Cá nhân hoá trên thiết bị – cá nhân hoá bằng tính năng bảo vệ quyền riêng tư nâng cao

Dự kiến được triển khai trong Dự án nguồn mở Android (AOSP). Nội dung giải thích kỹ thuật này thảo luận về động lực đằng sau hoạt động Cá nhân hoá trên thiết bị (ODP), nguyên tắc thiết kế giúp định hướng quá trình phát triển, quyền riêng tư thông qua mô hình bảo mật thông tin và cách giúp đảm bảo trải nghiệm riêng tư có thể xác minh.

Chúng tôi dự định đạt được mục tiêu này bằng cách đơn giản hoá mô hình truy cập dữ liệu và đảm bảo rằng mọi dữ liệu người dùng rời khỏi ranh giới bảo mật đều được đảm bảo riêng tư một cách khác biệt ở cấp độ mỗi người dùng (người dùng, người sử dụng, model_instance) (đôi khi được rút ngắn thành cấp người dùng trong văn bản dưới đây).

Tất cả mã liên quan đến dữ liệu đầu ra từ thiết bị của người dùng cuối đều là mã nguồn mở và có thể xác minh được bởi các thực thể bên ngoài. Trong giai đoạn đầu của đề xuất, chúng tôi cố gắng thu hút sự quan tâm và thu thập ý kiến phản hồi về một nền tảng hỗ trợ các cơ hội Cá nhân hoá trên thiết bị. Chúng tôi mời các bên liên quan như chuyên gia về quyền riêng tư, chuyên viên phân tích dữ liệu và chuyên viên bảo mật tham gia cùng chúng tôi.

Tầm nhìn

Tính năng "Cá nhân hoá trên thiết bị" được thiết kế để bảo vệ thông tin của người dùng cuối khỏi các doanh nghiệp mà họ chưa tương tác. Các doanh nghiệp có thể tiếp tục tuỳ chỉnh các sản phẩm và dịch vụ của mình cho người dùng cuối (ví dụ: sử dụng các mô hình học máy ẩn danh phù hợp và riêng tư theo cách khác nhau), nhưng họ sẽ không thể thấy các tuỳ chỉnh chính xác dành cho một người dùng cuối (không chỉ phụ thuộc vào quy tắc tuỳ chỉnh do chủ doanh nghiệp tạo ra, mà còn phụ thuộc vào lựa chọn ưu tiên của từng người dùng cuối) trừ phi có tương tác trực tiếp giữa doanh nghiệp và người dùng cuối. Nếu một doanh nghiệp tạo ra bất kỳ mô hình học máy hoặc phân tích thống kê nào, thì ODP sẽ tìm cách đảm bảo rằng những mô hình đó được ẩn danh đúng cách bằng cách sử dụng các cơ chế thích hợp về Sự riêng tư biệt lập.

Kế hoạch hiện tại của chúng tôi là khám phá ODP ở nhiều mốc quan trọng, bao gồm các tính năng và chức năng sau. Chúng tôi cũng mời các bên quan tâm tham gia đề xuất mọi tính năng hoặc quy trình làm việc bổ sung mang tính xây dựng để thúc đẩy quá trình khám phá này:

  1. Một môi trường hộp cát trong đó mọi logic nghiệp vụ đều được đưa vào và thực thi, cho phép nhiều tín hiệu người dùng cuối đi vào hộp cát trong khi giới hạn đầu ra.

  2. Dữ liệu được mã hoá hai đầu lưu trữ cho:

    1. Các quyền kiểm soát của người dùng và các dữ liệu khác liên quan đến người dùng. Dữ liệu này có thể do người dùng cuối cung cấp hoặc do các doanh nghiệp thu thập và suy luận, cùng với các chế độ kiểm soát thời gian tồn tại (TTL), xoá bỏ các chính sách, các chính sách quyền riêng tư và các nội dung khác.
    2. Cấu hình dành cho doanh nghiệp. ODP cung cấp các thuật toán để nén hoặc làm rối mã nguồn những dữ liệu này.
    3. Kết quả xử lý doanh nghiệp. Những kết quả này có thể:
      1. Được dùng làm đầu vào trong các vòng xử lý sau này,
      2. Được làm nhiễu theo cơ chế thích hợp về Sự riêng tư biệt lập và được tải lên các điểm cuối đủ điều kiện.
      3. Được tải lên bằng quy trình tải lên đáng tin cậy lên Môi trường thực thi đáng tin cậy (TEE) đang chạy khối lượng công việc Nguồn mở qua các cơ chế thích hợp tập trung về Sự riêng tư biệt lập
      4. Được hiển thị với người dùng cuối.

  3. Các API được thiết kế để:

    1. Cập nhật 2(a), theo lô hoặc tăng dần.
    2. Cập nhật 2(b) theo định kỳ, theo lô hoặc tăng dần.
    3. Tải 2(c) lên, với cơ chế làm nhiễu thích hợp trong các môi trường tổng hợp đáng tin cậy. Các kết quả như vậy có thể trở thành 2(b) cho các vòng xử lý tiếp theo.

Nguyên tắc thiết kế

ODP luôn hướng đến 3 yếu tố chính giúp cân bằng: quyền riêng tư, sự công bằng và sự tiện dụng.

Mô hình dữ liệu theo dạng tháp để tăng cường khả năng bảo vệ quyền riêng tư

ODP tuân theo nguyên tắc Bảo vệ quyền riêng tư ngay từ khâu thiết kế và được thiết kế với chế độ mặc định là bảo vệ quyền riêng tư của người dùng cuối.

ODP khám phá việc chuyển quá trình cá nhân hoá sang một thiết bị của người dùng cuối. Phương pháp này cân bằng giữa quyền riêng tư và sự tiện dụng bằng cách lưu giữ dữ liệu trên thiết bị nhiều nhất có thể và chỉ xử lý dữ liệu đó bên ngoài thiết bị khi cần. ODP tập trung vào:

  • Kiểm soát dữ liệu của người dùng cuối trên thiết bị, ngay cả khi dữ liệu đó rời khỏi thiết bị. Đích đến phải được chứng thực Môi trường thực thi đáng tin cậy do các nhà cung cấp dịch vụ đám mây công khai chạy mã uỷ quyền ODP cung cấp.
  • Khả năng xác minh thiết bị đối với những việc sẽ xảy ra với dữ liệu người dùng cuối nếu dữ liệu đó rời khỏi thiết bị. ODP cung cấp khối lượng Nguồn mở, Điện toán liên kết để điều phối công nghệ học máy trên nhiều thiết bị và phân tích số liệu thống kê cho người sử dụng. Thiết bị của người dùng cuối sẽ chứng thực rằng những khối lượng công việc đó được thực thi trong Môi trường thực thi đáng tin cậy chưa bị sửa đổi.
  • Quyền riêng tư được đảm bảo về mặt kỹ thuật (ví dụ: tổng hợp dữ liệu, làm nhiễu, Sự riêng tư biệt lập) của các đầu ra nằm ngoài ranh giới có thể xác minh/kiểm soát của thiết bị.

Do đó, hoạt động cá nhân hoá sẽ dành riêng cho từng thiết bị.

Ngoài ra, các doanh nghiệp cũng yêu cầu phải có các biện pháp bảo vệ quyền riêng tư mà nền tảng cần giải quyết. Điều này đòi hỏi việc duy trì dữ liệu thô của doanh nghiệp trong các máy chủ tương ứng của họ. Để đạt được điều này, ODP sử dụng mô hình dữ liệu sau:

  1. Mỗi nguồn dữ liệu thô sẽ được lưu trữ trên thiết bị hoặc ở phía máy chủ, cho phép hệ thống học và suy luận cục bộ.
  2. Chúng tôi sẽ cung cấp các thuật toán hỗ trợ việc đưa ra quyết định trên nhiều nguồn dữ liệu, chẳng hạn như lọc giữa 2 vị trí dữ liệu khác nhau hoặc đào tạo hay suy luận trên nhiều nguồn.

Trong trường hợp này, có thể là tháp doanh nghiệp và tháp người dùng cuối:

Tháp doanh nghiệp và tháp người dùng cuối
Tháp doanh nghiệp chứa dữ liệu do doanh nghiệp tạo ra trước khi hoạt động cá nhân hoá diễn ra. ODP yêu cầu các doanh nghiệp duy trì quyền sở hữu đối với thông tin này, đảm bảo rằng chỉ những đối tác kinh doanh được uỷ quyền mới có thể truy cập.
Cột người dùng cuối bao gồm dữ liệu do người dùng cuối cung cấp (ví dụ: thông tin tài khoản và quyền kiểm soát), dữ liệu được thu thập liên quan đến hoạt động tương tác của người dùng cuối với thiết bị của họ và dữ liệu phái sinh (ví dụ: mối quan tâm và lựa chọn ưu tiên) do doanh nghiệp dự đoán. Dữ liệu suy ra không ghi đè nội dung khai báo trực tiếp của người dùng.

Để so sánh, trong một cơ sở hạ tầng tập trung vào đám mây, tất cả dữ liệu thô từ tháp người dùng cuối sẽ được chuyển sang các máy chủ của doanh nghiệp. Ngược lại, trong cơ sở hạ tầng tập trung vào thiết bị, tất cả dữ liệu thô từ tháp người dùng cuối vẫn giữ nguyên tại điểm gốc, trong khi dữ liệu của doanh nghiệp vẫn được lưu trữ trên các máy chủ.

Hoạt động Cá nhân hoá trên thiết bị kết hợp những điểm ưu việt nhất của cả hai phương thức bằng cách chỉ cho phép mã nguồn mở, đã được chứng thực để xử lý dữ liệu có thể liên quan đến người dùng cuối trong các TEE bằng cách sử dụng các kênh đầu ra riêng tư hơn.

Sự tham gia của công chúng một cách toàn diện vì các giải pháp bình đẳng

ODP hướng đến việc đảm bảo một môi trường cân bằng cho tất cả những người tham gia trong một hệ sinh thái đa dạng. Chúng tôi nhận thấy sự phức tạp của hệ sinh thái này, nơi có nhiều bên cung cấp các dịch vụ và sản phẩm riêng biệt.

Để truyền cảm hứng cho sự đổi mới, ODP cung cấp các API mà những nhà phát triển và doanh nghiệp họ đại diện có thể triển khai. Hoạt động cá nhân hoá trên thiết bị giúp tích hợp liền mạch các phương thức triển khai này trong khi quản lý bản phát hành, quá trình giám sát, công cụ cho nhà phát triển và công cụ đưa ý kiến phản hồi. Hoạt động cá nhân hoá trên thiết bị không tạo ra bất kỳ logic nghiệp vụ cụ thể nào; mà còn đóng vai trò thúc đẩy sự sáng tạo.

ODP có thể cung cấp nhiều thuật toán hơn theo thời gian. Việc cộng tác với hệ sinh thái là điều cần thiết để xác định cấp độ phù hợp của tính năng và có thể thiết lập giới hạn tài nguyên hợp lý cho thiết bị với từng doanh nghiệp tham gia. Chúng tôi mong rằng ý kiến phản hồi từ hệ sinh thái sẽ giúp chúng tôi nhận ra và ưu tiên các trường hợp sử dụng mới.

Tiện ích dành cho nhà phát triển giúp cải thiện trải nghiệm người dùng

Với ODP, dữ liệu sự kiện hoặc độ trễ quan sát không bị mất đi, vì tất cả các sự kiện đều được ghi lại cục bộ ở cấp thiết bị. Không có lỗi tham gia và tất cả các sự kiện đều được liên kết với một thiết bị cụ thể. Do đó, tất cả các sự kiện quan sát được sẽ tạo thành một trình tự thời gian phản ánh các hoạt động tương tác của người dùng một cách tự nhiên.

Quy trình đơn giản này giúp bạn không cần kết hợp hay sắp xếp lại dữ liệu, cho phép sử dụng khả năng hỗ trợ tiếp cận dữ liệu người dùng gần như theo thời gian thực mà không bị suy hao. Đổi lại, điều này có thể nâng cao tiện ích mà người dùng cuối cảm nhận được khi tương tác với các sản phẩm và dịch vụ dựa trên dữ liệu. Nhờ đó mà có thể cải thiện mức độ hài lòng và mang lại trải nghiệm có ý nghĩa hơn. Nhờ ODP, doanh nghiệp có thể thích ứng một cách hiệu quả với nhu cầu của người dùng.

Mô hình bảo vệ quyền riêng tư: quyền riêng tư thông qua tính bảo mật

Các phần sau đây thảo luận về mô hình nhà sản xuất-người tiêu dùng làm cơ sở của việc phân tích quyền riêng tư này, cũng như quyền riêng tư trong môi trường tính toán so với độ chính xác đầu ra.

Mô hình nhà sản xuất-người tiêu dùng làm cơ sở của việc phân tích quyền riêng tư này

Chúng tôi sẽ sử dụng mô hình nhà sản xuất-người tiêu dùng để kiểm tra các yếu tố đảm bảo quyền riêng tư thông qua tính bảo mật. Các phép tính trong mô hình này được biểu thị dưới dạng các nút trong Đồ thị không chu trình có hướng (DAG) bao gồm các nút và đồ thị con. Mỗi nút tính toán có 3 thành phần: đầu vào đã tiêu thụ, đầu ra được tạo ra và đầu vào ánh xạ tính toán đến đầu ra.

Đồ thị minh hoạ mô hình nhà sản xuất-người tiêu dùng.
Biểu đồ minh hoạ mô hình người tiêu dùng-nhà sản xuất. Biểu đồ này có 2 nút tính toán. Trình tự thực thi là Nút 1 -> Nút 2. Nút 1 là nút thực thi đầu tiên. Nút này sử dụng 2 đầu vào ban đầu: Đầu vào 1 và Đầu vào 2. Nút 1 tạo ra Đầu ra 1. Nút 2 sử dụng đầu ra của Nút 1 và đầu vào ban đầu: Đầu vào 3. Nút này tạo ra Đầu ra 2. Kết quả 2 cũng là kết quả cuối cùng của biểu đồ này.

Trong mô hình này, tính năng bảo vệ quyền riêng tư áp dụng cho cả 3 thành phần:

  • Quyền riêng tư đối với đầu vào. Các nút có thể có 2 loại đầu vào. Nếu một đầu vào do một nút trước đó tạo ra, thì nút đó đã bảo đảm quyền riêng tư đối với đầu ra của nút trước đó. Nếu không, dữ liệu đầu vào phải xoá các chính sách truy cập dữ liệu bằng công cụ chính sách.
  • Quyền riêng tư đối với đầu ra. Bạn có thể cần cá nhân hoá đầu ra, chẳng hạn như dữ liệu do cơ chế Sự riêng tư biệt lập (DP) cung cấp.
  • Tính bảo mật của môi trường tính toán. Quá trình tính toán phải diễn ra trong một môi trường kín an toàn để đảm bảo rằng không ai có quyền truy cập vào các trạng thái trung gian bên trong một nút. Các công nghệ hỗ trợ quá trình tính toán này bao gồm Tính toán liên kết (FC), Môi trường thực thi đáng tin cậy (TEE) dựa trên phần cứng, Tính toán nhiều bên (sMPC) bảo mật, mã hoá đồng nhất (HPE) và nhiều công nghệ khác. Điều đáng chú ý là quyền riêng tư thông qua các trạng thái trung gian bảo vệ tính bảo mật và tất cả các đầu ra vượt qua ranh giới bảo mật vẫn cần được bảo vệ bằng cơ chế Sự riêng tư biệt lập. Hai thông báo xác nhận quyền sở hữu bắt buộc là:
    • Tính bảo mật của môi trường, đảm bảo chỉ các đầu ra được khai báo mới rời khỏi môi trường và
    • Độ tin cậy, cho phép các trường hợp khấu trừ chính xác các tuyên bố về quyền riêng tư đầu ra từ các tuyên bố về quyền riêng tư đối với đầu vào. Độ tin cậy cho phép truyền thuộc tính quyền riêng tư xuống DAG.

Hệ thống riêng tư sẽ duy trì quyền riêng tư đối với đầu vào, tính bảo mật của môi trường tính toán và quyền riêng tư đối với đầu ra. Tuy nhiên, số lượng ứng dụng của cơ chế Sự riêng tư biệt lập có thể giảm xuống bằng cách niêm phong thêm quá trình xử lý bên trong một môi trường tính toán bảo mật.

Mô hình này mang lại 2 lợi thế chính. Trước tiên, hầu hết các hệ thống, lớn và nhỏ, đều có thể được biểu thị dưới dạng DAG. Thứ hai, Hậu xử lý [Mục 2.1] và cấu trúc Lemma 2.4 trong các thuộc tính Sự phức tạp của sự riêng tư vi phân hỗ trợ các công cụ mạnh mẽ để phân tích sự đánh đổi về quyền riêng tư và độ chính xác (trường hợp xấu nhất) cho toàn bộ biểu đồ:

  • Quy trình Xử lý hậu kỳ đảm bảo rằng sau khi một số lượng được cá nhân hoá, số lượng đó không thể được "huỷ cá nhân hoá" nếu không được dùng lại dữ liệu gốc. Miễn là tất cả các đầu vào cho một nút đều ở chế độ riêng tư, đầu ra của nút đó sẽ ở chế độ riêng tư, bất kể hoạt động tính toán của nút đó là gì.
  • Cấu trúc nâng cao đảm bảo rằng nếu mỗi phần trong đồ thị đều là DP, thì đồ thị tổng thể cũng sẽ ràng buộc hiệu quả εδ của đầu ra cuối cùng của đồ thị theo khoảng ε√κ tương ứng, giả sử một đồ thị có κ đơn vị và đầu ra của mỗi đơn vị là (ε, δ)-DP.

Hai thuộc tính này chuyển thành 2 nguyên tắc thiết kế cho mỗi nút:

  • Thuộc tính 1 (Trong Xử lý hậu kỳ) nếu đầu vào của một nút đều là DP, thì đầu ra của nút đó là DP, chứa mọi logic nghiệp vụ được thực thi trong nút và hỗ trợ "bí quyết" của doanh nghiệp.
  • Thuộc tính 2 (Trong Cấu trúc nâng cao) nếu đầu vào của một nút không phải là toàn bộ DP, thì đầu ra của nút đó phải tuân thủ DP. Nếu một nút tính toán là một nút chạy trên Môi trường thực thi đáng tin cậy và đang thực thi khối lượng công việc và cấu hình nguồn mở, được cung cấp bởi Cá nhân hoá trên thiết bị, thì có thể giới hạn DP chặt hơn. Nếu không, hoạt động Cá nhân hoá trên thiết bị có thể cần sử dụng giới hạn DP trong trường hợp xấu nhất. Do các hạn chế về tài nguyên, Môi trường thực thi đáng tin cậy do nhà cung cấp dịch vụ đám mây công cộng cung cấp sẽ được ưu tiên ban đầu.

Quyền riêng tư của môi trường tính toán so với độ chính xác của đầu ra

Do đó, hoạt động Cá nhân hoá trên thiết bị sẽ tập trung vào việc tăng cường tính bảo mật của các môi trường tính toán bảo mật và đảm bảo rằng các trạng thái trung gian không thể truy cập vào được. Quy trình bảo mật này, còn gọi là niêm phong, sẽ được áp dụng ở cấp đồ thị con, cho phép nhiều nút được làm cho tuân thủ DP cùng nhau. Điều này có nghĩa là thuộc tính 1thuộc tính 2 được đề cập trước đó áp dụng ở cấp đồ thị con.

Chia một biểu đồ có 7 nút thành 2 đồ thị con và 1 nút. Mỗi biểu đồ con có 3 nút trong ví dụ này. Nếu đối thủ thực thi mỗi đồ thị con thì chỉ có Đầu ra 3 và Đầu ra 6, kết quả của các đồ thị con cần được DP tạo.
Tất nhiên, dữ liệu đầu ra của đồ thị cuối cùng, Đầu ra 7, là DP đối với mỗi cấu trúc. Tức là tổng cộng sẽ có 2 DP cho biểu đồ này; so với tổng cộng 3 DP (địa phương) nếu không sử dụng niêm phong.

Về cơ bản, bằng cách bảo mật môi trường tính toán và loại bỏ cơ hội để đối thủ truy cập vào dữ liệu đầu vào và trạng thái trung gian của biểu đồ hoặc đồ thị con, điều này cho phép triển khai DP trung tâm (nghĩa là đầu ra của môi trường kín tuân thủ DP), giúp cải thiện độ chính xác so với DP cục bộ (tức là các dữ liệu đầu vào riêng lẻ đều tuân thủ DP). Nguyên tắc này làm cơ sở cho việc cân nhắc FC, TEE, sMPC và HPE làm công nghệ bảo vệ quyền riêng tư. Tham khảo Chương 10 trong Sự phức tạp của cơ chế Sự riêng tư biệt lập.

Một ví dụ điển hình và thiết thực là huấn luyện mô hình và suy luận. Các thảo luận dưới đây giả định rằng (1), tập hợp huấn luyện và tập hợp suy luận trùng lặp và (2), cả hai tính năng và nhãn đều cấu thành dữ liệu riêng tư của người dùng. Chúng ta có thể áp dụng DP cho tất cả dữ liệu đầu vào:

Chế độ Cá nhân hoá trên thiết bị có thể áp dụng DP cục bộ cho nhãn và tính năng của người dùng trước khi gửi đến máy chủ.
DP cục bộ: tài sản 1 các tính năng riêng tư + nhãn riêng tư -> mô hình riêng tư. (tài sản 1) Mô hình riêng tư + các tính năng riêng tư -> suy luận riêng tư.
Tính năng cá nhân hoá trên thiết bị có thể áp dụng DP cục bộ cho nhãn và tính năng của người dùng trước khi gửi tới máy chủ. Phương pháp này không áp đặt bất kỳ yêu cầu nào đối với môi trường thực thi của máy chủ hoặc logic nghiệp vụ của máy chủ.
Trong trường hợp này, chủ sở hữu mô hình có thể chuyển mô hình cho dự đoán đến nơi khác.
DP trung tâm: (thuộc tính 2), ngoài ra, bạn có thể áp dụng DP trong quá trình huấn luyện mô hình mà vẫn đảm bảo tính chính xác cho các tính năng và nhãn. Trong trường hợp này, chủ sở hữu mô hình có thể chuyển mô hình cho dự đoán đến nơi khác. Tuy nhiên, để đảm bảo quyền riêng tư trong quá trình suy luận, các tính năng được nhập vào mô hình riêng tư cũng phải tuân thủ DP theo tài sản 1.
Cải thiện độ chính xác của suy luận bằng cách niêm phong quá trình huấn luyện và suy luận.
Bạn có thể cải thiện thêm độ chính xác của suy luận bằng cách huấn luyện và dự đoán. Điều này cho phép đưa các tính năng chính xác vào mô hình riêng tư.
Đi đến suy luận cuối cùng.
Nếu thực hiện thêm một bước, bạn cũng có thể đi đến suy luận cuối cùng. Trong trường hợp này, chủ sở hữu mô hình cũng không có quyền truy cập vào thông tin dự đoán.
Đây là thiết kế hiện tại của chế độ Cá nhân hoá trên thiết bị.

Tính riêng tư có thể xác minh được

Mục đích của hoạt động Cá nhân hoá trên thiết bị là nhằm đảm bảo quyền riêng tư có thể xác minh được. Quy trình này tập trung vào việc xác minh những gì xảy ra bên ngoài các thiết bị của người dùng. ODP sẽ soạn thảo mã xử lý dữ liệu rời khỏi thiết bị của người dùng cuối và sẽ sử dụng Kiến trúc quy trình Chứng thực từ xa (RATS) RFC 9334 của NIST để chứng thực rằng mã đang chạy đó chưa bị sửa đổi trong máy chủ cấp quyền quản trị thực thể bảo mật theo Côngxon Điện toán bảo mật. Các mã này sẽ được cung cấp nguồn mở và có thể truy cập được để xác minh minh bạch nhằm tạo dựng niềm tin. Những biện pháp đó có thể giúp cá nhân tin tưởng rằng dữ liệu của họ được bảo vệ và các doanh nghiệp có thể tạo dựng uy tín dựa trên cơ sở vững chắc là đảm bảo quyền riêng tư.

Giảm lượng dữ liệu riêng tư được thu thập và lưu trữ là một khía cạnh quan trọng khác của hoạt động Cá nhân hoá trên thiết bị. Hoạt động này tuân thủ nguyên tắc này bằng cách áp dụng các công nghệ như Điện toán liên kết và Sự riêng tư biệt lập, cho phép tiết lộ các mẫu dữ liệu có giá trị mà không làm lộ các chi tiết nhạy cảm của cá nhân hoặc thông tin nhận dạng.

Việc duy trì hồ sơ kiểm tra ghi lại các hoạt động liên quan đến việc xử lý và chia sẻ dữ liệu là một khía cạnh quan trọng khác của quyền riêng tư có thể xác minh. Điều này cho phép tạo báo cáo kiểm tra và xác định các lỗ hổng, qua đó thể hiện cam kết của chúng tôi về quyền riêng tư.

Chúng tôi mong muốn nhận được sự cộng tác mang tính xây dựng từ các chuyên gia về quyền riêng tư, các cơ quan, ban ngành và cá nhân về quyền riêng tư để giúp chúng tôi liên tục cải thiện hoạt động thiết kế và triển khai.

Biểu đồ dưới đây cho thấy đường dẫn mã để tổng hợp trên nhiều thiết bị và gây nhiễu theo cơ chế Sự riêng tư biệt lập.

Cấu trúc của dịch vụ Điện toán liên kết.
Cấu trúc của dịch vụ Điện toán liên kết, xử lý cả Học liên kết và Phân tích liên kết. Dữ liệu chưa được mã hoá, không có tiếng động chỉ được xử lý trên thiết bị (đường màu đỏ). Kết quả xử lý được tải lên đã mã hoá cả trong khi truyền và khi lưu trữ (các đường màu xanh mòng két). Chỉ có các tính năng Cá nhân hoá trên thiết bị, tổng hợp trên nhiều thiết bị nguồn mở và tải công việc gây nhiễu mới có quyền truy cập vào kết quả thô chưa mã hoá trên thiết bị, sau khi chứng thực thành công với điều phối viên nhiều bên. Sau khi độ nhiễu được áp dụng đúng cách theo cơ chế Sự riêng tư biệt lập Bên trong Môi trường thực thi đáng tin cậy, tất cả các luồng dữ liệu xuôi dòng đều có thể được mã hoá (đường màu cam).

Thiết kế cao cấp

Làm cách nào để triển khai quyền riêng tư thông qua tính bảo mật? Ở cấp độ cao, một công cụ chính sách do ODP tạo ra, chạy trong môi trường kín đóng vai trò là thành phần cốt lõi giám sát từng nút/đồ thị con, đồng thời theo dõi trạng thái DP của dữ liệu đầu vào và đầu ra của các nút/đồ thị phụ đó:

  • Các thiết bị và máy chủ được xử lý như nhau từ góc độ của công cụ chính sách. Các thiết bị và máy chủ chạy cùng một công cụ chính sách sẽ được coi là giống nhau về mặt logic sau khi các công cụ chính sách của chúng đã được chứng thực đôi bên.
  • Trên các thiết bị, bạn có thể tách biệt quy trình tách biệt bằng AOSP (hoặc pKVM về lâu dài khi khả năng sử dụng trở nên cao). Trên các máy chủ, quy trình tách biệt sẽ dựa vào "bên đáng tin cậy", tức là TEE cùng với các giải pháp niêm phong về mặt kỹ thuật khác được ưu tiên, thoả thuận theo hợp đồng hoặc cả hai.

Nói cách khác, tất cả các môi trường kín cài đặt và chạy công cụ chính sách nền tảng đều được coi là một phần của Cơ sở điện toán đáng tin cậy (TCB). Dữ liệu có thể truyền tải mà không bị gây nhiễu thêm nhờ TCB. Bạn cần áp dụng DP khi dữ liệu rời khỏi TCB.

Thiết kế cấp cao của tính năng Cá nhân hoá trên thiết bị tích hợp hiệu quả 2 yếu tố quan trọng:

  • Cấu trúc quy trình ghép nối để thực thi logic nghiệp vụ
  • Các chính sách và công cụ chính sách để quản lý các hoạt động vào, ra và được phép của dữ liệu.

Thiết kế nhất quán này mang đến cho các doanh nghiệp một sân chơi bình đẳng, nơi họ có thể chạy mã độc quyền của mình trong môi trường thực thi đáng tin cậy và truy cập vào dữ liệu người dùng đã vượt qua các bước kiểm tra chính sách thích hợp.

Các phần sau đây sẽ trình bày chi tiết về hai khía cạnh chính này.

Cấu trúc quy trình ghép nối để thực thi logic nghiệp vụ

Hoạt động Cá nhân hoá trên thiết bị giới thiệu một cấu trúc quy trình ghép nối trong AOSP để tăng cường quyền riêng tư của người dùng và bảo mật dữ liệu trong quá trình thực thi logic nghiệp vụ. Cấu trúc này bao gồm:

  • ManagingProcess. Quy trình này sẽ tạo và quản lý IsolatedProcesses, nhằm đảm bảo chúng vẫn tách biệt ở cấp quy trình với quyền truy cập bị giới hạn đối với các API có trong danh sách cho phép và không có quyền truy cập vào mạng hoặc ổ đĩa. ManagingProcess sẽ xử lý việc thu thập tất cả dữ liệu doanh nghiệp, mọi dữ liệu người dùng cuối và chính sách sẽ xoá dữ liệu đó cho mã doanh nghiệp, đẩy dữ liệu đó vào quy trình IsolatedProcesses để thực thi. Ngoài ra, quy trình này còn dàn xếp sự tương tác giữa IsolatedProcesses và các quy trình khác, chẳng hạn như system_server.

  • IsolatedProcess. Được chỉ định là tách biệt (isolatedprocess=true trong tệp kê khai), quy trình này sẽ nhận dữ liệu doanh nghiệp, dữ liệu người dùng cuối đã được phê duyệt theo chính sách và mã doanh nghiệp từ ManagingProcess. Chúng cho phép mã doanh nghiệp hoạt động trên dữ liệu của mã và dữ liệu của người dùng cuối đã được phê duyệt theo chính sách. IsolatedProcess chỉ kết nối với ManagedProcess cho cả lượng vào và ra mà không có quyền bổ sung.

Cấu trúc quy trình ghép nối mang đến cơ hội xác minh độc lập các chính sách quyền riêng tư đối với dữ liệu người dùng cuối mà không yêu cầu doanh nghiệp phải cấp phép nguồn mở cho logic hoặc mã nghiệp vụ của họ. Với việc ManagingProcess duy trì tính độc lập của IsolatedProcesses và IsolatedProcesses triển khai hiệu quả logic nghiệp vụ, cấu trúc này đảm bảo mang đến một giải pháp an toàn và hiệu quả hơn để bảo vệ quyền riêng tư của người dùng trong quá trình cá nhân hoá.

Hình sau đây cho thấy cấu trúc quy trình ghép nối này.

Thực thể tác giả "Ứng dụng người sử dụng" có thể là hoặc không phải là thực thể tác giả "APK người sử dụng" trong biểu đồ.
Pháp nhân tác giả "Ứng dụng dành cho người sử dụng" có thể là hoặc không phải là thực thể tác giả "Tệp APK của người sử dụng" trong biểu đồ. Pháp nhân tác giả "Tệp người dùng ứng dụng" giống với pháp nhân sở hữu "Cửa hàng địa phương của người sử dụng" trong biểu đồ.

Chính sách và công cụ chính sách hỗ trợ hoạt động dữ liệu

Hoạt động cá nhân hoá trên thiết bị giới thiệu một lớp thực thi chính sách giữa nền tảng và logic nghiệp vụ. Mục tiêu là cung cấp một bộ công cụ giúp liên kết các biện pháp kiểm soát doanh nghiệp và người dùng cuối thành các quyết định tập trung và khả thi về chính sách. Sau đó, các chính sách này được thực thi một cách toàn diện và đáng tin cậy trên các quy trình và hoạt động kinh doanh.

Trong cấu trúc quy trình ghép nối, công cụ chính sách nằm trong ManagingProcess, giám sát lượng dữ liệu đầu vào và đầu ra của người dùng cuối và dữ liệu doanh nghiệp. Cấu trúc này cũng sẽ cung cấp các hoạt động có trong danh sách cho phép cho IsolatedProcess. Phạm vi cung cấp mẫu bao gồm tôn trọng quyền kiểm soát của người dùng cuối, bảo vệ trẻ em, ngăn chặn việc chia sẻ dữ liệu khi chưa có sự đồng ý cũng như quyền riêng tư của doanh nghiệp.

Cấu trúc thực thi chính sách này bao gồm ba loại quy trình mà bạn có thể khai thác:

  • Quy trình làm việc ngoại tuyến, được khởi tạo cục bộ với thông tin liên lạc của Môi trường thực thi đáng tin cậy (TEE):
    • Quy trình tải dữ liệu xuống: nội dung tải xuống đáng tin cậy
    • Quy trình tải dữ liệu lên: giao dịch đáng tin cậy
  • Quy trình công việc trực tuyến, được khởi tạo cục bộ:
    • Luồng phân phối theo thời gian thực
    • Luồng suy luận
  • Quy trình làm việc ngoại tuyến, được khởi tạo cục bộ:
    • Quy trình tối ưu hoá: hoạt động huấn luyện mô hình trên thiết bị được triển khai thông qua Học liên kết (FL)
    • Luồng báo cáo: tính năng tổng hợp trên nhiều thiết bị được triển khai thông qua Phân tích liên kết (FA)

Hình sau đây thể hiện cấu trúc từ quan điểm về các chính sách và công cụ chính sách.

Công cụ chính sách đóng vai trò là trung tâm của quá trình thiết kế.
Công cụ chính sách đóng vai trò trung tâm khi thiết kế. Ví dụ (chưa đầy đủ):
  • Tải xuống: 1 -> 2 -> 4 -> 7 -> 10 -> 11 -> 3
  • Phân phối: 1 + 3 -> 4 -> 6 -> 9 -> 11 -> 3
  • Tối ưu hoá: 2 (cung cấp kế hoạch huấn luyện) -> 1 + 3 -> 4 -> 5 -> 8 -> 11 -> 2
  • Báo cáo: 3 (cung cấp kế hoạch tổng hợp) -> 1 + 3 -> 4 -> 5 -> 8 -> 11 -> 2

Nhìn chung, việc giới thiệu lớp thực thi chính sách và công cụ chính sách trong cấu trúc quy trình ghép nối của tính năng Cá nhân hoá trên thiết bị giúp đảm bảo một môi trường tách biệt và bảo đảm quyền riêng tư để thực thi logic nghiệp vụ, đồng thời cung cấp quyền truy cập có kiểm soát vào dữ liệu và hoạt động cần thiết.

Các nền tảng API phân lớp

Hoạt động Cá nhân hoá trên thiết bị cung cấp một cấu trúc API phân lớp cho các doanh nghiệp quan tâm. Lớp trên cùng bao gồm các ứng dụng được xây dựng cho trường hợp sử dụng cụ thể. Các doanh nghiệp tiềm năng có thể kết nối dữ liệu của họ với các ứng dụng này, còn gọi là API Lớp trên cùng. API Lớp trên cùng được xây dựng dựa trên API Lớp giữa.

Theo thời gian, chúng tôi hy vọng sẽ bổ sung nhiều API Lớp trên cùng hơn nữa. Khi không có API Lớp trên cùng cho một trường hợp sử dụng cụ thể hoặc khi API Lớp trên cùng hiện có không đủ linh hoạt, doanh nghiệp có thể trực tiếp triển khai các API Lớp giữa để cung cấp năng lượng và tính linh hoạt thông qua các nguyên tắc lập trình.

Kết luận

Cá nhân hoá trên thiết bị là một đề xuất nghiên cứu ở giai đoạn đầu nhằm thu hút sự quan tâm và ý kiến phản hồi về một giải pháp lâu dài giúp giải quyết các mối lo ngại về quyền riêng tư của người dùng cuối bằng các công nghệ mới nhất và tốt nhất dự kiến sẽ mang lại tiện ích cao.

Chúng tôi muốn hợp tác với các bên liên quan như chuyên gia về quyền riêng tư, nhà phân tích dữ liệu cũng như người dùng cuối tiềm năng để đảm bảo ODP đáp ứng nhu cầu và giải quyết các mối lo ngại của họ.