隐私安全的基于云的计算机视觉的制作方法

1.所公开的概念涉及用于保护数字数据隐私的方法和系统，并且具体地涉及用于保护传输到计算云、存储在计算云中和/或由计算云处理的数字数据的方法和系统。


背景技术：

2.场外云计算在当今时代很普遍，并且与场内计算相比提供各种益处，其包括场内云计算和场内离线计算。场外云计算服务的客户端常常会被此类服务所吸引，因为场外云计算的第三方提供商常常具有更大的硬件和软件处理和存储能力，并且因此比客户端具有更大的可扩展性。场外云计算在医学和相关领域变得特别期望，其中，场外计算允许医疗保健提供商和机构处理数字图像和视频数据并存储电子健康记录以及其他功能。然而，将数据异地发送给第三方云计算服务提供商会引起客户端对数据安全和保障问题。众所周知的用于确保与云计算相关的数据安全和保障的技术和解决方案包括：(i)通过加密/解密的方式保护客户端与云之间的通信，例如经由虚拟专用网络(vpn)；(ii)经由认证和/或防火墙技术保护对个人基于云的计算机的访问；以及(iii)通过加密保护存储在基于云的硬盘驱动器上的数据。虽然这些技术和解决方案通常是有效的，但云服务的客户可能仍然对将隐私敏感数据发送到异地第三方拥有的服务器(即计算云)并在那里存储和处理此类数据感到犹豫，因为有可能黑客闯入通信系统、硬盘驱动器，或者甚至是基于云的计算机的ram。关于诸如患者的静止图片和数字视频的图像数据以及诸如临床医生语音备忘录或书面患者笔记的医学数据，隐私问题可能尤其明显。
3.鉴于云计算在医疗保健行业和其他隐私敏感环境中如何普遍存在，保护云客户及其敏感数据的隐私对于云服务的提供商和客户两者高度重要。虽然用于确保与云计算相关的数据安全和保障的已知技术和解决方案通常是有效的，但黑客入侵的可能性，无论多么遥远，对于任何想要保护使用云服务存储或处理的敏感数据的隐私的人来说，都是问题的合理理由。因此，用于确保传输到计算云、使用计算云存储和/或处理的数字数据的隐私的方法和系统存在改进空间。


技术实现要素：

4.因此，本发明的一个目的是在一个实施例中提供一种在客户端计算系统与云计算系统之间传输数字数据并利用所述云计算系统处理所述数字数据的方法，所述方法包括：利用客户端系统中的记录设备来捕获未加扰数据；利用所述客户端计算系统对所述未加扰数据进行加扰以产生已加扰数据；利用所述客户端计算系统将所述已加扰数据传输到所述云计算系统；利用所述云计算系统来处理所述已加扰数据；并且利用所述云计算系统将所述处理的输出传输到所述客户端计算系统，其中，已解扰数据不被存储在所述云计算系统中，并且其中，所述处理的所述输出不包括所述已加扰数据的已解扰形式。
5.利用云计算系统的处理可以包括对已加扰数据进行解扰和产生被映射到未加扰数据的输出中的任一项或两者。未加扰数据可以包括数据序列，使得每个数据序列包括多
个分量数据单元。对此类数据序列进行加扰可包括使用存储的查找表将给定数据序列中的多个分量数据单元中的每个分量数据单元映射到伪随机位置，该伪随机位置相对于给定数据序列中的所有其他分量数据单元被映射到的伪随机位置是唯一的。对这样的数据序列进行加扰可以备选地包括使用数学函数将给定数据序列中的多个分量数据单元中的每个分量数据单元映射到新位置，该新位置相对于给定数据序列中所有其他分量数据单元被映射到的新位置是唯一的。用于加扰未加扰数据的加扰技术可以由客户端计算系统周期性地改变。将加扰数据从客户端系统传输到云可以包括与加扰数据一起传输加扰标识符，云计算系统可以使用该加扰标识符来识别客户端计算系统使用了什么加扰技术。该方法还可以包括利用客户端计算系统对处理的任何已加扰输出进行解扰。
