CN116743349A - 一种Paillier密文求和方法、系统、装置和存储介质 - Google Patents

Abstract

本发明涉及数据安全和密码学技术领域，尤其是一种Paillier密文求和方法、系统、装置和存储介质。本发明提出的Paillier密文求和方法，在数据编码阶段，本发明采用IEEE 754浮点数编码标准对数据进行编码。然后，使用Paillier同态加密算法对编码的尾数部分进行加密，得到数据的尾数密文。最终，得到包含N个数据的密文形式的集合。然后，基于数据的密文形式即三元数组进行密文快速求和。在快速求和阶段，本发明将密文按照指数项大小进行分组重排，并在每个类别内进行类内密文求和运算。最后，根据Paillier密文乘法性质，对每个类别求和结果进行指数项对齐并进行类间密文加法运算，得到整个数据集合T上的求和结果。本发明大大减少了计算开销，提高了效率。

Description

一种Paillier密文求和方法、系统、装置和存储介质

技术领域

本发明涉及数据安全和密码学技术领域，尤其是一种Paillier密文求和方法、系统、装置和存储介质。

背景技术

为解决数据孤岛问题，隐私计算作为一种可实现数据“可用不可见”隐私保护的技术，近年来在国内迅速发展，并成为有效的解决方案。

在隐私计算技术中，Paillier加密作为一种基础的同态加密算法，支持在密文空间中执行任意次数的加法运算。在许多开源隐私计算系统（如FATE、隐语等）中，Paillier加密被广泛使用，用于实现隐私保护的联邦学习、隐匿查询、隐私集合求交等协议。

在基于Paillier同态加密实现的算法或协议中，Paillier密文集合上的求和运算被广泛使用。然而，由于Paillier密文空间中单次加法计算开销较大，当密文集合中元素数量较大时，整体求和计算的开销就会变得巨大，成为整个隐私计算系统运行效率的瓶颈，从而影响其有效落地和广泛应用。因此，需要优化密文集合上的求和计算，以提高隐私计算系统的性能。

发明内容

为了克服上述现有技术中Paillier同态加密算法中的求和运算开销大，运行效率低的缺陷，本发明提出了一种Paillier密文求和方法，可实现密文快速求和，降低计算的时间开销。

本发明提出的一种Paillier密文求和方法，包括以下步骤：

S1、获取包含I个数据的数据集合T，对各数据进行编码，令T中第i个数据m(i)的编码为s(i)× b^e(i)，s(i)为数据m(i)的编码的尾数，e(i)为数据m(i)的编码的指数，b为指定的底数；

S2、将加密后的数据m(i)表示为三元数组<m(i)>，<m(i)>={<s(i)>,b,e(i)}；<s(i)>表示使用Paillier同态加密算法对尾数s(i)进行加密所获得的尾数密文；根据指数e(i)对I个三元数组进行分类，指数相同的三元数组属于同一类，获得类别C(1)、C(2)、…、C(m)、…、C(M)；类别C(m)中的三元数组的指数均为e(Cm)，e(Cm)∈{e(i)|1≤i≤I}；1≤m≤M，M为类别总数；

S3、将各类别内的三元数组的尾数密文<s(i)>连续模乘后得到类别的密文，令类别C(m)的尾数密文为<s(Cm)>，类别C(m)对应的三元数组为{<s(Cm)>,b,e(Cm)}；

S4、设置基准指数e0，计算各类别的指数与基准指数的差值作为指数差值，结合类别的指数差值更新类别的三元数组，将类别C(m)更新后的三元数组记作{<s'(Cm)>,b,e0}；<s'(Cm)>为类别C(m)更新后的尾数密文；

<s'(Cm)>=<s(Cm)>×b^Δe(Cm)

其中，Δe(Cm)为类别C(m)的指数差值；

S5、将各类别的尾数密文<s'(Cm)>连续模乘后得到数据集合求和结果的尾数密文<s(T)>，获取数据集合T的密文求和结果<m(T)>={<s(T)>,b,e0}。

优选的，S4中，基准指数为各类别的指数e(Cm)中的最小值。

优选的，S3中<s(Cm)>的计算公式为：

<s(Cm)>=Π^|Cm| _j=1<s(C(m,j))>mod(n²)；

其中，Π表示连乘，mod表示取模，n为Paillier同态加密算法中设置的公钥；类别C(m)中包含有|Cm|个三元数组，<s(C(m,j))>表示类别C(m)中第j个三元数组的尾数密文。

优选的，S5中<s(T)>的计算公式为：

<s(T)>=Π^M _m=1<s'(Cm)>mod(n²)；

其中，M为类别总数，<s'(Cm)>为类别C(m)结合指数差值更新后的尾数密文。

优选的，S1中采用IEEE 754标准对数据m(i)进行编码。

本发明提出的一种Paillier密文求和系统、装置和存储介质，为上述Paillier密文求和方法提供了载体，方便所述Paillier密文求和方法的推广。

本发明还提出了一种采用Paillier密文求和系统，包括：初级加密模块、组内求和模块和组间求和模块；

初级加密模块用于获取数据集合T，结合设定的编码方法对数据集合T中的各个数据进行编码，获取数据m(i)的编码为s(i)× b^e(i)，s(i)为数据m(i)的编码的尾数；

组内求和模块根据数据的编码的指数对编码进行分类，指数相同的编码属于同一类；将类别内各编码的尾数密文连续模乘后得到类别的尾数密文<s(Cm)>；

组间求和模块计算各类别的指数与设置的基准指数e0的指数差值，结合指数差值更新类别的尾数密文，类别C(m)更新后的尾数密文为<s'(Cm)>，类别更新后的三元数组为{<s'(Cm)>,b,e0}；组间求和模块还用于对各类别的<s'(Cm)>连续模乘后得到数据集合求和结果的尾数密文<s(T)>，获取数据集合T的密文求和结果<m(T)>={<s(T)>,b,e0}。

优选的，数据集合T为多个数据构成的集合，所述数据为物联网数据或者互联网中待传输的数据。

一种Paillier密文求和装置，其特征在于，包括存储器和处理器，存储器中存储有计算机程序，处理器与存储器连接，处理器用于执行所述计算机程序，以实现所述的Paillier密文求和方法。

一种存储介质，其特征在于，存储有计算机程序，所述计算机程序被执行时用于实现所述的Paillier密文求和方法。

本发明的优点在于：

（1）本发明提出的Paillier密文求和方法，在数据编码阶段，本发明采用IEEE 754浮点数编码标准对数据进行编码。然后，使用Paillier同态加密算法对编码的尾数部分进行加密，得到数据的尾数密文。最终，得到包含N个数据的密文形式的集合。然后，基于数据的密文形式即三元数组进行密文快速求和。在快速求和阶段，本发明将密文按照指数项大小进行分组重排，并在每个类别内进行类内密文求和运算。最后，根据Paillier密文乘法性质，对每个类别求和结果进行指数项对齐并进行类间密文加法运算，得到整个数据集合T上的求和结果。

（2）本发明将密文集合中的三元数组{<s(i)>,b,e(i)}按照指数项对齐分类，先在同一类别内对具有相同指数项的密文进行初步求和，再将不同分组间的初步求和结果进行汇总，最终得到整个数据集合的密文求和结果。这种方法能够最大程度地减少单次密文加法运算所需的指数对齐计算，进而来减小Paillier密文集合求和的计算开销，从而提高Paillier密文求和的性能和效率。

（3）本发明可以大大减少Paillier密文求和的计算开销，提高隐私计算系统的性能和效率。同时，由于本方法基于Paillier同态加密算法，能够保证计算结果的正确性和隐私安全性。

本发明还提出了承载该Paillier密文求和方法的系统、装置和存储介质，以便该Paillier密文求和方法的推广应用。

附图说明

图1为一种Paillier密文求和方法流程图；

图2为1K规模的数据集合上本发明方法和传统方法密文求和时间对比；

图3为10K规模的数据集合上本发明方法和传统方法密文求和时间对比；

图4为100K规模的数据集合上本发明方法和传统方法密文求和时间对比；

图5为1M规模的数据集合上本发明方法和传统方法密文求和时间对比。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本实施例提出的一种Paillier密文求和方法，采用以下步骤。

S1、获取包含I个数据的数据集合T，I个数据分别记作m(1)、m(2)、…、m(i)、…、m(I)；1≤i≤I，i为序数；对数据进行编码，数据m(i)的编码为s(i)× b^e(i)，s(i)为数据m(i)的编码的尾数（mantissa），e(i)为数据m(i)的编码的指数，b为指定的底数；

具体实施时，可采用IEEE 754标准对数据进行编码。IEEE 754标准为通用编码方式，可被任何计算机采用和识别；采用IEEE 754标准对数据进行编码时，本实施方式提供的Paillier密文求和方法适用于任何加载有IEEE754标准的计算机，相当于适用所有的计算机。

具体实施时，针对采用其他编码规则的局部网络，只需要该编码规则可实现s(i)× b^e(i)形式的编码，则该Paillier密文求和方法也适用于该局部网络。

S2、将加密后的数据m(i)表示为三元数组<m(i)>，<m(i)>={<s(i)>,b,e(i)}；<s(i)>表示使用Paillier同态加密算法对尾数s(i)进行加密所获得的尾数密文；根据指数e(i)对I个三元数组进行分类，获得类别C(1)、C(2)、…、C(m)、…、C(M)；类别C(m)中的三元数组的指数均为e(Cm)，e(Cm)∈{e(i)|1≤i≤I}；1≤m≤M，m为序数，M为类别总数，即{e(i)|1≤i≤I}中去重后剩余的指数数量。

本步骤中，相当于对各数据m(i)的尾数s(i)采用Paillier同态加密算法进行加密，以获取数据m(i)对应的三元数组<m(i)>。

S3、将各类别内的三元数组的尾数密文连续模乘后得到类别的尾数密文，令类别C(m)的尾数密文为<s(Cm)>；

<s(Cm)>=Π^|Cm| _j=1<s(C(m,j))>mod(n²)

=<s(C(m,1))>×<s(C(m,2))>×…×<s(C(m,|Cm|))>mod(n²)

其中，类别C(m)中包含有|Cm|个三元数组，<s(C(m,j))>表示类别C(m)中第j个三元数组的尾数密文；<s(C(m,1)>表示类别C(m)中第1个三元数组的尾数密文，s(C(m,2)表示类别C(m)中第2个三元数组的尾数密文，s(C(m,|Cm|)表示类别C(m)中第|Cm|个三元数组的尾数密文；n为Paillier同态加密算法中设置的公钥。

S4、从M个类别中选择一个作为基准类别，将基准类别的指数作为基准指数e0；计算各类别的指数与基准指数的差值作为指数差值，结合类别的指数差值更新类别的尾数密文；令类别C(m)的指数差值为Δe(Cm)，类别C(m)更新后的尾数密文为<s'(Cm)>；

<s'(Cm)>=<s(Cm)>×b^Δe(Cm)

Δe(Cm)=e(Cm)-e0

令e(C1)<e(C2)<…<e(Cm)<…<e(CM)，则可选择e(C1)作为基准指数。

S5、获取数据集合的密文求和结果<m(T)>={<s(T)>,b,e0}；

<s(T)>为数据集合求和结果的尾数密文，其由各类别的尾数密文连续模乘后得到；即：

<s(T)>=Π^M _m=1<s'(Cm)>mod(n²)

=s'(C1)×s'(C2)×……×s'(CM)mod(n²)

M为类别总数，<s'(Cm)>为类别C(m)结合指数差值更新后的尾数密文，s'(C1)为类别C(1)结合指数差值更新后的尾数密文，s'(C2)为类别C(2)结合指数差值更新后的尾数密文，s'(CM)为类别C(M)结合指数差值更新后的尾数密文。

具体的，本实施方式还提供了一种Paillier密文求和系统，以便承载和推广上述的Paillier密文求和方法。该Paillier密文求和系统包括：初级加密模块、组内求和模块和组间求和模块。

初级加密模块用于获取数据集合T，结合设定的编码方法对数据集合T中的各个数据进行编码，获取数据m(i)的编码为s(i)× b^e(i)，s(i)为数据m(i)的编码的尾数。

组内求和模块根据数据的编码的指数对编码进行分类，指数相同的编码属于同一类；将类别内各编码的尾数密文连续模乘后得到类别的密文<s(Cm)>。

组间求和模块计算各类别的指数与设置的基准指数e0的指数差值，结合指数差值更新类别的尾数密文，类别C(m)更新后的尾数密文为<s'(Cm)>，类别更新后的三元数组为{<s'(Cm)>,b,e0}；组间求和模块还用于对各类别的<s'(Cm)>连续模乘后得到数据集合求和结果的尾数密文，获取数据集合T的密文求和结果<m(T)>={<s(T)>,b,e0}，获取数据集合T的密文求和结果<m(T)>={<s(T)>,b,e0}。

以下结合具体实施例，对上述的Paillier密文求和方法进行阐述。

本实施例中，在实数域上随机生成浮点数作为数据，以便进行密文求和实验。

本实施例中，随机生成了6个浮点数m(1)-m(6)，即I=6；

数据集合T={m(1),m(2),m(3),m(4),m(5),m(6)}

本实施例中，指定底数b=16，各数据的编码的尾数和指数如表1所示。

表1：数据集合T中6个数据的编码

本实施例中，数据m(i)对应的三元数组记作{<s(i)>,b,e(i)}，<s(i)>为s(i)采用Paillier同态加密算法加密后的密文；数据m(i)的密文表示为三元数组<m(i)>={<s(i)>,b,e(i)}。

根据e(i)将6个三元数组<m(1)>、<m(2)>、……、<m(6)>分为3类，分别为C(1)、C(2)和C(3)；C(3)={<m(1)>,<m(2)>,<m(3)>}，C(2)={<m(4)>,<m(5)>}，C(1)={<m(6)>}。

本实施例中，以最小的指数-16作为基准指数，即e0=e(C1)=16；

如此，各类别的指数差值计算如下：

Δe(C1)=e(C1)-e(C1)=0

Δe(C2)=e(C2)-e(C1)=(-15)-(-16)=1

Δe(C3)=e(C3)-e(C1)=(-14)-(-16)=2

Δe(C1)、Δe(C2)和Δe(C3)分别为类别C(1)、C(2)和C(3)的指数差值。

计算各类别的尾数密文如下。

<s(C1)>=<s(6)>mod(n²)

<s(C2)>=<s(4)>×<s(5)>mod(n²)

<s(C3)>=<s(1)>×<s(2))>×<s(3)>mod(n²)

<s(C1)>、<s(C2)>和<s(C3)>分别为类别C(1)、C(2)和C(3)的尾数密文。

结合以下公式，对<s(C1)>、<s(C2)>和<s(C3)>进行更新，以获取更新后的尾数密文<s'(C1)>、<s'(C2)>和<s'(C3)>；

<s'(Cm)>=<s(Cm)>×b^Δe(Cm)；m=1、2或者3；

再计算<s(T)>==s'(C1)×s'(C2)×s'(C3)mod(n²)

最后获得数据集合T的密文求和结果为<m(T)>：

<m(T)>={<s(T)>,b,e0}={<s(T)>,16,-16}。

本实施例中，采用在MacOS Ventura 13.3.1操作系统，1.4GHz四核Intel Core i5CPU，8G内存的测试环境中。将传统的Paillier密文求和算法和本发明中提出的Paillier密文求和方法进行对比，两者最终获得的密文求和结果<m(T)>完全相同。

两者计算效率对比如下：

验证过程中，取1000次求和时间的平均值进行比较，最后传统方法的求和时间为9.309×10^-5s，本发明提出的方法的求和时间为5.571×10^-5s。可见，采用本发明提出的Paillier密文求和方法，效率提升1.67倍，验证了本发明提出方法的有效性。

本实施例中，扩大数据集合T中的浮点数的个数，进一步验证本发明提出方法的有效性。

本实施例中，分别将数据集合T中的数据量（即浮点数的个数）扩充到1K、10K、100K、1M，K=10³，M=10⁶；分别在每一个数据量上执行传统的Paillier密文求和算法和本发明中提出的Paillier密文求和方法，四组试验中，每个数据集合T上传统的Paillier密文求和算法和本发明中提出的Paillier密文求和方法计算获得的密文求和结果<m(T)>均相同；每个数据集合T上两种求和方法所耗时间对比如表2所示。

表2：不同数据规模上的两种求和方法耗时对比

参照表2、图2-图5，可见，本发明中提出的Paillier密文求和方法在四种不同规模的数据集合T上的运算时间均明显快于传统的Paillier密文求和算法，运行时间分别提升了8.1倍、8.5倍、9.2倍和9.4倍，可见，数据集合T中的数据数量越多，本发明中提出的Paillier密文求和方法耗时优越性越突出，充分验证了本发明中提出的Paillier密文求和方法的有效性。

实际应用中，很多数值类隐私数据需要进行加密存储传输，比如金融系统中储户的个人资产；政务领域中企业的纳税金额；医疗领域中患者的医保报销金额等，这些数据的结构与上述实施例中的浮点数类似，且数据数量多。通过以上实施例的验证，可知，本发明中提出的Paillier密文求和方法适用于数值类隐私数据的密文求和。

当然，对于本领域技术人员而言，本发明不限于上述示范性实施例的细节，而还包括在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现的相同或类似结构。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

本发明未详细描述的技术、形状、构造部分均为公知技术。

Claims (10)

1.一种Paillier密文求和方法，其特征在于，包括以下步骤：

S1、获取包含I个数据的数据集合T，对各数据进行编码，令T中第i个数据m(i)的编码为s(i)× b^e(i)，s(i)为数据m(i)的编码的尾数，e(i)为数据m(i)的编码的指数，b为指定的底数；

S2、将加密后的数据m(i)表示为三元数组<m(i)>，<m(i)>={<s(i)>,b,e(i)}；<s(i)>表示使用Paillier同态加密算法对尾数s(i)进行加密所获得的尾数密文；根据指数e(i)对I个三元数组进行分类，指数相同的三元数组属于同一类，获得类别C(1)、C(2)、…、C(m)、…、C(M)；类别C(m)中的三元数组的指数均为e(Cm)，e(Cm)∈{e(i)|1≤i≤I}；1≤m≤M，M为类别总数；

S3、将各类别内的三元数组的尾数密文<s(i)>连续模乘后得到类别的密文，令类别C(m)的尾数密文为<s(Cm)>，类别C(m)对应的三元数组为{<s(Cm)>,b,e(Cm)}；

S4、设置基准指数e0，计算各类别的指数与基准指数的差值作为指数差值，结合类别的指数差值更新类别的三元数组，将类别C(m)更新后的三元数组记作{<s'(Cm)>,b,e0}；<s'(Cm)>为类别C(m)更新后的尾数密文；

<s'(Cm)>=<s(Cm)>×b^Δe(Cm)

其中，Δe(Cm)为类别C(m)的指数差值；

S5、将各类别的尾数密文<s'(Cm)>连续模乘后得到数据集合求和结果的尾数密文<s(T)>，获取数据集合T的密文求和结果<m(T)>={<s(T)>,b,e0}。

2.如权利要求1所述的Paillier密文求和方法，其特征在于，S4中，基准指数为各类别的指数e(Cm)中的最小值。

3.如权利要求1所述的Paillier密文求和方法，其特征在于，S3中<s(Cm)>的计算公式为：

<s(Cm)>=Π^|Cm| _j=1<s(C(m,j))>mod(n²)；

其中，Π表示连乘，mod表示取模，n为Paillier同态加密算法中设置的公钥；类别C(m)中包含有|Cm|个三元数组，<s(C(m,j))>表示类别C(m)中第j个三元数组的尾数密文。

4.如权利要求3所述的Paillier密文求和方法，其特征在于，S5中<s(T)>的计算公式为：

<s(T)>=Π^M _m=1<s'(Cm)>mod(n²)；

其中，M为类别总数，<s'(Cm)>为类别C(m)结合指数差值更新后的尾数密文。

5.如权利要求1所述的Paillier密文求和方法，其特征在于，S1中采用IEEE 754标准对数据m(i)进行编码。

6.一种采用如权利要求1-5任一项所述的Paillier密文求和方法的Paillier密文求和系统，其特征在于，包括：初级加密模块、组内求和模块和组间求和模块；

初级加密模块用于获取数据集合T，结合设定的编码方法对数据集合T中的各个数据进行编码，获取数据m(i)的编码为s(i)× b^e(i)，s(i)为数据m(i)的编码的尾数；

组内求和模块根据数据的编码的指数对编码进行分类，指数相同的编码属于同一类；将类别内各编码的尾数密文连续模乘后得到类别的尾数密文<s(Cm)>；

组间求和模块计算各类别的指数与设置的基准指数e0的指数差值，结合指数差值更新类别的尾数密文，类别C(m)更新后的尾数密文为<s'(Cm)>，类别更新后的三元数组为{<s'(Cm)>,b,e0}；组间求和模块还用于对各类别的<s'(Cm)>连续模乘后得到数据集合求和结果的尾数密文<s(T)>，获取数据集合T的密文求和结果<m(T)>={<s(T)>,b,e0}。

7.如权利要求6所述的Paillier密文求和系统，其特征在于，数据集合T为多个数据构成的集合，所述数据为物联网数据或者互联网中待传输的数据。

8.如权利要求6所述的Paillier密文求和系统，其特征在于，数据集合T用于存储待加密的数值，所述待加密的数值为：金融系统中储户的个人资产；政务领域中企业的纳税金额；或者是医疗领域中患者的医保报销金额。

9.一种Paillier密文求和装置，其特征在于，包括存储器和处理器，存储器中存储有计算机程序，处理器与存储器连接，处理器用于执行所述计算机程序，以实现如权利要求1-5任一项所述的Paillier密文求和方法。

10.一种存储介质，其特征在于，存储有计算机程序，所述计算机程序被执行时用于实现如权利要求1-5任一项所述的Paillier密文求和方法。