WO2018076916A1

WO2018076916A1 - 数据发布方法和装置及终端

Info

Publication number: WO2018076916A1
Application number: PCT/CN2017/099042
Authority: WO
Inventors: 王德政; 苏森; 申山宏; 程祥; 牛家浩; 唐朋; 杨健宇
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-10-27
Filing date: 2017-08-25
Publication date: 2018-05-03
Also published as: CN108009437B; CN108009437A

Abstract

一种数据发布方法，包括：更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；学习实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据。

Description

数据发布方法和装置及终端

技术领域

本申请涉及但不限于数据安全领域，尤其涉及一种数据发布方法和装置及终端。

背景技术

满足隐私保护的数据发布(privacy-preserving data publishing)旨在发布数据的过程中保护用户的敏感信息。差分隐私保护模型的提出为解决满足隐私保护的数据发布问题提供了一种可行的方案。与传统的基于匿名的隐私保护模型(如k-匿名和l-多样性)不同，差分隐私保护模型提供了一种严格、可量化的隐私保护手段，并且所提供的隐私保护强度并不依赖于攻击者所掌握的背景知识。

当前，在单方场景下，PrivBayes(贝叶斯)方法解决了满足差分隐私的数据发布问题，它首先利用原始数据构建一个贝叶斯网络。为了满足隐私保护需求，在构建的贝叶斯网络中加入噪音，使其达到差分隐私保护要求；然后利用含有噪音的贝叶斯网络生成新的数据并发布。然而，单方场景下的数据发布方法不能直接应用于多方场景。在多方场景下，满足差分隐私的分布式数据生成算法(如DistDiffGen算法)解决了两方数据发布问题，而不能适用于多方场景下满足差分隐私的数据发布问题。协同搜索日志生成算法(如CELS算法)解决了多方搜索日志发布问题，但是不能解决多方场景下具有多个属性的数据发布问题，另外，该方法的隐私保护强度较低。基于上述分析，目前还不能实现大数据环境下满足差分隐私保护的多方数据发布。

发明概述

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本申请实施例提供了一种数据发布方法和装置及终端，能够提高在大数据环境下多方数据发布时的安全性。

根据本申请实施例的一个方面，提供了一种数据发布方法，该方法包括：更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；学习实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据。

在示例性实施方式中，更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构，可以包括：获取属性集合中任意两个属性的第一互信息；通过第一互信息对初始贝叶斯网络结构进行串行更新，得到更新后的实际贝叶斯网络结构。

在示例性实施方式中，获取属性集合中任意两个属性的第一互信息，可以包括：将属性集合划分为多个视图，其中，每个视图包括属性集合中的部分属性；利用最优多方拉普拉斯机制，将对应于每个视图的多个边际分布合并为每个视图的实际边际分布，其中，实际边际分布中携带有拉普拉斯噪音；利用每个视图的实际边际分布计算每个视图中任意两个属性的第一互信息。

在示例性实施方式中，将属性集合划分为多个视图可以包括：采用无重叠属性划分方法将属性集合划分为多个视图，其中，任意两个视图所包括的属性对不重叠。

在示例性实施方式中，利用最优多方拉普拉斯机制，将对应于每个视图的多个边际分布合并为每个视图的实际边际分布，可以包括：获取基于多个对象中每个对象拥有的数据计算得到的每个视图的边际分布，其中，边际分布中添加有拉普拉斯噪音；将多个对象的多个边际分布合并为每个视图的实际边际分布，并将多个边际分布携带的多个拉普拉斯噪音中的最小噪音作为实际边际分布的拉普拉斯噪音。

在示例性实施方式中，在更新与数据的属性集合对应的初始贝叶斯网络结构之前，上述方法还可以包括：获取包括属性集合中所有属性的父子节点关系的初始贝叶斯网络结构，其中，父子节点关系由多个对象基于指定方式确定。

在示例性实施方式中，指定方式可以用于指示按照如下方式确定父子节点关系：多个对象中的第一对象将属性集合划分为第一集合和第二集合，其中，第一集合用于保存已经确定父节点的属性，第一集合的初始状态为空，第二集合用于保存未确定父节点的属性；第一对象从第二集合中选取一个属性保存至第一集合；多个对象中的第i对象按照预设方式为第二集合中第一预设数量的属性确定父节点，并将确定了父节点的属性从第二集合迁移至第一集合，其中，i为小于k的正整数，k为多个对象的数量；多个对象中的第k对象按照预设方式为第二集合中第二预设数量的属性确定父节点，并将确定了父节点的属性从第二集合迁移至第一集合。

在示例性实施方式中，预设方式可以包括：获取第一集合中每个第一属性与第二属性的第二互信息，其中，第二属性为从第二集合中选取的属性；使用指数机制从多个第二互信息中选取出目标互信息，将与目标互信息对应的第一属性作为第二属性的父节点。

在示例性实施方式中，通过第一互信息对初始贝叶斯网络结构进行串行更新，得到更新后的实际贝叶斯网络结构，可以包括：对初始贝叶斯网络结构进行更新，得到更新后的第一贝叶斯网络结构；对第j-1贝叶斯网络结构进行更新，得到更新后的第j贝叶斯网络结构，其中，j为大于1且小于k的正整数；对第k-1贝叶斯网络结构进行更新，得到实际贝叶斯网络结构。

在示例性实施方式中，对初始贝叶斯网络结构进行更新，得到更新后的第一贝叶斯网络结构，可以包括：利用第一互信息，采用关联强度感知的边界构造方法构建初始贝叶斯网络结构的第一边界；获取多个对象中的第一对象统计的第一边界内属性及该属性的父节点的第一边际分布，其中，第一边际分布中携带有拉普拉斯噪音；利用指数机制为第一边界内的每个属性选取父节点，得到更新后的第一贝叶斯网络结构。

在示例性实施方式中，对第j-1贝叶斯网络结构进行更新，得到更新后的第j贝叶斯网络结构，可以包括：利用第一互信息，采用关联强度感知的边界构造方法构建第j-1贝叶斯网络结构的第j边界；获取多个对象中第j对象统计的第j边界内属性及该属性的父节点的第j边际分布，其中，第j边际分布中携带有拉普拉斯噪音；利用指数机制为第j边界内的每个属性选取父节点，得到更新后的第j贝叶斯网络结构。

在示例性实施方式中，学习实际贝叶斯网络结构中的参数可以包括：获取多个对象中每个对象确定的实际贝叶斯网络结构中任一属性和任一属性的父节点的条件分布；利用最优多方拉普拉斯机制将获取到的多个条件分布合并为任一属性和任一属性的父节点的实际条件分布，其中，实际条件分布中携带有拉普拉斯噪音。

在示例性实施方式中，利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据可以包括：将每个属性在给定父节点条件下的实际条件分布的乘积作为所有属性的联合分布；发布由联合分布生成的对应于所有属性的数据。

根据本申请实施例的另一个方面，提供了一种数据发布装置，该装置包括：更新单元，配置为更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；学习单元，配置为学习实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；发布单元，配置为利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据。

在示例性实施方式中，更新单元可以包括：第一获取模块，配置为获取属性集合中任意两个属性的第一互信息；更新模块，配置为通过第一互信息对初始贝叶斯网络结构进行串行更新，得到更新后的实际贝叶斯网络结构。

在示例性实施方式中，第一获取模块可以包括：划分子模块，配置为将属性集合划分为多个视图，其中，每个视图包括属性集合中的部分属性；合并子模块，配置为利用最优多方拉普拉斯机制，将对应于每个视图的多个边际分布合并为每个视图的实际边际分布，其中，实际边际分布中携带有拉普拉斯噪音；计算子模块，配置为利用每个视图的实际边际分布计算每个视图中任意两个属性的第一互信息。

在示例性实施方式中，划分子模块可以配置为采用无重叠属性划分装置将属性集合划分为多个视图，其中，任意两个视图所包括的属性对不重叠。

在示例性实施方式中，合并子模块可以配置为：获取基于多个对象中每个对象拥有的数据计算得到的每个视图的边际分布，其中，边际分布中添加有拉普拉斯噪音；将多个对象的多个边际分布合并为每个视图的实际边际分布，并将多个边际分布携带的多个拉普拉斯噪音中的最小噪音作为实际边际分布的拉普拉斯噪音。

在示例性实施方式中，更新单元还可以包括：第二获取模块，配置为获取包括属性集合中所有属性的父子节点关系的初始贝叶斯网络结构，其中，父子节点关系由多个对象基于指定方式确定。

在示例性实施方式中，更新模块可以包括：第一更新子模块，配置为对初始贝叶斯网络结构进行更新，得到更新后的第一贝叶斯网络结构；第二更新子模块，配置为对第j-1贝叶斯网络结构进行更新，得到更新后的第j贝叶斯网络结构，其中，j为大于1且小于k的正整数；第三更新子模块，配置为对第k-1贝叶斯网络结构进行更新，得到实际贝叶斯网络结构。

在示例性实施方式中，第一更新子模块可以配置为：利用第一互信息，采用关联强度感知的边界构造装置构建初始贝叶斯网络结构的第一边界；获取多个对象中的第一对象统计的第一边界内属性及该属性的父节点的第一边际分布，其中，第一边际分布中携带有拉普拉斯噪音；利用指数机制为第一边界内的每个属性选取父节点，得到更新后的第一贝叶斯网络结构。

在示例性实施方式中，第二更新子模块可以配置为：利用第一互信息，采用关联强度感知的边界构造装置构建第j-1贝叶斯网络结构的第j边界；获取多个对象中第j对象统计的第j边界内属性及该属性的父节点的第j边际分布，其中，第j边际分布中携带有拉普拉斯噪音；利用指数机制为第j边界内的每个属性选取父节点，得到更新后的第j贝叶斯网络结构。

在示例性实施方式中，学习单元可以包括：第三获取模块，配置为获取多个对象中每个对象确定的实际贝叶斯网络结构中任一属性和任一属性的父节点的条件分布；合并模块，配置为利用最优多方拉普拉斯机制将获取到的多个条件分布合并为任一属性和任一属性的父节点的实际条件分布，其中，实际条件分布中携带有拉普拉斯噪音。

在示例性实施方式中，发布单元可以包括：处理模块，配置为将每个属性在给定父节点条件下的实际条件分布的乘积作为所有属性的联合分布；发布模块，配置为发布由联合分布生成的对应于所有属性的数据。

根据本申请的另一个实施例，提供了一种终端，包括：处理器；配置为存储处理器可执行指令的存储器；配置为根据处理器的控制进行信息收发通信的传输装置；其中，处理器配置为执行以下操作：更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；学习实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据。

在示例性实施方式中，处理器还可以配置为执行以下操作：获取属性集合中任意两个属性的第一互信息；通过第一互信息对初始贝叶斯网络结构进行串行更新，得到更新后的实际贝叶斯网络结构。

根据本申请的另一个实施例，提供了一种存储介质，存储介质可以被设置为存储用于执行以下步骤的程序代码：更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；学习实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据。

在本申请实施例中，更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；学习实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据，从而提高了在大数据环境下多方数据发布时的安全性，实现了提高数据发布的安全性的技术效果。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1是实施根据本申请实施例提供的数据发布方法的计算机终端的示意图；

图2是一种数据发布系统的示意图；

图3是根据本申请实施例的数据发布方法的流程图；

图4是根据本申请实施例的数据发布系统的示例性示意图；

图5是根据本申请实施例的数据发布系统的示例性示意图；

图6是根据本申请实施例的数据发布系统的示例性示意图；

图7是根据本申请实施例的数据发布系统的示例性示意图；

图8是根据本申请实施例的数据发布系统的示例性示意图；

图9是根据本申请实施例的数据发布装置的示意图。

详述

下文中将参考附图并结合实施例来详细说明本申请。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

本申请实施例所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置(即终端)中执行。以运行在计算机终端上为例，如图1所示，计算机终端可以包括一个或多个(图中仅示出一个)处理器101(处理器101可以包括但不限于微处理器(MCU，Microcontroller Unit)或可编程逻辑器件(FPGA，Field Programmable Gate Array)等的处理装置)、用于存储数据的存储器103、以及用于通信功能的传输装置105。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。

存储器103可用于存储应用软件的软件程序以及模块，如本实施例中的数据发布方法对应的程序指令或模块，处理器101通过运行存储在存储器103内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器103可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器103可进一步包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

例如，上述处理器101配置为执行以下操作：更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；学习实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据。

在示例性实施方式中，处理器101还可以配置为执行以下操作：获取属性集合中任意两个属性的第一互信息；通过第一互信息对初始贝叶斯网络结构进行串行更新，得到更新后的实际贝叶斯网络结构。

传输装置105配置为经由一个网络接收或者发送数据。上述网络的实例可包括计算机终端的通信供应商提供的无线网络。在一个实例中，传输装置105包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通信。在一个实例中，传输装置105可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通信。

首先，在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释：

本地数据集：每个数据拥有者各自拥有属于自己的数据集。

半可信第三方(semi-trusted curator)：第三方指协同一个或多个数据拥有者进行数据发布的个人或机构，半可信指第三方会严格遵守算法的相关协议规则协调一个或多个数据拥有者进行数据发布工作，但它可能在与数据拥有者交互信息的过程中，利用自己掌握的资源窃取数据中用户的隐私信息。

边缘分布(Marginal Distribution)：也即边际分布，指统计学中常用的对多变量的概率密度函数针对某个变量进行求和，从而在结果中可以忽略该变量影响，所得到的概率分布。

例如：假设有三个变量x₁，x₂，x₃联合概率分布为P(x₁，x₂，x₃)，则关于其中一个变量x₁的边缘分布为

则关于其中一个变量x₂，x₃的边缘分布为

贝叶斯网络(Bayesian network)：是一种概率图型模型，借由有向无环图(directed acyclic graphs)中得知一组随机变量及其改组条件概率分配(conditional probability distributions)。

边界(search frontier)：它包含两部分，一部分是一组候选属性-父节点对(即属性对，表示为：<属性，父节点>)构成的集合，另一部分是由这些候选属性-父节点对的边缘分布构成，边界可以被看做是每个数据拥有者更新贝叶斯网络结构的先验知识。

条件分布(Conditional Distribution)：已知两个相关的随机变量X′和Y，随机变量Y在条件{X′＝x}下的条件概率分布是指当已知X′的取值为某个特定值x之时，Y的概率分布。

差分隐私保护模型：差分隐私保护模型已成为数据分析领域标准的隐私保护模型，差分隐私保护模型具有严格的数学定义，并且不对攻击者所拥有的背景知识进行任何假设。给定数据库D和D’，假设D和D’相差一条且仅一条记录r，那么，对于满足差分隐私保护的数据分析算法A，其在数据库D和D’中的分析结果将具有近似相同的概率分布。在这种情况下，无论攻击者拥有如何丰富的背景知识，都无法判断记录r是否存在于数据库中。分析结果的相似性是通过隐私参数(即隐私预算)来控制的。隐私参数越小，说明算法的隐私保护强度越高。差分隐私保护模型是通过在数据分析的过程中加入噪音来保护用户的隐私。因此，如何在满足差分隐私保护的条件下，减少数据分析过程中加入的噪音量是相关研究中面临的主要挑战。对于任意两个数据库，假如它们相差一条且仅一条记录，则称这两个数据库为相邻数据库。差分隐私保护模型的定义如下。

差分隐私保护模型：给定算法A，假设数据库D和D’为任意相邻数据库。对于算法A的任意可能输出结果S，如果算法A在数据库D中输出S的概率与算法A在数据库D’中输出S的概率的比值小于常数值e，称算法A满足差分隐私保护。即Pr[A(D)∈S]≤e^ε×Pr[A(D')∈S]。从概率分布的角度来看，差分隐私保护模型使得任何记录对于算法最终分析结果的影响都是有限的。

指数机制：给定数据库D，输出为一实体对象r∈Range，u(D，r)为可用性函数，Δu为函数u(D，r)的敏感度，若算法A以正比于

的概率从Range中选择输出r，则算法A满足差分隐私保护。

如图2所示，数据发布系统包括数据拥有者(P₁、P₂，…，P_k)，每个数据拥有者都有各自的数据(即保存在数据仓库D中的D₁、D₂、…，D_k)，半可信第三方T将数据仓库中的数据处理之后发布数据D’给数据分析者U，在目前的发布系统中，数据拥有者、半可信第三方以及数据分析者均可能利用其掌握的技能对数据仓库发起攻击(如攻击1、攻击2、攻击3)，从而造成了当前的数据发布系统的安全性较低。而利用本申请的方法恰好可以解决上述问题。

根据本申请实施例，提供了一种数据发布方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图3是根据本申请实施例的数据发布方法的流程图，如图3所示，该方法包括如下步骤：

步骤S301，更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；

步骤S302，学习实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；

步骤S303，利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据。

通过上述实施例，更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；学习实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据，从而提高了在大数据环境下实现多方数据发布时的安全性，实现了提高数据发布的安全性的技术效果。

上述的参数即贝叶斯网络的参数，如指贝叶斯网络中，每个节点在其父节点被给定的情况下的条件分布。

示例性地，上述步骤S301至S303可以在半可信第三方所使用的终端上运行，或者在由半可信第三方和数据拥有者组成的网络中的终端设备上运行，数据拥有者的数量可以为多个。

例如，数据拥有者初始化对应于属性集合的初始贝叶斯网络结构并发送给半可信第三方；半可信第三方和数据拥有者通过第一互信息串行更新初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；半可信第三方和数据拥有者并行学习实际贝叶斯网络结构中的参数；半可信第三方利用学习到参数后的实际贝叶斯网络结构发布对应于属性集合中所有属性的数据。

在步骤S301中，更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构，可以包括：获取属性集合中任意两个属性的第一互信息；通过第一互信息对初始贝叶斯网络结构进行串行更新，得到更新后的实际贝叶斯网络结构。

示例性地，获取属性集合中任意两个属性的第一互信息可以包括：将属性集合划分为多个视图，其中，每个视图包括属性集合中的部分属性；利用最优多方拉普拉斯机制，将对应于每个视图的多个边际分布合并为每个视图的实际边际分布，其中，实际边际分布中携带有拉普拉斯噪音；利用每个视图的实际边际分布计算每个视图中任意两个属性的第一互信息。

需要说明的是，将属性集合划分为多个视图时，采用无重叠属性划分方法将属性集合划分为多个视图，其中，任意两个视图所包括的属性对不重叠，在得到的一组视图(即多个视图)中，视图为包含部分属性的集合，如视图V₁＝(X₁₁,X₁₂,...,X_1i)。

半可信第三方和数据拥有者协同计算数据的属性集合中任意两个属性的第一互信息，半可信第三方将属性集合划分为多个视图，其中，多个视图中每个视图包括属性集合中的部分属性，多个视图中任意两个视图所包括的属性对不重叠；多个数据拥有者中的每个数据拥有者利用自己拥有的数据计算每个视图的边际分布；半可信第三方和多个数据拥有者利用最优多方拉普拉斯机制将多个边际分布合并(如将多个边际分布加在一起)为每个视图的实际边际分布，其中，多个边际分布为多个数据拥有者分别计算得到的边际分布，实际边际分布中携带有拉普拉斯噪音；半可信第三方利用每个视图的实际边际分布计算每个视图中任意两个属性的第一互信息。

利用最优多方拉普拉斯机制，将对应于每个视图的多个边际分布合并为每个视图的实际边际分布，可以包括：获取基于多个对象(即数据拥有者)中每个对象拥有的数据计算得到的每个视图的边际分布，其中，边际分布中添加有拉普拉斯噪音；将多个对象的多个边际分布合并为每个视图的实际边际分布，为了满足差分隐私保护要求，数据拥有者和半可信第三方利用最优多方Laplace机制(即最优多方拉普拉斯机制)为合并的边际分布添加Laplace 噪音，即将多个边际分布携带的多个拉普拉斯噪音中的最小噪音作为实际边际分布的拉普拉斯噪音。

示例性地，半可信第三方和多个数据拥有者利用最优多方拉普拉斯机制，将多个边际分布合并为每个视图的实际边际分布可以包括：每个数据拥有者利用自己拥有的数据统计上一步中所有视图的边际分布，每个数据拥有者将计算得到的边际分布发送给半可信第三方，其中，边际分布中添加有拉普拉斯噪音；半可信第三方将多个边际分布合并(如以累加的形式合并)为每个视图的实际边际分布，为了满足差分隐私保护要求，数据拥有者和半可信第三方利用最优多方Laplace机制(即最优多方拉普拉斯机制)为合并的边际分布添加Laplace噪音，即将多个边际分布携带的多个拉普拉斯噪音中的最小噪音作为实际边际分布的拉普拉斯噪音。

在更新与数据的属性集合对应的初始贝叶斯网络结构之前，可获取包括属性集合中所有属性的父子节点关系的初始贝叶斯网络结构，其中，父子节点关系由多个对象基于指定方式确定。即多个数据拥有者基于指数机制确定属性集合中所有属性的父子节点关系，并确定包括属性集合中所有属性的父子节点关系的初始贝叶斯网络结构。

上述的贝叶斯网络结构初始化是指数据拥有者共同为所有属性选择初始的父节点，构造初始的k度贝叶斯网络结构(其中，k度表示每个属性的父节点个数至多为k)。

示例性地，指定方式可以用于指示按照如下方式确定父子节点关系：多个对象中的第一对象将属性集合划分为第一集合和第二集合，其中，第一集合用于保存已经确定父节点的属性，第一集合的初始状态为空，第二集合用于保存未确定父节点的属性；第一对象从第二集合中选取一个属性保存至第一集合；多个对象中的第i对象按照预设方式为第二集合中第一预设数量的属性确定父节点，并将确定了父节点的属性从第二集合迁移至第一集合，其中，i为小于k的正整数，k为多个对象的数量；多个对象中的第k对象按照预设方式为第二集合中第二预设数量的属性确定父节点，并将确定了父节点的属性从第二集合迁移至第一集合。

上述的预设方式可以指：获取第一集合中每个第一属性与第二属性的第二互信息，其中，第二属性为从第二集合中选取的属性；使用指数机制从多个第二互信息中选取出目标互信息，将与目标互信息对应的第一属性作为第二属性的父节点。

示例性地，上述实施例可通过如下步骤实现：

步骤S11，半可信第三方指定数据拥有者按照P₁,P₂,...,P_K的顺序为属性学习父节点，并确定每个数据拥有者所需学习的属性的个数，前(K-1)个数据拥有者每人学习

个(符号

表示向下取整)，第P_K个学习

个。其中，d为属性集合中属性的数量。

步骤S12，第一个数据拥有者P₁为

个属性学习父节点。

P₁将属性集A分成两组A_h(即第一集合)和A_n(即第二集合)，A_h是由所有已经选定父节点的属性构成的集合，A_n是由所有未选定父节点的属性构成的集合。其中，A_h初始状态为空。

P₁从A_n中随机选取一个属性X₁'，将其父节点记为空，并将X₁'从A_n移至A_h。

P₁从A_n中选取一个属性X_i，从A_h中选取min{k,|A_h|}个属性组成Π_i，X_i和Π_i构成一组候选属性-父节点对。P₁以属性和候选父节点间互信息为评分函数，利用指数机制从所有的候选属性-父节点对中选取一组属性-父节点对(X_i,Π_i)并记为(X₂',Π₂)，Π₂为X₂'的父节点，然后将X₂'从A_n移至A_h。

P₁重复上述过程，直至为

个属性选定父节点。

P₁将集合A_h、A_n和

组属性-父节点对发送给P₂。

步骤S13，P₂为

个新的属性选定父节点，并将集合A_h、A_n和

组属性-父节点对发送给P₃。

步骤S14，P_K将初始化的贝叶斯网络结构N₀发送给半可信第三方。

在步骤S301中，通过第一互信息对初始贝叶斯网络结构进行串行更新，得到更新后的实际贝叶斯网络结构，可以包括：对初始贝叶斯网络结构进行更新，得到更新后的第一贝叶斯网络结构；对第j-1贝叶斯网络结构进行更新，得到更新后的第j贝叶斯网络结构，其中，j为大于1且小于k的正整数；对第k-1贝叶斯网络结构进行更新，得到实际贝叶斯网络结构。

半可信第三方和数据拥有者通过第一互信息串行更新初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构包括：半可信第三方与多个数据拥有者中的第一数据拥有者对初始贝叶斯网络结构进行更新，得到更新后的第一贝叶斯网络结构；半可信第三方与多个数据拥有者中的第j数据拥有者对第j-1贝叶斯网络结构进行更新，得到更新后的第j贝叶斯网络结构，其中，j为大于1且小于k的正整数；半可信第三方与多个数据拥有者中的第k数据拥有者对第k-1贝叶斯网络结构进行更新，得到实际贝叶斯网络结构。

示例性地，对初始贝叶斯网络结构进行更新，得到更新后的第一贝叶斯网络结构可以包括：利用第一互信息，采用关联强度感知的边界构造方法构建初始贝叶斯网络结构的第一边界；获取多个对象中的第一对象统计的第一边界内属性及该属性的父节点的第一边际分布，其中，第一边际分布中携带有拉普拉斯噪音；利用指数机制为第一边界内的每个属性选取父节点，得到更新后的第一贝叶斯网络结构。

半可信第三方利用第一互信息，采用关联强度感知的边界构造方法构建初始贝叶斯网络结构的第一边界；第一数据拥有者统计第一边界内属性及该属性的父节点的第一边际分布，并将加入有拉普拉斯噪音的第一边际分布发送给半可信第三方；半可信第三方利用指数机制为第一边界内的每个属性选取父节点，得到更新后的第一贝叶斯网络结构。

示例性地，对第j-1贝叶斯网络结构进行更新，得到更新后的第j贝叶斯网络结构包括：利用第一互信息，采用关联强度感知的边界构造方法构建第j-1贝叶斯网络结构的第j边界；获取多个对象中第j对象统计的第j边界内属性及该属性的父节点的第j边际分布，其中，第j边际分布中携带有拉普拉斯噪音；利用指数机制为第j边界内的每个属性选取父节点，得到更新后的第j贝叶斯网络结构。

半可信第三方与多个数据拥有者中的第j数据拥有者对第j-1贝叶斯网络结构进行更新，得到更新后的第j贝叶斯网络结构包括：半可信第三方利用第一互信息，采用关联强度感知的边界构造方法构建第j-1贝叶斯网络结构的第j边界；第j数据拥有者统计第j边界内属性及该属性的父节点的第j边际分布，并将加入有拉普拉斯噪音的第j边际分布发送给半可信第三方；半可信第三方利用指数机制为第j边界内的每个属性选取父节点，从而得到更新后的第j贝叶斯网络结构。

在贝叶斯网络结构学习过程中，统计信息中加入的噪音量与候选属性-父节点对(即属性对)的数量成正比。为了减少噪音加入，提高数据效用，可利用边界合理限制候选属性-父节点对的数量。然而，这样必然会造成一定的信息损失。为了减少这种信息损失，边界内需包含更多有效的候选属性-父节点对，与某一属性关联强度越强的属性越有可能成为其父节点，因此，可利用关联强度感知的边界构造方法进行边界构造，该方法的基本思想是在关联强度较强的属性间添加边，过程如下：

步骤1，给定贝叶斯网络结构和两两属性间互信息大小，其中，属性间互信息大小用来度量属性间关联强度，互信息越大，关联强度越强。

步骤2，优先选取互信息最大的属性对，如果该属性对在当前贝叶斯网络结构中存在边，则重新选取属性对；否则，执行步骤3。

步骤3，如果该属性对对应的两个属性均不需添加父节点，则返回步骤2；如果只有其中一个属性需要添加父节点，则在属性对之间添加边，并令另一个属性作为该属性的父节点，同时避免出现环；如果两个属性均需添加父节点，则执行以下步骤来确定边的方向。

步骤4，若边的方向不同，则会影响属性间的依赖关系，从而影响后面边的选取，进而影响最终边界的构造，选取边的方向时，尽量使得最终的边界包含更多有效的候选属性-父节点对，为了判断边的方向对最终边界的影响，可引入稀疏度Sparse(x)和影响度Impact(x,y)。其中，稀疏度Sparse(x)表示该属性x的所有祖先节点还需添加的父节点总数，优先为稀疏度大的节点添加父节点；影响度Impact(x,y)表示确定边的方向为x指向y后将不能被添加到网络结构中边的数量，优先选定影响度小的方向。本文中，当Sparse(x)·Impact(x,y)≤Sparse(y)·Impact(y,x)，选定方向为x指向y。

执行步骤2至步骤4，直至为所有属性选取一定的父节点，则边界构造完成。

示例性地，步骤S301可以通过如下步骤实现：

步骤S21，半可信第三方与第一个数据拥有者P₁对初始化网络结构N₀进行更新。

半可信第三方利用N₀和之前计算出的属性间互信息，采用关联强度感知的边界构造方法构建边界。

P₁统计边界内所有属性及其父节点的边际分布并发送给半可信第三方，为了满足差分隐私保护要求，P₁需在统计的边际分布中加入Laplace噪音。

半可信第三方利用指数机制在边界范围内为每个属性选取父节点，从而得到贝叶斯网络结构N₁。

步骤S22，半可信第三方与第二个数据拥有者P₂对网络进行更新。

半可信第三方利用N₁和计算出的属性间互信息，采用关联强度感知的边界构造方法构建边界。

P₂统计边界内所有属性及其父节点的边际分布并发送给半可信第三方，半可信第三方将其与P₁的统计结果累加。为了满足差分隐私保护要求，P₂需在统计的边际分布中加入Laplace噪音。为了提高边际分布的数据效用，P₁、P₂和半可信第三方利用安全功能评估协议去除边际分布中P₁生成的Laplace噪音，只保留P₂生成的噪音。

半可信第三方利用指数机制在边界范围内为每个属性选取父节点得到贝叶斯网络结构N₂。

步骤S23，半可信第三方与数据拥有者P₃,...P_K对网络进行更新直至得到最终的贝叶斯网络结构N_K(即实际贝叶斯网络结构)。

在步骤S302中，学习实际贝叶斯网络结构中的参数可以包括：获取多个对象中每个对象确定的实际贝叶斯网络结构中任一属性和任一属性的父节点的条件分布；利用最优多方拉普拉斯机制将获取到的多个条件分布合并为任一属性和任一属性的父节点的实际条件分布，其中，实际条件分布中携带有拉普拉斯噪音。

多个数据拥有者获取实际贝叶斯网络结构中任一属性和任一属性的父节点的条件分布；多个数据拥有者和半可信第三方利用最优多方拉普拉斯机制将多个条件分布合并为任一属性和任一属性的父节点的实际条件分布，其中，多个条件分布为多个数据拥有者分别获取的任一属性和任一属性的父节点的条件分布，实际条件分布中携带有拉普拉斯噪音。

数据拥有者统计贝叶斯网络结构中所有属性-父节点的边际分布，并将统计结果发送给半可信第三方；半可信第三方将每个属性-父节点相应的边际分布合并作为该属性-父节点对的边际分布。为了满足差分隐私保护要求，数据拥有者和半可信第三方利用最优多方Laplace机制为合并的边际分布添加Laplace噪音。

在步骤S303中，利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据可以包括：将每个属性在给定父节点条件下的实际条件分布的乘积作为所有属性的联合分布；发布由联合分布生成的对应于所有属性的数据。

半可信第三方将每个属性在给定父节点条件下的实际条件分布的乘积作为所有属性的联合分布；半可信第三方发布由联合分布生成的对应于所有属性的数据。

上述的方法可以通过多方数据发布的装置(也即PrivSeq算法装置)实现，该装置包括四个模块：数据预处理模块、贝叶斯网络结构学习模块、贝叶斯参数学习模块和数据生成模块。每个模块的功能如下：

数据预处理模块，数据拥有者根据数据的每个属性的取值，对属性集进行如下处理：先将取值为连续值的属性(如身高、年龄等取值范围为连续区间的属性)进行离散化处理，转化成取值为离散值的属性，再将取值为非二进制数据的属性，转换成取值为二进制数据的属性。

贝叶斯网络结构学习模块，为数据的属性集构建贝叶斯网络，具有两两属性的互信息计算、贝叶斯网络结构初始化、串行更新贝叶斯网络结构等功能。

贝叶斯参数学习模块，计算贝叶斯网络中每个属性节点的边缘分布。

数据生成模块，根据贝叶斯网络的结构和每个属性节点的边缘分布，重新生成数据。

在多方数据发布过程中，该装置的配置说明如下：

如图4所示，假设K个数据拥有者联合进行数据发布，则为每个数据拥有者配置一台A类服务器，每个数据拥有者的数据存储于各自的A类服务器上，A类服务器上布置了数据预处理模块、贝叶斯网络结构学习模块和贝叶斯参数学习模块。同时，为半可信第三方配置一台B类服务器，B类服务器上布置了贝叶斯网络结构学习模块、贝叶斯参数学习模块和数据生成模块。半可信第三方的B类服务器和每个数据拥有者的A类服务器通过互联网连接。半可信第三方根据PrivSeq算法流程(即运行相应的算法软件)通过B类服务器协调各方的A类服务器进行满足差分隐私保护的数据发布工作。

例如，贝叶斯网络中存在四个节点，分别为节点A、节点B、节点C以及节点D，其中，A为根节点(即不存在父节点)，B的父节点为A，C的父节点为A，D的父节点为A和C。那么属性A、B、C、D的联合分布为：P(A，B，C，D)＝P(A)*P(B|A)*P(C|A)*P(D|A，C)。

在上述实施例中，提供了一种实现满足差分隐私的多方数据发布的方法，能够在保护用户隐私的前提下帮助用户充分分析和挖掘数据中的价值，为业务推广和科学研究提供更多依据。运用数据隐私领域领先的差分隐私模型在多方数据联合发布过程为每个数据拥有者的数据提供ε-差分隐私保护，可以保障用户的隐私，提供更安全的数据发布策略；采用串行的贝叶斯网络更新机制，并结合无重叠属性划分方法和最优多方Laplace机制，从而在每个数据拥有者的数据满足ε-差分隐私的条件下，最大程度地减少噪音的加入，使得发布的数据的效用得到提升，保证整体数据服务的质量；采用串行更新机制并结合关联强度感知的边界构造方法，对数据拥有者和半可信第三方之间传递的信息量进行合理的限制，从而在综合利用各方数据提供高质量服务的同时，减少通信开销，降低大数据环境下数据服务的成本。

下面结合附图及实施例对本申请进行详细说明。

图5是根据本申请实施例的数据发布系统的示例性示意图。如图5所示，以K个医院(编号为P₁、P₂、…，P_k，K≥2)联合发布医疗数据为例对本申请进行详细描述。

K个医院的医疗数据分别存在于各自的物理主机上，半可信第三方和每个医院通过互联网连接。半可信第三方根据PrivSeq算法流程协调各方进行满足差分隐私保护的数据发布工作(发布整体医疗数据)。

步骤S501，半可信第三方采用无重叠属性划分方法对属性集A(如包含姓名、性别、年龄、疾病等属性)进行划分，得到一组视图，视图为包含部分属性的集合，如视图V₁＝(X₁₁,X₁₂,...,X_1i)；

步骤S502，每个医院利用自己拥有的数据统计上一步中所有视图的边际分布，并将统计结果发送给半可信第三方，半可信第三方将每个视图相应的边际分布合并作为该视图的边际分布，K个医院和半可信第三方利用最优多方Laplace机制为合并的边际分布添加Laplace噪音；

步骤S503，半可信第三方利用含有噪音的边际分布，计算所有视图中两两属性的互信息；

步骤S504，半可信第三方指定医院按照P₁,P₂,...,P_K的顺序为属性学习父节点，规定每个属性的父节点个数至多为k，并确定每个医院所需学习的属性的个数，前(K-1)个医院分别学习

个，第P_K个学习

个；

步骤S505，P₁将属性集A分成两组A_h和A_n，A_h是由所有已经选定父节点的属性构成的集合，A_n是由所有未选定父节点的属性构成的集合，其中，A_h初始状态为空；

步骤S506，P₁从A_n中随机选取一个属性X₁'，将其父节点记为空，并将X₁'从A_n移至A_h；

步骤S507，P₁从A_n中选取一个属性X_i，从A_h中选取min{k,|A_h|}个属性组成Π_i，X_i和Π_i构成一组候选属性-父节点对，P₁以属性和候选父节点间互信息为评分函数，利用指数机制从所有的候选属性-父节点对中选取一组属性-父节点对(X_i,Π_i)并记为(X₂',Π₂)，Π₂为X₂'的父节点，然后将X₂'从A_n移至A_h；

步骤S508，P₁重复步骤S507过程，直至为

个属性选定父节点；

步骤S509，P₁将集合A_h，A_n和

组属性-父节点对发送给P₂；

步骤S510，P₂按照步骤S507和步骤S508过程为

个新的属性选定父节点并将集合A_h，A_n和

组属性-父节点对发送给P₃；

步骤S511，P₃,...,P_K重复步骤S510过程直至为所有属性选定父节点，从而得到贝叶斯网络结构N₀；

步骤S512，P_K将初始化的贝叶斯网络结构N₀发送给半可信第三方；

步骤S513，半可信第三方利用N₀和步骤S503中计算出的属性间互信息，采用关联强度感知的边界构造方法构建边界；

步骤S514，P₁统计边界内所有属性及其父节点的边际分布并发送给半可信第三方，为了满足差分隐私保护要求，P₁需在统计的边际分布中加入Laplace噪音；

步骤S515，半可信第三方利用指数机制在边界范围内为每个属性选取父节点从而得到贝叶斯网络结构N₁；

步骤S516，半可信第三方利用N₁和步骤S503中计算出的属性间互信息，采用关联强度感知的边界构造方法构建边界；

步骤S517，P₂统计边界内所有属性及其父节点的边际分布并发送给半可信第三方，半可信第三方将其与步骤S514中P₁的统计结果累加，为了满足差分隐私保护要求，P₂需在统计的边际分布中加入Laplace噪音，为了提高边际分布的数据效用，P₁、P₂和半可信第三方利用安全功能评估协议去除边际分布中P₁生成的Laplace噪音，只保留P₂生成的噪音；

步骤S518，半可信第三方利用指数机制在边界范围内为每个属性选取父节点得到贝叶斯网络结构N₂；

步骤S519，重复步骤S516至步骤S518过程，半可信第三方与医院P₃,...P_K对网络进行更新直至得到最终的贝叶斯网络结构N_K；

步骤S520，每个医院统计贝叶斯网络结构中所有属性-父节点的边际分布，并将统计结果发送给半可信第三方；

步骤S521，半可信第三方将每个属性-父节点相应的边际分布合并作为该属性-父节点对的边际分布，医院和半可信第三方利用最优多方Laplace机制为合并的边际分布添加Laplace噪音；

步骤S522，半可信第三方将含有噪音的贝叶斯网络中每个节点在给定父节点的条件分布的乘积作为数据属性的联合分布；

步骤S523，半可信第三方利用该联合分布生成新的数据。

图6是根据本申请实施例的数据发布系统的示例性示意图。如图6所示，以K个商店(编号为P₁、P₂、…，P_k，K≥2)联合发布整体购买记录为例对本申请进行详细描述。

K个商店的购买记录分别存在于各自的物理主机上，半可信第三方和每个商店通过互联网连接，半可信第三方根据PrivSeq算法流程协调各方进行满足差分隐私保护的数据(整体购买记录)发布工作。

步骤S601，半可信第三方采用无重叠属性划分方法对属性集A(如包含用户的姓名，性别，年龄，购买商品等属性)进行划分，得到一组视图，视图为包含部分属性的集合，如视图V₁＝(X₁₁,X₁₂,...,X_1i)；

步骤S602，每个商店利用自己拥有的数据统计上一步中所有视图的边际分布，并将统计结果发送给半可信第三方，半可信第三方将每个视图相应的边际分布合并作为该视图的边际分布，K个商店和半可信第三方利用最优多方Laplace机制为合并的边际分布添加Laplace噪音；

步骤S603，半可信第三方利用含有噪音的边际分布，计算所有视图中两两属性的互信息；

步骤S604，半可信第三方指定商店按照P₁,P₂,...,P_K的顺序为属性学习父节点，规定每个属性的父节点个数至多为k，并确定每个商店所需学习的属性的个数，前(K-1)个商店分别学习

个，第P_K个学习

个；

步骤S605，P₁将属性集A分成两组A_h和A_n，A_h是由所有已经选定父节点的属性构成的集合，A_n是由所有未选定父节点的属性构成的集合。其中，A_h初始状态为空；

步骤S606，P₁从A_n中随机选取一个属性X₁'，将其父节点记为空，并将X₁'从A_n移至A_h；

步骤S607，P₁从A_n中选取一个属性X_i，从A_h中选取min{k,|A_h|}个属性组成Π_i，X_i和Π_i构成一组候选属性-父节点对，P₁以属性和候选父节点间互信息为评分函数，利用指数机制从所有的候选属性-父节点对中选取一组属性-父节点对(X_i,Π_i)并记为(X₂',Π₂)，Π₂为X₂'的父节点。然后将X₂'从A_n移至A_h；

步骤S608，P₁重复步骤S607过程，直至为

个属性选定父节点；

步骤S609，P₁将集合A_h，A_n和

组属性-父节点对发送给P₂；

步骤S610，P₂按照步骤S607和骤S608过程为

个新的属性选定父节点并将集合A_h，A_n和

组属性-父节点对发送给P₃；

步骤S611，P₃,...,P_K重复步骤S610过程直至为所有属性选定父节点，从而得到贝叶斯网络结构N₀；

步骤S612，P_K将初始化的贝叶斯网络结构N₀发送给半可信第三方；

步骤S613，半可信第三方利用N₀和步骤S603中计算出的属性间互信息，采用关联强度感知的边界构造方法构建边界；

步骤S614，P₁统计边界内所有属性及其父节点的边际分布并发送给半可信第三方。为了满足差分隐私保护要求，P₁需在统计的边际分布中加入Laplace噪音；

步骤S615，半可信第三方利用指数机制在边界范围内为每个属性选取父节点从而得到贝叶斯网络结构N₁；

步骤S616，半可信第三方利用N₁和步骤S603中计算出的属性间互信息，采用关联强度感知的边界构造方法构建边界；

步骤S617，P₂统计边界内所有属性及其父节点的边际分布并发送给半可信第三方，半可信第三方将其与步骤S614中P₁的统计结果累加，为了满足差分隐私保护要求，P₂需在统计的边际分布中加入Laplace噪音，为了提高边际分布的数据效用，P₁，P₂和半可信第三方利用安全功能评估协议去除边际分布中P₁生成的Laplace噪音，只保留P₂生成的噪音；

步骤S618，半可信第三方利用指数机制在边界范围内为每个属性选取父节点得到贝叶斯网络结构N₂；

步骤S619，重复步骤S616至步骤S618过程，半可信第三方与商店P₃,...P_K对网络进行更新直至得到最终的贝叶斯网络结构N_K；

步骤S620，每个商店统计贝叶斯网络结构中所有属性-父节点的边际分布，并将统计结果发送给半可信第三方；

步骤S621，半可信第三方将每个属性-父节点相应的边际分布合并作为该属性-父节点对的边际分布，商店和半可信第三方利用最优多方Laplace机制为合并的边际分布添加Laplace噪音；

步骤S622，半可信第三方将含有噪音的贝叶斯网络中每个节点在给定父节点的条件分布的乘积作为数据属性的联合分布；

步骤S623，半可信第三方利用该联合分布生成新的数据。

图7是根据本申请实施例的数据发布系统的示例性示意图。如图7所示，以K个银行(编号为P₁、P₂、…，P_k，K≥2)联合发布整体交易信息为例对本申请进行详细描述。

K个银行的交易信息数据分别存在于各自的物理主机上，半可信第三方和每个银行通过互联网连接。半可信第三方根据PrivSeq算法流程协调各方进行满足差分隐私保护的数据(整体交易信息)发布工作。

