用于无限数据流的隐私管理的系统和方法与流程

本公开一般地涉及数据处理和报告，更具体地，本公开涉及无限数据流的隐私保护处理。

背景技术：

诸如智能手机、物联网(IoT)设备及传感器等各种电子设备的快速普及导致了对各种类型信息的持续收集与监控。收集、监控、分析以及消费这种流信息的能力已成为不同服务的关键推动力。举例而言，对于智能电视制造商，与商业合作伙伴以及第三方服务提供商持续共享聚合用户数据(以不同形式的数据汇总)有益于提供增殖服务以及增加营收。作为另一个示例，用传感器连续采集用户数据来优化个性化服务，已成为一种常见的做法。

技术实现要素：

技术问题

本公开提供无限数据流的隐私保护处理。

技术方案

在第一个实施例中，提供一种装置用于保持流数据的匿名性。该装置包括配置为以第一数据集存储流数据的存储器以及与该存储器可操作连接的至少一个处理器。该至少一个处理器基于用于保护第一数据集的差异隐私的差异水平将第一数据集变换为第二数据集。当变换第一数据集时，处理器判断差异水平是否超出差异阈值。当差异水平超出差异阈值时，至少一个处理器通过添加第一噪声来变换第一数据集。当差异水平未超出差异阈值时，至少一个处理器判断追溯计数是否大于追溯计数阈值。当追溯计数大于追溯计数阈值时，至少一个处理器通过添加第二噪声来变换第一数据集。当追溯计数不大于追溯计数阈值时，至少一个处理器通过添加第三噪声来变换第一数据集。至少一个处理器将第二数据集发送至数据处理系统以用于基于统计的服务。

在第二个实施例中，提供一种方法用于保持流数据的匿名性。该方法包括存储包含第一数据集的流数据。该方法还包括基于用于保护第一数据集的差异隐私的差异水平将第一数据集变换为第二数据集。为变换第一数据集，该方法包括判断差异水平是否超出差异阈值，并在当差异水平超出差异阈值时，通过添加第一噪声来变换第一数据集。当差异水平未超出差异阈值时，该方法进一步包括判断追溯计数是否大于追溯计数阈值。该方法进一步包括，当追溯计数大于追溯计数阈值时，通过添加第二噪声来变换第一数据集以及当追溯计数不大于追溯计数阈值时，通过添加第三噪声来变换第一数据集。该方法随后包括将第二数据集发送数据处理系统以用于基于统计的服务。

在第三个实施例中，提供一种包含计算机程序的非暂时性介质用于保持流数据的匿名性。该计算机可读程序代码在被执行时使至少一个处理设备存储包含第一数据集的流数据。该计算机可读程序代码在被执行时还使至少一个处理设备基于用于保护第一数据集的差异隐私的差异水平将第一数据集变换为第二数据集。为变换第一数据集，该计算机可读程序代码在被执行时使至少一个处理设备判断差异水平是否超出差异阈值，并在当差异水平超出差异阈值时，通过添加第一噪声来变换第一数据集。当差异水平未超出差异阈值时，该计算机可读程序代码在被执行时进一步使至少一个处理设备判断追溯计数是否大于追溯计数阈值。该计算机可读程序代码在被执行时进一步使至少一个处理设备在当追溯计数大于追溯计数阈值时，通过添加第二噪声来变换第一数据集以及当追溯计数不大于追溯计数阈值时，通过添加第三噪声来变换第一数据集。该计算机可读程序代码在被执行时随后使至少一个处理设备将第二数据集发送至数据处理系统以用于基于统计的服务。

