CN110190945B - 基于多加密的线性回归隐私保护方法及系统 - Google Patents

Abstract

本发明公开了一种基于多加密的线性回归隐私保护方法及系统，该系统包括多个数据提供端、第一云服务器、第二云服务器和数据请求端；多个数据提供端采用不同的同态代理重加密算法加密数据；数据请求端向第一云服务器发送使用数据构建线性回归模型的请求；数据提供端发送数据到第一云服务器；第一云服务器对数据提供端的密文数据添加噪音并进行密文转换；第二云服务器解密、计算加密；第一云服务器对第二云服务器的加密数据进行去噪处理；数据请求端采用私钥解密得到训练好的线性回归模型。本发明解决了将多个不同加密系统加密的数据转换到了用同一公钥加密的数据，训练一个线性回归模型，不受数据集分区的影响，同时保护数据和线性回归模型的隐私。

Description

基于多加密的线性回归隐私保护方法及系统

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于多加密的线性回归隐私保护方法及系统。

背景技术

线性回归是机器学习中的一个算法，形式简单、易于建模，常被用来提供预测服务。为了训练一个更精确的回归模型，需要大量的数据参与回归学习过程，这些数据通常是由多个用户联合提供。随着用户收集的数据越来越多，会将其存储到云服务器以节省本地存储空间。然而，由于第三方云不可信，若直接将数据存储，可能会泄漏数据的隐私从而造成不可估量的后果。现有方案中使用多密钥全同态方案来解决这个问题，允许不同公钥加密的密文相互做运算，但昂贵的计算开销使得方案效率较低，且现有方案中采用同一个加密系统加密数据，根据求解模型时需要在密文上进行的计算，选择合适的加密方案，让用户加密数据，这就使得只有在要训练的模型确定后，用户才能加密存储数据，当需要训练不同的模型时，用户要重新加密数据，显得复杂且繁琐，而且不能同时支持水平或垂直分区的数据集，需要用户在本地数据集上做运算，增加了用户的工作量。

发明内容

为了克服现有技术存在的缺陷与不足，本发明提供一种基于多加密的线性回归隐私保护方法及系统，解决了在多个用户使用不同的加密系统加密的数据上，训练一个线性回归模型，同时保护数据和线性回归模型的隐私。

为了达到上述目的，本发明采用以下技术方案：

本发明提供一种基于多加密的线性回归隐私保护方法，包括下述步骤：

S1：数据提供端加密数据上传：多个数据提供端选择不同的代理重加密算法生成数据提供端的公私钥对(sk，pk)以及公共参数，并将数据提供端的数据采用同态代理重加密算法进行加密；

S2：数据请求端向第一云服务器发送使用数据构建线性回归模型的请求；

S3：数据提供端发送数据到第一云服务器：

S31：数据提供端根据公共参数生成临时公私钥对(sk_o，pk_o)；

S32：数据提供端根据临时公钥pk_o及私钥sk生成代理密钥rk；

S33：数据提供端对临时私钥sk_o采用第二云服务器的公钥pk_CS2加密得到加密的临时私钥；

S34：数据提供端将代理密钥和加密的临时私钥发送到第一云服务器；

S4：第一云服务器对数据提供端的密文数据添加噪音，并进行密文转换，将转换后的密文和对应的临时私钥发送到第二云服务器；

S5：第二云服务器解密、计算加密：第二云服务器采用私钥sk_CS2解密临时私钥得到sk_o，采用sk_o解密转换后的密文得到明文数据X′、y′，采用明文数据X′、y′计算得到用于计算线性回归模型加噪的矩阵A′和向量b′，采用公钥pk_CS2加密矩阵A′、向量b′、明文数据X′、y′得到

后发送至第一云服务器；

S6：第一云服务器去噪、加噪：第一云服务器将

和

去噪，得到Enc(A)和Enc(b)，第一云服务器选择随机可逆矩阵

和随机向量

将加躁后的数据

与

发送至第二云服务器；

S7：第二云服务器私钥解密

与

得到C′、d′，计算

数据请求端公钥pk_DR加密

得到

并发送给第一云服务器；

S8：第一云服务器对线性回归模型去噪：第一云服务器在密文上计算

并将计算结果

发送给数据请求端；

S9：数据请求端私钥sk_DR解密得到线性回归模型w^*。

作为优选的的技术方案，步骤S1中所述数据提供端加密数据，具体的加密数据计算方式为：

g∈G₁，Z＝e(g，g)∈G₂；

数据提供端密钥对：sk＝(a₁，a₂)，

其中，g表示群G₁的一个生成元，Z表示群G₂的一个生成元，

表示用第z个数据提供端DO_z的公钥pk_z加密第n条记录的第m个属性值，x_ij表示第i条数据的第j个属性值，y_i表示第i条数据的标签值，k_ij代表加密x_ij选择的随机数。

作为优选的的技术方案，步骤S31中所述临时公私钥对(sk_o，pk_o)，具体计算方式为：

数据提供端根据公共参数g、Z，生成临时公私钥对

步骤S32中所述代理密钥rk，计算方式为：

步骤S33中所述临时私钥，计算方式为：

k_s＝H¹(l)；

步骤S34所述数据提供端将代理密钥和加密的临时私钥发送到第一云服务器，表示为：

其中g_p ^ls^N表示采用Paillier加密对l加密的输出，加密公钥为(g_p，N)，s表示一个随机数，k_s表示AES对称加密密钥，H¹(x)表示哈希函数，l表示随机数。

作为优选的的技术方案，步骤S4所述的第一云服务器对数据提供端的密文数据添加噪音，并用数据提供端代理密钥进行密文转换，具体步骤为：

第一云服务器设置随机数，对数据提供端的密文数据

添加噪音后得到加噪后的密文

第一云服务器采用代理密钥rk对加噪后的密文

进行重加密，得到转换后的密文

将转换后的密文

和数据提供端加密的临时私钥

发送到第二云服务器：

转换后的密文

表示为C_X′和C_y′：

其中，X′和y′表示经过密文转换后的属性矩阵和标签向量的明文，C_X′表示由

组成的加密矩阵，即对n条原始数据的加密属性值重加密后的矩阵，C_y′是对n条原始数据的加密标签值重加密后组成的一个向量。

作为优选的的技术方案，步骤S5中所述第二云服务器解密、计算加密的具体步骤为：

采用第二云服务器私钥sk_CS2＝λ解密

用公式

得到l；

第二云服务器通过哈希函数H¹(x)计算H¹(l)得出对称密钥k_s，采用k_S解密

得到

第二云服务器采用sk_o解密数据提供端的数据对应的转换后的密文，得到明文数据X′、y′，作为加躁后的数据集；

第二云服务器通过X′、y′计算得到A′、b′，并且采用公钥pk_CS2加密矩阵A′和向量b′，将加密后得到的

发送到第一云服务器：

其中，A′＝X′^TX′，b′＝X′^Ty′，

表示采用第二云服务器公钥对A′加密，

表示采用第二云服务器公钥对b′加密，

和

表示对X′、y′的加密。

作为优选的的技术方案，步骤S6中所述第一云服务器去噪、加噪，具体步骤为：

去除

的噪音：

采用第二云服务器公钥进行Paillier加密，第一云服务器采用第二服务器公钥pk_CS2加密随机数，通过Paillier算法的同态性质得到去除了噪音的密文

去除

的噪音：

计算噪音

与

计算噪音

第一云服务器计算所有r_k1×r_k1的值并求和，再用第二云服务器公钥对求和的值加密，其中，r_k1是第一云服务器选择的随机数，x_k1表示去噪后

中的元素，以密文形式存在；

第一服务器通过Paillier算法的同态性质得到了去除了噪音的矩阵C_A和向量C_b；

加躁：

第一云服务器选择一个可逆的m×m的随机矩阵

和一个m维的随机列向量

利用Paillier的同态性质，计算

和

将

发送到第二云服务器。

作为优选的的技术方案，步骤S7中所述的计算

具体计算方式为：

其中，

分别表示可逆的m×m的随机矩阵、m维的随机列向量，

所述数据请求端公钥pk_DR加密

采用Paillier加密。

作为优选的的技术方案，步骤S8中所述的第一云服务器对线性回归模型去噪，具体计算方式为：

第一云服务器收到

后，在密文上计算：

第一云服务器将计算结果

发送给数据请求端，其中

分别表示可逆的m×m的随机矩阵、m维的随机列向量。

本发明还提供一种基于多加密的线性回归隐私保护系统，包括：多个数据提供端、第一云服务器、第二云服务器和数据请求端；

所述数据提供端用于提供线性回归模型的训练集，每个数据提供端拥有不同的数据，将数据聚合起来构成训练集，采用同态代理重加密算法进行数据加密后存储在第一云服务器；

所述第一云服务器与第二云服务器协作完成线性回归模型的训练，

所述协作完成线性回归模型的训练包括：

第一云服务器对接收到的加密数据进行去噪处理，并重新添加噪音；

第二云服务器对第一云服务器发送的噪音数据进行加密处理；

第一云服务器对第二云服务器的加密数据进行去噪处理；

所述数据请求端用于发送使用数据构建线性回归模型的请求，并采用私钥解密得到训练好的线性回归模型。

本发明与现有技术相比，具有如下优点和有益效果：

(1)本发明多个数据提供端选择不同的代理重加密算法生成公私钥对以及公共参数等，并将数据提供端的数据采用同态代理重加密算法进行加密，第一云服务器与第二云服务器协作将数据提供端加密的数据转换到了用同一公钥加密的数据，实现了让每个用户使用自己的加密系统加密数据，不同的用户使用不同的加密系统，实现了在不同加密系统加密的数据之间做运算。

(2)本发明将所有数据聚合的步骤前不需要在数据之间做运算，因此不受数据集分区的影响，可以同时支持水平和垂直分区的数据集，提升了整体的计算效率。

(3)本发明的第一云服务器对同一公钥加密的数据进行去噪处理后，对在第二云服务器公钥加密下的矩阵C_A和向量C_b添加噪音，使得第二云服务器无法通过解密矩阵C_A和向量C_b得到与线性回归模型的相关信息，保护了数据和线性回归模型的隐私。

附图说明

图1为本实施例基于多加密的线性回归隐私保护方法的流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例

本实施例提供一种基于多加密的线性回归隐私保护系统，通过设置两个不合谋的云服务器，利用代理重加密和同态加密技术，完成了多加密系统下线性回归模型的训练，同时保护了数据和模型的隐私。本实施例的基于多加密的线性回归隐私保护系统包括：

数据提供端(DO)：用于提供线性回归模型训练集，每个数据提供端拥有不同的数据，将所有数据聚合起来构成一个训练集，采用同态代理重加密算法进行数据加密后存储在第一云服务器；

第一云服务器(CS₁)：用于存储用户的数据以及与第二云服务器协作完成线性回归模型的训练，第一云服务器与第二云服务器不合谋；

第二云服务器(CS₂)：用于与第一云服务器协作完成线性回归模型的训练；

所述协作完成线性回归模型的训练包括：

第一云服务器对接收到的加密数据进行去噪处理，并重新添加噪音；

第二云服务器对第一云服务器发送的噪音数据进行加密处理；

第一云服务器对第二云服务器的加密数据进行去噪处理；

数据请求端(DR)用于发送使用数据构建线性回归模型的请求，并采用私钥解密得到训练好的线性回归模型。

如图1所示，本实施例还提供一种基于多加密的线性回归隐私保护方法，大致流程为：

①各数据提供端选择自己的同态代理重加密系统，并生成各自的密钥，将数据加密存储至第一云服务器；

②数据请求端发送使用数据的请求；

③每个数据提供端根据自己的加密系统生成各自的临时公私钥对，并用加密数据时的私钥与临时公钥生成代理密钥，将临时私钥用第二云服务器的公钥加密，将这些信息发送给第一云服务器；

④第一云服务器对数据提供端的加密数据添加噪音，并用上传的代理密钥重加密密文，并将重加密后的密文和上传的加密的临时私钥发送给第二云服务器；

⑤第二云服务器用自己的私钥解密已加密的临时私钥，并用临时私钥解密对应的密文得到加了噪音的训练数据集的明文，再用这些信息计算模型需要的加了噪音的部分，并将它们和加噪的数据集用自己的公钥加密发送给第一云服务器；

⑥第一云服务器对收到的数据在密文上去除噪音后，计算得出加密的模型，并对加密的模型添加噪音，发送给第二云服务器；

⑦第二云服务器用自己的私钥解密收到的信息，得到了加了噪音的模型的明文信息，并将其用数据请求端的公钥加密后发送给第一云服务器；

⑧第一云服务器对收到的数据在密文上去除噪音后，发送给数据请求端；

⑨数据请求端用自己的私钥解密收到的数据，得到最终的线性回归模型。

本实施例可以确保在方案执行期间，CS₁、CS₂和DR都不会了解到任何关于DO数据的信息，同时，只有DR知道模型的信息，CS₁、CS₂与DO都不会了解到模型的信息。

本实施例的基于多加密的线性回归隐私保护方法主要分为两个阶段，第一个阶段是数据聚合阶段，需要CS₁和CS₂协作将所有DO的数据转换到同一公钥加密下的数据，并将它们聚合起来；第二个阶段是模型训练阶段，需要CS₁和CS₂协作训练出一个线性回归模型，并将模型发送给DR。本实施例设定了执行多加密的线性回归隐私保护方法的假设条件，具体如下：

a、多加密的线性回归隐私保护方法是在半诚实模型下进行的，半诚实模型是指所有参与方均按步骤正确执行协议，但同时记录下所有中间结果，用以推导额外信息；

b、所有参与方之间都有一个安全信道用来传输信息；

c、第一云服务器与第二云服务器不合谋；

d、所有数据提供端的数据集都各不相同，且联合起来构成一个完整的线性回归模型的训练集；

e、第一、第二云服务器知道每个密文所对应的属性，但不知道其具体的值。

在本实施例中，由于在所有数据聚合前不需要在数据之间做运算，因此不受数据集分区的影响，本实施例假设数据集是水平分区的，本实施例的基于多加密的线性回归隐私保护方法，包括数据聚合和训练线性回归模型步骤；

数据聚合的步骤如下所述：

S1：数据提供端DO加密上传数据：采用代理重加密算法生成数据提供端的公私钥对(sk，pk)以及公共参数，并将数据提供端的数据采用同态代理重加密算法进行加密；

每一个数据提供端DO_t选择自己的代理重加密方法，生成自己的公私钥对(sk，pk)，并对数据中的每一个值进行加密，按顺序上传至第一云服务器，以DO₁为例：

DO₁选择一个支持同态的代理重加密方法对数据加密：

构建加密参数：g∈G₁，Z＝e(g，g)∈G₂；

生成密钥对：

采用对称加密算法Enc：DO₁对D₁的每一个数据加密，加密每一个x_ij时，先选择一个随机数k_ij，计算

同理加密y_i，计算

所有的DO_t像DO₁一样，将数据加密后上传至CS₁进行存储，用

代表用第z个数据提供端DO_z的公钥pk_z加密第n条记录的第一个属性值，则所有的加密数据可表示为：

其中，G1、G2都是群，g表示群G₁的一个生成元，Z表示群G₂的一个生成元，x_ij表示第i条数据的第j个属性值，y_i表示第i条数据的标签值，k_ij代表加密x_ij选择的随机数；

S2：数据请求端DR向第一云服务器发送使用数据构建线性回归模型的请求；

S3：数据提供端DO发送信息：

对于每一个数据提供端DO_t，都执行以下操作，以DO₁为例：

S31：数据提供端根据公共参数生成临时公私钥对(sk_o，pk_o)；

数据提供端DO₁根据加密系统公共参数g∈G₁和Z＝e(g，g)∈G₂，生成临时公私钥对

S32：数据提供端根据临时公钥及私钥生成代理密钥rk；

本实施例采用pk_o与sk₁生成代理密钥

S33：数据提供端对临时私钥sk_o采用第二云服务器的公钥pk_CS2加密得到加密的临时私钥Enc(sk_o)；

DO₁采用AES对称加密，构造一个从第二服务器端CS₂的明文空间

映射到加密算法AES密钥空间的哈希函数H¹(x)；

DO₁从CS₂的明文空间

中选择一个随机数l，则加密算法AES加密密钥为k_s＝H¹(l)；

DO₁用k_s加密sk_o，即

再用第二云服务器CS₂的公钥pk_CS2加密l得到

本实施例的CS₂用的是Paillier加密，则

其中s是用Paillier加密时选择的随机数；

DO₁将加密的临时私钥

代理密钥rk₁发送给CS₁。

当所有的数据提供端DO_t执行完上述步骤，将

发送至第一云服务器CS₁：

S4：第一云服务器对数据提供端的密文数据添加噪音，并用数据提供端代理密钥进行转换，将转换后的密文和对应的Enc(sk_o)发送到第二云服务器；

a、添加噪音：

第一云服务器CS₁对加密数据D^*中的每一个密文都添加噪音，得到加密数据

加噪后的密文

表示数据提供端提供的第i条数据的第j个属性值的加密数据；

本实施例以DO₁的一个数据加密数据

为例：

选择一个随机数r₁₁，计算：

b、转换密文：

CS₁根据每个DO_t的加密算法对每一个

进行重加密操作，则得到

转换后的密文

本实施例以DO₁的加噪数据

为例：

CS₁计算

CS₁对所有的数据执行完上述操作后，得到了加了噪音的转换密文，本实施例用X′和y′表示所有记录经过上述处理后的属性矩阵和标签向量的明文，将C_X′、C_y′和

发送给CS₂。其中：

C_X′表示由

组成的加密矩阵，即对n条原始数据的加密属性值重加密后的矩阵；C_y′是对n条原始数据的加密标签值重加密后组成的一个向量；

表示各个数据提供端加密的临时私钥；

S5：解密、计算、加密；

a、解密数据：

CS₂收到C_X′、C_y′和

后，做如下操作：以DO₁的数据为例：

CS₂用它的私钥sk_CS2＝λ解密

用公式

得到l；

CS₂通过DO₁构造的哈希函数H¹(x)计算H¹(l)得出对称密钥k_s，用k_s解密

得到

用sk_o解密DO₁的数据对应的转换后的密文，如

由于(x₁₁+r₁₁)的值相对较小，故通过求解离散对数就可得到(x₁₁+r₁₁)。CS₂对C_X′、C_y′中所有的元素进行上述解密操作，得到明文数据X′、y′，即加噪后的数据集。

b、计算与加密：

线性回归模型的计算公式为：

w^*＝(X^TX)^-1X^Ty＝A^-1b，A＝X^TX，b＝X^Ty，X表示所有数据的属性值的矩阵，y表示所有数据的标签值组成的向量；

其中

则

b＝X^Ty＝(b₁，…，b_m)^T；

其中e_ij＝∑_{k＝1，…，n}x_ki×x_kj；b＝X^Ty＝(b₁，…，b_m)^T，b_i＝∑_{k＝1，…，n}x_ki×y_i；

令

b′＝X′^Ty′＝(b′₁，…，b′_m)^T，则：

e′_ij＝∑_{k＝1，…，n}(x_ki×x_kj+x_ki×r_kj+r_ki×x_kj+r_ki×r_kj)；

b′_i＝∑_{k＝1，…，n}(x_ki×y_i+x_ki×r_i+r_ki×y_i+r_ki×r_i)；

其中，r是CS₁对数据添加的噪音。因此，A′、b′就是加了噪音的A和b，CS₂解密得到X′、y′后，计算出A′与b′，并将A′、b′、X′、y′用自己的公钥将其加密为：

和

就是对X′、y′的加密，也是用第二云服务器自己的公钥；

采用Paillier加密方案，以加密e′₁₁为例：

CS₂选择一个随机数

计算：

CS₂将

发送给CS₁。

至此，第一阶段数据聚合完成。CS₁与CS₂协作将数据提供端加密的数据转换到了用同一公钥加密的数据。同时，CS₂计算了带噪音的A和b。

在本实施例中，训练线性回归模型的具体步骤如下：

S6：第一云服务器CS₁去噪、加噪：

CS₁在收到

后，由于噪音是由CS₁所选，且用的是Paillier加密，所以可以在密文上对

去除噪音。

a、去除

的噪音：

因为

是X′、y′的加密，所以

中的噪音就是CS₁在步骤S4中添加的噪音r_ij。以去除

中第一个元素

的噪音为例：

目的是得到x₁₁的密文，则CS₁用CS₂的公钥pk_CS2加密随机数r₁₁，得到密文：

表示用Paillier加密r₁₁时选择的随机数，则利用Paillier的同态性质计算：

由此得到了x₁₁的密文，即去除了噪音。对

中的所有数据按上述方法去除噪音，就得到了用CS₂的公钥加密的X和y:

b、去除

的噪音

以

为例：

是对e′₁₁的加密，本实施例的目的是得到e₁₁的密文。

所以需要用

去掉多余的部分

为了便于理解，本实施例分步去噪：

(a)计算噪音

与

r_k1是CS₁所选的随机数，所以对于CS₁来说，r_k1是明文形式；x_k1是上一步中去噪后

中的元素，以密文形式存在。由Paillier的同态性质可知，本实施例可以在密文上乘一个明文，因此CS₁可计算

与

(b)计算噪音

CS₁在明文上计算所有r_k1×r_k1的值并将其求和，再用CS₂的公钥将所求和加密，即可得到

(c)去噪：

CS₁计算完上述两步的噪音后，利用Paillier的同态性质，在密文上将

的噪音去除。

第一云服务器CS₁用上述方法，对

中的所有密文去除噪音，得到A、b在CS₂公钥加密下的矩阵C_A和向量C_b。

C、加噪：

CS₁为了不让CS₂解密C_A、C_b得到与模型相关的信息，对C_A、C_b添加噪音。CS₁选择一个可逆的m×m的随机矩阵

和一个m维的随机列向量

利用Paillier的同态性质，计算

和

将

发送给CS₂。

S7：CS₂计算带噪音的模型并加密

CS₂用私钥解密

后得到C′、d′，并计算：

即：

CS₂将计算的结果

用DR的公钥加密得到

并发送给CS₁，本实施例数据请求端DR选择的是Paillier加密。

S8：第一云服务器对线性回归模型去噪：

CS₁收到

后，由于知道

和

所以利用Paillier的同态性质，可以在密文上计算：

CS₁将计算结果

发送给DR。

S9：数据请求端DR收到

后，采用私钥sk_DR解密得到线性回归模型w^*。

将本实施例与现有的多用户场景下线性回归的隐私保护加密方案相比较，包括是否支持多加密系统、DO是否需要在本地数据集上进行计算、支持数据集的分区类别和方案的执行效率，比较结果如下表1所示：

表1：线性回归的隐私保护方案对比

从对比结果可以看出只有本实施例的多加密的线性回归隐私保护方法支持多加密系统，其他方案都要求所有用户使用同一个加密系统加密数据；在本实施例中，用户也不需要在本地数据集上做运算；本实施例的方案同时支持水平和垂直分区的数据集，与其他方案相比较，本实施例的方案的效率也是最高的。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (6)

1.一种基于多加密的线性回归隐私保护方法，其特征在于，包括下述步骤：

S1：数据提供端加密数据上传：多个数据提供端选择不同的代理重加密算法生成数据提供端的公私钥对(sk，pk)以及公共参数，并将数据提供端的数据采用同态代理重加密算法进行加密；

S2：数据请求端向第一云服务器发送使用数据构建线性回归模型的请求；

S3：数据提供端发送数据到第一云服务器：

S31：数据提供端根据公共参数生成临时公私钥对(sk_o，pk_o)；

S32：数据提供端根据临时公钥pk_o及私钥sk生成代理密钥rk；

S33：数据提供端对临时私钥sk_o采用第二云服务器的公钥pk_Cs2加密得到加密的临时私钥；

步骤S33中所述临时私钥，计算方式为：

k_s＝H¹(l)；

S34：数据提供端将代理密钥和加密的临时私钥发送到第一云服务器；

步骤S34所述数据提供端将代理密钥和加密的临时私钥发送到第一云服务器，表示为：

其中，g_p ^ls^N表示采用Paillier加密对l加密的输出，加密公钥为(g_p，N)，s表示一个随机数，k_s表示AES对称加密密钥，H¹(x)表示哈希函数，l表示随机数；

S4：第一云服务器对数据提供端的密文数据添加噪音，并进行密文转换，将转换后的密文和对应的临时私钥发送到第二云服务器；

步骤S4所述的第一云服务器对数据提供端的密文数据添加噪音，并用数据提供端代理密钥进行密文转换，具体步骤为：

第一云服务器设置随机数，对数据提供端的密文数据

添加噪音后得到加噪后的密文

第一云服务器采用代理密钥rk对加噪后的密文

进行重加密，得到转换后的密文

将转换后的密文

和数据提供端加密的临时私钥

发送到第二云服务器：

转换后的密文

表示为C_X′和C_y′：

其中，X′和y′表示经过密文转换后的属性矩阵和标签向量的明文，C_X′表示由

组成的加密矩阵，即对n条原始数据的加密属性值重加密后的矩阵，C_y′是对n条原始数据的加密标签值重加密后组成的一个向量；

S5：第二云服务器解密、计算加密：第二云服务器采用私钥sk_CS2解密临时私钥得到sk_o，采用sk_o解密转换后的密文得到明文数据X′、y′，采用明文数据X′、y′计算得到用于计算线性回归模型加噪的矩阵A′和向量b′，采用公钥pk_CS2加密矩阵A′、向量b′、明文数据X′、y′得到

后发送至第一云服务器；

步骤S5中所述第二云服务器解密、计算加密的具体步骤为：

采用第二云服务器私钥sk_CS2＝λ解密

用公式

得到l；

第二云服务器通过哈希函数H¹(x)计算H¹(l)得出对称密钥k_s，采用k_s解密

得到

第二云服务器采用sk_o解密数据提供端的数据对应的转换后的密文，得到明文数据X′、y′，作为加躁后的数据集；

第二云服务器通过X′、y′计算得到A′、b′，并且采用公钥pk_CS2加密矩阵A′和向量b′，将加密后得到的

发送到第一云服务器：

其中，A′＝X′^TX′，b′＝X′^Ty′，

表示采用第二云服务器公钥对A′加密，

表示采用第二云服务器公钥对b′加密，

和

表示对X′、y′的加密；

S6：第一云服务器去噪、加噪：第一云服务器将

和

去噪，得到Enc(A)和Enc(b)，第一云服务器选择随机可逆矩阵

和随机向量

将加躁后的数据

与

发送至第二云服务器；

步骤S6中所述第一云服务器去噪、加噪，具体步骤为：

去除

的噪音：

采用第二云服务器公钥进行Paillier加密，第一云服务器采用第二服务器公钥pk_CS2加密随机数，通过Paillier算法的同态性质得到去除了噪音的密文

去除

的噪音：

计算噪音

与

计算噪音

第一云服务器计算所有r_k1×r_k1的值并求和，再用第二云服务器公钥对求和的值加密，其中，r_k1是第一云服务器选择的随机数，x_k1表示去噪后

中的元素，以密文形式存在；

第一服务器通过Paillier算法的同态性质得到了去除了噪音的矩阵C_A和向量C_b；

加躁：

第一云服务器选择一个可逆的m×m的随机矩阵

和一个m维的随机列向量

利用Paillier的同态性质，计算

和

将

发送到第二云服务器；

S7：第二云服务器私钥解密

与

得到C′、d′，计算

数据请求端公钥pk_DR加密

得到

并发送给第一云服务器；

S8：第一云服务器对线性回归模型去噪：第一云服务器在密文上计算

并将计算结果

发送给数据请求端；

S9：数据请求端私钥sk_DR解密得到线性回归模型w^*。

2.根据权利要求1所述的基于多加密的线性回归隐私保护方法，其特征在于，步骤S1中所述数据提供端加密数据，具体的加密数据计算方式为：

g∈G₁，Z＝e(g，g)∈G₂；

数据提供端密钥对：sk＝(a₁，a₂)，

其中，g表示群G₁的一个生成元，Z表示群G₂的一个生成元，

表示用第z个数据提供端DO_z的公钥pk_z加密第n条记录的第m个属性值，x_ij表示第i条数据的第j个属性值，y_i表示第i条数据的标签值，k_ij代表加密x_ij选择的随机数。

3.根据权利要求1所述的基于多加密的线性回归隐私保护方法，其特征在于，步骤S31中所述临时公私钥对(sk_o，pk_o)，具体计算方式为：

数据提供端根据公共参数g、Z，生成临时公私钥对

步骤S32中所述代理密钥rk，计算方式为：

4.根据权利要求1所述的基于多加密的线性回归隐私保护方法，其特征在于，步骤S7中所述的计算

具体计算方式为：

其中，

分别表示可逆的m×m的随机矩阵、m维的随机列向量，

所述数据请求端公钥pk_DR加密

采用Paillier加密。

5.根据权利要求1所述的基于多加密的线性回归隐私保护方法，其特征在于，步骤S8中所述的第一云服务器对线性回归模型去噪，具体计算方式为：

第一云服务器收到

后，在密文上计算：

第一云服务器将计算结果

发送给数据请求端，其中

分别表示可逆的m×m的随机矩阵、m维的随机列向量。

6.一种基于多加密的线性回归隐私保护系统，其特征在于，包括：多个数据提供端、第一云服务器、第二云服务器和数据请求端；

所述数据提供端用于提供线性回归模型的训练集，每个数据提供端拥有不同的数据，将数据聚合起来构成训练集，采用同态代理重加密算法进行数据加密后存储在第一云服务器；

数据提供端加密数据上传：多个数据提供端选择不同的代理重加密算法生成数据提供端的公私钥对(sk，pk)以及公共参数，并将数据提供端的数据采用同态代理重加密算法进行加密；

数据请求端向第一云服务器发送使用数据构建线性回归模型的请求；

数据提供端发送数据到第一云服务器：

所述第一云服务器与第二云服务器协作完成线性回归模型的训练，

所述协作完成线性回归模型的训练包括：

第一云服务器对数据提供端的密文数据添加噪音，并用数据提供端代理密钥进行密文转换，将转换后的密文和对应的临时私钥发送到第二云服务器，具体包括：

第一云服务器设置随机数，对数据提供端的密文数据

添加噪音后得到加噪后的密文

第一云服务器采用代理密钥rk对加噪后的密文

进行重加密，得到转换后的密文

将转换后的密文

和数据提供端加密的临时私钥

发送到第二云服务器：

转换后的密文

表示为C_X′和C_y′：

其中，X′和y′表示经过密文转换后的属性矩阵和标签向量的明文，C_X′表示由

组成的加密矩阵，即对n条原始数据的加密属性值重加密后的矩阵，C_y′是对n条原始数据的加密标签值重加密后组成的一个向量；

第二云服务器解密、计算加密：第二云服务器采用私钥sk_CS2解密临时私钥得到sk_o，采用sk_o解密转换后的密文得到明文数据X′、y′，采用明文数据X′、y′计算得到用于计算线性回归模型加噪的矩阵A′和向量b′，采用公钥pk_CS2加密矩阵A′、向量b′、明文数据X′、y′得到

后发送至第一云服务器，具体包括：

采用第二云服务器私钥sk_CS2＝λ解密

用公式

得到l；

第二云服务器通过哈希函数H¹(x)计算H¹(l)得出对称密钥k_s，采用k_s解密

得到

第二云服务器采用sk_o解密数据提供端的数据对应的转换后的密文，得到明文数据X′、y′，作为加躁后的数据集；

第二云服务器通过X′、y′计算得到A′、b′，并且采用公钥pk_CS2加密矩阵A′和向量b′，将加密后得到的

发送到第一云服务器：

其中，A′＝X′^TX′，b′＝X′^Ty′，

表示采用第二云服务器公钥对A′加密，

表示采用第二云服务器公钥对b′加密，

和

表示对X′、y′的加密；

第一云服务器去噪、加噪：第一云服务器将

和

去噪，得到Enc(A)和Enc(b)，第一云服务器选择随机可逆矩阵

和随机向量

将加躁后的数据

与

发送至第二云服务器，具体包括：

去除

的噪音：

采用第二云服务器公钥进行Paillier加密，第一云服务器采用第二服务器公钥pk_CS2加密随机数，通过Paillier算法的同态性质得到去除了噪音的密文

去除

的噪音：

计算噪音

与

计算噪音

第一云服务器计算所有r_k1×r_k1的值并求和，再用第二云服务器公钥对求和的值加密，其中，r_k1是第一云服务器选择的随机数，x_k1表示去噪后

中的元素，以密文形式存在；

第一服务器通过Paillier算法的同态性质得到了去除了噪音的矩阵C_A和向量C_b；

加躁：

第一云服务器选择一个可逆的m×m的随机矩阵

和一个m维的随机列向量

利用Paillier的同态性质，计算

和

将

发送到第二云服务器；

所述数据请求端用于发送使用数据构建线性回归模型的请求，并采用私钥解密得到训练好的线性回归模型。

Images