CN110245297B - 一种面向图书关键词搜索的用户主题隐私保护方法及系统 - Google Patents

Abstract

本发明公开了一种面向图书关键词搜索的用户主题隐私保护方法及系统。所述方法包括(1)获取当前用户查询与用户历史查询序列合成用户查询序列；(2)对用户查询序列构造伪图书查询序列使得所述伪图书查序列查询结果准确、隐私安全且查询高效性最高；(3)执行伪查询序获得中间图书记录集，在中间图书记录集上由可信端执行当前用户查询，获得结果图书记录集返回给用户。所述系统包括运行在可信客户端，与运行用户界面的客户端、不可信的服务器信号相连，包括：用户查询获取模块、伪查询构造模块、以及结果筛选模块。本发明通过精心修改用户查询序列，在不损害查询准确性的前提下，模糊用户真实图书查询主题，有效保护用户主题隐私安全。

Description

一种面向图书关键词搜索的用户主题隐私保护方法及系统

技术领域

本发明属于隐私保护领域，更具体地，涉及一种面向图书关键词搜索的用户主题隐私保护方法及系统。

背景技术

随着互联网的迅速发展，网上文本数据持续爆炸增长，文本搜索服务能根据用户提供的查询关键词，帮助用户从海量文本文档中快速地获取目标数据，已成为最热门的网络信息服务之一。关键字图书搜索服务是指从数字图书数据库中获取包含用户指定关键词的目标图书信息，是数字图书馆最重要和最常见的信息服务之一，也是一类常见的具有代表性的文本搜索服务。

虽然关键字图书搜索服务能帮助用户直观有效地获取非结构图书数据，然而，用户查询本身可能会潜在地泄露用户感兴趣的敏感主题(例如，用户频繁检索刑事心理类图书，则表明用户很可能对“犯罪心理”主题感兴趣)。随着云计算等新网络技术迅速发展，文本搜索服务器正变得越来越不可信。用户查询被不可信服务器端(即检索算法宿主)大量收集，对用户主题隐私安全构成了严重威胁，正引起人们极大关注，如何有效地保护用户隐私安全，例如面向图书关键词搜索的用户主题隐私保护，已成为文本搜索服务亟待解决的重要问题。

为此，针对不可信网络环境下的用户隐私安全问题，信息科学领域学者给出了许多有效方法，代表性地有：隐私加密、掩盖变换、哑元法和匿名化等。①隐私加密是指通过加密变换，使得用户服务请求对服务器端完全不可见，以达到隐私保护的目的，代表性地有隐私信息检索技术。然而，该类技术不仅要求额外硬件和复杂算法的支持，并且要求改变服务器端的信息服务算法，从而引起整个信息服务平台架构的改变，降低了方法的实际可用性。②敏感数据掩盖变换是指通过伪造数据或者使用一般化数据来掩盖涉及用户敏感偏好的服务请求数据。由于改写了用户服务请求数据，该类方法对服务的准确性通常会造成一定负面影响，即其隐私保护需以牺牲服务质量为代价，难以满足文本搜索实际应用需求。③哑元法是在用户服务请求暴露给服务器之前，预先加入哑元服务请求，并将哑元请求和真实请求一起发送给不可信服务器端，使得服务器难以获得用户真实请求数据。然而，这类技术依赖于哑元的构造质量，容易遭受基于数据特征的挖掘威胁，影响用户隐私保护效果。④匿名化技术是用户隐私保护中广泛使用的一种技术，它通过隐藏或伪装用户身份标识信息，允许用户以不暴露身份的方式使用系统。然而，现代数字图书馆提供的图书搜索服务，一般要求用户必须实名登录后才能使用服务，所以，匿名化技术难以有效地应用于现代信息服务平台，以保护用户隐私。

综上所述，可以看出有效的针对数字图书馆平台的图书搜索隐私保护方法，需要满足以下几个方面的要求：①改善用户查询隐私在不可信服务器端的安全性，使得攻击者难以准确获知用户敏感查询主题；②确保用户查询结果的准确性，即对比引入隐私保护方法前后，用户获得的最终查询结果一致；③不损害现有文本搜索服务平台的实用性和高效性，即隐私保护方法不改变服务器端的搜索服务算法，不需要额外硬件支持，也不会对用户服务的执行效率构成显著性影响。然而，现有用户隐私保护技术在实用性、高效性、准确性、安全性等方面仍无法满足现代图书搜索服务的实际应用需求，仍需开发新的面向图书关键词搜索的用户主题隐私保护方法。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种有效的面向图书关键词搜索的用户主题隐私保护方法，其目的在于通过精心修改用户查询序列，在不损害查询准确性的前提下，模糊用户真实图书查询主题，以期在不损害系统可用性和查询准确性的前提下，改善用户查询主题隐私在不可信服务器端的安全性。

为实现上述目的，按照本发明的一个方面，提供了一种1、一种面向图书关键词搜索的用户主题隐私保护方法，其特征在于，包括以下步骤：

(1)获取当前用户查询P_n，与用户历史查询序列P₀＝(P₁,P₂,…,P_n-1)组合成用户查询序列P＝(P₁,P₂,…,P_n)；

(2)对步骤(1)中获取的用户查询序列P，构造伪图书查询序列P*，使得所述伪图书查序列查询结果准确、隐私安全且查询高效性最高；即：

其中，@eff(P*,P)为伪图书查询序列P*与用户查询序列P查询高效性，@pri(B*,P*)为伪查询序列P*关于敏感主题B*的主题安全性，

为主题安全性阈值，@acc(P*,P)为查询结果准确性；

(3)执行步骤(2)获得的伪查询序列P*中与用户当前查询P_n相应的伪查询

获得中间图书记录集

在所述中间图书记录集

上由可信端执行当前用户查询P_n，获得结果图书记录集R_n返回给用户。

优选地，所述面向图书关键词搜索的用户主题隐私保护方法，其所述用户查询P_k,k＝1,2,…,n，由若干个中文关键字及其逻辑与或运算构成，记作：

w_i,i＝1,2,…,m为中文关键字，

表示逻辑与运算(∧)或逻辑或运算(∨)。

优选地，所述面向图书关键词搜索的用户主题隐私保护方法，其步骤(2)所述伪图书查询序列查询结果准确，是指任一用户查询P_k的结果图书记录集R_k包含于执行所述伪图书查询序列中相应伪图书查询

所得到的中间图书记录集

即

所述伪图书查询序列查询结果准确，即查询结果准确性@acc(P*,P)为1，所述伪查询序列的查询结果准确性计算方法如下：

其中，P为用户图书查询序列，P*为伪图书查询序列，P_k为用户图书查询，

为其相应的伪图书查询，

为伪图书查询的结果准确性，定义如下：

优选地，所述面向图书关键词搜索的用户主题隐私保护方法，其步骤(2)所述伪图书查询序列隐私安全，是指所述伪图书查询序列P*关于隐私主题B*的主题安全性@pri(B*,P*)超过主题安全性阈值

所述伪图书查询序列P*的关于隐私主题B*的主题安全性@pri(B*,P*)，按照如下方法计算：

其中，subs(P*)为伪图书查询序列P*对应的可能主题集合，为其包含的所有伪查询

对应的可能主题的交集，即：

其中，

为伪查询

对应的可能主题的集合，计算方法如下：

其中，

为伪查询

中的中文关键词

对应的可能主题集合。

优选地，所述面向图书关键词搜索的用户主题隐私保护方法，其步骤(2)所述伪图书查询序列P*的查询高效性@eff(P*,P)，定义为：

其中，伪查询序列P*与用户查询序列P的长度相同为|P|，P_k为用户查询，

与用户查询P_k相应伪查询，

为所述伪查询高效性，按照如下方法计算：

优选地，所述面向图书关键词搜索的用户主题隐私保护方法，其步骤(2)所述伪查询序列按照如下方法构造：采用贪婪策略，对于当前用户查询P_n、用户历史查询序列P₀＝(P₁,P₂,…,P_n-1)、以及用户历史查询序列P₀对应的伪历史查询序列

构造当前用户查询P_n对应的伪查询

使得所述伪查询

与所述伪历史查询序列

构成的伪查询序列P*，查询结果准确、隐私安全且查询高效性最高。

优选地，所述面向图书关键词搜索的用户主题隐私保护方法，其步骤(2)具体包括以下步骤：

(2-1)对当前用户查询P_n的关键词进行修改，获得修改关键词后的第一查询

所述对当前用户查询P_n的关键词进行修改；

(2-2)判断所述第一查询

与所述伪历史查询序列

构成的第一查询序列

是否使得隐私安全且查询高效性超过预设的查询高效性阈值；当判断结果为是时，则将所述第一查询

作为构造的当前用户查询P_n对应的伪查询

将所述第一查询序列

作为伪查询序列P*，跳出步骤(2)；当判断结果为否时，进入步骤(2-3)；

(2-3)对第一查询

的关键词进行删除，获得删除关键词后的第二查询

所述第一查询

的关键词进行删除；

(2-4)判断所述第二查询

与所述伪历史查询序列

构成的第二查询序列

是否使得隐私安全且查询高效性超过预设的查询高效性阈值；当判断结果为是时，则将所述第二查询

作为构造的当前用户查询P_n对应的伪查询

将所述第二查询序列

作为伪查询序列P*，跳出步骤(2)；当判断结果为否时，进入步骤(2-5)；

(2-5)对第二查询

的关键词进行增加，获得的查询作为构造的用户查询P_n对应的伪查询

使得

所述对第二查询

的关键词进行增加具体为：注入新查询关键词

获得查询：

优选地，所述面向图书关键词搜索的用户主题隐私保护方法，其步骤(2-1)具体为：

(2-1-1)对当前用户查询

的关键词进行排序，记作w₁w₂…w_m，使得：

(2-1-2)按顺序检查各关键词w_j,j＝1,2,…,m，当

且所述关键词w_j存在一个子词

同时满足以下条件1、2，则用所述子词

替换所述当前用户查询P_n的关键词w_j，得到第一查询

条件1：

条件2：

其中，

为

作为关键词查询结果的数量，nums(w_j)为w_j作为关键词查询结果的数量。

优选地，所述面向图书关键词搜索的用户主题隐私保护方法，其步骤(2-3)具体为：

(2-3-1)对第一查询

的关键词进行排序，记作

使得：

(2-3-2)按顺序检查各关键词

当

且满足以下条件时，将所述关键词

删除，获得第二查询

条件3：

将所述关键词删除具体为：删除该关键词

以及其左边或右边的存在的逻辑与运算符(∧)；

按照本发明的另一个方面，提供了一种面向图书关键词搜索的用户主题隐私保护系统，运行在可信客户端，与运行用户界面的客户端、不可信的服务器信号相连，包括：

用户查询获取模块、伪查询构造模块、以及结果筛选模块；

所述用户查询获取模块，用户获取当前用户查询P_n，并将所述当前用户查询P_n提交给伪造查询构造模块以及结果筛选模块；

所述伪造查询构造模块，用于存储用户历史查询序列以及伪历史查询序列，并根据所述用户查询获取模块提交的当前用户查询P_n构造当前用户查询P_n相应的伪查询

将所述伪查询

提交给服务器执行；

所述结果筛选模块，用于获取服务器返回的中间图书记录集

并在中间图书记录集

上所述用户查询获取模块提交的当前用户查询P_n获得结果图书记录集R_n返回给运行用户界面的客户端。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

本发明提供的面向图书关键词搜索的用户主题隐私保护方法，通过精心修改用户查询序列，在不损害查询准确性的前提下，模糊用户真实图书查询主题，有效保护用户主题隐私安全。本发明提供的面向图书关键词搜索的用户主题隐私保护方法系统，不需要额外增加硬件，不改变用户操作习惯，即可实现可用性强的主题隐私保护。

优选方案，基于启发式搜索策略，通过修改、删除和增加查询关键词，能快速地为用户查询序列构造生成满足隐私模型条件约束的伪查询序列，从而提高。

附图说明

图1是本发明提供的面向图书关键词搜索的用户主题隐私保护系统结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

本发明提供的面向图书关键词搜索的用户主题隐私保护方法，包括以下步骤：

(1)获取当前用户查询P_n，与用户历史查询序列P₀＝(P₁,P₂,…,P_n-1)组合成用户查询序列P＝(P₁,P₂,…,P_n)；其中用户查询P_k,k＝1,2,…,n，由若干个中文关键字及其逻辑与或运算构成，记作：

w_i,i＝1,2,…,m为中文关键字，

表示逻辑与运算(∧)或逻辑或运算(∨)。

(2)对步骤(1)中获取的用户查询序列P，构造伪图书查询序列P*，使得所述伪图书查序列查询结果准确、隐私安全且查询高效性最高；即：

其中，@eff(P*,P)为伪图书查询序列P*与用户查询序列P查询高效性，@pri(B*,P*)为伪查询序列P*关于敏感主题B*的主题安全性，

为主题安全性阈值，@acc(P*,P)为查询结果准确性。

给定一个用户图书查询序列P，假定B*为P后所蕴含的用户敏感查询主题，假定ω和

为用户给定的高效性阈值和安全性阈值，如果与P具有相同长度的伪造图书查询序列P*满足以下三个约束：①查询准确性(@acc(P*,P)＝1)；②查询高效性(@eff(P*,P)≥ω)；③隐私安全性

则认为：伪图书查询序列P*能有效地保护用户查询序列P背后所蕴含的主题隐私安全。

所述伪图书查询序列查询结果准确，是指任一用户查询P_k的结果图书记录集P_k包含于执行所述伪图书查询序列中相应伪图书查询

所得到的中间图书记录集

即

所述伪图书查询序列查询结果准确，即查询结果准确性@acc(P*,P)为1，所述伪查询序列的查询结果准确性计算方法如下：

其中，P为用户图书查询序列，P*为伪图书查询序列，P_k为用户图书查询，

为其相应的伪图书查询，

为伪图书查询的结果准确性，定义如下：

所述伪图书查询序列隐私安全，是指所述伪图书查询序列P*关于隐私主题B*的主题安全性@pri(B*,P*)超过主题安全性阈值

所述伪图书查询序列P*的关于隐私主题B*的主题安全性@pri(B*,P*)，按照如下方法计算：

其中，subs(P*)为伪图书查询序列P*对应的可能主题集合，为其包含的所有伪查询

对应的可能主题的交集，即：

其中，

为伪查询

对应的可能主题的集合，计算方法如下：

其中，

为伪查询

中的中文关键词

对应的可能主题集合。

用户敏感图书主题是用户图书搜索隐私保护的核心关键，是客户端用户隐私保护方法必须满足的基本性要求。根据前所述的系统架构可知，当服务器端的攻击者无法获知用户真实查询序列P时，他只能通过分析客户端所提交的伪图书查询序列P*来猜测可能的用户敏感图书主题。因此，图书查询序列P*背后蕴含的可能主题越多，则攻击者成功猜测出用户真实敏感主题的可能性也就越低。为此，我们可用P*蕴含的可能主题数量来度量用户主题隐私泄露的风险。

所述伪图书查询序列P*的查询高效性@eff(P*,P)，定义为：

其中，伪查询序列P*与用户查询序列P的长度相同为|P|，P_k为用户查询，

与用户查询P_k相应伪查询，

为所述伪查询高效性，按照如下方法计算：

查询高效性是对运行对客户端用户隐私保护方法的期望性要求，它要求：服务器端通过执行伪查询

所得到的中间图书记录集

规模，应尽可能接近于通过执行用户查询P_k所得到的目标图书记录集R_k，以减少网络数据传输量，从而改善图书查询的执行效率。同样，查询高效性也是一类相对概念。为此，以下定义查询之间高效性，进而定义查询序列之间高效性。

优选地，所述伪查询序列按照如下方法构造：采用贪婪策略，对于当前用户查询P_n、用户历史查询序列P₀＝(P₁,P₂,…,P_n-1)、以及用户历史查询序列P₀对应的伪历史查询序列

构造当前用户查询P_n对应的伪查询

使得所述伪查询

与所述伪历史查询序列

构成的伪查询序列P*，查询结果准确、隐私安全且查询高效性最高。

具体包括以下步骤：

(2-1)对当前用户查询P_n的关键词进行修改，获得修改关键词后的第一查询

所述对当前用户查询P_n的关键词进行修改，具体为：

(2-1-1)对当前用户查询

的关键词进行排序，记作w₁w₂…w_m，使得：

(2-1-2)按顺序检查各关键词w_j,j＝1,2,…,m，当

且所述关键词w_j存在一个子词

同时满足以下条件1、2，则用所述子词

替换所述当前用户查询P_n的关键词w_j，得到第一查询

条件1：

条件2：

其中，

为

作为关键词查询结果的数量，nums(w_j)为w_j作为关键词查询结果的数量。

(2-2)判断所述第一查询

与所述伪历史查询序列

构成的第一查询序列

是否使得隐私安全且查询高效性超过预设的查询高效性阈值；当判断结果为是时，则将所述第一查询

作为构造的当前用户查询P_n对应的伪查询

将所述第一查询序列

作为伪查询序列P*，跳出步骤(2)；当判断结果为否时，进入步骤(2-3)；

(2-3)对第一查询

的关键词进行删除，获得删除关键词后的第二查询

所述第一查询

的关键词进行删除，具体为：

(2-3-1)对第一查询

的关键词进行排序，记作

使得：

(2-3-2)按顺序检查各关键词

当

且满足以下条件时，将所述关键词

删除，获得第二查询

条件3：

将所述关键词删除具体为：删除该关键词

以及其左边或右边的存在的逻辑与运算符(∧)；

(2-4)判断所述第二查询

与所述伪历史查询序列

构成的第二查询序列

是否使得隐私安全且查询高效性超过预设的查询高效性阈值；当判断结果为是时，则将所述第二查询

作为构造的当前用户查询P_n对应的伪查询

将所述第二查询序列

作为伪查询序列P*，跳出步骤(2)；当判断结果为否时，进入步骤(2-5)；

(2-5)对第二查询

的关键词进行增加，获得的查询作为构造的用户查询P_n对应的伪查询

使得

所述对第二查询

的关键词进行增加具体为：注入新查询关键词

获得查询：

对当前用户查询P_n的伪造操作，按照先关键词修改、再关键词删除、最后关键词增加的顺序进行，即：如果关键词修改操作所生成的伪查询

使得P和P*已经满足隐私安全性和查询高效性，将不再进行后续的关键词删除和增加操作；否则，如果关键词修改和删除操作所生成伪查询满足安全性和高效性约束，将不再进行后续的关键词增加操作。

