WO2024001023A1

WO2024001023A1 - 隐私数据的安全处理方法和装置

Info

Publication number: WO2024001023A1
Application number: PCT/CN2022/135284
Authority: WO
Inventors: 李漓春; 张祺智; 赵原; 尹栋
Original assignee: 蚂蚁区块链科技(上海)有限公司
Priority date: 2022-06-30
Filing date: 2022-11-30
Publication date: 2024-01-04
Also published as: CN115114662A

Abstract

本说明书实施例提供一种隐私数据的安全处理方法和装置。方法包括：第一方至少基于隐私数据的本方分片，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为非负值；第一中间数据在第一模空间的第二数据分片由第二方持有；根据以第一数据分片作为指数的本地幂运算，构建在第二模空间的第一乘数；根据本方提供的第一乘数，以及第二方提供的第二乘数，进行安全乘法运算，得到乘法结果的第一分片；第二方得到乘法结果的第二分片；第二乘数由第二方根据其持有的第二数据分片而构建；将乘法结果的第一分片转换为幂运算结果在目标模空间的第一结果分片；第二方获得对应的第二结果分片。能够实现安全幂运算，并且通信量低、性能佳。

Description

隐私数据的安全处理方法和装置

本申请要求于2022年06月30日提交中国国家知识产权局、申请号为202210762917.X、申请名称为“隐私数据的安全处理方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本说明书一个或多个实施例涉及计算机领域，尤其涉及隐私数据的安全处理方法和装置。

背景技术

安全多方计算又称为多方安全计算，即多方共同计算出一个函数的结果，而不泄露这个函数各方的输入数据，计算的结果公开给其中的一方或多方。其中，各方的输入数据常常为隐私数据。

在安全多方计算中，有时需要进行安全幂运算，即在不泄露隐私数据的情况下，针对隐私数据进行幂运算，现有技术中，安全幂运算的方案通信量非常大、性能较差。

发明内容

本说明书一个或多个实施例描述了一种隐私数据的安全处理方法和装置，能够实现安全幂运算，并且通信量低、性能佳。

第一方面，提供了一种隐私数据的安全处理方法，所述隐私数据在初始模空间中以和共享的形式分布于第一方和第二方，该方法用于得到以公开数据为底数且以所述隐私数据为指数的幂运算结果在目标模空间的结果分片，该方法由第一方执行，包括：

至少基于所述隐私数据的本方分片，本地计算第一中间数据在第一模空间的第一数据分片；其中，所述第一中间数据为非负值，所述第一模空间对应的第一模数根据所述目标模空间的模值而确定；所述第一中间数据在第一模空间的第二数据分片由所述第二方持有；

根据以所述第一数据分片作为指数的本地幂运算，构建在第二模空间的第一乘数；所述第二模空间对应的第二模数基于所述第一模数而确定；

根据本方提供的所述第一乘数，以及第二方提供的第二乘数，进行安全乘法运算，得到乘法结果的第一分片；所述第二方得到所述乘法结果的第二分片；其中，所述第二乘数由所述第二方根据其持有的第二数据分片而构建；所述乘法结果具有两种取值；

将所述乘法结果的第一分片转换为所述幂运算结果在所述目标模空间的第一结果分片；所述第二方获得对应的第二结果分片。

在一种可能的实施方式中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述公开数据的绝对值表示为n的k次幂形式，k和所述隐私数据均为整数，k和所述隐私数据的目标乘积的最小值为u，u为整数，所述目标模空间的模值为n的t2次幂；

所述本地计算第一中间数据在第一模空间的第一数据分片，包括：

基于所述本方分片与k的乘积除以n的d1次幂，再向下取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为目标乘积的结果减去u；所述第一模数为0和-d2-u中的较大数值加上t2。

在一种可能的实施方式中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述公开数据的绝对值表示为n的k次幂形式，k和所述隐私数据均为整数，k和所述隐私数据的目标乘积的最小值为u，u为整数且u大于或等于0，所述目标模空间的模值为n的t2次幂；

基于所述本方分片与k的乘积除以n的d1次幂，再向下取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为目标乘积的结果；所述第一模数为0和-d2中的较大数值加上t2。

进一步地，所述构建在第二模空间的第一乘数，包括：

若所述公开数据为正数，确定第一底数为1，若所述公开数据为负数确定第一底数为-1；

以所述本方分片除以n的d1次幂，再向下取整，确定第一幂值；

以第一底数为底，第一幂值为指数，进行幂运算，得到第一乘积项；

以n为底，以所述第一数据分片作为指数，进行幂运算，得到第二乘积项；

将第一乘积项与第二乘积项相乘，得到在第二模空间的第一乘数；所述第二模空间对应的第二模数为以n为底以所述第一模数的2倍为指数的本地幂运算结果。

进一步地，所述将所述乘法结果的第一分片转换为所述幂运算结果在所述目标模空间的第一结果分片，包括：

将所述乘法结果视为n进制的数据，针对所述乘法结果的第一分片提取其存在非0位的低位的第一模数位的第一分段数值，或者提取其存在非0位的高位的第一模数位的第二分段数值，以确定第三模空间的第二中间结果的第一分片；

将所述第二中间结果的第一分片乘以n的d2+u次幂，再进行四舍五入取整，得到所述幂运算结果在所述目标模空间的第一结果分片。

进一步地，所述确定第三模空间的第二中间结果的第一分片，包括：

将所述乘法结果视为n进制的数据，针对所述乘法结果的第一分片提取其低位的第一模数位的第一分段数值，以及提取其高位的第一模数位的第二分段数值；

对第一分段数值和第二分段数值求和，得到第三模空间的第二中间结果的第一分片。

将所述乘法结果视为n进制的数据，根据本方具有的所述乘法结果的第一分片，以及第二方的所述乘法结果的第二分片，进行安全比较运算，得到所述乘法结果是否大于或等于第一模数的比较结果；

若所述比较结果为所述乘法结果小于第一模数，则针对所述乘法结果的第一分片提取其低位的第一模数位的第一分段数值，将第一分段数值作为第三模空间的第二中间结果的第一分片；

若所述比较结果为所述乘法结果大于或等于第一模数，则针对所述乘法结果的第一分片提取其高位的第一模数位的第二分段数值，将第二分段数值作为第三模空间的第二中间结果的第一分片。

在一种可能的实施方式中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述公开数据和所述隐私数据均为整数，所述隐私数据的最小值为u＇，所述目标模空间的模值为n的t2次幂；

基于所述本方分片除以n的d1次幂，再向下取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为所述隐私数据减去u＇；所述第一模数根据n的d2次幂、所述公开数据的绝对值和n的t2次幂而确定。

在一种可能的实施方式中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述公开数据和所述隐私数据均为整数，所述隐私数据的最小值为u＇且u＇大于或等于0；

基于所述本方分片除以n的d1次幂，再向下取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为所述隐私数据。

进一步地，所述构建在第二模空间的第一乘数，包括：

以所述公开数据的绝对值为底，以所述第一数据分片作为指数，进行幂运算，得到第二乘积项；

将第一乘积项与第二乘积项相乘，得到在第二模空间的第一乘数；所述第二模空间对应的第二模数为以所述公开数据的绝对值为底以所述第一模数的2倍为指数的本地幂运算结果。

将所述乘法结果视为所述公开数据的绝对值进制下的数据，针对所述乘法结果的第一分片提取其存在非0位的低位的第一模数位的第一分段数值，或者提取其存在非0位的高位的第一模数位的第二分段数值，以确定第三模空间的第二中间结果的第一分片；所述第三模空间对应的第三模数为以所述公开数据的绝对值为底以所述第一模数为指数的本地幂运算结果；

将所述第二中间结果的第一分片乘以所述公开数据的绝对值的u＇次幂，再乘以缩放项，得到在第三模空间的第三中间结果的第一分片；所述缩放项为n的d2次幂乘以第三模数除以n的t2次幂，再进行四舍五入取整得到的数值；

