Selected Security Practice Cases
2023年2月�����,聯(lián)合國(guó)大數(shù)據(jù)工作組發(fā)布了一份報(bào)告《The UN Guide on Privacy Enhancingzi Technologies (PETs) for Official Statistics》(聯(lián)合國(guó)官方統(tǒng)計(jì)隱私增強(qiáng)技術(shù)(PETs)指南)����。
在這份報(bào)告中���,聯(lián)合國(guó)大數(shù)據(jù)工作組共總結(jié)了18個(gè)隱私計(jì)算應(yīng)用案例,其中3個(gè)案例已實(shí)現(xiàn)產(chǎn)品化���,形成有推廣價(jià)值的落地實(shí)踐案例��。小編現(xiàn)將這3個(gè)案例整理成文�,為業(yè)界實(shí)踐提供參考�。
美國(guó)波士頓婦女勞動(dòng)委員會(huì)應(yīng)用安全多方計(jì)算技術(shù)
波士頓婦女勞動(dòng)力委員會(huì)(BWWC)為了審查“縮小工資差距”的政策落地實(shí)施情況,每1-2年會(huì)利用大波士頓地區(qū)約六分之一員工的真實(shí)工資信息來衡量全市的工資差距��。
由每個(gè)組織提供一份包含600多個(gè)數(shù)據(jù)單元的電子表格�,經(jīng)過計(jì)算BWWC收到所有參與組織的每個(gè)單元的總和。在不泄露員工個(gè)人隱私數(shù)據(jù)的前提下����,BWWC獲取按性別�����、種族�����、民族等不同維度劃分的平均工資����。
波士頓婦女勞動(dòng)委員會(huì)擔(dān)任計(jì)算方和輸出接收方的角色
1. 數(shù)據(jù)提供方為100個(gè)來自大波士頓地區(qū)大大小小的公司和非盈利組織�。為了方便輸入方使用,波士頓大學(xué)設(shè)計(jì)了一個(gè)網(wǎng)絡(luò)應(yīng)用程序��,供數(shù)據(jù)提供方提供數(shù)據(jù)����,用于規(guī)范輸入格式,以及檢查常見類型的數(shù)據(jù)輸入錯(cuò)誤����。輸入方對(duì)數(shù)據(jù)預(yù)處理后再發(fā)送給波士頓大學(xué),波士頓大學(xué)既看不到輸入�����,也看不到輸出。
2. 信任前提:“波士頓大學(xué)”和“波士頓婦女勞動(dòng)委員會(huì)”不會(huì)共謀�����,且行為是半誠(chéng)實(shí)的��,具有審核和驗(yàn)證代碼的能力��。
波士頓婦女勞動(dòng)委員會(huì)(BWWC)生成RSA公私鑰對(duì)(pk,sk)��,將其發(fā)送pk給波士頓大學(xué)(BU)�;數(shù)據(jù)提供方到波士頓大學(xué)獲取pk���;
所有的數(shù)據(jù)提供者每個(gè)都擁有一個(gè)秘密數(shù)據(jù)��,按要求對(duì)數(shù)據(jù)進(jìn)行計(jì)算后加密隨機(jī)掩碼��,發(fā)送給波士頓大學(xué)�����;
波士頓大學(xué)負(fù)責(zé)計(jì)算來自n個(gè)數(shù)據(jù)源的經(jīng)過掩碼處理的數(shù)據(jù)的總和��;
波士頓婦女勞動(dòng)委員會(huì)(BWWC)到波士頓大學(xué)(BU)對(duì)所有隨機(jī)掩碼密文進(jìn)行計(jì)算��,并得出相關(guān)結(jié)論����;
計(jì)算效率低和法規(guī)政策不健全,是導(dǎo)致“隱私計(jì)算技術(shù)”難以被產(chǎn)品化的兩大原因����。在計(jì)算效率方面,該案例中���,波士頓婦女勞動(dòng)力委員會(huì)每1-2年測(cè)量一次工資差距��,方案的應(yīng)用頻次低��,對(duì)協(xié)議效率的要求不高�。另外����,協(xié)議中只涉及簡(jiǎn)單的公鑰加解密以及加和運(yùn)算,不存在復(fù)雜的運(yùn)算和交互�����,計(jì)算效率高����。
一直以來�����,沒有清晰的標(biāo)準(zhǔn)法規(guī)是“隱私計(jì)算技術(shù)”難以落地使用的最大障礙之一�。但該案例中的隱私計(jì)算協(xié)議��,之所以能產(chǎn)品化�����,是因?yàn)槠洳]有使用復(fù)雜的數(shù)學(xué)問題設(shè)計(jì)��,而是由傳統(tǒng)的密碼技術(shù)構(gòu)造而成��,計(jì)算流程簡(jiǎn)單易懂�,容易被客戶理解和認(rèn)可�����。
【小編觀點(diǎn)】:該解決方案有一個(gè)很難復(fù)制的門檻在于對(duì)信任前提要求高���,只有在“波士頓大學(xué)”和“波士頓婦女勞動(dòng)委員會(huì)”不會(huì)共謀����,且行為是半誠(chéng)實(shí)的前提下,方案才會(huì)成立�����。該案例說到底解決的是隱私分類加和(向量加)的問題��,當(dāng)該解決方案平移應(yīng)用于其他應(yīng)用場(chǎng)景時(shí)��,不容易找到像“波士頓大學(xué)”和“波士頓婦女勞動(dòng)委員會(huì)”這樣的信任關(guān)系���。
美國(guó)人口普查局部署“差分隱私免披露系統(tǒng)”
美國(guó)人口普查局每十年都要“統(tǒng)計(jì)每個(gè)州的總?cè)丝跀?shù)”����,這一統(tǒng)計(jì)結(jié)果決定了每個(gè)州的國(guó)會(huì)席位數(shù)量以及聯(lián)邦資金的分配����。除此之外,統(tǒng)計(jì)局還會(huì)基于美國(guó)人口普查結(jié)果進(jìn)行不同的調(diào)查��,用以衡量社會(huì)經(jīng)濟(jì)��、公共衛(wèi)生和教育指標(biāo)。
但現(xiàn)實(shí)中���,一方面�����,人口普查信息包含了許多敏感屬性��,不允許直接披露����;另一方面�,數(shù)據(jù)使用者希望使用更準(zhǔn)確、更透明��、更容易獲得的統(tǒng)計(jì)數(shù)據(jù)�����。為了解決兩方面的矛盾�����,該案例設(shè)計(jì)了基于差分隱私的信息免披露系統(tǒng)���。
差分隱私(Differential Privacy,DP)技術(shù)是Dwork在2006年針對(duì)數(shù)據(jù)庫(kù)的隱私泄露問題提出的一種新型密碼學(xué)手段��。該機(jī)制是在源數(shù)據(jù)或計(jì)算結(jié)果上添加特定分布的噪音���,確保各參與方無法分析出數(shù)據(jù)集中是否包含某一特定實(shí)體,同時(shí)不會(huì)破壞數(shù)據(jù)的統(tǒng)計(jì)特性���。
在執(zhí)行差分隱私的過程中�,首先對(duì)原始不同類別的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析�,這可能包括計(jì)算數(shù)據(jù)的平均值、中位數(shù)����、標(biāo)準(zhǔn)差等統(tǒng)計(jì)信息,以便了解數(shù)據(jù)的分布和特征�。這種統(tǒng)計(jì)分析有助于了解哪些數(shù)據(jù)是敏感的,哪些不是��,以及如何在添加噪聲時(shí)平衡數(shù)據(jù)的可用性和隱私保護(hù)��。然后���,根據(jù)計(jì)算出的披露風(fēng)險(xiǎn)和隱私損失預(yù)算����,向每個(gè)單元添加噪聲。下圖展示了從最大的地理單元(國(guó)家)到最小的地理單元(人口普查區(qū)域)噪聲處理的方法���。
【小編觀點(diǎn)】:需要注意的是��,差分隱私雖然是一種強(qiáng)大的隱私保護(hù)技術(shù)�����,但它并不能完全消除所有風(fēng)險(xiǎn)��。在數(shù)據(jù)發(fā)布和分析過程中���,仍然存在一些潛在的安全威脅和隱私泄露風(fēng)險(xiǎn)。因此�����,在使用差分隱私技術(shù)時(shí)���,需要仔細(xì)權(quán)衡數(shù)據(jù)可用性和隱私保護(hù)之間的關(guān)系�。
印度尼西亞旅游部基于可信執(zhí)行環(huán)境分析機(jī)密數(shù)據(jù)
印尼旅游部每個(gè)月都會(huì)根據(jù)移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNOs)的數(shù)據(jù)來編制旅游統(tǒng)計(jì)報(bào)告��。
通常情況下��,一段時(shí)間內(nèi)用戶可能在不同運(yùn)營(yíng)商的網(wǎng)絡(luò)中交叉漫游�����,如果僅使用一家移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的定位數(shù)據(jù)��,可能難以獲得關(guān)于跨境旅游的及時(shí)和精準(zhǔn)的統(tǒng)計(jì)數(shù)據(jù)���。然而���,定位信息屬于客戶的敏感信息和運(yùn)營(yíng)商的機(jī)密業(yè)務(wù)信息,不可能無條件共享出來����。
為此,該案例利用Sharemind HI平臺(tái)提供的可信執(zhí)行環(huán)境(Intel SGX)����,實(shí)現(xiàn)了在不顯示共享數(shù)據(jù)的情況下分析用戶在各個(gè)運(yùn)營(yíng)商的交叉漫游情況以及旅游數(shù)據(jù)分析。
兩個(gè)移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNOs)作為數(shù)據(jù)提供方����,將數(shù)據(jù)輸入到可信執(zhí)行環(huán)境中進(jìn)行分析�,最終將分析結(jié)果輸出到印尼旅游部����。
方案中,兩個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商MNOS提供了一段時(shí)間內(nèi)的用戶信息(IMSI)列表�����,并將IMSI從第7位開始均勻哈希���。通過對(duì)兩個(gè)運(yùn)營(yíng)商的唯一用戶信息進(jìn)行統(tǒng)一哈希比較���,來全面了解交叉漫游的情況。
通過比較IMSI哈希來確定漫游用戶的重疊情況���,在一定程度上已經(jīng)保護(hù)了數(shù)據(jù)的安全����,在可信執(zhí)行環(huán)境中執(zhí)行該流程相當(dāng)于又增加了一層保護(hù)�。
經(jīng)猜測(cè)分析,這樣做的原因是為了平衡IMSI哈希數(shù)據(jù)的選擇明文攻擊風(fēng)險(xiǎn)和TEE技術(shù)標(biāo)準(zhǔn)規(guī)范尚不健全的矛盾�。像身份證號(hào)、手機(jī)號(hào)....等唯一用戶信息(IMSI)�,數(shù)據(jù)位數(shù)少且具備一定的規(guī)律��,黑客很容易碰撞出正確的IMSI信息��。將Hash值放到可信執(zhí)行環(huán)境中運(yùn)算,通過控制用戶的訪問控制權(quán)限以及跟蹤查詢?nèi)罩?���,能夠保證數(shù)據(jù)不會(huì)被黑客隨意獲取。
在TEE技術(shù)標(biāo)準(zhǔn)法規(guī)健全之前�����,數(shù)據(jù)提供方不放心直接將用戶的IMSI明文信息與定位信息直接放在TEE中運(yùn)算��。因此���,本方案對(duì)IMSI信息哈希脫敏處理之后再參與運(yùn)算���,TEE技術(shù)的威脅方無法將定位信息與具體的用戶對(duì)應(yīng)起來,相當(dāng)于在TEE內(nèi)部增加一層安全保護(hù)�����。
【小編觀點(diǎn)】:印尼旅游部每個(gè)月統(tǒng)計(jì)一次旅游報(bào)告����,方案的應(yīng)用頻次低��、對(duì)效率的要求不高���。并且,TEE運(yùn)行效率高����,能夠滿足該應(yīng)用場(chǎng)景的效率要求。方案設(shè)計(jì)中����,在可信執(zhí)行環(huán)境中利用哈希增加一層對(duì)數(shù)據(jù)的保護(hù),緩解了由于標(biāo)準(zhǔn)法規(guī)不健全�,運(yùn)營(yíng)商對(duì)數(shù)據(jù)安全的擔(dān)憂。
/photos/微信圖片_20220127095306.jpg)
圖標(biāo)鏈接/photos/csc_logo_white.png){kind=logo}
圖標(biāo)鏈接/photos/WebTrust for CA-10413.jpg)
圖標(biāo)鏈接/photos/BR SSL-10414.jpg)
圖標(biāo)鏈接/photos/EV SSL-10415.jpg)
圖標(biāo)鏈接/photos/webtrust-csb-seal_副本.jpg)
