周 俊 沈華杰 林中允 曹珍富 董曉蕾

(上海市高可信計算重點實驗室(華東師范大學) 上海 200062)

隨著移動通信與大數(shù)據(jù)[1]的高速發(fā)展，信息化生活已經(jīng)普及至千家萬戶，深刻地改變?nèi)藗兊纳盍晳T和工作模式.智能醫(yī)療、智能家居和智能交通等應(yīng)用已廣泛應(yīng)用于日常生活中，給人們帶來了極大的便利.例如，智能家居不僅能提供家電控制服務(wù)，還能實現(xiàn)實時的環(huán)境監(jiān)測及防盜報警等功能，幫助我們構(gòu)建舒適且安全的生活環(huán)境.另一方面，物聯(lián)網(wǎng)與傳感技術(shù)的蓬勃發(fā)展導致了數(shù)據(jù)的爆炸式增長，據(jù)不完全統(tǒng)計和預測：到2020年底將有500億設(shè)備連入互聯(lián)網(wǎng)，而到2025年這個數(shù)字將達到5 000億[2-3].然而，只具備有限計算能力和存儲空間的本地設(shè)備難以有效地處理這些數(shù)據(jù).如何高效地分析利用這些海量信息成為了一個亟待解決的問題.

云計算最初被認為是一種很有前途的計算基礎(chǔ)設(shè)施，資源受限的本地用戶將其大批量的數(shù)據(jù)文件和開銷巨大的計算任務(wù)外包給存儲和計算資源豐富的云服務(wù)器完成[4].然而，單一的云服務(wù)器架構(gòu)集中化存儲和處理大量的原始數(shù)據(jù)會帶來嚴重的帶寬和能耗問題，且容易成為敵手俘獲攻擊的目標，導致單點失敗.此外，針對一些需要實現(xiàn)實時響應(yīng)、位置感知和上下文感知等功能的基于多輸入、多輸出的多用戶和多任務(wù)場景，由于云服務(wù)器和用戶設(shè)備的距離較遠，往往會帶來較大的通信延遲，從而成為外包系統(tǒng)的安全與性能瓶頸.

為了彌補云計算的不足，引入了邊緣計算[5]的概念，用于將云計算拓展至網(wǎng)絡(luò)的邊緣.具體地說，邊緣計算是一種新的分布式計算模式，由多個位于云服務(wù)器和本地用戶之間的邊緣節(jié)點合作完成外包存儲與外包計算任務(wù).由于其能夠在靠近用戶終端設(shè)備的網(wǎng)絡(luò)邊緣存儲和處理數(shù)據(jù)，因此能較好地支持實時響應(yīng)、環(huán)境感知等功能，從而適用于智能電網(wǎng)[6]、自動駕駛、虛擬現(xiàn)實(virtual reality, VR)等多個應(yīng)用場景.

盡管邊緣計算具有許多優(yōu)點，但它也面臨著各種安全和隱私威脅.邊緣計算作為云計算的拓展，仍具有一些云計算中的安全問題：邊緣節(jié)點由于其內(nèi)部故障與外部攻擊，通常假定與云服務(wù)器一樣處于半可信或惡意敵手環(huán)境中.前者是指邊緣節(jié)點會誠實執(zhí)行協(xié)議并通過與協(xié)議其他參與方進行最大程度的交互來竊取其隱私信息；后者是指邊緣節(jié)點可通過任意行為來破壞協(xié)議的正確執(zhí)行.另一方面，由于邊緣計算具有分布式部署、多元異構(gòu)和低延遲等自身特性，會帶來一些特有的安全與隱私保護問題.邊緣節(jié)點介于云服務(wù)器與本地用戶間的資源限制也使得云計算中典型的安全模型無法直接應(yīng)用于邊緣計算，因此，如何設(shè)計基于邊緣計算的輕量級安全與隱私保護方案成為近年來國內(nèi)外的研究熱點.

1 邊緣計算模型

本節(jié)主要介紹邊緣計算的網(wǎng)絡(luò)模型與安全模型.

1.1 網(wǎng)絡(luò)模型

邊緣計算將一些云處理過程移動至更接近終端設(shè)備的位置，從而最大限度地利用了網(wǎng)絡(luò)邊緣中未開發(fā)的計算能力[7].邊緣節(jié)點是網(wǎng)絡(luò)邊緣上具有計算和存儲能力的設(shè)備.它們可以是資源受限的設(shè)備，如網(wǎng)關(guān)、路邊單元、機頂盒、路由器等，也可以是擁有豐富資源的設(shè)備，如微云等.

圖1 邊緣計算的隱私保護網(wǎng)絡(luò)模型Fig. 1 Network architecture of privacy preserving in edge computing

邊緣計算的網(wǎng)絡(luò)模型如圖1所示.邊緣計算系統(tǒng)包括3個不同的實體，即本地用戶設(shè)備(local devicesrequest user)、邊緣節(jié)點(edge nodes)和云服務(wù)器(cloud server)，本地用戶設(shè)備的存儲、計算和通信能力最弱，云服務(wù)器的資源最豐富，而邊緣節(jié)點則處于兩者之間.為了實現(xiàn)不同實體間的通信，邊緣計算采用了各種通信技術(shù)，包括有線通信(例如以太網(wǎng)和光纖)、無線通信(例如藍牙、NFC、IEEE 802.11)或兩者的組合[8].這3個實體可以直接連接或通過權(quán)威機構(gòu)(如證書機構(gòu)或密鑰生成中心)間接連接.如果發(fā)現(xiàn)網(wǎng)絡(luò)任何威脅，權(quán)威機構(gòu)將立即介入以處理事故.

具體地說，邊緣計算的3層架構(gòu)描述如下：

1) 最底層是用戶設(shè)備層.由大量物聯(lián)網(wǎng)設(shè)備組成，如傳感器、智能手機、智能可穿戴設(shè)備等.其中一些設(shè)備是移動物聯(lián)網(wǎng)對象，另一些是固定物聯(lián)網(wǎng)對象.這些設(shè)備能夠生成或感知原始數(shù)據(jù)，并發(fā)送給更高層次的設(shè)備進行進一步處理.

2) 中間層是邊緣節(jié)點層.由具有一定計算能力的設(shè)備組成，如基站、路由器等.邊緣節(jié)點由網(wǎng)絡(luò)設(shè)備組成，如具有計算能力的路由器、網(wǎng)關(guān)、交換機和基站等.這些設(shè)備在邊緣計算中稱為邊緣節(jié)點，可以通過網(wǎng)絡(luò)連接部署在任何地方.邊緣節(jié)點傾向于將云計算擴展到網(wǎng)絡(luò)邊緣，它具有一定的計算和存儲能力和自治能力，可減少資源受限的物聯(lián)網(wǎng)設(shè)備上的數(shù)據(jù)處理負載.除了常規(guī)通信(例如包轉(zhuǎn)發(fā)和路由)之外，一些實時和需要高響應(yīng)速度的應(yīng)用程序可以從云服務(wù)器移至邊緣節(jié)點.由于邊緣節(jié)點距離設(shè)備較近，因此它們擁有有關(guān)設(shè)備及其所有者(即用戶)的區(qū)域性知識，例如本地的網(wǎng)絡(luò)情況、用戶的移動方式及精確的位置信息.邊緣節(jié)點能夠為用戶提供計算卸載、瞬態(tài)數(shù)據(jù)存儲、緩存等服務(wù)，并能將來自云的服務(wù)傳遞給用戶.為了減輕云的負擔，邊緣節(jié)點間可以相互合作分流計算任務(wù).

3) 最上層是云服務(wù)器層.云服務(wù)器具有巨大的存儲空間和計算資源，它能對邊緣節(jié)點的預處理數(shù)據(jù)進行進一步的數(shù)據(jù)處理，并將計算任務(wù)委托給邊緣節(jié)點.云服務(wù)器從各邊緣節(jié)點接收數(shù)據(jù)摘要，并對其提交的數(shù)據(jù)和其他來源的數(shù)據(jù)進行全局分析，以改善各類網(wǎng)絡(luò)應(yīng)用服務(wù)[9]，如智能配電[10]、電子醫(yī)療[11]等.此外，云服務(wù)器還向邊緣節(jié)點發(fā)送策略，以提高邊緣節(jié)點提供的服務(wù)質(zhì)量.

1.2 特 性

邊緣節(jié)點層的參與使得邊緣計算與云計算并不完全相同，云計算與邊緣計算的詳細對比總結(jié)[12]如表1所示.

1) 位置感知[12].位置感知是指確定用戶設(shè)備的地理位置的能力.云計算通常不提供位置識別服務(wù)，當云服務(wù)器需要獲取用戶的位置信息時，需要用戶主動將位置信息發(fā)送至云服務(wù)器，這會帶來巨大的通信開銷，用戶的位置隱私也可能泄露[13].而在邊緣計算中，邊緣節(jié)點能夠感知自己覆蓋區(qū)域內(nèi)的用戶設(shè)備，因此用戶不需要將自己的本地信息發(fā)送給遠程的第三方.

2) 平均延遲[12].云服務(wù)器一般遠離物聯(lián)網(wǎng)設(shè)備，導致數(shù)據(jù)傳輸延遲較長.然而，同樣擁有一定計算能力和存儲空間的邊緣節(jié)點距離物聯(lián)網(wǎng)設(shè)備更近，這使得它們之間的數(shù)據(jù)傳輸時間更短.非實時應(yīng)用程序(如離線游戲)一般不受數(shù)據(jù)延遲影響，但實時應(yīng)用程序(如車載網(wǎng))往往依賴于低延遲的數(shù)據(jù)傳輸.

3) 支持大規(guī)模物聯(lián)網(wǎng)應(yīng)用[12].由于繁重的管理和計算開銷，云計算無法為大規(guī)模物聯(lián)網(wǎng)應(yīng)用提供服務(wù).例如在廣泛的環(huán)境監(jiān)測系統(tǒng)中，大量的傳感器會產(chǎn)生海量數(shù)據(jù)，如果在中央云服務(wù)器中管理這些傳感器并執(zhí)行數(shù)據(jù)處理，會帶給云服務(wù)器較大的負擔.而在邊緣計算中，邊緣節(jié)點可以以較小的開銷在自己的區(qū)域內(nèi)管理這些物聯(lián)網(wǎng)設(shè)備.因此邊緣計算能夠有效地支持電網(wǎng)管理、環(huán)境監(jiān)測和氣候變化監(jiān)測等大規(guī)模物聯(lián)網(wǎng)應(yīng)用.

4) 網(wǎng)絡(luò)架構(gòu).在云計算中，有一個集中的服務(wù)器來管理、計算和存儲資源.然而，邊緣計算模式是一個分散的框架，實時的應(yīng)用服務(wù)是由自組織的邊緣節(jié)點所提供.

5) 移動性.在邊緣計算中，具有高移動性的物聯(lián)網(wǎng)設(shè)備通常是數(shù)據(jù)生產(chǎn)者，而在云計算中，數(shù)據(jù)往往由公司和企業(yè)產(chǎn)生，如騰訊、阿里巴巴等.由于物聯(lián)網(wǎng)設(shè)備很容易從邊緣節(jié)點覆蓋的一個區(qū)域移動到另一個區(qū)域，邊緣計算通常需要提供移動性支持.

