CN104318167A

CN104318167A - 一种改进的k-匿名中准标识符求解方法

Info

Publication number: CN104318167A
Application number: CN201410522379.2A
Authority: CN
Inventors: 金福生; 胡晓炜; 颜震; 李松; 韩翔宇
Original assignee: Beijing Institute of Technology BIT
Current assignee: Beijing Institute of Technology BIT
Priority date: 2014-10-07
Filing date: 2014-10-07
Publication date: 2015-01-28

Abstract

本发明涉及一种改进的k-匿名中准标识符求解方法，属于信息安全中的隐私保护技术领域，该方法包括以下步骤：首先将数据表集转化为超图二分图，然后利用图的两点间通路求解方法计算二分结点集中两点之间的所有通路，最后输出所有通路。本发明方法有效解决了QUASI_IDENTIFIER方法在相关数据表求解过程中因为Paths方法产生的效率问题，使Paths方法的时间复杂度O(V⁴)降为本发明方法的O(V³)。

Description

一种改进的k-匿名中准标识符求解方法

技术领域

本发明涉及一种准标识符求解方法，特别涉及一种改进的k-匿名中准标识符的求解方法，属于信息安全中的隐私保护技术领域。

背景技术

保护发布数据的隐私信息主要采用匿名的方法。为了隐藏元组标识和敏感信息之间的关系，首先要删除数据表中的显式标识符。但美国卡基梅隆大学的L.Sweeney指出，即使所有的显式标识符都已经被删除，数据表中仍有隐私泄漏的隐患。L.Sweeney利用从不同网站购买到的马萨诸塞州集体保险信息表和选民信息表，通过属性组合{Race,Birth Date,Sex,Zip}进行连接，得到了马萨诸塞州前州长Willian Weld的医疗信息，而这两个数据表中的任何一个都不会泄漏医疗信息。

k-匿名方法是一种广泛应用的匿名方法，它能有效防止由连接攻击造成的隐私信息泄露，并能保证发布数据的完整性和一定的数据效用。其基本思想是将待发布数据表和已发布的相关数据表进行连接的属性定义为准标识符，并且使得在准标识符上的投影所得到的具有相同属性值的元组个数至少为k个(k>＝2)，从而达到保护敏感信息的目的。由此可见，准标识符是导致连接攻击的主要因素，而确定k值和准标识符是k-匿名方法的关键环节。

以往k-匿名方法的研究都是在已预先确定准标识符的情况下进行的，研究者根据个人经验指定准标识符。然而在实际应用中，准确的准标识符对k-匿名方法的有效性具有重要意义。只有找到准确的准标识符，才能防止通过准标识符连接造成隐私泄露；只有找到数量恰当的准标识符，才能避免因为过度泛化所带来的发布数据效用低下的问题。

目前在k-匿名中准标识符求解问题的研究中，主要应用的方法为最小准标识符属性求解方法(Masking Quasiidentifiers)。然而，在对特定数据集的准标识符求解问题上，Song等人指出，Masking Quasiidentifiers方法依然存在缺陷，因为该方法没有考虑数据表的多次发布而引起的多次连接攻击，致使求解结果不准确。由此，Song等人提出了基于超图的准标识符求解方法QUASI_IDENTIFIER，该方法可以很好的解决准标识符求解特别是数据表动态发布过程中的准标识符求解问题。然而QUASI_IDENTIFIER方法在使用Paths方法将超图转化为普通图的过程中仍存在效率问题

发明内容

本发明针对QUASI_IDENTIFIER方法在相关数据表求解过程中因为Paths方法产生的效率问题，提出了一种改进的k-匿名中准标识符的求解方法。

本发明方法的思想是首先将超图转换为二分图，然后利用图的两点间通路求解方法计算二分结点集中两点之间的所有通路，最后输出所有通路。该方法虽然增加了转换成二分图的结点数，但时间复杂度是以多项式的时间增加，相比于Paths方法的指数时间增长，效率显著提高。

本发明是通过下述技术方案实现的：

输入：标识符E，敏感属性S，数据表集{T₁,T₂…T_n}；

输出：若能从S推测出E，则输出从S到E的序列集合，否则输出空集；

一种改进的k-匿名中准标识符的求解方法，包括以下步骤：

1)将数据表集{T₁,T₂…T_n}转化为超图H，将S作为起始点V_s，将E作为结束点V_e；

2)将超图H转化为二分图G<H>；

3)用邻接表A存储超图二分图中顶点集V及V的邻接点；

4)用线性表Visited存储二分顶点集中每一个点的访问标记并全部初始化为未标记；

5)将起始点作为V_i1；

6)标记V_i1，若V_i1是结束点V_e，则输出从起始点到结束点的节点序列，然后转到8)，否则进一步判断V_i1是否有未标记的邻接节点；

7)若V_i1有未标记的邻接节点，则将V_i1的第一个未标记的邻接节点V_j1作为V_i1的子节点，并将V_j1作为V_i1，转到6)；否则，转到8)；

8)取消对V_i1的标记，若V_i1有未标记的兄弟节点，则将V_i1的第一个未标记兄弟节点V_j1作为V_i1的父节点的子节点，并将V_j1作为V_i1，转到6)；否则，进一步判断V_i1是否有父节点；

9)若V_i1有父节点，则将父节点作为V_i1；

10)判断若V_i1和V_s是同一个点，则算法结束，否则，转到8)。

有益效果

在保证准确率的前提下，本发明降低了原有方法的时间复杂度。在二分图中，从起点到终点搜索过程在最坏情况下要经过每一个点，经过每一点的最坏情况要遍历每一条边。假设二分图中有V个点，E条边，则方法的时间复杂度为O(VE)。在二分图的点数不变的前提下，当上下两排点的点数相同时边数最多，此时有E＝V²/4，所以方法的时间复杂度为O(V³)，优于Paths方法的O(V⁴)。

附图说明

图1是一个超图示意图。

图2是一个二分图示意图。

图3是由表3、4、5、6转换成的超图。

图4是由图3转成的超图二分图。

图5是本发明方法的流程图。

图6是以本发明方法以Disease为起始点，以Name为结束点时形成的搜索树。

具体实施方式

为了说明本发明方法的有效性，首先要介绍一些定义、方法，进行可行性分析，并通过一些例子来说明这些概念。

定义1：敏感信息

设R(A)为一关系，其中，R为关系名，A为属性集，有E,S∈A且E≠S，T₁(A₁),T₂(A₂),…,T_n(A_n)为基于R的已发布数据表。如果从保密角度考虑，允许E∈A_i,S∈A_j(1≤i,j≤n∧i≠j)，但不允许E,S∈A_k(1≤k≤n)，则称∏_E,SR为数据发布过程中的敏感信息，记为F(E,S)，称F(E,S)中的元组为敏感信息元组，其中，E为标识符，S为敏感属性。

例1表1原始数据表

表2为原始数据表表1修改部分元组后组成的新表，记为R。

表1原始数据表

表2原始数据的修改表R

在关系R中，患者所关心的是自己的患病信息是否会被泄漏，因此对唯一标识自己身份的姓名和疾病就不能出现在同一数据表中，因此R的敏感信息为：

F(E,S)＝{(Mike,Cancer),(Steven,Flu),(Kate,Fever)}，E为Name，S为Disease。

定义2：相关数据表

设待发布数据表为T'(X)，敏感信息为F(E,S)，如果在已经发布的数据表集T中存在一个子集T"＝{T₁(A₁)，T₂(A₂),…,T_n(A_n)}，数据表T'(X)能与T"中的数据表相互连接还原出敏感信息的部分或全部元组，而与(T-T")中的数据表连接时都不会还原出任何敏感信息元组，则称T_i(A_i)为T'(X)关于F(E,S)的一个相关数据表，T"为T'(X)关于F(E,S)的相关数据表，记为RELATED(T'(X))_F(E,S)。

例2相关数据表涉及的是数据发布过程中因已发布表相互连接而导致敏感信息泄漏，表3，表4，表5，表6为由原始数据表R依次发布的四张数据表，分别记为T₁，T₂，T₃，T₄如下所示：

表3已发布数据表T₁

表4已发布数据表T₂

表5已发布数据表T₃

表6待发布数据表T₄

可以看到，在发布数据表T₁时，由于不存在其他已发布数据表，则RELATED(T₁(Age,Zip Code))_{F(Name,Disease)}＝{}；发布数据表T₂时，由于T₂和T₁的连接不会得到敏感信息，则也有RELATED(T₂(Zip Code,Disease))_{F(Name,Disease)}＝{}；同理，发布T₃时，也有RELATED(T₃(Sex,Disease))_{F(Name,Disease)}＝{}；而当T₄发布时，由于T₄和T₃通过属性Sex的连接会得到Mike患了Cancer的事实，因此T₃是T₄关于敏感信息F(Name,Disease)的一个相关数据表，又因为T₄也可以通过Age与T₁相连，再通过Zip Code与T₂相连，得到Mike患Cancer的事实，因此T₁和T₂也都是T₄关于敏感信息F(Name,Disease)的相关数据表。则最后可以得到RELATED(T₄(Name,Age,Sex))_{F(Name,Disease)}＝{T₁,T₂,T₃}。

定义3：准标识符

设待发布数据表为T'(X)，敏感信息为F(E,S)，RELATED(T'(X))_F(E,S)＝{T₁,T₂,…,T_k}，k为T'(X)关于F(E,S)的相关数据表的个数。如果数据表T'(X)可以通过属性集{A₁,A₂,…,A_k}且{A₁,A₂,…,A_k}与RELATED(T'(X))_F(E,S)中数据表T₁,T₂,…,T_k连接能还原出敏感信息F(E,S)的部分或全部元组，则称属性集{A₁,A₂,…,A_k}为数据表T'(X)的准标识符，记做QI。

例3由例2可知，T₄是通过属性Sex与T₃连接得到敏感信息，通过属性Age与T₁连接然后再与T₂连接得到敏感信息，因此可以说是通过属性Sex和Age与RELATED(T₄(Name,Age,Sex))_{F(Name,Disease)}中的T₁，T₂，T₃连接，还原出了敏感信息F(Name,Disease)中的部分元组(Mike,Cancer)，所以T₄的准标识符为Sex和Age，也就是QI_T4＝{Sex,Age}。

定义4：超图

超图是一种广义上的图，它的一条边可以连接任意数量的顶点。形式上，超图H是一个集合组H＝<V,E>，其中V是一个有限集合，该集合的元素被称为结点或顶点，E是V的非空子集的集合，被称为超边或连接。E中每一条超边都是V的一个非空子集，并使得V中每个结点至少属于E的一条超边。

超图可以用平面上的普通图来表示：将每个结点用平面上的小点来表示，设E_i为超图中的任一条边，如果|E_i|＝1，则E_i用过结点的一个环来表示；如果|E_i|＝2,则E_i用连接两个结点的线段来表示；如果|E_i|≥3，则E_i用包含E_i中点的闭曲线表示。

例4如图1所示的就是一个超图，H＝<{A,B,C,D,F,G},{{A,B,C},{C,D,F},{B,D},{G}}>，其中E₁＝{A,B,C}，E₂＝{C,D,F}，E₃＝{B,D}，E₄＝{G}。

定义5：通路

设H＝<V,E>是一个超图，A、B是V中的结点，则H中从A到B的一条通路是一个边的序列E₁,E₂,…,E_k(k≥1)，该序列满足下列条件：

1)A∈E₁,B∈E_k；

2)对所有的1≤i≤k，有

例5图1所示的超图H，结点A到结点F的通路为(E₁,E₃,E₂)和(E₁,E₂)。

定义6：邻接结点

设H＝<V,E>是一个超图，有E_i,E_j∈E,A∈E_i,B∈E_j,E_i≠E_j。若B∈E_i，则称B通过E_i与A相邻接，B为A的邻接结点。

例6图1所示的超图H，结点A的邻接结点为B和C。

定义7：二分图

设G＝<V,E>是一个无向图，如果顶点V可分割为两个互不相交的子集(A,B)，并且图中的每条边(a,b)所关联的两个顶点a和b分别属于这两个不同的顶点集a∈A,b∈B，则称图G为一个二分图。

例7图2就是一个二分图。

定义8：超图二分图

设H＝<V,E>是一个超图，把H的顶点集V作为顶点集A，把H的超边集E作为顶点集B，如果在H中有V_i∈E_i，则对应的顶点A_i和B_i间连一条边，最后所生成的图即为一个二分图，称为超图H的超图二分图，记作G<H>。将顶点集A称作G<H>的二分结点集，将顶点集B称作G<H>的二分超边集。其中，G<H>的总点数为V_G＝|V|+|E|，G<H>的总边数为E_G＝|E₁|+|E₂|+…+|E_n|，其中n为H中超边的个数，|E_i|为每一条超边对应的节点数，1≤i≤n。作图时通常将二分结点集画在下边，二分超边集画在上边。

例8图4是由图3所示的超图H_R＝<V,E>转换得到的超图二分图G<H_R>，其中二分结点集A＝{Name,Age,Sex,Zip Code,Disease}，二分超边集B＝{E₁,E₂,E₃,E₄}。

数据表集向超图的映射方法

设待发布数据表为T'(X)，已发布的数据表为T＝{T₁(A₁),T₂(A₂),…,T_n(A_n)}，从数据表向超图的映射规则为：

1)把X∪A₁∪…∪A_n中的每个属性分别映射为超图中的结点；

2)把X,A₁,A₂,…,A_n分别映射为超图中的超边。

例9表3，表4，表5，表6中的数据表集{T₁,T₂,T₃,T₄}＝{(Age,Zip Code),(Zip Code,Disease),(Sex,Disease),(Name,Age,Sex)}映射为超图H_R＝<V,E>，其中，V＝{Name,Age,Sex,Zip Code,Disease}，E＝{{Age,Zip Code},{ZipCode,Disease},{Sex,Disease},{Name,Age,Sex}}，如图3所示即为由表3、4、5、6转换成的超图，与数据表集{T₁,T₂,T₃,T₄}对应。

敏感信息泄漏条件

上文提到，由例1至例3可以归纳出，寻找泄漏敏感信息的连接，就是寻找一条从标识符E到敏感属性S的通路的初步结论，这在Song等人的研究中也得到了证明(宋金玲,黄立明,刘国华.k-匿名方法中准标识符的求解算法[J].小型微型计算机系统,2008(9):1689-1693.)。

求解算法正确性分析

在通过超图通路求解准标识符算法中，为了保证算法的正确性，首先需要证明对于某个待发布数据表T'(X)，其相关数据表只能是从标识符E到敏感属性S的所有通路中包含属性X的那条通路上的超边所对应的数据表。由于Song等人的研究已经给出了具体的证明过程，这里只是显式的给出最终定理：

定理1设待发布数据表为T'(X)，已发布数据表为

T＝{T₁(A₁),T₂(A₂),…,T_n(A_n)}，敏感信息为F(E,S)，T∪T′(X)映射为超图H_R＝<V,E>，其中V＝X∪A₁∪…∪A_n，E＝{X,A₁,…,A_n}。若Road为超图H_R中结点E到结点S之间包含X的所有通路的集合，则与T'(X)相关的数据表只能是Road中通路上的超边所对应的数据表。

定理2设待发布数据表为T'(X)，已发布数据表为

T＝{T₁(A₁),T₂(A₂)，…,T_n(A_n)}，敏感信息为F(E,S)，T∪T′(X)映射为超图H_R＝<V,E>，其中V＝X∪A₁∪…∪A_n，E＝{X,A₁,…,A_n}。若Road1为超图H_R中结点E到X之间的所有通路的集合，Road2为超图H_R中X到结点S之间的所有通路的集合，则Road1和Road2非空时，与T'(X)相关的数据表只能是Road1和Road2中通路上除X之外的超边所对应的数据表。

具体实施方式

下面结合附图，以定义中的表3，4，5，6为例说明本发明的具体实施方式。

输入：标识符Name，敏感属性Disease，数据表集{T₁,T₂…T_n}；

输出：若能从Disease推测出Name，则输出从Disease到Name的通路序列集合，否则输出空集；

具体过程如下：

1)将数据表集{T₁,T₂…T_n}转化为超图，将Disease作为起始点，将Name作为终止点。

将数据表集(表3，4，5，6)按照上述数据表集向超图的映射方法映射为超图H，如图3所示。

2)将数据表集{T₁,T₂…T_n}转化为超图

将超图H按照定义8转化为超图二分图G<H>，如图4所示。

3)用邻接表A存储超图二分图中顶点集V及V的邻接点；

节点名称

邻接点1

邻接点2

邻接点3

E1	Age	Zip code
			E2	Zip code	Disease
E3	Sex	Disease
			E4	Name	Age	Sex
Name	E4
			Age	E1	E4
Sex	E3	E4
			Zip code	E1	E2
Disease	E2	E3

用线性表存储E1-E4、Name、Age、Sex、Zip Code、Disease的访问标记并全部置为未标记。

5)将起始点作为V_i1；

将Disease作为Vi1。

6)标记V_i1。若V_i1是结束点V_e，则输出从起始点到结束点的节点序列，然后转到8)，否则进一步判断V_i1是否有未标记的邻接节点。

以图6左侧分支的Name为例。标记Name，此时发现Name就是结束点，则输出从Disease到Name的节点序列，并转到8)。

再以图6中的根节点Disease为例。标记Disease，发现Disease不是Name，则进一步判断Disease是否有未标记的邻接节点。

7)若V_i1有未标记的邻接节点，则将V_i1的第一个未标记的邻接节点V_j1作为V_i1的子节点，并将V_j1作为V_i1，转到6)。否则，转到8)。

仍以图6中的根节点Disease为例。Disease有未标记的邻接节点E2和E3，则将Disease的第一个邻接节点E2作为Disease的子节点，并将E2作为Vi1，转到6)。

再以图6中左侧分支倒数第二层的E3为例。E3没有未标记的邻接节点，转到8)。

8)取消对V_i1的标记。若V_i1有未标记的兄弟节点，则将V_i1的第一个未标记兄弟节点V_j1作为V_i1的父节点的子节点，并将V_j1作为V_i1，转到6)。否则，进一步判断V_i1是否有父节点。

以图6中左侧分支的Name为Vi1为例。取消对Name的标记。发现Name只有一个未标记的兄弟节点Sex，则将Sex作为E4的子节点，并将Sex作为Vi1转到6)。

再以图6中右侧分支倒数第二层的E2为例。E2没有未标记的兄弟节点，则进一步判断E2是否有父节点。

9)若V_i1有父节点，则将父节点作为V_i1。

10)判断若V_i1和V_s是同一个点，则算法结束。否则，转到8)。

仍以图6中右侧分支倒数第二层的E2为例。E2有父节点，则将E2的父节点Zip Code作为Vi1。此后判断Zip Code与Disease不是同一个点，则转到7)。

再以图6中右侧分支第二层的E3为例。E3有父节点，则将E3的父节点Disease作为Vi1。此后判断Vi1与起始点Disease是同一个点，算法结束。

根据输入，由上述方法可以得到2条从Disease到Name的通路，分别为：

(1)、Disease—〉E2—〉Zip code—〉E1—〉Age—〉E4—〉Name；

(2)、Disease—〉E3—〉Sex—〉E4—〉Name；

由此说明T2通过Zip code与T1连接然后再通过Age与T4连接，就可得到包含标识符Name和敏感属性Disease的敏感信息；同理，T3通过Sex与T₄连接就可得到包含标识符Name和敏感属性Disease的敏感信息。因此T₄的准标识符为Age和Sex。

以上所述的具体描述，对发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种改进的k-匿名中准标识符的求解方法，其特征在于，包括以下步骤：

其中T_i为第i个数据表，1≤i≤n；S为敏感属性，E为标识符；

2)将超图H转化为二分图G<H>；

3)用邻接表A存储超图二分图中顶点集V及V的邻接点；

5)将起始点V_s作为V_i1；

8)取消对V_i1的标记，若V_i1有未标记的兄弟节点，则将V_i1的第一个未标记兄弟节点V_j1作为V_i1的父节点的子节点，并将V_j1作为V_i1，转到6)；否则，判断V_i1是否有父节点；

9)若V_i1有父节点，则将父节点作为V_i1；

10)判断若V_i1和V_s是同一个点，则算法结束，否则，转到8)。