[发明专利]混淆数据的方法

说明书

本发明的实施例提供混淆数据的系统和方法。根据一个实施例，通过将单向压缩函数应用于多个辅助输入来产生多个随机数，所述多个辅助输入可以至少包含秘密密钥和数据合作伙伴标识符。针对待混淆的每一行数据M，反复地执行以下步骤：根据所述待混淆的每一行数据构建多个数据块，其中预先确定所述数据块的数目(n)；产生点积，所述点积通过以下步骤获得：通过将所述多个数据块中的每一个数据块乘以所述多个随机数中的专属的一个来产生多个乘积，并对所述多个乘积求和；以及通过确定取模运算的余数来产生所述待混淆的每一行数据的混淆形式，使用所述点积作为被除数以及预先确定的整数值作为除数来执行所述确定取模运算的余数。

技术领域

本发明涉及数据共享应用中的数据混淆，且更具体地说，涉及混淆数据的方法，所述方法提供模糊数据中的抗碰撞性、不可改变性、计算有效性、抗共谋性和伪随机性。

背景技术

数据共享常见于科学研究以及企业中。电信业务提供商(telecommunicationservice provider，TSP)可以获得如图1的表1a到1b所陈列的用户或订户信息。

电信业务提供商可能希望与他们的业务合作伙伴共享此信息，他们的业务伙伴可能希望评估某一位置(12，24)是否适用于建立美容商店。因此，电信业务提供商可以向合作伙伴提供表1a和1b，所述合作伙伴接着检查所述位置周围的人流量模型，特别是他们的目标客户(例如，年轻女性)。然而，按照根据美国国家标准与技术研究所的US标准，移动号码被认为是个人可识别信息(Personally Identifiable Information，PII)。PII是指能够就其本身而言或与其它信息一起用于识别、联系或定位单个的人或在情境中识别个体的信息。PII可以被看作是关于由代理机构维护的个体的任何信息，包含(1)可以用来辨别或追踪个体的身份的任何信息，例如姓名、社会保障号、出生日期和地点、母亲的婚前姓，或生物标识记录；以及(2)关联到或可关联到个体的任何其它信息，例如医疗、教育、财政和就业信息。

因此，直接共享来自表1a和1b的数据会危及所列用户的隐私，从而可能导致犯罪。从表1a和1b中删除移动号码将解决隐私问题，但是不能提供有用的数据，因为移动号码是用作关联这两个表中的数据的主(关联)密钥。因此，需要数据的混淆。

如果与不同合作伙伴共享的混淆数据相同，那么存在共谋攻击的风险。图2示出了分别与不同合作伙伴共享的表2a到2c。由于提供给不同合作伙伴的已加密移动号码相同，因此合作伙伴可能共谋重建对于每个订户的几乎完整的档案袋，这将侵犯用户隐私。

与数据混淆相关的现有方法在第US 2008/0181396 A1号美国专利申请公开案(巴拉克里希南(Balakrishnan)等人)“使用实体检测和替换的文本数据的数据混淆(DataObfuscation of Text Data Using Entity Detection and Replacement)”和第US 2012/0303616 A1号美国专利申请公开案(阿布尔萨德(Abuelsaad)等人)“使用单向哈希的数据微扰和匿名化(Data Perturbation and Anonymization Using One Way Hash)”中进行了描述。虽然现有方案对于单次使用可以有效，但是当存在数百万或甚至数十亿行待混淆的数据的情况下现有方案将不会有效。在当今时代，在高速下产生高容量数据，因此需要更有效的混淆方法。

发明内容

本发明的实施例提供一种混淆数据的有效方法和系统，其符合模糊数据中的其它安全需求，包含抗碰撞性、不可改变性、计算有效性、抗共谋性和伪随机性。

根据本发明的一个实施例，提供一种混淆数据的方法。所述方法包括：

通过将单向压缩函数应用于多个辅助输入来产生多个随机数；以及

针对待混淆的每一行数据，反复地：

根据待混淆的每一行数据构建多个数据块，其中预先确定数据块的数目；