CN115066865A - 加密安全请求核实 - Google Patents
加密安全请求核实 Download PDFInfo
- Publication number
- CN115066865A CN115066865A CN202080095596.1A CN202080095596A CN115066865A CN 115066865 A CN115066865 A CN 115066865A CN 202080095596 A CN202080095596 A CN 202080095596A CN 115066865 A CN115066865 A CN 115066865A
- Authority
- CN
- China
- Prior art keywords
- user
- data
- token
- client device
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6263—Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Medicines Containing Antibodies Or Antigens For Use As Internal Diagnostic Agents (AREA)
- Bidet-Like Cleaning Device And Other Flush Toilet Accessories (AREA)
- Burglar Alarm Systems (AREA)
Abstract
本公开涉及数据安全和密码学。在一个方面,一种方法包括更新客户端设备的用户界面以呈现使用户能够指定限定实体如何收集、存储和使用用户的数据的数据隐私设置的用户界面控件。基于用户与一个或多个用户界面控件的交互,数据安全系统从客户端设备接收修改一个或多个实体的数据隐私设置的请求。该请求包括用户的临时用户标识符和证明令牌。数据安全系统使用至少临时用户标识符和证明令牌来验证该请求。数据安全系统向一个或多个实体中的每个实体传输指示该实体基于经修改的给定数据隐私设置来修改用户数据的使用的数据。
Description
技术领域
本说明书涉及数据安全和密码学。
背景技术
客户端设备通过诸如互联网的公共网络传输请求和其他数据。这些通信能够被其他方改变,诸如拦截通信的各方和/或接收通信并将其转发给其他方的中介。客户端设备也易受到恶意攻击,诸如能够在用户不知情或未授权的情况下发送欺诈请求的病毒和恶意软件。此外,其他方能够模仿客户端设备发送看似源自客户端设备但实际上来自其他方的设备的请求。
客户端设备的用户能够使用应用(例如,Web浏览器或本机应用)来从各种内容提供者(例如,搜索引擎、社交媒体平台、网站发布者等)获得内容。客户端设备与内容提供者的服务器之间的通信能够包括对诸如姓名、电子邮件地址、电话号码的敏感信息(例如,用户的个人可识别信息(PII))的共享作为对数字内容的交换。例如,基于订阅的内容交付能够使用PII向用户交付内容。
发明内容
本说明书描述了与保护用户隐私相关的技术。通常,本说明书中描述的主题的一个创新方面能够体现在包括由数据安全系统和从发布者的发布者计算系统接收对给定用户的订阅令牌的请求的方法中。该请求包括由给定用户在订阅发布者的电子内容时提供给发布者的用户标识信息。响应于接收到对订阅令牌的请求,数据安全系统为发布者和给定用户生成订阅令牌。订阅令牌包括:(i)数据集,该数据集包括通过对给定用户的第一用户标识符进行加密而生成的第一加密用户标识符,该第一加密用户标识符由数据安全系统使用以识别使用数据安全系统的加密密钥的给定用户,以及,对于一个或多个内容平台中的每个内容平台,(ii)附件元素,该附件元素包括通过对给定用户的第二用户标识符进行加密而生成的第二加密用户标识符,该第二加密用户标识符由内容平台使用以识别使用内容平台的加密密钥并将订阅令牌传输到发布者计算系统的给定用户。该方面的其他实施方式包括对应的装置、系统和编码在计算机存储设备上的被配置为执行方法的方面的计算机程序。
这些和其他实施方式能够各自可选地包括以下特征中的一个或多个。在一些方面,数据安全系统包括电子邮件提供者的计算系统,并且用户标识信息包括给定用户的电子邮件地址和给定用户关于电子邮件提供者的电子邮件账户。
在一些方面,给定用户的第一用户标识符包括以下之一:(i)给定用户关于电子邮件提供者的电子邮件账户的给定用户的电子邮件地址,或(ii)与给定用户的电子邮件地址相对应的另一个用户标识符。在一些方面,用户标识信息包括给定用户的电话号码。
在一些方面,每个内容平台的附件元素包括数据集的数字签名和使用数据安全系统的私钥而生成的附件元素的第二加密用户标识符。在一些方面,订阅令牌包括数据集的数字签名和每个附件元素。
在一些方面,发布者计算系统接收复发的更换请求,每个更换请求用于包括先前请求的相应第一加密用户标识符的给定用户的更换的订阅令牌。在一些方面,对于每个更换请求,生成与先前请求的第一加密用户标识符不同的经更新的第一加密用户标识符。在一些方面,更换的订阅令牌包括经更新的数据集,该经更新的数据集包括经更新的第一加密用户标识符和每个附件元素。每个更换的订阅令牌都被传输到发布者计算系统。
在一些方面,更换的订阅令牌进一步包括自订阅令牌被生成以来已经由用户更新的经更新的数据隐私设置。在一些方面,为发布者和给定用户生成订阅令牌包括识别一个或多个内容平台,使得每个内容平台被发布者和用户指定为有资格的内容平台,并且每个有资格的内容平台都是有资格选择用于与发布者的电子资源一起呈现给给定用户的数字组件的内容平台。
在一些方面,为发布者和给定用户生成订阅令牌包括识别一个或多个内容平台,使得每个内容平台被发布者和用户指定为有资格的内容平台,并且每个有资格的内容平台都是有资格收集、存储和使用给定用户的数据的内容平台。
在一些方面,向给定用户的客户端设备提供交互式用户界面,该交互式用户界面使给定用户能够管理由一组发布者和一组内容平台对给定用户的数据的使用。在一些方面,交互式用户界面包括识别与发布者合作以选择用于与发布者的内容一起呈现的数字组件的内容平台的数据,并且使给定用户能够选择有资格获得和存储给定用户的数据的一个或多个内容平台。交互式用户界面进一步使用户能够选择有资格获得和存储给定用户的数据的一个或多个发布者,并且还选择给定用户的数据有资格被每个内容平台和每个发布者使用的一个或多个方式。交互式用户界面进一步使用户能够请求一个或多个内容平台或一个或多个发布者删除给定用户的数据。
在一些方面,数据安全系统基于从给定用户的客户端设备接收的数据来检测到给定用户已经将发布者指定为没有资格获得和存储给定用户的数据。在一些方面,在检测之后,数据安全系统从发布者计算系统接收对给定用户的更换的订阅令牌的请求。响应于检测到给定用户已经将发布者指定为没有资格获得和存储用户的数据,数据安全系统确定不向发布者计算系统提供给定用户的更换的订阅令牌。
在一些方面,数据安全系统基于从给定用户的客户端设备接收到的数据来检测给定用户已经将发布者指定为没有资格获得和存储给定用户的数据。在一些方面,在检测之后,数据安全系统从发布者计算系统接收对给定用户的更换的订阅令牌的请求。响应于检测到给定用户已经将给定内容平台指定为没有资格获得和存储给定用户的数据,数据安全系统确定不包括具有更换的订阅令牌的给定内容平台的附件元素。
通常,本说明书中描述的主题的另一个方面能够体现在一种方法中,该方法包括更新用户界面以呈现使用户能够指定限定实体如何使用用户的数据的数据隐私设置的用户界面控件的动作。基于用户与一个或多个用户界面控件的交互,从客户端设备接收修改一个或多个实体的数据隐私设置的请求,该请求包括用户的临时用户标识符和证明令牌,其中,临时用户标识符是基于客户端设备的电话号码。使用至少用户的临时用户标识符和证明令牌来验证请求,并且响应于验证请求,向一个或多个实体中的每个实体传输指示该实体基于经修改的给定数据隐私设置来修改用户数据的使用的数据。该方面的其他实施方式包括对应的装置、系统和编码在计算机存储设备上的被配置为执行方法的方面的计算机程序。
这些和其他实施方式能够各自可选地包括以下特征中的一个或多个。在一些方面,在更新用户界面之前,从发布者接收请求用户的电话号码的订阅令牌的令牌请求,以及向客户端设备传输消息,该消息包括(i)包含用户界面的电子资源的资源定位器以及(ii)用户的临时用户标识符。
在一些方面,临时用户标识符包括通过对用户的电话号码或电子邮件地址进行加密而生成的加密结果。在一些方面,请求进一步包括客户端设备的公钥,并且验证请求进一步包括核实临时用户标识符与客户端设备的公钥之间的关联。
在一些方面,核实临时用户标识符包括尝试对临时用户标识符进行解密并且在临时用户标识符被成功地解密时确定临时用户标识符被成功地核实。
在一些方面,证明令牌和经更新的设置被存储在审计日志中。
在一些方面,请求包括Web cookie。在一些方面,验证请求包括对临时用户标识符进行解密以及使用临时用户标识符来核实Web cookie。
在一些方面,证明令牌包括数据集和数据集的数字签名。在一些方面,核实证明令牌包括基于数据集来确定数字签名是有效的。
在一些方面,证明令牌包括指示证明令牌被创建的时间的令牌创建时间戳,并且核实证明令牌包括确定该证明被创建的时间是在请求被接收的时间的阈值持续时间之内。
在一些方面,证明令牌包括完整性令牌,该完整性令牌包括客户端设备或在客户端设备上运行的应用的可信度的判定,并且核实证明令牌包括核实完整性令牌。
本说明书中描述的主题能够在特定实施例中实现,以便于实现以下优点中的一个或多个。向用户提供用于跨在线生态系统管理数据隐私设置的平台,为用户提供了哪些在线实体能够访问可能包含敏感信息的用户数据的透明视图,并且使用户能够控制哪些实体能够存储用户数据以及实体如何使用用户数据。这种对隐私设置的透明且高效的控制允许用户决定哪些在线实体能够访问用户数据,哪些在线实体不能访问用户数据,以及每个实体如何存储和使用数据。与现有技术相比,本文档中描述的方法进一步防止将敏感用户信息共享给第三方实体,从而维护用户隐私。
该技术能够包括存储信息,诸如用户隐私设置和修改隐私设置的用户动作,以便于审计能够访问用户数据的在线实体以核实对数据分布和用户隐私协议的遵从性并识别可能滥用用户数据的任何红色实体。该技术包括使用具有分别用于一个或多个接收者的一个或多个附件元素的订阅令牌,并且每个附件元素能够包括用于其接收者的数据(例如加密数据)。通过将附件元素作为单独的数据结构包括在订阅令牌中,而不是将每个实体的数据包括在订阅令牌内,附件元素能够从总体消息或其他电子通信中移除,而不会影响接收者核实订阅令牌的能力。这使接收者之一能够接收订阅令牌和所有附件元素并且对于每个其他接收者仅转发具有订阅令牌的那个接收者的附件元素。
此外,这减少了核实证明令牌所需的处理能力和计算资源(例如,CPU周期)。例如,如果每个接收者的数据都被包括在证明令牌中,则除了扫描证明令牌的其他数据以核实证明令牌的数字签名之外,接收者的设备还将需要扫描所有该数据。通过为每个接收者生成附件元素,每个接收者的设备只需要扫描其他证明数据以核实签名,例如,无需扫描每个接收者的数据。此外,通过不将接收者的数据提供给其他接收者,这更好地保护了每个接收者的数据。即使数据在证明令牌中被加密,加密数据也将易受到找到对数据进行解密的方法的另一个实体的攻击。
在一些实施方式中,订阅令牌的数据大小能够通过在包括所有附件元素的整个订阅令牌上包括单个数字签名而不是每个附件元素的相应数字签名来减少。这能够减少订阅令牌的数据存储要求,并减少当从客户端设备传输订阅令牌时的带宽消耗。每天合计数千或数百万的传输,这能够导致大量数据存储和带宽节省。
电子邮件提供者能够充当提供使用户能够管理他们的数据如何被各种在线实体使用的机制(例如平台和/或用户界面)的中央授权机构。以这种方式,用户能够通过用户已经信任的实体存储用户的潜在敏感数据来在一个中央位置中更容易地管理他们的数据如何被使用。
电子邮件提供者或其他中央授权机构能够向与使用用户的数据以基于这样的数据来为用户选择内容(例如数字组件)的内容平台合作的发布者发放订阅令牌。这些令牌包括防止其他实体跟踪用户的加密和隐私保护特征,使内容平台能够证明他们正在根据其同意设置来使用用户数据,并防止伪造这样的数据。用户能够通过与由中央授权机构(例如电子邮件提供者)提供的用户界面交互来容易地管理哪些实体能够接收和/或使用他们的数据,并且如果实体被阻止,则中央授权机构能够防止该实体能够接收订阅令牌和/或将令牌与用户相关(例如,通过不提供包括具有令牌的用户的实体的用户标识符的附件元素)。
历史上,第三方cookie(即,来自与由客户端设备正在呈现的资源不同的域的cookie)已经被用于从跨互联网的客户端设备收集数据。然而,一些浏览器正在阻止第三方cookie的使用,从而防止使用第三方cookie收集数据。这在尝试利用收集的数据来增强在线浏览体验时产生问题。换句话说,在不使用第三方cookie的情况下,先前收集的大多数数据将不再可用,这防止计算系统能够使用该数据。本文档中描述的订阅令牌实现了类似的功能,但以对用户透明的方式并且使用户能够具有对他们的数据如何被收集和使用的细粒度控制。
订阅令牌的接收者能够通过移除其他接收者的附件元素来减少数据存储要求。当令牌对于多个事件提供使用用户数据的用户同意时,数据存储要求能够通过对于多个事件存储单个令牌而被进一步减少。代替地,审计日志能够对于每个事件包括标识符或对对应订阅令牌的引用。通过在每个特定时间段发放订阅令牌而不是每个请求或其他通信包括订阅令牌,生成令牌所需的计算资源量被减少,将订阅令牌分布给发布者所消耗的带宽量被减少,并且用于由接收者存储订阅令牌的数据存储要求被减少。
下面参考附图描述前述主题的各种特征和优点。从本文描述的主题和权利要求中,附加的特征和优点是显而易见的。
附图说明
图1是其中数据安全系统管理用户数据的安全和隐私的环境的框图。
图2是其中电子邮件提供者和中央授权机构管理用户数据的安全和隐私的示例环境的框图。
图3是用于使用订阅令牌来提供数字组件的示例过程的泳道图。
图4是用于生成订阅令牌的示例过程的流程图。
图5是用于更换订阅令牌的示例过程的流程图。
图6是用于使用由数据安全系统提供的应用来接收临时用户标识符的示例过程的泳道图。
图7是用于生成和提供使用户能够调整数据隐私设置的用户界面的示例过程的泳道图。
图8是用于使用由数据安全系统提供的应用来删除用户数据的示例过程的泳道图。
图9是用于访问数据安全系统的基于Web的用户界面的示例过程的泳道图。
图10是用于使用用户界面控件基于经修改的数据隐私设置来修改用户数据的使用的示例过程的流程图。
图11是示例计算机系统的框图。
各种附图中的相同附图标记和名称指示相同的元件。
具体实施方式
通常,本文档描述了使用户能够从中央平台以安全且加密可证明的方式跨在线生态系统管理数据隐私设置的系统和技术。这些技术使每个用户能够控制(例如,允许和/或撤销)对诸如内容平台的在线实体的许可,该许可限定用户的数据是否能够被收集和/或被存储并且,如果是的话,则该数据如何被使用以及在哪个持续时间内被使用。
