用于借助散列值跟踪实体的方法和系统与流程

本发明涉及数据处理领域，并且更具体地涉及跟踪可移动实体的领域。

背景技术：
出于从提供安全服务到跟踪商店中的顾客的范围的多个目的而收集诸如指纹、脸部印记(faceprint)、虹膜扫描数据等生物数据。在许多国家的隐私法规定人员数据和生物数据仅在满足多个安全约束时才允许获取。这关于采集数据并且进一步处于商业目的而处理它们带来问题。为了防止与现有数据隐私法的冲突，例如为了探寻商店中的顾客而通过简档化(profiling)相机收集的生物数据以保证所述数据从未离开相机的安全方式在所述相机以内被处理。所述简档化相机仅提供所生成的简档数据、比如性别、年龄范围或者种族群体而不是原始图像数据作为输出。这一简档数据一般符合隐私法，因为基于这一类型的数据的特定人员的识别是不可能的。然而这一简档数据未细粒度到足以用于允许人员化数据获取和评估以例如跟踪顾客移动以及分析因果情形。

技术实现要素：
本发明的目的是提供一种用于跟踪至少一个可移动实体的改进计算机实现的方法、计算机系统、传感器设备和计算机程序产品。该目的由独立权利要求的特征解决。在从属权利要求中给出优选实施例。如果未明确声明，则可以自由组合本发明的实施例。‘计算机可读介质’可以是计算机可读信号介质或者计算机可读存储介质。可以利用一个或者多个计算机可读介质的任何组合。计算机可读存储介质可以例如是但不限于电子、磁、光学、电磁、红外线或者半导体系统、装置或者设备或者前述示例的任何适当组合。如这里所用‘可移动’实体可以是其位置可能以(由于主动或者被动移动)随时间改变的任何实体。具体而言，所述可移动实体可以是一个或者多个传感器设备可以从其收集数据集的人类或者任何其它对象。如果传感器设备中的特定传感器设备可操作用于‘感测’和接收所述数据集，则可以依赖于所述可移动实体在特定时间瞬间相对于所述传感器设备的位置。如这里所用‘数据集’是传感器设备可以从可移动实体收集的任何种类的数据、具体为人的生物(biometrics)数据或者允许识别对象的数据、例如序列号。根据实施例，所述数据集包括如下数据，该数据可以用于识别人类或者具体对象并且因此需要根据一些公司和/或国家的数据保护规则来保护以免未授权访问。根据实施例，数据集可以例如包括图像、指定可移动实体的二维或者三维形状的数据、声学信息、键盘输入图案信息、人特有的步进模式在地板上引起的振动、汽车的编号牌的图片等。如这里所用‘传感器设备’是可操作用于借助感测功能从一个或者多个可移动实体采集数据集的任何设备。根据实施例，传感器设备可以是相机、指纹传感器、麦克风、振动传感器等。如这里所用‘第一数据’是时隙系列的第一时隙特有的任何数据。在所有传感器设备的所有第一时隙之间共享第一数据。如这里所用‘热印记’是有机体的温度图案，该温度图案对于特定人员而言是特有的并且允许识别所述人员。如这里所用‘识别数据’是已经根据数据集得到的并且可作为用于识别从其得到所述数据集的可移动实体的生物标识符来使用的任何种类的数据。与如原先接收的数据集对照，识别数据通常有减少的大小，因为它仅或者主要包括数据集的对于可移动实体而言有特性的那些部分。例如作为人脸图像的数据集可以用于计算脸部印记(识别数据)。脸部印记通常未包括视为对于识别特定人员而言无帮助的信息、例如脸部的亮度，因为这一信息可以根据环境的照明度而改变。然而脸部印记可以包括视为对于特定可移动实体而言——单独或者与其它特征组合——的特点的、诸如眼睛距离、下巴到鼻子的距离、眼睛的大小等特征。因此，已经根据原先接收的数据集得到的所述数据值在这里称为‘识别数据’。用于计算识别数据的算法可以根据原先接收的数据种类而变化。例如用于根据相机接收的人脸的像素图像计算脸部印记的算法将不同于根据麦克风接收的语音数据集计算语音概况(profile)的算法。如这里所用‘修改函数’是借助一个或者多个第二输入值变更第一输入值而未从第一输入值去除第一输入值的后续处理所需要的信息的任何数学函数。在识别数据用作特定人员的生物标识符的情况下，修改函数是取得所述识别数据作为第一输入值并且以以下关系成立的方式借助一个或者多个第二输入值修改所述识别数据的任何数学函数：在对两个或者更多第一输入值应用修改函数用于分别计算输出值的情况下，第一输入值的相似性和不相似性被保留并且假如相同一个或者多个第二输入值由修改函数用于生成相应输出值则对应于分别计算的输出值的相似性和不相似性。