[发明专利]一种分布式w-事件型差分隐私无限流数据发布方法

说明书

技术领域

本发明属于隐私安全数据发布技术领域，涉及一种无限流数据发布方法，尤其涉及一种面向无限流数据满足w-事件型差分隐私的分布式数据发布方法。

背景技术

受益于电子设备制造技术的发展，人们可以通过智能手机、可穿戴设备等移动智能设备更方便的获取人体生理参数、地理位置等数据。据统计，到2013年底，平板和智能手机这两种具备网络通信功能的移动设备全球总销量将达到12亿台，而到2017年，全世界每个人都将会拥有1.4个移动设备。这些具备高速通信能力和强大传感器的移动设备催生了移动互联网的诞生，并深刻改变了人们固有的生活方式。

在移动互联网时代，人们可以使用移动设备快速、连续地收集数据，例如人体生理数据、个体轨迹数据等。合理利用这些感知数据可以为政府决策、企业推广和私人定制服务提供便利。然而，这些信息具有的较高的敏感性，相关隐私信息的泄露得到广泛关注。而随着现代社会互联化、信息化的趋势不断深入，这种个人隐私泄露的风险越来越成为现实。基于这种隐私泄露的担忧，一系列隐私保护的数据发布方案被提了出来。基于传统密码学的隐私保护方案或使用假名ID来隐藏用户记录真实ID，或使用一系列访问控制策略来将用户记录共享给特定用户组。这些方法要么被现有去匿名化攻击证明十分脆弱，安全性不强；要么就是过程复杂，十分不利于流数据的共享使用，因而实用性不强。

而为推动流数据发布的安全实用化，基于k-匿名模型的数据隐私保护方案被大量提出。这类方案的基本思想是通过对记录数据的准标示符(quasi-identifier)进行泛化(obscure)或截取(suppress)处理，将数据集依照这些泛化的标示符划分为若干个等价类，使得每一个等价类当中数据不少于k个。然而，由于缺乏对隐私保护程度的量化和对攻击者能力的清楚界定，基于k-匿名的方案仍然被发现具有诸多隐私泄露风险，需不断地针对新泄露的风险提出修补方案。

基于概率模型的差分隐私(DifferentialPrivacy)模型被提出来应对以上诸多方案的不足。差分隐私要求单个记录数据对数据集处理结果的影响从概率上是微小可控的，并且差分隐私模型假定在最差情况下，攻击者拥有除数据本身以外的所有记录数据，这是攻击者理论上的攻击能力上限，因此能够抵御差分攻击即表明可以抵御所有已知和未知的隐私攻击。由于差分隐私具有上述隐私可量化、攻击能力可界定的良好性质，它被广泛地引入到诸多数据发布与查询应用领域。针对流数据自身的特点，差分隐私数据发布方案根据保护侧重点的不同，可以分为针对无限流数据的事件型方案和面向有限流数据的用户型方案。面向无限流数据的事件型差分隐私方案可以保护单个事件信息，而有限流数据的用户型差分隐私方案则重点在于对用户整体信息的保护。然而，需要指出的是，现有的两类差分隐私发布方案往往无法满足实时系统的应用需求。这是由于针对无限流数据的事件型差分隐私发布方案，没有考虑连续时间内事件间的关联关系，导致敏感数据关联性泄露；而面向有限流数据的用户型差分隐私方案由于发布次数的限制而无法满足实时系统的发布需求。

w-事件型差分隐私(w-eventdifferentialprivacy)正是在上述背景下被提出的。w-事件型差分隐私发布方案是一种特殊的事件型方案，该方案克服了传统事件型差分隐私方案未考虑事件间关联关系的不足，实现了对w时间窗内任意事件的信息保护。另外，在数学定义上，当w趋近于无穷大时，该方案则实现了无限流数据上的用户型差分隐私。因此w-事件型差分隐私综合了上述两种差分隐私方案的优势，具有重大的理论和应用价值。

Kellaris等提出了两种符合w-事件型差分隐私的数据发布方案：BD(BudgetDistribution)方案和BA(BudgetAbsorption)方案。上述两种方案均假设存在一个可信的数据中心来收集用户的原始数据，在收集到用户的所有数据后，数据中心根据既定的规则计算并发布满足w-事件型差分隐私数据。但是，可信数据中心存在基础设施部署昂贵的问题，并且还会带来的额外安全隐患，因此，如何移除可信数据中心，以分布式的方式实现w-事件型差分隐私数据发布很有必要。

发明内容

针对现有技术存在的问题，本发明提供了一种分布式的满足w-事件型差分隐私的无限流数据发布方法，适用于无可信数据中心的无限流数据隐私安全发布。