随着大数据、云计算和物联网技术的蓬勃发展，人工智能已广泛渗透到科学研究、数字经济、健康与医疗卫生等各大领域，给人类生产生活带来了极大的便利.机器学习的模型训练和推理预测都依赖于大规模数据集，而这些数据中可能包含着用户的敏感或隐私信息.针对人工智能中日益加剧的数据安全与隐私保护需求，国内外学者获得了一系列重要研究成果.然而，如何在保护用户数据安全的同时，实现人工智能技术的高可用性和高效性仍然是学术界和工业界广泛关注的具有挑战性的研究课题.为进一步推动我国学者在数据安全与智能隐私保护领域的研究，及时报道我国学者在数据安全与智能隐私保护方面的最新研究成果,我们组织策划了“数据安全与智能隐私保护研究”专题.本专题通过公开征文共收到2篇特邀投稿和78篇普通投稿，论文分别从多个方面阐述了数据安全理论基础与应用及智能隐私保护关键支撑技术研究领域具有重要意义的研究成果.本专题的审稿严格按照《计算机研究与发展》期刊的审稿要求进行，特邀编委先后邀请了近百位相关领域的专家参与评审,每篇论文邀请至少3~4位专家进行评审，历经初审、复审、终审等阶段，整个流程历经一个半月，最终共录用文章20篇（含2篇特邀稿件）.这20篇文章分别涵盖数据安全、智能隐私保护等研究内容，在一定程度上反映了当前国内各单位在数据安全与智能隐私保护领域的主要研究方向.由于刊物单期容量所限，本专题将刊登在2022年第10期（16篇）和第11期（4篇）.

在万物互联的智能时代，以深度学习为代表的人工智能技术正全方位改变人类的生产和生活方式.与此同时，云边端计算架构的成熟和发展使得边缘计算正在日益走向智能时代的舞台中央，轻量化模型在计算资源受限的嵌入式和物联网设备大规模部署和运行.然而，随着人工智能技术蓬勃发展，其算法的鲁棒脆弱性及易受对抗攻击等特点也给人工智能系统的广泛应用带来了极大的安全隐患.针对此问题，国内外学术界和工业界已经开展了人工智能安全的相关研究，其中针对深度学习的对抗攻御研究已成为了当前的研究热点.因此，聚焦于云边端全场景下的人工智能技术安全问题，分别整理归纳了针对大型神经网络和轻量化神经网络的对抗攻防技术，对相关理论与研究方法进行了系统性的综述研究.首先，介绍了多种主流的对抗攻击生成方法.其次，从鲁棒先验视角出发，将现有对抗防御工作分为基于对抗训练的防御、基于正则化的对抗防御以及基于模型结构的对抗防御三大类.同时，对现有的研究工作进行了系统总结和科学归纳，分析了当前研究的优势和不足.最后，探讨了在云边端全场景下深度学习模型对抗攻击和防御研究当前所面临的挑战以及未来潜在的研究方向.

随着全球数字化进程逐渐加快，数据已经成为当今社会重要的生产要素.数据的流动为社会创造了无穷的价值，但也潜藏着巨大的隐私风险.随着欧盟通用数据保护条例(GDPR)的出台，个人数据安全成为了大数据时代下的敏感话题，也越来越受到研究人员的重视.首先，对数据隐私安全发展历程进行了回顾，介绍了欧盟数据保护条例GDPR及其应用领域和影响；其次归纳分析了近几年国内外相关研究文献，将GDPR合规问题划分为3个方面：GDPR违规行为分析、隐私政策分析、GDPR模型框架，并分析了这3个方面的研究现状.总结分析了基于GDPR的数据技术，并分别探讨了GDPR在区块链、物联网等具体领域的应用；最后，根据现有研究工作存在的不足与问题，指出了基于GDPR的数据隐私安全研究面临的主要挑战和机遇，并针对中国数据隐私保护提出了一些启示.

近年来，以深度学习为代表的人工智能技术在金融安防、自动驾驶、医疗诊断等领域取得了较为成功的应用.然而，图像分类作为上述应用中的一项基础视觉任务，正遭受着对抗攻击等技术手段带来的巨大安全隐患.提高深度学习模型抵御对抗攻击的能力(即对抗鲁棒性)成为有效缓解该问题的可行技术途径.为了科学、全面地提升深度学习模型的对抗鲁棒性，众多学者从基准评估和指标评估2个角度围绕对抗鲁棒性评估开展了大量研究.该研究着重对上述指标评估相关研究进行综述：首先，介绍对抗样本相关概念以及存在的原因，总结提出进行对抗鲁棒性评估时需要遵循的评估准则；其次，从被攻击模型和测试数据2个维度，重点梳理和对比分析现有的主要对抗鲁棒性评估指标；而后，分析总结现阶段主流的图像分类数据集和对抗攻防集成工具，为后续开展对抗鲁棒性评估奠定基础；最后，探讨当前研究的优势和不足，以及未来潜在的研究方向.旨在为相关领域从业人员或学习者提供一个较为全面的、系统的和客观的面向图像分类的对抗鲁棒性评估指标综述.

近年来物联网安全事件频发，物联网访问控制作为重要的安全机制发挥着举足轻重的作用.但物联网与互联网存在诸多差异，无法直接应用互联网访问控制.现有的物联网访问控制方案并未重视其中的安全性问题，物联网访问控制一旦被打破，将造成隐私数据泄露、权限滥用等严重后果，亟需对物联网访问控制的安全性问题与解决方案进行综合研究.根据物联网架构复杂、设备多样且存储与计算性能较低的特性，梳理了物联网访问控制中的保护面和信任关系，形成信任链，并论述了信任链中的风险传递规律.围绕保护面和信任链，从感知层、网络层、应用层分别综述了现有的访问控制攻击面，分析了存在的安全风险.针对安全风险提出了应有的访问控制安全性要求，包括机制完善、应对攻击面、多级认证与授权、结合具体场景，基于这4个要求总结了现有的安全性解决方案和针对性的访问控制框架.最后讨论了物联网访问控制设计中所面临的挑战，指出了深入研究物联网云平台访问控制、物联网云对接标准化、引入零信任理念3个未来的研究方向.

在基于区块链的群智感知系统中构建数据真值估计机制和用户激励机制受到了越来越多的关注.与传统的群智感知系统依赖一个集中平台来承载数据感知任务不同，该系统利用区块链分布式结构和操作透明不可抵赖的特性，使其具有更好的安全性和交互性.但是目前的研究总是独立分离设计数据真值估计机制和参与者激励机制，这导致2类机制在实际应用时往往具有局限性.针对这一问题，在综合考虑了数据真值估计精确度与用户激励后，提出了一类基于隐私保护数据真值估计的用户激励机制.该机制由2个模块组成，具有隐私保护的数据真值估计模块PATD和具有隐私保护的用户激励模块PFPI，这2个模块都是通过利用同态加密机制CKKS来构建的.由于数据采集设备精确度不够等原因，用户收集的数据往往具有噪声，因此PATD对用户提交的含有噪声的数据的加密结果进行计算，并将解密后的计算结果作为相应数据真值的估计.因为所用的数据均是加密的，所以可以保护用户数据隐私，同时，该机制还可以保证解密后的估计值具有较高的估计精度.此外，作为一种激励机制，PFPI满足真实性、个体合理性且具有较高的社会福利，同时利用CKKS保证用户在竞标过程中的竞价隐私安全.最后，进行了大量实验来验证所提的基于隐私保护数据真值估计的用户激励机制的各种特性.实验结果表明，该机制与最新方法相比具有更好的性能.

支付通道网络作为区块链的扩容手段受到广泛关注.其中，影响支付通道跨链路由选择的主要因素包括路径距离、节点手续费报价等，现有工作主要针对上述某个因素之一展开深入研究.定义了节点质量综合评价函数，包括节点手续费报价、路径距离和历史信誉等多个因素，设计了多因素反向Vickrey拍卖(multi-factor reverse auction, MFRA)的路由方案，以实现跨链支付路由过程中，对候选中继节点质量的综合选择.建立了候选节点的等价报价函数，用于将节点质量中的非价格属性因素转化为价格属性，并引入了以2为基数的指数机制实现对等效投标价格的差分隐私，保障参与节点的报价不被泄露.安全性分析和性能评估表明，MFRA路由方案在降低节点手续费开销的同时，可以有效保障交易参与节点的报价隐私，实现快速高效的多跳跨链支付.

云存储提供数据托管服务，解决了本地端数据管理与分享受限问题.但现有的用于确保云存储数据完整性的审计方案面临一个重要的安全问题：签名密钥一旦泄露，依赖于该密钥产生签名的审计方案将无法提供完整性保护.此外，现有审计方案均默认在整个审计期间仅有一个审计者，然而审计者可能由于被攻陷、被贿赂或资源不足不能再提供审计代理服务.因此，提出一个支持密钥更新与审计者更换的审计方案AKUAR(auditing scheme supporting key update and auditor replacement).针对密钥暴露导致签名无效问题，AKUAR结合双线性对与代理重签名思想设计了高效安全的密钥与标签更新机制，并且由云端承担计算复杂的标签更新操作，仅在本地端引入了少量的开销.此外，当充当审计者的雾节点退出审计时，新的雾节点可以代替其继续进行完整性审计工作，在保证新签名密钥不被泄露给旧雾节点的同时实现了审计服务的可持续性.安全分析证明了AKUAR是安全的，性能评估也证实了AKUAR在标签生成与密钥更新阶段仅引入了少量可接受的计算开销与通信开销.

本地差分隐私具有不需要可信第三方、交互少、运行效率高等优点，近年来受到了广泛关注.然而，现有本地差分隐私集合数据频率估计机制未能考虑数据的隐私敏感度差异，将所有数据同等对待，这会对非敏感数据保护过强，导致估计结果准确度低.针对这一问题，定义了集合数据效用优化本地差分隐私(set-valued data utility-optimized local differential privacy, SULDP)模型，考虑了原始数据域同时包含敏感值和非敏感值的情况，在不减弱对敏感值保护的前提下，允许降低对非敏感值的保护.进一步，提出了符合SULDP模型的5种频率估计机制suGRR,suGRR-Sample,suRAP,suRAP-Sample和suWheel，理论分析证实，相对于现有的本地差分隐私机制，所提方案能够对敏感数据实现完全相同的保护效果，并通过降低非敏感数据的保护效果，实现了频率估计结果的准确度提升.最后，在真实和模拟数据集上评估了新的方案，实验结果证明了所提的5种机制能够有效降低估计误差，提升数据效用，其中suWheel机制表现最优.

整体结构是分组密码的重要特征,也是首要的研究对象,对于分组密码的轮数选取、软硬件实现性能都有非常大的影响.对于类AES算法的设计,当选用非最优分支数的矩阵作为列混淆操作时,向量置换(即字换位操作)的选择可有效提高整体结构的安全性.uBlock类结构是一种类AES结构,通过研究uBlock类结构的特点及其扩散性,给出了其全扩散轮数的下界及等价类划分准则,提出了一种uBlock类结构最优向量置换的搜索策略.依据全扩散轮数最优、超级扩散层的分支数最优及uBlock类结构扩散层的特殊性质,证明了左右向量置换都不能是恒等变换,给出了uBlock类结构的一系列最优向量置换.该搜索策略大幅度减少了需要测试的置换对,为后续uBlock类算法的设计提供技术支持.

隐私集合交集(private set intersection, PSI)允许持有私有集合的参与方安全地获得集合的交集，而不会泄露除交集之外任何元素的信息.现有的两方/多方PSI协议大多基于不经意传输(oblivious transfer, OT)协议，具有很高计算效率的同时，也带来了巨大通信开销.在很多场景中，扩展网络带宽是非常昂贵甚至不可行的，而目前不依赖于OT设计且计算高效的多方PSI协议仍然较少.基于一轮密钥协商构造了三方参与的PSI计算协议，分别在半诚实模型和恶意安全性模型下，证明了协议的安全性且允许任意两方的合谋攻击.通过实验仿真，在大集合场景，相比现有基于OT的多方PSI协议，所构造的协议具有最优的通信轮数且通信量降低了89%~98%；在小集合场景(500个元素或更少)，相比适用弱通信网络的同类PSI协议，具有最优运行时间和通信负载，比依赖于同态加密的PSI协议快10~25倍.

基于混合整数线性规划(mixed integer linear programming, MILP)的自动化搜索方法被广泛用于搜索密码算法的差分特征，已形成一套完整的框架.该框架采用的基本原理是用线性不等式来刻画密码算法的各个操作，该框架适用于搜索采用4-bit S盒的密码算法的差分特征.对于采用8-bit S盒的密码算法，基于该框架的搜索模型计算量很大，以致无法高效地找到差分特征.SM4算法于2006年由中国政府发布，于2012年成为国家密码行业标准，于2016年成为国家标准的迭代分组密码算法，其分组状态为128 b，每轮包含4个8-bit的S盒.为了高效地搜索SM4算法的差分特征，研究了对8-bit S盒进行MILP建模的问题，对于采用8-bit S盒的密码算法，改进了搜索高概率差分特征的方法.对于19轮SM4算法，不仅找到了概率为2\+\{-124\}的差分特征，而且找到了概率为2\+\{-124\}的差分特征，这是目前基于MILP建模找到的SM4算法轮数最多、概率最高的差分特征.

近年来，满足前后向安全的动态对称可搜索加密(dynamic symmetric searchable encryption, DSSE)一直备受关注，它可以抵抗文件注入攻击，同时限制服务器学习已删除文档的相关信息.不过大多数满足前后向安全的DSSE方案仅支持单关键词搜索，Patranabis等人在NDSS 2021会议上提出了一种支持联合搜索且满足前后向安全的动态可搜索加密方案，但该方案在某些情况下不能得到准确的查询结果，同时不能支持多用户查询.针对以上问题，通过改进不经意交叉索引(oblivious cross tags, OXT)协议，提出了一种支持联合搜索的多用户动态对称可搜索加密方案.该方案利用有限域中元素具有乘法逆元的性质，引入了一次性盲因子，并结合数字信封技术实现了多客户端查询的功能.方案分析与实验表明，所提方案满足了前向安全与后向安全，不仅可以提供准确的联合查询功能，而且支持多客户端查询，同时计算效率仅与更新次数最低的关键词更新次数有关.

开放网络下分布式深度学习的兴起带来潜在的数据泄露风险.作为分布式模型构建中的重要信息载体，训练梯度是模型和端侧数据共同计算的产物，包含参与计算的私密用户数据信息.因此，近年的研究工作针对训练梯度提出一系列新型攻击方法.其中，尤以数据重建攻击(data reconstruction attack)所造成的攻击效果最佳：仅从深度神经网络的平均训练梯度中，攻击者即可近乎无损地恢复一个训练数据批次的各个样本.然而，已有数据重建攻击大多仅停留在攻击方法设计和实验验证层面，对重要实验现象缺乏深层机理分析.尽管有研究发现，满足特定神经元激活独占性(exclusivity)条件的任意大小训练数据批次能被攻击者从训练梯度中像素级重建，然而，实证研究表明在实际训练数据中满足该条件的训练数据批次比例较少，难以造成实际泄露威胁.为增强上述攻击的有效性和应用范围，提出基于线性规划的神经元激活模式控制算法，为给定训练批次生成微小扰动，从而满足神经元激活独占性，以增强后续数据重建攻击效能.在实际中，通过在端侧节点部署该算法，半诚实(honest-but-curious)分布式训练服务能诱导本地训练批次的训练梯度具有理论保证的可重建性.在5个涵盖人脸识别、智能诊断的数据集上的实验结果表明，提出方法在与原始攻击算法重建效果持平的情况下，将可重建训练批次大小从8张提升至实际应用大小，并提升攻击效率10倍以上.

机器学习技术的广泛应用使得用户数据面临严重的隐私泄露风险，而基于安全多方计算技术的隐私保护分布式机器学习协议成为广受关注的研究领域. 传统的安全多方计算协议为了实现恶意敌手模型下的安全性，需要使用认证秘密分享、零知识证明等工具，使得协议实现效率较低. 为了得到更高效的协议，Chaudhari等人提出Trident四方协议框架，在三方协议的基础上，引入一个诚实参与方作为可信第三方来执行协议；而Koti等人提出的Swift框架，在参与方诚实大多数的三方协议背景下，通过一个筛选过程选出一个诚实参与方作为可信第三方来完成协议，并将该框架推广到诚实大多数的四方协议. 在这样的计算框架下，作为可信第三方会拥有所有用户的敏感数据，违背了安全多方计算的初衷. 针对此问题, 设计了一个基于(2,4)秘密分享的四方机器学习协议,改进Swift框架的诚实参与方筛选过程，以确定出2个诚实参与方，并通过他们执行一个半诚实的安全两方计算协议,高效地完成计算任务. 该协议将在线阶段的25%通信负载转移到了离线阶段,提高了方案在线阶段的效率.

人工智能已被广泛应用于网络入侵检测系统.然而由于流量样本存在概念漂移现象，用于恶意流量识别的模型必须频繁更新以适应新的特征分布.更新后模型的有效性依赖新增训练样本的质量，所以防止数据污染尤为重要.然而目前流量样本的污染过滤工作仍依赖专家经验，这导致在模型更新过程中存在样本筛选工作量大、模型准确率不稳定、系统易受投毒攻击等问题.现有工作无法在保证模型性能的同时实现污染过滤或模型修复.为解决上述问题，为智能网络入侵检测系统设计了一套支持污染数据过滤的通用模型更新方法.首先设计了EdgeGAN算法，利用模糊测试使生成对抗网络快速拟合模型边缘样本分布.然后通过检查新增训练样本与原模型的MSE值和更新后模型对旧边缘样本的F\-β分数，识别出污染样本子集.通过让模型学习恶意边缘样本，抑制投毒样本对模型的影响，保证模型在中毒后快速复原.最后通过在5种典型智能网络入侵检测系统上的实验测试，验证了提出的更新方法在污染过滤与模型修复上的有效性.对比现有最先进的方法，新方法对投毒样本的检测率平均提升12.50%，对中毒模型的修复效果平均提升6.38%.该方法适用于保护任意常见智能网络入侵检测系统的更新过程，可减少人工样本筛选工作，有效降低了投毒检测与模型修复的代价，对模型的性能和鲁棒性起到保障作用.新方法也可以用于保护其他相似的智能威胁检测模型.

完整性度量框架是可信计算平台的重要组成部分之一.但过往研究工作所提出的完整性度量框架设计在实际应用于嵌入式设备场景时，往往体现出不同程度的局限性.提出了内核级动态完整性度量架构(dynamic integrity measurement architecture at kernel-level, DIMAK)，一种针对嵌入式Linux操作系统的实用化完整性度量架构，为基于Linux的嵌入式设备提供有效且高性能的运行时完整性验证能力.该架构支持对映射至系统内核空间及用户进程的可执行文本、静态数据以及动态链接信息等关键内容实施即时(just-in-time)完整性校验.利用Linux内核的进程、内存和页面管理机制，DIMAK实现了对被度量内容所驻留物理页面的运行时校验，避免了基于文件的静态度量方法可能存在的检查与使用时差(time-of-check to time-of-use, TOCTTOU)漏洞.通过首次引入对位置无关代码的重定位/动态链接信息的完整性基线预测方法，DIMAK在面对包括基于hooking的控制流劫持、恶意代码运行时载入等攻击威胁时具有较之现存同类技术更强的完备性.另外，通过引入对软件热补丁功能的可信验证支持，DIMAK在系统完整性度量问题中将该应用场景与恶意攻击行为正确地加以区分.根据各种被度量实体的不同类型，DIMAK在离线阶段、系统启动时、进程加载时和代码动态加载时等时机分别生成其对应的完整性基线，确保其完整性验证行为的正确性.真机测试显示，所述的DIMAK架构产生的性能开销完全可以满足嵌入式设备场景下的实际应用要求.