人工智能安全的密碼學思考

曹珍富

何為人工智能

人工智能（Artificial Intelligence，AI）是研究、開發用于模擬、延伸和擴展人的智能的理論、方法、技術及應用的一門技術科學。它的主要目標是使機器能夠勝任一些通常需要人類智能才能完成的復雜工作。當然，不同時代、不同的人對這種“復雜工作”的理解是不同的。目前，這些“復雜工作”包括人機智能交互、自然語言處理、智能推薦、知識表現、智能搜索、推理、規劃、機器學習、知識獲取、組合調度、感知、模式識別、邏輯程序設計軟計算、不精確和不確定的管理、人工生命、神經網絡、復雜系統、遺傳算法等，幾乎囊括任意應用驅動的理論研究。因此人工智能屬于自然科學、社會科學、技術科學的交叉學科。

應用驅動的理論研究之先驅可以追溯到英國數學家、邏輯學家圖靈（Alan Mathison Turing），他被公認為計算機之父和人工智能之父。他1931年進入劍橋大學國王學院，畢業后到美國普林斯頓大學攻讀博士學位，二戰爆發后回到劍橋，后參與破解德國著名的密碼系統Enigma，幫助盟軍取得了二戰的勝利。圖靈提出的著名的圖靈機模型，為現代計算機的邏輯工作方式奠定了基礎。圖靈對于人工智能的發展有諸多貢獻，提出了一種用于判定機器是否具有智能的試驗方法，即圖靈測試，至今，每年都有測試的比賽。圖靈獎是美國計算機協會于1966年設立，有“計算機界諾貝爾獎”之稱。

圖靈的諸多貢獻奠定了計算機發展的基礎，人工智能在此基礎上萌芽發展。但是，現代人工智能被認為起源于1956年的達特茅斯會議，所以通常將1956—1980年稱為人工智能發展起步時期，其中包括1957年羅森布拉特發明了神經網絡Perceptron。但到了1970年，由于計算能力受限，人工智能發展步入第一個寒冬。第二個發展時期是1980—1990年，XCON專家系統出現，每年節約4000萬美元，標志著人工智能發展步入專家系統推廣時期。其中80年代以Prolog語言為基礎的“五代機”曾風靡一時。1990—1991年，人工智能計算機DARPA沒能實現，投入縮減，人工智能進入第二次低谷。1997年IBM的Deep Blue戰勝了國際象棋冠軍，引發人工智能新的研究熱潮。2000年至今被稱為人工智能第三個發展時期，進入深度學習階段。其中2006年Hinton提出了深度學習的神經網絡;2011年蘋果的Siri問世，深度學習技術得到不斷創新;2012年Google的無人駕駛汽車上路;2013年深度學習算法在語音和視覺識別上有重大突破，識別率分別超過99%和95%;2016年Deepmind團隊的AlphaGo運用深度學習算法成功戰勝圍棋世界冠軍，引發關注。人工智能提出后歷經幾次寒冬，自深度學習算法出現后，近年來再次進入爆發期。

人工智能發展至今，給我們許多啟示。首先，我們必須要從人工智能的歷史來認識人工智能，準確把握其定位。其次，人工智能不僅僅是實驗室里的，它更是具有廣泛應用的革命性技術，它的成功必須依賴人工智能安全的基礎性建設。

人工智能安全及其發展態勢

人工智能系統無論是推薦系統、機器學習還是5G網絡，都可以抽象成一對多、多對一或多對多的模型。因此，人工智能安全與通信雙方至少有一方為多方的密碼學理論體系（多方密碼學）建立休戚相關，其重要性不言而喻。當前的人工智能安全研究主要包括以下幾方面內容。

一是推薦系統的隱私保護。推薦系統的隱私保護可分為單用戶、多數據模型和多用戶、多數據模型兩類。如圖1所示，在單用戶、多數據模型的推薦系統隱私保護中，為了保證數據的機密性，必須對推薦系統中訓練的數據集加密，然后上傳給推薦服務器。由推薦服務器在密文域上建立預測模型，計算推薦結果。授權用戶可以申請查看推薦結果，對返回的推薦結果密文進行解密和正確性驗證。在此推薦系統中，用戶歷史數據集隱私、推薦模型隱私和推薦結果隱私均得到有效保護，且推薦結果正確性可驗證。在多用戶、多數據模型的推薦系統隱私保護中，首先在多個域中進行相似用戶歷史數據安全搜索，然后通過安全多方計算技術建立預測模型與隱私保護的推薦結果計算，最后返回密文推薦結果，驗證推薦結果的正確性并解密。

