密態聚合處理技術的應用與發展

摘 要：云計算、大數據在為用戶提供便捷服務的同時，也對用戶數據進行統計分析，侵犯了用戶隱私。而傳統數據加密保護技術又導致數據難以被統計分析，不能為用戶提供便捷服務。密態聚合是一類新型密碼算法，能夠對密文直接進行操作，實現數據可用而不可見。密態聚合技術需要同時考慮密文不落地、抗量子計算攻擊、密文可驗證等要素，具有較高的技術要求。對密態聚合處理技術的發展與應用展開分析，提出對未來的展望。

當前電子政務、數字醫療、網約車等領域涌現出一批城市智腦，“最多跑一次”“數據多跑路”“精準服務”等亮點應用在實現惠民服務的同時，產生了大量公共和個人數據，受利益驅使，服務提供方數據泄露事件時有發生，比如中國電信超 2 億條用戶信息被出售，笨鳥社交泄露 400GB 超 3 億條用戶數據，亞馬遜因違反數據隱私法規遭歐盟重罰，滴滴 App 違規收集個人信息、赴美上市事件引發人們對公民行為數據泄露的擔憂 。《網絡安全法》《密碼法》等也強調各方應加強對用戶數據的保護。

數據加密是一種有效的安全防護系統手段，但是傳統加密技術存在著以下問題：若把密碼數據下發到客戶端再解密后分析，會造成工作效率的降低；若將加密數據從服務端解密分析，則會大大降低安全系數。

密態聚合是一類新的密碼算法，能夠執行密文操作，實現數據可用而不可見，非常適合保護計算處理時的數據安全。密態聚合技術是對密文打包、秘密分享、同態加密、代理重加密等技術的綜合使用，需要同時考慮密文不落地、抗量子計算攻擊、密文可驗證等要素，具有較高的技術要求。應用場景主要體現在外包計算、云計算等，比如需要提供個人敏感數據（與位置有關或與個人信息有關）才能從整個系統接收特定服務（例如，基于位置的服務或基于移動的社交網絡服務）。相應地也有兩類模型：

（1）由一個聚合者節點負責收集數據，并對參與方各節點的數據進行匯總（例如外包計算）。

（2）由各參與方節點對它們自己提供的數據共同執行聚合計算（例如社交網絡服務）。

無論哪一種模型，為了保證聚合計算的安全性，都需要將各參與方節點的數據加密，從而使聚合節點或其他參與者無法獲取任何有用的信息。可以利用安全多方計算（Secure Multi-party Computation，SMC）、同態加密（Homomorphic Encryption，HE）及其他的加密技術來處理此問題，不過上述技術也均有優缺點。其共性就是由數據擁有方將信息統計及處理服務提供給第三方，可以直接對加密信息進行操作，而不要求由第三方解密，使得存儲方不能得到真正的數據內容。

１

應用現狀和典型分析

本節給出密態聚合技術在基因、國家安全、教育、醫療健康等場景的應用。

1.1 密態聚合在基因領域的應用

基因數據能夠代表重大疾病隱患、社會身份敏感標記、文化起源等信息，因此隱私數據共享是基因領域的熱點話題。當前，大量 DNA 和 RNA 的序列能夠被迅速而廉價地收集，大量的人類基因組序列數據則集中在不同的實驗室和醫療機構。這使得基因數據面臨一個挑戰——廣泛地安全共享基因數據，但人類 DNA 和 RNA 序列像指紋一樣具有生物特征識別能力，一旦開放共享這些數據，就永遠無法挽回這些隱私。

基因組數據共享能夠映射到對數據的簡單運算，可能非常適合同態加密。涉及數據共享的兩個用例如下：

（1）通過研究遺傳變異的基因組，理解遺傳變異的臨床意義。

（2）為全球基因組與醫療健康聯盟創建信標或分析工具。比如，針對全基因組關聯分析（Genome Wide Association Study，GWAS）以及組合基因型的統計分析和復雜處理時，可以對基本元素進行建模。

人類的基因組序列的堿基對數量幾乎彼此相等，這表明人類基因組數據可簡化成一種簡單向量。基因組序列的變化、變異或突變，都能夠在序列中被識別定位，并以生物基因中特有的文件格式被共享。表型數據（包括相關的臨床結果）可以打包為叫作 phenopackets 的文件格式。

