相同敏感值數(shù)據(jù)表泛化算法的安全性度量研究

鄭明輝 楊晨 譚杰 呂含笑

摘? ?要：在k-匿名隱私保護(hù)策略的發(fā)展中，數(shù)據(jù)表的數(shù)據(jù)質(zhì)量與安全性是相互制約的關(guān)系，在多樣化敏感值數(shù)據(jù)表的隱私保護(hù)研究中，如何平衡數(shù)據(jù)質(zhì)量與安全性之間的矛盾，也是備受關(guān)注的重點(diǎn)。但是，對相同敏感屬性值的數(shù)據(jù)表進(jìn)行泛化保護(hù)時(shí)，此方面的評價(jià)理論不適用于度量該類數(shù)據(jù)的可用性與安全性，文章針對這一不足，提出了一個(gè)基于熵理論的相同敏感值數(shù)據(jù)表泛化算法的評價(jià)方案。該方案引入了加權(quán)屬性熵和鏈接匹配熵的概念，加權(quán)屬性熵根據(jù)不同屬性的重要程度計(jì)算數(shù)據(jù)損失量，鏈接匹配熵將鏈接攻擊數(shù)據(jù)表消耗的正確匹配元組的信息量作為安全性度量。最后，利用提出的評價(jià)方案對兩種泛化算法處理后的數(shù)據(jù)表進(jìn)行評價(jià)，豐富了在相同敏感值條件下泛化算法的評價(jià)體系。

關(guān)鍵詞：泛化算法;信息熵;信息損失量;鏈接攻擊

中圖分類號(hào)：TP3-05? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： In the development of k-anonymity privacy protection， the relation between data quality and security is mutually restrictive. And in the research of multi-sensitive attribute value data， how to balance the contradiction between data quality and security is also the focus of attention. However， there works are not applicable for data with same sensitive attribute value. To solve this problem， we proposed an evaluation scheme of generalization algorithm for data with same sensitive attribute based on entropy. In this paper， weighted attribute entropy and linking matched entropy are introduced at first. Weighted attribute entropy individually calculates the amount of data loss according to the importance of quasi attributes. Linking match entropy measured the safety of algorithm by calculating the attackers information cost on correctly linked. Finally， the proposed evaluation scheme is used to evaluate the data tables processed by the two generalization algorithms， which enriches the evaluation system of the generalization algorithm under the same sensitive values.

Key words： generalization algorithm; information entropy; information loss; linking attack

1 引言

近年來在對數(shù)據(jù)隱私保護(hù)策略的研究中，平衡隱私泄露和數(shù)據(jù)可用性之間的矛盾關(guān)系是其關(guān)注的重點(diǎn)。隱私保護(hù)一直都是信息安全領(lǐng)域的熱點(diǎn)問題，大數(shù)據(jù)時(shí)代的到來，使該問題更為突出和嚴(yán)峻[1]。數(shù)據(jù)挖掘的快速發(fā)展，容易導(dǎo)致用戶的個(gè)人信息泄露[2]。k-匿名技術(shù)[3]常用作數(shù)據(jù)發(fā)布前的保護(hù)，其未來發(fā)展研究的重要內(nèi)容包括如何精確評價(jià)公開數(shù)據(jù)表的安全性和信息損失量。

在隱私保護(hù)策略的發(fā)展中，不斷有學(xué)者提出各種方法來度量數(shù)據(jù)可用性與安全性。Gionis等人提出了三種基于信息熵的信息損失度量方法[4]，其缺點(diǎn)在于計(jì)算復(fù)雜，度量公式中的數(shù)值屬性度量方法沒有反映出泛化前和泛化后屬性值之間的差異。李永凱等人根據(jù)屬性選擇性匹配問題，設(shè)計(jì)了匹配度量函數(shù)，并提出一個(gè)可以實(shí)現(xiàn)選擇性匹配的隱私安全協(xié)議[5]。文獻(xiàn)[6]利用聚類的質(zhì)心與元組的距離表示信息的損失量。蘇潔等[7]人提出了一種基于信息損失量估計(jì)的k匿名圖流構(gòu)造方法，實(shí)驗(yàn)表明所提方法能夠較理想地控制信息損失量，缺點(diǎn)往往在于對網(wǎng)絡(luò)圖結(jié)構(gòu)破壞比較大，使擾動(dòng)后圖數(shù)據(jù)的可用性較低。李釗等人提出一種基于擴(kuò)展熵的信息損失量計(jì)算方法[8]。王芳等人[9]提出了一種基于局部劃分的匿名算法，提高了數(shù)據(jù)匿名后的可用性，在減少信息損失量和提高關(guān)聯(lián)關(guān)系保留率方面具有較高的合理性和有效性。

關(guān)于泛化算法安全性度量的相關(guān)研究，Domingo等人用元組之間成功鏈接的個(gè)數(shù)百分比、基于似然性方法的正確鏈接數(shù)的百分比以及原始數(shù)據(jù)落入泛化后區(qū)間的百分比來衡量安全性[10];吳振強(qiáng)團(tuán)隊(duì)[11]在單個(gè)屬性的前提下對兩個(gè)系統(tǒng)的匿名性進(jìn)行對比，實(shí)用性不高;后又進(jìn)行改進(jìn)，文獻(xiàn)[12]提出用聯(lián)合熵作為匿名等級(jí)的評價(jià)指標(biāo)，能夠達(dá)到多屬性系統(tǒng)的匿名性度量。Bertino等[13]人用匿名前后信息熵的改變來評估從不確定的數(shù)據(jù)集中獲取一個(gè)確定值的難度，該值代表了數(shù)據(jù)集的安全性。Brickell等[14]人將泛化算法安全性的損失定義為攻擊者從發(fā)布的數(shù)據(jù)中學(xué)習(xí)到新知識(shí)的量。張磊[15]等人從用戶屬性泛化的角度出發(fā)，提出了一種基于Hash 函數(shù)的泛化算法，并證明了該算法具備一定的隱私保護(hù)能力。熊平等[6]人把攻擊者將某元組鏈接定位到一個(gè)最大等價(jià)類中，推斷出該元組的敏感屬性值的困難程度定義為泛化算法的安全性，適合于多樣化敏感屬性值的數(shù)據(jù)表，缺點(diǎn)在于層次聚類泛化算法的計(jì)算復(fù)雜度較高。文獻(xiàn)[16]使用信息熵理論構(gòu)造隱私量化模型，為隱私泄露風(fēng)險(xiǎn)的分析和度量提供理論基礎(chǔ)?？梢钥闯?，在隱私保護(hù)中安全性的定義因安全性本身的抽象性而不同，如何用合適的參數(shù)量化安全性，還需視具體情況而定。在相同敏感值條件下，本文將泛化算法的安全性定義為攻擊者利用微數(shù)據(jù)表鏈接出全集數(shù)據(jù)表中敏感信息的困難程度。

另外，值得關(guān)注的是k-匿名技術(shù)的研究始終建立在多樣化敏感屬性值的基礎(chǔ)上，Liu Xiaoping等人[17，18]指出過度保護(hù)或欠缺保護(hù)是k-匿名技術(shù)在相同敏感值條件下泛化保護(hù)所面臨的問題，但沒有提出有效的算法安全性或數(shù)據(jù)質(zhì)量的評價(jià)方案。鑒于合理的算法評價(jià)方案對于推進(jìn)相同敏感屬性值數(shù)據(jù)表的泛化算法是有幫助的，本文提出基于信息熵理論的加權(quán)屬性熵和鏈接匹配熵，對相同敏感值條件下的數(shù)據(jù)損失程度和安全性進(jìn)行計(jì)算，本算法不僅在泛化過程中保持了較優(yōu)的等價(jià)類劃分，保證了數(shù)據(jù)表在數(shù)據(jù)分析時(shí)能產(chǎn)生可靠的效用，且具有較高的安全性。

2 基于加權(quán)屬性熵的數(shù)據(jù)損失量計(jì)算

相同敏感屬性值的數(shù)據(jù)表省略了鏈接攻擊時(shí)的敏感值定位過程，可以使用兩個(gè)數(shù)據(jù)表模擬相同敏感值數(shù)據(jù)表的鏈接攻擊。包含相同敏感屬性值的數(shù)據(jù)表稱為微數(shù)據(jù)表 ，全集數(shù)據(jù)表T用于鏈接攻擊。本節(jié)將對相同敏感值數(shù)據(jù)表的可用性衡量進(jìn)行分析。

