王付群

（杭州師范大學(xué)理學(xué)院 講師、衛(wèi)士通摩石實(shí)驗(yàn)室兼職專家）

1976年，Diffie和Hellman[DH76]開創(chuàng)了公鑰密碼學(xué)，在密碼學(xué)發(fā)展中具有劃時代的意義。不久，Rivest等人[RSA78]提出第一個公鑰加密方案：RSA加密方案。Rivest等人[RAD78]隨后就指出RSA加密系統(tǒng)具有乘法同態(tài)性質(zhì)：給定兩個密文C1=m18modN和C2=m28modN，通過計算，c1·c2modN=(m1m2)8modN，我們就可以在不掌握私鑰信息的情況下“同態(tài)”計算出明文m1·m2的有效密文。根據(jù)此發(fā)現(xiàn)，他們提出了“全同態(tài)加密”(Fully Homomorphic Encryption,FHE)的概念(當(dāng)時稱為私密同態(tài)，Privacy Homomorphism)。

盡管上述RSA公鑰加密方案是乘法同態(tài)的，但是由于它是一個確定性的公鑰加密方案，因而不是語義安全的。第一個語義安全的公鑰加密方案由Goldwaser和Micali[GM82]提出，并且當(dāng)明文空間為{0,1}時，它是加法同態(tài)的。另外，ElGamal[ElG84]語義安全加密方案是乘法同態(tài)的。上述方案具有一個共同點(diǎn)：它們都只能支持同態(tài)計算一種運(yùn)算，或者加法，或者乘法，因此被稱為單同態(tài)加密。

近年來，云計算受到廣泛關(guān)注，它擁有強(qiáng)大的計算能力，可以幫助人們執(zhí)行復(fù)雜的計算。但是，在保護(hù)用戶數(shù)據(jù)私密性的前提下，如何利用云計算的強(qiáng)大計算能力是云計算從理論走向?qū)嵱帽仨毥鉀Q的關(guān)鍵問題。在此迫切需求下，全同態(tài)加密如約而至。從數(shù)學(xué)上說，同態(tài)就是保持運(yùn)算，即先運(yùn)算再同態(tài)與先同態(tài)再運(yùn)算所得到的結(jié)果是一樣的。而全同態(tài)加密是一類特殊的加密方案，它允許用戶通過加密保護(hù)數(shù)據(jù)的私密性，同時允許服務(wù)器（比如“云”）對密文執(zhí)行任意可計算的運(yùn)算(同時包含加法、乘法)，得到的結(jié)果是對相應(yīng)明文執(zhí)行相應(yīng)運(yùn)算結(jié)果的某個有效密文。這個特性對保護(hù)信息的安全具有重要意義：利用全同態(tài)加密可對多個密文進(jìn)行同態(tài)計算之后再解密，不必對每個密文解密而花費(fèi)高昂的計算代價；利用全同態(tài)加密可以實(shí)現(xiàn)無密鑰方對密文的計算，既可以減少通信代價，又可以轉(zhuǎn)移計算任務(wù)，由此可平衡各方的計算代價；利用全同態(tài)加密可以實(shí)現(xiàn)讓解密方只能獲知最后的結(jié)果，而無法獲得每個密文的消息與同態(tài)計算方式，可以提高信息的安全性。正是由于全同態(tài)加密技術(shù)在計算復(fù)雜性、通信復(fù)雜性與安全性上的優(yōu)勢，越來越多的研究力量投入到其理論和應(yīng)用的探索中。

鑒于全同態(tài)加密的強(qiáng)大功能，一經(jīng)提出便成為密碼界的公開問題，被譽(yù)為“密碼學(xué)圣杯”，由Gentry在2009年摘取。之后，全同態(tài)加密迅速吸引了一批資深專家、學(xué)者對之進(jìn)行廣泛、深入的研究，并取得了一系列的成果。目前可以構(gòu)造全同態(tài)加密的密碼學(xué)假設(shè)主要有：理想格上的理想陪集問題（Ideal Coset Problem, ICP）、整數(shù)上的近似最大公因子問題（Approximate Greatest Common Devisior, AGCD）、帶錯學(xué)習(xí)問題（Learning with Errors, LWE）等等。

下面我們先從從構(gòu)造技術(shù)的發(fā)展來分類介紹全同態(tài)加密的研究進(jìn)展，然后給出一個簡單易懂的全同態(tài)加密實(shí)例，最后介紹全同態(tài)加密的典型應(yīng)用。

1 全同態(tài)加密的發(fā)展現(xiàn)狀

1.1 第一代全同態(tài)加密

2009年，Gentry [Gen09] 取得突破性進(jìn)展，構(gòu)造出第一個全同態(tài)加密方案（Fully Homomorphic Encryption, FHE）摘取了“密碼學(xué)圣杯”。Gentry設(shè)計了一個構(gòu)造全同態(tài)加密方案的 “藍(lán)圖”：首先構(gòu)造一個類同態(tài)加密（Somewhat Homomorphic Encryption, SHE）方案（這類方案能夠同態(tài)計算一定深度的電路）；然后壓縮解密電路（需要稀疏子集和假設(shè)），使得它能夠同態(tài)計算它本身的增強(qiáng)的解密電路，得到一個可以“自舉”（Bootstrapping）的同態(tài)加密方案；最后有序執(zhí)行自舉操作（需要循環(huán)安全假設(shè)），得到一個可以同態(tài)計算任意電路的方案，即全同態(tài)加密。同時，基于理想格上的ICP假設(shè)，并結(jié)合稀疏子集和與循環(huán)安全假設(shè)，他也開創(chuàng)性地構(gòu)造了一個具體的方案。

隨后，van Dijk 等人[vDGHV10]提出了一個整數(shù)上的全同態(tài)加密方案，這個設(shè)計完全模仿了Gentry的藍(lán)圖。該方案的安全性基于AGCD假設(shè)和稀疏子集和假設(shè)。它的主要優(yōu)點(diǎn)在于概念簡單，易于理解，其缺點(diǎn)在于公鑰太大。

這些被稱為第一代全同態(tài)加密方案。

1.2 第二代全同態(tài)加密

隨著Gentry全同態(tài)加密方案的提出，人們開始嘗試基于(R)LWE構(gòu)造全同態(tài)加密方案，并結(jié)合理想格的代數(shù)結(jié)構(gòu)、快速運(yùn)算等優(yōu)良性質(zhì)來進(jìn)行方案的優(yōu)化和實(shí)現(xiàn)，最終取得了巨大的成功。

2011年，Brakerski和Vaikuntanathan [BV11a,BV11b]基于LWE與RLWE分別提出了全同態(tài)加密方案，其核心技術(shù)是再線性化和模數(shù)轉(zhuǎn)換。這些新技術(shù)的出現(xiàn)使得我們無需 壓縮解密電路，從而也就不需要稀疏子集和假設(shè)，這樣方案的安全性完全基于(R)LWE的困難性。Brakerski和Vaikuntanathan [BV11b] 還提出了循環(huán)安全的類同態(tài)加密方案。但是，他們的方案不能夠利用自舉以達(dá)到全同態(tài)的目的，這是因?yàn)樗麄兯玫降难h(huán)安全是相對于私鑰作為環(huán)元素表示的，而不是自舉算法所需要的比特表示。構(gòu)造循環(huán)安全的可自舉的同態(tài)加密依然是一個公開問題。

Brakerski等人[BGV12]指出：依次使用模數(shù)轉(zhuǎn)換能夠很好的控制噪音的增長。據(jù)此他們設(shè)計了一個層次型的全同態(tài)加密方案：BGV。層次型全同態(tài)加密可以同態(tài)計算任意多項(xiàng)式深度的電路，從而在實(shí)際應(yīng)用中無需啟用計算量過大的自舉。

研究人員對BGV方案做了大量的優(yōu)化、實(shí)現(xiàn)[GHS12a, GHS12b, GHS12c, AP13, HS14, HS15,HS18]，對BGV方案的研究越來越深刻、完善，效率也越來越高。其中，Halevi和Shoup [HS14]先是針對BGV算法開發(fā)了Helib庫，隨后實(shí)現(xiàn)了BGV自舉算法[HS15]：在打包的情形下（對約300比特消息實(shí)施自舉），一次自舉算法大約耗費(fèi)5分鐘。分銷來看，1個比特的自舉大約需要1秒。最近，Halevi和Shoup [HS18]又改進(jìn)了該自舉技術(shù)，最快可提升速度大約75倍，使得自舉時間降到了大約13ms。目前來看，（優(yōu)化后的）BGV方案是最高效的全同態(tài)加密方案之一。

2012年，Brakerski [Bra12]又提出了一個基于LWE的無模數(shù)轉(zhuǎn)換的全同態(tài)加密方案，該方案不需要模數(shù)轉(zhuǎn)換管理噪音，也能夠很好地控制噪音的增長。

以上方案與第一代方案相比，無需壓縮解密電路，也就不需要稀疏子集和假設(shè)。這樣一來，方案的效率與安全性都得到極大的提升，但在同態(tài)計算時仍然需要計算密鑰的輔助，故被稱為第二代全同態(tài)加密方案。

1.3 第三代全同態(tài)加密

上述所有方案無論是層次型的還是純的全同態(tài)加密，都需要“計算密鑰”（私鑰信息的加密，可以看做公鑰的一部分）的輔助才能達(dá)到全同態(tài)的目的。但是計算密鑰的尺寸一般來說都很大，是制約全同態(tài)加密效率的一大瓶頸。

2013年，Gentry等人[GSW13]利用“近似特征向量”技術(shù)，設(shè)計了一個無需計算密鑰的全同態(tài)加密方案：GSW，標(biāo)志著第三代全同態(tài)加密方案的誕生。他們進(jìn)而還設(shè)計了基于身份和基于屬性的全同態(tài)加密方案，掀起了全同態(tài)加密研究的一個新高潮。此后，研究人員在高效的自舉算法、多密鑰全同態(tài)加密、CCA1安全的全同態(tài)加密和電路私密的全同態(tài)加密等方面進(jìn)行了大量的研究，得到了豐碩的成果。下面逐一介紹。

1.3.1 高效的自舉算法

Brakerski和 Vaikuntanathan [BV14]在 GSW的基礎(chǔ)上，設(shè)計了第一個安全性與普通的基于LWE 的公鑰加密算法的安全性相當(dāng)?shù)娜瑧B(tài)加密算法，使得全同態(tài)加密的安全性進(jìn)一步得到了保障。他們的主要技術(shù)就是利用GSW方案的噪音增長是非對稱的性質(zhì)，結(jié)合Barrington定理構(gòu)造了一個能夠很好控制噪音增長的自舉算法。

Alperin-Sheriff和Peikert [AP14]基于上述新成果[GSW13, BV14]，提出了一個更簡單的對稱的GSW方案，并用之設(shè)計了一個快速的自舉算法：直接同態(tài)計算解密函數(shù)。該自舉方法直接、簡單、高效，向?qū)嶋H應(yīng)用邁出了堅實(shí)的一步。Hiromasa等人[HAO15]提出了一個打包形式的GSW方案（要假定循環(huán)安全假設(shè)成立），并結(jié)合[AP14]巧妙地設(shè)計了一個打包形式的自舉算法，效率得到了一定的提高。

Ducas和 Micciancio [DM15]在 [AP14]的 基礎(chǔ)上，利用一個變形的基于RLWE的GSW方案來直接同態(tài)計算解密函數(shù)，大大提升了效率，他們的測試表明：1 秒內(nèi)就可以完成一次自舉過程。Chillotti 等人[CGGI16] 改進(jìn)了[DM15] 的方案，在自舉時，他們巧妙地用矩陣與向量間的運(yùn)算來代替矩陣與矩陣間的運(yùn)算，有效地降低了自舉所花費(fèi)的時間：0.1 秒內(nèi)就可以完成一次自舉過程。隨后，Chillotti [CGGI17]等人又改進(jìn)這一自舉過程至13ms。從公開發(fā)表的文獻(xiàn)來看，這是目前最高效的自舉方案之一。

此外，Gama等人[GINX16]也在[AP14]的基礎(chǔ)上設(shè)計了一個更高效的自舉算法：運(yùn)行一次自舉算法累積的噪音的上界是線性的。這意味著全同態(tài)加密的安全性與公鑰加密的安全性是一致的（除了額外的循環(huán)安全要求）。

1.3.2 多密鑰全同態(tài)加密

López-Alt等人[LTV12]最先開始研究多密鑰全同態(tài)加密，他們基于NTRU構(gòu)造了第一個多密鑰全同態(tài)加密，并利用它設(shè)計了一個多方安全計算協(xié)議。但是，他們的方案用到了一個非標(biāo)準(zhǔn)的假設(shè)，并且近年來也遭受到比較嚴(yán)重的攻擊。所以設(shè)計安全的多密鑰全同態(tài)加密引起了人們的注意，并研究出多個基于LWE的多密鑰全同態(tài)加密[CM15, MW16, PS16, BP16]。其中，[CM15, MW16]的多密鑰全同態(tài)加密方案的密文會隨著不同的密鑰數(shù)的增長而膨脹，而且同態(tài)計算后的密文不能繼續(xù)執(zhí)行同態(tài)運(yùn)算。Peikert等人[PS16]利用全同態(tài)加密[GSW13]與全同態(tài)簽名[GVW15]，一定程度上解決了上述兩個問題。Brakerski等人[BP16]提出了完全動態(tài)的多密鑰全同態(tài)加密，基本解決了上述兩個問題。但是，他們利用了笨重的自舉技術(shù)，并不實(shí)用。

1.3.3 CCA1安全的全同態(tài)加密

CCA安全對于加密來說已經(jīng)成為標(biāo)準(zhǔn)的安全性要求。遺憾的是CCA安全與同態(tài)性質(zhì)是矛盾的，不可能同時實(shí)現(xiàn)。但是，可以通過控制同態(tài)計算來達(dá)到CCA安全。賴俊祚等人[LDM+16]提出了第一個CCA2安全的密鑰控制的全同態(tài)加密方案。但是他們的方案利用了不可區(qū)分混淆器來驗(yàn)證密文的合法性。

眾所周知，CCA1安全與同態(tài)性質(zhì)并無矛盾之處，它們可以共存。Canetti等人[CRRV17]研究了CCA1安全的全同態(tài)加密方案，給出了3個構(gòu)造：前兩個都是由多身份全同態(tài)加密轉(zhuǎn)化而來（我們也提出了這個轉(zhuǎn)化方式，遺憾的是未能及時發(fā)表），并構(gòu)造了兩個多身份全同態(tài)加密方案，第三個使用了SNARKs，得到了一個緊湊的方案。前兩個構(gòu)造的缺點(diǎn)是密文不緊湊，第三個構(gòu)造建立在非標(biāo)準(zhǔn)的假設(shè)上。

1.3.4 電路私密的全同態(tài)加密

在全同態(tài)加密領(lǐng)域，有時不但要保護(hù)好數(shù)據(jù)的私密性，而且要保護(hù)好電路的私密性。電路的私密性是指同態(tài)計算出來的密文不泄露電路的任何信息，也就是說只有執(zhí)行同態(tài)運(yùn)算的人才知道電路，而其他人(包括解密者)都不能從同態(tài)計算出來的密文挖掘出電路的信息。

Gentry[Gen09a]在提出全同態(tài)加密的時候就已經(jīng)考慮了這個問題，他建議在輸出同態(tài)計算密文之前，給它增加一個大的噪音，完全掩蓋該密文所隱含的同態(tài)計算所積累的噪音。這一方法的缺點(diǎn)也是明顯的：這樣的密文所含的噪音太大，故不能再對它執(zhí)行同態(tài)運(yùn)算了。

Ducas等人[DS16]多次調(diào)用自舉算法來控制同態(tài)計算后的噪音分布，使得同態(tài)計算后的密文的噪音分布與新鮮密文的噪音分布是統(tǒng)計不可區(qū)分的。他們的方法可以運(yùn)用到所有(理想)格全同態(tài)加密方案[Gen09a, Gen09b, BGV12, Bra12,GSW13]。這個方法依賴于高效的自舉算法，目前并不可行。

Bourse等人 [BPMW16 ]利用高斯噪音的特性，巧妙地部分解決了上述方案的缺點(diǎn)：在同態(tài)計算的每一步，只需要增加一個與當(dāng)前噪音大小相當(dāng)?shù)母咚乖胍簦纯梢欢ǔ潭壬媳ＷC電路的私密性。這個技巧的優(yōu)點(diǎn)是避免了復(fù)雜的自舉，缺點(diǎn)是泄露了電路的深度。

Chongchitmate等人 [CO17]研究了存在惡意用戶情形下的多密鑰全同態(tài)加密，提出了一個一般的轉(zhuǎn)換，可以把任意非電路私密的多密鑰全同態(tài)加密轉(zhuǎn)換為電路私密的多密鑰全同態(tài)加密。

在短短的10年內(nèi)，國際上在全同態(tài)加密技術(shù)方面已經(jīng)取得了豐碩的成果，全同態(tài)加密也從第一代發(fā)展到了第三代，其效率與安全性都得到了極大地提升。

2 全同態(tài)加密實(shí)例：GSW

2013年，Gentry等人[GSW13]利用“近似特征向量”技術(shù)，設(shè)計了一個無需計算密鑰的層次型全同態(tài)加密方案：GSW，標(biāo)志著第三代全同態(tài)加密方案的誕生。在很多應(yīng)用場景下，層次型全同態(tài)加密的同態(tài)能力就足夠了。由于GSW無需計算密鑰參與同態(tài)計算，所以它是最簡單最易理解的全同態(tài)加密。這里我們以GSW為例，說明全同態(tài)加密的設(shè)計思想。

全同態(tài)加密除了傳統(tǒng)公鑰加密擁有的密鑰生成、加密、解密等算法外，還有一個同態(tài)計算算法。為了清晰地敘述GSW，我們增加了參數(shù)設(shè)置算法Setup，并把密鑰生成算法分解為私鑰生成算法和公鑰生成算法。注意到任意電路可以分解為一系列的加法和乘法運(yùn)算，因此我們還把同態(tài)計算算法分解為同態(tài)加法和同態(tài)乘法。

為了詳細(xì)描述GSW，我們需要兩個工具：一個是Regev [Reg05]提出的LWE，用來保證GSW的安全性，另一個是Micciancio和Peikert[MP12]提出的矩陣G，用來支持同態(tài)計算。

·考慮有限域Zq, 判定型LWE就是區(qū)分(B, sB + e) 與 (B, u)， 這里,,e←Dm, u←。Regev證明了LWE是困難的。目前人們普遍認(rèn)為LWE甚至是抵抗量子攻擊的。

·設(shè)G是一個具有下面性質(zhì)的公開矩陣：對任意的u，容易抽取滿足G G-1(u) = u 的短向量G-1(u)。

現(xiàn)在我們詳細(xì)描述GSW方案：

·Setup(1n,1L): 給定安全參數(shù)n，最大同態(tài)深度L，選取公共參數(shù)prms = (n,m,q,D), 令K=+1。

·Enc(μ,pk): 給定明文消息μ∈{0,1}，隨機(jī)選取矩陣R←, 計算密文C =AR+μG∈。

·Dec(sk, C): 令w = (0,0,...,q/2)T, 先計算tCG-1(w) =μtw+e=μq/2 + e，再根據(jù)該數(shù)值的大小判定出消息是0還是1。

注意：只要密文滿足形式C = AR+μG（稱為解密形式）且R是一個小矩陣，就可以成功解密。

·Add: C1C2= C1+ C2= B(R1+R2) + (μ1+μ2)G，可見同態(tài)加法滿足解密形式。

可見，同態(tài)乘法也滿足解密形式。

方案說明：GSW是一個層次型的全同態(tài)加密方案，可以設(shè)置最大深度L=poly(n)。但是，如果想同態(tài)計算任意的電路，還是需要利用自舉來增強(qiáng)同態(tài)計算能力。必須注意的是GSW盡管是最簡單最易理解的全同態(tài)加密，但它并不是最高效的。在GSW基礎(chǔ)上，除了可以設(shè)計具有訪問控制功能的全同態(tài)加密[GSW13, CM15]，它還可以用來加速自舉[AP14, DM15, CGGI16,CGGI17]，也許這才是GSW的最大意義之所在。

3 全同態(tài)加密的若干應(yīng)用

該節(jié)我們舉例說明全同態(tài)加密的潛在應(yīng)用。我們將展示全同態(tài)加密在各個領(lǐng)域應(yīng)用的廣泛性，以此說明這項(xiàng)技術(shù)的重要性。

3.1 全同態(tài)加密在基因組學(xué)中的應(yīng)用案例

隱私數(shù)據(jù)共享已經(jīng)大大限制了基因組學(xué)的發(fā)展。DNA和RNA序列可以迅速而廉價產(chǎn)生，因此大量的此類序列在不同的實(shí)驗(yàn)室和醫(yī)療機(jī)構(gòu)累積。預(yù)計在二十年內(nèi)，世界上大多數(shù)人將擁有全基因組序列。這是一個在生物學(xué)，醫(yī)學(xué)和人類歷史的研究中強(qiáng)大的工具，許多復(fù)雜疾病或流行病學(xué)研究需要數(shù)千個樣本來探究致病模式，并設(shè)計治療方案。然而，人類DNA和RNA序列就像指紋一樣是生物識別標(biāo)識符，它們可以傳達(dá)重大疾病風(fēng)險或國民身份標(biāo)志等信息起源，例如阿爾茨海默氏癥等位基因的存在或非親屬的檢測（親子鑒定）。一旦這些數(shù)據(jù)被釋放后，他們永遠(yuǎn)無法取回或撤回。因此，廣泛分享這些隱私數(shù)據(jù)存在很大的挑戰(zhàn)。

目前用于保護(hù)基因組學(xué)數(shù)據(jù)的策略具有很高的開銷，更好的解決方法是將基因組數(shù)據(jù)共享的一些用例映射到數(shù)據(jù)的簡單操作，這就非常適合全同態(tài)加密。人類在3B堿基對基因組序列中彼此幾乎相同，這意味著基因組數(shù)據(jù)可以簡化為簡單的差異向量?；蚪M序列的改變，變體或突變，可以從序列中挑選出來，這些基因型和表型的共享在許多設(shè)置中很有用。

例如，醫(yī)生在乳腺癌患者或他們的家庭成員中測試乳腺癌基因會經(jīng)常檢測出具有未知意義的新變種，但卻無法為他們的患者乳腺癌復(fù)發(fā)或家族性風(fēng)險提供建議。檢測到的變體實(shí)際上是致病性的嗎？或者它是變異正常背景的一部分？如果可以收集和分析這些來自世界上成千上萬診所的基因型和表型數(shù)據(jù)，那么更多未知意義的變種或變異就可以被人們理解。因此，差異基因統(tǒng)計可以統(tǒng)計出哪些變異會導(dǎo)致疾病，哪些不會。

基因匹配是類似的，帶有遺傳疾病的兒童可以通過尋找在任一親本中未發(fā)現(xiàn)的從頭變體來檢測具有遺傳疾病的原因。通過與長輩的基因比對，從而發(fā)現(xiàn)孩子疾病的根源，多個實(shí)例就可以推斷出致病的基因。確定疾病的遺傳原因有時可以導(dǎo)致治療得到很大改善，比如Beery雙胞胎，他們在經(jīng)歷了多年的嚴(yán)重身體殘疾之后現(xiàn)在過著正常的生活。

這些例子都依賴于類似的可用全同態(tài)加密來支持的基本數(shù)據(jù)操作。全同態(tài)加密的使用可以允許將不同的基因組數(shù)據(jù)集上傳到云中并用于精確醫(yī)療，從而改善患者的健康和福祉。上述案例是許多基因組應(yīng)用的代表，可以從全同態(tài)加密技術(shù)中受益。

3.2 全同態(tài)加密在國家安全關(guān)鍵基礎(chǔ)設(shè)施中的應(yīng)用案例

假定智能電網(wǎng)提供具有n個節(jié)點(diǎn)的網(wǎng)絡(luò)，其中每個節(jié)點(diǎn)產(chǎn)生大量數(shù)據(jù)（每個節(jié)點(diǎn)可以代表單個發(fā)電機(jī)/建筑物或單個微電網(wǎng)等）。大型智能電網(wǎng)/市政/政府監(jiān)控每個節(jié)點(diǎn)產(chǎn)生的數(shù)據(jù)。監(jiān)控機(jī)構(gòu)可以將監(jiān)控和計算工作外包給公共云，并使用同態(tài)加密對來自網(wǎng)格上每個節(jié)點(diǎn)的狀態(tài)數(shù)據(jù)進(jìn)行計算。如果每個節(jié)點(diǎn)代表一個單獨(dú)的微電網(wǎng)，那么狀態(tài)測量可能包括發(fā)電和使用，物理設(shè)備溫度，能量流等。如果節(jié)點(diǎn)代表不同的智能建筑，那么狀態(tài)測量可能包括當(dāng)前的能量使用（此類信息可用于檢測建筑系統(tǒng)中的異常和入侵，例如，受惡意軟件感染的設(shè)備的存在）。由于此基礎(chǔ)設(shè)施的關(guān)鍵作用，保護(hù)信息不受影響并確保它不能被敵手干擾，對來自電網(wǎng)的數(shù)據(jù)執(zhí)行分析并用于控制電網(wǎng)和電力分配。因此，為了允許云計算用于分析數(shù)據(jù)，必須確保云對潛在的攻擊具有敏感性。

全同態(tài)加密可以提供這樣的安全性。在這個場景中，不斷地對網(wǎng)格中每個節(jié)點(diǎn)進(jìn)行測量，得到的測量值被同態(tài)加密后發(fā)送到基于云的平臺進(jìn)行計算和分析。能量使用和這些度量被發(fā)送到基于云的平臺，在那里計算它們，計算的加密結(jié)果被發(fā)送到?jīng)Q策中心進(jìn)行分析。

智慧城市提供類似的重要場景。例如，如果發(fā)生需要城市警察，消防部門和多輛救護(hù)車的汽車事故，城市的基于云的平臺可以快速加載服務(wù)器，向特定的城市部門發(fā)送信息請求（例如，警察，消防，救護(hù)車，運(yùn)輸?shù)龋瑥拿總€部門分配物資，規(guī)劃從事故現(xiàn)場到合適醫(yī)院的最佳路線。這些應(yīng)用需要不同類型的計算，其中一些使用全同態(tài)加密相對容易，例如計算描述性統(tǒng)計。然而，計算的某些方面可能需要額外的研究，例如實(shí)體統(tǒng)一和比較等。

3.3 全同態(tài)加密在健康保健中的應(yīng)用案例

健康保健系統(tǒng)必須在保護(hù)敏感信息不被泄露的環(huán)境中運(yùn)行，并且可用于日常操作。但是泄露風(fēng)險與可操作功能之間難以平衡：2015年，健康保險公司Anthem泄露了8000萬條記錄，該泄露事件的總損失成本預(yù)計將超過10億美元，證明了這種平衡未得到正確維護(hù)。

盡管網(wǎng)絡(luò)保險可以提供一些保護(hù)免受此類損害，但是小型醫(yī)院和診所通常會發(fā)現(xiàn)此類保險不可用。實(shí)際上，此類保險最低政策的價值目標(biāo)是收入至少為20億美元的公司，而且保費(fèi)很高：每100萬美元的保險費(fèi)通常為3500美元。據(jù)統(tǒng)計，缺乏實(shí)用保護(hù)措施導(dǎo)致60%小型公司受重大數(shù)據(jù)泄露影響后在6個月內(nèi)倒閉。

全同態(tài)加密有助于解決風(fēng)險-功能平衡問題并且可在醫(yī)療保健行業(yè)的一些應(yīng)用中實(shí)現(xiàn)信息共享。計費(fèi)和報告生成是兩個應(yīng)用程序，在這兩種應(yīng)用場景下，分析師都需要訪問個人醫(yī)療記錄來計算其內(nèi)容的某些部分。通過允許這樣的計算而隱性顯示那些記錄，可以避免隱私泄露，且不會破壞日常操作。全同態(tài)加密在醫(yī)療環(huán)境中實(shí)現(xiàn)防止泄露的工作流程如下：分析師查詢當(dāng)前的醫(yī)療記錄，以收集諸如診所提供的處方或醫(yī)療交流的統(tǒng)計數(shù)據(jù)等信息。不受信任的服務(wù)器可能擁有加密的相關(guān)數(shù)據(jù)集，包括受HIPAA保護(hù)或其他相關(guān)隱私法規(guī)和政策約束的個人醫(yī)療記錄。全同態(tài)加密允許在保持加密的同時對查詢進(jìn)行計算，并向分析師返回加密的查詢結(jié)果。然后，分析師在可信平臺上解密查詢結(jié)果，得到相關(guān)報告或單據(jù)中包含的查詢結(jié)果。由于數(shù)據(jù)在存儲和計算時都保持加密狀態(tài)，因此任何敵手都不會了解數(shù)據(jù)或此類查詢的結(jié)果。

可見，醫(yī)療保健組織（尤其是小型醫(yī)療機(jī)構(gòu)）的數(shù)據(jù)隱私和公用事業(yè)需求之間需要較好的權(quán)衡，否則會對醫(yī)療保健組織和他們的病人都會帶來災(zāi)難性后果。全同態(tài)加密可為此類平衡提供新穎的解決方案，并且成本是比較小的。

3.4 全同態(tài)加密在保護(hù)控制系統(tǒng)中的應(yīng)用案例

控制系統(tǒng)或網(wǎng)絡(luò)物理系統(tǒng)是一個控制信號操作物理系統(tǒng)的計算機(jī)系統(tǒng)，它由具有傳感器和執(zhí)行器的設(shè)備和控制器組成?？刂破鲝膫鞲衅鹘邮諅鞲袛?shù)據(jù)，利用用戶輸入對其進(jìn)行處理以計算命令數(shù)據(jù)，并發(fā)送到按照命令操作設(shè)備的執(zhí)行器。它涵蓋了許多系統(tǒng)，包括智能汽車，無人機(jī)和核電站等。有很多關(guān)于黑客控制系統(tǒng)的報告：在2010年，鈾濃縮設(shè)施中的惡意計算機(jī)蠕蟲進(jìn)入計算機(jī)系統(tǒng)，并且改變了離心機(jī)的轉(zhuǎn)速以破壞它們。2015年，一名黑客展示了如何遠(yuǎn)程控制汽車的制動器和加速器。防止黑客攻擊控制系統(tǒng)非常重要，但被認(rèn)為是一個難題。人們建議傳感器在加密后向控制器發(fā)送數(shù)據(jù)，并在加密后向控制器發(fā)送控制數(shù)據(jù)。它可以防止黑客攻擊敏感數(shù)據(jù)和控制命令，但不能阻止控制器內(nèi)部的惡意軟件泄露數(shù)據(jù)。

最近，一些研究人員建議使用全同態(tài)加密來保護(hù)控制系統(tǒng)[KLS+16]，即利用FHE加密傳感數(shù)據(jù)。在這種情況下，控制器不需要解密敏感數(shù)據(jù)后，再來對之處理，因此可以對控制器本身保密。此外，黑客對加密數(shù)據(jù)的任何操縱都可能被執(zhí)行器的檢測系統(tǒng)檢測到。為了更加保證，可以考慮使用同態(tài)認(rèn)證加密或者全同態(tài)簽密。對該問題的挑戰(zhàn)應(yīng)該是實(shí)時運(yùn)行，目前還沒有如此高效的全同態(tài)加密。

隨著全同態(tài)加密效率的提高，其應(yīng)用也逐步提上議程，學(xué)術(shù)界與工業(yè)界聯(lián)合，于2017年啟動了同態(tài)加密的標(biāo)準(zhǔn)化工作與應(yīng)用研究[ACC+18a, ACC+18b]，以此推動同態(tài)技術(shù)的快速發(fā)展與工業(yè)應(yīng)用。據(jù)專家預(yù)測，在3-5年內(nèi)，全同態(tài)加密就會在一些場合得到啟用。