CN107563204A - 一种匿名数据的隐私泄露风险评估方法 - Google Patents

Abstract

本发明公开了一种匿名数据的隐私泄露风险评估方法，包括以下步骤：1)从待评估数据集中获取被评估数据的数量、被抑制数据的数量、匿名化程度、待评估数据集的L‑多样性、待评估数据集的T‑相近性及HIPAA标识符；2)计算被评估数据集在检察官攻击模型、新闻工作者攻击模型及营销人员攻击模型攻击下处于风险中的记录数目、最大风险及平均风险；3)获取待评估数据集中具有1‑多样性记录的总和，该方法实现对匿名数据隐私泄露风险进行评估。

Description

一种匿名数据的隐私泄露风险评估方法

技术领域

本发明属于密码学技术领域，涉及一种匿名数据的隐私泄露风险评估方法。

背景技术

信息技术的飞速发展使得各类数据的发布、采集、存储和分析变得方便快捷。例如，医院电子病例记录病人基本信息、疾病信息及药品购买记录；人口普查记录市民的家庭住址、收入情况以及犯罪记录；金融业务服务会记录客户私有信息及其交易行为等。而这些数据的收集和发布直接给个人隐私带来威胁。一方面，如果数据拥有者直接发布隐含着敏感信息的技术，而不采用适当数据保护技术，将可能造成个人敏感信息的泄露。例如，医院发布病人医疗信息。另一方面，对发布后的数据进行分析也给数据的隐私带来了威胁。例如，采用数据挖掘和机器学习技术对医疗病例信息和搜索日志进行挖掘，可以获得病人所患何种疾病以及用户搜索的行为模式等敏感信息。隐私保护技术可以解决数据发布和数据分析带来的隐私威胁问题。如何发布和分析而又不泄露隐私信息是隐私保护技术的主要目的。

为了发布风险小且信息损失量小的数据集，我们就需要在发布匿名数据集之前对其进行评估，若评估后的匿名数据集满足用户要求且不易泄露隐私信息，那么就可以发布匿名数据集了。为此，因此需要制作一种匿名数据的隐私泄露风险评估放，以评估出匿名数据的隐私泄露风险。

发明内容

本发明的目的在于克服上述现有技术的缺点，提供了一种匿名数据的隐私泄露风险评估方法，该方法实现对匿名数据隐私泄露风险进行评估。

为达到上述目的，本发明所述的匿名数据的隐私泄露风险评估方法包括以下步骤：

1)从待评估数据集中获取被评估数据的数量、被抑制数据的数量、匿名化程度、待评估数据集的L-多样性、待评估数据集的T-相近性及HIPAA标识符；

2)计算被评估数据集在检察官攻击模型、新闻工作者攻击模型及营销人员攻击模型攻击下处于风险中的记录数目、最大风险及平均风险；

3)获取待评估数据集中具有1-多样性记录的总和，完成匿名数据的隐私泄露风险评估。

构建excel表格，将第一组待评估数据集加载到excel表格中，其中，excel表格中每列的第一行记录有该列的属性，每列中的其他行记录被抑制的数据及没有被抑制的数据，其中，被抑制的数据通过*表示，没有被抑制的数据位于被抑制的数据的前方，被抑制数据的数量为Q-N-1，其中，Q为该列的总行数，N为记录有*的行数。

遍历excel表格中所有列的第一行，将第一行中记录有准标识符的列记作准标识符的列，遍历所有准标识符的列，查看记录内容相同的相邻行的数量，选取最小记录内容相同的相邻行的数量作为该excel表的匿名化程度，同时根据所有记录内容相同的相邻行的数量构建数组list，其中，list＝[value1,value2,value3…]；

根据数组list生成数组list’＝[0,value1,value2,value3…]，则第一个等价类的第一行为1+list’[0]，第一个等价类的最后一行为1+list’[0]+list’[1]-1；下一个等价类的第一行为上一个等价类的第一行加上list’[1]的结果，下一个等价类的最后一行为上一个等价类的第一行加上list’[2]的结果，得各等价类的值。

获取待评估数据集的L-多样性及待评估数据集的T-相近性的具体操作为：

1a)构建空白的数组list1及数组list2，选取任意一个等价类作为待检测等价类；

2a)判断数组list1中是否存在待检测等价类中属性为敏感的内容，当数组list1中不存在待检测等价类中属性为敏感的内容时，则待检测等价类中属性的内容添加到数组list1中并清空list1；

3a)将数组list1的大小记作该待检测等价类的L值，然后将待检测等价类的L值存储到数组list2中；

4a)从剩余等价类中任意选取一个等价类作为待检测等价类，然后转至步骤2a)，直至遍历所有等价类为止，得数组list2；

5a)选取数组list2中的最小值作为待评估数据集的L-多样性，并将数组list2中的最大值作为待评估数据集的T-相近性。

步骤2)的具体操作为：

将第二组待评估数据集加载到excel表格中，查看第一组待评估数据集与第二组待评估数据集的绝对路径是否相同；

当第一组待评估数据集与第二组待评估数据集的绝对路径相同时，则第一组待评估数据集在检察官攻击模型、新闻工作者攻击模型及营销人员攻击模型攻击下处于风险中的记录数目R_a为：

其中，n为记录的个数，f_j为第j个等价类的大小，θ_j＝1/f_j，当θ_j大于阈值τ时，I(·)的值为1；当θ_j小于等于阈值τ时，I(·)的值为0；

当第一组待评估数据集与第二组待评估数据集的绝对路径相同时，第一组被评估数据集在检察官攻击模型、新闻工作者攻击模型及营销人员攻击模型攻击下处于风险中的最大风险R_b及平均风险R_c分别为：

当第一组待评估数据集与第二组待评估数据集的绝对路径不相同时，第一组待评估数据集在新闻工作者攻击模型攻击下处于风险中的记录数目_JR_a为：

其中，F_j为遍历人口数据集中与取样数据集中每个等价类的记录内容相同的记录总和；

当第一组待评估数据集与第二组待评估数据集的绝对路径不相同时，第一组待评估数据集在新闻工作者攻击模型攻击下处于风险中的最大风险_JR_b及平均风险_JR_c分别为：

当第一组待评估数据集与第二组待评估数据集的绝对路径不相同时，第一组待评估数据集在营销人员攻击模型攻击下处于风险中的平均风险_mR_c为：

还包括：

1b)查找数组list中的最小值K；

2b)将数组list中K前面的所有数值求和后再依次加2,3…K，再将相加所得结果作为第一个存在最大风险的等价类的行号，然后将第一个存在最大风险的等价类的行号存储于数组list3中；

3b)查找数组list中剩余数值中的最小值作为新的K，再转至步骤2b)，直至遍历数组list中的所有数值为止，得数组list3，然后再显示数组list3。

步骤3)的具体操作为：查找list2中的所有数值1，再将数组list2中的所有数值1对应于数组list中的数值进行求和，并将求和的结果作为待评估数据集中具有1-多样性记录的总和。

本发明具有以下有益效果：

本发明所述的匿名数据的隐私泄露风险评估方法在具体操作时，通过获取被评估数据的匿名化程度、待评估数据集的L-多样性、待评估数据集的T-相近性及HIPAA标识符，并获取被评估数据集在攻击模型攻击下处于风险中的记录数目、最大风险及平均风险，同时获取待评估数据集中具有1-多样性记录的总和，以实现对匿名数据的隐私泄露风险评估，操作简单，方便，可以从风险方面评估匿名数据的质量，以判断匿名数据是否满足发布条件。

进一步，被抑制的数据通过*表示，没有被抑制的数据位于被抑制的数据的前方，从而保护个人隐私。

具体实施方式

下面结合实施例对本发明做进一步详细描述：

本发明所述的匿名数据的隐私泄露风险评估方法包括以下步骤：

1)从待评估数据集中获取被评估数据的数量、被抑制数据的数量、匿名化程度、待评估数据集的L-多样性、待评估数据集的T-相近性及HIPAA标识符；

2)计算被评估数据集在检察官攻击模型、新闻工作者攻击模型及营销人员攻击模型攻击下处于风险中的记录数目、最大风险及平均风险；

3)获取待评估数据集中具有1-多样性记录的总和。

构建excel表格，将第一组待评估数据集加载到excel表格中，其中，excel表格中每列的第一行记录有该列的属性，每列中的其他行记录被抑制的数据及没有被抑制的数据，其中，被抑制的数据通过*表示，没有被抑制的数据位于被抑制的数据的前方，被抑制数据的数量为Q-N-1，其中，Q为该列的总行数，N为记录有*的行数。

遍历excel表格中所有列的第一行，将第一行中记录有准标识符的列记作准标识符的列，遍历所有准标识符的列，查看记录内容相同的相邻行的数量，选取最小记录内容相同的相邻行的数量作为该excel表的匿名化程度，同时根据所有记录内容相同的相邻行的数量构建数组list，其中，list＝[value1,value2,value3…]；

根据数组list生成数组list’＝[0,value1,value2,value3…]，则第一个等价类的第一行为1+list’[0]，第一个等价类的最后一行为1+list’[0]+list’[1]-1；下一个等价类的第一行为上一个等价类的第一行加上list’[1]的结果，下一个等价类的最后一行为上一个等价类的第一行加上list’[2]的结果，得各等价类的值。

步骤1)中获取待评估数据集的L-多样性及待评估数据集的T-相近性的具体操作为：

1a)构建空白的数组list1及数组list2，选取任意一个等价类作为待检测等价类；

2a)判断数组list1中是否存在待检测等价类中属性为敏感的内容，当数组list1中不存在待检测等价类中属性为敏感的内容时，则待检测等价类中属性的内容添加到数组list1中并清空list1；

3a)将数组list1的大小记作该待检测等价类的L值，然后将待检测等价类的L值存储到数组list2中；

4a)从剩余等价类中任意选取一个等价类作为待检测等价类，然后转至步骤2a)，直至遍历所有等价类为止，得数组list2；

5a)选取数组list2中的最小值作为待评估数据集的L-多样性，并将数组list2中的最大值作为待评估数据集的T-相近性。

步骤2)的具体操作为：

将第二组待评估数据集加载到excel表格中，查看第一组待评估数据集与第二组待评估数据集的绝对路径是否相同；

当第一组待评估数据集与第二组待评估数据集的绝对路径相同时，则第一组待评估数据集在检察官攻击模型、新闻工作者攻击模型及营销人员攻击模型攻击下处于风险中的记录数目R_a为：

其中，n为记录的个数，f_j为第j个等价类的大小，θ_j＝1/f_j，当θ_j大于阈值τ时，I(·)的值为1；当θ_j小于等于阈值τ时，I(·)的值为0；

当第一组待评估数据集与第二组待评估数据集的绝对路径相同时，第一组被评估数据集在检察官攻击模型、新闻工作者攻击模型及营销人员攻击模型攻击下处于风险中的最大风险R_b及平均风险R_c分别为：

当第一组待评估数据集与第二组待评估数据集的绝对路径不相同时，第一组待评估数据集在新闻工作者攻击模型攻击下处于风险中的记录数目_JR_a为：

其中，F_j为遍历人口数据集中与取样数据集中每个等价类的记录内容相同的记录总和；

当第一组待评估数据集与第二组待评估数据集的绝对路径不相同时，第一组待评估数据集在新闻工作者攻击模型攻击下处于风险中的最大风险_JR_b及平均风险_JR_c分别为：

当第一组待评估数据集与第二组待评估数据集的绝对路径不相同时，第一组待评估数据集在营销人员攻击模型攻击下处于风险中的平均风险_mR_c为：

本发明还包括：

1b)查找数组list中的最小值K；

2b)将数组list中K前面的所有数值求和后再依次加2,3…K，再将相加所得结果作为第一个存在最大风险的等价类的行号，然后将第一个存在最大风险的等价类的行号存储于数组list3中；

3b)查找数组list中剩余数值中的最小值作为新的K，再转至步骤2b)，直至遍历数组list中的所有数值为止，得数组list3，然后再显示数组list3。

步骤3)的具体操作为：查找list2中的所有数值1，再将数组list2中的所有数值1对应于数组list中的数值进行求和，并将求和的结果作为待评估数据集中具有1-多样性记录的总和。

Claims (7)

1.一种匿名数据的隐私泄露风险评估方法，其特征在于，包括以下步骤：

1)从待评估数据集中获取被评估数据的数量、被抑制数据的数量、匿名化程度、待评估数据集的L-多样性、待评估数据集的T-相近性及HIPAA标识符；

2)计算被评估数据集在检察官攻击模型、新闻工作者攻击模型及营销人员攻击模型攻击下处于风险中的记录数目、最大风险及平均风险；

3)获取待评估数据集中具有1-多样性记录的总和，完成匿名数据的隐私泄露风险评估。

2.根据权利要求1所述的匿名数据的隐私泄露风险评估方法，其特征在于，构建excel表格，将第一组待评估数据集加载到excel表格中，其中，excel表格中每列的第一行记录有该列的属性，每列中的其他行记录被抑制的数据及没有被抑制的数据，其中，被抑制的数据通过*表示，没有被抑制的数据位于被抑制的数据的前方，被抑制数据的数量为Q-N-1，其中，Q为该列的总行数，N为记录有*的行数。

3.根据权利要求2所述的匿名数据的隐私泄露风险评估方法，其特征在于，遍历excel表格中所有列的第一行，将第一行中记录有准标识符的列记作准标识符的列，遍历所有准标识符的列，查看记录内容相同的相邻行的数量，选取最小记录内容相同的相邻行的数量作为该excel表的匿名化程度，同时根据所有记录内容相同的相邻行的数量构建数组list，其中，list＝[value1,value2,value3…]；

根据数组list生成数组list’＝[0,value1,value2,value3…]，则第一个等价类的第一行为1+list’[0]，第一个等价类的最后一行为1+list’[0]+list’[1]-1；下一个等价类的第一行为上一个等价类的第一行加上list’[1]的结果，下一个等价类的最后一行为上一个等价类的第一行加上list’[2]的结果，得各等价类的值。

4.根据权利要求2所述的匿名数据的隐私泄露风险评估方法，其特征在于，获取待评估数据集的L-多样性及待评估数据集的T-相近性的具体操作为：

1a)构建空白的数组list1及数组list2，选取任意一个等价类作为待检测等价类；

2a)判断数组list1中是否存在待检测等价类中属性为敏感的内容，当数组list1中不存在待检测等价类中属性为敏感的内容时，则待检测等价类中属性的内容添加到数组list1中；

3a)将数组list1的大小记作该待检测等价类的L值，然后将待检测等价类的L值存储到数组list2中并清空list1；

4a)从剩余等价类中任意选取一个等价类作为待检测等价类，然后转至步骤2a)，直至遍历所有等价类为止，得数组list2；

5a)选取数组list2中的最小值作为待评估数据集的L-多样性，并将数组list2中的最大值作为待评估数据集的T-相近性。

5.根据权利要求1所述的匿名数据的隐私泄露风险评估方法，其特征在于，步骤2)的具体操作为：

将第二组待评估数据集加载到excel表格中，查看第一组待评估数据集与第二组待评估数据集的绝对路径是否相同；

当第一组待评估数据集与第二组待评估数据集的绝对路径相同时，则第一组待评估数据集在检察官攻击模型、新闻工作者攻击模型及营销人员攻击模型攻击下处于风险中的记录数目R_a为：

<mrow> <msub> <mi>R</mi> <mi>a</mi> </msub> <mo>=</mo> <mfrac> <mn>1</mn> <mi>n</mi> </mfrac> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>&amp;Element;</mo> <mi>J</mi> </mrow> </munder> <msub> <mi>f</mi> <mi>j</mi> </msub> <mo>&amp;times;</mo> <mi>I</mi> <mrow> <mo>(</mo> <msub> <mi>&amp;theta;</mi> <mi>j</mi> </msub> <mo>&gt;</mo> <mi>&amp;tau;</mi> <mo>)</mo> </mrow> </mrow>

其中，n为记录的个数，f_j为第j个等价类的大小，θ_j＝1/f_j，当θ_j大于阈值τ时，I(·)的值为1；当θ_j小于等于阈值τ时，I(·)的值为0；

当第一组待评估数据集与第二组待评估数据集的绝对路径相同时，第一组被评估数据集在检察官攻击模型、新闻工作者攻击模型及营销人员攻击模型攻击下处于风险中的最大风险R_b及平均风险R_c分别为：

<mrow> <msub> <mi>R</mi> <mi>b</mi> </msub> <mo>=</mo> <munder> <mrow> <mi>m</mi> <mi>a</mi> <mi>x</mi> </mrow> <mrow> <mi>j</mi> <mo>&amp;Element;</mo> <mi>J</mi> </mrow> </munder> <mrow> <mo>(</mo> <msub> <mi>&amp;theta;</mi> <mi>j</mi> </msub> <mo>)</mo> </mrow> </mrow>

<mrow> <msub> <mi>R</mi> <mi>c</mi> </msub> <mo>=</mo> <mfrac> <mn>1</mn> <mi>n</mi> </mfrac> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>&amp;Element;</mo> <mi>J</mi> </mrow> </munder> <msub> <mi>f</mi> <mi>j</mi> </msub> <msub> <mi>&amp;theta;</mi> <mi>j</mi> </msub> </mrow>

当第一组待评估数据集与第二组待评估数据集的绝对路径不相同时，第一组待评估数据集在新闻工作者攻击模型攻击下处于风险中的记录数目_JR_a为：

<mrow> <msub> <mmultiscripts> <mi>R</mi> <mi>J</mi> </mmultiscripts> <mi>a</mi> </msub> <mo>=</mo> <mfrac> <mn>1</mn> <mi>n</mi> </mfrac> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>&amp;Element;</mo> <mi>J</mi> </mrow> </munder> <msub> <mi>f</mi> <mi>j</mi> </msub> <mo>&amp;times;</mo> <mi>I</mi> <mrow> <mo>(</mo> <mfrac> <mn>1</mn> <msub> <mi>F</mi> <mi>j</mi> </msub> </mfrac> <mo>&gt;</mo> <mi>&amp;tau;</mi> <mo>)</mo> </mrow> </mrow>

其中，F_j为遍历人口数据集中与取样数据集中每个等价类的记录内容相同的记录总和；

当第一组待评估数据集与第二组待评估数据集的绝对路径不相同时，第一组待评估数据集在新闻工作者攻击模型攻击下处于风险中的最大风险_JR_b及平均风险_JR_c分别为：

<mrow> <msub> <mmultiscripts> <mi>R</mi> <mi>J</mi> </mmultiscripts> <mi>b</mi> </msub> <mo>=</mo> <mfrac> <mn>1</mn> <mrow> <munder> <mrow> <mi>m</mi> <mi>i</mi> <mi>n</mi> </mrow> <mrow> <mi>j</mi> <mo>&amp;Element;</mo> <mi>J</mi> </mrow> </munder> <mrow> <mo>(</mo> <msub> <mi>F</mi> <mi>j</mi> </msub> <mo>)</mo> </mrow> </mrow> </mfrac> </mrow>

<mrow> <msub> <mmultiscripts> <mi>R</mi> <mi>J</mi> </mmultiscripts> <mi>c</mi> </msub> <mo>=</mo> <mi>m</mi> <mi>a</mi> <mi>x</mi> <mrow> <mo>(</mo> <mfrac> <mrow> <mo>|</mo> <mi>J</mi> <mo>|</mo> </mrow> <mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>&amp;Element;</mo> <mi>J</mi> </mrow> </munder> <msub> <mi>F</mi> <mi>j</mi> </msub> </mrow> </mfrac> <mo>,</mo> <mfrac> <mn>1</mn> <mi>n</mi> </mfrac> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>&amp;Element;</mo> <mi>J</mi> </mrow> </munder> <mfrac> <msub> <mi>f</mi> <mi>j</mi> </msub> <msub> <mi>F</mi> <mi>j</mi> </msub> </mfrac> <mo>)</mo> </mrow> </mrow>

当第一组待评估数据集与第二组待评估数据集的绝对路径不相同时，第一组待评估数据集在营销人员攻击模型攻击下处于风险中的平均风险_mR_c为：

<mrow> <msub> <mmultiscripts> <mi>R</mi> <mi>m</mi> </mmultiscripts> <mi>c</mi> </msub> <mo>=</mo> <mfrac> <mn>1</mn> <mi>n</mi> </mfrac> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>&amp;Element;</mo> <mi>J</mi> </mrow> </munder> <mfrac> <msub> <mi>f</mi> <mi>j</mi> </msub> <msub> <mi>F</mi> <mi>j</mi> </msub> </mfrac> <mo>.</mo> </mrow>

6.根据权利要求4所述的匿名数据的隐私泄露风险评估方法，其特征在于，还包括：

1b)查找数组list中的最小值K；

2b)将数组list中K前面的所有数值求和后再依次加2,3…K，再将相加所得结果作为第一个存在最大风险的等价类的行号，然后将第一个存在最大风险的等价类的行号存储于数组list3中；

3b)查找数组list中剩余数值中的最小值作为新的K，再转至步骤2b)，直至遍历数组list中的所有数值为止，得数组list3，然后再显示数组list3。

7.根据权利要求4所述的匿名数据的隐私泄露风险评估方法，其特征在于，步骤3)的具体操作为：查找list2中的所有数值1，再将数组list2中的所有数值1对应于数组list中的数值进行求和，并将求和的结果作为待评估数据集中具有1-多样性记录的总和。