CN110348231A 实现隐私保护的数据同态加解密方法及装置 （阿里巴巴集团控股有限公司）

实现隐私保护的数据同态加解密方法及装置本说明书一个或多个实施例提供一种实现方法可以包括：获取目标用户对应的公钥pk=设循环群；通过所述公钥pk和所述随机数r对所述目标用户对应的待加密数据m进行处理，生成述同态密文c提供至所述目标用户，所述同态密文c可由所述目标用户通过私钥sk解密得到数据2获取目标用户对应的公钥pk＝{N,h}，其中h为随机数空间z;内大小为k的预设循环群r属于所述预设循环群；通过所述公钥pk和所述随机数r对所述目标rmodN)N＝(1+N)mNmodN2)rmodN2；将所述同态密文c提供至所述目标用户，所述同态密文c文c0～cs实施符合加法同态的预设运算f()；根据交易对象Q_0～Q_t分别对应的转账额m0～mt，创建所述目标用户与交易对象Q_0~3将解密得到的数据m输出至所述目标用户。文c0～cs实施符合加法同态的预设运算f()；r属于所述预设循环群；数据处理单元，通过所述公钥pk和所述随机数r对所述rmodN)N＝(1+N)mNmodN2)rmodN2；密文提供单元，将所述同态密文c提供至所述为随机数空间z;内大小为k的预设循环群的生成元，hr属于所述预设循环群，k的长度为i4其中，所述处理器通过运行所述可执行指令以实现如权利要求1-8中任一项所述的方其中，所述处理器通过运行所述可执行指令以实现如权5NmodN2)rmodN2；6[0016]数据处理单元，通过所述公钥pk和所述随机数r对所述目标用户对应的待加密数rmodN)N＝(1+N)mNmodN2)rmodN2；所述同态密文c由目标用户对应的公钥pk＝{N,h}和随机数r对数据m进行处理后得到；其[0026]根据本说明书一个或多个实施例的第六方面，提出了一种计[0031]根据本说明书一个或多个实施例的第八方面，提出了一种计算7中所描述的实施方式并不代表与本说明书一个或多个实施例相一致的所有实施方式。相[0043]同态加密(HomomorphicEncryption)技术可以将原始数据加密为相应的同态密有的私钥sk_1或者其他数据均无法对同态密[0047]图1是一示例性实施例提供的一种实现隐私保护的数据同态加密方法的流程图。8上述计算设备可以属于目标用户之外的其他用户，而目标用户的公钥pk可以公开给该用生成元h可以生成该预设循环群中的所有元素，例如：该预设循环群中的元素可以表征为h0h0k-1，并且生成元h的其他次幂均可以循环表2k-1＝hk-1等。[0054]步骤106，通过所述公钥pk和所述随机数r对所述目标用户对应的待加密数据m进rmodN)N＝(1+N)mNmodN2)rmodN2。[0055]在同态密文c的上述计算公式中，包含两部分内容：(1+N)m用于承载明文数据m、长度的随机数r可以确保(hNmodN2)r的计算量相对更小，从而在针对相同的数据m进行加密不小于224bit，可以确保同态密文c具有足够的随机性和安全性，譬如可以至少提供112-[0057]在针对上述公式中的(hNmodN2)r进行计算时，虽然可以每次按照公式直接进行模幂计算，但是可能由于较大的计算量而需要较长的计算时长。实际上，通过将公式由(hrmodN)N转换为(hNmodN2)r之后，可以发现：(hNmodN2)r为i比特指数的固定底模幂，即9的二进制字符串，该i位的二进制字符串可以被基于j比特的单位长度进行划分为i/j个数可以进一步转换为N2y"的i/j个数值段ru且u∈[0,(i/j)-1]时，可以根据每个数值段的取值选取对应的预先计算出[0060]例如，对于实际选取的随机数r，如果该随机数r拆解后得到的数值段分别为r0、j+……+r(i/j)-1NmodN2)rmodN2]。[0063]相应地，图2是一示例性实施例提供的一种实现隐私保护的数据同态解密方法的元素为随机数空间z;中元素的2次方，即r,=fy'modNlyEZ;},并且该二次剩余群群r;:与群or:的内直积即其中，表示N征为h--y"modN,YEZ;。由于预设循环群为的大小为2α,因而该预设循[0079]由于在根据公钥pk对数据m进行加密时，采用的计算公式为：c＝(1+N)m·那么α的长度同样为320bit；又由于α=pq，因而前述的中间参数p、q的长度可以分别为与群而在这些群组中，本说明书中选择由群与群<N的应确定随机数r的长度与该群QRN的大小(P-1)(Q-1)/4相关，譬如当P、Q的长度分别为[0084]上述同态加解密方案可以应用于区块链交易中，以实现区块链网络中的机密交户与交易对象Q_0～Q_t之间的区块链交易，所述区块链交易中包含转账额m0～mt分别对应应的同态密文c(pk_0,m)，表示该同态密文c由用户Ua的公钥pk_0对资产数额m进行同态加公钥pk_0对数额m_0加密生成同态密文c_0(pk_0,m_0)，由于需要向用户Ub输出转账额1即要向用户Uc输出转账额2即m_2，因而需要采用用户Uc的公钥pk_2对数额m_2加密生成同态(pk_0,m_0)](若明文数据的加减法运算对应于同态密文的乘除法运算，则c_a更新为[c_a公钥pk_0加密生成，因而满足加法同态特性，使得用户Ua通过相应的私钥sk_0对[c_a-c在区块链账本上的资产由c_b更新为[c_b+c_1(pk_1,m_1)](若明文数据的加减法运算对应区块链账本上的资产由c_c更新为[c_c+c_2(pk_2,m_2)](若明文数据的加减法运算对应于交易额等处于隐私状态，并且能够基于同态特性而保证各个数额之间能够正确计算与维[0096]由于用户Ua仅将同态密文c0～cs发送至用户Ub，而无需发送原始的明文数据m0~这组模型参数d0～ds对同态密文c0～cs进行处理后，0[0102]基于加法同态特性，使得用户Ub通过上述模型参数d0～ds对同态密文c0～cs进行过上述模型参数d0～ds对数据m0～m抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单[0108]数据处理单元73，通过所述公钥pk和所述随机数r对所述目标用户对应的待加密rmodN)N＝(1+N)mNmodN2)rmodN2；其中，所述预设循环群为群与群<-1>的内直积，群<-1>为随机数空间z;内由元素(-所述指定用户对同态密文c0～cs实施符合加法同态的预设运算f()；用户与交易对象Q_0～Q_t之间的区块链交易，所述区块链交易中包含转账额m0～mt分别对抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单rmodN2，所述同态密文c由目标用户对应的公钥pk＝{N,h}和随机数r对数据m进行处理后得其中，所述预设循环群为群与群<-1>的内直积，群<-1>为随机数空间z;内由元素(-所述指定用户对同态密文c0～cs实施符合加法同态的预设运算f()；[0135]所述密文解密单元92具体用于接收并解密所述指定用户返回的运算结果f(c0~