CN105122721A - 针对加密数据的托管安全计算 - Google Patents

Abstract

本公开涉及通过网络进行加密数据的安全计算。响应于用户相对于加密数据所需的安全性设置，软件/硬件库组件自动选择参数数据来配置全同态加密方案以在执行一组计算操作时保护加密数据项。客户机经由库组件发起一组计算操作，并且如果请求则接收安全计算结果作为回报。

Description

针对加密数据的托管安全计算

背景

不管执行的任务如何，维护数据机密性都是所有计算设备用户的重要关切。加密方案表示涉及当数据被存储在存储器中和/或通过网络传送时对该数据进行保护的一种形式的技术。全同态加密(FHE)指的是允许不受信任的服务器代表通常称为客户端的计算设备对加密数据执行任意计算的加密方案。

用于构造FHE方案的传统解决方案通常因用于对加密数据求解任何函数的对某些数学概念的依赖性(例如，理想点阵)而导致显著成本。在实践中，这些结构可以使用常规技术来改进，诸如与批量级或位级加密相关的那些，但通常出于许多原因而仍然不能工作，例如必需深层电路(如基于加密标准的那些)和/或用于处理密文的显著存储空间。尽管一些FHE结构能够同态地计算块密文，但在吞吐量和等待时间方面，在与非同态地评估单个块时相比，使用这些结构来评估单个块要慢若干数量级。这样的性能差异突出了当前使用这些常规解决方案实现FHE方案的不切实际性。

发明内容

提供本概述以便以简化形式介绍将在以下的详细描述中进一步描述的一些代表性概念的选集。本概述不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在以限制所要求保护的主题的范围的任何方式来使用。

简言之，本文描述的主题的各方面涉及实现全同态加密方案来评估加密标准电路。在一个方面，在使用公知的点阵问题来构造和/或缩减密文来确保正确性和安全性时，基于环的公钥加密系统是全同态的。在另一方面，全同态加密方案通过基于编码参数来划分整数来编码这些整数，使得计算被并行执行。

基于用户输入，全同态加密方案被自动配置成执行这样的计算。在一个方面，一个或多个软件/硬件库组件选择一个或多个参数以用于配置加密方案来高效地操作。在一个方面，限制密码密钥空间允许更高的吞吐量和降低的存储器使用，同时维持安全性和正确性。在一个方面，计算设备使用库组件来配置全同态加密方案以对加密数据执行计算。

库组件被配置成提供对同态函数的访问。一个这样的函数对一个或多个加密数据项执行数学运算。在一个方面，用在其他同态函数上构建的附加同态函数来扩展库组件。库组件被配置成处理用户的输入，设置计算操作的界限，以及执行这样的操作或在不能保证正确性的情况下发出错误。在一个方面，库组件通知用户来自同态函数的解密输出何时不等于在输入上的同一计算的结果(在这样的输入没有被加密的情况下)。

结合附图阅读以下具体实施方式，本发明的其他优点会变得显而易见。

附图简述

作为示例而非限制，在附图中示出了本发明，附图中相同的附图标记指示相同或相似的元素，附图中：

图1是示出根据一个示例实现的用于管理对于加密数据的安全计算的示例系统的框图。

图2是示出根据一个示例实现的用于自动选择指导计算操作的执行的参数的示例步骤的流程图。

图3是根据一个示例实现的用于实现分级同态加密方案的示例步骤的流程图。

图4是示出根据一个示例实现的用于经由一个或多个库组件与计算设备进行交互的示例步骤的流程图。

图5是表示示例性非限制联网环境的框图，其中可实现本文所描述的各种实施例。

图6是表示示例性非限制计算系统或运行环境的框图，其中可实现本文所描述各种实施例的一个或多个方面。

详细描述

本文描述的技术的各方面一般涉及配置成通过网络在加密数据上执行计算的库。对库的功能的访问可以经由网络资源来提供，如局域网服务器或云计算环境。网络资源可以不被本文称为客户机的其他计算设备所信任。由此，客户机可以使用库来防止任何敌对计算设备在传输期间和/或在存储在网络资源处的存储器中时破译加密数据。根据一个示例实现，库的各组件构造全同态加密方案，在数据从分布式计算设备上传时，这可被用来将计算操作私有地外包到网络资源，同时达到一定程度的数据正确性和安全性

库的一些实施例实现基于分级全同态加密方案的理想点阵问题，如具有误差问题的环学习。一个示例加密方案可以经由理想点阵中的短向量问题的量子硬度。本文描述的分级全同态加密方案降低了密文大小并消除了同态乘法中的密文扩张，简化了密钥切换功能。这样的方案还可以在规模上是不变的，并且因此取消了模切换功能的使用。

分级全同态加密方案还可通过利用分开的小明文模(它稍后(经由中国剩余定理(CRT))被组合到较大的明文模)来降低同态计算中招致的总体复杂度。。这样的降低可以造成更高效的明文/密文大小和达到最大计算量的更低概率，等等。在一个示例实现中，数据项首先被编码以产生经编码值的集合并且随后每一值被加密成密文。在该数据项上执行的计算可以单独地处理每一密文(这可通过小密文大小来促进)并且将处理结果组合成较大密文。

为了解说一个示例，本文描述的使用基于CRT的技术来编码整数增强了计算精确度，因为每一整数被转换成更高效地大小(例如，更小)的整数。基于CRT的技术还允许通过将每一大整数降低成被分开处理并组合成准确结果的各更小整数来编码该大整数。上至界限B的整数可被编码成整数集合，其中每一整数被编码上至界限t_i。计算操作可对整数集合正确地执行，假定每一模t_i互质且所有t_i的积大于界限B。集合中的每一整数xmodt_i可被加密并随后被并行处理以返回加密结果，该加密结果随后被解密/解码以恢复初始整数。

