隐私保护的活动聚合机制的制作方法

1.本说明书涉及在线环境中的网络活动聚合、数据处理和保护用户隐私。在线用户隐私的增强已经导致许多浏览器开发人员改变了用户数据被处理的方式。例如，某些浏览器不再支持某些类型的cookie，但弃用第三方(3p)cookie可能导致欺诈和滥用。


背景技术：

2.聚合网络活动允许用户的浏览体验个性化，并且能够比没有监控情况下更快地传递与用户更相关的内容。但是，现有机制，诸如cookie，能够被链接到单个用户和有关该用户的信息。这样的精确度能够让用户觉得他们太容易被标识，并且他们的信息太容易被泄露。


技术实现要素：

3.通常，本说明书中描述的主题的一个创新方面能够是用于隐私保护的网络活动监控的方法中的实施例，该方法包括：从用户的用户设备上的应用接收来自域的对数字内容的请求；在第一时间向应用分配基于随机选择的标识符和指示随机化群组被分配给应用的第一时间的时间戳而构造的随机化群组；以及在第一时间向应用提供(i)与随机选择的标识符和时间戳相对应的数字签名证书，以及(ii)与证书相关联的唯一公钥和对应的唯一私钥，其中，在将随机化群组分配给应用的预定时间段内，随机选择的标识符还被分配给在其他用户设备上执行的至少阈值数量的其他应用。
4.在一些实施方式中，该方法包括：从应用接收来自域的对数字内容的第二请求；以及，由应用在第二时间向该域提供与随机选择的标识符相对应的模糊标识符和指示包含随机化群组的年龄的cookie的年龄范围的随机化群组年龄桶，其中，随机化群组的年龄是基于在第二时间和第一时间之间的差计算的。
5.在一些实施方式中，该方法还包括：由域基于接收到的随机化群组年龄桶，检测与随机选择的标识符相关联的异常活动以及以下的至少一项：与随机选择的标识符相关联的交互次数、随机化群组年龄分布和与特定交互和特定时间段相关联的概率分布。
6.在一些实施方式中，其中，将随机化群组分配给应用包括：由域将随机化群组分配给应用，以及其中，随机选择的标识符被分配给至少阈值数量的其他应用，其中，随机选择的标识符是从两个或更多个随机生成的标识符中选择的随机生成的标识符，并且其中，唯一公钥由域生成。
7.在一些实施方式中，将随机化群组分配给浏览器包括：由中央服务器将随机化群组分配给应用；其中，随机选择的标识符被分配给至少阈值数量的其他应用，其中，随机选择的标识符是从两个或更多个随机生成的标识符中选择的随机生成的标识符，并且其中，唯一公钥由中央服务器生成。
8.在一些实施方式中，该方法包括：由应用提供来自不同于第一域的第二域的对数字内容的请求和随机化群组；响应于提供来自第二域的对数字内容的请求，由应用从第二
域接收包括质询的证明请求；以及由应用向验证系统提供数字签名的证书，该数字签名的证书触发验证系统(i)创建包含随机选择的标识符、随机化群组年龄桶和质询的模糊证书，(ii)对模糊证书进行签名，以及(iii)向第二域提供模糊证书，其中，使用盲化方案将质询从验证系统屏蔽。
9.在一些实施方式中，该方法包括：由应用向验证系统提供数字签名的证书；以及由验证系统验证随机化群组被分配给至少阈值数量的人。
10.该方面的其他实施例包括对应的系统、装置和编码在计算机存储设备上的计算机程序，该程序被配置为执行所述方法的动作。
11.本说明书中描述的主题能够在特定实施例中实现，以便实现以下优点中的一个或多个。
12.数字组件分布系统选择和分布个性化数字组件的方式(例如，生成选择参数和/或选择参数本身)历史上包括使用从第三方cookie获取的用户信息(例如，浏览信息、兴趣组信息等)，这些cookie是由与在客户端设备上呈现的网页的域不同的域(例如，etld+1)丢弃在客户端设备上的cookie。然而，一些浏览器正在阻止使用第三方cookie，使得选择和提供个性化数字组件更加困难，这意味着计算资源和带宽可能通过被选择并将用户不感兴趣的内容分布到该用户而浪费。此外，计算机系统先前可以使用第三方cookie执行的功能不再能够被执行，从而导致计算机系统效率降低和不太有效。为了克服这个问题，能够对网络活动进行监控、聚合和分析、同时阻碍对用户的跟踪、并且同时防止跨计算系统泄露用户信息的隐私保护技术能够被使用。换句话说，本文中讨论的技术正在改变计算系统的操作方式，以克服在浏览器不支持使用第三方cookie时出现的问题。
13.本文中描述的隐私保护的监控机制，随机化群组提供网络活动监控功能。随机化群组包括标识符和时间戳。该标识符和时间戳的组合不能唯一标识特定的浏览器或用户设备，而是。然而，能够通过生成随机化群组属于的年龄桶并提供标识符和年龄桶的组合来混淆时间戳，同时仍然提供有用的信息。标识符和年龄桶组合被分配给在不同用户设备上运行的至少阈值数量的唯一浏览器，从而在不牺牲随机化群组的统计效用的情况下保证匿名性。随机化群组能够被用于生成关于群组活动和其他信息的统计数据，同时确保用户匿名。用户被随机分组到大小为k的群组，使得随机化群组适用的域能够跟踪群组的活动，而不是跟踪任何一个用户的活动。
14.另外，随机化群组能够被用于第三方，诸如内容提供商和主机，的安全场境中，以检测欺诈活动或协同滥用。例如，随机化群组允许现有的反滥用技术来打击参与滥用。参与滥用能够包括诸如点击欺诈、查看计数膨胀、评级操纵、排名操纵等的行为。随机化群组能够被用于检测指示欺诈使用的可疑网络活动，同时为用户提供用户先前没有获得的特定隐私级别。例如，随机化群组能够被用于为用户提供k-匿名性保证。k-匿名性保证确保至少有k个随机用户与单个随机化群组相关联，这能够通过随机化群组标识符和时间戳来标识。例如，k＝100的随机化群组标识符的k-匿名性的保证确保至少有100个随机用户与随机化群组标识符相关联，使得与特定随机化群组相关联的信息在一定程度上被匿名化，同时仍然有助于诸如统计分析和滥用检测等的应用。
15.所描述的监控机制，随机化群组，通过提供能够由独立第三方在外部验证的隐私保证来提高用户体验和信任。所描述的系统能够包括一个或多个独立于随机化群组的来源
的验证服务器，使得随机化群组和用户的特定身份保持隐藏，同时允许验证服务器确定特定随机化群组标识符的统计属性。这允许用户通过独立来源确认他们的匿名性得到维护，并且隐私保护的系统正在按承诺起作用。能够单独证实隐私保证的用户可能觉得采用使用所描述的监控机制的系统更舒服。
16.此外，随机化群组可以被用作使用传统网络活动监控方法的系统中的替代。例如，随机化群组能够在现有系统中使用，在某些条件下几乎不需要调整，从而允许系统设计人员重新使用现有基础设施来提供有关web活动的相关统计数据并执行安全功能以保护第三方，同时提高用户隐私性。
17.贯穿本文档讨论的技术还能够被用于检测不规则活动(例如，网络攻击)，并关闭不规则活动。例如，这些技术能够检测到高于通常级别的网络请求或流量，并使用该信息来放止进一步的网络请求或流量，或者阻止来自负责高级网络请求或流量的计算设备组的进一步请求。该技术还能够被用于检测特定计算资源的过度使用，并执行负载平衡以提高计算机系统的效率。
18.下面参照附图描述前述主题的各种特征和优点。从本文中描述的主题和权利要求中，附加的特征和优点是显而易见的。
附图说明
19.图1是其中实现隐私保护监控机制的系统的框图。
20.图2是用于发布和实现隐私保护的监控机制的示例过程的数据流程图。
21.图3a是图示了用于发布和实现在范围上被限制到单个发布域的隐私保护的监控机制的示例过程的泳道图。
22.图3b是图示了用于发布和实现隐私保护的监控机制的示例过程的泳道图，该隐私保护的监控机制在跨不同域执行的网络活动中使用。
23.图4是图示用于发布和实现隐私保护的监控机制的示例过程的流程图。
24.图5是示例计算机系统的框图。
25.不同附图中的相同附图标号和名称表示相同的元件。
具体实施方式
26.一般而言，本文档描述了用于保证与监控机制、随机化群组相关联的用户的指定隐私级别的系统和技术，其还提供统计跟踪和滥用检测能力。
27.图1是用于隐私保护的数据收集和分析的环境100的框图。示例环境100包括网络102，诸如局域网(lan)、广域网(wan)、互联网或其组合。网络102连接电子文档服务器104(“电子文档服务器”)、用户设备106、数字组件分布系统110(也称为dcds 110)、一个或多个验证服务器130。示例环境100可以包括许多不同的电子文档服务器104、用户设备106、验证服务器130和可信域服务器140。为了便于解释，示出了一个可信域服务器140。
28.用户设备106是能够通过网络102请求和接收资源(例如，电子文档)的电子设备。示例用户设备106包括个人计算机、可穿戴设备、智能扬声器、平板设备、移动通信设备(例如，智能电话)、智能电器和能够通过网络102发送和接收数据的其他设备。在一些实施方式中，该用户设备能够包括向用户输出可听信息的扬声器和接受来自用户的可听输入的麦克
