JP6352441B2 - ストリーミングデータの匿名化 - Google Patents
ストリーミングデータの匿名化 Download PDFInfo
- Publication number
- JP6352441B2 JP6352441B2 JP2016558633A JP2016558633A JP6352441B2 JP 6352441 B2 JP6352441 B2 JP 6352441B2 JP 2016558633 A JP2016558633 A JP 2016558633A JP 2016558633 A JP2016558633 A JP 2016558633A JP 6352441 B2 JP6352441 B2 JP 6352441B2
- Authority
- JP
- Japan
- Prior art keywords
- processing device
- data
- list
- regions
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims description 34
- 238000012545 processing Methods 0.000 claims description 25
- 230000006870 function Effects 0.000 claims description 18
- 238000013507 mapping Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 description 4
- 241000544061 Cuculus canorus Species 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 201000010099 disease Diseases 0.000 description 3
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Medical Informatics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、概して、データを匿名化するための技法、装置およびシステムに関する。
本項では、本発明のよりよい理解を容易にするのに役立つ可能性のある態様を紹介する。従って、本項の記述は、この観点で読まれるべきであり、何が先行技術であるか、または何が先行技術ではないかに関する自認として理解されるべきではない。
変換されたデータが、いずれの個人のデータのプライバシも損なうことなく分析され得るように、機密データのストリームを変換し、前処理し、格納することが望ましい場合がよくある。ストリームデータ内のそれぞれのデータ項目は、通常、個人を識別する名前または住所などの第1の要素と、その個人が抱える病気などの個人に関するいくつかの個人および/または機密情報を含む第2の要素とを含む。個人のプライバシを維持しつつデータが分析されることを可能にする方法で、処理されたストリームがその後の分析のために保存され得るように、データの識別部分は変換されるべきである。一般的に、変換されたデータおよび関連の機密データを調べる研究者および/または分析者は、いずれの特定の個人の機密情報も識別できない状態で、データを分析し、データに関する合理的な(おおよそではあるが)結果を得ることができなければならない。例えば、研究者は、特定の地区における病気の調査を望む場合がある。
データ匿名化技法は、プライバシ問題に対処し、適用可能な法的要件の順守を手助けすることができる。変換されたデータが確実に特定の特性を有するようにすることによって様々なプライバシ目標を達成する、いくつかのデータ匿名化技法が提案または示唆されてきた。例えば、k匿名性技法は、データセット内の各個人がk−1個の他の個人から区別不能でなければならないことを必要とする。また、l多様性技法は、個人に関連する機密情報において十分な多様性を提供する。
Ben Morris、Phillip Rogaway、「Sometimes−Recurse Shuffle:Almost−Random Permutations in Logarithmic Expected Time」(未発表原稿、2013年8月)、例えば、http://eprint.iacr.org/2013/560.pdfを参照
Rasmus Pagh他、「Cuckoo Hashing」Algorithms−ESA2001、Computer Science2161の講義ノート、121−133頁(2001年)
データの一部が公表され、他の人々と共有され得るように、効果的にデータを匿名化するための改善された技法が依然として必要とされている。
概して、データストリーム内のデータを匿名化するための方法および装置が提供される。一実施形態によれば、データストリーム内のデータは、piが識別部分を構成し、siが関連の機密情報を構成する、データストリームのデータ要素(pi,si)を受信し、識別部分piを分割された空間Sの領域Siに割り当て、関連の機密情報siをe(si)として暗号化し、暗号化された関連の機密情報e(si)を、割り当てられた領域Siに関連するリストに格納することによって、匿名化される。
さらなる実施形態によれば、パーミュテーション(permutation)関数πが、任意選択で、分割された空間S内の領域S1、S2、...、Stが格納される順番をランダム化して、相手が、データが特定の領域に格納されるのを観察することによって情報を得るということができないようにする。このように、領域Siに関連するリストは、パーミュテーション関数およびハッシュ表のうちの1つまたは複数を使用して、記憶場所に任意選択でマップされる。
