隱私保護(hù)計算技術(shù)你有沒有掌握
這部分介紹統(tǒng)計分析的隱私目標(biāo)。界定清楚了目標(biāo),就能夠準(zhǔn)確知道使用哪一種技術(shù),從而確定技術(shù)范疇。
隱私威脅和隱私增強(qiáng)技術(shù)的作用
通常在有關(guān)隱私的一般性討論中,信息安全從業(yè)人員會使用如下原則:隱私保護(hù)是使得信息不會“泄漏”到授權(quán)訪問者的保護(hù)范圍之外。
所有隱私增強(qiáng)技術(shù)(PET)都部分解決了以下普遍問題:“對于輸入數(shù)據(jù)集敏感部分的數(shù)據(jù)分析會泄漏多少隱私?”。
泄漏可能是有意的(黑客,好奇的數(shù)據(jù)分析人員)或無意的(分析期間出乎意料的敏感結(jié)果)。無論如何,隱私增強(qiáng)技術(shù)都可以減少此類泄漏的風(fēng)險。
重要的是要指出,我們描述的任何一種隱私增強(qiáng)技術(shù),實際上沒有一種已知的技術(shù),可以為隱私問題提供完整的解決方案。
這主要是因為這種模糊定義的目標(biāo)可能根據(jù)上下文具有不同的合適解釋。需要了解他們各自的隱私定義之間的相互作用。這種集成始于威脅建模階段,因為必須最終根據(jù)適用于每種技術(shù)的隱私定義的具體參數(shù)來設(shè)置隱私要求。
部署隱私增強(qiáng)技術(shù)的關(guān)鍵方面
部署PET的關(guān)鍵方面是必須將它們部署在盡可能靠近數(shù)據(jù)所有者的位置。最佳的隱私保證要求在將機(jī)密數(shù)據(jù)發(fā)布給第三方之前,數(shù)據(jù)所有者必須在本地使用PET。
這可以用一個簡單的類比來解釋使用訪問控制。
通常,與數(shù)據(jù)打交道的組織部署基于角色的訪問控制(RBAC),該訪問控制僅授予授權(quán)人員訪問數(shù)據(jù)的權(quán)限。
但是,這仍然假定組織本身具有對所有收集的數(shù)據(jù)的完全訪問權(quán)限。因此,組織對所有數(shù)據(jù)負(fù)責(zé)。但是,有了正確部署的隱私增強(qiáng)技術(shù),組織將能夠在沒有完全訪問權(quán)限的情況下執(zhí)行其職責(zé),從而減少責(zé)任。
統(tǒng)計信息的隱私目標(biāo)
在對以上兩個設(shè)置進(jìn)行了一般性描述之后,我們使用下面的抽象說明隱私目標(biāo)。如圖3所示,一個或多個輸入方將敏感數(shù)據(jù)提供給一個或多個進(jìn)行統(tǒng)計分析的計算方,從而為一個或多個結(jié)果方產(chǎn)生結(jié)果。
現(xiàn)在,我們介紹三個自然的隱私目標(biāo),這些目標(biāo)自然地與文檔中稍后介紹的技術(shù)和隱私定義相關(guān)。
這些目標(biāo)應(yīng)被視為一般指南,具體部署可能具有特定的隱私要求,需要仔細(xì)評估。
不過,理想情況下,應(yīng)該以提供具體隱私保證的方式解決此類要求,我們認(rèn)為以下分類是很自然的該建模任務(wù)的起點。
輸入隱私,輸出隱私和政策執(zhí)行的隱私目標(biāo)是根據(jù)對隱私保護(hù)統(tǒng)計數(shù)據(jù)的研究改編而成的。
輸入隱私
輸入隱私意味著計算方無法訪問或獲取輸入方提供的任何輸入值,也不能在數(shù)據(jù)處理期間訪問中間值或統(tǒng)計結(jié)果(除非已專門選擇該值進(jìn)行公開)。
請注意,即使計算方無法直接訪問這些值,也可以通過使用諸如邊信道攻擊之類的技術(shù)來推導(dǎo)它們。
因此,輸入私密性需要防止3種所有此類機(jī)制的保護(hù),而這三種機(jī)制都將允許計算方推導(dǎo)輸入。
