用于允许防推断攻击的隐私保护实时服务的系统和方法与流程

一个或多个实施例一般地涉及隐私保护，具体地涉及用于允许防推断攻击的隐私保护实时服务的系统和方法。

背景技术：

服务提供者向用户提供各种实时服务。实时服务的示例包括个性化服务，诸如智能助理、定向广告、媒体流等。提供给用户的个性化服务可以基于与用户有关的数据(“用户数据”)。通常，服务提供者需要大量的用户数据以便向用户提供高质量的个性化服务。

例如，诸如移动电话机和物联网(iot)设备的电子设备监测并收集实时设备感测数据，将该实时设备感测数据发布给服务提供者，并且从服务提供者接收个性化服务。用户可以选择要发布给服务提供者的用户数据的类型(例如，被认为具有低隐私风险或没有隐私风险的用户数据)；遗憾的是，可以从甚至被认为具有低隐私风险或没有隐私风险的用户数据推断私密用户数据。

传统上，用户依靠服务提供者来保护他们的私密用户数据。然而，由于大量的数据突破和黑客攻击导致私密用户数据的发布(例如，恶意攻击者故意侵入云计算环境或与服务提供者相关联的服务器以窃取由该服务提供者维护的私密用户数据)，用户对数据隐私的担忧近年来已逐步升级。此外，恶意攻击者还可能窃听被提供给服务提供者的用户数据(例如，被认为具有低隐私风险或没有隐私风险的用户数据)，并且从所提供的用户数据推断私密用户数据。因此，具有新解决方案使得用户不必完全地依靠服务提供者来保护他们的私密用户数据将是有利的。

鉴于用户对数据隐私的关注增加以及与数据隐私有关的政府管制加严，保护数据隐私并且给用户提供对其私密用户数据的更多控制的技术是所期望的。例如，期望电子设备对实时设备感测数据应用数据失真并且将已失真的实时设备感测数据发布给服务提供者，使得不能从已失真的实时设备感测数据推断私密用户数据；此外，应用于实时设备感测数据的数据失真的程度/等级不应当损害从服务提供者接收的个性化服务的质量。

技术实现要素：

问题的解决方案

一个实施例提供一种方法，所述方法包括：接收标识要保护的至少一种类型的隐私敏感数据的一般私密数据；收集至少一种类型的实时数据；以及确定与将所述至少一种类型的实时数据发送到第二设备相关联的推断隐私风险等级。所述推断隐私风险等级指示从发送所述至少一种类型的实时数据推断所述一般私密数据的风险的程度。所述方法还包括：在将所述至少一种类型的实时数据发送到所述第二设备之前，基于所述推断隐私风险等级而使所述至少一种类型的实时数据的至少一部分失真。

附图说明

从以下结合附图对示例性实施例的描述，以上及其它方面将变得显而易见且更容易理解，在附图中：

图1例示了示例数据突破；

图2例示了在一个或多个实施例中的包括设备上通用隐私控制管理器的示例电子设备；

图3a详细地例示了在一个或多个实施例中的示例隐私控制管理器；

图3b例示了在一个或多个实施例中的由第一用户界面单元生成的示例用户界面；

图3c例示了在一个或多个实施例中的由第二用户界面单元生成的示例用户界面；

图4详细地例示了在一个或多个实施例中的示例隐私风险分析单元；

图5详细地例示了在一个或多个实施例中的示例数据失真单元；

图6详细地例示了在一个或多个实施例中的示例数据失真引擎；

图7例示了在一个或多个实施例中的由隐私控制管理器生成的第一示例用户界面；

图8例示了在一个或多个实施例中的由隐私控制管理器生成的第二示例用户界面；

图9例示了在一个或多个实施例中的由隐私控制管理器生成的第三示例用户界面；

图10是在一个或多个实施例中，在第一设备上执行以基于自动推断风险评估和数据失真而提供对一般私密数据的数据隐私保护的过程的示例流程图；以及

图11是示出了包括可用于实现所公开的实施例的计算机系统的信息处理系统的高级框图。

实施发明的最佳方式

一个实施例提供一种方法，所述方法包括：接收标识要保护的至少一种类型的隐私敏感数据的一般私密数据；收集至少一种类型的实时数据；以及确定与将所述至少一种类型的实时数据发送到第二设备相关联的推断隐私风险等级。所述推断隐私风险等级指示从发送所述至少一种类型的实时数据推断所述一般私密数据的风险的程度。所述方法还包括：在将所述至少一种类型的实时数据发送到所述第二设备之前，基于所述推断隐私风险等级而使所述至少一种类型的实时数据的至少一部分失真。

所述至少一种类型的隐私敏感数据可以包括以下信息中的至少一种：种族出身、民族出身、一种或多种政治观点、一种或多种宗教信仰、一种或多种哲学信仰、一种或多种健康状况、年龄和性别。

所述推断隐私风险等级部分地基于对于所述至少一种类型的隐私敏感数据的至少一个指定的隐私关注等级。

所述方法还包括维护风险评估模型，并且所述推断隐私风险等级还部分地基于所述风险评估模型。

所述第二设备可以是服务提供者。

所述方法还包括：运行与所述服务提供者相关联的应用；确定所述至少一种类型的实时数据中的哪一种由所述应用请求；在第一设备的显示器上提供界面，其中，所述界面包括标识由所述应用请求的每种类型的实时数据的列表；以及经由所述用户界面接收为由所述应用请求的每种类型的实时数据指定的隐私关注等级，其中，所述推断隐私风险等级还部分地基于对于由所述应用请求的每种类型的实时数据的每个指定的隐私关注等级。

所述方法还包括基于从服务器接收到的一个或多个更新来更新所述风险评估模型。

另一实施例提供一种系统，所述系统包括：至少一个传感器，所述至少一个传感器被配置为收集至少一种类型的实时数据；一个或多个处理器；以及存储指令的存储设备，所述指令当由所述一个或多个处理器执行时使所述一个或多个处理器执行操作。所述操作包括：接收标识要保护的至少一种类型的隐私敏感数据的一般私密数据；以及确定与将所述至少一种类型的实时数据发送到第一设备相关联的推断隐私风险等级。所述推断隐私风险等级指示从发送所述至少一种类型的实时数据推断所述一般私密数据的风险的程度。所述操作还包括：在将所述至少一种类型的实时数据发送到所述第一设备之前，基于所述推断隐私风险等级而使所述至少一种类型的实时数据的至少一部分失真。

所述第一设备可以包括下列中的一种：智能手机、移动平板计算机、计算机、膝上型计算机、智能电视机或移动智能手表。

一个实施例提供一种非暂时性计算机可读存储介质，所述非暂时性计算机可读存储介质包括用于执行方法的指令，所述方法包括：接收标识要保护的至少一种类型的隐私敏感数据的一般私密数据；收集至少一种类型的实时数据；以及确定与将所述至少一种类型的实时数据发送到第二设备相关联的推断隐私风险等级。所述推断隐私风险等级指示从发送所述至少一种类型的实时数据推断所述一般私密数据的风险的程度。所述方法还包括：在将所述至少一种类型的实时数据发送到所述第二设备之前，基于所述推断隐私风险等级而使所述至少一种类型的实时数据的至少一部分失真。

参考以下描述、所附权利要求和附图，一个或多个实施例的这些及其它特征、方面和优点将被理解。

具体实施方式

以下描述是为了例示一个或多个实施例的一般原理而作出的，并不旨在限制本文所要求保护的发明构思。此外，本文所描述的特定特征可按照各种可能的组合和排列中的每一种与其它描述的特征相结合地使用。除非本文另有明确定义，所有术语要被赋予其最宽的可能解释，包括从本说明书暗示的含义以及由本领域的技术人员理解的和/或如词典、论文等中所定义的含义。

一个或多个实施例一般地涉及隐私保护，具体地涉及防推断攻击的隐私保护实时服务。一个实施例提供一种方法，所述方法包括：接收标识要保护的至少一种类型的隐私敏感数据的一般私密数据；收集至少一种类型的实时数据；以及确定与将所述至少一种类型的实时数据发送到第二设备相关联的推断隐私风险等级。所述推断隐私风险等级指示从发送所述至少一种类型的实时数据推断所述一般私密数据的风险的程度。所述方法还包括：在将所述至少一种类型的实时数据发送到所述第二设备之前，基于所述推断隐私风险等级而使所述至少一种类型的实时数据的至少一部分失真。

另一实施例提供一种系统，所述系统包括：至少一个传感器，所述至少一个传感器被配置为收集至少一种类型的实时数据；一个或多个处理器；以及存储指令的数据存储设备，所述指令当由所述一个或多个处理器执行时使所述一个或多个处理器执行操作。所述操作包括：接收标识要保护的至少一种类型的隐私敏感数据的一般私密数据；以及确定与将所述至少一种类型的实时数据发送到第一设备相关联的推断隐私风险等级。所述推断隐私风险等级指示从发送所述至少一种类型的实时数据推断所述一般私密数据的风险的程度。所述操作还包括：在将所述至少一种类型的实时数据发送到所述第一设备之前，基于所述推断隐私风险等级而使所述至少一种类型的实时数据的至少一部分失真。

一个实施例提供一种非暂时性计算机可读存储介质，所述非暂时性计算机可读存储介质包括用于执行方法的指令，所述方法包括：接收标识要保护的至少一种类型的隐私敏感数据的一般私密数据；收集至少一种类型的实时数据；以及确定与将所述至少一种类型的实时数据发送到第二设备相关联的推断隐私风险等级。所述推断隐私风险等级指示从发送所述至少一种类型的实时数据推断所述一般私密数据的风险的程度。所述方法还包括：在将所述至少一种类型的实时数据发送到所述第二设备之前，基于所述推断隐私风险等级而使所述至少一种类型的实时数据的至少一部分失真。

在本说明书中，如本文所使用的术语“实时设备感测数据”一般地指一种或多种类型的由电子设备监测和收集的实时设备上数据。实时设备感测数据是电子设备(即，监测并收集实时设备感测数据的电子设备)特定的。由电子设备监测和收集的实时设备感测数据的示例可以包括传感器数据、位置数据等。在本说明书中，术语“实时设备感测数据”和“实时数据”可以互换地使用。

在本说明书中，如本文所使用的术语“一般私密数据”一般地指一种或多种类型的不是任何电子设备特定的数据(即，不必由电子设备监测和收集的数据)。一般私密数据可以包括与用户相关联的私密用户数据，诸如种族或民族出身、政治观点、宗教或哲学信仰、健康状况、年龄、性别等。可以从实时设备感测数据推断一般私密数据。

在本说明书中，如本文所使用的术语“隐私风险”表示从发送至少一种类型的实时数据推断一般私密数据的风险的程度。在本说明书中，术语“隐私风险”和“推断隐私风险等级”可以互换地使用。

在本说明书中，如本文所使用的术语“失真”和“数据失真”表示当被应用于数据时将数据从第一形式操纵/变换为第二形式的数据处理技术；所应用的数据处理技术不必涉及数据加密。

图1例示了示例数据突破。与用户30相关联的电子设备50可以通过连接(例如，无线连接、有线连接或两者的组合)与远程服务提供者100交换数据。例如，为了从远程服务提供者100接收个性化服务，电子设备50可以通过该连接向远程服务提供者100发布与用户30相关联的实时数据。

所发布的用户数据的数据隐私可能被以多种方式损害。例如，未经授权的第三方40(例如，恶意攻击者)可以在该连接上窃听，并且启动从通过该连接发布的用户数据推断与用户30有关的一般私密数据的推断攻击。作为另一个示例，未经授权的第三方40可以非法地侵入远程服务提供者100的远程服务器或云计算环境，并且导致数据泄露；可以从数据泄露推断与用户30有关的一般私密数据。

常规的数据隐私保护技术假定与数据突破相关联的隐私风险是给定的。这些技术没有考虑用户为不同类型的用户数据指定的隐私关注等级。此外，常规的数据隐私保护技术不普遍地适用于不同的应用和/或服务。

图2例示了在一个或多个实施例中的包括设备上通用隐私控制管理器250的示例电子设备50。电子设备50被配置为通过连接(例如，无线连接、有线连接或两者的组合)与一个或多个远程服务提供者100交换数据。

如本文稍后详细描述的，隐私控制管理器250被配置为：(1)提供允许用户30提供用户输入的一个或多个用户界面，该用户输入为一种或多种类型的实时设备感测数据指定一个或多个隐私关注等级；(2)提供允许用户30提供用户输入的一个或多个用户界面，该用户输入为一般私密数据指定一个或多个隐私关注等级；(3)执行一个或多个自动推断风险评估，以识别与向远程服务提供者100发布一种或多种类型的实时设备感测数据相关联的一种或多种隐私风险；(4)提供向用户30通知与向远程服务提供者100发布一种或多种类型的实时设备感测数据相关联的一种或多种隐私风险的一个或多个用户界面；以及(5)对由远程服务提供者100请求的一种或多种类型的实时设备感测数据执行一个或多个数据失真，其中失真数据被发布给远程服务提供者100。远程服务提供者100只能看到失真数据；不能从失真数据推断一般私密数据。隐私控制管理器250被配置为执行以上提及的特征中的一个或全部。

远程服务提供者100可能不知道它从电子设备50接收到的数据失真了。远程服务提供者100维护模型(例如，服务提供者模型353)，该模型将从电子设备50接收到的数据映射到服务以作为回报提供给电子设备50。

隐私控制管理器250提供用于保护在电子设备50与远程服务提供者之间交换的数据的统一框架。隐私控制管理器250可以被集成到不同类型的电子设备50，诸如智能手机、物联网(iot)设备、智能电视机等。隐私控制管理器250与不同类型的远程服务提供者100兼容，不要求在远程服务提供者100处进行任何改变。隐私控制管理器250适合于与不同的应用和/或服务(例如，健康与健身应用、社交服务、旅行应用等)一起使用。

隐私控制管理器250被配置为保护由电子设备50监测和/或收集的不同类型的实时设备感测数据(例如，由iot设备为保健服务而收集的传感器数据、由智能手机为兴趣点(poi)推荐而收集的位置数据、由智能电视机为电视/电影推荐和/或广告服务而收集的电视/电影数据)。

隐私控制管理器250采用不可信的服务器设置，其中使由电子设备50收集的一种或多种类型的实时设备感测数据，在该数据被发布给远程服务提供者100之前在电子设备50上失真(即，扰乱和/或匿名)。在一个实施例中，在发布之前使实时设备感测数据失真可以打断实时设备感测数据与一般私密数据之间的相关性，使得不能从已失真的实时设备感测数据推断一般私密数据。

隐私控制管理器250基于自动推断风险评估和数据失真，提供对一般私密数据的连续数据隐私保护；基于与服务提供者100相关联的变化(例如，提供更新的服务、向服务提供者100请求更多信息等)以及对所发布的失真数据的分析、所接收到的服务的质量等，随着时间而更新风险评估和数据失真。隐私控制管理器250使电子设备50的用户30对隐私关注等级更加安心。

例如，当远程服务提供者100向电子设备50请求一种或多种类型的实时设备感测数据时，隐私控制管理器250被调用来识别与将所请求的数据发布给远程服务提供者100相关联的一种或多种隐私风险。隐私控制管理器250基于所识别的隐私风险而使所请求的数据的至少一部分失真，并且将失真数据发布给远程服务提供者100。发布失真数据保护数据隐私；此外，所请求的数据的失真程度不损害从远程服务提供者100接收到的服务的质量。

电子设备50还包括显示器240。在一个实施例中，显示器240包括被配置用于显示视频、图形、文本和其它数据类型的电子显示设备602(图11)。显示器240被配置为显示由隐私控制管理器250提供的一个或多个用户界面。

电子客户端设备50还包括一个或多个输入/输出(i/o)单元270。在一个实施例中，i/o单元270包括至少一个用户接口设备606(图11)，诸如键盘、触摸屏、小键盘、指点设备、鼠标等。用户30可以经由i/o单元270录入/指定输入。

电子客户端设备50还包括一个或多个存储单元220。在一个实施例中，存储单元220包括存储设备604(图11)(例如，作为硬盘驱动器)和/或可移动存储设备605(例如，可移动存储驱动器、可移动存储器模块、磁带驱动器、光盘驱动器、在其中存储有计算机软件和/或数据的计算机可读介质)。存储单元220维护一个或多个数据库，诸如包括由电子客户端设备50收集的实时设备感测数据的第一数据库221以及包括一般私密数据的第二数据库222。如本文稍后详细描述的，存储单元220还维护全面风险分析模型331(图4)和推断模型332(图4)。

在一个实施例中，在数据库222上维护的一般私密数据是经由一种或多种类型的用户输入(诸如音频输入、文本输入、手势输入、用户从下拉式列表中的选择、自由形式输入等)获得的。在一个实施例中，一般私密数据是基于公开可用数据(例如，公布的研究或调查等)而脱机学习来的。在另一实施例中，一般私密数据是基于推断模型(例如，图4中的推断模型332)和/或使用电子设备50(特别是输入和输出)在设备上学习来的。在又一个实施例中，一般私密数据是从与电子设备50有关的系统默认信息获得的。与电子设备50有关的系统默认信息可以包括设备50的一个或多个设备特征，诸如设备50的媒体访问控制地址(mac地址)。在一个实施例中，电子设备50维护与一般私密数据相关联的隐私模型333(图4)。

在一个实施例中，一个或多个应用260驻留在电子设备50上。每个应用260与特定远程服务提供者100相关联；可以调用应用260来请求由远程服务提供者100提供的一种或多种服务。

电子设备50还包括一个或多个传感器230。每个传感器230被配置为监测并收集特定类型的实时设备感测数据。每个传感器230或是硬件传感器或是软件传感器。硬件传感器的示例包括惯性传感器、磁传感器、气压计、wifi传感器、蓝牙传感器、gps、话筒等。软件传感器的示例包括被配置用于下列中的一种或多种的软件应用：记录经由电子设备50执行的联机搜索的搜索历史、记录驻留在电子设备50上的其它软件应用(例如，购物应用、移动支付应用等)的使用、记录在电子设备50上利用的浏览器的浏览器历史等。

例如，如果电子设备50是iot设备，则实时设备感测数据包括传感器数据(例如，标识情境信息(诸如温度等)的数据)。作为另一个示例，如果电子设备50是智能手机，则实时设备感测数据包括位置数据(例如，标识智能手机的一个或多个位置轨迹的数据)。作为又一个示例，如果电子设备50是智能电视机，则实时设备感测数据包括电视/电影数据(例如，标识在智能电视机上观看的一个或多个电视节目/电影的数据)。

如本文稍后详细描述的，电子设备50还被配置为从服务器210接收新的或更新的风险分析推断模型；该风险分析推断模型用于识别与向远程服务提供者100发布一种或多种类型的实时设备感测数据相关联的一种或多种隐私风险。

隐私控制管理器250减轻用户管理数据隐私的负担，并且允许电子设备50与远程服务提供者100之间的无缝信息共享，而不损害数据隐私和从远程服务提供者100接收到的服务的质量两者。

图3a详细地例示了在一个或多个实施例中的示例隐私控制管理器250。隐私控制管理器250包括第一用户界面单元320。第一用户界面单元320是被配置为生成至少一个用户界面的软件组件，所述至少一个用户界面允许用户30提供为一般私密数据指定一个或多个隐私关注等级的用户输入。

隐私控制管理器250还包括第二用户界面单元310，第二用户界面单元310被配置为基于与远程服务提供者100有关的信息，确定由服务提供者100请求的一种或多种类型的实时设备感测数据。例如，可以从自远程服务提供者100下载的服务提供者描述中获得与远程服务提供者100有关的信息。该服务提供者描述标识可能由远程服务提供者100为了提供个性化服务而请求的实时设备感测数据。作为另一个示例，可以从对与远程服务提供者100相关联的应用260的应用代码的代码分析获得与远程服务提供者100有关的信息。例如，如果应用260是健康应用，则对该健康应用的应用代码的代码分析可以识别一个或多个数据访问以获得实时设备感测数据，诸如bmi等。第二用户界面单元310还被配置为生成至少一个用户界面，所述至少一个用户界面标识所请求的每种类型的实时设备感测数据，并且允许用户30提供为所请求的每种类型的实时设备感测数据指定对应的隐私关注等级的用户输入。

隐私控制管理器250还包括隐私风险分析单元330，隐私风险分析单元330被配置为执行一个或多个自动推断风险评估，以识别与将所请求的数据发布给远程服务提供者100相关联的一种或多种隐私风险。该风险评估基于以下各项：对于一般私密数据的隐私关注等级、对于所请求的每种类型的实时设备感测数据的各自隐私关注等级、一般私密数据以及所请求的每种类型的实时设备感测数据。

隐私控制管理器250还包括通知单元340，通知单元340被配置为确定所识别的隐私风险是否超过预定的阈值。响应于确定所识别的隐私风险超过预定的阈值，通知单元340还被配置为生成向用户30通知所识别的隐私风险的通知。该通知还提示用户30选择下列两个选项之一：(1)在不使所请求的数据失真的情况下将所请求的数据发布给远程服务提供者100；或者(2)对所请求的数据应用一个或多个数据失真，并且将失真数据发布给远程服务提供者100。如果没有超过预定的阈值，则可以在没有数据失真的情况下将所请求的数据发布给服务提供者100。

通知单元340还被配置为生成向用户30通知一个或多个变化的通知，所述变化诸如当更多数据被发布时的隐私风险变化、由服务提供者100提供的新的或更新的服务(例如，服务提供者100请求更多数据)、与服务提供者100相关联的新的或更新的应用260等。

隐私控制管理器250还包括数据失真单元350。如果用户30选择对所请求的数据应用一个或多个数据失真，则数据失真单元350被调用来对所请求的数据执行数据失真。失真数据然后被发布给远程服务提供者100。该数据失真基于以下各项：所识别的隐私风险、一般私密数据以及所请求的每种类型的实时设备感测数据。数据失真单元350被配置为使所请求的数据失真，使得不能从失真数据推断一般私密数据。

图3b例示了在一个或多个实施例中的由第一用户界面单元320生成的示例用户界面411。用户界面411允许用户30提供为一种或多种类型的一般私密数据(诸如，年龄、性别等)指定一个或多个隐私关注等级的用户输入。例如，如图3b中所示，对于每种类型的一般私密数据，用户30可以通过选择或“私密”复选框或“非私密”复选框来指定对应的隐私关注等级。本发明不限于图3b中所示的用户界面411；其它类型的用户界面可以由第一用户界面单元320生成。

图3c例示了在一个或多个实施例中的由第二用户界面单元310生成的示例用户界面412。用户界面412允许用户30提供为由应用260请求的一种或多种类型的实时设备感测数据(诸如血糖水平、血压等)指定一个或多个隐私关注等级的用户输入。例如，如图3c中所示，对于所请求的每种类型的实时设备感测数据，用户30可以通过选择或“私密”复选框或“非私密”复选框来指定对应的隐私关注等级。本发明不限于图3c中所示的用户界面412；其它类型的用户界面可以由第二用户界面单元310生成。

图4详细地例示了在一个或多个实施例中的示例隐私风险分析单元330。隐私风险分析单元330被配置为评估从发布给远程服务提供者100的实时设备感测数据推断一般私密数据的隐私风险。

在本说明书中，如本文所使用的术语“噪声数据”表示不能被机器正确地理解和解释的无意义数据，诸如非结构化文本。

隐私风险分析单元330包括全面风险分析推断模型331。全面风险分析推断模型331是基于来自多个用户30的数据而脱机学习来的；来自多个用户30的数据可以包括全面风险分析推断模型331被训练以忽略的噪声数据样本。

在一个实施例中，电子设备50被预加载有全面风险分析推断模型331。在另一实施例中，通过从远程服务器210下载全面风险分析推断模型331的最新型式，将全面风险分析推断模型331周期性地加载到电子设备50上。可以基于从多个用户30接收到的最新数据，在远程服务器210上周期性地脱机训练全面风险分析推断模型331。

隐私风险分析单元330还包括截取风险分析推断模型332。截取风险分析推断模型332表示全面风险分析推断模型331的简化型式。隐私风险分析单元330基于截取风险分析推断模型332执行风险评估。

在一个实施例中，为获得截取风险分析推断模型332而对全面风险分析模型331应用设备上简化的程度基于对于一般私密数据的隐私关注等级。

在本说明书中，如本文所使用的术语“一类应用”表示一个或多个应用260，其中一个或多个应用260是相关的(例如，一个或多个健康相关应用260)。

在另一实施例中，每类应用具有对应的截取风险分析推断模型332。该对应的截取风险分析推断模型332是对于由该类应用请求的每种类型的实时设备感测数据的隐私关注等级特定的。具体地，为获得该对应的截取风险分析推断模型332而对全面风险分析模型331应用设备上简化的程度基于为由该类应用请求的每种类型的实时设备感测数据指定的隐私关注等级。

例如，如果该类相关应用260包括请求诸如心率、血压和血糖水平的实时设备感测数据的一个或多个健康相关应用，则对应的截取风险分析推断模型332基于为所请求的实时设备感测数据指定的隐私关注等级。

当至少一个隐私关注等级改变(例如，响应于由应用260请求的新许可而改变)时，截取风险分析推断模型332被更新为新的截取风险分析推断模型332。在一个实施例中，在电子设备50上维护全面风险分析推断模型331，并且对所维护的全面风险分析推断模型331应用设备上简化，以获得考虑到改变的至少一个隐私关注等级的新的截取风险分析推断模型332。在另一实施例中，全面风险分析推断模型331的最新型式被从远程服务器210下载到电子设备50，并且对所下载的全面风险分析推断模型331应用设备上简化，以获得考虑到改变的至少一个隐私关注等级的新的截取风险分析推断模型332。

隐私风险分析单元330还包括隐私模型333。隐私模型333表示一般私密数据，该一般私密数据是基于公开可用数据(例如，公布的研究或调查等)而脱机学习来的，基于截取风险分析推断模型332和/或使用电子设备50(例如，输入和输出)在设备上学习来的，或者从与电子设备50有关的系统默认信息获得的。

图5详细地例示了在一个或多个实施例中的示例数据失真单元350。数据失真单元350包括数据失真引擎351，数据失真引擎351被配置为接收下列中的每一个作为输入：(1)由服务提供者100请求的每种类型的实时设备感测数据；(2)一般私密数据；(3)对于所请求的数据的隐私关注等级；(4)对于一般私密数据的隐私关注等级；(5)远程服务提供者100特定的截取风险分析推断模型332；以及(6)表示先前发布给远程服务提供者100的数据与作为回报从远程服务提供者100接收到的服务之间的相关性的服务提供者模型353。数据失真引擎351还被配置为基于所接收到的输入而对所请求的数据应用一个或多个数据失真。

在一个实施例中，通过从远程服务提供者100下载服务提供者模型353，将服务提供者模型353加载到电子设备50上。

在另一实施例中，服务提供者模型353是在电子设备50学习来的。具体地，数据失真单元350还包括计算单元352，计算单元352被配置为每当向远程服务提供者100发布数据以换取来自远程服务提供者100的服务，计算并更新服务提供者模型353。可以基于用户输入来确定从远程服务提供者100接收到的服务的质量(例如，用户30被提示提供与所接收到的服务的质量有关的评级、评分或其它输入类型)。随着时间，服务提供者模型353随数据的连续发布以换取服务而适应。当服务提供者模型353通过基于数据发布和所接收到的服务的历史的训练而被建立时，从远程服务提供者100接收到的服务的质量将随着时间而改善。例如，数据失真引擎351可以基于服务提供者模型353而确定不损害由远程服务提供者100提供的服务的质量的最大数据失真程度，并且依照所确定的最大数据失真程度来使所请求的数据的至少一部分失真。

在一个实施例中，可以使用现有的模型法(诸如用于条件随机场(crf)模型的最大后验(map)参数学习)来更新服务提供者模型353。具体地，可以将先前的crf模型设置为服务提供者模型353，并且基于新数据而使用最大似然法来更新用于该crf模型的一个或多个模型参数。

图6详细地例示了在一个或多个实施例中的示例数据失真引擎351。如本文稍后详细描述的，数据失真引擎351包括被配置为构造线性化模型的构造/更新单元363。在一个实施例中，构造/更新单元363基于服务提供者模型353构造线性化模型。在另一实施例中，构造/更新单元363基于隐私模型333构造线性化模型。

数据失真引擎351还包括伪数据失真引擎362和隐私泄露比较单元364。伪数据失真引擎362被配置为基于截取风险分析推断模型332和由构造/更新单元363构造的线性化模型，迭代地生成伪失真数据。

隐私泄露比较单元364被配置为确定当前迭代中生成的伪失真数据与先前迭代中生成的伪失真数据相比是否泄露较少的数据隐私。如果隐私泄露比较单元364确定不能减少数据隐私泄露，则当前迭代中生成的伪失真数据被提供给输出单元361以作为失真数据发布给远程服务提供者100。如果隐私泄露比较单元364确定可减少数据隐私泄露，则经由构造/更新单元363更新线性化模型，并且触发伪数据失真引擎362基于截取风险分析推断模型332和更新后的线性化模型来生成新的伪失真数据。

接下来，使用下表1中提供的符号来描述由数据失真引擎351实现的示例数据失真算法。

表1

在本说明书中，如本文所使用的术语“信息增益”表示在非私密特征的集合f^s被发布给远程服务提供者100的条件下对效用y的不确定性的减少。

在本说明书中，如本文所使用的术语“隐私概念”表示在电子设备50向远程服务提供者100发布非私密特征的集合f^s之后，电子设备50的隐私域∏的数据隐私泄露(经由信息增益)的量度。

为了量化可预测性，隐私可以被定义为在非私密特征的集合f^s被发布给远程服务提供者100的条件下隐私域∏的条件熵。可以依照下面提供的公式(1)来表示条件熵：

可以依照下面提供的公式(2)来表示隐私概念p(f^s)：

其中在非私密特征的集合f^s被发布给远程服务提供者100的条件下在隐私域∏上的不确定性损失被测量。因为h(∏)对于所发布的不同的特征集合f^s是恒定的，所以p(f^s)和h(∏|f^s)的最优解是相同的，即，opt(p(f^s))＝opt(h(∏|f^s))。

假定电子设备50的用户30已指定要求p(f^s)＜0的隐私关注等级。

在一个实施例中，上面提供的公式(2)表示阈值，数据失真引擎351使用该阈值来打断实时设备感测数据与一般私密数据之间的相关性，使得不能从失真的实时设备感测数据推断一般私密数据。

在本说明书中，如本文所使用的术语“效用概念”表示在电子设备50向远程服务提供者100发布非私密特征的集合f^s之后，由远程服务提供者100返回的服务的质量的量度(即，所发布的非私密特征的集合f^s的效用的量度)。

可以依照下面提供的公式(3)来表示信息增益u(y,f^s)：

远程服务提供者100应用分类器算法∑以将每个输入数据d映射到c中的类。可以依照下面提供的公式(4)来表示分类器算法∑：

∑：d→c(4)。

由数据失真引擎351实现的数据失真算法满足至少以下目标：(1)电子设备50通过向远程服务提供者100公开/发布最小量的信息，最大地保护其隐私域∏；以及(2)远程服务提供者100对于从电子设备50接收到的每个输入数据学习某种预测或服务，其中该预测或服务是由远程服务提供者100确定的函数s。

在一个实施例中，数据失真引擎351通过在效用概念u(f^s)的条件下使隐私概念p(f^s)最大化，选择要发布给远程服务提供者100的非私密特征的集合f^s。

在另一实施例中，如由下面提供的公式(5)表示的，数据失真引擎351通过在隐私概念p(f^s)的条件下使效用概念u(f^s)最大化，选择要发布给远程服务提供者100的非私密特征的集合f^s：

在p(∏,f^s)≤0的条件下，

使u(y,f^s)最大化(5)。

在本说明书中，因为每个输出仅与发布给远程服务提供者100的非私密特征的集合f^s有关，所以为了简单，符号p(∏,f^s)和p(f^s)可互换地使用。因为每个输出仅与发布给远程服务提供者100的非私密特征的集合f^s有关，所以为了简单，符号u(y,f^s)和u(f^s)也可互换地使用。

在一个实施例中，由数据失真引擎351实现的数据失真算法是嵌入式迭代算法(eia)。下表2为由数据失真引擎351实现的eia提供了示例伪代码。

表2

如表2中所示，一组迭代(“内迭代”)被嵌入另一组迭代(“外迭代”)内，其中内迭代和外迭代分别由第4-7行和第1-9行表示。如表2中的第1行所示，要发布给远程服务提供者100的非私密特征的集合最初被设置为

在每个外迭代中，隐私概念p(f^s)被替换为基于在先前的外迭代t-1中选择的非私密特征的集合的较简单的目标函数该较简单的目标函数可以依照下面提供的公式(6)来表示：

在一个实施例中，构造/更新单元363依照上面提供的公式(6)构造线性化模型。如果在效用概念u(f^s)的条件下使隐私概念p(f^s)最大化，则构造/更新单元363基于隐私模型333构造线性化隐私模型。而如果在隐私概念p(f^s)的条件下使效用概念u(f^s)最大化，则构造/更新单元363基于服务提供者模型353构造线性化服务提供者模型。

较简单的目标函数可以是线性的，从而降低解上面提供的公式(6)的复杂性。每个外迭代的目的在于解下面提供的公式(7)：

在的条件下，

使u(f^s)最大化(7)。

因为较简单的目标函数是模块化的，所以在每个内迭代中应用贪婪算法以从要发布给远程服务提供者100的非私密特征的集合中迭代地选择。具体地，在每个内迭代中，选择使效用u最大化的特征f以便包括到非私密特征的集合中，直到当时，所选择的非私密特征的集合被发布给远程服务提供者100。所发布的所选择的非私密特征的集合是失真数据。

在一个实施例中，隐私泄露比较单元364使用在表2中的第5行中指定的条件，确定当前迭代中生成的伪失真数据与先前迭代中生成的伪失真数据相比是否泄露较少的数据隐私。如果隐私泄露比较单元364确定不能减少数据隐私泄露(即，不再满足条件)，则当前迭代中生成的伪失真数据被提供给输出单元361以作为失真数据发布给远程服务提供者100。如果隐私泄露比较单元364确定可减少数据隐私泄露(即，仍然满足条件)，则经由构造/更新单元363更新线性化服务提供者模型，并且触发伪数据失真引擎362基于截取风险分析推断模型332和更新后的线性化服务提供者模型来生成新的伪失真数据。

图7例示了在一个或多个实施例中的由隐私控制管理器250生成的第一示例用户界面410。当用户30启动并开始使用他/她的电子设备50(例如，iot设备)上的与保健管理有关的应用260时，隐私控制管理器250生成用户界面410，以列出由与应用260相关联的服务提供者100请求的每种类型的实时设备感测数据。所请求的数据可能包括用户30认为非私密的信息，诸如“油脂”、“需水量”等。然而，所请求的数据也可能包括用户30认为私密的信息(诸如“血压”等)，从该信息可以推断一般私密数据(例如，年龄、用户30是否有糖尿病等)。

对于所请求的每种类型的实时设备感测数据，用户30可通过由隐私控制管理器250生成的另一用户界面(例如，图3c中的用户界面412)，指定对应的隐私关注等级。在一个实施例中，应用260有对应的截取风险分析推断模型332。为获得该对应的截取风险分析推断模型332而对全面风险分析模型331应用设备上简化的程度基于所指定的隐私关注等级。

隐私控制管理器250使用对应的截取风险分析推断模型332来对所请求的数据执行风险评估，并且基于该风险评估而生成指示推断风险等级的通知420。例如，如图7中所示，推断风险等级可以是“中等”。在一个实施例中，通知420也可以标识可能从由远程服务提供者100请求的实时设备感测数据推断的一种或多种类型的一般私密数据(例如，如果远程服务提供者100请求血糖水平，则向用户30通知远程服务提供者100可以从所请求的数据推断用户30是否有糖尿病)。隐私控制管理器250基于对应的截取风险分析推断模型332，确定可以从所请求的实时设备感测数据推断哪些类型的一般私密数据。

如果用户30选择在发布之前使所请求的数据失真，则隐私控制管理器250对所请求的数据执行数据失真，并且将失真数据发布给远程服务提供者100。应用260从远程服务提供者100接收服务430作为回报，其中所接收到的服务430包括基于所发布的失真数据的推荐健康每日活动430(例如，建议的每日热量)。

图8例示了在一个或多个实施例中的由隐私控制管理器250生成的第二示例用户界面450。当用户30启动并开始使用他的/她的电子客户端设备50(例如，智能手机)上的与购物有关的应用260时，隐私控制管理器250生成用户界面450，以列出由与应用260相关联的服务提供者100请求的每种类型的实时设备感测数据。所请求的数据可能包括用户30认为非私密的信息，诸如“位置”等。然而，所请求的数据也可能包括用户30认为私密的并且可以从中推断一般私密数据(例如，年龄、民族等)的信息，诸如由电子设备50的摄像机收集的实时设备感测数据、照片等。对于所请求的每种类型的实时设备感测数据，用户30可通过由隐私控制管理器250生成的另一用户界面(例如，与图3c中的用户界面412类似)指定对应的隐私关注等级。

在一个实施例中，应用260有对应的截取风险分析推断模型332。为获得该对应的截取风险分析推断模型332而对全面风险分析模型331应用设备上简化的程度基于所指定的隐私关注等级。

隐私控制管理器250使用对应的截取风险分析推断模型332来对所请求的数据执行风险评估，并且基于该风险评估而生成指示推断风险等级的通知460。例如，如图8中所示，推断风险等级可以是“高”。在一个实施例中，通知460也可以标识可能从由远程服务提供者100请求的实时设备感测数据推断的一种或多种类型的一般私密数据(例如，如果远程服务提供者100请求由电子设备50的摄像机收集的实时设备感测数据，则向用户30通知远程服务提供者100可以从所请求的数据推断用户30的民族)。隐私控制管理器250基于对应的截取风险分析推断模型332，确定可以从所请求的实时设备感测数据推断哪些类型的一般私密数据。

如果用户30选择在发布之前使所请求的数据失真，则隐私控制管理器250对所请求的数据执行数据失真，并且将失真数据发布给远程服务提供者100。应用260从远程服务提供者100接收服务470作为回报，其中所接收到的服务470包括基于所发布的失真数据的产品推荐。

图9例示了在一个或多个实施例中的由隐私控制管理器250生成的第三示例用户界面510。当用户30启动并开始使用他的/她的电子客户端设备50(例如，智能电视机)上的与内容流式传输有关的应用260时，隐私控制管理器250生成用户界面510，以列出由与应用260相关联的服务提供者100请求的每种类型的实时设备感测数据。所请求的数据可能包括用户30认为私密的并且从中可以推断一般私密数据(例如，用户30是否有孩子等)的信息，诸如指示儿童节目(例如，动画片)已被观看的观看内容历史等。对于所请求的每种类型的实时设备感测数据，用户30可通过由隐私控制管理器250生成的另一用户界面(例如，与图3c中的用户界面412类似)指定对应的隐私关注等级。

在一个实施例中，应用260有对应的截取风险分析推断模型332。为获得该对应的截取风险分析推断模型332而对全面风险分析模型331应用设备上简化的程度基于所指定的隐私关注等级。

隐私控制管理器250使用对应的截取风险分析推断模型332来对所请求的数据执行风险评估，并且基于该风险评估而生成指示推断风险等级的通知520。例如，如图9中所示，所识别的推断风险等级可以是“高”。在一个实施例中，通知520也可以标识可能从由远程服务提供者100请求的实时设备感测数据推断的一种或多种类型的一般私密数据(例如，如果远程服务提供者100请求指示儿童节目(例如，动画片)已被观看的观看内容历史，则向用户30通知远程服务提供者100可以从所请求的数据推断用户30有孩子)。如果用户30选择在发布之前使所请求的数据失真，则隐私控制管理器250对所请求的数据执行数据失真，并且将失真数据发布给远程服务提供者100。应用260从远程服务提供者100接收服务530作为回报，其中所接收到的服务530包括基于所发布的失真数据的电视节目推荐。

图10是在一个或多个实施例中，在第一设备上执行以基于自动推断风险评估和数据失真而提供对一般私密数据的数据隐私保护的过程800的示例流程图。在过程块801中，为一般私密数据生成第一用户界面，并且经由第一用户界面接收用户为一般私密数据指定的至少一个隐私关注等级。在一个实施例中，过程块801可以由第一用户界面单元320执行。

在过程块802中，确定由远程服务提供者请求的至少一种类型的实时设备感测数据。在过程块803中，为所请求的实时设备感测数据生成第二用户界面，并且经由第二用户界面接收用户为所请求的实时设备感测数据指定的至少一个隐私关注等级。在一个实施例中，过程块802-803可以由第二用户界面单元310执行。

在过程块804中，基于用户指定的每个隐私关注等级，对全面风险分析模型应用设备上简化以获得截取风险分析推断模型。在过程块805中，基于截取风险分析推断模型，确定与将所请求的实时设备感测数据发送到远程服务提供者相关联的推断隐私风险等级。在一个实施例中，过程块804-805可以由隐私风险分析单元330执行。

在过程块806中，生成向用户通知推断隐私风险等级的通知。在过程块807中，该通知还提示用户关于他/她是否想要对所请求的实时设备感测数据应用数据失真。在一个实施例中，过程块806-807可以由通知单元340执行。

如果用户30想要对所请求的实时设备感测数据应用数据失真，则前进到过程块808，其中数据失真被应用于所请求的实时设备感测数据。在过程块809中，所得到的失真数据被发布给远程服务提供者。在一个实施例中，过程块808-809可以由数据失真引擎351执行。

如果用户30不想要对所请求的实时设备感测数据应用数据失真，则前进到过程块810，其中所请求的实时设备感测数据被发布给远程服务提供者(即，没有数据失真)。在一个实施例中，过程块810可以由隐私风险分析单元330执行。

图11是示出包括可用于实现所公开的实施例的计算机系统600的信息处理系统的高级框图。计算机系统600可以被并入客户端设备50或服务器设备210中。计算机系统600包括一个或多个处理器601，并且可还包括电子显示设备602(用于显示视频、图形、文本和其它数据)、主存储器603(例如，随机存取存储器(ram))、存储设备604(例如，硬盘驱动器)、可移动存储设备605(例如，可移动存储驱动器、可移动存储器模块、磁带驱动器、光盘驱动器、在其中存储有计算机软件和/或数据的计算机可读介质)、用户接口设备606(例如，键盘、触摸屏、小键盘、指点设备)和通信接口607(例如，调制解调器、网络接口(诸如以太网卡)、通信端口或pcmcia插槽和卡)。主存储器603可以存储指令，所述指令当由一个或多个处理器601执行时，使该一个或多个处理器601执行由隐私控制管理器250的不同组件执行的操作，诸如数据失真单元350的操作。

通信接口607允许在计算机系统与外部设备之间传送软件和数据。系统600还包括前述设备/模块601至607连接到的通信基础设施608(例如，通信总线、跨接条或网络)。

经由通信接口607传送的信息可以为诸如能够由通信接口607经由通信链路接收的电子、电磁、光或其它信号的信号形式，所述通信链路承载信号并且可以使用线或缆、光纤、电话线路、蜂窝电话链路、射频(rf)链路和/或其它通信信道来实现。表示本文中的框图和/或流程图的计算机程序指令可以被加载到计算机、可编程数据处理装置或处理设备上，以使在其上执行的一系列操作产生计算机实现的过程。在一个实施例中，用于过程800(图10)的处理指令可以作为程序指令被存储在存储器603、存储设备604和可移动存储设备605上以供处理器601执行。

已经参考方法、装置(系统)和计算机程序产品的流程图图示和/或框图描述了实施例。可通过计算机程序指令来实现此类图示/图的每个块或其组合。计算机程序指令当被提供给处理器时产生机器，使得经由该处理器执行的指令创建用于实现在流程图和/或框图中指定的功能/操作的手段。流程图/框图中的每个块可以表示硬件和/或软件模块或逻辑。在替代实施方式中，这些块中指出的功能可以不按图中指出的次序、同时地等发生。

术语“计算机程序介质”、“计算机可用介质”、“计算机可读介质”和“计算机程序产品”用于一般地指诸如主存储器、辅存储器、可移动存储驱动器、安装在硬盘驱动器中的硬盘和信号的介质。这些计算机程序产品是用于向计算机系统提供软件的手段。计算机可读介质允许计算机系统从计算机可读介质读取数据、指令、消息或消息包和其它计算机可读信息。计算机可读介质例如可以包括非易失性存储器，诸如软盘、rom、闪速存储器、磁盘驱动器存储器、cd-rom和其它永久存储器。例如，它可用于在计算机系统之间输送信息，诸如数据和计算机指令。计算机程序指令可以被存储在计算机可读介质中，所述计算机可读介质可指导计算机、其它可编程数据处理装置或其它设备以特定方式起作用，使得存储在计算机可读介质中的指令产生包括实现在流程图和/或框图块中指定的功能/行为的指令的制品。

如本领域的技术人员将理解的，实施例的各方面可以体现为系统、方法或计算机程序产品。因此，实施例的各方面可以采取如下形式：完全硬件实施例、完全软件实施例(包括固件、驻留软件、微码等)或者组合软件和硬件方面的实施例，这些实施例在本文中通常都可以被称为“电路”、“模块”或“系统”。此外，实施例的各方面可以采取在一个或多个计算机可读介质中体现的计算机程序产品的形式，在该计算机可读介质上包含有计算机可读程序代码。

可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读存储介质。计算机可读存储介质可以是，例如，但不限于，电子、磁、光学、电磁、红外或半导体系统、装置或设备，或上述的任何适合的组合。计算机可读存储介质的更具体示例(非详尽列表)将包括下列：具有一条或多条线的电连接、便携式计算机软盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或闪速存储器)、光纤、便携式光盘只读存储器(cd-rom)、光学存储设备、磁存储设备，或上述的任何适合的组合。在本文献的上下文中，计算机可读存储介质可以是可包含或存储程序以由指令执行系统、装置或设备使用或者连同指令执行系统、装置或设备一起使用的任何有形介质。

用于执行一个或多个实施例的各方面的操作的计算机程序代码可以用一种或多种编程语言的任意组合编写，所述编程语言包括诸如java、smalltalk、c++等的面向对象编程语言以及诸如“c”编程语言或类似的编程语言的常规过程编程语言。程序代码可以以下列方式执行：完全地在用户的计算机上、部分地在用户的计算机上、作为独立软件包、部分地在用户的计算机上并且部分地在远程计算机上、或者完全地在远程计算机或服务器上。在后者情况下，远程计算机可以通过任何类型的网络(包括局域网(lan)或广域网(wan))连接到用户的计算机，或者可以与外部计算机进行连接(例如，使用因特网服务提供者通过因特网)。

在上面参考方法、装置(系统)和计算机程序产品的流程图图示和/或框图描述了一个或多个实施例的各方面。应理解的是，可通过计算机程序指令来实现流程图图示和/或框图中的每个块以及流程图图示和/或框图中的块的组合。可以将这些计算机程序指令提供给专用计算机或其它可编程数据处理装置以产生机器，使得经由该计算机或其它可编程数据处理装置的处理器执行的指令创建用于实现在流程图和/或框图块中指定的功能/行为的手段。

这些计算机程序指令也可以被存储在计算机可读介质中，该计算机可读介质可指导计算机、其它可编程数据处理装置或其它设备以特定方式起作用，使得存储在计算机可读介质中的指令产生包括实现在流程图和/或框图块中指定的功能/行为的指令的制品。

计算机程序指令也可以被加载到计算机、其它可编程数据处理装置或其它设备上，以使在该计算机、其它可编程装置或其它设备上执行一系列操作步骤以产生计算机实现的过程，使得在该计算机或其它可编程装置上执行的指令提供用于实现在流程图和/或框图块中指定的功能/行为的过程。

图中的流程图和框图例示了根据各种实施例的系统、方法和计算机程序产品的可能的实施方式的架构、功能和操作。在这方面，流程图或框图中的每个块可以表示指令的模块、分段或部分，其包括用于实现所指定的逻辑功能的一个或多个可执行指令。在一些替代实施方式中，块中指出的功能可以不按图中指出的次序发生。例如，取决于所涉及的功能，实际上可以基本上同时地执行相继示出的两个块，或者有时可以按照相反次序执行这些块。也应注意的是，框图和/或流程图图示中的每个块以及框图和/或流程图图示中的块的组合可由基于专用硬件的系统来实现，该系统执行所指定的功能或行为或者实行专用硬件和计算机指令的组合。

在权利要求中提及单数形式的元素不旨在表示“一个且仅一个”，除非明确地如此陈述，而是表示“一个或多个”。本领域的普通技术人员当前知道的或者稍后将知道的上述示例性实施例的元素的所有结构和功能等同形式旨在被本权利要求书包含。不应按照35u.s.c.第112节第6段的规定来解释本文中的任何权利要求元素，除非使用短语“用于……的手段”或“用于……的步骤”明确地叙述了该元素。

本文所使用的术语仅用于描述特定实施例的目的，而不旨在限制本发明。如本文所使用的，除非上下文另外清楚地指示，单数形式“一”和“该”旨在也包括复数形式。还应理解，术语“包括”当在本说明书中被使用时指定存在所陈述的特征、整数、步骤、操作、元素和/或组件，而不排除存在或添加一个或多个其它特征、整数、步骤、操作、元素、组件和/或其组合。

下面的权利要求中的所有手段或步骤加上功能元素的对应结构、材料、行为和等同形式旨在包括用于如具体要求保护的那样与其它要求保护的元素相结合地执行该功能的任何结构、材料或行为。对实施例的描述已经出于例示和描述的目的被呈现，而不旨在详尽或者限于所公开的形式的实施例。在不脱离本发明的范围和精神的情况下，许多修改和变型对于本领域的普通技术人员将是显而易见的。

尽管已经参考实施例的某些型式描述了这些实施例，然而，其它型式是可能的。因此，所附权利要求的精神和范围不应限于对本文所包含的优选型式的描述。