CN116800906B - 一种基于模分量同态的密文卷积神经网络图像分类方法 - Google Patents

Abstract

本发明公开了一种基于模分量同态的密文卷积神经网络图像分类方法，包括：服务端在云端进行参数训练并初始化模型参数；客户端生成自己的公钥、秘密密钥和评估密钥；客户端使用公钥对明文图像进行加密得到密文数据，并将其传输到云端；云端进行卷积、池化、全连接等卷积神经网络的密文推理操作；云端将密文推理结果发送回客户端；客户端使用秘密密钥对密文结果进行解密；客户端得到解密后的密文图像推理结果。该方法采用了GPU并行计算的策略，加速密文推理过程并实现实时的密文图像分类，通过利用GPU强大的计算能力，有效地提升了密文图像分类的效率；能够在云计算环境下实现安全的密文图像分类，有效解决隐私泄露问题，并提高了密文图像分类的效率。

Description

一种基于模分量同态的密文卷积神经网络图像分类方法

技术领域

本发明涉及云计算信息安全技术领域，特别涉及一种基于模分量同态的密文卷积神经网络图像分类方法。

背景技术

图像分类是图像处理领域中的基础问题之一，其目的是根据图像的语义信息将不同类别的图像进行区分，从而实现最小分类误差。目前，卷积神经网络是主要的图像分类方法。在使用图像分类服务进行预测的过程中，服务提供方需要直接接触用户的图像数据以进行分类。然而，用户的图像数据中往往包含大量的敏感信息，如人脸照片、身份证件等，这可能会带来隐私泄露的风险。如果恶意服务提供方获取了用户的图像数据，他们可能会轻易地获取到用户的个人信息和隐私，从而导致巨大的风险和安全问题。因此，在使用图像分类服务时，需要注意预测过程中的隐私安全问题。

基于模分量同态加密的加密技术可以在不暴露数据明文的情况下对数据进行计算。具体来说，该技术可以实现在加密状态下对数据进行加法、乘法等操作，得到的结果仍然是加密状态，但是当密文解密后，得到的结果与在明文状态下进行同样操作所得到的结果是相同的。基于模分量同态加密技术可以解决基于云的卷积神经网络图像分类服务中的隐私泄露问题。使用该技术，用户可以将输入图像数据进行加密后上传至云端，云端在加密状态下进行神经网络预测，并将预测结果返回给用户，同时该算法模分量之间具有独立性，可以使用GPU进行加速计算，具有很高的计算效率优势。由于数据始终处于加密状态，云服务提供商无法访问或泄露用户的明文图像数据，从而保护了用户的隐私。

现有同态加密方法和卷积神经网络图像分类方法的结合效率低下，无法满足用户对实时性的要求，加密和解密操作也比较复杂，因此无法满足实际应用的需求。

发明内容

本发明的目的在于提供一种基于模分量同态的密文卷积神经网络图像分类方法，解决了基于同态加密的卷积神经网络图像分类方法效率较低、无法满足实际应用的问题。

为实现上述目的，本发明采取的技术方案为：

本发明提供一种基于模分量同态的密文卷积神经网络图像分类方法，包括以下步骤：

S1、服务器在云端根据所提供的图像分类任务提前训练和部署好卷积网络模型，在训练过程中卷积神经网络的激活函数使用多项式进行近似，池化操作使用平均池化；

S2、客户端用户使用自己的用户密钥，根据模分量同态算法生成自己的公钥PK，私钥SK和评估密钥EK；

S3、所述客户端使用公钥PK对图像I进行加密，得到密文数据CT;

S4、所述客户端将图像I的所述密文数据CT、公钥PK和评估密钥EK发送给所述服务器；

S5、所述服务器根据评估密钥EK中的放大倍数a和用于将浮点数转为整数的比例因子△，提前计算好图像密文分类过程中每一层需要对阶的参数；

S6、将所述密文数据CT进行拆分，将相同混淆位置的模分量组成新的混淆子图像，将多张混淆子图像和对阶参数发送给GPU；

S7、所述GPU分配多个网络资源，将每个混淆子图像进行并行推理；

S8、所述服务器将多个推理后的混淆子图像结果回传给所述客户端，所述客户端根据私钥SK进行解密得到图像I的分类结果。

进一步地，所述步骤S1包括：

服务器在云端根据所提供的图像分类任务提前训练和部署好卷积网络模型，卷积网络结构中池化层使用平均池化，其中平均池化操作时，一个输入特征图，尺寸为H×W×C，H表示高度，W表示宽度，C表示通道数；

