本文内容如下e-collection /主题问题:

2019年主题Issue:区块链在医疗保健和生物医学研究(客座编辑:Kevin Clausson,张鹏)(22) 区块链,健康和医疗分布式账本应用程序(72) 道德、隐私和法律问题(351)

发表在第21卷第八名(2019): 8月

本文的预印本(早期版本)可在https://preprints.www.mybigtv.com/preprint/13600,首次出版
使用区块链的特征工程的隐私保护方法:审查、评估和概念证明

使用区块链的特征工程的隐私保护方法:审查、评估和概念证明

使用区块链的特征工程的隐私保护方法:审查、评估和概念证明

本文作者:

迈克尔·琼斯1、2 作者Orcid图片 马修•约翰逊1、2 作者Orcid图片 马克Shervey1、2 作者Orcid图片 乔尔·T·达德利1、2 作者Orcid图片 诺亚齐默尔曼1、2 作者Orcid图片
文章 作者 引用自(8) Tweetations (62) 指标

    原始论文

    1美国加州红木城西奈山伊坎医学院生物医学区块链研究中心

    2美国纽约州纽约市西奈山伊坎医学院下一代保健研究所

    通讯作者:

    诺亚·齐默尔曼博士

    生物医学研究中心

    西奈山的伊坎医学院

    马歇尔街10-234号

    Redwood City, CA, 94063

    美国

    电话:1 650 352 3879

    电子邮件:noah.zimmerman@mssm.edu


    背景:保护私人数据是从研究参与者收集可识别信息的研究的关键责任。限制数据收集的范围和防止数据的二次使用是管理这些风险的有效策略。一个理想的数据收集框架应该包含特征工程,这是一个在没有可信第三方的安全环境中从敏感原始数据中提取次要特征的过程。

    摘要目的:本研究旨在比较当前的方法,基于他们如何维护数据隐私和他们的实现的实用性。这些方法包括依赖于可信第三方的传统方法,以及加密、安全硬件和基于区块链的技术。

    方法:为评估每种方法定义了一组属性。并根据这些性质进行了定性比较。每种方法的评估都以生物医学研究共享地理位置数据的用例为框架。

    结果:我们发现,依赖可信第三方来保护参与者隐私的方法并不能提供足够强大的保证,确保敏感数据不会在现代数据生态系统中暴露。加密技术包含了强大的隐私保护范式,但仅适用于选定的用例,或者由于计算复杂性而目前受到限制。区块链智能合约本身不足以提供数据隐私,因为交易数据是公开的。可信执行环境(tee)可能存在硬件漏洞,并且缺乏对数据处理方式的可见性。结合区块链和加密技术或区块链和TEEs的混合方法为隐私保护提供了有前途的框架。作为参考,我们提供了一个软件实现,用户可以使用区块链和TEEs相结合的混合方法私下共享其地理位置数据的特性。

    结论:区块链技术和智能合约通过消除对可信方的依赖,并提供不可变的、可审计的数据处理工作流,使开发新的隐私保护特征工程方法成为可能。区块链与加密技术或区块链与安全硬件技术之间的重叠是解决重要数据隐私需求的有前途的领域。混合区块链和TEE框架目前为实现实验性隐私保护应用程序提供了实用工具。

    中国医学网络杂志2019;21(8):e13600

    doi: 10.2196/13600

    关键字

    隐私 机器学习 保密 数据收集 移动健康 工程特性 地理位置 区块链 聪明的合同 密码学 可信的执行环境


    背景

    新技术带来的数据隐私问题

    社交网络、智能手机、可穿戴设备和物联网(IoT)设备的出现,为大规模收集有关行为、生理和健康的个人数据提供了前所未有的途径。在考虑如何保护个人隐私时,这些技术的无所不在提出了新的挑战,有意或无意地泄露敏感和可识别信息的可能性已经增加。

    皮尤研究中心最近的一份报告发现,物理位置数据是最敏感的数据类型之一[1];然而,超过1000个流行的智能手机应用程序跟踪精确的位置数据,其中一些应用程序将这些数据出售给第三方,用于定向广告或分析。2].允许应用程序收集位置数据的提示很少反映数据将如何使用,具体细节隐藏在应用程序的隐私政策中。尽管定位公司声称收集的数据是用来分析总体模式,而不是个人身份,但员工和客户仍然可以访问原始数据,并可能在未经用户同意的情况下识别用户。主要的电信运营商出售用户位置数据,记者们已经证明,这些数据可以转售给一长串下游公司。这种数据生态系统缺乏监管,导致了销售用户位置数据的黑市[3.].

    一旦第三方收集了用户数据,就很难保证这些数据没有被滥用或不当处理。在2013年至2014年期间,剑桥分析公司收集了Facebook用户的社交媒体数据用于学术研究,但后来将这些数据用于政治广告[4].在过去十年中,重大数据泄露事件暴露了数十亿用户帐户[5].此外,还有一些恶意应用程序在未经用户同意的情况下直接暴露私人信息。6].监管工作,包括《一般数据保护条例》下的“被遗忘权”指令,旨在遏制这一趋势,以保护用户隐私[7].

    这些问题给生物医学研究人员带来了困难,这些研究本可以从方便、被动和纵向的数据收集方法中受益,以确定新的生物标志物并开发数字疗法。需要一种开放和可信的方法来与不可信的第三方共享数据,以确保(1)后验隐私,即个人数据不会在个人同意的研究之外共享;(2)数据仅用于研究的预期目的。

    在本文中,我们回顾了个人数据隐私保护技术的现状,其动机是医疗保健应用程序中的位置共享用例。我们沿着几个轴比较了隐私保护技术,包括研究团队所需的信任水平、技术的泛化性以及开放源码工具支持的可用性。我们的目的是提供一个务实的路线图,帮助研究人员在敏感个人数据的使用和处理方面做出明智的决定。我们为位置共享示例用例提供了一个参考软件实现,使用了其中一种用于隐私保护的技术。

    使用生物医学和位置数据在医疗保健中的预测建模

    智能手机的使用,特别是地理位置数据,对一些医疗保健应用来说是重要的。位置数据已经在健康领域的各种应用中得到应用,例如监测行为和环境风险因素[89],以改善疾病管理和提供治疗[10],并为药物滥用方面的公共卫生政策提供信息[11].在一个典型的例子中,研究人员发现,从全球定位系统(GPS;运动和地点)和手机使用(社会联系)与抑郁症的症状严重程度密切相关。智能手机工具的可用性为持续的被动评估提供了一个载体,有一天可能会增强临床精神药理学中当前的数据收集方法[12].然而,重要的是要强调,尽管地理位置数据对医疗保健研究很有价值,但它也是个人信息中最基本的敏感部分之一。

    工程特性

    特征工程是将原始数据转换为适合机器学习算法的表示的过程。例如,假设您正在构建一个系统来预测一个主要大都市地区两个地点之间的驾驶时间。您将得到包含日期、时间和前一年两个地点之间的驾驶时间的数据。原始日期数据(YYYY-MM-DD)不太可能对预测驾驶时间有用,但知道这一天是工作日还是周末可能非常有用。机器学习科学家可能会编写代码,如果日期是工作日,则返回true,如果日期是周末则返回false。新设计的布尔特征,工作日,编码了重要的领域知识——工作日的交通模式与周末不同——可能会提高机器学习模型预测的准确性。

