Προστασία της ιδιωτικότητας στην δημοσίευση μη σχεσιακών δεδομένων

Abstract

This doctoral thesis addresses issues of privacy preservation on the publications of non-relationaldatasets. The research focuses on proposing and implementing anonymization algorithms whichtransform the datasets to be published, so that the identity of each record and the personal informationof individuals are not revealed.A broad spectrum of human activities, such as medical examinations, credit card purchases, internetsearching, webpage browsing, etc. produce massive amounts of data. Their publication or sharing isposing a threat to the privacy of users; even after the elimination of direct identifiers (SSN, full name)the combinations of other attributes (such as gender, age, or zip code) may be rare enough to act asquasi-identifiers, thus revealing the identity of records. Anonymization methods aim at preventing theidentification of records by malicious attackers, so that the sensitive information concerning individualswill not be revealed. This can be achieved by transforming the data in order to ensure that a givenprivacy guarantee is not violated. This process causes an information loss of the released data as italters or conceals part of the quasi-identifier values. The goal of anonymization algorithms is to achievethe best balance between the privacy preservation of individuals and the utility of the released data.Several steps have been made in the related literature on the privacy of relational data. The main focusof this thesis is the anonymization of (a) tree-structured data, such as XML data, as well as joinedrecords from a relational database which includes many tables linked together via foreign keys, (b)graph-structured data such as linked and RDF data which are popular on the Web, and (c)unstructured sparse multidimensional data where every record is a bag of continuous numerical values,such as financial payment data or credit card purchases. Furthermore, alternative attack models werestudied, such as (i) the scenario where the aggregate knowledge of the numerical data values (e.g.sum, average) can lead to the identification of a personal record, and (ii) more complex attackscenarios which include the knowledge of multiple functions, each being defined on any subset of thenumerical attributes of a record.

Η παρούσα διδακτορική διατριβή πραγματεύεται ζητήματα προστασίας της ιδιωτικότητας σε δημοσιεύσεις μη σχεσιακών δεδομένων. Η σχετική έρευνα αφορά σε ανάπτυξη και υλοποίηση αλγορίθμων οι οποίοι τροποποιούν τα προς δημοσίευση δεδομένα κατά τέτοιο τρόπο ώστε να μην αποκαλύπτεται η ταυτότητα των εγγραφών και η ευαίσθητη πληροφορία των ατόμων.Μεγάλο εύρος καθημερινών ανθρώπινων δραστηριοτήτων όπως οι ιατρικές εξετάσεις, οι αγορές μέσω πιστωτικών καρτών, οι ιστοσελίδες κοινωνικής δικτύωσης, η χρήση μηχανών αναζήτησης στο διαδίκτυο, κτλ. προκαλούν την καταγραφή πληροφορίας. Η δημοσίευση ή διανομή αυτή των δεδομένων θέτει σε κίνδυνο την ιδιωτικότητα των χρηστών, καθώς ακόμα και μετά την απαλοιφή μόνοτων μοναδικών αναγνωριστικών (ΑΦΜ, ονοματεπώνυμο), συνδυασμοί άλλων γνωρισμάτων (π.χ.φύλο, ηλικία, ΤΚ) μπορεί να είναι σπάνιοι και να λειτουργήσουν ως ψευδο-αναγνωριστικά,αποκαλύπτοντας την ταυτότητα των εγγραφών. Σκοπός των μεθόδων ανωνυμοποίησης είναι να αποφευχθεί η ταυτοποίηση εγγραφών από κακόβουλους επιτιθέμενους, ώστε να μην μπορεί να αποκαλυφθεί ευαίσθητη πληροφορία ατόμων. Αυτό επιτυγχάνεται με μετασχηματισμό των δεδομένων ώστε να μην είναι δυνατή η παραβίαση κάποιας εγγύησης ιδιωτικότητας. Η διαδικασία αυτή επιφέρει κάποια απώλεια πληροφορίας στα τελικά δεδομένα διότι αποκρύπτει ή αλλοιώνει μέρος τηςπληροφορίας των ψευδο-αναγνωριστικών. Οι αλγόριθμοι ανωνυμοποίησης έχουν ως στόχο την εύρεση της χρυσής τομής ανάμεσα στην προστασία της ιδιωτικότητας και στην χρησιμότητα των δεδομένων. Στη σχετική βιβλιογραφία έχουν γίνει πολλά βήματα στην προστασία της ιδιωτικότηταςσχεσιακών δεδομένων. Στα πλαίσια της παρούσας διατριβής επικεντρωνόμαστε στην ανωνυμοποίηση (α) δεδομένων με δενδρική δομή, όπως είναι τα XML δεδομένα αλλά και οι σχεσιακές βάσεις με πολλούς πίνακες που συνδέονται μεταξύ τους με ξένα κλειδιά, (β) δεδομένων με δομή γράφου με έμφαση στα διασυνδεδεμένα δεδομένα και ειδικά τα δεδομένα RDF λόγω της ευρείας διάδοσής τους στον Παγκόσμιο Ιστό, και (γ) αραιών πολυδιάστατων δεδομένων χωρίς δομή που αποτελούνται από σύνολα συνεχών αριθμητικών τιμών, όπως π.χ. τα οικονομικά δεδομένα από σύνολα πληρωμών ή αγορών από πιστωτικές κάρτες. Επίσης, μελετήθηκαν διαφορετικά μοντέλα επίθεσης, όπως (i) το σενάριο όπου συναθροιστική γνώση των αριθμητικών τιμών των γνωρισμάτων κάποιας εγγραφής δεδομένων (π.χ. άθροισμα, μέσος όρος) μπορεί να χρησιμοποιηθεί για να γίνει ταυτοποίησή της, και (ii)πιο πολύπλοκα σενάρια επίθεσης που περιλαμβάνουν την γνώση πολλαπλών συναρτήσεων που καθεμία ορίζεται πάνω σε οποιοδήποτε υποσύνολο των πραγματικών τιμών των γνωρισμάτων μιας εγγραφής.