这是一篇开放获取的文章,根据创作共用署名许可协议(https://creativecommons.org/licenses/by/4.0/)发布,该协议允许在任何媒体上不受限制地使用、分发和复制,前提是要正确引用最初发表在《医学互联网研究杂志》上的原始作品。必须包括完整的书目信息,//www.mybigtv.com/上的原始出版物链接,以及版权和许可信息。
保护私人数据是从研究参与者收集可识别信息的研究的关键责任。限制数据收集的范围和防止数据的二次使用是管理这些风险的有效策略。一个理想的数据收集框架应该包括特征工程,在一个没有可信第三方的安全环境中,从敏感的原始数据中提取次要特征的过程。
本研究旨在比较当前的方法,基于它们如何维护数据隐私及其实现的实用性。这些方法包括依赖可信第三方的传统方法,以及加密、安全硬件和基于区块链的技术。
定义了一组用于评估每种方法的属性。在此基础上进行了定性比较。每种方法的评估都以共享生物医学研究地理位置数据的用例为框架。
我们发现,依靠可信第三方来保护参与者隐私的方法,并不能提供足够有力的保证,确保敏感数据不会暴露在现代数据生态系统中。加密技术包含了强大的隐私保护范例,但只适用于特定的用例,或者由于计算复杂性目前受到限制。区块链智能合约本身不足以提供数据隐私,因为交易数据是公开的。可信执行环境(tee)可能存在硬件漏洞,并且对数据处理方式缺乏可见性。结合区块链和加密技术或区块链和tee的混合方法为隐私保护提供了有前途的框架。作为参考,我们提供了一个软件实现,用户可以使用结合区块链和tee作为补充的混合方法私下共享其地理位置数据的特征。
区块链技术和智能合约消除了对可信方的依赖,并提供了不可变的、可审计的数据处理工作流,从而实现了新的隐私保护特性工程方法的开发。区块链与加密技术或区块链与安全硬件技术之间的重叠是解决重要数据隐私需求的有前途的领域。混合区块链和TEE框架目前提供了实现实验性隐私保护应用程序的实用工具。
社交网络、智能手机、可穿戴设备和物联网(IoT)设备的出现,为大规模收集有关行为、生物和健康的个人数据提供了前所未有的途径。当考虑如何保护个人隐私时,这些技术的无处不在带来了新的挑战,有意无意地泄露敏感和可识别信息的可能性也在增加。
皮尤研究中心最近的一份报告发现,物理位置数据是最敏感的数据类型之一。
一旦第三方收集用户数据,很难保证数据不被滥用或不当处理。2013年至2014年期间,剑桥分析公司为学术研究收集了Facebook用户的社交媒体数据,但后来将这些数据用于政治广告[
这些问题给生物医学研究人员的研究带来了困难,否则他们将受益于便捷、被动和纵向的数据收集方法,以识别新的生物标志物和开发数字疗法。需要一种开放和可信的方法与不可信的第三方共享数据,以确保(1)后继隐私,即个人数据不会在个人同意的研究之外共享;(2)数据仅用于研究的预定目的。
在本文中,我们回顾了个人数据隐私保护技术的现状,其动机是一个在医疗保健领域应用的位置共享用例。我们沿着几个轴比较了隐私保护技术,包括研究团队中所需的信任水平、技术的可泛化性和开放源码工具支持的可用性。我们的目的是提供一个实用的路线图,以帮助研究人员对敏感个人数据的利用和处理做出明智的决定。我们为位置共享示例用例提供了一个参考软件实现,使用了一种隐私保护技术。
智能手机的使用,特别是地理位置数据,对于一些医疗保健应用来说是非常重要的。位置数据已经被用于健康领域的各种应用,例如,监测行为和环境风险因素[
特征工程是将原始数据转换为适合机器学习算法的表示的过程。例如,假设您正在构建一个系统,以预测在一个主要大都市地区的两个地点之间的驾驶时间。你得到的数据包含日期,一天的时间,以及前一年在两个地点之间的驾驶时间。原始日期数据(YYYY-MM-DD)不太可能对预测驾驶时间有用,但知道这一天是工作日还是周末可能非常有用。机器学习科学家可能会编写代码,如果日期是工作日返回true,如果是周末返回false。新设计的布尔特性,