其他技术特征可以从以下的附图、说明书以及权利要求中对本领域技术人员显而易见。

附图说明

为更加完整的理解本公开及其优点，现参考以下描述，并结合附图，图中：

图1示出了其中可以实施本公开的各种实施例的示例通信系统；

图2示出了根据本公开的各种实施例的示例服务器；

图3示出了根据本公开的各种实施例的示例电子设备；

图4示出了根据本公开的各种实施例的用于无限数据流的隐私保护处理的示例系统架构；

图5示出了根据本公开的各种实施例的采样数据流的示例；

图6示出了根据本公开的各种实施例的用于电视数据共享的无限数据流的隐私保护处理的示例工作流程；

图7示出了根据本公开的各种实施例的用于电视数据共享的无限数据流的隐私保护处理的示例电子设备；

图8示出了根据本公开的各种实施例的用于其他电子设备数据共享的无限数据流的隐私保护处理的示例电子设备；

图9示出了根据本公开的各种实施例的用于传感器数据共享的无限数据流的隐私保护处理的示例电子设备；以及

图10示出了根据本公开的各种实施例的用于无限数据结构隐私保护处理的示例过程。

具体实施方式

在进行下面的发明方式之前，对贯穿本专利文件所使用的某些词语和短语的定义做阐述可能是有利的。术语“耦接”及其派生词指两个或两个以上元件之间的任何直接或间接的通信，无论那些元件相互之间是否物理连接。术语“发送”，“接收”和“通信”，以及它们的派生词，既包括直接通信也包括间接通信。术语“包括”和“包含”，以及它们的派生词，意思是包括但不限于。术语“或”是包含性的，意指和/或。短语“与…相关”及其派生词，意思是包括、被包括在内、与…相互连接、包含、被包含在内、连接至或与…连接、耦接至或与…耦接、与…可通信的、与…协作、交错、并置、接近、绑定至或与…绑定、具有、具有…属性、对或与…有关系等等。术语“控制器”意思是控制至少一项操作的任何设备、系统或其部分。这种控制器可以以硬件或硬件和软件的组合和/或固件实现。与任何特定控制器相关的功能可以是集中式的或分布式的，无论本地的还是远程的。短语“至少其一”，当与项目列表一起使用时，意思是可以使用一个或多个列表项目的不同组合，并且可以只需要列表中的一个项目。例如，“A、B和C中的至少一个”包括任意如下组合：A、B、C、A和B、A和C、B和C以及A和B和C。

此外，以下描述的各种功能可以通过一个或多个计算机程序实现或支持，其中的每一个都由计算机可读程序代码形成并包含在计算机可读介质中。术语“应用”和“程序”指的是适用于以适当的计算机可读程序代码来实现的一个或多个计算机程序、软件组件、指令集、进程、函数、对象、类、实例、相关数据或其部分。短语“计算机可读程序代码”包括任何类型的计算机代码，包括源代码、目标代码以及可执行代码。短语“计算机可读介质”包括能够被计算机存取的任何类型的介质，例如只读存储器(ROM)、随机存取存储器(RAM)、硬盘驱动器、压缩光盘(CD)、数字视频光盘(DVD)或任何其他类型的存储器。“非暂时”计算机可读介质不包括传输暂时的电信号或其他信号的有线的、无线的、光的或其他的通信链路。非暂时计算机可读介质包括可以永久存储数据的媒介以及可以存储数据并在之后重写的媒介，例如可重写的光盘或可擦除的存储设备。

其他确定的词语和短语的定义贯穿该专利文件给出。那些本领域技术人员应该理解，在许多情况下，如果不是大部分情况，这种定义适用于现在和将来对这样定义的词语和短语的使用。

下面讨论的图1至图10，以及用于描述本专利文件中本公开的原理的各种实施例都仅用于说明，不应该以任何方式解释为限制本公开的范围。本领域技术人员将理解，本公开的原理可以在任何适当布置的无线通信系统中实现。

在数据共享过程中，用户隐私问题已引起相当的公众关注。用户已明确表示他们不愿在缺少适当的隐私控制时共享数据。目前被大多数服务提供商所使用的开关隐私控制机制简单地将具有隐私意识的用户从接收某些服务中排除。本公开探讨一种在开启与关闭隐私控制机制之间的中间地带。

用于隐私保护流数据分析的解决方案对于实际应用具有明显的局限性。一些技术只考虑计算在过度简化的0和1的流上的1的运行总和。其他技术仅针对具有有限的预设持续时间的数据流有效，并且无法在较长一段时间内提供理想的精度。此外，基于预测的特性使得其结果准确度对于实际数据不稳定。

某些实施例描述了一种连续地使从个人用户设备或传感器收集来的流数据匿名的方法与系统。将篡改了的数据汇总定期发布给第三方服务提供商，并携有可证明的隐私保证，同时允许用户接收不间断服务。其益处包括：帮助数据发布者远离法律诉讼以及通过吸引更多具有隐私意识的用户来增加营收。数据发布者指的是拥有一些数据且需要与第三方共享这些数据的一方。例如三星智能电视(SAMSUNG SMART TV)服务器，其从三星智能电视收集日志并向第三方公布某些汇总统计，即为一个数据发布者。

