RAPPOR: Randomized Aggregatable Privacy-PreservingOrdinal Response略读

RAPPOR

算法基础

用户将数据进行扰动后发送给收集者，在进行后续的各种操作

首先将字符串通过布隆过滤器用h个哈希函数进行处理（这里用了4个，所以B有4位置1），得到B，随后将B通过随机响应函数获得永久随机响应B’,将永远存储在用户的设备中。每当数据收集者请求数据时，客户机对B’再次进行扰动获得临时随即响应S，S将发送给收集者（每次询问同一数据获得的响应都不完全相同）

永久随机响应的规则

f是用户可调的一个概率，来控制隐私水平。例图中中f=0.5（f越大越随机）

临时随机响应

获得B’后对其进行随机响应获得S，规则为

q和p为设置的参数，例图中使用p=0.5 ，q=0.75

通过对B’进行随机响应获得S再进行传送，大大增加了跟踪客户端的难度，否则B’可以视为纵向询问中的唯一标识符。同时提供了更强大的短期隐私保护，通过改变参数，有效平衡不同的攻击模型。

改进的几种RAPPOR

一次性RAPPOR

总共只询问一次,所以不需要担心纵向攻击，可以跳过临时随机响应阶段，直接返回永久随即相应B’

基本RAPPOR

如果收集的字符串集相对较小并且定义明确。这样就能将每个字符串确定性映射到数组中的单个位上，保证每个字符串对应的位不相同，这样就能只使用一个哈希函数获得B’

基本一次性RAPPOR

一次哈希获得B’然后返回B‘

RAPPOR满足差分隐私证明

永久随机响应

证明详见论文。

小记：

这里的b1等等不是0就是1，与布隆过滤器的相应位数对应。

临时随机响应

证明如下

高效的响应解码

收集者在获取到S后，并不能直接使用，因为为了保护隐私而故意添加噪声，所以解码需要复杂的统计技术。

在解码时，每个客户端被随机分配，并成为其中一个组团（cohort）的永久成员，cohort为不同的数据提供不同的哈希函数集合，减少不同字符串意外碰撞。客户端在传送数据时也要说明自己是哪个cohort的。

收集者在收到数据后，统计每一位上1出现的次数并进行校正，结合映射矩阵，通过LASSO回归，完成统计。

缺点

• 通信代价高，每次都要把所有的都传给收集者
• RAPPOR算法是建立在已经提前知道了字符串候选集的情况下。
• 需要额外的回归计算，计算开销较大