同态加密指的是直接对加密数据进行处理，然后再解密，得到的结果跟直接处理明文的效果相匹配。如下图所示，同态加密处理流程和明文状态处理流程的区别在于数据输入之前的加密和输出之后的解密步骤。

一个同态加密方案由一个四元组组成： H={KeyGen,Enc,Dec,Eval}

一个安全密码系统如果满足以下条件，则可称为是同态的：

\(\forall\)\(m_1\),\(m_2\) \(\in\) M, \(Enc_{pk}(m_1 \bigodot_{M} m_2) \leftarrow Enc_{pk}(m_1) \bigodot_{C} Enc_{pk}(m_2)\)

其中\(Enc_{pk}()\)表示使用公钥作为加密密钥的加密函数，M表示明文空间，C表示密文空间。\(\bigodot_{M}\)和\(\bigodot_{C}\)分别表示操作符\(\bigodot\)在明文空间M和密文空间C上的运算。上式的意思是，同态密码系统的特点是，先在明文空间上运算再加密，和先解密再在密文空间上运算的结果是一致的。

为简化表述，用[[v]]表示对明文v的同态加密结果，用同一个运算符表示在明文空间和密文空间上的运算符号，比如\(+\)、\(\times\)等运算。可以定义加法同态运算和乘法同态运算。

可分为三类：部分同态加密（Partially Homomorphic Encryption, PHE）、些许同态加密（Somewhat Homomorphic Encryption, SHE）、全同态加密（Fully Homomorphic Encryption, FHE）。

也称为半同态加密，部分同态加密中（M，\(\bigodot_{M}\)）和（C，\(\bigodot_{C}\)）都可以构成一个群。 群定义：对于一个集合和一个群乘运算组成的二元组，如果它们满足封闭性、结合律、单位元、逆元，四个条件，则它们构成一个群。 因此，部分同态加密PHE中（M，\(\bigodot_{M}\)）和（C，\(\bigodot_{C}\)）都满足群的四个条件，以（C，\(\bigodot_{C}\)）为例，得： 且操作符\(\bigodot_{C}\)能无限次用于密文空间。PHE是一种群同态技术。

SHE是指经过同态加密后的密文数据，在其上执行的操作只能是有限的次数。这是因为SHE为了安全性使用了噪声数据，在密文上的每一次操作都会增加密文上的噪声量，乘法操作是增长噪声量的主要手段。但经过多次运算，噪声量会超过上限值，此时解密操作就不能得到正确结果了。

全同态加密算法FHE允许对密文进行无限次的加法和乘法运算操作，加法和乘法运算是完备的，任何函数都可以转换为仅包含加法和乘法的形式。所以理论上FHE能够计算任何函数功能。 FHE算法的设计可以分为四种：

差分隐私采用一种随机机制，使得当输入中单个样本改变之后，输出分布不会有太大变化。如下图所示，对于差别只有一条记录的两个数据集，查询它们获得相同的输出的概率非常接近，这样用户及时获取了输出结果，也无法通过结果推测输入数据来自哪一方。

差分隐私提供了一种信息理论安全性保障，即函数的输出结果对数据集里的任何特定记录都不敏感。因此差分隐私能被用于抵抗成员推理攻击。按照数据收集方式的不同，可以分为中心化差分隐私和本地化差分隐私。中心化差分隐私是各参与方把本地数据发送给可信第三方，由可信第三方进行差分隐私处理。本地化差分隐私则是各参与方分别进行差分隐私处理，然后将扰动数据发送给第三方，第三方不要求是可信的。

其中隐私保护预算\(\epsilon\)用于控制算法M在邻近数据集\(D\)和\(D^{'}\)上获得相同输出的概率比值，\(\epsilon\)值越小，获得相同输出的概率越接近，因此用户无法通过输出结果来区分输入数据来自哪一个数据集，即无法察觉数据集的微小变化，从而达到隐私保护的目的。\(\epsilon\)值越大，隐私保护程度越低。

中心化差分隐私是定义在任意两个数据集的输出相似性上的，而本地化差分隐私是定义在本地数据任意两条记录的输出相似性上的。本地化差分隐私也拥有中心化差分隐私的串行组合和并行组合特性。

目前实现差分隐私保护的主流方法是添加扰动噪声数据。

中心化差分隐私与本地化差分隐私的实现方法非常不同。中心化差分隐私需要保护全体数据的隐私，有全局敏感性的概念，采用的扰动机制包括高斯噪声机制、拉普拉斯噪声机制、指数噪声机制等。本地化差分隐私没有全局隐私敏感性的概念，采用的扰动机制一般是随机响应。

本节只讨论中心化差分隐私的实现机制。

要想知道算法函数\(M\)需要添加多少噪声才能提供(\(\epsilon, \delta\))-差分隐私保护，就需要先定义该算法在当前数据上的全局敏感度，可分为\(L_1\)全局敏感度和\(L_2\)全局敏感度。

不管是\(L_1\)还是\(L_2\)敏感度，其结果与提供的数据集无关，只由函数本身决定。 当全局敏感度较大时，说明数据集的细微变化可能导致函数\(M\)的输出有很大不同，因此需要添加较大的噪声数据，才能使函数\(M\)提供\(\epsilon, \delta\)-差分隐私保护。全局敏感度较小时，只需要添加较小的噪声数据。

高斯机制和拉普拉斯机制都是面向数值型查询结果的，直接在结果上添加噪声即可。指数机制是面向非数值型的。

在机器学习领域应用差分隐私算法，关键问题是何时、何阶段添加噪声数据。差分隐私算法根据噪声扰动使用方式和使用阶段的不同，可分为以下几类：

MPC是密码学的一个子领域，目的是多个参与方从各自的隐私输入中计算某个函数的结果，而不将这些输入数据展示给其它方。基于MPC，对于任何函数功能需求，都可以在不泄露除输出以外的信息的前提下计算它。

MPC最初用来计算一个安全两方计算问题，即百万富翁问题：两个百万富翁都想比较到底谁更富有，又不想让别人知道自己有多少钱，如何在没有可信第三方的情况下解决这个问题。该问题后来被推广到了多人场景。

当前主要有三种常用的隐私计算框架来实现安全多方计算。即秘密共享、不经意传输、混淆电路。

秘密共享又称密钥共享，指将要共享的秘密在一个用户群体里进行合理分配，以达到由所有成员共同掌管秘密的目的。比如将原始秘密值分成n份交给n各参与方，当且仅当有至少t个秘密值组合在一起时才能重构被共享的秘密。

对于数据集合A，有n个用户的集合（1，2，...，n） ，一个（t,n）门限秘密共享方案包括分享和重构两个环节。

当前秘密共享方案研究就在于如何高效地构造(t,n)门限秘密共享方案。这些方案包括算术秘密共享、Shamir秘密共享、二进制秘密共享等多种方式。

不经意传输中，发送方拥有一个“消息-索引”对\((M_1,1),(M_2,2),...,(M_N,N)\)，在每次传输时，接收方选择一个满足\(1\le i\le N\)的索引i，并接收\(M_i\)。接收方不知道发送方数据库的信息，发送方整个过程中也不知道接收方选择接收的信息。

所有可计算问题（函数）都可以转化为各个不同的电路，而电路是由一个个门组成的，如与门、或门、非门、与非门等。 混淆电路可以看成一种基于不经意传输的两方安全计算协议。能够在不依赖第三方的前提下，允许两个互不信任方在各自私有输入上对任何函数进行求值。GC中心思想是将计算电路分解为产生阶段和求值阶段。两个参与方各自负责一个阶段，而在每个阶段中的电路都被加密处理，所以任何一方都不能从其它方获取信息，但可以根据电路获取结果。GC由一个不经意传输协议和一个分组密码组成。电路的复杂度至少是随输入内容大小的增大而线性增长的。GC也被扩展用于多方问题。

比较三种常见安全机制，同态加密、差分隐私和安全多方计算（以秘密共享策略来讲解）。