可信隱私計算：破解數據密態時代“技術困局”

韋韜 潘無窮 李婷婷 衛振強

(螞蟻科技集團股份有限公司，杭州 310063)

0 引言

數據流通對于國家信息化進程、產業數字化轉型是必不可缺的。以前，為了便利數據生產加工和導入導出，許多應用系統常常直接基于明文數據進行開發和流通。在這個過程中，數據流過的每一家機構都有可能會拷貝一份明文數據。隨著傳播路徑的擴散，擁有這份數據的機構越來越多。任何一個機構出現數據濫用或者泄露，都會產生嚴重影響。可見，明文流通有著顯著危害。

《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等都明確規定數據的持有者必須要確保所持有的數據安全，并且對數據的使用進行了嚴格的限制。在大部分場景下，除了匿名化之后的數據或者已經取得用戶授權的數據，是不允許任意流通的。在這種情況下，密態流通無疑是最好的選擇，能夠更好地控制數據的使用和流通范圍。

在數據要素行業發展、安全、法規等多種因素的作用下，密態數據流通會成為未來數據流通的主要形式，促進各行各業安全合規的蓬勃發展，并最終迎來密態時代。當前密態時代才剛剛開啟，未來涉及到的場景、處理的數據規模、模型的復雜程度都將遠遠大于現在。在底層支撐的數據密態技術，一定要達到作為廣泛性業務基礎設施的技術門檻。

(1)性能足夠高。在全場景覆蓋、大數據、復雜模型的需求下，密態計算的性能要足夠高。理想情況下，對于樹模型這類中等復雜度的機器學習訓練問題，性能要達到每小時處理億級數據。

(2)穩定性足夠強。在全場景覆蓋、實時場景的需求下，密態計算要足夠的穩定，要能夠達到和其他基礎設施一樣的穩定性，在關鍵應用領域至少能夠達到99.99%，甚至更高。

(3)成本足夠低。為了不對現有計算資源和網絡資源造成嚴重沖擊，密態計算相對明文計算的成本增長最好控制在一個數量級以內。

(4)適用性足夠廣。在全場景覆蓋的情況下，密態計算要能夠支持任意的處理邏輯，尤其是靈活地支持不同數量的參與方。

(5)安全性足夠高且達成行業共識。密態計算的安全性要足夠高，客觀上要能夠抵御潛在的攻擊。另外，在滿足安全需求的情況下應選擇性價比最高的方案，且該方案要能夠得到行業共識。

1 密態時代所需的關鍵技術現狀

匿名化技術和隱私計算技術是密態時代的基礎技術。密態時代對這兩項技術的需求也超過以往的任何時刻。

匿名化，是指個人信息經過處理無法識別特定自然人且不能復原的過程[1]。匿名化之后的信息在流通的時候，即便泄露也不會泄露個人信息。個人的隱私權可以得到保障，也不會因為信息泄露導致詐騙等。

隱私計算技術是指多個參與方在不泄露自己數據的情況下進行聯合計算的技術。相比于匿名化只是保護身份信息，隱私計算技術則保護所有的數據信息，能夠有效地阻止因數據流通帶來的信息泄露風險，并且能夠充分保證數據所有者的權益。

1.1 絕對匿名化會損失數據價值

匿名化的過程通常是對數據進行模糊處理，比如添加噪聲或者區間化。一些匿名化后的數據，看似與個人信息無關，但是通過深入的數學分析仍能定位出個人信息。2015年的《科學》雜志載文稱，MIT研究人員[2]發現，利用4筆匿名信用卡的交易信息，就可以識別出90%的信用卡持有者的真實身份。2006年，視頻網站Netflix公布了用戶的匿名化信息，但研究人員發現，通過8部電影的評分信息，就可以唯一標識數據庫中99%的用戶[3]。

可以從信息熵的角度解釋為什么匿名化總是失效。全球有80 億人口，有33 bit的熵就可以唯一定位一個人(233=80 億)。假設公布了33個特征，每個特征有1 bit有效信息，如果這些信息互不相關，就達到了33 bit的熵。但典型的機器學習使用幾百個特征、每個特征幾十個比特，遠遠超過了上述上限。也就是說，在開放的空間中(匿名化信息能夠公開獲取)，匿名化和個體粒度的數據要素價值是兩個不可調和的對立面。絕對匿名化的個體粒度信息實際上也不再具備使用價值。

