? ? ? ?隱私計(jì)算、多方安全計(jì)算、聯(lián)邦學(xué)習(xí)等技術(shù)現(xiàn)在很火，但網(wǎng)上查的的資料要么太深看不懂，要么太淺搞不明白，要么太碎形不成體系，今天大魚就用業(yè)務(wù)的語(yǔ)言給你徹底講清楚。

? ? ? ?首先講一個(gè)百萬(wàn)富翁比財(cái)富的故事：

? ? ? ?兩個(gè)百萬(wàn)富翁街頭邂逅，他們都想炫一下富，比比誰(shuí)更有錢，但是出于隱私，都不想讓對(duì)方知道自己到底擁有多少財(cái)富，如何在不借助第三方的情況下，讓他們知道他們之間誰(shuí)更有錢？

? ? ? ?這是幾十年前多方安全技術(shù)（隱私計(jì)算的一種技術(shù)）要解決的經(jīng)典問(wèn)題。你也許馬上就會(huì)想到，如果能在不知道對(duì)方數(shù)據(jù)的情況下進(jìn)行數(shù)據(jù)的融合安全計(jì)算，從而獲得一個(gè)有價(jià)值的結(jié)論，這不就是數(shù)據(jù)領(lǐng)域夢(mèng)寐以求的東西嗎？

? ? ? ?的確是這樣，如果說(shuō)深度學(xué)習(xí)的出現(xiàn)讓AI煥發(fā)新生，那么數(shù)據(jù)流通和共享帶來(lái)的巨大商機(jī)讓隱私計(jì)算煥發(fā)出新生。

? ? ? ?與傳統(tǒng)的資本、土地、勞動(dòng)、技術(shù)等一樣，數(shù)據(jù)已是生產(chǎn)要素之一，與算力、算法組合，成為一種新型社會(huì)生產(chǎn)力，越來(lái)越多的業(yè)務(wù)場(chǎng)景需要多方數(shù)據(jù)的流通和共享。

? ? ? ?在金融領(lǐng)域，銀行保險(xiǎn)機(jī)構(gòu)借助內(nèi)外部數(shù)據(jù)進(jìn)行聯(lián)合建模，實(shí)現(xiàn)數(shù)字營(yíng)銷、精準(zhǔn)獲客、差異化定價(jià)、智慧風(fēng)控及反欺詐等。

? ? ? ?在醫(yī)療領(lǐng)域、醫(yī)藥企業(yè)、醫(yī)療機(jī)構(gòu)和保險(xiǎn)公司通過(guò)病例數(shù)據(jù)共享，形成聯(lián)合AI模型進(jìn)一步提高精準(zhǔn)度。

? ? ? ?在政務(wù)、能源、交通、環(huán)保、工業(yè)和電信等具備大量數(shù)據(jù)基礎(chǔ)的領(lǐng)域，數(shù)據(jù)共享和利用已經(jīng)成為規(guī)劃和落地應(yīng)用必不可少的部分。

? ? ? ?隱私計(jì)算使企業(yè)在數(shù)據(jù)合規(guī)要求前提下，能夠充分調(diào)動(dòng)數(shù)據(jù)資源擁有方、使用方、運(yùn)營(yíng)方、監(jiān)管方各方主體積極性，實(shí)現(xiàn)數(shù)據(jù)資源海量匯聚、交易和流通，從而盤活第三方機(jī)構(gòu)數(shù)據(jù)資源價(jià)值，促進(jìn)數(shù)據(jù)要素的市場(chǎng)化配置，在《國(guó)家數(shù)據(jù)安全法》頒布的當(dāng)下，隱私計(jì)算更凸顯價(jià)值。

? ? ? ?隱私計(jì)算其實(shí)是一堆“數(shù)據(jù)可用不可見”技術(shù)集合，包括多方安全計(jì)算、聯(lián)邦學(xué)習(xí)、機(jī)密計(jì)算、差分隱私及數(shù)據(jù)脫敏等等，這些技術(shù)既有聯(lián)系又有區(qū)別，既有優(yōu)勢(shì)也有劣勢(shì)，如果你不明覺厲或者一知半解，一定要讀一讀這篇文章。

? ? ? ?一、隱私計(jì)算

? ? ? ?隱私計(jì)算是“隱私保護(hù)計(jì)算”（Privacy-Preserving Computation）的中文簡(jiǎn)稱，沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)定義，這里摘取部分組織和文檔的定義，基本表達(dá)了同樣的意思，大家意會(huì)就行：

? ? ? ?中國(guó)隱私計(jì)算產(chǎn)業(yè)發(fā)展報(bào)告（2020-2021）[1]：

? ? ? ?隱私計(jì)算是指在提供隱私保護(hù)的前提下實(shí)現(xiàn)數(shù)據(jù)價(jià)值挖掘的技術(shù)體系，而非單一技術(shù)，早期多被定義為隱私保護(hù)計(jì)算、隱私保護(hù)技術(shù)等。2016 年發(fā)布的《隱私計(jì)算研究范疇及發(fā)展趨勢(shì)》正式提出“隱私計(jì)算”一詞，并將隱私計(jì)算定義為“面向隱私信息全生命周期保護(hù)的計(jì)算理論和方法，是隱私信息的所有權(quán)、管理權(quán)和使用權(quán)分離時(shí)隱私度量、隱私泄漏代價(jià)、隱私保護(hù)與隱私分析復(fù)雜性的可計(jì)算模型與公理化系統(tǒng)。

? ? ? ?隱私保護(hù)計(jì)算技術(shù)研究報(bào)告 [2]：

? ? ? ?隱私計(jì)算是指在提供隱私保護(hù)的前提下，實(shí)現(xiàn)數(shù)據(jù)價(jià)值挖掘的技術(shù)體系。面對(duì)數(shù)據(jù)計(jì)算的參與方或意圖竊取信息的攻擊者，隱私保護(hù)計(jì)算技術(shù)能夠?qū)崿F(xiàn)數(shù)據(jù)處于加密狀態(tài)或非透明（Opaque）狀態(tài)下的計(jì)算，以達(dá)到各參與方隱私保護(hù)的目的。隱私保護(hù)計(jì)算并不是一種單一的技術(shù)，它是一套包含人工智能、密碼學(xué)、數(shù)據(jù)科學(xué)等眾多領(lǐng)域交叉融合的跨學(xué)科技術(shù)體系。隱私保護(hù)計(jì)算能夠保證滿足數(shù)據(jù)隱私安全的基礎(chǔ)上，實(shí)現(xiàn)數(shù)據(jù)“價(jià)值”和“知識(shí)”的流動(dòng)與共享， 真正做到“數(shù)據(jù)可用不可見。”

? ? ? ?大數(shù)據(jù)聯(lián)合國(guó)全球工作組 [3]：

? ? ? ?隱私計(jì)算是一類技術(shù)方案，在處理和分析計(jì)算數(shù)據(jù)的過(guò)程中能保持?jǐn)?shù)據(jù)不透明、不泄露、無(wú)法被計(jì)算方法以及其他非授權(quán)方獲取。

