等等)。例如,假设消 费者设备102选择性地向交换节点104广播用户的两个维度属性,"饮食.素食主义者"和"位 置.波兰,奥尔。交换节点104可例如从内容聚合器10別青求针对运些维度属性的内容。内容 聚合器108可捜索其从供应商106获得的有针对性内容W便找到有针对性内容(诸如波兰奥 尔的素食主义餐厅的广告、赠品或优惠券)并且将其提供给交换节点104。在某些实施例中, 有针对性内容可被注入(例如,由内容聚合器108或供应商106)描述该内容所针对的一个或 多个属性的元数据。交换节点104可进而向消费者设备102提供有针对性内容,例如作为网 页上的捜索结果或横幅广告。
[0049] 消费者设备102的用户然后例如可通过到特定的餐厅赎回优惠券、从特定的素食 餐厅预订食物或通过点击有针对性内容中的一个或多个链接具有参与有针对性内容的能 力。供应商106或内容聚合器108可从参与特定的有针对性内容"学习到"该内容适当地目标 为运两个维度属性。随着时间流逝,运些实体可继续从有针对性内容的后续用户参与中"学 习"并且可相应地定制进一步有针对性内容。
[0050] 公开一个或多个维度属性将实现标识用户的可能性可W至少部分地基于该维度 的相关联的种群计数(例如,共享该维度属性的计算环境或用户)。
[0051] 例如,维度属性"位置.波兰"可在任何给定的时刻具有较大种群计数。然而,相对 少的人们将在任何给定时刻具有维度属性"位置.第五大道和百老汇大街"。CIM 110可使用 维度种群计数来确定相应的维度属性是否是"安全的"W便公开。如果用户的维度属性当前 是"位置.第五大道和百老汇大街",则公开该维度属性可能比如果是"位置.波兰"更有可能 实现标识(或精确定位)用户。在运种情况下,CIM 110可禁用或W其他方式防止消费者设备 102提供运个维度属性,或者可W "匿名化"运个维度属性,例如通过提供粒度更小的位置特 征(例如,"俄勒冈州")或通过向该位置注入赌。在某些实施例中,用于确定属性是"安全的" W便公开的运种技术和/或用于匿名化属性的技术可在发布该属性之后响应于可为该用户 呈现增加的隐私风险(例如,公开特定的属性的用户的种群计数减少)的系统100中的改变 执行。参照图9至图12讨论后发布监控技术。
[0052] 可W用各种方式定义用户的风险容限。在某些实施例中,用户的风险容限可由一 个或多个所谓的"匿名阔值"表示。在公开匿名上下文信息之前,CIM 110可基于有待公开的 匿名上下文信息的维度和每个维度的种群计数计算所谓的"匿名索引"。CIM 110可然后将 匿名索引与一个或多个适当的匿名阔值进行比较,该一个或多个适当的匿名阔值例如与消 费者设备102将向其公开的实体或具有有待公开的属性的维度相关联。在各个实施例中,可 在阔值数据库118中维护实体和维度的匿名阔值。
[0053] 用户可在该用户向其公开匿名上下文信息的实体中具有各种信任水平。相应地, 在各个实施例中,不同的匿名阔值例如可由CIM 110在阔值数据库118中针对用户向其公开 数据的每个实体维护。例如,与特定的供应商106相关联的匿名阔值可例如基于与该供应商 106相关联的交互历史反映相对高的用户信任水平。与不受信实体(诸如交换节点104或"发 布订阅"("P&S")服务器(未在图1中示出但是在W下描述))相关联的匿名阔值可反映非常 低的信任水平。
[0054] 可向用户提供例如通过增加或降低与各个实体或维度相关联的匿名阔值来手动 地配置其风险容限的能力。然而,可证明运个任务对于某些用户太过复杂并且对于大多数 用户而言太过麻烦。相应地,在各个实施例中,隐私管理器124可确保用户的隐私兴趣受到 管理。隐私管理器124可向用户提供建议和/或代表用户将CIM 110配置为适当地保护用户 的隐私兴趣,同时仍使得用户能够公开或W其他方式提供充分的维度属性W便提供有针对 性内容。在某些实施例中,隐私管理器124可W是服务提供商,诸如律师、会计或金融规划师 或实体(诸如公司)。在其他实施例中,隐私管理器124可W是在消费者设备102上和/或在其 他地方(例如,web服务)操作的硬件和软件的任何组合。
[0055] 在各个实施例中,维度权威机构120可被配置成用于跟踪共享维度属性的计算环 境或用户的计数。运种计数可在此被称为"种群"或"种群计数"。在各个实施例中,维度权威 机构120可提供或W其他方式使得包括其属性和种群计数的维度可用于其他网络实体。例 如,维度权威机构120可向CIM 110提供维度,例如W便使得CIM 110能够选择性地公开维度 属性从而与目标为消费者设备102或其用户的内容进行交换。维度权威机构120还可向内容 提供商或生成器(诸如供应商106)提供维度例如W便使得内容提供商能够选择性地生成目 标为那些维度的属性的内容。在某些实施例中,维度权威机构120可监控对有针对性内容的 参与作为属性,并且提供或W其他方式使得标识有针对性内容和参与所标识的有针对性内 容的用户的种群计数的维度可用。维度权威机构120可在单个计算设备上或跨多个计算设 备用硬件和软件的任何组合实现。如在此所使用的,"维度权威机构"或"维度权威机构设 备"可指分布在一个或多个物理计算设备之间的实现在此公开的维度权威机构特征中的一 个或多个特征的硬件和软件的任何组合。
[0056] 可W用各种方式出于各种原因创建维度。在各个实施例中,维度权威机构120例如 可从交换节点104或供应商106接收包括有待跟踪的计算环境或用户的一个或多个潜在维 度属性的本体论规范。例如,交换节点104可基于用户行为(例如,用户的关键词检索等等) 选择用于跟踪的计算环境或用户属性并且向维度权威机构120提供所得本体论规范。维度 权威机构120可被配置成用于创建维度并且跟踪具有该维度属性的计算设备或用户的种 群。
[0057] 在许多在线社交媒体社区、电子商务系统和云服务中,用户可具有与他们知道的 用户和实体W及陌生人共享信息的许多机会。用户可在期望其发布不构成隐私风险的同时 共享信息(例如,属性)(例如,使用在此公的开用于基于隐私分析的结果选择性地允许或推 荐公开各个属性的技术)。然而,如果所公开的信息的上下文或性质在已经被共享之后改 变,用户的隐私可受到危害,即使用户未采取附加肯定动作。例如,如果发布相同的或相关 的属性(例如,对披萨或烤乳酪馆饼的偏好)的用户的种群减少(例如,因为披萨被发现造成 疾病),当初始地发布时不是隐私风险的属性可能变成隐私风险。
[005引为了解决运种脆弱性,在各个实施例中,在属性被公开(例如,"发布")之后,如果 系统100的改变已经改变与发布该属性相关联的隐私风险,CIM 110可选择性地从发布移除 (或"解除发布")该属性。CIM 110可被配置成用于执行后发布监控(例如,W下参照图9至图 12讨论的)W便标识并解除发布构成不可接受的标识风险(或者向用户建议增加的风险)的 属性。系统100的包括后发布监控能力的实施例可通过向其数据的使用和暴露给出用户反 馈改善系统100的用户和其他实体(诸如内容提供商和提供商)之间的关系。运种反馈可鼓 励用户克服有关公开的初始恐惧同时管理它们造成的合法隐私风险。
[0化9] 图2描绘可由例如CIM 110在消费者设备102上实现的示例方法200。在框202,CIM 110可从维度权威机构120获得包括维度属性和共享那些维度属性的用户或消费者设备的 相应计数的维度。在各个实施例中,维度权威机构120可仅向能够向维度权威机构120认证 其自身的计算设备(例如,消费者设备102)提供维度。
[0060] 在某些实施例中,计算设备可被预先配置(例如,在制造期间)有向维度权威机构 120认证其自身所必需的数据,诸如"增强隐私标识符"或巧Pir。在某些情况下,运种预先 配置的数据可能不可用于W任何其他方式使用。另外,维度权威机构120所提供的维度(例 如,当认证消费者设备102时)可由对称或非对称密钥(在此可被称为"维度密钥")签名。
[0061] 维度密钥可W是被配置成用于实现认证该数据的源和/或该数据自身是真实的任 何数据。消费者设备102可用该维度密钥对其稍后发布的维度属性进行签名。W此方式,接 收实体(例如,交换节点104、供应商106)还能确认维度属性的真实性。W此方式使用维度密 钥可防止未授权方传播虚假维度属性。例如,可防止第一竞争者向第二竞争者提供虚假维 度属性,努力使第二竞争者错误地认为存在特定的维度属性和/或其使消费者信服。
[0062] 在框204,CIM 110可从隐私管理器124获得隐私简档126。例如,如果隐私管理器 124是雇佣服务提供商,他或她可本地地或远程地操作CIM所提供的接口 W便配置与用户相 关联的一个或多个匿名阔值。如果隐私管理器124是逻辑(消费者设备102上和/或别处的硬 件和/或软件),其可向CIM 110提供使得CIM 110能够做出有关公开用户或消费者设备102 的维度属性的决定。
[0063] 在框206,CIM 110可从例如消费者设备102上或别处的一个或多个源(例如,硬传 感器114和/或软传感器116)获得上下文数据。
[0064] 在框208,CIM 110可将上下文数据与其在框202获得的维度相关联。例如,假设"位 置"是从维度权威机构120获得的维度并且CIM 110从消费者设备102的GI^传感器接收指示 消费者设备102位于波兰奥尔的GPS坐标。CIM 110可为位置维度的属性分配所感测的GI^坐 标的值,例如W便产生"波兰"的维度属性测量。如上所述,每个维度可具有共享该维度属性 的用户或设备的相关联计数。在本示例中,"位置"维度属性测量"波兰"的计数可包括位于 或上次已知位于波兰的所有用户或设备。
[0065] 在公开任何上下文信息之前,CIM 110可确定公开将实现W各种方式标识用户的 可能性。例如,在框210,CIM 110可基于有待公开的一个或多个维度的一个或多个种群计数 计算匿名索引。在各个实施例中,可使用公式计算匿名索引,诸如等式(1):
[0067] 其中,Cli =维度i的种群计数;n =维度的数量;并且i、n和d都是正整数。
[0068] 在各个实施例中,匿名索引值1意味着用户是绝对匿名,并且匿名索引值0意味着 用户将是唯一地基于公开而可标识的。在各个实施例中,匿名索引值<0.8可表示公开维度 属性将实现标识用户的高风险,而匿名索引值〉〇. 9可被认为是安全的。
[0069] 可从隐私视角假设一个或多个维度属性向其公开的实体有可能在尝试与稍后发 布的维度属性一起用于标识或定位用户时保留运些维度属性。相应地,在各个实施例中,可 基于当前未决的维度属性公开和过去的维度属性公开计算匿名索引。
[0070] 例如,在各个实施例中,在向特定的实体公开一个或多个维度属性之前,当计算匿 名索引时,在公开给相同的实体之前计算的一个或多个匿名索引可被考虑在内例如W便产 生累积匿名索引。例如,在各个实施例中,针对到特定实体的过去公开计算的匿名索引的平 均值可与针对该实体的最近计算的匿名索引取平均值。在各个实施例中,运个累积匿名索 引而不是最近计算的匿名索引可用于确定公开将实现用户标识的可能性。
[0071] 作为另一个示例,公开给实体的维度属性可随着时间例如由CIM 110跟踪。无论何 时用户希望向实体公开附加维度属性,对该实体的所有公开(过去的和目前的)可用作到上 述等式(1)的输入。例如,用户可向特定的供应商106公开=个维度属性。假设用户从未在之 前向该供应商106公开过任何维度属性,等式(1)可用于计算累积匿名索引,其中n = 3。稍 后,用户可向相一供应商106公开两个附加维度属性(例如,不同于先前公开的=个)。在该 时刻,可使用等式(1)用=个先前公开的维度属性(包括在公开时的其相关联的种群计数) 和两个新维度计算累积匿名索引并且其中n = 5。W此方式,用户随着时间向特定实体公开 的维度属性越多,匿名索引可更接近匿名阔值。
[0072] 返回参照图2,CIM 110然后可确定公开维度属性将实现用户标识的可能性是否符 合用户的风险容限。例如,在框212,CIM 110可确定在210计算的匿名索引是否小于具有有 待公开的属性的特定接收实体或维度相关联的匿名阔值。尽管未在图2中示出,在某些实施 例中,CIM 110还可将计算机系统(例如,路由器、防火墙和/或网关)和/或所公开的属性通 过的网络的安全等级考虑在内。
[0073] 如果在框212的答案是yes(是),则在框214,CIM 110可使得消费者设备102能够向 一个或多个远程计算设备公开该一个或多个维度属性或者向用户提供公开将符合用户的 风险容限的建议。例如,如果用户正在访问交换节点1〇4(例如,使用web浏览器),CIM 110可 向交换节点104提供一个或多个非用户标识维度属性或者通知用户其运样做将是"安全 的"。
[0074] 在各个实施例中,假设在框214公开维度属性,CIM 110可首先例如使用随机化或 网络地址转换更改或W其他方式混淆消费者设备102的网络地址(例如,IP地址)。运可防止 交换节点104能够基于来自提供匿名上下文信息的消费者设备102的通信标识消费者设备 102。另外或可替代地,CIM 110可使得消费者设备102能够例如经由P&S服务器广播(或者多 播)匿名上下文信息。在框216,CIM 110可更新匿名索引W便反映公开。
[0075] 在框236, CIM 110可开始后发布监控过程。后发布监控过程可连续地或周期性地 在用户公开属性之后执行W便确定系统100的任何方面是否从公开起已经改变,其方式为 增加与公开该属性相关联的隐私风险。例如,用户可公开他或她具有特定的医疗状况(例 如,粉刺)。在公开时,运个属性可能已经相对常见;换言之,系统100的许多其他用户可能已 经公开相同的属性。结果是,CIM 110可在框212和214确定匿名阔值未被超过并且公开是适 当的。然而,如果在发布之后开发了对该医疗状况的治疗,报告他们具有运种状况的其他用 户的数量可从用户发布该属性那一刻减小它的值。结果是,该属性可对应于小得多的用户 种群,并且因此可呈现增加的隐私风险。在框236发起的后发布监控过程可包括CIM 110和 维度权威机构120之间的通信W便监控已经发布特定属性的用户种群的减少(或者系统100 的指示增加的隐私风险的其他变化)W及相应地解除公开具有不可接受的风险的属性。参 照图9至图12讨论后发布监控技术和配置的实施例。
[0076] 如果CIM 110在框212确定在210计算的匿名索引不小于与具有有待公开的属性的 特定接收实体或维度相关联的匿名阔值,则在框218,CIM 110可确定是否可W "匿名化"有 待公开的属性W便减少公开将实现用户标识的可能性。可W用各种方式匿名化匿名上下文 信息。例如,可采用赌注入(例如,随机化GPS坐标、网络地址、其他标识符),或者可更改(例 如,增加、排除、修改、混淆、替换)匿名上下文信息的维度属性。例如,具有较大种群计数的 维度的属性可被添加到所公开的数据。作为另一个示例,具有较小种群的维度属性(例如, 倾向于爱尔兰乡村音乐)可被具有较大种群的属性(例如,倾向于音乐)吸引。
[0077] 在匿名化之后,方法200可返回框210-212,其中,CIM 110可再次计算匿名索引并 且确定其是否小于与有待公开的特定接收实体或维度属性相关联的匿名阔值。如果答案是 yes(是),则方法可进行到如上所述的框214。
[0078] 然而,如果答案仍然是no (否),则在框218,CIM 110可确定该数据是否可被进一步 匿名化。如果答案是yes(是),则可再次在框220匿名化匿名上下文信息并且在框210-211再 次测试。但是如果在框218的答案是no,则在框222,CIM 110可获得代表用户作出决定并且 隐瞒匿名上下文信息,或者CIM 110可向用户提供指示公开匿名上下文信息造成不符合用 户的风险容限的用户标识风险的建议。
[0079] 不管CIM 110是否W其原始或匿名化形式提供匿名上下文信息或者保持提供匿名 上下文信息,消费者设备102然后可等待接收有针对性内容。如果消费者设备102在框214提 供匿名上下文信息,则所接收的有针对性内容可基于该匿名上下文信息。如果消费者设备 102在框222隐瞒匿名上下文信息,则所接收的有针对性内容可基于消费者设备102在另一 个时刻提供的其他匿名上下文信息。
[0080] 在框224,消费者设备102例如可从交换节点104代表内容聚合器108和/或供应商 106或者从P&S服务器(如下所述)接收有针对性内容。例如,消费者设备102可接收通信,诸 如电子邮件或文本,或者如果访问,口户可被呈现旨在在口户的网页边缘中显示的有针对 性广告。
[0081] 在框226,CIM 110可确定用户是否可能对所接收的有针对性内容感兴趣。可基于 各种信息做出运个决定,诸如用户或消费者设备102的一个或多个维度、从硬传感器114和/ 或软传感器116获得的上下文数据、注入到有针对性内容中的元数据(例如,由供应商106) 等等。如果答案是no(否),则CIM 1