CN107147484A

CN107147484A - 一种面向隐私保护的浮点数全同态加密方法

Info

Publication number: CN107147484A
Application number: CN201710333013.4A
Authority: CN
Inventors: 杨庚; 白双杰; 史经启; 朱向洋; 刘国秀; 许建
Original assignee: Nanjing Post and Telecommunication University
Current assignee: Nanjing Post and Telecommunication University; Nanjing University of Posts and Telecommunications
Priority date: 2017-05-12
Filing date: 2017-05-12
Publication date: 2017-09-08
Anticipated expiration: 2037-05-12
Also published as: CN107147484B

Abstract

本发明提出了一种面向隐私保护的浮点数全同态加密方法，包含了密钥生成，部分同态加密、全同态加密步骤。在密钥生成阶段，生成随机私钥，结合伪随机函数用私钥生成公钥元素，生成随机噪声；在部分同态加密过程中，通过公钥和明文进行运算，实现明文数据的部分同态加密；在全同态加密过程中，生成新参数，将新参数与部分同态加密后的密文进行运算，得到扩展密文，然后利用同态解密刷新原密文，生成噪声更小的新密文，从而实现全同态加密。与现有技术相比，本发明可应用的数据类型丰富，同时在不泄露隐私的前提下，实现对数据的安全计算。

Description

一种面向隐私保护的浮点数全同态加密方法

技术领域

本发明涉及一种适用于云计算环境的浮点数全同态加密方法，属于信息安全技术领域。

背景技术

云服务为广大用户提供了广大的存储空间和强大的计算能力，但在人们享受便利的同时，隐私安全问题随之而来，这被认为是云环境下最大的挑战。研究者们一直在寻求构造一种既能充分利用云端强大的计算能力和存储空间，又能有效保护数据安全的方案。

同态加密与云环境中数据的机密性保护密切相关，是解决云环境中隐私保护问题的关键技术。公开号为106452723A的发明专利申请，公开了一种基于模运算的全同态加密处理方法，包括以下步骤：获取加密过程中任意数值数据类型的明文，并根据加密需要将其转换为对应的进制位明文，对得到的进制位明文中的各个数进行加密运算，将加密运算得到的密文进行组合，从而得到对应的密文组合，采用基于模加密的密文原码、密文反码和密文补码对得到的密文组合进行加减乘除密文运算，利用模除法对获取的密文运算结果进行解密，以获得解密后的明文。该方案能够解决现有的基于模运算的全同态加密处理方法中，由于密文乘法噪音难以控制，以及密文加法的结果等于进制时密文求和的结果在解密过程中出错所导致的加密结果无法被正确解密的技术问题。

另有公开号为103259643B的发明专利申请，公开了一种矩阵全同态加密算法，包括：1)初始化模块：根据待加密矩阵的维数、加密类型和矩阵元素值的范围，来生成加密、解密所需的密钥；2)加密模块：根据给定的明文矩阵，使用加密算法和密钥对明文矩阵进行加密，输出密文矩阵；3)解密模块：根据给定的密文矩阵，使用密钥和解密算法对密文矩阵进行解密，输出明文矩阵；4)矩阵全同态模块：矩阵的加法和乘法运算都满足矩阵同态的性质，矩阵加法和乘法产生的输出仍然满足同态的性质，即满足矩阵全同态的性质。该方案一是能够满足安全性需求；二是满足矩阵全同态的要求；三是明显提高了密文矩阵的运算速度。

但是以上方案虽然在一定程度上满足了安全性的需求，但是可应用的数据类型不广。

发明内容

本发明所要解决的技术问题是：针对如今对于安全计算的需求，提出了一种可应用于云计算环境的浮点数全同态加密方法，通过对浮点数加密，增加方法可应用的数据类型，同时在不泄露隐私的前提下，实现对数据的安全计算。

本发明为解决上述技术问题采用以下技术方案：

一种面向隐私保护的浮点数全同态加密方法，包括如下步骤：

(1)将待加密的浮点数表示为正规表达式，并将浮点数正规表达式的有效数转换为二进制的比特位明文数据；

(2)生成随机私钥，结合伪随机函数用私钥定义公钥元素，并根据生成的随机噪声参数计算出公钥；

(3)利用随机整数矩阵和公钥对明文进行运算，实现对明文数据的部分同态加密；

(4)根据步骤(2)生成新的密钥参数，将新密钥参数与步骤(3)部分同态加密的密文进行运算，实现密文的扩展；然后利用同态解密刷新原密文，生成噪声更小的新密文，从而实现全同态加密。

