匿名上下文信息的提供和针对性内容的生成的制作方法

匿名上下文信息的提供和针对性内容的生成的制作方法
【专利摘要】本发明针对选择性地公开用户或计算环境属性，以有助于生成和/或提供针对性内容。在各种实施例中，可以确定下述可能性：对用户的或与该用户相关的计算环境的属性进行公开将使得能够对该用户进行识别，该可能性的确定可以基于共享该相同属性的用户或计算环境的相关人口数。在各种实施例中，可以基于该确定以及与该用户相关的风险承受能力，选择性地向用于提供针对性内容的内容提供者公开该属性，或者选择性地向该用户提供关于该用户是否应该向该内容提供者公开该属性的建议。在各种实施例中，特征机构可以跟踪具有各种属性的用户或计算环境的人口数并使其可用。
【专利说明】匿名上下文信息的提供和针对性内容的生成
【技术领域】
[0001]本公开的实施例总体上涉及数据处理的领域，并且更具体地，涉及用于提供匿名上下文信息和生成针对性内容的技术和配置。
【背景技术】
[0002]这里提供的【背景技术】说明是为了概括地介绍该公开的上下文。当前称为发明人的工作，就其在该【背景技术】章节中被描述而言，以及说明书中所公开的、并无资格作为提出申请时的现有技术的各个方面，既没有明确地也没有隐含地被承认是相对于本公开而言的现有技术。除非在文中另外指出，否则在本章节中描述的手段对本公开的权利要求而言不是现有技术，并且也不认同因其被包含在该章节中就成为现有技术。
[0003]计算设备的用户可能有意地或无意地向计算机网络上的各种实体披露了与该用户或该计算设备相关的、可能可用于识别和定位该用户的信息，其包括但并不限于:个人信息、活动、倾向、计算环境、关系(例如，与人、地方或事情的关系)、计算设备、物理环境、从计算设备的传感器捕捉到的信息(或者根据该信息推断出的信息)、偏好、行为模式、和/或对于识别或理解用户和他或她的兴趣来说有用的任何其它信息(统称为“上下文信息”)。
[0004]作为交换，诸如商品/服务的广告商或供应商这样的实体可以提供针对该用户的内容。用户可以受益于这种个性化的内容，这是因为这种更有可能是相关的或希望的内容带来了更好的体验。诸如广告商和供应商这样的实体可以受益，这是因为与非针对性内容相比，用户更有可能参与针对性内容。然而，用户可能希望保护他们的隐私。向计算机网络上的一个或更多实体公开个人信息或上下文信息，会使得能够进行用户的个人识别和/或产生其它不想要的副作用，例如得到用户的精确位置。失去隐私会导致损害用户声誉、财务状况和/或安全。
【专利附图】

【附图说明】
[0005]通过下列结合附图进行的详细说明，实施例将变得容易理解。为了便利这种说明，相同或相似的参考数字标示相同或相似的结构单元。在附图的图中，通过示例而非限制示出了实施例。
[0006]图1示意性地说明了根据各种实施例的示例性电子商务系统。
[0007]图2示意性地说明了根据各种实施例的可以在消费者设备上实现的示例性方法。
[0008]图3示意性地说明了根据各种实施例的示例性电子商务交易。
[0009]图4示意性地说明了根据各种实施例的示例性发布和订阅交易，其中，消费者设备使用发布和订阅服务器来发布匿名上下文信息。
[0010]图5示意性地说明了根据各种实施例的在消费者设备和特征机构之间进行的示例性认证和特征提供会话。
[0011]图6示意性地说明了根据各种实施例的另一个示例性电子商务交易。
[0012]图7示意性地说明了根据各种实施例的可以由内容生成或提供实体实现的示例性方法。
[0013]图8示意性地说明了根据各种实施例的另一个示例性发布和订阅交易，其中，消费者设备订阅了 一个通道，而内容提供者进行注册以向该通道发布内容。
[0014]图9示意性地说明了根据本发明的一种实现的计算设备。
【具体实施方式】
[0015]在下面的详细说明中参考了附图，所述附图构成本文的一部分，其中贯穿整个附图，相同或相似的数字标示相同或相似的部分，并且其中以举例说明的方式示出了可以实践的实施例。可以理解，在不脱离本公开的范围的情况下，可以利用其它实施例并且可以做出结构或逻辑变化。因此，下面的详细说明并不是限制性的，实施例的范围由所附权利要求及其等价物来定义。
[0016]各种操作可以被用最有助于理解所要求保护的主题的方式，描述为依次进行的多个分立的动作或操作。然而，说明的次序不应该被解释为暗示这些操作必定是次序相关的。特别是，可以不按给出的次序执行这些操作。可以用与所描述的实施例不同的次序来执行所描述的操作。在附加的实施例中，可以执行各种附加的操作并且/或者可以省略所描述的操作。
[0017]出于本公开的目的，短语“A和/或B”表示⑷、(B)、或者(A和B)。出于本公开的目的，短语“A、B、和/或C”表示(A)、⑶、(C)、(A和B)、(A和C)、(B和C)、或者(A和B和C)。
[0018]说明书可以使用短语“在一个实施例中”或“在多个实施例中”，每个短语都可以指一个或更多的相同或不同的实施例。此外，如针对本公开的实施例所使用的术语“包含”、“包括”、“具有”等都是同义词。
[0019]如文中所使用的，术语“块”、“模块”和/或“逻辑”可以指下述的一部分或可以包括下述:专用集成电路(“ASIC”)、电子电路、执行一个或更多软件或固件程序的处理器(共享的、专用的或成组的)和/或存储器(共享的、专用的或成组的)、组合式逻辑电路、和/或提供所描述的功能的其它合适的部件。“实体”可以指用于和其它实体进行交互的硬件或软件的任何组合，例如，客户机-服务器应用的服务器部分(例如，超文本传输协议(或“HTTP”)服务器)、应用程序功能、万维网(web)服务器等。
[0020]参考图1，示例性电子商务系统100可以包括在经由一个或更多计算机网络(在图1中没有明确地标识)彼此进行通信的一个或更多计算设备上工作的一个或更多实体。各种实体和计算设备可以包括用户(未示出，尤其在电子商务的上下文中，其也被称为“消费者”)，其操作由消费者设备102全部地或部分地提供的计算环境，以便和电子商务系统100的各种其它计算设备进行交互。
[0021]在各种实施例中，“与用户相关的计算环境”可以指与用户相关的(例如，由该用户或与该用户有关系的某人操作的或拥有的)一个或更多物理计算设备、和/或由一个或更多计算设备向一个用户或多个用户提供的功能。例如，用户可以由例如服务器机群中的一个或更多服务器来提供对虚拟机的控制，所述虚拟机自身向用户提供软件操作环境(例如，操作系统和一个或更多应用)。在这种情况下，执行虚拟机的一个或更多服务器、虚拟机自身、和/或在虚拟机上可用的任何应用可以被一起认为是与该用户相关的计算环境。[0022]消费者设备102可以是处理数据的任何设备，包括但并不限于，膝上型计算机、上网本、笔记本、超级本?、智能电话、平板电脑、个人数字助理(PDA)、超移动PC、移动电话、台式计算机、服务器、打印机、扫描仪、监视器、机顶盒、娱乐控制单元(例如，游戏控制台)、数码相机、便携式音乐播放器、数字视频录像机、服务器的一部分、云服务等，或者这样的资源的分布式组合。尽管在文中反复地被称为“消费者”设备，这并不意味着将实施例仅限制于消费者用来购买商品或服务的设备。也可以为用于其它目的的计算设备和/或计算环境生成针对性内容。
[0023]消费者设备102可以通过各种计算设备来访问电子商务系统100，所述各种计算设备借助于网络化通信，也可以被称为“节点”。例如，在图1中，消费者设备102可以通过交易节点(也被称为“电子商务交易”)104来访问电子商务系统100。交易节点104可以是用于向消费者设备102的用户提供入口的一个实体。在一些实施例中，该入口可以提供一个或更多网页，所述网页提供到交易节点104提供的内容、或其它实体提供的内容的一个或更多链接。用户可以使用在消费者设备102上执行的消费者应用105(例如万维网浏览器)来浏览这些网页和链接。在其它实施例中，该入口可以提供使得用户能够消费诸如视频这样的各种内容的接口。
[0024]入口可以是各种类型的。在一些实施例中，交易节点104可以提供电子商务入口，其使得用户能够购买来自多个供应商的产品和/或服务。在一些实施例中，交易节点104可以提供更通用的入口，其提供对来自供应商、新闻机构、金融服务、各种兴趣组织(例如，技术或文化机构)等的内容的访问。在各种实施例中，交易节点104可以提供包括搜索引擎接口的入口。在各种实施例中，交易节点104可以包括针对特定用户的内容，例如作为图形用户界面的一部分上的广告。
[0025]供应商106可以是与该系统的其它实体购买、许诺购买、销售、许诺销售、和/或交易商品或服务的任何实体。供应商106也可以生成和/或提供针对用户的内容，将其直接地提供给消费者设备102或利用一个或更多其它实体，如下将要进行描述的。在各种实施例中，内容聚合器108可以充当供应商106和从该供应商买或向该供应商卖产品/服务的其它实体之间的“中间人”。例如，内容聚合器108可以存储由供应商106生成的针对性内容，并且，例如在交易节点104发出请求时，使该针对性内容可用。
[0026]在传统的电子商务和其它系统中，诸如供应商106、广告商(未示出)等这样的实体可以基于从消费者设备102接收到的上下文信息来生成针对性内容。例如，供应商106可以使用各种条目的用户的个人信息(例如，名字、地址、社会保险号码、财务信息、人口统计信息、位置等)来跟踪该用户的浏览历史，购买历史、报价兑换历史等。基于该跟踪的信息，供应商106可以生成针对该用户的诸如广告、报价和优惠券这样的内容。
[0027]针对性内容可以用各种形式出现，并且可以用各种方式呈现给用户以供消费。在各种实施例中，针对性内容可以包括经由电子邮件，简单消息服务(“SMS”)、多媒体消息服务(“丽S”)、并入到网页中的广告(例如，横幅广告)等来交换的内容。在各种实施例中，内容可以用各种格式出现，包括但并不限于音频、视频、音频和视频的组合、可视的、口头的、绘画的等。在一些实施例中，交易节点104运行网页入口，在这种实施例中，针对性内容可以用横幅广告、弹出窗口等形式出现。在一些实施例中，交易节点104运行视频入口，在这种实施例中，针对性内容可以采用在其它视频内散布的视频广告的形式。[0028]生成并提供针对性内容可以使供应商106和其它实体受益，因为相比非针对性内容，用户更有可能参与针对性内容。因为增加了用户消费的内容与该用户相关/对该用户而言是感兴趣的可能性，并且/或者降低了用户消费的内容是不相关的(例如，垃圾邮件)的可能性，所以接受针对性内容可以使用户受益。
[0029]用于生成/提供针对性内容的用户的个人信息可以被存储在网络的多个位置。例如，用户从其购买过商品或服务的多个供应商可以拥有该用户的个人数据的副本。为了防止未经授权地向第三方公开用户的个人信息，用户可能被迫依赖这些所述多个供应商所使用的安全和其它保障措施。越多位置有用户的个人信息，那些位置中的至少其中一个位置无法充分地保护该信息的风险就越大。此外，用户的个人信息一旦被存储在网络的一个或更多位置上，就可能难以从网络中删除该用户的个人信息。
[0030]因此，在各种实施例中，为了有助于例如由供应商106生成针对性内容，消费者设备102可以不公开用户的个人信息。反而，消费者设备102可以用于向用于提供针对性内容的一个或更多远程计算设备提供或者以其他方式公开与消费者设备102或与消费者设备102的用户相关的“匿名上下文信息”。
[0031]在各种实施例中，匿名上下文信息可以包括一个或更多“特征(dimension)”。在各种实施例中，特征可以包括用户或与该用户相关的计算环境的属性、以及共享该属性的用户或计算环境的人口数。与用户相关的计算环境的属性可以包括与用户相关的(例如，由该用户或与该用户有关系的某人操作的、和/或拥有的)一个或更多物理计算设备的属性，供用户或与该用户有关系的某人使用的虚拟机的属性，与用户相关的(例如，由该用户或与该用户有关系的某人操作的、和/或拥有的)软件的属性，由与用户或与该用户有关系的某人相关的计算设备检测到的上下文数据(例如，温度、速度、位置等)等。
[0032]可以选择性地公开特征，尤其是特征属性，以有助于在无需使能用户识别的情况下，生成和/或提供针对消费者设备102或它的用户的内容。在各种实施例中，一个特征属性，单独地或结合其它特征属性，可以充当用户乐意参与某一内容的指示器。
[0033]在各种实施例中，特征可以被表示为元组〈属性，人口数〉。例如，一个计算环境可能具有属性〈“iPhone”，37M〉，这表示一个用户正在操作iPhone，并且当前有三千七百万(37百万)iPhone用户。在各种实施例中，属性自身可以是度量(例如，“ iPhone”)或元组〈属性，度量 >(作为选择，可以被表示为属性.度量)。例如，计算设备可以具有特征〈位置.波特兰，1.3M〉。如文中所使用的，术语“特征属性”和“属性”或者可以指独立的属性(例如，“iPhone”)或者可以指属性.度量元组(例如，“手机类型.1Phone”)。
[0034]在一些实施例中，特征，可以被表示为例如相关的特征属性的本体或分类。例如，特征分类可以被表示为“汽车一福特一皮卡一红色”。每个属性度量(除了汽车)可以是它左边属性度量的专门化值，并且可以具有相关的人口数(例如，共享该特征属性，拥有车辆的用户的人口数)。
[0035]在各种实施例中，消费者设备102可以包括消费者信息管理器(“CM”) 110。CIM110可以是用硬件和软件的任何组合实现的逻辑。在各种实施例中，CIM 110可以用于控制匿名上下文信息的提供和/或公开，以保护用户隐私同时能够为用户生成和/或提供针对性内容，以及用于其他功能。在各种实施例中，CIM 100可以被在消费者设备102的可信执行环境(“TEE”112)中实现。TEE122可以以各种形式出现或者被用各种技术来提供，例如加利福尼亚的圣克拉拉的英特尔公司的可信执行技术(“TXT”)和可信平台模块(“TPM”)、管理引擎(“ME”)、英国剑桥的ARM Holdings的信任区安全系统(TrustZone SecuritySystem)、虚拟化技术(“VT_x”)、或实施泛在识别码的线程以及存储器存取隔离。
[0036]消费者设备102的特征属性可以具有各种度量，包括但并不限于由消费者设备102的一个或更多“硬”传感器114检测到的数据、消费者设备102的计算机可读地址(例如，IP地址、MAC地址)、消费者设备102的硬件或软件配置/能力等。硬传感器114可以包括各种传感器，诸如全球定位系统(“GPS”)、气压计、温度计、加速计等，其可以提供关于消费者设备102的上下文数据。可以在消费者设备102的各种部分中使用硬传感器114。例如，在图1中，可以在消费者设备102上在TEE 112的内部和外部都使用硬传感器114。
[0037]消费者设备102的用户的特征属性可以具有各种度量，包括但并不限于关于该用户的人口统计信息，例如年龄、社会经济地位、性别、团体隶属(例如，政党、会员)、生理属性(例如，头发颜色、眼睛颜色、体型、健康水平)、职业、家庭状况(例如，已婚，子女数)等。用户的特征属性也可以包括关于用户的倾向/密切关系的信息和/或已经证明用户的倾向/密切关系的信息，例如过去购买历史、对各种产品的偏好、过去的优惠卷或报价兑换历史、兴趣爱好、关系、联系等。
[0038]在各种实施例中，可以从一个或更多“软”传感器116获取用户的特征属性。软传感器116可以包括在消费者设备102上或在别处的硬件和/或软件的任意组合。软传感器116可以用于从消费者设备102内部或别处获取各种用户特征属性，诸如用户的时间表(例如，来自在线日历)、人口统计数据(例如，来自诸如社交网络这样的各种在线帐号)、关系(例如，来自社交网络)、历史(例如，过去的购买、过去的兑换、过去参与的记录、浏览历史等)或倾向(例如，来自社交网络和/或兴趣图谱)。
[0039]在各种实施例中，可以基于对特征属性进行公开将使得能够对用户进行识别的可能性，由CIM 110可以来选择性地公开特征属性，或者选择性地向用户提供关于公开的适宜性的建议，以便符合与该用户相关的风险承受能力。
[0040]公开消费者设备102或其用户的一个或更多特征属性可以使得例如交易节点104能够请求针对该一个或更多特征属性的内容(例如，广告、优惠券、报价等)。例如，假设消费者设备102选择性地向交易节点104广播了用户的两个特征属性“饮食.素食”和“位置.波特兰，俄勒R州”。交易节点104可以例如向内容聚合器108请求针对这些特征属性的内容。内容聚合器108可以搜索它从供应商106获取的针对性内容，以找到针对在俄勒冈州的波特兰的素食风格的餐厅的诸如广告、报价或优惠券这样的针对性内容，并将它们提供给交易节点104。在一些实施例中，针对性内容可以被注入(例如，被内容聚合器108或供应商106注入)了描述该内容所针对的一个或更多属性的元数据。交易节点104继而可以向消费者设备102提供该针对性内容，例如，搜索结果或网页上的横幅广告。
[0041]于是消费者设备102的用户可以有能力参与该针对性内容，例如，通过兑换特定餐厅的优惠券、从特定的素食餐厅订餐，或者通过点击该针对性内容中的一个或更多链接。供应商106或内容聚合器108可以从特定的针对性内容的参与中“了解到”该内容是适合针对这两个特征属性来提供的。经过一段时间以后，这些实体可以继续从随后的针对性内容的用户参与中“学习”，并可以相应地调整将来的针对性内容。
[0042]对一个或更多特征属性进行公开将使得能够对用户进行识别的可能性可以至少部分的基于该特征的相关人口数(例如，共享该特征属性的计算环境或用户)。例如，特征属性“位置.波特兰”在任意给定的时刻可以具有庞大的人口数。然而，在任意给定的时刻，相对少的人将具有特征属性“位置.第五大街和百老汇”。CM 110可以使用特征人口数来决定公开相应的特征属性是否“安全”。如果当前用户的特征属性是“位置.第五大街和百老汇”，那么相比特征属性是“位置.波特兰”，公开前一个特征属性更可能使得能够识别出用户(或精确地找到其位置)。在这种情况下，CIM 110可以禁止或以其他方式阻止消费性设备102提供该特征属性，或者可以例如通过提供粗粒度的位置特性(例如，“俄勒网州”)或者通过在位置中注入熵，来“匿名化”该特征属性。
[0043]可以用各种方式定义用户的风险承受能力。在一些实施例中，可以用一个或更多所谓的“匿名阈值”表示用户的风险承受能力。在公开匿名上下文信息之前，CM 110可以基于将要公开的匿名上下文信息的特征和每个特征的人口数来计算所谓的“匿名指标”。然后，CIM 110可以对该匿名指标和一个或更多适当的匿名阈值进行比较，所述匿名阈值例如与消费者设备102将对其进行公开的实体相关，或与具有将要公开的属性的特征相关。在各种实施例中，可以在阈值数据库118中维护用于实体和特征的匿名阈值。
[0044]用户可以对该用户向其公开匿名上下文信息的实体具有各种信任等级。相应地，在各种实施例中，可以例如由CIM 110针对用户向其公开数据的每个实体，在阈值数据库118中维护一个不同的匿名阈值。例如，与特定供应商106相关的匿名阈值可以例如基于与该供应商106进行交互的历史而反映出相对较高等级的用户信任度。与诸如交易节点104或“发布和订阅”(“P&S”)服务器(图1中未示出，但是在下面进行描述)这样的非信任的实体相关的匿名阈值，可能相当的低。
[0045]用户可以被提供手动配置他们的风险承受能力的能力——例如通过提高或降低与各种实体或特征相关的匿名阈值。然而，对于一些用户而言这种任务过于复杂，并且对于大部分用户而言这种任务太麻烦。相应地，在各种实施例中，隐私管理器124可以确保用户的隐私权益。隐私管理器124可以向用户提供建议，以及/或者可以代表用户来配置CM110，以适当地保护用户的隐私权益，同时仍旧使得用户能够公开或以其他方式提供足够的特征属性，以有助于针对性内容的提供。在一些实施例中，隐私管理器124可以是诸如律师、会计师或财务规划师这样的服务提供者，或诸如公司这样的实体。在其它实施例中，隐私管理器124可以是在消费者设备102上或在别处(例如，网页)上操作的硬件和软件的任何组合。
[0046]在各种实施例中，特征机构120可以用于跟踪共享特征属性的计算环境或用户的数目。在各种实施例中，特征机构120可以向其它网络实体提供特征或以其他方式使其可用于其它网络实体，所述特征包括该它们的属性和人口数。例如，特征机构120可以向CIM110提供特征，例如，使得CM 110能够选择性地公开特征属性，以换取针对消费者设备102或它的用户的内容。特征机构120也可以向诸如供应商106这样的内容提供者或生成者提供特征，例如，使得内容提供者能够选择性地生成针对那些特征的属性的内容。特征机构120可以用硬件和软件的任意组合来实现、实现在单个计算设备上、或者跨越多个计算设备来实现。
[0047]可以出于各种原因用各种方式来创建特征。在各种实施例中，特征机构120可以例如从交易节点104或供应商106接收本体规范,该本体规范包括将被跟踪的计算环境或用户的一个或更多可能的特征属性。例如，交易节点104可以基于用户的行为(例如，用户搜索的关键字等)来选择计算环境或用户属性以便进行跟踪，并且向特征机构120提供作为结果的本体规范。特征机构120可以用于创建特征并且跟踪具有该特征属性的计算设备或用户的数量。
[0048]图2描述了示例性方法200，其可以由例如CM 110在消费者设备102上实现。在块202，CIM 110可以从特征机构120获取特征，包括特征属性和相应的共享那些特征属性的用户或消费者设备的数目。在各种实施例中，特征机构120可以仅仅向能够向特征机构120认证它们自己的计算设备(例如，消费者设备102)提供特征。在一些实施例中，计算设备可以被(例如，在制造期间)预先配置有数据，例如“增强隐私标识符”或“EPID”，所述数据是计算设备向特征机构120认证它们自己时必需的。在一些情况下，可能用任何其它方式都无法使用这种预配置数据。此外，可以使用对称或非对称密钥，对特征机构120提供的特征(例如，认证消费者设备102之后)进行签名，所述密钥在本文中被称为“特征密钥”。
[0049]特征密钥可以是用于支持对数据源进行认证、和/或对该数据本身是可信的进行认证的任何数据。消费者设备102可以使用该特征密钥对它随后公开的特征属性进行签名。以这种方式，接收实体(例如，交易节点104、供应商106)也能够证实该特征属性的真实性。以这种方式使用特征密钥可以阻止未授权方传播错误的特征属性。例如，第一竞争者可以被阻止向第二竞争者提供错误的特征属性，前者试图使第二竞争者误以为该特定的特征属性是存在的并且/或者是引消费者注目的。
[0050]在块204，CIM 110可以从隐私管理器124得到隐私简档。例如，如果隐私管理器124是受雇的服务提供者，他或她可以本地地或远程地操作由CM 110提供的接口，以便配置与该用户相关的一个或更多匿名阈值。如果隐私管理器124是逻辑(在消费者设备102上和/或在别处的硬件和/或软件)，其可以向CM 110提供配置数据，使得CM 110能够对用户或消费者设备102 的特征属性的公开做出决定。
[0051]在块206，CIM 110可以从一个或更多源获取上下文数据，所述源例如在消费者设备102上或在别处，例如是硬传感器114和/或软传感器116。
[0052]在块208，CM 110可以把该上下文信息与它在块202获得的特征关联起来。例如，假设“位置”是从特征机构120得到的特征，并且CM 110从消费者设备102的GPS传感器接收到GPS坐标，指示消费者设备位于俄勒网州的波特兰。CM 110可以把检测到的GPS坐标的值指派为该位置特征的属性，例如，以输出“波特兰”的特征属性度量。如上所述，每个特征可以具有共享该特征属性的相关的用户数或设备数。在这个例子中，用于“位置”特征属性度量“波特兰”的计数可以包括位于、或最后已知位于波特兰的所有用户或设备。
[0053]在公开任何上下文信息之前，CIM 110可以以各种方式来确定该公开将使得能够识别用户的可能性。例如，在块210，CIM 110可以基于将要被公开的一个或更多特征的一个或更多人口数，来计算匿名指标。在各种实施例中，可以使用诸如等式(I)这样的公式来计算匿名指标:

Ii I
[0054]anonymity _ index -1 - ^-


/-(I jog 2(1 i ( I )
[0055]其中，Cii =特征i的人口数；n =特征的个数；并且1、n和d都是正整数。
[0056]在各种实施例中，匿名指标值为I意味着用户是绝对匿名的，而匿名指标值为O意味着该用户可以基于该公开而被唯一地识别出来。在各种实施例中，匿名指标值小于0.8可以表示有很高的风险，对该特征属性进行公开将使得能够对用户进行识别，反之，匿名指标值大于0.9可以被认为是安全的。
[0057]可以假设，从隐私的角度看，被向其公开了一个或更多特征属性的实体可能会保留那些特征属性，以试图将其和后续公开的特征属性一起使用以便识别或定位用户。因此，在各种实施例中，可以基于当前未决的特征属性公开和过去的特征属性公开一起来计算匿名指标。
[0058]例如，在各种实施例中，在向特定实体公开一个或更多特征属性之前，计算匿名指标时，可以把在向该同一实体进行公开之前已计算出的一个或更多特征属性考虑进去，例如，输出一个累积的匿名指标。例如，在各种实施例中，针对向特定实体的以往公开而计算出的平均匿名指标可以与为该实体最近计算出的匿名指标求平均。在各种实施例中，可以使用该累积的匿名指标，而不是最近计算出的匿名指标，来确定公开将使得能够对用户进行识别的可能性。
[0059]再举另外一个例子，向实体公开的特征属性可以被例如CIM 110随着时间进行跟踪。每当用户希望向该实体公开附加的特征属性时，过去的和现在的向该实体的所有公开可以被用作上面公式(I)的输入。例如，用户可以向一个特定供应商106公开三个特征属性。假设该用户之前从未向该供应商106公开过任何特征属性，公式(I)可以被用来计算累积的匿名指标，其中η = 3。后来，用户可能向同一供应商106公开了两个附加的特征属性(例如，不同于与之前公开的三个特征属性)。在那时，可以使用三个之前公开的特征属性(包括它们在公开时的相关的人口数)和两个新的特征、以及η = 5，使用公式(I)来计算累积的匿名指标。这样，用户随着时间向特定实体公开了越多的特征属性，匿名指标可能就越接近匿名阈值。
[0060]回到图2，CIM 110然后可以确定对特征属性进行公开将使得能够实现用户识别的可能性是否与该用户的风险承受能力相称。例如，在块212，CIM 110可以确定在210计算出的匿名指标是否小于与特定的接受实体相关的、或与具有要公开的属性的特征相关的匿名阈值。尽管在图2中没有示出，在一些实施例中，CM 110也可以考虑计算机系统(例如，路由器、防火墙和/或网关)和/或将通过其传递被公开的属性的网络的安全等级。
[0061]如果在块212答案为是，则在块214，CIM 110或者可以使得消费者设备102能够向一个或更多远程计算设备公开一个或更多特征属性，或者可以向用户提供关于该公开将符合该用户的风险承受能力的建议。例如，如果用户正在访问交易节点104(例如，使用万维网浏览器)，CM 110可以向交易节点104提供一个或更多非用户标识的特征属性，或者通知该用户这样做将会是“安全的”。
[0062]在各种实施例中，假设在块214公开了特征属性，CIM 110可以首先改变或混淆消费者设备102的网络地址(例如，IP地址)，例如通过使用随机化或使用网络地址转换。这可以防止交易节点104能够基于来自消费者设备102的用于提供匿名上下文信息的通信而识别出消费者设备102。此外或作为选择，CIM 110可以使得消费者设备102能够广播(或多播)匿名上下文信息，例如经由P&S服务器。在块216，CIM 110可以更新匿名指标以反映该公开。
[0063]然而，如果在块212答案为否，则在块218，CIM 110可以确定是否可以对将要被公开的属性“匿名化”，以降低该公开将使得能够实现用户识别的可能性。可以用各种方法对匿名上下文信息进行匿名化。例如，可以使用熵注入(例如，随机化GPS坐标、网络地址或其它标识符)，或可以改变(例如，添加、排除、修改、混淆、替换)匿名上下文信息的特征属性。例如，具有大的人口数的特征属性可以被添加到被公开的数据中。再举另外一个例子，具有少量人口的特征属性(例如，爱好爱尔兰民谣)可以被抽象成具有大量人口的属性(例如，爱好音乐)。
[0064]匿名化之后，方法200可以继续返回到块210-212，其中CM 110可以再次计算匿名指标并确定其是否小于与特定接受实体或将要被公开的特征属性相关的匿名阈值。如果答案为是，则所述方法可以进行到块214，如上所述。
[0065]然而，如果答案仍旧为否，则在块218，CM 110可以确定该数据是否能够被进一步匿名化。如果答案为是，则在块220，匿名上下文信息可以再次被匿名化，并且在块210-212重新对其进行检查。但是如果在块218答案为否，则在块222，CIM 110或者可以代表用户作出决定并拒绝提供匿名上下文信息，或者CM 110可以向用户提供建议，指出公开匿名上下文信息造成用户识别的风险，不符合用户的风险承受能力。
[0066]不管CM 110是用原始格式或匿名化格式提供匿名上下文信息，还是拒绝提供该匿名上下文信息，消费者设备102可以等待接收针对性内容。在块214，如果消费者设备102提供了匿名上下文信息，则所接收的针对性内容可以是基于匿名上下文信息。如果在块222，消费者设备102拒绝提供该匿名上下文信息，则所接收的针对性内容可以基于消费者设备102在其它时间提供的其它匿名上下文信息。
[0067]在块224，消费者设备102可以例如从代表内容聚合器108和/或供应商106的交易节点104、或从P&S服务器(下面描述)接收针对性内容。例如，消费者设备102可以接收诸如电子邮件或文本这样的通信，或者如果正在访问一个入口，则可以向消费者设备120呈现要被显示在入口的网页的页边处的针对性广告。
[0068]在块226，CIM 110可以判断用户是否可能会对接收到的针对性内容感兴趣。可以基于各种信息来做出该判断，所述各种信息例如是用户或消费者设备102的一个或更多特征、从硬传感器114和/或软传感器116获取的上下文数据、注入到针对性内容中(例如，由供应商106注入)的元数据等。如果答案为否，则CIM 110可以使得该针对性内容不能供用户进行消费(例如，过滤掉垃圾邮件、避免在页边显示广告单元)，并且方法200可以结束。
[0069]然而，如果在块226答案为是，则在块228，CIM 110可以判断下述的可能性:参与针对性内容(例如，购买商品或服务、点击链接、兑换优惠券等)将使得能够识别用户。可以基于各种经验数据做出这种判断。例如，CIM 110可以判断以下的可能性:使用特定的支
付技术(例如，数字现金、信用卡、Paypal? )购买商品或服务将使得能够识别用户。
[0070]在块230，CIM 110可以判断参与该针对性内容将使得能够识别用户的可能性是否超过了该用户的风险承受能力。如果在块230答案为是，则在块232，CM 110可以阻止参与该针对性内容。例如，CM 110可以使得向用户提供一个通知(例如，通过弹出窗口)，其建议用户不要兑换优惠券或点击链接。然而，如果在块230答案为否，则在块234，CM 110可以推荐、或以其他方式批准用户参与该针对性内容。在一些实施例中，在参与之前，CIM 110可以例如使用随机化或网络地址转换来改变或混淆消费者设备102网络地址(例如，IP地址)。这可以阻止供应商106能够基于来自消费者设备102的、用于参与该针对性内容的通信，来识别消费者设备102。
[0071]图3描述了消费者设备102参与和网络上多个不同实体进行交换，并且图3说明了根据本公开的实施例中的各种方面。消费者设备102，例如经由CM 110，可以使用用户或消费者设备102的一个或更多特征属性来参与P&S交换。描述了与这些方面有关的消费者设备102的组件；图1中的其它组件可以不、或可以出现在消费者设备102中。同样，图3中示出了可在消费者设备102中找到的一些附加的组件，而它们并未在图1中示出(尽管如此，但是可以不、或可以出现)。例如，消费者设备102可以包括一个或更多处理单元，在图3中被描述为一个或更多处理核心302。一个或更多处理核心302可以运行消费者应用105。一个或更多处理核心302可以被耦合到芯片组306 (或在一些情况下，片上系统，或“SoC”)。
[0072]芯片组306可以包括在图3中没有描述但在芯片组或SoC上经常发现的各种组件，例如，输入/输出端口、控制器、存储器等。在各种实施例中，芯片组306可以包括硬传感器114，例如GPS和该公开的全文描述的其它传感器。在该特定实施例中，芯片组306也可以包括TEE 112。然而，在其它实施例中，诸如使用TXT、VT-x、信任区或其他基于泛在识别码隔离机制来实现TEE 112这样的实施例，TEE 112可以位于其它地方，例如在多个核心302 中。
[0073]在各种实施例中，CM 110可以用于向各种实体(例如，特征机构120)认证消费者设备102。消费者设备102可以包括用安全的方式存储各种数据的安全存储308。在一些实施例中，安全存储308可以远离消费者设备102，并且可例如通过安全协议进行访问。在其它实施例中，安全存储308可以是消费者设备102的一部分，可例如从TEE 112内对其进行访问。
[0074]在各种实施例中，上述EPID可以被存储在安全存储308中。EPID可以被CM 110用来例如向特征机构120建立消费者设备102的可信度，或者用来使例如特征机构120“认可”消费者设备102，而不会使得能够识别出消费者设备102的用户和/或消费性102自身。在各种实施例中，EPID，并且尤其是EPID私钥，可以例如在制造期间被提供给消费者设备102。在一些实施例中，EPID私钥可以被存储在安全存储308中。在各种实施例中，EPID私钥可能是难以与其它私钥区分开的。因此，使用EPID私钥对通信进行前面可以不公开关于用户或消费者设备102的个人信息。
[0075]在各种实施例中，EPID公钥可以由例如CM 110或原始设备制造商(“OEM”)进行分发，以验证诸如特征机构120这样的实体。单一 EPID公钥可以有助于对多个相应的EPID私钥进行的验证。验证实体能够确定特定的私钥是有效的。然而，在各种实施例中，验证实体可能无法识别出哪个消费者设备102提供了该EPID私钥。因此，消费者设备102的用户的身份依然是受保护的。
[0076]如上所示，在一些实施例或情况下，消费者设备102可以经由P&S范例广播或以其他方式提供匿名上下文信息。P&S服务器316可以用于提供诸如消费者设备102的用户这样的“订阅者”和诸如被向其提供匿名上下文信息的供应商106和其它实体这样的“发布者”之间的“通道”。在一些实施例中，用户可以订阅他们感兴趣的通道。供应商106和其它发布者(例如，内容聚合器108，交易节点104)可以向通道、而不是直接向订阅者发布消息。在一些实施例中，替代P&S服务器316，或除了 P&S服务器之外，可以使用多播路由器(未示出)。
[0077]在各种实施例中，CM 110可以用于向P&S服务器316提供已签名的特征属性。已签名的特征属性可以包括用户或消费者设备102的一个或更多特征属性、连同数字签名或用于验证关于该特征的用户或计算设备/环境的其它类似数据。在各种实施例中，可以用特征密钥对特征属性进行签名。如上所述，特征密钥可以被各种实体(例如，P&S服务器316或供应商106)使用，以验证特征属性是例如由合法特征机构进行跟踪的合法特征的一部分，而不是被传播以例如产生特征属性具有大量人口的假象的非法特征。在各种实施例中，特征机构120跟踪的每个特征可以具有它自己的特征密钥，该特征密钥仅提供给能够认证它们自己的消费者设备102，并且提供给诸如供应商106或交易节点104这样的可以用各种方式进行认证的其它实体。在特征可以被表示为一个分类(例如，汽车一红色一四个门一手动)的实施例中，该分类的每个等级具有它自己的特征密钥。
[0078]在各种实施例中，例如，特征机构120可以把消费者设备102提供的特征属性与具有该相同特征属性的其它消费者设备订阅的一个或更多通道联系起来。在一些实施例中，CIM 110可以用于仅允许订阅与具有符合消费者设备102的用户的风险承受能力(例如，匿名阈值)的特征相关的通道。
[0079]图4描述了示例性P&S交换400。在该示例中，CM 110可以首先向P&S服务器316提供匿名上下文信息。P&S服务器316反过来可以向其它实体广播该匿名上下文信息。在其它实施例中，CM 110可以直接广播匿名上下文信息。然而，CIM 110直接进行广播可能造成将能够对用户进行识别的较高风险(例如，通过IP地址或其它可能被包含在这样的广播中的标识信息，而用户并不知情)。另一方面，通过P&S服务器316来广播匿名上下文信息可以增加一层隐蔽，并且降低了公开将使得能够实现用户识别的可能性。
