用于隐私保护计数的方法和系统技术方案

一种用于安全地计数的方法，包括：接收一组记录作为输入，其中所述一组记录包括至少一个记录，每个记录包括一组令牌，其中所述一组令牌包括至少一个令牌；接收包括至少一个令牌的单独一组的令牌，处理所述一组记录和所述单独一组令牌以对属于所述单独一组令牌的每个令牌出现在多少记录中进行计数，而无需获知任何个人记录以及除所述计数之外的、从所述记录中提取的任何信息的内容。

【技术实现步骤摘要】
【国外来华专利技术】相关申请的交叉引用本申请在35U.S.C.119(e)下要求在2013年8月9日提交的美国临时专利申请的优先权：序号为No.61/864085和名称为“AMETHODANDSYSTEMFORPRIVACYPRESERVINGCOUNTING”；序号为No.61/864088和名称为“AMETHODANDSYSTEMFORPRIVACYPRESERVINGMATRIXFACTORIZATION”；序号为61/864094和名称为“AMETHODANDSYSTEMFORPRIVACY-PRESERVINGRECOMMENDATIONTORATINGCONTRIBUTINGUSERSBASEDONMATRIXFACTORIZATION”；以及序号为61/864098和名称为“AMETHODANDSYSTEMFORPRIVACY-PRESERVINGRECOMMENDATIONBASEDONMATRIXFACTORIZATIONANDRIDGEREGRESSION”。在本文中，出于所有目的，通过引用明确地将临时申请整体并入。
本原理涉及隐私保护推荐系统和安全多方计算，特别地，涉及隐私保护方式中的安全计数。
技术介绍
在过去十年中，大量的研究和商业活动已导致了广泛使用推荐系统。这样的系统为用户提供诸如电影、电视节目、音乐、书籍、宾馆、饭店等多种项目的个性化推荐。图1示出了一般性的推荐系统100的构件：多个用户110，其代表源；和推荐器系统(RecSys)130，其处理用户的输入120和输出推荐140。为了接收有用的推荐，用户提供关于其偏好的大量个人信息(用户输入)，相信推荐器会适当地处理这些数据。然而，诸如B.Mobasher、R.Burke、R.Bhaumik和C.Williams的《Towardtrustworthyrecommendersystems：Ananalysisofattackmodelsandalgorithmrobustness》，ACMTrans.InternetTechn.，7(4)，2007以及E.A′imeur、G.Brassard、J.M.Fernandez和F.S.M.Onana的《ALAMBIC：Aprivacy-preservingrecommendersystemforelectroniccommerce》，Int.JournalInf.Sec.，7(5)，2008等较早的研究已经标识出推荐器可以滥用此类信息或将用户暴露于隐私威胁的多种方式。推荐器往往有转售数据以盈利的动机，而且还提取超出用户有意透露的信息。例如，甚至电影分级或个人电视观看历史等通常不被视为敏感的用户偏好记录可以被用来推断用户的政治立场和性别等。出于恶意或良性的目的，可以从推荐系统中的数据推断出来的私人信息随着新的数据挖掘和推理方法的开发而不断演进。在极端情况下，用户偏好记录甚至可以用于唯一地标识用户：A.Naranyan和V.Shmatikov在2008年的IEEES&P中的《Robustde-anonymizationoflargesparsedatasets》中通过对Netflix数据集进行去匿名而惊人地证明了这一点。因此，即使推荐器不是恶意的，非故意泄漏这样的数据也使得用户容易受到联动攻击，即使用一个数据库作为辅助信息来损害在不同的数据库中的隐私的攻击。因为一个人不能总预见到未来的推理威胁、意外的信息泄露或内部威胁(有目的的泄漏)，所以，建立一个其中用户在明文状态下也不会透露其个人资料的推荐系统是有益的。当今，没有操作加密数据的现实的推荐系统。此外，建立一种能够不获知用户提供的评级或甚至不获知用户评级了哪些项目而对项目进行介绍的推荐器是有益的。本专利技术解决了这样的安全推荐系统的一个方面，它也可用于推荐之外的目的。
技术实现思路
本原理提出了一种用于以隐私保护的方式来安全地计数的方法和系统。特别是，本方法接收一组记录(“语料库”)作为输入，每个语料库包括其自身的一组令牌。此外，本方法接收单独的一组令牌作为输入，并将找到每个令牌出现在多少记录中。本方法对每个令牌出现在多少记录中进行计数，而无需获知任何个人记录的内容以及除所述计数之外的、从所述记录中提取的任何信息。根据本原理的一个方面，提供了一种用于安全地计数记录的方法，使得所述记录对评估所述记录的评估器(230)保持隐私，所述方法包括：接收一组记录(220，340)，其中每一个记录包括一组令牌，并且其中每一个记录对所述记录的源之外的各方保持秘密；和用加密电路评估所述一组记录(370)，其中所述加密电路的输出是计数。本方法可以包括：接收或确定单独一组令牌(320)。本方法可以进一步包括：在加密系统提供器(CSP)中设计所述加密电路来计数在所述一组记录中的所述单独一组令牌(350)；和将所述加密电路传送到所述评估器(360)。在本方法中的设计步骤可以包括：设计作为布尔电路(352)的计数器。在本方法中的设计计数器的步骤可以包括：构建所述一组记录和所述单独一组令牌的阵列(410)；和执行在所述阵列上排序(420，440)、移位(430)、相加(430)和存储的操作。在本方法中的接收步骤可以通过在源、评估器和CSP之间的代理不经意传输(342)进行(350)，其中所述源提供了记录并且所述记录被对评估器和CSP保持隐私，并且其中所述加密电路取所述记录的加密值作为输入。本方法可以进一步包括：由所述CSP接收一组参数以用于加密电路的设计，其中所述参数是由所述评估器发送的(330)。根据本原理的一个方面，该方法还可以包括：加密所述一组记录以创建加密记录(380)，其中，所述加密的步骤是在所述接收一组记录的步骤之前进行的。所述方法中的设计步骤(350)可以包括：将在所述加密电路(354)内的所述加密记录进行解密。加密系统可以是部分同态加密(382)，并且所述方法可以进一步包括：掩码所述评估器中的所述加密记录来创建掩码记录(385)；和解密所述CSP中的所述掩码记录来创建解密的掩码记录(395)。所述方法中的设计步骤(350)可以包括：在对所述加密电路内的所述解密的掩码记录进行处理之前，将其进行解掩码(356)。根据本原理的一个方面，在该方法中的每个记录还可以包括一组权重，其中，该组权重包括至少一个权重。在该方法中的权重可对应于在所述记录中的各令牌的频率和评级的量度之一。根据本原理的一个方面，该方法可以进一步包括：接收每个记录的令牌数(220，310)。此外，该方法可以进一步包括：当每个记录的令牌数小于表示最大值的值时，用空条...

【技术保护点】
一种用于安全地计数记录的方法，使得所述记录对评估所述记录的评估器(230)保持隐私，所述方法包括：接收一组记录(220，340)，其中每一个记录包括一组令牌，并且其中每一个记录对除所述记录的源之外的各方保持秘密；和用加密电路评估所述一组记录(370)，其中所述加密电路的输出是计数。

【技术特征摘要】
【国外来华专利技术】2013.03.04 US 61/772,404;2013.08.09 US 61/864,094;1.一种用于安全地计数记录的方法，使得所述记录对评估所述记录的评估器(230)保
持隐私，所述方法包括：
接收一组记录(220，340)，其中每一个记录包括一组令牌，并且其中每一个记录对除所
述记录的源之外的各方保持秘密；和
用加密电路评估所述一组记录(370)，其中所述加密电路的输出是计数。
2.如权利要求1所述的方法，进一步包括：
接收或确定单独一组令牌(320)。
3.如权利要求2所述的方法，进一步包括：
在加密系统提供器(CSP)中设计所述加密电路来计数在所述一组记录中的所述单独一
组令牌(350)；和
将所述加密电路传送到所述评估器(360)。
4.如权利要求3所述的方法，其中，所述设计的步骤包括：
将计数器设计为布尔电路(352)。
5.如权利要求4所述的方法，其中，所述设计计数器的步骤包括：
构建所述一组记录和所述单独一组令牌的阵列(410)；和
执行在所述阵列上排序(420，440)、移位(430)、相加(430)和存储的操作。
6.如权利要求1所述的方法，其中接收步骤是通过在源、所述评估器和所述CSP之间的
代理不经意传输(342)进行的(350)，其中所述源提供了所述记录并且所述记录被对所述评
估器和所述CSP保持隐私，并且其中所述加密电路取所述记录的加密值作为输入。
7.如权利要求3所述的方法，进一步包括：
加密所述一组记录以创建加密记录(380)，其中，所述加密的步骤是在所述接收一组记
录的步骤之前进行的。
8.如权利要求7所述的方法，其中所述设计步骤(350)包括：
在对所述加密电路内的加密记录进行处理之前，对其进行解密(354)。
9.如权利要求7所述的方法，其中所述加密是部分同态加密(382)，所述方法包括：
在所述评估器中对所述加密记录进行掩码来创建掩码记录(385)；和
在所述CSP中对所述掩码记录进行解密来创建解密的掩码记录(395)。
10.如权利要求9所述的方法，其中所述设计步骤(350)包括：
在对所述加密电路内的解密的掩码记录进行处理之前，对其进行解掩码(356)。
11.如权利要求1所述的方法，其中每个记录进一步包括一组权重，其中所述一组权重
包括至少一个权重。
12.如权利要求11所述的方法，其中所述权重对应于在所述记录中的各令牌的频率和
评级的量度之一。
13.如权利要求1所述的方法，进一步包括：
接收每个记录的令牌数(220，310)。
14.如权利要求1所述的方法，进一步包括：
当每个记录的令牌数小于表示最大值的值时，用空条目填充每个记录，以创建具有与
所述值相等的令牌数的记录(312)。
15.如权利要求1所述的方法，其中所述一组记录的源是数据库和一组用户(210)中的
一个，并且其中如果所述源是一组用户，则每个用户提供至少一个记录。
16.如权利要求3所述的方法，进一步包括：
通过所述CSP接收一组参数以用于加密电路的设计，其中所述参数是由所述评估器发
送的(330)。
17.一种用于安全地计数记录的系统，包括：
源，其将提供所述记录；
加密服务提供器(CSP)，其将提供所述安全计数器；和
评估器，其将评估所述记录，使得记录对...

【专利技术属性】
技术研发人员：伊夫斯特拉蒂奥斯·埃尼迪斯，埃胡德·魏恩斯贝格，妮娜·安妮·塔夫特，马克·乔伊，瓦莱里亚·尼科拉恩科，
申请(专利权)人：汤姆逊许可公司，
类型：发明
国别省市：法国;FR