风(例如，口语输入)。用户设备还能够包括数字助理，其提供交互式语音界面以用于提交输入和/或接收响应于输入提供的输出。用户设备还能够包括用于呈现视觉信息(例如，文本、图像和/或视频)的显示器。用户设备106通常包括用户应用，诸如网络浏览器，以促进通过网络102发送和接收数据，但是由用户设备106执行的本地应用也能够促进通过网络发送和接收数据102。
29.用户设备106包括软件107。软件107能够是例如浏览器或操作系统。在一些实施方式中，软件107允许用户通过诸如网络102的网络访问信息，从服务器检索信息并将信息显示在用户设备106的显示器上。在一些实施方式中，软件107管理用户设备106的硬件和软件资源并为用户设备106上的其他程序提供公共服务。软件107能够充当在程序和用户设备106的硬件之间的中介。
30.软件107特定于每个用户设备106。如下文详细描述的，隐私保护的数据分析和收集创新提供资源高效且安全的设备特定解决方案。
31.电子文档是在用户设备106处呈现内容的集合的数据。电子文档的示例包括网页、文字处理文档、便携式文档格式(pdf)文档、图像、视频、搜索结果页面和馈送源。本地应用(例如，“app”)，诸如安装在移动、平板或桌面计算设备上的应用，也是电子文档的示例。电子文档服务器104能够将电子文档105(“电子文档”)提供给用户设备106。例如，电子文档服务器104能够包括托管发布者网站的服务器，诸如网络域(例如，etld+1)。电子文档服务器104中的每一个能够在分开的域(例如，不同的etld+1)内或与分开的域相关联的服务器。
32.在该示例中，用户设备106能够发起对给定发布者网页的请求，并且托管给定发布者网页的电子文档服务器104能够通过发送机器超文本标记语言(html)代码来响应该请求，该代码在用户设备106处发起给定网页的呈现。
33.电子文档能够包括多种内容。例如，电子文档105能够包括在电子文档本身内和/或不随时间改变的静态内容(例如，文本或其他指定内容)。电子文档还能够包括动态内容，这些内容可以随着时间或根据每个请求而改变。例如，给定电子文档的发布者能够维护用于填充电子文档的部分的数据源。在该示例中，给定电子文档能够包括标签或脚本，当给定电子文档由用户设备106处理(例如，呈现或执行)时，该标签或脚本使用户设备106从数据源请求内容。用户设备106将从数据源获得的内容集成到给定电子文档的呈现中以创建包括从数据源获得的内容的复合电子文档。
34.在某些情况下，给定电子文档能够包括引用dcds 110的数字内容标签或数字内容脚本。在这些情况下，当给定电子文档由用户设备106处理时，由用户设备106执行数字内容标签或数字内容脚本。数字内容标签或数字内容脚本的执行配置用户设备106以生成对数字内容的请求108，该请求通过网络102被传输到dcds 110。例如，数字内容标签或数字内容脚本能够使用户设备106能够生成包括报头和有效载荷数据的分组化数据请求。请求108能够包括数据，诸如从其请求数字内容的服务器的名称(或网络位置)、请求设备(例如，用户设备106)的名称(或网络位置)和/或dcds 110能够用来选择响应于请求而提供的数字内容的信息。请求108由用户设备106通过网络102(例如，电信网络)传输到dcds 110的服务器。
35.请求108能够包括指定电子文档和能够呈现数字内容的位置的特征的数据。例如，指定对其中将呈现数字内容的电子文档(例如，网页)的引用(例如，url)、可用于呈现数字内容的电子文档的可用位置(例如，数字内容槽)、可用位置的大小、可用位置在电子文档的
呈现中的位置和/或有资格在这些位置中呈现的媒体类型的数据能够被提供给dcds 110。类似地，指定被指定用于由电子文档引用的电子文档(“文档关键字”)或实体(例如，人、地点或事物)的选择的关键字的数据也能够被包括在请求108中(例如，作为有效载荷数据)并被提供给dcds 110以有助于有资格与电子文档一起呈现的数字内容项目的标识，诸如电子文档或数字组件。
36.请求108还能够包括与其他信息相关的数据，诸如用户已经提供的信息、指示从其提交请求的州或地区的地理信息或提供用于其中将显示数字内容的环境的场境的其他信息(例如，将显示数字内容的设备类型，诸如移动设备或平板设备)。用户提供的信息能够包括用户设备106的用户的人口统计数据。例如，人口统计信息能够包括年龄、性别、地理位置、教育水平、婚姻状况、家庭收入、职业、爱好、社交媒体数据以及是否用户拥有特定项目以及其他特征。
37.也能够在请求108中提供指定用户设备106的特征的数据，诸如标识用户设备106的型号、用户设备106的配置或其上呈现电子文档的电子显示器(例如，触摸屏或桌面监视器)的尺寸(例如，物理尺寸或分辨率)的信息。请求108能够例如通过分组化网络被传输，并且请求108本身能够被格式化为具有报头和有效载荷数据的分组化数据。报头能够指定分组的目的地，并且有效载荷数据能够包括上面讨论的任何信息。
38.除了贯穿本文档讨论的隐私保护技术之外，还可以向用户提供控件，允许用户对于本文中描述的系统、程序或特征是否以及何时使得能够收集用户信息(例如，有关用户社交网络、社交行为或活动、职业、用户偏好或用户当前位置的信息)以及是否从服务器向用户发送内容或通信进行选择。另外，在某些数据被存储或使用之前，其可以以一种或多种方式被处理，使得个人身份信息被删除。例如，用户的身份可以被处理，使得无法确定用户的个人身份信息，或者用户的地理位置可以在获取位置信息的情况下被一般化(例如达到城市、邮政编码或州级别)，使得无法确定用户的特定位置。因此，用户可以控制收集关于用户的哪些信息、如何使用该信息以及向用户提供哪些信息。
39.dcds 110响应于接收到请求108和/或使用包括在请求108中的信息来选择将与给定电子文档一起呈现的数字内容。在一些实施方式中，dcds 110被实现在分布式计算系统中，该分布式计算系统(或环境)包括例如服务器和多个计算设备的集合，它们被互连并响应于请求108标识和分布数字内容。该多个计算设备的集合一起操作以从数百万或更多可用数字内容的语料库中标识有资格被呈现在电子文档中的数字内容的集合。该数百万或更多的可用数字内容能够例如在数字组件数据库112中被索引。每个数字内容索引条目能够引用对应的数字内容和/或包括调节对应的数字内容的分布的分布参数(例如，选择标准)。
40.有资格的数字内容的标识能够被分割成多个任务，然后在该多个计算设备的集合内的计算设备之间分配这些任务。例如，不同的计算设备能够各自分析数字组件数据库112的不同部分以标识具有与请求108中包括的信息匹配的分布参数的各种数字内容。
41.dcds 110聚合从该多个计算设备的集合接收的结果并使用与聚合结果相关联的信息来选择将响应于请求108而被提供的数字内容的一个或多个实例。继而，dcds 110能够通过网络102生成和传输回复数据114(例如，表示回复的数字数据)，该回复数据114使用户设备106能够将选择的数字内容的集合整合到给定的电子文档中，使得选择的数字内容集合和电子文档的内容一起被呈现在用户设备106的显示器处。
42.dcds 110能够将来自用户设备106的软件107的请求108转发到数据源，诸如电子文档服务器104，并且能够将来自电子文档服务器104的回复114转发到用户设备106的软件107。例如，dcds 110充当在电子文档服务器104与用户设备106和/或在用户设备106上运行的软件107之间的中介。
43.随机化群组生成器121(rcx生成器)允许电子文档服务器104生成随机化群组，即本文中描述的隐私保护的监控/聚合机制。在本文档中，随机化群组是指具有随机化群组标识符和随机化群组时间戳的隐私保护的监控机制的特定格式。响应于来自诸如软件107的应用或诸如用户设备106的设备的初始第三方请求而生成随机化群组，并且随机化群组包括标识符(即，随机化群组标识符)和时间戳(即，随机化群组时间戳)。例如，随机化群组能够是由rcx(rcx.id，rcx.timestamp)表示的数据，其中，rcx代表随机化群组，rcx.id代表随机化群组标识符，rcx.timestamp代表时间戳。随机化群组被分配给从其接收到初始请求的软件107或用户设备106。为了解释的简单，在该示例中，响应于来自浏览器107的初始请求而生成随机化群组。在其他示例中，能够响应于来自特定用户设备106的初始请求而生成随机化群组。
44.因为随机化群组生成器121与特定域相关联，所以由每个生成器121生成的随机化群组能够是域范围的，这意味着在随机化群组生成器121和/或电子文档服务器104关联于的域内使用随机化群组数据，并且随机化群组不被提供给其他域或服务器或不被与其他域或服务器共享。
45.初始请求能够是来自电子文档服务器104的对电子文档105的请求。初始请求能够是来自第三方服务器150的对内容项的请求，该第三方服务器150提供内容，诸如能够被提供用于与从电子文档服务器104请求的内容一起显示的数字组件。
46.随机化群组标识符是随机选择或构造的标识符，该标识符也被分配给在其他用户设备106上执行的多个其他浏览器107，这些浏览器也已经向电子文档服务器104提供了初始请求。例如，随机化群组标识符能够是从现有标识符的集合中选择或响应于来自浏览器107的初始请求而创建的随机生成的64位标识符。随机化群组标识符被分配到的其他应用107的数量基于在向用户保证的预定阈值隐私级别。例如，电子文档服务器104能够实现k-匿名性的保证，这意味着每个随机化群组标识符被分配给在不同用户设备106上运行的至少k个浏览器107。每个电子文档服务器104能够独立地选择一个k来保证。在一些示例中，每个电子文档服务器104保证相同级别的k-匿名性。
47.随机化群组时间戳指示随机化群组标识符响应于请求108被请求和/或分配给软件107的时间。例如，随机化群组时间戳能够指示请求108由随机化群组生成器121接收的时间。在另一示例中，随机化群组时间戳能够指示随机化群组标识符响应于请求108被选择的时间。在另一示例中，随机化群组时间戳能够指示随机化群组标识符响应于请求108被分配给软件107的时间。能够同时执行这些动作中的一个或多个，并且因此随机化群组时间戳能够表示执行这些动作中的一个或多个的时间。因为为了维护k-匿名性的目的随机化群组标识符被分配给至少k个浏览器107(即，对于k＝3000，分配给3000个不同的浏览器107)，所以随机化群组时间戳和随机化群组标识符的组合能够作为唯一标识符。为了在提供随机化群组时保护隐私，随机化群组生成器121也能够匿名化随机化群组时间戳，创建表示随机化群组所属的年龄桶的参数。年龄桶表示随机化群组的年龄落入其中的年龄值的广义范围，但
不能被用于唯一标识随机化群组被分配到的浏览器107。例如，随机化群组生成器121能够确定当前时间和随机化群组时间戳之间的差以确定随机化群组的年龄。随机化群组生成器121然后能够基于例如诸如k值和维护k-匿名性所需的年龄范围或预定年龄范围等信息以及其他参数来生成年龄桶的值。
48.除了包括随机化群组标识符和随机化群组时间戳的随机化群组之外，随机化群组生成器121还生成能够被用于证明随机化群组的有效性的证书。例如，随机化群组生成器121能够生成包含由电子文档服务器104签名的公共验证密钥的证书。电子文档服务器104还能够生成公钥/私钥对。下面更详细地描述证书生成过程和验证过程。
49.包括随机化群组标识符和随机化群组时间戳两者的随机化群组是允许匿名性以及唯一标识的灵活的隐私保护的监控机制。如下文进一步详细描述的，当浏览器107证明其随机化群组的有效性时，证书能够被用于唯一标识浏览器107。例如，出于验证目的，浏览器107能够将由随机化群组生成器121提供的证书传输到验证系统。
50.在一些实施方式中，发布域或电子文档服务器104不提供除随机化群组之外的元数据以被存储在其上存储浏览器107的用户设备106上。这种另外的限制通过减少被收集和存储的数据量来进一步提高用户隐私性，消除了泄露特定类型的用户数据的可能性，这些数据没有被收集，并且因此不能被链接到特定的用户或随机化群组标识符。
51.分析器123分析随机化群组数据以监控用户网络活动。分析器123能够从与分析器123相关联的电子文档服务器104接收随机化群组标识符和随机化群组年龄数据以及对数据的请求，并且使用接收到的随机化群组标识符和随机化群组年龄数据来执行安全功能。例如，分析器123能够基于随机化群组标识符和随机化群组年龄数据来检测某些类型的欺诈活动或对来自电子文档服务器104的系统或内容的协同滥用。如图1所图示，每个电子文档服务器104能够具有针对其自身需要定制的分开的分析器123。在一些示例中，电子文档服务器104能够共享集中式分析器123，其能够被实现为远程或分开的分析服务器或服务。
52.系统100包括用户设备106或浏览器107的用户能够选择使用的一个或多个第三方独立验证服务。该第三方独立验证服务独立验证由发布服务分配的随机化群组的隐私属性，诸如如上所述的电子文档服务器104和如下所述的可信域服务器140。随机化群组的隐私属性的独立验证对于用户来说是可选的并且在下文中更详细地描述。
53.验证服务器130是独立于电子文档服务器104的服务器，其执行随机化群组标识符以及随机化群组标识符和随机化群组年龄参数对的统计属性的验证。验证服务器130充当独立服务器，其不发布随机化群组并且不参与监控随机化群组数据或否则与监控和/或分析随机化群组数据的诸如电子文档服务器104的服务器交互。验证服务器130允许用户验证诸如电子文档服务器104的发布服务器为特定随机化群组维护保证的隐私级别。通过让用户有机会通过独立服务验证他们的隐私正在由参与的发布域维护，系统100鼓励用户信任并提高用户体验。另外，这允许用户辨别特定发布域是否合规并追究发布域的责任，从而提高所有用户的体验。
54.可信域服务器140是独立于电子文档服务器104的服务器，它能够响应于请求108而向软件107发布随机化群组。可信域服务器140发布全局范围的随机化群组，这意味着能够将随机化群组提供给来自不同域的请求服务器，并且不限于在特定域内使用，就像由电子文档服务器104生成的域范围随机化群组那样。可信域服务器140充当随机化群组的中央
源，为生成和分配的每个随机化群组保证一个或多个隐私级别。在一些实施方式中，可信域服务器140与电子文档服务器104分开，不与任何电子文档服务器104共享信息，并且不提供或托管内容。例如，可信域服务器140不参与内容分布过程，并且涉及在系统100中生成和分配随机化群组以维护系统100的用户的隐私。
55.随机化群组生成器142(rcx生成器)是与如上所述的随机化群组生成器121类似地操作的生成器，但是与可信域服务器140而不是电子文档服务器相关联。
56.图2是用于发布和实现隐私保护的监控机制的示例过程200的数据流程图。如下所述，支持随机化群组的域需要以保护某些可验证的k-匿名性属性的方式将随机化群组分配给用户。能够例如通过电子文档服务器104、用户设备106、验证服务器130、可信域服务器140和/或第三方服务器150来实现过程200的操作。过程200的操作也能够被实现为存储在一个或多个可以是非暂时性的计算机可读介质上的指令，并且一个或多个数据处理装置对指令的执行能够使一个或多个数据处理装置执行过程200的操作。
57.如上面关于图1所讨论的，dcds 110可以充当中介，将请求108从用户设备106转发到电子文档服务器104，并将回复114从电子文档服务器104转发到用户设备106。在这个特定示例中，dcds 110可以在用户设备106和电子文档服务器104之间传输数据，但未在数据流中被图示。
58.过程200开始于阶段a-1，其中，用户设备106向电子文档服务器104提供对内容的请求。例如，软件107向与特定网络域相关联的电子文档服务器104提供对诸如特定网页的内容的请求。除了网页之外，软件107还能够提供对诸如数字组件的第三方内容的请求。例如，软件107能够向第三方服务器140提供请求。阶段a-1中的请求能够是来自用户设备106的请求，该请求是对内容的请求或对于数字组件的请求。该请求能够被提供给电子文档服务器104或第三方服务器140。在该特定示例中，将标记为请求1的请求提供给电子文档服务器104。
59.请求1是来自软件107的初始请求。初始请求指示软件107先前没有向电子文档服务器104发出请求，软件107先前没有发布随机化群组，和/或先前发布的随机化群组已经过期、被与软件107相关联的用户重置或者否则无效。例如，请求1能够指示软件107先前没有向电子文档服务器104发布请求，并且因此电子文档服务器104应该向软件107发布和分配随机化群组。在一些实施方式中，如果系统100使用诸如可信域服务器140的单个中央发布实体，则阶段a-2发生，其中，指示请求1的数据从电子文档服务器104被转发到可信域服务器140。如果系统100使用分开的发布实体，诸如电子文档服务器104，则阶段a-2不发生。在这个特定示例中，阶段a-2不发生，因为系统100使用分开的发布实体。在其他示例和实施方式中，即使系统100使用分开的发布实体，阶段a-2也能够发生。
60.过程200在阶段b继续，其中，随机化群组生成器响应于接收到指示请求1的数据而生成/构造随机化群组201并将随机化群组分配给请求用户设备106或软件107。
61.如果系统100使用诸如可信域服务器140的单个中央发布实体，则随机化群组生成器142通过响应于接收到指示请求1的数据而生成随机化群组来执行阶段b。如果系统100使用分开的发布实体，例如电子文档服务器104，则随机化群组生成器121通过响应于接收到指示请求1的数据而生成随机化群组来执行阶段b。在这个特定示例中，阶段b被描述为由随机化群组生成器121执行。在其他示例和实施方式中，如果例如系统100使用诸如可信域服
务器140的单个中央发布实体，则阶段b能够由随机化群组生成器142执行。
62.随机化群组生成器121基于随机选择的标识符和时间戳生成每个随机化群组。能够随机生成标识符，或者当系统100具有在不同用户设备106上运行的足够数量的不同浏览器107或足够数量的不同用户设备106时，能够从已经在使用的现有标识符中选择标识符。在该特定示例中，随机化群组生成器121选择64位标识符作为随机化群组标识符。
63.应用于随机化群组标识符的k-匿名性概念保证每个随机化群组标识符被分配给至少k个浏览器107。例如，k个不同浏览器107能够被用作代理度量以保证对应于k个不同用户的k个不同设备106。每个发布域为其发布的随机化群组保证特定的k，使得每个随机化群组标识符被分配给在不同用户设备106上运行的至少k个浏览器107。为了保证这种级别的隐私，发布域必须跟踪被发布的每个随机化群组标识符的数量，并将浏览器107与已经被分配的特定随机化群组标识符相关联。在分配过程期间，浏览器107能够被分配给分配给特定随机化群组标识符的浏览器107的集群。例如，随机化群组生成器121能够将从其接收到请求1的浏览器107随机分配给与特定随机化群组标识符相关联的浏览器107的集群。
64.每个发布域执行分配过程以提供标识符的均匀分布(或在均匀分布的阈值内)的分配。例如，随机化群组生成器121能够将浏览器107随机分配给已经被生成并与浏览器107相关联的随机化群组标识符的集合中的一个。随机化群组生成器121将不同随机化群组标识符的数量与浏览器的数量平衡，以便维护其对用户的k-匿名性保证。例如，随机化群组生成器121能够基于向相应电子文档服务器104提供对于内容的请求的预期和当前浏览器107的数量来平衡被分配的不同随机化群组标识符的数量。在一个示例中，随机化群组生成器121能够基于向电子文档服务器104提供对于内容的请求的预期浏览器107来生成或接收阈值数量的不同随机化群组标识符，并且能够基于来自向电子文档服务器104提供对于内容的请求的不同浏览器107的实际的当前流量来调整不同随机化群组标识符的阈值数量。例如，随机化群组生成器121能够基于不同浏览器107的数量的增加或数量的变化速度来增加与其域相关联的不同随机化群组标识符的数量。在另一示例中，在系统100的初始化中，随机化群组生成器121能够接收来自在分开的用户设备106上运行的不同浏览器107的多个请求，并且将k个浏览器107的集群随机分配给特定的随机化群组标识符以保证k-匿名性。
65.为了保证k-匿名性，域必须具有足够的流量以使统计参数变得有意义并提供匿名化效果，使得特定的随机化群组标识符被分配给在不同用户设备上运行的k个不同浏览器。系统100能够通过设置和调整网络活动水平的阈值来确保系统具有足够的流量，并确保域维持足够的流量以使随机化群组隐私属性变得可验证。
66.一旦随机化群组被生成并被分配给浏览器107，则随机化群组能够具有到期时间。例如，随机化群组能够在预定时间段之后到期，或者直到用户重置或清除随机化群组时到期。在一些示例中，随机化群组能够在浏览器107的用户指定的时间段、浏览器107的默认设置、发布域、由浏览器107基于浏览器107用户的网络活动以及该用户或与该用户具有相似浏览习惯的用户的习惯而确定的时间段之后到期。例如，如果用户经常定期清除与发布域相关联的随机化群组，则能够调整随机化群组的到期期限，使得随机化群组类似于域的用户通常使用的时间表那样地定期被清除。
67.当随机化群组标识符分配到期或被清除时，随机化群组生成器121能够重新分配先前使用的随机化群组标识符。例如，随机化群组生成器121能够使用可用的随机化群组标
识符的列表(包括先前过期的随机化群组标识符)将随机化群组标识符随机分配给浏览器107，或者基于系统的需要随机生成随机化群组标识符。
68.在一些实施方式中，随机化群组标识符能够变得“陈旧”；换句话说，分配给特定随机化群组标识符的用户数量可以由于用户重置他们的随机化群组或他们的随机化群组到期而随时间减少。尽管诸如电子文档服务器104的发布域能够在发布随机化群组时保证k个用户，但是fc后面的用户的数量可以由于随机化群组到期或被重置而减少。系统100能够通过例如在服务器上存储一个或多个附加状态来抵消每个桶的这种用户减少，这些状态指示具有少于k个用户的随机化群组标识符/年龄桶的回收状态。另外，验证服务器130还能够检测特定用户桶(即，在一段时间内分配给特定随机化群组标识符的用户桶)中缺乏活动。验证服务器130还能够向浏览器107提供关于随机化群组标识符的分布的反馈，并且能够向随机化群组生成器121提供反馈。
69.另外，随机化群组生成器121生成时间戳，该时间戳指示分配或生成随机化群组标识符的时间，如上文关于图1所描述的。例如，在接收到来自软件107的请求时，随机化群组生成器生成随机化群组时间戳。该时间戳指示随机选择的标识符何时被分配给将随机化群组随机分配给用户的发布域。
70.浏览器107的用户能够随时重置与他们的浏览器107相关联的随机化群组，正如其他监控机制能够被清除和/或重置一样。当用户重置由与他们的浏览器107相关联的发布域发布的随机化群组时，从浏览器107发送到发布域，诸如电子文档服务器104，的下一请求作为初始请求被接收，对于该初始请求，随机化群组将被分配给浏览器104。
71.除了分配给浏览器107的随机化群组之外，随机化群组生成器121还生成包含随机化群组和公钥/私钥对的证书。由随机化群组生成器121提供的该证书包含浏览器107的可标识信息，包括随机化群组标识符和随机化群组时间戳。随机化群组生成器121对该证书进行签名，其指示证书的真实性及其对浏览器107的分配。签名的证书仅用于验证目的，如下文进一步详细描述的，并且永远不会被传输到除验证服务器之外的域或可由除验证服务器之外的域访问。随机化群组生成器121使用密码算法生成可能为其他人所知的公钥和可能永远不会被除了浏览器107之外的任何人知道的私钥。公钥/私钥对被用于证明或证实提供包括随机化群组的签名证书的浏览器107的身份。特别地，公钥被提供给请求实体，并且浏览器107能够使用私钥以密码方式证实它被分配了该证书。另外，能够使用公钥/私钥对对证书进行加密。
72.验证服务器130验证在证书上的签名是有效的。例如，如果examplecoolvideoplatform.com颁发了证书，则验证服务器130将检索examplecoolvideoplatform.com的公钥并验证在证书上的签名是有效的。例如，密钥能够通过诸如公钥基础设施(pki)的技术被分布，并且密钥不需要由与生成证书的随机化群组生成器121相关联的电子文档服务器104分布。验证服务器130然后生成质询并将该质询传输到浏览器107。例如，质询能够是随机数或验证服务器130已知的某个变量。浏览器107然后能够使用其私钥对质询进行签名，并且将签名返回给验证服务器130。验证服务器130然后能够使用在签名的证书上发布的公共验证密钥来验证签名是有效的。
73.过程200继续到阶段c，其中，电子文档服务器104向浏览器107提供随机化群组、签名的证书、公钥/私钥对以及对请求的响应。在一些实施方式中，电子文档服务器104同时向
浏览器107提供随机化群组、签名的证书、公钥/私钥对和对请求的响应中的每一个。在其他实施方式中，电子文档服务器104分别向浏览器107提供随机化群组中、签名的证书、公钥/私钥对以及对请求的响应的一个或多个。在一些实施方式中，私钥/公钥对通过诸如pki的标准技术被分布。如上所述，由电子文档服务器104执行的过程200的特定阶段。例如，可以由可信域服务器140执行阶段c。
74.过程200继续到阶段d，其中，浏览器107向电子文档服务器104提供后续请求以及随机化群组数据。该后续请求能够在格式上与初始请求相同，并且不被需要提供任何指示该请求在初始请求之后的附加信息。浏览器107检测到请求被提供给与浏览器107已被分配的随机化群组相关联的域，并提供随机化群组数据，从而向电子文档服务器104指示该请求是后续请求。随机化群组数据允许与电子文档服务器104相关联的域监视在域内的不同浏览器的活动，同时比先前可能的更大程度地保护浏览器用户的隐私。
75.浏览器107提供随机化群组数据，包括其为与电子文档服务器104相关联的域分配的随机化群组标识符和表示该域的随机化群组的模糊年龄的数据。具体而言，浏览器107生成要被提供的随机化群组年龄桶，而不是随机化群组时间戳，以模糊浏览器107的具体身份。例如，浏览器107使用函数rcx.agebucketfn()来计算随机化群组年龄桶。例如，该函数能够是分桶函数，例如log2(currenttime
–
randomized cohort.timestamp)，其中，currenttime表示当前时间，并且randomized cohort.timestamp表示随机化群组时间戳。
76.因为浏览器107向随机化群组标识符和随机化群组时间戳都提供后续请求，所以发布域(在该示例中，发布域的电子文档服务器104)负责保证至少有k个用户或浏览器107的用户代理被分配给每对随机化群组标识符和随机化群组年龄桶，以满足其k-匿名性保证。在一些实施方式中，发布域能够保证关于随机化群组标识符以及随机化群组标识符和随机化群组时间戳对的不同级别的k-匿名性。
77.可选地，浏览器107的用户能够选择验证分配给浏览器107的随机化群组的统计和/或隐私属性。不是要被验证的随机化群组的发布域的任何第三方(诸如电子文档服务器104或可信域服务器140)能够维护验证服务器130，并且用户能够选择将他们的浏览器107引导到任何验证服务器130。在一些实施方式中，电子文档服务器104能够维护验证服务器130以验证由与其他域相关联的其他电子文档服务器104发布的随机化群组的统计和/或隐私属性。在一些实施方式中，浏览器107能够自动地请求来自验证服务器130的验证，而无需由用户指示。例如，系统100能够要求参与的浏览器107周期性地请求来自随机选择的合格验证服务器130的验证。在一些实施方式中，浏览器107不请求验证，除非由用户指示。
78.过程200继续到阶段e，其中，软件107将证书提供给验证服务器130。例如，浏览器107将在阶段b中由随机化群组生成器121生成的证书提供给验证服务器130。浏览器107还能够向验证服务器提供公钥以用于证明目的。在一些实施方式中，浏览器107提供随机化群组信息，诸如随机化群组标识符和随机化群组年龄桶，而不是证书，其不模糊随机化群组年龄。
79.过程200继续到阶段f，其中，验证服务器130执行验证由浏览器107提供的随机化群组数据的统计和/或隐私属性的验证过程。
80.验证服务器130验证验证服务器130有权访问的随机化群组标识符的集合是均匀分布的。例如，验证服务器130能够使用证书来确定随机化群组标识符和/或随机化群组年
龄桶。验证服务器130然后能够将随机化群组标识符和/或随机化群组年龄桶与验证服务器有权访问的随机化群组标识符和/或随机化群组年龄桶的列表进行比较，以确定在分配给在适当范围内的每个不同的随机化群组标识符的不同用户设备上运行的浏览器的数量是否是均匀分布的或在阈值距离内均匀分布。如上所述，该范围能够在特定域内或全局地在参与域的网络内。例如，验证服务器130能够维护它从参与其验证服务的浏览器107接收到的随机化群组标识符和随机化群组年龄桶对的列表。验证服务器130然后能够确定在分配给在特定年龄桶和/或域内的每个不同随机化群组标识符的不同用户设备上运行的不同浏览器的数量是否是正态分布的。在一些实施方式中，验证服务器130确定在分配给在特定域内的每个不同随机化群组标识符的不同用户设备上运行的不同浏览器的数量是否是正态分布的，而不需要处于相同年龄桶内的另外的要求。
81.浏览器107能够以特定时间间隔自动请求来自诸如验证服务器130的验证服务的验证。例如，浏览器107能够每周向验证服务器130请求验证，以确保电子文档服务器104遵守其k-匿名性保证责任，并传递它向用户承诺的隐私级别。
82.可选地，在随机化群组是全局范围的并且不是由每个域分配的内容传递过程期间，浏览器107从其请求内容的电子文档服务器104能够在其对来自浏览器107的初始请求的响应中包括证明请求。
83.无论电子文档服务器104与哪个域相关联，浏览器107都会在每次请求时将这样的随机化群组提供给每个电子文档服务器104。使用全局范围的随机化群组防止恶意域串通以创建更可跟踪的熵的方式跨域组合随机化群组，从而降低由于域之间的串通而损害用户隐私的风险。但是，全局范围的随机化群组是全局可读的，这并不消除由于诸如重放攻击的策略而滥用的可能性。例如，恶意行为者能够购买到域的流量，获取随机化群组(包括随机化群组标识符和随机化群组时间戳)，并且然后使用观察到的分布来攻击不同的域。因为产生随机化群组的实体与内容从其被请求的服务器，诸如电子文档服务器104或第三方服务器150，是分开且独立不同的，所以内容从其被请求的服务器将需要能够执行证明步骤以验证提供随机化群组标识符和随机化群组时间戳的浏览器107实际上已被分配了来自诸如可信域服务器140的可信服务器的随机化群组。
84.证明请求能够指定浏览器107应该请求验证服务器130以确定随浏览器107对内容的请求提供给电子文档服务器104的随机化群组标识符和随机化群组年龄桶是否实际上由诸如可信域服务器140的可信服务器分配给浏览器107。例如，电子文档服务器104能够请求验证服务器130要求浏览器107证明其作为浏览器107的身份，证书和相关联的随机化群组信息由诸如可信域服务器140的可信服务器分配给该浏览器107。验证服务器130能够通过生成与由随机化群组生成器121提供和签名的证书不同的匿名证书来促进该证明过程，该匿名证书证明特定的证书被分配给特定的浏览器107。这个过程是不相关的，其中，随机化群组对于每个域是本地范围的使得每个域向浏览器104发布随机化群组，并且因此将能够基于由随机化群组生成器121发布的签名证书来确定浏览器107是否是它向其分配了随机化群组的浏览器。例如，如果与电子文档服务器104相关联的随机化群组生成器121生成了随机化群组，那么它将能够在它接收的与随机化群组相关联的证书上验证它自己的签名或通过使用如上文关于阶段b所述生成的公钥/私钥对而使用公共密钥加密来验证它自己的签名。
85.在一个说明性示例中，用户使用浏览器107访问examplenewswebsite.com。用户阅读链接到examplevideohostingplatform.com上的特定视频的文章。在该示例中，浏览器107先前已从可信域服务器140被分配了随机化群组和证书，并且因此浏览器107向与电子文档服务器104相关联的examplevideohostingplatform.com发送对特定视频的请求。在请求中，浏览器107包括其分配的随机化群组标识符和随机化群组年龄桶。
86.因为由可信服务器分配给浏览器107的全局范围的随机化群组不是由与电子文档服务器104相关联的随机化群组生成器121生成的，所以examplevideohostingplatform.com可以请求浏览器107证明其身份并将该请求转发给验证服务器130来完成。电子文档服务器104向浏览器107提供秘密x。该秘密能够具有任何值，并且能够是例如随机生成的16位值。浏览器107将由随机化群组生成器142提供的秘密x和证书提供给验证服务器130，以请求验证服务器130执行证明过程。浏览器107能够从验证服务器130屏蔽x的值，以防止秘密x被链接到浏览器107。例如，浏览器107能够使用部分盲化签名方案从验证服务器130屏蔽x。然后验证服务器130接收浏览器107的证书和盲化秘密x并基于该证书生成指示随机化群组标识符和随机化群组年龄桶的匿名证书。验证服务器130然后对这个匿名证书进行签名并将该签名的、匿名的证书和x返回给发布证明请求的电子文档服务器104。电子文档服务器104能够将来自验证服务器130的签名的匿名证书中的随机化群组信息与电子文档服务器104从浏览器107接收的随机化群组标识符和随机化群组年龄桶进行比较。如果信息匹配，则浏览器107已经成功证明其身份具有可信域服务器140向其分配了提供给电子文档服务器104的随机化群组信息的浏览器。
87.在一些实施方式中，如果多个验证服务器130协作和/或共享资源，则能够执行更稳健的验证过程。例如，验证服务器130能够确定在更好地代表参与的浏览器和域的总群体的更大的群体的场境下，特定年龄桶内的多个随机化群组标识符是否符合由电子文档服务器104提供的、由系统100指定以便被认为符合的k-匿名性保证等。验证服务器130能够使用例如被提供跨每个验证服务器接收的证书的唯一公钥的总数能够被计算，从而允许用户验证存在具有相同的随机化群组标识符的大约至少k个用户。
88.在另一示例实施方式中，电子文档服务器104能够向浏览器107返回唯一的跟踪url而不是秘密x。浏览器107然后能够跟随唯一的跟踪url并将签名的匿名证书从验证服务器130发布到在唯一的跟踪url处的目的地。
89.独立验证服务器130能够协作以表示随机化群组的整个群体的某些统计属性被满足并且隐私保证得到大规模维护。由于在代表不同用户的不同用户设备上运行的浏览器数量的性质和规模，验证服务器130以难以欺骗的检查点的形式提供一定程度的保护，而不是正确性或合法性的正式证明。
90.在一些示例中，恶意发布者能够使用随机化群组标识符的比特的子集来编码关于用户的敏感数据或不然以隐藏方式嵌入信息。系统100能够在比特级别执行一致性检查以检查随机化群组标识符并确定随机化群组标识符是否被均匀地选择和分布。例如，验证服务器130能够随机生成掩码，对所有随机化群组标识符执行按位的与运算并且重新聚合。如果已均匀选择和分配了随机化群组标识符，则结果也应该是均匀的。在一些实施方式中，验证服务器130记住先前已为每个用户分配的随机化群组标识符并测试随时间的比特级相关性。在一些实施方式中，验证服务器130执行测试以确保在不同用户设备106上运行的两个
或更多个浏览器107没有一致地被分配到相同的随机化群组标识符。
91.过程200继续到阶段g，其中，验证服务器130将验证过程的结果提供给浏览器107。验证服务器130能够将随机化群组标识符和随机化群组年龄桶的统计和/或隐私属性以未处理的数量提供给浏览器107。例如，验证服务器130能够将随机化群组标识符分配的分布或在不同用户设备上运行的不同随机化群组浏览器的数量提供给与随机化群组标识符相关联的浏览器107。然后，浏览器107能够将随机化群组标识符分配的未处理数量的分布与从均匀分布的阈值偏差进行比较，或者将在与随机化群组标识符相关联的浏览器107的不同用户设备上运行的不同随机化群组浏览器的数量与在应该与随机化群组标识符相关联的不同用户设备上运行的不同浏览器的阈值数k进行比较，以保证k-匿名性。当一个或多个阈值未被满足时，浏览器107可以向浏览器107的用户提供指示。例如，如果在与随机化群组标识符相关联的浏览器107不同的用户设备上运行的不同随机化群组浏览器的数量不满足在不同用户设备上运行的不同浏览器的阈值数量k，则浏览器107能够显示视觉消息，播放音频、创建振动等以向用户指示未满足阈值。
92.除了提供为用户提供独立可验证的隐私级别的监控机制的优点之外，随机化群组还为系统的内容提供者和主机提供保护。内容分布系统中的一种滥用方式是通过操纵参与度统计数据。例如，在内容提供商按交互付费的方案中(例如，按点击付费系统)，能够激励用户点击特定内容项以增加内容提供商所需的付费。另外，在视频内容平台上，用户可以通过由提供欺诈性观看来人为地提高某些视频的受欢迎程度，从而串通以协调对视频内容推荐系统的操纵。随机化群组提供了一种监控机制，其允许检测这种滥用。
93.从用户的角度来看，随机化群组类似于传统的监控机制而起作用，同时提供更高级别的隐私。因此，所描述的用于隐私保护的监控机制的系统几乎不需要改变用户的体验，同时提高了他们的隐私并降低了用户信息被泄露的可能性。
94.随机化群组依赖于使用统计参数来保证用户隐私，并且为了执行滥用检测而不侵犯用户隐私的目的而利用更大量的熵。对于在k-匿名场境中的k＝1，随机化群组提供与传统跟踪机制(诸如cookie)相同级别的滥用检测。随着k的增加，随机化群组为用户提供更高级别的隐私，同时对滥用检测仍然有用。另外，随机化群组不需要在第一方场境中断言信任，其中，随机化群组是本地范围的，并且仅限于由发布随机化群组的域使用。
95.一旦浏览器107已经向电子文档服务器104提供了随机化群组信息，电子文档服务器104能够执行诸如统计分析的安全功能以检测系统100的滥用。例如，当随机化群组对于特定域是本地范围的时并且当随机化群组是全局范围的时，特定电子文档服务器104的每个分析器123能够执行由与分析器123相关联的电子文档服务器104指定的统计分析。
96.电子文档服务器104能够通过使用所描述的监控机制，即随机化群组，以保护用户隐私的方式保护其域免受参与滥用。因为该系统保证了k的匿名性，其中，k是可调整的，所以随机化群组的使用提供了一个系统，该系统提供了免受参与滥用的持续保护，这维护高于当前可能的隐私保护水平。
97.电子文档服务器104的分析器123通过使用随机化群组信息来监控匿名用户网络活动，并且基于随机化群组标识符的分布的统计属性和与随机化群组标识符相关联的活动来检测参与滥用或串通的迹象。例如，分析器123能够检测统计异常行为，诸如来自与特定随机化群组标识符和/或年龄桶相关联的用户组的不规则资源请求或异常活动。
98.对于给定的参与域，每个随机化群组标识符的点击次数应该被均匀分布。点击次数不一致能够指示异常活动。例如，大于与随机化群组标识符相关联的点击次数的阈值偏差的偏差，或与一个或多个随机化群组相关联的一段时间内的活动尖峰(偏差的数量或速度)能够在统计上指示能够指示滥用的异常活动。例如，分析器123能够确定统计测试，以通过与恶意活动引起的风险和潜在损害相比的诸如活动的风险比及其对域资源的影响的度量来验证统计上的异常活动。
99.分析器123能够计算与随机化群组标识符组合接收的随机化群组年龄桶的年龄分布，并针对例如已知的全局背景分布测试异常。例如，分析器123能够检测到来自具有低于阈值年龄值的随机化群组年龄桶值的浏览器的活动量等于或低于阈值量并且确定存在异常的活动量。
100.分析器123能够通过使用防伪装的算法执行欺诈检测来检测涉及恶意用户的群组的协同攻击，使用对不可检测欺诈的可证明限制来提供欺诈有效性的上限。例如，分析器123能够限制两个或更多随机化群组标识符/随机化群组年龄桶对在某个时间窗口内访问同一长尾网站的集合的概率。在另一示例中，分析器123能够构建用户和网站之间的二分图，部且然后尝试找到对应于以协调的方式行动的用户的集群的二分图(一种特定类型的二分图，其中，第一集合的每个顶点都被连接到第二组的每个顶点)。
101.分析器123能够检测欺诈创建的熵以用于跟踪一个或多个用户的目的。例如，恶意行为者能够尝试将单个浏览器107分配给随机化群组标识符，其中，其他k-1个浏览器107是机器人。然而，电子文档服务器104以随机方式将随机化群组标识符分配给用户，并且因此这种性质的攻击在没有攻击者获得服务器访问权的情况下将难以实施。恶意的或受损的域电子文档服务器104可能能够对与浏览器107相关联的多个用户进行这种欺诈，但恶意域很难在逃避诸如验证服务器130的独立验证服务器的检测的同时执行任何有意义规模的攻击。除了向参与域的电子文档服务器104提供这种随机化群组标识符/年龄桶对的通知，使得域能够防止来自标识的随机化群组标识符的滥用之外，这种规模化的攻击能够通过下述方式来有效地遏制：允许验证服务器130执行滥用检测和防止，允许验证服务器130在一段时间内检测和阻止或删除分配给僵尸网络的随机化群组。
102.当分析器123检测到在统计上异常的行为时，分析器123能够设置或调整限制以防止特定用户从特定电子文档服务器104请求资源或通常在一段时间内请求资源。例如，分析器123能够检测到特定的随机化群组标识符/随机化群组年龄桶对正被提供给电子文档服务器104并且与过去五分钟内的异常活动量相关联，并且放止特定的随机化群组标识符/随机化群组年龄桶从电子文档服务器104请求资源。因此，系统100能够减少用于促进欺诈活动的资源量。然而，当随机化群组是独立的、域范围的随机化群组时，每个验证服务器130只能访问已选择使用该特定验证服务器130作为其独立验证服务的用户的随机化群组标识符和随机化群组年龄桶。在一些实施方式中，无论随机化群组是域范围的还是全局范围的，验证服务器130都与其他验证服务器130联合和分组，以便访问阈值数量的随机化群组，以便为浏览器107提供在统计上有意义的结果。
103.当随机化群组是全局范围的时，分析器123能够与可信域服务器140通信以标识与全局范围的随机化群组标识符/随机化群组年龄桶对相关联的可疑欺诈或异常活动，其能够被传送给其他电子文档服务器104以监控和防止跨参与域的滥用。
104.图3a和3b是泳道图，其图示了用于发布和实现用于跨不同域执行的网络活动的隐私保护的监控机制的示例过程300和350。过程300和350的操作能够例如由用户设备106和/或软件107、电子文档服务器104、dcds 110、验证服务器130、可信域服务器140和/或第三方服务器150实现。过程300和350中的所有过程也能够被实现为存储在一个或多个计算机可读介质上的指令，该介质可以是非暂时性的，并且由一个或多个数据处理装置执行指令能够使一个或多个数据处理装置执行过程300和350的操作。
105.现在参考图3a，过程300开始于步骤1，其中，来自软件107的初始请求被提供给电子文档服务器104。在一些示例中，该请求能够通过dcds 110被转发到电子文档服务器104，dcds 110在图3a中未图示。例如，与exampleimagehostingplatform网络域相关联的exampleimagehostingplatform.com能够从浏览器107接收对图像的请求。在该示例中，浏览器107尚未被分配来自exampleimagehostingplatform的电子文档服务器104的随机化群组，并且因此该请求是初始请求。在另一示例中，如果浏览器107先前被分配了来自exampleimagehostingplatform的电子文档服务器104的随机化群组，但该随机化群组已过期或被浏览器107的用户清除，则该请求也被视为初始请求。
106.过程300继续至步骤2，其中，电子文档服务器104生成随机化群组，其包括随机化群组标识符、随机化群组时间戳、签名的证书和公钥/私钥对，并将随机化群组分配给软件107。例如，电子文档服务器104的随机化群组生成器121能够生成随机化群组、签名的证书和公钥/私钥对，并将随机化群组分配给浏览器107，如上文关于图2所描述的。如上所述，电子文档服务器104与特定网络域相关联。
107.过程300继续至步骤3，其中，电子文档服务器104向软件107提供具有所请求内容和随机化群组的回复，其包括随机化群组标识符、随机化群组时间戳、签名的证书和公钥/私钥对，如上面关于图2所描述的。例如，电子文档服务器104能够向浏览器107传输包括所请求的图像、随机化群组、签名的证书和公钥/私钥对的响应。
108.过程300继续至步骤4，其中，软件107向电子文档服务器104提供后续请求，电子文档服务器104先前已将随机化群组发布到软件107。软件107包括具有其请求的随机化群组标识符和年龄桶。例如，用于域exampleimagehostingplatform.com的电子文档服务器104能够从浏览器107接收对第二图像的请求以及分配的随机化群组标识符和随机化群组年龄桶。
109.可选地，软件107的用户能够选择验证服务器来独立地验证与软件107相关联的随机化群组标识符的隐私和/或统计属性，如关于步骤5、6和7所描述的。
110.过程300继续至步骤5，其中，软件107将其证书提供给验证服务器130。例如，浏览器107能够将其由随机化群组生成器121生成的签名的证书提供给验证服务器130。
111.过程300继续至步骤6，其中，验证服务器130基于证书执行验证过程。例如，验证服务器130能够基于证书执行验证过程以确定证书中提供的随机化群组标识符的统计和/或隐私保护属性。
112.可选地，验证服务器130还能够在执行验证过程之前认证所提供的证书以确定所提供的随机化群组标识符被分配给正在提供证书的软件107。例如，验证服务器130能够使用公钥/私钥对来确定所提供的随机化群组标识符被分配给正在提供证书的浏览器107。
113.过程300继续至步骤7，其中，验证服务器130将验证过程的结果提供给软件107。例
如，验证服务器130能够向浏览器107输出未处理的数量或统计分析的结果以及与阈值的比较以确定是否已检测到在统计上的异常或欺诈活动，或者是否为浏览器107保护了保证的隐私级别。
114.现在参考图3b，用于发布和实现用于跨不同域执行的网络活动的隐私保护的监控机制的过程350由中央可信域服务器140而不是分开的电子文档服务器104执行。由可信域服务器140发布的随机化群组是全球范围的。过程350开始于步骤1，其中，来自软件107的初始请求被提供给电子文档服务器104。在一些示例中，该请求可以通过在图3b中未图示的dcds 110被转发到电子文档服务器104。
115.过程350继续至步骤2，其中，电子文档服务器104将请求信息转发到可信域服务器140。例如，电子文档服务器104能够从其域exampletextandimagehostingplatform.com接收对若干行文本的请求。在该示例中，浏览器107尚未被分配随机化群组并且不向电子文档服务器104提供随机化群组，并且因此该请求是初始请求。
116.过程350继续步骤3，其中，可信域服务器140生成随机化群组，包括随机化群组标识符、随机化群组时间戳、证书和公钥/私钥对，并将随机化群组分配给软件107。例如，可信域服务器140的随机化群组生成器142能够生成随机化群组、签名的证书和公钥/私钥对，并将随机化群组分配给浏览器107，如上文关于图2所描述的。如上所述，可信域服务器140不与特定的网络域相关联并且生成能够跨不同域使用的全局范围的随机化群组。
117.过程350继续至步骤4a，其中，电子文档服务器104向软件107提供回复。例如，电子文档服务器104能够将包括所请求的文本的响应传输到浏览器107。
118.过程350继续至步骤4b，其中，可信域服务器140向软件107提供随机化群组，包括随机化群组标识符、随机化群组时间戳、证书和公钥/私钥对。例如，可信域服务器140能够将随机化群组、签名的证书和公钥/私钥对发送到浏览器107。
119.在一些实施方式中，步骤4a和4b同时发生。在一些实施方式中，步骤4a和4b异步发生。
120.过程350继续至步骤5，其中，软件107向电子文档服务器104提供后续请求。因为可信域服务器140已将全局范围的随机化群组分配给软件107，所以软件107包括随机化群组标识符和具有其对电子文档服务器104的请求的年龄桶。例如，用于域exampletextandimagehostingplatform.com的电子文档服务器104能够从浏览器107接收对图像的请求以及分配的随机化群组标识符和随机化群组年龄桶。
121.可选地，软件107的用户能够选择验证服务器以独立地验证与软件107相关联的随机化群组标识符的隐私和/或统计属性，如关于步骤6、7和8所描述的。
122.过程350继续至步骤6，其中，软件107将其证书提供给验证服务器130。例如，浏览器107可以将其由随机化群组生成器142生成的签名的证书提供给验证服务器130。
123.过程350继续至步骤7，其中，验证服务器130基于证书执行验证过程。例如，验证服务器130能够基于证书执行验证过程以确定在证书中提供的随机化群组标识符的统计和/或隐私保护的属性。
124.可选地，验证服务器130还能够在执行验证过程之前认证所提供的证书以确定所提供的随机化群组标识符被分配给提供证书的软件107。例如，验证服务器130能够使用公钥/私钥对来确定所提供的随机化群组标识符被分配给提供证书的浏览器107。该协议防止
验证服务器130考虑来自浏览器107的具有伪造或被盗的证书的统计数据，提高所收集的统计活动数据的稳定性并减少被选为用于欺诈性使用的资源。
125.过程350继续至步骤8，其中，验证服务器130将验证过程的结果提供给软件107。例如，验证服务器130能够向浏览器107输出未处理的数字或统计分析的结果和与阈值的比较以确定是否已检测到统计上异常或欺诈的活动，或者是否为浏览器107保护了保证的隐私级别。
126.图4是图示用于发布和实现隐私保护的监控机制的示例过程400的流程图。过程400的操作能够例如由用户设备106和/或软件107、电子文档服务器104、dcds 110、验证服务器130、可信域服务器140和/或第三方服务器150实现。过程400也能够被实现为存储在一个或多个计算机可读介质上的指令，该计算机可读介质可以是非暂时性的，并且由一个或多个数据处理装置执行指令能够使一个或多个数据处理装置执行过程400的操作。
127.过程400开始于从用户的用户设备上的应用接收来自域的对数字内容的请求(402)。例如，电子文档服务器104能够从用户设备106的浏览器107接收来自与电子文档服务器104相关联的域的对数字内容的请求，如上面关于图1、2和3a-3b所描述的。
128.过程400继续至在第一时间向应用分配基于随机选择的标识符和指示随机化群组被分配给应用的第一时间的时间戳而生成的随机化群组(404)。例如，电子文档服务器104能够将与域相关联的局部范围的随机化群组分配给浏览器107，如上文关于图1、2和3a所描述的。在另一示例中，可信域服务器140能够向浏览器107分配能够被使用的的全局范围的随机化群组，如上文关于图1、2和3b所描述的。
129.过程400继续至在第一时间向应用提供(i)对应于随机选择的标识符和时间戳并利用唯一公钥签名的证书和(ii)对应于唯一公钥的唯一私钥，其中，随机选择的标识符还被分配给在预定时间段内在其他用户设备上执行的至少阈值数量的其他应用(406)。例如，电子文档服务器104或可信域服务器140向浏览器107提供随机化群组和/或证书。如果电子文档服务器104生成本地范围的随机化群组，则电子文档服务器104还向浏览器107提供所请求的数字内容。如果可信域服务器140生成全局范围的随机化群组，则电子文档服务器104将所请求的数字内容提供给浏览器107。步骤406能够如上文关于图1、2和3a-3b所描述的那样执行。
130.在一些实施方式中，过程400能够包括：从应用接收来自域的对数字内容的第二请求，并且由应用在第二时间向域该提供基于随机选择的标识符和指示包含随机化群组的年龄的cookie的年龄范围的随机化群组年龄桶而生成的模糊标识符，其中，随机化群组的年龄是根据第二时间和第一时间之间的差计算的。例如，浏览器107能够基于由电子文档服务器104或可信域服务器140提供的随机化群组和/或证书来计算随机化群组年龄桶，如上文关于图1、2和3a-3b所描述的。在一些实施方式中，模糊标识符包括随机选择的标识符和随机化群组年龄桶。在一些实施方式中，模糊标识符包括从随机选择的标识符和/或随机化群组年龄桶导出的数据和参数。例如，模糊标识符可以包括通过下述方式而导出的参数：对随机选择的标识符和/或随机化群组年龄桶应用乘数、添加常数或应用一些其他操作集。模糊标识符还能够包括除了随机选择的标识符和随机化群组年龄桶之外的数据和参数。
131.在一些实施方式中，将随机化群组分配给应用包括由域将随机化群组分配给应用，其中，随机选择的标识符被域分配给至少阈值数量的其他应用，其中，随机选择的标识
符是从两个或多个随机生成的标识符中选择的随机生成的标识符，并且其中，唯一的公钥是由域生成的。例如，电子文档服务器104能够生成随机化群组并将其分配给浏览器107，并确保由电子文档服务器104将随机化群组标识符分配给至少k-1个其他浏览器107，其中，在两个或更多个随机生成的标识符之间选择随机化群组标识符，并且其中，唯一公钥由电子文档服务器104生成，如上文关于图1、2和3a所描述的。
132.在一些实施方式中，过程400包括由应用向验证系统提供证书，以及由验证系统验证随机化群组被分配给至少阈值数量的人。例如，验证服务器130能够确定在证书中指示的随机化群组的统计和/或隐私属性，如上文关于图1、2和3a所描述的。
133.在一些实施方式中，将随机化群组分配给应用包括由中央服务器将随机化群组分配给应用，其中，随机选择的标识符被分配给至少阈值数量的其他应用，其中，随机选择的标识符是从两个或多个随机生成的标识符中选择的随机生成的标识符，并且其中，唯一的公钥由中央服务器生成。例如，可信域服务器140能够生成随机化群组并将其分配给浏览器107，并确保将随机化群组标识符被分配给至少k-1个其他浏览器107，其中，随机化群组标识符是从两个或更多个随机选择的生成的标识符选择的，并且其中，唯一公钥是由可信域服务器140生成的，如上面关于图1、2和3b所描述的。
134.在一些实施方式中，过程400包括：由应用提供对来自不同于第一域的第二域的对数字内容的请求和随机化群组；响应于提供来自第二域的对数字内容的请求，由应用从第二域接收包括质询的证明请求；并由应用向验证系统提供证书，该证书触发以使验证系统(i)创建模糊证书，其包括随机选择的标识符、随机化群组年龄桶和质询，(ii)对模糊证书进行签名，以及(iii)向第二域提供模糊证书，其中，使用盲化方案将质询从验证服务器屏蔽。例如，验证服务器130能够基于证明请求生成匿名证书，如上文关于图1、2和3b所描述的。
135.在一些实施方式中，过程400包括由域基于接收到的随机化群组年龄桶来检测与随机选择的标识符相关联的异常活动以及以下至少一项：与随机选择的标识符相关联的交互的数量、随机化群组年龄分布以及与特定交互和特定时间段相关的概率分布。例如，电子服务器103的分析器123能够检测与随机化群组标识符和/或随机化群组标识符/年龄桶对相关联的异常活动，如上文关于图1、2和3a-3b所描述的。
136.本技术因此允许跟踪互联网活动(例如，以帮助防止滥用或欺诈)，同时帮助提高个体用户隐私性。使用被分配给多个用户和年龄桶而不是特定时间戳的随机化群组标识符意味着无法标识与给定随机化群组相关联的个体用户。因此提高该用户的隐私性。同时，随机化群组标识符/年龄桶对的使用随着时间的推移提供了足够的统计信息，以标识潜在地指示欺诈的互联网活动上的异常。此外，通过使用第三方域发布的验证系统和质询，第三方域能够验证随机化群组的真实性，而无需获取有关个体用户的可标识信息。本技术因此提供了一种对抗滥用或欺诈性互联网活动同时帮助提高个体用户隐私性的稳定方式。
137.图5是能够被用于执行上述操作的示例计算机系统500的框图。系统500包括处理器510、存储器520、存储设备530和输入/输出设备540。组件510、520、530和540中的每一个能够例如使用系统总线550互连。处理器510能够处理用于在系统500内执行的指令。在一些实施方式中，处理器510是单线程处理器。在另一实施方式中，处理器510是多线程处理器。处理器510能够处理存储在存储器520中或存储设备530上的指令。
138.存储器520在系统500内存储信息。在一种实施方式中，存储器520是计算机可读介质。在一些实施方式中，存储器520是易失性存储器单元。在另一实施方式中，存储器520是非易失性存储器单元。
139.存储设备530能够为系统500提供大容量存储。在一些实施方式中，存储设备530是计算机可读介质。在各种不同的实施方式中，存储设备530能够包括例如硬盘设备、光盘设备、由多个计算设备(例如，云存储设备)通过网络共享的存储设备或某个其他大容量存储设备。
140.输入/输出设备540为系统500提供输入/输出操作。在一些实施方式中，输入/输出设备540能够包括网络接口设备，例如以太网卡、串行通信设备，例如，rs-232端口，和/或无线接口设备，例如，802.11卡，中的一个或多个。在另一实施方式中，输入/输出设备能够包括被配置为接收输入数据并将输出数据发送到外部设备560，例如，键盘、打印机和显示设备，的驱动器设备。然而，也能够使用其他实施方式，诸如移动计算设备、移动通信设备、机顶盒电视客户端设备等。
141.尽管已经在图4中描述了示例处理系统，但是本说明书中描述的主题和功能操作的实施方式能够被实现在其他类型的数字电子电路中，或在包括在本说明书中公开的结构及其结构等同物的计算机软件、固件或硬件中或者在它们的一种或多种的组合中。
142.在本说明书中描述的主题和操作的实施例能够被实现在数字电子电路中或在计算机软件、固件或硬件中，包括本说明书中公开的结构及其结构等同物，或者实现在它们的一个或更多的组合中。本说明书中描述的主题的实施例能够被实现为一个或多个计算机程序，即，计算机程序指令的一个或多个电路，其被编码在一个或多个计算机存储介质上，以用于由数据处理装置执行或控制数据处理装置的操作。替代地或另外，程序指令能够被编码在人工生成的传播信号上，例如，机器生成的电、光或电磁信号，该信号被生成以对信息进行编码以用于传输到合适的接收机装置，以由数据处理装置执行。计算机存储介质能够是或被包括在计算机可读存储设备、计算机可读存储基板、随机或串行存取存储器阵列或设备或它们中的一个或多个的组合中。此外，虽然计算机存储介质不是传播信号，但是计算机存储介质能够是在人工生成的传播信号中编码的计算机程序指令的源或目的地。该计算机存储介质还能够是或者被包括在一个或多个分开的物理组件或介质(例如，多个cd、盘或其他存储设备)中。
143.在本说明书中描述的操作能够被实现为由数据处理装置对存储在一个或多个计算机可读存储设备上或从其他源接收的数据执行的操作。
144.术语“数据处理装置”涵盖用于处理数据的所有种类的装置、设备和机器，包括例如可编程处理器、计算机、片上系统或者前述的多个或组合。该装置能够包括专用逻辑电路，例如fpga(现场可编程门阵列)或asic(专用集成电路)。除了硬件之外，该装置还能够包括为所涉及的计算机程序创建执行环境的代码，例如，构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行时环境、虚拟机或它们中的一个或多个的组合的代码。该装置和执行环境能够实现各种不同的计算模型基础设施，诸如web服务、分布式计算和网格计算基础设施。
145.计算机程序(也称为程序、软件、软件应用、脚本或代码)能够以任何形式的编程语言编写，包括编译或解释语言、声明性或过程语言，并且它能够以任何形式部署，包括作为
服务器关系的计算机程序而产生。在一些实施例中，服务器向客户端设备传输数据(例如，html页面)(例如，出于向与客户端设备交互的用户显示数据和从该用户接收用户输入的目的)。能够在服务器处从客户端设备接收在客户端设备处生成的数据(例如，用户交互的结果)。
151.虽然本说明书包含许多具体实施方式细节，但是这些不应被解释为对任何发明或所要求保护内容的范围的限制，而是作为对特定于特定发明的特定实施例的特征的描述。在本说明书中在分开实施例的上下文中描述的某些特征也能够在单个实施例中被组合实现。相反，在单个实施例的上下文中描述的各种特征也能够在多个实施例中分开地或以任何合适的子组合实现。此外，虽然特征可以在上面被描述为在某些组合中起作用并且甚至最初如此要求保护，但是来自所要求保护的组合的一个或多个特征在一些情况下能够从组合中被去除，并且所要求保护的组合可以针对子组合或子组合的变化形式。
152.类似地，虽然在附图中以特定顺序描绘操作，但是这不应被理解为要求这些操作以所示的特定顺序或以依次的顺序被执行，或者所有所图示的操作被执行，以实现期望的结果。在某些情况下，多任务和并行处理可能是有利的。此外，在上述实施例中的各种系统组件的分开不应被理解为在所有实施例中都需要这样的分开，并且应当理解，所描述的程序组件和系统通常能够一起集成在单个软件产品中或封装到多个软件产品内。
153.因此，已经描述了主题的特定实施例。其他实施例在所附权利要求的范围内。在一些情况下，权利要求中所述的动作能够以不同的顺序被执行并且仍然实现期望的结果。另外，附图中描绘的过程不必然需要所示的特定顺序或依次的顺序来实现期望的结果。在某些实施方式中，多任务和并行处理可能是有利的。