RU2780957C1 - Method for depersonalising personal data - Google Patents

Method for depersonalising personal data Download PDF

Info

Publication number
RU2780957C1
RU2780957C1 RU2021116320A RU2021116320A RU2780957C1 RU 2780957 C1 RU2780957 C1 RU 2780957C1 RU 2021116320 A RU2021116320 A RU 2021116320A RU 2021116320 A RU2021116320 A RU 2021116320A RU 2780957 C1 RU2780957 C1 RU 2780957C1
Authority
RU
Russia
Prior art keywords
personal data
attribute
data
transformation
stage
Prior art date
Application number
RU2021116320A
Other languages
Russian (ru)
Inventor
Евгений Александрович Саксонов
Роман Валериевич Шередин
Original Assignee
Евгений Александрович Саксонов
Роман Валериевич Шередин
Filing date
Publication date
Application filed by Евгений Александрович Саксонов, Роман Валериевич Шередин filed Critical Евгений Александрович Саксонов
Application granted granted Critical
Publication of RU2780957C1 publication Critical patent/RU2780957C1/en

Links

Abstract

FIELD: data processing.
SUBSTANCE: invention relates to a method for depersonalising structured personal data. Method includes representing the data as a pre-compiled source table, wherein each row contains personal data of a single subject divided into a set of attributes corresponding to the structural units of the personal data; and converting each attribute of the source table in multiple stages, including dividing the set of elements of the attribute into blocks and permuting the blocks at each stage, wherein the composition and order of the intrablock data do not change in the course of the conversions; multiple conversion keys for all stages of conversion of each attribute are formed and stored on the server, wherein each key contains the number of blocks at each stage, the vector of elements in each block, and the permutation matrix at each stage; wherein the attributes of the source table are converted using the set conversion keys for each attribute so that the number of blocks for each attribute and the number of elements in each block are unique for each attribute and for each stage.
EFFECT: higher security of personal data.
8 cl, 2 tbl

Description

Изобретение относится к области защиты информации, хранимой в информационных системах персональных данных (ИСПДн), от несанкционированного доступа, обезличиванием персональных данных, которые представлены в виде исходной таблицы. The invention relates to the field of protecting information stored in personal data information systems (ISPD) from unauthorized access by depersonalizing personal data, which are presented in the form of an initial table.

В настоящем описании термины будут использоваться в следующем толковании.In the present description, the terms will be used in the following interpretation.

Под структурированными персональными данными понимаются данные, содержащие информацию различного типа о субъекте, которая представлена в виде отдельных структурных единиц.Structured personal data refers to data containing information of various types about the subject, which is presented in the form of separate structural units.

Под структурной единицей персональных данных понимается информация о субъекте определенного типа (возраст, номер паспорта, адреса и т.д.).A structural unit of personal data is understood as information about a subject of a certain type (age, passport number, addresses, etc.).

Под исходной таблицей персональных данных понимается таблица, каждая строка которой содержит персональные данные одного субъекта, соответствующие структурным единицам персональных данных, представленные в виде записей определенной формы.The initial table of personal data is understood as a table, each row of which contains the personal data of one subject, corresponding to the structural units of personal data, presented in the form of records of a certain form.

Под атрибутом персональных данных понимается именованная структурная единица в исходной таблице персональных данных. Атрибут содержит множество однотипных структурных единиц персональных данных разных субъектов, представленных в виде столбца исходной таблицы персональных данных, имеющего название атрибута.A personal data attribute is a named structural unit in the original personal data table. The attribute contains a set of the same type of structural units of personal data of different subjects, presented as a column of the original table of personal data, which has the name of the attribute.

Под таблицей обезличенных персональных данных понимается таблица, размерность которой, состав атрибутов и семантика данных совпадают с размерностью и семантикой исходной таблицы персональных данных, но изменен состав строк таблицы, разрушены связи между типами персональных данных субъектов.The table of impersonal personal data is understood as a table, the dimension of which, the composition of the attributes and the semantics of the data coincide with the dimension and semantics of the original table of personal data, but the composition of the rows of the table has been changed, the links between the types of personal data of the subjects have been destroyed.

Известна Система и метод маскировки данных [US2004181670], которые предусматривают преобразование (маскировку) идентифицирующих персональных данных и представление их в таблице, структурно совпадающей с исходной таблицей персональных данных. Доступ к персональным данным предоставляется пользователям с установленными ролями (полномочиям) для обратного преобразования обезличенных данных. Недостатками данного способа являются:Known System and method of masking data [US2004181670], which provide for the transformation (masking) of identifying personal data and their presentation in a table structurally identical to the original table of personal data. Access to personal data is provided to users with established roles (permissions) for the reverse transformation of anonymized data. The disadvantages of this method are:

- возможность косвенной идентификации субъекта персональных данных по не преобразованным данным, поскольку не все персональные данные преобразуются;- the possibility of indirect identification of the subject of personal data by not converted data, since not all personal data is converted;

- отсутствие возможности обрабатывать персональные данные без предварительного обратного преобразования обезличенных данных (деобезличивания);- the inability to process personal data without prior reverse transformation of anonymized data (de-anonymization) ;

- необходимость непосредственного воздействия на персональные данные в исходной таблице для их преобразования, что может вызвать ошибки при прямом и обратном преобразованиях и нарушить целостность данных;- the need for direct impact on personal data in the source table for their transformation, which can cause errors during direct and reverse transformations and violate the integrity of the data;

- необходимость разделять пользователей данных по предоставляемым им ролям (полномочиям), что усложняет работу с большим числом пользователей.- the need to separate data users according to the roles (authorities) provided to them, which complicates the work with a large number of users.

Известна Система и методы деидентификации записей в источнике данных [US7269578], которые предусматривают преобразование персональных данных в зависимости от требований к анонимности (безопасности) данных. Known System and methods of de-identification of records in the data source [US7269578], which provide for the transformation of personal data depending on the requirements for anonymity (security) data.

Недостатками способа являются:The disadvantages of the method are:

- непосредственное воздействие на исходные персональные данные, что может привести к искажению информации на этапах прямого или обратного преобразований или отсутствию возможности обратного преобразования;- direct impact on the original personal data, which may lead to distortion of information at the stages of direct or reverse transformation or the lack of the possibility of reverse transformation;

- сложности с установлением и изменением требований к анонимности данных, для различных пользователей;- difficulties in establishing and changing the requirements for data anonymity, for different users;

- отсутствие возможностей обработки персональных данных с использованием обезличенных (искаженных) данных без предварительного деобезличивания.- lack of opportunities for processing personal data using anonymized (distorted) data without prior de-anonymization.

