第三方数据共享的隐私保护的制作方法

本申请大体上涉及通信网络，更具体但是非排他性地涉及第三方数据共享的隐私保护。

背景技术：

本部分介绍可能有助于更好地理解本发明的几个方面。因此，要在这个基础上阅读本部分的陈述，并且不应理解为承认什么是现有技术，或者什么不是现有技术。

众所周知，通信网络运营商(例如，网络所有者和/或网络服务提供商)通常收集用户流量信息以及服务访问(例如，位置服务)信息，并且将收集到的信息保存一定的时间段。该收集到的信息有助于网络运营商解决用户对错误计费的投诉，并酌情更正用户计费。

网络运营商还意识到这样的流量信息和服务访问信息是有价值的。例如，网络运营商已经通过数据分析和数据挖掘程序开发和部署了增值服务或vas(例如，广告服务，市场预测服务和用户行为分析服务)。此外，网络运营商已经意识到，他们可以与第三方分享流量信息和服务访问信息，以增加利润。例如，网络运营商可以与行业分析公司(例如，idc和gartner)共享信息以进行深入分析，以及与广告提供商共享信息以允许广告提供商个性化广告发送给用户。

技术实现要素：

说明性实施例提供了用于第三方数据共享的隐私保护技术。

例如，在一个实施例中，一种方法包括以下步骤。获得与根据通信网络的一个或多个用户的活动有关的原始数据集合。所述通信网络由网络运营商管理。根据由网络运营商维护的至少一个数据隔离策略对获得的原始数据集合进行处理，以生成第一数据集合，该第一数据集合包括所述原始数据集合的至少一部分，所述至少一部分包括与移除的一个或多个用户相关联的敏感数据；第二数据集合，所述第二数据集合包括从所述原始数据集合移除的敏感数据；以及第三数据集合，所述第三数据集合包括所述原始数据集合的部分和所述第一数据集合之间的映射。所述第一数据集合暴露(expose)给第三方，而第二数据集合和第三数据集合与第三方隔离。

在另一个实施例中，提供了一种制品，其包括其中编码有一个或多个软件程序的可执行代码的处理器可读存储介质。当由至少一个处理设备执行时，所述一个或多个软件程序执行上述方法中的步骤。

在又一个实施例中，一种装置包括存储器和配置成执行上述方法中的步骤的处理器。

有利地，示例性实施例提供了网络运营商与第三方共享数据而不向公众暴露网络用户私人信息的技术。

本文描述的实施例的这些和其它特征和优点将从附图和以下详细描述中变得更加明显。

附图说明

图1a示出了根据一个实施例的表示服务访问信息的原始数据的表格示例。

图1b示出了处理后的数据的表格示例，从图1a所示原始数据中删除了用户的私人信息。

图1c示出了图1a所示标识符和图1b所示标识符之间的映射关系的表格示例。

图1d示出了从图1a所示原始数据移除的用户敏感数据的表格示例。

图1e示出了根据一个实施例的处理后的数据的表格示例，从图1a所示原始数据中删除了用户的私人信息。

图1f示出了图1a所示标识符和图1e所示标识符之间的映射关系的表格示例。

图1g示出了从图1a所示原始数据获得的统计信息的表格示例。

图1h示出了与图1g所示统计信息对应的处理后的数据的表格示例。

图2a示出了根据一个实施例的用于第三方数据共享的安全架构环境。

图2b示出了根据一个实施例的用于第三方数据共享的安全方法。

图2c示出了根据一个实施例的用于第三方数据共享的广告个性化方法。

图3示出了根据一个或多个实施例的处理平台，在该处理平台上实现用于第三方数据共享的安全架构。

具体实施方式

这里将参考示例性计算系统，数据存储系统，通信网络，处理平台，系统，用户设备，网络节点，网络元件，客户端，服务器和相关联的通信协议来描述说明性实施例。然而，应当理解，实施例不限于与所描述的特定装置一起使用，而是更普遍地适用于任何环境，在所述环境中期望提供改善安全的机制和方法，形式为针对通信网络中数据共享的隐私保护。

网络运营商面临的一个关键问题是如何与第三方共享网络流量和服务访问信息，同时保持其网络用户的隐私。如将在本文中详细解释的那样，说明性实施例使得网络运营商(例如，网络所有者和/或网络服务提供商)可以在不向公众暴露网络用户隐私的情况下与第三方共享数据。在说明性实施例中，这是通过在与第三方共享数据之前删除用户的敏感信息和防止敏感数据离开由网络运营商控制的网络环境这些措施中的一个或多个来实现的。下面将使用以下服务访问信息示例来说明这些和其他说明性实施例。然而，应当理解，本领域普通技术人员将认识到，考虑到本文提供的发明教导，替代实施例可以以直接的方式在其他形式的数据上实现。

如本文所使用的，短语“第三方”通常是指网络运营商和用户以外的任何一方。仅作为示例，第三方可以是个人，另一用户，组，实体，业务，系统等。

我们将首先描述根据图1a至图1h所示实施例的隐私保护概念，接下来是根据图2a至图2c所示实施例的用于实现这些概念中的一个或多个的说明性系统和方法。

图1a示出了根据一个实施例的表示服务访问信息的原始数据的表格示例。假设该服务访问信息的原始数据被收集并保存为如表100所示的记录。该示例中的原始数据涉及网络用户通过通信网络(例如，商业网站)购买的商品和/或服务，然而实施例不限于这种类型的数据。

如表100所示，表中的列包含以下原始数据：

user_id：这些是网络用户帐户的标识符，它们注册在由网络运营商提供的服务平台中。

user_s_info：该数据包括用户不想与第三方分享的网络用户敏感(私有)信息，仅作为示例，如电子邮件地址，位置，手机号码，居住地或商业邮寄地址等。

user_p_info：该数据包括用户自愿与第三方分享的网络用户公开信息，仅作为示例，如职业，偏好，年龄等。

service_id：这些是第三方服务提供商的帐户的标识符，它们注册在由网络运营商提供的服务平台中。

service_type：该数据描述服务类型，仅作为示例，如书籍，衣服，餐饮服务，运动等。

service_info：该数据描述与第三方服务提供商有关的信息，仅作为示例，如电子邮件地址，电话号码，传真号码，商店邮寄地址等。

表100中的原始数据还包括与网络访问时间有关的信息(例如，用户何时访问网络)，购买的项目和账单(例如，购买价格)。

在与第三方共享表100中的数据之前，认识到应当对原始数据做如下处理：

(ⅰ)表100原始数据中的用户敏感信息(例如，user_id，user_info)被删除并单独存储；

(ⅱ)user_id被anonymous_id替换；和

(ⅲ)保持user_id和anonymous_id之间的映射关系，以使广告提供商能够个性化其广告。

因此，表100的原始数据被分成三个表：

图1b中的表格110，示出了处理后的数据，从图1a所示原始数据中删除了用户敏感信息。

图1c中的表格120，示出了图1a所示标识符(user_id)和图1b所示标识符(anonymous_id)之间的映射关系；以及

图1d中的表130，示出了从图1a所示原始数据中删除的用户敏感数据(user_s_info)。

申请人认识到，表100(图1a)，表120(图1c)和表130(图1d)中的数据应该保持在网络运营商域(即系统环境)内，使得第三方无法访问数据。

理论上讲，表110(图1b)中的处理后的数据可以与第三方共享，以用于数据分析和数据挖掘。但是，接收表110中的数据并且精通事件关联和分析(eca)的第三方可以通过将该数据与一些其他信息组合而跟踪匿名用户(例如，表110中的anonymous_1)的行为，并识别真实用户(例如，表100中的user_1)。为了减少跟踪用户行为的可能性，根据一个或多个其他说明性实施例进一步处理表格110中的数据。

在一个实施例中，对于每个给定的用户，删除不同服务之间的相关信息。例如，在表110中，为访问三种服务service_1，service_2和service_3的用户anonymous_1设置了三个不同的anonymous_id。以这种方式，第三方更难找到给定用户的相关因子。因此，表110和表120分别变为图1e中的表140和图1f中的表150。

进一步认识到，有时第三方只需要用于市场预测的统计数据。例如，图书出版商假定购买哈利波特的用户将是j.k.rowling撰写的新书的潜在读者。所以，出版商想知道有多少用户买了哈利波特，以便它可以预测要出版的新书数量。在这种情况下，通过分析图1b所示表格110中的数据来生成图1g所示表格160。然后，将此统计数据(删除了任何用户敏感信息)发送给出版商。下面将在广告个性化实施例的上下文中描述1h所示表格170。

图2a示出了根据一个实施例的用于第三方数据共享的安全架构环境200。该说明性架构由网络运营商实现和管理，以在与第三方共享数据时保护其用户的隐私。此外，数据共享平台210-1还可以与其他数据共享平台(例如210-2)共享数据。

如图所示，环境200包括与数据共享平台210-1相关联的raw_data_1202-1和原始数据管理组件204-1，而raw_data_2202-2和原始数据管理组件204-2与数据共享平台210-2相关联。应当理解，数据共享平台210-2可以具有与下面针对数据共享平台210-1所示和描述的相同或相似的组件。

数据共享平台210-1包括数据提取组件212，处理后的数据213，敏感数据214，(原始数据和处理后的数据之间的)映射数据215，映射管理组件216，平台安全管理组件217，认证策略组件218，数据隔离组件219，计费策略组件220，api(应用程序接口)保护组件221，数据生命周期管理组件222，数据分析工具223，(暴露给第三方的)api224和(网络运营商域内部的)api225。如图所示，api224提供数据共享平台210-1和第三方230(及其应用)之间的接口，包括例如信息可视化服务提供商231，数据挖掘服务提供商232，事件关联和分析服务提供商233以及业务情报服务提供商234。api225提供数据共享平台210-1和网络运营商应用240之间的接口，包括例如数据分析服务241和网络运营商门户242。环境200中还示出了连接至网络运营商广告平台250的映射管理组件216。注意，虚线205表示隐私边界。

数据提取组件212包括配置成处理由网络运营商收集的原始数据的逻辑功能。根据不同模型，将原始数据分成不同表格的方法有多种。例如，根据粗粒度模型，表格100中的原始数据可以被分割成表格110，表格120和表格130。根据更细粒度模型，表格100中的原始数据可以被分割成表格130，表格140和表格150。

图2a所示数据库包括：处理后的数据数据库213，其存储用户的公共数据(例如，表格110和表格140)并且可以与第三方共享；敏感数据数据库214，其存储用户的敏感信息(例如，表格130)，并且不与第三方共享；以及映射数据数据库215(例如，表格120和表格150)，其存储反映原始数据与处理后的数据之间的映射关系的数据，并且不与第三方共享。映射管理组件216管理原始数据与处理后的数据之间的数据库映射关系。例如，在广告服务的情况下，可以通过搜索敏感数据库214和映射关系的数据库215来找到真实用户信息。

数据隔离组件219设置并维护网络运营商的数据隔离策略。例如，如上所述，原始数据被分为敏感数据，处理后的数据和反映原始数据与处理后的数据之间的映射关系的数据。第三方可以访问处理后的数据，以执行数据分析和数据挖掘。但是，禁止第三方访问原始数据，敏感数据和反映映射关系的数据。该被禁止的数据被隔离并分开存储(例如，存储在不同的物理设备中)。对于处理后的数据，可以隔离某些信息。例如，为了使第三方更难找到给定用户的相关因子，从处理后的数据中删除相同用户的不同服务之间的相关信息(得到表150)。

认证策略组件218实施数据访问策略。在说明性数据共享平台中，可以存在用户数据访问的至少两组策略。一组用于执行应用程序的代表，另一组用于调用数据共享平台api的应用程序。组合的访问控制策略包括代表(执行应用程序)和应用程序(调用数据共享平台api)之间的访问权限交集。例如，执行应用数据挖掘232的代表是数据共享平台的超级管理员，并具有访问处理后的数据和敏感数据的完整权限(例如，读取，搜索，写入，更新等)。然而，应用数据挖掘232是第三方应用，在该示例中仅具有搜索处理后的数据的权限。因此，执行应用程序数据挖掘232的超级管理员的最终权限是搜索处理后的数据的权限。

暴露给第三方的api224是用于第三方应用程序访问用户数据的api。内部api225是用于内部平台管理，以及访问用户数据的应用程序的api。api保护组件221(例如，参考ietfoauth2.0)包括多种功能，例如api的认证，调用api的所有者的认证，以及用于数据分析结果传输的机密性和完整性功能，例如传输层安全性(tls)/安全套接层(ssl)。

平台安全管理组件217包括软件更新，日志和审计，防病毒/恶意软件，可信计算模块，管理员的身份认证和访问控制等功能。

计费策略组件220管理根据其数据使用(例如，数据类型，数据大小等)向第三方指定成本的计费策略。数据生命周期管理模块222管理指定数据的生命周期，例如数据采集，数据处理，数据共享，数据存储，数据清除等。数据分析工具223包括统计和统计分析，相关分析等。

图2b示出了根据一个实施例的用于第三方数据共享的安全方法。注意，图2a中与方法260有关的安全架构环境200中的组件在图2b中的编号与图2a中的编号相一致，以便理解一致。

在步骤1中，原始数据管理组件204被触发以从数据库raw_data202检索原始数据(例如，未处理的)。触发机制包括但不限于原始数据管理组件204中的时间触发器，来自数据提取组件212的请求(还包括数据提取组件中的时间触发器和来自其他组件的请求)。在说明性实施例中，原始数据数据库202和原始数据管理组件204之间的数据传输是安全的。在说明性实施例中，可以采用因特网协议安全(ipsec)或传输层安全(tls)来保护数据传输。

在步骤2中，原始数据管理组件204将检索的原始数据转发给数据提取组件212。tls或ipsec用于保护组件204和组件212之间的数据传输。

在步骤3中，数据提取组件212根据管理员在步骤4中从数据隔离组件219获得的隔离策略来处理原始数据。仅作为示例，接收的原始数据是表格100中的数据。根据策略，对表100进行处理，得到表130，140和150。数据提取组件212在步骤5中将生成的三个表格发送给三个单独的数据库。表格140存储在处理数据数据库213中。表格150存储在映射数据库中。表格130存储在敏感数据数据库214中。在说明性实施例中，数据提取组件212和三个数据库之间的数据传输是安全的，例如使用ipsec或tls来保护数据传输。

在一个用例中，出版商认为购买哈利波特的用户将成为j.k.rowling撰写的新书的潜在读者。所以，出版商想知道有多少用户买了哈利波特，以便可以预测要出版的新书数量。此外，假设出版商希望将j.k.rowling撰写的新书的广告信息发送给购买哈利波特的用户。

利用图2a中描述的数据共享平台，出版商可以生成市场预测并个性化广告，如图2c所示。注意，图2a中与方法280有关的安全架构环境200中的组件在图2c中的编号与图2a中的编号相一致，以便理解的一致性。根据图2c，该过程描述如下：

a.出版商调用数据挖掘应用程序232(注意，此应用程序执行统计分析)以请求目标用户列表以及有多少用户购买了哈利波特(表格160和170)。

a.1)数据挖掘应用程序232将消息发送到api保护组件221以请求目标用户列表。api保护组件221认证出版商(作为最终用户)和数据挖掘应用程序232。说明性的认证机制可以基于用户名/密码，对称密钥和/或证书。根据说明性用例，ietfoauth2.0可以用作第三方应用的访问认证。

a.2)在成功认证出版商和数据挖掘应用程序之后，api保护组件221将请求转发至认证策略组件218。认证策略组件218检查出版商和数据挖掘应用程序的访问策略，并确定出版商和数据挖掘组件之间的交集作为此请求的最终访问权限。例如，假设发布商只能访问amazon.com销售的图书的用户交易数据(假设出版商可能需要支付更多的钱才能访问关于其他在线书店销售的图书的其他交易)。数据挖掘应用程序有权访问处理后的数据数据库213中关于图书的所有用户交易数据。因此，该请求的最终访问权限在于仅计算并向出版商提供从amazon.com售出的图书哈利波特的交易。

a.3)认证策略组件218将消息转发至数据分析工具223。数据分析工具223根据访问策略从处理后的数据数据库213中检索数据，该访问策略在于仅计算从amazon.com售出的图书哈利波特的交易，并将相关用户列表作为目标用户列表提供，以使广告个性化。

a.4)数据分析工具223利用统计数据(表格160)和目标用户列表(表格170)来响应数据挖掘应用程序232。因此，出版商获得有关有多少用户购买了哈利波特的统计数据，以及目标用户名单。借助该信息，出版商可以针对给定目标用户个性化j.k.rowling所著新书的广告。

可以使用ipsec或tls来保护数据挖掘应用和数据共享平台之间的数据传输。

b.获得目标用户名单后，假设出版商想将j.k.rowling所著新书的广告信息发送给这些目标用户。但是，出版商不知道这些目标用户的真实联系人信息(例如，电子邮件地址，电话号码)。因此，出版商必须要求网络运营商通过运营商广告平台250使广告个性化。

b.1)运营商广告平台250将消息发送至映射管理组件216以获得用户的真实联系信息。

b.2)映射管理组件216检索用户的映射信息(如表格150)，然后检索用户的真实联系人信息(如表格130。映射管理组件216利用相应用户的真实联系信息来响应操作者广告平台250。

b.3)运营商广告平台250然后将j.k.roiling所著新书的广告信息发送给出版商的目标用户。运营商广告平台250属于运营商的域，因此不会将用户的敏感数据暴露给第三方(例如，出版商)。这样就可以保护用户的隐私。可以使用ipsec或tls来保护运营商广告平台250和数据共享平台之间的数据传输。

现在转至图3，示出了处理平台，在该处理平台上根据一个或多个实施例实现安全架构(例如，图2a中的200)。本实施例中的处理平台300包括多个处理设备，标号为302-1，302-2，302-3，...302-p，它们通过网络304彼此通信。因此，架构200的一个或多个组件和/或模块(例如，api，组件，数据库等)可以在一个或多个计算机或其他处理平台元件上运行，它们各自可以被视为本文更一般地称为“处理装置”的示例。如图3所示，所述设备通常包括至少一个处理器和相关联的存储器，并且实现用于实例化和/或控制本文所述系统和方法的特征的一个或多个功能模块。在给定的实施例中，多个元件或模块可以实现为单个处理装置。

处理平台300中的处理设备302-1包括连接至存储器312的处理器310。处理器310可以包括微处理器，微控制器，专用集成电路(asic)，现场可编程门阵列(fpga)或其他类型的处理电路，以及这些电路元件的部分或组合。本文公开的系统的组件可以至少部分地以存储在存储器中并由处理设备的处理器(例如，处理器310)执行的一个或多个软件程序的形式来实现。其中嵌入有所述程序代码的存储器312(或其他存储设备)是这里更一般地称为处理器可读存储介质的示例。包括所述处理器可读存储介质的制品被认为是实施例。给定的所述制品可以包括例如存储装置，例如存储盘，存储阵列或包含存储器的集成电路。应理解，本文所用的术语“制品”应排除短暂的传播信号。

此外，存储器312可以包括任意组合的诸如随机存取存储器(ram)，只读存储器(rom)或其他类型的存储器之类的电子存储器。当由诸如处理设备302-1之类的处理设备执行时，一个或多个软件程序使得设备执行与系统/方法300的一个或多个组件/步骤相关联的功能。鉴于本文提供的教导，本领域技术人员将容易实现这种软件。体现实施例的处理器可读存储介质的其他示例可以包括例如光盘或磁盘。

处理设备302-1中还包括网络接口电路314，其用于将处理设备与网络304和其他系统组件连接。所述电路可以包括本领域公知类型的常规收发器。

假设处理平台300的其他处理装置302以与图中处理装置302-1相似的方式进行配置。

图3所示处理平台300可以包括其他已知组件，如批处理系统，并行处理系统，物理机器，虚拟机，虚拟交换机，存储卷，逻辑单元等。同样，图3所示特定处理平台仅作为示例呈现，并且图1所示sdn网络100可以包括附加的或替代的处理平台以及任意组合的许多不同处理平台。

此外，服务器，计算机，存储设备或其他组件的许多其它设置是可能的。所述组件可以通过任何类型的网络，如广域网(wan)，局域网(lan)，卫星网络，电话或有线网络，存储网络，融合网络，或这些以及任何其他类型网络的不同部分或组合与系统的他元件通信。

此外，应当理解，图3所示处理平台300可以包括使用管理程序实现的虚拟机(vm)。管理程序是这里更通常称为“虚拟化基础设施”的示例。管理程序运行在物理基础设施上。处理平台300还可以包括多个管理程序，每个虚拟机管理程序各自运行在其自身的物理基础上。众所周知，vm是可以在一个或多个物理处理元件(例如，服务器，计算机，处理设备)上实例化的逻辑处理元件。也就是说，vm通常是指如同物理机器那样执行程序的机器(例如，计算机)的软件实现。因此，不同的vm可以在同一物理计算机上运行不同的操作系统和多个应用程序。虚拟化由直接插入计算机硬件顶部的管理程序实现，以动态和透明地分配物理计算机的硬件资源。管理程序提供了多个操作系统在单个物理计算机上并发运行并共享硬件资源的能力。

虽然这里在使用特定通信协议的通信网络的上下文中描述了某些说明性实施例，但是在其他实施例中也可以使用其他类型的网络。如上所述，本文所用的术语“网络”意在被广义地解释。此外，应当强调的是，上述实施例仅是为了说明的目的，并且不应被解释为以任何方式限制。其他实施例可以使用不同类型的网络，设备和模块配置以及用于实现负载平衡功能的替代通信协议，方法步骤和操作。在其他实施例中，网络节点通信的特定方式可以变化。此外，应当理解，在描述说明性实施例的上下文中作出的具体假设不应被解释为本发明的要求。可以在不适用这些特定假设的其他实施例中实现本发明。在所附权利要求范围内的这些和许多其它替代实施方式对于本领域技术人员将是显而易见的。