基因型和表型的這種組合可用于許多基因分析場景。在原發性乳腺癌病人或其親屬中檢測本系BRCA 基因，專家往往只能找到作用不明的新變化，而不能對病人的復發及家族問題給出意見。這些檢查出來的變異是真正的高致病性，但只是變異中正常背景的一種。因此，如果人們能夠在國內以及世界各地成百上千的診所中，獲取和研究這種簡單的基因型和外表型數據的能力，將有助于人們更多地認識這種“意義不明的變量”。例如，NIH 數據庫ClinVar 通過大數據分析，報告了特定變體的臨床意義。

基因匹配的情況類似，但其用例稍微有所不同。可以通過研究父母雙方的基因來檢測患有遺傳性疾病兒童的疾病原因。這樣就可以識別出候選變體。但是一個例子不足以證明造成疾病的原因，需要通過研究患有相同疾病的其他人，來確定他們具有相同的基因缺陷。通過技術方法發現疾病的遺傳原因可以改善治療。

這兩個示例都依賴于基本數據操作和原語，而這些都可以被同態加密很好地支持。通過同態加密，可允許醫生將不同的加密的基因體數據集上傳到云端服務中，以提取更準確的醫學信息，以便于改進患者的健康。上述示例表示著一些已在同態加密技術上獲益的基因組應用。

1.2　密態聚合在關鍵基礎設施和國家安全領域的應用

假設存在有 n 個節點的互聯網（例如一個智能電網，其各個節點正在生成大量的數據，各個節點可代表一個單獨的發電廠、建筑群、微電網等）。對于各個節點所生成的狀態信息，需要由龐大的智慧國家電網 / 城市 / 政府實施監控，監視中心就可以把監控和統計的功能外包給公共云，并通過同態加密對互聯網中各個節點的狀態信息進行統計。又假設各個節點都表示一個獨立的微裝置，那么狀態信息就可以包含電量的生成、使用、物理裝置的工作溫度、電能流等。若節點是不同的智能建筑，其系統檢測信息也可以包含當前的能源情況（通過這些數據也可以監測建筑物系統中的異常或者入侵，比如惡意軟件影響的設施）。

由于該基礎設施具有至關重要的作用，因此保護其信息安全以及確保其不會被非法修改是非常重要的。對電網的歷史數據進行分析，就可以管理電網和電力分配，但因為攻擊者通過調整歷史數據，就可能產生供電故障，所以為了允許使用云計算平臺來分析數據，必須確保云計算能夠抵抗潛在的攻擊，保障數據安全。來自網絡中每個節點的測量數據將不斷地被加密，發送到云平臺，以進行計算和分析。一旦網絡系統中的某個節點出現了異常狀況（例如能源使用量激增），這種測量數據將被發送至云端平臺上進行統計。加密的計算結果將發送給國家決策中心進行解析，并進行相關的查詢，例如，來自政府機構的代表可能希望與節點管理員聯系，以驗證異常情況并跟蹤惡意軟件感染的證據。

在這些情況下，一些方法通過采用傳統的加密算法對明文信息進行加密以確保在聚合進程中用戶信息的隱私性。采用 ElGamal 加密算法和中文剩余定理（Chinese Remainder Theorem，CRT）的方法要求可信的第三方介入聚合進程。但是，在真實世界中要尋找一個可以信任的第三方并不現實。通過同態加密，能夠進行無須可信第三方介入的信息整合。從簡單的經濟角度來看，同態加密僅需要云中的一個服務器（不一定可信），最終用戶需要客戶端接口。而其他加密計算方法（例如安全多方計算）則需要更大且更昂貴的技術部署，例如，需要更多服務器。盡管這似乎不適用于此方案，但安全多方計算系統中的多個參與者可能會合謀推斷其他參與者。

另外，基于互聯網的不穩定性以及電力設備發生故障的風險可能性，也可以造成大量數據集合結果出錯，或者使得集合的操作無法順利地進行，從而影響到電量讀數的真實性。因此，密態聚合方法的容錯性就非常關鍵。目前，許多容錯方案是通過秘密分享來實現的。除考慮系統內各個實體之間可能會發生的問題以外，還必須充分考慮舊電表離開或新電表進入系統中的可能性，使聚合流程按分布式增量方法完成。

1.3　密態聚合在教育領域的應用

據估計，美國大約 25％的高中新生未能按時畢業。為了緩解這個問題，希望能夠預測出有風險的學生，并為他們提供正確的干預措施。但是，學校不太可能有足夠的信息來做出這樣盡可能準確的預測。例如，學生可能由于家庭健康狀況或他們的福利狀況而輟學。為了進行準確的預測，就需要融合跨不同機構（包括學校、醫院、福利系統、警察局等）的數據，但融合數據的隱私保護是一個嚴重的問題，需要這些機構有義務保護其數據隱私安全。

同態加密技術為這一挑戰提出了可行的解決方案，盡管同態計算往往比明文計算要慢，但它可以通過批處理來提升效率。采用同態加密提供的數據安全保護方法，將數據匯總在一起，能有效防止數據泄漏。

由于數據可能存儲在不同數據庫中不同的標識符下，從不同的數據庫中檢索有關學生的數據需要進行數據安全保護。雖然查詢可以加密也可以不加密，但是檢索到的數據必須加密。檢索到數據后，將其合并生成特征向量，分析模型對特征向量進行預測，輸出分析結果。

在這個應用場景下，會涉及一些挑戰。數據來自不同的實體，加密的密鑰不同，這個問題將需要結合安全多方計算和同態加密來解決。根據所用模型的類型，同態加密的應用模式可能較困難。例如，與淺層模型相比，采用同態加密難以實現深度模型（深度網絡或深度樹）。

1.4 密態聚合在醫療健康領域的應用

在醫學領域，由于醫療信息系統（比如醫學圖片、診斷記錄等）牽涉患者的大量秘密，醫院健康體系在必須保障敏感信息不被暴露的環境中運行，但同時仍必須確保服務的順利進行，這就導致了醫院信息系統無法在風險與效益之間平衡。2016 年，美國健康保險流通與責任法案（Health Insurance Portability and Accountability Act, HIPAA）執法行動共 13 次，平均罰款 180 萬美元。2015 年，AnthemInc. 的重大數據泄漏事故，共暴露了八千萬條記錄，所導致的總經濟損失成本估計達到十億美元。這就證實了未正確保持該平衡而花費的代價也很大。

同態加密可以幫助醫療健康行業解決某些應用在信息共享中的風險和效用之間的平衡。計費與報表生成是兩種常見的業務。研究者必須通過個人病歷以對其部分信息做出統計。通過允許特定方法而不是以明文形式披露這些信息，能夠防止發生違規且不危害日常安全應用。分析者可以通過查詢當前的病歷來收集信息，例如有關診所開出的處方或遭遇醫療事故的統計數據。一個不可信的服務器擁有相關數據的加密語料庫，內容包含受 HIPAA 保護或其他有關隱私規定和政策約束的個人病歷。解析者進行查詢分析請求，然后通過同態加密并在加密數據上進行相應的計算查詢，并將加密后的計算結果反饋給解析者。接著，解析者可以在被信任的平臺上解密，并將查詢結果寫成相關報表。但因為數據語料庫在靜態和計算中都保持著密封，所以所有攻擊者都無法從數據或此類查詢的結果中得到隱私信息。

在這樣的工作流程中存在一個挑戰：必須確定治療的安全性和有效性，但是患者必須關注隱私和代理權，醫院必須確保遵守相關法律（例如 HIPAA法案），而制藥公司也要關注保護其知識產權。將同態加密應用于治療評估過程可以確定治療的安全性和有效性，同時保護患者和藥品的隱私。

總而言之，醫療機構（尤其是小型醫療機構）的數據隱私和實用性需求，需要進行折中平衡，有時數據泄漏對組織及其患者而言都是災難性的結果。同態加密可以為醫療信息系統的數據隱私提供新型解決方案，其防護成本極低。保護敏感數據的同態加密技術，也可以擴充醫療健康的其他領域。

1.5　“零泄露”加密數據使用平臺

采用同態加密技術，保障處于正常使用狀態下的數據，美國 Enveil 公司技術支持“零泄露”的安全態勢，使公司能夠安全地、大規模地從云端、本地，甚至其他區域，對已加密數據或者不加密信息實施操作，從而為公司提供能有效對抗國家級黑客威脅的加密信息應用系統。