例示的な一実施形態では、空間Sは、対応する中心点C1、C2、...、Ctを有する領域S1、S2、...、Stに分割されて、piに最も近い中心Ciが計算され、暗号化された関連の機密情報e(si)は、計算された最も近い中心Ciに関連するリストに格納される。別の実施形態は、固定距離dに対して、十分な中心点C1、C2、...、Ctがあるような、ユーザ規定の距離パラメータdを提供し、それによってS内の任意の点pに対して、ある中心Ciがあるようにし、それによってpがCiまでの距離d以下であるようにする。距離dは、一般的に、変換された識別情報が、それぞれのデータ要素に対する識別部分とどのように異なる必要があるかについての制限である。
本開示のより完全な理解とともに様々な実施形態のさらなる特徴および利点は、以下の発明を実施するための形態および図面を参照することによって得られるであろう。
本明細書に説明された実施形態は、ストリーミングデータを匿名化するための方法、装置およびシステムを提供する。図1は、例示的なストリーミングデータ匿名化システム100、例えば、本開示の範囲内のプロセスの実施形態を実施することができるコンピュータシステムを示す。例示的なシステム100は、様々な実施形態に従って、機密データを含むデータストリームを処理する。ストリームデータ内のそれぞれのデータ項目(p,s)は、通常、個人を識別する住所などの第1の要素pと、その個人が抱える病気などの個人に関するいくつかの個人および/または機密情報を含む第2の要素sを含む。様々な実施形態は、データの保護を確実にすることが技術的により難しくなっていることから、非保護の機密データが一時的にでもディスクに書き込まれるべきではないという認識を反映する。これは、いくつかの重要な適用の際の法的要件であり得ることが重要である。
図1に示されるように、メモリ130は、本明細書に開示されたストリーミングデータ匿名化の方法、ステップ、および機能(図1において、集合的に150として示され、図3に関連して以下にさらに述べられる)を実施するためのプロセッサ120を構成する。メモリ130は、分散型であってもローカル型であってもよく、プロセッサ120は、分散型であっても単体型であってもよい。メモリ130は、電気的メモリ、磁気メモリもしくは光メモリ、またはそれらもしくは他のタイプの記憶デバイスの任意の組合せとして、実装されてよい。プロセッサ120を構成するそれぞれの分散型プロセッサは、一般的に、それ自身のアドレス指定可能なメモリ空間を含むということに留意されたい。システム100のいくつかまたは全ては、パーソナルコンピュータ、ラップトップコンピュータ、ハンドヘルドコンピューティングデバイス、特定用途向け回路または汎用集積回路に組み込まれ得るということにも留意されたい。
関連の機密データsを伴う変換された識別データp’は、その全てが同じ変換された識別部分p’を有するような1組のデータの一部として書き込まれ、個人の機密データsが識別され得ないという特性(例えば、いわゆるk匿名性要件)の場合のみ、格納または送信され得るという場合を考えてみる。この目標は、未変換のデータ(p,s)が格納され得る固定サイズのRAMバッファがあるという制約の下で達成され得る。さらなる実施形態によれば、変換された識別情報p’が各個人の真の識別データpとどのように異なる必要があるかに関して、制限が任意選択で定められる。この方法では、近似の変換データ(p’,s)は、真のデータ(p,s)の適切な表示であり得る。
以下で述べられるように、例示的な実施形態は、意味的にセキュアな暗号化、(無作為に選択された)パーミュテーション関数πまたはハッシュ表、およびクラスタリングヒューリスティックの組合せを使用する。様々な実施形態は、この中間機密データが暗号化される限り、このデータが記憶ディスク、フラッシュメモリデバイスまたはネットワーク記憶デバイスなどの記憶デバイスに記憶され得る、またはネットワークを介して送信され得るという認識を反映する。例示的なシステム100は、図3に関連して以下にさらに述べられるように、分割された空間S内の特定のサブ領域Siに関連する特定のリストL(π(i))に、変換された識別データp’および暗号化された機密データe(s)を記憶するために、1つまたは複数の記憶ディスク170におけるディスク空き容量を、RAMのセキュアな拡張部として使用する。
図3に関連してさらに以下で述べられるように、例示的な一実施形態において、リストL(j)などの特定のリストが、予め定義された匿名性基準を満たすと(例えば、リストが少なくともk個の要素を有する)、リストの要素は、復号され、以下の値がディスク170(または、別の記憶もしくは送信デバイス)に出力される:リストの中心Cj、リストからの復号された機密データ値。他の変形形態では、リストまたは領域の任意の識別子が提供され得る。
例示的な実施形態が、分割された空間S内の領域の最も近い中心Cjを見つけるということで、本明細書に示されるが、当業者であれば明らかであるように、領域への任意の分割でも、使用され得る。別の例示的な変形形態では、空間Sは、グリッドに分割されることが可能で、未変換データ(p,s)がシステム100に入ると、このデータは、例えば、グリッドセルのxおよびy範囲に基づいて、空間Sの特定の領域Siに分類され得る。
例示的な実施形態は、データpの識別部分が、ユークリッド空間などの、距離が定義される空間から来ると想定する。これによって、例えば、データは、位置データ、またはタプルのそれぞれの構成要素が距離尺度を有する任意のその他のタプルである可能性がある(以後、タプル間の距離は、L1、L2(ユークリッドメトリック)、...、またはL−無限大などの任意の多次元メトリックによって定義され得る)。全ての可能な識別データの空間をSとする。
上に示されるように、変換されたデータ(p’,s)が、いずれの個人のデータのプライバシも損なうことなく分析され得るように、機密データのストリームを変換し、前処理し、格納することが望ましい場合がよくある。一般的に、変換された識別データp’および関連の機密データsを調べる研究者および/または分析者は、いずれの特定の個人の機密情報pも識別できない状態で、データsを調べ、データに関する合理的な(おおよそではあるが)結果を得ることができなければならない。例えば、研究者は、特定の地区における病気の調査を望む場合がある。
いくつかの実施形態は、機密データsを、それが例示的なディスク170などのディスクに書き込まれる前に暗号化する。さらなる実施形態は、特定の領域Si内の点の全てが、少なくとも、いずれのその他の中心に対してと同じくらい、領域Siの中心Ciに近くなるように、空間Sを複数の領域S1、S2、...、Stに分割する。図2は、例示的な地理的地域に対応し、それぞれが対応する中心C1、C2、...、Ctを有する複数の例示的な四角形領域S1、S2、...、Stに分割された(tは、図2の例示的な実施形態における9と同じである)、例示的な空間S200を示す。図2の例示的な実施形態におけるそれぞれのデータ項目(p,s)の識別部分pは、住所に対応し、機密データsは、その個人が抱える病気に対応する。
図2の例示的な実施形態では、それぞれの四角形領域Siは、地理的地域S200の異なるサブ領域に対応する。ストリームデータ内のそれぞれのデータ項目(p,s)が処理される際、要素pに対応する住所は、データ項目(p,s)を、住所が示す特定のサブ領域S1、S2、...、Stに分類するために使用される。機密データsの暗号化されたバージョンe(s)は、適切なサブ領域内のディスクに記憶される。以下に述べられるように、所定のサブ領域Si内の変換されたデータ項目の数が、規定の閾値を超える場合、サブ領域Si内のそれらのデータ項目は、復号され、復号された機密データ値は、さらなる調査および/または分析のために出力され得る。
図3は、様々な実施形態に一致する、ストリーミングデータ匿名化プロセス300の例示的な実施態様を示すフローチャートである。図3に示されるように、例示的なストリーミングデータ匿名化プロセス300は、最初に、ステップ310において、領域Si内の全ての点が、少なくとも、あらゆるその他の中心に対するのと同じように、Ciに近くなるように、空間S内のいくつかの点C1、C2、...、Ct(中心と呼ばれる)を選び、空間Sの領域S1、S2、...、Stへの分割を定める(すなわち、ボロノイ図)。調整可能なパラメータであり得る固定距離dに対して、十分に多い好位置の中心が選択され、それによってS内の任意の点pに対して、ある中心Ciがあり、それによってpがCiまでの距離d以下であるようにする(例えば、十分に細かいグリッド)。
pがデータの識別部分であり、sが関連の機密情報である、ストリームのデータ点(p,s)を考えてみる。その後、ステップ320において、(p,s)がシステム100に入ると、pに最も近い中心Ciと、値π(i)が計算される(ここでπは無作為に選択された[1,t]上のパーミュテーション関数である)。ディスク170において、暗号化されたデータのt個のリストL(1)、L(2)、...、L(t)が以下のように作成される。機密データsは、e(s)として暗号化され、ステップ330において、e(s)は、ディスク170におけるリストL(π(i))に加えられる。暗号化は、任意の意味的にセキュアな暗号化であり得る(すなわち、2つの暗号化が同じ値を暗号化するかどうか、相手は見分けることができない)。意味的にセキュアな暗号化の例には、Enc_k(x)=AES_k(x,r)があり、ここでは、rは、無作為に選択された値である。
一般的に、パーミュテーション関数πは、相手が、データが特定の領域に格納されるのを観察することによって情報を得るということができないように、領域がS1、S2、...、Stで格納される順番をランダム化する。言い換えれば、パーミュテーション関数πは、中心Ciを、ディスク位置にマッピングする。
この方法では、相手は、データをストリームに注入し、更新されたディスクの部分をモニタし、それによって、ディスクのどの部分が、その特定の領域についてのデータを含むかを知るということができない。また、ダミーデータ点を追加/削除し、全ての領域の成長/収縮を無作為に維持することによって、タイミングアタックを任意選択で軽減し、それによって、相手が、実際のデータがどこに行くのか、またはどこから書き込まれるかを決定することができないようにする。
パーミュテーション関数は、任意の無作為に選択されたパーミュテーション関数として具体化され得る。Siの小さな組では、パーミュテーションは、全体マップπ(1)、π(2)などを列挙することによって、生成され、RAMに記憶され得る。より大きな組では、記憶されるには鍵のみが必要で、マッピングは、記憶された鍵から生成され得る。任意のサイズのドメインにおいて、擬似ランダム置換を生成するための例示的な技法の論述に関しては、例えば、Ben Morris、Phillip Rogaway、「Sometimes−Recurse Shuffle:Almost−Random Permutations in Logarithmic Expected Time」(未発表原稿、2013年8月)、例えば、http://eprint.iacr.org/2013/560.pdf)を参照、を参照されたい。
ハッシュ表の実施態様は、カッコウハッシュなどの標準ハッシュ表データ構造を使用することができる。例えば、Rasmus Pagh他、「Cuckoo Hashing」Algorithms−ESA2001、Computer Science2161の講義ノート、121−133頁(2001年)を参照されたい。
最後に、ステップ340において、いずれの時点でも、リストL(j)などの、リストのうちの1つが使用される予め定義された匿名化基準を満たすということ(例えば、リストが、少なくともk個の要素を有する)が検出されると、ステップ350において、リストの要素は、復号され、以下の値がディスク170に出力される(またはネットワークを介して送信される):リストの中心Cj、リストからの復号された機密データの値。
例示的な一実施形態では、暗号化されたデータのリストL(1)、L(2)、...、L(t)は、任意選択で、ダミーエントリを1つまたは複数のリストに追加し、1つまたは複数のリストからエントリを削除し、またすでにディスクに書き込まれたいくつかのエントリを維持することによって、ほぼ等しいサイズで保持される。この方法では、タイミング技法を使用した、機密情報の漏洩が低減される。
パーミュテーションによる、中心Ciのディスク位置へのマッピングは、点Ciの数が比較的少なければ、効率的である。このような中心が多くあり得るが(例えば、ディスク記憶位置よりも多い)、Ciの全てがポピュレートされるわけではない場合では、ハッシュ表は、Ciのディスク位置マッピングの実施態様として、使用され得る。一般的に、ハッシュ表は、ディスクアドレスからCiを明らかにすることができるので、Ciは、Ciを位置に対するハッシュ関数鍵として使用する前に、確定的に暗号化される。確率的暗号化が、特定のCiに対して、一貫して同じディスク位置を割り振ることを可能にしない可能性がある際に、確定的暗号化が必要とされる。
最後に、ハッシュ表をディスク位置のための機構として使用することは、Ci情報を記憶するために使用されるディスク位置の簡単な更新/再ランダム化を可能にする。確かに、カウンタと連結されたCiを簡単に暗号化することは、Ciに対する新しいリンク対象外の位置の割り振りを可能にする((Ci)毎の現在のカウンタが、RAMに記憶される必要がある)。
例
pが、通信(例えば、テキストメッセージ、通話)の地理的エンドポイントを含み、sが、通信の種類および持続時間である場合のデータ(p,s)の供給を考えてみる。データのこのストリームは、サービスプロバイダ(SP:Service Provider)によって、1つのコンピュータ(または複数のコンピュータ)の実行に加わる。多くの地理的地域において、SPは、この供給からデータ点を記録することが法的に許されない。すなわち、SPは、(p,s)をディスクに書き込むことができない。SPは、例えば、ネットワーク構成を最適化するため、よりよい価格設定計画を立てるため、またはチャーン(churn)を防ぐために、このデータにおいて、いくつかの分析的計算を行うことを望む。コンピュータは、限られたメモリ(すなわち、限られたバッファサイズ)を有する。様々な実施形態において、SPは、ディスクに、後の分析のために使用される「匿名化された」データを書き込むことができる。例えば、SPは、実際のk個の(またはより多くの)通信エンドポイントペアのおおよその位置を表す値を、これらのk個の(またはより多くの)通信ペアについての付随する機密データを伴って、印刷出力することができる。このような点の組は、限られたメモリが一杯になると、定期的にディスクに書き込まれる
可能性がある。
pが、通信(例えば、テキストメッセージ、通話)の地理的エンドポイントを含み、sが、通信の種類および持続時間である場合のデータ(p,s)の供給を考えてみる。データのこのストリームは、サービスプロバイダ(SP:Service Provider)によって、1つのコンピュータ(または複数のコンピュータ)の実行に加わる。多くの地理的地域において、SPは、この供給からデータ点を記録することが法的に許されない。すなわち、SPは、(p,s)をディスクに書き込むことができない。SPは、例えば、ネットワーク構成を最適化するため、よりよい価格設定計画を立てるため、またはチャーン(churn)を防ぐために、このデータにおいて、いくつかの分析的計算を行うことを望む。コンピュータは、限られたメモリ(すなわち、限られたバッファサイズ)を有する。様々な実施形態において、SPは、ディスクに、後の分析のために使用される「匿名化された」データを書き込むことができる。例えば、SPは、実際のk個の(またはより多くの)通信エンドポイントペアのおおよその位置を表す値を、これらのk個の(またはより多くの)通信ペアについての付随する機密データを伴って、印刷出力することができる。このような点の組は、限られたメモリが一杯になると、定期的にディスクに書き込まれる
可能性がある。
例示的な方法の独自の特徴は、この方法が、ユーザが識別データの近似値における上限を規定することを可能にするということである。すなわち、ユーザは、(p1,s1)、(p2,s2)、...、(pk,sk)などのデータが、ディスクに{Ci,s1,s2,...,sk)の形式で書き込まれる時はいつでも、任意のpjとCiとの間の最大距離は、ある距離dであると言うことができる。すなわち、近似値の品質はユーザによって規定され得る。これによって、いくつかの利益の中でも特に、開示された方法は、ユーザが、受け入れられる近似値の程度を規定することを可能にする。
また、暗号化されたデータを慎重にディスクに記憶することによって、信頼されるバッファ(すなわち、RAMの)有限サイズは、もはや制限とはならない。
システムおよび製造品の詳細
図3は、例示的な一連のステップを示すが、様々な実施形態において、順序が変更される場合がある。代替えの実施形態として、アルゴリズムの様々なパーミュテーションが考えられる。
図3は、例示的な一連のステップを示すが、様々な実施形態において、順序が変更される場合がある。代替えの実施形態として、アルゴリズムの様々なパーミュテーションが考えられる。
本発明の様々な実施形態が、当業者には明らかであるように、ソフトウェアプログラムにおける処理ステップに関して説明されたが、様々な機能は、ソフトウェアプログラム内の処理ステップとしてのデジタルドメインにおいて、回路要素またはステートマシンによるハードウェアにおいて、またはソフトウェアとハードウェアの両方の組合せにおいて、実施され得る。このようなソフトウェアは、例えば、デジタルシグナルプロセッサ、特定用途向け集積回路、マイクロコントローラ、または汎用コンピュータにおいて使用され得る。このようなハードウェアおよびソフトウェアは、集積回路内で実装される回路内で具体化され得る。
このように、本発明の機能は、これらの方法を実施するための方法および装置の形態で、具体化され得る。本発明の1つまたは複数の態様は、例えば、記憶媒体に記憶される、マシン内にロードされる、および/またはマシンによって実行される、またはいくつかの伝送媒体を介して送信されるかどうかのプログラムコードの形態において具体化され得て、この場合、プログラムコードがコンピュータなどのマシン内にロードされ、そのマシンによって実行されると、マシンは、本発明の1つまたは複数の実施形態に従って構成された装置になる。汎用プロセッサにおいて実施される場合、プログラムコードセグメントは、プロセッサと組み合わさり、特定の論理回路に類似して動作するデバイスを提供する。実施形態は、集積回路、デジタルシグナルプロセッサ、マイクロプロセッサ、およびマイクロコントローラのうちの1つまたは複数においても実施され得る。
当技術分野において知られているように、本明細書に述べられた方法および装置は、それ自体が、コンピュータ可読コード手段をその上に具体化した有形のコンピュータ可読記録可能媒体を含む、製造品として配給され得る。コンピュータ可読プログラムコード手段は、コンピュータシステムと連動して、本明細書に述べられた方法を行う、または装置を作り出すためのステップの全てまたはいくつかを実行するように、動作可能である。コンピュータ可読媒体は、記録可能媒体(例えば、フロッピーディスク、ハードドライブ、コンパクトディスク、メモリカード、半導体デバイス、チップ、特定用途向け集積回路(ASIC:Application Specific Integrated Circuit))であってもよく、または伝送媒体(例えば、光ファイバを含むネットワーク、ワールドワイドウェブ、ケーブル、または時分割多元接続、符号分割多元接続、もしくはその他の無線周波数チャネルを使用した無線チャネル)であってもよい。コンピュータシステムで使用するのに適した、情報を格納することができる、知られている、または開発された媒体であれば、使用され得る。コンピュータ可読コード手段は、磁気媒体における磁気変化またはコンパクトディスクの表面上の高さ変動などの、コンピュータが命令およびデータを読み取ることを可能にするための任意の機構である。
本明細書に記載されたコンピュータシステムおよびサーバはそれぞれ、本明細書に開示された方法、ステップ、および機能を実施するための関連のプロセッサを構成することとなるメモリを含む。メモリは、分散型またはローカル型である可能性があり、プロセッサは、分散型またはただ1つである可能性がある。メモリは、電気的メモリ、磁気メモリもしくは光メモリ、またはこれらもしくはその他のタイプの記憶デバイスの任意の組合せとして、実装される可能性がある。また、「メモリ」という用語は、関連のプロセッサによってアクセスされる、アドレス指定可能な空間内のアドレスから読み取る、またはそのアドレスに書き込むことができるあらゆる情報を包含するとして、十分に広く解釈されるべきである。この定義では、関連のプロセッサがネットワークから情報を取得することができるので、ネットワーク上の情報は、依然としてメモリ内にある。
本発明は、他の特定の装置および/または方法において具体化され得る。記載された実施形態は、あらゆる点で単なる例示にすぎず、限定的に解釈されてはならない。特に、本発明の範囲は、添付の特許請求の範囲によって示されるものであって、本明細書の説明および図面にはなんら拘束されない。特許請求の範囲の均等の意味および範囲に属する変更は、全て本発明に含まれるものである。
Claims (14)
- piが第iデータ要素の識別部分を構成し、siが前記第iデータ要素の関連の機密情報部分を構成する、複数の前記データ要素(pi,si)を含むデータストリームのデータ要素(pi,si)を、少なくとも1つの処理デバイスによって受信するステップと、
t個の領域S1、S2、...、Stを含む、分割された空間Sを、少なくとも1つの処理デバイスによって得るステップと、
前記識別部分piを、前記領域のうちの選択された1つに、少なくとも1つの処理デバイスによって割り当てるステップと、
前記関連の機密情報部分siを、e(si)として、少なくとも1つの処理デバイスによって暗号化するステップと、
メモリデバイス内の前記暗号化された関連の機密情報部分e(si)を、前記選択された領域に関連するリストに、少なくとも1つの処理デバイスによって格納するが、前記関連の識別部分piを使用して、前記関連の識別部分piを前記選択された領域に割り当てた後には、前記関連の識別部分piを、前記リストに格納しないステップと
を含む、方法。 - パーミュテーション関数およびハッシュ表のうちの1つまたは複数を使用して、前記選択された領域に関連する前記リストを、前記メモリデバイスの記憶位置に、少なくとも1つの処理デバイスによってマッピングするステップをさらに含む、請求項1に記載の方法。
- 前記分割された空間S内の領域S1、S2、...、Stに対応する、いくつかの中心点C1、C2、...、Ctを、少なくとも1つの処理デバイスによって得るステップと、
piに最も近い中心を、少なくとも1つの処理デバイスによって計算するステップと
をさらに含み、
前記リストが、前記計算された最も近い中心に関連する、請求項1に記載の方法。 - 所定のリストから、所定のリストの識別子および復号された機密データ値を、1つまたは複数の予め定義された匿名性基準が前記所定のリストによって満たされるという条件で、少なくとも1つの処理デバイスによって出力するステップをさらに含む、請求項1に記載の方法。
- ダミーエントリを、1つまたは複数のリストに、少なくとも1つの処理デバイスによって加えるステップ、
1つまたは複数のリストから、エントリを、少なくとも1つの処理デバイスによって削除するステップ、および
出力された1つまたは複数のリスト内に、1つまたは複数のエントリを、少なくとも1つの処理デバイスによって維持するステップ
のうちの1つまたは複数をさらに含む、請求項1に記載の方法。 - メモリと、
メモリに接続された少なくとも1つのハードウェア処理デバイスと
を備えたシステムであって、
ハードウェア処理デバイスが、
piが第iデータ要素の識別部分を構成し、siが前記第iデータ要素の関連の機密情報部分を構成する、複数の前記データ要素(pi,si)を含むデータストリームのデータ要素を受信し、
t個の領域S1、S2、...、Stを含む分割された空間Sを、少なくとも1つの処理デバイスによって得て、
前記識別部分piを、前記領域のうちの選択された1つに、少なくとも1つの処理デバイスによって割り当て、
前記関連の機密情報部分siを、e(si)として、少なくとも1つの処理デバイスによって暗号化し、
