CN114731273A - 以密码方式安全的数据保护 - Google Patents

以密码方式安全的数据保护 Download PDF

Info

Publication number
CN114731273A
CN114731273A CN202080046324.2A CN202080046324A CN114731273A CN 114731273 A CN114731273 A CN 114731273A CN 202080046324 A CN202080046324 A CN 202080046324A CN 114731273 A CN114731273 A CN 114731273A
Authority
CN
China
Prior art keywords
user
data
publisher
token
security system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202080046324.2A
Other languages
English (en)
Other versions
CN114731273B (zh
Inventor
S.马达瓦佩迪
S.阿库利奇
S.W.鲁普
G.王
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Google LLC
Original Assignee
Google LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Google LLC filed Critical Google LLC
Publication of CN114731273A publication Critical patent/CN114731273A/zh
Application granted granted Critical
Publication of CN114731273B publication Critical patent/CN114731273B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/53Network services using third party service providers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本公开涉及数据安全和密码学。在一个方面,一种方法包括由数据安全系统从发布者的发布者计算系统接收对给定用户的订阅令牌的请求。该请求包括给定用户在订阅发布者的电子内容时提供给发布者的用户识别信息。数据安全系统生成订阅令牌,该订阅令牌包括一组数据,该组数据包括通过使用数据安全系统的加密密钥对给定用户的第一用户标识符进行加密而生成的第一加密用户标识符,和对于一个或多个内容平台中的每一个的附件元素,该附件元素包括通过使用内容平台的加密密钥对给定用户的第二用户标识符进行加密而生成的第二加密用户标识符,并将订阅令牌传输到发布者计算系统。

