一種分布式w-事件型差分隱私無(wú)限流數(shù)據(jù)發(fā)布方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于隱私安全數(shù)據(jù)發(fā)布技術(shù)領(lǐng)域�,涉及一種無(wú)限流數(shù)據(jù)發(fā)布方法,尤其涉 及一種面向無(wú)限流數(shù)據(jù)滿足W-事件型差分隱私的分布式數(shù)據(jù)發(fā)布方法�。
【背景技術(shù)】
[0002] 受益于電子設(shè)備制造技術(shù)的發(fā)展,人們可以通過(guò)智能手機(jī)�����、可穿戴設(shè)備等移動(dòng)智 能設(shè)備更方便的獲取人體生理參數(shù)�、地理位置等數(shù)據(jù)。據(jù)統(tǒng)計(jì)�����,到2013年底��,平板和智能手 機(jī)這兩種具備網(wǎng)絡(luò)通信功能的移動(dòng)設(shè)備全球總銷量將達(dá)到12億臺(tái)���,而到2017年��,全世界每 個(gè)人都將會(huì)擁有1. 4個(gè)移動(dòng)設(shè)備��。這些具備高速通信能力和強(qiáng)大傳感器的移動(dòng)設(shè)備催生了 移動(dòng)互聯(lián)網(wǎng)的誕生���,并深刻改變了人們固有的生活方式。
[0003] 在移動(dòng)互聯(lián)網(wǎng)時(shí)代��,人們可以使用移動(dòng)設(shè)備快速、連續(xù)地收集數(shù)據(jù)��,例如人體生理 數(shù)據(jù)�����、個(gè)體軌跡數(shù)據(jù)等��。合理利用這些感知數(shù)據(jù)可以為政府決策���、企業(yè)推廣和私人定制服務(wù) 提供便利���。然而,這些信息具有的較高的敏感性����,相關(guān)隱私信息的泄露得到廣泛關(guān)注。而隨 著現(xiàn)代社會(huì)互聯(lián)化�、信息化的趨勢(shì)不斷深入,這種個(gè)人隱私泄露的風(fēng)險(xiǎn)越來(lái)越成為現(xiàn)實(shí)���?���;?于這種隱私泄露的擔(dān)憂,一系列隱私保護(hù)的數(shù)據(jù)發(fā)布方案被提了出來(lái)��?��;趥鹘y(tǒng)密碼學(xué)的 隱私保護(hù)方案或使用假名ID來(lái)隱藏用戶記錄真實(shí)ID,或使用一系列訪問(wèn)控制策略來(lái)將用 戶記錄共享給特定用戶組�。這些方法要么被現(xiàn)有去匿名化攻擊證明十分脆弱,安全性不強(qiáng)�; 要么就是過(guò)程復(fù)雜,十分不利于流數(shù)據(jù)的共享使用�,因而實(shí)用性不強(qiáng)。
[0004] 而為推動(dòng)流數(shù)據(jù)發(fā)布的安全實(shí)用化�,基于k-匿名模型的數(shù)據(jù)隱私保護(hù)方案被大 量提出。這類方案的基本思想是通過(guò)對(duì)記錄數(shù)據(jù)的準(zhǔn)標(biāo)示符(quasi-identifier)進(jìn)行泛 化(obscure)或截?���。╯uppress)處理,將數(shù)據(jù)集依照這些泛化的標(biāo)示符劃分為若干個(gè)等價(jià) 類����,使得每一個(gè)等價(jià)類當(dāng)中數(shù)據(jù)不少于k個(gè)。然而����,由于缺乏對(duì)隱私保護(hù)程度的量化和對(duì)攻 擊者能力的清楚界定�,基于k-匿名的方案仍然被發(fā)現(xiàn)具有諸多隱私泄露風(fēng)險(xiǎn)�,需不斷地針 對(duì)新泄露的風(fēng)險(xiǎn)提出修補(bǔ)方案。
[0005] 基于概率模型的差分隱私(Differential Privacy)模型被提出來(lái)應(yīng)對(duì)以上諸多 方案的不足����。差分隱私要求單個(gè)記錄數(shù)據(jù)對(duì)數(shù)據(jù)集處理結(jié)果的影響從概率上是微小可控 的,并且差分隱私模型假定在最差情況下�,攻擊者擁有除數(shù)據(jù)本身以外的所有記錄數(shù)據(jù),這 是攻擊者理論上的攻擊能力上限����,因此能夠抵御差分攻擊即表明可以抵御所有已知和未知 的隱私攻擊。由于差分隱私具有上述隱私可量化����、攻擊能力可界定的良好性質(zhì),它被廣泛地 引入到諸多數(shù)據(jù)發(fā)布與查詢應(yīng)用領(lǐng)域����。針對(duì)流數(shù)據(jù)自身的特點(diǎn),差分隱私數(shù)據(jù)發(fā)布方案根 據(jù)保護(hù)側(cè)重點(diǎn)的不同����,可以分為針對(duì)無(wú)限流數(shù)據(jù)的事件型方案和面向有限流數(shù)據(jù)的用戶型 方案�。面向無(wú)限流數(shù)據(jù)的事件型差分隱私方案可以保護(hù)單個(gè)事件信息����,而有限流數(shù)據(jù)的用 戶型差分隱私方案則重點(diǎn)在于對(duì)用戶整體信息的保護(hù)。然而�����,需要指出的是���,現(xiàn)有的兩類差 分隱私發(fā)布方案往往無(wú)法滿足實(shí)時(shí)系統(tǒng)的應(yīng)用需求。這是由于針對(duì)無(wú)限流數(shù)據(jù)的事件型差 分隱私發(fā)布方案�����,沒(méi)有考慮連續(xù)時(shí)間內(nèi)事件間的關(guān)聯(lián)關(guān)系����,導(dǎo)致敏感數(shù)據(jù)關(guān)聯(lián)性泄露;而面 向有限流數(shù)據(jù)的用戶型差分隱私方案由于發(fā)布次數(shù)的限制而無(wú)法滿足實(shí)時(shí)系統(tǒng)的發(fā)布需 求�����。
[0006] w-事件型差分隱私(w-event differentialprivacy)正是在上述背景下被提出 的��。W-事件型差分隱私發(fā)布方案是一種特殊的事件型方案,該方案克服了傳統(tǒng)事件型差分 隱私方案未考慮事件間關(guān)聯(lián)關(guān)系的不足���,實(shí)現(xiàn)了對(duì)w時(shí)間窗內(nèi)任意事件的信息保護(hù)�。另外���, 在數(shù)學(xué)定義上���,當(dāng)W趨近于無(wú)窮大時(shí),該方案則實(shí)現(xiàn)了無(wú)限流數(shù)據(jù)上的用戶型差分隱私��。因 此W-事件型差分隱私綜合了上述兩種差分隱私方案的優(yōu)勢(shì)�����,具有重大的理論和應(yīng)用價(jià)值��。
[0007] Kellaris等提出了兩種符合W-事件型差分隱私的數(shù)據(jù)發(fā)布方案:BD(Budget Distribution)方案和BA (Budget Absorption)方案�。上述兩種方案均假設(shè)存在一個(gè)可信 的數(shù)據(jù)中心來(lái)收集用戶的原始數(shù)據(jù),在收集到用戶的所有數(shù)據(jù)后��,數(shù)據(jù)中心根據(jù)既定的規(guī) 則計(jì)算并發(fā)布滿足W-事件型差分隱私數(shù)據(jù)�。但是,可信數(shù)據(jù)中心存在基礎(chǔ)設(shè)施部署昂貴的 問(wèn)題���,并且還會(huì)帶來(lái)的額外安全隱患�����,因此���,如何移除可信數(shù)據(jù)中心����,以分布式的方式實(shí)現(xiàn) W-事件型差分隱私數(shù)據(jù)發(fā)布很有必要��。
【發(fā)明內(nèi)容】
[0008] 針對(duì)現(xiàn)有技術(shù)存在的問(wèn)題���,本發(fā)明提供了一種分布式的滿足W-事件型差分隱私 的無(wú)限流數(shù)據(jù)發(fā)布方法,適用于無(wú)可信數(shù)據(jù)中心的無(wú)限流數(shù)據(jù)隱私安全發(fā)布���。
[0009] 本發(fā)明所采用的技術(shù)方案是:一種分布式W-事件型差分隱私無(wú)限流數(shù)據(jù)發(fā)布方 法�����,假定無(wú)限流數(shù)據(jù)發(fā)布系統(tǒng)中有m個(gè)用戶�,分別為 Ul���、……��、Uni;假定存在一個(gè)數(shù)據(jù)請(qǐng)求者 u��。�����,u����。能夠和所有用戶通信;其特征在于�����,包括以下步驟:
[0010] 步驟1 :無(wú)限數(shù)據(jù)流發(fā)布初始化�����,其具體實(shí)現(xiàn)包括以下子步驟:
[0011] 步驟I. 1 :任意用戶U1選擇一個(gè)保密隨機(jī)數(shù)r 1;用戶u 發(fā)送給用戶U1 i和用 戶u1+1����,這里g為q階乘法群G的生成元,q為大素?cái)?shù)��;收到其他用戶的信息后,用戶U1計(jì)算 兩個(gè)隨機(jī)數(shù)種子L 和戶+Λ;
[0012] 步驟1. 2 :用戶采集原始數(shù)據(jù)后����,每一個(gè)用戶按照約定的隱私預(yù)算額度生成對(duì)應(yīng) 的伽馬噪音,并將該噪音添加至采集的原始數(shù)據(jù)中����;然后,用戶利用其在步驟1. 1中得到的 隨機(jī)數(shù)種子����,生成隨機(jī)數(shù),將該隨機(jī)數(shù)與含伽馬噪音的數(shù)據(jù)相加��,并將結(jié)果發(fā)送給數(shù)據(jù)請(qǐng)求 者���;數(shù)據(jù)請(qǐng)求者收集到所有用戶的數(shù)據(jù)后,數(shù)據(jù)請(qǐng)求者利用其隨機(jī)數(shù)種子生成隨機(jī)數(shù)��,計(jì)算 這些數(shù)據(jù)的和值得到首次發(fā)布數(shù)據(jù)��;
[0013] 步驟1.3 :得到首次發(fā)布數(shù)據(jù)后���,數(shù)據(jù)請(qǐng)求者計(jì)算一個(gè)以首次發(fā)布數(shù)據(jù)為球心 且半徑最大的球形檢測(cè)安全域����,并以此為基礎(chǔ)得到各個(gè)用戶的相似度局部監(jiān)測(cè)安全區(qū)域 B (Cl,^)��,這里B (Cl����,Γι)是球心為C1半徑為r i的球,并將對(duì)應(yīng)的監(jiān)測(cè)安全區(qū)域發(fā)送給每個(gè)用 戶��;
[0014] 步驟2 :用戶的隱私預(yù)算分配以及相似度局部監(jiān)測(cè)�,其具體實(shí)現(xiàn)包括以下子步驟:
[0015] 步驟2. 1 :用戶i在t時(shí)刻請(qǐng)求或者計(jì)算一個(gè)對(duì)應(yīng)的局部監(jiān)測(cè)安全區(qū)域B (C1, Γι);
[0016] 步驟2. 2 :當(dāng)用戶i獲得t時(shí)刻的數(shù)據(jù)后,用戶i根據(jù)指定的隱私預(yù)算分配模式��,計(jì) 算其對(duì)應(yīng)的原始數(shù)據(jù)V1 (t);然后�����,用戶監(jiān)測(cè)V1 (t)是否在該時(shí)刻對(duì)應(yīng)的局部監(jiān)測(cè)安全區(qū)域 B (Cl���,r)中����;若V1⑴在局部監(jiān)測(cè)安全區(qū)域B (Cl,r)外�,則用戶i向數(shù)據(jù)請(qǐng)求者發(fā)送一個(gè)預(yù)警 信號(hào),數(shù)據(jù)請(qǐng)求者進(jìn)而要求所有用戶發(fā)送其添加噪音后的數(shù)據(jù)�����;反之�����,用戶i保持靜默��,直 至數(shù)據(jù)請(qǐng)求者請(qǐng)求其數(shù)據(jù)�;
[0017] 步驟2. 3 :若t時(shí)刻用戶i未發(fā)送數(shù)據(jù)給數(shù)據(jù)請(qǐng)求者,則用戶i記該時(shí)間點(diǎn)的隱私 預(yù)算分配為〇 ;若t時(shí)刻用戶i發(fā)送數(shù)據(jù)給數(shù)據(jù)請(qǐng)求者��,則用戶i需等待數(shù)據(jù)請(qǐng)求者的最 終反饋結(jié)果�����;若數(shù)據(jù)請(qǐng)求者反饋一個(gè)接受信號(hào)����,則用戶i記該時(shí)間點(diǎn)的隱私預(yù)算分配為其 對(duì)應(yīng)值�;反之,記該時(shí)間點(diǎn)的隱私預(yù)算分配為〇 ;根據(jù)發(fā)布結(jié)果調(diào)整其對(duì)應(yīng)局部監(jiān)測(cè)安全區(qū) 域�;
[0018] 步驟3 :數(shù)據(jù)請(qǐng)求者發(fā)布滿足W-事件差分隱私的流數(shù)據(jù)��,其具體實(shí)現(xiàn)包括以下子 步驟:
[0019] 步驟3. 1 :若t時(shí)刻�����,數(shù)據(jù)請(qǐng)求者未收到來(lái)自任意用戶的信息��,則數(shù)據(jù)請(qǐng)求者記該 時(shí)刻的發(fā)布數(shù)據(jù)為空����;若t時(shí)刻����,數(shù)據(jù)請(qǐng)求者收到任意一個(gè)用戶的預(yù)警信息,則數(shù)據(jù)請(qǐng)求者 要求所有用戶發(fā)送其該時(shí)刻的含噪數(shù)據(jù)�;
[0020] 步驟3. 2 :收到所有含噪數(shù)據(jù)后,數(shù)據(jù)請(qǐng)求者計(jì)算該時(shí)刻的整體相似度大小�����,判定 接受或者拒絕該時(shí)刻數(shù)據(jù)并將該判定結(jié)果反饋給用戶��;
[0021] 步驟3. 3 :當(dāng)接收新的非空數(shù)據(jù)發(fā)布后�,為每個(gè)用戶按照步驟1. 3的原理計(jì)算新的 局部監(jiān)測(cè)安全區(qū)域。
[0022] 作為優(yōu)選,步驟2. 2中所述的指定的隱私預(yù)算分配模式包括dBD分配模式和dBA 分配模式�;所述的dBD分配模式中,用戶的隱私預(yù)算分配以成比例分發(fā)方式實(shí)現(xiàn)�����;所述的 dBA分配模式中��,用戶的隱私預(yù)算分配以吸收周?chē)諗?shù)據(jù)隱私預(yù)算的方式實(shí)現(xiàn)���。
[0023] 作為優(yōu)選�����,步驟2. 2中所述的監(jiān)測(cè)V1 (t)是否在該時(shí)刻對(duì)應(yīng)的局部監(jiān)測(cè)安全區(qū)域 B (Cl�,r)中�����,其局部監(jiān)測(cè)安全區(qū)域需向數(shù)據(jù)請(qǐng)求者請(qǐng)求���,或者自身根據(jù)給定的隱私預(yù)算分配 規(guī)則動(dòng)態(tài)調(diào)整��;動(dòng)態(tài)調(diào)整時(shí)�����,局部檢測(cè)安全區(qū)域的球心不變�,半徑隨隱私預(yù)算分配規(guī)則重新 計(jì)算���。
[0024] 作為優(yōu)選���,步驟2. 3中所述的根據(jù)發(fā)布結(jié)果調(diào)整其對(duì)應(yīng)局部監(jiān)測(cè)安全區(qū)域,具體 實(shí)現(xiàn)過(guò)程是:若當(dāng)前數(shù)據(jù)與最新非空發(fā)布數(shù)據(jù)的距離不小于當(dāng)前Laplace噪音強(qiáng)度�,數(shù)據(jù) 請(qǐng)求者接受新的非空發(fā)布數(shù)據(jù),并為每個(gè)用戶按照步驟1. 3的原理計(jì)算新的局部監(jiān)測(cè)安全 區(qū)域�����;反之�,數(shù)據(jù)請(qǐng)求者發(fā)布一個(gè)空數(shù)據(jù),并反饋給用戶���;用戶收到反饋后���,回收該時(shí)刻數(shù) 據(jù)發(fā)布隱私預(yù)算,并重新計(jì)算局部監(jiān)測(cè)安全區(qū)域的半徑�����。
[0025] 本發(fā)明具有如下貢獻(xiàn):首次實(shí)現(xiàn)針對(duì)無(wú)限流數(shù)據(jù)的分布式W-事件差分隱私發(fā)布, 所提方案不依賴可信數(shù)據(jù)中心���,具有優(yōu)良的應(yīng)用價(jià)值�����。
[0026] 與現(xiàn)有差分隱私發(fā)布方法相比���,本發(fā)明具有下述優(yōu)點(diǎn):
[0027] 1)不依賴可信的數(shù)據(jù)中心,便于部署�,易于推廣。
[0028] 2)添加噪音過(guò)程在用戶端進(jìn)行�����,即便惡意攻擊者截獲該條信息����,也無(wú)法獲得用戶 的隱私信息,有效防止了數(shù)據(jù)在傳輸過(guò)程中的泄露�����,安全性高。
[0029] 3)利用函數(shù)局部監(jiān)測(cè)技術(shù)減小用戶與數(shù)據(jù)請(qǐng)求者的通信次數(shù)�����,通信壓力小��。
[0030] 4)提供兩種具有高可用性的W-事件差分隱私發(fā)布方案�,可以根據(jù)實(shí)際數(shù)據(jù)的特 點(diǎn)靈活選擇����。
【具體實(shí)施方式】
[0031 ] 為了便于本領(lǐng)域普通技術(shù)人員理解和實(shí)施本發(fā)明,下面結(jié)合實(shí)施例對(duì)本發(fā)明作進(jìn) 一步的詳細(xì)描述��,應(yīng)當(dāng)理解�����,此處所描述的實(shí)施示例僅用于說(shuō)明和解釋本發(fā)明�����,并不用于限 定本發(fā)明�。
[0032] 本發(fā)明思路如下:
[0033] 在設(shè)計(jì)滿足W-事件差分隱私的分布式無(wú)限流數(shù)據(jù)發(fā)布方案時(shí),需要不同用戶之 間隱私預(yù)算的同步化分配���。為實(shí)現(xiàn)用戶間隱私預(yù)算同步化分配�����,本發(fā)明采用了分布式數(shù)據(jù) 流函數(shù)監(jiān)測(cè)技術(shù)�,利用用戶獨(dú)立的局部監(jiān)測(cè)達(dá)到預(yù)測(cè)數(shù)據(jù)整體相似度的目的。當(dāng)某一用戶 監(jiān)測(cè)到其局部