(3)执行步骤(2)获得的伪查询序列P*中与用户当前查询P_n相应的伪查询

获得中间图书记录集

在所述中间图书记录集

上由可信端执行当前用户查询P_n，获得结果图书记录集R_n返回给用户。

本发明提供的面向图书关键词搜索的用户主题隐私保护系统，如图1所示，运行在可信客户端，与运行用户界面的客户端、不可信的服务器信号相连，包括：

用户查询获取模块、伪查询构造模块、以及结果筛选模块；

所述用户查询获取模块，用户获取当前用户查询P_n，并将所述当前用户查询P_n提交给伪造查询构造模块以及结果筛选模块；

所述伪造查询构造模块，用于存储用户历史查询序列以及伪历史查询序列，并根据所述用户查询获取模块提交的当前用户查询P_n构造当前用户查询P_n相应的伪查询

将所述伪查询

提交给服务器执行；

所述结果筛选模块，用于获取服务器返回的中间图书记录集

并在中间图书记录集

上所述用户查询获取模块提交的当前用户查询P_n获得结果图书记录集P_n返回给运行用户界面的客户端。

以下为实施例：

一种面向图书关键词搜索的用户主题隐私保护方法，利用“中图法图书分类目录”结构来实现以下函数：

1、可能主题函数。任意查询P_k的主题集subs(P)以及查询序列P的主题集subs(P)直接或间接地建立在中文关键词w的可能主题集subs(w)之上。为此，我们预先挑选了图书分类目录中处于次顶层的共209个图书目录(例如B0哲学理论、B1世界哲学、D0政治理论等)，组建图书主题空间。然后，我们还预先向学校数字图书馆索取了其收藏图书涉及的标题信息(也可以通过网络爬虫自动爬取)，组建图书标题空间，并利用中文分词技术^[23]对各个图书标题进行分词，共获得100,000个中文关键词，组建图书关键词空间。由于每本图书都有一个“中图法分类号”属性，借助于它可以将图书标题空间中的每本图书映射为图书主题空间中的一个主题(即获取图书所属的主题)，进而以图书标题空间为媒介，获取各关键词所属的可能主题集，即subs(w)。

2、结果评估函数。为了预先估算查询高效性和查询准确性，我们还需要预先确定任意查询P可能结果集的规模，即nums(P)。由于很难事先获知查询结果集的规模，为此，我们借助于预先获取的图书标题信息(图书标题空间)来估算图书关键词空间中的每个关键词w_i的结果集规模，即nums(w_i)函数值被设定为图书标题空间中包含w_i的图书标题数量。然后，对于任意图书查询P，其结果集规模可表示为其包含的各个关键词结果集规模的联合函数，并且与其包含的各个关键词结果集规模正相关(nums(P)∝nums(w_i))。为此，图书查询P的结果集规模可预估如下：

图书分类目录是一个树状数据结构，其中，每个节点表示一个图书目录；每个图书目录又包含于某个父目录(根目录除外)；树节点层次越高，则图书目录的抽象性越低(通常，包含的图书也就越少)。

对于当前用户查询处理步骤如下：

(1)获取当前用户查询P_n，与用户历史查询序列P₀＝(P₁,P₂,…,P_n-1)组合成用户查询序列P＝(P₁,P₂,…,P_n)；其中用户查询P_k,k＝1,2,…,n，由若干个中文关键字及其逻辑与或运算构成，记作：

w_i,i＝1,2,…,m为中文关键字，

表示逻辑与运算(∧)或逻辑或运算(∨)。

(2)对步骤(1)中获取的用户查询序列P，构造伪图书查询序列P*，使得所述伪图书查序列查询结果准确、隐私安全且查询高效性最高；即：

其中，@eff(P*,P)为伪图书查询序列P*与用户查询序列P查询高效性，@pri(B*,P*)为伪查询序列P*关于敏感主题B*的主题安全性，

为主题安全性阈值，@acc(P*,P)为查询结果准确性。

所述伪图书查询序列查询结果准确，是指任一用户查询P_k的结果图书记录集R_k包含于执行所述伪图书查询序列中相应伪图书查询

所得到的中间图书记录集

即

所述伪图书查询序列查询结果准确，即查询结果准确性@acc(P*,P)为1，所述伪查询序列的查询结果准确性计算方法如下：

其中，P为用户图书查询序列，P*为伪图书查询序列，Pk为用户图书查询，

为其相应的伪图书查询，

为伪图书查询的结果准确性，定义如下：

所述伪图书查询序列隐私安全，是指所述伪图书查询序列P*关于隐私主题B*的主题安全性@pri(B*,P*)超过主题安全性阈值

所述伪图书查询序列P*的关于隐私主题B*的主题安全性@pri(B*,P*)，按照如下方法计算：

其中，subs(P*)为伪图书查询序列P*对应的可能主题集合，为其包含的所有伪查询

对应的可能主题的交集，即：

其中，

为伪查询

对应的可能主题的集合，计算方法如下：

其中，

为伪查询

中的中文关键词

对应的可能主题集合。

所述伪图书查询序列P*的查询高效性@eff(P*,P)，定义为：

其中，伪查询序列P*与用户查询序列P的长度相同为|P|，P_k为用户查询，

与用户查询P_k相应伪查询，

为所述伪查询高效性，按照如下方法计算：

所述伪查询序列按照如下方法构造：采用贪婪策略，对于当前用户查询P_n、用户历史查询序列P₀＝(P₁,P₂,…,P_n-1)、以及用户历史查询序列P₀对应的伪历史查询序列

构造当前用户查询P_n对应的伪查询

使得所述伪查询

与所述伪历史查询序列

构成的伪查询序列P*，查询结果准确、隐私安全且查询高效性最高。

具体包括以下步骤：

(2-1)对当前用户查询P_n的关键词进行修改，获得修改关键词后的第一查询

所述对当前用户查询P_n的关键词进行修改，具体为：

(2-1-1)对当前用户查询

的关键词进行排序，记作w₁w₂…w_m，使得：

(2-1-2)按顺序检查各关键词w_j,j＝1,2,…,m，当

且所述关键词w_j存在一个子词

同时满足以下条件：

条件1：

条件2：

其中，

为

作为关键词查询结果的数量，nums(w_j)为w_j作为关键词查询结果的数量。

则用所述子词

替换所述当前用户查询P_n的关键词w_j，得到第一查询

(2-2)判断所述第一查询

与所述伪历史查询序列

构成的第一查询序列

是否使得隐私安全且查询高效性超过预设的查询高效性阈值；当判断结果为是时，则将所述第一查询

作为构造的当前用户查询P_n对应的伪查询

将所述第一查询序列

作为伪查询序列P*，跳出步骤(2)；当判断结果为否时，进入步骤(2-3)；

(2-3)对第一查询

的关键词进行删除，获得删除关键词后的第二查询

所述第一查询

的关键词进行删除，具体为：

(2-3-1)对第一查询

的关键词进行排序，记作

使得：

(2-3-2)按顺序检查各关键词

当

且满足以下条件时，将所述关键词

删除，获得第二查询

条件3：

将所述关键词删除具体为：删除该关键词

以及其左边或右边的存在的逻辑与运算符(∧)；

(2-4)判断所述第二查询

与所述伪历史查询序列

构成的第二查询序列

是否使得隐私安全且查询高效性超过预设的查询高效性阈值；当判断结果为是时，则将所述第二查询

作为构造的当前用户查询P_n对应的伪查询

将所述第二查询序列

作为伪查询序列P*，跳出步骤(2)；当判断结果为否时，进入步骤(2-5)；

(2-5)对第二查询

的关键词进行增加，获得的查询作为构造的用户查询P_n对应的伪查询

使得

所述对第二查询

的关键词进行增加具体为：注入新查询关键词

获得查询：

实现算法如下：

(3)执行步骤(2)获得的伪查询序列P*中与用户当前查询P_n相应的伪查询

获得中间图书记录集

在所述中间图书记录集

上由可信端执行当前用户查询P_n，获得结果图书记录集P_n返回给用户。

分析多次运行面向关键词图书搜索服务的当前用户查询伪造算法所构建生成的伪查询序列P*关于用户查询序列P的查询准确性和主题安全性。伪查询序列P*关于用户查询序列P当然满足准确性，当且仅当它包含的各个伪查询

关于相应用户查询P_k∈P满足准确性。根据所述算法可知，伪查询

由用户查询P_k通过若干次关键词修改、删除和增加操作后生成。为此，以下引入观察1至观察4，以论证对用户查询的关键词修改、删除和增加操作并不影响查询准确性。

观察1对于任意图书查询P_k，对其执行一次关键词删除操作后得到的新查询为

则

关于P_k满足查询准确性，即

(其中R_k和

表示满足P_k和

的目标图书集)。

说明一次关键词删除操作要求：被删除的关键词w_i的左边或右边存在逻辑与运算符。根据逻辑与运算的含义，结合关键词图书查询服务的基本情况，可得出如下结论：满足查询条件P_k的图书必然也满足查询条件

即

观察2对于任意图书查询P_k，对其执行一次关键词修改操作后得到的新查询为

则

关于P_k满足查询准确性，即

说明一次关键词修改操作要求：被修改的关键词w_i用其子词

替代。因此，包含关键词w_i的图书(满足P_k)必然也包含关键词

(满足

)，即

观察3对于任意图书查询P_k，对其执行一次关键词增加操作后得到的新查询为

则

关于P_k满足查询准确性，即

说明根据定义3.3，图书查询P_k的一次关键词增加操作要求：被增加的一系列新查询关键词

通过逻辑或运算符连接查询P_k的原有关键词，构成新查询

根据逻辑或运算的含义可知，满足查询条件P_k的图书必然也满足查询条件

即

综合以上三个观察，可进一步得知：对于任意图书查询P_k，对其执行若干次查询关键词修改、删除和增加操作，并不会影响查询准确性约束，即基于所述算法构造生成伪图书查询序列必然能满足查询准确性约束。

观察4对于当前用户查询P_n、用户历史查询序列P₀＝(P₁,P₂,…,P_n-1)、以及用户历史查询序列P₀对应的伪历史查询序列

(即所述算法的输入)，假定P₀和

之间满足主题安全性，

为该算法为P_n构造生成的伪查询(即算法的输出)，则新查询序列P₀+P_n和

之间也满足主题安全性。

说明历史伪查询序列

满足主题安全性，即：

并且伪查询

是该算法对查询P_n进行多次关键词删除、修改和增加后得到，确保：

(见算法的语句15)。可知：

因此，新查询序列P+P_n满足主题安全性。

观察5对于任意用户查询序列P，若多次运行该算法后为其所构造生成的伪查询序列为P*，则P和P*之间必然满足主题安全性。

说明结合数学归纳法，容易得证(具体过程略)。

不同于哑元构造(攻击者通过特征分析可能获知用户查询本身)，在本文方法中，各用户查询经过关键词修改、删除和增加操作，使得提交给服务器的伪查询已经与原查询极大不同，即服务器端攻击者不可能获知用户真实查询；也不同于掩盖变换(其隐私保护需以牺牲准确性为代价)，在本文方法中，查询伪造建立在三类基本操作基础上(已证明并不影响查询准确性)，因此，其隐私保护不需牺牲查询准确性。

现有用户隐私保护技术在实用性、高效性、准确性、安全性等方面仍无法满足现代图书搜索服务的实际应用需求。具体地，①隐私加密技术不仅需要额外硬件和复杂算法支持，而且需要改变服务器端的服务算法，降低了方法的实际可用性；②掩盖变换技术会对服务准确性造成一定的负面影响，其隐私保护需以牺牲服务质量为代价；③哑元构造法依赖于哑元的构造质量，容易遭受基于数据特征的挖掘威胁，影响用户隐私保护效果；④匿名化技术需要改变现有平台的框架结构，导致较差的实际可用性。这些问题在本文方法中都得到了较好的解决。表1给出了本文方法与已有方法的定性比较。从表1可以看出：在安全性、准确性、高效性和可用性上，相比于已有方法，本发明提供的方法拥有更好的综合性能。

表1方法有效性定性比较

比较方法	隐私安全性	服务准确性	服务高效性	实际可用性
					本文方法	好	好	一般	好
隐私加密	好	好	好	不好
					掩盖变化	一般	不好	好	好
匿名化法	好	好	好	不好
					哑元构造	一般	好	一般	好

针对基于关键词的图书搜索服务，本发明提出通过精心修改用户查询序列，在不损害查询准确性的前提下，模糊用户真实图书查询主题，以保护用户主题隐私。理论分析和实验评估验证了本文方法的实际有效性，即能在不损害图书搜索服务实用性和查询准确性的前提下，有效改善用户查询主题隐私在不可信服务器端的安全性。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种面向图书关键词搜索的用户主题隐私保护方法，其特征在于，包括以下步骤：

(1)获取当前用户查询P_n，与用户历史查询序列P₀＝(P₁，P₂，...，P_n-1)组合成用户查询序列P＝(P₁，P₂，...，P_n)；

(2)对步骤(1)中获取的用户查询序列P，构造伪图书查询序列P^*，使得所述伪图书查询序列查询结果准确、隐私安全且查询高效性最高；即：

其中，@eff(P^*，P)为伪图书查询序列P^*与用户查询序列P查询高效性，@pri(B^*，P^*)为伪查询序列P^*关于敏感主题B^*的主题安全性，

为主题安全性阈值，@acc(P^*，P)为查询结果准确性；

具体包括以下步骤：

(2-1)对当前用户查询P_n的关键词进行修改，获得修改关键词后的第一查询

所述对当前用户查询P_n的关键词进行修改，具体为：

(2-1-1)对当前用户查询

的关键词进行排序，记作w₁w₂…w_m，使得：

其中，

j＝1，2，...，m-1表示逻辑与运算∧或逻辑或运算∨；

(2-1-2)按顺序检查各关键词w_j，j＝1，2，...，m，当

且所述关键词w_j存在一个子词

同时满足以下条件：

条件1：

条件2：

其中，

为

作为关键词查询结果的数量，nums(w_j)为w_j作为关键词查询结果的数量；

则用所述子词

替换所述当前用户查询P_n的关键词w_j，得到第一查询

(2-2)判断所述第一查询

与伪历史查询序列

构成的第一查询序列

是否使得隐私安全且查询高效性超过预设的查询高效性阈值；当判断结果为是时，则将所述第一查询

作为构造的当前用户查询P_n对应的伪查询

将所述第一查询序列

作为伪查询序列P^*，跳出步骤(2)；当判断结果为否时，进入步骤(2-3)；

(2-3)对第一查询

的关键词进行删除，获得删除关键词后的第二查询

所述第一查询

的关键词进行删除，具体为：

(2-3-1)对第一查询

的关键词进行排序，记作

使得：

(2-3-2)按顺序检查各关键词

当

且满足以下条件时，将所述关键词

删除，获得第二查询

条件3：

将所述关键词删除具体为：删除该关键词

以及其左边或右边的存在的逻辑与运算符∧；

(2-4)判断所述第二查询

与所述伪历史查询序列

构成的第二查询序列

是否使得隐私安全且查询高效性超过预设的查询高效性阈值；当判断结果为是时，则将所述第二查询

作为构造的当前用户查询P_n对应的伪查询

将所述第二查询序列

作为伪查询序列P^*，跳出步骤(2)；当判断结果为否时，进入步骤(2-5)；

(2-5)对第二查询

的关键词进行增加，获得的查询作为构造的用户查询P_n对应的伪查询

使得|

所述对第二查询

的关键词进行增加具体为：注入新查询关键词

获得查询：

(3)执行步骤(2)获得的伪查询序列P^*中与用户当前查询P_n相应的伪查询

获得中间图书记录集

在所述中间图书记录集

上由可信端执行当前用户查询P_n，获得结果图书记录集R_n返回给用户；

其中，subs()为可能主题函数，对于任意查询P_k，subs(P_k)为查询P_k对应的可能主题集合，对于任意查询序列P，subs(P)为查询序列P对应的可能主题集合，对于任意关键词w，subs(w)为关键词w对应的可能主题集合，对于任意子词w^*，subs(w^*)为子词w^*对应的可能主题集合。

2.如权利要求1所述的面向图书关键词搜索的用户主题隐私保护方法，其特征在于，所述用户查询P_k，k＝1，2，...，n，由若干个中文关键字及其逻辑与或运算构成，记作：

w_i，i＝1，2，...，m为中文关键字。

3.如权利要求1所述的面向图书关键词搜索的用户主题隐私保护方法，其特征在于，步骤(2)所述伪图书查询序列查询结果准确，是指任一用户查询P_k的结果图书记录集R_k包含于执行所述伪图书查询序列中相应伪图书查询

所得到的中间图书记录集

即

所述伪图书查询序列查询结果准确，即查询结果准确性@acc(P^*，P)为1，所述伪查询序列的查询结果准确性计算方法如下：

其中，P为用户图书查询序列，P^*为伪图书查询序列，P_k为用户图书查询，

为其相应的伪图书查询，

为伪图书查询的结果准确性，定义如下：

4.如权利要求1所述的面向图书关键词搜索的用户主题隐私保护方法，其特征在于，步骤(2)所述伪图书查询序列隐私安全，是指所述伪图书查询序列P^*关于隐私主题B^*的主题安全性@pri(B^*，P^*)超过主题安全性阈值

所述伪图书查询序列P^*的关于隐私主题B^*的主题安全性@pri(B^*，P^*)，按照如下方法计算：

其中，subs(P^*)为伪图书查询序列P^*对应的可能主题集合，为其包含的所有伪查询

对应的可能主题的交集，即：

其中，

为伪查询

对应的可能主题的集合，计算方法如下：

其中，

为伪查询

中的中文关键词

对应的可能主题集合。

5.如权利要求1所述的面向图书关键词搜索的用户主题隐私保护方法，其特征在于，步骤(2)所述伪图书查询序列P^*的查询高效性@eff(P^*，P)，定义为：

其中，伪查询序列P^*与用户查询序列P的长度相同为|P|，P_k为用户查询，

与用户查询P_k相应伪查询，

为所述伪查询高效性，按照如下方法计算：

6.如权利要求1所述的面向图书关键词搜索的用户主题隐私保护方法，其特征在于，步骤(2)所述伪查询序列按照如下方法构造：采用贪婪策略，对于当前用户查询P_n、用户历史查询序列P₀＝(P₁，P₂，...，P_n-1)、以及用户历史查询序列P₀对应的伪历史查询序列

构造当前用户查询P_n对应的伪查询

使得所述伪查询

与所述伪历史查询序列

构成的伪查询序列P^*，查询结果准确、隐私安全且查询高效性最高。

Images