深度学习作为人工智能的代表性技术,在大数据时代成为了海量高维复杂数据分析处理的重要手段,特别是多层感知机、卷积神经网络和生成对抗网络等深度学习模型。近年来,深度学习在自然语言处理、图像分类、智能推荐、语音识别和恶意软件检测等方面表现出了优异的性能,所以越来越广泛地应用于自动驾驶、计算机视觉、智能家居、电子商务和信息安全等领域。但是层出不穷的深度学习安全问题给其研究者和使用者敲响了警钟。其中最突出的安全问题是深度学习系统中重要的数据资产往往会受到攻击者的觊觎,因此需要保护其安全。这些数据资产主要包括训练数据集、训练好的模型和模型预测的输入输出。由于深度学习本身具有一些内在弱点,使得攻击者有机可乘,开发了下毒攻击、模型反转攻击、模型提取攻击和对抗性攻击等攻击工具。因而深度学习系统是存在安全漏洞的,这在一定程度上阻碍了其广泛应用和推广到关键领域,例如军事领域。而且现存的深度学习数据安全与隐私保护技术还不能让人满意,不能让深度学习系统的使用者放心。本论文针对上述问题,以保护深度学习系统的重要数据资产为研究目标,重点关注深度学习训练数据收集、模型训练和模型预测三个关键阶段面临的安全问题,以密码学、数据安全及隐私保护技术为理论基础,从保护数据拥有者隐私、联邦学习参与方数据安全、输入输出安全和模型安全等角度展开研究,提出了相应的灵活高效的深度学习数据安全及隐私保护解决方案。总结本论文的主要研究成果和贡献如下:1.针对深度学习训练数据收集过程中存在带标签高质量数据缺乏、数据拥有者担心其数据隐私泄露的问题,提出了一种保护数据拥有者隐私的深度学习训练数据生成技术。该技术方案以条件生成对抗网络作为生成数据的主体,满足了生成大量带标签训练数据的需求;结合数据变形方法实现数据隐私保护,解决了数据隐私泄露的问题。此外,为了补偿数据变形带来的数据可用性损失,设计了一种卷积层增强方法。因此,该方案既能保护数据隐私,又能保持数据可用性,同时还能生成大量带标签训练数据,不受限于数据拥有者的原始数据集大小。详细的安全性分析表明所提出的方案可以保证数据机密性。根据实验仿真结果,数据变形和卷积层增强所引入的大部分操作,均由数据拥有者来完成以保护数据隐私,但是计算效率较高。通过与其他数据生成方案的对比,该方案在数据可用性和保护数据隐私等方面均具有优势,能满足深度学习训练数据收集阶段对训练数据的安全要求和实用性需求。2.针对深度学习训练数据收集过程中存在数据可用性验证困难、数据提供者积极性不高、数据隐私可能泄漏和数据交易公平性欠缺等问题,提出了一种基于区块链、差分隐私和环签名的带激励机制安全公平的深度学习训练数据收集技术。该技术方案允许数据拥有者有偿地提供其数据,即凭提供数据获得的积分享受深度学习预测服务,因此该方案可视为数据交易方案;此外,为了保护数据拥有者的隐私,在提供数据前,数据拥有者对其敏感数据加入可控的拉普拉斯噪声进行差分隐私处理;而为了实现可持续发展,该技术方案还特别关注数据交易的公平性,即数据拥有者提供的数据质量受到评价监督,数据消费者对数据的购买使用记录和提供深度学习服务以补偿数据拥有者的行为也可跟踪。形式化的安全证明和全面的方案功能对比证明了提出的方案是安全实用的。3.针对深度学习模型训练过程中存在的联邦学习参与方数据隐私可能泄漏、需要单独安全信道与参数服务器通信的问题,提出了一种在某联邦学习参与方与参数服务器合谋的情况下也能保护其他参与方数据安全的深度联邦学习模型训练技术。该技术方案引进了一个密钥转换服务器,并在深度模型训练中的异步随机梯度下降过程使用了同态重加密。安全性分析和实验仿真表明该方案虽然比原来的联邦学习方案增加了一定的通信开销,但获得了更多的安全性能,而且各个联邦学习参与方计算开销都是相似的。总的来说,该方案是一个更安全更准确的适用于分布式深度学习的联邦学习模型训练方案。4.针对深度学习模型预测过程中存在的输入数据、输出结果及模型参数可能泄漏、工作者可能被诬陷等问题,提出了一种输入输出数据和模型均安全且公平的深度学习模型预测技术。该技术方案首先基于安全三方计算构建了具有三个工作者的深度学习模型预测服务系统。然后提出为输入数据、模型参数、中间计算结果和最终输出结果生成对应的承诺证书的方法以实现公平性,即作弊的工作者会被检测出来且不可抵赖,诚实的工作者不会被诬陷,因为其行为的诚实性是公开可验证的。因此该方案既保护了用户的输入数据和预测结果隐私,又保护了服务器预训练模型的安全,同时方案对于其参与者来说是公平的。总之,该方案是一个更安全更公平的适用于提供深度学习模型预测服务的方案。