CN116915382A - 一种基于模分量同态的多用户隐私保护方法 - Google Patents

Abstract

本发明公开了一种基于模分量同态的多用户隐私保护方法，属于信息安全技术领域。包括根据多个用户输入的各自用户密钥，生成各自对应的秘密密钥、公共密钥和评估密钥；根据明文浮点数精度转化得到原始信息；根据各自秘密密钥将原始信息分裂成真实模分量集；根据真实模分量集生成对应的冗余集；将真实模分量集分别插入冗余集中，生成密文主体；根据多方DH密钥交换协议协商得到的共同值进行密文重排；进行对齐操作；对密文重排和对齐操作后的密文中所有的模分量进行相同的加法和乘法运算，得到新的密文矩阵；并对新的密文矩阵进行解密。本发明能够用于多方模分量同态隐私加密，具有更广泛的适用性。

Description

一种基于模分量同态的多用户隐私保护方法

技术领域

本发明涉及信息安全技术领域，更具体的说是涉及一种基于模分量同态的多用户隐私保护方法。

背景技术

随着信息技术的快速发展，网络空间逐渐成为人类生活中不可或缺的新场域，并且深入到了社会生活的方方面面。人们一方面更加依赖于网络空间另一方面对网络空间中的隐私安全要求也在逐日提高。

目前，针对数据隐私保护比较常用的技术是同态加密技术，目前仍在不断地发展中，新的成果、新的应用也在不断的涌现。同态加密相比于传统的加密方法，其特点是可以让人们在加密的数据中进行诸如检索、比较等操作，得出正确的结果，而在整个处理过程中，无需对数据进行解密，即对明文加密后的密文做任意有效的操作等效于在明文下做相同的操作后加密，有性质，其中表示加密。在执行操作的过程中，全部是在密文下运算的，不会产生任何的信息泄露，只有当持有正确密钥的用户才能解密密文，获得计算结果。因此，同态加密技术可以很容易依托拥有大量计算能力的云服务器做外包计算，不仅不会泄露信息还加快了运算速度。

现有技术中，已公开中国专利（公开号CN115801224A），公开了一种云计算环境中支持浮点数运算的全同态加密方法，该方法支持浮点数的同态操作，且同态方法中的相关同态操作以单独的模分量操作实现，比基于理想格、环等问题的方法简单明了，效率优于常见的同态加密技术。然而在这种方案下做同态运算，需要保证密文矩阵的每一个元素必须在相同的模基下做运算（加法或者乘法），当每一个用户的私钥不同，插入的真实模分量的位置也必然不同，那么两个密文矩阵中的真实模分量就无法在相同的模基下做同态运算，因此该方案仅支持一对一的加密解密操作，并不适用于多用户的加密保护，从一定程度上限制了全同态加密方法的应用范围。

因此如何提供一种适用于多用户的模分量同态加密方法，是本领域技术人员亟需解决的问题。

发明内容

有鉴于此，本发明提供了一种基于模分量同态的多用户隐私保护方法，用于实现多用户的模分量同态加密。

为了实现上述目的，本发明采用如下技术方案：

一种基于模分量同态的多用户隐私保护方法，包括以下步骤：

S1、根据多个用户输入的各自用户密钥，生成每个用户对应的秘密密钥、公共密钥和评估密钥；

S2、每个用户对明文浮点数进行精度转化，获得每个用户对应的原始信息；

S3、根据每个用户对应的秘密密钥将该用户对应的原始信息分裂成真实模分量集；

S4、根据每个用户得到的真实模分量集生成对应的冗余集；

S5、将每个用户对应的真实模分量集分别插入生成的对应所述冗余集中，生成对应的密文主体；

S6、所有用户基于多方DH密钥交换协议协商一组共同值，并根据所述共同值将每个用户密文主体中的真实模分量旋转到相同的位置，完成密文主体的密文重排；

S7、对密文重排后的密文主体进行对齐操作；

S8、对对齐操作后密文主体中所有的模分量进行相同的加法和乘法运算，得到每个用户对应的新密文；

S9、每个用户根据自己对应的秘密密钥，对对应的新密文进行解密。

进一步地，步骤S1包括：

根据每个用户输入的对应用户密钥Userkey_i随机生成一个位置基W_i={w_i1,w_i2,…w_ij…w_in} ,0≤w_ij＜t；

其中，Userkey_i表示第i个用户U_i的用户秘钥；位置基W_i用来插入第i个用户U_i的真实模分量；w_ij为真实模分量所在位置，用于表示第i个用户U_i的位置基中第j个分量；t表示一个冗余向量中冗余项的个数；

所有用户共同协商获取一个公共的投影基B={b₁,b₂,…,b_n}并公开；其中所述投影基B用于将原始信息分裂，b₁,b₂,…,b_n为B中的元素，且b₁,b₂,…,b_n两两互素，n的大小表示投影基的数量；

