同态加密在隐私计算中的应用综述

邵航 高思琪 钟离 傅致晖 孟丹 李晓林

(同盾科技人工智能研究院，杭州 311121)

0 引言

大数据和人工智能快速发展，目前已经形成产业规模，并上升到国家战略层面，海量数据的交叉协同计算和人工智能技术的落地应用为各行各业提供了更好的支持和用户体验；但与此同时，数据安全与隐私保护问题日益凸显，国际与国内各项隐私保护的政策法规相继制定，安全、可信、合规使用大数据成为数据要素流通与人工智能进一步发展的一个必须要解决的难题。近年来，兴起的隐私计算技术被认为是解决数据隐私保护与数据安全流通、数据智能化应用两难问题的重要技术手段。目前，隐私计算主要分为多方安全计算(Secure Multi-Party Computation，MPC)、联邦学习(Federated Learning，FL)、可信执行环境(Trusted Execution Environment，TEE)这3个主要技术路线，而同态加密技术(Homomorphic Encryption，HE)作为一个重要的基础性密码算法协议，被广泛应用于不同技术路线的隐私计算解决方案中，例如基于多方安全计算的联合统计、基于联邦学习的联合建模、基于隐私信息检索(Private Information Retrieval，PIR)的联合查询等。本文首先从技术角度来介绍同态加密技术的发展历程和一些常见的实现机制，然后结合典型的隐私计算应用场景介绍基于同态加密的技术解决方案，最后分析当前同态加密技术面临的挑战和未来可能的发展方向。

1 同态加密技术综述

1.1 同态加密简介

同态加密是基于数学难题的计算复杂性理论的密码学技术。主要思想是：对经过同态加密的数据进行某种方法计算得到一个输出，将这一输出进行解密，其结果与用同种方法计算未加密的原始数据得到的输出结果一致。

一般来说，同态加密具有加法同态性和乘法同态性，可利用加法和乘法构造任意的计算方法对密文进行运算。根据同态性质可分为：部分同态加密(Partially Homomorphic Encryption，PHE)、有限层次全同态加密(Leveled Fully Homomorphic Encryption，LFHE)、类同态加密(SomeWhat Homomorphic Encryption，SWHE)和全同态加密(Fully Homomorphic Encryption，FHE)方案。部分同态加密方案是指具有单一的加法同态性或乘法同态性，例如RSA算法、Elgamal算法和Paillier算法等。有限层次全同态加密方案是指支持对密文进行有限次数的同态加法和同态乘法，例如BGV12方案、GSW13方案和CKKS17方案等。全同态加密方案支持对密文进行无限次数的加法同态和乘法同态，即任何类型的计算，而自举(Bootstrapping)技术[1]是目前能实现全同态加密方案的唯一方法。

1.2 同态加密发展历程

1977年，Rivest、Shamir和Adleman[2]提出RSA密码算法，该算法基于大整数难分解问题，起初是用作加解密和消息签名，但因其具有乘法同态性而成为部分同态加密方案的一员。而在之后的1985年，Taher ElGamal[3]基于循环群上的离散对数问题提出了具有乘法同态性的ElGamal算法。Pascal Paillier[4]于1999年基于符合剩余类困难问题(Composite Degree Residuosity Classes)提出具有加法同态性的Paillier算法。这三个较为典型的部分同态加密方案，为全同态的发展奠定了坚实的基础。

真正意义上的全同态是在2009年，Gentry[5]基于理想格(Ideal lattice)构造出了第一个可行的全同态加密方案Gentry。在该方案中，先构造了一个有限层次全同态加密方案，然后通过自举实现全同态加密，该构造全同态加密的框架成为后续大多数方案的重要思路，从而全同态加密被冠以“密码学的圣杯”。Gentry[6]于2010年提出基于整数的全同态加密方案DGHV，仅在整数上进行简单计算，其安全性可以归约为近似最大公约数问题，然后使用自举实现全同态加密。因此，DGHV方案被认为是第一代全同态加密方案的代表[6]。

第二代全同态加密方案以基于带错误学习(Learning With Error，LWE)问题为特点。Brakerki和Vaikuntanathan[7]在2011年提出BV方案，是第二代全同态加密方案的代表之一，BV方案使用重线性化技术(Relinearization)使得在不增加密文尺寸(维数)的情况下完成一次乘法同态。由于和LWE问题相比，环上带错误学习(Ring Learning With Error，RLWE)问题中的多项式计算可使用快速傅立叶变换(Fast Fourier Transform，FFT)进行加速计算。2012年，Brakerki、Gentry和Vaikuntanathan[8]构造了基于RLWE问题的有限层次全同态加密方案BGV。BGV方案是第二代全同态加密方案的另一个典型代表方案，使用了模切换(Modulus Switching)降低密文噪音，并采用密钥切换(Key Switching)控制密文尺寸，还支持单指令多数据流(Single Instruction Multiple Data，SIMD)编码，能对多比特明文编码进行打包处理，可明显提升计算性能。2012年，Fan等[9]提出BFV方案，较BGV更加轻量。与绝大数基于整数上计算的方案不同，Cheon等[10]于2017年提出一个基于RLWE问题的有限层次全同态加密方案CKKS，能够近似地执行同态加法和同态乘法运算，并支持浮点数运算，非常适合统计和机器学习应用。

第三代全同态加密方案以Gentry等[11]在2013年设计的使用近似特征向量技术构造出一种无需计算密钥的有限层次全同态加密方案GSW为代表。GSW方案中密文是矩阵形式，因此密文的加法和乘法相当于对矩阵做加法和乘法。在进行同态计算时，密文尺寸不会变大，也无需引入计算密钥。另外，在同态计算过程中，密文噪音的增长是非对称的(即C1和C2是密文，C1⊗C2和C2⊗C1产生的噪音不同，⊗表示加法或乘法运算)，且密文的噪音呈线形增长，这使得之前用的降噪技术(如模切换等)不再适用，GSW提出比特分解(BitDecomp)和展开(Flatten)技术实现降噪。

基于GSW，Alperin-Sheriff等[12]加入自举技术，进而实现真正的全同态加密方案，之后的FEHW[13]和TFHE[14]方案更是优化了自举，并设计了对应的开源库，其中TFHE自举一个比特仅需13 ms，这是目前自举效率最高的方案之一。2018年，Cheon等[14]基于CKKS，加入自举技术提出了全同态加密方案[15]，接着在文献[16]中优化了自举，使得自举时间降低了两个数量级。同态加密的主要技术发展历程如图1所示。

纵观同态加密方案近十多年的发展，虽然存在效率低、密文膨胀等瓶颈，但各种优化技术是加速同态加密技术在隐私计算领域中的规模化使用及工业化落地的催化剂。各大公司和组织也相继开源了同态加密库，表1列举了目前常用的同态开源库。

表1 同态加密开源库列举

2 同态加密应用解决方案

当前，“数据就是资源”逐渐成为现实，顺应大数据云计算的潮流，大量数据上云，为了数据安全，必须加密存储。但为了能更好地释放数据价值，数据的开放共享、交流互换、联合计算也是大势所趋。既想要数据，又想要安全，如何兼顾风险和效率，在保证数据安全的前提下，发挥更大的数据价值是当前重要的研究话题。隐私计算应运而生，通过联邦学习、多方安全计算、可信执行环境等技术，在解决实际业务问题的同时兼顾数据安全，进而实现“数据可用不可见，知识共创可共享”的目标。

同态加密技术因其具有允许用户直接在密文上进行运算，运算结果解密后和对明文运算的结果一致的性质，是实现数据“可用不可见”的关键技术之一。在安全求交、隐匿查询、多方联合计算、多方联合建模等隐私计算的应用场景中具有举足轻重的地位。

2.1 同态加密在安全求交中的应用

安全求交，即隐私集合求交(Private Set Intersection，PSI)，能够使得多个参与方在不公开各自数据的前提下，共同找出交集数据，且不能泄露交集数据以外的信息。

PSI通常是隐私计算中重要的前置步骤，可在安全计算或建模之前找出多方共有的样本，并且保证不泄露各方独有的样本。作为一项成熟的“小技术”，PSI技术目前已在隐私保护的实名认证、联合风控、数据发现、数据对齐等多个场景得到“大应用”。以联合风控为例，银行在客户信息核查阶段可以运用PSI技术，探查同业金融机构的风险名单或同时多次借贷的客户信息，同时保证优质客户信息不被泄露。另外，在数据发现场景下，社交软件基于用户授权，可运用PSI技术与用户通信录中的手机号码进行隐私安全求交，进而根据此信息提供好友账号推荐。PSI还可应用在纵向联邦学习场景中。在纵向联邦学习的建模场景中，PSI也称样本对齐(Sample Alignment)，即各参与方首先计算出训练样本的交集，再进行联邦模型训练。

