[发明专利]基于多密钥全同态加密的多用户隐私保护机器学习方法及装置

说明书

本发明公开了一种基于多密钥全同态加密的多用户隐私保护机器学习方法及装置，方法包括：由公共字符串CRS进行多密钥全同态加密算法的初始化、生成安全参数λ及生成公共参数集mkparams；服务器S整合各个数据提供方上传的单密钥密文数据Encsubgt;ski/subgt;(dsubgt;i/subgt;)得到多密钥密文数据集Encsubgt;sk/subgt;(D)；服务器S在多密钥密文数据集Encsubgt;sk/subgt;(D)的基础上将普通机器学习算法中的线性运算替换为全同态加法和全同态乘法，对多密钥密文数据集Encsubgt;sk/subgt;(D)进行机器学习建模训练；服务器S将多密钥加密的模型密文Encsubgt;sk/subgt;(model)下发给各个数据提供方DPsubgt;i/subgt;和解密方DE；解密多密钥模型密文Encsubgt;sk/subgt;(model)，从而得到由各个数据提供方DPsubgt;i/subgt;的数据D训练得到的模型model＝Decsubgt;sk/subgt;(Encsubgt;sk/subgt;(model))。本发明在保证较高安全性的同时，以较低通信代价和较少交互次数完成隐私计算任务。

技术领域

本发明属于机器学习的技术领域，具体涉及一种基于多密钥全同态加密的多用户隐私保护机器学习方法及装置。

背景技术

在多用户机器学习中，有以下信息需要被保护：输入特征值、输出标签或反馈、模型详细信息(包括模型框架、参数和损失函数)以及数据提供方的信息。隐私保护的多用户机器学习方法可以使多个实体训练一个机器学习模型，而无需进行数据共享或资源聚合，在进行多用户机器学习的同时，保护了数据隐私。此外，多用户机器学习方法提供多个用户共同训练同一个模型的方法，但其数据隐私需要使用安全技术保障。目前用于多用户机器学习中的隐私保护的安全技术有：

1.去标识化方法：将一些直接标识符删除，从而降低重识别可能性。匿名化是去标识化的一种，通过匿名化处理，攻击者无法实现“重识别”数据库的某一条个人信息记录对应的人，即切断“自然人”身份属性与隐私属性的关联。但是，该方法并不能保护用户的全部隐私，同时可能会降低模型的精度，而且严格来说，根据攻击者的能力，仍然有潜在的重识别风险。

2.差分隐私方法：给数据添加噪声，或者使用归纳方法掩盖某些敏感属性，直到第三方无法区分个人为止，从而使数据无法恢复以保护用户隐私。例如通过在训练期间隐藏客户的贡献来为客户端数据提供保护。但是，该方法会导致模型精度不够高，且无法保证参数传递过程中的机密性，该方法的本质仍然要求将数据传输到其他地方，而且通常需要在准确性和隐私之间进行权衡，安全性比同态加密低。

3.单密钥同态加密方法：通过加密机制下的参数交换来保护用户数据隐私。各个用户持有相同的密钥并对各自的数据进行加密，服务器利用同态加密算法的性质使用数据训练机器学习模型。这种方式下，服务器只能看到密文状态下的数据，避免了将数据直接暴露给服务器。但是，该方法各个用户拥有的密钥相同，恶意的用户节点可以通过与中心服务器合谋，窃取其他用户的输入数据；也可以利用持有的密钥，对其他用户发动中间人攻击，使得训练的模型结果向着有利于恶意用户节点的方向发展。

4.安全多方计算协议：安全模型包含多个参与方，并在定义明确的仿真框架中提供安全证明，以确保完全零知识，即每个参与方除了其输入和输出外无法获得其他信息。但是，该方法通常需要多个参与方多次交互产生计算结果，交互次数较多，通信代价较大。

发明内容

本发明的主要目的在于克服现有技术的缺点与不足，提供一种基于多密钥全同态加密的多用户隐私保护机器学习方法及装置，在保证较高安全性的同时，以较低通信代价和较少交互次数完成隐私计算任务。

为了达到上述目的，本发明采用以下技术方案：

本发明一方面提供了一种基于多密钥全同态加密的多用户隐私保护机器学习方法，包括下述步骤：