CN104380690B - 用于推荐服务的隐私保护系统的架构 - Google Patents

Abstract

描述了用于在采用推荐服务和个性化内容的同时对终端用户的个人信息提供隐私的方法和系统。根据本主题，系统实施所描述的方法以便对终端用户的个人信息提供隐私。用于隐私保护的该方法包括接收与一个或多个终端用户相关联的用户消费数据，其中该用户消费数据包括兴趣资料的至少一个分片以及该兴趣资料分片相关联的兴趣群组标识；并且其中该用户消费数据通过网络匿名化层被接收。该方法可以进一步包括基于分布式散列表路由机制将该用户消费数据路由至多个中间节点中的兴趣群组聚合器节点，并且其中该兴趣群组聚合器节点与用户消费数据中存在的兴趣群组标识相关联。

Description

用于推荐服务的隐私保护系统的架构

技术领域

本主题涉及通信系统，尤其但并非排他地涉及提供推荐服务时终端用户的隐私保护。

背景技术

由于能够在万维网上获得的数量巨大的数据，访问服务提供商所提供的内容的终端用户在对内容进行选择时经常由服务提供商、搜索引擎、web发行方以及广告来提供辅助。诸如基于内容的推荐、协同推荐之类的常规上已知的技术被用来生成推荐而使得终端用户能够作出这样的选择。在基于内容的推荐中，终端用户被推荐与该终端用户在过去所使用或喜欢的内容、服务或产品相类似或者与终端用户的兴趣或选择相匹配的内容、服务或产品。在协同推荐中，终端用户被推荐以与具有相似或相同兴趣或选择的其它终端用户所使用或喜欢的内容、服务或产品相类似的内容、服务或产品。在基于内容的推荐的示例中，电影评论网站可以监视到终端用户一般观看每种类型的电影，例如动画电影。因此，每次由动画电影可供观看时，该终端用户例如就可以被提供以诸如通知或警告之类的推荐以通过进行相关支付而下载该电影。

类似地，在也被称作协同过滤的协同推荐中，服务提供商可以为终端用户提供定向广告，其中这些广告涉及与该终端用户具有类似兴趣和偏好的其它终端用户已经有所偏好的产品或服务。例如，如果电视节目或电影已经被其兴趣与终端用户的兴趣相匹配的其它终端用户所观看，则互联网协议电视(IPTV)服务提供商可以向该终端用户推荐该电视节目或电影。

在所有这些用于为终端用户提供辅助并且给出相关内容的技术当中，如今的用户正在越来越关心其个人信息以及潜在地敏感信息。例如，电子商户的终端用户可能并不反对使用其订购历史或评价来向其它终端用户进行匿名推荐，但是该终端用户可能并不想要其它终端用户了解到该终端用户所购买或评价的特定物品。

发明内容

提供该发明内容以介绍与针对提供推荐服务的终端用户的隐私保护相关的概念。该发明内容并非意在标示出所请求保护主题的必要特征也并非对所请求保护主题的范围加以确定或限制。

在一种实施中，描述了一种针对提供推荐服务而为终端用户提供隐私保护的方法。该方法包括接收与一个或多个终端用户相关联的用户消费数据，其中该用户消费数据至少包括兴趣资料(profile) 的分片以及该兴趣资料分片的关联兴趣群组标识(id)；并且其中该用户消费数据通过网络匿名化层被接收。该方法进一步包括基于分布式散列表(DHT)路由机制将该用户消费数据路由至多个中间节点中的兴趣群组聚合器节点，并且其中该兴趣群组聚合器节点与用户消费数据中存在的兴趣群组id相关联。

在另一种实施中，描述了一种用于保护网络中的终端用户的隐私的隐私保护系统，其包括连接至至少一个本地客户端的隐私保护中间件系统。该隐私保护中间件系统包括多个中间节点，其中至少一个中间节点实施后端中间件系统。该后端中间件系统可以包括处理器、耦合至该处理器的存储器。该存储器可以包括被配置为从至少一个终端用户的至少一个本地客户端接收用户消费数据的网络模块，其中该用户消费数据至少包括兴趣资料的分片以及该兴趣资料分片的关联兴趣群组id；并且其中该用户消费数据通过网络匿名化层被接收。该存储器可以进一步包括路由模块，其被配置为基于DHT 路由机制将该用户消费数据路由至多个中间节点中的兴趣群组聚合器节点，并且其中该兴趣群组聚合器节点与用户消费数据的兴趣群组id相关联。

在另一种实施中，描述了一种计算机可读介质，其具有记录于其上的用于执行方法的计算机可读程序代码。该方法可以包括接收与一个或多个终端用户相关联的用户消费数据，其中该用户消费数据至少包括兴趣资料的分片以及该兴趣资料分片的关联兴趣群组id；并且其中该用户消费数据通过网络匿名化层被接收。该方法进一步包括基于分布式散列表(DHT)路由机制将该用户消费数据路由至多个中间节点中的兴趣群组聚合器节点，并且其中该兴趣群组聚合器节点与用户消费数据中存在的兴趣群组id相关联。

附图说明

参考附图对具体实施方式进行描述。在附图中，附图标记中最左侧的数字标示出该附图标记首次在其中出现的附图。贯穿附图使用相同数字来引用同样的特征和组件。现在仅通过示例并参考附图对依据该主题的实施例的系统和/或方法的一些实施例进行描述，其中：

图1图示了根据该主题实施例的隐私保护系统的示例性网络环境实施；

图2(a)示意性图示了依据该主题实施例的隐私保护中间件系统的组件；

图2(b)示意性图示了依据该主题实施例的后端中间件系统的组件；

图3图示了依据该主题实施例的为终端用户提供隐私保护的方法。

在本文中，词语“示例性”在这里被用来表示“用作示例、实例或说明”。在这里被描述为“示例性”的该主题的任何实施例或实施方式并非必然被理解为相对于其它实施例是优选的或有利的。

本领域技术人员应当意识到的是，这里的任何框图表示了体现该主题的原则的说明性系统的概念视图。类似地，将要意识到的是，任何的流程图表、流程图、状态转换图、伪代码等表示可以实质上在计算机可读介质中进行表示并且因此被计算机或处理器所执行的各种处理，而无论是否明确示出了这样的计算机或处理器。

具体实施方式

描述了用于对终端用户的个人信息提供隐私的系统和方法。该系统和方法能够在通过各种网络进行通信的各种分布式服务器和通信设备中实施。能够实施所描述的方法的分布式服务器和计算系统包括但并不局限于：中央目录服务器、数据库服务器、文件服务器、打印服务器、web服务器、应用服务器、笔记本、平板电脑、个人计算机、机顶盒设备、移动电话等。虽然这里的描述是参考个人计算机以及提供推荐服务的分布式服务器，但是如本领域技术人员将会理解的，该方法和系统可以在向终端用户提供连接以便保护其隐私的其它服务器和计算系统中实施。

虽然推荐服务和个性化内容由服务提供商通过各种网络提供给不同的终端用户，但是这里所描述的方法和系统是访问独立的，并且支持包括全球移动通信系统(GSM)、宽带码分多址(W-CDMA)、码分多址(CDMA)、无线局域网(WLAN)、火线、局域网(LAN) 在内的多种访问类型以及提供连接的其它网络。

在一个实施例中，该主题公开了一种用于隐私保护的系统和方法以保护使用客户端设备的终端用户的个人和私人信息，从而利用服务提供商通过网络所推荐的服务或观看如此推荐的内容。

常规地，许多服务提供商试图基于终端用户的个人细节、偏好和选择对提供给终端用户的服务进行个性化，上述服务诸如提供包括视频、音频、新闻、广告等的内容的服务。为此，服务提供商基于诸如终端用户的年龄、性别和位置之类的终端用户的个人信息，终端用户过去的活动，或者被识别为与终端用户具有类似兴趣的其它终端用户过去的偏好而使用诸如基于内容的推荐和/或协同推荐之类的技术来向终端用户推荐其可能感兴趣的服务、内容或产品。

例如，在常规的基于内容的推荐方法中，如果终端用户—称作用户A—已经购买了特定作者编写的图书，则服务提供商可以建议用户A购买相同作者编写的其它图书或者有关相同或相关主题的其它图书。以类似但是另一种的常规方法，也就是协同推荐方法，服务提供商确定可能具有类似于终端用户A的兴趣资料的其它终端用户，并且向终端用户A提供该其它用户已经有所偏好的内容或产品。出于该目的，使用常规已知的方法来执行多个终端用户的兴趣资料的创建以及对终端用户的兴趣资料进行匹配以确认具有类似兴趣的终端用户的兴趣群组。类似地，终端用户的兴趣资料也可以基于终端用户的兴趣或活动而被分割为不同分片(slice)。例如，如果说整个浏览历史包括终端用户的兴趣资料，则兴趣资料的一个分片可以是仅包含几个统一资源定位符(URL)的小的子集。因此，终端用户的整个兴趣资料可以被划分为多个小的资料分片，以确保该兴趣资料的每个分片足够小而使得其自身并不揭示足够多的信息而推断出用户的身份。对终端用户的兴趣资料的划分使用常规的已知方法来执行。本领域常规已知的细节出于简明的原因而被省略。

在另一个示例中，如果终端用户—称作用户B—对极限运动感兴趣，则服务提供商尝试找出同样对极限运动感兴趣的其它终端用户。如果任何对极限运动感兴趣的其它终端用户执行了任何活动，则服务提供商将建议用户B执行相同的活动，即使用户B可能还没有明确表示出其对该活动感兴趣。这种常规方法假设具有相似兴趣资料—即相似兴趣—的终端用户很可能具有相同的个人偏好。

服务提供商所实施的常规技术需要收集与终端用户的个人偏好、选择等相关的信息。常规地，服务提供商通过各种手段监视并收集与终端用户相关度信息，诸如通过分析日志文件、应用历史文件或存放在终端用户的客户端设备上的其它个人可识别信息。在另一种常规技术中，服务提供商可以保存诸如超文本传输协议(http) cookie之类的文本文件来收集与终端用户相关的信息。例如，web 端口可以保存包括终端用户的web浏览器的httpcookie在内的用户偏好数据以存储终端用户的偏好，诸如字体大小、显示窗口小程序的布置等。另外，用户偏好数据还可以存储终端用户的浏览细节并且将其发送至web端口。

因此，在尝试基于终端用户的个人选择向终端用户提供推荐服务、个性化内容、服务或产品时，服务提供商经常监视并收集与终端用户的活动相关的信息。在某些情形中，可能以服务提供商所收集的信息为基础而识别出终端用户。这可能导致威胁到终端用户的个人或机密信息并且将终端用户暴露于潜在的隐私侵犯或者使得其成为广告商或垃圾邮件制作方的目标，等等。另外，在极端情况下，终端用户可能成为诸如身份盗窃、信用卡诈骗等的各种犯罪的受害者。

另外，如今当终端用户经由高速通信支持通过虚拟社交网络连接至每个其它用户时，终端用户不断地与诸如 GoogleNews^TM、和twitter^TM的各种应用共享私人和个人信息。虽然所透露的敏感个人信息的属性取决于应用，诸如针对基于位置的服务(LBS)而言的位置以及针对同一资源定位符(URL)推荐系统而言的浏览历史；但是这些应用侵入到在线社交网络(OSN)包罗万象的架构之中使得用户的个人信息处于前所未有的更高风险之中，其中OSN开始作为用于提供推荐服务“一站式服务点”。

近来，已经提出了用于保护隐私同时仍然提供推荐服务、个性化内容和服务的不同方法。这些方法根据应用场景而有所变化，从 LBS到推荐系统和OSN。

一种这样的现有方法是基于向终端用户提供个人信息的隐私的集中式解决方案。在这样的集中式解决方案中，单个受信任的中间方代表终端用户提供请求并且从服务提供方接收推荐，以保持终端用户的私人信息的安全并且保持终端用户的身份对于内容和服务提供商而言是匿名的。然而，这样的集中式解决方案是基于对其中单个受信任的中间方被确信不会恶意使用终端用户信息的信任模型的不切实际的假设。

另外，某些方法提供了其中集中式中间方并不被终端用户所信任的集中式解决方案。在这样的情形中，为了从非受信任的集中式中间方向终端用户提供匿名性，终端用户之间所传输的信息利用在终端用户之间互相共享的加密密钥进行加密，而使得中间方所接收的数据具有加密形式并且仅能够被预期接收方所解密，而该预期接收方是预先知晓的另一个终端用户，例如在线社交网络中的社交好友。然而，这种方法排除了商业模型的使用以及由集中式中间方所进行的需要进行通信而使得所交换的信息中的数据在被中间方观看时处于非加密形式的应用。例如，在某些情况下，服务提供商希望基于聚合的消费数据而提供与终端用户的兴趣相匹配的广告。这样的应用在这些集中式解决方案的方法中就无法获得支持。

类似地，在其中集中式中间方不被信任但向终端用户提供诸如推荐服务之类的服务的其它方法中。为了提供个性化内容和推荐服务，集中式中间方可以匿名接收与其偏好和个人兴趣相关的终端用户消费数据。然而，通过监视匿名终端用户在一段时间内的特有兴趣就能够分离出一个终端用户，并且基于从用户消费数据中所识别出的其这样的特有兴趣而将该终端用户与具体个人联系起来。在这样的情况下，该终端用户的个人和私人信息就处于高度风险之中并且能够被错误使用。因此，这些集中式解决方案由于它们并不支持分散式中间方而易于受到可联系性的攻击。

另一种实现了分散式中间方方法的、用于保护用户私人信息的解决方案是使用基于分布式散列表(DHT)的匿名发布和订阅技术，这能够利用(leverage)在终端用户和分散式的多个中间方之间的非加密通信。这些技术允许终端用户匿名上传(订阅)个人兴趣并且还匿名接收服务提供商所提供(发布)的信息。虽然使用基于DHT 的技术允许终端用户的匿名性，然而，DHT技术并不被诸如移动设备之类的计算能力有限的瘦客户端所支持。如本领域技术人员将会理解的，瘦客户端主要是由于DHT技术要求所有客户端都是DHT 路由机制自身的一部分而不被支持。另外，由于终端用户是所实施的DHT技术的一部分，所以终端用户与网络的波动的连接性并不会提供终端用户的稳定参与，进而使得整个个性化内容和推荐服务提供系统的性能出现下降。因此，直接实施这样的DHT技术无法支持当今的保护隐私的个性化服务的大量操作情形，特别是在终端用户通过移动设备进行连接的情况下。

因此，现有解决方案或者由于信任方面的考虑而提供有限的保护，或者由于加密/非加密数据的选择以及对有限类型的计算设备的支持而对有限的应用和设备提供支持。

根据本主题的一种实施方式，描述了用于向终端用户的个性化信息提供真正隐私的系统和方法。在一种实施中，这里所描述的系统和方法是基于用于提供非大幅串通的中间方的分布式汇集的隐私保护的分散式解决方案，其支持瘦客户端且并不需要使用加密数据进行通信，诸如数据以仅有接收方能够解密并观看该数据的方式被加密的情况。所描述的系统和方法还针对诸如LBS、推荐方系统和 OSN的不同且有所变化的应用场景而为终端用户的个人信息提供隐私。根据该主题的一个实施例，这里所描述的系统和方法可以在用户可以经有线网络进行连接或者通过经由不同手段提供的无线网络而经网络连接的各种情形中实施。如之前所描述的，该系统和方法能够在能够根据针对通信所定义的各种不同标准与网络进行通信的各种处理和通信设备中实施。

一方面，如这里所描述的系统和方法通过对每个终端用户及其私人信息提供匿名性而在不限制应用和商业模型的使用的情况下为终端用户的私人信息提供了真正的保护，另一方面，其还为终端用户提供了利用包括瘦客户端在内的任意计算设备的能力，上述瘦客户端诸如接收个性化内容和推荐服务的计算能力有限的移动设备。在一个实施例中，隐私保护系统包括具有本地客户端的多个终端用户以及隐私保护中间件系统。

依据该主题的一个实施例，为了通过分散式方法向终端用户提供个性化内容和推荐服务，基于终端用户的个人选择和偏好生成该终端用户的兴趣资料。基于终端用户的兴趣资料，识别出终端用户能够与之相关联的兴趣群组。在一个实施例中，安装在终端用户的客户端设备上的本地客户端可以基于诸如LBS、推荐方系统和OSN 之类的各种应用场景评估与终端用户相关联的兴趣资料和兴趣群组。这样的客户端设备的示例包括但并不局限于：计算设备，诸如大型计算机、工作站、个人计算机、台式计算机、小型计算机、服务器、多处理器系统和膝上计算机；蜂窝通信设备，诸如个人数字助理、智能电话、移动电话；等等。另外，兴趣资料和兴趣群组可以基于被实施为软件工具、固件、应用插件等的逻辑进行评估。

本地客户端可以基于通过各种应用所收集的终端用户的个人选择和偏好生成终端用户的兴趣资料。在所述实施中，兴趣资料的生成可以基于利用各种应用通过应用编程接口(API)对信息进行编译以确定并分析终端用户的个人选择和偏好。由于生成兴趣资料的方法是本领域已知的，所以出于简明的原因省去了其描述。

在另一种实施中，本地客户端可以将与终端用户相关的信息存储于键值对集合，其中键存储事项或者与事项相关联的类别或标签。例如，与如网站、歌曲、视频等的事项相关联的元数据被存储为键。与此同时，还存储与键相对应的值。该值指示在相对应的键中终端用户的兴趣水平。

随后可以基于本领域已知的技术对各种键值对集合进行分析以确定终端用户可涉及的可能群组。例如，在一种实施中，可以基于各种键值对集合生成元标签，这些元标签可以与兴趣群组的预定义列表进行比较并且可以确定指示终端用户与之相关的群组的群组标识(id)。使用诸如局部敏感度散列(LSH)技术或基于语义的聚类等的常规技术将具有类似或相同兴趣的终端用户归类为相同的群组。另外，终端用户可以被归类到一个或多个兴趣群组。例如，对事项X和Y感兴趣的终端用户C可以被归类到由假设群组id 100和 200所表示的群组，其中对事项X、Y和Z感兴趣的另一个终端用户—用户D—可以被归类到假设群组id 100、200和300所表示的两个兴趣群组。应当意识到的是，由本地客户端所进行的处理以及作为其结果而生成的数据可以不在终端用户的计算设备之外进行传送。

在一个示例中，采用互联网协议电视(IPTV)的被称作A的终端用户，可以基于该终端用户A所观看的节目、所录制的节目以及为节目所设置的闹铃而对个性化信息进行编译。终端用户A可以观看烹饪节目、录制与新的且变化的菜谱相关的节目，并且存储了著名旅行节目的闹铃。另外，基于个人选择，终端用户可能还从IPTV 的服务提供商订阅了烹饪和生活方式的内容类别。基于如此收集的信息，终端用户的本地客户端可以识别出该终端用户对于烹饪和生活方式感兴趣，并且可以将终端用户A与具有兴趣群组id 09和54 的烹饪和生活方式兴趣群组相关联。

另外，在该主题的另一种实施中，兴趣群组和相对应的兴趣id 与终端用户的关联还可以基于不同终端用户所采用的不同应用场景。例如，如以上针对IPTV应用所解释的，兴趣群组id可以根据终端用户最适合的兴趣群组而与终端用户相关联，其中兴趣群组可以完全基于终端用户选择的列表及其分类进行预先定义。

类似地，对于LBS应用而言，并非基于经分类的用户选择而是基于终端用户的当前位置，终端用户可以与不同的兴趣群组和相对应的群组id相关联。例如，在城市的区域α中漫游并且采用LBS的终端用户W可以与兴趣群组α和兴趣群组id 22相关联。类似地，在城市的区域γ中漫游并且采用LBS的所有终端用户可以与兴趣群组γ和兴趣群组id 68相关联。在一种实施中，LBS的兴趣群组可以基于终端用户的定位的经度和纬度。另外，对于OSN而言类似地，兴趣群组可以基于终端用户的社交圈(或团体)，其中该社交圈可以是具有不同兴趣、种族、地区和宗教的不同终端用户的群体。将要理解的是，OSN上的不同社交圈允许终端用户共享他们的兴趣和想法；而且还通过诸如即时消息和电子邮件之类的各种手段互相通信。

本领域技术人员将要意识到的是，终端用户与之相关联的兴趣群组可以基于终端用户选择和终端用户请求的改变而随时进行修改和更新。终端用户还可以基于兴趣资料的变化而从一个兴趣群组切换至另一个。另外，将要意识到的是，在LBS的情形中，终端用户的兴趣群组可以基于终端用户的当前位置随时进行更新。而且，本地客户端也可以基于从两种或更多应用场景所核对的信息为终端用户选择兴趣群组。例如，如果终端用户M与烹饪和生活方式的兴趣群组相关联并且还在区域α采用了LBS，则用户M可以与兴趣类似并且在相同区域漫游的其它用户的兴趣群组￥相关联。

在该主题的一种实施中，终端用户的客户端设备直接或通过网络连接至隐私保护中间件系统。安装在客户端设备上的本地客户端可以给予应用要求实例化不同的中间级API来使用以便与隐私保护中间件系统进行交互。

隐私保护中间件系统包括非大幅串通的中间方的分布式汇集，其支持瘦客户端且并不需要其中仅有预期接收方能够解密数据以便观看的数据加密。隐私保护中间件系统的中间节点可以是一个或多个工作站、个人计算机、台式计算机、多处理器系统、膝上计算机、网络计算机、小型计算机、服务器等。这些中间节点可以与一个或多个客户端设备的计算资源相关，并且具有被协同主控的能力。而且，隐私保护中间件系统还可以在有一个或多个非传统的第三方所供给或主控的中间节点上运行。

在一种实施中，隐私保护中间件系统针对隐私保护而实施分布式中间节点的分散式解决方案，其中匿名地与相同兴趣群组id相关联的终端用户将他们的用户消费数据会合在来自分布式的中间节点池中的一些共用中间节点以接收个性化内容和推荐服务。每个中间节点主控与相对应的兴趣群组id相关联的兴趣群组，以使得能够针对相关联的终端用户传递个性化内容并且支持与兴趣群组的属性相关的推荐服务。

例如，基于其兴趣资料而与相同群组id 156相关联的终端用户A 和B的本地客户端可以将他们的消费数据会合在共用的中间节点R。另外，终端用户A的本地客户端还基于其兴趣将其与另一个兴趣群组id 190相关联，其中兴趣群组id 190由隐私保护中间件系统的另一个中间节点S所主控。在这样的场景中，同样基于类似兴趣而与兴趣群组id 190相关联的其它终端用户D、F和J进而也通过他们各自的本地客户端与相同的中间节点S相关联。另外，在所述示例中，如果兴趣群组id 190可以与体育类别相关，并且主控兴趣群组id 190的中间节点S因此使得能够向终端用户A、D、F和J传递体育内容以及与体育相关的推荐服务。

根据该主题的一种实施，隐私保护中间件系统实施了功能群组以针对终端用户提供真正的隐私保护。隐私保护中间件系统所实施的功能关于不同层面进行描述以便于在描述中加以理解和解释。不同层面实例化了用于支持所述功能的不同架构。

隐私保护中间件系统实施了网络匿名化层。该网络匿名化层使得终端用户能够匿名地与隐私保护中间件系统的中间节点进行通信，同时仍然允许中间件的中间节点通过加密通道而具有非加密形式的终端用户的用户消费数据。匿名化网络层一方面支持终端用户的匿名性，另一方面还允许隐私保护中间件系统匿名递送推送 (PUSH)推荐。本领域技术人员将要理解的是，PUSH推荐是在终端用户没有发起明确请求的情况下提供给终端用户的内容。

在一种实施中，隐私保护中间件系统的网络匿名化层采用基于客户端/中继的路由机制，诸如洋葱路由机制。在另一种实施中，可以采用洋葱路由器(TOR)架构来为终端用户提供匿名性。TOR架构的实施允许通过用作跳跃(bouncing)服务器的中间节点的网络对终端用户的私人和机密数据进行路由，以便隐藏终端用户的位置以及任意终端用户的身份。另外，在匿名化层中使用TOR架构允许对诸如移动设备的瘦客户端的支持。因此，除了向终端用户提供匿名性之外，使用网络匿名化层还为终端用户提供了使用各种类型的通信设备的灵活性。虽然，已经描述了网络匿名化层采用TOR架构，但是将要意识到的是，能够在隐私保护中间件系统的网络匿名化层中实施提供与TOR类似功能的任意其它架构。

在该主题的另一种实施中，该隐私保护中间件系统还实施路由和映射层。在所述实施中，该隐私保护中间件系统的路由和映射层被实施为确定与兴趣群组id相对应的中间节点。如所描述的，由于不同中间节点迎合不同的兴趣群组和相对应的兴趣群组id，所以该路由和映射层确定与每个兴趣群组相对应的中间节点。根据该主题的一种实施，采用PASTRY架构来基于DHT路由为隐私保护中间件系统的路由和映射层实施路由和映射功能。虽然，已经描述了路由和映射层采用PASTRY架构进行DHT路由，然而将要理解的是，在隐私保护中间件系统的路由和映射层中能够实施提供与PASTRY架构相类似的功能的任意其它架构。

根据另一种实施，隐私保护中间件系统还实施API层而使得能够在本地客户端和隐私保护中间件系统之间进行交互。在所述实施方式中，API层可以实施订阅、上传、接收推送推荐和查找拉取推荐 API。订阅API可以由终端用户进行实例化以通过本地客户端订阅兴趣群组。上传API可以由本地客户端进行实例化以上传终端用户的兴趣资料的分片。接收推送推荐可以由中间节点进行实例化以基于所主控的兴趣群组的属性向终端用户的本地终端发送PUSH推荐。另外，查找拉取推荐可以由中间节点进行实例化以经由本地客户端明确发起的请求而接收拉取推荐。在一种实施中，API层实施基于简单对象访问协议(SOAP)的web服务而在支持隐私保护中间件系统中支持所描述的API。基于SOAP的web服务是基于超文本传输协议(HTTP)的web服务，其能够通过实施TOR架构的基本网络匿名化层匿名调用。另外，基于HTTP的SOAP web服务能够通过将客户端指向TOR架构的SOCKS代理而以无缝的方式进行调用，上述SOCKS代理同样支持通过TOR进行中继的HTTP业务。虽然已经描述了本地客户端和隐私保护中间件系统之间的交互是基于 SOAP web服务API，然而应当意识到的是，在该隐私保护中间件系统的API层中能够实施提供与SOAP web服务相类似的功能的任意其它web服务。

在该主题的另一种实施方式中，该隐私保护中间件系统还可以包括持久存储层以基于终端用户的兴趣资料存储由终端用户的本地客户端所提供的用户消费数据。持久存储层的实施可以允许隐私保护中间件系统应对由于隐私保护中间件系统的中间节点的故障和更新所导致的扰动。在操作中，每个主控特定兴趣群组的中间节点可以针对未来的实例而存储不同用户的用户消费数据，诸如在用户消费数据被中间节点丢失时或者在中间节点并未关机且另一个中间节点发起了群组主控时。在这样的情况下，通过持久存储层、从中间节点获取用户消费数据可以允许快速且轻松的核对而不用再次从所有终端用户接收用户消费数据。换句话说，在扰动之下，新的中间节点应当能够获取之前上传的兴趣群组的用户消费数据。

然而，在一种实施中，为了防止诸如在不同群组中的出现少见 URL之类的联系能力攻击，用户消费数据可以被分割并存储在不同的中间节点上，而使得没有单个中间节点会接收到另一个中间节点的整个用户消费数据而看到贯穿该群组的整个持久用户消费。在所述实施中，为了确保存储在不同中间节点处的用户消费数据的完整性，中间节点在存储数据消费数据之前也可以基于群组的对称加密密钥对数据进行加密，其中跨不同中间节点进行存储的用户消费数据仅能够通过该兴趣群组的中间节点所持有的群组对称加密密钥进行解密。

将要进一步意识到的是，在数据损坏或者中间节点处的数据丢失的情况下，中间节点可以基于可用的群组对称加密密钥从不同中间节点恢复用户消费数据。然而，在中间节点关机且并不工作的情况下，假设该关机中间节点主控兴趣群组的任意其它节点应当拥有该群组的对称加密密钥以通过持久存储层从不同中间节点恢复用户消费数据。出于该目的，每个中间节点也可以将群组对称密钥传输至一个或多个合格中间节点副本，即，使用DHT复制协议、按照 DHT协议被指定的副本，而使得有关主控关机中间节点的兴趣群组的合格中间节点副本可以获取之前所聚合的群组消费。

在一种实施中，持久存储层可以采用CASSANDRA架构来存储用户消费数据。虽然已经描述了持久存储层采用CASSANDRA架构来存储用户数据，然而将要意识到的是，在该隐私保护中间件系统的持久存储层中能够实施提供与CASSANDRA架构相类似的功能的任意其它架构。

该隐私保护中间件系统的每个中间节点可以实例化以上所描述的一个或多个层以便实施功能群组。每个中间节点还可以实施其它层或逻辑以补充所描述以外的功能。

这里所描述的隐私保护系统提供了使得类似兴趣群组(即，具有共同兴趣)的终端用户能够在共用中间节点处进行匿名会合，向该中间节点匿名上传其消费数据，持久存储聚合的群组消费，并且还经由匿名机制接收在该会合节点所计算的推荐的机制。此外，该隐私保护系统为终端用户提供了使用诸如移动设备之类的瘦客户端的灵活性。因此，该隐私保护系统提供了表现出针对大范围的应用场景的接口和API的功能。

应当注意的是，描述和附图仅说明了本发明的原则。因此将意识到的是，虽然没有在这里明确描述或示出，但是本领域技术人员将能够设计出实现本发明原则并且包括于其精神和范围之内的各种装置。此外，这里所引用的所有示例原则上清楚地意在仅是出于帮助读者理解本发明的原则以及一个或多个发明人为本领域进一步贡献的概念的教导目的，并且要被理解为并不对这样特别引用的示例和条件加以限制。此外，这里所有引用本发明原则、方面和实施例及其具体示例的陈述意在包含其等同形式。

本领域技术人员还将要意识到的是，如这里所使用的词语在...... 期间、在......的同时、在......时并不是表示动作在开始动作时立即进行的确切术语，而是可能在初始动作与初始动作所发起的反应之间存在一些小幅但合理的延迟，诸如传播延迟。此外，词语“连接”和“耦合”始终是为了描述的清楚而使用并且可以包括直接连接或间接连接。

已经关于图1-3对向终端用户提供隐私保护的系统和方法所实施的方式进行了详细解释。虽然所描述的用于提供隐私保护的系统和方法能够以多种不同计算系统、传输环境和/或配置来实施，但是在实施例在以下一个或多个示例性系统的环境中进行描述。

图1图示了依据该主题的实施例的隐私保护系统102的网络环境100的实施方式，该隐私保护系统102用于提供终端用户的个人和私人信息的隐私同时访问个性化内容和推荐服务。这里所描述的隐私保护系统102能够在包括各种网络设备的任意网络环境中实施，上述网络设备包括路由器、桥、服务器、计算设备、存储设备等。在一种实施中，隐私保护系统102包括隐私保护中间件系统104，其通过第一网络106-1连接至一个或多个客户端设备108-1,108-2, 108-3,…,108-N，它们在下文中单独且共同地被称作(多个)客户端设备108。

隐私保护中间件系统104可以被实施为诸如膝上计算机、台式计算机、笔记本、工作站、大型计算机、服务器等的各种计算设备。虽然隐私保护中间件系统104被示为一个实体，但是隐私保护中间件系统104也可以被实施为分布式计算系统，其包括通过网络进行分布的多个中间节点，其中每个极点可以被实施为诸如膝上计算机、台式计算机、笔记本、工作站、大型计算机、服务器等的计算设备。另外，中间节点可以出于数据通信和交换的目的而通过中间网络 106-2进行连接。

隐私保护中间件系统104也可以连接至另一个第二中间网络 106-2以与不同服务提供商110交换信息。为了简明的原因，第一网络106-1、中间网络106-3和第二网络106-2在下文中被单独且共同地被称作(多个)网络106。

网络106可以是无线网络、有线网络或者它们的组合。网络106 可以是个体网络的组合，上述个体网络互相连接并且作为例如互联网或企业内部网的单个大型网络进行工作。网络106可以是任意的公众或私人网络，包括局域网(LAN)、广域网(WAN)、互联网、内部网、端对端网络和虚拟私人网络(VPN)，并且可以包括诸如路由器、桥、服务器、计算设备、存储设备等的各种网络设备。另外，将要意识到的是，第一网络106-1、中间网络106-2和第二网络 106-3分别可以实施相同或不同的网络并且可以进而实施相同或不同的通信协议。例如，第一网络106-1可以实施基于GSM/UMTS的网络，而中间网络106-2和第三网络106-3则可以实施基于CDMA 的网络。在另一个示例中，第一网络106-1、中间网络106-2和第三网络106-3可以是诸如互联网的相同网络。

每个客户端设备108可以实施本地客户端112以通过网络106 在相应客户端设备108和隐私保护中间件系统104之间交换信息。将要意识到的是，本地客户端是在客户端设备108上运行的应用或功能模块。如之前所描述的，客户端设备108由终端用户用来使用服务提供商110所提供的服务或者观看其所提供的内容。客户端设备108可以包括计算设备，诸如膝上计算机、台式计算机、笔记本、工作站、大型计算机、机顶盒、媒体播放器，以及如移动电话和个人数字助理之类的瘦客户端。客户端设备108促进终端用户通过网络106与隐私保护中间件系统104交换信息。另外，隐私保护中间件系统104可以通过网络106连接至服务提供商110。虽然本地客户端112已经关于客户端设备108-3被示出，但是将要理解的是，每个客户端设备108将包括本地客户端112以与隐私保护中间件系统104 进行通信。

在操作中，基于终端用户的活动生成终端用户的兴趣资料并且由在每个客户端设备108上运行的本地客户端112本地保存。例如，可以基于对应于终端用户的资料信息而生成终端用户的兴趣资料。该资料信息例如可以指示终端用户所访问的网站、终端用户所播放或下载的歌曲或视频、终端用户所使用的产品或者所利用或评论的服务，等等。基于所生成的兴趣资料，本地客户端112将终端用户归类于一个或多个预定义的兴趣群组中。兴趣群组可以被理解为共享相似的兴趣和选择的终端用户的群组。在本主题的一种实施方式中，能够利用本地客户端112获得基于终端用户变化的兴趣和喜好的所有可能兴趣群组的详尽列表。另外，本地客户端112可以利用这样的兴趣群组的列表及其分类参数随时进行更新。

为了确保保护终端用户的隐私，由本地客户端112采用资料划分以及将所划分的兴趣资料传输至隐私保护中间件系统104的技术。在一种实施中，终端用户的资料信息可以被本地客户端112划分为多个分段，每个分段包括一个或多个键值对集合。本地客户端112还可以确保并没有终端用户的资料信息的分段自身包含能够被用来构建完整兴趣资料并推断出终端用户身份的足够多的资料信息。另外，终端用户兴趣资料的每个分段以及指示终端用户在其中进行表征的兴趣群组的群组标识(id)由本地客户端112发送至隐私保护中间件系统104。

基于针对终端用户所识别的一个或多个预定义兴趣群组，本地客户端108可以将对应于该终端用户的相关资料信息传送至隐私保护中间件系统104。例如，基于该资料信息，终端用户可能已经被归类于若干个兴趣群组，诸如电影、体育和电子书。本地客户端112基于终端用户已经被归类于其中的兴趣群组可以将兴趣群组的相关分片发送至相关联的兴趣群组。由于每个兴趣群组可能由隐私保护中间件系统104中的具体中间节点所主控，所以由特定兴趣群组相关联的兴趣资料的分片能够被发送至主控该特定兴趣群组的中间节点。

在该主题的一种实施方式中，终端用户的本地客户端112还可以基于所采用的应用而不是终端用户的兴趣和活动将终端用户关联至兴趣群组。例如，除了从终端用户的客户端设备108上的不同应用所收集的终端用户的活动以及他们的兴趣之外，本地客户端可以基于终端用户的位置将终端用户关联至兴趣群组以提供基于位置的推荐服务。将要意识到的是，在终端用户基于其当前位置被关联至兴趣群组的情况下，终端用户可能接收到与终端用户的位置相关的推荐服务。例如，采用LBS推荐服务的终端用户的本地客户端112 可以在终端用户在巴黎漫游时将该终端用户关联至巴黎兴趣群组。类似地，本地客户端还可以基于终端用户所采用的在线社交网络而将终端用户关联至兴趣群组。本领域技术人员将会意识到的是，兴趣群组对应于终端用户在在线社交网络中已经订阅的不同团体或社交圈。

如之前所描述的，隐私保护中间件系统104实施分布式中间节点的分散式解决方案以便进行终端用户的隐私保护，其中与相同兴趣群组id相关联的终端用户将其用户消费数据会合在来自分布式中间节点池中的一些共用中间节点，以接收个性化内容和推荐服务。将要理解的是，用户消费数据可以包括对应于终端用户的相关资料信息，后者进而可以是终端用户的兴趣资料的分片。

在这样的情形中，与电影相关的任意终端用户的资料信息可以被发送至隐私保护中间件系统104的一个中间节点并且与运动相关的任意终端用户的资料信息可以被发送至隐私保护中间件系统104 的另一个中间节点。因此，收集与任意兴趣群组相关的资料信息的任意中间节点被称作该兴趣群组的兴趣群组聚合器节点，其中每个兴趣群组聚合器节点被分配以标识编号，其被称作聚合器节点id。为了简单的原因，认为与中间节点相关联的聚合器节点id与该中间节点所主控的兴趣群组相同。例如，如果涉及电影的兴趣群组的兴趣群组id为99，则收集与电影兴趣群组和相关联兴趣群组id相关的信息的中间节点可以被称作兴趣群组聚合器节点99。

在一种实施中，用作不同兴趣群组的兴趣群组聚合器节点的中间节点可以对所有相关联终端用户的用户消费进行核对以通过网络 116-2从服务提供商110请求推荐服务和个性化内容。由于每个终端用户的本地客户端112向每个相关联的兴趣群组聚合器节点提供用户消费数据，所以每个兴趣群组聚合器节点可以识别出属于该兴趣群组的终端用户所使用的优选服务类别并且将其提供至服务提供商 110以获得推荐和个性化内容。

根据该主题的实施方式，隐私保护中间件系统104的每个中间节点可以被实施为后端中间件系统114以对终端用户的私人和个人信息提供真正的隐私。由每个中间节点所实施的后端中间件系统114 可以促进客户端设备108上运行的本地客户端112与隐私保护中间件系统104之间的安全通信。另外，后端中间件系统114还可以允许隐私保护中间件系统104与服务提供商之间的通信而使得加密和非加密通信获得支持以允许使用各种各样的应用和商业模型。

在该主题的实施方式中，后端中间件系统114可以包括利用不同架构所实例化的多个层以支持隐私保护中间件系统104的多种功能。不同层的功能连同用来提供该功能的架构一起在随后关于不同附图的描述中进行描述。

每个用作不同兴趣群组的兴趣群组聚合器节点的中间节点向终端用户提供个性化内容和推荐服务。被实施为后端中间件系统114 的中间节点通过实施各个层的实例化而确保通过随后说明书中所描述的各种架构和技术而确保终端用户的隐私得到维护；并且保护中间件系统104并不知道为其提供所推荐服务的具体客户端设备108。在一种实施中，客户端设备108可以被配置为基于对应于终端用户的兴趣资料对所接收到的推荐服务进一步进行处理从而为该终端用户生成定制的服务推荐。客户端设备108和隐私保护中间件系统104 的实施方式的细节已经结合随后的其它附图中说明书中进行了描述。

参照该主题的图2(a)和图2(b)对示例性隐私保护中间件系统104进行描述。

图2(a)图示了根据该主题实施例的实施多个中间节点的隐私保护中间件系统104，其中每个中间节点实施后端中间件系统114。依据该主题，本地客户端112和隐私保护中间件系统104通过网络 106的各种组件互相通信耦合。图2(b)图示了在隐私保护中间件系统104的每个中间节点处所实施的后端中间件系统114的组件。后端中间件系统114的组件的各种功能将结合图2(a)和2(b)中所图示的不同模块进行描述。

另外，如之前所描述的，实施多个中间节点的隐私保护中间件系统104可以通过网络106与终端用户的本地客户端112进行通信。在许多情况下，除了所示出的那些之外的多个网络实体可以处于隐私保护中间件系统104和本地客户端之间，包括传送站点、交换站点和通信链路，尽管那些已经为了这里的描述的简明而被省略。类似地，出于清楚的原因也可以省略各种回执和确认网络实体。

隐私保护中间件系统104的后端中间件系统114包括一个或多个处理器202、一个或多个接口204以及耦合至一个或多个处理器 202的诸如存储器206的存储器。在一个实施例中，所描述的后端中间件系统114可以由隐私保护中间件系统104的中间节点来实施。

一个或多个处理器202可以被实施为一个或多个微处理器、微计算机、微控制器、数字信号处理器、中央处理器、状态机、逻辑电路和/或基于操作指令对信号进行操控的任意设备。除其它能力之外，一个或多个处理器被配置为取得并执行存储器206中所存储的计算机可读指令。

图中所示出的包括被标记为“一个或多个处理器”的任何功能模块在内的各个组件的功能可以通过使用专用硬件以及能够关联于适当软件来执行软件的硬件而提供。当由处理器提供时，该功能可以由单个专用处理器、由单个共享处理器或者由多个个体处理器所提供，上述多个个体处理器中的一些可以是共享的。此外，术语“处理器”的明确使用并不应当被理解为排他地指代能够执行软件的硬件，而是可以隐含地包括数字信号处理器(DSP)硬件、网络处理器、应用特定集成电路(ASIC)、现场可编程门阵列(FPGA)、用于存储软件的只读存储器(ROM)、随机访问存储器(RAM)以及非易失性存储，但是并不局限于此。还可以包括其它常规和/或定制的硬件。

接口204可以包括各种软件和硬件接口，例如用于诸如键盘、用户界面屏幕和外部显示器之类的一个或多个外部设备的接口。在一种实施中，接口204可以将每个中间节点耦合至隐私保护中间件系统104的另一个中间节点。接口204还可以在包括诸如无线LAN(WLAN)、蜂窝或卫星之类的无线网络在内的各种网络和协议类型内促进与服务提供商110的通信。

存储器206可以包括本领域已知的任何计算机可读介质，例如包括诸如静态随机访问存储器(SRAM)和动态随机访问存储器 (DRAM)之类的易失性存储器，和/或诸如只读存储器(ROM)、可擦除可编程ROM、闪存、硬盘、光盘和磁带之类的非易失性存储器。存储器206包括模块208和数据210。除其它之外，模块208 包括执行特定任务或实施特定抽象数据类型的例程、程序、对象、组件、数据结构等。除其它之外，数据210用作存储一个或多个模块208所处理、接收和生成的数据的存储库。

模块208实施不同功能以对终端用户的私人和个人信息提供隐私保护。如之前所描述的，每个后端中间件系统114利用不同层来实施这样的功能。在一种实施中，模块208通过实例化各种架构而实施由不同层所实施的功能。

模块208进一步包括例如存储模块212、应用接口模块214、路由模块216、网络模块218以及其它模块220。其它模块220可以包括对后端中间件系统114上的逻辑和例程进行补充的程序。数据210 包括作为执行一个或多个模块208的结果所生成的数据，诸如兴趣群组id数据222、用户消费数据224和其它数据226。用户群组id 数据222可以涉及与后端中间件系统114针对相对应的中间节点所主控的兴趣群组相关联的信息。另外，用户消费数据224可以包括涉及与兴趣群组相关联的不同终端用户的数据。另外，其它数据226 可以包括其它模块220所生成的数据。

出于简单的原因，后端中间件系统114连同对应模块所实施的用以实施各种功能以及用以实例化相关联的架构的不同层已经在图 2(b)中进行了图示。虽然不同层的功能是关于某些模块进行描述，但是将要意识到的是，可以利用模块的组合来提供一个或多个所描述层的功能。另外，还将要意识到的是，比所描述更少的模块提供所描述层的功能。

结合对图2(b)的参考，后端中间件系统114包括不同的层，包括网络匿名化层250、路由和映射层252、API层254和持久存储层。网络匿名化层250使得终端用户的本地客户端112能够匿名地与隐私保护中间件系统104的中间节点进行通信，而并不要求进行其中仅有预期接收方能够对数据解密以便观看的数据加密。一方面，匿名化网络层250支持终端用户的匿名性，另一方面，其还允许后端中间件系统114匿名地向终端用户传递推送(PUSH)推荐。在一种实施中，匿名化层250可以以基于客户端/中继的路由机制为基础传输信息，上述路由机制允许瘦客户端也利用推荐服务同时中继支持繁重计算的临时信道。在一种实施中，网络模块218被配置为实施网络匿名化层所支持的功能的实施所需的架构。

路由和映射层252支持对对应于兴趣群组id的中间节点的确定。如之前所描述的，由于不同中间节点迎合不同兴趣群组并且每个中间节点用作兴趣群组的兴趣群组聚合器节点，所以路由和映射层252 支持对用于每个兴趣群组的兴趣群组聚合器节点的确定。在一种实施中，路由模块216实施路由和映射层所支持的功能的实施所需的架构。

类似地，API层254可以实现本地客户端和隐私保护中间件系统 104的中间节点之间的交互。在一种实施中，应用接口模块214可以实施架构和web服务以支持API层254的功能。另外，持久存储层 256可以基于终端用户的兴趣资料而存储其本地客户端112所提供的用户消费数据224。持久存储层256的实施可以允许隐私保护中间件系统104应对由于中间节点的修改和更新所导致的扰动。在另一种实施中，存储模块212可以被配置为实施用于支持终端用户的本地客户端112所提供的用户消费数据的存储的架构。

在操作中，终端用户的本地客户端112向隐私保护中间件系统 104的中间节点提供用户消费数据224以获得个性化内容和推荐服务。在一种实施中，网络模块218实例化诸如TOR的洋葱路由架构以支持终端用户的本地客户端与隐私保护中间件系统104的中间节点之间的匿名通信。另外，在一种实施中，应用接口模块214可以被配置为基于web服务实施各种API，以实例化终端用户的本地客户端与隐私保护中间件系统104的中间节点之间的交互。在所述实施中，应用接口模块214可以支持多个API，诸如作为网络服务的订阅(subscribe)、上传(upload)、接收推送推荐 (receive-PUSH-Recommendation)和查找拉取推荐 (look-up-PULL-Recommendation)API。

在一个示例中，为了提供终端用户的用户消费数据224，终端用户的本地客户端112可以将兴趣资料的分片连同与兴趣群组相关联的其它信息一起上传至隐私保护中间件系统104。为此，终端用户的本地客户端112可以调用隐私保护中间件系统104的中间节点上的 web服务上传API，其中每个中间节点实施后端中间件系统114。出于参考的目的，从终端用户接收兴趣资料的分片的中间节点被称作资料分片收集器以便进行信息交换。在一种实施中，本地客户端112 可以向隐私保护中间件系统104发送与一个兴趣群组相关联的完整用户消费数据224，在一个实例中该用户消费数据224包括该兴趣群组的兴趣资料的分片、与该兴趣群组相关的用户细节以及涉及该兴趣群组的用户偏好。在另一种实施中，本地客户端112可以在不同分段中以及在不同实例中发送与兴趣群组相关联的相同数据消费数据。

在一种实施中，为了上传兴趣资料的分片，中间节点可以被随机识别。例如，对于称作A的终端用户而言，为了将兴趣资料的分片上传至兴趣群组聚合器节点88，终端用户A的本地客户端112可以从多个中间节点中随机选择一个中间节点。在这样的情况下，终端用户A的本地客户端112可以选择主控兴趣群组200或者被称作兴趣群组聚合器节点200的中间节点。将要意识到的是，兴趣群组聚合器节点200将被称作该用户的资料分片收集器。因此，终端用户A的本地客户端112可以将兴趣资料的分片上传至主控兴趣群组 200的资料分片收集器。还将要意识到的是，在终端用户的本地客户端112与隐私保护中间件系统104之间的不同通信期间，用作该用户的资料分片收集器的中间节点可以随机变化并且可以匿名确定。例如，对于终端用户A，在向兴趣群组聚合器节点200上传了与兴趣群组88相关联的兴趣资料的分片之后，终端用户A的本地客户端 112可以再次上传兴趣资料的另一个分片。兴趣资料的第二分片现在可能与另一个兴趣群组500相关联。为了上传兴趣资料的第二分片，终端用户A的本地客户端112现在可以随机将主控兴趣群组17的另一个中间节点或者兴趣群组聚合器节点17识别为其资料分片收集器。

另外，在用于兴趣群组聚合器节点88的兴趣资料的分片由兴趣群组聚合器节点200所接收，或者用于兴趣群组聚合器节点500的兴趣资料的第二分片由兴趣群组聚合器节点17所接收的情形中，兴趣资料的相应分片可以由路由和映射层252的路由模块216基于DHT路由机制转发至相关兴趣群组聚合器节点。路由机制的细节随后在描述中进行指定。

在另一种实施中，为了上传终端用户的兴趣资料的片段，中间节点可以被专门分配至每个终端用户，并且终端用户的本地客户端 112可以仅通过所分配的中间节点调用API。另外，在本主题的又另一种实施中，一个特定的中间节点可以针对终端用户和隐私保护中间件系统104之间的每个通信而被分配所有终端节点的资料分片收集器。

在本主题的一种实施中，被随机识别为要被提供以终端用户的兴趣资料的分片的中间节点由本地客户端112进行联系。如之前所描述的，为了支持终端用户与中间节点之间的匿名通信以及为了保护终端用户的隐私，终端用户与隐私保护中间件系统104之间的通信基于网络匿名化层250所实例化的架构。在所述实施中，网络模块218可以实例化用于匿名通信的TOR架构并且通过TOR技术接收终端用户的兴趣资料的分片。

例如，终端用户的本地客户端112可以通过TOR服务器、基于 TOR技术将终端用户A的兴趣资料的分片转发至随机识别的资料分片收集器。本领域技术人员将会理解的是，TOR技术通过采用多个中间的跳跃和路由服务器而在两个实体之间提供信息的匿名交换。由于该信息通过加密信道进行交换，所以这一方面为信息提供了安全性；并且另一方面并非必须对信息进行加密，这支持了各种各样的应用和商业模型。

在一种实施中，用于在终端用户和中间节点进行通信的TOR服务器可以由隐私保护中间件系统104的各种中间节点自身来实施。在另一种实施中，全球可用的TOR服务器可以被用于终端用户和隐私保护中间件系统104之间的通信的用途。

本地客户端112通过TOF服务器发送至资料分片收集器的终端用户的兴趣资料的分片由后端中间件系统114中的网络模块218通过TOR覆盖的出口节点所获得。如之前所描述的，兴趣资料的分片随后可以被路由模块216路由至兴趣群组聚合器节点。在一种实施中，路由和映射层252使得信息能够从一个中间节点路由至另一个中间节点。在一种实施中，路由和映射层252的路由模块216可以基于用于路由信息的DHT路由技术而实例化架构。例如，在针对终端用户A的情况下，与兴趣群组88相关联并且意在用于兴趣群组聚合器节点88的兴趣资料的片段被兴趣群组聚合器节点200 所接收，路由模块216可以基于DHT路由通过架构将该兴趣资料分片转发至兴趣群组聚合器节点200。由于DHT路由的机制是本领域已知的，所以出于简明的原因而省略了该机制的细节。

如之前所描述的，由中间节点所实施的后端中间件系统的持久存储层256可以允许对从终端用户所接收的信息进行存储。当通过路由模块216从不同资料分片收集器接收到包括资料信息的分片的用户消费数据时，兴趣资料聚合器节点可以通过持久存储层256存储该信息。存储模块212例如可以实施诸如CASSANDRA架构的连同持久存储能力一起支持分散式方法的架构，以允许进行信息的存储。

可能出现其中隐私保护中间件系统104的一个或多个不同中间节点无法主控其相应中间群组的情形。在这样的情形中，由这些中间节点所存储的用户消费数据224可能丢失并且提供个性化内容和推荐服务的服务能够会中断。因此，在一个实施例中，每个中间节点的存储模块212存储不同终端用户的用户消费数据。

在一种实施中，除了以用户消费数据224进行存储之外，与一个特定兴趣群组相关联的不同用户的用户消费数据224被划分并且还通过多个中间节点进行复制。信息的划分以及复制确保消除了单点故障的情形。将要意识到的是，信息的划分和复制针对任意一个中间节点确保了不会获得另一个中间节点的整个用户消费数据224，因此消除了联系能力攻击的机会。

持久存储层256的实施可以允许隐私保护中间件系统104应对由于隐私保护中间件系统104中的中间节点的修改和更新所导致的扰动。

在操作中，主控特定兴趣群组的每个中间节点可以针对未来的实例而存储不同用户的用户消费数据，诸如在用户消费数据被中间节点丢失时或者在中间节点并未关机且另一个中间节点发起了群组主控时。在这样的情况下，通过持久存储层数据从中间节点获取用户消费数据可以允许快速且轻松的核对而不用再次从所有终端用户接收用户消费数据。换句话说，在扰动之下，新的中间节点应当能够获取之前上传的兴趣群组的用户消费数据。

然而，在一种实施中，为了防止诸如在不同群组中的出现少见 URL之类的联系能力攻击，用户消费数据可以被分割并存储在不同的中间节点上，而使得没有单个中间节点会接收到另一个中间节点的整个用户消费数据而看到贯穿该群组的整个持久用户消费。在所述实施中，为了确保存储在不同中间节点处的用户消费数据的完整性，中间节点在存储数据消费数据之前也可以基于群组的对称加密密钥对数据进行加密，其中跨不同中间节点进行存储的用户消费数据仅能够通过该兴趣群组的中间节点所持有的群组对称加密密钥进行解密。

将要进一步意识到的是，在数据损坏或者中间节点处的数据丢失的情况下，中间节点可以基于可用的群组对称加密密钥从不同中间节点恢复用户消费数据。然而，在中间节点关机且并不工作的情况下，假设该关机中间节点主控兴趣群组的任意其它节点应当拥有该群组的对称加密密钥以通过持久存储层从不同中间节点恢复用户消费数据。出于该目的，每个中间节点也可以将群组对称密钥传输至一个或多个合格中间节点副本，即，使用DHT复制协议、按照 DHT协议被指定的副本，而使得有关主控关机中间节点的兴趣群组的合格中间节点副本可以获取之前所聚合的群组消费。

为了改善针对获取若干群组对称密钥的中间节点副本的弹性，并且假设合格副本的角色，整合额外的校验以确保与处理群组的对称密钥的任意中间节点副本相比仅由首要的中间节点副本进行访问。出于该目的，查询用户消费数据的中间节点可以给出DHT邻居证书以用作兴趣群组的兴趣群组聚合器节点。该DHT邻居证书能够通过对所报告的邻居进行审计而动态验证。这种与标准DHT路由安全性机制耦合的机制防止了单个中间节点看到大量群组的用户消费数据，由此防止了联系能力攻击。

在一种实施中，持久存储层256可以实施CASSNDRA架构而跨隐私保护中间件系统102的多个不同中间节点存储中间节点的用户消费数据。

另外，实施通过不同的多个中间节点划分数据且复制数据的 CASSANDRA架构的存储模块212允许基于群组的对称密钥而在后一种情形中进行数据聚合。这允许新的中间节点利用用户消费数据 224的最小损失而继续兴趣群组的主控。例如，在一种情形中，其中中间节点无法主控兴趣群组，即用于兴趣群组544的兴趣群组聚合器节点554。在这样的情形中，与兴趣群组554相关联的用户消费数据224将基于CASSADRA架构而利用隐私保护中间件系统104的其它中间节点进行存储。在新的中间节点接管了兴趣群组聚合器节点 544的情况下，该中间节点将基于CASSANDRA架构而从其它中间节点被提供以与兴趣群组544相关联的用户消费数据。

在另一种实施中，兴趣资料聚合器节点也可以向终端用户提供信息。该信息可以在兴趣资料聚合器节点通过匿名查找过程从终端用户接收到新的或经更新的用户消费数据224的情况下被提供，或者在兴趣资料聚合器节点希望向终端用户提供(推送)信息的任意后续情况下被提供。

在兴趣资料聚合器节点通过匿名查找过程从终端用户接收到新的或经更新的用户消费数据224的情况下，最终接收新的或经更新的用户消费数据224的兴趣资料聚合器节点可以通过向终端用户提供个性化内容和推荐服务进行响应。将要理解的是，最终接收新的或经更新的用户消费数据224的兴趣资料聚合器节点可以是主控与用户消费数据224相关联的群组的中间节点。例如，当终端用户A 的本地客户端112可以将终端用户A的更新位置提供至随机选择的资料分片收集器即资料分片收集器时，该资料分片收集器的路由模块216可以将终端用户A的更新位置路由至主控该更新位置的兴趣资料的适当兴趣资料聚合器节点，即兴趣资料聚合器节点α。在这样的情形中，兴趣资料聚合器节点α可以提供与更新位置附近的感兴趣弟弟啊你相关的推荐服务。出于该目的，兴趣资料聚合器节点α的应用接口模块214可以对要提供至终端用户A的所需信息进行核对，并且兴趣资料聚合器节点α的路由模块216可以将经核对的信息路由至资料分片收集器资料分片收集器218的网络模块218 随后可以通过多个TOR服务器基于TOR机制将经核对的信息提供给终端用户A。

类似地，兴趣资料聚合器节点甚至还可以在未接收到终端用户的任何更新用户消费数据224时基于之前可用的用户消费数据224 向终端用户提供信息。这样的情形可以包括在每个常规时间间隔实例之后提供信息，提供订阅信息，基于其它持有类似兴趣的终端用户所更新的兴趣和喜好向用户提供推荐。然而，由于隐私保护中间件系统104允许终端用户与中间节点进行匿名通信，所以终端用户的身份并不被中间节点所知，并且基于终端用户的身份直接向他们提供信息或者在终端用户和资料分片收集器之一之间没有已经建立的链路的情况下向他们提供信息是不可能的。

因此，在这样的情况下，为了独立地与终端用户进行通信，API 层254和网络匿名化层250可以通过分别在用户的本地客户端和后端中间件系统114实例化TOR客户端和TOR隐藏服务器而采用TOR 隐藏服务。在操作中，兴趣资料聚合器节点的应用接口模块214可以调用推送(PUSH)web服务API。另外，在实例化PUSH API后，兴趣资料聚合器节点的网络模块218可以调用基于兴趣资料聚合器节点的本地SOCKS代理的TOR机制以与终端用户的本地客户端112 中的TOR隐藏服务器进行通信。本领域技术人员将要理解的是，TOR 机制以及允许用户互相匿名通信也允许用户运行TOR隐藏服务器以匿名接收信息。因此，网络模块218与本地客户端112所运行的TOR 隐藏服务器进行通信以对本地客户端112的接收推送推荐web服务 API进行调用。所要通信的本地客户端112基于与本地客户端112 首次调用订阅(subscribe)API时提供给兴趣群组聚合器节点的与本地客户端112相关联的邮箱id进行识别。因此，将要意识到的是，从未调用过订阅API以向兴趣群组聚合器节点提供任意信息的终端用户的本地客户端112将无法从兴趣群组聚合器节点直接接收信息。

基于以上所描述的系统和方法，隐私保护系统102允许在提供个性化内容和推荐服务的同时对终端用户进行隐私保护。隐私保护系统102通过使用加密信道而允许终端用户的匿名性，而并不需要数据加密并且因此限制应用和商业模型的使用。隐私保护系统102还通过实施分散式和分布式机制而消除了对终端用户进行联系能力攻击的可能性。另外，隐私保护系统102允许瘦客户端的使用，同时支持诸如LBS、推荐系统和OSN之类的各种应用场景。

图3图示了根据本主题的实施例的用于向终端用户提供隐私保护的方法300。对方法300进行描述的顺序并非意在被理解为限制，并且任意数量的所描述的方法框能够以任意顺序进行组合以实施方法300或者任何可替换方法。此外，个别框可以从方法中删除而并不背离这里所描述的主题的精神和范围。此外，该方法能够以任意适当的硬件、软件、固件或者其组合来实施。

该方法可以在计算机可执行指令的一般环境中进行描述。通常，计算机可执行指令可以包括执行特定功能或者实施特定抽象数据类型的例程、程序、对象、组件、数据结构、过程、模块、函数等。该方法还可以在分布式计算环境中进行实践，其中功能由通过通信网络进行链接的远程处理设备来执行。在分布式计算环境中，计算机可执行指令可以位于本地和远程的计算机存储媒体中，包括存储器存储设备。

本领域技术人员将容易认识到，方法的步骤能够由编程计算机来执行。这里，一些实施例还意在覆盖程序存储设备，例如数字数据存储媒体，其是机器或计算机可读的并且对指令的机器可执行货计算机可执行程序进行编码，其中所述指令执行所描述方法的一些或全部步骤。程序存储设备例如可以是数字存储器、诸如磁盘和磁带的磁性存储媒体、硬盘，或者可光学读取的数字数据存储媒体。实施例还意在覆盖被配置为执行示例性方法的所述步骤的通信网络和通信设备。

参考图3，该方法可以由根据本主题的实施方式的隐私保护中间件系统102所实施。在框302，可以通过匿名路由数据的各种机制从多个终端用户之一的本地客户端接收用户消费数据。在一个示例中，用户消费数据通过诸如洋葱路由之类的基于客户端/中继的机制被接收。在一种实施中，洋葱路由(TOR)机制可以被用来允许本地客户端和中间节点之间的匿名通信。用户消费数据可以包括兴趣资料的分片、与该分片相关联的兴趣群组id、终端用户的偏好等。用户消费数据可以基于终端用户的各种订阅、嗜好和活动而表明用户的兴趣。在一种实施中，从终端用户的本地客户端接收的用户消费数据是通过TOR机制并且从TOR出口服务器接收的。另外，用户消费数据可以由多个中间节点中被称作资料分片收集器的随机中间节点接收。在另一种实施中，用户消费数据可以在终端用户采用诸如LBS、OSN、IPTV和IP多媒体系统(IMS)之类的各种应用的同时被接收。

在框304，资料分片收集器所接收的用户消费数据基于分布式散列表(DHT)路由机制而被路由至相关联的兴趣群组聚合器节点。该DHT路由机制可以允许中间节点之间的匿名信息路由。由于不同兴趣群组由不同中间节点所主控，所以随机选择的资料分片收集器所收集的用户消费数据被路由至主控与用户消费数据相关联的兴趣群组的兴趣群组收集器节点。在一种实施中，该路由可以通过实施 DHT路由机制的架构而得到支持。

在框306，用户消费数据被存储在兴趣群组聚合器节点。在一种实施中，用户消费数据被存储在兴趣群组聚合器节点并且相对应地存储在一个或多个中间节点而使得在扰动的情况下，新的兴趣群组聚合器应当能够获取该兴趣群组之前所更新的用户消费数据。另外，所存储的用户消费数据是使得每个聚合器节点仅能够访问其自己的兴趣群组的用户消费数据。换句话说，为了防止联系能力攻击，确保没有单个中间节点能够访问跨另一个兴趣群组的整个持久消费数据。

通过复制对用户消费数据所进行的存储允许使得中间节点之间的扰动最小化并且还确保了消除单点故障的情形。在操作中，为了在不同的中间节点存储用户消费数据，用户消费数据可能基于群组的对称加密密钥进行分割和加密，其中跨不同中间节点所存储的用户消费数据仅能够通过该兴趣群组的中间节点所持有的群组对称加密密钥进行解密。

将要进一步意识到的是，在由于中间节点处的数据损坏或数据丢失所导致的扰动情形中，中间节点可以基于可用的群组对称加密密钥而从不同中间节点恢复用户消费数据。然而，在中间节点关机且并不工作的情况下，假设主控关机的中间节点的兴趣群组的任意其它节点应当拥有群组对称加密密钥以从不同中间节点恢复用户消费数据。为此，每个中间节点可以将群组的对称密钥传输至一个或多个合格的中间节点副本，即，使用DHT复制协议、按照DHT协议被指定的副本，而使得有关主控关机中间节点的兴趣群组的合格中间节点副本可以获取之前所聚合的群组消费。

在一种实施中，还可以基于架构在多个中间节点中的一个或更多个中间节点复制用户消费数据。在如之前所描述的一种实施方式中，通过一个或多个中间节点进行所分隔的用户消费数据的复制以确保能够从单个联系点的故障进行恢复的能力。另外，允许应对中间节点之间由于多个中间节点中的修改所导致的扰动。

在框308，个性化内容和推荐服务被提供至终端用户。在一种实施中，为了提供个性化内容和推荐服务，信息通过TOR隐藏服务被提供至终端用户的本地客户端。在另一种实施中，信息在通过匿名查找过程从终端用户接收到新的或经更新的用户消费数据时被提供。在通过匿名查找过程接收新的或经更新的用户消费数据的情况下，兴趣群组收集器节点可以将该信息提供至通过其接收所更新的用户消费数据的资料分片收集器，以便其被提供至终端用户。

虽然已经以特定于结构特征和/或方法的语言对针对终端用户的私人和个人信息提供隐私的方法和系统的实施例进行了描述，但是所要理解的是，本发明并非必然被局限于所描述的具体特征或方法。相反，具体的特征和方法作为用于终端用户的隐私保护的示例性实施例而被公开。

Claims (17)

1.一种用于网络中的终端用户的隐私保护的方法，所述方法包括：

接收与一个或多个终端用户相关联的用户消费数据，其中所述用户消费数据至少包括兴趣资料的分片以及所述兴趣资料的分片的关联兴趣群组标识，并且其中所述用户消费数据通过网络匿名化层被接收；以及

基于分布式散列表DHT路由机制将所述用户消费数据路由至多个中间节点中的兴趣群组聚合器节点，并且其中所述兴趣群组聚合器节点与所述用户消费数据中存在的兴趣群组标识相关联。

2.根据权利要求1所述的方法，其中所述网络匿名化层基于洋葱路由架构，其中所述洋葱路由架构在所述一个或多个终端用户的本地客户端和所述多个中间节点之间提供匿名通信。

3.根据权利要求1所述的方法，所述方法进一步包括通过应用编程接口API层、基于简单对象访问协议SOAP而从所述一个或多个终端用户中的终端用户的本地客户端接收指令，其中所述本地客户端利用web服务API来发送所述指令，并且其中所述指令指示与所述终端用户相关联的信息。

4.根据权利要求1所述的方法，其中将所述用户消费数据路由至所述兴趣群组聚合器节点基于实施所述DHT路由机制的PASTRY架构，其中所述PASTRY架构在所述多个中间节点之间提供数据的路由。

5.根据权利要求1所述的方法，其中所述接收包括通过从所述多个中间节点中随机选择的资料分片收集器节点从所述一个或多个终端用户中的终端用户的本地客户端收集所述用户消费数据。

6.根据权利要求1所述的方法，其中所述方法进一步包括至少基于所接收的用户消费数据而向所述一个或多个终端用户中的终端用户的本地客户端提供信息，其中所述信息指示基于所述用户消费数据而向所述终端用户提供的个性化内容和推荐服务。

7.根据权利要求6所述的方法，其中所述信息由所述兴趣群组聚合器节点基于去往所述本地客户端所运行的洋葱路由器TOR隐藏服务器的TOR隐藏服务而提供给所述本地客户端。

8.根据权利要求1所述的方法，其中所述方法进一步包括：

通过匿名信道从所述一个或多个终端用户中的终端用户的本地客户端接收匿名查找调用，其中所述匿名查找调用由所述多个中间节点中的随机中间节点接收；以及

经由所创建的前向匿名信道上的反向路径，通过所述随机中间节点向所述本地客户端提供信息。

9.一种用于保护网络中的终端用户的隐私的隐私保护系统(102)，所述隐私保护系统(102)包括能够连接至至少一个本地客户端(112)的隐私保护中间件系统(104)，其中所述隐私保护中间件系统(104)包括多个中间节点，至少一个中间节点实施后端中间件系统(114)，所述后端中间件系统(114)包括：

处理器(202)；以及

耦合至所述处理器(202)的存储器(206)，所述存储器(206)包括：

网络模块(218)，被配置为从至少一个终端用户的所述至少一个本地客户端(112)接收用户消费数据，其中所述用户消费数据(224)至少包括兴趣资料的分片以及所述兴趣资料的分片的关联兴趣群组标识，并且其中所述用户消费数据(224)通过网络匿名化层(250)被接收；以及

路由模块(216)，被配置为基于分布式散列表DHT路由机制将所述用户消费数据(224)路由至所述多个中间节点中的兴趣群组聚合器节点，其中所述兴趣群组聚合器节点与所述用户消费数据(224)的所述兴趣群组标识相关联。

10.根据权利要求9所述的隐私保护系统(102)，其中所述网络模块(218)被配置为基于洋葱路由器TOR机制来交换信息。

11.根据权利要求9所述的隐私保护系统(102)，其中所述存储器(206)进一步包括应用接口模块(214)，所述应用接口模块(214)被配置为通过应用编程接口API层(254)、基于web服务而从所述至少一个本地客户端接收指令，其中所述指令指示与所述终端用户相关联的信息。

12.根据权利要求11所述的隐私保护系统(102)，其中所述应用接口模块(214)支持订阅、上传、接收推送推荐和查找拉取推荐API中的至少一个。

13.根据权利要求9所述的隐私保护系统(102)，进一步包括存储模块(212)，所述存储模块(212)被配置为通过持久存储层(256)来存储所述用户消费数据(224)以应对由于所述多个中间节点中的修改所导致的扰动。

14.根据权利要求13所述的隐私保护系统(102)，其中所述存储模块(212)进一步被配置为：

基于群组的对称加密密钥对用户消费数据的分段进行加密；并且将所加密的分段存储在所述多个中间节点中的一个或多个中间节点上，以通过所述一个或多个中间节点复制所述用户消费数据。

15.根据权利要求14所述的隐私保护系统(102)，其中所述群组的对称加密密钥对于所述多个中间节点中的每个中间节点是唯一的，并且其中每个中间节点的所述群组的对称加密密钥被复制到所述一个或多个中间节点。

16.根据权利要求9所述的隐私保护系统(102)，其中所述网络模块(218)进一步被配置为通过所述至少一个本地客户端(112)的洋葱路由器TOR隐藏服务器、基于TOR隐藏服务而向所述至少一个本地客户端(112)提供信息，并且其中所述网络模块(218)和所述TOR隐藏服务器之间的通信基于与所述至少一个本地客户端(112)相关联的邮箱标识。

17.一种计算机可读介质，具有记录于其上的用于执行方法的计算机可读程序代码，所述方法包括：

接收与一个或多个终端用户相关联的用户消费数据，其中所述用户消费数据至少包括兴趣资料的分片以及所述兴趣资料分片的关联兴趣群组标识，并且其中所述用户消费数据通过网络匿名化层被接收；以及

基于分布式散列表DHT路由机制将所述用户消费数据路由至多个中间节点中的兴趣群组聚合器节点，并且其中所述兴趣群组聚合器节点与所述用户消费数据中存在的兴趣群组标识相关联。