CN113255002B - 一种保护多方隐私的联邦k近邻查询方法 - Google Patents

Abstract

本发明公开了一种保护多方隐私的联邦k近邻查询方法，属于联邦计算领域，具体为首先，针对查询点l_q，服务器生成k近邻查询请求q并发送给n个客户端，各客户端分别执行本地k近邻查询；服务器利用本地查询结果确定联邦k近邻中第k近数据点的距离上界和下界，并生成范围计数查询请求发送给各客户端；各客户端将各自的查询个数，结合多方安全计算技术进行融合发送至服务器端。服务器端根据融合结果更新第k近数据点距离的上界或下界，通过迭代输出最终距离r并发起范围查询请求。各客户端在本地执行后得到各自的查询结果，进行融合发送至服务器端，得到最终联邦k近邻查询结果。本发明不仅能保护各数据拥有方的数据隐私，且能高效完成计算。

Description

一种保护多方隐私的联邦k近邻查询方法

技术领域

本发明属于联邦计算领域，具体涉及一种保护多方隐私的联邦k近邻查询方法。

背景技术

随着大数据时代的飞速发展，数据在各种产业应用中具有越来越重要的价值。由于单一主体所拥有的数据有限，因此各主体间互相共享数据能进一步挖掘数据所含价值。然而出于保护敏感数据隐私的考量以及受监管政策所限制，各主体不能直接拿出数据进行共享。因此如何在“数据不能出本地”这一保护隐私的联邦场景下，完成多方协同的查询与计算成为亟待解决的问题。

k近邻查询是指返回数据集中距查询点最近的前k个点，是数据库的经典查询之一，可用于聚类、检索等。而联邦k近邻是指数据分布在多个数据拥有方中，如何在各数据拥有方不交出数据即“数据不出本地”的前提下，完成所有数据上的k近邻查询。

已有保护数据隐私的查询处理方法如加密数据库技术，是指数据拥有方将数据加密并上传至云服务器，云服务器在加密数据上进行查询与计算操作；该技术也可应用至多方共享数据场景下的k近邻查询：首先，各方使用同态加密技术将所有数据均加密上传至云端服务器；服务器在密文上计算所有数据点距查询点的距离；最后对这些距离排序并选出前k个最近的数据点作为答案。

尽管该方法在完成查询的同时一定程度上保护了数据隐私，但是并不能满足“数据不出本地”的隐私保护要求。但是由于各方均需要将全部数据加密传出本地至云服务器，而云服务器汇集了所有数据一旦被攻击，数据泄露风险极大，且难以保证云服务提供商的可靠性。因此该方法不能满足“数据不出本地”的联邦隐私保护要求。

在联邦数据库技术中，其架构主要由各数据拥有方的本地数据库和中心管理系统组成。针对用户发起的查询，中心管理系统首先将该查询进行解析和拆分，其次由各数据拥有方的本地数据库系统执行拆分所得的子查询，最后由中心管理系统聚合各查询结果从而得到该查询的最终结果。

该技术尽管避免了直接汇总各数据拥有方的数据，减少了发送出本地的数据量，一定程度上贴合“数据不出本地”的思想，但在查询拆分和结果聚合过程中并不考虑保护数据隐私，因此该技术也难以满足在联邦场景下进行保护隐私的查询。

近年来也出现了一些基于联邦数据库架构并保护数据隐私的数据联邦系统，然而这些系统多针对关系型数据库的查询，并未解决诸如k近邻查询等空间数据上的经典查询。

发明内容

针对现有技术的不足，本发明采用了多方安全计算技术，通过设计联邦场景下k近邻查询的拆分与结果聚合方法，使各数据拥有方在不泄露本地数据隐私的前提下，达到了共享数据协同计算k近邻查询的效果，具体是一种保护多方隐私的联邦k近邻查询方法，具有在大规模数据上安全高效的计算联邦k近邻查询的优势，实现多数据拥有方在数据不出本地前提下完成保护数据隐私的数据共享。

