Cihaz üzerinde kişiselleştirme: Gelişmiş gizlilik korumasıyla kişiselleştirme

Android Açık Kaynak Projesi'nde (AOSP) uygulanması planlanan bu teknik açıklayıcıda, Cihaz Üzerinde Kişiselleştirmenin (ODP) arkasındaki motivasyon, geliştirmeye yön veren tasarım ilkeleri, gizlilik modeli aracılığıyla gizliliği ve doğrulanabilir düzeyde gizli bir deneyim sağlamaya nasıl yardımcı olduğu anlatılmaktadır.

Bunu, veri erişimi modelini basitleştirerek ve güvenlik sınırını terk eden tüm kullanıcı verilerinin diferansiyel gizlilik düzeyinde (kullanıcı, benimsemeci, model_örnek) düzeyinde (bazen aşağıdaki metinde kullanıcı düzeyine kısaltılır) sağlayarak yapmayı planlıyoruz.

Son kullanıcıların cihazlarından potansiyel son kullanıcı veri çıkışıyla ilgili tüm kodlar açık kaynaklı olacak ve harici tüzel kişiler tarafından doğrulanabilecektir. Teklifimizin ilk aşamalarında, cihaz üzerinde kişiselleştirme fırsatlarını kolaylaştıran bir platformla ilgili ilgi uyandırmaya ve geri bildirim toplamaya çalışıyoruz. Gizlilik uzmanları, veri analistleri ve güvenlik uzmanları gibi paydaşları bizimle etkileşim kurmaya davet ediyoruz.

Görsel

Cihaz Üzerinde Kişiselleştirme, son kullanıcıların bilgilerini etkileşimde bulunmadıkları işletmelere karşı korumak için tasarlanmıştır. İşletmeler, ürün ve hizmetlerini son kullanıcılar için özelleştirmeye devam edebilir (örneğin, uygun şekilde anonimleştirilmiş ve diferansiyel gizli makine öğrenimi modelleri kullanarak) ancak işletme ile son kullanıcı arasında doğrudan etkileşim olmadığı sürece son kullanıcı için yapılan tam özelleştirmeleri göremez (bu, yalnızca işletme sahibinin oluşturduğu özelleştirme kuralına değil, aynı zamanda bireysel son kullanıcının tercihine de bağlıdır). Bir işletme makine öğrenimi modeli veya istatistiksel analiz üretiyorsa ODP, uygun Diferansiyel Gizlilik mekanizmaları kullanılarak uygun şekilde anonimleştirildiğinden emin olmaya çalışacaktır.

Mevcut planımız, ODP'yi aşağıdaki özellik ve işlevleri ele alacak şekilde çeşitli ara hedeflerde keşfetmek. Ayrıca ilgili tarafları, bu keşfi daha da ileriye taşımak için ek özellikler veya iş akışları konusunda yapıcı bir şekilde önermeye davet ediyoruz:

  1. Tüm iş mantığının barındırılıp yürütüldüğü korumalı alana alınmış ortam. Böylece, çok sayıda son kullanıcı sinyalinin korumalı alana girmesine izin verilir ve çıkışlar sınırlanır.

  2. Şunlar için uçtan uca şifrelenmiş veri depoları:

    1. Kullanıcı denetimleri ve kullanıcıyla ilgili diğer veriler. Bu, son kullanıcı tarafından sağlanan veya işletmeler tarafından toplanıp tahmin edilenlerin yanı sıra geçerlilik süresi (TTL) denetimleri, silme politikaları, gizlilik politikaları ve daha fazlası olabilir.
    2. İşletme yapılandırmaları. ODP, bu verileri sıkıştırmak veya karartmak için algoritmalar sağlar.
    3. İşletme işleme sonuçları. Bu sonuçlar aşağıdaki gibi olabilir:
      1. Daha sonraki işleme turlarında girdi olarak kullanılır.
      2. Uygun diferansiyel gizlilik mekanizmalarına göre gürültü gönderilir ve uygun uç noktalara yüklenir.
      3. Uygun merkezi Diferansiyel Gizlilik mekanizmalarıyla Açık Kaynaklı iş yüklerini çalıştıran Güvenilir Yürütme Ortamlarına (TEE) güvenilir yükleme akışı kullanılarak yüklenir
      4. Son kullanıcılara gösterilir.

