数据隐私保护方法、装置、存储介质及电子设备与流程

本申请涉及计算机
技术领域：
，尤其涉及一种数据隐私保护方法、装置、存储介质及电子设备。
背景技术：
：随着通信网络的发展，物联网(internetofthings，iot)设备广泛应用到智慧城市、智慧家居以及无人驾驶等多个领域。目前，物联网设备在用户使用过程中产生大量的用户数据，使得物联网服务商可以获取该用户数据，并对该用户数据进行聚合分析计算，从而优化物联网设备。由于用户数据属于个人隐私数据的范畴，物联网服务商在获取用户数据的过程中，应当采用有效的数据隐私保护技术对用户数据进行隐私保护。技术实现要素：本申请实施例提供了一种数据隐私保护方法、装置、存储介质及电子设备，可以保证数据的可用性，同时可以进行有效的数据隐私保护。所述技术方案如下：第一方面，本申请实施例提供了一种数据隐私保护方法，所述方法包括：获取至少一个用户终端所对应的埋点用户数据，对各所述埋点用户数据进行数据洗牌处理，生成包含至少一个洗牌埋点数据的洗牌埋点数据集；对所述洗牌埋点数据集中各所述洗牌埋点数据进行差分隐私处理，生成目标隐私数据集；将所述目标隐私数据集发送至所述埋点用户数据对应的数据服务端，所述目标隐私数据集用于指示所述数据服务器生成所述目标隐私数据集对应的数据聚合结果。第二方面，本申请实施例提供了一种数据隐私保护装置，所述装置包括：洗牌模块，用于获取至少一个用户终端所对应的埋点用户数据，对各所述埋点用户数据进行数据洗牌处理，生成包含至少一个洗牌埋点数据的洗牌埋点数据集；差分隐私模块，用于对所述洗牌埋点数据集中各所述洗牌埋点数据进行差分隐私处理，生成目标隐私数据集；数据集发送模块，用于将所述目标隐私数据集发送至所述埋点用户数据对应的数据服务端，所述目标隐私数据集用于指示所述数据服务器生成所述目标隐私数据集对应的数据聚合结果。第三方面，本申请实施例提供一种计算机存储介质，所述计算机存储介质存储有多条指令，所述指令适于由处理器加载并执行上述的方法步骤。第四方面，本申请实施例提供一种电子设备，可包括：处理器和存储器；其中，所述存储器存储有计算机程序，所述计算机程序适于由所述处理器加载并执行上述的方法步骤。本申请一些实施例提供的技术方案带来的有益效果至少包括：在本申请一个或多个实施例中，获取至少一个用户终端所对应的埋点用户数据，对各所述埋点用户数据进行数据洗牌处理，生成包含至少一个洗牌埋点数据的洗牌埋点数据集，对所述洗牌埋点数据集中各所述洗牌埋点数据进行差分隐私处理，生成目标隐私数据集，将所述目标隐私数据集发送至所述埋点用户数据对应的数据服务端，所述目标隐私数据集用于指示所述数据服务器生成所述目标隐私数据集对应的数据聚合结果。其中，对埋点用户数据进行数据洗牌处理，可以使得数据聚合结果对应的隐私保护程度增强，从而可以保证数据的可用性，同时可以进行有效的数据隐私保护。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本申请实施例提供的一种数据隐私保护方法的流程示意图；图2是本申请实施例提供的一种洗牌处理的举例示意图；图3是本申请实施例提供的一种差分隐私处理的举例示意图；图4是本申请实施例提供的另一种数据隐私保护方法的流程示意图；图5是本申请实施例提供的一种数据训练的举例示意图；图6是本申请实施例提供的一种数据隐私保护装置的结构示意图；图7是本申请实施例提供的一种洗牌模块的结构示意图；图8是本申请实施例提供的另一种洗牌模块的结构示意图；图9是本申请实施例提供的一种差分隐私模块的结构示意图；图10是本申请实施例提供的一种隐私处理单元的结构示意图；图11是本申请实施例提供的一种电子设备的结构示意图；图12是本申请实施例提供的操作系统和用户空间的结构示意图；图13是图11中安卓操作系统的架构图；图14是图11中ios操作系统的架构图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。在本申请的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。在本申请的描述中，需要说明的是，除非另有明确的规定和限定，“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本申请中的具体含义。此外，在本申请的描述中，除非另有说明，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。在相关技术中，可以采用差分隐私保护技术对用户数据进行隐私保护。具体的，设置差分隐私参数对用户数据进行扰动，例如，在用户数据的01字符串经过扰动输出后，01字符串中的1有一定概率变成0，0也有一定概率变成1，从而可以实现用户数据的隐私保护功能，其中，差分隐私参数取值越大，则1变成0或0变成1的概率越小，可以理解的是，差分隐私参数取值越小，则经过扰动后的用户数据与原始用户数据相差越大，用户数据的隐私保护程度越强。然而，经过扰动后的用户数据与原始用户数据相差越大，经过扰动后的用户数据的可用性就越小，从而无法满足聚合分析计算对用户数据的服务需求度。下面结合具体的实施例对本申请进行详细说明。在一个实施例中，如图1所示，特提出了一种数据隐私保护方法，该方法可依赖于计算机程序实现，可运行于基于冯诺依曼体系的数据隐私保护装置上。该计算机程序可集成在应用中，也可作为独立的工具类应用运行。所述数据隐私保护装置可以为终端设备，包括但不限于：个人电脑、平板电脑、手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备等。在不同的网络中终端设备可以叫做不同的名称，例如：用户设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置、蜂窝电话、无绳电话、5g网络或未来演进网络中的终端设备等。具体的，该数据隐私保护方法包括：s101：获取至少一个用户终端所对应的埋点用户数据，对各所述埋点用户数据进行数据洗牌处理，生成包含至少一个洗牌埋点数据的洗牌埋点数据集。需要说明的是，本申请实施例的执行主体可以是可信服务端，该可信服务端是指可以对获取的埋点用户数据进行隐私保护，并禁止泄漏数据的服务端，可以是有偿的第三方服务器，例如，阿里云服务器。其中，埋点用户数据是指在用户终端中采用埋点技术采集到的用户数据，可以理解的是，该用户数据是用户在用户终端中执行访问操作、点击操作等生成的数据。在本申请实施例中，埋点用户数据是指在将埋点用户数据应用于不可信服务端时需要进行隐私保护的隐私数据。进一步的，用户终端在采集埋点用户数据时，可以去除埋点用户数据中用户终端对应的设备标识信息。其中，该设备标识信息包括但不限于当前进程身份标识号(identitydocument，id)、当前线程id、当前系统启动相对时间单位(tick)数、当前硬盘序列号、当前网络接口卡物理地址以及当前系统主机名等设备标识信息。可以理解的是，去除埋点用户数据中的设备标识信息的方式可以是隐藏该设备标识信息，也可以是删除该设备标识信息。更进一步的，为了便于发送该埋点用户数据，用户终端可以将去该埋点用户数据暂时存储至存储器中。其中，存储器可以是u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储数据的介质。根据一些实施例，在可信服务端获取至少一个用户终端所对应的埋点用户数据时，可信服务端需要与各用户终端建立通信连接，该通信连接方式可以采用第四代移动通信系统(the4thgenerationmobilecommunicationsystem，4g)、第五代移动通信技术(5th-generationwirelesscommunicationtechnology，5g)、新空口(newradio，nr)系统或未来的通信系统，也可以采用其他各种无线通信系统，例如，窄带物联网(narrowband-internetofthings，nb-iot)系统、全球移动通讯系统(globalsystemofmobilecommunication，gsm)、增强型数据速率gsm演进(enhanceddatarateforgsmevolution，edge)系统、宽带码分多址(widebandcodedivisionmultipleaccess，wcdma)系统、码分多址2000(codedivisionmultipleaccess，cdma2000)系统、时分同步码分多址(timedivision-synchronizationcodedivisionmultipleaccess，td-scdma)系统、通用分组无线业务(generalpacketradioservice，gprs)、长期演进(longtermevolution，lte)系统、lte频分双工(frequencydivisionduplex，fdd)系统、lte时分双工(timedivisionduplex，tdd)、通用移动通信系统(universalmobiletelecommunicationsystem，umts)等方式。需要说明的是，为了保证埋点用户数据在获取过程中的安全性以及完整性，可以在用户终端对埋点用户数据进行加密编码，获取加密编码数据，并对该加密编码数据进行解码，从而得到埋点用户数据。其中，对埋点用户数据进行加密编码的算法包括但不限于：md5信息摘要算法(message-digestalgorithm，md5)、merkel-hellman背包算法、椭圆加密算法(ellipticcurvecryptography，ecc)以及安全散列算法1(securehashalgorithm1，sha-1算法)。在本申请实施例中，对各埋点数据进行数据洗牌处理，其中，数据洗牌处理为采用预设的洗牌算法将埋点用户数据进行扰乱处理，该洗牌算法包括但不限于：等概率随机排列数组算法(fisher-yatesshuffle)、经典洗牌算法(knuth-durstenfeldshuffle)以及内外洗牌算法(inside-outalgorithm)。其中，洗牌埋点数据集是指由洗牌埋点数据组成的集合，洗牌埋点数据是指分别对埋点用户数据进行洗牌处理，得到各埋点用户数据对应的洗牌埋点数据。易于理解的是，等概率随机排列数组算法可以是从各埋点用户数据中随机取一个之前没有取到过的埋点用户数据到洗牌埋点数据集中，从而生成包含至少一个洗牌埋点数据的洗牌埋点数据集。示意性的，图2示出了一种洗牌处理的举例示意图，包括埋点用户数据a、埋点用户数据b、埋点用户数据c以及埋点用户数据d，以及生成的洗牌埋点数据集，其中，洗牌埋点数据集包括：洗牌埋点数据a、洗牌埋点数据b、洗牌埋点数据c以及洗牌埋点数据d。s102：对所述洗牌埋点数据集中各所述洗牌埋点数据进行差分隐私处理，生成目标隐私数据集。根据一些实施例，差分隐私(differentialprivacy)是指对洗牌埋点数据集中的各洗牌埋点数据进行随机添加噪声的处理技术。其中，可以通过差分隐私参数ε确定对各洗牌埋点数据的加噪程度。差分隐私参数ε越小，则对各洗牌埋点数据的加噪程度越大；差分隐私参数ε越大，则对各洗牌埋点数据的加噪程度越小。易于理解的是，对各洗牌埋点数据的加噪程度越大，则数据的可用性越低；对各洗牌埋点数据的加噪程度越小，则数据的可用性越高。因此，基于数据可用性的考虑，设置差分隐私参数ε，一种可行的数据可用性与差分隐私参数的对应关系表，如下所示：数据可用性等级差分隐私参数一级0～0.25二级0.25～0.5三级0.5～0.75四级0.75～1其中，数据可用性的等级越小，则数据可用性越低，例如，一级数据可用性低于二级数据可用性。此外，差分隐私参数的范围为：0＜ε≤1，可以理解的是，当差分隐私参数为0时，则洗牌埋点数据进行过加噪；而当差分隐私参数为1时，则基本上不对洗牌埋点数据进行加噪。在本申请实施例中，分别对各洗牌埋点数据进行差分隐私处理，生成目标隐私数据集，其中，目标隐私数据集包括各洗牌埋点数据对应的目标隐私数据。可以理解的是，该目标隐私数据是指对洗牌埋点数据进行差分隐私处理后得到的数据。示意性的，图3示出了一种生存目标隐私数据集的举例示意图，包括生成的洗牌埋点数据集(洗牌埋点数据a、洗牌埋点数据b、洗牌埋点数据c以及洗牌埋点数据d)，在分别对洗牌埋点数据a、洗牌埋点数据b、洗牌埋点数据c以及洗牌埋点数据d进行差分隐私处理后，得到洗牌埋点数据a对应的目标隐私数据a、洗牌埋点数据b对应的目标隐私数据b、洗牌埋点数据c对应的目标隐私数据c以及洗牌埋点数据d对应的目标隐私数据d，从而生成目标隐私数据集，该目标隐私数据集包括：目标隐私数据a、目标隐私数据b、目标隐私数据c以及目标隐私数据d。s103：将所述目标隐私数据集发送至所述埋点用户数据对应的数据服务端，所述目标隐私数据集用于指示所述数据服务器生成所述目标隐私数据集对应的数据聚合结果需要说明的是，数据服务端是需要对目标隐私数据集中的各目标隐私数据进行数据聚合分析的服务端，在物联网应用场景中可以是物联网服务商对应的服务端，在其他需要对用户数据进行隐私保护的场景中也可以是需要收集用户数据的不可信服务端，进一步的，该数据服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn(contentdeliverynetwork，内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。在一些可行的实施例中，对各目标隐私数据进行数据聚合分析可以是：分别提取目标隐私数据中的数据特征，在计算数据特征对应的频次分布、最值以及平均值等，则该频次分布、最值以及平均值等为目标数据集对应的数据聚合结果。在本申请实施例中，获取至少一个用户终端所对应的埋点用户数据，对各所述埋点用户数据进行数据洗牌处理，生成包含至少一个洗牌埋点数据的洗牌埋点数据集，对所述洗牌埋点数据集中各所述洗牌埋点数据进行差分隐私处理，生成目标隐私数据集，将所述目标隐私数据集发送至所述埋点用户数据对应的数据服务端，所述目标隐私数据集用于指示所述数据服务器生成所述目标隐私数据集对应的数据聚合结果。其中，对埋点用户数据进行数据洗牌处理，可以使得数据聚合结果对应的隐私保护程度增强，从而可以保证数据的可用性，同时可以进行有效的数据隐私保护。请参见图4，图4是本申请提出的一种数据隐私保护方法的另一种实施例的流程示意图。具体的：s201：获取至少一个用户终端所对应的埋点用户数据，确定各所述埋点用户数据携带的数据源信息。具体的，数据源信息是指与埋点用户数据对应的源端相关的数据信息，也即，与埋点用户数据对应的用户终端相关的数据信息，可以是获取埋点用户数据时参数的时间戳信息，也可以是接收埋点用户数据对应的接口信息。进一步的，获取针对埋点用户数据对应的期望隐匿值和预设的差分隐私参数，基于期望隐匿值和差分隐私参数确定用户终端的洗牌数量。获取洗牌数量指示的各用户终端所对应的埋点用户数据。其中，期望隐匿值是指针对埋点用户数据所期望的隐私保护程度对应的量值，可以是聚合结果对应的目标差分隐私参数ε′。预设的差分隐私参数ε是指基于该差分隐私参数对埋点用户数据对应的洗牌埋点数据进行差分隐私处理。用户终端的洗牌数量n是指进行洗牌处理的用户埋点数据对应的用户终端的终端数量。可以理解的是，期望隐匿值ε′、差分隐私参数ε以及洗牌数量n具有数据映射关系。可以理解的是，基于参考期望隐匿值e′、参考洗牌数量n、和参考差分隐私参数e的数据映射关系，确定期望隐匿值ε′和差分隐私参数ε对应的用户终端的洗牌数量n。参考期望隐匿值e′小于或等于实际隐匿值e′实，也即：e′≤e′实其中，参考洗牌数量n与差分膨胀因子β和差分膨胀差值m对应的乘积为实际隐匿值e′实，实际隐匿值e′实为自然常数e的差分膨胀因子β次方的结果与预设值m的差值；差分膨胀因子β与参考洗牌数量n、参考差分隐私参数e、自然常数e和预设值m相关联。e′实＝n(eβ-m)需要说明的是，实际隐匿值e′实为由参考洗牌数量n以及参考差分隐私参数e计算得到的参数值，用于表示数据的隐私保护程度的标准。差分膨胀因子β可以是参考差分隐私参数对应的隐私保护成程度相对于参考期望隐匿值e′对应的隐私保护程度的增大系数。在本申请实施例中，在数据训练过程中，可以生成参考期望隐匿值e′、参考洗牌数量n以及参考差分隐私参数e的数据映射关系。具体的，如图5所示，一种可行的数据训练方法，预设洗牌数量n，获取洗牌数量n的用户终端对应的埋点用户数据{x1、x2、x3、…、xn}；对各埋点用户数据进行数据洗牌处理，生成洗牌埋点数据集π[d(xi)]，其中i为1～n中的任意参数值，也即，该洗牌埋点数据集π[d(xi)]包括{d(x1)、d(x2)、d(x3)、…、d(xn)}；预设差分隐私参数ε，并基于预设隐私差分参数ε对洗牌埋点数据集π[d(xi)]中各洗牌埋点数据进行差分隐私处理，得到洗牌埋点数据对应的目标隐私数据从而生成目标隐私数据集将目标隐私数据集发送至埋点用户数据对应的数据服务端生成目标隐私数据集对应的数据聚合结果通过数据聚合结果可以确定该数据聚合结果对应的期望隐匿值ε′，可以得出如下公式：基于上述公式，可以确定在数据训练过程中，生成的数据聚合结果对应的期望隐匿值的大小与隐私差分参数ε以及洗牌数量具有映射关系，可以理解的是，隐私差分参数ε可以保证洗牌埋点数据在进行差分隐私处理时数据的可用性，期望隐匿值ε′可以数据聚合结果对应的数据隐私保护程度，其中，期望隐匿值ε′小于隐私差分参数ε，则说明在设置相同的隐私差分参数ε以保证埋点用户数据的可用性时，经过洗牌处理后的洗牌埋点数据对应的数据聚合结果(ε′)相对于未经过洗牌处理的埋点用户数据对应的数据聚合结果(ε)的数据隐私保护程度增加。可以理解的是，为了保证埋点用户数据的可用性以及数据隐私保护程度，确定数据可用性对应的隐私差分参数ε，以及数据隐私保护程度对应的期望隐匿值ε′，基于参考期望隐匿值e′、参考洗牌数量n、和参考差分隐私参数e的数据映射关系，可以确定该数据映射关系中隐私差分参数ε以及期望隐匿值ε′对应的洗牌数量n，从而获取洗牌数量n的用户终端的埋点洗牌数据，该埋点洗牌数据对应的数据聚合结果可以保证数据的可用性，同时可以进行有效的数据隐私保护。进一步的，可以通过调整洗牌数量n和/或隐私差分参数ε，以调整数据聚合结果对应的期望隐匿值ε′，也即调整数据聚合结果的隐私保护程度。示意性的，当隐私差分参数ε＝0.5，洗牌数量n＝2000时，可以得到期望隐匿值ε′＝0.006，可以理解的是，埋点用户数据的可用性为隐私差分参数ε＝0.5对应的数据可用性等级，而埋点用户数据对应的数据聚合结果的隐私保护程度为期望隐匿值ε′＝0.006对应的隐私保护程度。可选的，采用不同的洗牌算法或在预设的洗牌算法中设置不同的洗牌力度参数，得到的洗牌处理对应的效果也不同，在实际应用中，可以将洗牌处理对应的效果划分为将不同的洗牌等级，其中，各洗牌等级对应预设的洗牌算法或洗牌算法中预设的洗牌力度参数。如下表所示，一种可行的洗牌等级与洗牌算法对应关系的举例示意表。洗牌等级洗牌算法第一洗牌等级第一洗牌算法第二洗牌等级第二洗牌算法第三洗牌等级第一洗牌力度参数的第三洗牌算法第四洗牌等级第二洗牌力度参数的第三洗牌算法其中，洗牌等级越小，则洗牌力度越小，对应的洗牌效果越差，例如，第一洗牌等级对应的洗牌效果低于第二洗牌等级对应的洗牌效果。可以理解的是，洗牌效果越好，洗牌等级越高，则数据聚合结果对应的隐私保护程度越高；洗牌效果越好，洗牌等级越高，则数据聚合结果对应的隐私保护程度越高，进一步的，可以通过采用不同洗牌等级对应的洗牌算法或洗牌算法中的洗牌力度参数，调整对埋点用户数据的洗牌力度，从而调整数据聚合结果对应的期望隐匿值ε′，也即调整数据聚合结果的隐私保护程度。s202：基于各所述埋点用户数据携带的数据源信息，对各所述埋点用户数据进行数据洗牌处理，生成包含至少一个洗牌埋点数据的洗牌埋点数据集。根据一些实施例，采用预设的数据洗牌方式，对各所述埋点用户数据分别对应的时间戳信息进行映射关系洗牌处理，生成包含至少一个洗牌埋点数据的洗牌埋点数据集，所述洗牌埋点数据包括所述埋点用户数据和所述埋点用户数据携带的目标时间戳信息，所述目标时间戳信息与所述时间戳信息不同。可以理解的是，时间戳信息可以是指获取埋点用户数据时生成的时间信息，其中，埋点用户数据与时间戳信息有一一对应的关系，在经过洗牌处理后，随机扰乱该映射关系，使得埋点用户数据与其他的时间戳信息形成一一对应的关系，该其他的时间戳信息也即目标时间戳信息与埋点用户数据在洗牌处理前对应的时间戳信息不同。示意性的，在洗牌处理前，埋点用户数据a对应时间戳信息a，埋点用户数据b对应时间戳信息b，埋点用户数据c对应时间戳信息c，在进行洗牌处理时，抽取埋点用户数据b，且该埋点用户数据b对应时间戳信息a，抽取埋点用户数据c，且该埋点数据用户c对应时间戳信息b，抽取埋点用户数据a，且该埋点数据用户a对应时间戳信息c。s203：采用随机响应算法，分别对所述洗牌埋点数据集中各所述洗牌埋点数据进行本地差分隐私处理，得到各所述洗牌埋点数据对应的目标隐私数据，生成包含各所述目标隐私数据的目标隐私数据集。差分隐私包括中心化差分隐私(centralizeddifferentialprivacy，cdp)以及本地差分隐私算法(localdifferentialprivacy，ldp)，其中，中心化差分隐私可以将隐私数据集中至数据中心，从而对该隐私数据进行差分隐私算法。本地差分隐私是分别对各隐私数据进行差分隐私处理。在本申请实施例中，可以采用本地差分隐私对各洗牌埋点数据进行本地差分隐私处理。具体的，对所述洗牌埋点数据集中各所述洗牌埋点数据进行独热编码处理，生成各所述洗牌埋点数据对应的独热编码向量；基于各所述洗牌埋点数据对应的服务需求度确定差分隐私参数，基于所述差分隐私参数分别对各所述独热向量进行随机响应处理，得到各所述洗牌埋点数据对应的目标隐私数据。需要说明的是，随机响应算法是本地差分隐私算法中的一种，可以基于随机响应的扰动机制对洗牌埋点数据进行差分隐私处理。其中，独热编码(one-hotencoding)是在进行随机响应算法前对洗牌埋点数据进行数据预处理的编码算法。可以理解的是，埋点用户数据对应的服务需求度为数据可用性的量化值，可以是经过差分隐私处理后的数据中加噪部分数据与非加噪部分数据的比值。s204：将所述目标隐私数据集发送至所述埋点用户数据对应的数据服务端，所述目标隐私数据集用于指示所述数据服务器生成所述目标隐私数据集对应的数据聚合结果。具体可参见s103，此处不再赘述。在本申请实施例中，获取至少一个用户终端所对应的埋点用户数据，对各所述埋点用户数据进行数据洗牌处理，生成包含至少一个洗牌埋点数据的洗牌埋点数据集，对所述洗牌埋点数据集中各所述洗牌埋点数据进行差分隐私处理，生成目标隐私数据集，将所述目标隐私数据集发送至所述埋点用户数据对应的数据服务端，所述目标隐私数据集用于指示所述数据服务器生成所述目标隐私数据集对应的数据聚合结果。其中，对埋点用户数据进行数据洗牌处理，可以使得数据聚合结果对应的隐私保护程度增强，从而可以保证数据的可用性，同时可以进行有效的数据隐私保护。进一步的，可以设置差分隐私参数保证数据的可用性，可以通过调整洗牌数量、洗牌等级以及差分隐私参数来调整数据聚合结果对应的数据隐私保护程度。下面将结合图6，对本申请实施例提供的数据隐私保护装置进行详细介绍。需要说明的是，图6所示的数据隐私保护装置，用于执行本申请图1～图5所示实施例的方法，为了便于说明，仅示出了与本申请实施例相关的部分，具体技术细节未揭示的，请参照本申请图1～图5所示的实施例。请参见图6，其示出本申请实施例的数据隐私保护装置的结构示意图。该数据隐私保护装置1可以通过软件、硬件或者两者的结合实现成为电子设备的全部或一部分。根据一些实施例，该数据隐私保护装置1包括洗牌模块11、差分隐私模块12和数据集发送模块13，具体用于：洗牌模块11，用于获取至少一个用户终端所对应的埋点用户数据，对各所述埋点用户数据进行数据洗牌处理，生成包含至少一个洗牌埋点数据的洗牌埋点数据集；差分隐私模块12，用于对所述洗牌埋点数据集中各所述洗牌埋点数据进行差分隐私处理，生成目标隐私数据集；数据集发送模块13，用于将所述目标隐私数据集发送至所述埋点用户数据对应的数据服务端，所述目标隐私数据集用于指示所述数据服务器生成所述目标隐私数据集对应的数据聚合结果。可选的，如图7所示，所述洗牌模块11，包括：信息确定单元111，用于获取至少一个用户终端所对应的埋点数据，确定各所述埋点数据携带的数据源信息；洗牌处理单元112，用于基于各所述埋点数据携带的数据源信息，对各所述埋点数据进行数据洗牌处理，生成包含至少一个洗牌埋点数据的洗牌埋点数据集。可选的，所述数据源信息包括所述埋点数据对应的时间戳信息，所述洗牌处理单元112，具体用于：采用预设的数据洗牌方式，对各所述埋点数据分别对应的时间戳信息进行映射关系洗牌处理，生成包含至少一个洗牌埋点数据的洗牌埋点数据集，所述洗牌埋点数据包括所述埋点数据和所述埋点数据携带的目标时间戳信息，所述目标时间戳信息与所述时间戳信息不同。可选的，如图8所示，所述洗牌模块11，包括：数量确定单元113，用于获取针对所述埋点用户数据对应的期望隐匿值和预设的差分隐私参数，基于所述期望隐匿值和所述差分隐私参数确定用户终端的洗牌数量；数据获取单元114，用于获取所述洗牌数量指示的各所述用户终端所对应的埋点用户数据可选的，所述数量确定单元113，具体用于：基于参考期望隐匿值、参考洗牌数量、和参考差分隐私参数的数据映射关系，确定所述期望隐匿值和所述差分隐私参数对应的用户终端的洗牌数量。可选的，所述数量确定单元113，具体用于：所述参考期望隐匿值小于或等于实际隐匿值；其中，所述参考洗牌数量与差分膨胀因子和差分膨胀差值对应的乘积为所述实际隐匿值；所述实际隐匿值为自然常数e的差分膨胀因子次方的结果与预设值的差值；所述差分膨胀因子与所述参考洗牌数量、参考差分隐私参数、自然常数e和所述预设值相关联。可选的，如图9所示，所述差分隐私模块12，包括：隐私处理单元121，用于采用随机响应算法，分别对所述洗牌埋点数据集中各所述洗牌埋点数据进行本地差分隐私处理，得到各所述洗牌埋点数据对应的目标隐私数据；数据集生成单元122，用于生成包含各所述目标隐私数据的目标隐私数据集。可选的，如图10所示，所述隐私处理单元121，包括：编码子单元1211，用于对所述洗牌埋点数据集中各所述洗牌埋点数据进行独热编码处理，生成各所述洗牌埋点数据对应的独热编码向量；响应子单元1212，用于基于各所述洗牌埋点数据对应的服务需求度确定差分隐私参数，基于所述差分隐私参数分别对各所述独热向量进行随机响应处理，得到各所述洗牌埋点数据对应的目标隐私数据。需要说明的是，上述实施例提供的数据隐私保护装置在执行数据隐私保护方法时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的数据隐私保护装置与数据隐私保护方法实施例属于同一构思，其体现实现过程详见方法实施例，这里不再赘述。上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。在本申请实施例中，获取至少一个用户终端所对应的埋点用户数据，对各所述埋点用户数据进行数据洗牌处理，生成包含至少一个洗牌埋点数据的洗牌埋点数据集，对所述洗牌埋点数据集中各所述洗牌埋点数据进行差分隐私处理，生成目标隐私数据集，将所述目标隐私数据集发送至所述埋点用户数据对应的数据服务端，所述目标隐私数据集用于指示所述数据服务器生成所述目标隐私数据集对应的数据聚合结果。其中，对埋点用户数据进行数据洗牌处理，可以使得数据聚合结果对应的隐私保护程度增强，从而可以保证数据的可用性，同时可以进行有效的数据隐私保护。本申请实施例还提供了一种计算机存储介质，所述计算机存储介质可以存储有多条指令，所述指令适于由处理器加载并执行如上述图1～图5所示实施例的所述数据隐私保护方法，具体执行过程可以参见图1～图5所示实施例的具体说明，在此不进行赘述。本申请还提供了一种计算机程序产品，该计算机程序产品存储有至少一条指令，所述至少一条指令由所述处理器加载并执行如上述图1～图5所示实施例的所述数据隐私保护方法，具体执行过程可以参见图1～图5所示实施例的具体说明，在此不进行赘述。请参考图11，其示出了本申请一个示例性实施例提供的电子设备的结构方框图。本申请中的电子设备可以包括一个或多个如下部件：处理器110、存储器120、输入装置130、输出装置140和总线150。处理器110、存储器120、输入装置130和输出装置140之间可以通过总线150连接。处理器110可以包括一个或者多个处理核心。处理器110利用各种接口和线路连接整个电子设备内的各个部分，通过运行或执行存储在存储器120内的指令、程序、代码集或指令集，以及调用存储在存储器120内的数据，执行电子设备100的各种功能和处理数据。可选地，处理器110可以采用数字信号处理(digitalsignalprocessing，dsp)、现场可编程门阵列(field－programmablegatearray，fpga)、可编程逻辑阵列(programmablelogicarray，pla)中的至少一种硬件形式来实现。处理器110可集成中央处理器(centralprocessingunit，cpu)、图像处理器(graphicsprocessingunit，gpu)和调制解调器等中的一种或几种的组合。其中，cpu主要处理操作系统、用户界面和应用程序等；gpu用于负责显示内容的渲染和绘制；调制解调器用于处理无线通信。可以理解的是，上述调制解调器也可以不集成到处理器110中，单独通过一块通信芯片进行实现。存储器120可以包括随机存储器(randomaccessmemory，ram)，也可以包括只读存储器(read-onlymemory，rom)。可选地，该存储器120包括非瞬时性计算机可读介质(non-transitorycomputer-readablestoragemedium)。存储器120可用于存储指令、程序、代码、代码集或指令集。存储器120可包括存储程序区和存储数据区，其中，存储程序区可存储用于实现操作系统的指令、用于实现至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现下述各个方法实施例的指令等，该操作系统可以是安卓(android)系统，包括基于android系统深度开发的系统、苹果公司开发的ios系统，包括基于ios系统深度开发的系统或其它系统。存储数据区还可以存储电子设备在使用中所创建的数据比如电话本、音视频数据、聊天记录数据，等。参见图12所示，存储器120可分为操作系统空间和用户空间，操作系统即运行于操作系统空间，原生及第三方应用程序即运行于用户空间。为了保证不同第三方应用程序均能够达到较好的运行效果，操作系统针对不同第三方应用程序为其分配相应的系统资源。然而，同一第三方应用程序中不同应用场景对系统资源的需求也存在差异，比如，在本地资源加载场景下，第三方应用程序对磁盘读取速度的要求较高；在动画渲染场景下，第三方应用程序则对gpu性能的要求较高。而操作系统与第三方应用程序之间相互独立，操作系统往往不能及时感知第三方应用程序当前的应用场景，导致操作系统无法根据第三方应用程序的具体应用场景进行针对性的系统资源适配。为了使操作系统能够区分第三方应用程序的具体应用场景，需要打通第三方应用程序与操作系统之间的数据通信，使得操作系统能够随时获取第三方应用程序当前的场景信息，进而基于当前场景进行针对性的系统资源适配。以操作系统为android系统为例，存储器120中存储的程序和数据如图13所示，存储器120中可存储有linux内核层320、系统运行时库层340、应用框架层360和应用层380，其中，linux内核层320、系统运行库层340和应用框架层360属于操作系统空间，应用层380属于用户空间。linux内核层320为电子设备的各种硬件提供了底层的驱动，如显示驱动、音频驱动、摄像头驱动、蓝牙驱动、wi-fi驱动、电源管理等。系统运行库层340通过一些c/c++库来为android系统提供了主要的特性支持。如sqlite库提供了数据库的支持，opengl/es库提供了3d绘图的支持，webkit库提供了浏览器内核的支持等。在系统运行时库层340中还提供有安卓运行时库(androidruntime)，它主要提供了一些核心库，能够允许开发者使用java语言来编写android应用。应用框架层360提供了构建应用程序时可能用到的各种api，开发者也可以通过使用这些api来构建自己的应用程序，比如活动管理、窗口管理、视图管理、通知管理、内容提供者、包管理、通话管理、资源管理、定位管理。应用层380中运行有至少一个应用程序，这些应用程序可以是操作系统自带的原生应用程序，比如联系人程序、短信程序、时钟程序、相机应用等；也可以是第三方开发者所开发的第三方应用程序，比如游戏类应用程序、即时通信程序、相片美化程序、通知消息的显示程序等。以操作系统为ios系统为例，存储器120中存储的程序和数据如图14所示，ios系统包括：核心操作系统层420(coreoslayer)、核心服务层440(coreserviceslayer)、媒体层460(medialayer)、可触摸层480(cocoatouchlayer)。核心操作系统层420包括了操作系统内核、驱动程序以及底层程序框架，这些底层程序框架提供更接近硬件的功能，以供位于核心服务层440的程序框架所使用。核心服务层440提供给应用程序所需要的系统服务和/或程序框架，比如基础(foundation)框架、账户框架、广告框架、数据存储框架、网络连接框架、地理位置框架、运动框架等等。媒体层460为应用程序提供有关视听方面的接口，如图形图像相关的接口、音频技术相关的接口、视频技术相关的接口、音视频传输技术的无线播放(airplay)接口等。可触摸层480为应用程序开发提供了各种常用的界面相关的框架，可触摸层480负责用户在电子设备上的触摸交互操作。比如本地通知服务、远程推送服务、广告框架、游戏工具框架、消息用户界面接口(userinterface，ui)框架、用户界面uikit框架、地图框架等等。在图14所示出的框架中，与大部分应用程序有关的框架包括但不限于：核心服务层440中的基础框架和可触摸层480中的uikit框架。基础框架提供许多基本的对象类和数据类型，为所有应用程序提供最基本的系统服务，和ui无关。而uikit框架提供的类是基础的ui类库，用于创建基于触摸的用户界面，ios应用程序可以基于uikit框架来提供ui，所以它提供了应用程序的基础架构，用于构建用户界面，绘图、处理和用户交互事件，响应手势等等。其中，在ios系统中实现第三方应用程序与操作系统数据通信的方式以及原理可参考android系统，本申请在此不再赘述。其中，输入装置130用于接收输入的指令或数据，输入装置130包括但不限于键盘、鼠标、摄像头、麦克风或触控设备。输出装置140用于输出指令或数据，输出装置140包括但不限于显示设备和扬声器等。在一个示例中，输入装置130和输出装置140可以合设，输入装置130和输出装置140为触摸显示屏，该触摸显示屏用于接收用户使用手指、触摸笔等任何适合的物体在其上或附近的触摸操作，以及显示各个应用程序的用户界面。触摸显示屏通常设置在电子设备的前面板。触摸显示屏可被设计成为全面屏、曲面屏或异型屏。触摸显示屏还可被设计成为全面屏与曲面屏的结合，异型屏与曲面屏的结合，本申请实施例对此不加以限定。除此之外，本领域技术人员可以理解，上述附图所示出的电子设备的结构并不构成对电子设备的限定，电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。比如，电子设备中还包括射频电路、输入单元、传感器、音频电路、无线保真(wirelessfidelity，wi-fi)模块、电源、蓝牙模块等部件，在此不再赘述。在本申请实施例中，各步骤的执行主体可以是上文介绍的电子设备。可选地，各步骤的执行主体为电子设备的操作系统。操作系统可以是安卓系统，也可以是ios系统，或者其它操作系统，本申请实施例对此不作限定。本申请实施例的电子设备，其上还可以安装有显示设备，显示设备可以是各种能实现显示功能的设备，例如：阴极射线管显示器(cathoderaytubedisplay，简称cr)、发光二极管显示器(light-emittingdiodedisplay，简称led)、电子墨水屏、液晶显示屏(liquidcrystaldisplay，简称lcd)、等离子显示面板(plasmadisplaypanel，简称pdp)等。用户可以利用电子设备101上的显示设备，来查看显示的文字、图像、视频等信息。所述电子设备可以是智能手机、平板电脑、游戏设备、ar(augmentedreality，增强现实)设备、汽车、数据存储装置、音频播放装置、视频播放装置、笔记本、桌面计算设备、可穿戴设备诸如电子手表、电子眼镜、电子头盔、电子手链、电子项链、电子衣物等设备。在本申请实施例中，获取至少一个用户终端所对应的埋点用户数据，对各所述埋点用户数据进行数据洗牌处理，生成包含至少一个洗牌埋点数据的洗牌埋点数据集，对所述洗牌埋点数据集中各所述洗牌埋点数据进行差分隐私处理，生成目标隐私数据集，将所述目标隐私数据集发送至所述埋点用户数据对应的数据服务端，所述目标隐私数据集用于指示所述数据服务器生成所述目标隐私数据集对应的数据聚合结果。其中，对埋点用户数据进行数据洗牌处理，可以使得数据聚合结果对应的隐私保护程度增强，从而可以保证数据的可用性，同时可以进行有效的数据隐私保护。本领域的技术人员可以清楚地了解到本申请的技术方案可借助软件和/或硬件来实现。本说明书中的“单元”和“模块”是指能够独立完成或与其他部件配合完成特定功能的软件和/或硬件，其中硬件例如可以是现场可编程门阵列(field－programmablegatearray，fpga)、集成电路(integratedcircuit，ic)等。需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。在本申请所提供的几个实施例中，应该理解到，所揭露的装置，可通过其它的方式实现。例如，以上所描述的装置实施例仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些服务接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储器中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储器中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储器包括：u盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通进程序来指令相关的硬件来完成，该程序可以存储于计算机可读存储器中，存储器可以包括：闪存盘、只读存储器(read-onlymemory，rom)、随机存取器(randomaccessmemory，ram)、磁盘或光盘等。以上所述者，仅为本公开的示例性实施例，不能以此限定本公开的范围。即但凡依本公开教导所作的等效变化与修饰，皆仍属本公开涵盖的范围内。本领域技术人员在考虑说明书及实践这里的公开后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未记载的本
技术领域：
中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的范围和精神由权利要求限定。当前第1页12