黃翠婷 張帆 孫小超 卞陽

(1.上海富數(shù)科技有限公司，上海 200126； 2.中國移動通信集團，北京 100033)

0 引言

隨著大數(shù)據(jù)與人工智能技術的發(fā)展與廣泛落地應用，數(shù)據(jù)安全和隱私保護的需求日漸強烈，國內外相關法令法規(guī)相繼制定，對數(shù)據(jù)安全與隱私保護相關問題進行嚴格的規(guī)范與引導，例如歐盟的《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，GDPR)、美國的《加州消費者隱私法案》(California Consumer Privacy Act，CCPA)，以及中國的《中華人民共和國網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等。這些法規(guī)的制定在不同程度上對大數(shù)據(jù)、人工智能在各種場景中的數(shù)據(jù)處理模式提出新的挑戰(zhàn)：不能平衡好數(shù)據(jù)服務與數(shù)據(jù)安全、隱私保護之間的關系，將嚴重阻礙大數(shù)據(jù)和人工智能的進一步發(fā)展。為了解決這些挑戰(zhàn)，各種安全計算技術在近兩年被廣泛采用來解決跨機構間的數(shù)據(jù)合作問題，包括多方安全計算(Secure Multi-party Computation，MPC)、聯(lián)邦學習(Federated Learning，F(xiàn)L)、可信執(zhí)行環(huán)境(Trusted Execution Environment，TEE)等不同的技術路線。其中，隱私集合求交技術(Private Set Intersection，PSI)被認為是跨機構數(shù)據(jù)合作的前置步驟，實現(xiàn)跨源數(shù)據(jù)間的安全融合，也得到了廣泛的關注和落地應用。本文從隱私集合求交的技術角度來介紹研究現(xiàn)狀和實現(xiàn)機制，并結合典型的金融應用場景對隱私計算技術的具體落地應用進行了研究，最后分析了隱私集合求交技術目前面臨的挑戰(zhàn)和未來可能的發(fā)展方向。

1 隱私集合求交技術

1.1 樸素的隱私集合求交技術

樸素的隱私集合求交的思路是將雙方集合中的元素按照約定好的函數(shù)規(guī)則映射到另一個空間中去，在該空間內接收方可以對映射之后的結果進行匹配。從這種樸素的思路出發(fā)，最直接的實現(xiàn)方法是將雙方的集合元素逐一經(jīng)過安全的雜湊函數(shù)進行映射，并在雜湊函數(shù)的值域內進行匹配。但是這種基于雜湊函數(shù)的直接方法在輸入集合的熵較小的情況下，惡意的參與方可以通過線下暴力碰撞的方式計算出參與方的所有集合元素。在實際意義下，這種方法不能保護參與方的集合元素安全。

1.2 基于公鑰體系的隱私集合求交技術

基于以上樸素的轉換匹配空間的思想，運用公鑰技術將原集合的元素映射到不同的空間，可以得到不同的基于公鑰體制的PSI方案。

1986年，Meadows[1]提出了基于Diffie-Hellman問題的PSI協(xié)議，該協(xié)議類似于Diffie-Hellman密鑰協(xié)商協(xié)議。雙方以各自的輸入集合中的元素作為Diffie-Hellman密鑰協(xié)商中選擇出的“隨機數(shù)”角色，將集合元素映射到隨機“會話密鑰”空間，接收方在“會話密鑰”空間中進行匹配，并獲取到最終的交集元素?？梢钥闯?，該方案需要雙方執(zhí)行多次的模指數(shù)運算(這種代價很高的計算)，因此所得的PSI方案效率并不高。

與基于雜湊函數(shù)的算法類似，同樣可以在簽名空間進行比對。例如基于盲簽名，發(fā)起方盲化本方輸入的每個元素，向響應方的請求盲簽名，獲得結果并去盲后得到響應方私鑰的簽名。同時，響應方簽名本方的每個元素，并將結果發(fā)送給發(fā)起方；發(fā)起方比對雙方的簽名結果，獲得交集結果。

De Cristofaro與Tsudik[2]在2010年提出了基于RSA盲簽名的PSI協(xié)議。在該協(xié)議中，響應方隨機產生RSA密鑰；發(fā)起方對本方的每一個輸入元素進行隨機盲化，將結果發(fā)送給響應方；響應方使用RSA私鑰對盲化結果進行簽名并發(fā)送給發(fā)起方，同時將本方的輸入元素用本方私鑰進行簽名，將結果發(fā)送給發(fā)起方；發(fā)起方對盲化的簽名進行去盲，與響應方的簽名進行比對，得出交集結果。

基于公鑰體制的方案除了轉換匹配空間之外，將參與方輸入的集合元素看作是多項式的根，多項式可以與輸入集合建立映射關系，對于多項式的某些操作可以轉換為集合的某些操作。

2004年，F(xiàn)reedman[3]給出了基于不經(jīng)意多項式取值算法的PSI協(xié)議。在該協(xié)議中，客戶端假設本方的輸入集中的所有元素為某一多項式的根，通過多項式插值法求出該多項式的系數(shù)。同時，客戶端產生出半同態(tài)加密方案的公私鑰對，用公鑰將已獲得的多項式系數(shù)列表進行加密，并將密文以及密鑰全部發(fā)送給服務端。服務端根據(jù)收到的公鑰和密文狀態(tài)下的系數(shù)列表，對本方集合中的每個元素進行密態(tài)取值并隨機盲化，并將結果返回給客戶端?？蛻舳耸盏椒答仈?shù)據(jù)之后，挨個比對本方集合中每個元素所產生的值，確定本方的元素是否在交集之中。在該方案的執(zhí)行過程中，需要插值計算產生一個高次多項式，該多項式的次數(shù)與客戶端的元素個數(shù)相同，當客戶端的元素較多時，多項式次數(shù)較高，產生高次多項式以及對高次多項式的密態(tài)計算都會有較大的計算開銷。因此，可以將客戶端的集合進行隨機分桶來降低多項式次數(shù)。2016年，F(xiàn)reedman[4]在對集合元素采用雜湊運算來降低協(xié)議的計算復雜度，達到改進的效果。

同樣是基于不經(jīng)意多項式取值算法，Kissner與Song[5]運用多項式的特殊數(shù)學性質來設計PSI協(xié)議。將參與雙方的集合運算分別映射到多項式之后，求交集運算等價于求解多項式的最大公因式。基于此思想，參與方將本方的多項式乘以一個隨機因式之后展開，將得到多項式系數(shù)進行同態(tài)加密，然后傳輸給另一參與方；另一計算方在密態(tài)下計算雙方多項式和式的值，并逐個元素取值解密，得出解密結果為0的元素為交集元素。

1.3 基于不經(jīng)意傳輸?shù)碾[私集合求交技術

不經(jīng)意傳輸(Oblivious Transfer，OT)是密碼協(xié)議體系中的一個基礎協(xié)議，由Rabin于1981年提出[6]。與最原始的概念相比，在更標準化的定義中，發(fā)送方擁有若干個輸入，接收方輸入一個索引下標，該索引下標表示接收方想要得到的結果，在協(xié)議過程中這一指標并不會泄露給發(fā)送方。最基礎的OT協(xié)議是2選1 OT。

基于OT的PSI協(xié)議需要使用的OT運行實例的數(shù)量與PSI雙方輸入的集合大小有關系，因此OT協(xié)議成為大集合PSI方案的主要瓶頸。OT擴展協(xié)議的出現(xiàn)[7]，使得大集合PSI方案的落地成為現(xiàn)實。所謂OT擴展協(xié)議是指，OT協(xié)議在并行數(shù)量方面的擴展。具體來說，是用少量的OT協(xié)議實例來構造較為大數(shù)量的OT協(xié)議實例。文獻[8][9][10]給出了OT擴展的相關理論結果與實現(xiàn)改進。

2013年，Dong等人在文獻[11]中第一次將布隆過濾器引入到PSI中，并與OT擴展結合，使得PSI協(xié)議能處理的集合數(shù)量首次突破了億級別。此后，對于布隆過濾器的改進也成為優(yōu)化PSI協(xié)議的一個重要方向。通過改進布隆過濾器，Rindal和Rosulek給出了第一個惡意模型下的PSI協(xié)議[12]，這一方案也在200 s時間內完成了兩方百萬數(shù)據(jù)量的安全求交。

2016年，在文獻[13]中，Kolesnikov等人使用OT擴展來實現(xiàn)不經(jīng)意偽隨機函數(shù)(Oblivious Pseudorandom Functions，OPRF)[14]，并且將此概念運用到PSI中，這也成為后續(xù)基于不經(jīng)意傳輸?shù)腜SI協(xié)議的主要方向。基于輕量級的OPRF(OPRF底層需要OT擴展來實現(xiàn))以及基礎的布隆過濾器，給出了較為優(yōu)化的結果。

以上所有PSI協(xié)議的實現(xiàn)幾乎都是在兩個參與方的場景。對于多個參與方的場景，文獻[15]中Kolesnikov等人引入了不經(jīng)意的可編程偽隨機函數(shù)的概念(Programmable Oblivious Pseudorandom Functions，OPPRF)，并且基于插值多項式、布隆過濾器等技術實現(xiàn)OPPRF。OPPRF要求只對發(fā)送者編程進去的集合元素，接收者才可以進行不經(jīng)意地函數(shù)取值，未編程進去的元素，接收者返回隨機值。各個參與方之間順次循環(huán)扮演發(fā)送方和接收方角色，最終完成交集的結果。

1.4 基于可信執(zhí)行環(huán)境的隱私集合求交技術

PSI近兩年新提出的一個技術路線是基于可信執(zhí)行環(huán)境。2019年，百度發(fā)布了基于可信執(zhí)行環(huán)境MesaTEE的PSI技術方案[16]。在該方案中，PSI以Intel SGX為信任根的基礎進行搭建，Intel SGX提供了根植于CPU的硬件可信和高強度隔離運行環(huán)境，PSI的參與方通過遠程認證來驗證PSI執(zhí)行環(huán)境的可信狀態(tài)。PSI在集中式的TEE環(huán)境中解密后再執(zhí)行計算，具有顯著性能優(yōu)勢和容易支持多方PSI。

1.5 隱私集合交集基數(shù)計算技術

與PSI問題關聯(lián)性較強并且解決方案類似的另一個問題是隱私集合交集基數(shù)(Private Set Intersection Cardinality，PSI-CA)問題，即直接求多方輸入集合的交集的大小(而非先求出交集，再計數(shù))，并且不會泄露各方集合元素的信息。該問題由Agrawal等人于2003年提出[17]，并且給出了基于判定性Diffie-Hellman假設的構造。運用文獻[3]中使用的不經(jīng)意多項式取值，Hohenberger和Weis構造了一個高效的PSI-CA方案。同樣是使用不經(jīng)意多項式取值的方法，Kissner與Song[5]以及Camenisch和Zaverucha[18]也分別給出了PSI-CA方案。Debnath和Dutta也在PSI-CA的構造方面給出了一系列的成果[19-21]，并給出安全證明。以上方案都是基于兩方的PSI-CA協(xié)議構造，并且具有線性級別的復雜度。對于多方的PSI-CA(簡稱MPSI-CA)，Debnath等人基于DDH假設構造的門限同態(tài)加密，并且結合布隆過濾器，給出了MPSI-CA的構造[22]。

2 隱私集合求交技術在金融領域的應用

隱私集合求交技術在保護參與方的數(shù)據(jù)隱私性的前提下完成數(shù)據(jù)集的交集計算，通常在計算結束，參與方的其中一方或多方只能得到多方數(shù)據(jù)集的正確交集，而不會得到交集以外其他參與方的任何信息。在實際應用中，尤其是在金融場景，具有很強的應用價值，能夠在保護集合隱私不泄露、保持數(shù)據(jù)控制權的基礎上，實現(xiàn)參與方數(shù)據(jù)之間的匹配，滿足業(yè)務場景的多種需求。

2.1 隱私集合求交典型實現(xiàn)流程

圖1為隱私集合求交的一個典型的實現(xiàn)流程。

圖1 基于盲簽名和RSA的PSI參考流程

(1)安全求交的發(fā)起方Bob基于RSA生成密鑰(e,d,n)。

(2)Bob把公鑰e和模n發(fā)送給參與方Alice。

(4)Alice把盲化后的樣本ID發(fā)送給Bob。

(6)Bob將雙方簽名后的ID數(shù)據(jù)集發(fā)送給Alice。

(8)Alice將除盲后的數(shù)據(jù)集D_A與Bob方簽名后的數(shù)據(jù)集Z_B進行求交，得到雙方的交集，并解密得到己方明文的交集ID。

(9)Alice方把密文的交集發(fā)送給Bob。

(10)Bob對接收到的密文交集基于己方的公鑰進行解密得到己方明文的交集ID。

隱私集合求交技術通常是基于ID來實現(xiàn)交集的計算，即在計算的過程僅通過樣本集的ID列參與計算，在求得ID集合的交集后，再同步相對應的特征標簽列給其他參與方或是僅在節(jié)點內同步特征列為后續(xù)的其他計算做準備。而在目前的實際應用中，也衍生出一些新的需求，例如除了不泄露參與計算的集合的ID和特征的基礎上，要求集合的基數(shù)也不泄露；或者是在隱私集合求交過程中，只返回交集大小，不返回具體的交集ID；或者是在進行集合求交的過程中，增加了集合篩選條件，只返回滿足篩選條件的交集。

同時，隱私集合求交技術除了實現(xiàn)原始的求交功能，也根據(jù)業(yè)務場景的需求進行改進，實現(xiàn)隱私集合求并、隱私集合求補等功能。其中，安全求交是隱私集合求交技術最常用的場景，通過安全求交后得到的交集可以進一步進行其他的聯(lián)合計算、聯(lián)合建模等操作。而安全求并一個典型的應用是多方參與的聯(lián)合建模，因為在聯(lián)合建模過程中可對缺失值進行處理，在初始的安全融合階段，需要得到一個大并集來進行后續(xù)的處理。而安全求補適用于某些特定的場景，例如營銷場景，在營銷需求機構與流量方合作聯(lián)合營銷的過程中，流量方用自身數(shù)據(jù)集合和營銷需求方的集合計算出補集(這個補集可認為是營銷需求機構的潛在新客)，補集數(shù)據(jù)在不泄露給對方的基礎上進行精準投放。

2.2 隱私集合求交在金融場景的典型應用

隱私集合求交在金融場景的典型應用包括金融聯(lián)合建模、金融聯(lián)合統(tǒng)計、金融聯(lián)合營銷等。

2.2.1 金融聯(lián)合建模

在金融跨機構聯(lián)合建模場景中，首先需要對各個參與機構的不同樣本集進行安全對齊。在傳統(tǒng)的方式中，需要把各個參與方的樣本匯集到一個中心節(jié)點或某一參與方來求出交集，實現(xiàn)樣本對齊，再進行模型訓練。在建模過程中，各個機構之間用戶的重疊度普遍存在不高的情況，例如銀行和運營商的數(shù)據(jù)匹配，不管是從銀行等金融機構還是數(shù)據(jù)源等機構，都不希望暴露非交集部分的用戶信息給其他參與方。在這種場景中，隱私集合求交技術可以實現(xiàn)在跨機構建模過程中，各個參與方只能獲取交集部分的ID，再通過匹配內部的特征數(shù)據(jù)，來發(fā)起模型訓練任務。目前，在基于聯(lián)邦學習或多方安全計算技術的聯(lián)邦建模方案中，隱私集合求交技術已經(jīng)被認為是必不可少的前置步驟。

2.2.2 金融聯(lián)合統(tǒng)計

在金融行業(yè)中，跨機構的聯(lián)合統(tǒng)計也是安全計算技術的一個典型應用。通過將多方安全計算技術引入到跨機構之間的數(shù)據(jù)分析、數(shù)據(jù)統(tǒng)計等場景，可以在不暴露隱私數(shù)據(jù)的基礎上，多方協(xié)作完成協(xié)同計算。在這個過程中，如果涉及到ID層級的統(tǒng)計分析，則需要通過隱私集合求交技術進行參與計算的數(shù)據(jù)的對齊，使得只有交集的部分參與跨機構之間的協(xié)同計算，非交集部分的用戶對于其他參與方均無法獲得，從而提升金融場景多方聯(lián)合統(tǒng)計的安全性。

2.2.3 金融聯(lián)合營銷

在金融聯(lián)合營銷場景中，主要分為存客營銷與新客營銷兩種情況，隱私集合求交技術均可使用于這兩種不同場景。針對存客營銷場景，金融機構可以通過隱私集合求交技術與外部數(shù)據(jù)源對存客用戶進行客戶分群計算，篩選出符合營銷條件的存客用戶，由金融機構或是外部數(shù)據(jù)源進行精準的觸達營銷。針對新客營銷場景，金融機構和外部數(shù)據(jù)源可以通過安全求補技術，來篩選出符合營銷條件并且不屬于金融機構存客的潛在客群進行拉新營銷活動。

基于隱私集合求交技術，還可以應用于營銷效果的分析，計算跨機構之間的營銷轉化率等。例如，有多少用戶在瀏覽廣告后申請了金融機構的服務等，通過這種方式在保護用戶隱私的基礎上更加精準地對營銷的效果進行在線評估和營銷策略優(yōu)化。

隱私集合求交技術在很多場景下是自然甚至是必要的需求，隨著數(shù)據(jù)安全和隱私保護的需求日漸普遍，隱私集合求交技術的應用邊界必將更加廣泛。

3 隱私集合求交技術在金融領域的發(fā)展與挑戰(zhàn)

隱私集合求交技術主要基于密碼學技術來實現(xiàn)，在近幾年提出了很多優(yōu)化實現(xiàn)機制，但在實際落地應用中仍面臨著計算效率、安全性、參與方的可擴展性等挑戰(zhàn)。

隱私集合求交技術的應用分為離線和實時兩種情景，目前一些隱私集合求交技術已能達到億級對億級的數(shù)據(jù)量在小時內完成，這個計算性能能夠滿足一般的離線多方協(xié)同計算的需求，但是面向實時的金融計算場景，在性能方面仍有很大的優(yōu)化空間，也是影響隱私集合求交技術能否在金融領域被廣泛應用的一個重要因素。相比傳統(tǒng)的集中式求交，隱私集合求交技術涉及多個節(jié)點參與，并要求通過分布式的方式來實現(xiàn)在保護隱私的基礎上完成求交計算，這決定了隱私集合求交技術性能的挑戰(zhàn)主要在于通信與節(jié)點的加解密計算開銷。在隱私計算集合求交的性能優(yōu)化上，除了基本的算法本身邏輯的優(yōu)化，也需要結合工程化過程中算法流程的最優(yōu)化設計，例如分片并行處理等，通過技術的手段進行計算加速。通過硬件加速，如采用GPU等，也是目前隱私計算集合求交計算性能優(yōu)化的一個重要方法。此外，節(jié)點通信加速和代碼加速，也是有效的優(yōu)化機制。

隱私集合求交技術主要是為了實現(xiàn)跨機構間數(shù)據(jù)合作能夠在數(shù)據(jù)安全與隱私保護基礎上完成，因此安全性也是隱私集合求交計算的一個重要關心的問題。目前，面向業(yè)務場景實現(xiàn)的隱私集合求交方案主要是基于半誠實模型，雖然也有一些惡意模型下的隱私集合求交技術的研究，但惡意模型的解決方案是以高通信與高計算資源為代價，普遍性能較差，難以應用于實際業(yè)務場景。此外，在金融場景實際落地應用中，隱私集合求交技術缺乏統(tǒng)一的標準化安全性證明規(guī)范，通常以自證清白的方式來證明安全性，增加了安全性驗證的難度，從而影響隱私集合求交技術在金融領域的推廣。

隱私集合求交技術目前主要是基于兩方之間，面向三方及以上的實現(xiàn)方案較少，或主要是通過兩兩求交之后再求交的方式來實現(xiàn)。這種方式會暴露一部分中間信息，降低隱私集合求交技術的安全性。目前，一些能夠實現(xiàn)直接的多方之間的安全求交的技術，普遍與兩方的隱私集合求交技術有較大的性能差距，而在金融場景中，三方以上的數(shù)據(jù)合作卻是極其普遍。因此，迫切需要加速隱私集合求交技術參與方可擴展性研究與落地應用。

4 結束語

隨著隱私保護的相關法令法規(guī)的制定，多方安全計算、聯(lián)邦學習等隱私計算的相關技術開始被廣泛應用在各種應用場景，其中目前落地應用最廣泛的是金融等核心行業(yè)。金融行業(yè)數(shù)據(jù)化程度高，也是目前跨機構數(shù)據(jù)協(xié)作需求最旺盛的行業(yè)，同時金融數(shù)據(jù)的高隱私性特性也形成了高合規(guī)性的要求。隱私計算技術正是通過融合傳統(tǒng)的統(tǒng)計計算、機器學習算法與密碼學技術來打破數(shù)據(jù)孤島，以安全合規(guī)的方式來實現(xiàn)跨機構之間的數(shù)據(jù)合作。隱私集合求交技術作為隱私計算領域的一個子領域，為隱私計算的實際落地應用提供了數(shù)據(jù)協(xié)同的前置步驟，能夠更好地滿足隱私計算技術的實際落地的全流程安全性要求。此外，基于隱私集合求交計算，可以衍生出多種金融落地應用方案，拓寬隱私計算技術在金融領域的應用邊界。

結合目前隱私集合求交技術的技術發(fā)展與應用落地現(xiàn)狀，未來兩三年隱私集合求交技術的研究重點包括：高性能的隱私集合求交技術的研究和設計，打破目前隱私集合求交技術在實時應用場景的性能瓶頸；在惡意模型下的隱私集合求交技術落地應用，通過平衡性能與安全性要求，實現(xiàn)具有高可應用性的解決方案；高擴展性的隱私集合求交技術，包括數(shù)據(jù)量級的擴展性、參與方的可擴展性等；面向復雜計算場景的隱私集合求交技術研究，如保護集合基數(shù)的隱私集合求交技術、高效的隱私集合交集基數(shù)計算技術等。

隱私集合求交技術目前在實際落地應用中，仍處于初級階段，通過性能、安全性、可擴展性的優(yōu)化，并與實際應用場景深度融合，必將能夠在跨機構數(shù)據(jù)協(xié)同合作中發(fā)揮更大的應用價值。