專利名稱:用于控制個(gè)人數(shù)據(jù)的裝置和方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及通信系統(tǒng)中的安全性����,更具體地說涉及在因特網(wǎng)和類似網(wǎng)絡(luò)上對(duì)個(gè)人數(shù)據(jù)實(shí)施終端用戶控制的處理。
背景技術(shù):
最近數(shù)年來���,移動(dòng)因特網(wǎng)的服務(wù)發(fā)展呈爆發(fā)性地增長(zhǎng)�����,并帶出例如游戲���、日程表、聊天群���、新聞和電子商貿(mào)等的大量服務(wù)和應(yīng)用����。具體來說�����,對(duì)于個(gè)性化服務(wù)(即依賴于個(gè)人數(shù)據(jù)的服務(wù),例如向請(qǐng)求人提供他所在位置的天氣���、發(fā)往他的工作/從他的工作傳送的時(shí)間表�����、傳遞到他的家庭的電子商貿(mào)��、對(duì)他的信用卡收費(fèi)等等)存在高度需求����,��。
為了能夠提供個(gè)性化服務(wù)�,必須在某種程度提供有關(guān)個(gè)人的信息(位置��、人口統(tǒng)計(jì)�����、生物識(shí)別等)�����,并且這使得隱私保護(hù)措施成為關(guān)鍵所在。隱私保護(hù)策略對(duì)于實(shí)施個(gè)性化工作并由此充分利用移動(dòng)因特網(wǎng)承諾越來越重要����。
先前的通信系統(tǒng)一般要求針對(duì)每個(gè)用戶感興趣的新服務(wù)檢閱并接受策略。每個(gè)策略均是不同的��,并且與有關(guān)個(gè)人數(shù)據(jù)的需求或發(fā)布的不同隱含關(guān)聯(lián)����。但是,在因特網(wǎng)以及移動(dòng)因特網(wǎng)上服務(wù)和應(yīng)用將以非常高節(jié)奏來來往往�,尤其是消費(fèi)者部分。這種高應(yīng)用周轉(zhuǎn)影響了個(gè)體隱私問題��,因?yàn)橛脩翎槍?duì)每個(gè)可能感興趣的新服務(wù)都復(fù)查和接受公司的策略在現(xiàn)實(shí)中是不可行的����。對(duì)于常見的策略類型,要花費(fèi)用戶至少10分鐘的時(shí)間來完整地閱讀和理解一個(gè)策略��,這顯然阻礙了終端用戶����。
因此�,非常需要一種以用戶友好方式保護(hù)個(gè)人信息而不使獲取個(gè)性化服務(wù)不必要的復(fù)雜化的系統(tǒng)�����。在我們的國(guó)際專利申請(qǐng)[1]中概述了一種能夠?qū)崿F(xiàn)這些功能特征的網(wǎng)絡(luò)����,下文稱為“經(jīng)典鎖箱”,它建議使個(gè)人數(shù)據(jù)的發(fā)布與它的使用分離�����。提供一種通用體系結(jié)構(gòu)�,它設(shè)計(jì)為能夠阻止(和發(fā)布)個(gè)人信息,例如人口統(tǒng)計(jì)信息或物理位置���,而無需在每次存在利用特定數(shù)據(jù)片段的新服務(wù)時(shí)重新配置����。發(fā)布和阻止個(gè)人數(shù)據(jù)的條件在終端用戶控制之下����。在我們的國(guó)際專利申請(qǐng)[2]中公開上文的通用網(wǎng)絡(luò)的Web服務(wù)實(shí)現(xiàn)�。
雖然經(jīng)典鎖箱提供在例如因特網(wǎng)上處理個(gè)人數(shù)據(jù)的通用機(jī)制和網(wǎng)絡(luò)���,但是仍存在其間連接中要解決的問題。將涉及非常大量的個(gè)人數(shù)據(jù)��,并且許多操作者想要利用這些數(shù)據(jù)來執(zhí)行不同的動(dòng)作���,這使得系統(tǒng)復(fù)雜化并仍然存在如何適合地存儲(chǔ)和構(gòu)造對(duì)此類數(shù)據(jù)的訪問權(quán)的問題�。還需要一種解決方案�,可以通過該解決方案來以用戶友好的方式設(shè)置以及處理個(gè)人數(shù)據(jù)。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供在例如因特網(wǎng)的開放網(wǎng)絡(luò)中對(duì)個(gè)人數(shù)據(jù)的改進(jìn)處理�,具體來說與服務(wù)代理系統(tǒng)有關(guān)。另一個(gè)目的在于提供一種用于以有效率的方式存儲(chǔ)個(gè)人數(shù)據(jù)而不會(huì)危及終端用戶的安全性的機(jī)制��。再一個(gè)目的在于實(shí)現(xiàn)對(duì)有關(guān)個(gè)人數(shù)據(jù)的請(qǐng)求的用戶友好處理���。
這些目的根據(jù)所附權(quán)利要求來實(shí)現(xiàn)�。
本發(fā)明涉及通過經(jīng)典鎖箱概述的通信系統(tǒng)類型����,已為該通信系統(tǒng)提供了有利的新功能以提供對(duì)個(gè)人數(shù)據(jù)的遠(yuǎn)遠(yuǎn)更具用戶友好且更有效率的處理。所提出用于對(duì)個(gè)人數(shù)據(jù)進(jìn)行終端用戶控制的處理的過程基于含有具有相應(yīng)隱私策略的個(gè)人數(shù)據(jù)元素的隱私樹中的特定數(shù)據(jù)布置�����。既有通用隱私樹,也有許多個(gè)體隱私樹��,將這些隱私樹以分層方式布置���,使得可以通過與特定查詢表和指針的交互來方便地訪問個(gè)人數(shù)據(jù)和隱私策略�����。根據(jù)本發(fā)明的特定實(shí)施例���,引入主和從屬終端用戶以及精靈(daemon)節(jié)點(diǎn)的新概念,以便進(jìn)一步加強(qiáng)系統(tǒng)性能以及終端用戶的體驗(yàn)�。精靈節(jié)點(diǎn)能夠?qū)崿F(xiàn)從(可能的)隱私樹的不同級(jí)別和/或不同子樹進(jìn)行多個(gè)數(shù)據(jù)的匯聚的請(qǐng)求。在優(yōu)選實(shí)施例中���,通用和個(gè)體隱私樹�����、主和從屬用戶以及精靈節(jié)點(diǎn)的特征一起協(xié)作以形成能夠方便地處理大量個(gè)體隱私數(shù)據(jù)的過程����。
根據(jù)本發(fā)明的其他方面�����,提供一種具有用于對(duì)個(gè)人數(shù)據(jù)進(jìn)行終端用戶控制的處理的裝置的通信節(jié)點(diǎn)和通信系統(tǒng)����。
通過參考下文描述和附圖最佳地理解本發(fā)明連同其其他目的和優(yōu)點(diǎn),其中圖1是可以在其中使用本發(fā)明以用于對(duì)個(gè)人數(shù)據(jù)實(shí)施終端用戶控制的現(xiàn)有技術(shù)通信系統(tǒng)的示意圖����;圖2是根據(jù)本發(fā)明示范實(shí)施例用于對(duì)個(gè)人數(shù)據(jù)實(shí)施終端用戶控制的通信系統(tǒng)的示意圖;圖3圖示根據(jù)本發(fā)明示范實(shí)施例用于布置隱私策略的通用隱私樹�;圖4圖示根據(jù)本發(fā)明示范實(shí)施例用于存儲(chǔ)和訪問隱私策略的個(gè)體隱私樹;圖5圖示具有根據(jù)本發(fā)明示范實(shí)施例的精靈節(jié)點(diǎn)的隱私樹�;圖6是根據(jù)本發(fā)明示范實(shí)施例用于對(duì)個(gè)人數(shù)據(jù)實(shí)施終端用戶控制的處理的方法的流程圖。
具體實(shí)施例方式
本發(fā)明涉及展示一種體系結(jié)構(gòu)的系統(tǒng)����,在該體系結(jié)構(gòu)中以與“經(jīng)典鎖箱”[1]中的方式相似的方式將個(gè)人數(shù)據(jù)的發(fā)布與它的使用分離。因此�����,下面簡(jiǎn)要描述經(jīng)典鎖箱�,然后詳細(xì)地解釋本發(fā)明的特征。
圖1中示出經(jīng)典鎖箱的實(shí)現(xiàn)�����,它是可以在其中使用本發(fā)明以用于對(duì)個(gè)人數(shù)據(jù)實(shí)施終端用戶控制的現(xiàn)有技術(shù)通信系統(tǒng)的示意圖。圖示的系統(tǒng)100包括利用接入裝置124的請(qǐng)求應(yīng)用122���、利用接入裝置142的信息提供應(yīng)用146��、包括中央服務(wù)器152和關(guān)聯(lián)的數(shù)據(jù)庫(kù)(DB)154的中央服務(wù)器裝置150以及信息保存數(shù)據(jù)庫(kù)148�����。每個(gè)接入裝置124����、142還具有相應(yīng)的數(shù)據(jù)庫(kù)126��、144��。接入裝置設(shè)置成與中央服務(wù)器裝置通信�����,該中央服務(wù)器裝置使用存儲(chǔ)在數(shù)據(jù)庫(kù)154中的個(gè)人保護(hù)簡(jiǎn)檔處理信息路由選擇和個(gè)人簡(jiǎn)檔加鎖/解鎖�。
當(dāng)終端用戶110聯(lián)系時(shí),請(qǐng)求應(yīng)用122通常將對(duì)位于網(wǎng)絡(luò)任何位置的個(gè)人簡(jiǎn)檔數(shù)據(jù)的請(qǐng)求發(fā)送到接入裝置124,以便實(shí)現(xiàn)提取個(gè)人簡(jiǎn)檔中的數(shù)據(jù)或在個(gè)人簡(jiǎn)檔中設(shè)置新數(shù)據(jù)的目的�����。接入裝置124調(diào)用它的數(shù)據(jù)庫(kù)126以查找應(yīng)將請(qǐng)求轉(zhuǎn)發(fā)到的中央服務(wù)器裝置150的地址�����。通過安全HTTP(HTTPS)���,將請(qǐng)求轉(zhuǎn)發(fā)到中央服務(wù)器152,中央服務(wù)器152從數(shù)據(jù)庫(kù)154中的個(gè)人保護(hù)簡(jiǎn)檔中檢索適合的策略���。將拒絕或允許的指示返回到接入裝置124�����,在允許的情況中接入裝置124使用HTTPS經(jīng)因特網(wǎng)130與接入裝置142通信���。接入裝置142聯(lián)系提供應(yīng)用146,提供應(yīng)用146從信息保存數(shù)據(jù)庫(kù)148中檢索數(shù)據(jù)���。信息經(jīng)由接入裝置142���、通過因特網(wǎng)130和接入裝置124被返回到請(qǐng)求應(yīng)用��。
經(jīng)典鎖箱系統(tǒng)100的主要特征在于在中央位置(中央服務(wù)器裝置150)處由終端用戶110管理對(duì)個(gè)人信息的訪問權(quán)����,而將個(gè)人數(shù)據(jù)(即例如信息)通過通信系統(tǒng)分布在不同源148上��。由此向終端用戶提供中央設(shè)施�����,在該中央設(shè)施中用戶可以對(duì)即來自不同提供方且發(fā)往不同信息請(qǐng)求方的個(gè)人信息的定制訪問實(shí)施加鎖/解鎖��。
而且�����,通過經(jīng)典鎖箱�,可以向提供一方隱藏請(qǐng)求一方的身份,并且反之亦然���。來自不同位置無需通過用戶控制的中央服務(wù)器裝置150的個(gè)人信息之間沒有聯(lián)系�。通過利用不同用戶身份將個(gè)人簡(jiǎn)檔數(shù)據(jù)散布在不同位置(或相同位置但不相關(guān))�����,可以達(dá)到高度的終端用戶隱私。
可以在[2]中見到與Web服務(wù)器相關(guān)的經(jīng)典鎖箱的進(jìn)一步布署和特定應(yīng)用��,[2]描述了可以在其中使用本發(fā)明用于對(duì)個(gè)人數(shù)據(jù)實(shí)施終端用戶控制的另一個(gè)現(xiàn)有技術(shù)通信系統(tǒng)�。
有關(guān)鎖箱概念的進(jìn)一步詳情�,參考[1]和[2]。
本發(fā)明涉及通過經(jīng)典鎖箱概述的這種類型的通信系統(tǒng)���,但是進(jìn)一步地發(fā)展了此概念���。正如背景部分中提到的,將涉及非常大量的個(gè)人數(shù)據(jù)��,并且許多操作者想要利用這些數(shù)據(jù)來執(zhí)行不同的動(dòng)作�����,這使得系統(tǒng)復(fù)雜化���。因此對(duì)經(jīng)典鎖箱系統(tǒng)提供了有利的新功能�����,以提供對(duì)個(gè)人數(shù)據(jù)的遠(yuǎn)遠(yuǎn)更具用戶友好且更有效率的處理��。
基本上��,根據(jù)本發(fā)明���,通過基于隱私樹中的數(shù)據(jù)布置克服了隱私策略數(shù)據(jù)的煩瑣存儲(chǔ)和處理的問題�,隱私樹具有允許例如通過與特定查詢表和指針的交互來方便地訪問這些隱私樹的屬性�。存在通用隱私樹和許多個(gè)體隱私樹,以及該系統(tǒng)優(yōu)選地還依賴于主和從屬終端用戶的新概念以及精靈節(jié)點(diǎn)的新概念����,以便進(jìn)一步加強(qiáng)系統(tǒng)性能以及終端用戶的體驗(yàn)。在優(yōu)選實(shí)施例中���,這些特征一起協(xié)作并且以下文將描述的方式彼此互補(bǔ)��。在詳細(xì)解釋和描述通用和個(gè)體隱私樹����、主和從屬用戶以及精靈節(jié)點(diǎn)的特征之前��,將參考圖2描述根據(jù)本發(fā)明的典型通信系統(tǒng)的主要功能組件����。
圖2是根據(jù)本發(fā)明示范實(shí)施例用于對(duì)個(gè)人數(shù)據(jù)實(shí)施終端用戶的控制的通信系統(tǒng)的示意圖��。示出包括應(yīng)用單元220����、數(shù)據(jù)提供單元240和服務(wù)代理250的通信系統(tǒng)200��。與應(yīng)用單元220通信的終端用戶在附圖中由蜂窩電話210-1��、個(gè)人計(jì)算機(jī)(PC)210-2和膝上型計(jì)算機(jī)210-3表示����。蜂窩電話210-1典型地使用例如無線應(yīng)用協(xié)議(WAP)網(wǎng)關(guān)的中間裝置來聯(lián)系應(yīng)用單元�����。應(yīng)用單元220包括應(yīng)用節(jié)點(diǎn)222和接入裝置224���。接入裝置224可以與數(shù)據(jù)提供單元240的接入裝置242通信����,以便獲取(或設(shè)置)包含在信息保存裝置248(例如數(shù)據(jù)庫(kù)(DB))中的個(gè)人數(shù)據(jù)�、例如生物識(shí)別或位置數(shù)據(jù)����。
應(yīng)用單元220和數(shù)據(jù)提供單元240都具有用于與服務(wù)代理250通信的裝置����,該服務(wù)代理250包括具有至少一個(gè)關(guān)聯(lián)的數(shù)據(jù)庫(kù)254的隱私設(shè)置節(jié)點(diǎn)(PSN)258。數(shù)據(jù)庫(kù)254包含以分層方式在隱私樹中布置的隱私策略�����。PSN 258在執(zhí)行來自用戶與隱私樹中的策略相關(guān)的指令時(shí)起重要的作用���?�?梢詫⑵湟暈榉?wù)代理250中的管理員功能��,服務(wù)代理250包括用于在數(shù)據(jù)庫(kù)254的隱私樹中設(shè)置隱私策略的裝置以及用于將隱私策略移交給請(qǐng)求方220的裝置�����。數(shù)據(jù)設(shè)置和請(qǐng)求處理都涉及由PSN 258執(zhí)行的有關(guān)動(dòng)作是否被允許的檢查�,由此由服務(wù)代理250簽發(fā)和由其限制的特定身份是有用的�。下文將在“用于設(shè)置數(shù)據(jù)的示范過程”和“用于請(qǐng)求處理的示范過程”部分中提供有關(guān)PSN功能的詳細(xì)信息。
在圖2的圖示實(shí)施例中�,服務(wù)代理250還包括公共登錄(CSO)服務(wù)器256���,下文將在“公共登錄實(shí)現(xiàn)”部分中描述其(可選)功能。
應(yīng)該注意到根據(jù)本發(fā)明的通信系統(tǒng)典型地包括許多應(yīng)用單元和許多數(shù)據(jù)提供單元��。然后通過系統(tǒng)將個(gè)人數(shù)據(jù)分布在不同數(shù)據(jù)提供方的數(shù)據(jù)庫(kù)處���。
隱私樹本發(fā)明提出通過隱私樹將隱私策略和相關(guān)的數(shù)據(jù)存儲(chǔ)在隱私設(shè)置節(jié)點(diǎn)中(或與之關(guān)聯(lián))�����。這些樹包含表示數(shù)據(jù)元素的節(jié)點(diǎn)���,可以在隱私策略中為它們?cè)O(shè)置個(gè)人偏好。具有個(gè)人數(shù)據(jù)元素的節(jié)點(diǎn)以分層方式布置��,從而實(shí)現(xiàn)易于掌握以及管理的用戶友好的樹結(jié)構(gòu)���。
優(yōu)選地在系統(tǒng)級(jí)定義且通過其來創(chuàng)建用戶專用的個(gè)體隱私樹的通用隱私樹。圖3圖示根據(jù)本發(fā)明示范實(shí)施例用于布置隱私策略的這樣一個(gè)通用隱私樹351���。通用樹351示出無需與相應(yīng)終端用戶聯(lián)系的情況下不同的提供方提供什么����。該樹是用于整個(gè)系統(tǒng)的,并且描述可提供給請(qǐng)求一方上的應(yīng)用的信息�����。每個(gè)節(jié)點(diǎn)353包含或指向服務(wù)代理運(yùn)營(yíng)商簽署協(xié)議的伙伴(例如針對(duì)鞋數(shù)據(jù)元素而名為“鞋店Z”����、“大鞋”、“便宜鞋”的公司)的信息355�,但是這不一定要應(yīng)用于個(gè)人級(jí)。節(jié)點(diǎn)353還可以例如包含相關(guān)策略文件/模板和定價(jià)信息��、例如對(duì)一個(gè)或多個(gè)提供方的請(qǐng)求的成本/收入����。
與通用隱私樹對(duì)比,個(gè)體隱私樹根據(jù)各個(gè)終端用戶定義的規(guī)則進(jìn)行了裁減��。圖4圖示根據(jù)本發(fā)明示范實(shí)施例用于存儲(chǔ)和訪問隱私策略的這樣一個(gè)個(gè)體隱私樹451�。有關(guān)包括對(duì)此特定個(gè)人所允許的提供方的特定偏好的信息455被存儲(chǔ)在相應(yīng)節(jié)點(diǎn)453中。在此示例中���,“丟失”節(jié)點(diǎn)(相對(duì)于圖3的通用隱私樹)意味著該個(gè)人不允許對(duì)應(yīng)的服務(wù)��。圖4的終端用戶選擇了作為鞋元素的提供方的“鞋店Z”��,即此終端用戶允許“鞋店Z”公司將有關(guān)鞋的個(gè)人數(shù)據(jù)提供到被允許檢索有關(guān)他的個(gè)人數(shù)據(jù)的人的至少一個(gè)子集����。
可以有利地通過從通用隱私樹351制作副本來創(chuàng)建各個(gè)終端用戶的個(gè)體隱私樹451。當(dāng)執(zhí)行此步驟時(shí)���,每個(gè)節(jié)點(diǎn)453優(yōu)選地被設(shè)為“不允許發(fā)布數(shù)據(jù)”����,直到對(duì)該節(jié)點(diǎn)適當(dāng)?shù)卦O(shè)置了隱私策略為止����。
(通用和個(gè)人)隱私樹的分層結(jié)構(gòu)暗含有多個(gè)優(yōu)點(diǎn)。它以用戶友好的方式組織數(shù)據(jù)����,由此提供對(duì)多種數(shù)據(jù)類型的簡(jiǎn)易預(yù)覽。能以方便的方式處理大量的數(shù)據(jù)���。甚至可以具有分布在服務(wù)代理系統(tǒng)中的隱私策略,由此隱私樹的節(jié)點(diǎn)包含指向各個(gè)隱私策略而不是實(shí)際的隱私數(shù)據(jù)的指針����。而且�����,以分層方式布置能夠?qū)崿F(xiàn)以下解決方案其中允許一個(gè)級(jí)別上的許可影響其下的級(jí)別�����,例如較低級(jí)別的節(jié)點(diǎn)包含來自相同提供方的數(shù)據(jù)��。
主和從屬用戶根據(jù)本發(fā)明的特定實(shí)施例���,可以通過在不同類型的終端用戶之間進(jìn)行區(qū)分來進(jìn)一步加強(qiáng)本發(fā)明的個(gè)人數(shù)據(jù)處理。這種解決方案將第一用戶類型(本文稱為主用戶)指定為具有服務(wù)代理中的隱私策略的用戶���,而將第二用戶類型(本文稱為從屬用戶)指定為僅能請(qǐng)求有關(guān)一個(gè)或多個(gè)主用戶的個(gè)人信息的用戶�。主用戶是對(duì)個(gè)人數(shù)據(jù)的請(qǐng)求所涉及的用戶���,請(qǐng)求來源于主或從屬終端用戶�����。因此主用戶可以在請(qǐng)求中被涉及(“被查詢”)�,而從屬用戶可以查詢已允許他如此做的一個(gè)或多個(gè)主用戶,但是主用戶可以不被查詢因?yàn)闆]有定義任何隱私策略��。典型的從屬終端用戶可以是特定主終端用戶的家庭成員�����、朋友或同事�����。
在具有多個(gè)從屬終端用戶的情況中�����,PSN優(yōu)選地根據(jù)從主終端用戶(經(jīng)由應(yīng)用單元)傳送到PSN的指令將至少一個(gè)從屬終端用戶分配給主終端用戶�����。這通常與隱私策略設(shè)置的過程結(jié)合來執(zhí)行�。可能有一些情況中���,作為從屬分配給特定主用戶的用戶自動(dòng)被允許訪問與該主用戶相關(guān)的所有個(gè)人數(shù)據(jù)�����。但是典型地�����,主用戶需要指定他允許特定從屬用戶訪問哪些數(shù)據(jù)元素�����。在圖4中���,例如對(duì)鞋數(shù)據(jù)元素的訪問僅對(duì)具有ID 10000528的從屬用戶是允許的。
服務(wù)代理優(yōu)選地簽發(fā)涉及的主和從屬用戶的唯一標(biāo)識(shí)符���,并在這些用戶類型之間進(jìn)行區(qū)分�����。正如下文中顯見的��,由于有主和從屬用戶ID���,使得利用提出的服務(wù)代理系統(tǒng)和隱私樹結(jié)構(gòu)處理對(duì)個(gè)人數(shù)據(jù)的請(qǐng)求的過程非常有效。例如可以使用具有相應(yīng)用戶關(guān)系的定義的查詢表在早期階段檢查請(qǐng)求來自被允許的用戶��。
因此對(duì)與主用戶相關(guān)的個(gè)人數(shù)據(jù)的請(qǐng)求可能來源于主用戶自己或來源于已被定義為從屬的另一個(gè)用戶。應(yīng)該注意到情況常?����?赡苁侵饔脩舨樵冇嘘P(guān)一個(gè)或多個(gè)其他主用戶���,就此而言�����,這些主用戶充當(dāng)“從屬用戶”的腳色����。換言之�,每個(gè)主用戶也是潛在的從屬用戶。
精靈節(jié)點(diǎn)根據(jù)本發(fā)明的特定實(shí)施例����,可以通過將一個(gè)或多個(gè)所說的“精靈節(jié)點(diǎn)”引入到隱私樹中來增加提出的用于處理個(gè)人數(shù)據(jù)的機(jī)制的用戶友好性和性能。精靈節(jié)點(diǎn)是指向至少兩個(gè)具有相應(yīng)個(gè)人數(shù)據(jù)元素的其他節(jié)點(diǎn)的節(jié)點(diǎn)�,由此匯聚的請(qǐng)求成為可能。精靈節(jié)點(diǎn)與唯一的服務(wù)標(biāo)識(shí)符關(guān)聯(lián)����,這意味著只要涉及到請(qǐng)求應(yīng)用�����,它看起來與任何其他服務(wù)/節(jié)點(diǎn)沒有不同。
圖5圖示具有根據(jù)本發(fā)明示范實(shí)施例的精靈節(jié)點(diǎn)557的隱私樹551��。圖5的樹551可以表示個(gè)體隱私樹或通用隱私樹的子集�����。圖示的精靈節(jié)點(diǎn)557指向襯衣節(jié)點(diǎn)以及美國(guó)鞋尺碼的節(jié)點(diǎn)���。它被作為任何其他節(jié)點(diǎn)來處理�,并且允許要求特定人(主用戶)的襯衣尺碼和美國(guó)鞋尺碼的匯聚的請(qǐng)求�����。襯衣和鞋尺碼數(shù)據(jù)甚至可能不是由相同的數(shù)據(jù)提供方提供的����。雖然實(shí)際上有多個(gè)從請(qǐng)求一方的接入裝置到提供一方的請(qǐng)求裝置對(duì)相應(yīng)數(shù)據(jù)元素的請(qǐng)求,但是利用精靈節(jié)點(diǎn)�����,請(qǐng)求一方的接入裝置可以支持僅有一個(gè)請(qǐng)求時(shí)的請(qǐng)求方。如圖5所示��,精靈節(jié)點(diǎn)557的一個(gè)有利特征在于它可以指向隱私樹551中布置在不同級(jí)別的數(shù)據(jù)節(jié)點(diǎn)553�����。精靈節(jié)點(diǎn)還可以非常好地指向?qū)儆陔[私樹的不同子樹的相同級(jí)別或不同級(jí)別上的節(jié)點(diǎn)���。
因此利用精靈節(jié)點(diǎn)的解決方案能夠通過來自終端用戶的一個(gè)請(qǐng)求讀取多個(gè)個(gè)人數(shù)據(jù)實(shí)體���。從應(yīng)用單元傳送到服務(wù)代理的請(qǐng)求則包括具有精靈節(jié)點(diǎn)的服務(wù)標(biāo)識(shí)符的匯聚的請(qǐng)求,該精靈節(jié)點(diǎn)指向隱私樹中的多個(gè)具有相應(yīng)個(gè)人數(shù)據(jù)元素的節(jié)點(diǎn)���。但是�,還可以有多個(gè)實(shí)施例�,其中允許主終端用戶使用精靈節(jié)點(diǎn)同時(shí)設(shè)置多個(gè)數(shù)據(jù)元素。換言之�,精靈節(jié)點(diǎn)還可以用于對(duì)數(shù)據(jù)的匯聚的寫入,由此同時(shí)為多個(gè)個(gè)人數(shù)據(jù)元素定義隱私策略����。
通過允許對(duì)多個(gè)信息的匯聚的請(qǐng)求,利用精靈節(jié)點(diǎn)的解決方案加快了訪問隱私樹的個(gè)人數(shù)據(jù)元素(節(jié)點(diǎn))的過程�。這使得能夠形成可以一起通過精靈節(jié)點(diǎn)處理的多組適合的數(shù)據(jù)元素�����,例如典型地在相同服務(wù)中使用的數(shù)據(jù)元素或具有相同提供方的數(shù)據(jù)元素�。精靈節(jié)點(diǎn)的另一個(gè)好處在于�����,因?yàn)樾路?wù)可以利用現(xiàn)有服務(wù)���,所以可以非常快速地啟動(dòng)新服務(wù)����。例如,可以容易地將向應(yīng)用提供位置的服務(wù)擴(kuò)充為包括位置和家庭所在城市���。
正如所提到的��,每個(gè)精靈節(jié)點(diǎn)與相應(yīng)服務(wù)ID關(guān)聯(lián)�����,并且看上去僅僅像是對(duì)請(qǐng)求應(yīng)用的“普通”服務(wù)����。但是,對(duì)精靈節(jié)點(diǎn)中的個(gè)人數(shù)據(jù)的請(qǐng)求的結(jié)果導(dǎo)致包含多個(gè)隱私策略文件的響應(yīng)消息(或驗(yàn)證結(jié)果��,參見下文)�。因此,應(yīng)用單元的接入裝置需要將請(qǐng)求分離成至提供一方的多個(gè)請(qǐng)求(每個(gè)“真實(shí)的”數(shù)據(jù)元素節(jié)點(diǎn)一個(gè)請(qǐng)求)���。而且��,如果請(qǐng)求驗(yàn)證例如在請(qǐng)求一方執(zhí)行����,則應(yīng)用單元對(duì)精靈節(jié)點(diǎn)所指向的每個(gè)節(jié)點(diǎn)執(zhí)行一次驗(yàn)證����。應(yīng)用單元的接入裝置需要將來自不同提供單元的響應(yīng)匯聚到一個(gè)響應(yīng)以便返回到應(yīng)用節(jié)點(diǎn),并且還確定不同驗(yàn)證事件的結(jié)果����。
與精靈節(jié)點(diǎn)相關(guān)的一個(gè)特定問題是如何處理請(qǐng)求的一個(gè)子集成功通過驗(yàn)證而另一個(gè)子集未通過驗(yàn)證的情況。雖然被允許的個(gè)人數(shù)據(jù)僅構(gòu)成所請(qǐng)求的數(shù)據(jù)元素的子集���,但是是否應(yīng)該將被允許的個(gè)人數(shù)據(jù)返回到應(yīng)用節(jié)點(diǎn)�?在本發(fā)明的特定實(shí)施例中,通過讓應(yīng)用節(jié)點(diǎn)通知位于應(yīng)用一方的接入裝置它的需要����,即該服務(wù)是需要整個(gè)數(shù)據(jù)集合還是數(shù)據(jù)的一個(gè)子集也有意義。該信息可以包含在原始請(qǐng)求中��,或稍后在從接入裝置邀請(qǐng)時(shí)提供����。例如,對(duì)于提供鞋且家庭交貨的服務(wù)���,獲取鞋尺碼但是不獲取家庭地址沒有用,而可能有其他應(yīng)用�����,其中可以在沒有所有的數(shù)據(jù)項(xiàng)的情況下執(zhí)行服務(wù)(雖然可能沒有太大價(jià)值)�。
設(shè)置數(shù)據(jù)的示范過程現(xiàn)在將描述一個(gè)示范過程以說明隱私設(shè)置節(jié)點(diǎn)如何支持終端用戶定義他的隱私策略的便利方法。服務(wù)代理處的隱私策略的設(shè)置可以純粹由用戶主動(dòng)執(zhí)行或在來自用戶對(duì)需要未設(shè)置任何策略的個(gè)人數(shù)據(jù)的服務(wù)的請(qǐng)求之后執(zhí)行�。在后一種情況中,從系統(tǒng)發(fā)送詢問����,以問用戶是否要定義策略��。
理論上來說����,可能有大量數(shù)據(jù)要定義�����,并且PSN優(yōu)選地通過如下的終端用戶交互來實(shí)現(xiàn)它A)(主)終端用戶選擇要定義策略的數(shù)據(jù)元素(例如��,家庭地址���、位置或鞋尺碼)�。此步驟可以例如涉及像圖3所示的隱私樹結(jié)構(gòu)中逐步下降的層次結(jié)構(gòu)���,例如生物識(shí)別->鞋尺碼->美國(guó)碼的鞋尺碼����。通過按邏輯組織并提供簡(jiǎn)易預(yù)覽�����,層次結(jié)構(gòu)使終端用戶易于快速地發(fā)現(xiàn)他要查找的特定數(shù)據(jù)元素。它還可以利于通過一個(gè)或多個(gè)精靈節(jié)點(diǎn)和/或特征實(shí)施進(jìn)一步數(shù)據(jù)設(shè)置���,這意味著在一個(gè)級(jí)別上的許可還影響下面的級(jí)別(其中從內(nèi)容或提供方的角度來看這是有意義的)�。
B)接下來����,終端用戶為選擇的數(shù)據(jù)元素定義允許的/可能的提供方,并且經(jīng)由應(yīng)用單元將此信息提供到PSN���。PSN可以例如提供與服務(wù)代理有協(xié)議的�、終端用戶可以從中選擇一個(gè)或多個(gè)提供方的數(shù)據(jù)提供方的列表����。因此可以將特定數(shù)據(jù)元素與一個(gè)或多個(gè)可能的數(shù)據(jù)提供方關(guān)聯(lián)。用戶可以例如允許由運(yùn)營(yíng)商單獨(dú)提供地理位置�����,但是家庭地址由任何多個(gè)提供方來提供�。
C)通過服務(wù)代理與終端用戶之間的進(jìn)一步交互��,終端用戶為每個(gè)所選的提供方輸入所需的證書��,例如數(shù)字ID和密碼。服務(wù)代理需要這些證書來向所選的提供方證明該服務(wù)代理合法地代表它聲稱要代表的人�����,由此提供方可以確證他獲得授權(quán)來發(fā)布與此人相關(guān)的個(gè)人數(shù)據(jù)����。
D)在優(yōu)選實(shí)施例中,當(dāng)完成了上述步驟時(shí)�,定義從屬用戶,并可能將他們與密碼關(guān)聯(lián)���。正如所提過的�,從屬用戶被允許提取與主用戶相關(guān)的個(gè)人數(shù)據(jù)�。這將允許例如家庭成員發(fā)出有關(guān)彼此的某些請(qǐng)求??梢葬槍?duì)不同的數(shù)據(jù)元素分別(并由此可能不同方式地)定義從屬用戶,或者通過“打開/關(guān)閉”選項(xiàng)來定義從屬用戶����,即指定為特定主用戶的從屬用戶的每個(gè)人被允許訪問有關(guān)此人的所有類型的個(gè)人數(shù)據(jù)。
E)PSN存儲(chǔ)由主用戶在此特定用戶的個(gè)體隱私樹中適合位置處設(shè)置的策略/多個(gè)策略�����。如果這是用戶的第一次數(shù)據(jù)設(shè)置,首先創(chuàng)建個(gè)體隱私樹����,優(yōu)選地通過制作服務(wù)代理的通用隱私樹的副本(或某種至服務(wù)代理的通用隱私樹的鏈接)。例如可以將隱私策略與它們相應(yīng)的數(shù)據(jù)元素存儲(chǔ)在一起或分別存儲(chǔ)并通過例如指針鏈接到它們相應(yīng)的數(shù)據(jù)元素�����。
請(qǐng)求處理的示范過程現(xiàn)在將參考圖2和多個(gè)示范查詢表描述一個(gè)示范過程��,以圖示隱私設(shè)置節(jié)點(diǎn)響應(yīng)對(duì)個(gè)人數(shù)據(jù)的進(jìn)來請(qǐng)求的功能�����。圖2中主序列流程由箭頭I-VII表示�����。
需要特定服務(wù)訪問的終端用戶(利用用戶設(shè)備210)訪問應(yīng)用單元220的應(yīng)用節(jié)點(diǎn)222(I)��。由此����,優(yōu)選地存在至公共登錄(CSO)服務(wù)器256的重定向�,用戶通過該服務(wù)器256登錄到服務(wù)代理250(II)�。下文在“公共登錄實(shí)現(xiàn)”部分中進(jìn)一步描述CSO機(jī)構(gòu)與服務(wù)代理250/PSN258之間的交互���。
將來源于終端用戶的請(qǐng)求從應(yīng)用單元220中的應(yīng)用節(jié)點(diǎn)222經(jīng)由它的接入裝置224傳送����,并到達(dá)具有PSN 258的服務(wù)代理250(III��、IV)�。該請(qǐng)求包含所請(qǐng)求的個(gè)人數(shù)據(jù)相關(guān)的主用戶的標(biāo)識(shí)符,例如MS-ISDN�、信用卡號(hào)或類似的標(biāo)識(shí)方式,以及還包含所請(qǐng)求的服務(wù)的標(biāo)識(shí)符�,例如常規(guī)節(jié)點(diǎn)或精靈節(jié)點(diǎn)的服務(wù)序列號(hào)。PSN 258根據(jù)系統(tǒng)規(guī)范驗(yàn)證該請(qǐng)求�,例如使用PKI和/或IP地址數(shù)據(jù),以確保它來自合法客戶機(jī)(接入裝置)�����。為此���,可以使用例如如表1的查詢表��。表1列出與服務(wù)代理系統(tǒng)連接的伙伴和用于與這些伙伴通信的“帶外”數(shù)據(jù)(第一列包含各個(gè)伙伴在服務(wù)代理處的ID)���。此類帶外數(shù)據(jù)的示例是PKI數(shù)據(jù)�、IP地址���、其中要強(qiáng)化隱私策略的規(guī)范(例如作為“缺省”��,基于系統(tǒng)范圍指定的或針對(duì)應(yīng)用一方和/或提供一方指定的)���、響應(yīng)時(shí)間(對(duì)于位于提供一方的伙伴而言)、該會(huì)話可以保持打開多長(zhǎng)時(shí)間等��。帶外數(shù)據(jù)的數(shù)量由期望的系統(tǒng)功能來確定����。如表1所示,根據(jù)本發(fā)明使用的與伙伴相關(guān)的帶外數(shù)據(jù)表優(yōu)選地未在位于請(qǐng)求一方(圖2中的應(yīng)用單元)或提供一方的伙伴之間設(shè)置任何不同�。
表1
在優(yōu)選實(shí)施例中,對(duì)伙伴的請(qǐng)求驗(yàn)證開始于檢查IP地址���。如果請(qǐng)求來自不與表1的地址對(duì)應(yīng)的IP地址�,則可以立即拒絕該請(qǐng)求�����。對(duì)于正確的IP地址�����,可選的下一步可以是執(zhí)行數(shù)字簽名(公用密鑰)和/或提供方身份的輔助檢查�。這種利用IP地址的第一獨(dú)立檢查的解決方案對(duì)實(shí)現(xiàn)高系統(tǒng)性能有所貢獻(xiàn)。
應(yīng)該提到至少理論上可以存在如下情況所有各方都是受信任的��,在此情況中不存在這種初始驗(yàn)證的必要�����。
如果該請(qǐng)求被重定向到CSO�,則可以使用從應(yīng)用節(jié)點(diǎn)接收到的會(huì)話ID連接到CSO登錄過程中啟動(dòng)的正確會(huì)話。對(duì)于未通過CSO進(jìn)入的請(qǐng)求�����,不存在此類會(huì)話�,需要另行提供內(nèi)部服務(wù)代理ID。在此類情況中�,PSN(或服務(wù)代理的另一個(gè)功能單元)使用表2將進(jìn)來的主用戶ID(例如MS-ISDN或信用卡號(hào))映射到服務(wù)代理系統(tǒng)的內(nèi)部唯一用戶ID。
表2中的信息用于將數(shù)字身份從一個(gè)域映射到另一個(gè)域��。這些域可以是例如運(yùn)營(yíng)商域�,例如MS-ISDN域�����,或具有客戶身份的商業(yè)域(機(jī)場(chǎng)公司��、商店�、保險(xiǎn)公司�、銀行等)。如該表所示���,數(shù)字身份優(yōu)選地與伙伴是屬于請(qǐng)求一方(應(yīng)用單元)還是屬于提供一方無關(guān)���。如果伙伴希望用戶/客戶根據(jù)它是否是請(qǐng)求個(gè)人數(shù)據(jù)的主用戶本身或是其他人(從屬用戶)請(qǐng)求來而具有不同的數(shù)字身份,則在本示例中這將通過利用兩個(gè)不同的伙伴ID主鍵來注冊(cè)該伙伴兩次來處理����。
表2
為了簡(jiǎn)明,表2僅示出一個(gè)主終端用戶的數(shù)字身份���。該終端用戶與通過其電話號(hào)碼或另一個(gè)客戶身份所標(biāo)識(shí)的各個(gè)伙伴存在關(guān)系���,但是僅具有一個(gè)服務(wù)代理用戶ID。
服務(wù)代理需要具有請(qǐng)求方的ID,如果請(qǐng)求方等于主終端用戶��,則該ID已在先前步驟中提供���。但是,如果請(qǐng)求方是從屬終端用戶�����,則將請(qǐng)求方的ID(從屬ID�,例如MS-ISDN)映射到內(nèi)部服務(wù)代理ID,在本示例中借助于表3�����。
表3跟蹤服務(wù)代理正確工作所需的基本個(gè)人數(shù)據(jù)和有關(guān)允許哪些方來查詢有關(guān)特定用戶的數(shù)據(jù)的數(shù)據(jù)�。在本示例中,“服務(wù)代理密碼”列的密碼具有雙重功能它可以被主用戶用于訪問他的隱私設(shè)置和/或提取個(gè)人數(shù)據(jù)����,以及它還可以可選地被可能的從屬用戶用于提取有關(guān)主用戶的個(gè)人數(shù)據(jù)。
表3
用戶類型列的目的是在服務(wù)代理中具有隱私策略并且可以在請(qǐng)求中涉及(查詢或被查詢)的主用戶(P)與可以查詢主用戶但是尚未為其定義隱私策略并因此與他們相關(guān)的數(shù)據(jù)請(qǐng)求不被允許的從屬用戶(S)之間相區(qū)別��。
在優(yōu)選實(shí)施例中�,PSN已在此階段執(zhí)行請(qǐng)求的輔助檢查。如果請(qǐng)求涉及僅為從屬的用戶,這可以從表3中看到��?���?梢粤⒓唇K止此類請(qǐng)求,并且無需編譯DTD(文檔類型定義)�、即隱私策略,并返回到應(yīng)用節(jié)點(diǎn)(比較下文的段落)���。還可能的是以將在下文結(jié)合表6描述的方式進(jìn)一步擴(kuò)充此檢查事件���。
在提供正確的用戶ID之后,PSN從適合的查詢表中檢索主用戶的個(gè)體隱私樹的位置以及在與所請(qǐng)求的數(shù)據(jù)關(guān)聯(lián)的節(jié)點(diǎn)的(通用)隱私樹中的位置����。在本示例中,使用表4來查找個(gè)體隱私樹��。給定先前從表2中收集的服務(wù)代理用戶ID的情況下���,表4指向個(gè)體隱私樹的位置����。
表4
可以通過表5確定隱私樹中的路徑,隨請(qǐng)求進(jìn)來的服務(wù)ID輸入到表5��。給定來自請(qǐng)求方的服務(wù)ID的情況下����,該表描述在通用隱私樹以及在個(gè)體隱私樹中應(yīng)該在哪里查找到相關(guān)隱私策略。指針優(yōu)選地在它使用名稱空間方案告知如何在樹中逐步下降的意義上來說是“相對(duì)的”���。這些指針可以指向真實(shí)(“一個(gè)”)節(jié)點(diǎn)、例如本示例中的服務(wù)005-008或指向精靈節(jié)點(diǎn)���、例如服務(wù)009�。
表5
來自表4和表5的指針足以收集個(gè)體隱私樹并標(biāo)識(shí)隱私樹中的正確數(shù)據(jù)元素/節(jié)點(diǎn)�。完成此步驟之后,PSN優(yōu)選地如下就請(qǐng)求終端用戶和所請(qǐng)求的數(shù)據(jù)元素檢查該請(qǐng)求���。
表6跟蹤服務(wù)代理身份如何彼此相關(guān)��。對(duì)于來源于與主用戶不同的人的請(qǐng)求����,PSN可以使用它來查看就終端用戶之間的關(guān)系而言請(qǐng)求是否被允許���。更確切地說��,表6定義相應(yīng)主用戶ID與由該主用戶允許查詢與他相關(guān)的個(gè)人數(shù)據(jù)的從屬用戶的一個(gè)或多個(gè)ID之間的關(guān)系�。如果密碼是必需的,則從表3中檢索它�����。為了幫助主動(dòng)將用戶交互分組�,示例表6允許對(duì)組設(shè)置一種類型的別名,例如“家庭”或“同事”�����。這樣能夠?yàn)檎麄€(gè)從屬ID組一起設(shè)置隱私策略���。
表6
根據(jù)表6�,PSN可以檢查請(qǐng)求終端用戶是否是該請(qǐng)求涉及的對(duì)于主用戶有效的從屬用戶��。如果是這種情況���,則過程繼續(xù)�����。另一方面����,如果請(qǐng)求終端用戶不是有效的從屬用戶,則過程終止�����。在一些實(shí)施例中��,甚至可以在檢索個(gè)體隱私樹之前例如結(jié)合使用表3的上述輔助檢查執(zhí)行該檢查���。
但是,通常將需要更確切地對(duì)于特定所請(qǐng)求的數(shù)據(jù)元素來檢查請(qǐng)求用戶���。通過PSN 258與保存隱私樹的數(shù)據(jù)庫(kù)254之間的交互來檢索個(gè)體隱私樹(圖2中的V)����。然后由PSN使用從表5中查詢的輸出以查找個(gè)體隱私樹中的正確節(jié)點(diǎn)��。此后����,確定請(qǐng)求用戶被允許查詢?cè)撎囟ǖ臄?shù)據(jù)元素��。PSN然后檢查是否有為此特定數(shù)據(jù)元素定義的隱私策略��。如果沒有�,則流程停止���,并通知服務(wù)裝置和應(yīng)用�。
另一方面���,如果允許所請(qǐng)求的類型的數(shù)據(jù)���,即具有隱私策略,則PSN 258確定要接收進(jìn)來的請(qǐng)求的適合提供方240����。提供方優(yōu)選地是從通用隱私樹中的與服務(wù)代理系統(tǒng)具有協(xié)議的提供方列表中選擇的(圖2中未說明為建立支持通用隱私樹中的提供方列表的協(xié)議而在數(shù)據(jù)提供單元和服務(wù)代理之間進(jìn)行的交互)。如果存在多于一個(gè)的為所請(qǐng)求的數(shù)據(jù)元素定義的可能提供方���,則PSN優(yōu)選地使用系統(tǒng)范圍的商業(yè)邏輯來選擇提供方����,例如基于如下因素的至少其中之一來選擇提供方終端用戶偏好��、運(yùn)營(yíng)商偏好和用戶行為。
當(dāng)選擇了提供方時(shí)�����,從適合的查詢表中提取將發(fā)送到應(yīng)用單元/請(qǐng)求一方220以便它能夠訪問所選的提供單元240處的數(shù)據(jù)的數(shù)據(jù)����。從表1中提取位于提供一方的所選伙伴的帶外數(shù)據(jù)。最小需求是直接或通過一個(gè)或多個(gè)中間裝置向接入裝置224提供提供方的IP地址或允許訪問提供單元的某些對(duì)應(yīng)信息�。
使用表2查找要在提供一方上使用的用戶證書。在本示例中���,將請(qǐng)求所涉及的主用戶的內(nèi)部服務(wù)代理ID與所選數(shù)據(jù)提供方的標(biāo)識(shí)符一起輸入到該表中�����,由此可以確定用戶ID以及可選地在提供一方處有效的密碼��。
優(yōu)選在消息中將與所選提供方相關(guān)的收集到的帶外數(shù)據(jù)和用戶證書返回到應(yīng)用單元(IV),該消息還包含如上所述從主用戶的隱私樹檢索到的隱私策略����。優(yōu)選地在應(yīng)用單元或提供單元處驗(yàn)證該請(qǐng)求。這意味著將請(qǐng)求的內(nèi)容與隱私策略的內(nèi)容比較以查看是否可以將所請(qǐng)求的個(gè)人數(shù)據(jù)移交到請(qǐng)求方��。只要請(qǐng)求是成功的,則應(yīng)用單元從所涉及的提供一方檢索所請(qǐng)求的個(gè)人數(shù)據(jù)(VI�����、VII)����。
在優(yōu)選實(shí)施例中,使用PSN檢索到的預(yù)定義模板創(chuàng)建返回消息����。例如可以有DTD模板,它包括以如下方式結(jié)合于SOAP響應(yīng)消息中的用戶定義的策略文件��。所選提供單元的標(biāo)識(shí)符與來自進(jìn)來的請(qǐng)求的服務(wù)ID一起用于查詢SOAP響應(yīng)和DTD模板���。此后����,包含提供方的帶外數(shù)據(jù)�、提供一方上的用戶ID和DTD模板(隱私策略模板)的消息內(nèi)容被匯聚到SOAP模板中以形成SOAP響應(yīng)。從服務(wù)代理發(fā)送到應(yīng)用單元然后發(fā)送到提供單元(除非應(yīng)用單元處的驗(yàn)證禁止這樣)的消息可以有利地是[2]中描述的封裝的類型�。
至于請(qǐng)求指向精靈節(jié)點(diǎn)的情況,精靈節(jié)點(diǎn)具有關(guān)聯(lián)的唯一服務(wù)ID,并因此通常也具有關(guān)聯(lián)的響應(yīng)模板�,例如SAOP響應(yīng)模板。該響應(yīng)通常包括對(duì)應(yīng)于通過精靈節(jié)點(diǎn)訪問的每個(gè)節(jié)點(diǎn)的一個(gè)DTD���。對(duì)于單個(gè)請(qǐng)求以及通過精靈節(jié)點(diǎn)實(shí)現(xiàn)的匯聚的請(qǐng)求���,作為DTD的備選方式是使用XML方案。此類實(shí)施例和隱私策略文件和響應(yīng)消息的其他實(shí)現(xiàn)也屬于本發(fā)明的范圍�。
當(dāng)然,根據(jù)本發(fā)明應(yīng)該對(duì)發(fā)送的消息應(yīng)用加密和數(shù)字簽名����。為此,可以使用常規(guī)加密方式��,參見例如[1]和[2]�����。
在描述的示例中�,最后的請(qǐng)求驗(yàn)證是在應(yīng)用單元或提供單元處或二者處執(zhí)行。要理解次優(yōu)選但仍為可能的備選方式是已在服務(wù)代理處執(zhí)行驗(yàn)證��。在此類情況中�����,如果以另一種方式將驗(yàn)證結(jié)果傳送到應(yīng)用單元�����,無需將隱私策略返回到應(yīng)用單元����。
本發(fā)明非常適用于例如如下情況,傳送到服務(wù)代理的請(qǐng)求是Web服務(wù)的請(qǐng)求�、有關(guān)在服務(wù)代理上發(fā)布哪個(gè)的信息以及有關(guān)與服務(wù)代理關(guān)聯(lián)地存儲(chǔ)哪個(gè)的描述。有關(guān)此類服務(wù)實(shí)現(xiàn)的更多詳情��,參考[2]��。
公共登錄實(shí)現(xiàn)如上所述�����,優(yōu)選地將通過本發(fā)明的服務(wù)代理系統(tǒng)要請(qǐng)求服務(wù)/訪問個(gè)人數(shù)據(jù)的用戶重定向到公共登錄(CSO)服務(wù)器(圖2中的流程II)���,然后據(jù)此用戶在服務(wù)代理處登錄�����。利用CSO機(jī)制����,在每次聯(lián)系新應(yīng)用時(shí),執(zhí)行用戶認(rèn)證�����。頒發(fā)限于服務(wù)代理的數(shù)字用戶身份�����。
在優(yōu)選實(shí)施例中�,CSO服務(wù)器在服務(wù)代理處被設(shè)置成與PSN通信,由此它可以在早期階段提示PSN所期望的請(qǐng)求����,從而產(chǎn)生改進(jìn)的系統(tǒng)性能。當(dāng)終端用戶通過CSO登錄時(shí)����,PSN將提取終端用戶的個(gè)體隱私樹,并為他創(chuàng)建會(huì)話����。優(yōu)選地生成(臨時(shí))會(huì)話ID�,并從CSO返回該會(huì)話ID��。然后�,PSN服務(wù)器一般進(jìn)入等待狀態(tài)���,直到從應(yīng)用單元的接入裝置接收到服務(wù)請(qǐng)求為止����。
對(duì)于通過CSO發(fā)起的那種類型的請(qǐng)求過程���,PSN在接收到對(duì)個(gè)人數(shù)據(jù)的請(qǐng)求時(shí)將驗(yàn)證會(huì)話是否存在���。如果將使用CSO過程而沒有會(huì)話,則進(jìn)程終止����。
有關(guān)CSO功能的更多詳情,參考[2]���。
圖6是概述根據(jù)本發(fā)明示范實(shí)施例用于對(duì)個(gè)人數(shù)據(jù)實(shí)施終端用戶控制的處理的過程的流程圖����。過程開始于在代理處設(shè)置個(gè)人數(shù)據(jù)的策略。在第一步S1��,通過應(yīng)用單元將來源于主終端用戶并定義所選個(gè)人數(shù)據(jù)元素的隱私策略的指令傳送到服務(wù)代理的隱私設(shè)置節(jié)點(diǎn)�����。這些指令定義所選個(gè)人數(shù)據(jù)元素的至少一個(gè)可能的數(shù)據(jù)提供單元�。將隱私策略存儲(chǔ)在主終端用戶的個(gè)體隱私樹中,該個(gè)體隱私樹包括分層方式布置且具有關(guān)聯(lián)的隱私策略的個(gè)人數(shù)據(jù)元素(步驟S2)��。
如上所提及的�,在代理處設(shè)置隱私策略(步驟S1、S2)可以純粹由用戶主動(dòng)執(zhí)行��,或在用戶發(fā)起涉及與他相關(guān)的個(gè)人數(shù)據(jù)的服務(wù)請(qǐng)求時(shí)而重定向到服務(wù)代理之后執(zhí)行����。
在步驟S3-S7中,描述了開始于應(yīng)用節(jié)點(diǎn)請(qǐng)求特定服務(wù)時(shí)的拖動(dòng)/推送過程����。在步驟S3,將與至少一個(gè)個(gè)人數(shù)據(jù)元素相關(guān)的請(qǐng)求從應(yīng)用單元傳送到服務(wù)代理���。該請(qǐng)求包含所請(qǐng)求的個(gè)人數(shù)據(jù)元素相關(guān)的主終端用戶的標(biāo)識(shí)符和服務(wù)標(biāo)識(shí)符�。(有效的)請(qǐng)求來源于主終端用戶或該主終端用戶定義的從屬終端用戶。
隱私設(shè)置節(jié)點(diǎn)通過檢查主終端用戶的個(gè)體隱私樹來確定是否有主終端用戶為相應(yīng)所請(qǐng)求的個(gè)人數(shù)據(jù)元素定義的隱私策略���。步驟S4詢問是否有為所請(qǐng)求的個(gè)人數(shù)據(jù)元素的任何一個(gè)定義的隱私策略��。如果存在所請(qǐng)求的個(gè)人數(shù)據(jù)的隱私策略�����,則在步驟S5,隱私設(shè)置節(jié)點(diǎn)為這些個(gè)人數(shù)據(jù)元素的每一個(gè)個(gè)人數(shù)據(jù)元素選擇可能的數(shù)據(jù)提供單元中的數(shù)據(jù)提供單元�。在最后的步驟S6,隱私設(shè)置節(jié)點(diǎn)將響應(yīng)消息返回到應(yīng)用單元����,從而提供對(duì)所選數(shù)據(jù)提供單元處的所被請(qǐng)求的個(gè)人數(shù)據(jù)元素的訪問。另一方面�����,如果沒有所請(qǐng)求的個(gè)人數(shù)據(jù)的隱私策略���,則過程采用另一個(gè)路徑并優(yōu)選地在可選步驟S7����,在將請(qǐng)求被拒絕的通知返回到應(yīng)用單元之后終止。如果請(qǐng)求方是主用戶���,則可為該通知附帶有詢問�����,問該用戶是否要定義策略�����,這可能導(dǎo)致重定向到上述的數(shù)據(jù)設(shè)置過程和步驟S1�。
雖然本發(fā)明是參考特定圖示的實(shí)施例來描述的�����,但是應(yīng)該強(qiáng)調(diào)的是它還涵蓋所公開的特征的等效物����,以及本領(lǐng)域技術(shù)人員顯見到的修改和變化。因此本發(fā)明的范圍僅由所公開的權(quán)利要求來限制�����。
參考文獻(xiàn)[1]國(guó)際專利申請(qǐng)公開WO 03/032222 A1�,Telefonaktie-bolaget LMEricsson����,2003年4月��。
國(guó)際專利申請(qǐng)公開WO 2004/072885 A1��,Telefon-aktiebolagetLM Ericsson��,2004年8月����。
權(quán)利要求
1.一種用于在通信系統(tǒng)(200)中對(duì)個(gè)人數(shù)據(jù)實(shí)施終端用戶控制的處理的方法��,所述通信系統(tǒng)(200)包括設(shè)置成與服務(wù)代理(250)通信的應(yīng)用單元(220)和多個(gè)數(shù)據(jù)提供單元(240)����,所述方法包括如下步驟在所述服務(wù)代理的隱私設(shè)置節(jié)點(diǎn)(258)處接收來源于為所選個(gè)人數(shù)據(jù)元素定義隱私策略的主終端用戶的指令,所述指令包括將至少一個(gè)可能的數(shù)據(jù)提供單元與所選個(gè)人數(shù)據(jù)元素關(guān)聯(lián)的指令���;將所述隱私策略存儲(chǔ)在所述主終端用戶的個(gè)體隱私樹(451)中���,所述個(gè)體隱私樹(451)與所述隱私設(shè)置節(jié)點(diǎn)相關(guān)聯(lián)并且包括以分層方式布置、用于具有關(guān)聯(lián)的隱私策略的個(gè)人數(shù)據(jù)元素的節(jié)點(diǎn)���;將與至少一個(gè)個(gè)人數(shù)據(jù)元素相關(guān)的請(qǐng)求從所述應(yīng)用單元傳送到所述服務(wù)代理���,所述請(qǐng)求包括與所請(qǐng)求的個(gè)人數(shù)據(jù)元素相關(guān)的主終端用戶的標(biāo)識(shí)符和服務(wù)標(biāo)識(shí)符��;以及在所述隱私設(shè)置節(jié)點(diǎn)處通過檢查所述主終端用戶的個(gè)體隱私樹來確定是否有所述主終端用戶為相應(yīng)請(qǐng)求的個(gè)人數(shù)據(jù)元素定義的隱私策略��,以及���,如果有為所請(qǐng)求的個(gè)人數(shù)據(jù)元素的至少一個(gè)子集定義的隱私策略,則還包括如下步驟在所述隱私設(shè)置節(jié)點(diǎn)處為具有定義的隱私策略的所請(qǐng)求的個(gè)人數(shù)據(jù)元素選擇所述可能的數(shù)據(jù)提供單元中的相應(yīng)數(shù)據(jù)提供單元�;以及將響應(yīng)消息從所述隱私設(shè)置節(jié)點(diǎn)返回到所述應(yīng)用單元,從而提供對(duì)所選數(shù)據(jù)提供單元處具有定義的隱私策略的所請(qǐng)求的個(gè)人數(shù)據(jù)元素的訪問�。
2.如權(quán)利要求1所述的方法,其特征在于���,所述個(gè)體隱私樹(451)基于通用隱私樹(351)的至少一部分�����,所述通用隱私樹(351)包括以分層方式布置的節(jié)點(diǎn)(353)���,所述節(jié)點(diǎn)(353)的至少一個(gè)子集指向可以為其定義隱私策略的相應(yīng)個(gè)人數(shù)據(jù)元素。
3.如權(quán)利要求1或2所述的方法,其特征在于�����,傳送到所述服務(wù)代理(250)的請(qǐng)求是包含精靈節(jié)點(diǎn)(557)的服務(wù)標(biāo)識(shí)符的匯聚的請(qǐng)求���,其中所述精靈節(jié)點(diǎn)(557)指向所述隱私樹(551)中具有相應(yīng)個(gè)人數(shù)據(jù)元素的多個(gè)節(jié)點(diǎn)(553)���。
4.如權(quán)利要求3所述的方法,其特征在于���,所述精靈節(jié)點(diǎn)(557)指向布置在所述隱私樹(551)的不同級(jí)別或不同子樹中的節(jié)點(diǎn)(553)��。
5.如前面權(quán)利要求中任一項(xiàng)所述的方法��,包括如下步驟使用指向所述主終端用戶的個(gè)體隱私樹(451)和指向分層樹結(jié)構(gòu)中的所述隱私策略的節(jié)點(diǎn)(453)的相應(yīng)指針收集所述隱私策略。
6.如權(quán)利要求5所述的方法���,其特征在于����,收集所述隱私策略的步驟涉及至少一個(gè)預(yù)定義的查詢表��,通過所述預(yù)定義的查詢表,基于在所述服務(wù)代理(250)處有效的所述主終端用戶的標(biāo)識(shí)符得出指向所述個(gè)體隱私樹(451)的指針��,并基于所述服務(wù)標(biāo)識(shí)符得出指向所述隱私策略的節(jié)點(diǎn)(453)的指針��。
7.如前面權(quán)利要求中任一項(xiàng)所述的方法����,包括如下步驟根據(jù)來自所述主終端用戶的后續(xù)指令指定至少一個(gè)從屬終端用戶,所述從屬終端用戶被允許訪問與所述主終端用戶相關(guān)的個(gè)人數(shù)據(jù)元素的至少一個(gè)子集�。
8.如權(quán)利要求7所述的方法,還包括如下步驟在所述隱私設(shè)置節(jié)點(diǎn)(258)處檢查來自所述應(yīng)用單元(220)的請(qǐng)求的始發(fā)處�;以及除非所述請(qǐng)求來源于所請(qǐng)求的個(gè)人數(shù)據(jù)元素的主終端用戶或所請(qǐng)求的個(gè)人數(shù)據(jù)元素的主終端用戶指定的從屬終端用戶,否則拒絕所述請(qǐng)求��。
9.如前面權(quán)利要求中任一項(xiàng)所述的方法�,其特征在于,所述響應(yīng)消息包括所選數(shù)據(jù)提供單元(240)處有效的用戶標(biāo)識(shí)符和所選數(shù)據(jù)提供單元的IP地址���。
10.如權(quán)利要求9所述的方法�����,其特征在于�����,所述響應(yīng)消息還包含具有所請(qǐng)求的個(gè)人數(shù)據(jù)元素的隱私策略的策略文件�。
11.如權(quán)利要求10所述的方法,還包括如下步驟通過將所述請(qǐng)求與所請(qǐng)求的個(gè)人數(shù)據(jù)元素的隱私策略比較而在所述應(yīng)用單元(220)或所選數(shù)據(jù)提供單元(240)處驗(yàn)證所述請(qǐng)求�。
12.如權(quán)利要求9-11中任一項(xiàng)所述的方法,包括如下步驟使用在所述服務(wù)代理(250)處有效的所述主終端用戶的標(biāo)識(shí)符和所選數(shù)據(jù)提供單元的標(biāo)識(shí)符作為輸入從至少一個(gè)查詢表中收集所選數(shù)據(jù)提供單元(240)處有效的用戶標(biāo)識(shí)符和所選數(shù)據(jù)提供單元的IP地址�。
13.如前面權(quán)利要求中任一項(xiàng)所述的方法,還包括如下步驟在公共登錄(CSO)服務(wù)器(256)處對(duì)所述應(yīng)用單元(220)處接收到的每個(gè)請(qǐng)求執(zhí)行終端用戶認(rèn)證事件��,所述CSO服務(wù)器被布置在所述服務(wù)代理(250)中與所述隱私設(shè)置節(jié)點(diǎn)(258)通信�。
14.一種具有對(duì)個(gè)人數(shù)據(jù)實(shí)施終端用戶控制的處理的裝置的通信節(jié)點(diǎn)(258),所述通信節(jié)點(diǎn)布置在通信系統(tǒng)(200)中的服務(wù)代理(250)處�,所述通信系統(tǒng)(200)還包括設(shè)置成與所述服務(wù)代理通信的應(yīng)用單元(220)和多個(gè)數(shù)據(jù)提供單元(240),包括接收來源于為所選個(gè)人數(shù)據(jù)元素定義隱私策略的主終端用戶的指令的裝置�����,所述指令包括將至少一個(gè)可能的數(shù)據(jù)提供單元與所選個(gè)人數(shù)據(jù)元素關(guān)聯(lián)的指令�;將所述隱私策略存儲(chǔ)在所述主終端用戶的個(gè)體隱私樹(451)中的裝置,所述個(gè)體隱私樹包括以分層方式布置�����、用于具有關(guān)聯(lián)的隱私策略的個(gè)人數(shù)據(jù)元素的節(jié)點(diǎn)(453)����;接收從所述應(yīng)用單元傳送到所述服務(wù)代理的與至少一個(gè)個(gè)人數(shù)據(jù)元素相關(guān)的請(qǐng)求的裝置,所述請(qǐng)求包括與所請(qǐng)求的個(gè)人數(shù)據(jù)元素相關(guān)的主終端用戶的標(biāo)識(shí)符和服務(wù)標(biāo)識(shí)符�;通過檢查所述主終端用戶的個(gè)體隱私樹來確定是否有所述主終端用戶為相應(yīng)請(qǐng)求的個(gè)人數(shù)據(jù)元素定義的隱私策略的裝置;如果有為所請(qǐng)求的個(gè)人數(shù)據(jù)元素的至少一個(gè)子集定義的隱私策略則為具有定義的隱私策略的所請(qǐng)求的個(gè)人數(shù)據(jù)元素選擇所述可能的數(shù)據(jù)提供單元中的相應(yīng)數(shù)據(jù)提供單元的裝置�;以及將響應(yīng)消息返回到所述應(yīng)用單元的裝置,從而提供對(duì)所選數(shù)據(jù)提供單元處具有定義的隱私策略的所請(qǐng)求的個(gè)人數(shù)據(jù)元素的訪問���。
15.如權(quán)利要求14所述的通信節(jié)點(diǎn)��,其特征在于��,所述個(gè)體隱私樹(451)基于通用隱私樹(351)的至少一部分����,所述通用隱私樹(351)包括以分層方式布置的節(jié)點(diǎn)(353)��,所述節(jié)點(diǎn)(353)的至少一個(gè)子集指向可以為其定義隱私策略的相應(yīng)個(gè)人數(shù)據(jù)元素�。
16.如權(quán)利要求14或15所述的通信節(jié)點(diǎn),其特征在于�,所述個(gè)人或通用隱私樹(551)包括指向所述隱私樹中多個(gè)節(jié)點(diǎn)(553)的至少一個(gè)精靈節(jié)點(diǎn)(557),由此可以通過匯聚的請(qǐng)求到達(dá)多個(gè)個(gè)人數(shù)據(jù)元素����。
17.如權(quán)利要求16所述的通信節(jié)點(diǎn),其特征在于��,所述精靈節(jié)點(diǎn)(557)指向布置在所述隱私樹(551)的不同級(jí)別或不同子樹中的節(jié)點(diǎn)(553)。
18.如權(quán)利要求14-17中的任一項(xiàng)所述的通信節(jié)點(diǎn)�����,其特征在于�,包括通過指向所述主終端用戶的個(gè)體隱私樹(451)和指向分層樹結(jié)構(gòu)的所述隱私策略的節(jié)點(diǎn)(453)的相應(yīng)指針收集所述隱私策略的裝置。
19.如權(quán)利要求18所述的通信節(jié)點(diǎn)����,其特征在于,用于收集所述隱私策略的裝置包括至少一個(gè)預(yù)定義的查詢表���,通過所述預(yù)定義的查詢表�,基于在所述服務(wù)代理(250)處有效的所述主終端用戶的標(biāo)識(shí)符得出指向所述個(gè)體隱私樹(451)的指針�����,并基于所述服務(wù)標(biāo)識(shí)符得出指向所述隱私策略的節(jié)點(diǎn)(453)的指針��。
20.如權(quán)利要求14-19中的任一項(xiàng)所述的通信節(jié)點(diǎn)����,其特征在于,包括根據(jù)來自所述主終端用戶的后續(xù)指令指定至少一個(gè)從屬終端用戶的裝置���,所述從屬終端用戶被允許訪問與所請(qǐng)求的個(gè)人數(shù)據(jù)元素的主終端用戶相關(guān)的個(gè)人數(shù)據(jù)元素的至少一個(gè)子集�。
21.如權(quán)利要求20所述的通信節(jié)點(diǎn)�,其特征在于,包括檢查來自所述應(yīng)用單元(220)的請(qǐng)求的始發(fā)處的裝置����;以及除非所述請(qǐng)求來源于所請(qǐng)求的個(gè)人數(shù)據(jù)元素的主終端用戶或所述主終端用戶指定的從屬終端用戶否則拒絕所述請(qǐng)求的裝置。
22.如權(quán)利要求14-21中的任一項(xiàng)所述的通信節(jié)點(diǎn)��,其特征在于�,所述響應(yīng)消息包括所選數(shù)據(jù)提供單元(240)處有效的用戶標(biāo)識(shí)符和所選數(shù)據(jù)提供單元的IP地址。
23.如權(quán)利要求22所述的通信節(jié)點(diǎn)���,其特征在于�����,所述響應(yīng)消息還包括具有所請(qǐng)求的個(gè)人數(shù)據(jù)元素的隱私策略的策略文件��。
24.如權(quán)利要求22-23中的任一項(xiàng)所述的通信節(jié)點(diǎn)����,其特征在于��,包括通過將在所述服務(wù)代理(250)處有效的所述主終端用戶的標(biāo)識(shí)符和所選數(shù)據(jù)提供單元的標(biāo)識(shí)符作為輸入從至少一個(gè)查詢表中收集所選數(shù)據(jù)提供單元(240)處有效的用戶標(biāo)識(shí)符和所選數(shù)據(jù)提供單元的IP地址的裝置。
25.如權(quán)利要求14-24中的任一項(xiàng)所述的通信節(jié)點(diǎn)����,還包括認(rèn)證裝置,所述認(rèn)證裝置設(shè)置成與所述服務(wù)代理(250)中的CSO服務(wù)器(256)通信����,使得對(duì)于所述應(yīng)用單元(220)處接收到的每個(gè)應(yīng)用請(qǐng)求有一個(gè)終端用戶認(rèn)證事件。
26.一種具有對(duì)個(gè)人數(shù)據(jù)實(shí)施終端用戶控制的處理的裝置的通信系統(tǒng)(250�����、200)���,包括如權(quán)利要求14-25中的任一項(xiàng)所述的通信節(jié)點(diǎn)(258)�����。
全文摘要
在個(gè)人數(shù)據(jù)的策略的設(shè)置中��,經(jīng)由應(yīng)用單元(220)將來源于主用戶且為所選個(gè)人數(shù)據(jù)塊定義隱私策略的指令傳送到服務(wù)代理(250)的隱私設(shè)置節(jié)點(diǎn)(258)�����。該指令定義數(shù)據(jù)的可能數(shù)據(jù)提供方(240)���。將該策略存儲(chǔ)在主用戶的包括具有相關(guān)策略的分層方式布置的個(gè)人數(shù)據(jù)的隱私樹中的數(shù)據(jù)庫(kù)(254)中�。在接收到對(duì)個(gè)人數(shù)據(jù)的請(qǐng)求時(shí)����,隱私設(shè)置節(jié)點(diǎn)通過檢查主用戶的隱私樹來確定是否有由該數(shù)據(jù)定義的隱私策略���。如果有所請(qǐng)求的數(shù)據(jù)的策略�����,則它在可能的數(shù)據(jù)提供方中選擇一個(gè)數(shù)據(jù)提供方���,并向應(yīng)用單元返回響應(yīng),由此提供對(duì)位于該提供方處的所請(qǐng)求的個(gè)人數(shù)據(jù)的訪問�����。
文檔編號(hào)G06F21/62GK101091369SQ200480044690
公開日2007年12月19日 申請(qǐng)日期2004年12月22日 優(yōu)先權(quán)日2004年12月22日
發(fā)明者楊智仁, H·桑德斯特龍 申請(qǐng)人:艾利森電話股份有限公司