CN111400755A

CN111400755A - 一种基于指数机制的个性化差分隐私保护方法及系统

Info

Publication number: CN111400755A
Application number: CN202010176431.9A
Authority: CN
Inventors: 牛犇; 李凤华; 陈亚虹; 毕文卿; 耿魁
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2020-03-13
Filing date: 2020-03-13
Publication date: 2020-07-10
Anticipated expiration: 2040-03-13
Also published as: CN111400755B

Abstract

本发明提供的基于指数机制的个性化差分隐私保护方法及系统，该方法包括：个性化差分隐私服务器收集用户的隐私数据，制定各隐私数据的个性化隐私预算；在获取到查询请求后，建立个性化指数机制中的评分函数，获取每个可能输出结果的预评分；在预评分的基础上，结合每个可能输出结果的偏差，获取每个可能输出结果的最终评分；获取每个可能输出结果的输出概率，并根据输出概率，随机输出一个结果作为统计结果。本发明实施例在使用个性化指数机制的评分函数实现个性化的同时，综合考虑了可能的输出结果与真实结果的偏差度量出数据扰动前后量的变化，从而避免了相差较远的结果产生相同的输出概率，由此在实现个性化差分隐私的同时增强了数据的可用性。

Description

一种基于指数机制的个性化差分隐私保护方法及系统

技术领域

本发明实施例为计算机技术领域，尤其涉及一种基于指数机制的个性化差分隐私保护方法及系统。

背景技术

近年来，移动社交网络得到了迅速的发展，成为人们日常生活中重要的组成部分，为用户提供了丰富的服务与体验。然而，大量真实信息的汇聚也急骤增加了用户隐私泄露的风险，因此，个人数据隐私问题得到广泛的关注。

为了保护用户的隐私，学术界和工业界都做了许多相关研究，众多隐私保护机制相继产生。但许多隐私保护方法由于仅适应特定背景知识下的攻击而存在严重的局限性。差分隐私(Differential Privacy，简称DP)凭借其能够抵御使用任意背景知识的攻击而从各类隐私保护方法中脱颖而出。

但是，DP也存在一定的局限性，具体表现在差分技术是通过使用一个全局的隐私预算为数据集中的所有用户提供隐私保护，从而造成所有的用户都受到统一级别的保护。然而，在现实生活中，不同用户对其敏感数据的隐私要求往往是不同的。而传统的DP无法提供这种差异化的隐私保护。为解决用户对个人数据隐私要求不同的问题，Alaggan等人提出了异构差分隐私(Heterogeneous Differential Privacy，简称HDP)，首次在差分隐私的条件下考虑如何满足用户不同的隐私需求。为了能够实现HDP，还提出了拉伸机制，该机制会根据用户的隐私偏好重新缩放用户的数据。但拉伸机制的应用范围很有限，无法将其应用到更多、应用更广泛的查询函数中，例如中位数、平均值等函数。

为了解决上述问题，一种基于差分隐私的个性化差分隐私(PersonalizedDifferential Privacy，简称PDP)概念被提出。就隐私保护效果而言，PDP与DP具有相同的抵抗任意背景知识攻击的能力。除此之外，PDP还可以根据用户不同的隐私需求为用户提供个性化的隐私保护。为了更好地实现PDP的目标，学术界提出了许多精心设计的PDP机制。其中最常见的两种PDP机制是由Jorgensen等人提出的，即采样机制(Sampling Mechanism，简称SM)和个性化指数机制(Personalized Exponential Mechanism，简称PEM)。

其中，采样机制会根据用户的隐私需求以及采样阈值，为每个用户计算出其数据的采样概率。然后，在采样数据集上使用传统的差分隐私保护算法从而得到相应的扰动结果。而个性化指数机制会为每一个可能的查询结果计算出一个输出概率，该输出概率是根据用户个性化隐私需求得到的。在获取到所有结果的输出概率后，个性化指数机制会根据该概率随机地输出一个结果。

但是，现有的PDP机制主要存在以下三个弊端：一是无法充分地满足用户个性化的隐私需求；二是未兼顾真实统计结果和输出统计结果之间的偏差，会极大地破坏统计结果的可用性，从而导致统计结果误导数据分析人员；三是要求该机制的使用者需要具备相关知识以进行相关参数的设置。

发明内容

本发明实施例提供一种基于指数机制(PEM)的个性化差分隐私(PDP)保护方法及系统，用以克服或有效的缓解现有的PDP机制在用户隐私保护过程中所存在的诸多不足。

第一方面，本发明实施例提供一种基于指数机制的个性化差分隐私保护方法，主要包括以下步骤：

S1：个性化差分隐私服务器收集用户的隐私数据；根据每个隐私数据对于查询请求的重要程度，制定各隐私数据的个性化隐私预算；

S2：在获取到查询请求后，建立个性化指数机制中的评分函数，以根据查询函数以及各隐私数据的个性化隐私预算，获取每个可能输出结果的预评分；

S3：在预评分的基础上，结合每个可能输出结果的偏差，获取每个可能输出结果的最终评分；

S4：基于每个可能输出结果的最终评分，获取每个可能输出结果的输出概率，并根据该输出概率，随机输出一个结果作为统计结果。

作为可选地，在步骤S2中，建立个性化指数机制中的评分函数，以根据查询函数以及各隐私数据的个性化隐私预算，获取每个可能输出结果的预评分，具体包括：

S21：选取任一可能输出结果；S22：获取产生可能输出结果的所有的扰动方案；S23：计算执行每个扰动方案需改变个性化隐私预算的变化值；S24：计算每个扰动方案的个性化隐私预算的变化值之和，并将最小的所述变化值之和作为所述可能输出结果的预评分；S25：迭代执行S21-S24，直至遍历所有的可能输出结果，以获取每个可能输出结果的预评分。

作为可选地，在步骤S2中的评分函数可以为：

其中，D表示原始的隐私数据集，S表示个性化隐私预算的集合，Sⁱ表示用户i的隐私预算，r表示可能输出结果，

表示原始的隐私数据集D和扰动后的隐私数据集D’之间不同元素的集合，f为查询函数，score_p_f为预评分。

作为可选地，在步骤S3中，在预评分的基础上，结合每个可能输出结果的偏差，获取每个可能输出结果的最终评分，其计算公式可以为：

score_all_f(D,r,S)＝score_p_f(D,r,S)+d_f(D,r)

其中，d_f(D,r)表示可能输出结果的偏差，Δf_max表示可能结果上下界的差值，score_all_f(D,r,S)表示最终评分。

作为可选地，在步骤S4中，基于每个可能输出结果的最终评分，获取每个可能输出结果的输出概率，其计算公式可以为：

其中，S_min表示隐私预算集合中的隐私预算最小值，R表示可能输出结果r所在的集合，q为中间变量，Pr(r)为可能输出结果的输出概率。

作为可选地，在步骤S2中，查询函数包括但不限于：中位数函数、均值函数或方差函数。

第二方面，本发明实施例提供一种基于指数机制的个性化差分隐私保护系统，主要包括信息初始化模块、预评分模块、最终评分模块和输出概率生成模块，其中：

信息初始化模块主要用于处理收集的隐私数据；根据每个隐私数据对于查询请求的重要程度，制定各隐私数据的个性化隐私预算；

预评分模块主要用于在获取到查询请求后，建立个性化指数机制中的评分函数，以根据查询函数以及各隐私数据的个性化隐私预算，获取每个可能输出结果的预评分；

最终评分模块主要用于在预评分的基础上，结合每个可能输出结果的偏差，获取每个可能输出结果的最终评分；

输出概率生成模块主要用于基于每个可能输出结果的最终评分，获取每个可能输出结果的输出概率，并根据输出概率，随机输出一个结果作为统计结果。

第三方面，本发明实施例提供一种基于指数机制的个性化差分隐私保护装置，包括客户端、个性化差分隐私服务器和查询器，其中：

个性化差分隐私服务器中设置有第二方面所述的基于指数机制的个性化差分隐私保护系统；客户端用于向个性化差分隐私服务器上传用户的隐私数据；查询器用于接收外部的查询请求，发送至个性化差分隐私服务器；还用于输出与查询请求相对应的统计结果。

第四方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行所述程序时实现如第一方面任一所述的基于指数机制的个性化差分隐私保护方法的步骤。

第五方面，本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面任一所述的基于指数机制的个性化差分隐私保护方法的步骤。

本发明实施例提供的基于指数机制的个性化差分隐私保护方法及系统，在使用个性化指数机制的评分函数实现个性化的同时，综合考虑了可能的输出结果与真实结果的偏差度量出数据扰动前后量的变化，从而避免了相差较远的结果产生相同的输出概率，由此在实现个性化差分隐私的同时增强了数据的可用性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于指数机制的个性化差分隐私保护方法流程示意图；

图2为本发明实施例提供的一种基于指数机制的个性化差分隐私保护系统的结构示意图；

图3为本发明实施例提供的一种基于指数机制的个性化差分隐私保护装置的结构示意图；

图4为本发明实施例提供的一种电子设备的实体结构图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

现有的PDP机制虽然考虑了用户个性化的隐私需求，并在可用性层面有了一定的提升，但它们仍然存在一定的局限性。就隐私而言，现有的PDP机制无法充分地利用用户个性化的隐私需求；就可用性而言，现有的PDP机制则存在输出结果精确度低的问题，其中可用性是表征真实统计结果和输出统计结果之间的偏差，偏差越小表明可用性越好。除了隐私和可用性这两个方面的问题之外，现有的PDP机制还存在使用门槛高的问题，在使用现有机制的过程中，往往需要使用者自己设定相关参数。比如在采样机制中，对于隐私预算高于采样阈值的用户而言，该用户会得到超出其需求的隐私保护，即无法充分地利用用户个性化的隐私需求。该机制最核心的参数是采样阈值，但是现有方案没有指出如何设置适当的阈值进行采样，由此导致只有当用户充分了解了该机制后，才能设定出比较合理的参数。

而在PEM机制中，则存在可用性低的问题。评分函数是PEM机制中实现PDP的关键，但是在PEM机制中所使用的评分函数由于仅关注获取该结果所需要改变元素的隐私偏好，而不关注所改变的元素所产生的变化量。这可能会导致两个相差较远的结果最后却有相同的分数，进而导致其拥有相同的输出概率，最终将大大降低可用性。

有鉴于此，本发明实施例提供一种基于指数机制的个性化差分隐私保护方法，如图1所示，包括以下但不限于以下步骤：

S1：PDP服务器收集用户的隐私数据；根据每个隐私数据对于查询请求的重要程度，制定各隐私数据的个性化隐私预算；

S4：基于每个可能输出结果的最终评分，获取每个可能输出结果的输出概率，并根据输出概率，随机输出一个结果作为统计结果。

服务器收集用户的日常数据，并将获取的对数据存储于计算机系统中，组建成隐私数据库。上述服务器是一个可信的服务器，用户会向服务器提供原始的个人数据。该服务器会对外提供查询接口，为了保证用户个性化的隐私需求，该服务器会实施个性化差分隐私保护方法，在本发明实施例中，将该服务器称为PDP服务器。

在接收到查询请求时，数据管理员根据数据的重要程度，给定数据的隐私预算。一般来说，返回的查询结果是含有噪声的，以使得数据的隐私得到保护。在本实施例中，添加噪声这一步骤，是基于个性化指数机制，利用预设的评分函数为每一个可能的查询结果计算出一个对应的输出结果的预评分。同时，不但考虑常规的PDP保护中所改变元素的隐私预算，还综合考虑了所改变元素量的变化，即结合每个可能输出结果与预期输出结果之间的偏差，对每个可能的输出结果进行最终评分的计算。进一步地，利用所获取的每个可能输出结果的最终评分对每个可能的输出结果计算出其相应的输出概率。最后，根据所计算的输出概率，随机地输出一个结果作为最终发布的统计结果。

具体地，本发明实施例提供的个性化差分隐私保护方法，一般适用于发布具有不同隐私需求数据集的统计结果，该方法主要包括四个步骤：信息初始化、预评分的计算、最终评分的计算以及统计结果的生成。

第一步，信息初始化：PDP服务器收集用户的隐私数据及其所需的隐私预算，并确定一个查询函数，如中位数函数等。

其中，隐私预算是适用于差分隐私中的隐私预算，该预算用于调节噪声的大小，从而控制隐私保护程度。

第二步，预评分的计算：该步骤利用PEM机制中所使用的评分函数对所有可能输出结果计算出一个预评分。

所述个性化指数机制的评分函数考虑了产生一个输出结果所需改变元素对应的隐私预算。产生一个可能的查询结果可能存在多种扰动方案，根据差分隐私中隐私预算越低隐私保护强度越高的特性，个性化指数机制的评分函数将进一步计算所有方案需要改变元素的隐私预算之和，隐私预算之和最小的方案将被用于计算该结果的预评分。

第三步，最终评分的计算：在本步骤中不但考虑所改变元素的隐私预算，还考虑了所改变元素量的变化。从而避免了个性化指数机制中不同输出结果却产生相同评分结果的状况，同时也避免了相差较远的结果最后输出概率相同的情况发生，从而提高了数据的可用性。

第四步，统计结果的生成：利用第三步中所产生的评分为每个可能的输出结果计算出其相应的输出概率，再根据所计算的输出概率，随机地输出一个结果作为最终发布的统计结果。

本发明实施例提供的基于指数机制的个性化差分隐私保护方法，在使用个性化指数机制的评分函数实现个性化的同时，综合考虑了可能的输出结果与真实结果的偏差度量出数据扰动前后量的变化，从而避免了相差较远的结果产生相同的输出概率，由此在实现个性化差分隐私的同时增强了数据的可用性。

基于上述实施例的内容，作为一种可选实施例，在步骤S2中，其中建立个性化指数机制中的评分函数，以根据查询函数以及各隐私数据的个性化隐私预算，获取每个可能输出结果的预评分，具体包括以下步骤：

S21：选取任一可能输出结果；S22：获取产生可能输出结果的所有的扰动方案；S23：计算执行每个扰动方案需改变个性化隐私预算的变化值；S24：计算每个扰动方案的个性化隐私预算的变化值之和，并将最小的所述变化值之和作为可能输出结果的预评分；S25：迭代执行S21-S24，直至遍历所有的可能输出结果，以获取每个可能输出结果的预评分。

具体的，上述进行预评分计算，考虑了产生一个输出结果所需改变元素对应的隐私预算。由于产生一个可能的查询结果可能存在多种扰动方案，根据差分隐私中隐私预算越低隐私保护强度越高的特性，PDP的评分函数将进一步计算所有方案需要改变元素的隐私预算之和，隐私预算之和最小的方案将被用于计算该结果的预评分。

进一步地，上述评分函数可以表示为：

示原始的隐私数据集D和扰动后的隐私数据集D’之间不同元素的集合，f为查询函数，score_p_f为预评分。

基于上述实施例的内容，作为一种可选实施例，在步骤S3中，在预评分的基础上，结合每个可能输出结果的偏差，获取每个可能输出结果的最终评分，其计算公式可以设置为：

score_all_f(D,r,S)＝score_p_f(D,r,S)+d_f(D,r)

其中，d_f(D,r)表示可能输出结果的偏差，Δf_max表示可能结果上下界的差值，用于归一化结果；score_all_f(D,r,S)表示最终评分。

所述最终评分不但考虑所改变元素的隐私预算，还考虑了所改变元素量的变化。预评分公式只考虑了所改变元素的隐私预算，从而导致两个相差较远的结果最终得到相同的预评分。因此，最终评分为了能够进一步区分有相同预评分的结果，还考虑了元素量的变化这一评分因素，由此产生了最终评分。

具体地，本实施例中，在预评分的基础上，进一步考虑了可能的查询结果和真实结果之间的偏差，以此作为每个可能结果的最终评分。即在原有个性化指数机制的基础上，考虑了数据的可用性，实现了在满足个性化差分隐私的同时下提升了统计结果的可用性。

基于实施例的内容，作为一种可选实施例，在步骤S4中记载的，基于每个可能输出结果的最终评分，获取每个可能输出结果的输出概率，其计算公式可以设置为：

本发明实施例提供的基于指数机制的个性化差分隐私保护方法，为了提升统计数据的可用性，对原有个性化指数机制的评分公式进行了改进。原有的评分公式可能会导致两个相差较远的结果产生相同的输出概率。本发明将引入元素量的变化这一新的评分因素，对这些有相同输出概率的结果进行区分，从而提升数据可用性。

基于上述实施例的内容，作为一种可选实施例，在步骤S2中，所述查询函数包括但不限于中位数函数、均值函数或方差函数。

本发明实施例提供基于指数机制的个性化差分隐私保护系统，如图2所示，包括但不限于：信息初始化模块21、预评分模块22、最终评分模块23和输出概率生成模块24。

信息初始化模块21主要用于处理收集的隐私数据；根据每个隐私数据对于查询请求的重要程度，制定各隐私数据的个性化隐私预算。

预评分模块22主要用于在获取到查询请求后，建立个性化指数机制中的评分函数，以根据查询函数以及各隐私数据的个性化隐私预算，获取每个可能输出结果的预评分。

最终评分模块23主要用于在预评分的基础上，结合每个所述可能输出结果的偏差，获取每个可能输出结果的最终评分；

输出概率生成模块24主要用于基于每个可能输出结果的最终评分，获取每个可能输出结果的输出概率，并根据输出概率，随机输出一个结果作为统计结果。

进一步地，本发明实施例还提供一种基于指数机制的个性化差分隐私保护装置，如图3所示，主要包括：客户端、个性化差分隐私服务器和查询器。其中，个性化差分隐私服务器中设置有如上述实施例中所述的基于指数机制的个性化差分隐私保护系统；客户端用于向个性化差分隐私服务器上传用户的隐私数据；查询器用于接收外部的查询请求，发送至个性化差分隐私服务器；还用于输出与查询请求相对应的统计结果。

具体地，各部件之间的工作流程如下：

客户端向PDP服务器上传个人数据及其个性化隐私预算。PDP服务器收集到不同隐私需求的用户数据后，首先根据数据集和查询函数产生查询结果可能的输出集合以此作为预评分模型的输入。预评分模块通过考虑产生可能结果所需改变元素的隐私预算，为这些可能的输出结果产生一个预评分作为最终评分模块的输入。最终，评分模块为了进一步区分有相同预评分的输出结果，将考虑所改变元素量的变化，由此为可能的输出结果产生一个最终的评分作为输出概率生成模块的输入，从而在实现个性化差分隐私的同时，进一步提升数据可用性。输出概率生成模块将根据最终的评分，计算出每个可能结果的输出概率。最后，根据每个可能结果的输出概率随机地输出一个查询结果返回给查询器。该方法可以产生可用性较高且满足个性化差分隐私的统计结果，由此在保证用户个性化隐私需求的同时，也保证了数据查询人员能够得到有用的统计值。

需要说明的是，本发明实施例提供的基于指数机制的个性化差分隐私保护系统及装置，在具体运行时，可用于执行上述任一实施例中所述的基于指数机制的个性化差分隐私保护方法，在此不作一一赘述。

本发明实施例提供的基于指数机制的个性化差分隐私保护系统及装置，在使用个性化指数机制的评分函数实现个性化的同时，综合考虑了可能的输出结果与真实结果的偏差度量出数据扰动前后量的变化，从而避免了相差较远的结果产生相同的输出概率，由此在实现个性化差分隐私的同时增强了数据的可用性。

图4示例了一种电子设备的实体结构示意图，如图4所示，该电子设备可以包括：处理器(processor)310、通信接口(Communications Interface)320、存储器(memory)330和通信总线340，其中，处理器310，通信接口320，存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令，以执行如下方法：

此外，上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法，例如包括：

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种基于指数机制的个性化差分隐私保护方法，其特征在于，包括以下步骤：

S1：个性化差分隐私服务器收集用户的隐私数据；根据每个所述隐私数据对于查询请求的重要程度，制定各隐私数据的个性化隐私预算；

S2：在获取到查询请求后，建立个性化指数机制中的评分函数，以根据查询函数以及所述各隐私数据的个性化隐私预算，获取每个可能输出结果的预评分；

S3：在所述预评分的基础上，结合每个所述可能输出结果的偏差，获取每个所述可能输出结果的最终评分；

S4：基于每个所述可能输出结果的最终评分，获取每个所述可能输出结果的输出概率，并根据所述输出概率，随机输出一个结果作为统计结果。

2.根据权利要求1所述的基于指数机制的个性化差分隐私保护方法，其特征在于，在步骤S2中，所述建立个性化指数机制中的评分函数，以根据查询函数以及所述各隐私数据的个性化隐私预算，获取每个可能输出结果的预评分，包括：

S21：选取任一可能输出结果；

S22：获取产生所述可能输出结果的所有的扰动方案；

S23：计算执行每个所述扰动方案需改变所述个性化隐私预算的变化值；

S24：计算每个所述扰动方案的所述个性化隐私预算的变化值之和，并将最小的所述变化值之和作为所述可能输出结果的预评分；

S25：迭代执行S21-S24，直至遍历所有的可能输出结果，以获取每个可能输出结果的预评分。

3.根据权利要求1所述的基于指数机制的个性化差分隐私保护方法，其特征在于，在步骤S2中，所述评分函数为：

4.根据权利要求3所述的基于指数机制的个性化差分隐私保护方法，其特征在于，在步骤S3中，所述在所述预评分的基础上，结合每个所述可能输出结果的偏差，获取每个所述可能输出结果的最终评分，其计算公式为：

score_αll_f(D，r，S)＝score_p_f(D，r，S)+d_f(D，r)

其中，d_f(D，r)表示可能输出结果的偏差，Δf_max表示可能结果上下界的差值，score_all_f(D，r，S)表示最终评分。

5.根据权利要求4所述的基于指数机制的个性化差分隐私保护方法，其特征在于，在步骤S4中，所述基于每个所述可能输出结果的最终评分，获取每个所述可能输出结果的输出概率，其计算公式为：

6.根据权利要求1所述的基于指数机制的个性化差分隐私保护方法，其特征在于，在步骤S2中，所述查询函数为中位数函数、均值函数或方差函数。

7.一种基于指数机制的个性化差分隐私保护系统，其特征在于，包括：信息初始化模块、预评分模块、最终评分模块和输出概率生成模块；

所述信息初始化模块，用于处理收集的隐私数据；根据每个所述隐私数据对于查询请求的重要程度，制定各隐私数据的个性化隐私预算；

所述预评分模块，用于在获取到查询请求后，建立个性化指数机制中的评分函数，以根据查询函数以及所述各隐私数据的个性化隐私预算，获取每个可能输出结果的预评分；

所述最终评分模块，用于在所述预评分的基础上，结合每个所述可能输出结果的偏差，获取每个所述可能输出结果的最终评分；

所述输出概率生成模块，用于基于每个所述可能输出结果的最终评分，获取每个所述可能输出结果的输出概率，并根据所述输出概率，随机输出一个结果作为统计结果。

8.一种基于指数机制的个性化差分隐私保护装置，其特征在于，包括客户端、个性化差分隐私服务器和查询器；

所述个性化差分隐私服务器中设置有如权利要求7所述的基于指数机制的个性化差分隐私保护系统；

所述客户端用于向所述个性化差分隐私服务器上传用户的隐私数据；

所述查询器用于接收外部的查询请求，发送至所述个性化差分隐私服务器；还用于输出与所述查询请求相对应的统计结果。

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至6任一项所述基于指数机制的个性化差分隐私保护方法的步骤。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至6任一项所述基于指数机制的个性化差分隐私保护方法的步骤。