6.在另一个实施例中，一种用于保护数字有序数据序列的数据保护系统，包括：客户端计算系统，其被配置为捕获和传输所述客户端计算系统之外的客户端数据，所述客户端计算系统包括：记录设备，其被配置为捕获客户端数据，所述客户端数据包括数据序列，使得每个数据序列包括多个分量数据单元；数据加扰器，其被配置为接收由所述记录设备捕获的客户端数据并且对所述客户端数据进行加扰；以及经处理数据接收器；以及云计算系统，所述云计算系统包括：数据处理模块，其被配置为处理从所述客户端计算系统传输的客户端数据并且输出经处理的客户端数据；以及云存储单元，其被配置为存储由所述数据处理模块处理和输出的客户端数据，其中，所述客户端计算系统被配置为仅将已加扰客户端数据传输到所述云计算系统，并且其中，所述数据处理模块可以被配置为不输出已解扰客户端数据。
7.数据处理模块可以被配置用于在处理期间对已加扰客户端数据进行解扰和产生映射到未加扰的客户端数据的输出中的任一项或两者。对给定数据序列进行加扰可以包括使用存储的查找表来将所述给定数据序列中的所述多个分量数据单元中的每个分量数据单元映射到伪随机位置，所述伪随机位置相对于所述给定数据序列中的所有其他分量数据单元被映射到的伪随机位置是唯一的。对给定数据序列进行加扰可替代地包括使用数学函数来将所述给定数据序列中的所述多个分量数据单元中的每个分量数据单元映射到新位置，所述新位置相对于所述给定数据序列中的所有其他分量数据单元被映射到的新位置是唯一的。客户端计算系统可以被配置为周期性地改变数据加扰器使用的数据加扰技术。客户端计算系统还可以被配置为在向云计算系统发送已加扰客户端数据时发送加扰标识符，并且云计算系统可以被配置为基于加扰标识符来识别客户端计算系统使用了什么加扰技术。
8.本发明的这些和其他目的、特征和特性，以及结构的相关元件的操作方法和功能以及部件的组合和制造的经济性，将在参考附图考虑以下描述和所附权利要求书时变得更明显，所有这些构成本说明书的部分，其中，相似的附图标记指示各图中的对应部件。然而，应当明确理解，附图仅用于说明和描述的目的，并不意图作为对本发明的限制的定义。
附图说明
9.图1是包含根据所公开概念的示例性实施例的用于保护从客户端计算系统传输到云计算系统的数字数据的方法的步骤的流程图；并且
10.图2是根据所公开概念的示例性实施例的客户端计算系统和云计算系统的示意性
表示，所述客户端计算系统和云计算系统被配置为根据图1中描绘的方法彼此通信并在彼此之间传输数字数据。
具体实施方式
11.如本文所使用的，单数形式的“一”、“一个”和“所述”包括复数指代，除非上下文另有明确规定。
12.如本文所使用的，两个或更多个部分或部件“耦合”的陈述应该意指这些部分直接或间接地(即通过一个或多个中间部分或部件)连接或一起运行，只要链接发生。
13.如本文所使用的，术语“计算云”或“云”应该意指计算机系统资源，包括但不限于数据存储和计算能力，其通过因特网对用户可用，而无需用户直接主动管理。
14.如本文所使用的，术语“客户端”应该意指云服务的用户，此类用户包括但不限于计算系统。
15.如本文所使用的，术语“控制器”应该意指可以存储、检索、执行和处理数据(例如，软件例程和/或此类例程使用的信息)的多个可编程模拟和/或数字设备(包括关联的存储器部分或部)，包括但不限于现场可编程门阵列(fpga)、复杂可编程逻辑器件(cpld)、可编程片上系统(psoc)、专用集成电路(asic)、微处理器、微控制器、可编程逻辑控制器或任何其他合适的处理设备或装置。存储器部分可以是多种类型的内部和/或外部存储介质中的任何一种或多种，例如但不限于ram、rom、eprom、eeprom、flash等，它们提供存储寄存器，即非瞬态机器可读介质，以用于数据和程序代码存储，例如以计算机内部存储区的方式，并且可以是易失性存储器或非易失性存储器。
16.如本文所使用的，术语“数量”应该意指一或大于一的整数(即多个)。
