金融業隱私計算安全驗證技術研究報告違反上述聲明者，將被追究相關法律責任。編委會成員：編寫組成員：參編單位：一、概述 （三）研究內容與思路 二、應用現狀 （一）數據安全相關法律法規日趨嚴格 （二）隱私計算國內外相關標準專項化 （三）金融領域隱私計算應用痛點 三、隱私計算系統及產品安全驗證技術 21（一）安全風險 （二）安全驗證技術 （三）驗證方式 49參考文獻 56摘要：隱私計算從技術角度上可以有效解決術路徑。隱私計算技術落地化、產品化后面臨更復雜的產品、系統、應用層面的安全風險，目前金融領域的隱私計算通用安全驗證技術尚未有統一的研究，因此，本報告對隱的隱私計算可實現工具化的安全驗證技術，梳理可驗證方式，驗證隱私計算在金融應用中是否滿足協議一致性要求、輸入輸出數化方式展示隱私計算內部流程，使得整個過程變得更加透明可控，保障金融領域隱私計算安全應用。1一、概述多方數據融合利用能夠發揮數據最大價值，釋放數據作為數字經濟時代關鍵生產要素的潛能，而多方數據融合總是涉及數據發金融企業利益損失、個人財產盜竊等安全事件，相關責任主體面臨違反隱私法律法規、遭受經濟處罰的風險，嚴重時可能會影響社會公共安全甚至國家安全。數據信息安全是金融領域數據要素安全融合、互聯互通的關鍵所在，金融機構需在保證使用目的與方式可控前提下傳遞數據的金融使用價值。隱私計算技術能夠實現數據要素安全流通中隱私安全、管控數據使用目的與方式，促進數據生態閉合。隱私計算（Privacy-PreservingComputation是指在提供隱私保護的前提下，通過協作對多方的數據進行機器學習和數據計算分析，實現數據價值挖掘的技術體系。隱私計算成為構建“數據可用不可見”“按用途用量使用”，從技術角度上可以根本解決數據融合利用和數據隱私安全之間的矛盾，為數據安全保護提供了一種可行解。但隱私計算自身不同算法協議能保證的安全程度不同，同時隱私計算技術落地化、產品化后也面臨更復雜的產品、系統、應用層面的安全風險。包括：如何驗證隱私計算2現與聲明的計算協議是一致的，如何驗證交互的數據未包含敏感信息且無法推測出原始數據；隱私計算需要參與方之間的多輪通證第三方是否可信；產品能否抵抗參與方進行數據投毒、模型投毒；隱私計算的結果數據是否泄露敏感信息等等。隱私計算在金融領域應用的一大關鍵問題是應用方對其安全性的認同。隱私計算安全性不僅包括通用的網絡層、主機層的安全性，還包括硬件安全、密碼安全、算法安全、應用安全等系統/產品應用的安全性，涵蓋隱私計算系統/產品整個生命周期，需要全方位考慮。目前金融領域的隱私計算通用安全驗證技術尚未有統一的研究，因此，本報告對隱私計算系統/產品安全性驗實踐、論證可驗證方式，驗證隱私計算在金融應用中是否滿足協議一致性要求、輸入輸出數據和中間數據是否滿足加密要求、通信信道是否安全，并以可視化方式展示隱私計算內部流程，使得整個過程變得更加透明可控，推動隱私計算技術在多領域的廣泛（一）研究對象對現有學術成果、技術應用進行高度抽象，描述金融領域最大范圍隱私計算通用系統/產品的工程安全性要素及其所包含的整體范圍，形成具有通用性的隱私計算安全驗證技術論證結果。3廣義隱私計算是面向隱私信息全生命周期保護的計算理論是實現隱私保護前提下數據安全共享的一系列技術，技術體系如圖1所示，包括但不限于：1.隱私計算技術從技術應用方向來分，當前主流應用技術包括多方安全計算零知識證明等輔助技術。按技術層次來分，隱私計算技術劃分為應用技術和安全保護技術。這些技術分離了數據的持有權和使用權，實現多方數據在保護隱私的前提下聯合計算，使數據需求在不接觸原始數據的情況下獲得數據的增值價值，降低隱私泄露風我們從技術特點、數據處理、安全基礎三個角度對比分析隱私計算的三大主流技術在安全性能方面的不同應用形式，如表1。用42.基于數據限制發布的技術基于數據限制發布的技術，有選擇地發布原始數據、不發布或者發布精度降低的敏感數據從而實現隱私保護，包括數據脫敏以及各類去標識化技術（如掩碼、抑制、泛化、截斷、混淆、k-的披露風險在可容忍范圍內，但是需要考慮隱私披露和可用性之用性越低。3.基于數據失真的技術真的同時并保持某些數據或數據屬性不變，仍然可用保持某些統種能夠抵御背景知識攻擊的隱私保護方法，這類方法不依賴復雜的密碼技術，用戶計算開銷小，并可獲得精準的查詢結果。4.輔助融合技術隱私計算最核心的是計算，但整個數據共享過程以及完整的系統需要借助多個輔助技術支撐，包括區塊鏈、可驗證計算、內容跟真實性檢驗及溯源技術（如數字水?。┖驮L問控制技術等。5這些技術雖不是完全實現數據的聯合隱私計算，但能在數據共享可控制的安全、可控的數據共享，為數據真實性、數據確權等問題提供可行解決方案，如圖1所示。（二）研究目標與原則1.研究目標重點關注金融領域的隱私計算系統/產品可工具化實現的安全驗證技術，保障金融領域的隱私計算系統/產品應用、實施安全性，為形成自動化安全驗證工具的實施奠定基礎。本報告、制定過程遵循以下原則：6與已有標準規范內容保持一致；覆蓋金融領域的隱私計算系統/產品生命周期全過程；以金融應用為導向，描述粒度能夠面向未來金融領域的隱私（三）研究內容與思路本報告論證內容與思路包括如圖2所示：71.調研家、行業、團體標準進行調研，對隱私計算現有成熟學術成果、技術應用情況進行調研，梳理目前隱私計算存在的安全問題；2.分析安全風險項對金融領域的隱私計算技術系統/產品安全風險項進行分層安全風險、協議密碼安全風險、算法安全風險。3.梳理安全驗證技術從基于TEE的計算安全、區塊鏈、基礎性檢測、通信數據解析、日志分析、代碼審計、可視化等多維度詳細描述現有的安全驗證技術。