本文研究批量私有信息检索（BatchPIR），这是私有信息检索（PIR）的一种变体，允许客户端在一次查询中从服务器检索多个条目。BatchPIR 更贴合实际应用场景，有望在摊销成本上显著优于标准 PIR。然而，现有 BatchPIR 方案在计算效率上已有改进，但在通信效率上始终没有突破。本文利用向量化同态加密技术，提出了首个在多种数据库配置下同时兼具计算与通信效率的 BatchPIR 协议。具体地，针对包含 100 万条记录、每条 256 字节的数据库，检索 256 条记录时，该方案的通信成本比当前最优方案降低 7.5 倍至 98.5 倍。论文详细介绍了协议设计、安全性证明以及实验评估，展示了其在实际部署中的潜力。主要贡献包括：1) 首次实现 BatchPIR 的通信效率大幅提升；2) 通过向量化同态加密技术优化批处理操作；3) 给出多项实验数据验证方案在不同参数下的性能优势。本文适合对隐私保护数据检索、同态加密应用及安全协议设计感兴趣的研究人员和工程师阅读。

本文提出 Jaguar，一种用于加速私有卷积神经网络（CNN）推理的新型混合同态加密/两方安全计算（HE/2PC）系统。现有混合协议的性能瓶颈主要来自两个方面：一是使用素数模数同态算术进行卷积操作，这需要基于NTT的多项式乘法，开销较大；二是ReLU激活函数前的精度管理流程要求将比特宽度加倍，然后调用单独的截断协议，增加了通信和计算成本。Jaguar 基于一个核心设计选择——使用2的幂次方密文环——来解决这两个问题。首先，该设计使得 SPA-Conv（标量多项式累积卷积）成为可能，这是一种系数域卷积核，用标量-多项式累积替代了以NTT为中心的多项式乘法，从而降低卷积计算复杂度。其次，通过本地右移位实现精确的密文端截断，使得ReLU可以直接在目标定点精度下运行，无需后续的截断协议。尽管使用了2的幂次方环，但在客户端解密时，NTT仍然有用，用于处理单个多项式乘法。为此，Jaguar 引入了辅助NTT素数，在保持2的幂次方协议基础的同时，使解密复杂度仍为 O(N log N)。实验表明，在禁用AVX的ImageNet规模ResNet-18、ResNet-50和MobileNetV2上，与Cheetah相比，端到端延迟降低2.07-3.72倍，通信量降低1.16-1.76倍；与Rhombus相比，延迟降低2.16-3.36倍。适合对隐私保护机器学习、同态加密加速、安全推理系统设计感兴趣的研究者和工程师阅读。

全同态加密（FHE）允许在不解密的情况下对加密数据进行计算，为数据隐私提供了强力保障，但代价是巨大的计算和内存开销。以往的研究要么从密码学/算法层面优化FHE性能，要么通过硬件加速器提升效率，但这两个方向在很大程度上是独立发展的，未能充分利用硬件能力。本文提出WHET，一种内存中心、架构感知的优化框架，旨在将密码学和算法构造与FHE加速器架构更好地对齐。WHET首先识别出传统FHE构造是造成过大工作集和繁重片外内存流量的主要原因。为此，它提出了三种加速器专用技术：细粒度的系数到槽转换、明文压缩和中间模数提升，通过最小化临时密文和明文加载来减少片上数据占用。在这些技术的基础上，WHET进一步观察到了提升片上内存效率的额外机会，因此引入了轻量级的架构改进，包括专用缓冲区和功能单元扩展。实验表明，WHET在面积效率上相比最先进的FHE加速器实现了1.38-8.74倍的性能提升，并首次实现了亚毫秒级的CKKS自举操作。该工作为FHE的实际部署提供了重要的性能突破。