每个用户生成对应的秘密密钥SK_i中包含用于做模投影的投影基B和该用户对应的位置基W_i；

每个用户对应的公共密钥PK_i为使用对应秘密密钥SK_i对浮点数1.0进行加密后的密文且包含投影基B；

每个用户对应的评估密钥EK_i包含公共的投影基B。

进一步地，步骤S2包括：

每个用户将明文浮点数作为输入，四舍五入保留p位小数，然后乘以10^p转为对应的整数I；

整数I乘以一个放大倍数amp再加上一个随机正整数噪声e得到每个用户对应的原始信息P_i；其中放大倍数amp≥10⁶；记当前密文的放大倍数的扩张倍数为order，有效精度位数p的扩张倍数为level，密文的order和level初始值均为1；P_i表示第i个用户U_i对应的原始信息。

进一步地，步骤S3包括：

每个用户根据对应秘密密钥SK_i包含的模投影基B将原始信息P_i进行分裂，原始信息P_i对投影基B中的元素分别进行取模操作，得到真实模分量集合m_i={m_i,1,m_i,2,m_i,3,…m_i,n}，其中m_i表示第i个用户U_i对应的真实模分量集合，m_i=I mod b_i，i=1,2，…，n。

进一步地，每个用户依据真实模分量集合m_i={m_i,1,m_i,2,m_i,3,…m_i,n}元素的值，生成n个分别包含t个冗余项的冗余向量，得到对应的冗余集S_i={S_i1,S_i2,…,S_in}^T，S_i表示第i个用户U_i对应的冗余集；

其中S_ij={S_i,1j,S_i,2j,…,S_i,tj}，i∈[m]，j∈[n]，T表示矩阵转置符号。

进一步地，步骤S5包括：

每个用户将自己对应的真实模分量集m_i分别插入对应冗余集S_i中，根据每个用户的秘密密钥SK_i中包含的位置基W_i，将原始真实模分量集m_i中的元素按照位置基W_i中元素代表的插入位置，依次代替冗余集S_i原位置对应的元素，得到该用户对应的密文主体C_i，其中，C_i表示第i个用户U_i得到的密文主体，C_i={C_i1,C_i2,…,C_in}^T，C_ij={C_i,1j ,C_i,2j ,…C_i,tj}={S_i,1j,S_i,2j,…,S_i,tj}，i=1,2,…n；即用户U_i的密文矩阵C_i的某一行为真实模分量m_i替换掉了冗余向量S_ij中的位置在第w_ij的冗余项后的模分量向量。

进一步地，步骤S6包括：

所有用户通过执行DH密钥交换协议，协商一组共同的值v={v₁,v₂,…,v_n};

根据每个用户对应秘密密钥SK_i中包含的位置基W_i和共同值v向云服务器发送旋转命令ratate_i = {w_i1-v₁,w_i2-v₂,…，w_in-v_n}，ratate_i表示第i个用户U_i发送的旋转命令，使得该用户U_i密文主体所对应的密文矩阵中的每一行C_i均循环左移w_ii-v_i位。

进一步地，步骤S6中，所有用户通过执行DH密钥交换协议，协商一组共同的值，通过以下步骤获取：

将所有用户按照顺序依次排列形成用户序列，在所述用户序列中选择任一用户作为起始用户U₁，起始用户U₁选取一个素数p以及该素数p的本原根g并分别发送给用户序列中的其他用户；

第一轮计算：

S611、起始用户U₁选取一个秘密随机数a1，a1∈[1,p-1]，计算g^a1发送给用户序列中所述起始用户U₁的下一用户U₂；

S612、用户序列中下一用户U₂选取另一个对应的秘密随机数a2，a2∈[1,p-1]，计算g^a2发送给下一用户U₂的下一用户U₃；

S613、重复步骤S612直到用户序列中最后一个用户U_m选取对应的秘密随机数am，am∈[1,p-1]，计算g^am并发送给起始用户U₁；

第二轮计算：

S621、起始用户U₁根据上一轮得到的g^am和上一轮选取的秘密随机数a1，计算g^am*a1发送给起始用户U₁的下一用户U₂；

S622、下一用户U₂根据上一轮得到的g^a1和上一轮选取的秘密随机数a2，计算g^a1*a2发送给下一用户U₂的下一用户U₃；

S623:重复步骤S622直到用户序列中最后一个用户U_m选取上一轮得到的g^a（m-1）和上一轮选取的秘密随机数am，计算g^a(m-1)*am并发送给起始用户U₁；

m个用户执行m-1轮计算，使得用户序列中每一个用户U_i均有m个参数参与计算，令v_i′= g^a1*a2*…*am mod p，v_i = v_i′ mod t，完成一次DH协商；

重复执行n次DH协商，获取m个用户共同的重排向量v={v₁,v₂,…,v_n}，重排向量v即为所有用户通过执行DH密钥交换协议，协商得到的一组共同的值。

进一步地，步骤S7具体包括：

根据重排操作后每个用户密文矩阵的order值和level值进行加法运算对齐；

根据重排操作后每个用户密文矩阵的order值和level值进行乘法运算对齐。

进一步地，步骤S8具体包括：

根据模运算的同态性和评估密匙，将所有用户密文重排和对齐操作后的密文中所有相同空间位置的模分量进行相同的加法和乘法运算，得到新的密文矩阵，所述新的密文矩阵中的每一个元素都是每一个密文重排和对齐操作后的密文通过模运算的同态性产生的，将所述新的密文矩阵做密文重排操作的逆运算，以恢复到投影基B下对应的真实模分量，得到最终密文运算后每个用户对应的新的密文。

进一步地，步骤S9具体包括：

每个用户U_i根据自己对应的秘密密钥SK_i中包含的真实模分量位置集W_i，得到计算后的真实模分量R_i={r_a1,r_a2,…,r_an}={z_a,w11,z_a,w22,…,z_a,wnn}；

根据真模分量R_i和对应的模基B利用中国剩余定理解出中间结果T，再对T除以amp^orderz消除噪声得到T′，T′根据浮点精度level×p确定浮点数小数点的位置得到最终结果Output=T′× 10^{－(level×p)} 。

经由上述的技术方案可知，与现有技术相比，本发明公开提供了一种基于模分量同态的多用户隐私保护方法，具有以下有益效果：

（1）本发明能够实现多个用户在云计算环境下实现密文运算，每一个用户都需要根据自身的用户密钥Userkey_i生成自己独立与其他人的私密密钥SK_i，用私钥将自己的真实模分量隐藏在冗余集中产生密文矩阵而不被云服务器窃取信息。

（2）为了在不同用户之间实现密文运算，本发明通过用户之间密钥协商获取一个相同的值，进而将不同用户在密文下的真实模分量置换到相同的位置，从而实现多用户密文下的计算，相比于1方加密1方解密的单方密文运算，适用范围更加广泛。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的方法整体流程示意图。

图2为本发明实施例提供的密文重排流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种基于模分量同态的多用户隐私保护方法，如图1所示，整体包含了密钥初始化、明文加密、密文重排、密文计算和密文解密六个部分，具体通过以下步骤实现：

S1、根据多个用户输入的各自用户密钥，生成每个用户对应的秘密密钥、公共密钥和评估密钥；

S2、每个用户对明文浮点数进行精度转化，获得每个用户对应的原始信息；

S3、根据每个用户对应的秘密密钥将该用户对应的原始信息分裂成真实模分量集；

S4、根据每个用户得到的真实模分量集生成对应的冗余集；

S5、将每个用户对应的真实模分量集分别插入生成的对应所述冗余集中，生成对应的密文主体；

S6、所有用户基于多方DH密钥交换协议协商一组共同值，并根据所述共同值将每个用户密文主体中的真实模分量旋转到相同的位置，完成密文主体的密文重排；

S7、对密文重排后的密文主体进行对齐操作；

S8、对对齐操作后密文主体中所有的模分量进行相同的加法和乘法运算，得到每个用户对应的新密文；

S9、每个用户根据自己对应的秘密密钥，对对应的新密文进行解密。

下面结合具体实例对上述步骤进行详细说明和解释：

（1）根据m个用户中任意用户U_i（i∈[m]，m表示共m个用户）输入的用户密钥Userkey_i随机生成一个位置基W_i={w_i1,w_i2,…w_in}，则m个用户共生成m个完全独立的位置基，每个用户生成的位置基W_i用来插入该用户U_i的真实模分量，位置基中任意元素w_ij为真实模分量所在位置，用于表示第i个用户的位置基的第j个分量，且0≤w_ij＜t，t代表一个冗余向量中冗余项的个数，冗余矩阵在步骤（3）中被创建出来；所有用户共同协商获取一个公共的投影基B={b₁,b₂,…,b_n}并公开，具体操作中投影基B可由任意用户随机产生并其他用户知晓并同意，投影基B用于将原始信息分裂，其中b_j，j∈[n]为B中的元素且两两互素，n的大小表示投影基的数量；任意用户U_i生成的秘密密钥SK_i包含用于做模投影的投影基B和对应的位置基W_i，公共密钥PK_i为使用秘密密钥SK_i对浮点数1.0进行加密后的密文且包含投影基B，评估密钥EK_i包含投影基B。

（2）用户U_i对浮点数M进行精度转化:浮点数M作为输入，四舍五入保留p位小数，然后乘以10^p转为整数I，即I=round（M×10^p），其中round（·）为四舍五入操作；整数I乘以一个放大倍数amp再加上一个随机正整数噪声e得到用户U_i对应的原始信息P_i，即P_i=I×amp＋e，其中放大倍数amp≥10⁶；记当前密文的放大倍数的扩张倍数为order，有效精度位数p的扩张倍数为level，密文的order和level初始值均为1。