    从历史上看,特征工程一直是一个人工过程,基于机器学习科学家的经验和领域专业知识[13].最近,自动从数据中学习特征表示的自动化系统,如稀疏编码和自动编码器,作为深度学习模型的基础,已经证明了良好的性能。在这里,我们描述了一个用于特征工程的框架,该框架保护了可识别数据的私密性,并且适用于手动或自动的特征工程过程。

    最小暴露特征工程

    我们的方法是基于最小曝光的前提;参与者应只透露研究所需的最少数据,研究人员应只收集研究所需的数据。分析管道的特征工程步骤提供了一个机会,通过将可识别的、敏感的或其他私人数据转换为未识别的或匿名的特征来限制暴露。这种特性工程的最小暴露方法创建了一个对参与者和研究人员都有利的框架。通过公开限制研究人员获取原始个人数据,参与者可能会更愿意分享他们的数据并为研究做出贡献。与此同时,通过减少用于维护安全数据服务器和限制暴露个人身份信息的资源,取消研究人员的数据访问可以简化和加快研究工作。在图1,我们说明了将原始数据和特征提取封装在安全环境中的方法,将其从主要对底层特征感兴趣的研究人员中移除。

    图1。特征工程的最小暴露方法,其中敏感的原始数据不暴露给第三方。例如,在安全环境中执行反向地理编码以提取位置类别,该类别可用于确定关于处方补充依从性的人口模型。
    查看此图
    对区块链数据隐私技术感兴趣

    在2018年6个月的时间里,医疗保健领域区块链项目的规模扩大了两倍,近150个项目筹集了超过6.6亿美元[14].医疗保健和生物医学区块链最常见的功能是数据和数字资产的管理(38%),其中包括身份管理、患者数据、卫生系统运营数据等[14].这表明,区块链技术更流行的应用之一围绕着这样一种想法:个人可能希望控制他们的数据,以感觉他们的隐私和数据更安全。

    区块链由不关联的计算机(节点)组成的分布式网络组成,这些计算机维护使用加密协议验证的不可变交易记录。区块链网络进一步被定义为公共、私有或联盟网络,这取决于谁可以参与网络,以及交易是如何验证的。在公共区块链中,交易是经过验证的,并且全局状态为真理(分布式账本)由不可靠的网络。一个不可靠的网络是指具有共识协议的去中心化网络。共识协议通过公钥密码学、博弈论和加密经济学(数字货币)激励机制,以及计算复杂性,结合了发送方的真实性,以确保诚实的节点得到奖励,不诚实的节点受到惩罚,以维持规范的真理。通过使每个交易可审计和无权限,公共区块链确保了数据完整性、信任和可验证性。

    区块链技术的进步使部署基于规则的、自动执行的软件代码成为可能,称为智能合约。智能合约通过充当预定义的仲裁者来消除对中介机构的需求。此外,智能合约是不可变的,并且在合约代码公开时可以公开验证。智能合约与a的结合不可靠的环境消除了对负责管理私人数据的可信第三方的需求。这些特征使得智能合约与本研究特别相关。

    本研究的目的

    本研究的目的是检查和比较目前的隐私保护方法,基于他们的能力来维护个人共享数据的隐私。基于第三方所要求的信任水平,以及实现这些技术框架作为特征工程步骤的实用性,对方法进行了比较。这项研究还旨在确定研究人员和软件开发人员在构建与保护数据隐私有关的应用程序时可以使用的更有前途的技术。

    考试是根据从个体参与者收集位置数据的实际用例设置的,从中可以提取与健康相关的有趣特征。为了使研究人员能够尽可能地访问这个示例,我们提供了一个开源软件项目,该项目实现了位置共享用例中所检查的技术之一。


    主要的结果

    本研究的主要结果如下:

    1. 定义一组属性,在这些属性上评估每种方法的隐私保护属性。
    2. 基于地理定位特征工程用例,对每种方法的隐私保护特性进行定性比较。
    3. 一个概念验证软件实现,用于从GPS坐标数据中提取位置类别,同时使用更实用的区块链技术之一保持隐私。

    文献综述

    我们对文献、与医疗保健相关的区块链用例进行了回顾,并在Web上应用了区块链项目。这些技术是通过电子数据库(谷歌Scholar和PubMed)和搜索引擎(谷歌)结果中的关键字搜索确定的。关键词是隐私区块链deidentification,隐私特征工程.搜索时(2019年1月)的结果包括以各种格式描述的方法,包括同行评审期刊上的4篇学术论文、会议论文集上的6篇学术论文、2篇文献和产品调查、1篇博士论文、7篇科学期刊预印本、11篇产品规格和1篇学术演讲材料。

    这些技术分为以下几类:(1)依赖于可信第三方的方法,(2)加密方法,(3)可信执行环境(TEE),以及(4)结合区块链的方法。其中包含了关于这些技术的现有实现的示例多媒体附件115-43].

    评估属性

    资料私隐法例[44-46]就数据隐私可能受到损害的几个维度提供监管视角。表1总结了一些关键的监管原则。

    这些监管指南明确指出,数据隐私高度依赖于受信任组织的责任,以及他们所实现的技术的能力。我们预测,未来的数据共享系统将由这些隐私准则提供信息,并且评估隐私保护技术的框架应该与这些准则相对应。在本文中,每种隐私保护方法都基于以下属性进行评估:

    1. 对第三方的信任程度,因为以下原因:
      • 第三方对原始数据的访问
      • 数据使用的参与者可见性
      • 第三方重用数据的能力
      • 集中化和单点信任
      • 潜在的安全漏洞
    2. 该技术的广泛性和实现实用性:
      • 计算或通信复杂性
      • 实现的复杂性
      • 开发人员工具的可用性
      • 开放源码工具支持的可用性
    表1。欧盟和美国的数据隐私法。
    来源及指引 总结了文本
    通用数据保护条例第5条

    		“数据最小化” 个人资料收集只限于必要范围内

    		“合法、公平、透明” 我们以透明的方式处理个人资料

    		“限制目的” 个人数据的收集有明确的目的,进一步的处理坚持最初的目的

    		“问责制” 第三方有责任遵守隐私法

    		“诚信和保密” 个人数据得到安全处理,并有防止未经授权使用的保护措施
    健康保险携带和责任法案隐私规则

    		限制谁可以查看和共享个人健康信息 未经个人同意,不得将健康信息用于与提供健康治疗不直接相关的目的(例外)
    促进经济和临床健康的卫生信息技术法案

    		数字健康信息的数据安全 电子医疗记录必须得到保护,数据泄露必须报告

    地理定位用例描述

    像大多数复杂的数据类型一样,GPS数据通常在通过特征工程用于分析之前进行转换。有两大类地理定位特征是目前大多数地理定位数据的医疗保健研究应用的基础。

    统计描述符

    他们从原始GPS数据中计算出汇总统计数据。例如,一天中旅行的总距离,访问地点数量的方差,以及旅行半径。

    语义描述符

    他们将GPS数据与第三方地理空间信息系统相结合,以确定位置类型,如图书馆、健身房、礼拜堂或广泛的位置主题(例如,由人口普查数据定义的高犯罪率社区)。

    使用地理定位特性的一些应用程序用例示例包括替换活动监控任务[8-1047-49],从而触发即时干预[104950],以及获得卫生服务的机会[1151].包含区块链的地理空间应用程序包括物联网设备的管理、众包数据收集和应急响应[52].