池化层窗口大小为k×k，输出特征图的尺寸为，

，/>，经过池化层不会改变特征图的通道数，C表示通道数不变，对应每个输出特征图中像素点的位置(i,j,c)，i代表输出特征图像素的行索引，j代表输出特征图像素的列索引，c表示输出特征图的通道索引，其中，/>，/>， ，平均池化的计算公式如下：

其中，x 取值为：i×k≤x<(i+1)×k；y 取值为： j×k≤y<(j+1)×k，池化窗口移动步长为k，Input(x,y,c)表示输入特征图在位置(x,y,c)处的像素值，sum表示对窗口内所有元素求和，round代表四舍五入操作， 表示不能使用除法操作，只能将除以/>的操作，换成乘以/>四舍五入到最近的小数参与运算；

激活函数使用是多项式的近似表达，f(x)=polynomial(x)。

进一步地，所述步骤S2包括：

对于每个客户端根据自己的用户密钥生成选择模投影基B={b₁,b₂,…,b_N}和位置基WZ={w₁,w₂,…w_N}，0≤w_p＜M，1≤p≤N，B中元素互素，N的大小表示投影基的数量，WZ用来插入真实模分量，w_p为真实模分量所在位置，M表示一个冗余向量中冗余项的个数，w_p小于M；

生成私钥SK包括：B、WZ、a和△；其中，a为放大倍数，△为浮点数精度的比例因子；生成评估密钥EK包括：B、a和△；每次进行图像预测时，客户端使用私钥SK对浮点数1.0进行加密得到公钥PK；私钥SK用于生成公钥PK，评估密钥EK参与同态计算，公钥PK用于对数据加密。

进一步地，所述步骤S3包括：

所述客户端利用公钥PK对图像I进行加密，图像I的大小为，CT=EncryptedPixel(x,y,c,PK)，其中，CT为加密后的密文数据，/>，包括红色、绿色和蓝色通道三个通道，（x,y）表示像素点在图像中的坐标位置，，c表示输出特征图通道索引；

对于单个像素值的加密， ，PT表示像素值预处理之后的中间值，其中先将单个像素值/>进行标准化处理NormalizedPixel，然后乘以比例因子∆进行四舍五入操作round保留固定位小数到最接近的整数；

利用公钥PK对PT执行公钥加密，公钥加密的方式为公钥PK与PT做一次乘法运算，得到混淆密文，/>，1≤p≤N。

进一步地，所述步骤S5包括：

根据混淆模分量同态算法，所述服务器在计算过程中将放大倍数a的阶和比例因子△的阶进行对齐操作，阶数低的密文向阶数高的密文对齐；

设密文X和Y的放大倍数a的阶和比例因子△的阶分别为、/>和/>、/>，而且，/>；对齐过程为，/>，其中模投影基B、放大倍数a和比例因子△来自于评估密钥EK；

在图像分类过程中，训练好的卷积神经网络的操作是固定的，那么在分类过程中需要对阶的地方也是固定的，对阶的参数也是固定的，提前计算出每层网络的对阶参数；

其中，LN为需要进行对阶的层数。

进一步地，所述步骤S7包括：

将训练好的卷积神经网络和对阶参数加载进GPU中，将每个像素密文中相同位置的模分量提取出来，组成C×N×M张新的混淆子图，其中C是通道数，N是投影基B的大小，M是一个冗余向量中冗余项的个数；将C×N×M张混淆子图像送入GPU中，进行并行推理。

进一步地，所述步骤S8包括：

所述服务器将混淆子图像的推理结果回传给所述客户端，所述客户端根据自己的私钥SK中的位置基WZ={w₁,w₂,…w_N}，将真实子图的推理结果的模分量，/>，1≤lb≤ln，提取出来，其中，N是投影基的大小， ln是标签的数量；

利用中国剩余定理解出最终的结果：

其中， f(I)表示对图像I进行评估，argmax函数返回解密后预测值的标签序号，, />, /> 是/>在/>中的乘法逆元，即/>，表示整数模/>的剩余类，t是放大倍数a的阶，l是比例因子△的阶。

与现有技术相比，本发明具有如下有益效果：

（1）使用密文卷积神经网络进行图像分类时，数据在传输和处理时是加密的，这可以提高数据的安全性，保护隐私信息；

（2）使用GPU加速密文卷积神经网络的推理过程，可以显著提高算法的运行速度和效率；

（3）该方法可以适用于各种规模的数据集和不同的图像分类任务，具有良好的可扩展性；

（4）由于该方法基于卷积神经网络，因此可以与现有的深度学习框架和工具兼容，易于实现和使用。

附图说明

图1为本发明实施例提供的基于模分量同态的密文卷积神经网络图像分类方法流程图。

图2为本发明实施例提供的混淆子图分解的示意图。

具体实施方式

为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。

在本发明的描述中，需要说明的是，术语“上”、“下”、“内”、“外”“前端”、“后端”、“两端”、“一端”、“另一端”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“设置有”、“连接”等，应做广义理解，例如“连接”，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

需要说明的是，本申请所涉及的用户信息（包括但不限于用户设备信息、用户个人信息等）和数据（包括但不限于用于分析的数据、存储的数据、展示的数据等），均为经用户授权或者经过各方充分授权的信息和数据，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。

本发明提供的一种基于模分量同态的密文卷积神经网络图像分类方法，针对云环境中卷积神经网络图像分类服务中的隐私泄露问题，其思路是在训练中采用多项式近似激活函数和平均池化操作，客户端用户生成自己的公钥、私钥和评估密钥，并使用公钥对图像进行加密；加密后的图像密文数据与公钥和评估密钥发送到云服务器；云服务器根据评估密钥计算参数，并将图像密文数据拆分成混淆子图像，送入GPU并行推理。服务端将推理结果发送回客户端，客户端使用秘密密钥解密得到分类结果。

根据图1所示，一种基于模分量同态的密文卷积神经网络图像分类方法，具体包括以下步骤：

S1、服务器在云端根据所提供的图像分类任务提前训练和部署好卷积网络模型，在训练过程中卷积神经网络的激活函数使用多项式进行近似，池化操作使用平均池化；

S2、客户端用户使用自己的用户密钥，根据模分量同态算法生成自己的公钥PK，私钥SK和评估密钥EK；

S3、所述客户端使用公钥PK对图像I进行加密，得到密文数据CT;

S4、所述客户端将图像I的所述密文数据CT、公钥PK和评估密钥EK发送给所述服务器；

S5、所述服务器根据评估密钥EK中的放大倍数a和用于将浮点数转为整数的比例因子△，提前计算好图像密文分类过程中每一层需要对阶的参数；

S6、将所述密文数据CT进行拆分，将相同混淆位置的模分量组成新的混淆子图像，将多张混淆子图像和对阶参数发送给GPU；

S7、所述GPU分配多个网络资源，将每个混淆子图像进行并行推理；

S8、所述服务器将多个推理后的混淆子图像结果回传给所述客户端，所述客户端根据私钥SK进行解密得到图像I的分类结果。

下面对上述各个步骤进行详细的解释和说明：

步骤S1包括：

服务器在云端根据所提供的图像分类任务提前训练和部署好卷积网络模型，卷积网络结构中池化层只能使用平均池化，其中平均池化操作时，一个输入特征图，假设其尺寸为H×W×C，其中， H表示高度，W表示宽度，C表示通道数。

池化层窗口大小为k×k，输出特征图的尺寸为，/>，，经过池化层不会改变特征图的通道数，C表示通道数不变，对应每个输出特征图中像素点的位置(i,j,c)，i代表输出特征图像素的行索引，j代表输出特征图像素的列索引，c表示输出特征图的通道索引，其中，/>，/>，/> ，平均池化的计算公式如下：

其中，x 取值为：i×k≤x<(i+1)×k；y 取值为： j×k≤y<(j+1)×k，池化窗口移动步长为k，Input(x,y,c)表示输入特征图在位置(x,y,c)处的像素值，sum表示对窗口内所有元素求和，round代表四舍五入操作，表示不能使用除法操作，只能将除以/>的操作，换成乘以/>四舍五入到最近的小数参与运算。在密文图像分类过程中不对网络进行加密，网络训练好的权重Q为明文。

由于同态加密只支持加法和乘法操作，与传统卷积神经网络不同的是激活函数使用是多项式的近似表达，f(x)=polynomial(x)，而且在保证近似效果的前提下，同时多项式的阶数尽可能的低。

步骤S2包括：

对于每个客户端根据自己的用户密钥U生成选择模投影基B={b₁,b₂,…,b_N}和位置基WZ={w₁,w₂,…w_N}，0≤w_p＜M，1≤p≤N，B中元素互素，N的大小表示投影基的数量，WZ用来插入真实模分量，w_i为真实模分量所在位置，M表示一个冗余向量中冗余项的个数，w_p小于M；

生成私钥SK包括：B、WZ、a和△；其中，a为放大倍数，△为浮点数精度的比例因子；生成评估密钥EK包括：B、a和△；每次进行图像预测时，客户端使用私钥SK对浮点数1.0进行加密得到公钥PK。私钥SK用于生成公钥PK，评估密钥EK参与同态计算，公钥PK用于对数据加密。

步骤S3包括：

根据模分量同态加密算法的思想，客户端利用公钥PK对图像I进行加密，图像I的大小为，CT=EncryptedPixel(x,y,c,PK)，其中，CT为加密后的密文数据，，包括红色（R）、绿色（G）和蓝色通道（B）三个通道，（x,y）表示像素点在图像中的坐标位置，/>，c表示输出特征图通道索引；

对于单个像素值的加密，，PT表示像素值预处理之后的中间值，其中先将单个像素值/>进行标准化处理NormalizedPixel，然后乘以比例因子∆进行四舍五入操作round保留固定位小数到最接近的整数；

利用公钥PK对PT执行公钥加密，这里公钥加密的方式为公钥PK与PT做一次乘法运算，得到混淆密文，/>，1≤p≤N。

步骤S4包括：

客户端将图像密文数据，公钥PK和评估密钥EK发往服务器。

步骤S5包括：

根据混淆模分量同态算法盲计算的特点，服务器在计算过程中需要将放大倍数a的阶和比例因子△的阶进行对齐操作，这里的对齐操作指的是在做密文之间的过程中，两个密文放大倍数a的阶和比例因子△的阶不同，阶数低的密文要向阶数高的密文对齐。

假设密文X和Y的放大倍数a的阶和比例因子△的阶分别为、/>和/>、/>，而且，/>；对齐过程为，/>，其中模投影基B、放大倍数a和比例因子△来自于评估密钥EK；

在图像分类过程中，训练好的卷积神经网络的操作是固定的，那么在分类过程中需要对阶的地方也是固定的，对阶的参数也是固定的，提前计算出每层网络的对阶参数，其中，LN为需要进行对阶的层数。

步骤S6包括：

将密文数据CT进行拆分，将相同混淆位置的模分量组成新的混淆子图像，将多张混淆子图像和对阶参数发送给GPU；

步骤S7包括：

首先将训练好的卷积神经网络和对阶参数加载进GPU中，将每个像素密文中相同位置的模分量提取出来，组成C×N×M张新的混淆子图，其中C是通道数，N是投影基B的大小，M是一个冗余向量中冗余项的个数；然后将C×N×M张混淆子图像送入GPU中，进行并行推理。

图2是一张大小为3×3图片的其中一个通道分解和并行推理的简单示意图，其中从1到9一共9个像素值，投影基B={b[1],b[2]}，N=2，冗余模分量中冗余项的个数M=2，即每个真实模投影基有两个混淆位置可选，最终每个像素值， 1≤i≤4,1≤j≤4，被分解成了2个真实模投影，每个真实模投影和一个混淆模投影进行混淆，最终每个像素值被分解成了4个值。将相同位置的模投影进行组合形成新的4张混淆子图，混淆子图送入GPU中进行并行推理，推理过程中每张混淆子图都是并行的经过卷积、平均池化、激活函数等事先训练好的网络各层，这样大大加快了推理的速度。

步骤S8包括：

服务器将混淆子图像的推理结果回传给客户端，客户端根据自己的私钥SK中的位置基WZ={w₁,w₂,…w_N}，将真实子图的推理结果的模分量，，1≤lb≤ln，提取出来，其中，N是投影基的大小， ln是标签的数量；

利用中国剩余定理解出最终的结果：

其中， f(I)表示对图像I进行评估，argmax函数返回解密后预测值的标签序号，, />, /> 是/>在/>中的乘法逆元，即/>，表示整数模/>的剩余类，t是放大倍数a的阶，l是比例因子△的阶。

本发明的原理如下：

1）为了实现同态加密和卷积神经网络的适配：将池化操作都使用平均池化操作，除法改成对应的浮点数的乘法，非线性的激活函数使用多项式近似的方法。

2）为了实现安全性：使用模分量同态算法进行加密，将像素值模投影后，真实的模投影分量插入到随机的冗余模分量组中去得到密文，攻击方在不知道每个正确模分量在多个冗余集中正确位置的前提下，得到每个正确的模分量是困难的，从而保证了整个加密方法的安全性。

3）为了提高计算效率：将卷积神经网络中需要进行对阶的网络层提前计算好对阶参数，减少了分类过程中的计算量。

4）为了分解密文图像：图像加密后的密文中有大量相互独立的模分量，将相同模基，同一位置的模分量提取出来形成新的相互独立的混淆子图。

5）为了加速分类效率：将训练好的卷积神经网络和对阶参数加载到GPU中，GPU对多张混淆图像进行并行分类推理。

该基于模分量同态的密文卷积神经网络图像分类方法，主要步骤包括：服务端在云端进行参数训练并初始化模型参数；客户端生成自己的公钥、秘密密钥和评估密钥；客户端使用公钥对明文图像进行加密得到密文数据，并将其传输到云端；云端进行卷积、池化、全连接等卷积神经网络的密文推理操作；云端将密文推理结果发送回客户端；客户端使用秘密密钥对密文结果进行解密；客户端得到解密后的密文图像推理结果。该方法用于解决现有云环境下人工智能服务中存在的隐私泄露问题和同态加密下密文图像分类效率低下的问题；通过利用GPU强大的计算能力，有效地提升了密文图像分类的效率；能够在云计算环境下实现安全的密文图像分类，有效解决隐私泄露问题，并提高了密文图像分类的效率。

如图1所示，通过软件实现如下步骤：

例如，在银行业务中，保护客户的隐私和数据安全至关重要。本方法为银行提供了一种创新的方式来处理图像数据，例如客户的人脸照片、银行卡图像等，通过模分量同态加密的方法，确保这些敏感图像在卷积神经网络预测处理过程中保持加密状态。这样，银行可以实现安全的身份验证、图像隐私保护和银行卡安全等目标，为客户提供更安全的金融服务体验。本方法还可以在医院环境中应用，保护患者的医疗图像和电子病历数据的隐私，同时为医学研究提供安全的数据共享渠道。

其中：

一、云端服务器训练卷积神经网络模型

1.池化层全部改为平均池化，比如输入银行训练集中人脸特征图用来训练，假设其尺寸为H×W×C，池化层窗口大小为k×k，除法改成乘以对应的浮点数。

2．激活函数使用多项式近似。

二、客户端生成密钥

1.定义投影基B

定义投影基B，其元素b₁,b₂,…,b_N为B两两互素

B={b₁,b₂,…,b_N}

2.定义冗余向量长度M和模分量位置基WZ

3.私钥SK包含B，WZ，评估密钥EK包含B，根据私钥SK对浮点数1.0加密生成公钥PK，且PK包含B。

三、客户端加密图像

1.每个像素值进行标准化

2. 公钥PK对明文PT执行公钥加密。

四、计算对阶参数

1.根据卷积神经网络的每一层操作中需要进行对阶的操作，提前计算好对阶参数:

五、密文图像分解成多张混淆子图，并行推理

1.根据图2中一个通道分解和并行推理的简单示意图所示，投影基，，冗余模分量中冗余项的个数/>，即每个真实模投影基有两个混淆位置可选，最终每个像素值/>，1≤i≤4,1≤j≤4，被分解成了2个真实模投影，每个真实模投影和一个混淆模投影进行混淆，最终每个像素值被分解成了4个值。将相同位置的模投影进行组合形成新的4张混淆子图。

2.云端服务器将模型和对阶参数加载进GPU，对多张混淆子图进行并行推理分类。

七、云端服务器将分类结果密文发回客户端，客户端根据秘密密钥进行解密。

1.根据秘密秘钥SK中的位置基WZ={w₁,w₂,…w_N}将真实子图的推理结果的模分量，/>，1≤lb≤ln，提取出来。

2.利用中国剩余定理进行解密，得到银行用户输入人脸图像信息通过模分量同态加密以后的密文经过云端训练好的卷积神经网络预测后的认证结果。

其中， f(I)表示对图像I进行评估，argmax函数返回解密后预测值的标签序号，, />, />是/>在/>中的乘法逆元，/>表示整数模/>的剩余类，即/>， t是放大倍数a的阶，l是比例因子△的阶。

为了充分利用模分量同态算法中各个模分量之间相互独立的特性，并提高密文图像分类的效率，本方法采用了GPU并行计算的策略。加速密文推理过程并实现实时的密文图像分类。这种并行计算的方式利用了GPU强大的计算能力，有效地提升了密文图像分类的效率。通过以上步骤，本方法能够在云计算环境下实现安全的密文图像分类，有效解决隐私泄露问题，并提高了密文图像分类的效率。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (6)

1.一种基于模分量同态的密文卷积神经网络图像分类方法，其特征在于，包括以下步骤：

S1、服务器在云端根据所提供的图像分类任务提前训练和部署好卷积网络模型，在训练过程中卷积神经网络的激活函数使用多项式进行近似，池化操作使用平均池化；

S2、客户端用户使用自己的用户密钥，根据模分量同态算法生成自己的公钥PK，私钥SK和评估密钥EK；

S3、所述客户端使用公钥PK对图像I进行加密，得到密文数据CT；

S4、所述客户端将图像I的所述密文数据CT、公钥PK和评估密钥EK发送给所述服务器；

S5、所述服务器根据评估密钥EK中的放大倍数a和用于将浮点数转为整数的比例因子△，提前计算好图像密文分类过程中每一层需要对阶的参数；

S6、将所述密文数据CT进行拆分，将相同混淆位置的模分量组成新的混淆子图像，将多张混淆子图像和对阶参数发送给GPU；

S7、所述GPU分配多个网络资源，将每个混淆子图像进行并行推理；

S8、所述服务器将多个推理后的混淆子图像结果回传给所述客户端，所述客户端根据私钥SK进行解密得到图像I的分类结果；

其中，所述步骤S5包括：

根据混淆模分量同态算法，所述服务器在计算过程中将放大倍数a的阶和比例因子△的阶进行对齐操作，阶数低的密文向阶数高的密文对齐；

设密文X和Y的放大倍数a的阶和比例因子△的阶分别为o_x、l_x和o_y、l_y，而且o_x＜o_y，l_x＜l_y；对齐过程为，其中模投影基B、放大倍数a和比例因子△来自于评估密钥EK；

在图像分类过程中，训练好的卷积神经网络的操作是固定的，那么在分类过程中需要对阶的地方也是固定的，对阶的参数也是固定的，提前计算出每层网络的对阶参数

其中，LN为需要进行对阶的层数。

2.根据权利要求1所述的一种基于模分量同态的密文卷积神经网络图像分类方法，其特征在于，所述步骤S1包括：

服务器在云端根据所提供的图像分类任务提前训练和部署好卷积网络模型，卷积网络结构中池化层使用平均池化，其中平均池化操作时，一个输入特征图，尺寸为H×W×C，H表示高度，W表示宽度，C表示通道数；

池化层窗口大小为k×k，输出特征图的尺寸为H′×W′×C，H′＝H/k，W′＝W/k，经过池化层不会改变特征图的通道数，C表示通道数不变，对应每个输出特征图中像素点的位置(i,j,c)，i代表输出特征图像素的行索引，j代表输出特征图像素的列索引，c表示输出特征图的通道索引，其中，0≤i＜H，0≤j＜W′，0≤c＜C，平均池化的计算公式如下：

其中，x取值为：i×k≤x<(i+1)×k；y取值为：j×k≤y<(j+1)×k，池化窗口移动步长为k，Input(x,y,c)表示输入特征图在位置(x,y,c)处的像素值，sum表示对窗口内所有元素求和，round代表四舍五入操作，表示不能使用除法操作，只能将除以k²的操作，换成乘以/>四舍五入到最近的小数参与运算；

激活函数使用是多项式的近似表达，f(x)＝polynomial(x)。

3.根据权利要求2所述的一种基于模分量同态的密文卷积神经网络图像分类方法，其特征在于，所述步骤S2包括：

对于每个客户端根据自己的用户密钥生成模投影基B＝{b₁,b₂,…,b_N}和位置基WZ＝{w₁,w₂,…w_N}，0≤w_p＜M，1≤p≤N，B中元素互素，N的大小表示投影基的数量，WZ用来插入真实模分量，w_p为真实模分量所在位置，M表示一个冗余向量中冗余项的个数，w_p小于M；

生成私钥SK包括：B、WZ、a和△；其中，a为放大倍数，△为浮点数精度的比例因子；生成评估密钥EK包括：B、a和△；每次进行图像预测时，客户端使用私钥SK对浮点数1.0进行加密得到公钥PK；私钥SK用于生成公钥PK，评估密钥EK参与同态计算，公钥PK用于对数据加密。

4.根据权利要求3所述的一种基于模分量同态的密文卷积神经网络图像分类方法，其特征在于，所述步骤S3包括：

所述客户端利用公钥PK对图像I进行加密，图像I的大小为I_x×I_y，CT＝EncryptedPixel(x，y，c，PK)，其中，CT为加密后的密文数据，CT＝{CT_R，CT_G，CT_B}，包括红色、绿色和蓝色通道三个通道，(x，y)表示像素点在图像中的坐标位置，1≤x≤I_x，1≤y≤I_y，c表示输出特征图通道索引；

对于单个像素值pixel_x，y的加密，PT＝round(NormalizedPixel(p_x，y))×Δ)PT表示像素值预处理之后的中间值，其中先将单个像素值pixel_x，y进行标准化处理NormalizedPixel，然后乘以比例因子Δ进行四舍五入操作round保留固定位小数到最接近的整数；

利用公钥PK对PT执行公钥加密，公钥加密的方式为公钥PK与PT做一次乘法运算，得到混淆密文

5.根据权利要求1所述的一种基于模分量同态的密文卷积神经网络图像分类方法，其特征在于，所述步骤S7包括：

将训练好的卷积神经网络和对阶参数加载进GPU中，将每个像素密文中相同位置的模分量提取出来，组成C×N×M张新的混淆子图，其中C是通道数，N是投影基B的大小，M是一个冗余向量中冗余项的个数；将C×N×M张混淆子图像送入GPU中，进行并行推理。

6.根据权利要求5所述的一种基于模分量同态的密文卷积神经网络图像分类方法，其特征在于，所述步骤S8包括：

所述服务器将混淆子图像的推理结果回传给所述客户端，所述客户端根据自己的私钥SK中的位置基WZ＝{w₁，w₂，...w_N}，将真实子图的推理结果的模分量1≤lb≤ln，提取出来，其中，N是投影基的大小，ln是标签的数量；

利用中国剩余定理解出最终的结果：

f(I)＝arg max(lb，Decrypt(pr_lb))

其中，f(I)表示对图像I进行评估，argmax函数返回解密后预测值的标签序号，B_p＝B_s/b_p，B_p′是B_p在/>中的乘法逆元，即B_pB_p ^-1＝1mod b_p，/>表示整数模b_p的剩余类，t是放大倍数a的阶，l是比例因子Δ的阶。