PSI根据参与者的数量可分为两方和多方，下面均以两方为例。假设参与PSI的两方为发送方S(Sender)和接受方R(Receiver)，分别持有数据集X和Y。根据两方数据集大小的不同，分为平衡场景(Balanced PSI)和非平衡场景(Unbalanced PSI)。在平衡场景下，双方样本数量相差不大，适用于双方客群有较多重叠的场景，如集团子部门之间的安全求交场景；在非平衡场景下，双方样本数量相差非常大，如营销场景中筛选本机构种子用户与外部数据方海量用户群中的共有用户群，实现目标客群筛选。

在平衡场景中，PSI的实现方式目前较为成熟的有基于RSA、基于Diffie-Hellman(DH)和基于不经意传输(Oblivious Transfer，OT)等。综合安全性、效率和通信量考虑，基于OT以及OT Extension[24]系列的对齐方案被广泛使用。

在非平衡场景中，可在基于OT的PSI方案基础上，将同态加密技术结合特定的优化方法，实现高效的PSI。下面介绍两种高效的基于同态加密的非平衡PSI方案。

2017年，Chen等[25]在CCS2017中将同态加密应用到非平衡PSI中，综合使用了Cuckoo hash、Partition、Window和Modulus Switch技术，具体流程如图2所示。试验表明，在数据量为NX=5 000，NY=1 600万时，CCS2017[25]方案的通信量为12.5 MB，求交时间为36 s。

2018年，Chen等[25]改进了CCS2017，提出了一个能抵抗恶意攻击的非平衡PSI方案(CCS2018[26])。与CCS2017[25]相比，该方案支持更高位(512 位和1 024 位)的Item(CCS2017支持32位)，改进了SIMD编码，在不增加加密参数的前提下，提升了效率和安全性，具体协议如图3所示。该方案较CCS2017在性能上做出很大改进(见表2)，在数据量为NX=224和NY= 5 535 时，CCS2017需要20 MB的通信量和40 s的在线计算时间，CCS2018通信量为16 MB，在线计算时间为22 s(单线程)，运行时间几乎缩短2倍和通信量节约27%。此外，当接受方R的数据集更小时，CCS2018的同态加密的参数会更小，能进行更少的密文计算，当接受方R的数据量为512 或1 024 时，该方案运行时间分别只需9.1 s和17.7 s，以及8.2 MB的通信量，较CCS2017快2～4倍，发送的数据量降低一半，同时支持任意长度的Item。

表2 方案对比

2.2 同态加密在隐匿查询中的应用

早期的信息检索是用户根据自己的需求生成查询请求并发送给存有数据库的服务器，然后服务器返回一个或多个结果给用户。但用户查询请求信息(如查询ID)是“暴露”的，针对这一需求，隐私信息检索(Private Information Retrieval，PIR)就应运而生，它允许用户从数据库检索时，能同时隐藏检索内容，比如保险机构(查询方)对投保人作信用评估时，需要向大数据机构中心查询所需用户信息(年龄、心率、BMI等)，大数据机构(被查询方)在不能获取保险机构查询对象的情况下，提供匹配的查询结果，且保险机构也无法获取除查询结果以外的信息。比较“直接简单”的方法就是下载整个数据库，服务器不得知用户的检索内容，这样明显是不切实际的。

自1995年，Chor等[27]提出了开创性的PIR方案后，为隐私计算的发展打下了坚实的理论基础，能应用在隐匿查询场景中，但也一直存在着诸多问题，比如通信复杂度和计算复杂度过高、服务器共谋等。

而将同态加密应用在PIR中是一大突破，早在2011年，BV11[7]中就提出了一个基于同态加密的单服务器(Single Server)PIR方案，且该方案使用了混合加密来降低同态加密的密文长度。近年来，随着同态加密技术的发展，基于同态加密的PIR方案在性能上逐渐高效，更具备使用价值。微软的Angel等[28]在2018年提出了一个基于全同态加密的隐私信息检索方案SealPIR，适用于算力强大的服务器，较低配置的用户客户端的场景，该方案对应的开源库为SEALPIR[29]。表3给出了协议的伪代码，查询方执行Query和Extract操作，被查询方运行Setup和Answer操作，其中DB是密态数据库(即通过同态加密后的数据库)，n是数据库大小，FHE是同态加密算法，idx是要查询的序号。