    参考地理定位特征提取将在结果和讨论部分进行,以实际用例作为调查的基础,同时评估保护隐私的不同方法。


    可信的第三方方法

    在传统的生物医学研究环境中,人体受试者的保护由研究机构的机构审查委员会(IRB)管理。IRB的作用是证明研究对象被告知参与研究的风险,数据安全准则得到遵守,风险和保障措施得到明确概述和缓解。在这种模式下,研究机构作为受信任的第三方,有责任保护患者数据隐私。然而,由智能手机技术、生物传感器和大型数据集的常规收集所实现的新形式的研究正在改变研究的性质,并使传统的过程变得紧张,即单个机构可以充当受信任的第三方[53].在接下来的章节中,我们将介绍两种依赖可信第三方的传统隐私保护方法。

    服务器端Deidentification

    用于研究的典型服务器端数据收集管道将从客户端应用程序中摄取原始参与者数据,并结合加密、访问控制、去识别过程或一些其他方法,以确保原始数据不会被不负责任地公开。这种方法易于实现,并且可以让研究团队严格控制特性工程管道。软件更新可以在服务器端进行,而不需要强制用户更新客户端。然而,必须高度信任研究团队,因为私人数据在管道的几个阶段被暴露(图2).

    图2。服务器端去识别:(1)特征提取和分析过程中可能暴露原始数据[54],(2)数据访问控制是集中控制和可变的,因此对如何使用数据没有严格的强制执行,(3)去识别程序通常是一次性使用的自定义软件实现,不太可能是开源的,也不太可能被认证为彻底和安全的。就全球定位系统位置数据而言,原始数据本身有时可以与外部数据来源(如社交媒体)相结合,以识别个人[55-57].安全存储和去识别用灰色突出显示,以指示数据管道中需要信任处理私有数据的步骤。
    查看此图
    客户端特征提取

    部署在设备上维护原始数据并在本地执行特征提取的软件是另一种可行的隐私保护方法,并且越来越成为智能手机上收集数据的黄金标准。对设备上的数据进行本地化,以便只有参与者可以访问它,从而消除了第三方可能暴露、误用或重新使用原始数据的风险,但这依赖于所安装软件的完整性(图3).

    图3。客户端特征提取,其中已安装的软件以灰色突出显示,以表明需要某种程度的信任,以确保软件的安全和诚实:(1)参与者必须维护软件的更新版本,以便功能工程是适当和安全的;(2)参与者必须信任软件开发人员或软件验证者,已安装的应用程序正在按预期执行。开源软件可以提高可见性,并提供更强的数据隐私保障,但实际上需要额外的安全验证。
    查看此图

    加密技术

    代理Re-Encryption

    代理再加密(PRE)是公钥加密中的一种技术,它允许代理将加密数据的解密访问权从一方委托给另一方(图4).PRE的一个重要特征是代理不了解任何关于加密数据内容的信息。因此,它是一种强大的数据访问控制技术。

    然而,由于数据访问控制不提供后验隐私机制,PRE在隐私保护特征工程中的应用受到了限制。这仍然需要信任研究团队能够安全、诚实地管理解密数据。

    图4。参与者可以通过代理重加密的方式向研究员提供解密权限。研究人员仍然必须负责数据的安全存储和去识别,以及之后的隐私。
    查看此图
    安全多方计算

    多方计算(MPC)是一类加密协议,它模拟由受信任方评估的计算,但在几个方之间分配信任(图5).MPC最适合于特征工程问题,这些问题是根据聚合数据而不是单个参与者的数据计算结果。此外,MPC在通信(各方之间)方面受到了指数级的影响,这限制了性能。

    一些实现使用MPC协议处理私有数据共享,并试图通过支持分布式存储架构来进一步降低安全风险。然而,这些分布式系统通常受到节点数量的限制,并由单个组织(即单信任点)管理。理论上,单个信任点可以有一个议程,并对分布式网络中的每个节点施加一定程度的控制。但是,如果所有节点都由一个组织控制,那么该组织访问私有用户数据是可行的。

    使用计算方的分布式网络背后的原则是没有单一的信任点,这是在检查区块链方法时将重新考虑的一个重要原则。

    图5。利用多方计算在多方之间分配信任。在一种多方计算中,私有数据可以被分解成秘密共享并存储在多个计算节点上;只有使用所有(或大部分)秘密共享才能重建私有数据。如图所示,这缓解了数据安全存储的问题,但在重构数据后却不能保护数据。重建单个参与者的私人数据时仍然需要信任,并以灰色突出显示。
    查看此图
    同态加密

    同态加密(HE)是一种加密形式,其中对加密数据的计算将产生与在加密之前对未加密数据执行计算相同的结果。这可以形式化,如图所示图6.高等教育有不同的方案,包括部分高等教育和完全高等教育;部分同态加密(partial homomorphic encryption, PHE)是指可以对加密数据执行一个或多个操作并保持同态特性,而完全同态加密(fully homomorphic encryption, FHE)则可以进行任意计算。从隐私保护的角度来看,HE是强大的,因为参与者可以保持对数据的独家所有权,但潜在地限制了特征提取的可行性(图7).

    图6。说明同态加密性质的方程,其中E(x)表示数据x的加密。
    查看此图
    图7。典型的客户机-服务器同态加密(HE)管道。原始数据所有权在客户端维护,但其他方无法访问。HE对于特性工程用例是有限的,因为它需要将解密作为最后一步。如果研究人员能够解密步骤5中的特征数据,那么他们也有能力解密步骤1中的原始敏感数据。
    查看此图

    在数据共享上下文中,当加密的数据向量本身就是一个有趣的特征时,HE可能适合用于特征提取的特定用例。当不需要来自各个参与者的特征,并且可以在加密域中聚合数据时,保护隐私的特征提取也具有更广泛的适用性。然而,在目前的情况下,HE的适用性并不适合通用特征工程,它取决于数据的性质和特征提取的性质。例如,从GPS坐标解析位置类型是不可计算的,而是查找函数的结果。他不会为这种计划服务。

    采用HE的另一个主要障碍是处理加密数据的计算复杂性增加,导致处理时间非常长。PHE无法实现复杂的计算,而FHE的计算性能非常低[17].这使得除了最简单的操作外,所有的HE操作都不切实际。