进一步的，作为本发明的浮点数全同态加密方法，步骤(1)具体如下：

记fl为要加密的任意浮点数，则用四个整数表示fl，即为：

fl＝(-1)^s′·sig·2^e-k (1)

其中s′表示符号位，当s′＝0时，fl为正数，当s′＝1时，fl为负数；e表示指数，用于控制浮点数的数值范围大小；k表示精度，即为浮点数的有效位数，用于控制浮点数的精度大小；sig表示有效数，满足2^k-1≤sig≤2^k-1，且sig为整数；

在浮点数fl以正规表达式表示的基础上，将有效数sig转化为二进制比特位形式，记为：

sig＝d₁d₂…d_k (2)；

其中d₁、d₂、…、d_k代表明文元素。

进一步的，作为本发明的浮点数全同态加密方法，步骤(2)具体为：

令μ²表示私钥的个数，η表示每个私钥的比特位数，生成μ²个η比特的随机素数{p_u,v}_1≤u,v≤μ，即为其中表示整数集合；

令π表示私钥的乘积，即为π＝Π_1≤u,v≤μp_u,v；

令γ表示公钥元素的比特位数，定义公钥元素φ₀为φ₀＝q₀·π，其中

若X,Y表示任意整数，则定义模运算XmodY∈(-Y/2,Y/2)；

令r_i,b,u,v，ω_i,b,u,v，σ_i,b,u,v分别为三个噪声参数，ρ为噪声参数的比特位数；

对于噪声参数第一个公钥元素φ_i,b计算方法如下：

φ_i,bmod p_u,v＝r_i,b,u,v (3)

其中1≤i≤β,0≤b≤1,1≤u,v≤μ，β为第一个公钥元素φ_i,0或φ_i,1的个数；

对于噪声参数第二个公钥元素Π_i,b计算方法如下：

Π_i,bmod p_u,v＝2ω_i,b,u,v+δ_i,b,u,v·2^ρ+1 (4)

对于噪声参数第三个公钥元素χ_i,b计算方法如下：

χ_i,b mod p_u,v＝2σ_i,b,u,v+δ_i,b,u,v (5)

其中1≤i≤μ,0≤b≤1,1≤u,v≤μ，函数δ_i,b,u,v定义如下：

令私钥集合为sk，则sk＝{p_u,v}_1≤u,v≤μ，公钥集合为pk，则

pk＝<φ₀,(φ_i,b)_{1≤i≤β,0≤b≤1},(Π_i,b)_{1≤i≤μ,0≤b≤1},(χ_i,b)_{1≤i≤μ,0≤b≤1}> (7)。

进一步的，作为本发明的浮点数全同态加密方法，步骤(3)具体如下：

令A,A′为随机整数矩阵，生成规则如下：

其中a_i,j,a′_i,j∈(-2^η,2^η)，

根据步骤(2)生成的密钥和参数，对(2)式中的明文s进行加密，将明文元素d₁、d₂、…、d_k打包存入矩阵M＝[m_i,j]_1≤i,j≤μ，将明文m_i,j加密，得到如下密文：

解密过程为：

1≤i,j≤μ，为异或运算符。

进一步的，作为本发明的浮点数全同态加密方法，步骤(4)具体如下：

A、按照步骤(2)中的规则生成私钥sk＝{p_u,v}_1≤u,v≤μ和公钥pk，具体包括：

若fl为任意浮点数，则运算[fl]表示fl四舍五入后的整数；生成μ²个Θ比特的二进制私钥向量S_u,v＝{s_u,v,0,…,s_u,v,Θ-1},1≤u,v≤μ，Θ为向量S_u,v中元素的个数；

令每个私钥向量的汉明重量为θ，即向量中有θ个元素为1，Θ-θ个元素为0；令随机选取Θ个整数u_i∈[0,2^γ+3),i＝0,…,Θ-1，对于1≤u,v≤μ，使其满足：

令向量y＝(y₀,…,y_Θ-1)，其中y_i＝u_i/2^γ+2，因此y_i,0≤i≤Θ-1均为小于2的有理正数，且二进制为精度均为γ+2，于是有下式成立：

其中ε_u,v为误差参数，且满足|ε_u,v|＜2^-(γ+2)；

则私钥sk^*为sk^*＝{S_u,v}_1≤u,v≤μ，公钥pk^*为pk^*＝(pk,y₀,y₁,…,y_Θ-1)；

B、在步骤(3)加密的基础上，将密文扩展：令z_i＝c·y_i mod 2,i＝0,…,Θ-1，令z_i的二进制精度为比特，若fl为任意浮点数，则运算表示比fl大的最小整数，输出的密文为(c,z₀,…z_Θ-1)；