1.2 現有隱私計算技術在性能和穩定性上存在嚴重短板

1.2.1 多方安全計算

多方安全計算(Secure Muti-Party Computation，MPC)[4]是指基于密碼協議達到隱私計算的目標，一般包括秘密分享、混淆電路、不經意傳輸等，并與加法同態等配合使用。MPC以基于模加的秘密分享最為常見[5]。例如，每個變量都被表示成兩(多)個隨機數的模加，x=x1+x2mod 264。

在這種表示下，計算加法是很容易的(對應的分量相加)，但是計算乘法就困難得多。在不降低安全性的情況下，一般采用不經意傳輸或加法同態，尤其是后者。圖1展示了“MPC+同態”下乘法的典型實現流程。甲、乙分別擁有敏感數據x、y，目標共同計算z=xy，輸出z以秘密分享形式表示，即z=z1+z2。具體流程如下(對于維度適當的矩陣也適用)。

(1)乙將自己的數據y加密后發送。

(2)甲生成一個用于掩蓋的隨機數r，并使用x、r、Enc(y)基于加法同態算法計算出Enc(xy+r)。

(3)乙解密獲得xy+r。

(4)甲、乙擁有的z的分量為z1=-r、z2=xy+r。

上述過程中的消耗是非常大的，需要一系列的加法同態操作和一次公網傳輸。加法同態的計算量與非對稱運算相當(如RSA、SM2)，大約在ms級；公網往返耗時在10 ms級；公網傳輸耗時在100 us級(按1 000 bit傳輸量，10 Mbit/s 公網帶寬估計)。雖然通過硬件加速、批處理等方式能夠一定程度上減少或分攤計算消耗、公網往返耗時，但是公網傳輸耗時是無法通過這些方式減少的。相比于明文計算乘法只需要一個CPU時鐘周期，約0.3 ns，兩者的差距在5～7個數量級(取決于批處理的量)。

乘法是整個計算生態的一個基礎操作，占比很大，導致MPC技術路線的性能比明文要低5～7個量級，并且這個差距的很大一部分來自于公網耗時，很難提升。

1.2.2 MPC+中心預計算

為了降低MPC技術的耗時，“MPC+中心預計算”采用中立第三方進行預計算[6]。具體地，引入一個中立第三方，在明文的形式下進行一些預計算，然后將預計算結果分發給MPC的參與方，MPC的參與方實時進行隱私乘法時就不再需要非對稱運算等大的運算量。

這種方式在安全性上有很大犧牲，如果中立第三方和其中一個參與方合謀，就可以獲得其他參與方的數據。也就是說，一個參與方不能完全依靠技術手段保證自己的數據安全。

雖然計算耗時很小，但本路線仍然像“MPC+同態”一樣每(批)次乘法都需要公網交互，考慮公網傳輸量一般較后者小，所以與明文的耗時差距大概在4～7個數量級(取決于批處理的量)。

1.2.3 聯邦學習

聯邦學習(Federated Learning，FL)的底層也是采用MPC、加法同態等密碼協議，但是會把一些看似和原始數據無關的中間過程使用明文進行計算，目的是提升計算性能。這些算法在設計之初時往往沒有進行過充分論證。要特別說明的是，這與一般的密碼算法設計有很大不同，后者一般要大量密碼專家進行長時間的論證。產生這種情況也是因為密態時代到來的太過迅速。

過去公開的攻擊已經表明[7-10]，這種部分明文化的做法并不可靠，存在通過中間過程數據反推出原始信息的隱患。

另外，該思路仍然有一部分計算過程需要使用多方安全計算、加法同態等，所以雖然性能比多方安全計算要快，但仍然在相似量級上，計算成本依然居高不下。

1.2.4 全同態

全同態[11-12]支持在密文上直接進行計算，效果等同于在明文上進行計算再加密。但是目前的性能比MPC低，并且數據膨脹效應非常顯著，適用范圍很小。

1.2.5 可信執行環境

可信執行環境(Trusted Execution Environment，TEE)能夠基于硬件提供一個隔離的運行環境，其隔離性不受任何外部軟硬件和人員的影響，各方可以將數據匯聚到TEE中進行融合計算。但是，TEE的安全性是依賴于技術體系設計和實現的正確性，受系統漏洞影響。目前，TEE的安全風險主要來自于側信道攻擊和供應鏈攻擊[13-17]。尤其是一些供應鏈異常的情況會導致攻擊者有機會在物理上接近TEE，進而可以實施更多的攻擊手段。一旦攻擊成功，就有機會竊取TEE內部的數據。

基于密碼的隱私計算技術與常見的密碼算法有很大不同，需要大量的公網交互，這些交互極大地限制了密碼算法的性能。在性能的壓力下，一些場景被迫采用有隱患的算法，即便如此，性能仍然嚴重受限于公網交互。TEE技術受供應鏈等安全隱患影響，也面臨著顯著挑戰。

2 可信隱私計算技術

2.1 受控匿名化技術解決匿名化困境

在絕對匿名化會損失數據價值的情況下，相對匿名化逐漸成為公認的出路。相對匿名化指的是在不結合密鑰、外部場景信息的情況下，無法恢復出個人身份的匿名化技術。受控匿名化技術是指將相對匿名化的數據限制在受控環境中，切斷其與外部信息的關聯，達到安全性近似絕對匿名化的效果。

在受控匿名化技術中，各個參與方需要在本地對用戶身份進行去標識，同時在數據價值損失有限的前提下對屬性信息進行模糊處理。上述處理之后的數據仍然要受到嚴格管控，禁止公開。為此，上述數據必須在受控環境中使用；并且該環境與外部的交互必須受到嚴格的管控，包括數據的存儲、傳輸、計算、研發等。圖2是受控匿名化技術典型的示例圖。

(1)參與者對ID等身份信息進行去標識。為了防止攻擊者建立去標識前后的對應關系，去標識過程應使用基于密鑰的密碼計算過程，比如HMAC或確定性加密算法，并且確保密鑰的安全。建議將密鑰存放在參與者本地的受控環境中，避免惡意的參與者獲取密鑰。

(2)參與者對用戶屬性信息進行一定程度的模糊處理，如區間化、加噪聲等。在某些機器學習訓練算法中，區間化和加噪聲本來就是其中一個步驟。這些操作能夠大幅增加通過屬性追蹤用戶身份的難度。

(3)所有參與者將去標識之后的ID、模糊處理后的屬性信息傳輸到受控環境中，在受控環境中進行碰撞和融合計算。

(4)對受控環境與外部交互的各個通道進行嚴格管控。例如，在研發過程中，對少量需要展示的數據進行k匿名或脫敏處理；對輸出的結果，進行差分隱私、泛化/有效位截斷(精度過高會推出哪些數據參與了運算)等。

在受控環境的技術實現上，可信計算是非常好的一個選擇，它能夠提供可靠的隔離環境。另外，參與方還可以從遠程確認數據的處理、輸出方式，進一步確保數據安全可控。

? 受控匿名化的安全性：在參與方之外，只有相對匿名化后的信息在受控環境中出現。由于受控環境采用了可信計算等高安全保障的技術，一般不會發生大規模數據泄露。即便有少量數據泄露，因為這些數據都是經過相對匿名化處理的，對安全性影響不大。

? 受控匿名化的性能：首先，受控匿名化對身份信息、屬性等數據價值損失不大，最大程度地保證了數據的價值；其次，整個過程沒有大計算量的操作，整體性能非常高。

2.2 可信密態計算克服現有隱私計算技術的短板

經分析發現，決定隱私計算性能的關鍵是它屬于同網密態技術還是跨網密態技術，即計算過程中是否需要頻繁的公網交互。在這一思想的引導下，提出了一種新的隱私計算技術路線：可信密態計算(Trusted-Environment-Based Cryptographic Computing，TECC)。TECC通過在多個高速互聯的可信執行環境中運行密碼協議，將兩者有機地結合在一起，可以顯著解決這兩項技術的主要缺陷。綜合考慮性能、安全性、可靠性和成本等因素，TECC是最有希望滿足密態時代要求的隱私計算技術。

TECC的一個主要特征是可信執行環境里運行的是密態數據。為了充足的安全余量，建議搭配全棧可信(TPM+外殼防拆)技術，形成全棧可信、TEE、密態程序三層防御。這三層不是簡單地累加，TECC的安全特性可以克制全棧可信、TEE的主要缺陷。另一個主要特征是多個可信執行環境運行在高速網(內網)中。TECC因此成功地突破了其他技術都有的公網傳輸瓶頸，再結合其他優化技術，最終的性能遠超現有隱私技術并接近明文。圖3是TECC典型的示例圖。

(1)數據提供者在本地將數據拆分成多個密態分量，并將每個分量傳遞給不同分區的可信計算節點。

(2)每個可信計算節點只有部分密態(分量)數據，多個節點分區通過密碼協議完成目標計算。

(3)可信計算節點受TEE、TPM、全棧可信保護，運營者無法窺探。

(4)密碼協議的同一個角色由一個節點分區集群承擔，可以進行并行化加速。

2.2.1 TECC的安全性優勢

研究者建議TECC與全棧可信技術(包括外殼防拆技術、基于TPM的可信啟動技術等)配合使用。因為攻擊TEE一般需要物理接觸TEE或者攻入操作系統，全棧可信的防拆和軟件鏈驗證正好可以阻止這些行為。雖然全棧可信技術會增加一定的成本，但是對于隱私計算這么關鍵的任務是值得的。

在使用全棧可信之后，TECC具備了全棧可信、TEE、密態程序三層防御，安全性遠高于單獨使用TEE。這三層防御并不是簡單的疊加，TECC的安全能力可以克制全棧可信、TEE的主要安全缺陷。TEE歷史上的安全漏洞[18]主要是由以下幾個原因產生。

(1)因為TEE很難被直接攻破，側信道攻擊是最主要的攻擊形式。根據攻擊的關鍵對象，可以分為地址類側信道攻擊[19-22]和分支判斷類側信道攻擊等[23-25]。前者指通過觀測TEE訪問了哪些緩存行或內存頁等，獲得TEE訪問的地址信息，進而推斷敏感信息；后者指通過觀測能耗曲線、執行時間等，分析出TEE內部程序在分支判斷的時候走的是哪個分支，進而推斷敏感信息。

(2)因性能優化導致的瑕疵。性能是所有系統追求的指標之一，但是過度的性能優化會導致安全問題，主要包括側信道攻擊和預測執行攻擊(幽靈攻擊、Spectre)[26-28]。預測執行是TEE(CPU)的一個特性，TEE會根據歷史運行情況猜測要跳轉的分支，并提前執行，達到加速的效果。針對這一特性，攻擊者通過反復操縱輸入，最終讓TEE猜測錯誤，并進一步完成攻擊。

(3)設計實現疏忽導致的瑕疵。保障寄存器、內存等大的組件相對容易被正確設計和實現。但是一些細小組件的安全防護可能會被疏忽，如加載端口、行填充緩沖等。攻擊者有可能以采樣的方式從這些細小組件中讀取到TEE運行數據碎片，如微體系結構數據采樣(MDS)攻擊[13][15][29-32]。

(4)供應鏈攻擊。在一些異常的供應鏈流程中，攻擊者有可能會物理接觸TEE，進而可以實施更多的攻擊手段。例如，在維修的過程中，TEE一般會關閉物理防護安全措施，攻擊者就有機會注入硬件木馬。全棧可信也有類似的問題，供應鏈攻擊也是全棧可信最大的安全隱患。

從上面可以看出，歷史上的漏洞對TEE的破壞一般不是顛覆性的，攻擊者能夠獲取的信息非常有限，并且有很多前提條件。在TECC中，這些限制和前提條件基本不會被滿足，最終使得攻擊無法奏效。

? TECC中的TEE的內部數據都是密態數據(分量)，這些數據是很長的隨機數，不會作為地址或者地址偏移使用，所以地址類的側信道攻擊對TECC沒有威脅。同樣地，這些數據也不會作為分支判斷的依據。實際上，密態程序因為不知道分支判斷的值，所有可能的分支都會執行一遍。所以分支判斷類的側信道攻擊對TECC也沒有威脅。