17.如本文所使用的，术语“加扰”应该意指，关于其部件旨在按特定顺序排列以便使数据实体易于理解的数据实体，改变部件的顺序使得数据实体是不可理解的，并且术语“已加扰”应该意指其部件被乱序排列使得数据实体不可理解的数据实体。
18.本文使用的方向性短语，例如但不限于顶、底、左、右、上、下、前、后及其派生词与图中所示元素的取向相关，并且不限制权利要求，除非在其中明确叙述。
19.如本文结合各种特定示例性实施例更详细地描述的，所公开的概念提供了用于在客户端系统和计算云之间的数据传输期间以及在通过云对数据的任何处理期间确保数字数据的隐私的方法和系统。特别地，所公开概念的方法和系统保护表现为有序数据序列的任何类型的数据的隐私。有序数据序列的非限制性示例包括数字图像数据、数字视频、数字记录的医学临床医生语音备忘录和打字的患者笔记，因为数字图像是像素颜色值的有序阵列，数字视频是连续图像流，数字语音备忘录是以特定顺序排列的离散信息位，而打字的患者笔记是以特定顺序编译的文本字符串。
20.为了公开的经济性，主要在保护图像数据的隐私和伪随机化数字图像内的像素位置方面描述了所公开的概念，然而，将意识到，应用于数字图像内的像素的方法和系统在不脱离所公开的概念的范围的情况下可以应用于非图像有序数据序列内的其他数据单元。例如但非限制地，数字语音备忘录的部件位可以类似于图像像素，而完整的语音备忘录可以类似于完整的图像，打字的患者笔记的字符串或字符串片段可以类似于图像像素，而完整的打字的患者笔记可以类似于完整的图像。
21.所公开概念的系统和方法通过在将数据传输到云之前加扰数据来确保数字数据的隐私，特别是通过改变有序数据序列中包含的数据单元的顺序。此外，所公开概念的方法和系统不允许将解扰的数据存储在云存储中并且由云执行的任何处理都是对已加扰数据执行的。通过阻止解扰的数据传输到云和存储在云存储中，在黑客破坏旨在保护发送到云的数据的传输和存储的加密协议的情况下，黑客将只能获得加扰后的数据。应当理解，术语“未加扰”可以表示在加扰之前原始捕获的数据，而术语“已解扰”可以表示已经加扰、然后重新排序以类似于原始未加扰形式的数据。为了公开的简洁，本文一次仅使用术语“未加扰”或“已解扰”中的一个来描述未加扰数据，并且使用“未加扰”而不是“已解扰”并不旨在限制，反之亦然。
22.图1是包含根据所公开概念的示例性实施例的用于保护从客户端计算系统传输到云计算系统的数字数据的方法10的步骤的流程图，并且图2是根据所公开概念的示例性实施例的客户端系统100和云系统200的示意图，客户端系统100和云系统200被配置为根据图1中描绘的方法10彼此通信并在彼此之间传输数字数据。在不脱离所公开概念的范围的情况下，客户端系统100和云系统200可以包括控制器或其他计算硬件和软件的任何组合，并且所公开的概念不依赖于所使用的这些元件的特定组合。客户端系统100被配置为捕获数字数据且对数字数据加扰并将已加扰数据传输到云系统200，而云系统200被配置为处理和存储已加扰数据并且随后将经处理数据传输回客户端系统100。因为所公开的概念在此主要在保护数字图像数据方面进行描述，客户端系统100被描绘为包括相机110。然而，对于想要保护传输到云并存储在云中的其他类型的数据的客户端，将意识到，适合捕获非图像数据的记录设备将取代客户端系统100中的相机110。例如且非限制性地，在期望保护临床医生语音备忘录的情况下，相机110将被语音识别软件和/或硬件取代。此外，在不脱离所公开概念的范围的情况下，客户端系统100可以包括多个用于捕获客户端数据的设备，例如但不限于相机和语音识别软件。如本文所使用的，术语“捕获的”和“捕获的客户端数据”指的是由相机110捕获的数据，所公开概念的方法和系统旨在保护该数据的隐私。
23.参考图1和图2，在方法10的步骤11处，捕获客户端数据，即相机110捕获对象1的图像。在步骤12处，数据加扰器120对相机110捕获的图像进行加扰。数据加扰器120包括如本文更详细描述的对所捕获图像中包含的像素的顺序进行加扰的软件和/或硬件。加扰数据可以使用各种方式来实现，例如且不限于通过使用可执行文件和/或数据文件中的一个或两个来实现，并且可以在不脱离所公开概念的范围的情况下通过软件或硬件的任何组合来执行。数据加扰器120执行的加扰遵循基本前提，即相机110捕获的2d图像中每个像素的原始位置(x,y)被映射到新位置(p,q)以创建加扰图像，其中，每个映射是唯一的，使得没有两个位置(xa,yb)和(xm,yn)映射到相同的新位置(pj,qk)，以便防止数据丢失。数据加扰器120可以使用的数据加扰的具体实施方式的示例在本文中关于程序d更详细地描述。数据加扰器120可以是与相机110分离的分立部件(或使用任何数据捕获设备代替相机110)或集成到相机110中以形成数据捕获/加扰模块125而不背离所公开概念的范围。在数据加扰器120被集成到相机110中的这种实施例中，未加扰图像在被相机110捕获之后和被传输到云系统200之前将不存在或存储在客户端系统100中。
24.在方法10的步骤13处，将已加扰的捕获图像传输到云系统200，具体地传输到云系统200的处理模块220。处理模块220可以包括能够分析数字数据的软件和/或硬件的任意组
合。在图1中，客户端系统100和云计算系统200被描述为通过虚拟专用网络(vpn)130连接，其中，数据加扰器120的已加扰数据输出通过vpn从客户端系统100传输到处理模块220，以便进一步保护客户端图像数据的传输。在不脱离所公开概念的范围的情况下，可以省略vpn 130，然而，将意识到，使用vpn或其他数据加密系统被认为是一种谨慎的措施，用于防止未授权方截取通过因特网在两个端点之间传输的私人数据。
25.在方法10的步骤14处，处理模块220处理已加扰的客户端图像。处理模块220执行的处理是上下文特定的。在捕获的包括诸如mri图像的医学图像数据的客户端数据的上下文中，处理模块220可以执行的处理的一个非限制性示例是识别图像中表现出与周围组织不同的色素沉着和/或聚类的区域，临床医生可以进一步分析是否存在肿瘤或其他问题。在所公开概念的方法和系统中，云系统200中处理图像可能必需的加扰图像(或其他捕获的客户端数据)的任何解扰被嵌入由云系统200执行的图像的任何处理中和/或与其集成，而不是与图像处理分开执行，以便防止加扰图像存储在云系统200中。
26.如果由云系统200执行的处理需要在云系统200中存储客户端图像数据，则在方法10的步骤15-16中将加扰图像(并且仅加扰图像)存储在云存储230中。存储的数据必须进行加扰的要求适用于完整图像及其部分两者的存储，并且适用于硬盘驱动器和内存(例如，ram)中的存储。图像数据的存储可能是必要的，例如且不限于，当云系统200用于时间处理时。方法10然后返回到步骤14以进一步处理存储的图像数据。如果在步骤14处理数据之后不需要存储或进一步存储已加扰图像数据，则在步骤17处将经处理数据传输到经处理数据接收器140，经处理数据接收器140包括指定用于接收经处理客户端数据的客户端系统100中的软件和/或硬件。
27.在诸如客户端系统100的客户端系统将使用诸如云系统200的云计算系统来在方法10的步骤14处处理图像数据的许多上下文中，处理的输出不一定是图像。例如且不限于，在使用云系统200分析mri图像以用于身体组织中的异常色素沉着或聚类的存在的先前示例中，处理模块220的期望处理输出将是存在色素沉着或聚集的像素位置的列表。下面更详细地示出和描述的程序a是用伪代码编写的程序的简单示例，处理模块220可以使用它来确定2d图像中最亮像素的位置，并演示了如何可以使用已加扰图像来执行确定最亮像素的位置的云处理功能，而无需将未加扰图像存储在云系统200中：
28.程序a
[0029][0030][0031]
参考程序a，2d整数阵列“img”表示数据加扰器120根据相机110捕获的2d图像产生的已加扰2d图像。阵列“img”具有n行和m列，阵列“img”的每个条目[p,q]对应于已加扰图像
的像素。将意识到，相机110捕获的未加扰图像也具有n行和m列的像素。在一个非限制性示例中，阵列“img”中的每个条目都保存0到255的范围内的整数值，就像对灰度2d图像的字节图像表示所做的。函数“process”迭代每个已加扰图像阵列条目[p,q]并将每个条目[p,q]的值与整数变量“max”的值进行比较，整数变量“max”保存已经迭代的像素中众多的由此找到的最大值。如果当前正在评估的条目[p,q]保存的值大于当前存储在“max”中的值，则更新“max”的值以保存当前评估的条目[p,q]所保存有的值，并且变量pm和qm分别用当前条目[p,q]的p值和q值更新。在函数“process”已经迭代通过已加扰图像中的所有像素后，映射函数“map”将pm和qm的值(表示已加扰图像中保存最大像素值的像素的坐标)映射到未加扰图像中的配位的x坐标xm和y坐标ym。处理模块220将通过引用将坐标xm和ym(其识别未加扰图像中最亮像素的位置)返回到经处理数据接收器140，而无需存储已解扰图像。
[0032]
更复杂的处理功能可能需要一个程序，它比程序a更频繁地将已加扰图像的坐标映射到未加扰图像中的对应坐标，并且下面示出的程序b是这样的程序的示例：
[0033]
程序b
[0034][0035]
程序b中使用的函数和变量与程序a具有相同的概念意义，并且程序b也像程序a一样寻找2d图像中最亮的像素。然而，程序b每次更新“max”时，都会将“max”的pm和qm坐标从已加扰图像映射到未加扰图像的xm和ym坐标，而不是在已加扰图像中的所有像素已经被迭代后映射仅一次。
[0036]
此外，可以存在迭代未加扰图像的x,y坐标比迭代已加扰图像的p,q坐标更优选的上下文。也可以在不将未加扰图像存储在云系统200中的情况下对未加扰图像的x,y坐标进行迭代。程序c如下所示是简单的示例程序，处理模块220可以使用它来通过在未加扰图像的x,y坐标而不是已加扰图像的p,q坐标上迭代来确定2d图像中最亮的像素的位置：
[0037]
程序c
[0038][0039]
程序c中使用的映射函数“map2”实施了程序a和b中使用的映射函数“map”的逆函
数，即映射函数“map2”将未加扰图像的x,y坐标映射到已加扰图像的p,q坐标。程序c中使用的变量与程序a和b中的概念含义相同。程序c中的函数“process”迭代每个未加扰图像阵列条目[x,y]，利用映射函数“map2”将当前迭代的[x,y]条目映射到对应的已加扰图像阵列条目[p,q]，然后将每个条目[p,q]保存的值与当前存储在变量“max”中的值进行比较，变量“max”再次保存在已经迭代的像素中找到的最大值。如果当前正在评估的条目[p,q]保存的值大于当前存储在“max”中的值，则更新“max”的值以保存当前评估的条目[p,q]所保存的值，并且变量xm和ym使用当前条目[x,y]的x和y值更新。在“process”已经迭代通过未加扰图像中的所有像素后，未加扰图像中的x坐标xm和y坐标ym保存未加扰图像中具有最大像素值的像素的坐标。处理模块220将坐标xm和ym返回到经处理数据接收器140，以在没有存储已解扰图像的情况下识别已解扰图像中最亮的像素的位置，正如程序a和程序b所做的那样。
[0040]
虽然程序a、b和c演示了输出不是图像的处理，但将意识到，当处理模块220的期望处理输出是图像时，处理模块220将已加扰经处理图像传输到经处理数据接收器140，并且经处理数据接收器140将已加扰图像的p,q坐标映射到x,y坐标以产生已解扰经处理图像。此外，在处理模块220的期望处理输出是识别图像中的对象的情况下，处理模块220可以将匿名标识符发送到客户端系统100，使得客户端系统100可以使用仅客户端已知的映射来使标识符去匿名化。总之，无论处理模块220的期望处理输出如何，在所公开概念的系统和方法中，未加扰图像和已解扰图像从不存储在云系统200中。
[0041]
如先前关于方法10的步骤12所述的，数据加扰器120通过改变包括由相机110捕获的图像的个体像素的顺序来对捕获的客户端数据进行加扰，使得每个像素的原始位置(x,y)映射到新位置(p,q)，每个映射都是唯一的，使得没有两个位置(xa,yb)和(xm,yn)映射到相同的新位置(pj,qk)，以便防止数据丢失。在不脱离所公开概念的范围的情况下，数据加扰器120可以实施多种技术中的任何一种来对相机110捕获的图像加扰。在用于加扰数据的技术的第一个非限制性示例中，存储的查找表可以用于将每个像素的原始位置(x,y)映射到新的伪随机位置(p,q)，使得p≠x且q≠y。在用于加扰数据的技术的第二个非限制性示例中，对于水平尺寸为m像素和垂直尺寸为n像素的给定2d图像，可以使用数学函数fg来分配新位置(pm,qn)给原始位置为(xm,yn)的每个像素，使得对于所有m∈0
…
m-1，n∈0
…
n-1，(pm,qn)＝fg(xm,yn)，其中，pm≠xm且qn≠yn。将意识到，当使用数学函数对相机110捕获的图像进行加扰时，不需要存储原始像素位置到已加扰位置的映射，因为可以通过求解映射函数或逆映射函数实时生成映射和逆映射。
[0042]
此外，在示例性实施例中，客户端系统100可以被配置为使得数据加扰器120使用的加扰的特定迭代被周期性地改变以进一步增加捕获的客户端数据的安全性。在第一非限制性示例中，如果数据加扰器120使用存储的查找表来对数据进行加扰，则所使用的特定存储的查找表可以每p图像改变一次，其中，p≥1。在第二非限制性示例中，当数据加扰器120使用数学函数来加扰数据时，所使用的特定函数可以每幅图像改变，其中，p≥1。将意识到，如果客户端系统100被配置为周期性地改变所使用的特定加扰迭代，则客户端系统100和云系统200必须同步，以用于确保在云上的处理期间用于解扰的映射与用于客户端侧的加扰的映射相同。在用于确保云系统200与客户端系统100同步并知道针对给定图像使用了哪个特定加扰迭代的技术的第一非限制性示例中，客户端系统100将为每幅要传输的图像分配
序列号连同已加扰图像一起传输到云系统200，并且云系统200将被配置为基于序列号确定数据加扰器120使用什么加扰技术。如下面关于程序d更详细描述的，在用于确保云系统200与客户端系统100同步并且知道哪个特定加扰迭代用于给定图像的技术的第二个非限制性示例中，客户端系统加扰器100将分配代码给每个图像以与已加扰图像一起传输到云系统200，并且云系统200将被配置为基于该代码确定数据加扰器120使用什么加扰技术。
[0043]
如下所示的程序d是使处理模块220能够在基于客户端系统100传输的代码的处理期间实现动态解扰的程序的简单示例：
[0044]
程序d
[0045][0046]
程序d的功能与程序c如何运行类似，但除了执行程序c的功能外，程序d还读取客户端系统100分配的指代数据加扰器120使用的数据加扰的具体实施方式的代码，并相应地将来自已加扰图像的p,q坐标映射到未加扰图像的对应x,y坐标。更具体地，程序d中的函数“process”除了需要程序c中使用的函数“process”所需的参数之外，还需要字符串参数“code”(由客户端系统100提供)，并且除了程序c中使用的映射函数“map2”所需的参数之外，还需要程序d使用参数“code”所使用的映射函数“map3”。映射函数“map3”的功能类似于映射函数“map2”，通过将未加扰图像的x,y坐标映射到对应的已加扰图像的p,q坐标，但是“map3”另外使用字符串参数“code”来确定应该使用哪个加扰迭代来这样做。与程序c一样，处理模块220可以使用程序d通过在未加扰图像的x,y坐标上而不是已加扰图像的p,q坐标上迭代来确定2d图像中最亮的像素的位置，但不同于程序c，程序d可由云系统200使用以处理由客户端系统100传输的图像，客户端系统100周期性地改变数据加扰器120使用的加扰的特定迭代并为每幅图像分配指代使用了哪个加扰迭代的代码。
[0047]
将意识到，程序a、b、c和d是作为处理模块220可以如何在不需要存储未加扰图像的情况下执行处理的说明性示例呈现的，并且在不脱离所公开概念的范围的情况下，可以将这些程序体现的概念组合或外推到其他和/或更复杂的数据分组。例如且不限于，如果客户端系统100要将rgb颜色图像传输到云系统200以进行处理，则可以独立于其他平面执行对三个平面r、g和b中的每个的加扰，使得相同的映射技术可以用于所有平面，或者可以为每个平面使用不同的映射。
[0048]
在权利要求中，置于括号之间的任何附图标记不应被解释为对权利要求的限制。词语“包含”或“包括”不排除权利要求中所列元素或步骤之外的元素或步骤的存在。在列举了几种方式的设备权利要求中，这些方式中的几种方式可以由同一项硬件来体现。元素前
面的词语“一”或“一个”不排除存在多个这样的元素。在列举了几种方式的任何设备权利要求中，这些方式中的几种可以由同一项硬件来体现。某些元素在相互不同的从属权利要求中记载的事实并不指示不能组合使用这些元素。
[0049]
虽然出于说明的目的，基于当前被认为是最实用和优选的实施例详细描述了本发明，但是应当理解，这样的细节仅用于该目的，并且本发明不限于所公开的实施例，而是相反，旨在涵盖在所附权利要求的精神和范围内的修改和等效布置。例如，应理解，本发明预期，在可能的范围内，任何实施例的一个或多个特征可以与任何其他实施例的一个或多个特征组合。

技术特征：
1.一种在客户端计算系统(100)与云计算系统(200)之间传输数字数据并利用所述云计算系统处理所述数字数据的方法(10)，所述方法包括：利用所述客户端计算系统中的记录设备(110、125)来捕获未加扰数据；利用所述客户端计算系统(100)对所述未加扰数据进行加扰以产生已加扰数据；利用所述客户端计算系统(100)将所述已加扰数据传输到所述云计算系统；利用所述云计算系统(200)来处理所述已加扰数据；并且利用所述云计算系统(200)将所述处理的输出传输到所述客户端计算系统，其中，已解扰数据不被存储在所述云计算系统中，并且其中，所述处理的所述输出不包括所述已加扰数据的已解扰形式。2.根据权利要求1所述的方法，其中，处理包括对所述已加扰数据进行解扰。3.根据权利要求1-2中的任一项所述的方法，其中，处理包括产生被映射到所述未加扰数据的输出。4.根据权利要求1-3中的任一项所述的方法，其中，所述未加扰数据包括数据序列，使得每个数据序列包括多个分量数据单元，其中，对于给定数据序列，加扰包括使用存储的查找表来将所述给定数据序列中的所述多个分量数据单元中的每个分量数据单元映射到伪随机位置，所述伪随机位置相对于所述给定数据序列中的所有其他分量数据单元被映射到的伪随机位置是唯一的。5.根据权利要求1-3中的任一项所述的方法，其中，所述未加扰数据包括数据序列，使得每个数据序列包括多个分量数据单元，其中，对于给定数据序列，加扰包括使用数学函数来将所述给定数据序列中的所述多个分量数据单元中的每个分量数据单元映射到新位置，所述新位置相对于所述给定数据序列中的所有其他分量数据单元被映射到的新位置是唯一的。6.根据权利要求1-5中的任一项所述的方法，还包括：利用所述客户端计算系统周期性地改变被用于对所述未加扰数据进行加扰的加扰技术。7.根据权利要求1-6中的任一项所述的方法，还包括：利用所述客户端计算系统将加扰标识符与所述已加扰数据一起从所述客户端系统传输到云，其中，所述云计算系统被配置为基于所述加扰标识符来识别所述客户端计算系统使用了什么加扰技术。8.根据权利要求1-7中的任一项所述的方法，还包括：利用所述客户端计算系统(100)对所述处理的任何已加扰输出进行解扰。9.一种用于保护数字有序数据序列的数据保护系统(100、200)，所述数据保护系统包括：客户端计算系统(100)，其被配置为捕获和传输所述客户端计算系统之外的客户端数据，所述客户端计算系统包括：记录设备(110、125)，其被配置为捕获客户端数据，所述客户端数据包括数据序列，使得每个数据序列包括多个分量数据单元；数据加扰器(120)，其被配置为接收由所述记录设备捕获的客户端数据并且对所述客
户端数据进行加扰；以及经处理数据接收器(140)；以及云计算系统(200)，所述云计算系统包括：数据处理模块(220)，其被配置为处理从所述客户端计算系统传输的客户端数据并且输出经处理的客户端数据；以及云存储单元(230)，其被配置为存储由所述数据处理模块处理和输出的客户端数据，其中，所述客户端计算系统被配置为仅将已加扰客户端数据传输到所述云计算系统，并且其中，所述数据处理模块被配置为不输出已解扰客户端数据。10.根据权利要求9所述的数据保护系统，其中，所述数据处理模块(220)被配置为在处理期间对已加扰客户端数据进行解扰。11.根据权利要求9-10中的任一项所述的数据保护系统，其中，所述数据处理模块(220)被配置为产生被映射到未加扰客户端数据的输出。12.根据权利要求9-11中的任一项所述的数据保护系统，其中，对于给定数据序列，加扰包括使用存储的查找表来将所述给定数据序列中的所述多个分量数据单元中的每个分量数据单元映射到伪随机位置，所述伪随机位置相对于所述给定数据序列中的所有其他分量数据单元被映射到的伪随机位置是唯一的。13.根据权利要求9-11中的任一项所述的数据保护系统，其中，对于给定数据序列，加扰包括使用数学函数来将所述给定数据序列中的所述多个分量数据单元中的每个分量数据单元映射到新位置，所述新位置相对于所述给定数据序列中的所有其他分量数据单元被映射到的新位置是唯一的。14.根据权利要求9-13中的任一项所述的数据保护系统，其中，所述客户端计算系统(100)被配置为周期性地改变由所述数据加扰器(120)使用的数据加扰技术。15.根据权利要求9-14中的任一项所述的数据保护系统，其中，所述客户端计算系统(100)被配置为在向所述云计算系统(200)传输已加扰客户端数据时将加扰标识符与已加扰客户端数据一起传输，其中，所述云计算系统(200)被配置为基于所述加扰标识符来识别所述客户端计算系统使用了什么加扰技术。

技术总结
用于保护传输到计算云(200)以进行数据处理的数字客户端数据的方法和系统通过仅将已加扰客户端数据传输到计算云并且从不将已解扰客户端数据存储在计算云中来确保客户端数据的隐私。在利用计算云处理客户端数据需要解扰的情况下，解扰被嵌入到处理中，使得已解扰客户端数据永远不会被计算云输出或存储。客户端数据永远不会被计算云输出或存储。客户端数据永远不会被计算云输出或存储。


技术研发人员：C
受保护的技术使用者：皇家飞利浦有限公司
技术研发日：2021.12.08
技术公布日：2023/8/13