定義1. 微數(shù)據(jù)表包含個(gè)準(zhǔn)標(biāo)識(shí)符屬性，其權(quán)重為，包含條元組，對應(yīng)的條元組中共有種數(shù)值，每種數(shù)值對應(yīng)的元組為 ，表中每個(gè)的信息熵為：

微數(shù)據(jù)表的加權(quán)屬性熵為：

定義2. 微數(shù)據(jù)表經(jīng)泛化形成個(gè)等價(jià)類，用表示中符合取值區(qū)間元組的數(shù)量，用表示中等價(jià)類實(shí)際包含的元組個(gè)數(shù)，則泛化后微數(shù)據(jù)表加權(quán)屬性熵為：

當(dāng)微數(shù)據(jù)表被泛化為一個(gè)等價(jià)類時(shí)，各屬性的熵值為0，數(shù)據(jù)表的可用性最低，因此加權(quán)屬性熵越大，數(shù)據(jù)質(zhì)量越高。準(zhǔn)標(biāo)識(shí)符屬性的權(quán)重主要根據(jù)屬性對敏感值的重要程度以及各屬性值在劃分區(qū)間的方差波動(dòng)而定，可根據(jù)相關(guān)研究成果對準(zhǔn)標(biāo)識(shí)符屬性進(jìn)行權(quán)重設(shè)定，未對權(quán)重的精確性進(jìn)行研究。

定義3. 微數(shù)據(jù)表中有個(gè)準(zhǔn)標(biāo)識(shí)符屬性，其權(quán)重分別為，需滿足：

3 基于鏈接匹配熵的泛化算法安全性度量

文中給出數(shù)據(jù)損失量的衡量標(biāo)準(zhǔn)，本節(jié)將在此基礎(chǔ)上量化泛化算法的安全性，并給出相關(guān)定義。

3.1 相同敏感值數(shù)據(jù)表的安全性定義

在多樣化的敏感值數(shù)據(jù)表受到鏈接攻擊時(shí)，通常以攻擊者推斷出某條元組對應(yīng)敏感屬性值的難度作為衡量泛化算法安全性的標(biāo)準(zhǔn)。而在相同敏感值的條件下，攻擊者的攻擊難點(diǎn)在于正確匹配中的某些元組存在于中。

定義4. 相同敏感值條件下，攻擊者利用鏈接出中一條元組敏感值的困難程度稱為泛化算法的安全性。

3.2 鏈接匹配概率

相同敏感值條件下，攻擊者鏈接多個(gè)數(shù)據(jù)表的目的是為了匹配出與共同的元組，同時(shí)還能獲知中元組在中的額外屬性信息。泛化算法的目的是確保在受到鏈接攻擊時(shí)攻擊者獲取更少的敏感信息。

當(dāng)?shù)姆夯瘜哟卧礁?，攻擊者越難在鏈接攻擊中正確匹配和中的元組。如表1所示，全集數(shù)據(jù)表T-1中含有4個(gè)準(zhǔn)標(biāo)識(shí)符屬性、9條元組，表2是微數(shù)據(jù)表MT-1，表3和表4分別為滿足2-匿名和3-匿名的泛化表。將表2與表1進(jìn)行鏈接，可以推斷表1中ID為2、7、9的元組以概率1存在于表2中，如表1、表2所示。將表3與表1鏈接，推斷出ID為4、7的元組以概率1對應(yīng)于等價(jià)類1，ID為3、6、8的元組以概率2/3對應(yīng)于等價(jià)類2，ID為1、5的元組以概率1對應(yīng)于等價(jià)類3，如表3、表4所示。將表4和表1鏈接，2、3、8元組以概率1對應(yīng)于等價(jià)類1，1、4、5、7、9元組以概率3/5對應(yīng)于等價(jià)類2?？梢钥闯?中元組落入到各等價(jià)類的數(shù)量與微數(shù)據(jù)表的泛化程度有關(guān)，從而可計(jì)算中元組落入相對應(yīng)等價(jià)類中的概率P。而的泛化程度越高，越難推斷出中元組在中。

由于在不同泛化層次下中準(zhǔn)標(biāo)識(shí)符屬性值所包含的信息量不同，攻擊者則以不同概率獲知中元組存在于中。因此可以用正確匹配元組的概率來表示泛化算法的安全性，將其定義為鏈接匹配概率。

定義5. 將中符合等價(jià)類取值區(qū)間的元組個(gè)數(shù)與等價(jià)類中元組數(shù)的比值定義為鏈接匹配概率。計(jì)算公式如下：