? 預測執行攻擊成立的前提條件是，攻擊者能夠操縱輸入影響分支判斷走向。在TECC中，參與方的輸入都會被轉換為密態數據，只用于計算，不會作為分支判斷的條件，所以這種攻擊對TECC無效。

? 在微體系結構數據采樣攻擊中，攻擊者難以控制自己獲得的具體是哪一條數據。這種情況下，攻擊者從TECC的各個TEE中獲取的密態數據(分量)很有可能不對應同一個明文，也就形不成攻擊。尤其是當攻擊者從單個TEE中獲取的數據量非常少的時候，對應同一個明文的概率基本可以忽略。在微體系結構數據采樣(Microarchitecture Data Sampling，MDS)攻擊中，攻擊者只能通過非常細小的組件獲取數據，所以能夠獲得的數據量非常少。

? 對于來自異常供應鏈流程的TEE，如維修，可以將它們放到TECC的同一個分區。TECC的安全機制保證，即便同一個分區的TEE都被攻破了，也不會有安全問題。

從表1可以看出，TECC能夠克制TEE歷史上出現過的大部分安全漏洞。由此推斷，對于TEE未來可能會出現的漏洞，TECC大概率也可以抵御。即便不能完全抵御，在全棧可信、TEE、密態程序三層防御下，攻擊者也很難成功。

表1 TECC克制TEE、全棧可信的主要隱患

2.2.2 TECC的性能優勢

TECC的一部分性能優勢來自于內網交互，例如典型的公網帶寬10 Mbit/s、內網帶寬10 Gbit/s，就是1 000倍的差距。TECC的性能優勢還來自于其特有的并行化能力。TECC中心可以為密碼協議的每個角色分配多個TEE資源，把同一個角色的所有TEE叫做一個分區。圖4展示了密碼協議的三個分區，每個分區有t個TEE。來自不同分區的三個TEE組成一組，承擔總任務中的一個子任務。所有組可以并行計算，大大加速整體的計算效率。大規模數據處理任務通常都是可以并行化的，所以這一措施非常有效。

這一并行化的原理與常見的多線程相似，但對跨網密態技術并不成立。因為這些技術的瓶頸點在公網帶寬上，即使采用類似的方式分組，多個組仍然要共享同一份公網帶寬，性能提升十分有限。但是對于TECC來說，每一組內部的通信帶寬近乎是“免費”的。從另一個角度來說，假設內網帶寬10 Gbit/s，TEE組數為100組，則執行密碼協議的總帶寬就高達1 000 Gbit/s，這是前述公網帶寬的10萬倍。

為了把TECC的性能優勢發揮到極限，TECC還需要選擇計算量小的密碼協議。通過安全性分析得知，只要滿足TECC 中的TEE 內是密態數據，就能達到非常高的安全效果。因此，可以選擇門限低的密碼協議，其計算量膨脹非常小。這也是使用TEE帶來的好處，單獨使用這些協議安全強度有限。

在消除了網絡瓶頸和計算瓶頸后，TECC的性能迎來了質的飛躍，遠超TEE以外的隱私計算技術，并且在少量的資源膨脹下可以接近明文。

2.2.3 TECC的功能優勢

TECC中的TEE之間可以通過執行MPC協議完成目標運算，所以MPC能夠支持的功能TECC都可以支持。目前，MPC協議能夠支持的功能已經非常完善了。圖5展示了MPC功能層次關系。

(1)基礎算子層包括算術運算、邏輯運算，以及它們之間的相互轉化。常見的多方安全計算協議一般指的是這一層，如aby、spdz[32]、SWIFT[33]。

(2)對于一些高級算子，人們會去研究特定的高效實現算法[34]，包括數學類函數和數據結構算法等。

(3)構建隱私應用一般不再需要特殊的協議或算法，與明文過程基本相同。隱私應用主要分為機器學習和數據分析兩類。

相對于跨網密態計算技術，TECC的功能優勢在于天然地支持任意多個參與方和任意的數據分割形式，數據分割形式指的是一個參與方擁有全部數據的哪一部分。在TECC中，多個參與方先將各自的數據密態拆分，上傳合并后再計算。因此，參與方數量、數據分割形式對上述過程沒有影響。但是對于跨網MPC來說，出于對性能、實現復雜度等方面的考慮，不同的參與方數量、不同的數據分割形式通常對應不同的算法，比如兩方協議和多方協議、橫向聯邦和縱向聯邦。這就導致TECC一個算法能夠實現的功能，跨網MPC要使用多個算法

2.2.4 TECC的穩定性和成本優勢

跨網密態技術對公網嚴重依賴，例如一次兩方密態機器學習訓練需要的交互次數高達數萬次。這給穩定性保障帶來了極大的挑戰。這一點與常規的網絡應用很不同，后者一般只需要幾次公網交互。TECC只有數據上傳的時候需要公網交互，沒有這方面的憂慮。同時，這也為TECC節省了大量的公網購買成本。

TECC的計算節點采用集中部署的形式，參與方只需要使用輕量級SDK就可以接入，大大降低了接入成本。集中化的部署方式更有利于日常的功能巡檢、應急演練和故障處理。

3 可信隱私計算行業生態

除了突破技術瓶頸，數據密態時代的發展還需要：一方面由法律法規確立用戶的權益。數據行業基礎的、合理的安全需求將成為強制要求；另一方面，標準和評測將為產業甄別不同產品的安全程度，并指導行業在不同的場景使用合適的技術。

3.1 密態時代合規的關鍵問題

合規是行業的基本保障。密態時代要做到合規，最關鍵的幾點如下。

(1)專數專用，即數據不能隨意跨主體、跨業務場景使用。首先，理清楚首次收集數據的主體、獲得充分授權后數據的歸屬主體、各方的權利和責任；其次，需要根據業務場景2B和2C的授權情況來限定數據的合規使用范圍。

(2)個人信息授權問題。《個人信息保護法》規定的27個同意形成了一道堅固的授權墻，任何業務場景必須按規定獲得用戶的授權。但是在某些情況下這一要求很難達到，例如惡意攻擊者一定不會授權風控系統獲取他的數據，但這一數據對模型訓練很重要。目前在法律許可下主要有兩個解決路徑，一是匿名化，二是執行合同的必須條件。

在無授權場景下，要做好匿名化，在保證個人隱私權益的前提下發揮數據價值；在有授權場景下，要專數專用，保障這個場景獲得的數據只在這個場景中使用。

(3)數據的使用和流通要做到可審計、可舉證。隱私計算等技術在保護數據明文信息的同時也可能阻礙對數據實際使用范圍的審計監控。在實際使用中，如果沒有妥善的管控，同樣可能導致侵犯用戶隱私權益或者造成敏感信息泄露。因此，審計和固證是非常重要的作用。

3.2 標準、評測保證行業健康發展

隱私計算技術底層技術路線非常多，實際產品迫于性能壓力可能還會舍棄部分安全性，一些新興的思路可能會將多種技術相融合。這些因素導致在用的隱私計算技術路線非常多，安全性差異非常大，且社會對此認知比較模糊。為了產業的健康發展，對安全性給出準確評估至關重要。

同時，必須承認客觀上無法對產品的安全性給出形式化的證明。一個實際系統的安全必然涉及到密碼學、代碼安全、網絡安全、AI算法安全等多個層面，其中大部分都無法得到形式化證明。甚至，密碼學的部分內容也無法得到形式化證明。

在這種情況下，評測應回歸到安全的基本原則。首先，安全的核心是對抗，對抗是多維度、持續的，承載著行業數據命脈的關鍵基礎性技術，必須清晰地分析面對各種已知和潛在攻擊的安全強度，這需要行業安全專家的廣泛介入；其次，一定需要根據場景安全分類分級，不能用一個指標鎖死各行各業不同業務的安全水位要求。

4 結束語

通過對密態時代所需的兩項基本技術——匿名化和隱私計算進行分析，發現它們都存在一些難以克服的短板，密態時代陷入了“技術困局”。為此，本文提出了可信隱私計算技術，它融合了可信計算、密碼等多項技術，在安全性、性能、可靠性、適用性和成本等方面均達到了非常高的水平，幾乎是當前唯一能夠全方位滿足密態時代要求的技術。除了技術突破外，本文強調了合規、標準、評測等是保證行業健康發展的關鍵。有理由相信，可信隱私計算以其顯著的綜合性優勢，必將能夠幫助數據要素行業破解技術困局，邁入密態時代。