机器学习与安全多方计算

基础知识

1. 机器学习隐私泄露问题的必要性来源于:(1)训练数据集中有敏感信息;(2)机器学习训练或者预测阶段存在不可信参与方；
2. 机密性与完整性、可用性一同构成机器学习模型的评价指标：（1）机密性威胁是指攻击者获取模型或模型训练集数据的隐私信息；（2）完整性威胁是指攻击者有目的性地诱导模型的输出结果；（3）可用性威胁是指攻击者阻止 访问模型或妨碍普通用户对模型的正常请求；
3. 差分隐私局限性：隐私预算开销过大，模型可用性有限；
4. 同态加密局限性：(1)机器学习模型训练过程中涉及的数据和参数通常是浮点数的形式,而同态加密算法只支持整数类型的数据；(2)同态加密方案中需要固定乘法深度,不能无限进行加法和乘法运算，因而不适用于深度模型；(3)全同态加密不支持非线性运算，只能通过近似函数逼近；(4)同态加密方案计算量大,当前的计算硬件和通信设施难以满足实际需求；
5. 安全多方计算局限性：通信开销过大，如何降低通信轮数，恶意敌手的存在，共谋问题是否能解决；
6. 标签集成机制：借鉴了集成学习的思想,把用户拥有的数据作为总体数据的子集并在各子集上分别训练模型,随后中心服务器使用公开的未标签数据作为输入,请求本地模型获取标签并对输出结果进行汇总得到带标签的训练集,最终在该训练集上完成总体模型的训练。
   
7. 平衡隐私性、高效性、可用性：:(1)建立隐私机制评估体系,从隐私性、高效性、可用性对机器学习中的隐私保护机制进行多维度评价,为三者之间的权衡提供客观全面的度量.(2)根据不同应用场景的需求进行自适应的动态调整,以参数形式刻画影响某一方面的变量,在不同模型、不同攻击方式下对三者之间的关系进行建模,实现三者在不同应用场景下的权衡最优化. (3)根据需求改进过于严格的隐私理论,提出更贴近实际可用性的可缩放的隐私理论；
8. 实现个性化度量与按需保护：.(1)横向隐私需求差异性:训练集中不同数据拥有者具有不同的隐私保护需求；(2)纵向隐私需求差异性:用户有针对性地要求保护某些样本属性；
   横向隐私需求差异要求机器学习在保护不同用户个性化隐私的同时提供具有差异性的服务质量,纵向隐私需求差异要求机器学习在保护不同属性个性化隐私的同时保证模型的可用性；
   因此，合理地执行不同强度的隐私保护（例如差分隐私方法中，分配不同的隐私预算），使得效率和模型可用性增强；实现用户隐私需求的动态感知；
9. 跨数据源的数据共享与交换：从样本特征、标签、用户 id 三个维度进行建模；
10. 三种隐私保护技术的适用条件。
    

基于安全多方计算的隐私学习

• 两方训练的 two-server 架构

1. ABY：构造用于两方计算环境的基于算术共享、 布尔共享和 Yao混淆电路的安全计算方案，使用 Beaver乘法三元组；
2. Chameleon利用半诚实的第三方代替乘法三元组中的可信第三方，基于ASS、GMW、GC设计安全协议，一定程度上降低了通信成本；
3. 其余工作包含SecureML、MiniONN、DeepSecure等；

• 多方的 n-party 架构；

4. ABY3将ABY扩展至三方模型中，有且仅允许一方被恶意腐蚀；
5. SecureNN很好地将ABY3应用至隐私保护神经网络训练中；
6. ASTRA充分运用秘密共享方案中的不对称性性质,放弃SecureML和 ABY３ 中一些消耗较高的混淆电路或并行前缀加法器,最 终提出一种新的安全比较协议．
7. FALCON 只使用算术 秘密共享而避免使用转换协议(在算术、布尔和乱码 电路之间)来实现针对非线性运算的恶意安全协议．
   
   

参考文献：

1. 2019_软件学报_机器学习中的隐私攻击与防御
2. 2020_计算机研究与发展_机器学习的安全问题及隐私保护