  3. Şu amaçlarla tasarlanan API'ler:

    1. 2(a) maddesinde güncelleme yapın.
    2. 2(b) maddesini periyodik olarak (toplu veya aşamalı) güncelleyin.
    3. Güvenilir toplama ortamlarında uygun gürültü mekanizmalarıyla birlikte 2(c) dosyasını yükleyin. Bu tür sonuçlar, sonraki işleme turları için 2(b) haline gelebilir.

Tasarım ilkeleri

ODP üç temel sütunu dengelemeye çalışıyor: gizlilik, adalet ve fayda.

Gelişmiş gizlilik koruması için kuleli veri modeli

ODP, Tasarımdan Başlayan Gizlilik yaklaşımını benimsemiştir ve varsayılan olarak son kullanıcı gizliliğinin korunmasıyla tasarlanmıştır.

ODP, kişiselleştirme işlemini son kullanıcının cihazına taşımayı araştırıyor. Bu yaklaşım, verileri cihazda mümkün olduğunca tutarak ve yalnızca gerektiğinde cihaz dışında işleyerek gizlilik ile kullanışlılık arasında denge kurar. ODP şu konulara odaklanır:

  • Cihazdan ayrıldığında bile son kullanıcı verileri cihaz üzerinden kontrol edilir. Hedefler, ODP tarafından oluşturulan kod çalıştıran herkese açık bulut sağlayıcıları tarafından sunulan Güvenilir Yürütme Ortamları tarafından onaylanmış olmalıdır.
  • Veriler cihazdan ayrılırsa son kullanıcı verilerine ne olacağına dair cihaz doğrulanabilirliği. ODP, kullanıcıları için cihazlar arası makine öğrenimini ve istatistiksel analizi koordine etmek amacıyla Açık Kaynak ve Birleşik İşlem iş yükleri sunar. Son kullanıcının cihazı, bu tür iş yüklerinin değiştirilmemiş Güvenilir Yürütme Ortamları'nda yürütüldüğünü onaylar.
  • Cihaz tarafından kontrol edilen/doğrulanabilir sınırdan çıkan çıkışların teknik gizlilik garantisi (ör. toplama, gürültü, Diferansiyel Gizlilik).

Bunun sonucunda, kişiselleştirme cihaza özel olacaktır.

Ayrıca işletmeler, platformun ele alması gereken gizlilik önlemlerine de ihtiyaç duyar. Bu, ham iş verilerinin ilgili sunucularında tutulmasını gerektirir. ODP bunu başarmak için aşağıdaki veri modelini kullanır:

  1. Her ham veri kaynağı cihazda veya sunucu tarafında saklanarak yerel öğrenme ve çıkarım yapılabilmesini sağlar.
  2. İki farklı veri konumu arasında filtreleme veya çeşitli kaynaklardan eğitim ya da çıkarımlar gibi birden çok veri kaynağında karar almayı kolaylaştırmak için algoritmalar sağlayacağız.

Bu bağlamda bir iş kulesi ve bir son kullanıcı kulesi olabilir:

İş kulesi ve son kullanıcı kulesi
İş kulesinde, kişiselleştirmeden önce işletme tarafından oluşturulan veriler bulunur. ODP, işletmelerden bu bilgilerin sahipliğini elinizde tutmalarını ister ve böylece yalnızca yetkili iş ortaklarının bilgilere erişebilmesini sağlar.
Son kullanıcı kulesi; son kullanıcı tarafından sağlanan verilerden (örneğin, hesap bilgileri ve denetimler), son kullanıcının cihazıyla etkileşimine dair toplanan verilerden ve işletme tarafından belirlenen türev verilerden (ör. ilgi alanları ve tercihler) oluşur. Tahmin edilen veriler, hiçbir kullanıcının doğrudan bildirimlerinin üzerine yazılmaz.

Karşılaştırma yapmak gerekirse bulut merkezli bir altyapıda, son kullanıcı kulesinden gelen tüm ham veriler işletmelerin sunucularına aktarılır. Buna karşılık, cihaz merkezli bir altyapıda son kullanıcı kulesinden gelen tüm ham veriler kendi kaynağında kalırken işletmenin verileri sunucularda saklanmaya devam eder.

Cihaz Üzerinde Kişiselleştirme, yalnızca onaylı ve açık kaynaklı kodları bir araya getirerek TEE'lerdeki son kullanıcılarla ilişki kurma potansiyeli taşıyan verilerin daha özel çıkış kanalları kullanılarak işlenmesini sağlar.

Adil çözümler için kapsayıcı kamu katılımı

ODP, farklı bir ekosistemdeki tüm katılımcılar için dengeli bir ortam sağlamayı hedefler. Farklı hizmetler ve ürünler sunan çeşitli oyunculardan oluşan bu ekosistemin inceliklerinin farkındayız.

ODP, yeniliğe ilham vermek için geliştiriciler ve temsil ettikleri işletmeler tarafından uygulanabilecek API'ler sunar. Cihaz üzerinde kişiselleştirme sürümleri, izlemeyi, geliştirici araçlarını ve geri bildirim araçlarını yönetirken bu uygulamaların sorunsuz entegrasyonunu kolaylaştırır. Cihaz Üzerinde Kişiselleştirme, somut bir iş mantığı oluşturmaz; bunun yerine yaratıcılık için bir katalizör görevi görür.

ODP zaman içinde daha fazla algoritma sunabilir. Ekosistemle iş birliği yapmak, doğru özellik düzeyini belirleme ve katılımcı her işletme için makul bir cihaz kaynak sınırı belirleme konusunda son derece önemlidir. Yeni kullanım alanlarını tanımamıza ve önceliklendirmemize yardımcı olması için ekosistemden geri bildirimler bekliyoruz.

İyileştirilmiş kullanıcı deneyimi için geliştirici yardımcı programı

Tüm etkinlikler cihaz düzeyinde yerel olarak kaydedildiği için ODP sayesinde etkinlik verilerinde kayıp yaşanmaz veya gözlem gecikmeleri olmaz. Katılma hatası olmaz ve tüm etkinlikler belirli bir cihazla ilişkilendirilir. Sonuç olarak, gözlemlenen tüm etkinlikler doğal olarak kullanıcının etkileşimlerini yansıtan kronolojik bir dizi oluşturur.

Bu basitleştirilmiş süreç, verileri birleştirme veya yeniden düzenleme ihtiyacını ortadan kaldırarak neredeyse gerçek zamanlı ve kayıpsız kullanıcı verilerine erişim sağlar. Bu da son kullanıcıların veriye dayalı ürün ve hizmetlerle etkileşimde bulunurken algıladığı faydayı artırabilir ve potansiyel olarak daha yüksek memnuniyet seviyeleri ve daha anlamlı deneyimler sağlayabilir. İşletmeler, ODP sayesinde kullanıcılarının ihtiyaçlarına etkili bir şekilde uyum sağlayabilir.

Gizlilik modeli: Gizlilik üzerinden gizlilik

Aşağıdaki bölümlerde, bu gizlilik analizinin temeli olarak tüketici-üretici modeli ve hesaplama ortamı gizliliği ile çıkış doğruluğu karşılaştırılmaktadır.

Bu gizlilik analizinin temeli olarak tüketici-üretici modeli

Gizlilik aracılığıyla sağlanan gizlilik güvencelerini incelemek için tüketici-üretici modelini kullanacağız. Bu modeldeki hesaplamalar, düğümler ve alt grafiklerden oluşan Yönlendirilmiş Döngüsel Grafik (DAG) içinde düğüm olarak gösterilir. Her bir hesaplama düğümünde üç bileşen bulunur: tüketilen girişler, üretilen çıkışlar ve çıkışlara işlem eşleme girişleri.

Tüketici-üretici modelini gösteren bir grafik.
Tüketici-üretici modelini gösteren bir grafik. Bu grafikte 2 hesaplama düğümü vardır. Yürütme sırası Düğüm 1 -> Düğüm 2 şeklindedir. İlk yürütülecek düğüm 1. düğümdür. 2 başlangıç girişi tüketir: Giriş 1 ve Giriş 2. 1. düğüm, Çıkış 1'i oluşturur. 2. düğüm, 1. Düğüm'ün çıkışını ve 3. Girişin ilk girişini tüketir. Çıktı 2'yi oluşturur. Çıktı 2 aynı zamanda bu grafiğin son çıktısıdır.