从历史上看,特征工程一直是一个手工过程,基于机器学习科学家的经验和领域专业知识[
我们的方法是基于最小接触的前提;参与者应该只透露研究所需的最小数据,研究人员应该只收集研究所需的数据。分析管道的特征工程步骤提供了一个机会,通过将可识别的、敏感的或其他私有数据转换为可识别的或匿名的特征来限制暴露。这种特性工程的最小暴露方法创建了一个对参与者和研究人员都有利的框架。通过让研究人员公开难以获得原始的个人数据,参与者可能更愿意分享他们的数据,并为研究研究做出贡献。与此同时,取消对研究人员数据的访问可以减少用于维护安全数据服务器的资源,并限制个人识别信息的暴露,从而简化和加快研究工作。在
特性工程的最小暴露方法,敏感的原始数据不暴露给第三方。例如,在安全环境中执行反向地理编码以提取位置类别,该类别可用于确定关于处方补充依从性的人口模型。
在2018年6个月的时间里,卫生保健部门区块链项目的规模扩大了两倍,有近150个项目筹集了6.6亿美元以上[
区块链由独立计算机(节点)组成的分布式网络组成,这些计算机维护使用加密协议验证的不可变交易记录。区块链网络进一步被定义为公共网络、私有网络或联盟网络,具体取决于谁可以参与网络以及交易的验证方式。在公共区块链中,交易是经过验证的,并且是全球状态的
区块链技术的进步支持部署基于规则的、自执行的软件代码,称为智能合约。智能合约通过充当预定义的仲裁者,消除了对中介体的需求。此外,当契约代码公开时,智能契约是不可变的和可公开验证的。智能合约与a的组合
本研究的目的是根据现有的隐私保护方法对个人共享数据的隐私保护能力进行检查和比较。基于对第三方的信任程度和实现这些技术作为特性工程步骤的实用性进行了比较。这项研究还旨在确定研究人员和软件开发人员在构建涉及保护数据隐私的应用程序时可以使用的更有前途的技术。
该测试针对的是从个体参与者收集位置数据的实际用例,从中可以提取与健康相关的有趣特征。为了使研究人员能够尽可能地访问这个示例,我们提供了一个开源软件项目,该项目实现了位置共享用例所检查的技术之一。
本研究的主要结果如下:
定义一组属性,以评估每种方法的隐私保护属性。
基于地理位置特征工程用例,对每种方法的隐私保护特性进行定性比较。
一个概念验证的软件实现,用于从GPS坐标数据中提取位置的类别,同时使用一个更实用的区块链技术保持隐私。
我们对文献、与医疗保健相关的区块链用例进行了回顾,并在Web上应用了区块链项目。这些技术是通过电子数据库(谷歌Scholar和PubMed)和搜索引擎(谷歌)结果中的关键词搜索确定的。关键字是
这些技术被分为以下几类:(1)依赖于可信第三方的方法,(2)加密方法,(3)可信执行环境(TEE),(4)合并区块链的方法。其中包含了这些技术的现有实现的示例
资料私隐法例[
这些监管指南清楚地表明,数据隐私高度依赖于受信任组织的职责,以及它们实现的技术的能力。我们预测,未来的数据共享系统将由这些隐私指南提供信息,并且评估隐私保护技术的框架应该与这些指南相对应。在本文中,每种隐私保护方法都基于以下属性进行评估:
由于下列原因,对第三方的信任程度:
第三方访问原始数据
数据使用的参与者可见性
第三方重用数据的能力
集中化和单点信任
潜在的安全漏洞
该技术的通用性和实现实用性:
计算或通信复杂性
实现的复杂性
开发人员工具的可用性
开放源码工具支持的可用性
欧盟和美国的数据隐私法。
| 源和指导方针 | 总结了文本 | |
|
|
|
|
|
|
“数据最小化” | 个人资料收集仅限于必要的范围 |
|
|
“合法、公平和透明” | 我们以透明的方式处理个人资料 |
|
|
“限制目的” | 个人资料的收集有明确的目的,而进一步的处理则遵循最初的目的 |
|
|
“问责制” | 第三方有责任遵守隐私法 |
|
|
“完整性和机密性” | 个人数据经过安全处理,防止未经授权的使用 |
|
|
|
|
|
|
限制可以查看和共享个人健康信息的人员 | 未经个人同意,不得将健康信息用于与提供健康治疗不直接相关的目的(除例外情况) |
|
|
||
|
|
数字健康信息的数据安全 | 电子医疗记录必须得到保护,数据泄露必须报告 |
与大多数复杂的数据类型一样,GPS数据通常在通过特征工程用于分析之前进行转换。地理位置特征有两大类,它们是当前大多数医疗保健研究中地理位置数据应用的基础。
他们从原始GPS数据中计算汇总统计数据。例如,一天旅行的总距离,访问过的地点数量的变化,以及旅行半径。
他们将GPS数据与第三方地理空间信息系统相结合,以确定位置类型,如图书馆、健身房或礼拜堂或广泛的位置主题(例如,由人口普查数据定义的高犯罪率社区)。
使用地理定位功能的一些应用用例示例包括替换活动监控任务[
参考
在传统的生物医学研究环境中,人体受试者的保护由研究机构的机构审查委员会(IRB)管理。IRB的作用是证明研究对象被告知参与研究的风险,数据安全指南被遵守,风险和保障措施被明确概述和减轻。在这种模式中,研究机构作为受信任的第三方,有责任保护患者数据隐私。然而,由智能手机技术、生物传感器和大型数据集的常规收集所支持的新形式的研究正在改变研究的性质,并使传统过程变得紧张,传统过程中单个机构可以充当受信任的第三方[
研究的典型服务器端数据收集管道将从客户端应用程序中摄取原始参与者数据,并结合加密、访问控制、识别过程或其他一些方法,以确保原始数据不会不负责任地公开。这种方法很容易实现,并且可以让研究团队严格控制特性工程的流程。软件更新可以在服务器端进行,而不需要强迫用户更新客户端。然而,必须高度信任研究团队,因为在管道的几个阶段会暴露私人数据(
服务器端去识别:(1)在特征提取和分析过程中可能暴露原始数据[
部署在设备上维护原始数据并在本地执行特征提取的软件是另一种可行的隐私保护方法,在智能手机上收集数据时,它越来越成为黄金标准。将设备上的数据本地化以便只有参与者可以访问它,从而消除了第三方可能暴露、滥用或重新利用原始数据的风险,但这依赖于所安装软件的完整性(
客户端特征提取,其中安装的软件用灰色突出显示,以表明需要一定程度的信任,软件是安全和可靠的:(1)参与者必须维护软件的更新版本,以便功能工程是适当和安全的;(2)参与者必须信任软件开发人员或软件验证者,安装的应用程序是按预期执行的。开源软件可以增加可见性,并提供更强的数据隐私保障,但实际上需要额外的安全验证。
代理重加密(PRE)是公钥加密中的一种技术,它允许代理将加密数据的解密访问权从一方委托给另一方(
然而,由于数据访问控制没有提供后验隐私机制,PRE在隐私保护特征工程中的应用受到了限制。这仍然需要信任研究团队将安全和诚实地管理解密数据。
参与者可以通过代理重加密的方式向研究者提供解密权限。研究人员仍然必须负责数据的安全存储和识别,以及后验隐私。
多方计算(MPC)是一类加密协议,它模拟由受信任方计算的计算,但在多个方之间分配信任(
一些实现使用MPC协议处理私有数据共享,并试图通过支持分布式存储架构来进一步降低安全风险。然而,这些分布式系统通常在节点数量上受到限制,并由单个组织(即单个信任点)管理。理论上,单个信任点可以有一个议程,并对分布式网络中的每个节点施加一定程度的控制。但是,如果所有节点都由一个组织控制,那么该组织访问私有用户数据是可行的。
使用计算方的分布式网络背后的原则是没有单一的信任点,这是在检查区块链方法时将重新考虑的一个重要原则。
利用多方计算在多方之间分配信任。在一种多方计算中,私有数据可以分解为秘密共享并存储在多个计算节点上;只有使用所有(或大部分)秘密共享才能重构私有数据。如图所示,这缓解了数据安全存储的问题,但在重构数据后却不能保护数据。重构单个参与者的私有数据时仍然需要信任,并以灰色突出显示。
