CN111797907A - 一种用于医疗物联网的安全高效的svm隐私保护训练及分类方法 - Google Patents

Abstract

本发明公开了一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，通过以下流程实现：样本训练集中的数据由各个医疗用户DP提供，加密后再上传至云服务器CSS存储，SVM服务提供者SP训练一个模型时，将模型初始值[W]，[b]加密后发送给CSS。云存储服务器CSS和密码计算服务CSP协同调用本发明设计的基于双门限同态加密算法DTPKC的SIM，SIIP，SISMV，SLTZ，SDP，SFPM，SFPS，SFPVS等算法执行密文域下的SVM训练和分类。训练和分类过程中始终不泄露样本数据的信息和SVM模型的信息。

Description

一种用于医疗物联网的安全高效的SVM隐私保护训练及分类 方法

技术领域

本发明属于信息安全技术领域，特别是安全高效的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法。

背景技术

与大多数其他行业一样，计算和处理能力，无线技术和小型化的进步部分推动了电子医疗领域的创新，如医疗物联网(IoMT)的诞生。IoMT的应用包括对患者和环境数据的远程监控，根据所收集的信息(例如血压和心跳的电活动)进行实时决策，同时尝试利用诸如机器学习(ML)技术之类的智能学习来分析所收集的信息并为策略决策提供信息。例如，目前已有相关文献探索了ML在分类AMD疾病进展和运动图像EEG信号分类中的潜力。

支持向量机(SVM)是一种流行的基于统计学习理论的ML技术。由于其学习性能和实用分类中的归纳能力突出，SVM已被广泛应用于许多医疗应用领域，包括临床诊断，医学成像，疾病分类和基因芯片等。众所周知，我们是通过训练大量相关数据样本将得到的SVM模型用于疾病分类和分类。然而，一方面患者可能不愿将其健康数据暴露给第三方，使得数据分析者获得大量相关数据样本具有很大的挑战性；另一方面，用户的医疗数据一般都是外包给云进行存储或分析，数据的隐私保护也面临着挑战。尽管常规的加密技术可以确保数据的隐私性，但也导致这种加密后的数据不可在密文域内使用。因此，在不影响数据效用的情况下设计数据隐私保护技术是一项持续的研究挑战。一种可能的解决方案是使用同态加密。但完全同态加密(FHE)需要大量的计算资源，并且其速度太慢而无法实用。

因此，许多基于部分同态加密(PFE)的隐私保护方法被提出以实现更好的计算和通信性能。但是，现有的方案都存在功能和性能上的限制，例如：一些方案仅支持隐私保护的分类，而不支持模型训练；一些方案虽然能同时支持训练和分类，但它们并未提出浮点数安全计算的具体方法；一些方案在模型训练阶段需要与数据提供者进行多轮交互，限制了数据的使用场景。此外，现有方案的另一个局限性是它们无法缓解“明文溢出”，因为经过多次同态加法和乘法运算后，明文长度很容易超过明文上限(例如，安全的RSA模参数N)。我们注意到，如果发生明文溢出，则PHE机制中的模运算可能会导致数据失真，从而降低分类器的准确性，因此，在设计安全的外包SVM模型训练方案时突破此限制非常必要。刘等人提出了一种控制明文溢出的协议FApx，但是它们的方案在实践中相对具有挑战性，因为如果仅给出相应的密文很难猜测数据是否溢出。

发明内容

一个基于双门限加法同态加密的安全高效的外包SVM隐私保护训练与分类方案。该方案由6个参与方组成，包括：可信机构TA()，数据提供者(DP)，云存储服务器(CSS)，密码计算云服务器(CSP)，SVM服务使用者(SR)和SVM服务提供者(SP)。TA负责密钥分发与公证，DP负责提供密文形式的医疗数据，CSS负责存储大量用户的各种密文医疗数据，并提供一定的外包计算能力与CSP协同进行隐私保护的SVM模型训练和分类。SR是需要使用SVM功能的请求者，SP是提供SVM模型的提供者，可以请求CSS和CSP协同训练SVM或使用SVM为SR提供服务。在模型训练与分类过程中，不泄露用户的原始数据信息，同时保证训练与分类的正确性和高效性。

本发明所使用到的相关符号描述如下(其他变量均为具有以下类似形式的中间变量)：

N:两个大素数的乘积，如N＝p·q。

N²：N的平方值。

Z_N：由0，1，2，…，N-1组成的整数集合。

C：同态加密密文。

pk_i：第i个同态公钥。

λ₁，λ₂：同态加密的部分主私钥，组合起来可以解密所有的密文。

[z]：大整数z对应的同态密文。

[Z]：`整数向量Z＝{z₁,z₂,…,z_d}对应的密文，即[Z]＝{[z₁],[z₂],…,[z_d]}，其中d为向量的维度。

E:常数，指代浮点数的精确度或者数据分割的界限。

X_i：第i个特征向量。

y_i：第i个分类标记。

W：特征权重向量。

b，α：常数，表示偏移值和迭代步长系数。

cost,，η：损失率和学习率。

T：最大训练迭代次数。

ths：损失率对应的门限值。

n：训练集中样本的总数。

grad：梯度向量，即grad＝{grad₁,grad₂,…,grad_d}。

DTPKC.Setup()：双门限同态加密的初始化算法。

DTPKC.KeyGen()：双门限同态加密的密钥生成算法。

DTPKC.KeySplit()：双门限同态加密的主私钥分割算法。

DTPKC.Enc(m)：双门限同态加密的加密算法，如对消息m的加密。

DTPKC.CoDec1()：双门限同态加密的第一协同解密算法，需要使用主私钥λ₁。

DTPKC.CoDec2()：双门限同态加密的第二协同解密算法，需要使用主私钥λ₂。

SDT()：基于双门限同态加密的安全密文域转换算法，如将pk₁加密的密文转化为由pk₂加密的密文，其中密文对应的明文不变。

SLSB()：基于双门限同态加密的安全最低比特提取算法，如给定密文[x]，输出整数x最低比特x₀的密文[x₀]。

[x]·[y]：密文之间的乘法运算映射到明文之前的加法运算，即[x]·[y]＝[x+y]。

[x]^y：密文与某明文的指数运算可以映射到密文对应明文与该明文的相乘运算，即[x]^y＝[xy]。

||W||²：向量W与W的内积运算。

modN:模N运算。例如，23mod7≡2。

对浮点数x进行向下取整运算，如

SIM，SIIP，SISMV，SLTZ，SDP，SFPA/S，SFPVA/S：分别表示安全整数乘法算法，安全整数向量內积算法，安全整数向量标量乘算法，安全判断小于零算法，安全数据分割算法，安全浮点数加/减法算法，安全浮点向量加/减法算法。

本发明的上述技术问题主要是通过下述技术方案得以解决的：

一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，其特征在于，云存储服务器CSS存储大量用户的各种密文医疗数据，并提供外包计算能力与CSP协同进行隐私保护的SVM模型训练和分类，R是需要使用SVM功能的请求者，SP是提供SVM模型的提供者，可以请求CSS和CSP协同训练SVM或使用SVM为SR提供服务，TA负责密钥分发与公证，DP负责提供密文形式的医疗数据，具体包括：

SVM的模型隐私保护训练步骤：数据提供者DP给定密文数据集

Ω＝{([X₁]，[y₁])，…，([X_n]，[y_n])}，分别由各数据提供者的pk_i加密；SVM模型服务提供者SP给定密文特征权重[W]＝{[w₁],…,[w_d]}，初始偏移量[b]，由公钥pk_ρ加密；SP给定明文状态的迭代步长系数α，损失率cost和对应的阈值ths，学习率η，最大迭代次数T和浮点数的小数点位数E，其中向量X_i的维度为d，安全高效且具有隐私保护的外包SVM训练方法由CSS和CSP协同执行，具体步骤如下(其中[X₁]和[W]中的元素对应明文实际均为浮点数，且小数点位数均为E，因此运算过程中需要使用SDP()算法控制小数点的位数，防止明文溢出)：

步骤1.1：初始化参数α，cost，ths，η，T，E，并计算

和

步骤1.2：当满足条件cost>ths或者t<T时，执行下列步骤3，4，5，6，7，8；

步骤1.3：对于任意i∈{1,2,…,d}，计算

并执行SDP算法[grad_i]←SDP(grad_i,pk_ρ,E)，最终得到小数点位数均为E的向量[grad]＝{[grad₁],…,[grad_d]}；

步骤1.4.1：对于任意j∈{1,2,…,n}，首先执行SIIP算法[z]←SIIP([W],[X_i],pk_ρ,pk_i,pk_ρ)，再计算

步骤1.4.2：执行SIM算法[z]←SIM([z],[y_i],pk_ρ,pk_i,pk_CSS)；

步骤1.4.3：CSS用自己的私钥解密[z]，得到明文状态的z，并判断

是否成立，如果成立则先计算z＝z-N；

步骤1.4.4：CSS计算z＝z·2^-2E，判断z<1是否成立，如果成立则首先调用SISMV算法计算[Z]←SISMV([y_i],[X_i],pk_i,pk_i,pk_ρ)；再调用SFPVS算法计算向量[grad]←SFPVS([grad],[Z],pk_ρ,pk_ρ,pk_ρ)；计算cost＝cost+1-z；

步骤1.5：调用SIIP算法计算[u]←SIIP([W],[W],pk_ρ,pk_ρ,pk_CSS)得到密文[u]；

步骤1.6：CSS调用DTPKC.Dec()算法解密[u]得到u；判断

是否成立，如果成立则计算u←(u-N)；

步骤1.7：对于任意i∈{1,2,…,d}，计算

并调用SDP算法计算[gd_i]←SDP([gd_i],pk_ρ,E)；得到密文向量[gd]＝{[gd₁],…,[gd_d]}

步骤1.8：调用SFPVS算法计算[W]←SFPVA/S([W],[gd],pk_ρ,pk_ρ,pk_ρ)，计算t＝t+1；

步骤1.9：输出最终的密文模型[W]，[b]；

SVM的隐私保护分类步骤：给定服务请求者SR的数据

即医疗数据特征向量，由SR的公钥pk_SR加密所得，服务提供者SP的SVM加密模型[W]，[b]，由SP的公钥pk_ρ加密所得。隐私保护的外包SVM分类步骤如下：

步骤2.1：CSS收到SP发送的密文数据[W]，[b]和[X^*]后，用SR的公钥pk_SR加密整数1得到[1]，并令

[v₂]＝{[w₁],…,[w_d],[b]}；

步骤2.2：调用SIIP算法计算[y]←SIIP([v₁],[v₂],pk_SR,pk_ρ,pk_SR)，CSS将结果[y]发送给SR；

步骤2.3：SR解密[y]得到y；判断

是否成立，如果成立则令y^*＝1，否则y^*＝-1，最终得到的y即SR的分类结果。

在上述的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，安全计算子算法基于安全整数乘法算法SIM：[z]←SIM([x],[y],pk₁,pk₂,pk₃)：给定两个分别由公钥pk₁，pk₂加密的密文[x]和[y]，输出pk₃加密的密文[z]＝[xy]如下：

CSS端：首先选择一个随机数r∈Z_N，调用DTPKC.Enc()算法加密r获得密文[r]，并计算密文C＝[y]·[r]mod N²＝[y+r]；调用DTPKC.CoDec1()算法部分解密密文C获得部分解密结果B’；将消息([x]，B’，C)发送给CSP。

CSP端：收到消息([x]，B’，C)后，调用DTPKC.CoDec2()算法解密B’和C，获得明文(y+r)；计算密文[x’]＝[x]^y+r mod N²，并将[x’]发送给CSS。

CSS端：收到消息[x’]后，计算[z]＝[y]·[x]^N-r mod N²；如果pk₁＝pk₃，则直接输出[z]；否则调用SDT()算法将当前由pk₁加密的密文转化为由pk₃加密的密文，然后输出最终结果。

在上述的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，安全计算子算法基于安全整数向量內积算法SIIP：[z]←SIIP([X],[Y],pk₁,pk₂,pk₃)给定两个分别由公钥pk₁，pk₂加密的向量[X]＝{[x₁],[x₂],…,[x_d]}和[Y]＝{[y₁],[y₂],…,[y_d]}，输出pk₃加密的內积

如下：

CSS端：对于任一个i∈{1,…,d}，首先选择一个随机数r_i∈Z_N，调用DTPKC.Enc()算法加密r_i获得密文[r_i]，并计算密文C_i＝[y_i]·[r_i]mod N²＝[y_i+r_i]；调用DTPKC.CoDec1()算法部分解密密文C_i获得部分解密结果B′_i；将消息[X]和{B′_i，C_i}_1≤i≤d发送给CSP。

CSP端：收到消息[X]和{B′_i，C_i}_1≤i≤d后，调用DTPKC.CoDec2()算法解密{B′_i，C_i}_1≤i≤d，获得明文{y_i+r_i}_1≤i≤d；计算密文

和

并将[z]发送给CSS。

CSS端：收到消息{[x′_i]}_1≤i≤d后，计算[z]＝mod N²；如果pk₁＝pk₃，则直接输出[z]；否则调用DTPKC.SDT()算法将当前由pk₁加密的密文转化为由pk₃加密的密文，然后输出最终结果。

在上述的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，安全计算子算法基于安全整数向量标量乘算法SISMV：[Z]←SIMV([x],[Y],pk₁,pk₂,pk₃)，给定一个pk₁加密后的密文[x]和一个pk₂加密的向量[Y]＝{[y₁],[y₂],…,[y_d]}，输出标量乘积的密文[Z]＝[xY]＝{[z₁],[z₂],…,[z_d]}如下：

CSS端：首先选择一个随机数r∈Z_N，调用DTPKC.Enc()算法加密r获得密文[r]，并计算密文C＝[x]·[r]mod N²＝[x+r]；调用DTPKC.CoDec1()算法部分解密密文C获得部分解密结果B’；将消息([Y]，B’，C)发送给CSP。

CSP端：收到消息([Y]，B’，C)后，调用DTPKC.CoDec2()算法解密B’和C，获得明文(x+r)；计算密文{[y′_i]}_1≤i≤d＝{[y_i]^y+r}_1≤i≤d，并将{[y′_i]}_1≤i≤d发送给CSS。

CSS端：收到消息{[y′_i]}_1≤i≤d后，计算[z_i]＝[y_i]^N-r mod N²；如果pk₁＝pk₃，则直接输出[Z]＝{[z₁],[z₂],…,[z_d]}；否则调用DTPKC.SDT()算法将当前由pk₁加密的密文全部转化为由pk₃加密的密文，然后输出最终结果。

在上述的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，安全计算子算法基于安全判断小于零算法SLTZ：[x_s],[x_abs]←SLTZ([x],pk)给定一个密文[x]，判断x是否小于0，最终输出判断结果的密文[x_s]以及x绝对值对应的密文[x_abs](如果x<0，[x_s]＝[1]，[x_abs]＝[x]；否则[x_s]＝[0]，[x_abs]＝[-x])如下：

CSS端：首先选择两个随机数r₁和r₂，且满足

调用DTPKC.Enc()算法加密r₂获得密文[r₂]；随机选择一个比特c，如果c＝0计算密文

如果c＝1计算密文

调用DTPKC.CoDec1()算法部分解密密文[y]获得部分解密结果B’；将消息(B’，[y])发送给CSP。

CSP端：收到消息(B’，[y])后，调用DTPKC.CoDec2()算法解密B’和[y]，获得明文y；如果y>N/2，则令s＝1，否则s＝0，调用算法DTPKC.Enc()加密s得到[s]，将[s]发送给CSS。

CSS端：收到消息[s]后，如果c＝0计算密文[x_s]＝[s]，如果c＝1计算密文[x_s]＝[1]·[s]^N-1mod N²；计算[s′]＝[1]·[x_s]^N-2并调用SIM算法计算[x_abs]←SIM([s′],[x],pk,pk,pk)；最终输出[x_s]和[x_abs]。

在上述的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，安全计算子算法基于安全数据分割算法SDP：[x_L]←SDP([x],pk,E)，给定一个密文[x]，公钥pk和分割精度E，输出密文[x_L](满足x＝x_L·2^E+x_R，其中x_R是x的最低E比特数值)如下：

步骤1：CSS初始化设置参数e，令e＝2^-1mod N；

步骤2：CSS和CSP协同调用SLTZ算法[x_s],[x_abs]←SLTZ([x],pk)获得[x]对应明文的符号位密文[x_s]和绝对值密文[x_abs]，并令参数C＝[x_s]；

步骤3：对于i从0到E-1，CSS和CSP依次协同做如下循环操作，即首先调用SLSB()算法获得密文C对应明文的最低比特的密文[x_i]，然后更新密文C为C＝C·x_i ^N-1mod N²，C＝C^emodN²；

步骤4：CSS计算[s′]＝[1]·[x_s]^N-2；

步骤5：CSS和CSP协同调用SIM()算法计算密文[s′]和密文C对应明文的乘积密文[x_L]，最终输出[x_L]。

在上述的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，安全计算子算法基于安全浮点数加/减法算法SFPA/S：[z]←SFPA/S([x],[y],pk₁,pk₂,pk₃)给定两个分别由pk₁，pk₂加密的浮点数密文[x]，[y]，输出由pk₃加密的密文[z](满足z＝x+y)对于安全浮点数加法算法SFPA，满足z＝x+y，计算方法包括

Case1：CSS判断pk₁＝pk₂＝pk₃是否成立，如果成立则计算[z]＝[x]·[y]，否则考虑下一种情况；

Case2：CSS判断pk₁＝pk₂，pk₁≠pk₃是否成立，如果成立则先计算[z]＝[x]·[y]，再调用DTPKC.SDT()算法将由pk₁加密得到的[z]转化为由pk₃加密的[z]，否则考虑下一种情况；

Case3：CSS判断pk₁＝pk₃，pk₂≠pk₃是否成立，如果成立则先将[y]转化成pk₃加密的密文[y]，再计算[z]＝[x]·[y]，否则考虑下一种情况；

Case4：CSS判断pk₁≠pk₂≠pk₃是否成立，如果成立，则将[x]，[y]转化为pk₃加密下的密文域，再计算[z]＝[x]·[y]；

密文[z]对于安全浮点数加法算法SFPS，满足z＝x-y，CSS首先计算[y]＝[y]^{N- 1}modN²，再执行SFPA算法。

在上述的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，安全计算子算法基于安全浮点向量加/减法算法SFPVA/S：[Z]←SFPVA/S([X],[Y],pk₁,pk₂,pk₃)给定两个分别由pk₁，pk₂加密的浮点数密文[X]＝{x₁,x₂,…,x_d}，[Y]＝{y₁,y₂,…,y_d}，输出由pk₃加密的向量密文[Z]＝{z₁,z₂,…,z_d}(满足z_i＝x_i±y_i)如下：

对于安全浮点数加法算法SFPVA，满足z_i＝x_i+y_i，计算方法如下：

对任意i∈{1,2,…,d}，按照SFPA算法依次计算

[z_i]即[z_i]←SFPA([x_i],[y_i],pk₁,pk₂,pk₃)，满足z_i＝x_i+y_i，最后输出密文向量[Z]＝{[z₁],[z₂],…,[z_d]}；

对于安全浮点数减法算法SFPVS，满足z_i＝x_i-y_i，计算方法如下：

对任意i∈{1,2,…,d}，按照SFPS算法以此计算[z_i]，满足z_i＝x_i-y_i，最后输出密文向量[Z]＝{z₁,z₂,…,z_d}。

模型的训练或分类或者训练和分类过程会在特定的步骤使用7种算法(删除了SFPM)中的一种，模型训练或分类的实现需要组合这7种算法，其中：

1.SIM算法在步骤1.4.2被调用；并且会被子算法SLTZ，SDP调用；

2.SIIP算法在步骤1.4.1、步骤1.5和步骤2.2被调用；

3.SISMV算法在步骤1.4.4被调用；

4.SLTZ算法被子算法SDP调用；

5.SDP算法在步骤1.3和步骤1.7被调用；

6.SFPA/S算法在SFPVA/S调用；

7.SFPVA/S算法在步骤1.8被调用；

因此，本发明具有如下优点：1、本发明专利解决了加密状态下的明文溢出问题，保证了密文状态下各项运算的正确性；2、本发明专利高校实现了密文状态下与明文状态下完全等同的运算流程，使得SVM模型的训练与分类结果与明文状态下完全一致。

具体实施方式

下面通过实施例，对本发明的技术方案作进一步具体的说明。

实施例：

本发明中提出的方案主要有6个重要角色，包括：可信机构TA()，数据提供者(DP)，云存储服务器(CSS)，密码计算云服务器(CSP)，SVM服务使用者(SR)和SVM服务提供者(SP)。TA负责密钥分发与公证，DP负责提供密文形式的医疗数据，CSS负责存储大量用户的各种密文医疗数据，并提供一定的外包计算能力与CSP协同进行隐私保护的SVM模型训练和分类。SR是需要使用SVM功能的请求者，SP是提供SVM模型的提供者，可以请求CSS和CSP协同训练SVM或使用SVM为SR提供服务。TA运行DTPKC.Setup()算法，并调用DTPKC.KeyGen()算法为参与方DP、CSS和CSP分发对应的公私钥对；此外，TA调用DTPKC.KeySplit()算法为CSS和CSP分别分配主私钥λ₁，λ₂。

1.安全计算子算法

1)安全整数乘法算法SIM：[z]←SIM([x],[y],pk₁,pk₂,pk₃)给定两个分别由公钥pk₁，pk₂加密的密文[x]和[y]，输出pk₃加密的密文[z]＝[xy]如下：

①CSS端：首先选择一个随机数r∈Z_N，调用DTPKC.Enc()算法加密r获得密文[r]，并计算密文C＝[y]·[r]mod N²＝[y+r]；调用DTPKC.CoDec1()算法部分解密密文C获得部分解密结果B’；将消息([x]，B’，C)发送给CSP。

②CSP端：收到消息([x]，B’，C)后，调用DTPKC.CoDec2()算法解密B’和C，获得明文(y+r)；计算密文[x’]＝[x]^y+r mod N²，并将[x’]发送给CSS。

③CSS端：收到消息[x’]后，计算[z]＝[y]·[x]^N-r mod N²；如果pk₁＝pk₃，则直接输出[z]；否则调用SDT()算法将当前由pk₁加密的密文转化为由pk₃加密的密文，然后输出最终结果。

2)安全整数向量內积算法SIIP：[z]←SIIP([X],[Y],pk₁,pk₂,pk₃)给定两个分别由公钥pk₁，pk₂加密的向量[X]＝{[x₁],[x₂],…,[x_d]}和[Y]＝{[y₁],[y₂],…,[y_d]}，输出pk₃加密的內积

如下：

①CSS端：对于任一个i∈{1,…,d}，首先选择一个随机数r_i∈Z_N，调用DTPKC.Enc()算法加密r_i获得密文[r_i]，并计算密文C_i＝[y_i]·[r_i]mod N²＝[y_i+r_i]；调用DTPKC.CoDec1()算法部分解密密文C_i获得部分解密结果B′_i；将消息[X]和{B′_i，C_i}_1≤i≤d发送给CSP。

②CSP端：收到消息[X]和{B′_i，C_i}_1≤i≤d后，调用DTPKC.CoDec2()算法解密{B′_i，C_i}_1≤i≤d，获得明文{y_i+r_i}_1≤i≤d；计算密文

和

并将[z]发送给CSS。

③CSS端：收到消息{[x′_i]}_1≤i≤d后，计算[z]＝mod N²；如果pk₁＝pk₃，则直接输出[z]；否则调用DTPKC.SDT()算法将当前由pk₁加密的密文转化为由pk₃加密的密文，然后输出最终结果。

3)安全整数向量标量乘算法SISMV：[Z]←SISMV([x],[Y],pk₁,pk₂,pk₃)给定一个pk₁加密后的密文[x]和一个pk₂加密的向量[Y]＝{[y₁],[y₂],…,[y_d]}，输出标量乘积的密文[Z]＝[xY]＝{[z₁],[z₂],…,[z_d]}如下：

①CSS端：首先选择一个随机数r∈Z_N，调用DTPKC.Enc()算法加密r获得密文[r]，并计算密文C＝[x]·[r]mod N²＝[x+r]；调用DTPKC.CoDec1()算法部分解密密文C获得部分解密结果B’；将消息([Y]，B’，C)发送给CSP。

②CSP端：收到消息([Y]，B’，C)后，调用DTPKC.CoDec2()算法解密B’和C，获得明文(x+r)；计算密文{[y′_i]}_1≤i≤d＝{[y_i]^y+r}_1≤i≤d，并将{[y′_i]}_1≤i≤d发送给CSS。

③CSS端：收到消息{[y′_i]}_1≤i≤d后，计算[z_i]＝[y_i]^N-r mod N²；如果pk₁＝pk₃，则直接输出[Z]＝{[z₁],[z₂],…,[z_d]}；否则调用DTPKC.SDT()算法将当前由pk₁加密的密文全部转化为由pk₃加密的密文，然后输出最终结果。

4)安全判断小于零算法SLTZ：[x_s],[x_abs]←SLTZ([x],pk)给定一个密文[x]，判断x是否小于0，最终输出判断结果的密文[x_s]以及x绝对值对应的密文[x_abs](如果x<0，[x_s]＝[1]，[x_abs]＝[x]；否则[x_s]＝[0]，[x_abs]＝[-x])如下：

①CSS端：首先选择两个随机数r₁和r₂，且满足

调用DTPKC.Enc()算法加密r₂获得密文[r₂]；随机选择一个比特c，如果c＝0计算密文

如果c＝1计算密文

调用DTPKC.CoDec1()算法部分解密密文[y]获得部分解密结果B’；将消息(B’，[y])发送给CSP。

②CSP端：收到消息(B’，[y])后，调用DTPKC.CoDec2()算法解密B’和[y]，获得明文y；如果y>N/2，则令s＝1，否则s＝0，调用算法DTPKC.Enc()加密s得到[s]，将[s]发送给CSS。

③CSS端：收到消息[s]后，如果c＝0计算密文[x_s]＝[s]，如果c＝1计算密文[x_s]＝[1]·[s]^N-1mod N²；计算[s′]＝[1]·[x_s]^N-2并调用SIM算法计算[x_abs]←SIM([s′],[x],pk,pk,pk)；最终输出[x_s]和[x_abs]。

5)安全数据分割算法SDP：[x_L]←SDP([x],pk,E)给定一个密文[x]，公钥pk和分割精度E，输出密文[x_L](满足x＝x_L·2^E+x_R，其中x_R是x的最低E比特数值)如下：

步骤1：CSS初始化设置参数e，令e＝2^-1mod N；

步骤2：CSS和CSP协同调用SLTZ算法[x_s],[x_abs]←SLTZ([x],pk)获得[x]对应明文的符号位密文[x_s]和绝对值密文[x_abs]，并令参数C＝[x_s]；

步骤3：对于i从0到E-1，CSS和CSP依次协同做如下循环操作，即首先调用SLSB()算法获得密文C对应明文的最低比特的密文[x_i]，然后更新密文C为C＝C·x_i ^N-1mod N²，C＝C^emodN²；

步骤4：CSS计算[s′]＝[1]·[x_s]^N-2；

步骤5：CSS和CSP协同调用SIM()算法计算密文[s^′]和密文C对应明文的乘积密文[x_L]，最终输出[x_L]。

6)安全浮点数加/减法算法SFPA/S：[z]←SFPA/S([x],[y],pk₁,pk₂,pk₃)给定两个分别由pk₁，pk₂加密的浮点数密文[x]，[y]，输出由pk₃加密的密文[z](满足z＝x+y)如下：

①对于安全浮点数加法算法SFPA，满足z＝x+y，计算方法如下

Case1：CSS判断pk₁＝pk₂＝pk₃是否成立，如果成立则计算[z]＝[x]·[y]，否则考虑下一种情况；

Case2：CSS判断pk₁＝pk₂，pk₁≠pk₃是否成立，如果成立则先计算[z]＝[x]·[y]，再调用DTPKC.SDT()算法将由pk₁加密得到的[z]转化为由pk₃加密的[z]，否则考虑下一种情况；

Case3：CSS判断pk₁＝pk₃，pk₂≠pk₃是否成立，如果成立则先将[y]转化成pk₃加密的密文[y]，再计算[z]＝[x]·[y]，否则考虑下一种情况；

Case4：CSS判断pk₁≠pk₂≠pk₃是否成立，如果成立，则将[x]，[y]转化为pk₃加密下的密文域，再计算[z]＝[x]·[y]；

②对于安全浮点数加法算法SFPS，满足z＝x-y，CSS首先计算[y]＝[y]^N-1modN²，再执行SFPA算法。

7)安全浮点向量加/减法算法SFPVA/S：[Z]←SFPVA/S([X],[Y],pk₁,pk₂,pk₃)给定两个分别由pk₁，pk₂加密的浮点数密文[X]＝{x₁,x₂,…,x_d}，[Y]＝{y₁,y₂,…,y_d}，输出由pk₃加密的向量密文[Z]＝{z₁,z₂,…,z_d}(满足z_i＝x_i±y_i)如下：

①对于安全浮点数加法算法SFPVA，满足z_i＝x_i+y_i，计算方法如下：对任意i∈{1,2,…,d}，按照SFPA算法依次计算[z_i]即[z_i]←SFPA([x_i],[y_i],pk₁,pk₂,pk₃)，满足z_i＝x_i+y_i，最后输出密文向量[Z]＝{[z₁],[z₂],…,[z_d]}；

①对于安全浮点数减法算法SFPVS，满足z_i＝x_i-y_i，计算方法如下：对任意i∈{1,2,…,d}，按照SFPS算法以此计算[z_i]，满足z_i＝x_i-y_i，最后输出密文向量[Z]＝{z₁,z₂,…,z_d}；

2.SVM的隐私保护训练方法

数据提供者DP给定密文数据集Ω＝{([X₁]，[y₁])，…，([X_n]，[y_n])}，分别由各数据提供者的pk_i加密；SVM模型服务提供者SP给定密文特征权重[W]＝{[w₁],…,[w_d]}，初始偏移量[b]，由公钥pk_ρ加密；SP给定明文状态的迭代步长系数α，损失率cost和对应的阈值ths，学习率η，最大迭代次数T和浮点数的小数点位数E，其中向量X_i的维度为d，安全高效且具有隐私保护的外包SVM训练方法由CSS和CSP协同执行，具体步骤如下(其中[X₁]和[W]中的元素对应明文实际均为浮点数，且小数点位数均为E，因此运算过程中需要使用SDP()算法控制小数点的位数，防止明文溢出)：

步骤1：初始化参数α，cost，ths，η，T，E，并计算

和

步骤2：当满足条件cost>ths或者t<T时，执行下列步骤3，4，5，6，7，8；

步骤3：对于任意i∈{1,2,…,d}，计算

并执行SDP算法[grad_i]←SDP(grad_i,pk_ρ,E)，最终得到小数点位数均为E的向量[grad]＝{[grad₁],…,[grad_d]}；

步骤4.1：对于任意j∈{1,2,…,n}，首先执行SIIP算法[z]←SIIP([W],[X_i],pk_ρ,pk_i,pk_ρ)，再计算

步骤4.2：执行SIM算法[z]←SIM([z],[y_i],pk_ρ,pk_i,pk_CSS)；

步骤4.3：CSS用自己的私钥解密[z]，得到明文状态的z，并判断

是否成立，如果成立则先计算z＝z-N；

步骤4.4：CSS计算z＝z·2^-2E，判断z<1是否成立，如果成立则首先调用SISMV算法计算[Z]←SISMV([y_i],[X_i],pk_i,pk_i,pk_ρ)；再调用SFPVS算法计算向量[grad]←SFPVS([grad],[Z],pk_ρ,pk_ρ,pk_ρ)；计算cost＝cost+1-z；

步骤5：调用SIIP算法计算[u]←SIIP([W],[W],pk_ρ,pk_ρ,pk_CSS)得到密文[u]；

步骤6：CSS调用DTPKC.Dec()算法解密[u]得到u；判断

是否成立，如果成立则计算u←(u-N)；

步骤7：对于任意i∈{1,2,…,d}，计算

并调用SDP算法计算[gd_i]←SDP([gd_i],pk_ρ,E)；得到密文向量[gd]＝{[gd₁],…,[gd_d]}

步骤8：调用SFPVS算法计算[W]←SFPVA/S([W],[gd],pk_ρ,pk_ρ,pk_ρ)，计算t＝t+1；

步骤9：输出最终的密文模型[W]，[b]；

3.SVM的隐私保护分类

给定服务请求者SR的数据

即医疗数据特征向量，由SR的公钥pk_SR加密所得，服务提供者SP的SVM加密模型[W]，[b]，由SP的公钥pk_ρ加密所得。隐私保护的外包SVM分类步骤如下：

步骤1：CSS收到SP发送的密文数据[W]，[b]和[X^*]后，用SR的公钥pk_SR加密整数1得到[1]，并令

[v₂]＝{[w₁],…,[w_d],[b]}；

步骤2：调用SIIP算法计算[y]←SIIP([v₁],[v₂],pk_SR,pk_ρ,pk_SR)，CSS将结果[y]发送给SR；

步骤3：SR解密[y]得到y；判断

是否成立，如果成立则令y^*＝1，否则y^*＝-1，最终得到的y即SR的分类结果。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (8)

1.一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，其特征在于，云存储服务器CSS存储大量用户的各种密文医疗数据，并提供外包计算能力与CSP协同进行隐私保护的SVM模型训练和分类，R是需要使用SVM功能的请求者，SP是提供SVM模型的提供者，可以请求CSS和CSP协同训练SVM或使用SVM为SR提供服务，TA负责密钥分发与公证，DP负责提供密文形式的医疗数据，具体包括：

SVM的模型隐私保护训练步骤：数据提供者DP给定密文数据集

Ω＝{([X₁]，[y₁])，...，([X_n]，[y_n])}，分别由各数据提供者的pk_i加密；SVM模型服务提供者SP给定密文特征权重[W]＝{[w₁]，...，[w_d]}，初始偏移量[b]，由公钥pk_ρ加密；SP给定明文状态的迭代步长系数α，损失率cost和对应的阈值ths，学习率n，最大迭代次数T和浮点数的小数点位数E，其中向量X_i的维度为d，安全高效且具有隐私保护的外包SVM训练方法由CSS和CSP协同执行，具体步骤如下：

步骤1.1：初始化参数α，cost，ths，η，T，E，并计算

和

步骤1.2：当满足条件cost＞ths或者t＜T时，执行下列步骤3，4，5，6，7，8；

步骤1.3：对于任意i∈{1，2，...，d}，计算

并执行SDP算法[gFad_i]←SDP(grad_i，pk_ρ，E)，最终得到小数点位数均为E的向量[grad]＝{[grad₁]，...，[grad_d]}；

步骤1.4.1：对于任意j∈{1，2，...，n}，首先执行SIIP算法

[z]←SIIP([W]，[X_i]，pk_ρ，pk_i，pk_ρ)，再计算

步骤1.4.2：执行SIM算法[z]←SIM([z]，[y_i]，pk_ρ，pk_i，pk_cSs)；

步骤1.4.3：CSS用自己的私钥解密[z]，得到明文状态的z，并判断

是否成立，如果成立则先计算z＝z-N；

步骤1.4.4：CSS计算z＝z·2^-2E，判断z＜1是否成立，如果成立则首先调用SISMV算法计算[Z]←SISMV([y_i]，[X_i]，pk_t，pk_i，pk_ρ)；再调用SFPVS算法计算向量[grad]←SFPVS([grad]，[Z]，pk_ρ，pk_ρ，pk_ρ)；计算cost＝cost+1-z；

步骤1.5：调用SIIP算法计算[u]←SIIP([W]，[W]，pk_ρ，pk_ρ，pk_css)得到密文[u]；

步骤1.6：CSS调用DTPKC.Dec()算法解密[u]得到u；判断

是否成立，如果成立则计算u←(u-N)；

步骤1.7：对于任意i∈{1，2，...，d}，计算

并调用SDP算法计算[gd_i]←SDP([gd_i]，pk_ρ，E)；得到密文向量[gd]＝{[gd₁]，...，[gd_d]}

步骤1.8：调用SFPVS算法计算[W]←SFPVA/S([W]，[gd]，pk_ρ，pk_ρ，pk_ρ)，计算t＝t+1；

步骤1.9：输出最终的密文模型[W]，[b]；

SVM的隐私保护分类步骤：给定服务请求者SR的数据

即医疗数据特征向量，由SR的公钥pk_SR加密所得，服务提供者SP的SVM加密模型[W]，[b]，由SP的公钥pk_ρ加密所得；隐私保护的外包SVM分类步骤如下：

步骤2.1：CSS收到SP发送的密文数据[W]，[b]和[X^*]后，用SR的公钥pk_SR加密整数1得到[1]，并令

[v₂]＝{[w₁]，...，[w_d]，[b]}；

步骤2.2：调用SIIP算法计算[y]←SIIP([v₁]，[v₂]，pk_SR，pk_ρ，pk_SR)，CSS将结果[y]发送给SR；

步骤2.3：SR解密[y]得到y；判断

是否成立，如果成立则令y^*＝1，否则y^*＝-1，最终得到的y即SR的分类结果。

2.根据权利要求1所述的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，其特征在于，安全计算子算法基于安全整数乘法算法SIM：[z]←SIM([x]，[y]，pk₁，pk₂，pk₃)：给定两个分别由公钥pk₁，pk₂加密的密文[x]和[y]，输出pk₃加密的密文[z]＝[xy]如下：

CSS端：首先选择一个随机数r∈Z_N，调用DTPKC.Enc()算法加密r获得密文[r]，并计算密文C＝[y]·[r]mod N²＝[y+r]；调用DTPKC.CoDec1()算法部分解密密文C获得部分解密结果B’；将消息([x]，B’，C)发送给CSP；

CSP端：收到消息([x]，B’，C)后，调用DTPKC.CoDec2()算法解密B’和C，获得明文(y+r)；计算密文[x’]＝[x]y^+r mod N²，并将[x’]发送给CSS；

CSS端：收到消息[x’]后，计算[z]＝[y]·[x]^N-r mod N²；如果pk₁＝pk₃，则直接输出[z]；否则调用SDT()算法将当前由pk₁加密的密文转化为由pk₃加密的密文，然后输出最终结果。

3.根据权利要求1所述的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，其特征在于，安全计算子算法基于安全整数向量内积算法SIIP：

[z]←SIIP([X]，[Y]，pk₁，pk₂，pk₃)

给定两个分别由公钥pk₁，pk₂加密的向量[X]＝{[x₁]，[x₂]，...，[x_d]}和[Y]＝{[y₁]，[y₂]，...，[y_d]}，输出pk₃加密的内积

如下：

CSS端：对于任一个i∈{1，...，d}，首先选择一个随机数r_i∈Z_N，调用DTPKC.Enc()算法加密r_i获得密文[r_i]，并计算密文C_i＝[y_i]·[r_i]mod N²＝[y_i+r_i]；调用DTPKC.CoDec1()算法部分解密密文C_i获得部分解密结果B_i′；将消息[X]和{B_i′，C_i}_1≤i≤d发送给CSP；

CSP端：收到消息[X]和{B_i′，C_i}_1≤i≤d后，调用DTPKC.CoDec2()算法解密{B_i′，C_i}_1≤i≤d，获得明文{y_i+r_i}_1≤i≤d；计算密文

和

并将[z]发送给CSS；

CSS端：收到消息{[x_i′]}_1≤i≤d后，计算[z]＝mod N²；如果pk₁＝pk₃，则直接输出[z]；否则调用DTPKC.SDT()算法将当前由pk₁加密的密文转化为由pk₃加密的密文，然后输出最终结果。

4.根据权利要求1所述的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，其特征在于，安全计算子算法基于安全整数向量标量乘算法SISMV：[Z]←SIMV([x]，[Y]，pk₁，pk₂，pk₃)，给定一个pk₁加密后的密文[x]和一个pk₂加密的向量[Y]＝{[y₁]，[y₂]，...，[y_d]}，输出标量乘积的密文[Z]＝[xY]＝{[z₁]，[z₂]，...，[z_d]}如下：

CSS端：首先选择一个随机数r∈Z_N，调用DTPKC.Enc()算法加密r获得密文[r]，并计算密文C＝[x]·[r]mod N²＝[x+r]；调用DTPKC.CoDec1()算法部分解密密文C获得部分解密结果B’；将消息([Y]，B’，C)发送给CSP；

CSP端：收到消息([Y]，B’，C)后，调用DTPKC.CoDec2()算法解密B’和C，获得明文(x+r)；计算密文{[y_i′]}_1≤i≤d＝{[y_i]y^+r}_1≤i≤d，并将{[y_i′]}_1≤i≤d发送给CSS；

CSS端：收到消息{[y_i′]}_1≤i≤d后，计算[z_i]＝[y_i]^N-r mod N²；如果pk₁＝pk₃，则直接输出[Z]＝{[z₁]，[z₂]，...，[z_d]}；否则调用DTPKC.SDT()算法将当前由pk₁加密的密文全部转化为由pk₃加密的密文，然后输出最终结果。

5.根据权利要求1所述的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，其特征在于，安全计算子算法基于安全判断小于零算法SLTZ：[x_s]，[x_abs]←SLTZ([x]，pk)

给定一个密文[x]，判断x是否小于0，最终输出判断结果的密文[x_s]以及x绝对值对应的密文[x_abs](如果x＜0，[x_s]＝[1]，[x_abs]＝[x]；否则[x_s]＝[0]，[x_abs]＝[-x])如下：

CSS端：首先选择两个随机数r₁和r₂，且满足

调用DTPKC.Enc()算法加密r₂获得密文[r₂]；随机选择一个比特c，如果c＝0计算密文

如果c＝1计算密文

调用DTPKC.CoDec1()算法部分解密密文[y]获得部分解密结果B’；将消息(B’，[y])发送给CSP；

CSP端：收到消息(B’，[y])后，调用DTPKC.CoDec2()算法解密B’和[y]，获得明文y；如果y＞N/2，则令s＝1，否则s＝0，调用算法DTPKC.Enc()加密s得到[s]，将[s]发送给CSS；

CSS端：收到消息[s]后，如果c＝0计算密文[x_s]＝[s]，如果c＝1计算密文[x_s]＝[1]·[s]^N-1 mod N²；计算[s′]＝[1]·[x_s]^N-2并调用SIM算法计算[x_abs]←SIM([s′]，[x]，pk，pk，pk)；最终输出[x_s]和[x_abs]。

6.根据权利要求1所述的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，其特征在于，安全计算子算法基于安全数据分割算法SDP：[x_L]←SDP([x]，pk，E)，给定一个密文[x]，公钥pk和分割精度E，输出密文[x_L](满足x＝x_L·2^E+x_R，其中x_R是x的最低E比特数值)如下：

步骤1：CSS初始化设置参数e，令e＝2^-1 mod N；

步骤2：CSS和CSP协同调用SLTZ算法[x_s]，[x_abs]←SLTZ([x]，pk)获得[x]对应明文的符号位密文[x_s]和绝对值密文[x_abs]，并令参数C＝[x_s]；

步骤3：对于i从0到E-1，CSS和CSP依次协同做如下循环操作，即首先调用SLSB()算法获得密文C对应明文的最低比特的密文[x_i]，然后更新密文C为C＝C·x_i ^N-1 mod N²，C＝C^emodN²：

步骤4：CSS计算[s′]＝[1]·[x_s]^N-2；

步骤5：CSS和CSP协同调用SIM()算法计算密文[s′]和密文C对应明文的乘积密文[x_L]，最终输出[x_L]。

7.根据权利要求1所述的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，其特征在于，安全计算子算法基于安全浮点数加/减法算法SFPA/S：[z]←SFPA/S([x]，[y]，pk₁，pk₂，pk₃)

给定两个分别由pk₁，pk₂加密的浮点数密文[x]，[y]，输出由pk₃加密的密文[z](满足z＝x+y)对于安全浮点数加法算法SFPA，满足z＝x+y，计算方法包括

Case1：CSS判断pk₁＝pk₂＝pk₃是否成立，如果成立则计算[z]＝[x]·[y]，否则考虑下一种情况；

Case2：CSS判断pk₁＝pk₂，pk₁≠pk₃是否成立，如果成立则先计算[z]＝[x]·[y]，再调用DTPKC.SDT()算法将由pk₁加密得到的[z]转化为由pk₃加密的[z]，否则考虑下一种情况；

Case3：CSS判断pk₁＝pk₃，pk₂≠pk₃是否成立，如果成立则先将[y]转化成pk₃加密的密文[y]，再计算[z]＝[x]·[y]，否则考虑下一种情况；

Case4：CSS判断pk₁≠pk₂≠pk₃是否成立，如果成立，则将[x]，[y]转化为pk₃加密下的密文域，再计算[z]＝[x]·[y]；

密文[z]对于安全浮点数加法算法SFPS，满足z＝x-y，CSS首先计算[y]＝[y]^N-1modN²，再执行SFPA算法。

8.根据权利要求1所述的一种用于医疗物联网的安全高效的SVM隐私保护训练及分类方法，其特征在于，安全计算子算法基于安全浮点向量加/减法算法SFPVA/S：[z]←SFPVA/S([X]，[Y]，pk₁，pk₂，pk₃)

给定两个分别由pk₁，pk₂加密的浮点数密文[X]＝{x₁，x₂，...，x_d}，[Y]＝{y₁，y₂，...，y_d}，输出由pk₃加密的向量密文[Z]＝{z₁，z₂，...，z_d}(满足z_i＝x_i±y_i)如下：

对于安全浮点数加法算法SFPVA，满足z_i＝x_i+y_i，计算方法如下：

对任意i∈{1，2，...，d}，按照SFPA算法依次计算

[z_i]即[z_i]←SFPA([x_i]，[y_i]，pk₁，pk₂，pk₃)，满足z_i＝x_i+y_i，最后输出密文向量[Z]＝{[z₁]，[z₂]，...，[z_d]}；

对于安全浮点数减法算法SFPVS，满足z_i＝x_i-y_i，计算方法如下：

对任意i∈{1，2，...，d}，按照SFPS算法以此计算[z_i]，满足z_i＝x_i-y_i，最后输出密文向量[Z]＝{z₁，z₂，...，z_d}。