本文针对隐私保护的个性化联邦学习（PFL）中应用CKKS同态加密方案时缺乏系统参数选择指导的问题，提出了pFedCKKS框架。该框架将CKKS集成到PFL中，并首次提供了参数选择的系统指南。研究指出，在128位安全级别下，CKKS参数约束可简化为选择两个关键值：内部密文素数和外部密文素数。通过使用Flower框架和TenSEAL库实现，并在FEMNIST、CelebA和Sentiment140数据集上，结合FedFinetune、Ditto和FedPer三种PFL算法进行评估。实验揭示了精度与计算/通信成本之间的经验权衡，从而为实际部署pFedCKKS时选择适当的CKKS参数以平衡效率和准确性提供了具体指导。该工作对于希望使用同态加密保护隐私的PFL实践者具有重要参考价值。

该论文提出了一种基于CKKS全同态加密（FHE）的端到端加密控制管道，用于解决多智能体云协调中的隐私与协作冲突。传统方法需要将智能体状态明文发送给中央服务器，存在隐私泄露风险。FHE理论上允许对密文直接计算，但算术约束苛刻，需重新设计控制环路的每个阶段。本文创新性地将感知、状态估计、状态传播和共识控制全部在CKKS加密域中实现，仅使用加法、乘法和循环旋转操作。为降低FHE计算开销，采用稳态卡尔曼增益替代在线矩阵求解，并通过对角方法应用图拉普拉斯算子，其代价正比于非零循环对角数，可统一处理环、环面和完全图拓扑。论文利用分离原理解耦控制器与观测器误差动力学，推导出周期性自举界，将CKKS自举视为脉冲扰动，从而得到稳态误差球，其大小由自举精度和闭环谱半径决定，为隐私-精度权衡提供了直接设计方程。在多智能体编队控制场景中验证了该管道，证明在加密条件下系统稳定跟踪误差有界，性能可行。

本文提出了一种基于全同态加密（FHE）的高分辨率图像隐私保护梯度计算方法。随着隐私保护需求日益增长，同态加密成为在加密数据上直接进行操作的核心技术。然而，现有工作多局限于低分辨率图像，高分辨率图像处理面临计算开销剧增的挑战。为此，作者提出了一种多密文隐私保护框架，适用于半诚实模型下的加密和计算。核心思路是将大尺寸图像分割为多个子图像，从而保持较小的FHE参数并减小密钥尺寸；通过并行处理子图像密文和引入新的自举放置策略，显著降低加密开销。在服务器端，利用重复打包技术优化大图像卷积运算，并实现了基于FHE的Sobel算子计算。针对Sobel算子梯度方向计算，提出了一种基于符号函数的倒数函数多项式逼近方法，该方法可推广至其他FHE协议。实验证明了方案在效率和精度上的有效性。

本文提出了GALA（Greedy ComputAtion for Linear Algebra in Privacy-Preserved Neural Networks），旨在优化隐私保护神经网络中基于同态加密（HE）的线性计算效率。在现有的隐私保护机器学习服务（MLaaS）框架中，如GAZELLE、DELPHI和CrypTFlow2，HE线性计算占用了绝大部分计算时间，其中置换（Perm）操作是点积和卷积最耗时的部分。GALA通过以下两项创新减少置换操作：1）采用行优先权重矩阵编码，并结合GC非线性计算所需的共享生成，减少点积中的置换次数；2）设计先加法后置换的核分组方法，减少卷积中的置换操作。实验表明，GALA在不同数据维度下可将点积速度提升高达700倍，卷积计算速度提升14倍；集成到GAZELLE后，总体运行时间加速2.5至8.3倍。GALA可作为即插即用模块，显著提升现有隐私保护神经网络框架的效率。

该论文提出了Hyena，一个针对同态加密（HE）推理的硬件/软件协同优化框架。同态加密允许在加密数据上进行计算，但计算开销巨大，是实际部署的主要障碍。Hyena采用混合HE与多方计算（MPC）方案，相比纯全同态加密（FHE）更实用。论文从三个层面提出创新：一是新的数据打包技术，减少数据移动；二是新的数据流，增加数据复用并减少昂贵的HE操作（如旋转、密钥切换、NTT转换）；三是在一个平衡的流水线架构上评估Hyena，该架构高效处理上述原语。实验结果表明，与广泛使用的Channel-packing相比，Hyena实现了38倍的性能提升和162倍的能耗降低，在163 mm²的加速器上以16.75 W功耗实现了11.4 ms的ResNet20推理端到端延迟。该工作主要面向硬件架构和隐私计算研究人员，展示了通过创新的打包和数据流设计，可以显著降低HE推理的开销。

本文提出了一种基于多密钥同态加密（MK-HE）的隐私增强零阶联邦学习协议，适用于无线信道环境。传统联邦学习中的同态加密方法主要依赖单密钥方案，需要信道估计或预均衡来补偿无线衰落，且单密钥方案易受诚实但好奇的客户端攻击——一旦某个客户端密钥泄露，整个网络的安全性将受损。多密钥HE方案为每个设备分配独立密钥，提供更强的客户端级安全性。然而，多密钥HE在无线信道上的聚合面临挑战：不同用户的密文在信道上叠加会产生干扰。本文设计了一个四阶段协议，利用xMK-CKKS（一种知名的多密钥HE方案）在共享无线信道上实现无信道估计的聚合。协议通过重传部分公钥和密文利用相同信道实现，使得解密过程中占主导的大模数加密项代数相消。该协议与零阶联邦学习结合，适用于慢变视距主导信道，每个设备每轮仅传输一个加密标量，通信和加密开销与模型维度无关。理论证明，解码后的加密噪声将收敛率保持在O(1/√K)水平，直至可忽略的噪声基底。协议对诚实但好奇的服务器与最多N-1个客户端合谋的场景安全。MNIST数据集上的数值实验验证了理论分析。

本文首次对全同态加密（FHE）下的机器学习训练进行了理论收敛性分析，并提出了一种结合差分隐私（DP）的训练算法，专为加密计算设计。该方法通过使用激活函数和损失函数的多项式近似（FHE兼容所必需）来证明近似梯度下降的收敛性，从而改进了标准差分隐私梯度下降（DP-GD）的计算效率，同时实现可比的效用。为了在下游任务中保护隐私，该算法在不依赖昂贵的每个样本梯度裁剪的情况下集成了差分隐私，实现了可扩展的加密学习。此外，本文还提供了数据无关的超参数选择和多项式近似的理论指导策略，这些成果可独立应用。总体而言，这些贡献推进了在敏感数据上实现高效、私有且安全的机器学习的可行性。

本文针对同态加密（HE）无法直接支持非线性激活函数（如ReLU）的问题，提出了一种基于核函数的ReLU近似方法，以支持隐私保护的深度学习模型，特别是大语言模型（LLM）。由于HE仅支持加法和乘法，非线性函数在加密域中无法直接计算，而ReLU在LLM中广泛使用，成为隐私保护NLP的主要障碍。作者利用Jackson定理，设计了一个光滑的核函数来近似ReLU，并通过二阶多项式拟合，实现了低乘法深度，从而兼容HE约束。该方法直接在预训练LLM的token嵌入上进行训练和评估，并在多种场景下测试：从模拟和分词数据到深度学习和Transformer模型。实验结果表明，该近似方法具有较高的保真度，适用于安全隐私保护的推理任务。本文为构建可部署的同态加密兼容LLM提供了关键步骤，适合对隐私保护机器学习、同态加密和NLP安全的从业者阅读。

本文研究了在不平衡设置下（即一方集合远大于另一方）的带标签私有集合交集（Labeled PSI）协议。现有工作（Chen等，CCS'17, CCS'18）已证明全同态加密（FHE）可用于构建高效的不平衡PSI协议。本文在以下方面实现了多项算法改进：首先，计算复杂度从线性降低至亚线性，仅需O(√|X|)次同态乘法，其中|X|为大集合大小；其次，通信复杂度也实现了亚线性。具体实验结果表明，当大集合大小为2^28、小集合为2048项时，在线计算时间减少71%以上，通信量减少63%以上；当大集合为2^24、小集合为4096项时，在线计算时间减少27%，通信量减少63%。在与其它前沿不平衡PSI协议对比中，本文协议在|X|≥2^24时总通信复杂度最优。对于带标签PSI，当大集合为2^20、小集合为256项且标签长度为288字节时，在线计算时间减少67%，通信量减少34%。此外，作者还展示了一种变体，可实现与|X|几乎无关的恒定通信量，但计算复杂度在当前CPU上过高。例如，将2^10项集合与2^22、2^24或2^26项集合求交集时，在线通信仅需0.76 MB，相比Chen等（CCS'18）提升24倍以上。本文的核心贡献在于理论与实际效率的双重提升，适用于隐私保护数据共享、医疗数据匹配、广告定向等需要保护集合隐私的场景。

本文针对 TFHE（环面全同态加密）方案中可编程自举（PBS）的域大小受字大小限制（确保数据安全性）的问题，提出了一种基于噪声校准的新方法，以突破这一限制并支持更大域上的函数同态求值。现有方法如垂直打包技术（Chillotti et al., 2020）依赖于电路自举（计算开销高），而树基方法（Guimarães et al., 2021）则需调用 O(2^W) 次 PBS（W 为位宽），复杂度极高。本文提出的噪声校准技术通过精细控制 PBS 过程中的噪声增长，在不牺牲安全性的前提下允许使用更大的字大小，从而扩展了可编程自举的域范围。实验结果表明，该方法相比现有方案显著降低了计算开销，并保持了 TFHE 的低计算成本和简单设置优势。该研究为同态加密在实际隐私计算场景中的应用提供了更高效的大函数评估方案，对于需要处理较大数据类型的安全计算任务（如加密数据库查询、机器学习推理）具有重要意义。

该论文提出了一种基于同态加密的状态空间模型（HSSM），用于在加密数据上执行序列推理任务。全同态加密（FHE）在序列模型中的应用面临旋转操作、密文乘积、密文物化、乘法深度和自举等成本问题。论文的核心创新是引入“公钥衰减”（public-decay）机制：将携带状态通过密文-明文公共衰减进行更新，而密文-密文乘法仅发生在局部写入路径上，从而在整个序列中保持固定加密状态。工作流程将客户端与服务器端分离：客户端负责分词、冻结的fastText词嵌入、投影、裁剪、加密、解密和阈值化；服务器端对边界投影特征执行加密评估。在完整的Rotten Tomatoes和SST-2验证集上，加密HSSM路径与明文分类完全匹配，准确率分别达到0.7505和0.7420。与同等工作负载下使用HE友好型多项式注意力相比，HSSM在保持或超越全序列任务质量的同时，运行速度快约5倍。在L40S上的操作级性能对比显示，HSSM比缓存最终令牌的多项式注意力延迟低1.34-1.62倍，比全序列多项式注意力延迟低30-258倍，且加密状态占用空间更小。T=16/32的比较器实验表明，在深度8/环大小32768参数下，带有加密公共线性输入和Q/K/V投影的HSSM成功运行，而投影注意力需要深度10/环大小65536。在OpenFHE/FIDESlib上的T=8跟踪测试显示，两个后端均在最终层级3和噪声尺度2完成。这些结果表明，公钥衰减机制是一种实用的FHE协同设计杠杆，可用于基于边界投影特征的加密序列推理。该研究适合对同态加密、隐私保护机器学习、序列模型效率优化感兴趣的学者和工程师。

本文提出了一种突破性的对称全同态加密（FHE）方案，旨在解决传统FHE方案中计算开销大和噪声管理复杂的核心瓶颈。现有FHE方案通常基于非对称或层次式结构，乘法操作会导致噪声指数级增长，需要昂贵的自举（bootstrapping）过程来重置噪声，严重影响性能。作者从模块化加密基础c = mk + rp出发（其中m为明文，k为密钥，r为随机数，p为公共参数），该结构天然支持加法同态，但乘法时密钥k的指数会迅速积累。为此，论文引入了一种明文碎片化与动态位置移位（Dynamic Position Shifting）机制：将明文划分为多个片段，分别放置在不同的逻辑位置上，从而在乘法操作中利用位置差异来避免密钥指数直接相乘。核心创新在于双调节系统：指数调节器（t_i）将片段乘积的指数重定向到新的目标位置，从而阻止密钥指数累积；系数调节器（d_i）对结果标量进行归一化，确保结果正确性。安全方面，论文设计了指数与系数之间的相互依赖绑定机制，使得攻击者难以通过代数操作或替换攻击恢复密钥。实验部分（若存在）预期证明了该方案在同等安全强度下显著降低了计算复杂度，并实现了无需自举的乘法运算。该工作为高效对称FHE的设计提供了全新的理论框架，尤其适用于对安全性要求较高的云计算、数据隐私保护等场景。由于仅基于摘要，具体实验细节和性能数据尚待详细评估。

全同态加密（FHE）在规模化部署中面临巨大的计算开销。虽然专用硬件加速器（如Google TPU）可以提供帮助，但将复杂的密码学内核映射到此类架构上仍然具有挑战性。高效执行需要对基于脉动阵列的矩阵乘法单元（MXU）和向量处理单元（VPU）进行协同优化，并精心协调向量寄存器文件间的数据移动。现有编译器栈往往抽象了底层硬件利用率，迫使开发者采用手动试错过程，导致执行碎片化和资源未充分利用。为了加速这一开发过程，本文使用AlphaEvolve来自动探索硬件感知的密码学内核优化。作者将优化问题形式化为一个进化搜索问题，利用AlphaEvolve提供的闭环系统，该系统结合了LLM驱动的代码生成。他们利用来自硬件执行的真实反馈和严格的正确性测试来指导进化过程。在Google Cloud TPUv5e上，针对TFHE（Jaxite）和CKKS（CROSS）两种FHE方案的原语进行评估，AlphaEvolve在24小时的自动探索中，发现了实现级别的优化，使TFHE引导程序延迟相比人工设计的最先进方案提升了2.5倍，CKKS旋转和乘法延迟分别提升了1.31倍和1.18倍。这些结果表明，AlphaEvolve能够帮助研究人员在密码学、编译器和硬件加速器之间进行优化权衡。

本文研究网络控制系统（NCS）中加密控制器对隐密攻击（covert attacks）的抵抗能力。加密控制通常利用同态加密（HE）将控制器外包给第三方平台（如云服务）以保护数据机密性。近期研究试图通过修改HE方案来同时抵御完整性攻击，但本文证明，公钥HE方案固有的可塑性问题使得仅靠HE无法解决完整性安全问题。因为加密控制所依赖的同态性既可被善用也可被滥用，攻击者即使不知道未加密模型，也能在加密控制实施的情况下成功发动隐密攻击。然而，通过互补技术仍能实现对此类攻击的弹性。文章提出一种基于可验证计算的方法，与现代同态密码系统集成，具有渐进安全性且不增加通信开销。该工作从系统理论角度揭示了加密控制的局限性，并给出了可行的解决方案。适合研究网络物理系统安全、加密计算和自动化控制理论的研究人员和工程师阅读。

本文针对同态加密（HE）在实际处理-内存（PIM）系统上的运行特性进行了全面分析。同态加密允许对密文直接计算，为不可信计算环境提供强隐私保障，但其高计算复杂度、大密文尺寸和大量数据移动限制了实际部署。传统的处理器中心架构（CPU、GPU、ASIC）在处理HE工作负载时面临根本性瓶颈，因为密文大、数据局部性低，且重线性化和自举等操作频繁访问大型辅助元数据。处理-内存（PIM）技术通过在内存附近或内部进行计算，有望缓解这些瓶颈。然而，先前针对HE的PIM方案要么未针对真实PIM系统，要么只覆盖狭窄操作集。本文在真实的通用PIM系统UPMEM上实现了新兴应用（数据库、机器学习）所需的完整HE内核集，评估了性能和可扩展性，并与CPU和GPU基线进行了对比，讨论了对未来PIM硬件的影响。研究发现了四个主要结论：（1）基于HE的应用在不同执行阶段表现出不同瓶颈：某些内核因模运算成为计算密集型，另一些因大密文和中间数据成为内存密集型。这些瓶颈因有限的核心计算能力和存储体容量而加剧，导致频繁的数据移动。（2）主要的计算瓶颈是缺乏原生的64位模整数乘法，这是HE的关键原语。（3）有限的存储体内存容量是第二大瓶颈，因为HE密文和辅助元数据无法容纳，需要跨存储体移动。（4）尽管存在这些限制，当配备原生模乘和高效的PIM间数据移动时，PIM可以成为最先进CPU和GPU系统的可行替代方案。本文通过真实系统测量揭示了HE在PIM上的性能特征，为未来PIM硬件设计提供了重要指导。

本文提出了一种名为 ThorPIR 的新型单服务器私有信息检索（PIR）协议，专注于客户端预处理模型。在该模型中，客户端和服务器首先执行联合预处理阶段，之后客户端可以以亚线性时间从数据库中检索元素。现有构造存在两种范式：一是离线阶段需要线性带宽（即客户端下载整个数据库），二是离线阶段为亚线性带宽但要求服务器使用全同态加密（FHE）计算深度为 Ω(λN) 的电路。ThorPIR 通过引入同态 Thorp 洗牌（Homomorphic Thorp Shuffles）技术，结合客户端预处理，实现了亚线性带宽的离线阶段，同时避免了服务器端的大深度 FHE 计算。具体而言，客户端在预处理阶段生成一个打乱的数据库副本，随后通过同态操作进行有效检索。实验表明，ThorPIR 在通信和计算开销上优于现有方案，特别适用于大型数据库场景。该工作为实用化单服务器 PIR 提供了新思路，降低了预处理复杂度。

本文针对全同态加密（FHE）中的引导（bootstrapping）效率问题展开研究。现有的FHE方案分为两类：一类利用SIMD（单指令多数据）技术并行处理多个消息，但安全性依赖于超多项式近似因子的格问题假设，安全性假设较强；另一类是轻量级FHE方案，引导速度快但缺乏SIMD能力，安全性基于多项式近似因子的格问题，假设更弱。Micciancio和Sorrell（ICALP'18）提出了一种摊销引导方法，能够同时处理多条消息，每条消息达到次线性时间复杂度，并允许基于多项式近似因子的格问题构建FHE。本文在Micciancio和Sorrell工作的基础上，进一步提出了一种快速摊销引导方案，该方案具有更小的密钥规模和多项式级别的噪声开销。具体地，作者通过优化密钥编码和引导过程中的噪声管理，实现了在保持安全假设较弱（多项式近似因子）的前提下，显著降低每条消息的平均计算成本。实验表明，该方案在引导速度、密钥尺寸和噪声增长方面均优于现有同类方案，为构建实用化的基于弱假设的全同态加密系统迈出了重要一步。本文适合对同态加密、安全计算以及格密码学理论感兴趣的研究者和工程师阅读。

检索增强生成（RAG）通过引入外部知识显著提升了大型语言模型（LLM）的能力，但其在云环境中的部署面临敏感数据的隐私泄露风险。现有隐私保护方案往往因噪声注入而牺牲检索质量，或仅提供部分加密。本文提出PRAG，一种端到端隐私保护RAG系统，在保持云托管RAG可扩展性的同时，实现文档和查询的端到端机密性。PRAG采用双模式架构：非交互式PRAG-I利用同态友好近似实现低延迟检索，而交互式PRAG-II借助客户端辅助达到与非隐私RAG相当的精度。为确保语义排序的鲁棒性，引入了操作误差估计（OEE）机制，以稳定对抗同态噪声的排序。在大型数据集上的实验表明，PRAG在保持端到端机密性的同时，实现了有竞争力的召回率（72.45%-74.45%）、实用的检索延迟以及对图重构攻击的强韧性。该工作证实了大规模安全高性能RAG的可行性。

合规性检查是过程挖掘的核心操作之一，旨在识别过程模型与事件日志之间的差异。过程模型代表预期的行为，而事件日志则记录了信息系统中的实际过程行为。传统上，执行合规性检查的业务分析师可以同时访问过程模型和事件日志。然而，在某些场景下，日志所有者可能希望保护日志中的关键或敏感信息，同时仍能检查其与另一方过程模型的合规性。本文提出了一种基于令牌回放算法和同态加密的安全合规性检查方法。该方法利用同态加密的性质，在加密日志数据上进行合规性计算，从而在不泄露原始日志内容的前提下得到合规性结果。作者使用合成日志进行了评估，结果表明该技术具有实用性。本研究主要面向过程挖掘、隐私保护及安全审计领域的研究人员与实践者。