【隐私设计模式】隐私设计模式之聚合网关

摘要

在不同的地方加密、聚合和解密。

问题

服务的提供可能需要链接到数据主体的服务属性的详细测量，以根据需求负载在每个时刻调整服务操作。然而，随着时间的推移，这些测量可能会揭示更多信息（例如个人习惯等）。

上下文

服务提供者获得链接到一组单独服务用户的服务属性的连续测量。

目标

让服务提供商能够随时可靠地访问聚合负载，以满足其操作要求，而不允许其访问每个特定服务用户所需的单个负载。

激励示例

一家电力公司运营着一个智能电网，智能电表提供每个用户瞬时功耗的测量值。公用事业公司利用该信息根据用户在每一时刻的需求以动态方式调整功率分布。

解决方案

• 同态加密（例如Paillier）应用于计量系统，使用与服务提供商共享的秘密（通过应用例如Shamir的秘密共享方案生成）
• 来自一组用户的加密测量值被传输到独立但可信的第三方。这个第三方无法知道每个测量的内容（因为它是加密的），但它仍然可以以加密的形式对数据进行操作（因为加密系统是同态的）。每组用户都有不同的可信第三方。为了提高隐私弹性，每个用户可能同时属于多个组。
• 受信任的第三方聚合来自同一组中所有用户的测量结果，而无需在任何时候访问清除中的数据。
• 服务提供商接收加密的聚合度量并用共享密钥对其进行解密。

可以添加进料器计量系统作为测量杆，用于对每组仪表进行比较。

限制和后果

需要部署可信的第三方来计算每组用户的聚合。请注意，他们需要诚实（即，他们不能与其他相关方勾结），但不需要尊重保密性（因为他们只能访问加密内容）。需要具有计算资源的智能电表来应用秘密生成和同态加密程序（注意，在处理计算资源的使用时，这是微不足道的，但在例如智能电网系统的情况下，它不一定总是可用的）。测量值的潜在范围必须足够大，以避免暴力攻击。稳健的同态加密方案引入了较大的计算负载。

已知用途

• Lu，R.，Liang，X.，Li，X..，Lin，X.&Shen，X.（2012）。Eppa：用于安全智能电网通信的高效且保护隐私的聚合方案。并行和分布式系统，IEEE汇刊，23（9），1621-1631。
• Rottondi，C.，Verticale，G.和Capone，A.（2013年）。与多个数据消费者保持隐私的智能计量。计算机网络，57（7），1699-1713。
• Kursawe，K.、Danezis，G.和Kohlweiss，M.（2011年1月）。智能电网的隐私友好聚合。《隐私增强技术》（第175-191页）。斯普林格-柏林-海德堡。

类别

• 聚合,隐藏和分离

相关模式

值得信赖的隐私插件，噪声测量混淆

支持模式

用户数据限制模式,匿名集

技术就绪水平

TRL-4：实验室验证的技术

本文：