KR20210132129A - 포디움 메커니즘을 이용한 데이터 프라이버시 - Google Patents

포디움 메커니즘을 이용한 데이터 프라이버시 Download PDF

Info

Publication number
KR20210132129A
KR20210132129A KR1020217030459A KR20217030459A KR20210132129A KR 20210132129 A KR20210132129 A KR 20210132129A KR 1020217030459 A KR1020217030459 A KR 1020217030459A KR 20217030459 A KR20217030459 A KR 20217030459A KR 20210132129 A KR20210132129 A KR 20210132129A
Authority
KR
South Korea
Prior art keywords
data
parameter
noise distribution
input data
privacy
Prior art date
Application number
KR1020217030459A
Other languages
English (en)
Other versions
KR102562053B1 (ko
Inventor
바실 피후
Original Assignee
스냅 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 스냅 인코포레이티드 filed Critical 스냅 인코포레이티드
Publication of KR20210132129A publication Critical patent/KR20210132129A/ko
Application granted granted Critical
Publication of KR102562053B1 publication Critical patent/KR102562053B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/08Randomization, e.g. dummy operations or using noise

Abstract

동작들을 수행하기 위한 시스템들 및 방법들이 제공되는데, 동작들은: 입력 데이터의 세트를 저장하는 동작; 2-스텝 함수에 기초하여 잡음 분포를 생성하는 동작 - 2-스텝 함수의 높이는 프라이버시 파라미터에 의해 결정되고, 2-스텝 함수의 폭은 잡음 분포의 분산을 최소화함으로써 결정되고, 2-스텝 함수의 평균은 프라이버시화될 입력 데이터의 세트의 값에 의해 결정됨 -; 잡음 분포를 입력 데이터의 세트에 적용하여 프라이버시화된 잡음성 출력 데이터를 생성하는 동작; 및 입력 데이터의 일부 또는 완전한 세트에 대한 요청에 응답하여 결과적인 프라이버시화된 잡음성 출력 데이터를 송신하는 동작을 포함한다.

Description

포디움 메커니즘을 이용한 데이터 프라이버시
[우선권 주장]
본 출원은 2019년 2월 28일자로 출원된 미국 가출원 제62/812,207호에 대한 우선권의 이익을 주장하는, 2020년 1월 13일자로 출원된 미국 특허 출원 일련 번호 제16/741,193호에 대한 우선권의 이익을 주장하며, 이들 출원은 그 전체가 본 명세서에 참고로 포함된다.
본 개시내용은 일반적으로 사용자 데이터의 프라이버시 관리에 관한 것이다.
현대의 서비스 제공자들은 통상적으로 상이한 서비스들을 제공하기 위해 사용자들로부터 다양한 정보를 수집한다. 수집되는 정보는 사용자가 서비스 제공자뿐만 아니라 보조 서비스들과 수행하려고 의도하는 특정 트랜잭션을 위해 사용될 수 있다. 예를 들어, 사용자는 주어진 콘텐츠 전달 서비스에 액세스하기 위해 개인 정보(예를 들어, 신용 카드 번호, 직불 카드 번호 및 은행 계좌 번호와 같은 자격증명, 및 사회 보장 번호, 이름 및 주소와 같은 개인 식별 정보를 포함하는 민감한 데이터)를 제공할 수 있고, 이러한 정보는 그 후에 통계를 실행하거나 사용자에게 추천을 제공하기 위해 콘텐츠 전달 서비스에 의해 사용될 수 있다. 그러한 데이터의 수집 및 분석은 특정 사용자뿐만 아니라 서비스 제공자의 다른 사용자들에게도 큰 이익을 가져다 줄 수 있지만, 그것은 또한 제3자에의 정보의 제공과 같은 상당한 남용의 대상일 수 있다. 이러한 남용은 다른 경우에는 협력적이었을 많은 사용자들이 서비스 제공자들에게 액세스하고 정보를 제공하는 것을 막아버릴 수 있다. 이러한 이유뿐만 아니라, 프라이버시 규제들 또는 규제 제약들 때문에, 개인 정보가 데이터베이스들에 저장될 때, 데이터를 남용으로부터 보호하기 위해 이 데이터를 제어하는 것은 서비스 제공자들의 책무이다.
반드시 실제 축척으로 그려진 것은 아닌 도면들에서, 유사한 참조부호들은 상이한 도면들 내의 유사한 컴포넌트들을 설명할 수 있다. 임의의 특정 요소 또는 행위의 논의를 쉽게 식별하기 위해, 참조 번호에서 최상위 숫자 또는 숫자들은 그 요소가 처음 도입되는 도면 번호를 지칭한다. 일부 실시예들은 첨부 도면들에서 제한이 아닌 예로서 도시된다.
도 1은 예시적인 실시예들에 따른, 네트워크를 통해 데이터(예를 들어, 메시지 및 연관된 콘텐츠)를 교환하기 위한 예시적인 메시징 시스템을 도시하는 블록도이다.
도 2는 예시적인 실시예들에 따른, 메시징 서버 시스템의 데이터베이스에 저장될 수 있는 데이터를 도시하는 개략도이다.
도 3은 예시적인 실시예들에 따른, 통신을 위해 메시징 클라이언트 애플리케이션에 의해 생성된 메시지의 구조를 도시하는 개략도이다.
도 4는 예시적인 실시예들에 따른, 예시적인 데이터 프라이버시 시스템을 도시하는 블록도이다.
도 5는 예시적인 실시예들에 따른, 데이터 프라이버시 시스템의 예시적인 동작들을 예시하는 흐름도이다.
도 6 및 도 7은 예시적인 실시예들에 따른, 데이터 프라이버시 시스템의 예시적인 입력들 및 출력들이다.
도 8은 예시적인 실시예들에 따른, 본 명세서에 설명된 다양한 하드웨어 아키텍처들과 함께 사용될 수 있는 대표적인 소프트웨어 아키텍처를 예시하는 블록도이다.
도 9는 예시적인 실시예들에 따른, 머신 판독가능 매체(예를 들어, 머신 판독가능 스토리지 매체)로부터 명령어들을 판독하고 본 명세서에서 논의된 방법론들 중 임의의 하나 이상을 수행할 수 있는 머신의 컴포넌트들을 도시하는 블록도이다.
이하의 설명은 본 개시내용의 예시적인 실시예들을 구현하는 시스템, 방법, 기술, 명령어 시퀀스, 및 컴퓨팅 머신 프로그램 제품을 포함한다. 이하의 설명에서는, 설명의 목적을 위해, 수많은 특정 상세 사항들이 다양한 실시예들의 이해를 제공하기 위해 제시된다. 그러나, 본 기술 분야의 통상의 기술자들에게는 실시예들이 이들 특정 상세 사항 없이도 실시될 수 있다는 것이 명백할 것이다. 일반적으로, 잘 알려진 명령어 인스턴스들(instances), 프로토콜들(protocols), 구조들, 및 기술들은 반드시 상세하게 도시되어 있는 것은 아니다.
전형적인 시스템들은 그들이 수집하는 사용자 데이터를 노출로부터 보호하기 위해 다수의 메커니즘을 이용한다. 이러한 메커니즘들은 통상적으로, 민감한 사용자 정보의 노출을 방지하기 위해 사용자 데이터의 세트에 무작위화된 데이터를 도입하는 차등 프라이버시(differential privacy)라고 지칭된다. 차등 프라이버시는 그 정보가 데이터베이스 내에 있는 개인들에 대한 프라이버시 영향을 측정(및, 그에 의해, 바라건대 최소화)하면서 통계적 데이터베이스들로부터의 질의들의 정확도를 최대화하는 수단을 제공하는 것을 목표로 하는 통계적 기술이다.
전형적인 시스템들은 라플라스 메커니즘(Laplace mechanism) 또는 계단 메커니즘(Staircase mechanism)을 사용하여 노출로부터 사용자 데이터를 보호하기 위해 저장된 사용자 데이터의 세트에 무작위 데이터를 도입한다. 라플라스 메커니즘은 평균 0 및 스케일
Figure pct00001
을 갖는 라플라스 분포로부터 잡음을 추가함으로써
Figure pct00002
차등 프라이버시(차등 프라이버시라고도 함)를 보장하며, 여기서 사용자 데이터 x의 세트에 대해
Figure pct00003
이고
Figure pct00004
은 1 미만의 프라이버시 파라미터이다. 잡음은 다음과 같이 추가된다:
Figure pct00005
여기서 L은 다음과 같이 정의된 확률 밀도 함수를 갖는 무작위 변수이다:
Figure pct00006
계단 메커니즘은 다음과 같이 정의된 확률 밀도 함수를 갖는 균일한 무작위 변수들의 기하학적 혼합으로부터 샘플링한다:
Figure pct00007
여기서
Figure pct00008
Figure pct00009
이 메커니즘은 몇몇 가정들 하에서 잘 작동하고,
Figure pct00010
또는
Figure pct00011
(분산) 손실 함수들을 최소화하도록 도출된다. 출력의 도메인(domain)은 전체 실수 라인이고 입력은 Δ의 감도를 갖는다고 가정한다. 계단 메커니즘의 잡음 분포는 입력 x의 함수로서 변하지 않으며, 이 메커니즘은 잡음이
Figure pct00012
, 0 또는
Figure pct00013
에 추가되는지에 관계없이 동일한 분포를 이용하여 단일 함수 형태에 대해 최적화한다.
종래의 접근법들 둘 다가 일반적으로 잘 작동하지만, 그들 둘 다는 실수 라인 전체에 값들을 생성하고, 이는 극단적인 이상치(extreme outlier)들의 가능성으로 인해 효율의 손실을 초래한다. 또한, 계단 메커니즘은 그것의 파라미터들을 계산하기 위해 복잡한 대수 연산들을 수반하고, 이는 계산 복잡도 및 지연을 잡음 생성에 추가한다.
개시된 실시예들은 사용자 데이터에서 잡음을 생성하는 데 있어서 종래의 접근법들의 이러한 단점들을 해결함으로써 전자 디바이스를 사용하는 효율을 개선한다. 특히, 개시된 실시예들은, 예를 들어, 전체 실수 라인 상에서 잡음을 생성하는 라플라스 메커니즘이 아니라 절단된 분포(truncated distribution)로부터 잡음을 생성하는 포디움 분포(Podium distribution) 또는 메커니즘을 이용하여 사용자 데이터 자체에 기초하는 잡음 분포를 생성한다. 개시된 접근법들은 더 작은 분산을 제공함으로써 종래의 접근법들에 비해 사용자 데이터를 표현하는 정확도를 증가시킨다. 개시된 잡음 분포는 "절단된(truncated)" 분포로부터 샘플들을 취하는데, 이는 그것의 서포트(support)가 전체 실수 라인이 아니고, 종래의 접근법들에 비해 개선된 방식으로 잡음을 포커싱함으로써 감도 Δ를 가능한 한 가깝게 일치시킨다는 것을 의미한다. 또한, 분포의 형상은 잡음이 x에 중심을 두도록 보장하는 입력 값
Figure pct00014
에 의존하여 변한다. 개시된 잡음 분포의 특정 파라미터들이 미리 계산될 수 있고, 이는 잡음 분포를 사용하여 잡음 값들이 생성될 때 런타임 동안 계산 복잡성들 및 지연을 감소시킨다.
일부 실시예들에서, 입력 데이터의 세트가 저장되고, 2-스텝 함수(two-step function)에 기초하여 잡음 분포가 생성된다. 2-스텝 함수의 높이는 프라이버시 파라미터에 의해 결정되고, 2-스텝 함수의 폭은 잡음 분포의 분산을 최소화함으로써 결정되고, 2-스텝 함수의 평균은 프라이버시화(privatized)될 입력 데이터의 세트의 값에 의해 결정된다. 잡음 분포는 프라이버시화된 잡음성 출력 데이터를 생성하기 위해 입력 데이터의 세트에 적용되고, 결과적인 프라이버시화된 잡음성 출력 데이터는 입력 데이터의 일부 또는 완전한 세트에 대한 요청에 응답하여 송신된다.
도 1은 네트워크(106)를 통해 데이터(예를 들어, 메시지들 및 연관된 콘텐츠)를 교환하기 위한 예시적인 메시징 시스템(100)을 도시하는 블록도이다. 메시징 시스템(100)은 다중의 클라이언트 디바이스(102)를 포함하고, 이들 각각은 메시징 클라이언트 애플리케이션(104) 및 데이터 프라이버시 애플리케이션(105)을 포함하는 다수의 애플리케이션을 호스팅한다. 각각의 메시징 클라이언트 애플리케이션(104)은, 네트워크(106)(예를 들어, 인터넷)를 통해, 메시징 클라이언트 애플리케이션(104), 데이터 프라이버시 애플리케이션(105), 및 메시징 서버 시스템(108)의 다른 인스턴스들에 통신가능하게 결합된다.
따라서, 각각의 메시징 클라이언트 애플리케이션(104) 및 데이터 프라이버시 애플리케이션(105)은 네트워크(106)를 통해 또 다른 메시징 클라이언트 애플리케이션(104) 및 데이터 프라이버시 애플리케이션(105)과 그리고 메시징 서버 시스템(108)과 통신하고 데이터를 교환할 수 있다. 메시징 클라이언트 애플리케이션들(104), 데이터 프라이버시 애플리케이션들(105) 사이에서, 및 메시징 클라이언트 애플리케이션(104)과 메시징 서버 시스템(108) 사이에서 교환되는 데이터는, 기능들(예를 들어, 기능들을 기동시키는 명령들)뿐만 아니라, 페이로드 데이터(예를 들어, 텍스트, 오디오, 비디오 또는 다른 멀티미디어 데이터)를 포함한다.
데이터 프라이버시 애플리케이션(105)은 클라이언트 디바이스(102)가 데이터 프라이버시 시스템(124)에 액세스하는 것을 허용하는 기능들의 세트를 포함하는 애플리케이션이다. 일부 구현들에서, 데이터 프라이버시 애플리케이션(105)은 메시징 클라이언트 애플리케이션(104)의 일부인 컴포넌트 또는 피처(feature)이다. 데이터 프라이버시 애플리케이션(105)은 주어진 사용자가 사용자 데이터의 컬렉션의 통계적 분석 또는 액세스를 요청할 수 있게 한다. 예를 들어, 사용자 데이터는 사용자들의 세트의 연령들을 나타낼 수 있고, 데이터 프라이버시 애플리케이션(105)은 사용자들의 세트의 평균 연령을 요청할 수 있다. 데이터 프라이버시 애플리케이션(105)은 데이터 프라이버시 시스템(124)과 통신하며, 데이터 프라이버시 시스템은 무작위 데이터를 더하기 위해 (예를 들어, 포디움 메커니즘을 사용하여) 데이터의 세트에 잡음 분포를 적용하고 요청에 대응하는 결과를 생성한다. 예를 들어, 결과는 더해진 무작위 데이터를 고려하는 사용자들의 평균 연령들을 나타낼 수 있다. 무작위 데이터를 더함으로써, 특정 사용자의 데이터는 요청에 응답하여 노출되지 않는다.
메시징 서버 시스템(108)은 네트워크(106)를 통해 특정 메시징 클라이언트 애플리케이션(104)에 서버 측 기능성을 제공한다. 메시징 시스템(100)의 특정 기능들이 메시징 클라이언트 애플리케이션(104)에 의해 또는 메시징 서버 시스템(108)에 의해 수행되는 것으로 본 명세서에 설명되지만, 메시징 클라이언트 애플리케이션(104) 또는 메시징 서버 시스템(108) 내에서의 특정 기능성의 위치는 설계 선택사항이라는 것을 인식할 것이다. 예를 들어, 처음에 메시징 서버 시스템(108) 내에 특정 기술 및 기능성을 배치하지만, 나중에 클라이언트 디바이스(102)가 충분한 처리 용량을 갖는 메시징 클라이언트 애플리케이션(104)으로 이 기술 및 기능성을 이주시키는 것이 기술적으로 바람직할 수 있다.
메시징 서버 시스템(108)은 메시징 클라이언트 애플리케이션(104)에 제공되는 다양한 서비스들 및 동작들을 지원한다. 그러한 동작들은 메시징 클라이언트 애플리케이션(104)에 데이터를 송신하고, 그로부터 데이터를 수신하고, 그에 의해 생성된 데이터를 처리하는 것을 포함한다. 이 데이터는, 예로서, 메시지 콘텐츠, 클라이언트 디바이스 정보, 지오로케이션 정보, 미디어 주석 및 오버레이, 가상 객체, 메시지 콘텐츠 지속 조건, 소셜 네트워크 정보, 및 라이브 이벤트 정보를 포함할 수 있다. 메시징 시스템(100) 내에서의 데이터 교환은 메시징 클라이언트 애플리케이션(104)의 사용자 인터페이스(UI)들을 통해 이용 가능한 기능들을 통해 기동되고 제어된다.
이제 구체적으로 메시징 서버 시스템(108)을 참조하면, 애플리케이션 프로그램 인터페이스(API) 서버(110)가 애플리케이션 서버(112)에 결합되어 프로그램 방식의 인터페이스(programmatic interface)를 제공한다. 애플리케이션 서버(112)는 데이터베이스 서버(118)에 통신가능하게 결합되고, 데이터베이스 서버는 애플리케이션 서버(112)에 의해 처리되는 메시지들과 연관된 데이터가 저장되는 데이터베이스(120)로의 액세스를 용이하게 한다.
API 서버(110)를 구체적으로 다루면, 이 서버(110)는 클라이언트 디바이스(102)와 애플리케이션 서버(112) 사이에서 메시지 데이터(예를 들어, 명령들 및 메시지 페이로드들)를 수신하고 송신한다. 구체적으로, API 서버(110)는, 애플리케이션 서버(112)의 기능성을 기동시키기 위해 메시징 클라이언트 애플리케이션(104)에 의해 호출되거나 질의될 수 있는 한 세트의 인터페이스들(예를 들어, 루틴들 및 프로토콜들)을 제공한다. API 서버(110)는 계정 등록; 로그인 기능성; 애플리케이션 서버(112)를 통해, 특정한 메시징 클라이언트 애플리케이션(104)으로부터 또 다른 메시징 클라이언트 애플리케이션(104)으로의 메시지의 전송; 또 다른 메시징 클라이언트 애플리케이션(104)에 의한 가능한 액세스를 위해, 메시징 클라이언트 애플리케이션(104)으로부터 메시징 서버 애플리케이션(114)으로의 미디어 파일들(예를 들어, 이미지들 또는 비디오)의 전송; 미디어 데이터의 컬렉션(예를 들어, 스토리)의 설정; 그러한 컬렉션들의 검색; 클라이언트 디바이스(102)의 사용자의 친구들의 리스트의 검색; 메시지들 및 콘텐츠의 검색; 소셜 그래프에 친구들을 추가 및 삭제하는 것; 소셜 그래프 내에서의 친구들의 위치; 사용자 대화 데이터에 대한 액세스; 메시징 서버 시스템(108)에 저장된 아바타 정보에 액세스하는 것; 및 애플리케이션 이벤트(예를 들어, 메시징 클라이언트 애플리케이션(104)에 관련됨)를 여는 것을 포함하여, 애플리케이션 서버(112)에 의해 지원되는 다양한 기능들을 노출시킨다.
애플리케이션 서버(112)는 메시징 서버 애플리케이션(114), 이미지 처리 시스템(116), 소셜 네트워크 시스템(122), 및 데이터 프라이버시 시스템(124)을 포함하여, 다수의 애플리케이션 및 서브시스템을 호스팅한다. 메시징 서버 애플리케이션(114)은, 특히 메시징 클라이언트 애플리케이션(104)의 다중의 인스턴스로부터 수신된 메시지들에 포함된 콘텐츠(예를 들어, 텍스트 및 멀티미디어 콘텐츠)의 모음(aggregation) 및 다른 처리에 관련된, 다수의 메시지 처리 기술 및 기능을 구현한다. 더 상세히 설명되는 바와 같이, 다중의 소스로부터의 텍스트 및 미디어 콘텐츠는, 콘텐츠의 컬렉션들(예를 들어, 스토리 또는 갤러리라고 불림)로 모아질 수 있다. 그 후, 이러한 컬렉션들은 메시징 서버 애플리케이션(114)에 의해, 메시징 클라이언트 애플리케이션(104)에 이용 가능하게 된다. 데이터의 다른 프로세서 및 메모리 집약적인 처리는 또한, 그러한 처리를 위한 하드웨어 요건을 고려하여, 메시징 서버 애플리케이션(114)에 의해 서버 측에서 수행될 수 있다.
애플리케이션 서버(112)는 통상적으로 메시징 서버 애플리케이션(114)에서 메시지의 페이로드 내에서 수신된 이미지 또는 비디오에 관하여, 다양한 이미지 처리 동작들을 수행하는 데 전용되는 이미지 처리 시스템(116)을 또한 포함한다. 이미지 처리 시스템(116)의 일부는 또한 데이터 프라이버시 시스템(124)에 의해 구현될 수 있다.
소셜 네트워크 시스템(122)은 다양한 소셜 네트워킹 기능 및 서비스를 지원하고 이들 기능 및 서비스를 메시징 서버 애플리케이션(114)에 이용 가능하게 한다. 이를 위해, 소셜 네트워크 시스템(122)은 데이터베이스(120) 내에 엔티티 그래프를 유지하고 그에 액세스한다. 소셜 네트워크 시스템(122)에 의해 지원되는 기능들 및 서비스들의 예들은, 특정 사용자가 관계를 가지거나 "팔로우하는" 메시징 시스템(100)의 다른 사용자들의 식별 및 또한 다른 엔티티들의 식별 및 특정 사용자의 관심사들을 포함한다. 그러한 다른 사용자들은 사용자의 친구들이라고 지칭될 수 있다. 소셜 네트워크 시스템(122)은 사용자의 친구들 각각과 연관된 위치 정보에 액세스하여 그들이 살고 있거나 현재 지리적으로 위치하는 곳을 결정할 수 있다. 소셜 네트워크 시스템(122)은 사용자의 친구들이 살고 있는 지리적 위치를 나타내는 사용자의 친구들 각각에 대한 위치 프로파일을 유지할 수 있다.
애플리케이션 서버(112)는 데이터베이스 서버(118)에 통신가능하게 결합되고, 데이터베이스 서버는 메시징 서버 애플리케이션(114)에 의해 처리되는 메시지들과 연관된 데이터가 저장되는 데이터베이스(120)로의 액세스를 용이하게 한다. 데이터베이스(120)는 제3자 데이터베이스일 수 있다. 예를 들어, 애플리케이션 서버(112)는 제1 엔티티와 연관될 수 있고, 데이터베이스(120) 또는 데이터베이스(120)의 일부분은 제2 상이한 엔티티와 연관되고 그에 의해 호스팅될 수 있다. 일부 구현들에서, 데이터베이스(120)는 제1 엔티티가 제1 엔티티에 의해 제공되는 서비스의 다양한 사용자들 각각에 관해 수집하는 사용자 데이터를 저장한다. 예를 들어, 사용자 데이터는 사용자 이름들, 패스워드들, 주소들, 친구들, 활동 정보, 선호도들, 사용자에 의해 소비되는 비디오들 또는 콘텐츠, 및 기타 등등을 포함한다. 데이터는 사용자들에 의해 자발적으로 제공될 수 있거나, 또는 제1 엔티티에 의해 자동으로 수집되어 데이터베이스(120)에 저장될 수 있다. 일부 구현들에서, 데이터는 제1 엔티티에 의해 제공되는 서비스의 특정 기능을 사용하기 위해 사용자에 의해 제공된다. 일부 경우들에서, 이 동일한 데이터가 제1 엔티티에 의해 제공되는 또 다른 새로운 기능 또는 특징 또는 서비스에 의해 사용될 수 있다. 사용자는 제1 엔티티에 의해 제공되는 새로운 기능 또는 특징 또는 서비스에 관심이 있을 수 있거나 그렇지 않을 수 있고, 따라서 사용자의 데이터가 사용자에 의한 명시적인 허가 없이 사용될 수 있는 방식에 대한 제한들이 있을 수 있다. 이러한 사용들은 통상적으로 프라이버시 규제들에 따라 제어 및 규제된다.
도 2는 특정 예시적인 실시예들에 따른, 메시징 서버 시스템(108)의 데이터베이스(120)에 저장될 수 있는 데이터를 예시하는 개략도(200)이다. 데이터베이스(120)의 콘텐츠가 다수의 테이블을 포함하는 것으로 도시되어 있지만, 데이터는 다른 유형의 데이터 구조에 (예를 들어, 객체 지향형 데이터베이스로서) 저장될 수 있다는 것을 인식할 것이다.
데이터베이스(120)는 메시지 테이블(214) 내에 저장된 메시지 데이터를 포함한다. 엔티티 테이블(202)은 엔티티 그래프(204)를 포함하는 엔티티 데이터를 저장한다. 엔티티 테이블(202) 내에 레코드들이 유지되는 엔티티들은, 개인, 법인 엔티티, 조직, 객체, 장소, 이벤트, 및 기타 등등을 포함할 수 있다. 유형에 관계없이, 그에 관해 메시징 서버 시스템(108)이 데이터를 저장하는 임의의 엔티티는 인식된 엔티티일 수 있다. 각각의 엔티티는 고유 식별자뿐만 아니라 엔티티 유형 식별자(도시되지 않음)를 구비한다.
엔티티 그래프(204)는 더욱이 엔티티들 간의 관계 및 연관에 관한 정보를 저장한다. 그러한 관계들은, 단지 예를 들어, 사회적, 전문적(예를 들어, 일반 법인 또는 조직에서의 일), 관심 기반, 또는 활동 기반일 수 있다.
메시지 테이블(214)은 사용자와 하나 이상의 친구 또는 엔티티 사이의 대화들의 컬렉션을 저장할 수 있다. 메시지 테이블(214)은, 참가자들의 리스트, 대화의 크기(예를 들어, 사용자의 수 및/또는 메시지의 수), 대화의 채팅 컬러, 대화에 대한 고유 식별자, 및 임의의 다른 대화 관련 특징(들)과 같은, 각각의 대화의 다양한 속성들을 포함할 수 있다.
데이터베이스(120)는 또한 주석 데이터를 필터들의 예시적인 형태로 주석 테이블(212)에 저장한다. 데이터베이스(120)는 또한 주석 테이블(212)에서 수신된 주석된 콘텐츠를 저장한다. 주석 테이블(212) 내에 데이터가 저장되는 필터들은, (비디오 테이블(210)에 데이터가 저장되는) 비디오들 및/또는 (이미지 테이블(208)에 데이터가 저장되는) 이미지들과 연관되고 이들에 적용된다. 한 예에서, 필터들은 수신 사용자에의 프레젠테이션 동안 이미지 또는 비디오 상에 오버레이되어 디스플레이되는 오버레이들(overlays)이다. 필터들은, 전송측 사용자가 메시지를 작성하고 있을 때 메시징 클라이언트 애플리케이션(104)에 의해 전송측 사용자에게 제시되는 필터들의 갤러리로부터의, 사용자에 의해 선택된 필터들을 포함하여, 다양한 유형들의 것일 수 있다. 다른 유형의 필터들은, 지리적 위치에 기초하여 전송측 사용자에게 제시될 수 있는 지오로케이션 필터들(지오필터(geo-filter)들이라고도 알려짐)을 포함한다. 예를 들어, 이웃 또는 특수한 위치에 특정적인 지오로케이션 필터들이 클라이언트 디바이스(102)의 GPS(Global Positioning System) 유닛에 의해 결정된 지오로케이션 정보에 기초하여 메시징 클라이언트 애플리케이션(104)에 의해 UI 내에 제시될 수 있다. 또 다른 유형의 필터는, 메시지 생성 프로세스 동안 클라이언트 디바이스(102)에 의해 수집된 정보 또는 다른 입력들에 기초하여, 메시징 클라이언트 애플리케이션(104)에 의해 전송측 사용자에게 선택적으로 제시될 수 있는 데이터 필터이다. 데이터 필터들의 예들은, 특정 위치에서의 현재 온도, 전송측 사용자가 이동하고 있는 현재 속도, 클라이언트 디바이스(102)에 대한 배터리 수명, 또는 현재 시간을 포함한다.
이미지 테이블(208) 내에 저장될 수 있는 다른 주석 데이터는 소위 "렌즈(lens)" 데이터이다. "렌즈"는 이미지 또는 비디오에 추가될 수 있는 실시간 특수 효과 및 사운드일 수 있다.
위에 언급된 바와 같이, 비디오 테이블(210)은, 일 실시예에서, 메시지 테이블(214) 내에 레코드들이 유지되는 메시지들과 연관되는 비디오 데이터를 저장한다. 유사하게, 이미지 테이블(208)은 메시지 데이터가 엔티티 테이블(202)에 저장되는 메시지들과 연관된 이미지 데이터를 저장한다. 엔티티 테이블(202)은 주석 테이블(212)로부터의 다양한 주석들을 이미지 테이블(208) 및 비디오 테이블(210)에 저장된 다양한 이미지들 및 비디오들과 연관시킬 수 있다.
사용자 데이터 컬렉션(들)(207)은 애플리케이션 서버(112)의 복수의 사용자에 관한 이전에 수집된 데이터를 저장한다. 이러한 데이터는 복수의 사용자에 의해 공급된 임의의 개인 정보 및 사용자들에 관한 상호작용 데이터를 포함한다. 예를 들어, 데이터는 사용자들 각각이 어느 비디오들 또는 콘텐츠를 시청했거나 소비했는지 및 콘텐츠가 얼마나 오랫동안 소비되었는지를 나타낸다. 데이터는 각각의 사용자의 아바타 특성들, 각각의 사용자의 현재 위치, 각각의 사용자에 관한 인구통계 정보, 소셜 네트워크 시스템(122) 상의 각각의 사용자의 친구들의 리스트, 각각의 사용자의 생일, 신용 카드 번호들, 소셜 보안 번호들, 각각의 사용자가 메시징 클라이언트 애플리케이션(104)에 얼마나 자주 액세스하는지, 각각의 사용자의 하나 이상의 사용자 디바이스에 의해 캡처된 사진들 및 비디오들, 및/또는 이들의 임의의 조합 중 어느 하나를 나타낸다.
잡음 분포 파라미터(들)(209)는 데이터 프라이버시 시스템(124)에 의해 사용되는 파라미터들 및/또는 무작위 데이터를 포함하는 데이터베이스를 저장한다. 예를 들면, 잡음 분포 파라미터(들)(209)는 잡음 분포 함수(예를 들면, 포디움 메커니즘)의 이전에 계산된 파라미터들을 포함하는 도 8에 도시된 테이블을 저장한다. 구체적으로, 잡음 분포 파라미터(들)(209)는 상이한 프라이버시 파라미터들
Figure pct00015
, 분배 파라미터 d, 입력 데이터의 세트의 확산 Δ, 2-스텝 함수의 폭 w, 곱셈적 마진(multiplicative margin) m, 및 제약되지 않은 파라미터 s에 대응하는 값들의 리스트를 갖는 테이블을 저장할 수 있다. 미리 계산되는 이러한 파라미터들을 저장함으로써, 잡음 분포에 의해 무작위 변수들이 생성되는 효율 및 속도가 향상된다.
스토리 테이블(206)은, 컬렉션(예를 들어, 스토리 또는 갤러리)으로 컴파일되는, 메시지들 및 연관된 이미지, 비디오, 또는 오디오 데이터의 컬렉션들에 관한 데이터를 저장한다. 특정 컬렉션의 생성은 특정 사용자(예를 들어, 엔티티 테이블(202)에 레코드가 유지되는 각각의 사용자)에 의해 개시될 수 있다. 사용자는 그 사용자에 의해 생성되고 전송/브로드캐스팅된 콘텐츠의 컬렉션의 형태로 "개인 스토리(personal story)"를 생성할 수 있다. 이를 위해, 메시징 클라이언트 애플리케이션(104)의 UI는, 전송측 사용자가 자신의 개인 스토리에 특정 콘텐츠를 추가하는 것을 가능하게 하기 위해 사용자 선택가능한 아이콘을 포함할 수 있다.
컬렉션은 또한, 수동으로, 자동으로 또는 수동 및 자동 기술의 조합을 이용하여 생성된 다중 사용자로부터의 콘텐츠의 컬렉션인 "라이브 스토리"를 구성할 수 있다. 예를 들어, "라이브 스토리"는 다양한 위치들 및 이벤트들로부터의 사용자-제출 콘텐츠(user-submitted content)의 큐레이팅된 스트림(curated stream)을 구성할 수 있다. 그 클라이언트 디바이스들이 위치 서비스 가능하고 특정 시간에 공통 위치 이벤트에 있는 사용자들에게는, 예를 들어, 메시징 클라이언트 애플리케이션(104)의 UI를 통해, 특정 라이브 스토리에 콘텐츠를 기여하는 옵션이 제시될 수 있다. 라이브 스토리는 그의 위치에 기초하여 메시징 클라이언트 애플리케이션(104)에 의해 사용자에게 식별될 수 있다. 최종 결과는 커뮤니티 관점에서 말한 "라이브 스토리"이다.
특정 지리적 위치(예를 들어, 단과대학 또는 대학 캠퍼스) 내에 그의 클라이언트 디바이스(102)가 위치되는 사용자가 특정 컬렉션에 기여하는 것을 가능하게 하는 추가적인 유형의 콘텐츠 컬렉션은 "위치 스토리(location story)"라고 알려져 있다. 일부 실시예들에서, 위치 스토리에 대한 기여는 최종 사용자가 특정 조직 또는 다른 엔티티에 속하는지(예를 들어, 대학 캠퍼스의 학생인지)를 검증하기 위해 제2 인증 정도(second degree of authentication)를 요구할 수 있다.
도 3은 추가 메시징 클라이언트 애플리케이션(104) 또는 메시징 서버 애플리케이션(114)으로의 통신을 위해 메시징 클라이언트 애플리케이션(104)에 의해 생성된, 일부 실시예들에 따른, 메시지(300)의 구조를 예시하는 개략도이다. 특정 메시지(300)의 콘텐츠는 메시징 서버 애플리케이션(114)에 의해 액세스 가능한, 데이터베이스(120) 내에 저장된 메시지 테이블(214)을 채우기 위해 사용된다. 유사하게, 메시지(300)의 콘텐츠는 클라이언트 디바이스(102) 또는 애플리케이션 서버(112)의 "수송 중(in-transit)" 또는 "비행 중(in-flight)" 데이터로서 메모리에 저장된다. 메시지(300)는 다음과 같은 컴포넌트들을 포함하는 것으로 도시되어 있다:
● 메시지 식별자(302): 메시지(300)를 식별하는 고유 식별자.
● 메시지 텍스트 페이로드(304): 클라이언트 디바이스(102)의 UI를 통해 사용자에 의해 생성되고 메시지(300)에 포함되는 텍스트.
● 메시지 이미지 페이로드(306): 클라이언트 디바이스(102)의 카메라 컴포넌트에 의해 캡처되거나 클라이언트 디바이스(102)의 메모리로부터 검색되고, 메시지(300)에 포함되는 이미지 데이터.
● 메시지 비디오 페이로드(308): 카메라 컴포넌트에 의해 캡처되거나 클라이언트 디바이스(102)의 메모리 컴포넌트로부터 검색되고 메시지(300)에 포함되는 비디오 데이터.
● 메시지 오디오 페이로드(310): 마이크로폰에 의해 캡처되거나 클라이언트 디바이스(102)의 메모리 컴포넌트로부터 검색되고, 메시지(300)에 포함되는 오디오 데이터.
● 메시지 주석(312): 메시지(300)의 메시지 이미지 페이로드(306), 메시지 비디오 페이로드(308), 또는 메시지 오디오 페이로드(310)에 적용될 주석을 나타내는 주석 데이터(예를 들어, 필터, 스티커, 또는 다른 강화물).
● 메시지 지속기간 파라미터(314): 메시지의 콘텐츠(예를 들어, 메시지 이미지 페이로드(306), 메시지 비디오 페이로드(308), 메시지 오디오 페이로드(310))가 메시징 클라이언트 애플리케이션(104)을 통해 사용자에게 제시되거나 액세스 가능하게 되는 시간의 양을 초 단위로 표시하는 파라미터 값.
● 메시지 지오로케이션 파라미터(316): 메시지의 콘텐츠 페이로드와 연관된 지오로케이션 데이터(예를 들어, 위도 및 경도 좌표). 다중의 메시지 지오로케이션 파라미터(316) 값이 페이로드에 포함될 수 있고, 이들 파라미터 값들 각각은 콘텐츠(예를 들어, 메시지 이미지 페이로드(306) 내의 특정 이미지, 또는 메시지 비디오 페이로드(308) 내의 특정 비디오)에 포함된 콘텐츠 아이템들에 관하여 연관된다.
● 메시지 스토리 식별자(318): 메시지(300)의 메시지 이미지 페이로드(306) 내의 특정 콘텐츠 아이템이 그와 연관되어 있는 하나 이상의 콘텐츠 컬렉션(예를 들어, "스토리")을 식별하는 식별자 값. 예를 들어, 메시지 이미지 페이로드(306) 내의 다중의 이미지 각각은 식별자 값들을 이용하여 다중의 콘텐츠 컬렉션과 연관될 수 있다.
● 메시지 태그(320): 각각의 메시지(300)는 다중의 태그로 태깅될 수 있고, 그 각각은 메시지 페이로드에 포함된 콘텐츠의 주제를 나타낸다. 예를 들어, 메시지 이미지 페이로드(306)에 포함된 특정 이미지가 동물(예를 들어, 사자)을 묘사하는 경우, 관련 동물을 나타내는 태그 값이 메시지 태그(320) 내에 포함될 수 있다. 태그 값은, 사용자 입력에 기초하여 수동으로 생성되거나, 예를 들어, 이미지 인식을 이용하여 자동으로 생성될 수 있다.
● 메시지 발신자 식별자(322): 그 상에서 메시지(300)가 생성되었고 그로부터 메시지(300)가 전송된 클라이언트 디바이스(102)의 사용자를 나타내는 식별자(예를 들어, 메시징 시스템 식별자, 이메일 주소, 또는 디바이스 식별자).
● 메시지 수신자 식별자(324): 메시지(300)가 어드레싱되는 클라이언트 디바이스(102)의 사용자(들)를 나타내는 식별자(예를 들어, 메시징 시스템 식별자, 이메일 주소, 또는 디바이스 식별자). 다중의 사용자 간의 대화의 경우에, 식별자는 대화에 수반된 각각의 사용자를 나타낼 수 있다.
메시지(300)의 다양한 컴포넌트들의 콘텐츠들(예를 들어, 값들)은 그 내에 콘텐츠 데이터 값들이 저장되어 있는 테이블들에서의 위치들에 대한 포인터들일 수 있다. 예를 들어, 메시지 이미지 페이로드(306)에서의 이미지 값은 이미지 테이블(208) 내의 위치에 대한 포인터(또는 그 주소)일 수 있다. 유사하게, 메시지 비디오 페이로드(308) 내의 값들은 비디오 테이블(210) 내에 저장된 데이터를 가리킬 수 있고, 메시지 주석(312) 내에 저장된 값들은 주석 테이블(212)에 저장된 데이터를 가리킬 수 있고, 메시지 스토리 식별자(318) 내에 저장된 값들은 스토리 테이블(206)에 저장된 데이터를 가리킬 수 있고, 메시지 발신자 식별자(322) 및 메시지 수신자 식별자(324) 내에 저장된 값들은 엔티티 테이블(202) 내에 저장된 사용자 레코드들을 가리킬 수 있다.
도 4는 예시적인 실시예들에 따른 예시적인 데이터 프라이버시 시스템(124)을 도시하는 블록도이다. 데이터 프라이버시 시스템(124)은 사용자 데이터 입력 모듈(414), 잡음 분포 모듈(416), 잡음 분포 모드 선택 모듈(417), 및 결과 생성 모듈(418)을 포함한다.
사용자 데이터 입력 모듈(414)은 사용자 데이터 컬렉션(들)(207) 및/또는 데이터 프라이버시 애플리케이션(105)과 통신한다. 사용자 데이터 입력 모듈(414)은 잡음 분포 모듈(416)에 입력 데이터의 세트를 제공하여 잡음 또는 무작위 값들을 입력 데이터의 세트에 더하게 된다. 사용자 데이터 입력 모듈(414)은 또한 데이터 프라이버시 애플리케이션(105)으로부터 수신된 입력 데이터의 세트의 액세스 또는 통계적 분석을 위한 요청을 제공한다. 입력 데이터의 세트만을 이용하여 실제 리얼 정보(actual real information)로 요청에 응답하기보다는, 결과 생성 모듈(418)은 잡음 분포 모듈(416)을 이용하여 생성되는 추가 데이터를 이용하여 데이터 프라이버시 애플리케이션(105)으로부터의 요청들에 응답한다.
잡음 분포 모듈(416)은 사용자 데이터 입력 모듈(414)로부터 수신된 입력 데이터의 세트에 기초하여 무작위 값들을 생성하기 위해 포디움 메커니즘을 구현한다. X를 프라이버시 예산 또는 파라미터
Figure pct00016
가 주어지면 로컬 프라이버시 모델로부터 수집될 연속적인 무작위 변수라고 하자. M을 각각의 미가공 데이터 포인트 x에 분산 σ2를 갖는 제로-평균 잡음을 더하는 무작위화된 메커니즘(예를 들어, 포디움 메커니즘)이라고 하자. x'=M(x)을 차등 프라이버시 속성을 만족시키는 관측된 잡음성 데이터 포인트들이라고 하자. 그러한 경우들에서, 무작위화된 메커니즘 M은 모든 입력들 xi 및 xj 및 모든 출력들 x'에 대해
Figure pct00017
이라면 차등 프라이버시를 만족시킨다.
데이터 컬렉션(또는 데이터의 확산)의 감도, Δ는 데이터 컬렉션에 선험적으로
Figure pct00018
로서 정의될 수 있다.
포디움 메커니즘은 스텝(step)의 높이가 프라이버시 파라미터에 의해 결정되고, 스텝의 폭이 분포의 분산을 최소화함으로써 결정되고 그것의 위치가 입력 값 x 또는 그것의 평균에 의해 좌우되는 2-스텝 함수로서 구현된다. 도 6은 x의 상이한 값들에 대한 4개의 예시적인 분포를 도시한다. 구체적으로는, 도 6은 상이한 입력 값들 x(상이한 평균)에 대한 Δ=1 및 E=log(9)에 대한 포디움 메커니즘을 도시한 것이다. 스텝은 그 사이의 값들에 대해 상이한 형상들을 취하면서 좌측 (Δm/2)로부터 우측 (Δm/2)로 시프트한다. 음영 영역은 입력 값들의 범위를 강조한다. 분포의 서포트(support)는 마진 m 및 감도 Δ에 의해 정의된다. 이 경우 m=2.102601이고 폭 w=0.7540498이다. 수평선(602, 604)은 잡음 분포에 의해 발생되는 무작위 값들의 확률을 나타내고, 수직선(606)은 수평선(602 및 604)에 대응하는 값들의 평균을 나타낸다.
프라이버시 파라미터 및 데이터 수집의 감도 외에도, 포디움 분포는 3개의 추가적인 파라미터 m, w, 및 t를 포함한다. 제1의 것, m은 분포의 서포트를 기술하는 Δ에 대한 곱셈적 마진이다. 일부 실시예들에서, 이 파라미터는 잡음 분포가 입력 및 출력 값들의 범위와 일치하는 것을 허용하기 위해 가장 작은 가능한 m(즉, m=1)을 갖도록 생성된다. 예를 들어, 입력 데이터가 13으로부터 120(Δ=107)까지 확산된 연령을 포함하는 경우, 잡음 분포는 동일 범위에서 대응하는 잡음성 값들을 출력하도록 설계된다. 이 파라미터는 프라이버시 파라미터에만 의존하고 또한 포디움 분포의 분산을 최소화함으로써 결정된다.
제2 파라미터 w는 스텝의 폭을 기술한다. 그 값은 또한 분산 최적화로부터 온다. 이것은 프라이버시 파라미터 및 Δ에 의존하며, 한 번 사전 계산될 수 있다. 제3 파라미터 t는 포디움 분포의 평균(μ)이 입력 값 x와 동등하다는 제약 하에서 스텝의 위치를 기술한다. 이 파라미터 t는
Figure pct00019
Figure pct00020
사이의 범위를 갖는다. 이것은 x에 의존하여 변하기 때문에, 컬렉션 프로세스 동안에 매번(예를 들어, 데이터에 대한 요청이 클라이언트 디바이스(102)로부터 수신될 때마다) 계산된다. 구현에서, 제약된 최적화를 피하기 위해, t는 다음의 수학식에 따라 또 다른 제약되지 않은 파라미터 s를 사용하여 파라미터화된다:
Figure pct00021
이것은 리얼(real) 값 s를 구간 [-Δm/2, Δm/2]로 변환한다.
일부 실시예들에서, 포디움 분포의 잡음 분포의 형상을 도출하기 위해, 잡음 분포 모듈(416)은 그의 분산을 최소화한다. 잡음 분포 모듈(416)은 그 평균에 의존하여 분포의 형상 및 분산을 변경한다. 잡음 분포 모듈(416)은 그 평균이 Δ/2와 동등하거나 또는 그의 가장 극단적인 형상에 있다는 제약 하에서 그러한 최소화를 수행한다. 잡음 분포 모듈(416)은 분포의 균형을 맞추기 위해 마진 m을 할당한다. 잡음 분포는 제2 파라미터 w가 t의 함수가 되는 형상인데, 그 이유는 분포가 3개 대신에 2개의 균일 변수의 혼합이 되기 때문이다. 이 분포는 도 7에 도식적으로 도시되어 있다. 도 7에 도시된 밀도는 대응하는 수평선들로부터 값이 생성될 가능성을 나타낸다. 2개의 수평선의 비율은 프라이버시 파라미터의 함수(예로서,
Figure pct00022
)인 것으로 설정된다.
잡음 분포 모듈(416)은 포디움 분포의 극우측 형상에서 분산 최적화 계산을 수행하고, 2개의 미지수(m 및 s) 및 2가지 제약조건을 가진다. 제1 제약조건은 μ=Δ/2라는 것이고, 제2 제약조건은 포디움 함수 아래의 면적이 합하여 1이 되어 적정 분포가 된다는 것이다. 이것은 평균 μ를 갖는 2-성분 혼합 분포이기 때문에, 그 분산은 다음에 따라 계산될 수 있다:
Figure pct00023
Figure pct00024
여기서 p는 제1 성분의 비율이고, μ1 및 μ2는 각각의 성분의 평균이며, σ2 및 σ2는 그들의 대응하는 분산들이다.
먼저, 잡음 분포 모듈(416)은 차등 파라미터
Figure pct00025
및 s만의 함수인 것으로 판명되는 제1 성분의 확률 p를 계산한다. d를 제1 성분의 밀도(높이)라고 하자.
Figure pct00026
차등 프라이버시를 보증하기 위해, 제2 성분은
Figure pct00027
과 동일해야만 한다. 이러한 상황들에서, p는 다음에 따라 계산될 수 있다:
Figure pct00028
잡음 분포 모듈(416)은 이 수학식을 축소시켜 다음과 같이 결정할 수 있다:
Figure pct00029
또한, 이들은 적정 밀도 함수를 생성하기 위해 합계가 1이 되어야만 하기 때문에, 잡음 분포 모듈(416)은 다음에 따라 d의 해를 구한다:
Figure pct00030
d를 제1 성분 확률에 넣으면 다음 수학식 결과를 낳는다:
Figure pct00031
, 이것은 m 또는 입력 데이터의 범위에 의존하지 않는다.
각각의 성분이 구간 [a, b] 상에서 단순히 균일한 무작위 변수이므로, 그 평균은 (a+b)/2로 주어지고 분산은 (b-a)^2/12로 주어진다. 따라서, 제1 성분의 평균은 다음과 같이 주어진다:
Figure pct00032
그리고 제2 성분의 평균은 다음과 같이 주어진다:
Figure pct00033
그들의 분산들은 다음에 따라 계산될 수 있다:
Figure pct00034
제2 제약조건은 이 분포의 평균이 Δ/2와 동등하다는 것으로 간주될 수 있고, 이는 다음을 암시한다:
Figure pct00035
그리고 잡음 분포 모듈(416)은 다음에 따라 m을 계산한다:
Figure pct00036
항들을 조합 및 재배열한 후에, 개별 조각들을 상기 총 분산 공식에 넣으면 다음과 같은 결과가 된다:
Figure pct00037
그리고 1차 도함수를 취하면 다음과 같은 결과가 된다:
Figure pct00038
이것은 s에서의 4차 함수(quartic function)(4차 다항식)이다.
Figure pct00039
을 0과 동등하게 설정하고 s에 대해 풀면 s가 수학식 1에 따라 계산될 수 있도록 한다:
[수학식 1]
Figure pct00040
여기서
Figure pct00041
그리고
Figure pct00042
2차 도함수는
Figure pct00043
에 의해 주어지며, cosh(x)의 정의역이 >=1이므로 항상 양의 값이다. 이는 해가 진정한 전역 최소값임을 의미한다. s에 대한 값은 포디움 메커니즘의 프라이버시에 영향을 미치지 않고 그것의 상대적 효율에만 영향을 미치는
Figure pct00044
에 의해 가깝게 근사화될 수 있다.
잡음 분포 모듈(416)은 다음에 따라 폭 파라미터 w를 계산한다:
Figure pct00045
여기서, m 및 s 둘 다는 감도 또는 입력 데이터 확산에 대해 불가지론적인 반면, w는 확산에 선형적으로 비례한다.
잡음 분포 모듈(416)은 잡음 분포를 생성하기 위해 복수의 모드 중 하나로 구성될 수 있다. 모드들은 s의 값이 정확하게 계산되는 정확한 모드 및 s의 값이 근사화되는 근사화 모드를 포함한다. 모드는 잡음 분포 모드 선택 모듈(417)에 의해 선택된다.
수집 파라미터들
Figure pct00046
및 Δ가 주어지면 잡음 분포 모듈(416)로부터 무작위 변수를 생성하기 위해, 잡음 분포 모듈(416)은 m, w 및 d를 미리 계산할 수 있다. 이것은 수집 프로세스의 시작 전에 한 번 행해질 수 있다. 예를 들어, 잡음 분포 모드 선택 모듈(417)이 정확한 모드를 선택하는 경우, s의 값은 수학식 1에 따라 계산될 수 있거나, 또는 도 8에 도시된 값들의 이전에 저장된 테이블로부터 검색될 수 있다.
잡음 분포 모드 선택 모듈(417)이 근사화 모드를 선택하는 경우, s의 값은 잡음 분포 모듈(416)에 의해
Figure pct00047
인 것으로 계산된다. 둘 다의 모드에서, 잡음 분포 모듈(416)은 나머지 파라미터들을 다음과 같이 계산하고 이들을 잡음 분포 파라미터(들)(209)에 저장한다:
Figure pct00048
결과 생성 모듈(418)은 잡음 분포 모듈(416)에 의해 생성된 잡음 분포를 사용하여, 요청된 데이터의 세트에 잡음(예로서, 포디움 잡음)을 더한다. 일부 실시예들에서, 결과 생성 모듈(418)은 분포의 형상이 입력 값 x에 의존하기 때문에 모든 잡음 가산마다에 대해 프로세스(이하 설명함)를 수행한다. 변하는 유일한 형상 파라미터는 스텝의 위치인 t이다. t를 계산한 후에, 결과 생성 모듈(418)은 표준 균일 무작위 변수를 생성함으로써 3개의 혼합 성분 중 무작위인 것을 선택한 다음, 또 다른 균일 무작위 변수의 도움으로 선택된 성분으로부터 무작위적으로 선택한다.
일부 실시예들에서, 결과 생성 모듈(418)은 프라이버시 파라미터
Figure pct00049
, 데이터의 세트의 범위
Figure pct00050
, 파라미터들 m, w, d 및 x를 입력으로서 수신한다. X는 데이터 프라이버시 애플리케이션(105)을 사용하여 클라이언트 디바이스(102)에 의해 제공되는 값일 수 있다. 결과 생성 모듈(418)은 다음에 따라 t를 계산한다:
Figure pct00051
결과 생성 모듈(418)은 다음에 따라 제1 성분의 확률 p1 및 제2 성분의 확률 p2를 계산한다:
Figure pct00052
결과 생성 모듈(418)은 [0, 1]에서 균일 무작위 변수 Y를 생성한다. 결과 생성 모듈(418)은 Y가 제1 성분의 확률 p1보다 작은지를 결정한다. 만약 그렇다면, 결과 생성 모듈(418)은
Figure pct00053
에서 균일 무작위 변수
Figure pct00054
을 프라이버시 애플리케이션(105)에 반환한다. Y가 제1 성분의 확률 p1보다 작지 않다면, 결과 생성 모듈(418)은 Y가 제1 성분의 확률 p1과 제2 성분의 확률 p2의 합보다 작은지를 결정한다. 만약 그렇다면, 결과 생성 모듈(418)은
Figure pct00055
에서 균일 무작위 변수
Figure pct00056
을 프라이버시 애플리케이션(105)에 반환한다. 결과 생성 모듈(418)이 Y가 제1 성분의 확률 p1과 제2 성분의 확률 p2의 합보다 작지 않다고 결정하면, 결과 생성 모듈(418)은
Figure pct00057
에서 균일 무작위 변수
Figure pct00058
을 프라이버시 애플리케이션(105)에 반환한다.
잡음 분포 모듈(416)에 의해 제공된 잡음 분포는 다음에 따라 차등 프라이버시를 제공한다:
Figure pct00059
. 잡음 분포의
Figure pct00060
일 때의 분산은 다음에 따라 계산된다:
Figure pct00061
분포는 스텝의 가장 중심을 벗어난 위치의 경우에 가장 큰 분산을 취하고(예를 들어, 매스(mass)의 큰 부분이 테일(tail)들 중 하나에 있을 때, 그것의 평균은
Figure pct00062
또는
Figure pct00063
와 동등함), 그러한 경우들에서 분산은 다음에 따라 계산된다:
Figure pct00064
높은-프라이버시 체제(예를 들어,
Figure pct00065
)에서, 스텝 폭 w는 Δm과 동일하다(예를 들어, 포디움 분포는 구간
Figure pct00066
상에서 균일 분포와 등가가 된다). 이러한 경우에, 분산은 완벽한 프라이버시를 나타내는
Figure pct00067
Figure pct00068
과 동등하다. 낮은-프라이버시 체제(
Figure pct00069
)에서, 포디움 메커니즘은 다음과 동등한 극우 형상인 분산을 갖는다:
Figure pct00070
. 이는 낮은-프라이버시 체제에서 라플라스 메커니즘을 이용하는 종래의 기술보다 포디움 메커니즘을 지수함수적으로 더 효율적으로 만든다.
도 5는 예시적인 실시예들에 따른, 프로세스(500)를 수행함에 있어서 데이터 프라이버시 시스템(124)의 예시적인 동작들을 도시하는 흐름도이다. 프로세스(500)는, 프로세스(500)의 동작들이 메시징 서버 시스템(108) 및/또는 데이터 프라이버시 애플리케이션(105)의 기능 컴포넌트들에 의해 부분적으로 또는 전체적으로 수행될 수 있도록 하나 이상의 프로세서에 의한 실행을 위한 컴퓨터 판독가능 명령어들로 구현될 수 있다; 그에 따라, 프로세스(500)는 이하에서 그를 참조하여 예로서 설명된다. 그러나, 다른 실시예들에서, 프로세스(500)의 동작들 중 적어도 일부는 다양한 다른 하드웨어 구성들 상에 배치될 수 있다. 따라서, 프로세스(500)는 메시징 서버 시스템(108)에 제한되는 것으로 의도되지 않으며, 전체적으로 또는 부분적으로 임의의 다른 컴포넌트에 의해 구현될 수 있다. 프로세스(500)의 동작들 중 일부 또는 전부는 병렬로, 비순차적으로 일 수 있거나, 또는 완전히 생략될 수 있다.
동작(501)에서, 데이터 프라이버시 시스템(124)은 입력 데이터의 세트를 저장한다.
동작(502)에서, 데이터 프라이버시 시스템(124)은 2-스텝 함수에 기초하여 잡음 분포를 생성하며, 여기서 2-스텝 함수의 높이는 프라이버시 파라미터에 의해 결정되고, 2-스텝 함수의 폭은 잡음 분포의 분산을 최소화함으로써 결정되고, 2-스텝 함수의 평균은 프라이버시화될 입력 데이터의 세트의 값에 의해 결정된다.
동작(503)에서, 데이터 프라이버시 시스템(124)은 잡음 분포를 입력 데이터의 세트에 적용하여 프라이버시화된 잡음성 출력 데이터를 생성한다.
동작(504)에서, 데이터 프라이버시 시스템(124)은 입력 데이터의 일부 또는 완전한 세트에 대한 요청에 응답하여 결과적인 프라이버시화된 잡음성 출력 데이터를 송신한다.
도 8은 본 명세서에 설명된 다양한 하드웨어 아키텍처들과 함께 사용될 수 있는 예시적인 소프트웨어 아키텍처(806)를 예시하는 블록도이다. 도 8은 소프트웨어 아키텍처의 비-제한적인 예이고, 많은 다른 아키텍처들이 본 명세서에 설명된 기능성을 용이하게 하기 위하여 구현될 수 있다는 것이 인식될 것이다. 소프트웨어 아키텍처(806)는, 무엇보다도, 프로세서들(904), 메모리(914), 및 입력/출력(I/O) 컴포넌트들(918)을 포함하는 도 9의 머신(900)과 같은 하드웨어 상에서 실행될 수 있다. 대표적인 하드웨어 계층(852)이 예시되어 있고, 예를 들어, 도 9의 머신(900)을 나타낼 수 있다. 대표적인 하드웨어 계층(852)은 연관된 실행가능 명령어들(804)을 갖는 처리 유닛(854)을 포함한다. 실행가능 명령어들(804)은 본 명세서에 설명된 방법들, 컴포넌트들 등의 구현을 포함하는, 소프트웨어 아키텍처(806)의 실행가능 명령어들을 나타낸다. 하드웨어 계층(852)은 메모리 및/또는 스토리지 모듈들인 메모리/스토리지(856)를 또한 포함하고, 이들도 실행가능 명령어들(804)을 갖는다. 하드웨어 계층(852)은 다른 하드웨어(858)를 또한 포함할 수 있다.
도 8의 예시적인 아키텍처에서, 소프트웨어 아키텍처(806)는 각각의 계층이 특정 기능성을 제공하는 계층들의 스택으로서 개념화될 수 있다. 예를 들어, 소프트웨어 아키텍처(806)는 운영 체제(802), 라이브러리들(820), 프레임워크들/미들웨어(818), 애플리케이션들(816), 및 프레젠테이션 계층(814)과 같은 계층들을 포함할 수 있다. 동작적으로, 계층들 내의 애플리케이션들(816) 및/또는 다른 컴포넌트들은 소프트웨어 스택을 통해 API 호출들(808)을 기동시키고 API 호출들(808)에 응답하여 메시지들(812)을 수신할 수 있다. 예시된 계층들은 본질적으로 대표적인 것이며 소프트웨어 아키텍처들 모두가 모든 계층들을 갖는 것은 아니다. 예를 들어, 일부 모바일 또는 특수 목적 운영 체제들은 프레임워크들/미들웨어(818)를 제공하지 않을 수 있지만, 다른 것들은 그러한 계층을 제공할 수 있다. 다른 소프트웨어 아키텍처는 추가의 또는 상이한 계층들을 포함할 수 있다.
운영 체제(802)는 하드웨어 리소스들을 관리하고 공통 서비스들을 제공할 수 있다. 운영 체제(802)는, 예를 들어, 커널(822), 서비스들(824), 및 드라이버들(826)을 포함할 수 있다. 커널(822)은 하드웨어와 다른 소프트웨어 계층들 간에 추상화 계층(abstraction layer)으로서 역할을 할 수 있다. 예를 들어, 커널(822)은 메모리 관리, 프로세서 관리(예를 들어, 스케줄링), 컴포넌트 관리, 네트워킹, 보안 설정 등을 담당할 수 있다. 서비스들(824)은 다른 소프트웨어 계층들을 위한 다른 공통 서비스들을 제공할 수 있다. 드라이버들(826)은 기저 하드웨어를 제어하거나 그와 인터페이싱하는 것을 담당한다. 예를 들어, 드라이버들(826)은 하드웨어 구성에 좌우되어 디스플레이 드라이버, 카메라 드라이버, Bluetooth® 드라이버, 플래시 메모리 드라이버, 직렬 통신 드라이버(예를 들어, 범용 직렬 버스(USB) 드라이버), Wi-Fi® 드라이버, 오디오 드라이버, 전력 관리 드라이버 등을 포함한다.
라이브러리들(820)은 애플리케이션들(816) 및/또는 다른 컴포넌트들 및/또는 계층들에 의해 사용되는 공통 인프라스트럭처를 제공한다. 라이브러리들(820)은 다른 소프트웨어 컴포넌트들이 기저 운영 체제(802) 기능성(예를 들어, 커널(822), 서비스들(824) 및/또는 드라이버들(826))과 직접 인터페이싱하는 것보다 더 쉬운 방식으로 작업들을 수행할 수 있게 하는 기능성을 제공한다. 라이브러리들(820)은 메모리 할당 기능들, 문자열 조작 기능들, 수학 기능들 등과 같은 기능들을 제공할 수 있는 시스템 라이브러리들(844)(예를 들어, C 표준 라이브러리)를 포함할 수 있다. 또한, 라이브러리들(820)은 미디어 라이브러리들(예를 들어, MPREG4, H.264, MP3, AAC, AMR, JPG, PNG와 같은 다양한 미디어 포맷의 제시 및 조작을 지원하기 위한 라이브러리들), 그래픽 라이브러리들(예를 들어, 디스플레이 상의 그래픽 콘텐츠에서 2차원 및 3차원을 렌더링하기 위해 사용될 수 있는 OpenGL 프레임워크), 데이터베이스 라이브러리들(예를 들어, 다양한 관계형 데이터베이스 기능들을 제공할 수 있는 SQLite), 웹 라이브러리들(예를 들어, 웹 브라우징 기능성을 제공할 수 있는 WebKit) 등과 같은 API 라이브러리들(846)을 포함할 수 있다. 라이브러리들(820)은 많은 다른 API들을 애플리케이션들(816) 및 다른 소프트웨어 컴포넌트들/모듈들에 제공하는 매우 다양한 다른 라이브러리들(848)을 또한 포함할 수 있다.
프레임워크들/미들웨어(818)(때때로 미들웨어라고도 지칭됨)는 애플리케이션들(816) 및/또는 다른 소프트웨어 컴포넌트들/모듈들에 의해 사용될 수 있는 상위 레벨 공통 인프라스트럭처를 제공한다. 예를 들어, 프레임워크들/미들웨어(818)는 다양한 그래픽 UI(GUI) 기능들, 하이-레벨 리소스 관리, 하이-레벨 위치 서비스들, 및 기타 등등을 제공할 수 있다. 프레임워크들/미들웨어(818)는 애플리케이션들(816) 및/또는 다른 소프트웨어 컴포넌트들/모듈들에 의해 이용될 수 있는 광범위한 스펙트럼의 다른 API들을 제공할 수 있으며, 그 중 일부는 특정 운영 체제(802) 또는 플랫폼에 특정적일 수 있다.
애플리케이션들(816)은 빌트인 애플리케이션들(838) 및/또는 제3자 애플리케이션들(840)을 포함한다. 대표적인 빌트인 애플리케이션들(838)의 예들은 연락처 애플리케이션, 브라우저 애플리케이션, 북 리더 애플리케이션, 위치 애플리케이션, 미디어 애플리케이션, 메시징 애플리케이션, 및/또는 게임 애플리케이션을 포함할 수 있지만, 이들로만 제한되지는 않는다. 제3자 애플리케이션들(840)은 특정 플랫폼의 벤더 이외의 엔티티에 의해 ANDROID™ 또는 IOS™ 소프트웨어 개발 키트(SDK)를 이용하여 개발된 애플리케이션을 포함할 수 있고, IOS™, ANDROID™, WINDOWS® Phone, 또는 다른 모바일 운영 체제들과 같은 모바일 운영 체제 상에서 실행되는 모바일 소프트웨어일 수 있다. 제3자 애플리케이션들(840)은 본 명세서에 설명된 기능성을 용이하게 하기 위해 모바일 운영 체제(예컨대 운영 체제(802))에 의해 제공되는 API 호출들(808)을 기동시킬 수 있다.
애플리케이션들(816)은 시스템의 사용자들과 상호작용하기 위한 UI들을 생성하기 위해 빌트인 운영 체제 기능들(예를 들어, 커널(822), 서비스들(824), 및/또는 드라이버들(826)), 라이브러리들(820), 및 프레임워크들/미들웨어(818)를 사용할 수 있다. 대안적으로 또는 추가적으로, 일부 시스템들에서, 사용자와의 상호작용들은 프레젠테이션 계층(814)과 같은 프레젠테이션 계층을 통해 발생할 수 있다. 이러한 시스템들에서, 애플리케이션/컴포넌트 "로직"은 사용자와 상호작용하는 애플리케이션/컴포넌트의 양태들로부터 분리될 수 있다.
도 9는 머신 판독가능 매체(예를 들어, 머신 판독가능 스토리지 매체)로부터 명령어들을 판독하고 본 명세서에서 논의된 방법론들 중 임의의 하나 이상을 수행할 수 있는, 일부 예시적인 실시예들에 따른, 머신(900)의 컴포넌트들을 예시하는 블록도이다. 구체적으로, 도 9는 컴퓨터 시스템의 예시적인 형태의 머신(900)의 도식적 표현을 도시하는 것으로, 그 안에서 머신(900)으로 하여금 본 명세서에서 논의된 방법론들 중 임의의 하나 이상을 수행하게 야기하기 위한 명령어들(910)(예를 들어, 소프트웨어, 프로그램, 애플리케이션, 애플릿(applet), 앱, 또는 다른 실행가능 코드)이 실행될 수 있다. 그에 따라, 명령어들(910)은 본 명세서에 설명된 모듈들 또는 컴포넌트들을 구현하기 위해 사용될 수 있다. 명령어들(910)은, 일반적인 비-프로그래밍된 머신(900)을, 설명되고 예시된 기능들을 설명된 방식으로 수행하도록 프로그래밍된 특정한 머신(900)으로 변환한다. 대안적인 실시예들에서, 머신(900)은 독립형 디바이스로서 동작하거나 다른 머신들에 결합(예를 들어, 네트워킹)될 수 있다. 네트워크화된 배치에서, 머신(900)은 서버-클라이언트 네트워크 환경에서 서버 머신 또는 클라이언트 머신의 자격으로 동작하거나, 또는 피어-투-피어(또는 분산형) 네트워크 환경에서 피어 머신으로서 동작할 수 있다. 머신(900)은, 서버 컴퓨터, 클라이언트 컴퓨터, 개인용 컴퓨터(PC), 태블릿 컴퓨터, 랩톱 컴퓨터, 넷북, 셋톱 박스(STB), 개인 휴대 정보 단말기(PDA), 엔터테인먼트 미디어 시스템, 셀룰러 전화, 스마트폰, 모바일 디바이스, 웨어러블 디바이스(예를 들어, 스마트 시계), 스마트 홈 디바이스(예를 들어, 스마트 어플라이언스), 다른 스마트 디바이스들, 웹 어플라이언스, 네트워크 라우터, 네트워크 스위치, 네트워크 브리지, 또는 머신(900)에 의해 취해질 액션들을 특정하는 명령어들(910)을 순차적으로 또는 다른 방식으로 실행할 수 있는 임의의 머신을 포함할 수 있지만, 이에 제한되지는 않는다. 또한, 단일 머신(900)만이 예시되어 있지만, "머신"이라는 용어는 또한 본 명세서에서 논의된 방법론들 중 임의의 하나 이상을 수행하기 위해 명령어들(910)을 개별적으로 또는 공동으로 실행하는 머신들의 컬렉션을 포함하는 것으로도 취해질 것이다.
머신(900)은, 예컨대 버스(902)를 통해 서로 통신하도록 구성될 수 있는, 프로세서들(904), 메모리/스토리지(906), 및 I/O 컴포넌트들(918)을 포함할 수 있다. 예시적인 실시예에서, 프로세서(904)(예를 들어, 중앙 처리 유닛(CPU), RISC(reduced instruction set computing) 프로세서, CISC(complex instruction set computing) 프로세서, 그래픽 처리 유닛(GPU), 디지털 신호 프로세서(DSP), 주문형 집적 회로(ASIC), 무선 주파수 집적 회로(RFIC), 또 다른 프로세서, 또는 이들의 임의의 적절한 조합)는, 예를 들어, 명령어(910)를 실행할 수 있는 프로세서(908) 및 프로세서(912)를 포함할 수 있다. "프로세서"라는 용어는, 명령어들을 동시에 실행할 수 있는 2개 이상의 독립적 프로세서(때때로 "코어들"로서 지칭됨)를 포함할 수 있는 멀티-코어 프로세서(904)를 포함하는 것으로 의도된다. 도 9는 다중 프로세서(904)를 도시하지만, 머신(900)은 단일 코어를 갖는 단일 프로세서, 다중 코어를 갖는 단일 프로세서(예를 들어, 멀티-코어 프로세서), 단일 코어를 갖는 다중 프로세서, 다중 코어를 갖는 다중 프로세서, 또는 이들의 임의의 조합을 포함할 수 있다.
메모리/스토리지(906)는 메인 메모리, 또는 다른 메모리 스토리지와 같은 메모리(914), 및 스토리지 유닛(916)을 포함할 수 있고, 이 둘 다에는 예컨대 버스(902)를 통해 프로세서들(904)이 액세스할 수 있다. 스토리지 유닛(916) 및 메모리(914)는 본 명세서에 설명된 방법론들 또는 기능들 중 임의의 하나 이상을 구현하는 명령어들(910)을 저장한다. 명령어들(910)은 또한, 머신(900)에 의한 그의 실행 동안, 완전히 또는 부분적으로, 메모리(914) 내에, 스토리지 유닛(916) 내에, 프로세서들(904) 중 적어도 하나 내에(예를 들어, 프로세서의 캐시 메모리 내에), 또는 이들의 임의의 적합한 조합으로 상주할 수 있다. 따라서, 메모리(914), 스토리지 유닛(916), 및 프로세서들(904)의 메모리는 머신 판독가능 매체의 예들이다.
I/O 컴포넌트들(918)은 입력을 수신하고, 출력을 제공하고, 출력을 생성하고, 정보를 송신하고, 정보를 교환하고, 측정들을 캡처하는 등을 위한 매우 다양한 컴포넌트들을 포함할 수 있다. 특정 머신(900)에 포함되는 특정 I/O 컴포넌트들(918)은 머신의 유형에 의존할 것이다. 예를 들어, 모바일 전화 등의 휴대용 머신은 터치 입력 디바이스 또는 기타의 이러한 입력 메커니즘을 포함할 수 있는 반면, 헤드리스 서버 머신(headless server machine)은 이러한 터치 입력 디바이스를 포함하지 않을 것이다. I/O 컴포넌트들(918)은 도 9에 도시되지 않은 많은 다른 컴포넌트들을 포함할 수 있다는 것을 인식할 것이다. I/O 컴포넌트들(918)은 단지 이하의 논의를 간소화하기 위해 기능성에 따라 그룹화되어 있고, 이러한 그룹화는 결코 제한적인 것이 아니다. 다양한 예시적인 실시예들에서, I/O 컴포넌트들(918)은 출력 컴포넌트들(926) 및 입력 컴포넌트들(928)을 포함할 수 있다. 출력 컴포넌트들(926)은, 시각적 컴포넌트들(예를 들어, 플라즈마 디스플레이 패널(PDP), 발광 다이오드(LED) 디스플레이, 액정 디스플레이(LCD), 프로젝터, 또는 CRT(cathode ray tube)와 같은 디스플레이), 음향 컴포넌트들(예를 들어, 스피커), 햅틱 컴포넌트들(예를 들어, 진동 모터, 저항 메커니즘), 기타의 신호 생성기 등을 포함할 수 있다. 입력 컴포넌트들(928)은 영숫자 입력 컴포넌트들(예를 들어, 키보드, 영숫자 입력을 수신하도록 구성된 터치 스크린, 포토-광학 키보드, 또는 다른 영숫자 입력 컴포넌트들), 포인트 기반 입력 컴포넌트들(예를 들어, 마우스, 터치패드, 트랙볼, 조이스틱, 모션 센서, 또는 다른 포인팅 기구), 촉각 입력 컴포넌트들(예를 들어, 물리적 버튼, 터치들 또는 터치 제스처들의 위치 및/또는 힘을 제공하는 터치 스크린, 또는 다른 촉각 입력 컴포넌트들), 오디오 입력 컴포넌트들(예를 들어, 마이크로폰) 등을 포함할 수 있다.
추가의 예시적인 실시예들에서, I/O 컴포넌트들(918)은, 매우 다양한 다른 컴포넌트들 중에서도, 바이오메트릭 컴포넌트들(939), 모션 컴포넌트들(934), 환경 컴포넌트들(936), 또는 위치 컴포넌트들(938)을 포함할 수 있다. 예를 들어, 바이오메트릭 컴포넌트(939)는, 표현(예를 들어, 손 표현, 얼굴 표정, 음성 표현, 신체 제스처, 또는 시선 추적)을 검출하고, 생체신호(예를 들어, 혈압, 심박수, 체온, 땀 또는 뇌파)를 측정하고, 사람을 식별(예를 들어, 음성 식별, 망막 식별, 얼굴 식별, 지문 식별, 또는 뇌파계 기반 식별)하고, 및 등등을 하는 컴포넌트들을 포함할 수 있다. 모션 컴포넌트들(934)은 가속도 센서 컴포넌트들(예를 들어, 가속도계), 중력 센서 컴포넌트들, 회전 센서 컴포넌트들(예를 들어, 자이로스코프) 등을 포함할 수 있다. 환경 컴포넌트들(936)은, 예를 들어, 조명 센서 컴포넌트들(예를 들어, 광도계), 온도 센서 컴포넌트들(예를 들어, 주위 온도를 검출하는 하나 이상의 온도계), 습도 센서 컴포넌트들, 압력 센서 컴포넌트들(예를 들어, 기압계), 음향 센서 컴포넌트들(예를 들어, 배경 잡음을 검출하는 하나 이상의 마이크로폰), 근접 센서 컴포넌트들(예를 들어, 인근 객체들을 검출하는 적외선 센서들), 가스 센서들(예를 들어, 안전을 위해 유해성 가스들의 농도들을 검출하거나 대기 내의 오염물질들을 측정하는 가스 검출 센서들), 또는 주변 물리적 환경에 대응하는 표시들, 측정들, 또는 신호들을 제공할 수 있는 다른 컴포넌트들을 포함할 수 있다. 위치 컴포넌트들(938)은, 위치 센서 컴포넌트들(예를 들어, GPS 수신기 컴포넌트), 고도 센서 컴포넌트들(예를 들어, 고도계 또는 고도가 도출될 수 있는 기압을 검출하는 기압계), 오리엔테이션 센서 컴포넌트들(예를 들어, 자력계) 등을 포함할 수 있다.
통신은 매우 다양한 기술을 사용하여 구현될 수 있다. I/O 컴포넌트들(918)은 머신(900)을 결합(924) 및 결합(922)을 통해 제각기 네트워크(937) 또는 디바이스들(929)에 결합하도록 동작가능한 통신 컴포넌트들(940)을 포함할 수 있다. 예를 들어, 통신 컴포넌트들(940)은 네트워크(937)와 인터페이싱하기 위한 네트워크 인터페이스 컴포넌트 또는 다른 적합한 디바이스를 포함할 수 있다. 추가 예들에서, 통신 컴포넌트들(940)은 유선 통신 컴포넌트, 무선 통신 컴포넌트, 셀룰러 통신 컴포넌트, 근접장 통신(NFC) 컴포넌트, Bluetooth® 컴포넌트(예를 들어, Bluetooth® Low Energy), Wi-Fi® 컴포넌트, 및 다른 양태들을 통해 통신을 제공하는 다른 통신 컴포넌트들을 포함할 수 있다. 디바이스(929)는 또 다른 머신 또는 임의의 다양한 주변기기 디바이스(예를 들어, USB를 통해 결합된 주변기기 디바이스)일 수 있다.
더욱이, 통신 컴포넌트들(940)은 식별자들을 검출할 수 있거나 또는 식별자들을 검출하도록 동작가능한 컴포넌트들을 포함할 수 있다. 예를 들어, 통신 컴포넌트들(940)은 RFID(Radio Frequency Identification) 태그 판독기 컴포넌트들, NFC 스마트 태그 검출 컴포넌트들, 광학 판독기 컴포넌트들(예를 들어, UPC(Universal Product Code) 바 코드와 같은 1-차원 바 코드들, QR(Quick Response) 코드와 같은 다-차원 바 코드들, Aztec 코드, Data Matrix, Dataglyph, MaxiCode, PDF417, Ultra Code, UCC RSS-2D 바 코드, 및 다른 광학 코드들을 검출하기 위한 광학 센서), 또는 음향 검출 컴포넌트들(예를 들어, 태깅된 오디오 신호들을 식별하기 위한 마이크로폰들)을 포함할 수 있다. 또한, 인터넷 프로토콜(IP) 지오-로케이션을 통한 위치, Wi-Fi® 신호 삼각측량을 통한 위치, 특정한 위치를 나타낼 수 있는 NFC 비컨 신호 검출을 통한 위치와 같은 다양한 정보가 통신 컴포넌트(940)를 통해 도출될 수 있다.
용어집
이 맥락에서 "캐리어 신호(CARRIER SIGNAL)"는 머신에 의한 실행을 위한 일시적 또는 비-일시적 명령어들을 저장, 인코딩, 또는 운반할 수 있는 임의의 무형 매체를 지칭하고, 그러한 명령어들의 통신을 용이하게 하기 위한 디지털 또는 아날로그 통신 신호들 또는 다른 무형 매체를 포함한다. 명령어들은 네트워크 인터페이스 디바이스를 통해 일시적 또는 비-일시적 송신 매체를 사용하여 그리고 다수의 널리 공지된 전송 프로토콜들 중 임의의 하나를 사용하여 네트워크를 통해 송신 또는 수신될 수 있다.
이 맥락에서 "클라이언트 디바이스(CLIENT DEVICE)"는 하나 이상의 서버 시스템 또는 다른 클라이언트 디바이스들로부터 리소스들을 획득하기 위해 통신 네트워크에 인터페이싱하는 임의의 머신을 지칭한다. 클라이언트 디바이스는, 모바일 전화, 데스크톱 컴퓨터, 랩톱, PDA, 스마트폰, 태블릿, 울트라 북, 넷북, 랩톱, 멀티-프로세서 시스템, 마이크로프로세서-기반 또는 프로그래머블 가전 제품, 게임 콘솔, 셋탑 박스 또는 사용자가 네트워크에 액세스하기 위해 이용할 수 있는 기타 임의의 통신 디바이스일 수 있지만, 이것으로만 제한되지는 않는다.
이 맥락에서 "통신 네트워크(COMMUNICATIONS NETWORK)"는 애드 혹 네트워크, 인트라넷, 엑스트라넷, VPN(virtual private network), LAN(local area network), WLAN(wireless LAN), WAN(wide area network), WWAN(wireless WAN), MAN(metropolitan area network), 인터넷, 인터넷의 일부, PSTN(Public Switched Telephone Network)의 일부, POTS(plain old telephone service) 네트워크, 셀룰러 전화 네트워크, 무선 네트워크, Wi-Fi® 네트워크, 또 다른 타입의 네트워크, 또는 둘 이상의 이러한 네트워크의 조합일 수 있는 네트워크의 하나 이상의 부분을 지칭한다. 예를 들어, 네트워크 또는 네트워크의 일부는 무선 또는 셀룰러 네트워크를 포함할 수 있고 결합은 CDMA(Code Division Multiple Access) 접속, GSM(Global System for Mobile communications) 접속, 또는 다른 타입의 셀룰러 또는 무선 결합을 포함할 수 있다. 이러한 예에서, 결합은, 1xRTT(Single Carrier Radio Transmission Technology), EVDO(Evolution-Data Optimized) 기술, GPRS(General Packet Radio Service) 기술, EDGE(Enhanced Data rates for GSM Evolution) 기술, 3G를 포함하는 3GPP(third Generation Partnership Project), 4G(fourth generation wireless) 네트워크들, UMTS(Universal Mobile Telecommunications System), HSPA(High Speed Packet Access), WiMAX(Worldwide Interoperability for Microwave Access), LTE(Long Term Evolution) 표준, 다양한 표준 설정 조직들에 의해 정의되는 다른 것들, 다른 장거리 프로토콜들, 또는 다른 데이터 전송 기술과 같은, 다양한 타입들의 데이터 전송 기술 중 임의의 것을 구현할 수 있다.
이 맥락에서 "단기적 메시지(EPHEMERAL MESSAGE)"는 시간-제한된 지속기간 동안 액세스 가능한 메시지를 지칭한다. 단기 메시지는, 텍스트, 이미지, 비디오 등일 수 있다. 단기 메시지에 대한 액세스 시간은 메시지 전송자에 의해 설정될 수 있다. 대안적으로, 액세스 시간은 디폴트 설정 또는 수신자에 의해 명시되는 설정일 수 있다. 설정 기법에 관계없이, 메시지는 일시적(transitory)이다.
이 맥락에서 "머신 판독가능 매체(MACHINE-READABLE MEDIUM)"는 명령어 및 데이터를 일시적으로 또는 영구적으로 저장할 수 있는 컴포넌트, 디바이스 또는 다른 유형의(tangible) 매체를 지칭하고, RAM(random-access memory), ROM(read-only memory), 버퍼 메모리, 플래시 메모리, 광학 매체, 자기 매체, 캐시 메모리, 다른 유형의 스토리지(예를 들어, EEPROM(Erasable Programmable Read-Only Memory)) 및/또는 이들의 임의의 적합한 조합을 포함할 수 있지만, 이들로 제한되지는 않는다. "머신 판독가능 매체(machine-readable medium)"라는 용어는, 명령어들을 저장할 수 있는 단일의 매체 또는 다중 매체(예를 들어, 중앙집중형 또는 분산형 데이터베이스, 및/또는 연관된 캐시들 및 서버들)를 포함하는 것으로 취해져야 한다. "머신 판독가능 매체"라는 용어는 또한, 명령어들이, 머신의 하나 이상의 프로세서에 의해 실행될 때, 머신으로 하여금 본 명세서에 설명된 방법론들 중 임의의 하나 이상을 수행하게 야기하도록, 머신에 의한 실행을 위한 명령어(예를 들어, 코드)를 저장할 수 있는 임의의 매체 또는 다중 매체의 조합을 포함하는 것으로 간주되어야 한다. 따라서, "머신 판독가능 매체"는 다중 스토리지 장치 또는 디바이스를 포함하는 "클라우드 기반" 스토리지 시스템 또는 스토리지 네트워크뿐만 아니라 단일 스토리지 장치 또는 디바이스를 지칭한다. "머신 판독가능 매체(machine-readable medium)"라는 용어가 그 자체로는 신호들을 배제한다.
이 맥락에서 "컴포넌트(COMPONENT)"는 기능 또는 서브루틴 호출, 분기 포인트, API, 또는 특정한 처리 또는 제어 기능들의 분할 또는 모듈화를 제공하는 다른 기술들에 의해 정의된 경계들을 갖는 디바이스, 물리적 엔티티, 또는 로직을 지칭한다. 컴포넌트들은 그들의 인터페이스들을 통해 다른 컴포넌트들과 조합되어 머신 프로세스를 수행할 수 있다. 컴포넌트는, 다른 컴포넌트들 및 보통은 관련된 기능들 중 특정 기능을 수행하는 프로그램의 일부와 함께 사용되도록 설계되는 패키징된 기능적 하드웨어 유닛일 수 있다. 컴포넌트들은 소프트웨어 컴포넌트들(예를 들어, 머신 판독가능 매체 상에 구현되는 코드) 또는 하드웨어 컴포넌트들을 구성할 수 있다. "하드웨어 컴포넌트"는 특정 동작들을 수행할 수 있는 유형의 유닛(tangible unit)이고, 특정 물리적 방식으로 구성되거나 배열될 수 있다. 다양한 예시적인 실시예들에서, 하나 이상의 컴퓨터 시스템(예를 들어, 독립형 컴퓨터 시스템, 클라이언트 컴퓨터 시스템, 또는 서버 컴퓨터 시스템) 또는 컴퓨터 시스템의 하나 이상의 하드웨어 컴포넌트(예를 들어, 프로세서 또는 프로세서들의 그룹)은 본 명세서에 설명되는 바와 같이 특정 동작들을 수행하기 위해 동작하는 하드웨어 컴포넌트로서 소프트웨어(예를 들어, 애플리케이션 또는 애플리케이션 부분)에 의해 구성될 수 있다.
하드웨어 컴포넌트는 또한, 기계적으로, 전자적으로, 또는 이들의 임의의 적합한 조합으로 구현될 수 있다. 예를 들어, 하드웨어 컴포넌트는 특정 동작들을 수행하도록 영구적으로 구성되는 전용 회로 또는 로직을 포함할 수 있다. 하드웨어 컴포넌트는, FPGA(Field-Programmable Gate Array) 또는 ASIC와 같은 특수 목적 프로세서일 수 있다. 하드웨어 컴포넌트는 또한, 특정 동작들을 수행하도록 소프트웨어에 의해 일시적으로 구성된 프로그래머블 로직 또는 회로를 포함할 수 있다. 예를 들어, 하드웨어 컴포넌트는 범용 프로세서 또는 다른 프로그래머블 프로세서에 의해 실행되는 소프트웨어를 포함할 수 있다. 일단 이러한 소프트웨어에 의해 구성되면, 하드웨어 컴포넌트들은 구성된 기능들을 수행하도록 고유하게 맞춤화된(uniquely tailored) 특정 머신들(또는 머신의 특정 컴포넌트들)이 되고 더 이상 범용 프로세서들이 아니다. 하드웨어 컴포넌트를 기계적으로, 전용의 영구적으로 구성되는 회로에, 또는 일시적으로 구성되는 회로(예를 들어, 소프트웨어에 의해 구성됨)에 구현하기로 하는 결정이 비용 및 시간 고려사항들에 의해 주도될 수 있다는 것을 잘 알 것이다. 따라서, "하드웨어 컴포넌트"(또는 "하드웨어-구현된 컴포넌트")라는 구문은, 특정 방식으로 동작하거나 본 명세서에 설명된 특정 동작들을 수행하도록 물리적으로 구성되거나, 영구적으로 구성되거나(예를 들어, 하드와이어드) 또는 일시적으로 구성되는(예를 들어, 프로그래밍되는) 엔티티이든 간에, 유형 엔티티를 포괄하는 것으로 이해해야 한다. 하드웨어 컴포넌트들이 일시적으로 구성되는(예를 들어, 프로그래밍되는) 실시예들을 고려할 때, 하드웨어 컴포넌트들 각각은 시간상 임의의 한 시점에서 구성되거나 인스턴스화될 필요는 없다. 예를 들어, 하드웨어 컴포넌트가 특수 목적 프로세서가 되도록 소프트웨어에 의해 구성된 범용 프로세서를 포함하는 경우에, 범용 프로세서는 상이한 때에 (예컨대, 상이한 하드웨어 컴포넌트들을 포함하는) 제각기 상이한 특수 목적 프로세서들로서 구성될 수 있다. 소프트웨어는 따라서, 예를 들어, 하나의 시간 인스턴스에서는 특정의 하드웨어 컴포넌트를 구성하고 상이한 시간 인스턴스에서는 상이한 하드웨어 컴포넌트를 구성하도록 특정의 프로세서 또는 프로세서들을 구성한다.
하드웨어 컴포넌트는 다른 하드웨어 컴포넌트들에 정보를 제공하고 그로부터 정보를 수신할 수 있다. 따라서, 설명되는 하드웨어 컴포넌트들은 통신가능하게 결합되는 것으로서 고려될 수 있다. 다중의 하드웨어 컴포넌트가 동시에 존재하는 경우에, 하드웨어 컴포넌트들 중 2개 이상 간의 또는 그들 사이의(예를 들어, 적절한 회로들 및 버스들을 통한) 신호 송신을 통해 통신이 달성될 수 있다. 다중의 하드웨어 컴포넌트가 상이한 시간들에서 구성되거나 인스턴스화되는 실시예에서, 이러한 하드웨어 컴포넌트들 사이의 통신은, 예를 들어, 다중의 하드웨어 컴포넌트가 액세스하는 메모리 구조 내의 정보의 저장 및 검색을 통해 달성될 수 있다. 예를 들어, 하나의 하드웨어 컴포넌트는 동작을 수행하고, 그에 통신가능하게 결합되는 메모리 디바이스에 그 동작의 출력을 저장할 수 있다. 추가의 하드웨어 컴포넌트는 이어서, 추후에, 저장된 출력을 검색 및 처리하기 위해 메모리 디바이스에 액세스할 수 있다.
하드웨어 컴포넌트들은 또한 입력 또는 출력 디바이스들과 통신을 개시할 수 있고, 리소스(예를 들어, 정보의 컬렉션)에 대해 동작할 수 있다. 본 명세서에 설명된 예시적 방법들의 다양한 동작들은, 관련 동작들을 수행하도록 영구적으로 구성되거나 또는 (예를 들어, 소프트웨어에 의해) 일시적으로 구성되는 하나 이상의 프로세서에 의해 적어도 부분적으로 수행될 수 있다. 일시적으로 또는 영구적으로 구성되든 간에, 이러한 프로세서들은 본 명세서에 설명되는 하나 이상의 동작 또는 기능을 수행하도록 동작하는 프로세서 구현 컴포넌트들을 구성할 수 있다. 본 명세서에서 사용되는 바와 같이, "프로세서-구현 컴포넌트(processor-implemented component)"는 하나 이상의 프로세서를 사용하여 구현되는 하드웨어 컴포넌트를 지칭한다. 유사하게, 본 명세서에 설명되는 방법들은 적어도 부분적으로 프로세서로 구현될 수 있고, 특정 프로세서 또는 프로세서들은 하드웨어의 예이다. 예를 들어, 방법의 동작들 중 적어도 일부가 하나 이상의 프로세서 또는 프로세서-구현 컴포넌트들에 의해 수행될 수 있다. 더욱이, 하나 이상의 프로세서는 또한 "클라우드 컴퓨팅(cloud computing)" 환경에서 또는 "SaaS(software as a service)"로서 관련 동작들의 수행을 지원하기 위해 동작할 수 있다. 예를 들어, 동작들 중 적어도 일부는, (프로세서들을 포함하는 머신의 예로서의) 컴퓨터들의 그룹에 의해 수행될 수 있고, 이들 동작들은 네트워크(예를 들어, 인터넷)를 통해 및 하나 이상의 적절한 인터페이스(예를 들어, API)를 통해 액세스가능하다. 특정 동작들의 수행은 단일 머신 내에 상주할 뿐만 아니라, 다수의 머신에 걸쳐 배치된 프로세서들 사이에 분산될 수 있다. 일부 예시적인 실시예들에서, 프로세서들 또는 프로세서-구현 컴포넌트들은 단일의 지리적 위치에(예를 들어, 가정 환경, 사무실 환경, 또는 서버 팜(server farm) 내에) 위치될 수 있다. 다른 예시적인 실시예들에서, 프로세서들 또는 프로세서-구현 컴포넌트들은 다수의 지리적 위치들에 걸쳐 분산될 수 있다.
이 맥락에서 "프로세서(PROCESSOR)"는 제어 신호들(예를 들어, "명령들", "오피코드들", "머신 코드" 등)에 따라 데이터 값들을 조작하고 머신을 동작시키기 위해 적용되는 대응하는 출력 신호들을 생성하는 임의의 회로 또는 가상 회로(실제 프로세서 상에서 실행되는 로직에 의해 에뮬레이트되는 물리적 회로)를 지칭한다. 프로세서는, 예를 들어, CPU(Central Processing Unit), RISC(Reduced Instruction Set Computing) 프로세서, CISC(Complex Instruction Set Computing) 프로세서, GPU(Graphics Processing Unit), DSP(Digital Signal Processor), ASIC, RFIC(Radio-Frequency Integrated Circuit), 또는 이들의 임의의 조합일 수 있다. 프로세서는 추가로, 명령어들을 동시에 실행할 수 있는 2개 이상의 독립적 프로세서(때때로 "코어들"이라고 지칭됨)을 갖는 멀티-코어 프로세서일 수 있다.
이 맥락에서 "타임스탬프(TIMESTAMP)"는 특정 이벤트가 언제 발생했는지를 식별하는, 예를 들어, 때때로 1초의 소수점 자리까지 정확한, 날짜 및 시각을 제공하는, 문자들 또는 인코딩된 정보의 시퀀스를 지칭한다.
본 개시내용의 범위를 벗어나지 않고 개시된 실시예들에 대한 변경들 및 수정들이 이루어질 수 있다. 이들 및 다른 변경들 또는 수정들은 이하의 청구항들에서 표현된 바와 같은, 본 개시내용의 범위 내에 포함되는 것으로 의도된다.

Claims (20)

  1. 방법으로서:
    하나 이상의 프로세서에 의해, 입력 데이터의 세트를 저장하는 단계;
    상기 하나 이상의 프로세서에 의해, 2-스텝 함수에 기초하여 잡음 분포를 생성하는 단계 - 상기 2-스텝 함수의 높이는 프라이버시 파라미터에 의해 결정되고, 상기 2-스텝 함수의 폭은 상기 잡음 분포의 분산을 최소화함으로써 결정되고, 상기 2-스텝 함수의 평균은 프라이버시화될 상기 입력 데이터의 세트의 값에 의해 결정됨 -;
    상기 하나 이상의 프로세서에 의해, 상기 입력 데이터의 세트에 상기 잡음 분포를 적용하여 프라이버시화된 잡음성 출력 데이터를 생성하는 단계; 및
    상기 하나 이상의 프로세서에 의해, 상기 입력 데이터의 일부 또는 완전한 세트에 대한 요청에 응답하여 상기 프라이버시화된 잡음성 출력 데이터를 송신하는 단계를 포함하는 방법.
  2. 제1항에 있어서,
    상기 잡음 분포의 복수의 모드로부터 모드를 선택하는 단계를 추가로 포함하는 방법.
  3. 제2항에 있어서,
    상기 복수의 모드는 정확한 모드 및 근사화 모드를 포함하는 방법.
  4. 제3항에 있어서,
    상기 선택된 모드가 상기 정확한 모드에 대응하는 것을 결정하는 단계; 및
    상기 선택된 모드가 상기 정확한 모드에 대응할 때, 상기 잡음 분포의 이전에 저장된 제약되지 않은 파라미터 s를 검색하는 단계 - 상기 이전에 저장된 제약되지 않은 파라미터는 상기 프라이버시 파라미터에 기초하여 이전에 계산됨 - 를 추가로 포함하는 방법.
  5. 제3항에 있어서,
    상기 선택된 모드가 상기 근사화 모드에 대응하는 것을 결정하는 단계; 및
    상기 선택된 모드가 상기 근사화 모드에 대응할 때, 상기 잡음 분포의 제약되지 않은 파라미터 s를 상기 프라이버시 파라미터의 분수로서 계산하는 단계를 추가로 포함하는 방법.
  6. 제1항에 있어서,
    상기 잡음 분포를 생성하는 단계는:
    상기 입력 데이터의 세트의 확산 Δ의 곱셈성 마진 m을 계산하는 단계;
    상기 입력 데이터의 세트의 확산, 상기 곱셈성 마진 m 및 제약되지 않은 파라미터 s의 함수로서 상기 2-스텝 함수의 폭 w를 계산하는 단계; 및
    상기 입력 데이터의 세트의 확산, 상기 곱셈성 마진 m, 상기 제약되지 않은 파라미터 s, 및 상기 프라이버시 파라미터의 함수로서 분포 파라미터 d를 계산하는 단계를 추가로 포함하는 방법.
  7. 제6항에 있어서,
    상기 곱셈성 마진 m은:
    Figure pct00071
    에 따라 계산되고,
    Figure pct00072
    는 상기 프라이버시 파라미터인 방법.
  8. 제7항에 있어서,
    상기 폭 w는:
    Figure pct00073
    에 따라 계산되는 방법.
  9. 제8항에 있어서,
    상기 분포 파라미터 d는:
    Figure pct00074
    에 따라 계산되는 방법.
  10. 제6항에 있어서,
    상기 입력 데이터의 세트의 주어진 데이터 x에 대한 요청을 수신하는 단계;
    상기 주어진 데이터 x, 상기 폭 w, 상기 분포 파라미터 d, 및 상기 프라이버시 파라미터에 기초하여 상기 2-스텝 함수의 위치를 계산하는 단계;
    상기 분포 파라미터 d, 상기 위치, 상기 입력 데이터의 세트의 확산, 및 상기 곱셈성 마진 m의 함수로서 제1 성분의 확률
    Figure pct00075
    을 계산하는 단계; 및
    상기 분포 파라미터 d, 상기 폭 w, 및 상기 프라이버시 파라미터의 함수로서 제2 성분의 확률
    Figure pct00076
    를 계산하는 단계를 추가로 포함하는 방법.
  11. 제10항에 있어서,
    상기 위치는:
    Figure pct00077
    에 따라 계산되고, x는 상기 입력 값인 방법.
  12. 제11항에 있어서,
    상기 제1 성분의 확률
    Figure pct00078
    은:
    Figure pct00079
    에 따라 계산되는 방법.
  13. 제10항에 있어서,
    상기 제2 성분의 확률
    Figure pct00080
    는:
    Figure pct00081
    에 따라 계산되는 방법.
  14. 제10항에 있어서,
    상기 프라이버시화된 잡음성 출력 데이터를 생성한 것에 응답하여, 균일 무작위 변수를 생성하고 상기 무작위 변수가 어느 성분에 놓여 있는지를 결정함으로써 상기 2-스텝 함수의 어느 성분으로부터 잡음을 도출할지를 선택하는 단계;
    상기 제1 성분이 확률
    Figure pct00082
    로 무작위적으로 선택되면,
    Figure pct00083
    로서 정의된 범위에서의 제1 균일 무작위 변수로서 상기 프라이버시화된 잡음성 출력 데이터 결과를 계산하는 단계;
    상기 제2 성분이 확률
    Figure pct00084
    로 무작위적으로 선택되면,
    Figure pct00085
    로서 정의된 범위에서의 제2 균일 무작위 변수로서 상기 프라이버시화된 잡음성 출력 데이터 결과를 계산하는 단계; 및
    그렇지 않은 경우,
    Figure pct00086
    로서 정의된 범위에서의 제3 균일 무작위 변수로서 상기 프라이버시화된 잡음성 출력 데이터 결과를 계산하는 단계를 추가로 포함하는 방법.
  15. 시스템으로서:
    동작들을 수행하도록 구성되는 프로세서를 포함하고, 상기 동작들은:
    입력 데이터의 세트를 저장하는 동작;
    2-스텝 함수에 기초하여 잡음 분포를 생성하는 동작 - 상기 2-스텝 함수의 높이는 프라이버시 파라미터에 의해 결정되고, 상기 2-스텝 함수의 폭은 상기 잡음 분포의 분산을 최소화함으로써 결정되고, 상기 2-스텝 함수의 평균은 프라이버시화될 상기 입력 데이터의 세트의 값에 의해 결정됨 -;
    상기 잡음 분포를 상기 입력 데이터의 세트에 적용하여 프라이버시화된 잡음성 출력 데이터를 생성하는 동작; 및
    상기 입력 데이터의 일부 또는 완전한 세트에 대한 요청에 응답하여 상기 프라이버시화된 잡음성 출력 데이터를 송신하는 동작을 포함하는 시스템.
  16. 제15항에 있어서,
    상기 동작들은 상기 잡음 분포의 복수의 모드로부터 모드를 선택하는 동작을 추가로 포함하는 시스템.
  17. 제16항에 있어서,
    상기 복수의 모드는 정확한 모드 및 근사화 모드를 포함하는 시스템.
  18. 제17항에 있어서,
    상기 동작들은:
    상기 선택된 모드가 상기 정확한 모드에 대응하는 것을 결정하는 동작; 및
    상기 선택된 모드가 상기 정확한 모드에 대응할 때, 상기 잡음 분포의 이전에 저장된 제약되지 않은 파라미터 s를 검색하는 동작 - 상기 이전에 저장된 파라미터는 상기 프라이버시 파라미터에 기초하여 이전에 계산됨 - 을 추가로 포함하는 시스템.
  19. 제17항에 있어서,
    상기 동작들은:
    상기 선택된 모드가 상기 근사화 모드에 대응하는 것을 결정하는 동작; 및
    상기 선택된 모드가 상기 근사화 모드에 대응할 때, 상기 잡음 분포의 제약되지 않은 파라미터 s를 상기 프라이버시 파라미터의 분수로서 계산하는 동작을 추가로 포함하는 시스템.
  20. 명령어들을 포함하는 비일시적 머신 판독가능 스토리지 매체로서, 상기 명령어들은 머신의 하나 이상의 프로세서에 의해 실행될 때, 상기 머신으로 하여금:
    입력 데이터의 세트를 저장하는 동작;
    2-스텝 함수에 기초하여 잡음 분포를 생성하는 동작 - 상기 2-스텝 함수의 높이는 프라이버시 파라미터에 의해 결정되고, 상기 2-스텝 함수의 폭은 상기 잡음 분포의 분산을 최소화함으로써 결정되고, 상기 2-스텝 함수의 평균은 프라이버시화될 상기 입력 데이터의 세트의 값에 의해 결정됨 -;
    상기 잡음 분포를 상기 입력 데이터의 세트에 적용하여 프라이버시화된 잡음성 출력 데이터를 생성하는 동작; 및
    상기 입력 데이터의 일부 또는 완전한 세트에 대한 요청에 응답하여 상기 프라이버시화된 잡음성 출력 데이터를 송신하는 동작을 포함하는 동작들을 수행하도록 야기하는 비일시적 머신 판독가능 스토리지 매체.
KR1020217030459A 2019-02-28 2020-02-28 포디움 메커니즘을 이용한 데이터 프라이버시 KR102562053B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201962812207P 2019-02-28 2019-02-28
US62/812,207 2019-02-28
US16/741,193 2020-01-13
US16/741,193 US11048819B2 (en) 2019-02-28 2020-01-13 Data privacy using a podium mechanism
PCT/US2020/020331 WO2020176842A1 (en) 2019-02-28 2020-02-28 Data privacy using a podium mechanism

Publications (2)

Publication Number Publication Date
KR20210132129A true KR20210132129A (ko) 2021-11-03
KR102562053B1 KR102562053B1 (ko) 2023-08-02

Family

ID=72237121

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020217030459A KR102562053B1 (ko) 2019-02-28 2020-02-28 포디움 메커니즘을 이용한 데이터 프라이버시

Country Status (5)

Country Link
US (2) US11048819B2 (ko)
EP (1) EP3931736A1 (ko)
KR (1) KR102562053B1 (ko)
CN (1) CN113544682A (ko)
WO (1) WO2020176842A1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3506547A1 (en) * 2017-12-28 2019-07-03 Flytxt B.V. Providing security against user collusion in data analytics using random group selection
US11048819B2 (en) 2019-02-28 2021-06-29 Snap Inc. Data privacy using a podium mechanism
CA3108956C (en) * 2020-02-11 2023-09-05 LeapYear Technologies, Inc. Adaptive differentially private count
WO2021178911A1 (en) * 2020-03-06 2021-09-10 The Regents Of The University Of California Methods of providing data privacy for neural network based inference
US20220114525A1 (en) * 2020-10-12 2022-04-14 Microsoft Technology Licensing, Llc Peer group benchmark generation and presentation

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014088903A1 (en) * 2012-12-03 2014-06-12 Thomson Licensing Method and apparatus for nearly optimal private convolution

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7769707B2 (en) * 2005-11-30 2010-08-03 Microsoft Corporation Data diameter privacy policies
US7562071B2 (en) * 2005-12-02 2009-07-14 Microsoft Corporation Exponential noise distribution to optimize database privacy and output utility
US7363192B2 (en) * 2005-12-09 2008-04-22 Microsoft Corporation Noisy histograms
US7698250B2 (en) * 2005-12-16 2010-04-13 Microsoft Corporation Differential data privacy
US8281121B2 (en) * 2010-05-13 2012-10-02 Microsoft Corporation Private aggregation of distributed time-series data
US20160210463A1 (en) * 2012-08-20 2016-07-21 Nadia Fawaz Method and apparatus for utility-aware privacy preserving mapping through additive noise
US9672364B2 (en) * 2013-03-15 2017-06-06 Microsoft Technology Licensing, Llc Differentially private linear queries on histograms
WO2015090445A1 (en) * 2013-12-20 2015-06-25 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for managing access to a database
US11171934B2 (en) * 2014-11-28 2021-11-09 Fiske Software Llc Dynamically hiding information in noise
US10467234B2 (en) * 2015-11-02 2019-11-05 LeapYear Technologies, Inc. Differentially private database queries involving rank statistics
US10108818B2 (en) * 2015-12-10 2018-10-23 Neustar, Inc. Privacy-aware query management system
FR3047586A1 (fr) * 2016-02-09 2017-08-11 Orange Procede et dispositif d'anonymisation de donnees stockees dans une base de donnees
EP3449414B1 (en) * 2016-04-29 2021-12-08 Privitar Limited Computer-implemented privacy engineering system and method
US10223547B2 (en) * 2016-10-11 2019-03-05 Palo Alto Research Center Incorporated Method for differentially private aggregation in a star topology under a realistic adversarial model
US20180121817A1 (en) * 2016-10-28 2018-05-03 Carnegie Mellon University System and method for assisting in the provision of algorithmic transparency
US11113413B2 (en) * 2017-08-25 2021-09-07 Immuta, Inc. Calculating differentially private queries using local sensitivity on time variant databases
US10769306B2 (en) * 2017-09-21 2020-09-08 International Business Machines Corporation Applying a differential privacy operation on a cluster of data
US10817618B2 (en) * 2018-07-20 2020-10-27 Adobe Inc. Recommendation system based on individualized privacy settings
US11568306B2 (en) * 2019-02-25 2023-01-31 Salesforce.Com, Inc. Data privacy protected machine learning systems
US11048819B2 (en) 2019-02-28 2021-06-29 Snap Inc. Data privacy using a podium mechanism

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014088903A1 (en) * 2012-12-03 2014-06-12 Thomson Licensing Method and apparatus for nearly optimal private convolution

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
GENG QUAN et al, 'The Staircase Mechanism in differential privacy', IEEE Journal of selected topics in signal processing, vol 09, no 7, 2015.10.01. *

Also Published As

Publication number Publication date
EP3931736A1 (en) 2022-01-05
WO2020176842A1 (en) 2020-09-03
CN113544682A (zh) 2021-10-22
KR102562053B1 (ko) 2023-08-02
US11651103B2 (en) 2023-05-16
US20210279364A1 (en) 2021-09-09
US20200279054A1 (en) 2020-09-03
US11048819B2 (en) 2021-06-29

Similar Documents

Publication Publication Date Title
KR102344482B1 (ko) 지오-펜스 평가 시스템
US11669561B2 (en) Content sharing platform profile generation
KR102485626B1 (ko) 스티칭된 데이터 스트림 생성
US11790051B2 (en) Collaborative public user profile
KR102562053B1 (ko) 포디움 메커니즘을 이용한 데이터 프라이버시
CN111406411B (zh) 媒体集合生成和隐私机制
KR102626764B1 (ko) 상호작용형 정보 인터페이스
KR102268907B1 (ko) 맞춤화된 컨텍스트 미디어 콘텐츠 항목 생성
US20230221839A1 (en) Collaborative achievement interface
KR20230012610A (ko) 미디어 요청 시스템

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right