（3）用户U_i将对应的原始信息P_i分裂成真实模分量集m_i：根据秘密密钥SK_i包含的模投影基集合B将原始信息P_i分裂，如(1)所示B={b₁,b₂,…,b_n}，其中b₁,b₂,…,b_n为投影基中的元素，原始信息P_i对投影基B中的元素分别进行取模操作，得到真实模分量集合m_i={m_i,1,m_i,2,m_i,3,…m_i,n}，m_i=I mod b_i,i=1,2,…,n。

（4）用户U_i依据对应的真实模分量集m_i生成一个冗余集S_i：依据真实模分量集m_i={m_i,1,m_i,2,m_i,3,…m_i,n}中元素的值，生成n个分别包含t个冗余项的冗余向量，得到冗余集S_i={S_i1,S_i2,…,S_in}^T，其中S_ij={S_i,1j,S_i,2j,…,S_i,tj}，i∈[m]，j∈[n]，T是矩阵的转置,m表示用户的总量，n表示冗余向量的总数，其数量与投影基的数量相同；冗余向量的每一个分量均为随机生成的，以掩盖真实模分量。

（5）生成每个用户的密文主体C_i：多个用户中第i个用户U_i将自己对应的真实模分量m_i分别插入自身对应的冗余集S_i中，根据秘密密钥中SK_i包含的位置基W_i={w_i1,w_i2,…w_in}，将原始模分量集m_i中的元素按照位置基W_i中元素代表的插入位置，依次代替冗余集原位置对应的元素，得到密文主体C_i，C_i={C_i1,C_i2,…,C_in}^T，其中C_ij={C_i,1j ,C_i,2j ,…C_i,tj}={S_i,1j,S_i,2j,…,S_i,tj}，i=1,2,…n；即用户U_i的密文矩阵C_i的某一行C_ij为用户U_i的真实模分量m_i替换掉了冗余向量S_ij中的位置在第W_ij的冗余项后的模分量向量。

（6）密文重排：

所有用户基于多方DH密钥交换协议协商一组共同值，并根据得到的共同值将每一个用户的密文主体中的真实模分量旋转到相同的位置，完成密文主体的密文重排。

下面分别以两个用户和三个用户为例，对密文重排过程进行说明。

A.当有两个用户时，如图2所示，密文重排过程如下：

首先执行两个用户的DH密钥交换协议如下：Alice（用户U₁）选取一个素数p以及该素数p的本原根g并发送给Bob（用户U₂），接下来Alice（用户U₁）选取一个秘密的随机数a∈[1，p-1]，计算g^a发送给Bob（用户U₂），同时Bob（用户U₂）选取一个秘密的随机数b∈[1，p-1]，计算g^b发送给Alice（用户U₁）。Bob（用户U₂）使用g^a计算(g^a)^b,Alice（用户U₁）使用g^b计算(g^b)^a，显然(g^a)^b=(g^b)^a=g^ab；令v′= g^ab，v = v′mod t；如果Alice（用户U₁）和Bob（用户U₂）按照上述DH密钥交换步骤协商n个值，并模t，得到的就是共同值v_ab={v₁,v₂,…v_n}。

然后，根据得到的共同值将每一个用户的密文主体中的真实模分量旋转到相同的位置，具体的，Alice（用户U₁）根据其私钥中的位置基W₁={w₁₁,w₁₂,…w_1n}和共同值v_ab向云服务器发送旋转命令rotate₁={w₁₁-v₁,w₁₂-v₂,…w_1n-v_n}使得其密文矩阵的每一行C_1i,i∈[n]均循环左移w_1i-v_i位。

类似地，Bob（用户U₂）根据其私钥中的位置基W₂={w₂₁,w₂₂,…w_2n}和共同值v_ab，向云服务器发送旋转命令rotate₂={w₂₁-v₁,w₂₂-v₂,…w_2n-v_n}使得其密文矩阵的C_2i,i∈[n]均循环左移w_2i-v_i位。

此时双方的密文矩阵中的真实模分量控制在相同的位置，可以执行后续的密文运算；注意，每次密文重排的操作云服务都需要保留，方便再次密文运算时在此基础上进行的旋转操作。

B.当有三个用户时，密文重排过程如下：

假设用户U₁为Alice，用户U₂是Bob，用户U₃是Eve，他们通过前面步骤分别产生的密文进行密文运算前，完成密文重排步骤：

首先三个用户通过执行DH密钥交换协议，协商一组共同的值，共同值用v表示，有v={v₁,v₂,…v_n}，共同值v中每个元素为v_i用于将其各自拥有的密文C₁、C₂和C₃中的真实模分量置换到相同的位置；这里共同值v是通过DH密钥交换协议得到的，共同值中每个元素用v_i表示，i∈[n],n表示密文矩阵的行数，不妨设Alice拥有的密文矩阵是C₁，Bob拥有的密文矩阵是C₂，Eve拥有的密文矩阵是C₃。

三个用户执行三方DH密钥交换协议需要执行两轮计算，其过程描述如下：

Alice（用户U₁）选取一个素数p以及该素数p的本原根g并发送给其他两个用户Bob（用户U₂）和Eve(用户U₃)。

第一轮计算中Alice（用户U₁）选取一个秘密的随机数a，其中a∈[1，p-1]，计算g^a发送给Bob（用户U₂），Bob（用户U₂）选取一个秘密的随机数b，其中b∈[1，p-1]，计算g^b发送给Eve(用户U₃)，Eve(用户U₃)选取一个秘密的随机数c，其中c∈[1，p-1]，计算g^c发送给Alice（用户U₁）。

第二轮计算中，Alice（用户U₁）使用g^c计算(g^c)^a发送给Bob（用户U₂），Bob（用户U₂）使用g^a计算(g^a)^b发送给Eve(用户U₃)，Eve(用户U₃)使用g^b计算(g^b)^c发送给Alice（用户U₁），显然Alice（用户U₁）通过(g^b)^c可以计算出g^bca mod p，Bob（用户U₂）通过(g^c)^a可以计算出g^cabmod p，Eve(用户U₃)通过(g^a)^b可以计算出g^abc mod p，显然g^cba mod p= g^acb mod p= g^bac modp=g^abc mod p；令v= g^abcmod p， v′= v mod t，v模t就是把v限制到[0,t-1]里面。

然后，根据得到的共同值将每一个用户的密文主体中的真实模分量旋转到相同的位置，对于三个用户来说，如果Alice、Bob和Eve按照上述的三方DH密钥交换步骤协商n个值，并模t，得到的就是三个用户协商获取的共同值v_abc={v₁,v₂,…v_n}。

Alice（用户U₁）根据其私钥中的位置基W₁={w₁₁,w₁₂,…w_1n}和共同值v_abc，向云服务器发送旋转命令rotate₁={w₁₁-v₁,w₁₂-v₂,…w_1n-v_n}使得其密文矩阵的每一行C_1i,i∈[n]均循环左移w_1i-v_i位。

类似地，Bob（用户U₂）根据其私钥中的位置基W₂={w₂₁,w₂₂,…w_2n}和共同值v_abc，向云服务器发送旋转命令rotate₂={w₂₁-v₁,w₂₂-v₂,…w_2n-v_n}使得其密文矩阵的每一行C_2i,i∈[n]均循环左移w_2i-v_i位。

同样的，Eve（用户U₃）根据其私钥中的位置基W₃={w₃₁,w₃₂,…w_3n}和共同值v_abc，向云服务器发送旋转命令rotate₃={w₃₁-v₁,w₃₂-v₂,…w_3n-v_n}使得其密文矩阵的每一行C_3i,i∈[n]均循环左移w_3i-v_i位。

此时以上三方的密文矩阵中的真实模分量被控制在相同的位置，可以执行后续的密文运算；注意，每次密文重排的操作云服务都需要保留，方便再次密文运算时在此基础上进行的旋转操作。

（7）加法和乘法运算对齐操作：在进行同态的加法和乘法前对完成重排操作后的运算密文进行对齐，包括放大倍数的对齐和精度的对齐：

根据重排操作后运算密文的order值和level值进行加法运算对齐，对于两个用户来讲，不妨设X={X₁, X₂,…,X_n}表示Alice（用户U₁）重排操作后的密文，Y={Y₁,Y₂,…,Y_n}表示Bob（用户U₂）重排操作后的密文, 评估密钥EK_i中的投影基B={b₁,b₂,…,b_n},Alice（用户U₁）消息的有效精度设置为level_x,密文放大倍数为order_x，Bob（用户U₂）消息的有效精度设置为level_y,密文放大倍数为order_y；则Z_i=X_i+Y_i= (X_i×(amp)^{|orderx-ordery|}×(10^p)^{|orderx-ordery|})+(Y_i×(amp)^{|orderx-ordery|}×(10^p)^{|orderx-ordery|})modb_i；i=1,2,…n；计算结果密文Z={Z₁,Z₂,…,Z_n}的order值等于Alice（用户U₁）和Bob（用户U₂）的order值较大值，结果密文Z的level值等于Alice（用户U₁）和Bob（用户U₂）的level值的较大值。

根据密文X和密文Y的order值和level值进行乘法运算对齐，计算结果密文Z的order值等于X和Y的order值之和，新的密文level值等于X和Y的level值之和。

对齐操作中加法运算对齐和乘法运算对齐是并列关系，他们之间没有前后的影响，但运算时要满足四则运算和对齐规则。只要对齐后，就可以做任何的运算了，对于三个用户，要执行X_a*X_b+X_c，消息保留了小数点后一位，那么放大倍数就为10，密文重排后，X_a的密文和X_b的密文乘法运算，然后X_c需要放大100倍才可以继续进行计算。最后解密要在计算的结果后除以100。

（8）密文同态运算：根据模运算的同态性，即

；

和评估密钥EK；云服务器将多个用户密文重排及对齐操作后的密文中所有相同空间位置的模分量进行相同的加法和乘法运算，得到同态运算后新的密文矩阵，新的密文矩阵中的每一个原始都是单独用户密文通过模运算的同态性产生的。

对于多个用户，模运算的同态性也同样适用。可以理解为之前一个用户有多个密文矩阵，只不过这些密文的私钥是一个（因为是一个人加密），现在把多个矩阵给每一个用户一个了，显然每一用户私钥不同，密文矩阵里的真实模分量的位置也不一样，因此需要密文重排后才能完成后面的同态运算。

以三个用户为例：用户Alice（用户U₁）、Bob（用户U₂）和Eve（用户U₃）的密文重排和对齐操作后的密文X′、Y′和Z′中所有相同空间位置的模分量进行相同的加法和乘法运算，得到新的密文矩阵Z₁₂₃，这里矩阵Z₁₂₃中的每一个元素都是三个密文X′、Y′和Z′通过模运算的同态性产生的；将Z_abc分别做密文重排操作的逆运算，以恢复到投影基B下对应的真实模分量，得到三个用户最终密文运算后的矩阵Z₁、Z₂和Z₃，其中Z₁={Z₁₁, Z₁₂,…,Z_1n}^T，Z_1i={Z_1,1i, Z_1,2i,…,Z_1,tn}；Z₂={Z₂₁, Z₂₂,…,Z_2n}^T，Z_2i={Z_2,1i, Z_2,2i,…,Z_2,tn}；Z₃={Z₃₁, Z₃₂,…,Z_3n}^T，Z_3i={Z_3,1i, Z_3,2i,…,Z_3,tn}。

（9）根据私钥解密：如果Alice（用户U₁）欲对新的密文Z₁解密，根据密文Z₁对应的私钥SK₁中包含的真实模分量位置集合W₁={w₁₁,w₁₂,…w_1n},得到计算后的真实模分量R₁={r₁₁,r₁₂,…,r_1n}={z_1,w11,z_1,w22,…,z_1,wnn}，（这里的计算实质是角标的代入，或者说使用私钥中的n个值把密文Z矩阵中n行的第w_1i位置的值取出来，私钥中的每一个数取密文Z矩阵对应行向量中的一个数。这样Z阵的每一行都取一个数，这个数就是密文计算后的n个真实模分量，其他的值都是冗余值）根据真实模分量R₁和对应的模基B并利用中国剩余定理解出中间结果τ，再对τ除以amp^orderz消除噪声得到τ′，τ′根据浮点精level×p确定浮点数小数点的位置得到最终结果Output =τ′×10^-(level×p)；以上就完成了多方加密后的同态运算后任意一方解密的过程。

本发明进行密文加密解密的原理是：每一个数据的所有者都可以通过自己的用户密钥产生自己的私有密钥用于保护自己的秘密信息，然后该用户将自己的消息数据进行保留固定精度转换成整数后对一组模基进行模操作，将得到的模分量信息混合到冗余信息中去构成密文并上传至云上；当不同用户之间进行密文下的运算时，首先通过密钥交换协议对密文进行重排使得真实模分量在唯一的公钥下做相同的模运算；由于模运算（加、乘）有同态性，对模分量的操作相当于对原始信息进行操作；根据中国剩余定理实现解密。下面对本发明的发明原理进行进一步说明：

一、密钥的生成方式为：

1.定义投影基B

多个用户定义共同的投影基B，其元素b₁,b₂,…,b_n为投影基B中元素且两两互素，具体公式如下：B={b₁,b₂,…,b_n}。

2.定义每个用户冗余向量长度t和模分量位置基W_i，具体公式如下：

W_i={w_i1,w_i2,…w_in} ,0≤w_ij＜t 。

3.私钥SK_i包含投影基B，模分量位置基W_i；评估密钥EK_i包含投影基B，根据私钥SK_i对浮点数1.0加密生成公钥PK_i，且PK_i包含B。

二、明文浮点数加密：

1.每一个用户U_i对浮点数M预处理获取对应的原始信息P_i，具体可用如下公式表达：

P_i=I×amp＋e，记当前密文的放大倍数的扩张倍数为order，有效精度位数p的扩张倍数为level，密文的order和level初始值均为1。

2.计算每个用户的真实模分量集m_i，具体可用如下公式表达：

m_i={m_i,1,m_i,2,m_i,3,…m_i,n},m_i=I mod b_i,i=1,2,…,n。

3.利用每个用户的真实模分量集m_i生成对应的冗余集S_i

S_i={S_i1,S_i2,…,S_in}^T，冗余集中每个元素S_ij={S_i,1j,S_i,2j,…,S_i,tj}，i∈[m]，j∈[n]。

4.每一个依据自身的位置基将真实模分量集插入冗余集中去得到密文主体：C_i={C_i1,C_i2,…,C_in}^T其中C_ij={C_i,1j ,C_i,2j ,…C_i,tj}={S_i,1j,S_i,2j,…,S_i,tj}。

三、密文运算，以两个用户Alice和Bob之间的计算为例

1.密文重排

（1）Alice和Bob执行密钥交换协议

Alice选取一个素数p以及该素数的本原根g并发送给Bob，分别取一个秘密的随机数a和b，其中b∈[1，p-1]，Alice计算g^a发送给Bob，Bob计算g^b发送给Alice，双方共同计算(g^a)^b=(g^b)^a=g^ab。

计算v_ab用于密文旋转v_ab={v₁,v₂,…v_n}，其中每个元素v_i用以下公式表示：

v_i=g^aibi mod t。

（2）密文旋转

以两个用户为例，Alice根据其私钥中的位置基和共同值，向云服务器发送旋转命令，Alice私钥中的位置基表示为，共同值为v_abc={v₁,v₂,…v_n},旋转命令。

Bob也做类似操作完成密文重排。

2.密文对齐

以两个用户为例，密文对齐操作如下：

根据模运算的性质，两个用户Alice和Bob的密文经过重排和对齐后得到待计算的密文矩阵X和Y，X和Y的所有模分量进行相同的加法和乘法运算得到密文矩阵Z_ab；将Z_ab分别做密文重排操作的逆运算，以恢复到投影基B下对应的真实模分量，得到最终的密文运算后的矩阵Z_a和Z_b，具体表达式如下：

；

。

四、私钥解密

1.对于两个用户如果Alice欲对密文Z_a解密,根据私钥的W_a得到真实的模分量R_a，具体表达式如下：

。

2.根据中国剩余定理得到中间结果τ

；/>。

3.是B_i在/>中的乘法逆元

。

4.计算中间结果τ，具体计算公式如下：

。

5.计算τ′具体计算公式如下：

。

6. 根据τ′计算最终结果Output，具体计算公式如下：

Output =τ′×10^-(level×p)。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种基于模分量同态的多用户隐私保护方法，其特征在于，包括以下步骤：

S1、根据多个用户输入的各自用户密钥，生成每个用户对应的秘密密钥、公共密钥和评估密钥；

S2、每个用户对明文浮点数进行精度转化，获得每个用户对应的原始信息；

S3、根据每个用户对应的秘密密钥将该用户对应的原始信息分裂成真实模分量集；

S4、根据每个用户得到的真实模分量集生成对应的冗余集；

S5、将每个用户对应的真实模分量集分别插入生成的对应所述冗余集中，生成对应的密文主体；

S6、所有用户基于多方DH密钥交换协议协商一组共同值，并根据所述共同值将每个用户密文主体中的真实模分量旋转到相同的位置，完成密文主体的密文重排；

S7、对密文重排后的密文主体进行对齐操作；

S8、对对齐操作后密文主体中所有的模分量进行相同的加法和乘法运算，得到每个用户对应的新密文；

S9、每个用户根据自己对应的秘密密钥，对对应的新密文进行解密。

2.根据权利要求1所述的基于模分量同态的多用户隐私保护方法，其特征在于，所述步骤S1包括：

根据每个用户输入的对应用户密钥Userkey_i随机生成一个位置基W_i={w_i1,w_i2,…w_ij…w_in} ,0≤w_ij＜t；

其中，Userkey_i表示第i个用户U_i的用户秘钥；位置基W_i用来插入第i个用户U_i的真实模分量；w_ij为真实模分量所在位置，用于表示第i个用户U_i的位置基中第j个分量；t表示一个冗余向量中冗余项的个数；

所有用户共同协商获取一个公共的投影基B={b₁,b₂,…,b_n}并公开；其中所述投影基B用于将原始信息分裂，b₁,b₂,…,b_n为B中的元素，且b₁,b₂,…,b_n两两互素，n的大小表示投影基的数量；

每个用户生成对应的秘密密钥SK_i中包含用于做模投影的投影基B和该用户对应的位置基W_i；

每个用户对应的公共密钥PK_i为使用对应秘密密钥SK_i对浮点数1.0进行加密后的密文且包含投影基B；

每个用户对应的评估密钥EK_i包含公共的投影基B。

3.根据权利要求2所述的基于模分量同态的多用户隐私保护方法，其特征在于，所述步骤S2包括：

每个用户将明文浮点数作为输入，四舍五入保留p位小数，然后乘以10^p转为对应的整数I；

整数I乘以一个放大倍数amp再加上一个随机正整数噪声e得到每个用户对应的原始信息P_i；其中放大倍数amp≥10⁶；记当前密文的放大倍数的扩张倍数为order，有效精度位数p的扩张倍数为level，密文的order和level初始值均为1；P_i表示第i个用户U_i对应的原始信息。

4.根据权利要求3所述的基于模分量同态的多用户隐私保护方法，其特征在于，所述步骤S3包括：

每个用户根据对应秘密密钥SK_i包含的模投影基B将原始信息P_i进行分裂，原始信息P_i对投影基B中的元素分别进行取模操作，得到真实模分量集合m_i={m_i,1,m_i,2,m_i,3,…m_i,n}，其中m_i表示第i个用户U_i对应的真实模分量集合，m_i=I mod b_i，i=1,2，…，n。

