隱私計算技術(shù)中，多方安全計算（MPC）、聯(lián)邦學習（FL）與可信執(zhí)行環(huán)境（TEE）是三大主流技術(shù)派系，此前洞見君為大家介紹過聯(lián)邦學習的前世今生，解讀過可信執(zhí)行環(huán)境，今天為大家?guī)矶喾桨踩嬎愕南嚓P(guān)簡介及應(yīng)用。

作者：深圳市洞見智慧科技有限公司

多方安全計算（Secure Multi-Party Computation）是指在無可信第三方的情況下，多個參與方協(xié)同計算一個約定函數(shù)，除計算結(jié)果以外，各參與方無法通過計算過程中的交互數(shù)據(jù)推斷出其他參與方的原始數(shù)據(jù)。作為隱私計算的一種常用工具，多方安全計算在安全性和易用性方面有著天然的優(yōu)勢。本文梳理了多方安全計算的發(fā)展脈絡(luò)、多方安全計算的經(jīng)典應(yīng)用實例以及多方安全計算的未來發(fā)展趨勢，供讀者學習參考。

一、多方安全計算的發(fā)展脈絡(luò)

多方安全計算起源于1982年姚期智院士提出的姚氏百萬富翁問題：兩個百萬富翁在街頭偶遇，雙方想要知道誰更有錢，但他們都不想暴露自身的資產(chǎn)金額，如何在不借助第三方的情況下，得出誰更富有的結(jié)論。

百萬富翁問題經(jīng)典解決方案我們假設(shè)這兩個富翁為張三、李四，擁有資產(chǎn)分別為：張三擁有300萬，李四擁有500萬。以上案例中，李四選了財富值對應(yīng)的盒子并銷毀了其他盒子，張三打開“盲盒”看到香蕉就可以明白，李四比自己更富有。雙方在沒有暴露自身資產(chǎn)金額的情況下，比較出了誰更富有。對姚氏百萬富翁問題不同的解答方式為多方安全計算技術(shù)提供了不同的研究思路。近幾十年來學術(shù)界對多方安全計算的研究蓬勃發(fā)展，多種技術(shù)路線齊頭并進，越來越多的可實用化的理論研究成果相繼出現(xiàn)，為多方安全計算在工業(yè)場景下的應(yīng)用帶來了可能。多方安全計算的發(fā)展階段多方安全計算的發(fā)展可以被分為四個代表性階段：20世紀80-90年代——理論研究階段從百萬富翁問題被提出以后，多方安全計算的學術(shù)研究開始有少量的論文發(fā)表，這些論文主要集中在理論研究層面，驗證不同安全模型下多方安全計算的可行性。這些算法通常效率都比較低，離實用化有著較長的距離。1978 Rivest^[1]首次提出同態(tài)加密這一概念1979 Shamir^[2]提出門限秘密分享協(xié)議1981 Rabin^[3]提出不經(jīng)意傳輸協(xié)議1982 Yao^[4]提出多方安全計算協(xié)議（解決百萬富翁問題）1986 Yao^[5]提出混淆電路1987 Goldreich^[6]提出基于秘密分享的MPC1995 Chor^[7] 提出PIR協(xié)議1999 Paillier^[8]提出半同態(tài)加密協(xié)議2000-2009年——實驗室階段隨著協(xié)議的不斷改進和計算成本的不斷優(yōu)化，此時開始出現(xiàn)理論研究與實際問題相結(jié)合，并有了一定的研究成果，其中比較著名的是Malkhi設(shè)計的多方安全計算平臺Fairplay。2004 Freedman^[9]提出PSI協(xié)議2004 Malkhi^[10] 提出了一個名為Fairplay的多方安全計算平臺2009 Gentry^[11] 提出全同態(tài)加密協(xié)議2009-2017年——應(yīng)用初創(chuàng)階段

這一階段出現(xiàn)了一些成功部署MPC的實例以及一些利用MPC實現(xiàn)隱私保護的應(yīng)用程序，同時，一些行業(yè)巨頭開始在數(shù)據(jù)市場等領(lǐng)域嘗試使用多方安全計算解決多方數(shù)據(jù)安全交換的問題。

2009 Bogetoft^[12] 丹麥甜菜拍賣2010 Burkhart^[13] 隱私保護網(wǎng)絡(luò)安全監(jiān)控2016 Doerner^[14] 隱私保護穩(wěn)定匹配2017 Bestavros^[15]波士頓工資平等研究2018年-至今——規(guī)?；l(fā)展階段由于多個國家和地區(qū)發(fā)布數(shù)據(jù)保護法規(guī)，導(dǎo)致業(yè)界希望用多方安全計算來解決數(shù)據(jù)使用的合規(guī)性問題，相關(guān)標準的制定工作也漸次展開，金融、醫(yī)療、政務(wù)等領(lǐng)域開始關(guān)注和嘗試多方安全計算技術(shù)。此外越來越多的公司開始關(guān)注到多方安全計算領(lǐng)域，多種支持多方安全計算的平臺、框架相繼被提出。2018年3月 基于TensorFlow的多方安全計算框架開源（https://github.com/tf-encrypted/tf-encrypted）2019年6月 谷歌開源多方安全計算 (MPC) 工具 Private Join and Compute（https://github.com/Google/private-join-and-compute）2019年10月 Facebook開源多方安全計算框架CrypTen（https://github.com/facebookresearch/CrypTen）

二、多方安全計算的應(yīng)用

下面我們簡單介紹兩個多方安全計算經(jīng)典應(yīng)用實例及一個業(yè)務(wù)應(yīng)用示例，通過這三個應(yīng)用實例可以看出多方安全計算已經(jīng)足夠高效，可以在實際場景中應(yīng)用。丹麥甜菜拍賣系統(tǒng)在這個場景中，售賣方是丹麥種甜菜的農(nóng)民，而購買方只有一個，即丹麥唯一的一個甜菜加工公司。售賣方為甜菜出價，表示他們希望按照這個價格售賣甜菜，但不希望泄漏自己的具體出價。如果常年泄露出價，則其他人就會得知自己的甜菜種植能力和做生意的能力了。購買方則希望得知市場出清價（即保證供求關(guān)系平衡的售賣價格）。因此，他們使用多方安全計算協(xié)議，在不泄露售賣方出價的條件下計算市場出清價。波士頓婦女勞動委員會與企業(yè)的合作項目此項目研究員工性別、種族是否會影響到其實際的工資。合作企業(yè)不希望、從法律角度也不能夠?qū)ν庑孤蹲约汗蛦T的收入或相關(guān)金融類信息，但通過多方安全計算，企業(yè)可以在不給出具體數(shù)據(jù)的條件下計算相應(yīng)的統(tǒng)計分析結(jié)果。洞見科技金融反欺詐案例反欺詐是金融風控的重要環(huán)節(jié)，信貸業(yè)務(wù)往往面臨著多種欺詐行為，例如偽造身份、盜刷、騙貸等，保險機構(gòu)也面臨著騙保等欺詐行為。最簡單和最常用的反欺詐方法就是建立反欺詐聯(lián)盟，對于聯(lián)盟機構(gòu)的黑名單、多頭借貸、大額保單等風險信息進行共享查詢（見下圖示意）。但是，出于數(shù)據(jù)隱私、商業(yè)機密以及合規(guī)安全等方面原因，各家金融和保險機構(gòu)并不情愿將上述風險信息主動歸集于某個平臺（例如征信機構(gòu)），以及提供分布式共享查詢服務(wù)。針對上述問題，隱私計算技術(shù)能夠提供一種更為安全可信的風險信息共享方案，消除機構(gòu)對于數(shù)據(jù)隱私和商業(yè)機密泄漏的擔憂，提高聯(lián)合反欺詐的效率。以某征信機構(gòu)的反欺詐聯(lián)盟平臺為例，技術(shù)實現(xiàn)如下：

① 反欺詐需求方作為調(diào)度方發(fā)起MPC計算任務(wù)，同步需要查詢的主體身份信息，同時也作為MPC計算節(jié)點參與運算；

② 各個金融機構(gòu)根據(jù)主體身份信息匹配本地查詢到的結(jié)果，并將此結(jié)果作為MPC輸入因子；

③ 各個金融機構(gòu)和反欺詐需求方的MPC計算節(jié)點之間，基于MPC協(xié)議完成風險信息聚合計算；

④ 反欺詐需求方得到最終的風險信息聚合計算結(jié)果。

在上述方案中，可以在各家金融機構(gòu)不泄漏目標主體具體風險信息的情況下完成其在反欺詐聯(lián)盟內(nèi)的風險信息聚合計算。

三、多方安全計算標準與發(fā)展趨勢

多方安全計算標準與相關(guān)評測多方安全計算經(jīng)歷多年發(fā)展，現(xiàn)在能成熟應(yīng)用于隱私計算解決方案中，并且有了一系列技術(shù)標準和基于標準的產(chǎn)品評測認證。在技術(shù)標準方面，中國通信標準化協(xié)會（CCSA）制定了《基于多方安全計算的數(shù)據(jù)流通產(chǎn)品技術(shù)要求與測試方法》、《隱私計算多方安全計算產(chǎn)品性能要求與測試方法》、《隱私計算 多方安全計算安全要求與測試方法》等標準；在金融領(lǐng)域，中國人民銀行發(fā)布了《多方安全計算金融應(yīng)用技術(shù)規(guī)范》（JR/T 0196-2020），中國支付清算協(xié)會發(fā)布了《多方安全計算金融應(yīng)用評估規(guī)范》（T/PCAC 0009-2021）；此外，國際上IEEE標準協(xié)會也發(fā)布了洞見科技參與制定的首個多方安全計算國際標準《Recommended Practice for Secure Multi-Party Computation》。各大機構(gòu)根據(jù)以上標準對多方安全計算相關(guān)隱私計算技術(shù)產(chǎn)品進行認證。現(xiàn)有的相關(guān)評測有：工信部中國信通院的多方安全計算產(chǎn)品功能、性能、安全評測；國家金融科技測評中心（銀行卡檢測中心）的多方安全計算金融應(yīng)用技術(shù)測評；中國金融認證中心（CFCA）的多方安全計算產(chǎn)品測評等。這些標準和評測，進一步推動了多方安全計算技術(shù)業(yè)界共識形成，加速多方安全計算技術(shù)應(yīng)用落地，降低技術(shù)應(yīng)用各方協(xié)作成本。然而，對技術(shù)本身來說，未來還有更多提升和發(fā)展的空間。多方安全計算技術(shù)發(fā)展趨勢提升系統(tǒng)的精度與性能目前，多方安全計算的開銷依然遠大于明文計算，計算精度與明文計算相比也會有一定的損失。進一步優(yōu)化模型框架，提升算法效率以及提升算法的準確率是未來多方安全計算繼續(xù)發(fā)展的必然方向。增強系統(tǒng)的易用性當下在使用一些多方安全計算框架時，需要強大的密碼學團隊作為技術(shù)支撐，這限制了多方安全計算的大規(guī)模應(yīng)用。因此，現(xiàn)有可用的多方安全計算框架需要變得更加簡單易用，讓不懂密碼學技術(shù)的人員也能輕松使用。提升系統(tǒng)的安全性現(xiàn)在一些多方安全計算框架只能支持半誠實安全模型，對惡意模型或共謀模型等無法提供防御。在現(xiàn)實使用場景中，惡意攻擊以及共謀攻擊是常見的攻擊類型，只有提升現(xiàn)有框架的安全性才能更好地符合實際應(yīng)用需求。另外，多方安全計算在理論角度保證了計算安全性，但在應(yīng)用層面，輸入既定計算邏輯輸出計算結(jié)果，存在根據(jù)計算結(jié)果和己方數(shù)據(jù)推測其他參與方的數(shù)據(jù)方面的安全隱患，這也是未來系統(tǒng)需要解決的安全問題。多技術(shù)融合趨勢在多方安全計算實際應(yīng)用中，通常會融合其他隱私計算技術(shù)，以此來平衡隱私計算產(chǎn)品的精度、性能和安全。單一的技術(shù)路線無法完全應(yīng)對復(fù)雜的計算場景及不同量級的計算規(guī)模，現(xiàn)在隱私計算行業(yè)較多地將多方安全計算與聯(lián)邦學習、可信執(zhí)行環(huán)境等技術(shù)相融合，形成綜合應(yīng)用方案或軟硬件一體方案，來適配不同計算場景和應(yīng)用要求。盡管多方安全計算技術(shù)存在提升空間，但作為隱私保護的主流技術(shù)之一，多方安全計算已經(jīng)在政務(wù)、金融和醫(yī)療等領(lǐng)域都有了可復(fù)制的標桿案例，總體的實用性和安全性經(jīng)過了實踐驗證。未來，多方安全計算技術(shù)應(yīng)用需要政策法規(guī)進一步引導(dǎo)和統(tǒng)一的標準規(guī)范，促進隱私計算行業(yè)健康有序發(fā)展。

參考文獻：

[1] Rivest, Ronald L., Len Adleman, and Michael L.Dertouzos. "On data banks and privacy homomorphisms." Foundationsof secure computation 4.11 (1978): 169-180.[2] Shamir, Adi. "How to share asecret." Communications of the ACM 22.11 (1979): 612-613.[3] Rabin, Michael O. “How to Exchange Secrets withOblivious Transfer.” (1981).[4] Yao, Andrew C. "Protocols for securecomputations." 23rd annual symposium on foundations of computerscience (sfcs 1982). IEEE, 1982.[5] Yao, Andrew Chi-Chih. "How to generate andexchange secrets." 27th Annual Symposium on Foundations ofComputer Science (sfcs 1986). IEEE, 1986.[6] Micali, Silvio, Oded Goldreich, and AviWigderson. "How to play any mental game." Proceedings of theNineteenth ACM Symp. on Theory of Computing, STOC. ACM, 1987.[7] Chor, Benny, et al. "Private informationretrieval." Proceedings of IEEE 36th Annual Foundations ofComputer Science. IEEE, 1995.[8] Paillier,Pascal. "Public-key cryptosystems based on composite degree residuosityclasses." International conference on the theory and applicationsof cryptographic techniques. Springer, Berlin, Heidelberg, 1999.[9] Freedman, Michael J., Kobbi Nissim, and BennyPinkas. "Efficient private matching and set intersection." Internationalconference on the theory and applications of cryptographic techniques.Springer, Berlin, Heidelberg, 2004.[10]Malkhi, Dahlia, et al."Fairplay-Secure Two-Party Computation System." USENIXSecurity Symposium. Vol. 4. 2004.[11]Gentry, Craig. "Fully homomorphicencryption using ideal lattices." Proceedings of the forty-firstannual ACM symposium on Theory of computing. 2009.[12]Bogetoft, Peter, et al. "Securemultiparty computation goes live." International Conference onFinancial Cryptography and Data Security. Springer, Berlin, Heidelberg,2009.[13]Burkhart, Martin, et al. "SEPIA:Privacy-preserving aggregation of multi-domain network events andstatistics." Network 1.101101 (2010): 15-32.[14]Doerner, Jack, David Evans, and AbhiShelat. "Secure stable matching at scale." Proceedings of the2016 ACM SIGSAC Conference on Computer and Communications Security. 2016.[15] Bestavros, Azer, Andrei Lapets, and MayankVaria. "User-centric distributed solutions for privacy-preservinganalytics." Communications of the ACM 60.2 (2017): 37-39.

關(guān)鍵詞： 計算技術(shù) 百萬富翁 的情況下