同态加密(HE)是一种加密形式,其中对加密数据的计算将产生与加密前对未加密数据的计算相同的结果。这可以形式化,如图所示
同态加密性质说明方程,其中E(x)表示数据x的加密。
典型的客户机-服务器同态加密(HE)管道。原始数据所有权由客户端维护,但其他方无法访问。HE在特性工程用例中受到限制,因为它需要将解密作为最后一步。如果研究人员能够从步骤5中解密特征数据,那么他们也能够从步骤1中解密原始的、敏感的数据。
在数据共享上下文中,当加密的数据向量本身就是一个有趣的特征时,HE可能适合于用于特征提取的特定用例。当不需要来自个别参与者的特征时,还可以更广泛地适用于保护隐私的特征提取,并且可以在加密域中聚合数据。然而,在目前的状态下,HE的适用性并不适合通用特征工程,它取决于数据的性质和特征提取的性质。例如,从GPS坐标解析位置类型是不可计算的,而是查找函数的结果。他不会为这种计划效力的。
采用HE的另一个主要障碍是处理加密数据的计算复杂度增加,导致处理时间非常长。PHE无法实现复杂的计算,FHE的计算性能非常低[
零知识证明(ZKP)是一种密码学方法
根据需要证明的两种命题,zkp可以进一步分类
ZKP概念与中描述的最小暴露框架密切相关
将全球定位系统(GPS)坐标隐藏在一个简单的零知识证明(ZKP)实现后面。实际上,这看起来像一个简单的黑盒子,其中ZKP是执行特征提取的子例程,而不向研究人员透露原始的GPS坐标。例如,这个子例程可以由实现一个查找表组成,该查找表将GPS坐标映射到位置类别。因此,挑战在于该子例程的谨慎实现和渗透性,以确保数据的安全性(以灰色突出显示)。恶意方不应该能够通过尝试多个输入的消除过程来识别参与者的GPS坐标。类似的方法是通过暴力破解来猜密码。
由于zkp更广泛地对应于各种各样的技术,因此很难将其概括地推荐给一般的特征提取问题,而应该在具体情况的基础上对它们进行评估。此外,一些常见的挑战包括实现和计算复杂性。有时,它们仍然需要可信的第三方来证明一项声明[
TEE(也称为安全硬件飞地)是现代处理器中的一种芯片级硬件设计,它支持对机密数据进行隔离执行。
在使用tee时,一个重要的考虑因素是可能被利用的硬件漏洞的真实风险。2018年初,据报道,现代商业处理器的硬件漏洞可能会将私人数据暴露给流氓进程(Meltdown)或对执行分支预测的处理器(Spectre)的攻击[
对tee的另一个关于数据隐私的批评是,实际应用可能使用单个或少数tee,这集中了数据管理。其想法是,“要求所有参与者全局信任单个或少数(TEE)处理器仍然是一个非常强的假设”[
受信任的执行环境(TEE;以灰色突出显示)通过封装提供数据隐私。安全特性包括内存隔离、内存加密、隔离架构和安全密钥供应。随后进行远程认证过程,以验证程序的正确执行,并提供起源证明[
私有和联盟区块链网络通常通过创建由高度信任的实体管理的访问控制来限制谁可以参与网络。通常,还包括附加规则来创建权限系统,控制哪些节点可以验证事务,并使事务数据对相关方私有。最后一个原因在以隐私为中心的数据共享环境中特别有吸引力,但它的代价是信任私有网络的维护者。然而,使公共区块链如此吸引人的相同特征——由加密经济激励保护的无信任、去中心化的网络状态——在私有区块链中缺失,并在
私有区块链,其中它表示安全的数据环境,但需要与其他集中式技术类似的信任(参与者同意发布数据、受信任方)。因此,整个私有区块链网络以灰色突出显示。
公共区块链上的智能合约是小型、模块化的软件,一旦部署到网络上就无法更改。这对于隐私保护软件来说是一个有利的特性,因为智能合约的用户可以保证他们的数据总是以相同的方式处理。当智能合约代码公开时,部署的智能合约的功能是可验证的。
然而,当考虑传统的公共区块链(如以太坊)进行数据共享时,第一个重要的承认应该是,上传到公共区块链的输入数据是公开可见的和永久记录的。这使得所有的资金发送人和接收人、所有的交易数据以及每个合同变量的状态对任何观察者都是可见的,如