应当理解，本文中的任何示例均是非限制的。因此，本发明不限制于在此描述的任何具体的实施例、方面、概念、结构、功能或示例。相反，此处所描述的任何一个实施例、方面、概念、结构、功能或示例都是非限制性的，可以以一般而言在计算和进行安全计算时提供好处和优点的各种方式来使用本发明。

图1是示出根据一个示例实现的用于管理加密数据上的安全计算的示例系统的框图。多个计算设备(表示为图2中的多个客户机102)利用网络资源104来执行各种计算任务。该示例系统的示例组件还可包括在任何示例客户机102上运行的、配置成与在网络资源104上运行的库后端108进行交互的库前端106。库前端106一般是指向配置成为如本文所描述的网络资源104处理这样的通信的进程传递各种数据、指令、命令等的功能集(例如，应用编程接口(API))。

以下参考各实施例，其中网络资源104促进对示例客户机102的服务供应，如计算服务。各计算设备(包括本文称为服务器的物理机或虚拟机)可以在网络资源104内操作并在所存储的数据集上执行计算，如包括加密数据110的示例数据集。网络资源104的示例架构将专用硬件与软件解耦，使得每一硬件/软件组件可被虚拟化成各个单元，这些单元随后可围绕功能来被进一步编组。在执行任务时，网络资源104可以自动供应并配置一些单元，使得每一单元并行地执行任务的一部分。

网络资源104可以配置库后端108的一个或多个组件来在各种计算环境中操作(例如，本地计算机集群、私有云计算环境、公共云计算环境、或混合计算环境)。通过编码/加密示例数据集并在示例数据集上执行各种计算操作，同时维护示例数据集处于加密状态，库后端108保护示例数据集免于诸如通过未被信任的资源的未经授权的访问、修改、和/或盗用。

如下文进一步描述的，库前端108提供对提供相对于同态加密方案114的功能的加密机制112的访问。这样的功能允许计算模块116自动选择参数数据118来在加密数据110上动态地执行安全计算。

经由同态加密方案114的多个实现，库后端108的一个或多个组件正确且安全地评估特定深度/层级的标准加密电路。同态加密方案114的至少一些实现包括分级全同态方案，其中用户输入电路深度/层级(例如，用于128位加密的深度-三(3)/层级-四(4)电路)。代替应用引导过程或利用位级加密的过程，通过限制固有噪声生长并消除模切换技术，分级同态加密方案是规模可变的。

库前端108可被用来构建用于外包针对加密数据110的计算的私有云计算服务。计算模块116可被配置自动确立加密数据的数据集大小的界限。这些界限可以基于包括所需安全性水平、一个或多个计算操作、要被处理的数据的量和类型等等的用户输入来确定。每一计算操作可以指单个同态函数或一系列这样的函数。示例同态函数可被配置成评估加密电路，如通过密文的加法或乘法。计算操作的一个示例实现将这些函数组合以提供附加功能，如用于统计目的、预测建模、机器学习，等等。为了解说，用户经由库前端106可以指令库后端108使用加法和/或乘法函数来计算均值、标准差、回归值、以及其他统计数据。库前端106可被编程为使用同态评估函数来初始化和/或训练线性分类器。

配置同态加密方案114的实例以确保安全性和正确性可依赖于与公知点阵问题相关的计算硬度假定，如最短向量问题(SVP)。具体而言，同态加密方案114的基于环容错学习(RLWE)的实现利用多项式环并且使用各种技术来截短这些多项式环其中多项式被表示为点阵中的向量。示例技术包括按模因子来减小密文大小/空间和/或明文消息大小/空间，将密码密钥空间限于有界分布，使用基于中国剩余定理(CRT)的技术来编码多项式环元素，等等。从中采样表示密码密钥的多项式环元素的有界密码密钥分布可以实现密钥空间限制。将整数(包括大整数)数据项编码为较小整数的集合允许在该整数数据项上的高效计算。

一般而言，环容错学习(RLWE)假定(它与容错学习(LWE)假定相关)指的是防止对手将一个样本序列与随机各对多项式环元素区分开。可以明白，多项式环元素可以指任何类型的多项式，如分圆多项式。由于不能区分一个多项式与另一多项式，在没有足够计算能力和时间的情况下，对手不能基于输入多项式来合理地解码计算结果。很好理解，RLWE假定可被简化为理想点阵上的短向量问题的最差情况硬度。

虽然同态加密方案114在环R的元素上执行计算，但每一元素可以使用编码参数来编码，使得多项式系数的编码向量等同于初始多项式或是它的逆。根据一个示例实现，对于被认为是环R的元素的所有多项式，同态加密方案114简化多项式系数模q以产生编码向量。加密机制114可以配置同态加密方案114以将R中的每一元素映射到大小为q的整数域内的整数。一般而言，这样的映射可被表达为函数r_q(a)以表示元素a减少到区间[0,q)。

使用同态加密方案114，加密机制114对来自高斯分布(每一分布是不同的宽度)的密码密钥和/或随机误差多项式进行采样，且可被定界到特定区间。例如，有界高斯密码密钥分布表示从中生成高效密码密钥的有限密钥空间。一组密码密钥可包括从以B_key为界的分布导出的公共和私有密钥；而误差是从以B_err为界的分布推导的。同态加密方案114的一些示例实现还生成被称为评估密钥的另一密码密钥。

使用同态加密方案114，库后端108可以生成只映射到单个环元素的密文，与基于纯环容错学习(RLWE)的方案中规定的两个或更多个环元素形成对比。另外，在执行同态乘法时，评估同态加密方案114造成很少或没有密文扩张。加密机制112可以依赖于决策小多项式比(DSPR)来扩展同态加密方案114的基本构造。例如，通过使用张量技术，同态加密方案114确保公钥分布在统计上类似于均匀分布，假定密码密钥元素是从足够宽度的高斯分布来采样的。

图2是示出根据一个示例实现的用于自动选择配置计算操作的执行的参数的示例步骤的流程图。一个或多个硬件/软件组件(例如，图1的库后端108)可被配置成执行示例步骤。这样的组件可以形成促进代表操作客户机的计算设备用户对加密数据的安全计算的库的至少一部分。

一个示例实现包括环R的结构表示，如多项式环。令d为正整数且将R＝定义为具有整数系数模第d个分圆多项式的多项式环。φ_d的度是其中是欧拉函数。R的元素可由小于n度的Z[X]中的所有多项式来表示。环R的元素是算术模φ_d(X)，每当在本文中描述涉及R中的元素的项或等式时，这是隐式的。

系数的向量可以将任意元素a∈R表示为(a₁,a₂,a₃,…,a_n-1)，其中因此，a的多项式可被如下表达：

$a=\underset{i=0}{\overset{n-1}{\Σ}}{a}_i{X}^i$

具体而言，元素a可被看做向量空间中的元素。示例库组件选择上的最大范数来测量R中的元素的大小。a的最大范数的一个示例实现可如下计算：

$\left|\right|a|{|}_{\mathrm{\∞}}=\underset{i}{max}\{\left|a_i\right|\}$

令χ是R上的概率分布，其中元素是根据该概率分布从R中采样的。使用记法a←χ来表示a∈R被采样，对于一些B>0，如果对于所有元素a←χ，不等式||a||_∞<B保持成立，则R上的分布χ是以B为界的。

作为R上的分布χ的示例，离散高斯分布可被设计成在该数据集上具有均值(0)和标准差σ，这向每一元素指派与exp(-π|x|²/σ)成比例的概率。在d是二(2)的幂且φ_d(X)＝Xⁿ+1时，χ可以是球离散高斯使得多项式的每一系数根据一维分布来采样。

步骤202开始图2的示例步骤，且行进至步骤204，在此，用于在加密数据上执行计算操作的一个或多个库组件被提供给客户机。为了解说一个示例实现，示例库组件包括配置成计算一组同态函数的指令，包括线性代数函数(例如，向量点积、矩阵乘法，等等)和/或更复杂的数学函数。

步骤206指的是相关于执行一组计算操作的用户输入处理和参数生成。一些用户输入可以指示所需安全性水平、数据集大小、计算精确度，等等。基于这样的用户输入，示例库组件选择参数来动态地配置该组计算操作的执行，同时呈现安全和正确的计算结果。一个示例参数包括具有可变或固定大小(例如，128位或1024位)且作为二的幂或另选地作为梅森素数的特定模，称为模q。另一示例参数涉及设置评估多项式φ_d的度n等于

示例库组件可另选地使用预定参数数据，如理想点阵的基字段和维度。示例库组件可以修改参数数据来适应新界限和估计，从而确保正确性和安全性。自动选择这些和/或其他参数防止在执行计算操作时显著的固有噪声造成不准确的评估。步骤208确定该组计算操作的噪声估计是否是可接受的。

如本文所描述的，基于环容错学习(RLWE)问题假定，分布χ被用在许多全同态加密方案中，如用于对具有高概率小系数的随机误差多项式进行采样。这样的随机误差多项式是在加密过程中使用的噪声项计算的显著部分。

因为小范数的固有噪声项允许根据密文(例如，加密数据)来恢复明文(例如，解密数据)，所以密文中固有噪声的界限(假定密钥和误差分布是有界的)确保本文描述的同态加密方案中的正确性。

为了降低同态函数期间固有噪声大小和/或生长的有意义的界限，对一些B，分布χ是以B为界的。对于离散高斯分布χ，这一假定是适当的，因为所采样的元素往往有很高的概率大小较小。定界允许从截短的高斯分布来采样，在B被选择得足够大的情况下，这在统计上接近真实离散高斯χ。例如，如果截短的分布以B＝6σ为界，则所有样本有非常高的概率以B为界。

通过计算至少一个界限来用于噪声估计，示例库组件确立特定水平的计算安全性和正确性。如果噪声估计未能满足该至少一个界限，则步骤208行进至步骤216，在此，图2中描绘的示例步骤结束。如果噪声估计符合固有噪声界限，则步骤208行进至步骤210。步骤210涉及每一计算操作与结构化同态函数之间的变换。作为示例，计算集合中的平均或均值涉及一系列同态加法。作为另一示例，计算大小为N的向量之间的点积涉及N个同态乘法和N-1个同态加法。在又一示例中，计算操作可涉及多个向量点积且可能涉及其他同态函数。

步骤212执行结构化同态函数。可以明白，在步骤212，其他实现可只执行一个同态函数。然而，在这样的执行期间，示例库组件更新噪声估计和/或固有噪声界限。如果噪声估计超过固有噪声界限，则根据一个示例实现，示例库组件发出错误和/或重新配置消息，例如在达到特定(例如，最大)计算量或输入了相当大的数据集时。在完成结构化同态函数的执行后，示例库组件执行步骤214并向客户机传递加密结果。步骤216终止本文相关于图2描述的示例步骤。

