CN110088756A - 隐匿化装置、数据分析装置、隐匿化方法、数据分析方法、隐匿化程序以及数据分析程序 - Google Patents

隐匿化装置、数据分析装置、隐匿化方法、数据分析方法、隐匿化程序以及数据分析程序 Download PDF

Info

Publication number
CN110088756A
CN110088756A CN201680091531.3A CN201680091531A CN110088756A CN 110088756 A CN110088756 A CN 110088756A CN 201680091531 A CN201680091531 A CN 201680091531A CN 110088756 A CN110088756 A CN 110088756A
Authority
CN
China
Prior art keywords
data
seed
random number
concealmentization
concealment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201680091531.3A
Other languages
English (en)
Other versions
CN110088756B (zh
Inventor
平野贵人
清水莉南
服部充洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of CN110088756A publication Critical patent/CN110088756A/zh
Application granted granted Critical
Publication of CN110088756B publication Critical patent/CN110088756B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/14Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/81Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer by operating on the power supply, e.g. enabling or disabling power-on, sleep or resume operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/58Random or pseudo-random number generators
    • G06F7/588Random number generators, i.e. based on natural stochastic processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/08Randomization, e.g. dummy operations or using noise
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/16Obfuscation or hiding, e.g. involving white box
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Technology Law (AREA)
  • Databases & Information Systems (AREA)
  • Multimedia (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Remote Monitoring And Control Of Power-Distribution Networks (AREA)

Abstract

随机数生成部(404)根据多个种子生成多个随机数。数据扰乱部(405)使用由随机数生成部(404)生成的多个随机数,对作为隐匿化对象的隐匿化对象数据进行隐匿化。发送部(406)向数据分析装置发送由数据扰乱部(405)隐匿化后的隐匿化对象数据即隐匿化数据,在将隐匿化数据发送到数据分析装置后,向数据分析装置发送多个种子中的任意种子。