Description

以密码方式安全的数据保护
技术领域
本说明书涉及数据安全和密码学。
背景技术
客户端设备通过诸如互联网的公共网络传输请求和其他数据。这些通信可以被其他方(诸如拦截通信的各方和/或接收通信并将它们转发给其他方的中介)更改。客户端设备还遭受恶意攻击,诸如病毒和恶意软件,其可以在用户不知情或未经授权的情况下发送欺诈性请求。此外,其他方可以模拟客户端设备以发送看似源自客户端设备但实际上来自其他方的设备的请求。
客户端设备的用户可以使用应用(例如,网络浏览器或原生应用)来从各种内容提供者(例如,搜索引擎、社交媒体平台、网站发布者等)获得内容。客户端设备和内容提供者服务器之间的通信可以包括共享敏感信息(例如,用户的个人可识别信息(PII)),诸如姓名、电子邮件地址、电话号码,以换取数字内容。例如,基于订阅的内容分发可以使用PII向用户分发内容。
发明内容
本说明书描述了与保护用户隐私相关的技术。总体上,本说明书中描述的主题的一个创新方面可以体现在方法中,该方法包括由数据安全系统并从发布者的发布者计算系统接收对给定用户的订阅令牌的请求。该请求包括给定用户在订阅发布者的电子内tgd容时提供给发布者的用户识别信息。响应于接收对订阅令牌的请求,数据安全系统对于发布者和给定用户生成订阅令牌。该订阅令牌包括(i)一组数据,该组数据包括通过使用数据安全系统的加密密钥对由数据安全系统用于识别给定用户的给定用户的第一用户标识符进行加密而生成的第一加密用户标识符,和对于一个或多个内容平台中的每一个的(ii)附件元素,该附件元素包括通过使用内容平台的加密密钥对内容平台用于识别给定用户的给定用户的第二用户标识符进行加密而生成的第二加密用户标识符,并将订阅令牌传输到发布者计算系统。该方面的其他实施方式包括对应的装置、系统和编码在计算机存储设备上的被配置为执行方法的各方面的计算机程序。
这些和其他实施方式可以各自可选地包括以下特征中的一个或多个。在一些方面,数据安全系统包括电子邮件提供者的计算系统,并且用户识别信息包括给定用户的且给定用户对于电子邮件提供者的电子邮件帐户的电子邮件地址。
在一些方面,给定用户的第一用户标识符包括以下中的一个:(i)给定用户对于电子邮件提供者的电子邮件帐户的给定用户的电子邮件地址或(ii)与给定用户的电子邮件地址对应的另一用户标识符。在一些方面,用户识别信息包括给定用户的电话号码。
在一些方面,每个内容平台的附件元素包括该组数据的数字签名和使用数据安全系统的私钥生成的附件元素的第二加密用户标识符。在一些方面,订阅令牌包括该组数据的数字签名和每个附件元素。
在一些方面,发布者计算系统接收复发订阅请求,该请求各自针对给定用户的续订的订阅令牌,每个续订请求包括先前请求的相应的第一加密用户标识符。在一些方面,对于每个续订请求,生成与先前请求的第一加密用户标识符不同的更新的第一加密用户标识符。在一些方面,续订的订阅令牌包括包含更新的第一加密用户标识符的更新的一组数据和每个附件元素。将每个续订的订阅令牌传输到发布者计算系统。
在一些方面,续订的订阅令牌还包括自生成订阅令牌以来用户已经更新的更新的数据隐私设置。在一些方面,对于发布者和给定用户生成订阅令牌包括识别一个或多个内容平台使得每个内容平台被发布者和用户指定为适格内容平台,并且每个适格内容平台为适格选择数字组件以与所述发布者的电子资源一起向所述给定用户呈现的内容平台。
在一些方面,对于发布者和给定用户生成订阅令牌包括识别一个或多个内容平台,使得每个内容平台被发布者和用户指定为适格内容平台,并且每个适格内容平台为适格收集、存储和使用给定用户的数据的内容平台。
在一些方面,给定用户的客户端设备被提供交互式用户界面,其使给定用户能够管理一组发布者和一组内容平台对给定用户的数据的使用。在一些方面,该交互式用户界面包括识别与发布者合作以选择用于与发布者的内容一起呈现的数字组件的内容平台的数据,并且使给定用户能够选择适格获得和存储给定用户的数据的一个或多个内容平台。该交互式用户界面还使用户能够选择适格获得和存储给定用户的数据的一个或多个发布者,并且还能够选择给定用户的数据适格被每个内容平台和每个发布者使用的一种或多种方式。该交互式用户界面还使用户能够请求一个或多个内容平台或一个或多个发布者删除给定用户的数据。
在一些方面,数据安全系统基于从给定用户的客户端设备接收的数据检测给定用户已将发布者指定为不适格获得和存储给定用户的数据。在一些方面,在检测之后,数据安全系统从发布者计算系统接收对给定用户的续订的订阅令牌的请求。响应于检测到给定用户已将发布者指定为不适格获得和存储用户的数据,数据安全系统确定不向发布者计算系统提供给定用户的续订的订阅令牌。
在一些方面,数据安全系统基于从给定用户的客户端设备接收的数据检测给定用户已将发布者指定为不适格获得和存储给定用户的数据。在一些方面,在检测之后,数据安全系统从发布者计算系统接收对给定用户的续订的订阅令牌的请求。响应于检测到给定用户已将给定内容平台指定为不适格获得和存储给定用户的数据,数据安全系统确定不将给定内容平台的附件元素与续订的订阅令牌包括在一起。
总体上,本说明书中描述的主题的另一方面可以体现在包括更新用户界面以呈现用户界面控件的动作的方法中,该用户界面控件使用户能够指定限定实体如何使用用户数据的数据隐私设置。基于与一个或多个用户界面控件的包括用户的短暂用户标识符和证明令牌的用户交互,从客户端设备接收修改对于一个或多个实体的数据隐私设置的请求,其中,短暂用户标识符基于客户端设备的电话号码。至少使用用户的短暂用户标识符和证明令牌核实请求的有效性,并且响应于核实请求的有效性,将指示实体基于修改的给定数据隐私设置修改用户数据的使用的数据传输到一个或多个实体中的每一个。该方面的其他实施方式包括对应的装置、系统和编码在计算机存储设备上的被配置为执行方法的各方面的计算机程序。
这些和其他实施方式可以各自可选地包括以下特征中的一个或多个。在一些方面,在更新用户界面之前,从发布者接收请求用户的电话号码的订阅令牌的令牌请求并且将消息传输到客户端设备,该消息包括(i)包括用户界面的电子资源的资源定位符和(ii)用户的短暂用户标识符。
在一些方面,短暂用户标识符包括通过加密用户的电话号码或电子邮件地址而生成的加密结果。在一些方面,该请求还包括客户端设备的公钥并且核实该请求的有效性还包括验证短暂用户标识符与客户端设备的公钥之间的关联。
在一些方面,验证短暂用户标识符包括尝试解密短暂用户标识符并在成功解密短暂用户标识符时确定成功验证短暂用户标识符。
在一些方面,证明令牌和更新的设置被存储在审核日志中。
在一些方面,该请求包括网络cookie(网络饼干)。在一些方面,核实请求的有效性包括解密短暂用户标识符并使用短暂用户标识符验证网络cookie。
在一些方面,证明令牌包括一组数据和该组数据的数字签名。在一些方面,验证证明令牌包括基于该组数据确定数字签名是有效的。
在一些方面,证明令牌包括指示证明令牌被创建的时间的令牌创建时间戳,并且验证证明令牌包括确定证明被创建的时间在接收请求的时间的阈值持续时间内。
在一些方面,证明令牌包括完整性令牌,该完整性令牌包括客户端设备或在客户端设备上运行的应用的可信度的判断,并且验证证明令牌包括验证完整性令牌。
本说明书中描述的主题可以在特定实施例中实现,以实现以下优点中的一个或多个。为用户提供用于管理跨在线生态系统的数据隐私设置的平台为用户提供了哪些在线实体可以访问用户的可能包括敏感信息的数据的透明的视图,并使用户能够控制哪些实体可以存储用户的数据以及实体如何使用用户的数据。这种对隐私设置的透明和高效控制允许用户决定哪些在线实体可以访问用户数据,哪些在线实体不能访问用户数据,以及每个实体如何存储和使用数据。与现有技术相比,本文档中描述的方法进一步防止将敏感用户信息共享给第三方实体,从而维护用户隐私。
所述技术可以包括存储信息,例如用户隐私设置和修改隐私设置的用户动作,以用于审核可以访问用户数据的在线实体以验证对数据分发和用户隐私协议的合规并识别任何可能滥用用户数据的流氓(rouge)实体的目的。该技术包括使用具有分别用于一个或多个接收者的一个或多个附件元素的订阅令牌,并且每个附件元素可以包括用于其接收者的数据,例如加密数据。通过将附件元素作为单独的数据结构与订阅令牌包括在一起,而不是将用于每个实体的数据包括在订阅令牌内,附件元素可以从整个消息或其他电子通信中被去除,而不会影响接收者验证订阅令牌的能力。这使接收者之一能够接收订阅令牌和所有附件元素,并且对于每个其他接收者,仅与订阅令牌一起转发用于该接收者的附件元素。
此外,这减少了验证证明令牌所需的处理能力和计算资源(例如,CPU周期)。例如,如果用于每个接收者的数据都包括在证明令牌中,则接收者的设备将除了认证令牌的其他数据之外还需要扫描所有这些数据,来验证证明令牌的数字签名。通过生成用于每个接收者的附件元素,每个接收者的设备只需扫描其他证明数据来验证签名,例如,无需扫描每个接收者的数据。此外,通过不向其他接收者提供接收者的数据,这更好地保护了每个接收者的数据。即使数据在证明令牌中被加密,加密的数据也会容易受到找到解密数据方法的另一实体的攻击。
在一些实施方式中,可以通过在包括所有附件元素的整个订阅令牌上包括单个数字签名而不是每个附件元素包括相应数字签名来减小订阅令牌的数据大小。这可以减少订阅令牌的数据存储要求并减少从客户端设备传输订阅令牌时的带宽消耗。每天汇总超过数千或数百万次传输,这可以导致大量数据存储和带宽节省。
电子邮件提供者可以充当提供例如使用户能够管理各种在线实体如何使用他们的数据的平台和/或用户界面的机制的中央机构。通过这种方式,用户可以通过用户已经信任以存储用户的潜在敏感数据的实体的方式来更轻松地管理如何在一个中心位置使用他们的数据。
电子邮件提供者或其他中央机构可以向与内容平台一起工作的发布者发放订阅令牌,该内容平台使用用户的数据以基于这样的数据为用户选择内容,例如数字组件。这些令牌包括密码和隐私保护特征,其防止其他实体跟踪用户,使内容平台能够证明它们正在根据用户的同意设置使用用户数据,并防止这样的数据被篡改。用户可以通过与中央机构(例如电子邮件提供者)提供的用户界面交互来轻松管理哪些实体可以接收和/或使用他们的数据,并且如果某个实体被阻止,中央机构可以防止该实体能够接收订阅令牌和/或将令牌与用户相关(例如,通过不为具有令牌的用户提供包括实体的用户标识符的附件元素)。
历史上,第三方cookie(即来自与客户端设备渲染的资源不同的域的cookie)已被用于从互联网上的客户端设备收集数据。但是,某些浏览器在阻止使用第三方cookie,从而防止使用第三方cookie收集数据。这在尝试利用收集的数据来增强在线浏览体验时产生问题。换句话说,如果不使用第三方cookie,先前收集的大部分数据将不再可用,这防止计算系统能够使用这些数据。本文档中描述的订阅令牌能够实现类似的功能,但其方式对用户透明,并使用户能够对其数据被收集和使用的方式进行细粒度控制。
订阅令牌的接收者可以通过去除用于其他接收者的附件元素来减少数据存储要求。当令牌提供用于对多个事件使用用户数据的用户同意时,可以通过对于多个事件存储单个令牌来进一步降低数据存储要求。而是,审核日志可以对于每个事件包括标识符或对对应订阅令牌的引用。通过在每个特定时间段而不是每个请求或每个包括订阅令牌的其他通信发放订阅令牌,减少了生成令牌所需的计算资源量,减少了将订阅令牌分发给发布者所消耗的带宽量,并且减少了接收者存储订阅令牌的数据存储要求。
下面参考附图描述前述主题的各种特征和优点。附加特征和优点从本文描述的主题和权利要求明了。
附图说明
图1是数据安全系统在其中管理用户数据的安全性和隐私的环境的框图。
图2是电子邮件提供者和中央机构在其中管理用户数据的安全性和隐私的示例环境的框图。
图3是用于使用订阅令牌来提供数字组件的示例过程的泳道图。
图4是用于生成订阅令牌的示例过程的流程图。
图5是用于续订订阅令牌的示例过程的流程图。
图6是用于使用由数据安全系统提供的应用来接收短暂用户标识符的示例过程的泳道图。
图7是用于生成和提供使用户能够调整数据隐私设置的用户界面的示例过程的泳道图。
图8是用于使用由数据安全系统提供的应用删除用户数据的示例过程的泳道图。
图9是用于访问数据安全系统的基于web的用户界面的示例过程的泳道图。
图10是用于使用用户界面控件基于修改的数据隐私设置修改用户数据的使用的示例过程的流程图。
图11是示例计算机系统的框图。
各个附图中相同的附图标记和名称表示相同的元件。
具体实施方式
总体上,本文档描述了使用户能够从中央平台并且以安全且密码学可证明的方式跨在线生态系统管理数据隐私设置的系统和技术。该技术使每个用户能够控制(例如,允许和/或撤销)对在线实体(诸如内容平台)的许可,该许可限定是否可以收集和/或存储用户的数据,并且如果可以,如何使用该数据以及使用该数据的持续时间。
一个或多个数据安全系统可以各自充当使用订阅令牌来管理用户的数据隐私(例如,管理哪些实体可以收集、存储和使用用户的数据)的中央平台。在一些实施方式中,数据安全系统可以由电子邮件提供者操作并且每个电子邮件提供者可以管理具有电子邮件提供者的电子邮件帐户的用户的数据隐私。默认数据安全系统可以管理具有参与的电子邮件提供者的电子邮件帐户的用户的数据隐私。
图1是数据安全系统180在其中管理用户数据的安全性和隐私的环境100的框图。示例环境100包括数据通信网络105,诸如局域网(LAN)、广域网(WAN)、互联网、移动网络或其组合。网络105连接客户端设备110、数字组件提供者170、需求侧平台(DSP)160、供应侧平台(SSP)150、数据安全系统180、发布者140和网站142。示例环境100可以包括许多不同的客户端设备110、数字组件提供者170、DSP 160、SSP 150、数据安全系统180、发布者140和网站142。
客户端设备110是能够通过网络105进行通信的电子设备。示例客户端设备110包括个人计算机、移动通信设备(例如智能电话)和可以通过网络发送和接收数据的其他设备105。客户端设备还可以包括数字助理设备,该数字助理设备通过麦克风接受音频输入并通过扬声器输出音频输出。当数字助理检测到启用麦克风以接受音频输入的“热词”或“热短语”时,数字助理可以被置于聆听模式(例如,准备好接受音频输入)。数字助理设备还可以包括相机和/或显示器以捕获图像和在视觉上呈现信息。数字助理可以在不同形式的硬件设备中实现,包括可穿戴设备(例如,手表或眼镜)、智能电话、扬声器设备、平板设备或其他硬件设备。客户端设备还可以包括数字媒体设备,例如插入电视或其他显示器以将视频流传输到电视的流传输设备。
客户端设备110通常包括应用112,诸如网络浏览器和/或原生应用,以促进通过网络105发送和接收数据。原生应用是针对特定平台或特定设备(例如,具有特定操作系统的移动设备)开发的应用。发布者140可以开发原生应用并将其提供给客户端设备110,例如,使其可用于下载。例如,响应于客户端设备110的用户在网络浏览器的地址栏中输入资源145的资源地址或选择引用资源地址的链接,网络浏览器可以从托管发布者140的网站142的网络服务器请求资源145。类似地,原生应用可以从发布者的远程服务器请求应用内容。
客户端设备110还可以包括受信任程序111。受信任程序111可以包括来自难以伪造的可靠来源的受信任代码。例如,受信任程序111可以是操作系统、操作系统的一部分、网络浏览器等。在一些实施方式中,受信任程序111还可以包括用于客户端设备110的只能由客户端设备110上的受信任程序111访问的安全存储装置(例如,密钥库114)。
一些资源、应用页面或其他应用内容可以包括用于将数字组件与资源145或应用页面一起呈现的数字组件插槽。数字组件插槽可以是嵌入在资源中的数字组件标签,其包括用于请求数字组件的计算机可读代码。当在本文档前后使用时,短语“数字组件”是指数字内容或数字信息的离散单元(例如,视频剪辑、音频剪辑、多媒体剪辑、图像、文本或其他内容单元)。数字组件可以作为单个文件或以文件集合以电子方式存储在物理存储器设备中,并且数字组件可以采用视频文件、音频文件、多媒体文件、图像文件或文本文件的形式并包括广告信息,因此广告是一种数字组件。例如,数字组件可以是旨在补充由应用112呈现的网页或其他资源的内容的内容。更特别地,数字组件可以包括与资源内容相关的数字内容(例如,数字组件可以与与网页内容的相同主题或相关主题相关)。因此,数字组件的提供可以补充并通常增强网页或应用内容。
当应用112加载包括一个或多个数字组件插槽的资源(或应用内容)时,应用112可以请求用于每个插槽的数字组件。在一些实施方式中,数字组件插槽可以包括使应用112请求数字组件以呈现给客户端设备110的用户的代码(例如,脚本)。
一些发布者140使用SSP 150来管理为其资源145和/或应用的数字组件插槽获得数字组件的过程。SSP 150是以硬件和/或软件实现的技术平台,其使获得资源和/或应用的数字组件的过程自动化。SSP 150可以与一个或多个DSP 160交互以获得可以用于为数字组件插槽选择数字组件的信息。每个发布者140可以具有相应的SSP 150或多个SSP 150。多个发布者140可以使用相同的SSP 150。
数字组件提供者170可以创建(或以其他方式发布)在发布者的资源和应用的数字组件插槽中呈现的数字组件。数字组件提供者170可以使用DSP 160来管理其数字组件的提供以在数字组件插槽中呈现。DSP 160是以硬件和/或软件实现的技术平台,其使分发数字组件以与资源和/或应用一起呈现的过程自动化。DSP 160可以代表数字组件提供者170与多个SSP 150交互,以提供数字组件以与多个不同发布者140的资源和/或应用一起呈现。通常,DSP 160可以接收对数字组件(例如,直接从SSP 150或通过交换)的请求,基于请求对于一个或多个数字组件提供者创建的一个或多个数字组件生成(或选择)选择参数,并向SSP150提供与数字组件相关的数据(例如,数字组件本身)和选择参数。
在一些情况下,根据用户的兴趣接收数字组件对用户是有益的。一些发布者140要求用户订阅它们的网站142或提供订阅信息以下载发布者140的原生应用。在其他情况下,发布者140可以向订户提供不提供给非订户的附加服务或功能。为了订阅,用户通常例如通过发布者140的网站142或应用112向发布者140提供诸如电子邮件地址或电话号码的PII。
通常,发布者的资源145的数字组件插槽的代码可以发送具有对数字组件的请求的第三方cookie。例如,假设用户导航到由发布者140发布的网站,该网站提供新闻文章以及来自一个或多个DSP 160-1…160-N的其他数字组件。为了接收新闻文章,用户使用用户的电子邮件地址向网站订阅。为了向用户提供定制数字组件,代码可以向SSP 150提供第三方cookie(其可以与用户相关的数据(诸如浏览历史)关联),SSP 150转而可以向DSP 160提供第三方cookie。由于并非所有可以访问用户数据的各方都被验证和/或受信任,因此该用户数据可能被未经验证和/或不受信任的一方用于恶意活动,并且用户几乎或根本不清楚(visibility)什么实体接收该数据或这样的数据如何被使用。而是,用户可能必须从客户端设备110删除各种cookie或逐一阻止接收者,例如,在它们的网站处。
为了保护用户隐私和管理用户数据的安全性,环境100包括一个或多个数据安全系统180,其使用户能够管理哪些实体接收他们的数据、哪些实体被允许存储他们的数据、这些实体如何被允许使用他们的数据和/或实体被允许使用他们的数据的持续时间。其他数据隐私和/或用户同意设置也是可能的。每个数据安全系统180可以管理一组用户的用户数据的安全性和隐私。在一些实施方式中,每个数据安全系统180由电子邮件提供者(例如向用户提供免费电子邮件帐户的免费电子邮件提供者)管理。在该示例中,每个电子邮件提供者可以包括数据安全系统180,其使具有电子邮件提供者的电子邮件帐户的用户能够定义和调整数据隐私设置并根据数据隐私设置发放订阅令牌。
环境100可以包括用于每个参与的电子邮件提供者(例如,参与数据隐私保护计划的每个电子邮件提供者)的数据安全系统180,这在下面参考图2进行描述。此外,环境100可以包括数据安全系统180,其使具有不参与的电子邮件提供者的电子邮件地址或没有电子邮件地址的用户能够管理他们的用户隐私设置。在一些实施方式中,环境100可以包括由受信任方(例如,由行业团体或政府机构)管理的单个(或多个)数据安全系统180。
通常,数据安全系统180可以使用订阅令牌来管理用户数据的安全性和隐私。对于每个用户,数据安全系统180可以向从数据安全系统180请求订阅令牌的适格发布者发放订阅令牌。适格发布者可以是用户已经订阅(例如,以接收发布者内容)的发布者。例如,如下所述,当用户订阅发布者时,发布者可以从数据安全系统180请求用户的订阅令牌。该请求可以指示用户已经订阅发布者并且可以包括用户的电子邮件地址(或者用于订阅的其他PII,例如,如果数据安全系统180不是电子邮件提供者)。除非或直到用户向数据安全系统180指示用户不订阅发布者,数据安全系统180可以为发布者续订订阅令牌,这在下文更详细地描述。
在一些实施方式中,数据安全系统180可以提供具有交互式控件的用户界面,该交互式控件使用户能够跨整个(或至少一部分)在线生态系统管理用户隐私设置。例如,该用户界面可以是网站或原生应用的用户界面,其向用户呈现用户的所有当前(有效)或过去(过期)订阅的列表。在特定示例中,该用户界面可以包括用户已经订阅的发布者的列表。在另一示例中,该列表还可以包括选择和/或提供数字组件以与发布者的内容一起呈现的内容平台。对于每个发布者,该列表可以包括发布者与之合作以获得数字组件以与发布者的内容一起呈现的每个内容平台。通过这种方式,用户可以透明地了解哪些在线实体直接或间接向用户提供数字内容和/或数字组件和/或能够访问用户数据。用户可以使用用户界面对数据安全系统180识别任何欺诈订阅,例如,用户尚未订阅但已请求订阅令牌的发布者或用户已取消订阅的发布者,因为这些发布者将被包括在用户界面中。该用户界面还可以包括交互式控件,例如按钮或选择器,其使用户能够将订户指定为欺诈或未订阅的订户,或者将欺诈或未订阅的发布者指定为订阅的(例如,适格的)发布者。通过这种方式,用户可以控制数据安全系统180向哪些发布者提供订阅令牌并且因此可以将订阅令牌发送到内容平台(例如,SSP 150和DSP 160)以用于基于用户的用户数据选择数字组件。
该用户界面还可以提供内容平台的列表,诸如SSP 150和DSP 160和数字组件提供者170。例如,用户界面可以包括适格接收用户的订阅令牌的适格内容平台的列表。该用户界面可以包括交互式控件,例如按钮或选择器,其使用户能够将内容平台指定为适格或不适格(例如,不能接收订阅令牌,因此不允许接收、存储或使用用户的数据)。最初,当用户订阅发布者时,与发布者关联的内容平台可以被添加为用户的适格内容平台。例如,发布者可以具有一组SSP 150,其获取数字组件以与发布者的内容一起呈现。在该示例中,在用户订阅发布者之后,可以最初将该组SSP 150添加为适格的内容平台。此后,用户可以使用用户界面将内容平台指定为不适格。
在一些实施方式中,用户界面使用户能够限定每个实体(例如,发布者、内容平台或数字组件提供者)可以接收什么用户数据、每个实体可以如何使用该数据和/或数据可以存储和使用多长时间。例如,该用户界面可以对于每个实体包括如何使用数据的一组选项。用户可以对于每个适格实体选择零个或多个选项。
为用户管理用户数据的安全性和隐私的数据安全系统180可以维护用户的当前数据隐私设置并且可以记录用户的历史数据隐私设置。数据隐私设置可以包括指示适格和不适格发布者、内容平台和数字组件提供者170的数据以及对于这些实体中的每一个的相应设置。
在一些实施方式中,数据安全系统180可以向客户端设备110提供可以提供用户界面和交互式控件116以查看和/或管理用户订阅和数据隐私设置的应用113。在一些实施方式中,数据安全系统180可以在浏览器内提供用户界面,例如,作为网页的一部分。
作为示例,假设用户导航到提供新闻文章的发布者140的网站142。用户通过提供用户的PII(诸如电子邮件地址或电话号码)来订阅网站142。在从用户接收PII之后,发布者140可以联系数据安全系统180以通知具有特定PII的用户已经订阅网站142。数据安全系统180转而可以联系用户(例如,通过向用户发送电子邮件或通过向用户的设备发送短消息服务(SMS)文本消息),从而向用户提示到数据安全系统180的网站的链接,用户可以从该网站查看并验证最近对网站142的订阅、管理其他订阅和调整数据隐私设置。
在一些实施方式中,数据安全系统180是以硬件和/或软件实现的技术平台,其由用户的电子邮件地址的电子邮件提供者或任何受信任的第三方机构实现。在这样的实施方式中,数据安全系统180和客户端设备110之间的通信可以使用与电子邮件提供者用于向用户提供电子邮件服务相同的网络安全和认证协议。
在一些实施方式中,当用户订阅发布者140的网站142(或其他内容)时,发布者140可以生成对订阅令牌的请求并且通过网络105将该请求传输到数据安全系统180。数据安全系统180为用户生成订阅令牌并通过网络105将订阅令牌发送到发布者140。
通常,每个订阅令牌特定于用户和发布者,并且由特定数据安全系统180生成。例如,数据安全系统180可以为用户生成用于用户的每个适格发布者的相应订阅令牌。响应于来自发布者的请求,数据安全系统180可以生成用于发布者的订阅令牌。例如,发布者可以响应于用户订阅发布者而请求用户的订阅令牌,并提交对续订的订阅令牌的复发(recurring)请求,例如,在当前订阅令牌过期之前。
在一些实施方式中,每个订阅令牌包括一组数据和一组附件元素。该组数据包括第一加密用户标识符(也称为短暂用户标识符)。在一些实施方式中,第一加密用户标识符的用户标识符是用户用来向发布者注册的PII。例如,该用户标识符可以是用户的电子邮件地址或用户的电话号码,这取决于用户用于注册并因此包含在来自发布者的请求中的PII。在一些实施方式中,第一加密用户标识符的用户标识符是由数据安全系统180维护的用户的内部标识符。例如,数据安全系统180可以将内部标识符映射到PII,使得该PII不被甚至以加密形式包括在订阅令牌中,以更好地保护用户隐私和数据安全。
第一加密用户标识符可以是使用只有数据安全系统180知道的加密密钥加密的用户的电子邮件地址(或内部标识符或其他PII),从而对接收订阅令牌的所有其他实体隐藏明文电子邮件地址。以这种方式,用户的PII对该发布者140以外的实体隐藏,以避免任何不受信任和/或未经验证的实体使用PII的任何恶意活动。在一些实施方式中,数据安全系统180在每个预定时间间隔(例如,24小时、两天、一周等)之后生成新的加密密钥或新的随机数以加密用户的电子邮件地址(或内部标识符或其他PII)以便生成新的第一加密用户标识符。
在一些实施方式中,数据安全系统180通过使用诸如AES 128-GCM的概率对称加密算法使用在定期时间间隔之后生成的密钥(或随机数)加密PII或内部标识符来生成第一加密用户标识符。例如,数据安全系统180可以每24小时或其他适当的时间段生成秘密密钥(或随机数)。在一些实施方式中,概率加密算法为每个加密过程生成唯一的随机数。以这种方式,即使相同的标识符被加密,包括在用户的每个订阅令牌中的第一加密的用户标识符也将变化并且数据安全系统180仍然可以解密第一加密标识符。通过以这种方式改变加密结果,接收特定用户的多个订阅令牌的实体将无法将多个订阅令牌关联在一起或无法确定令牌是用于同一用户的。
订阅令牌的该组数据还可以包括订阅令牌的过期日期。每个订阅令牌可以持续特定时间段,由到期时间指定。例如,每个订阅令牌可以持续一天、一周、一个月或其他适当的时间段。订阅令牌限定在该时间段内什么实体适格接收、存储或使用用户的数据和/或每个实体在该时间段内可以如何使用用户的数据。接收订阅令牌的每个实体可以存储订阅令牌,作为用户允许该实体在该时间段期间接收、存储和/或使用用户数据的可验证证据。
订阅令牌的该组数据可以包括表示用户是否已经确认对发布者的订阅的确认状态。例如,同意状态可以表示用户是否已经登录到数据安全系统180、访问用于管理数据隐私设置的用户界面以及确认对发布者140的订阅。
订阅令牌的该组数据还可以包括指示用户的当前数据隐私设置的用户同意数据。例如,用户同意数据可以包括用户同意字符串,该字符串表示哪些内容平台、发布者和/或其他实体获得或未获得用户的同意以获得、存储、访问或使用用户的数据。在一些实施方式中,订阅令牌还包括对用户行使消费者权利(诸如用户访问和/或删除用户数据(诸如浏览历史))的请求进行编码的数据。例如,订阅令牌可以用于请求实体删除用户的所有数据。订阅令牌的该组数据还可以包括用例特定数据,例如,特定的消费者权利类型和适用范围。
在一些实施方式中,订阅令牌的该组数据包括发布者140的域。例如,订阅令牌可以包括用户已经订阅的网站142的域。在其他实施方式中,订阅令牌的该组数据还可以包括PII提供者或发放订阅令牌的数据安全系统180的域。例如,如果提供给网站142的PII是用户的电子邮件地址,则电子邮件提供者的域被包括在订阅令牌的该组数据中。PII提供者和/或网站的域可以采用eTLD+1的形式。eTLD+1是有效顶级域(eTLD)加上比公共后缀多一级。示例eTLD+1是“example.com”,其中,“.com”是顶级域。
在一些实施方式中,订阅令牌包括用于选择和/或提供数字组件以与发布者140的内容一起呈现的每个适格内容平台的附件元素。例如,发布者140可以维护内容平台(诸如SSP 150和/或DSP 160)的列表,该内容平台进行交互以选择和提供数字组件以与发布者140发布的网站和/或应用内容一起呈现。在一个示例中,内容平台的列表连同对订阅令牌的请求被传输到数据安全系统180。数据安全系统180在接收内容平台列表之后,生成用于列表中的每个内容平台的附件元素。取决于实施方式,订阅令牌可以包括用于适格接收和/或使用用户的数据的每个实体(例如,订阅令牌被发放到的发布者除外)的附件元素。
如上所述,用户可以选择哪些内容平台适格接收、存储和/或使用用户的数据。在该示例中,数据安全系统180仅对适格内容平台生成并包括附件元素。在另一示例中,用户可以不允许内容平台获得或存储用户数据,但可以允许内容平台提供非个性化的数字组件。在这样的实施方式中,订阅令牌仍然可以包括用于内容平台的附件元素,该附件元素包括特定于内容平台的用户同意(例如,不允许提供个性化数字组件)。由于该内容平台不允许使用用户的数据,因此用于该内容平台的附件元素将不包含用户的有效的第二加密用户标识符(如下所述),从而防止内容平台将订阅令牌与用户相关。替代地,订阅令牌可以不包括用于内容平台的附件元素。在该示例中,订阅令牌可以包括特定于内容平台的用户同意。
用于内容平台的附件元素包括用户的第二加密用户标识符。如下所述,该用户标识符可以根据实施方式而异。在任一实施方式中,所使用的用户标识符可以被加密,从而可以使用仅内容平台(并且,如果需要,数据安全系统180)知道的加密和/或解密密钥对其进行解密。以这样的方式,每个内容平台只能解密其相应的附件元素,以获得用户标识符的明文值。该用户标识符使适格内容平台能够将多个订阅令牌与同一用户标识符相关,类似于第一方或第三方cookie可用于将用户数据相关的方式。
如果内容平台后来被用户指定为不适格或用户阻止内容平台提供个性化内容,则用户的订阅令牌将不再包括用于该内容平台的附件元素(或将不包括用于该内容平台的第二加密用户标识符)。由于内容平台将无法解密附件元素的第一加密用户标识符或任何第二加密用户标识符,因此不适格的内容平台将无法将用户的任何后续订阅令牌与用户的先前订阅令牌相关。
在一些实施方式中,附件元素中的第二加密用户标识符是用户的电子邮件地址(或其他PII,诸如用户的电话号码或由与PII关联的数据安全系统180提供的用户标识符)的使用密码散列函数(诸如SHA256)生成、然后使用内容平台的加密密钥加密的散列值。
在一些实施方式中,附件元素中的第二加密用户标识符可以是由数据安全系统180分配给内容平台、使用内容平台的加密密钥加密的用户标识符。用户标识符可以是由数据安全系统180分配给内容平台的假名标识符。该用户标识符可以由接收域分片或不分片。例如,数据安全系统180可以使用非对称密钥密码算法生成公钥/私钥对。在这样的情况下,用户标识符可以是使用密码散列函数(诸如SHA256)生成的公钥的散列值,该散列值被截断为固定长度(例如,16字节)。然后使用内容平台的加密密钥对用户标识符进行加密。
在一些实施方式中,数据安全系统180可以使用非对称密钥密码算法为与数据安全系统180关联的每个实体生成公钥/私钥对。在这样的场景中,第二加密用户标识符对于特定实体的用户标识符可以是使用密码散列函数(诸如SHA256)对于特定实体生成的公钥的散列值,例如,其被截断为固定长度。在另一示例中,数据安全系统180可以使用用于每个用户的单个私钥(称为主私钥)和密码函数来生成用于每个实体的公钥和私钥,而不是创建和存储公钥和私钥,从而节省数据存储。例如,用于特定实体的私钥可以使用密码函数g(master private key,domain of the particular entity)(g(主私钥,特定实体的域))生成,其中,密码函数g应用于主私钥,并且特定实体的域表示特定实体的eTLD+1(称为entity_eTLD+1)。类似地,可以使用密码函数h(master private key,domain of theparticular entity)(h(主私钥,特定实体的域))生成用于特定实体的公钥,其中,密码函数h应用于主私钥,并且特定实体的域表示特定实体的eTLD+1。在这两种情况下,第二加密用户标识符对于特定实体的用户标识符可以是使用诸如SHA256的密码散列函数对于特定实体生成的公钥的散列值,例如,其被截断为固定长度。
诸如SSP 150、DSP 160和数字组件提供者170的内容平台可以使用第二加密用户标识符的用户标识符来访问用户数据以分发定制的数字组件而无需访问用户的PII。此外,这使用户能够重置用户的用户标识符,例如,使用数据隐私用户界面,并因此防止先前用户标识符与新用户标识符之间的相关。
在一些实施方式中,订阅令牌的每个附件元素还可以包括数字签名。该数字签名可以是该组数据(或该组数据的至少一部分,例如第一加密用户标识符)和附件元素的第二加密用户标识符的数字签名。也就是说,数据安全系统180可以通过使用数据安全系统180的非对称私钥对订阅令牌的该组数据和附件元素的第二加密用户标识符进行数字签名来生成附件元素的数字签名。
每个内容平台可以使用数字签名来验证订阅令牌的内容在生成订阅令牌之后(例如在通过网络105传送期间)没有被更改。内容平台可以使用与用于生成签名的私钥对应的非对称公钥来验证数字签名。如果在生成数字签名之后订阅令牌的该组数据或第二加密用户标识符中的任何一条发生变化,则对数字签名的验证将失败。
在一些实施方式中,订阅令牌包括通过对订阅令牌的其余内容(包括该组数据和所有附件元素)签名而生成的数字签名。以这种方式,订阅令牌包括单个数字签名,尽管订阅令牌可以包括许多附件元素。以这种方式,订阅令牌的数据大小减少,导致在通过网络105传输订阅令牌时减少数据存储需求和减少网络带宽消耗。
因此,订阅令牌允许每个内容平台知道其是否被同意向特定用户的客户端设备提供数字组件。特别地,只有当内容平台能够解密附件元素之一的加密第二用户标识符时,其才知道其被同意向由该第二用户标识符标识的用户提供数字组件。此外,其不能解密任何其他内容平台的第一用户标识符或第二用户标识符,并且没有未授权方能够解密第一或第二用户标识符中的任何一个。这有助于提高用户数据的安全性。此外,由于订阅令牌包括用于每个内容平台的附件元素,因此只需要使用单个订阅令牌(在给定的到期时间限制内,如果适用的话)。这有助于提高计算和网络效率。本技术因此以计算和网络效率高的方式提供用户数据的提高的安全性。此外,在以所描述的方式为每个附件元素提供数字签名的实施例中,安全性得到进一步提高,因为其有助于检测伪造的订阅令牌(即使它们的部分,例如加密第一用户标识符或附件元素之一是先前合法生成的也如此)。同时,保持了与具有单个订阅令牌关联的效率。这样的实施例因此进一步帮助以计算和网络效率高的方式提供用户数据的提高的安全性。
在一些实施方式中,订阅令牌的每个附件元素包括附件元素与之对应的相应内容平台的标识符。取决于特定实施方式,内容平台的标识符的范围可能会有所不同。例如,可以由(例如,电子邮件提供者的)数据安全系统180向内容平台发放与内容平台的eTLD+1不同的唯一标识符,使得可以在数据安全系统域内唯一地标识每个内容平台。在另一示例中,一个或多个电子邮件提供者或中央机构可以联合维护所有内容平台的全球认可的注册表,并向多个内容平台中的每一个发放唯一标识符,使得可以在互联网上全球识别每个内容平台。
通过将用于每个附件元素的内容平台的标识符作为订阅令牌的一部分包括在内,每个内容平台可以容易地找到其对应的附件元素并解密第二解密用户标识符。这节省了计算资源,否则这些计算资源将被浪费在试图解密每个附件元素的第二加密用户标识符直到最终解密正确的第二加密用户标识符上。
如上所述,第一加密用户标识符随着基于用于加密用户标识符的概率对称加密算法的每次加密而变化。因此,该第一加密用户标识符是短暂的,并且随着每个续订的订阅令牌而变化,并且如果第一加密用户标识符针对每个发布者单独加密,则对于每个发布者来说可能不同。这防止实体跟踪用户,就像如果第一加密用户标识符随着时间的推移是稳定的则实体可以跟踪用户一样,并且对于接收用户的订阅令牌的每个发布者也是一样。第二加密用户标识符可以是稳定的,因为用于给定内容平台的附件元素会不可能被包括在给定用户的每个订阅令牌中。例如,用户可以订阅十个不同的发布者。每个发布者可以使用不同的内容平台。因此,用于给定内容平台的附件元素将仅包括在用于十个发布者之一的订阅令牌中。在此示例中,如果第一加密用户标识符随时间推移变化,则实体将无法将发送到不同发布者的订阅令牌相关。
在一些实施方式中,发布者140在接收订阅令牌之后,例如利用发布者140的网页或其他资源将订阅令牌传输到客户端设备110。当客户端设备110的用户导航到包括一个或多个数字组件插槽的网站142时,客户端设备110针对一个或多个数字组件插槽中的每一个生成对数字组件的请求,该请求与订阅令牌一起通过网络105被传输到诸如DSP 160的内容平台。内容平台在接收对数字组件的请求之后,使用由数据安全系统180生成的订阅令牌的数字签名和数据安全系统180的公钥来核实订阅令牌的有效性。在另一示例中,发布者140(或SSP 150)可以生成对数字组件的请求,并将其与订阅令牌一起通过网络105传输到DSP160(或数字组件提供者170)。
在一些实施方式中,发布者140在接收订阅令牌之后维护订阅令牌。当客户端设备110针对网站142中的一个或多个数字组件插槽中的每一个生成对数字组件的请求,并通过网络105将其传输到SSP 150时,SSP 150可以通过网络105将对数字组件的请求以及订阅令牌传输到内容平台,诸如DSP 160或数字组件提供者170。
在通过数字签名核实订阅令牌的有效性之后,内容平台可以基于订阅令牌的有效性来选择向客户端设备110(或发布者140、SSP 150)提供或不提供数字组件。例如,如果订阅令牌已经超过到期日期,则DSP 160可以不向客户端设备提供数字组件。在另一示例中,如果DSP 160无法找到与包含特定DSP160的唯一标识符的DSP 160关联的附件元素,则特定的DSP 160可以不向客户端设备110提供数字组件。如果订阅令牌有效性核实成功,则内容平台可以根据用户指定的用于内容平台的数据隐私设置,对第二加密用户标识符进行解密,并使用与该用户标识符对应的用户数据选择数字组件。
接收订阅令牌的内容平台可以存储订阅令牌,例如,以根据订阅令牌的数据隐私设置来验证内容平台使用了用户的数据。在某些情况下,内容平台可能会在到期日期之前多次接收相同的订阅令牌。例如,用于发布者的订阅令牌可以被设置为在24小时之后过期。在此示例中,用户可以在一天内多次导航到发布者的网站。每次都可以生成包括相同订阅令牌的对数字组件的请求。内容平台可以一次存储每个订阅令牌,而不是多次存储订阅,例如每个请求一次。内容平台可以维护事件日志,该事件日志指示其中用户数据被用于选择数字组件的每个事件,以及对于每个事件,允许内容平台使用用户数据的订阅令牌的标识符。以这种方式,减少了数据存储需求,同时仍然提供内容平台在用户向内容平台提供的用户同意内行动的可审核验证。
图2是电子邮件提供者240和中央机构210在其中管理用户数据的安全性和隐私的示例环境200的框图。在该示例中,电子邮件提供者240和中央机构的默认数据管理器213执行图1的数据安全系统180的功能。
中央机构210可以是受信任方,例如行业团体或政府机构。中央机构210可以管理电子邮件地址作为标识符的使用,以保护整个在线生态系统中用户数据的安全性和隐私。例如,中央机构210可以管理哪些电子邮件提供者参与该数据隐私保护计划。中央机构210可以维护识别作为参与者的每个电子邮件提供者240的电子邮件提供者注册表211和识别作为参与者的每个内容平台(例如,SSP和DSP)的内容平台注册表212。电子邮件提供者和内容平台可以与中央机构签约,以参与数据隐私保护计划。中央机构210可以移除不遵守数据隐私保护计划的规则的参与者,例如,以用户允许之外的方式使用用户数据或在续订订阅令牌对于参与者被拒绝时基于过期订阅令牌使用用户数据的参与者。
每个发布者220可以与中央机构210的计算系统交互以识别哪些电子邮件提供者240和内容平台是参与者。例如,当用户以具有发布者220先前未遇到的域的电子邮件地址订阅发布者220时,发布者220可以查询中央机构210以确定该域的电子邮件提供者240是否参与数据隐私保护计划。如果是,则发布者220可以从电子邮件提供者请求用户的订阅令牌。如果不是,则发布者220可以从默认数据管理器213请求用户的订阅令牌。默认数据管理器213可以为具有非参与者电子邮件提供者的电子邮件地址的用户或使用其他PII进行订阅(例如,使用电话号码进行订阅)的用户向发布者220发放订阅令牌。
发布者可以向参与者内容平台提供订阅令牌。例如,发布者220可以向参与者内容平台230-1到230-N提供用户的订阅令牌以及对数字组件的请求,发布者220与该参与者内容平台230-1到230-N合作以获得用于与发布者220的内容(例如,应用内容的网页)一起呈现的数字组件。订阅令牌可以包括用于内容平台230-1到230-N中的每一个的相应附件元素。内容平台230-1到230-N还可以将订阅令牌转发到其他参与者内容平台,例如,如果订阅令牌识别其他参与者内容平台或包括具有其他参与者内容平台的标识符的附件元素。可以不允许发布者220将订阅令牌转发到非参与者内容平台。
图3是泳道图,其示出用于使用订阅令牌来提供数字组件的示例过程300。过程300的操作可以例如由数据安全系统180、客户端设备110、发布者140和SSP 150来实现。过程300的操作也可以被实现为存储在可以是非暂时性的一个或多个计算机可读介质上的指令,并且一个或多个数据处理装置执行该指令可以使一个或多个数据处理装置执行过程300的操作。
在该示例中,客户端设备110的用户使用诸如网络浏览器的应用112访问托管在网络服务器上的发布者140的网站142。为了访问网站142,客户端设备110可以发起对网站142的请求,并且托管网站142的网络服务器可以通过发送发起网页(或其他电子资源)在客户端设备110处的呈现的计算机可执行指令和/或数据来响应该请求。
客户端设备110的用户导航到发布者140的网站142(302)。例如,客户端设备110的用户可以使用应用112(例如,浏览器)通过指定引用(例如,URL)来访问网站142。
客户端设备110生成对内容的请求并且通过网络105将该请求传输到发布者(304)。例如,在客户端设备110的用户导航到网站142之后,应用112生成请求并通过网络105将其传输到托管网站142的网络服务器。
例如,可以通过分组化网络105传输对数字内容的请求,并且内容请求本身可以被格式化为具有报头和有效载荷数据的分组化数据。报头可以指定分组的目的地并且有效载荷数据可以包括上述任何信息。
发布者140,例如发布者140的网络服务器或内容服务器,以内容进行响应(306)。例如,在从客户端设备110接收对数字内容(例如,网站142)的请求之后,网络服务器可以通过传输发起网站142的资源(例如,网页)在客户端设备110处的呈现的计算机可执行指令和数据来进行响应。响应可以包括与例如通过分组化网络105传输的网站相关的数据,并且内容本身可以被格式化为分组化数据。
客户端设备110的用户提供用户的PII(308)并订阅网站142的发布者140。例如,假设发布者是新闻机构并且网站142提供新闻文章。用户可以订阅发布者140的网站142以每天接收新闻文章。客户端设备110的用户可以向网站142的发布者140提供用户的电子邮件地址(或电话号码或其他PII)以换取接收新闻文章的服务。
发布者140向数据安全系统180传输对订阅令牌(310)的请求。例如,在从客户端设备110的用户接收电子邮件地址之后,发布者140识别电子邮件地址的域,例如用户的电子邮件帐户的电子邮件提供者,并向电子邮件提供者的数据安全系统180传输对订阅令牌的请求。如果PII不是电子邮件地址或者如果电子邮件提供者不是参与者,则发布者140可以将请求传输到另一数据安全系统180,诸如图2的默认数据管理器213。
数据安全系统180生成订阅令牌(312)。在接收对订阅令牌的请求之后,数据安全系统180为发布者140和用户生成订阅令牌。如上所述,订阅令牌包括一组数据,其包括第一加密用户标识符等。在一些实施方式中,第一加密用户标识符是使用数据安全系统180的加密密钥加密的用户的加密PII或内部标识符,使得除了数据安全系统180之外的任何一方都不能从订阅令牌中以明文形式提取用户的电子邮件地址。
在一些实施方式中,订阅令牌包括用于管理发布者140的数字组件的提供的每个内容平台(例如,SSP和/或DSP)的附件元素。订阅令牌中的每个附件元素被指定为供特定内容平台使用。如上所述,每个附件元素包括用户的第二加密用户标识符并且可以包括基于订阅令牌的该组数据和第二加密用户标识符生成的数字签名。在其他示例中,订阅令牌包括基于订阅令牌的该组数据和订阅令牌的所有附件元素生成的单个数字签名。
为了支持对订阅令牌的授权使用,附件包括用于向发布者140提供数字组件的相应内容平台(诸如DSP 160或数字组件提供者170)的标识符。内容平台的标识符的范围可以根据实施方式而异。例如,数据安全系统180可以向内容平台发放唯一标识符,使得可以在数据安全系统的域内唯一地标识每个内容平台。在另一示例中,一个或多个电子邮件提供者或中央机构可以联合维护所有内容平台的全球认可的注册表,并向多个内容平台中的每一个发放唯一标识符,使得可以跨多个域识别每个内容平台。
数据安全系统180向发布者140传输订阅令牌(314)。发布者140可以存储订阅令牌以用于获得数字组件以与发布者的网页或其他内容一起呈现给用户。
客户端设备110向SSP 150传输对数字组件的请求(316)。例如,在订阅发布者140之后,用户可以再次导航到发布者的网站142,例如,以查看更多新闻文章。发布者的网页可以包括一个或多个数字组件插槽,其包括使客户端设备110生成和传输对数字组件的请求的脚本或其他代码。脚本也可以从发布者140获得用户的订阅令牌(
或者它可以是网页的一部分)并且在请求中包括订阅令牌。
客户端设备110可以向发布者140的SSP 150发送对数字组件的请求。例如,应用112可以基于一个或多个数字组件插槽生成对数字组件的一个或多个请求。在特定示例中,应用112可以基于数字组件插槽的标签生成对数字组件的请求,并通过网络105将请求传输到SSP 150。
可以例如通过分组化网络105传输对数字组件的请求,并且组件请求本身可以被格式化为具有报头和有效载荷数据的分组化数据。报头可以指定分组的目的地并且有效载荷数据可以包括上述任何信息。
SSP 150可以向一个或多个DSP 160传输对数字组件的请求。如前所述,诸如数字组件提供者170的内容平台可以使用一个或多个DSP 160来自动化分发数字组件以与应用一起呈现的过程。在接收请求之后,SSP 150可以与一个或多个DSP交互并传输对数字组件的对应请求。
在一些实施方式中,对数字组件的请求可以包括由数据安全系统180生成的被传输到发布者140和SSP 150的订阅令牌。例如,SSP 150在从客户端设备110接收对数字组件的请求之后,生成包括订阅令牌的对数字组件的请求,并将其通过网络105传输到DSP 160。订阅令牌表示用户对用户隐私和被允许向客户端设备110提供数字组件的内容平台的偏好。
在一些实施方式中,订阅令牌可以包括可以接收订阅令牌的内容平台的列表,或者对于每个附件元素的与附件元素对应的内容平台。SSP 150可以使用该数据来识别向其提交请求的DSP 160。例如,SSP 150可以向订阅令牌中标识的每个DSP 160发送请求,但不向订阅令牌中未标识的内容平台发送请求。
DSP 160可以基于订阅令牌和可选地先前接收的用户的订阅令牌来选择数字组件。如之前参考图1所提到的,订阅令牌表示用户对适格使用用户的数据来选择提供给客户端设备110的数字组件的内容平台的偏好。例如,在通过数字签名核实订阅令牌的有效性之后,DSP 160可以基于认证令牌的内容选择向客户端设备110(或发布者140、SSP 150)提供或不提供数字组件。例如,DSP 160可以使用与数据安全系统180用于生成签名的私钥对应的非对称公钥来验证数字签名。如果订阅令牌的该组数据或第二加密用户识别符中的任一条在数据安全系统180生成数字签名之后发生变化,则数字签名的验证将失败并且DSP 160将不向SSP 150提供数字组件。在另一示例中,如果订阅令牌已超过到期日期,则DSP 160将不向SSP 150提供数字组件。在另一示例中,如果特定DSP 160无法找到与具有特定DSP 160的唯一标识符的特定DSP 160关联的附件元素,则特定DSP 160将不向SSP 150提供数字组件。
DSP 160可以基于对于用户接收的多个订阅令牌来选择数字组件。例如,DSP 160可以对用于DSP的第二加密用户标识符进行解密,并使用该用户标识符将当前订阅令牌与对于用户先前接收的数据(例如,来自对于用户先前接收的用户订阅令牌)相关。DSP 160可以使用该数据,例如,连同诸如识别发布者140的上下文数据、网页、关于网页的数字组件插槽的信息等的其他数据来选择一个或多个数字组件以与网页一起呈现。
DSP 160将一个或多个选择的数字组件的数据传输到SSP 150。例如,基于订阅令牌而选择的一个或多个DSP 160可以通过传输一个或多个选择的数字组件或识别数字组件的数据(例如,包括用于呈现数字组件的指令的创意元素)来响应SSP 150对数字组件的请求。对于每个数字组件,DSP 160还可以生成或选择数字组件的选择参数。DSP 160然后可以将数字组件的选择参数和数据传输到SSP 150。
SSP 150从由DSP识别的数字组件中选择数字组件(318)。例如,SSP 150可以例如基于数字组件的选择参数来选择发布者140的具有最高预期金额(amount)的数字组件。
SSP 150将选择的数字组件的数据传输到客户端设备110(322)。例如,SSP150可以通过网络105将数字组件或数字组件的创意传输到在客户端设备110上执行的应用112。
应用112呈现接收的数字组件(324)。例如,应用112可以将数字组件与发布者140的网页一起呈现。
图4是示出生成订阅令牌的过程400的流程图。过程400的操作可以例如由图1的数据安全系统180实现。过程400的操作也可以实现为存储在可以是非暂时性的一个或多个计算机可读介质上的指令,并且一个或多个数据处理装置执行该指令可以使一个或多个数据处理装置执行过程400的操作。为简洁起见,根据图1的数据安全系统180来描述过程400。
接收对给定用户的订阅令牌的请求(410)。该请求可以包括给定用户在订阅发布者的电子内容时提供的信息。例如,用户可以导航到由提供新闻文章的发布者140发布的网站142。用户通过提供用户的PII(诸如电子邮件地址)订阅该网站。在接收用户的PII之后,发布者140的网站142生成对用户的订阅令牌的请求,并通过网络105将该请求传输到数据安全系统180。
数据安全系统180生成订阅令牌(420)。在接收对订阅令牌的请求之后,数据安全系统180生成订阅令牌,该订阅令牌包括使数据安全系统180能够将订阅令牌与用户相关但防止订阅令牌的其他接收者执行相关的第一加密用户标识符。在一些实施方式中,第一加密用户标识符是用户的电子邮件地址或用于订阅发布者的其他PII,其使用只有数据安全系统180知道的加密密钥被加密。如上所述,订阅令牌还可以包括到期日期、确认状态、用户同意数据和/或发布者的域。用户的每个订阅令牌的用户同意数据可以指示在生成订阅令牌时用户的当前数据隐私设置。
订阅令牌还包括用于与发布者140合作以向发布者140提供数字组件的一个或多个适格内容平台中的每一个的一个或多个附件元素。适格内容平台可以仅包括作为数据隐私保护计划的参与者、被用户指定为适格(例如,未被阻止)并且如发布者140指示是发布者140的合作伙伴的内容平台。订阅令牌中用于特定内容平台的每个附件元素包括通过加密用于订阅发布者的PII(或密码散列PII)(例如,用户的电子邮件地址)而生成的第二加密用户标识符或使用仅该特定内容平台可以解密(或者可选地,数据安全系统180也可以解密)的加密方案的假名标识符(与PII不同)。例如,加密方案可以是使用内容平台公钥的非对称加密。在另一示例中,数据安全系统180和特定内容平台可以创建共享密钥,该共享密钥使数据安全系统180能够使用对称密钥加密算法加密并且特定内容平台能够解密。
订阅令牌中用于特定内容平台的每个附件元素还可以包括附件元素与之对应的对应内容平台的标识符。取决于特定实施方式,内容平台的该标识符的范围可以不同。在一些实施方式中,订阅令牌包括内容平台的列表,对于这些平台,订阅令牌包括有附件元素。在一些实施方式中,订阅令牌中的每个附件元素还可以包括通过使用数据安全系统的非对称私钥对订阅令牌的该组数据和附件元素的第二加密用户标识符进行数字签名而生成的数字签名。
数据安全系统180向发布者140传输订阅令牌(430)。例如,发布者140(或SSP 150)可以负责从DSP 160(或数字组件提供者170)收集数字组件,用于发布者140的网站142或应用的数字组件插槽。订阅令牌通过网络105被传输到发布者140以分发到SSP 150和/或DSP160(或数字组件提供者170)。例如,发布者140可以将用户的订阅令牌包括在传输到用户的客户端设备的电子资源(例如,网页)的代码中。在另一示例中,电子资源的数字组件插槽的代码可以从发布者140获得订阅令牌,例如,响应于客户端设备执行该代码。以这种方式,客户端设备110可以将订阅令牌包括在客户端设备向内容平台(例如,向SSP 150和DSP 160)传输的对数字组件的请求中。
如前所述,数据安全系统180可以向客户端设备110的用户提供平台以管理对发布者140的订阅并且提供访问或阻止内容平台(例如,与发布者140合作的内容平台)使用包括PII、用户浏览历史等的用户数据。在一些实施方式中,订阅令牌具有到期日期并且发布者140必须获得每个用户的续订的订阅令牌以便具有有效订阅令牌。例如,假设特定发布者140已经向SSP 150提供用户的订阅令牌。还假设该订阅令牌基于订阅令牌的到期日期已经到期(或即将到期)。在这样的场景中,发布者140必须从数据安全系统180获得续订的订阅令牌以继续向内容平台发送订阅令牌,从而使内容平台能够在选择数字组件时使用用户的数据。
在一些实施方式中,发布者140生成被传输到数据安全系统180的复发续订请求。例如,如果订阅令牌在24小时后到期,则发布者140可以每24小时提交对续订的订阅令牌的请求。也可以使用其他合适的时间段。在另一示例中,发布者140可以具有计算系统,该计算系统被配置为响应于用户的订阅令牌在到期的阈值持续时间内生成对用户的请求。这些请求中的每一个可以包括由数据安全系统180对于在前订阅令牌生成的第一加密用户标识符。在接收续订请求之后,数据安全系统180针对每个复发续订请求生成续订的订阅令牌,该续订的订阅令牌包括与第一加密用户标识符不同的更新的第一加密用户标识符,以及最新的用户同意状态,并且将续订的订阅令牌传输到发布者140。参考图5进一步解释续订订阅令牌的示例过程。
图5是示出续订订阅令牌的过程500的流程图。过程500的操作可以例如由数据安全系统180实现。过程500的操作也可以被实现为存储在可以是非暂时性的一个或多个计算机可读介质上的指令,并且一个或多个数据处理装置执行该指令可以使一个或多个数据处理装置执行过程500的操作。
数据安全系统180从发布者计算系统接收续订请求(510)。例如,假设用户(订户)通过提供用户的PII(诸如电子邮件地址或电话号码)订阅了发布者140的网站142。在接收PII之后,发布者140生成对订阅令牌的请求并将其传输到数据安全系统180。数据安全系统180生成订阅令牌,该订阅令牌在特定时间段内有效,例如接下来的24小时或其他适当的时间段。在该示例中,订阅令牌中的该组数据包括从生成令牌时起24小时的到期日期。发布者140在接收订阅令牌之后将订阅令牌分发给向发布者140提供数字组件以及对数字组件的请求的注册实体。临近到期日期结束(例如,在到期日期的阈值时间量内),发布者140可以请求包括即将到期的当前订阅令牌的订阅令牌(或要过期的订阅令牌的至少第一加密用户标识符)的续订。发布者可以例如在当前订阅令牌到期之前向数据安全系统180提交对续订的订阅令牌的复发请求。
数据安全系统180生成更新的第一加密用户标识符(520)。在接收包括即将到期的当前订阅令牌的续订请求之后,数据安全系统180使用在生成当前订阅令牌时用于生成第一加密用户标识符的秘密密钥(或与该秘密密钥对应的另一加密密钥)对第一加密用户标识符(短暂用户标识符)进行解密。解密第一加密用户标识符生成明文用户标识符,例如用户的PII或用户的内部帐户标识符。通过将生成的用户标识符与数据安全系统180对其发放订阅令牌的多个用户的用户标识符列表进行比较,数据安全系统180使用明文用户标识符来识别对其生成当前订阅令牌的用户。在识别用户和/或用户的标识符之后,数据安全系统180使用概率对称加密算法和可以不同于被用于生成当前订阅令牌的第一加密用户标识符的秘密密钥的秘密密钥生成不同于当前订阅令牌的第一加密用户标识符的更新的第一加密用户标识符。通过以这种方式改变加密结果,接收特定用户的多个订阅令牌的实体将无法将多个订阅令牌相关在一起或无法基于第一加密用户标识符确定令牌是针对同一用户的。以这种方式,只有其订阅令牌包括具有接收者能够解密的第二加密用户标识符的附件元素的接收者才能将用户的多个订阅令牌相关。
数据安全系统180生成续订的订阅令牌(530)。如参考图1所述,数据安全系统180生成续订的订阅令牌,其包括更新的第一加密用户标识符和更新的一组数据,诸如更新的到期日期、表示一个或多个内容平台是否被用户同意使用用户数据来提供数字组件的更新的用户同意数据(例如,更新的用户同意字符串)等。更新的同意设置可以反映自从生成先前订阅令牌以来用户使用数据隐私用户界面所做的任何变化。例如,如果用户阻止特定内容平台使用用户的数据,则更新的同意设置可以反映该变化,并且续订的订阅令牌将不包括特定内容平台的附件元素。
数据安全系统180向发布者140传输续订的订阅令牌(540)。例如,发布者140(或SSP 150)可以负责从DSP 160(或数字组件提供者170)收集数字组件,用于发布者140的网站142或应用的数字组件插槽。续订的订阅令牌通过网络105被传输到发布者140以分发到SSP 150和/或DSP 160(或数字组件提供者170)。例如,发布者140可以将用户的续订的订阅令牌包括在用于传输到用户的客户端设备的电子资源(例如,网页)的代码中。在另一示例中,电子资源的数字组件插槽的代码可以从发布者140获得续订的订阅令牌,例如响应于客户端设备执行代码。以这种方式,客户端设备可以将续订的订阅令牌包括在客户端设备向内容平台(例如,向SSP 150和DSP 160)传输的对数字组件的请求中。
在一些实施方式中,当客户端设备的用户向发布者140的网站142提供诸如电子邮件地址的PII时,在客户端设备110上执行的网站142中的脚本识别用户提供的相应电子邮件地址的电子邮件提供者。在识别的电子邮件提供者未实现先前描述的技术和方法(例如,不是参与者)的情形下,脚本可以从另一数据安全平台180(例如,图2的默认数据管理器213)请求订阅令牌。在任一情况下,数据安全平台180可以向数据安全系统180的网站发送包括URL(或引用URL的链接)的电子邮件,该网站向用户的电子邮件地址提供用于订阅和隐私设置的用户界面,提示用户检查订阅和隐私设置。电子邮件中包括的URL可以包括短暂用户标识符,例如,使用数据安全系统180的秘密密钥通过概率对称密钥加密算法加密的电子邮件地址。在与URL交互之后,数据安全系统180向客户端设备110提供网站的计算机可执行指令和数据,以使用应用112向用户呈现网站。在一些实施方式中,网络cookie被放置在应用112的cookie罐(jar)中以在与数据安全系统180的任何将来通信期间识别应用112。
如前所述,PII是与用户相关的信息,其可能是敏感的。这样的信息的非预期共享可能会引起隐私问题。假设客户端设备110的用户导航到由提供新闻文章的发布者140发布的网站。为了接收新闻文章,用户可以使用用户的电话号码而不是用户的电子邮件地址订阅该网站。当使用电子邮件地址时,电子邮件提供者可以提供认证机制以确保在查看或修改数据隐私设置时用户是真实可靠的。但是,当电话号码被用作用于订阅发布者的PII时,可能没有相同的认证机制。
在接收用户用于订阅的电话号码之后,发布者140的网站142生成对订阅令牌的请求,并通过网络105将该请求传输到数据安全系统180。数据安全系统180可以向客户端设备110发送SMS消息。在该示例中,客户端设备110具有电话能力,例如蜂窝能力。例如,客户端设备110可以是通过网络105的智能电话、平板计算机、膝上型计算机或个人计算机,网络105可以包括蜂窝网络或互联网。
在一些实施方式中,数据安全系统180发送到用户的客户端设备110的SMS消息包括资源定位符(诸如到数据安全平台180的仪表板或网站的URL)和用户的短暂用户标识符。用户的短暂用户标识符由数据安全系统180通过使用概率对称加密算法和数据安全系统180已知的秘密密钥加密用户的电话号码(或用户的内部标识符)来生成。
在一些实施方式中,在接收SMS消息之后,并且在用户与URL(或引用URL的链接)交互之后,用户可以被重定向到客户端设备110中由数据安全系统180提供的应用(例如,应用113)或通过客户端设备110上的基于浏览器的应用(例如,应用112)被重定向到数据安全系统180的网站。在任一情况下,向用户呈现交互式用户界面以管理数据隐私设置。例如,用户可以将订阅指定为欺诈、阻止内容平台或指定用户数据的接收者可以如何使用数据,如上所述。
在一些实施方式中,通过SMS消息提供给客户端设备110的短暂用户标识符被存储在客户端设备110上。例如,假设在与通过SMS消息提供给客户端设备110的URL交互之后,用户被重定向到由数据安全系统180提供的在客户端设备110上执行的应用113。应用113解析SMS消息并提取用户的短暂用户标识符并将短暂用户标识符存储在客户端设备110中。这将参考图6进一步解释。
图6是泳道图,其示出了客户端设备接收短暂用户标识符的示例过程600。过程600的操作可以例如由客户端设备110、发布者140的计算系统、数据安全系统180实现。过程600的操作可以被实现为存储在可以是非暂时性的一个或多个计算机可读介质上的指令,并且一个或多个数据处理装置执行该指令可以使一个或多个数据处理装置执行过程600的操作。虽然根据网络浏览器下载网页来描述该过程600,但可以在类似的过程中使用原生应用。
客户端设备110的用户导航到发布者140的网站142(602)。例如,客户端设备110的用户可以使用浏览器应用112通过指定资源定位符(例如,URL)或选择搜索结果的链接来访问网站142。
客户端设备110生成对内容的请求并且通过网络105将该请求传输到发布者(604)。例如,在客户端设备110的用户通过使用引用(例如,URL)指定网站142之后,应用112(即在客户端设备110上运行的网络浏览器)生成对数字内容(即网站142)的请求并将其通过网络105传输到托管网站142的发布者140的网络服务器。
对数字内容的请求可以例如通过分组化网络105传输,并且内容请求本身可以被格式化为具有报头和有效载荷数据的分组化数据。报头可以指定分组的目的地并且有效载荷数据可以包括上述任何信息。
发布者140,例如发布者140的网络服务器或内容服务器,以内容进行响应(606)。例如,在从客户端设备110接收对内容的请求(即,对网站142的请求)之后,托管网站142的网络服务器可以通过传输发起网页在客户端设备110处的呈现的计算机可执行指令和数据来进行响应。该响应可以包括与例如通过分组化网络105传输的网页相关的数据,并且内容本身可以被格式化为分组化数据。
客户端设备110的用户提供用户的电话号码(608)并订阅网站142的发布者140。例如,假设网站142提供新闻文章。用户可以订阅发布者140的网站142以每天接收新闻文章。客户端设备110的用户向网站142的发布者140提供用户的电话号码以换取接收新闻文章的服务。
发布者140向数据安全系统180传输令牌请求(610)。例如,在从客户端设备110的用户接收电话号码之后,发布者140生成令牌请求并将其发送给数据安全系统180,例如图2的默认数据管理器213。
数据安全系统180向客户端设备110传输SMS消息(612)。例如,数据安全系统180可以将SMS消息发送到与电话号码对应的智能电话,例如,拥有该电话号码的智能电话。数据安全系统180发送到用户的客户端设备110的SMS消息可以包括到数据安全平台180的仪表板或网站的资源定位符(例如,URL)和用户的短暂用户标识符。用户的短暂用户标识符由数据安全系统180通过使用概率对称密钥加密算法和数据安全系统180已知的秘密密钥加密用户的电话号码(或内部标识符)来生成。因此,出于实际目的,短暂用户标识符被加密并基于用于生成短暂用户标识符的加密算法随着时间的推移而变化。短暂用户标识符可以被包括作为URL的参数。
用户被重定向到应用113(614)。例如,在接收SMS之后,并且在用户与URL交互之后,用户被重定向到由数据安全系统180提供并安装或以其他方式运行在客户端设备110上的应用(例如,应用113)。应用113可以从数据安全系统180接收关于用户订阅和隐私设置的信息,并提供用户界面以将该信息呈现给用户。应用113还可以包括供用户选择和管理个人订阅和数据隐私设置的控件。
应用113解析短暂用户标识符(616)。在被重定向到应用113之后,应用113解析SMS消息并提取用户的短暂用户标识符并将短暂用户标识符(618)存储在客户端设备110处。在一些实施方式中,应用113将短暂用户标识符存储在客户端设备110的受信任程序111(例如,操作系统)的密钥库114(或密钥串)中或客户端设备110处的其他安全存储中。
在一些情形下,当用户被重定向到由数据安全系统180提供的应用113以访问和修改订阅设置时,应用113从数据安全系统180访问用户订阅数据。在这样的情形下,为了验证在客户端设备110上执行的应用113没有受到损害,客户端设备在与数据安全系统180通信的同时实现附加的安全措施。例如,应用111可以与受信任程序111交互以生成可以由数据安全系统180验证的证明令牌。通常,受信任程序111难以渗透,并且犯罪者篡改受信任程序111而需要花费的时间和工作量高得令人望而却步。此外,因为受信任程序111由可靠的源提供和维护,因此出现的任何漏洞都可以由该源解决。这将参考图7进一步解释。因此,用户能够仅基于他们的电话号码来修改数据隐私设置。电话号码是已经唯一地分配给用户的少量数字数据。这为用户提供了更好的便利(例如,他们不需要生成附加的识别数据,诸如唯一的用户名)。此外,少量的数字数据在计算上处理高效。此外,证明令牌的使用以及在某些实施方式中以所描述的方式使用加密、数字签名和/或公钥有助于提高用户数据的安全性。因此提供了一种允许用户修改他们的(一个或多个)数据隐私设置的计算效率更高、更安全的方式。
图7是泳道图,其示出了用于生成和提供使用户能够调整数据隐私设置的用户界面的示例过程700。过程700的操作可以例如由客户端设备110或数据安全系统180实现。过程700的操作可以实现为存储在可以是非暂时性的一个或多个计算机可读介质上的指令,并且一个或多个数据处理装置执行该指令可以使一个或多个数据处理装置执行过程700的操作。
客户端设备110的用户打开(例如,启动)应用113(702)。如前所述,应用113可以由数据安全系统180提供并安装或以其他方式运行在客户端设备110上。应用113可以从数据安全系统180接收关于用户订阅和隐私设置的信息并提供用户界面将该信息呈现给用户。应用113还可以包括使用户能够选择和管理个人订阅和隐私设置的交互式控件。为了查看订阅和隐私设置,用户打开客户端设备110上的应用113。由于该信息可能是敏感的,因此使用附加的认证技术,如下所述,以确保客户端设备110、应用113和/或用户有效且不受到损害。
在客户端设备上执行的应用113获取短暂用户标识符(704)。如之前参考图6提到的,短暂用户标识符存储在客户端设备110处。例如,应用113可以将短暂用户标识符存储在客户端设备110的受信任程序111的密钥库114或客户端设备110处的其他安全存储中。在启动应用113之后,应用113从客户端设备110的受信任程序111的密钥库114或客户端设备110处的其他安全存储获取短暂用户标识符。例如,应用113可以通过一个或多个应用程序接口(API)调用向受信任程序111生成对短暂用户标识符的请求,并且受信任程序111提供包括短暂用户标识符的响应。
应用113获取公钥(706)。在一些实施方式中,应用113在客户端设备110上安装期间或在其第一次执行期间创建公钥/私钥对以用于与数据安全系统180安全通信的目的。由于在客户端设备110上执行的应用113生成公钥/私钥对,所以分发给其他接收者实体的公钥可以用作客户端设备110的唯一标识符。通常,公钥/私钥对可以用于非对称加密,用于通过未经验证网络在两方之间的通信。例如,发送者可以使用各方都可用的公钥将明文消息加密为密文。接收者在接收消息之后,可以使用私钥对密文进行解密,以获得明文的消息。私钥是秘密密钥并且只有接收者(例如,数据安全系统180)知道。在创建公钥/私钥对之后,应用113将私钥安全地存储在客户端设备110的受信任程序111的密钥库114或客户端设备110处的其他安全存储中。当用户启动应用113时,应用113获取客户端设备110的公钥,该公钥可以存储在客户端设备110的不安全数据存储位置中。
应用113从客户端设备110的受信任程序获取证明令牌(708)。一般而言,客户端设备可以生成通信,例如包括证明令牌的电子消息或请求,通信的接收者可以使用该证明令牌来验证通信的完整性。证明令牌可以包括有效载荷和使用私钥基于该组数据生成的数字签名。以这种方式,接收者可以通过使用接收的该组数据和与用于生成数字签名的私钥对应的公钥来验证数字签名,从而验证有效载荷没有例如在传输期间或被中介修改。如果受信任程序11支持证明,则受信任程序111可以生成用于证明令牌的公钥/私钥对。如果不支持,则应用113可以生成证明令牌的公钥/私钥对。
有效载荷数据可以包括指示创建证明令牌的时间的令牌创建时间、有效载荷数据和/或由一个或多个完整性系统提供的一个或多个完整性令牌。该令牌创建时间可以是高分辨率时间戳(例如,准确到秒、毫秒或微秒)。该时间戳使证明令牌的接收者能够确保证明不是旧的,例如,通过确定令牌创建时间在接收证明令牌的时间的阈值持续时间内。
证明令牌的一个或多个完整性令牌指示传输证明令牌的客户端设备110和/或在发起传输的客户端设备110上运行的应用113是否值得可信。例如,完整性令牌可以包括对于客户端设备110或应用113的可信度的评判。这使证明令牌的接收者(数据安全系统180)能够验证数据来自受信任的客户端设备110和受信任应用113,例如,而不是来自仿真器或受损设备,或受损应用113。完整性令牌可以由受信任分析器(例如,第三方分析器)生成和数字签名,以便证明令牌的接收者可以验证客户端设备110被受信任分析器评估并且完整性令牌中的数据在被受信任分析器创建之后未被修改。
应用113向在客户端设备110上执行的受信任程序111提交请求,以使用对受信任程序111的一个或多个API调用生成包括短暂用户标识符(其是如上所述对用户的用户标识符进行加密的加密结果)和客户端设备110的公钥的证明令牌作为有效载荷数据。也就是说,短暂用户标识符和客户端设备110的公钥可以包括在证明令牌的有效载荷数据中。受信任程序111生成证明令牌并将证明令牌提供给应用113。证明令牌可以包括有效载荷数据、一个或多个完整性令牌和有效载荷数据的数字签名、完整性令牌和证明令牌中包括的其他数据,例如令牌创建时间戳和短暂用户标识符。在一些实施方式中,受信任程序111使用椭圆曲线数字签名算法(ECDSA)来生成数字签名,但也可以使用其他签名技术(例如,RSA)。
应用113生成对用户订阅信息的请求(710)。应用113在获取短暂用户标识符、公钥和证明令牌之后,生成对用户订阅信息的请求并将其传输到数据安全系统180。该请求包括证明令牌,该证明令牌可以包括短暂用户标识符和公钥作为有效载荷数据。在一些实施方式中,使用数据安全系统180的公钥来加密短暂用户标识符、公钥和证明令牌,例如通过加密包括短暂用户标识符和公钥的证明令牌。如上所述,证明令牌可以包括证明令牌的其他数据(例如短暂用户标识符、公钥、令牌创建时间戳和任何完整性令牌)的数字签名。例如,可以通过分组化网络105传输对用户订阅数据的请求,并且内容请求本身可以被格式化为具有报头和有效载荷数据的分组化数据。报头可以指定分组的目的地并且有效载荷数据可以包括上述任何信息。
数据安全系统180核实短暂用户标识符的有效性(712)。在接收对用户订阅信息的请求之后,数据安全系统180可以通过尝试使用只有数据安全系统180知道的秘密密钥解密短暂用户标识符来核实短暂用户标识符的有效性。如果数据安全系统180能够成功解密短暂用户标识符,则数据安全系统180可以确定短暂用户标识符已被成功验证。如果不能,则数据安全系统180可以确定短暂用户标识符未被验证。
数据安全系统180核实证明令牌的有效性(714)。数据安全系统180为了验证有效载荷数据未被篡改并且对用户订阅信息的请求的发送者是应用113,核实包括在对用户订阅信息的请求内的证明令牌的有效性。例如,数据安全系统180可以使用令牌创建时间(例如,通过确保令牌创建时间在当前时间的阈值持续时间内)、数字签名(使用证明令牌的公钥)和/或证明令牌中包括的(一个或多个)完整性令牌来验证证明令牌。每个完整性令牌的验证可以类似于验证证明令牌的方式(例如,基于完整性令牌的数字签名和完整性令牌的令牌创建时间戳)。在一些实施方式中,所有三个验证都被执行,但在其他实施方式中可以执行更少的验证。此外,可以以不同顺序或并行执行验证。
数据安全系统180出于与数据安全系统180安全通信的目的,验证短暂用户标识符和应用113生成的公钥/私钥对中的公钥(716)之间的关联。数据安全系统180在验证短暂用户标识符之后,可以认证客户端设备110以防止任何可能的冒充。例如,数据安全系统180可以查找客户端设备110的电话号码的历史记录及其与证明令牌的公钥的关联以验证客户端设备110在过去是否已经与公钥关联,例如链接到公钥。例如,数据安全系统180可以维护日志,对于每个成功验证的证明令牌,该日志将证明令牌的公钥链接到证明令牌的短暂用户标识符。如果是,则当前公钥先前被链接到短暂用户标识符,如日志中所反映,数据安全系统180可以确定短暂用户标识符被成功验证。
如果不是,则数据安全系统180可以向客户端设备110发送具有码的SMS消息,用户可以在应用113上输入该码,或者应用113可以从SMS消息中自动提取该码,以验证对订阅信息的请求是用户从客户端设备110发起的。在另一示例中,SMS消息可以包括URL,其可以将用户重定向到数据安全系统180的网站以验证用户的真实性。这提供了附加的安全性以确保新的公钥与短暂用户标识符关联并因此属于客户端设备110。当任何验证失败时,数据安全系统180可以发送该SMS消息。
数据安全系统180准备对对用户订阅令牌的请求的响应(718)。在验证在客户端设备110上执行的应用113、客户端设备110的用户和对用户订阅信息的请求的真实性之后,数据安全系统180生成响应,该响应包括应用113需要呈现给用户的信息。例如,数据安全系统180可以从由数据安全系统180维护的安全且加密的用户数据库中提取数据。
数据安全系统180在传输到应用113之前加密响应(720)。数据安全系统180使用应用113的公钥/私钥对中的公钥或嵌入在证明令牌中的客户端设备110的公钥将用户订阅信息加密为密文,从而只有在客户端设备110上执行的应用113可以使用私钥解密密文并以明文访问用户订阅信息。
数据安全系统180将用户订阅信息传输到应用110(722)。例如,加密的用户信息从数据安全系统180传输到在客户端设备110上执行的应用113以通过分组化网络105呈现给用户,并且内容本身可以被格式化为具有报头和有效载荷数据的分组化数据。报头可以指定分组的目的地并且有效载荷数据可以包括上述任何信息。用户订阅信息可以包括用户的数据隐私设置,其可包括例如响应于用户订阅发布者已请求用户的订阅令牌的发布者的列表。
在客户端设备110上执行的应用113在接收具有加密的用户订阅数据的响应之后,使用私钥将数据解密为明文(724)并将明文用户订阅数据(726)呈现给客户端设备110的用户。
如前所述,应用113还可以包括供用户选择和管理个人订阅和隐私设置的交互式控件。之前参考图8对此进行了解释。
图8是泳道图,示出了修改数据隐私设置的示例过程800。过程800的操作可以例如由客户端设备110、内容平台和数据安全系统180来实现。过程800的操作可以被实现为存储在可以是非暂时性的一个或多个计算机可读介质上的指令,并且一个或多个数据处理装置执行该指令可以使一个或多个数据处理装置执行过程800的操作。出于解释的目的,将参考客户端设备的用户与应用113交互以选择一个或多个内容平台并通过应用112的用户界面提供指令以从选择的一个或多个内容平台删除用户数据的示例场景来描述过程800。
客户端设备110的用户与应用113交互以从一个或多个内容平台删除用户数据(802)。如前所述,应用113由数据安全系统180提供并安装或以其他方式运行在客户端设备110上。应用113可以从数据安全系统180接收关于用户订阅的信息,包括数据隐私设置,并提供用户界面以将该信息呈现给用户。应用113还可以包括供用户选择和修改个人订阅和隐私设置的交互式控件。例如,用户在客户端设备110上打开应用113,通过示例过程700查看当前订阅和隐私设置,并通过用户界面,提供从选择的一个或多个内容平台删除用户数据的指令。虽然该示例是关于在DSP处删除用户数据,但可以使用类似的过程来执行其他修改,例如,DSP如何使用用户数据。因此,更一般地,删除用户数据的请求(810)和(820)可以是修改用于一个或多个实体(例如内容平台)的数据隐私设置的请求,用户数据的删除(822)可以是数据隐私设置的修改并且确认(824)可以是修改数据隐私设置的确认。
在客户端设备上执行的应用113获取短暂用户标识符(804)。如之前参考图6提到的,短暂用户标识符存储在客户端设备110处。例如,客户端设备110在接收短暂用户标识符之后,可以将该标识符安全地存储在客户端设备110的受信任程序111的密钥库114中。在启动应用113之后,应用113从客户端设备110的受信任程序111获取短暂用户标识符。例如,应用113可以生成对短暂用户标识符的请求,并且受信任程序111提供包括短暂用户标识符的对请求的响应。如上所述,短暂用户标识符是通过加密用户的用户标识符(例如,电话号码、电子邮件地址或内部标识符)而生成的加密结果。
应用113获取公钥(806)。如上所述,应用113在客户端设备110上的安装期间或其第一次执行期间,出于与数据安全系统180安全通信的目的创建公钥/私钥对。应用113在创建公钥/私钥对之后,将私钥安全地存储在客户端设备110的受信任程序111的密钥库114或客户端设备110处的其他安全存储中。当用户启动应用113时,应用113获取客户端设备的公钥110,例如,从客户端设备110的另一不安全的数据存储位置。
应用113从客户端设备110的受信任程序111获取证明令牌(808)。类似于过程700的步骤708,应用113向在客户端设备110内执行的受信任程序111提交请求,以使用对受信任程序111的一个或多个API调用生成包括短暂用户标识符和应用113的公钥作为有效载荷数据的证明令牌。受信任程序111生成证明令牌并将证明令牌提供给应用113。证明令牌可以包括有效载荷数据和有效载荷数据的数字签名。在一些实施方式中,受信任程序111使用椭圆曲线数字签名算法(ECDSA)来生成数字签名,但也可以使用其他签名技术(例如,RSA)。
应用113生成删除用户数据的请求(810)。在获取短暂用户标识符、公钥和证明令牌之后,应用113生成删除用户数据的请求并将其传输到数据安全系统180。该请求包括短暂用户标识符、公钥和证明令牌。删除用户数据的请求还可以包括选择的一个或多个内容平台或DSP 160的列表,以删除用户通过用户界面选择的用户数据。删除用户数据的请求可以例如通过分组化网络105传输,并且内容请求本身可以被格式化为具有报头和有效载荷数据的分组化数据。报头可以指定分组的目的地并且有效载荷数据可以包括上述任何信息。
数据安全系统180核实短暂用户标识符的有效性(812)。在接收删除用户数据的请求之后,数据安全系统180可以以与上面参考图7描述的相同的方式来核实短暂用户标识符的有效性。
数据安全系统180核实证明令牌的有效性(814)。例如,数据安全系统180可以使用令牌创建时间、数字签名和/或证明令牌中包括的(一个或多个)完整性令牌来验证证明令牌,如上面参考图7所述。
数据安全系统180验证短暂用户标识符和公钥之间的关联(816)。例如,如上面参考图7所述,数据安全系统180可以查找客户端设备110的电话号码的历史记录及其与证明令牌的公钥的关联以验证客户端设备110是否确实与公钥关联。在另一示例中,数据安全系统180可以向客户端设备110发送具有码的SMS消息,用户可以在应用113上输入该码,或者应用113可以读取SMS消息以提取该码,以验证对订阅信息的请求是用户从客户端设备110发起的。在另一示例中,SMS消息可以包括URL,其可以将用户重定向到数据安全系统180的网站以验证用户的真实性。
数据安全系统180存储证明令牌(818)。数据安全系统可以对于从客户端设备110接收的修改用户订阅/隐私设置的每个请求维护日志。例如,数据安全系统180可以存储包括在删除用户数据的请求中的证明令牌,以便能够执行审核以检查与客户端设备110的用户和数据安全系统180关联的所有实体是否遵循由用户和数据安全系统180设置的协议。在一些实施方式中,数据安全系统180可以去除证明令牌的附件元素以节省数据安全系统180中的存储空间。
数据安全系统180向用户请求删除数据的(一个或多个)内容平台传输删除用户数据的请求(820)。例如,在认证删除用户数据的请求和客户端设备110之后,数据安全系统180可以向与数据安全系统180关联的选择的一个或多个内容平台中的每一个传输删除用户数据的请求。如果请求是修改数据隐私设置,则请求可以改为指定请求的修改。
(一个或多个)内容平台删除用户数据(822)。响应于接收数据安全系统180传输的删除用户数据的请求,选择的一个或多个内容平台删除由删除用户数据的请求中包括的第二用户标识符标识的用户的用户数据。(一个或多个)内容平台可以将证明令牌与描述事件(例如数据删除事件)的数据一起存储。如果事件是修改数据隐私设置,例如,给予内容平台使用用户数据的许可,则证明令牌可用作内容平台被允许使用用户数据的以密码方式可验证的证明。
数据安全系统180从内容平台接收确认(824)。响应于选择的一个或多个内容平台中的每一个删除用户数据,选择的一个或多个内容平台中的每一个通过网络105向数据安全系统180传输确认通知。数据安全系统180转而向客户端设备105的应用113传输确认(826)以通知用户用户的请求已被处理。在一些实施方式中,应用113可以直接将用户数据删除请求传输到一个或多个DSP 160。
在一些实施方式中,当客户端设备110的用户不能访问应用113时(例如,当应用113没有安装在客户端设备110上时),用户可以使用基于浏览器的应用112来访问由数据安全系统180提供的网站并执行所有上述任务。参考图9进一步解释这种场景。
图9是泳道图,其示出了用于生成和提供使用户能够使用浏览器应用调整数据隐私设置的用户界面的示例过程900。过程9000的操作可以例如由客户端设备110或数据安全系统180实现。过程900的操作可以被实现为存储在可以是非暂时性的一个或多个计算机可读介质上的指令,并且一个或多个数据处理装置执行该指令可以使一个或多个数据处理装置执行过程900的操作。
数据安全系统180向客户端设备110发送SMS消息(902)。例如,假设客户端设备110的用户使用浏览器应用112导航到发布者140的网站142。进一步假设,用户提供用户的电话号码以订阅发布者140。在这样的场景中,发布者140将通知数据安全系统180,数据安全系统180转而将向电话号码所属的客户端设备110发送SMS消息。在一些实施方式中,由数据安全系统180发送到用户的客户端设备110的SMS消息包括资源定位符(诸如到数据安全平台180的仪表板或网站的URL)和用户的加密短暂用户标识符。用户的短暂用户标识符由数据安全系统180通过使用概率对称密钥加密算法和只有数据安全系统180知道的秘密密钥加密用户的电话号码来生成。
客户端设备的用户被通知SMS消息(904)并且用户与SMS消息交互(906)。例如,在从数据安全系统180接收SMS消息之后,将关于SMS消息的信息通知给用户。用户在被客户端设备110的受信任程序111(例如,操作系统)通知关于SMS消息的信息之后,与SMS消息中提供的URL交互,并使用浏览器应用112被重定向到数据安全系统180提供的网站(908)。
浏览器应用112生成并传输对数字内容的请求(910)。例如,在客户端设备110的用户通过点击SMS消息中的引用(例如URL)指定网站之后,应用112(例如在客户端设备110上运行的网络浏览器)生成对数字内容的请求(即对数据安全系统180的网站的请求)并将其通过网络105传输到数据安全系统。在一些实施方式中,对数字内容的请求可以包括证明。在该示例中,证明令牌可以是由受信任第三方发放的信任令牌的形式。例如,受信任第三方可以在评估从客户端设备110获得的欺诈检测信号之后向客户端设备110发放信任令牌。在一些实施方式中,对数字组件的请求可以包括在与数据安全系统180的在前通信期间被放置在客户端设备110上的数据安全系统180的cookie。
数据安全系统180核实信任令牌的证明记录的有效性(912)。证明记录可以包括签名的兑换记录。例如,网页上的脚本或其他代码可以请求浏览器从受信任第三方兑换信任令牌。如果信任令牌有效,则受信任第三方可以向浏览器返回签名的兑换记录。数据安全系统180接收附有证明记录的对数字内容的请求(即,对数据安全系统180的网站的请求)。证明记录可以包括一组数据,该组数据包括信任令牌的令牌标识符、令牌创建时间戳和签名的兑换记录。证明记录还可以包括使用受信任第三方的私钥生成的该组数据的数字签名。数据安全系统180可以通过验证令牌创建时间在当前时间的阈值持续时间内并且通过使用与受信任第三方的私钥对应的公钥来验证数字签名从而验证签名的兑换记录。
数据安全系统180核实短暂用户标识符的有效性(914)。数据安全系统180使用数据安全系统180的私钥对加密的短暂用户标识符、公钥和证明令牌进行解密。数据安全系统180还使用客户端设备110或应用113的公钥,使用对数字内容的请求中包括的数字签名,核实短暂用户标识符、公钥和证明令牌的有效性。如果对数字内容的请求的数据中的任一条在数字签名生成后发生变化,则数字签名的验证将失败。
数据安全系统180核实与对数字组件的请求一起接收的cookie(916)。例如,假设数据安全系统180在应用112对数据安全系统的网站的在前访问期间已在浏览器应用112中放置了cookie。还假设cookie值是短暂用户标识符(其是如上所述的加密结果)。数据安全系统180在接收对数字组件的请求中包括的cookie之后,针对任何冒充迹象核实cookie的有效性。
数据安全系统180将数字内容传输到浏览器应用112(918)。例如,数据安全系统180可以通过将网站的计算机可执行指令和数据传输到在客户端设备110上执行的浏览器应用112来进行响应。响应可以包括例如通过分组化网络105传输的与网站相关的数据,并且内容本身可以被格式化为分组化数据。在一些实施方式中,具有数字内容的响应还可以包括将被放置在浏览器应用112的cookie罐中以在与数据安全系统180的任何将来通信期间识别浏览器应用112的cookie。浏览器应用112在接收网站的内容之后将网站呈现给用户(920)。
图10是示出使用用户界面控件基于修改的数据隐私设置修改用户数据的使用的过程1000的流程图。过程1000的操作可以例如由客户端设备110和/或数据安全系统180实现。过程1000的操作也可以被实现为存储在可以是非暂时性的一个或多个计算机可读介质上的指令,并且一个或多个数据处理装置执行该指令可以使一个或多个数据处理装置执行过程1000的操作。
用户界面被更新以呈现使用户能够指定数据隐私设置的用户界面控件(1010)。例如,应用113从数据安全系统180访问用户订阅数据。在访问用户订阅数据时,应用113向用户呈现用户订阅数据并为用户提供界面控件。用户与界面控件交互以从一个或多个内容平台删除用户数据,或修改对于一个或多个实体的给定数据隐私设置。
接收修改对于一个或多个实体的给定数据隐私设置的请求(1020)。例如,在用户选择一个或多个内容平台之后,应用113从客户端设备110获取短暂用户标识符、公钥和证明令牌。然后应用生成更新或修改用户的数据隐私设置的请求并将其传输到数据安全系统的180。
数据安全系统180尝试至少使用短暂用户标识符来核实请求的有效性(1030)。例如,在接收修改数据隐私设置的请求之后,数据安全系统180通过验证短暂用户标识符、证明令牌(其可以是具有签名的兑换记录的证明记录的形式)和/或短暂用户标识符和公钥之间的关联来核实请求的有效性,如上面参考图7和8所述。
如果请求被成功核实有效性,则数据安全系统180传输指示受修改的数据隐私设置影响的一个或多个实体中的每一个根据修改的数据隐私设置修改数据的使用的数据(1050)。例如,在核实来自客户端设备110的修改数据隐私设置的请求的有效性之后,数据安全系统180可以向每个受影响的实体传输基于对于该实体的修改的数据隐私设置修改用户数据的收集、存储和/或使用的请求。该请求可以包括用户的短暂用户标识符。
如果请求未被成功核实有效性,则数据安全系统180不传输指示一个或多个实体中的每一个修改数据的使用的数据(1040)。例如,如果任何验证失败,则数据安全系统180不向受影响的实体传输修改用户数据的使用的请求。
图11是可以用于执行上述操作的示例计算机系统1100的框图。系统1100包括处理器1110、存储器1120、存储设备1130和输入/输出设备1140。组件1110、1120、1130和1140中的每一个可以例如使用系统总线1150互连。处理器1110能够处理用于在系统1100内执行的指令。在一些实施方式中,处理器1110是单线程处理器。在另一实施方式中,处理器1110是多线程处理器。处理器1110能够处理存储在存储器1120中或存储设备1130上的指令。
存储器1120存储系统1100内的信息。在一个实施方式中,存储器1120是计算机可读介质。在一些实施方式中,存储器1120是易失性存储器单元。在另一实施方式中,存储器1120是非易失性存储器单元。
存储设备1130能够为系统500提供大容量存储。在一些实施方式中,存储设备1130是计算机可读介质。在各种不同的实施方式中,存储设备1130可以包括例如硬盘设备、光盘设备、由多个计算设备通过网络共享的存储设备(例如,云存储设备)或某其他大容量存储设备。
输入/输出设备1140为系统1100提供输入/输出操作。在一些实施方式中,输入/输出设备1140可以包括网络接口设备(例如以太网卡)、串行通信设备(例如,RS-232端口)和/或无线接口设备(例如802.11卡)中的一个或多个。在另一实施方式中,输入/输出设备可以包括被配置为接收输入数据并将输出数据发送到外部设备1160(例如键盘、打印机和显示设备)的驱动器设备。然而,也可以使用其他实施方式,诸如移动计算设备、移动通信设备、机顶盒电视客户端设备等。
虽然在图11中已经描述了示例处理系统,但是本说明书中描述的主题和功能操作的实施方式可以在其他类型的数字电子电路,或在计算机软件、固件或硬件中实现,包括本说明书中公开的结构及其结构等效物,或它们中的一种或多种的组合。
可以在数字电子电路或在计算机软件、固件或硬件中实现本说明书中描述的主题和操作的实施例,包括本说明书中公开的结构及其结构等效物,或其中一项或多项的组合。本说明书中描述的主题的实施例可以被实现为一个或多个计算机程序,即,一个或多个计算机程序指令模块,其编码在多个计算机存储介质(或一个计算机存储介质)上以供数据处理装置执行或控制其操作。替代地或另外地,程序指令可以编码在人工生成的传播信号上,例如机器生成的电、光或电磁信号,该信号被生成以对信息进行编码以传输到合适的接收器装置以供数据处理装置执行。计算机存储介质可以是(或被包括在)计算机可读存储设备、计算机可读存储基板、随机或串行存取存储器阵列或设备、或它们中的一个或多个的组合中。此外,虽然计算机存储介质不是传播的信号,但计算机存储介质可以是编码在人工生成的传播信号中的计算机程序指令的源或目的地。计算机存储介质还可以是(或被包括在)一个或多个单独的物理组件或介质(例如,多个CD、磁盘或其他存储设备)中。
本说明书中描述的操作可以实现为数据处理装置对存储在一个或多个计算机可读存储设备上或从其他来源接收的数据执行的操作。
术语“数据处理装置”涵盖用于处理数据的所有种类的装置、设备和机器,例如,包括可编程处理器、计算机、片上系统或上述的多个或组合。该装置可以包括专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除了硬件之外,该装置还可以包括为所讨论的计算机程序创建执行环境的代码,例如构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行时环境、虚拟机或其中一个或多个的组合的代码。装置和执行环境可以实现各种不同的计算模型基础设施,诸如网络服务、分布式计算和网格计算基础设施。
计算机程序(也称为程序、软件、软件应用、脚本或代码)可以用任何形式的编程语言编写,包括编译或解释语言、声明性或过程性语言,并且可以以任何形式部署,包括作为独立程序或作为模块、组件、子程序、对象或适合在计算环境中使用的其他单元。计算机程序可以但不必对应于文件系统中的文件。程序可以存储在包含其他程序或数据的文件的一部分中(例如,存储在标记语言文档中的一个或多个脚本)、专用于讨论的程序的单个文件或多个协调文件(例如、存储一个或多个模块、子程序或部分代码的文件)中。计算机程序可以部署为在一台计算机上执行,也可以在位于一个站点或跨多个站点分布并通过通信网络互连的多台计算机上执行。
本说明书中描述的过程和逻辑流程可以由一个或多个可编程处理器执行,该一个或多个可编程处理器执行一个或多个计算机程序以通过对输入数据进行操作并生成输出来执行动作。处理和逻辑流程也可以由专用逻辑电路来执行,并且装置也可以作为专用逻辑电路来实现,例如,FPGA(现场可编程门阵列)或ASIC(专用集成电路)。
适合于执行计算机程序的处理器包括,例如,通用和专用微处理器。通常,处理器将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的基本要素是根据指令执行动作的处理器和用于存储指令和数据的一个或多个存储器设备。通常,计算机还将包括,或可操作地耦合以从一个或多个用于存储数据的大容量存储设备(例如,磁盘、磁光盘或光盘)接收数据或将数据传输到这些设备或两者。然而,计算机不需要有这样的设备。此外,计算机可以嵌入到另一个设备中,例如移动电话、个人数字助理(“PDA”)、移动音频或视频播放器、游戏控制台、全球定位系统(“GPS”)接收器,或便携式存储设备(例如,通用串行总线(“USB”)闪存驱动器)等,仅举几例。适用于存储计算机程序指令和数据的设备包括所有形式的非易失性存储器、介质和存储器设备,例如包括半导体存储器设备,例如EPROM、EEPROM和闪存设备;磁盘,例如,内置硬盘或可移动磁盘;磁光盘;以及CD-ROM和DVD-ROM磁盘。处理器和存储器可由专用逻辑电路补充或合并到专用逻辑电路中。
为了提供与用户的交互,本说明书中描述的主题的实施例可以在具有显示设备的计算机上实现,例如,CRT(阴极射线管)或LCD(液晶显示器)监视器,用于向用户显示信息,以及键盘和定点设备,例如鼠标或轨迹球,用户可以通过它们向计算机提供输入。也可以使用其他类型的设备来提供与用户的交互;例如,提供给用户的反馈可以是任何形式的感官反馈,例如视觉反馈、听觉反馈或触觉反馈;并且可以以任何形式接收来自用户的输入,包括声学、语音或触觉输入。此外,计算机可以通过向用户使用的设备发送文档和从用户使用的设备接收文档来与用户交互;例如,响应于从网络浏览器收到的请求,将网页发送到用户客户端设备上的网络浏览器。
可以在包括后端组件(例如,作为数据服务器)或包括中间件组件(例如,应用服务器)或者包括前端组件(例如,具有图形用户界面或网络浏览器的客户端计算机)(通过其用户可以与本说明书中描述的主题的实施例进行交互)或者一个或多个这样的后端、中间件或前端组件的任何组合的计算系统中实现本说明书中描述的主题的实施例。系统的组件可以通过任何形式或媒介的数字数据通信互连,例如通信网络。通信网络的示例包括局域网(“LAN”)和广域网(“WAN”)、互联网络(例如,因特网)和对等网络(例如,自组网(adhoc)对等网络)。
计算系统可以包括客户端和服务器。客户端和服务器通常彼此远离并且通常通过通信网络进行交互。客户端和服务器的关系是由于在各自的计算机上运行的计算机程序并且彼此之间具有客户端-服务器关系而产生。在一些实施例中,服务器将数据(例如,HTML页面)发送到客户端设备(例如,出于向与客户端设备交互的用户显示数据和从与客户端设备交互的用户接收用户输入的目的)。可以在服务器处从客户端设备接收在客户端设备处生成的数据(例如,用户交互的结果)。
虽然本说明书包含许多特定的实施细节,但这些细节不应被解释为对任何发明的范围或可能要求保护的范围的限制,而是对特定发明的特定实施例特有的特征的描述。本说明书中在单独实施例的上下文中描述的某些特征也可以组合地在单个实施例中实现。相反,在单个实施例的上下文中描述的各种特征也可以在多个实施例中、单独地或在任何合适的子组合中实现。此外,虽然上述特征可能在某些组合中被描述为作用于某些组合,甚至最初被如此要求保护,但在某些情况下,可以从组合中删除一个或多个来自要求保护的组合的特征,并且要求保护的组合可以针对子组合或子组合的变体。
类似地,虽然在附图中以特定顺序描述了操作,但这不应理解为要求以所示的特定次序或顺序次序执行这样的操作,或者执行所有图示的操作,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中各个系统组件的分离不应理解为在所有实施例中都需要这样的分离,应当理解,所描述的程序组件和系统一般一起可以集成到单个软件产品中或打包成多个软件产品。
因此,已经描述了主题的特定实施例。其他实施例在以下权利要求的范围内。在某些情况下,权利要求中记载的动作可以以不同的顺序执行,但仍能达到理想的结果。此外,附图中描述的过程不一定需要所示的特定次序或顺序次序来实现期望的结果。在某些实现中,多任务和并行处理可能是有利的。

Claims (17)

1.一种计算机实现的方法,包括:
通过数据安全系统并从发布者的发布者计算系统接收对给定用户的订阅令牌的请求,所述请求包括所述给定用户在订阅所述发布者的电子内容时提供给所述发布者的用户识别信息;
由所述数据安全系统对于所述发布者和所述给定用户生成所述订阅令牌,其中,所述订阅令牌包括(i)一组数据,所述一组数据包括通过使用所述数据安全系统的加密密钥对所述数据安全系统用于识别所述给定用户的所述给定用户的第一用户标识符进行加密而生成的第一加密用户标识符,和对于一个或多个内容平台中的每一个的(ii)附件元素,所述附件元素包括通过使用所述内容平台的加密密钥对所述内容平台用于识别所述给定用户的所述给定用户的第二用户标识符进行加密而生成的第二加密用户标识符;和
将所述订阅令牌传输到所述发布者计算系统。
2.根据权利要求1所述的计算机实现的方法,其中,所述数据安全系统包括电子邮件提供者的计算系统,并且所述用户识别信息包括所述给定用户的且所述给定用户对于所述电子邮件提供者的电子邮件帐户的电子邮件地址。
3.根据权利要求2所述的计算机实现的方法,其中,所述给定用户的所述第一用户标识符包括以下中的一个:(i)所述给定用户对于所述电子邮件提供者的所述电子邮件帐户的所述给定用户的电子邮件地址或(ii)与所述给定用户的所述电子邮件地址对应的另一用户标识符。
4.根据权利要求1所述的计算机实现的方法,其中,所述用户识别信息包括所述给定用户的电话号码。
5.根据任一前述权利要求所述的计算机实现的方法,其中,每个内容平台的所述附件元素包括所述一组数据的数字签名和使用所述数据安全系统的私钥生成的所述附件元素的所述第二加密用户标识符。
6.根据权利要求1所述的计算机实现的方法,其中,所述订阅令牌包括所述一组数据的数字签名和每个附件元素。
7.根据权利要求1所述的计算机实现的方法,还包括:
从所述发布者计算系统接收各自针对所述给定用户的续订的订阅令牌的复发续订请求,每个续订请求包括先前请求的相应的第一加密用户标识符;
对于每个续订请求:
生成与所述先前请求的第一加密用户标识符不同的更新的第一加密用户标识符;
生成所述续订的订阅令牌,所述续订的订阅令牌包括包含更新的第一加密用户标识符的更新的一组数据和每个附件元素;和
将所述续订的订阅令牌传输到所述发布者计算系统。
8.根据权利要求1所述的计算机实现的方法,其中,所述续订的订阅令牌还包括自生成所述订阅令牌以来用户已经更新的更新的数据隐私设置。
9.根据权利要求1所述的计算机实现的方法,其中,对于所述发布者和所述给定用户生成所述订阅令牌包括将由所述发布者和所述用户指定为适格内容平台的每个内容平台识别为所述一个或多个内容平台,每个适格内容平台为适格选择数字组件以与所述发布者的电子资源一起向所述给定用户呈现的内容平台。
10.根据权利要求1所述的计算机实现的方法,其中,对于所述发布者和所述给定用户生成所述订阅令牌包括将由所述发布者和所述用户指定为适格内容平台的每个内容平台识别为所述一个或多个内容平台,每个适格内容平台为适格收集、存储和使用所述给定用户的数据的内容平台。
11.根据权利要求1所述的计算机实现的方法,还包括向所述给定用户的客户端设备提供交互式用户界面,所述交互式用户界面使所述给定用户能够管理一组发布者和一组内容平台对所述给定用户的数据的使用。
12.根据权利要求11所述的计算机实现的方法,其中,所述交互式用户界面包括识别与所述发布者合作以选择用于与所述发布者的内容一起呈现的数字组件的内容平台的数据,并且使所述给定用户能够选择适格获得和存储所述给定用户的数据的一个或多个内容平台、选择适格获得和存储所述给定用户的数据的一个或多个发布者、对于每个内容平台和每个发布者选择适格使用所述给定用户的数据的一种或多种方式并请求所述一个或多个内容平台或所述一个或多个发布者删除所述给定用户的数据。
13.根据权利要求12所述的计算机实现的方法,还包括:
基于从所述给定用户的客户端设备接收的数据,检测所述给定用户已将发布者指定为不适格获得和存储所述给定用户的数据;
从所述发布者计算系统接收对所述给定用户的续订的订阅令牌的请求;和
响应于检测到所述给定用户已将发布者指定为不适格获得和存储用户的数据,确定不向所述发布者计算系统提供所述给定用户的续订的订阅令牌。
14.根据权利要求12所述的计算机实现的方法,还包括:
基于从所述给定用户的客户端设备接收的数据,检测所述给定用户已将给定内容平台指定为不适格获得和存储所述给定用户的数据;
从所述发布者计算系统接收对所述给定用户的续订的订阅令牌的请求;和
响应于检测到所述给定用户已将给定内容平台指定为不适格获得和存储所述给定用户的数据,确定不将所述给定内容平台的附件元素与所述续订的订阅令牌包括在一起。
15.一种系统,包括:
一个或多个处理器;和
存储指令的一个或多个存储设备,所述指令在由所述一个或多个处理器执行时使所述一个或多个处理器执行根据任一前述权利要求所述的方法。
16.一种携带指令的计算机可读介质,所述指令在由一个或多个处理器执行时使所述一个或多个处理器执行根据权利要求1至14中任一项所述的方法。
17.一种包括指令的计算机程序产品,所述指令在由计算机执行时使所述计算机执行根据权利要求1至14中任一项所述的方法的步骤。
CN202080046324.2A 2020-10-27 以密码方式安全的数据保护 Active CN114731273B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2020/057546 WO2022093199A1 (en) 2020-10-27 2020-10-27 Cryptographically secure data protection

Publications (2)

Publication Number Publication Date
CN114731273A true CN114731273A (zh) 2022-07-08
CN114731273B CN114731273B (zh) 2024-10-22

Family

ID=

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115086066A (zh) * 2022-07-14 2022-09-20 中国联合网络通信集团有限公司 消息订阅方法、装置、设备及存储介质
CN115396689A (zh) * 2022-08-24 2022-11-25 珠海安士佳电子有限公司 一种智能化云端视频传输储存方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150074259A1 (en) * 2006-12-29 2015-03-12 Prodea Systems, Inc. Multi-services application gateway and system employing the same
US20150106881A1 (en) * 2012-01-17 2015-04-16 Proximitum Limited Security management for cloud services
US20200067903A1 (en) * 2018-08-24 2020-02-27 International Business Machines Corporation Integration of Publish-Subscribe Messaging with Authentication Tokens
US20200160388A1 (en) * 2018-11-15 2020-05-21 Ravel Technologies SARL Cryptographic anonymization for zero-knowledge advertising methods, apparatus, and system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150074259A1 (en) * 2006-12-29 2015-03-12 Prodea Systems, Inc. Multi-services application gateway and system employing the same
US20150106881A1 (en) * 2012-01-17 2015-04-16 Proximitum Limited Security management for cloud services
US20200067903A1 (en) * 2018-08-24 2020-02-27 International Business Machines Corporation Integration of Publish-Subscribe Messaging with Authentication Tokens
US20200160388A1 (en) * 2018-11-15 2020-05-21 Ravel Technologies SARL Cryptographic anonymization for zero-knowledge advertising methods, apparatus, and system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115086066A (zh) * 2022-07-14 2022-09-20 中国联合网络通信集团有限公司 消息订阅方法、装置、设备及存储介质
CN115086066B (zh) * 2022-07-14 2023-07-18 中国联合网络通信集团有限公司 消息订阅方法、装置、设备及存储介质
CN115396689A (zh) * 2022-08-24 2022-11-25 珠海安士佳电子有限公司 一种智能化云端视频传输储存方法及系统
CN115396689B (zh) * 2022-08-24 2023-06-30 珠海安士佳电子有限公司 一种智能化云端视频传输储存方法及系统

Also Published As

Publication number Publication date
US12039078B2 (en) 2024-07-16
US20220300643A1 (en) 2022-09-22
EP4022845A1 (en) 2022-07-06
EP4022845B1 (en) 2024-05-29
WO2022093199A1 (en) 2022-05-05

Similar Documents

Publication Publication Date Title
JP7376727B2 (ja) 暗号学的に安全な要求の検証
EP4022845B1 (en) Cryptographically secure data protection
EP4011033B1 (en) Anonymous event attestation with group signatures
CN113424188B (zh) 保护浏览器cookie
EP4162647B1 (en) Anonymous authentication with token redemption
CN114391242B (zh) 匿名事件证明
KR20220161428A (ko) 정보 액세스를 제한하는 보안 네트워크 통신
KR20220163483A (ko) 다자간 연산 및 k-익명성 기술 사용한 기밀 정보 보호
CN114731273B (zh) 以密码方式安全的数据保护
CN114342317B (zh) 利用组签名的匿名事件证明
JP2022533874A (ja) 電気通信ネットワーク測定におけるデータ操作の防止およびユーザのプライバシーの保護

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant