专利名称:通过通信网络传输匿名信息的制作方法
技术领域:
本发明一般地涉及收集来自选定的一群必须保持匿名的应答者的数据,具体地说,涉及一种有允许应答者在诸如英特网之类的全球通信网络上安全地和匿名地传送响应的体系结构的电子数据收集系统。
背景技术:
有许许多多得益于匿名收集数据能力的应用和情形,包括中间的记录、社会研究、雇员满意度调查,等等。市场研究正是一种这样的行业。人们在信念上发现,知道它的客户真正想要什么的公司有较好的满足他们的需求的机会。市场研究是一个复杂的程序,该程序通常是由专业的市场研究公司(收集者)完成的。市场研究公司的客户可能是制造商、服务公司或政府组织。研究的参与者(应答者)必须是精心选择的,以致他们适当地代表目标群体。将问题格式化,以致这些问题不代表研究公司,以导致或影响应答者需要很多的专长。另外,必须小心翼翼,以致那些问题没有造成暴露应答者的真正身份。
对于其它的产品和服务,例如健康产品或有关社会的研究,问应答者可能发现非常个人的和敏感的问题可能是必需的。在回答任何这样的问题响应之前,应答者可能怀疑如果他是否真是匿名的。如果他对此有最微小的怀疑,该应答者将要么不回答该问题,要么仅仅编造一个“可能的”答案、一个在社会上可接受的答案或只是一个应答者想要你相信的答案。任一种结果对于为了获得正确的信息已经在该研究中投资的收集者和他的客户都是不能令人满意的。
所以,在完成关于人的研究时许多复杂事物和费用起因于保护应答者隐私的需要。这通常包括严谨的方法、信息的安全转移和储存、可信赖且经过训练的研究雇员。应答者没有检查他的匿名保持完整无损的设施,所以必须相信收集者已经做了保护他的匿名所需的所有事情。代表收集者的小错误能导致意外事件,敏感的私人信息终止于错误的支配中。另外,有数不尽的隐蔽方法,不道德的收集者可能使用这些方法表面上给匿名的响应形式编码以允许结果与真实身份链接。
尽管谨慎的研究公司付出了所有的努力了来保证匿名,许多应答者将知道危险并且发现难以相信他们的匿名。
在与应答者面对面地会见的情况下,匿名不是一种选择。现在,英特网允许各式各样的人方便地访问根据客户需要制作的数据收集系统。这些系统允许通过填写电子问题表格(网页)或甚至通过使用聊天或声音进行在线面谈收集来自应答者的远程数据。研究公司必须确信应答者是样品组的有效成员(被称为鉴定需求),而应答者必须确信收集者没有办法知道他的真实身份(匿名需求)。除此之外,两者都想确信通信不会在英特网上被拦截或发起计算机的身份不会通过跟踪IP地址被发现。
在某些情况下,一次性的快照数据收集为研究提供充份的信息,但是在其它的情况下为了获得一些新的信息再次访问全部或一些应答者可能是必要的。这必须在不知道应答者的真实身份的情况下是可能的(匿名的交互作用)。
过去已有一些保护网络通信完整性的努力。举例来说,授权给InterTrust的美国专利第6,185,683号教授一种经由可信赖的“中间人”服务器把来自寄件人的项目用电子仪器递送给接受者的方案。中间人服务器能使交易被确认、证明和/或存档。
除此之外,IBM公司申请的美国专利申请第2002/0077887号描述一种在英特网上进行电子投票的系统。投票实体(选民)请求使用公用密匙和私人密匙投票。投票请求是投票中介者进行的。使用一对分开的私人/公用密匙,投票中介者确认投票请求并且产生选票。投票中介者把这个选票送给选民,选民投票,然后把该选票送给投票制表机。投票制表机确认选票并且计算选票。
发明内容
问题陈述对于考虑到应答者的安全鉴定和匿名的解决办法有明确的需要。不幸的是,现有技术的系统不适合可能发生在某个时段或甚至在多次对话期间的交谈式双向通信。
此外,现有技术没有认识到需要维持应答者某些方面的匿名,例如,应答者机器的网际协议(IP)地址。
举例来说,尽管某些现有技术的系统(例如,美国专利公开第2002/0077887号所描述的系统)确实有投票中介者,但是所述组成部分的目的是保证被认可的人投票。所述系统不提出维持选民匿名的问题——实际上建议由选民的机器把选票直接提供给投票当局,而因此他们的IP地址能通过检查信息而被发现。
这种现有技术系统也被设计成选票收集系统,而且它不允许实时的人机对话通信,不允许多样的对话和不提供深入研究所需的其它服务。
存在一些用来隐藏IP地址的方法。它们的目的是把足够的匿名提供给应答者。不幸的是,这些IP掩蔽方法不允许调查应答者代表或通过调查数据收集者被接触,所以应答者的身份不能被确认。
基于公用密匙基础设施(PKI)的系统已经实现,以便给信息加密防止被未经认可的人访问和在通信中鉴别应答者。然而,基于密匙的加密被独自地用于一些重要的方法,在调查中需要匿名的真正的对立面。PKI系统总是导致鉴别所有应答者的身份。
本发明的目的是提供一种使用全球计算机网络收集研究数据的新方法和新系统。
本发明的另一个目的是提供对应答者匿名的电子数据收集方法和系统。
本发明的另一个目的是提供一种电子数据收集方法和系统,该方法和系统允许收集者接触应答者但不危及应答者匿名的安全。
本发明的另一个目的是提供一种电子数据收集方法和系统,该方法和系统允许匿名地鉴别应答者。
发明内容本发明是用来在广域计算机网络上收集来自应答者的数据并且把这样的数据经由中介者提供给收集者的技术。在本发明的一项实施中,收集者数据处理系统向中介者请求匿名标识符(ID)的一览表。然后,中介者系统产生所请求的匿名标识符压力表;然后,该中介者把这些匿名标识符递送研究应答者以便在接触收集者时使用。
收集者把中介者不知道的而且不能使中介者联想到特定的应答者的至少一个令牌(例如,密码钥匙或一些其它的识别数据)提供给应答者。该令牌可以直接由收集者转发给应答者,或通过以致使中介者无法读出标识符数值的方式使用通过中介者的加密连接转发给应答者。
在开始调查之后,应答者使用该令牌给数据加密,然后把它发送给中介者。中介者确认应答者的令牌,从而使它与已知有效的匿名ID一览表相配,以便识别应答者和收集者之间有效的通信对话。
在对话期间,中介者通过充当通信代理采取一些向收集者隐瞒应答者身份的步骤。这可以通过代表使用该匿名ID的应答者控制对收集者服务的访问来实现。
与某些其它的现有技术系统不同,该中介者不是在传递信息方面简单地充当可信赖的第三方。在系统中,要求中介者知道关于应答者真实身份的某些事情,例如他们的IP地址或密匙。采用本发明,数据收集者能保证对应答者的匿名,因为中介者不需要知道应答者的任何真实ID。即,中介者使用匿名令牌传递信息,而且不需要知道被交换的数据。
本发明的上述的和其它的目标、特征和利益通过下面关于在用相似的参考符号在不同的视图中处处表示同一部份的附图中举例说明的本发明的优选实施方案的更具体的描述将变得明显。这些图画不必依比例绘制,而是把重点放在举例说明本发明的原则上。
图1是应答者、中介者和收集者的数据处理系统之间的关系的总图。
图2是中介者系统的更详细的视图。
图3是应答者系统的更详细的视图。
图4是收集者系统的更详细的视图。
图5举例说明为中介者、应答者和收集者维持的典型的数据库入口。
图6是中介者、应答者和收集者所完成的操作的流程表。
具体实施例方式
本发明的优选实施方案描述如下。
图1展示经由通过中介者站点(“中介者”)到收集者服务(“收集者”)的通路在一个或多个独特的使用者(“应答者”)之间实现匿名且安全的通信的程序的总图。该技术能用来处理秘密的客户调查、投票,等等。举例来说,收集者可能是产品制造商、消费服务提供者、医学研究者、市场研究公司、政府实体、投票实体,等等。应答者通常是收集者的数据提供者、调查中的应答者、选举中的选民、或已被要求回应收集者提出的问题(或其它信息)的其它个体。
人们应该理解中介者、收集者和应答者是作为通过英特网之类的计算机网络互连的数据处理器系统实现的。这些数据处理器每一个都可能是任何适当类型的数据处理器。通常,应答者系统是个人计算机、手持式计算机、个人数字助理、能处理数据的移动电话或主要适合于数据输入的装置。中介者通常是比较复杂的数据处理器,而且可能由一台或多台个人计算机和/或文件服务器和网络互连装置(例如,防火墙和路由器)组成。收集者通常也是数据处理器,例如,个人计算机和/或文件服务器。
一群匿名的应答者(R-1、...、R-n)通过中介者(M)与收集者(C)通信,以便回应收集者提出的信息。虽然在图1中只展示一个收集者,但是也可以有许多收集者,其中每个收集者都通过该中介者与数群匿名的应答者通信。
信息是以保护应答者匿名的方式处理的。举例来说,中介者能完成在把信息转发给收集者时分配给它的工作,而不必知道应答者的真实身份。中介者也可以采用进一步的步骤向收集者隐瞒应答者的真实身份{名字、登记号或其它的身份证明(ID)信息,例如,网际协议(IP)地址}。
除此之外,采取一些步骤保证应答者和收集者之间的通信内容是加密的,因此,中介者不能存取它,而且只有应答者和收集者能知道被交换的信息。
在详细讨论本发明的一些可能的实施之前,先讨论它的一般属性。应答者可以通过把登记请求发送给中介者完成发起步骤。该应答者能被中介者确定为收集者的面板/应答者数据库的成员,因为该中介者先前已得到收集者的通知,和/或作为对登记请求的响应该中介者已把疑问发送给收集者的数据库。
一旦应答者作为收集者服务的经认可的使用者或成员已被认可,该应答者就与该收集者匿名地连接起来,而且能通过该中介者访问不同的独立的收集者服务。在这个对话期间,中介者向收集者隐瞒应答者的真实IP地址。为了完成匿名,作为同意访问的一部份,收集者接受来自中介者的匿名令牌,后者被用来发起和维持应答者和收集者之间的对话。匿名令牌也被提交给收集者作为应答者是有效成员的证据。这个令牌也能用来使匿名的纵深研究和长期的行为研究成为可能。该令牌可能是密匙,或可能是一些其它信息,例如能与该应答者相关联的随机数。
为了保证内容不能被中介者读出,应答者将给打算仅仅供收集者使用的数据加密。具体地说,应答者知道或有收集者的公用密匙。然后,应答者用密匙给他发送给收集者的任何数据加密。这消除了中介者(或任何其它的第三方)知道正在应答者和收集者之间转移什么数据的任何可能性。
同样,收集者知道或有应答者的公用密匙以便给打算供应答者使用的数据加密。应该保证应答者的公用密匙不以任何方式与他的真实身份联系,所以应答者对收集者保持匿名。
因此,中介者充当通信代理,用来向可能以别的方式危及应答者匿名的安全的收集者隐瞒应答者的网际协议(IP)地址,同时仍然充当供应答者和收集者之间的上述的加密数据转移使用的链路。
然后,收集者可以要求中介者使用应答者的令牌联络匿名的应答者。中介者将把由收集者加密的请求转发给正确的应答者。
因此,中介者的角色是●确认该应答者对收集者是有效的应答者●在与应答者通信的时候,使用匿名的令牌系统,借此消除了解应答者身份的需要●用IP中继/代理系统使应答者的IP相对于收集者匿名●不理睬在应答者和收集者之间交换的内容●证明应答者参与由收集者管理的研究●代表收集者联络应答者●代表应答者联络收集者●向应答者保证匿名将得到尊重。
维持匿名的途径是观察●该方法的匿名随着参与应答者的数目生长。
●该应答者总是一群应答者的成员。
●那群应答者可能是由收集者选定的,因此他可能知道那些成员。在这种情况下,本发明用来阻止收集者了解哪个应答者给出哪种反应。
●那群应答者可能是由中介者使用一些收集者同意的标准选定的。收集者将不知道应答者。仍然需要防止收集者学习IP地址、提供群体成员的证明,等等。
表A概述应答者、中介者和收集者相互“了解”的信息。
表A.已知/匿名表
表B概述禁止各种不同的系统元素相互了解的信息。
表B“未知”一览表
图2提交典型的中介系统(M)的最低需求。中介者由全部在安全网络之内的各种不同的服务器、数据库、其它的处理器和与英特网连接的防火墙组成。安全套层(SSL)服务通常用来在英特网上的各种不同的实体之间建立安全的连接。换言之,安全连接是提供给收集者系统和应答者系统两者的。
在举例说明的实施方案中,M-FW1和M-FW2是防火墙,一个用来处理与收集者的通信,另一个处理与应答者的通信。人们应该理解其它的防火墙和安全网络系统的落实方案是可能的。
第一服务器(M-S1)充当信息路由器和代理,考查从应答者收到的信息业务。M-S1在把信息转发给相关的收集者之前用另一个地址(有可能是中介者的真实IP地址)代替在每条信息中应答者的实际网际协议(IP)地址。这将阻止收集者跟踪应答者的真实IP地址。
第二服务器(M-S2)是管理应答者和收集者的账户所需要的应用程序和Web服务器。举例来说,这个服务器维持储存关于应答者、收集者和他们相关联的标识符和令牌所需要的信息的数据库。密匙数据库将在下面结合图5予以描述。M-PC1是能用来管理和监控中介者系统的本地的(或远程的)个人计算机。
图3是典型的应答者系统的总图。它由某种类型的对英特网的连接(例如,通信网关R-GW1)、个人计算机R-PC1和数据库R-DB1组成。网关R-GW1可以是对英特网的任何适当的连接,例如,拨号上网调制解调器、电缆调制解调器、人造卫星调制解调器、无线上网调制解调器、数字用户线(DSL),有线或无线的局域网(LAN)的连接网关、T1/E1载波接口,等等。重要的是R-GW1支持SSL密码技术,通常在TCP/IP网络连接上。
虽然是用台式计算机举例说明R-PC1的,但是它可能是手提式(膝上型)计算机、手持式计算机、个人数字助理、允许传输数据的移动电话、数字置顶盒或任何其它的数据处理设备。
图4是收集者系统的硬件图。与应答者系统类似,它由收集者网关C-GW1、收集者处理器C-PC1和数据库C-DB1组成。另外,在这里还使用收集者服务器C-S1,该服务器将完成许多工作,这些工作将在下面结合图6的流程图予以描述。
图5举例说明一些由各种不同的系统维持的数据库入口。举例来说,应答者数据库R-DB1维持诸如应答者的私人密匙和公用密匙和/或非必选的收集者的公用密匙之类的信息。这允许应答者将发送给收集者的和来自收集者的信息加密和解密。
收集者数据库C-DB1维持应答者们的公用密匙、它自己的公用密匙和私人密匙、用来匿名地识别应答者的令牌和从应答者那里收集到的数据。
中介者数据库要复杂一点。在第一数据库M-DB1中维持的是作为应答者的匿名标识符使用的令牌的一览表,和,非必选地,使用者的登录名和应答者的密码和电子邮件地址。这些信息用来在不危及应答者们的身份的安全的情况下向收集者证明他们的真实性。
第二数据库M-DB2包含收集者的身份证明和登录信息。
第三数据库M-DB3用来协调对特定应答者和收集者之间的通信对话令牌的分配。因此,当请求允许进行通信对话的时候,中介者维持与该对话相关联的令牌、它的发行和截止日期、以及与该对话相关联的应答者和收集者的标识符。
图6是本发明的一个可能的实施方案所完成的各个步骤的流程图。用参考数字100-108标注的步骤是应答者系统完成的,用参考数字200-212标注的步骤是中介者系统完成的,而用300-310标注的步骤是收集者完成的。
第一步300包括招募应答者。这是在收集者的控制下进行的,而且能以几种不同的方式发生。收集者能决定用来定义那群应答者的名称的标准或一览表。然后,该收集者能征募协助招募应答者的中介者,或收集者能直接联络应答者并且要求他们以中介者登记。
在图6描绘的第一种登记情节中,应答者一览表是在步骤302中提供给中介者的。然后,在步骤200中,中介者产生用于每个应答者的登录身份证明和其它参数,至少包括用于每个应答者的匿名令牌。该令牌将用来识别每个特定的应答者和收集者之间的通信对话。
然而,在另一种情况下(在图6中没有举例说明),中介者仅仅发行令牌的申请号。这可以是通过让收集者请求中介者提供许多单一用途的注销令牌完成的,其中所述令牌的数目将至少与有意向的应答者的数目一样多。然后,收集者联络应答者,要求他们用那些令牌之一在中介者系统上登记。
在第三种可能的情节中(在图6中也没有详细地展示),中介者依照收集者阐明的标准招募应答者。因此,收集者授权中介者依照一些标准招募应答者,该中介者为每个被招募的应答者产生一个账户,然后该中介者把匿名令牌一览表提供给收集者。
无论如何,在步骤100中接受参与请求时,应答者们都用中介者系统登记。在这里,应答者用他的登录名和密码登录中介者网站。在步骤204中,登录请求将对照经认可的应答者一览表被确认,而且如果被确认,则在步骤206中给该应答者发放一个令牌。然后,应答者在步骤102中储存这个从中介者那里收到的令牌。
然后,该应答者获准通过在步骤104中发起对话借助中介者和在中介者上访问收集者服务。该中介者通过在步骤208中充当代理向收集者隐瞒应答者的真实IP号来维持该对话的匿名。作为授权访问的一部份,收集者将接受来自应答者的匿名令牌,该令牌将用来发起(并随后维持)对话。这个匿名令牌是作为证明该应答者有效的证据提交给收集者的。
然后,应答者在步骤106、201和308中与收集者交换密匙。在一个实施方案中,应答者使用收集者的密匙给应答者的密匙加密,然后把这个加密的应答者的密匙发送给收集者。请注意IP代理即使在交换密匙的时候也仍然处在适当的位置,所以应答者的匿名(依据收集者的观点)得到保证。
现在使用他们各自的公用密匙以加密的形式在应答者和收集者之间进一步交换对话数据(步骤108、212和310)。所以,没有对话数据能被任何英特网调解者(即,ISP)或中介者读出;同时应答者的身份得到保护。
虽然这项发明已参照其优选实施方案予以具体地展示和描述,但是熟悉这项技术的人将理解在形式和细节方面各种不同的改变可以在不脱离权利要求书所囊括的发明范围的情况下完成。
权利要求
1.一种用于从应答者计算机节点匿名地收集响应数据的方法,应答者计算机节点通过借助中介者计算机节点向收集者计算机节点提供数据与广域计算机网络连接,该方法包括下述步骤在应答者处,发出最后发送到收集者的响应数据;给响应数据加密,以使它不能被中介者读出;把加密的响应数据作为匿名的响应信息转发给中介者;在中介者处,接收响应信息;验证响应信息的来源是一群权威认可的应答者的成员,而不危及应答者的匿名身份;把响应信息作为经验证的响应转发给收集者;在收集者处,接收经验证的信息;以及将响应数据解密以便它能被读出。
2.根据权利要求1的方法,其中应答者的身份不包括在响应信息之中。
3.根据权利要求2的方法,进一步包括确定准备供所述应答者用来指出它自己作为响应信息的来源的匿名标识符(ID)。
4.根据权利要求3的方法,其中匿名标识符是由收集者产生的。
5.根据权利要求1的方法,进一步包括下述步骤在收集者处,确定多样的经认可的应答者的一览表;在中介者处,产生对应的匿名令牌目录,其中至少一个令牌与每个经认可的应答者相关联。
6.根据权利要求5的方法,进一步包括下述步骤在应答者处,发出登记请求信息;将该登记请求信息转发给中介者;在中介者处,接收该登记请求信息;把一个匿名令牌分配给发起该请求信息的应答者;以及把该匿名令牌转发给该应答者。
7.根据权利要求6的方法,进一步包括下述步骤在应答者处,发出包括匿名令牌的响应信息;在中介者处,接收该响应信息;把该响应信息转发给收集者。
8.根据权利要求7的方法,其中所述收集者在接收来自中介者的响应信息时进一步确认该令牌。
9.一种在广域计算机网络上收集来自应答者的数据并且把数据经由中介者提供给收集者的方法,该方法包括下述步骤在收集者处,向中介者请求匿名标识符(ID)的一览表;在中介者处,产生匿名标识符的一览表;以及把匿名的标识符递送给各个研究应答者以便在联系收集者的时候使用;然后,回到收集者处,提供有匿名标识符的应答者以用来以防止中介者把匿名标识符与应答者的真实身份联系起来的方式把数据经由中介者送给收集者。
10.根据权利要求9的方法,进一步包括在应答者处,发出参与调查的请求;在中介者处,接收来自该应答者的调查请求;使用收集者提供的至少包括识别所述的应答者和收集者之间的通信对话的匿名ID的数据确认应答者;以及使用该匿名ID代表该应答者控制对收集者服务的访问。
11.根据权利要求10的方法,进一步包括下述步骤在应答者处,发出包含调查数据的信息;接收收集者的公用密匙;产生用于应答者的公用密匙;以及使用收集者的公用密匙把应答者的公用密匙安全地传送给收集者。
全文摘要
一种使收集来自应答者的匿名数据成为可能的系统,例如在使用公用密匙技术的英特网上,其中应答者的匿名和真实性是由可信赖的中介服务提供的。本发明提供一种既简单又安全的解决办法,该解决办法允许鉴别研究应答者的同时维持他们的匿名。收集者不能链接应答者的真实身份和他们的响应,而中介者提供通信服务,但不得访问在应答者和收集者之间交换的信息内容。依照本发明的一个方面,收集者向中介者请求匿名标识符的一览表。然后,中介者产生匿名令牌的一览表,该一览表能在应答者通过中介者与收集者通信的时候被他们使用。
文档编号H04L29/06GK1977508SQ200480043475
公开日2007年6月6日 申请日期2004年6月28日 优先权日2004年6月28日
发明者加里·威埃尔德, 卡瑞·马尔卡尼 申请人:吉纳阿克蒂斯有限责任公司