Description

隐匿化装置、数据分析装置、隐匿化方法、数据分析方法、隐匿 化程序以及数据分析程序
技术领域
本发明涉及数据的隐匿化。
背景技术
近年来,使用或灵活运用隐私信息的商务不断增多。例如,在老年人的监护服务等的商务中会使用或灵活运用隐私信息。近年来,HEMS(Home Energy Management System:家庭能源管理系统)正在向普通家庭普及,通过分析由在HEMS中使用的智能仪表收集的用电量数据能够估计个人的行动。即,通过分析用电量数据这样的隐私信息来估计老年人的行动,能够实现对老年人的监护服务。
但是,如果过度估计个人的行动,就会有侵犯隐私的危险。例如,当为了进行监护服务而分析用电量数据时,由于使用特定的家电产品的时间段是可知的,因此可以了解监护对象者在特定的时间段内正在进行与该家电产品相关的行动。另外,当长时间分析用电量数据时,可以估计出个人的行动模式。此外,随着数据分析技术的发展,最终还有可能暴露个人的兴趣或偏好等。
作为避免这样的隐私信息的过度泄漏的技术,对数据添加随机数的技术是众所周知的(例如非专利文献1、非专利文献2)。
例如,存在如下的方法:通过单纯地对元数据添加根据高斯分布等生成的随机数,转换成与元数据不同的数据从而保护隐私。众所周知的是,这样单纯地对元数据添加随机数从而保护隐私的技术,与近年来提出的被称作“差分隐私”的能够定量评价隐私等级的框架有密切的关系。因此,对元数据添加随机数的方法再次受到关注。
根据满足差分隐私的隐私保护技术,对于数据库中的个人数据而言,不论有怎样的背景知识都很难根据统计值估计出各个值。另外,根据满足差分隐私的隐私保护技术,能够对数据库整体进行统计分析。
现有技术文献
专利文献
专利文献1:日本特开第2016-012074号公报
专利文献2:日本特开第2014-003602号公报
专利文献3:日本特开第2010-093424号公报
专利文献4:日本特开第2014-109928号公报
专利文献5:日本特开第2012-159932号公报
非专利文献
非专利文献1:N.R.Adam and J.C.Wortman."Security control methods forstatistical databases".ACM Computer Surveys 1989.
非专利文献2:X.Xiao,Y.Tao,and M.Chen."Optimal random perturbation atmultiple privacy levels".VLDB 2009.
非专利文献3:C.D work."Differential privacy".ICALP 2006.
发明内容
发明要解决的课题
专利文献1~5公开的技术和非专利文献1~3公开的技术分别是以差分隐私技术、加密技术、秘密分散技术中的任意技术为基础的隐私保护技术。
但是,在专利文献1~5公开的技术和非专利文献1~3公开的技术中,存在无法阶段性地提高隐匿化后的隐匿化数据的精度这样的课题。
即,在专利文献1~5公开的技术和非专利文献1~3公开的技术中,由于无法使隐匿化数据阶段性地接近隐匿化前的数据,因此存在无法实现精度良好的分析这样的课题。
因此,在将专利文献1~5公开的技术和非专利文献1~3公开的技术应用于上述的监护服务的情况下,无法实现精度良好的分析,因此无法准确地掌握家电产品的使用情况,从而无法实现恰当的监护。
本发明的主要目的在于解决上述的课题。即,本发明的主要目的在于,得到能够使隐匿化数据阶段性地接近隐匿化前的数据的结构。
用于解决课题的手段
本发明的隐匿化装置具有:
随机数生成部,其根据多个种子生成多个随机数;
隐匿化部,其使用由所述随机数生成部生成的所述多个随机数,对作为隐匿化对象的隐匿化对象数据进行隐匿化;以及
发送部,其向数据分析装置发送由所述隐匿化部隐匿化后的所述隐匿化对象数据即隐匿化数据,向所述数据分析装置发送所述多个种子中的任意种子。
发明效果
在本发明中,将用于生成在隐匿化中使用的随机数的种子发送到数据分析装置。因此,根据本发明,在数据分析装置中,能够使用发送的种子复原得到随机数,使用复原得到的随机数使隐匿化数据阶段性地接近隐匿化前的数据。
附图说明
图1是示出实施方式1的隐私保护系统的结构例的图。
图2是示出实施方式1的隐私保护系统中的数据流例的图。
图3是示出实施方式1的数据生成装置的结构例的图。
图4是示出实施方式1的数据累计装置的结构例的图。
图5是示出实施方式1的数据扰乱装置的结构例的图。
图6是示出实施方式1的数据分析装置的结构例的图。
图7是示出实施方式1的数据保管处理的流程图。
图8是示出实施方式1的保管数据公开处理的流程图。
图9是示出实施方式1的数据扰乱处理的流程图。
图10是示出实施方式1的种子公开处理中的数据分析装置的动作例的流程图。
图11是示出实施方式1的种子公开处理中的数据生成装置的动作例的流程图。
图12是示出实施方式1的种子公开处理中的数据扰乱装置的动作例的流程图。
图13是示出实施方式1的数据分析处理的动作例的流程图。
图14是示出实施方式1的种子变更处理的流程图。
图15是示出实施方式1的数据累计装置中保管的数据的例子的图。
具体实施方式
以下,使用附图,对本发明的实施方式进行说明。在以下的实施方式的说明和附图中,标注相同标号的部分表示相同的部分或相当的部分。
实施方式1
在本实施方式中,说明通过根据用电量数据分析家电产品的运行历史或个人的行动从而能够应用于进行监护的服务中的隐私保护系统。
在本实施方式的隐私保护系统中,能够进行如下的控制:抑制分析对象数据的劣化(或者阶段性地控制劣化),同时不过度地(换言之,在监护中不需要的)暴露个人的行动。
另外,由于隐私侵犯的考虑是因人而异的,因此在本实施方式的隐私保护系统中,用户能够灵活地指定想要保护的隐私信息。
结构的说明
图1示出本实施方式的隐私保护系统100的结构例。
如图1所示,隐私保护系统100具有数据生成装200、数据累计装置300、数据扰乱装置400以及数据分析装置500。
隐私保护系统100也可以具有多个数据生成装置200。另外,隐私保护系统100也可以具有多个数据累计装置300。此外,隐私保护系统100也可以具有多个数据扰乱装置400。另外,隐私保护系统100也可以具有多个数据分析装置500。
互联网101连接数据生成装置200、数据累计装置300、数据扰乱装置400以及数据分析装置500。
互联网101是网络的例子。也可以是,使用其他种类的网络来代替互联网101。例如,也可以是,通过LAN(Local-Area-Network:局域网)连接数据生成装置200、数据累计装置300、数据扰乱装置400以及数据分析装置500。
数据生成装置200生成将由数据分析装置500分析的数据。并且,数据生成装置200将生成的数据发送给数据累计装置300。数据生成装置200例如生成统计家电设备的消耗电量数据而得到的用电量数据。在这种情况下,数据生成装置200例如是智能仪表。另外,在数据生成装置200是智能仪表的情况下,数据生成装置200能够从图1中未图示的家电设备收集消耗电量数据。在本实施方式中,消耗电量数据表示图1中未图示的一个家电设备消耗的电量。另外,用电量数据表示图1中未图示的全部家电设备的消耗电量的统计值。
在下文中,数据生成装置200生成图1中未图示的全部家电设备的消耗电量的汇集值即用电量数据和包含该用电量的生成时刻的设备数据(D)。
另外,上述用电量数据相当于隐匿化对象数据。另外,由数据扰乱装置400隐匿化后的用电量数据相当于隐匿化数据。
数据生成装置200向数据累计装置300发送与设备数据(D)相关的基本信息。具体而言,基本信息包含作为用电量数据的生成源的家电设备的种类(例如电视或微波炉等)以及该家电设备能取的最大消耗电量等。
数据生成装置200生成这样的基本信息,将生成的基本信息发送给数据累计装置300。在下文中,将该基本信息称作基本信息(B)。在多数情况下,作为基本信息(B)会持续生成相同的数据,但每当更新图1中未图示的家电设备时,基本信息(B)的数据也被更新。
另外,数据生成装置200生成定义有应该隐匿消耗电量和运行历史作为隐私信息的家电设备的列表,将生成的列表发送给数据累计装置300。
具体而言,数据生成装置200根据统计多个家电设备的消耗电量而得到的用电量,生成应该隐匿消耗电量和运行历史的家电设备(以下称作保护对象设备)的列表,将生成的列表发送给数据累计装置300。在下文中,将该列表称作保护对象设备列表(L)。在保护对象设备列表(L)中示出这样地想要从统计多个家电设备的消耗电量而得到的用电量数据中隐匿消耗电量和运行历史的1个或多个家电设备的名称。
另外,数据生成装置200请求变更用于生成随机数的种子。即,数据生成装置200请求数据扰乱装置400变更随机数的种子。例如,在经过了某规定时间时或者种子被心怀恶意的人偷看到时等种子的安全性处于危险状态时,数据生成装置200请求数据扰乱装置400变更种子。
并且,数据生成装置200判定是否允许公开随机数的种子。即,数据生成装置200在从数据分析装置500发送了随机数的种子的公开请求的情况下,判定是否允许公开种子。并且,在允许公开种子的情况下,数据生成装置200指示数据扰乱装置400公开随机数的种子。
数据生成装置200相当于判定装置。
数据累计装置300蓄积从数据生成装置200收集到的数据。因此,数据累计装置300具有大容量的记录介质。
数据扰乱装置400为了保护隐私信息而向用电量数据赋予随机数。即,在需要将发送给数据分析装置500的用电量数据作为隐私信息进行保护的情况下,数据扰乱装置400使用随机数将用电量数据隐匿化。
具体而言,数据扰乱装置400从数据累计装置300接收由数据生成装置200生成的设备数据(D)。并且,如果从数据累计装置300接收到的设备数据(D)包含作为隐匿化对象的用电量数据,则数据扰乱装置400赋予适当的随机数而对该用电量数据进行扰乱。数据扰乱装置400将扰乱后的用电量数据发送给数据分析装置500。
更具体而言,数据扰乱装置400从数据累计装置300接收设备数据(D)、由数据生成装置200生成的基本信息(B)和保护对象设备列表(L)。在该保护对象设备列表(L)中,如上所述,示出应该从用电量数据隐匿消耗电量和运行历史的家电设备。数据扰乱装置400参照保护对象设备列表(L),从基本信息(B)中读出全部保护对象设备列表(L)中示出的家电设备能取的最大的消耗电量,根据其中最大的值生成用于隐匿的随机数。另外,数据扰乱装置400在生成随机数之前,生成用于生成随机数的种子,保管生成的种子。
另外,如果有来自数据生成装置200的种子变更请求,则数据扰乱装置400重新生成种子,变更在随机数的生成中使用的种子。另外,数据扰乱装置400不删除过去使用的种子而将过去使用的种子与新的种子一同继续进行保管。
另外,在被数据生成装置200指示公开在扰乱中使用的种子的情况下,数据扰乱装置400将相应的种子发送给数据分析装置500。在被数据生成装置200指定公开对象期间的情况下,数据扰乱装置400向数据分析装置500仅公开在相应的期间内使用的种子。
另外,数据扰乱装置400相当于隐匿化装置。另外,由数据扰乱装置400进行的动作相当于隐匿化方法和隐匿化程序。
数据分析装置500分析从数据扰乱装置400发送的扰乱后的用电量数据。数据分析装置500例如使用单纯的阈值法或隐马尔可夫模型等的分析技术,分析从数据扰乱装置400发送的扰乱后的用电量数据。并且,数据分析装置500基于分析结果,根据保护对象设备列表(L)所示以外的家电设备的消耗电量和运行历史来估计用户的行动。或者,数据分析装置500使用估计模型分析从数据扰乱装置400发送的扰乱后的用电量数据,估计与电力需求相关性较强的属性(人数、面积等),从而分析并估计用户的行动。
另外,数据分析装置500请求数据生成装置200公开在用电量数据的扰乱中使用的随机数的种子。
另外,由数据分析装置500进行的动作相当于数据分析方法和数据分析程序。
另外,也可以是,将数据生成装置200、数据累计装置300、数据扰乱装置400以及数据分析装置500统一由1个计算机进行实现。但是,在这种情况下,为了使扰乱前的用电量数据不被数据分析装置500阅览,需要采取访问管理等的安全管理措施。
图2示出本实施方式的隐私保护系统100中的数据流的例子。
数据生成装置200生成设备数据(D)、基本信息(B)以及保护对象设备列表(L)。并且,数据生成装置200将设备数据(D)、基本信息(B)以及保护对象设备列表(L)发送给数据累计装置300。
数据累计装置300存储设备数据(D)、基本信息(B)以及保护对象设备列表(L)。
数据分析装置500向数据累计装置300发送保管数据公开请求。在保管数据公开请求中,请求向数据分析装置500公开设备数据(D)。
数据累计装置300响应保管数据公开请求,将设备数据(D)、基本信息(B)以及保护对象设备列表(L)发送给数据扰乱装置400。
数据扰乱装置400参照基本信息(B)和保护对象设备列表(L),使用多个随机数对设备数据(D)进行扰乱。并且,将扰乱后的设备数据(D)作为分析数据(A)发送给数据分析装置500。
数据分析装置500对分析数据(A)进行分析。在需要提高分析数据(A)的分析精度的情况下,即需要从分析数据(A)中部分地去除随机数的情况下,数据分析装置500向数据生成装置200发送种子公开请求。在种子公开请求中,请求公开在生成分析数据(A)时的扰乱中使用的随机数生成中使用的种子。
数据生成装置200在接收种子公开请求时,判定是否向数据分析装置500公开种子。在向数据分析装置500公开种子的情况下,数据生成装置200向数据扰乱装置400发送种子公开请求和允许通知。另外,在不向数据分析装置500公开种子的情况下,数据生成装置200向数据分析装置500发送不允许通知。
数据扰乱装置400在从数据生成装置200接收到种子公开请求和允许通知的情况下,将在生成分析数据(A)时的扰乱中使用的随机数生成中使用的多个种子中的一部分种子作为部分种子(S')发送给数据分析装置500。
数据分析装置500在从数据扰乱装置400接收到部分种子(S')情况下,从部分种子(S')中复原得到随机数,使用复原得到的随机数从分析数据(A)中去除随机数。其结果是,由于分析数据(A)接近隐匿化前的用电量数据,因此分析精度提高。
另外,在需要变更种子的情况下,数据生成装置200向数据扰乱装置400发送种子变更请求。在种子变更请求中,请求变更在随机数的生成中使用的种子。
数据扰乱装置400在接收种子变更请求时,重新生成种子,保管生成的新的种子。并且,数据扰乱装置400在下一次生成随机数时使用新的种子。
图3示出数据生成装置200的结构例。
数据生成装置200是计算机。
数据生成装置200作为硬件具有处理器211、存储装置212、接收接口21、发送接口214以及输入接口215。
另外,数据生成装置200作为功能结构具有数据生成部201、接收部202、输入部203以及发送部204。
在存储装置212中存储有实现数据生成部201、接收部202、输入部203以及发送部204的功能的程序。
并且,处理器211通过执行这些程序,进行后述的数据生成部201、接收部202、输入部203以及发送部204的动作。
在图3中,示意地示出处理器211正在执行实现数据生成部201、接收部202、输入部203以及发送部204的功能的程序的状态。
接收接口213接收各种数据。发送接口214发送各种数据。
输入接口215从操作者处得到各种指示。
数据生成部201生成设备数据(D)和设备的基本信息(B)。如上所述,例如,在设备数据(D)中包含用电量数据和生成该数据的时刻数据。在本实施方式中,将用电量数据表示为“P”,将该生成的时刻数据表示为“TIME”,并且将设备数据(D)表示为D=(P,TIME)。
另外,设备数据(D)的用电量数据(P)是N个家电设备(M1,…,MN)各自的消耗电量(Q1,…,QN)的汇集值P=Q1+…+QN,并且在将家电设备(M1,…,MN)各自能取的最大的消耗电量设为(E1,…,EN)的情况下,在基本信息(B)中示出{(M1,E1),…,(MN,EN)}。另外,也可以是,在基本信息(B)中,除此之外还包含各家电设备的平均耗电量和设置位置等设备的各种信息。
接收部202从数据分析装置500接收种子公开请求。
在接收部202接收到种子公开请求的情况下,输入部203从数据生成装置200的操作者处取得种子(S)的允许公开或不允许公开。
另外,输入部203从操作者处取得种子变更请求。
另外,输入部203对于由数据生成部201生成的设备数据(D),从操作者处取得保护对象设备列表(L)。例如,作为保护对象设备列表(L),示出(M'1,…M'H)。该“M'1,…M'H”相当于基本信息(B)中包含的N个家电设备(M1,…,MN)中的任意一个。其中,H是1以上且N以下的整数。
发送部204将设备数据(D)、设备的基本信息(B)以及保护对象设备列表(L)发送给数据累计装置300。
另外,发送部204在操作者针对种子公开请求输入了允许公开的情况下,将种子公开请求和允许通知成对地发送给数据扰乱装置400。另外,在操作者对种子公开请求输入了“不允许公开”的情况下,发送部204向数据分析装置500发送不允许通知。另外,为了不能伪造允许通知或不允许通知,也可以对允许通知或不允许通知附加电子签名等而提高安全性。
此外,发送部204将种子变更请求发送给数据扰乱装置400。
图4示出数据累计装置300的结构例。
数据累计装置300是计算机。
数据累计装置300作为硬件具有处理器311、存储装置312、接收接口313以及发送接口314。
另外,数据累计装置300作为功能结构具有接收部301、数据存储部302以及发送部303。
在存储装置312中,存储有实现接收部301、数据存储部302以及发送部303的功能的程序。
并且,处理器311通过执行这些程序,进行后述的接收部301、数据存储部302以及发送部303的动作。
在图4中,示意地示出处理器311正在执行实现接收部301、数据存储部302以及发送部303的功能的程序的状态。
接收接口313接收各种数据。发送接口314发送各种数据。
接收部301接收从数据生成装置200发送的设备数据(D)、基本信息(B)以及保护对象设备列表(L)。
另外,接收部301接收从数据分析装置500发送的保管数据公开请求。
数据存储部302将由接收部301接收到的设备数据(D)、基本信息(B)以及保护对象设备列表(L)一起存储在存储装置312中。例如,图15示出存储装置312中存储的数据的组(D,B,L),在每次进行数据保管处理时,将各行记载的数据存储在存储装置312中。
另外,数据存储部302在由接收部301接收到保管数据公开请求的情况下,从存储装置312中读出设备数据(D)、基本信息(B)以及保护对象设备列表(L)。在保管数据公开请求中还包含日期时间的指定的情况下,数据存储部302针对存储装置312中保管的全部组(D,B,L),确认设备数据(D)中包含的时刻数据(TIME),在与指定的日期时间一致的情况下,读出该设备数据(D)、基本信息(B)以及保护对象设备列表(L)的组。这里,将读出的多个组表示为((D1,B1,L1),…,(DT,BT,LT))。其中,T是1以上的整数。如果在存储装置312中不存在与保管数据公开请求指定的日期时间一致的数据的组(D,B,L),则数据存储部302在读出结果中设置表示空集的值。例如,设置0。
发送部303将由数据存储部302读出的设备数据(D)、基本信息(B)以及保护对象设备列表(L)发送给数据扰乱装置400。
图5示出数据扰乱装置400的结构例。
数据扰乱装置400作为硬件具有处理器411、存储装置412、接收接口413以及发送接口414。
另外,数据扰乱装置400作为功能结构具有接收部401、种子生成部402、种子存储部403、随机数生成部404、数据扰乱部405以及发送部406。
在存储装置412中存储有实现接收部401、种子生成部402、种子存储部403、随机数生成部404、数据扰乱部405以及发送部406的功能的程序。
并且,处理器411通过执行这些程序,进行后述的接收部401、种子生成部402、种子存储部403、随机数生成部404、数据扰乱部405以及发送部406的操作。
在图4中,示意性地示出处理器411正在执行实现接收部401、种子生成部402、种子存储部403、随机数生成部404、数据扰乱部405以及发送部406的功能的程序的状态。
接收接口413接收各种数据。发送接口414发送各种数据。
接收部401接收T个从数据累计装置300发送的设备数据(D)、基本信息(B)以及保护对象设备列表(L)的组(D,B,L)。其中,T是1以上的整数。
另外,接收部401从数据生成装置200接收种子公开请求和允许通知。
另外,接收部401从数据生成装置200接收种子变更请求。
种子生成部402生成用于扰乱设备数据(D)的随机数的种子(S)。另外,种子生成部402一次生成多个种子(S1,…,SK)(其中,K是2以上的整数)。另外,将(S1,…,SK)统一称作种子(S)。
种子存储部403将由种子生成部402生成的种子(S=(S1,…,SK))存储在存储装置412中。另外,种子存储部403将种子(S)的存储时刻也存储在存储装置412中。
另外,种子存储部403根据由接收部401接收到的种子公开请求,从存储装置412读出种子(S=(S1,…,SK))的部分种子(S'=(S'1,…,S'J))(其中,J是1以上且K以下的整数,S'1,…,S'J是S1,…,SK中的任意值)。
随机数生成部404使用由接收部401接收到的基本信息(B)、保护对象设备列表(L)以及由种子存储部403读出的种子(S=(S1,…,SK)),生成随机数(R=(R1,…,RK))。
由随机数生成部404进行的动作相当于随机数生成处理。
随机数生成部404例如通过以下的方法生成随机数。
首先,随机数生成部404针对由接收部401接收到的(D,B,L),使用基本信息(B={(M1,E1),…,(MN,EN)}和保护对象设备列表(L=(M'1,…,M'H)),从基本信息(B)中提取与保护对象设备列表(L)相关的信息{(M'1,E'1),…,(M'H,E'H)},确定其中最大能取的最大消耗电量(E)及其家电设备(M)。该确定的消耗电量(E)表示对象设备列表(L)中包含的家电设备中能取的最大的消耗电量中最大的值。
接着,随机数生成部404应用规定的随机数生成算法来生成随机数。
随机数生成部404例如根据具有以下概率密度函数的期望值=0、方差=2R2的拉普拉斯分布LAP生成随机数。
LAP(x|R)=(1/(2R))×(EXP(-|x|/R)
其中,EXP(y)表示自然对数e的y次方。
此时,随机数生成部404针对操作者确定的或者由系统预先确定的表示隐私级别的参数ε以及对象设备列表(L)中包含的家电设备中能取的最大的消耗电量中最大的消耗电量(E),使用种子(S)的一个要素SI,根据LAP(x|E/ε)生成随机数RI。其中,I是1以上且K以下的整数。这样,随机数生成部404使用种子(S=(S1,…,SK)),针对各(D,B,L)生成随机数(R=(R1,…,RK))。即,随机数生成部404针对1个作为隐匿化对象的用电量数据生成多个随机数。
另外,表示隐私等级的参数ε是实数值。参数ε越接近0,隐私等级越高。另外,参数ε越接近0,生成越大的随机数。操作者为了能够在数据分析装置500中对分析数据(A)进行分析,需要调节参数ε。例如,通过根据分析内容事先学习参数ε,能够计算参数ε的最佳值。
另外,也可以是,随机数生成部404不是根据上述的拉普拉斯分布,而是根据公知的期望值=μ、方差=σ2的正态分布N(μ,σ2)生成随机数。
在根据正态分布N(μ,σ2)生成随机数情况下,随机数生成部404针对操作者确定的或者由系统预先确定的表示隐私等级的参数(ε,δ)以及对象设备列表(L)中包含的家电设备中能取的最大的消耗电量中最大的消耗电量(E),首先计算以下的σ。
σ=(E/ε)×(2×LOG(1.25/δ)1/2
其中,LOG(y)表示以自然对数e为底的y的对数。
此后,随机数生成部404使用种子(S)的一个要素SI,根据N(0,σ2)生成随机数RI。其中,I是1以上且K以下的整数。这样,使用种子(S=(S1,…,SK))生成随机数(R=(R1,…,RK))。即,随机数生成部404针对1个作为隐匿化对象的用电量数据生成多个随机数。
与拉普拉斯分布的情况相同,表示隐私等级的参数ε和参数δ分别是实数值。参数ε和参数δ越接近0,隐私等级越高。参数ε和参数δ越接近0,生成越大的随机数。操作者为了能够在数据分析装置500中对分析数据(A)进行分析,需要调节参数ε和参数δ。例如,通过根据分析内容事先学习参数ε和参数δ,能够计算参数ε的最佳值。
在上述例子中,叙述了使用拉普拉斯分布或正态分布的随机数的生成方法,但也可以使用如下的方法:使用在差分隐私技术中也使用的指数分布或其他各种分布,根据表示隐私等级的参数(ε,δ)来生成随机数。并且,当生成在本实施方式中使用的随机数时,使用只要知道种子(S)就能够复原得到生成的随机数(R)的随机数生成技术。例如,在使用种子(S=(S1,…,SK))针对某设备数据(D=(P,TIME))生成随机数(R=(R1,…,RK))情况下,能够根据种子(S)和时间数据(TIME)唯一地(即确定地)生成依据拉普拉斯分布或正态分布等的随机数(R)。更详细而言,使用如下的随机数生成技术:能够使用针对输入确定地输出随机数的函数F,生成随机数(R)作为R1=F(S1,TIME),…,RK=F(SK,TIME)。
数据扰乱部405向由接收部401接收到的设备数据(D)赋予由随机数生成部404生成的随机数(R=(R1,…,RK))而生成分析数据(A)。即,数据扰乱部405为了从设备数据(D)的用电量数据(P)中隐匿保护对象设备列表(L)中示出的保护对象设备的消耗电量和运行历史,使用多个随机数进行隐匿化。
具体地,数据扰乱部405针对设备数据(D=(P,TIME)),将多个随机数与用电量数据(P)相加而对保护对象设备的用电量数据进行隐匿化。例如,在保护对象设备的用电量数据的值是“100”,生成的随机数是11、32、65(K=3)的情况下,数据扰乱部405得到100+11+32+65=208。
这样,数据扰乱部405对用电量数据(P)进行隐匿化而生成隐匿化后的用电量数据(C),生成分析数据(A=(C,TIME)),作为C=P+R1+…+RK
分析数据(A)内的隐匿化后的用电量数据(P)相当于隐匿化数据。
数据扰乱部405相当于隐匿化部。另外,由数据扰乱部405进行的动作相当于隐匿化处理。
发送部406将由数据扰乱部405生成的分析数据(A)发送给数据分析装置500。
另外,发送部406在将分析数据(A)发送给数据分析装置500之后,在由接收部401接收到种子公开请求和允许通知的情况下,将从种子存储部403取得的部分种子(S'=(S'1,…,S'J))发送给数据分析装置500。
由发送部406进行的动作相当于发送处理。
图6示出数据分析装置500的结构例。
数据分析装置500是计算机。
数据分析装置500作为硬件具有处理器511、存储装置512、接收接口513、发送接口514、输入接口515以及输出接口516。
另外,数据分析装置500作为功能结构具有输入部501、发送部502、接收部503、种子存储部504、随机数复原部505、分析部506以及输出部507。
在存储装置512中存储有实现输入部501、发送部502、接收部503、种子存储部504、随机数复原部505、分析部506以及输出部507的功能的程序。
并且,处理器511执行这些程序,进行后述的输入部501、发送部502、接收部503、种子存储部504、随机数复原部505、分析部506以及输出部507的动作。
在图6中,示意性地示出处理器511正在执行实现输入部501、发送部502、接收部503、种子存储部504、随机数复原部505、分析部506以及输出部507的功能的程序的状态。
接收接口513接收各种数据。
发送接口514发送各种数据。
输入接口515从数据分析者处取得各种指示。
输出接口516输出各种信息。
输入部501从数据分析者处取得保管数据公开请求。
另外,输入部501从数据分析者处取得种子公开请求。
发送部502将保管数据公开请求发送给数据累计装置300。例如,在该保管数据公开请求中示出作为取得对象的设备数据(D)的期间。
另外,发送部502向数据生成装置200发送种子公开请求。例如,在该种子公开请求中示出应该提高分析精度的分析数据(A)的期间。在数据扰乱装置400中,响应于种子公开请求,公开在种子公开请求示出的期间内生成的随机数的生成中使用的种子(S)的部分种子(S')。
接收部503接收从数据扰乱装置400发送的分析数据(A1,…,AT)。其中,T是1以上的整数。
另外,接收部503从数据生成装置200接收不允许通知。另外,接收部503从数据扰乱装置400接收部分种子(S')。
接收部503相当于数据接收部和种子接收部。另外,由接收部503进行的动作相当于数据接收处理和种子接收处理。
种子存储部504将由输入部501取得的保管数据公开请求和由接收部503接收的部分种子(S')一同存储到存储装置512中。
另外,种子存储部504根据由接收部503接收到的分析数据(A1,…,AT)中包含的保管时刻的值,从存储装置512读出部分种子(S')。如果没有对应的种子,则种子存储部504将表示空数据的值返回给随机数复原部505。
随机数复原部505使用由种子存储部504读出的部分种子(S'=(S'1,…,S'J)),复原得到为了生成分析数据(A=(C,TIME))的隐匿化数据(C)而使用的随机数的一部分(R'=(R'1,…,R'J))。
即,随机数复原部505将数据扰乱装置400的随机数生成部404根据种子(S)生成随机数时应用的随机数生成算法应用于部分种子(S'),复原得到为了生成分析数据(A)中包含的隐匿化数据(C)而使用的随机数的一部分(R')。
