Shuffle Differential Privacy(1)

最新推荐文章于 2024-11-19 16:01:13 发布
最新推荐文章于 2024-11-19 16:01:13 发布
阅读量1.8k 收藏 48
点赞数 33
文章标签: 安全 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43678476/article/details/137034895
版权
本文探讨了ShuffleDifferentialPrivacy(SDP),一种在本地化差分隐私(LDP)基础上改进的框架,通过Encode、Shuffle和Analyze步骤提高数据可用性。SDP通过混淆机制降低隐私预算需求,与LDP相比,减小了数据误差。文章还介绍了SDP的理论基础、隐私放大理论以及与加密差分隐私的比较,最后提到了与联邦学习的关联。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Shuffle Differential Privacy(1)

一、背景

当前主流本地化差分隐私技术(LDP):

  1. 隐私定义:保证了任意一条数据的增、删、改都对用户发布数据的统计分布几乎无影响,可从根本上防御背景知识攻击;
  2. 适用场景:扰动过程在每个用户端本地进行,只对外发布扰动数据以保护隐私,无需依赖任何可信第三方。

关键缺点:

在本地端添加过多噪声,使数据可用性较差。

Google-RAPPOR:

LDP分析的效用受到严格的限制。由于每个报告者都进行独立的抛硬币操作,因此任何分析结果都会受到二项式分布特性引起的噪声的干扰。这种随机高斯噪声的幅度可能特别大:即使在理论最优的情况下,其标准差也会与报告计数的平方根成比例增长,并且噪声实际上要高出一个数量级。

二、ESA框架

Encode-Shuffle-Analyze Architechture 由Google提出[2]

在这里插入图片描述

  1. Encode 编码器:对数据进行编码以控制范围、粒度和随机性(运行在客户端,对用户数据进行本地化的编码、分割、扰动等处理)

    具体实现:可通过数据泛化、数据分割、加密、添加差分隐私噪声的方式实现,以达到消除或减少数据所蕴含的隐私信息的目的

  2. Shuffle 混洗器:编码数据按照随机阈值分批收集,并进行盲洗牌(blindly shuffled),以破坏可链接性并确保单个数据项“lost in the crowd” (运行在一个半诚信的第三方,它可借助现有的按混洗协议在对数据义务所知的情况下完成安全的混洗操作)

    具体实现:可根据模型部署的条件借助已有的安全混洗协议,基于可信硬件、同态加密或安全多方计算等方式完成(安全混洗协议的不同实现并不会对该框架下隐私保护方法的隐私性和可用性造成明显影响)

  3. Analyze 分析器:匿名、打乱的数据由特定的分析引擎进行分析,进一步防止对分析结果的统计推断攻击 (运行在数据收集者端,对收集的数据进行校正和分析)

ESA的隐私分析: A c > A e ≥ A s A_c>A_e\geq A_s Ac>AeAs

借用DP来实现ESA框架可以获得比本地化差分隐私LDP小 O n O\sqrt n On 倍的数据误差

例:对数据收集者而言发布数据都满足隐私损失 ϵ = 0.5 \epsilon=0.5 ϵ=0.5 的差分隐私

使用LDP方法时需要在本地进行隐私预算为 ϵ = 0.5 \epsilon=0.5 ϵ=0.5 的数据扰动,扰动后数据24.49%为真实值

使用ESA框架时,混淆器的隐私放大作用使得用户仅需在本地进行隐私预算为 ϵ = 10.5 \epsilon=10.5 ϵ=10.5的数据扰动,其扰动后的数据99.84%为真实值

说明ESA框架尽可能保留了原始的真实数据,从而在相同隐私保障的情况下提高了数据的可用性

在这里插入图片描述

三、混淆差分隐私(SDP,Shuffle Differential Privacy)

SDP是ESA框架下主流隐私保护方法(即ESA框架与差分隐私的结合),其摒弃了CDP下对可信第三方的依赖,提高隐私性;弥补了LDP下可用性低的问题,消除了与CDP相比 O n O\sqrt n On 倍的数据误差.

目前研究主要集中在两个方面:

  1. 对其隐私增强效果的理论证明,即隐私放大(Privacy Amplification)理论;
  2. 基于该模型提出不同统计估计方法。

SDP与CDP、LDP相比:

可信第三方依赖程度:本地化差分隐私<混洗差分隐私<中心化差分隐私

结果可用性:中心化差分隐私>混洗差分隐私>本地化差分隐私

SDP与基于加密的差分隐私相比:

基于加密的差分隐私也可在无可信第三方的支持下实现与CDP相似的可用性,但其借助同态加密完成计算,会产生较高的计算代价和通信代价,且其需要针对每一个查询特别设计隐私协议。混淆差分隐私可通过简单的更改部署在现有的、广泛应用的LDP框架上,具有较强的适应性。

在这里插入图片描述

综上:SDP在隐私性、可用性和易用性上有突出优势。

Shuffle Differential Privacy(SDP)定义:

在这里插入图片描述

SDP假设参与计算的用户都是可信的。但当存在用户不可行、掉线或者与分析器共谋时,会极大影响混淆效果,即影响差分隐私保护效果。

基于此问题,具有鲁棒性的SDP被提出(这里鲁棒性是对隐私性的保证,而非算法可用性):

Robust Shuffle Differential Privacy (RSDP)定义:

在这里插入图片描述

其中 γ \gamma γ表示可信用户的比例

RSDP保证了在至少有 γ \gamma γ比例的用户正确遵循协议的情况下,SDP隐私协议P满足 ( ϵ , δ ) − D P (\epsilon,\delta)-DP (ϵ,δ)DP .

四、隐私放大理论

假设用户在本地端通过随机编码器R扰动后的数据满足: ϵ 1 − L D P \epsilon_1-LDP ϵ1LDP

经过混洗后,分析器所获取的数据满足: ϵ c − D P \epsilon_c-DP ϵcDP

ϵ 1 \epsilon_1 ϵ1 ϵ c \epsilon_c ϵc的转变可通过隐私放大理论获取,其中 ϵ 1 > ϵ c \epsilon_1>\epsilon_c ϵ1>ϵc,即经过混洗后隐私性提高

  1. 通用隐私放大定理

    交互式/非交互式SDP

    在这里插入图片描述

    假设有n个用户,每个用户持有一条记录 x i x_i xi,且在本地运行随机化编码协议 R R R

    1. 通用交互机制的隐私放大定理:

      对于任意 n > 1000 , δ ∈ ( 0 , 0.01 ) n>1000,\delta\in(0,0.01) n>1000,δ(0,0.01),如果协议R满足 ϵ 1 − L D P \epsilon_1-LDP ϵ1LDP,且 ϵ 1 ∈ ( 0 , 0.5 ) \epsilon_1\in(0,0.5) ϵ1(0,0.5),则协议 S ∘ R n S\circ R^n SRn对应混洗后的n个输出满足 ( ϵ c , δ ) − D P (\epsilon_c,\delta)-DP (ϵc

最低0.47元/天 解锁文章
Shuffle Differential Privacy(2)
weixin_43678476的博客
03-26 2008
注意,当发生变化的用户(假设为第n个用户)在集合B中时,其上传的数据是均匀随机选择的,因此可以保证隐私。但若其不在B中,服务器在具有最大背景知识(即知道另外n-1个用户的真实数据)的情况下可以直接推断该用户的真实数据,导致隐私泄露。乘法切诺夫界(Multiplicative Chernoff Bound)是Chernoff Bounds的一个变种,用于估计独立随机变量之积的概率。(这里给出了隐私毯privacy blanket的定义,也有文章直接将上述的独立分布叫做隐私毯)的变化量有使得的限制。
差分隐私随笔
securiry的博客
12-27 3079
隐私保护手段包括:抑制(suppression)、泛化(generalization)、置换(permutation)、扰动(perturbation)、裁剪(anatomy)等。 1.抑制:最常见的数据匿名措施,通过将数据置空的方式限制数据发布。 2.泛化:通过降低数据精度来提供匿名方法。属性泛化即通过制定泛化规则,使得多个元组的在规则下近似的取相同。最深的属性泛化效果通常等同于抑制。社交...
【杂记-浅谈数据安全技术之差分隐私】
叫我小虎就行了的博客
08-07 383
【杂记-浅谈数据安全技术之差分隐私】
差分隐私(Differential Privacy
热门推荐
S1406793的博客
10-28 1万+
二、差分隐私 三、实现机制 1、拉普拉斯机制(常用于数输出的函数) 2、高斯机制 四、差分隐私分类 (1)本地化差分隐私 (2)中心化差分隐私 (3)分布式差分隐私 (4)混合差分隐私
这是一篇关于本地化差分隐私LDP的文章,很长很长,一如滔滔江水,连绵不绝
wxhlqb的博客
04-14 489
拉普拉斯噪声:f(D)中有d维数据,它将d个拉普拉斯噪声加入每维的数据中,全局敏感度:每一维的对应向量之差的绝对,求和,
《stronger privacy amplification by shuffling for r´enyi and approximate differential privacy》部分详解
weixin_46960009的博客
11-19 432
差分隐私的洗牌模型作为标准本地模型和中央模型之间的中间信任模型[18,12]获得了显着的兴趣。该模型的一个关键结果是随机洗牌本地随机数据放大了差分隐私保证。这种放大意味着对匿名贡献数据的系统提供更强的隐私保障[8]。在这项工作中,我们提高了国家的最先进的隐私放大洗牌的结果在理论上和数。我们的第一个贡献是第一次渐近最优分析的R ′ enyi差分隐私参数的LDP随机化器的洗牌输出。我们的第二个贡献是对洗牌隐私放大的新分析。该分析改进了Feldman等人的技术。[20]并导致所有参数设置中更严格的数界限。
满足Local Differential Privacy(LDP)的五种编码的介绍
MustImproved的博客
03-25 4474
本文将介绍17-USENIX-Locally Differentially private Protocols for Frequency Estimation1中所描述的满足LDP的五种编码方法,对它们的比较主要是两个指标: 隐私保护程度ε\varepsilonε, 频度估计(frequency estimation)的方差Var(c~(i))Var(\tilde{c}(i))Var(c~(i...
洗牌私有随机凸优化_Shuffle Private Stochastic Convex Optimization
02-04
差分隐私(Differential Privacy)是一种统计学方法,用于确保分析结果对单个数据点的贡献不敏感,从而保护个人隐私。在传统的中央模型中,所有的数据都集中在一个中心机构,而这个机构负责执行差分隐私算法。然而,...
【多方安全计算】差分隐私(Differential Privacy)解读
Danger的博客
04-05 3299
【多方安全计算】差分隐私(Differential Privacy)解读
本地差分隐私 VS 全局差分隐私
OpenMpc的博客
09-22 2113
优势:噪声添加更可控,可使用更小的隐私预算 (ε).但是,每个用户都必须足够信任数据管理员或中央聚合服务器才能与其共享数据。由此,我们保护了个人隐私。然而,这是有代价的,因为我们使用的是平均,在获得了隐私同时也失去了准确性。如果数据管理员或中央聚合服务器是可信的,那么本地 DP 和全局 DP 的唯一区别是全局 DP 在相同的隐私保护级别下会有更准确的结果。根据添加噪声的位置,差分隐私可分为本地差分隐私或者全局差分隐私。从上面的例子可以看出,全局差分隐私并没有牺牲太多的准确性,这依赖于对数据管理者的信任。
Advances and Open Problems in Federated Learning——4.Preserving the Privacy of User Data翻译
qq_42141843的博客
04-20 837
4.Preserving the Privacy of User Data 机器学习的工作流程需要许多不同功能的共同参与。比如说,用户可能会在与他的其他设备交互的过程中产生训练数据,一个机器学习训练程序会从这些数据中提取人机交互的模式(比如说训练模型的参数的形式),机器学习的工程师或者是算法分析师可能会评估训练模型的质量,并最终把这些模型部署到最终用户的设备上,为了支持特定的用户体验。 在一种理想的情况下,系统中的每个角色仅仅能学习到自己所需要的信息。比如说,如果为了授权将模型部署到最终用户,一个分析师仅仅
本地差分隐私 随机响应_本地化差分隐私:如何面对非可信的世界
weixin_39866265的博客
12-19 614
*本文作者:pingch,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。前言近年来,隐私问题成为人们广泛关注的热点问题,随着大数据时代的到来,每个人的行为轨迹都被厂商以不同形式存储在云端,产生了大量的隐私泄露问题。有研究者提出了差分隐私技术(Differential Privacy),它作为一种隐私模型,严格定义了隐私保护的强度,即任意一条记录的添加或删除,都不会影响最终的查询结果。同时...
差分隐私中常见的处理方法-随机响应(一枚不公正的硬币)
Tiko的博客
04-27 6331
文章目录0.事先声明1.local_differential_privacy_library中的算法eps2p(epsilon, n=2),计算概率discretization(value, lower=0, upper=1),离散化random_response(bit_array: np.ndarray, p, q=None)随机响应random_response_adjust(s: np....
本地化差分隐私LDP
daxuan1881的博客
03-08 1533
可以看看下面博客:论文笔记:软件学报 2018 本地化差分隐私研究综述 - 知乎前言随着大数据时代信息技术的不断发展,个人信息的隐私问题越来越受到关注,如何在数据发布和分析的同时保证其中的个人敏感信息不被泄露是当前面临的重大挑战。基于此提出了中心化差分隐私和本地化差分隐私来完成…https://zhuanlan.zhihu.com/p/417209747 扰动机制:随机响应技术主要包括两个步骤:扰动性统计和校正。 随机响应技术仅对包含两种取的离散型数据进行响应,而对于具有超过两种取的数据并不适用
中心化差分隐私与本地化差分隐私
weixin_41568105的博客
12-26 9285
中心化差分隐私和本地差分隐私 定义区别:在中心化差分隐私保护技术中,算法膨的隐私性通过近邻数据集来定义,因此其要求一个可信的第三方数据收 集者来对数据分析结果进行隐私化处理.对于本地化差分隐私技术而言,每个用户能够独立地对个体数据进行 处理,即,隐私化处理过程从数据收集方转移到单个用户端上,因此不再需要可信第三方的介入,同时也免除了 不可信第三方数据收集者可能带来的隐私攻击. 异同点 组...
本地化差分隐私技术及一种有效性验证方法
跨链技术践行者
04-10 3190
随着移动互联网的发展,人们的衣食住行等日常生活越来越依赖网络。以往人们连接互联网只是为了简单快捷的获取信息。现如今,人们利用互联网可以实现即时通讯,购物,交易。而移动支付越来越发达,意味着我们不仅是基本的个人信息,甚至是银行相关信息都越来越多地被获取并保存在互联网上。移动互联网在给我们的生活带来便捷的同时,也存在着诸多隐私数据安全的问题。如互联网社交巨头Facebook的隐私门事件,...
关于差分隐私的一些基本概念的整理
test
11-22 6531
引言 在过去的二十年中,公司,组织和政府所收集的数字信息形成了大量的数据集,并且这种数据收集的速度在最近几年中得到了极大的提高。 通常,数据收集者负责发布数据用以进行进一步分析。 然而,大部分收集的数据集都包含隐私或者敏感的信息。 即使数据收集者可以应用几种简单的匿名化技术,敏感的个人信息仍然很有可能被公开。 因此,隐私保护已成为迫切需要解决的问题。 研究人员提出了各种保护个人隐私的方法,并将这些方法及其隐私标准定义为一个隐私模型。如图1所示,隐私模型位于受信任的数据收集者(Curator)和不受信任的公众
差分隐私有多少种方法_5种在线保护您的隐私的最佳方法
weixin_26722031的博客
07-30 570
差分隐私有多少种方法A guide to a carefree digital life. 无忧无虑的数字生活指南。 Photo Courtesy of Seth Goldstein & IG GetSpartacus 照片由塞斯·戈德斯坦 ( Seth Goldstein)和IG GetSpartacus提供 In recent news, the US Senate official...
Differential privacy——差分隐私
X000215的博客
09-15 6569
首先我们要明白什么是隐私? 在百度百科上是这样解释的 “ 隐私,顾名思义,隐蔽、不公开的私事”,即指个人的不愿公开的私事或秘密。那么在互联网信息泛滥的情况下,我们希望我们的数据能为我们的生活提供便利的同时,也不会泄露个人的敏感信息招致自身利益受损,所以这个时候就需要保护隐私。 由此出现了最早两个隐私度量作为隐私保护的衡量标准: 披露风险 攻击者通过发布的数据集所获取的信息进而披露隐私的概率。即通过攻击者披露隐 私的多少,来侧面反映隐私保护的效果。如果所有敏感数据的披露风险均小于阈 α (0≤ α ≤1)
DP-FedAvg代码
最新发布
01-28
### DP-FedAvg 实现 在联邦学习框架下,DP-FedAvg 结合了差分隐私 (Differential Privacy, DP) 和联邦平均 (Federated Averaging, FedAvg),以保护参与方的数据隐私。具体来说,在每个客户端执行 SGD 训练过程中加入高斯噪声来满足差分隐私的要求。 下面是一个简化版的 Python 代码片段展示如何实现带有差分隐私机制的联邦平均算法: ```python import numpy as np from torch.utils.data import DataLoader from torchvision.datasets import MNIST from torchvision.transforms import ToTensor import torch.nn.functional as F from collections import OrderedDict class SimpleCNN(torch.nn.Module): def __init__(self): super(SimpleCNN, self).__init__() # 定义网络结构... def train(model, device, dataset, epochs=5, batch_size=64, noise_multiplier=0.1, clipping_norm=1.0): model.train() loader = DataLoader(dataset, batch_size=batch_size, shuffle=True) optimizer = torch.optim.SGD(model.parameters(), lr=0.01) for epoch in range(epochs): for data, target in loader: data, target = data.to(device), target.to(device) output = model(data) loss = F.cross_entropy(output, target) grad_list = [] params = list((p for p in model.parameters() if p.requires_grad)) grads = torch.autograd.grad(loss, params, create_graph=True) total_norm = 0. for g in grads: param_norm = g.detach().data.norm(2) total_norm += param_norm.item() ** 2 clip_factor = min(clipping_norm / max(total_norm**(0.5), clipping_norm), 1.) clipped_grads = [clip_factor * g for g in grads] noisy_grads = [ cg + noise_multiplier * clipping_norm * torch.randn_like(cg).to(device) for cg in clipped_grads ] with torch.no_grad(): for i, p in enumerate(params): p.grad = noisy_grads[i] optimizer.step() def aggregate_weights(models, weights=None): if not isinstance(weights, dict): weights = {i: 1/len(models) for i in range(len(models))} global_state_dict = models[0].state_dict() aggregated_params = {} for key in global_state_dict.keys(): sum_param = None for idx, local_model in enumerate(models): local_weight = weights[idx] local_param = local_model.state_dict()[key] * local_weight if sum_param is None: sum_param = local_param else: sum_param += local_param aggregated_params[key] = sum_param return OrderedDict(aggregated_params) # 初始化全局模型和其他设置... global_model = SimpleCNN().cuda() clients_models = [SimpleCNN().cuda() for _ in range(num_clients)] for round_idx in range(rounds): selected_client_indices = ... # 随机选择部分客户参加当前轮次 client_updates = [] for cidx in selected_client_indices: local_dataset = get_local_data_for_client(cidx) train(clients_models[cidx], 'cuda', local_dataset, noise_multiplier=noise_multiplier, clipping_norm=clipping_norm) updated_parameters = clients_models[cidx].state_dict() client_updates.append(updated_parameters) new_global_params = aggregate_weights(client_updates) global_model.load_state_dict(new_global_params) ``` 此代码展示了如何在一个简单的 CNN 上应用 DP-SGD 进行本地训练,并通过加权平均的方式聚合来自多个客户的更新后的参数[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值