3.3 相同敏感值數(shù)據(jù)表的安全性度量

鏈接匹配概率是以攻擊者的角度計(jì)算成功鏈接微數(shù)據(jù)表中元組的成功率，無需計(jì)算多條元組的泄露風(fēng)險(xiǎn)就能衡量攻擊難度。

在與的鏈接過程中存在i個(gè)等價(jià)類，因此對應(yīng)有i個(gè)鏈接匹配概率。衡量在鏈接攻擊中的安全性可以通過計(jì)算這i個(gè)概率的熵來實(shí)現(xiàn)。

定義6. 鏈接匹配熵是指中本應(yīng)落在已泛化的等價(jià)類取值區(qū)間上的元組數(shù)量與實(shí)際落入該等價(jià)類數(shù)量的比值P（M）的熵：

其中，T||MT表示與進(jìn)鏈接匹配的過程。

鏈接匹配熵表示攻擊者成功匹配元組所耗費(fèi)的信息量。鏈接匹配熵越大，說明攻擊者為實(shí)現(xiàn)匹配成功所消耗的信息量越多，即數(shù)據(jù)表的安全性越高。

3.4 基于信息熵的數(shù)據(jù)表安全性驗(yàn)證

泛化微數(shù)據(jù)表通過模糊化精確的屬性值，使得攻擊者要消耗更多的信息量才能得到泛化前的結(jié)果。由于鏈接攻擊的結(jié)果不受各屬性對數(shù)據(jù)質(zhì)量貢獻(xiàn)度的影響，所以算法的安全程度可以通過計(jì)算泛化前后的非加權(quán)熵之差來表示。泛化后的數(shù)據(jù)表信息熵反映的是泛化操作的效果，若該熵值越小，表示數(shù)據(jù)表包含的信息量越少，泛化程度越高，在鏈接攻擊中越安全。

微數(shù)據(jù)表泛化前的信息熵為：

微數(shù)據(jù)表泛化后的信息熵為：

4 實(shí)驗(yàn)仿真

本節(jié)將使用加權(quán)屬性熵和鏈接匹配熵對兩種泛化算法下數(shù)據(jù)表的劃分結(jié)果進(jìn)行評價(jià)，實(shí)驗(yàn)數(shù)據(jù)選自數(shù)據(jù)庫的數(shù)據(jù)。

4.1 準(zhǔn)標(biāo)識(shí)符屬性權(quán)重設(shè)置

為便于實(shí)驗(yàn)進(jìn)行，將數(shù)據(jù)集中14個(gè)準(zhǔn)標(biāo)識(shí)符屬性降為7個(gè)。為不含“”敏感值的數(shù)據(jù)表，是從該數(shù)據(jù)表中選取的滿足的近2300條元組成，保證了中的敏感屬性值“”的范圍是相同的。準(zhǔn)標(biāo)識(shí)符為{Race，Age，Hours-per-week，Education，Marital-status，Native-country，Gender}，權(quán)重根據(jù)各屬性的值在劃分區(qū)間的方差波動(dòng)程度進(jìn)行設(shè)置，波動(dòng)程度越大代表數(shù)據(jù)越不穩(wěn)定，則賦予的權(quán)重相對較小，本節(jié)賦予準(zhǔn)標(biāo)識(shí)符屬性的權(quán)重如表5所示。

4.2 不同算法的泛化操作分析

實(shí)驗(yàn)中將使用Liu Xiaoping等人提出的決策泛化算法和一種改進(jìn)算法。在決策泛化算法中，將等價(jià)類泄露風(fēng)險(xiǎn)作為劃分等價(jià)類的指標(biāo)，泄露風(fēng)險(xiǎn)計(jì)算公式為：

（9）

其中，是中的元組個(gè)數(shù)（原算法以表示微數(shù)據(jù)表），表示劃分后數(shù)據(jù)表的等價(jià)類數(shù)量，表示第個(gè)等價(jià)類中元組的數(shù)量，表示微數(shù)據(jù)表與全集數(shù)據(jù)表中第個(gè)等價(jià)類的元組數(shù)量之比。

決策泛化算法以表示每次劃分后的第 個(gè)屬性的泄露風(fēng)險(xiǎn)值，為第個(gè)屬性中當(dāng)前被分割的數(shù)據(jù)集的方差，可以針對性地對不同的準(zhǔn)標(biāo)識(shí)符屬性實(shí)施劃分。

