CN112906030B - 基于多方全同态加密的数据共享方法和系统 - Google Patents

Abstract

本发明公开了一种基于多方全同态加密的数据共享方法和系统，方法包括：各方用户终端通过私钥生成算法生成自己的私钥；各方用户终端通过协议生成面向指定数据共享任务的集体公钥；生成再线性化公钥；各方用户终端使用集体公钥加密自己的数据，将密文传输给服务器；服务器对上传密文数据进行同态计算，将计算结果返回给各个用户终端；服务器每次执行同态乘法计算后用再线性化公钥对密文执行再线性化操作；各个用户终端执行联合解密协议解密计算结果或者指定接收者解密。该方法和系统既保证各方数据隐私安全，又实现数据分享，能做到和单钥全同态加密一样的效率，且支持上千规模的参与方。此外，解密灵活，能够提供针对指定接收者解密的方法。

Description

基于多方全同态加密的数据共享方法和系统

技术领域

本发明涉及数据加密技术领域，特别是一种基于多方全同态加密的数据共享方法和系统。

背景技术

在大数据和云环境背景下,用户担心自身的敏感数据被泄漏,金融服务商担心服务模型的相关信息被窃取,同时还存在攻击者通过一些手段获取数据来进行牟利。因此市场上急需能够保护计算安全的方法与工具。

全同态加密是指在不解密的情况下，对密文进行任意计算。因此使用全同态加密能够实现数据外包计算的隐私安全。

但是，传统的全同态加密无法满足多方参与的需求，例如几家银行想要刻画某个用户的金融信用。虽然每个银行都可以根据自己掌握的用户数据，独立的训练机器学习模型。但是他们还可以通过共享各自的数据，训练出更好的模型。然而在数据安全方面，各银行之间共享情报数据显然是不可能的。

随后，相关技术中提出了多钥全同态加密概念。尽管多钥全同态加密从概念上讲具有吸引力，但其缺乏紧凑性，其密文的大小和算术运算的时间与参与方的密钥分别呈线性和平方增长。而且其多钥的特性在时间和空间上都有很高的成本开销，从而限制了其在实际应用中的适用性。

因鉴于此，特提出本发明。

发明内容

本发明的目的在于提供一种基于多方全同态加密的数据共享方法和系统，既保证了各方数据的隐私安全，又实现了数据分享，与多钥全同态加密相比，生成的密钥与密文更小，能做到和单钥全同态加密一样的效率，并且能支持上千规模的参与方。此外，解密灵活，能够提供针对指定接收者解密的方法。

为解决上述问题，本发明实施例提供一种基于多方全同态加密的数据共享方法，由多方用户终端参与，所述方法包括：

各方用户终端通过私钥生成算法生成自己的私钥并保存；

各方用户终端通过集体公钥生成协议生成数据共享任务的集体公钥；所述数据共享任务由至少一方用户终端在服务器中建立；

各方用户终端通过再线性化公钥生成协议生成再线性化公钥；

各方用户终端使用所述集体公钥加密自己的数据，并将密文传输给所述服务器；

所述服务器对各用户终端上传的密文数据进行同态计算，并将计算结果返回给各个用户终端；所述同态计算包括同态加法和同态乘法，所述服务器每次执行同态乘法计算后都需要用所述再线性化公钥对密文执行再线性化操作；

各个用户终端执行联合解密协议解密所述计算结果从而获得解密的结果，或各参与方收到所述计算结果与接收者公钥后执行密钥交换协议得到一个新的密文，所述新的密文由指定的接收者解密。

另一方面，本发明实施例还提供了一种基于多方全同态加密的数据共享系统，包括多方参与数据共享的用户终端和服务器，其中各方用户终端和服务器执行上述基于多方全同态加密的数据共享方法中的步骤。

与现有技术相比，本发明实现了多方全同态加密，其性能与单方全同态加密一样，没有任何损失。各个用户使用多方同态加密生成各自的私钥，然后通过集体公钥协议生成各方共享的公钥。当各方需要数据分享时，使用公钥加密数据传输到共享平台(服务器)。共享平台对各方的密文数据进行同态计算，最后将计算结果返回给各方。各方执行联合解密协议获得最终的解密结果。本系统既保证了各方数据的隐私安全，又实现了数据分享。

附图说明

图1为本发明实施例提供的基于多方全同态加密的数据共享系统的示意图。

具体实施方式

下面将参考附图中示出的若干示例性实施方式来描述本发明的原理和精神。应当理解，描述这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明，而并非以任何方式限制本发明的范围。

请参考图1，本发明实施例提供一种基于多方全同态加密的数据共享方法，可以实现于图1中的数据共享系统中。数据共享系统包括多个参与数据共享的用户终端(即参与方)，例如几家银行想要刻画某个用户的金融信用。虽然每个银行都可以根据自己掌握的用户数据，独立的训练机器学习模型。但是他们还可以通过共享各自的数据，训练出更好的模型。此时多方用户终端可以是各个银行的用户终端。这些用户终端均和服务器通信，服务器搭建起数据共享平台，各个用户终端都可以在数据共享平台上发起数据共享任务。

根据本发明的实施例，基于多方全同态加密的数据共享方法包括如下步骤：

基于多方全同态加密的数据共享方法，其特征在于，由多方用户终端参与，所述方法包括：

S1：各方用户终端通过私钥生成算法生成自己的私钥并保存。

令P＝{P₁,P₂,…,P_N}是分别拥有消息(x₁,x₂,…,x_N)的N个参与方的集合。令f(x₁,x₂,…,x_N)＝y作为输入方输入的函数。

每一方用户终端P_i从R₃中随机均匀选取一个多项式s_i作为自身的私钥；其中R₃为多项式商环，

多项式的模为(Xⁿ+1)且其系数分均匀布在{-1，0,1}，n是2的幂次。

需要说明的是，在步骤S1开始之前，各方用户终端需要先接入服务器在数据共享平台上注册自己的账户。

S2：各方用户终端通过集体公钥生成协议生成数据共享任务的集体公钥。

数据共享任务由至少一方用户终端提前在服务器中建立，例如用户A在系统中建立一个数据共享任务，并且系统为该任务生成一个数据共享任务ID。为了让其他用户可以参与该数据共享任务，用户A可以将数据共享任务ID通过服务器发送给其他参与方的用户终端。

