WO2020258373A1

WO2020258373A1 - 一种基于同态加密的百万富翁问题解决方法

Info

Publication number: WO2020258373A1
Application number: PCT/CN2019/095167
Authority: WO
Inventors: 吴永东; 戴杰玲; 赖俊祚; 翁健
Original assignee: 暨南大学
Priority date: 2019-06-24
Filing date: 2019-07-09
Publication date: 2020-12-30
Also published as: GB2600038A; CN110299987B; CN110299987A

Abstract

本发明公开了一种基于同态加密的百万富翁问题解决方法，对第一数据方的数据进行编码得到第一数据方编码集，对第二数据方的数据进行编码得到第二数据方编码集，通过比较第一数据方编码集和第二数据方编码集是否存在相同元素，结合比较协议和同态加密算法，获取两个数据方数据的比较结果，但两个数据方之间不能获取对方数据信息；保证双方数据安全，即提高了安全性。

Description

一种基于同态加密的百万富翁问题解决方法

技术领域

本发明涉及信息计算的研究领域，特别涉及一种基于同态加密的百万富翁问题解决方法。

背景技术

随着电子商务发展，涉及敏感数据的计算通常会在网上进行。人们可以访问数据库获取信息，在没有很多限制下可以随时随地完成商业交易，同时人们对于网络服务的要求是快速且安全。不受信任的网络实体和主机会给网络服务带来很多的挑战和问题。为了防止信息泄漏和保护这些实体和主体的安全性，需要使用各种加密技术。解决这些问题是密码学研究的热点，对电子商务和数据挖掘有非常深远的意义。电子商务应用会涉及判断多个数字的大小。在很多情况下，这些数字包含一些敏感信息，敏感信息一旦被泄露，很可能会使人们面临利益受损，同时考虑减少通信开销，希望不借助第三方来完成这些操作。

百万富翁的问题就是不泄露两个参与方拥有的数字信息的情况，确定哪个数字更大。这一问题可以在电子商务中有应用。在电子商务的拍卖定价过程中，为了参与方不会受到任何利益损失，竞价比较需要保证安全性，不会泄露任何信息。支持这样拍卖需要安全的比较协议。解决百万富翁的问题已经是密码学中研究热点，目前很多学者研究给出不同的解决的方案。其中有些方案会存在一些缺点，比如计算量较大、通信开销比较大、实现较难等。

Hsiao-Ying Lin等人在文献《An Efficient Solution to The Millionaires’Problem Based on Homomorphic Encryption》主要对百万富翁问题提出了一种有效的解决方案。这个方案主要利用0编码与1编码，将百万富翁问题转换为集合的交集问题。这个方案效率比较高，但是存在安全性问题。

发明内容

本发明的主要目的在于克服现有技术的缺点与不足，提供一种基于同态加密的百万富翁问题解决方法，解决百万富翁的问题类似于判断双方持有的数字哪个比较大的问题。由于在很多应用场景下，用户需要用自己的数据与任何一方进行比较，且比较过程中，需要隐私保护，同时不会学习到对方的任何信息。针对现存解决百万富翁问题的方案不足之处，本发明在原方案进行改进，提高了方案的安全性。

本发明的目的通过以下的技术方案实现：

一种基于同态加密的百万富翁问题解决方法，其特征在于，包括以下步骤：

S1、设定G为同态加密算法的生成密钥过程，E为同态加密算法的加密过程，D为同态加密算法的解密过程；第一数据方有一个私有输入x，将私有输入x转为二进制数，即二进制值，则有x＝x _nx _n-1L x ₁，对第一数据方私有输入x的二进制数进行1编码，得到编码集

S2、通过生成密钥过程G产生私钥sk和公钥pk；

S3、准备表T[i][j]，其中，i∈{0,1}，1≤j≤n，根据第一数据方私有输入x的二进制值和位数对应T表的位置进行密文填充，T[x _i′][j′]＝E(z)，其中z∈{0,1}，E(z)是对z进行同态加密的密文；

r _i′为随机选取的一个数，E(r _i′)是对r _i′进行同态加密的密文；

1≤i′≤n，1≤j′≤n，

是x _i′的相反值，得到填充表格：

再将填充表格发送第二数据方；

S4、第二数据方根据自己的私有输入y，转为二进制数，则有y＝y _ny _n-1L y ₁，对第二数据方私有输入的二进制数进行0编码，得到编码集

即编码集

中有d个元素，集合

中一个元素H _k，k∈{1,2,...,d}，其中

根据

中每一位

有对应的

i″≤l≤n,1≤k≤d，随机选取一个数t _l，进行计算：

得到：

S5、根据H _k中每一位

有对应的

计算：

当集合

的元素有d个，但不够n个，则需要准备n-d个随机密文z _j″， z _j″＝E(u _j″)，1≤j″≤n-d，所述随机密文z _j″是对随机数进行同态加密的密文；

把{c ₁,c ₂,...,c _d}和{z ₁,z ₂,...,z _n-d}两个密文集合组合成一个密文集合，再将组合后密文集合中每个元素进行随机置换位置，得到密文集合{C ₁,C ₂,...,C _n}，再把密文集合{C ₁,C ₂,...,C _n}发送给第一数据方；

S6、第一数据方将接收到的集合{C ₁,C ₂,...,C _n}进行同态加密中的解密过程，得到D(C _l′)＝m _l′，1≤l′≤n，当且仅当存在m _l′＝z(z∈{0,1})，则有x＞y，否则x＜y。

