CN105122268B - 基于数据匿名化的多层存储 - Google Patents
基于数据匿名化的多层存储 Download PDFInfo
- Publication number
- CN105122268B CN105122268B CN201380075907.8A CN201380075907A CN105122268B CN 105122268 B CN105122268 B CN 105122268B CN 201380075907 A CN201380075907 A CN 201380075907A CN 105122268 B CN105122268 B CN 105122268B
- Authority
- CN
- China
- Prior art keywords
- anonymization
- layer
- data
- user
- rank
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000015654 memory Effects 0.000 title abstract description 17
- 238000009825 accumulation Methods 0.000 claims description 15
- 230000005055 memory storage Effects 0.000 claims description 14
- 238000000034 method Methods 0.000 claims description 11
- 238000013500 data storage Methods 0.000 claims description 4
- 238000007619 statistical method Methods 0.000 claims 2
- 230000008859 change Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000004044 response Effects 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 241001269238 Data Species 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000013503 de-identification Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000007418 data mining Methods 0.000 description 2
- 238000003745 diagnosis Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000036541 health Effects 0.000 description 2
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 210000000056 organ Anatomy 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本文公开的示例涉及基于数据匿名化的多层存储。处理器可以将数据存储在第一数据层中。处理器可以根据第一匿名化级别使数据匿名化并且将匿名化的数据存储在第二数据层中。处理器可以使第一用户与第一数据层相关联并且使第二用户与第二数据层相关联。
Description
背景技术
可以使数据匿名化以向与该数据相关联的人和/或团体提供匿名。可以使用数据匿名化(anonymization)技术来模糊数据的一部分,使得更难以使数据与特定的个人或团体相关联。例如在数据包括诸如与健康护理、银行业务记录或被视为私密的其他数据相关的信息之类的个人信息的情况下,数据匿名化可能是希望的。
附图说明
附图描述了示例实施例。以下的详细描述参考附图,其中:
图1是图示基于匿名化的多层存储***的一个示例的框图。
图2是图示基于数据匿名化创建多层存储的方法的一个示例的流程图。
图3A是图示基于数据匿名化的多层存储的一个示例的框图。
图3B是图示基于添加新的数据层来更新在多层存储中的数据层的一个示例的框图。
图3C是图示更新多层存储以移除层中的一个的一个示例的框图。
具体实施方式
在一个实现中,多层存储***使数据的不同层与不同用户组相关联,并且每层具有不同的统计数据匿名化级别。不同用户组可以与用于数据访问的不同层相关联,使得他们接收具有不同匿名化级别的数据。匿名化可以基于例如用户组的可信性(trustworthiness)和/或用户组的特定的数据使用。
可以确定以适当的匿名化置信水平使数据匿名化的匿名化方案。匿名化方案涉及哪些数据将模糊和可以基于隐私和有效性的比较确定的模糊的方式。例如,处理器可以将使数据记录与个人相关联的可能性分析成在提供被用于在用户的数据分析中的正确结果的信息中如被匿名化的数据的有效性。在一个实现中,处理器不断地更新数据库层、匿名化级别和/或用户组分派来维持期望的匿名化和有效性级别。
利用将由不同用户组访问的不同匿名化方案使数据的一部分匿名化并且分离地存储数据可以允许在具有不同访问级别的不同用户组之间使用相同的数据模式。另外,具有访问的多个数据层的匿名化方案可以提供比存储匿名化的所有数据更大的安全性,其中响应于用户查询某些组被提供用于反转匿名化的信息。
图1是图示基于匿名化的多层存储***的一个示例的框图。例如,计算***100可以将项目存储在具有多个数据层的存储***中,其中不同用户组访问不同层。不同层具有不同的统计匿名化级别,使得某些级别以具有能够反转匿名化方案以使数据与个人和/或团体相关联的较低可能性的方式存储数据。作为示例,层可以被分成公共的、混合的和私有的云。从公共的云可用的数据可以具有比在私有的云中可用的数据更大的匿名化置信水平,并且混合的云可以以在公共的和私有的云的匿名化的置信水平中间的匿名化置信水平来存储数据。计算***100可以包括处理器101、机器可读存储介质102和记忆装置106。可以将计算***100包括在单个或多个装置中。
记忆装置106可以是用于存储由处理器101可访问的数据的任何合适的记忆装置。在某些实现中,可以将记忆装置106和机器可读存储介质102包括在相同的设备中。记忆装置106可以包括第一数据层107和第二数据层108。记忆装置106可以包括任何数量的数据层。可以将数据层107和108存储在相同的设备中或不同的设备中。例如,可以将数据层107中的每个存储在单独的web服务器中。用户可以经由网络访问在记忆装置106中的不同层。数据层107和108可以存储具有不同匿名化级别的相同基础数据,使得不同的用户集合与数据层107和108中的每个相关联,允许用户的不同集合访问具有不同匿名化级别的数据。
处理器101可以是中央处理单元(CPU)、基于半导体的微处理器或适于指令的取回和执行的任何其他设备。作为替代或除获取、解码和执行指令之外,处理器101还可以包括一个或多个集成电路(IC)或其他电子电路,所述其他电子电路包括用于执行下文描述的功能的多个电子部件。可以由多个处理器执行下文描述的功能。
处理器101可以与机器可读存储介质102通信。机器可读存储介质102可以是任何合适的机器可读介质,诸如存储可执行指令或其他数据(例如,硬盘驱动器、随机访问存储器、闪存等)的电子的、磁的、光学的或其他物理的存储设备。机器可读存储介质102可以是例如计算机可读非瞬时介质。机器可读存储介质102可以包括数据匿名化指令103、数据存储指令104和用户访问权限相关联指令105。
数据匿名化指令103可以包括使数据的至少一部分匿名化的指令。可以从与数据库层中的一个相关联的用户接收数据或者可以从另一记忆装置接收数据。计算***100可以包括用于向不同的存储层发送数据的集中式处理器。在一个实现中,集中式处理器在向数据层发送数据之前执行匿名化。在一个实现中,记忆装置106包括其中不同层彼此通信的分层结构。当与层相关联的用户尝试存储数据时,与用户相关联的数据层可以将信息传输到其他层用于存储。接收的数据层可以与处理器相关联以在存储之前使数据匿名化。
数据匿名化指令103可以包括用于确定匿名化方案的指令,诸如将使数据的哪部分匿名化和/或用于数据的匿名化方法。例如,在更多字段被匿名化、与个人更高度相关的字段被匿名化的情况下和/或匿名化方法更难以反转的情况下可以实现匿名化中的较高的统计置信。数据匿名化指令103可以包括用于基于数据将被存储在其中的哪层使数据匿名化的指令。可以基于关于针对特定组访问匿名化的数据的数据的使用和匿名化的置信水平的信息来执行匿名化。例如,可以提供指示反转匿名化而虽然匿名化但仍标识与数据记录相关联的个人或团体的统计机会的优选的匿名化级别。还可以提供关于到与特定层相关联的用户组的不同的数据字段的优先级的信息。例如,可能存在对于执行用户功能而言必要的某些字段、期望的某些字段和不相关的其他字段。数据匿名化指令103可以包括用于确定用于以将较高优先级字段中的更多字段保留到用户组的方式使数据匿名化到优选级别的方式的指令。例如,可以选择数据字段和数据字段标签用于匿名化,并且可以选择匿名化令牌或随机值(nonce)。可以针对可以被存储在数据层中的每个类型的记录确定匿名化方案。
数据存储指令104可以包括用以将接收的数据存储在记忆装置106中的指令。数据存储指令104可以包括用于将接收的数据存储在相关联的数据层中,所述数据层具有与该层相关联的数据的匿名化级别。例如,数据可以被接收并且被存储在第一数据层107中。数据可以被匿名化并且被存储在第二数据层108中。相同的数据可以被存储在具有模糊的和/或以不同方式模糊的不同的数据的两个位置中。稍后可以针对特定层更新匿名化级别,例如通过详细描述在特定数据字段中的数据使得其不再作为匿名化方案的部分被模糊。更新可以发生在特定层中而不对存储在其他层中的相同数据做出改变。
用户访问权限关联指令105可以包括用于将用户和/或用户组分派到记忆装置106层的指令。可以基于将与用户相关联的隐私级别使该用户与层相关联。例如,第一用户可以被视为更可信的用户。在某些情况下,考虑用户的数据使用的目的。例如,可以通过使不同的字段匿名化来实现在匿名化中的相同级别的统计置信,并且可以将用户组分派到具有对不作为匿名化的部分被模糊的用户组的用户重要的字段的层。
用户可以与数据层相关联,使得从相关联的层取回针对数据的用户请求。当用户存储数据时,与该层相关联的处理器可以向其他数据层发送数据以利用针对其他数据层的适当的匿名化级别进行存储。在某些实现中,通过将数据发送到层中的每个的中央处理器执行数据存储。在某些实现中,接收层将信息发送到在匿名化中的层之上和之下的层,并且那些数据层然后将信息传播到其他层以利用适当的匿名化级别和方案进行存储。
图2是图示基于数据匿名化创建多层存储的方法的一个示例的流程图。每层可以与不同用户组相关联并且可以具有匿名化的不同统计级别。例如,第一组可以与较低的访问级别和较高的匿名化的级别相关联。可以例如通过使更多的数据字段匿名化和/或利用更难以反转的方案使它们匿名化来实现较高的匿名化的级别。第二用户组可以与较高的访问的级别相关联,诸如在第二用户组很可能使用更多的数据字段和/或是更可信的用户的组的情况下。在一个实现中,通过图1的计算***100实现该方法。
在200处开始,处理器确定数据的第一和第二统计匿名化级别。可以基于反转匿名化的能力的统计可能性来确定匿名化的级别。反转匿名化可以涉及将足够的未模糊的数据相关联以消除与数据相关的个人或团体的身份的含糊。在某些情况中,反转匿名化可以涉及破坏加密或用于模糊数据的其他机制。可以反转匿名化,其中与数据相关联的个人和/或团体的身份被缩窄到消除(abrogate)隐私的可接受级别的点。作为示例,数据的不同字段和/或不同的数据字段标签可以取决于确定的匿名化级别被模糊。可以基于将与匿名化级别相关联的访问组来确定匿名化的级别。两个匿名化级别可以具有与维持匿名相关联的不同的统计置信水平。在某些实现中,匿名化的第一级别可以涉及充分详细描述的数据并且匿名化的第二级别可以涉及具有使用匿名化技术模糊的某些字段的数据。
继续到201,处理器以第一统计匿名化级别使数据匿名化。可以以任何合适的方式执行匿名化。匿名化级别可以与能够反转匿名化的统计可能性相关联。可以在确定如何使数据匿名化到特定的统计级别,诸如模糊哪些字段,中考虑通过特定组的数据访问的目的。可以基于除优选的隐私级别之外的数据的使用来确定匿名化方案。在较少字段被匿名化和/或匿名化方法更难以反转的情况下,能够使数据记录与个人或团体相关联的可能性可能较大。与其他相反,匿名化的级别在某些字段被匿名化的情况下可能较大。例如,使与社会安全号码相关的字段匿名化可以提供比使与性别相关的信息匿名化更大的匿名的级别。为了进一步匿名化数据,在记录中的字段标签和/或字段的数量可以被匿名化。可以以使得在不同记录中的字段中的相同数据不共享相同令牌的方式执行匿名化它本身。
例如通过以使用随机值加密的数据来代替数据而使得实际数据不被存储来匿名化选择的字段和/或标签。在某些情况下,无意义的数据可以被附加到匿名化的数据,使得匿名化数据在字段数据在多个记录中相同的情况下不显得相同。匿名化可以涉及例如模糊数据字段、模糊数据字段的名称、匹配在不同的记录、多个数据字段之间的令牌,和/或其任何组合。
移动到202,处理器将具有第一统计匿名化级别的数据存储在第一存储层中。第一存储层可以是与多层数据库***中的其他层分离的记忆装置的区域或者分离的存储装置。响应于用户查询,可以代替模糊数据或除模糊数据之外在存储数据之前执行匿名化。
进行到203,处理器以第二统计匿名化级别使数据匿名化。可以确定匿名化方案,该匿名化方案平衡期望的统计匿名化级别与对于特定类型的用户组的数据的有用性。在某些情况下,匿名化方案归因于可能由于到访问具有第二匿名化级别的数据的用户组的信息的目的的而未被匿名化的不同字段是不同的。处理器可以确定保留数据的有用性的期望的置信水平的匿名化方案。
移动到204,处理器将具有第二统计匿名化级别的数据存储在第二存储层中。具有第二匿名化方案的数据可以被存储在第二层中,使得其可以由与第一存储层不同的组访问。第二层可以与第一层分离地存储在单独的装置中或存储在装置内的不同位置中,诸如在不同数据库或不同数据库表中。
进行到205,处理器使第一用户组与第一存储层相关联。第一用户组可以发送和取回来自第一层的数据。用户组可以基于期望的匿名化置信水平和第一用户组的数据使用与第一存储层相关联。
继续到206,处理器使第二用户组与第二存储层相关联。第二用户组可以发送和取回来自第二层的数据。当从第二层存储数据时,其可以在存储之前针对第二层被匿名化。
数据可以根据第一匿名化级别被匿名化并且被存储在第一层中以变成从第一用户组可访问。在某些情况下,针对相同的用户组以不同的匿名化级别使不同的数据的集合匿名化。例如,可以针对访问多个层的多个用户组充分地详细描述某些表格并且可以针对某些层使具有更敏感数据的某些表格匿名化并且根据该层以不同的统计级别使具有更敏感数据的某些表格匿名化。匿名化级别可以基于数据的使用而不同。例如,较少的字段可以被模糊,尽管由于针对未匿名化字段的重要使用而导致反转匿名化的较高的统计可能性。
在某些实现中,对应于事件、人等的数据可以包括不同的匿名化的级别,诸如在某些数据被存储在分层的匿名化***的外部的情况下。例如,可以针对任何用户不匿名化某些事件数据并且与同该事件相关联的人相关的某些数据可以以不同的级别被匿名化用于在不同层中的存储。
在一个实现中,利用具有相同匿名化级别的多个匿名化方案存储数据。匿名化级别可以具有相对反转匿名化的相同的统计置信,但其中不同的字段被模糊。例如,两个字段一起可以提供更大的标识信息,并且基于数据的使用第二匿名化可以模糊第二字段并且第一匿名化可以模糊第一字段。
在一个实现中,除匿名化之外还提供附加的安全性。在某些情况下,可以使用加密,因为数据被传输到用户并且在用户的设备上被解密。附加的信息可以被用来使用户与正确的层相关联和/或对用户进行认证。例如,可以在允许用户连接到与用户登录相关联的层之前分析密码或生物计量(biometric)。在某些情况下,用户可能不被提供对特定的数据表格或其他结构的访问,并且在表格中的数据的一部分可以不被匿名化,因为数据不被特定的用户组使用。
在一个实现中,可以根据公共的、私有的和混合的云划分和匿名化多个层。例如,私有的云可以包括充分详细描述的数据,使得该数据容易与用户相关联。该用户可以是可信的用户。例如,数据与其相关的个人可以观察充分详细描述的形式的数据。公共的云可以包括高度匿名化的格式的信息。作为示例,政府机构可以分析该数据,但与该数据相关联的人的身份可能与数据分析的目的不相关。可以以在公共和私有的云的匿名化级别之间的匿名化级别来创建混合的云。
具有不同匿名化级别的多层数据库可以被用在健康护理设置中。数据模式可以包括诸如与时间、事件名称和上下文相关的不可匿名化的事件戳,诸如病人姓名、位置、医疗提供方ID以及具有隐私的任何级别的事件数据的可匿名化的事件戳。信息可以包括不同的匿名化和隐私级别以计及被提供到使用数据的不同的人的不同的访问级别。例如,医师的助手可以具有对医疗数据的访问但不具有对社会安全号码或其他病人的标识符的访问,并且医师可以具有对数据的减少的查看以使能较快的诊断而没有来自不相关的数据的泛滥(inundation)。
在一个实现中,可以更新匿名化级别和存储层。处理器可以确定反转匿名化的统计可能性。在某些情况下,该可能性可能基于利用匿名化方案存储的记录的数量,诸如具有利用相同的匿名化方案的字段中的相同数据的记录的数量。随着更多数据被存储,处理器可以统计地与匿名化方案相关地分析数据来确定与匿名化方案相关联的置信水平。如果提供匿名的置信水平低于阈值,则处理器可以更新匿名化方案以确保其以与特定的存储层相关联的级别提供匿名。
在某些实现中,处理器可以实验地确定匿名化的有效性。例如,处理器可以尝试反转匿名化而不使用随机值或被用来使信息匿名化的其他信息。处理器反转匿名化的能力和/或在反转匿名化之前的尝试的数量可以被用来确定匿名化的有效性级别。
在一个实现中,处理器可以确定被匿名化的数据的有用性。例如,被匿名化并且不被提供的某些个人数据可以潜在地阻碍数据的有用性,诸如被提供给尝试诊断病人的医疗专家的病人的性别或年龄。处理器可以接收关于用户是否能够利用可用的未匿名化数据正确地分析数据的用户反馈。在某些情况下,处理器可以基于类似的结果的分析确定数据的有用性。例如,处理器可以确定在医疗诊断的X%中使用的病人的性别或年龄并且根据该统计确定匿名化的数据的有用性。在某些情况下,数据的使用可以与数据挖掘相关,并且处理器基于数据挖掘成功地进行连接的能力可以被用来确定被匿名化的数据的有用性。
在一个实现中,处理器将匿名化有效性与数据有用性的比与阈值比较。如果该比在阈值之上或之下,则处理器可以自动地更新匿名化方案。例如,如果有用性过低,则处理器可以匿名化较小量的数据,并且如果有效性过低,则处理器可以使更多的数据字段匿名化和/或更强地加密数据。
在某些情况下,如果处理器确定数据的集合可以不被匿名化到足够的置信的水平以防止发现,则数据的集合可以被标识以被用作生物计量。例如,关于字段的信息可以被输出到用户。数据集合可以变成数据的组以标识特定的用户,并且数据集合可以被用在密码或用于向用户提供访问的其他信息中。
在一个实现中,可以更新用户关联和匿名化级别。例如,可以添加新的层,使得新的用户组被添加到新的匿名化级别和/或来自其他层的用户与新的层相关联。新的层可以具有较大的匿名化的级别,使得反转匿名化的风险小于从其分派用户中的某些的先前的层。可以发生匿名化中的***,其中层被划分使得相同的组被分派给该层,但该层存储具有不同匿名化级别的不同类型的数据。层可以被合并,诸如在层被移除并且来自该被移除的层的用户被分派到另一层的情况下。在某些情况下,层的一部分被合并,诸如在多个用户组针对数据的第一集合访问充分匿名化的或充分详细描述的数据,但每个用户组被分派到针对数据的第二集合的不同匿名化级别的情况下。处理器可以诸如基于匿名化统计来确定是否添加或合并层,并且可以基于该确定自动地执行层的添加或移除。代替改变数据被匿名化的方式以响应于用户查询被显示或者除改变数据被匿名化的方式以响应于用户查询被显示之外,可以执行添加和移除操作。
图3A是图示基于数据匿名化的多层存储的一个示例的框图。多层存储可以包括具有不同匿名化级别的三个数据层301、302和303。例如,数据层303存储充分详细描述的而没有匿名化的技术以使用户或组与数据记录分离,数据层301存储具有第一匿名化置信水平的数据,并且数据层302存储具有大于第一匿名化置信水平的第二匿名化置信水平的数据。用于记忆装置303的数据被分离地存储在具有相关联的匿名化级别的三个层中的每个中。不同的用户组可以与层中的每个相关联,使得不同用户接收相同的但具有匿名化的不同的量的数据。例如,第三用户组306与数据层303相关联,第二用户组305与数据层302相关联,并且第一用户组304与第一用户组304相关联。第三用户组306访问充分详细描述的数据使得在该组中的用户没有接收某些模糊的数据。第一用户组304访问具有匿名化置信的第二水平的数据。在某些情况下,如果用户的状态改变和/或数据的用户的使用改变,则可以将用户从一个组转换到另一个。
图3B是图示基于添加新的数据层来更新在多层存储中的数据层的一个示例的框图。例如,可以创建具有新的匿名化置信水平的新的数据层。该新的层可以与来自其他层的用户和/或到***的新的用户相关联。例如,来自另一层的用户组可以在新的层和旧的层之间***。图3B示出了来自图3A的第一用户组304在两个用户组之间***,使得用户的一部分现在访问具有一个匿名化置信水平的数据并且用户的另一部分现在访问具有另一匿名化级别的数据。数据层309被添加具有大于其他层的匿名化置信水平的第三匿名化置信水平的数据。第一用户组的部分A 307可以与新的数据层309相关联,并且第一用户组的部分B308可以与来自图3A的数据层307相关联。可以手动地添加新的层。在一个实现中,响应于匿名化置信水平和/或被匿名化的数据的有用性的自动分析,添加新的层。可以基于较少的字段由用户组的一部分使用的确定来添加新的层,允许实现较大的匿名化的级别。
图3C是图示更新多层存储以移除层中的一个的一个示例的框图。例如,层可以在用户组被移除或再分派到新的层时被移除。可以例如响应于匿名化级别的分析做出改变,诸如在匿名化方案被确定成不充分、期望较高的匿名化的级别或期望较低的匿名化的级别以为用户提供对数据的较大访问的情况下。在某些情况下,匿名化级别可以随时间改变。例如,存档的数据可以最终使用较少的匿名化。在该点处,在其中其被匿名化的一个层中的数据可以匹配充分详细描述的数据的层的数据。可以合并层,使得不再使用匿名化的数据并且来自匿名化的层的用户访问来自充分详细描述的数据层的数据。
如图3C中示出的那样,从数据层***移除具有第二级别匿名化的来自图3A的数据层301。先前被分派到数据层301的第一用户组被再分派到数据层302,使得框311示出被分派到数据层302的第一和第二用户组两者。自动地更新层、匿名化置信水平和/或匿名化方案提供灵活的数据存储***以适合于不同的用户、数据的类型和数据约束。
Claims (15)
1.一种装置,其包括:
记忆装置,包括第一层和第二层;以及
处理器,用以:
在第一层中存储数据;
使用具有第一匿名化置信水平的匿名化方案使数据的至少一部分匿名化;
将匿名化的数据存储在第二层中;
基于第一用户的访问权限使第一用户与第一层相关联;并且
基于第二用户的访问权限使第二用户与第二层相关联,
其中第一用户与第一层交换数据并且第二用户与第二层交换数据。
2.如权利要求1所述的装置,其中处理器进一步将与第二层相关联的用户的一部分分派到第三层并且其中相比于在第三层中,在第二层中使用具有不同的匿名化置信水平的匿名化方案。
3.如权利要求1所述的装置,其中处理器进一步合并第一层和第二层,使得与第一层和第二层相关联的用户与该合并的层相关联。
4.如权利要求1所述的装置,其中处理器进一步:
使用具有第二匿名化置信水平的第二匿名化方案使数据的至少一部分匿名化;
将使用第二匿名化方案的匿名化的数据存储在记忆装置中的第三层中;并且
基于第三用户的访问权限使第三用户与第三层相关联,其中第三用户与第三层交换数据。
5.如权利要求1所述的装置,其中处理器进一步基于利用相比的第一方案的匿名化的数据的有用性和与第一匿名化方案相关联的置信水平的比较来更新第一匿名化方案。
6.如权利要求1所述的装置,其中处理器进一步基于以下中的至少一个确定与第一匿名化方案相关联的置信水平:匿名化方案的统计分析和由处理器反转匿名化方案的尝试。
7.一种方法,包括:
确定数据的第一和第二统计匿名化级别;
以第一统计匿名化级别使数据匿名化;
将具有第一统计匿名化级别的数据存储在第一存储层中;
以第二统计匿名化级别使数据匿名化;
将具有第二统计匿名化级别的数据存储在第二存储层中;
使第一用户组与第一存储层相关联;并且
使第二用户组与第二存储层相关联。
8.如权利要求7所述的方法,其中以第一统计级别使数据匿名化包括:
基于匿名化的数据的有用性与匿名化级别的有效性的比较来确定匿名化方案;并且
根据确定的方案使数据匿名化。
9.如权利要求8所述的方法,进一步包括基于以下中的至少一个确定匿名化级别的有效性:
匿名化级别的统计分析;以及
匿名化的数据的实验挖口的结果。
10.如权利要求7所述的方法,进一步包括:
确定具有比第二统计匿名化级别大的匿名化的数据的第三统计匿名化级别;
以第三统计匿名化级别使数据匿名化;
将具有第三统计匿名化级别的数据存储在第三存储层中;并且
再分派与第二层相关联的用户的一部分以与第三层相关联。
11.如权利要求7所述的方法,进一步包括:
更新第一层的统计匿名化级别,使得其与第二层相同;以及
合并第一层和第二层,使得与第一层相关联的用户和与第二层相关联的用户访问具有相同的统计匿名化级别的相同的层。
12.一种机器可读非瞬时存储介质,其包括由处理器可执行的指令以:
基于匿名化的隐私级别和被匿名化的数据的有效性的比较,确定用于数据库存储***的多个数据匿名化置信水平;
维持多层数据库***,其中每层对应于数据匿名化的确定的置信水平中的一个;并且
使用户许可与层中的每个相关联。
13.如权利要求12所述的机器可读非瞬时存储介质,进一步包括指令以:
更新层中的一个的匿名化置信水平;并且
合并第一层与具有更新的匿名化置信水平的层,其中第一层的匿名化置信水平和更新的层的匿名化置信水平是相同的。
14.如权利要求12所述的机器可读非瞬时存储介质,其中多层数据库包括公共的、混合的和私有的层。
15.如权利要求12所述的机器可读非瞬时存储介质,进一步包括用以向层添加新的匿名化置信水平的指令。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2013/038162 WO2014175887A1 (en) | 2013-04-25 | 2013-04-25 | Multi-tier storage based on data anonymization |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105122268A CN105122268A (zh) | 2015-12-02 |
| CN105122268B true CN105122268B (zh) | 2018-10-02 |
Family
ID=51792270
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380075907.8A Expired - Fee Related CN105122268B (zh) | 2013-04-25 | 2013-04-25 | 基于数据匿名化的多层存储 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9977922B2 (zh) |
