CN113228022B - 分析查询应答系统、分析查询应答方法以及记录介质 - Google Patents
分析查询应答系统、分析查询应答方法以及记录介质 Download PDFInfo
- Publication number
- CN113228022B CN113228022B CN201980083872.XA CN201980083872A CN113228022B CN 113228022 B CN113228022 B CN 113228022B CN 201980083872 A CN201980083872 A CN 201980083872A CN 113228022 B CN113228022 B CN 113228022B
- Authority
- CN
- China
- Prior art keywords
- analysis
- query
- verification
- analysis query
- privacy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 183
- 230000004044 response Effects 0.000 title claims abstract description 28
- 238000000034 method Methods 0.000 title claims description 21
- 238000012795 verification Methods 0.000 claims abstract description 70
- 238000012545 processing Methods 0.000 claims abstract description 52
- 238000013500 data storage Methods 0.000 claims abstract description 15
- 230000006870 function Effects 0.000 claims description 29
- 238000004364 calculation method Methods 0.000 claims description 15
- 230000035945 sensitivity Effects 0.000 claims description 13
- 101100054598 Hordeum vulgare ACL1.2 gene Proteins 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 3
- 101100083507 Caenorhabditis elegans acl-2 gene Proteins 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 101100001669 Emericella variicolor andD gene Proteins 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2452—Query translation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Medical Informatics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
分析查询应答系统具备用户终端(1)和数据库装置(2),所述用户终端(1)生成并发送分析查询,所述数据库装置(2)包括分析查询验证装置(22)和分析查询执行装置(21),所述分析查询验证装置(22)包括用于进行分析查询是否满足规定的隐私保护指标的第一验证的验证执行部(222),所述分析查询执行装置(21)包括个人数据存储部(211)以及分析查询执行保护加工部(214),所述个人数据存储部(211)存储有个人数据,所述分析查询执行保护加工部(214)在第一验证成功的情况下,通过对从个人数据存储部读入的个人数据进行与分析查询对应的分析来获取分析结果,并对获取到的分析结果进行规定的隐私保护加工。
Description
技术领域
本发明涉及一种能够在保护数据隐私的同时请求分析的隐私保护查询应答技术。
背景技术
近年来,人们关注各种信息的有效利用。尤其是在商业、医疗以及福利等所有领域中对关于作为与个人紧密相关的信息的个人数据进行有效利用的需求不断提高。
另一方面,在有效利用个人数据时,要求充分考虑作为个人数据中包含的微妙信息的隐私。尤其是在向他人公开、提供根据多个个人数据获得的统计值等分析结果的情况下,需要以防止根据公开的统计值反向估计个人数据的方式进行适当的隐私保护加工。
这样的兼顾隐私保护和数据公开的方法总称为“隐私保护数据发布(privacy-preserving data publishing)”。
隐私保护数据发布的模型之一存在“隐私保护查询应答(privacy-preservingquery response)”。它是由保存多个个人数据的数据库装置和对个人数据请求分析的用户装置构成的模型。在隐私保护查询应答中,首先,制作用户装置想要对数据库装置中的数据实施的分析查询(analysis query)并发送给数据库装置。该分析查询例如可以通过某种编程语言来描述。
数据库装置对自身具有的数据执行发送来的分析查询,根据自身预先确定的隐私保护指标对分析执行结果进行隐私保护加工后返送给用户。
作为用于实现隐私保护查询应答的现有方法,已知有非专利文献1以及2的方法等。
现有技术文献
非专利文献
非专利文献1:F.McSherry,“Privacy integrated queries:An ExtensiblePlatform for Privacy-Preserving Data Analysis”,In Proceedings of the 35thSIGMOD International Conference on Management of Data(SIGMOD),2009.
非专利文献2:J.Hou,X.-Y.Li,T.Jung,Y.Wang,andD.Zheng,“CASTLE:Enhancingthe utility of inequality query auditing without denial threats”,TIFS,2018.
发明内容
发明要解决的课题
在现有技术中实现的隐私保护查询应答中,仅能够将作为在数据库装置侧实现并维护的定型计算的库函数的计算和能够通过其组合来实现的分析查询作为查询来进行发送。
如果能够将通过四则运算、等于比较等基本计算的组合构成的分析查询等不依赖于库函数的自由的分析查询作为查询来进行发送,则应该能够更加广泛地有效利用数据。
然而,能够制作的分析查询的自由度越高,也越容易制作以数据的隐私侵害为目的的非正当分析查询,因此有可能难以在数据库装置中进行适当的隐私保护加工。
因此,在现有技术中仅通过对库函数和其组合缩小自由度,防止隐私侵害。
本发明的目的是提供一种能够对比以往自由的分析查询进行应答的分析查询应答系统、分析查询执行装置、分析查询验证装置、分析查询应答方法以及程序。
用于解决课题的手段
本发明的一个方式的分析查询应答系统具备:用户终端,其生成并发送分析查询;以及数据库装置,其包括分析查询验证装置和分析查询执行装置,所述分析查询验证装置包括用于进行分析查询是否满足规定的隐私保护指标的第一验证的验证执行部,所述分析查询执行装置包括个人数据存储部和分析查询执行保护加工部,所述个人数据存储部存储有个人数据,所述分析查询执行保护加工部在第一验证成功的情况下,通过对从个人数据存储部读入的个人数据进行与分析查询对应的分析来获取分析结果,并对获取到的分析结果进行规定的隐私保护加工。
发明效果
通过对数据库装置赋予对分析查询是否满足规定的隐私保护指标进行验证的验证功能,能够对比以往自由的分析查询进行应答。
附图说明
图1是表示分析查询应答系统的功能结构的例子的图。
图2是表示数据库装置的功能结构的例子的图。
图3是表示分析查询应答方法的处理过程的例子的图。
具体实施方式
以下,对本发明的实施方式进行详细说明。另外,对在附图中具有相同功能的结构部附加相同编号,省略重复说明。
例如如图1所示,分析查询应答系统具备积累并保存多个个人数据的数据库装置2和对数据库装置2制作并发送分析查询的用户装置、即用户终端1。如后文所述,数据库装置2根据预先确定的隐私保护指标,对任意制作的分析查询实现隐私保护查询应答。分析查询应答方法例如通过分析查询应答系统的结构部进行图3及以下说明的步骤S1至S4的处理来实现。
数据库装置2具有存储个人数据的存储功能、对接收到的分析查询可以满足隐私保护指标的情况进行验证的验证功能以及对个人数据实施分析查询并进行隐私保护加工的隐私保护加工功能。存储功能通过个人数据存储部211来实现。验证功能通过验证执行部222来实现。隐私保护加工功能通过分析查询执行保护加工部214来实现。
分析查询通过数据库装置2预先指定的编程语言描述。在数据库装置2以及用户终端1中能够构建该编程语言的执行环境。
在后述的本实施方式中,“隐私保护指标”和“编程语言”分别使用作为现有技术的“差分隐私”和“ACL2”(例如,参照参考文献1)。但是,编程语言也可以使用具有与ACL2等同性能或者ACL2以上性能的定理证明功能的编程语言。
〔参考文献1〕“User manual for the ACL2 Theorem Prover and the ACL2Community Books”,[online]、[平成30年12月13日检索]、因特网〈URL:http://www.cs.utexas.edu/users/moore/acl2/v8-0/combined-manual/index.html〉
差分隐私例如是在参考文献2中提出的隐私保护指标。
〔参考文献2〕C.Dwork,“Differential privacy”,In Proceedings of theInternational Colloquium on Automata,Languages and Programming(ICALP)(2),112,2006.
在隐私保护指标的定义中,对于多个数据的组D、只有其中一个数据不同的组~D以及参数ε,在分析计算q和隐私保护加工M满足不等式Pr[M(q(D))=x]≦eεPr[M(q(~D))=x]时,设为分析计算q和隐私保护加工M满足ε-差分隐私。参数ε表示接近0的规定的数,Pr表示概率,e表示自然对数。
上述不等式表示通过向分析计算q输入不同的两个数据D、~D所得到的值q(D)、q(~D)进行隐私保护加工M,以较高的概率变为相同值x。换言之,难以根据分析结果估计分析源的数据是D、~D中的哪一个。
在差分隐私中,存在较多依赖于分析计算q的“行为”来确定适当的隐私保护加工M的现有技术。分析计算q的“行为”在差分隐私的语境中称作“灵敏度”。
尤其是,已知使用被称作“全局灵敏度(global sensitivity)”的参数δq以及拉普拉斯噪音Lap的隐私保护加工M(q(D))=q(D)+Lap(δq/ε)满足ε-差分隐私。因此,无论对于何种分析计算q,只要能够获得q的全局灵敏度δq,就能够构成隐私保护加工M。全局灵敏度例如能够作为δq=maxD,~D(|q(D)-q(~D)|)来获得。该全局灵敏度δq是指“将向q的输入数据最多变更一个(D→~D)的情况下可以产生的差分的最大值”。
ACL2是以Common Lisp为基础的编程语言,是形式方法、定理证明器之一。
ACL2与Common Lisp相同,能够对组合四则运算等基本计算并进行任意计算的函数进行描述。并且,通过ACL2能够描述函数“满足某种性质”的证明,能够验证证明正确的情况。
本实施方式对通过ACL2描述的分析查询适当地保护隐私并应答分析结果。
在本实施方式中,首先按照用户终端1分别确定表示数据库装置2能够容许的隐私预算的参数ε的初始值。并且,也可以根据需要事先在数据库装置2中通过ACL2描述提供给用户终端1的库函数组以及库定理组。
<用户终端1>
用户终端1生成并发送分析查询(步骤S1)。
假设分析查询至少包括关于进行分析计算的函数q的信息。分析查询在规定的隐私保护指标以及规定的程序语言下生成。
用户终端1也可以还生成并发送证明信息,该证明信息是与关于分析查询满足规定的隐私保护指标的情况的证明相关的信息。在规定的隐私保护指标是ε-差分隐私的情况下,证明信息也可以是与分析查询对应的分析计算的全局灵敏度相关的证明信息。证明信息的例子是关于函数q的全局灵敏度满足性质δq≦Δd的证明的信息。证明信息例如通过作为规定的程序语言之一的ACL2来描述。
在存在从数据库装置2提供的库函数组以及库定理组的情况下,分析查询以及证明信息也可以通过库函数组以及库定理组来描述。
而且,用户终端1也可以还发送因分析查询而消耗的隐私量。在规定的隐私保护指标是ε-差分隐私的情况下,该隐私量例如是参数εq。
另外,由于用户终端1不知道数据库装置上的实际数据D(以及~D等),因此不能够直接计算出全局灵敏度δq。因此,代替D、~D,使用函数q的输入变量X=(x1,...,xn)和使用变量d对X的任意位置i(1≦i≦n)进行加工而得到的输入变量~X=(x1,...,xi+d,...,xn)这两个变量来证明性质。即,如果任意的X、~X满足|q(X)-q(~X)|≦Δd,则在(X,~X)=(D,~D)中也是相同的,因此max(|q(D)-q(~D)|)≦Δd成立。但是,即使该Δd是常数,也可以是以d、X为输入变量的函数。
例如在函数q是线性耦合q(X)=Σ1≦k≦nakxk的情况下,根据q(~X)=(Σ1≦k≦n,k≠ iakxk)+ai(xi+d)=(Σ1≦k≦nakxk)+aid,得到|q(X)-q(~X)|=|aid|≦|maxi(ai)·d|,在d与实际数据的值域幅度一致时,Δd=|maxi(ai)·d|与q的全局灵敏度一致。在此,a1,...,an是规定的数。因此,关于变量X、~X以及d,用户终端1证明|q(X)-q(~X)|≦|maxi(ai)·d|。
例如,如此一来,用户终端1不必知道实际的个人数据,就能够生成与分析计算的全局灵敏度相关的证明信息,该分析计算与对于数据库装置2未知的分析查询对应。
<数据库装置2>
如图2所示,数据库装置2例如具备分析查询执行装置21以及分析查询验证装置22。
分析查询执行装置21具备个人数据存储部211、分析查询接收部212、验证请求部213、分析查询执行保护加工部214以及分析结果发送部215。
分析查询验证装置22具备分析查询接收部221、验证执行部222以及验证结果发送部223。
在个人数据存储部211中存储有个人数据。个人数据例如通过数值、字符串等与形式无关的任意信息的组合来构成。
分析查询接收部212接收用户终端1发送的分析查询。分析查询接收部212向验证请求部213输出分析查询。
验证请求部213将分析查询以及与该分析查询对应的验证请求输出至分析查询验证装置22的分析查询接收部221。并且,验证请求部213将分析查询输出至分析查询执行保护加工部214。
分析查询接收部221将分析查询以及与该分析查询对应的验证请求输出至验证执行部222。
验证执行部222接受与分析查询对应的验证请求,并进行分析查询是否满足规定的隐私保护指标的第一验证(步骤S2)。第一验证的结果输出至验证结果发送部223。
另外,在用户终端1输出了证明信息的情况下,分析查询和证明信息经由分析查询接收部212、验证请求部213以及分析查询接收部221输入至验证请求部213。在该情况下,验证执行部222也可以使用证明信息进行分析查询是否满足规定的隐私保护指标的第一验证。通过使用证明信息能够更加容易地进行第一验证。
例如,对于与分析查询对应的分析计算q的性质,验证执行部222通过执行ACL2来验证用户终端1所主张的证明正确的情况。
验证结果发送部223将第一验证的结果输出至分析查询执行保护加工部214。
分析查询执行保护加工部214根据第一验证的结果判断第一验证是否成功,在第一验证未成功的情况下,废弃(discards)分析查询。
另一方面,在第一验证成功的情况下,分析查询执行保护加工部214通过对从个人数据存储部读入的个人数据进行与分析查询对应的分析来获取分析结果,并对获取到的分析结果进行规定的隐私保护加工(步骤S3)。
分析查询执行保护加工部214例如根据已证明的分析计算q的性质导出全局灵敏度的上边界,以满足εq-差分隐私的方式生成噪音ν,并通过与分析结果q(D)相加来进行隐私保护加工。在该情况下,经过隐私保护加工的分析结果成为q(D)+ν。噪音ν既可以如上所述作为ν=Lap(Δd/εq)生成,又可以通过其他方法以满足εq-差分隐私的方式生成。
另外,在用户终端1还发送因分析查询而消耗的隐私量的情况下,分析查询和隐私量经由分析查询接收部212以及验证请求部213输入至分析查询执行保护加工部214。
在该情况下,分析查询执行保护加工部214也可以还进行用户终端1的预先确定的隐私预算的剩余是否超过了隐私量的第二验证,在第一验证以及第二验证成功的情况下,通过对从个人数据存储部211读入的个人数据进行与分析查询对应的分析来获取分析结果,并对获取到的分析结果进行规定的隐私保护加工。
即,例如,分析查询执行保护加工部214也可以在第一验证成功的情况下,对表示消耗的隐私量的参数εq和表示隐私预算的参数ε进行比较,仅在εq≦ε成立时执行分析查询。
另外,通过从表示隐私预算的参数ε中减去消耗的隐私量εq所得的剩余ε-εq来更新表示隐私预算的参数ε并保存。
通过分析查询执行保护加工部214生成的分析结果输出至分析结果发送部215。
分析结果发送部215将分析结果发送至用户终端1(步骤S4)。
综上所述,能够实现与以往相比能够自由地制作分析查询的隐私保护查询应答数据库装置。
[变形例]
以上对本发明的实施方式进行了说明,但是具体结构不限于这些实施方式,在不脱离本发明的主旨的范围内适当的设计变更等也包含于本发明是不言而喻的。
在实施方式中说明的各种处理不仅可以基于记载的顺序时序地执行,也可以根据执行处理的装置的处理能力或者根据需要来并行地执行或者单独地执行。
例如,分析查询应答系统的结构部之间的数据交换既可以直接进行,也可以经由未图示的存储部来进行。
[程序、记录介质]
在通过计算机来实现上述说明的各装置中的各种处理功能的情况下,通过程序来描述各装置应具有的功能的处理内容。而且,通过利用计算机来执行该程序,上述各装置中的各种处理功能在计算机上实现。
描述该处理内容的程序能够预先记录在能够通过计算机读取的记录介质中。作为能够通过计算机读取的记录介质,例如可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任意的记录介质。
并且,该程序的流通例如通过销售、转让、出租等记录了该程序的DVD、CD-ROM等便携式记录介质来进行。而且,也可以设为下述结构:将该程序预先储存在服务器计算机的存储装置中,经由网络从服务器计算机向其他计算机转发该程序,从而使该程序流通。
执行这样的程序的计算机例如首先将记录在便携式记录介质中的程序或者从服务器计算机转发的程序暂时储存在自身的存储装置中。然后,在执行处理时,该计算机读取自身的存储装置所储存的程序,执行基于所读取的程序的处理。并且,作为该程序的其他执行方式可以是计算机从便携式记录介质直接读取程序,执行基于该程序的处理,而且还可以是每当该计算机从服务器计算机转发程序时,依次执行基于所接受的程序的处理。并且,也可以设为通过不进行从服务器计算机向该计算机的程序的转发而仅通过其执行指示和结果获取来实现处理功能的、所谓ASP(应用服务提供商(Application ServiceProvider))型的服务来执行上述处理的结构。另外,在本方式中的程序中包含用于基于电子计算器的处理的信息且近似等效于程序的信息(不是对于计算机的直接指令,但是是具有对计算机的处理进行规定的性质的数据等)。
并且,在本方式中,通过在计算机上执行规定的程序来构成本装置,但是也可以通过硬件方式来实现这些处理内容的至少一部分。
标号说明
1 用户终端
2 数据库装置
21 分析查询执行装置
211 个人数据存储部
212 分析查询接收部
213 验证请求部
214 分析查询执行保护加工部
215 分析结果发送部
22 分析查询验证装置
221 分析查询接收部
222 验证执行部
223 验证结果发送部
Claims (6)
1.一种分析查询应答系统,包括:
用户终端,其生成并发送分析查询,所述分析查询至少包括关于进行分析计算的函数q的信息;以及
数据库装置,其包括分析查询验证装置和分析查询执行装置,所述分析查询验证装置包括用于进行所述分析查询是否满足规定的隐私保护指标的第一验证的验证执行部,所述分析查询执行装置包括个人数据存储部和分析查询执行保护加工部,所述个人数据存储部存储有个人数据,所述分析查询执行保护加工部在所述第一验证成功的情况下,通过对从所述个人数据存储部读入的所述个人数据进行与所述分析查询对应的分析来获取分析结果,并对获取到的所述分析结果进行规定的隐私保护加工,
所述用户终端在规定的隐私保护指标以及规定的程序语言下生成所述分析查询,
所述分析查询执行保护加工部在所述第一验证未成功的情况下,废弃所述分析查询,
所述用户终端还生成并发送证明信息,所述证明信息是与关于所述分析查询满足所述规定的隐私保护指标的情况的证明相关的信息,
所述验证执行部使用所述证明信息进行所述分析查询是否满足规定的隐私保护指标的第一验证。
2.根据权利要求1所述的分析查询应答系统,其中,
所述规定的隐私保护指标是ε-差分隐私,
所述证明信息是与所述分析查询对应的分析计算的全局灵敏度相关的证明信息,
所述用户终端还发送因所述分析查询而消耗的隐私量,
所述分析查询执行保护加工部还进行所述用户终端的预先确定的隐私预算的剩余是否超过了所述隐私量的第二验证,在所述第一验证以及所述第二验证成功的情况下,通过对从所述个人数据存储部读入的所述个人数据进行与所述分析查询对应的分析来获取分析结果,并对获取到的所述分析结果进行规定的隐私保护加工,
所述分析查询执行保护加工部在所述第一验证以及所述第二验证中的任意一个未成功的情况下,废弃所述分析查询。
3.一种分析查询执行装置,是权利要求1或2的分析查询应答系统的分析查询执行装置。
4.一种分析查询验证装置,是权利要求1或2的分析查询应答系统的所述分析查询验证装置,
所述分析查询验证装置还包括:分析查询接收部,其接收所述分析查询;以及验证结果发送部,其将基于所述验证执行部的验证结果发送给所述分析查询执行装置。
5.一种分析查询应答方法,包括:
用户终端生成并发送分析查询的步骤,所述分析查询至少包括关于进行分析计算的函数q的信息;
数据库装置的验证执行部进行所述分析查询是否满足规定的隐私保护指标的第一验证的步骤;以及
在所述第一验证成功的情况下,数据库装置的分析查询执行保护加工部通过对从存储有个人数据的个人数据存储部读入的所述个人数据进行与所述分析查询对应的分析来获取分析结果,并对获取到的所述分析结果进行规定的隐私保护加工的步骤,
所述分析查询应答方法还包括:
所述用户终端在规定的隐私保护指标以及规定的程序语言下生成所述分析查询的步骤;
所述分析查询执行保护加工部在所述第一验证未成功的情况下,废弃所述分析查询的步骤;
所述用户终端还生成并发送证明信息的步骤,所述证明信息是与关于所述分析查询满足所述规定的隐私保护指标的情况的证明相关的信息;以及
所述验证执行部使用所述证明信息进行所述分析查询是否满足规定的隐私保护指标的第一验证的步骤。
6.一种计算机可读取的记录介质,存储了用于使计算机作为权利要求3的分析查询执行装置或者权利要求4的分析查询验证装置的各部分发挥功能。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018238166 | 2018-12-20 | ||
JP2018-238166 | 2018-12-20 | ||
PCT/JP2019/049849 WO2020130082A1 (ja) | 2018-12-20 | 2019-12-19 | 分析クエリ応答システム、分析クエリ実行装置、分析クエリ検証装置、分析クエリ応答方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113228022A CN113228022A (zh) | 2021-08-06 |
CN113228022B true CN113228022B (zh) | 2024-01-26 |
Family
ID=71100817
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980083872.XA Active CN113228022B (zh) | 2018-12-20 | 2019-12-19 | 分析查询应答系统、分析查询应答方法以及记录介质 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20220058290A1 (zh) |
EP (1) | EP3901808B1 (zh) |
JP (1) | JP7364595B2 (zh) |
CN (1) | CN113228022B (zh) |
AU (1) | AU2019407410B2 (zh) |
WO (1) | WO2020130082A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023058247A1 (ja) * | 2021-10-08 | 2023-04-13 | 日本電信電話株式会社 | 安全性評価指標計算装置、安全性評価指標計算方法、及びプログラム |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014038524A (ja) * | 2012-08-17 | 2014-02-27 | Nippon Telegr & Teleph Corp <Ntt> | 情報収集システム |
WO2014088903A1 (en) * | 2012-12-03 | 2014-06-12 | Thomson Licensing | Method and apparatus for nearly optimal private convolution |
CN104135362A (zh) * | 2014-07-21 | 2014-11-05 | 南京大学 | 一种基于差分隐私发布的数据的可用性计算方法 |
WO2016203752A1 (ja) * | 2015-06-15 | 2016-12-22 | 日本電気株式会社 | 情報処理装置、情報処理方法、及び、記憶媒体 |
CN106529327A (zh) * | 2016-10-08 | 2017-03-22 | 西安电子科技大学 | 混合云环境下面向加密数据库的数据存取系统及方法 |
WO2017187207A1 (en) * | 2016-04-29 | 2017-11-02 | Privitar Limited | Computer-implemented privacy engineering system and method |
CN108537055A (zh) * | 2018-03-06 | 2018-09-14 | 南京邮电大学 | 一种数据查询隐私保护的隐私预算分配和数据发布方法及其系统 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10231077B2 (en) * | 2007-07-03 | 2019-03-12 | Eingot Llc | Records access and management |
US9928379B1 (en) * | 2008-09-08 | 2018-03-27 | Steven Miles Hoffer | Methods using mediation software for rapid health care support over a secured wireless network; methods of composition; and computer program products therefor |
US8661047B2 (en) * | 2010-05-17 | 2014-02-25 | Microsoft Corporation | Geometric mechanism for privacy-preserving answers |
JP6310345B2 (ja) * | 2014-06-30 | 2018-04-11 | 株式会社Nttドコモ | プライバシー保護装置、プライバシー保護方法及びデータベース作成方法 |
US10681088B2 (en) * | 2015-09-30 | 2020-06-09 | International Business Machines Corporation | Data security system |
US20170124152A1 (en) * | 2015-11-02 | 2017-05-04 | LeapYear Technologies, Inc. | Differentially private processing and database storage |
US11194864B2 (en) * | 2016-05-10 | 2021-12-07 | Aircloak Gmbh | Systems and methods for anonymized statistical database queries |
JP6719413B2 (ja) * | 2017-03-28 | 2020-07-08 | 株式会社Kddi総合研究所 | セキュリティゲートウェイ装置、方法、及びプログラム |
CN109977324B (zh) * | 2019-03-28 | 2022-09-16 | 南京邮电大学 | 一种兴趣点挖掘方法及系统 |
-
2019
- 2019-12-19 JP JP2020561513A patent/JP7364595B2/ja active Active
- 2019-12-19 WO PCT/JP2019/049849 patent/WO2020130082A1/ja unknown
- 2019-12-19 EP EP19901217.0A patent/EP3901808B1/en active Active
- 2019-12-19 AU AU2019407410A patent/AU2019407410B2/en active Active
- 2019-12-19 CN CN201980083872.XA patent/CN113228022B/zh active Active
- 2019-12-19 US US17/413,578 patent/US20220058290A1/en active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014038524A (ja) * | 2012-08-17 | 2014-02-27 | Nippon Telegr & Teleph Corp <Ntt> | 情報収集システム |
WO2014088903A1 (en) * | 2012-12-03 | 2014-06-12 | Thomson Licensing | Method and apparatus for nearly optimal private convolution |
CN104135362A (zh) * | 2014-07-21 | 2014-11-05 | 南京大学 | 一种基于差分隐私发布的数据的可用性计算方法 |
WO2016203752A1 (ja) * | 2015-06-15 | 2016-12-22 | 日本電気株式会社 | 情報処理装置、情報処理方法、及び、記憶媒体 |
WO2017187207A1 (en) * | 2016-04-29 | 2017-11-02 | Privitar Limited | Computer-implemented privacy engineering system and method |
CN106529327A (zh) * | 2016-10-08 | 2017-03-22 | 西安电子科技大学 | 混合云环境下面向加密数据库的数据存取系统及方法 |
CN108537055A (zh) * | 2018-03-06 | 2018-09-14 | 南京邮电大学 | 一种数据查询隐私保护的隐私预算分配和数据发布方法及其系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113228022A (zh) | 2021-08-06 |
JP7364595B2 (ja) | 2023-10-18 |
JPWO2020130082A1 (ja) | 2021-10-14 |
EP3901808A4 (en) | 2022-09-14 |
AU2019407410A1 (en) | 2021-06-10 |
WO2020130082A1 (ja) | 2020-06-25 |
US20220058290A1 (en) | 2022-02-24 |
EP3901808A1 (en) | 2021-10-27 |
EP3901808B1 (en) | 2023-10-11 |
AU2019407410B2 (en) | 2022-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ping et al. | Datasynthesizer: Privacy-preserving synthetic datasets | |
US11468186B2 (en) | Data protection via aggregation-based obfuscation | |
US10437661B2 (en) | Methods, systems, devices, and products for error correction in computer programs | |
CN107005568A (zh) | 数据安全操作与预期 | |
Bonatti et al. | A rule-based trust negotiation system | |
Zichichi et al. | On the efficiency of decentralized file storage for personal information management systems | |
US8307276B2 (en) | Distributed content verification and indexing | |
Crippa et al. | A new measure of between‐studies heterogeneity in meta‐analysis | |
WO2021138126A1 (en) | Identity verification platform | |
Siva Kumar et al. | Efficient sensitivity orient blockchain encryption for improved data security in cloud | |
White et al. | Consistent approximate models of the global atmosphere in non‐spherical geopotential coordinates | |
Li et al. | Poet: Privacy on the edge with bidirectional data transformations | |
KR20220101671A (ko) | 그래디언트 부스팅을 통한 프라이버시 보호 기계 학습 | |
Sousa et al. | The present and future of privacy-preserving computation in fog computing | |
Meis et al. | Understanding the privacy goal intervenability | |
Ahn et al. | The use of ordered weighted averaging method for decision making under uncertainty | |
CN113228022B (zh) | 分析查询应答系统、分析查询应答方法以及记录介质 | |
More et al. | YOU SHALL NOT COMPUTE on my data: Access policies for privacy-preserving data marketplaces and an implementation for a distributed market using MPC | |
Manna et al. | A survey of trust models for enterprise information systems | |
US10467423B1 (en) | Static analysis-based tracking of data in access-controlled systems | |
Kratov | About leaks of confidential data in the process of indexing sites by search crawlers | |
Yuan et al. | Secure integrated circuit design via hybrid cloud | |
Khiabani et al. | Unified trust establishment by leveraging remote attestation–modeling and analysis | |
Studiawan | Forensic analysis of iOS binary cookie files | |
Alfaidi | Multi Authority Pairing Attribute Based Chameleon Hash Consensus (MAP-ABCH) Protocol and RTBF-Blockchain Graphs toward Private and Secure mHealth System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |