隱私保護計算技術指南-2

買賣虛擬貨幣
這部分介紹統計分析的隱私目標。界定清楚了目標,就能夠準確知道使用哪一種技術,從而確定技術範疇。隱私威脅和隱私增強技術的作用通常在有關隱私的一般性討論中,資訊保安從業人員會使用如下原則:隱私保護是使得資訊不會“洩漏”到授權訪問者的保護範圍之外。所有隱私增強技術(PET)都部分解決了以下普遍問題:“對於輸入資料集敏感部分的資料分析會洩漏多少隱私?”。洩漏可能是有意的(駭客,好奇的資料分析人員)或無意的(分析期間出乎意料的敏感結果)。無論如何,隱私增強技術都可以減少此類洩漏的風險。重要的是要指出,我們描述的任何一種隱私增強技術,實際上沒有一種已知的技術,可以為隱私問題提供完整的解決方案。
這主要是因為這種模糊定義的目標可能根據上下文具有不同的合適解釋。需要了解他們各自的隱私定義之間的相互作用。這種整合始於威脅建模階段,因為必須最終根據適用於每種技術的隱私定義的具體引數來設定隱私要求。部署隱私增強技術的關鍵方面部署PET的關鍵方面是必須將它們部署在儘可能靠近資料所有者的位置。最佳的隱私保證要求在將機密資料釋出給第三方之前,資料所有者必須在本地使用PET。這可以用一個簡單的類比來解釋使用訪問控制。通常,與資料打交道的組織部署基於角色的訪問控制(RBAC),該訪問控制僅授予授權人員訪問資料的許可權。但是,這仍然假定組織本身具有對所有收集的資料的完全訪問許可權。因此,組織對所有資料負責。但是,有了正確部署的隱私增強技術,組織將能夠在沒有完全訪問許可權的情況下執行其職責,從而減少責任。
統計資訊的隱私目標

在對以上兩個設定進行了一般性描述之後,我們使用下面的抽象說明隱私目標。如圖3所示,一個或多個輸入方將敏感資料提供給一個或多個進行統計分析的計算方,從而為一個或多個結果方產生結果。

現在,我們介紹三個自然的隱私目標,這些目標自然地與文件中稍後介紹的技術和隱私定義相關。

這些目標應被視為一般指南,具體部署可能具有特定的隱私要求,需要仔細評估。

不過,理想情況下,應該以提供具體隱私保證的方式解決此類要求,我們認為以下分類是很自然的該建模任務的起點。

輸入隱私,輸出隱私和政策執行的隱私目標是根據對隱私保護統計資料的研究改編而成的。

輸入隱私

輸入隱私意味著計算方無法訪問或獲取輸入方提供的任何輸入值,也不能在資料處理期間訪問中間值或統計結果(除非已專門選擇該值進行公開)。

請注意,即使計算方無法直接訪問這些值,也可以透過使用諸如邊通道攻擊之類的技術來推導它們。

因此,輸入私密性需要防止3種所有此類機制的保護,而這三種機制都將允許計算方推導輸入。

輸入隱私非常可取,因為它可以顯著減少對輸入資料庫具有完全訪問許可權的涉眾數量。從而減少了責任並簡化了對資料保護法規的遵守。

輸入隱私的概念在相互不信任的一方參與計算其私有資料的情況下特別相關,但是任何一方學習超過其規定的輸出被視為違反隱私的情況。

再次參考上面的掃描器資料示例,零售商將要求設定在適當位置以收集和計算價格指數的系統將為輸入價格提供輸入隱私權。

輸出隱私

隱私保護統計分析系統在保證輸出結果不包含輸入方所允許的可識別輸入資料的範圍內實施輸出隱私。

輸出隱私解決了測量和控制計算結果中存在的洩漏量的問題,而與計算本身是否提供輸入隱私無關。

例如,在分析多方提供的分散式資料庫以生成資料的統計模型的情況下,輸出隱私與以下問題有關:可以從已釋出的資料庫中恢復多少有關原始資料的資訊。

統計模型在模型的計算過程中各方之間交換的訊息不會洩漏多少資訊,因為後者與輸入隱私有關。

在資料釋出中,例如,在NSO希望向公眾提供資料庫而又不洩露用於匯出釋出資料的任何相關輸入資料的情況下,強烈要求輸出隱私。

政治執行

如果隱私保護統計分析系統具有供輸入方執行積極控制的機制,則該策略執行策略執行,該控制可以由計算方對敏感輸入執行,並且可以將結果釋出給結果方。

這種積極控制通常以正式語言來表達,這種語言可以識別參與者及其參與規則。策略決策點將這些規則處理成機器可用的形式,而策略執行點則提供了確保遵循規則的技術手段。

因此,策略執行可以在保留隱私的統計分析系統中描述然後自動確保輸入和輸出的隱私,從而減少了對經典但效果不佳的方法(如資料使用合同中的保密協議和保密條款)的依賴。

結合多個隱私目標

實際的統計系統很可能會結合多種技術來涵蓋多個隱私目標。有關如何覆蓋圖3所示的整個系統的示例,請參見圖4。

輸入隱私包括源資料,中間和最終處理結果。輸入方負責保護自己的輸入資料,但是一旦傳輸了資料,接收方就必須繼續對其進行保護。

輸出隱私是統計產品的財產。即使計算方負責確保計算結果具有某種形式的輸出隱私,但風險幾乎總是與結果方學習過多有關。

策略執行覆蓋整個系統-輸入方可能會在授予資料之前要求對處理進行控制,結果各方可能希望遠端稽覈處理的正確性。提供此類控制的責任在於計算方,在我們的情況下,計算方是國家統計局。

統計資訊的隱私增強技術

我們考慮以下技術:

1)安全多方計算(縮寫為MPC)
2)(完全)同態加密(縮寫為HE或FHE)
3)受信任的執行環境(縮寫為TEE)
4)差分隱私

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;