| EP (1) | EP2989586A4 (zh) |
| CN (1) | CN105122268B (zh) |
| WO (1) | WO2014175887A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10333901B1 (en) * | 2014-09-10 | 2019-06-25 | Amazon Technologies, Inc. | Policy based data aggregation |
| US10664572B2 (en) * | 2015-08-06 | 2020-05-26 | Microsoft Technology Licensing, Llc | Recommendations for health benefit resources |
| US10713384B2 (en) * | 2016-12-09 | 2020-07-14 | Massachusetts Institute Of Technology | Methods and apparatus for transforming and statistically modeling relational databases to synthesize privacy-protected anonymized data |
| US11270023B2 (en) * | 2017-05-22 | 2022-03-08 | International Business Machines Corporation | Anonymity assessment system |
| US10733061B2 (en) * | 2017-06-27 | 2020-08-04 | Western Digital Technologies, Inc. | Hybrid data storage system with private storage cloud and public storage cloud |
| US10810320B2 (en) * | 2017-12-01 | 2020-10-20 | At&T Intellectual Property I, L.P. | Rule based access to voluntarily provided data housed in a protected region of a data storage device |
| US10885223B2 (en) * | 2017-12-08 | 2021-01-05 | NortonLifeLock, Inc. | Systems and methods for anonymizing user accounts |
| US11538083B2 (en) | 2018-05-17 | 2022-12-27 | International Business Machines Corporation | Cognitive fashion product recommendation system, computer program product, and method |
| US10880273B2 (en) * | 2018-07-26 | 2020-12-29 | Insight Sciences Corporation | Secure electronic messaging system |
| US20220215127A1 (en) * | 2019-04-29 | 2022-07-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Data anonymization views |
| RU2766134C2 (ru) * | 2020-02-26 | 2022-02-08 | Акционерное общество "Лаборатория Касперского" | Способ анонимной отправки данных с устройства пользователя |
| JP7363662B2 (ja) * | 2020-04-28 | 2023-10-18 | 富士通株式会社 | 生成方法,情報処理装置及び生成プログラム |
| US11550953B2 (en) * | 2020-09-16 | 2023-01-10 | Saudi Arabian Oil Company | Preserving cloud anonymity |
| US20220171878A1 (en) * | 2021-02-21 | 2022-06-02 | Omer Dror | Hybrid Human-Machine Differential Privacy |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005091138A1 (en) * | 2004-03-16 | 2005-09-29 | Grid Analytics Llc | System and method for aggregation and analysis of information from multiple disparate sources while assuring source and record anonymity using an exchange hub |