一个或多个数据安全系统能够各自充当使用订阅令牌来管理用户的数据隐私(例如,管理哪些实体能够收集、存储和使用用户的数据)的中央平台。在一些实施方式中,数据安全系统能够由电子邮件提供者操作,并且每个电子邮件提供者能够管理具有关于电子邮件提供者的电子邮件账户的用户的数据隐私。默认数据安全系统能够管理确实具有关于参与的电子邮件提供者的电子邮件账户的用户的数据隐私。
图1是其中数据安全系统180管理用户数据的安全和隐私的环境100的框图。示例环境100包括数据通信网络105,诸如局域网(LAN)、广域网(WAN)、互联网、移动网络或它们的组合。网络105连接客户端设备110、数字组件提供者170、需求方平台(DSP)160、供应方平台(SSP)150、数据安全系统180、发布者140和网站142。示例环境100可以包括许多不同的客户端设备110、数字组件提供者170、DSP160、SSP 150、数据安全系统180、发布者140和网站142。
客户端设备110是能够通过网络105进行通信的电子设备。示例客户端设备110包括个人计算机、移动通信设备,例如智能电话,以及能够通过网络105发送和接收数据的其他设备。客户端设备还能够包括通过麦克风接受音频输入并通过扬声器输出音频输出的数字助理设备。当数字助理检测到激活麦克风以接受音频输入的“热词”或“热短语”时,数字助理能够被置于收听模式(例如,准备好接受音频输入)。数字助理设备还能够包括相机和/或显示器以捕获图像和视觉上呈现信息。数字助理能够以包括可穿戴设备(例如手表或眼镜)、智能手机、扬声器设备、平板设备或其他硬件设备的不同形式的硬件设备实现。客户端设备还能够包括数字媒体设备,例如插入电视或其他显示器中以将视频流式传输到电视的流式传输设备。
客户端设备110通常包括应用112,诸如Web浏览器和/或本机应用,以促进通过网络105发送和接收数据。本机应用是为特定平台或特定设备(例如,具有特定操作系统的移动设备)开发的应用。发布者140能够开发并向客户端设备110提供例如可用于下载的本机应用。例如,响应于客户端设备110的用户在Web浏览器的地址栏中输入资源145的资源地址或选择引用资源地址的链接,Web浏览器能够从托管发布者140的网站142的Web服务器请求资源145。类似地,本机应用能够从发布者的远程服务器请求应用内容。
客户端设备110能够进一步包括可信任程序111。可信任程序111能够包括来自难以伪造的可靠源的可信任代码。例如,可信任程序111能够是操作系统、操作系统的一部分、Web浏览器等。在一些实施方式中,可信任程序111还能够包括仅可由客户端设备110上的可信任程序111访问的客户端设备110的安全存储(例如,密钥库114)。
一些资源、应用页面或其他应用内容能够包括用于将数字组件与资源145或应用页面一起呈现的数字组件槽。数字组件槽能够是包括用于请求数字组件的计算机可读代码的嵌入在资源中的数字组件标签。如在整个本文档中使用的短语“数字组件”是指数字内容或数字信息的离散单元(例如,视频剪辑、音频剪辑、多媒体剪辑、图像、文本或其他内容单元)。数字组件能够作为单个文件或以文件集合被电子地存储在物理存储设备中,并且数字组件能够采用视频文件、音频文件、多媒体文件、图像文件或文本文件的形式并且包括通告信息,使得通告是一种类型的数字组件。例如,数字组件可以是旨在补充由应用112呈现的网页或其他资源的内容的内容。更特别地,数字组件可以包括与资源内容相关的数字内容(例如,数字组件可以涉及与网页内容相同的主题,或涉及相关的主题)。因此,数字组件的供应能够补充并且通常增强网页或应用内容。
当应用112加载包括一个或多个数字组件槽的资源(或应用内容)时,应用112能够为每个槽请求数字组件。在一些实施方式中,数字组件槽能够包括使应用112请求数字组件以呈现给客户端设备110的用户的代码(例如,脚本)。
一些发布者140使用SSP 150来管理获得用于其资源145和/或应用的数字组件槽的数字组件的过程。SSP 150是以硬件和/或软件实现的使获得资源和/或应用的数字组件的过程自动化的技术平台。SSP 150能够与一个或多个DSP 160交互以获得能够被用于选择用于数字组件槽的数字组件的信息。每个发布者140能够具有对应的SSP 150或多个SSP150。多个发布者140可以使用相同的SSP 150。
数字组件提供者170能够创建(或以其他方式发布)在发布者的资源和应用的数字组件槽中呈现的数字组件。数字组件提供者170能够使用DSP 160来管理用于在数字组件槽中呈现的其数字组件的供应。DSP 160是以硬件和/或软件实现的使分布用于与资源和/或应用一起呈现的数字组件的过程自动化的技术平台。DSP 160能够代表数字组件提供者170与多个SSP 150交互,以提供用于与多个不同发布者140的资源和/或应用一起呈现的数字组件。通常,DSP 160能够(例如,从SSP150直接或通过交换的方式)接收对数字组件的请求,生成(或选择)由一个或多个数字组件提供者基于请求而创建的一个或多个数字组件的选择参数,并且向SSP 150提供与数字组件相关的数据(例如,数字组件本身)和选择参数。
在一些情况下,根据用户的兴趣接收数字组件对用户是有益的。一些发布者140要求用户订阅他们的网站142或提供订阅信息以下载发布者140的本机应用。在其他情况下,发布者140能够向订阅者提供没有被提供给非订阅者的附加服务或特征。为了订阅,用户通常例如经由发布者140的网站142或应用112向发布者140提供诸如电子邮件地址或电话号码的PII。
通常,发布者的资源145的数字组件槽的代码可以发送具有对数字组件的请求的第三方cookie。例如,假设用户导航到由发布者140发布的提供新闻文章以及来自一个或多个DSP 160-1…160-N的其他数字组件的网站。为了接收新闻文章,用户使用用户的电子邮件地址订阅网站。为了向用户提供定制的数字组件,代码能够向SSP 150提供第三方cookie(其可以与诸如浏览历史的用户相关数据相关联),SSP 150能够转而向DSP 160提供第三方cookie。由于并非所有能够访问用户数据的各方都被核实和/或被信任,因此该用户数据能够被未核实和/或不可信任的一方用于恶意活动,并且用户对于哪些实体接收数据或者这样的数据如何被使用几乎没有或没有可见性。代替地,用户可能必须例如在他们的网站上从客户端设备110删除各种cookie或逐个阻止接收者。
为了保护用户隐私和管理用户数据的安全,环境100包括使用户能够管理哪些实体接收他们的数据、哪些实体被允许存储他们的数据、那些实体被允许如何使用他们的数据和/或实体被允许在什么持续时间内使用他们的数据的一个或多个数据安全系统180。其他数据隐私和/或用户同意设置也是可能的。每个数据安全系统180能够为一组用户管理用户数据的安全和隐私。在一些实施方式中,每个数据安全系统180由电子邮件提供者管理,例如,向用户提供免费电子邮件账户的免费电子邮件提供者。在该示例中,每个电子邮件提供者能够包括使具有关于电子邮件提供者的电子邮件账户的用户能够限定和调整数据隐私设置并根据数据隐私设置来发放订阅令牌的数据安全系统180。
环境100能够包括用于每个参与的电子邮件提供者(例如参与数据隐私保护计划的每个电子邮件提供者)的数据安全系统180,如下面参考图2所描述的。此外,环境100能够包括使具有关于非参与的电子邮件提供者的电子邮件地址或不具有电子邮件地址的用户能够管理他们的用户隐私设置的数据安全系统180。在一些实施方式中,环境100能够包括由可信任方——例如由行业团体或政府机构——管理的单个(或多个)数据安全系统180,。
通常,数据安全系统180能够使用订阅令牌来管理用户数据的安全和隐私。对于每个用户,数据安全系统180能够向从数据安全系统180请求订阅令牌的有资格的发布者发放订阅令牌。有资格的发布者能够是用户已经订阅例如以接收发布者的内容的发布者。例如,如下所述,当用户订阅发布者时,发布者能够从数据安全系统180请求用户的订阅令牌。该请求能够指示用户已经订阅了发布者并且能够包括用户的电子邮件地址(或者被用于订阅的其他PII,例如,如果数据安全系统180不是电子邮件提供者的话)。除非或直到用户向数据安全系统180指示用户未订阅发布者,否则数据安全系统180能够为发布者更换订阅令牌,如下面更详细描述的。
在一些实施方式中,数据安全系统180能够提供具有交互控件的用户界面,该交互控件使用户能够跨整个(或至少一部分)在线生态系统管理用户隐私设置。例如,用户界面能够是向用户呈现用户的所有当前的(有效的)或过去的(过期的)订阅的列表的网站或本机应用的用户界面。在特定示例中,用户界面能够包括用户已经订阅的发布者的列表。在另一个示例中,该列表还能够包括选择和/或提供用于与发布者的内容一起呈现的数字组件的内容平台。对于每个发布者,该列表能够包括每个内容平台,发布者与该内容平台合作以获得用于与发布者的内容一起呈现的数字组件。以这种方式,用户具有对于哪些在线实体直接地或间接地向用户提供数字内容和/或数字组件和/或能够访问用户的数据的透明视图。用户能够使用用户界面向数据安全系统180识别任何欺诈性订阅,例如,用户没有订阅但是发布者已经请求了订阅令牌的发布者或者由于这些发布者将被包括在用户界面中因而用户已经取消订阅的发布者。用户界面还能够包括交互式控件,例如按钮或选择器,其使用户能够将订阅者指定为欺诈或未订阅,或者将欺诈或未订阅的发布者指定为订阅(例如,有资格的)发布者。以这种方式,用户具有对数据安全系统180向哪些发布者提供订阅令牌的控制,并因此能够将订阅令牌发送到内容平台(例如,SSP 150和DSP 160)以用于在基于用户的用户数据来选择数字组件中使用。
用户界面还能够提供内容平台的列表,诸如SSP 150和DSP 160和数字组件提供者170。例如,用户界面能够包括有资格接收用户的订阅令牌的有资格的内容平台的列表。用户界面能够包括交互式控件,例如按钮或选择器,其使用户能够将内容平台指定为有资格或无资格(例如,不能接收订阅令牌,因此不允许接收、存储或使用用户的数据)。最初,当用户订阅发布者时,与发布者相关联的内容平台可以被添加为针对该用户的有资格的内容平台。例如,发布者能够具有设法获得用于与发布者的内容一起呈现的数字组件的一组SSP150。在该示例中,在用户订阅发布者之后,最初,该组SSP 150可以被添加为有资格的内容平台。此后,用户能够使用用户界面将内容平台指定为无资格。
在一些实施方式中,用户界面使用户能够限定每个实体(例如,发布者、内容平台或数字组件提供者)能够接收哪些用户数据、数据能够由每个实体如何使用,和/或数据能够被存储和使用多长时间。例如,对于每个实体,用户界面能够包括关于数据如何被使用的一组选项。用户能够为每个有资格的实体选择零个或多个选项。
为用户管理用户数据的安全和隐私的数据安全系统180能够维护用户的当前数据隐私设置并且能够为用户记录历史数据隐私设置。数据隐私设置能够包括指示有资格的和无资格的发布者、内容平台和数字组件提供者170以及这些实体中的每个实体的相应设置的数据。
在一些实施方式中,数据安全系统180能够向客户端设备110提供能够提供用户界面和交互式控件116以查看和/或管理用户订阅和数据隐私设置的应用113。在一些实施方式中,数据安全系统180能够在浏览器内提供用户界面,例如,作为网页的一部分。
作为示例,假设用户导航到提供新闻文章的发布者140的网站142。用户通过提供诸如电子邮件地址或电话号码的用户PII来订阅网站142。发布者140在从用户接收到PII之后,能够联系数据安全系统180以通知具有特定PII的用户已经订阅了网站142。作为回应,数据安全系统180可以联系用户(例如,通过向用户发送电子邮件或通过向用户的设备发送短消息服务(SMS)文本消息),从而提示用户与数据安全系统180的网站的链接,用户能够从该网站查看并核实对网站142的最近订阅、管理其他订阅,并调整数据隐私设置。
在一些实施方式中,数据安全系统180是以硬件和/或软件实现的技术平台,由用户的电子邮件地址的电子邮件提供者或由任何可信任的第三方机构实现。在这样的实施方式中,数据安全系统180与客户端设备110之间的通信能够使用与由电子邮件提供者用于向用户提供电子邮件服务相同的网络安全和认证协议。
在一些实施方式中,当用户订阅发布者140的网站142(或其他内容)时,发布者140能够生成对订阅令牌的请求并且通过网络105将该请求传输到数据安全系统180。数据安全系统180为用户生成订阅令牌并且通过网络105将订阅令牌传输到发布者140。
通常,每个订阅令牌特定于用户和发布者,并且由特定的数据安全系统180生成。例如,数据安全系统180能够为用户生成用于用户的每个有资格的发布者的相应订阅令牌。数据安全系统180能够响应于来自发布者的请求为发布者生成订阅令牌。例如,发布者能够响应于用户订阅发布者而请求用户的订阅令牌,并且例如在当前订阅令牌过期之前提交对更换订阅令牌的复发的请求。
在一些实施方式中,每个订阅令牌包括数据集和附件元素集。该数据集包括第一加密用户标识符(也称为临时用户标识符)。在一些实施方式中,第一加密用户标识符的用户标识符是由用户用来向发布者注册的PII。例如,用户标识符能够是用户的电子邮件地址或用户的电话号码,取决于用户用于注册的PII是什么,并且因此被包括在来自发布者的请求中。在一些实施方式中,第一加密用户标识符的用户标识符是由数据安全系统180维护的用户的内部标识符。例如,数据安全系统180能够将内部标识符映射到PII,使得PII甚至不以加密形式被包括在订阅令牌中以更好地保护用户隐私和数据安全。
第一加密用户标识符能够是使用只有数据安全系统180知道的加密密钥加密的用户的电子邮件地址(或内部标识符或其他PII),从而对接收订阅令牌的所有其他实体隐藏明文电子邮件地址。以这种方式,用户的PII对发布者140以外的实体隐藏,以避免由任何不可信任和/或未核实的实体使用PII进行的任何恶意活动。在一些实施方式中,数据安全系统180在每个预定时间间隔(例如,24小时、两天、一周等)之后生成新的加密密钥或新的随机数以对用户的电子邮件地址(或内部标识符或其他PII)进行加密以生成新的第一加密用户标识符。
在一些实施方式中,数据安全系统180通过使用诸如AES128-GCM的使用在规则时间间隔之后生成的密钥(或随机数)的概率对称加密算法对PII或内部标识符进行加密来生成第一加密用户标识符。例如,数据安全系统180能够每24小时或其他适当的时间段生成密钥(或随机数)。在一些实施方式中,概率加密算法为每个加密过程生成独特随机数。以这种方式,被包括在用户的每个订阅令牌中的第一加密用户标识符将变化,即使相同的标识符正在被加密并且数据安全系统180仍然能够对第一加密标识符进行解密。通过以这种方式改变加密结果,接收特定用户的多个订阅令牌的实体将不能将多个订阅令牌相关在一起,或者不能确定这些令牌是针对相同用户的。
订阅令牌的数据集还能够包括订阅令牌的过期日期。每个订阅令牌能够用于由过期时间指定的特定时间段。例如,每个订阅令牌能够用于一天、一周、一个月或其他适当的时间段。订阅令牌限定哪些实体有资格在该时间段期间接收、存储或使用用户的数据和/或每个实体在该时间段期间如何使用用户的数据。接收订阅令牌的每个实体都能够将订阅令牌存储为用户允许该实体在该时间段期间接收、存储和/或使用用户的数据的可核实证据。
订阅令牌的数据集能够包括表示用户是否已经向发布者确认了订阅的确认状态。例如,同意状态能够表示用户是否已经登录了数据安全系统180、访问了用于管理数据隐私设置的用户界面以及确认了对发布者140的订阅。
订阅令牌的数据集还能够包括指示用户的当前数据隐私设置的用户同意数据。例如,用户同意数据能够包括表示哪些内容平台、发布者和/或其他实体具有或不具有来自用户的获得、存储、访问或使用用户的数据的同意的用户同意字符串。在一些实施方式中,订阅令牌进一步包括编码用户的请求以行使消费者权利的数据,诸如用户数据的用户访问和/或删除,诸如浏览历史。例如,订阅令牌能够用于请求实体删除所有用户数据。订阅令牌的数据集还能够包括特定于用例的数据,例如特定的消费者权利类型和适用范围。
在一些实施方式中,订阅令牌的数据集包括发布者140的域。例如,订阅令牌能够包括用户已经订阅的网站142的域。在其他实施方式中,订阅令牌的数据集还能够包括发放订阅令牌的PII提供者或数据安全系统180的域。例如,如果提供给网站142的PII是用户的电子邮件地址,则电子邮件提供者的域被包括在订阅令牌的数据集中。PII提供者和/或网站的域能够是以eTLD+1的形式。eTLD+1是有效顶级域(eTLD)加上比公共后缀多的一级。示例eTLD+1是“example.com”,其中“.com”是顶级域。
在一些实施方式中,订阅令牌包括选择和/或提供用于与发布者140的内容一起呈现的数字组件的每个有资格的内容平台的附件元素。例如,发布者140能够维护诸如SSP150和/或DSP 160的进行交互以选择和提供用于与由发布者140发布的网站和/或应用内容一起呈现的数字组件的内容平台的列表。在一个示例中,内容平台的列表连同对订阅令牌的请求一起被传输到数据安全系统180。数据安全系统180在接收到内容平台的列表之后对于列表中的每个内容平台生成附件元素。根据实施方式,订阅令牌能够包括有资格接收和/或使用用户数据的每个实体(例如,除了向其发放订阅令牌的发布者之外)的附件元素。
如上所述,用户能够选择哪些内容平台有资格接收、存储和/或使用用户的数据。在该示例中,数据安全系统180仅生成并包括有资格的内容平台的附件元素。在另一个示例中,用户可以不允许内容平台获得或存储用户数据,但可以允许内容平台提供非个性化数字组件。在这样的实施方式中,订阅令牌仍可以包括内容平台的附件元素,该附件元素包括特定于内容平台的用户同意(例如,不被允许提供个性化数字组件)。由于该内容平台不被允许使用用户的数据,因此该内容平台的附件元素将不包含用户的有效第二加密用户标识符(如下所述),从而防止内容平台将订阅令牌与用户相关。可替选地,订阅令牌可以不包括内容平台的附件元素。在该示例中,订阅令牌可以包括特定于内容平台的用户同意。
内容平台的附件元素包括用户的第二加密用户标识符。该用户标识符能够取决于实施方式而变化,如下所述。在任一实施方式中,被使用的用户标识符能够被加密,使得它能够使用仅内容平台(以及,如果必要,数据安全系统180)知道的加密和/或解密密钥来解密。以这种方式,每个内容平台仅能够解密其相应的附件元素以获得用户标识符的明文值。该用户标识符使有资格的内容平台能够将多个订阅令牌与相同的用户标识符相关,类似于第一方或第三方的cookie如何能够被使用以将用户数据相关。
如果内容平台稍后被用户指定为无资格或者用户阻止内容平台提供个性化内容,则用户的订阅令牌将不再包括该内容平台的附件元素(或将不包括该内容平台的第二加密用户标识符)。由于内容平台将不能解密第一加密用户标识符或者附件元素的任何第二加密用户标识符,因此无资格的内容平台将不能将用户的任何后续订阅令牌与用户的先前订阅令牌相关。
在一些实施方式中,附件元素中的第二加密用户标识符是使用诸如SHA256的加密散列函数生成然后使用内容平台的加密密钥加密的用户的电子邮件地址(或其他PII,诸如用户的电话号码或由数据安全系统180提供的与PII相关联的用户标识符)的散列值。
在一些实施方式中,附件元素中的第二加密用户标识符能够是由数据安全系统180分配给内容平台的使用内容平台的加密密钥加密的用户标识符。用户标识符能够是由数据安全系统180分配给内容平台的匿名标识符。该用户标识符能够由接收域分片或不分片。例如,数据安全系统180能够使用非对称密钥加密算法来生成公钥/私钥对。在这种情况下,用户标识符能够是使用诸如SHA256的加密散列函数生成的被截断到固定长度(例如,16个字节)的公钥的散列值。用户标识符然后使用内容平台的加密密钥来加密。
在一些实施方式中,数据安全系统180能够使用非对称密钥加密算法来为与数据安全系统180相关联的每个实体生成公钥/私钥对。在这种情况下,用于特定实体的第二加密用户标识符的用户标识符能够是使用诸如SHA256的加密散列函数的例如被截断到固定长度的为特定实体生成的公钥的散列值。在另一个示例中,数据安全系统180能够使用每个用户的单个私钥(称为主私钥)和加密函数来为每个实体生成公钥和私钥,而不是创建和存储公钥和私钥,从而节省数据存储。例如,能够使用加密函数g(主私钥,特定实体的域)来生成特定实体的私钥,其中加密函数g被应用于主私钥并且特定实体的域表示特定实体的eTLD+1(称为实体_eTLD+1)。类似地,能够使用加密函数h(主私钥,特定实体的域)来生成特定实体的公钥,其中加密函数h被应用于主私钥并且特定实体的域表示特定实体的eTLD+1。在这两种情况下,特定实体的第二加密用户标识符的用户标识符能够是使用诸如SHA256的加密散列函数的例如被截断到固定长度的为特定实体生成的公钥的散列值。
诸如SSP 150、DSP 160和数字组件提供者170的内容平台能够使用第二加密用户标识符的用户标识符来访问用户数据以交付定制的数字组件,而无需具有对用户的PII的访问。此外,这使用户能够重置用户的用户标识符,例如,使用数据隐私用户界面,并因此防止先前用户标识符与新用户标识符之间的相关。
在一些实施方式中,订阅令牌的每个附件元素还能够包括数字签名。该数字签名能够是数据集(或数据集的至少一部分,例如第一加密用户标识符)的数字签名和附件元素的第二加密用户标识符。也就是说,数据安全系统180能够通过使用数据安全系统180的非对称私钥在订阅令牌的数据集和附件元素的第二加密用户标识符上进行数字签名来生成附件元素的数字签名。
每个内容平台能够使用数字签名来核实订阅令牌的内容在订阅令牌被生成之后没有被改变,例如,在通过网络105传输期间。内容平台能够使用与用于生成签名的私钥相对应的非对称公钥来核实数字签名。如果在数字签名被生成之后订阅令牌的数据集或第二加密用户标识符中的任何一片改变,则数字签名的核实将失败。
在一些实施方式中,订阅令牌包括通过在包括数据集和所有附件元素的订阅令牌的其余内容上进行签名而生成的数字签名。以这种方式,订阅令牌包括单个数字签名,但是订阅令牌能够包括许多附件元素。以这种方式,订阅令牌的数据大小被减小,从而导致减少的数据存储要求和在通过网络105传输订阅令牌时减少的网络带宽消耗。
因此,订阅令牌允许每个内容平台知道它是否具有对向特定用户的客户端设备提供数字组件的同意。特别地,只有在内容平台能够解密附件元素中的一个附件元素的加密的第二用户标识符时,它才知道它具有对向由该第二用户标识符识别的用户提供数字组件的同意。此外,它不能解密任何其他内容平台的第一用户标识符或第二用户标识符,并且没有未授权方能够解密第一用户标识符或第二用户标识符中的任一个。这帮助提供提高的用户数据的安全。此外,由于订阅令牌包括每个内容平台的附件元素,因此仅单个订阅令牌(如果适用,在给定过期时间限制内)需要被使用。这帮助提高计算和网络效率。本技术因此以计算和网络高效的方式提供提高的用户数据的安全。此外,在其中以描述的方式向每个附件元素提供数字签名的实施例中,安全被进一步提高,因为它帮助伪造要被检测的订阅令牌(即使是它们中的部分——例如加密的第一用户标识符或附件元素中的一个——在先前被正当地生成)。同时,与具有单个订阅令牌相关的效率被维持。这样的实施例因此进一步帮助以计算和网络高效的方式提供提高的用户数据的安全。
在一些实施方式中,订阅令牌的每个附件元素包括附件元素对应的相应内容平台的标识符。取决于特定的实施方式,内容平台的标识符的范围可以变化。例如,内容平台能够由(例如,电子邮件提供者的)数据安全系统180发放与内容平台的eTLD+1不同的独特标识符,使得每个内容平台能够在数据安全系统域内被独特地识别。在另一个示例中,一个或多个电子邮件提供者或中央授权机构能够联合地维持所有内容平台的全局认可的注册表并且向多个内容平台中的每个内容平台发放独特标识符,使得每个内容平台能够跨互联网被全局地识别。
通过包括每个附件元素的内容平台的标识符作为订阅令牌的一部分,每个内容平台能够容易地找到其对应的附件元素并且对第二解密用户标识符进行解密。这节省了计算资源,否则这些计算资源将被浪费在尝试对每个附件元素的第二加密用户标识符进行解密直到最终解密正确的第二加密用户标识符。
如上所述,第一加密用户标识符基于用于加密用户标识符的概率对称加密算法随着每个加密而改变。因此,该第一加密用户标识符是临时的,并且随着每个更换的订阅令牌而改变,并且如果第一加密用户标识符对于每个发布者被单独地加密则对于每个发布者能够是不同的。如果第一加密用户标识符随着时间是稳定的并且对于接收用户的订阅令牌的每个发布者是相同的,这防止实体如实体能够进行的那样来跟踪用户。第二加密用户标识符能够是稳定的,因为给定内容平台的附件元素将可能不被包括在给定用户的每个订阅令牌中。例如,用户能够被订阅到十个不同的发布者。每个发布者能够使用不同的内容平台。因此,给定内容平台的附件元素将仅被包括在十个发布者中的一个发布者的订阅令牌中。在该示例中,如果第一加密用户标识符随时间变化,则实体将不能与发送给不同发布者的订阅令牌相关。
在一些实施方式中,发布者140在接收到订阅令牌之后,将订阅令牌传输到客户端设备110,例如,与发布者140的网页或其他资源一起。当客户端设备110的用户导航到包括一个或多个数字组件槽的网站142时,客户端设备110为一个或多个数字组件槽中的每个数字组件槽生成对数字组件的请求,该请求连同订阅令牌一起经由网络105被传输到诸如DSP160的内容平台。内容平台在接收到对数字组件的请求之后,使用由数据安全系统180生成的订阅令牌的数字签名和数据安全系统180的公钥来验证订阅令牌。在另一个示例中,发布者140(或者SSP 150)能够生成对数字组件的请求并且通过网络105将其连同订阅令牌一起传输到DSP 160(或数字组件提供者170)。
在一些实施方式中,发布者140在接收到订阅令牌之后维持订阅令牌。当客户端设备110为网站142中的一个或多个数字组件槽中的每个数字组件槽生成对数字组件的请求并且经由网络105将其传输到SSP 150时,SSP 150能够将对数字组件的请求连同订阅令牌一起经由网络105传输到诸如DSP 160或数字组件提供者170的内容平台。
在经由数字签名验证订阅令牌之后,内容平台能够基于订阅令牌的有效性来选择向客户端设备110(或发布者140、SSP 150)提供或不提供数字组件。例如,如果订阅令牌已经过了过期日期,则DSP 160可以不向客户端设备提供数字组件。在另一个示例中,如果DSP160不能找到与包含特定DSP 160的独特标识符的DSP 160相关联的附件元素,则特定DSP160可以不向客户端设备110提供数字组件。如果订阅令牌被成功地验证,则内容平台能够根据由用户指定的内容平台的数据隐私设置来对第二加密用户标识进行解密,并且使用与用户标识符相对应的用户数据来选择数字组件。
接收订阅令牌的内容平台能够存储订阅令牌,例如,以核实内容平台根据订阅令牌的数据隐私设置使用用户的数据。在一些情况下,内容平台可能在过期日期之前多次接收相同的订阅令牌。例如,发布者的订阅令牌能够被设置为在24小时之后过期。在该示例中,用户能够在一天内多次导航到发布者的网站。每次,能够生成对数字组件的请求,包括相同的订阅令牌。不是存储订阅多次,例如,针对每个请求一次,内容平台而是能够存储每个订阅令牌一次。内容平台能够维持指示其中用户数据被用于选择数字组件的每个事件以及对于每个事件允许内容平台使用用户数据的订阅令牌的标识符的事件日志。以这种方式,数据存储要求被减少,同时仍然提供内容平台正在由用户向内容平台提供的用户同意之内行动的可审计核实。
图2是其中电子邮件提供者240和中央授权机构210管理用户数据的安全和隐私的示例环境200的框图。在该示例中,中央授权机构的电子邮件提供者240和默认数据管理器213执行图1的数据安全系统180的功能。
中央授权机构210能够是可信任方,诸如行业团体或政府机构。中央授权机构210能够管理电子邮件地址作为用于保护在整个在线生态系统中的用户数据的安全和隐私的标识符的使用。例如,中央授权机构210能够管理哪些电子邮件提供者参与该数据隐私保护计划。中央授权机构210能够维持识别作为参与者的每个电子邮件提供者240的电子邮件提供者注册表211以及识别作为参与者的每个内容平台(例如,SSP和DSP)的内容平台注册表212。电子邮件提供者和内容平台能够与中央授权机构签约以参与数据隐私保护计划。中央授权机构210能够移除不遵守数据隐私保护计划的规则的参与者,例如,以用户允许的方式以外的方式使用用户数据或者在已经拒绝给参与者更换的订阅令牌时基于过期订阅令牌使用用户数据的参与者。
每个发布者220能够与中央授权机构210的计算系统交互以识别哪些电子邮件提供者240和内容平台是参与者。例如,当用户利用具有发布者220先前未遇到过的域的电子邮件地址订阅发布者220时,发布者220能够查询中央授权机构210以确定该域的电子邮件提供者240是否参与数据隐私保护计划。如果是这样,则发布者220能够从电子邮件提供者请求用户的订阅令牌。如果不是,则发布者220能够从默认数据管理器213请求用户的订阅令牌。默认数据管理器213能够为具有关于非参与电子邮件提供者的电子邮件地址或者使用其他PII来订阅——例如使用电话号码订阅——的用户向发布者220发放订阅令牌。
发布者能够向参与者内容平台提供订阅令牌。例如,发布者220能够利用对数字组件的请求向参与者内容平台230-1到230-N提供用户的订阅令牌,发布者220与参与者内容平台230-1到230-N合作以获得用于与发布者220的内容一起呈现的数字组件(例如,应用内容的网页)。订阅令牌能够包括内容平台230-1到230-N中的每个内容平台的相应附件元素。内容平台230-1至230-N还能够将订阅令牌转发到其他参与者内容平台,例如,如果订阅令牌识别其他参与者内容平台或包括具有其他参与者内容平台的标识符的附件元素。发布者220可以不被允许将订阅令牌转发到非参与者内容平台。
图3是示出了用于使用订阅令牌来提供数字组件的示例过程300的泳道图。过程300的操作能够例如由数据安全系统180、客户端设备110、发布者140和SSP 150来实现。过程300的操作也能够被实现为存储在一个或多个计算机可读介质上的指令,该一个或多个计算机可读介质可以是非暂时性,并且由一个或多个数据处理装置对指令的执行能够使一个或多个数据处理装置执行过程300的操作。
在该示例中,客户端设备110的用户使用诸如Web浏览器的应用112来访问托管在Web服务器上的发布者140的网站142。为了访问网站142,客户端设备110能够发起对网站142的请求,并且托管网站142的Web服务器能够通过发送发起在客户端设备110处对网页(或其他电子资源)的呈现的计算机可执行指令和/或数据来响应该请求。
客户端设备110的用户导航到发布者140的网站142(302)。例如,客户端设备110的用户能够使用应用112(例如,浏览器)通过指定引用(例如,网址)来访问网站142。
客户端设备110生成对内容的请求并且通过网络105将该请求传输到发布者(304)。例如,在客户端设备110的用户导航到网站142之后,应用112生成请求并且通过网络105将该请求传输到托管网站142的Web服务器。
对数字内容的请求能够例如通过分组化网络105被传输,并且内容请求本身能够被格式化为具有报头和有效载荷数据的分组化数据。报头能够指定分组的目的地,并且有效载荷数据能够包括以上讨论的任何信息。
发布者140,例如发布者140的Web服务器或内容服务器,利用内容来进行响应(306)。例如,在从客户端设备110接收到对数字内容(例如,网站142)的请求之后,Web服务器能够通过传输发起在客户端设备110处对网站142的资源(例如,网页)的呈现的计算机可执行指令和数据来进行响应。响应能够包括与例如通过分组化网络105传输的网站相关的数据,并且内容本身能够被格式化为分组化数据。
客户端设备110的用户提供用户的PII(308)并且订阅网站142的发布者140。例如,假设发布者是新闻机构并且网站142提供新闻文章。用户能够订阅发布者140的网站142以每天接收新闻文章。客户端设备110的用户能够向网站142的发布者140提供用户的电子邮件地址(或电话号码或其他PII)作为对接收新闻文章的服务的交换。
发布者140向数据安全系统180传输对订阅令牌的请求(310)。例如,在从客户端设备110的用户接收到电子邮件地址之后,发布者140识别电子邮件地址的域,例如用户的电子邮件账户的电子邮件提供者,并且将对订阅令牌的请求传输到电子邮件提供者的数据安全系统180。如果PII不是电子邮件地址或者如果电子邮件提供者不是参与者,则发布者140能够将请求传输到另一个数据安全系统180,诸如图2的默认数据管理器213。
数据安全系统180生成订阅令牌(312)。在接收到对订阅令牌的请求之后,数据安全系统180为发布者140和用户生成订阅令牌。如上所述,订阅令牌包括数据集,该数据集尤其包括第一加密用户标识符。在一些实施方式中,第一加密用户标识符是使用数据安全系统180的加密密钥来加密的用户的加密PII或内部标识符,使得除了数据安全系统180之外没有任何一方能够从订阅令牌中提取用户的明文的电子邮件地址。
在一些实施方式中,订阅令牌包括管理发布者140的数字组件的供应的内容平台(例如,SSP和/或DSP)中的每个内容平台的附件元素。订阅令牌中的每个附件元素被指定由特定内容平台使用。如上所述,每个附件元素包括用户的第二加密用户标识符,并且能够包括基于订阅令牌和第二加密用户标识符的数据集而生成的数字签名。在其他示例中,订阅令牌包括基于订阅令牌的数据集和订阅令牌的所有附件元素而生成的单个数字签名。
为了支持对订阅令牌的授权使用,附件包括诸如DSP 160或者向发布者140提供数字组件的数字组件提供者170的相应内容平台的标识符。内容平台的标识符的范围可以根据实施方式而变化。例如,数据安全系统180能够向内容平台发放独特标识符,使得每个内容平台能够在数据安全系统的域内被独特地识别。在另一个示例中,一个或多个电子邮件提供者或中央授权机构能够联合地维持所有内容平台的全局认可的注册表并且向多个内容平台中的每个内容平台发放独特标识符,使得每个内容平台能够跨多个域被识别。
数据安全系统180将订阅令牌传输到发布者140(314)。发布者140能够存储订阅令牌以用于在获得用于与发布者的网页或其他内容一起呈现给用户的数字组件中使用。
客户端设备110向SSP 150传输对数字组件的请求(316)。例如,在订阅发布者140之后,用户能够再次导航到发布者的网站142,例如,以查看更多新闻文章。发布者的网页能够包括一个或多个数字组件槽,该一个或多个数字组件槽包括使客户端设备110生成和传输对数字组件的请求的脚本或其他代码。脚本还能够从发布者140(或者它能够是网页的一部分)获得用户的订阅令牌并且在请求中包括订阅令牌。
客户端设备110能够向发布者140的SSP 150发送对数字组件的请求。例如,应用112能够基于一个或多个数字组件槽来生成对数字组件的一个或多个请求。在特定示例中,应用112能够基于数字组件槽的标签来生成对数字组件的请求,并且通过网络105将该请求传输到SSP 150。
对数字组件的请求能够例如通过分组化网络105被传输,并且组件请求本身能够被格式化为具有报头和有效载荷数据的分组化数据。报头能够指定分组的目的地,并且有效载荷数据能够包括以上讨论的任何信息。
SSP 150能够向一个或多个DSP 160传输对数字组件的请求。如之前所述,诸如数字组件提供者170的内容平台能够使用一个或多个DSP 160来将分布用于与应用一起呈现的数字组件的过程自动化。在接收到请求之后,SSP 150能够与一个或多个DSP交互并且传输对数字组件的对应请求。
在一些实施方式中,对数字组件的请求能够包括由数据安全系统180生成的被传输到发布者140和SSP 150的订阅令牌。例如,SSP 150在从客户端设备110接收到对数字组件的请求之后,生成对包括订阅令牌的数字组件的请求,并且将其通过网络105传输到DSP160。订阅令牌表示用户对被允许向客户端设备110提供数字组件的用户隐私和内容平台的偏好。
在一些实施方式中,订阅令牌能够包括能接收订阅令牌的内容平台或者对于每个附件元素与该附件元素相对应的内容平台的列表。SSP150能够使用该数据来识别向其提交请求的DSP 160。例如,SSP 150能够向在订阅令牌中识别到的每个DSP 160发送请求,但不能向未在订阅令牌中识别到的内容平台发送请求。
DSP 160能够基于用户的订阅令牌和可选地先前接收到的订阅令牌来选择数字组件。如之前参考图1所述,订阅令牌表示用户对有资格在选择用于提供给客户端设备110的数字组件中使用用户的数据的内容平台的偏好。例如,DSP 160在经由数字签名验证了订阅令牌之后,能够基于认证令牌的内容来选择向客户端设备110(或发布者140、SSP150)提供或不提供数字组件。例如,DSP 160能够使用与由数据安全系统180用于生成签名的私钥相对应的非对称公钥来核实数字签名。如果订阅令牌或第二加密用户标识符的数据集中的任何一片在由数据安全系统180生成了数字签名之后改变,则数字签名的核实将失败并且DSP160将不向SSP 150提供数字组件。在另一个示例中,如果订阅令牌已经过了过期日期,则DSP 160将不向SSP 150提供数字组件。在另一个示例中,如果特定DSP 160不能找到与具有特定DSP 160的独特标识符的特定DSP 160相关联的附件元素,则特定DSP 160将不向SSP150提供数字组件。
DSP 160能够基于用户的接收到的多个订阅令牌来选择数字组件。例如,DSP 160能够对DSP的第二加密用户标识符进行解密,并且使用该用户标识符将当前订阅令牌与(例如来自先前接收到的用户的订阅令牌的)先前接收到的用户的数据相关。DSP 160能够使用该数据,例如连同诸如识别发布者140的上下文数据、网页、关于网页的数字组件槽的信息等的其他数据一起,来选择用于与网页一起呈现的一个或多个数字组件。
DSP 160将一个或多个选择的数字组件的数据传输到SSP 150。例如,基于订阅令牌选择的一个或多个DSP 160能够通过传输识别数字组件的一个或多个选择的数字组件或数据(例如,包括用于呈现数字组件的指令的创意元素)来响应对SSP 150的数字组件的请求。对于每个数字组件,DSP 160还能够生成或选择数字组件的选择参数。DSP 160然后能够向SSP 150传输数字组件的选择参数和数据。
SSP 150从由DSP识别的数字组件中选择数字组件(318)。例如,SSP 150能够例如基于数字组件的选择参数来选择具有发布者140的最高预期量的数字组件。
SSP 150将选择的数字组件的数据传输到客户端设备110(322)。例如,SSP 150能够通过网络105将数字组件或数字组件的创意传输到在客户端设备110上执行的应用112。
应用112呈现接收到的数字组件(324)。例如,应用112能够将数字组件与发布者140的网页一起呈现。
图4是示出了生成订阅令牌的过程400的流程图。过程400的操作能够例如由图1的数据安全系统180来实现。过程400的操作也能够被实现为存储在一个或多个计算机可读介质上的指令,该一个或多个计算机可读介质可以是非暂时性,并且由一个或多个数据处理装置对指令的执行能够使一个或多个数据处理装置执行过程400的操作。为了简洁,过程400根据图1的数据安全系统180来描述。
接收对给定用户的订阅令牌的请求(410)。该请求能够包括由给定用户在订阅发布者的电子内容时提供的信息。例如,用户能够导航到由提供新闻文章的发布者140发布的网站142。用户通过提供诸如电子邮件地址的用户的PII来订阅网站。在接收到用户的PII之后,发布者140的网站142生成对用户的订阅令牌的请求,并通过网络105将请求传输到数据安全系统180。
数据安全系统180生成订阅令牌(420)。在接收到对订阅令牌的请求之后,数据安全系统180生成包括第一加密用户标识符的订阅令牌,该第一加密用户标识符使数据安全系统180能够将订阅令牌与用户相关,但防止订阅令牌的其他接收者执行相关。在一些实施方式中,第一加密用户标识符是使用仅数据安全系统180知道的加密密钥加密的用户的电子邮件地址或用于订阅发布者的其他PII。如上所述,订阅令牌能够进一步包括过期日期、确认状态、用户同意数据和/或发布者的域。用户的每个订阅令牌的用户同意数据能够指示在订阅令牌被生成的时间的用户的当前数据隐私设置。
订阅令牌还包括用于与发布者140合作以向发布者140提供数字组件的一个或多个有资格的内容平台中的每个有资格的内容平台的一个或多个附件元素。有资格的内容平台能够仅包括作为数据隐私保护计划中的参与者的、被用户指定为有资格(例如,未被阻止)的、以及作为如由发布者140指示的发布者140的合作者的那些。特定内容平台的订阅令牌中的每个附件元素包括通过使用仅特定内容平台能够解密(或者可选地,数据安全系统180也能够解密)的加密方案来加密用于订阅发布者的PII(或加密散列PII)(例如,用户的电子邮件地址)或者匿名标识符(不同于PII)而生成的第二加密用户标识符。例如,加密方案能够是使用内容平台的公钥的非对称加密。在另一个示例中,数据安全系统180和特定内容平台能够创建共享密钥,该共享密钥使数据安全系统180能够利用对称密钥加密算法来加密并且使特定内容平台能够利用对称密钥加密算法来解密。
特定内容平台的订阅令牌中的每个附件元素还能够包括附件元素对应的对应内容平台的标识符。取决于特定的实施方式,内容平台的该标识符的范围可以变化。在一些实施方式中,订阅令牌包括其中附件元素被包括在订阅令牌中的内容平台的列表。在一些实施方式中,订阅令牌中的每个附件元素还能够包括通过使用数据安全系统的非对称私钥来在订阅令牌的数据集和附件元素的第二加密用户标识符上进行数字签名而生成的数字签名。
数据安全系统180将订阅令牌传输到发布者140(430)。例如,发布者140(或SSP150)能够负责从DSP 160(或数字组件提供者170)收集用于网站142或发布者140的应用的数字组件槽的数字组件。订阅令牌经由网络105被传输到发布者140以分布到SSP 150和/或DSP160(或数字组件提供者170)。例如,发布者140能够将用户的订阅令牌包括在用于传输到用户的客户端设备的电子资源(例如,网页)的代码中。在另一个示例中,电子资源的数字组件槽的代码能够从发布者140获得订阅令牌,例如,响应于正在由客户端设备执行的代码。以这种方式,客户端设备110能够将订阅令牌包括在对由客户端设备向内容平台——例如向SSP 150和DSP 160——传输的数字组件的请求中。
如之前所述,数据安全系统180能够向客户端设备110的用户提供用于管理对发布者140的订阅并提供访问或阻止(例如,与发布者140合作的)内容平台使用包括PII、用户浏览历史等的用户数据的平台。在一些实施方式中,订阅令牌具有过期日期并且发布者140必须获得每个用户的更换的订阅令牌以便于具有有效的订阅令牌。例如,假设特定发布者140已经向SSP 150提供了用户的订阅令牌。还假设基于订阅令牌的过期日期,该订阅令牌已经过期(或将要过期)。在这种情况下,发布者140必须从数据安全系统180获得更换的订阅令牌,以继续向内容平台发送订阅令牌,并且从而使内容平台能够在选择数字组件中使用用户的数据。
在一些实施方式中,发布者140生成被传输到数据安全系统180的复发的更换请求。例如,如果订阅令牌在24小时之后过期,则发布者140能够每24小时提交对更换的订阅令牌的请求。其他适当的时间段也能够被使用。在另一个示例中,发布者140能够具有被配置为响应于用户的订阅令牌在过期的阈值持续时间之内而生成对用户的请求的计算系统。这些请求中的每个请求能够包括由数据安全系统180对于先前订阅令牌生成的第一加密用户标识符。在接收到更换请求之后,数据安全系统180对于每个复发的更换请求生成包括与第一加密用户标识符不同的更新的第一加密用户标识符以及最新的用户同意状态的更换的订阅令牌,并且将更换的订阅令牌传输到发布者140。更换订阅令牌的示例过程参考图5进一步说明。
图5是示出了更换订阅令牌的过程500的流程图。过程500的操作能够例如由数据安全系统180来实现。过程500的操作也能够被实现为存储在一个或多个计算机可读介质上的指令,该一个或多个计算机可读介质可以是非暂时性的,以及由一个或多个数据处理装置对指令的执行能够使一个或多个数据处理装置执行过程500的操作。
数据安全系统180从发布者计算系统接收更换请求(510)。例如,假设用户(订阅者)通过提供诸如电子邮件地址或电话号码的用户的PII已经订阅了发布者140的网站142。在接收到PII之后,发布者140生成对订阅令牌的请求并将其传输到数据安全系统180。数据安全系统180生成在特定时间段内有效的订阅令牌,特定时间段例如接下来的24小时或另一个适当的时间段。在该示例中,订阅令牌中的数据集包括过期日期,其是自令牌被生成的时间起的24小时。发布者140在接收到订阅令牌之后将订阅令牌连同对数字组件的请求一起分布给向发布者140提供数字组件的注册实体。在接近过期日期的结束时(例如,在过期日期的阈值时间量之内),发布者140能够请求对订阅令牌的更换,该订阅令牌包括将要过期的当前订阅令牌(或过期订阅令牌的至少第一加密用户标识符)。发布者能够例如在当前订阅令牌过期之前向数据安全系统180提交对更换的订阅令牌的复发的请求。
数据安全系统180生成更新的第一加密用户标识符(520)。在接收到包括将要过期的当前订阅令牌的更换请求之后,数据安全系统180使用用于生成第一加密用户标识符的密钥来对第一加密用户标识符(临时用户标识符)进行解密,同时生成当前订阅令牌(或与该密钥相对应的另一个加密密钥)。对第一加密用户标识符进行解密生成明文用户标识符,例如,用户的PII或用户的内部账户标识符。数据安全系统180使用明文用户标识符以通过将被生成的用户标识符与数据安全系统180为其发放了订阅令牌的多个用户的用户标识符的列表进行比较来识别为其生成当前订阅令牌的用户。在识别用户和/或用户的标识符之后,数据安全系统180使用概率对称加密算法和能够是与用于生成当前订阅令牌的第一加密用户标识符的密钥不同的密钥来生成与当前订阅令牌的第一加密用户标识符不同的更新的第一加密用户标识符。通过以这种方式改变加密结果,接收特定用户的多个订阅令牌的实体将不能将多个订阅令牌相关在一起,或者不能基于第一加密用户标识符来确定这些令牌是针对相同用户的。以这种方式,只有对于其订阅令牌包括具有接收者能够解密的第二加密用户标识符的附件元素的接收者才能够将用户的多个订阅令牌相关。
数据安全系统180生成更换的订阅令牌(530)。如参考图1所描述的,数据安全系统180生成更换的订阅令牌,该更换的订阅令牌包括更新的第一加密用户标识符和更新的数据集,诸如更新的过期日期、表示一个或多个内容平台是否具有或不具有来自用户的实用用户数据用于提供数字组件等的同意的更新的用户同意数据(例如,更新的用户同意字符串)。更新的同意设置能够反映自先前的订阅令牌被生成起用户使用数据隐私用户界面做出的任何改变。例如,如果用户阻止了特定内容平台使用用户的数据,则更新的同意设置能够反映该改变并且更换的订阅令牌将不包括特定内容平台的附件元素。
数据安全系统180将更换的订阅令牌传输到发布者140(540)。例如,发布者140(或SSP 150)能够负责从DSP 160(或数字组件提供者170)收集用于网站142或发布者140的应用的数字组件槽的数字组件。更换的订阅令牌经由网络105被传输到发布者140以分布到SSP150和/或DSP 160(或数字组件提供者170)。例如,发布者140能够将用户的更换的订阅令牌包括在用于传输到用户的客户端设备的电子资源(例如,网页)的代码中。在另一个示例中,例如,响应于正在由客户端设备执行的代码,电子资源的数字组件槽的代码能够从发布者140获得更换的订阅令牌。以这种方式,客户端设备能够将更换的订阅令牌包括在由客户端设备向内容平台——例如向SSP 150和DSP160——传输的对数字组件的请求中。
在一些实施方式中,当客户端设备的用户向发布者140的网站142提供诸如电子邮件地址的PII时,在客户端设备110上执行的网站142中的脚本识别由用户提供的相应电子邮件地址的电子邮件提供者。在所识别的电子邮件提供者未实现先前描述的技术和方法(例如,不是参与者)时的情况下,脚本能够从另一个数据安全平台180——例如图2的默认数据管理器213——请求订阅令牌。在任一情况下,数据安全平台180都能够将包括URL(或引用URL的链接)的电子邮件发送到数据安全系统180的网站,该网站将用于订阅和隐私设置的用户界面提供到用户的电子邮件地址以提示用户检查订阅和隐私设置。包括在电子邮件中的URL能够包括临时用户标识符,例如,使用数据安全系统180的密钥利用概率对称密钥加密算法加密的电子邮件地址。在与URL交互之后,数据安全系统180将网站的计算机可执行指令和数据提供给客户端设备110,以使用应用112向用户呈现网站。在一些实施方式中,Web cookie被放置在应用112的cookie jar中以在与数据安全系统180的任何未来通信期间识别应用112。
如之前所述,PII是用户相关的信息,其可能是敏感的。这样的信息的非故意的共享能够引发隐私问题。假设客户端设备110的用户导航到由提供新闻文章的发布者140发布的网站。为了接收新闻文章,用户能够使用用户的电话号码而不是用户的电子邮件地址来订阅网站。当电子邮件地址被使用时,电子邮件提供者能够提供认证机制,以确保用户在查看或修改数据隐私设置时是真实的。然而,当电话号码被用作订阅发布者的PII时,可能不存在相同的认证机制。
在接收到用于订阅的用户的电话号码之后,发布者140的网站142生成对订阅令牌的请求,并且经由网络105将该请求传输到数据安全系统180。数据安全系统180能够向客户端设备110发送SMS消息。在该示例中,客户端设备110具有电话能力,例如蜂窝能力。例如,客户端设备110能够是经由能够包括蜂窝网络或互联网的网络105的智能手机、平板电脑、膝上型计算机或个人计算机。
在一些实施方式中,由数据安全系统180发送到用户的客户端设备110的SMS消息包括资源定位符,诸如数据安全平台180的仪表板或网站的URL,以及用户的临时用户标识符。用户的临时用户标识符由数据安全系统180通过使用概率对称加密算法和数据安全系统180知道的密钥加密用户的电话号码(或用户的内部标识符)来生成。
在一些实施方式中,在接收到SMS消息之后,并且在用户与URL(或引用URL的链接)交互之后,用户能够被重定向到由客户端设备110中的数据安全系统180提供的应用(例如应用113),或者经由客户端设备110上的基于浏览器的应用(例如应用112)被重定向到数据安全系统180的网站。在任一情况下,用户都被呈现交互式用户界面以管理数据隐私设置。例如,用户能够将订阅指定为欺诈,阻止内容平台,或者指定用户数据的接收者能够如何使用数据,如上所述。
在一些实施方式中,经由SMS消息被提供给客户端设备110的临时用户标识符被存储在客户端设备110上。例如,假设在与经由SMS消息被提供给客户端设备110的URL交互之后,用户被重定向到由在客户端设备110上执行的数据安全系统180提供的应用113。应用113解析SMS消息并且提取用户的临时用户标识符并且将临时用户标识符存储在客户端设备110中。这将参考图6进一步说明。
图6是示出了由客户端设备接收临时用户标识符的示例过程600的泳道图。过程600的操作能够例如由客户端设备110、发布者140的计算系统、数据安全系统180来实现。过程600的操作能够被实现为存储在一个或多个计算机可读介质上的指令,该一个或多个计算机可读介质可以是非暂时性,以及由一个或多个数据处理装置对指令的执行能够使一个或多个数据处理装置执行过程600的操作。虽然该过程600是根据Web浏览器下载网页来描述的,但是本机应用能够在类似的过程中被使用。
客户端设备110的用户导航到发布者140的网站142(602)。例如,客户端设备110的用户能够使用浏览器应用112通过指定资源定位器(例如,URL)或选择搜索结果的链接来访问网站142。
客户端设备110生成对内容的请求并且通过网络105将该请求传输到发布者(604)。例如,在客户端设备110的用户通过使用引用(例如,URL)指定网站142之后,应用112,即在客户端设备110上运行的Web浏览器,生成对数字内容(即,网站142)的请求并且通过网络105将其传输到托管网站142的发布者140的Web服务器。
对数字内容的请求能够例如通过分组化网络105被传输,并且内容请求本身能够被格式化为具有报头和有效载荷数据的分组化数据。报头能够指定分组的目的地,并且有效载荷数据能够包括以上讨论的任何信息。
发布者140,例如发布者140的Web服务器或内容服务器,利用内容来进行响应(606)。例如,在从客户端设备110接收到对内容的请求(即对网站142的请求)之后,托管网站142的Web服务器能够通过传输发起在客户端设备110处对网页的呈现的计算机可执行指令和数据来进行响应。响应能够包括与例如通过分组化网络105被传输的网页相关的数据,并且内容本身能够被格式化为分组化数据。
客户端设备110的用户提供用户的电话号码(608)并且订阅网站142的发布者140。例如,假设网站142提供新闻文章。用户能够订阅发布者140的网站142以每天接收新闻文章。客户端设备110的用户将用户的电话号码提供给网站142的发布者140作为接收新闻文章的服务的交换。
发布者140向数据安全系统180传输令牌请求(610)。例如,在从客户端设备110的用户接收到电话号码之后,发布者140生成令牌请求并将其发送到数据安全系统180,例如图2的默认数据管理器213。
数据安全系统180将SMS消息传输到客户端设备110(612)。例如,数据安全系统180能够将SMS消息发送到与电话号码相对应的智能手机,例如拥有该电话号码的智能手机。由数据安全系统180发送到用户的客户端设备110的SMS消息能够包括数据安全平台180的仪表板或网站的资源定位符(例如,URL)和用户的临时用户标识符。用户的临时用户标识符由数据安全系统180通过使用概率对称密钥加密算法和数据安全系统180知道的密钥来对用户的电话号码(或内部标识符)进行加密而生成。因此,出于实践的目的,临时用户标识符被加密,并且基于用于生成临时用户标识符的加密算法而随时间变化。临时用户标识符能够被包括为URL的参数。
用户被重定向到应用113(614)。例如,在接收到SMS之后,并且在用户与URL交互之后,用户被重定向到由数据安全系统180提供并被安装或以其他方式运行在客户端设备110上的应用(例如,应用113)。应用113能够从数据安全系统180接收关于用户订阅和隐私设置的信息并且提供用户界面以将该信息呈现给用户。应用113能够进一步包括用于用户选择和管理个人订阅和数据隐私设置的控件。
应用113解析临时用户标识符(616)。在被重定向到应用113之后,应用113解析SMS消息并且提取用户的临时用户标识符并且将临时用户标识符存储在客户端设备110处(618)。在一些实施方式中,应用113将临时用户标识符存储在客户端设备110的可信任程序111(例如操作系统)的密钥库114(或密钥链)或在客户端设备110处的其他安全存储中。
在当用户被重定向到由数据安全系统180提供的访问和修改订阅设置的应用113时的情况下,应用113从数据安全系统180访问用户订阅数据。在这样的情况下,为了核实在客户端设备110上执行的应用113没有被盗用,客户端设备在与数据安全系统180通信的同时实现附加的安全措施。例如,应用111能够与可信任程序111交互以生成能够由数据安全系统180核实的证明令牌。通常,可信任程序111难以渗透,并且作恶者篡改可信任程序111将需要花费的时间和精力量极其高。另外,因为可信任程序111由可靠源提供和维护,所以出现的任何漏洞都能够由源解决。这将参考图7进一步说明。因此,用户能够仅基于他们的电话号码来修改数据隐私设置。电话号码是已经被独特地分配给用户的少量数字数据。这为用户提供了提高的便利(例如,他们不需要生成附加的识别数据,诸如独特的用户名)。此外,少量数字数据处理起来是计算高效的。此外,证明令牌的使用以及在一些实施方式中以描述的方式对加密、数字签名和/或公钥的使用帮助提高用户数据的安全。因此,提供了允许用户修改其数据隐私设置的更计算高效的安全的方式。
图7是示出了用于生成和提供使用户能够调整数据隐私设置的用户界面的示例过程700的泳道图。过程700的操作能够例如由客户端设备110或数据安全系统180来实现。过程700的操作能够被实现为存储在一个或多个计算机可读介质上的指令,该一个或多个计算机可读介质可以是非暂时性的,并且由一个或多个数据处理装置对指令的执行能够使一个或多个数据处理装置执行过程700的操作。
客户端设备110的用户打开(例如,启动)应用113(702)。如之前所述,应用113能够由数据安全系统180提供并且被安装或以其他方式运行在客户端设备110上。应用113能够从数据安全系统180接收关于用户订阅和隐私设置的信息并且提供用户界面以将该信息呈现给用户。应用113能够进一步包括使用户能够选择和管理个人订阅和隐私设置的交互式控件。为了查看订阅和隐私设置,用户在客户端设备110上打开应用113。由于该信息可能是敏感的,因此附加的认证技术被使用,如下所述,以确保客户端设备110、应用113和/或用户是有效的并且没有被盗用。
在客户端设备上执行的应用113取得临时用户标识符(704)。如之前参考图6所述,临时用户标识符被存储在客户端设备110处。例如,应用113能够将临时用户标识符存储在客户端设备110的可信任程序111的密钥库114或在客户端设备110处的其他安全存储中。在发起应用113之后,应用113从客户端设备110的可信任程序111的密钥库114或在客户端设备110处的其他安全存储中取得临时用户标识符。例如,应用113能够通过一个或多个应用程序接口(API)调用来生成向可信任程序111的对临时用户标识符的请求,并且可信任程序111提供包括临时用户标识符的响应。
应用113取得公钥(706)。在一些实施方式中,应用113在安装期间或在其在客户端设备110上的第一次执行期间创建公钥/私钥对以便于与数据安全系统180安全通信。由于在客户端设备110上执行的应用113生成公钥/私钥对,分布给其他接收者实体的公钥能够被用作客户端设备110的独特标识符。通常,公钥/私钥对能够被用于对通过未核实的网络在两方之间的通信的非对称加密。例如,发送者能够使用对所有各方都可用的公钥将明文消息加密为密文。接收器在接收到消息之后,能够使用私钥来对密文进行解密以获得明文消息。私钥是密钥并且仅接收器(例如,数据安全系统180)知道。应用113在创建公钥/私钥对之后,将私钥安全地存储在客户端设备110的可信任程序111的密钥库114或在客户端设备110处的其他安全存储中。当用户发起应用113时,应用113取得客户端设备110的公钥,该公钥能够被存储在客户端设备110的不安全数据存储位置中。
应用113从客户端设备110的可信任程序中取得证明令牌(708)。通常,客户端设备能够生成通信,例如包括能够由通信的接收者用来核实通信的完整性的证明令牌的电子消息或请求。证明令牌能够包括有效载荷和基于数据集使用私钥而生成的数字签名。以这种方式,接收者能够通过使用接收到的数据集和与用于生成数字的私钥相对应的公钥核实数字签名来核实有效载荷没有被修改,例如,在传输期间或被中介修改。如果可信任程序11支持证明,则可信任程序111能够生成证明令牌的公钥/私钥对。如果不是,则应用113能够生成证明令牌的公钥/私钥对。
有效载荷数据能够包括指示证明令牌被创建的时间的令牌创建时间、有效载荷数据和/或由一个或多个完整性系统提供的一个或多个完整性令牌。该令牌创建时间能够是高分辨率时间戳(例如,精确到秒、毫秒或微秒)。该时间戳使证明令牌的接收者能够确保证明不是旧的,例如,通过确定令牌创建时间在证明令牌被接收的时间的阈值持续时间之内。
证明令牌的一个或多个完整性令牌指示传输证明令牌的客户端设备110和/或在发起传输的客户端设备110上运行的应用113是否可信任。例如,完整性令牌能够包括对客户端设备110或应用113的可信度的判定。这使证明令牌的接收者(数据安全系统180)能够核实数据来自可信任客户端设备110和可信任应用113,例如,而不是来自模拟器或被盗用的设备或被盗用的应用113。完整性令牌能够由可信任分析器(例如,第三方分析器)生成和数字签名,使得证明令牌的接收者能够核实客户端设备110由可信任分析器评估,并且完整性令牌中的数据在由可信任分析器创建之后没有被修改。
应用113向在客户端设备110上执行的可信任程序111提交请求,以使用对可信任程序111的一个或多个API调用来生成包括临时用户标识符(其是如上所述对用户的用户标识符进行加密的加密结果)和客户端设备110的公钥作为有效载荷数据的证明令牌。也就是说,临时用户标识符和客户端设备110的公钥能够被包括在证明令牌的有效载荷数据中。可信任程序111生成证明令牌并且将证明令牌提供给应用113。证明令牌能够包括有效载荷数据、一个或多个完整性令牌和有效载荷数据的数字签名、完整性令牌和包括在证明令牌中的其他数据,例如,令牌创建时间戳和临时用户标识符。在一些实施方式中,可信任程序111使用椭圆曲线数字签名算法(ECDSA)来生成数字签名,但其他签名技术(例如,RSA)也能够被使用。
应用113生成对用户订阅信息的请求(710)。应用113在取得临时用户标识符、公钥和证明令牌之后,生成对用户订阅信息的请求并将其传输到数据安全系统180。该请求包括能够包括临时用户标识符和公钥作为有效载荷数据的证明令牌。在一些实施方式中,使用数据安全系统180的公钥来加密临时用户标识符、公钥和证明令牌,例如,通过加密包括临时用户标识符和公钥的证明令牌。如上所述,证明令牌能够包括证明令牌的其他数据的数字签名,例如,临时用户标识符、公钥、令牌创建时间戳和任何完整性令牌。对用户订阅数据的请求能够例如通过分组化网络105被传输,并且内容请求本身能够被格式化为具有报头和有效载荷数据的分组化数据。报头能够指定分组的目的地,并且有效载荷数据能够包括以上讨论的任何信息。
数据安全系统180验证临时用户标识符(712)。在接收到对用户订阅信息的请求之后,数据安全系统180能够通过尝试使用只有数据安全系统180知道的密钥对临时用户标识符进行解密来验证临时用户标识符。如果数据安全系统180能够成功地解密临时用户标识符,则数据安全系统180能够确定临时用户标识符已经被成功地核实。如果不是,则数据安全系统180能够确定临时用户标识符未被核实。
数据安全系统180验证证明令牌(714)。为了核实有效载荷数据没有被篡改以及对用户订阅信息的请求的发送者是应用113,数据安全系统180验证被包括在对用户订阅信息的请求中的证明令牌。例如,数据安全系统180能够使用令牌创建时间(例如,通过确保令牌创建时间在当前时间的阈值持续时间之内)、数字签名(使用证明令牌的公钥)和/或包括在证明令牌中的完整性令牌来核实证明令牌。每个完整性令牌的核实能够类似于证明令牌被核实的方式(例如,基于完整性令牌的数字签名和完整性令牌的令牌创建时间戳)。在一些实施方式中,全部三个核实被执行,但是在其他实施方式中较少的核实能够被执行。此外,核实能够以不同的顺序执行或并行执行。
数据安全系统180核实临时用户标识符与由应用113生成的公钥/私钥对的公钥之间的关联(716),以便与数据安全系统180进行安全通信。数据安全系统180在核实临时用户标识符之后,能够认证客户端设备110以防止任何可能的冒名顶替。例如,数据安全系统180能够查找客户端设备110的电话号码的历史记录及其与证明令牌的公钥的关联,以核实客户端设备110是否已经与过去的公钥相关联,例如被链接到过去的公钥。例如,数据安全系统180能够维护日志,对于每个成功地核实的证明令牌,该日志将证明令牌的公钥链接到证明令牌的临时用户标识符。如果是这样,则当前公钥先前被链接到临时用户标识符,如日志中所反映的,数据安全系统180能够确定临时用户标识符被成功地核实。
如果不是,则数据安全系统180能够向客户端设备110发送具有用户能够在应用113上输入的代码的SMS消息,或者应用113能够从SMS消息中自动提取,以核实对订阅信息的请求是由用户从客户端设备110发起的。在另一个示例中,SMS消息能够包括能够将用户重定向到数据安全系统180的网站以核实用户的真实性的URL。这提供了附加的安全以确保新的公钥与临时用户标识符相关联并且因此属于客户端设备110。数据安全系统180能够在任何核实失败时发送该SMS消息。
数据安全系统180准备对用户订阅令牌的请求的响应(718)。在核实在客户端设备110上执行的应用113、客户端设备110的用户和对用户订阅信息的请求的真实性之后,数据安全系统180生成响应,该响应包括应用113需要的用于呈现给客户端的信息。例如,数据安全系统180能够从由数据安全系统180维护的安全且加密的用户数据库中提取数据。
数据安全系统180在传输应用113之前对响应进行加密(720)。数据安全系统180使用应用113的公钥/私钥对的公钥或如嵌入在证明令牌中的客户端设备110的公钥将用户订阅信息加密为密文,使得只有在客户端设备110上执行的应用113能够使用私钥来对密文进行解密并访问明文的用户订阅信息。
数据安全系统180将用户订阅信息传输到应用110(722)。例如,加密的用户信息从数据安全系统180被传输到在客户端设备110上执行的应用113以通过分组化网络105呈现给用户,并且内容本身能够被格式化为具有报头和有效载荷数据的分组化数据。报头能够指定分组的目的地,并且有效载荷数据能够包括以上讨论的任何信息。用户订阅信息能够包括用户的数据隐私设置,该用户的数据隐私设置能够包括已经请求了用户的订阅令牌的发布者的列表,例如,响应于用户订阅发布者。
在接收到具有加密的用户订阅数据的响应之后,在客户端设备110上执行的应用113使用私钥将数据解密为明文(724)并将明文用户订阅数据呈现给客户端设备110的用户(726)。
如之前所述,应用113能够进一步包括用于用户选择和管理个人订阅和隐私设置的交互式控件。这在之前参考图8进行了说明。
图8是示出了修改数据隐私设置的示例过程800的泳道图。过程800的操作能够例如由客户端设备110、内容平台和数据安全系统180来实现。过程800的操作能够被实现为存储在一个或多个计算机可读介质上的指令,该一个或多个计算机可读介质可以是非暂时性的,并且由一个或多个数据处理装置对指令的执行能够使一个或多个数据处理装置执行过程800的操作。出于解释的目的,将参考示例场景来描述过程800,在该示例场景中,客户端设备的用户与应用113交互以选择一个或多个内容平台并且经由应用112的用户界面提供从选择的一个或多个内容平台删除用户数据的指令。
客户端设备110的用户与应用113交互以从一个或多个内容平台删除用户数据(802)。如之前所述,应用113由数据安全系统180提供并被安装或以其他方式运行在客户端设备110上。应用113能够从数据安全系统180接收包括数据隐私设置的关于用户订阅的信息,并提供用户界面以向用户呈现该信息。应用113能够进一步包括用于用户选择和修改个人订阅和隐私设置的交互式控件。例如,用户在客户端设备110上打开应用113,经由示例过程700查看当前订阅和隐私设置,并通过用户界面,提供从选择的一个或多个内容平台删除用户数据的指令。虽然该示例是根据在DSP处删除用户数据,但类似的过程能够被用于执行其他修改,例如用户数据如何被DSP使用。因此,更一般地,删除用户数据的请求(810)和(820)可以是修改一个或多个实体(例如内容平台)的数据隐私设置的请求,用户数据的删除(822)可以是数据隐私设置的修改并且确认(824)可以是修改数据隐私设置的确认。
在客户端设备上执行的应用113获得临时用户标识符(804)。如之前参考图6所述,临时用户标识符被存储在客户端设备110处。例如,客户端设备110在接收到临时用户标识符之后,能够将该标识符安全地存储在客户端设备110的可信任程序111的密钥库114中。在发起应用113之后,应用113从客户端设备110的可信任程序111取得临时用户标识符。例如,应用113能够生成对临时用户标识符的请求,并且可信任程序111提供包括临时用户标识符的对请求的响应。如上所述,临时用户标识符是通过加密用户的用户标识符(例如,电话号码、电子邮件地址或内部标识符)而生成的加密结果。
应用113取得公钥(806)。如上所述,应用113在安装期间或在其在客户端设备110上的第一次执行期间,创建公钥/私钥对,以便与数据安全系统180进行安全通信。在创建公钥/私钥对之后,应用113将私钥安全地存储在客户端设备110的可信任程序111的密钥库114或在客户端设备110的其他安全存储中。当用户发起应用113时,应用113例如从客户端设备110的另一个不安全的数据存储位置取得客户端设备110的公钥。
应用113从客户端设备110的可信任程序111取得证明令牌(808)。类似于过程700的步骤708,应用113向在客户端设备110内执行的可信任程序111提交请求,以使用对可信任程序111的一个或多个API调用来生成包括临时用户标识符和应用113的公钥作为有效载荷数据的证明令牌。可信任程序111生成证明令牌并将证明令牌提供给应用113。证明令牌能够包括有效载荷数据和有效载荷数据的数字签名。在一些实施方式中,可信任程序111使用椭圆曲线数字签名算法(ECDSA)来生成数字签名,但其他签名技术(例如,RSA)也能够被使用。
应用113生成删除用户数据的请求(810)。应用113在取得临时用户标识符、公钥和证明令牌之后,生成删除用户数据的请求并将其传输到数据安全系统180。该请求包括临时用户标识符、公钥和证明令牌。删除用户数据的请求还能够包括经由用户界面删除由用户选择的用户数据的选择的一个或多个内容平台或DSP 160的列表。删除用户数据的请求能够例如通过分组化网络105被传输,并且内容请求本身能够被格式化为具有报头和有效载荷数据的分组化数据。报头能够指定分组的目的地,并且有效载荷数据能够包括以上讨论的任何信息。
数据安全系统180验证临时用户标识符(812)。在接收到删除用户数据的请求之后,数据安全系统180能够以与以上参考图7描述的相同的方式验证临时用户标识符。
数据安全系统180验证证明令牌(814)。例如,数据安全系统180能够使用包括在证明令牌中的令牌创建时间、数字签名和/或完整性令牌来核实证明令牌,如以上参考图7所描述的。
数据安全系统180核实临时用户标识符与公钥之间的关联(816)。例如,如以上参考图7所描述的,数据安全系统180能够查找客户端设备110的电话号码的历史记录及其与证明令牌的公钥的关联,以核实客户端设备110是否实际上与公钥相关联。在另一个示例中,数据安全系统180能够向客户端设备110发送具有用户能够在应用113上输入的代码的SMS消息,或者应用113能够读取SMS消息以提取代码,以核实对订阅信息的请求由用户从客户端设备110发起。在另一示例中,SMS消息能够包括能够将用户重定向到数据安全系统180的网站以核实用户的真实性的URL。
数据安全系统180存储证明令牌(818)。数据安全系统能够维护用于从客户端设备110接收到的修改用户订阅/隐私设置的每个请求的日志。例如,数据安全系统180能够存储被包括在删除用户数据的请求中的证明令牌,以便能够执行审计以检查与客户端设备110和数据安全系统180的用户相关联的所有实体是否遵守由用户和数据安全系统180设置的协议。在一些实施方式中,数据安全系统180能够移除证明令牌的附件元素以节省数据安全系统180中的存储空间。
数据安全系统180将删除用户数据的请求传输到用户请求了删除数据的内容平台(820)。例如,在认证了删除用户数据的请求和客户端设备110之后,数据安全系统180能够将删除用户数据的请求传输到与数据安全系统180相关联的选择的一个或多个内容平台中的每个内容平台。如果请求是修改数据隐私设置,则请求能够代替地指定所请求的修改。
内容平台删除用户数据(822)。响应于接收到由数据安全系统180传输的删除用户数据的请求,选择的一个或多个内容平台删除由包括在删除用户数据的请求中的第二用户标识符识别的用户的用户数据。内容平台能够将证明令牌连同描述事件——例如数据删除事件——的数据一起存储。如果事件是修改数据隐私设置,例如,给定内容平台使用用户数据的许可,则证明令牌能够被用作内容平台被许可使用用户数据的加密可核实证据。
数据安全系统180从内容平台接收确认(824)。响应于由选择的一个或多个内容平台中的每个内容平台删除用户数据,选择的一个或多个内容平台中的每个内容平台通过网络105向数据安全系统180传输确认通知。数据安全系统180反过来向客户端设备105的应用113传输确认(826)以通知用户该用户的请求已经被处理。在一些实施方式中,应用113可以将用户数据删除的请求直接传输到一个或多个DSP160。
在一些实施方式中,当客户端设备110的用户不具有对应用113的访问时(例如,当应用113未被安装在客户端设备110上时),用户能够使用基于浏览器的应用112来访问由数据安全系统180提供的网站并且执行所有上述任务。该场景参考图9进一步说明。
图9是示出了用于生成和提供使用户能够使用浏览器应用来调整数据隐私设置的用户界面的示例过程900的泳道图。过程900的操作能够例如由客户端设备110或数据安全系统180来实现。过程900的操作能够被实现为存储在一个或多个计算机可读介质上的指令,该一个或多个计算机可读介质可以是非暂时性的,并且由一个或多个数据处理装置对指令的执行能够使一个或多个数据处理装置执行过程900的操作。
数据安全系统180向客户端设备110发送SMS消息(902)。例如,假设客户端设备110的用户使用浏览器应用112导航到发布者140的网站142。进一步假设,用户提供用户的电话号码用于订阅发布者140。在这样的场景中,发布者140将通知数据安全系统180,数据安全系统180转而将向电话号码所属于的客户端设备110发送SMS消息。在一些实施方式中,由数据安全系统180发送到用户的客户端设备110的SMS消息包括资源定位符,诸如数据安全平台180的仪表板或网站的URL以及用户的加密的临时用户标识符。用户的临时用户标识符由数据安全系统180通过使用概率对称密钥加密算法和只有数据安全系统180知道的密钥来对用户的电话号码进行加密来生成。
向客户端设备的用户通知SMS消息(904)并且用户与SMS消息交互(906)。例如,在从数据安全系统180接收到SMS消息之后,向用户通知SMS消息。用户在被客户端设备110的可信任程序111(例如操作系统)通知SMS消息之后,与SMS消息中提供的URL交互并且使用浏览器应用112被重定向到由数据安全系统180提供的网站(908)。
浏览器应用112生成并传输对数字内容的请求(910)。例如,在客户端设备110的用户通过点击SMS消息中的引用(例如,URL)来指定网站之后,应用112,例如在客户端设备110上运行的Web浏览器,生成对数字内容的请求(即对数据安全系统180的网站的请求)并通过网络105将其传输到数据安全系统。在一些实施方式中,对数字内容的请求可以包括证明。在该示例中,证明令牌能够是由可信任的第三方发放的信任令牌的形式。例如,可信任的第三方能够在评估从客户端设备110获得的欺诈检测信号之后向客户端设备110发放信任令牌。在一些实施方式中,对数字组件的请求能够包括在与数据安全系统180的先前通信期间被放置在客户端设备110上的数据安全系统180的cookie。
数据安全系统180验证信任令牌的证明记录(912)。证明记录能够包括已签名的赎回记录。例如,网页上的脚本或其他代码能够请求浏览器从可信任的第三方赎回信任令牌。如果信任令牌是有效的,则可信任的第三方能够将已签名的赎回记录返回给浏览器。数据安全系统180接收附有证明记录的对数字内容的请求(即,对数据安全系统180的网站的请求)。证明记录能够包括数据集,该数据集包括信任令牌的令牌标识符、令牌创建时间戳和已签名的赎回记录。证明记录还能够包括使用可信任第三方的私钥生成的数据集的数字签名。数据安全系统180能够通过核实令牌创建时间在当前时间的阈值持续时间之内以及通过使用与可信任的第三方的私钥相对应的公钥核实数字签名来核实已签名的赎回记录。
数据安全系统180验证临时用户标识符(914)。数据安全系统180使用数据安全系统180的私钥来对加密的临时用户标识符、公钥和证明令牌进行解密。数据安全系统180使用利用客户端设备110或应用113的公钥而被包括在对数字内容的请求中的数字签名来进一步验证临时用户标识符、公钥和证明令牌。如果对数字内容的请求的任何一片数据在数字签名被生成之后改变,则数字签名的核实将失败。
数据安全系统180验证与对数字组件的请求一起接收到的cookie(916)。例如,假设数据安全系统180在由浏览器应用112对数据安全系统的网站的先前访问期间已经在应用112中放置了cookie。还假设cookie值是临时用户标识符(其是如上所述的加密结果)。数据安全系统180在接收到被包括在对数字组件的请求中的cookie之后,验证cookie的任何冒名顶替迹象。
数据安全系统180将数字内容传输到浏览器应用112(918)。例如,数据安全系统180能够通过将网站的计算机可执行指令和数据传输到在客户端设备110上执行的浏览器应用112来进行响应。响应能够包括被传输的网站相关的数据,例如通过分组化网络105,并且内容本身能够被格式化为分组化数据。在一些实施方式中,具有数字内容的响应还能够包括要被放置在浏览器应用112的cookie jar中的cookie,以在与数据安全系统180的任何未来通信期间识别浏览器应用112。浏览器应用112在接收到网站的内容之后将网站呈现给用户(920)。
图10是示出了使用用户界面控件基于经修改的数据隐私设置来修改用户数据的使用的过程1000的流程图。过程1000的操作能够例如由客户端设备110和/或数据安全系统180来实现。过程1000的操作也能够被实现为存储在一个或多个计算机可读介质上的指令,该一个或多个计算机可读介质可以是非暂时性的,并且由一个或多个数据处理装置对指令的执行能够使一个或多个数据处理装置执行过程1000的操作。
用户界面被更新以呈现使用户能够指定数据隐私设置的用户界面控件(1010)。例如,应用113从数据安全系统180访问用户订阅数据。在访问用户订阅数据后,应用113将用户订阅数据呈现给用户并为用户提供界面控件。用户与界面控件交互以从一个或多个内容平台删除用户数据,或修改一个或多个实体的给定数据隐私设置。
接收修改一个或多个实体的给定数据隐私设置的请求(1020)。例如,在用户选择一个或多个内容平台之后,应用113从客户端设备110取得临时用户标识符、公钥和证明令牌。应用然后生成更新或修改用户的数据隐私设置的请求并将其传输到数据安全系统180。
数据安全系统180尝试使用至少临时用户标识符来验证请求(1030)。例如,在接收到修改数据隐私设置的请求之后,数据安全系统180通过核实临时用户标识符、证明令牌(其能够是具有已签名的赎回记录的证明记录的形式)和/或临时用户标识符与公钥之间的关联来验证请求,如以上参考图7和图8所描述的。
如果请求被成功地验证,则数据安全系统180传输指示受到经修改的数据隐私设置影响的一个或多个实体中的每个实体根据经修改的数据隐私设置来修改数据的使用的数据(1050)。例如,在验证来自客户端设备110的修改数据隐私设置的请求之后,数据安全系统180能够向每个受影响的实体传输基于该实体的经修改的数据隐私设置来修改用户数据的收集、存储和/或使用的请求。该请求能够包括用户的临时用户标识符。
如果请求未被成功地验证,则数据安全系统180不传输指示一个或多个实体中的每个实体修改数据的使用的数据(1040)。例如,如果任何核实失败,则数据安全系统180不向受影响的实体传输修改用户数据的使用的请求。
图11是能够被用于执行上述操作的示例计算机系统1100的框图。系统1100包括处理器1110、存储器1120、存储设备1130和输入/输出设备1140。组件1110、1120、1130和1140中的每个能够例如使用系统总线1150来互连。处理器1110能够处理用于在系统1100内执行的指令。在一些实施方式中,处理器1110是单线程处理器。在另一个实施方式中,处理器1110是多线程处理器。处理器1110能够处理存储在存储器1120中或存储设备1130上的指令。
存储器1120存储系统1100内的信息。在一个实施方式中,存储器1120是计算机可读介质。在一些实施方式中,存储器1120是易失性存储器单元。在另一个实施方式中,存储器1120是非易失性存储器单元。
存储设备1130能够为系统500提供大容量存储。在一些实施方式中,存储设备1130是计算机可读介质。在各种不同的实施方式中,存储设备1130能够包括例如硬盘设备、光盘设备、由多个计算设备通过网络共享的存储设备(例如,云存储设备),或一些其他大容量存储设备。
输入/输出设备1140为系统1100提供输入/输出操作。在一些实施方式中,输入/输出设备1140能够包括网络接口设备中的一个或多个,例如以太网卡、串行通信设备,例如,以及RS-232端口,和/或无线接口设备,例如,以及802.11卡。在另一个实施方式中,输入/输出设备能够包括被配置为接收输入数据并将输出数据发送到外部设备1160——例如键盘、打印机和显示设备——的驱动器设备。然而,其他实施方式也能够被使用,诸如移动计算设备、移动通信设备、机顶盒电视客户端设备等。
尽管示例处理系统已经在图11中描述,但是本说明书中描述的主题和功能操作的实施方式能够在其他类型的数字电子电路中或在计算机软件、固件或硬件——包括在本说明书中公开的结构及其结构等效物——或它们中的一个或多个的组合中实现。
本说明书中描述的主题和操作的实施例能够在数字电子电路中或在计算机软件、固件或硬件——包括在本说明书中公开的结构及其结构等效物——或它们中的一个或多个的组合中实现。本说明书中描述的主题的实施例能够被实现为编码在计算机存储介质(或媒介)上用于由数据处理装置执行或控制数据处理装置的操作的一个或多个计算机程序,即,计算机程序指令的一个或多个模块。可替选地或另外地,程序指令能够被编码在人工生成的传播信号上,例如机器生成的电信号、光信号或电磁信号,该人工生成的传播信号被生成以编码用于传输到合适的接收器装置以供数据处理装置执行的信息。计算机存储介质能够是计算机可读存储设备、计算机可读存储基板、随机或串行存取存储器阵列或设备、或它们中的一个或多个的组合或被包括在计算机可读存储设备、计算机可读存储基板、随机或串行存取存储器阵列或设备、或它们中的一个或多个的组合中。此外,虽然计算机存储介质不是传播信号,但是计算机存储介质能够是编码在人工生成的传播信号中的计算机程序指令的源或目的地。计算机存储介质也能够是或被包括在一个或多个单独的物理组件或介质(例如,多个CD、盘或其他存储设备)中。
本说明书中描述的操作能够被实现为由数据处理装置对存储在一个或多个计算机可读存储设备上或从其他源接收到的数据执行的操作。
术语“数据处理装置”涵盖用于处理数据的所有种类的装置、设备和机器,包括例如可编程处理器、计算机、片上系统、或前述的多个或前述的组合。装置能够包括专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除了硬件之外,装置还能够包括为讨论中的计算机程序创建执行环境的代码,例如,构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台的运行时环境、虚拟机或它们中的一个或多个的组合的代码。装置和执行环境能够实现各种不同的计算模型基础设施,诸如Web服务、分布式计算和网格计算基础设施。
计算机程序(也称为程序、软件、软件应用、脚本或代码)能够以包括编译或解释语言、声明性或过程性语言的任何形式的编程语言来编写,并且它能够以任何形式来部署,包括作为独立程序或作为模块、组件、子例程、对象或其他适合于在计算环境中使用的单元。计算机程序可以但不需要对应于文件系统中的文件。程序能够被存储在保持其他程序或数据的文件的一部分中(例如,存储在标记语言文档中的一个或多个脚本)、专用于讨论中的程序的单个文件中、或多个协同文件(例如,存储一个或多个模块、子例程或代码部分的文件)。计算机程序能够被部署以在一个计算机上或位于一个站点处或跨多个站点分布并通过通信网络互连的多个计算机上执行。
本说明书中描述的过程和逻辑流程能够通过一个或多个可编程处理器执行一个或多个计算机程序以通过对输入数据进行操作并生成输出来执行动作而完成。过程和逻辑流程也能够由专用逻辑电路执行,并且装置也能够被实现为专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。
适合于执行计算机程序的处理器包括例如通用微处理器和专用微处理器两者。通常,处理器将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的基本元件是用于根据指令来执行动作的处理器以及用于存储指令和数据的一个或多个存储器设备。通常,计算机还将包括或可操作地耦合以从用于存储数据的一个或多个大容量存储设备(例如磁盘、磁光盘或光盘)接收数据或向其传递数据或两者。然而,计算机不需要具有这样的设备。此外,计算机能够被嵌入到另一个设备中,例如移动手机、个人数字助理(PDA)、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器或便携式存储设备(例如,通用串行总线(USB)闪存驱动器),仅举几例。适合于存储计算机程序指令和数据的设备包括所有形式的非易失性存储器、介质和存储器设备,包括例如半导体存储器设备,例如EPROM、EEPROM和闪存设备;磁盘,例如内部硬盘或可移除盘;磁光盘;以及CD-ROM和DVD-ROM盘。处理器和存储器能够由专用逻辑电路补充或被并入专用逻辑电路中。
为了提供与用户的交互,本说明书中描述的主题的实施例能够在计算机上实现,该计算机具有用于向用户显示信息的显示设备,例如CRT(阴极射线管)或LCD(液晶显示器)监视器,以及用户能够通过其向计算机提供输入的键盘和定点设备,例如鼠标或轨迹球。其他种类的设备也能够被用于提供与用户的交互;例如,向用户提供的反馈能够是任何形式的感官反馈,例如视觉反馈、听觉反馈或触觉反馈;并且来自用户的输入能够以任何形式被接收,包括声音、语音或触觉输入。此外,计算机能够通过向用户使用的设备发送文档和从用户使用的设备接收文档来与用户交互;例如,通过响应于从Web浏览器接收到的请求而将网页发送到用户的客户端设备上的Web浏览器。
本说明书中描述的主题的实施例能够在计算系统中实现,该计算系统包括后端组件,例如作为数据服务器,或者包括中间件组件,例如应用服务器,或者包括前端组件,例如具有用户能够通过其与本说明书中描述的主题的实施方式进行交互的图形用户界面或Web浏览器的客户端计算机,或者一个或多个这样的后端组件、中间件组件或前端组件的任何组合。系统的组件能够通过任何形式或介质的数字数据通信(例如通信网络)互连。通信网络的示例包括局域网(“LAN”)和广域网(“WAN”)、互联网络(例如,互联网)和对等网络(例如,自组织对等网络)。
计算系统能够包括客户端和服务器。客户端和服务器一般彼此远离并且通常通过通信网络进行交互。客户端和服务器的关系通过在相应计算机上运行并且彼此具有客户端-服务器关系的计算机程序而产生。在一些实施例中,服务器将数据(例如,HTML页面)传输到客户端设备(例如,以便向与客户端设备交互的用户显示数据并从与客户端设备交互的用户接收用户输入)。在客户端设备处生成的数据(例如,用户交互的结果)能够在服务器处从客户端设备被接收。
尽管本说明书包含许多具体的实施细节,但这些不应被解释为对任何发明的范围或可能要求保护的内容的限制,而是特定于特定发明的特定实施例的特征的描述。在本说明书中在单独实施例的上下文中描述的某些特征也能够在单个实施例中组合实现。相反,在单个实施例的上下文中描述的各种特征也能够在多个实施例中单独地或以任何合适的子组合来实现。此外,尽管特征可以在以上被描述为以某些组合起作用,并且甚至最初如此要求保护,但来自要求保护的组合的一个或多个特征能够在一些情况下从组合中删除,并且要求保护的组合可以涉及子组合或子组合的变体。
类似地,虽然操作在附图中以特定顺序描绘,但这不应被理解为要求这些操作以所示的特定顺序或按先后顺序执行或者所有示出的操作都被执行以达到期望的结果。在某些情况下,多任务和并行处理可以是有利的。此外,上述实施例中的各种系统组件的分离不应被理解为在所有实施例中都要求这样的分离,并且应当理解,所描述的程序组件和系统通常能够被一起集成在单个软件产品中或被封装到多个软件产品中。
因此,已经描述了本主题的特定实施例。其他实施例在以下权利要求的范围内。在一些情况下,权利要求中记载的动作能够以不同的顺序被执行,并且仍然达到期望的结果。此外,附图中描述的过程不一定要求所示的特定顺序或先后顺序来达到期望的结果。在某些实施方式中,多任务和并行处理可以是有利的。
要求保护的内容是。
Claims (13)
1.一种计算机实现的方法,包括:
更新客户端设备的用户界面以呈现使用户能够指定数据隐私设置的用户界面控件,所述用户界面控件限定实体如何收集、存储和使用所述用户的数据;
基于用户与一个或多个所述用户界面控件的交互,从所述客户端设备接收修改一个或多个实体的数据隐私设置的请求,所述请求包括所述用户的临时用户标识符和证明令牌,其中,所述临时用户标识符是基于所述客户端设备的电话号码;
使用至少所述用户的所述临时用户标识符和所述证明令牌来验证所述请求;以及
响应于验证所述请求,向所述一个或多个实体中的每个实体传输指示所述实体基于经修改的给定数据隐私设置来修改所述用户数据的使用的数据。
2.根据权利要求1所述的计算机实现的方法,进一步包括在更新所述用户界面之前:
从发布者接收请求所述用户的电话号码的订阅令牌的令牌请求;以及
向所述客户端设备传输消息,所述消息包括(i)包括所述用户界面的电子资源的资源定位符以及(ii)所述用户的所述临时用户标识符。
3.根据前述权利要求中的任一项所述的计算机实现的方法,其中,所述临时用户标识符包括通过对所述用户的(i)所述电话号码或(ii)电子邮件地址进行加密而生成的加密结果。
4.根据前述权利要求中的任一项所述的计算机实现的方法,其中:
所述请求进一步包括所述客户端设备的公钥;以及
验证所述请求进一步包括核实所述临时用户标识符与所述客户端设备的所述公钥之间的关联。
5.根据权利要求4所述的计算机实现的方法,其中,核实所述临时用户标识符包括:
尝试对所述临时用户标识符进行解密;以及
当所述临时用户标识被成功地解密时,确定所述临时用户标识被成功地核实。
6.根据前述权利要求中的任一项所述的计算机实现的方法,进一步包括将所述证明令牌和经更新的设置存储在审计日志中。
7.根据前述权利要求中的任一项所述的计算机实现的方法,其中:
所述请求包括web cookie;以及
验证所述请求包括:
对所述临时用户标识符进行解密;以及
使用所述临时用户标识符来核实所述web cookie。
8.根据前述权利要求中的任一项所述的计算机实现的方法,其中:
所述证明令牌包括:
数据集;以及
所述数据集的数字签名;以及
核实所述证明令牌包括基于所述数据集来确定所述数字签名是有效的。
9.根据前述权利要求中的任一项所述的计算机实现的方法,其中:
所述证明令牌包括指示所述证明令牌被创建的时间的令牌创建时间戳;以及
核实所述证明令牌包括确定所述证明令牌被创建的所述时间是在所述请求被接收的时间的阈值持续时间之内。
10.根据前述权利要求中的任一项所述的计算机实现的方法,其中:
所述证明令牌包括完整性令牌,所述完整性令牌包括所述客户端设备或在所述客户端设备上运行的应用的可信度的判定;以及
核实所述证明令牌包括核实所述完整性令牌。
11.一种系统,包括:
一个或多个处理器;以及
一个或多个存储设备,所述一个或多个存储设备存储指令,所述指令在由所述一个或多个处理器执行时使所述一个或多个处理器执行根据前述权利要求中的任一项所述的方法。
12.一种承载指令的计算机可读存储介质,所述指令在由一个或多个处理器执行时使所述一个或多个处理器执行根据权利要求1至10中的任一项所述的方法。
13.一种包括指令的计算机程序产品,所述指令在由计算机执行时使所述计算机执行根据权利要求1至10中的任一项所述的方法的步骤。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2020/057554 WO2022093202A1 (en) | 2020-10-27 | 2020-10-27 | Cryptographically secure request verification |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115066865A true CN115066865A (zh) | 2022-09-16 |
Family
ID=73449246
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080095596.1A Pending CN115066865A (zh) | 2020-10-27 | 2020-10-27 | 加密安全请求核实 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20230050222A1 (zh) |
| EP (1) | EP4073976A1 (zh) |
| JP (1) | JP7376727B2 (zh) |
| KR (1) | KR20220123695A (zh) |
| CN (1) | CN115066865A (zh) |
| WO (1) | WO2022093202A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10949564B2 (en) * | 2018-05-07 | 2021-03-16 | Apple Inc. | Contact discovery service with privacy aspect |
| US11962573B2 (en) * | 2021-10-26 | 2024-04-16 | Genetec Inc | System and method for providing access to secured content field |
| US11695772B1 (en) * | 2022-05-03 | 2023-07-04 | Capital One Services, Llc | System and method for enabling multiple auxiliary use of an access token of a user by another entity to facilitate an action of the user |
| US20240095364A1 (en) * | 2022-05-06 | 2024-03-21 | Google Llc | Privacy-preserving and secure application install attribution |
| US20240187411A1 (en) * | 2022-12-04 | 2024-06-06 | Asad Hasan | Human system operator identity associated audit trail of containerized network application with prevention of privilege escalation, online black-box testing, and related systems and methods |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7478434B1 (en) * | 2000-05-31 | 2009-01-13 | International Business Machines Corporation | Authentication and authorization protocol for secure web-based access to a protected resource |
| US7565702B2 (en) * | 2003-11-03 | 2009-07-21 | Microsoft Corporation | Password-based key management |
| US20060002556A1 (en) | 2004-06-30 | 2006-01-05 | Microsoft Corporation | Secure certificate enrollment of device over a cellular network |
| JP2008525863A (ja) | 2004-10-04 | 2008-07-17 | コンテントガード ホールディングズ インコーポレイテッド | 共有状態変数を用いる権利のオファー及び許諾のためのシステムおよび方法 |
| JP2012137995A (ja) | 2010-12-27 | 2012-07-19 | Fujitsu Ltd | リソース提供システム、アクセス制御プログラム及びアクセス制御方法 |
| US8918850B2 (en) * | 2011-08-01 | 2014-12-23 | Google Inc. | Share cookie on native platform in mobile device without having to ask for the user's login information |
| GB2498708B (en) * | 2012-01-17 | 2020-02-12 | Secure Cloudlink Ltd | Security management for cloud services |
| US8787902B2 (en) * | 2012-10-31 | 2014-07-22 | Irevo, Inc. | Method for mobile-key service |
| US10311240B1 (en) * | 2015-08-25 | 2019-06-04 | Google Llc | Remote storage security |
| EP3169034A1 (en) * | 2015-11-10 | 2017-05-17 | Telefonica Digital España, S.L.U. | Methods, apparatus and system for improved access of consumer's personal data |
| US11081214B1 (en) * | 2016-06-03 | 2021-08-03 | Walgreen Co. | Systems and methods for secure prescription status updates using a mobile device |
| US11349665B2 (en) | 2017-12-22 | 2022-05-31 | Motorola Solutions, Inc. | Device attestation server and method for attesting to the integrity of a mobile device |
| US10715536B2 (en) * | 2017-12-29 | 2020-07-14 | Square, Inc. | Logical validation of devices against fraud and tampering |
| US11936651B2 (en) * | 2018-02-20 | 2024-03-19 | Visa International Service Association | Automated account recovery using trusted devices |
| JP7216881B2 (ja) | 2018-10-19 | 2023-02-02 | 日本電信電話株式会社 | コンテンツ契約システム、コンテンツ契約方法、権利者端末、譲受人端末、制御端末、コンテンツ蓄積サーバ、権利者プログラム、譲受人プログラム、制御プログラムおよびコンテンツ蓄積プログラム |
| WO2020092351A1 (en) * | 2018-10-29 | 2020-05-07 | Login Id Inc. | Decentralized computing systems for strong user authentication and related methods |
| WO2020236733A1 (en) * | 2019-05-17 | 2020-11-26 | Youmail, Inc. | Using a public registry to enhance caller information |
| EP4133393A1 (en) * | 2020-04-10 | 2023-02-15 | Telefonaktiebolaget LM Ericsson (PUBL) | Privacy enforcer |
-
2020
- 2020-10-27 US US17/791,966 patent/US20230050222A1/en active Pending
- 2020-10-27 EP EP20807630.7A patent/EP4073976A1/en active Pending
- 2020-10-27 JP JP2022548001A patent/JP7376727B2/ja active Active
- 2020-10-27 CN CN202080095596.1A patent/CN115066865A/zh active Pending
- 2020-10-27 KR KR1020227026990A patent/KR20220123695A/ko unknown
- 2020-10-27 WO PCT/US2020/057554 patent/WO2022093202A1/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| US20230050222A1 (en) | 2023-02-16 |
| KR20220123695A (ko) | 2022-09-08 |
| JP2023518662A (ja) | 2023-05-08 |
| WO2022093202A1 (en) | 2022-05-05 |
| EP4073976A1 (en) | 2022-10-19 |
| JP7376727B2 (ja) | 2023-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7376727B2 (ja) | 暗号学的に安全な要求の検証 | |
| EP4022845B1 (en) | Cryptographically secure data protection | |
| EP4011033B1 (en) | Anonymous event attestation with group signatures | |
| US11949688B2 (en) | Securing browser cookies | |
| US20230308277A1 (en) | Anonymous authentication with token redemption | |
| US12107969B2 (en) | Anonymous event attestation | |
| CN114731293A (zh) | 在确定准确的位置事件测量时防止数据操纵和保护用户隐私 | |
| JP7157258B2 (ja) | 集約されたネットワーク測定における不正の防止 | |
| CN114731273B (zh) | 以密码方式安全的数据保护 | |
| CN114342317B (zh) | 利用组签名的匿名事件证明 | |
| KR102562178B1 (ko) | 통신 네트워크 측정치의 데이터 조작 방지 및 사용자 프라이버시 보호 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |