在提供产品和/或服务的应用程序中维护用户隐私的系统和方法技术方案

应用程序的非集中化是一个日益增长的趋势。众所周知，与交易或应用程序的不同组件通信的用户数据可以链接以派生用户的复合概要文件。提出了一种在分散网络(可能包含多个传感器设备)中维护用户数据隐私的系统和方法。显示了控制智能设备的应用程序和跨提供者的服务可移植性。

【技术实现步骤摘要】
【国外来华专利技术】在提供产品和/或服务的应用程序中维护用户隐私的系统和方法交叉引用本申请申明享有美国临时申请编号No.62/371,403，申请日2016年8月5日的优先权，其全部内容以引用方式并入本文本中。背景互联网和网络上有丰富的服务体验。新专利技术，如基于区块链的计算机程序称为智能合约，为智能设备如自动驾驶汽车提供服务。进一步设想，整体服务体验可以分解为多个组件，其中多个服务提供者可以提供单个组件。许多智能设备、智能计算机程序和服务体验还利用从位于用户计算设备中的传感器设备或用户设备所在附近的物理环境中获取的数据。因此，需要使用自动驾驶汽车的服务体验可能会收集越来越多的用户数据。大多数服务体验也基于用户提供的信息。消费者越来越表现出关心保护用户数据隐私的迹象。对于在线网络中通过传感器设备收集大量用户数据过程中提供保护用户数据隐私的服务系统将具有巨大的社会价值和商业效益。摘要根据本文所述目标的一个方面，提供了一种便于向用户交付产品和/或服务的系统和方法。根据该方法，将第一可执行计算机代码插入到建立用户会话的计算环境中。第一可执行计算机代码与提供产品和/或服务的实体相关联。在计算环境中建立一个用户会话。为了响应插入到用户会话中的第一可执行计算机代码，在用户会话中创建了第一虚拟机。第一可执行计算机代码是在第一虚拟机上执行,执行第一可执行计算机代码包括通过通信网络和从用户计算设备获取完成产品和/或服务交付所需的用户计算设备必须的所有信息的第一适当子集。所有信息的第一适当子集小于完成产品和/或服务交付所需的来自用户计算设备的所有信息的完整集合。信息的第一适当子集由第一可执行计算机代码处理。第一可执行计算机代码产生第一输出数据。在执行完第一可执行计算机代码后终止第一虚拟机。第二可执行计算机代码至少基于由第一可执行计算机代码产生的第一输出数据的第一部分而获得。第二可执行计算机代码被插入到计算环境中建立的用户会话中。为了响应插入到用户会话中的第二可执行计算机代码，将在用户会话中创建第二虚拟机。第二可执行计算机代码执行在第二虚拟机上,执行第二可执行计算机代码包括通过通信网络和从用户计算设备获取完成产品和/或服务交付所需的用户计算设备必须的所有信息的第二适当子集。所有信息的第二适当子集小于完成产品和/或服务交付所需的来自用户计算设备的所有信息的完整集合，并且还包括有不属于第一适当子集中的信息。信息的第二适当子集由第二可执行计算机代码处理。第二可执行计算机代码产生第二输出数据。第二虚拟机在执行完第二可执行计算机代码后终止。至少部分基于由第二可执行计算机代码产生的第二输出数据带来的产品和/或服务被交付给用户的用户计算设备。根据本文所述目的的一个方面，提供了一种通过通信网络进行交易的系统和方法。根据该方法，响应通过通信网络接收到的用户请求，在计算环境中建立用户会话。多数可执行计算机代码执行的计算环境中,每个执行事务的一部分在执行每一个可执行计算机代码包括通过通信网络和从用户计算设备获取完成产品和/或服务交付所需的用户计算设备必须的所有信息的不同的适当子集。所有信息的每个适当子集都小于完成事务所需的来自用户计算设备的所有信息的完整集合。每个可执行计算机代码处理它所获得的信息的相应子集。在每个可执行计算机代码的执行过程中，信息仅在多个可执行计算机代码之间交换，其交换方式是获取之前其中一个可执行计算机代码输出的加密输出信息。