隱私集合求交技術(shù)的理論與金融實(shí)踐綜述

黃翠婷 張帆 孫小超 卞陽

(1.上海富數(shù)科技有限公司，上海 200126； 2.中國(guó)移動(dòng)通信集團(tuán)，北京 100033)

0 引言

隨著大數(shù)據(jù)與人工智能技術(shù)的發(fā)展與廣泛落地應(yīng)用，數(shù)據(jù)安全和隱私保護(hù)的需求日漸強(qiáng)烈，國(guó)內(nèi)外相關(guān)法令法規(guī)相繼制定，對(duì)數(shù)據(jù)安全與隱私保護(hù)相關(guān)問題進(jìn)行嚴(yán)格的規(guī)范與引導(dǎo)，例如歐盟的《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，GDPR)、美國(guó)的《加州消費(fèi)者隱私法案》(California Consumer Privacy Act，CCPA)，以及中國(guó)的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等。這些法規(guī)的制定在不同程度上對(duì)大數(shù)據(jù)、人工智能在各種場(chǎng)景中的數(shù)據(jù)處理模式提出新的挑戰(zhàn)：不能平衡好數(shù)據(jù)服務(wù)與數(shù)據(jù)安全、隱私保護(hù)之間的關(guān)系，將嚴(yán)重阻礙大數(shù)據(jù)和人工智能的進(jìn)一步發(fā)展。為了解決這些挑戰(zhàn)，各種安全計(jì)算技術(shù)在近兩年被廣泛采用來解決跨機(jī)構(gòu)間的數(shù)據(jù)合作問題，包括多方安全計(jì)算(Secure Multi-party Computation，MPC)、聯(lián)邦學(xué)習(xí)(Federated Learning，F(xiàn)L)、可信執(zhí)行環(huán)境(Trusted Execution Environment，TEE)等不同的技術(shù)路線。其中，隱私集合求交技術(shù)(Private Set Intersection，PSI)被認(rèn)為是跨機(jī)構(gòu)數(shù)據(jù)合作的前置步驟，實(shí)現(xiàn)跨源數(shù)據(jù)間的安全融合，也得到了廣泛的關(guān)注和落地應(yīng)用。本文從隱私集合求交的技術(shù)角度來介紹研究現(xiàn)狀和實(shí)現(xiàn)機(jī)制，并結(jié)合典型的金融應(yīng)用場(chǎng)景對(duì)隱私計(jì)算技術(shù)的具體落地應(yīng)用進(jìn)行了研究，最后分析了隱私集合求交技術(shù)目前面臨的挑戰(zhàn)和未來可能的發(fā)展方向。

1 隱私集合求交技術(shù)

1.1 樸素的隱私集合求交技術(shù)

樸素的隱私集合求交的思路是將雙方集合中的元素按照約定好的函數(shù)規(guī)則映射到另一個(gè)空間中去，在該空間內(nèi)接收方可以對(duì)映射之后的結(jié)果進(jìn)行匹配。從這種樸素的思路出發(fā)，最直接的實(shí)現(xiàn)方法是將雙方的集合元素逐一經(jīng)過安全的雜湊函數(shù)進(jìn)行映射，并在雜湊函數(shù)的值域內(nèi)進(jìn)行匹配。但是這種基于雜湊函數(shù)的直接方法在輸入集合的熵較小的情況下，惡意的參與方可以通過線下暴力碰撞的方式計(jì)算出參與方的所有集合元素。在實(shí)際意義下，這種方法不能保護(hù)參與方的集合元素安全。

1.2 基于公鑰體系的隱私集合求交技術(shù)

