CN112364367A - 一种基于隐私保护的对象处理方法、装置及设备 - Google Patents

Abstract

本说明书实施例公开了一种基于隐私保护的对象处理方法、装置及设备，该方法包括：获取用户访问的对象的对象标识和对象的内容风险信息，对对象标识进行差分隐私处理，得到处理后的对象标识，内容风险信息包括对象是否存在风险的信息和对象的访问量；将处理后的对象标识和对象的内容风险信息发送给服务器，以使服务器对处理后的对象标识进行还原处理，得到对象标识，基于对象标识和内容风险信息，确定对象中存在风险的目标对象；接收服务器发送的目标对象的对象标识，并基于目标对象的对象标识获取用户访问目标对象所产生的目标数据；对目标对象的对象标识进行差分隐私处理，并将处理后的目标对象的对象标识和目标数据发送给服务器。

Description

一种基于隐私保护的对象处理方法、装置及设备

技术领域

本说明书涉及计算机技术领域，尤其涉及一种基于隐私保护的对象处理方法、装置及设备。

背景技术

大数据时代，数据带来巨大价值的同时，也带来了用户隐私保护方面的难题，如何在大数据开发应用的过程中保护用户隐私和防止敏感信息泄露成为新的挑战。

在营销和信息推荐等业务场景中，通常需要关注的是访问量较高的被访问对象(如某数据或应用程序等)，而在安全领域，则通常需要关注存在高风险的被访问对象，而存在高风险的被访问对象在全量访问量中所占的比例往往较低，从而导致如果需要从众多的对象或对象集中挖掘出存在高风险的被访问对象，则需要进行较多的隐私处理工作，导致用户隐私泄漏风险增高，从而需要提供一种用户隐私泄露风险更低的技术方案。

发明内容

本说明书实施例的目的是提供一种用户隐私泄露风险更低的技术方案。

为了实现上述技术方案，本说明书实施例是这样实现的：

本说明书实施例提供的一种基于隐私保护的对象处理方法，所述方法包括：获取用户访问的对象的对象标识和所述对象的内容风险信息，对所述对象标识进行差分隐私处理，得到处理后的对象标识，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量。将所述处理后的对象标识和所述对象的内容风险信息发送给服务器，以使所述服务器对所述处理后的对象标识进行还原处理，得到所述对象标识，基于所述对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象。接收所述服务器发送的所述目标对象的对象标识，并基于所述目标对象的对象标识获取用户访问所述目标对象所产生的目标数据。对所述目标对象的对象标识进行差分隐私处理，并将处理后的所述目标对象的对象标识和所述目标数据发送给服务器。

本说明书实施例提供的一种基于隐私保护的对象处理方法，所述方法包括：接收终端设备发送的用户访问的对象的且经过差分隐私处理后的对象标识和所述对象的内容风险信息，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量。对经过差分隐私处理后的对象标识进行还原处理，得到还原后的对象标识。基于还原后的对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象。将所述目标对象的对象标识发送给所述终端设备，以从所述终端设备获取用户访问所述目标对象所产生的目标数据。

本说明书实施例提供的一种基于隐私保护的对象处理装置，所述装置包括：第一差分隐私模块，获取用户访问的对象的对象标识和所述对象的内容风险信息，对所述对象标识进行差分隐私处理，得到处理后的对象标识，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量。信息发送模块，将所述处理后的对象标识和所述对象的内容风险信息发送给服务器，以使所述服务器对所述处理后的对象标识进行还原处理，得到所述对象标识，基于所述对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象。标识接收模块，接收所述服务器发送的所述目标对象的对象标识，并基于所述目标对象的对象标识获取用户访问所述目标对象所产生的目标数据。第二差分隐私模块，对所述目标对象的对象标识进行差分隐私处理，并将处理后的所述目标对象的对象标识和所述目标数据发送给服务器。

本说明书实施例提供的一种基于隐私保护的对象处理装置，所述装置包括：信息接收模块，接收终端设备发送的用户访问的对象的且经过差分隐私处理后的对象标识和所述对象的内容风险信息，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量。还原模块，对经过差分隐私处理后的对象标识进行还原处理，得到还原后的对象标识。对象确定模块，基于还原后的对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象。标识发送模块，将所述目标对象的对象标识发送给所述终端设备，以从所述终端设备获取用户访问所述目标对象所产生的目标数据。

本说明书实施例提供的一种基于隐私保护的对象处理设备，所述基于隐私保护的对象处理设备包括：处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：获取用户访问的对象的对象标识和所述对象的内容风险信息，对所述对象标识进行差分隐私处理，得到处理后的对象标识，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量。将所述处理后的对象标识和所述对象的内容风险信息发送给服务器，以使所述服务器对所述处理后的对象标识进行还原处理，得到所述对象标识，基于所述对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象。接收所述服务器发送的所述目标对象的对象标识，并基于所述目标对象的对象标识获取用户访问所述目标对象所产生的目标数据。对所述目标对象的对象标识进行差分隐私处理，并将处理后的所述目标对象的对象标识和所述目标数据发送给服务器。

本说明书实施例提供的一种基于隐私保护的对象处理设备，所述基于隐私保护的对象处理设备包括：处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：接收终端设备发送的用户访问的对象的且经过差分隐私处理后的对象标识和所述对象的内容风险信息，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量。对经过差分隐私处理后的对象标识进行还原处理，得到还原后的对象标识。基于还原后的对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象。将所述目标对象的对象标识发送给所述终端设备，以从所述终端设备获取用户访问所述目标对象所产生的目标数据。

本说明书实施例还提供了一种存储介质，其中，所述存储介质用于存储计算机可执行指令，所述可执行指令在被执行时实现以下流程：获取用户访问的对象的对象标识和所述对象的内容风险信息，对所述对象标识进行差分隐私处理，得到处理后的对象标识，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量。将所述处理后的对象标识和所述对象的内容风险信息发送给服务器，以使所述服务器对所述处理后的对象标识进行还原处理，得到所述对象标识，基于所述对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象。接收所述服务器发送的所述目标对象的对象标识，并基于所述目标对象的对象标识获取用户访问所述目标对象所产生的目标数据。对所述目标对象的对象标识进行差分隐私处理，并将处理后的所述目标对象的对象标识和所述目标数据发送给服务器。

本说明书实施例还提供了一种存储介质，其中，所述存储介质用于存储计算机可执行指令，所述可执行指令在被执行时实现以下流程：接收终端设备发送的用户访问的对象的且经过差分隐私处理后的对象标识和所述对象的内容风险信息，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量。对经过差分隐私处理后的对象标识进行还原处理，得到还原后的对象标识。基于还原后的对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象。将所述目标对象的对象标识发送给所述终端设备，以从所述终端设备获取用户访问所述目标对象所产生的目标数据。

附图说明

为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1A为本说明书一种基于隐私保护的对象处理方法实施例；

图1B为本说明书一种基于隐私保护的对象处理过程的示意图；

图2为本说明书一种基于隐私保护的对象处理的系统的结构示意图；

图3为本说明书另一种基于隐私保护的对象处理过程的示意图；

图4为本说明书又一种基于隐私保护的对象处理过程的示意图；

图5A为本说明书另一种基于隐私保护的对象处理方法实施例；

图5B为本说明书又一种基于隐私保护的对象处理过程的示意图；

图6为本说明书又一种基于隐私保护的对象处理过程的示意图；

图7为本说明书一种基于隐私保护的对象处理装置实施例；

图8为本说明书另一种基于隐私保护的对象处理装置实施例；

图9为本说明书一种基于隐私保护的对象处理设备实施例。

具体实施方式

本说明书实施例提供一种基于隐私保护的对象处理方法、装置及设备。

为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。

实施例一

如图1A和图1B所示，本说明书实施例提供一种基于隐私保护的对象处理方法，该方法的执行主体可以为终端设备，其中的终端设备可以如手机、平板电脑、个人计算机等，该终端设备可以为能够运行应用程序的终端设备，该应用程序包括宿主程序和搭载于该宿主程序中的任意小程序，和/或，该终端设备可以为用户提供某对象的访问的终端设备。该方法具体可以包括以下步骤：

在步骤S102中，获取用户访问的对象的对象标识和该对象的内容风险信息，对该对象标识进行差分隐私处理，得到处理后的对象标识，该内容风险信息包括该对象是否存在风险的信息和该对象的访问量。

其中，用户可以是任意用户，在本说明书实施例中，用户可以使用或访问某对象的用户。对象可以是任意可供用户访问的对象，具体如，该对象可以为某数据，也可以为某文件，还可以为应用程序或账户等，其中的某数据可以如声音和图像等模拟数据，也可以如符号和文字等数字数据，其中的某文件可以如视频文件、音频文件、文本文档等，其中的应用程序可以是通过某一种或多种不同的编程语言编写的程序，该应用程序可以是不需要其它宿主程序而独立运行的应用程序，也可以是搭载在宿主程序中的小程序，例如，宿主程序可以为金融类应用程序，目标应用程序则可以是能够搭载在金融类应用程序中的某物流机构开发的小程序等。对象标识可以根据对象进行设定，例如，该对象为应用程序，则对象标识可以为该应用程序的名称或编码等。差分隐私旨在当被采集数据的用户并不信任数据采集方，虽然该用户仍然会将相应的数据上传给数据采集方，但该用户会希望在一定程度上述保护上述采集的数据。差分隐私可以在当从统计数据库查询时，最大化数据查询的准确性，同时最大限度减少识别其记录的几率。差分隐私是通过对数据进行扰动达到保护隐私的目的，其中的扰动机制可以包括多种，如拉普拉斯Laplace机制、指数机制等。差分隐私可以包括中心化差分隐私和本地化差分隐私(Local Differential Privacy，LDP)，其中的本地化差分隐私是在待上传数据被收集前，由用户在本地先对待上传数据进行扰动，然后将加噪后的待上传数据上传到服务器(或服务中心)，本地化差分隐私可以包括以下定义：算法A是∈满足的本地化差分隐私(∈-LDP)，其中∈≥0，当且仅当对于任意两个数据v和v’，均满足如下公式：

其中，v和v’属于A的定义域，y属于A的值域。从用户角度来看，本地化差分隐私能更好地保护用户数据的隐私，用户数据在被采集前，已经在本地进行扰动处理，用户数据中的隐私内容已被抹去。本说明书实施例中的差分隐私可以为上述本地化差分隐私。

在实施中，大数据时代，数据带来巨大价值的同时，也带来了用户隐私保护方面的难题，如何在大数据开发应用的过程中保护用户隐私和防止敏感信息泄露成为新的挑战。

在营销和信息推荐等业务场景中，通常需要关注的是访问量较高的被访问对象(如某数据或应用程序等)，而在安全领域，则通常需要关注存在高风险的被访问对象，而存在高风险的被访问对象在全量访问量中所占的比例往往较低，从而导致如果需要从众多的对象或对象集中挖掘出存在高风险的被访问对象，则需要进行较多的隐私处理工作，导致用户隐私泄漏风险增高，从而需要提供一种用户隐私泄露风险更低的技术方案。本实施例提供一种技术方案，具体可以包括以下内容：

可以根据实际情况预先设置需要进行检测的对象，然后，可以针对上述对象预埋检测点，通过预埋检测点可以记录被访问的对象的信息，其中可以包括被访问的对象的时间、当前所处的位置、对象标识，及访问者的相关信息(如访问者的账户信息、访问者的操作行为数据等)，以及该对象的累计访问量和该对象是否存在风险的相关信息(如存在用户隐私泄露风险或欺诈风险等)。需要说明的是，该对象是否存在风险可以通过多种方式判定，例如该对象是否存在风险可以根据该对象所属的业务预先确定的存在风险的对象或在该对象中注册的账户存在风险，或者，还可以在预埋检测点检测到该对象被访问时，可以基于该对象的相关信息或历史数据判断该对象是否存在风险，或者，还可以基于预先训练的风险检测模型对该对象进行风险检测确定，或者，可以是基于用户的投诉或举报等方式确定等，具体可以根据实际情况设定，本说明书实施例对此不做限定。当需要向服务器提供相关数据时，可以在通过预埋检测点记录的信息中，获取用户访问的对象的对象标识和该对象的内容风险信息，该对象可以是一个，也可以是多个(此时，得到的对象标识可以包括多个，对象的内容风险信息可以包括多个不同对象的内容风险信息等)。

需要说明的是，上述获取用户访问的对象的对象标识和该对象的内容风险信息的时间可以包括多种，例如，可以以预设周期(如每隔7天或10天等)的方式触发对用户访问的对象的对象标识和该对象的内容风险信息的获取操作，或者，可以由终端设备不定时的触发对用户访问的对象的对象标识和该对象的内容风险信息的获取操作等，具体可以根据实际情况设定，本说明书实施例对此不做限定。

由于上述获取的用户访问的对象的对象标识和该对象的内容风险信息中往往包含用户的隐私信息，为了保护数据传输过程中的用户隐私，可以通过差分隐私对上述信息进行处理，具体地，为了避免用户访问哪些对象等用户的隐私数据被泄露，可以对用户访问的对象的对象标识进行差分隐私处理，从而使得该对象的对象标识被扰乱，即使上述数据被泄露，该数据中的对象标识也无法被识别，从而该用户访问的对象不会被其他人所知晓，保护了用户的隐私。其中，差分隐私可以包括多种可实现方式，以指数机制的差分隐私算法为例，则可以包括：通过指数机制的差分隐私算法对该对象标识进行差分隐私处理，得到处理后的对象标识，具体地，对于指数机制的差分隐私算法，设查询函数的输出域为R，输出域中的每个输出值r∈R，函数q(D，r)→R成为输出值r的可用性函数，用于评估输出值r的优劣程度。若设随机算法M的输入为数据集D，输出为对象r∈R，函数q(D，r)→R为可用性函数，Δq为函数q(D，r)→R的敏感度，若算法M以正比于exp(∈q(D，r)/2Δq)的概率从R中选择并输出r，则算法M提供∈-差分隐私保护。基于上述方式，对于算法M的输入为对象标识，对象标识对应的输出值r∈R，算法M以正比于exp(∈q(对象标识，r)/2Δq)的概率从R中选择并输出r，从而得到差分处理后的对象标识。

需要说明的是，上述处理过程仅是差分隐私的一种可实现的方式，在实际应用中，除了可以通过上述方式处理外，还可以通过多种方式对对象标识进行差分隐私处理，具体可以根据实际情况设定，本说明书实施例对此不做限定。此外，上述仅是对对象标识进行差分隐私处理，在实际应用中，还可以对对象的内容风险信息进行差分隐私处理，即可以分别对对象是否存在风险的信息和对象的访问量等进行差分隐私处理，得到处理后的数据，然后再将处理后的数据发送给服务器，具体可以根据实际情况设定，本说明书实施例对此不做限定。

例如，上述对象为搭载在宿主程序中的小程序，在实际应用中，通常，宿主程序和小程序并不属于同一开发商，也即是，相对于宿主程序，小程序通常为第三方应用程序，例如，宿主程序可以为即时通讯应用程序，小程序则可以是能够搭载在即时通讯应用程序中的某游戏开发机构开发的程序等，或者，宿主程序可以为金融类应用程序，小程序则可以是能够搭载在金融类应用程序中的某物流机构开发的程序等。在某些场景下，一些小程序可能存在风险，为此，可以在宿主程序中预埋检测点，通过预埋检测点记录宿主程序中的每个小程序的程序标识和该小程序的内容风险信息，该内容风险信息包括该小程序是否存在风险的信息和该小程序的访问量等。

为了避免用户使用哪些小程序等用户的隐私数据被泄露，可以对用户使用的小程序的程序标识进行差分隐私处理，从而使得小程序的程序标识被扰乱，即使上述数据被泄露，该数据中的程序标识也无法被识别，从而该用户使用的小程序不会被其他人所知晓，保护了用户的隐私。

在步骤S104中，将处理后的对象标识和上述对象的内容风险信息发送给服务器，以使服务器对处理后的对象标识进行还原处理，得到上述对象标识，基于该对象标识和该内容风险信息，确定该对象中存在风险的目标对象。

其中，服务器可以是用于进行风险防控的服务器，或者，可以是用于构建风险防控机制的服务器等。

在实施中，如图2所示，通过上述方式得到处理后的对象标识和对象的内容风险信息后，可以将处理后的对象标识和该对象的内容风险信息发送给服务器。服务器可以将处理后的对象标识进行还原，从而得到原始的对象标识，其中，对处理后的对象标识进行还原处理可以基于对原始的对象标识进行差分隐私处理的过程中所使用的差分隐私算法来确定还原处理的过程中所需要采用的算法，例如，处理后的对象标识是基于拉普拉斯机制的差分隐私算法进行差分隐私处理得到的，则对处理后的对象标识进行还原处理可以是依据拉普拉斯机制的差分隐私算法的逆算法或基于拉普拉斯机制的差分隐私算法对应的处理过程的反过程对处理后的对象标识进行还原处理，例如，基于拉普拉斯机制的差分隐私算法对应的处理过程可以为先执行A过程，然后通过A过程的处理结果执行B过程，最后通过B过程的处理结果执行C过程，得到处理后的对象标识，上述处理过程的反过程可以为先执行C过程，然后通过C过程的处理结果执行B过程，最后通过B过程的处理结果执行A过程，得到还原后的对象标识(即原对象标识)。服务器可以基于还原后的对象标识和上述内容风险信息，确定上述对象中存在风险的目标对象，具体地，每个对象中可以设置有是否存在风险的信息，该信息可以通过多种不同的方式呈现，例如可以以标签的方式标记某对象是否存在风险，如果某对象中设置有存在风险的标签(也可以称为风险标签)，则表明该对象存在风险，可以将存在风险且其访问量超过预定阈值的对象标识作为目标对象的对象标识，从而可以确定上述对象中存在风险的目标对象。

在步骤S106中，接收服务器发送的目标对象的对象标识，并基于目标对象的对象标识获取用户访问目标对象所产生的目标数据。

其中，目标数据可以是针对目标对象的数据，其中也可以包括用户访问目标对象的过程中所产生的数据，在实际应用中，目标数据可以包括如上所述的内容风险信息(即目标对象是否存在风险的信息和该对象的访问量等)，目标数据可以是用于训练某模型(如风险识别模型等)的数据，也可以是用于处理某业务的数据等，具体可以根据实际情况设定，本说明书实施例对此不做限定。

在实施中，服务器确定目标对象后，可以将目标对象的对象标识发送给终端设备，终端设备中可以记录有用户访问目标对象所产生的数据，终端设备接收到目标对象的对象标识后，可以基于目标对象的对象标识，从上述记录的数据中获取与某业务相关的数据或用于训练某模型的数据等，并可以将获取的数据作为用户访问目标对象所产生的目标数据。

在步骤S108中，对目标对象的对象标识进行差分隐私处理，并将处理后的目标对象的对象标识和目标数据发送给服务器。

上述步骤S108的具体处理可以参见上述步骤S102中的相关内容。其中，需要说明的是，上述仅是对目标对象的对象标识进行差分隐私处理，在实际应用中，还可以对目标数据进行差分隐私处理，得到处理后的数据，然后再将处理后的数据发送给服务器，具体可以根据实际情况设定，本说明书实施例对此不做限定。

例如，可以通过获取的对象标识和目标数据可以对长短期记忆模型进行训练，得到训练后的长短期记忆模型，或者，可以通过获取的对象标识和目标数据可以对DeepFM模型进行训练，得到训练后的DeepFM模型等。

本说明书实施例提供一种基于隐私保护的对象处理方法，通过获取用户访问的对象的对象标识和对象的内容风险信息，对对象标识进行差分隐私处理，得到处理后的对象标识，内容风险信息包括对象是否存在风险的信息和对象的访问量，将处理后的对象标识和对象的内容风险信息发送给服务器，从而通过对用户访问的对象的对象标识进行差分隐私处理，使得即使上述数据被其他人窃取，也无法从其中了解到用户使用的小程序是哪一个，进而保护用户的隐私不被泄露，然后，接收服务器发送的目标对象的对象标识，并基于目标对象的对象标识获取用户访问目标对象所产生的目标数据，对目标对象的对象标识进行差分隐私处理，并将处理后的目标对象的对象标识和目标数据发送给服务器，从而针对对象的访问，通过两轮机制获取相应的数据进行上传，在保护用户隐私的同时，可以使得数据达到高可用性。

实施例二

如图3所示，本说明书实施例提供一种基于隐私保护的对象处理方法，该方法的执行主体可以为终端设备，其中的终端设备可以如手机、平板电脑、个人计算机等，该终端设备可以为能够运行应用程序的终端设备，该应用程序包括宿主程序和搭载于该宿主程序中的任意小程序，和/或，该终端设备可以为用户提供某对象的访问的终端设备。相应的基于隐私保护的对象处理的系统可以如图2所示。该方法具体可以包括以下步骤：

在步骤S302中，获取用户访问的对象的对象标识和该对象的内容风险信息，该内容风险信息包括该对象是否存在风险的信息和该对象的访问量。

其中，上述对象可以包括搭载在宿主程序中的小程序。在实际应用中，通常，宿主程序和小程序并不属于同一开发商，也即是，相对于宿主程序，小程序通常为第三方应用程序，上述对象可以包括一个，也可以包括多个，而且，可以是某一个用户访问的一个或多个小程序(如用户A访问了小程序1和小程序2)，也可以是多个不同的用户分别访问的一个或多个小程序(如用户A访问了小程序1和小程序2，用户B访问了小程序1、小程序4和小程序5等)等。对象标识可以为小程序的名称或编码等，在实际应用中，对象标识可以是宿主程序中针对小程序的而设定的用于唯一识别该小程序的标识，该对象标识可以为AppID(Application IDentification)。

上述步骤S302的具体处理过程可以参见上述实施例一中的相关内容，在此不再赘述。

对于对对象标识进行差分隐私处理的具体处理可以包括多种不同的实现方式，以下提供一种可选的处理方式，具体可以参见下述步骤S304处理。

在步骤S304中，对上述对象标识进行第一编码处理，得到第一编码后的对象标识，并通过预设的第一概率对第一编码后的对象标识中的每一位编码数据进行扰乱处理，得到扰乱后的对象标识，将扰乱后的对象标识作为差分隐私处理后的对象标识。

其中，第一概率可以通过扰乱函数、输入数据、输出数据、概率和隐私预算参数等确定，具体可以根据实际情况设定，本说明书实施例对此不做限定。

在实施中，对对象标识进行编码的具体处理方式可以包括多种，例如，可以通过预设的编码器或编码算法对上述对象标识进行编码，从而对上述对象标识进行第一编码处理，最终可以得到第一编码后的对象标识，或者，还可以通过预设的滤波器对上述对象标识进行第一编码处理，并在通过滤波器处理的过程中，可以获取第一编码后的对象标识，以下通过两个可选的方式来确定第一编码后的对象标识，具体参见下述方式一和方式二。

方式一，基于预设的第一哈希算法，对上述对象标识进行第一编码处理，得到第一编码后的对象标识。

其中，第一哈希算法可以是任意哈希算法，具体如MD4、MD5或SHA-1等。

在实施中，可以预先设置对对象标识进行编码处理的哈希算法，在获取到用户访问的对象的对象标识和该对象的内容风险信息后，可以通过预设的哈希算法对该对象标识进行计算，得到该对象标识对应的哈希值，可以将得到的哈希值作为第一编码后的对象标识。

方式二，基于第一布隆过滤器对上述对象标识进行第一编码处理，得到第一编码后的对象标识。

其中，第一布隆过滤器(Bloom Filter)可以是一个二进制向量和一系列随机映射函数(可以为哈希函数)构成。第一布隆过滤器可以用于检索一个对象是否在一个集合中，第一布隆过滤器可以提高空间效率，并减少查询时间，第一布隆过滤器对应的数组中每一个位置只占有1个bit，而每个bit只有0和1两种状态。假设一种有k个哈希函数，且每个哈希函数的输出范围都大于m，接着将输出值对k取余(％m)，就会得到k个[0,m-1]的值，由于每个哈希函数之间相互独立，因此上述k个数值也相互独立，最后将上述k个数值对应到[0,m-1]上并进行标记(可以标记为1)。

在实施中，如果输入数据用x表示，而i为输出数据，I为输出数据的集合。哈希函数集H中包含k个不同的哈希函数，任意一个函数hj∈H将输入数据x映射到整数范围m，有hj:I→[m]，∈表示隐私预算参数，则在k范围内随机地选取数值j，作为选择第j个哈希函数的索引，初始化一个长度为m的向量u，将向量u的所有元素置为0(或1)，将向量u中的元素uhj(x)置为1(或0)，最终得到的向量u即为编码后的对象标识。通过上述第一布隆过滤器对对象标识进行编码，可以得到由0和1构成的数组(可以为bit数组)，得到的上述数组即为第一编码后的对象标识。

需要说明的是，上述对对象标识进行编码的处理仅是两种可选的处理方式，在实际应用中，除了可以通过上述方式实现外，还可以通过多种不同方式实现，具体可以根据实际情况设定。

通过上述方式确定第一编码后的对象标识后，对于向量u(第一编码后的对象标识)中每一个元素，以预定的概率进行翻转，即将其中元素0变成1或将其中的元素1变成0，得到扰乱后的对象标识，最终可以得到扰乱后的对象标识及索引j，可以将扰乱后的对象标识作为差分隐私处理后的对象标识。

需要说明的是，还可以对不同的对象(如账户等)给予不同的隐私处理预算，如对于风险越高的账户给予较多的隐私处理预算，高质量的账户则给予较少的隐私处理预算，以更好的平衡数据可用性以及隐私保护，基于此，对于上述步骤S304中对上述对象标识进行差分隐私处理，得到处理后的对象标识的处理，还可以包括以下步骤A2-步骤A6的处理。

在步骤A2中，基于上述对象的内容风险信息，确定该对象对应的风险等级。

在实施中，可以根据实际情况预先设定不同的风险等级，例如高风险和低风险等，基于此，对象的内容风险信息中可以包括是否存在风险的信息，还可以包括风险值的相关信息，这样，终端设备可以根据上述对象的内容风险信息中包含的是否存在风险的信息和风险值的相关信息，将其中的风险值与预设的风险阈值进行比较，如果该风险值大于风险阈值，则该对象对应的风险等级可以为高风险，如果该风险值小于风险阈值，则该对象对应的风险等级可以为低风险，从而可以得到该对象对应的风险等级。

在步骤A4中，获取与上述对象对应的风险等级相匹配的第三概率。

在实施中，可以为不同的风险等级设定不同的扰乱概率，例如可以为高风险设定较高的扰乱概率，为低风险设定较低的扰乱概率，从而可以得到上述对象对应的风险等级对应的扰乱概率，即第三概率。

在步骤A6中，对上述对象标识进行第三编码处理，得到第三编码后的对象标识，并通过第三概率对第三编码后的对象标识中的每一位编码数据进行扰乱处理，得到扰乱后的对象标识，将扰乱后的对象标识作为差分隐私处理后的对象标识。

其中，可以基于预设的哈希算法，对上述对象标识进行第三编码处理，得到第三编码后的对象标识，也可以基于预设的布隆过滤器对上述对象标识进行第三编码处理，得到第三编码后的对象标识，具体处理可以参见上述相关内容，在此不再赘述。

在步骤S306中，对上述对象的内容风险信息进行加密处理，得到加密后的内容风险信息。

其中，上述进行加密处理所使用的加密算法可以包括同态加密算法、部分同态加密算法和全态加密算法中的一种或多种。同态加密算法可以是允许对加密后的密文进行处理，得到的结果仍然是加密的结果，即对加密后的密文直接进行处理得到的结果，与对明文(即加密前的原文)进行上述处理后再对处理后得到的结果进行加密，最终得到的加密结果相同。全态加密算法可以为全同态加密算法。

在实施中，为了保护用户使用某对象或访问某对象的过程中数据的安全性，除了可以对对象标识进行差分隐私处理外，还可以对该对象的内容风险信息进行加密处理，为此，可以预先设定加密算法，例如同态加密算法等，然后，可以使用设定的加密算法对上述对象的内容风险信息进行加密处理，得到加密后的内容风险信息。

