基于身份的票务的制作方法

基于身份的票务的制作方法
【专利摘要】本发明提供一种用于基于身份的票务的系统，其中用户设备向终端发送挑战；终端基于挑战更新过滤器，并将过滤器内容发送给用户设备。用户设备将涉及用户设备和终端的过滤器内容发送给后台服务器；后台服务器从过滤器内容导出涉及用户行为的信息。
【专利说明】基于身份的票务

【技术领域】
[0001]概括地，本申请涉及基于身份的票务。


【发明内容】

[0002]通过使用由乘客使用的基于近场通信(NFC)的设备和安装在入口和/或出口的阅读设备控制访问一些交通系统。一些交通系统具有当芯片卡有效时打开的自动门，而一些系统仅具有由乘客设备分接的终端。在基于身份的系统中，存储用户身份并与各用户账户和电子票据相关联。当门控或非门控终端观测到使用电子票据时，从各用户账户对公共交通的使用进行计费。
[0003]在基于身份的系统中，用户身份并不像这样用作票据，从而减轻一些人窃取身份的危险，这些人可能为此目的电子窃听门控或非门控终端和乘客设备之间的通信，或者甚至使用恶意程序。相反，通过生成电子票据，从而用户身份仅由希望这样处理的各方从电子票据中导出。此外，还提供具有用于增加安全性的安全环境的一些乘客设备。
[0004]在一些基于NFC身份的票务系统中，乘客设备通过NFC接口使用标准加密技术的通信，利用门控或非门控终端对其自己进行认证。此外，在一些系统中，提供在乘客设备和交通授权服务器之间的直接或通过终端的恒定通信。
[0005]

【发明内容】

[0006]根据本发明的第一示例性方面，提供一种装置，包括:
[0007]第一存储单元；
[0008]第一输入/输出接口；和
[0009]第一处理器，配置为:
[0010]从用户设备接收挑战；
[0011]根据挑战更新过滤器；和
[0012]将过滤器的内容发送给用户设备。
[0013]过滤器可以是bloom过滤器。
[0014]第一处理器可进一步配置为从用户设备接收令牌时间戳和时间计数器值。
[0015]第一处理器可进一步配置为选择令牌时间戳或时间计数器值以作为估计时间。
[0016]第一处理器可进一步配置为接收进入或退出令牌以作为挑战的一部分。
[0017]第一处理器可进一步配置为控制进入令牌的有效性。
[0018]第一处理器可进一步配置为如果接收到退出令牌则不更新过滤器。
[0019]根据本发明的第二示例性方面，提供一种装置，包括:
[0020]第二存储单元；
[0021]第二输入/输出接口；
[0022]第二处理器，配置为:
[0023]将挑战发送给终端；和
[0024]从终端接收过滤器的内容；其中
[0025]过滤器的内容包括从发送的挑战中导出的信息。
[0026]过滤器可以是bloom过滤器。
[0027]第二处理器可进一步配置为从后台服务器接收一对令牌；其中令牌包括进入令牌和退出令牌。
[0028]第二处理器可进一步配置为从后台服务器接收令牌时间戳。
[0029]第二处理器可进一步配置为提供时间值计数器；并在接收到令牌对后周期性地更新时间值计数器的值。第二处理器可进一步配置为在接收到令牌对后每秒更新时间值计数器的值。更新时间值计数器的值可通过增量增加时间值计数器。增量可以为I。
[0030]第二处理器可进一步配置为将时间值计算器的值发送给终端。
[0031]第二处理器可进一步配置为将过滤器内容发送给后台服务器。
[0032]根据本发明的第三示例性方面，提供一种装置，包括:
[0033]第三处理器，配置为:
[0034]从用户设备接收过滤器的内容；和
[0035]从过滤器内容导出涉及用户行为的信息；其中
[0036]过滤器的内容涉及用户设备和终端。
[0037]过滤器可以是bloom过滤器。
[0038]第三处理器可进一步配置为将一对令牌发送给用户设备。
[0039]第三处理器可进一步配置为将令牌时间戳发送给用户设备。
[0040]第三处理器可进一步配置为从过滤器内容导出还未向终端发送任何挑战的用户设备的身份。
[0041]第三处理器可进一步配置为从过滤器内容导出用户设备的身份，从该用户设备还未接收到过滤器内容。
[0042]根据本发明的第四示例性方面，提供一种方法，包括:
[0043]从用户设备接收挑战；
[0044]根据挑战更新过滤器；和
[0045]将过滤器的内容发送给用户设备。
[0046]过滤器可以是bloom过滤器。
[0047]该方法可进一步包括更新bloom过滤器。
[0048]该方法可进一步包括从用户设备接收令牌时间戳和时间计数器值。
[0049]该方法进一步包括选择令牌时间戳或时间计数器值以作为估计时间。
[0050]该方法进一步包括接收进入或退出令牌以作为挑战的一部分。
[0051]该方法进一步包括控制进入令牌的有效性。
[0052]该方法进一步包括如果接收到退出令牌则不更新过滤器。
[0053]根据本发明的第五示例性方面，提供一种方法，包括:
[0054]将挑战发送给终端；和
[0055]从终端接收过滤器的内容；其中
[0056]过滤器的内容包括从发送的挑战中导出的信息。
[0057]过滤器可以是bloom过滤器。
[0058]该方法可进一步包括从后台服务器接收一对令牌；其中令牌包括进入令牌和退出令牌。
[0059]该方法可进一步包括从后台服务器接收令牌时间戳。
[0060]该方法可进一步包括提供时间值计数器；并在接收到令牌对后周每秒以I更新时间值计数器的值。该方法可进一步包括在接收到令牌对后每秒更新时间值计数器的值。更新时间值计数器的值可通过增量增加时间值计数器。增量可以为I。
[0061]该方法可进一步包括将时间值计算器的值发送给终端。
[0062]该方法可进一步包括将过滤器内容发送给后台服务器。
[0063]根据本发明的第六示例性方面，提供一种方法，包括:
[0064]从用户设备接收过滤器的内容；和
[0065]从过滤器内容导出涉及用户行为的信息；其中
[0066]过滤器的内容涉及用户设备和终端。
[0067]过滤器可以是bloom过滤器。
[0068]该方法可进一步包括将一对令牌发送给用户设备。
[0069]该方法可进一步包括将令牌时间戳发送给用户设备。
[0070]该方法可进一步包括从过滤器内容导出还未向终端发送任何挑战的用户设备的身份。
[0071]该方法可进一步包括从过滤器内容导出用户设备的身份，其中还未从该用户设备接收到过滤器内容。
[0072]根据本发明的第七示例性方面，提供一种计算机程序，包括:
[0073]当计算机程序在处理器上运行时，用于执行本发明任一示例性方面方法的代码。
[0074]根据本发明的第八示例性方面，提供一种包括第七示例性方面的计算机程序的存储介质。
[0075]根据本发明的第九示例性方面，提供一种系统，包括以下的至少两个
[0076]根据本发明第一示例性方面的设备；
[0077]根据本发明第二示例性方面的设备；和
[0078]根据本发明第三示例性方面的设备。
[0079]任一前述的存储介质可包括数字数据存储器，例如数据盘或磁盘、光存储器、磁存储器、全息存储器、光-磁存储器、相变存储器、无源随机访问存储器、磁随机访问存储器、固态电子存储器、铁电随机访问存储器、有机存储器或聚合存储器。存储介质可形成到除存储器外没有其它实质功能的设备中，或者其可成为具有其它功能的设备的一部分，包括但不限于计算机存储器、芯片组、电子设备的子部件。
[0080]前面已经描述了本发明不同的非限制性的示例性方面和示例性实施方式。前述示例性实施方式仅用于解释可在本发明实现中利用的所选择的方面或步骤。一些示例性实施方式仅参照本发明的特定示例性方面进行呈现。可以理解的是，相应的示例性实施方式还可应用到其它示例性方面。

【专利附图】

【附图说明】
[0081]通过参考附图，可以更透彻地理解各种示例性实施方式，其中:
[0082]图1描述了根据一个示例性实施方式的基于身份的票务的环境的框图；
[0083]图2描述了一个不例性环境的系统的架构不意图；
[0084]图3描述了根据一个实施例实施方式的消息发送架构；和
[0085]图4描述了根据一个示例性实施方式的过滤器操作的流程图。

【具体实施方式】
[0086]通过参照附图1-4，可以理解本发明的示例性实施方式及其潜在的优势。
[0087]图1描述了根据一个示例性实施方式的基于身份的票务的环境的框图。交通授权310系统操作例如安装在与公交车站等连接的车辆121上的非门控票据阅读器，或终端200。在示例性实施方式中，一些门控近场通信(NFC)阅读器301可直接或间接与交通授权310的后台系统300和其认证支持平台303连接。所连接的阅读器301可接收它们在用户认证过程中涉及的信息。
[0088]在一些示例性实施方式中，收集用户验证过程中交换信息的全部或部分以作为交易证据，并将其转发给交通授权310的后台系统300的处理单元，例如账目系统307，费用计算引擎311，或其组合。费用计算引擎311可以是由交通授权310维护的数据库。在示例性实施方式中，各方307、309、311可实现为独立的服务器，或者一个或多个组合的服务器。在上文中，将交通授权的全部系统称为后台。
[0089]在一个示例性实施方式中，交通授权310负责分发和维护用于非门控旅行(travel)的终端200，例如智能卡。在一个实施方式中，这些非门控终端在物理上固定地附接到它们的位置上，并可假设为抗干扰的。
[0090]在一个示例性实施方式中，交通授权310的后台300负责从设备100的用户收费。交通授权310的后台300可同时与几个账目授权307连接。此外，全部用户可以预付费或基于信用的用户账户309的形式与至少一个账目授权307相关联。在一个示例性实施方式中，用户账户状态可用于确定可影响提供给用户服务的用户历史。
[0091]在一个示例性实施方式中，交通授权310的后台300还负责产生票务凭证，为用户设备100提供秘密。此外，在一个示例性实施方式中，账目授权307负责交通证据和用户设备的加密有效性和身份使用统计。
[0092]图2描述了适用于执行一些示例性实施方式的系统的架构示意图。该系统包括用户设备100，例如智能电话和阅读器，或终端200。用户设备100至少间歇性地访问后台系统300，例如服务器簇或云。终端至少间接地通过用户设备100访问后台系统300。
[0093]用户设备100例如为便携式设备，例如移动电话、便携式游戏设备、芯片卡票据、导航仪、个人数字助理、平板计算机或便携式网络浏览器。设备100在无接触或有接触的访问其它实体、或相关的通信元件时，通常具有处理信息、执行加密操作和与其它实体(例如后台300和终端200)进行通信的能力。
[0094]用户设备100具有用于加密操作的处理单元，例如处理器101。一些用户设备具有安全环境处理电路，例如孤立的可信执行环境(TEE)lll。用户设备100进一步具有诸如近场通信(NFC)接口的通信接口 112、近场通信(NFC)接口驱动113、逻辑链路控制协议(LLCP)栈114、凭证管理CM 115 (也就是操作系统和/或应用与用于加密操作的处理电路进行交互的接口 )和公共交通应用116。
[0095]在一些示例性实施方式中，用户设备100进一步包括用户接口、移动通信电路、能够使用户安装应用的应用平台，和/或给装置供电的电池。在一些示例性实施方式中，用户设备可在使用时从外部供电，例如电磁感应或电接触。
[0096]终端200包括通信接口(例如近场通信接口 222)、逻辑链路控制协议(LLCP)栈224、引擎226 (用于控制各种认证操作的处理电路)，和包括终端用于其操作所需要的各种数据(包括例如公共认证密钥)的存储器228。终端进一步包括用于加密处理的处理电路(例如处理器201)，例如用于维护和更新诸如算术过滤器的过滤器(400)。在一些示例性实施方式中，将用户设备100和终端200中用于加密操作的处理电路隔离为使用共同硬件实体(也就是，处理器101，201)而逻辑上分离的功能。在一些示例性实施方式中，处理电路的一些或全部逻辑元件可实现为专用的硬件元件。进一步的，在一些示例性实施方式中，通过使用专用的应用和通用的硬件电路实现处理电路。
[0097]在一些实施方式中，终端200在公共交通系统的门控或非门控入口为固定安装的设备。在一些其它的实施方式中，将终端200构建到诸如由票据检测人员使用的便携式设备中。
[0098]在一些实施方式中，交通后台系统300是由服务提供商操作的服务器，具有与用户设备100和/或终端200直接或间接交换信息的通信能力。服务器包括配置为执行其任务的处理器。
[0099]在一个示例性实施方式中，由当前可获得的硬件提供的近场通信(NFC)接口 112接口和各种消息在大小上是优化的。例如在交通站点，在用户设备100和终端200之间的数据交易使用基于NFC对等通信模式的逻辑链路控制协议(LLCP)进行。使用基于NFC的LLCP能够使用链路层传输服务类，例如无连接的数据传输和面向连接的数据传输。
[0100]在一些示例性实施方式中，一个或多个用户设备100、终端200和后台系统300包含或包括其它元件，例如用户接口设备、显示器、音频设备等。
[0101]图3描述了根据一个示例性实施方式的消息发送架构。在使用基于身份的票务开始利用公共交通进行任何旅行前，用户设备100与后台系统300进行通信330，以便接收根据示例性实施方式的基于身份的票务所需要的证书。后台300相应地包括在进入系统的入口。用户设备100从后台系统300检索340数据元素或令牌。检索的令牌与用户的账户、或身份相关联，并包括加密元素。检索的令牌在有限的时间期间内有效，例如15分钟。用户设备100进一步从后台系统300接收当前时间。用户设备进一步按照获得的令牌维护时间计数器值。所述计数器的值周期性地增加，例如每秒加1，以便在很短的时间内提供与从后台300检索到令牌和/或其它加密元素的时间相关联的时间值。
[0102]在终端200，当用户准备开始使用公共交通并希望通过门控的或非门控的公共交通站点进入系统时，用户设备100和终端200彼此相互进行通信。在进入操作中，用户设备100向终端200发送310挑战，包括从后台300检索到的进入令牌，时间计数器的当前值和证书。证书包括是否用户设备具有安全环境(例如，TEE)或非安全环境的信息。在一个示例性实施方式中，证书包括进一步的信息，例如与用户身份相关的信息，证书和/或加密元素(例如公共密钥)有效性的信息。
[0103]在发送挑战之间，由用户设备100的加密处理电路执行挑战所要求的计算，或者在安全环境中，或者在非安全环境中。终端200从用户设备100接收时间估计。
[0104]即使没有与后台300连接，时间计数器值允许终端具有合理的时间估计。终端可使用用户设备100的时间计数器值或令牌提供时间，其应当最多与令牌有限的有效期间同时过时。换句话说，令牌提供时间与实际时间的不同最大为令牌的有效周期。
[0105]在每个进入操作310，终端200将进入签名、令牌，或每个用户设备100的证书记录到过滤器400中，从而更新312过滤器400。
[0106]用于进入系统的终端200返回314进入签名，以作为对来自用户设备200的挑战的响应。过滤器400的内容还返回到用户设备100，并被绑定到由终端200返回314的进入签名，从而作为对来自用户设备100的进入挑战310的响应。
[0107]在一个示例性的实施方式中，每次用户设备100和终端200彼此相互通信时，将用户设备的时间定时器的值报告给终端200。通过时间估计部分地监视用户设备100。时间估计至少部分地防止用户设备在进入系统时使用复制的令牌。每个终端200的时间估计不应大于进入令牌的有效周期，例如15秒，从而在后台300捕捉或检测到大部分并行使用。
[0108]当用户将要完成他使用公共交通的旅行并希望通过门控或非门控的公共交通站点退出系统时，用户设备100和终端200彼此相互进行通信。在退出操作中，用户设备100向终端200发送320挑战，包括在之前的进入操作中从终端检索到的进入令牌签名和进入令牌时间，时间计数器的当前值和证书。证书包括用户设备是否具有安全环境(例如，TEE)或非安全环境的信息。
[0109]用于退出系统的终端200返回322退出签名，以作为对来自用户设备200的挑战的响应。还将过滤器400的内容返回给用户设备100，并被绑定到由终端200返回的退出签名，从而作为对来自用户设备100的退出挑战的响应。
[0110]如果有可能以希望的方式连接后台300和用户设备100的功能，也就是，用户设备或其身份没有被恶意使用，用户设备100周期性地350报告回后台300。用户设备100将从终端200接收到的进入和/或退出签名提供给后台300。这些签名包括过滤器400的值，其可由后台用于检索关于用户行为的信息。如果用户设备100不能将相应的进入和退出签名报告给后台300，终端200无论怎样都会通过其他乘客和他们的用户设备100，或者在一些示例性实施方式中通过在终端200提供的连接性，将过滤器400的内容报告给后台300。
[0111]在票务系统中要考虑的一个因素是乘客旅行的价格。在一个示例性实施方式中，后台300对任何用户设备100和其用户身份假设从后台300检索到令牌的最大费用。如果在有效期内没有使用令牌，也没有建立恶意行为，则将最大的费用返回给用户。否则，实际的用户费用将基于报告给后台300的进入和退出令牌。
[0112]图4描述了根据基于身份的票务一个示例性实施方式的过滤器400的操作的流程图。在一个示例性实施方式中，过滤器400是配置为用于测试元素是否为集合一部分的数据结构。在一个示例性实施方式中，过滤器400以这种方式进行配置，从而对元素是否为集合一部分的查询提供非虚假的否定响应。也就是，没有用于更新过滤器400内容的系统进入令牌必然不是过滤器400的一部分。在一个示例性实施方式中，过滤器400为Bloom过滤器。将过滤器400的内容返回给用户设备100并绑定到签名以返回作为对来自用户设备100的挑战的响应。
[0113]按照终端200、用户设备100和后台300来解释过滤器400的操作。终端200从用户设备100接收进入或退出系统的进入或退出令牌。将用户设备100的进入令牌的系统进入值记录422到过滤器400中，也就是，过滤器400的数据结构以这样的方式更新，从而数据结构包括用户设备100的系统进入值。在一个示例性实施方式中，过滤器400为Bloom过滤器。在Bloom过滤器中，将系统进入值提供给预定数量的哈希函数，以便接收相应数量的比特阵列位置。然后将与阵列位置相对应的比特设置为I，从而将系统进入值记录到过滤器400中。
[0114]虽然退出令牌没有用于更新过滤器400，但是在进入和退出时将过滤器内容返回424给用户设备100。在一个示例性实施方式中，用户设备在进入和退出时与两个不同的终端200进行通信，并接收410两个分离终端的过滤器内容。在一个示例性实施方式中，用户设备100返向后台300报告。换句话说，用户设备100将包括过滤器400内容的进入和退出签名发送412给后台300。
[0115]在一个示例性实施方式中，如果用户设备没有连接，后台无论如何也会在一些点接收430过滤器内容。这是因为，在接收到用于旅行的进入和退出令牌前，每个用户设备100将必须与后台进行通信。在这一点上,过滤器内容还可由后台接收。任何终端200的过滤器内容包括之前已通过所讨论的终端进入系统的用户设备100的全部系统进入值。因此，即使任何用户设备100不能将过滤器内容发送给后台300，信息也未必从后台丢失。
[0116]后台300接收全部终端300的过滤器内容，并从该信息检索432基于身份的票务环境的终端200的进入和退出历史的统计表示。此外，在示例性实施方式中，后台从统计历史(也就是终端200的过滤器内容)检索434用户设备100关于进入和退出操作的信息。检索的信息432、434用于检验436用户设备行为。例如，从终端200的过滤器400的内容中来看，没有通过用户设备100报告给后台300的进入和退出操作是显而易见的。
[0117]下面给出基于身份的票务的一些示例性实施方式的不同使用示例的一些实施例。在第一个使用示例中，将根据示例性实施方式的基于身份的票务应用于公共交通环境中，其中用户设备100或终端200与后台300的恒定连接不能确保，也就是，用户设备100在有限的时间期间内离线。增加到用户设备的时间值计数器即使在离线的情况下也能给终端提供时间的估计，从而可有效防止相同的进入令牌或用户身份的并行使用，也就是，用户不能够共享相同的票据，并利用该票据旅行。
[0118]在第二使用示例中，将根据示例性实施方式的基于身份的票务应用于其中用户设备或其中大部分不包括安全环境(例如TEE)的环境，从而在用户设备100中进行的全部加密计算容易受到恶意的或相似的攻击。可能存在的是几个用户身份能够被复制并在类型中使用。通过应用过滤器400，并将用户设备100的每个进入操作以及其用户身份记录到过滤器400中，后台300会从终端200接收使用历史，从而获得用户设备行为的信息，因此可捕获或检测到用户数设备或行为不当的用户设备的身份。
[0119]在第三使用示例中，根据示例性实施方式的基于身份的票务向系统用户提供用户接口，利用该用户接口客户能够监控他的用户身份和用户账户。由于在公共交通系统中开始旅行前，每个用户设备与后台300进行通信，因此后台300至少每隔一个交易(也就是，在每个进入操作前)被涉及进来。即使用户设备100已经完全受到损害(comp1mised)，后台300可使用时间值计数器、过滤器400的内容，并通过参与到用户设备的每隔一个的操作中，来监控旅行方式，。后台300还可进一步给用户提供用户接口，例如用于用户设备100或用于任何网页浏览。从而用户通过实行用户账户行为的自我控制增加系统安全性。
[0120]不应以任何方式限制所附权利要求的范围、解释或应用，这里公开的一个或多个示例性实施方式的技术效果是阻止恶意使用不安全用户设备的用户身份。这里描述的一个或多个示例性实施方式的另一技术效果是无需恒定连接就能够监控账户行为。这里描述的一个或多个示例性实施方式的另一技术效果是提供最小化或至少减小由恶意使用她的用户账户而给用户造成的代价的方法。
[0121]可以理解的是，流图的每个操作，和/或流图中操作的组合可以各种方式实现。用于实现流图操作、流图中操作的组合、或这里描述的示例性实施方式的其它功能的方式，可包括软件、硬件、应用逻辑或软件、硬件和应用逻辑的组合。应用逻辑、软件或指令集在各传统计算机可读介质中的任一个中进行维护。计算机可读介质可包括能够包括或存储用于使用的指令或者与指令执行系统、装置或设备(例如计算机)连接的任何介质或方式的计算机可读存储介质。
[0122]如果愿意，这里描述的不同功能可以不同的顺序和/或彼此同时执行。此外，如何愿意，上述功能中的一个或多个可选择或可组合。
[0123]尽管本发明的各方面在独立权利要求中给出，本发明的其它方面包括来自所描述实施方式的特征和/或从属权利要求与独立权利要求的特征的其它组合，并非仅为权利要求中给出的具体组合。
[0124]还需要说明的是，尽管上面描述了本发明的示例性实施方式，但是不应限制性地看待这些描述。相反，在不偏离本发明范围的情况下，可进行各种修改和变形，其中本发明的范围在附属的权利要求中限定。
【权利要求】
1.一种装置包括: 第一存储单元； 第一输入/输出接口 ；和 第一处理器，配置为: 从用户设备接收挑战； 根据挑战更新过滤器；和 将过滤器的内容发送给用户设备。
2.根据权利要求1所述的装置，其中所述过滤器是bloom过滤器。
3.根据权利要求1或2所述的装置，其中所述第一处理器进一步配置为从用户设备接收令牌时间戳和时间计数器值。
4.根据权利要求3所述的装置，其中所述第一处理器进一步配置为选择令牌时间戳或时间计数器值以作为估计时间。
5.根据权利要求1-4中任一项所述的装置，其中所述第一处理器进一步配置为接收进入或退出令牌以作为挑战的一部分。
6.根据权利要求5所述的装置，其中所述第一处理器进一步配置为控制进入令牌的有效性。
7.根据权利要求5或6所述的装置，其中所述第一处理器进一步配置为如果接收到退出令牌则不更新过滤器。
8.一种装置包括: 第二存储单元； 第二输入/输出接口 ；和 第二处理器，配置为: 将挑战发送给终端；和 从终端接收过滤器的内容；其中 过滤器的内容包括从发送的挑战中导出的信息。
9.根据权利要求8所述的装置，其中所述过滤器是bloom过滤器。
10.根据权利要求8或9所述的装置，其中所述第二处理器进一步配置为从后台服务器接收一对令牌；其中所述令牌包括进入令牌和退出令牌。
11.根据权利要求8-10中任一项所述的装置，其中所述第二处理器进一步配置为从后台服务器接收令牌时间戳。
12.根据权利要求10或11所述的装置，其中所述第二处理器进一步配置为提供时间值计数器；并在接收到令牌对后周期性地更新时间值计数器的值。
13.根据权利要求12所述的装置，其中所述第二处理器进一步配置为在接收到令牌对后每秒更新时间值计数器的值。
14.根据权利要求12或13所述的装置，其中更新时间值计数器的值通过增量增加时间值计数器。
15.根据权利要求14所述的装置，其中增量为I。
16.根据权利要求12-15中任一项所述的装置，其中所述第二处理器进一步配置为将时间值计算器的值发送给终端。
17.根据权利要求8-16中任一项所述的装置，其中所述第二处理器进一步配置为将过滤器内容发送给后台服务器。
18.一种装置包括: 第三处理器，配置为: 从用户设备接收过滤器的内容；和 从过滤器内容导出涉及用户行为的信息；其中 过滤器的内容涉及用户设备和终端。
19.根据权利要求18所述的装置，其中所述过滤器是bloom过滤器。
20.根据权利要求18或19所述的装置，其中所述第三处理器进一步配置为将一对令牌发送给用户设备。
21.根据权利要求18-20中任一项所述的装置，其中所述第三处理器进一步配置为将令牌时间戳发送给用户设备。
22.根据权利要求18-21中任一项所述的装置，其中所述第三处理器进一步配置为从过滤器内容导出还未向终端发送任何挑战的用户设备的身份。
23.根据权利要求18-22中任一项所述的装置，其中所述第三处理器进一步配置为从过滤器内容导出用户设备的身份，其中还未从该用户设备接收到过滤器内容。
24.一种方法包括: 从用户设备接收挑战； 根据挑战更新过滤器；和 将过滤器的内容发送给用户设备。
25.根据权利要求24所述的方法，其中所述过滤器是bloom过滤器。
26.根据权利要求24或25所述的方法，进一步包括从用户设备接收令牌时间戳和时间计数器值。
27.根据权利要求26所述的方法，进一步包括选择令牌时间戳或时间计数器值以作为估计时间。
28.根据权利要求24-27中任一项所述的方法，进一步包括接收进入或退出令牌以作为挑战的一部分。
29.根据权利要求28所述的方法，进一步包括控制进入令牌的有效性。
30.根据权利要求28或29所述的方法，进一步包括如果接收到退出令牌则不更新过滤器。
31.一种方法包括: 将挑战发送给终端；和 从终端接收过滤器的内容；其中 过滤器的内容包括从发送的挑战中导出的信息。
32.根据权利要求31所述的方法，其中所述过滤器是bloom过滤器。
33.根据权利要求31或32所述的方法，进一步包括从后台服务器接收一对令牌；其中所述令牌包括进入令牌和退出令牌。
34.根据权利要求31-33中任一项所述的方法，进一步包括从后台服务器接收令牌时间戳。
35.根据权利要求33或34所述的方法，进一步包括提供时间值计数器；并在接收到令牌对后周期性地更新时间值计数器的值。
36.根据权利要求35所述的方法，进一步包括在接收到令牌对后每秒更新时间值计数器的值。
37.根据权利要求35或36所述的方法，其中更新时间值计数器的值通过增量增加时间值计数器。
38.根据权利要求37所述的方法，其中增量为I。
39.根据权利要求35-38中任一项所述的方法，进一步包括将时间值计算器的值发送给终端。
40.根据权利要求31-39中任一项所述的方法，进一步包括将过滤器内容发送给后台服务器。
41.一种方法包括: 从用户设备接收过滤器的内容；和 从过滤器内容导出涉及用户行为的信息；其中 过滤器的内容涉及用户设备和终端。
42.根据权利要求41所述的方法，其中所述过滤器是bloom过滤器。
43.根据权利要求41或42所述的方法，进一步包括将一对令牌发送给用户设备。
44.根据权利要求41-43中任一项所述的方法，进一步包括将令牌时间戳发送给用户设备。
45.根据权利要求41-44中任一项所述的方法，进一步包括从过滤器内容导出还未向终端发送任何挑战的用户设备的身份。
46.根据权利要求41-45中任一项所述的方法，进一步包括从过滤器内容导出用户设备的身份，其中还未从该用户设备接收到过滤器内容。
47.一种计算机程序，包括: 当计算机程序在处理器上运行时，用于执行权利要求24-46中任一项所述的方法的代码。
48.一种包括权利要求47的计算机程序的存储介质。
49.一种系统,包括以下的至少两个: 权利要求1-7中任一项的装置； 权利要求8-17中任一项的装置；和 权利要求18-23中任一项的装置。
【文档编号】G06Q50/30GK104428819SQ201280072147
【公开日】2015年3月18日 申请日期:2012年3月30日 优先权日:2012年3月30日
【发明者】J-E·艾克伯格 申请人:诺基亚公司