具体实施方式

在本实施例中，首先对于本实施例中多次出现的部分符号和算法进一统一约定。约定如下：

(1)对于任何集合X，定义|X|为集合X中元素的数量；如果x是一个向量，则|x|是这个向量的维度。

(2)对于给定的最高次为d的不可约分圆多项式f(x)，定义一个整数多项式环为环R上所有的元素都是向量，也称为多项式。Rq表示所有元素系数模q的环R，其中表示从R_q上按照均匀分布选择一个环R上任意元素其第i项的系数为a_i，即满足公式(1)，其中x为自变量；其无穷范数满足公式(2)；对于R的拓展因子δ_R满足公式(3)：

(3)对于任意整数h>1，定义为整数集合表示一个整数环{0,1,2…，q-1}，对于任意[x]_h＝xmodh；对于任意[x]意味着向下取整，[x]意味着向上取整，「x」意味着取最近的整数；对于任意x∈R，意味着对中的所有系数都进行模h操作。

(4)对于给定的安全参数λ，如果对于所有都满足negl(λ)＝o(1/λ^c)，则称函数negl(λ)是可忽略的。如果某事件发生的概率为negl(λ)，则指它发生的概率可以忽略不计。

(5)对于给定的参概率分布D，本文使用表示x从中随机采样；对于集合X，用x←X表示x是从集合中均匀采样得到的；对于整数上的分布χ，如果满足取值范围在[-B，B]范围内，则称其界限为B。

(6)对于混合加密体制HPKE＝{HPKE.Gen，HPKE.Enc，HPKE.Dec}，其中密钥生成算法是HPKE.Gen，输入为安全参数，输出为加解密的密钥对；加密算法是HPKE.Enc，输入为加密密钥和明文，输出为密文；解密算法是HPKE.Dec，输入为密文和解密密钥，输出为明文。

(7)对于将元素数量为m的集合Set嵌入最高次为d的多项式Poly(要求m能被d+1整除，且d≤m²-1)，约定有以下两种方法：

a)模m连续嵌入：当多项式Poly其中的第i项满足i％m＝1(i＝1，…，d+1)时，将有序集合Set中排在首位的元素嵌入对应项的系数，并在之后的每一项都嵌入相同系数，直到新的项再次满足i％m＝1时，从集合删除上一元素，将重新排在首位的元素嵌入对应项，重复执行，直到遍历整个多项式结束。

举例：Set＝{a，b，c}，Poly的最高次为d＝8，则嵌入后的多项式(自变量为x)：

Poly＝a+ax+ax²++bx³+bx⁴+bx⁵+cx⁶+cx⁷+cx⁸。

b)模m间隔嵌入：当多项式Poly其中的第i项满足i％m＝1(i＝1，…，d+1)时，将有序集合Set中排在首位的元素嵌入对应项的系数，并从集合删除该元素，重复执行，直到遍历整个多项式结束。

举例：Set＝{a，b，c}，Poly的最高次为d＝8，则嵌入后的多项式(自变量为x)：

Poly＝a+0x+0x²++bx³+0x⁴+0x⁵+cx⁶+0x⁷+0x⁸。

(8)对于整数集合{a，b，c,d}，约定其对应的拉格朗日基函数(设自变量为x)集合为{LA_a(x),LA_b(x),LA_c(x),LA_d(x)}，具体为：

(9)对于多秘密共享方案

MultiSS＝{MultiSS.Setup,MultiSS.Split,MultiSS.Recover}，其中系统初始化算法是MultiSS.Setup，输入为安全参数，输出为系统参数；秘密分发算法是MultiSS.Split，输入为系统参数和有序的秘密集合，输出为秘密份额集合和用户公开份额；秘密重构算法是MultiSS.Recover，输入为系统参数和秘密份额集合，输出为有序的秘密集合。

a)系统初始化算法:MultiSS.Setup

本算法输入安全参数λ，输出系统参数paramSS＝{q,n,th,m，U,V，PList,GList,OS_sys}，其中q为大整数素数，为参与者的数量，th为门限值，m为一次要共享的秘密数量，要求m≥th。所有参与者的集合为U，满足门限数量的用户集合为V,即n≥|V|≥th。然后在[n+2m+th,q-1]中随机选择n个互不相同的整数p₁,p₂,p₃,…,p_n作为个参与者的个人身份标识，其集合记为PList；设区间[m,m+-1]中连续n个整数g₁,g₂，g₃，…，g_n为系统公开份额的标识，其集合记为GList；最后在[0，q-1]范围内随机选择n个随机整数k₁,k₂，k₃，…，k_n，称其系统公开份额，其集合记为OS_sys。

b)秘密分发算法：MultiSS.Split

本算法由秘密分发者负责执行，输入系统参数paramSS和有序的秘密集合mList，输出秘密份额集合SList和用户公开份额OS_u。设待共享的m个秘密具体为C₁，C₂，C₃，…，C_m，具体步骤如下：

