論文作者為中國科學院院士、北京信息科學技術研究院院長、中國科學院軟件所客座研究員、博士生導師馮登國教授和密碼科學技術國家重點實驗室楊糠副教授。本文為開放隱私計算社區(qū)整理，分享僅供學習參考，如有轉(zhuǎn)載，請標記出處。

文章簡介

近日，中國科學院院士、北京信息科學技術研究院院長、中國科學院軟件所客座研究員、博士生導師馮登國教授和密碼科學技術國家重點實驗室楊糠副教授的一篇重磅論文《Concretely e?cient secure multi-party computation protocols: survey and more》（《具體高效的安全多方計算協(xié)議綜述》）在Security and Safety上在線發(fā)表，引發(fā)業(yè)界熱烈討論。本文是OpenMPC社區(qū)對該論文翻譯后的整理介紹，僅供學習參考，歡迎交流討論。

1全文摘要

安全多方計算(MPC)允許一組參與者在他們的私有輸入上聯(lián)合計算一個函數(shù)，只顯示函數(shù)的輸出。在過去的十年里，MPC已經(jīng)從一個純粹的理論研究迅速發(fā)展成為一個具有實際意義的研究對象，人們對隱私保護機器學習(PPML)等實際應用越來越感興趣。本文是一篇關于“具體高效的安全多方（MPC）計算協(xié)議”的綜述性文章，全面調(diào)查了在多數(shù)不誠實和多數(shù)誠實設置中，針對半誠實和惡意的兩種安全性條件下具體高效 MPC 協(xié)議的現(xiàn)有工作。本文專注于考慮帶有中止特性的安全性概念，這意味著惡意方可能會阻止誠實方在收到輸出請求后完成接收輸出。本文提出了基礎和關鍵的一整套方法，設計不同風格的 MPC 協(xié)議和 MPC 的關鍵模塊。對于 MPC 應用程序，本文比較了基于 MPC 構(gòu)建的已知 PPML 協(xié)議，并描述了最先進的 PPML 協(xié)議其私有推理過程和訓練的效率。此外，本文總結(jié)了幾個用以突破 MPC 協(xié)議效率所存在的當前挑戰(zhàn)和未解決的問題，以及一些值得解決的未來工作。本文的目的是向有興趣了解、改進和應用具體高效的 MPC 協(xié)議的研究人員提供 MPC 的最新發(fā)展和關鍵方法。

2安全多方計算簡介

安全多方計算(MPC)允許一組參與者在他們的私有輸入上聯(lián)合計算一個函數(shù)，而不泄露函數(shù)的輸出。具體來說，MPC允許N方共同計算以下函數(shù)：

其中每一方持有一個輸入，得到一個輸出，除了外什么也學不到，函數(shù)通常被建模為一個布爾電路或算術電路。MPC是密碼學的基礎，也是大數(shù)據(jù)時代協(xié)作計算中保護數(shù)據(jù)隱私的核心技術。

安全多方計算保證隱私（意味著協(xié)議只顯示輸出）和正確性（意味著計算出正確的函數(shù)），以及其他（例如，輸入的獨立性，意味著一方不能根據(jù)其他方的輸入選擇其輸入）。在存在對抗行為的情況下，必須保證安全屬性。目前主要考慮兩個經(jīng)典的對手：

• 半誠實：半誠實的對手（又稱被動對手）遵循協(xié)議規(guī)范，但可能試圖從協(xié)議記錄中了解更多；
• 惡意：惡意對手（即活動對手）可以執(zhí)行任意攻擊策略，試圖破壞協(xié)議。

設計 MPC 協(xié)議的主要方法有兩種：

• 秘密共享方法，它使各方為電路的每個非線性門進行交互，并且具有低通信帶寬，但循環(huán)次數(shù)與電路深度呈線性關系；
• 亂碼電路方法，讓各方構(gòu)建一個加密版本的電路，只允許計算一次，并且輪數(shù)恒定，但通信帶寬大。

一般來說，秘密共享方法更適用于局域網(wǎng)（LAN）等低延遲網(wǎng)絡，而亂碼電路方法在廣域網(wǎng)（WAN）等高延遲網(wǎng)絡中表現(xiàn)更好。

3基于秘密共享的MPC協(xié)議

基于秘密共享方法，具體高效的 MPC 協(xié)議使各方能夠在每個非線性門中發(fā)送短消息，但具有與正在計算的電路深度成線性關系的輪數(shù)。目前，具體高效的 MPC 協(xié)議主要采用三種線性秘密共享方案（LSSSs）：加法秘密共享、Shamir 秘密共享和復制秘密共享（又名 CNF 秘密共享），其中加法秘密共享主要用于多數(shù)不誠實設置中的 MPC 協(xié)議，而 Shamir 和復制秘密共享用于多數(shù)誠實 MPC 協(xié)議。本文首先以統(tǒng)一的視角回顧這些 LSSSs 的結(jié)構(gòu)。為了實現(xiàn)應對惡意方的安全性，加法秘密共享需要配備信息論消息認證碼（IT-MACs），因此本文定義了多數(shù)不誠實在 MPC 中使用的兩種類型的 ITMAC。請注意，對于多數(shù)誠實設置中的 Shamir/復制秘密共享，IT-MAC 是不必要的。然后，基于 LSSSs，本文描述了如何構(gòu)建具有統(tǒng)一結(jié)構(gòu)的半誠實 MPC 協(xié)議。最后展示了如何使用最先進的檢查技術將半誠實的 MPC 協(xié)議轉(zhuǎn)換為惡意保護 MPC 協(xié)議。

線性秘密共享方案

MPC 中使用的三種 LSSSs 都是?-閾值秘密共享方案，它使??方可以在各方之間共享秘密?，使得??方的任何子集都無法獲得關于秘密??的任何信息，而任何??方的子集可以重建秘密?。加性秘密共享只能在??時進行，而 Shamir/復制 秘密共享允許任何?（對于多數(shù)誠實 MPC，通常采用?。三種 LSSSs 定義在字段??上。雖然加法/復制秘密共享允許任意大小的字段（包括?），但 Shamir 秘密共享需要?。接下來將描述這些 LSSSs 的結(jié)構(gòu)以及設計 MPC 協(xié)議的有用程序。

一般的LSSSs執(zhí)行流程如下：

• ：對于?，中介生成??份秘密?。通過??表示秘密??的共享。
• ：這個過程只允許??獲得秘密?。當任何??份??通過私有通道發(fā)送給??時，秘密??可以由??重構(gòu)。
• ：這個過程允許所有參與方都知道?。這很容易通過執(zhí)行?,??來實現(xiàn)，其中不需要私有通道。

信息論消息認證碼

在多數(shù)不誠實設置中，MPC 協(xié)議可以使用加法秘密共享來私下執(zhí)行電路評估。這對于半誠實的安全性來說已經(jīng)足夠了。然而，在惡意設置中，需要引入 IT-MAC 來保證秘密值的正確性。目前，在 MPC 協(xié)議中使用了兩種風格的 IT-MAC：BDOZ 風格和 SPDZ 風格。雖然最初的 IT-MAC 是在單個大字段上定義的，但很容易對其進行擴展，以便在任意大小的字段??上定義值，并在一個大的擴展字段??上完成身份驗證。

SPDZ 風格的 IT-MAC 比 BDOZ 風格的 IT-MAC 更緊湊。然而，在應用于MPC時，這兩種風格的IT-MAC是無法比擬的。雖然 BDOZ 風格的 IT-MAC 更適合用于基于分布式亂碼的恒定輪 MPC 協(xié)議，但 SPDZ 風格的 IT-MAC 主要用于將半誠實的 GMW 協(xié)議轉(zhuǎn)換為具有惡意安全性的高效 MPC 協(xié)議。

半誠實協(xié)議

在半誠實的設置中，本文使用一個簡單的框架來統(tǒng)一最先進的具體高效的 MPC 協(xié)議，包括 1）基于加法秘密共享的優(yōu)化的 GMW 協(xié)議；2）基于Shamir秘密共享的具有優(yōu)化的BGW協(xié)議；3）基于復制秘密共享的安全三方計算（3PC）協(xié)議。這里，對于基于復制秘密共享的 MPC，為了簡單起見，本文重點關注三方案例。

雖然最初的 GMW 協(xié)議只考慮布爾電路，但很容易將其擴展到任何有限域??上的算術電路。類似地，雖然在多數(shù)誠實設置中具有半誠實安全性的最先進的 3PC 協(xié)議專注于布爾電路的情況，但很容易將該協(xié)議擴展到任何有限域??.對于更多的參與方（例如，參與方的數(shù)量是??或?），可以有效地構(gòu)建基于復制秘密共享的 MPC 協(xié)議。在存在半誠實的對手的情況下，類 GMW 協(xié)議和基于復制秘密共享的 MPC 協(xié)議可以直接擴展為在諸如??（?或?）的環(huán)上工作。此外，類似 BGW 的協(xié)議基于 Shamir 秘密共享的協(xié)議也可以在通用環(huán)上工作。雖然整數(shù)計算模型?對于現(xiàn)代計算機來說更自然，并且可能有助于簡化機器學習 (ML) 等實現(xiàn)和應用程序。

本文展示了半誠實設置中基于秘密共享的 MPC 協(xié)議的框架，如下圖所示。

具體來說，輸入在各方之間秘密共享，然后逐層評估電路其中一層中的所有門都可以并行計算，因此通信輪次與電路深度成線性關系。最后，重構(gòu)每一方的輸出。雖然加法門在沒有任何通信的情況下是免費的，但 MPC 協(xié)議的主要成本是通過執(zhí)行半誠實乘法協(xié)議??來計算乘法門。對于不同種類的 LSSSs，?的構(gòu)造方式不同。本文在下圖中勾勒出??的三種經(jīng)典結(jié)構(gòu)，對應于三種秘密共享，其中協(xié)議分為兩個階段：電路和輸入未知的預處理階段和電路和輸入已知的在線階段各方。

惡意安全協(xié)議

上述的基于秘密共享的 MPC 協(xié)議在半誠實的對手存在時保證安全。為了實現(xiàn)“惡意安全”，需要增加一些檢查程序。在多數(shù)不誠實 MPC 和多數(shù)誠實 MPC 之間，確保抵御惡意對手安全的底層技術是不同的。例如，不誠實多數(shù)設置中的 MPC 需要 IT-MAC 來驗證各方共享的值，但這對于多數(shù)誠實的 MPC 來說是不必要的。因此，本文在兩種不同的設置中展示了惡意安全 MPC 的開發(fā)。

多數(shù)不誠實：?Goldreich、Micali 和 Wigderson (GMW) 提出了一種通用編譯器，用于將半誠實的 MPC 協(xié)議轉(zhuǎn)換為惡意安全的 MPC 協(xié)議，以完成相同的計算任務。然而，這個編譯器是非黑盒的，它使用通用的零知識證明來證明每一步計算的正確性，因此效率不高。后來，Ishai、Prabhakaran 和 Sahai (IPS) 提出了一種黑盒編譯器，其中具有半誠實安全性的內(nèi)部 MPC 協(xié)議在 OT 混合模型中計算電路，而具有惡意安全性的外部 MPC 協(xié)議在多數(shù)誠實設置用于在存在惡意對手的情況下保證整個 MPC 協(xié)議的安全性。IPS 編譯器針對多方設置進行了改進，并針對兩方設置進行了進一步優(yōu)化。然而，基于 IPS 編譯器的惡意安全 MPC 協(xié)議的具體效率仍然不夠高。最近，基于 IPS 框架，Hazay 等人提出了一種使用兩級共享的新編譯器，其中外層是 Shamir 秘密共享或代數(shù)幾何（AG）秘密共享，內(nèi)層是加性秘密共享。他們的編譯器允許在半誠實的 GMW 協(xié)議上具有恒定通信開銷的任意大小的字段，但具體效率仍然很低。

多數(shù)誠實：?在惡意設置中，只需要檢查乘法門的正確性，因為加法門是在本地計算的并且總是正確的。2017 年，Lindell 和 Nof 觀察到，半誠實的??協(xié)議在存在惡意對手的情況下保證了秘密值的隱私，并允許對手在輸出中引入附加錯誤，即兩個共享?,?，?協(xié)議將輸出一個共享?，其中??其中??是一個附加誤差。這一觀察也適用于 GRR 協(xié)議和基于復制秘密共享的乘法協(xié)議。他們采用 Beaver 三元組和隨機線性組合方法來檢查乘法門的正確性，與半誠實協(xié)議相比，這引入了相對較大的開銷。隨后，Chida 等人提出了一種不同的方法來驗證乘法門的正確性，其中半誠實乘法協(xié)議被執(zhí)行兩次，然后各方使用另一個相關的乘法三元組檢查乘法門的正確性。與半誠實的??協(xié)議相比，他們的 MPC 協(xié)議仍然引入了兩倍的通信開銷。同時，Nordholt 和 Veeningen 也實現(xiàn)了兩倍的通信開銷。在三方設置中，Furukawa 等人使用“Cut-and-Choose”方法將布爾電路的半誠實協(xié)議轉(zhuǎn)換為惡意安全協(xié)議，這將引入??的開銷，其中??是乘法門的數(shù)量，此開銷小于自然重復方法，但不是最佳的。

4基于亂碼電路的恒輪MPC

目前，已知的具體有效的恒輪 MPC 協(xié)議是基于亂碼電路構(gòu)建的，這些電路是基礎電路的加密版本，只能計算一次。首先考慮半誠實協(xié)議，然后展示如何編譯它們以惡意保護 MPC 協(xié)議。

半誠實協(xié)議

安全的兩方計算：Yao 提出了第一個恒輪安全兩方計算（2PC）協(xié)議，實現(xiàn)了半誠實的安全性。Yao 的 2PC 協(xié)議采用亂碼電路（GC）和 OT 作為構(gòu)建塊。具體來說，使用亂碼方案，亂碼器??能夠生成亂碼電路?、編碼信息??和解碼信息?。

然后，評估器??可以用??評估?，然后根據(jù)??獲得輸出位。亂碼方案使??能夠獲得函數(shù)輸出，但不會透露有關??輸入的任何其他信息。大致上，Yao 提出的具有半誠實安全性的 2PC 協(xié)議如下圖所示。

2PC 協(xié)議可以使用預計算 OT 思想進一步優(yōu)化，其中在預處理階段運行隨機不經(jīng)意傳輸（ROT）協(xié)議，并在在線階段使用選擇的選擇位將 ROT 轉(zhuǎn)換為標準 OT。此外，GC 可以以流水線方式發(fā)送，這允許 GC 實現(xiàn)擴展到無限數(shù)量的門使用幾乎恒定的內(nèi)存。后續(xù)研究主要集中在優(yōu)化2PC協(xié)議兩個方面：改進GCs的構(gòu)建和設計更高效的OT擴展協(xié)議。

安全的多方計算：在多方設置中，恒輪MPC必須處理多方合謀欺騙誠實方的情況。因此，不能只讓一方構(gòu)建亂碼電路，而是讓各方以分布式的方式共同構(gòu)建亂碼電路，使用分布式亂碼方案來生成多方亂碼電路。第一個分布式亂碼方案由 Beaver、Micali 和 Rogaway 在 1990 年引入?；诜植际絹y碼，他們提出了一個在不誠實多數(shù)設置下的恒輪 MPC 協(xié)議，但該協(xié)議的具體效率非常低。令人驚訝的是，在不誠實的多數(shù)設置中，直到 2016 年，BMR 亂碼才首次使用 free-XOR 技術進行優(yōu)化?；趦?yōu)化的BMR亂碼電路，他們提出了一種具有半誠實安全性的高效恒輪MPC協(xié)議，特別是他們改進的 BMR 亂碼電路。

惡意安全協(xié)議

安全的兩方計算：對于恒輪 2PC 協(xié)議，在 2017 年之前，一種流行的設計惡意安全協(xié)議的方法是使用“Cut-and-Choose”（C&C）技術。使用這種技術有兩種不同的風格。第一個是由 Lindell 和 Pinkas 引入并優(yōu)化的電路級 C&C 方法，其中準備了許多亂碼電路，打開并驗證其中的隨機子集，其余未經(jīng)檢查電路進行評估。在單執(zhí)行設置中，在輸入上一次計算電路，需要為統(tǒng)計安全性??準備??亂碼電路，并且此設置中最有效的 2PC 協(xié)議是由 Wang 等人提出的。在不同輸入上多次評估相同電路的攤銷設置中，只需要準備??亂碼電路來對??執(zhí)行進行攤銷，并且此設置中最著名的 2PC 協(xié)議是由 Rindal 和 Rosulek 提出的。第二種是由 Nielsen 和 Orlandi 引入并稱為 LEGO 的門級 C&C 方法，其中準備了許多單獨的亂碼 AND 門，其中的一個隨機子集被打開和驗證，其余未經(jīng)檢查的亂碼使用 XOR 同態(tài)承諾將門焊接到亂碼容錯電路。隨后，LEGO協(xié)議進行了優(yōu)化，與電路級 C&C 方法相比，門級 C&C 方法具有較低的漸近復雜度?，并支持電路和輸入均未知的函數(shù)無關預處理（不支持此類預處理）通過電路級 C&C 方法，但在攤銷設置中效率較低，并且在單執(zhí)行設置中的某些功能的效率也較低。2017 年，Wang、Ranellucci 和 Katz 的里程碑式工作提出了構(gòu)建高效 2PC 協(xié)議的認證亂碼方法，其中構(gòu)建和傳輸單個“認證”亂碼電路。

安全的多方計算：在多數(shù)不誠實設置中，對于容忍非一個惡意破壞的恒定輪次 MPC 協(xié)議，一些研究采用剪切和選擇方法或 BMR 和 SPDZ 的組合方法來構(gòu)建 MPC 協(xié)議。但是，它們的具體效率非常低。在這種情況下，最著名的 MPC 協(xié)議遵循基于 TinyOT 類協(xié)議的分布式亂碼框架。這些 MPC 協(xié)議與 2PC 協(xié)議具有相同的結(jié)構(gòu)，但需要執(zhí)行一致性檢查程序來檢查多次執(zhí)行之間共享或全局密鑰的一致性。最近，Poddar 等人應用具有惡意安全性的恒定輪次 MPC 協(xié)議構(gòu)建了一個稱為參議院的系統(tǒng)，該系統(tǒng)允許??方協(xié)作運行分析 SQL 查詢，同時保持個人數(shù)據(jù)的私密性。Yang等人提出了具有惡意安全性的最先進的常量輪MPC協(xié)議，并可用于進一步提高上述應用程序的性能。雖然半門優(yōu)化完全應用于兩方設置中的分布式亂碼構(gòu)建，但這僅在多方設置中部分完成。將半柵技術（甚至最近的切片和切割技術）完全應用于多方亂碼電路是一個挑戰(zhàn)。

在多數(shù)誠實設置中，可以使用較少的通信和計算基于復制的秘密共享來構(gòu)建恒定輪次 MPC 協(xié)議。在最多一個惡意方的三方設置中，Mohassel 等人通過構(gòu)建單個 Yao 式的亂碼電路，提出了目前最有效的三輪 3PC 協(xié)議，其中惡意安全的 3PC 協(xié)議與半誠實的 Yao 的 2PC 協(xié)議具有基本相同的成本。同時，Ishai 等人構(gòu)建了一個兩輪3PC協(xié)議，同時需要發(fā)送三個亂碼電路。在最多有一次惡意破壞的四方設置中，Byali 等人提出了最先進的協(xié)議，并且有五輪通信，需要發(fā)送一個單Yao式的亂碼電路。該協(xié)議可以實現(xiàn)更強的安全屬性，即GOD。在最多有兩個惡意破壞的五方設置中，Chandran 等人提出了最著名的 MPC 協(xié)議，進行了 8 輪通信。他們采用 BMR 亂碼電路來防止串通，并提出了一種經(jīng)過驗證的 OT 原語，使整個 MPC 協(xié)議只依賴于對稱密鑰原語，而不需要 OT 協(xié)議。在通信成本方面，它們的惡意安全協(xié)議比不誠實多數(shù)的半誠實 MPC 協(xié)議減少 60%，而其半誠實變體需要的通信減少 8 倍。他們的構(gòu)造也可以擴展到閾值的??方。后來，Byali等人構(gòu)建了具有公平性或 GOD 的安全五方計算 (5PC)，其開銷比 5PC 協(xié)議的開銷小，滿足中止的安全性。

5不經(jīng)意轉(zhuǎn)移和不經(jīng)意線性函數(shù)評估

不經(jīng)意轉(zhuǎn)移

不經(jīng)意傳輸 (OT) 是發(fā)送者??和接收者??之間的基本密碼原語，它使??只能獲得??的兩個輸入消息之一，而??在??的選擇位上一無所知。它不僅可以用來構(gòu)造Yao氏的2PC協(xié)議，還可以用來構(gòu)造許多其他具有半誠實和惡意安全的MPC協(xié)議。此外，OT還可以用來設計很多其他種類的密碼協(xié)議。OT 協(xié)議可以從不同的加密假設構(gòu)建，包括決策 Di?e-Hellman (DDH) 、計算 Di?e-Hellman (CDH) 、學習錯誤 (LWE) 、學習奇偶噪聲 (LPN) 和交換超奇異同源 Di?e-Hellman (CSIDH) 。但是，當需要生成大量的 OT 關聯(lián)時（特別是對于 MPC 應用），這些基于公鑰操作的 OT 協(xié)議是非常昂貴的。為了解決這個問題，Beaver 引入了 OT 擴展的概念，其中使用快速運算將少量基本 OT 有效地擴展到大量 OT（甚至是任何多項式數(shù)量的 OT）。Beaver的第一個 OT 擴展協(xié)議以非黑盒方式使用偽隨機生成器 (PRG)，因此僅在理論上有意義。目前，具體有效的 OT 擴展協(xié)議分為兩種風格：一種基于 IKNP 框架，另一種基于 PCG 框架。IKNP 風格的協(xié)議采用對稱密鑰原語 PRG 進行擴展并支持選擇位，而 PCG 風格的協(xié)議利用 LPN 問題中噪聲的稀疏特性來實現(xiàn)擴展，只允許隨機選擇位。

不經(jīng)意線性函數(shù)評估

OLE：?不經(jīng)意線性函數(shù)評估 (OLE) 是 OT 的算術推廣，特別適用于為大范圍的算術電路設計 MPC 協(xié)議。特別是，OLE 直接給出了兩個秘密值相乘的兩方加法共享。因此，通過成對的 OLE 協(xié)議執(zhí)行，可以在多方設置中使用 OLE 生成 Beaver 乘法三元組而無需驗證。OLE 可以使用 OT 擴展和 Gilboa 乘法方法 構(gòu)建，計算成本低，但通信成本高。存在一種使用基于 RLWE 的加性同態(tài)加密 (AHE) 設計 OLE 的標準方法，該方法已用于 Overdrive 和最近的工作，其中接收器??將??發(fā)送到發(fā)送器?，并且然后??計算??并將其發(fā)送給?，?解密以獲得大場??的?。這里，AHE 需要滿足電路隱私財產(chǎn)。此外，OLE 也可以從某種同態(tài)加密構(gòu)建，但需要更大的通信。在不依賴同態(tài)加密的情況下，OLE 也可以直接從 Ring-LWE構(gòu)建。此外，還可以從 OT 和嘈雜的 Reed-Solomon 編碼或 Paillier 加密構(gòu)建 OLE 協(xié)議。在所有 OLE 協(xié)議中，基于 AHE 的協(xié)議獲得了最佳的通信效率，而來自 RLWE 的協(xié)議具有最優(yōu)的一輪通信。

最近，Boyle等人提出了一種直接基于 LPN 的 OLE 結(jié)構(gòu)，其通信成本比上述 OLE 協(xié)議低得多，但需要至少??的計算成本來生成??個 OLE 相關性。后來，他們使用環(huán) LPN 假設的變體解決了計算問題，并構(gòu)建了用于計算大量 OLE 相關性的 OLE 協(xié)議。該 OLE 協(xié)議比基于 RLWE 的協(xié)議具有非常低的通信成本，并且提供了??的計算復雜度。他們基于 ring-LPN 的 PCG 方法是生成大量 OLE 相關性的好方法（例如，）。對于少數(shù) OLE 相關性，基于 RLWE 的方法可能更好?；?ring-LPN，得到的 OLE 相關性是隨機的（即??是一致隨機的），但足以設計 MPC 協(xié)議，其中在預處理階段只需要生成隨機乘法三元組。

VOLE：?向量不經(jīng)意線性函數(shù)評估 (VOLE) 是 COT 對大域的算術推廣，定義如下：

• 發(fā)送者持有一個統(tǒng)一的全局密鑰?。
• 對于每個 VOLE 執(zhí)行，發(fā)送者獲得一個向量?，接收者獲得兩個向量?，，使得?。

6MPC在機器學習中的應用

機器學習 (ML) 的最新進展推動了許多現(xiàn)實生活中的應用，例如醫(yī)療保健、金融風險分析、面部識別、自動駕駛汽車的圖像和視頻分析、推薦系統(tǒng)、文本翻譯、語音助手、圖像分類等。對于關鍵任務應用程序（例如醫(yī)療保健），所需的準確度水平很高。準確性主要受兩個因素控制：1）訓練深度學習模型所需的大量計算能力；2）數(shù)據(jù)集的差異，來自于從多個不同來源收集數(shù)據(jù)，單個公司通常無法實現(xiàn)。

為此，多家公司（例如，微軟、亞馬遜、谷歌）提供機器學習即服務（MLaaS），它以以下兩種不同的方式工作：

• 推理：公司提供經(jīng)過訓練的 ML 模型，客戶能夠查詢特征輸入以獲得推理結(jié)果。

• 訓練：多家公司合作使用他們的數(shù)據(jù)集訓練一個高精度模型。

在第一種情況下，公司希望對 ML 模型保密，因為訓練模型可能需要大量資金，并且客戶希望保護其輸入的隱私，其中輸入信息可能是敏感的，例如個人健康數(shù)據(jù)或人臉。在第二種情況下，公司不愿意共享他們的數(shù)據(jù)，因為數(shù)據(jù)是公司的專有信息，這些公司可能具有競爭力，并且由于隱私法而被禁止共享客戶信息。在這里，ML 模型是保密的，這意味著模型參數(shù)是隱藏的，但模型結(jié)構(gòu)（例如，使用了哪些函數(shù)）仍然是已知的。在保持 PPML 具體高效的同時保護模型結(jié)構(gòu)的隱私是一項挑戰(zhàn)。

文章導讀： 論文作者為中國科學院院士、北京信息科學技術研究院院長、中國科學院軟件所客座研究員、博士生導師馮登國教授和密碼科學技術國家重點實驗室楊糠副教授。本文為開放隱私計算社區(qū)整理，分享僅供學...

總結(jié)

以上是生活随笔為你收集整理的冯登国院士团队重磅论文！《具体高效的安全多方计算协议综述》解读的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。