基于以上樸素的轉(zhuǎn)換匹配空間的思想，運(yùn)用公鑰技術(shù)將原集合的元素映射到不同的空間，可以得到不同的基于公鑰體制的PSI方案。

1986年，Meadows[1]提出了基于Diffie-Hellman問題的PSI協(xié)議，該協(xié)議類似于Diffie-Hellman密鑰協(xié)商協(xié)議。雙方以各自的輸入集合中的元素作為Diffie-Hellman密鑰協(xié)商中選擇出的“隨機(jī)數(shù)”角色，將集合元素映射到隨機(jī)“會(huì)話密鑰”空間，接收方在“會(huì)話密鑰”空間中進(jìn)行匹配，并獲取到最終的交集元素。可以看出，該方案需要雙方執(zhí)行多次的模指數(shù)運(yùn)算(這種代價(jià)很高的計(jì)算)，因此所得的PSI方案效率并不高。

與基于雜湊函數(shù)的算法類似，同樣可以在簽名空間進(jìn)行比對(duì)。例如基于盲簽名，發(fā)起方盲化本方輸入的每個(gè)元素，向響應(yīng)方的請(qǐng)求盲簽名，獲得結(jié)果并去盲后得到響應(yīng)方私鑰的簽名。同時(shí)，響應(yīng)方簽名本方的每個(gè)元素，并將結(jié)果發(fā)送給發(fā)起方；發(fā)起方比對(duì)雙方的簽名結(jié)果，獲得交集結(jié)果。

De Cristofaro與Tsudik[2]在2010年提出了基于RSA盲簽名的PSI協(xié)議。在該協(xié)議中，響應(yīng)方隨機(jī)產(chǎn)生RSA密鑰；發(fā)起方對(duì)本方的每一個(gè)輸入元素進(jìn)行隨機(jī)盲化，將結(jié)果發(fā)送給響應(yīng)方；響應(yīng)方使用RSA私鑰對(duì)盲化結(jié)果進(jìn)行簽名并發(fā)送給發(fā)起方，同時(shí)將本方的輸入元素用本方私鑰進(jìn)行簽名，將結(jié)果發(fā)送給發(fā)起方；發(fā)起方對(duì)盲化的簽名進(jìn)行去盲，與響應(yīng)方的簽名進(jìn)行比對(duì)，得出交集結(jié)果。

基于公鑰體制的方案除了轉(zhuǎn)換匹配空間之外，將參與方輸入的集合元素看作是多項(xiàng)式的根，多項(xiàng)式可以與輸入集合建立映射關(guān)系，對(duì)于多項(xiàng)式的某些操作可以轉(zhuǎn)換為集合的某些操作。

2004年，F(xiàn)reedman[3]給出了基于不經(jīng)意多項(xiàng)式取值算法的PSI協(xié)議。在該協(xié)議中，客戶端假設(shè)本方的輸入集中的所有元素為某一多項(xiàng)式的根，通過多項(xiàng)式插值法求出該多項(xiàng)式的系數(shù)。同時(shí)，客戶端產(chǎn)生出半同態(tài)加密方案的公私鑰對(duì)，用公鑰將已獲得的多項(xiàng)式系數(shù)列表進(jìn)行加密，并將密文以及密鑰全部發(fā)送給服務(wù)端。服務(wù)端根據(jù)收到的公鑰和密文狀態(tài)下的系數(shù)列表，對(duì)本方集合中的每個(gè)元素進(jìn)行密態(tài)取值并隨機(jī)盲化，并將結(jié)果返回給客戶端?？蛻舳耸盏椒答仈?shù)據(jù)之后，挨個(gè)比對(duì)本方集合中每個(gè)元素所產(chǎn)生的值，確定本方的元素是否在交集之中。在該方案的執(zhí)行過程中，需要插值計(jì)算產(chǎn)生一個(gè)高次多項(xiàng)式，該多項(xiàng)式的次數(shù)與客戶端的元素個(gè)數(shù)相同，當(dāng)客戶端的元素較多時(shí)，多項(xiàng)式次數(shù)較高，產(chǎn)生高次多項(xiàng)式以及對(duì)高次多項(xiàng)式的密態(tài)計(jì)算都會(huì)有較大的計(jì)算開銷。因此，可以將客戶端的集合進(jìn)行隨機(jī)分桶來降低多項(xiàng)式次數(shù)。2016年，F(xiàn)reedman[4]在對(duì)集合元素采用雜湊運(yùn)算來降低協(xié)議的計(jì)算復(fù)雜度，達(dá)到改進(jìn)的效果。

