深度學習中的隱私保護技術綜述

01研究背景1.1隱私泄露風險目前，在人工智能的幾乎所有領域，深度學習技術已經遠遠超過了傳統(tǒng)方法的性能，包括計算機視覺、音頻處理、自然語言處理、大數(shù)據(jù)分析等。推動深度在各個領域取得巨大成功主要有以下幾個因素：(1)數(shù)據(jù)井噴，全球數(shù)據(jù)中心數(shù)據(jù)量在未來幾年年均增速40%。(2)計算能力突破，基于大型GPU集群的強大計算能力，使得訓練深度神經網(wǎng)絡的速度從2006年到2016年提升了255倍。(3)算法突破，算法突破推動AI技術成熟和實用化。對于一些大型的網(wǎng)絡企業(yè)，用戶的照片、語音、視頻、文本等數(shù)據(jù)可以被收集和保存，以備將來使用。正因為如此，深度學習領域中大部分成功的應用都是大型組織，它們既有大量有價值的數(shù)據(jù)，又有足夠的計算能力來訓練深度模型，以改進其產品和服務。雖然深度學習帶來了巨大的好處，但它需要收集大量的數(shù)據(jù)，這些數(shù)據(jù)涉及用戶的隱私信息，例如用戶興趣、愛好、個人信息等，這些隱私數(shù)據(jù)的泄露會導致不可預估的財產以及生命安全問題。1.2隱私保護相關法律隨著互聯(lián)網(wǎng)的快速發(fā)展以及隱私泄露問題日益嚴重，為減輕隱私泄露帶來的負面影響，美國、歐盟、中國等國家正在不斷的通過完善數(shù)據(jù)安全和隱私保護法律法規(guī)對企業(yè)以及個人進行監(jiān)管。美國是最早通過法律法規(guī)對隱私進行保護的國家，其在1974年通過并發(fā)布的《隱私法案》是美國最重要的一部保護個人隱私的法律法規(guī)，到20世紀80年代又先后制定和頒布了《電子通訊隱私法案》《電腦匹配與隱私權法》以及《網(wǎng)上兒童隱私權保護法》。1980年，經濟合作與發(fā)展組織（OECD）在《關于保護隱私和個人信息跨國流通指導原則》中揭示了個人信息保護八大原則，即收集限制原則、數(shù)據(jù)質量原則、目的明確原則、使用限制原則、安全保障原則、公開性原則、個人參與原則和問責制原則。這些指導原則對全球各國的立法產生了巨大的影響，有“已經成為制定個人信息保護文件的國際標準”之稱。我國也在多部法律中對隱私權進行保護，比如在《侵權責任法》中規(guī)定了若干種承擔侵權責任的方式；《中華人民共和國憲法》第三十八條規(guī)定：“中華人民共和國公民的人格尊嚴不受侵犯?！钡鹊取Ｍ瑫r我國還在制定專門的《個人信息保護法》《中華人民共和國網(wǎng)絡安全法》等法律對網(wǎng)絡數(shù)據(jù)以及用戶隱私進行保護。本文總結了在使用深度學習的同時保護用戶隱私信息的方法，主要包括同態(tài)加密隱私保護技術、差分隱私保護技術。同態(tài)加密和差分隱私是密碼學中常見的隱私保護手段，這兩種方法被運用于深度學習過程中的隱私保護，具有顯而易見的效果。02同態(tài)加密隱私保護技術2.1同態(tài)加密技術假設存在加密函數(shù)f，使得明文M加密后變成密文M’，明文N加密后變成密文N’，即f(M)=M’，f(N)=N’，存在f的解密函數(shù)f-1能夠將f加密后的密文解密成加密前的明文。將M’與N’相加得到P’，如果解密函數(shù)f-1對P’解密后的結果等于M和N相加的結果，即f-1(P’)=f-1(M’+N’)=M+N，則f是可以進行同態(tài)加密的加密函數(shù)。同態(tài)加密可以分為加法同態(tài)、乘法同態(tài)以及全同態(tài)。加法同態(tài)指的是加密算法滿足f(M)+f(N)=f(M+N)，乘法同態(tài)指的是加密算法滿足f(M)*f(N)=f(M*N)。而全同態(tài)加密指的是一個加密函數(shù)同時滿足加法同態(tài)和乘法同態(tài)，全同態(tài)加密函數(shù)可以完成加減乘除、多項式求值、指數(shù)、對數(shù)、三角函數(shù)等運算。常見的RSA算法對于乘法操作是同態(tài)的，Paillier算法則是對加法同態(tài)的，Gentry算法則是全同態(tài)的。2.2同態(tài)加密技術應用2.2.1數(shù)據(jù)處理與隱私保護大數(shù)據(jù)時代下的海量個人信息存儲與處理是隱私保護面臨的關鍵問題，用戶往往不希望將個人資料、保密文件、隱私信息存儲在服務提供商中，而人工智能時代又需要對這些用戶信息進行挖掘分析。同態(tài)加密是解決這一矛盾的新技術，用戶可以將個人敏感信息加密后存儲在服務提供商或者云端服務中，服務器可以對密文進行處理以及分析，并將密文結果返回給用戶，只有用戶能夠解密密文結果。2.2.2密文檢索當越來越多的加密數(shù)據(jù)存儲在服務器或者云端時，對加密數(shù)據(jù)的檢索成為了一個急需解決的問題。現(xiàn)有的密文檢索算法包括線性搜索、公鑰搜索和安全索引可以解決對服務端的加密數(shù)據(jù)進行檢索問題，然而這些方法需要花費較高代價并且只能運用于小規(guī)模數(shù)據(jù)集中?；谌瑧B(tài)加密的密文檢索方法可以直接對加密數(shù)據(jù)進行檢索，對密文做基本的加法和乘法能夠有效降低運算復雜度，同時也不改變相應的明文順序，既保護了用戶的數(shù)據(jù)安全，又提高了密文的檢索效率。2.2.3數(shù)字水印目前數(shù)字水印技術已經成熟地運用在數(shù)字產品的版權保護中，然而數(shù)字水印系統(tǒng)也存在安全挑戰(zhàn)，例如對水印算法、水印密鑰的惡意攻擊，從而破譯水印并且偽造水印。使用同態(tài)加密技術對數(shù)字水印進行加密后嵌入，在檢測水印時首先需要對水印進行同態(tài)解密，該方法能夠有效抵抗數(shù)字水印的非授權攻擊。2.3

基于同態(tài)加密的深度學習中隱私保護技術同態(tài)加密的核心是能夠直接在密文上做運算，運算結果解密后與明文運算結果相同，這是對用戶隱私的最直接和有效的保護手段。在機器學習和深度學習過程中使用同態(tài)加密對數(shù)據(jù)加密然后分析計算，能夠很好地解決許多領域要求數(shù)據(jù)保密、安全的問題。同態(tài)加密可以確保在密文上進行計算而不進行解密，從而解密的結果與對明文執(zhí)行相同計算得到的結果相同。由于目前的同態(tài)加密方案仍然存在許多局限，如只支持整數(shù)數(shù)據(jù)，需要固定的乘法深度，不能無限期地進行加法和乘法運算，全同態(tài)加密不支持比較和取最大值等操作。因此，現(xiàn)有的同態(tài)加密方案不能簡單地應用于機器學習以及深度學習中。目前常用的解決策略有兩種：①通過安全的多方計算來構造一種適合于基于同態(tài)加密的機器學習算法的協(xié)議，并通過執(zhí)行該協(xié)議來完成該算法；②尋求原始機器學習算法的近似算法，使其仍然可以使用同時不依賴交互方案，并且滿足同態(tài)加密方案的數(shù)據(jù)和操作要求。在機器學習和深度學習的預測過程中，利用同態(tài)加密算法的性質對數(shù)據(jù)進行加密，然后在加密訓練集上進行機器學習以及深度學習的建模訓練，同樣使用訓練好的模型對加密的測試集進行預測，返回的預測結果也是密文，從而有效地保護用戶隱私數(shù)據(jù)。在2007年，Orlandi就提出了利用同態(tài)加密技術結合多方安全計算使神經網(wǎng)絡具有處理加密數(shù)據(jù)的能力，并且考慮到了神經網(wǎng)絡本身的安全性。2011年，將基于同態(tài)加密的神經網(wǎng)絡應用于心電圖分類中，可以實現(xiàn)遠程服務器對客戶提供的生物醫(yī)學信號進行分類，而不獲取任何有關信號本身的信息和分類的最終結果。2016年，提出一種可以應用于加密數(shù)據(jù)的神經網(wǎng)絡CryptoNets，同時作者證明云服務能夠將神經網(wǎng)絡應用于加密數(shù)據(jù)以進行加密預測，并以加密的形式返回這些預測。這些加密的預測可以發(fā)送回能夠解密它們的密鑰所有者。該網(wǎng)絡對minist數(shù)據(jù)集的識別精度達到了99%。在2017年，在訓練階段使用Chebyshef多項式來近似模擬激活函數(shù)，從而證明了利用加密數(shù)據(jù)訓練神經網(wǎng)絡，進行加密預測，并以加密形式返回預測是可行的和實用的，該方法比CryptoNets在MNIST數(shù)據(jù)集上的精度提高了0.52％。為了解決基于全同態(tài)加密技術的機器學習巨大的計算開銷問題，提出了一種非共謀雙云模型(CloudA，CloudB)，該模型使用Paillier密碼系統(tǒng)提高運算速度，減少運算開銷。在訓練階段，加密也可以用來保護敏感數(shù)據(jù)集。利用Stone—Weierstrass理論，提出crypto-nets在密文上做預測，利用同態(tài)加密和對激活函數(shù)的修改以及對神經網(wǎng)絡的激活函數(shù)和訓練算法的修改，并證明了所提出的加密網(wǎng)絡的構造是可行的。該方法為在不侵犯用戶隱私的情況下建立基于云的安全神經網(wǎng)絡預測服務奠定了基礎。提出了一種基于BGV加密方案的保密雙投影深度計算模型（PPDPDCM），給出直接在密文上訓練神經網(wǎng)絡的解決方案。目前，利用加密技術來保護機器學習以及深度學習中的用戶敏感數(shù)據(jù)已經取得較大進展，包括在預測階段以及訓練階段的數(shù)據(jù)加密。但是在使用同態(tài)加密的過程中存在資源消耗的問題，深度學習本身已經消耗了大量的計算資源，結合同態(tài)加密技術將大大增加深度學習的計算量。如何在結合同態(tài)加密算法而盡量減少對深度學習性能的影響將是未來主要的研究方向。03差分隱私保護技術3.1差分隱私保護技術差分隱私的任務是提供一種關于輸出的概率分布的機制或者協(xié)議，允許用戶對數(shù)據(jù)進行一定程度的修改，但不影響總體輸出，從而使得攻擊者無法知道數(shù)據(jù)集中關于個人的信息，達到隱私保護的作用。差分隱私指的是存在兩個之間至多相差一條記錄的數(shù)據(jù)集D和D’以及一個隱私算法A，Range(A)為A的取值范圍，若算法A在數(shù)據(jù)集D和D’上任意輸出結果O（O∈Range(A)）滿足不等Pr[A(D)=O]≤eε×Pr[A(D')=O]時，A滿足ε-差分隱私。差分隱私最主要的方法是在數(shù)據(jù)集中添加噪聲來實現(xiàn)的，常用的噪音機制包括Laplace機制和指數(shù)機制，Laplace機制適用于連續(xù)型數(shù)據(jù)集，而指數(shù)機制適用于離散型數(shù)據(jù)集。3.2深度學習中的差分隱私保護技術差分隱私(differentialprivacy)是一種基于差分隱私機制的隱私保護技術，這個概念是Dwork在2006年提出來的，通過在原始數(shù)據(jù)中引入噪聲，達到使至多相差1個數(shù)據(jù)的2個數(shù)據(jù)集查詢結果概率不可分的目的。差分隱私保護分為集中式學習和分布式學習兩大類，Abadi于2016年提出的基于差分隱私的深度學習算法基于集中式學習，該方法在梯度下降的過程中利用梯度增大擾動方法來報敏感數(shù)據(jù)，并詳細分析了差異化隱私的框架下的隱私成本。實驗已經證實了可以在適度的隱私預算下，以可管理的軟件復雜性、訓練效率和模型質量成本，訓練具有非凸目標的深度神經網(wǎng)絡。2017年，提出用半監(jiān)督知識遷移方法來解決深度學習中訓練數(shù)據(jù)隱私泄露問題，以黑盒的方式將多個模型與不相交的數(shù)據(jù)集（例如來自不同用戶子集的記錄）相結合。由于改進了隱私分析和半監(jiān)督學習，作者在mnist和svhn上實現(xiàn)了最先進的隱私/效用權衡。2018年提出了一種對本地數(shù)據(jù)進行擾動變換的機制，該機制基于差分隱私計算方法，同時使用噪聲訓練方法增加云端深度神經網(wǎng)絡對移動設備提交的擾動數(shù)據(jù)的魯棒性，該機制解決了將數(shù)據(jù)從移動設備傳輸?shù)皆浦行臅r的隱私泄露問題。在聯(lián)合分布式學習環(huán)境中，數(shù)據(jù)所有者分布式訓練具有相同目標的神經網(wǎng)絡模型，根據(jù)自己的數(shù)據(jù)集獨立訓練，但共享訓練結果。在2015年提出了一個共同分布式深度學習方案來保護隱私，首次將隱私保護的概念引入深度學習。同時利用現(xiàn)代深度學習中使用的優(yōu)化算法，即基于隨機梯度下降的優(yōu)化算法，可以實現(xiàn)異步并行和執(zhí)行，在引入噪聲后，每個參與者將一小部分局部梯度參數(shù)上傳到中心參數(shù)服務器。每次更新本地參數(shù)時，都會從服務器下載最新的漸變參數(shù)進行更新，這樣就允許參與者在自己的數(shù)據(jù)集上獨立訓練，并在訓練期間有選擇地共享模型關鍵參數(shù)的小子集。參與者在保留各自數(shù)據(jù)的隱私的同時，仍然受益于其他參與者的模型，從而提高他們的學習準確性，而不僅僅是通過自己的輸入實現(xiàn)的。作者同時證明了在基準數(shù)據(jù)集上的隱私保護深度學習的準確性。在此基礎上，Mohassel采用隨機梯度下降法，提出了一種新的高效的線性回歸、邏輯回歸和神經網(wǎng)絡訓練保密機器學習協(xié)議。該協(xié)議屬于雙服務器模型，數(shù)據(jù)所有者將其私有數(shù)據(jù)分配給兩個非協(xié)作服務器，這些服務器使用安全的雙方計算（2PC）對聯(lián)合數(shù)據(jù)上的各種模型進行訓練。04前景展望隨著深度學習的興起，人工智能在各個領域迎來新的一波發(fā)展熱潮，然而在人工智能迅速發(fā)展的同時，其安全與隱私問題也引起了人們的關注，人工智能的安全和隱私的威脅已經阻礙了人工智能的發(fā)展。保護用戶隱私成為人