改進(jìn)后的算法稱作加權(quán)泛化算法，本文算法在泛化數(shù)據(jù)表的全過程都有屬性權(quán)重的參與，這一點(diǎn)不同于以前的算法。等價(jià)類劃分的標(biāo)準(zhǔn)為：

（10）

決策泛化算法主要根據(jù)待劃分前各屬性的方差作為權(quán)重來劃分等價(jià)類，當(dāng)存在屬性對數(shù)據(jù)可用性影響較小、但方差起伏較大的情況時(shí)，會(huì)更多以該屬性作為劃分等價(jià)類的標(biāo)準(zhǔn)，導(dǎo)致其他屬性較少參與劃分等價(jià)類的過程，使得泛化后數(shù)據(jù)質(zhì)量會(huì)更低。如果提前對準(zhǔn)標(biāo)識(shí)符屬性賦予權(quán)重，則會(huì)更細(xì)致地劃分權(quán)重較大的屬性，而即便對權(quán)重小的屬性進(jìn)行粗糙劃分也不會(huì)對數(shù)據(jù)質(zhì)量產(chǎn)生很大影響。

4.3 實(shí)驗(yàn)分析

如表6所示，將數(shù)據(jù)量控制為2300條元組，兩種不同的泛化標(biāo)準(zhǔn)產(chǎn)生的不同的泛化結(jié)果。明顯可以看出，在等價(jià)類數(shù)量上，加權(quán)泛化算法在劃分時(shí)體現(xiàn)出優(yōu)勢;決策泛化算法的加權(quán)屬性熵小于本文算法的熵值，說明在數(shù)據(jù)可用性方面加權(quán)泛化算法更優(yōu);鏈接匹配熵越大，攻擊者要想攻擊成功需消耗的信息量越多;而信息熵也驗(yàn)證了鏈接匹配熵的結(jié)果，因?yàn)樾畔㈧厥菑奈?shù)據(jù)表包含的信息量角度證明了安全性，熵值越小則信息量越少，實(shí)驗(yàn)表明加權(quán)泛化算法的泛化程度更高，即更安全。

改變數(shù)據(jù)規(guī)模的大小，對實(shí)驗(yàn)進(jìn)一步分析。如圖1所示，加權(quán)屬性熵反映數(shù)據(jù)表的數(shù)據(jù)質(zhì)量，值越大越能反映數(shù)據(jù)的可用性。從圖中可以明顯看出隨著數(shù)據(jù)量的變化，加權(quán)泛化算法的熵值明顯優(yōu)于決策泛化算法，原因主要在于各屬性參與到劃分等價(jià)類的過程中，因此總是優(yōu)先劃分權(quán)重最高的屬性，確保數(shù)據(jù)分析時(shí)數(shù)據(jù)的可靠性和安全性。

如圖2所示，利用泛化后數(shù)據(jù)表的信息熵的變化，來反映兩種泛化算法對應(yīng)的抵御鏈接攻擊的能力?？梢钥闯鰞煞N泛化算法得到的數(shù)據(jù)表信息熵，隨著數(shù)據(jù)規(guī)模的增大都呈現(xiàn)出近似線性增長的趨勢，而決策泛化算法泛化后的數(shù)據(jù)表信息熵始終高于加權(quán)泛化算法，這也表明決策泛化算法所得數(shù)據(jù)表信息量要相對大一些，也就是說，加權(quán)泛化算法的安全性更高一些，抵御鏈接攻擊的能力更強(qiáng)。本算法不僅在泛化過程中保持了較優(yōu)的等價(jià)類劃分，保證了數(shù)據(jù)表在數(shù)據(jù)分析時(shí)能產(chǎn)生可靠的效用，且具有較高的安全性。

5 結(jié)束語

本文就相同敏感屬性值條件下微數(shù)據(jù)表的泛化算法提出了衡量數(shù)據(jù)表損失量與安全性的度量方案，以加權(quán)屬性熵量化數(shù)據(jù)損失量，以鏈接匹配熵量化算法安全性。在仿真實(shí)驗(yàn)中將屬性的權(quán)重作為改進(jìn)等價(jià)類劃分標(biāo)準(zhǔn)的因素，解決了泛化時(shí)利用方差作為權(quán)重導(dǎo)致的等價(jià)類劃分不合理的問題，提高了泛化后數(shù)據(jù)的可用性。本文對不同的泛化結(jié)果進(jìn)行對比，完善了相同敏感值條件下數(shù)據(jù)表的評價(jià)體系。但目前實(shí)驗(yàn)沒有就等價(jià)類中元組數(shù)量k值進(jìn)行不同取值的實(shí)驗(yàn)，因此未提出全面的評價(jià)標(biāo)準(zhǔn)。后續(xù)擬對評價(jià)標(biāo)準(zhǔn)進(jìn)行研究，力求達(dá)到可量化任一種泛化算法對相同敏感值數(shù)據(jù)表泛化保護(hù)后的數(shù)據(jù)損失量以及安全性。

參考文獻(xiàn)

[1] 王威，李楠.大數(shù)據(jù)時(shí)代個(gè)人隱私防范與保護(hù)策略研究[J].網(wǎng)絡(luò)空間安全，2017，8（Z2）：9-13.

[2] 馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護(hù)[J].計(jì)算機(jī)學(xué)報(bào)， 2014，37（1）：246-258.

[3] LATANYA SWEENEY. k-ANONYMITY： A MODEL FOR PROTECTING PRIVACY[J]. International Journal of Uncertainty， Fuzziness and Knowledge-Based Systems， 2002， 10（5）：1-14.

[4] Gionis A， Tassa T. k-Anonymization with Minimal Loss of Information[M]. IEEE Educational Activities Department， 2009.

[5] 李永凱，劉樹波，楊召喚，等.MSN中用戶屬性隱私安全的選擇性匹配協(xié)議[J].華中科技大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2015（5）：89-94.

[6] 熊平，朱天清，顧霄.基于信息增益比例約束的數(shù)據(jù)匿名方法及其評估機(jī)制[J].計(jì)算機(jī)應(yīng)用研究， 2014，31（3）：819-824.

[7] 蘇潔，劉帥，羅智勇，孫廣路.基于信息損失量估計(jì)的匿名圖構(gòu)造方法[J].通信學(xué)報(bào)，2016，37（06）：56-64.

[8] 李釗，孫占全，李曉，等.基于信息損失量的特征選擇方法研究及應(yīng)用[J].山東大學(xué)學(xué)報(bào)（理學(xué)版），2016，51（11）：7-12.

[9] 王芳，余敦輝，張萬山.基于局部劃分的匿名算法研究[J/OL].計(jì)算機(jī)應(yīng)用研究，2019（11）：1-3[2019-06-12].

[10] Domingo-Ferrer J， Torra V. A quantitative comparison of disclosure control methods for microdata[J]. Confidentiality Disclosure & Data Access， 2001.

[11] 吳振強(qiáng)，馬建峰.基于條件熵匿名模型的優(yōu)化[C].中國密碼學(xué)學(xué)術(shù)會(huì)議，2004.

[12] 吳振強(qiáng)，馬建峰.基于聯(lián)合熵的多屬性匿名度量模型[J].計(jì)算機(jī)研究與發(fā)展，2006，43（7）：1240-1245.

[13] Bertino E， Fovino I N， Provenza L P. A framework for evaluating privacy preserving data mining algorithms[J]. Data Mining and Knowledge Discovery， 2005， 11（2）： 121-154.

[14] Brickell J， Shmatikov V. The cost of privacy： destruction of data-mining utility in anonymized data publishing[C]//Proceedings of the 14th ACM SIGKDD international conference on Knowledge discovery and data mining. ACM， 2008： 70-78.

[15] 張磊，王斌，于莉莉.基于Hash函數(shù)的屬性泛化隱私保護(hù)方案[J].信息網(wǎng)絡(luò)安全，2018（03）：14-25.

[16] 彭長根，丁紅發(fā)，朱義杰，等.隱私保護(hù)的信息熵模型及其度量方法[J].軟件學(xué)報(bào)，2016，27（8）：1891-1903.

[17] Liu X， Li X， Motiwalla L， etal. Sharing patient disease data with privacy preservation[C].Ais Sigsec Workshop on Information Security and Privacy. 2015.

[18] Liu X， Li X B， Motiwalla L， etal. Preserving Patient Privacy When Sharing Same-Disease Data[J]. Acm J Data Inf Qual， 2016， 7（4）：17.