该论文提出了一种基于远程数据科学（RDS）的隐私保护机器学习（PPML）框架，用于跨机构学生保留率预测。研究利用PySyft平台，设计了一个半气隙架构，包括高侧和低侧服务器，使得来自三所大学的研究人员能够在敏感学生数据上构建预测模型，而无需直接访问原始数据。实验使用一所小型私立大学的历史数据（N=720），评估了三种合成数据生成方法，并提出了一种名为“数据类型感知模板”（Data-Type-Aware Templates）的新型合成数据方法，该方法优先考虑隐私而非分布保真度。通过跨机构协作验证，该框架在不同机构间保持一致的分类性能（Macro F1: 0.690-0.695），同时严格遵守美国《家庭教育权利和隐私法案》（FERPA）。研究表明，基于RDS的PPML在教育场景中技术上可行，并且是小规模跨机构合作中联邦学习的一种实用替代方案。论文代码已开源。

该论文聚焦于协作边缘-云推理场景中的隐私泄露问题。资源受限的设备通过将部分计算卸载到云服务器来利用大型语言模型（LLM），但中间激活值在传输过程中容易受到提示反转攻击，即攻击者从共享表示中重构原始用户输入。现有防御方法多依赖启发式扰动或经验调优，缺乏对隐私泄漏及其与效用、延迟约束之间相互作用的理论理解。作者提出了一种基于信息论的防御框架，通过学习隐私保护表示，明确最小化中间激活值与输入提示之间的互信息，同时维持计算约束下的任务效用。论文推导了提示重构误差的理论保证，刻画了隐私-效用的基本权衡，并建立了下游推理的token级准确率界限。进一步提出基于低维信息瓶颈的隐私适配器实现防御方法。在多种设置下的广泛实验表明，该方法在隐私-效用-延迟权衡上优于现有防御（攻击成功率降低最高35%），为私有高效的协作LLM推理提供了理论基础。适合对LLM隐私保护、边缘计算安全感兴趣的研究人员阅读。

该论文提出并评估了一个端到端的联邦学习系统，用于在边缘设备上进行无监督的12导联心电图异常检测。系统结合了三种自编码器架构（VanillaAE、ConvAE、VAE），基于Flower框架实现跨十个模拟医院的联邦平均聚合，并集成客户端差分隐私（DP-SGD，使用Rényi-DP会计）和8位整数量化后训练压缩（在树莓派4上测试）。实验使用PTB-XL数据集，表明联邦学习在所有架构上达到或超过集中式基准（ConvAE的ROC-AUC为0.782），隐私预算ε=4被推荐为临床操作点。INT8量化使模型大小减半，树莓派延迟降低44%，且AUC损失小于0.12%。关键发现是差分隐私和量化惩罚可经验独立叠加，因此实践者无需在强隐私保证和小型边缘部署之间权衡。该工作是首个结合联邦学习、形式化(ε,δ)-差分隐私、无监督重建检测和量化AArch64部署的系统，为医疗物联网中的隐私合规实时监测提供了工程基准。

该论文提出了一种名为 PriME-Deal 的隐私保护双边数据交易协议，旨在解决现有基于属性的访问控制方案在数据交易中存在的策略泄露、计算开销大、依赖可信第三方等问题。PriME-Deal 是一个非交互式协议，能够在公共区块链上同时实现策略隐藏的双边匹配、高效的阈值访问控制和可审计的公平交换。核心方法包括：卖家将秘密令牌嵌入到基于伪随机掩码的 oblivious 键值存储中，该令牌受买家策略保护；买家通过标签探测在本地重构令牌，无需组合枚举，并通过零知识证明证明重构的正确性。公平交换通过链上抵押披露和加密审计机制实现，无需可信第三方。安全性在通用可组合框架下基于标准假设证明。实验表明，与最先进的阈值模糊 IB-ME 方案相比，卖家发布时间减少两个数量级（策略含 500 个属性时，8.76 秒 vs 690 秒）；在典型配置 (200,20,5) 下，买家令牌重构和证明生成需 8.9 秒，其中零知识证明仅需 0.6 秒且与参数规模无关；链上成本约 2860 万 gas，远低于以太坊区块限制。该协议是首个同时实现线性卖方开销、双边策略隐藏和可审计公平性的实用隐私保护数据交易方案。

该论文针对量子计算对现有金融加密体系构成的威胁，提出了一种后量子安全的联邦去中心化金融（DeFi）框架，旨在提升因信用记录不足而被传统银行排斥的个人的金融包容性。核心方法包括：多家银行将客户加密数据批量上传至虚拟服务器，采用基于格的全同态加密（FHE）实现端到端同态计算，确保数据在加密状态下完成融合分析；服务器融合本地数据驱动的概率评估、专家信念以及NASA-IBM Prithvi地理空间基础模型（GFM）生成的可验证证据（全部为密文形式）；利用区块链等去中心化技术保证证据的防篡改性和机构间数据交换的可审计问责。该框架以美国弗吉尼亚州农村借款人的农业贷款决策为测试场景，展示了在保护隐私的同时提升贷款覆盖率的潜力。论文的主要贡献在于首次将后量子密码学、联邦学习、FHE与地理空间AI模型系统性地整合到DeFi场景中，为应对量子威胁下的金融普惠问题提供了可扩展的架构方案。适合关注后量子安全、联邦学习、隐私计算及普惠金融的技术研究与安全架构师阅读。

信用风险预测是消费信贷行业的核心问题。传统上，金融机构使用借款人的人口统计、财务和信用历史数据（统称为传统数据）构建预测模型。近年研究表明，替代数据（如手机通信数据）能为贷方提供更全面准确的借款人信用评估，从而提升预测性能。然而，替代数据由独立于金融机构的外部实体持有，直接共享会侵犯消费者隐私，现有研究大多忽略此问题。为填补空白，本文定义了隐私保护的信用风险预测新问题，需同时满足三个实际约束：保护消费者隐私的隐私保护约束、在金融机构集中学习并存储模型的模型保密约束，以及维持模型性能的无损约束。为此，作者提出 PrivacyCredit，一种新颖的隐私保护机器学习方法，并从理论上证明其满足隐私保护、模型保密和无损特性。通过使用与替代数据关联的真实信贷数据集进行广泛实验，展示了安全整合替代数据于信用风险预测中的预测价值，并证明 PrivacyCredit 达到了与从传统数据与替代数据不安全明文组合中学习的模型相同的预测性能。文章还评估了其模型保密特性和计算效率。

本文提出了一种新颖的安全多方计算（MPC）平台框架，旨在解决密码学隐私保护技术（如全同态加密FHE和安全多方计算MPC）在实际部署中面临的可用性差、隐私保证不精确等挑战。作者首先形式化了安全计算平台（SCP）的概念，用于隐私保护的数据协作，并引入了一个模型来精确指定多方工作流的隐私保证。然后，他们描述了非密码学专家也能使用的一组密码原语抽象。论文通过两个演示工作流验证了所提方法的有效性，展示了在现实性能与隐私保证之间取得平衡的潜力。该工作为构建“干净数据室”提供了基础组件，特别适用于需要多方安全数据分析的场景（如金融、医疗等受监管行业）。

该论文研究了差分隐私中用于T维实数向量查询的加性噪声机制。高斯机制因其简单性和强隐私保证而成为最广泛使用的机制。本文首先证明，当维度T趋于无穷大时，在强隐私设置下，没有任何加性噪声机制能够渐近地改善高斯机制的隐私-效用权衡，从而为高斯机制的选择提供了理论依据。其次，本文提出了一类新的球面广义伽马差分隐私机制，该类机制包含高斯机制和近期研究的ℓ2机制。论文识别出该类机制中在低维场景下同时优于高斯和ℓ2机制的成员，并给出了该类机制所有成员的紧致组合性质，回答了Joseph等人关于ℓ2机制的开放问题。实验部分通过理论分析和数值模拟验证了所提机制的有效性。

本文针对隐私保护的个性化联邦学习（PFL）中应用CKKS同态加密方案时缺乏系统参数选择指导的问题，提出了pFedCKKS框架。该框架将CKKS集成到PFL中，并首次提供了参数选择的系统指南。研究指出，在128位安全级别下，CKKS参数约束可简化为选择两个关键值：内部密文素数和外部密文素数。通过使用Flower框架和TenSEAL库实现，并在FEMNIST、CelebA和Sentiment140数据集上，结合FedFinetune、Ditto和FedPer三种PFL算法进行评估。实验揭示了精度与计算/通信成本之间的经验权衡，从而为实际部署pFedCKKS时选择适当的CKKS参数以平衡效率和准确性提供了具体指导。该工作对于希望使用同态加密保护隐私的PFL实践者具有重要参考价值。

该论文关注深度神经网络（DNN）应用中图像数据的隐私保护问题。现有技术如差分隐私虽能提供强隐私保证，但无法有效保护图像的可视化特征。为此，作者提出一种新型隐私保护框架 VisualMixer，通过像素混洗（pixel shuffling）来保护视觉 DNN 任务的训练数据，且不引入任何噪声。框架引入了一种新的隐私度量指标——视觉特征熵（Visual Feature Entropy, VFE），该指标从生物视觉和机器视觉两个角度量化图像的可视化特征。VisualMixer 采用任务无关的图像混淆方法，根据期望的 VFE 值确定图像中需要像素混洗的区域及其大小，并在空间域和色度通道空间内进行像素混洗，从而在不注入噪声的情况下防止视觉特征被识别。实验表明，该方法在真实数据集上能够有效保护视觉隐私，平均仅导致 2.35 个百分点的模型精度损失，且几乎不降低训练性能。该方法适用于自动驾驶、医学图像分析等隐私敏感场景。

该论文提出了一种基于CKKS全同态加密（FHE）的端到端加密控制管道，用于解决多智能体云协调中的隐私与协作冲突。传统方法需要将智能体状态明文发送给中央服务器，存在隐私泄露风险。FHE理论上允许对密文直接计算，但算术约束苛刻，需重新设计控制环路的每个阶段。本文创新性地将感知、状态估计、状态传播和共识控制全部在CKKS加密域中实现，仅使用加法、乘法和循环旋转操作。为降低FHE计算开销，采用稳态卡尔曼增益替代在线矩阵求解，并通过对角方法应用图拉普拉斯算子，其代价正比于非零循环对角数，可统一处理环、环面和完全图拓扑。论文利用分离原理解耦控制器与观测器误差动力学，推导出周期性自举界，将CKKS自举视为脉冲扰动，从而得到稳态误差球，其大小由自举精度和闭环谱半径决定，为隐私-精度权衡提供了直接设计方程。在多智能体编队控制场景中验证了该管道，证明在加密条件下系统稳定跟踪误差有界，性能可行。

本文首次提出并研究了隐私保护的协作数据清理问题。在协作数据清理场景中，两方希望协调各自的数据集，以过滤掉错误分类或误分类的数据项。隐私保护版本的目标是：各方仅能了解自己数据中被误分类的项，而无法获知对方数据集的任何其他信息。私有数据清理本质上是私有集合交集（PSI）的一种变体，可以利用现有的电路PSI技术来私密地计算误分类。然而，作者针对私有数据清理的特殊性设计、分析并实现了三种新协议，性能优于基于电路PSI的方法。第一种协议利用一个小的额外泄漏（数据项交集差异隐私大小）来降低复杂度；另外两种协议将寻找数据分类不匹配的问题转化为寻找匹配，然后采用标准的不经意伪随机函数（OPRF）技术来计算PSI，根据数据类别的数量，相比电路PSI实现了具体的运行时改进。

本文研究了隐私保护协作数据清洗问题。在协作数据清洗中，两方希望调和各自的数据集，以过滤掉分类错误的数据项。隐私保护版本增加了安全目标：各方仅能了解自己分类错误的数据项，而不能获知对方数据集的其他信息。该问题本质上是隐私集合交集（PSI）的变体，理论上可采用电路PSI技术实现。然而，作者针对私有数据清洗的特性，设计、分析并实现了三种新协议，性能优于电路PSI。第一种协议利用少量附加泄漏（数据项交集差分隐私大小）来降低复杂度；另外两种协议将数据分类不匹配问题转化为匹配问题，然后采用标准的不经意伪随机函数（OPRF）技术计算PSI。实验表明，根据数据类别数量的不同，协议相比电路PSI有具体的运行时间提升。本文主要贡献在于提出了适合私有数据清洗的高效协议，并通过理论分析和实验验证了其优势。适合研究安全多方计算、隐私保护数据清洗的研究者阅读。

