作為未來數(shù)據(jù)要素市場建設的關鍵技術，隱私計算近年來得到快速發(fā)展。事實上，隱私計算涉及的技術繁多且復雜，面對眾多技術路線分支，業(yè)務應用在技術選型時還需具體情況具體分析。本文將嘗試對隱語支持的主流技術進行介紹和對比。

隱私計算的眾多技術分別在保護什么

如下圖所示，各種隱私計算技術主要的作用范圍包括“計算過程安全”和“結(jié)果發(fā)布安全”兩部分，其中計算過程安全表示除了各方約定的計算結(jié)果之外，是否還存在額外的隱私信息泄露。而結(jié)果發(fā)布安全表示計算結(jié)果如果披露給相關方，是否會帶來安全隱患，下文將以此為思路展開詳細探討。

總體來看，可信執(zhí)行環(huán)境TEE 和純密碼學的密態(tài)計算技術（包括多方安全計算MPC、同態(tài)加密HE等）在保護計算過程安全方面，具備比較清晰的安全模型，因此用戶一般只需要關注兩點，即應用場景是否滿足安全模型，以及結(jié)果發(fā)布安全性；而聯(lián)邦學習的目標主要是實現(xiàn)安全、效率以及精度的平衡折中，因此主要是在一些關鍵子過程上采用各類安全防護技術，但并不追求完善的計算過程安全性，通常還是會泄露部分額外的中間信息。

結(jié)果保護

無論是在機器學習建模還是在數(shù)據(jù)分析中，隱私計算的使用者都希望基于這一技術獲取聯(lián)合多方數(shù)據(jù)的模型或分析結(jié)果，也就是實際業(yè)務需要保證一定的結(jié)果信息量，以供建模和分析人員進行決策。

需要注意的是，MPC、TEE等技術本身無法直接抵御攻擊者基于結(jié)果信息量進行的攻擊。針對結(jié)果信息發(fā)布的隱私安全保護手段，目前業(yè)界能進行嚴謹數(shù)學證明的主要是差分隱私技術。差分隱私技術主要目的是保護最終結(jié)果的個體隱私，并能在數(shù)學上證明保護效果，且保護強度可調(diào)節(jié)，但并不保護數(shù)據(jù)的整體使用價值。

目前保護計算過程的隱私計算技術有很多，并發(fā)展出不同的密態(tài)計算分支，本文主要介紹基于可信執(zhí)行環(huán)境的機密計算技術以及基于密碼學的密態(tài)計算技術。

• 可信執(zhí)行環(huán)境 TEE 
  

不同的可信執(zhí)行環(huán)境原理有所不同，本文以使用較為廣泛的Intel SGX為例進行介紹。Intel SGX主要提供兩個能力：一是提供飛地（Enclave），飛地在內(nèi)存中創(chuàng)建加密空間，以防御來自于虛擬機、操作系統(tǒng)以及其他惡意程序的攻擊；二是提供關鍵的遠程認證（Remote Attestation）機制，以幫助用戶判斷飛地中執(zhí)行的程序是否符合用戶預期。

其中，遠程認證技術一般需要結(jié)合密碼學技術，在驗證Enclave行為后利用密碼學技術協(xié)商出加密秘鑰，以此在用戶和 Enclave 之間創(chuàng)建出一條可信安全信道。

• 密碼學的密態(tài)計算

基于密碼學的安全計算技術存在很多分支，目前更受關注的為HE、MPC兩類技術。

MPC和HE兩者并不是完全獨立的存在，MPC協(xié)議涉及多種密碼學技術，如秘密共享SS、混淆電路GC、不經(jīng)意傳輸OT、零知識證明ZKP等。其中很多MPC協(xié)議就需要使用HE作為關鍵支撐技術。比如ABY協(xié)議的離線因子生成，就可以使用HE 。因此很多時候可以將HE視為一種獨立的原語能力，既能夠被MPC使用，也能夠被用于外包計算等其他非MPC應用。