因此不同的衍生识别数据而不是原始识别数据可以进行比较。如果一个或者多个第二输入值不再已知，则不可能恢复原始识别数据。此外，在这一情况下不可能计算新的衍生识别数据，该新的衍生识别数据与先前计算的衍生识别数据(基于现在未知的第二输入值来计算)的相似性与原先收集的数据集的相似性相关。根据其中第一输入数据是人员的脸部印记的一些实施例，以相干方式变更所述脸部印记的任何参数值。例如可以伸展眼睛的尺度、可以放大人员的脸部和所有它的组成等。假如所有相机应用相同修改函数和相同第二输入值，则将针对多个不同相机多次拍摄的一个特定人员计算相同或者至少高度地相似的衍生脸部印记。如这里所用‘散列函数’是将大数据集映射到更小数据集的任何算法或者子例程。散列函数返回的值称为散列值。作为参考，如这里所用散列函数为透明、即如果对“相等”的输入(例如由相同字符序列构成的串)调用两次，则它将给出相同结果。如这里所用‘连续散列函数’是将差异很小的两个输入值映射到两个散列值的任何散列函数，所述两个散列值是相等或者接近相等的散列值。因此，连续散列函数的输入值的相似程度对应于所得散列值的相似程度。如这里所用术语‘同步’将以它的最广义可能方式来理解：使特定一条数据可用于同步实体集(例如传感器设备)的任何同步实体可用(‘共享’)的任何计算机实现的功能将在下文中称为同步。可以用一个或者多个编程语言的任何组合来编写用于实现用于本发明方面的操作的计算机程序代码，该一个或者多个编程语言包括诸如Java、Smalltalk、C++等之类的面向对象的编程语言以及比如“C”编程语言之类的常规过程化编程语言，或者包括CPU(中央处理单元)汇编器语言的相似编程语言。程序代码可以全部在用户的计算机上、部分在用户的计算机上、作为独立软件包、部分在用户的计算机上而部分在远程计算机上或者完全在远程计算机或者服务器上执行。在后一种场景中，远程计算机可以通过包括局域网(LAN)或者广域网(WAN)的任何类型的网络连接到用户的计算机，或者可以(例如通过使用因特网服务提供商的因特网)产生与外部计算机的连接。在一个方面中，本发明涉及一种用于跟踪至少一个可移动实体的计算机实现的方法。该方法包括：a)由一个或者多个传感器设备中的第一传感器设备确定当前时间，所述每个传感器设备具有用于确定当前时间的时钟，当前时间落在第一时隙内，第一时隙是时隙系列中的一个，所有传感器设备的时钟被同步，时隙系列由所有传感器设备共享；b)提供第一数据，第一数据是第一时隙特有的并且在传感器设备的所有第一时隙之间被共享；c)由第一传感器设备接收数据集，数据集是从至少一个可移动实体接收的；d)由所述第一传感器设备根据接收的数据集计算识别数据以用于借助所述识别数据识别至少一个实体；e)通过对识别数据应用修改函数来计算衍生识别数据，修改函数使用识别数据作为第一输入值并且使用提供的第一数据作为用于修改识别数据的第二输入值；f)由所述第一传感器设备通过将衍生识别数据作为输入来计算第一散列值，第一散列值通过应用散列函数来计算；g)从第一传感器设备向用于指示至少一个可移动实体的位置的中央服务器发送消息，消息包括散列值和第一传感器设备的标识符。所述特征可以是有利的，因为如果由传感器设备执行，则所述步骤提供如下传感器设备，该传感器设备可操作用于保护所述传感器设备从可移动实体‘感测’、即‘接收’的敏感生物数据以免离开传感器设备。然而，使得接受包括已经如所述的那样生成的散列值的消息的中央服务器计算机能够使用所述信息以创建所述可移动实体的移动路径而不需在任何瞬间能够识别所述可移动实体。因此，接收的数据集(通常为敏感生物数据)从未存储于传感器设备以外。在又一有利方面中，向中央服务器设备发送消息是很高效的，因为散列值仅为原始数据集(例如图像数据或者语音数据)的大小的一小部分并且通常也比已经根据原始接收的数据集生成的识别数据(例如脸部印记、指纹、语音概况)小得多。多个传感器设备中的任何传感器设备针对相同时隙和相同识别数据计算的所有衍生识别数据相同。这是因为第一数据和时隙序列由所有传感器设备共享。根据实施例，步骤a)、c)、d)、e)、f)和g)由一个或者多个传感器设备中的第一传感器设备执行。根据实施例，步骤b)可以由第一传感器设备、另一传感器设备或者中央服务器执行：传感器设备或者中央服务器之一可以生成第一数据或者第一数据系列并且向其它传感器设备并且可选地也向中央服务器提交所述第一数据。根据一些实施例，第一时隙的第一数据和/或与时间序列中的时隙序列对应的系列第一数据由中央服务器创建并且向每个传感器设备发送、由此在中央服务器与每个传感器设备之间同步时隙和特定于时隙的第一数据。根据其它实施例，第一数据或者系列第一数据由传感器设备之一创建并且向任何一个其它传感器设备并且可选地也向中央服务器发送。根据更多实施例，该方法包括以下步骤：由第一传感器设备确定所述传感器设备是否已经在预定义时间段内针对给定的可移动实体计算衍生标识符值。如果是这样，则未在所述时间段(这一时间段可以偏离时隙的长度)中多于一次处理数据集用于计算散列值。诸如SEKS204之类的相机已经伴随有用于确定是否已经从相同脸部或者从不同脸部取得特定图像集、例如脸部的图像集的某一装置。可以运用所述现有功能以避免计算用于已经针对相同人员接收的每一个原始图像(或者其它种类的接收的数据集)的散列值。根据实施例，消息还包括指示接收数据集的时间瞬间、例如在充当传感器设备的相机取得图片时的时间瞬间的时间戳信息。这可以是有利的，因为时间戳允许用高时间分辨率跟踪可移动实体的移动。根据其中在消息中未包含时间戳信息的实施例，中央服务器可以将在中央服务器与每个传感器设备之间同步的时隙序列用于在更粗粒度的时间标度上跟踪可移动实体的移动，其中每个时间帧被视为一个时间瞬间。根据进一步的实施例，消息还包括可移动实体的停留时间。‘停留时间’是如下时间段，在该时间段期间观察可移动实体位于传感器设备覆盖的特定位置。停留时间由传感器设备自动确定。例如一些相机、例如SEKS204可以确定是否一个单人员或者两个不同人员依次驻留于相机前面、由此确定用于所述人员的停留时间。所述信息可以提高将由中央服务器的跟踪模块组装的跟踪路径的质量。根据实施例，该方法还包括以下步骤：在向中央服务器发送消息之前加密消息。这可以是有利的，因为提供额外安全水平用于在向服务器计算机发送期间保护散列值以避免未授权访问。根据实施例，散列函数是连续散列函数。使用连续散列函数是有利的，因为数据集和根据数据集得到的识别值即使在从同一人员取得数据集时仍然可以在不同传感器设备之间和/或在不同时间瞬间之间略微变化。这是因为人员相对于传感器设备的位置(距离和/或角度)、照度和其它因素可以变化。在一些情况下，传感器设备经由它的传感器单元仅部分接收数据集。传感器设备的处理器然后通过执行算法来完成部分收集的数据。例如可以详述三个象限取得的人类头部以计算完整的正面脸部图像。应当注意连续性通常被视为校验和、密码散列函数和其它有关概念的致命缺陷，因为所述散列函数提供的安全水平有缺陷。使用连续散列函数允许比较统计上相似的结果。然而在散列化之前使用修改函数提供充分安全性以便允许将连续散列函数用于提高在中央服务器计算机上操作的跟踪算法的准确性。根据实施例，散列函数是连续声学指纹算法。根据实施例，针对时隙序列中的在当前时隙之后的k个第二时隙，k为大于1的整数，该方法还包括以下步骤：-确定k个第二时隙中的一个时隙，确定的第二时隙直接在当前时隙之前；-提供其它第一数据，其它第一数据是所确定的第二时隙特有的并且在传感器设备之间被共享；-通过对识别数据应用修改函数来计算第二衍生识别数据，修改函数使用识别数据作为第一输入值并且使用提供的其它第一数据作为用于修改识别数据的第二输入值；-由所述第一传感器设备通过将第二衍生识别数据作为输入来计算第二散列值，第二散列值通过应用散列函数来计算；-在作为第一传感器设备的整体部分的存储介质上存储第一散列值和k个第二散列值中的每个第二散列值。优选地，所述存储介质是安全、例如加密或者以别的方式保护的存储介质。此外，可以在一个单消息内向中央服务器发送第一散列值和k个第二散列值中的每个散列值，消息指示已经根据同一接收的数据集推导的所述k个第二散列值。所述特征可以是有利的，因为对于同一数据集，可以计算多个(f*(k+1))个散列值，其中f是针对特定时隙计算的散列值的数目，假设所述数目对于所有时隙而言恒定。因此有可能相同传感器设备计算用于相同数据集的多个散列值。