步骤S701，半可信第三方采用无重叠属性划分方法对属性集A(如包含姓名，性别，年龄，取款金额等属性)进行划分，得到一组视图，视图为包含部分属性的集合，如视图V₁＝(X₁₁,X₁₂,...,X_1i)；

步骤S702，每个银行利用自己拥有的数据统计上一步中所有视图的边际分布，并将统计结果发送给半可信第三方，半可信第三方将每个视图相应的边际分布合并作为该视图的边际分布，K个银行和半可信第三方利用最优多方Laplace机制为合并的边际分布添加Laplace噪音；

步骤S703，半可信第三方利用含有噪音的边际分布，计算所有视图中两两属性的互信息；

步骤S704，半可信第三方指定银行按照P₁,P₂,...,P_K的顺序为属性学习父节点，规定每个属性的父节点个数至多为k，并确定每个银行所需学习的属性的个数，前(K-1)个银行分别学习

个，第P_K个学习

个；

步骤S705，P₁将属性集A分成两组A_h和A_n，A_h是由所有已经选定父节点的属性构成的集合，A_n是由所有未选定父节点的属性构成的集合，其中，A_h初始状态为空；

步骤S706，P₁从A_n中随机选取一个属性X₁'，将其父节点记为空，并将X₁'从A_n移至A_h；

步骤S707，P₁从A_n中选取一个属性X_i，从A_h中选取min{k,|A_h|}个属性组成Π_i，X_i和Π_i构成一组候选属性-父节点对，P₁以属性和候选父节点间互信息为评分函数，利用指数机制从所有的候选属性-父节点对中选取一组属性-父节点对(X_i,Π_i)并记为(X₂',Π₂)，Π₂为X₂'的父节点，然后将X₂'从A_n移至A_h；

步骤S708，P₁重复步骤S707过程，直至为

个属性选定父节点；

步骤S709，P₁将集合A_h、A_n和

组属性-父节点对发送给P₂；

步骤S710，P₂按照步骤S707和步骤S708过程为

个新的属性选定父节点并将集合A_h，A_n和

组属性-父节点对发送给P₃；

步骤S711，P₃,...,P_K重复步骤S710过程直至为所有属性选定父节点，从而得到贝叶斯网络结构N₀；

步骤S712，P_K将初始化的贝叶斯网络结构N₀发送给半可信第三方；

步骤S713，半可信第三方利用N₀和步骤S703中计算出的属性间互信息，采用关联强度感知的边界构造方法构建边界；

步骤S714，P₁统计边界内所有属性及其父节点的边际分布并发送给半可信第三方。为了满足差分隐私保护要求，P₁需在统计的边际分布中加入Laplace噪音；

步骤S715，半可信第三方利用指数机制在边界范围内为每个属性选取父节点从而得到贝叶斯网络结构N₁；

步骤S716，半可信第三方利用N₁和步骤S703中计算出的属性间互信息，采用关联强度感知的边界构造方法构建边界；

步骤S717，P₂统计边界内所有属性及其父节点的边际分布并发送给半可信第三方，半可信第三方将其与步骤S714中P₁的统计结果累加，为了满足差分隐私保护要求，P₂需在统计的边际分布中加入Laplace噪音，为了提高边际分布的数据效用，P₁、P₂和半可信第三方利用安全功能评估协议去除边际分布中P₁生成的Laplace噪音，只保留P₂生成的噪音；

步骤S718，半可信第三方利用指数机制在边界范围内为每个属性选取父节点得到贝叶斯网络结构N₂；

步骤S719，重复步骤S716至步骤S718过程，半可信第三方与银行P₃,...P_K对网络进行更新直至得到最终的贝叶斯网络结构N_K；

步骤S720，每个银行统计贝叶斯网络结构中所有属性-父节点的边际分布，并将统计结果发送给半可信第三方；

步骤S721，半可信第三方将每个属性-父节点相应的边际分布合并作为该属性-父节点对的边际分布，银行和半可信第三方利用最优多方Laplace机制为合并的边际分布添加Laplace噪音；

步骤S722，半可信第三方将含有噪音的贝叶斯网络中每个节点在给定父节点的条件分布的乘积作为数据属性的联合分布；

步骤S723，半可信第三方利用该联合分布生成新的数据。

图8是根据本申请实施例的数据发布系统的示例性示意图。如图8所示，以K个学校(编号为P₁、P₂、…，P_k，K≥2)联合发布整体学生考试成绩为例对本申请进行详细描述。

K个学校的考试成绩分别存在于各自的物理主机上，半可信第三方和每个学校通过互联网连接，半可信第三方根据PrivSeq算法流程协调各方进行满足差分隐私保护的数据(整体学生考试成绩)发布工作。

步骤S801，半可信第三方采用无重叠属性划分方法对属性集A(如包含学号、姓名、性别、成绩等属性)进行划分，得到一组视图，视图为包含部分属性的集合，如视图V₁＝(X₁₁,X₁₂,...,X_1i)；

步骤S802，每个学校利用自己拥有的数据统计上一步中所有视图的边际分布，并将统计结果发送给半可信第三方，半可信第三方将每个视图相应的边际分布合并作为该视图的边际分布，K个学校和半可信第三方利用最优多方Laplace机制为合并的边际分布添加Laplace噪音；

步骤S803，半可信第三方利用含有噪音的边际分布，计算所有视图中两两属性的互信息；

步骤S804，半可信第三方指定学校按照P₁,P₂,...,P_K的顺序为属性学习父节点，规定每个属性的父节点个数至多为k，并确定每个学校所需学习的属性的个数，前(K-1)个学校分别学习

个，第P_K个学习

个；

步骤S805，P₁将属性集A分成两组A_h和A_n，A_h是由所有已经选定父节点的属性构成的集合，A_n是由所有未选定父节点的属性构成的集合。显然A_h初始状态为空；

步骤S806，P₁从A_n中随机选取一个属性X₁'，将其父节点记为空，并将X₁'从A_n移至A_h；

步骤S807，P₁从A_n中选取一个属性X_i，从A_h中选取min{k,|A_h|}个属性组成Π_i，X_i和Π_i构成一组候选属性-父节点对。P₁以属性和候选父节点间互信息为评分函数，利用指数机制从所有的候选属性-父节点对中选取一组属性-父节点对(X_i,Π_i)并记为(X₂',Π₂)，Π₂为X₂'的父节点。然后将X₂'从A_n移至A_h；

步骤S808，P₁重复步骤S807过程，直至为

个属性选定父节点；

步骤S809，P₁将集合A_h，A_n和

组属性-父节点对发送给P₂；

步骤S810，P₂按照步骤S807和步骤S808过程为

个新的属性选定父节点并将集合A_h，A_n和

组属性-父节点对发送给P₃；

步骤S811，P₃,...,P_K重复步骤S810过程直至为所有属性选定父节点，从而得到贝叶斯网络结构N₀；

步骤S812，P_K将初始化的贝叶斯网络结构N₀发送给半可信第三方；

步骤S813，半可信第三方利用N₀和步骤S803中计算出的属性间互信息，采用关联强度感知的边界构造方法构建边界；

步骤S814，P₁统计边界内所有属性及其父节点的边际分布并发送给半可信第三方。为了满足差分隐私保护要求，P₁需在统计的边际分布中加入Laplace噪音；

步骤S815，半可信第三方利用指数机制在边界范围内为每个属性选取父节点从而得到贝叶斯网络结构N₁；

步骤S816，半可信第三方利用N₁和步骤S803中计算出的属性间互信息，采用关联强度感知的边界构造方法构建边界；

步骤S817，P₂统计边界内所有属性及其父节点的边际分布并发送给半可信第三方，半可信第三方将其与步骤S814中P₁的统计结果累加，为了满足差分隐私保护要求，P₂需在统计的边际分布中加入Laplace噪音，为了提高边际分布的数据效用，P₁，P₂和半可信第三方利用安全功能评估协议去除边际分布中P₁生成的Laplace噪音，只保留P₂生成的噪音；

步骤S818，半可信第三方利用指数机制在边界范围内为每个属性选取父节点得到贝叶斯网络结构N₂；

步骤S819，重复步骤S816至步骤S818过程，半可信第三方与学校P₃,...P_K对网络进行更新直至得到最终的贝叶斯网络结构N_K；

步骤S820，每个学校统计贝叶斯网络结构中所有属性-父节点的边际分布，并将统计结果发送给半可信第三方；

步骤S821，半可信第三方将每个属性-父节点相应的边际分布合并作为该属性-父节点对的边际分布，学校和半可信第三方利用最优多方Laplace机制为合并的边际分布添加Laplace噪音；

步骤S822，半可信第三方将含有噪音的贝叶斯网络中每个节点在给定父节点的条件分布的乘积作为数据属性的联合分布；

步骤S823，半可信第三方利用该联合分布生成新的数据。

在上述实施例中，运用数据隐私领域领先的差分隐私模型在多方数据联合发布过程为每个数据拥有者的数据提供ε-差分隐私保护，可以保障用户的隐私，提供更安全的数据发布策略；采用串行的贝叶斯网络更新机制，并结合无重叠属性划分方法和最优多方Laplace机制，从而在每个数据拥有者的数据满足ε-差分隐私的条件下，最大程度地减少噪音的加入，使得发布的数据的效用得到提升，保证整体数据服务的质量；采用串行更新机制并结合关联强度感知的边界构造方法，对数据拥有者和半可信第三方之间传递的信息量进行合理的限制，从而在综合利用各方数据提供高质量服务的同时，减少通信开销，降低大数据环境下数据服务的成本。

本申请实施例中还提供了一种数据发布装置。该装置用于实现上述实施例及示例性实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件、硬件或者软件和硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图9是根据本申请实施例的数据发布装置的示意图。如图9所示，该装置可以包括：更新单元91、学习单元92以及发布单元93。

更新单元91，配置为更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；

学习单元92，配置为学习实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；

发布单元93，配置为利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据。

通过上述实施例，更新单元更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；学习单元学习实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；发布单元利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据，从而提高了在大数据环境下实现多方数据发布时的安全性，实现了提高数据发布的安全性的技术效果。

示例性地，更新单元91可以包括：第一获取模块，配置为获取属性集合中任意两个属性的第一互信息；更新模块，配置为通过第一互信息对初始贝叶斯网络结构进行串行更新，得到更新后的实际贝叶斯网络结构。

示例性地，第一获取模块可以包括：划分子模块，配置为将属性集合划分为多个视图，其中，每个视图包括属性集合中的部分属性；合并子模块，配置为利用最优多方拉普拉斯机制，将对应于每个视图的多个边际分布合并为每个视图的实际边际分布，其中，实际边际分布中携带有拉普拉斯噪音；计算子模块，配置为利用每个视图的实际边际分布计算每个视图中任意两个属性的第一互信息。

示例性地，划分子模块可以配置为采用无重叠属性划分装置将属性集合划分为多个视图，其中，任意两个视图所包括的属性对不重叠。在得到的一组视图(即多个视图)中，视图为包含部分属性的集合，如视图V₁＝(X₁₁,X₁₂,...,X_1i)。

示例性地，合并子模块可以配置为：获取基于多个对象中每个对象拥有的数据计算得到的每个视图的边际分布，其中，边际分布中添加有拉普拉斯噪音；将多个对象的多个边际分布合并为每个视图的实际边际分布，并将多个边际分布携带的多个拉普拉斯噪音中的最小噪音作为实际边际分布的拉普拉斯噪音。

示例性地，更新单元91还可以包括：第二获取模块，配置为获取包括属性集合中所有属性的父子节点关系的初始贝叶斯网络结构，其中，父子节点关系由多个对象基于指定方式确定。

示例性地，更新模块可以包括：第一更新子模块，配置为对初始贝叶斯网络结构进行更新，得到更新后的第一贝叶斯网络结构；第二更新子模块，配置为对第j-1贝叶斯网络结构进行更新，得到更新后的第j贝叶斯网络结构，其中，j为大于1且小于k的正整数；第三更新子模块，配置为对第k-1贝叶斯网络结构进行更新，得到实际贝叶斯网络结构。

上述实施例中的更新单元91还可以配置为控制多个数据拥有者基于指数机制确定属性集合中所有属性的父子节点关系，并确定包括属性集合中所有属性的父子节点关系的初始贝叶斯网络结构。

示例性地，第一更新子模块可以配置为：利用第一互信息，采用关联强度感知的边界构造装置构建初始贝叶斯网络结构的第一边界；获取多个对象中的第一对象统计的第一边界内属性及该属性的父节点的第一边际分布，其中，第一边际分布中携带有拉普拉斯噪音；利用指数机制为第一边界内的每个属性选取父节点，得到更新后的第一贝叶斯网络结构。

示例性地，第二更新子模块可以配置为：利用第一互信息，采用关联强度感知的边界构造装置构建第j-1贝叶斯网络结构的第j边界；获取多个对象中第j对象统计的第j边界内属性及该属性的父节点的第j边际分布，其中，第j边际分布中携带有拉普拉斯噪音；利用指数机制为第j边界内的每个属性选取父节点，得到更新后的第j贝叶斯网络结构。

示例性地，更新单元91可以按照如下步骤实现上述功能：

示例性地，学习单元92可以包括：第三获取模块，配置为获取多个对象中每个对象确定的实际贝叶斯网络结构中任一属性和任一属性的父节点的条件分布；合并模块，配置为利用最优多方拉普拉斯机制将获取到的多个条件分布合并为任一属性和任一属性的父节点的实际条件分布，其中，实际条件分布中携带有拉普拉斯噪音。

示例性地，学习单元92可以按照如下步骤实现上述功能：

步骤S31，半可信第三方与第一个数据拥有者P₁对初始化网络结构N₀进行更新。

步骤S32，半可信第三方与第二个数据拥有者P₂对网络进行更新。

步骤S33，半可信第三方与数据拥有者P₃,...P_K对网络进行更新直至得到最终的贝叶斯网络结构N_K(即实际贝叶斯网络结构)。

示例地，发布单元93可以包括：处理模块，配置为将每个属性在给定父节点条件下的实际条件分布的乘积作为所有属性的联合分布；发布模块，配置为发布由联合分布生成的对应于所有属性的数据。

在上述实施例中，提供了一种实现满足差分隐私的多方数据发布的装置，能够在保护用户隐私的前提下帮助用户充分分析和挖掘数据中的价值，为业务推广和科学研究提供更多依据。运用数据隐私领域领先的差分隐私模型在多方数据联合发布过程为每个数据拥有者的数据提供ε-差分隐私保护，可以保障用户的隐私，提供更安全的数据发布策略；采用串行的贝叶斯网络更新机制，并结合无重叠属性划分方法和最优多方Laplace机制，从而在每个数据拥有者的数据满足ε-差分隐私的条件下，最大程度地减少噪音的加入，使得发布的数据的效用得到提升，保证整体数据服务的质量；采用串行更新机制并结合关联强度感知的边界构造方法，对数据拥有者和半可信第三方之间传递的信息量进行合理的限制，从而在综合利用各方数据提供高质量服务的同时，减少通信开销，降低大数据环境下数据服务的成本。

需要说明的是，上述模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：由同一处理器实现；或者，由不同的处理器实现。

本申请实施例还提供了一种存储介质。在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：S1，更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；S2，学习实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；S3，利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据。

示例性地，存储介质还被设置为存储用于执行以下步骤的程序代码：S4，获取属性集合中任意两个属性的第一互信息；S5，通过第一互信息对初始贝叶斯网络结构进行串行更新，得到更新后的实际贝叶斯网络结构。

在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

在本实施例中，处理器可以根据存储介质中已存储的程序代码执行：更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；学习实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；利用目标贝叶斯网络结构发布对应于属性集合中所有属性的数据。

在本实施例中，处理器可以根据存储介质中已存储的程序代码执行：获取属性集合中任意两个属性的第一互信息；通过第一互信息对初始贝叶斯网络结构进行串行更新，得到更新后的实际贝叶斯网络结构。本实施例中的示例可以参考上述实施例及示例性实施方式中的描述，本实施例在此不再赘述。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

以上所述仅为本申请的示例性实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

工业实用性

本申请实施例提供一种数据发布方法和装置及装置，提高了在大数据环境下多方数据发布时的安全性。

Claims

一种数据发布方法，包括：

更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构(S301)；

学习所述实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构(S302)；

利用所述目标贝叶斯网络结构发布对应于所述属性集合中所有属性的数据(S303)。
根据权利要求1所述的方法，其中，所述更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构，包括：

获取所述属性集合中任意两个属性的第一互信息；

通过所述第一互信息对所述初始贝叶斯网络结构进行串行更新，得到更新后的所述实际贝叶斯网络结构。
根据权利要求2所述的方法，其中，所述获取所述属性集合中任意两个属性的第一互信息包括：

将所述属性集合划分为多个视图，其中，每个所述视图包括所述属性集合中的部分属性；

利用最优多方拉普拉斯机制，将对应于每个所述视图的多个边际分布合并为每个所述视图的实际边际分布，其中，所述实际边际分布中携带有拉普拉斯噪音；

利用每个所述视图的实际边际分布，计算每个所述视图中任意两个属性的第一互信息。
根据权利要求3所述的方法，其中，所述将所述属性集合划分为多个视图包括：

采用无重叠属性划分方法将所述属性集合划分为多个所述视图，其中，任意两个所述视图所包括的属性对不重叠，所述属性对包括所述属性集合中的两个属性。
根据权利要求3或4所述的方法，其中，所述利用最优多方拉普拉斯机制，将对应于每个所述视图的多个边际分布合并为每个所述视图的实际边际分布，包括：

获取基于多个对象中每个所述对象拥有的数据计算得到的每个所述视图的边际分布，其中，所述边际分布中添加有拉普拉斯噪音；

将多个所述对象的多个所述边际分布合并为每个所述视图的实际边际分布，并将多个所述边际分布携带的多个拉普拉斯噪音中的最小噪音作为所述实际边际分布的拉普拉斯噪音。
根据权利要求1所述的方法，在更新与数据的属性集合对应的初始贝叶斯网络结构之前，所述方法还包括：

获取包括所述属性集合中所有属性的父子节点关系的所述初始贝叶斯网络结构，其中，所述父子节点关系由多个对象基于指定方式确定。
根据权利要求6所述的方法，其中，所述指定方式用于指示按照如下方式确定所述父子节点关系：

多个所述对象中的第一对象将所述属性集合划分为第一集合和第二集合，其中，所述第一集合用于保存已经确定父节点的属性，所述第一集合的初始状态为空，所述第二集合用于保存未确定父节点的属性；

所述第一对象从所述第二集合中选取一个属性保存至所述第一集合；

多个所述对象中的第i对象按照预设方式为所述第二集合中第一预设数量的属性确定父节点，并将确定了父节点的属性从所述第二集合迁移至所述第一集合，其中，i为小于k的正整数，k为多个所述对象的数量；

多个所述对象中的第k对象按照所述预设方式为所述第二集合中第二预设数量的属性确定父节点，并将确定了父节点的属性从所述第二集合迁移至所述第一集合。
根据权利要求7所述的方法，其中，所述预设方式包括：

获取所述第一集合中每个第一属性与第二属性的第二互信息，其中，所述第二属性为从所述第二集合中选取的属性；

使用指数机制从多个所述第二互信息中选取出目标互信息，将与所述目标互信息对应的第一属性作为所述第二属性的父节点。
根据权利要求2所述的方法，其中，所述通过所述第一互信息对所述初始贝叶斯网络结构进行串行更新，得到更新后的实际贝叶斯网络结构，包括：

对所述初始贝叶斯网络结构进行更新，得到更新后的第一贝叶斯网络结构；

对第j-1贝叶斯网络结构进行更新，得到更新后的第j贝叶斯网络结构，其中，j为大于1且小于k的正整数；

对第k-1贝叶斯网络结构进行更新，得到所述实际贝叶斯网络结构。
根据权利要求9所述的方法，其中，所述对所述初始贝叶斯网络结构进行更新，得到更新后的第一贝叶斯网络结构包括：

利用所述第一互信息，采用关联强度感知的边界构造方法构建所述初始贝叶斯网络结构的第一边界；

获取多个对象中的第一对象统计的所述第一边界内属性及该属性的父节点的第一边际分布，其中，所述第一边际分布中携带有拉普拉斯噪音；

利用指数机制为所述第一边界内的每个属性选取父节点，得到更新后的所述第一贝叶斯网络结构。
根据权利要求9所述的方法，其中，所述对第j-1贝叶斯网络结构进行更新，得到更新后的第j贝叶斯网络结构包括：

利用所述第一互信息，采用关联强度感知的边界构造方法构建第j-1贝叶斯网络结构的第j边界；

获取多个对象中第j对象统计的所述第j边界内属性及该属性的父节点的第j边际分布，其中，所述第j边际分布中携带有拉普拉斯噪音；

利用指数机制为所述第j边界内的每个属性选取父节点，得到更新后的所述第j贝叶斯网络结构。
根据权利要求1所述的方法，其中，所述学习所述实际贝叶斯网络结构中的参数包括：

获取多个对象中每个所述对象确定的所述实际贝叶斯网络结构中任一属性和所述任一属性的父节点的条件分布；

利用最优多方拉普拉斯机制将获取到的多个所述条件分布合并为所述任一属性和所述任一属性的父节点的实际条件分布，其中，所述实际条件分布中携带有拉普拉斯噪音。
根据权利要求1所述的方法，其中，所述利用所述目标贝叶斯网络结构发布对应于所述属性集合中所有属性的数据包括：

将每个所述属性在给定父节点条件下的实际条件分布的乘积作为所有所述属性的联合分布；

发布由所述联合分布生成的对应于所有所述属性的数据。
一种数据发布装置，包括：

更新单元(91)，配置为更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；

学习单元(92)，配置为学习所述实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；

发布单元(93)，配置为利用所述目标贝叶斯网络结构发布对应于所述属性集合中所有属性的数据。
根据权利要求14所述的装置，其中，所述更新单元包括：

第一获取模块，配置为获取所述属性集合中任意两个属性的第一互信息；

更新模块，配置为通过所述第一互信息对所述初始贝叶斯网络结构进行串行更新，得到更新后的所述实际贝叶斯网络结构。
根据权利要求15所述的装置，其中，所述第一获取模块包括：

划分子模块，配置为将所述属性集合划分为多个视图，其中，每个所述视图包括所述属性集合中的部分属性；

合并子模块，配置为利用最优多方拉普拉斯机制将对应于每个所述视图的多个边际分布合并为每个所述视图的实际边际分布，其中，所述实际边际分布中携带有拉普拉斯噪音；

计算子模块，配置为利用每个所述视图的实际边际分布计算每个所述视图中任意两个属性的第一互信息。
根据权利要求16所述的装置，其中，所述划分子模块配置为采用无重叠属性划分装置将所述属性集合划分为多个所述视图，其中，任意两个所述视图所包括的属性对不重叠，所述属性对包括所述属性集合中的两个属性。
根据权利要求16或17所述的装置，其中，所述合并子模块配置为：

获取基于多个对象中每个所述对象拥有的数据计算得到的每个所述视图的边际分布，其中，所述边际分布中添加有拉普拉斯噪音；

将多个所述对象的多个所述边际分布合并为每个所述视图的实际边际分布，并将多个所述边际分布携带的多个拉普拉斯噪音中的最小噪音作为所述实际边际分布的拉普拉斯噪音。
根据权利要求14所述的装置，其中，所述更新单元还包括：

第二获取模块，配置为获取包括所述属性集合中所有属性的父子节点关系的所述初始贝叶斯网络结构，其中，所述父子节点关系由多个对象基于指定方式确定。
根据权利要求15所述的装置，其中，所述更新模块包括：

第一更新子模块，配置为对所述初始贝叶斯网络结构进行更新，得到更新后的第一贝叶斯网络结构；

第二更新子模块，配置为对第j-1贝叶斯网络结构进行更新，得到更新后的第j贝叶斯网络结构，其中，j为大于1且小于k的正整数；

第三更新子模块，配置为对第k-1贝叶斯网络结构进行更新，得到所述实际贝叶斯网络结构。
根据权利要求20所述的装置，其中，所述第一更新子模块配置为：

利用所述第一互信息，采用关联强度感知的边界构造装置构建所述初始贝叶斯网络结构的第一边界；

获取多个对象中的第一对象统计的所述第一边界内属性及该属性的父节点的第一边际分布，其中，所述第一边际分布中携带有拉普拉斯噪音；

利用指数机制为所述第一边界内的每个属性选取父节点，得到更新后的所述第一贝叶斯网络结构。
根据权利要求20所述的装置，其中，所述第二更新子模块配置为：

利用所述第一互信息，采用关联强度感知的边界构造装置构建第j-1贝叶斯网络结构的第j边界；

获取多个对象中第j对象统计的所述第j边界内属性及该属性的父节点的第j边际分布，其中，所述第j边际分布中携带有拉普拉斯噪音；

利用指数机制为所述第j边界内的每个属性选取父节点，得到更新后的所述第j贝叶斯网络结构。
根据权利要求14所述的装置，其中，所述学习单元包括：

第三获取模块，配置为获取多个对象中每个所述对象确定的所述实际贝叶斯网络结构中任一属性和所述任一属性的父节点的条件分布；

合并模块，配置为利用最优多方拉普拉斯机制，将获取到的多个所述条件分布合并为所述任一属性和所述任一属性的父节点的实际条件分布，其中，所述实际条件分布中携带有拉普拉斯噪音。
根据权利要求14所述的装置，其中，所述发布单元包括：

处理模块，配置为将每个所述属性在给定父节点条件下的实际条件分布的乘积作为所有所述属性的联合分布；

发布模块，配置为发布由所述联合分布生成的对应于所有所述属性的数据。
一种终端，包括：

处理器(101)；

配置为存储所述处理器可执行指令的存储器(103)；

配置为根据所述处理器的控制进行信息收发通信的传输装置(105)；

其中，所述处理器(101)配置为执行以下操作：更新与数据的属性集合对应的初始贝叶斯网络结构，得到更新后的实际贝叶斯网络结构；学习所述实际贝叶斯网络结构中的参数，得到目标贝叶斯网络结构；利用所述目标贝叶斯网络结构发布对应于所述属性集合中所有属性的数据。
根据权利要求25所述的终端，其中，所述处理器(101)还配置为执行以下操作：获取所述属性集合中任意两个属性的第一互信息；通过所述第一互信息对所述初始贝叶斯网络结构进行串行更新，得到更新后的所述实际贝叶斯网络结构。
一种存储介质，存储有数据发布程序，所述数据发布程序被处理器执行时实现如权利要求1至13中任一项所述的数据发布方法的步骤。