在步骤S308中，将处理后的对象标识和加密后的内容风险信息发送给服务器，以使服务器对处理后的对象标识进行还原处理，得到上述对象标识，并对加密后的内容风险信息进行解密处理，得到上述内容风险信息，基于上述对象标识和上述内容风险信息，确定上述对象中存在风险的目标对象。

在实施中，服务器接收到处理后的对象标识和加密后的内容风险信息后，可以对处理后的对象标识进行还原处理，具体地，可以基于与上述第一概率相对应的概率对第一编码后的对象标识中的每一位编码数据进行扰乱处理

对上述对象标识进行第一编码处理，得到第一编码后的对象标识，并通过预设的第一概率对处理后的对象标识中的每一位编码数据进行上述扰乱处理的逆处理，然后，再将逆处理得到的结果进行基于第一编码处理的逆处理，以对处理后的对象标识进行还原处理，得到上述对象标识。相应的，可以基于对上述对象的内容风险信息进行加密处理对应的加密算法，确定该加密算法对应的解密算法，从而得到上述内容风险信息。可以基于上述对象标识和上述内容风险信息，确定上述对象中存在风险的目标对象，具体处理可以参见上述相关内容，在此不再赘述。

在步骤S310中，接收服务器发送的目标对象的对象标识，并基于目标对象的对象标识获取用户访问目标对象所产生的目标数据。

在步骤S312中，对目标对象的对象标识进行第二编码处理，得到目标对象的第二编码后的对象标识，并通过预设的第二概率对目标对象的第二编码后的对象标识中的每一位编码数据进行扰乱处理，得到目标对象的扰乱后的对象标识，将目标对象的扰乱后的对象标识作为目标对象的差分隐私处理后的对象标识。

其中，第二概率可以通过扰乱函数、输入数据、输出数据、概率和隐私预算参数等确定，具体可以根据实际情况设定，本说明书实施例对此不做限定。第二概率可以与上述第一概率相同，也可以与上述第一概率不同。

以下通过两个可选的方式来确定目标对象的第二编码后的对象标识，具体参见下述方式一和方式二。

方式一，基于预设的第二哈希算法，对目标对象的对象标识进行第二编码处理，得到目标对象的第二编码后的对象标识。

其中，第二哈希算法可以是任意哈希算法，具体如MD4、MD5或SHA-1等。第二哈希算法可以与上述第一哈希算法相同，也可以与上述第一哈希算法不同。

上述方式一的具体处理过程可以参见上述相关内容，在此不再赘述。

方式二，基于第二布隆过滤器对目标对象的对象标识进行第二编码处理，得到目标对象的第二编码后的对象标识。

其中，第二布隆过滤器可以与上述第一布隆过滤器相同，也可以与上述第一布隆过滤器不同。

上述方式二的具体处理过程可以参见上述相关内容，在此不再赘述。

相应的，还可以对不同的目标对象给予不同的隐私处理预算，以更好的平衡数据可用性以及隐私保护，基于此，对于上述步骤S312中对上述目标对象的对象标识进行差分隐私处理，还可以包括以下步骤B2-步骤B6的处理。

在步骤B2中，基于目标数据，确定目标对象对应的风险等级。

在步骤B4中，获取与目标对象对应的风险等级相匹配的第四概率。

在步骤B6中，对目标对象的对象标识进行第四编码处理，得到目标对象的第四编码后的对象标识，并通过第四概率对目标对象的第四编码后的对象标识中的每一位编码数据进行扰乱处理，得到目标对象的扰乱后的对象标识，将目标对象的扰乱后的对象标识作为目标对象的差分隐私处理后的对象标识。

其中，可以基于预设的哈希算法，对上述目标对象的对象标识进行第四编码处理，得到第四编码后的对象标识，也可以基于预设的布隆过滤器对上述目标对象的对象标识进行第四编码处理，得到第四编码后的对象标识，具体处理可以参见上述相关内容，在此不再赘述。

在步骤S314中，对目标数据进行加密处理，得到加密后的目标数据。

其中，上述进行加密处理所使用的加密算法可以包括同态加密算法、部分同态加密算法和全态加密算法中的一种或多种。

上述步骤S314的具体处理过程可以参见上述相关内容，在此不再赘述。

在步骤S316中，将处理后的目标对象的对象标识和加密后的目标数据发送给服务器。

本说明书实施例提供一种基于隐私保护的对象处理方法，通过获取用户访问的对象的对象标识和对象的内容风险信息，对对象标识进行差分隐私处理，得到处理后的对象标识，内容风险信息包括对象是否存在风险的信息和对象的访问量，将处理后的对象标识和对象的内容风险信息发送给服务器，从而通过对用户访问的对象的对象标识进行差分隐私处理，使得即使上述数据被其他人窃取，也无法从其中了解到用户使用的小程序是哪一个，进而保护用户的隐私不被泄露，然后，接收服务器发送的目标对象的对象标识，并基于目标对象的对象标识获取用户访问目标对象所产生的目标数据，对目标对象的对象标识进行差分隐私处理，并将处理后的目标对象的对象标识和目标数据发送给服务器，从而针对对象的访问，通过两轮机制获取相应的数据进行上传，在保护用户隐私的同时，可以使得数据达到高可用性。

实施例三

如图4所示，本说明书实施例提供一种基于隐私保护的对象处理方法，该方法的执行主体可以为终端设备，其中的终端设备可以如手机、平板电脑、个人计算机等，该终端设备可以为能够运行应用程序的终端设备，该应用程序包括宿主程序和搭载于该宿主程序中的任意小程序，和/或，该终端设备可以为用户提供某对象的访问的终端设备。该方法具体可以包括以下步骤：

在步骤S402中，获取用户访问的对象的对象标识和该对象的内容风险信息，该内容风险信息包括该象是否存在风险的信息和该对象的访问量。

其中，上述对象可以包括搭载在宿主程序中的小程序。

上述步骤S402的具体处理过程可以参见上述实施例一中的相关内容，在此不再赘述。

在步骤S404中，对上述对象标识进行第一编码处理，得到第一编码后的对象标识，并通过预定的第一噪声数据对第一编码后的对象标识进行加噪扰乱处理，得到加噪扰乱后的对象标识，将加噪扰乱后的对象标识作为差分隐私处理后的对象标识。

以下通过两个可选的方式来确定第一编码后的对象标识，具体参见下述方式一和方式二。

方式一，基于预设的第一哈希算法，对上述对象标识进行第一编码处理，得到第一编码后的对象标识。

方式二，基于第一布隆过滤器对上述对象标识进行第一编码处理，得到第一编码后的对象标识。

此外，可以向第一编码后的对象标识中入随机化的噪声数据或者指定的噪声数据(如拉普拉斯噪声数据或高斯噪声数据等)，以对第一编码后的对象标识进行加噪扰乱处理，从而将第一编码后的对象标识进行掩盖，使得加噪扰乱后的对象标识即使被泄露，其他人也无法分辨得到的上述数据是由哪个数据或数据集产生，从而保护用户的隐私。

上述步骤S404的具体处理过程可以参见上述实施例二中的相关内容，在此不再赘述。

相应的，还可以对不同的对象给予不同的隐私处理预算，以更好的平衡数据可用性以及隐私保护，基于此，对于上述步骤S404中对上述对象标识进行差分隐私处理，还可以包括以下步骤C2-步骤C6的处理。

在步骤C2中，基于上述对象的内容风险信息，确定该对象对应的风险等级。

在步骤C4中，获取与上述对象对应的风险等级相匹配的第三噪声数据。

在步骤C6中，对上述对象标识进行第三编码处理，得到第三编码后的对象标识，并通过第三噪声数据对第三编码后的对象标识进行加噪扰乱处理，得到加噪扰乱后的对象标识，将加噪扰乱后的对象标识作为差分隐私处理后的对象标识。

其中，可以基于预设的哈希算法，对上述对象标识进行第三编码处理，得到第三编码后的对象标识，也可以基于预设的布隆过滤器对上述对象标识进行第三编码处理，得到第三编码后的对象标识，具体处理可以参见上述相关内容，在此不再赘述。

在步骤S406中，对上述对象的内容风险信息进行加密处理，得到加密后的内容风险信息。

其中，密处理所使用的加密算法可以包括同态加密算法、部分同态加密算法和全态加密算法中的一种或多种。

在步骤S408中，将处理后的对象标识和加密后的内容风险信息发送给服务器，以使对处理后的对象标识进行还原处理，得到上述对象标识，并对加密后的内容风险信息进行解密处理，得到上述内容风险信息，基于上述对象标识和上述内容风险信息，确定上述对象中存在风险的目标对象。

在步骤S410中，接收服务器发送的目标对象的对象标识，并基于目标对象的对象标识获取用户访问目标对象所产生的目标数据。

在步骤S412中，对目标对象的对象标识进行第二编码处理，得到目标对象的第二编码后的对象标识，并通过预定的第二噪声数据对第二编码后的对象标识进行加噪扰乱处理，得到目标对象的加噪扰乱后的对象标识，将目标对象的加噪扰乱后的对象标识作为差分隐私处理后的目标对象的对象标识。

以下通过两个可选的方式来确定目标对象的第二编码后的对象标识，具体参见下述方式一和方式二。

方式一，基于预设的第二哈希算法，对目标对象的对象标识进行第二编码处理，得到目标对象的第二编码后的对象标识。

方式二，基于第二布隆过滤器对目标对象的对象标识进行第二编码处理，得到目标对象的第二编码后的对象标识。

此外，可以向目标对象的第二编码后的对象标识中入随机化的噪声数据或者指定的噪声数据(如拉普拉斯噪声数据或高斯噪声数据等)，以对目标对象的第二编码后的对象标识进行加噪扰乱处理，从而将目标对象的第二编码后的对象标识进行掩盖，从而保护用户的隐私。

相应的，还可以对不同的目标对象给予不同的隐私处理预算，以更好的平衡数据可用性以及隐私保护，基于此，对于上述步骤S412中对上述目标对象的对象标识进行差分隐私处理，还可以包括以下步骤D2-步骤D6的处理。

在步骤D2中，基于目标数据，确定目标对象对应的风险等级。

在步骤D4中，获取与目标对象对应的风险等级相匹配的第四噪声数据。

在步骤D6中，对目标对象的对象标识进行第四编码处理，得到目标对象的第四编码后的对象标识，并通过第四噪声数据对目标对象的第四编码后的对象标识进行加噪扰乱处理，得到目标对象的加噪扰乱后的对象标识，将目标对象的加噪扰乱后的对象标识作为差分隐私处理后的目标对象的对象标识。

其中，可以基于预设的哈希算法，对上述目标对象的对象标识进行第四编码处理，得到第四编码后的对象标识，也可以基于预设的布隆过滤器对上述目标对象的对象标识进行第四编码处理，得到第四编码后的对象标识，具体处理可以参见上述相关内容，在此不再赘述。

在步骤S414中，对目标数据进行加密处理，得到加密后的目标数据。

其中，进行加密处理所使用的加密算法可以包括同态加密算法、部分同态加密算法和全态加密算法中的一种或多种。

在步骤S416中，将处理后的目标对象的对象标识和加密后的目标数据发送给服务器。

本说明书实施例提供一种基于隐私保护的对象处理方法，通过获取用户访问的对象的对象标识和对象的内容风险信息，对对象标识进行差分隐私处理，得到处理后的对象标识，内容风险信息包括对象是否存在风险的信息和对象的访问量，将处理后的对象标识和对象的内容风险信息发送给服务器，从而通过对用户访问的对象的对象标识进行差分隐私处理，使得即使上述数据被其他人窃取，也无法从其中了解到用户使用的小程序是哪一个，进而保护用户的隐私不被泄露，然后，接收服务器发送的目标对象的对象标识，并基于目标对象的对象标识获取用户访问目标对象所产生的目标数据，对目标对象的对象标识进行差分隐私处理，并将处理后的目标对象的对象标识和目标数据发送给服务器，从而针对对象的访问，通过两轮机制获取相应的数据进行上传，在保护用户隐私的同时，可以使得数据达到高可用性。

实施例四

如图5A和图5B所示，本说明书实施例提供一种基于隐私保护的对象处理方法，该方法的执行主体可以为服务器，其中的该服务器可以是为某项业务(如进行交易的业务或金融业务等)或提供某对象的访问的后台服务器，具体如，该服务器可以是支付业务的服务器，也可以是与金融或即时通讯等相关业务的服务器等。相应的基于隐私保护的应用程序识别的系统可以如图2所示。该方法具体可以包括以下步骤：

在步骤S502中，接收终端设备发送的用户访问的对象的且经过差分隐私处理后的对象标识和该对象的内容风险信息，该内容风险信息包括该对象是否存在风险的信息和该对象的访问量。

上述步骤S502的处理可以参见上述实施例一中的相关内容，在此不再赘述。

在步骤S504中，对经过差分隐私处理后的对象标识进行还原处理，得到还原后的对象标识。

在实施中，服务器接收到经过差分隐私处理后的对象标识后，可以执行系数两个阶段的处理：预处理阶段和汇聚阶段，在预处理阶段，服务器会对从不同用户的终端设备侧收集到的扰动数据进行去除元数据、时间戳和重新排序等操作。汇聚阶段将利用预处理阶段得到的数据，通过无偏估计等算法进行统计计算，以此对经过差分隐私处理后的对象标识进行还原处理，得到还原后的对象标识，即上述对象的对象标识。

此外，对于通过布隆过滤器对目标应用程序的程序标识进行处理的情况，服务器可以依据布隆过滤器的哈希函数以查询并还原经过差分隐私处理后的对象标识，得到还原后的对象标识，即上述对象的对象标识。

在步骤S506中，基于还原后的对象标识和上述内容风险信息，确定上述对象中存在风险的目标对象。

在实施中，可以基于内容风险信息中的是否存在风险的信息和访问量来确定目标对象，例如，可以将存在风险且其访问量超过预定阈值的对象标识作为目标对象的对象标识，从而可以确定上述对象中存在风险的目标对象。

在步骤S508中，将目标对象的对象标识发送给终端设备，以从终端设备获取用户访问目标对象所产生的目标数据。

上述步骤S508的处理可以参见上述实施例一中的相关内容，在此不再赘述。

本说明书实施例提供一种基于隐私保护的对象处理方法，通过获取用户访问的对象的对象标识和对象的内容风险信息，对对象标识进行差分隐私处理，得到处理后的对象标识，内容风险信息包括对象是否存在风险的信息和对象的访问量，将处理后的对象标识和对象的内容风险信息发送给服务器，从而通过对用户访问的对象的对象标识进行差分隐私处理，使得即使上述数据被其他人窃取，也无法从其中了解到用户使用的小程序是哪一个，进而保护用户的隐私不被泄露，然后，接收服务器发送的目标对象的对象标识，并基于目标对象的对象标识获取用户访问目标对象所产生的目标数据，对目标对象的对象标识进行差分隐私处理，并将处理后的目标对象的对象标识和目标数据发送给服务器，从而针对对象的访问，通过两轮机制获取相应的数据进行上传，在保护用户隐私的同时，可以使得数据达到高可用性。

实施例五

如图6所示，本说明书实施例提供一种基于隐私保护的对象处理方法，该方法的执行主体可以为终端设备和服务器，其中的终端设备可以如手机、平板电脑、个人计算机等，该终端设备可以为能够运行应用程序的终端设备，该应用程序包括宿主程序和搭载于该宿主程序中的任意小程序，和/或，该终端设备可以为用户提供某对象的访问的终端设备，该服务器可以是为某项业务(如进行交易的业务或金融业务等)或提供某对象的访问的后台服务器，具体如，该服务器可以是支付业务的服务器，也可以是与金融或即时通讯等相关业务的服务器等。该方法具体可以包括以下步骤：

在步骤S602中，终端设备获取用户访问的对象的对象标识和该对象的内容风险信息，该内容风险信息包括该对象是否存在风险的信息和该对象的访问量。

在步骤S604中，终端设备对上述对象标识进行第一编码处理，得到第一编码后的对象标识，并通过预设的第一概率对第一编码后的对象标识中的每一位编码数据进行扰乱处理，得到扰乱后的对象标识，将扰乱后的对象标识作为差分隐私处理后的对象标识。

除了可以通过上述步骤S604的处理得到差分隐私处理后的对象标识外，还可以通过下述方式得到差分隐私处理后的对象标识，具体如下：对上述对象标识进行第一编码处理，得到第一编码后的对象标识，并通过预定的第一噪声数据对第一编码后的对象标识进行加噪扰乱处理，得到加噪扰乱后的对象标识，将加噪扰乱后的对象标识作为差分隐私处理后的对象标识。

其中，对上述对象标识进行第一编码处理，可以通过哈希算法的方式，也可以通过布隆过滤器的方式实现，具体可以根据实际情况设定。

在步骤S606中，终端设备对上述对象的内容风险信息进行加密处理，得到加密后的内容风险信息。

在步骤S608中，终端设备将处理后的对象标识和加密后的内容风险信息发送给服务器。

在步骤S610中，服务器对经过差分隐私处理后的对象标识进行还原处理，得到还原后的对象标识，并对加密后的内容风险信息进行解密处理，得到上述内容风险信息。

在步骤S612中，服务器基于还原后的对象标识和上述内容风险信息，确定存在风险的信息且访问量超过预定访问量阈值的对象的对象标识，将确定的对象标识对应的对象作为目标对象。

其中，访问量阈值可以根据实际情况设定，例如访问量阈值可以为单位时间内的访问量，具体如1万次/小时等。

在步骤S614中，服务器将目标对象的对象标识发送给终端设备。

在步骤S616中，终端设备基于目标对象的对象标识获取用户访问目标对象所产生的目标数据。

在步骤S618中，终端设备对目标对象的对象标识进行第二编码处理，得到目标对象的第二编码后的对象标识，并通过预设的第二概率对目标对象的第二编码后的对象标识中的每一位编码数据进行扰乱处理，得到目标对象的扰乱后的对象标识，将目标对象的扰乱后的对象标识作为目标对象的差分隐私处理后的对象标识。

除了可以通过上述步骤S618的处理得到目标对象的差分隐私处理后的对象标识外，还可以通过下述方式得到目标对象的差分隐私处理后的对象标识，具体如下：对目标对象的对象标识进行第二编码处理，得到目标对象的第二编码后的对象标识，并通过预定的第二噪声数据对第二编码后的对象标识进行加噪扰乱处理，得到目标对象的加噪扰乱后的对象标识，将目标对象的加噪扰乱后的对象标识作为差分隐私处理后的目标对象的对象标识。