例如,为了根据某分析数据(A=(C,TIME))中包含的隐匿化数据(C=D+R1+…+RK)复原得到随机数的一部分(R'=(R'1,…,R'J)),随机数复原部505能够使用上述随机数复原方法的函数F,针对部分种子(S'=(S'1,…,S'J))和时刻数据(TIME),容易地将随机数的一部分(R')复原得到R'1=F(S'1,TIME),…,R'J=F(S'J,TIME)。
由随机数复原部505进行的动作相当于随机数复原处理。
分析部506使用由接收部503接收到的分析数据(A1,…,AT)进行分析。分析部506例如使用分析数据(A1,…,AT)中包含的隐匿化的用电量数据(P),提取各家电设备的消耗电量和运行历史而分析使用趋势。
另外,分析部506在从随机数复原部505取得了在分析数据(Ai=(Ci,TIME)的隐匿化数据(Ci)的生成中使用的随机数的一部分(R'=(R'1,…,R'J))的情况下,使用(R'i=(R'i1,…,R'iJ))从隐匿化数据(Ci)中去除一部分随机数(R'i)。具体而言,分析部506根据C'i=Ci-R'i1-…-R'iJ生成精度提高分析数据(A'i=(C'i,TIME)),使用该精度提高分析数据(A')进行分析。
由分析部506进行的动作相当于分析处理。
例如,在设备数据(D)中包含的用电量数据(P)的值是100,在数据扰乱装置400中用于扰乱的随机数是11、32、65(K=3)的情况下,分析数据(A)中包含的隐匿化数据(C)的值该保护对象设备的用电量数据的值为100+11+32+65=208。例如,在从数据扰乱装置400发送部分种子S'3且从该部分种子S'3得到65作为随机数的情况下,分析部506可以得到208-65=143。与隐匿化后的值208相比,随机数去除后的值143更接近原来的值100。因此,分析部506针对隐匿化前的用电量(P)可以得到可靠性高的值,能够提高分析精度。另外,在从数据扰乱装置400发送部分种子S'2且从部分种子S'2得到32作为随机数的情况下,分析部506可以得到143-32=111。随机数去除后的值111更接近原来的值100,分析部506能够进一步提高分析精度。
例如,当在数据扰乱装置400中使用K(K≥2)个种子生成K个随机数且使用K个随机数扰乱用电量数据时,发送部502能够反复发送种子公开请求,直到部分种子(S')的接收总数达到(K-1)个为止。并且,数据扰乱装置400的发送部406在数据生成装置200每次允许公开种子时,将未发送的部分种子(S')发送给数据分析装置500,直到部分种子(S')的发送总数达到(K-1)个为止。另外,数据分析装置500的接收部503在每次从数据扰乱装置400发送部分种子(S')时,反复接收部分种子(S')。
这样,分析部506能够阶段性地从隐匿化数据(C)中去除随机数,阶段性地使隐匿化的值接近隐匿化前的值。
另外,这里说明了数据分析装置500阶段性地请求公开部分种子(S'),数据扰乱装置400阶段性地公开部分种子(S')的例子,但也可以是,数据分析装置500请求一次公开(K-1)个部分种子(S'),数据扰乱装置400一次公开(K-1)个部分种子(S')。
分析部506通过从隐匿化数据(C)中去除随机数而得到与本来的值接近的值,从而能够如下所述估计监护对象者的状态。
例如,假设每天在某时间段内某家电设备的电力消耗量处于既定的标准范围内的情况下,使用估计为监护对象者没有异常这样的估计基准。例如,设标准范围是80~130的范围。虽然将上述的随机数去除前的用电量的值:208判定为处于标准范围外,但将随机数去除后的用电量的值:111判定为处于标准范围内。
另外,分析部506还能够进行更复杂的分析。例如,分析部506也可以进行专利文献4中记载的分析。另外,分析部506也可以进行专利文献5中记载的分析。
输出部507输出分析部506的分析结果。例如,输出部507输出用户活动的时间段或用户不活动的时间段等的信息作为分析结果。
***动作的说明***
接着,参照流程图对本实施方式的隐私保护系统100的动作例进行说明。
图7是示出隐私保护系统100的数据保管处理的流程图。
图7的步骤S601~S603是由数据生成装置200执行的。步骤S604~S605是由数据累计装置300执行的。
在步骤S601中,数据生成部201生成设备数据(D)和基本信息(B)。
在步骤S602中,输入部203取得记述保护对象设备的保护对象设备列表(L)。
在步骤S603中,发送部204将在步骤S601中生成的设备数据(D)和基本信息(B)、以及在步骤S602中输入的保护对象设备列表(L)发送给数据累计装置300。
在步骤S604中,接收部301接收在步骤S603中发送的设备数据(D)、基本信息(B)以及保护对象设备列表(L)。
在步骤S605中,数据存储部302将在步骤S604中接收到的设备数据(D)、基本信息(B)以及保护对象设备列表(L)相关联地存储在存储装置312中。另外,数据存储部302将设备数据(D)、基本信息(B)以及保护对象设备列表(L)的存储时刻存储在存储装置312中。
通过以上步骤,数据保管处理完成。
图8是示出隐私保护系统100的保管数据公开处理的流程图。
图9是示出隐私保护系统100的数据扰乱处理的流程图。
步骤S701~S702以及步骤S713~S715是由数据分析装置500执行的。步骤S703~S705是由数据累计装置300执行的。步骤S706~S712是由数据扰乱装置400执行的。
在步骤S701中,输入部501取得保管数据公开请求。如上所述,在保管数据公开请求中示出数据累计装置300中保管的设备数据(D)中的作为取得对象的设备数据(D)的期间。
在步骤S702中,发送部502将在步骤S701中取得的保管数据公开请求发送给数据累计装置300。
在步骤S703中,接收部301接收在步骤S702中发送的保管数据公开请求。
在步骤S704中,数据存储部302从接收部301取得在步骤S703中接收到的保管数据公开请求,根据保管数据公开请求,读出保管数据。保管数据是设备数据(D)、设备的基本信息(B)以及保护对象设备列表(L)的组。数据存储部302可以读出1组保管数据,在对保管数据公开请求指定了多个日期时间的情况下,也可以读出多组保管数据。
在步骤S705中,发送部303将在步骤S704中提取的保管数据发送给数据扰乱装置400。
在步骤S706中,接收部401接收在步骤S705中发送的保管数据。
在步骤S707中,种子存储部403确认种子(S)是否被保管在存储装置412中。
在种子(S)被保管在存储装置412中的情况下,在步骤S708中,种子存储部403从存储装置412中读出保管着的种子(S)。
在种子(S)没有被保管在存储装置412中的情况下,在步骤S709中,种子生成部402生成种子(S=(S1,…,SK)),并且种子存储部403将生成的种子(S)存储在存储装置412中。
在步骤S710中,随机数生成部404从接收部401取得在步骤S706中接收到的保管数据中的基本信息(B)和保护对象设备列表(L)。另外,随机数生成部404从种子存储部403取得在步骤S708中读出的种子(S)或在步骤S709中生成的种子(S)。然后,随机数生成部404根据种子(S)、基本信息(B)以及保护对象设备列表(L),如上所述生成随机数(R=(R1,…,RK))。
另外,在步骤S706中接收到的设备数据(D)为多个(T个)的情况下,随机数生成部404生成T个随机数R1=(R11,…,R1K),…,RT=(RT1,…,RTK)。
在步骤S711中,数据扰乱部405从接收部401取得在步骤S706中接收到的保管数据中的设备数据(D)。另外,数据扰乱部405从随机数生成部404取得在步骤S710中生成的随机数(R=(R1,…,RK))。然后,数据扰乱部405使用随机数(R=(R1,…,RK))扰乱设备数据(D)中包含的用电量数据(P),生成分析数据(A)。如上所述,数据扰乱部405生成分析数据(A=(C,TIME))作为C=P+R1+…+RK。另外,在步骤S706中接收到的设备数据(D)为多个(T个)的情况下,数据扰乱部405针对多个设备数据(D1=(P1,TIME1),…,DT=(PT,TIMET),生成T个分析数据(A1=(C1,TIME1),…,AT=(CT,TIMET))作为C1=P1+R1+…+R1K,…,CT=PT+RT1+…+RTK
在步骤S712中,发送部406从数据扰乱部705取得在步骤S711中生成的分析数据(A),将分析数据(A)发送给数据分析装置500。
在步骤S713中,接收部503接收在步骤S712中发送的分析数据(A)。
在步骤S714中,分析部506从接收部503取得在步骤S713中接收到的分析数据(A),对分析数据(A)进行分析。步骤S714的详情容后再述。
在步骤S715中,输出部507从分析部506取得在步骤S714中生成的分析结果并输出分析结果。
通过以上步骤,数据分析处理完成。
图10、图11以及图12是示出隐私保护系统100的种子公开处理的流程图。
步骤S801~S802以及步骤S811~S816是由数据分析装置500执行的。步骤S803~S807是由数据生成装置200执行的。步骤S808~S810是由数据扰乱装置400执行的。
在步骤S801中,输入部501从数据分析者处取得种子公开请求。
在步骤S802中,发送部502将在步骤S801中取得的种子公开请求发送给数据生成装置200。
在步骤S803中,接收部202接收在步骤S802中发送的种子公开请求。
在步骤S804中,输入部203针对在步骤S803中接收到的种子公开请求,从操作员处取得公开的允许或不允许。
在步骤S805中,发送部204判定在步骤S804中由操作员输入了允许还是不允许。
在由操作者输入了不允许的情况下,在步骤S806中,发送部204向数据分析装置500发送不允许通知。在该情况下,不执行以后的步骤S807~S810。
另一方面,在由操作者输入了允许的情况下,在步骤S807中,发送部204向数据扰乱装置400发送种子公开请求和允许通知。另外,如上所述,为了不能伪造允许通知,也可以对允许通知附加电子签名而提高安全性。