| US7555090B2 (en) * | 2000-11-07 | 2009-06-30 | Research In Motion Limited | Communication channel detector and channel detection method |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2305249A1 (en) * | 2000-04-14 | 2001-10-14 | Branko Sarcanin | Virtual safe |
| US8566113B2 (en) * | 2006-02-07 | 2013-10-22 | International Business Machines Corporation | Methods, systems and computer program products for providing a level of anonymity to patient records/information |
| US9015301B2 (en) | 2007-01-05 | 2015-04-21 | Digital Doors, Inc. | Information infrastructure management tools with extractor, secure storage, content analysis and classification and method therefor |
| US20090019065A1 (en) * | 2007-04-30 | 2009-01-15 | Demetrios Sapounas | Heterogeneous data collection and data mining platform |
| US9497286B2 (en) * | 2007-07-07 | 2016-11-15 | Qualcomm Incorporated | Method and system for providing targeted information based on a user profile in a mobile environment |
| WO2011022499A1 (en) * | 2009-08-18 | 2011-02-24 | Black Oak Partners, Llc | Process and method for data assurance management by applying data assurance metrics |
| US20120124099A1 (en) | 2010-11-12 | 2012-05-17 | Lisa Ellen Stewart | Expert system for subject pool selection |
| WO2013031997A1 (ja) * | 2011-09-02 | 2013-03-07 | 日本電気株式会社 | 匿名化装置、及び、匿名化方法 |
-
2013
- 2013-04-25 WO PCT/US2013/038162 patent/WO2014175887A1/en active Application Filing
- 2013-04-25 EP EP13882870.2A patent/EP2989586A4/en not_active Withdrawn
- 2013-04-25 CN CN201380075907.8A patent/CN105122268B/zh not_active Expired - Fee Related
- 2013-04-25 US US14/786,512 patent/US9977922B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7555090B2 (en) * | 2000-11-07 | 2009-06-30 | Research In Motion Limited | Communication channel detector and channel detection method |
| WO2005091138A1 (en) * | 2004-03-16 | 2005-09-29 | Grid Analytics Llc | System and method for aggregation and analysis of information from multiple disparate sources while assuring source and record anonymity using an exchange hub |
Non-Patent Citations (2)
| Title |
|---|
| Anonymization of setvalued data via topdown;Yeye;《proceedings of the VLDB Endowment》;20090831;第937-940页 * |
| computational disclosure control for medical microdata:the datafly system;Latanya Sweeney;《Proceedings of an International Workshop》;19971231;第446-114页及表5 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2989586A1 (en) | 2016-03-02 |
| EP2989586A4 (en) | 2016-11-09 |
| US20160132697A1 (en) | 2016-05-12 |
| WO2014175887A1 (en) | 2014-10-30 |
| CN105122268A (zh) | 2015-12-02 |
| US9977922B2 (en) | 2018-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105122268B (zh) | 基于数据匿名化的多层存储 | |
| Rajput et al. | EACMS: Emergency access control management system for personal health record based on blockchain | |
| JP7335943B2 (ja) | Bcn(ブロックチェーンネットワーク)を使用したデータ利用方法、システムおよびそのプログラム | |
| EP3531656B1 (en) | Block chain-based data processing method and device | |
| US10579824B2 (en) | Secure access to individual information | |
| US11531781B2 (en) | Encryption scheme for making secure patient data available to authorized parties | |
| US10313336B2 (en) | Proximity-based system for object tracking | |
| US8977572B2 (en) | Systems and methods for patient-controlled, encrypted, consolidated medical records | |
| US9265450B1 (en) | Proximity-based system for object tracking and automatic application initialization | |
| US8620882B2 (en) | Tokenization of multiple-field records | |
| US8452977B2 (en) | Computer system and method for storing data | |
| US20070192139A1 (en) | Systems and methods for patient re-identification | |
| KR102113806B1 (ko) | 개인의료정보데이터 관리방법 및 시스템 | |
| EP3438869A1 (en) | Anonymizing data | |
| WO2013177297A2 (en) | Encrypting and storing biometric information on a storage device | |
| US20200380475A1 (en) | Inserting a further data block into a first ledger | |
| US10893027B2 (en) | Secure access to individual information | |
| CN107948146A (zh) | 一种混合云中基于属性加密的连接关键词检索方法 | |
| US20190327311A1 (en) | Secure access to individual information | |
| AU2018256929B2 (en) | Systems and methods for identity atomization and usage | |
| CN110419043A (zh) | 个人医疗信息数据管理方法及*** | |
| CN109801688A (zh) | 区域医疗电子病历安全协同整合***及方法 | |
| Nath et al. | Block chain-based security and privacy framework for point of care health care IoT devices | |
| Zia et al. | Integration blockchain for data sharing and collaboration in mobile healthcare applications | |
| Zhang | Architectures and Patterns for Moving Towards the Use of High-Frequency, Low-Fidelity Data in Healthcare |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20181002 |