二是機器學習的隱私保護。機器學習的隱私保護目前國內外的主要技術包括公鑰全同態加密和安全多方計算，主要聚焦于如何在密文歷史數據訓練集上進行高效的模型訓練和計算。其中涉及的原子計算包括密文域上的Sign函數計算，密文域上的Sigmoid函數計算和密文域的梯度函數計算。如圖2（a）所示，每一個神經元以數據向量 和權重向量 為輸入，計算 ，其中b為偏移量。圖2（b）是一個多層的神經網絡系統，包括輸入層（第0層）、多個隱藏層（第1層～第L-1層）和輸出層（第L層），其中每一層均由多個神經元構成。構造隱私保護的離散神經網絡模型訓練與計算協議需要實現的隱私保護包括訓練數據集隱私、模型參數隱私和預測結果隱私。

三是5G網絡的智能安全。如圖3所示，5G網絡的智能安全是指在多對多環境下，如何通過工作量證明，實現隸屬于多用戶的多計算任務與多個運行于不同工作負荷下的服務器之間的智能匹配。同時保護用戶的計算任務隱私和服務器的工作量隱私。建議在這方面的研究可以從以下五個方面考慮：

1.針對5G通信安全高效性需求，研究適用于5G網絡傳輸節點實時工作量評估與推薦的隱私保護的新型加密方案或協議的安全模型。

2.在智能化提供5G通信的高效便捷方面，建議增加推薦與評估機制。主要包括以下幾方面：利用網絡狀態與服務元數據作為歷史數據訓練集，構建適用于節點實時工作量評估的機器學習模型算法及“多對多”數據傳輸新模式。研究群智服務5G網絡數據傳輸主客體的動態信用評估方法。設計隱私保護的節點實時工作量評估協議，在保護用戶歷史訓練數據集隱私與傳輸節點推薦結果隱私的前提下，實現密文域上的網絡節點實時工作量高效評估。針對網絡中存在的惡意敵手，如通過提供虛假歷史數據訓練集而惡意占用通信帶寬的拒絕服務攻擊，提供在5G網絡模式下的節點實時工作量評估的可驗證性。

3.構建保護5G安全與隱私的密碼理論框架，尋求表達能力豐富的屬性基加密方案。主要包括以下幾方面：尋求更短密文、短密鑰、短公開參數的高效屬性基加密方案。減少配對的使用次數會提高解密的工作效率，尋求快速解密功能的屬性密碼方案，尤其是配對次數與屬性數目相獨立的解密方案。尋求簡單的難題假設。

4.提出新的密碼理論，滿足安全且好用的要求。建議提出面向智能化5G通信網絡的、不依賴于同態或全同態加密的密態計算一般方法，避免使用公鑰加密算法直接加密數據本身，構建應用混合加密體制設計密態計算一般性新理論。主要包括以下幾方面：密態計算的隱私保護;密態計算結果的正確性可驗證;密態計算的高效性，更適用于大數據背景下5G網絡中處理大規模數據的性能需求;設計適用于智能化5G網絡節點實時工作量評估的高效的隱私保護網絡傳輸節點的智能推薦算法。

5.積極開展智能化5G通信安全的密碼學實踐。建議研發高效的智能化5G安全通信原型系統。主要包括以下幾方面：智能化5G安全通信的底層基礎設施：提供可信基礎設施，保證數據真實不可篡改，提供5G網絡節點分布式、群體參與、群體共治基礎服務。智能化5G安全通信的基本密碼算法實現模塊：實現不利用公鑰全同態加密技術，實現輕量級隱私保護的單用戶、多數據密態計算協議和多用戶、多數據密態計算協議。智能化5G安全通信路由協議模塊：實現高效的適用于智能化5G通信網絡的節點實時工作量評估的推薦系統，有效提高5G網絡整體數據吞吐率與降低平均時延。智能化5G安全通信的密文數據安全傳輸與訪問控制模塊：實現具有可追蹤、可撤銷功能的屬性基加密方案及其細粒度密文訪問控制系統進行實現，對智能化5G網絡的安全數據傳輸提供有力保障。

人工智能安全相關密碼理論成果

2012年本文作者在CRC出版社出版了《New Directions of Modern Cryptography》一書，詳細介紹了在多方密碼學上的一系列具有突破性的重要理論成果，系統地解決了一對多、多對一和多對多場景下的密碼安全問題，可以看作是第一部介紹人工智能安全密碼學的著作。書中詳細論述了去中心化多機構框架、完全撤銷機制、性能和效率的折中方案、平面（或立體空間）的解密服務及路徑證明等。當前與人工智能安全相關的密碼理論成果主要包括用戶私鑰泄露的白盒/黑盒可追蹤和通過減少公鑰加密使用次數實現的輕量級隱私保護數據聚合新方法等。

1.去中心化的多機構密文訪問控制。首先提出了具有多屬性機構的細粒度密文訪問控制方法，其中每個屬性機構負責部分屬性私鑰的分發，在一定程度上解決了用戶密鑰托管問題，但由于中央權威機構還是唯一的，仍存在密文的部分可解密問題。為了解決該問題，進一步提出了同時具有多權威機構和多屬性機構的雙層多機構屬性基加密方案，完全解決了去中心化的多機構密文訪問控制問題。

2.可撤銷屬性基加密方案分為授權情形和非授權情形。在授權情形中，用戶授權代理服務器將訪問控制策略P1下的密文重加密成任意訪問控制結構P2下的密文。在云服務器中存儲更新后的密文，從而撤銷滿足訪問控制策略P1的用戶對加密數據的訪問能力。2009年，在標準模型下，提出了具有選擇明文安全和主密鑰安全的基于屬性的代理重加密方案。在非授權情形中，董曉蕾教授等人提出了第一個縮小訪問控制策略的可撤銷屬性基加密方案。該工作被國際著名密碼學家Waters等人在CRYPTO 2012的工作引用，去掉了撤銷列表。

3.白盒可追蹤屬性基加密方案，針對屬性基加密中的用戶私鑰泄露問題，提出了解決方案——對惡意用戶進行追蹤。2013年，提出了第一個在白盒可追蹤安全模型下可證明安全的且支持任意訪問控制結構的白盒可追蹤密文政策屬性基加密方案，2015年提出了第一個支持大屬性集合的白盒可追蹤密文政策屬性基加密方案。黑盒可追蹤屬性基加密方案與白盒方案有所不同，解密密鑰與解密算法嵌入在泄露的解密黑盒中，追蹤難度更大。2013年，提出了高效的、具有適應性安全和豐富表達能力的黑盒可追蹤密文政策屬性基加密方案。

4.不依賴公鑰全同態加密技術的輕量級隱私保護數據聚合方案。不依賴公鑰全同態加密，在不得不使用公鑰加密來保護數據隱私的前提下，通過盡量減少公鑰加密的使用次數來實現密碼協議的輕量化的新理論與新方法。具體而言，利用離線狀態下一次任意單向陷門置換和在線狀態下僅包含簡單加法、乘法運算的對稱全同態映射，對多個輸入數據進行批量加密，并實現密文域上的統計分析和計算。該技術在無線車聯網、智能電網、圖像處理、模式匹配和移動電子醫療等各類新型網絡服務中的應用密碼學研究也得到了一系列重要研究結果。

人工智能安全相關的密碼應用成果

與人工智能安全相關的密碼學應用成果也取得了重要進展。2008年，具有完全自主知識產權、基于平臺的——世界首臺加密數據共享移動設備研制成功，并且完成了安全防偽類系列產品的設計。2011年，具有完全自主知識產權的——世界首個加密數據共享芯片研制成功！這款芯片同時解決了兩個難題。加密數據共享移動設備和不需存儲生物特征的生物特征防偽（Biometric Features Anti-Counterfeiting Without Storing Biometric Features，BAN）等核心技術，填補了國際空白。

在芯片實現方面，該加密數據共享移動設備，具有體積小，重量輕，便攜的特點，移動設備作為加解密工具，密鑰存在U盤。以 Verilog 電路形式實現了前述功能，支持有限域上的運算，支持橢圓曲線上的運算，正確性在 Xilinx FPGA 平臺上通過了驗證。基于Java 技術研制出 FPGA 形式的演示系統，Windows、Linux等均可使用。該芯片主要元件包括數據存儲器、狀態控制器、指令存儲器、算術邏輯器、程序計數器。該芯片可制作成U盤形式的便攜式設備，通過USB 接口與電腦連接，USB 驅動芯片提供USB協議，芯片完成加/解密或認證功能。

在芯片功能方面，在傳統密碼學中，加解密方式為“一對一”加密與解密。其缺點包括：不具有容錯性，如把用戶的生物特征（用戶的指紋掃描數據等）作為用戶的身份并在該身份下加密數據，很難做到兩次指紋掃描數據完全吻合。傳統的訪問方式的缺點包括：基于訪問控制服務器的判斷與鑒別，抗攻擊能力弱，該服務器本身就容易成為攻擊的目標。傳統的加密文件系統的缺點包括：針對不可信文件系統，采用加密的方式存放在服務器上，但是又面臨訪問控制與文件共享的困難。該設備改變了現有明文數據存儲方式，應用前景廣闊。其核心部件是芯片，實現了對加密數據的訪問控制，通過具體的規則控制用戶獲取密鑰，或通過具體的屬性集合提取用戶的密鑰。用戶使用此芯片連接服務器，只有當用戶的權限能夠滿足訪問規則時，才能解密，從而閱讀使用。該芯片使用新的加密文件系統和非單調訪問結構。不同于傳統的文件系統，新的加密文件系統的目標是加密的文件能夠靈活訪問，其實現方法是將文件標記為不同的標識，并使用標識對文件加密;用戶的密鑰表達為這些標識的訪問結構。非單調訪問結構邏輯表達式中還可以包含“非”。

其典型應用包括：加密數據訪問控制應用（智能加密卡的制作與分發）、電子政務敏感信息加密訪問控制系統、銀行賬戶信息加密訪問控制系統、安全有線電視分發管理系統、安全移動終端服務系統。加密數據訪問控制應用主要依靠加密卡的使用。加密卡的制作和分發過程主要包括，用戶向制卡中心注冊，制卡中心通過設置用戶屬性，提取屬性密鑰，寫入可信芯片中三個步驟制成加密卡，最后將此智能加密卡交付給

用戶。當用戶想要使用智能加密卡對文件進行加密時，可以將智能加密卡插入個人電腦，選擇需要加密的文件或文件夾，并設置屬性訪問權限對文件加密，加密的文件上傳到云服務器端。當用戶想要對文件解密時，用戶只需要將智能加密卡插入個人電腦，從云服務器端下載該文件，并對訪問權限進行判斷，若符合則成功解密，若不符合則解密失敗。

基于生物信息的身份鑒別技術是指將用戶的某種生物信息作為身份，實現身份鑒別。但是用戶的生物特征（如用戶的指紋掃描數據等）作為用戶的身份ID，用現有的基于身份的鑒別技術很難實現，因為兩次指紋掃描數據并不相等。2007年，我們提出了模糊身份數字簽名的概念與方案，將其用于解決不存儲生物特征而實現生物特征比對問題。在實現的系統中，將生物信息與姓名、賬號等信息進行簽名綁定，用用戶的動態身份ID' 進行驗證時，若ID∩ID' 至少含有指定數量的元素，則驗證通過;否則驗證失敗。其典型應用包括指紋防偽銀行卡、指紋防偽護照、指紋防偽門禁卡、指紋防偽身份等。

小結

本文介紹了何為人工智能，介紹了人工智能的發展軌跡;闡述了推薦系統、機器學習隱私保護，5G網絡智能安全的需求及其解決方案和發展趨勢;總結了現有的與人工智能安全相關的重要密碼學研究進展：“信道安全+”密文訪問控制安全模型和通過減少公鑰密碼使用次數構建輕量級同態數據封裝機制;提出了構建人工智能安全的可證明安全密碼學理論。我們認為，人工智能理想狀態下是一項有用的技術，但在現實面前很難有用，用不好甚至是有害的技術。其中理想狀態是指純技術、無攻擊者，現實狀態是指既有人為因素，也有攻擊者。解決該問題的方法只有增加安全，抵抗攻擊。所以，人工智能建設從一開始必須考慮安全問題，即人工智能建設與人工智能安全建設必須同步進行。

如何找到正確的路徑發展人工智能是頭等大事，任重而道遠！

責任編輯：王卓