在步骤S808中,接收部401接收在步骤S807中发送的种子公开请求和允许通知。
在步骤S809中,种子存储部403从接收部401取得在步骤S808中接收的种子公开请求和允许通知。然后,种子存储部403读取与种子公开请求中包含的期间相关的数据,提取作为对应的种子(S)的一部分的部分种子(S'=(S'1,…,S'J))。
在步骤S810中,发送部406向数据分析装置500发送在步骤S809中提取出的部分种子(S'=(S'1,…,S'J))。
在步骤S811中,接收部503从数据生成装置200接收在步骤S806中发送的不允许通知,或者从数据扰乱装置400接收在步骤S810中发送的部分种子(S')。
在步骤S812中,接收部503判定在步骤S811中接收到的数据是否是部分种子(S')。
在接收到的数据不是部分种子(S')的情况下,即接收到不允许通知的情况下,在步骤S813中,输出部507输出表示不允许公开种子的消息。
另一方面,在接收到的数据是部分种子(S')的情况下,在步骤S814中,种子存储部504将种子公开请求与部分种子(S')相关联地存储在存储装置512中。
在步骤S815中,输出部507输出表示允许公开种子的消息。
在步骤S816中,分析部506进行图8的步骤S714,另外,输出部507进行图8的步骤S715。即,分析部506进行精度提高分析数据(A')的分析,输出部507输出分析结果。
通过以上处理,种子公开处理完成。
图13是示出图8的步骤S714所示的数据分析处理的流程图。
在步骤S1001中,随机数复原部505根据部分种子(S'),复原得到数据扰乱装置400中用于扰乱的多个随机数(R)中的一部分随机数(R')。
更具体地,随机数复原部505指示种子存储部504读出部分种子(S')。种子存储部504从存储装置512读出部分种子(S'),将读出的部分种子(S')传送到随机数复原部505。随机数复原部505通过将在数据扰乱装置400中应用的随机数生成算法应用于部分种子(S')来复原得到一部分随机数(R')。然后,随机数复原部505将复原得到的一部分随机数(R')传送给分析部506。
另外,在存储装置512中没有保管部分种子(S')的情况下,随机数复原部505通知分析部506无法复原得到随机数。在该情况下,不执行后述的步骤S1002。
在步骤S1002中,分析部506从分析数据(A)的隐匿化数据(C)中去除一部分随机数(R'),生成精度提高分析数据(A')。
即,分析部506通过C'=C-R'1-…-R'J生成精度提高分析数据(A'=(C',TIME))。
在步骤S1003中,分析部506对分析数据(A)或精度提高分析数据(A')进行分析。
在从数据扰乱装置400没有接收到部分种子(S')的情况下,分析部506对分析数据(A)进行分析。另外,当从数据扰乱装置400已经接收到部分种子(S')且在步骤S1002中生成了精度提高分析数据(A')的情况下,分析部506对精度提高分析数据(A')进行分析。
图14是示出隐私保护系统100的种子变更处理的流程图。
步骤S901~S902是由数据生成装置200执行的。步骤S903~S905是由数据扰乱装置400执行的。
在步骤S901中,输入部203从操作员处取得随机数的种子变更请求。
在步骤S902中,发送部204将在步骤S901中取得的种子变更请求发送给数据扰乱装置400。
在步骤S903中,接收部401接收在步骤S902中发送的种子变更请求。
在步骤S904中,种子生成部402根据在步骤S903中接收到的种子变更请求,生成随机数的种子(S)。
在步骤S905中,种子存储部403将在步骤S904中生成的种子(S)存储在存储装置512中。
通过以上处理,种子变更处理完成。
***实施方式的效果的说明***
在本实施方式中,由于用户作为隐匿对象选择出的数据被扰乱,因此能够保护用户的隐私。
并且,在使用扰乱后的数据的分析中需要提高分析精度的情况下,公开用于生成在扰乱中使用的随机数的种子,能够从扰乱后的数据中阶段性地去除随机数。因此,根据本实施方式,能够根据种子的公开度调整数据分析的精度。
另外,在本实施方式中,不必从用电量数据中隐匿全部家电设备的消耗电量或运行历史,用户通过灵活地选择作为隐匿对象的家电设备而不会将数据的精度过度降低,因此能够兼顾数据的隐匿化和分析。
另外,在本实施方式中,通过更新种子,能够提高扰乱后的数据的安全性。
***硬件结构的说明***
最后,对数据生成装置200、数据累计装置300、数据扰乱装置400以及数据分析装置500的硬件结构进行补充说明。
处理器211、处理器311、处理器411以及处理器511是进行处理的IC(IntegratedCircuit:集成电路)。
处理器211、处理器311、处理器411以及处理器511是CPU(Central ProcessingUnit:中央处理单元)、DSP(Digital Signal Processor:数字信号处理器)等。
存储装置212、存储装置312、存储装置412以及存储装置512是RAM(Random AccessMemory:随机存取存储器)、ROM(Read Only Memory:只读存储器)、闪速存储器、HDD(HardDisk Drive:硬盘驱动器)等。
接收接口213、接收接口313、接收接口413、接收接口513,以及发送接口214、发送接口314、发送接口414以及发送接口514例如是通信芯片或NIC(Network Interface Card:网络接口卡)。
输入接口215和输入接口515是与鼠标、键盘等输入装置之间的接口。
输出接口516是与显示器、扬声器等输出装置之间的接口。
另外,在存储装置212、存储装置312、存储装置412以及存储装置512中还存储有OS(Operating System:操作系统)。
处理器211、处理器311、处理器411以及处理器511执行OS的至少一部分。
通过处理器211、处理器311、处理器411以及处理器511执行OS而进行任务管理、存储器管理、文件管理、通信控制等。
另外,在数据生成装置200中,表示数据生成部201、接收部202、输入部203以及发送部204的处理结果的信息、数据、信号值、变量值存储在存储装置212、处理器211内的寄存器以及高速缓冲存储器中的至少一方。
另外,实现数据生成部201、接收部202、输入部203以及发送部204的功能的程序可以存储在磁盘、软盘、光盘、紧凑盘、蓝光(注册商标)光盘、DVD等的移动存储介质中。
另外,在数据累计装置300中,表示接收部301、数据存储部302以及发送部303的处理结果的信息、数据、信号值、变量值存储在存储装置312、处理器311内的寄存器以及高速缓冲存储器中的至少一方。
另外,实现接收部301、数据存储部302以及发送部303的功能的程序可以存储在磁盘、软盘、光盘、紧凑盘、蓝光(注册商标)光盘、DVD等的移动存储介质中。
另外,在数据扰乱装置400中,表示接收部401、种子生成部402、种子存储部403、随机数生成部404、数据扰乱部405以及发送部406的处理的结果的信息、数据、信号值以及变量值存储在存储装置412、处理器411内的寄存器以及高速缓冲存储器中的至少一个中。
另外,实现接收部401、种子生成部402、种子存储部403、随机数生成部404、数据扰乱部分405以及发送部406的功能的程序可以存储在磁盘、软盘、光盘、紧凑盘、蓝光(注册商标)光盘、DVD等的移动存储介质中。
另外,在数据分析装置500中,表示输入部501、发送部502、接收部503、种子存储部504、随机数复原部505、分析部506以及输出部507的处理结果的信息、数据、信号值、变量值存储在存储装置512、处理器511内的寄存器以及高速缓冲存储器中的至少一方。
另外,实现输入部501、发送部502、接收部503、种子存储部504、随机数复原部505、分析部506以及输出部507的功能的程序可以存储在磁盘、软盘、光盘、紧凑盘、蓝光(注册商标)光盘、DVD等的移动存储介质中。
另外,数据生成部201、接收部202、输入部203、发送部204、接收部301、数据存储部302、发送部303、接收部401、种子生成部402、种子存储部403、随机数生成部404、数据扰乱部405、发送部406、输入部501、发送部502、接收部503、种子存储部504、随机数复原部505、分析部506以及输出部507的“部”也可以改写成“电路”或“工序”或“步骤”或“处理”。
另外,数据生成装置200、数据累计装置300、数据扰乱装置400以及数据分析装置500也可以由逻辑IC(Integrated Circuit:集成电路)、GA(Gate Array:门阵列)、ASIC(Application Specific Integrated Circuit:面向特定用途的集成电路)、FPGA(Field-Programmable Gate Array:现场可编程门阵列)这样的电子电路实现。
另外,也将处理器和上述电子电路总称作处理线路。
标号说明
100:隐私保护系统;200:数据生成装置;201:数据生成部;202:接收部;203:输入部;204:发送部;211:处理器;212:存储装置;213:接收接口;214:发送接口;215:输入接口;300:数据累计装置;301:接收部;302:数据存储部;303:发送部;311:处理器;312:存储装置;313:接收接口;314:发送接口;400:数据扰乱装置;401:接收部;402:种子生成部;403:种子存储部;404:随机数生成部;405:数据扰乱部;406:发送部;411:处理器;412:存储装置;413:接收接口;414:发送接口;500:数据分析装置;501:输入部;502:发送部;503:接收部;504:种子存储部;505:随机数复原部;506:分析部;507:输出部;511:处理器;512:存储装置;513:接收接口;514:发送接口;515:输入接口;516:输出接口。

Claims (14)

1.一种隐匿化装置,该隐匿化装置具有:
随机数生成部,其根据多个种子生成多个随机数;
隐匿化部,其使用由所述随机数生成部生成的所述多个随机数,对作为隐匿化对象的隐匿化对象数据进行隐匿化;以及
发送部,其向数据分析装置发送由所述隐匿化部隐匿化后的所述隐匿化对象数据即隐匿化数据,向所述数据分析装置发送所述多个种子中的任意种子。
2.根据权利要求1所述的隐匿化装置,其中,
所述随机数生成部将随机数生成算法应用于所述多个种子而生成所述多个随机数,
所述发送部向所述数据分析装置发送所述隐匿化数据,其中,所述数据分析装置能够将所述随机数生成算法应用于种子而复原得到与所述随机数生成部生成的随机数相同的随机数,能够使用复原得到的随机数从所述隐匿化数据中去除随机数。
3.根据权利要求1所述的隐匿化装置,其中,
在向所述数据分析装置发送所述隐匿化数据后存在来自所述数据分析装置的种子公开请求,且被判定是否允许公开种子的判定装置允许公开种子的情况下,所述发送部向所述数据分析装置发送所述多个种子中的任意种子。
4.根据权利要求3所述的隐匿化装置,其中,
所述随机数生成部使用K(K≥2)个种子生成K个随机数,
直至向所述数据分析装置发送种子的发送总数达到(K-1)个为止,每当存在来自所述数据分析装置的种子公开请求且被所述判定装置允许公开种子时,所述发送部向所述数据分析装置发送未发送给所述数据分析装置的种子。
5.根据权利要求1所述的隐匿化装置,其中,
所述隐匿化部将表示多个设备的消耗电量的汇集值的用电量数据作为所述隐匿化对象数据,使用所述多个随机数进行隐匿化,
所述随机数生成部使用从所述多个设备中作为隐匿消耗电量的对象而选择出的设备能取的最大消耗电力,生成所述多个随机数。
6.一种数据分析装置,该数据分析装置具有:
数据接收部,其从隐匿化装置接收由所述隐匿化装置使用根据多个种子生成的多个随机数隐匿化后的隐匿化数据;
种子接收部,其从所述隐匿化装置接收所述多个种子中的任意种子;
随机数复原部,其根据由所述种子接收部接收到的种子,复原得到所述多个随机数中的任意随机数;以及
分析部,其使用由所述随机数复原部复原得到的随机数,从所述隐匿化数据中去除随机数。
7.根据权利要求6所述的数据分析装置,其中,
所述随机数复原部将在所述隐匿化装置根据所述多个种子生成所述多个随机数时使用的随机数生成算法应用于由所述种子接收部接收到的种子,复原得到所述多个随机数中的任意随机数。
8.根据权利要求6所述的数据分析装置,其中,
所述数据分析装置还具有发送部,该发送部向判定是否允许公开种子的判定装置发送请求公开种子的种子公开请求,
所述种子接收部在被所述判定装置允许公开种子的情况下,从所述隐匿化装置接收所述多个种子中的任意种子。
9.根据权利要求8所述的数据分析装置,其中,
所述发送部反复向所述判定装置发送所述种子公开请求,
所述种子接收部反复从所述隐匿化装置接收种子。
10.根据权利要求6所述的数据分析装置,其中,
所述数据接收部接收所述隐匿化数据,所述隐匿化数据是使用所述多个随机数对表示多个设备的消耗电量的汇集值的用电量数据进行隐匿化而得到的,其中,所述多个随机数是使用从所述多个设备中作为隐匿消耗电量的对象而选择出的设备能取的最大消耗电力而生成的。
11.一种隐匿化方法,其中,
计算机根据多个种子生成多个随机数,
所述计算机使用生成的所述多个随机数,对作为隐匿化对象的隐匿化对象数据进行隐匿化,
所述计算机向数据分析装置发送隐匿化后的所述隐匿化对象数据即隐匿化数据,向所述数据分析装置发送所述多个种子中的任意种子。
12.一种数据分析方法,其中,
计算机从隐匿化装置接收由所述隐匿化装置使用根据多个种子生成的多个随机数隐匿化后的隐匿化数据,
所述计算机从所述隐匿化装置接收所述多个种子中的任意种子,
所述计算机根据接收到的种子,复原得到所述多个随机数中的任意随机数,
所述计算机使用复原得到的随机数从所述隐匿化数据中去除随机数。
13.一种隐匿化程序,该隐匿化程序使计算机执行如下处理:
随机数生成处理,根据多个种子生成多个随机数;
隐匿化处理,使用在所述随机数生成处理中生成的所述多个随机数,对作为隐匿化对象的隐匿化对象数据进行隐匿化;以及
发送处理,向数据分析装置发送在所述隐匿化处理中隐匿化后的所述隐匿化对象数据即隐匿化数据,向所述数据分析装置发送所述多个种子中的任意种子。
14.一种数据分析程序,该数据分析程序使计算机执行如下处理:
数据接收处理,从隐匿化装置接收由所述隐匿化装置使用根据多个种子生成的多个随机数隐匿化后的隐匿化数据;
种子接收处理,从所述隐匿化装置接收所述多个种子中的任意种子;
随机数复原处理,根据在所述种子接收处理中接收到的种子,复原得到所述多个随机数中的任意随机数;以及
分析处理,使用在所述随机数复原处理中复原得到的随机数,从所述隐匿化数据中去除随机数。
CN201680091531.3A 2016-12-19 2016-12-19 隐匿化装置、数据分析装置、隐匿化方法、数据分析方法以及计算机能读取的存储介质 Active CN110088756B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2016/087854 WO2018116366A1 (ja) 2016-12-19 2016-12-19 秘匿化装置、データ分析装置、秘匿化方法、データ分析方法、秘匿化プログラム及びデータ分析プログラム

Publications (2)

Publication Number Publication Date
CN110088756A true CN110088756A (zh) 2019-08-02
CN110088756B CN110088756B (zh) 2023-06-02

Family

ID=62625999

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680091531.3A Active CN110088756B (zh) 2016-12-19 2016-12-19 隐匿化装置、数据分析装置、隐匿化方法、数据分析方法以及计算机能读取的存储介质

Country Status (4)

Country Link
US (1) US11163895B2 (zh)
JP (1) JP6501989B2 (zh)
CN (1) CN110088756B (zh)
WO (1) WO2018116366A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110755727B (zh) 2018-07-26 2023-11-28 林信涌 可电耦接云端监控系统的氢气产生器及其云端监控系统
EP3844905A1 (en) * 2018-10-25 2021-07-07 Sony Corporation Privacy-preserving mobility as a service supported by blockchain
US11271724B2 (en) * 2019-02-21 2022-03-08 Quantum Lock, Inc. One-time-pad encryption system and methods

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060075135A1 (en) * 2004-10-01 2006-04-06 Microsoft Corporation Effective protection of computer data traffic in constrained resource scenarios
US20060085644A1 (en) * 2004-10-15 2006-04-20 Kabushiki Kaisha Toshiba Information processing apparatus and information processing method
CN103403781A (zh) * 2011-03-10 2013-11-20 日本电信电话株式会社 隐匿积和结合系统、计算装置、隐匿积和结合方法、以及其程序

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4619045B2 (ja) * 2004-06-07 2011-01-26 エヌ・ティ・ティ・コミュニケーションズ株式会社 データ秘匿装置、データ秘匿方法、及びデータ秘匿プログラム
JP5070133B2 (ja) * 2008-05-30 2012-11-07 一般財団法人電力中央研究所 データ収集システム、データ収集方法およびデータ収集プログラム
JP5307499B2 (ja) 2008-10-06 2013-10-02 日本電信電話株式会社 データ集計システム、撹乱装置、再構築装置、データ集計方法、撹乱プログラム、および再構築プログラム
JP2010231528A (ja) 2009-03-27 2010-10-14 Kddi Corp 秘匿性評価値の計算装置、計算方法、及び計算用プログラム
US8588410B2 (en) * 2009-04-06 2013-11-19 Elster Electricity, Llc Simplified secure symmetrical key management
JP5475610B2 (ja) 2009-10-07 2014-04-16 日本電信電話株式会社 撹乱装置、撹乱方法及びプログラム
JP2012058998A (ja) 2010-09-08 2012-03-22 Toshiba Corp サーバ、課金サーバ、電力使用量計算システム及びプログラム
JP5475608B2 (ja) * 2010-10-01 2014-04-16 日本電信電話株式会社 撹乱システム、撹乱装置、撹乱方法及びプログラム
WO2012063546A1 (ja) 2010-11-09 2012-05-18 日本電気株式会社 匿名化装置及び匿名化方法
US8375030B2 (en) 2010-12-03 2013-02-12 Mitsubishi Electric Research Laboratories, Inc. Differentially private aggregate classifier for multiple databases
KR20120070873A (ko) * 2010-12-22 2012-07-02 한국전자통신연구원 부채널 방지 마스킹 덧셈 연산 장치
JP5208226B2 (ja) 2011-01-31 2013-06-12 三菱電機株式会社 生活シーン特定装置、生活シーン特定プログラム、及び生活シーン特定方法
US20130333024A1 (en) * 2011-03-04 2013-12-12 Nec Corporation Random value identification device, random value identification system, and random value identification method
JP5323113B2 (ja) * 2011-03-16 2013-10-23 株式会社東芝 電力利用調整装置、システムおよびプログラム
US9559844B2 (en) * 2011-11-09 2017-01-31 Kddi Corporation Non-linear processor, stream-cipher encrypting device, stream-cipher decrypting device, mask processing method, stream-cipher encrypting method, stream-cipher decrypting method, and program
JP5639094B2 (ja) 2012-01-26 2014-12-10 日本電信電話株式会社 データベース撹乱パラメータ決定装置、データベース撹乱システム及び方法並びにデータベース撹乱装置
JP5836152B2 (ja) * 2012-02-21 2015-12-24 三菱電機株式会社 秘匿集計システム、秘匿集計方法、秘匿集計プログラム、データ撹乱装置、データ撹乱方法およびデータ撹乱プログラム
US8750508B2 (en) 2012-06-15 2014-06-10 Mitsubishi Electric Research Laboratories, Inc. Method for outsourcing data for secure processing by untrusted third parties
JP5914291B2 (ja) 2012-10-17 2016-05-11 日本電信電話株式会社 遷移確率算出装置、集計値算出装置、遷移確率算出方法、集計値算出方法
JP6021178B2 (ja) 2012-10-17 2016-11-09 日本電信電話株式会社 ノイズ加算装置、ノイズ加算方法、およびプログラム
US8893292B2 (en) 2012-11-14 2014-11-18 Mitsubishi Electric Research Laboratories, Inc. Privacy preserving statistical analysis for distributed databases
JP5575212B2 (ja) 2012-12-03 2014-08-20 三菱電機株式会社 異常検出装置、異常検出方法、及びプログラム
JP5875535B2 (ja) 2013-01-18 2016-03-02 日本電信電話株式会社 匿名化装置、匿名化方法、プログラム
JP5875536B2 (ja) 2013-01-18 2016-03-02 日本電信電話株式会社 匿名化装置、匿名化方法、プログラム
US10146958B2 (en) 2013-03-14 2018-12-04 Mitsubishi Electric Research Laboratories, Inc. Privacy preserving statistical analysis on distributed databases
JP2014211761A (ja) 2013-04-18 2014-11-13 日本電信電話株式会社 解析装置、解析方法及び解析プログラム
US20170161519A1 (en) 2013-11-28 2017-06-08 Nec Corporation Information processing device, information processing method and recording medium
JP6342700B2 (ja) 2014-05-01 2018-06-13 トヨタ自動車株式会社 電力消費行動推定装置
JP6310345B2 (ja) 2014-06-30 2018-04-11 株式会社Nttドコモ プライバシー保護装置、プライバシー保護方法及びデータベース作成方法
JP6301767B2 (ja) 2014-07-28 2018-03-28 株式会社日立ソリューションズ パーソナル情報匿名化装置
US10325329B2 (en) * 2014-12-12 2019-06-18 Mcafee, Inc. Smart home security of metered data using a mask

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060075135A1 (en) * 2004-10-01 2006-04-06 Microsoft Corporation Effective protection of computer data traffic in constrained resource scenarios
US20060085644A1 (en) * 2004-10-15 2006-04-20 Kabushiki Kaisha Toshiba Information processing apparatus and information processing method
CN103403781A (zh) * 2011-03-10 2013-11-20 日本电信电话株式会社 隐匿积和结合系统、计算装置、隐匿积和结合方法、以及其程序

Also Published As

Publication number Publication date
WO2018116366A1 (ja) 2018-06-28
US11163895B2 (en) 2021-11-02
JP6501989B2 (ja) 2019-04-17
JPWO2018116366A1 (ja) 2019-04-25
CN110088756B (zh) 2023-06-02
US20190303593A1 (en) 2019-10-03

Similar Documents

Publication Publication Date Title
Ul Islam et al. A novel anomaly detection algorithm for sensor data under uncertainty
EP2814218B1 (en) Detecting anomalies in work practice data by combining multiple domains of information
Gao et al. Evaluation and optimization of distributed machine learning techniques for internet of things
US20170277582A1 (en) Identification of distinguishable anomalies extracted from real time data streams
Bonawitz et al. Federated learning and privacy
CN110088756A (zh) 隐匿化装置、数据分析装置、隐匿化方法、数据分析方法、隐匿化程序以及数据分析程序
CN103518200B (zh) 确定网络位置的唯一访问者
Gonzalez et al. Variational autoencoders for anomaly detection in the behaviour of the elderly using electricity consumption data
Bugeja et al. Is your home becoming a spy? A data-centered analysis and classification of smart connected home systems
de Leoni et al. The benefits of sensor-measurement aggregation in discovering IoT process models: a smart-house case study
Kamarthi et al. CAMul: Calibrated and Accurate Multi-view Time-Series Forecasting
Funde et al. Security aware information classification in health care big data
Elezaj et al. Data-driven machine learning approach for predicting missing values in large data sets: A comparison study
Kilincer et al. An automated internet of behavior detection method based on feature selection and multiple pooling using network data
Gowda et al. Real-Time Tweets Streaming and Comparison Using Naïve Bayes Classifier
Patil et al. Enhancing web navigation usability using web usage mining techniques
JP5665685B2 (ja) 重要度判定装置、重要度判定方法およびプログラム
Mohammed et al. Detection and segmentation the affected brain using ThingSpeak platform based on IoT cloud analysis
Khan et al. Anomaly detection in IoT-based healthcare: machine learning for enhanced security
Sundaram et al. Preventing Reverse Engineering of Critical Industrial Data with DIOD
Mwitondi et al. An iterative multiple sampling method for intrusion detection
Shrihari et al. Enhanced efficient and security in big data using TDES and machine learning technique
Ramu et al. Protecting big data mining association rules using fuzzy system
Hruschka et al. On the influence of imputation in classification: practical issues
CN117174233B (zh) 一种基于健康大数据的管理平台

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant