专利名称:收集匿名且可追踪的遥测的制作方法
收集匿名且可追踪的遥测
背景技术:
遥测允许获取远程源处的数据并将该数据发送到遥测收集器。遥测收集器接着聚 集数据和/或对数据执行其他计算以用于报告、决策制定、软件改进等等。使用遥测数据的 系统的一些示例包括软件故障转储收集、软件质量度量收集、病毒和攻击检测统计、包括与 攻击者相关联的URL和IP地址的名声遥测等等。遥测数据可由低质量源提供或甚至由有目的地发送虚假数据的源提供。一种避免 低质量和虚假数据的方式是请求标识或认证该数据的源的信息。来自已知为低质量或有问 题质量的源的数据接着被丢弃。然而,由于担心公开敏感私密信息,当发送遥测数据时,企业和个人不喜欢标识他 们自己。结果,这样的企业和个人退出或不参与发送遥测数据。在此要求保护的主题不限于解决任何缺点或仅在诸如上述环境中操作的各个实 施例。相反,提供该背景仅用以示出在其中可实践在此描述的部分实施例的一个示例性技 术领域。
发明内容
简言之,此处所描述的主题各方面涉及收集匿名且可追踪的遥测。在各个发面,揭 示了一第三方机制,该第三方机制发放证书或不公开遥测源但将该遥测源与其他源区分开 的其他数据。遥测源可从第三方证书发放器获取证书或其他数据。遥测收集器可验证该证 书是有效的或遥测数据是由已认证的遥测源发送的,但在没有不包括在该证书或其他数据 内的附加信息的情况下不能发现遥测源的身份。这种安排使得实体在提供遥测数据时感到 自信,而不用担心遥测数据将会被用于标识他们。与此同时,遥测收集器可使用该数据来帮 助获取可靠的遥测数据。提供本概述是为了简要地标识在以下详细描述中进一步描述的主题的一些方面。 本概述并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要 求保护的主题的范围。除非上下文清楚地指出,否则短语“此处所描述主题”指的是详细描述中所描述的 主题。术语“方面”被当作“至少一个方面”。标识详细描述中所描述的主题的各方面不旨 在标识所要求保护的主题的关键特征或必要特征。上述各方面和此处所描述主题的其它方面是借助于示例说明的,并且不受附图限 制,附图中相同的标号指出相似的元素。附图简述
图1是表示其中可结合此处所描述主题的各方面的示例性通用计算环境的框图;图2是表示此处所描述的主题的各方面可在其中实现的示例性环境的框图;图3是表示根据此处所描述的主题的各方面配置的示例性系统的组件的框图;以 及图4-5是根据此处所描述的主题的各方面的概括地表示可发生的动作的流程图。
详细描述定义如此处所使用的,术语“包括”及其变体被当作开放式术语,表示“包括但不限于”。 除非上下文清楚地指示出,否则术语“或”被当作“和/或”。其他显式或隐式定义可包括在 下文中。示例性操作环境图1示出可在其上实现此处所描述主题的各方面的合适的计算系统环境100的示 例。计算系统环境100仅为合适的计算环境的一个示例,并非旨在对此处所描述主题的各 方面的使用范围或功能提出任何限制。也不应该将计算环境100解释为对示例性操作环境 100中示出的任一组件或其组合有任何依赖性或要求。此处所描述的主题的各方面可与众多其他通用或专用计算系统环境或配置一起 操作。可适用于这里所述的主题的各方面的已知计算系统、环境或配置的例子包括个人计 算机,服务器计算机,手持或膝上型设备,多处理器系统,基于微控制器的系统,机顶盒,可 编程消费电子设备,网络PC,微型计算机,大型计算机,个人数字助理(PDA),游戏设备、打 印机,包括机顶盒、媒体中心或其他家电的家电设备,嵌入汽车或附加到汽车的计算设备, 其他移动设备,包括任何上述系统或设备的分布式计算环境等等。此处所描述主题的各方面可在由计算机执行的诸如程序模块等计算机可执行指 令的一般上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型 的例程、程序、对象、组件、数据结构等等。此处所描述的主题的各方面也可以在其中任务由 通过通信网络链接的远程处理设备执行的分布式计算环境中实现。在分布式计算环境中, 程序模块可以位于包括存储器存储设备在内的本地和远程计算机存储介质中。参考图1,用于实现此处所描述主题的各方面的示例性系统包括计算机110形式 的通用计算设备。计算机可包括能够执行指令的任何电子设备。计算机110的组件可包 括处理单元120、系统存储器130以及将包括系统存储器的各类系统组件耦合至处理单元 120的系统总线121。系统总线121可以是几种类型的总线结构中的任何一种,包括存储 器总线或存储控制器、外围总线、以及使用各种总线体系结构中的任一种的局部总线。作 为示例,而非限制,这样的体系结构包括工业标准体系结构(ISA)总线、微通道体系结构 (MCA)总线、增强型ISA(EISA)总线、视频电子技术标准协会(VESA)局部总线、也称为夹层 (Mezzanine)总线的外围部件互连(PCI)总线、扩展外围部件互连(PCI-X)总线、高级图形 端 口(AGP)、以及快速 PCI (PCIe)。计算机110通常包括各种计算机可读介质。计算机可读介质可以是能由计算机 110访问的任何可用介质,并包含易失性和非易失性介质以及可移动、不可移动介质。作为 示例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其 它数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算 机存储介质包括但不限于,RAM、ROM、EEPR0M、闪存或其它存储器技术、CD-ROM、数字多功能 盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储设备、或可以用来储存所期 望的信息并可由计算机110访问的任一其它介质。通信介质通常以诸如载波或其他传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其他数据,并包括任何信息传送介质。术语“已调制数据信号” 指的是其一个或多个特征以在信号中编码信息的方式被设定或更改的信号。作为示例而非 限制,通信介质包括有线介质,如有线网络或直接线连接,以及诸如声学、射频(RF)、红外线 及其他无线介质之类的无线介质。上述的任意组合也应包含在计算机可读介质的范围内。系统存储器130包括易失性和/或非易失性存储器形式的计算机存储介质,如只 读存储器(ROM) 131和随机存取存储器(RAM) 132。基本输入/输出系统133 ¢10 包括如 在启动时帮助在计算机110内的元件之间传输信息的基本例程,它通常储存在ROM 131中。 RAM 132通常包含处理单元120可以立即访问和/或目前正在操作的数据和/或程序模块。 作为示例而非限制,图1示出了操作系统134、应用程序135、其它程序模块136和程序数据 137。计算机110还可以包括其他可移动/不可移动、易失性/非易失性计算机存储介 质。仅作为示例,图1示出了从不可移动、非易失性磁介质中读取或向其写入的硬盘驱动器 141,从可移动、非易失性磁盘152中读取或向其写入的磁盘驱动器151,以及从诸如⑶ROM 或其它光学介质等可移动、非易失性光盘156中读取或向其写入的光盘驱动器155。可以在 该示例性操作环境中使用的其他可移动/不可移动、易失性/非易失性计算机存储介质包 括磁带盒、闪存卡、数字多功能盘、其他光盘、数字录像带、固态RAM、固态ROM等等。硬盘驱 动器141通常通过诸如接口 140等不可移动存储器接口连接到系统总线121,而磁盘驱动器 151和光盘驱动器155则通常由诸如接口 150等可移动存储器接口连接至系统总线121。以上描述并在图1中示出的驱动器及其相关联的计算机存储介质为计算机110提 供了对计算机可读指令、数据结构、程序模块和其它数据的存储。例如,在图1中,硬盘驱动 器141被示为存储操作系统144、应用程序145、其它程序模块146和程序数据147。注意, 这些组件可以与操作系统134、应用程序135、其他程序模块136和程序数据137相同,也可 以与它们不同。操作系统144、应用程序145、其他程序模块146和程序数据147在这里被 标注了不同的附图标记是为了说明至少它们是不同的副本。用户可以通过输入设备,如键盘162和定点设备161(通常指鼠标、跟踪球或触摸 垫)向计算机20输入命令和信息。其它输入设备(未示出)可包括话筒、操纵杆、游戏手 柄、圆盘式卫星天线、扫描仪、触敏屏、写字板等。这些和其他输入设备通常由耦合至系统总 线的用户输入接口 160连接至处理单元120,但也可以由其他接口和总线结构,诸如并行端 口、游戏端口或通用串行总线(USB)连接。监视器191或其他类型的显示设备也经由接口,诸如视频接口 190连接至系统总 线121。除监视器以外,计算机还可以包括其他外围输出设备,如扬声器197和打印机196, 它们可以通过输出外围接口 190连接。计算机110可使用至一个或多个远程计算机,如远程计算机180的逻辑连接在网 络化环境中操作。远程计算机180可以是个人计算机、服务器、路由器、网络PC、对等设备 或其它常见网络节点,且通常包括上文相对于计算机110描述的许多或所有元件,但在图 1中只示出存储器存储设备181。图1中所示的逻辑连接包括局域网(LAN) 171和广域网 (WAN) 173,但也可以包括其它网络。这样的联网环境常见于办公室、企业范围计算机网络、 内联网和因特网中。当在LAN联网环境中使用时,计算机110通过网络接口或适配器170连接至LAN171。当在WAN联网环境中使用时,计算机110可包括调制解调器172或用于通过诸如因特 网等的WAN 173来建立通信的其它装置。可为内置或可为外置的调制解调器172可以经由 用户输入接口 160或其他合适的机制连接至系统总线121。在网络化环境中,关于计算机 110所描述的程序模块或其部分可被储存在远程存储器存储设备中。作为示例而非限制, 图1示出了远程应用程序185驻留在存储器设备181上。可以理解,所示的网络连接是示 例性的,且可以使用在计算机之间建立通信链路的其他手段。收集遥测如先前描述的,遥测数据可用于报告、决策制定、软件改进等等。然而,部分由于许 多有可能提供遥测数据的实体不参与发送遥测数据或相比于提供可被用于追踪遥测数据 到提供遥测数据的实体的信息而宁可退出发送遥测数据,获取有质量的遥测数据是有挑战 的。可自动获取遥测数据(例如,在没有用户交互的情况下)、手动获取遥测数据(例 如,通过用户输入)、或自动和手动的某些结合获取遥测数据(例如,某些遥测数据可被自 动地获取而其他遥测数据可通过用户输入获取)。术语“遥测数据”旨在被广泛理解以包括 可通过计算机收集并由传送介质发送的任何数据。虽然先前描述了遥测数据的某些示例, 但这些遥测数据的示例不旨在是包括一切的或限制性的。事实上,基于此处的教导,本领域 技术人员可认识到,可从此处的教导中得出遥测数据的许多其他示例子,而不背离此处所 描述的主题的方面的精神或范围。图2是表示所描述的主题的各方面可在其中实现的示例性环境的框图。该环境可 包括第三方证书发放器205、一个或多个遥测源210-214、遥测收集器215、网络220,并可包 括其他实体(未示出)。各种实体可被定位以相互之间相对接近或跨世界分布。各种实体 可以经由各种网络彼此通信,这些网络包括办公室内和办公室间网络以及网络220。第三方证书发放器205、遥测源210-214、以及遥测收集器215中的每一个可被实 现为在一个或多个计算机(例如,结合附图1描述的计算机110)上的组件。如此处所使用 的,术语组件旨在被理解为包括设备的全部或一部分、在一个或多个设备上执行的一个或 多个软件组件、一个或多个软件组件和一个或多个设备的某些组合,等等。在某些实施例中,以上描述的实体中的一个或多个可驻留在同一站点或在单个计 算机上。例如,第三方证书发送器205和遥测收集器215可被共同位于特定站点上。第三方证书发放器205是生成可被与发送和/或接收遥测数据结合使用的证书或 其他数据的实体。在一实施例中,第三方证书发放器205可生成证书并将该证书提供给寻 找证书的遥测源。证书或其他数据包括能被用于验证是第三方证书发放器205发放了该证 书的信息。这可通过例如使用遥测收集器知道的证书发放器密钥签署标识符来完成。证书 或其他数据不包括发送实体的身份。相反,证书包括诸如数字、串等等的标识符。该标识符 不向接收遥测数据的实体标识发送实体。第三方证书发放器205可包括标识发送遥测信息的实体的信息。例如,第三方证 书发放器205可包括实体的名称和联系信息。此外,第三方证书发放器205能够基于证书 标识特定的实体。然而,为了避免使用第三方证书发放器205上的信息来标识发送遥测数据的实 体,第三方证书发放器205可由独立于操作遥测收集器215的公司的公司来操作。另选地或另外地,可做出法律保证,确保第三方证书发放器205上的信息不被用于获取发送遥测 数据的实体的标识信息。在一个实施例中,在包括在第三方证书发放器205上的信息将不被用于标识发送 遥测数据的实体的法律保证下,第三方证书发放器205和遥测收集器215可由同一公司控 制。在一个实施例中,第三方证书发放器205可向请求证书的实体提供私钥。当该实 体发送遥测数据时,该实体可使用该私钥签署遥测数据。证书也可包括其他信息,该其他信息包括与请求可由遥测收集器用于将该遥测发 送者与其他遥测发送者区分开但不能被用于标识该遥测发送者的证书的实体关联的标识 符、证书的版本、有效期、对应于由发送实体用于签署遥测数据的私钥的公钥、关于第三方 证书发放器的信息、其他数据等等。当遥测收集器215接收遥测数据时,遥测收集器215验证遥测数据是由具有由第 三方证书发放器205发放的有效证书的实体签署的。该验证可遵循常见的公钥基础架构 (PKI)规则,包括确认信任链、确定证书没有被撤销或过期等等。由于证书不包括向遥测收 集器215标识发送实体的信息,所以发送遥测数据的实体对于遥测收集器215是匿名的。在另一实施例中,可向从第三方证书发放器205寻找证书的实体提供认证代码而 不是先前描述的公钥/私钥机制。认证代码是遥测源能用于提供该遥测源与第三方证书发 放器205通信并从第三方证书发放器205接收到该认证代码的证据的数据。在一实施例 中,认证代码可包括数字、串、比特或字节序列、上述组合等等。在一实施例中,认证代码可 被用作对称密钥并可被用以生成被用以认证遥测数据是由有效的遥测源发送的散列值。认 证代码可被用以匿名地认证和/或创建在遥测源和遥测收集器之间的安全通道(例如,加 密的)。当遥测源发送遥测数据时,遥测源向遥测收集器215发送认证代码(例如,通过安 全通道),使用该认证代码产生遥测数据的散列并将该散列发送到遥测收集器215,或以其 他方式使用该认证代码以表明遥测数据来自具有该认证代码的源。为了验证遥测数据来自 被认证的遥测源,遥测收集器215可从第三方证书发放器205获取有效认证代码列表,但是 不具有将认证代码与特定实体进行关联的信息。结合从遥测源接收遥测数据,遥测收集器 215接收认证代码(或遥测源具有认证代码的证据)并使用其有效认证代码列表来验证该 认证代码。如果认证代码是有效的并且遥测源被认为是可靠的(如以下描述的),则遥测收 集器215也接收(并且不拒绝或丢弃)遥测数据。有了由以上机制提供的匿名性,发送遥测数据的实体感觉有信心,他们的敏感信 息是安全的并且从而有勇气参与或不退出发送遥测数据。在遥测收集器215确定遥测数据的源不可靠或提供虚假遥测数据的情况下,遥测 收集器215可决定忽略由具有该特定标识符的证书签署的所有进一步遥测数据。在一实施 例中,遥测收集器215可存储包括在证书内的标识符列表以及与每一标识符相关联的数据 的质量的指示。在另一实施例中,遥测收集器215可存储被认为发送不可靠或虚假遥测数 据的证书的标识符列表,并使用该列表来忽略由使用这些证书的实体发送的遥测数据。当 多于一个遥测收集器参与收集遥测数据时,遥测收集器可共享由与证书或其他标识符相关 联的实体提供的数据的可靠性排名。
老练的攻击者可试图获取多个不同的证书用于发送欺诈信息。为了防止这样的攻 击,可引入与从第三方证书发放器205获得新证书关联的花费。例如,花费可以是货币或可 涉及执行一组手动动作。可计算花费使之足够低以平衡使得潜在遥测源参与的需要,但是 足够高以提供阻碍来防止证书的大量自动获取。作为获取多个证书的另一阻碍,第三方证书发放器205可采取动作来验证寻找证 书的实体的身份。这样的动作可包括,例如,使用政府部门、利用付费基本设施、使用人工验 证、地址的验证、使用第三方数据库和服务、使用试探法等等。发送遥测数据的实体可使用私钥签署数据并将证书与遥测数据一起发送。接收遥 测数据的遥测收集器215可通过使用证书内的数据来验证数据已经被有效地签署。例如, 遥测收集器215可使用第三方证书发放器205的公钥来验证证书由第三方证书发放器205 签署。此外,遥测收集器215可通过使用被包括在证书内的公钥来验证与遥测数据关联的 遥测源的签名。验证签名可涉及使用本领域的技术人员公知的散列。虽然上述环境包括第三方证书发放器205、五个遥测源210-214、以及遥测收集器 215,但可以理解,可以采用更多、更少的这些实体或这些实体的不同组合而不背离此处所 描述的主题的各方面的精神或范围。此外,该环境中包括的各实体和通信网络可以用本领 域技术人员所理解的各种方式来配置而不背离此处所描述的主题的各方面的精神或范围。图3是表示根据此处所描述的主题的各方面来配置的示例性系统的框图。图3中 示出的组件是示例性的且不意味着包括一切的可能需要或包括的组件。在其他实施例中, 结合图3描述的组件和/或功能可被包括在其他组件(示出或未示出)中或者被放置在 子组件中而不背离此处所描述的主题的各方面的精神或范围。在某些实施例中,结合图3 描述的组件和/或功能可跨多个设备分布(例如,附图2中示出的实体中的两个或两个以 上)。转向图3,装置305可包括遥测收集器310、存储340、以及通信机制345。遥测收 集器310可包括遥测接收器315、证书确认器320、信任组件325、以及证书ID跟踪器330。 遥测收集器310可对应于图2的遥测收集器215。通信机制345允许装置305与图2中示出的其他实体进行通信。通信机制345可 以是结合图1描述的网络接口或适配器170、调制解调器172或用于建立通信的任何其它机 制。存储340是能够存储数据的任意存储介质。术语数据被理解为包括信息、程序代 码、程序状态、程序数据、遥测和与遥测相关的数据、其他数据等等。存储340可包括文件系 统、数据库、诸如RAM等易失性存储器、其它存储、以上的某种组合等,并可以跨多个设备分 布。存储340可以是外部的、内部的、或包括对于装置305而言内部的以及外部的组件。遥测接收器315可用于结合证书接收遥测数据。如先前描述的,证书包括可用于 验证证书是由第三方证书发放器发放但不可用于在没有不包括在证书中的附加数据的情 况下确定发送遥测数据的实体的身份的信息。这样的信息的示例是将该证书与其他证书区 分开但在没有附加信息的情况下不标识与该证书关联的实体的数字或其他字节序列。证书确认器320可用于验证证书是由第三方证书发放器发放的。这可涉及,例如, 验证包括在证书内的签名是来自第三方证书发放器的,这可涉及使用与该第三方证书发放 器相关联的公钥。
信任组件325可用于建立与第三方证书发放器的信任关系。在该上下文中,“信任 关系”可涉及获取可用以确定证书是否是由第三方证书发放器发放的公钥或其他信息。在 一示例中,建立信任关系可涉及交换可被用以验证遥测数据是由有效遥测源发送的对称密 钥。在另一示例中,建立信任关系可涉及获取有效认证代码列表。“信任关系”也可涉及本 领域技术人员理解的其他PKI机制。证书ID跟踪器330可用于跟踪结合各种证书接收的遥测数据的可靠性。由于每 一证书包括将其与其他证书区分开的标识符,所以当拒绝或丢弃来自不可靠源的遥测数据 时可使用该标识符。跟踪数据可被存储在存储340中。图4-5是根据此处所描述的主题的各方面的概括地表示可发生的动作的流程图。 为解释简明起见,结合图4-5描述的方法被描绘和描述为一系列动作。可以理解和明白,此 处所描述的主题的各方面不受所示出的动作和/或动作次序的限制。在一个实施例中,动 作以如下描述的次序发生。然而,在其它实施例中,动作可以并行地发生,以另一次序发生, 和/或与此处未呈现和描述的其它动作一起发生。此外,并非所有示出的动作都是实现根 据此处所描述的主题的各方面的方法所必需的。另外,本领域的技术人员将了解和明白,方 法也可以替代地经由状态图或作为事件表示为一系列相互相关联的状态。转向图4,在框405处,动作开始。在框410,建立与第三方证书发放器的信任关 系。例如,参考图2,遥测收集器215建立与第三方证书发放器205的信任关系。如先前指 出的,第三方证书发放器205向表明愿意提供遥测数据的实体发放证书。在一实施例中,建 立与第三方证书发放器205的信任关系可包括获取公钥,该公钥对应于第三方证书发放器 205用于签署证书的私钥。在另一实施例中,建立与第三方证书发放器205的信任关系包括 获取来自第三方证书发放器205的有效认证代码。在框415,从遥测源接收与遥测数据关联的证书。例如,参考图2,遥测收集器215 从遥测源210接收证书。遥测源210先前从第三方证书发放器205获取了这个证书。如先 前描述的,证书包括可用于验证该证书是有效的但不可用于在没有不包括在证书内的附加 数据的情况下确定控制遥测源的实体的信息。在框420,做出关于证书是否有效的判定。如果是,则动作在框430继续;否则,动 作在框425继续。例如,参考图3,证书确认器320对接收到的证书进行确认。如在此使用 的,有效表明证书是从信任的第三方证书发放器发放的、该证书没有过期、以及该证书没有 被撤销。在框425,与证书相关联的遥测数据被适当地拒绝或丢弃。例如,参考图3,如果证 书确认器320确定证书不是有效的,则遥测接收器315可拒绝或丢弃与该证书相关联的任 何传入的遥测数据。在框430,做出与证书关联的源是否已知给出低质量或虚假数据的判定。如果是, 则动作在框425继续;否则,动作在框435继续。例如,参考图3,证书ID跟踪器330确定 证书是否与低质量或已知虚假质量源相关联。在框435处,可以发生其他动作(如果存在)。其他动作可包括,例如,接收遥测数 据并存储它、确定遥测源的可靠性、向遥测数据提供反馈等等。转向图5,在框505处,动作开始。在框510,从第三方证书发放器接收证书。例如, 参考图2,遥测源(例如,遥测源210-214中的一个)从第三方证书发放器205获取证书。该证书被包括在第一数据中,该第一数据可被用于验证发送到遥测接收器的遥测数据是由 对该证书具有访问权限的实体发送的。通过提供不向遥测收集器标识遥测源的标识符,证 书向实体提供相对于遥测收集器的匿名性。在框515,获取遥测数据以发送到遥测收集器。例如,参考图2,遥测源获取遥测数 据以发送到遥测收集器215。在框520,可任选地签署遥测数据。在签名伴随去往遥测收集器的遥测数据的实施 例中,遥测源可使用对应于被包括在证书中的公钥的私钥来签署遥测数据。在遥测源使用 认证代码来向遥测收集器提供遥测数据的实施例中,遥测源可通过安全通道向遥测收集器 发送认证代码、将遥测数据的散列与遥测数据一起发送、或以其他方式使用认证代码来表 明遥测源具有该认证代码。在框525,结合向遥测收集器发送遥测数据来发送证书。例如,参考图2,结合向遥 测收集器215发送遥测数据,遥测源发送证书。在框530处,可以发生其他动作(如果存在)。例如,遥测源可接收遥测数据的接 收确认、帮助遥测源纠正与遥测数据关联的错误的信息、其他数据等等。如从上述详细描述中可以看到,已经描述了关于收集匿名且可追踪的遥测的各方 面。尽管此处所描述主题的各方面易于作出各种修改和替换构造,但其某些说明性实施例 在附图中示出并在上面被详细地描述。然而,应当理解,并不旨在将所要求保护主题的各方 面限制于所公开的具体形式,而是相反地,目的是要覆盖落入此处所描述主题的各方面的 精神和范围之内的所有修改、替换构造和等效方案。
权利要求
1.一种至少部分地由计算机实现的方法,所述方法包括建立G10)与第三方证书发放器的信任关系,所述第三方证书发放器可用于发放用于 提供遥测数据的证书;从遥测源接收(415)证书,所述证书包括可被用以验证该证书是有效的但不能被用以 在没有不包括在该证书内的附加数据的情况下确定控制所述遥测源的实体的信息;以及确定(420)所述证书是否是有效的。
2.如权利要求1所述的方法,其特征在于,确定所述证书是否是有效的包括确定是否 是第三方证书发放器发放了所述证书。
3.如权利要求1所述的方法,其特征在于,建立与所述第三方证书发放器的信任关系 包括获取与所述第三方证书发放器用来签署所述证书的私钥相对应的公钥。
4.如权利要求1所述的方法,其特征在于,进一步包括建立发放证书的花费以阻碍寻 求自动地获取多个证书的实体。
5.如权利要求1所述的方法,其特征在于,进一步包括至少部分基于先前与所述证书 一起发送的遥测数据来确定所述遥测源是否是可靠的。
6.一种具有计算机可执行指令的计算机存储介质,所述计算机可执行指令在被执行时 执行以下动作,包括从第三方证书发放器接收(510)第一数据,所述第一数据可被用以验证发送到遥测接 收器的遥测数据是由具有对于该第一数据的访问权限的实体发送的,所述第一数据向所述 实体提供相对于所述遥测接收器的匿名性;以及结合向所述遥测接收器发送遥测数据,使用(520、52幻所述第一数据来表明所述遥测 数据是由具有对于该第一数据的访问权限的实体发送的。
7.如权利要求6所述的计算机存储介质,其特征在于,所述第一数据向所述实体提供 相对于所述遥测接收器的匿名性包括所述第一数据不包括可被用以在没有不包括在该第 一数据内的附加数据的情况下确定所述实体的身份的信息。
8.如权利要求6所述的计算机存储介质,其特征在于,所述第一数据包括证书,所述证 书包括与所述第三方证书发放器向任何其他实体提供的证书内的任何其他标识符不同的 标识符。
9.如权利要求6所述的计算机存储介质,其特征在于,所述第一数据包括认证代码。
10.如权利要求6所述的计算机存储介质,其特征在于,所述第一数据包括证书,所述 证书包括被用以验证该证书是由所述第三方证书发放器发放的公钥。
11.如权利要求6所述的计算机存储介质,其特征在于,进一步包括使用对应于被包括 在所述第一数据内的公钥的私钥来签署所述遥测数据。
12.一种处于计算环境中的装置,包括遥测接收器(315),所述遥测接收器可用于结合证书接收遥测数据,所述证书包括可用 以验证该证书是由第三方证书发放器发放的但不能被用以在没有不包括在该证书内的附 加数据的情况下确定发送所述遥测数据的实体的身份的信息;以及证书确认器(320),所述证书确认器可用于验证所述证书是由所述第三方证书发放器 发放的。
13.如权利要求12所述的装置,其特征在于,进一步包括证书标识符跟踪器,所述证书标识符跟踪器可用于存储标识所述证书的信息,所述信息被用以跟踪结合所述证书接收到 的遥测数据的可靠性。
14.如权利要求12所述的装置,其特征在于,进一步包括信任组件,所述信任组件可用 于建立与所述第三方证书发放器的信任关系,所述信任关系提供可用以确定证书是否由所 述第三方证书发放器发放的信息。
15.如权利要求12所述的装置,其特征在于,可用以验证所述证书是由所述第三方证 书发放器发放的信息包括所述第三方证书发放器的签名以及对应于所述第三方证书发放 器用以签署证书的私钥的公钥。
全文摘要
此处所描述的主题的各方面涉及收集匿名且可追踪的遥测。在各个方面,遥测源从第三方证书发放器获取证书或其他数据。该证书包括可由证书收集器用于验证证书是有效的信息,但不包括可用于向遥测收集器标识遥测源的信息。
文档编号G06Q20/00GK102138150SQ200980134643
公开日2011年7月27日 申请日期2009年8月20日 优先权日2008年9月1日
发明者A·弗里德曼, A·肖斯塔克, G·A·科汉尼姆, J·尼斯塔德特 申请人:微软公司