? ? ? ?騰訊隱私計(jì)算白皮書2021 [4]：

? ? ? ?隱私計(jì)算（Privacy Computing）是一種由兩個(gè)或多個(gè)參與方聯(lián)合計(jì)算的技術(shù)和系統(tǒng)，參與方在不泄露各自數(shù)據(jù)的前提下通過(guò)協(xié)作對(duì)他們的數(shù)據(jù)進(jìn)行聯(lián)合機(jī)器學(xué)習(xí)和聯(lián)合分析。隱私計(jì)算的參與方既可以是同一機(jī)構(gòu)的不同部門，也可以是不同的機(jī)構(gòu)。

? ? ? ?由上可知，在隱私計(jì)算框架下，參與方的數(shù)據(jù)不出本地，在保護(hù)數(shù)據(jù)安全的同時(shí)實(shí)現(xiàn)多源數(shù)據(jù)跨域合作，可以破解數(shù)據(jù)保護(hù)與融合應(yīng)用難題。

? ? ? ?隱私保護(hù)計(jì)算架構(gòu)可抽象為下圖[2]，在隱私保護(hù)計(jì)算參考架構(gòu)中，主要有數(shù)據(jù)方、計(jì)算方和結(jié)果方三類角色，數(shù)據(jù)方是指為執(zhí)行隱私保護(hù)計(jì)算過(guò)程提供數(shù)據(jù)的組織或個(gè)人；計(jì)算方是指為執(zhí)行隱私保護(hù)計(jì)算過(guò)程提供算力的組織或個(gè)人；結(jié)果放是指接收隱私保護(hù)計(jì)算結(jié)果的組織或個(gè)人。

? ? ? ?隱私保護(hù)計(jì)算的目標(biāo)是在完成計(jì)算任務(wù)的基礎(chǔ)上，實(shí)現(xiàn)數(shù)據(jù)計(jì)算過(guò)程和數(shù)據(jù)計(jì)算結(jié)果的隱私保護(hù)。數(shù)據(jù)計(jì)算過(guò)程的隱私保護(hù)指參與方在整個(gè)計(jì)算過(guò)程中難以得到除計(jì)算結(jié)果以外的額外信息，數(shù)據(jù)計(jì)算結(jié)果的隱私保護(hù)指參與方難以基于計(jì)算結(jié)果逆推原始輸入數(shù)據(jù)和隱私信息。

? ? ? ?從技術(shù)機(jī)制來(lái)看，隱私計(jì)算主要分為三大技術(shù)路線，即安全多方計(jì)算（密碼學(xué)）、聯(lián)邦學(xué)習(xí)及機(jī)密計(jì)算，有的會(huì)把側(cè)重算法也單列一類，比如差分隱私等隱私相關(guān)的技術(shù).

? ? ? ?可以看到，隱私計(jì)算是個(gè)技術(shù)體系，不能混淆了安全多方計(jì)算、聯(lián)邦學(xué)習(xí)、隱私計(jì)算概念間的關(guān)系，比如安全多方計(jì)算只是隱私計(jì)算的一個(gè)子集，聯(lián)邦學(xué)習(xí)與安全多方計(jì)算也不是同一回事，雖然彼此也有聯(lián)系。

? ? ? ?下面針對(duì)隱私計(jì)算涉及的主要技術(shù)逐一介紹，每種技術(shù)會(huì)從定義、圖解及案例三個(gè)角度去闡述，方便理解這些技術(shù)的本質(zhì)和用途。

? ? ? ?注：隱私計(jì)算涉及大量密碼學(xué)、算法的知識(shí)，如需進(jìn)一步理解，推薦去閱讀相關(guān)的論文。

? ? ? ?二、多方安全計(jì)算

? ? ? ?多方安全計(jì)算（Secure Multi-Party Computation），MPC 由姚期智在1982 年提出，指參與者在不泄露各自隱私數(shù)據(jù)情況下，利用隱私數(shù)據(jù)參與保密計(jì)算，共同完成某項(xiàng)計(jì)算任務(wù)。

? ? ? ?該技術(shù)能夠滿足人們利用隱私數(shù)據(jù)進(jìn)行保密計(jì)算的需求，有效解決數(shù)據(jù)的“保密性”和“共享性”之間的矛盾。多方安全計(jì)算包括多個(gè)技術(shù)分支，目前，在MPC 領(lǐng)域，主要用到的是技術(shù)是秘密共享、不經(jīng)意傳輸、混淆電路、同態(tài)加密、零知識(shí)證明等關(guān)鍵技術(shù)，你可以認(rèn)為多方安全計(jì)算是一堆協(xié)議集。

? ? ? ?1、秘密共享

? ? ? ?（1）定義

? ? ? ?秘密共享的思想是將秘密以適當(dāng)?shù)姆绞讲鸱郑鸱趾蟮拿恳粋€(gè)份額由不同的參與者管理，單個(gè)參與者無(wú)法恢復(fù)秘密信息，只有若干個(gè)參與者一同協(xié)作才能恢復(fù)秘密消息。更重要的是，當(dāng)其中任何相應(yīng)范圍內(nèi)參與者出問(wèn)題時(shí)，秘密仍可以完整恢復(fù)。

? ? ? ?（2）圖解

? ? ? ?假如你和你的朋友們正在一起面臨某種生存困境，比如在野外迷路了，或是被困在沙漠中，或是核冬天，或是喪尸來(lái)襲，你們難以獲取食物，只好將剩下的食物的收集到一起放進(jìn)保險(xiǎn)箱。但是有個(gè)問(wèn)題—你們并不相信其他人，其他人很可能趁大家不注意將食物偷走。這時(shí)候，保險(xiǎn)箱的鑰匙應(yīng)該怎么保管？

? ? ? ?shamir方案[5]就是指準(zhǔn)備w把鑰匙，至少要t把鑰匙才能開啟：

? ? ? ?（3）案例

? ? ? ?1994年，Naor和Shamir提出可視密碼，是一種依靠人眼解密的秘密共享方法，它是將一個(gè)秘密圖像加密成n張分存圖像，n張分存圖像可以打印到膠片上、存入電腦或移動(dòng)存儲(chǔ)器中，且分別由n個(gè)人保存。解密時(shí)只需k個(gè)人(或k個(gè)以上)將各自的分存圖像疊加，秘密圖像就會(huì)呈現(xiàn)出來(lái)，而少于k個(gè)人無(wú)法獲得秘密圖像的一點(diǎn)信息。

? ? ? ?2、同態(tài)加密

? ? ? ?（1）定義

? ? ? ?同態(tài)加密是一種允許在加密之后的密文上直接進(jìn)行計(jì)算，且計(jì)算結(jié)果解密后和明文的計(jì)算結(jié)果一致的加密算法。

? ? ? ?這個(gè)特性屬性對(duì)于保護(hù)信息的安全具有重要意義，利用同態(tài)加密技術(shù)可以先對(duì)多個(gè)密文進(jìn)行計(jì)算之后再解密，不必對(duì)每一個(gè)密文解密而花費(fèi)高昂的計(jì)算代價(jià)；利用同態(tài)加密技術(shù)可以實(shí)現(xiàn)無(wú)密鑰方對(duì)密文的計(jì)算，密文計(jì)算無(wú)須經(jīng)過(guò)密鑰方，既可以減少通信代價(jià)，又可以轉(zhuǎn)移計(jì)算任務(wù)，由此可平衡各方的計(jì)算代價(jià)，利用同態(tài)加密技術(shù)可以實(shí)現(xiàn)讓解密方只能獲知最后的結(jié)果，而無(wú)法獲得每一個(gè)密文的消息，可以提高信息的安全性。

? ? ? ?（2）圖解[1]

? ? ? ?（3）案例

? ? ? ?目前云計(jì)算應(yīng)用中，從安全角度來(lái)說(shuō)，用戶還不敢將秘鑰信息直接放到第三方云上進(jìn)行處理，通過(guò)實(shí)用的同態(tài)加密技術(shù)，則大家可以放心使用各種云服務(wù)，同時(shí)各種數(shù)據(jù)分析過(guò)程中也不會(huì)泄露用戶隱私。加密后的數(shù)據(jù)在第三方服務(wù)處理后得到加密后的結(jié)果，這個(gè)結(jié)果只有用戶自身可以進(jìn)行解密，整個(gè)過(guò)程第三方平臺(tái)無(wú)法獲知任何有效的數(shù)據(jù)信息。

? ? ? ?3、不經(jīng)意傳輸

? ? ? ?（1）定義

? ? ? ?不經(jīng)意傳輸是一種可保護(hù)隱私的雙方通信協(xié)議，消息發(fā)送者從一些待發(fā)送的消息中發(fā)送某一條給接收者，但并不知道接收者具體收到了哪一條消息。不經(jīng)意傳輸協(xié)議是一個(gè)兩方安全計(jì)算協(xié)議，協(xié)議使得接收方除選取的內(nèi)容外，無(wú)法獲取剩余數(shù)據(jù)，并且發(fā)送方也無(wú)從知道被選取的內(nèi)容。

? ? ? ?比如Alice每次發(fā)兩條信息（m0、m1）給Bob，Bob提供一個(gè)輸入，并根據(jù)輸入獲得輸出信息，在協(xié)議結(jié)束后，Bob得到了自己想要的那條信息（m0或者m1），而Alice并不知道Bob最終得到的是哪條。

? ? ? ?（2）圖解[6]

? ? ? ?流程：

? ? ? ?1. 發(fā)送者Alice生成兩對(duì)rsa公私鑰，并將兩個(gè)公鑰puk0、puk1發(fā)送給接受者Bob。

? ? ? ?2. Bob生成一個(gè)隨機(jī)數(shù)，并用收到的兩個(gè)公鑰之一加密隨機(jī)數(shù)（用哪個(gè)秘鑰取決于想獲取哪條數(shù)據(jù)，例如如果想要得到消息M0 就用puk0加密隨機(jī)數(shù)，如果想要得到M1就用puk1加密隨機(jī)數(shù)），并將密文結(jié)果發(fā)送給Alice。

? ? ? ?3. Alice用自己的兩個(gè)私鑰分別解密收到隨機(jī)數(shù)密文，并得到兩個(gè)解密結(jié)果k0，k1，并將兩個(gè)結(jié)果分別與要發(fā)送的兩條信息進(jìn)行異或（k0異或M0，k1異或M1），并將兩個(gè)結(jié)果e0，e1發(fā)給Bob。

? ? ? ?4. Bob用自己的真實(shí)隨機(jī)數(shù)與收到的e0、e1分別做異或操作，得到的兩個(gè)結(jié)果中只有一條為真實(shí)數(shù)據(jù)，另外一條為隨機(jī)數(shù)。

? ? ? ?分析：

? ? ? ?在此過(guò)程中第3步最為關(guān)鍵，如果Alice無(wú)法從用兩條私鑰解密得到的結(jié)果k0、k1中區(qū)分出Bob的真實(shí)隨機(jī)數(shù)，則能保證Alice無(wú)法得知Bob將要獲取的是哪條數(shù)據(jù)。Bob沒(méi)有私鑰也就無(wú)法得出真實(shí)的私鑰解密結(jié)果（如果k0為真實(shí)隨機(jī)數(shù)，Bob無(wú)法得知k1的值），所以也就只能得到自己想要的那條數(shù)據(jù)而無(wú)法得到另外一條，保障協(xié)議能執(zhí)行成功。

? ? ? ?（3）案例

? ? ? ?Alice和Bob打牌，Alice總是輸，為了讓Alice的游戲體驗(yàn)好一點(diǎn)，Alice可以看Bob的某一張手牌的大小，但是Alice并不想讓Bob知道看了哪張，不然很可能還是打不贏！這個(gè)場(chǎng)景下，就可以通過(guò)不經(jīng)意傳輸來(lái)傳遞牌的大小，這樣可以保證Alice只能看到一張的大小，且Bob不知道Alice看了哪一張牌。

? ? ? ?4、零知識(shí)證明

? ? ? ?（1）定義

? ? ? ?零知識(shí)證明指的是證明者能夠在不向驗(yàn)證者提供任何有用信息的情況下，使驗(yàn)證者相信某個(gè)論斷是正確的。允許證明者 prover、驗(yàn)證者 verifier 證明某項(xiàng)提議的真實(shí)，卻不必泄露除了「提議是真實(shí)的」之外的任何信息。

? ? ? ?舉個(gè)最簡(jiǎn)單的阿拉伯童話《一千零一夜》里的零知識(shí)證明：阿里巴巴與四十大盜的故事其中一個(gè)片段。

? ? ? ?阿里巴巴會(huì)芝麻開門的咒語(yǔ)，強(qiáng)盜向他拷問(wèn)打開山洞石門的咒語(yǔ)，他不想讓人聽到咒語(yǔ)，便對(duì)強(qiáng)盜說(shuō)：“你們離我一箭之地，用弓箭指著我，你們舉起右手，我念咒語(yǔ)打開石門，舉起左手，我念咒語(yǔ)關(guān)上石門，如果我做不到或逃跑，你們就用弓箭射死我。”

? ? ? ?這個(gè)方案對(duì)阿里巴巴沒(méi)損失，也能幫助他們搞清楚阿里巴巴到底是否知道咒語(yǔ)，于是強(qiáng)盜們同意。強(qiáng)盜舉起了右手，只見阿里巴巴的嘴動(dòng)了幾下，石門打開了；強(qiáng)盜舉起了左手，阿里巴巴的嘴動(dòng)了幾下，石門又關(guān)上了。強(qiáng)盜有點(diǎn)不信，沒(méi)準(zhǔn)這是巧合，多試幾次過(guò)后，他們相信了阿里巴巴。這即是最簡(jiǎn)單易懂的零知識(shí)證明。

? ? ? ?（2）圖解

? ? ? ?如圖所示為零知識(shí)證明的一個(gè)經(jīng)典模型—洞穴模型[7]，該模型不涉及具體算法實(shí)現(xiàn)，僅用于初步說(shuō)明零知識(shí)證明的原理和效果：

? ? ? ?在圖中，C點(diǎn)和D點(diǎn)之間存在一道密門，只有知道秘密口令的人才能打開。證明者（Prover）P知道秘密口令，并希望向驗(yàn)證者（Verifier）V證明，但又不希望泄露秘密口令，可通過(guò)以下證明過(guò)程實(shí)現(xiàn)：

? ? ? ?第一步，驗(yàn)證者V站在A點(diǎn)，證明者P站在B點(diǎn)；

? ? ? ?第二步，證明者P隨機(jī)選擇走到C點(diǎn)或D點(diǎn)，驗(yàn)證者V在A點(diǎn)無(wú)法看到證明者P選擇的方向；

? ? ? ?第三步，驗(yàn)證者V走到B點(diǎn)，并要求證明者P從左通道/右通道的方向出來(lái)；

? ? ? ?第四步，證明者P根據(jù)驗(yàn)證者V的要求從指定方向出來(lái)，如有必要需要用秘密口令打開密門。

? ? ? ?如果證明者P知道秘密口令，就一定能正確地從驗(yàn)證者V要求的方向出來(lái)；如果證明者P不知道秘密口令，則每次有1/2的概率能從驗(yàn)證者V要求的方向出來(lái)。該證明過(guò)程可重復(fù)進(jìn)行多次，直到驗(yàn)證者V相信證明者P擁有打開密門的秘密口令。

? ? ? ?通過(guò)以上證明過(guò)程，證明者P就向驗(yàn)證者V完成了關(guān)于秘密口令的零知識(shí)證明，即證明過(guò)程不會(huì)泄露任何關(guān)于秘密口令的知識(shí)。

? ? ? ?下面以默克爾樹結(jié)構(gòu)為例，實(shí)現(xiàn)零知識(shí)證明即意味著，如何證明某個(gè)人擁有L1 - L4這些原始數(shù)據(jù)，但又不需將數(shù)據(jù)公之于眾？

? ? ? ?第一步：證明者可通過(guò)創(chuàng)建如圖所示的默克爾樹結(jié)構(gòu)，然后對(duì)外公布Hash0-1、Hash1以及Top Hash（在哈希算法篇時(shí)，我們?cè)榻B過(guò)僅哈希值無(wú)法推導(dǎo)出原始數(shù)據(jù)）。

? ? ? ?第二步：通過(guò)數(shù)據(jù)L1經(jīng)哈希算法生成Hash0-0，然后根據(jù)公布的Hash0-1生成Hash0 ，再根據(jù)公布的Hash1生成Top Hash。如果最后生成的Top Hash值與公布的Top Hash值一致，則可證明他是擁有L1 - L4數(shù)據(jù)，而不需要公布這一系列的原始數(shù)據(jù)。這也就實(shí)現(xiàn)了零知識(shí)證明。

? ? ? ?（3）案例

? ? ? ?信任是業(yè)務(wù)往來(lái)的基礎(chǔ)。做生意，無(wú)論在網(wǎng)上還是在現(xiàn)實(shí)世界中，我們需要知道和誰(shuí)打交道，他們是否會(huì)履行承諾。問(wèn)題是這以犧牲隱私為代價(jià)。為了判斷某人是否值得信任，要了解他們是什么樣的人，獲取個(gè)人數(shù)據(jù)甚至信用卡號(hào)碼。

? ? ? ?常規(guī)的區(qū)塊鏈交易，當(dāng)資產(chǎn)從一方發(fā)送到另一方時(shí)，該交易的詳細(xì)信息對(duì)網(wǎng)絡(luò)中每一方都可見。相反，零知識(shí)證明交易中，其他人只知道發(fā)生了有效的交易，而不知道發(fā)送方、接收方、資產(chǎn)類別和數(shù)量。花費(fèi)的身份和金額可以隱藏起來(lái)，并且可以避免諸如“搶先”之類的問(wèn)題。

? ? ? ?5、混淆電路

? ? ? ?（1）定義

? ? ? ?混淆電路是雙方進(jìn)行安全計(jì)算的布爾電路。混淆電路將計(jì)算電路中的每個(gè)門都加密并打亂，確保加密計(jì)算的過(guò)程中不會(huì)對(duì)外泄露計(jì)算的原始數(shù)據(jù)和中間數(shù)據(jù)。雙方根據(jù)各自的輸入依次進(jìn)行計(jì)算，解密方可得到最終的正確結(jié)果，但無(wú)法得到除結(jié)果以外的其他信息，從而實(shí)現(xiàn)雙方的安全計(jì)算。

? ? ? ?（2）圖解

? ? ? ?現(xiàn)在要說(shuō)說(shuō)混淆電路具體是如何工作的了。注意關(guān)鍵詞“電路（circuit）”，我們知道可計(jì)算問(wèn)題都可以轉(zhuǎn)換為一個(gè)個(gè)電路，于是就有了加法電路、比較電路和乘法電路等等。

? ? ? ?如上圖所示，Alice和Bob想要搞點(diǎn)事情，他們搞了個(gè)電路，電路里面有一些門，每個(gè)門包括輸入線（input wire）和輸出線（output wire）。混淆電路就是通過(guò)加密和擾亂這些電路的值來(lái)掩蓋信息的。在最經(jīng)典的混淆電路中，加密和擾亂是以門為單位的。每個(gè)門都有一張真值表。比如下圖就是與門的真值表和或門的真值表。下面就以與門為例來(lái)說(shuō)明混淆電路的工作原理。

? ? ? ?Alice和Bob想計(jì)算一個(gè)與門。該門兩個(gè)輸入線x和y和一個(gè)輸出線z，每條線有0和1兩個(gè)可能的值。Alice首先給每條線指定兩個(gè)隨機(jī)的key，分別對(duì)應(yīng)0和1。

? ? ? ?然后，Alice用這些密鑰加密真值表，并將該表打亂后發(fā)送給Bob。加密過(guò)程就是將真值表中每一行對(duì)應(yīng)的x和y的密鑰key加密z的密鑰。這一加密+打亂的過(guò)程，就是混淆電路（garbled circuit）的核心思想。

? ? ? ?那Bob收到加密表后，如何計(jì)算呢？

? ? ? ?首先Alice把自己的輸入對(duì)應(yīng)的key發(fā)給Bob，比如Alice的輸入是0，那就發(fā)K0x，輸入是1就發(fā) K1x。同時(shí)通過(guò)不經(jīng)意傳輸把和Bob有關(guān)的key都發(fā)給Bob，也就是K0y和K1y ，然后Bob根據(jù)自己的輸入挑選相關(guān)的key，但Alice并不知道Bob選了哪個(gè)key。

? ? ? ?Bob根據(jù)收到的Kx和自己的Ky ，對(duì)上述加密表的每一行嘗試解密，最終只有一行能解密成功，并提取出相應(yīng)的Kz。

? ? ? ?Bob將Kz發(fā)給Alice，Alice通過(guò)對(duì)比是還是K0z還是K1z得知計(jì)算結(jié)果是0還是1。由于整個(gè)過(guò)程大家收發(fā)的都是密文或隨機(jī)數(shù)，所以沒(méi)有有效信息泄露。

? ? ? ?（3）案例

? ? ? ?目前來(lái)說(shuō)，安全多方計(jì)算主要是通過(guò)混淆電路及秘密共享兩個(gè)方式實(shí)現(xiàn)。基于混淆電路的協(xié)議更適用于兩方邏輯運(yùn)算，通訊負(fù)擔(dān)較低，但拓展性較差。而基于秘密分享的安全多方計(jì)算其拓展性較強(qiáng)，支持無(wú)限多方參與計(jì)算，計(jì)算效率高，但通訊負(fù)載較大。

? ? ? ?三、聯(lián)邦學(xué)習(xí)

? ? ? ?（1）定義

? ? ? ?假設(shè)有兩個(gè)不同的企業(yè) A 和 B，它們擁有不同的數(shù)據(jù)，比如企業(yè) A 有用戶特征數(shù)據(jù)，企業(yè) B 有產(chǎn)品特征數(shù)據(jù)和標(biāo)注數(shù)據(jù)。這兩個(gè)企業(yè)按照 GDPR 準(zhǔn)則是不能粗暴地把雙方數(shù)據(jù)加以合并的，因?yàn)樗麄兏髯缘挠脩舨](méi)有機(jī)會(huì)同意這樣做。

? ? ? ?假設(shè)雙方各自建立一個(gè)任務(wù)模型，每個(gè)任務(wù)可以是分類或預(yù)測(cè)，這些任務(wù)也已經(jīng)在獲得數(shù)據(jù)時(shí)取得了各自用戶的認(rèn)可。

? ? ? ?那么，現(xiàn)在的問(wèn)題是如何在 A 和 B 各端建立高質(zhì)量的模型。但是，又由于數(shù)據(jù)不完整（例如企業(yè) A 缺少標(biāo)簽數(shù)據(jù)，企業(yè) B 缺少特征數(shù)據(jù)），或者數(shù)據(jù)不充分（數(shù)據(jù)量不足以建立好的模型），各端有可能無(wú)法建立模型或效果不理想。聯(lián)邦學(xué)習(xí)就是來(lái)解決這個(gè)問(wèn)題的。

? ? ? ?聯(lián)邦學(xué)習(xí)的本質(zhì)是一種機(jī)器學(xué)習(xí)框架，即分布式機(jī)器學(xué)習(xí)技術(shù)。聯(lián)邦學(xué)習(xí)以一個(gè)中央服務(wù)器為中心節(jié)點(diǎn)，通過(guò)與多個(gè)參與訓(xùn)練的本地服務(wù)器（以下簡(jiǎn)稱“參與方”）交換網(wǎng)絡(luò)信息來(lái)實(shí)現(xiàn)人工智能模型的更新迭代。

? ? ? ?即中央服務(wù)器首先生成一個(gè)通用神經(jīng)網(wǎng)絡(luò)模型，各個(gè)參與方將這個(gè)通用模型下載至本地并利用本地?cái)?shù)據(jù)訓(xùn)練模型，將訓(xùn)練后的模型所更新的內(nèi)容上傳至中央服務(wù)器，通過(guò)將多個(gè)參與方的更新內(nèi)容進(jìn)行融合均分來(lái)優(yōu)化初始通用模型，再由各個(gè)參與方下載更新后的通用模型進(jìn)行上述處理，這個(gè)過(guò)程不斷重復(fù)直至達(dá)到某一個(gè)既定的標(biāo)準(zhǔn)。

? ? ? ?在整個(gè)聯(lián)邦學(xué)習(xí)的過(guò)程中，各參與方的數(shù)據(jù)始終保存在其本地服務(wù)器，降低了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。[1]

? ? ? ?（2）圖解

? ? ? ?我們以包含兩個(gè)數(shù)據(jù)擁有方（即企業(yè) A 和 B）的場(chǎng)景為例介紹聯(lián)邦學(xué)習(xí)的系統(tǒng)構(gòu)架。該構(gòu)架可擴(kuò)展至包含多個(gè)數(shù)據(jù)擁有方的場(chǎng)景。假設(shè)企業(yè) A 和 B 想聯(lián)合訓(xùn)練一個(gè)機(jī)器學(xué)習(xí)模型，它們的業(yè)務(wù)系統(tǒng)分別擁有各自用戶的相關(guān)數(shù)據(jù)。

? ? ? ?此外，企業(yè) B 還擁有模型需要預(yù)測(cè)的標(biāo)簽數(shù)據(jù)。出于數(shù)據(jù)隱私保護(hù)和安全考慮，A 和 B 無(wú)法直接進(jìn)行數(shù)據(jù)交換，可使用聯(lián)邦學(xué)習(xí)系統(tǒng)建立模型。聯(lián)邦學(xué)習(xí)系統(tǒng)構(gòu)架由三部分構(gòu)成。

? ? ? ?第一部分：加密樣本對(duì)齊。由于兩家企業(yè)的用戶群體并非完全重合，系統(tǒng)利用基于加密的用戶樣本對(duì)齊技術(shù)，在 A 和 B 不公開各自數(shù)據(jù)的前提下確認(rèn)雙方的共有用戶，并且不暴露不互相重疊的用戶，以便聯(lián)合這些用戶的特征進(jìn)行建模。

? ? ? ?第二部分：加密模型訓(xùn)練。在確定共有用戶群體后，就可以利用這些數(shù)據(jù)訓(xùn)練機(jī)器學(xué)習(xí)模型。為了保證訓(xùn)練過(guò)程中數(shù)據(jù)的保密性，需要借助第三方協(xié)作者 C 進(jìn)行加密訓(xùn)練。以線性回歸模型為例，訓(xùn)練過(guò)程可分為以下 4 步：

? ? ? ?第①步：協(xié)作者 C 把公鑰分發(fā)給 A 和 B，用以對(duì)訓(xùn)練過(guò)程中需要交換的數(shù)據(jù)進(jìn)行加密，注意傳輸?shù)臄?shù)據(jù)是模型的計(jì)算中間結(jié)果（后面會(huì)解釋具體是什么），不涉及用戶隱私，當(dāng)然雖然傳輸?shù)臄?shù)據(jù)是加密的，但模型訓(xùn)練的時(shí)候是要用私鑰解密的。

? ? ? ?第②步：A 和 B 之間以加密形式交互用于計(jì)算梯度的中間結(jié)果，那個(gè)這個(gè)中間結(jié)果具體指什么呢？

? ? ? ?我的理解是這樣：

? ? ? ?假設(shè)A上有樣本的X1,X2特征，B上有樣本的X3,X4特征及標(biāo)簽Y，模型為logistic回歸；首先，A根據(jù)當(dāng)前模型計(jì)算每條記錄的X1,X2線性組合結(jié)果，B根據(jù)當(dāng)前模型計(jì)算每條記錄的X3,X4線性組合結(jié)果；然后A將結(jié)果加密后傳給B，同時(shí)B將結(jié)果加密后傳給A。

? ? ? ?第③步：A和B分別基于解密后的交互中間信息（線性組合結(jié)果）進(jìn)行各自的梯度值計(jì)算，比如B可基于接收的線性組合結(jié)果、標(biāo)簽Y等數(shù)據(jù)計(jì)算LOSS（損失）及X3、X4的梯度，A接收后可計(jì)算LOSS（損失）及X1,X2的梯度。

然后A,B分別將計(jì)算得到的X1,X2,X3,X4的梯度值上傳到C，C基于梯度值計(jì)算出模型的新參數(shù)。

? ? ? ?第④步：C將四個(gè)新參數(shù)分別傳送回A和B，也就是更新A,B的模型，用于新一輪的迭代。

? ? ? ?迭代上述步驟直至損失函數(shù)收斂，這樣就完成了整個(gè)訓(xùn)練過(guò)程。在樣本對(duì)齊及模型訓(xùn)練過(guò)程中，A 和 B 各自的數(shù)據(jù)均保留在本地，且訓(xùn)練中的數(shù)據(jù)交互也不會(huì)導(dǎo)致數(shù)據(jù)隱私泄露。因此，雙方在聯(lián)邦學(xué)習(xí)的幫助下得以實(shí)現(xiàn)合作訓(xùn)練模型。

? ? ? ?模型正式部署到生產(chǎn)后，如果要用于預(yù)測(cè)，比如輸入一個(gè)用戶ID，則A,B模型分別提供預(yù)測(cè)的線性組合結(jié)果并相加，從而得到最終的預(yù)測(cè)值。

? ? ? ?第三部分：效果激勵(lì)。聯(lián)邦學(xué)習(xí)的一大特點(diǎn)就是它解決了不同機(jī)構(gòu)要加入聯(lián)邦共同建模的問(wèn)題，提供數(shù)據(jù)多的機(jī)構(gòu)所獲得的模型效果會(huì)更好，模型效果取決于數(shù)據(jù)提供方對(duì)自己和他人的貢獻(xiàn)。這些模型的效果在聯(lián)邦機(jī)制上會(huì)分發(fā)給各個(gè)機(jī)構(gòu)反饋，并繼續(xù)激勵(lì)更多機(jī)構(gòu)加入這一數(shù)據(jù)聯(lián)邦。以上三部分的實(shí)施，既考慮了在多個(gè)機(jī)構(gòu)間共同建模的隱私保護(hù)和效果，又考慮了以一個(gè)共識(shí)機(jī)制獎(jiǎng)勵(lì)貢獻(xiàn)數(shù)據(jù)多的機(jī)構(gòu)。

? ? ? ?（3）案例

? ? ? ?金融行業(yè)中面向金融機(jī)構(gòu)與政府基于聯(lián)邦學(xué)習(xí)技術(shù)進(jìn)行聯(lián)合建模的落地應(yīng)用。例如金融機(jī)構(gòu)結(jié)合其服務(wù)企業(yè)的金融行為、資產(chǎn)等特征與政府的企業(yè)信息、企業(yè)稅務(wù)信息、企業(yè)違規(guī)信息等特征，采用縱向聯(lián)邦學(xué)習(xí)聯(lián)合建模開展企業(yè)的信用風(fēng)控評(píng)估。金融機(jī)構(gòu)間通過(guò)同一用戶群的金融行為數(shù)據(jù)采用縱向聯(lián)邦學(xué)習(xí)聯(lián)合分析金融反欺詐。

? ? ? ?四、機(jī)密計(jì)算

? ? ? ?（1）定義

? ? ? ?機(jī)密計(jì)算就是針對(duì)數(shù)據(jù)在使用過(guò)程中的安全問(wèn)題所提出的一種解決方案。它是一種基于硬件的技術(shù)，將數(shù)據(jù)、特定功能、應(yīng)用程序，同操作系統(tǒng)、系統(tǒng)管理程序或虛擬機(jī)管理器以及其他特定進(jìn)程隔離開來(lái)，讓數(shù)據(jù)存儲(chǔ)在可信執(zhí)行環(huán)境（Trusted Execution Environment，TEE）中，即使是使用調(diào)試器，也無(wú)法從外部查看數(shù)據(jù)或者執(zhí)行操作。TEE確保只有經(jīng)過(guò)授權(quán)的代碼才能訪問(wèn)數(shù)據(jù)，如果代碼被篡改，TEE將阻止其繼續(xù)進(jìn)行操作。

? ? ? ?機(jī)密計(jì)算的核心功能有：

? ? ? ?第一、保護(hù) In-Use 數(shù)據(jù)的機(jī)密性：內(nèi)存中的數(shù)據(jù)是被加密的，即便被攻擊者竊取到內(nèi)存數(shù)據(jù)也不會(huì)泄露數(shù)據(jù)；

? ? ? ?第二、保護(hù) In-Use 數(shù)據(jù)的完整性：度量值保證了數(shù)據(jù)和代碼的完整性，使用中有任何數(shù)據(jù)或代碼的改動(dòng)都會(huì)引起度量值的變化；

? ? ? ?第三、保護(hù) In-Use 數(shù)據(jù)的安全性：相比普通應(yīng)用，機(jī)密計(jì)算應(yīng)用有更小的 TCB（Trusted Compute Base），意味著更小的攻擊面，也意味著更安全。，以 Intel SGX 為例，除了 CPU 和可信應(yīng)用自身以外，其他軟硬件的訪問(wèn)都是被拒絕的，包括操作系統(tǒng)、Hypervisor 等。

? ? ? ?（2）圖解

? ? ? ?按照普通方式部署敏感應(yīng)用，應(yīng)用會(huì)依賴操作系統(tǒng)、VMM、硬件甚至是云廠商，TCB 非常大，面臨的攻擊面也非常大。只要 TCB 中只要有一處遭到攻擊，應(yīng)用都有數(shù)據(jù)泄露和破壞的風(fēng)險(xiǎn)。

? ? ? ?而把敏感應(yīng)用部署在 Intel SGX 的 TEE 中，TCB 只有 CPU 和 TEE 本身。一方面攻擊面變得很小，另一方面 TEE 的安全機(jī)制也會(huì)使應(yīng)用更安全。

? ? ? ?（3）案例[9]

? ? ? ?支持 TEE 的硬件平臺(tái)主要有 3 個(gè)：Intel SGX、ARM TrustZone 和 AMD SEV，它們有不同的應(yīng)用場(chǎng)景和實(shí)現(xiàn)方式：

? ? ? ?ARM TrustZone把硬件資源分為安全世界和非安全世界兩部分，所有需要保密的操作在安全世界執(zhí)行，其余操作在非安全世界執(zhí)行，安全世界和非安全世界通過(guò)一個(gè)名為 Monitor Mode 的模式進(jìn)行轉(zhuǎn)換。典型的應(yīng)用場(chǎng)景有移動(dòng)支付、數(shù)字錢包等；

? ? ? ?AMD 利用 SEV（AMD Secure Encrypted Virtualizationn），SME（AMD Secure Memory Encryption）和SEV-ES（Secure Encrypted Virtualization-Encrypted State）等技術(shù)實(shí)現(xiàn)虛擬機(jī)的 Guest 內(nèi)存加密和安全隔離；

? ? ? ?Intel SGX 是 Intel 提供的一組指令，用于提高應(yīng)用的代碼和數(shù)據(jù)的安全性，用戶可以把敏感數(shù)據(jù)放入到 Encalve 中，Enclave 是一種受保護(hù)的可信執(zhí)行環(huán)境。阿里云 ACK-TEE 和開源項(xiàng)目 Inclavare Containers 都是基于 Intel SGX 實(shí)現(xiàn)的機(jī)密計(jì)算。

? ? ? ?五、差分隱私

? ? ? ?（1）定義

? ? ? ?差分隱私(Differential Privacy)是Dwork[3] 在2006年針對(duì)數(shù)據(jù)庫(kù)的隱私泄露問(wèn)題提出的一種新的隱私定義。主要是通過(guò)使用隨機(jī)噪聲來(lái)確保，查詢請(qǐng)求公開可見信息的結(jié)果，并不會(huì)泄露個(gè)體的隱私信息，即提供一種當(dāng)從統(tǒng)計(jì)數(shù)據(jù)庫(kù)查詢時(shí)，最大化數(shù)據(jù)查詢的準(zhǔn)確性，同時(shí)最大限度減少識(shí)別其記錄的機(jī)會(huì)，簡(jiǎn)單來(lái)說(shuō)，就是保留統(tǒng)計(jì)學(xué)特征的前提下去除個(gè)體特征以保護(hù)用戶隱私。

? ? ? ?舉個(gè)例子，當(dāng)不使用差分隱私技術(shù)時(shí)，我們查詢A醫(yī)院數(shù)據(jù)庫(kù)，查詢今日就診的100個(gè)病人患病情況，返回10人患肺癌，同時(shí)查詢昨天99個(gè)病人患病情況，返回9個(gè)人患肺癌，那就可以推測(cè)今天來(lái)的那個(gè)人張三患有肺癌，這個(gè)就暴露了張三的個(gè)人隱私了。

? ? ? ?使用差分隱私技術(shù)后，查詢A醫(yī)院的數(shù)據(jù)庫(kù)，查詢今日就診的100個(gè)病人患病情況，返回肺癌得病率9.80%，查詢今日就診的99個(gè)病人患病情況，返回肺癌得病率9.81%，因此無(wú)法推測(cè)剩下1個(gè)人張三是否患有肺癌。

? ? ? ?（2）圖解

? ? ? ?當(dāng)用戶(也可能是潛藏的攻擊者)向數(shù)據(jù)提供者提交一個(gè)查詢請(qǐng)求時(shí)，如果數(shù)據(jù)提供者直接發(fā)布準(zhǔn)確的查詢結(jié)果，則可能導(dǎo)致隱私泄漏，因?yàn)橛脩艨赡軙?huì)通過(guò)查詢結(jié)果來(lái)反推出隱私信息。

? ? ? ?為了避免這一問(wèn)題，在交互式差分隱私保護(hù)框架下,用戶通過(guò)查詢接口向數(shù)據(jù)擁有者遞交查詢請(qǐng)求，數(shù)據(jù)擁有者根據(jù)查詢請(qǐng)求在源數(shù)據(jù)集中進(jìn)行查詢，然后將查詢結(jié)果添加噪聲擾動(dòng)之后反饋給用戶，在非交互式差分隱私保護(hù)框架 下，數(shù)據(jù)管理者直接發(fā)布一個(gè)滿足差分隱私保護(hù)的數(shù)據(jù)集,再根據(jù)用戶的請(qǐng)求對(duì)發(fā)布數(shù)據(jù)集進(jìn)行查詢操作，如下圖所示。

? ? ? ?假設(shè)存在一個(gè)數(shù)據(jù)表，該數(shù)據(jù)是某醫(yī)院的門診病歷記錄，其中包括病人的姓名、年齡、性別、臨床診斷等信息。

? ? ? ?圖（a）是原始數(shù)據(jù)記錄的直方圖發(fā)布形式。如果攻擊者想要知道Cole的診斷情況，并且具有強(qiáng)大的背景知識(shí)，如攻擊者已經(jīng)知道Cole的性別為男、年齡在60~80歲之間，以及其他人的臨床診斷信息，那么攻擊者將能夠推斷出Cole的臨床診斷信息，從而導(dǎo)致Cole的隱私信息被泄露。

? ? ? ?圖（b）給出了經(jīng)過(guò)差分隱私技術(shù)處理過(guò)的直方圖發(fā)布的結(jié)果，從圖中可以看出，即使攻擊者知道年齡在60~80歲之間除了Cole以外所有人的信息，他也沒(méi)辦法獲取Cole的診斷信息。

? ? ? ?差分隱私中一個(gè)關(guān)鍵概念是相鄰數(shù)據(jù)集，假設(shè)給定兩個(gè)數(shù)據(jù)集D和D’，如果它們有且僅有一條數(shù)據(jù)不一樣，那么這兩個(gè)數(shù)據(jù)集可稱為相鄰數(shù)據(jù)集。

? ? ? ?那么如果對(duì)于一個(gè)隨機(jī)算法A如果其分別作用于兩個(gè)相鄰數(shù)據(jù)集得到的兩個(gè)輸出分布式難以區(qū)分的，那么這個(gè)算法就被認(rèn)為達(dá)到差分隱私的效果。

? ? ? ?這里的隨機(jī)算法，是指對(duì)于特定輸入，該算法的輸出不是固定值，而是服從某一分布的算法，如下圖所示，也就是說(shuō)這個(gè)算法作用于任何相鄰數(shù)據(jù)集（D和D’），得到一個(gè)特定輸出O的概率是差不多，從而觀察者通過(guò)觀察輸出結(jié)果很難覺察出數(shù)據(jù)集的細(xì)小變化，通過(guò)這種方式來(lái)達(dá)到保護(hù)隱私的目的。

? ? ? ?差分隱私的主要實(shí)現(xiàn)機(jī)制，主要是在輸入或輸出上加入隨機(jī)化的噪音：拉普拉斯噪音(Laplace Noise)，高斯噪音(Gaussian Noise)，指數(shù)機(jī)制等。

? ? ? ?（3）案例

? ? ? ?差分隱私在1977年就提出了，但是真正讓它聲名大噪的是2016年蘋果軟件工程副總裁克雷格?費(fèi)德里希(Craig Federighi)在WWDC大會(huì)上宣布蘋果使用本地化差分隱私技術(shù)來(lái)保護(hù)IOS、MAC用戶隱私。

? ? ? ?在多個(gè)場(chǎng)景中成功部署差分隱私，在保護(hù)用戶隱私的同時(shí)，提升用戶體驗(yàn)。例如，使用差分隱私技術(shù)收集用戶統(tǒng)計(jì)用戶在不同語(yǔ)言環(huán)境中的表情符號(hào)使用情況，改進(jìn)QuickType對(duì)表情符號(hào)的預(yù)測(cè)能力。

? ? ? ?根據(jù)用戶鍵盤輸入學(xué)習(xí)新單詞、外來(lái)詞，更新設(shè)備內(nèi)字典改善用戶鍵盤輸入體驗(yàn)。又例如，根據(jù)使用差分隱私技術(shù)收集用戶在Safari應(yīng)用使用中高頻的高內(nèi)存占用型、高耗能型域名，在IOS和macOS High Sieera系統(tǒng)里在這些網(wǎng)站加載時(shí)提供更多資源，以提升用戶瀏覽體驗(yàn)。

? ? ? ?六、各類技術(shù)優(yōu)缺點(diǎn)

? ? ? ?1、多方安全計(jì)算

? ? ? ?優(yōu)點(diǎn)：

? ? ? ?基于密碼學(xué)安全，其安全性有嚴(yán)格密碼理論證明，不以信任任何參與方、操作人員、系統(tǒng)、硬件或軟件為基礎(chǔ)，各個(gè)參與方對(duì)其擁有的數(shù)據(jù)擁有絕對(duì)的控制權(quán)，保障基本數(shù)據(jù)和信息不會(huì)泄露，同時(shí)計(jì)算準(zhǔn)確度高，并支持可編程通用計(jì)算。

? ? ? ?缺點(diǎn)：

? ? ? ?多方安全計(jì)算包含復(fù)雜的密碼學(xué)操作，計(jì)算性能問(wèn)題是應(yīng)用的一大障礙。隨著應(yīng)用規(guī)模擴(kuò)大，采用合適的計(jì)算方案保證運(yùn)算時(shí)延與參與方數(shù)量呈現(xiàn)線性變化是目前各技術(shù)廠商面臨的一大挑戰(zhàn)。

? ? ? ?從安全性上看，多方安全計(jì)算的目標(biāo)是保證多方數(shù)據(jù)融合計(jì)算時(shí)的隱私安全，一些傳統(tǒng)安全問(wèn)題，如訪問(wèn)控制、傳輸安全等，仍然需要其他相應(yīng)的技術(shù)手段。

? ? ? ?2、聯(lián)邦學(xué)習(xí)

? ? ? ?優(yōu)點(diǎn)：

? ? ? ?聯(lián)邦學(xué)習(xí)由于其具有分布式訓(xùn)練和聯(lián)合訓(xùn)練的特點(diǎn)。

? ? ? ?一方面能夠解決訓(xùn)練階段數(shù)據(jù)特征單一的問(wèn)題，從而獲得一個(gè)性能更好的、優(yōu)于利用自己本身數(shù)據(jù)集所訓(xùn)練出的模型。

? ? ? ?另一方面，各參與方只需在本地利用各自數(shù)據(jù)集進(jìn)行訓(xùn)練，數(shù)據(jù)體量未增加，算力成本壓力小。因?yàn)檎麄€(gè)訓(xùn)練過(guò)程中各參與方的數(shù)據(jù)都不會(huì)離開本地，只將模型的梯度及權(quán)重等信息上傳至中心服務(wù)器進(jìn)行聚合分割，對(duì)于各參與方來(lái)說(shuō)這樣既不會(huì)直接泄露隱私數(shù)據(jù)，也不會(huì)額外增加參訓(xùn)數(shù)據(jù)量，從而完成訓(xùn)練任務(wù)。

? ? ? ?缺點(diǎn)：

? ? ? ?聯(lián)邦學(xué)習(xí)存在著安全問(wèn)題和通信效率問(wèn)題。

? ? ? ?一是就目前業(yè)內(nèi)應(yīng)用較大的神經(jīng)網(wǎng)絡(luò)模型來(lái)看，因?yàn)閺牡讓泳幋a開始構(gòu)建一個(gè)基礎(chǔ)的神經(jīng)網(wǎng)絡(luò)模型通常耗時(shí)耗力，多數(shù)企業(yè)從開源平臺(tái)獲取或第三方平臺(tái)上購(gòu)買基礎(chǔ)模型，這樣的基礎(chǔ)模型本身就有植入病毒的可能。

? ? ? ?二是學(xué)術(shù)界對(duì)于聯(lián)邦學(xué)習(xí)的安全保障效果尚無(wú)嚴(yán)格定義，利用中心服務(wù)器收集的梯度及權(quán)重信息還是有可能反推出每個(gè)參與方的數(shù)據(jù)信息。

? ? ? ?三是聯(lián)邦學(xué)習(xí)的機(jī)制默認(rèn)所有參與方都是可信方，無(wú)法規(guī)避某個(gè)參與方惡意提供虛假數(shù)據(jù)甚至病害數(shù)據(jù)，從而對(duì)最終的訓(xùn)練模型造成不可逆轉(zhuǎn)的危害。

? ? ? ?四是由于分布式參與節(jié)點(diǎn)計(jì)算能力不一致、網(wǎng)絡(luò)連接狀態(tài)不穩(wěn)定、數(shù)據(jù)通信非獨(dú)立分布等現(xiàn)實(shí)因素，聯(lián)邦學(xué)習(xí)的通信效率極易成為聯(lián)邦學(xué)習(xí)應(yīng)用的瓶頸之一。

? ? ? ?3、機(jī)密計(jì)算

? ? ? ?優(yōu)點(diǎn)：

? ? ? ?相對(duì)于其他隱私計(jì)算技術(shù)，機(jī)密計(jì)算具有通用和高效的優(yōu)勢(shì)，不僅可以無(wú)縫支持通用計(jì)算框架和應(yīng)用，而且計(jì)算性能基本可匹敵明文計(jì)算。它可以單獨(dú)用于隱私計(jì)算，也可以與其他技術(shù)結(jié)合在一起來(lái)保護(hù)隱私，尤其對(duì)于安全可信云計(jì)算、大規(guī)模數(shù)據(jù)保密協(xié)作、隱私保護(hù)的深度學(xué)習(xí)等涉及大數(shù)據(jù)、高性能、通用隱私計(jì)算的場(chǎng)景，是重要的技術(shù)手段。

? ? ? ?缺點(diǎn)：

? ? ? ?機(jī)密計(jì)算的缺點(diǎn)在于TEE 信任鏈跟CPU 廠商綁定，目前硬件技術(shù)被掌握在英特爾、高通、ARM等少數(shù)外國(guó)核心供應(yīng)商中，從而影響到機(jī)密計(jì)算技術(shù)的可信度。機(jī)密計(jì)算的另一個(gè)缺點(diǎn)是目前的TEE 實(shí)現(xiàn)在理論上存在側(cè)信道攻擊的可能性，因?yàn)門EE與其它非可信執(zhí)行環(huán)境空間共享了大量的系統(tǒng)資源。

? ? ? ?4、差分隱私

? ? ? ?優(yōu)點(diǎn)：

? ? ? ?差分隱私技術(shù)基于嚴(yán)格的數(shù)據(jù)理論，能夠?qū)崿F(xiàn)數(shù)據(jù)資源的最大利用，在多方安全計(jì)算中，采用可計(jì)算的差分隱私能大大降低多方安全計(jì)算的計(jì)算復(fù)雜度和通訊量。

? ? ? ?缺點(diǎn)：

? ? ? ?差分隱私通過(guò)添加噪聲實(shí)現(xiàn)隱私保護(hù)，會(huì)對(duì)模型可用性和準(zhǔn)確性造成一定程度影響，因此，對(duì)于準(zhǔn)確度要求較高的場(chǎng)景如人臉識(shí)別、金融風(fēng)險(xiǎn)計(jì)量，目前無(wú)法大規(guī)模應(yīng)用該項(xiàng)技術(shù)。

? ? ? ?另一方面差分隱私保護(hù)目標(biāo)是計(jì)算結(jié)果而不是計(jì)算過(guò)程，以機(jī)器學(xué)習(xí)建模為例，差分隱私可以在建模結(jié)果上加入噪聲，保證攻擊者難以從建模結(jié)果反推出樣本信息，但差分隱私依然需要計(jì)算方顯式的訪問(wèn)訓(xùn)練數(shù)據(jù)，因此沒(méi)有保護(hù)建模過(guò)程，因此與前面三種方案有根本不同。

? ? ? ?最后，給一張關(guān)鍵技術(shù)評(píng)價(jià)表[4]：