本文针对分布式因果结构学习中的隐私泄露问题，提出了一种基于全同态加密（FHE）的隐私保护方法。传统方法中，数据在传输和计算过程中可能暴露敏感信息，而FHE允许在密文上直接进行计算，从而保证数据全程加密。然而，将FHE应用于因果结构学习面临计算开销大、缺少除法和对数运算支持等挑战。为此，作者提出了一系列创新技术：首先，通过电路简化降低计算复杂度；其次，利用牛顿-拉夫逊倒数法和泰勒展开近似除法和对数运算；最后，采用SIMD加速的批处理技术提升整体效率。此外，该方法可扩展支持差分隐私，展示了其可移植性。实验结果表明，在多个测试数据集上，该方法与明文版本的因果结构学习结果具有高度一致性和可比性，且能在数十分钟内完成学习，兼顾了效率与隐私保护。

该论文研究了联邦学习在跨中心败血症早期预测中的应用。败血症早期预测需要多中心医疗数据，但数据隐私和分布式特性阻碍了集中式建模。联邦学习允许多个机构在不共享原始数据的情况下联合训练模型，但其实际性能、鲁棒性和隐私保护优势尚未在真实临床数据中得到充分评估。为此，作者从中国三家三级医院收集了648个临床筛选样本，并制定了严格的纳入排除标准。他们建立了集中式训练范式作为性能基线，然后实现了水平联邦学习框架进行分布式协同建模。大量实验表明，基于联邦学习的模型在预测准确性上与集中式模型高度接近，同时从根本上避免了隐私泄露。进一步的隐私安全分析验证了恶意攻击者无法从传输的模型参数中重建原始患者数据，表明其具有很强的抗数据重建攻击能力。这项工作不仅验证了联邦学习在临床败血症预测中的实用性和安全性，也为隐私保护的多中心医疗协作提供了可靠且可行的解决方案。

本文提出了一种基于全同态加密（FHE）的高分辨率图像隐私保护梯度计算方法。随着隐私保护需求日益增长，同态加密成为在加密数据上直接进行操作的核心技术。然而，现有工作多局限于低分辨率图像，高分辨率图像处理面临计算开销剧增的挑战。为此，作者提出了一种多密文隐私保护框架，适用于半诚实模型下的加密和计算。核心思路是将大尺寸图像分割为多个子图像，从而保持较小的FHE参数并减小密钥尺寸；通过并行处理子图像密文和引入新的自举放置策略，显著降低加密开销。在服务器端，利用重复打包技术优化大图像卷积运算，并实现了基于FHE的Sobel算子计算。针对Sobel算子梯度方向计算，提出了一种基于符号函数的倒数函数多项式逼近方法，该方法可推广至其他FHE协议。实验证明了方案在效率和精度上的有效性。

本文针对大型语言模型（LLM）在临床部署中因传输原始敏感健康信息而导致的隐私泄漏风险，提出了一个名为HERALD（Healthcare Encryption & Redaction via Adaptive Linguistic Decomposition）的令牌级加密改写框架。该框架在客户端运行，模型无关，无需修改下游模型。HERALD首先利用医学命名实体识别器（NER）和词性（POS）驱动的策略选择候选敏感令牌，然后对选中的令牌进行目标词形还原以稳定表面形式，最后用确定性密文包裹在显式分隔符内替换每个受保护令牌。这样，敏感内容在存储、传输和处理过程中始终保持加密状态，而上下文被保留以供下游模型使用。实验在公开数据集上针对分类和医学问答（MQA）任务进行，结果显示完全加密基线遭受显著的效用损失，而HERALD一致地将性能恢复至接近明文水平。HERALD提供了一种新颖的实用pipeline，在隐私保护与模型可用性之间取得了平衡。

该论文针对隐私保护推理中的嵌入查找问题，提出了一种基于全同态加密（FHE）的私有嵌入查找方法。在自然语言处理和推荐模型中，模型首先将离散的客户端输入映射为嵌入向量，而输入可能包含敏感信息，因此需要保护嵌入步骤的隐私。FHE允许对加密数据进行推理，但将嵌入查找从简单的表访问变为同态计算。为保持嵌入表在服务端且避免客户端传输加密的嵌入向量，该工作聚焦于服务端查找：客户端仅发送一个小的加密索引。先前的工作（ICML 2024）首先从加密索引构建一个独热向量，然后与嵌入表相乘，而独热向量的生成是主要计算开销。基于独热向量的方法在FHE中成本高昂：它对每个坐标进行等式测试来构建p维选择向量，需要O(p log p)次同态操作。该论文的关键观察是，私有嵌入查找只需要加密索引的线性无关表示，而非独热基向量。基于此，作者提出了独立向量估计（IVE）。IVE不构建独热向量，而是构造一个基于单个加密值的连续幂组成的线性无关向量，将向量生成成本降低到O(p)。然后通过预计算基变换恢复相同的嵌入向量，并使用正交离散余弦变换来减轻误差放大。实现表明，IVE相对于先前方法将摊销查找时间提高了最多78.4倍。进一步，论文评估了其在端到端加密FastText推理中的影响，其中嵌入查找是该浅层模型的主要成本。在Enron-Spam数据集上，用IVE替换独热生成后，向量生成在加密推理时间中的占比从99.6%降至66.3%。这项工作主要面向从事隐私保护机器学习和同态加密优化的研究人员。

本文提出了GALA（Greedy ComputAtion for Linear Algebra in Privacy-Preserved Neural Networks），旨在优化隐私保护神经网络中基于同态加密（HE）的线性计算效率。在现有的隐私保护机器学习服务（MLaaS）框架中，如GAZELLE、DELPHI和CrypTFlow2，HE线性计算占用了绝大部分计算时间，其中置换（Perm）操作是点积和卷积最耗时的部分。GALA通过以下两项创新减少置换操作：1）采用行优先权重矩阵编码，并结合GC非线性计算所需的共享生成，减少点积中的置换次数；2）设计先加法后置换的核分组方法，减少卷积中的置换操作。实验表明，GALA在不同数据维度下可将点积速度提升高达700倍，卷积计算速度提升14倍；集成到GAZELLE后，总体运行时间加速2.5至8.3倍。GALA可作为即插即用模块，显著提升现有隐私保护神经网络框架的效率。

本文提出一种隐私保护的智能监控框架，旨在解决传统集中式监控系统中证据管理权限过度集中、隐私泄露风险高的问题。该框架将事件检测与证据披露分离：使用轻量级MobileNetV2-based视频分类器实时检测暴力事件，检测到的片段立即加密，只有通过基于阈值的多方审批流程才能解密访问。解密密钥采用Shamir秘密共享拆分，成员份额使用公钥密码保护，投票过程结合限时令牌、双因素认证、数字签名和审计日志。实验部分在SCVD、RWF-2000和Real-Life Violence Situations三个数据集上，评估了MobileNetV2+LSTM、MobileNetV2+BiLSTM和MobileNetV2+temporal CNN三种模型，涵盖7种域内和跨数据集场景。最佳模型MobileNetV2+BiLSTM在合并保留集上达到93.5%测试准确率和0.980的ROC-AUC，但RWF-2000子集上的较低性能表明了数据集偏移的持续性。该工作适合关注隐私保护监控系统、分布式证据治理和轻量级暴力检测的研究人员和工程师。

本研究针对欧氏空间中差分隐私（DP）k-均值聚类问题展开。现有解决方案直接对原始数据进行加和，导致敏感度与数据域的大小成正比。本文提出PE-means方法，将私有进化（Private Evolution, PE）算法（一种在合成数据生成中日益流行的方法）扩展到k-均值聚类任务。PE方法的核心优势在于，它仅需计算一个具有恒定敏感度的私有直方图来指导进化过程。PE-means在PE的基础上引入了专门用于聚类的新进化算子，以及其他具有独立意义的算法改进。实验结果表明，与现有最优基线相比，PE-means平均降低了20%的聚类损失。该工作为差分隐私聚类提供了新的思路，尤其适用于数据隐私要求高且需要准确聚类结果的场景。

本文提出了一种基于多密钥同态加密（MK-HE）的隐私增强零阶联邦学习协议，适用于无线信道环境。传统联邦学习中的同态加密方法主要依赖单密钥方案，需要信道估计或预均衡来补偿无线衰落，且单密钥方案易受诚实但好奇的客户端攻击——一旦某个客户端密钥泄露，整个网络的安全性将受损。多密钥HE方案为每个设备分配独立密钥，提供更强的客户端级安全性。然而，多密钥HE在无线信道上的聚合面临挑战：不同用户的密文在信道上叠加会产生干扰。本文设计了一个四阶段协议，利用xMK-CKKS（一种知名的多密钥HE方案）在共享无线信道上实现无信道估计的聚合。协议通过重传部分公钥和密文利用相同信道实现，使得解密过程中占主导的大模数加密项代数相消。该协议与零阶联邦学习结合，适用于慢变视距主导信道，每个设备每轮仅传输一个加密标量，通信和加密开销与模型维度无关。理论证明，解码后的加密噪声将收敛率保持在O(1/√K)水平，直至可忽略的噪声基底。协议对诚实但好奇的服务器与最多N-1个客户端合谋的场景安全。MNIST数据集上的数值实验验证了理论分析。

随着移动计算技术的快速发展，来自智能手机、联网车辆和无人机等移动终端的海量空间数据不断产生。对这些数据进行高效的分布式统计分析对于实时移动计算应用至关重要。然而，移动环境的约束性和动态性加剧了隐私挑战：将敏感数据集中分析会带来严重的隐私泄露风险，而现有的隐私保护技术往往引入过高的开销或精度损失。本文设计、实现并评估了首个支持移动空间数据高效且隐私保护的分布统计系统。首先提出 eSpat-B，它利用两个非合谋服务器和新设计的改进分布式点函数（DPF）结合八叉树空间划分。进一步考虑空间数据的频繁更新，提出更高效的方案 eSpat+，核心思想是利用 K 维树进行空间划分，结合增量 DPF 进行统计分析，并设计高效的更新算法。安全分析表明，该方案在整个统计过程中有效保护数据隐私。在真实移动轨迹数据集上的理论分析和实验结果表明，所提方案计算开销降低约1.2倍，通信开销降低约20倍，同时保持100%的准确率。

该论文提出了一种名为FedRAG的高效且隐私保护的联邦检索增强生成（RAG）框架，旨在解决跨机构协作中严格隐私法规导致的“数据孤岛”问题。传统RAG通过外部知识增强大语言模型，跨机构集成需要分布式推理，但Transformer的自注意力机制要求跨节点访问分布式键值缓存，这与隐私保护需求存在根本冲突。现有加密方案（如同态加密、安全多方计算）会带来巨大的延迟和通信开销。FedRAG的核心创新是Scrambled Distributed Attention协议，该协议利用数值稳定的特征混淆（feature scrambling）和令牌排列（token permutation），通过将混淆后的计算动态委托给协作节点，在无需暴露明文数据的前提下解耦注意力执行与数据本地化。该方法不需要专门硬件或模型重训练，同时能稳健防御中间状态反转攻击。实验评估表明，FedRAG在保持模型效用损失小于0.1%的前提下，相比现有安全基线实现了高达62倍的延迟降低，足以支持实际跨机构知识协同的人类可读吞吐量。该框架适用于金融、医疗等对数据隐私要求严格的领域，使得多个机构可以安全地共享领域知识库以提升模型回答的准确性和时效性。

本文针对混合专家（MoE）大规模语言模型在部署中的安全审计问题，提出了一种非侵入式的审计框架RouteScan。现有的基于内容的审计方法需要访问用户提示、模型输入或生成输出，这可能导致敏感用户信息泄露，在LLM安全性与用户隐私之间产生根本性矛盾。作者观察到，MoE模型中稀疏的专家路由会将不同输入映射为不同的专家执行模式，从而在底层GPU执行遥测中留下可测量的足迹。基于此，RouteScan利用预填充阶段分配给专家模块的活跃GPU线程数作为微架构指纹，构建了一个轻量级的检测流水线，通过分离跨领域不变风险指标来精确识别恶意提示。在具有不同路由设计的开源MoE LLM上的综合评估表明，RouteScan在未见过的有害领域上AUROC超过0.93，在新型越狱包装下超过0.96，展现出强大的泛化能力。此外，经验性的逆向测试显示，收集的专家路由遥测对提示重建提供的信息有限，表明相对于基于内容的审计方法具有实际的隐私优势。

本文针对同态加密（HE）无法直接支持非线性激活函数（如ReLU）的问题，提出了一种基于核函数的ReLU近似方法，以支持隐私保护的深度学习模型，特别是大语言模型（LLM）。由于HE仅支持加法和乘法，非线性函数在加密域中无法直接计算，而ReLU在LLM中广泛使用，成为隐私保护NLP的主要障碍。作者利用Jackson定理，设计了一个光滑的核函数来近似ReLU，并通过二阶多项式拟合，实现了低乘法深度，从而兼容HE约束。该方法直接在预训练LLM的token嵌入上进行训练和评估，并在多种场景下测试：从模拟和分词数据到深度学习和Transformer模型。实验结果表明，该近似方法具有较高的保真度，适用于安全隐私保护的推理任务。本文为构建可部署的同态加密兼容LLM提供了关键步骤，适合对隐私保护机器学习、同态加密和NLP安全的从业者阅读。

该论文对全同态加密（FHE）编译器及工具进行了系统性的综述与实验评估。FHE允许在不解密的情况下对加密数据执行任意计算，从而保护数据隐私，即使计算方不可信或已被攻破。这一概念自1970年代提出，但直到2009年Gentry的首个可行方案才得以实现。随着云服务中敏感数据的大规模收集以及数据泄露事件的频发，高合规性行业对机密计算的需求日益增长，推动了FHE工具的快速发展。然而，现有的FHE工具在性能、可用性和安全性方面存在显著差异，开发者面临选择困难。该论文通过广泛的文献调查和实验评估，系统化了当前FHE工具与编译器的现状，识别了关键的研究空白和未来发展方向。实验覆盖多种应用场景，评估了不同工具的计算性能、编程易用性、安全参数配置等。最后，论文为开发者提出了基于FHE的应用开发建议，并讨论了FHE工具链的未来重点，包括提高编译效率、降低噪声管理复杂度、增强安全证明自动化等。适合对隐私计算、数据安全感兴趣的研究者和开发者阅读。

本文提出 baseSPIDER 和 SPIDER 两种私有信息检索（PIR）方案，旨在解决传统 PIR 协议中存在的通信开销高、需要特殊服务器接口或多服务器协作等问题。baseSPIDER 采用单服务器架构，客户端具有状态，通过预处理和存储提示信息来优化后续查询，在通信复杂度上达到与现有最优方案相同的渐近下界，并在常数因子上有所改进，尤其适合大条目数据库。与以往协议相比，baseSPIDER 设计更简洁。SPIDER 则是基于 baseSPIDER 的简单变换，可直接运行在默认数据库接口上，无需服务器提供任何特殊 API、辅助状态或协议特定交互，仅依赖常规索引访问，从而彻底消除了部署障碍，可即时应用于现有系统。该变换方法还可推广到近期其他三种 PIR 方案，使其适应默认服务器范式，产生具有独立价值的新方案。与这些修改后的方案相比，SPIDER 设计更简单，但客户端计算开销更高。总体而言，SPIDER 和 baseSPIDER 在单服务器 PIR 领域提供了更实用的设计，有望降低隐私保护数据查询的实际部署门槛。

本文针对时间紧迫场景下的隐私保护分布式优化问题，提出了一种结合进化算法与安全多方计算（MPC）的方法。分布式优化中多个参与方协作寻找问题的最优解，但传统方法在添加隐私保护（如MPC）后会产生显著运行时开销，可能导致优化无法在截止时间前完成。本文的核心方法是将进化算法用于解空间的搜索，而将MPC用于对候选解的安全性评估，从而减少隐私计算对运行时间的影响，并确保能在截止时间前返回解。此外，通过对评估结果进行混淆处理，可进一步保护诚实但好奇的平台提供者的隐私输入，但这会在保护程度与解质量之间产生权衡。实验在单目标分配问题、旅行商问题（采用遗传算法）以及多目标分配问题（采用NSGA-II）上验证了所提方法的有效性。实验结果表明，该方法能够在保证隐私的同时，满足时间约束并得到可接受的解质量。该工作为时间敏感场景下的隐私保护分布式优化提供了新的思路，适合研究隐私计算与优化算法交叉领域的学者阅读。

本文针对瑞士政治过程中的电子签名收集（e-collecting）场景，提出了一种兼顾可验证性与参与隐私的安全协议。在瑞士，公民通过收集一定数量的签名可以发起政策变更甚至具有法律约束力的公投，其安全要求与电子投票类似。作者首先基于瑞士现有的电子投票法律与技术框架，推导出电子收集的现实设置，包括信任假设、参与者模型以及并发收集的并行性特征。在此基础上，设计了一个密码学协议，核心创新在于利用多个收集活动同时进行的客观事实，在不假设匿名信道的前提下依然能保障参与者的隐私：即任何人（包括收集组织者）都无法将某一签名与具体收集活动一一对应，从而防止针对参与者的群体指纹攻击。同时，协议支持公开可验证性，允许任何第三方验证签名收集结果是否正确、是否来自真正的公民，且公民可以确保证自己的签名被正确计入。文中给出了协议的详细构造、安全性定义以及基于现实参数的安全分析。实验部分（若有）未在摘要中提及，但理论上证明了协议满足隐私性、完整性及健壮性。该工作为瑞士乃至其他类似民主过程的电子化签名收集提供了首个现实可用的密码学方案，对电子投票、电子请愿等系统的设计与部署具有直接参考价值。

该论文研究隐私保护加密货币交易所（如屏蔽自动做市商、批量交换拍卖、密封订单流拍卖）中，做市商观察到被高斯噪声扰动的订单流时的市场微观结构均衡。作者在 Kyle（1985）连续拍卖模型的基础上，引入一个承诺型贝叶斯做市商，其观察到的订单流被独立同分布的高斯隐私噪声扰动。推导出唯一的线性均衡：价格影响系数和知情交易者策略均按隐私参数的单一因子重新缩放，且两者的乘积保持不变。福利分解进一步识别出每期从协议流动性池向交易者的转移——即“隐私补贴”（privacy subsidy），它是任何隐私聚合交易所必须收取的盈亏平衡费用。该结果类似于 Loss-Versus-Rebalancing（Milionis et al. 2022）在单期闭式隐私噪声下的类比。主要应用是通过显式加噪注入（如差分隐私）的屏蔽自动做市商；相关设计（批量交换、密封投标、预言机锚定交叉）需要单独的框架，留待未来工作。该论文为隐私保护 DEX 的经济设计提供了理论基础。

该论文提出 MetaMoE，一个隐私保护的混合专家（MoE）模型统一框架。在现实场景中，训练数据通常分布在多个客户端且无法共享，导致无法直接训练统一的 MoE 模型。MetaMoE 利用公开的代理数据作为私有数据的替代，通过多样性感知的代理选择方法，从公开数据中挑选与各客户端领域相关且多样化的样本，以有效逼近私有数据分布并监督路由器的学习。这些代理还用于对齐专家训练，改善统一时的专家协调，同时上下文感知的路由器增强了跨异构输入的专家选择。在计算机视觉和自然语言处理基准上的实验表明，MetaMoE 持续优于现有的隐私保护 MoE 统一方法。该工作为隐私约束下的 MoE 模型训练提供了新思路，适用于联邦学习、分布式专家系统等场景。

本文提出了一种名为 DisAgg 的新型安全聚合协议，用于联邦学习中的隐私保护。在传统联邦学习中，客户端更新直接暴露给中央服务器，存在隐私风险。现有的安全聚合方案虽然能抵御诚实但好奇的服务器，但通常存在通信轮数多、公钥操作重、难以处理客户端掉线等问题。最近提出的单轮私有聚合（OPA）虽然减少了通信轮数，但引入了大量的密码学和计算开销。DisAgg 通过引入一个由少量客户端组成的聚合器委员会来执行聚合操作：每个客户端使用秘密共享将其更新向量分发给聚合器，聚合器本地计算部分和，只返回聚合后的份额给服务器进行重构。这种设计消除了本地掩码和昂贵的同态加密，降低了端点的计算复杂度，同时保护了隐私（抵御好奇的服务器和有限数量的合谋客户端）。通过优化通信与计算成本的权衡，DisAgg 在处理来自 100k 个 5G 客户端的 100k 维更新向量时，相比于之前的最佳协议 OPA 实现了 4.6 倍的加速。论文通过理论分析和实验验证了 DisAgg 在效率、隐私保证和可扩展性方面的优势。

本文研究安全两方计算在动态控制器执行中的应用。针对现有基于同态加密的加密控制方案需要周期性解密、重置或重新加密控制器状态的问题，作者采用安全两方计算协议，使得控制器可以在无限时间范围内持续运行而无需暴露明文状态。然而，两方设置引入了额外的在线通信开销，可能影响实时可行性。为了验证该协议的实际可行性，作者在商用云平台上搭建了倒立摆实验台，实现了该安全两方控制器计算协议。实验结果表明，尽管存在在线通信延迟，该协议仍能成功稳定倒立摆系统。该研究为实时控制系统的隐私保护提供了一种无需周期性解密的新途径。

该论文提出了一种名为 FedAttr 的新协议，用于在联邦学习（FL）环境下对大型语言模型（LLM）微调过程进行客户端级别的归属分析。传统的基于水印的放射性检测方法已证明在集中式LLM微调中有效，但在联邦学习中面临挑战：联邦学习依赖安全聚合（SA）来保护客户端更新的隐私，这使得检测哪个客户端使用了带水印的数据变得困难。FedAttr 通过配对子集差分机制实现客户端归属，同时不破坏安全聚合的隐私保证和联邦学习性能。协议分三步：首先，通过两次安全聚合查询的差分估计每个客户端的更新；其次，利用差分评分机制通过水印检测器对估计结果打分；最后，使用Stouffer方法跨轮次合并分数。理论分析表明，FedAttr 能产生每个客户端更新的无偏估计，且每轮互信息泄漏量为 O(d*/N)。实验结果显示，FedAttr 在真实数据集上实现了100%的TPR和0%的FPR，在TPR上至少优于所有基线44.4%，在FPR上至少优于19.1%，且仅增加FL训练时间6.3%的额外开销。消融研究证实了其对协议参数和配置的鲁棒性。该工作填补了联邦LLM微调中隐私保护客户端归属的空白，特别适用于数据版权保护场景。

本文提出了一种针对隐私保护动作识别（PPAR）的压缩友好加密方法CFE-PPAR。PPAR旨在让机器理解视频中的人类活动而不泄露敏感视觉内容。现有加密方法在加密视频被压缩（如Motion-JPEG或H.264）时，会导致识别性能和视觉质量急剧下降，即不具压缩友好性。CFE-PPAR利用视频变换器（video transformer）实现加密视频的直接识别，其中视频使用密钥加密，变换器参数也使用相同密钥进行变换，从而在加密域中保持识别能力。实验在UCF101和HMDB51数据集上验证，在Motion-JPEG和H.264压缩下，CFE-PPAR在识别准确率和视觉质量方面均优于先前方法。该方法首次实现了压缩友好的加密PPAR，为实际部署中视频传输与存储的隐私保护提供了可行方案。

同态加密技术能够在加密数据上直接进行计算，从而保护敏感数据的隐私。然而，现有同态加密管线在面对恶意敌手时，无法保证计算结果的正确性——即客户端无法验证云服务器是否忠实地执行了所承诺的计算，而非返回伪造或部分正确的结果。本文提出两种与当前最先进全同态加密方案兼容的明文编码方法，使得客户端能够在实际开销可接受的前提下验证同态计算的结果。基于这些编码，作者实现了 VERITAS 库，这是首个支持所有同态操作验证的库。实验表明，对于多种隐私保护分析场景，VERITAS 相比基线同态加密方案仅增加不到 3 倍的计算开销，即可实现可验证性。该工作填补了理论可验证同态加密到实用系统之间的空白，为医疗、金融等领域的安全外包计算提供了关键基础设施。

本文研究如何在不泄露底层训练数据和最终模型的情况下，让模型拥有者证明其模型是按照正确的规格（如特定数据集、训练算法等）进行训练的。作者正式定义了零知识训练证明（zkPoT）的概念，并建立了安全模型。尽管通用零知识证明系统理论上可实现任何模型的zkPoT，但实际证明生成时间过长，无法实用。为设计高效方案，本文创新性地融合了MPC-in-the-head（MPC中公开验证的安全多方计算范式）与zkSNARKs（简洁的非交互零知识证明）两类技术，以在证明大小和计算时间之间取得平衡。作者基于该思路，为逻辑回归模型设计并实现了一个具体高效的zkPoT协议，通过实验验证了其可行性，相比通用方法显著降低了证明生成开销。该研究为模型训练的可验证性提供了隐私保护的实用路径，对AI合规、模型审计等场景具有基础性意义。

该论文提出了PhishLang，一个基于MobileBERT的实时、全客户端钓鱼检测框架。传统钓鱼检测方法通常依赖服务器端分析或黑名单，存在延迟、隐私泄露和无法检测新钓鱼站点的问题。PhishLang通过在客户端设备上直接运行轻量级MobileBERT模型，实现对URL和网页内容的实时分析，无需网络请求，保护用户隐私。框架通过优化模型大小和推理速度，能够在移动设备上高效运行，同时保持高检测准确率。实验结果表明，PhishLang在真实世界数据集上达到了99.2%的准确率和0.7%的误报率，推理时间低于10毫秒。此外，该框架支持可解释性，通过注意力机制提供分类依据。主要贡献包括：首次将MobileBERT应用于客户端钓鱼检测、设计高效的模型压缩与蒸馏策略、以及在多个基准测试上的全面评估。该研究为移动端安全防护提供了轻量级、隐私保护的解决方案。

该论文提出了Treebeard，一个可扩展且具有容错能力的无意识随机访问存储器（ORAM）数据存储系统。ORAM技术能够隐藏客户端对远程存储的访问模式，但现有方案大多为单服务器设计，存在性能瓶颈和单点故障问题。Treebeard将ORAM状态分布到多台服务器上，并通过一致性协议保持状态同步，从而在保证隐私的同时实现线性扩展和故障恢复。系统支持跨客户端的ORAM状态共享，允许多个客户端并发访问而不会泄露彼此访问模式。实验表明，Treebeard在微基准测试和实际工作负载下，吞吐量较现有基准（如基于单服务器ORAM的ObliviousStore和标准键值存储Redis）提升了数倍至一个数量级。论文详细描述了系统架构、一致性协议、故障恢复机制以及性能评估结果。

本文提出了STIP（Secure Three-party Inference Protocol），一种用于大型Transformer模型在生产环境中的三方隐私保护无损推理方案。研究背景是，随着大型Transformer模型（如BERT、GPT系列）在云服务中的广泛部署，用户输入的隐私保护成为关键挑战。现有的隐私保护推理方法（如安全多方计算、同态加密）往往面临巨大的计算开销或精度损失，且难以直接适配Transformer的复杂结构（如非线性激活函数、自注意力机制）。STIP的核心创新包括：（1）设计了一种高效的秘密共享协议，支持在三个非共谋服务器之间进行线性层和非线性层的无损计算，特别针对Transformer中的GeLU、Softmax等函数进行了优化，通过函数拟合与定点数算术结合，实现了完全无损（即计算结果与明文推理完全一致）。（2）提出了自适应分割策略，将模型按层动态分配给三台服务器，以平衡计算负载和通信开销。（3）在安全性方面，STIP确保了半诚实模型下的隐私保护，任何两台服务器合谋也无法获取用户的输入或模型参数。实验基于多种主流Transformer架构（如BERT-Base、BERT-Large、GPT-2）在标准数据集上进行了评估。结果表明，与现有最佳方案相比，STIP将推理延迟降低了约40%，通信量减少了约30%，同时保持了无损精度。该方案适合对隐私和精度均有严格要求的生产环境，如医疗诊断、金融风控等场景。本文的主要贡献在于首次实现了面向大型Transformer的全流程三方无损隐私推理，并通过系统优化将开销降至实际可行的水平。

该论文研究了属性图上基于属性的社区搜索问题，并提出了一种隐私保护方法PACS。属性图是一种节点和边都带有属性的图结构，社区搜索旨在找到满足特定属性条件的紧密子图。传统社区搜索方法通常需要访问原始属性数据，可能泄露用户隐私。PACS通过集成加密技术和差分隐私机制，在保护节点属性和结构隐私的同时，支持高效的社区搜索查询。论文设计了安全的多方计算协议，使得服务器可以在密文上执行属性匹配和社区度量计算，而无需解密。实验证明了该方法在保障隐私的同时保持了较高的搜索准确率与效率。该工作贡献了首个同时支持属性过滤和结构约束的隐私保护社区搜索方案，适用于社交网络、生物信息学等敏感数据场景。

该论文提出RoundRole，一种面向多方计算（MPC）的带宽感知执行框架。MPC在隐私保护计算中广泛应用，但现有协议通常假设网络同质化，忽略了异构带宽对性能的影响。RoundRole通过动态角色分配和带宽感知的任务调度，最小化跨参与方的通信开销，从而提升整体吞吐量和降低延迟。在多种MPC协议（如GMW、BeDOZa）上的实验表明，RoundRole在异构网络环境下相比基线方法实现了2-5倍的性能提升，并且保持了原有的安全假设。该工作为MPC在实际部署中的效率优化提供了新的思路，尤其适用于参与方网络条件差异大的场景。

本论文提出 PriSrv+，一种面向无线服务发现场景的隐私与可用性增强方案。现有服务发现协议往往在用户查询时泄露服务属性或用户偏好，且匹配效率有限。PriSrv+ 基于快速且表达能力强的匹配加密（Matchmaking Encryption, ME）技术，允许服务提供商和服务请求者在不互信的前提下，通过加密条件进行高效的隐私保护匹配。具体而言，PriSrv+ 设计了支持多属性、范围查询和通配符匹配的加密原语，同时优化了计算和通信开销。实验结果表明，与现有方案相比，PriSrv+ 在匹配延迟和隐私保护强度上实现了更好的平衡，尤其适用于物联网和移动自组网等资源受限环境。该工作的核心贡献在于：1) 提出了一种新的 ME 构造，支持丰富的匹配策略；2) 在无线服务发现中实现了隐私与可用性的帕累托改进；3) 通过安全分析和性能评估验证了方案的有效性。本文适合对隐私保护通信协议、加密匹配或无线网络安全感兴趣的研究者和工程师阅读。

该论文提出了一个名为Kangaroo的框架，旨在解决广域网（WAN）环境下大规模决策树评估中的隐私保护与效率问题。决策树作为一种广泛应用的机器学习模型，在金融、医疗等领域的部署中常涉及敏感数据，因此隐私保护推理需求迫切。现有方案在WAN环境下因延迟高、通信开销大而难以实用。Kangaroo通过设计一种摊销（amortized）推理协议，在对多个查询进行批量处理时，将昂贵的密码学操作（如秘密共享、混淆电路）的开销分摊到各个查询上，从而显著降低平均计算和通信成本。具体而言，该框架利用高效的茫然传输扩展技术和优化的电路构造，实现了客户端输入隐私和模型参数隐私的双向保护。实验评估表明，在典型WAN设置下，Kangaroo相比现有方法在吞吐量和延迟方面取得了显著提升，能够支持数千棵决策树的实时推理。该工作的主要贡献在于首次在WAN场景下实现了大规模决策树推理的隐私保护与高效摊销，为隐私计算在跨域部署中的实用化迈出了重要一步。

本文针对联邦学习（FL）中梯度、模型更新和发布表示可能泄露敏感属性的隐私问题，提出了一种名为高斯隐私保护器（Gaussian Privacy Protector, GPP）的数据发布框架。GPP针对连续高维输入，学习一个随机编码器，将原始数据映射到低维的消毒表示。编码器通过变分下界最小化发布表示与指定敏感属性之间的互信息，同时通过交叉熵项保留指定效用属性，并引入拉格朗日乘子β控制权衡。随后，作者将GPP扩展到联邦设置：每个客户端训练本地编码器，敏感标签不出客户端，聚合器仅接收消毒表示，从而在标准FL的“原始数据保留本地”保证之上提供实例级隐私保护。在三个基准数据集上评估：MNIST（数字和效用、奇偶敏感）、CelebA（微笑与性别）和HAPT-Recognition（活动与主体身份），结果表明GPP的效用与无约束自编码基线相差约一个百分点，同时将对手的AUC降至接近随机猜测水平。该方法为隐私敏感型应用（如医疗传感器、物联网设备、可穿戴设备）中的数据发布提供了一种有效的隐私-效用权衡方案。

本文首次提出并研究了私有认证者交集（Private Certifier Intersection, PCI）问题。在Web 3.0去中心化场景中，互不信任的各方需要基于共同信任的认证机构（certifiers）来交叉验证声明，同时保护不公开的共同认证者以外的隐私。PCI允许持有证书的双方或多方在不泄露交集外任何认证者信息的前提下，识别出共同的认证者并验证其颁发的证书。论文在简化UC框架下形式化定义了多方PCI，针对两种场景：只需任意一个声明有效（PCI-Any）或所有声明均有效（PCI-All）。作者设计并实现了两个可证明安全且实际高效的协议：一个基于ECDSA证书的PCI-Any协议，以及一个基于BLS证书的PCI-All协议。技术核心是提出了首个基于秘密共享的MPC框架，支持黑盒方式高效计算椭圆曲线算术运算，包括双线性对。该框架基于MP-SPDZ库，并使用OpenSSL和RELIC进行椭圆曲线运算。在局域网和广域网环境下进行了基准测试，结果显示跨洲际WAN环境中，处理40个输入集的时间不到一分钟，证明了方案的实用性。

检索增强生成（RAG）通过引入外部知识显著提升了大型语言模型（LLM）的能力，但其在云环境中的部署面临敏感数据的隐私泄露风险。现有隐私保护方案往往因噪声注入而牺牲检索质量，或仅提供部分加密。本文提出PRAG，一种端到端隐私保护RAG系统，在保持云托管RAG可扩展性的同时，实现文档和查询的端到端机密性。PRAG采用双模式架构：非交互式PRAG-I利用同态友好近似实现低延迟检索，而交互式PRAG-II借助客户端辅助达到与非隐私RAG相当的精度。为确保语义排序的鲁棒性，引入了操作误差估计（OEE）机制，以稳定对抗同态噪声的排序。在大型数据集上的实验表明，PRAG在保持端到端机密性的同时，实现了有竞争力的召回率（72.45%-74.45%）、实用的检索延迟以及对图重构攻击的强韧性。该工作证实了大规模安全高性能RAG的可行性。

该论文提出了一种隐私保护的衣物分类方案，旨在实现安全的人员中心控制（OCC）系统。尽管利用摄像头图像进行暖通空调（HVAC）控制以优化热舒适度的研究已广泛开展，但先前的工作未考虑对居住者图像的隐私保护。虽然已有多种隐私保护方法被提出用于图像分类，但应用传统方案会导致严重的精度下降。本文引入了一种基于Vision Transformer（ViT）的隐私保护分类方法，应用于衣物隔热估计。在根据衣物隔热类别标注的DeepFashion数据集上的实验表明：传统的基于像素的方法遭受严重的精度下降，而本文方案在加密图像上保持高精度，在所有类别上均未出现相比明文图像的精度退化。该研究适合于从事智能建筑、隐私保护机器学习、计算机视觉以及暖通空调控制的研究人员和工程师阅读。

该论文针对审计专有数据语义属性时的隐私与透明矛盾，提出了一种名为“Agentic Witnessing”的框架。传统方法如零知识证明（ZKP）适用于精确代数约束，但难以验证定性、非结构化属性（如代码库中的逻辑）。该框架将验证从可证明执行扩展到可证明推理，由验证者、证明者和审计者三个智能体组成。验证者被允许提出有限数量的简单布尔问题（真/假），审计者（基于大型语言模型LLM）运行在可信执行环境（TEE）中，通过模型上下文协议（MCP）动态检查证明者的私有数据集，产生是/否结论并附加密审计记录：一条签名哈希链，将推理轨迹绑定到原始数据集和TEE的硬件信任根。论文在21篇同行评审计算机科学论文的GitHub代码库上演示了自动化工件评估，例如验证代码库是否实现了论文描述的系统。将源代码视为私有数据，验证了对应出版物中描述的五项高层属性。实验表明，这一TEE驱动的智能体审计机制能有效实现隐私保护监督，将定性验证与数据披露需求解耦。