在步骤S620中，终端设备对目标数据进行加密处理，得到加密后的目标数据。

在步骤S622中，终端设备将处理后的目标对象的对象标识和加密后的目标数据发送给服务器。

本说明书实施例提供一种基于隐私保护的对象处理方法，通过获取用户访问的对象的对象标识和对象的内容风险信息，对对象标识进行差分隐私处理，得到处理后的对象标识，内容风险信息包括对象是否存在风险的信息和对象的访问量，将处理后的对象标识和对象的内容风险信息发送给服务器，从而通过对用户访问的对象的对象标识进行差分隐私处理，使得即使上述数据被其他人窃取，也无法从其中了解到用户使用的小程序是哪一个，进而保护用户的隐私不被泄露，然后，接收服务器发送的目标对象的对象标识，并基于目标对象的对象标识获取用户访问目标对象所产生的目标数据，对目标对象的对象标识进行差分隐私处理，并将处理后的目标对象的对象标识和目标数据发送给服务器，从而针对对象的访问，通过两轮机制获取相应的数据进行上传，在保护用户隐私的同时，可以使得数据达到高可用性。

实施例六

以上为本说明书实施例提供的基于隐私保护的对象处理方法，基于同样的思路，本说明书实施例还提供一种基于隐私保护的对象处理装置，如图7所示。

该基于隐私保护的对象处理装置包括：第一差分隐私模块701、信息发送模块702、标识接收模块703和第二差分隐私模块704，其中：

第一差分隐私模块701，获取用户访问的对象的对象标识和所述对象的内容风险信息，对所述对象标识进行差分隐私处理，得到处理后的对象标识，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量；

信息发送模块702，将所述处理后的对象标识和所述对象的内容风险信息发送给服务器，以使所述服务器对所述处理后的对象标识进行还原处理，得到所述对象标识，基于所述对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象；

标识接收模块703，接收所述服务器发送的所述目标对象的对象标识，并基于所述目标对象的对象标识获取用户访问所述目标对象所产生的目标数据；

第二差分隐私模块704，对所述目标对象的对象标识进行差分隐私处理，并将处理后的所述目标对象的对象标识和所述目标数据发送给服务器。

本说明书实施例中，所述装置还包括：

第一加密模块，对所述对象的内容风险信息进行加密处理，得到加密后的内容风险信息；

所述信息发送模块702，将所述处理后的对象标识和所述加密后的内容风险信息发送给服务器。

本说明书实施例中，所述装置还包括：

第二加密模块，对所述目标数据进行加密处理，得到加密后的目标数据；

所述信息发送模块702，将处理后的所述目标对象的对象标识和加密后的目标数据发送给服务器。

本说明书实施例中，进行加密处理所使用的加密算法包括同态加密算法、部分同态加密算法和全态加密算法中的一种或多种。

本说明书实施例中，所述第一差分隐私模块701，对所述对象标识进行第一编码处理，得到第一编码后的对象标识，并通过预设的第一概率对所述第一编码后的对象标识中的每一位编码数据进行扰乱处理，得到扰乱后的所述对象标识，将扰乱后的所述对象标识作为差分隐私处理后的对象标识；和/或，

所述第二差分隐私模块704，对所述目标对象的对象标识进行第二编码处理，得到所述目标对象的第二编码后的对象标识，并通过预设的第二概率对所述目标对象的第二编码后的对象标识中的每一位编码数据进行扰乱处理，得到所述目标对象的扰乱后的所述对象标识，将所述目标对象的扰乱后的所述对象标识作为所述目标对象的差分隐私处理后的对象标识。

本说明书实施例中，所述第一差分隐私模块701，对所述对象标识进行第一编码处理，得到第一编码后的对象标识，并通过预定的第一噪声数据对所述第一编码后的对象标识进行加噪扰乱处理，得到加噪扰乱后的所述对象标识，将加噪扰乱后的所述对象标识作为差分隐私处理后的对象标识；和/或，

所述第二差分隐私模块704，对所述目标对象的对象标识进行第二编码处理，得到所述目标对象的第二编码后的对象标识，并通过预定的第二噪声数据对所述第二编码后的对象标识进行加噪扰乱处理，得到所述目标对象的加噪扰乱后的对象标识，将所述目标对象的加噪扰乱后的对象标识作为所述目标对象的差分隐私处理后的对象标识。

本说明书实施例中，所述第一差分隐私模块701，基于预设的第一哈希算法，对所述对象标识进行第一编码处理，得到第一编码后的对象标识；和/或

所述第二差分隐私模块704，基于预设的第二哈希算法，对所述目标对象的对象标识进行第二编码处理，得到所述目标对象的第二编码后的对象标识。

本说明书实施例中，所述第一差分隐私模块701，基于第一布隆过滤器对所述对象标识进行第一编码处理，得到第一编码后的对象标识；和/或

所述第二差分隐私模块704，基于第二布隆过滤器对所述目标对象的对象标识进行第二编码处理，得到所述目标对象的第二编码后的对象标识。

本说明书实施例中，所述对象包括搭载在宿主程序中的小程序。

本说明书实施例提供一种基于隐私保护的对象处理装置，通过获取用户访问的对象的对象标识和对象的内容风险信息，对对象标识进行差分隐私处理，得到处理后的对象标识，内容风险信息包括对象是否存在风险的信息和对象的访问量，将处理后的对象标识和对象的内容风险信息发送给服务器，从而通过对用户访问的对象的对象标识进行差分隐私处理，使得即使上述数据被其他人窃取，也无法从其中了解到用户使用的小程序是哪一个，进而保护用户的隐私不被泄露，然后，接收服务器发送的目标对象的对象标识，并基于目标对象的对象标识获取用户访问目标对象所产生的目标数据，对目标对象的对象标识进行差分隐私处理，并将处理后的目标对象的对象标识和目标数据发送给服务器，从而针对对象的访问，通过两轮机制获取相应的数据进行上传，在保护用户隐私的同时，可以使得数据达到高可用性。

实施例七

基于同样的思路，本说明书实施例还提供一种基于隐私保护的对象处理装置，如图8所示。

该基于隐私保护的对象处理装置包括：信息接收模块801、还原模块802、对象确定模块803和标识发送模块804，其中：

信息接收模块801，接收终端设备发送的用户访问的对象的且经过差分隐私处理后的对象标识和所述对象的内容风险信息，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量；

还原模块802，对经过差分隐私处理后的对象标识进行还原处理，得到还原后的对象标识；

对象确定模块803，基于还原后的对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象；

标识发送模块804，将所述目标对象的对象标识发送给所述终端设备，以从所述终端设备获取用户访问所述目标对象所产生的目标数据。

本说明书实施例中，所述对象确定模块803，包括：

风险确定单元，基于还原后的对象标识和所述内容风险信息，确定存在风险的信息且访问量超过预定访问量阈值的对象的对象标识；

对象确定单元，将确定的对象标识对应的对象作为所述目标对象。

本说明书实施例提供一种基于隐私保护的对象处理装置，通过获取用户访问的对象的对象标识和对象的内容风险信息，对对象标识进行差分隐私处理，得到处理后的对象标识，内容风险信息包括对象是否存在风险的信息和对象的访问量，将处理后的对象标识和对象的内容风险信息发送给服务器，从而通过对用户访问的对象的对象标识进行差分隐私处理，使得即使上述数据被其他人窃取，也无法从其中了解到用户使用的小程序是哪一个，进而保护用户的隐私不被泄露，然后，接收服务器发送的目标对象的对象标识，并基于目标对象的对象标识获取用户访问目标对象所产生的目标数据，对目标对象的对象标识进行差分隐私处理，并将处理后的目标对象的对象标识和目标数据发送给服务器，从而针对对象的访问，通过两轮机制获取相应的数据进行上传，在保护用户隐私的同时，可以使得数据达到高可用性。

实施例八

以上为本说明书实施例提供的基于隐私保护的对象处理装置，基于同样的思路，本说明书实施例还提供一种基于隐私保护的对象处理设备，如图9所示。

所述基于隐私保护的对象处理设备可以为上述实施例提供的终端设备或服务器等。

基于隐私保护的对象处理设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上的处理器901和存储器902，存储器902中可以存储有一个或一个以上存储应用程序或数据。其中，存储器902可以是短暂存储或持久存储。存储在存储器902的应用程序可以包括一个或一个以上模块(图示未示出)，每个模块可以包括对基于隐私保护的对象处理设备中的一系列计算机可执行指令。更进一步地，处理器901可以设置为与存储器902通信，在基于隐私保护的对象处理设备上执行存储器902中的一系列计算机可执行指令。基于隐私保护的对象处理设备还可以包括一个或一个以上电源903，一个或一个以上有线或无线网络接口904，一个或一个以上输入输出接口905，一个或一个以上键盘906。

具体在本实施例中，基于隐私保护的对象处理设备包括有存储器，以及一个或一个以上的程序，其中一个或者一个以上程序存储于存储器中，且一个或者一个以上程序可以包括一个或一个以上模块，且每个模块可以包括对基于隐私保护的对象处理设备中的一系列计算机可执行指令，且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令：

获取用户访问的对象的对象标识和所述对象的内容风险信息，对所述对象标识进行差分隐私处理，得到处理后的对象标识，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量；

将所述处理后的对象标识和所述对象的内容风险信息发送给服务器，以使所述服务器对所述处理后的对象标识进行还原处理，得到所述对象标识，基于所述对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象；

接收所述服务器发送的所述目标对象的对象标识，并基于所述目标对象的对象标识获取用户访问所述目标对象所产生的目标数据；

对所述目标对象的对象标识进行差分隐私处理，并将处理后的所述目标对象的对象标识和所述目标数据发送给服务器。

本说明书实施例中，还包括：

对所述对象的内容风险信息进行加密处理，得到加密后的内容风险信息；

所述将所述处理后的对象标识和所述对象的内容风险信息发送给服务器，包括：

将所述处理后的对象标识和所述加密后的内容风险信息发送给服务器。

本说明书实施例中，还包括：

对所述目标数据进行加密处理，得到加密后的目标数据；

所述将处理后的所述目标对象的对象标识和所述目标数据发送给服务器，包括：

将处理后的所述目标对象的对象标识和加密后的目标数据发送给服务器。

本说明书实施例中，所述对象包括搭载在宿主程序中的小程序。

此外，具体在本实施例中，基于隐私保护的对象处理设备包括有存储器，以及一个或一个以上的程序，其中一个或者一个以上程序存储于存储器中，且一个或者一个以上程序可以包括一个或一个以上模块，且每个模块可以包括对基于隐私保护的对象处理设备中的一系列计算机可执行指令，且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令：

接收终端设备发送的用户访问的对象的且经过差分隐私处理后的对象标识和所述对象的内容风险信息，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量；

对经过差分隐私处理后的对象标识进行还原处理，得到还原后的对象标识；

基于还原后的对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象；

将所述目标对象的对象标识发送给所述终端设备，以从所述终端设备获取用户访问所述目标对象所产生的目标数据。

本说明书实施例中，所述基于还原后的对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象，包括：

基于还原后的对象标识和所述内容风险信息，确定存在风险的信息且访问量超过预定访问量阈值的对象的对象标识；

将确定的对象标识对应的对象作为所述目标对象。

本说明书实施例提供一种基于隐私保护的对象处理设备，通过获取用户访问的对象的对象标识和对象的内容风险信息，对对象标识进行差分隐私处理，得到处理后的对象标识，内容风险信息包括对象是否存在风险的信息和对象的访问量，将处理后的对象标识和对象的内容风险信息发送给服务器，从而通过对用户访问的对象的对象标识进行差分隐私处理，使得即使上述数据被其他人窃取，也无法从其中了解到用户使用的小程序是哪一个，进而保护用户的隐私不被泄露，然后，接收服务器发送的目标对象的对象标识，并基于目标对象的对象标识获取用户访问目标对象所产生的目标数据，对目标对象的对象标识进行差分隐私处理，并将处理后的目标对象的对象标识和目标数据发送给服务器，从而针对对象的访问，通过两轮机制获取相应的数据进行上传，在保护用户隐私的同时，可以使得数据达到高可用性。

实施例九

进一步地，基于上述图1至图6所示的方法，本说明书一个或多个实施例还提供了一种存储介质，用于存储计算机可执行指令信息，一种具体的实施例中，该存储介质可以为U盘、光盘、硬盘等，该存储介质存储的计算机可执行指令信息在被处理器执行时，能实现以下流程：

获取用户访问的对象的对象标识和所述对象的内容风险信息，对所述对象标识进行差分隐私处理，得到处理后的对象标识，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量；

将所述处理后的对象标识和所述对象的内容风险信息发送给服务器，以使所述服务器对所述处理后的对象标识进行还原处理，得到所述对象标识，基于所述对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象；

接收所述服务器发送的所述目标对象的对象标识，并基于所述目标对象的对象标识获取用户访问所述目标对象所产生的目标数据；

对所述目标对象的对象标识进行差分隐私处理，并将处理后的所述目标对象的对象标识和所述目标数据发送给服务器。

本说明书实施例中，还包括：

对所述对象的内容风险信息进行加密处理，得到加密后的内容风险信息；

所述将所述处理后的对象标识和所述对象的内容风险信息发送给服务器，包括：

将所述处理后的对象标识和所述加密后的内容风险信息发送给服务器。

本说明书实施例中，还包括：

对所述目标数据进行加密处理，得到加密后的目标数据；

所述将处理后的所述目标对象的对象标识和所述目标数据发送给服务器，包括：

将处理后的所述目标对象的对象标识和加密后的目标数据发送给服务器。

本说明书实施例中，所述对象包括搭载在宿主程序中的小程序。

此外，一种具体的实施例中，该存储介质可以为U盘、光盘、硬盘等，该存储介质存储的计算机可执行指令信息在被处理器执行时，能实现以下流程：

接收终端设备发送的用户访问的对象的且经过差分隐私处理后的对象标识和所述对象的内容风险信息，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量；

对经过差分隐私处理后的对象标识进行还原处理，得到还原后的对象标识；

基于还原后的对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象；

将所述目标对象的对象标识发送给所述终端设备，以从所述终端设备获取用户访问所述目标对象所产生的目标数据。

本说明书实施例中，所述基于还原后的对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象，包括：

基于还原后的对象标识和所述内容风险信息，确定存在风险的信息且访问量超过预定访问量阈值的对象的对象标识；

将确定的对象标识对应的对象作为所述目标对象。

本说明书实施例提供一种存储介质，通过获取用户访问的对象的对象标识和对象的内容风险信息，对对象标识进行差分隐私处理，得到处理后的对象标识，内容风险信息包括对象是否存在风险的信息和对象的访问量，将处理后的对象标识和对象的内容风险信息发送给服务器，从而通过对用户访问的对象的对象标识进行差分隐私处理，使得即使上述数据被其他人窃取，也无法从其中了解到用户使用的小程序是哪一个，进而保护用户的隐私不被泄露，然后，接收服务器发送的目标对象的对象标识，并基于目标对象的对象标识获取用户访问目标对象所产生的目标数据，对目标对象的对象标识进行差分隐私处理，并将处理后的目标对象的对象标识和目标数据发送给服务器，从而针对对象的访问，通过两轮机制获取相应的数据进行上传，在保护用户隐私的同时，可以使得数据达到高可用性。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

在20世纪90年代，对于一个技术的改进可以很明显地区分是硬件上的改进(例如，对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而，随着技术的发展，当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此，不能说一个方法流程的改进就不能用硬件实体模块来实现。例如，可编程逻辑器件(Programmable Logic Device，PLD)(例如现场可编程门阵列(Field Programmable GateArray，FPGA))就是这样一种集成电路，其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上，而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且，如今，取代手工地制作集成电路芯片，这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现，它与程序开发撰写时所用的软件编译器相类似，而要编译之前的原始代码也得用特定的编程语言来撰写，此称之为硬件描述语言(Hardware Description Language，HDL)，而HDL也并非仅有一种，而是有许多种，如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等，目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中，就可以很容易得到实现该逻辑方法流程的硬件电路。

控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit，ASIC)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本说明书一个或多个实施例时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本说明书的实施例可提供为方法、系统、或计算机程序产品。因此，本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本说明书的实施例是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程欺诈案例的串并设备的处理器以产生一个机器，使得通过计算机或其他可编程欺诈案例的串并设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程欺诈案例的串并设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程欺诈案例的串并设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本说明书的实施例可提供为方法、系统或计算机程序产品。因此，本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本说明书一个或多个实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书一个或多个实施例，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本说明书的实施例而已，并不用于限制本说明书。对于本领域技术人员来说，本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书的权利要求范围之内。

Claims (22)

1.一种基于隐私保护的对象处理方法，所述方法包括：

获取用户访问的对象的对象标识和所述对象的内容风险信息，对所述对象标识进行差分隐私处理，得到处理后的对象标识，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量；

将所述处理后的对象标识和所述对象的内容风险信息发送给服务器，以使所述服务器对所述处理后的对象标识进行还原处理，得到所述对象标识，基于所述对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象；

接收所述服务器发送的所述目标对象的对象标识，并基于所述目标对象的对象标识获取用户访问所述目标对象所产生的目标数据；

对所述目标对象的对象标识进行差分隐私处理，并将处理后的所述目标对象的对象标识和所述目标数据发送给服务器。

2.根据权利要求1所述的方法，所述方法还包括：

对所述对象的内容风险信息进行加密处理，得到加密后的内容风险信息；

所述将所述处理后的对象标识和所述对象的内容风险信息发送给服务器，包括：

将所述处理后的对象标识和所述加密后的内容风险信息发送给服务器。

3.根据权利要求1所述的方法，所述方法还包括：

对所述目标数据进行加密处理，得到加密后的目标数据；

所述将处理后的所述目标对象的对象标识和所述目标数据发送给服务器，包括：

将处理后的所述目标对象的对象标识和加密后的目标数据发送给服务器。

4.根据权利要求2或3所述的方法，进行加密处理所使用的加密算法包括同态加密算法、部分同态加密算法和全态加密算法中的一种或多种。

5.根据权利要求1所述的方法，所述对所述对象标识进行差分隐私处理，得到处理后的对象标识，包括：

对所述对象标识进行第一编码处理，得到第一编码后的对象标识，并通过预设的第一概率对所述第一编码后的对象标识中的每一位编码数据进行扰乱处理，得到扰乱后的所述对象标识，将扰乱后的所述对象标识作为差分隐私处理后的对象标识；和/或，

所述对所述目标对象的对象标识进行差分隐私处理，包括：

对所述目标对象的对象标识进行第二编码处理，得到所述目标对象的第二编码后的对象标识，并通过预设的第二概率对所述目标对象的第二编码后的对象标识中的每一位编码数据进行扰乱处理，得到所述目标对象的扰乱后的所述对象标识，将所述目标对象的扰乱后的所述对象标识作为所述目标对象的差分隐私处理后的对象标识。

6.根据权利要求1所述的方法，所述对所述对象标识进行差分隐私处理，得到处理后的对象标识，包括：

基于所述对象的内容风险信息，确定所述对象对应的风险等级；

获取与所述对象对应的风险等级相匹配的第三概率；

对所述对象标识进行第三编码处理，得到第三编码后的对象标识，并通过所述第三概率对所述第三编码后的对象标识中的每一位编码数据进行扰乱处理，得到扰乱后的所述对象标识，将扰乱后的所述对象标识作为差分隐私处理后的对象标识；和/或，

所述对所述目标对象的对象标识进行差分隐私处理，包括：

基于所述目标数据，确定所述目标对象对应的风险等级；

获取与所述目标对象对应的风险等级相匹配的第四概率；

对所述目标对象的对象标识进行第四编码处理，得到所述目标对象的第四编码后的对象标识，并通过所述第四概率对所述目标对象的第四编码后的对象标识中的每一位编码数据进行扰乱处理，得到所述目标对象的扰乱后的所述对象标识，将所述目标对象的扰乱后的所述对象标识作为所述目标对象的差分隐私处理后的对象标识。

7.根据权利要求1所述的方法，所述对所述对象标识进行差分隐私处理，得到处理后的对象标识，包括：

对所述对象标识进行第一编码处理，得到第一编码后的对象标识，并通过预定的第一噪声数据对所述第一编码后的对象标识进行加噪扰乱处理，得到加噪扰乱后的所述对象标识，将加噪扰乱后的所述对象标识作为差分隐私处理后的对象标识；和/或，

所述对所述目标对象的对象标识进行差分隐私处理，包括：

对所述目标对象的对象标识进行第二编码处理，得到所述目标对象的第二编码后的对象标识，并通过预定的第二噪声数据对所述第二编码后的对象标识进行加噪扰乱处理，得到所述目标对象的加噪扰乱后的对象标识，将所述目标对象的加噪扰乱后的对象标识作为差分隐私处理后的所述目标对象的对象标识。

8.根据权利要求1所述的方法，所述对所述对象标识进行差分隐私处理，得到处理后的对象标识，包括：

基于所述对象的内容风险信息，确定所述对象对应的风险等级；

获取与所述对象对应的风险等级相匹配的第三噪声数据；

对所述对象标识进行第三编码处理，得到第三编码后的对象标识，并通过所述第三噪声数据对所述第三编码后的对象标识进行加噪扰乱处理，得到加噪扰乱后的所述对象标识，将加噪扰乱后的所述对象标识作为差分隐私处理后的对象标识；和/或，

所述对所述目标对象的对象标识进行差分隐私处理，包括：

基于所述目标数据，确定所述目标对象对应的风险等级；

获取与所述目标对象对应的风险等级相匹配的第四噪声数据；

对所述目标对象的对象标识进行第四编码处理，得到所述目标对象的第四编码后的对象标识，并通过所述第四噪声数据对所述第四编码后的对象标识进行加噪扰乱处理，得到所述目标对象的加噪扰乱后的对象标识，将所述目标对象的加噪扰乱后的对象标识作为差分隐私处理后的所述目标对象的对象标识。

9.根据权利要求5或7所述的方法，所述对所述对象标识进行第一编码处理，得到第一编码后的对象标识，包括：

基于预设的第一哈希算法，对所述对象标识进行第一编码处理，得到第一编码后的对象标识；和/或

所述对所述目标对象的对象标识进行第二编码处理，得到所述目标对象的第二编码后的对象标识，包括：

基于预设的第二哈希算法，对所述目标对象的对象标识进行第二编码处理，得到所述目标对象的第二编码后的对象标识。

10.根据权利要求5或7所述的方法，所述对所述对象标识进行第一编码处理，得到第一编码后的对象标识，包括：

基于第一布隆过滤器对所述对象标识进行第一编码处理，得到第一编码后的对象标识；和/或

所述对所述目标对象的对象标识进行第二编码处理，得到所述目标对象的第二编码后的对象标识，包括：

基于第二布隆过滤器对所述目标对象的对象标识进行第二编码处理，得到所述目标对象的第二编码后的对象标识。

11.根据权利要求1所述的方法，所述对象包括搭载在宿主程序中的小程序。

12.一种基于隐私保护的对象处理方法，所述方法包括：

接收终端设备发送的用户访问的对象的且经过差分隐私处理后的对象标识和所述对象的内容风险信息，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量；

对经过差分隐私处理后的对象标识进行还原处理，得到还原后的对象标识；

基于还原后的对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象；

将所述目标对象的对象标识发送给所述终端设备，以从所述终端设备获取用户访问所述目标对象所产生的目标数据。

13.根据权利要求12所述的方法，所述基于还原后的对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象，包括：

基于还原后的对象标识和所述内容风险信息，确定存在风险的信息且访问量超过预定访问量阈值的对象的对象标识；

将确定的对象标识对应的对象作为所述目标对象。

14.一种基于隐私保护的对象处理装置，所述装置包括：

第一差分隐私模块，获取用户访问的对象的对象标识和所述对象的内容风险信息，对所述对象标识进行差分隐私处理，得到处理后的对象标识，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量；

信息发送模块，将所述处理后的对象标识和所述对象的内容风险信息发送给服务器，以使所述服务器对所述处理后的对象标识进行还原处理，得到所述对象标识，基于所述对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象；

标识接收模块，接收所述服务器发送的所述目标对象的对象标识，并基于所述目标对象的对象标识获取用户访问所述目标对象所产生的目标数据；

第二差分隐私模块，对所述目标对象的对象标识进行差分隐私处理，并将处理后的所述目标对象的对象标识和所述目标数据发送给服务器。

15.根据权利要求14所述的装置，所述装置还包括：

第一加密模块，对所述对象的内容风险信息进行加密处理，得到加密后的内容风险信息；

所述信息发送模块，将所述处理后的对象标识和所述加密后的内容风险信息发送给服务器。

16.根据权利要求14所述的装置，所述第一差分隐私模块，对所述对象标识进行第一编码处理，得到第一编码后的对象标识，并通过预设的第一概率对所述第一编码后的对象标识中的每一位编码数据进行扰乱处理，得到扰乱后的所述对象标识，将扰乱后的所述对象标识作为差分隐私处理后的对象标识；和/或，

所述第二差分隐私模块，对所述目标对象的对象标识进行第二编码处理，得到所述目标对象的第二编码后的对象标识，并通过预设的第二概率对所述目标对象的第二编码后的对象标识中的每一位编码数据进行扰乱处理，得到所述目标对象的扰乱后的所述对象标识，将所述目标对象的扰乱后的所述对象标识作为所述目标对象的差分隐私处理后的对象标识。

17.根据权利要求14所述的装置，所述对象包括搭载在宿主程序中的小程序。

18.一种基于隐私保护的对象处理装置，所述装置包括：

信息接收模块，接收终端设备发送的用户访问的对象的且经过差分隐私处理后的对象标识和所述对象的内容风险信息，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量；

还原模块，对经过差分隐私处理后的对象标识进行还原处理，得到还原后的对象标识；

对象确定模块，基于还原后的对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象；

标识发送模块，将所述目标对象的对象标识发送给所述终端设备，以从所述终端设备获取用户访问所述目标对象所产生的目标数据。

19.一种基于隐私保护的对象处理设备，所述基于隐私保护的对象处理设备包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：

获取用户访问的对象的对象标识和所述对象的内容风险信息，对所述对象标识进行差分隐私处理，得到处理后的对象标识，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量；

将所述处理后的对象标识和所述对象的内容风险信息发送给服务器，以使所述服务器对所述处理后的对象标识进行还原处理，得到所述对象标识，基于所述对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象；

接收所述服务器发送的所述目标对象的对象标识，并基于所述目标对象的对象标识获取用户访问所述目标对象所产生的目标数据；

对所述目标对象的对象标识进行差分隐私处理，并将处理后的所述目标对象的对象标识和所述目标数据发送给服务器。

20.一种基于隐私保护的对象处理设备，所述基于隐私保护的对象处理设备包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：

接收终端设备发送的用户访问的对象的且经过差分隐私处理后的对象标识和所述对象的内容风险信息，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量；

对经过差分隐私处理后的对象标识进行还原处理，得到还原后的对象标识；

基于还原后的对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象；

将所述目标对象的对象标识发送给所述终端设备，以从所述终端设备获取用户访问所述目标对象所产生的目标数据。

21.一种存储介质，所述存储介质用于存储计算机可执行指令，所述可执行指令在被执行时实现以下流程：

获取用户访问的对象的对象标识和所述对象的内容风险信息，对所述对象标识进行差分隐私处理，得到处理后的对象标识，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量；

将所述处理后的对象标识和所述对象的内容风险信息发送给服务器，以使所述服务器对所述处理后的对象标识进行还原处理，得到所述对象标识，基于所述对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象；

接收所述服务器发送的所述目标对象的对象标识，并基于所述目标对象的对象标识获取用户访问所述目标对象所产生的目标数据；

对所述目标对象的对象标识进行差分隐私处理，并将处理后的所述目标对象的对象标识和所述目标数据发送给服务器。

22.一种存储介质，所述存储介质用于存储计算机可执行指令，所述可执行指令在被执行时实现以下流程：

接收终端设备发送的用户访问的对象的且经过差分隐私处理后的对象标识和所述对象的内容风险信息，所述内容风险信息包括所述对象是否存在风险的信息和所述对象的访问量；

对经过差分隐私处理后的对象标识进行还原处理，得到还原后的对象标识；

基于还原后的对象标识和所述内容风险信息，确定所述对象中存在风险的目标对象；

将所述目标对象的对象标识发送给所述终端设备，以从所述终端设备获取用户访问所述目标对象所产生的目标数据。

Images