进一步地，所述同态加密算法为Paillier加密算法和ElGamal加密算法其中一种。

进一步地，所述产生私钥和公钥，具体为：

当第一数据方使用Paillier加密算法，执行生成密钥过程G，选取两个素数p,q，计算N＝p·q，随机选择g，

由集合{1,2,...,N-1}中与N互素的整数构成，同时使得：

gcd(L(g ^λ(N)mod N ²),N)＝1，

定义L(x′)＝(x′-1)/N，

则有：公钥为pk＝(g,N)，私钥为sk＝λ(N)＝lcm((p-1),(q-1))；

当第一数据方使用ElGamal加密算法，执行生成密钥过程G，设

p和q为素数，G _q是价为素数q的循环群，g是G _q的生成元，

则有：公钥为：pk＝h＝g ^-α，私钥为：sk＝α∈Z _q，Z _q由集合{1,2,...,q-1}构成。

进一步地，所述填表具体为：

当第一数据方使用Paillier加密算法，第一数据方根据私有输入x的二进制值x _nx _n-1L x ₁和二进制的位数对应T表的位置进行密文填充，

计算：

其中，1≤β≤n，1≤i′≤n，1≤j′≤n，r′ _β为随机数，

由集合{1,2,...,N-1}中与N互素的整数构成，第一数据方的公钥为pk＝(g,N)；

计算：

其中，1≤β≤n，1≤i′≤n，1≤j′≤n，r″ _β为随机数，

由集合{1,2,...,N-1}中与N互素的整数构成，r _i′为随时选取的一个数，r _i′∈Z _N，Z _N＝{0,...,N-1}是关于模加法运算的群；

1≤i′≤n，

是x _i′的相反值；

得到填充后的表格：

再将填充表格发送到第二数据方；

当第一数据方使用ElGamal加密算法，第一数据方根据私有输入x的二进制值x _nx _n-1L x ₁和二进制的位数对应T表的位置进行密文填充，

计算：

其中，h＝g ^-a，r′ _β′是随机数，1≤β′≤n，1≤i′≤n，1≤j′≤n，r′ _β′∈Z _q，Z _q由集合{1,2,...,q-1}构成；

计算：

其中，r _i′和r″ _β′是随机数，1≤β′≤n，1≤i′≤n，1≤j′≤n，r _i′∈G _q，G _q是价为素数q的循环群；

得到填充后的表格：

再将填充表格发送到第二数据方。

进一步地，所述步骤S4具体为：

第二数据方接收到T表后，根据自己的私有输入y转为二进制数，则有y＝y _ny _n-1L y ₁，对第二数据方私有输入的二进制数进行0编码，得到编码集

其中

即编码集

有d个元素，编码集中一个元素H _k，k∈{1,2,...,d}，其中

根据

中每一位

有对应的

i″≤l≤n,1≤k≤d，进行计算，根据加密方法不同，则有以下情况：

当T表中的密文是使用Paillier加密算法加密的，对

中每一位

有对应的

计算，随机选取一个数t _l，

由集合中与N互素的整数构成，进行计算：

得到：

当T表中的密文是使用ElGamal加密算法加密的，对

中每一位

有对应的

计算时，随机选取一个t′ _l，t′ _l∈Z _q，Z _q由集合{1,2,...,q-1}构成，进行计算：

得到：

其中，i″≤l≤n,1≤k≤d。

进一步地，所述随机密文准备过程具体如下：

第二数据方根据编码集

中每个元素H _k，k∈{1,2,...,d}，和H _k中每一位

有对应的

进行计算：

其中，i″≤l≤n,1≤k≤d；

当编码集

的元素有d个，但不够n个，则需要准备n-d个随机密文z _j″，其中分两种情况：

当T表中的密文是Paillier加密算法加密的，准备n-d个随机密文z _j″，其中

u _j″为随机选取的一个数，u _j″∈Z _N，Z _N＝{0,...,N-1}是一个关于模N加法运算的群；r″′ _j″为一个随机数，

由集合{1,2,...,N-1}中与N互素的整数构成；

当T表中的密文是ElGamal加密算法加密的，准备n-d个随机密文z _j″，其中

u _j″为随机选取的一个数，u _j″∈G _q，G _q是价为素数q的循环群，r″′ _j″为一个随机数，r″′ _j″∈Z _q，Z _q由集合{1,2,...,q-1}构成。

进一步地，所述解密具体如下：

第一数据方将接收到的集合{C ₁,C ₂,...,C _n}中C _l′进行同态加密中的解密过程，分两种情况：

当集合{C ₁,C ₂,...,C _n}中的密文是Paillier加密算法加密的，对集合{C ₁,C ₂,...,C _n} 中每个元素C _l′进行解密，其计算过程：

其中λ(N)＝lcm((p-1),(q-1))，L(x′)＝(x′-1)/N，1≤l′≤n，当且仅当存在m _l′＝0，则有x＞y，说明第一数据方的私有输入x大于第二数据方的私有输入y，否则x＜y，说明第一数据方的私有输入x小于第二数据方的私有输入y；

当集合{C ₁,C ₂,...,C _n}中的密文是ElGamal加密算法加密的，对集合{C ₁,C ₂,...,C _n}中每个元素C _l′进行解密，其计算过程：

D(C _l′)＝(C _l′,1,C _l′,2)＝C _l′,2·C _l′,1 ^α＝m _l′，

其中，私钥sk＝α，当且仅当存在m _l′＝1，则有x＞y，说明第一数据方的私有输入x大于第二数据方的私有输入y，否则x＜y，说明第一数据方的私有输入x小于第二数据方的私有输入y。

进一步地，所述表T[i][j]为2*n的表。

进一步地，所述把{c ₁,c ₂,...,c _d}和{z ₁,z ₂,...,z _n-d}组合的具体过程为：

第二数据方计算得到{c ₁,c ₂,...,c _d}和{z ₁,z ₂,...,z _n-d}，将{c ₁,c ₂,...,c _d}和{z ₁,z ₂,...,z _n-d}两个密文集合组合成一个密文集合{c ₁,c ₂,...,c _d,z ₁,z ₂,...,z _n-d}，再将密文集合{c ₁,c ₂,...,c _d,z ₁,z ₂,...,z _n-d}中每个元素随机置换位置得密文集合{C ₁,C ₂,...,C _n}，例