4.提出驗證方式以覆蓋金融領域的隱私計算系統/產品生命周期全過程的角度出發，提出一系列隱私計算安全可驗證的方式。5.實踐安全驗證項對金融領域現有的隱私計算系統/產品的安全風險項進行安全驗證，驗證數據在存儲、流轉、處理中是否符合安全要求。（四）研究意義本報告通過對隱私計算技術應用安全現狀進行調研，梳理出其安全體系方面的安全風險項和安全驗證技術，提出在金融領域8隱私計算系統/產品的可驗證項，對隱私計算在更多領域的應用安全探索具有指導意義，可解決客戶存在的驗證落地和聲明是否認證工作；完善了隱私計算安全檢測方法，提升測評機構測評能融領域的隱私計算系統/產品在安全驗證技術法律法規的制定，規范隱私計算技術在金融領域的市場應用。（一）數據安全相關法律法規日趨完善隨著金融行業數字化的持續發展，金融機構往往持有大量的重要金融數據，數據的安全與風險防范一直是國家和相關監管部格，我國數據立法進程不斷加快，對金融數據的重視程度不斷提2016年11月7日十二屆全國人大常委會第二十四次會議表保密性和可用性，實行網絡安全等級保護制度。2021年6月10日十三屆全國人大常委會第二十九次會議通過《中華人民共和國發利用并重，確立數據分類分級管理制度，多種手段保證數據交9會議表決通過《中華人民共和國個人信息保護法》，自2021年明確了個人信息處理和跨境提供的規則、個人信息處理者的義務等內容?！毒W絡安全法》、《數據安全法》《個人信息保護法》一起，構建了中國網絡安全、數據安全、個人信息保護的基礎性與個人信息保護進行了細化和補充。2022年9會同相關部門起草了《關于修改〈中華人民共和國網絡安全法〉聯合修訂發布的《網絡安全審查辦法》正式施行，將數據安全作為網絡安全審查的重點考量。項法律法規對行業和企業都制定了更嚴格的標準。國際上對于數據的隱私保護的相關法案也愈加嚴格，比如歐盟保護公民隱私的英國公布《數據改革法案》，2022年中旬美國聯邦層面通過/發布了《美國數據隱私和保護法案》討論稿、《促進數字隱私技術在金融領域，國家監管部門還發布了若干關于金融信息安全、術金融信息服務安全規范》《金融數據安全數據《個人金融信息保護技術規范》等。這些法律法規的發布在數據隱私保護領域起到了重要的引導與規范作用，但同時也給數據的隱私保護技術帶來了前所未有的挑戰。目前很多場景下數據的收集方不一定就是數據的使用方，如果數據在實體間的轉移交換或是聯合計算違反了數據隱私保護相關規定，那么就可能會面臨嚴厲的處罰，如表2所示。/（Datareformbi//（二）隱私計算相關標準逐漸細化經過近幾年隱私計算技術的快速發展及應用需求加大，隱私計算技術的相關標準相繼在國際、國內制定。前期的標準主要側重于技術層面，而從2021年開始，隱私計算的標準開始面向安全層面、性能層面、應用層面的發展趨勢。整理如表3所示。1.國內相關標準國內方面，中國通信標準化協會于2019年2020年7月發布的團體標準《基于聯邦學習的數據流通產品技術要求與測試方法》《基于可信執行環境的數據計算平臺技術要求和測試方法》規定了基于聯邦學習、多方安全計算、可信執行環境的數據流通產品必要的技術要求。針對這些隱私計算平臺的相關基礎能力、計算能力、數據流通管理能力、安全性、性能等方面制定產品標準。并于2021年發布團體標準《隱私計算聯邦學習產品性能要求和測試方法》和《隱私計算多方安全計算產品性能要求和測試方法》，首次針對性能方面制定了2022年3月份，開始《隱私計算聯邦學習產品性能要求和測試方法（大規模數據量）》《隱私計算多方安全計算產品性能和測試方法（大規模數據量）》對原有的性能標準與安全標準更新，新增對隱私計算安全分級。此外《隱私計算可信執行環境性能要求與測試方法》《隱私計算可信執行環境安全性測試規范》也于2022年3月份開始編制，形成較為完整的隱私計算主流技術路線的性能與安全標準體系。全國信息安全標準化技術委員會（簡稱「信安標委」）2021年立項國家標準《隱私計算技術應用指南》《信息安全技術多方數據融合計算安全指南》等。此外針對不同行業的隱私計算應用標準也相繼制定，在金融行業方面，全國金融標準化技術委員會在2020年11月發布的金融行業標準《多方安全計算金融應用技術規范》規定了多方安全中國支付清算協會發布了《多方安全計算金融應用評估規范》為多方安全計算金融應用規定了評估要求?！堵摪顚W習金融應用技術規范》在2022年1月份在全國金融標準化技術委員會成功立項并開展行標編制，分別從技術框架、技術要求、系統安全等方面規范聯邦學習在金融領域的應用。中國通信標準化協會于20212.國際相關標準在國際上，IEEE標準3652.1-2020《聯邦學習架構和應用規范》（GuideforArchitecturalFrameworkandApplicationofFederatedMachineLearning）在2021年3月發布，闡述了聯邦學習的定義、概念、分類、算法框架規范、使用模式和使用規范等內容。IEEE標準2830-2021《基于可信執行環境的共享機器學習技術框架和要求》（TechnicalFrameworkandRequirementsofTrustedExecutionEnvironmentbased信執行環境的典型隱私計算技術架構，明確了隱私計算整體技術架構的要求，規范了隱私計算的定義、技術架構、技術流程、技實踐》（RecommendedPracticeforSecureMultipartyComputation）于2021年11月正式發布，規范了多方安全計算的定義，以及多方安全計算的基本要求、可選要求和安全模型、安全要求的標準自2021年下半年相繼立項開始標準編制，如IEEE的P2986《聯邦學習隱私與安全標準》于2021年8月份啟動標準制定，對聯邦學習從安全性和隱私性角度開展分析，針對不同的攻擊行為對應的防御機制提供參考框架；IEEE的P3169《隱私計算安全需求》于2022年上半年通過國際標準立項，將對隱私計算技術本身潛在的安全隱患進行分析，并對隱私計算系統防御的安全風險進行分級。與此同時，其他國際標準化組織如ISO的多方安全計算系列標準（《SecureMultipartyComputation-Part1：General》《SecureMultipartyComputation-Part2：Mechanisms），算技術指南》等標準也均分別在制定中?！峨[私計算技術應用指南》JR/T0196-2020《多方安全計JR/T0197-2020《金融數據安全數上述行業標準中都有包含有安全相關內容的章節，包括算法安全、訪問控制、通信保密、可核查性、真實性、安全分級、數據安全、模型應用安全等內容。《多方數據共享服務數據安全技術實施指南》《隱私保護場景下安全多方計算技術指南》《基于可信執行環境的安全計算系統技術框架》《互聯網廣告隱私計算平臺技術要求》《隱私計算產品安全要求和測試方法》系列標準、《隱私計算產品功能要求和測試方法》系列標準、《隱私計算《隱私計算應用一體機技術要求》《區塊鏈輔助的隱私計算技術工具評估要求與測試方法》《隱私計面向金融場景的應用規范》《隱私計算應用面向通信場景《基于安全多方計算的隱私保護技術指南》全多方計算最小化數據流通中隱私數據泄露《共享學習系統技術要求》提出共享學習系統的技術要求，包括共享學習其中與隱私計算安全最相關的《隱私計算產品安全要求和測試方法》的系列標準，包括《隱私計算聯邦學習產品安全要求和測試方法》《隱私計算多方安全計算產品安全要求和測試方法》和《隱私計算可信執行環境產品安全要求和測試方《基于聯邦學習的數據流通產品技術要求與測試方法》《基于可信執行環境的數據流通產品技術要求與測試方《隱私計算多方安全計算/聯邦學習/可信執行環境產品《SecureMulti-PartyComputation》《Informationtechnology《Informationtechnology《Guidanceonprivacypreser《Guidanceandpracticeforprivavationbasedonzero-《Securityandprivacyreferencearchitectg》以上幾項標準涉及關于多方安全計算、同態加密、秘密分享、零知識證明等方面的基礎性技術標準，是隱私計算的底層技術支撐。MachineLearningSyst全要求，提供了集中式和分散式共享機器學習系Multi-PartyComputatiITU-T已發布的兩項標準，分別規定了共享學習的技術框架，以及安全多方計算的技術指南。《StandardforTechnicalFrameworuirementsofTEE-basedSharedMachin《RecommendedPracticeforSecureMulti-Pa《StandardforSecurerustedExecutionEnvi《GuideforArchitecturalFrameworkandApplicationofFederatedMachineLe《StandardforRequirementsofPrivacy-PreservingComputationI《RecommendedPracticeforPrivacyandSecurityforFederatedMachin《StandardforInterworkirPrivacy-PreservingComp《StandardforSecurityRequivacy-preservingcomIEEE的國際標準中，2830-2021規的技術框架，2842-2021規定了安全多方計算的推薦實踐，P2952規定了基于TEE的安全計算標準，P3652.1規定了聯邦學習的技術框架與應用指南，P3156規定了隱私計算一體機的技術要求，P3117規定了隱私計算的互操作框架。IEEE國際標準中，與隱私計算安全最相關的是IEEEP3169，規定了隱私計算的安全要求。（三）金融領域隱私計算應用痛點1.標準不夠健全目前金融領域已生效的標準僅有《多方安全計算金融應用技術規范》和《移動終端支付可信環境技術規范》兩部標準，目前的標準不足以覆蓋當下流行的隱私計算技術。2.國內對于支撐隱私計算的底層技術缺乏相應標準和零知識證明出臺了相關技術標準，國內密標委2021年底發布安全計算的技術原理、應用狀況、標準制定等情況，更多底層技術的相關標準還需國內標準制定機構及時跟進。3.隱私計算技術應用安全的可驗證性亟須解決并不是說用了某項技術就合法合規。隱私計算技術應用安全的可驗證性亟須解決。4.隱私計算應用安全的研究成果較少現有國內外標準中對隱私計算技術應用安全的研究還不是5.缺乏通用安全性驗證技術不同廠商采用的協議之間差異較大，缺少覆蓋面足夠廣的統一化驗證技術及工具。三、隱私計算系統及產品安全驗證技術（一）安全風險隱私計算是一個多學科的技術融合，并不是一個單一的技術，包含了多種隱私保護技術，涉及密碼學、安全硬件、信息論、分布式計算等多個學科。隱私計算在實際應用過程中，也涉及來自風險進行分層分析。1.隱私計算應用安全風險隱私計算應用的定位是對數據和隱私保護，識別出隱私計算技術潛在的風險，有助于我們對風險進行管控和采取措施，也是為硬件安全、密碼安全、MPC協議安全、算法安全（含模型安全和數據安全）、業務層安全。（1）硬件安全風險可信執行環境（TEETrustedExecutionEnvironment）是以硬件安全為代表的安全路線。TEE的安全模型建立在對硬件的建立完全的信任，然而基于硬件的安全性也并不是堅不可摧，也面臨著多方面的風險：TEE硬件設備的設計和生產過程中難免存在安全缺陷，自2017開始，相關安全缺陷陸續報出。在國際漏洞數據庫CVE（CommonVulnerabilitiesandExposures）中，絕大部分TEE相關的硬件漏洞都與本地物理訪問相關，可能造據泄露、權限提升等問題。最近值得關注的有CacheOut和SGAxe），境自身也面臨著多項安全威脅，如IntelSGX1(已知存在重大安全問題，參見[1]、[2])、來自對基于硬件的可信執行環境的各類側信道攻擊，從而推導其內部的機密數TEE的安全有效性很大程度上依賴遠程硬件認證服務的安全和誠實。由于這一服務通常由硬件廠商或者平臺服務商提供，會帶來中心化的信任問題。基于TEE的計算安全性需要一個沒有商業利益沖突的可信第三方作為信任根的背書。因此如何挑選中立權威方或設計一套可信系統來提供這一信任服務將變得非常關（2）基礎密碼安全風險發展迅速。國密相關標準制定工作現在難以滿足隱私計算使用過證明密碼算法的安全性增加了額外的工作，需要具備專業的密碼密碼的安全性一般都基于安全性的假設，這些假設造成了密碼算法在使用上的諸多局限性，這些局限性往往造成錯誤使用密碼算法的情況。當下，面對密碼大量使用的訴求，缺乏專業性的密碼安全評估專家以及評估流程。算力的增加，密碼的安全強度也是一個挑戰。在密碼學中，通常使用安全參數（SecurityParameter）用來衡量一個攻擊方（adversary）攻破一個加解密機制（scheme）有多困難（ha的方式。直觀的理解就是，安全參數越大，對應的破解加密系統的難度也就越大。安全參數有兩種類型：①計算安全參數：決定了加密機制中的定義的計算的數值空間（inputsize）大小，通常是用bit位數表示。關聯計算復雜②統計安全參數：通常是在攻擊方unboundedcomputation在當下，聯邦學習密碼學部件安全性：要求不低于112bit計算安全強度和不低于30bit的統計安全強度，為適應算力算法法的安全性依賴于大整數分解或離散對數難題，包括RSA、EC-DSA、ECDHE等在內的公鑰加密和簽名方案受到影響。現在隱私計算采用的關鍵密碼學技術，其抗量子攻擊的算法已經是主流趨勢，比如基于格的同態加密、秘密分享等，在隱私計算場景下存在廣泛的應用。隱私計算算法領域具有廣泛的應用需求，例如大集合中選擇隨機樣本、密碼學中生成密鑰和運行安全協議，測試計算機程序等。算法實現中隨機數一般由偽隨機數生成器實現，由于偽隨機生成器依賴于初始狀態、初始值可以預測和再生。因此程序是否擁有高質量的偽隨機數是至關重要的問題。密碼學中的隨機序列還需保證在未獲取秘密信息的情況下，序列是不可預測且無法從序列的少量元素中重新生成序列，能防御攻擊者重構密鑰或從序列中獲取密鑰。偽隨機數生成器質量可以通過檢測每個數都是隨機的產生且與序列中其他所有數都相互獨立來完成。例如：德國信息技術安全研究所給出的隨機數生成器的質量準則：1）隨機數組成的隨機矢量應該以很高的概率保證不包含完全相同的連續元素。2）基于統計測試生成的隨機數與真實隨機數不可區分。3）不能通過已知隨機數序列計算或猜測之前或未來的隨機數或生成器狀態。4）不能通過生成器的內部狀態計算或猜測之前的隨機數或生成器狀態。（3）協議密碼安全風險目前MPC協議有GarbledCircuit、ObliviousTransfer、SecretSharing、BGW、GMW、BMR等，它指的是用戶在無需進行半誠實安全模型和惡意安全模型。滿足半誠實模型時，雙方都遵循協議規范，同時試圖從接收到的消息中推斷出另一方輸入的信息。滿足惡意安全模型時，參與方根本就不按照計算協議執行計算過程。參與方可采用任何（惡意）方式與對方通信，且沒有任何信任關系。結果可能是協僅知道計算結果。對于通常相互信任且由于彼此業務需要的各方來說，采用半界中部署的大多數安全多方計算實例都是在半誠實的模型中運行的。雖說任何半誠實的協議都可以被增強為惡意安全協議，允許各方主動篡改發送的消息，不過這樣做會帶來顯著的性能開銷，導致實際中無法使用。（4）算法安全風險聯邦學習融合了多方安全計算技術、AI算法。雖然隱私計算技術通過數據“不可見”實現了數據安全的保護，但正因為“不全和模型安全的角度，分別討論幾類常見的攻擊和防御。1）對數據安全的攻擊這里我們所指的破壞數據安全的攻擊是一個廣義的概念，不僅指造成數據隱私的泄漏的攻擊，也包括了通過污染數據達成攻擊目的的方式。具體來說，這類攻擊包含：數據重構對于隱私保護的機器學習模型構建，最為常用的一類技術即是由Google于2016年首次提出的聯邦學習技術[4]。該技術通過傳遞梯度的方式，避免了直接的明文數據傳遞，實現了數據隱私保護多方聯合建模。但國內外研究表明[5][6]，梯度并不是一個有效的安全載體，攻擊者可以偽裝成合法的聯邦學習參與者，并在獲取到明文梯度后可以僅付出少量的計算成本就反練只使用一列，只選label，batch_size=1，二分類模型等，有可能推理出隱私信息；使用方惡意頻繁調用算法（用法用量），有可能推理出隱私信息或者模型系數等。數據下毒由于建模數據多由他人提供且數據“不可見”，隱私計算下的機器學習平臺通常缺乏有效的機制對數據進行過濾與清洗，從而令攻擊者可以通過簡單的標簽反轉[7]、模型替換[8]、數據篡改[9]等方式，來抑制模型的收斂能甚至控制模型對特定輸入的響應模式。型記住特定“觸發器”的分布特性[10][11]，使訓練得到的模型在面對攜帶觸發器的輸入數據時，給出攻擊者所期待的輸出。無意識記憶Google于一篇研究報告中指出[12]，在多方聯合建模時，參與者常常會把一些分布外又無助于模型性能提升的隱私數據于無意間加入訓練當中，這類數據會于神經元中引入一類被稱之為“無意識記憶”的漏洞。攻擊者可以利用最短路徑搜2）對模型安全的攻擊通常這類攻擊會通過欺騙模型或破壞模型隱私的方式，威脅機器學習模型服務安全。此外，這類攻擊通常在傳平臺中也極為常見，但由于隱私計算下的機器學習平臺數據和模型“不可見”的特性，該類攻擊對其威脅更為嚴重，如：模型偷取又稱模型提取攻擊。以金融領域為例，模型作為銀行等金融機構的核心資產，具有極高的商業價值。這類攻擊允許攻擊者通過構造特定訪問樣本[13]，在不具備或僅具備少量數公司的核心資產安全。惡意樣本通過合成的惡意樣本[14]，攻擊者欺騙模型做出特定的響應。以預授信場景為例，惡意用戶可以通過修改其部分成員推斷成員推理是一類可以通過模型輸出的后驗概率檢測建模所使用數據的攻擊[15]。這類攻擊對醫療場景下的機器學習應用下的用戶隱私造成尤為嚴重的安全威脅，攻擊者在隱私計算技術的保護下，隱蔽地獲取任意個體是否于某家醫院參與治療或是否患病等十分私密的個人信息。模型更新推理對于一般的模型服務場景，經常需要定期的更新模型以匹配最新的業務場景特性。德國研究機構CISPA的研究表明[16]，攻擊者可以利用模型更新后帶來的后驗概率輸出上的前后差異，推理出用來更新模型的原始數據。3）安全防御前與使用中，分別制定對應防御策略。使用前——數據清洗與過濾。平臺應提供相應的工具，在數據資產發布時由平臺提供方或第三方，對數據進行清洗和檢測，對下毒數據、木馬數據等惡意數據進行示警，在數據通過隱私計算技術加密前，就從源頭上控制其可能帶來潛在的風險。使用中——強化隱私計算應用。平臺應杜絕對非可證明安全的數據形式變換方式的依賴，避免“梯度裸奔”等現象的出現。針對包括模型梯度、嵌入向量等任何敏感信息出域，都必須借助同態加密、秘密共享等經過學術界和專業機構驗證的隱私計算在符合國家標準的安全強度下予以保護。在特定模型場景下，還應保證所使用算法能夠提供可驗證計算能力，防止攻擊者于隱私計算過程中篡改數據。型部署前和部署后提供如下防御。部署前——模型檢測。平臺應提供模型安全檢測工具，對所除對用戶進行報警外，亦可選擇性地通過模型遺忘、模型蒸餾等方式提供模型后門清洗在內的善后能力。部署后——訪問控制。上述攻擊的一大特點在于，都需要通過構造大量合法或非合法的訪問來獲取模型相關的額外信息，以輔助攻擊者發起攻擊。因此，一種最為簡單有效的防御策略就是基于訪問控制來拒絕越界訪問、陌生IP訪問、非授權訪問等非平臺應具備對數據和模型的訪問、使用、授權等系統日志的行為采集證據以供法律追責之用。（5）業務安全風險1）安全假設應用錯誤應用場景的安全假設使用錯誤可能帶來應用安全風險。密碼和算法的安全性往往基于一定的假設和前提。比如半誠實模型下的多方安全計算技術，其安全性基于所有的參與方不能違反協議（比如發送錯誤的數據給其他參與方當這些技術用于解決金融領域相關問題時，技術服務方和應用方應該就技術成立的安全條件和實際環境的匹配性達成共識，如果實際環境與技術安全性假設不符，則相關產品在正式應用時就可能存在安全漏洞。工業界大部分產品采用的算法實現是基于半誠實的安全假參與方的場景。同時為了實用性，多數產品都會在一定的可控條件下，進行工程或者算法層面的效率優化，這都為安全驗證工作帶來了很大挑戰。無論對半誠實模型和惡意模型來說，其驗證都是需要理論的按照協議執行即可。但一些工程或者算法層面的優化，仍會給驗證帶來一定的不確定性，這也應該是安全模型驗證的重點。2）隱私計算場景應用風險隱私計算在不同場景中安全性的定義也是不同的，常見的應用有：聯合統計、聯合建模、隱私集合求交（PSI）、匿蹤查詢（PIR）等。盡管如此，各場景面臨的安全風險實際上大體可分為兩大類，即算法本身的安全性和應用安全性，具體介紹如下：聯合統計安全性底層多方安全計算協議的安全性，如安全模型是半誠實模型還是惡意模型，是否抗共謀，協議的不誠實門限等。應用時常見的風險有：聯合統計的計算結果可否推斷出原始數據等（如a+b-a等價于b）。聯合建模安全性對抗攻擊，投毒攻擊，后門攻擊，標簽推理攻擊等。隱私集合求交安全性PSI協議安全性，如安全模型是半誠實模型還是惡意模型，是否抗共謀，協議的不誠實門限等。應用時常見風險有：學術上的PSI技術通常是指定一方為結果方，所以PSI協議上安全性的保證只到結果方獲得結果，但在實際應用中，參與方都需要知道最終的交集結果，如縱向聯邦學習中。常見的做法是結果方將結果同步其他參與方，此過程存在兩個風險，一是在半誠實敵手模型下，學術上額外將交集結果信息同步至接收方的安全證明，二是結果方可能發送假的結果。在有些業務中需要三方的數據進行融合應用，要求只把三方的交集數據作為最終結果輸出，并且不泄露兩兩之間交，則無法滿足業務要求，存在泄露兩方之間隱私的風險。匿蹤查詢安全性PIR協議安全性，如安全模型是半誠實模型還是惡意模型，是否抗共謀，協議的不誠實門限等應用時常見風險有：很多PIR協議會采用分桶優化來提升查空間規模來降低計算開銷，這同時會造成桶內元素不可區分度的線性下降，從而降低PIR協議查詢過程的安全性；另一方面是數據庫的可信性問題，即被查詢方提供的數據集為假。2.通用的安全風險（1）網絡層風險隨著國內互聯網快速發展，在網絡層的安全性控制機制比較多，方案也比較完善，目前網絡攻擊是指針對計算機信息系統、聯網基礎設施、計算機網絡或個人計算機設備的任何類型的進攻在沒有得到授權的情況下竊取或訪問任何一臺計算機的數據。網絡攻擊分為主動攻擊和被動攻擊以及高等持續性威脅等。主動攻擊會導致某些數據流的篡改和虛假數據流的產生。這類攻擊可分為篡改消息是指一個合法消息的某些部分被改變、刪除，消息被延遲或改變順序；偽造指的是某個實體（人或系統）拒絕服務，會導致對通訊設備正常使用或管理被無條件地中斷，被動攻擊中攻擊者不對數據信息作任何修改，截取/竊聽是指在未經用戶同意和認可的情況下攻擊者獲得了信息或相關數據。通常包括竊聽（包括操作記錄、網絡監聽、破解弱加密、非法訪問數據、獲取密碼文件等）、欺騙（包括獲取口令、惡意代碼、網絡欺騙等）、流量分析（包括導致異常型、資源耗盡型、欺騙型等）、數據流（包括緩沖區溢出、格式化字符串攻擊、輸攻擊主要是收集信息而不是進行訪問，數據的合法用戶對這種活動一般不會覺察到。高等持續性威脅（APT）攻擊是對特定目標進行長期持續性需要對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象受信系統和應用程序進行攻擊。對于網絡攻擊潛在的風險，一般采取的解決方法主要是在服（2）主機層風險應用程序運行于各種操作系統和基礎軟件之上，品類和版本繁多，比如：Linux,BSD,Windows等操作系統，MySQL、redis、sftp、ssh、apache、tomcat等基礎軟件。在引入各類軟件的同時，也引入了軟件的安全缺陷和安全風險，為應對各類軟件帶來將安全防控機制，進行常態化，建立軟件管理、安全情報管理、定期安全掃描、病毒查殺、快速漏洞修復、安全補丁機制來確保主機層的安全能力。1.基于TEE的計算安全驗證技術（1）遠程驗證機制在基于TEE的計算環境中，可以使用遠程認證機制來遠程證明用戶身份和平臺可信性。遠程認證機制主要包括可信認證報告生成和可信認證過程兩部分實現?？尚耪J證報告和可信認證過程的基礎是TEE可信根中的背一般不會被直接參與到報告生成和認證過程中，而是派生出一對身份認證密鑰（AttestationIdentityKey）?？尚耪J證報告核心是一個包含TEE運行狀態和帶有軟硬件度量值的原始證明報告。原始證明報告使用AIK簽發后形成可信執行節點所在的被驗證方、客戶端所在的驗證方和TEE可信認證相關密鑰證書的發放。驗證方和被驗證方都擁有認證中心的CA公鑰證書，以驗證CA所簽發證書的合法性。被驗證方向驗證方提供可信認證報告，由驗證方完成報告的可信認證。驗證方獲取可信報告后，首先驗證AIK證書的有效性確保證明報告的合法性，通過AIK簽名驗證證明報告的完整性。之后，驗證方再根據可信策略驗證報告本身，比對度量值等關鍵字段，確認TEE端計算環境的機密性以及代碼的完整性，TEE遠程驗證機制如圖3所示。（2）節點互信驗證機制TEE節點互信指的是不同機密計算節點之間達成信任關聯的過程，如圖4所示。節點互信機制滿足如下要求：1)系統應在節點通信發生之前，在節點識別之后，預先設定需要互信的節點范圍；2)系統應保證節點互信的信任憑據具備有效性時長或只3)節點互信應包含身份互信、通信安全互信、計算要素互信，宜包含計算執行代碼互信。節點互信的維度包括：的身份。身份具備動態認證的特性。可采用通用的PKI（PublicKeyInfrastructure）、IBE（IdentityBasedEncryption）和CPK（CombinedPublicKey）等認證體系構建；2)通信安全互信：節點之間應實現加密通信，通過安全連接交換數據，處理請求。加密通信宜采取TLS協議或類似的加系或將節點公鑰與白名單一起通過安全通道預同步到關聯節點的方案。通訊密鑰與節點身份認證密鑰應分離；3)計算要素互信：各個節點之間應只在關聯的任務計算必要時進行交互通信。計算要素包括：計算任務的參與方信息、計算節點信息、權限信息、計算參數、數據一致性信息。各方之間對參與任務的各個要素需要互證一致；4)計算執行代碼互信：計算節點之間可通過遠程驗證機制，提供計算執行代碼的一致性證明。2.基于區塊鏈的全流程存證區塊鏈是一種去中心化的分布式賬本。該技術由分布式數據存儲、點對點傳輸、共識機制、智能合約、加密算法等多種子技以有效解決無第三方背書的情況下的信任問題?；谶@些特性，區塊鏈可以對數據從產生到處理、從交易到計算的全生命周期進進一步來說，區塊鏈技術能夠對隱私計算任務的全流程進行存證。各參與方可作為區塊鏈上的節點，保存有錄信息、權限控制信息、協調信息、存證信息及交易信息等，可根據審計要求追溯任意歷史的變更記錄，從而解決隱私計算任務存證的數據難驗證、交易難溯源、多方難互信、多方協作難等問題，使得隱私計算全流程可驗證、可溯源、可信任、易實現多方（1）共識機制區塊鏈中各個參與節點都有平等的記錄數據的能力，那么需要一個共識機制來決定誰最終擁有數據的記賬權，即讓這些節點通過一個規則同意這個特殊節點在很短的時間內完成了對交易的驗中所有誠實參與節點保持賬本一致性。2.有效性：篩選出一個節點來往鏈上寫入數據，其他所有誠實節點把該發布的信息記錄在自己的區塊中。目前常見的共識機制有：工作量證明PoW（ProofofWork）、權益證明PoS（ProofofStake）以及委托權益證明DPoS（DelegatedProofofStake）。工作量證明機制PoW性，每個區塊數據只能由一個節點（有記賬權的）進行記錄。比特幣就是通過PoW機制（如圖5所示）來確認這個記賬節點。比特幣網絡提出了這個PoW問題。其關鍵要素是工作量證明函數、區塊信息及難度值。工作量證明函數是這道題的計算方式，區塊決定了這道題的輸入數據，難度值決定了這道題所需要的計算量?？梢岳斫獬晒濣c為了獲得記賬權需要將不同的Nonce值代入到工作量證明函數中，嘗試進行SHA256哈希運算，直到找出滿足條件的Nonce值為止。計算得出滿足條件的Nonce值的個數越多，代表難度越大。（2）分布式存儲區塊鏈使用點對點傳輸技術進行分布式存儲。假設黑客破解改者需要同時修改網絡上超過半數的系統節點數據才能真正地就了區塊鏈的安全性。（3）智能合約智能合約是存儲在區塊鏈上的數字合約，在滿足確定的條款和條件時會自動執行這些合約。智能合約工作時遵循簡單的“if/when...then...”語句，這些語句被寫入區塊鏈代碼中。當滿足并驗證預先確定的條件時，計算機節點將執行操作，這些操作可能包括相應的各方發放資金、發送通知或開具憑單等。然可的節點才能看到結果。因為沒有第三方的參與，減少了人為失誤或者合謀干預的風險。因為一旦更新了區塊鏈，交易記錄會被所有節點共享，所以數據是無法被篡改及安全的。（4）密碼學包括哈希算法、公鑰私鑰、數字證書與簽名、零知識證明、同態術可以證實某數據內容的完整性并確認其來源，即可證明數據的由于每條記錄都與分布式賬本上的前后記錄相關聯，黑客必須改變整個鏈才能更改單個記錄。3.基于區塊鏈智能合約的計算合約途和用量的服務契約；計算合約允許各計算參與方在計算任務發在所有參與方達成一致后，平臺方可開始執行計算任務。主要內2)電子簽名：體現多方監督，抗抵賴，可具備一定的法律計算合約的特點包括：1）數字化、可機讀：不只是將紙質合同電子化，須實現條2）各方約定：以各方達成一致為前提，責任共擔，分散風3）數據使用透明化：確認數據加工、計算的算法邏輯（對于保密部分可使用密碼技術處理）。計算合約的執行流程：1）任務準備：算法提供方基于算法形成合約模板；2）任務發起：任務發起方選擇合約模板，完善合約內容；所有參與方提供相關信息，審查并簽署合約；3）任務執行：任務發起方執行合約，發起任務；調度方驗程進行存證4）任務結算：結果使用方對照合約，驗證結果；調度方進行任務結算和清算；4.基礎性檢測基礎性檢測技術，指隱私計算系統在數據流入和流出前進行的一些系列數據安全核驗動作，包括數據來源可信、授權可用、質量檢測、合規性審查等。（1）數據來源檢測利用數字證書檢測、硬件token驗證等方式對數據提供方身份進行認證，確保數據來源方身份可信。采用限制IP地址、端口號等技術防止第三方的惡意接入，確保僅有經過許可的主體有權限接入系統中。（2）數據權限管控問進行識別與實時阻斷，確保隔離區內的數據只有通過指定的訪問管控入口才可流入流出，防止繞過管控讀寫數據。（3）數據質量檢測對數據的一致性、完整性、及時性和可用性等數據質量進行確認的能力，確認數據質量滿足合作需求，并確認輸出結果符合（4）數據合規性審查事先對數據使用的目的、方式、范圍、頻率、權限、存儲的有效期、過期數據的處理策略等進行約定，并不定期采用人工或自動攔截的方式進行合規性審查。（5）異常輸入告警對大量相同數據重復流入、傳輸中斷、校驗不通過、長時間沒有數據流入和識別到敏感數據等數據的異常流入進行告警，并對異常流入的文件名、異常信息描述等內容進行日志記錄，為后續處理提供參考。5.通信數據解析運行一致性和關鍵信令執行正確性進行驗證。（1）訪問控制在網絡邊界或區域之間根據訪問控制策略設置訪問控制規址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出；在關鍵網絡節點處對進出網絡的信息內容進行過濾，實現對內容的訪問控制。（2）數據包解析對隱私計算算法執行過程中偵聽到的網絡信息流及其所有的數據包進行解析，基于解析結果對隱私計算算法運行一致性和過程數據保密性進行判別和驗證。（3）信令監控偵聽用戶簽約、授權等關鍵事件的日期、用戶、事件類型和成功與否等信令，后臺定期對信令情況進行統計分析。（4）運行狀況監測通過對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測，能夠正確和及時地了解系統的運行狀態。日志分析技術，對隱私計算系統中關鍵操作和關日志采集和存儲，對日志記錄進行檢索和統計分析。采集應用系統多個維度數據日志，包括但不限于API調用日操作系統日志、數據庫日志等。對采集的日志進行解析、聚合、關鍵數據提取等相關處理。對全文日志文件或提取的關鍵數據提供存儲能力，包括分布式文件存儲、大數據存儲及關系型數據庫存儲能力。提供日志檢索功能，查詢指定的異常日志或者操作日志。7.代碼審計絡或系統會產生威脅或存在潛在威脅的惡意代碼。（1）特征碼掃描進行惡意代碼掃描時，掃描引擎會將系統中的文件與特征碼進行匹配，如果發現系統中的文件存在與某種惡意代碼相同的特征碼，就認為存在惡意代碼。（2）惡意行為檢測為違反了合法程序操作規則，或者符合惡意程序操作規則，則可（3）沙箱技術將經過加密、混淆或多態變形的惡意代碼放入虛擬環境后將配合其他方法能夠檢測出惡意代碼的存在。（4）代碼分析利用常見的代碼分析工具掌握惡意代碼樣本程序的行為特8.可視化利用常見的代碼分析工具掌握惡意代碼樣本程序的行為特（1）流程可視化提供算法流程透視窗和實時狀態監控實時跟蹤算法進度，通過異常/錯誤日志打印功能，方便用戶快速定位問題。（2）運維可視化通過設計數字大屏，直觀展示節點狀態、硬件資源、網絡情況等信息，方便運維人員實時監控系統運作健康情況，及時發現異常風險。隱私計算安全可驗證的形式可包括：1.文檔審查（1）提供理論安全性證明材料，通常包括有論文及出處、（2）提供隱私計算系統設計文檔，包括算法協議原理、數據交互流程圖、安全設計說明等，供檢測人員審查和存檔。2.代碼驗證（1）提供系統關鍵步驟和關鍵數據的日志記錄，包括數據證書、時間戳等，供檢測人員審查和存檔。（2）提供算法關鍵部分實現代碼實現截圖，檢測人員驗證其代碼實現是否與所提供的算法原理說明、數據交互流程等文檔所述一致；檢測代碼實現中是否存在安全威脅和高危漏洞。3.平臺演示（1）提供關于待測隱私計算平臺操作流程、界面設計、功能設計的講解視頻，幫助檢測人員理解、審查和存檔；（2）準備平臺演示環境，按考察點逐一為檢測人員提供即時的平臺操作演示，檢測人員進行提問和功能細節查看；（3）提供測試環境下的外部訪問地址，供檢測人員按照平臺設計文檔自行進行平臺操作。檢測人員利用自動化安全驗證工具，檢查隱私計算在金融應用中是否滿足協議一致性要求，驗證輸入輸出數據和中間數據是視化方式進行展示隱私計算內部流程，使得整個過程變得更加透出入的處理邏輯，確認是否與安全性原理材料和設計文檔描述一（1）通信方監測：參與方事先提交一個通信方的白名單列表，執行計算時，系統需通過端口監控所有通信均在白名單列表（2）通信量監測：需監測計算任務的通信量。對于每個隱過閾值時接入預警系統。信內容中出現。（3）用法用量監測：記錄每個計算任務的用法用量。若計算任務超出規定的用法用量則接入預警系統。（4）敏感異常操作監測：-終止任務-持續嘗試同一計算任務-頻繁掃描數據源等情況-沒有跑計算任務，卻大量消耗計算資源等。隱私計算安全驗證技術從技術角度約束隱私計算產品的安良性、可持續發展提供助力，但目前相關工作和研究成果較少，未來還需要做進一步探索和研究，主要包括以下幾方面：（一）挖掘隱私計算安全驗證技術目前隱私計算算法邏輯安全性和一致性問題仍然缺少可行的解決方法，進一步研究驗證算法邏輯安全的安全驗證技術。（二）打造通用化隱私計算安全驗證工具一方面，單一的驗證技術無法對隱私計算產品進行全方位的終都是實現數據的安全保護。將多種技術組合打造通用化隱私計算安全驗證工具，對隱私計算過程中的關鍵路徑采集、分析，并是進一步的工作方向。（三）適配安全分類分級隱私計算自身不同算法協議能保證的安全程度不同，不同應用場景中的安全需求具有多樣性。隱私計算產品的安全要求應該對應的安全驗證工具也應該有相應的安全等級配置。在產品開發和實際落地應用中，形成安全與性能、準確性的平衡。（四）推動金融行業形成技術標準化共識推動隱私計算安全驗證、安全檢測相關標準的研究，完善的化工作，逐步推進隱私計算安全驗證通用化技術，案設計、系統開發、產品驗證、技術選型等方面提供參考。[1]J.VanBulck,M.Minkin,O.Weisse,D.Genkin,B.Wenisch,Y.Yarom,andR.Strackx.“Foreshadow:ExtractingthekeystotheintelStransientout-of-orderexecution”.InUSENIXSe[2]BRASSER,F.,MüLLER,U.,DMITSADEGHI,A.-R.“Softwaregrandexposure:SGXWorkshoponOffensi[3]O.Goldreich,S.Micali,andA.Wigderson.“Howtoplayan[4]McMahanB,MooreE,RamageD,etal.“Communication-efficientlearningofdeepnedecentralizeddata[C]”.ArtificialIntellige[5]GeipingJ,BauermeisterH,Dr?geH,etal.“InvertingGfederatedlearning?[J]”.arXivpreprintarXiv:2003.14053,2020.[6]WangZ,SongM,ZhangZ,etal.“Beyondinferringclassreprfromfederatedlearning[C]”.IEEEINFOCOM2019-IEEEConferenceonComputerCommunications.IEEE,2019:2512-25[7]TolpeginV,TruexS,GursoyME,etsystems[C]”.EuropeanSymposiumonResearchinComputerSecurity.Springer,[8]BagdasaryanE,VeitA,HuaY,etal.“HowtobackdoorfederatedlearninConferenceonArtificialIntelligenceandStatistics.PMLR,2020:2938-2948.[9]Huang,Hai,etal.“DataPoisoningAttackstoDeepLearning[10]Azizi,Ahmadreza,etal.“T-Miner:AGenerativeApproachtoDefendAgainstTDNN-basedTextClassification”.30th{USENIX}Se[11]SeveriG,Meyer