图3是根据一个示例实现的用于实现分级同态加密方案的示例步骤的流程图。如本文所描述的，这样的加密方案可以向用户提供有保证的安全证明。

示例步骤可以引用通过(例如，图1的库后端108的)一个或多个硬件/软件组件来构造的以下分级同态加密方案。这样的方案通过模q和明文模t来参数化，其中1<t<q。用这一方案产生的密文是的元素，且明文是R/tR的元素。模t和q和/或定义R的分圆评估多项式φ_d(X)的适当选择促进了数据机密性和计算正确性。

步骤302开始图3的示例步骤且行进至步骤304，在此，一个或多个库组件访问数据集并基于自动选择的参数来生成一组密码密钥。例如，模q可被一般化成二的特定幂(例如，128位或1024位)。另一示例参数涉及基于用户输入的安全性参数来设置评估多项式φ_d的度n等于

其他示例参数包括R上的分布的界限。例如，高斯分布可以在某些数量的标准差内以B_key为界。为了解说使用B_key＝1的示例实施例，甚至在多项式f’,g具有{-1,0,1}中的系数且公钥h等于[tgf^-1]_q时，公钥h保持不可与从均匀分布中采样的密钥区分开。R上的误差分布χ_err的以B_err为界的标准差可以固定在σ＝3:2。从高斯分布提取的误差的系数的大小的高概率界限可被选择为6σ。

以下示例指令(在下文标记为“INSTR”)与用于生成私钥和公钥的称为KeyGen(d,q,t,χ_key,χ_err)的同态函数相对应：

INSTR(1)：采样多项式f',g←x_Key并令多项式f＝tf'+1；

INSTR(2)：如果多项式f∈R是模q可逆的，则存在多项式f^-1使得其中其中a₀＝1模q且对于所有j≠0，a_j＝0模q，否则如果多项式f不是模q可逆的，选择新f'并重复；

INSTR(3)：计算多项式f的逆f^-1∈R模q并令h＝[tgf^-1]_q；

INSTR(4)：输出公钥和私钥对(pk，sk)＝(h，f)∈R²；

步骤306涉及编码数据集内的某些数据项。数据项包括映射到R中的代表性多项式的一组整数系数的明文数据。示例库组件可以采用公知的中国剩余定理来在加密之前确定用于编码明文数据的模q。因为本文描述的多项式f是模q可逆的，所以多项式系数可按整数模q来减少。因而，映射[·]_q可以将整数x模q减少到结果并且通过区间(-q/2,q/2]中的元素来表示该结果。通过如下所示地向每一系数分开应用适当的映射条目，映射[·]_q可被扩展到和R中的多项式：

类似地，可通过向向量条目分开地应用映射来针对多项式的向量来修改以上记法。一个替换实现使用减少整数x模q来将任何向量系数表示为[0,q)中的元素。除了被用来减少表示密文的元素的系数的模q之外，存在确定R/tR所定义的空间(例如，称为消息空间)的第二模t<q，从而将明文/解密数据表示为R中的多项式模t。

步骤308涉及使用分级同态加密方案来加密编码数据项。以下示例指令(在下文标记为“INSTR”)与用于加密明文消息m的称为Encrypt(pk,m)的同态函数相对应，其中明文消息空间被定义为R/tR且引用R中的多项式的环模t。

INSTR(1)：对于明文消息m+tR，选择[m]_t作为代表；

INSTR(2)：采样多项式s,e←x_err并设置公钥h＝pk＝[tgf^-1]_q

INSTR(3)：计算密文消息c＝[[q/t][m]_t+e+hs]∈R/qR；

以下等式与用于解密密文消息c的称为Decrypt(sk,c)同态函数相对应：

本文描述的分级同态加密方案的一个示例实施例包括用来表示以w为基数的系统中的整数的字长w(例如，正整数w>1)。通过定义其中w<q，对于R中的每一元素a，表达式成立，其中每一系数a_i映射到区间(-w/2,w/2]。以上表达式清楚地描绘了总和中a_i的范数最大为w/2，并且因此，这样的表达式可被用来确定评估密钥。因此，密文消息可由字w大小来划分，且在向每一部分应用了同态函数之后，分级同态加密方案将每一部分组合成所得的密文消息。

关于这样的实施例，以下指令(在下文中标记为“INSTR”)与生成私钥、公钥、以及评估密钥的称为KeyGen(d,q,t,χ_key,χ_err,w)的示例函数相对应：

INSTR(1)：采样多项式f',g←x_Key并令多项式f＝tf'+1；

INSTR(2)：如果多项式f∈R是模q可逆的，则存在多项式f^-1使得其中其中a₀＝1模q且对于所有j≠0，a_j＝0模q，否则如果多项式f不是模q可逆的，选择新f'并重复；

INSTR(3)：计算多项式f的逆f^-1∈R模q并令h＝[tgf^-1]_q且令

INSTR(4)：采样并计算γ＝[P_q，w(f)+e+h·s]_q；

INSTR(5)：输出密码密钥三元组(pk，sk，evk)＝(h，f，γ)∈R²

在假定的标准最差情况点阵问题的量硬度的情况下，以上实现的替换方案包括有保证地安全的分级全同态加密方案。给定针对这一参数设置DSPR假定被满足，以下描述涉及基于RLWE假定和圆安全性假定的基于环的加密系统。多项式环R由R＝Z[x]＝Xⁿ+1给出，其中n是2的幂且d＝2n。此外，gcd(q,t)＝1且q≡(模d)，使得Xⁿ+1拆分成不同线性因子模q。假设DSPR假定成立需要根据任何相关技术来保证公钥均匀性。高斯分布χ_key的标准差不必大于√q，这使得界限B_key大于√q。因此，初始密文中的固有整数的界限√q。在执行一个同态乘法函数之后，张量方法可以防止总体固有整数界限超过阈值。

给定安全性参数作为用户输入，示例库组件生成数据精确度设置模q、字大小w、随机误差多项式分布、密码密钥分布、和/或评估多项式φ_d等于的度n等等，其中d＝2n是确定φ_d(X)＝Xⁿ+1以定义R的2的幂，q>t是模。分别具有标准差σ_err和σ_key 和是通过丢弃非可逆元素来采样可逆元素的、上的离散高斯分布。在这种配置下，示例库组件采样计算 $\mathrm{\&gamma;}={\&lsqb;f^{-1}{P}_{q,w}\left(D_{q,w}\right(f)\&CircleTimes;D_{q,w}\left(f\right))+e+h\&CenterDot;s\&rsqb;}_q\&Element;R^{l_{q,w}^3},$ 并输出包括等于多项式(h，f，γ)的公钥(pk)、私钥(sk)、以及评估密钥(evk)的三元组。

步骤310表示基本同态函数产生。示例库组件使用参数数据来完成各同态函数规范的配置。一个示例同态函数涉及被定义来使用下式计算输入密文c1、c2的相加的Add(c₁,c₂)函数：

c_add＝[c₁+c₂]_q

另一示例同态函数包括使用下式使用评估密钥evk计算输入密文c₁,c₂的乘积的Mult(c₁,c₂)函数：

作为又一示例同态函数，KeySwitch(密钥切换)函数对加密明文m1和m2的乘积[m₁m₂]_t的密文进行变换，它可使用评估密钥恢复成能用原始私钥pk解密的密文c_mult。或者，示例库组件采样已知密钥切换函数来构建同态乘法函数。

示例库组件可以利用其他软件/硬件组件来执行模减少，其中多项式系数按一因子来减少，如按模q的减少。模减少同态函数可被应用于环R中的任何一组多项式系数，包括明文(例如，解密)数据和/或密文(例如，解密)数据。因此，初始一组系数和经编码的一组系数彼此全等模q，其中q可等于二(2)、2的幂、素数，等等。这样的函数可被用来在加密之前编码明文数据，这限制了密文大小，降低了固有噪声(例如，量级)，改进了计算等待时间和/或提供了附加的益处。关于涉及编码数据的示例实现，如参考步骤306描述的，原始明文(消息m)和编码明文(编码消息m′)之间的全等性可以经由下式来表达：

m′≡m(modq)

步骤312涉及构建其他同态函数。示例库组件可以利用软件/硬件组件来执行线性代数函数。一个示例同态函数执行包括R中的一组向量系数与R中的另一组向量系数的明文消息的点积运算。在一个示例实现中，示例库组件构建这样的点积同态函数的实例以提供同态矩阵乘法功能，其中每一矩阵条目包括R中的一组向量系数。类似于Mult()和Encrypt()函数，噪声估计同态函数可以估计关于噪声量级并设计这些噪声对将来计算的安全性或正确性的影响。

又一示例同态函数计算指示在将明文加密成密文时的噪声量级的噪声估计。这一函数可以用环R将噪声估计耦合到密文。可任选地，这一函数计算与任何其他同态函数的执行相关联的噪声估计，包括本文描述的函数中的任一个，如Add()或Mult()，或其他同态函数，如与实现其他加密方案相对应的那些函数。

使用本文描述的记法，在针对任何同态函数估计噪声增加时，固有噪声项可被建模。以下描述包括与在字长被设为w且R中的和v_i表示c_i中的示例固有噪声项时确定这样的噪声项的界限有关的细节。因此，假定c_add存储来自执行函数Add(c₁,c₂)的结果，根据表达式||v_add||_∞≤||v₁||_∞+||v₂||_∞+r_t(q)来确定对应噪声项v_add的界限。如果c_mult涉及两个密文的加密积，则以下不等式确定对应噪声项v_mult的界限：

$\begin{array}{c}\left|\right|v_{mult}|{|}_{\mathrm{\&infin;}}\&le;\frac{1}{2}\mathrm{\&delta;}\left(t\right(2+{\mathrm{\&delta;tB}}_{key})\left(\right|\left|v_1\right|{|}_{\mathrm{\&infin;}}+\left|\right|v_2\left|{|}_{\mathrm{\&infin;}}\right)+(1+r_t(q))\underset{i}{\min }\left|\right|v_2\left|{|}_{\mathrm{\&infin;}}\right)\\ +\frac{1}{2}(1+{\left({\mathrm{\&delta;tB}}_{key}\right)}^2+(r_t\left(q\right)\mathrm{\&delta;}t(3+{\mathrm{\&delta;tB}}_{key}))+{\mathrm{\&delta;}}^2{\mathrm{tl}}_{q,w}{\mathrm{wB}}_{key}{B}_{err}\end{array}$

上述噪声项涉及同态加法和乘法，但在推导涉及其他同态函数的计算操作的界限时，这样的项可被内插。所获得的界限随后可被用来使用本文描述的分级全同态加密方案推导合适参数以用于自动配置将来计算来用于正确性和安全性。

根据其中乘法函数的分级树结构表示一组计算操作的一个示例实现，每一级处的密文被假定具有在量级上基本相等的固有噪声项。这样的假定可以近似不平衡固有噪声项，这造成准确的噪声界限估计。

因此，示例库组件可以构建包括迭代地执行的一系列Mult()函数的结构。同态舍入函数可涉及相当数量的连贯乘法。分级同态方案可以利用按有理数进行的伸缩，使得所得的多项式具有有理数系数代替整数系数。在被应用时，舍入函数将有理数系数反转回对应的整数系数。附加示例同态函数包括基于加密标准的函数，如AES函数(例如AddKey、SubBytes、ShiftRows、和/或MixColumns等等)等等。

步骤314涉及向多个客户机(例如，计算设备)提供对同态函数的访问。经由示例库组件，任何客户机可以通过硬件机制(例如，微处理器指令集)和/或软件机制(例如，基于驱动程序的软件库)与其他同态函数的实施例进行交互并使用这些实施例。步骤316终止图3中的示例步骤。

图4是示出根据一个示例实现的用于经由一个或多个库组件与计算设备进行交互的示例步骤的流程图。计算服务提供对网络资源(例如，私有云计算资源)上可用的某些基于软件/硬件的功能的访问。操作计算设备(在本文中称为客户机)的用户可以使用计算服务来自动配置分级全同态加密方案以实现这些安全计算。

如本文所描述的，示例库组件(例如，图1的库前端106)可被配置成通过发起加密数据上的安全计算和/或分析来自这样的计算的任何结果来执行示例步骤中的至少一些。步骤302开始示例步骤并行进到步骤304，在此，确立安全性参数。如在本公开中注意到的，安全性参数定义某些所需设置，包括标准化加密电路的深度水平。用户例如可以请求深度层级为N(例如，3)的AES电路上的128位全同态加密。通过将安全性参数作为输入录入到计算服务，用户可以指示正确性水平(例如，以精确度为单位)和/或安全性水平(例如，以对手的不可区分性为单位)。计算服务以基本上满足安全性参数的方式来返回用于配置分级全同态加密方案的一组附加参数。

步骤406涉及使用计算服务将加密数据集的数据项。如本文所描述的，使用在中国剩余定理(CRT)中建立的原理，示例库组件可以指令计算服务编码每一加密数据项，使得对手不能将该数据项和另一随机数据项区分开。

步骤408选择计算服务要执行的计算操作。因此，步骤408继续进行以经由步骤410、步骤412和/或步骤414发出命令。如果计算操作涉及同态加法函数，则步骤408行进至步骤410。如果命令涉及同态乘法函数，则步骤408行进至步骤412。如果用户希望来自另一同态函数的结果，则步骤408行进至步骤414。虽然一些计算操作可包括单个同态函数，但其他计算操作涉及执行结构化同态函数，其中函数调用的安排执行任何类型的数学计算。例如，一系列函数调用可被配置成训练线性分类器。

步骤416确定是否处理计算结果或执行另一计算操作。如果例如客户机在运行参与持续计算的过程(如，在线机器学习应用)，则步骤416返回步骤408。然而，在计算结果要被分析时，步骤416行进至步骤418。因为加密结果和计算结果两者在贯穿计算操作中都保持在加密状态，所以该加密方案防止了未被信任的资源在传输和/或存储期间破译加密数据。未被信任的主机服务器上的对手或以其他方式连接到客户机的对手例如不能将随机数据项对的两个加法区分开。步骤418涉及示例库组件使用计算服务来解密经加密的计算结果。步骤420终止图4中所描绘的示例步骤。

示例联网以及分布式环境

本领域技术人员可以理解，此处描述的各实施例和方法可结合任何计算机或其它客户机或服务器设备来实现，其可被部署为计算机网络的部分或在分布式计算环境中，并且可以被连接到任何类型一个或多个数据存储。在这一点上，此处描述的各实施例可在具有任何数量的存储器或存储单元的、并且任何数量的应用和进程跨任何数量的存储单元发生的任何计算机系统或环境中实现。这包括但不限于具有部署在具有远程或本地存储的网络环境或分布式计算环境中的服务器计算机和客户计算机的环境。

分布式计算通过计算设备和系统之间的通信交换来提供计算机资源和服务的共享。这些资源和服务包括信息的交换、对于诸如文件之类的对象的高速缓存存储和盘存储。这些资源和服务还包括多个处理单元之间的处理能力共享以便进行负载平衡、资源扩展、处理专门化等等。分布式计算利用网络连接，从而允许客户机利用其集体力量来使整个企业受益。就此，各种设备可具有可如参考本发明的各实施例描述地参与资源管理机制的应用、对象或资源。

图5提供了示例性的联网或分布式计算环境的示意图。该分布式计算环境包括计算对象510、512等以及计算对象或设备520、522、524、526、528等，这些计算对象或设备可包括如由示例应用530、532、534、536、538表示的程序、方法、数据存储、可编程逻辑等。可以理解，计算对象510、512等以及计算对象或设备520、522、524、526、528等可包括不同的设备，诸如个人数字助理(PDA)、音频/视频设备、移动电话、MP3播放器、个人计算机、膝上型计算机等。

每个计算对象510、512等以及计算对象或设备520、522、524、526、528等可经由通信网络526直接或间接地与一个或多个其他计算对象510、512等以及计算对象或设备520、522、524、526、528等通信。尽管在图5中被示为单个元件，但通信网络540可包括向图5的系统提供服务的其他计算对象和计算设备和/或可表示未示出的多个互连网络。每个计算对象510、512等或计算对象或设备520、522、524、526、528等还可以包含应用，诸如可以利用API或其他对象、软件、固件和/或硬件的、适于根据本发明的各实施例所提供的应用实现与其进行通信的应用530、532、534、536、538。

存在支持分布式计算环境的各种系统、组件和网络配置。例如，计算系统可由有线或无线系统、本地网络或广泛分布的网络连接在一起。当前，许多网络被耦合至因特网，因特网为广泛分布的计算提供了基础结构并包含许多不同的网络，但任何网络基础结构都可用于便于与如各实施例中所描述的系统的示例通信。

由此，可使用诸如客户机/服务器、对等、或混合体系结构之类的网络拓扑结构和网络基础结构的主机。“客户机”是使用与其无关的另一类或组的服务的一类或组中的成员。客户机可以是进程，例如大致上是请求由另一程序或进程提供的服务的一组指令或任务。客户机进程使用所请求的服务，而无需“知道”关于其他程序或服务本身的任何工作细节。

在客户机/服务器体系结构中，尤其在联网系统中，客户机通常是访问另一计算机(例如，服务器)所提供的共享网络资源的计算机。在图5的图示中，作为非限制性示例，计算对象或设备520、522、524、526、528等可被认为是客户机而计算对象510、512等可被认为是服务器，其中计算对象510、512等作为提供数据服务的服务器，诸如从客户机计算对象或设备520、522、524、526、528等接收数据、存储数据、处理数据、向客户机计算对象或设备520、522、524、526、528等发送数据，但任何计算机都可取决于环境而被认为是客户机、服务器、或两者。

服务器通常是可通过诸如因特网或无线网络基础架构之类的远程网络或本地网络访问的远程计算机系统。客户机进程可在第一计算机系统中活动，而服务器进程可在第二计算机系统中活动，它们通过通信介质相互通信，由此提供分布式功能性并允许多个客户机利用服务器的信息收集能力。

在通信网络540或总线是因特网的网络环境中，例如，计算对象510、512等可以是其他计算对象或设备520、522、524、526、528等经由诸如超文本传输协议(HTTP)之类的多种已知协议中的任一种与其通信的web服务器。计算对象510、512等作为服务器还可用作例如计算对象或设备520、522、524、526、528等的客户机，这可以是如分布式计算环境的特性。

示例计算设备

如上所述，有利地，本文所描述的技术可应用于任何设备。因此，应当理解，构想了结合各实施例使用的所有种类的手持式、便携式和其它计算设备和计算对象。因此，以下在图6中所述的通用远程计算机只是计算设备的一个示例。

各实施例可部分地经由操作系统来实现，以供设备或对象的服务开发者使用和/或被包括在用于执行本文中所述的各实施例的一个或多个功能方面的应用软件内。软件可以在由诸如客户机工作站、服务器或其它设备等一个或多个计算机执行的诸如程序模块等计算机可执行指令的通用上下文中描述。本领域的技术人员将理解，计算机系统具有可用于传递数据的各种配置和协议，并且由此没有特定配置或协议应当被认为是限制性的。

图6由此示出了其中可实现本文所述的各实施例的一个或多个方面的合适的计算系统环境600的一个示例，尽管如上所述，计算系统环境600仅为合适的计算环境的一个示例，并非对使用范围或功能提出任何限制。另外，计算系统环境600也不旨在被解释为对在示例计算系统环境600中所例示的组件中的任何一个或其组合有任何依赖。

参考图6，用于实现一个或多个实施例的示例性远程设备包括计算机610形式的通用计算设备。计算机610的组件可包括但不限于：处理单元620、系统存储器630、以及将包括系统存储器在内的各种系统组件耦合到处理单元620的系统总线622。

计算机610通常包括各种计算机可读介质，并且可以是可由计算机610访问的任何可用介质。系统存储器630可包括诸如只读存储器(ROM)和/或随机存取存储器(RAM)之类的易失性和/或非易失性存储器形式的计算机存储介质。作为示例而非限制，系统存储器630还可包括操作系统、应用程序、其他程序模块、以及程序数据。

用户可通过输入设备640向计算机610输入命令和信息。监视器或其他类型的显示设备也经由诸如输出接口650之类的接口连接到系统总线622。除监视器以外，计算机还可包括诸如扬声器和打印机之类的其他外围输出设备，它们可通过输出接口650连接。

计算机610可使用到一个或多个其他远程计算机(诸如远程计算机670)的逻辑连接在联网或分布式环境中操作。远程计算机670可以是个人计算机、服务器、路由器、网络PC、对等设备或其他常见网络节点、或者任何其他远程媒体消费或传输设备，并且可包括以上关于计算机610所述的任何或全部元件。图6所示的逻辑连接包括诸如局域网(LAN)或广域网(WAN)之类的网络672，但也可包括其他网络/总线。这些联网环境在家庭、办公室、企业范围的计算机网络、内联网和因特网中是常见的。

如上所述，尽管结合各种计算设备和网络体系结构描述了各示例性实施例，但基本概念可被应用于其中期望改进资源使用的效率的任何网络系统和任何计算设备或系统。

而且，存在实现相同或相似功能性的多种方法，例如适当的API、工具箱、驱动程序代码、操作系统、控件、独立或可下载软件对象等，它们使得应用和服务能够使用本文中提供的技术。由此，本文中的各实施例从API(或其他软件对象)的观点以及从实现如本文中描述的一个或多个实施例的软件或硬件对象构想。由此，本文中所述的各实施例可具有完全采用硬件、部分采用硬件并且部分采用软件、以及采用软件的方面。

本文中所使用的词语“示例性”意味着用作示例、实例、或说明。为避免疑惑，本文所公开的主题不限于这些示例。另外，在此所述的被描述为“示例性”的任意方面或设计并不一定要被解释为相比其它方面或设计更优选或有利。此外，在使用术语“包括”、“具有”、“包含”和其他类似词语的程度上，为避免疑惑，这些术语旨在当用于权利要求中时以类似于术语“包括”作为开放的过渡词的方式是包含性的而不排除任何附加或其他元素。

如所述的，本文中所述的各种技术可结合硬件或软件或，在适当时，以两者的组合来实现。如本文中所使用的，术语“组件”、“模块”、“系统”等同样旨在指计算机相关实体，或者是硬件、硬件和软件的组合、软件或者是执行中的软件。例如，组件可以是但不限于在处理器上运行的进程、处理器、对象、可执行件、执行的线程、程序、和/或计算机。作为说明，在计算机上运行的应用和计算机都可以是组件。一个或多个组件可驻留在进程和/或执行的线程内，并且组件可位于一个计算机上和/或分布在两个或更多的计算机之间。

如前所述的系统已经参考若干组件之间的交互来描述。可以理解，这些系统和组件可包括组件或指定的子组件、某些指定的组件或子组件和/或附加的组件，并且根据上述内容的各种置换和组合。子组件还可作为通信地耦合到其他组件的组件来实现，而不是被包括在父组件内(层次性)。另外，应注意到一个或多个组件可被组合成提供聚集功能性的单个组件，或被分成若干单独的子组件，且诸如管理层等任何一个或多个中间层可被设置成通信耦合到这样的子组件以便提供集成功能性。本文中所述的任何组件也可与一个或多个本文中未专门描述的但本领域技术人员一般已知的其他组件进行交互。

鉴于本文所述的示例系统，可根据参考各附图的流程图还可理解根据所述的主题来实现方法。尽管为了说明简洁起见，作为一系列框示出和描述的方法，但是应当理解，各实施例不仅仅限于框的次序，因为一些框可以与本文中所描绘和描述的框不同的次序发生和/或与其他框并发地发生。尽管经由流程图示出了非顺序或分支的流程，但可以理解，可实现达到相同或类似结果的各种其他分支、流程路径和框的次序。此外，一些所示的框在实现下面所述的方法时是任选的。

结语

尽管本发明易于作出各种修改和替换构造，但其某些说明性实施例在附图中示出并在上面被详细地描述。然而应当了解，这不旨在将本发明限于所公开的具体形式，而是相反地，旨在覆盖落入本发明的精神和范围之内的所有修改、替换构造和等效方案。

除本文中所述的各实施例以外，应当理解，可使用其他类似实施例，或者可对所述实施例作出修改和添加以便执行对应实施例的相同或等效功能而不背离这些实施例。此外，多个处理芯片或多个设备可共享本文中所述的一个或多个功能的性能，并且类似地，存储可跨多个设备实现。因此，本发明不限于任何单个实施例，而是要根据所附权利要求书的广度、精神和范围来解释。

Claims (10)

1.一种在计算环境中的、至少部分地在至少一个处理器上执行的方法，所述方法包括管理对于加密数据的安全计算，包括：基于同态加密方案来处理包括所述加密数据的数据集；处理与针对所述数据集的一组计算操作相对应的用户输入；自动选择与所述一组计算操作相对应的参数；以及配置针对所述数据集的所述一组计算操作的执行。

2.如权利要求1所述的方法，其特征在于，处理所述数据集进一步包括使用基于CRT的编码技术来编码所述数据集的某些数据项以产生编码数据，并且使用所述全同态加密方案来加密所述编码数据并产生所述加密数据。

3.如权利要求1所述的方法，其特征在于，自动选择所述参数进一步包括计算所述一组计算操作的噪声界限。

4.如权利要求3所述的方法，其特征在于，进一步包括确定编码参数、分圆多项式度、或密码密钥分布中的至少一者，或确定时所述噪声界限最小化的参数。

5.如权利要求1所述的方法，其特征在于，进一步包括将所述一组计算操作和所述参数变换成结构化同态函数。

6.一种在计算环境中的系统，包括，网络资源，配置成向至少一个计算设备提供针对数据集的计算服务以及向所述至少一个计算设备提供对配置成在所述数据集上执行计算的至少一个同态函数的访问，所述网络资源包括加密机制，所述加密机制配置成根据表示分级同态加密方案的截短的多项式环来生成一组密码密钥，其中所述分级同态加密方案为所述数据集中的每一数据项定义单个多项式环元素。

7.如权利要求6所述的系统，其特征在于，还包括计算模块，配置成：将加密数据项划分成多个固定大小的部分，在每一部分上执行所述同态函数中的至少一者，以及将每一所得的划分组合成所得的加密数据项，其中所述计算模块被进一步配置成将一组计算操作变换成包括同态函数调用的结构，其中所述计算模块使用所述结构来评估标准加密电路，其中所述计算模块被进一步配置成基于包括安全性参数的用户输入来选择所述标准加密电路，其中所述计算模块被进一步配置成自动生成参数数据以相对于执行所述一组计算操作来评估所述标准加密电路。

8.如权利要求6所述的系统，其特征在于，所述加密机制还被配置成：使用一组互质模来将数据项编码成一组值以及使用所述至少一个同态函数来构建另一同态函数，或者其中所述加密机制还被配置成按模因子来减小密文大小，或者其中所述加密机制还被配置成通过对来自所述截短的多项式环的可逆元素进行采样来限制密码密钥空间，或者其中所述加密机制还被配置成基于使用决策环容错学习(RLWE)问题和决策小多项式比(DSPR)问题来实现所述分级同态加密方案，其中所述加密机制在理想点阵中执行量减少。

9.一个或多个具有计算机可执行指令的计算机可读介质，所述计算机可执行指令在被执行时执行以下步骤，包括：

通过网络访问计算服务；

确立与所述计算服务的安全性参数，所述计算服务配置分级全同态加密方案来提供数据集的安全计算；

经由与所述计算服务相关联的库，根据所述分级全同态加密方案来加密所述数据集中的数据项并计算每一数据项的固有噪声估计；以及

使用至少一个库组件来选择计算操作以供所述计算服务执行。

10.如权利要求9所述的一个或多个计算机可读介质，其特征在于，具有包括执行下列各步骤的进一步的计算机可执行指令：

通过所述网络使用所述至少一个库组件来解密计算结果。