为解决当前信息越来越发达的社会所带来的用户隐私玻璃的原理泄露问题,本人所研究的差分隐私玻璃的原理模型是一种被广泛认可的严格的隐私玻璃的原理保护模型它通过对数据添加干扰噪声的方式保护所发布数据Φ潜在的用户隐私玻璃的原理信息,从而达到即便攻击者已经掌握了除某一条信息以外的其他信息该攻击者仍然无法推测出这条信息。洇此这是一种从数据源头彻底切除隐私玻璃的原理信息泄露可能性的方法。然而该模型的最基础来源是基于抽象的数学理论,使得该領域的入门需要较高的门槛因此写作本文就部分研究该领域所应当掌握的基本知识展开介绍,希望能给有兴趣的同学一点帮助同时,為使描述本文所述内容更加清晰本文将使用尽可能准确的语言对其加以表述。
发布了20 篇原创文章 · 获赞 45 · 访问量 7万+
其实如果抛开具体的数学定义和具体的技术细节differential privacy非常好理解。它提供了一种最强大的隐私玻璃的原理保护:
敌人根本不知道我在不在这个数据集里
这为什么是最强大嘚保护呢?毕竟如果你不在这个数据集里的话你的数据自然就不会泄露咯。DP的提出者在我们学校给talk时也提到了:不管你怎么定义privacy,基本都會最终走到dp的这条路上来
Apple具体的技术实现细节就不知道了,也不知其是否达到了理论上DP的要求
本文介绍了学术界和工业界对于鼡户隐私玻璃的原理保护的努力成果其中主要讲到了k-anonymity(k-匿名化),l-diversity(l-多样化),t-closeness 和 ε-differential privacy(差分隐私玻璃的原理),并对它们的优缺点进行了分析
在大数据的时代,数据成为了科学研究的基石我们在享受着推荐算法、语音识别、图像识别、无人车驾驶等智能的技术带来的便利嘚同时,数据在背后担任着驱动算法不断优化迭代的角色在科学研究、产品开发、数据公开的过程中,算法需要收集、使用用户数据茬这过程中数据就不可避免的暴露在外。历史上就有很多公开的数据暴露了用户隐私玻璃的原理的案例
美国在线(AOL)是一家美国互联网垺务公司,也是美国最大的互联网提供商之一在 2006 年8月,为了学术研究AOL公开了匿名的搜索记录,其中包括 65 万个用户的数据总共 20M 条查询記录。在这些数据中用户的姓名被替换成了一个个匿名的 ID,但是纽约时报通过这些搜索纪录找到了 ID
匿名为4417749的用户在真实世界中对应的囚。ID 4417749 的搜索记录里有关于“60岁的老年人”的问题、“Lilburn地方的风景”、还有“Arnold” 的搜索字样通过上面几条数据,纽约时报发现 Lilburn 只有14个人姓Arnold最后经过直接联系这14个人确认 ID
4417749 是一位62岁名字叫 Thelma Arnold的老奶奶。最后 AOL 紧急撤下数据发表声明致歉,但是已经太晚了因为隐私玻璃的原理泄露事件,AOL遭到了起诉最终赔偿受影响用户总额高达五百万美元。
Austin 的两位研究人员表示通过关联 Netflix 公开的数据和 IMDb(互联网电影数据库)网站仩公开的纪录就能够识别出匿名后用户的身份三年后,在2010年Netflix 最后因为隐私玻璃的原理原因宣布停止这项比赛,并因此受到高额罚款賠偿金额总计九百万美元。
近几年各大公司均持续关注用户的隐私玻璃的原理安全例如苹果 在2016 年 6 月份的WWDC 大会上就提出了一项名为Differential Privacy 的差分隱私玻璃的原理技术。苹果声称他能通过数据计算出用户群体的行为模式但是却无法获得每个用户个体的数据。那么差分隐私玻璃的原悝技术又是怎么做的呢
在大数据时代,如何才能保证我们的隐私玻璃的原理呢要回答这个问题,我们首先要知道什么是隐私玻璃的原悝
我们经常谈论到隐私玻璃的原理泄漏、隐私玻璃的原理保护,那么什么是隐私玻璃的原理呢举个例子,居住在海淀区五道口的小明經常在网上购买电子产品那小明的姓名、购买偏好和居住地址算不算是隐私玻璃的原理呢?如果某购物网站统计了用户的购物偏好并公開部分数据公开的数据中显示北京海淀区五道口的用户更爱买电子产品,那么小明的隐私玻璃的原理是否被泄漏了呢要弄清楚隐私玻璃的原理保护,我们先要讨论一下究竟什么是隐私玻璃的原理
对于隐私玻璃的原理这个词,科学研究上普遍接受的定义是“单个用户的某一些属性”只要符合这一定义都可以被看做是隐私玻璃的原理。我们在提“隐私玻璃的原理”的时候更加强调的是“单个用户”。那么一群用户的某一些属性,可以认为不是隐私玻璃的原理我们拿刚才的例子来看,针对小明这个单个用户“购买偏好”和“居住哋址”就是隐私玻璃的原理。如果公开的数据说住在五道口的小明爱买电子产品那么这显然就是隐私玻璃的原理泄漏了。但是如果数据Φ只包含一个区域的人的购买偏好就没有泄露用户隐私玻璃的原理。如果进一步讲大家都知道小明住在海淀区五道口,那么是不是小奣就爱买点此产品了呢这种情况算不算事隐私玻璃的原理泄漏呢?答案是不算因为大家只是通过这个趋势推测,数据并不显示小明一萣爱买电子产品
所以,从隐私玻璃的原理保护的角度来说隐私玻璃的原理是针对单个用户的概念,公开群体用户的信息不算是隐私玻璃的原理泄漏但是如果能从数据中能准确推测出个体的信息,那么就算是隐私玻璃的原理泄漏
从信息时代开始,关于隐私玻璃的原理保护的研究就开始了随着数据不断地增长,人们对隐私玻璃的原理越来越重视我们在讨论隐私玻璃的原理保护的时候包括两种情况。
苐一种是公司为了学术研究和数据交流开放用户数据学术机构或者个人可以向数据库发起查询请求,公司返回对应的数据时需要保证用戶的隐私玻璃的原理
第二种情况是公司作为服务提供商,为了提高服务质量主动收集用户的数据,这些在客户端上收集的数据也需要保证隐私玻璃的原理性学术界提出了多种保护隐私玻璃的原理的方法和测量隐私玻璃的原理是否泄露的工具,例如k-anonymity(k-匿名化)、l-diversity(l-多样囮)、t-closeness、 ε-differentialprivacy(差分隐私玻璃的原理)、同态加密(homomorphic
下面我们一一解读这四种隐私玻璃的原理保护的方法:
我们先看一下下面的这个表格:
峩们把要表格中的公开属性分为以下三类:
简单来说k-anonymity 的目的是保证公开的数据中包含的个人信息至少 k-1 条不能通过其他个人信息确定出来。也就是公开数据中的任意 quasi-identifier信息相同的组合都需要出现至少 k 次。
举个例子假设一个公开的数据进行了 2-anonymity 保护。如果攻击者想确认一个人(小明)的敏感信息(购买偏好)通过查询他的年龄、邮编和性别,攻击者会发现数据里至少有两个人是有相同的年龄、邮编和性别這样攻击者就没办法区分这两条数据到底哪个是小明了,从而也就保证了小明的隐私玻璃的原理不会被泄露
k-anonymity的方法主要有两种,一种是刪除对应的数据列用星号(*)代替。另外一种方法是用概括的方法使之无法区分比如把年龄这个数字概括成一个年龄段。对于邮编这樣的数据如果删除所有邮编,研究人员会失去很多有意义的信息所以可以选择删除最后一位数字。
从这个表中即使我们知道小明是侽性、24岁、邮编是100083,却仍然无法知道小明的购买偏好而研究人员依然可以根据这些数据统计出一些有意义的结果,这样既兼顾了个人的隱私玻璃的原理又能为研究提供有效的数据。
3. 攻击者无法确认某条数据对应的是哪个人(这条假设攻击者除了 quasi-identifier 信息之外对其他数据一无所知举个例子,如果所有用户的偏好都是购买电子产品那么 k-anonymity 也无法保证隐私玻璃的原理没有泄露)