2018年，谷歌提出了基于同态加密的PSIR[30]协议，引入了具有“状态”信息的查询方，且该信息查询方可以自行更新，在无法恢复的情况下，由被查询方更新。PSIR协议原理如表4所示，首先查询方和被查询方分别初始化，查询方输入安全参数λ和可以存储记录数量c，输出初始状态st，被查询方输入安全参数λ和包含n条数据的密态数据库D=(B1,…,Bn)，不输出。然后，查询方输入查询索引q∈n和当前状态st，基于加密执行PSIR.Query，将输出Query发送给被查询方，更新状态为st。被查询方将接收到的Query作为输入，和密态数据库D进行同态计算，并将结果返回给查询方；最后查询方进行Extract操作，对结果解密。查询方和被查询方执行PSIR.UpdateState更新各自的状态。

表4 PSIR协议框架

试验结果表明，PSIR[30]具有较大的效率优势：数据库大小在100 k～1.288 M范围内，总体性能比SEALPIR[28]高；与SEALPIR相比，使用Seal库加密的PSIR(SealPSIR)，被查询方速度至少提升4.5倍，使用Paillier加密的PSIR(PaillierPSIR)，在线带宽至少降低5～10倍，总带宽降低1.3～4倍。

2.3 同态加密在多方计算中的应用

为了解决多方计算场景中云端数据的安全性，数据提供方通常是先将数据加密后上传到中心代理服务器上，基于密文进行数据的密态计算。

图4给出一个基于同态加密的金融机构数据共享方案[31]。首先，金融认证中心生成身份凭证码和数字签名密钥以及金融秘钥管理中心生成同态密钥分配给各个机构，然后各个机构加密自己的数据信息提交给信贷统计中心，之后信贷统计中心对数据验签后进行密态计算。具体而言，是将所有ID相同的记录(即相同用户)求和，然后将计算结果返回给金融机构，最后各个机构对结果验签，解密得到所需的共享数据。

这种通过将多方数据汇总到中心代理计算服务器上然后利用同态加密进行密态计算的方法，既能保证数据安全性又实现了各方所需计算。除了上述应用于数据共享(统计)场景外，可以应用于多方的信息检索、联合计算、电子投票等诸多场景，具有较高的实用性。

2.4 同态加密在多方联合建模中的应用

多方联合建模的主要目标是在不泄露任何隐私的前提下，结合多方数据以提高模型效果。例如，医院之间可以联合诊断疾病，银行和保险公司可以联合进行反欺诈，电商之间可以联合从用户购买行为中学习模型从而改进推荐。将不同机构的数据在合规的前提下进行联合建模，将会获得更大收益。

同态加密应用在分布式联合建模场景时，对经过本地建模得到需要交互的中间态数据进行加密、传输，在密文上进行统计计算(见图5)。该架构能够同时保证输入数据的隐私性和计算结果的准确性，从而广泛应用于联邦学习的建模场景。

同态加密在联邦学习中的应用，多数采用安全聚合的方式。例如，在横向联邦学习建模过程中，利用加法同态加密(Additive Homomorphic Encryption，AHE)实现密文下的梯度聚合[32]，该方法适用于LWE、Paillier等同态加密机制，可视为一种参数聚合的基本方案。Zhang等[33]在此基础上，提出了一种梯度量化的方式，并对量化梯度进行批量编码再进行同态加密的操作，减少了加密次数和密文数量，从而提升了效率。谷歌的McMahan等[34]于2017年提出的联邦平均算法(Federated Averaging，Fed AVG)适用于所有有限加和形式的损失函数，其重点在于将各用户自己训练的权重整合起来进行平均，在不同参与方的数据集非独立同分布的情况下，可以用这一形式来融合模型。将AHE加入到Fed AVG算法中，可以为中间梯度信息提供安全保护。Liu等[35]应用AHE提出了一种安全的、基于特征的联邦迁移学习框架，可用于训练神经网络。

下面以实际业务应用中常见的纵向联邦逻辑回归(Logistic Regression，LR)算法和纵向极端梯度提升(eXtreme Gradient Boosting，XGBoost)算法为例，分别介绍基于同态加密以及同态加密与秘密共享(Secret Sharing，SS)融合的联合建模。

2.4.1 基于同态加密的联合建模

假设某地的A银行想要建立个人信用风险评估模型，为了改善模型表现与当地的一家B电商合作进行模型训练。两家的用户群体重叠较大而特征交集较小。设A银行持有特征xA和标签y，B电商持有特征xB，两方的样本已进行安全对齐。

可以采用逻辑回归建立风险评估建模，则基于Paillier同态的两方纵向LR建模流程如图6所示[36]。主要的实现机制是对模型建模过程的中间计算结果(如Loss、梯度等)，经过同态加密后在参与方之间交互和密态计算来完成建模任务。进一步地，可以将Paillier同态加密替换为满足加性同态加密的其他加密方案，如CKKS、OU等。也可对流程做适当推演，扩展到多方纵向LR建模。

还可以采用XGBoost进行模型训练，Secure Boost是2019年由Cheng等[37]提出的联邦学习典型算法，使用同态加密的方案进行纵向XGBoost的联邦建模。拥有标签的一方为发起方(A银行)，以及只拥有特征数据的服务方(B电商)。

基于同态加密的纵向XGBoost建模的核心在于改造节点分裂的过程。如图7所示，整个流程由发起方主导，大致包括：由发起方计算每个样本的一阶和二阶导数，并将其同态加密为[gi]和[hi]；将当前分裂结点的实例空间I={id1,…,idn}和对应的密文导数[gi],[hi]发送给服务方；服务方在本地枚举持有的特征fm及该特征的分桶信息idsetmn，其中m和n分别表示特征编号和分桶编号(图7中以m=2，n=k为示例)，使用同态加法计算分桶内的导数累加，并将所有潜在分裂点的导数累加得到的∑[gi],∑[hi]密文发给发起方；发起方解密得到明文的导数累加，采取XGBoost方法中的方式计算增益max(gain)，得到最优分裂结点信息argmax(gain)，包括特征分裂方、特征编号和分桶编号；发起方同步当前结点的最优分裂方，特征编号和分桶编号，最优分裂方记录上述信息，并将分裂记录ID和样本划分信息返回给发起方；发起方在对应结点记录分裂方和记录ID以便后续预测，并生成左右子结点；对子结点递归执行以上步骤2～6直至达到停止条件，计算叶结点权重。

2.4.2 基于同态加密与秘密共享融合的模型训练

在基于同态加密的纵向LR模型中，每次迭代都会有部分明文的中间信息暴露给其他方，即使在参与者都是半诚实的假设下，模型也存在着一定风险[38]。而基于秘密共享的纵向LR模型难以处理业务场景中存在的高维稀疏数据。为了解决上述问题，Chen等[39]2021年提出了一种基于同态加密和秘密共享融合的纵向LR方案，其中如何计算模型预测值y′=θx和逻辑函数是模型更新迭代的关键。算法的基本思想是，A和B在彼此间秘密共享模型，在训练过程中均为密文状态，直到训练结束才会恢复明文。同时，A和B各自保护自己的特征和标签隐私，训练时使用安全矩阵乘法协议来计算θx，并且用多项式来近似逻辑函数。然后，B方计算密文的预测值并使用同态加密域的秘密共享协议来进行共享，A和B计算误差份额和梯度份额，其中也应用到了两个基础协议。最后，基于梯度下降来更新各自的模型份额。在以上训练过程中，中间结果都是以同态加密或秘密共享的形式交互的，直至迭代结束后，才会恢复明文的模型。仍然以A银行与B电商为例，基于同态加密与秘密共享的两方纵向LR建模流程如图8所示。

同样，同态加密和秘密共享融合的框架也可实现纵向联邦XGBoost的建模[40]，在基于秘密共享实现的安全XGBoost算法的基础上，将同态加密应用于分桶累积这一步骤，以优化矩阵乘法带来的巨大通信量。

总的来说，同态加密计算和存储的开销较大，而通信量较少，仅应用同态加密的方案适用于算力充足的场景，能实现高效但有一定数据安全风险的模型训练。秘密分享的计算性能和安全性相对较好，但会存在大量的数据传输，在带宽巨大的步骤中引入同态加密来优化，以计算来换通信，即是二者结合的方案，平衡了效率和安全性。在实际应用中，为同时实现效率、安全、精确的目标，密码学技术通常不会单独使用，而是将几种技术结合起来以设计更具实用性的混合协议。

3 同态加密的发展与挑战

同态加密技术经过近几十年的发展，从最开始的半同态方案到全同态方案陆续提出，更好地满足不同应用场景的复杂计算需求，但由于计算资源开销太大，计算效率问题仍然是目前影响同态加密技术在实际应用场景中被采用的一个重要因素。半同态加密能够高效计算，并能支持无限次加法或乘法，目前在隐私计算技术方案中应用较为广泛，成为隐私计算的一个重要基础组件，可辅助完成多种隐私计算功能，例如隐私保护的数据聚合、秘密共享中乘法三元组生成、构造不经意传输协议等特定的隐私保护协议、门限签名、隐私集合求交等。但同时半同态加密因为只支持加法或乘法单一计算，较难实现复杂算法，应用面受限。某些场景虽然通过泰勒展开等方式逼近某个函数来实现复杂计算，但会造成计算精度的损失和计算效率的降低。而全同态加密能够同时支持无限次的加法和乘法，因而能够支持任意的函数更好满足多样性应用场景需求，但全同态加密目前的实现路径主要基于自举，普遍存在效率低的问题，使得全同态加密几乎无法在实际生产环境应用。近年来，学术界致力于研究从密码学层面提高同态加密的效率，例如针对全同态的自举效率问题，AlperinSheriff和Peikert[41]提出的利用对称群和置换矩阵构造快速自举一个比特的同态加密方案，Ducas和Micciancio[42]将该技术扩展到环上实现性能的进一步提升等。虽然目前通过算法优化，同态加密的性能有了很大的优化，但同态加密的计算复杂度仍然很高，与明文的操作仍有很大的性能差异，性能优化仍有很大的提升空间。

与此同时，在产业界除了通过秘密学技术的优化来提升同态加密的性能，也在尝试通过与硬件结合的方式进行加速，以尽快提升同态加密在不同应用场景的可用性。同态加密通过密码学技术以密文的方式进行计算，不可避免地引入大量的计算开销，面对大数据量的应用场景，传统的CPU的计算能力难以满足实际应用的高性能要求，而FPGA是可以根据需求对底层电路结构进行设计更新的芯片，通过使用FPGA内部逻辑资源构建计算电路，例化大量计算引擎，可以提高计算并发度，实现指定算法的加速计算。目前，产业界已经研究基于FPGA的同态加密加速方案来大幅度提高计算效率，并已取得显著成果，能够提升5倍以上的同态加密计算性能。

4 结束语

随着近年来国内外对数据安全和隐私保护的需求越来越高，同态加密技术不断优化和突破，开始走向商用阶段，在云计算和隐私计算等场景中被逐步应用。同态加密实现密文间的多种计算功能，即先计算后解密得到的结果可以等价于先解密后计算结果，这个特性对于保护敏感数据跨域计算过程的安全具有重要意义。同态加密可适用于金融、医疗、政务等跨机构间的联合查询、联合统计、联合建模、联合预测等多种落地场景。同态加密应用过程可单独使用进行集中式代理计算、分布式的多方联合统计等，也可应用于联邦学习、隐匿查询、安全求交等技术方案作为一个底层支撑密码学技术组件，满足更广泛的多样性应用需求，扩展到更大、更复杂的实际业务场景范围。

目前，同态加密技术的研究重点主要在于性能提升方面：通过密码算法的优化提升同态加密的性能，打破同态加密技术的性能瓶颈；研究软硬结合的性能优化方案，以GPU、FPGA、ASIC等硬件技术来推动同态加密性能的提升，快速提高同态加密的实际业务可用性；通过对隐私计算方案的流程优化，对复杂计算进行拆分，融合使用半同态和全同态技术，提升整体运行性能。

同态加密技术可以实现对密文的计算，在隐私计算流程可以减少通信代价，也可以密态转移计算任务，可通过代理计算等方式平衡各方的计算代价；同态加密技术只有私钥持有方能获知最后的结果，可以提高结果的安全性。由于同态加密在计算复杂性、通信复杂性与安全性上的优势，越来越多的学术界和产业界的力量都投入到其理论和应用的探索中，随着性能的进一步优化提升，必将有着更广阔的应用前景。