这允许路径组装模块发现跨越不同、通常相邻时隙的匹配。根据实施例，具体事件可以将重置向对应时隙分配的第一数据，从而已经用于先前时隙的第一数据在当前时隙中再次用作第一数据(然而必须保证在时隙系列的有效时间期间，时隙之一特有的每个第一数据是唯一的)。例如具体传感器设备接收数据集、在已经生成第一数据之后流逝预定义延迟时间或者在当天的具体时间可以触发重置。根据实施例，第一数据是第一随机数据，并且提供第一数据的步骤包括以下步骤：在第一传感器设备上执行随机函数；k个第二时隙之一的其它第一数据可以是第二随机数，并且提供其它第一数据的步骤可以包括以下步骤：由第一传感器设备执行随机函数。根据实施例，每个时隙特有的数据关于时隙序列的任何时隙特有的数据值是唯一的。这可以防止根据已经在不同时隙中接收的两个数据集生成相同散列值。根据实施例，随机函数与接收的数据集或者所述数据集的衍生值组合使用第一时隙的指示作为输入用于计算第一随机数据为唯一随机数。类似地，随机函数与接收的数据集或者所述数据集的衍生值组合使用第二时隙的指示作为输入用于计算第二随机数据作为唯一随机数。第一时隙或者第二时隙的指示可以例如是与当前日期或者被确保在时隙序列内唯一的任何其它数据组组合的所述时隙的开始或者结束时间。根据实施例，在第一时隙期间多次重复步骤c)-g)。所述特征可以是有利的，因为例如可以在所述时隙期间多次确定特定人员的位置、由此允许提交更大数目的散列值并且增加在接收消息的服务器上运行的路径组装算法的准确性。中央服务器在给定的时隙期间接收的散列值可以源于从相同或者从不同可移动实体收集的数据集。根据实施例，可以定期地、例如每5秒或者以事件驱动的方式、例如在传感器设备之一识别可移动实体时接收数据集。根据实施例，在第一时隙到期之后从任一传感器设备删除第一时隙特有的第一数据。在第一数据与中央服务器同步或者由中央服务器生成的情况下，也从中央服务器去除第一数据。因此保证即使在未授权主体将取回衍生识别数据的情况下仍然可以从未从衍生识别数据恢复识别值。从未有可能比较敏感生物数据，因为在使时隙之一特有的并且作为用于修改函数的第二输入而使用的数据值无效之前，接收的数据集从未在传感器设备以外可用。‘到期的’数据值是如下数据值，该数据值在已经将它用于计算衍生识别数据的传感器设备内或者以外不可用。由于已经针对相同可移动实体、但是基于不同第二输入值计算的两个衍生识别数据将返回不相似的衍生标识符值，所以通过从传感器设备删除第一数据来提供额外安全水平：即使在对传感器设备的未授权访问的情况下，除了最近时隙之外的所有时隙的第一数据被删除并且不能用于跟踪。通过在已经向服务器发送散列值之后从传感器设备也删除它们来提供进一步保护水平。根据实施例，可以在第一时隙到期时立即执行或者可以例如在1、2、…或者k个时隙的滑动窗到期之后删除时隙特有的数据的删除。发送基于多个不同时隙专属第一数据针对相同识别数据计算的散列值允许跨越时隙的扩展比较。根据另外的实施例，该计算机实现的方法包括：h)在第一时隙期间n次重复步骤c)至f)，n为大于2的整数，由此从可移动实体接收n个数据集并且针对所述n个接收的数据集中的每个接收的数据集并且针对第一时隙计算至少一个相应第一散列值，其中为了计算所述n个第一散列值中的每个第一散列值，使用分别接收的数据集作为输入；i)在第一传感器设备的存储介质上存储n个第一散列值中的每个第一散列值；j)所述第一传感器设备确定第一时隙已经到期；并且k)在所述确定时执行步骤g)，其中消息包括所述n个第一散列值。所述特征可以有利在于多个散列值允许在服务器侧上的高度地准确的路径组装而未向服务器发送敏感生物数据。通过从传感器设备删除散列值以防止散列值向可以暂时存储于传感器设备中的生物数据的未授权分配来增加安全水平。根据另外的实施例，该计算机实现的方法包括：针对j个时隙中的每个时隙重复步骤a)至g)，j为大于3的整数，由此接收用于j个时隙中的每个时隙的一个或者多个数据集并且计算用于所述j个时隙中的每个时隙的一个或者多个另外的散列值。为了计算相同时隙的每个另外的散列值，使用所述时隙特有的相同的第一数据。一个或者多个另外的散列值被存储于第一传感器设备的存储介质中。在已经发送针对j个时隙中的每个时隙创建的消息之后，删除已经针对m个最后时隙和在所述m个最后时隙之前的任何时隙计算的所有散列值。m是大于0并且小于j的整数。优选地，m是与3(m-1)个有效时隙的滑动窗对应的4。删除无效时隙、即至少与第m个时隙一样旧的时隙特有的所有散列和数据值。根据优选实施例，m-1个有效时隙构成有效时隙的滑动窗。可以根据每个个别使用情况场景的要求来选择数目m和每个时隙的持续时间。例如在预计顾客在商店中停留不久于2小时的情况下，优选地选择所述时间的一半(1小时)的时隙持续时间，滑动窗包括(m-1)＝3个有效时隙。根据更多实施例，该计算机实现的方法还包括以下步骤：由所述第一传感器设备确定用于接收的数据集的一个或者多个参数值。一个或者多个参数值在任何组合中选自于包括以下项的参数值组：·指示数据集何时被接收的时间瞬间的时间戳信息；·可移动实体的参数值，所述参数由第一传感器设备通过评估接收的数据集来自动导出；根据实施例，所述参数可以例如是而不限于在人的情况下的性别、种族群体、年龄范围等、在电子通行费系统的情况下的汽车类型等；·第一传感器设备的属性；所述性质可以例如是而不限于第一传感器设备的位置。发送的消息还包括一个或者多个确定的参数值。所述特征可以是有利的，因为这些附加参数可以允许接收消息的中央服务器自动确定是否在物理上可能或者合理的是特定人员已经在包括相同或者相似散列值的两个消息的时间戳给定的时间跨度内从第一传感器设备移向另一传感器设备。因此，在例如服务器上的路径组装模块将要向同一数据对象(代表相同人员)错误地分配从两个不同传感器设备接收的两个相似散列值的情况下，所述附加参数可以允许排除这样的分配，因为可能在物理上不可能让人员在给定的时间内从第一传感器设备移向第二传感器设备。两个散列值因此必须属于不同人员并且生成两个不同轨迹。根据实施例，提供第一数据的步骤包括以下步骤：由中央服务器生成随机数据；以及经由网络向一个或者多个传感器设备中的每个传感器设备发送所述随机数据。根据实施例，修改函数选自于包括以下函数的组：形态(morphing)函数、‘翘曲(warping)’函数；旋涡(swirl)函数或者任何其它图像失真函数；或者声学失真函数。在本领域中存在多个修改函数，并且所述函数可以个别或者相互在任何组合中用于计算衍生识别数据。根据实施例，一个或者多个可移动实体是人，一个或者多个传感器设备是相机，接收的数据集是由所述相机中的一个相机从至少一个人得到的图像，并且其中识别数据是所述至少一个人的脸部印记或者热印记。根据另外的实施例，一个或者多个可移动实体是人，一个或者多个传感器设备是麦克风，接收的数据集是所述麦克风中的一个麦克风从人中的一个人接收的语音，并且其中识别数据是所述人的语音概况。根据另外的实施例，一个或者多个可移动实体是车辆，一个或者多个传感器设备是相机或者雷达传感器，接收的数据集是车辆的编号牌的图像数据，并且在所述牌上指定的编号是所述汽车的识别数据。在另一方面中，本发明涉及一种用于跟踪一个或者多个可移动实体的计算机实现的方法，该方法包括：-由中央服务器从一个或者多个传感器设备中的第一传感器设备接收第一消息，第一消息包括第一散列值、所述第一传感器设备的标识符和第一时间戳信息；-评估第一传感器设备的标识符用于确定第一位置，第一位置是第一传感器设备的位置；-向第一数据对象分配第一位置和第一时间戳信息，第一数据对象代表一个或者多个可移动实体中的第一可移动实体；-由中央服务器从一个或者多个传感器设备中的第一传感器设备或者第二传感器设备接收至少一个第二消息，至少一个第二消息包括第二散列值、所述第一传感器设备或者第二传感器设备的第二标识符和第二时间戳信息；-评估第二标识符用于确定第二位置，第二位置是已经发送第二消息的第一传感器设备或者第二传感器设备的位置；-比较第一散列值与第二散列值以用于确定在第一散列值与第二散列值之间的相似程度；-在确定的相似程度低于阈值的情况下，向代表可移动实体中的第二可移动实体的第二数据对象分配第二位置和第二时间戳信息；-在确定的相似程度等于所述阈值或者高于所述阈值的情况下，向第一数据对象分配第二位置和第二时间戳信息；-在中央服务器的数据储存器中存储第一和/或第二数据对象、由此跟踪由第一可移动实体对象和/或第二可移动实体对象代表的可移动实体的移动。所述步骤优选地由在连接到一个或者多个传感器设备的中央服务器设备上运行的软件模块执行。存储的数据对象已经分配在接收的消息中包含的时间和位置信息并且可以经由唯一密钥来访问。根据优选实施例，在已经完成比较之后删除每个接收的消息中的散列值。因此，仅向数据对象分配并且存储接收的消息的位置和时间——根据一些实施例——以及对应消息已经接收的参数值(例如年龄群体、性别、停留时间、时间戳等、但是并非散列值)。根据实施例，中央服务器接收的消息包括多个散列值(例如第一散列值和k个第二散列值)，消息指示已经根据同一接收的数据集得出的所述散列值。由于针对相同可移动实体、但是基于不同时隙专属第一数据计算散列值，所以它们不相似、但是却基于所述显式指示来相互链接。这一指示可以用于将已经在不同时隙期间计算的不相似散列值链接在一起用于组装可移动实体之一的路径。根据实施例，第一消息包括第一消息包括多个参数值中的一个或者多个第一参数值。至少一个第二消息中的每个第二消息包括所述参数值中的一个或者多个第二参数值。执行比较还包括以下步骤：评估一个或者多个第一参数值和一个或者多个第二参数值；在对第一参数值和第二参数值的评估指示第一消息的参数源于可移动实体中的与至少一个第二消息的参数不同的另一可移动实体的情况下，即使在确定的相似程度高于阈值的情况下仍然向第二数据对象分配第二位置和第二时间戳信息。所述特征可以有利在于可以通过评估移动实体在给定的时间段中从第一传感器向第二传感器的对应移动的合理性和物理可行性来防止第一传感器和第二传感器设备的位置向相同数据对象的错误分配。根据实施例，可以使用各种外部和服务器系统内部数据源作为输入用于评估在接收的消息中包含的参数值和其它数据值用于确定两个消息指示相同可移动实体的合理性。例如可以取回包括锁定和解锁门规范的大楼规划作为外部数据并且在评估时使用这些大楼规划。在从其接收第一消息和第二消息的两个传感器设备由锁定门分离时并且在接收两个消息之间的时间太短以至于未允许可移动实体进行绕道以从第一传感器设备移向第二传感器设备(时间可能在解锁门的情况下已经充足)的情况下，可以确定第一消息和第二消息中的散列值不能源于相同可移动实体。因此可以使用提供对可移动实体自由移动的一些约束(关于时间方面、例如所述实体的最大可能移动速度和/或空间方面、比如大楼规划、街道地图等)的任一种数据作为附加输入用于评估两个不同消息的散列值指示相同可移动实体的合理性。在另一方面中，本发明涉及一种包括计算机可解译指令的计算机可读存储介质，这些计算机可解译指令在由处理器执行时使处理器执行根据上述实施例中的任一实施例的方法。在另一方面中，本发明涉及一种用于跟踪至少一个可移动实体的传感器设备，该传感器设备包括：-时钟，用于确定当前时间，当前时间落在第一时隙内，第一时隙是时隙系列中的一个时隙之一，时钟适于将同步时钟与一个或者多个另外的更多传感器设备的时钟同步；-控制器模块，适于：与所有其它传感器设备共享时隙序列；以及提供第一数据，第一数据是第一时隙特有的并且在传感器设备的所有其它第一时隙之间被共享；-第一接口，适于接收数据集，数据集是从至少一个可移动实体接收的；-计算单元，计算单元适于：ο根据接收的数据集计算识别数据，以用于借助于所述识别数据识别至少一个实体；ο通过对识别数据应用修改函数来计算衍生识别数据，修改函数使用识别数据作为第一输入值并且使用提供的第一数据作为用于修改识别数据的第二输入值；以及并且ο通过将衍生识别数据作为输入来计算第一散列值，第一散列值通过应用散列函数来计算；-第二接口，适于从第一传感器设备向用于指示至少一个可移动实体的位置的中央服务器发送消息，消息包括散列值和第一传感器设备的标识符。在另一方面中，本发明涉及一种计算机系统，该计算机系统包括：-中央服务器，中央服务器包括：·数据储存器；·第一接口，适于从一个或者多个传感器设备中的第一传感器设备接收第一消息，第一消息包括第一散列值和所述第一传感器设备的标识符，第一消息包括第一时间戳信息；·路径组装模块，路径组装模块适于：ο评估第一传感器设备的标识符以用于确定第一位置，第一位置是第一传感器设备的位置；ο向第一数据对象分配第一位置和第一时间戳信息，第一数据对象代表一个或者多个可移动实体中的第一可移动实体；ο由中央服务器从一个或者多个传感器设备中的第一传感器设备或者第二传感器设备接收至少一个第二消息，至少一个第二消息包括第二散列值和所述第一传感器设备或者第二传感器设备的第二标识符，至少一个第二消息包括第二时间戳信息；ο评估第二标识符以用于确定第二位置，第二位置是已经发送第二消息的第一传感器设备或者第二传感器设备的位置；ο比较第一散列值与第二散列值以用于确定在第一散列值与第二散列值之间的相似程度；ο在确定的相似程度低于阈值的情况下，创建代表可移动实体中的第二可移动实体的第二数据对象，并且向第二数据对象分配第二位置和第二时间戳信息；ο在确定的相似程度等于或者高于所述阈值的情况下，向第一数据对象分配第二位置和第二时间戳信息；以及ο在中央服务器的数据储存器中存储第一数据对象和/或第二数据对象、由此跟踪由所述第一数据对象和/或第二数据对象代表的可移动实体的移动。根据另外的实施例，中央服务器接收的组装路径和/或散列值可以例如由在中央服务器上运行的路径评估模块用于各种目的。根据一个实施例，组织、例如商场可以将一个或者多个第一传感器设备定位于电梯的入口内或者旁边并且可以将一个或者多个第二传感器设备定位于扶梯的入口内或者旁边。第三传感器设备可以定位于商场以外用于取得观看在商场的橱窗中呈现的广告的路人的图像。路径评估模块可以评估路径组装模块提供的人员的一个或者多个路径以确定是否和哪一种人员(男性、旅行、年龄群体)在已经观看橱窗中的广告之后进入商场。路径评估模块可以确定进入商场并且使用电梯的所述人员的部分是否比使用扶梯的人员部分更快到达广告商品。附图说明在下文中，将参照以下附图仅通过示例更具体描述本发明的优选实施例：图1是一个实施例的步骤的流程图，图2是示出了连接到3个传感器设备的中央服务器计算机的框图，并且图3是更具体示出了传感器设备之一及其部件的框图。具体实施方式在下文中，图中的相似标号的单元是相似单元或者执行等效功能。如果功能等效，则将不必在以后的图中讨论先前已经讨论的单元。图1示出了将由如图2和图3中描绘的传感器设备205.1、205.2或者205.3执行的方法。在第一确定步骤101中，传感器、例如相机借助时钟确定当前时间。时钟可以是内部时钟或者可以是向每个传感器设备连续发送同步时间信号的中央服务器计算机200提供的功能。传感器设备的时钟确定的当前时间落在第一时隙内。时隙属于时隙系列。这一时隙系列由所有传感器设备共享。这意味着每个时隙的开始和结束与其它传感器设备之一管理的对应时隙系列的对应时隙的开始和结束相同。在提供步骤102中，传感器设备提供第一时隙(当前时隙)特有的第一数据，所述第一数据在所有传感器设备的所有第一时隙之间被共享。例如所述数据可以由所述传感器设备生成并且向所有其它传感器设备发送用于使用发送的数据作为所有传感器设备共享的时隙系列的对应第一时隙的第一数据。在接收步骤103中，从至少一个可移动实体接收数据集。接收的数据集可以例如是相机从人类的脸部取得的图像数据。在步骤104中，传感器设备根据接收的数据集计算识别数据用于借助所述识别数据识别至少一个可移动实体。例如通过评估人脸的一些有特性区域的参数、例如在双眼之间的距离、鼻子的大小和位置等，根据原先接收的图像数据计算脸部印记。脸部印记仍然包括用于识别一个个别人员的足够信息。因此，原先接收的第一数据和根据该第一数据计算的脸部印记是需要保护的生物数据。在进一步计算步骤105中，通过对识别数据应用修改函数来计算衍生识别数据。由此，修改函数使用第一时隙特有的第一数据(例如随机数)以修改识别数据用于生成衍生识别数据。假如所述随机数已知，则衍生识别数据可以仍然包括用于识别从其收集生物数据的人员的足够信息。在第三计算步骤106中，传感器设备通过对衍生识别数据应用连续散列函数来计算第一散列值。计算的散列值未包括可以从其恢复原生物数据的或者以别的方式用来识别所述人员的任何信息。在发送步骤107中，从传感器设备向中央服务器计算机200发送消息用于确定从其接收数据集的至少一个可移动实体、例如所述人员的位置。消息包括散列值和传感器设备的标识符。由于散列值未提供允许识别人员的任何信息，所以经由网络向中央计算机系统发送散列值未违反数据保护规则。图2示出了包括处理器202、存储器203和时钟220的中央服务器计算机200。中央服务器计算机200还包括存储介质204，该存储介质包括用于提供多个模块的计算机可解译指令。解密模块212可操作用于经由网络209从传感器设备205.1-205.3之一接收消息并且解密所述消息的内容。随机模块222可以生成用于在传感器设备之间同步的时隙之间的每个时隙的唯一随机数据并且经由网络向每个传感器设备发送所述随机数据。根据如例如图3中所示其它实施例，随机模块可以备选地是每个传感器设备的部件。在任何情况下，必要的是保证在所有传感器设备之间同步所生成的随机数据。同步可以由同步模块221执行，该同步模块可以向所有传感器设备发送随机模块222生成的唯一随机数。路径组装模块208可以从多个传感器设备205.1-205.3接收多个消息，每个消息包括发送传感器设备的标识符和连续散列函数生成的一个或者多个散列值。路径组装模块208比较已经从传感器设备中的一个或者多个传感器设备接收的散列值并且相互比较接收的散列值以便确定具有高相似度的散列值。具有高相似度的散列值被视为已经从相同人员之一导出的散列值并且相应地映射到代表所述人员的一个单数据对象。每个消息附加地可以包括时间戳，该时间戳指示拍摄图像的时间、传感器设备之一发送消息的时间或者中央服务器计算机接收消息的时间。因此，通过比较消息的散列值并且通过评估在接收的消息中包含的时间戳，路径组装模块208可操作用于确定与特定散列值对应的特定人员在相机205.1-205.3之一拍摄图像(以及对应脸部印记和散列值)时的瞬间在哪个位置(在多个相机中的哪个相机)。因此，路径组装模块可以组装人员从一个相机监控的区域向提供双镜头(binocular)相机的另一区域移动的路径。所述路径出于各种目的而由路径评估模块207评估。例如运动路径可以用于确定观看商店橱窗中的广告的特定人员是否确实走向包括广告商品的商店的货架。路径评估模块可以可操作用于确定特定人员是否在商店的橱窗前面停留最小时间段观看广告。该人员的移动路径可以在运行时间用于例如在所述人员进入商店并且经过广告屏幕时放映用于与在运行时间内在橱窗中观看的商品相同或者相似的商品的广告。除此之外或者备选地，所述屏幕可以向所述人员显示信息、比如商店中的所述广告商品的位置和/或价格。传感器设备205.1-205.3中的每个传感器设备包括存储介质206.1-206.3。图2中描绘的传感器设备可以是可操作用于拍摄人员213的脸部图像的相机。在第一时间瞬间，人员213可以站在传感器设备205.1前面。然后，人员可以改变它的位置并且然后如人员的虚线廓影213’所示停留于传感器设备205.2前面。图3更具体示出了传感器设备205.2。传感器设备可以是初始化成生成与时隙分别对应的伪随机数序列的相机、例如SEKS204型相机，伪随机数和时隙由所有相机共享。每个传感器设备包括用于处理向存储介质206.2存储的程序逻辑304的处理器301。传感器设备还包括用于确定当前时间的时钟302。程序逻辑304包括用于生成将经由网络209向中央服务器计算机200发送的消息的多个功能模块。网络通信可以例如基于XML-IP以太网协议。程序逻辑304经由图像接口310接收相机拍摄的图像。图像可以包括生物数据、例如人类个体213的脸部的图像。属于计算模块320的脸部印记模块309取得脸部的图像作为用于生成脸部印记的输入(脸部印记是识别数据的一个示例)。脸部印记包括关于人类个体脸部的特定特征和图案的信息并且可以用于识别所述人员。它包括比原始图像更少的数据，但是它仍然是以需要被保护以免未授权访问的生物数据的形式。修改函数模块308对模块309生成的脸部印记应用修改函数。修改函数使用时隙序列的当前时隙特有的第一数据值以便创建衍生的脸部印记(衍生识别数据)。因此基于当前时隙特有的第一数据值计算衍生脸部印记。一旦所述第一数据值无效，不可能从衍生脸部印记恢复原脸部印记。只要所述第一数据值有效并且假如所述数据值和对应时隙由所有传感器设备共享，不同相机取得的同一人员的衍生脸部印记彼此相同或者至少高度地相似。一旦所述数据值无效，不再可能恢复原始脸部印记。同步模块306(即控制模块321的部件)可以通过发送和接收响应同步信号在所有传感器设备之间同步当前时间和/或每个时隙特有的数据值。散列函数模块307对个人213的衍生脸部印记应用连续散列化函数、由此计算散列值。加密模块305在经由网络209通过接口311向中央服务器计算机200发送所述散列值作为消息的部分之前加密所述散列值。