本論文は、オブザーバーに対してプライバシーを維持するシステムの自動合成について考察しています。従来の形式手法における合成では、システムが仕様を満たすことのみが重視されてきましたが、本論文では、システムとその環境との相互作用を観察している第三者(オブザーバー)から、特定の情報を秘匿するプライバシー保護の観点を加えています。
具体的には、システムと環境は入力信号集合 I と出力信号集合 O を介して相互作用し、その過程で計算が生成されます。システムは、生成されるすべての計算が仕様φを満たす場合、φを実現すると言います。本論文では、仕様に加えて、I ∪ O 上の秘密ψ1,...,ψk が与えられ、仕様φを実現し、かつ、H に含まれる信号の真偽値を知らないオブザーバーからは秘密ψ1,...,ψk の真偽値がわからないような、隠蔽信号集合 H ⊆ I ∪ O とシステムの出力を行う、プライバシー保護合成問題を定義しています。
すべての信号を隠蔽すれば、あらゆる秘密の真偽値を隠蔽できますが、信号の隠蔽は常に可能であるとは限らず、コストがかかる可能性があります。そこで、各信号を隠蔽するためのコストをマッピングする関数 cost: I ∪ O → N と、システムが信号の隠蔽に使用できるコストの上限 b ∈ N を設定し、隠蔽信号集合 H は cost(H) = Σ_{p∈H} cost(p) ≤ b を満たすように制約されます。
本論文では、まず、仕様と秘密が LTL で記述されている場合、プライバシー保護合成問題の計算複雑性が 2EXPTIME 完全であることを示し、これはプライバシー要件がない場合の合成問題と同等の困難さであることを明らかにしています。
次に、従来の合成問題には存在しない、秘密値を隠蔽する必要があることと、集合 H を選択する必要があるという2つの側面に焦点を当て、複雑性分析を行っています。その結果、仕様の形式が決定性オートマトンである場合とシステムが閉じた系である場合という、従来の合成問題が多項式時間で解ける設定においても、これらの側面がそれぞれ計算複雑性を指数関数的に増加させることが示されています。
さらに、合成されるトランスデューサのサイズに制限を加えた、制限付きプライバシー保護合成問題や、オブザーバーが仕様またはシステムに関する知識を持っている場合の変形問題についても考察しています。これらの知識は、秘密の評価に役立つ可能性があります。加えて、合成アルゴリズムが秘密が隠蔽されていることの証明を提供する、証明付きプライバシーについても検討しています。
本論文は、プライバシー保護の重要性が高まる中で、形式手法を用いたシステム設計において、プライバシーを考慮したシステム合成を実現するための基礎となる重要な研究成果と言えるでしょう。
他の言語に翻訳
原文コンテンツから
arxiv.org
深掘り質問