再把集合{C ₁,C ₂,...,C _n}发送给第一数据方。

本发明与现有技术相比，具有如下优点和有益效果：

本发明采用选取随机数进行计算，解决百万富翁问题，即类似于判断双方持有的数字哪个比较大的问题，同时数据方不会根据解密后的明文得到另外数据方的任何信息；由于在很多应用场景下，用户需要用自己的数据与任何一方进行比较，且比较过程中，需要隐私保护，同时不会学习到对方的任何信息，使得比较双方隐私都得到保护；本发明采用0编码和1编码求交集和同态加密算法结合，数据方本地计算密文，利用同态性质可以支持密文加法运算或密文乘法运算，减少计算代价，同时两个数据方只是交互一次，减少通信开销。

附图说明

图1是本发明所述一种基于同态加密的百万富翁问题解决方法的方法流程图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

实施例

一种基于同态加密的百万富翁问题解决方法，如图1所示，包括以下步骤：

第一数据方对拥有的数据进行1编码得到编码集

第二数据方对拥有的数据进行0编码得到编码集

通过比较集合中每个元素是否存在相同的元素，就能判断哪个数比较大，解决百万富翁问题，需要运用这个比较协议，同时结合同态加密算法，这样就只知道两个数据的比较结果，而不会知道关于数据任何信息；

第一步、设定G为同态加密算法的生成密钥过程，E为同态加密算法的加密过程，D为同态加密算法的解密过程；所述同态加密算法包含Paillier加密算法和ElGamal加密算法；

第一数据方有一个私有输入x，将私有输入x转为二进制数，即二进制值，则有x＝x _nx _n-1L x ₁，对第一数据方私有输入x的二进制数进行1编码，得到编码集

第二步、通过生成密钥过程G产生私钥sk和公钥pk；

具体如下：

由集合{1,2,...,N-1}中与N互素的整数构成，同时使得：

gcd(L(g ^λ(N)mod N ²),N)＝1，

定义L(x′)＝(x′-1)/N，

则有：公钥为pk＝(g,N)，私钥为sk＝λ(N)＝lcm((p-1),(q-1))；

当第一数据方使用ElGamal加密算法，执行生成密钥过程G，设

p和q为素数，G _q是价为素数q的循环群，g是G _q的生成元，

第三步、准备表T[i][j]，所述表T[i][j]为2*n的表，其中，i∈{0,1}，1≤j≤n，根据第一数据方私有输入x的二进制值和位数对应T表的位置进行密文填充，T[x _i′][j′]＝E(z)，其中z∈{0,1}，E(z)是对z进行同态加密的密文；

1≤i′≤n，1≤j′≤n，

是x _i′的相反值，得到填充表格：

再将填充表格发送第二数据方；

其中，所述填表具体如下：

计算：

其中，1≤β≤n，1≤i′≤n，1≤j′≤n，r′ _β为随机数，

计算：

其中，r″ _β为随机数，

1≤i′≤n，

是x _i′的相反值；

得到填充后的表格：

再将填充表格发送给第二数据方；

计算：

其中，h＝g ^-a，r′ _β′是随机数，1≤β′≤n，1≤i′≤n，1≤j′≤n，r′ _β′∈Z _q，Z _q由集合 {1,2,...,q-1}构成；

计算：

得到填充后的表格：

再将表格发送给第二数据方。

第四步、具体为：

其中

即编码集

有d个元素，编码集中一个元素H _k，k∈{1,2,...,d}，其中

根据

中每一位

有对应的

当密文是使用Paillier加密算法加密的，对

中每一位

有对应的

计算，随机选取一个数t _l，

由集合中与N互素的整数构成，进行计算：

得到：

当密文是使用ElGamal加密算法加密的，对

中每一位

有对应的

得到：

其中，i″≤l≤n,1≤k≤d；

第五步、根据H _k每一位

有对应的

计算：

当集合

的元素有d个，但不够n个，则需要准备n-d个随机密文z _j″，z _j″＝E(u _j″)，1≤j″≤n-d，所述随机密文z _j″是对随机数u _j″进行同态加密的密文；

所述随机密文准备过程具体如下：

第二数据方根据编码集

中每个元素H _k，k∈{1,2,...,d}，和H _k中每一位

有对应的

进行计算：

其中，i″≤l≤n,1≤k≤d；

当编码集

当表中的密文是Paillier加密算法加密的，准备n-d个随机密文z _j″，其中

由集合{1,2,...,N-1}中与N互素的整数构成；

当表中的密文是ElGamal加密算法加密的，准备n-d个随机密文z _j″，其中

所述把{c ₁,c ₂,...,c _d}和{z ₁,z ₂,...,z _n-d}组合的具体过程为：

再把集合{C ₁,C ₂,...,C _n}发送给第一数据方。

第六步、第一数据方将接收到的集合{C ₁,C ₂,...,C _n}进行同态加密中的解密过程，得到D(C _l′)＝m _l′，1≤l′≤n，当且仅当存在m _l′＝z(z∈{0,1})，则有x＞y，否则x＜y。

其中，所述解密具体如下：

第一数据方将接收到的集合{C ₁,C ₂,...,C _n}中C _i进行同态加密中的解密过程，分两种情况：

D(C _l′)＝(C _l′,1,C _l′,2)＝C _l′,2·C _l′,1 ^α＝m _l′，

其中，私钥sk＝α，1≤l′≤n，当且仅当存在m _l′＝1，则有x＞y，说明第一数据方的私有输入x大于第二数据方的私有输入y，否则x＜y，说明第一数据方的私有输入x小于第二数据方的私有输入y。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims

一种基于同态加密的百万富翁问题解决方法，其特征在于，包括以下步骤：

S1、设定G为同态加密算法的生成密钥过程，E为同态加密算法的加密过程，D为同态加密算法的解密过程；第一数据方有一个私有输入x，将私有输入x转为二进制数，即二进制值，则有x＝x _nx _n-1L x ₁，对第一数据方私有输入x的二进制数进行1编码，得到编码集

S2、通过生成密钥过程G产生私钥sk和公钥pk；

S3、准备表T[i][j]，其中，i∈{0,1}，1≤j≤n，根据第一数据方私有输入x的二进制值和位数对应T表的位置进行密文填充，T[x _i′][j′]＝E(z)，其中z∈{0,1}，E(z)是对z进行同态加密的密文；
r _i′为随机选取的一个数，E(r _i)是对r _i′进行同态加密的密文；
1≤i′≤n，1≤j′≤n，
是x _i′的相反值，得到填充表格：

{T[x ₁][1]＝E(z)，

L，

T[x _n][n]＝E(z)，

再将填充表格发送第二数据方；

S4、第二数据方根据自己的私有输入y，转为二进制数，则有，y＝y _ny _n-1L y ₁，对第二数据方私有输入的二进制数进行0编码，得到编码集
即编码集
中有d个元素，集合
中一个元素H _k，k∈{1,2,...,d}，其中
根据
中每一位
有对应的
i″≤l≤n,1≤k≤d，随机选取一个数t _l，进行计算：

得到：

S5、根据H _k中每一位
有对应的
计算：

当集合
的元素有d个，但不够n个，则需要准备n-d个随机密文z _j″，z _j″＝E(u _j″)，1≤j″≤n-d，所述随机密文z _j″是对随机数u _j″进行同态加密的密文；

把{c ₁,c ₂,...,c _d}和{z ₁,z ₂,...,z _n-d}两个密文集合组合成一个密文集合，再将组合后密文集合中每个元素进行随机置换位置，得到密文集合{C ₁,C ₂,...,C _n}，再把密文集合{C ₁,C ₂,...,C _n}发送给第一数据方；