一种说法是,区块链提供了隐私,因为数据交易的发起者和接收者只通过一个随机生成的账户地址来描述。因此,如果参与者为每笔交易生成新地址,则匿名是可能的。然而,网络追踪器已经表明,通过分析交易可以让用户去匿名化。
公共区块链实现,其中事务数据是公共的。整个网络用灰色突出显示,以表示数据暴露。标准的解决方法是确保记录的任何敏感数据都是加密的。因此,在智能合约上运行特征提取通常是不切实际的,而且需要在需要信任的集中式服务器上进行一些链下计算。
将zkp与公共区块链合并的诱惑力在于,在保持区块链的好处的同时支持数据隐私:没有单点信任和交易的不可变性。该技术的一个吸引公众注意的实现是能够隐藏加密货币交易的来源、目的地和金额[
在区块链上扩展zkp以包括智能合约逻辑的想法将是保护隐私、不可信应用程序的强大催化剂。一个叫Hawk的区块链提案[
在区块链上下文中,ZKP计算复杂度的限制被加强了,这要求在分布式规模上部署该技术。区块链上的ZKPs是一个活跃的研究领域,使得在此背景下的私有数据共享和特性工程暂时无法访问。使用zkp与区块链智能合约共享GPS坐标数据的应用程序还需要等待技术的发展。
为了鼓励更少的数据孤岛,混合tee和区块链智能合约的平台正在出现。这种方法具有模块化、不可变软件和隔离计算环境的优点,因此数据管道是透明和安全的。该技术在
然而,这种方法仍然取决于底层TEE硬件的安全性及其漏洞。包含区块链和tee的平台是新技术,本质上是实验性的,因此潜在的安全威胁仍有待发现。
这种方法还提供了实现的实用性和可访问性方面的好处。Oasis (
区块链,它在可信执行环境(tee)上合并机密智能合约,用于特征提取。与单个tee类似,硬件被利用的风险也不容忽视。
在本文中,在比较隐私保护技术时,采用的两个评价标准是通用性和实现的实用性。为了进一步评估我们的发现,即混合区块链- tee技术为开发隐私保护软件提供了一个实用的平台,我们实现了一个概念验证软件应用程序,解决了构成本文框架的位置共享用例。此用例基于这样一个场景:研究研究参与者与第三方研究团队共享有关其位置数据的有用特征,而不透露其原始GPS坐标。
实现包括以下内容:
在Oasis Devnet上部署的智能合约。
一种智能手机(iOS)应用程序,具有图形用户界面,供参与者和第三方与智能合约进行交互。
Oasis Devnet上的保密智能合约支持私有交易数据和私有智能合约状态(
智能合约还为第三方提供了一种公开可访问的方法,以注册具有预定位置类别的地理坐标(即
Oasis Devnet上的信息可见性。
| 可见性 | 信息 |
| 公共 |
交易发送人地址(即参与者钱包地址和第三方钱包地址) 交易收件人地址(即智能合约地址) 交易(即,在 |
| 私人 |
事务参数数据(即原始GPS一个协调数据) 事务结果数据(即返回的特征数据) 事务调用的方法名(例如,“postParticipantLocation”) 智能合约状态(即,参与者钱包地址到参与者ID的映射) 事件数据(不用于此原型;事件(日志)可以在响应事务时发出) |
一个GPS:全球定位系统。
解决位置共享用例的概念验证软件应用程序的实现。由标识符im识别的参与者将(1)使用iOS设备发布他们的原始识别位置数据dm,n,以及其各自的时间戳tm,n。来自另一个iOS设备的第三方能够(2)发布原始位置数据dz和相应的功能fz。例如,位置的类别(如字符串Hospital或Pharmacy)等特性。如果参与者发布的位置数据dm,n与第三方发布的位置数据dz相匹配,那么参与者各自的时间戳tm,n将映射到各自的特征fz。参与者可以在任何时候(3)将他们之前发布的所有时间戳(tm,0…tm,n)和相关特征(fm,0…fm,n)的共享权限sm设置为第三方。参与者还能够(4)获得他们之前发布的所有时间戳,tm,0…tm,n,以及相关的特征,fm,0…fm,n。第三方也能够(5)获得这些相同的时间戳,tm,0…tm,n,以及相关的特征,fm,0…fm,n,当且仅当参与者授予了权限,sm=true。
智能合约目前作为传统的智能合约部署在Oasis Devnet上,而不是作为
此外,我们希望这个概念验证软件可以作为未来对特性工程用例的隐私保护感兴趣的研究的起点。关于软件设计、开发堆栈、实现和权衡的其他细节在正在审查的教程手稿中有描述[
我们发现,依靠可信第三方保护参与者数据的传统方法通常无法提供完全保证,确保敏感数据不会被用于非预期目的。参与者必须对使用服务器端去识别过程并自己维护数据仓库的研究人员提供高度信任。过去十年中发生在集中式服务器上的大量数据泄露事件表明,我们应该问自己一个负责任的问题,那就是私人信息何时会被泄露,而不是是否会被泄露。为了解决这个问题,研究人员应该尽量限制原始数据的曝光。一种有效的方法是在每个参与者控制下的个人设备上执行客户端特征提取,例如个人智能手机或私人数据服务器。这种方法的主要缺点是开发安全的、经过验证的软件对研究人员来说负担沉重;与此同时,参与者仍然需要相信软件只收集了预期的数据,没有其他的数据收集程序只在隐私政策的小字中描述。
有几种复杂的加密技术提供隐私保护方法,这是一个活跃的研究领域。PRE可用于加密数据的访问控制,但不能保证后验隐私。安全MPC在从两个或两个以上的方收集加密数据并计算聚合结果时,不需要可信的第三方。然而,与性能相关的实际实现依赖于由单一方管理的少量计算节点,这需要信任操作员、软件和计算节点的安全性。HE被认为是隐私保护方法中的圣杯,在这种方法下,可以在加密空间中对私有数据执行计算。然而,很少有使用加密数据作为特性的用例,或者应用程序受到计算性能的限制。zkp是一类广泛的加密技术,为数据隐私提供了强大的保证,但需要针对特定的应用程序进行评估。在表面上,它们可以用于身份验证,但其他应用程序通常带来实现和计算复杂性。
计算硬件的进步通过tee的设计实现了隐私保护。这些芯片级设计创建了一个隔离的内存空间,在这里可以对敏感数据进行计算。然而,就像软件数据泄露一样,很难保证硬件漏洞不会被利用。此外,参与者必须仍然相信在TEE计算节点上运行的软件就是发布的软件。
前三种方法都有一个共同的元素:特征提取运行在由可信第三方管理的集中式服务器或计算节点上。尽管有些方法提供了更高级别的数据安全性,但在可见性方面仍然存在缺陷。参与者必须相信第三方正在做它所说的事情,而不是别的。这就是区块链技术提供独特好处的地方。
区块链提供了一个不可信的环境,以可见性和不可变性为特点,它运行在一个分散的网络上,可以安全免受加密经济激励的篡改。此外,它们还提供了不可变软件(智能合约)的独特好处,如果合约代码公开,可以验证这些软件是否完全按照承诺执行。当然,这只在公共区块链中得到保证,在公共区块链中,私人或联盟区块链往往包含可信任的方,更集中。不幸的是,区块链的设计是为了安全和数据完整性,而不是为了数据隐私。
加密技术和tee与区块链的组合解决了信任弱点的单点问题,并为可信任的隐私保护平台提供了最大的潜力。两个很有前途的混合体是包含zkp的区块链和包含tee的区块链。带ZKPs的区块链已经成功地用加密货币提供了交易隐私,但在智能合约数据隐私方面还没有发展到相同的水平。带tee的区块链是一项正在开发中的技术,但它已经达到了一个成熟的水平,开发人员可以开始在这些平台上开发和部署真正的应用程序。自然,这些平台上潜在的硬件漏洞并不理想;然而,在像FHE这样的加密方法能够大规模广泛应用之前,带tee的区块链似乎是目前可用的最佳方法。此外,我们发现健壮的开发人员文档和工具是可用的,这使得该方法也可用于产品实现。我们对地理位置用例的软件实现在一定程度上受到了Oasis平台提供的实际指导和开发人员支持的鼓励,并说明了隐私保护方法今天可以在非生产开发人员网络上实现。然而,需要强调的是,在提交本报告时,带有TEE开发人员网络的区块链还处于实验阶段,应该采取保守的方法。
比较可信第三方、密码学和区块链方法的数据隐私研究。
| 方法 | 的信任度 | 实用性 | 限制 | 例子 |
| 服务器端deidentification | 高 | 媒介 | 集中的;易受数据重用和数据泄露的影响;不可见性 | Strava GPS一个设备 |
| 客户端特征提取 | 媒介 | 媒介 | 不可见性 | 苹果设备预测键盘;开放PDS / SafeAnswers |
| 代理re-encryption | 高 | 低 | 仅用于数据访问控制;易受数据重用和数据泄露的影响 | NuCypher pyUmbral |
| 多方计算 | 低 | 媒介 | 特定的用例;集中的;不可见性;沟通的复杂性 | Jana, Sharemind, Partisia, Sepior |
| 同态加密 | 低 | 低 | 有限的操作或极低的性能 | NuCypher nuFHE |
| 零知识证明(ZKP) | 低 | 低 | 特定的用例;集中的;不可见性;实现和计算复杂度 | zk-SNARK |
| 可信执行环境(TEE) | 低 | 媒介 | 潜在的硬件漏洞;不可见性 | Intel SGX, ARM TrustZone, Keystone项目 |
| 私人或财团区块链 | 媒介 | 媒介 | Pseudocentralized;取决于设计 | Hyperledger织物 |
| 公共区块链智能合约 | 高 | 媒介 | 仅用于数据访问控制 | Ethereum |
| 公共区块链与zkp | 高 | 低 | 概念验证,没有可用的软件发布 | ZCash,鹰 |
| 公共区块链与TEE | 最低 | 媒介 | 潜在的硬件或其他漏洞;nonproduction阶段 | 谜,绿洲 |
一个GPS:全球定位系统。
在关于最小暴露特征工程的介绍部分中,我们确定了分析管道中的特征工程步骤提供了限制暴露和删除可识别特征的机会。尽管我们推广这个框架是为了尽可能减少私人数据的暴露,但我们认识到并非所有的特征工程问题都能被识别出来。在这些场景中,我们建议采用数据安全保障措施,包括加密和安全的服务器。
公共区块链网络上的交易有固有成本,交易各方必须用加密货币支付。这种财务成本的多大取决于加密货币的价值和网络在任何给定时间的拥塞,所以这里没有提供可量化的金额。成本可能是实际实现的一个重要考虑因素,但我们的重点是确定维护隐私的方法。
当将交易发布到任何与互联网相连的网络(包括公共区块链)时,一个合理的担忧是,参与者会泄露他们的互联网协议(IP)地址,这本身就是一个识别信息。解决这个问题的一个方法是实现一个互联网请求代理(例如,Tor软件的瘦客户机),它可以中继互联网流量,以隐藏用户的位置和使用情况[
我们相信,区块链技术正在推动数据隐私的边界向前发展。在集中式服务器的单信任点上运行的隐私保护协议的基本限制是通过不可变智能合约解决的。随着不同的加密和软件技术与区块链重叠,更强的隐私保障成为可能。特别是,我们认为区块链与tee的结合似乎是一种保护隐私的功能工程的实用和前瞻性的方法。这一结论得到了我们在区块链- tee开发平台上开发和部署的概念验证专用地理位置数据共享软件的支持。然而,没有一个系统是完全没有漏洞的,当与高度敏感的私人数据(如GPS坐标或其他生物医学数据)交互时,应该进行彻底的测试。
现有隐私保护技术的示例。
完全同态加密
全球定位系统
同态加密
物联网
多方计算
局部同态加密
代理re-encryption
可信执行环境
零知识证明
这项工作得到了西奈山伊坎医学院下一代医疗保健研究所的支持,并得到了哈里斯家庭慈善基金会(给JTD)的捐赠。
没有宣布。