Известна Система защищенной базы данных [EP0884670], основанная на разделении идентификационных и персональных данных субъектов и хранении их в различных таблицах и на различных носителях. Идентификационные данные вместе с ключами, связывающими различные таблицы, шифруются клиентами.Known is a secure database system [EP0884670], based on the separation of identification and personal data of subjects and storing them in various tables and on various media. The identities, along with the keys linking the various tables, are encrypted by the clients.

Недостатками способа являются:The disadvantages of the method are:

- разделение данных по различным таблицам, снижающее надежность всей системы хранения и доступа, а также увеличивающее время обработки запросов к персональным данным;- separation of data according to different tables, which reduces the reliability of the entire storage and access system, as well as increasing the processing time for requests for personal data;

- использование шифрования клиентами, что приводит к необходимости управления процессом управления ключами (создания и распределения, смена ключей);- the use of encryption by clients, which leads to the need to manage the key management process (creation and distribution, key change);

- работа с зашифрованными данными усложняет процесс сопоставления данных в различных таблицах;- working with encrypted data complicates the process of comparing data in different tables;

- невозможность поиска данных, связанных с различными субъектами, без предварительного дешифрования всех данных.- the impossibility of searching for data associated with various subjects without first decrypting all the data.

Наиболее близким к предложенному изобретению является способ деперсонализации персональных данных [RU2538913], заключающийся в том, что отдельные атрибуты персональных данных, размещенные в исходной таблице, разбиваются на подмножества (блоки), затем производится циклический сдвиг подмножеств, после чего в каждом подмножестве производится циклический сдвиг находящихся в нем элементов. В результате получается таблица деперсонализированных данных. Параметры циклических сдвигов являются случайными числами для каждого атрибута и составляют ключ преобразования таблицы.The closest to the proposed invention is the method of depersonalization of personal data [RU2538913], which consists in the fact that the individual attributes of personal data placed in the source table are divided into subsets (blocks), then a cyclic shift of the subsets is performed, after which a cyclic shift is performed in each subset the elements in it. The result is a table of depersonalized data. The parameters of the cyclic shifts are random numbers for each attribute and constitute the table transformation key.

Недостатками способа являются:The disadvantages of the method are:

- слабое рассеивание элементов атрибута по всему множеству элементов атрибута, поскольку после преобразования все элементы остаются внутри своих подмножеств, что увеличивает вероятность обратного преобразования без знания ключа, при известных данных по множеству физических лиц, чьи персональные данные находятся в исходной таблице;- weak scattering of attribute elements over the entire set of attribute elements, since after transformation all elements remain inside their subsets, which increases the probability of reverse transformation without knowing the key, with known data on a set of individuals whose personal data are in the source table;

- ограниченное число возможных вариантов преобразования, связанное с использованием только циклических сдвигов;- a limited number of possible transformation options associated with the use of only cyclic shifts;

- однократное проведение преобразований, не обеспечивающее высокий уровень защищенности обезличенных данных из-за относительно небольшого количества вариантов преобразований;- one-time transformations that do not provide a high level of security of anonymized data due to the relatively small number of transformation options;

- ограничение на число записей в таблице, число записей должно быть очень большим для достижения хорошей стойкости к обратным преобразованиям;- restriction on the number of entries in the table, the number of entries must be very large to achieve good resistance to reverse transformations;

- сложности при добавлении новых записей, связанные с необходимостью проводить деперсонализацию данных всей таблицы.- difficulties in adding new records associated with the need to depersonalize the data of the entire table.

Основными отличиями заявляемого способа от наиболее близкого являются:The main differences of the proposed method from the closest are:

- возможность формирования структуры исходной таблицы персональных данных путем определения множества и состава атрибутов;- the possibility of forming the structure of the initial table of personal data by determining the set and composition of attributes;

- отсутствие изменений внутри формируемых при разбиениях блоков персональных данных;- no changes inside personal data blocks generated during splitting;

- возможность многоэтапного разбиения с перестановкой формируемых при разбиениях блоков персональных данных, когда количество этапов определяется применяемыми показателями качества преобразования и защищенности персональных данных;- the possibility of multi-stage splitting with a rearrangement of personal data blocks generated during splitting, when the number of stages is determined by the applied indicators of the quality of transformation and security of personal data;

- возможность применения перестановок, отличных от циклических сдвигов;- the possibility of applying permutations other than cyclic shifts;

- возможность формирования ключей преобразований для каждого этапа.- the possibility of generating transformation keys for each stage.

Заявленный способ совпадает с наиболее близким по следующим показателям:The claimed method coincides with the closest in the following indicators:

- проведение разбиения исходного множества персональных данных на непересекающиеся блоки;- splitting the initial set of personal data into non-overlapping blocks;

- возможность, в виде частного случая, проведения циклических перестановок множества блоков атрибутов персональных данных.- the possibility, in the form of a special case, to carry out cyclic permutations of a plurality of blocks of personal data attributes.

Технической задачей, на решение которой направлено заявляемое техническое решение, является обеспечение хранения и обработки персональных данных в обезличенной форме при сохранении семантики данных исходной таблицы, возможность обработки запросов к обезличенным персональным данным в виде их номеров в составе атрибутов.The technical problem to be solved by the claimed technical solution is to ensure the storage and processing of personal data in an anonymized form while maintaining the data semantics of the source table, the ability to process requests for anonymized personal data in the form of their numbers as part of attributes.

Техническим результатом, достижение которого обеспечивается реализацией способа, является повышение защищенности персональных данных, повышение безопасности хранимых в обезличенной форме структурированных персональных данных, обеспечение скорости и удобства их обработки без обратного преобразования в режиме реального времени.The technical result achieved by the implementation of the method is to increase the security of personal data, increase the security of structured personal data stored in an anonymized form, ensure the speed and convenience of their processing without reverse conversion in real time.

Указанный технический результат достигается тем, что способ обезличивания структурированных персональных данных заключается в представлении данных в виде предварительно сформированной исходной таблицы, каждая строка которой содержит персональные данные одного субъекта, разделенные на множество атрибутов, соответствующих заданным единицам структуры персональных данных, и многоэтапном преобразовании каждого атрибута исходной таблицы, включающем разбиения множества элементов атрибута на блоки и перестановки блоков на каждом этапе, при этом состав и порядок внутриблоковых данных при преобразованиях не меняются, на сервере формируется и хранится множество ключей преобразования для всех этапов преобразования каждого атрибута, где каждый ключ содержит число блоков на каждом этапе, вектор элементов в каждом блоке и матрицу перестановки на каждом этапе, при этом преобразование атрибутов исходной таблицы выполняется с применением заданных ключей преобразований для каждого атрибута таким образом, что количество блоков для каждого атрибута и количество элементов в каждом блоке является уникальными для каждого атрибута и каждого этапа.The specified technical result is achieved by the fact that the method of depersonalization of structured personal data consists in presenting the data in the form of a pre-formed source table, each row of which contains the personal data of one subject, divided into a set of attributes corresponding to the given units of the personal data structure, and a multi-stage transformation of each attribute of the source table. table, which includes splitting a set of attribute elements into blocks and permuting blocks at each stage, while the composition and order of intra-block data do not change during transformations, a set of transformation keys is formed and stored on the server for all stages of transformation of each attribute, where each key contains the number of blocks per at each stage, a vector of elements in each block, and a permutation matrix at each stage, while the transformation of the attributes of the source table is performed using the given transformation keys for each attribute in such a way that that the number of blocks for each attribute and the number of elements in each block are unique for each attribute and each stage.

Кроме того, число этапов преобразования каждого атрибута исходной таблицы является неограниченным.In addition, the number of transformation steps for each attribute of the source table is unlimited.

Кроме того, на сервере обезличивания формируется и хранится множество ключей преобразования для всех этапов преобразования каждого атрибута, где каждый ключ является уникальным и содержит информацию для преобразования на этапе.In addition, a plurality of transformation keys is generated and stored on the depersonalization server for all stages of transformation of each attribute, where each key is unique and contains information for transformation at the stage.

Кроме того, исходная таблица персональных данных может быть получена из любой структурированной формы представления персональных данных, получаемой от удаленных источников, и иметь варьируемое количество атрибутов, не совпадающее с количеством структурных единиц в персональных данных, получаемых от удаленных источников, и обеспечивающее повышение защищенности таблицы обезличенных персональных данных, сохраняя семантику элементов атрибутов.In addition, the original table of personal data can be obtained from any structured form of personal data representation received from remote sources, and have a variable number of attributes that does not match the number of structural units in personal data received from remote sources, and provides an increase in the security of the anonymized table. personal data, preserving the semantics of attribute elements.

Кроме того, для увеличения защищенности данных исходная таблица персональных данных может создаваться на отдельном сервере и, по запросу, передаваться на сервер обезличивания, входящий в состав информационной системы персональных данных (ИСПДн), где формируются и хранятся ключи преобразований, после проведения обезличивания исходная таблица персональных данных уничтожается, так как возможно ее восстановление по таблице обезличенных персональных данных.In addition, to increase data security, the initial personal data table can be created on a separate server and, upon request, transferred to the depersonalization server, which is part of the personal data information system (ISPD), where transformation keys are generated and stored, after depersonalization, the original personal data table data is destroyed, since it is possible to restore it according to the table of anonymized personal data.

Кроме того, при преобразованиях элементы каждого атрибута перемещаются на всем множестве элементов атрибута, что обеспечивает более эффективную защиту от деобезличивания при прямом переборе вариантов и использовании множества известных персональных данных за счет увеличения количества возможных вариантов обезличивания.In addition, during transformations, the elements of each attribute are moved on the entire set of attribute elements, which provides more effective protection against de-anonymization with a direct enumeration of options and the use of a set of known personal data by increasing the number of possible options for anonymization.

Кроме того, возможно использование различных вариантов хранения таблицы обезличенных персональных данных.In addition, it is possible to use various options for storing the table of anonymized personal data.

Кроме того, обеспечивается возможность обработки персональных данных с использованием таблицы обезличенных данных без предварительного деобезличивания всей таблицы за счет возможности деобезличивания только запрашиваемых данных.In addition, it is possible to process personal data using an anonymized data table without first de-anonymizing the entire table due to the possibility of de-anonymizing only the requested data.

Исходная таблица персональных данных (ПД) – T 0(NM) – содержит N записей (строк) и M атрибутов (столбцов). Все строки и атрибуты имеют уникальные номера от 1 до N и от 1 до M соответственно.The initial personal data table (PD) - T 0 ( N , M ) - contains N records (rows) and M attributes (columns). All strings and attributes have unique numbers from 1 to N and from 1 to M , respectively.

Далее для удобства будем рассматривать атрибут номер j исходной таблицы, который содержит упорядоченное занумерованное множество из N элементов (данных о субъектах) – C j 0 = {c j 0(m)}. Здесь c j 0(m) – уникальный номер элемента, имеющего порядковый номер m (стоящего на месте m) во множестве C j 0. В исходной таблице T 0(NM) порядковый номер элемента равен номеру строки, в которой этот элемент находится, и всегда уникальный номер элемента равен его порядковому номеру в исходной таблице: c j 0(m) = m, (1 < c j 0(m) ≤ N; 1 ≤ ≤ N). Проводимые преобразования приводят к несовпадению уникальных и порядковых номеров элементов.Further, for convenience, we will consider the attribute number j of the source table, which contains an ordered numbered set of N elements (data on subjects) – C j 0 = { c j 0 ( m )}. Here c j 0 ( m ) is the unique number of the element having the ordinal number m (standing in place m ) in the set C j 0 . In the source table T 0 ( N , M ) the ordinal number of the element is equal to the number of the row in which this element is located, and the unique element number is always equal to its ordinal number in the source table: c j 0 ( m ) = m , (1 < c j 0 ( m ) ≤ N ; 1 ≤ mN ). The ongoing transformations lead to a mismatch between the unique and ordinal numbers of elements.

Допускается отсутствие данных о субъектах в отдельных элементах атрибутов, в этом случае элементом атрибута является специальный набор символов.Subject data may not be present in individual attribute elements, in which case the attribute element is a special set of characters.

Преобразование множества данных атрибута номер j (j = 1, 2, …, M) происходит в несколько этапов, число которых – R j (1 ≤ R j  < ∞).The transformation of the data set of attribute number j ( j = 1, 2, …, M ) occurs in several stages, the number of which is R j (1 ≤ R j  < ∞).

Каждый этап номер r (r = 1, 2, …, R j ) содержит два шага.Each step number r ( r = 1, 2, …, R j ) contains two steps.

На первом шаге происходит разбиение множества данных атрибута на непересекающиеся блоки данных. Число блоков равно Z jr , где 1 < Z jr N. Все блоки имеют порядковые номера. Каждый блок номер i содержит

Figure 00000001
последовательно занумерованных элементов c номерами от
Figure 00000002
 до
Figure 00000003
 (i = 1, 2, …, Z jr ;
Figure 00000004
). Также
Figure 00000005
, т.е. блоки разбиения содержат все элементы атрибута.At the first step, the attribute data set is divided into non-overlapping data blocks. The number of blocks is Z jr , where 1 < Z jr N . All blocks have serial numbers. Each block number i contains
Figure 00000001
 sequentially numbered elements with numbers from
Figure 00000002
 before
Figure 00000003
 ( i = 1, 2, …, Z jr ;
Figure 00000004
 ). Also
Figure 00000005
 , i.e. breakboxes contain all attribute elements.

Число блоков Z jr атрибута j на этапе r и вектор количества элементов в каждом блоке k jr = (

Figure 00000006
,
Figure 00000007
, …,
Figure 00000008
) являются в общем случае уникальными для каждого атрибута и каждого этапа.The number of blocks Z jr of the attribute j at stage r and the vector of the number of elements in each block k jr = (
Figure 00000006
 ,
Figure 00000007
 , …,
Figure 00000008
) are generally unique for each attribute and each stage.

На втором шаге этапа r проводится перестановка блоков атрибута, задаваемая матрицей перестановки

Figure 00000009
, (i = 1, 2; j = 1, 2, …, Z jr ), где x 1 j  – порядковый номер блока при разбиении (1 ≤ x 1 j  ≤ Z jr , как правило, x 1 j  = j), а x 2 j номер блока разбиения, стоящего на месте, указанном в верхней строке в столбце j, после перестановки (1 ≤ x 2 j ≤ Z jr ), т.е. x 2 n – номер блока разбиения, имеющего после перестановки номер n (номер x 1 n ). В результате получается преобразованное множество атрибута j
Figure 00000010
, где r – номер этапа (r = 1, 2, …, R j ).At the second step of stage r , the attribute blocks are permuted, given by the permutation matrix
Figure 00000009
 , ( i = 1, 2; j = 1, 2, …, Z jr ), where x 1 j  is the serial number of the block when splitting (1 ≤ x 1 j ≤ Z jr , as a rule, x 1 j = j ), and x 2 j is the number of the splitting block, which stands at the place indicated in the top line in column j , after permutation ( 1 ≤ x 2 j ≤ Z jr ), i.e. x 2 n is the number of the partition block that has number n after the permutation (number x 1 n ). The result is a transformed set of attribute j
Figure 00000010
 , where r is the stage number ( r = 1, 2, …, R j ).

Исходным множеством для преобразования на первом этапе является множество данных атрибута j исходной таблицы – C j 0, исходными множествами для преобразований разбиений на этапах 2, 3, …, R j являются множества

Figure 00000011
,
Figure 00000012
, …,
Figure 00000013
. Множество
Figure 00000014
 есть окончательный результат преобразования множества данных атрибута номер j. После окончания проведения преобразований всех атрибутов получается таблица обезличенных ПД – T *(NM).The initial set for transformation at the first stage is the data set of the attribute j of the original table - C j 0 , the initial sets for partition transformations at stages 2, 3, …, R j are the sets
Figure 00000011
 ,
Figure 00000012
 , …,
Figure 00000013
 . Lots of
Figure 00000014
 is the final result of the transformation of the data set of attribute number j . After the completion of the transformations of all attributes, a table of impersonal PD is obtained - T * ( N , M ).

Преобразование исходной таблицы ПД на каждом этапе изменяет порядковые номера элементов всех атрибутов, разрушая связи между элементами строки исходной таблицы. Transformation of the original PD table at each stage changes the serial numbers of the elements of all attributes, destroying the links between the elements of the row of the original table.

Пусть требуется вычислить новый порядковый номер n элемента атрибута j после выполнения этапа r, который по окончании этапа (– 1) имеет порядковый номер m и уникальный номер – c j ( r 1)(m). Разбиение и перестановка задаются вектором k jr = (

Figure 00000015
,
Figure 00000007
, …,
Figure 00000008
) и матрицей
Figure 00000009
. При этом c jr (n) = c j ( r –1)(m). Let it be required to calculate the new ordinal number n of the attribute element j after the execution of stage r , which after the end of the stage ( r - 1) has an ordinal number m and a unique number - c j ( r - 1) ( m ). The partition and permutation are given by the vector k jr = (
Figure 00000015
 ,
Figure 00000007
 , …,
Figure 00000008
 ) and matrix
Figure 00000009
 . In this case, c jr ( n ) = c j ( r –1) ( m ).

Номер блока h, куда после разбиения входит элемент номер m, вычисляется из условия:The number of the block h , which contains the element number m after splitting, is calculated from the condition:

Figure 00000016
.
Figure 00000016
 .

Номер элемента внутри блока h равен:The element number inside block h is:

Figure 00000017
.
Figure 00000017
 .

После перестановки блок номер h будет иметь порядковый номер z, который вычисляется из условия: x 2 z = h.After permutation, block number h will have serial number z , which is calculated from the condition: x 2 z = h .

Номер элемента после перестановки равен:The element number after the permutation is:

Figure 00000018
.
Figure 00000018
 .

Таким образом, определяется новый порядковый номер элемента после проведения этапа. Этот номер становится номером элемента перед следующим этапом преобразования. Уникальный номер элемента не меняется и всегда остается равным порядковому номеру этого элемента в исходной таблице T 0.Thus, a new serial number of the element is determined after the stage. This number becomes the element number before the next conversion step. The unique number of the element does not change and always remains equal to the ordinal number of this element in the original table T 0 .

Параметры преобразования атрибута задает множество: K jr = {Z jr , k jr , X jr }, которое является ключом преобразования атрибута j на этапе r. Вектор K j = (K j 1, K j 2, …, K jRj ) задает множество ключей всех этапов преобразования атрибута j (j = 1, 2, …, M).The attribute transformation parameters are set by the set: K jr = { Z jr , k jr , X jr }, which is the transformation key of attribute j at stage r . The vector K j = ( K j 1 , K j 2 , …, K jRj ) specifies the set of keys for all stages of transformation of the attribute j ( j = 1, 2, …, M ).

Множество ключей для всех атрибутов и всех этапов преобразования исходной таблицы: K(T 0(NM)) = {K j }, (j = 1, 2, …, M) – это ключ преобразования исходной таблицы.The set of keys for all attributes and all stages of transformation of the source table: K ( T 0 ( N , M )) = { K j }, ( j = 1, 2, …, M ) is the transformation key of the source table.

Оценка защищенности преобразования.Evaluation of the security of the transformation.

Защищенность таблицы T *(N, M) от атак, направленных на деобезличивание, при отсутствии данных о ключе преобразования можно оценить количеством возможных вариантов преобразования.The security of the table T * ( N , M ) against attacks aimed at de-anonymization, in the absence of data on the transformation key, can be estimated by the number of possible transformation options.

Число разбиений N элементов атрибута на k блоков равно числу возможных сочетаний из (N – 1) по (– 1) и равно:The number of partitions of N attribute elements into k blocks is equal to the number of possible combinations from ( N - 1) to ( k - 1) and is equal to:

Figure 00000019
.
Figure 00000019
 .

Число возможных разбиений N элементов атрибута равно:The number of possible splits of N attribute elements is:

Figure 00000020
.
Figure 00000020
 .

Возможное число перестановок k блоков на этапе равно k!. Следовательно, общее число возможных вариантов преобразования атрибута, содержащего N элементов на одном этапе, равно:The possible number of permutations of k blocks in a stage is k !. Therefore, the total number of possible transformation options for an attribute containing N elements at one stage is:

Figure 00000021
.
Figure 00000021
 .

Если полное преобразование одного атрибута номер j проводится за R j этапов, то число вариантов полного преобразования этого атрибута равно:If the complete transformation of one attribute number j is carried out in R j stages, then the number of options for the complete transformation of this attribute is:

Figure 00000022
.
Figure 00000022
 .

Для исходной таблицы T 0(N, M), содержащей M атрибутов, число вариантов преобразований равно:For the original table T 0 ( N , M ) containing M attributes, the number of transformation options is:

Figure 00000023
.
Figure 00000023
 .

Таким образом, число возможных вариантов преобразования таблицы T 0(NM) очень велико (реальные значения N лежат в диапазоне от 103 до 108). Например, при = 100, = 10, R j  = 1, Z j 1 = 10 (j = 1, 2, …, 10) получим U 0(10, 100) ≈ 105×17310308 ≥ 1012. При фиксированном = 10U(100) ≥ 1013. Откуда T(100, 10) ≥ 10130.Thus, the number of possible transformations of the table T 0 ( N , M ) is very large (real values of N lie in the range from 10 3 to 10 8 ). For example, at N = 100, M = 10, R j  = 1, Z j 1 = 10 ( j = 1, 2, …, 10) we get U 0 (10, 100) ≈ 10 5 ×17310308 ≥ 10 12 . For a fixed k = 10 U (100) ≥ 10 13 . Whence T (100, 10) ≥ 10 130 .

Для более значительного увеличения числа вариантов при небольших значениях N можно увеличить число M за счет разбиения элементов одного атрибута на несколько новых структурных частей, каждая из которых будет входить в состав своего атрибута (создание новых атрибутов). Например, можно телефон субъекта разделить на 5 частей.For a more significant increase in the number of options for small values of N , you can increase the number M by splitting the elements of one attribute into several new structural parts, each of which will be part of its own attribute (creating new attributes). For example, you can divide the subject's phone into 5 parts.

Заявляемый способ реализуется следующим образом.The inventive method is implemented as follows.

Для проведения обезличивания из структурированных персональных данных, хранимых в различных удаленных хранилищах, создается исходная таблица, каждая строка которой содержит данные об одном субъекте персональных данных. Для создания таблицы проводится сбор данных с удаленных хранилищ (источников) персональных данных путем передачи персональных данных по открытым или защищенным каналам связи на сервер формирования исходной таблицы. От каждого источника также передается информация о структуре персональных данных этого источника. Все данные поступают на сервер формирования исходной таблицы персональных данных, реализованный либо аппаратно, либо программно, который обеспечивает связь, защиту информации и формирование таблицы исходных данных заданной структуры путем интеграции и необходимых преобразований данных, поступающих от удаленных источников. Для приема и преобразования данных от удаленных источников должно использоваться специализированное программное обеспечение, основу которого составляют программы конвертации данных (PDF to Word, XML конвертеры, табличные процессоры MicrosoftExcel); языки программирования для создания приложений: C++, C#, PHP, Java, Python.To carry out depersonalization, an initial table is created from structured personal data stored in various remote storages, each row of which contains data about one subject of personal data. To create a table, data is collected from remote storages (sources) of personal data by transferring personal data via open or secure communication channels to the server for generating the initial table. Each source also transmits information about the structure of personal data of this source. All data is sent to the server for generating the initial personal data table, implemented either in hardware or software, which provides communication, information protection and the formation of a table of initial data of a given structure by integrating and necessary transformations of data coming from remote sources. To receive and convert data from remote sources, specialized software should be used, which is based on data conversion programs (PDF to Word, XML converters, Microsoft Excel spreadsheets); programming languages for creating applications: C++, C#, PHP, Java, Python.

Сформированная исходная таблица персональных данных по запросу передается на сервер обезличивания, который формирует таблицу обезличенных персональных данных. После чего исходная таблица уничтожается.The generated initial table of personal data, upon request, is transmitted to the depersonalization server, which generates a table of depersonalized personal data. Then the original table is destroyed.

На сервере обезличивания создаются и хранятся ключи преобразования атрибутов. Для создания, хранения и защиты ключей используется программное обеспечение, которое по заданным алгоритмам формирует ключи преобразования, создает отдельный файл ключей и обеспечивает защиту этого файла от несанкционированного доступа такими способами, как шифрование, перемещение в другое хранилище и т.д. Программное обеспечение может использовать возможности DriveCrypt, PGP Personal Desktop для хранения и защиты файлов ключей, а также языки программирования для создания приложений создающих ключи: C++, C#, PHP, Java, Python.Attribute transformation keys are created and stored on the depersonalization server. To create, store and protect keys, software is used that generates conversion keys according to specified algorithms, creates a separate key file and protects this file from unauthorized access by such methods as encryption, moving to another storage, etc. The software can use the capabilities of DriveCrypt, PGP Personal Desktop to store and protect key files, as well as programming languages to create key generating applications: C++, C#, PHP, Java, Python.

Исходная таблица персональных данных с применением ключей преобразования атрибутов преобразуется в таблицу обезличенных персональных данных, содержащую те же атрибуты, что и исходная таблица, и сохраняющую семантику записей для каждого атрибута. Для формирования таблицы обезличенных персональных данных используется программное обеспечение, которое реализует заявляемый способ обезличивания, осуществляет многоэтапное преобразование атрибутов исходной таблицы с применением заданных ключей преобразований для каждого атрибута, замену исходной таблицы на получаемую таблицу обезличенных персональных данных. Базой для такого программного обеспечения являются: СУБД – MySQL, Postgre SQL, Microsoft Access; языки программирования для создания приложений – C++, C#, PHP, Java, Python.The original personal data table, using the attribute transformation keys, is converted into an anonymized personal data table containing the same attributes as the original table and preserving the semantics of records for each attribute. To generate a table of anonymized personal data, software is used that implements the claimed method of anonymization, performs a multi-stage transformation of the attributes of the original table using the specified transformation keys for each attribute, and replaces the original table with the resulting table of anonymized personal data. The basis for such software are: DBMS - MySQL, Postgre SQL, Microsoft Access; programming languages for creating applications - C++, C#, PHP, Java, Python.

Сервер обезличивания может передавать таблицу обезличенных данных на сервер обработки персональных данных для обслуживания запросов на обработку персональных данных от зарегистрированных пользователей.The depersonalization server can transfer the depersonalized data table to the personal data processing server to service requests for personal data processing from registered users.

Разделение функций формирования исходной таблицы, обезличивания и обработки персональных данных позволяет повысить производительность и безопасность системы обработки персональных данных.The separation of the functions of generating the initial table, depersonalization and processing of personal data allows you to increase the performance and security of the personal data processing system.

Пример заполнения исходных таблиц персональных данных TAn example of filling in the initial tables of personal data T 00 (10, 3)(10, 3)

Исходная таблица состоит из 10 строк (N = 10), включает три атрибута A, B, C (M = 3) и имеет вид:The original table consists of 10 rows ( N = 10), includes three attributes A, B, C ( M = 3) and looks like:

Исходная таблица персональных данных T 0(10, 3)Initial table of personal data T 0 (10, 3)

№ субъектаsubject number Атрибут 1 (A)Attribute 1 (A) Атрибут 2 (B)Attribute 2 (B) Атрибут 3 (C)Attribute 3 (C) 1one aa 1one bb 1one cc 1one 22 aa 22 bb 22 cc 22 33 aa 33 bb 33 cc 33 4four aa 4four bb 4four cc 4four 55 aa 55 bb 55 cc 55 66 aa 66 bb 66 cc 66 77 aa 77 bb 77 cc 77 8eight aa 8eight bb 8eight cc 8eight 99 aa 99 bb 99 cc 99 10ten aa 10ten bb 10ten cc 10ten

Заданы ключи преобразований для атрибутов:Transformation keys for attributes are set:

Атрибут 1: R 1 = 2, Z 11 = 3, Z 12 = 3. Ключ атрибута: (2, 3, (4, 2, 4), X 11, 3, (3, 5, 2), X 12), Attribute 1: R 1 = 2, Z 11 = 3, Z 12 = 3. Attribute Key: (2, 3, (4, 2, 4), X 11 , 3, (3, 5, 2), X 12 ) ,

где X 11 =

Figure 00000024
, X 12 =
Figure 00000025
.where X 11 =
Figure 00000024
 , X 12 =
Figure 00000025
 .

Атрибут 2: R 2 = 1, Z 21 = 4. Ключ атрибута: (1, 4, (2, 3, 1, 4), X 21), Attribute 2: R 2 = 1, Z 21 = 4. Attribute Key: (1, 4, (2, 3, 1, 4), X 21 ),

где X 21 =

Figure 00000026
.where X 21 =
Figure 00000026
 .

Атрибут 3: R 3 = 2, Z 31 = 5, Z 32 = 3. Ключ атрибута: (2, 5, (2, 1, 2, 2, 3), X 31, 3, (5, 2, 3), X 32,), Attribute 3: R 3 = 2, Z 31 = 5, Z 32 = 3. Attribute Key: (2, 5, (2, 1, 2, 2, 3), X 31 , 3, (5, 2, 3) , X 32 ,),

где X 31 =

Figure 00000027
, X 32 =
Figure 00000028
.where X 31 =
Figure 00000027
 , X 32 =
Figure 00000028
.

После преобразования исходной таблицы получается таблица обезличенных персональных данных:After converting the original table, a table of anonymized personal data is obtained:

Таблица обезличенных данных T *(10, 3)Anonymized data table T * (10, 3)

№ субъектаsubject number Атрибут 1 (A)Attribute 1 (A) Атрибут 2 (B)Attribute 2 (B) Атрибут 3 (C)Attribute 3 (C) 1one aa 99 bb 33 cc 99 22 aa 10ten bb 4four cc 10ten 33 aa 22 bb 55 cc 33 4four aa 33 bb 77 cc 1one 55 aa 4four bb 8eight cc 22 66 aa 77 bb 99 cc 66 77 aa 8eight bb 10ten cc 77 8eight aa 55 bb 66 cc 4four 99 aa 66 bb 1one cc 55 10ten aa 1one bb 22 cc 8eight

Как видно, каждая строка содержит значения атрибутов, не все из которых соответствуют значениям в исходной таблице, т.е. в каждой строке уже не персональные данные какого-либо субъекта.As you can see, each row contains attribute values, not all of which correspond to the values in the original table, i.e. in each line is no longer the personal data of any subject.

