协议的模拟得知理想现实对模型的输出与现实 协 议 一 致 综 上 所 述 根 据 理 想现 实对模型的定义协议在恶意攻击者 下是安全的是恶意攻击者的证明同样为了证 明 这 种 情 况 下 的 安 全 性首 先 构造一个对手模拟者 如 果 能 够 在 恶 意 攻 击者 的攻击 下 模 拟 理 想 模 型 的 执 行 那 么 就 可 以证明协议是安全的 协议模拟示意图如图 所示图 模 拟 者 的位置与协议模拟示意图和 节一样为了用模拟的方法证明协议的安全性首先 协 议 必 须 能 够 抵 制 恶 意 攻 击 者 和节恶意攻击者 一样的恶意行为 然后必须 保证协议模拟的正确性 具体模拟如下模拟者 构造 恶 意 攻 击 者 的 输 入密钥和密钥对应的承诺和解承诺假设 协议是安全的那 么 可 以 根据两方安全计算的概念为 协 议 构 造 一 个 计 算杨 勇一种恶意模型下高效的两方安全计算协议协议 的 函 数 同 样在 理 想现 实 对 模 型 下函数的模拟者 可以从恶意攻击者 那里得到 的输入 然后模拟者 把 构造的密钥和解 承 诺 传 给 就 像 协 议 中 一 样 因 为协议是安全的所以模拟者 可以模拟真实协议使得 在 模拟时的 和 在真实协议中的是多项式时间不可分辨的模拟者 按以下步骤构造电路和承诺并传输给 设 要 打 开 电 路 的 集 合 为 计 算值的电路集合为对模拟参与 方 的 模 拟 者 的输入构 造 构造的方法和原协议一样为 了 保 证 集 合 中 的 电 路 不 论模拟者 的输入 是什么都计算得到其中 的值 在 上 面 模 拟 协 议 时 得 到 对 于电路中 的 每 一 个 输 入 门 电 路 我 们 必 须 构 造假的混乱真值表 使 得 不 管 模 拟 者 的 输 入 对 应的密钥是 什 么 解密混乱真值表都得到相同的密钥集合 中的电路正确构造恶意攻击者 和 模 拟 者 一 同 执 行有偏的抛硬币协议 使得所有被选中的 个电路都属 于 集 合 而 剩 下 的 个电路都属于集合模拟者 把相应的解承诺信息传输给恶意攻击者 打开集合 中构造正确的电路并如协议那样检验电路构造的正确性 然后计算剩下集合 中的伪造电路恶意参与方计算电路并输出得到的计算值首先从模拟可以看 到 恶 意 攻 击 者 除 了 自己的输入外 得 不 到 参 与 方 输 入 的 任 何 信 息 如果假设 协议是安全的模 拟 者 也 得 不 到 关于 输入的 任 何 信 息 所以协议可以抵制恶意攻击者 的攻击再者经过比较发现在理想现实对模型与现实协议执行中 的 的 不 同 之 处 有 模 拟者参与时 协议是模拟 的如 上 所 述这 个 安 全性可 以 归 约 到 协 议 本 身 的 安 全 性 因 而 在 两个模型中 协议 的 是 不 可 分 辨 的 模拟执行中集合 中的电 路 是 伪 造 的 执 行 的 是有偏抛硬币协议下面分别对第 种和第 种情况进行说明为了 证 明 在 理 想 现实对模型和现实协议的执行中恶意参与方 的 是不可 分 辨 的 就要证明 恶 意 参 与 方 不 能 分 辨 集 合 中 给 他 的 假电路的混乱真值表与原协议中真电路的混乱真值表这一点可以由构造混乱真值表时用的加密体制是加密不可分辨的 来保证 具体证明省略为了得到有偏的抛硬币协议可 以 按 如 下方法模拟协议模拟者 从 恶 意 攻 击 者 那 里 收 到 一 个承诺构造一个对字符串 的承诺 传给收到 关于 承 诺 的 解 承 诺 信 息 并 得到承诺的字符串从 第 步 重 新 执 行 协 议 构 造 一 个 字 符串 的承诺 使得 ⊕ 并且使得这样得到的随机串 确定的要打开的电路都属于集合要计算的电路都属于集合如第 步重新发送 的 解 承 诺 信 息 并 得到承诺的字符串 也 发 送 承 诺 的 解 承 诺 信息使得 得到字符串根据零知识 的 性 质 对 于 协 议 的 模 拟 在 协 议中这样提取知识 是允许的不会干扰协 议 模 拟 的正确性 所 以上 述 模 拟 协 议 中 恶 意 攻 击 者 的和现实协议中恶意攻击者 的 是 多 项式时间不可分辨的引理 根据以上分析证明在恶意攻击者的恶意攻击 下 理 想现 实 对 模 型 中 的 和现实协议中 的 是概率多项式时间不可分辨的并且从协议的模拟可以看到理想现实对模型的输出与现实协议的输出一致 综上所述根据理想现实对模型的定义 协 议 在 恶 意 攻 击 者 下是安全的定理 根据第 种 和 第 种 情 况 的 证 明由 理 想现 实 对 模 型 的 安 全 性 定 义可 以 证 明 协 议在有恶意参与方参与的情况下可以进行安全的两方计算
　　结束语
　　本文用简单的轮换映射 在保证指数级小欺骗概率的情况下提高了协议的效率并且在最后给出了安全性的形式化证明 另外关于两方安全计算的公平性虽然已经有了一些论述但如果要达到完计算机工程与科学全的公平性效率还需要进一步提高