将所述第三中间结果的第一分片乘以n的t2次幂除以第三模数，再进行四舍五入取整，得到所述幂运算结果在所述目标模空间的第一结果分片。

将所述乘法结果视为所述公开数据的绝对值进制的数据，针对所述乘法结果的第一分片提取其低位的第一模数位的第一分段数值，以及提取其高位的第一模数位的第二分段数值；

将所述乘法结果视为所述公开数据的绝对值进制的数据，根据本方具有的所述乘法结果的第一分片，以及第二方的所述乘法结果的第二分片，进行安全比较运算，得到所述乘法结果是否大于或等于第一模数的比较结果；

在一种可能的实施方式中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述隐私数据不为整数，所述公开数据表示为n的k次幂形式，k和所述隐私数据的目标乘积的最小值为u，其最大值为v，u和v均为整数，支持的所述目标乘积的精度为小数点后d3位，所述目标模空间的模值为n的t2次幂；

基于所述本方分片与k的乘积除以n的d1次幂，乘以n的d3＇次幂，再四舍五入取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为目标乘积的结果减去u再乘以n的d3＇次幂；所述第一模数为h0乘以n的d3＇次幂，h0根据d2、u、v、d2＇和t2而确定，d3＇大于d3，d2＇大于d2。

在一种可能的实施方式中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述隐私数据不为整数，所述公开数据表示为n的k次幂形式，k和所述隐私数据的目标乘积的最小值为u，其最大值为v，u和v均为整数且u大于或等于0，支持的所述目标乘积的精度为小数点后d3位，所述目标模空间的模值为n的t2次幂；

基于所述本方分片与k的乘积除以n的d1次幂，乘以n的d3＇次幂，再四舍五入取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为目标乘积的结果乘以n的d3＇次幂；所述第一模数为h0乘以n的d3＇次幂，h0根据d2、u、v、d2＇和t2而确定，d3＇大于d3，d2＇大于d2。

进一步地，所述构建在第二模空间的第一乘数，包括：

以所述本方分片除以n的d3＇次幂，加上d4，确定第一幂值；其中，d4根据d2、v、d2＇而确定；

以n为底，第一幂值为指数，进行幂运算，再四舍五入取整，得到在第二模空间的第一乘数；所述第二模空间对应的第二模数为以n为底以h0的2倍为指数的本地幂运算结果。

将所述乘法结果视为n进制的数据，将所述乘法结果的第一分片乘以放大项，得到第二中间结果的第一分片；所述放大项为以n为底以2(v-u+d4)为指数的本地幂运算结果；其中，d4根据d2、v、d2＇而确定；

针对所述第二中间结果的第一分片提取其存在非0位的低位的h0位的第一分段数值，或者提取其存在非0位的高位的h0位的第二分段数值，以确定第三模空间的第三中间结果的第一分片；所述第三模空间对应的第三模数为2的h0次幂；

将所述第三中间结果的第一分片乘以n的d2+3u-4d4-2v次幂，再进行四舍五入取整，得到所述幂运算结果在所述目标模空间的第一结果分片。

进一步地，所述确定第三模空间的第三中间结果的第一分片，包括：

将所述乘法结果视为n进制的数据，针对所述第二中间结果的第一分片提取其低位的h0位的第一分段数值，以及提取其高位的h0位的第二分段数值；

对第一分段数值和第二分段数值求和，得到第三模空间的第三中间结果的第一分片。

在一种可能的实施方式中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述隐私数据为整数，所述公开数据的绝对值表示为n的k次幂形式，k和所述隐私数据的目标乘积的最小值为u，其最大值为v，u和v均为整数，支持的所述目标乘积的精度为小数点后d3位，所述目标模空间的模值为n的t2次幂；

在一种可能的实施方式中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述隐私数据为整数，所述公开数据的绝对值表示为n的k次幂形式，k和所述隐私数据的目标乘积的最小值为u，其最大值为v，u和v均为整数且u大于或等于0，支持的所述目标乘积的精度为小数点后d3位，所述目标模空间的模值为n的t2次幂；

进一步地，所述构建在第二模空间的第一乘数，包括：

以所述本方分片除以n的d3＇次幂，加上d4，确定第二幂值；其中，d4根据d2、v、d2＇而确定；

以n为底，第二幂值为指数，进行幂运算，再四舍五入取整，得到第二乘积项；

计算第一乘积项乘以第二乘积项，得到在第二模空间的第一乘数；所述第二模空间对应的第二模数为以n为底以h0的2倍为指数的本地幂运算结果。

第二方面，提供了一种隐私数据的安全处理装置，所述隐私数据在初始模空间中以和共享的形式分布于第一方和第二方，该装置用于得到以公开数据为底数且以所述隐私数据为指数的幂运算结果在目标模空间的结果分片，该装置设置于第一方，包括：

本地计算单元，用于至少基于所述隐私数据的本方分片，本地计算第一中间数据在第一模空间的第一数据分片；其中，所述第一中间数据为非负值，所述第一模空间对应的第一模数根据所述目标模空间的模值而确定；所述第一中间数据在第一模空间的第二数据分片由所述第二方持有；

乘数构建单元，用于根据以所述本地计算单元得到的第一数据分片作为指数的本地幂运算，构建在第二模空间的第一乘数；所述第二模空间对应的第二模数基于所述第一模数而确定；

安全乘法单元，用于根据本方提供的所述乘数构建单元得到的第一乘数，以及第二方提供的第二乘数，进行安全乘法运算，得到乘法结果的第一分片；所述第二方得到所述乘法结果的第二分片；其中，所述第二乘数由所述第二方根据其持有的第二数据分片而构建；所述乘法结果具有两种取值；

结果转换单元，用于将所述安全乘法单元得到的乘法结果的第一分片转换为所述幂运算结果在所述目标模空间的第一结果分片；所述第二方获得对应的第二结果分片。

第三方面，提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行第一方面的方法。

第四方面，提供了一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现第一方面的方法。

通过本说明书实施例提供的方法和装置，所述隐私数据在初始模空间中以和共享的形式分布于第一方和第二方，该方法用于得到以公开数据为底数且以所述隐私数据为指数的幂运算结果在目标模空间的结果分片，首先第一方至少基于所述隐私数据的本方分片，本地计算第一中间数据在第一模空间的第一数据分片；其中，所述第一中间数据为非负值，所述第一模空间对应的第一模数根据所述目标模空间的模值而确定；所述第一中间数据在第一模空间的第二数据分片由所述第二方持有；然后根据以所述第一数据分片作为指数的本地幂运算，构建在第二模空间的第一乘数；所述第二模空间对应的第二模数基于所述第一模数而确定；接着根据本方提供的所述第一乘数，以及第二方提供的第二乘数，进行安全乘法运算，得到乘法结果的第一分片；所述第二方得到所述乘法结果的第二分片；其中，所述第二乘数由所述第二方根据其持有的第二数据分片而构建；所述乘法结果具有两种取值；最后将所述乘法结果的第一分片转换为所述幂运算结果在所述目标模空间的第一结果分片；所述第二方获得对应的第二结果分片。由上可见，本说明书实施例，通过构造乘数，将安全幂运算转换为安全乘法运算，从安全乘法运算的乘法结果中提取出幂运算结果，从而能够实现安全幂运算，并且通信量低、性能佳。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本说明书披露的一个实施例的实施场景示意图；

图2示出根据一个实施例的安全乘法运算处理过程示意图；

图3示出根据一个实施例的隐私数据的安全处理方法流程图；

图4示出根据一个实施例的隐私数据的安全处理装置的示意性框图。

具体实施方式

下面结合附图，对本说明书提供的方案进行描述。

图1为本说明书披露的一个实施例的实施场景示意图。该实施场景涉及隐私数据的安全处理，所述隐私数据在初始模空间中以和共享的形式分布于第一方和第二方，所述方法用于得到以公开数据为底数且以所述隐私数据为指数的幂运算结果在目标模空间的结果分片。如图1所示，隐私数据的安全处理的场景涉及参与方A和参与方B，或称为第一方和第二方，或称为A方和B方。各个参与方可以实现为任何具有计算、处理能力的设备、平台、服务器或设备集群。双方要在保护数据隐私的情况下，联合确定上述幂运算结果，具体采用秘密分享来实现。

秘密分享(secret sharing)也称为秘密分割、秘密共享，这一密码学技术最初是用于秘密信息的管理。它的基本原理是将秘密拆分成多个分片(share)，分别交给不同参与方保管。只有超过门限数量的各参与方将各自的分片合并，才能恢复秘密；从少于门限数量的分片无法恢复秘密的任何信息。多方安全计算中，门限数量通常与参与方数量相同。秘密分享用于多方安全计算时，采用了分片转换(share conversion)技术：首先，各方的输入数据分别拆分成分片并互相交换分片；然后，各方分别对本地的多个分片进行转换(conversion)运算，各自得到一个新的分片，该分片为运算结果的分片；最后，各方合并所有新的分片，得到运算结果。

参照图1，A方持有x的一个分片<x> ₀，B方持有x的另一个分片<x> ₁，具体地，A方和B方各自持有x×n ^d1的模n ^t1的一个分片，即round(x×n ^d1)＝<x> ₀+<x> ₁％n ^t1。可以理解的是，round可看作一个取整函数，作用为按指定的位数对数值进行四舍五入，也可以称为四舍五入取整。分片<x> ₀和<x> ₁为整数，在模n ^t1空间，也就是初始模空间。如果x的整数部分远小于或远大于t1位，就要通过乘以一个n ^d1，以保证取整后的信息不会丢失。其中，n取值与采用的进制有关，通常的二进制表示方法中，n取值为2，十进制表示方法中，n取值为10。本说明书实施例，在后续的举例中，多以n的取值为2为例进行说明。

a为公开数据，也就是说，A方和B方均知晓a的数值。

A方和B方在执行基于秘密分享的安全多方计算之后，A方获得a ^x的一个分片<a ^x> ₀，B方获得a ^x的另一个分片<a ^x> ₁，若另y＝a ^x，则A方和B方各自持有y的一个分片，具体地，A方和B方各自持有y×n ^d2的模n ^t2的一个分片，即round(y×n ^d2)＝<y> ₀+<y> ₁％n ^t2。分片<y> ₀和<y> ₁为整数，在模n ^t2空间，也就是目标模空间。可以理解的是，秘密分享中分片必须是整数，秘密分享只能对整数做操作，如果一个数的整数部分远小于或远大于模数位，就要乘以一个n的次幂。

本说明书实施例，在基于秘密分享的安全多方计算中，可以将a ^x表示为n为底的指数运算，具体地，a ^x转换为n为底的指数运算sign(a) ^x×n ^kx。其中，a＝sign(a)×n ^k。另z＝kx。可以理解的是，sign可看作一个符号函数，作用为提取数值的符号，例如，a>0时，sign(a)＝1；a＝0时，sign(a)＝0；a<0时，sign(a)＝-1。

安全多方计算中支持的z的范围为[u,v]。u和v均为整数。若z<u，结果为0；若z>v，结果溢出或者中间运算会溢出。安全多方计算中支持的z的精度为小数点后d3位。

可以理解的是，隐私数据可以是任何不便于公开的数据，可以但不限于代表用户的个人信息的数据，或者商业秘密等。

本说明书实施例，基于秘密分享下的安全乘法运算来获得幂运算结果，从而能够实现安全幂运算，并且通信量低、性能佳。

秘密分享下的安全乘法运算已经存在具有较佳性能的实现方案。

图2示出根据一个实施例的安全乘法运算处理过程示意图。参照图2，在安全乘法运算中，b和c为两个需要进行隐私保护的数据，第一方具有b的一个分片b0以及c的一个分片c0，第二方具有b的另一个分片b1以及c的另一个分片c1，需要得到两个数据的乘积bc，使得第一方获得乘积的一个分片，第二方获得乘积的另一个分片。首先第三方将u0、v0、z0发送给第一方，将u1、v1、z1发送给第二方，其中，(u0+u1)×(v0+v1)＝(z0+z1)；然后第一方根据自己持有的b的一个分片b0，以及从第三方接收的u的一个分片u0，本地计算e0＝b0-u0；第一方根据自己持有的c的一个分片c0，以及从第三方接收的v的一个分片v0，本地计算f0＝c0-v0；第一方将e0和f0发送给第二方；接着第二方根据自己持有的b的一个分片b1，以及从第三方接收的u的一个分片u1，本地计算e1＝b1-u1；第二方根据自己持有的c的一个分片c1，以及从第三方接收的v的一个分片v1，本地计算 f1＝c1-v1；第二方将e1和f1发送给第一方；最后第一方和第二方各自本地计算得到e＝b-u，f＝c-v；第一方本地计算h0＝ef+u0f+ev0+z0，将h0作为bc的乘法结果的一个分片；第二方本地计算h1＝u1f+ev1+z1，将h1作为bc的乘法结果的一个分片。可以证明h0+h1＝ef+uf+ev+uv＝(e+u)(f+v)＝bc。

其中，u为第三方生成的第一随机数，u0为第一随机数的第一分片，u1为第一随机数的第二分片；v为第三方生成的第二随机数，v0为第二随机数的第一分片，v1为第二随机数的第二分片。

本说明书实施例，在需要进行安全乘法运算时，均可以基于上述处理过程。

图3示出根据一个实施例的隐私数据的安全处理方法流程图，该方法可以基于图1所示的实施场景，以及图2所示的安全乘法运算处理过程，所述隐私数据在初始模空间中以和共享的形式分布于第一方和第二方，所述方法用于得到以公开数据为底数且以所述隐私数据为指数的幂运算结果在目标模空间的结果分片，该方法由第一方执行，可以理解的是，该方法的执行过程中第一方和第二方需要配合执行，由于二者的处理过程类似，因此侧重描述其中一方的处理过程。如图3所示，该实施例中隐私数据的安全处理方法包括以下步骤：

首先在步骤31，至少基于所述隐私数据的本方分片，本地计算第一中间数据在第一模空间的第一数据分片；其中，所述第一中间数据为非负值，所述第一模空间对应的第一模数根据所述目标模空间的模值而确定；所述第一中间数据在第一模空间的第二数据分片由所述第二方持有。可以理解的是，所述隐私数据为指数，该步骤对分片状态下的指数进行变换，包括变换其分片的模，将其由初始模空间的分片变换为第一模空间的分片；还包括使其变换为非负值，从而满足第一数据分片与第二数据分片之和等于第一中间数据，或者等于第一中间数据与第一模数之和。

然后在步骤32，根据以所述第一数据分片作为指数的本地幂运算，构建在第二模空间的第一乘数；所述第二模空间对应的第二模数基于所述第一模数而确定。可以理解的是，第一方构建第一乘数，第二方构建第二乘数，使得第一乘数和第二乘数的乘积包含前述幂运算结果的信息。

接着在步骤33，根据本方提供的所述第一乘数，以及第二方提供的第二乘数，进行安全乘法运算，得到乘法结果的第一分片；所述第二方得到所述乘法结果的第二分片；其中，所述第二乘数由所述第二方根据其持有的第二数据分片而构建；所述乘法结果具有两种取值。可以理解的是，由于第一数据分片与第二数据分片之和等于第一中间数据，或者等于第一中间数据与第一模数之和，因此所述乘法结果具有两种取值。

其中，前述第二模数的选取使得乘法结果的非0位在低位的第一模数位中，或者在高位的第一模数位中。

最后在步骤34，将所述乘法结果的第一分片转换为所述幂运算结果在所述目标模空间的第一结果分片；所述第二方获得对应的第二结果分片。可以理解的是，由于所述乘法结果具有两种取值，上述转换包括通过上述两种取值确定所述幂运算结果的唯一取值，并且也涉及模数的转换。

通过本说明书实施例提供的方法，所述隐私数据在初始模空间中以和共享的形式分布于第一方和第二方，该方法用于得到以公开数据为底数且以所述隐私数据为指数的幂运算结果在目标模空间的结果分片，首先第一方至少基于所述隐私数据的本方分片，本地计算第一中间数据在第一模空间的第一数据分片；其中，所述第一中间数据为非负值，所述第一模空间对应的第一模数根据所述目标模空间的模值而确定；所述第一中间数据在第一模空间的第二数据分片由所述第二方持有；然后根据以所述第一数据分片作为指数的本地幂运算，构建在第二模空间的第一乘数；所述第二模空间对应的第二模数基于所述第一模数而确定；接着根据本方提供的所述第一乘数，以及第二方提供的第二乘数，进行安全乘法运算，得到乘法结果的第一分片；所述第二方得到所述乘法结果的第二分片；其中，所述第二乘数由所述第二方根据其持有的第二数据分片而构建；所述乘法结果具有两种取值；最后将所述乘法结果的第一分片转换为所述幂运算结果在所述目标模空间的第一结果分片；所述第二方获得对应的第二结果分片。由上可见，本说明书实施例，通过构造乘数，将安全幂运算转换为安全乘法运算，从安全乘法运算的乘法结果中提取出幂运算结果，从而能够实现安全幂运算，并且通信量低、性能佳。

参照图1所示的实施场景，a代表公开数据，x代表隐私数据，对于a和x是否为整数，以及当a＝sign(a)×n ^k时k是否为整数，图3所示的各步骤的具体执行方式略有不同。

下面针对几种情况分别描述以上各个步骤的具体执行方式。

情况一：k和x均为整数。

该情况下，a的符号可正可负。若d1>＝0，可以从x的分片精确恢复x。若d1<0，无法从x的分片精确恢复x，此时只支持a的符号为正。

在一个示例中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述公开数据的绝对值表示为n的k次幂形式，k和所述隐私数据均为整数，k和所述隐私数据的目标乘积的最小值为u，u为整数，所述目标模空间的模值为n的t2次幂；

举例来说，a ^x转换为2为底的指数运算sign(a) ^x×2 ^kx。a＝sign(a)×2 ^k。另z＝kx。z的范围为[u,v]。第一方和第二方双方安全计算c＝kx-u，各获得c的一个模h0的分片。其中，第一方计算<c> ₀＝floor(k<x> ₀/2 ^d1)％h0，第二方计算<c> ₁＝ceil(k<x> ₁/2 ^d1-u)％h0，即有c＝kx-u，取值范围是[0,v-u]，c为非负数。并且有<c> ₀+<c> ₁＝c或c+h0＝kx-u或kx-u+h0。

可以理解的是，c为第一中间数据，h0为第一模数。floor函数，作用为向下取整，即返回不大于指定表达式的最大整数。ceil函数，作用为向上取整，即返回大于或等于指定表达式的最小整数。

若d2+u>＝0，另h0＝t2；否则，另h0＝t2-d2-u。即有：h0＝t2+max(0,-d2-u)。

在一个示例中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述公开数据的绝对值表示为n的k次幂形式，k和所述隐私数据均为整数，k和所述隐私数据的目标乘积的最小值为u，u为整数且u大于或等于0，所述目标模空间的模值为n的t2次幂；

举例来说，若u>＝0，则前述c＝kx-u可替代为c＝kx，其满足c为非负数。

进一步地，所述构建在第二模空间的第一乘数，包括：

举例来说，第一方计算

第二方计算

若a为正数，sign(a)为1，

和

可以省略，若a为负数，sign(a)为-1。

可以理解的是，w0为第一乘数，w1为第二乘数，2 ^h2为第二模数。其中，令h2＝2h0。

本说明书实施例，步骤33的安全乘法运算，就是双方安全计算

无论x符号，若d1>＝0，则<x> ₀+<x> ₁/2 ^d1和x及x％2 ^h0的奇偶性相同，因此有

因此，

可以理解的是，b为乘法结果，|b|只有一个位为1，该位属于低h0位，或者属于高h0位。第一方得到乘法结果的第一分片，记为 ₀；第二方得到乘法结果的第二分片，记为 ₁。

举例来说，乘法结果b具有两种取值，即b＝sign(a) ^x2 ^kx-u或sign(a) ^x2 ^kx-u+h0，需要根据b得到b′＝sign(a) ^x2 ^kx-u。b′为第二中间结果。第一方持有b′的一个分片<b′> ₀，第二方持有b′的另一个分片<b′> ₁。第一方计算第一结果分片<y> ₀＝round(<b′> ₀×2 ^d2+u)％2 ^t2，第二方计算第二结果分片<y> ₁＝round(<b′> ₁×2 ^d2+u)％2 ^t2。其中，+u为可选，如果前述c＝kx，则这里<y> ₀＝round(<b′> ₀×2 ^d2)％2 ^t2，<y> ₁＝round(<b′> ₁×2 ^d2)％2 ^t2。

其中，可以通过近似算法使得b′近似等于sign(a) ^x2 ^kx-u，也可以通过精确算法使得b′精确等于sign(a) ^x2 ^kx-u。

该示例属于近似算法。举例来说，第一方计算<b′> ₀＝ ₀+round( ₀/2 ^h0)％2 ^h0，第二方计算<b′> ₁＝ ₁+round( ₁/2 ^h0)％2 ^h0。

可以验证的是，若b＝sign(a) ^x2 ^kx-u，则b％2 ^h0＝sign(a) ^x2 ^kx-u且round( ₀/2 ^h0)+round( ₁/2 ^h0)％2 ^h0≈0；若b＝sign(a) ^x2 ^kx-u+h0，则b％2 ^h0＝0且round( ₀/2 ^h0)+round( ₁/2 ^h0)％2 ^h0≈sign(a) ^x2 ^kx-u。因此b′≈sign(a) ^x2 ^kx-u。

该示例属于精确算法。举例来说，第一方和第二方双方安全比较e＝(<c> ₀+<c> ₁≥h0),双方各获得比较结果e的一个分片，根据比较结果e进行下面两者的安全选择协议，得到：

若e＝＝0，则b′＝b％2 ^h0＝sign(a) ^x2 ^kx-u；若e＝＝1，则<b′> ₀＝floor( ₀/2 ^h0)；<b′> ₁＝ceil( ₁/2 ^h0)。因此b′＝sign(a) ^x2 ^kx-u。

情况二：a和x均为整数。

在一个示例中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述公开数据和所述隐私数据均为整数，所述隐私数据的最小值为u＇，所述目标模空间的模值为n的t2次幂；

举例来说，x的取值范围为[u＇,v＇]。第一方和第二方双方安全计算c＝x-u＇，各获得c的一个模h0的分片。其中，第一方计算<c> ₀＝floor(<x> ₀/2 ^d1)％h0，第二方计算<c> ₁＝ceil(<x> ₁/2 ^d1-u＇)％h0，即有c＝x-u＇，取值范围是[0,v＇-u＇]，c为非负数。并且有<c> ₀+<c> ₁＝c或c+h0＝x-u＇或x-u＇+h0。

可以理解的是，c为第一中间数据，h0为第一模数。h0的取值与后续的处理过程相关，因此后续进行介绍。

在一个示例中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述公开数据和所述隐私数据均为整数，所述隐私数据的最小值为u＇且u＇大于或等于0；

举例来说，若u＇>＝0，则前述c＝x-u＇可替代为c＝x，其满足c为非负数。

进一步地，所述构建在第二模空间的第一乘数，包括：

举例来说，第一方计算

第二方计算

若a为正数，sign(a)为1，

和

可以省略，若a为负数，sign(a)为-1。

可以理解的是，w0为第一乘数，w1为第二乘数，|a| ^h2为第二模数。其中，令h2＝2h0。

无论x符号，若d1>＝0，则<x> ₀+<x> ₁/2 ^d1和x的奇偶性相同，因此有

因此，

可以理解的是，b为乘法结果，在|a|进制下，|b|只有一个位为1，该位属于低h0位，或者属于高h0位。第一方得到乘法结果的第一分片，记为 ₀；第二方得到乘法结果的第二分片，记为 ₁。

举例来说，乘法结果b具有两种取值，即b＝sign(a) ^x|a| ^x-u′或sign(a) ^x|a| ^x-u′+h0，需要根据b得到b′＝sign(a) ^x|a| ^x-u′。b′为第二中间结果。第一方持有b′的一个分片<b′> ₀，第二方持有b′的另一个分片<b′> ₁。双方安全计算b″＝b′×|a| ^u′×round(2 ^d2×|a| ^h0/2 ^t2)％|a| ^h0。b″为第三中间结果。第一方持有b″的一个分片<b″> ₀，第二方持有b″的另一个分片<b″> ₁。h0应取的足够大，使得计算b″时不会溢出。|a| ^h0≥2 ^t2即可满足。第一方计算第一结果分片<y> ₀＝round(<b″> ₀×2 ^t2/|a| ^h0)％2 ^t2，第二方计算第二结果分片<y> ₁＝round(<b″> ₁×2 ^t2/|a| ^h0)％2 ^t2。其中，计算b″时×|a| ^u′为可选，如果前述c＝x，则这里b″＝b′×round(2 ^d2×|a| ^h0/2 ^t2)％|a| ^h0。该示例中，包括针对不可整除的模之间的转换处理。在计算b″和y时，涉及进行缩放和模的转换，要求round(2 ^d2×|a| ^h0/2 ^t2)≈2 ^d2×|a| ^h0/2 ^t2，h0应取的足够大，且足够合适。

其中，可以通过近似算法使得b′近似等于sign(a) ^x|a| ^x-u′，也可以通过精确算法使得b′精确等于sign(a) ^x|a| ^x-u′。

该示例属于近似算法。举例来说，第一方计算<b′> ₀＝ ₀+round( ₀/|a| ^h0)％|a| ^h0，第二方计算<b′> ₁＝ ₁+round( ₁/|a| ^h0)％|a| ^h0。

可以验证的是，若b＝sign(a) ^x|a| ^x-u′，则b％|a| ^h0＝sign(a) ^x|a| ^x-u′且round( ₀/|a| ^h0)+round( ₁/|a| ^h0)％|a| ^h0≈0；若b＝sign(a) ^x|a| ^x-u′+h0，则b％|a| ^h0＝0且round( ₀/|a| ^h0)+round( ₁/|a| ^h0)％|a| ^h0≈sign(a) ^x|a| ^x-u′。因此b′≈sign(a) ^x|a| ^x-u′。

该示例属于精确算法。举例来说，第一方和第二方双方安全比较e＝(<c> ₀+<c> ₁≥h0),双方各获得比较结果e的一个分片，根据比较结果e进行下面两者的安全选择，得到：

若e＝＝0，则b′＝b％|a| ^h0＝sign(a) ^x|a| ^x-u′；若e＝＝1，则<b′> ₀＝floor( ₀/|a| ^h0)；<b′> ₁＝ceil( ₁/|a| ^h0)。因此b′＝sign(a) ^x|a| ^x-u′。

情况三：x非整数。

该情况下，a的符号非负。

在一个示例中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述隐私数据不为整数，所述公开数据表示为n的k次幂形式，k和所述隐私数据的目标乘积的最小值为u，其最大值为v，u和v均为整数，支持的所述目标乘积的精度为小数点后d3位，所述目标模空间的模值为n的t2次幂；

举例来说，a ^x转换为2为底的指数运算sign(a) ^x×2 ^kx。a＝sign(a)×2 ^k。另z＝kx。z的范围为[u,v]。第一方和第二方双方安全计算c＝(kx-u)×2 ^d3′，各获得c的一个模h1的分片。其中，第一方计算<c> ₀＝round((k<x> ₀/2 ^d1)×2 ^d3′)％h1，第二方计算<c> ₁＝round((k<x> ₁/2 ^d1-u)×2 ^d3′)％h1，即有c＝(kx-u)×2 ^d3′，取值范围是[0,(v-u)×2 ^d3′]，c为非负数。并且有(<c> ₀+<c> ₁)/2 ^d3′＝c/2 ^d3′或(c+h1)/2 ^d3′≈kx-u或kx-u+h0。

可以理解的是，c为第一中间数据，h1为第一模数。另h1＝h0×2 ^d3′。若k为小数或d3＇-d1＜0，会引入一定的误差，可略增大d3＇的值来降低影响。

在一个示例中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述隐私数据不为整数，所述公开数据表示为n的k次幂形式，k和所述隐私数据的目标乘积的最小值为u，其最大值为v，u和v均为整数且u大于或等于0，支持的所述目标乘积的精度为小数点后d3位，所述目标模空间的模值为n的t2次幂；

举例来说，若u>＝0，则前述c＝(kx-u)×2 ^d3′可替代为c＝kx×2 ^d3′，其满足c为非负数。

进一步地，所述构建在第二模空间的第一乘数，包括：

举例来说，第一方计算

并使其有效位数不超过v-u+d4，若超过，则将多余的尾数四舍五入后置为0；第二方计算

并使其有效位数不超过v-u+d4，若超过，则将多余的尾数四舍五入后置为0。

或2 ^kx-u+2d4+h0。

可以理解的是，b为乘法结果。第一方得到乘法结果的第一分片，记为 ₀；第二方得到乘法结果的第二分片，记为 ₁。

可以理解的是，y可从

和

的乘积中提取，但由于安全乘法运算只能在整数上进行，需对两个乘数缩放并取整后再进行安全乘法。缩放一方面是因为结果y要求缩放2 ^d2倍后拆分分片，结果y最多有v+d2位被保存在分片。另一方面是为了保证y的精度，需要放大乘数。由于

的最小值为1，放大2 ^d4＝2 ^d2+(v+d2′)可满足要求，其中i＝0或1。

举例来说，乘法结果b具有两种取值，即b＝2 ^kx-u+2d4或2 ^kx-u+2d4+h0，需要根据b得到b′＝b×2 ^2(v-u+d4)。b′为第二中间结果。第一方持有b′的一个分片<b′> ₀，第二方持有b′的另一个分片<b′> ₁。b′的有效数字至多有2(v-u+d4)-1位，且均位于低h0位或高h0位中。这里要求h0＞max(kx-u+2d4)+2(v-u+d4)＝3v-3u+4d4。需要根据b′得到b″＝2 ^kx-3u+4d4+2v。b″为第三中间结果。第一方持有b″的一个分片<b″> ₀，第二方持有b″的另一个分片<b″> ₁。第一方计算第一结果分片<y> ₀＝round(<b″> ₀×2 ^d2+3u-4d4-2v)％2 ^t2，第二方计算第二结果分片<y> ₁＝round(<b″> ₁×2 ^d2+3u-4d4-2v)％2 ^t2。这里要求h0+d2+3u-4d4-2v≥t2，即h0≥t2-(d2+3u-4d4-2v)＝t2+4d4+2v-d2-3u。另h0＝t2-(d2+3u-4d4-2v)可满足要求，其中，根据前面的分析，另d4＝d2+(v+d2＇)，另h0＝t2-(d2+3u-4d4-2v)＝t2-d2-3u+2v+4d2+4v+4d2＇＝t2-3u+6v+3d2+4d2＇。

其中，可以通过近似算法使得b″近似等于2 ^kx-3u+4d4+2v。

举例来说，双方安全计算b″＝b′+round(b′/2 ^h0)％2 ^h0，其中，round函数表示对分片的取整。

可以验证的是，若b＝2 ^kx-u+2d4，则b′％2 ^h0＝2 ^{kx-u+2d4+2(v-u+d4)}＝2 ^kx-3u+4d4+2v且round(b′/2 ^h0)％2 ^h0≈0；若b＝2 ^kx-u+2d4+h0，则b′％2 ^h0＝0且round(b′/2 ^h0)％2 ^h0≈2 ^kx-3u+4d4+2v。因此b″≈2 ^kx-3u+4d4+2v。

情况四：x为整数。

情况四与情况三的处理方式类似，只是增加了对符号的处理，若a的符号为正，则不必处理符号。

在一个示例中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述隐私数据为整数，所述公开数据的绝对值表示为n的k次幂形式，k和所述隐私数据的目标乘积的最小值为u，其最大值为v，u和v均为整数，支持的所述目标乘积的精度为小数点后d3位，所述目标模空间的模值为n的t2次幂；

在一个示例中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述隐私数据为整数，所述公开数据的绝对值表示为n的k次幂形式，k和所述隐私数据的目标乘积的最小值为u，其最大值为v，u和v均为整数且u大于或等于0，支持的所述目标乘积的精度为小数点后d3位，所述目标模空间的模值为n的t2次幂；

进一步地，所述构建在第二模空间的第一乘数，包括：

举例来说，第一方计算

并使其有效位数不超过v-u+d4，若超过，则将多余的尾数四舍五入后去掉；第二方计算

并使其有效位数不超过v-u+d4，若超过，则将多余的尾数四舍五入后去掉。

若d1≥0，则(<x> ₀+<x> ₁)/2 ^d1和x的奇偶性相同，有

因此，

可以理解的是，结果y要求缩放2 ^d2倍后拆分分片，结果y最多有v+d2位被保存在分片；为了保证y的精度，需要放大乘数。由于

举例来说，乘法结果b具有两种取值，即b＝sign(a) ^x2 ^kx-u+2d4或sign(a) ^x2 ^kx-u+2d4+h0，需要根据b得到b′＝b×2 ^2(v-u+d4)。b′为第二中间结果。第一方持有b′的一个分片<b′> ₀，第二方持有b′的另一个分片<b′> ₁。b′的有效数字至多有2(v-u+d4)-1位，且均位于低h0位或高h0位中。这里要求h0＞max(kx-u+2d4)+2(v-u+d4)＝3v-3u+4d4。需要根据b′得到 b″＝sign(a) ^x2 ^kx-3u+4d4+2v。b″为第三中间结果。第一方持有b″的一个分片<b″> ₀，第二方持有b″的另一个分片<b″> ₁。第一方计算第一结果分片<y> ₀＝round(<b″> ₀×2 ^d2+3u-4d4-2v)％2 ^t2，第二方计算第二结果分片<y> ₁＝round(<b″> ₁×2 ^d2+3u-4d4-2v)％2 ^t2。这里要求h0+d2+3u-4d4-2v≥t2，即h0≥t2-(d2+3u-4d4-2v)＝t2+4d4+2v-d2-3u。另h0＝t2-(d2+3u-4d4-2v)可满足要求，其中，根据前面的分析，另d4＝d2+(v+d2＇)，另h0＝t2-(d2+3u-4d4-2v)＝t2-d2-3u+2v+4d2+4v+4d2＇＝t2-3u+6v+3d2+4d2＇。

其中，可以通过近似算法使得b″近似等于sign(a) ^x2 ^kx-3u+4d4+2v。

可以验证的是，若b＝sign(a) ^x2 ^kx-u+2d4，则b′％2 ^h0＝sign(a) ^x2 ^{kx-u+2d4+2(v-u+d4)}＝sign(a) ^x2 ^kx-3u+4d4+2v且round(b′/2 ^h0)％2 ^h0≈0；若b＝sign(a) ^x2 ^kx-u+2d4+h0，则b′％2 ^h0＝0且round(b′/2 ^h0)％2 ^h0≈sign(a) ^x2 ^kx-3u+4d4+2v。因此b″≈sign(a) ^x2 ^kx-3u+4d4+2v。

根据另一方面的实施例，还提供一种隐私数据的安全处理装置，该装置用于执行本说明书图3所示实施例提供的方法，所述隐私数据在初始模空间中以和共享的形式分布于第一方和第二方，所述装置用于得到以公开数据为底数且以所述隐私数据为指数的幂运算结果在目标模空间的结果分片，所述装置设置于第一方。图4示出根据一个实施例的隐私数据的安全处理装置的示意性框图。如图4所示，该系统400包括：

本地计算单元41，用于至少基于所述隐私数据的本方分片，本地计算第一中间数据在第一模空间的第一数据分片；其中，所述第一中间数据为非负值，所述第一模空间对应的第一模数根据所述目标模空间的模值而确定；所述第一中间数据在第一模空间的第二数据分片由所述第二方持有；

乘数构建单元42，用于根据以所述本地计算单元41得到的第一数据分片作为指数的本地幂运算，构建在第二模空间的第一乘数；所述第二模空间对应的第二模数基于所述第一模数而确定；

安全乘法单元43，用于根据本方提供的所述乘数构建单元42得到的第一乘数，以及第二方提供的第二乘数，进行安全乘法运算，得到乘法结果的第一分片；所述第二方得到所述乘法结果的第二分片；其中，所述第二乘数由所述第二方根据其持有的第二数据分片而构建；所述乘法结果具有两种取值；

结果转换单元44，用于将所述安全乘法单元43得到的乘法结果的第一分片转换为所述幂运算结果在所述目标模空间的第一结果分片；所述第二方获得对应的第二结果分片。

可选地，作为一个实施例，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述公开数据的绝对值表示为n的k次幂形式，k和所述隐私数据均为整数，k和所述隐私数据的目标乘积的最小值为u，u为整数，所述目标模空间的模值为n的t2次幂；

所述本地计算单元41，具体用于基于所述本方分片与k的乘积除以n的d1次幂，再向下取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为目标乘积的结果减去u；所述第一模数为0和-d2-u中的较大数值加上t2。

可选地，作为一个实施例，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述公开数据的绝对值表示为n的k次幂形式，k和所述隐私数据均为整数，k和所述隐私数据的目标乘积的最小值为u，u为整数且u大于或等于0，所述目标模空间的模值为n的t2次幂；

所述本地计算单元41，具体用于基于所述本方分片与k的乘积除以n的d1次幂，再向下取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为目标乘积的结果；所述第一模数为0和-d2中的较大数值加上t2。

进一步地，所述乘数构建单元42包括：

第一确定子单元，用于若所述公开数据为正数，确定第一底数为1，若所述公开数据为负数确定第一底数为-1；

第二确定子单元，用于以所述本方分片除以n的d1次幂，再向下取整，确定第一幂值；

第一幂运算子单元，用于以所述第一确定子单元得到的第一底数为底，所述第二确定子单元得到的第一幂值为指数，进行幂运算，得到第一乘积项；

第二幂运算子单元，用于以n为底，以所述第一数据分片作为指数，进行幂运算，得到第二乘积项；

乘法子单元，用于将所述第一幂运算子单元得到的第一乘积项与所述第二幂运算子单元得到的第二乘积项相乘，得到在第二模空间的第一乘数；所述第二模空间对应的第二模数为以n为底以所述第一模数的2倍为指数的本地幂运算结果。

进一步地，所述结果转换单元44包括：

确定子单元，用于将所述乘法结果视为n进制的数据，针对所述乘法结果的第一分片提取其存在非0位的低位的第一模数位的第一分段数值，或者提取其存在非0位的高位的第一模数位的第二分段数值，以确定第三模空间的第二中间结果的第一分片；

转换子单元，用于将所述确定子单元得到的第二中间结果的第一分片乘以n的d2+u次幂，再进行四舍五入取整，得到所述幂运算结果在所述目标模空间的第一结果分片。

进一步地，所述确定子单元，具体用于：

通过本说明书实施例提供的装置，所述隐私数据在初始模空间中以和共享的形式分布于第一方和第二方，该方法用于得到以公开数据为底数且以所述隐私数据为指数的幂运算结果在目标模空间的结果分片，首先第一方的本地计算单元41至少基于所述隐私数据的本方分片，本地计算第一中间数据在第一模空间的第一数据分片；其中，所述第一中间数据为非负值，所述第一模空间对应的第一模数根据所述目标模空间的模值而确定；所述第一中间数据在第一模空间的第二数据分片由所述第二方持有；然后乘数构建单元42根据以所述第一数据分片作为指数的本地幂运算，构建在第二模空间的第一乘数；所述第二模空间对应的第二模数基于所述第一模数而确定；接着安全乘法单元43根据本方提供的所述第一乘数，以及第二方提供的第二乘数，进行安全乘法运算，得到乘法结果的第一分片；所述第二方得到所述乘法结果的第二分片；其中，所述第二乘数由所述第二方根据其持有的第二数据分片而构建；所述乘法结果具有两种取值；最后结果转换单元44将所述乘法结果的第一分片转换为所述幂运算结果在所述目标模空间的第一结果分片；所述第二方获得对应的第二结果分片。由上可见，本说明书实施例，通过构造乘数，将安全幂运算转换为安全乘法运算，从安全乘法运算的乘法结果中提取出幂运算结果，从而能够实现安全幂运算，并且通信量低、性能佳。

根据另一方面的实施例，还提供一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行结合图3所描述的方法。

根据再一方面的实施例，还提供一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现结合图3所描述的方法。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。

Claims

一种隐私数据的安全处理方法，所述隐私数据在初始模空间中以和共享的形式分布于第一方和第二方，所述方法用于得到以公开数据为底数且以所述隐私数据为指数的幂运算结果在目标模空间的结果分片，所述方法由第一方执行，包括：

至少基于所述隐私数据的本方分片，本地计算第一中间数据在第一模空间的第一数据分片；其中，所述第一中间数据为非负值，所述第一模空间对应的第一模数根据所述目标模空间的模值而确定；所述第一中间数据在第一模空间的第二数据分片由所述第二方持有；

根据以所述第一数据分片作为指数的本地幂运算，构建在第二模空间的第一乘数；所述第二模空间对应的第二模数基于所述第一模数而确定；

根据本方提供的所述第一乘数，以及第二方提供的第二乘数，进行安全乘法运算，得到乘法结果的第一分片；所述第二方得到所述乘法结果的第二分片；其中，所述第二乘数由所述第二方根据其持有的第二数据分片而构建；所述乘法结果具有两种取值；

将所述乘法结果的第一分片转换为所述幂运算结果在所述目标模空间的第一结果分片；所述第二方获得对应的第二结果分片。
如权利要求1所述的方法，其中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述公开数据的绝对值表示为n的k次幂形式，k和所述隐私数据均为整数，k和所述隐私数据的目标乘积的最小值为u，u为整数，所述目标模空间的模值为n的t2次幂；

所述本地计算第一中间数据在第一模空间的第一数据分片，包括：

基于所述本方分片与k的乘积除以n的d1次幂，再向下取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为目标乘积的结果减去u；所述第一模数为0和-d2-u中的较大数值加上t2。
如权利要求1所述的方法，其中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述公开数据的绝对值表示为n的k次幂形式，k和所述隐私数据均为整数，k和所述隐私数据的目标乘积的最小值为u，u为整数且u大于或等于0，所述目标模空间的模值为n的t2次幂；

所述本地计算第一中间数据在第一模空间的第一数据分片，包括：

基于所述本方分片与k的乘积除以n的d1次幂，再向下取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为目标乘积的结果；所述第一模数为0和-d2中的较大数值加上t2。
如权利要求2所述的方法，其中，所述构建在第二模空间的第一乘数，包括：

若所述公开数据为正数，确定第一底数为1，若所述公开数据为负数确定第一底数为-1；

以所述本方分片除以n的d1次幂，再向下取整，确定第一幂值；

以第一底数为底，第一幂值为指数，进行幂运算，得到第一乘积项；

以n为底，以所述第一数据分片作为指数，进行幂运算，得到第二乘积项；

将第一乘积项与第二乘积项相乘，得到在第二模空间的第一乘数；所述第二模空间对应的第二模数为以n为底以所述第一模数的2倍为指数的本地幂运算结果。
如权利要求2所述的方法，其中，所述将所述乘法结果的第一分片转换为所述幂运算结果在所述目标模空间的第一结果分片，包括：

将所述乘法结果视为n进制的数据，针对所述乘法结果的第一分片提取其存在非0位的低位的第一模数位的第一分段数值，或者提取其存在非0位的高位的第一模数位的第二分段数值，以确定第三模空间的第二中间结果的第一分片；

将所述第二中间结果的第一分片乘以n的d2+u次幂，再进行四舍五入取整，得到所述幂运算结果在所述目标模空间的第一结果分片。
如权利要求5所述的方法，其中，所述确定第三模空间的第二中间结果的第一分片，包括：

将所述乘法结果视为n进制的数据，针对所述乘法结果的第一分片提取其低位的第一模数位的第一分段数值，以及提取其高位的第一模数位的第二分段数值；

对第一分段数值和第二分段数值求和，得到第三模空间的第二中间结果的第一分片。
如权利要求5所述的方法，其中，所述确定第三模空间的第二中间结果的第一分片，包括：

将所述乘法结果视为n进制的数据，根据本方具有的所述乘法结果的第一分片，以及第二方的所述乘法结果的第二分片，进行安全比较运算，得到所述乘法结果是否大于或等于第一模数的比较结果；

若所述比较结果为所述乘法结果小于第一模数，则针对所述乘法结果的第一分片提取其低位的第一模数位的第一分段数值，将第一分段数值作为第三模空间的第二中间结果的第一分片；

若所述比较结果为所述乘法结果大于或等于第一模数，则针对所述乘法结果的第一分片提取其高位的第一模数位的第二分段数值，将第二分段数值作为第三模空间的第二中间结果的第一分片。
如权利要求1所述的方法，其中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述公开数据和所述隐私数据均为整数，所述隐私数据的最小值为u＇，所述目标模空间的模值为n的t2次幂；

所述本地计算第一中间数据在第一模空间的第一数据分片，包括：

基于所述本方分片除以n的d1次幂，再向下取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为所述隐私数据减去u＇；所述第一模数根据n的d2次幂、所述公开数据的绝对值和n的t2次幂而确定。
如权利要求1所述的方法，其中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述公开数据和所述隐私数据均为整数，所述隐私数据的最小值为u＇且u＇大于或等于0；

所述本地计算第一中间数据在第一模空间的第一数据分片，包括：

基于所述本方分片除以n的d1次幂，再向下取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为所述隐私数据。
如权利要求8所述的方法，其中，所述构建在第二模空间的第一乘数，包括：

若所述公开数据为正数，确定第一底数为1，若所述公开数据为负数确定第一底数为-1；

以所述本方分片除以n的d1次幂，再向下取整，确定第一幂值；

以第一底数为底，第一幂值为指数，进行幂运算，得到第一乘积项；

以所述公开数据的绝对值为底，以所述第一数据分片作为指数，进行幂运算，得到第二乘积项；

将第一乘积项与第二乘积项相乘，得到在第二模空间的第一乘数；所述第二模空间对应的第二模数为以所述公开数据的绝对值为底以所述第一模数的2倍为指数的本地幂运算结果。
如权利要求8所述的方法，其中，所述将所述乘法结果的第一分片转换为所述幂运算结果在所述目标模空间的第一结果分片，包括：

将所述乘法结果视为所述公开数据的绝对值进制下的数据，针对所述乘法结果的第一分片提取其存在非0位的低位的第一模数位的第一分段数值，或者提取其存在非0位的高位的第一模数位的第二分段数值，以确定第三模空间的第二中间结果的第一分片；所述第三模空间对应的第三模数为以所述公开数据的绝对值为底以所述第一模数为指数的本地幂运算结果；

将所述第二中间结果的第一分片乘以所述公开数据的绝对值的u＇次幂，再乘以缩放项，得到在第三模空间的第三中间结果的第一分片；所述缩放项为n的d2次幂乘以第三模数除以n的t2次幂，再进行四舍五入取整得到的数值；

将所述第三中间结果的第一分片乘以n的t2次幂除以第三模数，再进行四舍五入取整，得到所述幂运算结果在所述目标模空间的第一结果分片。
如权利要求11所述的方法，其中，所述确定第三模空间的第二中间结果的第一分片，包括：

将所述乘法结果视为所述公开数据的绝对值进制的数据，针对所述乘法结果的第一分片提取其低位的第一模数位的第一分段数值，以及提取其高位的第一模数位的第二分段数值；

对第一分段数值和第二分段数值求和，得到第三模空间的第二中间结果的第一分片。
如权利要求11所述的方法，其中，所述确定第三模空间的第二中间结果的第一分片，包括：

将所述乘法结果视为所述公开数据的绝对值进制的数据，根据本方具有的所述乘法结果的第一分片，以及第二方的所述乘法结果的第二分片，进行安全比较运算，得到所述乘法结果是否大于或等于第一模数的比较结果；

若所述比较结果为所述乘法结果小于第一模数，则针对所述乘法结果的第一分片提取其低位的第一模数位的第一分段数值，将第一分段数值作为第三模空间的第二中间结果的第一分片；

若所述比较结果为所述乘法结果大于或等于第一模数，则针对所述乘法结果的第一分片提取其高位的第一模数位的第二分段数值，将第二分段数值作为第三模空间的第二中间结果的第一分片。
如权利要求1所述的方法，其中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述隐私数据不为整数，所述公开数据表示为n的k次幂形式，k和所述隐私数据的目标乘积的最小值为u，其最大值为v，u和v均为整数，支持的所述目标乘积的精度为小数点后d3位，所述目标模空间的模值为n的t2次幂；

所述本地计算第一中间数据在第一模空间的第一数据分片，包括：

基于所述本方分片与k的乘积除以n的d1次幂，乘以n的d3＇次幂，再四舍五入取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为目标乘积的结果减去u再乘以n的d3＇次幂；所述第一模数为h0乘以n的d3＇次幂，h0根据d2、u、v、d2＇和t2而确定，d3＇大于d3，d2＇大于d2。
如权利要求1所述的方法，其中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述隐私数据不为整数，所述公开数据表示为n的k次幂形式，k和所述隐私数据的目标乘积的最小值为u，其最大值为v，u和v均为整数且u大于或等于0，支持的所述目标乘积的精度为小数点后d3位，所述目标模空间的模值为n的t2次幂；

所述本地计算第一中间数据在第一模空间的第一数据分片，包括：

基于所述本方分片与k的乘积除以n的d1次幂，乘以n的d3＇次幂，再四舍五入取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为目标乘积的结果乘以n的d3＇次幂；所述第一模数为h0乘以n的d3＇次幂，h0根据d2、u、v、d2＇和t2而确定，d3＇大于d3，d2＇大于d2。
如权利要求14所述的方法，其中，所述构建在第二模空间的第一乘数，包括：

以所述本方分片除以n的d3＇次幂，加上d4，确定第一幂值；其中，d4根据d2、v、d2＇而确定；

以n为底，第一幂值为指数，进行幂运算，再四舍五入取整，得到在第二模空间的第一乘数；所述第二模空间对应的第二模数为以n为底以h0的2倍为指数的本地幂运算结果。
如权利要求14所述的方法，其中，所述将所述乘法结果的第一分片转换为所述幂运算结果在所述目标模空间的第一结果分片，包括：

将所述乘法结果视为n进制的数据，将所述乘法结果的第一分片乘以放大项，得到第二中间结果的第一分片；所述放大项为以n为底以2(v-u+d4)为指数的本地幂运算结果；其中，d4根据d2、v、d2＇而确定；

针对所述第二中间结果的第一分片提取其存在非0位的低位的h0位的第一分段数值，或者提取其存在非0位的高位的h0位的第二分段数值，以确定第三模空间的第三中间结果的第一分片；所述第三模空间对应的第三模数为2的h0次幂；

将所述第三中间结果的第一分片乘以n的d2+3u-4d4-2v次幂，再进行四舍五入取整，得到所述幂运算结果在所述目标模空间的第一结果分片。
如权利要求17所述的方法，其中，所述确定第三模空间的第三中间结果的第一分片，包括：

将所述乘法结果视为n进制的数据，针对所述第二中间结果的第一分片提取其低位的h0位的第一分段数值，以及提取其高位的h0位的第二分段数值；

对第一分段数值和第二分段数值求和，得到第三模空间的第三中间结果的第一分片。
如权利要求1所述的方法，其中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述隐私数据为整数，所述公开数据的绝对值表示为n的k次幂形式，k和所述隐私数据的目标乘积的最小值为u，其最大值为v，u和v均为整数，支持的所述目标乘积的精度为小数点后d3位，所述目标模空间的模值为n的t2次幂；

所述本地计算第一中间数据在第一模空间的第一数据分片，包括：

基于所述本方分片与k的乘积除以n的d1次幂，乘以n的d3＇次幂，再四舍五入取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为目标乘积的结果减去u再乘以n的d3＇次幂；所述第一模数为h0乘以n的d3＇次幂，h0根据d2、u、v、d2＇和t2而确定，d3＇大于d3，d2＇大于d2。
如权利要求1所述的方法，其中，所述本方分片是所述隐私数据乘以n的d1次幂在所述初始模空间的分片，所述结果分片是所述幂运算结果乘以n的d2次幂在所述目标模空间的分片，所述隐私数据为整数，所述公开数据的绝对值表示为n的k次幂形式，k和所述隐私数据的目标乘积的最小值为u，其最大值为v，u和v均为整数且u大于或等于0，支持的所述目标乘积的精度为小数点后d3位，所述目标模空间的模值为n的t2次幂；

所述本地计算第一中间数据在第一模空间的第一数据分片，包括：

基于所述本方分片与k的乘积除以n的d1次幂，乘以n的d3＇次幂，再四舍五入取整，本地计算第一中间数据在第一模空间的第一数据分片；第一中间数据为目标乘积的结果乘以n的d3＇次幂；所述第一模数为h0乘以n的d3＇次幂，h0根据d2、u、v、d2＇和t2而确定，d3＇大于d3，d2＇大于d2。
如权利要求19所述的方法，其中，所述构建在第二模空间的第一乘数，包括：

若所述公开数据为正数，确定第一底数为1，若所述公开数据为负数确定第一底数为-1；

以所述本方分片除以n的d1次幂，再向下取整，确定第一幂值；

以第一底数为底，第一幂值为指数，进行幂运算，得到第一乘积项；

以所述本方分片除以n的d3＇次幂，加上d4，确定第二幂值；其中，d4根据d2、v、d2＇而确定；

以n为底，第二幂值为指数，进行幂运算，再四舍五入取整，得到第二乘积项；

计算第一乘积项乘以第二乘积项，得到在第二模空间的第一乘数；所述第二模空间对应的第二模数为以n为底以h0的2倍为指数的本地幂运算结果。
如权利要求19所述的方法，其中，所述将所述乘法结果的第一分片转换为所述幂运算结果在所述目标模空间的第一结果分片，包括：

将所述乘法结果视为n进制的数据，将所述乘法结果的第一分片乘以放大项，得到第二中间结果的第一分片；所述放大项为以n为底以2(v-u+d4)为指数的本地幂运算结果；其中，d4根据d2、v、d2＇而确定；

针对所述第二中间结果的第一分片提取其存在非0位的低位的h0位的第一分段数值，或者提取其存在非0位的高位的h0位的第二分段数值，以确定第三模空间的第三中间结果的第一分片；所述第三模空间对应的第三模数为2的h0次幂；

将所述第三中间结果的第一分片乘以n的d2+3u-4d4-2v次幂，再进行四舍五入取整，得到所述幂运算结果在所述目标模空间的第一结果分片。
一种隐私数据的安全处理装置，所述隐私数据在初始模空间中以和共享的形式分布于第一方和第二方，所述装置用于得到以公开数据为底数且以所述隐私数据为指数的幂运算结果在目标模空间的结果分片，所述装置设置于第一方，包括：

本地计算单元，用于至少基于所述隐私数据的本方分片，本地计算第一中间数据在第一模空间的第一数据分片；其中，所述第一中间数据为非负值，所述第一模空间对应的第一模数根据所述目标模空间的模值而确定；所述第一中间数据在第一模空间的第二数据分片由所述第二方持有；

乘数构建单元，用于根据以所述本地计算单元得到的第一数据分片作为指数的本地幂运算，构建在第二模空间的第一乘数；所述第二模空间对应的第二模数基于所述第一模数而确定；

安全乘法单元，用于根据本方提供的所述乘数构建单元得到的第一乘数，以及第二方提供的第二乘数，进行安全乘法运算，得到乘法结果的第一分片；所述第二方得到所述乘法结果的第二分片；其中，所述第二乘数由所述第二方根据其持有的第二数据分片而构建；所述乘法结果具有两种取值；

结果转换单元，用于将所述安全乘法单元得到的乘法结果的第一分片转换为所述幂运算结果在所述目标模空间的第一结果分片；所述第二方获得对应的第二结果分片。
一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-22中任一项的所述的方法。
一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现权利要求1-22中任一项的所述的方法。