作者：京東科技隱私計(jì)算產(chǎn)品部 楊博

1.背景

如今，組織在收集、存儲(chǔ)敏感的個(gè)人信息以及在外部環(huán)境（例如云）中處理、共享個(gè)人信息時(shí)， 越來越關(guān)注數(shù)據(jù)安全。這是遵守隱私法規(guī)的強(qiáng)需求：例如美國加利福尼亞州消費(fèi)者隱私法 (CCPA)、歐盟通用數(shù)據(jù)保護(hù)條例 (GDPR) 和世界各地的其他新興法規(guī)，以及中國的《數(shù)安法》《個(gè)保法》等，都對安全處理敏感數(shù)據(jù)提出了要求。

(相關(guān)資料圖)

加密靜態(tài)數(shù)據(jù)不足以避免數(shù)據(jù)泄露。靜態(tài)數(shù)據(jù)加密創(chuàng)建了一個(gè)“加密邊界”，在該邊界之外可以以明文形式訪問數(shù)據(jù)。因?yàn)樘幚硗ǔＰ枰魑臄?shù)據(jù)，所以這個(gè)邊界通常存在潛在的數(shù)據(jù)泄漏風(fēng)險(xiǎn)。靜態(tài)數(shù)據(jù)加密也不支持與其他組織共享數(shù)據(jù)的方案。為了使數(shù)據(jù)有用，它們通常必須在應(yīng)用程序中以明文形式訪問，這大大降低了加密的保護(hù)能力。因此，不同的行業(yè)都需要新的隱私保護(hù)計(jì)算方法來滿足法律合規(guī)要求并為數(shù)據(jù)共享提供隱私保障。

廣義的隱私計(jì)算技術(shù)是面向隱私信息全生命周期保護(hù)的計(jì)算理論和方法，涵蓋信息所有者、信息轉(zhuǎn)發(fā)者、信息接收者在信息采集、存儲(chǔ)、處理、發(fā)布（含交換）、銷毀等全生命周期過程的所有計(jì)算操作，是實(shí)現(xiàn)隱私保護(hù)前提下數(shù)據(jù)安全流通的一系列技術(shù)。包括但不限于：

?基于數(shù)據(jù)限制發(fā)布的技術(shù)：如數(shù)據(jù)脫敏、去標(biāo)識(shí)化（掩碼、抑制、泛化、截?cái)唷⒒煜-匿名、l-多樣性、t-貼近等）

?基于數(shù)據(jù)失真的技術(shù)：如隨機(jī)擾動(dòng)、差分隱私、合成數(shù)據(jù)

?隱私計(jì)算技術(shù)：以多方安全計(jì)算、聯(lián)邦學(xué)習(xí)、可信執(zhí)行環(huán)境三大路線為基礎(chǔ)

?相關(guān)輔助技術(shù)：如區(qū)塊鏈、可驗(yàn)證計(jì)算、溯源審計(jì)技術(shù)

2.前言

隨著數(shù)字化和大數(shù)據(jù)分析技術(shù)的快速發(fā)展，對多方數(shù)據(jù)的需求也越來越多，例如對個(gè)人信用風(fēng)險(xiǎn)進(jìn)行評(píng)估，就需要聯(lián)合多個(gè)屬性特征進(jìn)行聯(lián)合統(tǒng)計(jì)分析。個(gè)人征信過程中需要采集的信息包括個(gè)人身份、住址、職業(yè)等基本信息，個(gè)人貸款、貸記卡、準(zhǔn)貸記卡、擔(dān)保等信用活動(dòng)中形成的個(gè)人信貸交易記錄，以及反映個(gè)人信用狀況的其他信息，基本涵蓋了個(gè)人生活的方方面面。各家征信機(jī)構(gòu)如果想要自己推出的信用體系實(shí)現(xiàn)精準(zhǔn)信用評(píng)估，經(jīng)受住市場檢驗(yàn)，它的信用模型就需要使用更多源、更及時(shí)且更有價(jià)值的海量數(shù)據(jù)來持續(xù)建模。

然而法規(guī)監(jiān)管和采集成本使數(shù)據(jù)難以共享，由于征信數(shù)據(jù)是一種非獨(dú)占性的特殊資源，具有復(fù)制成本低、所有權(quán)難確定、流通渠道難管控、使用范圍難限定等特點(diǎn)，稍有不慎，數(shù)據(jù)極易泄露。如何在保障數(shù)據(jù)安全和隱私的條件下實(shí)現(xiàn)征信數(shù)據(jù)的融合？如何保證征信數(shù)據(jù)的使用和傳播是可控的？多方安全計(jì)算（Secure Multi- Party Computation ，簡稱MPC）恰好解決了這個(gè)難題，為征信數(shù)據(jù)的豐沛流動(dòng)提供了技術(shù)可能。

MPC技術(shù)具有保護(hù)隱私、結(jié)果正確、操作可控的優(yōu)勢，這可以解決征信數(shù)據(jù)融合的技術(shù)困境。MPC通過密碼學(xué)手段，可以保證參與征信數(shù)據(jù)融合的各方本身的數(shù)據(jù)不泄露；通過密文函數(shù)計(jì)算，可以保證運(yùn)算結(jié)果與明文計(jì)算相同；它還可以規(guī)定征信數(shù)據(jù)使用的用途和用量，使每一步操作都是可控、受限且可審計(jì)的。

3.多方安全計(jì)算-MPC（ Secure Multi-Party Computation ）

多方安全計(jì)算(MPC)是在無可信第三方情況下，多個(gè)參與方協(xié)同完成計(jì)算目標(biāo)，并保證每個(gè)參與者除計(jì)算結(jié)果外均不能得到其他參與實(shí)體的任何輸入信息。多方安全計(jì)算問題最初起源于1982年姚期智院士提出的百萬富翁問題，后來經(jīng)過多年不斷的發(fā)展，成為目前密碼學(xué)的一個(gè)重要分支。多方安全計(jì)算是基于密碼學(xué)的算法協(xié)議來實(shí)現(xiàn)隱私保護(hù)，常見的多方安全計(jì)算協(xié)議包括秘密共享（Secret Sharing，SS） 、混淆電路（Garbled Circuit，GC）、同態(tài)加密（Homomorphic Encryption，HE）、不經(jīng)意傳輸（Oblivious Transfer，OT）等。多方安全計(jì)算技術(shù)可以獲取數(shù)據(jù)使用價(jià)值，卻不泄露原始數(shù)據(jù)內(nèi)容，保護(hù)隱私，可適用于多方聯(lián)合數(shù)據(jù)分析、數(shù)據(jù)安全查詢（PIR，Private Information Retrieval）、隱私求交（PSI，rivate Set Intersection）、數(shù)據(jù)可信交換等應(yīng)用場景。一系列用于 MPC 的開源庫（例如ABY、EMP-toolkit，F(xiàn)RESCO，JIFF 、MP-SPDZ，MPyC, SCALE-MAMBA，和 TinyGable等) 得到了發(fā)展，進(jìn)一步推動(dòng)了 MPC 的應(yīng)用和部署。

表1展示了多方安全計(jì)算與聯(lián)邦學(xué)習(xí)和可信執(zhí)行環(huán)境的特性對比。 多方安全計(jì)算是基于密碼學(xué)的可證安全計(jì)算，具有高安全性，但對網(wǎng)絡(luò)要求高，可應(yīng)用在銀行、政府等高安全要求場景。聯(lián)邦學(xué)習(xí)效率高，適合數(shù)據(jù)量大的聯(lián)合機(jī)器學(xué)習(xí)場景，雖然存在梯度泄露問題，但可結(jié)合差分隱私或者多方安全計(jì)算來提升安全性?？尚艌?zhí)行環(huán)境屬于數(shù)據(jù)加密后集中計(jì)算，具有高安全性、高精度等特點(diǎn)，但需要數(shù)據(jù)加密集中到第三方環(huán)境，限制了其使用場景。

在 MPC 中，可以對多方貢獻(xiàn)的數(shù)據(jù)執(zhí)行計(jì)算，而任何一方都無法看到他們貢獻(xiàn)的數(shù)據(jù)內(nèi)容。這使得無需受信任的第三方即可執(zhí)行安全計(jì)算。下圖說明參與者在計(jì)算上進(jìn)行協(xié)作，只知道計(jì)算的結(jié)果，而不知道其他人貢獻(xiàn)的特定數(shù)據(jù)。以計(jì)算平均工資為例，一種簡單的的方式是有一個(gè)可信第三方F負(fù)責(zé)收集A，B，C每個(gè)人的工資收入數(shù)據(jù)，并計(jì)算平均數(shù)。然而，顯示生活中的可信第三方不總是存在，也并不一定安全，其有可能會(huì)泄漏其收集的隱私數(shù)據(jù)。另一種方式就是采用多方安全計(jì)算，在無可信第三方的情況下，來保障各方的工資數(shù)據(jù)不泄漏，且能計(jì)算出平均工資數(shù)。

如下圖所示，Allie（A） 的工資是 100美元。在加性秘密共享中，100美元被分成三個(gè)隨機(jī)生成的部分（或秘密份額）：例如 20美元、30美元和 50美元。Allie 為自己保留其中一份秘密股份（50美元），并將一份秘密份額分配給Brian(B)（30美元）和Caroline(C)（20美元）。Brian 和 Caroline 也遵循相同的流程秘密分享他們的工資薪水。每個(gè)參與者在本地匯總他們的秘密份額以計(jì)算部分結(jié)果；在此示例中，每個(gè)部分結(jié)果是計(jì)算最終答案所需信息的三分之一。然后重新組合部分結(jié)果{-30, 480, 150}，將先前分發(fā)的完整秘密共享集相加求平均，即可得出Allie、Brian 和 Caroline 的平均工資是 200美元。可見，在整個(gè)過程中，各方根據(jù)自己手中掌握的部分秘密份額以及最終結(jié)果是無法推導(dǎo)出其他方的原始工資信息的。

4.MPC的幾個(gè)重要概念

安全的多方計(jì)算需要保證隱私和正確性。在存在對抗行為的情況下，必須保證安全屬性。主要考慮兩個(gè)經(jīng)典的對手模型：

?半誠實(shí)：半誠實(shí)的對手（又名被動(dòng)對手）遵循協(xié)議規(guī)范，但可能會(huì)嘗試從協(xié)議記錄中了解更多信息；

?惡意：惡意對手（又稱主動(dòng)對手）可以運(yùn)行任意攻擊策略以試圖破壞協(xié)議。

通信模式：MPC 的默認(rèn)通信方法是經(jīng)過身份驗(yàn)證的通道，它可以在實(shí)踐中使用已知的標(biāo)準(zhǔn)技術(shù)來實(shí)現(xiàn)。在多方設(shè)置中，各方也是通過點(diǎn)對點(diǎn)通道連接的，有時(shí)還需要一個(gè)廣播通道。使用標(biāo)準(zhǔn)的 2 輪回聲廣播協(xié)議可以有效地實(shí)現(xiàn)廣播信道。

設(shè)計(jì) MPC 協(xié)議有兩種主要方法：

?(1）秘密共享方法，使各方針對電路的每個(gè)非線性門進(jìn)行交互，通信帶寬低但具有與電路深度成線性關(guān)系的交互輪數(shù)；

?(2) 亂碼電路方法，讓各方構(gòu)建一個(gè)加密版本的電路，只允許計(jì)算一次，并且交互輪數(shù)恒定，但通信帶寬大。

4.1 不經(jīng)意傳輸（OT - Oblivious Transfer）

不經(jīng)意傳輸（OT，oblivious transfer）是一個(gè)密碼學(xué)協(xié)議，目前被廣泛的應(yīng)用于安全多方計(jì)算（MPC，Secure Multi-Party Computation）。它由 Rabin[1] 在 1981 年提出。 Alice 擁有秘密 S1，Bob 擁有秘密 S2 。Alice 和 Bob 想要交換秘密，要求兩方都有可能得到秘密并且秘密擁有方不知道對方是否得到秘密。

Even 等人的提出新的使用公鑰密碼體制的 1-out-of-2 OT 協(xié)議，給出了 OT 公理化的定義和實(shí)現(xiàn)。相比于 Rabin 等人提出的一方只有1/2的概率獲得秘密，Even等人將其進(jìn)行了改進(jìn)，即：Alice 擁有兩個(gè)秘密 (M0,M1) ，而 Bob 想要知道其中一個(gè)。在 OT 協(xié)議執(zhí)行完成之后，Bob 獲得了其中一個(gè)秘密，但是不知道另外一條秘密 ，并且 Alice 也不知道 Bob 選擇的是M0，還是M1。

4.2 基于秘密共享(Secret Sharing)的 MPC 協(xié)議

秘密共享的思想是將秘密以適當(dāng)?shù)姆绞讲鸱?，拆分后的每一個(gè)份額由不同的參與者管理，單個(gè)參與者無法恢復(fù)秘密信息，只有若干個(gè)參與者一同協(xié)作才能恢復(fù)秘密消息。更重要的是，當(dāng)其中任何相應(yīng)范圍內(nèi)參與者出問題時(shí)，秘密仍可以完整恢復(fù)。是信息安全和數(shù)據(jù)保密中的重要手段。

目前，具體高效的 MPC 協(xié)議主要采用三種線性秘密共享方案（LSSS）：加性秘密共享、Shamir 秘密共享，以及replicated秘密共享（又名 CNF 秘密共享），其中加性秘密共享主要用于不誠實(shí)多數(shù)設(shè)置中的 MPC 協(xié)議，而 Shamir 和replicated秘密共享用于誠實(shí)多數(shù) MPC 協(xié)議。為了實(shí)現(xiàn)惡意安全，加性秘密共享需要配置信息論消息認(rèn)證碼（IT-MACs）。

MPC 中使用的三種 LSSS 都是 ( n , t )-閾值秘密共享方案，它使n方可以在各方之間共享秘密x，使得t方的任何子集都無法獲得關(guān)于秘密x的任何信息，而任何t + 1 方的子集可以重建秘密x。加性秘密共享只能在t = n - 1 時(shí)進(jìn)行，而 Shamir/replicated 秘密共享允許任何 t < n（我們經(jīng)常采用 t < n/2 代表誠實(shí)多數(shù) MPC）。

4.3 基于亂碼電路的常數(shù)輪MPC協(xié)議

它的核心技術(shù)是將兩方參與的安全計(jì)算函數(shù)編譯成布爾電路的形式，并將真值表加密打亂，從而實(shí)現(xiàn)電路的正常輸出而又不泄露參與計(jì)算的雙方私有信息。已知的實(shí)際有效的常數(shù)輪 MPC 協(xié)議是基于亂碼電路構(gòu)建的，這些電路是電路的加密版本，并且只能計(jì)算一次。

亂碼電路協(xié)議分為四個(gè)部分。

Step 1: Alice 生成亂碼電路

Step 2: Alice 和 Bob 進(jìn)行通信

Step 3: Bob evaluate 生成的亂碼電路

Step 4: 分享結(jié)果

4.4 半誠實(shí)協(xié)議

半誠實(shí)的參與方，遵循了協(xié)議的執(zhí)行，但是卻保存了協(xié)議的中間計(jì)算狀態(tài)，實(shí)際上，半誠實(shí)的參與方，只保存內(nèi)部的擲硬幣過程（產(chǎn)生隨機(jī)數(shù)的過程）和所有從其他參與方接收到的消息。特別是，一個(gè)半誠實(shí)的參與方會(huì)選擇隨機(jī)數(shù)和根據(jù)預(yù)定的程序進(jìn)行操作，即根據(jù)預(yù)定的程序公平的產(chǎn)生隨機(jī)數(shù)和執(zhí)行輸入與輸出。

第一個(gè)常數(shù)輪安全兩方計(jì)算（2PC）協(xié)議是由姚[ 6 ]提出的，實(shí)現(xiàn)了半誠實(shí)的安全性。Yao 的 2PC 協(xié)議采用亂碼電路（GC）和 OT 作為構(gòu)建塊。在多方設(shè)置中，常數(shù)輪MPC必須處理多方合謀欺騙誠實(shí)方的情況。因此，不能只讓一方構(gòu)建亂碼電路，而是讓各方以分布式的方式共同構(gòu)建亂碼電路。

4.5 惡意安全協(xié)議

為了實(shí)現(xiàn)惡意安全，需要增加一些檢查程序。在不誠實(shí)多數(shù) MPC 和誠實(shí)多數(shù) MPC 之間，確保免受惡意對手攻擊的底層技術(shù)是不同的。例如，不誠實(shí)多數(shù)設(shè)置中的 MPC 需要信息論消息認(rèn)證碼 IT-MAC 來驗(yàn)證各方共享的值。

安全的兩方計(jì)算：

對于常數(shù)輪2PC 協(xié)議，在 2017 年之前，一種流行的設(shè)計(jì)惡意安全協(xié)議的方法是使用“Cut-and-Choose”（C&C）技術(shù)。使用這種技術(shù)有兩種不同的風(fēng)格。

?第一個(gè)是 Lindell 和 Pinkas 引入的電路級(jí) C&C 方法

?第二種是 Nielsen 和 Orlandi 引入的門級(jí) C&C 方法

目前，用于惡意安全 2PC 的最先進(jìn)方法是采用分布式亂碼方法，并且明顯優(yōu)于兩種 C&C 方法。

安全的多方計(jì)算：

不誠實(shí)的大多數(shù)。對于容忍非一個(gè)惡意破壞的常數(shù)輪循環(huán) MPC 協(xié)議，一些研究采用cut-and-choose的方式或者BMR和SPDZ的組合方式來構(gòu)建MPC協(xié)議。但是，它們的執(zhí)行效率很低。Goldreich、Micali 和 Wigderson (GMW) 提出了一種通用編譯器，用于將半誠實(shí)的 MPC 協(xié)議轉(zhuǎn)換為惡意安全的 MPC 協(xié)議，以完成相同的計(jì)算任務(wù)。然而，這個(gè)編譯器是非黑盒的，它使用通用的零知識(shí)證明來證明每一步計(jì)算的正確性，因此效率不高。后來，Ishai、Prabhakaran 和 Sahai (IPS) 提出了一種黑盒編譯器，其中具有半誠實(shí)安全性的內(nèi)部MPC協(xié)議在OT-混合模型中計(jì)算電路，并且在誠實(shí)多數(shù)設(shè)置中具有惡意安全性的外部MPC協(xié)議用于保證安全性存在惡意對手的情況下的整個(gè) MPC 協(xié)議。 SPDZ 框架是不誠實(shí)多數(shù)惡意設(shè)置中最先進(jìn)的協(xié)議。原始 SPDZ 協(xié)議使用深度 1 同態(tài)加密 (HE) 方案（即底層 HE 方案可以支持一次乘法）在預(yù)處理階段生成經(jīng)過驗(yàn)證的三元組，并且可以在在線階段快速評(píng)估電路。

誠實(shí)的大多數(shù)。在誠實(shí)多數(shù)設(shè)置中，可以使用較少的通信和計(jì)算基于replicated秘密共享來構(gòu)建常數(shù)輪 MPC 協(xié)議。在惡意設(shè)置中，我們只需要檢查乘法門的正確性，因?yàn)榧臃ㄩT是在本地計(jì)算的并且總是正確的。具體來說，可以使用具有次線性通信的分布式零知識(shí)證明來驗(yàn)證乘法門的正確性。

5.MPC的應(yīng)用場景

隨著政府企業(yè)數(shù)字化轉(zhuǎn)型深入滲透，企業(yè)累計(jì)數(shù)據(jù)資產(chǎn)增多，平均數(shù)量級(jí)達(dá)到3.2PB，海量數(shù)據(jù)資產(chǎn)一方面意味著存在大量價(jià)值等待挖掘，另一方面意味著對數(shù)據(jù)安全防護(hù)能力提出了更高的要求。從各個(gè)行業(yè)來看，通信運(yùn)營商擁有最豐富最具價(jià)值的數(shù)據(jù)資產(chǎn)，借助隱私計(jì)算技術(shù)，可充分釋放數(shù)據(jù)要素生產(chǎn)力，實(shí)現(xiàn)數(shù)據(jù)變現(xiàn)。同時(shí)為數(shù)據(jù)要素市場安全發(fā)展提供核心基礎(chǔ)設(shè)施，賦能千行百業(yè)。政府?dāng)?shù)據(jù)開放已成為提升政務(wù)服務(wù)的關(guān)鍵。隱私計(jì)算能夠在保障數(shù)據(jù)安全的同時(shí)，增強(qiáng)全社會(huì)的數(shù)據(jù)協(xié)作，推動(dòng)數(shù)據(jù)要素賦能產(chǎn)業(yè)升級(jí)。金融企業(yè)數(shù)據(jù)作為一種生產(chǎn)要素，越來越多的業(yè)務(wù)場景需要多方數(shù)據(jù)流通和共享，打破“數(shù)據(jù)孤島”。健康醫(yī)療大數(shù)據(jù)是國家重要的基礎(chǔ)性戰(zhàn)略資源。通過整合醫(yī)療機(jī)構(gòu)內(nèi)部及跨機(jī)構(gòu)的多源異構(gòu)數(shù)據(jù)，構(gòu)建統(tǒng)一的健康醫(yī)療大數(shù)據(jù)模型，對于支撐行業(yè)治理、醫(yī)學(xué)科研、公共服務(wù)都能發(fā)揮重要作用。特別是醫(yī)學(xué)科研和藥械研發(fā)，通過多機(jī)構(gòu)間健康醫(yī)療大數(shù)據(jù)共享應(yīng)用，能夠增強(qiáng)臨床試驗(yàn)、準(zhǔn)入、監(jiān)管等聯(lián)系性和協(xié)同性，加快新一代基因測序、腫瘤免疫治療、干細(xì)胞與再生醫(yī)學(xué)、生物醫(yī)學(xué)大數(shù)據(jù)分析等關(guān)鍵技術(shù)研究和轉(zhuǎn)化，推動(dòng)重大疾病的早期篩查、個(gè)體化治療等精準(zhǔn)化應(yīng)用解決方案和決策支持系統(tǒng)應(yīng)用。隱私計(jì)算能夠兼顧多方協(xié)作過程中的安全性與效率性，以下列舉了MPC在各領(lǐng)域的一些典型應(yīng)用場景：

金融領(lǐng)域：

政務(wù)領(lǐng)域：

醫(yī)療、互聯(lián)網(wǎng)領(lǐng)域：

6.結(jié)語

政府、企業(yè)、組織以及個(gè)人越來越關(guān)注數(shù)據(jù)隱私，通常實(shí)施的解決方案已不能提供足夠的保護(hù)能力來防止數(shù)據(jù)盜竊和隱私泄露。加密靜態(tài)數(shù)據(jù)不足以避免數(shù)據(jù)泄露，不同的行業(yè)已經(jīng)開始利用新的隱私保護(hù)技術(shù)。而新技術(shù)的發(fā)展使安全共享數(shù)據(jù)和保護(hù)個(gè)人隱私成為可能。這些技術(shù)可以允許在企業(yè)、組織之間共享數(shù)據(jù)使用價(jià)值，在數(shù)據(jù)湖和云中搜索加密數(shù)據(jù)，而不會(huì)損害數(shù)據(jù)隱私，同時(shí)仍然保留數(shù)據(jù)的分析質(zhì)量。

然而，帶來安全性的同時(shí)，難免對數(shù)據(jù)分析的性能有所損失，我們?nèi)孕枰碌碾[私保護(hù)計(jì)算方法來幫助尋找新的機(jī)會(huì)并在隱私、安全和合規(guī)之間找到適當(dāng)?shù)钠胶狻?/p>

7.參考文獻(xiàn)

1.隱私計(jì)算聯(lián)盟，《隱私計(jì)算應(yīng)用研究報(bào)告（2022年）》，??https://mp.weixin.qq.com/s/B-z_z_LqvHsj9Xg9irknaQ??

2.隱私計(jì)算聯(lián)盟，《可信隱私計(jì)算研究報(bào)告（2022年）》，??https://mp.weixin.qq.com/s/ItTFfLP3h8mTYZoCytyvYg??

3.Shamir, A. (1979) How to Share a Secret. Communications of the ACM, 22, 612-613.

4.Yao.A.C. How to Generate and Exchange Secrets. FOCS 1986: 162-167

5.Gennaro R, Gentry C, Parno B. Non-interactive Verifiable Computing: Outsourcing Computation to Untrusted Workers[M]// Advances in Cryptology – CRYPTO 2010. Springer Berlin Heidelberg, 2010:465-482.

6.Rabin M O . How to Exchange Secrets by Oblivious Transfer[J]. Technical Memo TR-81, 1981.

7.Feng D and Yang K. Concretely efficient secure multi-party computation protocols: survey and more. Security and Safety 2022; 1: 2021001. ??https://doi.org/10.1051/sands/?? 2021001

8.信通院，《隱私計(jì)算白皮書（2021年）》