WO2021239008A1

WO2021239008A1 - 一种基于隐私保护的加密方法和系统

Info

Publication number: WO2021239008A1
Application number: PCT/CN2021/096168
Authority: WO
Inventors: 谭晋; 王磊
Original assignee: 支付宝(杭州)信息技术有限公司
Priority date: 2020-05-27
Filing date: 2021-05-26
Publication date: 2021-12-02
Also published as: CN111371545B; CN111371545A

Abstract

本说明书实施例公开了一种基于隐私保护的加密方法。所述方法包括：获取数据拥有者对所述数据通过半同态加密算法加密后的密文；所述密文进行第一计算，得到标准式；所述标准式为所述数据拥有者进行的计算；生成随机数；基于所述随机数对所述标准式进行扰动，得到扰动式；将所述扰动式发送至所述数据拥有者进行计算得到扰动式的结果；获取加密扰动式结果；基于加密扰动式结果、标准式、随机数和所述扰动得到加密结果。

Description

一种基于隐私保护的加密方法和系统

技术领域

本说明书涉及信息安全领域，特别涉及一种基于隐私保护的加密方法和系统。

背景技术

安全多方计算(Secure Multi-Party Computation)，是一种保护数据安全隐私的多方计算方法。安全多方计算允许多个持有各自私有数据的参与方，共同执行一个计算逻辑，并获得计算结果，参与过程中，每一方均不会泄漏各自的私有数据。

在进行多方安全计算过程中，通常各参与方之间并不完全信任，故除了保证计算能够顺利进行前提下，还需要保证各方数据的安全性。

发明内容

本说明书实施例之一提供一种基于隐私保护的加密方法。所述方法包括：获取数据拥有者对所述数据通过半同态加密算法加密后的密文；基于计算服务器持有的算法对所述密文进行第一计算，得到标准式；所述标准式为所述数据拥有者进行的计算；生成随机数；基于所述随机数对所述标准式进行扰动，得到扰动式；将所述扰动式发送至所述数据拥有者进行计算得到扰动式的结果；获取数据拥有者基于所述半同态加密算法对所述扰动式的结果加密得到的加密扰动式结果；基于加密扰动式结果、标准式、随机数和所述扰动得到加密结果。

本说明书实施例之一提供一种基于隐私保护的加密系统。该系统包括：密文获取模块，用于获取数据拥有者对所述数据通过半同态加密算法加密后的密文；第一计算模块，用于基于计算服务器持有的算法对所述密文进行第一计算，得到标准式；所述标准式为所述数据拥有者进行的计算；随机数生成模块，用于生成随机数；扰动模块，用于基于所述随机数对所述标准式进行扰动，得到扰动式；第一发送模块，用于将所述扰动式发送至所述数据拥有者进行计算得到扰动式的结果；第一接收模块，用于获取数据拥有者基于所述半同态加密算法对所述扰动式的结果加密得到的加密扰动式结果；所述第一计算模块还用于基于加密扰动式结果、标准式、随机数和所述扰动得到加密结果。

在本说明书实施例之一提供一种基于隐私保护的加密装置，其包括处理器及存储介质，所述存储介质用于存储计算机指令，所述处理器用于执行计算机指令以实现如上述基于隐私保护的加密方法。

在本说明书实施例之一提供一种计算机可读存储介质，所述存储介质存储有计算机指令，当所述计算机指令被处理器执行后，能够实现上述的基于隐私保护的加密方法。

本说明书实施例之一提供一种基于隐私保护的加密方法。所述方法包括：基于半同态加密算法对数据进行加密得到密文并发送至计算服务器；获取所述计算服务器发送的扰动式；基于所述半同态加密算法对所述扰动式解密得到解密数据；对所述解密数据进行计算得到所述扰动式的结果；基于所述半同态加密算法对所述扰动式的结果加密得到加密扰动式结果；将所述加密扰动式结果发送至所述计算服务器。

本说明书实施例之一提供一种基于隐私保护的加密系统。该系统包括：加密模块，用于基于半同态加密算法对数据进行加密得到密文并发送至计算服务器；第二接收模块，用于获取所述计算服务器发送的扰动式；解密模块，基于所述半同态加密算法对所述扰动式解密得到解密数据；第二计算模块，对所述解密数据进行计算得到所述扰动式的结果；所述加密模块还用于基于所述半同态加密算法对所述扰动式的结果加密得到加密扰动式结果；第二发送模块，用于将所述加密扰动式结果发送至所述计算服务器。

在本说明书实施例之一提供一种基于隐私保护的加密装置，其包括处理器及存储介质，所述存储介质用于存储计算机指令，所述处理器用于执行计算机指令以实现如上述的基于隐私保护的加密方法。

附图说明

本说明书将以示例性实施例的方式进一步说明，这些示例性实施例将通过附图进行详细描述。这些实施例并非限制性的，在这些实施例中，相同的编号表示相同的结构，其中：

图1是根据本说明书一些实施例所示的基于隐私保护的加密系统的应用场景示意图；

图2是根据本说明书一些实施例所示的基于隐私保护的加密方法示例性流程图；

图3是根据本说明书一些实施例所示的基于隐私保护的加密方法示例性计算流程图；

图4为是根据本说明书一些实施例所示的将扰动式发送至数据拥有者进行计算的示例性流程图；

图5是根据本说明书另一些实施例所示的基于隐私保护的加密方法示例性流程图；

图6是根据本说明书的一些实施例所示的计算服务器侧的示例性系统框图；

图7是根据本说明书的一些实施例所示的数据拥有者侧的示例性系统框图。

具体实施方式

为了更清楚地说明本说明书实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见地，下面描述中的附图仅仅是本说明书的一些示例或实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图将本说明书应用于其它类似情景。除非从语言环境中显而易见或另做说明，图中相同标号代表相同结构或操作。

应当理解，本文使用的“系统”、“装置”、“单元”和/或“模块”是用于区分不同级别的不同组件、元件、部件、部分或装配的一种方法。然而，如果其他词语可实现相同的目的，则可通过其他表达来替换所述词语。

如本说明书和权利要求书中所示，除非上下文明确提示例外情形，“一”、“一个”、“一种”和/或“该”等词并非特指单数，也可包括复数。一般说来，术语“包括”与“包含”仅提示包括已明确标识的步骤和元素，而这些步骤和元素不构成一个排它性的罗列，方法或者设备也可能包含其它的步骤或元素。

本说明书中使用了流程图用来说明根据本说明书的实施例的系统所执行的操作。应当理解的是，前面或后面操作不一定按照顺序来精确地执行。相反，可以按照倒序或同时处理各个步骤。同时，也可以将其他操作添加到这些过程中，或从这些过程移除某一步或数步操作。

图1是根据本说明书一些实施例所示的基于隐私保护的加密系统的应用场景示意图。

如图1所示，基于隐私保护的加密系统100可以包括数据拥有者110、计算服务器120和网络140。

数据拥有者110可以是指包括一方的用户终端或属于一方的用户终端设备集群并通过网络接口与接入网相连的节点。在一些实施例中，该设备集群可以是集中式的或者分布式的。在一些实施例中，该设备集群可以是区域的或者远程的。用户终端可以是指用户所使用的一个或多个终端设备或软件。用户终端可以包括处理单元、显示单元、输入/输出单元、感知单元、存储单元等。感知单元可以包括但不限于光传感器、距离传感器、加速度传感器、陀螺仪传感器、声音探测器等或其任意组合。在一些实施例中，用户终端可以是移动设备、平板计算机、膝上型计算机、台式计算机等其他具有输入和/或输出功能的设备中的一种或其任意组合。在一些实施例中，使用用户终端的可以是一个或多个用户，可以包括直接使用服务的用户，也可以包括其他相关用户。

计算服务器120可以用于多个数据拥有者110的汇聚。计算服务器120可以是指包括一方的单台设备或属于一方的设备集群并通过网络接口与接入网相连的节点。在一些实施例中，该设备集群可以是集中式的或者分布式的。在一些实施例中，该设备集群可以是区域的或者远程的。在一些实施例中，计算服务器120可以包括主机、终端等设备。例如服务器、拥有计算资源的计算机等。

网络140可以连接系统的各组成部分和/或连接系统与外部资源部分。网络140使得各组成部分之间，以及与系统之外其他部分之间可以进行通讯，促进数据和/或信息的交换。在一些实施例中，网络140可以是有线网络或无线网络中的任意一种或多种。例如，网络140可以包括电缆网络、光纤网络、电信网络、互联网、局域网络(LAN)、广域网络(WAN)、无线局域网(WLAN)、城域网(MAN)、公共交换电话网络(PSTN)、蓝牙网络、紫蜂网络(ZigBee)、近场通信(NFC)、设备内总线、设备内线路、线缆连接等或其任意组合。各部分之间的网络连接可以是采用上述一种方式，也可以是采取多种方式。在一些实施例中，网络可以是点对点的、共享的、中心式的等各种拓扑结构或者多种拓扑结构的组合。在一些实施例中，网络140可以包括一个或以上网络接入点。例如，网络140可以包括有线或无线网络接入点，例如基站和/或网络交换点140-1、140-2、…。通过这些进出点，系统100的一个或多个组件可连接到网络140上以交换数据和/或信息。

基于隐私保护的加密系统100可以通过实施本说明书中披露的方法和/或过程来进行多方计算。在一些实施例中，所述多方计算可以是各行业中使用的数据，该数据包括但不限于金融行业、保险行业、互联网行业、汽车行业、餐饮行业、电信行业、能源行业、娱乐行业、体育行业、物流行业、医疗行业、安全行业等。

在一些实施例中，在进行安全多方计算时，数据拥有者110持有一部分数据，数据拥有者110为了保护数据的隐私，在将数据发送计算服务器120进行计算前需要对数据进行加密。为了使加密后的密文能够进行运算，且对密文进行计算后解密得到的结果与不加密计算得到的结果相同，在一些实施例中，数据拥有者110采用全同态加密算法对数据拥有者110持有的数据进行加密。同态加密为对经过同态加密的数据进行处理得到一个输出，将这一输出进行解密，其结果与用同一方法处理未加密的原始数据得到的输出结果是一样的。全同态为经过加密后的数据能够同时进行乘法和加法运算得到的结果与用相同运算对未加密的数据得到相同的输出结果，但全同态加密算法得到的密文较大，传输成本高；并且全同态加密算法中对于乘法运算的次数有限制，当超过某一预期乘法运算次数后，密文会失去同态性，故全同态加密算法无法满足大规模复杂计算的场景。

在一些实施例中，数据拥有者110采用基于秘密分享的密态乘法实现安全多方计算，具体的，密态乘法需要比尔三元组，而比尔三元组需要同态加密算法生成，故最终还是需要同态加密算法，而且基于秘密分享的乘法在进行安全多方计算的在线过程还需要大量数据交互，增加了传输成本。

在一些实施例中，为了适应大规模复杂计算的场景，数据拥有者110采用对计算次数没有限制的半同态加密算法对数据进行加密。半同态加密可以仅是乘法同态或加法同态加密算法。根据同态加密的性质可知，利用半同态加密算法还能够缩小密文尺寸，减少传输成本。但由于在计算服务器120利用其持有的算法进行计算时，通常是同时包括乘法和加法的，故计算服务器120210仅能够进行半同态加密算法加密得到的密文支持的计算，而由于数据拥有者110能够基于该半同态加密算法进行解密，故数据拥有者110进行计算服务器120不能及进行的计算。仅处于说明的目的，本说明书以加法同态加密算法作为半同态加密算法为例，对披露的技术方案进行详细描述，并不旨在限制本说明书的范围。

图2是根据本说明书一些实施例所示的基于隐私保护的加密方法示例性流程图。

图2所示的基于隐私保护的加密方法中一个或多个操作可以通过图1所示的基于隐私保护的加密系统100实现。在一些实施例中，基于隐私保护的加密方法可以适用于两个以上数据拥有者的场景，例如3个或更多数据拥有者110，数据拥有者110分别于计算服务器120或先后与计算服务器120进行交互，以实现大规模计算。为了方便阐述，在本说明书各实施例中主要以两方为例进行。

步骤210，数据拥有者基于半同态加密算法对所述数据进行加密得到密文并发送至计算服务器。在一些实施例中，步骤210可以由加密模块610执行。

在一些实施例中，数据拥有者拥有的数据可能是多方计算中的一部分，也可能是包括数据拥有者隐私的数据，由于安全多方计算中各数据拥有者和计算服务器之间并不存在无条件信任，数据拥有者为了保证其数据的隐私，需要对数据进行加密，并将加密后得到的密文发送至计算服务器。

在一些实施例中，半同态加密算法为加法同态加密算法(如Paillier算法、Benaloh算法)，可以理解的是，对经过加法同态加密算法的多个数据进行加法计算得到一个输出，再将这一输出进行解密，其结果与用相同加法计算处理多个未加密的原始数据得到的输出结果相同。仅作为示例，假设两个数据明文分别为A和B，加法同态加密算法为f(X)，则有f(A)+f(B)＝f(A+B)；额外的，加法同态加密算法还具备明文与密文相加或相乘，均可以得到结果正确且依旧具备加法同态的密文，可以记为f(A)+B＝f(A+B)以及f(A)*B＝f(A*B)。

步骤310，计算服务器获取数据拥有者对所述数据通过半同态加密算法加密后的密文。在一些实施例中，步骤310可以由密文获取模块510执行。

在前文中已经提到，计算服务器持有算法，为了利用计算服务器所持有的算法对数据拥有者所拥有的数据进行计算，计算服务器获取数据拥有者发送的通过半同态加密算法加密的密文。

步骤320，计算服务器基于计算服务器持有的算法对所述密文进行第一计算，得到标准式；所述标准式为所述数据拥有者进行的计算。在一些实施例中，步骤320可以由第一计算模块520执行。

第一计算为计算服务器能够基于密文进行的运算。在一些实施例中，半同态加密算法为加法半同态加密算法，第一计算可以理解成除了数据拥有者的计算，例如数据拥有者进行乘法运算，第一计算为除了乘法运算外的其他运算(如加减法运算、选择运算)。

在一些实施例中，计算服务器将其不能进行的运算整理后得到标准式。继续采用加法同态加密算法为例，此时标准式为数据拥有者进行的计算即乘法运算。

图3是根据本说明书一些实施例所示的基于隐私保护的加密方法示例性计算流程图。

为了更好的对该方法进行解释，在后文中可以同时参考图3。图中表示在一些实施例中，数据拥有者110与计算服务器120之间的数据传输情况以及各方所做的计算。

在一些实施例中，标准式包括第一单项式和第二单项式。仅作为示例，假设数据拥有者进行的计算即乘法运算包括两个乘数X和Y，由于该计算中的数据是经过加法同态加密算法加密的，利用[X]和[Y]分别表示X和Y的密文，即标准式可以表示为[X]*[Y]，标准式中[X]和[Y]分别为第一单项式和第二单项式。需要说明的是，在一些实施例中，标准式中可以包括两个以上单项式，如还包括第三单项式、第四单项式。此外，在半同态加密算法为乘法同态加密算法时，标准式可以表示为[X]+[Y]。

在一些实施例中，计算服务器和数据拥有者对其将要进行的计算可能已经达成共识，在数据拥有者利用加法同态加密算法对数据进行加密时就得知数据拥有者进行的计算为乘法，此时标准式中可以仅包括第一单项式和第二单项式，即标准式可以表示为[X]、[Y]，不包括运算符。

可以理解的是，标准式的结果即为本实施例中所需计算的加密结果，而同时数据拥有者持有半同态加密算法。在一些实施例中，如果计算服务器直接将标准式发送至数据拥有者，数据拥有者对标准式进行解密后基于其持有的原始数据可能能够反推出计算服务器持有的算法。步骤210中已经说明，由于安全多方计算中各数据拥有者和计算服务器之间并不存在无条件信任，计算服务器需要保护其算法不被泄露，故在将标准式发送至数据拥有者前，需要对标准式进行处理。

步骤330，数据拥有者生成随机数。在一些实施例中，步骤330可以由随机数生成模块530执行。

随机数的生成为信息安全领域常见步骤，在此不过多赘述。在一些实施例中，数据拥有者生成的随机数可以取自实数集。

步骤340，基于所述随机数对所述标准式进行扰动，得到扰动式。在一些实施例中，步骤340可以由扰动模块540执行。

计算服务器需要保护其算法不被泄露，故在将标准式发送至数据拥有者前，需要对标准式进行处理。在一些实施例中，利用步骤230生成的随机数对标准式进行扰动，以保证计算服务器拥有的算法不会因为数据拥有者通过反推或对数据进行构造而造成泄露。

在一些实施例中，步骤330生成的随机数包括第一随机数和第二随机数；基于所述随机数对所述标准式进行扰动包括：基于所述第一单项式与所述第一随机数得到第一扰动项；基于所述第二单项式与所述第二随机数得到第二扰动项；基于所述第一扰动项和第二扰动项得到扰动式。

仅作为示例，假设将第一随机数和第二随机数分别表示为R和S，由于随机数为明文、标准式中的单项式为基于加法同态加密后的密文，扰动可以是随机数与标准式中的单项式相乘或相加(减)，通过加法同态加密算法的性质可知，扰动式依旧具备加法同态的性质。由此，基于所述第一单项式与所述第一随机数得到第一扰动项，可以表示成[X]-R＝[X-R]；基于所述第二单项式与所述第二随机数得到第二扰动项，可以表示成[Y]-S＝[Y-S]。基于第一扰动项[X-R]和第二扰动项[Y-S]得到扰动式可以表示为[X-R]*[Y-S]或省略运算符的形式。需要说明的是，扰动可以是随机数与标准式中的单项式相乘或相加(减)，故上述第一扰动项还可以表示成[X+R]，同理第二扰动项可以表示成[Y+S]。

在一些实施例中，步骤330还可以只生成一个随机数。在步骤320中计算服务器持有的算法较为复杂的情况下，利用一个随机数采用相加(减)分别对第一单项式和第二单项式进行扰动，同样能够实现扰动，防止计算服务器持有的算法泄露，也不会对加密结果的计算产生影响。

步骤350，计算服务器将所述扰动式发送至所述数据拥有者进行计算得到扰动式的结果。在一些实施例中，步骤350可以由第一发送模块550执行。

随机数对标准式的扰动不会改变标准式的运算，即扰动式依然为数据拥有者进行的计算。在一些实施例中，数据拥有者进行的计算为乘法运算，故标准式在经过随机数扰动后，得到的扰动式依旧是两个数相乘的形时式。

在一些实施例中，数据拥有者进行的计算可以理解成在半同态加密算法加密后不能进行的计算，故在数据拥有者进行计算时需要利用半同态加密算法对扰动式进行解密，进而获得扰动式的结果，具体解密和计算方法在下文中以数据拥有者的角度进行详细说明。

图4为是根据本说明书一些实施例所示的将扰动式发送至数据拥有者进行计算的示例性流程图，在一些实施例中，图4中流程可以由数据拥有者执行。

步骤220，数据拥有者获取所述计算服务器发送的扰动式。在一些实施例中，步骤220可以由第二接收模块620执行。

数据拥有者为了进行需要数据拥有者自身需要进行的运算，获取计算服务器发送的扰动式。

步骤230，数据拥有者基于所述半同态加密算法对所述扰动式解密得到解密数据。在一些实施例中，步骤230可以由解密模块630执行。

数据拥有者可以利用其持有的半同态加密算法的密钥对扰动式进行解密，得到解密数据。在一些实施例中，继续采用半同态加密算法为加法为例，数据拥有者对扰动式进行解密后得到的解密数据为两个经过扰动的数或两个经过扰动的数相乘的算式。

步骤240，数据拥有者对所述解密数据进行计算得到所述扰动式的结果。在一些实施例中，步骤240可以由第二计算模块640执行。

在一些实施例中，将解密得到的解密数据进行数据拥有者的计算，即将两个经过扰动的数相乘。

仅作为示例，当扰动式为[X-R]*[Y-S]，数据拥有者解密后为(X-R)*(Y-S)的形式，由于该式为明文的乘法计算，数据拥有者可以直接进行计算。

步骤250，基于所述半同态加密算法对所述扰动式的结果加密得到加密扰动式结果。在一些实施例中，步骤250可以由加密模块610执行。

经过计算得到的扰动式的结果为明文，为了避免计算服务器通过反推导致的数据泄露，在数据拥有者发送扰动式的结果前还需要对该结果进行加密。在一些实施例中，由于将扰动式的结果发送计算服务器后，计算服务器可能还需要进行下一步运算，可以依旧采用半同态加密算法进行加密，即数据拥有者基于半同态加密算法对扰动式的结果进行加密，得到加密扰动式结果。

仅作为示例，加密扰动式的结果(X-R)*(Y-S)为明文，对其进行加密得到的加密扰动式结果可以表示为[(X-R)*(Y-S)]。

步骤260，数据拥有者将所述加密扰动式结果发送至所述计算服务器。在一些实施例中，步骤260可以由第二发送模块650执行。

在一些实施例中，数据拥有者将经过半同态加密算法加密的扰动式结果发送至计算服务器以进行下一步计算。

步骤360，用于获取数据拥有者基于所述半同态加密算法对所述扰动式的结果加密得到的加密扰动式结果。在一些实施例中，步骤360可以由第一接收模块560执行。

步骤370，计算服务器基于加密扰动式结果、标准式、随机数和所述扰动得到加密结果。在一些实施例中，步骤370可以由第一计算模块520执行。

再次参见图2和图3，加密扰动式结果中存在随机数的扰动，加密扰动式的结果与标准式的结果显然不同，故计算服务器基于加密扰动式结果、标准式、随机数和所述扰动得到加密结果。

在一些实施例中，继续以半同态加密算法为加法同态加密算法为例，计算服务器根据乘法计算法则，基于扰动的方式对加密扰动式结果、第一单项式与第一随机数的乘积、第二单项式与第二随机数的乘积和第一随机数与第二随机数的乘积处理，得到所述加密结果。

仅作为示例，上述处理可以表示为：

[(X-R)*(Y-S)]+[X]*S+[Y]*R-R*S (1)

根据加法同态加密算法的性质，可以将上述式(1)表示为：

[X*Y-X*S-Y*R-R*S]+[X*S]+[Y*R]-R*S (2)

对式(2)计算可得加密结果[X*Y]，该加密结果依旧为半同态加密的形式，但完成了计算服务器不能完成的[X]*[Y]的计算，整个过程计算服务器没有泄露其持有的算法，数据拥有者也没有泄露其持有的数据。

在一些实施例中，根据扰动的方式不同，假设第一扰动式为[X+R]、第二扰动式不变时，加密扰动式结果相应变化，此时式(1)可以写成：

[(X+R)*(Y-S)]+[X]*S-[Y]*R+R*S (3)

式(3)通过计算同样得到的加密结果为[X*Y]，可以理解，计算服务器扰动的方式对加密结果的计算不会产生影响。

在一些实施例中，随机数为一个，假设为R，可以将上述式(1)表示为：

[(X-R)*(Y-R)]+[X]*R+[Y]*R–R*R (4)

式(4)通过计算同样得到的加密结果为[X*Y]，可以理解，随机数的数量对加密结果的计算也不会产生影响。

图5是根据本说明书另一些实施例所示的基于隐私保护的加密方法示例性流程图。

图5所示的基于隐私保护的加密方法400中一个或多个操作同样可以通过图1所示的基于隐私保护的加密系统100实现。图5中步骤210～步骤360与图2中一些实施例所示的基于隐私保护的加密方法相同，区别在于：

步骤380，计算服务器基于计算服务器持有的算法对所述加密结果进行第一计算，得到所述标准式。

在一些实施例中，计算服务器得到的加密结果可能只是安全多方计算中的一部分，在获得加密结果后可能还需要针对数据进行下一步计算。此时，加密结果依旧只能进行第一计算，故计算服务器基于计算服务器持有的算法对所述加密结果进行第一计算，再次通过整理得到标准式。该标准式可以依照上文提到的实施例中的方式进行扰动和计算，直至得到安全多方计算的最终结果。

应当注意的是，上述图1～图5中有关流程的描述仅仅是为了示例和说明，而不限定本说明书的一些实施例的适用范围。对于本领域技术人员来说，在本说明书的一些实施例的指导下可以对流程进行各种修正和改变。然而，这些修正和改变仍在本说明书的范围之内。例如，步骤210～260与步骤310～380可以独立进行，两组步骤没有必然的先后顺序。在一些实施例中，从数据拥有者来看，步骤310～380任一步骤的前后均可穿插其他步骤，例如计算服务器基于计算服务器持有的算法对所述密文进行第一计算，得到标准式可以是计算服务器先将密文整理成标准式的形式后再进行第一计算等。又例如，流程中步骤210和步骤310没有必然的先后顺序，两者的顺序可以改变，也可以同时进行。

图6是根据本说明书的一些实施例所示的计算服务器侧的示例性系统框图。

如图6所示，基于隐私保护的加密系统500可以包括密文获取模块510、第一计算模块520、随机数生成模块530、扰动模块540、第一发送模块550和第一接收模块560。这些模块也可以作为应用程序或一组由处理引擎读取和执行的指令实现。此外，模块可以是硬件电路和应用/指令的任何组合。例如，当处理引擎或处理器执行应用程序/一组指令时，模块可以是处理器的一部分。

密文获取模块510可以用于获取数据拥有者对所述数据通过半同态加密算法加密后的密文。

关于数据拥有者对所述数据通过半同态加密算法加密后的密文的更多描述可以在本说明书的其他地方(如步骤310及其相关描述中)找到，在此不作赘述。

第一计算模块520可以用于基于计算服务器持有的算法对所述密文进行第一计算，得到标准式；所述标准式为所述数据拥有者进行的计算。

关于第一计算和标准式的更多描述可以在本说明书的其他地方(如步骤320及其相关描述中)找到，在此不作赘述。

随机数生成模块530，用于生成随机数；关于随机数的更多描述可以在本说明书的其他地方(如步骤330及其相关描述中)找到，在此不作赘述。

扰动模块540，用于基于所述随机数对所述标准式进行扰动，得到扰动式。

关于对标准式进行扰动的更多描述可以在本说明书的其他地方(如步骤340及其相关描述中)找到，在此不作赘述。

第一发送模块550可以用于将所述扰动式发送至所述数据拥有者进行计算得到扰动式的结果。

关于扰动式的结果的更多描述可以在本说明书的其他地方(如步骤350及其相关描述中)找到，在此不作赘述。

第一接收模块560可以用于获取数据拥有者基于所述半同态加密算法对所述扰动式的结果加密得到的加密扰动式结果。

关于加密扰动式结果的更多描述可以在本说明书的其他地方(如步骤360及其相关描述中)找到，在此不作赘述。

所述第一计算模块520还可以用于基于加密扰动式结果、标准式、随机数和所述扰动得到加密结果。

关于加密结果的更多描述可以在本说明书的其他地方(如步骤370及其相关描述中)找到，在此不作赘述。

在一些实施例中，密文获取模块510中所述半同态加密算法为加法同态加密算法；第一计算模块520中所述数据拥有者进行的计算为乘法计算。

在一些实施例中，第一发送模块550将所述扰动式发送至所述数据拥有者进行计算得到扰动式的结果包括：数据拥有者基于所述加法同态加密算法对所述扰动式解密得到解密数据；对所述解密数据进行计算得到所述扰动式的结果。

在一些实施例中，第一计算模块520生成的标准式包括第一单项式和第二单项式。

在一些实施例中，随机数生成模块530生成的随机数包括第一随机数和第二随机数；扰动模块540中基于所述随机数对所述标准式进行扰动包括：基于所述第一单项式与所述第一随机数得到第一扰动项；基于所述第二单项式与所述第二随机数得到第二扰动项；基于所述第一扰动项和第二扰动项得到扰动式。

在一些实施例中，第一计算模块520还用于基于计算服务器持有的算法对所述加密结果进行第一计算，得到所述标准式。

如图7所示，基于隐私保护的加密系统600可以包括加密模块610、第二接收模块620、解密模块630、第二计算模块640和第二发送模块650。这些模块也可以作为应用程序或一组由处理引擎读取和执行的指令实现。此外，模块可以是硬件电路和应用/指令的任何组合。例如，当处理引擎或处理器执行应用程序/一组指令时，模块可以是处理器的一部分。

加密模块610，用于基于半同态加密算法对所述数据进行加密得到密文并发送至计算服务器。

关于半同态加密算法的更多描述可以在本说明书的其他地方(如步骤210及其相关描述中)找到，在此不作赘述。

第二接收模块620，用于获取所述计算服务器发送的扰动式。

关于获取计算服务器发送的扰动式的更多描述可以在本说明书的其他地方(如步骤220及其相关描述中)找到，在此不作赘述。

解密模块630，基于所述半同态加密算法对所述扰动式解密得到解密数据。

关于解密数据的更多描述可以在本说明书的其他地方(如步骤230及其相关描述中)找到，在此不作赘述。

第二计算模块640，对所述解密数据进行计算得到所述扰动式的结果。

关于扰动式的结果的更多描述可以在本说明书的其他地方(如步骤240及其相关描述中)找到，在此不作赘述。

所述加密模块610还用于基于所述半同态加密算法对所述扰动式的结果加密得到加密扰动式结果。

关于加密扰动式结果的更多描述可以在本说明书的其他地方(如步骤250及其相关描述中)找到，在此不作赘述。

第二发送模块650，用于将所述加密扰动式结果发送至所述计算服务器。

关于将加密扰动式结果发送至计算服务器的更多描述可以在本说明书的其他地方(如步骤260及其相关描述中)找到，在此不作赘述。

在一些实施例中，第二接收模块620中的扰动式包括：基于计算服务器持有的算法对所述密文进行第一计算，得到标准式；所述标准式为所述数据拥有者进行的计算；生成随机数；基于所述随机数对所述标准式进行扰动，得到扰动式。

在一些实施例中，所述加密模块610中的半同态加密算法为加法同态加密算法；所述数据拥有者进行的计算为乘法计算。

应当理解，图5和图6所示的装置及其模块可以利用各种方式来实现。例如，在一些实施例中，装置及其模块可以通过硬件、软件或者软件和硬件的结合来实现。其中，硬件部分可以利用专用逻辑来实现；软件部分则可以存储在存储器中，由适当的指令执行装置，例如微处理器或者专用设计硬件来执行。本领域技术人员可以理解上述的方法和装置可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本说明书的装置及其模块不仅可以有诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用例如由各种类型的处理器所执行的软件实现，还可以由上述硬件电路和软件的结合 (例如，固件)来实现。

需要注意的是，以上对于基于隐私保护的加密系统及其模块的描述，仅为描述方便，并不能把本说明书限制在所举实施例范围之内。可以理解，对于本领域的技术人员来说，在了解该装置的原理后，可能在不背离这一原理的情况下，对各个模块进行任意组合，或者构成子装置与其他模块连接。例如，图6中加密模块610和解密模块630可以为同一个模块，任意模块基于同一加密算法进行加密和解密；图5中第一发送模块550和第一接收模块560可以为同一个模块，第一发送模块550用于获取数据，并发送数据。又例如，基于隐私保护的加密系统中的各个模块可以位于同一服务器上，也可以分属不同的服务器。诸如此类的变形，均在本说明书的保护范围之内。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本说明书实施例可能带来的有益效果包括但不限于：(1)数据拥有者和计算服务器之间通过密文传输，在能够完成安全多方计算的前提下，保证了数据拥有者的数据以及计算服务器的算法不被泄露；(2)采用半同态加密算法对数据进行加密，相较于利用全同态加密算法的方案，计算次数不受限值，适应于大规模计算的场景；(3)采用半同态加密算法的方案，相较于利用比尔三元组的方案，密文尺寸大大减小，降低了传输成本。

需要说明的是，不同实施例可能产生的有益效果不同，在不同的实施例里，可能产生的有益效果可以是以上任意一种或几种的组合，也可以是其他任何可能获得的有益效果。

上文已对基本概念做了描述，显然，对于本领域技术人员来说，上述详细披露仅仅作为示例，而并不构成对本说明书的限定。虽然此处并没有明确说明，本领域技术人员可能会对本说明书进行各种修改、改进和修正。该类修改、改进和修正在本说明书中被建议，所以该类修改、改进、修正仍属于本说明书示范实施例的精神和范围。

同时，本说明书使用了特定词语来描述本说明书的实施例。如“一个实施例”、“一实施例”、和/或“一些实施例”意指与本说明书至少一个实施例相关的某一特征、结构或特点。因此，应强调并注意的是，本说明书中在不同位置两次或多次提及的“一实施例”或“一个实施例”或“一个替代性实施例”并不一定是指同一实施例。此外，本说明书的一个或多个实施例中的某些特征、结构或特点可以进行适当的组合。

此外，本领域技术人员可以理解，本说明书的各方面可以通过若干具有可专利性的种类或情况进行说明和描述，包括任何新的和有用的工序、机器、产品或物质的组合，或对他们的任何新的和有用的改进。相应地，本说明书的各个方面可以完全由硬件执行、可以完全由软件(包括固件、常驻软件、微码等)执行、也可以由硬件和软件组合执行。以上硬件或软件均可被称为“数据块”、“模块”、“引擎”、“单元”、“组件”或“系统”。此外，本说明书的各方面可能表现为位于一个或多个计算机可读介质中的计算机产品，该产品包括计算机可读程序编码。

计算机存储介质可能包含一个内含有计算机程序编码的传播数据信号，例如在基带上或作为载波的一部分。该传播信号可能有多种表现形式，包括电磁形式、光形式等，或合适的组合形式。计算机存储介质可以是除计算机可读存储介质之外的任何计算机可读介质，该介质可以通过连接至一个指令执行系统、装置或设备以实现通讯、传播或传输供使用的程序。位于计算机存储介质上的程序编码可以通过任何合适的介质进行传播，包括无线电、电缆、光纤电缆、RF、或类似介质，或任何上述介质的组合。

此外，除非权利要求中明确说明，本说明书所述处理元素和序列的顺序、数字字母的使用、或其他名称的使用，并非用于限定本说明书流程和方法的顺序。尽管上述披露中通过各种示例讨论了一些目前认为有用的发明实施例，但应当理解的是，该类细节仅起到说明的目的，附加的权利要求并不仅限于披露的实施例，相反，权利要求旨在覆盖所有符合本说明书实施例实质和范围的修正和等价组合。例如，虽然以上所描述的系统组件可以通过硬件设备实现，但是也可以只通过软件的解决方案得以实现，如在现有的服务器或移动设备上安装所描述的系统。

同理，应当注意的是，为了简化本说明书披露的表述，从而帮助对一个或多个发明实施例的理解，前文对本说明书实施例的描述中，有时会将多种特征归并至一个实施例、附图或对其的描述中。但是，这种披露方法并不意味着本说明书对象所需要的特征比权利要求中提及的特征多。实际上，实施例的特征要少于上述披露的单个实施例的全部特征。

一些实施例中使用了描述成分、属性数量的数字，应当理解的是，此类用于实施例描述的数字，在一些示例中使用了修饰词“大约”、“近似”或“大体上”来修饰。除非另外说明，“大约”、“近似”或“大体上”表明所述数字允许有±20％的变化。相应地，在一些实施例中，说明书和权利要求中使用的数值参数均为近似值，该近似值根据个别实施例所需特点可以发生改变。在一些实施例中，数值参数应考虑规定的有效数位并采用一般位数保留的方法。尽管本说明书一些实施例中用于确认其范围广度的数值域和参数为近似值，在具体实施例中，此类数值的设定在可行范围内尽可能精确。

针对本说明书引用的每个专利、专利申请、专利申请公开物和其他材料，如文章、书籍、说明书、出版物、文档等，特此将其全部内容并入本说明书作为参考。与本说明书内容不一致或产生冲突的申请历史文件除外，对本说明书权利要求最广范围有限制的文件(当前或之后附加于本说明书中的)也除外。需要说明的是，如果本说明书附属材料中的描述、定义、和/或术语的使用与本说明书所述内容有不一致或冲突的地方，以本说明书的描述、定义和/或术语的使用为准。

最后，应当理解的是，本说明书中所述实施例仅用以说明本说明书实施例的原则。其他的变形也可能属于本说明书的范围。因此，作为示例而非限制，本说明书实施例的替代配置可视为与本说明书的教导一致。相应地，本说明书的实施例不仅限于本说明书明确介绍和描述的实施例。

Claims

一种基于隐私保护的加密方法，包括：

获取数据拥有者对所述数据通过半同态加密算法加密后的密文；

基于计算服务器持有的算法对所述密文进行第一计算，得到标准式；所述标准式为所述数据拥有者进行的计算；

生成随机数；

基于所述随机数对所述标准式进行扰动，得到扰动式；

将所述扰动式发送至所述数据拥有者进行计算得到扰动式的结果；

获取数据拥有者基于所述半同态加密算法对所述扰动式的结果加密得到的加密扰动式结果；

基于加密扰动式结果、标准式、随机数和所述扰动得到加密结果。
如权利要求1所述的方法，其中：

所述半同态加密算法为加法同态加密算法；所述数据拥有者进行的计算为乘法计算。
如权利要求1所述的方法，其中，将所述扰动式发送至所述数据拥有者进行计算得到扰动式的结果包括：

数据拥有者基于所述半同态加密算法对所述扰动式解密得到解密数据；

对所述解密数据进行计算得到所述扰动式的结果。
如权利要求1所述的方法，其中：

所述标准式包括第一单项式和第二单项式。
如权利要求4所述的方法，其中，所述随机数包括第一随机数和第二随机数；基于所述随机数对所述标准式进行扰动包括：

基于所述第一单项式与所述第一随机数得到第一扰动项；

基于所述第二单项式与所述第二随机数得到第二扰动项；

基于所述第一扰动项和第二扰动项得到扰动式。
如权利要求1所述的方法，还包括：

基于计算服务器持有的算法对所述加密结果进行第一计算，得到所述标准式。
一种基于隐私保护的加密系统，包括：

密文获取模块，用于获取数据拥有者对所述数据通过半同态加密算法加密后的密文；

第一计算模块，用于基于计算服务器持有的算法对所述密文进行第一计算，得到标准式；所述标准式为所述数据拥有者进行的计算；

随机数生成模块，用于生成随机数；

扰动模块，用于基于所述随机数对所述标准式进行扰动，得到扰动式；

第一发送模块，用于将所述扰动式发送至所述数据拥有者进行计算得到扰动式的结果；

第一接收模块，用于获取数据拥有者基于所述半同态加密算法对所述扰动式的结果加密得到的加密扰动式结果；

所述第一计算模块还用于基于加密扰动式结果、标准式、随机数和所述扰动得到加密结果。
如权利要求7所述的系统，其中：

所述半同态加密算法为加法同态加密算法；所述数据拥有者进行的计算为乘法计算。
如权利要求7所述的系统，其中，将所述扰动式发送至所述数据拥有者进行计算得到扰动式的结果包括：

数据拥有者基于所述半同态加密算法对所述扰动式解密得到解密数据；

对所述解密数据进行计算得到所述扰动式的结果。
如权利要求7所述的系统，其中：

所述标准式包括第一单项式和第二单项式。
如权利要求10所述的系统，其中，所述随机数包括第一随机数和第二随机数；基于所述随机数对所述标准式进行扰动包括：

基于所述第一单项式与所述第一随机数得到第一扰动项；

基于所述第二单项式与所述第二随机数得到第二扰动项；

基于所述第一扰动项和第二扰动项得到扰动式。
如权利要求7所述的系统，第一计算模块还用于：

基于计算服务器持有的算法对所述加密结果进行第一计算，得到所述标准式。
一种基于隐私保护的加密装置，包括处理器及存储介质，所述存储介质用于存储计算机指令，所述处理器用于执行计算机指令以实现如权利要求1～6任一项所述的基于隐私保护的加密方法。
一种计算机可读存储介质，所述存储介质存储有计算机指令，当所述计算机指令被处理器执行后，能够实现如权利要求1～6任一项所述的基于隐私保护的加密方法。
一种隐私保护计算方法，其中，所述方法包括：

基于半同态加密算法对数据进行加密得到密文并发送至计算服务器；

获取所述计算服务器发送的扰动式；

基于所述半同态加密算法对所述扰动式解密得到解密数据；

对所述解密数据进行计算得到所述扰动式的结果；

基于所述半同态加密算法对所述扰动式的结果加密得到加密扰动式结果；

将所述加密扰动式结果发送至所述计算服务器。
如权利要求15所述的方法，其中，所述扰动式包括：

基于计算服务器持有的算法对所述密文进行第一计算，得到标准式；所述标准式为所述数据拥有者进行的计算；

生成随机数；

基于所述随机数对所述标准式进行扰动，得到扰动式。
如权利要求15所述的方法，其中：

所述半同态加密算法为加法同态加密算法；所述数据拥有者进行的计算为乘法计算。
如权利要求16所述的方法，其中：

所述标准式包括第一单项式和第二单项式。
如权利要求18所述的方法，其中，所述随机数包括第一随机数和第二随机数；基于所述随机数对所述标准式进行扰动包括：

基于所述第一单项式与所述第一随机数得到第一扰动项；

基于所述第二单项式与所述第二随机数得到第二扰动项；

基于所述第一扰动项和第二扰动项得到扰动式。
如权利要求16所述的方法，还包括：

基于计算服务器持有的算法对所述加密结果进行第一计算，得到所述标准式。
一种隐私保护计算系统，其包括：

加密模块，用于基于半同态加密算法对数据进行加密得到密文并发送至计算服务器；

第二接收模块，用于获取所述计算服务器发送的扰动式；

解密模块，基于所述半同态加密算法对所述扰动式解密得到解密数据；

第二计算模块，对所述解密数据进行计算得到所述扰动式的结果；

所述加密模块还用于基于所述半同态加密算法对所述扰动式的结果加密得到加密扰动式结果；

第二发送模块，用于将所述加密扰动式结果发送至所述计算服务器。
如权利要求21所述的系统，其中，所述扰动式包括：

基于计算服务器持有的算法对所述密文进行第一计算，得到标准式；所述标准式为所述数据拥有者进行的计算；

生成随机数；

基于所述随机数对所述标准式进行扰动，得到扰动式。
如权利要求21所述的系统，其中：

所述半同态加密算法为加法同态加密算法；所述数据拥有者进行的计算为乘法计算。
如权利要求22所述的系统，其中：

所述标准式包括第一单项式和第二单项式。
如权利要求24所述的系统，其中，所述随机数包括第一随机数和第二随机数；基于所述随机数对所述标准式进行扰动包括：

基于所述第一单项式与所述第一随机数得到第一扰动项；

基于所述第二单项式与所述第二随机数得到第二扰动项；

基于所述第一扰动项和第二扰动项得到扰动式。
如权利要求22所述的系统，还包括：

基于计算服务器持有的算法对所述加密结果进行第一计算，得到所述标准式。
一种基于隐私保护的加密装置，包括处理器及存储介质，所述存储介质用于存储计算机指令，所述处理器用于执行计算机指令以实现如权利要求15～20任一项所述的隐私保护计算方法。
一种计算机可读存储介质，所述存储介质存储有计算机指令，当所述计算机指令被处理器执行后，能够实现如权利要求15～20任一项所述的隐私保护计算方法。