メモリデバイス内の前記暗号化された関連の機密情報部分e(si)を、前記選択された領域に関連するリストに、少なくとも1つの処理デバイスによって格納するが、前記関連の識別部分piを使用して、前記関連の識別部分piを前記選択された領域に割り当てた後には、前記関連の識別部分piを、前記リストに格納しない
ように動作する、システム。 - 前記少なくとも1つのハードウェア処理デバイスが、パーミュテーション関数およびハッシュ表のうちの1つまたは複数を使用して、前記選択された領域に関連する前記リストを、前記メモリデバイスの記憶位置にマッピングするようにさらに構成される、請求項6に記載のシステム。
- 前記少なくとも1つのハードウェア処理デバイスが、
領域S1、S2、...、Stを含む前記分割された空間S内のいくつかの中心点C1、C2、...、Ctを得て、
piに最も近い中心を計算する
ようにさらに構成され、
前記リストが、前記計算された最も近い中心に関連する、請求項6に記載のシステム。 - 前記少なくとも1つのハードウェア処理デバイスが、所定のリストから、所定のリストの識別子および復号された機密データ値を、1つまたは複数の予め定義された匿名性基準が前記所定のリストによって満たされるという条件で、出力するようにさらに構成される、請求項6に記載のシステム。
- プロセッサを、メモリからプログラム命令を受信するように構成するステップと、
前記プログラム命令を、前記メモリに記憶するステップと
を含む、処理システムを構成するための方法であって、
前記プログラム命令が、前記プロセッサによって読み取られた場合、前記プロセッサを、
piが第iデータ要素の識別部分を構成し、siが前記第iデータ要素の関連の機密情報部分を構成する、複数の前記データ要素(pi,si)を含むデータストリームのデータ要素を受信し、
t個の領域S1、S2、...、Stを含む、分割された空間Sを得て、
前記識別部分piを、前記領域のうちの選択された1つに割り当て、
前記関連の機密情報部分siを、e(si)として暗号化し、
前記暗号化された関連の機密情報部分e(si)を、前記選択された領域に関連するリストに格納するが、前記関連の識別部分piを使用して、前記関連の識別部分piを前記選択された領域に割り当てた後には、前記関連の識別部分piを、前記リストに格納しない
ように構成する、処理システムを構成するための方法。 - 前記プログラム命令が、プロセッサを、パーミュテーション関数およびハッシュ表のうちの1つまたは複数を使用して、前記選択された領域に関連する前記リストを、記憶位置にマッピングするようにさらに構成する、請求項10に記載の方法。
- 前記パーミュテーション関数が、無作為に選択された[1,t]上のパーミュテーション関数を含む、請求項11に記載の方法。
- 前記プログラム命令が、プロセッサを、
前記分割された空間S内の領域S1、S2、...、Stに対応する、いくつかの中心点C1、C2、...、Ctを得て、
piに最も近い中心を計算する
ようにさらに構成し、
前記リストが、前記計算された最も近い中心に関連する、請求項10に記載の方法。 - 前記プログラム命令が、プロセッサを、所定のリストから、所定のリストの識別子および復号された機密データ値を、1つまたは複数の予め定義された匿名性基準が前記所定のリストによって満たされるという条件で、出力するようにさらに構成する、請求項10に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/225,720 US9361480B2 (en) | 2014-03-26 | 2014-03-26 | Anonymization of streaming data |
| US14/225,720 | 2014-03-26 | ||
| PCT/US2015/022365 WO2015148595A1 (en) | 2014-03-26 | 2015-03-25 | Anonymization of streaming data |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017516194A JP2017516194A (ja) | 2017-06-15 |
| JP6352441B2 true JP6352441B2 (ja) | 2018-07-04 |
Family
ID=52829371
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016558633A Expired - Fee Related JP6352441B2 (ja) | 2014-03-26 | 2015-03-25 | ストリーミングデータの匿名化 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9361480B2 (ja) |
| EP (1) | EP3123655A1 (ja) |
| JP (1) | JP6352441B2 (ja) |
| CN (1) | CN106133745A (ja) |
| WO (1) | WO2015148595A1 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2887191C (en) * | 2014-04-04 | 2021-05-25 | University Of Ottawa | Secure linkage of databases |
| US9830463B2 (en) * | 2016-01-22 | 2017-11-28 | Google Llc | Systems and methods for detecting sensitive information leakage while preserving privacy |
| CN108694333B (zh) * | 2017-04-07 | 2021-11-19 | 华为技术有限公司 | 用户信息处理方法及装置 |
| GB201903141D0 (en) | 2019-03-08 | 2019-04-24 | Univ Cape Town | System and associated method for ensuring data privacy |
