边缘学习： 隐私计算白皮书 边缘计算产业联盟 ECC 安全工作组 2022年6月完成单位： 北京大学 清华大学华为技术有限公司国家工业信息安全发展研究中心中国移动通信有限公司研究院深信服科技股份有限公司奇安信科技集团股份有限公司绿盟科技集团股份有限公司亚信科技（中国）有限公司北京八分量信息科技有限公司东吴证券股份有限公司卡奥斯工业智能研究院（青岛）有限公司上海宝信软件股份有限公司 主要完成人： 沈晴霓、黄还青、方跃坚、李 琦、庞 婷、 王冲华、孔 同、于 路、聂文静、古 亮、 张 欢、乔思远、陈 磊、杨爱东、王 达、 阮安邦、陈少伟、张之浩、张子华、林 宏、黄玉宝、陈骏林 其他参与人： 董佶圣、许浩然、黄 希、侯慧婷、曹 暾、汪钦霆、罗晟泽、李沛洋、信 伦、郭漫雪、李 征、孟宾宾、郑景中、刘 浩、于琳琳、 吴墨翰、屈晋先、任栩萱、华仁杰、唐淑艳、孙 明、胡明臣、杜召娟、赵士超、代真虎、 李 琳 ¹‹¡{—N§N€TvßÿECCÿ 当前， 个人数据隐私保护已经成为国际关注的重要问题， 各国陆续推出隐私保护相关的法律法规和技术标准，如欧盟《通用数据保护条例》、美国《统一个人数据保护法案》、英国《数据保障法案》、我国《数据安全法》和《个人信息保护法》以及 ISO/IEC国际标准《信息技术 - 安全技术 -隐私架构框架》等，使得同态加密、秘密共享、 茫然传输、 混淆电路、 零知识证明、 差分隐私、 群 /盲签名、 远程证明等成为保护个人数据隐私的基础理论和方法，并基于这些基础理论和方法逐步发展形成了以联邦学习、安全多方计算和可信执行环境三大技术为主的隐私计算技术体系。 随着5G、物联网、大数据、云计算、人工智能等技术的 快速发展与应用，数据共享和联合建模的需求越来越迫 切。近年来基于云的中心化机器学习技术进入发展的“快车道”，并且在计算机视觉、自然语言处理、大数据分析等众多领域获得成功应用。然而，基于云的中心化机器学习面临计算延迟大、可扩展性不足、数据隐私保护能力差等多重挑战。为了应对上述挑战，边缘学习的概念近年来被提出并受到了学术界和产业界的广泛关注。 边缘学习是一种基于“云 -边-端”层次化、分布式的 计算架构，使得数据在数据源本地或者最近的边缘服务 器上得到处理，用于训练本地的机器学习模型和进行模型推理，只需要和云中心通信必要的模型参数，大大减少了对云中心的依赖，降低了模型计算延迟，提高了可扩展性，保护了数据的隐私性。边缘学习是边缘计算实现边缘智能服务的核心内容，根据其分布式架构不同可分为以下三类。前言 PREFACE »终端设备学习 ：直接在终端设备上执行模型的训练与 聚合； »边缘服务器学习：将模型的训练与聚合都放到边缘服务器上，终端设备仅需发送数据与接收学习的结果，改善了终端设备算力不足的约束； »云边端协同学习：通过将终端设备、边缘服务器和云中心智能地联合起来共同参与模型训练。 事实上，边缘学习采取数据在就近边缘服务器 /终端设 备本地进行处理的方式，本质上就是隐私计算的一种实现方法。但是“云 -边-端”架构的边缘学习模式对隐 私保护的需求不同，包括：边端协同、云边协同、边边协同和云边端协同四种应用场景，每种场景下的边缘学习系统在数据、网络、计算和模型层面都会面临新的攻击，导致隐私泄露风险。而采用联邦学习、安全多方计算或可信执行环境等隐私计算技术保证边缘学习过程数据隐私性，需要对协同计算方之间交互的模型信息（如模型参数）进行加噪声（差分隐私）、加密（如同态加密、安全多方计算）等处理，会降低最终模型的精度、影响模型的收敛速度和学习过程的公平性和持续性。 为此，本白皮书针对边缘学习中隐私计算需求与应用场 景、风险与技术挑战、技术架构与关键技术、实践与案例分析方面展开论述，为学术界与产业界开展面向边缘学习的隐私计算技术方面的研究、实践和应用提供有益的参考和指导。 ¹‹¡{—N§N€TvßÿECCÿ 第一章 :边缘学习：基本概念、特征与分类 01 1.1 边缘学习相关概念 02 1.2 边缘学习特征与优势 04 1.2.1边缘学习特征 04 1.2.2 边缘学习优势 04 1.3 边缘学习技术分类 05 1.3.1 终端设备学习 05 1.3.2 边缘服务器学习 05 1.3.3 云边端协同学习 06 第二章：边缘学习：隐私计算需求与应用场景 07 2.1边缘学习：隐私计算相关法律法规与标准 08 2.1.1 边缘学习：隐私计算相关法律法规 08 2.1.2 边缘学习：隐私计算相关标准 09 2.2边缘学习：隐私计算需求 11 2.3边缘学习：隐私计算应用场景 12 2.3.1 主从式部署 12 2.3.2 对等部署 15 2.3.3 场景对比 15 第三章：边缘学习：隐私计算风险与技术挑战 16 3.1边缘学习安全风险 17 3.1.3数据风险 17 3.1.2 网络风险 17 3.1.3 计算风险 17 3.1.4 模型风险 18 3.2边缘学习技术挑战 19 3.2.1 模型精度 19 3.2.2 学习效率 19 3.2.3 激励机制 20 ¹‹¡{—N§N€TvßÿECCÿ 第四章：边缘学习：隐私计算架构与关键技术 21 4.1边缘学习：隐私计算架构 22 4.2边缘学习：隐私计算关键技术 24 4.2.1 联邦学习 24 4.2.2 安全多方计算 24 4.2.3 可信执行环境 25 4.3边缘学习：隐私计算支撑技术 27 4.3.1 差分隐私 27 4.3.2 同态加密 27 4.4边缘学习：隐私计算相关技术 28 4.4.1 可验证计算 28 4.4.2 区块链服务 28 参考文献 45第五章：边缘学习：隐私计算实践与案例分析 30 5.1奇安信案例 31 5.1.1 金融行业：面向小微企业的供应链金融风控方案 31 5.1.2 医疗行业：面向疾病研究与辅助诊断方案 32 5.2深信服案例：云边协同恶意文件检测方案 33 5.3亚信科技案例 34 5.3.1 客户管理领域：客户体验管理方案 34 5.3.2 医疗服务领域：医疗场景智能推荐服务方案 36 5.4东吴证券案例：证券期货投资者的风险承受能力检测方案 39 5.5海尔案例：工业互联网的网络安全与隐私计算解决方案 41 5.6宝信案例：工业制造领域云边端协同的隐私计算解决方案 43 ¹‹¡{—N§N€TvßÿECCÿ 第一章 边缘学习： 基本概念、特征与分类 ¹‹¡{—N§N€TvßÿECCÿ 边缘学习：隐私计算白皮书02 第一章：边缘学习：基本概念、特征与分类图1-1 边缘学习架构图[6]边缘计算[1,2,3,33]：它是指在靠近物或数据源头的网络边 缘侧，融合网络、计算、存储、应用核心能力的分布式 开放平台（架构），它可以就近提供边缘智能服务，满足行业数字化在敏捷联接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。它可以作为联接物理和数字世界的桥梁，主要包括三类落地形态，云边缘、边缘云和边缘网关。边缘计算的技术体系涉及边缘原生、边云协同、边缘智能、边缘连接等独特技术能力，并涉及计算、存储、连接、云、视觉、人工智能等通用技术能力的应用。 隐私计算 [4,34]: 它旨在确保处理和分析计算数据的过程中 能保持数据透明、不泄露、无法被计算方以及其他非授 权方获取，即在提供隐私保护的前提下实现数据价值挖掘的技术体系， 包括差分隐私、 同态加密、 安全多方计算、零知识证明、可信执行环境、联邦学习等技术，根据具体的实现功能，又主要分为三大类：在不公开数据的情况下执行本地分析与处理（如联邦学习，具体见 4.2.1）、 在处理之前转换数据和 /或算法（如安全多方计算，具 体见4.2.2）、提供可信的安全隔离环境来执行和处理（如 可信执行环境，具体见 4.2.3）等。 联邦学习 [5,28]：它是隐私计算的一种主要实现技术，旨 在建立一个基于分布数据集的联邦学习模型。联邦学习包括两个过程，分别是模型训练和模型推理。在模型训练的过程中， 各方的模型相关信息 （如模型参数） 能够 （以明文、加干扰或加密等形式）互相交换，但参与训练的数据不能直接交换，以保护各方数据的隐私性。已训练好的联邦学习模型可以部署在联邦学习系统的各参与方，也可以部署在多方之间实现协同共享。当模型推理时，各方模型可以应用于同一数据实例（如不同医院对同一病历的诊断），各方将协作进行预测。联邦学习需要有一个公平的价值分配机制来分配协作所获得的收益，即设计有效的激励机制来保证联邦学习过程的可持续性。根据联邦学习的网络架构，它分为需要协调方的分布式联邦学习和无需协调方的对等联邦学习两种方式，前者是各参与方使用各自的数据训练本地模型，再由协调方将收到的各方模型进行聚合，后者则是各参与方在本地训练之后无须借助第三方便可以直接与其他参与方通信以进行模型的更新和聚合。 边缘学习 [2,3,4]：它是基于“云 -边-端”层次化、分布 式的计算框架，在边缘层进行模型训练与模型推理的过 程，如图 1-1所示。一方面，它可以使得数据能够在数 据源本地（如：边缘服务器或者终端设备）得到处理，用于训练本地的机器学习模型，从而保护数据的隐私性； 1.1 边缘学习相关概念 云数据中心 深度学习 因特网 边缘服务器 边缘服务器 深度学习 深度学习边缘设备 终端设备 ¹‹¡{—N§N€TvßÿECCÿ 边缘学习：隐私计算白皮书03 第一章：边缘学习：基本概念、特征与分类 另一方面，边缘服务