刘立伟 等: 数据要素流通全流程隐私关键技术: 现状、挑战与展望                                                 311


                 要的效用损失. 三是隐私攻防迭代. 差分隐私通过噪声扰动实现对成员推断攻击的防御, 但是伴随攻击方式的不断
                 演变  (如后门攻击、数据重构攻击), 差分隐私的隐私保护性能被逐渐瓦解. 例如                      Tan  等人  [39]  指出由于差分隐私的
                 核心目标与数据重构攻击重构整个数据集分布的动机不契合, 相比于成员推断攻击, 差分隐私面对数据重构攻击
                 的防御能力较为薄弱.
                  3.1.3    安全多方计算
                    安全多方计算 (secure multi-party computation, MPC) [40]  在无可信第三方的情况下允许多个参与方在不泄露各
                                                                              U 1 ,U 2 ,...,U n , 彼此协作计算函数
                 自私有数据的情况下, 协同计算任意私有数据相关函数. 假设有                      n  个参与方
                 f(x 1 , x 2 ,..., x n ), 其中   x i  为参与方  U i  基于私人数据的输入变量,   f(·) 是预先协商的函数. 根据安全多方计算的定义,
                 一方面要保证隐私性, 即敌手或不诚实参与方无法在计算过程中获取到参与方                          U i  的输入信息  ; 另一方面要求保
                                                                                         x i
                 证计算的正确性, 即最终结果满足          g(y 1 ,y 2 ,...,y n ) = f(x 1 , x 2 ,..., x n ) 而非其他函数, 其中  y i  为参与方  U i  的输出,  g(·) 是
                 根据  MPC  协议设计的函数. 目前, 其设计思路主要有基于秘密共享                 (secret sharing) 的方法  [41,42] , 基于混淆电路
                 (garbled circuit) 的方法  [43−45] 和基于同态加密的方法  [46] .
                    ● 基于秘密共享: 其基本思想是通过数据分片, 使得各参与方无法知悉完整数据, 通过多方协作执行计算协议,
                 最终仅恢复计算结果, 而各方的输入数据全程保持隐私. 进一步地, 秘密分享可以划分为严格秘密分享和阈值秘密
                 分享, 严格秘密分享要求所有人参与分享过程, 阈值秘密分享则只需要满足一定人数, 就可以进行分享. 阈值秘密
                 分享的代表是     Shamir 秘密分享. 其结合线性方程组的特性, 通过拉格朗日插值构造相应多项式方程, 确保少于阈
                 值数量的参与方无法恢复原始数据. 该类方案支持任意计算逻辑, 从信息论角度安全性高, 适用于大规模多方场
                 景. 但是其乘法协议需预先计算开销, 恶意模型下通信复杂度较高.
                    ● 基于混淆电路: 该类方案将计算逻辑转换为布尔电路, 通过加密和置换混淆电路中的逻辑门, 使参与方在不
                 解密输入的情况下合作完成计算. 1984          年  Yao [40]  首先提出一种基于混淆电路和不经意传输的           S2PC  协议. 生成方
                 (generator) 加密电路, 执行方  (evaluator) 通过不经意传输  (OT) 获取输入标签, 逐门解密输出. 由于每个电路门只涉
                 及恒定数量的对称的密码操作, 电路极为高效. 但是, Yao              协议的安全性建立在半诚实敌手模型下, 无法应对恶意
                 敌手, 因此  Lindell [44] 引入  Cut-and-Choose 技术, 约束潜在的恶意敌手生成器以半诚实的方式行动, 验证多数电路
                 正确性, 牺牲部分效率换取强安全性. 基于混淆电路的方案主要适用于两方安全计算, 在恶意敌手模型下实现强安
                 全性. 其挑战在于电路规模随计算复杂度指数增长, 高延迟问题突出.
                    ● 基于同态加密: 参与方使用同态加密算法加密各自输入, 在密文上直接执行计算, 最终解密获取结果, 过程
                 中明文数据始终保密. 基于部分同态加密的方案如                 Paillier (加法同态)、ElGamal (乘法同态), 适用于特定计算场
                 景, 该类方案实现难度小, 计算开销小, 已在实践中使用. 基于全同态加密的方案适用范围广, 支持任意次加法和乘
                 法操作   (如  BGV、CKKS  方案), 需要通过自举控制噪声, 且全同态加密方案开销巨大, 离实际应用还有一定距离.
                 在实际使用中需要权衡安全强度与性能选择合适方案. 一般地, 基于同态加密的方案需要结合其他协议进行混合
                 协议设计, 如结合阈值解密协议, 避免单一密钥持有者成为信任瓶颈. 为保证密文没有泄漏同态操作的秘密信息,
                 同态计算后的密文需要满足 “电路隐私 (circuit privacy)”性质.
                  3.1.4    零知识证明
                    零知识证明     (zero-knowledge proof, ZKP), 是一种重要的密码学协议, 它允许证明者            (prover) 向验证者
                 (verifier) 在不泄露任何相关信息的额外细节的前提下, 证明某个论断是正确的. 零知识证明通过密码学方法实现
                 了“知识可验证而不可见”的范式突破, 是隐私计算与可信验证的核心技术之一.
                    ● 应用场景: 目前, 零知识证明协议作为数据隐私保护的工具被广泛使用. 以下介绍零知识证明的几类典型应
                 用. 一是区块链与加密货币. 零知识证明被广泛运用于区块链中, 在证明交易合法的同时将交易双方和金额作为证
                 据隐藏起来, 保障交易者的隐私. 如         Zcash、门罗币使用     zk-SNARKs 隐藏交易金额与地址. 此外, 以太坊中在链下
                 应用零知识证明      zk-Rollup, 验证链下打包交易的有效性, 节省链上空间. 二是身份认证. 用户可能不愿意通过密码
                 等方式进行繁琐的身份认证, 而利用零知识证明, 用户无需透露密码或敏感信息即可证明其身份. 三是机器学习中
                 的数据共享. 零知识证明可被用于验证            AI 模型推理过程正确性       (如  zkML) 或是与联邦学习结合保障数据隐私.