5.根据权利要求4所述的基于模分量同态的多用户隐私保护方法，其特征在于，所述步骤S4包括：

每个用户依据真实模分量集合m_i={m_i,1,m_i,2,m_i,3,…m_i,n}元素的值，生成n个分别包含t个冗余项的冗余向量，得到对应的冗余集S_i={S_i1,S_i2,…,S_in}^T，S_i表示第i个用户U_i对应的冗余集；

其中S_ij={S_i,1j,S_i,2j,…,S_i,tj}，i∈[m]，j∈[n]，T表示矩阵转置符号。

6.根据权利要求5所述的基于模分量同态的多用户隐私保护方法，其特征在于，所述步骤S5包括：

每个用户将自己对应的真实模分量集m_i分别插入对应冗余集S_i中，根据每个用户的秘密密钥SK_i中包含的位置基W_i，将原始真实模分量集m_i中的元素按照位置基W_i中元素代表的插入位置，依次代替冗余集S_i原位置对应的元素，得到该用户对应的密文主体C_i，其中，C_i表示第i个用户U_i得到的密文主体，C_i={C_i1,C_i2,…,C_in}^T，C_ij={C_i,1j ,C_i,2j ,…C_i,tj}={S_i,1j,S_i,2j,…,S_i,tj}，i=1,2,…n；即用户U_i的密文矩阵C_i的某一行为真实模分量m_i替换掉了冗余向量S_ij中的位置在第w_ij的冗余项后的模分量向量。

7.根据权利要求6所述的基于模分量同态的多用户隐私保护方法，其特征在于，所述步骤S6包括：

所有用户通过执行DH密钥交换协议，协商一组共同的值v={v₁,v₂,…,v_n};

根据每个用户对应秘密密钥SK_i中包含的位置基W_i和共同值v向云服务器发送旋转命令ratate_i = {w_i1-v₁,w_i2-v₂,…，w_in-v_n}，ratate_i表示第i个用户U_i发送的旋转命令，使得该用户U_i密文主体所对应的密文矩阵中的每一行C_i均循环左移w_ii-v_i位。

8.根据权利要求7所述的基于模分量同态的多用户隐私保护方法，其特征在于，所有用户通过执行DH密钥交换协议，协商一组共同的值，通过以下步骤获取：

将所有用户按照顺序依次排列形成用户序列，在所述用户序列中选择任一用户作为起始用户U₁，起始用户U₁选取一个素数p以及该素数p的本原根g并分别发送给用户序列中的其他用户；

第一轮计算：

S611、起始用户U₁选取一个秘密随机数a1，a1∈[1,p-1]，计算g^a1发送给用户序列中所述起始用户U₁的下一用户U₂；

S612、用户序列中下一用户U₂选取另一个对应的秘密随机数a2，a2∈[1,p-1]，计算g^a2发送给下一用户U₂的下一用户U₃；

S613、重复步骤S612直到用户序列中最后一个用户U_m选取对应的秘密随机数am，am∈[1,p-1]，计算g^am并发送给起始用户U₁；

第二轮计算：

S621、起始用户U₁根据上一轮得到的g^am和上一轮选取的秘密随机数a1，计算g^am*a1发送给起始用户U₁的下一用户U₂；

S622、下一用户U₂根据上一轮得到的g^a1和上一轮选取的秘密随机数a2，计算g^a1*a2发送给下一用户U₂的下一用户U₃；

S623:重复步骤S622直到用户序列中最后一个用户U_m选取上一轮得到的g^a（m-1）和上一轮选取的秘密随机数am，计算g^a(m-1)*am并发送给起始用户U₁；

m个用户执行m-1轮计算，使得用户序列中每一个用户U_i均有m个参数参与计算，令v_i′=g^a1*a2*…*am mod p，v_i = v_i′ mod t，完成一次DH协商；

重复执行n次DH协商，获取m个用户共同的重排向量v={v₁,v₂,…,v_n}，重排向量v即为所有用户通过执行DH密钥交换协议，协商得到的一组共同的值。

9.根据权利要求8所述的基于模分量同态的多用户隐私保护方法，其特征在于，步骤S7具体包括：

根据重排操作后每个用户密文矩阵的order值和level值进行加法运算对齐；

根据重排操作后每个用户密文矩阵的order值和level值进行乘法运算对齐。

10.根据权利要求9所述的基于模分量同态的多用户隐私保护方法，其特征在于，步骤S8具体包括：

根据模运算的同态性和评估密匙，将所有用户密文重排和对齐操作后的密文中所有相同空间位置的模分量进行相同的加法和乘法运算，得到新的密文矩阵，所述新的密文矩阵中的每一个元素都是每一个密文重排和对齐操作后的密文通过模运算的同态性产生的，将所述新的密文矩阵做密文重排操作的逆运算，以恢复到投影基B下对应的真实模分量，得到最终密文运算后每个用户对应的新的密文。