差分隐私在运营指标：ABP 的 DP 计数器与噪声预算

🚦 差分隐私在运营指标：ABP 的 DP 计数器与噪声预算

---

---

0. TL;DR 🚀

• 👤 隐私单元（Privacy Unit）选择 用户/设备级，写路径先按隐私单元聚合并剪裁贡献上界 K。
• ➕ 计数/求和 → Laplace（尺度 b = Δ/ε）；📈 比例/均值 → Gaussian（生产建议解析高斯校准 σ；示例以经典上界为保守缺省）。
• 🧩 后处理不降隐私：结果可做非负截断、舍入、分桶、平滑等业务约束。
• 📒 预算账本：按“租户×指标×窗口开始时刻(UTC)”累计 ε/δ；Key 与窗口严格对齐；Lua 原子消费；TTL=窗口剩余秒数；超额硬阻断。
• 🔒 发布幂等：周期任务在每个窗口结束时发布上一窗(UTC)；用 Redis SET NX 建立 released 锁，保证只发布一次（并可 Upsert 落库）。
• 🧪 灰度与 A/B：按租户/功能开关；以 MAPE / P95 误差阈值放量；随时回滚。

📈 一图看懂（写入→发布→预算→加噪）

---

1. 背景与边界 🧭

• 🔐 与加密/RLS：加密/RLS 决定“谁能看真值”；差分隐私（DP）约束“公开后能泄露多少”。
• ✅ 适用：DAU/留存、功能调用次数、错误率、漏斗流量等群体指标；⛔ 不用于强一致计费或逐个体对账。
• ⚠️ 风险与对策：合谋/跨窗差分/滑动窗反推 → 隐私预算、最小样本门槛、发布限频、审计追溯。

---

2. DP 工程口径 📐

• 📏 敏感度 Δ：单个隐私单元在单窗口的最大贡献（经 K 剪裁后）。

• 🔊 Laplace：b = Δ/ε；❄️ Gaussian：σ = f(ε, δ, Δ)（生产建议“解析高斯”或接入 OpenDP 校准；示例用经典上界）。

• 🧮 组合/会计：

  • 拉普拉斯：ε 线性加和（基础组合）。
  • 高斯：用 RDP 按 α 网格累加，再对给定 δ 反推 ε*(δ) = min_α {RDP(α) + ln(1/δ)/(α-1)}，展示“已用/剩余”。

• 🧯 后处理不伤隐私：非负截断、舍入、分桶、平滑等结果级操作不降低 DP 保证。

---

3. 目标架构（ABP 集成）🏗️

Abp.DpMetrics 模块（应用层）

• IDpCounter.Increment(tenant, metric, unitId, amount=1)：写路径，按隐私单元聚合→剪裁 K→入库。
• DpPublishWorker：周期发布；按窗口结束发布上一窗(UTC)；发布幂等锁→预算校验→加噪→后处理→审计落表。
• IPrivacyAccountant（Redis/DB 实现）：存 (tenant, metric, windowStartUtc) 的 ε/δ 用量与上限；提供Lua 原子 TryConsume。
• IBudgetPolicyProvider：预算上限（ε/δ cap）配置化，支持按租户/指标/窗口粒度下