輸入隱私非??扇?,因為它可以顯著減少對輸入數(shù)據(jù)庫具有完全訪問權(quán)限的涉眾數(shù)量。從而減少了責(zé)任并簡化了對數(shù)據(jù)保護(hù)法規(guī)的遵守。
輸入隱私的概念在相互不信任的一方參與計算其私有數(shù)據(jù)的情況下特別相關(guān),但是任何一方學(xué)習(xí)超過其規(guī)定的輸出被視為違反隱私的情況。
再次參考上面的掃描儀數(shù)據(jù)示例,零售商將要求設(shè)置在適當(dāng)位置以收集和計算價格指數(shù)的系統(tǒng)將為輸入價格提供輸入隱私權(quán)。
輸出隱私
隱私保護(hù)統(tǒng)計分析系統(tǒng)在保證輸出結(jié)果不包含輸入方所允許的可識別輸入數(shù)據(jù)的范圍內(nèi)實施輸出隱私。
輸出隱私解決了測量和控制計算結(jié)果中存在的泄漏量的問題,而與計算本身是否提供輸入隱私無關(guān)。
例如,在分析多方提供的分布式數(shù)據(jù)庫以生成數(shù)據(jù)的統(tǒng)計模型的情況下,輸出隱私與以下問題有關(guān):可以從已發(fā)布的數(shù)據(jù)庫中恢復(fù)多少有關(guān)原始數(shù)據(jù)的信息。
統(tǒng)計模型在模型的計算過程中各方之間交換的消息不會泄漏多少信息,因為后者與輸入隱私有關(guān)。
在數(shù)據(jù)發(fā)布中,例如,在NSO希望向公眾提供數(shù)據(jù)庫而又不泄露用于導(dǎo)出發(fā)布數(shù)據(jù)的任何相關(guān)輸入數(shù)據(jù)的情況下,強(qiáng)烈要求輸出隱私。
政治執(zhí)行
如果隱私保護(hù)統(tǒng)計分析系統(tǒng)具有供輸入方執(zhí)行積極控制的機(jī)制,則該策略執(zhí)行策略執(zhí)行,該控制可以由計算方對敏感輸入執(zhí)行,并且可以將結(jié)果發(fā)布給結(jié)果方。
這種積極控制通常以正式語言來表達(dá),這種語言可以識別參與者及其參與規(guī)則。策略決策點將這些規(guī)則處理成機(jī)器可用的形式,而策略執(zhí)行點則提供了確保遵循規(guī)則的技術(shù)手段。
因此,策略執(zhí)行可以在保留隱私的統(tǒng)計分析系統(tǒng)中描述然后自動確保輸入和輸出的隱私,從而減少了對經(jīng)典但效果不佳的方法(如數(shù)據(jù)使用合同中的保密協(xié)議和保密條款)的依賴。
結(jié)合多個隱私目標(biāo)
實際的統(tǒng)計系統(tǒng)很可能會結(jié)合多種技術(shù)來涵蓋多個隱私目標(biāo)。有關(guān)如何覆蓋圖3所示的整個系統(tǒng)的示例,請參見圖4。
輸入隱私包括源數(shù)據(jù),中間和最終處理結(jié)果。輸入方負(fù)責(zé)保護(hù)自己的輸入數(shù)據(jù),但是一旦傳輸了數(shù)據(jù),接收方就必須繼續(xù)對其進(jìn)行保護(hù)。
輸出隱私是統(tǒng)計產(chǎn)品的財產(chǎn)。即使計算方負(fù)責(zé)確保計算結(jié)果具有某種形式的輸出隱私,但風(fēng)險幾乎總是與結(jié)果方學(xué)習(xí)過多有關(guān)。
策略執(zhí)行覆蓋整個系統(tǒng)-輸入方可能會在授予數(shù)據(jù)之前要求對處理進(jìn)行控制,結(jié)果各方可能希望遠(yuǎn)程審核處理的正確性。提供此類控制的責(zé)任在于計算方,在我們的情況下,計算方是國家統(tǒng)計局。
統(tǒng)計信息的隱私增強(qiáng)技術(shù)
我們考慮以下技術(shù):
1)安全多方計算(縮寫為MPC)
2)(完全)同態(tài)加密(縮寫為HE或FHE)
3)受信任的執(zhí)行環(huán)境(縮寫為TEE)
4)差分隱私