本公开的各种实施例提供与众不同的隐私保护流数据共享解决方案以支持多样化服务，同时针对不受信任的服务提供商保护用户隐私。某些实施例接收连续的用户参与数据或传感器数据，生成相应的数据汇总，确定连续数据汇总的差异水平，进而定期发送篡改的汇总，而不受时间约束的限制。

本发明的实施例，例如，可以：(1)支持任意的用户参与数据和一般数据汇总结构；(2)定期生成不受时间约束的限制的篡改的汇总；以及(3)连续提供高质量的篡改的汇总。

图1示出了其中可以实施本公开的各种实施例的示例通信系统100。图1中所示的通信系统100的实施例仅用于说明。在未脱离本公开的范围的情况下，可以使用通信系统100的其他实施例。

如图1所示，系统100包括网络102，用于促进系统100中各种组件之间的通信。例如，网络102可以在网络地址之间传输互联网协议(IP)数据包、帧中继帧或其他信息。网络102可以包括一个或多个局域网(LANS)；城域网(MANS)；广域网(WANS)；全部或部分全球网络，例如因特网；或在一个或多个地点的任何其他的通信系统或系统。

网络102促进各种服务器103和104与各种电子设备106-114之间的通信。每个服务器104包括可以为一个或多个电子设备提供计算服务的任何适当的计算或处理设备。每个服务器104可以包括例如一个或多个处理器、存储指令和数据的一个或多个存储器以及促进基于网络102的通信的一个或多个网络接口。

每个电子设备106-114表示基于网络102与至少一个服务器或其他计算设备交互的任何适当的计算或通信设备。在该示例中，电子设备106-114包括电子设备，诸如，例如台式计算机106、移动电话或智能手机108、个人数字助理(PDA)110、笔记本电脑112、平板电脑114、耳机、可穿戴设备、智能手表等等。但是，通信系统100中可以使用任何其他或额外的电子设备。

在该示例中，一些电子设备108-114与网络102间接通信。例如，电子设备108-110经由一个或多个基站120(例如蜂窝基站或eNodeB)通信。另外，电子设备112-114经由一个或多个无线接入点(AP)118，例如IEEE802.11无线接入点、蓝牙以及WiFi直连通信。注意，这些仅用于说明，每个电子设备可以直接与网络102或经由任何适当的中间设备或网络与网络102间接通信。

如下面更加详细地记载，服务器103或服务器104对来自多个电子设备108-114的无限数据流的执行处理。虽然服务器103或服务器104被描述为对无限数据流执行处理，但设备108-114也可以对来自其他设备108-114或包含于各种设备中的传感器的无限数据流执行分析。

虽然图1示出了通信系统100的一个示例，但可以对图1做各种变化。例如，系统100可以包括任何适当布置下的任意数目的每个组件。一般地，计算以及通信系统具有多种多样的配置，图1并不将本公开的范围限制为任何特定的配置。虽然图1示出了一个可以在其中使用本专利文件所公开的各种特征的操作环境，但这些特征可以被用于任何其他适当的系统。

图2和图3示出了根据本公开的各种实施例的通信系统中的示例电子设备。具体地，图2示出了示例服务器200，图3示出了示例电子设备300。服务器200可以代表图1中的服务器103或服务器104，电子设备300可以代表图1中客户端设备106-114中的一个或多个。

如图2所示，服务器200包括总线系统205，其支持至少一个处理器210、至少一个存储设备215、至少一个通信单元220和至少一个输入/输出(I/O)单元225之间的通信。

处理器210执行可被加载到存储器230中的指令。处理器210可以包括任何适当布置下的任何适当数目或类型的处理器或其他设备。处理器210的示例类型包括微处理器、微控制器、数字信号处理器、现场可编程门阵列、专用集成电路以及分立电路。

存储器230以及持久存储设备235是存储设备215的示例，其代表能够存储以及便于信息(例如位于临时或永久基础上的数据、程序代码和/或其他适当的信息)检索的任何结构。存储器230可以代表随机存取存储器或任何其他适当的易失或非易失存储设备。持久存储设备235可以包含一个或多个支持数据的长期存储的组件或设备，诸如只读存储器、硬盘驱动器、闪存或光盘。

通信单元220支持与其他系统或设备的通信。例如，通信单元220可以包括促进基于网络102的通信的网络接口卡或无线收发器。通信单元220可以通过任何适当的物理或无线通信链路来支持通信。

I/O单元225允许数据的输入与输出。例如，I/O单元225可以提供连接，用于通过键盘、鼠标、小键盘、触摸屏或其他适当的输入设备进行用户输入。I/O单元225还可以将输出发送至显示器、打印机或其他适当的输出设备。

注意，虽然图2被描述为代表图1中的服务器104，但相同或相类似的结构可以被用于客户端106-114中的一个或多个。例如，笔记本电脑或台式计算机可以具有与图2中所示结构相同或相类似的结构。

如下面更加详细地记载，通信单元220将多个数据流连续接收至存储设备215中，每个数据流来自于一个不同的电子设备108-114。服务器200使用处理器210针对采样大小对当前时间内的无限数据流执行隐私保护处理。

如图3所示，电子设备300包括天线305、射频(RF)收发器310、发送(TX)处理电路315、麦克风320以及接收(RX)处理电路325。电子设备300还包括扬声器330、处理器340、输入/输出(I/O)接口(IF)345、输入端350、显示器355以及存储器360。存储器360包括操作系统(OS)程序361以及一个或多个应用362。

射频收发器310从天线305接收由系统中另一个组件发送的输入射频信号。射频收发器310将输入的射频信号下变频以生成中频(IF)或基带信号。该中频或基带信号被发送至接收处理电路325，处理电路325通过对基带或中频信号进行滤波、解码和/或数字化来生成经过处理的基带信号。接收处理电路325将经过处理的基带信号发送至扬声器330(例如用于语音数据)或处理器340用于进一步处理(例如用于网页浏览数据)。

发送处理电路315从麦克风320接收模拟或数字语音数据或从处理器340接收其他输出基带数据(例如网页数据、电子邮件或交互视频游戏数据)。发送处理电路315对输出基带数据进编码、多路复用以及数字化以生成经过处理的基带或中频信号。射频收发器310从发送处理电路315接收输出的经过处理的基带或中频信号，并将基带或中频信号上变频为经由天线305发送的射频信号。

处理器340可以包括一个或多个处理器或其他处理器，并执行存储于存储器360中的操作系统程序361以控制电子设备300的整体操作。例如，处理器340可以依据众所周知的原理，通过射频收发器310、接收处理电路325和发送处理电路315来控制前向通道信号的接收与反向通道信号的发送。在一些实施例中，处理器340包括至少一个微处理器或微控制器。

处理器340还能够执行存储在存储器360中的其他进程和程序。处理器340可以基于执行中的进程的需要将数据移入或移出存储器360。在一些实施例中，处理器340被配置为基于操作系统程序361或响应从外部设备或操作者处接收的信号来执行应用362。处理器340还与I/O接口345耦接，为电子设备300提供连接至诸如笔记本电脑和掌上电脑等其他设备的功能。I/O接口345是这些配件与处理器340之间的通信路径。

处理器340还耦接至输入端350与显示器355。电子设备300的操作者可以使用输入端350(例如键盘、触摸屏、按钮等)输入数据到电子设备300。显示器355可以是液晶显示器、发光二极管(LED)显示器、光学LED(OLED)、有源矩阵OLED(AMOLED)或能够呈现诸如来自网站的文档和/或至少有限图形的其他显示器。

存储器360耦接至处理器340。存储器360的一部分可以包括随机存取存储(RAM)，存储器360的另一部分可以包括闪存或其他只读存储器(ROM)。

如下面更加详细的描述，收发器310连续接收多个数据流至存储器360中，每个数据流来自一个不同的电子设备300或不同的电子设备108-114。电子设备300针对采样大小对当前时间内的无限数据流执行隐私保护处理。在某些实施例中，电子设备300发送连续数据流以用于隐私保护处理。

尽管图2和图3示出了通信系统中的设备的示例，但可以对图2和图3做各种变化。例如，图2和图3中的各种组件可以被结合、进一步细分或省略，并且可以根据特殊需要添加额外的组件。作为一个特殊示例，处理器340可以被划分为多个处理器，诸如一个或多个中央处理单元(CPU)以及一个或多个图形处理单元(GPU)。另外，虽然图3示出了被配置为移动电话或智能手机的电子设备300，但电子设备可以被配置为以其他类型的移动或固定设备来操作。此外，与计算和通信网络一样，电子设备以及服务器可以具有多种多样的配置，图2和图3并不将本公开限制为任何特定的电子设备或服务器。

图4示出了根据本公开的各种实施例用于无限数据流405的隐私保护处理的示例系统架构400。图4中所示的系统架构400的实施例仅用于说明。图4并不将本公开的范围限制为电子设备的任何特定实现。

系统架构400包括多个用户设备410、第一设备415以及至少一个服务提供商420。用户设备410连续收集与每个相应的用户设备410的操作有关的数据，并向第一设备415发送数据流以用于隐私保护处理。第一设备415处理数据流405并生成篡改的汇总445以提供给服务提供商420。该篡改的汇总445向服务提供商420提供了该篡改的汇总445中的足够价值，同时保护个人用户设备410所参与的事件。

在操作425中，第一设备415(例如电子设备300或服务器200)从多个用户设备410处连续收集包括一个或多个用户参与数据或传感器数据的数据流405。在操作430中，第一设备410将收集到的数据转换为更加紧凑的数据汇总(例如直方图)，该数据汇总表示一定时间段内的事件的全部参与数据或传感器数据，并且对不可信第三方服务提供商420有用。在操作435中，第一设备415通过自动选择使准确性最大化的采样率来计算连续的数据汇总之间的差异水平。在操作440中，第一设备415，基于该差异水平，采取适当的策略来定期而不受时间约束限制地篡改和发布数据汇总。如果该差异水平位于阈值内，篡改的汇总相对于先前的篡改的汇总保持不变。

保证所发布的篡改的数据汇总满足差异隐私，并且防止用户参与数据或传感器数据被发现。本公开的实施例保证随着时间的推移，篡改的数据汇总提供与原始汇总一样的稳定的质量。

虽然图4示出了用于无限数据流的隐私保护处理的示例系统架构400，但可以对图4做各种变化。例如，图4中的各种组件可以被结合、进一步细分或省略，并且可以根据特定需要添加额外的组件。与计算和通信网络一样，系统架构400可以具有多种多样的配置，并且图4并不将本公开限制为任何特定电子设备。

图5示出了根据本公开的各种实施例的采样数据流500的例子。图5所示的采样数据流500的实施例仅用于说明。图5并不将本公开的范围限制为电子设备的任何特定实现。

每个事件属于一个用户且与一个属性值相关。属性值，例如，可以为用户所观看的节目、智能手表所报告的步数、来自传感器的读数等。第一设备415连续监控数据流405并在离散的时间戳515处公布对最近滑动窗口510内的事件分布进行汇总的直方图505。直方图505在与服务提供商不同的兴趣方面有关的广泛的范围内具有广泛的应用。直方图505中的每个直方520对应一个属性值，其计数为在滑动窗口内落入一个直方中的事件的数目。两个连续时间戳之间的持续时间构成一个时间单元525。滑动窗口的大小为其所覆盖的时间单元的数目。

虽然图5示出了示例采样数据流500，但可以对图5做各种变化。例如，图5中的各种组件可以被结合、进一步细分或省略，并且可以根据特定需要添加额外的组件。作为一个特定示例，用于采样数据流500的滑动窗口510可以被进一步划分为包括更多的时间单元525。此外，与计算和通信网络一样，采样数据流500可以具有多种多样的配置，并且图5并不将本公开限制为任何特定电子设备。

图6示出了根据本公开的各种实施例的用于参与数据共享的无限数据流的隐私保护处理的示例工作流程600。图6所示的工作流程600的实施例仅用于说明。图6并不将本公开的范围限制为电子设备的任何特定实现。

本公开的示例性系统包括基于采样的变化监控模块605和连续直方图公布模块610。基于采样的变化监控模块605自适应地确定最佳采样率以获知基础性的流的演变。后者基于此来采取适当的公布策略以改善效用(例如减少误差)。

基于采样的变化监控模块605对当前时间单元内的来自于输入数据流615的用户参与数据进行汇总，并通过求解下面的最优化问题来计算适当的采样率γ_i

subject to 0＜γ_j≤1

其中N_j为真实用户参与数据，ε₁为基于采样的变化监控模块605所使用的隐私参数。其次，基于采样的变化监控模块605以采样率γ_j生成采样并估计用户参与数据为：

其中，|S_j|为真实采样大小，Lap(·)为拉普拉斯机制。在最后的步骤中，基于采样的变化监控模块605计算当前时间单元与先前时间单元之间的平方误差。

一般地，连续直方图公布模块610通过维护被称为追溯群组的时间单元525的集合来实现误差的减少。在操作620中，连续直方图公布模块610比较由基于采样的变化监控模块605计算出的差(例如平方误差)与阈值2/(ε₂)²，其中ε₂为连续直方图公布模块610的隐私参数。在操作625中，如果该差大于或等于2/(ε₂)²，则连续直方图公布模块610通过拉普拉斯机制公布用户参与数据并清空追溯群组。否则，在操作630中，连续直方图公布模块610检查能够通过追溯分组来降低误差。在操作635中，如果追溯群组的大小大于或等于2/(γε₂)，其中γ为被增加至追溯群组中的第一时间单元的拉普拉斯误差的比例，则连续直方图公布模块610公布追溯群组中的时间单元的平均值加上其中|G|为追溯群组的大小，并清空追溯群组。在操作640中，如果追溯群组的大小小于2/(γε₂)，则连续直方图公布模块610通过先前时间单元的数据来近似当前时间单元的数据并将当前时间单元增加至追溯群组。对于任意无限数据流，工作流程600给出ε差异隐私，其中ε＝ε₁+ε₂。对于具有T个时间单元的(一段)数据流，平方和误差(SSE)的期望的最小平均值在O(1/(T(ε₂)²))内。

虽然图6示出了用于参与数据共享的无限数据流的隐私保护处理的示例工作流程600，但可以对图6做各种变化。例如，图6中的各种组件可以被结合、进一步细分或省略，并且可以根据特定需要添加额外的组件。与计算和通信网络一样，工作流程600可以具有多种多样的配置，并且图6并不将本公开限制为任何特定电子设备。

图7示出了根据本公开的各种实施例的用于电视数据共享700的无限数据流的隐私保护处理无限数据流的隐私保护处理的示例电子设备705。图7所示的电视数据共享700的实施例仅用于说明。图7并不将本公开的范围限制为电子设备的任何特定实现。

第一设备705(例如由智能TV制造商主办的可信服务器)可以将来自于参与者720的参与数据715的数据汇总710(例如观看每个节目的用户的数目)定期共享给不可信第三方合作者或服务提供商725，用于推荐或广告服务而不侵犯参与者720的隐私。参与数据715，例如，可以包括用户所观看的节目。来自于参与数据的推荐可以是用户可能也喜欢的节目。发布的汇总还可以被第三方直接用于确定广告的价格。

虽然图7示出了用于电视数据共享700的无限数据流的隐私保护处理的示例电子设备705，但可以对图7做各种变化。例如，图7中的各种组件可以被结合、进一步细分或省略，并且可以根据特定需要添加额外的组件。作为一个特定示例，电视数据共享700可以具有多种多样的配置，并且图7并不将本公开限制为任何特定电子设备。

图8示出了根据本公开的各种实施例的用于其他电子设备数据共享800的无限数据流的隐私保护处理的示例电子设备805。图8所示的其他电子设备数据共享800的实施例仅用于说明。图8并不将本公开的范围限制为电子设备的任何特定实现。

第一设备805(例如用户的智能手机)可以定期收集、篡改以及共享来自IoT设备820的IoT设备数据815的数据汇总810到不可信数据接收者825(例如服务提供商或数据分析师)以用于个性化服务。由于原始数据在其离开第一设备805之前被适当地篡改，因而保护了用户的隐私。参与数据可以是例如如同用户与这些IoT设备820交互时的时间戳一样简单，以便智能家居系统为用户自动化其操作(例如在用户到家之前操作空调，在用户离开之后关闭电灯)。

虽然图8示出了用于其他电子设备数据共享800的无限数据流的隐私保护处理的示例电子设备805，但可以对图8做各种变化。例如，图8中的各种组件可以被结合、进一步细分或省略，并且可以根据特定需要添加额外的组件。作为一个特定的示例，其他电子设备数据共享800可以具有多种多样的配置且图8并不将本公开限制为任何特定电子设备。

图9示出了根据本公开的各种实施例的用于传感器数据共享900的无限数据流的隐私保护处理的示例电子设备905。图9所示的传感器数据共享900的实施例仅用于说明。图9并不将本公开的范围限制为电子设备的任何特定实现。

第一设备905(例如SAMSUNG(TM)GEAR S2(TM))可以连续监控、聚合以及隐去传感器读数910，并且直接地或经由数据中转(例如用户的手机)将篡改的数据汇总915共享至不可信第二设备920。以这种方式，传感器数据共享900既提供了对于将来的服务更容易且节省通信成本的大量传感器读数910的紧凑表示，又提供了用户个人传感器读数910的隐私保护。传感器读数，例如，可以包括任何类型的生理测量(例如体温、心率等)。相应的服务可以生成用户群组的平均值，以便用户了解他的测量是正常值或平均值。例如，S-HEALTH(TM)提供参考用户的年龄组的平均数值的报告。

虽然图9示出了用于传感器数据共享900的无限数据流的隐私保护处理的示例电子设备905，但可以对图9做各种变化。例如，图9中的各种组件可以被结合、进一步细分或省略，以及可以根据特定需要添加额外的组件。作为一个特定的示例，传感器数据共享900可以具有多种多样的配置，并且图9并不将本公开限制为任何特定电子设备。

图10示出了根据本公开的使用电子设备用于无限数据流的隐私保护处理的示例过程1000。例如，图10所示的过程1000可以由图2中的服务器200或图3中的电子设备300执行；该过程也可以由图1中的电子设备106-114实施。

在操作1005中，电子设备300存储包括第一数据集的流数据。电子设备300从多个源接收包括第一数据集的流数据。该第一数据集包含来自参与者设备、IoT设备或电子设备300中的传感器的原始数据。数据集的示例包括用户通过多个智能电视观看特定频道，多个IoT设备的电力使用，或来自电子设备300的传感器读数，例如行走的步数。

原始数据集可以向用户或用户组告知比第三方所需要的更多的情况。通过与来自其他或已知数据库中的数据块进行匹配并建立标识标志，可以发现特定用户的资料。可以针对可信或安全的数据库使用这些标志来识别特定个体以获取用户的隐私详情。例如，第三方得到了参与者行走的步数的原始数据。虽然该数据显得相当简单，但第三方可以解释该原始数据以便有可能确定日常生活以及模式，例如参与者何时起床/就寝、活动、离开家等。

对当前时间内从流数据中接收的用户数据进行汇总。使用汇总的用户数据来计算采样率。电子设备300使用该采样率从汇总的用户数据中生成第一数据集。数据集的采样率可以基于时间间隔来确定。

在操作1010中，电子设备300基于用于保护第一数据集的差异隐私的差异水平将第一数据集变换为第二数据集。变换第一数据集包括操作1015-1035。差异水平可以基于第一数据集的数据统计分布的比较。差异水平也可以基于第一数据集与来自多个数据源的先前数据集之间的比较来确定。

在操作1015中，电子设备300确定差异水平是否超出差异阈值。差异阈值基于接收到的数据集的误差率与采样率。

在操作1020中，当差异水平超出阈值时，电子设备300通过添加第一噪声来变换第一数据集。该第一噪声可以基于拉普拉斯机制来确定。拉普拉斯机制创建与变量相加的随机数以扰乱数据集中的值，而不丢失服务提供商的真实值。

当差异水平未超出阈值时，电子设备执行操作1025-1035。

在操作1025中，电子设备300判断追溯计数是否大于追溯计数阈值。追溯计数可以基于使用第三噪声变换的先前的连续的数据集的数目。追溯群组考虑位于差异阈值内的先前值以便进一步保护个人用户或设备的身份。

在操作1030中，当追溯计数大于追溯计数阈值时，电子设备300通过添加第二噪声来变换第一数据集。该第二噪声可以由追溯分组确定。追溯分组采用足够大的一组先前读数并基于追溯群组生成噪声。

在操作1035中，当追溯计数不大于追溯计数阈值时，电子设备300通过添加第三噪声来变换第一数据集。该第三噪声可以根据基于先前的连续时间单元的值的近似噪声来确定。

在操作1040中，电子设备300将第二数据集发送至数据处理系统以用于基于统计的服务。第二数据集可以被生成为篡改的直方图。该篡改的直方图用于保证参与者的隐私，同时提供使用统计数据或设备组的直接知识。

尽管图10示出了用于无限数据流的隐私保护处理的示例过程，分别地，可以对图10做各种变化。例如，虽然示出了一系列步骤，但各种步骤可以交叠、并行发生、以不同的顺序发生、多次发生或在某些实施例中不执行。

本申请的说明不应被理解为，暗示任何特定元件、步骤或功能是必须被包含在权利要求范围内的基本元件。专利的主题范围仅由权利要求限定。