隐私计算-面向隐私保护的新型计算
信息通信技术 2018-12-15 李晖 西安电子科技大学网络与信息安全学院执行院长
1 隐私保护当前问题
目前已有的各类隐私保护方案大多针对单一场景,隐私缺乏定量化的定义,隐私保护的效果、隐私泄露的利益损失以及隐私保护方案融合的复杂性三者之间的关系刻画缺乏系统的计算模型,使隐私信息在不同系统、不同用户间共享、交换和分析过程中难以被准确刻画和量化,阻碍各类计算和信息服务系统对隐私进行统一评价。
2 隐私计算
隐私计算是面向隐私信息全生命周期保护的计算理论和方法,具体是指在处理视频、音频、图像、图形、文字、数值、泛在网络行为信息流等信息时,对所涉及的隐私信息进行描述、度量、评价和融合等操作,形成一套符号化、公式化且具有量化评价标准的隐私计算理论、算法及应用技术,支持多系统融合的隐私信息保护。
隐私信息生命周期
3 隐私计算的关键问题
3.1隐私信息感知
从包含隐私的信息中构建隐私变量集合,从变量集合中确定变量的取值或取值范围,对隐私进行标记和编码,确定隐私变量的概率分布,从而对隐私变量中隐私度量的大小进行计算,为实施隐私保护提供支撑。针对数据中的隐私数据进行分析和量化,提出融合主观感知能力的多维度隐私动态度量方法,形成隐私数据分类定级标准,解决互联网环境下数据隐私的精准度量问题。
3.2隐私保护
主流的隐私保护方法可分为数据无失真的隐私保护方法和数据有失真隐私保护方法
数据无失真的隐私保护方法主要基于密码学方法,包括同态密码方案和安全多方计算
同态加密允许用户直接对密文进行特定的运算,将其解密所得到的结果与对明文进行同样的运算结果一样
注:一般的加密方案关注的都是数据存储安全,没有密钥的用户,不可能从加密结果中得到有关原始数据的任何信息。只有拥有密钥的用户才能够正确解密,得到原始的内容。我们注意到,这个过程中用户是不能对加密结果做任何操作的,只能进行存储、传输。对加密结果做任何操作,都将会导致错误的解密,甚至解密失败。
同态加密方案最有趣的地方在于,其关注的是数据处理安全。同态加密提供了一种对加密数据进行处理的功能。也就是说,其他人可以对加密数据进行处理,但是处理过程不会泄露任何原始内容。同时,拥有密钥的用户对处理过的数据进行解密后,得到的正好是处理后的结果。
目前主要的方法是针对具体的处理需求采用效率相对较高的部分同态方法设计密文计算方案,以支持数据匿名化统计、数据关联分析、多功能密文检索等隐私保护的数据处理。
数据有失真的隐私保护方法主要是数据匿名和数据扰动。数据匿名包括去除不同隐私数据间的关联性、数据泛化等,如k-匿名,l-多样性,t-邻近性等方法,使得攻击者无法获得个人的具体数据。
差分隐私技术主要应用在对数据集作统计量的时候保护用户隐私,通过统计学的方法来模拟一个效果,使得从数据集中去掉(或替换)任何一个个体的数据之后,得到同样的统计结果的概率和不去掉(或不替换)该个体记录时候得出的结果在很高概率上是一样的。
差分
隐私的具体实现方式是对数据集统计量输出叠加一个适当的噪声。
3.3隐私信息的销毁
确保隐私保护的信息不能被隐私分析提取,并建立一套体系或机制,可通知关联系统,一旦数据被销毁,释放相应的存储空间。在当前泛在网络空间环境中,隐私信息的销毁难度非常大。