Bu modelde, gizlilik koruması üç bileşenin hepsi için geçerlidir:

  • Giriş gizliliği. Düğümlerin iki tür girişi olabilir. Bir giriş, önceki düğüm tarafından oluşturulursa zaten o önceki düğüm tarafından çıkış gizliliği garantilerine sahiptir. Aksi takdirde girişler, politika altyapısı kullanılarak veri girişi politikalarını temizlemelidir.
  • Çıkış gizliliği. Çıkışın, Diferansiyel Gizlilik (DP) tarafından sağlanan gibi özelleştirilmesi gerekebilir.
  • Hesaplama ortamı gizliliği. Hesaplama, güvenli şekilde kapatılmış bir ortamda gerçekleşerek hiç kimsenin bir düğüm içindeki aracı durumlara erişememesini sağlar. Buna imkan sağlayan teknolojiler arasında Birleşik Bilişimler (FC), donanım tabanlı Güvenilir Yürütme Ortamları (TEE), güvenli Çok Taraflı Hesaplama (sMPC), homomorfik şifreleme (HPE) ve daha fazlası yer alır. Gizlilik önlemleri sayesinde gizliliğin, aracı durumları ve gizlilik sınırından çıkan tüm çıkışları diferansiyel gizlilik mekanizmalarıyla koruması gerektiğini unutmayın. Gerekli iki hak talebi şunlardır:
    • Ortamın gizliliği, yalnızca bildirilen çıkışların ortamdan ayrılması ve
    • Gizlilik, giriş gizliliğiyle ilgili hak taleplerinden çıkış gizliliği iddialarının doğru şekilde çıkarılmasını sağlar. Soundness, bir DAG'de gizlilik mülkünün yayılmasını sağlar.

Özel sistem, giriş gizliliğini, işlem ortamının gizliliğini ve çıkış gizliliğini korur. Ancak, gizli bir hesaplama ortamı içinde daha fazla işlem oluşturularak diferansiyel gizlilik mekanizmalarının uygulama sayısı azaltılabilir.

Bu modelin başlıca iki avantajı vardır. Öncelikle, büyük ya da küçük birçok sistem DAG olarak temsil edilebilir. İkinci olarak, DP'nin İşlem Sonrası [Bölüm 2.1] ve yapısı diferansiyel Gizliliğin Karmaşıklığı'ndaki Laemma 2.4 özellikleri, grafiğin tamamı için gizlilik ve doğruluk dengesini (en kötü durumda) analiz etmek üzere güçlü araçlar sağlar:

  • İşleme Sonrası, bir miktarın özelleştirilmesinden sonra, orijinal verilerin tekrar kullanılmaması durumunda "özelleştirilemeyeceği" garantisini verir. Bir düğümün tüm girişleri gizli olduğu sürece, hesaplamalarından bağımsız olarak düğümün çıkışı gizlidir.
  • Gelişmiş kompozisyon, her grafik parçası DP ise genel grafiğin de grafiğin nihai çıktısının ve değerlerini sırasıyla yaklaşık ≥ eğe ile sınırlandırılmasını garanti eder. Bu durum, bir grafiğin media birimleri olduğunu ve her birimin çıkışının (MORE, ≥ OM)-DP olduğunu varsayar.

Bu iki özellik, her düğüm için iki tasarım ilkesine karşılık gelir:

  • Özellik 1 (İşlem Sonrası'ndan) Bir düğümün tüm girişleri DP ise çıkışı DP'dir. Düğümde yürütülen rastgele iş mantığını barındırır ve işletmelerin "gizli soslarını" destekler.
  • Özellik 2 (Gelişmiş Oluşturma'dan) Bir düğümün girişleri tüm DP değilse çıkışı DP uyumlu hale getirilmelidir. Bir hesaplama düğümü, Güvenilir Yürütme Ortamlarında çalışan ve açık kaynaklı, Cihaz İçi Kişiselleştirme tarafından sağlanan iş yüklerini ve yapılandırmaları yürütüyorsa daha sıkı DP sınırları uygulanabilir. Aksi takdirde, Cihaz Üzerinde Kişiselleştirmenin en kötü durum DP sınırlarını kullanması gerekebilir. Kaynak kısıtlamaları nedeniyle, herkese açık bulut sağlayıcısı tarafından sunulan Güvenilir Yürütme Ortamları başlangıçta önceliklendirilir.

