这部分讲解统计分析的隐私目标。界定确切了目标,就需要精确告诉用于哪一种技术,从而确认技术范畴。隐私威胁和隐私强化技术的起到一般来说在有关隐私的一般性辩论中,信息安全从业人员不会用于如下原则:隐私维护是使得信息会“外泄”到许可访问者的维护范围之外。
所有隐私强化技术(PET)都部分解决问题了以下广泛问题:“对于输出数据集脆弱部分的数据分析不会外泄多少隐私?”。外泄有可能是无意的(黑客,奇怪的数据分析人员)或有意的(分析期间出乎意料的脆弱结果)。无论如何,隐私强化技术都可以增加此类外泄的风险。最重要的是要认为,我们叙述的任何一种隐私强化技术,实质上没一种未知的技术,可以为隐私问题获取原始的解决方案。
这主要是因为这种模糊不清定义的目标有可能根据上下文具备有所不同的适合说明。必须理解他们各自的隐私定义之间的相互作用。这种构建始自威胁建模阶段,因为必需最后根据限于于每种技术的隐私定义的明确参数来设置隐私拒绝。
部署隐私强化技术的关键方面部署PET的关键方面是必需将它们部署在尽量附近数据所有者的方位。最佳的隐私确保拒绝在将机密数据公布给第三方之前,数据所有者必需在本地用于PET。这可以用一个非常简单的转换来说明用于访问控制。一般来说,与数据做事的的组织部署基于角色的访问控制(RBAC),该访问控制仅有颁发许可人员采访数据的权限。
但是,这依然假设的组织本身具备对所有搜集的数据的几乎采访权限。因此,的组织对所有数据负责管理。
但是,有了准确部署的隐私强化技术,的组织将需要在没几乎采访权限的情况下继续执行其职责,从而增加责任。统计资料信息的隐私目标在对以上两个设置展开了一般性叙述之后,我们用于下面的抽象化解释隐私目标。
如图3右图,一个或多个输出方将敏感数据获取给一个或多个展开统计分析的计算出来方,从而为一个或多个结果方产生结果。现在,我们讲解三个大自然的隐私目标,网卓新闻网,这些目标大自然地与文档中几天后讲解的技术和隐私定义涉及。这些目标不应被视作一般指南,明确部署有可能具备特定的隐私拒绝,必须细心评估。
不过,理想情况下,应当以获取明确隐私确保的方式解决问题此类拒绝,我们指出以下分类是很大自然的该建模任务的起点。输出隐私,输入隐私和政策继续执行的隐私目标是根据对隐私维护统计数据的研究改篇而出的。
输出隐私输出隐私意味著计算出来方无法访问或提供输出方获取的任何输出值,也无法在数据处理期间采访中间值或统计资料结果(除非已专门自由选择该值展开公开发表)。请注意,即使计算出来方无法必要采访这些值,也可以通过用于诸如边信道反击之类的技术来推论它们。因此,输出私密性必须避免3种所有此类机制的维护,而这三种机制都将容许计算出来方推论输出。输出隐私十分是非,因为它可以贞着增加对输出数据库具备几乎采访权限的涉众数量。
从而增加了责任并修改了对数据保护法规的遵从。输出隐私的概念在互相不信任的一方参予计算出来其私有数据的情况下尤其涉及,但是任何一方自学多达其规定的输入被视作违背隐私的情况。再度参照上面的扫描仪数据示例,零售商将拒绝设置在必要方位以搜集和计算出来价格指数的系统将为输出价格获取输出隐私权。
输入隐私隐私维护统计分析系统在确保输入结果不包括输出方所容许的可辨识输出数据的范围内实行输入隐私。输入隐私解决问题了测量和掌控计算结果中不存在的外泄量的问题,而与计算出来本身否获取输出隐私牵涉到。例如,在分析多方获取的分布式数据库以分解数据的统计资料模型的情况下,输入隐私与以下问题有关:可以从已公布的数据库中完全恢复多少有关原始数据的信息。
统计资料模型在模型的计算出来过程中各方之间互相交换的消息会外泄多少信息,因为后者与输出隐私有关。在数据公布中,例如,在NSO期望向公众获取数据库而又不泄漏用作给定公布数据的任何涉及输出数据的情况下,强烈要求输入隐私。
政治继续执行如果隐私维护统计分析系统具备可供输出方继续执行大力掌控的机制,则该策略继续执行策略继续执行,该掌控可以由计算出来方对脆弱输出继续执行,并且可以将结果公布给结果方。这种大力掌控一般来说以月语言来传达,这种语言可以辨识参与者及其参予规则。策略决策点将这些规则处置成机器能用的形式,而策略继续执行点则获取了保证遵循规则的技术手段。因此,策略继续执行可以在保有隐私的统计分析系统中叙述然后自动保证输出和输入的隐私,从而增加了对经典但效果不佳的方法(如数据用于合约中的保密协议和保密条款)的倚赖。
融合多个隐私目标实际的统计资料系统很可能会融合多种技术来涵括多个隐私目标。有关如何覆盖面积图3右图的整个系统的示例,请求参看图4。
本文来源:gd55光大在老品牌-www.jzhyly.com