同樣是基于不經(jīng)意多項(xiàng)式取值算法，Kissner與Song[5]運(yùn)用多項(xiàng)式的特殊數(shù)學(xué)性質(zhì)來設(shè)計(jì)PSI協(xié)議。將參與雙方的集合運(yùn)算分別映射到多項(xiàng)式之后，求交集運(yùn)算等價(jià)于求解多項(xiàng)式的最大公因式。基于此思想，參與方將本方的多項(xiàng)式乘以一個(gè)隨機(jī)因式之后展開，將得到多項(xiàng)式系數(shù)進(jìn)行同態(tài)加密，然后傳輸給另一參與方；另一計(jì)算方在密態(tài)下計(jì)算雙方多項(xiàng)式和式的值，并逐個(gè)元素取值解密，得出解密結(jié)果為0的元素為交集元素。

1.3 基于不經(jīng)意傳輸?shù)碾[私集合求交技術(shù)

不經(jīng)意傳輸(Oblivious Transfer，OT)是密碼協(xié)議體系中的一個(gè)基礎(chǔ)協(xié)議，由Rabin于1981年提出[6]。與最原始的概念相比，在更標(biāo)準(zhǔn)化的定義中，發(fā)送方擁有若干個(gè)輸入，接收方輸入一個(gè)索引下標(biāo)，該索引下標(biāo)表示接收方想要得到的結(jié)果，在協(xié)議過程中這一指標(biāo)并不會(huì)泄露給發(fā)送方。最基礎(chǔ)的OT協(xié)議是2選1 OT。

基于OT的PSI協(xié)議需要使用的OT運(yùn)行實(shí)例的數(shù)量與PSI雙方輸入的集合大小有關(guān)系，因此OT協(xié)議成為大集合PSI方案的主要瓶頸。OT擴(kuò)展協(xié)議的出現(xiàn)[7]，使得大集合PSI方案的落地成為現(xiàn)實(shí)。所謂OT擴(kuò)展協(xié)議是指，OT協(xié)議在并行數(shù)量方面的擴(kuò)展。具體來說，是用少量的OT協(xié)議實(shí)例來構(gòu)造較為大數(shù)量的OT協(xié)議實(shí)例。文獻(xiàn)[8][9][10]給出了OT擴(kuò)展的相關(guān)理論結(jié)果與實(shí)現(xiàn)改進(jìn)。

2013年，Dong等人在文獻(xiàn)[11]中第一次將布隆過濾器引入到PSI中，并與OT擴(kuò)展結(jié)合，使得PSI協(xié)議能處理的集合數(shù)量首次突破了億級(jí)別。此后，對(duì)于布隆過濾器的改進(jìn)也成為優(yōu)化PSI協(xié)議的一個(gè)重要方向。通過改進(jìn)布隆過濾器，Rindal和Rosulek給出了第一個(gè)惡意模型下的PSI協(xié)議[12]，這一方案也在200 s時(shí)間內(nèi)完成了兩方百萬數(shù)據(jù)量的安全求交。

2016年，在文獻(xiàn)[13]中，Kolesnikov等人使用OT擴(kuò)展來實(shí)現(xiàn)不經(jīng)意偽隨機(jī)函數(shù)(Oblivious Pseudorandom Functions，OPRF)[14]，并且將此概念運(yùn)用到PSI中，這也成為后續(xù)基于不經(jīng)意傳輸?shù)腜SI協(xié)議的主要方向。基于輕量級(jí)的OPRF(OPRF底層需要OT擴(kuò)展來實(shí)現(xiàn))以及基礎(chǔ)的布隆過濾器，給出了較為優(yōu)化的結(jié)果。

以上所有PSI協(xié)議的實(shí)現(xiàn)幾乎都是在兩個(gè)參與方的場(chǎng)景。對(duì)于多個(gè)參與方的場(chǎng)景，文獻(xiàn)[15]中Kolesnikov等人引入了不經(jīng)意的可編程偽隨機(jī)函數(shù)的概念(Programmable Oblivious Pseudorandom Functions，OPPRF)，并且基于插值多項(xiàng)式、布隆過濾器等技術(shù)實(shí)現(xiàn)OPPRF。OPPRF要求只對(duì)發(fā)送者編程進(jìn)去的集合元素，接收者才可以進(jìn)行不經(jīng)意地函數(shù)取值，未編程進(jìn)去的元素，接收者返回隨機(jī)值。各個(gè)參與方之間順次循環(huán)扮演發(fā)送方和接收方角色，最終完成交集的結(jié)果。

1.4 基于可信執(zhí)行環(huán)境的隱私集合求交技術(shù)

PSI近兩年新提出的一個(gè)技術(shù)路線是基于可信執(zhí)行環(huán)境。2019年，百度發(fā)布了基于可信執(zhí)行環(huán)境MesaTEE的PSI技術(shù)方案[16]。在該方案中，PSI以Intel SGX為信任根的基礎(chǔ)進(jìn)行搭建，Intel SGX提供了根植于CPU的硬件可信和高強(qiáng)度隔離運(yùn)行環(huán)境，PSI的參與方通過遠(yuǎn)程認(rèn)證來驗(yàn)證PSI執(zhí)行環(huán)境的可信狀態(tài)。PSI在集中式的TEE環(huán)境中解密后再執(zhí)行計(jì)算，具有顯著性能優(yōu)勢(shì)和容易支持多方PSI。

1.5 隱私集合交集基數(shù)計(jì)算技術(shù)

與PSI問題關(guān)聯(lián)性較強(qiáng)并且解決方案類似的另一個(gè)問題是隱私集合交集基數(shù)(Private Set Intersection Cardinality，PSI-CA)問題，即直接求多方輸入集合的交集的大小(而非先求出交集，再計(jì)數(shù))，并且不會(huì)泄露各方集合元素的信息。該問題由Agrawal等人于2003年提出[17]，并且給出了基于判定性Diffie-Hellman假設(shè)的構(gòu)造。運(yùn)用文獻(xiàn)[3]中使用的不經(jīng)意多項(xiàng)式取值，Hohenberger和Weis構(gòu)造了一個(gè)高效的PSI-CA方案。同樣是使用不經(jīng)意多項(xiàng)式取值的方法，Kissner與Song[5]以及Camenisch和Zaverucha[18]也分別給出了PSI-CA方案。Debnath和Dutta也在PSI-CA的構(gòu)造方面給出了一系列的成果[19-21]，并給出安全證明。以上方案都是基于兩方的PSI-CA協(xié)議構(gòu)造，并且具有線性級(jí)別的復(fù)雜度。對(duì)于多方的PSI-CA(簡(jiǎn)稱MPSI-CA)，Debnath等人基于DDH假設(shè)構(gòu)造的門限同態(tài)加密，并且結(jié)合布隆過濾器，給出了MPSI-CA的構(gòu)造[22]。

2 隱私集合求交技術(shù)在金融領(lǐng)域的應(yīng)用

隱私集合求交技術(shù)在保護(hù)參與方的數(shù)據(jù)隱私性的前提下完成數(shù)據(jù)集的交集計(jì)算，通常在計(jì)算結(jié)束，參與方的其中一方或多方只能得到多方數(shù)據(jù)集的正確交集，而不會(huì)得到交集以外其他參與方的任何信息。在實(shí)際應(yīng)用中，尤其是在金融場(chǎng)景，具有很強(qiáng)的應(yīng)用價(jià)值，能夠在保護(hù)集合隱私不泄露、保持?jǐn)?shù)據(jù)控制權(quán)的基礎(chǔ)上，實(shí)現(xiàn)參與方數(shù)據(jù)之間的匹配，滿足業(yè)務(wù)場(chǎng)景的多種需求。

2.1 隱私集合求交典型實(shí)現(xiàn)流程

圖1為隱私集合求交的一個(gè)典型的實(shí)現(xiàn)流程。

圖1 基于盲簽名和RSA的PSI參考流程

(1)安全求交的發(fā)起方Bob基于RSA生成密鑰(e,d,n)。

(2)Bob把公鑰e和模n發(fā)送給參與方Alice。

(4)Alice把盲化后的樣本ID發(fā)送給Bob。

(6)Bob將雙方簽名后的ID數(shù)據(jù)集發(fā)送給Alice。

(8)Alice將除盲后的數(shù)據(jù)集D_A與Bob方簽名后的數(shù)據(jù)集Z_B進(jìn)行求交，得到雙方的交集，并解密得到己方明文的交集ID。

(9)Alice方把密文的交集發(fā)送給Bob。

(10)Bob對(duì)接收到的密文交集基于己方的公鑰進(jìn)行解密得到己方明文的交集ID。

隱私集合求交技術(shù)通常是基于ID來實(shí)現(xiàn)交集的計(jì)算，即在計(jì)算的過程僅通過樣本集的ID列參與計(jì)算，在求得ID集合的交集后，再同步相對(duì)應(yīng)的特征標(biāo)簽列給其他參與方或是僅在節(jié)點(diǎn)內(nèi)同步特征列為后續(xù)的其他計(jì)算做準(zhǔn)備。而在目前的實(shí)際應(yīng)用中，也衍生出一些新的需求，例如除了不泄露參與計(jì)算的集合的ID和特征的基礎(chǔ)上，要求集合的基數(shù)也不泄露；或者是在隱私集合求交過程中，只返回交集大小，不返回具體的交集ID；或者是在進(jìn)行集合求交的過程中，增加了集合篩選條件，只返回滿足篩選條件的交集。

同時(shí)，隱私集合求交技術(shù)除了實(shí)現(xiàn)原始的求交功能，也根據(jù)業(yè)務(wù)場(chǎng)景的需求進(jìn)行改進(jìn)，實(shí)現(xiàn)隱私集合求并、隱私集合求補(bǔ)等功能。其中，安全求交是隱私集合求交技術(shù)最常用的場(chǎng)景，通過安全求交后得到的交集可以進(jìn)一步進(jìn)行其他的聯(lián)合計(jì)算、聯(lián)合建模等操作。而安全求并一個(gè)典型的應(yīng)用是多方參與的聯(lián)合建模，因?yàn)樵诼?lián)合建模過程中可對(duì)缺失值進(jìn)行處理，在初始的安全融合階段，需要得到一個(gè)大并集來進(jìn)行后續(xù)的處理。而安全求補(bǔ)適用于某些特定的場(chǎng)景，例如營(yíng)銷場(chǎng)景，在營(yíng)銷需求機(jī)構(gòu)與流量方合作聯(lián)合營(yíng)銷的過程中，流量方用自身數(shù)據(jù)集合和營(yíng)銷需求方的集合計(jì)算出補(bǔ)集(這個(gè)補(bǔ)集可認(rèn)為是營(yíng)銷需求機(jī)構(gòu)的潛在新客)，補(bǔ)集數(shù)據(jù)在不泄露給對(duì)方的基礎(chǔ)上進(jìn)行精準(zhǔn)投放。

2.2 隱私集合求交在金融場(chǎng)景的典型應(yīng)用

隱私集合求交在金融場(chǎng)景的典型應(yīng)用包括金融聯(lián)合建模、金融聯(lián)合統(tǒng)計(jì)、金融聯(lián)合營(yíng)銷等。

2.2.1 金融聯(lián)合建模

在金融跨機(jī)構(gòu)聯(lián)合建模場(chǎng)景中，首先需要對(duì)各個(gè)參與機(jī)構(gòu)的不同樣本集進(jìn)行安全對(duì)齊。在傳統(tǒng)的方式中，需要把各個(gè)參與方的樣本匯集到一個(gè)中心節(jié)點(diǎn)或某一參與方來求出交集，實(shí)現(xiàn)樣本對(duì)齊，再進(jìn)行模型訓(xùn)練。在建模過程中，各個(gè)機(jī)構(gòu)之間用戶的重疊度普遍存在不高的情況，例如銀行和運(yùn)營(yíng)商的數(shù)據(jù)匹配，不管是從銀行等金融機(jī)構(gòu)還是數(shù)據(jù)源等機(jī)構(gòu)，都不希望暴露非交集部分的用戶信息給其他參與方。在這種場(chǎng)景中，隱私集合求交技術(shù)可以實(shí)現(xiàn)在跨機(jī)構(gòu)建模過程中，各個(gè)參與方只能獲取交集部分的ID，再通過匹配內(nèi)部的特征數(shù)據(jù)，來發(fā)起模型訓(xùn)練任務(wù)。目前，在基于聯(lián)邦學(xué)習(xí)或多方安全計(jì)算技術(shù)的聯(lián)邦建模方案中，隱私集合求交技術(shù)已經(jīng)被認(rèn)為是必不可少的前置步驟。

2.2.2 金融聯(lián)合統(tǒng)計(jì)

在金融行業(yè)中，跨機(jī)構(gòu)的聯(lián)合統(tǒng)計(jì)也是安全計(jì)算技術(shù)的一個(gè)典型應(yīng)用。通過將多方安全計(jì)算技術(shù)引入到跨機(jī)構(gòu)之間的數(shù)據(jù)分析、數(shù)據(jù)統(tǒng)計(jì)等場(chǎng)景，可以在不暴露隱私數(shù)據(jù)的基礎(chǔ)上，多方協(xié)作完成協(xié)同計(jì)算。在這個(gè)過程中，如果涉及到ID層級(jí)的統(tǒng)計(jì)分析，則需要通過隱私集合求交技術(shù)進(jìn)行參與計(jì)算的數(shù)據(jù)的對(duì)齊，使得只有交集的部分參與跨機(jī)構(gòu)之間的協(xié)同計(jì)算，非交集部分的用戶對(duì)于其他參與方均無法獲得，從而提升金融場(chǎng)景多方聯(lián)合統(tǒng)計(jì)的安全性。

2.2.3 金融聯(lián)合營(yíng)銷

在金融聯(lián)合營(yíng)銷場(chǎng)景中，主要分為存客營(yíng)銷與新客營(yíng)銷兩種情況，隱私集合求交技術(shù)均可使用于這兩種不同場(chǎng)景。針對(duì)存客營(yíng)銷場(chǎng)景，金融機(jī)構(gòu)可以通過隱私集合求交技術(shù)與外部數(shù)據(jù)源對(duì)存客用戶進(jìn)行客戶分群計(jì)算，篩選出符合營(yíng)銷條件的存客用戶，由金融機(jī)構(gòu)或是外部數(shù)據(jù)源進(jìn)行精準(zhǔn)的觸達(dá)營(yíng)銷。針對(duì)新客營(yíng)銷場(chǎng)景，金融機(jī)構(gòu)和外部數(shù)據(jù)源可以通過安全求補(bǔ)技術(shù)，來篩選出符合營(yíng)銷條件并且不屬于金融機(jī)構(gòu)存客的潛在客群進(jìn)行拉新營(yíng)銷活動(dòng)。

基于隱私集合求交技術(shù)，還可以應(yīng)用于營(yíng)銷效果的分析，計(jì)算跨機(jī)構(gòu)之間的營(yíng)銷轉(zhuǎn)化率等。例如，有多少用戶在瀏覽廣告后申請(qǐng)了金融機(jī)構(gòu)的服務(wù)等，通過這種方式在保護(hù)用戶隱私的基礎(chǔ)上更加精準(zhǔn)地對(duì)營(yíng)銷的效果進(jìn)行在線評(píng)估和營(yíng)銷策略優(yōu)化。

隱私集合求交技術(shù)在很多場(chǎng)景下是自然甚至是必要的需求，隨著數(shù)據(jù)安全和隱私保護(hù)的需求日漸普遍，隱私集合求交技術(shù)的應(yīng)用邊界必將更加廣泛。

3 隱私集合求交技術(shù)在金融領(lǐng)域的發(fā)展與挑戰(zhàn)

隱私集合求交技術(shù)主要基于密碼學(xué)技術(shù)來實(shí)現(xiàn)，在近幾年提出了很多優(yōu)化實(shí)現(xiàn)機(jī)制，但在實(shí)際落地應(yīng)用中仍面臨著計(jì)算效率、安全性、參與方的可擴(kuò)展性等挑戰(zhàn)。

隱私集合求交技術(shù)的應(yīng)用分為離線和實(shí)時(shí)兩種情景，目前一些隱私集合求交技術(shù)已能達(dá)到億級(jí)對(duì)億級(jí)的數(shù)據(jù)量在小時(shí)內(nèi)完成，這個(gè)計(jì)算性能能夠滿足一般的離線多方協(xié)同計(jì)算的需求，但是面向?qū)崟r(shí)的金融計(jì)算場(chǎng)景，在性能方面仍有很大的優(yōu)化空間，也是影響隱私集合求交技術(shù)能否在金融領(lǐng)域被廣泛應(yīng)用的一個(gè)重要因素。相比傳統(tǒng)的集中式求交，隱私集合求交技術(shù)涉及多個(gè)節(jié)點(diǎn)參與，并要求通過分布式的方式來實(shí)現(xiàn)在保護(hù)隱私的基礎(chǔ)上完成求交計(jì)算，這決定了隱私集合求交技術(shù)性能的挑戰(zhàn)主要在于通信與節(jié)點(diǎn)的加解密計(jì)算開銷。在隱私計(jì)算集合求交的性能優(yōu)化上，除了基本的算法本身邏輯的優(yōu)化，也需要結(jié)合工程化過程中算法流程的最優(yōu)化設(shè)計(jì)，例如分片并行處理等，通過技術(shù)的手段進(jìn)行計(jì)算加速。通過硬件加速，如采用GPU等，也是目前隱私計(jì)算集合求交計(jì)算性能優(yōu)化的一個(gè)重要方法。此外，節(jié)點(diǎn)通信加速和代碼加速，也是有效的優(yōu)化機(jī)制。

隱私集合求交技術(shù)主要是為了實(shí)現(xiàn)跨機(jī)構(gòu)間數(shù)據(jù)合作能夠在數(shù)據(jù)安全與隱私保護(hù)基礎(chǔ)上完成，因此安全性也是隱私集合求交計(jì)算的一個(gè)重要關(guān)心的問題。目前，面向業(yè)務(wù)場(chǎng)景實(shí)現(xiàn)的隱私集合求交方案主要是基于半誠(chéng)實(shí)模型，雖然也有一些惡意模型下的隱私集合求交技術(shù)的研究，但惡意模型的解決方案是以高通信與高計(jì)算資源為代價(jià)，普遍性能較差，難以應(yīng)用于實(shí)際業(yè)務(wù)場(chǎng)景。此外，在金融場(chǎng)景實(shí)際落地應(yīng)用中，隱私集合求交技術(shù)缺乏統(tǒng)一的標(biāo)準(zhǔn)化安全性證明規(guī)范，通常以自證清白的方式來證明安全性，增加了安全性驗(yàn)證的難度，從而影響隱私集合求交技術(shù)在金融領(lǐng)域的推廣。

隱私集合求交技術(shù)目前主要是基于兩方之間，面向三方及以上的實(shí)現(xiàn)方案較少，或主要是通過兩兩求交之后再求交的方式來實(shí)現(xiàn)。這種方式會(huì)暴露一部分中間信息，降低隱私集合求交技術(shù)的安全性。目前，一些能夠?qū)崿F(xiàn)直接的多方之間的安全求交的技術(shù)，普遍與兩方的隱私集合求交技術(shù)有較大的性能差距，而在金融場(chǎng)景中，三方以上的數(shù)據(jù)合作卻是極其普遍。因此，迫切需要加速隱私集合求交技術(shù)參與方可擴(kuò)展性研究與落地應(yīng)用。

4 結(jié)束語

隨著隱私保護(hù)的相關(guān)法令法規(guī)的制定，多方安全計(jì)算、聯(lián)邦學(xué)習(xí)等隱私計(jì)算的相關(guān)技術(shù)開始被廣泛應(yīng)用在各種應(yīng)用場(chǎng)景，其中目前落地應(yīng)用最廣泛的是金融等核心行業(yè)。金融行業(yè)數(shù)據(jù)化程度高，也是目前跨機(jī)構(gòu)數(shù)據(jù)協(xié)作需求最旺盛的行業(yè)，同時(shí)金融數(shù)據(jù)的高隱私性特性也形成了高合規(guī)性的要求。隱私計(jì)算技術(shù)正是通過融合傳統(tǒng)的統(tǒng)計(jì)計(jì)算、機(jī)器學(xué)習(xí)算法與密碼學(xué)技術(shù)來打破數(shù)據(jù)孤島，以安全合規(guī)的方式來實(shí)現(xiàn)跨機(jī)構(gòu)之間的數(shù)據(jù)合作。隱私集合求交技術(shù)作為隱私計(jì)算領(lǐng)域的一個(gè)子領(lǐng)域，為隱私計(jì)算的實(shí)際落地應(yīng)用提供了數(shù)據(jù)協(xié)同的前置步驟，能夠更好地滿足隱私計(jì)算技術(shù)的實(shí)際落地的全流程安全性要求。此外，基于隱私集合求交計(jì)算，可以衍生出多種金融落地應(yīng)用方案，拓寬隱私計(jì)算技術(shù)在金融領(lǐng)域的應(yīng)用邊界。

結(jié)合目前隱私集合求交技術(shù)的技術(shù)發(fā)展與應(yīng)用落地現(xiàn)狀，未來兩三年隱私集合求交技術(shù)的研究重點(diǎn)包括：高性能的隱私集合求交技術(shù)的研究和設(shè)計(jì)，打破目前隱私集合求交技術(shù)在實(shí)時(shí)應(yīng)用場(chǎng)景的性能瓶頸；在惡意模型下的隱私集合求交技術(shù)落地應(yīng)用，通過平衡性能與安全性要求，實(shí)現(xiàn)具有高可應(yīng)用性的解決方案；高擴(kuò)展性的隱私集合求交技術(shù)，包括數(shù)據(jù)量級(jí)的擴(kuò)展性、參與方的可擴(kuò)展性等；面向復(fù)雜計(jì)算場(chǎng)景的隱私集合求交技術(shù)研究，如保護(hù)集合基數(shù)的隱私集合求交技術(shù)、高效的隱私集合交集基數(shù)計(jì)算技術(shù)等。

隱私集合求交技術(shù)目前在實(shí)際落地應(yīng)用中，仍處于初級(jí)階段，通過性能、安全性、可擴(kuò)展性的優(yōu)化，并與實(shí)際應(yīng)用場(chǎng)景深度融合，必將能夠在跨機(jī)構(gòu)數(shù)據(jù)協(xié)同合作中發(fā)揮更大的應(yīng)用價(jià)值。