OSSE的数学证明

A. Differential Privacy Guarantees of OSSE

概率比的上限

首先有三个定义

1. G ∼ Geo(1− q)：参数为1-q的几何分布
2. A ∼ Bern§ ：参数为p的伯努利分布
3. Bn ∼ Bi(n, p)：参数为n和p的二项分布

推论

直接推出

推论2

23–>24可以理解成
(Pr{G + Bn = α}+Pr{第n+1次伯努利实验失败})/Pr{G + Bn = α} +
(Pr{G + Bn = α-1}+Pr{第n+1次伯努利实验成功}/Pr{G + Bn = α}=
1-p【Pr{第n+1次伯努利实验失败}】+(p/q)*上式【p表示第n+1次伯努利实验成功，q表示几何分布要少一次】

便可以得到

推论3

将原式分解为多个上下二项分布B下标差1的概率比的乘积，于是相邻概率比的上下可约，再根据（19）和(20)可证

文件的差异性隐私

• D和D’为只有一个文件不同的数据集，不同的两个文件只有一个关键词w_*和w‘_*不同
• M表示将一个数据集D和一个关键词w作为输入，输出w的模糊访问模式的算法
• π是特定观察到的一个模糊访问模式，π[i]表示观察到的第i个文件的次数

于是有

当w不属于 {w_∗, w’_∗}时，上面等式的概率为1
当w属于其中一个时，假设w=w_∗，此时为第k个文档包含该关键词
那么模糊访问模式中除了Π_w∗[k]和Π_w∗ [lk]
大于上界，就大于所有
那么可以得到如下结论

关键词的差异化隐私

对于一次查询关键词~w与 ~w中只有w∈ ~w和w’∈ ~w’不同其他都相同，那么有：

定义：

• D_0,1表示这个文件没有关键词w但是又关键词w‘ {D_0,0，D_1,1，D_1,0}的定义类似，那么又有
  
  可得到
  

对i∈[|h|],有

这里的g_i+n是比定义里的g_l将w和w’的位置有一个为存在时都减去了的，所以后面针对只有w和只有w‘的情况，加上了|Dⁱ_0,1|和|Dⁱ_1,0|

对于（40）来说当|Dⁱ_0,1|为0时取得最大，对于（41）来说当|Dⁱ_1,0|为0时取得最大，且因为

可得到

综合（35）和（42）可以得到

|D_0,1|+|D_1,0|表示对数据集D，用~w查询和用 ~w’查询，得到的返回中，不同文档的数据，把他记为d
根据关键词隐私的定义


又可以得出

ctr_max

• F_max:被最多文件所包含的关键词，被包含的次数
• 索引构建成功的条件：ctr_max严格大于所有拥有同一个关键词和共享标签的文件数量则索引就可构建成功

下面证明当 ctr_max = c·ln F_max/ ln ln F_max 时，成功概率大于1 − 1/n

• n_i,j：包含关键词wi和标签j的文档数量
• S：表示成功
  （45）——>（46）：可能有多个文档对应一个lable（l=h(D)），对于关键词wi，与wi匹配次数最多的那个lable，所匹配的次数
  （46）——>（47）：并集的概率<=概率的和

（49）是怎么得到的？

那么当有如下条件时

、
成功的概率要想大于1-1/n，那么c有限制条件：

E_w

• E_w：对某个关键词wi进行查询，返回的文档数的期望

均匀分布下的E_w

当所有关键词有相同的概率用于搜索时，即 |D(w)| = F_max，那么有：

Zipfian Distribution下的E_w

百度百科解释的Zipfian Distribution
一个自然语言话语语料库中的单个单词的频率与它的排名（它按频率递减的顺序在一个排序列表中的位置）成反比
假设所有的关键词按照频率排序，那么有 |D_(w(1))| = F_max，且