CN108718231A - 一种全同态加密方法、装置和计算机可读存储介质 - Google Patents

Abstract

本发明实施例公开了一种全同态加密方法、装置和计算机可读存储介质，以提高全同态加密方法中的乘法同态计算的效率。所述方法包括：步骤S1：根据输入的安全参数λ和加密层数L生成素模数q_j＝q_j(λ,L)，q_jmodn≡1，其中n为2的整数次幂，j＝0,1,…,L‑1，并且q₀<q₁<…<q_L‑1；步骤S2：根据素模数q_j生成私钥sk及公钥pk；步骤S3：根据公钥pk对明文m进行加密；步骤S4：对同一私钥下的两个密文进行同态运算，所述同态运算包括同态加法运算FHE.Add(c′,c″)和同态乘法运算FHE.Mul(c′,c″)。

Description

一种全同态加密方法、装置和计算机可读存储介质

技术领域

本发明涉及计算机加密领域，尤其涉及一种全同态加密方法、装置和计算机可读存储介质。

背景技术

全同态加密允许对密文做任意的运算，使得加密算法具有很强的灵活性。全同态加密支持任意给定的函数运算，只要这个函数可通过算法描述即可用计算机实现。由于全同态加密无需解密便能对密文进行运算，因此云服务器可以在未知用户私钥的情况下对用户密文进行计算，并且计算结果解密后等于对明文做同样计算的结果。这样既实现了数据计算功能，又保证了用户数据安全。这种特殊的性质使得全同态加密具有广泛的应用价值，例如安全外包计算、密文搜索、密文机器学习分类等。

2012年，Brakerski等人提出一种不需要自举运算的分层全同态加密方案，也被称为BGV方案。BGV方案利用密钥交换技术约减密文尺寸，通过模交换技术降低密文噪声,具有抗已知攻击2^λ的安全性。利用单指令多数据技术，BGV方案支持对多比特明文的并行处理。与其它全同态方案相比，BGV方案的同态运算效率较高。基于BGV方案，2013年Helevi利用Gentry的优化技术构造了一种全同态加密库HElib。BGV方案所主要采用的密钥交换技术与模交换技术描述如下：

密钥交换技术

给定密钥s₁，s₂，模数q，矩阵A及并且满足其中R_q＝R/<q>＝Z_q[x]/<xⁿ+1>为模xⁿ+1和q的整多项式环，N为维数，n为2的整数次幂，xⁿ+1在有理数域上不可约，R＝Z[x]/<xⁿ+1>为模xⁿ+1的整多项式环，R_q中的元素由次数低于n的多项式表示，其系数在{(-q+1)/2,…,-1,0,1,…,(q-1)/2}中选取。矩阵A，B按如下方法生成：

执行全同态公钥产生算法生成A，其中n₁为s₁的维数，表示向上取整。

将B置为A+Powersof2(s₁)，即将加到A的第一列，输出转换矩阵其中表示向下取整。

输出维数为n₂的新密文其中表示c₁从最低位到最高位的二进制分解，并满足

模交换技术

假定p,q为两个奇模数，c为密文。新的密文c′近似等于(p/q)·c，并且满足c′＝cmod 2。若对任意的密钥s有|[<c,s>]_q|<q/2-(q/p)·l₁(s)，则

|[<c′,s>]_p|＝|[<c,s>]_q|mod 2，|[<c′,s>]_p|<(p/q)·|[<c′,s>]_q|+l₁(s)

其中l₁(s)代表s的l₁范数。原先模q下的c由经模交换技术转换为模p下的c′。

在HElib的乘法同态中，先使用模交换技术对乘法密文的解密噪声进行约减，再利用密钥交换技术对乘法密文的尺寸进行约减。可以看出，模交换技术被实施在三个环元素的乘法密文上，导致乘法同态效率效率低下；另外，在Helib的算法中，每次乘法同态均需密钥交换技术和模交换技术，同样使得乘法同态效率低下。

发明内容

本发明实施例的主要目的在于提供一种全同态加密方法、装置和计算机可读存储介质，以提高全同态加密方法中的乘法同态计算的效率。

为实现上述目的，本发明实施例第一方面提供一种全同态加密方法，所述方法包括：

步骤S1：根据输入的安全参数λ和加密层数L生成素模数q_j＝q_j(λ,L)，q_jmod n≡1，其中n为2的整数次幂，j＝0,1,…,L-1，并且q₀<q₁<…<q_L-1；

步骤S2：根据素模数q_j生成私钥sk及公钥pk；

步骤S3：根据公钥pk对明文m进行加密；

步骤S4：对同一私钥下的两个密文进行同态运算，所述同态运算包括同态加法运算FHE.Add(c′,c″)和同态乘法运算FHE.Mul(c′,c″)，其中，所述同态乘法运算FHE.Mul(c′,c″)的过程如下：

给定两个同一私钥下的密文c′＝(c′₀,c′₁)，c″＝(c″₀,c″₁₁)，按照如下过程计算结果密文c_mul＝(c_mul,0,c_mul,1,c_mul,2)，即

若c_mul的下一步运算为加法同态或者不存在运算，则直接输出c_mul；

若c_mul的下一步运算为乘法同态，则利用前述密钥交换技术将c_mul的密文尺寸由三个环元素降为两个环元素，得到的新密文为其中：

其中j∈[0,L-1]。

根据本发明实施例第一方面提供的全同态加密方法，步骤S4中，所述同态加法运算FHE.Add(c′,c″)的过程如下：

给定两个同一私钥下的密文c′＝(c′₀,c′₁,…,c′_r)，c″＝(c″₀,c″₁,…,c″_k)，其中r,k∈{1,2}，且r≤k,

若r＝1,k＝1，则同态加法密文为

若r＝1,k＝2，则同态加法密文为

若r＝2,k＝2，则同态加法密文为

其中j∈[0,L-1]。

根据本发明实施例第一方面提供的全同态加密方法，步骤S2中，根据素模数q_j生成私钥sk及公钥pk的具体过程如下：

令表示误差分布，为模xⁿ+1和q_j的整多项式环，令参数params＝(q_{j＝0,1,…,L-1},χ)，

在密钥生成函数FHE.KeyGen(params)中进行如下运算：

输入参数params，随机均匀生成s∈R₂，R₂为模xⁿ+1和2的整多项式环，生成其中误差项e∈χ，t为明文空间模数，代表模q_L-1运算，给定整数p，交换矩阵w_L-1＝(b_L-1,a_L-1)，其中 e_L-1∈χ,得到私钥sk＝s及公钥pk＝(b,a,w_L-1)。

根据本发明实施例第一方面提供的全同态加密方法，步骤S3具体包括：

在加密函数FHE.Enc(pk,m)中，给定m∈R_t，其中R_t为模xⁿ+1和2的整多项式环，随机从χ中选取u和e_i，其中i＝0,1，按照如下公式生成密文c：

根据本发明实施例第一方面提供的全同态加密方法，所述方法还包括解密运算FHE.Dec(c,sk)，其中，定义密文为c＝(c₀,c₁,…,c_k)，

若k＝1，则

若k＝2，则

根据本发明实施例第一方面提供的全同态加密方法，其特征在于，步骤S1通过素模数生成函数FHE.Setup(1^λ,L)来实现。

本发明实施例第二方面提供一种全同态加密装置，其包括至少一处理器、存储器及接口，所述至少一处理器、存储器及接口均通过总线连接；

所述存储器存储计算机执行指令；

所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述全同态加密装置实现本发明实施例第一方面提供的全同态加密方法的步骤。

本发明实施例第三方面提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本发明实施例第一方面提供的全同态加密方法的步骤。

与现有技术相比，本发明的全同态加密方法主要体现在如下两个方面。

首先，为提高乘法同态效率，本发明改进乘法同态算法FHE.Mul中，首先利用密钥交换技术将乘法密文尺寸由三个环元素约减为两个环元素，再利用模交换技术约减乘法密文的模数和解密噪声；

其次，为提高同态运算效率，本发明改进加法同态算法FHE.Add，以支持三个环元素的运算，使得乘法同态时尽可能少地调用密钥交换技术和模交换技术。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的全同态加密方法的流程图；

图2为本发明实施例提供的全同态加密装置的结构框图。

具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而非全部实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例提供的全同态加密方法主要包括步骤S1至S4，下面进行详细说明。

步骤S1：根据输入的安全参数λ和加密层数L生成素模数q_j＝q_j(λ,L)，q_jmodn≡1，其中n为2的整数次幂，j＝0,1,…,L-1，并且q₀<q₁<…<q_L-1。

需要说明的是，步骤S1通过素模数生成函数FHE.Setup(1^λ,L)来实现。

步骤S2：根据素模数q_j生成私钥sk及公钥pk。

具体地，根据素模数q_j生成私钥sk及公钥pk的具体过程如下：

令表示误差分布，为模xⁿ+1和q_j的整多项式环，令参数params＝(q_{j＝0,1,…,L-1},χ)，

在密钥生成函数FHE.KeyGen(params)中进行如下运算：

输入参数params，随机均匀生成s∈R₂，R₂为模xⁿ+1和2的整多项式环，生成其中误差项e∈χ，t为明文空间模数，代表模q_L-1运算，给定整数p，交换矩阵w_L-1＝(b_L-1,a_L-1)，其中 e_L-1∈χ,得到私钥sk＝s及公钥pk＝(b,a,w_L-1)。

步骤S3：根据公钥pk对明文m进行加密。

步骤S3具体包括：

在加密函数FHE.Enc(pk,m)中，给定m∈R_t，其中R_t为模xⁿ+1和2的整多项式环，随机从χ中选取u和e_i，其中i＝0,1，按照如下公式生成密文c：

步骤S4：对同一私钥下的两个密文进行同态运算，所述同态运算包括同态加法运算FHE.Add(c′,c″)和同态乘法运算FHE.Mul(c′,c″)。

其中，所述同态乘法运算FHE.Mul(c′,c″)的过程如下：

给定两个同一私钥下的密文c′＝(c′₀,c′₁)，c″＝(c″₀,c″₁₁)，按照如下过程计算结果密文c_mul＝(c_mul,0,c_mul,1,c_mul,2)，即

若c_mul的下一步运算为加法同态或者不存在运算，则直接输出c_mul；

若c_mul的下一步运算为乘法同态，则利用前述密钥交换技术将c_mul的密文尺寸由三个环元素降为两个环元素，得到的新密文为其中：

其中，j∈[0,L-1]，

利用前述模交换技术将转变为c_fresh，其模数由p·q_j降为q_j，解密噪声也被降低。

其中，所述同态加法运算FHE.Add(c′,c″)的过程如下：

给定两个同一私钥下的密文c′＝(c′₀,c′₁,…,c′_r)，c″＝(c″₀,c″₁,…,c″_k)，其中r,k∈{1,2}，且r≤k,

若r＝1,k＝1，则同态加法密文为

若r＝1,k＝2，则同态加法密文为

若r＝2,k＝2，则同态加法密文为

其中j∈[0,L-1]。

加密完成后，对加密的密文c＝(c₀,c₁,…,c_k)进行解密运算FHE.Dec(c,sk)，即可还原出其中的原始明文m,具体如下：

若k＝1，则

若k＝2，则

需要说明的是，上述的全同态加密方法的安全性依赖环上误差学习假设(RLWE)问题。RLWE问题的困难性由安全参数λ，参数m，素模数q决定。为保证所提方案的λ，则要求phi(m)>log₂(q)·(λ+110)/7.2，其中phi(m)表示分圆多项式Φ_m(x)的维数。若λ为一常数，q将随着m的增长而增长。例如，令λ＝80，若phi(m)＝1176，则log₂(q)＝44，即m＝1247，q＝2⁴⁴；若phi(m)＝2880，则log₂(q)＝109，即m＝3133，q＝2¹⁰⁹。

上述的全同态加密方法的优点主要体现在如下两个方面。

首先，为提高乘法同态效率，本发明改进乘法同态算法FHE.Mul中，首先利用密钥交换技术将乘法密文尺寸由三个环元素约减为两个环元素，再利用模交换技术约减乘法密文的模数和解密噪声；

其次，为提高同态运算效率，本发明改进加法同态算法FHE.Add，以支持三个环元素的运算，使得乘法同态时尽可能少地调用密钥交换技术和模交换技术。

如图2所示，本发明实施例还提供一种全同态加密装置，其包括至少一处理器210、存储器220及接口230，所述至少一处理器210、存储器220及接口230均通过总线连接；

所述存储器220存储计算机执行指令；

所述至少一个处理器210执行所述存储器220存储的计算机执行指令，使得所述全同态加密装置实现上述的全同态加密方法的步骤。

在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

需要说明的是，对于前述的各方法实施例，为了简便描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。

以上为对本发明所提供的全同态加密方法、装置和计算机可读存储介质的描述，对于本领域的技术人员，依据本发明实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上，本说明书内容不应理解为对本发明的限制。

Claims (8)

1.一种全同态加密方法，其特征在于，所述方法包括：

步骤S1：根据输入的安全参数λ和加密层数L生成素模数q_j＝q_j(λ,L)，q_jmod n≡1，其中n为2的整数次幂，j＝0,1,…,L-1，并且q₀<q₁<…<q_L-1；

步骤S2：根据素模数q_j生成私钥sk及公钥pk；

步骤S3：根据公钥pk对明文m进行加密；

步骤S4：对同一私钥下的两个密文进行同态运算，所述同态运算包括同态加法运算FHE.Add(c′,c″)和同态乘法运算FHE.Mul(c′,c″)，其中，所述同态乘法运算FHE.Mul(c′,c″)的过程如下：

给定两个同一私钥下的密文c′＝(c′₀,c′₁)，c″＝(c″₀,c″₁)，按照如下过程计算结果密文c_mul＝(c_mul,0,c_mul,1,c_mul,2)，即

若c_mul的下一步运算为加法同态或者不存在运算，则直接输出c_mul；

若c_mul的下一步运算为乘法同态，则利用前述密钥交换技术将c_mul的密文尺寸由三个环元素降为两个环元素，得到的新密文为其中：

其中j∈[0,L-1]。

2.如权利要求1所述全同态加密方法，其特征在于，步骤S4中，所述同态加法运算FHE.Add(c′,c″)的过程如下：

给定两个同一私钥下的密文c′＝(c′₀,c′₁,…,c′_r)，c″＝(c″₀,c₁″,…,c″_k)，其中r,k∈{1,2}，且r≤k,

若r＝1,k＝1，则同态加法密文为

若r＝1,k＝2，则同态加法密文为

若r＝2,k＝2，则同态加法密文为

其中j∈[0,L-1]。

3.如权利要求1所述全同态加密方法，其特征在于，步骤S2中，根据素模数q_j生成私钥sk及公钥pk的具体过程如下：

令表示误差分布，为模xⁿ+1和q_j的整多项式环，令参数params＝(q_{j＝0,1,…,L-1},χ)，

在密钥生成函数FHE.KeyGen(params)中进行如下运算：

输入参数params，随机均匀生成s∈R₂，R₂为模xⁿ+1和2的整多项式环，生成其中误差项e∈χ，t为明文空间模数，代表模q_L-1运算，给定整数p，交换矩阵w_L-1＝(b_L-1,a_L-1)，其中 e_L-1∈χ,得到私钥sk＝s及公钥pk＝(b,a,w_L-1)。

4.如权利要求3所述全同态加密方法，其特征在于，步骤S3具体包括：

在加密函数FHE.Enc(pk,m)中，给定m∈R_t，其中R_t为模xⁿ+1和2的整多项式环，随机从χ中选取u和e_i，其中i＝0,1，按照如下公式生成密文c：

5.如权利要求1至4任意一项所述全同态加密方法，其特征在于，所述方法还包括解密运算FHE.Dec(c,sk)，其中，定义密文为c＝(c₀,c₁,…,c_k)，

若k＝1，则

若k＝2，则

6.如权利要求1至4任意一项所述全同态加密方法，其特征在于，步骤S1通过素模数生成函数FHE.Setup(1^λ,L)来实现。

7.一种全同态加密装置，其特征在于，所述装置包括至少一处理器、存储器及接口，所述至少一处理器、存储器及接口均通过总线连接；

所述存储器存储计算机执行指令；

所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述全同态加密装置实现如权利要求1至6任意一项所述方法的步骤。

8.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任意一项所述方法的步骤。