實際應用中，由于MPC本身相對復雜的安全假設分類（如：是否允許不誠實大多數(shù)、是否要求惡意攻擊下安全可證等），其性能不能一概而論，通常而言如若追求抗惡意攻擊和不誠實大多數(shù)等進階能力，需要運用的密碼技術也將更深，其性能也將有所下降。

MPC還有專用MPC協(xié)議和通用MPC協(xié)議之分。通用MPC協(xié)議如SS、GC等理論上是可以支持任意計算，但是對于某些專用場景，其性能未必高，往往還是需要設計專用的MPC協(xié)議才能達到較好的實用性。目前，專用 MPC 協(xié)議主要在隱私求交（PSI），隱匿查詢（PIR) 領域比較火熱，如 PSI 技術當前可以達到十億級/小時級別的實用性能。

誠實大多數(shù)的MPC 技術一般不涉及到HE等復雜密碼計算，性能會明顯提升，目前使用較為廣泛的主要為基于秘密分享的協(xié)議，如ABY3協(xié)議、第三方發(fā)離線因子的降級SPDZ協(xié)議等。雖然這類協(xié)議的計算相對較快，但是無法抵御大多數(shù)參與方的合謀攻擊。

秘密分享等MPC的技術支持計算方與數(shù)據(jù)提供方相分離的模式。這類模式一般稱為代理或者外包（OutSourcing）計算模式。在代理模式中，數(shù)據(jù)提供方只需要將數(shù)據(jù)以SS形式上傳到計算方，后續(xù)MPC協(xié)議全部由計算方執(zhí)行，數(shù)據(jù)提供方無需參與具體的計算過程。存算分離的模式優(yōu)勢是解決了數(shù)據(jù)提供方跨公網(wǎng)的帶寬和計算穩(wěn)定性問題，且可以支持任意多的數(shù)據(jù)提供方接入。短板則是對計算方的安全依賴較高，比如計算方的共謀會直接導致數(shù)據(jù)泄露。

主流技術路線多維度定性對比

上圖是各主流技術路線的優(yōu)缺點分析，目前很難對各種技術路線在各個維度進行定量分析，故而本文主要采用定性分析的方式，分別使用綠色、黃色、紅色代表優(yōu)勢、中等、劣勢項。整體來說，目前沒有任何一項技術能在所有維度全方位領先，實際業(yè)務需要根據(jù)所在場景的安全假設、性能要求、硬件條件等情況具體判斷。

下文主要針對經(jīng)典MPC模式、經(jīng)典聯(lián)邦學習、經(jīng)典TEE模式、MPC代理模式分別進行比對。

經(jīng)典MPC技術具備嚴謹?shù)目勺C安全模型，但MPC技術可證安全的前提，是滿足 MPC協(xié)議的安全假設，否則其安全性也是不成立的。目前，大多數(shù)落地的 MPC 協(xié)議還停留在半誠實模型，而我們認為實際場景中惡意攻擊者是存在的，因此只有實現(xiàn)惡意安全可證才能評為綠色安全等級。

聯(lián)邦學習的安全性始終是行業(yè)的關注重點，目前這一方面尚缺乏嚴謹?shù)陌踩Ｐ停饕哉撟C和攻防為主。如對于聯(lián)邦學習算法存在的中間信息泄露問題，其攻防研究一直從未停歇。雖然不少聯(lián)邦學習方案使用了MPC、HE等密碼學技術以對核心交互信息進行加固，但整體來說，其加固設計主要是經(jīng)驗性的，不同場景下的聯(lián)邦學習方案可能存在的安全問題均有所不同。我們可以將這些安全問題粗略的分為水平分割和垂直分割兩類。

• 水平分割問題

水平分割目前主要的方案是安全聚合，如FedAVG中多個參與方需要對各自的梯度進行一次安全的求和，求和過程可以使用HE或MPC完成。安全聚合的主要問題在于即使求和過程是安全的，但求和結(jié)果是需要作為明文參與下一輪迭代的，因此求和結(jié)果本身就是額外的中間信息泄露。如果參與方數(shù)目較少（如只有兩三個），則一方可能基于求和結(jié)果推斷其他方的梯度，進而推斷其數(shù)據(jù)內(nèi)容，這一風險是不容忽視的；如果參與方數(shù)目較多（如數(shù)十上百個），則聚合結(jié)果包含的信息量較少，其風險一般認為可接受。

• 垂直分割問題

垂直分割場景中，以Split Learning為例，各方之間傳遞的并非完整的梯度，而是自身部分特征或標簽的一個embedding。與水平分割場景一樣，即使方案對傳遞的embedding使用HE或MPC進行了保護，但參與方數(shù)目較少的風險在垂直分割中依然存在。以兩方合作為例，一方可以容易推出另一方的embedding內(nèi)容。但是這些embedding與原始數(shù)據(jù)內(nèi)容的關系是與具體機器學習方案相關的，目前在這方面的研究還沒有水平分割的梯度攻擊那么多，一般需要case by case的研究。

可信執(zhí)行環(huán)境TEE是從系統(tǒng)層面解決隱私計算的安全挑戰(zhàn)?？尚艌?zhí)行環(huán)境的優(yōu)點是性能接近明文，可直接復用已有的海量AI/BI框架，缺點則是有可信硬件信任根，存在軟件和硬件層面的各類側(cè)信道攻擊，面臨額外的硬件漏洞風險。

實際使用TEE技術保護計算過程時，并不僅僅是需要考慮硬件漏洞和側(cè)信道等安全問題，而是需要通盤的安全設計。比如基于遠程認證的細粒度訪問控制就是需要重點關注的。例如，基于一些LibOS（如Occlum）/TEE VM技術(如TDX)可將MySQL這類應用無刪改的放入TEE執(zhí)行，但由于MySQL本身允許客戶端執(zhí)行任意SQL，僅對MySQL程序進行遠程認證，并不能約束用戶編寫惡意SQL語句（如Select *）進行攻擊，因此“一鍵遷移到TEE”是不夠的，需要額外設計針對動態(tài)邏輯的遠程認證+訪問控制方案。

綜合來講，久經(jīng)考驗打磨的TEE（如Intel SGX經(jīng)歷眾多研究者的攻擊）不存在明顯的已知漏洞，在用戶正確應用遠程認證機制、正確衡量數(shù)據(jù)使用行為的情況下，可信執(zhí)行環(huán)境的安全性可以達到中等。其余風險則主要來自軟硬件的側(cè)信道攻擊。

MPC代理是一種較為特殊的模式，由于計算集群和數(shù)據(jù)提供方之間解耦，故而與TEE同樣具有集中式的計算效果，也因此相比經(jīng)典去中心化的分布式MPC模式具備更多優(yōu)勢。但在安全性上，代理計算方共謀則會直接導致數(shù)據(jù)泄露。其次，若不引入TEE，數(shù)據(jù)提供方對代理計算方如何使用數(shù)據(jù)也無法進行強限制。因此，此處認為MPC代理模式的安全性相比經(jīng)典MPC模式稍弱。

以上安全性緯度的對比分析主要聚焦計算過程，需要強調(diào)的是，計算結(jié)果也是信息泄露的途徑之一，無論前置計算過程安全性如何理想，一些任務其計算結(jié)果天然存在信息泄露，如兩方加法場景中，通過最終結(jié)果減去己方數(shù)值可推導對方數(shù)值。

目前針對結(jié)果反推的攻擊，隱私計算的實踐集中在一些結(jié)果信息量降維明顯的應用中，如基于百萬百維的數(shù)據(jù)集訓練一個邏輯回歸模型，最終結(jié)果只有百維左右的權重，信息量相對原始數(shù)據(jù)降低約百萬倍。因建模人員對線性模型的可解釋性需求，目前不少業(yè)務實踐認為邏輯回歸模型最終的權重參與方各自可見，是一種可接受的方案。但數(shù)據(jù)分析中的結(jié)果反推攻擊面明顯大于建模，實現(xiàn)結(jié)果安全可接受，需要更多的技術輔助手段，如差分隱私等。差分隱私與前文所述主要保護計算過程安全的技術路線均可疊加。

應用開發(fā)成本指開發(fā)具備隱私保護能力的應用所花費的成本。

TEE在這一維度具備絕對優(yōu)勢，理論上支持所有算法，可快速復用已有應用，并且在功能層面是完備的。

經(jīng)典MPC或MPC代理模式在這一維度的表現(xiàn)較為相似，MPC具備通用運算能力，但功能需要基于MPC底層能力重新進行研發(fā)，目前主要用以實現(xiàn)機器學習（ML）和數(shù)據(jù)分析（SQL），功能完善度相比TEE通常存在劣勢。隱語框架SPU的設計思路，便是希望借助現(xiàn)代編譯器技術，能夠直接復用已有的上層機器學習算法，從而部分程度解決上層MPC算法重復開發(fā)的效率成本問題。

聯(lián)邦學習技術與 MPC、TEE 不同，主要面向機器學習領域的應用，并不具備通用的密態(tài)運算能力，因此其功能完善度相較TEE同樣存在劣勢。

用戶運維成本主要站在數(shù)據(jù)提供方的視角進行考量，如是否需要于用戶側(cè)部署可以訪問外網(wǎng)的服務，并且在任務運行周期內(nèi)全程在線。由于離線態(tài)和在線態(tài)不同，需分別進行比較。

首先，明確離線態(tài)與在線態(tài)在本文的語義：

• 離線態(tài)：主要指訓練、大數(shù)據(jù)分析等任務，數(shù)據(jù)通常一次性準備完成，任務粒度較大，整體耗時較長（注：離線批量預測也屬于離線態(tài)任務）。

• 在線態(tài)：如聯(lián)合預測等，通常特征值需從機構方某個在線服務/數(shù)據(jù)庫中實時獲取，這些特征值的最新值存在變動，預測時將按需讀取指定某個用戶的特征值。

由于經(jīng)典MPC與聯(lián)邦學習其實現(xiàn)原理要求任務過程中每個用戶在線，因此在離線態(tài)階段如訓練過程即需用戶進行服務化，在線態(tài)不僅同理，還要額外考慮高可用等問題。

TEE與MPC代理模式則由于可實現(xiàn)數(shù)據(jù)和計算相分離，對離線態(tài)計算在完成數(shù)據(jù)加密/分片上傳后，后續(xù)的計算過程用戶無需在線。但在線態(tài)依舊按需實時訪問數(shù)據(jù)，目前也需要用戶進行服務化。

TEE的計算性能基本等同明文計算（指明文在 CPU 為主的情況）。

聯(lián)邦學習尤其是深度學習場景，由于可以復用GPU，理論也可以實現(xiàn)千萬-億級的性能，實際表現(xiàn)要基于具體的帶寬條件：當帶寬條件較低時，會轉(zhuǎn)為帶寬瓶頸，此時GPU的優(yōu)勢便無法體現(xiàn)；當帶寬條件較高時，在FedAVG等部分場景性能有望超過TEE。在一些重密態(tài)的傳統(tǒng)風控聯(lián)邦學習中，性能受同態(tài)加密、帶寬等約束相對較低。

MPC的計算性能是最低的，需要結(jié)合實際帶寬和場景條件。PSI場景現(xiàn)階段可實現(xiàn)十億級別性能實用；在聯(lián)合建模場景中，MPC所能支持的數(shù)據(jù)規(guī)模則會大幅降低，在不同的安全假設條件下，性能存在較大差異，如經(jīng)典金融風控場景中，如在較為寬松的誠實大多數(shù)條件下，約可實現(xiàn)千萬級別，但如要滿足不誠實大多數(shù)的安全假設，性能通常降低一個數(shù)量級，約在百萬量級。

常用的HE、MPC等密態(tài)技術計算的函數(shù)邏輯與明文是一致的，因此其精度影響主要來自于定點數(shù)近似，即它們需要將高精度的浮點數(shù)映射到固定位數(shù)的定點數(shù)運算中（也存在一些可以完美模擬浮點計算單元的密態(tài)技術，但還處于研究階段，實踐中沒有定點數(shù)應用廣泛）。從定點數(shù)在機器學習場景的實踐結(jié)果來看，目前會對精度產(chǎn)生微小影響，但相對較小，通常調(diào)整對應的位寬和定點參數(shù)即可比較穩(wěn)定地解決機器學習場景的數(shù)值計算問題。

聯(lián)邦學習由于其分布式計算的特點，其計算邏輯與明文是存在區(qū)別的，相對 MPC、TEE需要額外考量Non IID等實際存在的數(shù)據(jù)分布問題，一般認為聯(lián)邦學習的精度效果弱于集中式明文全量數(shù)據(jù)訓練的精度效果。

TEE可達與CPU明文計算等同的計算精度，因此在計算精度這一維度具備明顯優(yōu)勢。

大多數(shù)隱私計算實踐始于兩方或三方場景。從趨勢上看，支持更多的數(shù)據(jù)源有望得到更好的模型效果。因此，對數(shù)據(jù)參與方數(shù)量的支持能力將是未來的重要考核點之一。

其中，經(jīng)典MPC與聯(lián)邦學習因原理上要求參與方實時在線，并且這兩類技術對帶寬的需求會隨著參與方的增多進一步提高?，F(xiàn)有實踐通常建議MPC的參與方數(shù)量小于5，否則在非局域網(wǎng)環(huán)境下，其穩(wěn)定性和訓練時長將會面臨挑戰(zhàn)。

垂直聯(lián)邦學習也存在和MPC類似的問題，但由于其部分計算能夠本地完成，其性能相較MPC而言更高，垂直場景下通常建議參與方數(shù)量小于10。Cross-silo的水平聯(lián)邦學習能支持的數(shù)據(jù)提供方數(shù)量會更多，但具體數(shù)量與模型大小、模型壓縮率、聚合頻次和client 采樣率等多個因素相關，其上限約在百級-萬級浮動。

TEE與MPC代理模式由于支持計算和數(shù)據(jù)提供方分離，因此在數(shù)據(jù)參與方支持數(shù)量維度呈現(xiàn)明顯優(yōu)勢。

在討論數(shù)據(jù)控制力之前，我們需要對“原始數(shù)據(jù)不出域”這一隱私計算領域的常用詞進行討論：“原始數(shù)據(jù)不出域”的嚴格定義是什么？原始數(shù)據(jù)加密出域是否屬于原始數(shù)據(jù)出域？若不是，其原因什么？

“原始數(shù)據(jù)不出域”目前缺乏嚴謹?shù)墓俜蕉x，但是歸根結(jié)底，我們考慮問題的核心是數(shù)據(jù)安全和攻防成本。假設原始數(shù)據(jù)使用一個固定密鑰加密出域，但攻擊者無法破解秘鑰，此時原始數(shù)據(jù)加密出域是安全的，可以認為屬于“原始數(shù)據(jù)不出域”。但如果考慮小概率事件，如加密過程可能被破解，或是攻擊者可能通過其他手段如社會工程學獲取密鑰，則原始數(shù)據(jù)加密出域不是安全的。此時聯(lián)邦學習等原始數(shù)據(jù)不出域方案確實更優(yōu)，如FedAVG經(jīng)典水平聯(lián)邦算法中，Secure Aggregation 過程只有加密模型參數(shù)出域，由于出域的信息已是降維后的模型參數(shù)等，最不理想的情況下泄露的范圍也限于這些模型參數(shù)權重信息，依據(jù)這些信息擬合原始數(shù)據(jù)需要一定條件。

因此僅從密碼學的角度，原始數(shù)據(jù)加密出域本身不是問題。但是考慮到整個數(shù)據(jù)安全需求，如果要考慮到秘鑰被破解后的最壞情況，則原始數(shù)據(jù)加密出域是存在風險的。

但是，強調(diào)原始數(shù)據(jù)不出域在實際中很難體系化保證，如聯(lián)邦學習的基本原則是原始數(shù)據(jù)不出域，但預處理等各類算法組件無法完全遵守這個原則。如基于加法同態(tài)的WOE算法中，有標簽的參與方需要將原始標簽數(shù)據(jù)同態(tài)加密后出域?？偠灾?，在大部分隱私計算應用中，都無法避免原始數(shù)據(jù)的加密出域，需要對應用涉及的所有模塊進行詳細的風險分析。

從上面的討論來看，TEE技術如果正確地使用了密碼學技術和遠程認證機制創(chuàng)造出安全信道，其計算過程理論是安全的。但基于筆者對一些用戶的訪談了解，部分用戶確實對TEE的原始數(shù)據(jù)加密出域使用存在顧慮，典型顧慮是：數(shù)據(jù)加密出域到外部TEE后，又發(fā)現(xiàn)TEE爆出硬件漏洞，自己沒有辦法控制。這種安全感上的顧慮是隱私計算用戶切實存在的，其本質(zhì)是對數(shù)據(jù)控制力的擔憂。

本節(jié)判定的數(shù)據(jù)控制力強弱標準如下。

• 數(shù)據(jù)控制力強：數(shù)據(jù)提供方對數(shù)據(jù)的計算過程有強管控，計算過程需要數(shù)據(jù)提供方參與才能完成，數(shù)據(jù)提供方可以隨時停止數(shù)據(jù)的使用。

• 數(shù)據(jù)控制力弱：全量數(shù)據(jù)以加密/分片組合等形式存儲在遠端，數(shù)據(jù)提供方難于對計算進行隨時限制，而需要計算方的配合。

顯然在用戶體感上，MPC代理模式或經(jīng)典TEE模式數(shù)據(jù)控制力相對較弱，由于計算無需用戶參與，因此如若TEE突發(fā)漏洞或代理計算方存在共謀，數(shù)據(jù)提供方因數(shù)據(jù)已經(jīng)上傳，缺乏簡單有效的方法停止計算，無法即時止損。

經(jīng)典MPC和聯(lián)邦模式由于用戶本身便是計算參與方之一，可立刻關閉隱私計算節(jié)點外網(wǎng)訪問，待安全漏洞修復后再對外提供服務，從而確保數(shù)據(jù)的安全。

TEE技術由于依賴專有硬件，如機構此前并未采購此類硬件，則需額外的硬件采購流程。而經(jīng)典 MPC、聯(lián)邦或者是MPC代理模式則只需普通硬件，機構可復用已有服務器。尤其在隱私計算探索嘗試階段，如可復用已有普通硬件，可以節(jié)省前序的專有硬件采購周期。

目前TEE方案有額外的硬件信任根，這也是TEE用戶需要前置確認的信息，需要判斷具體場景是否可以信任硬件信任根的可信方。

在自主可控方面，由于國密庫的成熟度較高，MPC和FL技術路線的國密化相對來說支持更容易。而TEE方面，目前市面上成熟度較高的TEE硬件主要產(chǎn)自外企，如Intel以及AMD ，國產(chǎn)TEE依舊處于完善建設階段，目前針對國產(chǎn)TEE的實際攻防實踐偏少，其硬件安全性和漏洞情況還需時間加以驗證打磨。

小結(jié)

本文嘗試對部分主流的隱私計算技術從多種維度進行了對比，可以看到，沒有任何一種單一技術路線是完美的，業(yè)務應用的實際技術選型，還需根據(jù)具體的安全假設、硬件條件和性能要求等因素綜合考量，選擇最適合業(yè)務場景的解決方案。

并且，隨著發(fā)展隱私計算的技術路線還在持續(xù)增加，本文并未涵蓋所有，后續(xù)更新將拓展討論更多的新型技術路線，如軟硬件結(jié)合的綜合型技術方案等。

本文作者

余超凡，螞蟻集團隱私智能技術部技術總監(jiān)，目前是隱語開源框架的密態(tài)計算方向負責人。具有豐富的隱私計算生產(chǎn)落地經(jīng)驗，有二十多項隱私計算相關專利。

洪澄，中國科學院大學博士，阿里巴巴集團安全部雙子座實驗室擔任資深安全專家，主要從事密碼學、隱私保護計算相關技術研究，帶領團隊在頂級學術會議和期刊上發(fā)表論文30余篇。

王磊，浙江大學計算機博士，螞蟻集團隱私智能計算部總經(jīng)理，開源隱私計算框架“隱語”負責人，擁有國內(nèi)外隱私計算方向授權專利40余篇。

段普，美國TexasA&M University計算機科學博士，現(xiàn)任螞蟻集團隱私智能計算技術部資深技術專家，領導密碼學和安全團隊研發(fā)隱語和相關隱私計算平臺的密碼學核心協(xié)議和功能，并發(fā)表多篇相關論文和專利。

參考鏈接

1、 Frank McKeen, Ilya Alexandrovich, Alex Berenzon, Carlos V Rozas, Hisham Shafi, Vedvyas Shanbhogue, and Uday R Savagaonkar. Innovative Instructions and Software Model for Isolated Execution. Hasp, isca, 10(1), 2013.2、Demmler D, Schneider T and Zohner M. ABY – A framework for efficient mixed-protocol secure two-party computation. In: NDSS 2015. The Internet Society, 2015.3、Mohassel P and Rindal P. ABY3 : A mixed protocol framework for machine learning. In: Lie D, Mannan M, Backes M and Wang XF (eds.). ACM CCS 2018. ACM Press, 2018, 35–52. 4、Damg?ard, I., Pastro, V., Smart, N. P., and Zakarias, S. Multiparty computation from somewhat homomorphic encryption. In CRYPTO 2012 (Aug. 2012), R. Safavi-Naini and R. Canetti, Eds., vol. 7417 of LNCS, Springer, Heidelberg, pp. 643–662.5、Gennaro, R., Gentry, C., Parno, B.: Non-interactive verifiable computing: Outsourcing computation to untrusted workers. In: Rabin, T. (ed.) CRYPTO 2010. LNCS, vol. 6223, pp. 465–482. Springer, Heidelberg (2010)6、McMahan B, Moore E, Ramage D, et al. Communication-efficient learning of deep networks from decentralized data. Artificial intelligence and statistics. PMLR, 2017: 1273-1282. 7、Vepakomma P, Gupta O, Swedish T, et al. Split learning for health: Distributed deep learning without sharing raw patient data[J]. arXiv preprint arXiv:1812.00564, 2018. 8、Youren Shen, Hongliang Tian, Yu Chen, Kang Chen, Runji Wang, Yi Xu, Yubin Xia, and Shoumeng Yan. Occlum: Secure and efficient multitasking inside a single enclave of intel sgx. In Proceedings of the Twenty-Fifth International Conference on Architectural Support for Programming Languages and Operating Systems, pages 955–970, 2020. 9、Intel. Intel Trust Domain Extensions. https://software.intel.com/content/dam/develop/external/us/en/documents/tdxwhitepaper-v4.pdf , 2020.10、https://en.wikipedia.org/wiki/Fixed-point_arithmetic 11、Hangyu Zhu, Jinjin Xu, Shiqing Liu, and Yaochu Jin. Federated learning on non-iid data: A survey. Neurocomputing, 465:371-390, 2021.12、Bonawitz K, Ivanov V, Kreuter B, et al. Practical secure aggregation for privacy-preserving machine learning[C]//proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security. 2017: 1175-1191.