专家观点 | 张纪峰：控制系统中的隐私安全

控制系统通常由控制器、被控对象和传感器组成。系统的控制输入、状态、输出和动态参数在应用中有时是非常敏感的，需要防止隐私攻击。

为了刻画控制系统中的隐私问题，首先需要明确四个要素：系统的动态特性、攻击者的能力、敏感信息和公开信息。系统的动态特性决定了敏感信息和公开信息之间的关系，在隐私保护机制的设计中起着非常重要的作用。攻击者的能力是指计算能力（在时间和存储资源方面，具有有限或者无限计算能力）和攻击方式（被动攻击者和主动攻击者）。被动攻击者又分半诚实的攻击者和窃听者两种类型。半诚实的攻击者是指遵守规定协议但试图了解他人敏感信息的系统参与者，而窃听者是指只在通信信道上进行窃听的外部参与者。主动攻击者可以任意行动（例如，必要时改变传输信息）来学习敏感信息。而敏感信息和公开信息则分别描述了哪些信息是需要保护的，哪些信息是对手可以获得的。

我们现在就系统隐私安全给个一般性定义：在给定公开信息的情况下，当且仅当攻击者不能区分敏感信息的真实值和其候选值时，系统被称为隐私安全的。一个敏感信息的候选值指这样一个量，它与真实值对应着相同的公开信息。对于一个给定的敏感信息，其所有候选值组成的集合在下文中将简称为该敏感信息的候选集。这是个深刻且具有启发性的定义，且有助于定量刻画隐私保护的程度。例如，如果考虑候选值个数的多少，可以利用候选集的维数来量化隐私安全性[3]；如果考虑执行这种区分过程的困难性，可以引入计算安全和完全安全，并分别应用于具有有限计算能力和无限计算能力的攻击者；如果考虑敏感信息与公开信息的对应关系，可以引入互信息来度量隐私泄露情况。

目前在控制系统领域，已经提出了一些实现隐私安全的方法，大致有如下几类：

• 基于系统结构的技术。该技术基于状态重构的标准可观测性和输入再辨识的输入可观测性。所有可能的敏感信息的候选集构成了在标准加法运算下整个欧氏空间对不可观测子空间的商空间。不可观测子空间的维数或基数越大，攻击者就越难识别出真正的敏感信息。换言之，通过将敏感信息空间中的多个元素映射到公开信息空间（即，所有可能的公开信息的集合）中的一个元素来实现系统的隐私安全。一般来说，如果系统不可观，则不需要额外的努力来实现隐私安全。尽管在许多情况下，系统的结构是固定的，但仍有一些特殊情况，可以“柔和地”改变系统的结构。例如，通过引入一个虚拟状态，文[4]中提出的算法将每个个体的状态分解为两个子状态，从而得到一个抵御被动攻击者的安全结构。

• 基于确定性变换的技术。变换是从敏感信息空间到另一个数学空间的映射，这个数学空间可以是同一个敏感信息空间。隐私安全是通过防止对手知道确切使用的映射来实现的。敏感信息的候选集是映射到相应公开信息的所有可能变换的原像。从这个角度看，攻击者重建敏感信息并不比确定使用哪种变换容易。常用的方法包括同构（线性或仿射）变换、同态加密方案（如RSA、ElGamal和Paillier）和时变变换[5]。尽管一些加密方案，如Paillier和ElGamal，可以通过选择不同的随机参数将一个明文转换（加密）为不同的密文，但是反转换（解密）会将这些密文再次映射回相同的明文。因此，这些基于密码学的方法本质上是确定性的。基于密码学的方法通常需要大量的计算。其他基于变换的方法计算量小，但只适用于特定的系统。在实际应用中，同态加密方案显示出巨大的潜力，近年来得到了广泛的应用，因为它可以使密文在不解密的情况下进行某些类似针对明文的算术运算（如加法或乘法）。许多研究都是用这种技术进行的。例如，在[3]中引入同构变换，解决了基于云的最优控制系统的隐私问题。Paillier加密方案已用于隐私保护分布式优化[6]和系统识别[7]。

• 基于随机混淆或扰动的技术。这种方法给系统引入了随机性。将敏感信息和公开信息之间的关系视为一个映射，可以通过将精心设计的噪声乘以或加到其象空间或原象空间中的元素中来引入随机不确定性。这样一来，敏感信息和公共开信息之间的对应关系即使原来可能是一一对应的，但在扰动后就不再是确定性的了。这不仅扩展了与公开信息相对应的给定敏感信息的候选集，而且为其赋予了某种概率，从而减少了敏感信息与公开信息之间的互信息，提高了系统的隐私安全性。然而，引入随机性会降低系统性能。因此，在实际应用中，在使用该技术时需要考虑四个关键问题：在哪里引入扰动、使用什么样的扰动、能产生多大的隐私保护力度以及对系统性能带来什么影响。差分隐私是随机扰动技术中最流行的方法之一。隐私安全度通过隐私预算来量化，隐私预算是一个描述在概率意义上区分产生相同公开信息的相邻敏感信息难度的指标。差分隐私在数学上概念简单，对后处理(post-processing)有免疫性，因此已成功应用于解决控制系统的隐私问题，如隐私保护下的状态估计[8]和分布式趋同[9]。

• 其他技术。控制系统的其他隐私保护方法包括秘密共享、乱码电路和不经意传输协议。从本质上讲，其中有些方法可以看作是转换和混淆处理技术的结合。

实际上，每种技术都在使用各自的方法来保证候选集的存在，并尽可能地将其扩展。基于系统结构的技术和基于变换的技术通常对系统的稳定性要求不高，而随机混淆技术往往要求系统具有足够的稳定性来抑制扰动的影响。

尽管控制系统中的隐私保护方法，特别是基于密码学的方法和基于差分隐私的方法已经出现，但是仍然面临着巨大挑战，有许多值得研究的问题。

• 提高现有基于密码学的方法的效率。现有的研究多采用半同态公钥加密方案来解决控制系统中的隐私问题，该方案计算量大、耗时长。因此，如何现有算法进行优化，设计高效的同态加密方案，设计保护隐私的外包计算机制是亟待解决的问题。

• 应用更多密码学工具来处理控制系统中的安全计算。其他基于密码学的方法，如全同态加密和函数加密，为安全计算提供了新的实现途径。全同态加密同时支持同态加法和同态乘法。函数加密支持有限制的密钥特性，使密钥持有者只能得到关于加密数据的特定函数的计算结果，得不到关于数据的任何其他信息。这些工具在解决控制系统的隐私问题方面有着广阔的前景。

• 平衡隐私安全和系统性能。基于密码学方法的量化误差和基于随机混淆处理方法引入的随机性都会在增强隐私安全性的同时降低系统性能。然而，加强隐私安全不应该牺牲太多系统的原始性能。因此，需要进一步研究这些误差与系统性能，特别是系统稳定性之间的关系，以设计性能更好的隐私保护机制。这还需要更好的隐私安全的度量方法或扰动方法（例如，minibatch方法）。

• 实现主动对手存在的情况下的隐私安全。现有的大多数研究都假设攻击者是被动攻击者。然而，对手可能是理智且主动的，可以选择任何有效的策略进行恶意攻击，同时保持不被发现。如何对主动攻击者的攻击进行数学建模并设计相应的隐私保护策略值得进一步研究。例如，可以考虑基于博弈论的方法。

• 协同设计隐私保护算法和相应的软件、硬件。隐私保护方法的计算复杂性和及时性限制了其实际应用。设计专用的硬件/软件来有效地实现隐私保护算法，有助于扩展工业应用，促进隐私安全的研究。为隐私保护算法开发专用集成电路（ASIC）和专用函数库可能是未来的一个好选择。