未排序匹配攻击 (unsorted matching attack) :当公开的数据记錄和原始记录的顺序一样的时候,攻击者可以猜出匿名化的记录是属于谁例如如果攻击者知道在数据中小明是排在小白前面,那么他就鈳以确认小明的购买偏好是电子产品,小白是家用电器解决方法也很简单,在公开数据之前先打乱原始数据的顺序就可以避免这类的攻击
我们知道李雷的信息,表中有两条对应的数据但是他们的购买偏好都是电子产品。因为这个敏感属性缺乏多样性所以尽管是 2-anonimity 匿洺化的数据,我们依然能够获得李雷的敏感信息
如果我们知道小紫的信息,并且知道她不喜欢购买护肤品那么从表中,我们仍可以确認小紫的购买偏好是厨具
通过上面的例子,我们引出了多样化的概念简单来说,在公开的数据中对于那些quasi-identifier 相同的数据中,敏感属性必须具有多样性这样才能保证用户的隐私玻璃的原理不能通过背景知识等方法推测出来。
例如在上图的例子中有 10 条相同的类型的数据,其中 8 条的购买偏好是电子产品其他两条分别是图书和家用电器。那么在这个例子中公开的数据就满足 3-diversity 的属性。
? 敏感属性的性质决萣即使保证了一定概率的 diversity 也很容易泄露隐私玻璃的原理例如,医院公开的艾滋病数据中敏感属性是“艾滋病阳性”(出现概率是 1%)和“艾滋病阴性”(出现概率是 99%),这两种值的敏感性不同造成的结果也不同。
100个相同的类型这时可能通过之前介绍的 k-anonymity的方法很难达到。
Attack):假如我们要保证在同一类型的数据中出现“艾滋病阳性”和出现“艾滋病阴性”的概率是相同的我们虽然保证了 diversity,但是我们泄露隐私玻璃的原理的可能性会变大因为l-diversity 并没有考虑敏感属性的总体的分布。
? l-diversity 没有考虑敏感属性的语义比如说下面的例子,我们通过李雷嘚信息从公开数据中关联到了两条信息通过这两条信息我们能得出两个结论。第一李雷的工资相对较低;第二,李雷喜欢买电子电器楿关的产品
如果刚才的那个数据保证了 t-closeness 属性,那么通过李雷的信息查询出来的结果中工资的分布就和整体的分布类似,进而很难推断絀李雷工资的高低
在这个例子中,我们保证了 2- anonymity , 2-diversity , t-closeness(分布近似)工资和购买偏好是敏感属性。攻击者通过李雷的个人信息找到了四条数据同时知道李雷有很多书,这样就能很容易在四条数据中找到李雷的那一条从而造成隐私玻璃的原理泄露。可能有些读者会有疑问通過背景知识攻击 k-anonymity 的前提是不是假设了解 quasi-identifier ?并不是这样针对敏感属性的背景攻击对 k-anonymity 也适用,所以无论经过哪些属性保证隐私玻璃的原理泄露还是很难避免。
)举个例子,购物公司发布了购物偏好的数据说我们有 100 个人的购物偏好数据,其中有 10 个人偏爱购买汽车用品其他 90 個偏爱购买电子产品。如果攻击者知道其中 99 个人是偏爱汽车用品还是电子产品就可以知道第 100 个人的购物偏好。这样通过比较公开数据和既有的知识推测出个人隐私玻璃的原理就叫做差分攻击。
在 2009 年微软研究院的Cynthia Dwork 提出差分隐私玻璃的原理的概念,差分隐私玻璃的原理就昰为了防止差分攻击也就是说尽管攻击者知道发布的 100 个人的个人以信息和其中 99 个人的信息,他也没办法通过比对这两个信息获得第 100 个人嘚信息
简单来说,差分隐私玻璃的原理就是用一种方法使得查询 100 个信息和查询其中 99 个的信息得到的结果是相对一致的那么攻击者就无法通过比较(差分)数据的不同找出第100 个人的信息。这种方法就是加入随机性如果查询 100 个记录和 99 个记录,输出同样的值的概率是一样的攻击者就无法进行差分攻击。进一步说对于差别只有一条记录的两个数据集 D 和 D'
(neighboring datasets),查询他们获得结果相同的概率非常接近注意,这里並不能保证概率相同如果一样的话,数据就需要完全的随机化那样公开数据也就没有意义。所以我们需要尽可能接近,保证在隐私箥璃的原理和可用性之间找到一个平衡
其中 M 是在 D 上做任意查询操作,对查询后的结果加入一定的随机性也就是给数据加噪音,两个 datasets 加仩同一随机噪音之后查询结果为 C 的概率比小于一个特定的数 这样就能保证用户隐私玻璃的原理泄露的概率有一个数学的上界,相比传统嘚k-anonymity差分隐私玻璃的原理使隐私玻璃的原理保护的模型更加清晰。
我们用一个例子解释差分隐私玻璃的原理的定义:
datasets他们只有一条记录鈈一致,在攻击者查询“20-30岁之间有多少人偏好购买电子产品”的时候对于这两个数据库得到的查询结果是 100 的概率分别是 99% 和 98%,他们的比值尛于某个数如果对于任意的查询,都能满足这样的条件我们就可以说这种随机方法是满足ε-差分隐私玻璃的原理的。因为 D1 和 D2 是可以互換的所以更加严格的讲,他们的比值也要大于
无论查询是什么,两个相邻的数据库返回的结果总是近似的
要达到数据的差分隐私玻璃的原理有四种方法:
本文接下来主要介绍输出结果变换的方法,这种方法主要针对查询结果是数值或者数值向量的情况通过加入噪声使输出结果达到 ε-DP。
输出结果变换:加入噪声
在差分隐私玻璃的原理中防止隐私玻璃的原理泄露的重要因素是在查询结果中加噪音,对於数值的查询结果一种常见的方法就是对结果进行数值变换。要解释如何加入噪音我们先看一下下面的这个例子:
假如某公司公开了數据,并且对外提供了查询数据的接口 f(x)针对不同的查询 x,服务器都会输出一个查询结果 f(x) + 噪声加入噪声就是为了保证 ε-差分隐私玻璃的原理。
差分隐私玻璃的原理方法中作者巧妙的利用了拉普拉斯分布的特性,找到了合适的噪声方法针对数值或向量的查询输出,M(x) = f(x) + 噪声我们能得出以下结论:
详细的证明可以参考差分隐私玻璃的原理的相关文章。
拉普拉斯分布和其概率密度函数如下:
ε-DP 是一种“严格”嘚隐私玻璃的原理保护保证当在数据库中添加和删除一条数据时候,保证所有查询的输出都类似但是(ε, δ)-DP在 ε-DP 的保证中允许了一定概率的错误发生,比如说用户在 (ε, δ)-DP 的保护下会有 δ 概率的隐私玻璃的原理泄露。
基于这些的概念差分隐私玻璃的原理在机器学习算法Φ也能够使用,常见的算法比如说 PCA、logistic regression、SVM都有对应的差分隐私玻璃的原理化算法。
差分隐私玻璃的原理在数据的实用性和隐私玻璃的原理性之间达到了平衡使用者可以通过设定自己的“隐私玻璃的原理预算”(privacy budget)来调整数据的实用性和隐私玻璃的原理性。但是差分隐私玻璃的原理也不是万能的其中加入噪声的很多算法需要在大量的数据集上才实用。除此之外什么才是“隐私玻璃的原理预算”的合理设萣也是一个问题。这些都是差分隐私玻璃的原理面临的问题和挑战并且由于差分隐私玻璃的原理对于“背景知识”的要求过于强,所以需要在结果中加入大量随机化导致数据的可用性(utility)急剧下降。但是差分隐私玻璃的原理作为一个非常优雅的数学工具是隐私玻璃的原理保护的研究在未来的一个发展方向。差分隐私玻璃的原理用严格的数学证明告诉人们一个匿名化的公开数据究竟能保护用户多少的隐私玻璃的原理
k-匿名化与 ε-差分隐私玻璃的原理的关系
我们前面分别单独介绍了 k-匿名化和 ε-差分隐私玻璃的原理,k-匿名化相对比较容易理解和实践差分隐私玻璃的原理更像是从理论上证明了隐私玻璃的原理保护的边界。虽然方法的分析角度完全不同但是它们之间却有着緊密的联系。普渡大学的Ninghui Li教授在 Provably PrivateData Anonymization: Or, k-Anonymity Meets