| CN113826349A (zh) * | 2019-05-15 | 2021-12-21 | 皇家飞利浦有限公司 | 对数据集中的敏感数据字段进行归类 |
| KR102662784B1 (ko) * | 2023-08-25 | 2024-05-03 | (주)이지서티 | 인공지능을 이용한 자동 가명처리기법 추천 방법 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040199781A1 (en) | 2001-08-30 | 2004-10-07 | Erickson Lars Carl | Data source privacy screening systems and methods |
| US8200775B2 (en) * | 2005-02-01 | 2012-06-12 | Newsilike Media Group, Inc | Enhanced syndication |
| JP2007287102A (ja) * | 2006-04-20 | 2007-11-01 | Mitsubishi Electric Corp | データ変換装置 |
| US7861096B2 (en) * | 2006-07-12 | 2010-12-28 | Palo Alto Research Center Incorporated | Method, apparatus, and program product for revealing redacted information |
| US8131083B2 (en) * | 2007-04-09 | 2012-03-06 | Sharp Kabushiki Kaisha | Image processing apparatus, image forming apparatus, image processing system, and image processing method having storage section, divided into a plurality of regions, for storing identification information for identifying reference image |
| US8762741B2 (en) | 2009-01-29 | 2014-06-24 | Microsoft Corporation | Privacy-preserving communication |
| CN102063598A (zh) * | 2009-11-17 | 2011-05-18 | 北大方正集团有限公司 | 一种数据加密、解密方法及装置 |
| JP5382599B2 (ja) * | 2009-12-11 | 2014-01-08 | 敦志 田代 | 秘匿化アドレスマッチング処理システム |
| WO2012124178A1 (ja) * | 2011-03-16 | 2012-09-20 | 日本電気株式会社 | 分散記憶システムおよび分散記憶方法 |
| EP2752786A4 (en) * | 2011-09-02 | 2015-04-08 | Nec Corp | DEVICE AND METHOD FOR DISASSENTING |
| US8627488B2 (en) * | 2011-12-05 | 2014-01-07 | At&T Intellectual Property I, L.P. | Methods and apparatus to anonymize a dataset of spatial data |
| WO2013088681A1 (ja) * | 2011-12-15 | 2013-06-20 | 日本電気株式会社 | 匿名化装置、匿名化方法、並びにコンピュータ・プログラム |
| US9165005B2 (en) * | 2012-02-24 | 2015-10-20 | Simplivity Corporation | Method and apparatus utilizing non-uniform hash functions for placing records in non-uniform access memory |
| WO2014006851A1 (ja) * | 2012-07-02 | 2014-01-09 | 日本電気株式会社 | 匿名化装置、匿名化システム、匿名化方法、及び、プログラム記録媒体 |
| JP6171137B2 (ja) * | 2013-03-21 | 2017-08-02 | 株式会社国際電気通信基礎技術研究所 | 無線通信システム、無線通信装置および無線通信方法 |
-
2014
- 2014-03-26 US US14/225,720 patent/US9361480B2/en active Active
-
2015
- 2015-03-25 WO PCT/US2015/022365 patent/WO2015148595A1/en active Application Filing
- 2015-03-25 CN CN201580015843.1A patent/CN106133745A/zh active Pending
- 2015-03-25 EP EP15716260.3A patent/EP3123655A1/en not_active Withdrawn
- 2015-03-25 JP JP2016558633A patent/JP6352441B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US20150278549A1 (en) | 2015-10-01 |
| EP3123655A1 (en) | 2017-02-01 |
| CN106133745A (zh) | 2016-11-16 |
| WO2015148595A1 (en) | 2015-10-01 |
| JP2017516194A (ja) | 2017-06-15 |
| US9361480B2 (en) | 2016-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6352441B2 (ja) | ストリーミングデータの匿名化 | |
| US7827403B2 (en) | Method and apparatus for encrypting and decrypting data in a database table | |
| KR101679156B1 (ko) | 블룸 필터를 숨기는 콘텐츠에 의한 안전한 개인 데이터베이스 쿼링 | |
| JP5420085B2 (ja) | データ処理装置及びデータ保管装置 | |
| Salam et al. | Implementation of searchable symmetric encryption for privacy-preserving keyword search on cloud storage | |
| Mandal et al. | Symmetric key image encryption using chaotic Rossler system | |
| KR101613146B1 (ko) | 데이터베이스 암호화 방법 | |
| US20090296926A1 (en) | Key management using derived keys | |
| US8769302B2 (en) | Encrypting data and characterization data that describes valid contents of a column | |
| US11184163B2 (en) | Value comparison server, value comparison encryption system, and value comparison method | |
| WO2016129259A1 (ja) | サーバ装置、データ検索システム、検索方法および記録媒体 | |
| Cui et al. | A practical and efficient bidirectional access control scheme for cloud-edge data sharing | |
| JP2018533054A (ja) | 機密性を保持しつつデータ損失を防止するためのシステムおよび方法 | |
| Ying et al. | Reliable policy updating under efficient policy hidden fine-grained access control framework for cloud data sharing | |
| US9218296B2 (en) | Low-latency, low-overhead hybrid encryption scheme | |
| CN116132065A (zh) | 密钥确定方法、装置、计算机设备和存储介质 | |
| US11153282B2 (en) | Controlling access to content in a network | |
| Anitha et al. | Data security in cloud for health care applications | |
| US10936757B2 (en) | Registration destination determination device, searchable encryption system, destination determination method, and computer readable medium | |
| Ahmed et al. | A secure provenance scheme for detecting consecutive colluding users in distributed networks | |
| KR101701295B1 (ko) | 맵리듀스 환경에서의 프라이버시 보호 동등 조인 방법 | |
| JP7304234B2 (ja) | データサーバ、秘匿匿名化システム、及び暗号化方法 | |
| WO2024029123A1 (ja) | ソフトウェア情報管理装置、ソフトウェア情報管理方法 | |
| Anitha et al. | Metadata driven efficient key generation and distribution in cloud security | |
| Malarkod et al. | Optimizing Data Privacy in HEROKU Cloud Using AES Algorithm Comparing with Blowfish Encryption Algorithm. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171018 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171031 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20180129 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180425 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180508 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180606 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6352441 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |