CN106663268A - 具有临时匿名身份的平台身份架构 - Google Patents
具有临时匿名身份的平台身份架构 Download PDFInfo
- Publication number
- CN106663268A CN106663268A CN201580045508.6A CN201580045508A CN106663268A CN 106663268 A CN106663268 A CN 106663268A CN 201580045508 A CN201580045508 A CN 201580045508A CN 106663268 A CN106663268 A CN 106663268A
- Authority
- CN
- China
- Prior art keywords
- tpi
- pic
- service
- engines
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
- G06Q30/0241—Advertisements
- G06Q30/0251—Targeted advertisements
- G06Q30/0261—Targeted advertisements based on user location
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/021—Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/20—Services signaling; Auxiliary data signalling, i.e. transmitting data via a non-traffic channel
- H04W4/21—Services signaling; Auxiliary data signalling, i.e. transmitting data via a non-traffic channel for social networking applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/06—Registration at serving network Location Register, VLR or user mobility server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Development Economics (AREA)
- Finance (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Game Theory and Decision Science (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Marketing (AREA)
- General Business, Economics & Management (AREA)
- Software Systems (AREA)
- Medical Informatics (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
在示例中,公开了一种客户端服务器平台身份架构。所述平台身份架构可以用于使场所运营商能够提供在线服务并收集遥测数据和度量,同时给最终用户更大的隐私控制。当进入可兼容场所时,所述用户的设备在安全硬件或软件中生成经签名的临时匿名身份(TPI)。上传至所述场所服务器的任何遥测包括所述签名,从而使得所述服务器可以验证所述数据是有效的。所述TPI可以具有内置式到期。所述场所服务器可以因此在所述TPI的期限期间接收有用的跟踪数据,而所述用户被确保所述数据未被永久地维持或者与个人标识信息相关。
Description
相关申请的交叉引用
本申请要求于2014年9月25日提交的题为“Platform Identity Architecturewith a Temporary Pseudonymous Identity(具有临时匿名身份的平台身份架构)”的美国实用新型申请号14/495,959的优先权,所述申请通过引用结合在此。
技术领域
本公开涉及消费者隐私领域,并且更具体地涉及用户的临时匿名身份。
背景技术
随着互联网在发展的世界中变得几乎无处不在,用户发现他们自己越来越多地在线。而在过去,用户必须坐在台式计算机处并且刻意地拨号连接至缓慢的基于调制解调器的互联网服务,迅速地完成其在线工作,并且然后立即下线以空出电话线,现代的用户可以一直连接于多个设备。用户可以携带智能电话,其可以包括GPS、无线数据计划以及Wi-Fi能力,确保用户几乎不与一个数据服务器或另一个数据服务器断开。用户还可以携带启用Wi-Fi或者具有移动数据服务的膝上型计算机,并且Wi-Fi可以被配置成用于自动地连接或试图连接以打开Wi-Fi网络。因此,连接至互联网不再是刻意的且临时性动作,而是与现代社会进行交互的自然且自动的一部分。
随着互联网用户、连接设备以及可用连接方法的数量激增,因此“大数据”的值也极大地增长。跟踪cookie网络和数据聚合器创建了复杂的、深度交互的踪迹网络,从而使得用户在一个地方在线完成的几乎所有事情可以与他在任何其他地方在线完成的几乎其他所有事情相关。实际上,在一些情况中,用户可被请求用个人标识信息进行注册,或者提供例如Google或Facebook账户以获得对期望服务的访问。
这些度量可以具有针对广告者和商人的特殊值,所述广告者和商户想要以最相关的用户为目标来花费其广告费用。在一些情况中,有针对性的广告相比几乎不加选择地针对一般受众的大规模广告可以更有可能产生实际销售。
数据度量对于最终用户也可以是有用的,所述最终用户可以接收更相关且有趣的内容。因此,在一些情况中,用户乐意提供度量,以期望具有更好的在线体验。
附图说明
当与附图一起阅读时,将从以下详细描述中更好地理解本公开。强调的是,根据行业中的标准实践,不同特征未按比例绘制,并且仅用于说明性目的。实际上,为了讨论的清晰起见,可以任意地增大或者减小各种特征的尺寸。
图1是根据本说明书的一个或多个示例的安全使能网络的框图。
图2是根据本说明书的一个或多个示例的计算设备的框图。
图3是根据本说明书的一个或多个示例的服务器的框图。
图4是根据本说明书的一个或多个示例的安全环境的框图。
图5是根据本说明书的一个或多个示例的由计算设备执行的方法的流程图。
图6是根据本说明书的一个或多个示例的由服务器执行的方法的框图。
图7是根据本说明书的一个或多个示例的方法的信号流图。
图8是根据本说明书的一个或多个示例的方法的信号流图。
具体实施方式
概述
在示例中,公开了一种客户端服务器平台身份架构。所述平台身份架构可以用于使场所运营商能够提供在线服务并收集遥测数据和度量,同时给最终用户更大的隐私控制。当进入可兼容场所时,所述用户的设备在安全硬件或软件中生成经签名的临时匿名身份(TPI)。上传至所述场所服务器的任何遥测包括所述签名,从而使得所述服务器可以验证所述数据是有效的。所述TPI可以具有内置式到期。所述场所服务器可以因此在所述TPI的期限期间接收有用的跟踪数据,而所述用户被确保所述数据未被永久地维持或者与个人标识信息相关。
本公开的示例实施例
以下公开提供了用于实施本公开的不同特征的许多不同实施例或示例。以下描述了部件和安排的具体示例以便简化本公开。当然,这些仅是示例并且并不旨在是限制性的。另外,本公开在各种示例中可以重复参考标号和/或字母。这种重复是出于简单和清晰的目的,并且本身并不指定所讨论的各种实施例和/或配置之间的关系。
不同实施例可以有不同的优点,并且不一定需要任何实施例的任何特定优点。
随着大数据和用户度量实现了普遍存在,隐私反弹也出现了。在这种隐私反向运动中,许多用户考虑收集关于其的这种大量的个人信息的较大的匿名公司。具体地,一些用户可能不想要他们在在线进行的任何事情都永久被跟踪返回。一些用户更喜欢保持其在线活动的至少一部分完全隐私,并且针对其他活动,甚至如果它们自身并非隐私的,用户可能发现具有其所维持的活动的全面简况会令人不安。
实际上,在用户已经联网之后,场所控制MAC地址、IP地址/DHCP名称、DNS名称、SSL/TLS会话ID、BIOS GUID、应用程序UUID、电子邮件地址、凭证和SSL的整个国际标准组织开放系统互连(ISO OSI)栈。附加的隐私细节(如MAC地址和/或应用程序ID)在联网过程中可变得可用并且可以存储在服务提供商的数据库中以用于进一步跟踪和分析以及最终累积和永久性存储。
因此,许多用户可以变得对数据隐私以及对确保其每次在线交易不被聚合成单个巨大的数据库非常感兴趣,所述在线交易然后被永久性地存储。为了提高隐私性,用户可以安装网页浏览器附件,如,广告拦截器和隐私防护。
因此,高度重视隐私的用户的兴趣可能似乎直接在于奇特的事物,其中,商人和广告者的兴趣重视提供目标内容的能力。
当数据聚合的值部分地或完全地偏移提供网络或在线服务的成本时,附加的因素发挥作用。例如,像购物中心或运动公园的场所可以为用户提供“免费的”Wi-Fi服务。交换地,用户可被要求统一某级别的跟踪以为场所运营商提供值。
例如,当具有Wi-Fi功能设备的用户进入购物商场时,所述购物商场可以经由开放式无线接入点(WAP)贯穿其场所提供Wi-Fi访问。当用户连接于开放式WAP时,他可能被要求在访问互联网或其他网络服务之前同意服务条款。服务条款可以包括提供用户在购物商场内的活动可以被跟踪以用于广告目的,因此针对购物商场和最终用户两者丰富Wi-Fi网络的值。确切地,最终用户接收期望的互联网访问,而购物商场接收将广告定向至用户的能力。在一些情况中,用户还可以同意接收他可能感兴趣的特殊交易的“推送”通知。
然而,如果用户极具隐私意识,那么服务条款对用户而言可能不可接受。在这种情况下,用户不接收免费的互联网访问,并且购物商场不接收来自提供WAP的值。
然而,本说明书描述了一种平台身份客户端服务器架构,其中,具有隐私意识的终端用户和场所运营商可以达成折衷。确切地,用户提供一些与匿名临时身份(TPI)相关的信息,但是所述TPI并不绑定于个人标识信息(尽管其可以包括某些非个人人口统计学学数据),并且具有固定的到期。从而,例如,球场中的用户可以登录到由场所运营商提供的免费WiFi,并且可以同意接收推送通知。在这个示例中,场所运营商可以向用户通知特殊的食物或竞赛,同时跟踪用户参观了球场的哪些部分,并且在一些情况中,他在什么地方花费了金钱。然而,当到期时,TPI被销毁。为了实现此折衷,用户可以自信的是,他的设备将中断以在TPI下在其到期之后提供数据,而场所运营商可以相信的是,来自设备的签名数据在TPI到期之前是有效的。
为此,本说明书描述了一种客户端服务器架构,其中,用户设备上的平台身份客户端(PIC)与由场所运营商操作的平台身份服务器进行通信,所述场所运营商还可以提供基于网络(“云”)的证明服务或与其交互。
在本说明书的示例中,用户的计算设备包括PIC,所述PIC可以是本机应用程序、浏览器附件或其他软件递送机制。在一个实施例中,PIC可操作以检测用户何时进入可能使用TPI的区域,如,具有开放WAP的场所。PIC在可信执行环境(TEE)中操作,如,仅经由(例如,如由SGX架构提供的)特殊安全指令可访问的安全存储器区域(“飞地”)、或安全协处理器(如的Xeon PhiTM、可信平台模块(TPM)兼容的加密处理器、或的聚合安全引擎(CSE))。如贯穿此说明书所使用的,术语“可信执行环境”和“TEE”用于包含任何这种解决方案,无论其是在硬件、软件、固件还是三者的组合中实现的。
可以经由直接匿名证明(DAA)验证TPI。DAA是被配置成用于提供远程鉴别同时保留最终用户的隐私的加密协议。DAA要求可信的第三方——隐私凭证授权(隐私CA)对凭证进行鉴定。每个TEE具有隐私CA已知的嵌入式RSA密钥对。为了证实,TEE生成第二密钥,被称为证明身份密钥(AIK)。TEE将由背书密钥(EK)签名的公共AIK发送至隐私CA,所述隐私CA验证密钥为真实的。有利地,因为来自单个制造商的整个TEE类可以共享公共EK,所述EK自身并非用户或其机器的个人标识。这提供了增强的隐私标识符(EPID),这仅在一段时间内唯一地标识用户,并且不连接至用户的真实世界身份,提供完全的匿名。在一个示例中,TPI是在EPDI顶部上的附加层,其提供完全匿名与完全跟踪之间的折衷。本说明书的证明服务确保TPI是真实的,即使其并非个人地标识用户。场所能够临时地标识用户并执行有用的临时跟踪,而用户能够保持真实世界匿名并防止临时跟踪变成永久性数据库。
“SIGMA”协议可以允许服务提供商供应的“基名”值,所述基名值允许场所运营商无限期地跟踪重复的消费者。然而,重复的消费者没有能力在初始跟踪开始之后退出。有利地,本说明书中公开的方法准许用户在任何时间处退出。
SIGMA是基于迪菲-赫尔曼(Diffie-Hellman)密钥协定的“SIGn”和“MAc”协议。存在描述SIGMA协议类的互联网工程任务组(IETF)标准。英特尔Sigma使用EPID密钥来对迪菲-赫尔曼密钥交换进行签名以校正中间人(MITM)脆弱性。EPID是匿名的,因此仍存在可能性使得TEE可以实现可由攻击程序利用的MITM逻辑。然而,证明可以对此进行校正。基名是由验证器供应的参数。如果验证器想要由这个客户端开始跟踪重复的交易,则他可以分配基名中的唯一ID,所述基名可以由验证器使用以建立所有随后交易的日志。交易日志具有遥测数据后信誉数据形式,所述数据可以用于欺诈检测或者作为不可否认性的历史记录。
在某些实施例中,EPID和SIGMA可以用于通过将由第二方供应的基名值与随机或伪随机数进行混合而构造匿名标识符,以创建在TPI会话期间使用的匿名ID。例如,可以经由XOR或SHA256执行混合。TPI的到期可以是由第一方选择的或者由第二方建议的。
在一个示例中,TPI可以被计算,如下:
TPI=SHA256(DRNG(种子),基名,有效期,″TPI″);
在这个示例中,DRNG()是数字随机数生成器,但是也可以是伪随机数生成器。“基名”是由第二方(验证器,例如,场所运营商)供应的值。“有效期”指定到期,所述到期可以是绝对时间或时间范围。字符串“TPI”用于防止偶然使用作为非TPI对象。所产生的值在散列之前被连结。
在这个示例中,第一方(客户端)具有针对白名单评估基名的选择或者可以应用熵测试以发现唯一属性并且基名是否看起来太暴露隐私。若是,则PIC可以中止参与并不生成TPI,或者可以替换更加令人期望的不同的基名值。PIC然后可以在其响应中上报新的基名。第二方然后具有接受替换或拒绝完成交易的选项。
EPID可以用于构造匿名信道,在所述信道之上可以发生匿名标识符协商
当检测到用户已经进入TPI功能区域时,PIC与平台身份服务器进行通信以协商TPI参数,包括,例如,元数据、人口统计学数据、以及将附加于TPI的到期。PIC然后将TPI(在一个示例中包括安全数字签名)提供至平台身份服务器。
平台身份服务器可以包括平台身份服务器引擎以及证明服务,所述证明服务可以是基于云的服务。平台身份服务器引擎从终端用户的设备接收TPI,并且可以利用证明服务对其极性验证,如,验证凭证是正版的。一旦平台身份服务器已经完全验证且鉴别最终用户的TPI,平台身份服务器就可以开始从客户端的计算设备收集遥测数据。当TPI保持为有效时,平台身份服务器可以使用TPI来制作目标广告并将广告或通知推送出去至用户或以其他方式提供有用的服务。
此外,用户可以选择由场所运营商指定的隐私策略。如果场所运营商请求比合适的或由用户期望的更多的信息,则用户可以修改所述策略以满足用户的隐私顾虑。考虑到丢失的遥测数据,服务提供商可能不能够提供更高级别的安全保护或购物便利,但是用户能够控制决定达到哪个平衡。
在一个示例中,平台身份架构进一步包括公共服务提供商,其在用户的当前或最近购买行为背景下可以使服务个性化、收集并分析与用户活动相关的数据、并提供具有针对性的信息或广告。在这种情况下,到期可以比场所特定的服务更长,但是最终用户的匿名维持得与其身份不再绑定于TPI一样长久。在实施例中,PIC可以基于循环基础生成新的TPI,从而使得用户总是具有拥有服务提供商的现有TPI,但是当前TPI不可以被返回关联至到期的TPI或者至用户的真实世界身份。
根据示例方法,服务提供商可以将策略定义发送至TEE中的TPI服务。这个策略可以指定期望的参数,如,到期、身份推衍算法定义、以及TPI字节大小。这还可以包括特定的应用程序信息和标识,如用户ID或电子邮件,其也可以是临时的。例如,TPI生存期可以为12个小时并且随机密钥大小可以为256个字节。
最终用户可以根据其需要和期望接受或拒绝策略。在用户接受策略之前,非隐私敏感数据被共享。在一些实施例中,用户还可以在接受策略之前对其进行修改,并且场所运营商可以基于用户所选的隐私选项制定可用的服务。一旦策略被设置,其就保持有效直到TPI被取代或被重新配置。在一些实施例中,策略设置使可选的,并且可以提供预定义的默认策略。
在基础操作中,PIC可以收集对服务提供商有意义的遥测数据。PIC还可以检查来自平台身份服务器请求信息的传入请求是否与用户的当前安全设置一致。若是,则可以拒绝请求。然而,如果策略满足,则PIC可以提供有TPI签名的请求数据。
经证实的遥测数据可以被转发至对遥测数据进行分析的云服务提供商。在信任数据或对数据作用之前,TPI的证明签名(EPID)可被验证。这可以包括使用单独的验证服务,如,证明服务器。经证实的遥测数据可以提高服务的整体质量,因为存在更少的由欺诈客户端破坏遥测数据的情况。TPI服务通过选择可以向服务提供商提供人口统计学数据、元数据或其他数据中的哪一个而允许用户扮演管理他或她自己的隐私的角色。在本说明书中,经由TPI向服务提供商提供的任何人口统计学数据、元数据、用户度量、跟踪数据或登录都被称为“遥测”。遥测数据还可以包括来自PIC周围的系统或子系统的数据,包括客户端设备的不可信部分。遥测数据可以进一步包括从附加外设以及联网设备收集的数据,其也可以是不可信的。PIC可以过滤、扫描或以其他方式评估前往接收方的遥测数据并选择性地减少发送的数据以保护隐私。
每个遥测分组可被签名为DAA签名。DAA签名允许服务提供商信任所收集的关于更有可能为有害数据的未经鉴定的集合的数据的质量。
PIC设备可以收集对服务提供商有意义的遥测数据。在一种情况中,PIC引擎还可以检查服务是否请求未被用户授权的遥测数据。若是,则可以拒绝TPI标识请求。如果策略满足,则考虑到包含在遥测数据中的隐私敏感度生成TPI从而指定合适的到期。TPI服务可以重新评估TPI以用于随后使用相同的TPI。若适当的话,则可以生成新的TPI或者可以拒绝揭露遥测数据。
本说明书的平台身份架构提供一种用于确保用户的最终隐私同时使局部化定位和广告服务的使用成为可能的方法。有利地,本说明书的系统和方法打破可能阻碍采用某些服务的隐私vs.分析死锁。这种方法允许用户维持其隐私同时享用在线服务,同时同步地允许服务提供商在场所中在用户连接会话期间维持聚合且关联数据的能力。
进一步有利地,只要TPI过期一次,尽管用户的设备在所述TPI下将不提供任何新的信息,场所和数据聚合器仍可以使用人口统计学数据来提供有用的模板以用于定向广告。
如果希望基名不被跟踪,则客户端具有拒绝接受基名的选项。这是隐私特征。
进一步有利地,每个服务提供商可以接收唯一TPI并且TPI的生命周期可以由用户控制。
进一步有利地,TPI可以不返回联系至特定的用户。
现在将更具体地参照所附附图来描述平台身份架构。
图1是根据本说明书的一个或多个示例的分布式安全网络100的网络层次图。在图1的示例中,多个用户120操作多个计算设备110。确切地,用户120-1操作台式计算机110-1。用户120-2操作膝上型计算机110-2。并且用户120-3操作移动设备110-3。
每台计算设备可以包括适当的操作系统,比如微软Windows、Linux、安卓、MacOSX、苹果iOS、Unix等。相比一种类型的设备,可能在另一种类型的设备上更经常地使用前述项中的一些项。例如,台式计算机110-1(其在一些情况中也可以是工程工作站)可能更有可能使用微软Windows、Linux、Unix或者Mac OSX之一。膝上型计算机110-2(通常是具有较少定制化选项的便携式成品设备)更有可能运行微软Windows或者Mac OSX。移动设备110-3更有可能运行安卓或者iOS。然而,这些示例并不旨在是限制性的。
计算设备110可以经由网络170而彼此通信地耦合以及耦合到其他网络资源。网络170可以是任何适当的网络或网络的组合,通过非限制性示例的方式,包括例如局域网、广域网、无线网络、蜂窝网络或互联网。在此展示中,为了简单起见,网络170被示为单一网络,但在一些实施例中,网络170可以包括大量的网络,如,连接至互联网的一个或多个企业内部网。
同样连接至网络170的是一个或多个服务器140、证明服务器142、场所运营商180以及数据消费者184。恶意攻击者190也可以在网络170上进行操作。
服务器140可以被配置成用于提供网络服务,包括针对场所160的服务。在一个实施例中,服务器140以及网络170的至少一部分由一个或多个安全管理员150进行管理。
用户120的目标可以是在不向可以使用个人数据来进行身份盗窃的例如服务器场所运营商180、数据消费者184或攻击者190揭露个人信息的情况下成功地操作其对应的计算设备110。
可以由合适的企业操作服务器140以提供有用的服务,如,互联网连接和/或广告服务。服务器140还可以提供实质性服务,如,布线、联网、企业数据服务以及企业应用程序。
证明服务器142可以由场所运营商180或由可信三方操作。在一个示例中,证明服务器142可以是或者可以提供证书权威。
场所运营商180可以运营场所160。举非限制性示例来讲,场所160可以是任何合适的物理场所,如,零售店、购物商场、球场、体育大世界、体育中心、办公公园、体育场、办公大厦、饭店、主题公园、游乐园、露天市场、社交场合或政府建筑物。在其他情况中,场所160可以不是物理位置,但是可以替代地是要求用户验证的在线门户网站,在这种情况下,TPI可以被提供作为用户凭据。
因为在一些情况中,场所运营商180可以是商业企业,所以场所运营商180可以对使经济值最大化感兴趣。为此,场所运营商180可以操作分析数据库164,其中,场所运营商180可以收集、聚合和/或分析用户度量。在一些情况中,场所运营商180可以能够向数据消费者184销售来自分析数据库164的数据。
数据消费者184可以是广告者、商人或数据聚合商或代理商。数据消费者184的兴趣可能在于收集并聚合尽可能多的关于数据120的数据。这些数据如果其包括个人标识信息的则可以甚至更有价值。因此,在一些情况中,场所运营商180和数据消费者184的兴趣可能与极具隐私意识的用户120的兴趣相反。此外,如果攻击者190获得对分析数据库164或者由数据消费者184操作的甚至更大的数据库的访问,则所述数据库的用户120可能经受身份盗窃。
图2是根据本说明书的一个或多个示例的客户端设备110的框图。客户端设备110可以是任何适当的计算设备。在各种实施例中,通过非限制性示例的方式,“计算设备”可以是或可以包括:计算机、嵌入式计算机、嵌入式控制器、嵌入式传感器、个人数字助理(PDA)、膝上型计算机、蜂窝电话、IP电话、智能电话、平板计算机、可转换平板计算机、手持计算器或者用于处理和传达数据的任何其他电子、微电子或者微机电设备。
客户端设备110包括连接至存储器220的处理器210,所述存储器具有存储在其中的用于提供操作系统222和PIC引擎224的可执行指令。客户端设备110的其他部件包括存储设备250、网络接口260以及外围接口240。
在示例中,处理器210经由存储器总线270-3通信地耦合至存储器220,所述存储器总线可以例如是直接存储器访问(DMA)总线,虽然其他存储器架构是可能的,包括其中存储器220经由系统总线270-1或某其他总线与处理器210通信的存储器架构。然而,应注意的是,仅通过非限制性示例公开DMA。在其他情况下,存储器220可以经由系统总线270-1或任何其他合适的总线连接至处理器210。处理器210可以经由系统总线270-1通信地耦合至其他设备。如贯穿本说明书所使用的,“总线”包括任何有线或无线互连线、网络、连接、束、单条总线、多条总线、交叉式网络、单级网络、多级网络或可操作用于在计算设备的各个部分之间或计算设备之间承载数据、信号或功率的其他传导介质。应当注意的是,仅通过非限制性示例的方式来公开这些用途,并且一些实施例这些用法前述总线中的一条或多条总线,而其他实施例可以采用附加或不同总线。
在各个示例中,“处理器”可以包括硬件、软件或提供可编程逻辑的固件的任何组合,通过非限制性示例的方式,包括微处理器、数字信号处理器、现场可编程门阵列、可编程逻辑阵列、专用集成电路或虚拟机处理器。
处理器210可以在DMA配置中经由DMA总线270-3而连接至存储器220。为了简化本公开,存储器220被公开为单个逻辑块,但是在物理实施例中可以包括具有任何一种或多种适当的易失性或非易失性存储器技术的一块或多块,包括例如DDR RAM、SRAM、DRAM、缓存、L1或L2存储器、片上存储器、寄存器、闪存、ROM、光学介质、虚拟存储器区域、磁性或磁带存储器等。在某些实施例中,存储器220可以包括相对低等待时间的易失性主存储器,而存储设备250可以包括相对更高等待时间的非易失性存储器。然而,存储器220和存储设备250无需是物理分离的设备,并且在一些示例中可以仅表示功能的逻辑分离。还应当注意的是,尽管通过非限制性示例的方式公开了DMA,但是DMA并不是与本说明书一致的唯一协议,并且其他存储器架构是可用的。
存储设备250可以是任何种类的存储器220,或者可以是分离的设备,如硬盘驱动器、固态驱动器、外部存储设备、独立磁盘冗余阵列(RAID)、网络附接存储设备、光学存储设备、磁带驱动器、备份系统、云存储设备、或前述任何组合。存储设备250可以是或者可以在其中包括一个或多个数据库或者存储在其他配置中的数据,并且可以包括所存储的操作软件拷贝,比如,操作系统222和PIC引擎224的软件部分。许多其他配置也是可能的,并且旨在包括在本说明书的宽泛范围内。
可以提供网络接口260,以便将客户端设备110通信地耦合至有线或无线网络。如贯穿本说明书所使用的“网络”可以包括可操作用于在计算设备内或在计算设备之间交换数据或信息的任何通信平台,通过非限制性示例的方式包括自组织本地网、提供具有电交互能力的通信设备的互联网架构、简易老式电话系统(POTS)(计算设备可以使用所述简易老式电话系统来执行交易,在所述交易中它们可以由人类运营商来帮助或在所述交易中它们可以自动地将数据键入到电话或其他适当的电子设备中)、提供通信接口或在系统中的任何两个节点之间进行交换的任何分组数据网络(PDN)、或任何局域网(LAN)、城域网(MAN)、广域网(WAN)、无线局域网(WLAN)、虚拟专用网(VPN)、内联网、或促进网络或电话环境中的通信的任何其他适当的架构或系统。
在一个示例中,PIC引擎224包括执行如根据本说明书执行方法图5的方法500或者根据本说明书的其他方法等方法的实用新型或者程序。在各实施例中,可以在硬件、软件、固件或其某个组合中将PIC引擎224具体化。例如,在一些情况下,PIC引擎224可以包括被设计成用于执行方法或其一部分的专用集成电路,并且还可以包括可操作用于指示处理器执行所述方法的软件指令。在某些实施例中,PIC引擎224还可以包括TEE。在一些情况下,PIC引擎224可以作为“守护进程”而运行。“守护进程”可以包括作为后台进程、终止并驻留程序、服务、系统扩展、控制面板、启动程序、BIOS子例程或者在没有直接的用户交互的情况下进行操作的任何类似程序而运行的任何程序或者可执行指令系列(无论在硬件、软件、固件或其任何组合中实施)。还应当注意的是,PIC引擎224仅通过非限制性示例的方式被提供,并且包括交互式或用户模式软件的其他硬件和软件还可以结合、除了或替代PIC引擎224而被提供,以便执行根据本说明书的方法。
在一个示例中,PIC引擎224包括存储在可操作用于执行图5的方法500或根据本说明书的类似方法的非瞬态介质上的可执行指令。在适当时间,比如,在启动客户端设备110之后或者在来自操作系统222或用户120的命令之后,处理器210可以从存储设备250中检索PIC引擎224(或其软件部分)的副本并且将其加载到存储器220中。然后,处理器210可以迭代的执行PIC引擎224的指令。
外围接口240可以被配置成用于与连接至客户端设备110的但不一定是客户端设备110的核架构的一部分的任何辅助设备接口连接。外围设备可以可操作用于向客户端设备110提供扩展的功能,并且可能或者可能不完全依赖客户端设备110。在一些情况下,外围设备本身可以是计算设备本身。通过非限制性示例的方式,外围设备可以包括输入和输出设备,比如,显示器、终端、打印机、键盘、鼠标、调制解调器、网络控制器、传感器、换能器、致动器、控制器、数据采集总线、照相机、麦克风、扬声器或者外部存储设备。
图3是根据本说明书的一个或多个示例的包括证明服务器142的服务器140的框图。在各实施例中,服务器140和证明服务器142可以是由完全不同的实体操作的单独的设备,或者可以是由单个实体操作的单个设备。服务器140和证明服务器142可以是如结合图2而描述的任何适当计算设备。通常,除非另外特别指出,图2的定义和示例可以被认为同样适用于图3。
服务器140包括连接至存储器320的处理器310,所述存储器具有存储在其中的用于提供操作系统322和服务器引擎324的可执行指令。服务器140的其他部件包括存储设备350、网络接口360、和外围接口340。
在示例中,处理器310经由存储器总线370-3通信地耦合至存储器320,所述存储器总线可以是例如直接存储器访问(DMA)总线。然而,应注意的是,仅通过非限制性示例公开DMA。在其他情况下,存储器320可以经由系统总线370-1或任何其他合适的总线连接至处理器310。处理器310可以经由系统总线370-1通信地耦合至其他设备。
处理器310可以在DMA配置中经由DMA总线370-3而连接至存储器320。为了简化本公开,如结合图2的存储器220而描述的,存储器320被公开为单个逻辑块,但是在物理环境中可以包括具有任何一种或多种适当的易失性或非易失性存储器技术的一个或多个块。在某些实施例中,存储器320可以包括相对低等待时间的易失性主存储器,而存储设备350可以包括相对更高等待时间的非易失性存储器。然而,如结合图2而进一步描述的,存储器320和存储设备350无需是物理分离的设备。
如结合图2的存储设备250而描述的,存储设备350可以是任何种类的存储器320或者可以是单独的设备。存储设备350可以是或者可以在其中包括一个或多个数据库或者存储在其他配置中的数据,并且可以包括所存储的操作软件拷贝,比如,操作系统322和服务器引擎324的软件部分。许多其他配置也是可能的,并且旨在包括在本说明书的宽泛范围内。
可以提供网络接口360,以便将服务器140通信地耦合至有线或无线网络。
在一个示例中,服务器引擎324包括执行如图6的方法600的多个部分等方法的实用新型或者程序。在各实施例中,可以在硬件、软件、固件或其某个组合中将服务器引擎324具体化。例如,在一些情况下,服务器引擎324可以包括被设计成用于执行方法或其一部分的专用集成电路,并且还可以包括可操作用于指示处理器执行所述方法的软件指令。在一些情况下,服务器引擎324可以作为“守护进程”而运行,如上所述。还应当注意的是,服务器引擎324仅通过非限制性示例的方式被提供,并且包括交互式或用户模式软件的其他硬件和软件还可以结合、除了或替代服务器引擎324而被提供,以便执行根据本说明书的方法。
在一个示例中,服务器引擎324包括存储在可操作用于执行图6的方法600的非瞬态介质上的可执行指令。在适当时间,比如,在启动服务器140之后或者在来自操作系统322或用户120的命令之后,处理器310可以从存储设备350中检索服务器引擎324(或其软件部分)的副本并且将其加载到存储器320中。然后,处理器310可以迭代的执行服务器引擎324的指令。
在一个示例中,证明服务器326包括执行如图6的方法600的多个部分等方法的实用新型或者程序。在各实施例中,可以在硬件、软件、固件或其某个组合中将证明服务器326具体化。例如,在一些情况下,证明服务器326可以包括被设计成用于执行方法或其一部分的专用集成电路,并且还可以包括可操作用于指示处理器执行所述方法的软件指令。在一些情况下,证明服务器326可以作为“守护进程”而运行,如上所述。还应当注意的是,证明服务器326仅通过非限制性示例的方式被提供,并且包括交互式或用户模式软件的其他硬件和软件还可以结合、除了或替代证明服务器326而被提供,以便执行根据本说明书的方法。
在一个示例中,证明服务器引擎326包括存储在可操作用于执行图6的方法600的非瞬态介质上的可执行指令。在适当时间,比如,在启动服务器140之后或者在来自操作系统322或用户120的命令之后,处理器310可以从存储设备350中检索证明服务器326(或其软件部分)的副本并且将其加载到存储器320中。然后,处理器310可以迭代地执行证明服务器326的指令。
外围接口340可以被配置成用于与连接至服务器140的但不一定是服务器140的核架构的一部分的任何辅助设备接口连接。外围设备可操作用于向服务器140提供扩展的功能,并且可能或者可能不完全依赖于服务器140。在一些情况下,外围设备本身可以是计算设备本身。通过非限制性示例的方式,外围设备可以包括结合图2的外围接口240而讨论的设备中的任何设备。
图4是根据本说明书的一个或多个示例的TEE 400的框图。在一个示例中,TEE 400包括图2的存储器220的一部分。例如,存储器220的一部分被指定为飞地。PIC引擎224的全部或一部分可以包括在飞地410中。
在某些实施例中,可以另外地或代替飞地410提供安全协处理器420。在这种情况下,PIC引擎224的全部或一部分可以被设置在安全协处理器420中。
图5是由计算设备110的PIC引擎224执行的方法500的流程图。
在框510中,PIC引擎224检测一个或多个可用服务。
在决策框520中,PIC引擎224判定服务是否可信。
如果服务可信,则控制传送至框560,并且跟随以下结合框560所描述的路径。
返回至框520,如果服务不可信,则控制传送至框530。
决策框520表示将服务分类为可信服务和不可信服务。可信服务可以是用户120信任的服务并且准许手机个人标识信息或者另外地在没有TPI移除的情况下进行操作。不可信服务时任何其他服务。
在决策框530中,PIC引擎224判定是否建立TPI。
PIC引擎224确定不建立TPI,则控制传送至框560,并且流程如下所述继续。
返回至框530,如果PIC引擎224确定建立TPI,则控制传送至框540。框540接收服务策略550。这可以是从内部数据库、从场所160或从服务器140接收的。在一个示例中,服务器140协商服务策略550。服务策略550可以包括如有待设置在TPI中的信息以及TPI的性质的因素。在一些示例中,由场所运营商180提供的服务级别可以直接与用户愿意在服务策略550中提供的信息量相关。在一些情况下,场所运营商160可以推送表示优选数据级别的默认值。
在框544中,PIC引擎224生成TPI,其在一些情况中可以包括在TEE 400中对TPI进行数字签名。
在框560中,计算设备110连接至可用服务。
决策框570是等待TPI到期的定时回路。一旦TPI到期,则控制传送至框580。
在框580中,PIC引擎224销毁TPI。
在框590中,完成所述方法。
图6是根据本说明书的一个或多个示例的由平台身份服务器140和/或证明服务器142的平台身份服务器324和证明服务器326中的一者或两者执行的方法600的流程图。
在框610中,平台身份服务器324接收来自客户端设备的连接请求。
在框620中,时钟平台身份服务器324接收来自客户端设备110的TPI。
在框630中,平台身份服务器324可以可选地利用证明服务器142验证TPI。注意到,仅在TPI验证被视为必需或重要的情况下要求这样做。
在决策框640中,平台身份服务器324判定TPI是否有效。
如果TPI无效,则客户端设备110可能不被准许连接,并且控制传送至在其中完成本方法的框690。
返回至框640,如果TPI有效,则控制传送至框660。
在框660中,平台身份服务器140将服务与最终用户的计算设备110进行连接。
在框680中,平台身份服务器324存储TPI并且只要TPI有效就继续执行分析。有利地,利用经验证的TPI,平台标识服务器140以及场所运营商180可以信任的是,利用TPI提供的半匿名度量是有效的,这增加了数据的值。这提供了针对数据的半匿名性质的合理折衷。
在框690中,完成所述方法。
图7是根据本说明书的一个或多个示例的协商服务策略的方法的信号流图700。
在这个附图中,服务提供商云730包括服务提供商框732。服务提供商云730可以由场所运营商180操作或代表的服务器140提供。举例说明,在这个示例中,服务提供商云730与证明服务器142分离。
在操作1中,服务提供商732向平台身份客户端PIC引擎224发送信号SET IDSERVICE POLICY(设置ID服务策略)。
PIC引擎224然后可以接收用户输入,包括为用户提供默认的服务策略,并且接收关于用户是否想要更改默认服务策略参数的反馈。如以上所指出的,服务策略可以包括可由服务提供商732收集的数据或元数据的类型,并且还可以包括TPI的到期。
一旦PIC引擎224已经生成了正确的服务策略参数,则PIC引擎224在操作2中向TEEID服务702提供服务策略参数。在这个示例中,TEE ID服务702包括身份管理器710。身份管理器710可以提供PIC引擎224的实际生成EPID的一部分并附带某些信息,如由用户120准许以形成TPI的人口统计学信息。
硬件证明720可以附带针对TPI的安全签名,从而使得服务提供商732可以识别并验证TPI。
在图7的操作之后,客户端系统110已经生成了TPI并准备将TPI与相关数据一起上传至服务提供商732,并且开始提供遥测。
图8是根据本说明书的一个或多个示例的证明和遥测的信号流图。在图8中,客户端系统110与服务提供商730以及证明服务器142合作,所述证明服务器提供DAA验证云服务。
在操作1处,PIC引擎224产生和/或收集数据。
在操作2处,PIC引擎224向TEE ID服务702的身份管理器710提供证明数据。
在操作3处,如果需要新的TPI,则TEE ID服务702生成新的EPID。
在操作4处,TEE ID服务为EPID添加唯一标识数据以形成TPI。
在操作5处,身份管理器710向硬件证明720提供证实数据请求。
在操作6处,硬件证明720将DAA签名添加至证明数据。
在操作7处,硬件证明720将经签名的/DAA证实数据(包括数据和EPID)添加至PIC引擎224。应理解的是,EPID是DAA的支持丰富的合法性撤消方案的衍生系统。
在操作8中,PIC引擎224将包括数据和EPID的经签名的DAA证实数据发送至服务提供商云730的服务提供商732。
在操作9处,服务提供商732将包括经签名的/DAA证实数据的信号CHECK DAASIGNATURE发送至证明服务器142。
在操作10处,证明服务器142验证TPI的DAA。
在操作11处,证明服务器142返回向服务提供商732提供DAA验证成功或失败的信号。
如果DAA验证成功,则数据可信。如果验证不成功,则数据可能保持为不可信。有利地,数据的值针对场所运营商180增加,因为利用TPI提供的遥测数据现在可以作为正版被信任到高置信度。
前述内容概述了若干实施例的特征,从而使得本领域的技术人员可以更好地理解本公开的方面。本领域的技术人员应该认识到,他们可以容易地将本公开用作设计或修改其他过程以及结构的基础,以便于实施相同的目的和/或实现在此介绍的实施例的相同优点。本领域的技术人员还应意识到,所述等同构造没有背离本公开的精神和范围,并且在不背离本公开的精神和范围的情况下,可做出各种改变、替换和替代。
本公开的特定实施例可以容易地包括片上系统(SOC)中央处理单元(CPU)封装体。SOC表示将计算机或其他电子系统的部件整合到单个芯片中的集成电路(IC)。其可以包含数字、模拟、混合信号、以及射频功能,所有这些功能都可以在单个芯片基底上提供。其他实施例可以包括多芯片模块(MCM),多个芯片位于单个电子封装件内并且被配置成用于通过电子封装件彼此密切交互。在各种实施例中,数字信号处理功能可以在专用集成电路(ASIC)、现场可编程门阵列(FPGA)和其他半导体芯片中的一个或多个硅核中实施。
在示例实施方式中,在此概述的处理活动的至少一些部分也可以在软件中实施。在一些实施例中,这些特征中的一个或多个特征可以在所公开的附图的元件外部提供的硬件中实施,或者可以采用任何适当方式来合并,以便实现预期功能。各种部件可以包括可以协调以便实现如本文中所概述的操作的软件(或往复式软件)。在仍其他实施例中,这些元件可以包括促进其操作的任何适当的算法、硬件、软件、部件、模块、接口或者对象。
此外,可以移除或者以其他方式合并与所描述的微处理器相关联的部件中的一些部件。在一般意义上,在附图中所描绘的安排可以在其表示上可以更合逻辑,而物理架构可以包括这些元件的各种排列、组合和/或混合。必须注意,可以使用无数可能的设计配置来实现在此所概述的操作目标。相应地,相关联的基础设施具有大量替代安排、设计选择、设备可能性、硬件配置、软件实施方式、设备选项等。
任何适当配置的处理器部件可以执行与数据相关联的任何类型的指令以便实现在此详细说明的操作。在此公开的任何处理器可以将元件或物品(例如,数据)从一个状态或一种东西转换为另一个状态或另一种东西。在另一个示例中,在此概述的一些活动可以利用固定逻辑或可编程逻辑(例如,由处理器执行的软件和/或计算机指令)实现,并且在此标识的元件可以是某种类型的可编程处理器;可编程数字逻辑(例如,现场可编程门阵列(FPGA)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM));包括数字逻辑、软件、代码、电子指令、闪速存储器、光盘、CD-ROM、DVD ROM、磁性或光学卡、适合于存储电子指令的其他类型的机器可读介质、或其任何合适组合的ASIC。在操作中,处理器可以将信息存储在任何合适类型的非瞬态存储介质(例如,随机存取存储器(RAM)、只读存储器(ROM)、现场可编程门阵列(FPGA)、可擦除可编程只读存储器(EPROM)、电可擦除可编程ROM(EEPROM)等)、软件、硬件中或者在适当情况下并基于特定需要存储在任何其他合适的部件、设备、元件或物体中。进一步地,基于特定需要和实施方式,可以在任何数据库、寄存器、表格、缓存器、队列、控制列表、或存储结构(所有这些可以在任何合适的时间帧被引用)中提供在处理器中被跟踪、发送、接收或存储的信息。在此所讨论的存储器项中的任何存储器项应当被解释为涵盖在宽泛术语‘存储器’内。类似地,在此所描述的可能的处理元件、模块、和机器中的任何一者应当被解释为涵盖在宽泛术语‘微处理器’或‘处理器’内。此外,在各个实施例中,在此描述的处理器、存储器、网卡、总线、存储设备、相关外围设备、以及其他硬件元件可由软件或固件配置来模仿或虚拟化这些硬件元件的功能的处理器、存储器和其他相关设备来实现。
采用各种形式来具体化实施在此描述的功能中的所有或部分功能的计算机程序逻辑,包括但决不限于源代码形式、计算机可执行的形式、以及各种中间形式(例如,由汇编器、编辑器、链接器或定位器生成的形式)。在示例中,源代码包括以各种编程语言实施的一系列计算机程序指令,比如,目标代码、汇编语言、或高级语言(比如,与各种操作系统或操作环境一起使用的OpenCL、Fortran、C、C++、JAVA或HTML)。源代码可以限定并使用各种数据结构和通信消息。源代码可以采用计算机可执行的形式(例如,经由解释器),或者源代码可以被转换(例如,经由转换器、汇编器、或编译器)成计算机可执行的形式。
在对以上实施例的讨论中,可以容易地替换、替代或以其他方式修改电容器、缓冲器、图形元件、互连板、时钟、DDR、相机传感器、除法器、电感器、电阻器、放大器、开关、数字核、晶体管和/或其他部件,以便满足特定电路需要。此外,应当注意的是,对互补电子设备、硬件、非瞬态软件等的使用提供了同等可行的选项,以便实施本公开的教导。
在一个示例实施例中,可以在相关联的电子设备的板上实施附图的任何数量的电路。所述板可以是能够容纳电子设备的内部电子系统的各个部件并进一步为其他外围设备提供连接器的一般电路板。更确切地,所述板可以提供电连接,系统的其他部件可以通过所述电子连接来进行电通信。任何合适的处理器(包括数字信号处理器、微处理器、支持芯片组等)、存储器元件等可以基于特定的配置需要、处理需求、计算机设计等适当地耦合至所述板。其他部件(如,外部存储设备、附加传感器、用于音频/视频显示的控制器以及外围设备)可以经由线缆附接至所述板作为插入卡或集成到板自身中。在另一个示例实施例中,附图的电路可以被实施为独立的模块(例如,具有相关联的部件的设备和被配置成用于执行特定应用程序或功能的电路)或者被实施为到电子设备的专用硬件的插件模块。
注意,使用在此所提供的许多示例,可以关于两个、三个、四个或更多个电气部件来对交互进行描述。然而,这样做只是出于清楚和示例的目的。应理解的是,可以采用任何适当方式来合并所述系统。根据类似设计替代方案,可以在各种可能的配置中组合附图中展示的部件、模块和元件中的任一者,所有所述配置在本说明书的广泛范围内。在某些情况下,通过仅参照有限数量的电气元件,可能更容易描述一组给定流程的功能中的一项或多项功能。应当理解的是,附图的电路及其教导是可容易扩展的,并且可以容纳大量部件以及更复杂/成熟的安排和配置。相应地,所提供的示例不应限制如潜在地应用到无数其他架构上的电路的范围或抑制其宽泛教导。
许多其他的改变、替代、变更、改变、和修改对本领域技术人员来说是确定的,并且旨在本披露包含了落在所附权利要求书的范围内的所有的改变、替代、变更、改变、和修改。为了帮助美国专利及商标局(USPTO)以及另外本申请发布的任何专利的任何读者理解本申请所附权利要求书,申请人希望注意本申请人:(a)并不旨在所附权利要求中的任一项因为在本申请的申请日存在而援引35 U.S.C.第112章第(6)段,除非在特定权利要求中确切地使用了字词“用于……的装置”或“用于……的步骤”;并且(b)并不旨在通过本说明书中未在所附权利要求书中反映出的任何陈述以任何方式限制本公开。
示例实施方式
在示例1中公开了一种平台身份客户端设备,包括:网络接口;以及一个或多个逻辑元件,包括:平台身份客户端(PIC)引擎,所述PIC引擎可操作用于:经由所述网络接口检测可用服务;生成临时匿名身份(TPI);并且经由所述网络接口向所述可用服务发送所述TPI。
在示例2中公开了一种如示例1所述的装置,其中,所述PIC引擎进一步包括可信执行环境(TEE),并且其中,所述PIC引擎进一步可操作用于在所述TEE中对所述TPI进行安全签名。
在示例3中公开了一种如示例2所述的装置,其中,生成所述TPI包括:将随机或伪随机种子与基名和到期进行混合。
在示例4中公开了一种如示例2所述的装置,其中,所述TEE包括安全存储器区域或安全硬件。
在示例5中公开了一种如示例1所述的装置,其中,所述PIC引擎进一步可操作用于设置所述TPI的到期。
在示例6中公开了一种如示例5所述的装置,其中,所述PIC引擎进一步可操作用于在所述到期之后销毁所述TPI。
在示例7中公开了一种如示例6所述的装置,其中,所述PIC引擎进一步可操作用于在销毁所述TPI之后生成第二TPI。
在示例8中公开了一种如示例1所述的装置,其中,检测所述可用服务包括标识在线服务。
在示例9中公开了一种如示例1所述的装置,其中,检测所述可用服务包括针对物理场所标识可用无线网络连接。
在示例10中公开了一种如示例1所述的装置,其中,检测所述可用服务包括通信地耦合至公共服务提供商。
在示例11中公开了一种如示例1所述的装置,其中,所述PIC引擎进一步可操作用于在所述TPI中提供非个人标识人口统计学数据。
在示例12中公开了一种如示例1所述的装置,其中,所述PIC引擎进一步可操作用于向所述可用服务提供遥测数据。
在示例13中公开了一种如示例1所述的装置,其中,所述PIC引擎进一步可用操作用于:经由所述网络接口检测第二可用服务,所述第二可用服务不同于所述第一可用服务;生成第二TPI,所述第二TPI不同于所述第一TPI;并且经由所述网络接口向所述第二可用服务发送所述第二TPI。
在示例14中公开了一种或多种其上存储有指令的计算机可读介质,所述指令用于指示处理器提供平台身份客户端(PIC)引擎,所述PIC引擎可操作用于:检测可用网络服务;生成临时匿名身份(TPI);并且经由所述网络接口向所述可用服务发送所述TPI。
在示例15中公开了如示例14所述的一种或多种计算机可读介质,其中,所述PIC引擎进一步包括可信执行环境(TEE),并且其中,所述PIC引擎进一步可操作用于在所述TEE中对所述TPI进行安全签名。
在示例16中公开了如示例15所述的一种或多种计算机可读介质,其中,生成所述TPI包括:将随机或伪随机种子与基名和到期进行混合。
在示例17中公开了如示例14所述的一种或多种计算机可读介质,其中,所述PIC引擎进一步可操作用于设置所述TPI的到期。
在示例18中公开了如示例14所述的一种或多种计算机可读介质,其中,检测所述可用服务包括标识在线服务。
在示例19中公开了如示例14所述的一种或多种计算机可读介质,其中,检测所述可用服务包括针对物理场所标识可用无线网络连接。
在示例20中公开了如示例14所述的一种或多种计算机可读介质,其中,检测所述可用服务包括通信地耦合至公共服务提供商。
在示例21中公开了如示例14所述的一种或多种计算机可读介质,其中,所述PIC引擎进一步可操作用于在所述TPI中提供非个人标识人口统计学数据。
在示例22中公开了如示例14所述的一种或多种计算机可读介质,其中,所述PIC引擎进一步可操作用于向所述可用服务提供遥测数据。
在示例23中公开了如示例14所述的一种或多种计算机可读介质,其中,所述PIC引擎进一步可用操作用于:经由所述网络接口检测第二可用服务,所述第二可用服务不同于所述第一可用服务;生成第二TPI,所述第二TPI不同于所述第一TPI;并且经由所述网络接口向所述第二可用服务发送所述第二TPI。
在示例24中公开了一种平台身份服务器,包括:网络接口;以及一个或多个逻辑元件,包括平台身份服务器引擎,所述平台身份服务器引擎可操作用于:通过所述网络接口从平台身份客户端(PIC)处接收连接请求;与所述PIC协商服务策略;从所述PIC处接收临时匿名身份(TPI);从所述PIC处请求遥测数据;从所述PIC处接收遥测数据;并且向所述PIC提供目标内容,所述目标内容基于所述遥测。
在示例25中公开了一种如示例24所述的平台身份服务器,其中,所述PIC进一步可操作用于:向证明服务器提供所述TPI;并且从所述证明服务器处接收证明验证。
示例26中公开了一种方法,所述方法包括执行在示例14至23中任一项所公开的指令。
示例27中公开了一种装置,所述装置包括用于执行如示例26所述的方法的装置。
示例28中公开了如权利要求27所述的装置,其中,所述装置包括处理器和存储器。
示例29公开了如权利要求28所述的装置,其中,所述装置进一步包括其上存储有可操作指令的计算机可读介质,所述软件指令用于执行如示例26所述的方法。
Claims (25)
1.一种平台身份客户端设备,包括:
网络接口;以及
一个或多个硬件和/或软件逻辑元件,包括平台身份客户端(PIC)引擎,所述PIC引擎可操作用于:
经由所述网络接口检测可用服务;
生成临时匿名身份(TPI);并且
经由所述网络接口向所述可用服务发送所述TPI。
2.如权利要求1所述的装置,其中,所述PIC引擎进一步包括可信执行环境(TEE),并且其中,所述PIC引擎进一步可操作用于在所述TEE中对所述TPI进行安全签名。
3.如权利要求2所述的装置,其中,生成所述TPI包括:将随机或伪随机种子与基名和到期进行混合。
4.如权利要求2所述的装置,其中,所述TEE包括安全存储器区域或安全硬件。
5.如权利要求1所述的装置,其中,所述PIC引擎进一步可操作用于设置所述TPI的到期。
6.如权利要求5所述的装置,其中,所述PIC引擎进一步可操作用于在所述到期之后销毁所述TPI。
7.如权利要求6所述的装置,其中,所述PIC引擎进一步可操作用于在销毁所述TPI之后生成第二TPI。
8.如权利要求1至7中任一项所述的装置,其中,检测所述可用服务包括标识在线服务。
9.如权利要求1至7中任一项所述的装置,其中,检测所述可用服务包括针对物理场所标识可用无线网络连接。
10.如权利要求1至7中任一项所述的装置,其中,检测所述可用服务包括通信地耦合至公共服务提供商。
11.如权利要求1至7中任一项所述的装置,其中,所述PIC引擎进一步可操作用于在所述TPI中提供非个人标识人口统计学数据。
12.如权利要求1至7中任一项所述的装置,其中,所述PIC引擎进一步可操作用于向所述可用服务提供遥测数据。
13.如权利要求1至7中任一项所述的装置,其中,所述PIC引擎进一步可用操作用于:
经由所述网络接口检测第二可用服务,所述第二可用服务不同于所述第一可用服务;
生成第二TPI,所述第二TPI不同于所述第一TPI;并且
经由所述网络接口向所述第二可用服务发送所述第二TPI。
14.一种或多种其上存储有指令的计算机可读介质,所述指令用于指示处理器提供平台身份客户端(PIC)引擎,所述PIC引擎可操作用于:
检测可用网络服务;
生成临时匿名身份(TPI);并且
向所述可用网络服务发送所述TPI。
15.如权利要求14所述的一种或多种计算机可读介质,其中,所述PIC引擎进一步包括可信执行环境(TEE),并且其中,所述PIC引擎进一步可操作用于在所述TEE中对所述TPI进行安全签名。
16.如权利要求15所述的一种或多种计算机可读介质,其中,生成所述TPI包括将随机或伪随机种子与基名和到期进行混合。
17.如权利要求14所述的一种或多种计算机可读介质,其中,所述PIC引擎进一步可操作用于设置所述TPI的到期。
18.如权利要求14所述的一种或多种计算机可读介质,其中,检测所述可用服务包括标识在线服务。
19.如权利要求14至18中任一项所述的一种或多种计算机可读介质,其中,检测所述可用服务包括针对物理场所标识可用无线网络连接。
20.如权利要求14至18中任一项所述的一种或多种计算机可读介质,其中,检测所述可用服务包括通信地耦合至公共服务提供商。
21.如权利要求14至18中任一项所述的一种或多种计算机可读介质,其中,所述PIC引擎进一步可操作用于在所述TPI中提供非个人标识人口统计学数据。
22.如权利要求14至18中任一项所述的一种或多种计算机可读介质,其中,所述PIC引擎进一步可操作用于向所述可用服务提供遥测数据。
23.如权利要求14至18中任一项所述的一种或多种计算机可读介质,其中,所述PIC引擎进一步可操作用于:
经由所述网络接口检测第二可用服务,所述第二可用服务不同于所述第一可用服务;
生成第二TPI,所述第二TPI不同于所述第一TPI;并且
经由所述网络接口向所述第二可用服务发送所述第二TPI。
24.一种平台身份服务器,包括:
网络接口;以及
一个或多个逻辑元件,包括平台身份服务器引擎,所述平台身份服务器引擎可操作用于:
通过所述网络接口从平台身份客户端(PIC)处接收连接请求;
与所述PIC协商服务策略;
从所述PIC处接收临时匿名身份(TPI);
从所述PIC处请求遥测数据;
从所述PIC处接收遥测数据;并且
向所述PIC提供目标内容,所述目标内容基于所述遥测。
25.如权利要求24所述的平台身份服务器,其中,所述PIC进一步可操作用于:
向证明服务器提供所述TPI;并且
从所述证明服务器处接收证明验证。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/495,959 | 2014-09-25 | ||
| US14/495,959 US9798895B2 (en) | 2014-09-25 | 2014-09-25 | Platform identity architecture with a temporary pseudonymous identity |
| PCT/US2015/046815 WO2016048535A1 (en) | 2014-09-25 | 2015-08-25 | Platform identity architecture with a temporary pseudonymous identity |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106663268A true CN106663268A (zh) | 2017-05-10 |
Family
ID=55581756
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580045508.6A Pending CN106663268A (zh) | 2014-09-25 | 2015-08-25 | 具有临时匿名身份的平台身份架构 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9798895B2 (zh) |
| EP (1) | EP3198508A4 (zh) |
| CN (1) | CN106663268A (zh) |
| RU (1) | RU2017105800A (zh) |
| WO (1) | WO2016048535A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111868727A (zh) * | 2018-03-19 | 2020-10-30 | 国际商业机器公司 | 数据匿名化 |
| CN112395652A (zh) * | 2019-08-19 | 2021-02-23 | 菲尼克斯电气公司 | 网络兼容装置 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9798895B2 (en) | 2014-09-25 | 2017-10-24 | Mcafee, Inc. | Platform identity architecture with a temporary pseudonymous identity |
| US10200342B2 (en) * | 2015-07-31 | 2019-02-05 | Nicira, Inc. | Dynamic configurations based on the dynamic host configuration protocol |
| US11487868B2 (en) * | 2017-08-01 | 2022-11-01 | Pc Matic, Inc. | System, method, and apparatus for computer security |
| US10635567B2 (en) * | 2018-05-22 | 2020-04-28 | Microsoft Technology Licensing, Llc | Sampling across trusted and untrusted distributed components |
| US10880273B2 (en) | 2018-07-26 | 2020-12-29 | Insight Sciences Corporation | Secure electronic messaging system |
| US20200067705A1 (en) * | 2018-08-23 | 2020-02-27 | Averon Us, Inc. | Methods, apparatuses, and computer program products for frictionless electronic signature management |
| US11151254B2 (en) | 2018-09-11 | 2021-10-19 | Amari.Ai Incorporated | Secure communications gateway for trusted execution and secure communications |
| US11368410B2 (en) * | 2019-03-15 | 2022-06-21 | Mojatatu Networks | System and method for scaling analytics collection |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030009593A1 (en) * | 2001-07-09 | 2003-01-09 | Apte Naresh Anant | Method and system for temporary network identity |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| GB9923804D0 (en) * | 1999-10-08 | 1999-12-08 | Hewlett Packard Co | Electronic commerce system |
| US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US20040193891A1 (en) * | 2003-03-31 | 2004-09-30 | Juha Ollila | Integrity check value for WLAN pseudonym |
| US20060141981A1 (en) | 2004-12-23 | 2006-06-29 | Motorola, Inc. | Universal temporary communication ID with service integration |
| WO2009002236A1 (en) * | 2007-06-27 | 2008-12-31 | Telefonaktiebolaget Lm Ericsson (Publ) | A method and apparatus for enabling connectivity in a communication network |
| KR20100021818A (ko) | 2008-08-18 | 2010-02-26 | 한국전자통신연구원 | 임시 식별정보를 이용한 사용자 인증 방법 및 시스템 |
| CN101998360B (zh) | 2009-08-11 | 2015-05-20 | 中兴通讯股份有限公司 | 建立身份管理信任的方法及身份提供方和业务提供方 |
| US8682750B2 (en) * | 2011-03-11 | 2014-03-25 | Intel Corporation | Method and apparatus for enabling purchase of or information requests for objects in digital content |
| US8560453B2 (en) * | 2011-06-30 | 2013-10-15 | Intel Corporation | Method and apparatus for dynamic, real-time ad insertion based on meta-data within a hardware based root of trust |
| EP2737656B1 (en) * | 2011-07-29 | 2018-09-05 | Hewlett-Packard Enterprise Development LP | Credential validation |
| JP6187260B2 (ja) * | 2011-12-01 | 2017-08-30 | 日本電気株式会社 | 情報収集装置、システム、方法、及び、プログラム |
| US9690920B2 (en) | 2012-08-30 | 2017-06-27 | International Business Machines Corporation | Secure configuration catalog of trusted identity providers |
| US9112856B2 (en) | 2013-03-15 | 2015-08-18 | Google Inc. | Generation of one time use login pairs via a secure mobile communication device for login on an unsecure communication device |
| US9798895B2 (en) | 2014-09-25 | 2017-10-24 | Mcafee, Inc. | Platform identity architecture with a temporary pseudonymous identity |
-
2014
- 2014-09-25 US US14/495,959 patent/US9798895B2/en active Active
-
2015
- 2015-08-25 CN CN201580045508.6A patent/CN106663268A/zh active Pending
- 2015-08-25 RU RU2017105800A patent/RU2017105800A/ru unknown
- 2015-08-25 EP EP15843707.9A patent/EP3198508A4/en not_active Withdrawn
- 2015-08-25 WO PCT/US2015/046815 patent/WO2016048535A1/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030009593A1 (en) * | 2001-07-09 | 2003-01-09 | Apte Naresh Anant | Method and system for temporary network identity |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111868727A (zh) * | 2018-03-19 | 2020-10-30 | 国际商业机器公司 | 数据匿名化 |
| CN111868727B (zh) * | 2018-03-19 | 2023-07-21 | 国际商业机器公司 | 用于数据匿名化的方法和系统 |
| CN112395652A (zh) * | 2019-08-19 | 2021-02-23 | 菲尼克斯电气公司 | 网络兼容装置 |
| CN112395652B (zh) * | 2019-08-19 | 2024-05-17 | 菲尼克斯电气公司 | 网络兼容装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9798895B2 (en) | 2017-10-24 |
| EP3198508A1 (en) | 2017-08-02 |
| RU2017105800A (ru) | 2018-08-22 |
| RU2017105800A3 (zh) | 2018-08-22 |
| US20160092697A1 (en) | 2016-03-31 |
| WO2016048535A1 (en) | 2016-03-31 |
| EP3198508A4 (en) | 2018-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110036613B (zh) | 提供用于去中心化应用的身份认证的系统和方法 | |
| CN106663268A (zh) | 具有临时匿名身份的平台身份架构 | |
| US11963006B2 (en) | Secure mobile initiated authentication | |
| US10223524B1 (en) | Compromised authentication information clearing house | |
| US9867043B2 (en) | Secure device service enrollment | |
| ES2951585T3 (es) | Autenticación de transacciones usando un identificador de dispositivo móvil | |
| KR20200081441A (ko) | 자산 관리 방법 및 장치, 및 전자 디바이스 | |
| US20190394168A1 (en) | Using Individualized APIs to Block Automated Attacks on Native Apps and/or Purposely Exposed APIs wih Forced User Interaction | |
| JP6374119B2 (ja) | 統合型近距離無線通信インフラストラクチャのためのセキュリティプロトコル | |
| US20160080157A1 (en) | Network authentication method for secure electronic transactions | |
| CN104025503B (zh) | 使用客户端平台信任根的网页认证 | |
| KR20200084009A (ko) | 자산 관리 방법 및 장치, 및 전자 디바이스 | |
| US10176318B1 (en) | Authentication information update based on fraud detection | |
| US20210099431A1 (en) | Synthetic identity and network egress for user privacy | |
| US20140227999A1 (en) | Method, server and system for authentication of a person | |
| US11228580B2 (en) | Two-factor device authentication | |
| CN106341381A (zh) | 管理机架服务器系统的安全金钥的方法与系统 | |
| CN108200089A (zh) | 信息安全的实现方法、装置、系统以及存储介质 | |
| CN103023657B (zh) | 一种基于分布式的网络交易安全验证系统 | |
| Ferry et al. | Security evaluation of the OAuth 2.0 framework | |
| US20220224720A1 (en) | Link detection method and apparatus, electronic device, and storage medium | |
| CN103281187B (zh) | 安全认证方法、设备和系统 | |
| US10757089B1 (en) | Mobile phone client application authentication through media access gateway (MAG) | |
| TW201516901A (zh) | 帳戶資訊的管理方法、帳戶管理伺服器和銷售終端及系統 | |
| TW201909072A (zh) | 電子帳戶的掛失、解掛、業務管理方法、裝置及設備 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170510 |