[0080]在箭头402，CIM 110可以例如向P&S服务器316进行注册，以发布包括一个或更多特征属性的匿名上下文信息。在箭头404，P&S服务器316可以例如向CM 110提供“签名撤销列表”或“SigRL”。CIM 110可以使用SigRL向P&S服务器316证明消费者设备102是合法的(例如，没有受到中间人攻击的损害)同时保持该用户的匿名性。在箭头406，CIM110可以例如向P&S服务器316提供已签名的特征数据。在一些实施例中，可以使用特征密钥对特征数据进行签名。在一些实施例中，可以使用EPID私钥对特征数据进行签名。在箭头408，P&S服务器316可以向诸如供应商106这样的发布者广播该已签名的特征属性。
[0081]如上所述，CM 110可以向特征机构120认证消费者设备102。可以使用各种认证和/或验证协议，以有助于在消费者设备102和特征机构120之间安全交换可能的特征。在各种实施例中，可以使用这些协议阻止中间人攻击及其它。
[0082]图5描述了一个示例性交换500，其可以实现在CM 110和特征机构120之间，以有助于特征密钥的安全提供。这是一个被称为“SIGn and MAc”或“SIGMA”交换的示例，其中客户机端点终止于TEE 122中。在各种实施例中，可以使用签名的Diffie-Hellman协议实现交换500。在其它实施例中，可以使用其它交换协议。
[0083]在箭头502，CM 110可以例如向特征机构120提供SIGMA SI消息。在各种实施例中，SIGMA SI消息可以被例如消费者设备102使用它的EPID私钥进行了签名。例如，在各种实施例中，充当“证明者”的CM 110可以选择随机值a，作为其暂时的Diffie-Hellman( “DH”)密钥。然后CMllO可以计算ga作为它的暂时的DH公钥。CIM 110可以向验证者(在本例中是特征机构120)发送它的当前EPID密钥的组ID和ga。在各种实施例中，CIM 110也可以附加一条在线证书状态协议(“OCSP”)请求。
[0084]在箭头504，特征机构120可以例如向CIM 110提供SIGMA S2消息，该消息可以是使用随机基标识符生成的。例如，在各种实施例中，特征机构120可以根据下列内容生成并传送SIGMA S2消息:
[0085]I)特征机构120可以选择随机值b，作为它的暂时的DH私钥
[0086]2)特征机构120可以计算gb作为它的短暂的DH公钥
[0087]3)特征机构120可以计算gab = (ga)b
[0088]4)特征机构120可以导出保密性MACing密钥(“SMK”)、保密性密钥(“SK”)和MACing 密钥(“MK”)
[0089]5)特征机构120然后可以确定与CM 110的组ID对应的SIG-RL
[0090]6)特征机构120可以为协议选择基名，或者它可以为基于随机的签名设置基名0x00
[0091]7)特征机构120可以使用SMK来计算SIG-RL的MAC、基名、OCSP请求、OCSP响应(多个)和Certver [0092]8)特征机构120可以使用它的签名密钥对(ga| |gb)进行签名，以产生Sig (ga I |gb)
[0093]9)特征机构120可以例如使用在SI消息中交换的OCSP随机数，从一个或更多OCSP响应者服务器请求η个OCSP响应。在一些情况下，η可以是在特征机构的证书链中证书的个数。在一些情况下，η个OCSP响应可以覆盖验证者证书链中η个证书。在各种实施例中，特征机构120可以等待来自CIM 110的OCSP响应，并且在接收之后可以验证该响应
[0094]10)特征机构120可以向CM 110发送下列内容:[gb、基名、OCSP请求、Certver,SIG-RL, OCSP 响应]和 Sig (ga I |gb)。
[0095]在各种实施例中，CM 110可以验证接收到的SIGMA S2消息。在一些实施例中，CM110可以使用与下列内容类似的步骤来验证该数据:
[0096]DCIM 110 可以计算 gab = (gb)a
[0097]2) CM 110可以导出SMK、SK和MK，如上所述
[0098]3)CIM 110可以使用例如由位于加利福尼亚的圣克拉拉的英特尔公司在制造期间安装的例如英特尔验证密钥(“IVK”)来验证Certve,链中的第一个证书
[0099]4) CIM 110 可以使用 SMK 验证基名的 MAC、OCSP 请求、CertVOT、SIG-RL 和 OCSP 响应(若有的话)
[0100]5) CM 110可以验证η个OCSP响应(如果需要)
[0101]a)如果CM 110在使用OCSP响应提供可信时间，则响应可以是非缓存的并且，例如在发送Si消息的两分钟之内被返回。如果存在多个OCSP响应，CM 110接收的第一 OCSP响应的产生的时间戳可以被用作可信时间
[0102]b)如果CM 110在接受非缓存响应，响应中的时间戳可以比例如一天短
[0103]6)CIM 110可以使用Certvw中的验证者的公钥来验证(ga| I gb)的签名
[0104]验证特征机构的证书之后，在箭头506，CIM 110可以生成并例如向特征机构120提供SIGMA S3消息。在各种实施例中，SIGMA S3消息可以包括描述TEE 112的软件和/或硬件配置的信息，在一些情况下其包括TEE 112支持特征提供的能力。例如在各种实施例中，CIM 110可以根据下列内容生成并例如向特征机构120提供SIGMA S3消息:
[0105]1)CM 110可以使用SMK来计算整个S3消息的MAC，例如，以产生[Tasklnfo gaEPIDCertprvr EPIDSig (ga gb)]SMK
[0106]2)CIM 110可以使用它的当前的EPID密钥和基名来对(ga| gb)进行签名，例如，产生 EPID-Sig (ga I |gb)
[0107]EPID签名可以包括基于SIG-RL的非撤销的证据
[0108]3) CIM 110 可以向特征机构 120 发送[Tasklnfo |ga| EPIDCertprvr EPIDSig (ga
gb)]SMK
[0109]在各种实施例中，特征机构120可以使用SIGMA S3消息来确定CMllO是否能够保护特征。例如在各种实施例中，特征机构120可以根据下列内容来验证SIGMA S3消息:
[0110]I)特征机构 120 可以使用 SMK 来验证[Tasklnfol |ga| EPIDCertprvr EPIDSig (ga
gb)]SMK
[0111]2)特征机构120可以验证ga与在SIGMA SI消息中接收到的相同
[0112]3)特征机构120可以使用IVK来验证EPID组证书Certpm
[0113]4)特征机构120可以验证(ga I I gb)的EPID签名，包括撤销检查
[0114]5)特征机构120可以验证没有被所有验证者请求的Tasklnfo结构
[0115]在箭头508，CIM 110可以例如向特征机构120请求特征目录列表。在块510，特征机构120可以例如向CM 110提供所请求的特征目录列表。在箭头512，CIM 110可以例如向特征机构120提供一个或更多选定的特征，例如消费者设备102可以订阅的特征。被订阅的特征可以与EPID相关(例如被签名)，而不是与消费者设备102或它的用户相关。用这种方式，特征机构120能够记录特定特征的一个新成员(例如，通过对人口数加1)，而不知道用户的身份。
[0116]在箭头512，特征机构120可以例如向CIM 110提供用于所选定的特征的特征密钥。在一些实施例中，特征机构120可以例如基于EPID公钥，为每个特征生成一个单独的特征密钥。在一些实施例中，特征机构120可以生成并例如向CM 110提供用于每个订阅的特征的单独的EPID私钥。
[0117]这些技术可以使得能够用多种方法阻止盗贼传播错误特征。例如，如果单独的EPID私钥被用于每个特征，则即使盗贼获得了用于一个特征的EPID私钥，该盗贼不能向另一种特征认证它自己。此外或作为选择，EPID密钥结合特征基名可以被用来阻止类似的问题。
[0118]完成图5的数据交换之后，CM 110可以终止SIGMA会话。同时，特征机构120可以更新与CIM 110所订阅的特征相关的计数值，例如，给计数值加I。
[0119]在各种实施例中，SIGMA协议可以用于其他情形，例如当CIM 110向P&S服务器316提供已签名的特征属性时。在一些这样的情况下，SIGMA基名可以包含表示将要公开的特征属性的分类的特征属性路径(例如，“车辆一皮卡一加长车厢”)。不是用针对路径的最细粒度特征属性(例如，“加长车厢”)的特征密钥进行签名，CIMllO可以用双亲特征(例如，车辆)的密钥进行签名。
[0120]回到图3，CM 110可以向消费者应用105提供已签名的特征属性。消费者应用105继而可以将该已签名的特征属性提供给其它实体，诸如供应商106和/或P&S服务器316。在其中消费者应用105使用P&S服务器316来广播已签名的特征属性的一些实施例中，如图3所示，CIM 110可以使用EPID命名的基(EPID-named base)来对该特征属性进行数字签名。在消费者应用105使用广播网络来广播已签名的特征数据的实施例中，CM 110可以使用针对特定特征的EPID来对特征数据进行数字签名。用这种方式对特征签名可以使得诸如P&S服务器316这样的实体能够跟踪特征公开统计，而不能够实现用户识别。
[0121]P&S服务器316可以向诸如供应商106这样的实体广播已签名的特征属性。在各种实施例中，供应商106可以验证从消费者设备102接收到的匿名上下文信息。例如，供应商106可以使用EPID公钥或者例如经由信任锚点提供方案从特征机构120获取的特征密钥，来对一个或更多已签名的特征进行验证。如果供应商106确定从消费者设备102接收到的已签名的特征属性是不可信的，其可以指示可能误用了特征密钥。在这种情况下，供应商106可以通知特征机构120。然而，如果供应商106成功地验证了已签名的特征属性的真实性，则供应商106可以处理该特征以用于电子商务中，例如通过生成或请求针对被验证的特征的内容。
[0122]图6描述了示例性场景600，其中P&S服务器316和其它实体可以有助于生成并向消费者设备102提供针对性内容。供应商106可以生成针对各种特征属性或特征属性的组合的内容(例如，广告、报价、优惠券)。在各种实施例中，供应商106可以向特定的订阅者类发布针对性内容，所述特定的订阅者类由P&S服务器维护并与一个或更多特征相关。P&S服务器316继而可以向订阅该特定类的消费者设备102广播该针对性内容。这可以避免把要求用户认证作为接收针对性内容的先决条件。
[0123]在各种实施例中，供应商106可以用于生成针对消费者设备102或它的用户的临时特征属性的内容。例如，供应商106可以向离供应商106的实体店至少有预定距离(例如，通过GPS测量)的消费者设备102订阅的P&S服务器316的特征通道提供包含小折扣的第一报价。供应商106可以向离供应商106的实体店比预定距离短的消费者设备102订阅的P&S服务器316的特征通道提供包含更高折扣的第二报价。该更高折扣可以吸引已经靠近实体店位置但犹豫不决的消费者进入并兑换该第二报价。作为另一个例子，食品供应商106可以向在线日历显示其比预定的时间间隔长没有吃东西的用户订阅的P&S服务器特征通道提供有折扣的报价。
[0124]在各种实施例中，CM 110可以用于过滤从P&S服务器316接收到的广播内容，例如，如在图2的块226所描述的。不需要的内容(例如，垃圾邮件)可以被过滤掉，例如由CIM 110基于隐私简档126、用户或消费者设备的属性等进行过滤，因此只有满足用户的隐私简档126的内容被呈现给用户来消费。例如，假设消费者设备公开了一个特征属性“上次进餐时间”，其发生在7个小时之前。用户的消费者设备102可以从上述食品供应商106接收报价。然而，CIM 110可以例如基于用户配置的设置、过去的购买历史或当前的特征属性度量(例如，用户具有特征属性〈位置，“Sal’s用餐”>)，确定用户对食品报价不感兴趣。在这种情况下，CIM 110可以把该接收到的报价当作垃圾邮件丢弃。
[0125]在各种实施例中，CM 110可以用于检测参与特定针对性内容的隐私含义，并且向用户提出适当的建议，如图2的框228-234所示的。例如，假设特定的针对性内容向具有下列三种特征属性A = {隶属特定的团体}、B = {超过特定的年龄}、和C = {位于特定的州}的用户以40%折扣对产品X进行报价。CM 110可以分析包含这些属性和相关计数的特征进行分析，以确定在这些特征属性的交集(例如，AHBnc)中的成员人数将使得能够识别用户的可能性。如果可能性太高(例如，比在阈值数据库128中列出的匿名阈值更高)，则CM 110可以阻止或劝阻用户参与该针对性内容(例如图2的块230)，尽管事实上用户可能对相同产品不得不支出更多。否则，CIM 110可以通知用户参与该针对性内容是“安全的”，例如如图2的块234所述的。
[0126]回到图6，用户可以通过操作消费者应用105来提交购买订单给例如购物车服务604，从而参与到该针对性内容中。购物车服务604可以用作一个或更多供应商106的“中间人”。在各种实施例中，购物车服务604可以向供应商106提供付款。在其它实施例中，供应商106自己可以运营内部购物车服务，放弃诸如购物车服务604这样的中间人。在这种情况下，消费者应用105可以直接向供应商106提交购买订单并且/或者付款。在一些这样的实施例中，消费者设备102可以例如使用随机化或网络地址转换来改变或以其他方式混淆它的IP地址，以防供应商106能够使用消费者设备102的IP地址来识别该消费者设备102。
[0127]在各种实施例中，供应商106可以用于从被参与的针对性内容中进行“学习”。例如，有越多的用户参与针对一个特定特征属性或多个特征属性的组合的广告，供应商106可以更有把握知道所选择的特征属性或特征属性组合是引人注目的目标。供应商106可以进一步基于后续的用户参与来生成并细化针对性内容，以便将来的用户有更吸引人的体验，并且供应商106的市场效果越来越成功。
[0128]图7描述了可以在各种实施例中由诸如供应商106、广告商(未示出)等这样的内容生成者/提供者实现的示例性方法700。在块702，供应商106可以例如从特征机构120和/或CM 110得到匿名上下文信息。
[0129]在块704，供应商106可以例如通过验证与数据相关的特征机构域、特征名称和/或特征密钥，来验证该匿名上下文信息的真实性。在一些实施例中，例如，供应商106可以使用EPID公钥来对EPID签名进行验证。在各种实施例中，供应商106可以用于例如通过使用诸如X.509证书这样的各种密钥来安全地从特征机构120获取公钥。在其他实施例中，供应商106可以实现验证者一方的SIGMA协议。例如，供应商106可以使用特征机构120的证书，对特征名称/密钥和来自消费者设备102的值“b”进行验证。然后，供应商106可以完成针对从P&S服务器316 (或多播路由器)接收到的已签名的特征数据的SIGMA会话。因为“b”可以被在多个供应商106中共享，对每个供应商106而言，SIGMA会话密钥可以是相同的。这可以缓解对消费者设备102管理针对每个供应商106的成对的会话密钥的需求。
[0130]在块706，供应商106可以分析匿名上下文信息的一个或更多特征属性。在各种实施例中，供应商106可以假定对于提供该匿名上下文信息的用户或者对于其他用户，特征属性的那种组合会引人注目。例如，供应商106可以识别包括该匿名上下文信息的一些或所有特征属性的人口统计。
[0131]这种假设也可以是基于其它信息的。例如，特征机构120可能不知道哪些特定的用户或计算环境具有哪些特定属性，因此不能够确定共享两种不同属性的用户或计算环境的人口数。于是，在各种实施例中，特征机构120可以用于估计共享第一特征属性的用户或计算环境和共享第二特征属性的用户或计算环境二者的并集的人口数。在各种实施例中，这种估计可以是基于例如经由针对焦点团体的调查而获取的所采集的数据样本。
[0132]在块708，供应商106可以例如基于该分析，生成针对性内容(例如，广告、优惠券、报价等)。在块710，供应商106可以向可能感兴趣的用户的消费者设备102广播该生成的内容。例如，供应商106可以向P&S服务器316提供该内容。然后P&S服务器316可以向订阅了对应该假定的特征属性的通道的消费者设备102提供该针对性内容。
[0133]图8描述了 CM 110和诸如供应商106这样的内容生成或内容提供实体可以如何向P&S服务器316进行注册，以有助于与图6中描述的电子商务交易类似的电子商务交易以及图7的方法700的操作的示例。在箭头802，CIM 110可以例如向P&S服务器316进行注册，以便接收针对性内容，例如通过提供匿名上下文信息来接收该针对性内容。在各种实施例中，CIM 110可以首先确定公开该匿名上下文信息将使得能够实现用户识别的可能性没有违反用户的风险承受能力，如图2所示，在块210-222进行的处理。
[0134]在箭头804，P&S服务器316可以例如向CM 110提供对应于特定P&S通道的P&S密钥。在各种实施例中，箭头802和804表示的交换可以使用类似上述一种SIGMA交换的SIGMA交换来实现。在各种实施例中，P&S密钥可以被例如CM 110用来验证供应商106被授权加入市场。在箭头806，P&S服务器316可以例如向CM 110提供针对该P&S通道的特征属性的内容。
[0135]类似的交换可以发生在诸如供应商106这样的内容生成或提供实体和P&S服务器316之间。在箭头808，供应商106可以例如向P&S服务器316进行注册，以便发布针对性内容，并且/或者提供供应商公钥。在箭头810，P&S服务器316可以例如向供应商106提供用在箭头806被提供给CIM 110的相同的发布-订阅密钥进行签名的供应商公钥。在各种实施例中，可以使用与上述描述的一种SIGMA交换相似的SIGMA交换或传输层安全(“TLS”，原来被称为安全壳，或“SSH”)，来实现箭头808和810表示的交换。
[0136]在箭头812，供应商106为了分发给用户可以例如向P&S服务器316提供针对P&S通道的内容。在各种实施例中，针对性内容可以用供应商的私钥进行签名，并且供应商的公钥可以用发布-订阅密钥来签名。CM 110可以利用发布-订阅密钥(其是在箭头806接收到的)来验证和/或解密该供应商公钥。然后CM 110可以使用该供应商公钥来验证和/或解密用供应商私钥签名的针对性内容。在一些实施例中，供应商106可以向该针对性内容中注入元数据，例如，其标识该内容针对的一个或更多特征。
[0137]图9说明了根据各种实施例的示例性计算设备900。消费者设备102或文中所述的另外的网络实体(例如，104、106、108、120、316)以及全部或部分计算环境可以在诸如计算设备900这样的计算设备上实现。计算设备900可以包括多个部件、一个或更多处理器904和至少一个通信芯片906。在各种实施例中，该一个或更多处理器904每一个可以是处理器核心。在各种实施例中，该至少一个通信芯片906可以被物理地或电气地耦合到该一个更多处理器904上。在进一步实现中，通信芯片906可以是该一个或更多处理器904的一部分。在各种实施例中，计算设备900可以包括印刷电路板(“PCB”)902。对于这些实施例，该一个或更多处理器904和通信芯片906可以布置在PCB902上。在替代的实施例中，可以耦合各种部件而不使用PCB902。
[0138]取决于它的应用，计算设备900可以包括其它部件，所述其它部件可以或可以不物理地或电气地耦合到PCB902。这些其他部件包括但并不限于易失性存储器(例如，动态随机存取存储器908，也被称作“DRAM”)、非易失性存储器(例如，只读存储器910、也被称作“ROM”)、闪速存储器912、输入/输出控制器914、数字信号处理器(未示出)、加密处理器(未示出)、图形处理器916、一个或更多天线918、显示器(未示出)、触屏显示器920、触屏控制器922、电池924、音频编解码器(未示出)、视频编解码器(未示出)、全球定位系统(“GPS”)设备928、温度计(未示出)、盖革计数器(未示出)、指南针930、气压计932、摄像机934、大容量存储设备(例如硬盘驱动器、固态驱动器、光盘(“⑶”)、数字通用光盘(“DVD”))(未示出)、加速计936、陀螺仪938等。在各种实施例中，处理器904可以和其它部件被集成到同一管芯上来形成SoC。
[0139]在各种实施例中，易失性存储器(例如，DRAM908)、非易失性存储器(例如，ROM910)、闪速存储器912和大容量存储设备可以包括程序指令，其用于使得计算设备900能够响应一个或更多处理器904的执行，实施方法和/或数据交换200、400、500、700或800的所有或选定的方面，这取决于计算设备900是用于实现消费者设备102、特征机构120、P&S服务器316、供应商106还是本文描述的其它实体。更具体地，诸如易失性存储器(例如，DRAM908)、非易失性存储器(例如，ROM 910)、闪速存储器912和大容量存储设备这样的一个或更多存储器部件可以包括指令的临时或持久性副本，所述指令当由一个或更多处理器904执行时，使得计算设备900能够操作用于实施方法和/或数据交换200、400、500、700或800的全部或选定的方面的一个或更多模块940，这取决于计算设备900是被用于实现消费者设备102、特征机构120、P&S服务器316、供应商106还是本文描述的其它实体。在各种实施例中，一个或更多处理器904连同部分易失性存储器(例如，DRAM908)、非易失性存储器(例如，R0M910)和/或闪速存储器912可以用于为前述的可信执行环境112提供安全分区。
[0140]通信芯片906能够进行有线的和/或无线的通信，来向计算设备900传送数据并且从其接收数据。术语“无线”和它的派生词可以被用来描述可以通过使用调制的电磁辐射在非固体介质中传送数据的电路、设备、系统、方法、技术、通信信道等。该术语没有暗示相关的设备不包含任何线缆，尽管在一些实施例中它们可能没有线。通信芯片906可以实现多种无线标准或协议中的任意一种，所述多种无线标准或协议包括但并不限于，IEEE902.20、通用分组无线业务(“GPRS”)、演进数据最优化(“Ev_D0”)、演进的高速分组接入(“HSPA+”)、演进的高速下行链路分组接入(“HSDPA+”)、演进的高速上行链路分组接入(“HSUPA+”)、全球移动通信系统(“GSM”)、增强型数据速率GSM演进(“EDGE”)、码分多址(“CDMA”)、时分多址(“TDMA”)、数字增强无绳通信(“DECT”)、蓝牙、它们的派生标准或协议、以及被指定为3G、4G、5G及其以后使用的任何其它无线协议。计算设备900可以包括多个通信芯片906。例如，第一通信芯片906可以专用于诸如W1-Fi和蓝牙这样的近距离无线通信，而第二通信芯片906可以专用于诸如GPS、EDGE、GPRS、CDMA、WiMAX、LTE,Ev-DO等等这样的远距离无线通信。
[0141]在各种实现中，计算设备900可以是膝上型计算机、上网本、笔记本、超级本?、智能电话、平板计算机、个人数字助理(“PDA”)、超级移动电脑、移动电话、台式计算机、服务器、打印机、扫描仪、监视器、机顶盒、娱乐控制单元(例如，游戏控制台)、数码相机、便携式音乐播放器、或数字视频录像机。在进一步实现中，计算设备900可以是处理数据的任何其它电子设备。[0142]本文中针对CIM描述了装置、程序包、计算机实现的方法、系统、设备和计算机可读介质(暂态的或非暂态的)的实施例，所述CIM用于确定对用户的或与该用户相关的计算环境的属性进行公开将使得能够对该用户进行识别的可能性，该可能性的确定基于共享该相同属性的用户或计算环境的相关人口数。在各种实施例中，例如，CIM可以选择性地向用于生成和/或提供针对性内容的内容提供者公开该属性。在各种实施例中，例如，CIM可以选择性地向用户提供关于该用户是否应该向内容提供者公开该属性的建议。在各种实施例中，选择性地公开和/或选择性地提供建议可以基于该确定以及与该用户相关的风险承受能力。
[0143]在各种实施例中，CIM可以进一步用于从特征机构获取一个或更多特征，该一个或更多特征中的每个特征包括用户或计算环境属性、以及共享该属性的用户或计算环境的相关人口数。在各种实施例中，CIM可以用于使用EPID向特征机构认证它自己，以有助于在不向特征机构公开用户的身份的情况下，特征机构向CIM安全提供多种特征。在各种实施例中，获取和认证可以在计算设备的可信执行环境中执行。在各种实施例中，该获取和认证可以作为SIGMA交换的一部分来执行。
[0144]在各种实施例中，多个特征可以包括多个特征密钥，其有助于上下文信息管理器对该多个特征进行认证。在各种实施例中，用户或计算环境属性可以包括计算设备的传感器捕捉的数据。在各种实施例中，传感器可以包括加速计、GPS单元、气压计、摄像机、指南针和/或陀螺仪。在各种实施例中，用户或计算环境属性可以包括用户的密切关系、关于用户的人口统计信息、或用户的活动历史。
[0145]在各种实施例中，选择性地公开属性可以包括通过发布和订阅服务器来公开用户或计算环境属性。在各种实施例中，选择性地公开属性可以包括向发布和订阅服务器注册该属性。在各种实施例中，注册可以包括订阅已被共享该用户或计算环境属性的其它用户和/或计算环境订阅的发布和订阅通道。
[0146]在各种实施例中，风险承受能力可以包括与内容提供者或者用户或计算环境属性相关的匿名阈值。在各种实施例中，选择性地公开属性或建议可以包括比较基于相关人口数的匿名指标与匿名阈值。
[0147]在各种实施例中，用户或计算环境属性和相关人口数可以一起构成考虑公开的η个特征中的其中一个特征，η是正整数。η个特征中的每一个特征可以包括用户的或与该用户相关的计算环境的属性。在各种实施例中，使用该公式计算匿名指标:
【权利要求】
1.至少一种非暂态计算机可读介质，其包括指令，响应于计算设备执行所述指令，所述指令使得所述计算设备能够操作上下文信息管理器，所述上下文信息管理器用于: 确定对用户的或与所述用户相关的计算环境的属性进行公开将使得能够对该用户进行识别的可能性，该可能性的确定基于共享相同属性的用户或计算环境的相关人口数；以及 基于所述确定以及与所述用户相关的风险承受能力，选择性地向用于提供针对性内容的内容提供者公开所述属性，或选择性地向所述用户提供关于所述用户是否应该向所述内容提供者公开所述属性的建议。
2.根据权利要求1所述的至少一种非暂态计算机可读介质，其中，所述上下文信息管理器还用于:从特征机构获取一个或更多特征，所述一个或更多特征中的每个特征包括用户或计算环境属性、以及共享该属性的用户或计算环境的相关人口数。
3.根据权利要求2所述的至少一种非暂态计算机可读介质，其中，所述上下文信息管理器还用于:使用增强隐私标识符(“EPID”)向所述特征机构认证自己，以有助于在不向所述特征机构公开所述用户的身份的情况下，所述特征机构向所述上下文信息管理器安全提供所述多个特征。
4.根据权利要求3所述的至少一种非暂态计算机可读介质，其中，所述获取和认证是从所述计算设备的可信执行环境内部执行的。
5.根据权利要求4所述的至少一种非暂态计算机可读介质，其中，所述获取和认证是作为sign-and-mac( “SIGMA”)交换的一部分来执行的。
6.根据权利要求2所述的至少一种非暂态计算机可读介质，其中，所述多个特征包括多个特征密钥，其有助于由所述上下文信息管理器认证所述多个特征。
7.根据权利要求1所述的至少一种非暂态计算机可读介质，其中，所述用户或计算环境属性包括由所述计算设备的传感器捕捉的数据。
8.根据权利要求7所述的至少一种非暂态计算机可读介质，其中，所述传感器包括下述中的至少一个:加速计、全球定位系统(“GPS”)单元、气压计、摄像机、指南针或陀螺仪。
9.根据权利要求1所述的至少一种非暂态计算机可读介质，其中，所述用户或计算设备属性包括下述中的至少一个:所述用户的密切关系、关于所述用户的人口统计信息或所述用户的活动历史。
10.根据权利要求1所述的至少一种非暂态计算机可读介质，其中，所述属性的选择性公开包括通过发布和订阅服务器来公开所述用户或计算环境属性。
11.根据权利要求1所述的至少一种非暂态计算机可读介质，其中，所述属性的选择性公开包括向发布和订阅服务器注册所述属性。
12.根据权利要求11所述的至少一种非暂态计算机可读介质，其中，所述注册包括订阅已被共享所述用户或计算环境属性的其它计算环境订阅的发布和订阅通道。
13.根据权利要求1所述的至少一种非暂态计算机可读介质，其中，所述风险承受能力包括与所述内容提供者或所述用户或计算环境属性相关的匿名阈值，并且所述属性的选择性公开或者所述建议包括对基于所述相关人口数的匿名指标和所述匿名阈值进行比较。
14.根据权利要求13所述的至少一种非暂态计算机可读介质，其中，所述用户或计算环境属性和相关人口数一起构成考虑公开的η个特征中的一个特征，η是正整数，所述η个特征中的每个特征包括所述用户的或与所述用户相关的所述计算环境的属性，并且其中，所述匿名指标是使用下述公式计算的:
15.根据权利要求13所述的至少一种非暂态计算机可读介质，其中，所述匿名指标是过去向所述内容提供者公开的所述用户或与所述用户相关的计算环境的其它属性的累积。
16.根据权利要求2所述的至少一种非暂态计算机可读介质，其中，对所述属性进行公开将使得能够对所述用户进行识别的可能性的确定还基于向所述特征机构注册的独立用户的总人口。
17.根据权利要求1所述的至少一种非暂态计算机可读介质，其中，选择性公开包括利用特征密钥对所述属性进行认证。
18.一种设备，包括用于操作上下文信息管理器的处理电路，所述上下文信息管理器用于: 确定对用户的或与所述用户相关的计算环境的属性进行公开将使得能够对该用户进行识别的可能性，该可能性的确定基于共享相同属性的用户或计算环境的相关人口数；以及 基于所述确定以及与所述用户相关的风险承受能力，选择性地向用于提供针对性内容的内容提供者公开所述属性，或选择性地向所述用户提供关于所述用户是否应该向所述内容提供者公开所述属性的建议。
19.根据权利要求18所述的设备，其中，所述上下文信息管理器还用于:从特征机构获取一个或更多特征，所述一个或更多特征中的每个特征包括用户或计算环境属性、以及共享该属性的用户或计算环境的相关人口数。
20.根据权利要求19所述的设备，其中，所述上下文信息管理器还用于:使用增强隐私标识符(“EPID”)向所述特征机构认证自己，以有助于在不向所述特征机构公开所述用户的身份的情况下，所述特征机构向所述上下文信息管理器安全提供所述多个特征。
21.根据权利要求20所述的设备，其中，所述获取和认证是从所述设备的可信执行环境内部执行的。
22.根据权利要求21所述的设备，其中，所述获取和认证是作为sign-and-mac ( “SIGMA”)交换的一部分来执行的。
23.根据权利要求19所述的设备，其中，所述多个特征包括多个特征密钥，其有助于由所述上下文信息管理器认证所述多个特征。
24.根据权利要求18所述的设备，其中，所述用户或计算环境属性包括由所述设备的传感器捕捉的数据。
25.根据权利要求24所述的设备，其中，所述传感器包括下述中的至少一个:加速计、全球定位系统(“GPS”)单元、气压计、摄像机、指南针或陀螺仪。
26.根据权利要求18所述的设备，其中，所述用户或计算设备属性包括下述中的至少一个:所述用户的密切关系、关于所述用户的人口统计信息或所述用户的活动历史。
27.根据权利要求18所述的设备，其中，所述属性的选择性公开包括通过发布和订阅服务器来公开所述用户或计算环境属性。
28.根据权利要求18所述的设备，其中，所述属性的选择性公开包括向发布和订阅服务器注册所述属性。
29.根据权利要求18所述的设备，其中，所述注册包括订阅已被共享所述用户或计算环境属性的其它计算环境订阅的发布和订阅通道。
30.根据权利要求18所述的设备，其中，所述风险承受能力包括与所述内容提供者或所述用户或计算环境属性相关的匿名阈值，并且所述属性的选择性公开或者所述建议包括对基于所述相关人口数的匿名指标和所述匿名阈值进行比较。
31.根据权利要求30所述的设备，其中，所述用户或计算环境属性和相关人口数一起构成考虑公开的η个特征中的一个特征，η是正整数，所述η个特征中的每个特征包括所述用户的或与所述用户相关的所述计算环境的属性，并且其中，所述匿名指标是使用下述公式计算的:

32.至少一种非暂态计算机可读介质，其包括指令，响应于计算设备执行所述指令，所述指令使得所述计算设备能够:从特征机构获取一个或更多特征，每个特征包括用户或计算环境属性以及共享该属性的用户或计算环境的人口数，并且生成针对所述一个或更多特征中的用户或计算环境属性的内容。
33.根据权利要求32所述的至少一种非暂态计算机可读介质，其中，所述生成基于下述假设:一个或更多用户有可能参与针对性内容。
34.根据权利要求32所述的至少一种非暂态计算机可读介质，其中，所述生成基于对于针对所述一个或更多属性的其它内容的过去的用户参与。
35.根据权利要求32所述的至少一种非暂态计算机可读介质，其中，生成针对性内容，以供在已被共享一个或更多计算环境或用户属性的一个或更多计算环境订阅的发布和订阅通道上进行发布。
36.根据权利要求32所述的至少一种非暂态计算机可读介质，其中，生成针对性内容，以供在多播通道上进行发布。
37.根据权利要求32所述的至少一种非暂态计算机可读介质，还包括指令，响应于所述计算设备执行所述指令，所述指令使得所述计算设备能够将元数据与所生成的针对性内容相关联，所述元数据识别所述内容所针对的特征属性。
38.一种设备，包括处理电路，所述处理电路用于: 从特征机构获取一个或更多特征，每个特征包括用户或计算环境属性以及共享该属性的用户或计算环境的人口数；并且 生成针对所述一个或更多特征中的用户或计算环境属性的内容。
39.根据权利要求38所述的设备，其中，所述生成基于下述假设:一个或更多用户有可能参与针对性内容。
40.根据权利要求38所述的设备，其中，所述生成基于对于针对所述一个或更多属性的其它内容的过去的用户参与。
41.至少一种非暂态计算机可读介质，其包括指令，响应于计算设备执行所述指令，所述指令使得所述计算设备能够:提供通道以供共享一个或更多计算环境或用户属性的一个或更多计算环境进行订阅，并且在所述通道上发布针对所述一个或更多计算环境或用户属性的内容，其中，所述一个或更多属性中的每一个是特征的一部分，所述特征还包括共享该属性的计算环境或用户的人口数，并且其中，知道所述一个或更多属性并不能识别订阅了所述通道的所述一个或更多计算环境的特定用户。
42.根据权利要求41所述的至少一种非暂态计算机可读介质，其中，所述通道是发布和订阅通道。
43.根据权利要求41所述的至少一种非暂态计算机可读介质，其中，所述通道是多播通道。
44.一种设备，包括处理电路，所述处理电路用于: 提供通道以供共享一个或更多计算环境或用户属性的一个或更多计算环境进行订阅；并且 在所述通道上发布针对所述一个或更多计算环境或用户属性的内容， 其中，所述一个或更多属性中的每一个是特征的一部分，所述特征还包括共享该属性的计算环境或用户的 人口数，并且其中，知道所述一个或更多属性并不能识别订阅了所述通道的所述一个或更多计算环境的特定用户。
45.至少一种非暂态计算机可读介质，其包括指令，响应于计算设备执行所述指令，所述指令使得所述计算设备能够操作特征机构，所述特征机构用于: 对共享一属性的用户或计算环境的人口数进行跟踪； 向代表用户进行操作的上下文信息管理器提供包括所述属性和所述人口数的特征，以使得所述上下文信息管理器能够选择性地公开所述属性以换取针对所述用户的内容；或者 向内容提供者提供所述特征，以使得所述内容提供者能够提供针对所述属性的内容。
46.根据权利要求45所述的至少一种非暂态计算机可读介质，其中，所述特征机构用于:获取包括要被跟踪的一个或更多用户或计算环境属性的本体规范。
47.根据权利要求46所述的至少一种非暂态计算机可读介质，其中，所述特征机构还用于:使用增强隐私标识符(“EPID”)对所述上下文信息管理器进行认证，以有助于向所述上下文信息管理器安全提供所述特征。
48.一种设备，包括用于操作特征机构的处理电路，所述特征机构用于: 对共享一属性的用户或计算环境的人口数进行跟踪； 向代表用户进行操作的上下文信息管理器提供包括所述属性和所述人口数的特征，以使得所述上下文信息管理器能够选择性地公开所述属性以换取针对所述用户的内容；或者 向内容提供者提供所述特征，以使得所述内容提供者能够提供针对所述属性的内容。
49.根据权利要求48所述的设备，其中，所述特征机构还用于:向所述上下文信息管理器提供与所述特征相对应的特征密钥，所述特征密钥有助于对所述特征的认证。
50.根据权利要求48所述的至少一种非暂态计算机可读介质，其中，所述特征机构还用于:向所述上下文信息管理器或所述内容提供者提供由所述特征机构跟踪的独立用户的总人口。
【文档编号】G06F17/00GK104025076SQ201280065287
【公开日】2014年9月3日 申请日期:2012年12月20日 优先权日:2012年12月20日
【发明者】N·M·史密斯, T·G·威利斯 申请人:英特尔公司