    零知识证明

    零知识证明(ZKP)是一种加密方法验证说服一个验证器一些数学陈述是真还是假,而不透露任何潜在的数据。zkp内置了隐私保护,使其成为处理私有数据的强大方法。

    zkp可以根据需要证明的两种陈述进一步分类零知识:关于事实的陈述(例如,一个参与者的GPS坐标对应于一个医院)和有关知识的陈述(例如,参与者的GPS坐标是已知的)[19].后一种是知识的ZKP,是ZKP最常见的应用,即识别和身份验证(例如,密码身份验证)。然而,在特征工程的上下文中,提取相关元数据的是前一种类型的问题。

    ZKP概念紧密地反映了中描述的最小公开框架图1.为了处理地理位置特征提取用例,数据管道如图所示图8可以实施。

    图8。将全球定位系统(GPS)坐标隐藏在简单的零知识证明(ZKP)实现之后。实际上,这看起来像一个简单的黑盒,其中ZKP是一个子例程,执行特征提取,而不向研究人员透露原始的GPS坐标。例如,这个子例程可以包括实现一个将GPS坐标映射到位置类别的查找表。挑战在于该子例程的仔细实现和渗透性,以确保数据的安全性(灰色突出显示)。恶意的一方不应该能够通过尝试多个输入的排除过程来识别参与者的GPS坐标。类似的情况是试图通过暴力破解密码。
    查看此图

    由于zkp更广泛地对应于各种各样的技术,因此很难将其概括地推荐给一般的特征提取问题,而是应该根据具体情况进行评估。此外,一些常见的挑战包括实现和计算复杂性。有时,他们仍然需要一个可信的第三方来证明一份声明。58].我们认为,zkp具有作为隐私保护协议的构建模块的潜力,但目前是一个活跃的研究领域[59],而不是一个实用的、易于使用的实现工具。

    可信执行环境

    TEE(也称为安全硬件飞地)是现代处理器中的一种芯片级硬件设计,可以对机密数据进行隔离执行。图9说明了TEEs如何封装私有原始数据而不暴露给研究人员。tee的一个主要好处是它们与本机计算相比几乎没有性能开销,这使得它们适用于广泛的应用程序[25],同时保证恶意应用程序无法篡改在安全enclave上运行的计算。

    在使用tee时,一个重要的考虑因素是可能被利用的硬件漏洞的真实风险。2018年初,据报道,现代商业处理器中的硬件漏洞可以将私人数据暴露给流氓进程(Meltdown)或对执行分支预测的处理器的攻击(Spectre) [61].另一个漏洞(预示)明确影响英特尔SGX处理器[62,这不禁让人质疑一个安全的飞地究竟能有多可靠。为了解决这些问题,新兴的开源TEE项目认为,通过商业设计中的模糊性来实现安全性是不够的,社区驱动的开放安全性将导致更可靠的设计[25].

    对tee在数据隐私方面的另一个批评是,实际应用程序可能只使用一个或几个tee,这些tee集中管理数据。其想法是,“要求所有参与者在全球范围内信任一个或几个(TEE)处理器仍然是一个非常强大的假设”[63].为了解决这一限制,出现了一些将区块链与tee结合起来以分散计算节点网络的项目。这种方法将在下一节区块链方法中进一步讨论。

    图9。一个可信的执行环境(TEE;灰色突出显示)通过封装提供数据隐私。安全特性包括内存隔离、内存加密、隔离架构和安全密钥供应。一个远程认证过程,以验证程序的正确执行,并提供来源证明[60].在tee中仍然需要一定程度的信任(用灰色突出显示),因为存在硬件利用的风险。
    查看此图

    区块链方法

    私有和联盟区块链

    私有和联盟区块链网络限制谁可以参与网络,通常通过创建由高度可信实体管理的访问控制。通常,还会包含额外的规则来创建权限系统,控制哪些节点可以验证交易,并使交易数据对相关各方私有。最后一个原因在以隐私为中心的数据共享上下文中特别有吸引力,但它的代价是要信任私有网络的维护者。然而,使公共区块链如此吸引人的相同特征——由加密经济激励保护的无信任、去中心化的网络状态——在私有区块链中缺失,并在中得到说明图10

    图10。私有区块链,它代表一个安全的数据环境,但需要与其他集中式技术类似的信任(参与者同意发布数据,可信方)。因此,整个私有区块链网络以灰色突出显示。
    查看此图
    公共区块链智能合约

    公共区块链上的智能合约是小型的模块化软件,一旦部署到网络上就无法更改。这对于隐私保护软件来说是一种有利的品质,因为智能合约的用户可以保证他们的数据总是以相同的方式处理。当智能合约代码公开时,部署的智能合约的功能是可验证的。

    然而,在考虑传统的公共区块链(如以太坊)进行数据共享时,第一个重要的承认应该是上传到公共区块链的输入数据是公开可见的,并被永久记录。这使得所有资金发送者和接收者、所有交易数据以及每个合同变量的状态对任何观察者都是可见的,如图所示图11

    一种观点认为,区块链提供了隐私,因为数据交易的发起者和接收者仅由随机生成的账户地址描述。因此,如果参与者为每笔交易生成新的地址,那么匿名是可能的。然而,网络跟踪器已经表明,通过分析交易可以使用户去匿名化。64],对于某些敏感数据,例如GPS坐标,通过与其他可用的结构化数据(例如来自社交媒体的数据)进行比较,有可能重新识别出大部分用户[3355-57].

    图11。公共区块链实现,其中事务数据是公共的。整个网络以灰色突出显示,表示数据暴露。标准的解决办法是确保记录的任何敏感数据都是加密的。因此,在智能合约上运行特征提取通常是不切实际的,并且需要在需要信任的中央服务器上进行一些链下计算。
    查看此图
    包含零知识证明的隐私保护区块链

    将zkp与公共区块链结合在一起的吸引力在于,在保持区块链的好处的同时实现数据隐私:没有单点信任和交易的不可变性。这种技术的一种实现引起了公众的注意,即能够隐藏加密货币交易的来源、目的地和金额[183435].

    在区块链上扩展zkp以包括智能合约逻辑的想法将是保护隐私、不可信应用程序的强大催化剂。一个叫Hawk的提议33]使用zkp验证交易,并在链下执行私人智能合约。不幸的是,Hawk不能保证事后的隐私,因为它依赖于最低程度信任的管理人员,在交易期间不会泄露敏感数据,但在交易完成后也不提供任何保证。此外,Hawk的论文还没有变成可用的软件版本。同样,也没有描述以太坊上的私人智能合约是否以及何时在不久的将来可用的细节。

    在区块链上下文中,ZKP计算复杂度的限制加剧了,这要求在分布式规模上部署该技术。区块链上的ZKPs是一个活跃的研究领域,在这种情况下暂时无法实现私有数据共享和功能工程。使用zkp与区块链智能合约共享GPS坐标数据的应用程序将不得不等待技术的发展。

    包含可信执行环境的隐私保护区块链

    为了鼓励减少数据孤岛,混合tee和区块链智能合约的平台正在出现。这种方法具有模块化、不可变软件和隔离计算环境的优点,因此数据管道是透明和安全的。该技术说明在图12

    然而,这种方法仍然取决于底层TEE硬件的安全性及其漏洞。结合区块链和tee的平台是新技术,本质上是实验性的,因此潜在的安全威胁仍有待发现。

    这种方法还在实现的实用性和可访问性方面提供了好处。绿洲[32]和Enigma [36]项目是开发人员友好的,发布文档、教程和测试网,用于开发和部署应用程序。

    图12。区块链,它在可信执行环境(tee)上集成了用于特征提取的机密智能合约。与单个tee类似,硬件漏洞的风险也不应被忽视。
    查看此图

    位置共享用例的软件实现

    在本文中,在比较隐私保护技术时,采用的两个评价标准是可推广性和实现的实用性。为了进一步评估我们的发现,即混合区块链- tee技术为开发隐私保护软件提供了一个实用的平台,我们实现了一个概念验证软件应用程序,解决了框架本文的位置共享用例。本用例基于这样的场景:研究参与者与第三方研究团队共享有关其位置数据的有用特征,而不透露其原始GPS坐标。

    实现包括以下内容:

    1. 部署在Oasis Devnet上的智能合约。
    2. 智能手机(iOS)应用程序,具有图形用户界面,供参与者和第三方与智能合约交互。

    Oasis Devnet上的保密智能合约支持私有交易数据和私有智能合约状态(表2),用以为参加者保密,并可隐藏参加者的原始地理位置资料。Oasis Devnet管理每会话加密密钥,用于加密客户端和智能合约实例之间的通信,这样其他人就无法查看未加密的交易数据[65].

    图13演示用户与已部署智能合约的交互。该合同为参与者提供了一种公开可访问的方法,以发布他们带有时间戳的位置数据。通过在智能合约状态下维护参与者钱包地址和参与者标识符之间的私有映射,参与者身份是保密的。

    智能合约还为第三方提供了一种公开可访问的方法,以注册具有预定位置类别的地理坐标(即,医院健身房,或药店).第三方可以查询智能合约,查看参与者对位置类别的访问情况。例如,这些数据可以用来建立一个参与者访问注册药店的模型。

    表2。Oasis Devnet上的信息可见性。
    可见性 信息
    公共
    • 交易发送地址(即参与者钱包地址和第三方钱包地址)
    • 交易接收地址(即智能合约地址)
    • 交易价值交易(即金额)DEV, Oasis Devnet代币用于为交易提供资金)
    私人
    • 事务参数数据(即原始GPS一个协调数据)
    • 事务结果数据(即返回的特征数据)
    • 由事务调用的方法名(例如,“postParticipantLocation”)
    • 智能合约状态(即,参与者钱包地址到参与者ID的映射)
    • 事件数据(未用于此原型;事件(日志)可以在响应事务时发出)

    一个GPS:全球定位系统。
    图13。将解决位置共享用例的概念验证软件应用程序的实现。通过标识符im识别的参与者将(1)使用他们的iOS设备发布他们的原始识别位置数据dm,n,以及各自的时间戳tm,n。第三方,从另一个iOS设备,能够(2)发布原始位置数据,dz,与相应的功能,fz。例如,位置的类别(如字符串“医院”或“药房”)等特性。如果参与者发布的位置数据dm,n与第三方发布的位置数据dz相匹配,则参与者各自的时间戳tm,n将映射到各自的特征fz。参与者在任何时候都可以(3)将他们之前发布的时间戳tm,0…tm,n和相关功能fm,0…fm,n的共享权限sm设置给第三方。参与者还能够(4)获得他们之前发布的所有时间戳,tm,0…tm,n,以及相关的特征,fm,0…fm,n。第三方也能够(5)获得这些相同的时间戳,tm,0…tm,n,以及相关的特征,fm,0…fm,n当且仅当参与者已授予权限时,sm=true。
    查看此图

    智能合约目前作为传统智能合约部署在Oasis Devnet上,而不是作为保密聪明的合同。只有保密智能合约在tee上运行,并维护智能合约状态值和交易数据的隐私。但是,用于从iOS智能手机应用程序部署智能合约的库(web3swift)还不支持保密在撰写本文时,智能合约部署到Oasis Devnet。我们计划在不久的将来,当web3swift库支持可用时,实现对它的支持。

    此外,我们希望这个概念验证软件可以作为未来对特征工程用例隐私保护感兴趣的研究的起点。关于软件设计、开发堆栈、实现和权衡的更多细节在目前正在审查的教程手稿中描述[66].该软件源代码可在GitHub的HD2i/GeolocationSmartContract上公开获取[67]及HD2i/Geolocation-iOS [68].有关使用的全部细节都包含在软件中。


    隐私保护方法的比较

    我们发现,依靠可信第三方来保护参与者数据的传统方法通常无法完全保证敏感数据不会被用于意想不到的目的。参与者必须对使用服务器端去识别程序并自己维护数据仓库的研究人员提供高度信任。过去十年中,集中式服务器上发生的大量数据泄露事件表明,负责任的问题应该是问自己,私人信息何时会暴露,而不是是否会暴露。为了解决这个问题,研究人员应该尽量限制原始数据的曝光。一种有效的方法是在每个参与者控制下的个人设备上执行客户端特征提取,例如个人智能手机或私人数据服务器。这种方法的主要缺点是研究人员在开发安全、经过验证的软件时负担很大;与此同时,参与者仍然需要相信软件只收集预期的数据,并且没有其他数据收集程序只在隐私政策的细则中描述。

    有几种复杂的加密技术提供了隐私保护方法,这是一个活跃的研究领域。PRE可用于对加密数据的访问控制,但它不能保证后验隐私。安全MPC在从两方或多方收集加密数据并计算汇总结果时,不需要可信的第三方。然而,与性能相关的实际实现依赖于由一方管理的少量计算节点,这需要对操作员、软件和计算节点的安全性进行信任。HE被认为是隐私保护方法的圣杯,在这种方法下,可以对加密空间中的私有数据执行计算。然而,很少有加密数据可以用作特性的用例,或者应用程序受到计算性能的限制。zkp是一种广泛的加密技术,它提供了强大的数据隐私保障,但需要针对特定的应用程序进行评估。从表面上看,它们可以用于身份验证,但其他应用程序通常会导致实现和计算的复杂性。

    计算硬件的进步通过tee的设计实现了隐私保护。这些芯片级设计创建了一个隔离的内存空间,可以对敏感数据进行计算。然而,与软件数据泄露一样,很难保证硬件漏洞不会被利用。此外,参与者仍然必须相信TEE计算节点上运行的软件就是所发布的软件。

    前三种方法都有一个共同的元素:特征提取运行在由可信第三方管理的集中式服务器或计算节点上。尽管一些方法提供了更高级别的数据安全性,但在可见性方面仍然存在缺陷。参与者必须相信第三方正在做它所说的事情,而不是别的。这就是区块链技术提供独特优势的地方。

    区块链提供了一个无信任的环境,通过运行在一个去中心化的网络上,不受加密经济激励的篡改,具有可见性和不可变性。此外,它们还提供了作为不可变软件(智能合约)的独特好处,如果合约代码公开,可以验证它是否完全按照承诺的方式执行。当然,这只能在公共区块链中得到保证,在公共区块链中,私人或联盟区块链倾向于合并可信方,并且更加集中。不幸的是,区块链是为了安全和数据完整性而设计的,而不是为了数据隐私。

    加密技术和tee与区块链的组合解决了单点信任弱点,并为可信赖的隐私保护平台提供了最高潜力。两种有前景的混合产品是包含zkp的区块链和包含tee的区块链。与ZKPs合作的区块链已经成功地提供了加密货币的交易隐私,但在智能合约数据隐私方面还没有发展到相同的水平。带tee的区块链是一种正在开发中的技术,但它已经达到了一个成熟的水平,开发人员可以开始在这些平台上开发和部署真正的应用程序。当然,这些平台上潜在的硬件漏洞并不是理想的方法;然而,在像FHE这样的加密方法能够大规模广泛应用之前,带有TEEs的区块链似乎是目前可用的最佳方法。此外,我们发现健壮的开发人员文档和工具是可用的,这使得这种方法也可用于产品实现。我们针对地理位置用例的软件实现在一定程度上受到了Oasis平台提供的实用方向和开发人员支持的鼓励,并说明了隐私保护方法今天在非生产开发人员网络上是可实现的。然而,需要强调的是,在提交本文时,带有TEE开发者网络的区块链还处于实验阶段,应该采取保守的方法。

    表3总结了我们的发现,并尝试从质量上比较每种方法必须在其他实体中放置多少信任。此外,还定义了每种方法的实用性(基于实现和计算复杂度)的粗略指示。还确定了每种方法的实际实现或开发项目的示例;中提供了更详细的信息多媒体附件1.最后,总结了每种方法的主要局限性。

    表3。比较可信第三方、密码学和区块链方法的数据隐私研究。
    方法 信任程度 实用性 限制 例子
    服务器端deidentification 媒介 集中的;易受数据重用和数据泄露的影响;不可见性 Strava GPS一个设备
    客户端特征提取 媒介 媒介 不可见性 苹果设备预测键盘;开放PDS / SafeAnswers
    代理re-encryption 仅用于数据访问控制;易受数据重用和数据泄露的影响 NuCypher pyUmbral
    多方计算 媒介 具体用例;集中的;不可见性;沟通的复杂性 Jana, Sharemind, Partisia, Sepior
    同态加密 操作受限或性能极低 NuCypher nuFHE
    零知识证明(ZKP) 具体用例;集中的;不可见性;实现和计算复杂度 zk-SNARK
    可信执行环境(TEE) 媒介 可能存在硬件漏洞;不可见性 Intel SGX, ARM TrustZone, Keystone Project
    私人或财团区块链 媒介 媒介 Pseudocentralized;取决于设计 Hyperledger织物
    公共区块链智能合约 媒介 仅用于数据访问控制 Ethereum
    公共区块链与zkp 概念验证,没有可用的软件版本 ZCash,鹰
    公共区块链与TEE 最低 媒介 可能存在硬件或其他漏洞;nonproduction阶段 谜,绿洲

    一个GPS:全球定位系统。

    限制

    在关于最小暴露特征工程的介绍部分中,我们确定了分析管道中的特征工程步骤提供了限制暴露和删除可识别特征的机会。尽管我们提倡这一框架以尽可能减少私人数据的暴露,但我们认识到并非所有的特征工程问题都可以去识别。在这些情况下,我们建议采取数据安全保护措施,包括加密和安全服务器。

    在公共区块链网络上的交易有固有的成本,参与交易的各方必须用加密货币支付。这一财务成本有多大,取决于加密货币的价值和任何给定时间的网络拥塞,因此这里没有提供可量化的金额。对于实际实现来说,成本可能是一个重要的考虑因素,但我们的重点是确定维护隐私的方法。

    当向任何互联网连接的网络(包括公共区块链)发布交易时,一个合理的担忧是参与者会透露他们的互联网协议(IP)地址,这本身就是一个识别信息。解决这个问题的一个方法是实现一个互联网请求代理(例如,Tor软件的瘦客户端),它可以中继互联网流量来隐藏用户的位置和使用情况[69].但是,作者还没有实现这个特性,这将留给将来的工作。

    结论

    我们相信,区块链技术正在推动数据隐私的边界向前发展。不可变智能合约解决了在集中式服务器的单点信任上运行的隐私保护协议的基本限制。随着不同的加密和软件技术与区块链重叠,更强的隐私保障成为可能。特别是,我们认为区块链与TEEs的结合似乎是一种实用且具有前瞻性的隐私保护功能工程方法。这一结论得到了我们在混合区块链- tee开发平台上开发和部署的概念验证私有地理位置数据共享软件的支持。然而,没有一个系统是完全没有漏洞的,在与高度敏感的私人数据(如GPS坐标或其他生物医学数据)交互时,应该进行彻底的测试。

    致谢

    这项工作得到了西奈山伊坎医学院下一代医疗保健研究所的支持,并得到了哈里斯家族慈善基金会(给JTD)的捐赠。

    利益冲突

    没有宣布。

    多媒体附件1

    现有隐私保护技术的例子。

    PDF档案(adobepdf档案),275KB
    1. 皮尤研究中心,2014。社会安全号码、健康信息和电话对话是最敏感的数据http://www.pewinternet.org/2014/11/12/public-privacy-perceptions/pi_2014-11-12_privacy-perceptions_16/[访问日期:2019-02-01][WebCite缓存
    2. 华伦天奴-德弗里J,辛格N,凯勒MH,克洛里克A.纽约时报。2018。你的应用程序知道你昨晚在哪里,他们没有保密https://www.nytimes.com/interactive/2018/12/10/business/location-data-privacy-apps.html[访问日期:2019-01-31][WebCite缓存
    3. Cox J. Vice传媒,2019。我给了赏金猎人300美元。然后他定位了我们的手机网址:https://motherboard.vice.com/en_us/article/nepxbz/i-gave-a-bounty-hunter-300-dollars-located-phone-microbilt-zumigo-tmobile[访问日期:2019-01-31][WebCite缓存
    4. 卡德瓦拉德C,格雷厄姆-哈里森e,卫报,2018。剑桥分析公司在重大数据泄露中获取了5000万Facebook个人资料https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election[访问日期:2019-01-31][WebCite缓存
    5. 武装T. CSO。2018.21世纪最大的18个数据泄露事件https://www.csoonline.com/article/2130877/data-breach/the-biggest-data-breaches-of-the-21st-century.html[访问日期:2019-01-31][WebCite缓存
    6. 周勇,张旭,姜旭,傅伟民。驯服窃取信息的智能手机应用程序(Android)。第四届信任与可信赖计算国际会议论文集。2011年发表于:Trust '11;2011年6月22日至24日;网址:宾夕法尼亚州匹兹堡93-107页https://dl.acm.org/citation.cfm?id=2022255
    7. 欧盟委员会,2016。欧盟数据保护:基本权利https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en[访问日期:2019-01-31][WebCite缓存
    8. 张敏,张志刚,张志刚,张志刚,张志刚。手机传感器与日常生活行为中抑郁症状严重程度相关:一项探索性研究。J Med Internet Res 2015 july 15;17(7):e175 [免费全文] [CrossRef] [Medline
    9. 萨诺A,皮卡德RW。利用可穿戴传感器和移动电话进行压力识别。2013年情感计算与智能交互人类协会会议论文集,2013年发表于:ACII'13;2013年9月2-5日;瑞士日内瓦,第671-676页。[CrossRef
    10. Müller AM, Blandford A, Yardley L.减少老年人久坐行为的即时适应性干预(JITAI)的概念。移动健康2017;3:37 [免费全文] [CrossRef] [Medline
    11. Bertz JW, Epstein DH, Preston KL.将生态瞬时评估与物质使用研究中行为和生理的客观、动态测量相结合。瘾君子行为2018年12月83:5-17。[CrossRef] [Medline
    12. 莫斯科维茨DS,杨SN。生态瞬时评估:它是什么,为什么它是临床精神药理学的未来方法。中华精神病学杂志2006 Jan;31(1):13-20 [免费全文] [CrossRef] [Medline
    13. Anderson M, Antenucci D, Bittorf V, Burgess M, Cafarella M, Kumar A,等。洗脑:特征工程的数据系统。载于:创新数据系统研究会议论文集。2013年发表于:CIDR'13;2013年1月6日至9日;Asilomar, CA,美国。
    14. 科拉沃斯A,齐默尔曼N.统计-来自健康和医学前沿的报告。2018。生物医学和医疗保健领域的区块链即将到来。买方:Be Informed网址:https://www.statnews.com/2018/07/25/blockchains-biomedicine-health-care-buyer-be-informed/[访问日期:2019-01-31][WebCite缓存
    15. Gentry C.应用密码学小组|斯坦福大学。2009。一个完全同态加密方案https://crypto.stanford.edu/craig/craig-thesis.pdf
    16. Streit S, Streit B, Suffian S. arXiv。2017.支持隐私的生物特征搜索网址:https://arxiv.org/abs/1708.04726
    17. 何志伟,王志强,王志强。2017.CryptoDL:基于加密数据的深度神经网络https://arxiv.org/abs/1711.05189
    18. 张志刚,张志刚,张志刚,等。零现金:来自比特币的去中心化匿名支付。在:IEEE安全与隐私研讨会论文集。2014年发表于:IEEE'14;2014年5月18-21日;美国加州圣何塞,第459-474页。[CrossRef
    19. 格林。M.密码工程博客。2017。零知识证明:插图入门,第2部分https://blog.cryptographyengineering.com/2017/01/21/zero-knowledge-proofs-an-illustrated-primer-part-2/[访问2019-05-01][WebCite缓存
    20. NuFHE。2019.NuFHE,一个gpu驱动的Torus FHE实现URL:https://nufhe.readthedocs.io/en/latest/[访问日期:2019-01-31][WebCite缓存
    21. 张志刚,张志刚,张志刚,张志刚,等。密码学电子打印档案。2018。从密钥到数据库-安全多方计算的实际应用https://eprint.iacr.org/2018/450.pdf[访问日期:2019-01-31][WebCite缓存
    22. 王志强,王志强,王志强。基于分布式存储的代理重加密方案。Acm T Inform Syst Se 2006 Feb 1;9(1):1-30。[CrossRef
    23. 密码学电子打印档案。2017。用于实际撤销和密钥旋转的高效混合代理重新加密https://eprint.iacr.org/2017/833.pdf[访问日期:2019-01-31][WebCite缓存
    24. Nuñez D. GitHub。2018.Umbral:阈值代理重加密方案https://raw.githubusercontent.com/nucypher/umbral-doc/master/umbral-doc.pdf[访问日期:2019-02-01][WebCite缓存
    25. 梯形飞地。URL:https://keystone-enclave.org/[访问日期:2019-02-01][WebCite缓存
    26. 英特尔®软件,2017。介绍Intel Software Guard扩展(Intel SGX)https://software.intel.com/sites/default/files/managed/81/61/intel-sgx-webinar.pdf[访问日期:2019-02-01][WebCite缓存
    27. Arm开发人员。Arm TrustZone简介https://developer.arm.com/technologies/trustzone[访问日期:2019-02-01][WebCite缓存
    28. 陈峰,王超,戴伟,姜旭,Mohammed N, Al Aziz MM,等。预兆:通过软件保护扩展保护隐私的基因检测。BMC Med Genomics 2017 12月26日;10(增刊2):48 [免费全文] [CrossRef] [Medline
    29. 戴伟,邓娟,王强,崔超,邹东,金华。基于trustzone的安全区块链轻量级钱包。IEEE Access 2018 july 17;6:40638-40648。[CrossRef
    30. 蔡金德,吴国强,吴国强。2015.Enigma:具有保证隐私的去中心化计算平台https://arxiv.org/abs/1506.03471
    31. 程锐,张峰,何伟,何卫东,张志强,等。2018.Ekiden:保密、可信、高效的智能合约执行平台https://arxiv.org/abs/1804.05141v5
    32. 绿洲文档。Oasis Overview网址:https://docs.oasiscloud.io/en/latest/overview/WebCite缓存
    33. 曹军。基于多位置信息的移动轨迹去匿名化研究。见:2017年通信与网络安全会议论文集,发表于:CNS'17;2017年10月9日至11日;美国内华达州拉斯维加斯。[CrossRef
    34. Ethereum团队。Ethereum》2017。拜占庭高频公告网址:https://blog.ethereum.org/2017/10/12/byzantium-hf-announcement/[访问日期:2019-02-01][WebCite缓存
    35. 奥利里RR。CoinDesk。2017.以太坊的拜占庭测试网刚刚验证了一个私人交易URL:https://www.coindesk.com/ethereums-byzantium-testnet-just-verified-private-transaction[访问日期:2019-02-01][WebCite缓存
    36. 谜。Enigma协议:概述https://enigma.co/protocol/[访问日期:2019-02-01][WebCite缓存
    37. 郭华泽,李志强,李志强。交互式证明系统的知识复杂性。在:第十七届ACM年度计算理论研讨会论文集。1985年发表于:STOC'85;1985年5月6日至8日;普罗维登斯,罗德岛,美国,第291-304页。[CrossRef
    38. Strava开发者。Strava API v3: API和SDKhttps://developers.strava.com/docs/reference/[访问日期:2019-02-01][WebCite缓存
    39. Manot V. Ask Different - Stack Exchange. 2014。苹果的预测键盘从哪里获得“上下文”内容?URL:https://apple.stackexchange.com/questions/145237/where-does-apples-predictive-keyboard-get-its-contextual-content-fromWebCite缓存
    40. Damgård I,帕斯特罗V,智能N,扎卡里亚斯S.密码学电子打印档案。2011。基于某种同态加密的多方计算https://eprint.iacr.org/2011/535.pdf[访问日期:2019-02-01][WebCite缓存
    41. Maslove DM, Klein J, Brohman K, Martin P.使用区块链技术管理临床试验数据:概念验证研究。JMIR Med Inform 2018年12月21日;6(4):e11949 [免费全文] [CrossRef] [Medline
    42. Ichikawa D, Kashiyama M, Ueno T.使用区块链技术的抗篡改移动健康。JMIR Mhealth Uhealth 2017年7月26日;5(7):e111 [免费全文] [CrossRef] [Medline
    43. 李文杰,李志刚。非交互式零知识及其应用。载于:第二十届ACM计算理论研讨会论文集。1988年发表于:STOC'88;1988年5月2-4日;芝加哥,伊利诺伊州,美国,第103-112页。[CrossRef
    44. 通用数据保护条例,2018年。第5条:个人数据处理原则https://gdpr-info.eu/art-5-gdpr/[访问2019-05-10][WebCite缓存
    45. 美国卫生与公众服务部。HIPAA行政简化网址:https://www.hhs.gov/sites/default/files/ocr/privacy/hipaa/administrative/combined/hipaa-simplification-201303.pdfWebCite缓存
    46. 美国卫生与公众服务部。标题XIII -卫生信息技术促进经济和临床卫生法https://www.hhs.gov/sites/default/files/ocr/privacy/hipaa/understanding/coveredentities/hitechact.pdfWebCite缓存
    47. Jaques N, Taylor S, Azaria A, Ghandeharioun A, Sano A, Picard R.从生理,电话,流动性和行为数据预测学生的幸福感。2015年情感计算与智能交互国际会议论文集,2015年ACII'15;2015年9月21-24日;中国西安,p. 222-228http://europepmc.org/abstract/MED/28515966CrossRef
    48. 彭丽娟,张志强,张志强,等。被动手机传感器预测日常情绪的准确性。抑郁焦虑2019 12月;36(1):72-81。[CrossRef] [Medline
    49. Onnela JP, Rauch SL.利用基于智能手机的数字表型来增强行为和心理健康。神经精神药理学2016年12月;41(7):1691-1696 [免费全文] [CrossRef] [Medline
    50. Saeb S, Lattie EG, Kording KP, Mohr DC。手机语义定位检测及其与抑郁和焦虑的关系。JMIR Mhealth Uhealth 2017 Aug 10;5(8):e112 [免费全文] [CrossRef] [Medline
    51. 柯比RS,德梅勒E,艾伯思JM。空间流行病学与地理信息系统研究进展。安流行病2017年12月27日(1):1-9。[CrossRef] [Medline
    52. Kamel BM, Wilson JT, Clauson KA。地理空间区块链:健康和医疗保健方面的承诺、挑战和情景。国际卫生地理杂志2018年12月5日;17(1):25 [免费全文] [CrossRef] [Medline
    53. Bloss C, Nebeker C, Bietz M, Bae D, Bigby B, Devereaux M,等。为21世纪的科学重新构想人类研究保护。J Med Internet Res 2016年12月22日;18(12):e329 [免费全文] [CrossRef] [Medline
    54. 维基百科。机器学习研究数据集列表https://en.wikipedia.org/wiki/List_of_datasets_for_machine_learning_research[访问日期:2019-02-01][WebCite缓存
    55. 季珊,李伟,Srivatsa M, Beyah R.结构数据去匿名化:量化、实践与启示。2014年ACM SIGSAC计算机与通信安全会议记录。2014年发表于:CCS'14;2014年11月3日至7日;美国亚利桑那州斯科茨代尔,第1040-1053页。[CrossRef
    56. Gambs S, Killijian MO, del Prado CM。针对定位数据的去匿名化攻击。计算系统工程学报,2013,30(8):789-797。[CrossRef
    57. 王宏,高超,李勇,王刚,金东,孙杰。移动轨迹的去匿名化:理论与实践的差距剖析。在:网络和分布式系统安全研讨会论文集。2018年发表于:NDSS'18;2018年2月18日至21日;圣地亚哥,加利福尼亚州,美国。[CrossRef
    58. 布坎南B.安全站点。零知识证明:用哈希链证明年龄https://asecuritysite.com/encryption/age[访问日期:2019-01-31][WebCite缓存
    59. 朱旭,Badr Y.物联网身份管理系统:对区块链解决方案的调查。传感器(巴塞尔)2018年12月1日;18(12):pii: E4215 [免费全文] [CrossRef] [Medline
    60. 计算机科学研究所:课程。2017。SGX认证过程:密码学研究研讨会https://courses.cs.ut.ee/MTAT.07.022/2017_spring/uploads/Main/hiie-report-s16-17.pdf[访问日期:2019-02-01][WebCite缓存
    61. 《熔解与幽灵》,2018年。URL:https://spectreattack.com/[访问日期:2019-02-01][WebCite缓存
    62. van Bulck J, Minkin M, Weisse O, Genkin D, Kasicki B, Piessens F,等。前奏:用瞬态乱序执行提取Intel SQX王国的密钥。见:第27届USENIX安全研讨会论文集。2018年发表于:SEC'18;2018年8月15日至17日;美国马里兰州巴尔的摩,第991-1008页。
    63. koba A, Miller A, Shi E, Wen Z, Papamanthou C. Hawk:密码学和隐私保护智能合约的区块链模型。见:安全与隐私研讨会论文集。2016年发表于:SP'16;2016年5月22-26日;圣何塞,加利福尼亚州,美国。[CrossRef
    64. Goldfeder S, Kalonder H, Reisman D, Narayanan A.当cookie遇到区块链:通过加密货币进行网络支付的隐私风险。Proc隐私增强技术2018;2018(4):179-199。[CrossRef
    65. 绿洲文档。机密智能合约网址:https://docs.oasiscloud.io/en/latest/confidentiality-overview/
    66. Johnson M, Jones M, Shervey M, Dudley JT, Zimmerman N.构建安全的生物医学数据共享DApp(即将推出)。J Med Internet Res 2019:- [免费全文] [CrossRef
    67. GitHub。2019.GeolocationSmartContract URL:https://github.com/HD2i/GeolocationSmartContract[访问日期:2019-02-01][WebCite缓存
    68. GitHub。2019.Geolocation-iOS URL:https://github.com/HD2i/Geolocation-iOS[访问日期:2019-02-01][WebCite缓存
    69. Tor项目|匿名在线。Tor项目:概述https://www.torproject.org/about/overview.html.enWebCite缓存

    FHE:完全同态加密
    全球定位系统(GPS):全球定位系统
    他:同态加密
    物联网:物联网
    货币政策委员会:多方计算
    法:部分同态加密
    前:代理re-encryption
    三通:可信的执行环境
    ZKP:零知识证明

    编辑:P Zhang, K Clauson;提交01.02.19;D Maslove同行评议,M Hölbl, JT te Gussinklo;对作者01.04.19的评论;订正版本收到13.05.19;接受01.07.19;发表14.08.19

    版权

    ©Michael Jones, Matthew Johnson, Mark Shervey, Joel T Dudley, Noah Zimmerman。最初发表于《医疗互联网研究杂志》(//www.mybigtv.com), 2019年8月14日。

    这是一篇开放获取的文章,根据创作共用署名许可(https://creativecommons.org/licenses/by/4.0/)的条款发布,允许在任何媒介上无限制地使用、分发和复制,前提是正确引用最初发表在《医学互联网研究杂志》上的原创作品。必须包括完整的书目信息,//www.mybigtv.com/上的原始出版物的链接,以及此版权和许可信息。
    Baidu
    map