步骤S2具体包括：

(1)在随机公共字串模型(CRS)下，各用户终端(各参与方)获得一个公共多项式p₁，其中p₁随机均匀选取于

R_q是多项式商环，每一个R_q中的多项式的模为(Xⁿ+1)且其系数均匀分布于

n是2的幂次；模q为密文系数模。

(2)每一方用户终端P_i从错误分布χ中随机均匀选取噪音e_i，向其它方用户终端广播p_0,i＝-(p₁s_i+e_i)；其中χ是R_q上的一个离散高斯分布；

(3)每一方用户终端计算

生成集体公钥pk＝(p₀,p₁)；该集体公钥为每一方用户终端持有且公开；该集体公钥对应的私钥是

其中符号[]_q表示模q。

S3：各方用户终端通过再线性化公钥生成协议生成再线性化公钥；

步骤S3具体包括：

(1)令w＝(w⁰,w¹,…,w^l)^T是各方用户终端的公共参数，其中w是基，例如w＝2就是二进制，

其中符号

表示向上取整；

(2)在随机公共字串模型(CRS)下，各用户终端(各参与方)获得一个公共的

(3)每一方用户终端P_i从χ^l中随机均匀选取e_0,i，以及从R₃中随机均匀选取u_i；向其它方用户终端广播h_i＝-u_ia+s_iw+e_0,i；

(4)每一方用户终端计算

然后从χ^l中随机均匀选取e_1,i,e_2,i，并且

向其它方用户终端广播h′_0,i＝s_ih+e_1,i和h′_1,i＝s_ia+e_2,i；

(5)每一方用户终端计算

和

然后从χ^l中随机均匀选取e_3,i，并且向其它方用户终端广播h″_i＝(u_i-s_i)h′₁+e_3,i；

(6)每一方用户终端计算

然后生成再线性化公钥

rlk＝(r₀,r₁)＝(h′₀+h″,h′₁)并且公开。每一次执行同态乘法后，可以使用该再线性化公钥约减密文长度。

S4：各方用户终端使用所述集体公钥加密自己的数据，并将密文传输给所述服务器；

步骤S4包括：

(1)令消息空间为

其中t是明文模；集体公钥

pk＝(p₀,p₁)，为了加密消息m∈R_t，从R₃中随机均匀选取u^*，以及从χ中随机均匀选取e₀ ^*和e₁ ^*；

(2)计算

输出密文ct；其中符号

表示向下取整。

S5：服务器对各用户终端上传的密文数据进行同态计算，并将计算结果返回给各个用户终端；所同态计算包括同态加法和同态乘法，服务器每次执行同态乘法计算后都需要用所述再线性化公钥对密文执行再线性化操作。

步骤S5具体包括：

(1)同态加法：令ct＝(c₀,c₁)，ct′＝(c′₀,c₁′)，计算且输出ct_add＝(c₀+c′₀,c₁+c′₁)；

(2)同态乘法：令ct＝(c₀,c₁)，ct′＝(c′₀,c′₁)，计算且输出

其中符号[]_q表示模q；

(3)密文再线性化操作：令ct＝(c₀,c₁,c₂),rlk＝(r₀,r₁)；将c₂以基w表出，即

计算且输出

S6：密钥交换

密钥交换的目的是将密文(对应公钥为pk＝(p₀,p₁))转换为一个新的目标密文(对应公钥为pk′＝(p′₀,p′₁))。其操作如下：

(1)令当前密文是ct＝(c₀,c₁)，其对应的公钥为pk＝(p₀,p₁)，私钥为

目标密文的公钥为pk′＝(p′₀,p′₁)。

(2)每一方P_i从R₃中随机均匀选取一个多项式u_i，从错误分布χ中随机均匀选取e_0,i，从错误分布χ中随机均匀选取噪音e_1,i。计算h_0,i＝s_ic₁+u_ip′₀+e_0,i和h_1,i＝u_ip′₁+e_1,i并且向其它参与方广播。

(3)计算

和

输出目标密文ct′＝(c′₀,c′₁)＝(c₀+h₀,h₁)。

若密文由各个参与方联合解密，则执行步骤S7：各个用户终端执行联合解密协议解密所述计算结果从而获得解密的结果。

步骤S7具体包括：

(1)令需要解密的密文是ct＝(c₀,c₁)；

(2)每一方用户终端P_i从错误分布χ中随机均匀选取噪音e_i，计算h_i＝s_ic₁+e_i且广播给其他参与方；

(3)计算

和(c′₀,c₁)＝(c₀+h,c₁)；

(4)输出解密结果

此外，发明人还考虑到，在一些场景中，例如物联网的环境下，终端物理设备主要功能是收集数据，传送数据给服务端。这时候用户终端是不需要解密最后的计算结果的，因为这样既不能保证数据的安全性，也没有必要。因此，当密文并不由各个参与方联合解密，而是由指定的接收方解密时，在步骤S6后，执行步骤S8：

(1)令s是接收者的私钥。接收者收到的密文是ct＝(c₀,c₁)，该密文对应的私钥是s。

(2)接收者计算

由步骤S7和步骤S8可知，本系统提供了两种解密方法，对应两种不同的应用场景。一种是由参与方自己解密，各用户执行“联合解密协议”获得解密的结果。另外一种是指定接收者，由接收者解密。

对于第一种场景解密，各参与方收到计算结果后执行联合解密协议，即可获得解密结果。

对于第二种场景解密，各参与方收到计算结果与接收者公钥后执行密钥交换协议得到一个新的密文。该新的密文能够被指定接收方解密。

当多个用户希望将自己的数据贡献出来进行数据分析，同时用户希望保护自己数据的隐私安全，可以使用上述多方全同态加密算法构建一个保护隐私安全的数据共享系统。

每一个用户将自己的数据加密后发送到共享系统(服务器)中。可以把这个系统看作是一个云平台(云服务器)。共享系统收到各个用户的加密数据后执行相应的计算。计算完毕后将结果返回给各用户。各用户联合解密后获得数据的计算结果。本系统既保护了各个参与方的数据隐私安全，又实现了各用户数据的共享与计算，放大了数据的价值。

全同态加密能够对密文进行任意计算，使用全同态加密，多个机构可以密文形式共享其数据，并在密文数据上进行各种数据分析，无需解密就能够获得更加精准的数据模型。

这种基于全同态加密的数据共享系统使用灵活且方便，因为可以将计算委托给任何一方(甚至是不受信任的第三方)，而且没有泄露任何训练数据给计算方。此外，基于全同态加密的方法没有额外的假设和条件，相比于其他方法(例如：安全多方计算)具有极大的灵活性和便捷性，有广泛的军事场景需求。

本文中应用了具体个例对发明构思进行了详细阐述，以上实施例的说明只是用于帮助理解本发明的核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离该发明构思的前提下，所做的任何显而易见的修改、等同替换或其他改进，均应包含在本发明的保护范围之内。

Claims (3)

1.基于多方全同态加密的数据共享方法，其特征在于，由多方用户终端参与，所述方法包括：

各方用户终端通过私钥生成算法生成自己的私钥并保存；

各方用户终端通过集体公钥生成协议协议生成面向指定数据共享任务的集体公钥；所述数据共享任务由至少一方用户终端提前在服务器中建立；

各方用户终端通过再线性化公钥生成协议协议生成再线性化公钥；

各方用户终端使用所述集体公钥加密自己的数据，并将密文传输给所述服务器；

所述服务器对各用户终端上传的密文数据进行同态计算，并将计算结果返回给各个用户终端；所述同态计算包括同态加法和同态乘法，所述服务器每次执行同态乘法计算后都需要用所述再线性化公钥对密文执行再线性化操作；

各个用户终端执行联合解密协议协议解密所述计算结果从而获得解密的结果；或各参与方收到所述计算结果与接收者公钥后执行密钥交换协议得到一个新的密文，所述新的密文由指定的接收者解密；

所述各方用户终端通过私钥生成算法生成自己的私钥包括：

每一方用户终端P_i从R₃中随机均匀选取一个多项式s_i作为自身的私钥；其中R₃为多项式商环，多项式的模为(Xⁿ+1)且其系数分均匀布在{-1，0,1}，n是2的幂次；

所述各方用户终端通过集体公钥生成协议协议生成数据共享任务的集体公钥包括：

(1)在随机公共字串(CRS)模型下，各用户终端获得一个公共多项式p₁，其中p₁随机均匀选取于R_q是多项式商环，每一个R_q中的多项式的模为(Xⁿ+1)且其系数均匀分布于n是2的幂次；模q为密文系数模；

(2)每一方用户终端P_i从错误分布χ中随机均匀选取噪音e_i，向其它方用户终端广播p_0,i＝-(p₁s_i+e_i)；其中χ是R_q上的一个离散高斯分布；

(3)每一方用户终端计算生成集体公钥pk＝(p₀,p₁)；该集体公钥为每一方用户终端持有且公开；该集体公钥对应的私钥是其中符号[]_q表示模q；

所述各方用户终端通过再线性化公钥生成协议协议生成再线性化公钥包括：

(1)令w＝(w⁰,w¹,…,w^l)^T是各方用户终端的公共参数，其中w是基，其中符号表示向上取整；

(2)在随机公共字串模型下，各用户终端获得一个公共的

(3)每一方用户终端P_i从χ^l中随机均匀选取e_0,i，以及从R₃中随机均匀选取u_i；向其它方用户终端广播h_i＝-u_ia+s_iw+e_0,i；

(4)每一方用户终端计算然后从χ^l中随机均匀选取e_1,i,e_2,i，并且

向其它方用户终端广播h′_0,i＝s_ih+e_1,i和h′_1,i＝s_ia+e_2,i；

(5)每一方用户终端计算和然后从χ^l中随机均匀选取e_3,i，并且向其它方用户终端广播h″_i＝(u_i-s_i)h′₁+e_3,i；

(6)每一方用户终端计算然后生成再线性化公钥rlk＝(r₀,r₁)＝(h′₀+h″,h′₁)并且公开；

所述各个用户终端执行联合解密协议协议解密所述计算结果从而获得解密的结果包括：

(1)令需要解密的密文是ct＝(c₀,c₁)；

(2)每一方用户终端P_i从错误分布χ中随机均匀选取噪音e_i，计算h_i＝s_ic₁+e_i且广播给其他参与方；

(3)计算和(c′₀,c₁)＝(c₀+h,c₁)；

(4)输出解密结果

所述各参与方收到所述计算结果与接收者公钥后执行密钥交换协议得到一个新的密文包括：

(1)令当前密文是ct＝(c₀,c₁)，其对应的公钥为pk＝(p₀,p₁)，私钥为目标密文的公钥为pk′＝(p′₀,p′₁)；

(2)每一方P_i从R₃中随机均匀选取一个多项式u_i，从错误分布χ中随机均匀选取e_0,i，从错误分布χ中随机均匀选取噪音e_1,i；计算h_0,i＝s_ic₁+u_ip′₀+e_0,i和h_1,i＝u_ip′₁+e_1,i并且向其它参与方广播；

(3)计算和输出目标密文ct′＝(c′₀,c′₁)＝(c₀+h₀,h₁)；

所述新的密文由指定的接收者解密包括：

(1)令s是接收者的私钥；接收者收到的密文是ct＝(c₀,c₁)，该密文对应的私钥是s；

(2)接收者计算

所述各方用户终端使用所述集体公钥加密自己的数据包括：

(1)令消息空间为其中t是明文模；为了加密消息m∈R_t，从R₃中随机均匀选取u^*，以及从χ中随机均匀选取e₀ ^*和e₁ ^*；

(2)计算输出密文ct；其中符号表示向下取整。

2.根据权利要求1所述的基于多方全同态加密的数据共享方法，其特征在于，所述同态计算包括：

(1)同态加法：令ct＝(c₀,c₁)，ct′＝(c′₀,c′₁)，计算且输出ct_add＝(c₀+c′₀,c₁+c′₁)；

(2)同态乘法：令ct＝(c₀,c₁)，ct′＝(c′₀,c′₁)，计算且输出

其中符号[]_q表示模q；

(3)密文再线性化操作：令ct＝(c₀,c₁,c₂),rlk＝(r₀,r₁)；将c₂以基w表出，即计算且输出。

3.基于多方全同态加密的数据共享系统，其特征在于，包括多方参与数据共享的用户终端和服务器；其中：

各方用户终端通过私钥生成算法生成自己的私钥并保存；

各方用户终端通过集体公钥生成协议生成数据共享任务的集体公钥；所述数据共享任务由至少一方用户终端在服务器中建立；

各方用户终端通过再线性化公钥生成协议协议生成再线性化公钥；

各方用户终端使用所述集体公钥加密自己的数据，并将密文传输给所述服务器；

所述服务器对各用户终端上传的密文数据进行同态计算，并将计算结果返回给各个用户终端；所述同态计算包括同态加法和同态乘法，所述服务器每次执行同态乘法计算后都需要用所述再线性化公钥对密文执行再线性化操作；

各个用户终端执行联合解密协议协议解密所述计算结果从而获得解密的结果；或各参与方收到所述计算结果与接收者公钥后执行密钥交换协议得到一个新的密文，所述新的密文由指定的接收者解密；

所述各方用户终端通过私钥生成算法生成自己的私钥包括：

每一方用户终端P_i从R₃中随机均匀选取一个多项式s_i作为自身的私钥；其中R₃为多项式商环，多项式的模为(Xⁿ+1)且其系数分均匀布在{-1，0,1}，n是2的幂次；

所述各方用户终端通过集体公钥生成协议协议生成数据共享任务的集体公钥包括：

(1)在随机公共字串(CRS)模型下，各用户终端获得一个公共多项式p₁，其中p₁随机均匀选取于R_q是多项式商环，每一个R_q中的多项式的模为(Xⁿ+1)且其系数均匀分布于n是2的幂次；模q为密文系数模；

(2)每一方用户终端P_i从错误分布χ中随机均匀选取噪音e_i，向其它方用户终端广播p_0,i＝-(p₁s_i+e_i)；其中χ是R_q上的一个离散高斯分布；

(3)每一方用户终端计算生成集体公钥pk＝(p₀,p₁)；该集体公钥为每一方用户终端持有且公开；该集体公钥对应的私钥是其中符号[]_q表示模q；

所述各方用户终端通过再线性化公钥生成协议协议生成再线性化公钥包括：

(1)令w＝(w⁰,w¹,…,w^l)^T是各方用户终端的公共参数，其中w是基，其中符号表示向上取整；

(2)在随机公共字串模型下，各用户终端获得一个公共的

(3)每一方用户终端P_i从χ^l中随机均匀选取e_0,i，以及从R₃中随机均匀选取u_i；向其它方用户终端广播h_i＝-u_ia+s_iw+e_0,i；

(4)每一方用户终端计算然后从χ^l中随机均匀选取e_1,i,e_2,i，并且向其它方用户终端广播h′_0,i＝s_ih+e_1,i和h′_1,i＝s_ia+e_2,i；

(5)每一方用户终端计算和然后从χ^l中随机均匀选取e_3,i，并且向其它方用户终端广播h″_i＝(u_i-s_i)h′₁+e_3,i；

(6)每一方用户终端计算然后生成再线性化公钥rlk＝(r₀,r₁)＝(h′₀+h″,h′₁)并且公开；

所述各个用户终端执行联合解密协议协议解密所述计算结果从而获得解密的结果包括：

(1)令需要解密的密文是ct＝(c₀,c₁)；

(2)每一方用户终端P_i从错误分布χ中随机均匀选取噪音e_i，计算h_i＝s_ic₁+e_i且广播给其他参与方；

(3)计算和(c′₀,c₁)＝(c₀+h,c₁)；

(4)输出解密结果

所述各参与方收到所述计算结果与接收者公钥后执行密钥交换协议得到一个新的密文包括：

(1)令当前密文是ct＝(c₀,c₁)，其对应的公钥为pk＝(p₀,p₁)，私钥为目标密文的公钥为pk′＝(p′₀,p′₁)；

(2)每一方P_i从R₃中随机均匀选取一个多项式u_i，从错误分布χ中随机均匀选取e_0,i，从错误分布χ中随机均匀选取噪音e_1,i；计算h_0,i＝s_ic₁+u_ip′₀+e_0,i和h_1,i＝u_ip′₁+e_1,i并且向其它参与方广播；

(3)计算和输出目标密文ct′＝(c′₀,c₁′)＝(c₀+h₀,h₁)；

所述新的密文由指定的接收者解密包括：

(1)令s是接收者的私钥；接收者收到的密文是ct＝(c₀,c₁)，该密文对应的私钥是s；

(2)接收者计算

所述各方用户终端使用所述集体公钥加密自己的数据包括：

(1)令消息空间为其中t是明文模；为了加密消息m∈R_t，从R₃中随机均匀选取u^*，以及从χ中随机均匀选取e₀ ^*和e₁ ^*；

(2)计算输出密文ct；其中符号表示向下取整。

Images