Hesaplama ortamı gizliliği ve çıkış doğruluğu karşılaştırması

Bu nedenle, Cihaz Üzerinde Kişiselleştirme gizli bilişim ortamlarının güvenliğini artırmaya ve ara durumların erişilemez kalmasını sağlamaya odaklanacaktır. Mühürleme olarak bilinen bu güvenlik işlemi, alt grafik düzeyinde uygulanır ve birden fazla düğümün birlikte DP uyumlu hale getirilmesine olanak tanır. Bu, daha önce bahsedilen mülk 1 ve 2. özelliğin alt grafik düzeyinde geçerli olduğu anlamına gelir.

7 düğümlü bir grafiği 2 alt grafiğe ve 1 düğüme bölme. Bu örnekte her bir alt grafikte 3 düğüm bulunur. Her alt grafiğin yürütülmesi düşmanlardan korunursa yalnızca alt grafik sonuçlarına ait sonuçlarda yalnızca Çıktı 3 ve Çıkış 6'nın DP'lenmesi gerekir.
Elbette son grafik çıktısı olan Çıktı 7 her bir kompozisyona göre DP'ye tabi tutulur. Bu da, bu grafik için toplam 2 DP olacağı anlamına gelir. Mühürleme kullanılmadığı durumlarda ise 3 (yerel) DPY olur.

Esasen, bilişim ortamının güvenliğini sağlamak ve kötü niyetli kişilerin bir grafik veya alt grafiğin girişlerine ve ara durumlarına erişme fırsatlarını ortadan kaldırmak, Merkezi DP'nin uygulanmasını sağlar (yani, mühürlü bir ortamın çıktısı DP uyumludur). Bu, Yerel DP (yani bağımsız DP) girişlerine kıyasla doğruluğu artırabilir. FC, TEE'ler, sMPC'ler ve HPE'lerin gizlilik teknolojisi olarak kabul edilmesinin temelinde bu ilke vardır. Dferansiyel Gizliliğin Karmaşıklığı bölümünün 10. bölümüne bakın.

Model eğitimi ve çıkarım, pratik ve iyi bir örnektir. Aşağıdaki tartışmalarda (1), eğitim popülasyonunun ve çıkarım popülasyonunun örtüştüğü ve (2), hem özelliklerin hem de etiketlerin gizli kullanıcı verilerini oluşturduğu varsayılmaktadır. DP'yi tüm girdilere uygulayabiliriz:

Cihaz Üzerinde Kişiselleştirme, sunuculara göndermeden önce kullanıcı etiketlerine ve özelliklerine yerel DP uygulayabilir.
Yerel DP: mülk 1 özel özellikler + özel etiketler -> gizli model. (1. mülk) Özel model + gizli özellikler -> gizli çıkarım.
Cihaz üzerinde kişiselleştirme, sunuculara göndermeden önce kullanıcı etiketlerine ve özelliklerine yerel DP uygulayabilir. Bu yaklaşım, sunucunun yürütme ortamına veya iş mantığına herhangi bir şart getirmez.
Bu senaryoda, model sahibi modeli çıkarım için başka bir yere aktarabilir.
Merkezi DP: (2. mülk) Alternatif olarak, özellikleri ve etiketleri hassas bir düzeyde tutarken DP işlemini model eğitimi sırasında uygulayabilirsiniz. Bu senaryoda, model sahibi modeli çıkarım için başka bir yere aktarabilir. Bununla birlikte, çıkarım sırasında gizliliği korumak için özel modele girilen özelliklerin, 1. mülk uyarınca DP ile uyumlu olması da gerekir.
Mühürleme eğitimi ve çıkarım yaparak çıkarım doğruluğunu iyileştirme.
Eğitim ve çıkarımları mühürleyerek çıkarım doğruluğunu daha da artırabilirsiniz. Bu sayede hassas özelliklerin gizli modele aktarılması sağlanır.
Son çıkarımı mühürleme.
Bir adım öteye giderek son sonucu da yapabilirsiniz. Bu durumda, model sahibinin çıkarıma erişimi de yoktur.
Bu, geçerli cihaz üzerinde kişiselleştirme tasarımıdır.

Doğrulanabilir şekilde gizli

Cihaz Üzerinde Kişiselleştirme, doğrulanabilir şekilde gizli olmayı amaçlar. Kullanıcı cihazlarında neler olduğunu doğrulamaya odaklanır. ODP, son kullanıcıların cihazlarından ayrılan verileri işleyen kodu yazar ve bu tür kodun Gizli Bilişim Konsorsiyumu uyumlu, örnek yöneticisi ayrıcalığına sahip olmayan bir sunucuda değiştirilmeden çalıştığını onaylamak için NIST'nin RFC 9334 Uzak Onay prosedürleri (RATS) Mimarisi'ni kullanır. Güven oluşturmak amacıyla bu kodlar açık kaynaklı olacak ve şeffaf doğrulama için erişilebilir olacaktır. Bu tür önlemler, bireylere verilerinin korunduğuna dair güven duymasını sağlarken işletmeler de sağlam bir gizlilik güvencesine dayalı olarak itibar kazanabilir.

Toplanan ve depolanan gizli veri miktarının azaltılması, Cihaz Üzerinde Kişiselleştirmenin bir diğer önemli yönüdür. Bu ilkeye bağlı kalırken Birleşik İşlem ve Diferansiyel Gizlilik gibi teknolojilerden yararlanarak hassas kişisel ayrıntıları veya tanımlanabilir bilgileri açığa çıkarmadan değerli veri kalıplarının ifşa edilmesini sağlar.

Veri işleme ve paylaşımıyla ilgili faaliyetleri günlüğe kaydeden bir denetim takibinin tutulması, doğrulanabilir gizliliğin diğer önemli bir unsurudur. Bu, denetim raporlarının oluşturulmasını ve güvenlik açıklarının tanımlanmasını sağlayarak gizlilik konusundaki taahhüdümüzü göstermemizi sağlar.

Tasarımı ve uygulamaları sürekli olarak iyileştirmemize yardımcı olmak için gizlilik uzmanları, otoriteler, sektörler ve kişilerden yapıcı işbirlikleri isteriz.

Aşağıdaki grafikte, cihazlar arası toplama ve diferansiyel gizlilik bazında gürültü için kod yolu gösterilmektedir.

Birleşik İşlem hizmetinin yapısı.
Hem Birleşik Öğrenim hem de Birleşik Analiz'i işleyen Birleşik İşlem hizmetinin yapısı. Şifrelenmemiş, gürültü içermeyen veriler yalnızca cihazda işlenir (kırmızı çizgi). İşleme sonuçları, hem aktarım sırasında hem de kullanımda değilken şifrelenmiş olarak yüklenir (turkuaz renkli çizgiler). Birden fazla taraflı koordinatörlerle başarılı bir onaydan sonra şifrelenmemiş ham cihaz sonucuna yalnızca cihaz üzerinde kişiselleştirme yetkisi olan, açık kaynaklı cihazlar arası toplama ve ses çıkaran iş yükü erişebilir. Güvenilir Yürütme Ortamı içindeki Diferansiyel Gizlilik mekanizmalarına göre gürültü doğru şekilde uygulandıktan sonra tüm aşağı akış veri akışları (turuncu çizgiler) şifrelenmemiş olabilir.

Yüksek seviye tasarım

Gizlilik yoluyla gizlilik nasıl uygulanabilir? Yüksek bir düzeyde, kapalı bir ortamda çalışan ODP tarafından yazılan bir politika motoru, giriş ve çıkışlarının DP durumunu izlerken her bir düğümü/alt grafiği denetleyen temel bileşen olarak işlev görür:

  • Politika motoru açısından cihazlar ve sunucular aynı şekilde ele alınır. Aynı politika motorunu çalıştıran cihazlar ve sunucuların politika motorları karşılıklı olarak onaylandıktan sonra, mantıksal olarak aynı kabul edilir.
  • Cihazlarda, yalıtım, AOSP'ye izole işlemler (veya kullanılabilirlik düzeyi yükseldiğinde uzun vadede pKVM) aracılığıyla gerçekleştirilir. Sunucularda, yalıtım "güvenilir tarafa" dayanır. TEE ve tercih edilen diğer teknik mühürleme çözümleri, sözleşmeye dayalı bir anlaşma veya her ikisi.

Başka bir deyişle, platform politikası motorunu yükleyen ve çalıştıran tüm kapalı ortamlar Trusted Computing Base (TCB) kapsamında kabul edilir. TCB sayesinde veriler ek gürültü olmadan yayılabilir. Veriler TCB'den çıktığında DP'nin uygulanması gerekir.

Cihaz Üzerinde Kişiselleştirme'nin üst düzey tasarımı, iki önemli öğeyi etkili bir şekilde entegre eder:

  • İş mantığı yürütmesi için eşli süreç mimarisi
  • Veri Girişi, çıkışı ve izin verilen işlemleri yönetmeye yönelik politikalar ve politika motoru.

Bu uyumlu tasarım, işletmelere özel kodlarını güvenilir bir yürütme ortamında çalıştırabilecekleri ve uygun politika kontrollerini geçmiş kullanıcı verilerine erişebilecekleri eşit bir fırsat sunar.

Aşağıdaki bölümlerde bu iki temel unsur açıklanacaktır.

İş mantığı yürütmesi için eşli işlem mimarisi

Cihaz Üzerinde Kişiselleştirme, iş mantığının yürütülmesi sırasında kullanıcı gizliliğini ve veri güvenliğini geliştirmek için AOSP'de eşlenmiş bir işlem mimarisi sunar. Bu mimari şunlardan oluşur:

  • ManagingProcess. Bu işlem, IsolatedProcesses oluşturur ve yönetir. Böylece bunların, yalnızca izin verilenler listesindeki API'lerle sınırlı erişim ve ağ ya da disk izni olmadan işlem düzeyinde yalıtılmış olarak kalmasını sağlar. ManagingProcess tüm iş verilerinin, tüm son kullanıcı verilerinin ve politikaların işletme kodu için temizlenmesini sağlayarak bunları yürütme için IsolatedProcesses'e aktarır. Ayrıca IsolatedProcesses ile system_server gibi diğer işlemler arasındaki etkileşimi aracılık eder.

  • IsolatedProcess. Manifest'te izole (isolatedprocess=true) olarak belirtilen bu işlem; iş verilerini, politikayla temizlenmiş son kullanıcı verilerini ve iş kodunu ManagingProcess'ten alır. İşletme kodunun kendi verileri ve politikadan temizlenmiş son kullanıcı verileri üzerinde çalışmasına olanak tanırlar. IsolatedProcess, ek izin gerekmeden hem giriş hem çıkış için ManagingProcess ile özel olarak iletişim kurar.

Eşli işlem mimarisi, işletmelerin iş mantığını veya kodlarını açık kaynaklı hale getirmek zorunda kalmadan son kullanıcı veri gizliliği politikalarının bağımsız olarak doğrulanması için fırsat sunar. IsolatedProcesses'in bağımsızlığını koruyan ManagingProcess ve IsolatedProcesses'in iş mantığını verimli bir şekilde yürütmesi sayesinde bu mimari, kişiselleştirme sırasında kullanıcı gizliliğini korumak için daha güvenli ve verimli bir çözüm sunar.

Aşağıdaki şekilde bu eşleştirilmiş işlem mimarisi gösterilmektedir.

"Adopter Uygulaması"nı yazan tüzel kişi, grafikteki "Adopter apk"yi yazan tüzel kişi ile aynı tüzel kişi olabilir veya olmayabilir.
"Benimseyen Uygulaması"nı yazan tüzel kişi, grafikteki "Benimseyen apk"yi yazan tüzel kişi ile aynı tüzel kişi olabilir veya olmayabilir. "Benimseyen apk"yi yazan varlık, grafikteki "Benimseyen Yerel Mağaza"nın sahibi olan varlıkla aynıdır.