Table 1 Feature Comparison Between Cloud Computing and Edge Computing

1.3 安全模型

邊緣計算的隱私保護框架主要由4個步驟組成：1)存儲、計算、通信資源受限的本地設(shè)備(用戶)將采集的批量數(shù)據(jù)批量加密后上傳至邊緣節(jié)點；2)計算任務(wù)請求用戶將加密的計算任務(wù)上傳至邊緣節(jié)點；3)邊緣節(jié)點通過相互合作(必要時可與云服務(wù)器交互完成)，在密文域上進行函數(shù)計算、數(shù)據(jù)分析與處理，并將密文的計算結(jié)果返回給請求用戶；4)授權(quán)的請求用戶解密計算結(jié)果(在不同的應(yīng)用場景中，計算任務(wù)請求用戶和本地設(shè)備、用戶可以是同一實體或不同實體，參與邊緣計算協(xié)議).

雖然邊緣計算給用戶提供了很大的便利，但仍存在其特有的安全與隱私保護需求.由于邊緣節(jié)點往往工作在不可信的環(huán)境下，因此通常可分為半誠實(semi-trusted or honest-but-curious adversary)敵手模型和惡意(malicious adversary)敵手模型2類.前者是指邊緣節(jié)點誠實地按照協(xié)議的規(guī)定執(zhí)行計算任務(wù)，但同時通過與協(xié)議各方的交互最大限度地竊取其隱私信息；后者是指邊緣節(jié)點能通過任意行為來破壞協(xié)議的執(zhí)行，從而返回錯誤的計算結(jié)果.具體來說，我們將以基于邊緣計算的電子醫(yī)療系統(tǒng)為例，從輸入隱私、輸出隱私、函數(shù)隱私、可驗證性和高效性5方面展開闡述.

圖2是邊緣計算電子醫(yī)療系統(tǒng)隱私保護框架.醫(yī)生用戶(Physicians)的屬性集合AS由k個屬性子集ASi(i=1,2,…,k)構(gòu)成；k個屬性機構(gòu)AAi(i=1,2,…,k)分別為醫(yī)生用戶頒發(fā)對應(yīng)屬性子集的屬性私鑰.同時，d個證書中心CAj(j=1,2,…,d)合作為醫(yī)生用戶生成身份私鑰.多個邊緣節(jié)點采集各自負責區(qū)域病人用戶的生命體征密文數(shù)據(jù)及其對應(yīng)的訪問控制策略，并在密文域上通過多方計算對區(qū)域的疾病發(fā)展趨勢進行有效分析、預測.屬性集合滿足訪問策略的醫(yī)生用戶可以成功解密分析、預測的明文結(jié)果，從而采取有效、及時與正確的干預措施.

1) 輸入隱私.誠實的本地設(shè)備(用戶)采集的數(shù)據(jù)隱私能抵抗由邊緣節(jié)點、被俘獲的本地設(shè)備與計算任務(wù)請求用戶發(fā)起的合謀攻擊.如在基于邊緣計算的電子醫(yī)療系統(tǒng)中，輸入數(shù)據(jù)表現(xiàn)為從本地用戶(病人)身體采集的多類型生命體征數(shù)據(jù)，是本地用戶的隱私.

2) 輸出隱私.邊緣計算結(jié)果隱私能抵抗由邊緣節(jié)點、本地設(shè)備與惡意計算任務(wù)請求用戶發(fā)起的合謀攻擊，即邊緣計算的結(jié)果僅能由被授權(quán)的請求用戶訪問.如：在基于邊緣計算的電子醫(yī)療系統(tǒng)中，輸出隱私表現(xiàn)為以本地用戶(病人)生命體征數(shù)據(jù)、醫(yī)檢報告為輸入的診療結(jié)果，是本地用戶的隱私.

3) 函數(shù)隱私.即計算任務(wù)隱私，是指由誠實計算任務(wù)請求用戶提交給邊緣節(jié)點進行外包計算的函數(shù)隱私能保護由邊緣節(jié)點、本地設(shè)備與惡意請求者發(fā)起的合謀攻擊.如：在基于邊緣計算的電子醫(yī)療系統(tǒng)中，邊緣計算函數(shù)體現(xiàn)了醫(yī)務(wù)人員對從病人身體采集的生命體征數(shù)據(jù)、醫(yī)檢報告等進行分析診療的方法或醫(yī)療科研人員對醫(yī)療大數(shù)據(jù)進行分析和預測的處理方法，具有知識產(chǎn)權(quán)保護的需要；從而其函數(shù)隱私保護顯得尤為必要.

4) 可驗證性.可驗證性是指邊緣計算輸入、輸出數(shù)據(jù)的正確性可驗證、可追責與可審計.該安全性需求是針對惡意敵手模型設(shè)計的，主要包括2方面：一是本地設(shè)備提交數(shù)據(jù)的合法性驗證，如：在基于邊緣計算的聯(lián)邦學習系統(tǒng)中，如何有效甄別本地用戶提交的數(shù)據(jù)集的合法性，從而避免惡意本地設(shè)備提交假數(shù)據(jù)而導致模型訓練結(jié)果錯誤；二是對邊緣計算結(jié)果實現(xiàn)正確性可驗證，要求邊緣節(jié)點在返回外包函數(shù)密文計算結(jié)果的同時提交計算結(jié)果正確性驗證證據(jù)；計算任務(wù)請求用戶在正確性驗證通過的前提下，進一步解密得到邊緣計算結(jié)果.

5) 高效性.邊緣計算的隱私保護要求在密文域上處理數(shù)據(jù)，因此需要廣泛利用(全)同態(tài)加密、安全多方計算等具有較高計算開銷和通信開銷的密碼原語來實現(xiàn).因此，如何構(gòu)建輕量化的邊緣計算隱私保護技術(shù)，以滿足本地設(shè)備存儲、計算、通信資源受限的客觀性能需求是一個亟待解決的、具有挑戰(zhàn)性的公開問題.否則，雖然在理論上能實現(xiàn)邊緣計算隱私保護需求，但如果本地設(shè)備或計算任務(wù)請求用戶用于隱私保護的計算開銷大于其自己計算外包函數(shù)的計算開銷，邊緣計算就失去了外包的意義.

構(gòu)建邊緣計算隱私保護新理論和新方法需要在正確性(即邊緣計算結(jié)果的可驗證性)、安全性(輸入隱私和輸出隱私)、高效性3方面實現(xiàn)平衡.

圖2 邊緣計算電子醫(yī)療系統(tǒng)隱私保護框架Fig. 2 Framework of privacy preserving in edge-based e-healthcare system

2 邊緣計算的隱私保護方案

本節(jié)從邊緣計算的隱私保護數(shù)據(jù)聚合、隱私保護外包計算和面向應(yīng)用的安全計算3方面，基于數(shù)據(jù)擾動、同態(tài)加密和安全多方計算等密碼技術(shù)，對邊緣計算隱私保護領(lǐng)域的國內(nèi)外最新研究成果進行了系統(tǒng)的闡述、總結(jié)與科學歸類.

2.1 隱私保護數(shù)據(jù)聚合

邊緣計算的隱私保護數(shù)據(jù)聚合是指每個本地設(shè)備從周圍采集并加密數(shù)據(jù)，再將加密數(shù)據(jù)發(fā)送給邊緣節(jié)點，邊緣節(jié)點相互合作在密文數(shù)據(jù)上進行分布式的多方聚合計算，在必要的情況下將聚合結(jié)果發(fā)送給云服務(wù)器做進一步的分析處理，或?qū)⒕酆辖Y(jié)果發(fā)送給授權(quán)接收方解密.在這個過程中，安全的數(shù)據(jù)聚合能夠防止本地用戶數(shù)據(jù)泄漏并且減少通信開銷.

圖3是基于邊緣計算的智能電網(wǎng)隱私保護框架.在智能電網(wǎng)中，作為社區(qū)網(wǎng)關(guān)或地區(qū)網(wǎng)關(guān)的邊緣節(jié)點可對隸屬于該社區(qū)或地區(qū)的用戶實時用電量在密文域上進行聚合，并將匯總后的密文提交到電力公司運營監(jiān)測中心進行負荷監(jiān)控.與由本地用戶設(shè)備(智能電表)將所有實時用電量直接向電力公司傳輸相比，這種方式使得通信開銷大大降低，且更易于社區(qū)網(wǎng)關(guān)與地區(qū)網(wǎng)關(guān)及時發(fā)現(xiàn)所在區(qū)域的用電負荷問題并加以實時控制.同時，本地用戶的實時用電數(shù)據(jù)隱私和區(qū)域用電量聚合結(jié)果隱私都得到有效保護.

圖3 邊緣計算智能電網(wǎng)隱私保護框架Fig. 3 Framework of privacy preserving in edge-based smart grid

圖4 邊緣計算智能交通系統(tǒng)隱私保護框架Fig. 4 Framework of privacy preserving in edge-based intelligent transportation system

圖4是基于邊緣計算的智能交通系統(tǒng)隱私保護框架.在基于群智感知的車聯(lián)網(wǎng)中，由路側(cè)單元(road side unit, RSU)或處于臨時閑置狀態(tài)的車載設(shè)備(on board unit, OBU)擔任的邊緣節(jié)點從多個車輛收集并預處理加密后的交通流數(shù)據(jù)發(fā)送給云服務(wù)器，用于隱私保護的智能導航或各類基于位置的服務(wù).因此，在邊緣計算中實現(xiàn)基于不同安全需求和性能需要的隱私保護數(shù)據(jù)聚合就顯得尤為重要.

目前，同態(tài)加密[14-16]和差分隱私[17-18]已廣泛應(yīng)用于智能電網(wǎng)以實現(xiàn)數(shù)據(jù)聚合，這些加密方案都支持加法同態(tài).因此，邊緣節(jié)點可以將本地設(shè)備采集的數(shù)據(jù)在密文上進行聚合.同態(tài)加密方案也能用于實現(xiàn)用戶隱私保護[19]，支持移動社交網(wǎng)絡(luò)中的加法同態(tài)操作[20].

Lu等人[14]利用同態(tài)加密為邊緣計算中的異構(gòu)物聯(lián)網(wǎng)設(shè)備開發(fā)了一種輕量級數(shù)據(jù)聚合方案，保證了數(shù)據(jù)機密性和數(shù)據(jù)完整性，然而該方案沒有考慮身份隱私、可追蹤性、可拓展性和移動性.

Lyu等人[17]提出了一種基于差分隱私和秘密共享技術(shù)的隱私保護數(shù)據(jù)聚合方案.具體來說，為了保證總體統(tǒng)計量的差分隱私，該方案利用高斯分布噪聲對私有數(shù)據(jù)進行擾動.雙層聚合可以減輕隱私泄露風險，從而保證數(shù)據(jù)的實用性.這篇文章使用公鑰加密實現(xiàn)認證，為了保證方案的可拓展性還考慮了節(jié)點的更新問題.然而，在提供數(shù)據(jù)聚合服務(wù)的同時，邊緣節(jié)點可能會竊取用戶的位置隱私并交給惡意第三方.此外，該方案并沒有考慮數(shù)據(jù)完整性、身份隱私、可追蹤性和移動性.

雖然上述邊緣計算的隱私保護數(shù)據(jù)聚合方案[14,17]都具有容錯功能，但未考慮到身份隱私保護問題.為了解決該問題，Wang等人[15]引入了一種邊緣計算場景下使用假名技術(shù)的匿名數(shù)據(jù)聚合方案.云服務(wù)器在注冊階段對邊緣節(jié)點和用戶設(shè)備進行認證，保證了所有參與邊緣計算實體的真實性.該方案使用同態(tài)加密技術(shù)，既保護了本地設(shè)備的身份隱私，又保證了數(shù)據(jù)機密性.在該方案中，邊緣節(jié)點和云服務(wù)器會對接收到的消息進行驗證，保證了數(shù)據(jù)完整性.此外，該方案也考慮了本地設(shè)備和邊緣節(jié)點的撤銷問題，但移動性仍然沒有被考察.與文獻[14]不同，文獻[15]和[17]的隱私保護數(shù)據(jù)聚合并未考慮邊緣計算中數(shù)據(jù)的異構(gòu)性.

為了同時保護數(shù)據(jù)隱私和身份隱私，Guan等人[16]提出了一種將假名證書與Paillier同態(tài)加密相結(jié)合的方案，適用于增強的邊緣計算物聯(lián)網(wǎng)環(huán)境中的隱私保護數(shù)據(jù)聚合.在該方案中，每個邊緣節(jié)點所負責的區(qū)域擁有一個本地證書頒發(fā)機構(gòu)(local certificate authority, LCA)和一個可信證書頒發(fā)機構(gòu)(trusted certificate authority, TCA).為了防止偽造證書，它將與用戶設(shè)備一同生成和更新假名證書.此外，所有實體都可以在數(shù)據(jù)傳輸期間使用摘要來驗證數(shù)據(jù)完整性，同時該方案還考慮了假名證書的更新和撤銷，具有較強的靈活性.然而，上述所有數(shù)據(jù)聚合方案都不支持可追溯性，也無法驗證聚合結(jié)果的正確性.

值得注意的是，國內(nèi)外現(xiàn)有的大多數(shù)邊緣計算隱私保護數(shù)據(jù)聚合方案[14-16,19-20]是利用公鑰同態(tài)加密技術(shù)實現(xiàn)的；然而從效率方面看，直接將公鑰加密算法作用在數(shù)據(jù)上違背了混合加密的基本原則，為資源受限的本地設(shè)備帶來了巨大的計算和通信負擔；從安全性方面看，無論是單用戶、多數(shù)據(jù)聚合還是多用戶、多數(shù)據(jù)聚合，都是用聚合結(jié)果接收方的公鑰對本地數(shù)據(jù)進行同態(tài)加密，以保證密文域上的聚合計算；因此，本地設(shè)備數(shù)據(jù)對聚合結(jié)果接收方無法實現(xiàn)隱私保護；對除了聚合接收方以外的其他協(xié)議實體而言，加法同態(tài)加密僅能保證選擇明文安全.另一方面，用數(shù)據(jù)擾動方法對本地數(shù)據(jù)加噪，又會對聚合結(jié)果的準確性產(chǎn)生一定程度的影響.

因此，如何在隱私保護數(shù)據(jù)聚合的準確性、安全性和性能3方面實現(xiàn)最優(yōu)化是一個具有挑戰(zhàn)性的公開研究問題，近年來受到了國際密碼安全研究人員的廣泛關(guān)注.邊緣計算的另一個重要應(yīng)用領(lǐng)域是認知無線電網(wǎng)絡(luò)(cognitive radio network).認知無線電網(wǎng)絡(luò)能通過頻譜聚合與共享實現(xiàn)有效的頻譜管理，從而解決極具增加的移動用戶和有限的頻譜帶寬之間的供求矛盾.二級用戶可以在與一級用戶不產(chǎn)生地理位置沖突的前提下，發(fā)現(xiàn)和共用同一個頻譜.然而，其中仍存在許多安全問題未能解決，其中最為重要的是用戶位置隱私泄露問題.國內(nèi)外現(xiàn)有工作或未能完全解決用戶位置隱私保護問題，或依賴計算開銷巨大的公鑰同態(tài)加密技術(shù)實現(xiàn)，不適用于資源受限的移動用戶的客觀性能需求.Zhou等人[21]不利用公鑰同態(tài)加密技術(shù)，基于任意單向陷門置換提出了一個高效的隱私保護多用戶數(shù)據(jù)聚合協(xié)議PPMDA，并在此基礎(chǔ)上構(gòu)造了認知無線電網(wǎng)絡(luò)中的輕量級隱私保護頻譜聚合與拍賣協(xié)議PPSAS.尤其值得指出的是，為了抵抗合謀攻擊，還將PPMDA協(xié)議進行了分布式擴展設(shè)計，并且在密文域上實現(xiàn)了一個擴展的完美穩(wěn)定婚姻匹配協(xié)議，從而在保護用戶位置隱私的前提下，靈活實現(xiàn)了二級用戶(競拍者)利益最優(yōu)化和拍賣方利益最優(yōu)化.

2.2 隱私保護外包計算

在隱私保護數(shù)據(jù)聚合的基礎(chǔ)上，在邊緣計算中，資源受限的本地設(shè)備可將基于大批量輸入數(shù)據(jù)的各類復雜多元函數(shù)計算任務(wù)外包給具備一定存儲、計算和通信資源的邊緣節(jié)點完成.本節(jié)將從4類適用于邊緣計算隱私保護的外包計算技術(shù)，即：數(shù)據(jù)擾動、公鑰全同態(tài)加密、安全多方計算和全同態(tài)數(shù)據(jù)封裝技術(shù)出發(fā)，對國內(nèi)外最新的研究成果進行闡述與歸類.最后，我們小結(jié)了惡意敵手環(huán)境下，邊緣計算結(jié)果正確性可驗證與可審計方面的最新研究進展.

2.2.1 數(shù)據(jù)擾動

數(shù)據(jù)擾動(data perturbation)是在邊緣計算中實現(xiàn)隱私保護的一類常用技術(shù).通常，數(shù)據(jù)擁有者通過執(zhí)行線性運算或非線性運算，以某些特定方式對原始數(shù)據(jù)進行盲化，然后將盲化后的數(shù)據(jù)外包給服務(wù)器用于數(shù)據(jù)分析與處理[22].具體的數(shù)據(jù)擾動方法包括交換記錄值[23-24]、隨機化[25]、幾何擾動[26]、旋轉(zhuǎn)擾動[27-28]、同分布樣本替換[29-30]等.

Lin在文獻[31]中設(shè)計了一個保護隱私的內(nèi)核k均值聚類外包方案，對向量中的所有值進行擾動運算.Yang等人[32]采用了一種可檢索的數(shù)據(jù)擾動方法來進行隱私保護的外包計算.他們的方案通過添加噪聲矩陣來保護私有數(shù)據(jù)，該矩陣具有被擾動的數(shù)據(jù)具有與原始數(shù)據(jù)相同的均值和協(xié)方差的特性.此外，幾何數(shù)據(jù)擾動(geometric data perturbation)是一種組合技術(shù)，包括乘法變換、平移變換和噪聲加法運算.這些子變換的集成在計算中展現(xiàn)出了良好的性能以及隱私保護能力[33-34].另一種是基于置換函數(shù)的數(shù)據(jù)擾動技術(shù)，在不改變原始數(shù)據(jù)值的情況下對其進行無序置換.較為常見的有矩陣置換，即置換矩陣的行和列.置換函數(shù)可以表示為π(i)=pi(i=1,2,…,n)，其中i是原始索引，而π(i)是置換后索引.換句話說，第1個由i標記的元素將被pi標記的元素替換.Duan等人[35]提出了一種用于非負矩陣分解的安全可靠的外包方案.輸入矩陣通過執(zhí)行置換操作實現(xiàn)盲化，并且2個置換矩陣由Knuth shuffle算法生成[36].基于置換的方法已應(yīng)用于許多特定的外包方案中，例如線性代數(shù)[37-38]、圖像處理[39]和數(shù)據(jù)挖掘[40].

在基于數(shù)據(jù)擾動的方案中，隨機值或置換的隨機性被視為用戶的秘密密鑰.與基于密碼方法的技術(shù)相比，擾動方法由于其相對簡單的操作而通常導致較低的計算開銷與通信開銷.然而，其隱私保護的能力通常不如基于密碼學的方法，某些重要信息經(jīng)過線性(逆)變換還是會泄露一部分的數(shù)據(jù)，且對外包計算結(jié)果的準確性會帶來一定程度的影響.

2.2.2 全同態(tài)加密

全同態(tài)加密可以在密文域上實現(xiàn)與明文域上相同的加法和乘法運算，并由于加法和乘法運算在有限域上功能是完整的，因此可實現(xiàn)使用這2個原子運算來構(gòu)造的任意函數(shù)的同態(tài)計算.表2總結(jié)了具有代表性的公鑰全同態(tài)加密方案(其中前2種BGN方案[41]和Armknecht等人提出的方案[42]是一定程度的同態(tài)加密方案SWHE).

首先，一定程度同態(tài)加密(somewhat homo-morphic encryption, SWHE)可以對密文執(zhí)行有限次的加法和乘法運算，可認為是一種功能受限的全同態(tài)加密.如BGN密碼系統(tǒng)[41]支持有限數(shù)量的加法同態(tài)運算，并且僅支持一次乘法同態(tài)運算.Armknecht等人[42]基于編碼理論問題提出了一種SWHE方案，它允許在任意有限域上進行任意次數(shù)的加法和固定次數(shù)的乘法運算.但是，該方案的密文大小隨預期的加密總數(shù)呈指數(shù)增長.盡管SWHE同時支持加法和乘法，但是所允許的運算數(shù)量是有限的，因此只能用于小規(guī)模的程序電路運算場景.

作為安全計算的高級解決方案，公鑰全同態(tài)加密(fully homomorphic encryption, FHE)允許對密文進行無限次數(shù)的任意操作(包括任意次數(shù)的加法和乘法運算).2009年，Gentry[43]首次提出了FHE，他先構(gòu)造了SWHE方案，并使它可引導.也就是說，該方案在解密之后還可以執(zhí)行至少一次的同態(tài)操作.但是Gentry和Halevi的文獻[44]中指出，基于文獻[43]的全同態(tài)加密方案需要對明文消息逐位加密，計算開銷非常巨大，所以無法直接用于邊緣計算底層資源受限的本地設(shè)備.盡管隨后提出了幾種改進和優(yōu)化方法[45-46]，但就計算開銷和密文擴張而言，這些方案對于邊緣計算隱私保護應(yīng)用仍然不切實際.此外，Gentry等人[47]還提出了一種新的近似特征向量方法，以使同態(tài)加法和乘法運算更加有效.之后由Brakerski等人[48]根據(jù)帶錯誤的學習(learning with errors, LWE)問題構(gòu)造了另一種FHE方案.近年來，Halevi等人[49]建立了一個名為HElib的FHE算法庫，以實現(xiàn)上述的密碼系統(tǒng)和自引導方法[50].Brakerski等人[51]建立了一個新的有效工具來減少密文噪聲.為了更有效地存儲數(shù)據(jù)，Smart等人[52]構(gòu)造了一種FHE新技術(shù)，該技術(shù)允許將多個密文值打包為單個密文，并以單指令多數(shù)據(jù)(SIMD)方式對這些值進行操作.

為了進一步提高FHE的計算和通信效率，Ducas等人[53]構(gòu)建了具有有效自引導功能的FHE方案.Chillotti等人[54-55]給出了2種改進的自引導方法，以使FHE方案切實可行.Meaux等人[56]結(jié)合分組密碼和流密碼評估的優(yōu)勢，設(shè)計了一種有效的FHE方案，該方案具有密文的低噪聲性質(zhì).Brakerski[57]提出了一種量子FHE(quantum FHE, QFHE)方案，該方案提出在量子多項式時間內(nèi)可計算的函數(shù).在多項式量子電路中，同態(tài)計算的誤差會成倍地減小.Boneh等人[58]基于帶錯誤的學習假設(shè)構(gòu)造了閾值FHE(threshold FHE, ThFHE)方案，此外ThFHE還給出了閾值密碼系統(tǒng)的通用框架.由于FHE的天然優(yōu)勢(所有計算都可以在某個半可信的服務(wù)器中執(zhí)行)，因此許多基于FHE算法的應(yīng)用程序都被設(shè)計出來，例如關(guān)聯(lián)規(guī)則挖掘[59]、私有信息檢索[60]和臨床決策支持系統(tǒng)[61].雖然上述國內(nèi)外關(guān)于公鑰全同態(tài)加密(FHE)的輕量化工作取得了顯著成效，但其高計算、存儲和通信開銷仍然無法滿足邊緣計算系統(tǒng)中資源受限的本地設(shè)備的客觀性能需求，成為基于FHE的隱私保護外包計算獲得廣泛應(yīng)用的嚴重障礙.

Table 2 Typical HE Schemes and Their Security Assumptions

2.2.3 安全多方計算

安全多方計算(secure multi-party computation, MPC)是指一種在多用戶間進行的安全計算的協(xié)議，其中多個參與方共同對他們的輸入數(shù)據(jù)進行計算，同時保持各個輸入數(shù)據(jù)為私有.MPC是密碼學中的一個熱門話題，自Yao提出百萬富翁協(xié)議[62]以來，它已經(jīng)被研究了二十多年.Yao的百萬富翁問題描述了這樣一種情況：假設(shè)有2個整數(shù)a(來自參與方A)和b(來自參與方B)，目的是獲得這2個整數(shù)之間的大小關(guān)系，但不向?qū)Ψ酵嘎陡髯該碛姓麛?shù)的實際值.

Yao[63]首先描述了基于混淆電路(garbled circuit)的MPC的思想，通過門電路的組合來構(gòu)造通用的MPC.在這種設(shè)計中，參與方A首先創(chuàng)建了一個“混淆電路”，并將該電路發(fā)送給另一方B.然后B將他的輸入放入電路中計算并將結(jié)果返回給A.通過這樣交換一些信息，雙方會知道計算結(jié)果，但不知道另一方的輸入.然而Yao的論文沒有提供有關(guān)如何構(gòu)建該通用電路的詳細信息.后來，在雙參與方的情況下高效的混淆電路技術(shù)被提出[64]，以節(jié)省運行時間和存儲空間.盡管雙參與方的混淆電路取得了成功，但多方安全計算進度卻比兩方的情況要慢得多.減少多方計算中的輪復雜度一直是MPC研究中的重點.Beaver等人[65]設(shè)計了一種用于常數(shù)輪的多方安全功能計算的方案(由n個參與方(n≥2)組成，每個方都具有私有輸入xi(1≤i≤n)).n個參與方希望在不暴露輸入值的同時共同計算函數(shù)f(x1,x2,…,xi).Ben-Efraim等人的研究[66]表明，通過多方混淆電路，對于半誠實的敵手，可以在常數(shù)輪的安全多方計算達到較好的表現(xiàn).然后這項工作提出了一種構(gòu)建混淆電路的新方法，對于大量參與方而言，每個門僅需進行常數(shù)次的操作即可對其進行運算.

Wang等人[67]通過一個計算方預處理消息的方法實現(xiàn)了一個常數(shù)輪的多方計算協(xié)議，且在惡意敵手模型下安全.Zhu等人[68]在Wang的方案的基礎(chǔ)上運用動態(tài)規(guī)劃進一步提升了安全多方計算的效率.Ananth等人[69]基于DDH假設(shè)提出了一個5輪的多方計算協(xié)議，并基于混淆電路提出了一個4輪的多方安全計算協(xié)議.Badrinarayanan等人[70]通過單項函數(shù)來實現(xiàn)了無狀態(tài)令牌模型下的3輪的多方計算，并證明了在UC模型下安全.Mukherjee等人[71]在隨機字符串模型下提出了一個通用的2輪多方計算協(xié)議的構(gòu)造.在有錯誤學習(LWE)假設(shè)下達到了半可信參與方模型下安全，在非交互式零知識證明的假設(shè)下達到了惡意敵手模型下安全.Boyle等人[72]使用了逐位的不經(jīng)意傳輸，提出了一個2輪的交換群內(nèi)的多方計算協(xié)議.Garg等人[73]通過減少使用不經(jīng)意傳輸，用更多的單項陷門來代替，以減少公鑰密碼使用次數(shù)，來構(gòu)造了高效的2輪多方安全計算協(xié)議，且在半可信和惡意敵手模型下都保證了安全性.Benhamouda等人[74]通過提出了一個交互式混淆電路，構(gòu)造了通用的方法來使用k輪的不經(jīng)意傳輸構(gòu)造k輪的多方計算.

除了減少輪復雜度，很多工作關(guān)注于安全多方計算的安全等級，比如在不同敵手的門限數(shù)量的情況下保證安全性以及可用性.Coretti等人[75]優(yōu)化了異步傳輸中的多方安全計算的輪數(shù)，在惡意敵手模型下達到了t

由于很多現(xiàn)實應(yīng)用都需要多參與方共同進行計算，大量參考文獻使用混淆電路方法來設(shè)計用于實際應(yīng)用的協(xié)議，例如生物識別[86]、私有線性分支程序[87]、保護隱私的遠程診斷[88]和人臉識別[89].但是，這些方案仍然需要很高的計算量和多輪的通信復雜度[90].

MPC的另一種構(gòu)造方法是基于秘密共享的協(xié)議，該協(xié)議使用秘密共享(secret sharing)技術(shù)生成隨機份額，并將份額分配給不同的參與者，并且參與者共同交互地計算目標函數(shù).秘密共享(由Shamir[91]和Blakley[92]首先提出)可以將機密信息分割并分配給一定數(shù)量的擁有者，只有在聚集了足夠多的擁有者的情況下，才可以聯(lián)合執(zhí)行解密.Ben-Or等人[93]和Chaum等人[94]提出了安全計算任何函數(shù)的協(xié)議.他們都設(shè)計了以(可驗證的)秘密共享形式對秘密值進行加法和乘法(XOR和AND)運算.依靠每個門上的加法和乘法運算，就可以逐個門計算任何函數(shù).基于通用秘密共享的MPC協(xié)議往往比解決專門函數(shù)的多方計算協(xié)議的效率低，這有2個原因.首先，通用電路通常很大;其次，乘法子協(xié)議效率很低，因為它需要大量的交互.因此，一系列研究集中于為特定函數(shù)開發(fā)有效的MPC協(xié)議.Damg?rd等人[95]提出了基于通用秘密共享機制的用于比較、相等性測試和位分解操作的通用協(xié)議.Nishide和Ohta[96]構(gòu)建了更高效的協(xié)議，用于求解2個數(shù)的大小關(guān)系，而無需依賴位分解協(xié)議.后來Dinur等人[97]通過分布式離散對數(shù)問題構(gòu)造了一個同態(tài)的秘密分享協(xié)議.除此之外，很多擁有特定安全屬性的多方計算方案被提出，比如隱藏輸入輸出大小[98]、威懾合謀的敵手[99]、隱藏網(wǎng)絡(luò)拓撲結(jié)構(gòu)[100].很多工作聚焦于方便其他學者設(shè)計的MPC方案，比如Eldefrawy等人[101]設(shè)計了一套代碼EasyCrypt，可以讓機器自檢多方安全計算的安全性及效率，Agarwal等人[102]提出了一組叫做CPS的代數(shù)結(jié)構(gòu)來更方便地進行多方安全計算.還有很多針對特定功能的更有效的MPC協(xié)議也被提出了，例如安全的多方乘積[103]、標量乘積[104]、排序[105]、矩陣分解[106]和集合求交[107]等.這些協(xié)議已用于隱私保護的多方數(shù)據(jù)挖掘[108]、多方科學計算[109]、數(shù)據(jù)庫查詢[110]、幾何計算[111]等.

2.2.4 全同態(tài)數(shù)據(jù)封裝機制

基于數(shù)據(jù)擾動的邊緣計算隱私保護方案雖然采用了較高效的盲化技術(shù)，但無法保證外包計算結(jié)果的準確性.在基于公鑰全同態(tài)加密技術(shù)實現(xiàn)的邊緣計算隱私保護中，存儲、計算、通信資源受限的本地設(shè)備需要用公鑰全同態(tài)加密去加密其采集的每一個數(shù)據(jù)，違背了混合加密的基本原則，且本地設(shè)備執(zhí)行公鑰全同態(tài)加密運算的次數(shù)與數(shù)據(jù)量的大小n成線性關(guān)系(計算復雜度為O(n))；其數(shù)據(jù)安全(包括本地設(shè)備采集的輸入數(shù)據(jù)隱私和計算結(jié)果隱私)僅達到選擇明文安全(公鑰全同態(tài)加密由于其密文具有延展性，無法達到適應(yīng)性選擇密文安全).在基于安全多方計算的方案中，多個邊緣節(jié)點間較高的通信開銷與輪復雜度又成為了邊緣計算隱私保護輕量化的瓶頸.

為了解決上述問題，Cao和Zhou等人[112]提出了不依賴傳統(tǒng)的公鑰全同態(tài)加密技術(shù)，通過減少公鑰加密使用次數(shù)構(gòu)造輕量級安全外包計算新理論構(gòu)想、總體實現(xiàn)思路和方法.具體而言，依據(jù)邊緣計算節(jié)點存儲、計算資源受限、自組織和通信范圍有限等特點，形式化刻畫了基于邊緣計算的物聯(lián)網(wǎng)中的隱私保護外包計算的安全模型.在此基礎(chǔ)上，不利用公鑰全同態(tài)加密技術(shù)，通過離線狀態(tài)下一次任意單項陷門置換與在線狀態(tài)下僅包含簡單加法、乘法運算的對稱加法同態(tài)映射，設(shè)計了高效的安全外包數(shù)據(jù)聚合方案.

在安全性方面，該方案中由于本地設(shè)備提交給邊緣節(jié)點的數(shù)據(jù)密文中包含了對隨機數(shù)(該隨機數(shù)用于帶密鑰的對稱全同態(tài)映射加密數(shù)據(jù)本身)的任意單向陷門置換這一密文項，由于該密文項是不具有全同態(tài)性質(zhì)的，而邊緣計算是在針對數(shù)據(jù)加密的對稱全同態(tài)映射上進行，因此其外包計算結(jié)果可達到適應(yīng)性選擇密文安全.在性能方面，本地設(shè)備僅在離線狀態(tài)下執(zhí)行了一次任意單向陷門置換(其計算開銷相當于一次任意公鑰加密)，對大批量的n個數(shù)據(jù)實現(xiàn)批量加密，因此其公鑰加密使用次數(shù)復雜度為O(1)，與本地設(shè)備采集的數(shù)據(jù)大小無關(guān).該方案解決了國際著名密碼學家Gentry[113]團隊在國際三大頂級密碼會議之一美密會上提出的“如何利用比全同態(tài)加密更高效的密碼原語設(shè)計可驗證安全計算(our work leaves open several interesting problems. It would be desirable to devise a verifiable computation scheme that used a more efficient primitive than fully homomorphic encryption.)”這一挑戰(zhàn)性公開問題.同時，進一步將上述理論與方法應(yīng)用到基于邊緣計算的物聯(lián)網(wǎng)中，解決了輕量級數(shù)據(jù)包安全傳輸與高效的隱私保護認證兩大問題.

針對邊緣計算的隱私保護，國內(nèi)外學者更關(guān)注如何在多服務(wù)器架構(gòu)下構(gòu)造輕量級的隱私保護外包計算協(xié)議.Zhou等人[114]在合作且不合謀的雙服務(wù)器架構(gòu)下，提出了一個輕量級的多用戶、多數(shù)據(jù)安全外包計算協(xié)議，并在此基礎(chǔ)上研究無線車聯(lián)網(wǎng)的高效數(shù)據(jù)包認證協(xié)議.車聯(lián)網(wǎng)的位置服務(wù)有助于基于地理位置的社交網(wǎng)中的信息獲取，認證保證了基于位置服務(wù)信息的有效性與不可偽造性.然而，由于車聯(lián)網(wǎng)通信中存在大量的冗余信息與無用信息、周期性分發(fā)認證密鑰導致的高認證開銷、基于消息標識碼過濾的不徹底性和公鑰全同態(tài)加密使用等原因，使得現(xiàn)有的認證協(xié)議無法滿足資源受限的車載設(shè)備的性能需求或不適應(yīng)于車聯(lián)網(wǎng)對實時控制的需求.作者不利用傳統(tǒng)的公鑰全同態(tài)加密技術(shù)，在不合謀的雙服務(wù)器假設(shè)下，首先提出了一個高效的多密鑰安全外包計算協(xié)議MSOC.然后，基于MSOC，在無需用戶與服務(wù)器在線交互的前提下，設(shè)計了一個高效的隱私保護整數(shù)比較協(xié)議LSCP.再次，基于MSOC協(xié)議，設(shè)計一個高效的隱私保護信息過濾系統(tǒng)，在執(zhí)行位置服務(wù)消息認證前過濾了冗余和無用信息，從而構(gòu)造了最終的輕量級隱私保護認證協(xié)議LPPA.車載用戶的位置隱私、興趣隱私得到有效保護，可抵抗路側(cè)單元和半誠實服務(wù)器(或密碼服務(wù)提供商)發(fā)起的合謀攻擊.尤其值得一提的是，所構(gòu)造的MSOC方案中密文具有可重隨機化性質(zhì)，從而進一步保護了車載用戶的興趣模板隱私，即敵手對2個不同車載用戶是否對同一條位置服務(wù)信息感興趣這一事實計算不可區(qū)分.

2.2.5 可驗證與可審計

在惡意敵手模型中，無論是理性的邊緣節(jié)點為了從本地設(shè)備獲得更多外包計算收益從節(jié)省計算資源的角度出發(fā)，還是被敵手俘獲的邊緣節(jié)點都可能將錯誤的計算結(jié)果返回給計算任務(wù)請求方.另一方面，邊緣節(jié)點在網(wǎng)絡(luò)邊緣代表上層云服務(wù)器向用戶提供分布式計算服務(wù)，云服務(wù)器也關(guān)心邊緣節(jié)點是否向用戶提供了正確可信的計算結(jié)果.因此，計算結(jié)果的正確性驗證對于用戶和云來說都是非常重要的.如果沒有檢查返回結(jié)果正確性的機制，云服務(wù)器可能不愿意將計算任務(wù)分攤給邊緣節(jié)點，當用戶無法訪問邊緣節(jié)點提供的服務(wù)時，意味著邊緣計算分流失敗.如何在實現(xiàn)邊緣計算數(shù)據(jù)隱私保護的基礎(chǔ)上保證外包計算結(jié)果的正確性可驗證與可審計成為具有挑戰(zhàn)性的研究熱點.

Gennaro等人[115]引入了可驗證計算的概念，并設(shè)計了一種基于混淆電路的非交互式可驗證計算方案[116].Chung等人[117]利用全同態(tài)加密方案構(gòu)造了一個使用較小公鑰的非交互式可驗證計算方案.此外，Parno等人[118]設(shè)計了一種基于CP-ABE的公開可驗證計算方案，Papamanthou等人[119]提出了一種云環(huán)境下新的動態(tài)計算驗證模型.為了支持多用戶系統(tǒng)，Choi等人[120]提出了一種使用代理無關(guān)傳輸方案的多用戶非交互式可驗證計算方案.Gordon等人[121]利用ABE、全同態(tài)加密和混淆電路構(gòu)造了一個多用戶可驗證的計算方案.Elkhiyaoui等人[122]提出了一種有效的公開可驗證的計算委托，Zhuo等人[123]采用可驗證計算技術(shù)設(shè)計了一種保護隱私的可驗證數(shù)據(jù)聚合移動眾包方案.

聚合簽名為實現(xiàn)邊緣計算結(jié)果高效可驗證與可審計提供了重要的研究思路.聚合簽名的工作原理如下：給定來自同一用戶的n個不同消息上的n個簽名，可以將這n個簽名聚合成一個簽名[124].為了實現(xiàn)用戶多個簽名的聚合，目前已提出了許多聚合簽名方案[125-126]來縮短簽名長度.其中，為了克服聚合簽名中的n個簽名只能來源于同一個用戶這一局限性，我們引入了多簽名[127]、順序聚合簽名[128]和同態(tài)簽名[128]等密碼原語，用來聚合來自n個不同用戶對同一消息的n個簽名.Ni等人[129]利用多密鑰同態(tài)簽名來聚合由多用戶對同一消息產(chǎn)生的多個簽名.然而，目前還沒有一種在無需多用戶預先共享秘密的前提下，使用多密鑰同態(tài)簽名來將n個用戶對n個不同消息的n個簽名實現(xiàn)高效聚合的方法；相信在這一方向的突破會對基于多輸入、多輸出的多用戶、多任務(wù)場景下的邊緣計算結(jié)果正確性高效可驗證與可審計問題提供有力的理論支撐.

上述邊緣計算結(jié)果的正確性可驗證方案主要通過Yao的混淆電路(garbled circuit)、雙線性配對或聚合簽名技術(shù)實現(xiàn)，因此計算開銷巨大.如果計算結(jié)果驗證的開銷大于外包計算任務(wù)請求方自身計算外包函數(shù)的計算開銷，則外包計算將違背其初衷.另一方面，在邊緣計算中，邊緣節(jié)點以分布式的方式協(xié)同執(zhí)行用戶的計算任務(wù).一個邊緣節(jié)點所得出的錯誤(中間)計算結(jié)果會擴散到鄰近的其他邊緣節(jié)點，從而導致錯誤結(jié)果的迅速累積直至最終外包計算結(jié)果正確性驗證失敗.因此，如何對邊緣計算的所有中間結(jié)果和最終結(jié)果進行及時驗證，以保證結(jié)果的正確性，并對輸出錯誤結(jié)果的邊緣節(jié)點進行快速有效追蹤與審計，仍然是值得關(guān)注的研究問題.

2.3 面向應(yīng)用的隱私保護邊緣計算

本節(jié)將從2類基本函數(shù)、人工智能神經(jīng)網(wǎng)絡(luò)、圖像處理、生物認證和密文搜索等應(yīng)用場景出發(fā)，具體闡述邊緣計算的隱私保護在各類新興智能網(wǎng)絡(luò)服務(wù)中的應(yīng)用密碼學研究.

2.3.1 基本函數(shù)的邊緣外包計算

基本函數(shù)是指解決基本算術(shù)問題的一些簡單操作，如集合運算、矩陣運算等.

1) 集合運算.集合通常被用作不同對象的容器.集合上的主要操作包括集合求交、集合求并，它們已作為基礎(chǔ)模塊應(yīng)用于許多程序中，例如數(shù)據(jù)挖掘、圖形算法和推薦服務(wù).本節(jié)主要討論集合交集、并集及其變體的外包方案.由于集合內(nèi)的數(shù)據(jù)有時會涉及用戶隱私，因此需要保證集合元素運算結(jié)果正確性以及安全性.

集合求交是指在計算出多個集合之間的共同元素.在邊緣計算環(huán)境中，一個或多個客戶端共同計算并獲得交集結(jié)果，而其各自的集合保持私有狀態(tài).邊緣節(jié)點有效地執(zhí)行預設(shè)的相交操作，但無法得知集合中的任何信息.

Freedman等人[130]討論了半誠實和惡意對手模型中的安全的兩方集合相交協(xié)議，想法是將集合元素映射到多項式中，然后依靠同態(tài)加密方案在密文上進行運算.基于文獻[130]的思想，Dachman-Soled等人[131]描述了一種用于集合相交的魯棒協(xié)議，對惡意敵手的行為具有驗證能力.該算法還采用Shamir秘密共享技術(shù)，通過k階多項式共享服務(wù)器的集合，其中k是安全參數(shù).為了驗證最終結(jié)果的正確性，服務(wù)器和客戶端在服務(wù)器集合上共同運行了一個切割選擇協(xié)議.最終，客戶端正確地獲得自己集合和服務(wù)器集合的交集.

除隱私和正確性要求外，效率也是集合運算中要考慮的重要因素.Yang等人[132]利用RSA密碼系統(tǒng)的乘法同態(tài)性質(zhì)提出了一種高效的集合相交協(xié)議，在半誠實模型下安全.該協(xié)議假設(shè)2個不同的參與方(即A和B)擁有各自的私有集，這些私有集已加密并外包到云中.當一方A嘗試獲取其集合的交集結(jié)果時，他向另一方B發(fā)送請求信號.如果B同意參與該集合交集，則他將向云發(fā)送許可消息和一些必要的信息.由于具有同態(tài)屬性，云服務(wù)器對加密的集合進行操作，并將交集結(jié)果(也是加密形式)返回給A.最后A解密結(jié)果并恢復交集，而不會知道B的私有集的信息.客戶端上的計算僅涉及幾個簡單的模塊化乘法.如果有多個客戶端(每個客戶端都擁有一個秘密集合)，則云服務(wù)器將在從客戶端那里接收到許可消息后，在所涉及的加密集合之間執(zhí)行集合相交操作.Chen等人[133]利用分層的FHE方案構(gòu)造了一個私有集求交協(xié)議.通過組合各種優(yōu)化技術(shù)(例如批處理和散列技術(shù))，大大降低了通信和計算成本，并證明了在半誠實模型下安全.除了用多項式來表示集合，Ruan等人[134]將集合表示為向量，集合相交運算由此轉(zhuǎn)換為向量運算.Zhu等人[135]基于GM密碼系統(tǒng)構(gòu)造了另一個基于Bloom過濾器的集合表示形式.該協(xié)議允許多個客戶端外包其集合并獲得集合相交結(jié)果，而無需透露其私有集合.

2) 矩陣運算.矩陣乘法是2個矩陣之間的運算，無論在特定應(yīng)用程序中還是其他矩陣運算中，矩陣乘法通常被用作構(gòu)造塊.在矩陣乘法的外包方案中，假設(shè)矩陣A和矩陣B是輸入矩陣，則在服務(wù)器端進行計算之后，客戶端將以最小的開銷得到C=AB的結(jié)果.服務(wù)器將永遠不會知道原始輸入矩陣或最終的乘法結(jié)果.當對n×n維矩陣進行運算時，矩陣乘法公認的理論上限為O(nω)(ω?2.38).但是，在實際運用中，計算復雜度通常接近O(n3).

在許多工作中都研究了具有可驗證屬性的矩陣乘法外包方案.Mishra等人[136]采用了一種新穎的矩陣包裝方法，提出了一種高效的安全矩陣乘法方案.在該協(xié)議中，將輸入矩陣的條目打包為一個多項式，并使用SWHE[137]方案進行加密.在該協(xié)議中，2個矩陣之間的乘法只需要對密文進行一次同態(tài)乘法運算.由于文獻[136]僅支持2個矩陣之間的乘法運算，為了改進這一點，Mishra等人[138]基于BGV密碼系統(tǒng)，進一步提出了多矩陣乘法.另外，該方法是在HElib下實現(xiàn)的，具有很高的效率.Lu等人[139]也提出了一種具有更高效率的安全矩陣乘法協(xié)議.為了減少計算和通信的開銷，引入了幾種優(yōu)化方法.一方面，使用中國剩余定理(Chinese Remainder Theorem, CRT)設(shè)計了一種高效的打包技術(shù)，以單次同構(gòu)運算為代價來計算一批內(nèi)積.另一方面，在協(xié)議的開頭構(gòu)造了一個預先計算的表，并由客戶端多次重用，從而大大減少了客戶端的工作量.實踐證明，該方案并發(fā)性也很高.Benjamin等人[140]設(shè)計了將矩陣乘法分配給2個云服務(wù)器的協(xié)議.每個輸入矩陣都隨機分成2個份額，分別外包給2個服務(wù)器.為了保持強大的可驗證性，Atallah等人[141]通過擴展Shamir的秘密共享和語義安全的AHE方案的組合技術(shù)，提出了一種僅使用一個服務(wù)器的改進解決方案.Mohassel[142]基于不同的HE方案分析了委托同態(tài)矩陣乘法的有效性.他們的工作證明了如果采用的HE方案滿足2個屬性(即關(guān)聯(lián)性和獨特性)，則可以用O(n2)復雜度驗證計算結(jié)果.

上述隱私保護的基本函數(shù)計算協(xié)議[136-142]大多利用公鑰(全)同態(tài)加密技術(shù)實現(xiàn)，其巨大的計算開銷和密文擴張無法滿足邊緣計算場景中存儲、計算和通信資源受限的本地設(shè)備的性能需求和適應(yīng)性選擇密文安全性.為了解決該問題，Zhou等人[143]構(gòu)造了各類輕量級隱私保護外包信號處理協(xié)議.密文域上的信號處理使得外包計算環(huán)境中，在保持大規(guī)模信號分析與處理結(jié)果精確性的前提下，對不可信的云服務(wù)器和未授權(quán)用戶保護敏感的信號消息.國內(nèi)外現(xiàn)有工作大多采用Paillier公鑰加法同態(tài)加密技術(shù)對輸入信號逐一進行加密，為資源受限的用戶本地帶來了巨大的計算開銷，且無法對信號處理結(jié)果的授權(quán)接收方有效保護每一個輸入信號的隱私.該方案不利用公鑰同態(tài)加密算法，提出了一個高效的隱私保護外包離散小波變換協(xié)議PPDWT(包括PPDWT-1和PPDWT-2兩個子協(xié)議).具體而言，PPDWT-1協(xié)議中的信號輸入隱私能有效抵抗半誠實的云服務(wù)器和未授權(quán)用戶發(fā)起的合謀攻擊；PPDWT-2協(xié)議中的信號輸入隱私和小波變換系數(shù)隱私均能有效抵抗上述合謀攻擊.所構(gòu)造的協(xié)議PPDWT利用離線狀態(tài)下一次任意單向陷門置換運算對輸入信號進行批量加密，并實現(xiàn)密文域上的信號處理.僅授權(quán)用戶(即小波變換外包計算任務(wù)請求方)能成功解密離散小波變換的結(jié)果.國內(nèi)外現(xiàn)有的利用公鑰同態(tài)加密技術(shù)實現(xiàn)的協(xié)議在用戶端的計算復雜度是O(|l|)(其中l(wèi)是輸入信號的大小)，而該協(xié)議在用戶端的計算復雜度為O(1).此外，作者還進一步討論了隱私保護信號處理中擴張因子對結(jié)果精確度影響的上限，以及在隱私保護離散傅里葉變換與余弦變換上的方案擴展，并在UC通用組合安全模型下形式化證明了所構(gòu)造協(xié)議PPDWT的安全性.

2.3.2 人工神經(jīng)網(wǎng)絡(luò)

機器學習(machine learning)極大地推動了人工智能的發(fā)展.機器學習的框架模擬生物大腦中的神經(jīng)系統(tǒng)，包含一組連接的單元或節(jié)點.在輸入和輸出層之間具有多個隱藏層的神經(jīng)網(wǎng)絡(luò)被稱作深度神經(jīng)網(wǎng)絡(luò)(deep neural network, DNN).遞歸神經(jīng)網(wǎng)絡(luò)(recursive neural network, RNN)和卷積神經(jīng)網(wǎng)絡(luò)(convolutional neural network, CNN)是DNN的兩大類型.為了降低本地設(shè)備用戶的計算開銷與通信開銷，通常在邊緣節(jié)點和云服務(wù)器進行模型訓練和分類、回歸等各種預測評估.如果說基于單一云服務(wù)器的外包計算可應(yīng)用于傳統(tǒng)的隱私保護機器學習，則基于邊緣計算的外包計算模型則與隱私保護的聯(lián)邦學習存在天然對應(yīng)關(guān)系.

圖5表明了邊緣計算場景下的隱私保護聯(lián)邦學習(Edge-AI)框架，主要由4個步驟組成：1)本地用戶將加密數(shù)據(jù)集發(fā)送給負責本區(qū)域數(shù)據(jù)處理的邊緣節(jié)點；2)邊緣節(jié)點在密文域上執(zhí)行本地訓練過程，獲得并將加密的局部參數(shù)發(fā)送給上層云服務(wù)器；3)云服務(wù)器聚合加密的局部參數(shù)，獲得加密的全局參數(shù)并返回至各邊緣節(jié)點；4)各邊緣節(jié)點重復多輪密文域上的模型訓練，直到滿足訓練目標為止(如滿足特定的預設(shè)損失函數(shù)要求).雖然聯(lián)邦學習與傳統(tǒng)的機器學習相比，由于本地用戶的數(shù)據(jù)集并未直接上傳到云服務(wù)器，實現(xiàn)了一定程度的隱私保護；然而，敵手仍可以通過竊聽信道中傳輸?shù)哪Ｐ蛥?shù)來推導用戶數(shù)據(jù)集的構(gòu)成，從而發(fā)起成員推理攻擊.此外，惡意本地用戶還企圖上傳惡意數(shù)據(jù)來破壞模型訓練的準確性.最終，由于邊緣節(jié)點和云服務(wù)器通常工作在半可信或惡意敵手環(huán)境中，用戶的數(shù)據(jù)集隱私及其合法性、模型參數(shù)隱私和預測評估結(jié)果隱私均應(yīng)實現(xiàn)有效保護.

圖5 邊緣計算聯(lián)邦學習隱私保護框架Fig. 5 Framework of privacy preserving in edge-based federated machine learning

Xie等人[144]和Gilad-Bachrach等人[145]實現(xiàn)了加密數(shù)據(jù)上神經(jīng)網(wǎng)絡(luò)的隱私保護預測.在該協(xié)議中，客戶端將加密的樣本特征(通過HE算法)發(fā)送到云中，以根據(jù)訓練后的模型進行預測.輸入數(shù)據(jù)和預測結(jié)果均對云服務(wù)器保密.Ma等人[146]提出了第一個完全非交互的(在云服務(wù)器和客戶端之間)神經(jīng)網(wǎng)絡(luò)預測方案.在協(xié)議中，使用秘密共享技術(shù)將訓練后的模型分為2個隨機部分，然后分別將其發(fā)送到2個非競爭服務(wù)器.由于加法同態(tài)性，服務(wù)器在客戶端的輸入數(shù)據(jù)(通過Paillier方案加密)上交互地應(yīng)用神經(jīng)網(wǎng)絡(luò)，并將加密的預測份額返回給客戶端.最后，客戶端通過組合結(jié)果份額來解密并恢復其數(shù)據(jù)樣本的相應(yīng)預測.他們的方案中，客戶端的計算與通信開銷是獨立的，與模型的大小無關(guān).

文獻[144-146]這3個工作假設(shè)神經(jīng)網(wǎng)絡(luò)模型是已經(jīng)訓練好的，僅關(guān)注預測階段.而Hesamifard等人[147]主要考慮神經(jīng)網(wǎng)絡(luò)的訓練階段，實現(xiàn)了安全地對加密數(shù)據(jù)運行CNN算法的方案.為了突破HE算法的局限性，該協(xié)議使用低階多項式來近似激活函數(shù)，并使用近似多項式來訓練CNN模型.然后，在加密數(shù)據(jù)上運行訓練后的模型以進行預測.Tang等人[148]提出了一種具有安全保證和高精度的分布式深度學習方案.在該協(xié)議中，數(shù)據(jù)請求者將加密的梯度外包給數(shù)據(jù)服務(wù)提供商，以進行新一輪的模型權(quán)重更新.采用新的參與者(即密鑰變換服務(wù)器)對加密的梯度進行重加密.同時，數(shù)據(jù)服務(wù)提供商使重新加密的梯度具有加法同態(tài)性，并對密文執(zhí)行更新計算.最后，每個數(shù)據(jù)請求者獲得更新的權(quán)重并將其解密.在該算法中，為了實現(xiàn)隱私性，增加了額外的通信成本.Shamsabadi等人[149]使用全同態(tài)加密以及多方安全計算方案提出了一種分布式的隱私保護的機器學習訓練及預測方案.

國內(nèi)外現(xiàn)有的隱私保護機器學習工作大多利用公鑰全同態(tài)加密或安全多方計算技術(shù)完成，導致高額的計算開銷與密文擴張，且要求用戶與服務(wù)器之間進行多輪在線交互.為了解決該問題，Zhou等人[150]首先提出了一個高效的單密鑰全同態(tài)數(shù)據(jù)封裝機制SFH-DEM；然后基于該機制，設(shè)計了一系列可用于隱私保護機器學習模型訓練與計算的原子計算協(xié)議，如密文域上的多元多項式計算協(xié)議、非線性激活函數(shù)計算協(xié)議、梯度函數(shù)計算協(xié)議和最大值計算協(xié)議等；最終，在離散神經(jīng)網(wǎng)絡(luò)中提出了一個輕量級隱私保護的模型訓練與計算協(xié)議LPTE，同時還進一步給出了擴展到加密域上卷積神經(jīng)網(wǎng)絡(luò)的具體方法.形式化安全性證明表明所構(gòu)造協(xié)議在半誠實敵手模型下能有效保護用戶的數(shù)據(jù)集隱私、模型訓練隱私和模型計算結(jié)果隱私；在MNIST數(shù)據(jù)集上的實驗結(jié)果表明，其所構(gòu)造的LPTE協(xié)議用于離散神經(jīng)網(wǎng)絡(luò)中隱私保護的手寫數(shù)字識別時，比同類方案相比，具有更高的準確性與高效性.

2.3.3 圖像特征提取與匹配

圖像特征提取與匹配在圖像分析、處理和識別過程中都必不可少.它的主要目的是從原始圖像數(shù)據(jù)中提取有用的特征，以作為分析圖像的重要依據(jù).圖像提取算法已經(jīng)發(fā)現(xiàn)了廣泛的應(yīng)用場景，如基于云的電子醫(yī)療系統(tǒng)[151]和生物識別系統(tǒng)[152].國內(nèi)外隱私保護的圖像特征提取算法主要集中在4類特征：尺度不變特征變換(SIFT)[153]、加速魯棒特征(SURF)[154]、定向梯度直方圖(HOG)[155]和位置上下文描述子(shape-context)等.

SIFT[162]是一種用于檢測和描述圖像局部特征的算法，具有強大的抗攻擊特征點檢測能力.Hsu等人[156]利用Paillier加法同態(tài)加密算法，提出了安全可靠的SIFT計算外包協(xié)議，實現(xiàn)了SIFT特征在加密域中的提取和表示.該算法包括4個主要部分：高斯差分(DoG)變換、特征點檢測、特征描述和描述子匹配.在這基礎(chǔ)上，Hsu等人[157]進一步探索了一個類似的基于公鑰同態(tài)加密的安全SIFT外包方案.該算法基于離散對數(shù)問題和RSA問題，對純密文攻擊(cybertext only attack, COA)和已知明文攻擊(known plaintext attack, KPA)是安全的.然而，文獻[156-157]從隱私角度引入了很大的計算復雜性和一定的不安全性[158].為了消除這些限制，Hu等人[159]提出了一種高級協(xié)議.與用Paillier密碼系統(tǒng)加密初始圖像不同，該工作將原始圖像分成2個隨機共享串，并將加密后的子圖像上傳到2個獨立的云服務(wù)器上.采用SWHE方案和SIMD批處理技術(shù)對比較過程進行了改進.此外，隱私保護SIFT方案很好地保留了原始明文上SIFT方案在顯著性和魯棒性方面的重要特性.為提供更強的隱私，Li等人[160]利用文獻[161]的部分解密Paillier密碼體制，提出了另一種安全的SIFT特征提取方案.為了進一步減少公鑰(全)同態(tài)加密給資源受限的本地設(shè)備帶來的巨大開銷，Zhou等人[151]基于任意單向陷門置換提出了隱私保護的整數(shù)比較協(xié)議，并在此基礎(chǔ)上構(gòu)造了密文域上輕量級的基于SIFT的圖像特征提取與匹配協(xié)議.

SURF[162]被認為是SIFT的增強版.與SIFT相比，它可以更快地執(zhí)行，并且對不同的圖像變換更加健壯.SURF算法的步驟和原理與SIFT算法基本一致，但在尺度空間、特征點檢測和方向確定、特征描述符等方面存在一些差異.比如說，SIFT算法通過找到DoG域中的極值點來作為特征點提取，而SURF算法通過計算所構(gòu)造的Hessian矩陣的行列式進行特征檢測.Bai等人[163]提出了一種在加密域中執(zhí)行的SURF特征提取外包解決方案.通過Paillier密碼系統(tǒng)的性質(zhì)來進行密文上的計算.但是，由于操作需要客戶端和服務(wù)器之間的多個交互，因此會產(chǎn)生相當大的通信開銷.除此之外，它也很難保存原始SURF的主要特征.基于這些觀察結(jié)果，Wang等人[164]設(shè)計了一個實用的SURF計算外包協(xié)議，它使用2個非共謀服務(wù)器來共同計算輸入圖像的加密特征描述符.在該算法中，基于SWHE和SIMD技術(shù)設(shè)計了高效的乘法和比較操作交互子協(xié)議，不僅支持安全計算，而且降低了整體通信開銷.

HOG是計算機視覺和圖像處理中廣泛應(yīng)用的另一種圖像特征描述子，它是通過計算局部區(qū)域的梯度方向直方圖而形成的.Wang等人[165]為HOG計算設(shè)計了安全的外包方案.該工作介紹了加密域中HOG計算的2種不同模式下的隱私保護協(xié)議：單服務(wù)器和雙服務(wù)器設(shè)置.在單服務(wù)器模式下，利用SWHE與SIMD技術(shù)相結(jié)合對原始圖像進行加密，達到了安全和高效的雙重要求.加密的特征描述符被安全地計算并返回給客戶端.對于雙服務(wù)器模型，首先將圖像隨機分成2個共享，然后將加密的共享分別發(fā)送到2個獨立的服務(wù)器.之后，2臺服務(wù)器共同計算各自的加密特征描述符.在最后一步中，客戶機解密并恢復組合從服務(wù)器返回的這2部分的功能描述符.利用一種更有效的同態(tài)方法(即向量同態(tài)加密(VHE)[166])，Yang等人[167]還提出了一種隱私保護的HOG特征提取方案.直接對圖像矢量進行加密，可以很好地應(yīng)用于圖像處理.基于一個FHE方案，Shortell和Shokoufandeh[168]還設(shè)計了一個安全框架，使SURF和HOG計算能夠在加密域中進行.在協(xié)議中，SURF和HOG任務(wù)分別在有理數(shù)和固定點二進制數(shù)上實現(xiàn).實驗評估表明，這些解決方案[165-167]達到了與原始HOG解決方案相當?shù)男阅?

2.3.4 生物認證

生物特征認證是一種利用人類固有的生理和行為特征進行身份識別或訪問控制的技術(shù).通過比較目標樣本和數(shù)據(jù)庫中樣本之間的生物特征，如果比較結(jié)果在一定閾值范圍內(nèi)，系統(tǒng)就可以成功地識別出對應(yīng)個體.

Chun等人[170]利用加法同態(tài)加密與Yao混淆電路混合方法提出了一種隱私保護方案，將生物特征認證的任務(wù)外包.這項工作使用云服務(wù)器存儲加密的生物特征數(shù)據(jù)，并使用另一個獨立服務(wù)器保存解密密鑰.這2個服務(wù)器在協(xié)議期間交互操作，它們都不會學習敏感的生物特征信息和中間結(jié)果.然而，由于2臺服務(wù)器之間的通信成本昂貴，該方案并不實用.Yasuda等人[171]利用公鑰SWHE提出了隱私保護的模式匹配協(xié)議，并在DNA序列上實現(xiàn)了安全的通配符模式匹配(即可以在查詢的模式中包含通配符)，該協(xié)議具有良好的性能和較低的通信復雜度.

Sedenka等人[172]引入了另一種生物特征認證外包方案，該方案使用可擴展的Manhattan和Euclidean驗證器，首先提出了一種基于Yao混淆電路方法的算法，然后將其改進為一種基于加法同態(tài)加密的隱私保護方案.為了提高認證的準確性，作者采用了主成分分析(principal component analysis, PCA)的思想，但增加了計算和通信的開銷.為了獲得更好的效率表現(xiàn)，Hu等人[173]分別針對單服務(wù)器和雙服務(wù)器(假設(shè)2個服務(wù)器是非共謀)模型描述了2種不同的外包生物識別任務(wù)的解決方案.單服務(wù)器協(xié)議使用對稱密鑰加密方案和數(shù)學變換來盲化數(shù)據(jù).在協(xié)議的末尾，服務(wù)器對輸入記錄和數(shù)據(jù)庫記錄之間的歐幾里德距離進行排序，并將最近的記錄返回給客戶端.而雙服務(wù)器協(xié)議采用了與SIMD模型相結(jié)合的公鑰SWHE方案，實現(xiàn)了更高的安全標準.在同態(tài)計算完距離后，服務(wù)器將索引轉(zhuǎn)換為帶有輸入記錄最小距離的置換索引返回給客戶端.因此，結(jié)果的實際索引及其相關(guān)距離對于服務(wù)器來說是未知的.對于半誠實模型，前者在已知樣本攻擊(known sample attack, KSA)下是安全的，而后者在已知明文攻擊(KPA)下實現(xiàn)安全.Salem等人[174]提出了一種保護隱私的生物識別系統(tǒng)，能同時滿足數(shù)據(jù)安全和驗證能力的要求.根據(jù)加法同態(tài)的性質(zhì)，對加密后的特征進行識別.此外，客戶端還增加了一項真假生物特征數(shù)據(jù)檢測任務(wù)，增強了系統(tǒng)結(jié)果的完整性和正確性.

在體域網(wǎng)(body area network)中基于生物特征的輕量級隱私保護可認證密鑰協(xié)商協(xié)議是近年來國內(nèi)外的研究熱點之一.體域網(wǎng)已被廣泛采用于電子醫(yī)療服務(wù)中，用于有效地實時監(jiān)測病人的健康狀況和各類應(yīng)急處理.具有即插即用和透明性的密鑰協(xié)商協(xié)議是在人體傳感器之間建立安全通信信道不可或缺的重要密碼原語.現(xiàn)有的工作主要利用模糊保險庫技術(shù)，允許部署在同一個人體上的傳感器節(jié)點間以較高的概率建立安全的密鑰對.其中真實的生物特征點數(shù)據(jù)和為了隱私保護加入的噪聲點數(shù)據(jù)從概率多項式時間能力的敵手的角度不可區(qū)分，但同時因處理大批量的噪聲冗余數(shù)據(jù)帶來了巨大的額外開銷.為了解決該問題，Zhou等人[175]設(shè)計了輕量級的隱私保護集合求交集協(xié)議，并在次基于上構(gòu)建了一個體域網(wǎng)中安全高效的基于生物特征的確定性密鑰協(xié)商協(xié)議.其安全性可歸約至單向陷門函數(shù)求逆的困難問題，而不依賴于其他方案中采取的模糊保險箱的大小.與同類方案相比，該方案具有更強的容侵性，以及更少的存儲空間、計算和通信開銷.

2.3.5 密文搜索

密文搜索是我們?nèi)粘Ｉ钪薪?jīng)常使用的加密數(shù)據(jù)庫最為重要的應(yīng)用之一，它能在保護用戶查詢隱私和數(shù)據(jù)文件隱私的前提下返回包含特定關(guān)鍵詞的數(shù)據(jù)文件.

圖6 邊緣計算密文搜索隱私保護框架Fig. 6 Framework of privacy preserving in edge-based encrypted search

圖6是邊緣計算密文搜索隱私保護框架.通常，一個密文搜索協(xié)議包含4個步驟：1)數(shù)據(jù)擁有者將加密后的數(shù)據(jù)文件上傳至邊緣節(jié)點或云服務(wù)器；2)查詢用戶向數(shù)據(jù)擁有者申請并獲得針對指定關(guān)鍵詞的搜索令牌；3)邊緣節(jié)點或云服務(wù)器收到搜索令牌后，在密文域上進行相應(yīng)文件查詢并返回查詢結(jié)果；4)查詢用戶驗證搜索結(jié)果的正確性并解密相應(yīng)文件.

Hou等人[176]為了保護數(shù)據(jù)的隱私性，基于同態(tài)加密方案構(gòu)造了2個搜索方案.但是系統(tǒng)只能查找與某個關(guān)鍵字匹配的數(shù)據(jù)，而不能同時查找多個關(guān)鍵字.在此基礎(chǔ)上，Hou等人[177]又提出了改進的協(xié)議版本，使服務(wù)器能夠匹配多個關(guān)鍵字.該工作利用同態(tài)加密技術(shù)設(shè)計了析取和合取的多關(guān)鍵字搜索算法.Yang等人[178]以隱私保護的方式實現(xiàn)了聯(lián)合關(guān)鍵字搜索，支持有限時間內(nèi)的有效搜索授權(quán).該系統(tǒng)能夠抵抗選擇關(guān)鍵字的時間攻擊和離線的關(guān)鍵字猜測攻擊.由于大多數(shù)方案只支持精確搜索或模糊搜索，Yang等人[179]從關(guān)鍵詞語義的角度描述了一個更實用的安全搜索解決方案.根據(jù)語義信息，系統(tǒng)將相關(guān)結(jié)果和語義相關(guān)關(guān)鍵字返回給用戶.

Yu等人[180]提出了一種2輪top-k多關(guān)鍵字檢索方案，該方案采用向量空間模型(VSM)表示文件，并采用改進的FHE方案[181]對索引陷門進行加密.當接收到多關(guān)鍵字查詢時，服務(wù)器計算文件關(guān)聯(lián)分數(shù)(取決于術(shù)語頻率反向文檔頻率(TF-IDF)[182]的規(guī)則)，并將加密后的分數(shù)返回給客戶端.然后，客戶端解密分數(shù)并在本地執(zhí)行top-k排序算法.最后，客戶機將k個得分最高的標識符發(fā)送到服務(wù)器，并訪問它們相應(yīng)的標識符.然而，由于FHE的效率限制，該系統(tǒng)不適用于大規(guī)模加密數(shù)據(jù)的實際應(yīng)用.Strizhov等人[183]也實現(xiàn)了一個多關(guān)鍵字搜索系統(tǒng)，返回的結(jié)果按分數(shù)排序.該方案達到了最優(yōu)的次線性搜索時間，并且對自適應(yīng)選擇關(guān)鍵字攻擊(CKAs)是安全的.Zhang等人[184]設(shè)計了一個具有驗證能力的安全排名關(guān)鍵字搜索方案，一旦服務(wù)器行為異常，很可能會被檢測到.Yang等人[185-187]利用帶門限解密的Paillier密碼體制，提出了多關(guān)鍵字搜索的安全top-k排名系統(tǒng).在文獻[186]中，查詢的關(guān)鍵字中允許使用通配符.此外，關(guān)鍵字可以由邏輯運算符AND或OR連接.通過使用標準編碼技術(shù)(即Unicode[188])，文獻[185]的系統(tǒng)能夠以任意語言搜索加密數(shù)據(jù).此外，客戶可以設(shè)置查詢關(guān)鍵字的偏好分數(shù)，以獲得更滿意的結(jié)果.對于更具表現(xiàn)力的查詢，文獻[187]支持不同的查詢模式，例如單合取關(guān)鍵字查詢和混合布爾查詢.在文獻[185-187]方案中，搜索多個數(shù)據(jù)所有者的數(shù)據(jù)只需要一個陷門.此外，還實現(xiàn)了可執(zhí)行的搜索授權(quán)和撤銷.

隱私保護的模式匹配是密文搜索的重要功能之一.外包模式匹配是指資源受限的設(shè)備將“從文本T中找出所有模板P出現(xiàn)的所有位置”這一任務(wù)外包給云服務(wù)器完成.然而，它帶來了一系列安全與隱私問題.國內(nèi)外現(xiàn)有的部分安全外包模式匹配協(xié)議僅能保護文本隱私或模板隱私；另一部分則利用計算開銷巨大的公鑰全同態(tài)加密、承諾協(xié)議和零知識證明協(xié)議實現(xiàn)文本隱私、模板隱私和匹配結(jié)果的可驗證，效率較低而不實用.為了解決該問題，Zhou等人[189]首先基于任意單向陷門置換和同態(tài)消息認證碼提出了一個高效的隱私保護可驗證外包離散傅里葉變換協(xié)議OVFT；基于OVFT，進一步設(shè)計了安全高效的可驗證外包多項式乘法協(xié)議OPVML；最終在此基礎(chǔ)上構(gòu)造了輕量級可驗證的隱私保護外包模式匹配協(xié)議PVOPM.不利用傳統(tǒng)的公鑰全同態(tài)加密，給出的外包模式匹配協(xié)議對惡意云服務(wù)器和接收方發(fā)送方發(fā)起的合謀攻擊實現(xiàn)了文本隱私和查詢模板隱私，同時實現(xiàn)了模式匹配結(jié)果的正確性可驗證.所生成的匹配結(jié)果正確性驗證證據(jù)的大小和任意單項陷門置換的計算復雜度均為常數(shù)，與文本的長度n和查詢模板長度m均無關(guān).

尤其需要指出的是，到目前為止國內(nèi)外關(guān)于隱私保護數(shù)據(jù)聚合、隱私保護外包計算和面向應(yīng)用的安全計算具體方案構(gòu)造仍多基于云計算環(huán)境構(gòu)建[190]，如何刻畫邊緣計算的隱私保護新安全模型與設(shè)計可證明安全的輕量級隱私保護邊緣計算協(xié)議仍是一個亟待解決的、具有挑戰(zhàn)性的研究課題.

3 總結(jié)與展望

本文首先介紹邊緣計算隱私保護的網(wǎng)絡(luò)模型與安全模型，并在此基礎(chǔ)上從邊緣計算的隱私保護數(shù)據(jù)聚合、隱私保護外包計算和包括隱私保護集合運算、隱私保護機器學習、隱私保護圖像處理、隱私保護生物認證、隱私保護的密文搜索等面向應(yīng)用的安全計算問題3方面出發(fā)，基于數(shù)據(jù)擾動、同態(tài)加密和安全多方計算等密碼技術(shù)，對邊緣計算隱私保護領(lǐng)域的國內(nèi)外最新研究成果進行了系統(tǒng)的闡述、總結(jié)與科學歸類.提出了在輕量化密碼原語的基礎(chǔ)上，通過減少公鑰密碼使用次數(shù)構(gòu)造邊緣計算輕量級隱私保護的新理論和新方法，從而達到“一次加密、多次使用”和“一次驗證、多次有效”的輕量化目標.雖然，目前國內(nèi)外基于傳統(tǒng)云服務(wù)的安全外包計算隱私保護已取得一系列重要研究成果，但針對邊緣計算的隱私保護仍有若干具有挑戰(zhàn)性的公開問題值得進一步研究.

1) 邊緣計算場景下敏感數(shù)據(jù)的識別問題.對特定邊緣場景中各類數(shù)據(jù)的隱私性進行有效甄別和度量，確定“哪些數(shù)據(jù)是敏感的，哪些數(shù)據(jù)是可以公開使用的”是實現(xiàn)邊緣計算輕量級隱私保護的前提和基礎(chǔ).有些數(shù)據(jù)被認為是隱私數(shù)據(jù)，如位置信息、健康狀況和社會關(guān)系等；而有些則不是，如社會事件、道路交通狀況等.如何利用機器學習技術(shù)對用戶數(shù)據(jù)的敏感性進行智能分類與識別，成為邊緣計算中實現(xiàn)高效、安全的數(shù)據(jù)分析的關(guān)鍵問題.

2) 刻畫邊緣計算隱私保護的形式化安全模型.與傳統(tǒng)單一的云服務(wù)器場景不同的是，邊緣計算要求多個邊緣節(jié)點合作完成外包計算任務(wù).因此，不可避免地存在多個邊緣節(jié)點合謀以及部分被俘獲的邊緣節(jié)點與惡意本地用戶設(shè)備間合謀的敵手模型.需要結(jié)合已有的安全多方計算成果，對其進行形式化地刻畫與建模.

3) 在傳統(tǒng)的云計算場景中，設(shè)計安全外包計算協(xié)議往往更側(cè)重于考慮本地資源受限用戶的性能需求，而較少考察資源豐富的云服務(wù)器端的存儲、計算與通信開銷.然而，地理位置部署于本地設(shè)備和云服務(wù)器之間的邊緣節(jié)點所具備的資源往往遠不如云服務(wù)器豐富.因此，如果一個邊緣節(jié)點執(zhí)行過多復雜的運算，如雙線性配對和模冪運算等，必將導致較高的反饋延遲，從而違背了邊緣計算可實現(xiàn)實時控制的初衷.特別是對于實時性要求較高的應(yīng)用，效率成為安全數(shù)據(jù)處理的關(guān)鍵問題.因此，設(shè)計一種能兼顧本地設(shè)備與邊緣節(jié)點的輕量級的邊緣計算隱私保護新方法實現(xiàn)數(shù)據(jù)的安全高效處理迫在眉睫.

4) 可驗證與可審計能有效保證惡意敵手環(huán)境下邊緣計算結(jié)果的正確性.然而，在邊緣計算中實現(xiàn)可驗證性比云計算中更具挑戰(zhàn).一方面，外包計算的可驗證可能給邊緣計算帶來高延遲；另一方面，由于每個邊緣節(jié)點有自己的管理區(qū)域，移動用戶可能會頻繁地從一個區(qū)域移動到另一個區(qū)域，這導致不同區(qū)域的多個邊緣節(jié)點一起工作為用戶服務(wù).因此，這些邊緣節(jié)點中的任何一個出錯，最終的結(jié)果都是不正確的.因此，如何及時對邊緣節(jié)點的中間計算結(jié)果進行高效驗證，并有效追蹤和刪除惡意邊緣節(jié)點是重要的研究問題.國內(nèi)外研究者對屬性基加密中如何有效追蹤惡意私鑰泄露源以及在群簽名中如何有效追蹤簽名用戶已經(jīng)有了一系列重要研究成果.因此，如何借鑒上述已有成果，設(shè)計高效可追蹤、可驗證的隱私保護邊緣計算協(xié)議是一個亟待解決的重要研究問題.

5) 邊緣計算的外包存儲與密文搜索問題是重要的研究課題.與傳統(tǒng)單一云服務(wù)器環(huán)境不同的是，同一份數(shù)據(jù)文件可能在多個邊緣節(jié)點存儲多個備份，因此如何實現(xiàn)高效的安全數(shù)據(jù)文件同步更新、添加、刪除等操作是值得考察的；此外，查詢用戶在本區(qū)域發(fā)起特定關(guān)鍵字密文搜索失敗時，如何設(shè)計多個邊緣節(jié)點間的聯(lián)合密文搜索也是一個具有重要理論意義與實際應(yīng)用價值的問題.

6) 在輕量化密碼原語的基礎(chǔ)上，通過減少公鑰密碼使用次數(shù)構(gòu)造邊緣計算輕量級隱私保護的新理論和新方法，在基于多輸入、多輸出模型的多用戶、多任務(wù)邊緣計算模型下設(shè)計輕量化隱私保一般性構(gòu)造，從而達到“一次加密、多次使用”和“一次驗證、多次有效”的輕量化目標；實現(xiàn)邊緣計算的輕量級隱私保護理論在各類新興智能網(wǎng)絡(luò)服務(wù)中的多態(tài)化應(yīng)用方法，提出滿足不同安全性和性能要求的個性化輕量級隱私保護邊緣計算新方案是一個極具挑戰(zhàn)的重要研究課題.