3-5 隱私計算新思路：可信密態計算.pdf

1、隱私計算新思路：可信密態計算潘無窮 螞蟻科技集團股份有限公司 高級專家|01背景02TECC技術路線TECC的主要性質是什么樣的03TECC實現現狀介紹我們團隊現有的實現情況04總結和展望對之前講過的主要內容進行總結目錄CONTENT|哪些客觀事實促使TECC的提出|01背景哪些客觀事實促使TECC的提出|邁入密態時代數據流通是必然的評估消費情況發現犯罪團伙 同行業 跨行業 稀缺數據密態流通是主要形式 安全 合規 商業明文傳播導致泛濫評估償還能力|密態計算的難度遠遠超過傳統密碼算法傳統加密：在密文上做傳輸甲加密解密乙甲加密加密乙密態計算隱私計算：在密文上做計算解密加、乘；異或、與；比較、移位、

2、選擇除、log、ex、sinx、；地址訪問、查詢、排序、聯合機器學習、數據分析（類型轉化）不是天然支持所有算子 支持的耗時不一致 底層差異導致上層需重新設計|部分算法存在惡意敵手攻擊、合謀攻擊惡意敵手：攻擊者不遵守協議。部分算法假設不會出現敵手。合謀攻擊：多個攻擊者合作。部分算法假設不會出現合謀攻擊。會不會出現惡意敵手？答：大概率會的，攻擊者沒有道理去遵守協議。會不會出現合謀攻擊？答：在數據利益足夠大的時候會。第三方：預計算乘法對甲乙甲乙|部分算法存在信息熵泄露信息熵泄露：原始信息的運算結果被泄露，導致原始信息的不確定性減少。更新樣本導數下一棵樹乙（特征+標簽）甲（特征）計算分桶導數和計算分桶

3、導數和下一個節點計算分裂得分選取最優分裂劃分子節點明文密態明文某著名的隱私XGB算法：信息熵泄露會不會帶來安全問題？答：視規模而定 量小，風險可控。量大，大概率存在有效攻擊形式。泄露量會累加，長期可能很大|性能是算法類隱私計算技術最大障礙甲：x發送y的密文：Enc(y)乙：y，密鑰(pri,pub)產生隨機數rz1=-r在密文狀態下計算：Enc(xy+r)z2=xy+r解密獲得xy+r一個抵御合謀攻擊的密態乘法：z1+z2=xy密態耗時分析：加解密：1ms級網絡往返：10ms級傳輸耗時：100us級（按1000比特、10mbps 網估算）明文耗時：一個CPU時鐘周期，大概0.3ns耗時膨脹5-

4、7個數量級，少量場景適用，不適合大規模的密態數據中心。|系統實現漏洞SGAxe：CVE-2020-0549側信道攻擊分支預測類攻擊微體系結構攻擊Specture：CVE-2017-5753、CVE-2017-5715、CVE-2017-5754、CVE-2018-3640、CVE-2018-3639、CVE-2018-3693LVI：CVE-2020-0551CrossTalk：CVE-2020-0543ZombieLoad：CVE-2019-11135、CVE-2018-12130Fallout：CVE-2018-12126RIDL：CVE-2018-12127Lazy FP state r

5、estore：CVE-2018-3665Plundervolt：CVE-2019-11157軟件層硬件層供應鏈內存安全、開放的動態反序列化（ODD）等CVE-2020-25459|02TECC技術路線TECC的主要性質是什么樣的|可信密態計算TECC大數據聯合建模主要原理：參與方將數據密態拆分，將每個分量傳遞給不同分區的可信計算節點。每個可信計算節點只有分片數據，多個TEE分區通過密碼協議完成目標計算?？尚庞嬎愎濣c受TEE、TPM、全?？尚疟Ｗo，運營者無法窺探。密碼協議的同一個角色由一個TEE分區集群承擔，可以進行并行化加速。參與方1參與方2參與方3大數據聯合分析PythonSQLLRXGBP

6、SI計算節點調度層TECC TECC 計算集群參與方4計算節點A2計算節點A1全棧,TPM,TEE計算節點B2計算節點B1全棧,TPM,TEE計算節點C2計算節點C1全棧,TPM,TEETECC通過在多個高速互聯的可信執行環境中運行密碼協議，將兩者有機地結合在一起，安全性可抵御現實攻擊，成本低于一個量級，性能和穩定性接近明文。|TECC整體安全模型TECC驗證TEE全?？尚臫EETEE彼此驗證全?？尚臫EE節點B1TEE全?？尚臫EE節點C1TEE全?？尚臫EE節點C2全?？尚臫EE節點A2TEE全?？尚臫EE節點B2TEE節點A1全?？尚艆⑴c者驗證驗證驗證彼此驗證彼此驗證彼此彼此驗證彼此驗證