该密文的解密过程如下：

将私钥s_u,v,i用步骤(3)的部分同态加密方法，加密为密文α_u,v,i，即为：

C、将该私钥的密文放入上述公式(13)中与密文计算，即可得到噪声更小的新密文，使同态计算能一直持续下去。

进一步的，作为本发明的浮点数全同态加密方法，还包括同态性的验证步骤：

将明文m_i,j，m′_i,j分别加密为：

验证加法满足同态性：

[(c+c′)mod p_i,j]₂＝m_i,j+m′_i,j (16)

验证乘法满足同态性：

[(c·c′)mod p_i,j]₂＝m_i,j·m′_i,j (17)。

本发明采用以上技术方案与现有技术相比，具有以下技术效果：

本发明解决了云计算实际应用过程中要解决的两个问题：一是在数据保证机密性要求的前提下，云端服务器能够直接对密文进行运算。二是针对如今数据量巨大，数据类型丰富的现状，该方法支持对于浮点数的同态加密，更加适用于一般情况。

附图说明

图1是本发明的方法整体流程图。

具体实施方式

下面结合附图对本发明的技术方案做进一步的详细说明：

本技术领域技术人员可以理解的是，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

本发明针对如今对于安全计算的需求，提出了一种可应用于云计算环境的浮点数全同态加密方法，在密钥生成阶段，生成随机私钥，结合伪随机函数用私钥生成公钥元素，生成随机噪声；在SomeWhat同态加密过程中，通过公钥和明文进行运算，实现明文数据的部分同态加密；在全同态加密过程中，生成新参数，将新参数与部分同态加密的密文进行运算，实现密文的扩展，然后利用同态解密刷新原密文，生成噪声更小的新密文，从而实现全同态加密。

如图1所示，本发明具体包括以下步骤：

步骤一：浮点数的正规化表达式

记fl为要加密的任意浮点数，则fl可以用四个整数表示，即为：

fl＝(-1)^s′·sig·2^e-k (1)

其中s′表示符号位，当s′＝0时，fl为正数，当s′＝1时，fl为负数；e表示指数，控制浮点数的数值范围大小；k表示精度，即为浮点数的有效位数，控制浮点数的精度大小；sig表示有效数，满足2^k-1≤sig≤2^k-1，且sig为整数。

步骤二：将十进制明文转化为二进制的比特位明文

在浮点数fl以正规表达式表示的基础上，将整数sig转化为二进制比特位形式，记为：

sig＝d₁d₂…d_k (2)

步骤三：对明文数据实现部分同态加密

首先生成密钥。令μ²表示私钥的个数，η表示每个私钥的比特位数，生成μ²个η比特的随机素数{p_u,v}_1≤u,v≤μ，即为其中表示整数集合。令π表示私钥的乘积，即为π＝∏_1≤u,v≤μp_u,v。令γ表示公钥元素的比特位数，定义公钥元素φ₀为φ₀＝q₀·π，其中若X,Y表示任意整数，则定义模运算XmodY∈(-Y/2,Y/2)。

令r_i,b,u,v，ω_i,b,u,v，σ_i,b,u,v分别为三个噪声参数，ρ为噪声参数的比特位数。

对于噪声参数第一个公钥元素φ_i,b计算方法如下：

φ_i,bmod p_u,v＝r_i,b,u,v (3)

其中1≤i≤β,0≤b≤1,1≤u,v≤μ。β为第一个公钥元素φ_i,0或φ_i,1的个数。

对于噪声参数第二个公钥元素Π_i,b计算方法如下：

Π_i,bmod p_u,v＝2ω_i,b,u,v+δ_i,b,u,v·2^ρ+1 (4)

对于噪声参数第三个公钥元素χi_,b计算方法如下：

χ_i,b mod p_u,v＝2σ_i,b,u,v+δ_i,b,u,v (5)

其中1≤i≤μ,0≤b≤1,1≤u,v≤μ，函数δ_i,b,u,v定义如下：

令私钥集合为sk，则sk＝{p_u,v}_1≤u,v≤μ，公钥集合为pk，则

pk＝<φ₀,(φ_i,b)_{1≤i≤β,0≤b≤1},(Π_i,b)_{1≤i≤μ,0≤b≤1},(χ_i,b)_{1≤i≤μ,0≤b≤1}> (7)

令A,A′为随机整数矩阵，生成规则如下：

其中a_i,j,a′_i,j∈(-2^η,2^η)。

根据上面生成的密钥和参数，对(2)式中的明文s进行加密，将明文元素d₁、d₂、…、d_k打包存入矩阵M＝[m_i,j]_1≤i,j≤μ，将明文m_i,j加密，得到如下密文：

解密过程为：

1≤i,j≤μ，为异或运算符。部分同态加密后的密文所含噪声较大，在进行有限次运算后，会导致噪声溢出，解密失败，因此需要步骤四压缩解密电路。

步骤四：压缩解密电路，实现全同态加密

在步骤三的基础上，生成新的密钥和参数。首先按照步骤三中部分同态加密方案的规则生成私钥sk＝{p_u,v}_1≤u,v≤μ和公钥pk。若fl为任意浮点数，则运算[fl]表示fl四舍五入后的整数。生成μ²个Θ比特的二进制私钥向量S_u,v＝{s_u,v,0,…,s_u,v,Θ-1},1≤u,v≤μ，Θ为向量S_u,v中元素的个数。令每个私钥向量的汉明重量为θ，即向量中有θ个元素为1，Θ-θ个元素为0。令随机选取Θ个整数u_i∈[0,2^γ+3),i＝0,…,Θ-1，对于1≤u,v≤μ，使其满足：

令向量y＝(y₀,…,y_Θ-1)，其中y_i＝u_i/2^γ+2，因此y_i,0≤i≤Θ-1均为小于2的有理正数，且二进制为精度均为γ+2。于是有下式成立：

其中ε_u,v为误差参数，且满足|ε_u,v|＜2^-(γ+2)。

则私钥sk^*为sk^*＝{S_u,v}_1≤u,v≤μ，公钥pk^*为pk^*＝(pk,y₀,y₁,…,y_Θ-1)。

在步骤三加密的基础上，将密文扩展，令z_i＝c·y_i mod 2,i＝0,…,Θ-1，令z_i的二进制精度为比特，若fl为任意浮点数，则运算表示比fl大的最小整数。输出的密文为(c,z₀,…z_Θ-1)。

该密文的解密过程如下：

将私钥s_u,v,i用步骤三的部分同态加密方法，加密为密文α_u,v,i，即为：

将该私钥的密文放入上述的解密电路中与密文计算，即可得到噪声较小的新密文，使同态计算可以一直持续下去。

步骤五：同态性的验证

明文m_i,j，m′_i,j分别加密为：

加法满足同态性：

[(c+c′)mod p_i,j]₂＝m_i,j+m′_i,j (16)

乘法满足同态性：

[(c·c′)mod p_i,j]₂＝m_i,j·m′_i,j (17)

综上所述，本发明首先将浮点数表示为正规表达式，然后将其进行部分同态加密，压缩解密电路，实现全同态加密。再上传到云环境中，供使用者使用，在数据保密的基础上，实现对数据的安全计算。

以下结合具体实例对本发明的原理做进一步说明：

步骤一：浮点数的正规化表达式

令浮点数x为2.25，即x＝2.25，精度为20，即k＝20。则x可用正规表达式表示为：

x＝(-1)⁰·9·2²⁰·2^-2-20 (18)

步骤二：十进制明文转化位二进制比特位

将表达式中的有效数部分转化为二进制形式，即由于该浮点数的精度要求较低，也为了更加方便的演示加密过程，将表达式简化为：

x＝(-1)⁰·9·2^-2 (19)

则二进制明文为9＝1001。

步骤三：对密文数据实现部分同态加密

首先生成密钥。生成随机素数p_1,1＝11,p_1,2＝13,p_2,1＝17,p_2,2＝19作为私钥，π表示它们的乘积，即π＝p_1,1·p_1,2·p_2,1·p_2,2＝46189，令q₀＝23，则无差错公钥元素φ₀＝q₀·π＝1062347，γ＝20。将明文1001分成两部分[0,0]、[1,1]，用私钥p_1,1加密[0,0]，用私钥p_1,2加密[1,1]。由以上参数计算第一类公钥元素：

由于第二类公钥元素需要满足[Π_i,b mod p_1,i]₂＝0，i＝1,2，b＝1,2，所以有：Π_1,0＝13，Π_1,1＝132，Π_2,0＝143，Π_2,1＝145。

第三类公钥元素需要满足以下条件：

所以有χ_1,0＝78，χ_1,1＝221，χ_2,0＝66，χ_2,1＝209。

由p_1,1加密的明文[0,0]打包加密为密文c₁，由p_1,2加密的明文[1,1]打包加密为密文c₂。生成随机整数矩阵A＝(a₁,a₂)＝(1,1)，A′＝(a₁′,a₂′)＝(1,1)，则可得密文如下：

将c₁,c₂解密可得：

解密正确。

步骤四：压缩解密电路，实现全同态加密

在步骤三已有参数的基础上，生成新的参数，θ＝2，Θ＝4，γ＝20，令即随机选取2个Θ比特的二进制向量S_1,1＝{1,1,0,0}，S_1,2＝{0,0,1,1}。随机选取Θ个整数u_i∈[0,2^κ+1)，满足：

即381300＝u₀+u₁mod 2²³，322639＝u₂+u₃ mod 2²³，令

u₀＝4194304，u₁＝4575604，u₂＝4194304，u₃＝4516943 (25)

可得公钥元素

将步骤三中的密文c₁,c₂扩展

z_i,j小数点后的二进制精度为2比特，其中i＝1,2，j＝0,1,2,3。

则扩展后的密文为(-467324,0.00,0.00,0.00,0.00)，(-436292,0.00,1.00,0.00,1.00)。

将扩展密文解密可得：

解密正确。

利用解密电路同态解密，刷新密文，降低密文噪声。首先将私钥向量S_1,1,S_1,2加密，可得S_1,1的密文向量为(-436292,-436292,-467324,-467324)，S_1,2的密文向量为(-467324,-467324,-436292,-436292)。输入解密电路可得新密文分别为：

将新密文解密可得：

解密正确。

步骤五：同态性的验证

加法满足同态性：

[(c₁′+c₃′)mod p₁]₂＝m₁+m₃＝1 (30)

乘法满足同态性：

[(c₁′·c₃′)mod p₁]₂＝m₁·m₃＝0 (31)

以上所述仅是本发明的部分实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

1.一种面向隐私保护的浮点数全同态加密方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于,步骤(1)具体如下：

记fl为要加密的任意浮点数，则用四个整数表示fl，即为：

fl＝(-1)^s′·sig·2^e-k (1)

sig＝d₁d₂…d_k (2)；

其中d₁、d₂、…、d_k代表明文元素。

3.根据权利要求2所述的方法，其特征在于,步骤(2)具体为：

令μ2表示私钥的个数，η表示每个私钥的比特位数，生成μ²个η比特的随机素数{p_u,v}_1≤u,v≤μ，即为其中表示整数集合；

令π表示私钥的乘积，即为π＝Π_1≤u,v≤μp_u,v；

若X,Y表示任意整数，则定义模运算XmodY∈(-Y/2,Y/2)；

对于噪声参数第一个公钥元素φ_i,b计算方法如下：

φ_i,bmodp_u,v＝r_i,b,u,v (3)

对于噪声参数第二个公钥元素Π_i,b计算方法如下：

Π_i,bmodp_u,v＝2ω_i,b,u,v+δ_i,b,u,v·2^ρ+1 (4)

对于噪声参数第三个公钥元素χ_i,b计算方法如下：

χ_i,bmodp_u,v＝2σ_i,b,u,v+δ_i,b,u,v (5)

其中1≤i≤μ,0≤b≤1,1≤u,v≤μ，函数δ_i,b,u,v定义如下：

<mrow> <msub> <mi>&delta;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>0</mn> <mo>,</mo> <mi>u</mi> <mo>,</mo> <mi>v</mi> </mrow> </msub> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mn>1</mn> </mtd> <mtd> <mrow> <mi>i</mi> <mo>=</mo> <mi>u</mi> </mrow> </mtd> </mtr> <mtr> <mtd> <mn>0</mn> </mtd> <mtd> <mrow> <mi>i</mi> <mo>&NotEqual;</mo> <mi>u</mi> </mrow> </mtd> </mtr> </mtable> </mfenced> <mo>,</mo> <msub> <mi>&delta;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>1</mn> <mo>,</mo> <mi>u</mi> <mo>,</mo> <mi>v</mi> </mrow> </msub> <mo>=</mo> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mn>1</mn> </mtd> <mtd> <mrow> <mi>i</mi> <mo>=</mo> <mi>v</mi> </mrow> </mtd> </mtr> <mtr> <mtd> <mn>0</mn> </mtd> <mtd> <mrow> <mi>i</mi> <mo>&NotEqual;</mo> <mi>v</mi> </mrow> </mtd> </mtr> </mtable> </mfenced> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>6</mn> <mo>)</mo> </mrow> </mrow>

令私钥集合为sk，则sk＝{p_u,v}_1≤u,v≤μ，公钥集合为pk，则

4.根据权利要求3所述的方法，其特征在于，步骤(3)具体如下：

令A,A′为随机整数矩阵，生成规则如下：

<mrow> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mrow> <mi>A</mi> <mo>=</mo> <msub> <mrow> <mo>&lsqb;</mo> <msub> <mi>a</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> </msub> <mo>&rsqb;</mo> </mrow> <mrow> <mn>1</mn> <mo>&le;</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>&le;</mo> <mi>&beta;</mi> </mrow> </msub> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <msup> <mi>A</mi> <mo>&prime;</mo> </msup> <mo>=</mo> <msub> <mrow> <mo>&lsqb;</mo> <msubsup> <mi>a</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> <mo>&prime;</mo> </msubsup> <mo>&rsqb;</mo> </mrow> <mrow> <mn>1</mn> <mo>&le;</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>&le;</mo> <mi>&mu;</mi> </mrow> </msub> </mrow> </mtd> </mtr> </mtable> </mfenced> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>8</mn> <mo>)</mo> </mrow> </mrow>

其中a_i,j,a′_i,j∈(-2^η,2^η)，

<mrow> <mi>c</mi> <mo>=</mo> <mrow> <mo>(</mo> <munder> <mo>&Sigma;</mo> <mrow> <mn>1</mn> <mo>&le;</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>&le;</mo> <mi>&mu;</mi> </mrow> </munder> <msub> <mi>m</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> </msub> <msub> <mi>&chi;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>0</mn> </mrow> </msub> <msub> <mi>&chi;</mi> <mrow> <mi>j</mi> <mo>,</mo> <mn>1</mn> </mrow> </msub> <mo>+</mo> <munder> <mo>&Sigma;</mo> <mrow> <mn>1</mn> <mo>&le;</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>&le;</mo> <mi>&mu;</mi> </mrow> </munder> <msubsup> <mi>a</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> <mo>&prime;</mo> </msubsup> <msub> <mo>&Pi;</mo> <mrow> <mi>i</mi> <mo>,</mo> <mn>0</mn> </mrow> </msub> <msub> <mo>&Pi;</mo> <mrow> <mi>i</mi> <mo>,</mo> <mn>1</mn> </mrow> </msub> <mo>+</mo> <mn>2</mn> <munder> <mo>&Sigma;</mo> <mrow> <mn>1</mn> <mo>&le;</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>&le;</mo> <mi>&beta;</mi> </mrow> </munder> <msub> <mi>a</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> </msub> <msub> <mi>&phi;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>0</mn> </mrow> </msub> <msub> <mi>&phi;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>1</mn> </mrow> </msub> <mo>)</mo> </mrow> <msub> <mi>mod&phi;</mi> <mn>0</mn> </msub> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>9</mn> <mo>)</mo> </mrow> </mrow>

解密过程为：

<mrow> <msub> <mi>m</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> </msub> <mo>=</mo> <mi>c</mi> <mi> </mi> <mi>mod</mi> <mi> </mi> <msub> <mi>p</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> </msub> <mi>mod</mi> <mn>2</mn> <mo>=</mo> <mrow> <mo>(</mo> <mi>c</mi> <mi> </mi> <mi>mod</mi> <mn>2</mn> <mo>)</mo> </mrow> <mo>&CirclePlus;</mo> <mrow> <mo>(</mo> <mo>&lsqb;</mo> <mi>c</mi> <mo>/</mo> <msub> <mi>p</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> </msub> <mo>&rsqb;</mo> <mi>mod</mi> <mn>2</mn> <mo>)</mo> </mrow> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>10</mn> <mo>)</mo> </mrow> </mrow>

1≤i,j≤μ，为异或运算符。

5.根据权利要求4所述的方法，其特征在于，步骤(4)具体如下：

令每个私钥向量的汉明重量为θ，即向量中有θ个元素为1，Θ-θ个元素为0；令x_pu,v←[2^γ+2/p_u,v]，随机选取Θ个整数u_i∈[0,2^γ+3),i＝0,…,Θ-1，对于1≤u,v≤μ，使其满足：

<mrow> <msub> <mi>x</mi> <msub> <mi>p</mi> <mrow> <mi>u</mi> <mo>,</mo> <mi>v</mi> </mrow> </msub> </msub> <mo>=</mo> <munderover> <mo>&Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>0</mn> </mrow> <mrow> <mi>&Theta;</mi> <mo>-</mo> <mn>1</mn> </mrow> </munderover> <msub> <mi>s</mi> <mrow> <mi>u</mi> <mo>,</mo> <mi>v</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <mo>&CenterDot;</mo> <msub> <mi>u</mi> <mi>i</mi> </msub> <mi>mod</mi> <msup> <mn>2</mn> <mrow> <mi>&gamma;</mi> <mo>+</mo> <mn>3</mn> </mrow> </msup> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>11</mn> <mo>)</mo> </mrow> </mrow>

<mrow> <mfrac> <mn>1</mn> <msub> <mi>p</mi> <mrow> <mi>u</mi> <mo>,</mo> <mi>v</mi> </mrow> </msub> </mfrac> <mo>=</mo> <munderover> <mo>&Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>0</mn> </mrow> <mrow> <mi>&Theta;</mi> <mo>-</mo> <mn>1</mn> </mrow> </munderover> <msub> <mi>s</mi> <mrow> <mi>u</mi> <mo>,</mo> <mi>v</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <mo>&CenterDot;</mo> <msub> <mi>y</mi> <mi>i</mi> </msub> <mo>+</mo> <msub> <mi>&epsiv;</mi> <mrow> <mi>u</mi> <mo>,</mo> <mi>v</mi> </mrow> </msub> <mi>mod</mi> <mn>2</mn> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>12</mn> <mo>)</mo> </mrow> </mrow>

其中ε_u,v为误差参数，且满足|ε_u,v|＜2^-(γ+2)；

B、在步骤(3)加密的基础上，将密文扩展：令z_i＝c·y_imod2,i＝0,…,Θ-1，令z_i的二进制精度为比特，若fl为任意浮点数，则运算表示比fl大的最小整数，输出的密文为(c,z₀,…z_Θ-1)；

该密文的解密过程如下：

<mrow> <msub> <mi>m</mi> <mrow> <mi>u</mi> <mo>,</mo> <mi>v</mi> </mrow> </msub> <mo>&LeftArrow;</mo> <mrow> <mo>(</mo> <munderover> <mo>&Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>0</mn> </mrow> <mrow> <mi>&Theta;</mi> <mo>-</mo> <mn>1</mn> </mrow> </munderover> <msub> <mi>s</mi> <mrow> <mi>u</mi> <mo>,</mo> <mi>v</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <mo>&CenterDot;</mo> <msub> <mi>z</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mi>mod</mi> <mn>2</mn> <mo>&CirclePlus;</mo> <mrow> <mo>(</mo> <mi>c</mi> <mi>mod</mi> <mn>2</mn> <mo>)</mo> </mrow> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>13</mn> <mo>)</mo> </mrow> </mrow>

<mrow> <msub> <mi>&alpha;</mi> <mrow> <mi>u</mi> <mo>,</mo> <mi>v</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <mo>=</mo> <mrow> <mo>(</mo> <munder> <mo>&Sigma;</mo> <mrow> <mn>1</mn> <mo>&le;</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>&le;</mo> <mi>&mu;</mi> </mrow> </munder> <msub> <mi>s</mi> <mrow> <mi>u</mi> <mo>,</mo> <mi>v</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <msub> <mi>&chi;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>0</mn> </mrow> </msub> <msub> <mi>&chi;</mi> <mrow> <mi>j</mi> <mo>,</mo> <mn>1</mn> </mrow> </msub> <mo>+</mo> <munder> <mo>&Sigma;</mo> <mrow> <mn>1</mn> <mo>&le;</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>&le;</mo> <mi>&mu;</mi> </mrow> </munder> <msubsup> <mi>a</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> <mo>&prime;</mo> </msubsup> <msub> <mo>&Pi;</mo> <mrow> <mi>i</mi> <mo>,</mo> <mn>0</mn> </mrow> </msub> <msub> <mo>&Pi;</mo> <mrow> <mi>i</mi> <mo>,</mo> <mn>1</mn> </mrow> </msub> <mo>+</mo> <mn>2</mn> <munder> <mo>&Sigma;</mo> <mrow> <mn>1</mn> <mo>&le;</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>&le;</mo> <mi>&beta;</mi> </mrow> </munder> <msub> <mi>a</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> </msub> <msub> <mi>&phi;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>0</mn> </mrow> </msub> <msub> <mi>&phi;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>1</mn> </mrow> </msub> <mo>)</mo> </mrow> <msub> <mi>mod&phi;</mi> <mn>0</mn> </msub> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>14</mn> <mo>)</mo> </mrow> </mrow>

6.根据权利要求5所述的方法，其特征在于，还包括同态性的验证步骤：

将明文m_i,j，m′_i,j分别加密为：

<mrow> <mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mrow> <mi>c</mi> <mo>=</mo> <msub> <mrow> <mo>&lsqb;</mo> <munder> <mo>&Sigma;</mo> <mrow> <mn>1</mn> <mo>&le;</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>&le;</mo> <mi>&mu;</mi> </mrow> </munder> <msub> <mi>m</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> </msub> <msub> <mi>&chi;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>0</mn> </mrow> </msub> <msub> <mi>&chi;</mi> <mrow> <mi>j</mi> <mo>,</mo> <mn>1</mn> </mrow> </msub> <mo>+</mo> <munder> <mo>&Sigma;</mo> <mrow> <mn>1</mn> <mo>&le;</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>&le;</mo> <mi>&mu;</mi> </mrow> </munder> <msubsup> <mi>a</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> <mo>&prime;</mo> </msubsup> <msub> <mo>&Pi;</mo> <mrow> <mi>i</mi> <mo>,</mo> <mn>0</mn> </mrow> </msub> <msub> <mo>&Pi;</mo> <mrow> <mi>i</mi> <mo>,</mo> <mn>1</mn> </mrow> </msub> <mo>+</mo> <mn>2</mn> <munder> <mo>&Sigma;</mo> <mrow> <mn>1</mn> <mo>&le;</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>&le;</mo> <mi>&beta;</mi> </mrow> </munder> <msub> <mi>a</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> </msub> <msub> <mi>&phi;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>0</mn> </mrow> </msub> <msub> <mi>&phi;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>1</mn> </mrow> </msub> <mo>&rsqb;</mo> </mrow> <msub> <mi>&phi;</mi> <mn>0</mn> </msub> </msub> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <msup> <mi>c</mi> <mo>&prime;</mo> </msup> <mo>=</mo> <msub> <mrow> <mo>&lsqb;</mo> <munder> <mo>&Sigma;</mo> <mrow> <mn>1</mn> <mo>&le;</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>&le;</mo> <mi>&mu;</mi> </mrow> </munder> <msubsup> <mi>m</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> <mo>&prime;</mo> </msubsup> <msub> <mi>&chi;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>0</mn> </mrow> </msub> <msub> <mi>&chi;</mi> <mrow> <mi>j</mi> <mo>,</mo> <mn>1</mn> </mrow> </msub> <mo>+</mo> <munder> <mo>&Sigma;</mo> <mrow> <mn>1</mn> <mo>&le;</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>&le;</mo> <mi>&mu;</mi> </mrow> </munder> <msubsup> <mi>a</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> <mo>&prime;</mo> </msubsup> <msub> <mo>&Pi;</mo> <mrow> <mi>i</mi> <mo>,</mo> <mn>0</mn> </mrow> </msub> <msub> <mo>&Pi;</mo> <mrow> <mi>i</mi> <mo>,</mo> <mn>1</mn> </mrow> </msub> <mo>+</mo> <mn>2</mn> <munder> <mo>&Sigma;</mo> <mrow> <mn>1</mn> <mo>&le;</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>&le;</mo> <mi>&beta;</mi> </mrow> </munder> <msub> <mi>a</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>j</mi> </mrow> </msub> <msub> <mi>&phi;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>0</mn> </mrow> </msub> <msub> <mi>&phi;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>1</mn> </mrow> </msub> <mo>&rsqb;</mo> </mrow> <msub> <mi>&phi;</mi> <mn>0</mn> </msub> </msub> </mrow> </mtd> </mtr> </mtable> </mfenced> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>15</mn> <mo>)</mo> </mrow> </mrow>

验证加法满足同态性：

[(c+c′)modp_i,j]₂＝m_i,j+m′_i,j (16)

验证乘法满足同态性：

[(c·c′)modp_i,j]₂＝m_i,j·m′_i,j (17)。