设备可以配备有传感器、致动器、电子器件、软件、以及电子通信技术。这些设备可以收集数据并且还可以与计算平台和/或与互联网(例如,基于云的平台、或者更笼统地,云)彼此交换数据。设备可以广播电子广告以宣告该设备的存在,以便网关与该设备连接。广告可以包含对该设备或该设备的用户进行标识的数据。
附图说明
下面将参考以下附图来描述各种示例。
图1描绘了根据实施方式的其中可以采用设备隐私保护的示例环境。
图2描绘了根据实施方式的包括广告干扰器和广告器的示例装置的框图。
图3描绘了根据实施方式的包括广告干扰器、广告器和访问控制管理器的示例装置的框图。
图4是根据实施方式的用于保护设备隐私的示例方法的流程图。
图5是根据另一实施方式的用于保护设备隐私的示例方法的流程图。
图6是根据实施方式的包括非暂时性机器可读介质的网关的框图,该非暂时性机器可读介质编码有用以广播干扰信号并且广播虚拟设备广告的示例指令。
图7是根据实施方式的包括非暂时性机器可读介质的网关的框图,该非暂时性机器可读介质编码有用以设置广告间隔并计算干扰持续时间的示例指令。
图8描绘了广告干扰和虚拟设备广告的示例时序序列。
具体实施方式
设备可以配备有传感器、致动器、电子器件、软件、以及电子通信技术。这些设备可以收集数据并且还可以与计算平台和/或与互联网(例如,基于云的平台、或者更笼统地,云)彼此交换数据。此外,这样的设备可以采取诸如可穿戴设备、医疗设备、车辆、媒体设备、家庭自动化设备或家用电器等各种对象的形式。这种互连设备的范例可被称为“物联网”(iot)。
iot设备可以通过诸如低功耗蓝牙(ble)、蓝牙、wi-fi、zigbee、近场通信等无线通信技术来彼此通信并且与网关设备进行通信。网关设备或“网关”可以包括计算机、智能手机、平板电脑、联网接入点或其他电子设备,并且可以在iot设备与用户之间或者iot设备与云之间充当链接。例如,用户可以利用网关(例如,智能手机)来查看由iot设备(例如,由用户佩戴的健身追踪器)收集到的数据。在另一示例中,网关设备(例如,智能手机或联网接入点)可以从iot设备(例如,健身追踪器)收集数据并且将该数据传输到云以供存储和/或分析。
iot设备可以广告该iot设备的存在以便网关与该iot设备连接。例如,ble协议定义要广播的广告的类型、广告被广播的频率、以及广告将通过其被广播的三个广告信道。通常,广告可以是包含iot设备的地址、以及诸如iot设备的名称、类别或类型以及所提供的服务等其他信息的数据包。网关可以扫描这些广告并且启动对广告的iot设备的连接。然而,广告透露了iot设备的存在并且可能会泄露上述信息,并且凭借这样的知识,第三方观察者可以剖析或者识别用户(例如,基于所携带的设备的类型)、监视用户的行为、访问或推断敏感信息、或攻击设备(例如,拒绝服务攻击)。
更具体地,用户可以从健康状况(例如,葡萄糖监测器的存在可以暗示出糖尿病的状况)、生活方式(例如,基于健身追踪器的存在)、偏好(例如,基于设备的品牌)、个人兴趣(例如,基于设备的类别,诸如玩具、相机、宠物活动追踪器等)、家庭安全系统的指纹或安全摄像机、或用户行为(例如,基于来自智能家庭环境的感官价值)等方面的广告信息中进行剖析。
本公开的示例技术可以涉及干扰隐私受保护设备广播的广告、以及广播包括针对隐私受保护设备的简化信息广告的虚拟设备广告。借助于前述内容,本公开的系统和技术对于将隐私受保护设备对第三方观察者隐藏,同时允许合法或可信设备发现该隐私受保护设备而言可以是有用的。
现在参考附图,图1描绘了其中可以采用设备隐私保护的示例环境100。用户102可以拥有或操作至少一个设备。在图1所示的示例中,用户102拥有设备a112、设备b114、以及设备c116(通常或统称为设备110)。设备110可以具有通信技术、传感器和/或致动器功能、以及硬件和/或软件(例如,机器可读指令)的组合,并且设备110可以类似于以上讨论的iot设备。设备110的示例可以包括可穿戴设备、医疗设备、家庭自动化或安全设备等。
在一些实施方式中,设备110可以经由诸如蓝牙、低功耗蓝牙(ble)、wi-fi、zigbee、近场通信等无线通信技术与其他设备(包括例如将在以下描述的网关120和可信设备160)进行电子通信。具体而言,接下来的示例可以描述利用ble的实施方式,然而本公开的系统和技术可以适用于其他无线通信技术。
设备110可以经由无线通信技术向其他设备(例如,计算机、智能手机、平板电脑、云)发送传感器数据、从其他设备(例如,计算机、智能手机、平板电脑、云)接收输入或命令、或以其他方式与其他设备(例如,计算机、智能手机、平板电脑、云)进行交互。例如,设备110可以与网关120进行通信,以将数据呈现给用户102(例如,被用作网关120的计算机或智能手机)。另外地或可替代地,设备110可以经由网关120(例如,计算机、智能手机、接入点)连接,以与云170进行通信。云170可以存储和/或分析来自设备110的数据,并且用户102可以经由网页、应用程序等来访问云170,以查看数据以及任何相关信息。
为了与诸如网关120等其他设备相连接,设备110可以通过对广告进行无线广播来广告设备110的存在。然而,如上所述,第三方140可以例如通过使用对被广播的数据进行捕获和分析的监视软件(sniffer)来观察和分析被广播的广告。第三方140可能是不可信的或者可能是恶意的(例如,对手或攻击者)。
在一些情况下,用户102可能希望对于拥有设备110中的某些设备保留隐私,但对于设备110中的其他设备不必保留隐私。设备110中的哪些设备是用户102可能会认为敏感并因此而应当受到隐私保护的可以取决于用户的风险规避水平。例如,设备c116可以是医疗保健或健身相关设备,并且用户102因此可能会期望针对设备c116的隐私保护。
用户102可以配置网关120以保护设备c116的隐私。例如,网关120可以包括用户界面或者可以是经由网页可访问的,由此用户102可以指定哪些设备110将受到隐私保护(即,在本示例中为设备c116)。在一些实施方式中,网关120可以是计算机、智能手机、平板电脑、计算设备、联网接入点(例如,无线接入点、路由器)等。
网关120的各种实施方式将在以下参考图2至图7来进一步描述。在一些实施方式中,网关120可以通过对设备c116广播的广告进行干扰(例如,通过广告干扰信号122)来保护设备c116的隐私,而并不影响其他设备112和114的广告118。借助于对设备c116的广告进行干扰,可以有效地隐藏设备c116的存在。
网关120还对虚拟设备广告124进行广播,该虚拟设备广告124包括针对虚拟设备(即,由网关120编造的虚构设备)的广告以及代表设备c116广播的简化信息广告,在该简化信息广告中删除了识别信息或敏感信息。借助于在虚拟设备的广告之中包括针对设备c的简化信息广告,第三方140具有识别出真实设备c116或设备c116的类别的较低确定性。
例如,第三方140可以对可见设备150(包括与设备a112对应的设备a152和与设备b114对应于的设备b154)进行观察,借助于未受隐私保护的这些设备的广告118。第三方140还基于虚拟设备广告124对虚拟设备c156、虚拟设备d158和虚拟设备e160进行观察。虚拟设备c156可以(通过简化信息广告)与设备c116相关联,而虚拟设备d158和虚拟设备e160是由网关120编造的,但是因为广告124全部以相似的格式和方式从相同的网关120中被广播出来,第三方140可能无法对那些被广告的设备进行区分,。因此,隐私受保护设备c116的存在被混淆在虚拟设备之中。
在一些情况下,用户102可能会信任其他设备160与设备c116进行通信,诸如用户自己的设备或可信任的伙伴(例如,朋友、家人、保健提供者等)的设备等。例如,可信设备160可以是计算机、智能手机等。可信设备160可以通过诸如wi-fi或任何其他不同的通信信道或者不同于与广告118相关联的通信技术(例如,ble)的技术等带外通信126而与网关120相连接。随后,网关120可以通过带外通信126对可信设备160指示哪些虚拟设备广告124对应于真实的设备c116。
借助于前述内容,隐私受保护设备的存在可以对第三方观察者隐藏,而同时仍允许与可信设备进行连接。
图2描绘了示例装置200的框图。在一些实施方式中,装置200可以用作或形成上述网关120的一部分。装置200对于保护隐私受保护设备210(也称为设备210)的隐私而言可以是有用的。隐私受保护设备210可以是iot设备,并且可以类似于上述的设备c116。隐私受保护设备210包括通信工艺(例如,包括收发器)用以以无线方式广播循环广告212,以便宣告其的存在及可用性,用以与附近的电子设备连接并且用以在成功连接时与那些电子设备交换数据。装置200可以包括与隐私受保护设备210所使用的相同或相兼容的通信工艺。
装置200包括广告干扰器202和广告器204,其中的每一个可以是硬件与编程的任何组合,以如本文所描述地实现广告干扰器202和广告器204各自的功能。例如,编程可以是存储在非暂时性机器可读介质上的可执行指令,并且用于组件的硬件可以包括用以提取和/或执行那些指令的处理资源(术语“非暂时性”不包含瞬时传播信号)。例如,处理资源可以是微控制器、微处理器、中央处理单元(cpu)内核、专用集成电路(asic)、现场可编程门阵列(fpga)、和/或适用于从机器可读介质中提取和/或执行指令的其他硬件设备,并且机器可读介质可以是随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、闪存、硬盘驱动器等。另外地或可替代地,广告干扰器202和广告器204可以包括一个或多个硬件设备,该一个或多个硬件设备包括用于实现本文所描述的功能的电子电路或逻辑。
装置200包括广告干扰器202以干扰(220)隐私受保护设备210广播的广告212。可以利用各种干扰技术,并且具体的实现细节可以取决于由隐私受保护设备210使用以便对广告212进行广播的通信技术。在一些实施方式中,广告干扰器202可以以与隐私受保护设备210进行广告一致的时序广播干扰信号。在这种方式下,干扰信号可以干扰、阻挡、掩盖、破坏或以其他方式干涉由隐私受保护设备210广播的广告212。因此,广告212可以不再被其他电子设备看到或观察到。
装置200还包括用于广播虚拟设备广告230的广告器204。根据生成广告212的相同通信技术,虚拟设备广告230被格式化并被广播。在一些实施方式中,广告器204广播虚拟设备广告230,并且广告干扰器202在不同的时间广播干扰信号(例如,220)。虚拟设备广告230包括针对虚拟设备的广告以及代表隐私受保护设备210的简化信息广告232,这将依次进行描述。
虚拟设备广告230包括针对虚拟设备(即,由装置200设计的虚构设备)的广告。尽管是虚构的,但虚拟设备广告230可以基于真实世界的设备(例如,已经在负责所涉及的通信技术的标准化的行业组织中注册的现有产品)。所广告的虚拟设备可以归入设备类别(例如,如由行业组织定义的),其中这些类别可以包括可穿戴设备类别、玩具设备类别、健康设备类别、电话设备类别、成像设备类别等。在一些实施方式中,虚拟设备广告可以包括在与隐私受保护设备210相同的设备类别内的虚拟设备的广告。另外地或可替代地,虚拟设备广告可以包括在与隐私受保护设备210不同的设备类别中的虚拟设备的广告。借助于前述内容,隐私受保护设备210的匿名性可以在同一设备类别内以及跨设备类别而保护。
在一些实施方式中,装置200通过捕获隐私受保护设备210的广告212、并且修改广告212以去除敏感信息(例如,用户名、设备名称)同时保持用于与设备210连接的足够的信息(例如,设备地址),来生成简化信息广告232。借助于在虚拟设备广告230之中包括简化信息广告232,隐私受保护设备210的存在可以被隐藏在虚拟设备之中,因此阻止了第三方观察者的剖析尝试,同时仍允许可信设备与隐私受保护设备210相连接。
图3描绘了用于保护隐私受保护设备310(也称为设备310)的隐私的示例装置300的框图。在一些实施方式中,装置300可以用作或形成上述网关120的一部分。装置300包括广告干扰器302、虚拟设备广告器304、以及访问控制管理器306,其中的每一个将在下文中进一步描述。广告干扰器302、广告器304和访问控制管理器306可以各自是硬件(例如,处理资源、电子电路、逻辑)与编程(例如,存储在非暂时性机器可读介质上的指令)的任何组合,以如本文所描述地实现它们各自的功能。
隐私受保护设备310可以是iot设备,并且可以类似于上述的设备c116。隐私受保护设备310包括通信工艺用以以无线方式广播循环广告312,以便宣告其的存在及可用性,用以与附近的电子设备连接并且用以在成功连接时与那些电子设备交换数据。装置300可以包括与隐私受保护设备310所使用的相同或相兼容的通信技术。例如,隐私受保护设备310可以对广告312进行广播,并且以与ble协议相兼容或者遵守ble协议的方式来交换数据。在这样的实施方式中,装置300也可以包括ble(或ble兼容)收发器。
考虑到与广告312有关的隐私问题,设备310的用户可能想要保护设备310的隐私。用户可以通过装置300的接口来配置装置300以保护设备310的隐私。例如,装置300可以采取智能手机(或其他计算设备)的形式,在这种情况下,接口可以包括触摸屏(或其他输入/输出外围设备)以接收配置数据。在另一示例中,装置300可以采取诸如接入点等联网装备的形式,在这种情况下,接口可以是由装置300提供的网页或入口网站。用户可以通过经由接口来指定设备310将要受到隐私保护,来配置装置300。在一些实施方式中,装置300可以提供或显示检测到的设备的列表,包括借助于广告312而检测到的设备310,并且用户可以从列表中选择设备以配置装置300要提供的隐私保护。
访问控制管理器306可以对经由接口指定的隐私受保护设备可配置列表进行维护(例如,在储存器或存储器中)。在一些实施方式中,响应于被配置为对设备310的隐私进行保护,装置300可以进入获知时段以获知设备310的特性以及广告312。下面将进一步描述装置300进行获知的一些示例方面。
关于ble协议,广告312可以在2.4ghz频谱上的三个广告信道中的任何一个广告信道上被广播。设备310以在设备310的配置中所确定的预设速率来广播广告312。更具体而言,广告可以以在20毫秒与10.24秒之间的一间隔发生,增量为0.625毫秒。另外,为了避免广告312与其他设备的广告发生冲突,设备310可以在进行广告之前在广告间隔的开端等待在0与10毫秒之间的随机延迟。因此,广告312之间的时间可以在ble协议下改变。
广告干扰器302干扰(320)隐私受保护设备310广播的广告。在一些实施方式中,广告干扰器302可以以与隐私受保护设备310进行广告一致的时序在无线广告信道上广播干扰信号,以对广告312进行干扰。干扰信号可以以广告间隔(干扰信号的广播之间的间隔)周期性地被广播,并且可以被广播达一持续时间(被称为干扰持续时间)。
在利用ble协议的示例实施方式中,广告干扰器302可以通过命令装置300的ble收发器在一时间窗口内通过三个ble广告信道中的一个或多个广告信道连续地进行传输来生成干扰信号。更具体而言,广告干扰器302可以向ble收发器发出主机控制器接口(hci)传输测试命令(例如,0x080x01echannelpacket_lengthpacket_type)以发起连续的干扰传输,并且可以发出另一hci命令(例如,0x080x01f)以停止干扰传输。
在一些实施方式中,广告干扰器302可以获知用于广播干扰信号的广告间隔。例如,广告干扰器302可以在前述的获知时段期间或在获知时段之后的任何其他时间(例如,通过用户命令或周期性地)获知广告间隔。该获知可以基于在获知时段期间由装置300观察到的多个广告312。被连续地观察到的广告312之间的时间间隔被称为“观察到的时间间隔”。
广告干扰器302可以基于来自观察到的时间间隔之中的最小间隔来获知广告间隔。针对基于ble的广告312,广告间隔可以是可被0.625毫秒(即,针对广告间隔增量的ble规范)整除的最小间隔。
如上所述,基于ble的广告312可以在0到10毫秒范围内的随机延迟之后被广播。因此,考虑到随机延迟,广告干扰器302可以广播干扰信号持续达至少10毫秒的长干扰持续时间以覆盖全部可能的延迟范围,并提供对广告312的干扰。在一些实施方式中,考虑到由于随机延迟而实际地广播连续的广告312时的累积不确定性,针对每个连续的干扰信号广播,可以将干扰持续时间延长。例如,如果广告间隔是1000毫秒并且干扰持续时间是10毫秒,则第一干扰信号可以在0秒处被广播达10毫秒的持续时间,第二干扰信号可以在1000毫秒处被广播达20毫秒的持续时间,第三干扰信号可以在2000毫秒处被广播达30毫秒的持续时间,第四干扰信号可以在3000毫秒处被广播达40毫秒的持续时间等。
在另一实施方式中,广告干扰器302可以获知干扰持续时间(例如,在获知时段期间或者其后的任何时间),而不是默认为10毫秒的持续时间。如果广告312没有利用全范围的延迟(例如,延迟通常短于10毫秒),则获知干扰持续时间可以是有用的,并因此可以减少干扰,以避免干涉其他传输,诸如将在下面描述的虚拟设备广告的广播等。广告干扰器302可以使干扰持续时间基于观测到的时间间隔与获知到的广告间隔之间的算术差值的经验分布(例如,直方图、经验密度函数等)。
更特别地,广告干扰器302可以选择算术差值的分布的百分等级(例如,第75百分位、第80百分位、第90百分位等)来作为干扰延迟。以这种方式,干扰信号将对广告312的大部分(如果不是所有的话)随机变化的广播进行干扰。以上述方式,所获知的干扰持续时间也可以针对干扰信号的连续广播而被延长。下面将参考图3来描述获知广告间隔和干扰持续时间的示例方法。
在一些实施方式中,广告干扰器302可以针对广告312进行监听,包括在干扰持续时间期间内。在有效干扰期间,广告312可以被完全隐藏或者可以被破坏。借助于诸如与被破坏的广告312相关联的信号功率水平或者被破坏的广告312中的某些识别信息(尽管校验和是无效的)之类的上下文信息,广告干扰器302可以推断出被破坏的广告312属于隐私受保护设备310。检测到的广告312(不管是否被破坏或以其他方式)可以被广告干扰器302使用,以作为针对干扰时间的新参考点。广告干扰器302可以在检测到的广告312之后的广告间隔处广播下一个干扰信号且持续达原始的干扰持续时间(即,诸如10毫秒的默认值,或获知到的干扰持续时间)。
广告器304对虚拟设备广告330进行广播,虚拟设备广告330可以在许多方面类似于虚拟设备广告230。例如,虚拟设备广告可以包括针对与隐私受保护设备310的设备类别相同的设备类别和/或不同的设备类别中的虚拟设备的广告。另外,虚拟设备广告330包括针对隐私受保护设备310的简化信息广告332,简化信息广告332可以在许多方面类似于上述的简化信息广告232。在一些实施方式中,广告器304可以在前述的获知时段期间观察广告312,并且可以根据这些获知时段中的广告312来生成简化信息广告232(例如,通过去除敏感信息或识别信息)。
在广告312和干扰320是基于ble的实施方式中,虚拟设备广告330也与ble协议相兼容。当广告干扰器302不广播干扰信号时(例如,在干扰持续时间之外),广告器304可以对虚拟设备广告330进行广播。
广告器304可以使用相同的数据结构来生成虚拟设备的广告和简化信息广告。广告器304可以计算用于对虚拟设备广告330进行广告的时间表。为了在ble环境中发送虚拟广告,广告器304可以利用hci命令来改变装置300的ble收发器的地址,设置广告数据和扫描响应以匹配或模拟虚拟设备,然后在ble广告信道上进行广播。借助于使用相同的逻辑和硬件(例如,ble收发器)进行发送以广播来自装置300的广告,所有的虚拟设备广告330(包括简化信息广告332)将无差别地从相同的硬件中发起,从而混淆了任何第三方观察者。
用户可能希望将可信设备340连接到隐私受保护设备310。尽管广告312被干扰,但广告干扰器302代表设备310来广播简化信息广告332,可信设备340可以通过该广播简化信息广告332而连接到设备310。然而,由于简化信息广告332被隐藏在其他虚拟设备广告330之中以阻止第三方加以剖析,所以可信设备340也可能无法正确地区分哪些虚拟设备广告330对应于隐私受保护设备310。
为了将可信设备340与隐私受保护设备310连接,可信设备340可以首先通过带外通信链路而连接到装置300(并且特别地,连接到访问控制管理器306)。在一些实施方式中,可信设备340可以使用例如密码、证书或其他安全措施来连接到装置300以确认可信设备340的可信状态(即,隐私受保护设备310的用户批准隐私受保护设备310与可信设备310之间的连接)。带外通信链路可以是与对广告312、330进行广播的通信技术不同的通信技术。例如,在广告312、330是基于ble的实施方式中,带外通信链路可以使用wi-fi。
一旦连接上,访问控制管理器306就通过带外通信链路向可信设备340指示(350)哪些虚拟设备广告330对应于隐私受保护设备310。例如,访问控制管理器306可以与可信设备340共享包括在简化信息广告332中的设备地址和/或其他信息(例如,设备类型)。随后,访问控制管理器306对未来的时间窗口进行调度,以临时性暂停由广告干扰器302进行的干扰320,使得可信设备340可以与隐私受保护设备310的商定连接。
图4是根据实施方式的用于保护设备隐私的示例方法400的流程图。方法400可以以存储在机器可读介质上并由处理资源执行的可执行指令的形式和/或以电子电路的形式来实现。例如,方法400在下面被描述为被诸如图1的网关120等网关设备来执行。诸如例如装置200或300(或下面描述的网关500或600)等各种其他设备也可以执行方法400。在本公开的一些实施方式中,方法400的块可以大致同时地被执行、可以持续地被执行、和/或可以重复地被执行。
方法400在块402处开始,并且继续到块404,其中网关设备对隐私受保护设备的广告进行干扰。在块406处,网关设备广播虚拟设备广告,该虚拟设备广告包括针对隐私受保护设备的简化信息广告。在块408处,网关设备通过带外通信链路对可信设备透露哪些虚拟设备广告对应于隐私受保护设备。方法400在块410处结束。
图5是根据另一实施方式的用于保护设备隐私的示例方法的流程图。如同方法400,方法500可以以存储在机器可读介质上并由处理资源执行的可执行指令的形式和/或以电子电路的形式来实现。方法500在下面被描述为被诸如图1的网关120等网关设备来执行。方法500的至少一些部分也可以由装置200或300(或下面描述的网关500或600)来执行。在本公开的一些实施方式中,方法500的一个或多个块可以大致同时地被执行,或者以与图5中所示的顺序不同的顺序被执行。方法500的块中的一些块有时可以持续和/或可以重复。在本公开的一些实施方式中,方法500可以包括比图5所示的更多或更少的块。
方法500在块502处开始,并且继续到块503,其中网关设备可以从用户处接收用于识别要受到隐私保护的设备的配置数据。例如,网关设备可以提供检测到的设备的列表,并且用户可以从该列表中(经由网关设备的接口选择)要接收隐私保护的设备。
在块504处,网关设备可以观察由隐私受保护设备广播的原始(即未被干扰)广告,并且通过修改隐私受保护设备的原始广告来生成简化信息广告,以去除名称信息并保持隐私受保护设备的设备地址。简化信息广告还可以保持来自原始广告的设备类型或其他非敏感信息。在一些实施方式中,根据原始广告生成简化信息广告包括使携带敏感信息(例如,用户标识、设备名称、设备品牌、传感器数据)的原始广告的有效载荷字段归零。
在块506处,网关设备生成虚拟设备广告。虚拟设备广告可以包括针对与隐私受保护设备不同的设备类别中的虚拟设备的广告、针对在与隐私受保护设备相同的设备类别内的虚拟设备的广告、或者它们的组合。
在块508处,网关设备获知对干扰信号进行广播的时间,以与隐私受保护设备进行广告相一致。该时间可以以广告间隔和干扰持续时间的形式来描述。广告间隔对连续干扰信号的广播之间的间隔进行控制,并且干扰持续时间对干扰信号的持续时间进行控制。
在一些实施方式中,块508处的获知包括:观察由隐私受保护设备广播的多个广告,并且计算多个广告中的连续广告之间的时间间隔。随后,网关设备可以将广告间隔设置为计算出的时间间隔之中的最小间隔。网关设备还可以根据从计算出的时间间隔中减去广告间隔而得到的算术差值的分布来计算干扰持续时间。在一些实施方式中,干扰持续时间可以是该分布的百分等级。
在一些实施方式中,块504、506、508可以被认为是发生于获知期间。在块508之后,方法500可以在一些实施方式中沿着包括块510、512的第一路径和包括块516、518的第二路径而并行地进行。在一些实施方式中,第一路径和第二路径可以异步地进行。将依次对这些路径进行描述。
在块510处,网关设备对隐私受保护设备的广告进行干扰。干扰可以包括使用在块508处获知到的广告间隔和干扰持续时间,以与隐私受保护设备进行广告一致的时序在无线广告信道上广播干扰信号。
在块512处,网关设备对虚拟设备广告进行广播。更具体而言,网关设备广播在块504处生成的简化信息广告和在块506处生成的虚拟设备广告。在块512之后,方法500行进到块514,但是在描述块514之前,将首先对块516和518进行描述。
在块516处,网关设备确定是否已经接收到来自可信设备的带外通信。更具体而言,带外通信可以是由可信设备发出的连接到隐私受保护设备的请求。另外,作为带外通信的一部分,可信设备可以向网关设备认证其自身(例如,经由密码、证书等)。如果没有接收到带外通信(块516处为“否”),则方法500行进到块514。如果已经接收到带外通信(块516处为“是”),则该方法行进到块518,其中网关设备通过带外通信链路透露哪些虚拟设备广告对应于隐私受保护设备。在块518之后,该方法行进到块514。
在块514处,网关设备可以确定是否继续针对隐私受保护设备的隐私保护。如果要继续隐私保护(块514处为“否”),则网关设备行进返回到块510和/或块516。如果要结束隐私保护(块514处为“是”),则网关设备行进到块520并且方法500结束。在一些实施方式中,用于结束隐私保护的一些示例情况包括用户配置网关设备停止隐私保护或隐私受保护设备退出网关设备的传输范围。
图6是描绘包括处理资源602的示例网关600的框图,该处理资源602被耦接到用于存储(或编码有)指令606、608、610、612的非暂时性机器可读介质604。网关600可以形成上述网关120的一部分。
在一些实施方式中,处理资源602可以是微控制器、微处理器、cpu内核、asic、fpga和/或适用于提取和/或执行被存储在机器可读介质604上的指令的其他硬件设备。另外地或可替代地,处理资源602可以包括用于实现本文所描述的功能的一个或多个包括电子电路的硬件设备。
机器可读介质604可以是适合于存储可执行指令的任何介质,诸如ram、rom、eeprom、闪存、硬盘驱动器、光盘等。在一些示例实施方式中,机器可读介质604可以是有形的非暂时性介质。如图6所示,机器可读介质604可以设置在网关600内,在这种情况下,可执行指令可以被视为安装或嵌入在网关600上。可替代地,机器可读介质604可以是便携式(例如,外部)存储介质,并且可以是安装包的一部分。
如下面进一步描述的,机器可读介质604可以编码有一组可执行指令606、608、610、612。应当理解,在可替代的实施方式中,包括在一个逻辑框内的可执行指令和/或电子电路中的一部分或全部可以被包括在图中所示的不同的逻辑框中或者未示出的不同的逻辑框中。
指令608在被执行时使处理资源602维护包括隐私受保护设备的设备隐私保护列表。指令610在被执行时使处理资源602以与隐私受保护设备进行广告一致的时序在无线广告信道上广播干扰信号。指令612在被执行时使处理资源602在无线广告信道上广播虚拟设备广告,该虚拟设备广告包括针对隐私受保护设备的简化信息广告。指令614在被执行时使处理资源602通过带外通信链路用哪些虚拟设备广告对应于隐私受保护设备的指示对可信设备进行响应。
图7是描绘包括处理资源702的示例网关700的框图,该处理资源702被耦接到存储(或编码有)指令706、708、710、712的非暂时性机器可读介质704。处理资源702和非暂时性机器可读介质704可以在许多方面分别类似于处理资源602和非暂时性机器可读介质604。网关700可以形成上述网关120的一部分。
指令706在被执行时使处理资源702观察由隐私受保护设备广播的多个广告。指令708在被执行时使处理资源702计算多个广告中的连续广告之间的时间间隔。指令710在被执行时使处理资源702将广告间隔设定为计算出的时间间隔之中的最小间隔。指令712在被执行时使处理资源702根据时间间隔与广告间隔之间的算术差值的经验分布来计算干扰持续时间。通过例如上述指令610来广播干扰信号的时序可以基于广告间隔和干扰持续时间,其中广告间隔对连续干扰信号的广播之间的间隔进行控制,并且干扰持续时间对干扰信号的持续时间进行控制。
图8描绘了广播800的示例时序序列,包括广告干扰和虚拟设备广告。例如,干扰信号和虚拟设备广告可以在下面被描述为由诸如图1的网关120等网关进行广播,但是诸如例如装置200或300或网关600或700等各种其他设备也可以执行广播。所示的时序序列对于对隐私受保护设备进行干扰而言可以是有用的,该隐私受保护设备根据诸如ble等协议来进行操作,该协议以固定间隔加上随机延迟(例如,在ble下为0到10毫秒)来广播广告。因此,在一些示例中,网关和隐私受保护设备可以操作相同或兼容的通信技术(诸如ble等)。
网关(例如,类似于120)可以首先检测由隐私受保护设备(例如,类似于116)广播的广告810-1,广告810-1被认为是参考点。随后,网关等待自该参考点起的广告间隔802。例如,广告间隔802可以由网关以类似于以上关于广告干扰器302、方法500的块508或指令706、708、710所描述的方式来获知。
在等待了广告间隔802之后,网关在参考点(810-1)之后广播第一干扰信号达持续时间804-1。第一干扰信号的持续时间是基本持续时间,该基本持续时间可以为默认值(例如,与隐私受保护设备的通信协议相关联的最大随机延迟值,诸如针对ble的10毫秒等)或者可以为由网关以类似于以上关于广告干扰器302、方法500的块508或指令712所描述的方式而获知到的持续时间。由于随机延迟,网关可能事先不知道隐私受保护设备何时对其广告进行广播,所以干扰信号可以在基本持续时间内连续广播,以考虑覆盖隐私受保护设备进行广告时的大部分或全部的随机延迟。
随后,网关在参考点(810-1)之后广播第二干扰信号之前,等待了另一广告间隔802(例如,从具有持续时间804-1的第一干扰信号的开始计时),该第二干扰信号具有持续时间804-2。同时,当网关在干扰信号之间进行等待时,网关会广播虚拟设备广告806,该虚拟设备广告806包括针对隐私受保护设备的简化信息广告,该简化信息广告被隐藏在针对虚拟设备的广告之中。
存在于随机延迟中以及因此存在于隐私受保护设备进行广告的实际时序中的不确定性与每个连续广告间隔混合。因此,考虑到所增加的不确定性,干扰持续时间804-2比持续时间804-1更长,以便提供干扰。例如,持续时间804-2可以是进程持续时间804-1加上基本持续时间。类似地,第三干扰信号具有可以为持续时间804-2加上基本持续时间的持续时间804-3。
间或,网关可能会检测到由隐私受保护设备广播的广告。例如,在图8中,网关可以检测出在检测到的广告810-1之后的第n个干扰信号期间所发生的广告810-2。广告810-2可以在干扰持续时间(例如,804-n)期间内发生,在这种情况下,广告810-2可能会由于干扰而被破坏,但凭借上下文信息仍可归属于隐私受保护设备。在一些情况下,广告810-2可以在干扰持续时间之外。
网关可以将新检测到的广告810-2视为新的参考点。例如,网关可以自新的参考点(即,检测到的广告810-2)起等待广告间隔802,随后对具有持续时间804-(n+1)的干扰信号进行广播,该持续时间可以是基本持续时间。新参考点(810-2)之后的第二干扰信号可以具有持续时间804-(n+2),该持续时间804-(n+2)是持续时间804-(n+1)加上基本持续时间,以此类推。
可信设备(例如,类似于设备160)可以经由带外通信链路而与网关进行通信。例如,可以在通过ble执行通信800的同时,通过wi-fi来执行带外通信850。响应于来自可信设备的、连接到隐私受保护设备的请求852,网关可以暂时性地停止干扰(例如,由针对干扰持续时间804-(n+3)的虚线框来表示)并允许在隐私受保护设备与可信设备之间的经由ble的连接812。干扰中的临时性暂停可以由网关来调度,并且可能不一定会发生在紧接着请求852之后的干扰的下一个实例中。
鉴于前面的描述,可以理解,网关设备(例如,联网接入点、智能手机、其他计算设备)可以保护用户和用户的设备(诸如物联网设备)的隐私。更具体而言,可以在不修改设备的基础通信工艺或协议(例如,ble)的情况下实现这种隐私保护。另外,可以提供隐私保护而不考虑设备类型或类别(即,隐私保护是设备无关的)。而且,网关设备可以借助于通过带外通信链路仅对可信设备透露哪些虚拟设备广告对应于隐私受保护设备,来提供访问控制功能。
在前面的描述中,阐述了许多细节以提供对本文所公开的主题的理解。但是,实施方式可以在没有这些细节中的部分或全部的情况下加以实践。其他的实施方式可以包括上述细节的修改和变化。这旨在所附权利要求覆盖这样的修改和变化。