7、彼此驗證本地程序,絕對信任經遠程驗證后信任經信任的TEE驗證后信任拆分邏輯TEE驗證 參與者通過TEE遠程認證技術確認TECC節點行為如預期。全?？尚?、TEE、密態分片形成三層縱深防御，既防黑客也防運營者。全?？尚抛钄喙鬞EE的前提條件。密態（分片）形式消除TEE的大部分安全隱患。TEE可防御惡意敵手攻擊、合謀攻擊。|TECC實現安全性（軟件層）TECC的核心代碼是Rust語言。采用Rust編程語言需要一些額外的開發成本，包括注明變量的所屬關系及所屬關系的轉移等?？梢员苊庾兞勘环穷A期的代碼訪問、以及因為內存越界或多線程沖突導致的安全問題。對于生態中的非Rust代碼，使用形式化的方法進行驗證，

8、能夠確保特定的安全問題不會出現。目前TECC的實現已經驗證了內存安全問題。|TECC實現安全性（硬件層、供應鏈）內存總線TEE電源線調用接口地址信息能量曲線敏感信息TECCTECC抵消側信道攻擊：分片數據不作為地址和判斷條件TECC中不成立操縱輸入CPU多次執行分支1突然轉向分支2CPU慣性執行分支1TECC中不成立TECCTECC抵消分支預測攻擊：輸入數據不會作為判斷條件x1 y1z1 u1 v1 w1TEE ATEE Bx2 y2z2u2 v2 w2TECC中不對應同一個明文TECCTECC緩解微體系采樣結構攻擊：多個TEE泄露的分片數據不對應同一個明文地址判斷條件TECC緩解供應鏈攻擊：

9、有隱患的TEE放到同一個分區，全部淪陷無安全問題。維修過的主機/TEE計算節點集群A計算節點集群B計算節點集群C全棧,TPM,TEE全棧,TPM,TEE全棧,TPM,TEE正常的主機/TEE正常的主機/TEE|TECC性能可接近明文。A1B1C1A2B2C2AtBtCt密碼協議角色A密碼協議角色B密碼協議角色C。子任務1目標任務子任務2子任務t。1、TECC對密碼協議的需求僅為“密態數據”，可采用輕量級的密碼協議。2、內網帶寬高達25gbps以上。3、通過并行化再提升1-2數量級。|適用性優點一：多種安全和成本選擇密態計算甲乙丙丙甲甲丙丙乙乙乙甲密態結果優點二：任意參與方數量、不同數據分割形式

10、，代碼相同相同邏輯的多種情形，代碼相同比如PIR、密態數據庫缺點一：需要將邏輯密態化。通過提供通用接口兼容現有生態，可緩解該缺點。|成本和穩定性成本：穩定性：無公網交互，穩定性高。設備：膨脹1個量級，性能可接近明文網絡：無額外公網成本人力：接入、運維、部署成本低|03TECC實現現狀介紹我們團隊現有的實現情況|TECC隱私機器學習樣本數 環境參數機器學習參數耗時80w16核128G容器12臺30棵/4層、分桶數13、特征數84和1332.2分鐘1000w16.2分鐘耗時情況：機器學習效果：指標明文訓練30/4/13TECC訓練30/4/13TECC訓練50/4/13AUC0.8510.8430

11、.851千一打擾召回率0.1310.1090.123準確率0.5080.4620.493百一打擾召回率0.3340.3160.330準確率0.2080.1990.206TECC XGBoost隱私機器學習訓練：全程密態運算、大運算全部分布式密態壓縮傳輸、傳輸均衡技術有效位精控、多版本比較更新導數分桶求和最優分裂劃分節點TEE A1,B1,C1密態解壓更新導數分桶求和劃分節點TEE A2,B2,C2密態解壓更新導數分桶求和劃分節點TEE At,Bt,Ct密態解壓密態|TECC密態數據分析TECC 密態數據分析：TECC Pandas原生接口、Rust安全編程語言Encrypt in&Encryp

12、t out、非交互式-保證密態分析可以連續進行O(n)的亂序操作-保證連續密態分析不會累加（或產生）泄露量排序耗時情況：規模環境亂序快排重建總時間(分鐘)1000萬、200列32核128G容器6臺0.150.160.150.475000萬、200列0.720.830.712.33密態數據結構算法用戶自定義Python代碼TECC Pandas接口層基礎運算+,-,*,/,=,+=,-=,*=,/=,=,=,=,!=數學運算Reciprocal,sqrt,log2,exp,sin,cos,tanh,sigmoid統計運算求和、平均、方差、最大最小值、最大最小值位置、分位數表操作表提取、表拼接、選

13、擇、排序、Join、分組、分組后聚合基礎算法|04總結與展望對之前講過的主要內容進行總結|TECC將與計算生態進行深度融合提供者1不限參與方數量TECC 集群密態數據基礎算子高級算子集群提供功能用戶定義功能業界通用接口pandassparkTensorFlowPSI特征工程LRXGB提供者2提供者3使用者1使用者2不限數據形式訪問規則允許數據托管全密態功能生態已有功能|總結TECC提供了非常優異的綜合能力：安全：三層防御，Rust，抵消硬件漏洞性能：輕量級密碼、內網、并行化適用性：多種成本選擇、通用算法成本：一個量級以內穩定性：內網1小時處理億級樣本隱私機器學習、10分鐘處理億級行數密態數據分析。非常感謝您的觀看|