在实际应用中使用差分隐私玻璃的原理时需要考虑的问题还有很多我们在介绍差分隐私玻璃的原理的时候假设所有的查询操作都由可信的数据库处理,数据库里存储着用户的原始数据那么如果数据库被攻击了,包含用户隐私玻璃的原理的原始数据就泄露了
如果不收集用户的原始数据,在客户端上先做差分隐私玻璃的原理再上传给服务器,这个问题就解决了最近Google 率先使用RAPPOR系统在 Chrome 浏览器上通过这种方法收集用户的使用情况数据。RAPPOR 基于“随机应答”(randomized response)的方法保护用户的原始数据不被泄露随机应答的流程如下:
1. 当用户需要上报个人数据的时候,首先“抛硬币”决定是否上报真实数据如果是正面,则上报真实数据如果不是,就上报一個随机的数据再“抛一次硬币”决定随机数据的内容。
2. 服务器收到所有的数据后因为知道“抛硬币”是正面的概率,服务器就能够判斷返回的数据是正确的概率
这种“随机应答”的方法在理论上也被证明是服从ε-差分隐私玻璃的原理的。对于用户来说隐私玻璃的原悝数据在上报给服务器之前就已经加了噪声,从而具有一定保证对于公司来说,也能收集到有效的数据
RAPPOR 使用“随机应答”的方法克服叻之前只能回答简单查询语句的限制,现在可以上报包含字符串这类更加复杂的回答RAPPOR 在上报字符串信息的时候首先使用“布隆过滤器”(bloom
filter)算法把字符串哈希到一个数组中,然后再加入噪声传给服务器布隆过滤器不需要存储元素本身,并可以用于检索一个元素是否在一個集合中通过使用这种方法,就可以对字符串数据添加噪音保护用户的隐私玻璃的原理。
苹果在 2016 年的世界开发者大会(WWDC)上也宣布使鼡差分隐私玻璃的原理的方法收集用户数据虽然苹果没有透露具体的细节,我们从官方的描述中也可以推测出苹果也使用了在客户端上莋匿名化再传输到服务器的方法
我们刚才介绍的 Google 和 Apple 的模型都是先在本地做差分隐私玻璃的原理,然后再上报给服务器我们把这种方法叫做本地模式(local
mode)。这种差分隐私玻璃的原理的做法在上报数据可以相互关联的情况下还是存在隐私玻璃的原理泄漏Google的RAPPOR虽然解决了对同┅个数据的多次上报的隐私玻璃的原理泄露问题,但并没有解决多个相关数据上报后产生的隐私玻璃的原理泄露问题对于这一问题,Apple也沒有给出详细的解释
除了Google 和苹果在内部产品中使用差分隐私玻璃的原理方法,哈佛大学公开了一个名为PSI (Ψ) 的项目提供了一个便捷的差汾隐私玻璃的原理工具。使用者通过上传数据调整差分隐私玻璃的原理的参数,就可以获得满足差分隐私玻璃的原理的数据集
本文介紹了学术界和工业界对于用户隐私玻璃的原理保护的努力成果。我们首先介绍了 k-anonymity即通过变换隐私玻璃的原理数据,保证相同特性的用户茬数据库出现的次数至少是 k 次然后,为了防止攻击者通过隐私玻璃的原理数据的背景知识推测用户身份提出使用 l-diversity,保证相同特征的用戶中隐私玻璃的原理数据相同的个数大于 l。除此之外我们也讨论了 t-closeness。最后我们详细介绍了差分隐私玻璃的原理的概念以及实际应用Φ应如何使用差分隐私玻璃的原理。
t-closeness 到现在的 ε-差分隐私玻璃的原理都是为了既保证用户的个人隐私玻璃的原理,也能对实际应用和研究提供有价值的数据在大数据的时代中,希望各公司在利用数据提供更好的服务的同时能保护好用户的个人隐私玻璃的原理。这是法律的要求也是安全行业的追求。我们相信隐私玻璃的原理保护技术会越来越受到重视并从学术理论迅速投入工业界实战应用。
本文转載自百度安全实验室作者:孙茗珅 韦韬 ,原文链接:
文章图片来源于网络如有侵权请联系我们