Veri işlemleriyle ilgili politikalar ve politika motorları

Cihaz Üzerinde Kişiselleştirme, platform ile iş mantığı arasında bir politika uygulama katmanı ekler. Amaç, son kullanıcı ve işletme kontrollerini merkezi ve uygulanabilir politika kararlarıyla eşleştiren bir dizi araç sunmaktır. Daha sonra bu politikalar akışlar ve işletmeler genelinde kapsamlı ve güvenilir bir şekilde uygulanır.

Eşli işlem mimarisinde politika motoru,ManagingProcess içinde bulunur ve son kullanıcı ve iş verilerinin giriş ve çıkışını denetler. Ayrıca, izin verilenler listesindeki işlemleri IsolatedProcess'e sağlar. Örnek kapsam alanları arasında son kullanıcı denetiminin sağlanması, çocukları koruma, izin verilmeyen veri paylaşımının engellenmesi ve işletme gizliliği yer alır.

Bu politika uygulama mimarisi, yararlanılabilecek üç tür iş akışından oluşur:

  • Güvenilir Yürütme Ortamı (TEE) iletişimleriyle yerel olarak başlatılan çevrimdışı iş akışları:
    • Veri indirme akışları: güvenilir indirmeler
    • Veri yükleme akışları: güvenilir işlemler
  • Yerel olarak başlatılan online iş akışları:
    • Gerçek zamanlı yayın akışları
    • Çıkarım akışları
  • Yerel olarak başlatılan, çevrimdışı iş akışları:
    • Optimizasyon akışları: Birleşik Öğrenim (FL) aracılığıyla gerçekleştirilen cihaz üzerinde model eğitimi
    • Raporlama akışları: Birleşik Analytics (FA) aracılığıyla uygulanan cihazlar arası toplama

Aşağıdaki şekilde, politikalar ve politika motorları açısından mimari gösterilmektedir.

Politika motoru, tasarımın merkezinde yer almaktadır.
Politika altyapısı, tasarımın merkezinde yer alır. Örnekler (listede olası her duruma yer verilmemiştir):
  • İndirin: 1 -> 2 -> 4 -> 7 -> 10 -> 11 -> 3
  • Porsiyon: 1 + 3 -> 4 -> 6 -> 9 -> 11 -> 3
  • Optimizasyon: 2 (eğitim planı sunar) -> 1 + 3 -> 4 -> 5 -> 8 -> 11 -> 2
  • Raporlama: 3 (toplama planı sunar) -> 1 + 3 -> 4 -> 5 -> 8 -> 11 -> 2

Genel olarak politika uygulama katmanının ve Cihaz Üzerinde Kişiselleştirme'nin eşleştirilmiş işlem mimarisindeki politika motorunun kullanıma sunulması, iş mantığını yürütmek için yalıtılmış ve gizliliği korumaya yönelik bir ortam sağlarken gerekli veri ve işlemlere kontrollü erişim sağlar.

Katmanlı API yüzeyleri

Cihaz Üzerinde Kişiselleştirme, ilgili işletmeler için katmanlı bir API mimarisi sağlar. Üst katman, belirli kullanım alanları için tasarlanmış uygulamalardan oluşur. Potansiyel işletmeler, verilerini Üst Katman API'leri olarak bilinen bu uygulamalara bağlayabilir. Üst katman API'ler Orta Katman API'leri temel alınarak oluşturulmuştur.

Zaman içinde daha fazla Üst Katman API'si eklemeyi umuyoruz. Bir Üst Katman API'si belirli bir kullanım alanında kullanılamadığında veya mevcut Üst Katman API'leri yeterince esnek olmadığında, işletmeler temel programlama öğelerini kullanarak güç ve esneklik sağlayan Orta Katman API'lerini doğrudan uygulayabilir.

Sonuç

Cihaz Üzerinde Kişiselleştirme, yüksek oranda fayda sağlaması beklenen en son ve en iyi teknolojilerle ilgili son kullanıcıların gizlilik endişelerini ele alan uzun vadeli bir çözüm hakkında ilgi ve geri bildirim isteme amacıyla yapılan erken aşamadaki bir araştırma teklifidir.

ODP'nin ihtiyaçlarını karşıladığından ve endişelerini giderdiğinden emin olmak için gizlilik uzmanları, veri analistleri ve potansiyel son kullanıcılar gibi paydaşlarla iletişim kurmak istiyoruz.