所述的保护多方隐私的联邦k近邻查询方法，具体步骤如下：

步骤一、针对查询点l_q，服务器生成k近邻查询请求q；

q＝(l_q，k)，其中l_q表示查询点的坐标，k表示与查询点的距离最近的k个数据点。

步骤二、服务器端将查询请求q发送给n个数据拥有方客户端，各客户端分别执行各自的本地k近邻查询，得到各自的本地查询结果。

各客户端为F₁，F₂，...，F_n；数据点集合为{L₁，L₂，...，L_i，...，L_n}；

客户端F_i计算本地k近邻查询所得数据点集合为

是客户端F_i本地数据集中，与查询点l_q的距离值从小到大排序中第j近的数据点。

步骤三、利用各客户端的本地查询结果，确定联邦k近邻中第k近数据点距离的上界r_max和距离下界为r_min＝0。

确定上下界的方法包括以下两种：

1)、首先，客户端F_i距查询点l_q最远的距离为

然后，各客户端将各自的最远距离d₁，d₂，...，d_n分别发送至服务器端，服务器端选取其中最小值设为上界r_max＝min{d₁，d₂，...，d_n}；同时设定距离下界为r_min＝0。

2)、首先，客户端F_i距查询点l_q最远的距离为

然后，各客户端将各自的最远距离分别添加噪声得d′_i＝d_i+△_i；

其中△_i＞0，具体值可通过随机或差分隐私技术确定。

最后，各客户端将添加噪声后的最远距离d₁′，d₂′，...，d_n′分别发送至服务器端，服务器端选取其中最小值设为上界r_max＝min{d₁′，d₂′，...，d_n′}，同时设定下界为r_min＝0。

通过为最远距离添加噪声保护了各数据拥有方距查询点第k近的距离值。

步骤四、服务器端通过上界r_max和下界r_min设定二分距离阈值r_q，并生成范围计数查询请求RangeCount发送给各客户端；

二分距离阈值r_q计算公式为：

范围计数查询请求为：RangeCount＝(l_q，r_q)；

RangeCount表示返回到查询点l_q距离不超过r_q的数据点的个数；

步骤五、各客户端分别执行查询请求RangeCount，得到各自的查询个数，结合多方安全计算技术，在保护各客户端数据隐私的前提下将查询个数进行融合并发送至服务器端。

融合公式为：c＝c₁+c₂+…+c_n；c₁，c₂，...，c_n为各客户端的查询结果。

步骤六、服务器端判断融合结果是否满足c≠k，且r_max-r_min＞t_r，如果是，更新联邦k近邻中第k近数据点距离的上界或下界；返回步骤四，通过二分搜索不断迭代从而逼近第k近数据点距离的值；否则，距离r为最终的r_q；停止搜索并继续执行步骤七。

t_r为设定阈值，当c≠k时，继续判断是否c＞k，如果是，更新联邦k近邻中第k近数据点距离的上界r_max＝r_q；否则，c＜k，更新下界r_min＝r_q；

步骤七、服务器端根据查询点l_q与最终距离r发起范围查询请求，并返给各客户端。

范围查询请求为RangeQuery＝(l_q，r)；该请求表示返回与查询点l_q距离不超过r_q的数据点对象。

步骤八、各客户端分别在本地执行范围查询请求，得到各自的查询结果P₁，P₂，...，P_n；结合多方安全计算技术，在保护各客户端数据来源隐私的前提下将最终的查询结果进行融合，并发送至服务器端，即为联邦k近邻查询结果。

融合公式为：P＝P₁∪P₂∪...∪P_n。

本发明的优点在于：

1)、一种保护多方隐私的联邦k近邻查询方法，相比现有技术中，对于查询请求，n个数据拥有方本地执行k近邻查询后，将各自的查询结果作为候选数据点，并安全加密后发送至服务器端，对n*k个数据点排序后选出距查询点最近的前k个点；本发明通过对联邦k近邻查询进行拆解与聚合，使得多数据拥有方共同计算k近邻查询，不仅能保护各数据拥有方的数据隐私，且能高效完成计算，以应用至大规模数据。

2)、一种保护多方隐私的联邦k近邻查询方法，将联邦k近邻查询拆分为范围计数与范围查询，增强对各数据拥有方数据的隐私保护；通过不同距离的范围计数，每次只汇总符合距离要求的数据点个数而非数据点本身，只在完成二分迭代确定距离后，再进行范围查询，此时汇总的数据点即为本次k近邻查询的结果；从而避免现有方法中汇总所有候选数据点时，可能泄露候选点中不是查询结果的数据点信息。

3)、一种保护多方隐私的联邦k近邻查询方法，通过二分搜索逼近第k近点的距离值，高效且可适用大规模数据；现有方法需要对n*k个候选点进行加密排序，时间复杂度为O(nklognk*E_加密比较)，而本发明通过二分搜索逼近距离，时间复杂度O(logr_max*E_加密求和(n))；可知，本发明的时间复杂度上与k值无关，所以在时间效率上首先去除了对k值的敏感度，即使k值增大也无影响。

附图说明

图1为本发明一种保护多方隐私的联邦k近邻查询方法的框架图；

图2为本发明一种保护多方隐私的联邦k近邻查询方法的流程图；

图3为本发明使用对各客户端RangeCount的查询结果进行融合的示意图；

图4为本发明实施例中联邦k近邻查询中迭代过程示意图；

图5为本发明实施例中联邦k近邻查询中迭代终止示意图。

具体实施方式

下面结合实施例和附图，对本发明的实施方式做详细、清楚的描述。

所述的使用联邦数据库技术计算联邦k近邻查询是指：中心管理系统首先将查询任务拆分给n个数据拥有方，各拥有方在自有数据上计算本地k近邻查询；每方均计算得k个候选点，并将所有n*k个候选点发送至中心管理系统；中心管理系统对所有候选点排序选出前k个数据点即为联邦k近邻答案。

本发明提供了一种保护多方隐私的联邦k近邻查询方法，高效且安全，使各数据拥有方在不泄露本地数据隐私的前提下，达到了共享数据协同计算k近邻查询的效果；搭建的架构如图1所示，包括服务器端和若干数据拥有方的客户端；服务器端负责协调多方客户端，包括：接收k近邻查询、分解k近邻查询、分发子查询以及汇总子查询结果等。各数据拥有方的客户端主要配合服务器端，在各方本地完成对本地数据库的查询。

首先，服务器端接收联邦k近邻距离查询请求，并发送给n个客户端，各客户端执行本地数据库查询，得到本地查询结果，返回给客户端本地k近邻距离结果。服务器端根据各客户端的本地查询结果，从而确定联邦k近邻中第k近数据点距离的上界r_max和下界，进一步根据二分搜索思想设定距离阈值，根据该阈值发起范围计数请求发送给各客户端；各客户端统计个数后进行安全加密融合并发送至服务器端，服务器端不断比较与k的大小，更新上下界r_max,r_min，直至满足条件后得到最终的距离阈值；服务器端发起范围查询请求，并返给各客户端，各客户端将本地符合范围查询的各数据点进行安全加密融合，并发送至服务器端，得到最终的联邦k近邻查询结果。

如图2所示，具体分以下步骤：

步骤一、针对查询点l_q，服务器利用联邦k近邻查询，生成k近邻查询请求q；

q＝(l_q,k)，其中l_q表示查询点的坐标，k表示与查询点的距离最近的k个数据点；该请求表示返回离查询点l_q距离最近的前k个数据点；

距离可以为欧氏距离等距离度量。

步骤二、服务器端将查询请求q发送给n个数据拥有方客户端，各客户端分别执行各自的本地k近邻查询，得到各自的本地查询结果。

各客户端为F₁,F₂,...,F_n；数据点集合为{L₁,L₂,...,L_i,...,L_n}；

客户端F_i计算本地k近邻查询所得数据点集合为

是客户端F_i本地数据集中，与查询点l_q的距离值从小到大排序中第j近的数据点。

步骤三、利用各客户端的本地查询结果，确定联邦k近邻中第k近数据点距离的上界r_max和距离下界为r_min＝0。

确定上下界的方法包括以下两种：

1)、首先，客户端F_i距查询点l_q最远的距离为

然后，各客户端将各自的最远距离d₁，d₂，...，d_n分别发送至服务器端，服务器端选取其中最小值设为上界r_max＝min{d₁，d₂，...，d_n}；同时设定距离下界为r_min＝0。

2)、首先，客户端F_i距查询点l_q最远的距离为

然后，各客户端将各自的最远距离分别添加噪声得d′_i＝d_i+△_i；

其中△_i＞0，具体值可通过随机或差分隐私技术确定。

最后，各客户端将添加噪声后的最远距离d₁′，d₂′，...，d_n′分别发送至服务器端，服务器端选取其中最小值设为上界r_max＝min{d₁′，d₂′，...，d_n′}，同时设定下界为r_min＝0。

通过为最远距离添加噪声保护了各数据拥有方距查询点第k近的距离值。

步骤四、服务器端通过上界r_max和下界r_min设定二分距离阈值r_q，并生成范围计数查询请求RangeCount发送给各客户端；

二分距离阈值r_q计算公式为：

根据二分搜索思想，服务器端根据设定的二分距离阈值r_q，发送范围计数查询请求为：RangeCount＝(l_q，r_q)；

RangeCount表示返回到查询点l_a距离不超过r_q的数据点的个数；

步骤五、各客户端分别执行查询请求RangeCount，得到各自的查询个数，结合多方安全计算融合技术，在保护各客户端数据隐私的前提下将查询个数进行融合并发送至服务器端。

多方安全计算包含混淆电路、秘密共享等多种方法，如图3所示，此处使用基于秘密共享的方法计算c＝c₁+c₂+…+c_n，c₁，c₂，...，c_n为各客户端RangeCount的查询结果；

具体过程为：

1.首先，服务器端生成与客户端数量等同的n个随机数，组成集合U，并发送给所有客户端。

U＝{u₁，u₂，...，u_n}

2.每个客户端结合自身随机生成的n-1个数字，计算各客户端对应的多项式：

客户端F_i随机生成的n-1个数字为a_i(n-1)，a_i(n-2)，...，a_i3，a_i2，a_i1，多项式为：

t_i(u)＝a_i(n-1)u^n-1+a_i(n-2)u^n-2+…+a_i3u³+a_i2u²+a_i1u+c_i；

3.每个客户端将多项式计算结果分别发给其余各客户端。

客户端F₁对应的多项式计算结果为t₁(u)，包括t₁(u₁)，t₁(u₂)，...，t₁(u_i)，...，t₁(u_n)，并将各结果分别发给n个对应的客户端，如t₁(u₁)分给客户端F₁；t₁(u₂)分给客户端F₂，……以此类推，t₁(u_n)分给客户端F_n。

同理，客户端F_i对应的多项式计算结果为t₁(u)，包括t_i(u₁)，t_i(u₂)，...，t_i(u_j)，...，t_i(u_n)，并将各结果分别发给n个对应的客户端，如t_i(u₁)分给客户端F₁；t_i(u₂)分给客户端F₂，……以此类推，t_i(u_n)分给客户端F_n。

4.各客户端都得到n个值，将其相加所得之和等价于将u_i代入新的多项式S(u_i)。

客户端F_i得到

5.每个客户端都将该和发送至服务器端，服务器端得到S(u₁)，S(u₂)，....，S(u_n)，相当于关于n-1次多项式的n个点，利用该n个点解出该多项式，多项式的常数项即为c。

至此服务器已经得到c＝c₁+c₂+…+c_n

在该计算过程中，服务器与各客户端之间传输的均为随机值U或根据随机值计算多项式的结果，而非原始的c_i值，保护各数据拥有方RangeCount的查询结果同时完成安全求和。

如图3所示，对三个客户端RangeCount的查询结果进行融合的过程示意。

步骤六、服务器端判断融合结果是否满足c≠k，且r_max-r_min＞t_r，如果是，更新联邦k近邻中第k近数据点距离的上界或下界；返回步骤四，通过二分搜索不断迭代从而逼近第k近数据点距离的值；否则，距离r为最终的r_a；停止搜索并继续执行步骤七。

t_r为设定阈值，设为较小值如10^-6。

当c≠k且r_max-r_min＞t_r时，继续判断是否c＞k，如果是，更新联邦k近邻中第k近数据点距离的上界r_max＝r_q；否则，c＜k，更新下界r_min＝r_q；

如图4和图5所示，以三个客户端k＝6的联邦k近邻查询为例，具体如下：在二分搜索的某一轮次中，服务器端设定距离值r_q＝0.8，并根据该值发起范围计数RangeCount＝(l_q，0.8)，中心点表示查询点l_q；该实施例中各客户端执行范围计数查询并分别得到计数结果为：c₁＝3，c₂＝6，c₃＝5。结合加密共享技术对c₁，c₂，_c3安全求和，得计数和为14。服务器端将该值与k比较，得k＜14，因此更新上界r_max＝14。

判断14≠k不满足迭代停止条件，继续重复更新r_a＝0.4，最终得到本次范围计数结果为6，判断6＝k，符合迭代停止条件。

步骤七、服务器端根据查询点l_q与最终距离r发起范围查询请求，并返给各客户端。

范围查询请求为RangeQuery＝(l_q，r)；该请求表示返回与查询点l_q距离不超过r_q的数据点对象。

本次实施结果得r＝0.4，服务器端发起范围查询请求为：RangeQuery＝(l_q，0.4)。

步骤八、各客户端分别在本地执行范围查询请求，得到各自的查询结果P₁，P₂，...，P_n；结合多方安全计算融合技术，在保护各客户端数据来源隐私的前提下将最终的查询结果进行融合，并发送至服务器端，即为联邦k近邻查询结果。

本实施例基于混淆思想的多方求并集法为例，计算户＝P₁∪P₂∪..∪P_n，该方法主要包含两轮客户端间依次传输。

第一轮中具体操作如下：

客户端F₁随机生成数据点作为噪声数据

其中噪声数量|N₁|可为随机值、客户端设定值或通过差分隐私技术确定，将噪声添加至本地查询结果P₁中，得到P₁′＝P₁∪N₁，将P₁′发送给下一客户端F₂。

对客户端F₂来说，F₂无法区分P₁′中哪些属于真实查询结果P₁，哪些属于噪声数据N₁。F₂同样生成噪声数据N₂，得到P₂′＝P₂∪N₂，将P₁′∪P₂′发送给下一客户端F₃。

重复该操作依次传递，直至客户端F_n将P₁′∪P₂′∪...∪P_n′发送给客户端F₁，第一轮结束。其中传递次序可以为任意随机次序，而非从1传到n，只要n个客户端均参加第一轮即可。

第二轮具体操作如下：

客户端F₁将噪声数据N₁从P₁′∪P₂′∪...∪P_n′集合中挑出，得到P₁∪P₂′∪..∪P_n′，并随机选择下一客户端将其发送。

对下一客户端来说，仍然无法区分其中的真实结果与噪声数据。下一客户端重复该操作，直至n个客户端均参与第二轮后，即得到户＝P₁∪P₂∪..∪P_n。

在以上计算过程中由于每个客户端对接收到的数据均无法区分其中噪声，因此可保护查询结果数据点具体来源于哪一数据拥有方。

联邦k近邻查询在现实生活中有着广泛应用。以市域社会治理中应急治理为例，当某地发生突发事故后，需要派遣距事故发生地最近的5名网格员前往处置，然而不同类型网格员如社区网格员、警务网格员等，其位置数据由所在单位自治，不能直接共享。此时需要联合多个单位进行联邦k近邻查询，在该查询中查询点为事故发生地的位置，k为5，各数据拥有方为各单位。

Claims (7)

1.一种保护多方隐私的联邦k近邻查询方法，其特征在于，具体包括：

首先，针对查询点l_q，服务器生成k近邻查询请求q，并将该查询请求q发送给n个数据拥有方客户端，各客户端分别执行各自的本地k近邻查询，得到各自的本地查询结果返给服务器端；

服务器端利用各本地查询结果，确定联邦k近邻中第k近数据点距离的上界r_max和距离下界为r_min＝0；并进一步通过上界r_max和下界r_min设定二分距离阈值r_q，利用二分距离阈值r_q生成范围计数查询请求RangeCount发送给各客户端；

所述的确定联邦k近邻中第k近数据点距离的上下界，包括以下两种：

1)、首先，客户端F_i距查询点l_q最远的距离为

L_i为客户端F_i计算本地k近邻查询所得数据点集合，

是客户端F_i本地数据集中，与查询点l_q的距离值从小到大排序中第j近的数据点；

然后，各客户端将各自的最远距离d₁,d₂,...,d_n分别发送至服务器端，服务器端选取其中最小值设为上界r_max＝min{d₁,d₂,...,d_n}；同时设定距离下界为r_min＝0；

2)、各客户端将各自与查询点的最远距离分别添加噪声得d'_i＝d_i+Δ_i；

然后，各客户端将添加噪声后的最远距离d₁',d₂',...,d_n'分别发送至服务器端，服务器端选取其中最小值设为上界r_max＝min{d₁',d₂',...,d_n'}，同时设定下界为r_min＝0；

接着，各客户端分别执行查询请求RangeCount，得到各自的查询个数，结合多方安全计算技术，在保护各客户端数据隐私的前提下将查询个数进行融合并发送至服务器端；

融合公式为：c＝c₁+c₂+…+c_n；c₁,c₂,...,c_n为各客户端的查询结果；

服务器端判断融合结果是否满足c≠k，且r_max-r_min＞t_r，如果是，更新联邦k近邻中第k近数据点距离的上界或下界；通过二分搜索不断迭代从而逼近第k近数据点距离的值；否则，最终距离r为最终的r_q；t_r为设定阈值；

最后，服务器端根据查询点l_q与最终距离r发起范围查询请求，并返给各客户端；各客户端分别在本地执行范围查询请求，得到各自的查询结果P₁,P₂,...,P_n；结合多方安全计算技术，在保护各客户端数据来源隐私的前提下将最终的查询结果进行融合，并发送至服务器端，即为联邦k近邻查询结果。

2.如权利要求1所述的一种保护多方隐私的联邦k近邻查询方法，其特征在于，所述的k近邻查询请求q＝(l_q,k)，其中l_q表示查询点的坐标，k表示与查询点的距离最近的k个数据点。

3.如权利要求1所述的一种保护多方隐私的联邦k近邻查询方法，其特征在于，所述的各客户端为F₁,F₂,...,F_n；数据点集合为{L₁,L₂,...,L_i,...,L_n}。

4.如权利要求1所述的一种保护多方隐私的联邦k近邻查询方法，其特征在于，所述的二分距离阈值r_q计算公式为：

5.如权利要求1所述的一种保护多方隐私的联邦k近邻查询方法，其特征在于，所述的范围计数查询请求为：RangeCount＝(l_q,r_q)；表示返回到查询点l_q距离不超过r_q的数据点的个数。

6.如权利要求1所述的一种保护多方隐私的联邦k近邻查询方法，其特征在于，所述的融合结果满足c≠k且r_max-r_min＞t_r时，继续判断是否c＞k，如果是，更新联邦k近邻中第k近数据点距离的上界r_max＝r_q；否则，c＜k，更新下界r_min＝r_q。

7.如权利要求1所述的一种保护多方隐私的联邦k近邻查询方法，其特征在于，所述的范围查询请求为RangeQuery＝(l_q,r)；该请求表示返回与查询点l_q距离不超过r_q的数据点对象。

Images