CN105531736B - 在多用户计算系统中发布并移除属性 - Google Patents
在多用户计算系统中发布并移除属性 Download PDFInfo
- Publication number
- CN105531736B CN105531736B CN201480047321.5A CN201480047321A CN105531736B CN 105531736 B CN105531736 B CN 105531736B CN 201480047321 A CN201480047321 A CN 201480047321A CN 105531736 B CN105531736 B CN 105531736B
- Authority
- CN
- China
- Prior art keywords
- user
- attribute
- attributes
- logic
- dimension
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
- G06Q30/0241—Advertisements
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Accounting & Taxation (AREA)
- Development Economics (AREA)
- Finance (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Economics (AREA)
- Marketing (AREA)
- General Business, Economics & Management (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Entrepreneurship & Innovation (AREA)
- Bioethics (AREA)
- Game Theory and Decision Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Tourism & Hospitality (AREA)
- Data Mining & Analysis (AREA)
- Operations Research (AREA)
- Computing Systems (AREA)
- Human Resources & Organizations (AREA)
- Primary Health Care (AREA)
Abstract
本公开的实施例涉及在多用户计算系统中发布和/或移除属性。在某些实施例中,与多用户计算系统相关联的消费者信息管理器(CIM)可从维度权威机构(DA)接收该计算系统的已经在该计算系统中发布属性的用户种群计数减少的通知并且可确定该用户是否已经发布该属性。响应于接收到该减少通知并且确定该用户已经发布该属性,该CIM可确定该属性的继续发布将实现标识该用户的可能性、将该可能性与阈值进行比较并且当该可能性超过该阈值时从发布移除该属性。可公开和/或要求保护其他实施例。
Description
相关申请的交叉引用
本申请涉及于2013年9月24日提交的标题为“在多用户计算系统中发布并移除属性(PUBLICATION AND REMOVAL OF ATTRIBUTES IN A MULTI-USER COMPUTING SYSTEM)”的美国专利申请号14/035,559,的优先权,该申请的全部内容通过引用结合在此。
技术领域
本公开的实施例总体上涉及数据处理领域并且更具体地涉及用于提供匿名上下文信息并生成有针对性内容的技术和配置。
背景技术
在此提供的背景描述是为了总体上展现本公开的上下文的目的。就在该背景部分中描述的以及可不在提交时以其他方式作为现有技术有资格的说明书的方面的程度而言,所列出的发明人的工作既不明确地也不隐含地被解释为与本公开相抵触的现有技术。除非以其他方式在此指示的,在该部分中描述的方法不是本公开中的权利要求书的现有技术并且不应因为被包括在该部分中而被认为是现有技术。
计算设备用户可有意地或无意地将与用户相关的信息或可用于标识或定位用户的计算设备通过计算机网络披露给各实体,包括但不限于个人信息、活动、倾向、计算环境、关系(例如,与人、地点或事物)、计算设备、物理环境、从计算设备传感器捕获的信息(或从该信息得出的推论)、偏好、行为模式和/或用于标识或理解用户以及他或她的兴趣的任何其他信息(统称为“上下文信息”)。
进而,诸如商品/服务的广告商或提供商等实体可提供目标为该用户的内容。该用户可通过具有与更可能相关或令人期望的内容的更好体验而从这种个性化内容获益。诸如广告商和提供商等实体可获益,因为用户比不具有针对性内容更可能地参与有针对性内容。然而,用户可能希望保护其隐私。将个人或上下文信息通过计算机网络公开给一个或多个实体可实现对用户进行个人标识和/或其他不令人期望的副作用(诸如用户的精确位置)。这种隐私丢失可导致损害用户的声誉、财务幸福和/或安全。
附图说明
将结合附图通过以下详细描述容易地理解实施例。为了方便本描述,相同的参考标号指示相同的结构元素。通过举例而非通过限制在附图的图式中示出实施例。
图1示意性地示出根据各个实施例的示例电子商务系统。
图2示意性地示出根据各个实施例可由在消费者设备上实现的示例方法。
图3示意性地示出根据各个实施例的示例电子商务交换。
图4示意性地示出根据各个实施例其中消费者设备使用发布订阅服务器发布匿名上下文信息的示例发布订阅交换。
图5示意性地示出根据各个实施例在消费者设备与维度权威机构之间的示例认证和维度提供会话。
图6示意性地示出根据各个实施例的另一个示例电子商务交换。
图7示意性地示出根据各个实施例可由内容生成或提供实体实现的示例方法。
图8示意性地示出根据各个实施例其中消费者设备订阅通道以及内容提供商注册以便向该通道发布的另一个示例发布订阅交换。
图9示意性地示出根据各个实施例被配置成用于后发布监控的示例消费者信息管理器。
图10示意性地示出根据各个实施例被配置成用于后发布监控的示例维度权威机构。
图11示意性地示出根据各个实施例可由消费者设备实现的用于后发布监控的示例方法。
图12示意性地示出根据各个实施例可由维度权威机构实现的用于后发布监控的示例方法。
图13示意性地示出根据一个实现方式的计算设备。
详细描述
在以下详细描述中,参考形成其一部分并且通过可实践的说明实施例示出的附图,其中,相同的标号指示相同的部件。应当理解可使用其他实施例以及可在不背离本公开的范围的情况下做出结构或逻辑改变。因此,不应以限制性的意义解释以下详细描述,并且实施例的范围由所附权利要求书及其等效方案定义。
各操作可被描述为按顺序的多个离散动作或操作,其方式为最有助于理解所要求保护的主题。
然而,描述的顺序不应被解释为暗示这些操作必需依赖于顺序。具体而言,可不按展示顺序执行这些操作。可以用不同于所描述的实施例的顺序执行所描述的操作。可执行各附加操作和/或可在附加实施例中忽略所描述的操作。
为了本公开的目的,短语“A和/或B”是指(A)、(B)、或(A和B)。为了本公开的目的,短语“A、B和/或C”是指(A)、(B)、(C)、(A和B)、(A和C)、(B和C)或(A、B和C)。
本描述可使用短语“在实施例中(in an embodiment)”或“在实施例中(inembodiments)”,其可各自指代相同或不同实施例中的一个或多个。此外,如结合本公开的实施例所使用的,术语“包括(comprising)”、“包括(including)”、“具有(having)”等等是同义的。
如在此所使用的,术语“框”、“模块”和/或“逻辑”可指代、作为其一部分、或包括特定用途集成电路(“ASIC”)、电子电路、执行一个或多个软件或固件程序的处理器(共享、专用或分组)和/或存储器(共享、专用或分组)、组合式逻辑电路、和/或其他合适的提供所描述的功能性的组件。“实体”可指代被配置成用于与其他实体交互的硬件或软件的任何组合,诸如客户端服务器应用(例如,超文本传输协议或“HTTP”服务器)的服务器部分、应用功能、web服务等等。如在此所使用的,如果一个组件的输出信号被提供作为到另一个组件的输入信号,这两个组件可被认为“耦合”,通过或不通过可或可不变换或以其他方式处理该输出信号的一个或多个中间组件。
参照图1,示例电子商务系统100可包括在经由一个或多个计算机网络(未在图1中具体地标识)彼此通信的一个或多个计算设备上操作的一个或多个实体。电子商务系统100可以是例如云服务,该服务提供可包括但不限于软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)或硬件即服务(HaaS)。各个实体和计算设备可包括操作全部或部分地由消费者设备102提供的计算环境以便与电子商务系统100的各个其他计算设备交互的用户(未示出,也被称为“消费者”,尤其在电子商务的上下文中)。在此公开的经常用对电子商务应用的引用示出的技术和配置可应用于任何合适的多用户计算系统。
在各个实施例中,“与用户相关联的计算环境”可指与用户相关联的一个或多个物理计算设备(例如,由该用户或与该用户具有关系的某个人操作和/或拥有)和/或由一个或多个计算设备提供给一个或多个用户的功能。例如,可例如由服务器群的一个或多个服务器向用户提供对虚拟机的控制,该虚拟机自身为该用户提供软件操作环境(例如,操作系统和一个或多个应用)。在这种场景中,执行该虚拟机的该一个或多个服务器、该虚拟机自身和/或在该虚拟机上可用的任何应用可一起被认为是与该用户相关联的计算环境。
消费者设备102可以是处理数据的任何设备,包括但不限于膝上计算机、上网本计算机、笔记本计算机、超极本计算机TM、智能电话、平板计算机、个人数字助理(“PDA”)、超移动PC、移动电话、桌上计算机、服务器、打印机、扫描仪、监视器、机顶盒、娱乐控制装置(例如,游戏控制台)、数码相机、便携式音乐播放器、数字录像机、服务器的一部分、云服务等等或这种资源的分布式集合。尽管在此重复地被称为“消费者”设备,这不旨在将实施例仅限制到由消费者用于购买商品或服务的设备。可为计算设备或还用于其他目的的计算环境生成有针对性内容。
消费者设备102可通过各个计算设备访问电子商务系统100,这些计算设备借助于联网通信还可被称为“节点”。在图1中,例如,消费者设备102可通过交换节点(也被称为“电子商务交换”)104访问电子商务系统100。交换节点104可以是被配置成向消费者设备102的用户提供门户的实体。在某些实施例中,该门户可提供一个或多个网页,该一个或多个网页提供到交换节点104所提供的内容或其他实体所提供的内容的一个或多个链接。该用户可使用在消费者设备102上执行的消费者应用105(诸如web浏览器)导航这些网页和链接。在其他实施例中,该门户可提供使得用户能够消费各个内容(诸如视频)的接口。
门户可具有各种类型。在某些实施例中,交换节点104可提供使得用户能够从多个供应商购买产品和/或服务的电子商务门户。在某些实施例中,交换节点104可提供更通用的门户,该更通用的门户提供对来自供应商、新闻机构、金融服务、各个兴趣小组(例如,技术或文化机构)等等的内容的访问。在各个实施例中,交换节点104可提供包括搜索引擎接口的门户。在各个实施例中,交换节点104可包括目标为特定用户的内容,例如,作为图形用户接口的一部分上的广告。
供应商106可以是购买、提供购买、销售、提供销售和/或与系统的其他实体交换商品或服务的任何实体。供应商106还可生成和/或提供目标为用户、直接给消费者设备102或通过一个或多个其他实体的内容,如以下将描述的。在各个实施例中,内容聚合器108可充当供应商106和供应商与其购买/销售产品/服务的其他实体之间的“中间人”。例如,内容聚合器108可例如当由交换节点104请求时存储供应商106所生成的有针对性内容并且使得其可用。
在传统的电子商务和其他系统中,诸如供应商106、广告商(未示出)等等的实体可基于从消费者设备102接收的上下文信息生成有针对性内容。例如,供应商106可使用用户的各个个人信息(例如,姓名、地址、社会保障号、财务信息、人口统计信息、位置等等)跟踪用户的浏览历史、购买历史、赠品兑换历史等等基于此跟踪信息,供应商106可生成目标为该用户的内容,诸如广告、赠品和优惠券。
有针对性内容可处于各种形式并且可被呈现给用户以便以各种方式消费。在各个实施例中,有针对性内容可包括经由电子邮件、简单消息服务(“SMS”)、多媒体消息服务(“MMS”)、结合到网页上的广告(例如,横幅广告)等等交换的内容。在各个实施例中,内容可处于各种格式,包括但不限于音频、视频、音频和视频的组合、视觉、言语、图片等等。在其中交换节点104操作网页门户的某些实施例中,有针对性内容可处于横幅广告、弹窗等等的形式。在其中交换节点104操作视频门户的某些实施例中,有针对性内容可处于散布在其他视频内的视频广告的形式。
有针对性内容的生成和提供可使供应商106和其他实体获益,因为与非针对性内容相比,用户可能更有可能参与有针对性内容。接收到有针对性内容可使用户获益,因为通过增加用户消费的内容的可能性将与用户相关/感兴趣和/或通过减少用户消费的内容的可能性将不相关(例如,垃圾邮件)。
用户的用于生成/提供有针对性内容的个人信息可存储在网络上的多个位置。例如,用户从其购买商品或服务的多个供应商可具有用户的个人数据的拷贝。用户可能被迫依赖于这些多个供应商所采用的安全和其他保障措施以便防止将用户的个人信息未授权披露给第三方。用户的个人信息具有越多位置,这些位置中的至少一个位置将不能充分地保护该信息的风险就越多。而且,一旦用户的个人信息存储在网络上的一个或多个位置,可能难以从该网络移除该用户的个人信息。
相应地,在各个实施例中,消费者设备102可不公开用户的个人信息以便促成例如由供应商106生成有针对性内容。而是,消费者设备102可被配置成用于向被配置成用于提供有针对性内容的一个或多个远程计算设备提供或以其他方式公开与消费者设备102或消费者设备102的用户相关联的“匿名上下文信息”。
在各个实施例中,匿名上下文信息可包括一个或多个“维度”。在各个实施例中,维度可包括该用户或与该用户相关联的计算环境的属性以及共享该属性的用户或计算环境的种群计数。与用户相关联的计算环境的属性可包括与该用户相关联的一个或多个物理计算设备(例如,由该用户与该用户具有关系的某个人操作和/或拥有)的属性、被提供以便由该用户或与该用户具有关系的某个人使用的虚拟机的属性、与该用户相关联的软件(例如,由该用户与该用户具有关系的某个人操作和/或拥有)的属性、由于该用户或与该用户具有关系的某个人相关联的计算设备所感测的上下文数据(例如,温度、速度、位置等等)等等。
维度以及更具体地维度属性可被选择性地公开以便促成为消费者设备102或其用户生成和/或提供有针对性内容而不实现用户标识。在各个实施例中,维度属性单独地或结合其他维度属性可充当用户参与某些内容的意愿的指示符。
在各个实施例中,维度可被表达为元组,<属性,种群计数>。例如,计算环境可具有维度<“iPhone”,37M>,这意味着用户在操作iPhone并且当前存在三千七百万iPhone用户。在各个实施例中,属性自身可以是测量(例如,“iPhone”)或元组(<属性,测量>)(替代性地表达为属性.测量)例如,计算设备可具有维度<位置.波兰,1.3M>。如在此所使用的,术语“维度属性”和“属性”和指独立属性(例如,“iPhone”)或属性.测量元组(例如,电话类型.iPhone)。
在某些实施例中,维度可被表达为例如独立维度属性的本体论或分类学。例如,维度分类学可被表达为“汽车->福特->皮卡->红色”。每个属性测量(除了汽车)可以是其左侧的值的专业化,并且可具有相关联的种群计数(例如,拥有共享该维度属性的车辆的用户的)。
在各个实施例中,消费者设备102可包括消费者信息管理器(“CIM”)110。CIM 110可以是用硬件和软件的任何组合实现的逻辑。在各个实施例中,CIM 110可被配置成用于尤其控制匿名上下文信息的提供和/或公开以便在为用户生成和/或提供有针对性内容的同时保护用户的隐私。在各个实施例中,可在消费者设备102的受信执行环境(“TEE”)中实现CIM 110。TEE 112可处于各种形式或者可通过各种技术提供,诸如加利福尼亚州圣克拉拉市的英特尔公司的受信执行技术(“TXT”)和受信平台模块(“TPM”)、可管理性引擎(“ME”)、英国剑桥市的ARM有限公司的TrustZone安全系统、虚拟化技术(“VT-x”)或ucode实施线程和存储器访问隔离。如在此所使用的,“消费者信息管理器”或“消费者信息管理设备”可指代分布在一个或多个物理计算设备之间的实现在此公开的CIM 110的特征中的一个或多个特征的硬件和软件的任何组合。
消费者设备102的维度属性可具有各个测量,包括但不限于,消费者设备102的一个或多个“硬”传感器114所感测的数据、消费者设备102的计算机可读地址(例如,IP地址、MAC地址)、消费者设备102的硬件或软件配置/能力等等。硬传感器114可包括可提供消费者设备102的上下文数据的各种传感器,诸如全球定位系统(“GPS”)、气压计、温度计、加速计等等。可在消费者设备102的各个部分中采用硬传感器114。例如,在图1中,可在TEE 112内部和外部的消费者设备102上采用硬传感器114。
消费者设备102的用户的维度属性可具有各个测量,包括但不限于该用户的人口统计信息,诸如年龄、社会经济状况、性别、团体隶属(例如,政党、团体会员)、物理属性(例如,头发颜色、眼睛颜色、皮肤颜色、健身水平)、职业、家庭状态(例如,已婚、子女数量)等等。维度用户属性还可包括有关和/或证明该用户的倾向/亲密度的信息,诸如过去的购买历史、对各个产品的偏好、过去的优惠券或赠品赎回历史、嗜好、关系、亲密度等等。
在各个实施例中,可从一个或多个“软”传感器116获得该用户的维度属性。软传感器116可包括消费者设备102上或其他地方的硬件和/或软件的任何组合。软传感器116可被配置成用于从消费者设备102内或其他地方获得各种用户维度属性,诸如用户的时间表(例如,从在线日历)、人口统计数据(例如,从各个在线账户,诸如社交网络)、关系(例如,从社交网络)、历史(例如,过去的购买、过去的赎回、过去的参与记录、浏览历史等等)、或倾向(例如,从社交网络和/或兴趣图)。
在各个实施例中,基于维度属性的公开将实现标识用户的可能性,维度属性可选择性地由CIM 110公开,或者有关公开的适当性的建议可被选择性地提供给该用户,以便符合与该用户相关联的风险容限。
公开消费者设备102或其用户的一个或多个维度属性可使得例如交换节点104能够请求目标为该一个或多个维度属性的内容(例如,广告、优惠券、赠品等等)。例如,假设消费者设备102选择性地向交换节点104广播用户的两个维度属性,“饮食.素食主义者”和“位置.波兰,奥尔。交换节点104可例如从内容聚合器108请求针对这些维度属性的内容。内容聚合器108可搜索其从供应商106获得的有针对性内容以便找到有针对性内容(诸如波兰奥尔的素食主义餐厅的广告、赠品或优惠券)并且将其提供给交换节点104。在某些实施例中,有针对性内容可被注入(例如,由内容聚合器108或供应商106)描述该内容所针对的一个或多个属性的元数据。交换节点104可进而向消费者设备102提供有针对性内容,例如作为网页上的搜索结果或横幅广告。
消费者设备102的用户然后例如可通过到特定的餐厅赎回优惠券、从特定的素食餐厅预订食物或通过点击有针对性内容中的一个或多个链接具有参与有针对性内容的能力。供应商106或内容聚合器108可从参与特定的有针对性内容“学习到”该内容适当地目标为这两个维度属性。随着时间流逝,这些实体可继续从有针对性内容的后续用户参与中“学习”并且可相应地定制进一步有针对性内容。
公开一个或多个维度属性将实现标识用户的可能性可以至少部分地基于该维度的相关联的种群计数(例如,共享该维度属性的计算环境或用户)。
例如,维度属性“位置.波兰”可在任何给定的时刻具有较大种群计数。然而,相对少的人们将在任何给定时刻具有维度属性“位置.第五大道和百老汇大街”。CIM 110可使用维度种群计数来确定相应的维度属性是否是“安全的”以便公开。如果用户的维度属性当前是“位置.第五大道和百老汇大街”,则公开该维度属性可能比如果是“位置.波兰”更有可能实现标识(或精确定位)用户。在这种情况下,CIM 110可禁用或以其他方式防止消费者设备102提供这个维度属性,或者可以“匿名化”这个维度属性,例如通过提供粒度更小的位置特征(例如,“俄勒冈州”)或通过向该位置注入熵。在某些实施例中,用于确定属性是“安全的”以便公开的这种技术和/或用于匿名化属性的技术可在发布该属性之后响应于可为该用户呈现增加的隐私风险(例如,公开特定的属性的用户的种群计数减少)的系统100中的改变执行。参照图9至图12讨论后发布监控技术。
可以用各种方式定义用户的风险容限。在某些实施例中,用户的风险容限可由一个或多个所谓的“匿名阈值”表示。在公开匿名上下文信息之前,CIM 110可基于有待公开的匿名上下文信息的维度和每个维度的种群计数计算所谓的“匿名索引”。CIM 110可然后将匿名索引与一个或多个适当的匿名阈值进行比较,该一个或多个适当的匿名阈值例如与消费者设备102将向其公开的实体或具有有待公开的属性的维度相关联。在各个实施例中,可在阈值数据库118中维护实体和维度的匿名阈值。
用户可在该用户向其公开匿名上下文信息的实体中具有各种信任水平。相应地,在各个实施例中,不同的匿名阈值例如可由CIM 110在阈值数据库118中针对用户向其公开数据的每个实体维护。例如,与特定的供应商106相关联的匿名阈值可例如基于与该供应商106相关联的交互历史反映相对高的用户信任水平。与不受信实体(诸如交换节点104或“发布订阅”(“P&S”)服务器(未在图1中示出但是在以下描述))相关联的匿名阈值可反映非常低的信任水平。
可向用户提供例如通过增加或降低与各个实体或维度相关联的匿名阈值来手动地配置其风险容限的能力。然而,可证明这个任务对于某些用户太过复杂并且对于大多数用户而言太过麻烦。相应地,在各个实施例中,隐私管理器124可确保用户的隐私兴趣受到管理。隐私管理器124可向用户提供建议和/或代表用户将CIM 110配置为适当地保护用户的隐私兴趣,同时仍使得用户能够公开或以其他方式提供充分的维度属性以便提供有针对性内容。在某些实施例中,隐私管理器124可以是服务提供商,诸如律师、会计或金融规划师或实体(诸如公司)。在其他实施例中,隐私管理器124可以是在消费者设备102上和/或在其他地方(例如,web服务)操作的硬件和软件的任何组合。
在各个实施例中,维度权威机构120可被配置成用于跟踪共享维度属性的计算环境或用户的计数。这种计数可在此被称为“种群”或“种群计数”。在各个实施例中,维度权威机构120可提供或以其他方式使得包括其属性和种群计数的维度可用于其他网络实体。例如,维度权威机构120可向CIM 110提供维度,例如以便使得CIM 110能够选择性地公开维度属性从而与目标为消费者设备102或其用户的内容进行交换。维度权威机构120还可向内容提供商或生成器(诸如供应商106)提供维度例如以便使得内容提供商能够选择性地生成目标为那些维度的属性的内容。在某些实施例中,维度权威机构120可监控对有针对性内容的参与作为属性,并且提供或以其他方式使得标识有针对性内容和参与所标识的有针对性内容的用户的种群计数的维度可用。维度权威机构120可在单个计算设备上或跨多个计算设备用硬件和软件的任何组合实现。如在此所使用的,“维度权威机构”或“维度权威机构设备”可指分布在一个或多个物理计算设备之间的实现在此公开的维度权威机构特征中的一个或多个特征的硬件和软件的任何组合。
可以用各种方式出于各种原因创建维度。在各个实施例中,维度权威机构120例如可从交换节点104或供应商106接收包括有待跟踪的计算环境或用户的一个或多个潜在维度属性的本体论规范。例如,交换节点104可基于用户行为(例如,用户的关键词检索等等)选择用于跟踪的计算环境或用户属性并且向维度权威机构120提供所得本体论规范。维度权威机构120可被配置成用于创建维度并且跟踪具有该维度属性的计算设备或用户的种群。
在许多在线社交媒体社区、电子商务系统和云服务中,用户可具有与他们知道的用户和实体以及陌生人共享信息的许多机会。用户可在期望其发布不构成隐私风险的同时共享信息(例如,属性)(例如,使用在此公的开用于基于隐私分析的结果选择性地允许或推荐公开各个属性的技术)。然而,如果所公开的信息的上下文或性质在已经被共享之后改变,用户的隐私可受到危害,即使用户未采取附加肯定动作。例如,如果发布相同的或相关的属性(例如,对披萨或烤乳酪馅饼的偏好)的用户的种群减少(例如,因为披萨被发现造成疾病),当初始地发布时不是隐私风险的属性可能变成隐私风险。
为了解决这种脆弱性,在各个实施例中,在属性被公开(例如,“发布”)之后,如果系统100的改变已经改变与发布该属性相关联的隐私风险,CIM 110可选择性地从发布移除(或“解除发布”)该属性。CIM 110可被配置成用于执行后发布监控(例如,以下参照图9至图12讨论的)以便标识并解除发布构成不可接受的标识风险(或者向用户建议增加的风险)的属性。系统100的包括后发布监控能力的实施例可通过向其数据的使用和暴露给出用户反馈改善系统100的用户和其他实体(诸如内容提供商和提供商)之间的关系。这种反馈可鼓励用户克服有关公开的初始恐惧同时管理它们造成的合法隐私风险。
图2描绘可由例如CIM 110在消费者设备102上实现的示例方法200。在框202,CIM110可从维度权威机构120获得包括维度属性和共享那些维度属性的用户或消费者设备的相应计数的维度。在各个实施例中,维度权威机构120可仅向能够向维度权威机构120认证其自身的计算设备(例如,消费者设备102)提供维度。
在某些实施例中,计算设备可被预先配置(例如,在制造期间)有向维度权威机构120认证其自身所必需的数据,诸如“增强隐私标识符”或“EPID”。在某些情况下,这种预先配置的数据可能不可用于以任何其他方式使用。另外,维度权威机构120所提供的维度(例如,当认证消费者设备102时)可由对称或非对称密钥(在此可被称为“维度密钥”)签名。
维度密钥可以是被配置成用于实现认证该数据的源和/或该数据自身是真实的任何数据。消费者设备102可用该维度密钥对其稍后发布的维度属性进行签名。以此方式,接收实体(例如,交换节点104、供应商106)还能确认维度属性的真实性。以此方式使用维度密钥可防止未授权方传播虚假维度属性。例如,可防止第一竞争者向第二竞争者提供虚假维度属性,努力使第二竞争者错误地认为存在特定的维度属性和/或其使消费者信服。
在框204,CIM 110可从隐私管理器124获得隐私简档126。例如,如果隐私管理器124是雇佣服务提供商,他或她可本地地或远程地操作CIM所提供的接口以便配置与用户相关联的一个或多个匿名阈值。如果隐私管理器124是逻辑(消费者设备102上和/或别处的硬件和/或软件),其可向CIM 110提供使得CIM 110能够做出有关公开用户或消费者设备102的维度属性的决定。
在框206,CIM 110可从例如消费者设备102上或别处的一个或多个源(例如,硬传感器114和/或软传感器116)获得上下文数据。
在框208,CIM 110可将上下文数据与其在框202获得的维度相关联。例如,假设“位置”是从维度权威机构120获得的维度并且CIM 110从消费者设备102的GPS传感器接收指示消费者设备102位于波兰奥尔的GPS坐标。CIM 110可为位置维度的属性分配所感测的GPS坐标的值,例如以便产生“波兰”的维度属性测量。如上所述,每个维度可具有共享该维度属性的用户或设备的相关联计数。在本示例中,“位置”维度属性测量“波兰”的计数可包括位于或上次已知位于波兰的所有用户或设备。
在公开任何上下文信息之前,CIM 110可确定公开将实现以各种方式标识用户的可能性。例如,在框210,CIM 110可基于有待公开的一个或多个维度的一个或多个种群计数计算匿名索引。在各个实施例中,可使用公式计算匿名索引,诸如等式(1):
其中,di=维度i的种群计数;n=维度的数量;并且i、n和d都是正整数。
在各个实施例中,匿名索引值1意味着用户是绝对匿名,并且匿名索引值0意味着用户将是唯一地基于公开而可标识的。在各个实施例中,匿名索引值<0.8可表示公开维度属性将实现标识用户的高风险,而匿名索引值>0.9可被认为是安全的。
可从隐私视角假设一个或多个维度属性向其公开的实体有可能在尝试与稍后发布的维度属性一起用于标识或定位用户时保留这些维度属性。相应地,在各个实施例中,可基于当前未决的维度属性公开和过去的维度属性公开计算匿名索引。
例如,在各个实施例中,在向特定的实体公开一个或多个维度属性之前,当计算匿名索引时,在公开给相同的实体之前计算的一个或多个匿名索引可被考虑在内例如以便产生累积匿名索引。例如,在各个实施例中,针对到特定实体的过去公开计算的匿名索引的平均值可与针对该实体的最近计算的匿名索引取平均值。在各个实施例中,这个累积匿名索引而不是最近计算的匿名索引可用于确定公开将实现用户标识的可能性。
作为另一个示例,公开给实体的维度属性可随着时间例如由CIM 110跟踪。无论何时用户希望向实体公开附加维度属性,对该实体的所有公开(过去的和目前的)可用作到上述等式(1)的输入。例如,用户可向特定的供应商106公开三个维度属性。假设用户从未在之前向该供应商106公开过任何维度属性,等式(1)可用于计算累积匿名索引,其中n=3。稍后,用户可向相一供应商106公开两个附加维度属性(例如,不同于先前公开的三个)。在该时刻,可使用等式(1)用三个先前公开的维度属性(包括在公开时的其相关联的种群计数)和两个新维度计算累积匿名索引并且其中n=5。以此方式,用户随着时间向特定实体公开的维度属性越多,匿名索引可更接近匿名阈值。
返回参照图2,CIM 110然后可确定公开维度属性将实现用户标识的可能性是否符合用户的风险容限。例如,在框212,CIM 110可确定在210计算的匿名索引是否小于具有有待公开的属性的特定接收实体或维度相关联的匿名阈值。尽管未在图2中示出,在某些实施例中,CIM 110还可将计算机系统(例如,路由器、防火墙和/或网关)和/或所公开的属性通过的网络的安全等级考虑在内。
如果在框212的答案是yes(是),则在框214,CIM 110可使得消费者设备102能够向一个或多个远程计算设备公开该一个或多个维度属性或者向用户提供公开将符合用户的风险容限的建议。例如,如果用户正在访问交换节点104(例如,使用web浏览器),CIM 110可向交换节点104提供一个或多个非用户标识维度属性或者通知用户其这样做将是“安全的”。
在各个实施例中,假设在框214公开维度属性,CIM 110可首先例如使用随机化或网络地址转换更改或以其他方式混淆消费者设备102的网络地址(例如,IP地址)。这可防止交换节点104能够基于来自提供匿名上下文信息的消费者设备102的通信标识消费者设备102。另外或可替代地,CIM 110可使得消费者设备102能够例如经由P&S服务器广播(或者多播)匿名上下文信息。在框216,CIM 110可更新匿名索引以便反映公开。
在框236,CIM 110可开始后发布监控过程。后发布监控过程可连续地或周期性地在用户公开属性之后执行以便确定系统100的任何方面是否从公开起已经改变,其方式为增加与公开该属性相关联的隐私风险。例如,用户可公开他或她具有特定的医疗状况(例如,粉刺)。在公开时,这个属性可能已经相对常见;换言之,系统100的许多其他用户可能已经公开相同的属性。结果是,CIM 110可在框212和214确定匿名阈值未被超过并且公开是适当的。然而,如果在发布之后开发了对该医疗状况的治疗,报告他们具有这种状况的其他用户的数量可从用户发布该属性那一刻减小它的值。结果是,该属性可对应于小得多的用户种群,并且因此可呈现增加的隐私风险。在框236发起的后发布监控过程可包括CIM 110和维度权威机构120之间的通信以便监控已经发布特定属性的用户种群的减少(或者系统100的指示增加的隐私风险的其他变化)以及相应地解除公开具有不可接受的风险的属性。参照图9至图12讨论后发布监控技术和配置的实施例。
如果CIM 110在框212确定在210计算的匿名索引不小于与具有有待公开的属性的特定接收实体或维度相关联的匿名阈值,则在框218,CIM 110可确定是否可以“匿名化”有待公开的属性以便减少公开将实现用户标识的可能性。可以用各种方式匿名化匿名上下文信息。例如,可采用熵注入(例如,随机化GPS坐标、网络地址、其他标识符),或者可更改(例如,增加、排除、修改、混淆、替换)匿名上下文信息的维度属性。例如,具有较大种群计数的维度的属性可被添加到所公开的数据。作为另一个示例,具有较小种群的维度属性(例如,倾向于爱尔兰乡村音乐)可被具有较大种群的属性(例如,倾向于音乐)吸引。
在匿名化之后,方法200可返回框210-212,其中,CIM 110可再次计算匿名索引并且确定其是否小于与有待公开的特定接收实体或维度属性相关联的匿名阈值。如果答案是yes(是),则方法可进行到如上所述的框214。
然而,如果答案仍然是no(否),则在框218,CIM 110可确定该数据是否可被进一步匿名化。如果答案是yes(是),则可再次在框220匿名化匿名上下文信息并且在框210-211再次测试。但是如果在框218的答案是no,则在框222,CIM 110可获得代表用户作出决定并且隐瞒匿名上下文信息,或者CIM 110可向用户提供指示公开匿名上下文信息造成不符合用户的风险容限的用户标识风险的建议。
不管CIM 110是否以其原始或匿名化形式提供匿名上下文信息或者保持提供匿名上下文信息,消费者设备102然后可等待接收有针对性内容。如果消费者设备102在框214提供匿名上下文信息,则所接收的有针对性内容可基于该匿名上下文信息。如果消费者设备102在框222隐瞒匿名上下文信息,则所接收的有针对性内容可基于消费者设备102在另一个时刻提供的其他匿名上下文信息。
在框224,消费者设备102例如可从交换节点104代表内容聚合器108和/或供应商106或者从P&S服务器(如下所述)接收有针对性内容。例如,消费者设备102可接收通信,诸如电子邮件或文本,或者如果访问,门户可被呈现旨在在门户的网页边缘中显示的有针对性广告。
在框226,CIM 110可确定用户是否可能对所接收的有针对性内容感兴趣。可基于各种信息做出这个决定,诸如用户或消费者设备102的一个或多个维度、从硬传感器114和/或软传感器116获得的上下文数据、注入到有针对性内容中的元数据(例如,由供应商106)等等。如果答案是no(否),则CIM 110可不使得有针对性内容可用于用户消费(例如,过滤出垃圾邮件、制止在边缘中显示广告单元),并且方法200可结束。
然而,如果在框226的答案是yes(是),则在框228,CIM 110可确定有针对性内容的参与(例如,购买商品或服务、点击链接、赎回优惠券等等)将实现标识用户的可能性。可基于各种经验数据做出这个确定。例如,CIM 110可确定使用特定支付技术(例如,数字现金、信用卡、)购买商品或服务将实现标识用户的可能性。
在框230,CIM 110可确定参与有针对性内容将实现标识用户的可能性是否超过用户的风险容限。如果在框230的答案是yes,则在框232,CIM 110可阻止参与有针对性内容。例如,CIM可致使向用户提供推荐用户不赎回优惠券或点击链接的通知(例如,经由弹窗)。然而,如果在框230的答案是yes,则在框234,CIM 110可推荐或以其他方式准许用户参与有针对性内容。在某些实施例中,在参与之前,CIM 110可例如使用随机化或网络地址转换更改或以其他方式混淆消费者设备102的网络地址(例如,IP地址)。这可防止供应商106能够基于来自参与有阵性内容的消费者设备102的通信标识消费者设备102。
在框238,CIM 110可开始后发布监控过程。如上所述,后发布监控过程可连续地或周期性地在用户公开属性之后执行以便确定系统100的任何方面是否从公开起已经改变,其方式为增加与公开该属性相关联的隐私风险。然而,后发布监控过程不限于已发布属性,而是可以用于重新评估在系统100内所采取的任何动作的隐私暗示。例如,在框230,CIM110可已经确定参与有针对性内容不违反风险容限并且因此推荐参与。然而,如果系统100的其他用户的行为改变从而使得参与有针对性内容增加用户的隐私风险(例如,因为更少用户现在参与特定的内容),CIM 110可使用后发布监控过程连续地或周期性地更新从连续参与导致的用户的隐私风险。参照图9至图12讨论后发布监控技术和配置的实施例。
图3描绘了参与与网络上的各个不同实体交换的消费者设备102并且示出了本公开的实施例的各个方面。消费者设备102例如经由CIM 110可使用用户或消费者设备102的一个或多个维度属性参与P&S交换。描绘了消费者设备102涉及这些方面的组件;来自图1的其他组件可或可不存在于消费者设备102中。同样,在图3中示出了未在图1中示出的(但是可或可不以其他方式存在)可在消费者设备102中发现的某些附加组件。例如,消费者设备102可包括在图3中描绘为一个或多个处理核302的一个或多个处理单元。一个或多个处理核302可操作消费者应用105。一个或多个处理核302可与芯片组(或者在某些情况下,片上系统,“SoC”)耦合。
芯片组306可包括未在图3中描绘的但是经常在芯片组或SoC上发现的各个组件,例如输入/输出端口、控制器、存储器等等。在各个实施例中,芯片组306可包括硬传感器114,诸如贯穿本公开描述的GPS和其他传感器。在本特定实施例中,芯片组306还可包括TEE112。然而,在其他实施例中,诸如其中使用TXT、VT-X、TrustZone或其他基于ucode的隔离机制实现TEE 112的实施例中,TEE 112可驻留在其他地方,诸如驻留在多个核302中。
在各个实施例中,CIM 110可被配置成用于向各个实体(例如,维度权威机构120)认证消费者设备102。消费者设备102可包括用于以安全的方式存储各种数据的安全存储308。在某些实施例中,安全存储308可远离消费者设备102并且例如经由安全协议可访问。在其他实施例中,安全存储308可以是例如从TTE 112内可访问的消费者设备102的一部分。
在各个实施例中,以上提及的EPID可存储在安全存储308中。EPID可由CIM 110用于例如向维度权威机构120建立消费者设备102的可信度或者“背书”,而不会实现标识消费者设备102的用户和/或消费者设备102自身。在各个实施例中,EPID以及具体地EPID私钥可例如在制造期间被提供给消费者设备102。在某些实施例中,EPID私钥可存储在安全存储308中。在各个实施例中,EPID私钥可能不可与其他私钥区分开来。相应地,用EPID私钥对通信进行签名可不公开用户或消费者设备102的个人信息。
在各个实施例中,EPID公钥可例如由CIM 110或原始设备制造商(“OEM”)分布给验证实体(诸如维度权威机构120)。单个EPID公钥可被配置成用于促成验证多个相应的EPID私钥。验证实体可以能够确定特定的私钥有效。然而,在各个实施例中,验证实体可能不能标识哪一个消费者设备102提供了EPID私钥。相应地,消费者设备102的用户的身份仍得到保护。
如上所述,在某些实施例或场景中,消费者设备102可经由P&S范例广播或以其他方式提供匿名上下文信息。P&S服务器316可被配置成在“订户”(诸如消费者设备102的用户)和“发布者”(诸如可向其提供匿名上下文信息数据的供应商106和其他实体)之间提供“通道”。在某些实施例中,用户可在他们感兴趣的通道中订阅。供应商106和其他发布者(例如,内容聚合器108、交换节点104)可向通道而不是直接向订户发布消息。在某些实施例中,替代P&S服务器316或除此之外,可采用多播路由器(未示出)。
在各个实施例中,CIM 110可被配置成向P&S服务器316提供经签名的维度属性。经签名的维度属性可包括用户或消费者设备102的一个或多个维度属性以及向维度认证用户或计算设备/环境的数字签名或其他类似数据。在各个实施例中,可以用维度密钥对维度属性进行签名。如上所述,维度密钥可由各个实体(诸如P&S服务器316或供应商106)用来验证维度属性是例如由合法维度权威机构跟踪的合法维度的一部分而不是被传播以便例如造成维度属性具有显著种群的虚假印象的非法维度。在各个实施例中,维度权威机构120所跟踪的每一个维度可具有其自身的仅提供给能够认证其自身的消费者设备102以及提供给可以用各种方式认证的其他实体(诸如供应商106或交换节点104)的维度密钥。在其中维度可被表达为分类学(汽车->红色->四门->手动挡)的实施例中,分类学的每一个等级可具有其自身的维度密钥。
在各个实施例中,消费者设备102所提供的维度属性可由维度权威机构120与具有相同的维度属性的其他消费者设备所订阅的一个或多个通道相关联。在某些实施例中,CIM110可被配置成用于仅准许订阅与具有符合消费者设备102的用户的风险容限(例如,匿名阈值)的种群计数的维度相关联的通道。
在图4中描绘了示例P&S交换400。在本示例中,CIM 110可首先向P&S服务器316提供匿名上下文信息。P&S服务器316进而可向其他实体广播匿名上下文信息。在其他实施例中,CIM 110可直接广播匿名上下文信息。
然而,CIM 110的直接广播可构成将实现标识用户(例如,经由可结合到这种广播中而用户并不知道的IP地址或其他标识信息)的更高风险。通过P&S服务器316广播匿名上下文信息一方面可增加隐藏层并且减少公开将实现用户标识的可能性。
在箭头402,CIM 110可例如向P&S服务器316注册以便公开包括一个或多个维度属性的匿名上下文信息。在箭头404,P&S服务器316可例如向CIM 110提供“签名撤销列表”或“SigRL”。SigRL可由CIM 110用来向P&S服务器316证明消费者设备102是合法的(例如,尚未受到中间人攻击危害)同时保持用户的匿名。在箭头406,CIM 110可例如向P&S服务器316提供经签名维度数据。在某些实施例中,可以用维度密钥对维度数据进行签名。在某些实施例中,可以用EPID私钥对维度数据进行签名。在箭头408,P&S服务器316可向发布者(诸如提供商406)广播经签名维度属性。
如上所述,CIM 110可向维度权威机构120认证消费者设备102。各种类型的认证和/或验证协议可用于促成消费者设备102和维度权威机构之间的潜在维度的安全交换。在各个实施例中,这些协议可用于尤其防止中间人攻击。
在图5中描绘了可在CIM 110和维度权威机构120之间实现的以便促成维度密钥的安全提供的一个示例交换500。这是被称为“SIGn和MAc”或“SIGMA”交换的其中客户端端点在TEE 112中终止的示例。在各个实施例中,可使用Diffie-Hellman签名协议实现交换500。在其他实施例中,可使用其他交换协议。
在箭头502,CIM 110例如可向维度权威机构120提供SIGMA SI消息。在各个实施例中,SIGMA SI消息可由例如消费者设备102使用其EPID私钥签名。例如,在各个实施例中,充当“证明人”的CIM 110可选择随机值a作为其经验Diffie-Hellman(“DH”)密钥。CIM 110可然后计算ga作为其经验DH公钥。
CIM 110可向验证器发送器其当前EPID和ga的分组ID,该验证器在本示例中为维度权威机构120。在各个实施例中,CIM 110还可附加在线证书状态协议(“OCSP”)请求。
在箭头504,维度权威机构120可例如向CIM 110提供可使用随机基标识符生成的SIGMA S2。例如,在各个实施例中,维度权威机构120可根据以下内容生成并传输SIGMA S2消息:
1)维度权威机构120可选择随机值b作为其经验DH私钥
2)维度权威机构120可计算gb作为其经验DH公钥。
3)维度权威机构120可计算gab=(ga)b
4)维度权威机构120可导出秘密MAC密钥(“SMK”)、秘密密钥(“SK”)和MACing密钥(“MK”)。
5)维度权威机构120可然后确定与CIM 110的分组ID相对应的SIG-RL。
6)维度权威机构120可选择协议的基本名或者其可以为基于随机数的签名将基本名设置为0x00。
7)维度权威机构120可使用SMK计算SIG-RL、基本名、OCSPReq、OCSP响应和Certver的MAC。
8)维度权威机构120可使用其签名密钥对(ga||gb)进行签名以便产生Sig(ga||gb)
9)维度权威机构可从一个或多个OCSP响应者服务器例如使用在S1消息中交换的OCSP新鲜值请求n个OCSP响应。在某些情况下,n可以是维度权威机构的证书链中的证书数量。在某些情况下,n个OCSP响应可覆盖验证器证书链中的n个证书。在各个实施例中,维度权威机构可等待来自CIM 110的OCSP响应并且可在接收到时验证响应。
10)维度权威机构120可向CIM 110发送以下内容:[gb、基本名、OCSPReq、Certver、SIG-RL、OCSPResp]SMK以及Sig(ga||gb)。
在各个实施例中,CIM 110可验证所接收的SIGMA S2消息。在某些实施例中,CIM110可使用类似于以下步骤的步骤验证此数据
1)CIM 110可计算gab=(gb)a
2)CIM 110可导出上述SMK、SK和MK
3)CIM 110可使用例如在制造期间例如由加利福尼亚州圣克拉拉市的英特尔公司安装的英特尔验证密钥(“IVK”)验证Certver链中的第一个证书。
4)CIM 110可使用SMK验证基本名、OCSPReq、Certver、SIG-RL和OCSP响应的MAC(如果有的话)。
5)CIM 110可验证n个OCSP响应(如果需要的话)。
a)如果CIM 110使用OCSP响应提供应信任时间,该响应可不被高速缓存并且在例如发送S1消息的两分钟内返回。如果存在多个OCSP响应,CIM 110所接收的第一个OCSP响应的ProducedAt时间戳可用作信任时间。
b)如果CIM 110接收非高速缓存的响应,该响应中的时间戳可小于例如一天。
6)CIM 110可使用Certver中的验证器的公钥验证签名(ga||gb)。
在验证维度权威机构证书之后,在箭头506,CIM 110可生成并例如向维度权威机构120提供SIGMA 3消息。在各个实施例中,SIGMA 3消息可包括描述TEE 112的软件和/或硬件配置的信息,在某些情况下包括TEE 122支持维度提供的能力。例如,在各个实施例中,CIM 110可根据以下内容生成并向例如维度权威机构120提供SIGMA S2消息:
1)CIM 110可使用SMK计算整个S3消息的MAC例如以便产生[TaskInfo||ga||EPIDCertprvr||EPIDSig(ga||gb)]SMK。
2)CIM 110可使用其当前EPID密钥和基本名对(ga||gb)进行签名以便例如产生EPID-Sig(ga||gb)。
EPID签名可包括基于SIG-RL的非撤销证明。
3)CIM 110可向维度权威机构120发送[TaskInfo||ga||EPIDCertprvr||EPIDSig(ga||gb)]SMK。
在各个实施例中,维度权威机构120可使用SIGMA S3消息确定CIM 110是否能够保护维度。例如,在各个实施例中,维度权威机构120可根据以下内容验证SIGMA S3消息:
1)维度权威机构可使用SMK验证
[TaskInfo||ga||EPIDCertprvr||EPIDSig(ga||gb)]SMK。
2)维度权威机构120可验证ga与到达SIGMA SI消息中的相同。
3)维度权威机构120可使用IVK验证EPID分组证书Certprvr。
4)维度权威机构可验证EPID签名(ga||gb),包括撤销检查。
5)维度权威机构可验证不是所有验证器都需要的TaskInfo结构。
在箭头508,CIM 110可例如从维度权威机构120请求维度目录列表。在框510,维度权威机构120可例如向CIM 110提供所请求的维度目录列表。在箭头512,CIM 110可例如向维度权威机构120提供例如消费者设备102可订阅的一个或多个所选维度。所订阅的维度可与EPID而不是消费者设备102或其用户相关联(例如,由其签名)。以此方式,维度权威机构120可以能够记录特定的维度的新成员(例如,通过向种群计数加一)而无需知道用户的身份。
在某些实施例中,当从CIM 110接收到对订阅的维度选择时,维度权威机构120可自动地为消费者设备102订阅管理员广播通道,可在该通道上广播表示属性的种群计数改变的数据。在某些实施例中,订阅管理员广播通道可通过隐私增强的IP网络发生,其中,随机地从可重复使用的地址列表选择或者以其他方式随机地确定订阅设备的IP地址。订阅设备可以周期性地使用不同的IP地址重新订阅以便减小维度权威机构120能够跟踪特定订户的可能性。重新订阅的频率可由CIM 110调整(例如,根据所期望的隐私水平或响应于特定的风险水平)。在某些实施例中,订阅逻辑1014(图10,如下所述)可执行自动订阅。在其中用户自动地订阅管理员广播通道的实施例中,订阅此通道不会帮助标识用户并且因此可不呈现由于订阅造成的增加的隐私风险。在某些实施例中,订阅管理员广播通道的每个订户可订阅维度权威机构120所监控的所有或大部分维度,包括其中订户特别感兴趣的那些,以便确保订户感兴趣的特定维度集合不用于标识订户。
在箭头512,维度权威机构120可例如向CIM 110提供所选维度的维度密钥。在某些实施例中,维度权威机构120可例如基于EPID公钥为每个维度生成分离的维度密钥。在某些实施例中,维度权威机构120可生成并且例如向CIM 110提供每个订阅维度的分离的EPID私钥。
这些技术可实现多种方式来防止盗贼传播虚假维度。例如,如果每个维度使用分离的EPID私钥,则即使盗贼获得一个维度的EPID私钥,该盗贼不能向另一个维度认证其自身。此外或可替代地,EPID密钥结合维度基本名可用于防止类似的问题。
当完成图5的数据交换时,CIM 110可终止SIGMA会话。同时,维度权威机构120可例如通过将计数加一来更新与CIM 110订阅的维度相关联的计数。在某些实施例中,跟踪逻辑1004(图10,如下所述)可跟踪种群计数。
在各个实施例中,SIGMA协议可在其他场景中使用,例如,当CIM 110向P&S服务器316提供经签名维度属性时。在某些这种情况下,SIGMA基本名可包括表示有待公开的维度属性的分类学维度属性(例如,车辆->皮卡->加长驾驶室)。不是用特定于路径的大部分粒度维度属性的维度密钥(例如,“加长驾驶室”)进行签名,CIM可以用父维度(例如,车辆)密钥进行签名。
返回图3,CIM 110可向消费者应用105提供经签名的维度属性。消费者应用105可进而向其他实体(诸如供应商106和/或P&S服务器316)提供经签名的维度属性。在其中消费者应用105使用P&S服务器316广播经签名维度属性的实施例中,CIM 110可使用EPID命名的基数字地对维度属性进行签名。在其中消费者应用105使用多播网络广播经签名维度数据的实施例中,CIM 110可使用指定维度的EPID对维度数据进行签名。以此方式对维度进行签名可使得实体(诸如P&S服务器316)能够跟踪维度公开统计数据而不实现用户标识。
P&S服务器316可向实体(诸如提供商406)广播经签名的维度属性。在各个实施例中,供应商106可验证从消费者设备102接收的匿名上下文信息。例如,供应商106可使用例如经由信任锚供应方案从维度权威机构120获得的EPID公钥或维度密钥验证一个或多个经签名维度。如果供应商106确定从消费者设备102接收的经签名维度属性不是真的,这可指示维度密钥的可能误用。在这种情况下,供应商106可通知维度权威机构120。然而,如果供应商106成功地验证经签名维度属性的真实性,则供应商106可例如通过生成或请求目标为经验证的维度的内容来处理该维度以便在电子商务中使用。
图6描绘了其中P&S服务器316和其他实体可促成为消费者设备102生成并提供有针对性内容的示例场景600。
供应商106可生成目标为各个维度属性或维度属性组合的内容(例如,广告、赠品、优惠券)。在各个实施例中,供应商106可向特定的订户类发布与一个或多个维度相关联的由P&S服务器316维护的有针对性内容。P&S服务器316可进而向订阅该特定类的消费者设备102广播有针对性内容。这可避免要求接收有针对性内容的前提条件的用户认证。
在各个实施例中,供应商106可被配置成生成目标为消费者设备102或其用户的临时维度属性的内容。例如,供应商106的目标可以是包含至少距离供应商106的传统实体位置预定距离(例如,由GPS测量)的消费者设备102订阅的P&S服务器316的维度通道的小幅折扣的第一赠品。供应商106的目标可以是包含小于距离供应商106的传统实体位置预定距离的消费者设备102订阅的P&S服务器316的维度通道的更大折扣的第二赠品。更大折扣可诱惑已经在传统实体位置的犹豫未决的消费者输入并赎回第二赠品。作为另一个示例,食品供应商106的目标可以具有对其在线日历显示他们尚未吃饭持续多于预定的时间间隔的用户所订阅的P&S服务器维度通道的折扣的赠品。
在各个实施例中,CIM 110可被配置成过滤从P&S服务器316接收的广播内容,例如如在图2的框226所描绘的。不想要的内容(例如,垃圾邮件)可例如由CIM 110基于隐私简档126、用户或消费者设备属性等等过滤出,从而使得仅仅满足用户的隐私简档126的内容被呈现给用户进行消费。例如,假设消费者设备公开维度属性(“last_meal”),这发生在若干小时之前。用户的消费者设备102可从上述食品供应商106接收赠品。然而,CIM 110可例如基于用户配置的设置确定用户对食品赠品不感兴趣的过去的购买历史或当前的维度属性测量(例如,用户具有维度属性<位置,“赛尔餐厅”>)。在这种情况下,CIM 110可丢弃所接收的赠品作为垃圾邮件。
在各个实施例中,CIM 110可被配置成用于检查参与特定的有针对性内容的隐私暗示并且可向用户做出合适的推荐,例如,如图2的框228-234所描绘的。例如,假设特定的有针对性内容向具有以下三个维度属性的用户提供产品X的40%的折扣:A={隶属于特定团体};B={小于特定年龄};以及C={位于特定州}。CIM 110可分析包含这些属性和相关联的计数的维度以便确定这些维度属性的交集(例如,AΠBΠC)中的会员关系将实现标识用户的可能性。如果可能性过高(例如,高于在阈值数据库118中列出的匿名阈值),则CIM 110可防止或阻止用户参与有针对性内容(例如,图2的框230),而不管用户可能必须为相同的产品支付更多的事实。否则,CIM 110可通知用户参与有针对性内容是“安全的”,例如,如图2的框234所描绘的。
返回参照图6,用户可通过操作消费者应用105向例如购物车服务604提交购买订单来参与有针对性内容。购物车服务604可被配置成用于作为用户一个或多个供应商106的“中间人”。在各个实施例中,购物车服务604可向供应商106提供支付。在其他实施例中,供应商106本身可操作内部购物车服务、放弃中间人(诸如购物车服务604)。在这种情况下,消费者应用105可直接向供应商106提供购买订单和/或支付。在某些这种实施例中,消费者设备102可例如使用随机化或网络地址转换更改或以其他方式混淆其IP地址以便防止供应商106能够使用其IP地址标识消费者设备102。
在各个实施例中,供应商106可被配置成从所参与的有针对性内容“学习”。例如,参与目标为特定维度属性或维度属性组合的广告的用户越多,供应商106可越信任所选择的维度属性或维度属性组合是令人信服的目标。供应商106可进一步基于后续用户参与生成并细化有针对性内容,从而使得未来用户具有更令人信服的经历,并且供应商106的营销工作更加成功。
图7描绘了可在各个实施例中由内容生成器/提供商(诸如供应商106、广告商(未示出)等等)实现的示例方法700。在框702,供应商106可从维度权威机构120和/或CIM 110获得匿名上下文信息。
在框704,供应商106可例如通过验证与该数据相关联的维度权威机构域、维度名称和/或维度密钥来验证匿名上下文信息的真实性。在某些实施例中,EPID签名可例如由供应商106使用EPID公钥验证。在各个实施例中,供应商106可被配置成用于例如使用各个密钥(诸如X.509证书)安全地从维度权威机构120获得公钥。在其他实施例中,供应商106可实现SIGMA协议的验证器侧。例如,供应商106可使用维度权威机构120的证书验证来自消费者设备102的维度名称/密钥和“b”值。供应商106可然后完成从P&S服务器316(或多播路由器)接收的经签名维度数据的SIGMA会话。因为“b”可以在供应商106之间共享,SIGMA会话密钥可以对于每个供应商106是相同的。这可缓解对消费者设备102管理每个供应商106的成对会话密钥的需要。
在框706,供应商106可分析匿名上下文信息的一个或多个维度属性。在各个实施例中,供应商106可假设维度属性的哪个组合可对提供匿名上下文信息的用户或其他用户令人信服。例如,供应商106可验证包括匿名上下文信息的某些或全部维度属性的人口统计。
这个假设还可基于其他信息。例如,维度权威机构120可能不知道哪些特定用户或计算环境具有哪些特定属性并且因此可能不能确定共享两个不同属性的用户或计算环境的种群计数。因此,在各个实施例中,维度权威机构120可被配置成用于估计共享第一维度属性的用户或计算环境以及共享第二维度属性的用户或计算环境的并集的种群计数。在各个实施例中,本估计可基于例如经由目标为焦点小组的调查机构获得的所收集的数据样本。
在框708,供应商106可例如基于该分析生成有针对性内容(例如,广告、优惠券、赠品等等)。在框710,供应商106可向潜在感兴趣的用户的消费者设备102广播所生成的内容。例如,供应商106可向P&S服务器316提供该内容。P&S服务器316可然后向订阅与所假设的维度属性相对应的通道的消费者设备102提供有针对性内容。
图8描绘了CIM 110和内容生成或内容提供实体(诸如供应商106)可向P&S服务器316注册以便促成与在图6中描绘的那个类似的电子商务交换以及图7的方法的操作。在箭头802,CIM 110可例如通过提供匿名上下文信息向P&S服务器316注册以便接收有针对性内容。在各个实施例中,CIM 110可首先确定公开匿名上下文信息将实现用户标识不违反用户的风险容限的可能性,如图2所示,在框210-222。在某些实施例中,CIM 110可在公开匿名上下文信息时发起后发布监控过程以便监控与匿名上下文信息的继续发布相关联的隐私风险的变化(例如,以上参照图2和图9至图12所讨论的)。
在箭头804,P&S服务器316可例如向CIM 110提供与特定的P&S通道相对应的P&S密钥。在各个实施例中,箭头802和804所表示的交换可使用与以上描述的那个类似的SIGMA交换实现。在各个实施例中,P&S密钥可例如由CIM 110用于验证供应商106被授权参与市场。在箭头806,P&S服务器316可例如向CIM 110提供目标为P&S通道的维度属性的内容。
类似的交换可在内容生成或提供实体(诸如供应商106和P&S服务器316)之间发生。在箭头808,供应商106可例如向P&S服务器316注册以便发布有针对性内容和/或提供供应商公钥。在箭头810,P&S服务器316可例如向供应商106提供用在箭头806提供给CIM 110的相同的发布订阅密钥签名的供应商公钥。在各个实施例中,箭头808和810所表示的交换可使用与以上描述的那个类似的SIGMA交换或传输层安全(“TLS”,已知为安全壳或“SSH”)实现。
在箭头812,供应商106可例如向分布给订户的P&S服务器316提供目标为P&S通道的内容。在各个实施例中,有针对性的内容可由提供商的私钥以及提供商的由发布订阅密钥签名的公钥签名。CIM 110可利用发布订阅密钥(其在箭头806接收的)来验证和/或解密供应商公钥。CIM 110可然后使用供应商公钥来验证和/或解密用提供商私钥签名的有针对性内容。在某些实施例中,供应商106可将元数据注入到有针对性内容中,例如,标识内容的目标的一个或多个维度。
如上所述,CIM 110可被配置成在允许或推荐公开用户的属性之前执行隐私分析。例如,在某些实施例中,CIM 110可评估有待由用户公开的信息的每个维度、确定该维度的属性是否先前已经被公开、如果该属性尚未被公开则查询维度权威机构120以及确定与该维度相关联的种群是否大于用户的隐私简档126所要求的种群并且仅当满足隐私准则时才发布该属性。在某些实施例中,CIM 110可被进一步配置成用于在发布属性之后执行后发布监控过程。公开属性可包括用户所采取的可危害用户的隐私的任何动作(例如,参与有针对性内容,如以上参照图2所讨论的)。
图9示意性地示出根据各个实施例被配置成用于后发布监控的示例CIM。图9的CIM可使用任何合适的设备或设备组合(诸如图12的计算设备1300中的一个或多个(如下所述))实现。尽管可参照CIM 110、维度权威机构120和电子商务系统100讨论图9的CIM,图9的CIM可执行在此参照CIM 110在任何合适的上下文中描述的功能中的任何一个或多个功能。例如,图9的CIM可在社交媒体计算系统中使用。在某些实施例中,CIM 110可全部在TEE 112内操作;在其他实施例中,CIM 110的一个或多个组件可在TEE 112之外操作。
如上所述,CIM 110可以与电子商务系统100的用户或任何其他多用户计算系统的用户相关联。如在后发布监控的讨论中所使用的,对“用户”的引用还可以指代与该用户相关联的一个或多个消费者设备。还可参照“属性”或“该属性”讨论CIM 110的组件的操作;将理解的是对单数属性的引用仅仅为了说明清晰的目的,并且CIM 110可针对一个或多个属性执行所描述的操作。此外,CIM 110可单独地或结合地(例如,成对、成三元组、或其他组合)如以下详细讨论的那样管理属性。
CIM 110可包括通知接收逻辑902。通知接收逻辑902可被配置成用于从维度权威机构120接收系统100的已经在系统100内发布属性的用户的种群计数减少。在某些实施例中,当属性包括在与用户相关联的一组公共属性914中时,该用户已经“发布”该属性。当其从与该用户相关联的该组公共属性914移除时,属性可被称为“解除发布”公共属性集合914可存储在CIM 110可访问的数据库或任何其他合适的存储器结构中。在某些实施例中,用户参与有针对性内容可被视为出于后发布监控的目的的已发布属性(例如,以上参照图2的框238所讨论的)。
在某些实施例中,包括在与该用户相关联的该组公共属性914中的属性对系统100的至少一个其他实体可用(例如,另一个用户、内容提供商、供应商、交换和/或维度权威机构)。在某些实施例中,该组公共属性914中的属性可由这些实体中的一个或多个实体自动地和/或在请求时访问。在某些实施例中,属性可包括在该组公共属性914中,因为该用户已经向发布订阅服务器(例如,图3的服务器316)注册该属性。在某些实施例中,可响应于用户指定属性包括在该组公共属性914中而向发布订阅服务器注册该属性。
CIM 110可包括公共简档逻辑904。公共简档逻辑904可操作性地与通知接收逻辑902耦合,并且可被配置成用于确定用户是否已经发布为通知接收逻辑902从维度权威120接收的通知的主体的属性。
CIM 110可包括风险分析逻辑908。风险分析逻辑908可操作性地与通知接收逻辑902和公共简档逻辑904耦合。在某些实施例中,风险分析逻辑908可被配置成用于响应于接收到用户的种群计数减少的通知(由通知接收逻辑902接收)和用户已经发布属性的确定(由公共简档逻辑904做出)来确定表示继续发布属性将实现标识用户的可能性的值。风险分析逻辑908可根据任何合适的技术(诸如在此公开的技术中的任何技术)做出此确定。例如,在某些实施例中,风险分析逻辑908可根据等式1确定(作为表示可能性的值)匿名索引。例如,风险分析逻辑908可确定(作为表示可能性的值)用户的标识可能性。
CIM 110可包括用户隐私逻辑910。用户隐私逻辑910可操作性地与风险分析逻辑908耦合,并且可被配置成用于将可能性(由风险分析逻辑908确定)与阈值进行比较。用户隐私逻辑910所使用的阈值可由隐私管理器124(例如,经由隐私简档126)提供和/或可本地地存储到用户隐私逻辑910。在某些实施例中,阈值可基于与用户相关联的风险容限。阈值可采取在此描述的匿名阈值中的任何阈值的形式。例如,用户隐私逻辑910可向发布给不同实体的属性(例如,具有与更可信的实体相关联的更高阈值)应用不同的阈值。
CIM 110可包括简档改变逻辑912。简档改变逻辑912可操作性地与用户隐私逻辑910和公共简档逻辑904耦合以便当可能性超过阈值(用户隐私逻辑910所确定)时从该组公共属性移除该属性。在某些实施例中,简档改变逻辑912可被进一步配置成将该属性包括在与该用户相关联的一组私有属性916中(在从该组公共属性916移除该属性之前、之后或基本上同时)。私有属性集合916可被存储在CIM 110可访问的数据库或任何其他合适的存储器结构中。8.在某些实施例中,简档改变逻辑912可被进一步配置成用于当表示可能性的值超过阈值时(例如,即使在订阅时准许订阅该通道)从与该属性相关联的通道将该用户解除订阅。
包括在该组私有属性916中的属性可能对维度权威机构120和/或系统100中的其他实体不可用。例如,如果内容提供商充当系统100中的实体并且被配置成用于基于该用户的至少一个属性为该用户选择内容,该内容提供商可有权访问包括在该组公共属性914中的某些或全部属性(并且可使用这些属性来定位内容)但是可能无法访问包括在该组私有属性916中的任何属性(除非以其他方式授权访问)。
在某些实施例中,简档改变逻辑912可被配置成从该组公共属性914移除该属性而不要求该用户授权在接收到该通知(例如,由通知接收逻辑902)和从该组公共属性914移除该属性之间的时间段内授权该移除。在某些这种实施例中,当用户隐私逻辑910确定该属性的继续发布将危害该用户的隐私准则(例如,由隐私简档216控制)时,简档改变逻辑912可从该组公共属性914移除该属性并且将该属性包括在该组私有属性916中而无需用户干涉。自动地移除有问题的属性可最小化该用户的曝光时间并且可允许CIM 110管理许多属性而不会使该用户负担过重。在其他实施例中,CIM 110可被配置成用于在将已发布属性解除发布之前请求或要求用户授权。
是否请求或要求用户授权可取决于该特定属性。例如,如果订阅有价值的新闻服务取决于发布用户的位置,CIM 110可在将该用户的位置解除发布之前提醒该用户,即使种群改变可造成位置信息可个人地标识。系统100中的各个服务的价值可由该用户(例如,通过使用星型或点状系统来指示该服务如何对该特定用户有价值)、由货币价值(例如,购买对该系统的服务而不发布任何属性的成本)、该服务的流行度或任何其他这种指示符。例如,该用户可手动地指示(经由消费者设备102)哪些服务足够有价值以便保障预先授权移除将危害对该服务的参与的任何属性。
在某些实施例中,CIM 110的组件中的一个或多个组件(例如,通知接收逻辑902、公共简档逻辑904、风险分析逻辑908、用户隐私逻辑910或简档改变逻辑912)可被配置成用于向该用户提供通知该用户已发布属性的隐私风险(或可影响这种风险的条件)改变的消息。可在改变该组公共属性914之前、之后或基本上同时提供这种消息。
图10示意性地示出根据各个实施例被配置成用于后发布监控的示例维度权威机构。图10的维度权威机构可使用任何合适的设备或设备组合(诸如图12的计算设备1300中的一个或多个(如下所述))实现。尽管可参照维度权威机构120、CIM 110和电子商务系统100讨论图10的维度权威机构,图10的维度权威机构可执行在此参照维度权威机构120在任何合适的上下文中描述的功能中的任何一个或多个功能。例如,图10的维度权威机构可在社交媒体计算系统或任何其他多用户计算系统中使用。
还可参照“属性”或“该属性”讨论维度权威机构120的组件的操作;将理解的是对单数属性的引用仅仅为了说明清晰的目的,并且维度权威机构120可针对一个或多个属性执行所描述的操作。属性可采取在此针对属性和维度讨论的形式中的任何形式。例如,维度权威机构120所跟踪的属性可包括与用户相关联的亲密度、用户的人口统计信息和/或用户的活动历史。在某些实施例中,用户参与有针对性内容可被视为出于后发布监控的目的的已发布属性(例如,以上参照图2的框238所讨论的)。
维度权威机构120可包括跟踪逻辑1004。跟踪逻辑1004可被配置成用于跟踪已经在系统100内发布属性的系统100的用户的种群计数。如上所述,在某些实施例中,在系统100内发布属性可在用户向发布订阅服务器(例如,图3的服务器316)注册该属性时发生。一个或多个属性的种群计数可存储在种群计数存储1016中,该种群计数存储可包括维度权威机构120可访问的数据库或任何其他合适的存储器结构。维度权威机构120可从多个源中的任何源接收表示种群计数的数据。例如,如上所述,维度权威机构120可例如从交换节点104或供应商106接收包括有待跟踪的计算环境或用户的一个或多个潜在维度属性的本体论规范。
维度权威机构120可包括种群改变逻辑1006。种群改变逻辑1006操作性地与跟踪逻辑耦合1002并且可被配置成用于确定种群计数何时减少阈值量。在某些实施例中,该阈值量可以是任何量;在这种实施例中,维度权威机构120可标识与属性相关联的种群计数的任何减少。在某些实施例中,该阈值量可以是绝对用户数量(例如,减少100个用户)、百分比(例如,减少现有种群的10%)或减少到低于特定值(例如,使得种群低于500个用户的任何减少)。在某些实施例中,该阈值量可以是时间的函数。例如,当种群计数已经在特定时间段内减少阈值量时,种群改变逻辑120可确定种群计数已经减少阈值量,表示减少的改变率(例如,一个小时减少50个用户)。在某些实施例中,该阈值量可表示减少的加速度(例如,减少在每分钟10个用户加速)。
维度权威机构120可包括通知逻辑1010。通知逻辑1010可操作性地与种群改变逻辑1006耦合。通知逻辑1010可被配置成用于响应于确定种群计数已经减少该阈值量(例如,种群改变逻辑1006所作出)向系统100的用户提供表示种群计数的数据。表示种群计数的该数据可包括种群计数本身、表示种群计数改变的数据(例如,用户数量、百分比减少等等)、经签名值(例如,分别指示加减)、或可用于重新评估隐私风险的任何其他数据。
在某些实施例中,通知逻辑101用于向CIM(例如,CIM 110)提供种群计数。CIM可代表用户操作,并且通知逻辑1010所提供的种群计数可使得CIM能够从与该用户相关联的一组公共属性(例如,该组公共属性914)移除该属性。如以上参照图9所讨论的,CIM可响应于从维度权威机构120接收到种群计数以及确定继续发布违反隐私准则从该组公共属性914移除属性(例如当由于继续发布而标识用户的可能性超过可容许的水平时)。
在某些实施例中,通知逻辑1011可通过向用户订阅的管理员广播通道提供包含表示种群计数的数据的广播消息向该用户提供表示种群计数的数据。在某些这种实施例中,已经在系统100内发布属性的所有用户可自动地订阅管理员广播通道。订阅管理员广播通道可采取多种形式中的任何形式,诸如以上所描述的那些。
维度权威机构120可包括认证逻辑1002。认证逻辑1002可操作性地与跟踪逻辑1004耦合,并且可认证维度权威机构120接收的有待用于为特定属性确定种群计数的数据。
维度权威机构120可包括安全逻辑1012。安全逻辑1012可操作性地与通知逻辑1010耦合并且可被配置成用于提供与该属性相对应的密钥以便由该用户用于认证表示该种群计数的该数据。在某些实施例中,安全逻辑1012所提供的密钥可采取维度密钥的实施例中的任何实施例的形式。
维度权威机构120可包括订阅逻辑1014。订阅逻辑1014可操作性地与通知逻辑1010耦合并且可被配置成用于自动地向该管理员广播通道订阅已经在系统100内发布属性的所有用户。
图11示意性地示出根据各个实施例可由消费者设备实现的用于后发布监控的示例方法1100。可认识到,当方法1100(以及在此公开的方法中的任何方法)的操作以特定顺序安排并一次展示每一个时,在各个实施例中,可重复、省略或乱序执行这些操作中的一个或多个。为了说明性目的,方法1100的操作可被描述为由CIM 110针对任意属性“X”(与维度权威机构120和系统100通信)执行,但是方法1100可由任何适当地配置的设备(例如,编程处理系统、ASIC或另一个无线计算设备)执行。方法1100的操作中的任何操作可根据在此描述的系统100的实施例中的任何实施例执行。
在框1102,CIM 110可确定CIM 110正在监听来自维度权威机构120的更新。如果CIM 110在框1102确定其未在监听来自维度权威机构120的更新,CIM 110可继续到框1104并且开始从维度权威机构120接收更新的监听器过程。监听器过程可包括CIM 110在监听通道(例如,管理员广播通道)上监听来自维度权威机构120的更新。监听器过程的监听阶段可具有较长的持续时间或较短的持续时间。较短持续时间监听器过程可被称为“轮询”或“长轮询”过程。在某些实施例中,CIM 110可在框1104重新开始监听器过程,如果CIM 110接收到指示或以其他方式确定通过监听通道交换的信息可由维度权威机构120或某个其他设备用于消除与CIM 110相关联的设备或用户的匿名。
如果CIM在框1102确定其正在监听来自维度权威机构120的更新,CIM 110可继续到框1106并且确定(例如,经由通知接收逻辑902)是否已经接收到指示系统100中的已经发布属性X的种群计数的减少的通知。如果CIM 110在框1106确定尚未接收到这种通知,CIM110可返回框1106,继续监听过程并且监控来自维度权威机构120的更新。
如果CIM 110在框1106确定已经接收到对属性X的通知,CIM 110可继续到框1108并且确定(例如使用公共简档逻辑904)与CIM 110相关联的用户是否已经发布属性X。例如,CIM 110可通过确定属性X是否包括在该组公共属性914中执行框1108的操作。如果CIM 110在框1108确定用户尚未发布属性X,CIM 110可返回框1106,继续监听过程并且监控来自维度权威机构120的更新。
如果CIM在框1108确定用户已经发布属性X,CIM 110可继续到框1110并且确定(例如,使用风险分析逻辑908)表示属性X的继续发布将允许标识用户的可能性的值。在某些实施例中,在框1110确定的值可包括匿名索引。
在框1112,CIM 110可对在框1110确定的值与阈值进行比较(例如,使用用户隐私逻辑910)。该阈值可以是匿名阈值或者在此公开的任何其他合适的阈值。具体地,在框1112,CIM 110可确定标识可能性的值是否大于该阈值。如果CIM 110在框1112确定表示可能性的值大于该阈值,CIM 110可返回框1106,继续监听过程并且监控来自维度权威机构120的更新。
如果CIM 110在框1112确定表示可能性的值小于该阈值(例如,匿名阈值),CIM110可继续到框1114并且从与用户相关联的该组公共属性移除属性X(例如,该组公共属性914)。在框1116,CIM 110可将属性X包括在与用户相关联的一组私有属性中(例如,该组私有属性916)。CIM 110可返回框1106并且继续监听过程并且监控来自维度权威机构120的更新。
图12示意性地示出根据各个实施例可由维度权威机构实现的用于后发布监控的示例方法1200。为了说明性目的,方法1200的操作可被描述为由维度权威机构120针对任意属性“X”(与CIM 110和系统100通信)执行,但是方法1200可由任何适当地配置的设备(例如,编程处理系统、ASIC或另一个无线计算设备)执行。方法1200的操作中的任何操作可根据在此描述的系统100的实施例中的任何实施例执行。
在框1202,维度权威机构120可使用户订阅管理员广播通道(使用例如订阅逻辑1014)。订阅逻辑1014可在用户发布属性时发起向发布订阅服务器进行订阅而无需任何用户干涉。在某些实施例中,发布属性的用户可能无法选择订阅管理员广播通道。
在框1204,维度权威机构120可接收可用于(例如,由跟踪逻辑1004)确定已经发布属性X的用户的种群计数的数据。这个数据可接收自系统100中的任何用户和其他实体,如在此所描述的。
在框1206,维度权威机构120可认证在框1204接收的数据(例如,使用认证逻辑1002)。在框1206的认证可采取任何合适的认证技术的形式,如在此公开的那些。
在框1208,维度权威机构120可跟踪已经发布属性X的系统100的用户的种群计数(例如,使用跟踪逻辑1004)。在某些实施例中,维度权威机构120可仅将经认证数据用于在框1208跟踪种群计数。
在框1210,维度权威机构120可确定(例如,使用种群改变逻辑1006)属性X的种群计数是否已经减少阈值量。在某些实施例中,在框1210做出的确定可采取以上参照图10的种群改变逻辑1006描述的任何实施例的形式。如果维度权威机构120在框1210确定属性X的种群计数尚未减少阈值量,维度权威机构120可返回框1208并且继续跟踪属性X的种群计数。
如果维度权威机构120在框1210确定属性X的种群计数已经减少阈值量,维度权威机构120可继续到框1212并且向系统100的用户提供表示属性X的种群计数的数据(例如,使用通知逻辑1010)。在某些实施例中,通知逻辑1011可通过向用户订阅的管理员广播通道提供包含表示种群计数的数据的广播消息向该用户提供表示种群计数的数据,如上所述。
在框1214,维度权威机构120(例如,安全逻辑1012)可提供与该属性相对应的密钥(例如,维度密钥)以便由用户用于认证表示在框1212提供的种群计数的数据。维度权威机构120可然后返回框1208并且继续跟踪属性X的种群计数。
在某些实施例中,CIM 110和/或维度权威机构120可被配置成用于针对成对、三元组或其他组合属性执行在此讨论的后发布监控技术。例如,用户可初始地安全地公开她具有“红色头发”和“不良视力”,但是如果开发了治疗红头发人的不良视力的疗法,该特质组合可变得非常稀有,即使这两个特质都不单独地变得稀少。维度权威机构120可被配置成用于提供表示单个属性、成对属性、三元组属性以及任何其他期望的属性组合的数据,并且CIM可被配置成用于当确定是否应当解除发布一个或多个属性时评估这种种群计数。在某些实施例中,维度权威机构120和/或CIM 110可以用递归的方式分析这些更高阶组合。
图13示出根据各个实施例的示例计算设备1300。在此所描述的消费者设备102或另一个网络实体(例如,104、106、108、110、120和316)以及计算系统的全部或一部分可在计算设备(诸如计算设备1300)上实现。计算设备1300可包括多个组件、一个或多个处理器1304和至少一个通信芯片1306。在各个实施例中,该一个或多个处理器1304各自可以是处理器核。在各个实施例中,该至少一个通信芯片1306还可物理地并电气地耦合到该一个或多个处理器1304。在进一步的实现方式中,通信芯片1306可以是该一个或多个处理器1304的一部分。在各个实施例中,计算设备1300可包括印刷电路板(“PCB”)1302。对于这些实施例,该一个或多个处理器1304和通信芯片1306可被布置在其上。在替代实施例中,各个实施例可在不采用PCB 1302的情况下耦合。
取决于其应用,计算设备1300可包括可或可不物理地和电气地耦合到PCB 1302的其他组件。这些其他组件包括但不限于易失性存储器(例如动态随机存取存储器1308,也被称为“DRAM”)、非易失性存储器(例如只读存储器1310,也被称为“ROM”)、快闪存储器1312、输入/输出控制器1314、数字信号处理器(未示出)、加密处理器(未示出)、图形处理器1316、一个或多个天线1318、显示器(未示出)、触摸屏显示器1320、触摸屏控制器1322、电池1324、音频编解码器(未示出)、视频编解码器(未示出)、全球定位系统(“GPS”)设备1328、温度计(未示出)、Geiger计数器(未示出)、罗盘1330、气压计1332、照相机1334、以及大容量存储设备(诸如硬盘驱动器、固态驱动器、致密盘(“CD”)、数字通用盘(“DVD”)(未示出))、加速度计1336、陀螺仪1338等等。在各个实施例中,处理器1304可与其他组件被集成到同一螺片上以便形成SoC。
在各个实施例中,计算设备1300可包括或者可被配置成用于读取其上有指令的计算机可读介质,当由计算设备1300的一个或多个处理设备执行时,这些指令致使计算设备1300执行在此公开的操作中的一个或多个操作。例如,易失性存储器(例如,DRAM 1308)、非易失性存储器(例如,ROM 1310)、闪存1312以及大容量存储设备可包括编程指令,这些编程指令被配置成用于响应于由一个或多个处理器1304执行而使得计算设备1300能够实践方法和/或数据交换200、400、500、700或800的所有或所选方面,取决于计算设备1300是用于实现消费者设备102、维度权威机构120、P&S服务器316、供应商106还是在此描述的其他实体。更具体地,存储器组件中的一个或多个(诸如易失性存储器(例如,DRAM 1308)、非易失性存储器(例如,ROM 1310)、闪存1312以及大容量存储设备)可包括指令的临时和/或持久拷贝,这些指令当由一个或多个处理器1340执行时使得计算设备1304能够实践方法和/或数据交换200、400、500、700或1200的所有或所选方面,取决于计算设备1300是用于实现消费者设备102、维度权威机构120、P&S服务器316、供应商106还是在此描述的其他实体。在各个实施例中,一个或多个处理器1304以及易失性存储器(例如,DRAM 1308)、非易失性存储器(例如,ROM 1310)和/或闪存1312的部分可被配置成用于为较早描述的受信执行环境112提供安全分区。
通信芯片1306可实现有线和/或无线通信以便向和从计算设备1300传递数据。术语“无线”及其衍生物可用于描述可通过使用经调制的电磁辐射经由非固态介质传递数据的电路、设备、系统、方法、技术、通信信道等等。该术语不暗示相关联的设备不包含任何电线,尽管在某些实施例中它们可能包含。通信芯片1306可实现多个无线标准或协议中的任一种,包括但不限于IEEE 902.20、通用无线分组业务(“GPRS”)、演进数据优化(“Ev-DO”)、演进高速分组接入(“HSPA+”)、演进高速下行链路分组接入(“HSDPA+”)、演进高速上行分组接入(“HSUPA+”)、全球移动通信系统(“GSM”)、增强GSM演进数据速率(“EDGE”)、码分多址(“CDMA”)、时分多址(“TDMA”)、数字增强无绳通信(“DECT”)、蓝牙、其衍生物以及被指定为3G、4G、5G等等的任何其他无线协议。计算设备1300可包括多个通信芯片1306。例如,第一通信芯片1306可专用于短距离无线通信(诸如Wi-Fi和蓝牙),而第二通信芯片1306可专用于长距离无线通信(诸如GPS、EDGE、GPRS、CDMA、WiMAX、LTE、Ev-DO等等)。
在各实现方式中,计算设备1300可以是膝上计算机、上网本计算机、笔记本计算机、超极本计算机TM、智能电话、平板计算机、个人数字助理(“PDA”)、超移动PC、移动电话、桌上计算机、服务器、打印机、扫描仪、监视器、机顶盒、娱乐控制装置、数码相机、便携式音乐播放器、或数字录像机。在进一步的实现方式中,计算设备1300可以是处理数据的任何其他电子设备。
以下段落描述在此公开的实施例的非限制性示例。示例1是一种与多用户计算系统的用户相关联的消费者信息管理设备,包括:通知接收逻辑,用于从维度权威机构设备接收该计算系统的已经在该计算系统内发布属性的用户种群计数减少的通知,其中,当属性被包括在与用户相关联的一组公共属性中时,该用户已经发布该属性;公共简档逻辑,操作性地与该通知接收逻辑耦合,用于确定该用户是否已经发布该属性;风险分析逻辑,操作性地与该通知接收逻辑和该公共简档逻辑耦合,用于响应于接收到该用户种群计数减少的通知以及确定该用户已经发布该属性,而确定表示该属性的继续发布将实现标识该用户的可能性的值;用户隐私逻辑,操作性地与该风险分析逻辑耦合,用于将表示该可能性的该值与阈值进行比较;以及简档改变逻辑,操作性地与该用户隐私逻辑和该公共简档逻辑耦合,用于当表示该可能性的该值超过该阈值时从该组公共属性移除该属性。
示例2可包括示例1所述的主题,并且可指定该简档改变逻辑进一步用于将该属性包括在与该用户相关联的一组私有属性中,其中,包括在该组私有属性中的属性对该维度权威机构设备不可用。
示例3可包括示例1至2中任一项所述的主题,并且进一步指定该计算系统是社交媒体计算系统。
示例4可包括示例1至3中任一项所述的主题,并且可指定包括在与该用户相关联的该组公共属性中的属性对该计算系统的至少一个其他实体可用。
示例5可包括示例1至4中任一项所述的主题,并且可指定该至少一个其他实体包括内容提供商,该内容提供商用于基于与该用户相关联的该组公共属性中的至少一个属性为该用户选择内容。
示例6可包括示例1至5中任一项所述的主题,并且可指定该简档改变逻辑用于从该组公共属性移除该属性而不要求该用户在接收到该通知与移除该属性之间的时间段中授权该移除。
示例7可包括示例1至6中任一项所述的主题,并且进一步指定该阈值基于与该用户相关联的风险容限。
示例8可包括示例1至7中任一项所述的主题,并且可指定该简档改变逻辑进一步用于当表示该可能性的该值超过该阈值时从与该属性相关联的通道将该用户解除订阅。
示例9是一种与多用户计算系统相关联的维度权威机构设备,包括:跟踪逻辑,用于跟踪该计算系统的已经在该计算系统内发布属性的用户种群计数;种群改变逻辑,操作性地与该跟踪逻辑耦合,用于确定该种群计数何时减少阈值量;以及通知逻辑,操作性地与该种群改变逻辑耦合,用于响应于确定该种群计数已经减少该阈值量而向该计算系统的该用户提供表示该种群计数的数据。
示例10可包括示例9所述的主题,并且可指定提供表示该种群计数的数据包括向代表用户操作的消费者信息管理设备提供表示该种群计数的数据,以便使得该消费者信息管理设备能够响应于确定继续发布违反隐私准则而从与该用户相关联的一组公共属性移除该属性。
示例11可包括示例9至10中任一项所述的主题,并且可指定向该用户提供表示该种群计数的数据包括向该用户订阅的管理员广播通道提供包含表示该种群计数的该数据的广播消息。
示例12可包括示例9至11中任一项所述的主题,并且可进一步包括订阅逻辑,操作性地与该通知逻辑耦合,用于自动地向该管理员广播通道订阅已经在该计算系统内发布属性的所有用户。
示例13可包括示例9至12中任一项所述的主题,并且可指定该属性包括与用户相关联的亲密度、用户的人口统计信息或用户的活动历史中的至少一项。
示例14可包括示例9至13中任一项所述的主题,并且可指定在该计算系统内发布属性包括向该计算系统的发布订阅服务器注册该属性。
示例15可包括示例9至14中任一项所述的主题,并且可指定确定该种群计数何时减少阈值量包括在特定的时间段内确定该种群计数何时已经减少阈值量,表示减少的改变率。
示例16可包括示例9至15中任一项所述的主题,并且可进一步包括认证逻辑,操作性地与该跟踪逻辑耦合,用于认证用于确定该种群计数的数据;以及安全逻辑,操作性地与该通知逻辑耦合,用于提供与该属性相对应的密钥以便由该用户用于认证表示该种群计数的该数据。
图17是一种用于监控在计算系统中发布的属性的方法,包括:从维度权威机构设备接收该计算系统的已经在该计算系统内发布属性的用户种群计数减少的通知,其中,当属性被包括在与用户相关联的一组公共属性中时,该用户已经发布该属性;确定该用户是否已经发布该属性;响应于接收到该用户种群计数减少的通知以及确定该用户已经发布该属性,而确定表示该属性的继续发布将实现标识该用户的可能性的值;将表示该可能性的该值与阈值进行比较;以及当表示该可能性的该值超过该阈值时从该组公共属性移除该属性。
示例18可包括示例17所述的主题,并且可指定包括在与该用户相关联的该组公共属性中的属性对该计算系统的至少一个其他实体可用。
示例19可包括示例17至18中任一项所述的主题,并且可指定该至少一个其他实体包括内容提供商,该内容提供商用于基于与该用户相关联的该组公共属性中的至少一个属性为该用户选择内容。
示例20可包括示例17至19中任一项所述的主题,并且可指定进行从该组公共属性移除该属性而不要求该用户在接收到该通知与移除该属性之间的时间段中授权该移除。
示例21可包括示例17至20中任一项所述的主题,并且进一步指定该阈值基于与该用户相关联的风险容限。
示例22是一种用于监控在计算系统中发布的属性的方法,包括:跟踪该计算系统的已经在该计算系统内发布属性的用户种群计数;确定该种群计数何时减少阈值量;以及响应于确定该种群计数已经减少该阈值量而向该计算系统的该用户提供表示该种群计数的数据。
示例23可包括示例22所述的主题,并且可指定向该用户提供表示该种群计数的数据包括向代表用户操作的消费者信息管理设备提供表示该种群计数的数据,以便使得该消费者信息管理设备能够响应于确定继续发布违反隐私准则而从与该用户相关联的一组公共属性移除该属性。
示例24可包括示例22至23中任一项所述的主题,并且可指定向该用户提供表示该种群计数的数据包括向该用户订阅的管理员广播通道提供包含表示该种群计数的该数据的广播消息。
示例25可包括示例22至24中任一项所述的主题,并且可指定在该计算系统内发布属性包括向该计算系统的发布订阅服务器注册该属性。
示例26是其上具有指令的一种或多种计算机可读介质,响应于由计算设备的一个或多个处理设备执行,该指令致使该计算设备执行如示例17至25中任一项所述的方法。
示例27是一种包括用于执行示例17至25中任一项所述的方法的装置的装置。
示例28是一种系统,包括:一个或多个处理设备;以及其上具有指令的一个或多个计算机可读介质,响应于由该一个或多个处理设备执行,该指令致使该装置执行如示例17至25中任一项所述的方法。
包括在摘要中描述的内容的所示实现方式的在此的描述不旨在是排他性的或者将本公开的实施例限制为所公开的精确形式。尽管在此为了说明性目的描述了具体实现方式,在本公开的范围内,各种等效修改是可能的,正如本领域普通技术人员将认识到的那样。
可鉴于以上细节描述对示例实施例做出这些修改。在以下权利要求书中所使用的术语不应被解释为将本公开的范围限制到在说明书和权利要求书中公开的具体实现方式。
Claims (27)
1.一种与多用户计算系统的用户相关联的消费者信息管理设备,包括:
通知接收逻辑,用于从维度权威机构设备接收所述计算系统的已经在所述计算系统内发布属性的用户种群计数减少的通知,其中,当属性被包括在与用户相关联的一组公共属性中时,所述用户已经发布所述属性,其中所述通知包括维度数据,所述维度数据是通过使用一个或多个维度密钥来认证的,所述一个或多个维度密钥包括在制造期间被预先配置到所述一个或多个计算机设备的私钥以及与所述私钥相对应的公钥;
公共简档逻辑,操作性地与所述通知接收逻辑耦合,用于确定所述用户是否已经发布所述属性;
风险分析逻辑,操作性地与所述通知接收逻辑和所述公共简档逻辑耦合,用于响应于接收到所述用户种群计数减少的通知以及确定所述用户已经发布所述属性,而确定表示所述属性的继续发布将实现标识所述用户的可能性的值;
用户隐私逻辑,操作性地与所述风险分析逻辑耦合,用于将表示所述可能性的所述值与阈值进行比较;以及
简档改变逻辑,操作性地与所述用户隐私逻辑和所述公共简档逻辑耦合,用于当表示所述可能性的所述值超过所述阈值时从所述组公共属性移除所述属性。
2.如权利要求1所述的消费者信息管理设备,其中,所述简档改变逻辑进一步用于将所述属性包括在与所述用户相关联的一组私有属性中,其中,包括在所述组私有属性中的属性对所述维度权威机构设备不可用。
3.如权利要求1所述的消费者信息管理设备,其中,所述计算系统是社交媒体计算系统。
4.如权利要求1所述的消费者信息管理设备,其中,包括在与所述用户相关联的所述组公共属性中的属性对所述计算系统的至少一个其他实体可用。
5.如权利要求4所述的消费者信息管理设备,其中,所述至少一个其他实体包括内容提供商,所述内容提供商用于基于与所述用户相关联的所述组公共属性中的至少一个属性为所述用户选择内容。
6.如权利要求1所述的消费者信息管理设备,其中,所述简档改变逻辑用于从所述组公共属性移除所述属性而不要求所述用户在接收到所述通知与移除所述属性之间的时间段中授权所述移除。
7.如权利要求1所述的消费者信息管理设备,其中,所述阈值基于与所述用户相关联的风险容限。
8.如权利要求1至7中任一项所述的消费者信息管理设备,其中,所述简档改变逻辑进一步用于当表示所述可能性的所述值超过所述阈值时从与所述属性相关联的通道将所述用户解除订阅。
9.一种与多用户计算系统的用户相关联的维度权威机构设备,包括:
跟踪逻辑,用于跟踪所述计算系统的已经在所述计算系统内发布属性的用户种群计数;
种群改变逻辑,操作性地与所述跟踪逻辑耦合,用于确定所述种群计数何时减少阈值量;以及
通知逻辑,操作性地与所述种群改变逻辑耦合,用于响应于确定所述种群计数已经减少所述阈值量而向所述计算系统的所述用户提供表示所述种群计数的数据,
其中所述数据包括维度数据,所述维度数据是通过使用一个或多个维度密钥来认证的,所述一个或多个维度密钥包括在制造期间被预先配置到所述一个或多个计算机设备的私钥以及与所述私钥相对应的公钥。
10.如权利要求9所述的维度权威机构设备,其中,提供表示所述种群计数的数据包括向代表用户操作的消费者信息管理设备提供表示所述种群计数的数据,以便使得所述消费者信息管理设备能够响应于确定继续发布违反隐私准则而从与所述用户相关联的一组公共属性移除所述属性。
11.如权利要求9所述的维度权威机构设备,其中,向所述用户提供表示所述种群计数的数据包括向所述用户订阅的管理员广播通道提供包含表示所述种群计数的所述数据的广播消息。
12.如权利要求9所述的维度权威机构设备,进一步包括:
订阅逻辑,操作性地与所述通知逻辑耦合,用于自动地向管理员广播通道订阅已经在所述计算系统内发布属性的所有用户。
13.如权利要求9所述的维度权威机构设备,其中,所述属性包括与用户相关联的亲密度、用户的人口统计信息或用户的活动历史中的至少一项。
14.如权利要求9至13中任一项所述的维度权威机构设备,其中,在所述计算系统内发布属性包括向所述计算系统的发布订阅服务器注册所述属性。
15.如权利要求9至13中任一项所述的维度权威机构设备,其中,确定所述种群计数何时减少阈值量包括在特定的时间段内确定所述种群计数何时已经减少阈值量,表示减少的改变率。
16.如权利要求9至13中任一项所述的维度权威机构设备,进一步包括:
认证逻辑,操作性地与所述跟踪逻辑耦合,用于认证用于确定所述种群计数的数据;以及
安全逻辑,操作性地与所述通知逻辑耦合,用于提供与所述属性相对应的密钥以便由所述用户用于认证表示所述种群计数的所述数据。
17.一种用于监控在计算系统中发布的属性的方法,包括:
从维度权威机构设备接收所述计算系统的已经在所述计算系统内发布属性的用户种群计数减少的通知,其中,当属性被包括在与用户相关联的一组公共属性中时,所述用户已经发布所述属性,其中所述通知包括维度数据,所述维度数据是通过使用一个或多个维度密钥来认证的,所述一个或多个维度密钥包括在制造期间被预先配置到所述一个或多个计算机设备的私钥以及与所述私钥相对应的公钥;
确定所述用户是否已经发布所述属性;
响应于接收到所述用户种群计数减少的通知以及确定所述用户已经发布所述属性,而确定表示所述属性的继续发布将实现标识所述用户的可能性的值;
将表示所述可能性的所述值与阈值进行比较;以及
当表示所述可能性的所述值超过所述阈值时从所述组公共属性移除所述属性。
18.如权利要求17所述的方法,其中,包括在与所述用户相关联的所述组公共属性中的属性对所述计算系统的至少一个其他实体可用。
19.如权利要求18所述的方法,其中,所述至少一个其他实体包括内容提供商,所述内容提供商用于基于与所述用户相关联的所述组公共属性中的至少一个属性为所述用户选择内容。
20.如权利要求17所述的方法,其中,进行从所述组公共属性移除所述属性而不要求所述用户在接收到所述通知与移除所述属性之间的时间段中授权所述移除。
21.如权利要求17所述的方法,其中,所述阈值基于与所述用户相关联的风险容限。
22.一种用于监控在计算系统中发布的属性的方法,包括:
跟踪所述计算系统的已经在所述计算系统内发布属性的用户种群计数;
确定所述种群计数何时减少阈值量;以及
响应于确定所述种群计数已经减少所述阈值量而向所述计算系统的所述用户提供表示所述种群计数的数据,
其中所述数据包括维度数据,所述维度数据是通过使用一个或多个维度密钥来认证的,所述一个或多个维度密钥包括在制造期间被预先配置到所述一个或多个计算机设备的私钥以及与所述私钥相对应的公钥。
23.如权利要求22所述的方法,其中,向所述用户提供表示所述种群计数的数据包括向代表用户操作的消费者信息管理设备提供表示所述种群计数的数据,以便使得所述消费者信息管理设备能够响应于确定继续发布违反隐私准则而从与所述用户相关联的一组公共属性移除所述属性。
24.如权利要求22所述的方法,其中,向所述用户提供表示所述种群计数的数据包括向所述用户订阅的管理员广播通道提供包含表示所述种群计数的所述数据的广播消息。
25.如权利要求22所述的方法,其中,在所述计算系统内发布属性包括向所述计算系统的发布订阅服务器注册所述属性。
26.一种其上存储有指令的计算机可读介质,所述指令当由计算机处理器执行时使所述处理器执行如权利要求17至25中任一项所述的方法。
27.一种用于监控在计算系统中发布的属性的设备,包括用于执行如权利要求17至25中任一项所述的方法的装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/035,559 US9710670B2 (en) | 2012-12-20 | 2013-09-24 | Publication and removal of attributes in a multi-user computing system |
US14/035,559 | 2013-09-24 | ||
PCT/US2014/053589 WO2015047665A1 (en) | 2013-09-24 | 2014-08-29 | Publication and removal of attributes in a multi-user computing system |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105531736A CN105531736A (zh) | 2016-04-27 |
CN105531736B true CN105531736B (zh) | 2020-02-18 |
Family
ID=52744330
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480047321.5A Expired - Fee Related CN105531736B (zh) | 2013-09-24 | 2014-08-29 | 在多用户计算系统中发布并移除属性 |
Country Status (5)
Country | Link |
---|---|
US (2) | US9710670B2 (zh) |
EP (1) | EP3050020B1 (zh) |
KR (1) | KR101845872B1 (zh) |
CN (1) | CN105531736B (zh) |
WO (1) | WO2015047665A1 (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2821438A1 (en) * | 2010-12-27 | 2012-07-05 | Nec Corporation | Information protection device and information protection method |
GB2505208A (en) * | 2012-08-22 | 2014-02-26 | Ibm | Node attribute validation in a network |
US9864965B2 (en) * | 2014-09-30 | 2018-01-09 | Sap Se | Multi-dimensional target setting application |
US9635021B2 (en) * | 2014-12-18 | 2017-04-25 | Intel Corporation | Trusted ephemeral identifier to create a group for a service and/or to provide the service |
US10289610B2 (en) * | 2015-08-17 | 2019-05-14 | Mcafee, Llc | Anonymous device operation |
US11188678B2 (en) * | 2018-05-09 | 2021-11-30 | Fujitsu Limited | Detection and prevention of privacy violation due to database release |
WO2020023759A1 (en) * | 2018-07-26 | 2020-01-30 | Insight Sciences Corporation | Secure electronic messaging system |
US11196693B2 (en) | 2019-03-20 | 2021-12-07 | Allstate Insurance Company | Unsubscribe automation |
US11232229B2 (en) | 2019-03-20 | 2022-01-25 | Infoarmor, Inc. | Unsubscribe and delete automation |
US11374889B2 (en) | 2019-03-20 | 2022-06-28 | Infoarmor, Inc. | Unsubscribe and delete automation |
US11620408B2 (en) | 2019-03-27 | 2023-04-04 | Privacy Analytics Inc. | Systems and methods of data transformation for data pooling |
US11605089B2 (en) * | 2019-05-09 | 2023-03-14 | 7-Eleven, Inc. | Remote data access using a network-enabled fuel dispensing system |
US11855831B1 (en) | 2022-06-10 | 2023-12-26 | T-Mobile Usa, Inc. | Enabling an operator to resolve an issue associated with a 5G wireless telecommunication network using AR glasses |
CN115473782B (zh) * | 2022-11-11 | 2023-03-03 | 北京数盾信息科技有限公司 | 一种密码设备的管理方法及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1611073A (zh) * | 2001-12-31 | 2005-04-27 | 皇家飞利浦电子股份有限公司 | 允许用户组合多个简档的内容的访问和显示的方法和设备 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7194424B2 (en) | 1997-06-25 | 2007-03-20 | Intel Corporation | User demographic profile driven advertising targeting |
US7392281B1 (en) | 2000-02-25 | 2008-06-24 | Navic Systems, Inc. | System and method for providing guaranteed delivery of messages to embedded devices over a data network |
KR100499097B1 (ko) | 2003-08-01 | 2005-07-01 | 주식회사 데이콤멀티미디어인터넷 | 세분화된 3차원 위치 기반 서비스 서버를 이용한 모바일비즈니스 푸쉬 서비스 방법 및 시스템 |
CN1848742A (zh) | 2005-01-10 | 2006-10-18 | 三星电子株式会社 | 确定用户上下文并建议任务的上下文任务推荐系统和方法 |
CN1858782A (zh) * | 2005-12-05 | 2006-11-08 | 华为技术有限公司 | 一种基于用户业务数据生成用户群的方法及装置 |
US8452832B2 (en) | 2006-07-27 | 2013-05-28 | Yahoo! Inc. | System and method for population-targeted advertising |
US20080222283A1 (en) | 2007-03-08 | 2008-09-11 | Phorm Uk, Inc. | Behavioral Networking Systems And Methods For Facilitating Delivery Of Targeted Content |
US20080228700A1 (en) * | 2007-03-16 | 2008-09-18 | Expanse Networks, Inc. | Attribute Combination Discovery |
US9916611B2 (en) | 2008-04-01 | 2018-03-13 | Certona Corporation | System and method for collecting and targeting visitor behavior |
WO2009127771A1 (en) | 2008-04-16 | 2009-10-22 | Nokia Corporation | Privacy management of data |
WO2010011747A1 (en) | 2008-07-22 | 2010-01-28 | New Jersey Institute Of Technology | System and method for protecting user privacy using social inference protection techniques |
US8453179B2 (en) | 2010-02-11 | 2013-05-28 | Intel Corporation | Linking real time media context to related applications and services |
US20110282964A1 (en) | 2010-05-13 | 2011-11-17 | Qualcomm Incorporated | Delivery of targeted content related to a learned and predicted future behavior based on spatial, temporal, and user attributes and behavioral constraints |
US20120158516A1 (en) | 2010-07-20 | 2012-06-21 | Wooten Iii William Eric | System and method for context, community and user based determinatiion, targeting and display of relevant sales channel content |
US8799656B2 (en) * | 2010-07-26 | 2014-08-05 | Intel Corporation | Methods for anonymous authentication and key agreement |
US8510658B2 (en) | 2010-08-11 | 2013-08-13 | Apple Inc. | Population segmentation |
US9396499B2 (en) | 2011-01-27 | 2016-07-19 | Bmc Software, Inc. | Network based application management |
-
2013
- 2013-09-24 US US14/035,559 patent/US9710670B2/en active Active
-
2014
- 2014-08-29 WO PCT/US2014/053589 patent/WO2015047665A1/en active Application Filing
- 2014-08-29 EP EP14847278.0A patent/EP3050020B1/en active Active
- 2014-08-29 CN CN201480047321.5A patent/CN105531736B/zh not_active Expired - Fee Related
- 2014-08-29 KR KR1020157013179A patent/KR101845872B1/ko active Search and Examination
-
2017
- 2017-07-14 US US15/650,563 patent/US10331906B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1611073A (zh) * | 2001-12-31 | 2005-04-27 | 皇家飞利浦电子股份有限公司 | 允许用户组合多个简档的内容的访问和显示的方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
US9710670B2 (en) | 2017-07-18 |
CN105531736A (zh) | 2016-04-27 |
EP3050020B1 (en) | 2020-09-23 |
KR101845872B1 (ko) | 2018-04-05 |
US20140181995A1 (en) | 2014-06-26 |
EP3050020A1 (en) | 2016-08-03 |
US20170316225A1 (en) | 2017-11-02 |
EP3050020A4 (en) | 2017-03-08 |
WO2015047665A1 (en) | 2015-04-02 |
US10331906B2 (en) | 2019-06-25 |
KR20150070387A (ko) | 2015-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105531736B (zh) | 在多用户计算系统中发布并移除属性 | |
US10055758B2 (en) | Provision of anonymous context information and generation of targeted content | |
US11196569B2 (en) | Systems and methods for accuracy and attestation of validity of data shared in a secure distributed environment | |
US11296895B2 (en) | Systems and methods for preserving privacy and incentivizing third-party data sharing | |
US20200084483A1 (en) | Methods and system for serving targeted advertisements to a consumer device | |
US20130332987A1 (en) | Data collection and analysis systems and methods | |
US8239926B1 (en) | Method and system for obtaining identification information on a mobile device | |
Bilogrevic et al. | Adaptive information-sharing for privacy-aware mobile social networks | |
US11271718B2 (en) | Systems and methods for linking anonymized user activities while preserving strong privacy guarantees | |
US11966917B2 (en) | Systems and methods for providing personal rewards in a trustless ecosystem | |
Jo et al. | BPRF: Blockchain-based privacy-preserving reputation framework for participatory sensing systems | |
Ullah et al. | Privacy in targeted advertising on mobile devices: a survey | |
AU2016201364B2 (en) | Method and system for obtaining identification information on a mobile device | |
Liu | Privacy-preserving targeted advertising for mobile devices | |
AU2013206271B2 (en) | Method and system for obtaining identification information on a mobile device | |
Castelluccia et al. | About ENISA |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200218 Termination date: 20210829 |