310                                                        软件学报  2026  年第  37  卷第  1  期


                 (noise flooding) 技术, 但是导致解密明文精度出现较大幅度的下滑. 戴怡然等人                [31] 则指出基于身份或属性的类
                 GSW  加密方案研究不满足       CCA2  安全. 值得强调的是, 目前对同态加密领域的后量子安全性证明的探索仍相对空
                 白, 是一个极具挑战和研究价值的领域. 三是应用拓展. 同态加密技术作为隐私计算领域的重要基石, 在安全多方
                 计算、联邦学习、区块链等领域都具有极大应用潜力, 但是如何降低引入同态加密带来的额外开销需要定制化的
                 方案设计.
                  3.1.2    差分隐私
                    差分隐私    (differential privacy, DP), 通过对数据添加适当的噪声, 使敌手难以分辨两个相邻数据分布之间的统
                 计差别, 进而达到数据隐私与可用性之间的平衡. 根据模型架构设计, 可以细分为中心化差分隐私                                   (central
                 differential privacy, CDP) [32,33] 、本地化差分隐私  (local differential privacy, LDP) [34] 和差分隐私洗牌模型  (shuffle
                                     [35]                            [32,33]
                 model differential privacy)  . 中心化差分隐私即最早由  Dwork  等人   提出的差分隐私模型, 由中央服务器收集
                 分布于若干个用户端的数据以进行统计分析, 为数据库查询提供用户数据集的均值、方差等统计信息, 其依赖于
                 一个可信的第三方中央服务器的假设, 在系统鲁棒性上存在明显不足, 易出现单点故障问题. 本地化差分隐私则是
                 在中心化差分隐私的基础上进行了分布式改进, 不再依赖可信的中央服务器. 用户数据在本地进行随机化处理, 服
                 务器端仅负责进行聚合, 使用与随机化处理对应的修正算法可以得到所需的无偏估计量. 需要注意的是, 中心化差
                 分隐私的噪声添加对象是数据集的统计输出结果, 而本地化差分隐私的噪声添加对象是单一用户的原始数据. 差
                 分隐私洗牌模型则是在本地差分隐私模型的基础上进行了创新性地重构, 提出                          ESA  架构. 这  3  种差分隐私模型比
                 较结果如表    2  所示.

                                                   表 2 差分隐私模型对比

                               评价指标              CDP             LDP           Shuffle model DP
                                鲁棒性               ○               ●                 ◎
                                复杂度               ●               ◎                 ○
                               通信开销               ●               ○                 ◎
                                隐私性               ○               ●                 ◎
                               模型性能               ●               ○                 ◎
                          注: ●代表该项指标表现优异, ◎代表该项指标无明显优劣势, ○代表该项指标存在明显劣势. 例如: ●表
                          示CDP的计算复杂度在三者间最低, 通信开销最低

                    差分隐私技术的重要价值在于其提供严格的数学定义平衡数据的隐私性和可用性, 其基本定义如定义                                  1 所示.
                    定义  1.  (ε-δ) 差分隐私 (  (ε-δ)DP). 假设有随机的机制  M, 若   M  满足  (ε-δ)DP, 那么对于任意两个相邻数据集    D 1

                 和   D 2  且两个数据集有且只有一条记录不同, 对于任意可能的输出满足                O ⊆ Range(M), 那么这两个相邻集合的概率
                 分布满足如下约束条件:

                                                            ε
                                               Pr(M(D 1 ) ∈ O) ⩽ e Pr(M(D 2 ) ∈ O)+δ                  (1)
                    上述定义有时也被称作松弛型差分隐私. 其中               ε 被称为隐私预算,     δ 为偏移. 隐私预算的大小直接影响着两个
                 数据分布间的统计差距. 对攻击者而言, 隐私预算越小, 越难以通过差分攻击获取有效信息, 隐私保护能力越强; 对
                 数据使用方而言, 隐私预算越大, 统计数据的精度就越高, 数据可用性越强. 一般地, 使用者通过注入噪声以满足
                 (ε-δ) 差分隐私, 噪声从特定分布如高斯分布中采样获取.
                                                                                    (ε-δ) 量化数据分布的差异.
                    差分隐私的本质在于保证相邻数据集对应输出的概率分布不可分, 上述定义通过
                 事实上, 在数据科学中存在多种量化数据分布差异的指标. 其中瑞丽散度                       (Renyi divergence) [36−38] 在最新的差分隐
                 私研究中被证明可以提供更加严格的隐私边界, 为差分隐私证明尤其是机器学习领域提供新的视角. 值得一提的
                 是, 瑞丽差分隐私     (Renyi differential privacy, RDP) 可推导得出对应的  (ε-δ) 差分隐私.
                    当前差分隐私研究的主要挑战包括: 一是效用与隐私的权衡. 高维数据中添加噪声易导致信息的显著损失, 设
                 计更精细的扰动策略尤为关键. 二是动态场景下的噪声添加. 在现实场景中用户的隐私需求存在动态变化, 现有差
                 分隐私机制的隐私预算分配仍依赖启发式方法, 缺乏理论最优解, 噪声无法根据隐私需求进行实时调整, 造成不必