密态聚合处理技术的应用与发展

当前电子政务、数字医疗、网约车等领域涌现出一批城市智脑，“最多跑一次”“数据多跑路”“精准服务”等亮点应用在实现惠民服务的同时，产生了大量公共和个人数据，受利益驱使，服务提供方数据泄露事件时有发生，比如中国电信超2亿条用户信息被出售，笨鸟社交泄露400GB超3亿条用户数据，亚马逊因违反数据隐私法规遭欧盟重罚，滴滴App违规收集个人信息、赴美上市事件引发人们对公民行为数据泄露的担忧。《网络安全法》《密码法》等也强调各方应加强对用户数据的保护。数据加密是一种有效的安全防护系统手段，但是传统加密技术存在着以下问题：若把密码数据下发到客户端再解密后分析，会造成工作效率的降低；若将加密数据从服务端解密分析，则会大大降低安全系数。密态聚合是一类新的密码算法，能够执行密文操作，实现数据可用而不可见，非常适合保护计算处理时的数据安全。密态聚合技术是对密文打包、秘密分享、同态加密、代理重加密等技术的综合使用，需要同时考虑密文不落地、抗量子计算攻击、密文可验证等要素，具有较高的技术要求。应用场景主要体现在外包计算、云计算等，比如需要提供个人敏感数据（与位置有关或与个人信息有关）才能从整个系统接收特定服务（例如，基于位置的服务或基于移动的社交网络服务）。相应地也有两类模型：（1）由一个聚合者节点负责收集数据，并对参与方各节点的数据进行汇总（例如外包计算）。（2）由各参与方节点对它们自己提供的数据共同执行聚合计算（例如社交网络服务）。无论哪一种模型，为了保证聚合计算的安全性，都需要将各参与方节点的数据加密，从而使聚合节点或其他参与者无法获取任何有用的信息。可以利用安全多方计算（SecureMulti-partyComputation，SMC）、同态加密（HomomorphicEncryption，HE）及其他的加密技术来处理此问题，不过上述技术也均有优缺点。其共性就是由数据拥有方将信息统计及处理服务提供给第三方，可以直接对加密信息进行操作，而不要求由第三方解密，使得存储方不能得到真正的数据内容。１应用现状和典型分析本节给出密态聚合技术在基因、国家安全、教育、医疗健康等场景的应用。1.1密态聚合在基因领域的应用基因数据能够代表重大疾病隐患、社会身份敏感标记、文化起源等信息，因此隐私数据共享是基因领域的热点话题。当前，大量DNA和RNA的序列能够被迅速而廉价地收集，大量的人类基因组序列数据则集中在不同的实验室和医疗机构。这使得基因数据面临一个挑战——广泛地安全共享基因数据，但人类DNA和RNA序列像指纹一样具有生物特征识别能力，一旦开放共享这些数据，就永远无法挽回这些隐私。基因组数据共享能够映射到对数据的简单运算，可能非常适合同态加密。涉及数据共享的两个用例如下：（1）通过研究遗传变异的基因组，理解遗传变异的临床意义。（2）为全球基因组与医疗健康联盟创建信标或分析工具。比如，针对全基因组关联分析（GenomeWideAssociationStudy，GWAS）以及组合基因型的统计分析和复杂处理时，可以对基本元素进行建模。人类的基因组序列的碱基对数量几乎彼此相等，这表明人类基因组数据可简化成一种简单向量。基因组序列的变化、变异或突变，都能够在序列中被识别定位，并以生物基因中特有的文件格式被共享。表型数据（包括相关的临床结果）可以打包为叫作phenopackets的文件格式。基因型和表型的这种组合可用于许多基因分析场景。在原发性乳腺癌病人或其亲属中检测本系BRCA基因，专家往往只能找到作用不明的新变化，而不能对病人的复发及家族问题给出意见。这些检查出来的变异是真正的高致病性，但只是变异中正常背景的一种。因此，如果人们能够在国内以及世界各地成百上千的诊所中，获取和研究这种简单的基因型和外表型数据的能力，将有助于人们更多地认识这种“意义不明的变量”。例如，NIH数据库ClinVar通过大数据分析，报告了特定变体的临床意义。