Enveil公司的核心解決方案為包括兩個產品。該技術產品可以保護使用中的數據，確保在整個數據處理生命周期中都不會泄露任何信息。

1.5.1　Compute Fabric

Compute Fabric 是 一 個 兩 方 平 臺， 為 套 件解決方案奠定了基礎。該平臺由駐留在企業中的Client 應用程序和部署在數據所在位置的Server 應用程序組成。無須更改基礎架構或存儲技術，它即可通過標準 API與組織的現有保護無縫配合，以確保數據在整個處理生命周期中均保持安全。

該產品具有兩個特點：

（1）永不解密。在本地、云中心、第三方數據位置，甚至任何地方，都無須解密任何內容即可對搜索和分析等數據執行操作。

（2）全生命周期安全。交互內容、計算結果和數據本身的內容始終受到安全保護。因此，用戶可以通過完全私有和安全的方式與數據進行大規模交互。

1.5.2 Search

Search 產品的搜索功能可以在任何環境中對加密和未加密的數據進行安全搜索。該產品具有以下特點：

（1）不可信環境下的可信計算。軍事級加密搜索可將企業受信任計算的邊界擴展到不可信環境中。

（2）基于輕量級 API 的體系結構。Enveil 客戶端和服務器應用程序充當點對點代理層，以執行安全計算。

（3）不需要修改原系統。此功能不需要更改系統體系結構、數據存儲格式、技術或應用程序代碼。

（4）保留擁有者的密鑰。密鑰也永遠不需要離開擁著者的監控。

Enveil 公司突破性的 技術從根本上改變了安全數據使用的范式，為跨行業的數據分析打開了大門。主要的用例主要包括安全數據協作、通用數據保護條例合規、安全數據價值化、安全云處理、內部威脅防護、第三方風險控制、邊緣可信計算。適用于金融服務、衛生醫療、數據貨幣化、審計與合規、云端安全、政府。

1.6　SecurePlus 平臺（Duality 公司）

對美國 Duality 公司研發的加密信息計算與數據分析軟件 SecurePlus 系統進行了研究，該系統強調“最小化數據風險的同時，最大化數據利用價值”，在大數據信息安全防護、模型的知識產權維護與信息合規管理等領域，給企業帶來了切實的解決辦法。該系統目前有三個主要實際應用，包括安全數據分析、機器學習模型的版權保護以及數據協作的隱私保護。

1.6.1　安全數據分析

平臺使得信息的所有者即使在不開放敏感數據的條件下（數據加密），也能夠通過第三方的研究手段，如機器學習、數據挖掘等技術加以研究與管理。使用抗量子的同態加密，實現了數據端對端的安全。平臺保證了有意義的數據在不可信任的云平臺中的保密性和安全。

1.6.2　機器學習模型的版權保護

在該應用下，機器學習模型并不歸屬于第三方，但是歸屬用戶版權所有。平臺確保模型在無法信任的由第三方安裝、保存和應用機器學習算法的云平臺中始終保持加密狀況，同時客戶端必須對數據保密并提交至云端。利用同態密文算法，數據和模型能夠在密文域進行檢測和分析工作，完成后云端將數據反饋到客戶端，客戶端對數據解碼，得出真正的預測結果。由于沒有加解密密鑰，因此就算黑客或者第三方可以盜取模型，也不能實現機器學習任務的閉環。

1.6.3　數據協作的隱私保護

平臺確保多方數據安全共享與協作。同態加密在整個數據鏈接與計算流程中保護著每一個參與方的資產，在整個過程中保障了信息安全并滿足法律法規要求，尤其是在 GDPR 中對多方協同的數據保護需求。

２

密態聚合研究現狀分析

2.1　密態聚合計算發展歷程

隨著同態加密、多方安全計算、聯邦學習等新技術手段在隱私安全的領域進一步拓展，也促進著密態計算技術本身的進一步完善與發展。應用方面，云計算外包場景較多，包括大數據處理與隱私保護、密文信息檢索、版權保護以及機器學習等方面的應用。點對點計算模型在社交等領域有需求，應用尚不成熟。

安全多方計算需要各方參與者在線，同步交互調用，這會導致極高的通信和計算復雜度。即使在異步安全多方計算中，對于實際應用而言，計算復雜度仍然過高。隨機數是設計密態聚合方案的另一個有用工具。隨機數通常需要預先通過安全信道分發給用戶和聚合方，每個用戶可以用自己的隨機數混淆使用數據，然后聚合方可以消除所有用戶的隨機數以獲得聚合的使用數據。但此過程仍依賴可信中心（Trusted Third Party，TTP）來生成和分發隨機數。另外，也有些學者利用差分隱私的隨機數方法，通過增加服從拉普拉斯或其他分布的隨機噪聲來掩蓋原始值。

同態加密是實現聚合計算的一個重要工具。相比于安全多方計算而言，同態加密簡單易用，不需要參與方同步在線。

基于公鑰同態加密（例如 Paillier 加密算法、EC-ElGamal 加密算法），業界提出了一些新穎有效的多維密態聚合計算方法。2012 年，Lu 等人使用 Paillier 同態加密和超增序列設計了一種隱私保護的多維密態聚合方案，首先操作中心生成公鑰和私鑰，每個用戶在發送前用公鑰加密其多維數據發到網關，隨后每個用戶的秘密文件都被聚集并轉發到了操作中心，最后由操作中心使用私鑰解密聚集的所有秘密文件。2015 年，Chim 等人 利用 Paillier 同態加密和 Bloom 過濾器實現電力數據的聚合方案，其中每個用戶對其電力數據進行加密，同時計算哈希值和它的承諾，然后將它們發送到網關。所有用戶的加密電力數據由網關聚合，并將哈希值和承諾分別添加到兩個 Bloom 過濾器中。最后操作中心使用私鑰對聚合后的密文進行解密，并使用 Bloom 過濾器來保證不可否認性。2016年，Jo 等人 提出了一種高效且隱私保護的密態聚合方案，該方案不依賴于可信網關。在他們的方案中，私鑰由一群智能電表（Smart Meter, SM）秘密持有。在發送到高級計量基礎設施（Advanced Metering Infrastructure, AMI）之前，用戶對他們的數據進行加密。然后 AMI 聚合接收到的數據，但它無法解密數據，因為它沒有私鑰。相反，AMI 在組中選擇一些 SM 并要求它們解密聚合的密文。盡管該方案可以消除關于網關的可信假設，然而一個不容忽視的事實是差分攻擊可能會侵犯用戶的隱私，即 AMI 要求 SM 解密兩個聚合的密文，這些密文表示僅有單個用戶不同的集合。然后 AMI 可以從返回的兩個解密數據的差異中推斷出該用戶的數 據。2017 年，Shen 等 人通 過 Horner 規 則 和Paillier 同態加密，提出了一個面向海量用戶和動態拓撲網絡的高效數據整合方案。通過監控管理中心產生的公鑰對多維數據加以壓縮和密碼處理，網關整合接收到的加密數據，同時把整合的數據信息發送給監控管理中心，最后由監控管理中心用私鑰解碼。

密態聚合方法不止于多維度信息的集合，它還需要進行信息模型解析，在不透露用戶敏感數據的情況下，對應用數據進行更復雜的函數運算。2013年，Rottondi 等人 采用基于 Shamir 秘密分享的多方計算協議構建密態聚合方案。2019 年，Mustafa等人為英國的智能電網架構實際使用場景提出了一個基于安全多方計算的密態聚合方法。這些采用了秘密分享和安全多方計算的密態聚合方法能夠進行復雜計算，在秘密份額分配和重建過程中，由于它們不能檢驗參與者份額的正確性，特別是由惡意系統所導致的秘密份額，因此秘密份額可驗證性的安全要求在智能電網密態聚合相關文獻中并不能獲得保障。2021 年，Zhao 等人 [13] 通過格密碼同態方法完成了具有智能定價能力的密態聚合方法。該方法中的控制中心能夠計算更復雜、更高級的統計函數，進行多樣化的價格決策。但是由于格密碼同態方法在數次高階計算后出現了密文擴張等現象，且信噪比也會伴隨乘法數量的增加而擴大，因此急需特別處理方式來提高算法的準確性。

2.2　多源密態聚合計算發展

從 Gentry 等人 提出全同態加密算法開始，全同態加密算法的效率有了極大提升，為實際應用奠定了良好的基礎。尤其是多鑰全同態加密的提出與發展，為多來源數據的同態計算提供了有力支撐。

在多源密態聚合方面，上述單密鑰算法的計算成本較高，無法應用于多源數據環境。此外，有人提出對稱同態加密算法實現密態聚合，但是其安全性屢遭攻擊，無法保證算法的安全性。由于上述同態加密算法都是單同態，明文空間的大小受到限制，對密文執行的加法和乘法運算的次數也受到限制。為適用多源密態聚合場景。2012 年，López Alt 等人以云環境下多用戶密文數據的同態運算為應用場景，首先提出了多密鑰同態加密（Multi Key Fully Homomorphic Encryption，MKFHE） 的 技術概念，并建立了第一個完全基于數論結構（Number Theory Research Unit，NTRU）加密技術的 MKFHE方法 LTV12，其安全性主要基于環錯誤學習（Ring Learning with Errors，RLWE）問題和素數次分圓多項式環決策小多項式比（Decisional Small Polynomial Ratio，DSPR）問題。正是因為 NTRU 型加密方法的密文結構天然具備了多密鑰密文同態計算的特點，所以能夠很好地被用于構建 MKFHE 方法。López-Alt 等人的研究也拉開了 MKFHE 方法的帷幕。當前的 MKFHE 方法基本上是在經典的（單密鑰）全同態加密方法的基礎上逐漸演變而成的，但 按 照 其 基 礎 的 全 同 態 加 密（Fully Homomorphic Encryption，FHE） 方 法 的 不 同， 可 把 目 前 的MKFHE 方 法 細 分 為 NTRU 型 MKFHE、 第三代同態加密（Gentry 等人提出，GSW）型 MKFHE、第二代同態加密（Brakerski 等人提出，BGV）型 MKFHE和其他類型的 MKFHE 4 種。

現階段 MKFHE 在系統設計與應用層面尚未完善，還面臨許多有待克服的困難。

NTRU 型 MKFHE：當前基于 NTRU 密碼系統的 MKFHE 尚存在以下兩點問題有待解決。

（1）方案的可靠性沒有受到嚴格的驗證。

（2）多用戶聯合解密時尚無可行的門限式解密協議。目前對 NTRU 型 MKFHE 必須借助更復雜的通信系統才能完成，而且破譯的難度和通信量都很大，不便于真正的使用。

GSW 型 MKFHE：當前 GSW 型 MKFHE 尚存在以下兩點問題有待解決。

（1）如何更有效地實現 MKFHE 的多跳功能。同態運算的過程中支持新用戶密文的加入，是基于實際使用環境中的需求。不論是利用 PS16 中復雜的密文擴展，還是在 BP16 中利用自舉的思想來進行多跳，都會導致運算復雜性增大。

（2）進一步控制密文規模。GSW 密文的尺寸 相 對 而 言 很 大， 當 多 用 戶 參 與 時，CM15、MW16 和 PS16中擴展 GSW 密文的尺寸伴隨參加用戶數量的提高而呈指數增長，這會帶來較大的數據傳輸和存儲成本。針對這個問題，BP16采用了自舉的方法進行單用戶密文向多用戶密文的擴展，其擴展密文的尺寸也伴隨參加用戶數量的增多而線性增加。但由于自舉方法太過于費時和煩瑣，對整個計劃的執行效率產生了一定的負面影 響。CCS19a利 用 全 同 態 轉 換 器（Torus Fully Homomorphic Encryption，TFHE）方案 同態運算的特殊結構，通過構造精簡的 GSW 密文來降低擴展密文的尺寸，但是優化幅度有限。未來如何進一步約減擴展密文的尺寸，仍是 GSW 型 MKFHE研究的關鍵。

BGV 型 MKFHE：BGV 型 MKFHE[23] 的核心問題是對計算密鑰生成流程的優化。BGV 密文結構簡單，且密文擴展方法簡便、易于運行，因而可以有效保障多跳功能的實現。但是由于 BGV 密文都是矢量結構，密文之間的同態計算（一般指同態乘法）會導致密文維度指數量級的增長，因而必須利用計算密鑰（evaluation keys）來對密文執行密鑰轉化（key-switching）步驟，以便使同態計算后密文的維度約減到正常水平。但是計算密鑰的生成過程較為煩瑣和復雜，需要利用 GSW 加密來進行密文擴展，以及利用 GSW 密文間的同態乘法來實現。如何優化計算密鑰的生成過程和數量，是 BGV 型MKFHE 的核心問題。

多密鑰同態加密具有可在不同文件（密鑰）密文之間進行同態運算的良好特點，具有很重要的理論研究意義和實際意義。因此，提升有效性將是在未來很長時間內必須著力研究的課題。一方面，可以考慮把常規的（單密鑰）全同態加密中的某些相對完善的優化方法擴展到多密鑰全同態加密中，從而進一步提高方法的有效性；另一方面，也可以從方法的設計與應用的技術層面入手，探討怎樣在盡量擴大多密鑰全同態加密功能性的基礎上，盡量降低方法的密文數量、密鑰量和算法復雜性，以便繼續推動多密鑰全同態加密的實用化發展。

綜上所述，目前的多密鑰同態密碼方法大多采用全同態密碼方法構建，效率問題仍是多密鑰同態加密技術在密態聚合算法中應用的重點問題。

2.3  實用化密態聚合計算發展

在實際應用中，除保證數據隱私安全外，還有一個重要問題是需要對密文計算過程進行驗證來保證密文的可用性，這又引發了對可驗證計算的研究，即保證隱私計算能夠對計算結果進行驗證。可驗證計算（verifiable computation）的概念在學術界有廣泛研究。與之相關的概念是交互證明、概率可校驗證明和緊湊證明。這方面主要有 3 個代表性工作。

第 1 個是 2010 年 Gennaro 等人給出的非交互驗證計算（non-interactive verifiable computation）。為了能夠驗證任意計算，他們將全同態加密應用于博弈電路中。由于在博弈電路中使用全同態加密，這兩個重型密碼工具使得其效率無法保證。

第 2 個是 2013 年 Goldwasser提出緊湊單鑰函數加密應用于驗證計算的協議中。其效率不能令人滿意，主要原因是使用基于屬性的密碼算法支持NC1 電路的計算。

第 3 個是 2014 年 Fiore 等人提出的將全同態加密與同態消息驗證碼（Message Authentication Code，MAC）結合，從而獲得隱私安全與驗證計算。該算法有很好的效率。其主要限制是只支持深度為1 的乘法電路，以及同態 MAC 的密鑰與加密數據的密鑰相同，極大地限制了其應用場景。

與此同時，密態聚合計算的效率正在快速提升，逐漸進入工程和標準化階段，代表性的是 IBM 公司的 HElib、微軟公司的 SEAL 庫，可解決傳統密碼技術無法對加密數據操作的問題。但是密態聚合計算的底層基礎操作一般為模加法、模乘法、與、或、非運算，操作數類型一般為多項式環元素，難以運行復雜的比較、開方、冪次等密態運算，難以支持小數、復數、向量、矩陣等復雜數據類型。在執行對大規模數據處理時，具有較大的計算開銷，仍然需要采取措施來加速運行效率。該方面研究包括采用圖形處理器（Graphic Processing Unit，GPU）、 現 場 可 編 程 門 陣 列（Field Programmable Gate Array，FPGA）等軟硬件技術進行加密提速。

另外，密態聚合計算也呈現出新的發展趨勢，早在 2015 年，微軟就率先將全同態加密運用到神經網絡，并進行了跨域密文的聚合分析。目前，基于密態聚合計算構建的架構有微眾銀行的 FATE（Federated AI Technology Enabler） 架 構、 百 度 的PaddleFL（Paddle Federated Learning） 架 構、 谷 歌的 TFF（TensorFlow Federated） 架 構、Pysyft 架 構（OpenMind）等。隨著新技術的蓬勃發展，密態聚合算法在未來將可以融入更多新技術，破解更多的技術難題。例如，通過借鑒秘密分享、零知識證明等方法實現密態多方推理等。

３

結　語

本文對密態聚合計算技術在基因、國家安全、教育、醫療健康等應用場景下的應用需求和相應的挑戰進行了描述。同時，對近幾年國內外同態加密應用的公司的研究方向和同態技術產品進行了總結。當前的產品成果還沒有大規模地推廣應用，根本原因是效率問題。在發展中，密態聚合計算將越來越多地與人工智能等其他技術結合，以完美融合到實際應用中。