S6、第一数据方将接收到的集合{C ₁,C ₂,...,C _n}进行同态加密中的解密过程，得到D(C _l′)＝m _l′，1≤l′≤n，当且仅当存在m _l′＝z(z∈{0,1})，则有x＞y，否则x＜y。
根据权利要求1所述的一种基于同态加密的百万富翁问题解决方法，其特征在于，所述同态加密算法为Paillier加密算法和ElGamal加密算法其中一种。
根据权利要求2所述的一种基于同态加密的百万富翁问题解决方法，其特征在于，所述产生私钥和公钥，具体为：

当第一数据方使用Paillier加密算法，执行生成密钥过程G，选取两个素数p,q，计算N＝p·q，随机选择g，
由集合{1,2,...,N-1}中与N互素的整数构成，同时使得：

gcd(L(g ^λ(N)mod N ²),N)＝1，

定义L(x′)＝(x′-1)/N，

则有：公钥为pk＝(g,N)，私钥为sk＝λ(N)＝lcm((p-1),(q-1))；

当第一数据方使用ElGamal加密算法，执行生成密钥过程G，设
p和q为素数，G _q是价为素数q的循环群，g是G _q的生成元，

则有：公钥为：pk＝h＝g ^-α，私钥为：sk＝α∈Z _q，Z _q由集合{1,2,...,q-1}构成。
根据权利要求2所述的一种基于同态加密的百万富翁问题解决方法，其特征在于，所述填表具体为：

当第一数据方使用Paillier加密算法，第一数据方根据私有输入x的二进制值x _nx _n-1L x ₁和二进制的位数对应T表的位置进行密文填充，

计算：

T[x _i′][j′]＝E(0)＝g ⁰r _β′ ^Nmod N ²，

其中，1≤β≤n，1≤i′≤n，1≤j′≤n，r′ _β为随机数，
由集合{1,2,...,N-1}中与N互素的整数构成，第一数据方的公钥为pk＝(g,N)；

计算：

其中，r″ _β为随机数，r _i′为随机选取的一个数，r _i′∈Z _N，Z _N＝{0,...,N-1}是关于模加法运算的群；
1≤i′≤n，
是x _i′的相反值；

得到填充后的表格：

{T[x ₁][1]＝E(0)，

...,

T[x _n][n]＝E(0)

再将填充表格发送给第二数据方；

当第一数据方使用ElGamal加密算法，第一数据方根据私有输入x的二进制值x _nx _n-1L x ₁和二进制的位数对应T表的位置进行密文填充，

计算：

其中，h＝g ^-a，r′ _β′是随机数，1≤β′≤n，1≤i′≤n，1≤j′≤n，r′ _β′∈Z _q，Z _q由集合{1,2,...,q-1}构成；

计算：

其中，r _i′和r″ _β′是随机数，r _i′∈G _q，G _q是价为素数q的循环群，r″ _β′∈Z _q，Z _q由集合{1,2,...,q-1}构成；

得到填充后的表格：

{T[x ₁][1]＝E(1)，

...,

T[x _n][n]＝E(1)

再将填充表格发送给第二数据方。
根据权利要求4所述的一种基于同态加密的百万富翁问题解决方法，其特征在于，所述表T[i][j]为2*n的表。
根据权利要求2所述的一种基于同态加密的百万富翁问题解决方法，其特征在于，所述步骤S4具体为：

第二数据方接收到T表后，根据自己的私有输入y转为二进制数，则有y＝y _ny _n-1L y ₁，对第二数据方私有输入的二进制数进行0编码，得到编码集
其中
即编码集
有d个元素，编码集中一个元素H _k，k∈{1,2,...,d}，其中
根据
中每一位
有对应的
i″≤l≤n,1≤k≤d，进行计算，根据加密方法不同，则有以下情况：

当T表中的密文是使用Paillier加密算法加密的，对
中每一位
有对应的
计算，随机选取一个数t _l，
由集合中与N互素的整数构成，进行计算：

得到：

当T表中的密文是使用ElGamal加密算法加密的，对
中每一位
有对应的
计算时，随机选取一个t′ _l，t′ _l∈Z _q，Z _q由集合{1,2,...,q-1}构成，进行计算：

得到：

其中，i″≤l≤n,1≤k≤d。
根据权利要求2所述的一种基于同态加密的百万富翁问题解决方法，其特征在于，所述随机密文准备过程具体如下：

第二数据方根据编码集
中每个元素H _k，k∈{1,2,...,d}，和H _k中每一位
有对应的
进行计算：

其中，i″≤l≤n,1≤k≤d；

当编码集
的元素有d个，但不够n个，则需要准备n-d个随机密文z _j″，其中分两种情况：

当T表中的密文是Paillier加密算法加密的，准备n-d个随机密文z _j″，其中
u _j″为随机选取的一个数，u _j″∈Z _N，Z _N＝{0,...,N-1}是一个关于模N加法运算的群；r″′ _j″为一个随机数，
由集合{1,2,...,N-1}中与N互素的整数构成；

当T表中的密文是ElGamal加密算法加密的，准备n-d个随机密文z _j″，其中
u _j″为随机选取的一个数，u _j″∈G _q，G _q是价为素数q的循环群，r″′ _j″为一个随机数，r″′ _j″∈Z _q，Z _q由集合{1,2,...,q-1}构成。
根据权利要求1所述的一种基于同态加密的百万富翁问题解决方法，其特征在于，所述把{c ₁,c ₂,...,c _d}和{z ₁,z ₂,...,z _n-d}组合的具体过程为：

第二数据方计算得到{c ₁,c ₂,...,c _d}和{z ₁,z ₂,...,z _n-d}，将{c ₁,c ₂,...,c _d}和{z ₁,z ₂,...,z _n-d}两个密文集合组合成一个密文集合{c ₁,c ₂,...,c _d,z ₁,z ₂,...,z _n-d}，再将密文集合{c ₁,c ₂,...,c _d,z ₁,z ₂,...,z _n-d}中每个元素随机置换位置得密文集合{C ₁,C ₂,...,C _n}，例{C ₁,C ₂,...,C _n}＝{c ₂,z _n-d,...c, _n}，再把集合{C ₁,C ₂,...,C _n}发送给第一数据方。
根据权利要求2所述的一种基于同态加密的百万富翁问题解决方法，其特征在于，所述解密具体如下：

第一数据方将接收到的集合{C ₁,C ₂,...,C _n}中C _l′进行同态加密中的解密过程，分两种情况：

当集合{C ₁,C ₂,...,C _n}中的密文是Paillier加密算法加密的，对集合{C ₁,C ₂,...,C _n}中每个元素C _l′进行解密，其计算过程：

其中λ(N)＝lcm((p-1),(q-1))，L(x′)＝(x′-1)/N，1≤l′≤n，当且仅当存在m _l′＝0，则有x＞ _y，说明第一数据方的私有输入x大于第二数据方的私有输入y，否则x＜ _y，说明第一数据方的私有输入x小于第二数据方的私有输入y；

当集合{C ₁,C ₂,...,C _n}中的密文是ElGamal加密算法加密的，对集合{C ₁,C ₂,...,C _n}中每个元素C _l′进行解密，其计算过程：

D(C _l′)＝(C _l′,1,C _l′,2)＝C _l′,2·C _l′,1 ^α＝m _l′，

其中，私钥sk＝α，当且仅当存在m _l′＝1，则有x＞y，说明第一数据方的私有输入x大于第二数据方的私有输入y，否则x＜y，说明第一数据方的私有输入x小于第二数据方的私有输入y。