对加密的输出信息进行的加密操作使用户需要一个或多个解密密钥才能解密输出信息。在完成事务所需的最后一个可执行计算机代码的执行之后，将终止用户会话，从而使计算环境中不再存在信息的子集。附图说明图1显示了在线购买图书时分散交易的要素。图2显示了分散交易中隐含的示例性链接信息。图3显示了本专利技术的整体操作环境的一个示例。图4a显示了传统的dh算法。图4b显示了dh算法的一种说明性扩展。图5a、5b和5c说明了扩展到dh算法的操作。图6显示了目录中可能包含的内容的示例。图7显示了数据库处理器对包含单一VM的单一会话的工作。图8a显示了示例性计算机程序。图8b显示了计算机程序指令及其语义的示例。图9显示了在数据库程序的操作中隐含的图8a程序的示例性重写。图10显示用于说明性实施例的示例性系统架构。图11a、11b和11c描述说明性实施例的操作细节。图12显示第一说明性商业实施例。图13a和13b显示第二说明性商业实施例。图14显示了从一个服务提供者到另一个服务提供者的示例性服务可移植性。说明书动机Web服务和Web商业模型非常依赖于从消费者处收集的关于消费者的数据。定制的、个性化的服务和用户体验使用从消费者收集的数据构建，在某些情况下，是从第三方提供商处获取的数据来构建的。广告、内容和服务营销、建议等都部分基于用户数据及其分析结果。随着网络的发展能够支持传感器和基于传感器的设备，如智能汽车、智能家用电器等，用户数据的收集有望增加。与此同时，用户群体意识到网络企业存储大量个人数据的事实，这种意识导致许多用户质疑用户数据的存储和使用。有关数据隐私的担忧正在上升。企业数据的中断和泄露以及企业软件系统的黑客行为加剧了这种担忧。在一些实施例中，本专利技术描述了一种系统和方法，通过该系统和方法可以构建一个开放的、分散的市场，该市场提供了解决这些问题的若干特征。术语“开放”是指多个服务提供者在没有专有接口的情况下进行交互的可能性。“分散”一词是指没有一个单独的实体处于控制之中，并且各个实体可以联合起来提供一个整体服务的概念。本文所述的专利技术允许用户向一个或多个服务提供商揭示个人数据的选定元素并获得服务。但是，这种用户数据的提供是由用户控制的，该用户将其数据透露给计算实体，而计算实体被设计为无法保留提供的数据或其存储。也就是说，计算结构接收用户数据，在稍后描述的“无菌”环境中执行自己，然后终止自己。一个或多个服务提供商可被组织为执行不同功能的单独实体，这些功能共同构成向用户提供的产品和/或服务。作为这种安排的一个例子，考虑一个在线图书销售商、支付处理平台和托运人，他们签订了一项业务安排，用户可以通过该安排从销售商购买图书，使用支付处理平台支付图书费用，并由托运人管理的运输物流接收图书。在本专利技术中，图书销售商、支付处理平台和托运人由可执行计算机代码表示，例如计算机程序或应用程序，这些程序或应用程序经过特殊配置(稍后更详细地描述)，并由用户设备接收(例如下载)。然后，用户设备将程序注入到包含数据库处理器的(分布式)计算环境中。为了便于说明，个别可执行计算机代码将被称为计算机程序，但更一般地说，可以使用以本文所述方式配置的任何适当类型的计算机代码。应该注意的是，数据处理器执行的各种操作不是由传统的数据库处理器执行的。尤其是，数据库处理器被配置为执行三个操作。首先，当连接到正在寻求服务的用户计算设备时，数据库处理器在用户计算设备与其自身之间创建一个会话。在一些实施例中，用于在用户设备和数据库处理器之间交换数据的通信通道优选是安全的。接下来的讨论会有一个可以使用的安全协议的例子。其次，数据库处理器生成一个或多个虚拟机(VM)，这些虚拟机配备有上述计算机程序之一。虚拟机可以按顺序或并行方式生成。每个虚拟机执行已提供的计算机程序之一，每个程序都可能产生限制的输出本文档来自技高网...

【技术保护点】
1.一种方便向用户交付产品和/或服务的方法，包括：使第一可执行计算机代码插入到建立用户会话的计算环境中，所述第一可执行计算机代码与提供产品和/或服务的实体相关联；在所述计算环境中建立用户会话；响应插入到用户会话的所述第一可执行计算机代码，在所述用户会话中创建第一虚拟机；在所述第一虚拟机中执行所述第一可执行计算机代码，其中执行所述第一可执行计算机代码包括通过通信网络和从用户的用户计算设备获取完成所述产品和/或服务的交付所需的来自用户计算设备所有信息的第一适当子集，所述所有信息的第一适当子集小于完成所述产品和/或服务的交付所需的来自用户计算设备的所有信息的完整集合，由所述第一可执行计算机代码处理信息的第一适当子集，所述第一可执行计算机代码产生第一输出数据；在完成执行所述第一可执行计算机代码后终止所述第一虚拟机；至少基于由所述第一可执行计算机代码产生的所述第一输出数据的第一部分获得第二可执行计算机代码；使第二可执行计算机代码插入在计算环境中建立的用户会话中；响应插入到用户会话中的所述第二可执行计算机代码，在用户会话中创建第二虚拟机；在所述第二虚拟机中执行所述第二可执行计算机代码，其中执行所述第二可执行计算机代码包括通过通信网络和从用户的用户计算设备获取完成所述产品和/或服务的交付所需的来自用户计算设备的所有信息的第二适当子集，所述所有信息的第二适当子集小于完成产品和/或服务的交付所需的用户计算设备的所有信息的完整集合，由所述第二可执行计算机代码处理信息的第二适当子集，所述第二可执行计算机代码产生第二输出数据；在执行完所述第二可执行计算机代码后终止所述第二虚拟机；以及至少部分基于由第二可执行计算机代码产生的第二输出数据，使得产品和/或服务交付给用户计算设备的用户。...

【技术特征摘要】
【国外来华专利技术】2016.08.05 US 62/371,4031.一种方便向用户交付产品和/或服务的方法，包括：使第一可执行计算机代码插入到建立用户会话的计算环境中，所述第一可执行计算机代码与提供产品和/或服务的实体相关联；在所述计算环境中建立用户会话；响应插入到用户会话的所述第一可执行计算机代码，在所述用户会话中创建第一虚拟机；在所述第一虚拟机中执行所述第一可执行计算机代码，其中执行所述第一可执行计算机代码包括通过通信网络和从用户的用户计算设备获取完成所述产品和/或服务的交付所需的来自用户计算设备所有信息的第一适当子集，所述所有信息的第一适当子集小于完成所述产品和/或服务的交付所需的来自用户计算设备的所有信息的完整集合，由所述第一可执行计算机代码处理信息的第一适当子集，所述第一可执行计算机代码产生第一输出数据；在完成执行所述第一可执行计算机代码后终止所述第一虚拟机；至少基于由所述第一可执行计算机代码产生的所述第一输出数据的第一部分获得第二可执行计算机代码；使第二可执行计算机代码插入在计算环境中建立的用户会话中；响应插入到用户会话中的所述第二可执行计算机代码，在用户会话中创建第二虚拟机；在所述第二虚拟机中执行所述第二可执行计算机代码，其中执行所述第二可执行计算机代码包括通过通信网络和从用户的用户计算设备获取完成所述产品和/或服务的交付所需的来自用户计算设备的所有信息的第二适当子集，所述所有信息的第二适当子集小于完成产品和/或服务的交付所需的用户计算设备的所有信息的完整集合，由所述第二可执行计算机代码处理信息的第二适当子集，所述第二可执行计算机代码产生第二输出数据；在执行完所述第二可执行计算机代码后终止所述第二虚拟机；以及至少部分基于由第二可执行计算机代码产生的第二输出数据，使得产品和/或服务交付给用户计算设备的用户。2.根据权利要求1所述的方法，其中，执行所述第二可执行计算机代码包括使用所述第二可执行计算机代码产生的所述第一输出数据的至少第二部分执行所述第二可执行计算机代码。3.根据权利要求1所述的方法，其中所述第一输出数据的第一部分包括所述第二可执行计算机代码的标识符。4.根据权...

【专利技术属性】
技术研发人员：S·A·纳克维，罗伯特·弗兰克·劳奇，
申请(专利权)人：传感器有限公司，
类型：发明
国别省市：美国,US