Преимуществами заявляемого способа являются:The advantages of the proposed method are:

- обеспечение большей защищенности данных от деобезличивания по косвенным признакам, поскольку исходные номера элементов каждого атрибута после преобразования могут принимать любые значения от 1 до N, а число возможных вариантов преобразования очень велико;- ensuring greater data protection from de-anonymization by indirect signs, since the initial numbers of elements of each attribute after transformation can take any value from 1 to N , and the number of possible transformation options is very large;

- применение для обезличивания ограниченного числа однотипных преобразований (разбиения и перестановки), что упрощает разработку и эксплуатацию программного обеспечения;- application for depersonalization of a limited number of the same type of transformations (partitions and permutations), which simplifies the development and operation of software;

- возможность динамического управления ключами преобразования на каждом этапе и для каждого атрибута;- the ability to dynamically manage the transformation keys at each stage and for each attribute;

- возможность обработки персональных данных без предварительного деобезличивания всей таблицы;- the possibility of processing personal data without first de-anonymizing the entire table;

- возможность хранения атрибутов таблицы обезличенных данных в различных базах данных и на различных серверах;- the ability to store the attributes of the anonymized data table in various databases and on various servers;

- возможность добавления новых атрибутов и их преобразования без деобезличивания созданной таблицы обезличенных персональных данных;- the ability to add new attributes and convert them without de-anonymizing the created table of anonymized personal data;

- возможность оперативного управления процессами обезличивания/деобезличивания;- the possibility of operational management of depersonalization / depersonalization processes;

- возможность формирования унифицированной структуры исходной таблицы персональных данных, сочетающей структуры персональных данных, поступающих от различных внешних источников;- the possibility of forming a unified structure of the initial table of personal data, combining the structures of personal data coming from various external sources;

- возможность разбиения исходной таблицы на части и формирования нескольких таблиц обезличенных персональных для повышения скорости выполнения процессов доступа и обработки запросов;- the ability to split the original table into parts and form several tables of anonymized personal ones to increase the speed of access processes and request processing;

- возможность ликвидации исходной таблицы персональных данных после формирования таблицы обезличенных персональных данных;- the possibility of eliminating the original table of personal data after the formation of a table of anonymized personal data;

- возможность хранения таблицы обезличенных персональных данных в виде распределенного реестра с применением технологии блокчейн.- the ability to store a table of anonymized personal data in the form of a distributed registry using blockchain technology.

Использование заявленного изобретения обеспечивает:The use of the claimed invention provides:

- существенное повышение защищенности обезличенных данных от деобезличивания;- a significant increase in the security of anonymized data from de-anonymization;

- повышение качества обработки персональных данных за счет сохранения семантики и отсутствия возможностей для искажения и потерь информации при обезличивании;- improving the quality of personal data processing due to the preservation of semantics and the absence of opportunities for distortion and loss of information during depersonalization;

- повышение скорости обработки запросов к персональным данным без деобезличивания.- increasing the speed of processing requests for personal data without de-anonymization.

Структурированные персональные данные могут поступать от удаленных источников в виде файлов, таблиц баз данных. Для проведения обезличивания требуется на основе имеющихся форм представления персональных данных составить исходную таблицу персональных данных, каждая строка которой представляет персональные данные одного субъекта, а каждый столбец (атрибут) содержит множество однотипных данных, соответствующих элементам заданной структуры, по всем субъектам, занесенным в таблицу.Structured personal data can come from remote sources in the form of files, database tables. To carry out depersonalization, it is required, on the basis of the existing forms of representation of personal data, to compile an initial table of personal data, each row of which represents the personal data of one subject, and each column (attribute) contains a set of data of the same type corresponding to the elements of a given structure, for all subjects entered in the table.

Атрибуты исходной таблицы могут быть элементами структурных единиц начальной структуры персональных данных (фамилия субъекта, город, телефон и т.д.), а также могут быть частями или объединениями элементов начальной структуры, что увеличивает сложность задачи несанкционированного деобезличиания и позволяет снизить требования к числу субъектов персональных данных в исходной таблице при заданном числе вариантов деобезличивания.The attributes of the source table can be elements of structural units of the initial structure of personal data (surname of the subject, city, phone, etc.), and can also be parts or combinations of elements of the initial structure, which increases the complexity of the task of unauthorized de-anonymization and reduces the requirements for the number of subjects personal data in the source table with a given number of de-anonymization options.

Claims (8)

1. Способ обезличивания структурированных персональных данных, заключающийся в представлении данных в виде предварительно сформированной исходной таблицы, каждая строка которой содержит персональные данные одного субъекта, разделенные на множество атрибутов, соответствующих единицам структуры персональных данных, и многоэтапном преобразовании каждого атрибута исходной таблицы, включающем разбиения множества элементов атрибута на блоки и перестановки блоков на каждом этапе, отличающийся тем, что состав и порядок внутриблоковых данных при преобразованиях не меняются, на сервере формируется и хранится множество ключей преобразования для всех этапов преобразования каждого атрибута, где каждый ключ содержит число блоков на каждом этапе, вектор элементов в каждом блоке и матрицу перестановки на каждом этапе, при этом преобразование атрибутов исходной таблицы выполняется с применением заданных ключей преобразований для каждого атрибута таким образом, что количество блоков для каждого атрибута и количество элементов в каждом блоке являются уникальными для каждого атрибута и каждого этапа.1. A method for depersonalizing structured personal data, which consists in presenting data in the form of a pre-formed source table, each row of which contains personal data of one subject, divided into a set of attributes corresponding to units of the structure of personal data, and a multi-stage transformation of each attribute of the source table, including splitting the set attribute elements into blocks and permutations of blocks at each stage, characterized in that the composition and order of intra-block data do not change during transformations, a set of transformation keys is formed and stored on the server for all transformation stages of each attribute, where each key contains the number of blocks at each stage, a vector of elements in each block and a permutation matrix at each stage, wherein the transformation of the attributes of the source table is performed using the given transformation keys for each attribute so that the number of blocks for each attribute and the number of elements in each block are unique for each attribute and each stage. 2. Способ по п. 1, отличающийся тем, что число этапов преобразования каждого атрибута исходной таблицы является неограниченным.2. The method according to claim 1, characterized in that the number of conversion steps for each attribute of the source table is unlimited. 3. Способ по п. 1, отличающийся тем, что на сервере обезличивания формируется и хранится множество ключей преобразования для всех этапов преобразования каждого атрибута, где каждый ключ является уникальным и содержит информацию для преобразования на этапе.3. The method according to claim 1, characterized in that a plurality of transformation keys is generated and stored on the depersonalization server for all transformation stages of each attribute, where each key is unique and contains information for transformation at the stage. 4. Способ по п. 1, отличающийся тем, что исходная таблица персональных данных может быть получена из любой структурированной формы представления персональных данных, получаемой от удаленных источников, и иметь варьируемое количество атрибутов, не совпадающее с количеством структурных единиц в персональных данных, получаемых от удаленных источников, и обеспечивающее повышение защищенности таблицы обезличенных персональных данных, сохраняя семантику элементов атрибутов.4. The method according to claim 1, characterized in that the original personal data table can be obtained from any structured form of personal data representation received from remote sources, and have a variable number of attributes that does not match the number of structural units in personal data received from remote sources, and providing an increase in the security of the table of anonymized personal data, while maintaining the semantics of the attribute elements. 5. Способ по п. 1, отличающийся тем, что для увеличения защищенности данных исходная таблица персональных данных может создаваться на отдельном сервере и по запросу передаваться на сервер обезличивания, входящий в состав информационной системы персональных данных (ИСПДн), где формируются и хранятся ключи преобразований, после проведения обезличивания исходная таблица персональных данных уничтожается, так как возможно ее восстановление по таблице обезличенных персональных данных.5. The method according to claim 1, characterized in that, in order to increase data security, the initial table of personal data can be created on a separate server and, upon request, transferred to the depersonalization server, which is part of the personal data information system (PDIS), where transformation keys are generated and stored , after depersonalization, the original table of personal data is destroyed, since it is possible to restore it according to the table of depersonalized personal data. 6. Способ по п. 1, отличающийся тем, что при преобразованиях элементы каждого атрибута перемещаются на всем множестве его элементов, что обеспечивает более эффективную защиту от деобезличивания при прямом переборе вариантов и использовании множества известных персональных данных за счет увеличения количества возможных вариантов обезличивания.6. The method according to claim 1, characterized in that during transformations, the elements of each attribute are moved on the entire set of its elements, which provides more effective protection against de-identification with a direct enumeration of options and the use of a set of known personal data by increasing the number of possible options for de-identification. 7. Способ по п. 1, отличающийся тем, что возможно использование различных вариантов хранения таблицы обезличенных персональных данных.7. The method according to claim 1, characterized in that it is possible to use various options for storing a table of anonymized personal data. 8. Способ по п. 1, отличающийся тем, что обеспечивается возможность обработки персональных данных с использованием таблицы обезличенных данных без предварительного деобезличивания всей таблицы за счет возможности деобезличивания только запрашиваемых данных.8. The method according to claim 1, characterized in that it is possible to process personal data using an anonymized data table without first de-anonymizing the entire table due to the possibility of de-anonymizing only the requested data.
RU2021116320A 2021-06-04 Method for depersonalising personal data RU2780957C1 (en)

Publications (1)

Publication Number Publication Date
RU2780957C1 true RU2780957C1 (en) 2022-10-04

Family

ID=

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020073138A1 (en) * 2000-12-08 2002-06-13 Gilbert Eric S. De-identification and linkage of data records
US20040181670A1 (en) * 2003-03-10 2004-09-16 Carl Thune System and method for disguising data
US7269578B2 (en) * 2001-04-10 2007-09-11 Latanya Sweeney Systems and methods for deidentifying entries in a data source
US8355923B2 (en) * 2008-08-13 2013-01-15 Gervais Thomas J Systems and methods for de-identification of personal data
GB2506489A (en) * 2011-07-22 2014-04-02 Vodafone Ip Licensing Ltd Anonymising data
RU2538913C2 (en) * 2012-10-16 2015-01-10 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики" (Университет ИТМО) Method for depersonalisation of personal data
US9230132B2 (en) * 2013-12-18 2016-01-05 International Business Machines Corporation Anonymization for data having a relational part and sequential part
US10528761B2 (en) * 2017-10-26 2020-01-07 Sap Se Data anonymization in an in-memory database

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020073138A1 (en) * 2000-12-08 2002-06-13 Gilbert Eric S. De-identification and linkage of data records
US7269578B2 (en) * 2001-04-10 2007-09-11 Latanya Sweeney Systems and methods for deidentifying entries in a data source
US20040181670A1 (en) * 2003-03-10 2004-09-16 Carl Thune System and method for disguising data
US8355923B2 (en) * 2008-08-13 2013-01-15 Gervais Thomas J Systems and methods for de-identification of personal data
GB2506489A (en) * 2011-07-22 2014-04-02 Vodafone Ip Licensing Ltd Anonymising data
RU2538913C2 (en) * 2012-10-16 2015-01-10 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики" (Университет ИТМО) Method for depersonalisation of personal data
US9230132B2 (en) * 2013-12-18 2016-01-05 International Business Machines Corporation Anonymization for data having a relational part and sequential part
US10528761B2 (en) * 2017-10-26 2020-01-07 Sap Se Data anonymization in an in-memory database

Similar Documents

Publication Publication Date Title
US9720943B2 (en) Columnar table data protection
US10467420B2 (en) Systems for embedding information in data strings
US8938067B2 (en) Format preserving encryption methods for data strings with constraints
US7864952B2 (en) Data processing systems with format-preserving encryption and decryption engines
US8855296B2 (en) Data processing systems with format-preserving encryption and decryption engines
US9805215B1 (en) Mapping identifying information
US7689547B2 (en) Encrypted data search
US20130198525A1 (en) Systems for structured encryption using embedded information in data strings
US9122880B2 (en) Sensitive personal information data protection
EP2087442A1 (en) Ranged lookups
CN106934301B (en) Relational database secure outsourcing data processing method supporting ciphertext data operation
US20140281589A1 (en) Secure database searching
Dolev et al. Privacy-preserving secret shared computations using mapreduce
RU2780957C1 (en) Method for depersonalising personal data
WO2021255668A1 (en) A computer implemented method for the generation and management of codes.
KR100910303B1 (en) Data encryption and decryption apparatus using variable code table and method thereof
RU2636106C1 (en) Method of depersonalization of personal data
Karakasidis et al. More sparking soundex-based privacy-preserving record linkage
KR101899901B1 (en) Database security method and apparatus
US20230185965A1 (en) Security data storage systems
Pouliot et al. The strength of weak randomization: Efficiently searchable encryption with minimal leakage
KR101924296B1 (en) Apparatus for security method
Ren et al. Privacy-preserved multi-party data merging with secure equality evaluation
Lakadkutta et al. Location based privacy preserving access control for relational data
Al Abbassi et al. ANEW TECHNIQUE BY USING INVERTED TABLES AND 3D BOX FOR EFFICIENT QUERYING OVER AN ENCRYPTED DATABASE