1、插值生成n+m-1次多项式h(x)：根据m个秘密组成的数值对(0，C₁)，(1，C₂)，(2，C₃)，…(m-1，C_m)，以及n个系统公开份额的数值对(g₁，k₁),(g₂,k₂),(g₃,k₃),…,(g_n,k_n)共n+m个数值对，利用拉格朗日多项式插值算法，计算得到n+m-1次多项式h(x)＝a₀+a₁x+a₂x²+…+a_n+m-1x^n+m-1；

2、生成参与者的秘密份额集合SList：利用得到的n+m-1次多项式h(x)，分别计算参与者的秘密份额；将用户的个人身份标识p_i作为自变量输入多项式h(x)，得到的函数值h(p_i)即为参与者的秘密份额，设其集合为SList；

3、当m>th时，需生成秘密分发者的公开份额集合OS_u：设区间[m+n,m+2n-th-1]中连续m-th个整数b₁，b₂，b₃，…，b_m-th为秘密分发者公开份额的标识，其集合记为BList；将秘密分发者公开份额的标识集合BList分别输入多项式h(x)得到对应的值h(b_i)，其集合记作OS_u。

c)秘密重构算法：MultiSS.Recover

本算法可由任何有秘密恢复需求的一方执行，输入系统参数paramSS、秘密份额集合SList，要求集合中的数量不少于th和秘密分发者的公开份额集合OS_u，输出有序的秘密集合mList，具体步骤如下：

插值恢复n+m-1次多项式h(x)：根据秘密份额集合SList，得到不少于th个数值对(p_i，h(p_i))；根据系统公开份额OS_sys，得到n个数值对(g_n，k_n)；若m>th时，则还需结合秘密分发者的公开份额集合OS_u，得到m-th个数值对(b_i，h(b_i))；利用一共不少于m+n个数值对，使用拉格朗日多项式插值算法，恢复h(x)；

生成有序的秘密集合mList：分别计算C_i＝h(i-1)来恢复秘密，其中i＝1，2，…，m，该集合记作mList

本实施例提供的一种基于格的分布式门限加法同态加密方法，包括以下步骤：系统初始设置、用户密钥生成、用户私钥份额生成、系统公钥合成、数据加密、加法同态运算、部分解密和最终解密；

步骤1.系统初始设置：DTAHE.Setup

本步骤输入安全参数λ，输出系统参数params＝{param0,paramSS}，其中param0是系统初始化相关参数集合，paramSS是多秘密共享相关参数集合。对于具体设置多项式次数d、多项式系数模数q、明文多项式模数t、正态分布χ、均匀分布μ和多秘密共享方案MultiSS＝{MultiSS.Setup,MultiSS.Split,MultiSS.Recover}，然后随机选择对于paramSS＝{n,th,m,U,V,PList,GList,BList,OS_sys}，则执行算法MultiSS.Setup(1^λ)→paramSS可得。具体的如表1所示。

表1方案具体参数一览表

步骤2.用户密钥生成：DTAHE.KeyGen

本步骤输入系统参数params，输出公私钥对(pk_u,sk_u)，首先从系数是{-1,0,1}的多项式环R₃中均匀随机地选择一个多项式然后按照χ分布选择一个噪声多项式设置且运行(pk_u1,sk_u1)←HPKE.Gen(1^λ)得到HPKE体制的加解密密钥对，设置sk_u＝(sk_u0,sk_u1)和pk_u＝(pk_u0,pk_u1)，输出公私钥对(pk_u,sk_u)。

步骤3.用户私钥份额生成：DTAHE.ShareGen

本步骤输入系统参数params、用户u的私钥sk_u0和用户集合U中的公钥集合{pk_v1}_v∈U，输出为加密消息集合{e_uv}_v∈U和用户u的公开份额的有序集合

首先随机选择一个噪声对于sk_u0和中的每m个连续系数，执行算法MultiSS.Split，完整共享整个私钥和噪声都是需要分别执行次多秘密共享算法，得到关于用户u的私钥和噪声的秘密份额的有序集合和用户公开份额的有序集合和这四个有序集合中分别都包含个元素，其中：

然后以集合U中的每一个用户为单位，分别执行如下流程：

a)把发送给用户v的两个秘密份额有序集合{Ssk_uv,Seu_uv}打包为消息s_uv，其中Ssk_uv为关于私钥的秘密份额集合，Seu_uv为关于噪声的秘密份额集合，假设用户v的身份标识为p₀，则

b)利用用户v的公钥pk_v1，运行加密算法HPKE.Enc(pk_v1,s_uv)获得加密消息e_uv。最后输出为包含各个用户的加密消息集合{e_uv}_v∈U(用户u自己的份额留在本地)和用户u的公开份额的有序集合

步骤4.系统公钥合成：DTAHE.ComKey

本步骤输入系统参数params，所有用户的公钥集合{pk_u0}_u∈U，计算pk＝[∑_{u∈ U}pk_u0]_q，输出系统公钥pk。

步骤5.数据加密算法：DTAHE.DataEnc

本步骤输入系统参数params，系统公钥pk，用户u的明文数据m_u，输出用户u的密文数据c_u＝(c_u0,c_u1)。

首先将明文数据m_u作为系数嵌入一个最高次为d的多项式X_u，然后随机选择两个噪声分别计算 输出用户u的密文数据c_u＝(c_u0,c_u1)。

步骤6.加法同态运算：DTAHE.EvalAdd

本步骤输入系统参数params，用户的密文数据集合{c_u}_u∈U，用户的权重系数集合{w_u}_u∈U，然后分别计算ct₀＝[∑_u∈Uc_u0·w_u]_q、ct₁＝[∑_u∈Uc_u1·w_u]_q，最后输出系统密文ct＝(ct₀,ct₁)。

步骤7.部分解密：DTAHE.ParDec

本步骤输入系统参数params，系统密文ct，用户u的公钥pk_u和用户u收到集合U中其他用户的加密消息集合{e_vu}_v∈U\{u}，输出用户u的部分解密值pm_u。

部分解密步骤一共分为解密份额、聚合份额、计算部分解密值三个阶段；首先运行解密算法HPKE.Dec(sk_u1,e_vu)，得到消息集合{s_vu}_v∈U\{u}，逐个解析消息后，得到关于私钥的秘密份额有序集合的集合{Ssk_vu}_v∈U\{u}和关于噪声的秘密份额有序集合的集合{Seu_vv}_v∈U\{u}，两者分别包含n-1个集合元素，每个集合元素又由个秘密份额有序组成。加上用户u共享本地私钥和噪声时保留给自身的两种秘密份额有序集合，对其分别汇总为总份额有序集合。具体计算Ssk_uv＝∑_v∈USsk_vu,Seu_uv＝∑_v∈USeu_vu，然后执行部分解密值计算方法，将有序集合Ssk_u进行模m间隔嵌入d次多项式得到SK，将有序集合Seu_u进行模m连续嵌入d次多项式得到SE。从密文ct中取出ct₀，计算pm_u＝[ct₀·SK+SE]_q，最后输出用户u的部分解密值pm_u。

步骤8.最终解密算法：DTAHE.FinDec

本步骤输入系统参数params，系统密文ct＝(ct₀,ct₁)，用户的部分解密值集合P₁＝{pm_u}_u∈V，其中其中|P₁|≥th，系统公开份额集合OS_sys，集合U中所有用户公开份额集合和输出由最终解密值组成的多项式M。

最终解密步骤分为聚合用户公开份额、计算用户公开部分解密值、聚合系统公开份额、计算系统公开部分解密值、插值解密数据五个阶段。首先对于用户公开份额集合H₂和H₃，其中分别包含n个集合元素，每个集合元素由个用户公开份额集合有序组成，分别将这n个集合元素按顺序对应相加，即计算和得到用户份额汇总集合：

此时SH₀和SH₁都分别由个份额集合有序组成，每个份额集合包含m-th个份额。然后根据i＝1,2,…,m-th,每次从SH₀和SH₁中分别取出集合和然后参考DTAHE.ParDec中的部分解密值计算方法，计算关于用户公开份额的部分解密值，其中有序集合执行模m间隔嵌入，执行模m连续嵌入。执行m-th次后，可以得到关于用户公开份额的部分解密值集合P₂。

同样对于系统公开份额集合{k₁,k₂,k₃,…,k_n}，根据i＝1,2,…,n，计算K_i＝n*k_i，构造元素数量为的两个集合 参考DTAHE.ParDec中的部分解密值计算方法，计算关于系统公开份额的部分解密值，其中集合执行模m间隔嵌入，执行模m连续嵌入。执行n次后，可以得到关于系统公开份额的部分解密值集合P₃，合并三个部分解密值集合P₁、P₂、P₃得到＝{pm_i}，其对应的标识集合简写为A＝{a1,…,ai}，i∈[1,|P|]。其中每一项对应的拉格朗日插值基函数为LA_ai(x)。

对于i＝1,2,3,…,|P|,对应的将集合{LA_ai(0),LA_ai(1),...,LA_ai(m-1)}对d次多项式进行模m间隔嵌入得到L_i。然后计算由最终解密值组成的多项式M，其中：

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。