隱私保護計算技術指南-2
這部分介紹統(tǒng)計分析的隱私目標籽腕。界定清楚了目標,就能夠準確知道使用哪一種技術,從而確定技術范疇崖飘。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?隱私威脅和隱私增強技術的作用
通常在有關隱私的一般性討論中席镀,信息安全從業(yè)人員會使用如下原則:隱私保護是使得信息不會“泄漏”到授權訪問者的保護范圍之外匹中。所有隱私增強技術(PET)都部分解決了以下普遍問題:“對于輸入數據集敏感部分的數據分析會泄漏多少隱私?”愉昆。
泄漏可能是有意的(黑客职员,好奇的數據分析人員)或無意的(分析期間出乎意料的敏感結果)。無論如何跛溉,隱私增強技術都可以減少此類泄漏的風險焊切。
重要的是要指出,我們描述的任何一種隱私增強技術芳室,實際上沒有一種已知的技術专肪,可以為隱私問題提供完整的解決方案。
這主要是因為這種模糊定義的目標可能根據上下文具有不同的合適解釋堪侯。需要了解他們各自的隱私定義之間的相互作用嚎尤。這種集成始于威脅建模階段,因為必須最終根據適用于每種技術的隱私定義的具體參數來設置隱私要求伍宦。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 部署隱私增強技術的關鍵方面
部署PET的關鍵方面是必須將它們部署在盡可能靠近數據所有者的位置芽死。最佳的隱私保證要求在將機密數據發(fā)布給第三方之前,數據所有者必須在本地使用PET次洼。
這可以用一個簡單的類比來解釋使用訪問控制关贵。通常,與數據打交道的組織部署基于角色的訪問控制(RBAC)卖毁,該訪問控制僅授予授權人員訪問數據的權限揖曾。
但是,這仍然假定組織本身具有對所有收集的數據的完全訪問權限亥啦。因此炭剪,組織對所有數據負責。但是翔脱,有了正確部署的隱私增強技術奴拦,組織將能夠在沒有完全訪問權限的情況下執(zhí)行其職責,從而減少責任届吁。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?統(tǒng)計信息的隱私目標
在對以上兩個設置進行了一般性描述之后粱坤,我們使用下面的抽象說明隱私目標隶糕。如圖3所示,一個或多個輸入方將敏感數據提供給一個或多個進行統(tǒng)計分析的計算方站玄,從而為一個或多個結果方產生結果枚驻。
現在,我們介??紹三個自然的隱私目標株旷,這些目標自然地與文檔中稍后介紹的技術和隱私定義相關再登。這些目標應被視為一般指南,具體部署可能具有特定的隱私要求晾剖,需要仔細評估锉矢。
不過,理想情況下齿尽,應該以提供具體隱私保證的方式解決此類要求沽损,我們認為以下分類是很自然的該建模任務的起點。輸入隱私循头,輸出隱私和政策執(zhí)行的隱私目標是根據對隱私保護統(tǒng)計數據的研究改編而成的绵估。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 輸入隱私
輸入隱私意味著計算方無法訪問或獲取輸入方提供的任何輸入值,也不能在數據處理期間訪問中間值或統(tǒng)計結果(除非已專門選擇該值進行公開)卡骂。
請注意国裳,即使計算方無法直接訪問這些值,也可以通過使用諸如邊信道攻擊之類的技術來推導它們全跨。因此缝左,輸入私密性需要防止3種所有此類機制的保護,而這三種機制都將允許計算方推導輸入浓若。
輸入隱私非趁焐迹可取,因為它可以顯著減少對輸入數據庫具有完全訪問權限的涉眾數量挪钓。從而減少了責任并簡化了對數據保護法規(guī)的遵守是越。輸入隱私的概念在相互不信任的一方參與計算其私有數據的情況下特別相關,但是任何一方學習超過其規(guī)定的輸出被視為違反隱私的情況诵原。
再次參考上面的掃描儀數據示例英妓,零售商將要求設置在適當位置以收集和計算價格指數的系統(tǒng)將為輸入價格提供輸入隱私權挽放。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 輸出隱私
隱私保護統(tǒng)計分析系統(tǒng)在保證輸出結果不包含輸入方所允許的可識別輸入數據的范圍內實施輸出隱私绍赛。輸出隱私解決了測量和控制計算結果中存在的泄漏量的問題,而與計算本身是否提供輸入隱私無關辑畦。
例如吗蚌,在分析多方提供的分布式數據庫以生成數據的統(tǒng)計模型的情況下,輸出隱私與以下問題有關:可以從已發(fā)布的數據庫中恢復多少有關原始數據的信息纯出。統(tǒng)計模型在模型的計算過程中各方之間交換的消息不會泄漏多少信息蚯妇,因為后者與輸入隱私有關敷燎。
在數據發(fā)布中,例如箩言,在NSO希望向公眾提供數據庫而又不泄露用于導出發(fā)布數據的任何相關輸入數據的情況下硬贯,強烈要求輸出隱私。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 政策執(zhí)行
如果隱私保護統(tǒng)計分析系統(tǒng)具有供輸入方執(zhí)行積極控制的機制陨收,則該策略執(zhí)行策略執(zhí)行饭豹,該控制可以由計算方對敏感輸入執(zhí)行,并且可以將結果發(fā)布給結果方务漩。
這種積極控制通常以正式語言來表達拄衰,這種語言可以識別參與者及其參與規(guī)則。策略決策點將這些規(guī)則處理成機器可用的形式饵骨,而策略執(zhí)行點則提供了確保遵循規(guī)則的技術手段翘悉。
因此,策略執(zhí)行可以在保留隱私的統(tǒng)計分析系統(tǒng)中描述然后自動確保輸入和輸出的隱私居触,從而減少了對經典但效果不佳的方法(如數據使用合同中的保密協(xié)議和保密條款)的依賴妖混。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 結合多個隱私目標
實際的統(tǒng)計系統(tǒng)很可能會結合多種技術來涵蓋多個隱私目標。有關如何覆蓋圖3所示的整個系統(tǒng)的示例饼煞,請參見圖4源葫。
輸入隱私包括源數據,中間和最終處理結果砖瞧。輸入方負責保護自己的輸入數據息堂,但是一旦傳輸了數據,接收方就必須繼續(xù)對其進行保護块促。輸出隱私是統(tǒng)計產品的財產荣堰。即使計算方負責確保計算結果具有某種形式的輸出隱私,但風險幾乎總是與結果方學習過多有關竭翠。
策略執(zhí)行覆蓋整個系統(tǒng)-輸入方可能會在授予數據之前要求對處理進行控制振坚,結果各方可能希望遠程審核處理的正確性。提供此類控制的責任在于計算方斋扰,在我們的情況下渡八,計算方是國家統(tǒng)計局。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 統(tǒng)計信息的隱私增強技術
我們考慮以下技術:
1)安全多方計算(縮寫為MPC)
2)(完全)同態(tài)加密(縮寫為HE或FHE)
3)受信任的執(zhí)行環(huán)境(縮寫為TEE)
4)差分隱私
以上文章以及電子資源传货,都可以在陳智罡博士的主頁上獲得:
https://zhigang-chen.github.io/index.html
微信公眾號:btc201800
國內第一個聚焦于全同態(tài)加密與區(qū)塊鏈的公眾號
陳智罡博士的個人主頁
https://zhigang-chen.github.io/index.html
全同態(tài)加密資源匯總
https://zhigang-chen.github.io/FHE%20Resources.html
全同態(tài)加密與機器學習論文列表:https://zhigang-chen.github.io/FHE%20and%20Machine%20Learning%20References.html
區(qū)塊鏈與密碼學音頻節(jié)目
https://www.ximalaya.com/zhubo/42927243/
————————————————
版權聲明:本文為CSDN博主「格鏈致知」的原創(chuàng)文章屎鳍,遵循 CC 4.0 BY-SA 版權協(xié)議,轉載請附上原文出處鏈接及本聲明问裕。
原文鏈接:https://blog.csdn.net/btc201800/article/details/104034933