基因匹配的情况类似，但其用例稍微有所不同。可以通过研究父母双方的基因来检测患有遗传性疾病儿童的疾病原因。这样就可以识别出候选变体。但是一个例子不足以证明造成疾病的原因，需要通过研究患有相同疾病的其他人，来确定他们具有相同的基因缺陷。通过技术方法发现疾病的遗传原因可以改善治疗。这两个示例都依赖于基本数据操作和原语，而这些都可以被同态加密很好地支持。通过同态加密，可允许医生将不同的加密的基因体数据集上传到云端服务中，以提取更准确的医学信息，以便于改进患者的健康。上述示例表示着一些已在同态加密技术上获益的基因组应用。1.2密态聚合在关键基础设施和国家安全领域的应用假设存在有n个节点的互联网（例如一个智能电网，其各个节点正在生成大量的数据，各个节点可代表一个单独的发电厂、建筑群、微电网等）。对于各个节点所生成的状态信息，需要由庞大的智慧国家电网/城市/政府实施监控，监视中心就可以把监控和统计的功能外包给公共云，并通过同态加密对互联网中各个节点的状态信息进行统计。又假设各个节点都表示一个独立的微装置，那么状态信息就可以包含电量的生成、使用、物理装置的工作温度、电能流等。若节点是不同的智能建筑，其系统检测信息也可以包含当前的能源情况（通过这些数据也可以监测建筑物系统中的异常或者入侵，比如恶意软件影响的设施）。由于该基础设施具有至关重要的作用，因此保护其信息安全以及确保其不会被非法修改是非常重要的。对电网的历史数据进行分析，就可以管理电网和电力分配，但因为攻击者通过调整历史数据，就可能产生供电故障，所以为了允许使用云计算平台来分析数据，必须确保云计算能够抵抗潜在的攻击，保障数据安全。来自网络中每个节点的测量数据将不断地被加密，发送到云平台，以进行计算和分析。一旦网络系统中的某个节点出现了异常状况（例如能源使用量激增），这种测量数据将被发送至云端平台上进行统计。加密的计算结果将发送给国家决策中心进行解析，并进行相关的查询，例如，来自政府机构的代表可能希望与节点管理员联系，以验证异常情况并跟踪恶意软件感染的证据。在这些情况下，一些方法通过采用传统的加密算法对明文信息进行加密以确保在聚合进程中用户信息的隐私性。采用ElGamal加密算法和中文剩余定理（ChineseRemainderTheorem，CRT）的方法要求可信的第三方介入聚合进程。但是，在真实世界中要寻找一个可以信任的第三方并不现实。通过同态加密，能够进行无须可信第三方介入的信息整合。从简单的经济角度来看，同态加密仅需要云中的一个服务器（不一定可信），最终用户需要客户端接口。而其他加密计算方法（例如安全多方计算）则需要更大且更昂贵的技术部署，例如，需要更多服务器。尽管这似乎不适用于此方案，但安全多方计算系统中的多个参与者可能会合谋推断其他参与者。另外，基于互联网的不稳定性以及电力设备发生故障的风险可能性，也可以造成大量数据集合结果出错，或者使得集合的操作无法顺利地进行，从而影响到电量读数的真实性。因此，密态聚合方法的容错性就非常关键。目前，许多容错方案是通过秘密分享来实现的。除考虑系统内各个实体之间可能会发生的问题以外，还必须充分考虑旧电表离开或新电表进入系统中的可能性，使聚合流程按分布式增量方法完成。1.3密态聚合在教育领域的应用据估计，美国大约25％的高中新生未能按时毕业。为了缓解这个问题，希望能够预测出有风险的学生，并为他们提供正确的干预措施。但是，学校不太可能有足够的信息来做出这样尽可能准确的预测。例如，学生可能由于家庭健康状况或他们的福利状况而辍学。为了进行准确的预测，就需要融合跨不同机构（包括学校、医院、福利系统、警察局等）的数据，但融合数据的隐私保护是一个严重的问题，需要这些机构有义务保护其数据隐私安全。同态加密技术为这一挑战提出了可行的解决方案，尽管同态计算往往比明文计算要慢，但它可以通过批处理来提升效率。采用同态加密提供的数据安全保护方法，将数据汇总在一起，能有效防止数据泄漏。由于数据可能存储在不同数据库中不同的标识符下，从不同的数据库中检索有关学生的数据需要进行数据安全保护。虽然查询可以加密也可以不加密，但是检索到的数据必须加密。检索到数据后，将其合并生成特征向量，分析模型对特征向量进行预测，输出分析结果。在这个应用场景下，会涉及一些挑战。数据来自不同的实体，加密的密钥不同，这个问题将需要结合安全多方计算和同态加密来解决。根据所用模型的类型，同态加密的应用模式可能较困难。例如，与浅层模型相比，采用同态加密难以实现深度模型（深度网络或深度树）。1.4密态聚合在医疗健康领域的应用在医学领域，由于医疗信息系统（比如医学图片、诊断记录等）牵涉患者的大量秘密，医院健康体系在必须保障敏感信息不被暴露的环境中运行，但同时仍必须确保服务的顺利进行，这就导致了医院信息系统无法在风险与效益之间平衡。2016年，美国健康保险流通与责任法案（HealthInsurancePortabilityandAccountabilityAct,HIPAA）执法行动共13次，平均罚款180万美元。2015年，AnthemInc.的重大数据泄漏事故，共暴露了八千万条记录，所导致的总经济损失成本估计达到十亿美元。这就证实了未正确保持该平衡而花费的代价也很大。同态加密可以帮助医疗健康行业解决某些应用在信息共享中的风险和效用之间的平衡。计费与报表生成是两种常见的业务。研究者必须通过个人病历以对其部分信息做出统计。通过允许特定方法而不是以明文形式披露这些信息，能够防止发生违规且不危害日常安全应用。分析者可以通过查询当前的病历来收集信息，例如有关诊所开出的处方或遭遇医疗事故的统计数据。一个不可信的服务器拥有相关数据的加密语料库，内容包含受HIPAA保护或其他有关隐私规定和政策约束的个人病历。解析者进行查询分析请求，然后通过同态加密并在加密数据上进行相应的计算查询，并将加密后的计算结果反馈给解析者。接着，解析者可以在被信任的平台上解密，并将查询结果写成相关报表。但因为数据语料库在静态和计算中都保持着密封，所以所有攻击者都无法从数据或此类查询的结果中得到隐私信息。在这样的工作流程中存在一个挑战：必须确定治疗的安全性和有效性，但是患者必须关注隐私和代理权，医院必须确保遵守相关法律（例如HIPAA法案），而制药公司也要关注保护其知识产权。将同态加密应用于治疗评估过程可以确定治疗的安全性和有效性，同时保护患者和药品的隐私。总而言之，医疗机构（尤其是小型医疗机构）的数据隐私和实用性需求，需要进行折中平衡，有时数据泄漏对组织及其患者而言都是灾难性的结果。同态加密可以为医疗信息系统的数据隐私提供新型解决方案，其防护成本极低。保护敏感数据的同态加密技术，也可以扩充医疗健康的其他领域。1.5“零泄露”加密数据使用平台采用同态加密技术，保障处于正常使用状态下的数据，美国公司技术支持“零泄露”的安全态势，使公司能够安全地、大规模地从云端、本地，甚至其他区域，对已加密数据或者不加密信息实施操作，从而为公司提供能有效对抗国家级黑客威胁的加密信息应用系统。核心解决方案为包括两个产品。该技术产品可以保护使用中的数据，确保在整个数据处理生命周期中都不会泄露任何信息。1.5.1ComputeFabricComputeFabric是一个两方平台，为套件解决方案奠定了基础。该平台由驻留在企业中的Client应用程序和部署在数据所在位置的Server应用程序组成。无须更改基础架构或存储技术，它即可通过标准API与组织的现有保护无缝配合，以确保数据在整个处理生命周期中均保持安全。该产品具有两个特点：（1）永不解密。在本地、云中心、第三方数据位置，甚至任何地方，都无须解密任何内容即可对搜索和分析等数据执行操作。（2）全生命周期安全。交互内容、计算结果和数据本身的内容始终受到安全保护。因此，用户可以通过完全私有和安全的方式与数据进行大规模交互。1.5.2

Search

Search产品的搜索功能可以在任何环境中对加密和未加密的数据进行安全搜索。该产品具有以下特点：（1）不可信环境下的可信计算。军事级加密搜索可将企业受信任计算的边界扩展到不可信环境中。（2）基于轻量级API的体系结构。客户端和服务器应用程序充当点对点代理层，以执行安全计算。（3）不需要修改原系统。此功能不需要更改系统体系结构、数据存储格式、技术或应用程序代码。（4）保留拥有者的密钥。密钥也永远不需要离开拥着者的监控。突破性的

技术从根本上改变了安全数据使用的范式，为跨行业的数据分析打开了大门。主要的用例主要包括安全数据协作、通用数据保护条例合规、安全数据价值化、安全云处理、内部威胁防护、第三方风险控制、边缘可信计算。适用于金融服务、卫生医疗、数据货币化、审计与合规、云端安全、政府。1.6SecurePlus平台（Duality公司）对美国Duality公司研发的加密信息计算与数据分析软件SecurePlus系统进行了研究，该系统强调“最小化数据风险的同时，最大化数据利用价值”，在大数据信息安全防护、模型的知识产权维护与信息合规管理等领域，给企业带来了切实的解决办法。该系统目前有三个主要实际应用，包括安全数据分析、机器学习模型的版权保护以及数据协作的隐私保护。1.6.1安全数据分析平台使得信息的所有者即使在不开放敏感数据的条件下（数据加密），也能够通过第三方的研究手段，如机器学习、数据挖掘等技术加以研究与管理。使用抗量子的同态加密，实现了数据端对端的安全。平台保证了有意义的数据在不可信任的云平台中的保密性和安全。1.6.2机器学习模型的版权保护在该应用下，机器学习模型并不归属于第三方，但是归属用户版权所有。平台确保模型在无法信任的由第三方安装、保存和应用机器学习算法的云平台中始终保持加密状况，同时客户端必须对数据保密并提交至云端。利用同态密文算法，数据和模型能够在密文域进行检测和分析工作，完成后云端将数据反馈到客户端，客户端对数据解码，得出真正的预测结果。由于没有加解密密钥，因此就算黑客或者第三方可以盗取模型，也不能实现机器学习任务的闭环。1.6.3数据协作的隐私保护平台确保多方数据安全共享与协作。同态加密在整个数据链接与计算流程中保护着每一个参与方的资产，在整个过程中保障了信息安全并满足法律法规要求，尤其是在GDPR中对多方协同的数据保护需求。２密态聚合研究现状分析2.1密态聚合计算发展历程随着同态加密、多方安全计算、联邦学习等新技术手段在隐私安全的领域进一步拓展，也促进着密态计算技术本身的进一步完善与发展。应用方面，云计算外包场景较多，包括大数据处理与隐私保护、密文信息检索、版权保护以及机器学习等方面的应用。点对点计算模型在社交等领域有需求，应用尚不成熟。安全多方计算需要各方参与者在线，同步交互调用，这会导致极高的通信和计算复杂度。即使在异步安全多方计算中，对于实际应用而言，计算复杂度仍然过高。随机数是设计密态聚合方案的另一个有用工具。随机数通常需要预先通过安全信道分发给用户和聚合方，每个用户可以用自己的随机数混淆使用数据，然后聚合方可以消除所有用户的随机数以获得聚合的使用数据。但此过程仍依赖可信中心（TrustedThirdParty，TTP）来生成和分发随机数。另外，也有些学者利用差分隐私的随机数方法，通过增加服从拉普拉斯或其他分布的随机噪声来掩盖原始值。同态加密是实现聚合计算的一个重要工具。相比于安全多方计算而言，同态加密简单易用，不需要参与方同步在线。基于公钥同态加密（例如Paillier加密算法、EC-ElGamal加密算法），业界提出了一些新颖有效的多维密态聚合计算方法。2012年，Lu等人使用Paillier同态加密和超增序列设计了一种隐私保护的多维密态聚合方案，首先操作中心生成公钥和私钥，每个用户在发送前用公钥加密其多维数据发到网关，随后每个用户的秘密文件都被聚集并转发到了操作中心，最后由操作中心使用私钥解密聚集的所有秘密文件。2015年，利用Paillier同态加密和Bloom过滤器实现电力数据的聚合方案，其中每个用户对其电力数据进行加密，同时计算哈希值和它的承诺，然后将它们发送到网关。所有用户的加密电力数据由网关聚合，并将哈希值和承诺分别添加到两个Bloom过滤器中。最后操作中心使用私钥对聚合后的密文进行解密，并使用Bloom过滤器来保证不可否认性。2016年，Jo等人

提出了一种高效且隐私保护的密态聚合方案，该方案不依赖于可信网关。在他们的方案中，私钥由一群智能电表（SmartMeter,SM）秘密持有。在发送到高级计量基础设施（AdvancedMeteringInfrastructure,AMI）之前，用户对他们的数据进行加密。然后AMI聚合接收到的数据，但它无法解密数据，因为它没有私钥。相反，AMI在组中选择一些SM并要求它们解密聚合的密文。尽管该方案可以消除关于网关的可信假设，然而一个不容忽视的事实是差分攻击可能会侵犯用户的隐私，即AMI要求SM解密两个聚合的密文，这些密文表示仅有单个用户不同的集合。然后AMI可以从返回的两个解密数据的差异中推断出该用户的数据。2017年，通过Horner规则和Paillier同态加密，提出了一个面向海量用户和动态拓扑网络的高效数据整合方案。通过监控管理中心产生的公钥对多维数据加以压缩和密码处理，网关整合接收到的加密数据，同时把整合的数据信息发送给监控管理中心，最后由监控管理中心用私钥解码。密态聚合方法不止于多维度信息的集合，它还需要进行信息模型解析，在不透露用户敏感数据的情况下，对应用数据进行更复杂的函数运算。2013年，采用基于Shamir秘密分享的多方计算协议构建密态聚合方案。2019年，为英国的智能电网架构实际使用场景提出了一个基于安全多方计算的密态聚合方法。这些采用了秘密分享和安全多方计算的密态聚合方法能够进行复杂计算，在秘密份额分配和重建过程中，由于它们不能检验参与者份额的正确性，特别是由恶意系统所导致的秘密份额，因此秘密份额可验证性的安全要求在智能电网密态聚合相关文献中并不能获得保障。2021年，通过格密码同态方法完成了具有智能定价能力的密态聚合方法。该方法中的控制中心能够计算更复杂、更高级的统计函数，进行多样化的价格决策。但是由于格密码同态方法在数次高阶计算后出现了密文扩张等现象，且信噪比也会伴随乘法数量的增加而扩大，因此急需特别处理方式来提高算法的准确性。2.2多源密态聚合计算发展从提出全同态加密算法开始，全同态加密算法的效率有了极大提升，为实际应用奠定了良好的基础。尤其是多钥全同态加密的提出与发展，为多来源数据的同态计算提供了有力支撑。在多源密态聚合方面，上述单密钥算法的计算成本较高，无法应用于多源数据环境。此外，有人提出对称同态加密算法实现密态聚合，但是其安全性屡遭攻击，无法保证算法的安全性。由于上述同态加密算法都是单同态，明文空间的大小受到限制，对密文执行的加法和乘法运算的次数也受到限制。为适用多源密态聚合场景。2012年，以云环境下多用户密文数据的同态运算为应用场景，首先提出了多密钥同态加密（MultiKeyFullyHomomorphicEncryption，MKFHE）的技术概念，并建立了第一个完全基于数论结构（NumberTheoryResearchUnit，NTRU）加密技术的MKFHE方法LTV12，其安全性主要基于环错误学习（RingLearningwithErrors，RLWE）问题和素数次分圆多项式环决策小多项式比（DecisionalSmallPolynomialRatio，DSPR）问题。正是因为NTRU型加密方法的密文结构天然具备了多密钥密文同态计算的特点，所以能够很好地被用于构建MKFHE方法。研究也拉开了MKFHE方法的帷幕。当前的MKFHE方法基本上是在经典的（单密钥）全同态加密方法的基础上逐渐演变而成的，但按照其基础的全同态加密（FullyHomomorphicEncryption，FHE）方法的不同，可把目前的MKFHE方法细分为NTRU型MKFHE、第三代同态加密（Gentry等人提出，GSW）型MKFHE、第二代同态加密型MKFHE和其他类型的MKFHE4种。现阶段MKFHE在系统设计与应用层面尚未完善，还面临许多有待克服的困难。NTRU型MKFHE：当前基于NTRU密码系统的MKFHE尚存在以下两点问题有待解决。（1）方案的可靠性没有受到严格的验证。（2）多用户联合解密时尚无可行的门限式解密协议。目前对NTRU型MKFHE必须借助更复杂的通信系统才能完成，而且破译的难度和通信量都很大，不便于真正的使用。GSW型MKFHE：当前GSW型MKFHE尚存在以下两点问题有待解决。（1）如何更有效地实现MKFHE的多跳功能。同态运算的过程中支持新用户密文的加入，是基于实际使用环境中的需求。不论是利用PS16中复杂的密文扩展，还是在BP16中利用自举的思想来进行多跳，都会导致运算复杂性增大。（2）进一步控制密文规模。GSW密文的尺寸相对而言很大，当多用户参与时，CM15、MW16和PS16中扩展GSW密文的尺寸伴随参加用户数量的提高而呈指数增长，这会带来较大的数据传输和存储成本。针对这个问题，BP16采用了自举的方法进行单用户密文向多用户密文的扩展，其扩展密文的尺寸也伴随参加用户数量的增多而线性增加。但由于自举方法太过于费时和烦琐，对整个计划的执行效率产生了一定的负面影响。CCS19a利用全同态转换器（TorusFully

HomomorphicEncryption，TFHE）方案同态运算的特殊结构，通过构造精简的GSW密文来降低扩展密文的尺寸，但是优化幅度有限。未来如何进一步约减扩展密文的尺寸，仍是GSW型MKFHE研究的关键。BGV型MKFHE：BGV型MKFHE的核心问题是对计算密钥生成流程的优化。BGV密文结构简单，且密文扩展方法简便、易于运行，因而可以有效保障多跳功能的实现。但是由于BGV密文都是矢量结构，密文之间的同态计算（一般指同态乘法）会导致密文维度指数量级的增长，因而必须利用计算密钥（evaluationkeys）来对密文执行密钥转化（key-switching）步骤，以便使同态计算后密文的维度约减到正常水平。但是计算密钥的生成过程较为烦琐和复杂，需要利用GSW加密来进行密文扩展，以及利用GSW密文间的同态乘法来实现。如何优化计算密钥的生成过程和数量，是BGV型MKFHE的核心问题。多密钥同态加密具有可在不同文件（密钥）密文之间进行同态运算的良好特点，具有很重要的理论研究意义和实际意义。因此，提升有效性将是在未来很长时间内必须着力研究的课题。一方面，可以考虑把常规的（单密钥）全同态加密中的某些相对完善的优化方法扩展到多密钥全同态加密中，从而进一步提高方法的有效性；另一方面，也可以从方法的设计与应用的技术层面入手，探讨怎样在尽量扩大多密钥全同态加密功能性的基础上，尽量降低方法的密文数量、密钥量和算法复杂性，以便继续推动多密钥全同态加密的实用化发展。综上所述，目前的多密钥同态密码方法大多采用全同态密码方法构建，效率问题仍是多密钥同态加密技术在密态聚合算法中应用的重点问题。2.3

实用化密态聚合计算发展在实际应用中，除保证数据隐私安全外，还有一个重要问题是需要对密文计算过程进行验证来保证密文的可用性，这又引发了对可验证计算的研究，即保证隐私计算能够对计算结果进行验证。可验证计算（verifiablecomputation）的概念在学术界有广泛研究。与之相关的概念是交互证明、概率可校验证明和紧凑证明。这方面