用于隱私保護(hù)計數(shù)的方法和系統(tǒng)的制作方法
【專利說明】
[0001] 相關(guān)申請的交叉引用
[0002] 本申請在35U.S.C. 119(e)下要求在2013年8月9日提交的美國臨時專利申請的優(yōu) 先權(quán):序號為No.61/864085和名稱為"A METHOD AND SYSTEM FOR PRIVACY PRESERVING COUNTING";序號為 No. 61/864088 和名稱為 "A METHOD AND SYSTEM FOR PRIVACY PRE沈RVING MATRIX FACTORIZATION";序號為61/864094和名稱為"A MET冊D AND SYSTEM FOR PRIVACY-PRE沈RVING RECOMMENDATION TO RATING CONTRIBUTING U沈RS BAS抓 ON MATRIX FACTORIZATION"; W 及序號為 61/864098 和名稱為 "A METHOD AND SYSTEM FOR PRIVACY-PRESERVING RECOMMENDATION BASED ON MATRIX FACTORIZATION AND RIDGE REGRESSION"。在本文中�,出于所有目的,通過引用明確地將臨時申請整體并入�。
技術(shù)領(lǐng)域
[0003] 本原理設(shè)及隱私保護(hù)推薦系統(tǒng)和安全多方計算,特別地�,設(shè)及隱私保護(hù)方式中的 安全計數(shù)。
【背景技術(shù)】
[0004] 在過去十年中�,大量的研究和商業(yè)活動已導(dǎo)致了廣泛使用推薦系統(tǒng)。運(yùn)樣的系統(tǒng) 為用戶提供諸如電影�����、電視節(jié)目、音樂��、書籍���、賓館���、飯店等多種項目的個性化推薦。圖1示出 了一般性的推薦系統(tǒng)100的構(gòu)件:多個用戶110,其代表源;和推薦器系統(tǒng)(RecSys)130,其處 理用戶的輸入120和輸出推薦140��。為了接收有用的推薦���,用戶提供關(guān)于其偏好的大量個人 信息(用戶輸入)��,相信推薦器會適當(dāng)?shù)靥幚磉\(yùn)些數(shù)據(jù)���。
[000引 然而���,諸如B.Mobasher���、R.Burke、R.Bha Umik和〔.Williams 的《Toward trustworthy recommender systems:An analysis of attack models and algorithm robustness》�����,ACM Trans . Internet Techn.,7(4)�,2007?及E.A'imeur、G.Brassard��、 J.M.Fernandez和F.S.M.Onana的《ALAMBIC:A privacy-preserving recommender system for electronic comme;rce》�,Int.Journal Inf.Sec. ,7(5),2008等較早的研究已經(jīng)標(biāo)識出 推薦器可W濫用此類信息或?qū)⒂脩舯┞队陔[私威脅的多種方式。推薦器往往有轉(zhuǎn)售數(shù)據(jù)W 盈利的動機(jī)�,而且還提取超出用戶有意透露的信息。例如�,甚至電影分級或個人電視觀看歷 史等通常不被視為敏感的用戶偏好記錄可W被用來推斷用戶的政治立場和性別等。出于惡 意或良性的目的�,可W從推薦系統(tǒng)中的數(shù)據(jù)推斷出來的私人信息隨著新的數(shù)據(jù)挖掘和推理 方法的開發(fā)而不斷演進(jìn)。在極端情況下�����,用戶偏好記錄甚至可W用于唯一地標(biāo)識用戶: A.化ranyan和V.化matikov在2008年的IE趾 S&P中的《Robust de-anonymization of large sparse datasets》中通過對化tfIix數(shù)據(jù)集進(jìn)行去匿名而驚人地證明了運(yùn)一點(diǎn)�。因 此,即使推薦器不是惡意的��,非故意泄漏運(yùn)樣的數(shù)據(jù)也使得用戶容易受到聯(lián)動攻擊�,即使用 一個數(shù)據(jù)庫作為輔助信息來損害在不同的數(shù)據(jù)庫中的隱私的攻擊。
[0006]因為一個人不能總預(yù)見到未來的推理威脅、意外的信息泄露或內(nèi)部威脅(有目的 的泄漏)��,所W���,建立一個其中用戶在明文狀態(tài)下也不會透露其個人資料的推薦系統(tǒng)是有益 的�。當(dāng)今����,沒有操作加密數(shù)據(jù)的現(xiàn)實的推薦系統(tǒng)。此外���,建立一種能夠不獲知用戶提供的評 級或甚至不獲知用戶評級了哪些項目而對項目進(jìn)行介紹的推薦器是有益的�����。本發(fā)明解決了 運(yùn)樣的安全推薦系統(tǒng)的一個方面�����,它也可用于推薦之外的目的�。
【發(fā)明內(nèi)容】
[0007]本原理提出了一種用于W隱私保護(hù)的方式來安全地計數(shù)的方法和系統(tǒng)���。特別是, 本方法接收一組記錄("語料庫")作為輸入,每個語料庫包括其自身的一組令牌��。此外���,本方 法接收單獨(dú)的一組令牌作為輸入�����,并將找到每個令牌出現(xiàn)在多少記錄中����。本方法對每個令 牌出現(xiàn)在多少記錄中進(jìn)行計數(shù)�,而無需獲知任何個人記錄的內(nèi)容W及除所述計數(shù)之外的、 從所述記錄中提取的任何信息����。
[000引根據(jù)本原理的一個方面,提供了一種用于安全地計數(shù)記錄的方法���,使得所述記錄 對評估所述記錄的評估器(230)保持隱私����,所述方法包括:接收一組記錄(220,340)�����,其中每 一個記錄包括一組令牌,并且其中每一個記錄對所述記錄的源之外的各方保持秘密�;和用 加密電路評估所述一組記錄(370),其中所述加密電路的輸出是計數(shù)����。本方法可W包括:接 收或確定單獨(dú)一組令牌(320)。本方法可W進(jìn)一步包括:在加密系統(tǒng)提供器(CSP)中設(shè)計所 述加密電路來計數(shù)在所述一組記錄中的所述單獨(dú)一組令牌(350);和將所述加密電路傳送 到所述評估器(360)��。在本方法中的設(shè)計步驟可W包括:設(shè)計作為布爾電路(352)的計數(shù)器�。 在本方法中的設(shè)計計數(shù)器的步驟可W包括:構(gòu)建所述一組記錄和所述單獨(dú)一組令牌的陣列 (410);和執(zhí)行在所述陣列上排序(420,440)、移位(430)����、相加(430)和存儲的操作。在本方 法中的接收步驟可W通過在源�����、評估器和CSP之間的代理不經(jīng)意傳輸(342)進(jìn)行(350)��,其中 所述源提供了記錄并且所述記錄被對評估器和CSP保持隱私���,并且其中所述加密電路取所 述記錄的加密值作為輸入�。本方法可W進(jìn)一步包括:由所述CSP接收一組參數(shù)W用于加密電 路的設(shè)計,其中所述參數(shù)是由所述評估器發(fā)送的(330)�����。
[0009] 根據(jù)本原理的一個方面�,該方法還可W包括:加密所述一組記錄W創(chuàng)建加密記錄 (380)���,其中��,所述加密的步驟是在所述接收一組記錄的步驟之前進(jìn)行的���。所述方法中的設(shè) 計步驟(350)可W包括:將在所述加密電路(354)內(nèi)的所述加密記錄進(jìn)行解密。加密系統(tǒng)可 W是部分同態(tài)加密(382)�����,并且所述方法可W進(jìn)一步包括:掩碼所述評估器中的所述加密記 錄來創(chuàng)建掩碼記錄(385);和解密所述CSP中的所述掩碼記錄來創(chuàng)建解密的掩碼記錄(395)����。 所述方法中的設(shè)計步驟(350)可W包括:在對所述加密電路內(nèi)的所述解密的掩碼記錄進(jìn)行 處理之前,將其進(jìn)行解掩碼(356)����。
[0010] 根據(jù)本原理的一個方面���,在該方法中的每個記錄還可W包括一組權(quán)重,其中��,該組 權(quán)重包括至少一個權(quán)重��。在該方法中的權(quán)重可對應(yīng)于在所述記錄中的各令牌的頻率和評級 的量度之一�。
[0011] 根據(jù)本原理的一個方面,該方法可W進(jìn)一步包括:接收每個記錄的令牌數(shù)(220��, 310)����。此外,該方法可W進(jìn)一步包括:當(dāng)每個記錄的令牌數(shù)小于表示最大值的值時�����,用空條 目填充每個記錄���,W創(chuàng)建具有與所述值相等的令牌數(shù)的記錄(312)�����。在該方法中的該組記錄 的所述源可W是一組用戶(210)和數(shù)據(jù)庫中的一個�����,并且如果所述源是一組用戶�����,每個用戶 提供至少一個記錄����。
[0012] 根據(jù)本原理的一個方面�����,提出了一種用于安全地計數(shù)記錄的系統(tǒng)��,其包括:提供所 述記錄的源��、提供所述安全計數(shù)器的加密服務(wù)提供器(CSP)和評估所述記錄的評估器��,W使 得記錄對所述評估器和所述CSP保持隱私;其中��,所述源�、所述CSP和所述評估器的每一個都 包括用于接收至少一個輸入/輸出(404)的處理器(402)和與所述處理器進(jìn)行信號通信的至 少一個存儲器(406,408 )�,其中所述評估器處理器被配置為:接收一組記錄����,其中每一個記 錄包括一組令牌�,并且其中每一個記錄被保持秘密;和用加密電路評估所述一組記錄,其中 所述加密電路的輸出是計數(shù)�����。在所述系統(tǒng)中的所述評估器處理器可W被配置為:接收單獨(dú) 一組令牌����。在所述系統(tǒng)中的所述CSP處理器可W被配置為:在CSP中設(shè)計所述加密電路來計 數(shù)在所述一組記錄中的所述單獨(dú)一組令牌;和將所述加密電路傳送到所述評估器。在所述 系統(tǒng)中的所述CSP處理器可W被配置為通過被配置為設(shè)計作為布爾電路的計數(shù)器來設(shè)計所 述加密電路����。在所述系統(tǒng)中的所述CSP處理器可W被配置為通過被配置為構(gòu)建所述一組記 錄和所述單獨(dú)一組令牌的陣列和執(zhí)行在所述陣列上排序、移位����、相加和存儲的操作來設(shè)計 所述計數(shù)器。所述源處理器�����、所述評估器處理器和所述CSP處理器可W被配置為執(zhí)行代理不 經(jīng)意傳輸,其中所述源提供所述記錄���,所述評估器接收所述記錄的加密值�,所述記錄對所述 評估器和所述CSP保持隱私�,并且其中所述加密電路取所述記錄的加密值作為輸入。在所述 系統(tǒng)中的所述CSP處理器可W進(jìn)一步被配置為:接收一組參數(shù)W用于加密電路的設(shè)計�,其中 所述參數(shù)是由所述評估器發(fā)送的。
[0013] 根據(jù)本原理的一個方面���,在所述系統(tǒng)中的所述源處理器可W被配置為:在提供所 述一組記錄之前將所述一組記錄加密W創(chuàng)建加密記錄。在所述系統(tǒng)中的所述CSP處理器可 W被配置為通過被進(jìn)一步配置為在對所述加密電路內(nèi)的所述加密記錄進(jìn)行處理之前將其 進(jìn)行解密來設(shè)計所述加密電路���。所述加密是部分同態(tài)加密���,并且,在所述系統(tǒng)中的所述評估 器處理器還可W被配置為:掩碼所述加密記錄來創(chuàng)建掩碼記錄;所述CSP處理器還可W被配 置為:解密所述掩碼記錄來創(chuàng)建解密的掩碼記錄���。所述CSP處理器可W被配置為通過被進(jìn)一 步配置為在對所述加密電路內(nèi)的所述解密的掩碼記錄處理之前將其進(jìn)行解掩碼來設(shè)計所 述加密電路��。
[0014] 根據(jù)本原理的一個方面�����,在所述系