用于服务订户的隐私的数据匿名化
文献发布时间:2023-06-19 09:30:39
背景技术
M2M/IoT服务层(SL)是专门针对为M2M/IoT设备、IoT应用和IoT数据提供增值服务的技术。最近,几个行业标准实体(例如,oneM2M、ETSI、OCF和LWM2M)已经在开发M2M/IoT SL以解决与将M2M/IoT设备、应用和数据集成到具有互联网/Web、蜂窝、企业和家庭网络的部署中相关联的挑战。
发明内容
公开了用于向IoT/M2M服务层提供保护用户隐私的能力的方法和系统。这个功能可以允许IoT/M2M服务层匿名化用户数据,特别是在与第三方消费者共享用户数据时。隐私策略服务可以使IoT服务层系统能够基于诸如法律义务、订户隐私偏好和数据消费者的授权级别之类的输入来生成匿名化(例如,隐私)策略。数据匿名化策略可以从隐私策略服务输出并且可以被发送到数据匿名化服务,其中可以基于一个或多个数据匿名化策略对原始数据进行匿名化。来自数据匿名化服务功能的输出可以是数据的私有化(例如,匿名化)版本,其可以防止数据消费者发现用户的一个或多个识别特点。
附图说明
为了促进对本申请的更稳健的理解,现在参考附图,在附图中,相同的元件用相同的附图标记表示。这些附图不应当被解释为限制本申请,而仅仅是示例性的。
图1示出了部署在各种类型的节点上的示例M2M/IoT服务层的框图;
图2示出了示例oneM2M架构的框图;
图3示出了示例oneM2M公共服务功能的框图;
图4示出了由oneM2M架构支持的示例配置的框图;
图5示出了用于M2M服务订户向M2M服务提供者订阅的示例方法的流程图;
图6示出了用于M2M服务订户订阅ASP服务的示例方法的流程图;
图7示出了示例基于5G系统服务的架构的框图;
图8示出了示例非漫游5G系统架构的框图;
图9示出了用于SM、SMS和其它服务的NAS传输的示例方法的流程图;
图10示出了用于网络切片的示例方法的流程图;
图11示出了示例M2M服务层平台的框图;
图12示出了用于服务层中的用户简档创建的示例方法的流程图;
图13示出了用于将用户简档与设备、应用或服务层实体链接的示例方法的流程图;
图14示出了用于在设备、应用或服务层注册期间链接用户简档的示例方法的流程图;
图15示出了用于数据匿名化过程的示例方法的流程图;
图16示出了用于使用隐私服务进行数据匿名化的示例方法的流程图;
图17示出了用于具有分布式DAS设置的数据匿名化处理的示例方法的流程图;
图18示出了具有链接的用户的oneM2M资源树中的设备、应用或服务层的等效表示的框图;
图19示出了用于经由AE在oneM2M服务层中的用户简档创建的示例方法的流程图;
图20示出了根据oneM2M实施例的与用于将用户简档与设备、应用或服务层实体链接的用户请求相关联的示例方法的流程图;
图21示出了根据oneM2M实施例的与基于来自节点、AE或CSE的注册请求将用户简档链接到节点、AE或CSE相关联的示例方法的流程图;
图22示出了oneM2M系统中的用于数据请求和匿名化的数据交付的示例方法的流程图;
图23示出了服务层中的PPS和DAS服务的示例框图;
图24示出了在3GPP系统中第三方AF请求数据的示例方法;
图25A示出了其中可以实现一个或多个所公开的实施例的示例机器对机器(M2M)或物联网(IoT)通信系统的示例系统图;
图25B示出了可以在图25A中所示的M2M/IoT通信系统内使用的示例架构的示例系统图;
图25C示出了可以在图25A中所示的通信系统内使用的示例性M2M/IoT终端或网关设备的示例性系统图;以及
图25D示出了其中可以实施图25A的通信系统的各方面的示例计算系统的示例框图。
具体实施方式
M2M/IoT SL可以向应用和设备提供对面向M2M/IoT能力的集合的访问。几个示例包括安全性、收费、数据管理、设备管理、发现、供给和连接性管理。这些能力可以经由API使得应用可用,这些API利用M2M/IoT SL支持的消息格式、资源结构和资源表示。
从协议栈的角度来看,SL通常位于应用协议层之上并为其支持的应用提供增值服务。因此,SL常常被归类为“中间件”服务。表1示出了位于应用协议和应用之间的示例性服务层。
表1支持服务层的示例性协议栈
从部署的角度来看,M2M/IoT SL可以部署在各种类型的网络节点上,包括服务器、网关和设备,如图1中所示。
oneM2M标准定义了M2M/IoT SL(参见oneM2M-TS-0001,oneM2M FunctionalArchitecture-V-2.10.1)。SL的目的是提供可以由不同的“垂直”M2M系统和应用(诸如电子卫生、车队管理和智能家居)使用的“水平”服务。如图2中所示,oneM2M SL的架构定义了支持四个参考点的公共服务实体(CSE)。Mca参考点与应用实体(AE)接口。Mcc参考点与同一服务提供者域中的另一个CSE接口,而Mcc参考点与不同服务提供者域中的另一个CSE接口。Mcn参考点与底层网络服务实体(NSE)接口。NSE向CSE提供底层网络服务,诸如设备管理、位置服务和设备触发。CSE包含多个称为“公共服务功能(CSF)”的逻辑功能,诸如“发现”、“数据管理和储存库”。图3图示了由oneM2M支持的CSF。
oneM2M架构是一种分布式架构,它支持跨以下示例类型的节点以分布式方式部署M2M/IoT服务:
应用服务节点(ASN):ASN是包含一个CSE并且包含至少一个应用实体(AE)的节点。物理映射的示例:ASN可以驻留在M2M设备中;
应用专用节点(ADN):ADN是包含至少一个AE并且不包含CSE的节点。物理映射的示例:应用专用节点可以驻留在受约束的M2M设备中;
中间节点(MN):MN是包含一个CSE并且包含零个或多个AE的节点。物理映射的示例:MN可以驻留在M2M网关中;
基础设施节点(IN):IN是包含一个CSE并且包含零个或多个AE的节点。IN中的CSE可以包含不适用于其它节点类型的CSE功能。物理映射的示例:IN可以驻留在M2M服务基础设施中;以及
非oneM2M节点(NoDN):非oneM2M节点是不包含oneM2M实体(既不包含AE也不包含CSE)的节点。此类节点表示出于互通目的(包括管理)而附接到oneM2M系统的设备。
在图4中图示了互连oneM2M系统内支持的各种实体的可能配置。
oneM2M/IoT系统当前包括称为隐私保护管理(PPM)架构的用于控制隐私的功能。对私有的表达取决于个人观点、社会规范以及政府实体所施加的策略。PPM功能基于用户的偏好生成访问控制策略,该策略仅允许授权方访问用户的个人可识别信息(PII)。但是,这些策略不提供对可以匿名化用户数据(例如,经过清理、别名化、缩写等)的粒度的访问控制。本文公开了为M2M/IoT服务层配备可以在这种级别保护用户隐私的功能的方法和系统。以下讨论的隐私保护架构的描述摘自oneM2M-TS-0003,Security Solutions-V-3.0.6的条款11。
M2M应用服务提供者(ASP)被定义为与M2M服务提供者具有订阅合同的各方。经由M2M/IoT服务提供者订阅由ASP提供的服务的实体被称为M2M服务订户。
第三方数据消费者希望从M2M服务提供者获得M2M服务订户的数据。这里,第三方数据消费者充当ASP。oneM2M安全性CSF内的隐私策略管理器(PPM)功能是基于M2M服务订户的隐私偏好的个人数据管理框架,该框架根据M2M服务订户同意的策略创建访问控制信息。PPM保护M2M服务订户的个人数据免受未经授权的各方和未经授权的收集。PPM可以由M2M服务提供者本身或代表M2M服务提供者的另一个实体进行操作。
如果M2M服务提供者向任何第三方M2M应用服务提供者(ASP)提供M2M服务订户的个人数据,那么M2M服务提供者可能需要获得M2M服务订户的同意。数据所属的实体称为数据主体(data subject)。换句话说,M2M服务订户是提供数据的数据主体。在当M2M服务订户接受指示向第三方供给的隐私策略时的情况下,M2M服务提供者可以将数据主体的个人数据提供给第三方。但是,如果隐私策略不包括向第三方供给,那么服务提供者可能需要更新隐私策略并获得M2M服务订户对其的同意。
PPM可以管理隐私偏好和隐私策略。
隐私偏好是M2M服务订户在向第三方供给其自己的个人数据方面的偏好。M2M服务订户可以创建M2M服务订户的隐私偏好,并将其注册到PPM。隐私属性的示例列表在oneM2M-TS-0003的附件J中进行了描述。
隐私策略描述了由M2M服务提供者向M2M服务订户提供服务所需的个人数据。M2M服务提供者可以创建隐私策略并将其注册到PPM。
PPM可以被配置为执行以下一项或多项功能:
(1)完善的同意机制,用于将M2M服务订户的隐私偏好与ASP的隐私策略进行匹配。隐私策略描述了由M2M服务提供者向M2M服务订户提供服务所需的个人数据。当M2M服务订户订阅由M2M服务提供者提供的服务时,M2M服务提供者可能需要获得M2M服务订户对服务隐私策略的同意。通过比较隐私偏好和隐私策略,PPM为M2M服务订户提供友好的同意机制。
(2)用于分布式授权的策略决策点(PDP)和策略检索点(PRP)、
(a)PDP:当发起者从充当策略执行点(PEP)的托管CSE请求个人数据时,托管CSE可以从充当PDP的PPM请求访问控制决策数据。PPM根据访问控制信息创建
(b)PRP:当发起者从充当PDP的托管CSE请求个人数据时,托管CSE可以从充当PRP的PPM请求访问控制策略。PPM基于M2M服务订户同意的策略创建
(c)由CSE托管的
(d)动态授权系统:
(i)直接动态授权:当发起者从托管CSE请求个人数据时,托管CSE从PPM请求
(ii)间接动态授权:在发起者从托管CSE请求个人数据之前,发起者从PPM请求
(3)个人数据使用的可追踪性:PPM可以存储访问日志,该访问日志记录哪个发起者访问了哪种收集的数据。该功能有待在oneM2M中进行进一步研究,但是可以使用oneM2M中定义的组件来实现该功能。
PPM可以被配置为管理M2M服务订户的偏好和M2M应用服务提供者的服务隐私策略。基本上,M2M应用服务提供者在基础设施域中具有一个PPM,并在PPM中管理M2M服务订户同意的状态。PPM的使用有四个过程,它们可以具有以下关系:
M2M服务订户订阅由M2M服务提供者提供的服务;
M2M服务订户订阅由ASP提供的服务;
AE(IN-AE或现场域AE)请求存储在托管CSE中的个人数据;以及
M2M服务订户检查他/她自己的个人数据的访问日志,并请求从托管CSE中删除收集到的个人数据。
下面描述可以使用这些过程的若干个参与实体:
(1)M2M服务订户:M2M服务订户可以通过订阅ASP的服务来利用M2M服务,该ASP的服务提供了控制对由M2M服务提供者处理的信息的访问的功能。个人数据是可以被单独使用的信息,或者可以与其它信息一起用于识别个体以形成个人可识别信息(PII)。
(2)ADN-AE、ASN-AE:ADN-AE或ASN-AE产生各种类型的数据,诸如传感器数据。ADN-AE或ASN-AE也可以从资源托管CSE请求数据。
(3)托管CSE:如果托管CSE使用PPM作为PDP,那么托管CSE可以充当策略执行点(PEP)。如果托管CSE使用PPM作为PRP,那么托管CSE可以充当PDP。如果托管CSE使用PPM作为DAS,那么托管CSE可以配置链接到所请求的资源的
(4)应用服务提供者:应用服务提供者向加入该M2M服务提供者的M2M服务订户提供服务。
(5)M2M服务提供者:M2M门户提供M2M服务订户接口,通过该接口可以管理由M2M平台提供的服务。
(6)PPM:PPM可以包括用于自动化过程(未由oneM2M定义)的功能,以根据M2M服务订户同意的策略和偏好来创建访问控制策略并将其部署在CSE上。如果PPM充当PDP或PRP,那么可能需要CSE功能。如果PPM充当动态授权服务服务器,那么PPM可能需要AE功能。PPM可以经由PPM门户提供M2M服务订户接口。M2M服务订户可以访问PPM门户以配置M2M服务订户的隐私偏好。PPM门户不在oneM2M的范围内。
本文描述了PPM架构中的示例管理流程。当M2M服务订户向M2M服务提供者订阅时,M2M服务订户使用PPM配置隐私偏好。隐私偏好/策略解释了哪些数据旨在由ASP使用并经同意允许与其它服务订户共享。图5中描绘了示例处理。
在步骤1处,M2M服务订户访问M2M服务提供者的M2M门户。该处理通常使用Web访问协议,诸如HTTP、HTTPS等。
在步骤2处,M2M服务订户配置隐私偏好并将其注册在PPM门户上。M2M服务订户访问PPM门户,或者M2M门户将M2M服务提供者重定向到PPM门户。该处理可以使用Web访问协议。
在步骤3处,M2M服务提供者从M2M服务订户收集并存储数据。
M2M服务订户可以通过M2M服务提供者订阅由ASP提供的各种类型的服务。服务列表在M2M门户上进行注册,并且M2M服务订户可以选择要订阅的服务。当M2M服务订户订阅服务时,M2M服务订户可能需要接受ASP的隐私策略。为了使M2M服务订户容易理解这种策略,PPM可以基于ASP提供的隐私策略和M2M服务订户的隐私偏好来创建定制的隐私策略。因此,M2M服务订户可以控制个人数据,并且协议意味着理解隐私策略。图6示出了这一处理的示例概述。
在步骤1处,M2M服务订户访问M2M门户并选择要订阅的ASP服务。M2M门户重定向到PPM门户以获得M2M服务订户的同意。这一处理通常使用Web访问协议,诸如HTTP、HTTPS等。
在步骤2处,M2M服务订户可能需要接受隐私策略才能订阅ASP的服务。PPM可以基于M2M服务订户的隐私偏好和服务的隐私策略为每个M2M服务订户创建定制的隐私策略。M2M服务订户容易确认隐私偏好和隐私策略之间的差异,并理解哪种类型的个人数据被ASP收集。在M2M服务订户接受隐私策略之后,M2M服务订户可以订阅ASP的服务。
在步骤3处,PPM可以使用M2M服务订户接受的隐私策略来创建或更新访问控制策略。
在TS-0003-V3.6.0中给出了四个不同的植入选项。这些选项包括:
(1)PPM用作PDP;
(2)PPM用作PRP;
(3)PPM使用以下之一用作动态授权系统服务器(DASS):
(a)直接动态授权;以及
(b)间接动态授权,
PPM是在允许用户表达其隐私偏好的基础上设计的数据管理框架。使用根据用户的隐私偏好设计的访问控制策略,用户的个人可识别信息(PII)受到保护免受攻击者和未授权方的攻击。PPM可以由M2M服务提供者或其它受信任的利益相关者来运营。服务提供者或受信任的利益相关者可能需要用户接受才能与第三方共享该用户的PII。隐私策略可以包括关于第三方的供给。
订阅由服务提供者提供的服务的最终用户成为数据主体。数据主体具有其隐私偏好模板。当它想要订阅服务时,它将从PPM门户下载隐私偏好模板并将其进行比较,以找到它是否与其拥有的隐私偏好模板一致。最终用户选择和取消选择属性以声明其隐私偏好,这些隐私偏好然后使用同一门户被注册在PPM上。
在oneM2M中,PPM可以提供两个功能。首先,它可以充当策略决策点(PDP),其中当应用从IN-CSE请求个人数据时,PPM基于用户的隐私偏好回复访问决策。其次,它可以充当策略检索点(PRP)。当应用从IN-CSE请求个人数据时(其中PDP可以从PPM请求访问控制策略),PPM回复基于用户的隐私偏好的访问控制策略。
在oneM2M服务层中,注册(REG)CSF处理来自AE或另一个CSE的向注册商CSE注册的请求,以允许注册实体使用由注册商CSE提供的服务。
注册是这样的处理,即,通过该处理,如果注册的实体是AE,那么实体创建
注册是将AE或CSE信息传递到另一个CSE以便使用M2M服务的处理。ASN、MN或IN上的AE在本地向对应的CSE进行注册,以便使用由该CSE提供的M2M服务。ADN上的AE在MN或IN上向CSE进行注册,以便使用由该CSE提供的M2M服务。IN-AE在IN上向对应的CSE进行注册,以便使用由该IN CSE提供的M2M服务。AE可以与其注册商CSE(当它是目标CSE时)进行交互,而无需让注册商CSE向其它CSE注册。ASN上的CSE向MN中的CSE进行注册,以便能够使用由MN中的CSE提供的M2M服务。作为向MN-CSE成功注册ASN-CSE的结果,ASN和MN上的CSE建立允许它们交换信息的关系。
MN中的CSE执行向另一个MN的CSE的注册,以便能够使用由另一个MN中的CSE提供的M2M服务。作为向其它MN-CSE成功注册MN-CSE的结果,MN上的CSE建立允许它们交换信息的关系。ASN或MN上的CSE向IN中的CSE进行注册,以便能够使用由IN中的CSE提供的M2M服务。作为向IN-CSE成功注册ASN/MN的结果,ASN/MN和IN上的CSE建立允许它们交换信息的关系。
oneM2M平台假定IoT设备是智能设备。因此,作为注册处理的一部分,可以在oneM2M服务提供者平台中创建IoT设备的虚拟表示。
oneM2M没有这些IoT设备的用户或所有权的概念。但是,在现实生活场景中,用户或组织可能需要承担责任并控制这些设备。还可能存在其中设备由用户拥有或作为组织的财产,但被租借给另一个用户或组织的场景。在那些场景中,可以在服务层中引入用户或订户简档的概念。如本文所公开的,用户简档可以包含关于用户的账户信息。例如,它可以包含用户名称、用户ID、街道地址和拥有的设备。
在“3GPP TS 23.501,System Architecture for the 5G System;Stage 2,v1.2.0,版本15”中定义了5G移动核心网络架构。图7示出了控制平面内具有基于服务的接口的非漫游参考架构。图8描绘了非漫游情况下的5G系统架构,使用参考点表示来示出各种网络功能如何相互交互。
值得注意的是,移动性管理和会话管理功能是分开的。单个N1 NAS连接既用于注册管理又用于连接管理(RM/CM),并且用于UE的与SM相关的消息和过程。单个N1终结点位于AMF中。AMF将与SM相关的NAS信息转发到SMF。AMF处理与UE交换的NAS信令的注册管理和连接管理部分。SMF处理与UE交换的NAS信令的会话管理部分。
如3GPP TS 23.501中所描述的,5GC包括NWDA网络功能,该功能从第三方应用服务器和其它NF收集分析信息。NWDA还向其它NF和第三方应用服务器提供分析信息。第三方应用服务器和NF可以使用分析信息来优化网络配置、数据路径、通信策略等。
单个N1 NAS连接用于UE连接到的每个接入。单个N1终结点位于AMF中。单个N1 NAS连接既用于注册管理又用于连接管理(RM/CM),并且用于UE的与SM相关的消息和过程。N1上的NAS协议由NAS-MM和NAS-SM组件组成。图9示出了通过N1接口在UE与5G核心网络之间(例如,在UE与AMF之间)的通用协议栈。
网络切片是移动网络运营商可以用来在跨移动运营商网络的固定部分(回程和核心网络)的空中接口后面支持多个“虚拟”网络的机制(参见NGMN联盟,“Description ofNetwork Slicing Concept”)。这涉及将网络“切片”为多个虚拟网络,以支持跨单个RAN运行的不同RAN或不同服务类型。网络切片使运营商能够创建定制的网络,以针对需要多样化需求(例如,在功能、性能和隔离性方面)的不同市场场景提供优化的解决方案。
图10示出了网络切片的示例架构。网络切片实例由一组网络功能和运行这些网络功能的资源组成。不同的颜色用于指示不同的网络切片实例或子网切片实例。子网切片实例包括一组网络功能和运行这些网络功能的资源,但其本身并不是完整的逻辑网络。子网切片实例可以由多个网络切片实例共享。
3GPP 5G网络结合了网络切片技术。这项技术非常适合5G网络,因为5G用例(例如,大规模IoT、关键通信和增强的移动宽带)需求非常多样化,有时甚至是极端要求。当前的5G之前的架构利用相对单一的网络和传输框架来容纳各种服务,诸如来自智能电话、OTT内容、功能电话、数据卡和嵌入式M2M设备的移动流量。可以预期的是,当前的架构不够灵活且可扩展性不足,无法在更广泛的业务需求各自具有其自己的特定性能、可扩展性和可用性要求集合时高效地支持它们。此外,应使引入新的网络服务更加高效。尽管如此,预计在同一运营商网络中会同时有几个用例是活动的,因此需要5G网络具有高度的灵活性和可扩展性。
网络切片使运营商能够创建定制的网络,以针对需要多样化需求(例如,在功能、性能和隔离性方面)的不同市场场景提供优化的解决方案。但是,在未来的5G网络中支持网络切片存在一些挑战和问题。这些挑战和问题的一些示例包括但不限于以下方面:
如何实现网络切片实例之间的隔离/分离,以及可能需要哪种级别和类型的隔离/分离;
在网络切片实例之间可以如何使用以及使用哪种类型的资源和网络功能共享;
如何使UE能够同时从一个运营商的一个或多个特定网络切片实例获得服务;
关于网络切片(例如,网络切片创建/合成、修改、删除),在3GPP范围内是什么;
哪些网络功能可以被包括在特定网络切片实例中,以及哪些网络功能独立于网络切片;
用于为UE选择特定网络切片的(一个或多个)过程;
如何支持网络切片漫游场景;以及
如何使运营商能够使用网络切片概念来高效地支持需要相似网络特性的多个第三方(例如,企业、服务提供者、内容提供者等)。
上述的隐私策略管理(PPM)架构提供了一种方法,通过该方法,仅允许授权方能够访问订户/用户的个人可识别信息(PII)。这些授权策略是基于用户偏好和ASP的隐私策略构建的。本文公开了可以通过其选择性地匿名化用户数据的方法和系统。提出的技术涉及数据匿名化方法,诸如数据清理、缩写和替换。
每条数据都具有价值。当对一条数据进行匿名化时,数据的某个部分被隐藏或操纵,使得数据消费者不能看到或确定私有信息。匿名化数据会降低其价值,因为一部分信息丢失。但是,为了满足法律要求和/或使人们足够感到舒适来共享其数据,有时需要对数据进行匿名化。例如,如果市政机构将要经由开放的市场来收集数据并使数据可供数据消费者(例如,广告商)使用,那么将出现隐私问题。为了解决部署数据市场或平台的与隐私相关的法律和政治障碍,数据平台可能需要能够提供隐私即服务(privacy as a service)。至少,隐私服务可能需要能够基于用户策略和服务提供者策略提供一定程度的隐私。用户的策略可以基于与数据相关联的用户的个人偏好,并且服务提供者策略可以基于内部业务策略和服务提供者的法律要求。
本文参考机器学习和数据处理描述第一用例。将来,机器学习可以用于预测用户、设备和应用行为和兴趣。例如,服务层系统可能会收集关于用户、设备和应用行为的信息。该收集的信息可以被处理并用于生成可以用于预测未来行为和兴趣的算法。生成算法的这一步骤是不实时进行的后处理操作。
一旦已建立算法,就实时收集数据并将算法应用于数据,以便做出诸如如何分配网络资源以及向用户、设备和应用等发送哪些信息的决策。存储应用数据的服务层还可以负责在将数据提供给应用或应用机器学习算法的服务层之前将数据匿名化。
本文参考由市政机构的数据收集来描述第二用例。当市政机构收集数据并经由开放市场使数据可供数据消费者使用时,会出现隐私问题。考虑包含某人的所有垃圾收集记录(名称、地址、每次收集的容器数量和类型、每个容器的重量)的文件。该信息出于很多原因是有价值的;垃圾收集公司可以使用该信息来计划和管理其资产,并且它们可以将该信息用于营销目的(当试图获得新客户或保留客户时)。但是,当市政机构公开该数据时,可能会出现政治和/或法律问题。真实的或感知到的隐私顾虑可能会导致选民/公民向市政机构的决策者施加压力,以要求他们不要收集数据或将数据提供给消费者。
本文参考电力消耗数据来描述第三用例。考虑包含家庭用电量的所有详细信息(居民名称、居民年龄、家庭地址、所有消耗电力的电器/设备的列表、每个电器/设备消耗的电量、每个电器/设备的使用时间等)的文件。该信息出于很多原因是有价值的;能源供应商可以在营销活动中使用该信息来定位消费者。电器/设备制造商可以使用该信息来告诉消费者,通过切换到最新的、最节能的模型他们可以节省多少钱。能源分配公司可以将该信息用于基础设施规划目的。虽然文件可能包含有价值的信息,但文件可能包含不能被共享的信息。例如,文件可能包含指示家庭中存在医疗设备、何时使用该设备以及该设备消耗了多少能量的信息。共享此类医疗信息可能是非法的;因此,该文件将变得无用。
当今的服务层架构允许服务提供者配置谁被授权消费一条数据。但是,PPM架构无法对用户数据内的信息提供精细控制。特别地,它们不允许服务提供者配置系统,以使消费者可以访问数据的部分、数据的修改版本或数据的清理版本。因此,仅由于数据集的部分可能是私有的,就不允许数据消费者具有任何数据。此外,与给定的一条数据相关联的访问权限可能取决于数据主体。但是,当前的服务层架构不提供识别数据主体的机制。
例如,RESTful资源及其附加属性可能包含关于某人的用电量的信息。服务提供者无法配置系统,以使一些消费者可以阅读资源中的所有信息,而其它消费者只能阅读信息的一部分(例如,允许数据消费者阅读某人的用电量和一般位置,而不是该人的身份和具体位置)。服务层将必须被配置为知道何时将位置信息从具体位置(例如,房屋地址)修改为一般位置(例如,镇区)。可能还需要M2M/IoT服务提供者向数据消费者隐藏某些电器的名称。例如,不是向消费者显示某人的医疗装备使用了150kWh,而是需要对数据进行清理,以使看不到提及该医疗装备,并相应地消除所消耗的总电量。
公开了用于如何利用策略来配置服务层以确定何时限制对数据集的部分、修改后的数据集和/或已清理的数据集的访问的方法和系统。在这样做时,服务层可以允许用户/订户具有选择不被共享的数据的部分、完全共享用户数据或完全保留(保护)用户数据以免与第三方数据消费者共享的选项。这种选择可以被M2M/IoT服务提供者或应用服务提供者提供的服务质量或其它激励措施影响或预测。
IoT/M2M服务层架构从其提供的不同服务中收集数据。该数据可能在许多方面都是有价值的,因此,IoT/M2M服务提供者使用数据并与感兴趣的各方共享数据。但是,当共享数据时可能需要保护用户隐私。
公开了使IoT/M2M服务层具有保护用户隐私的能力的功能。该功能使IoT/M2M服务层可以使订户/用户数据匿名化,尤其是在与第三方消费者共享用户数据时。所提出的解决方案包括两个主要服务:隐私策略服务和数据匿名化服务。
隐私策略服务帮助IoT服务器系统基于诸如法律义务、订户隐私偏好和数据消费者的授权级别之类的输入来生成匿名化(隐私)策略。数据匿名化(隐私)策略是从隐私策略服务输出的。
数据匿名化策略和需要被匿名化的原始数据成为数据匿名化服务(DAS)的输入。然后基于数据匿名化策略对原始数据进行匿名化。因此,数据匿名化服务功能的输出是数据的私有化(匿名化)版本。
公开了一种用户简档,其捕获关于用户/订户的信息,使得它可以与存储在服务层上的数据相关联,并且用于生成关于应向数据消费者公开多多或多少数据的策略。还公开了如何创建和修改用户简档以及如何将其链接到存储在服务层中的其它信息。
这些前述的IoT/M2M服务层隐私服务能力可以被实现为现有隐私和安全功能中的附加特征,或者可以被实现为数据隐私的高级特征。
本文描述了可以在其它系统(例如,服务层系统)内或与其它系统一起部署的隐私服务。可以为隐私服务配置策略,以确定何时以及如何限制对数据集的部分的访问。例如,是否提供对修改的数据集和/或清理的数据集的访问。
在确定是否应该公开、不公开或匿名化一条数据时的关键考虑因素是基于哪个用户创建了数据或哪个用户拥有该条数据。例如,一个用户可能乐意将其所有数据公开给第三方,而另一个用户可能希望在将他的数据公开给第三方之前将其匿名化。注意的是,在选择隐私偏好时,选项可以包括供用户选择性地共享个人数据、完全共享数据或完全退出共享用户数据。该选择决定可以被M2M/IoT服务提供者和/或ASP提供的服务质量或其它激励措施预测或影响。为了确定当隐私服务处理数据时应该应用哪些策略,服务层和/或隐私服务可能需要能够识别与数据相关联的用户。
提出了独立于存储在服务层系统中的任何应用、服务层或设备注册来创建用户简档。本文公开了允许服务层系统将用户的简档与应用、服务层和/或设备链接的方法。例如,介绍了链接密钥的思想。链接密钥是可以与设备或用户相关联的密钥。当设备向服务层注册时,它们可以提供与用户相关联的链接密钥,以证明它们被允许与用户链接。服务层可以检查提供的链接密钥是否与存储在用户简档中的链接密钥匹配。类似地,当用户向服务层注册时,他们可以提供与设备相关联的链接密钥,以证明它们被允许与设备链接。服务层可以检查提供的链接密钥是否与设备简档中存储的链接密钥匹配。
图11示出了已经被增强以提供隐私即服务的示例IoT/M2M服务层系统。IoT/M2M服务层系统公开了可以用于创建用户简档的订户管理门户(SMP)。例如,用户(例如,用户1,…,用户N)可以经由这个门户连接到服务层并创建其简档。服务层平台还允许应用服务提供者(ASP)访问由诸如智能表之类的设备存储在服务层上的数据。服务层系统如何以及是否将数据提供给ASP取决于隐私策略以及隐私服务如何应用这些策略。
公开了用于创建用户简档的方法和系统。
M2M系统中的任何一条数据以及可以访问该数据的用户都可以由一组策略来管理。适用于给定一条数据的策略可以由数据应用于哪个订户、正在请求消费数据的用户以及服务层系统的策略来确定。服务层标准(例如,oneM2M)当前不提供识别订户的方法。订户是注册由M2M/IoT服务层提供的服务的用户。因此,用户可以被称为订户。
应该认识到的是,虽然本节描述了如何识别与一条数据相关联的订户或用户,但是相同的技术可以用于识别正在试图消耗一条数据的第三方消费者。用户的信息可以在IoT/M2M服务层平台中作为用户简档被捕获。用户简档可以具有诸如表2中所示的信息。
表2.用户简档
表3.用户隐私保护规则的字段
表3描绘了用户隐私保护规则的详细信息。IoT设备、应用和服务层实体也可以在服务层上存储关于自身的信息。当设备、应用或服务层向服务层注册时,该信息通常被提供给服务层。然后在正常操作过程期间对数据进行操纵。表4示出了可能包含在IoT设备、应用或服务层简档中的信息,这些信息可以用于帮助确定将哪些隐私策略应用于服务层请求。
表4.IoT设备、应用或服务层简档
当用户经由IoT服务层的订户管理门户向IoT服务层平台注册她自己时,可以创建诸如表2中所示的用户简档。该处理在图12中示出。图12的过程还示出了应用服务提供者(ASP)(例如,电力公司、广告公司等)如何可以进行订阅以当创建与某些标准(例如,位置、名称等)匹配的用户时被通知。然后,当创建匹配的用户时,IoT/M2M服务层系统可以向ASP发送通知。然后,ASP可以基于该通知采取某个动作,诸如读取与用户相关联的数据的请求。下面描述图12的示例详细信息:
在步骤1处,应用服务提供者(ASP)订阅IoT/M2M服务层的服务(例如,通知服务)。订阅请求可以指示ASP想要在发生以下事件中的任何事件时被通知:
特定用户创建简档;
特定用户简档被修改;
与特定设备、应用或服务层相关联的(一个或多个)用户改变;
用户简档被创建或修改,并且简档与特定设备、应用或服务层类型相关联;
与特定组相关联的用户简档被创建或修改;
匹配某些标准的用户简档被创建或修改。标准可以是用户与某个位置相关联。标准可以是用户简档中的某个参数,诸如表2中列出的任何参数,被分配给某个值或值的范围;和/或
用户简档是使用特定的链接密钥创建的。
在步骤2处,服务层将确认发送回ASP,从而确认订阅的创建。该消息指示订阅是否被创建。如果订阅未被成功创建,那么该消息可以指示失败的原因值。
在步骤3处,用户经由订户管理门户(SMP)在IoT服务层中创建其用户简档。可以使用RESTful协议访问订户管理门户。表2中列出了在用户简档创建期间配置并在消息中提供的项目。服务层还可以使用该消息的内容在其数据库中为新用户创建条目。此外,如果请求指示新用户简档应该与已向IoT服务器注册的(一个或多个)设备、(一个或多个)应用或(一个或多个)服务层相关联,那么IoT服务器可以更新(一个或多个)设备、(一个或多个)应用或(一个或多个)服务层的简档,以指示它们与用户链接。将用户简档链接到(一个或多个)设备、(一个或多个)应用或(一个或多个)服务层的这一处理将在下面进一步讨论。如果请求包括链接密钥,那么IoT服务器可以检查(一个或多个)设备、(一个或多个)应用或(一个或多个)服务层的(一个或多个)简档是否指示相同的链接密钥。
在步骤4处,当用户简档创建完成时,服务层将确认发送回订户管理门户,从而确认用户简档的创建或指示失败原因。
在步骤5处,基于在步骤3中配置的订阅,或在步骤3中更新的(一个或多个)设备、(一个或多个)应用或(一个或多个)服务层简档,服务层向ASP发送通知。
在步骤6处,在从IoT服务器接收到通知后,ASP通过将确认发送回IoT服务器来确认接收。
公开了通过其将设备、应用和/或服务层与用户简档链接的方法和系统。
链接用户简档可以导致:
用户简档记录或资源被更新以记录用户与链接的(一个或多个)设备、(一个或多个)应用和/或(一个或多个)服务层相关联的事实;
与链接的(一个或多个)设备、(一个或多个)应用和/或(一个或多个)服务层相关联的记录或(一个或多个)资源被更新以记录它们与用户相关联的事实;和/或
给感兴趣的各方的关于链接的触发器或通知被创建。
用户简档可以与设备、应用或服务层链接。在其中创建用户简档时,链接的设备、应用或服务层已向服务层注册的示例中,可能发生链接。
一旦创建了用户简档,用户就可以在创建用户简档时提供用户应链接到的(一个或多个)应用、(一个或多个)设备和/或(一个或多个)服务层的身份(例如,在图13的步骤2中)。
附加地或替代地,在创建用户简档之后,可以将SMP上的单独请求用作将用户简档链接到(一个或多个)应用、(一个或多个)设备和/或(一个或多个)服务层的请求。
在其中创建用户简档时,链接的设备、应用或服务层尚未向服务层注册的情况下,可能发生链接:
当设备、应用或服务层注册时,它可以指示它应该链接到哪个用户(图14的步骤1-3中示出了这样的示例);和/或
当设备、应用或服务层注册时,可以经由SMP将通知发送给用户,从而指示设备、应用或服务层已注册。服务层可以被编程为基于经由SMP从用户接收到的先前的订阅请求来发送该通知,先前的订阅请求指示用户想要在特定设备、特定应用、特定设备类型、应用类型或服务层类型注册时,或者在满足一些标准的设备、应用或服务层注册时被通知。图14中示出了这样的示例。
图13示出了示例方法,通过该方法,用户简档基于来自管理门户(SMP)的用户请求与注册的设备、应用或服务层链接。
在步骤1处,具有用户简档的用户发送请求,以经由SMP将其用户简档与现有的注册设备、应用或服务层实体链接。该消息可以包括设备、应用或服务层实体的身份、用户简档身份和相关联的链接密钥。
在步骤2处,IoT/M2M服务层接收请求并处理请求。处理请求可以包括检查步骤1中提供的链接密钥是否与用户想要链接到的设备、应用或服务层的简档中的链接密钥匹配。这可能导致填充或更新链接的设备、应用或服务层的记录或资源表示以及用户的记录或资源表示以指示链接或关联。因此,这时表4中的信息可以与表2链接在一起。
在步骤3处,可以经由SMP将关于处理完成和请求结果的通知发送给用户。该通知可以指示用户的请求是否成功,并且如果成功,那么关于链接的设备、应用或服务层实体的信息也可以作为通知的一部分被发送。
图14示出了当设备、应用或服务层向IoT服务器注册时如何将用户简档与设备、应用或服务层链接的示例流程图:
在步骤1处,设备、应用或服务层将注册请求发送到IoT服务器,其包括期望设备、应用或服务层链接的(一个或多个)用户。该请求可以包括链接密钥。
在步骤2处,在接收到请求后,IoT服务层平台向IoT服务器注册请求设备、应用或服务层,此外,将请求中指示的(一个或多个)用户的(一个或多个)用户简档与请求的和注册的设备应用或服务层链接。IoT服务器还检查步骤1中提供的链接密钥是否与请求者想要链接到的用户记录中的链接密钥匹配。这可能导致填充或更新记录、链接的设备、应用或服务层和记录的资源表示和/或用户的资源表示,以指示链接或关联。
在步骤3处,将关于注册所指示的(一个或多个)用户和与所指示的(一个或多个)用户的链接处理的成功或失败的确认发送回设备、应用或服务层。
在步骤4处,IoT服务器向SMP发送关于由设备、应用或服务层做出的链接请求的通知。该通知可以被转发给用户。
在步骤5处,基于接收到的通知的类型,(一个或多个)用户可以接受或授权IoT服务器。附加地或替代地,(一个或多个)用户可以发送请求以将其简档与请求设备、应用或服务层链接。
在步骤6处,在用户同意后,M2M/IoT服务层平台完成(一个或多个)用户简档与请求设备、应用或服务层的链接处理。这可能导致填充或更新(一个或多个)用户的记录或资源表示以指示链接或关联。例如,表4可以与表2链接在一起。
在步骤7处,IoT服务器将关于已请求的(一个或多个)用户与设备、应用或服务层之间的链接完成的确认发送回请求设备、应用或服务层。
在步骤8处,IoT服务层经由SMP向(一个或多个)用户发送关于所请求的(一个或多个)用户的(一个或多个)用户简档与请求设备、应用或服务之间的链接完成的通知。
应该理解的是,设备、应用或服务层可以与多个用户简档链接。
公开了一种隐私策略服务(PPS),该隐私策略服务可以用于检索可以用于确定在将数据提供给数据消费者之前应如何使数据匿名化的策略。例如,如果ASP请求读取存储在IoT服务器上的资源,那么IoT服务器可以从PPS检索策略。该策略可以基于请求者的身份、与所请求的数据相关联的用户和/或本地策略。
PPS的输入和输出分别在表5和表6中示出。注意的是,可以基于与数据或所请求的数据的类型相关联的用户来检索策略。
表5.PPS输入
表6.PPS输出
基于接收到的输入,PPS可以建立可以用于确定在将数据提供给数据消费者(ASP)之前应如何修改数据的策略。该策略可以基于以下因素:
用户/订户偏好:用户偏好有助于用户决定隐藏或不隐藏他们可能认为私有的用户数据的部分。用户还可以指示他们可能不想拥有数据的目标消费者类型。即使数据可能被第三方消费,用户也可以控制他们可能不想共享的个人信息。可以将这些偏好(在表5中描述)与创建策略的请求一起提供给PPS。
本地管理机构施加的法律:现有的本地管理机构策略可能会施加一些规则,这些规则可能会强迫或允许用户共享特定信息。例如,本地法律可能不允许IoT服务提供者在未经用户同意或基于目标消费者(例如,医疗保健部门)的情况下共享或交易用户数据。可能需要共享人的年龄、身高和以前的医疗状况。PPS可以从本地策略中获得这些偏好;和/或
数据消费者偏好:与隐私策略不同,这可以被视为管理策略。可以允许数据消费者在用户的简档或设备、应用或SL实体的简档以及原始数据上选择精度级别。该偏好度量在基于支付的价格来决定可以将哪些数据传递给数据消费者的决策中可能是重要的。这些偏好可以由PPS经由预先供给获得,或者可以被实现为本地策略。
上面的因素可能具有与其相关联的某种优先级。例如,由本地管理机构实施的某些法律可能优先于用户/订户偏好,并且某些用户/订户偏好可能优先于数据消费者偏好。优先级可以基于本地配置。
策略可以指示是否应该对该数据进行别名化、清理、掩蔽等,如下面更详细描述的。此外,策略可以指示如果满足某些条件,那么仅应对数据进行匿名化或以不同方式进行匿名化。例如,如果一些数据是在设备位于某个位置时生成的,那么这些数据可能仅需要进行别名化。
公开了一种数据匿名化服务,其可以接收策略和一组数据(或指向策略和数据的指针)作为其输入,并产生匿名化数据集和/或指向匿名化数据集的指针。表7和表8中分别示出了数据匿名化服务的示例输入和输出。
表7.数据匿名化服务输入
表8.数据匿名化服务输出
可以使用一种或多种匿名化技术的组合来匿名化用户数据。用于匿名化用户数据的示例技术可以包括以下一项或多项:
(1)清理的数据:用户的个人数据的部分可以被隐藏/掩蔽以保护其隐私。例如,一个家庭的电费账单可能包含用户的姓名、带有门牌号的街道地址、该单元中居住的成员数量、设备的数量、设备的类型、设备的名称/品牌等。个人信息的一些明确部分可以被清理/掩蔽。
(2)修改的数据:
(a)缩写:诸如名称之类的一些数据可以用其首字母表示。例如,Robin Sharma可以被缩写为RS。
(b)替换:将名称附加到数据增加了数据的价值。但是,名称可以用随机数或字母或其它通用名称进行替换。例如,Robin Sharma可以用DHMCQSXLKZS替换。其它替换方案可以使用别名或缩写,例如,Robin Sharma可以被缩写为RS或使用James S.Camron别名化。
(c)混排:类似于替换,但是在数据之间具有记录。这可能仅在大数据集中有效。例如,即使数据被混合在一起,通过邮政编码收集的用电量数据也可能是有价值的,因为该数据仍可以揭示关于该邮政编码的用电量的宏观视图。
(d)加密:加密可以帮助保护数据的机密性。只有具有正确密钥的相关方才能查看数据。当通过电线传输数据或使用秘密密钥将数据的一些部分提供给特定人员使用的场景时,这可能是重要的。例如,如果使用两个不同的密钥对文件中的数据的两个部分进行加密,并且将密钥提供给组织中的专门人员(根据排名),那么不同的文件接收方可以查看文件内的不同数据集。
本文公开了数据匿名化过程。图15示出了策略创建和数据匿名化处理的示例图形表示。数据匿名化策略可以基于三个主要组成部分:由管理机构定义的数据策略/法律、订户/用户的匿名化偏好和数据消费者需求。隐私策略服务(PPS)基于这些要求产生可适用的隐私策略。然后,数据匿名化服务(DAS)可以使用策略以及需要匿名化的原始数据和与特定数据请求相关的匿名化参数。数据匿名化服务可以计算数据的匿名化(私有化)形式作为其输出。匿名化服务可以使用诸如k-匿名化的技术来对数据进行匿名化。匿名化参数,诸如K,可以由PPS生成、放置在策略中,并作为策略的一部分提供给DAS。在其它示例中,DAS可以执行诸如同态加密或差异隐私之类的操作。配置这些匿名化/加密技术的参数可以由PPS生成、放置在策略中,并作为策略的一部分提供给DAS。
可以描述数据匿名化过程的两个变体。
第一变体可以更适合于PPS和DAS都集中化的部署(例如,在IoT服务器中)。原始数据主机也可以是IoT服务器或分布式IoT节点,诸如网关。在这个替代方案中,PPS不仅提供匿名化策略,而且还提供每个请求的匿名化参数,这些参数与原始数据一起提供给DAS。
第二变体可以更适合于其中PPS集中化,但DAS服务以分布式方式提供的部署,尤其当DAS服务与原始数据主机位于同一位置时。在这种替代方案中,PPS仅提供策略,并且匿名化参数可以由DAS基于策略和原始数据请求产生。
图16示出了根据第一变体的用于数据匿名化过程的示例方法的流程图。
在步骤1处,ASP将对用户数据的请求发送到IoT服务层平台。该请求可以包含ASP的凭据和属性。例如,ASP的AE应用可以发送具有诸如用户类别=财务、日期范围=2016年5月1日至2017年4月30日、位置=邮政编码19126等属性的请求。请求还可以包含用户凭据,诸如由用户的名和姓组成的用户ID。
替代地,ASP可以是被授权从IoT服务器的存储中删除数据的一方。例如,请求可以指示与特定用户或用户的组、类别等相关联的所有数据都应该被删除。请求还可以限定在特定日期范围或位置内生成的所有数据都应该被删除。
在步骤2处,IoT服务器解释来自ASP的请求,并向隐私服务发送对可以应用于由ASP请求的数据的适当隐私策略的查询。
在步骤3处,隐私策略服务(PPS)基于ASP的凭据和属性,针对用户数据偏好和用户所在位置的隐私法律检索适当的数据库。基于检索到的信息,可以制定适用于请求的用户数据的唯一隐私策略。例如,用户偏好可以包括:缩写>用户ID并且清理>街道名称并且清理>SSN并且加密>出生日期等。这里,“>”指示命令或指令。在一个示例中,ASP可以多次发送相同的请求。过去构建的策略可以存储在M2M/IoT服务层中,以后可以重用。
在步骤4处,PPS制定匿名化策略并将其发送回IoT服务器。
在步骤5处,IoT服务器将请求的用户原始数据和可适用的策略发送到数据匿名化服务(DAS)。例如,完整的策略可以如下:
策略1:强制执行>用户偏好并且强制执行>用户同意共享数据
策略2:缩写>用户ID并且清理>街道名称并且清理>SSN并且加密>出生日期。
替代地,策略可以向DAS指示是否应对数据执行某些操作(例如,删除、修改、擦除等)。
在步骤6处,数据匿名化服务接收原始数据和可适用的策略作为其输入。数据可以基于策略被匿名化。因此,产生满足所有要求的匿名化数据版本。例如,“用户ID”的匿名化版本;“Sam Adams”可以是“用户ID”:“SA”(缩写),“地址”:“Philadelphia,PA”,“SSN”:“”,“出生日期”:“Nv/gQsVqxRa460ib1RYgRfw==IwEmS”。
在步骤7处,将匿名化版本的数据发送回IoT服务器。
替代地,如果在步骤5中提供的策略指示应该删除数据,那么该消息可以指示删除是否成功。
在步骤8处,所请求的数据的匿名化版本被传递回请求ASP。注意的是,回复可以包含数据已匿名化的指示。此外,回复可以指示对数据应用了哪些匿名化技术。ASP可以用完全访问数据集的请求跟进该回复。
替代地,如果在步骤1中提供的策略指示应该删除数据,那么该消息可以指示删除是否成功。
IoT服务器可以创建谁请求了数据、请求了什么数据、提供了什么数据、如何使数据匿名化、删除了什么数据等的记录(例如,收费数据记录)。
注意的是,匿名化策略也可以基于价格/成本因素,该价格/成本因素允许IoT服务层平台具有用于不同价格/匿名性的各种数据。但是,可能需要强制执行现有政府政策/法律中规定的最低级别的匿名性。
为了简化计算和管理目的,还可以实现各种排名或等级的匿名化。可以基于价格和匿名性偏好来对这些等级的匿名化进行建模。
图17示出了根据第二变体的用于使用集中式PPS和分布式DAS服务来执行数据匿名化的示例方法的流程图。图17描绘了示例处理,通过该处理,可向服务层提供关于隐私策略的信息,其可以预配置DAS服务,并且当ASP请求用户数据时,服务层可以使用隐私服务以匿名化数据进行响应。这些步骤可以描述如下:
在步骤1处,服务层(原始数据的主机)初始化其数据访问。当其它SL向其注册(例如,对于网关或服务器)时、当各个资源第一次被创建时等,这可以作为某些过程的一部分来执行,诸如其自身(SL)注册到另一个SL(例如,对于设备或网关)。此时,正在设置所讨论的原始数据的访问控制策略。同样在此时,原始数据可以与SL中的一个或多个用户简档相关联。
在步骤2处,SL联系PPS以获取可以应用于托管数据的隐私策略。该步骤可以附加地或替代地基于其它触发器来执行,诸如当通知SL新策略已变得可用时、在接收到相关数据的新策略之后、定期更新策略等。SL也可以在请求中提供相关联的元数据,诸如关于资源的用途、资源创建者等的关键字。
在步骤3处,隐私策略服务(PPS)基于请求参数、用户偏好和默认值创建可适用的策略。政府策略和数据消费者的偏好可以被实现为默认值。附加地或替代地,该策略可以指示选择(例如,根据数据消费者类型的区分)。PPS可以利用请求中提供的用户偏好,或者可以基于其它请求参数发现用户偏好。例如,对与由医疗应用为用户X创建的一条信息相关联的策略的请求可以触发集中式PPS检查它是否已经具有与X和医疗数据相关联的用户偏好,即使它们没有被SL提供。策略可以包括要执行的匿名化的类型、算法类型、强度等。策略还可以指定应该在何处以及如何存储匿名化数据和去匿名化参数。
在步骤4处,PPS制定匿名化策略,然后将其发送给SL。注意的是,相同的策略可以按例如数据消费者类型、位置、时间等为请求提供差异化处理。PPS还可以提供匿名化参数,诸如要使用的算法(例如,Mondrian k-匿名性,k的值)。附加地或替代地,DDS可以从PPS提供的策略中导出该信息。
在步骤5处,SL可以(可选地)为给定策略执行DAS服务的预先配置。这可能涉及初始化要使用的算法、向提供保管库服务或匿名化数据存储的实体进行注册等。将响应返回给SL。
在步骤6处,ASP(或发起者)请求访问托管在SL处的受隐私保护的数据。
在步骤7处,SL将请求的原始数据和可适用的策略发送到数据匿名化器功能。如果PPS提供的匿名化参数和DAS尚未被预先配置,那么该信息也可以在此时提供。
在步骤8处,数据匿名化功能接收原始数据和可适用的策略作为其输入。基于可适用的策略,生成匿名化参数(如果未由PPS提供)。例如,可以为策略中包括的每种数据消费者类型计算不同的散列强度。注意的是,如果使用了预配置选项,那么可以由DAS计算一些匿名化参数(例如,在步骤5b中)。基于数据请求(原始数据本身)、匿名化策略和匿名化参数,对原始数据进行匿名化。因此,产生满足所有要求的匿名化版本的数据。如果策略请求去匿名化数据,那么该去匿名化数据也可以由DAS产生并根据策略进行存储。
在步骤9处,将响应发送到SL。响应可以包括匿名化数据(例如,如果其由策略指定)。否则,响应可以仅包括匿名化数据的位置。注意的是,策略可能指定是否应提供去匿名化信息以及如何存储它。如果SL在本地存储去匿名化信息,那么它可以能够基于具有在范围内的原始数据的匿名数据(例如,别名)对可能仅在原始数据中可用的信息执行查询。替代地,可以从DDS接收去匿名化信息,并将其存储在外部保管库中。在接收到响应后,SL可以执行其它动作,诸如删除原始数据、将其替换为匿名化数据等。
在步骤10处,将所请求的数据(或其位置)的匿名化版本传递回请求ASP。回复可以包括数据已经被匿名化的指示以及关于所应用的匿名化技术的信息。ASP可以用完全访问数据集的请求跟进该回复。
下面描述在oneM2M实施例中实现本文描述的数据匿名化服务的示例。
结合图11所描述的过程可以适于oneM2M系统。例如,IoT服务器可以是IN-CSE,并且SMP可以是专门的AE,其允许用户发出创建和修改用户简档的请求。SMP到IoT服务器的接口可以是Mca接口。此外,ASP可以通过Mca参考点与IN-CSE和AE接口。
当创建用户简档时,结果可以是
表9
表10
下表中指示了
表11
本文描述了示例处理,通过该处理,用户简档可以与设备、应用或服务层链接。上面描述了用户简档可以与设备、应用或服务层链接的两种方式:基于SMP请求的简档链接和设备、应用或服务层注册时的简档链接。通过将表4中所示的参数作为属性添加到
同时,
(1)基于SMP请求的简档链接:如本文所讨论的,SMP可以是专用AE。因此,AE可以请求或指示
(2)在设备、应用或服务层注册时的简档链接:当服务层向IoT服务器注册时,oneM2M CSE可以支持将用户简档与设备、应用或服务层链接的处理。当AE或CSE向CSE注册时,它可以在它创建其
图18示出了
隐私策略服务(PPS)是帮助基于上述输入来构建数据隐私策略的服务。在oneM2M服务层中,该服务可以被表示为单独的oneM2M CSF或可以充当补充功能的策略检索点(PRP)。PRP在TS-0003的第11节中定义。PRP(或带有PPS的oneM2M CSF)的输出是隐私策略,其可以是资源树中的
上面描述了数据匿名化服务(DAS),其负责获取原始用户数据并强制执行从PPS(PRP)获得的数据匿名化策略。在oneM2M中,DAS可以是单独的oneM2M CSF,其用作充当补充功能的策略执行点(PEP)。这也可以充当策略决策点(PDP)(PDP和PEP在TS-0003的第11节中定义),因为可以做出关于是否可以强制执行策略的决定。PPS(PRP)的输出
表7中描述了DAS的输入。在DAS中做出强制执行通过用户数据从PRP输出的策略的决定。然后可以例如通过将策略应用到接收到的用户数据中来强制执行策略。因此,从DAS(PEP)的输出是用户数据的匿名化版本。用户数据可以由oneM2M中的
图19示出了用户在oneM2M服务层中经由SMP创建用户简档所涉及的步骤。
在步骤1处,ASP的AE可以从oneM2M服务提供者订阅不同的服务。例如,订阅可以包括通知服务、设备发现服务或隐私策略管理服务。
在步骤2处,确认确认AE可能已订阅的任何订阅。
在步骤3处,用户可以经由称为订户管理门户(SMP)的接口访问oneM2M系统中的CSE,该接口是oneM2M服务层中的专用AE。为了创建用户简档,用户可以在请求中发送其凭据。用户凭据可以包括用户的给定名称和唯一标识,诸如SSN或驾驶员执照号码以及其它信息。这些信息可以被表示为要创建的用户简档资源的子资源和属性。
在步骤4处,oneM2M服务层创建
替代示例可以包括使用
在步骤5处,oneM2M服务层的CSE经由AE(SMP)将确认发送回用户,从而通知
在步骤6处,oneM2M服务层的CSE还将关于
在步骤7处,AE(ASP)将指示接收到
一旦创建了用户简档,下一步就是将其与适当的
在步骤1处,用户经由AE(SMP)请求将其由具有
在步骤2处,oneM2M/IoT服务层接收请求并处理请求。这可能导致服务层CSE用分别表示链接的设备、应用或服务层实体的linkedNode,linkedAE或linkedCSE属性更新
替代示例可以包括与
在步骤3处,oneM2M/IoT服务层经由AE向用户发送回通知,指示用户与设备、应用或服务层绑定处理的完成。
用户简档与设备、应用或服务层链接的第二种方法是基于来自设备、应用或服务层的注册请求,该注册请求包括需要与之链接的(一个或多个)用户。图21描述了oneM2M系统中的节点、AE或CSE如何可以做出该请求。
在步骤1处,节点、AE或CSE将注册请求发送到IoT服务器,该注册请求包括期望节点、AE或CSE与其链接的(一个或多个)用户。请求可以包括链接密钥。
在步骤2处,oneM2M服务层注册请求节点、AE或CSE。另外,请求中指示的(一个或多个)用户的(一个或多个)用户简档可以与请求并注册的节点、AE或CSE链接。oneM2M服务层还检查步骤1中提供的链接密钥是否与请求者想要链接到的用户的记录中的链接密钥匹配。这可能导致填充或更新链接的节点、AE或CSE的记录或资源表示以及用户的记录或资源表示以指示链接或关联。在图18中,用户的链接的用户简档被描绘为
在步骤3处,将关于与所指示的(一个或多个)用户的注册和链接处理的成功或失败的确认发送回请求节点、AE或CSE。
在步骤4处,oneM2M服务层经由AE(表示SMP)发送关于由节点、AE或CSE做出的链接请求的通知。通知可以被转发给用户。
在步骤5处,(一个或多个)用户可以接受或授权oneM2M服务层,或者可以发送将用户简档与请求节点、AE或CSE链接的请求。
在步骤6处,在用户同意后,oneM2M系统完成(一个或多个)用户简档与请求节点、AE或CSE的链接处理。这可能导致填充或更新(一个或多个)用户的记录或资源表示以指示链接或关联。
在步骤7处,oneM2M服务层向请求者节点、AE或CSE发送回关于(一个或多个)用户与节点、AE或CSE之间的链接完成的确认。
在步骤8处,oneM2M服务层经由AE向(一个或多个)用户发送回关于(一个或多个)用户的(一个或多个)用户简档和请求节点、AE或CSE之间的链接完成的通知。
如上所述,数据匿名化中涉及的处理包括关于处理中涉及的实体如何与oneM2M域中的实体相关的描述。图15描述了在利用PPS和DAS提供用户数据的私有化(匿名化)版本时在处理第三方向IoT服务器的数据请求时所涉及的该方法的示例调用流程。可以在oneM2M系统中采用该过程。任何应用服务提供者(ASP)都可以是允许第三方实体发送对用户数据的请求的AE。数据消息的请求可以是经由Mca接口发送的RESTful RETRIEVE操作。IoT服务器可以是IN-CSE、MN-CSE或ASN-CSE,具体取决于系统服务器所在的位置或实现的性质。如本文所述,隐私策略服务(PPS)可以充当oneM2M CSF或PRP。数据匿名化服务(DAS)可以是oneM2M系统中的oneM2M CSF或PEP/PDP。
图22描绘了oneM2M/IoT系统中的数据匿名化过程的调用流程图。该图假定已创建
在步骤1处,表示ASP的AE可以经由Mca接口将RESTful读取请求发送到oneM2M系统。当oneM2M系统接收到请求时,识别对用户数据的请求。数据请求可以包括请求方的偏好,该偏好可以基于数据类别、日期范围、位置等。
在步骤2处,当oneM2M系统识别来自AE的请求时,CSE要求可适用于从AE接收到的请求的数据匿名化策略。
在步骤3处,在从CSE接收到请求后,充当PRP的PPS从其相应的数据库中检索政府法律要求/策略、用户偏好和数据消费者偏好。这些要求可能位于单独的数据库中,或者可以位于单个数据库中。基于这些要求,PPS制定可适用于数据匿名化的策略。
在步骤4处,PPS将制定的匿名化策略转发给CSE。
在步骤5处,CSE将用户数据和策略提供给数据匿名化服务(DAS)。
在步骤6处,DAS充当oneM2M系统中的PEP/PDP。匿名化策略被应用于原始用户数据。因此,产生了用户数据的匿名化/私有化版本。
在步骤7处,DAS将数据的匿名化版本转发回CSE。
在步骤8处,CSE经由RESTful通信将用户数据的匿名化版本发送到其请求AE。注意的是,回复可以包含数据已被匿名化的指示。此外,回复可以指示对数据应用了哪些匿名化技术。AE可以用完全访问数据集的请求跟进该回复。
在一个示例中,PPS和DAS可以部署在网络边缘,例如在网关(或在oneM2M示例中为MN-CSE)中。当考虑其中房主在其整个家庭中部署了许多IoT设备/传感器并且设备将数据存储在也部署在其家庭中的网关上的场景时,这是有用的。
在网络边缘部署场景中,GW所有者可以为GW配置与应该如何匿名化数据以及哪些数据可能开放给感兴趣的第三方相关的策略。
此外,GW可以配置有别名策略,该别名策略可以用于向在家里可以找到的各种用户、设备和数据集提供一致的别名。在数据消费者每周一次读取关于设备的数据的场景中,一致的别名是重要的。每次消费者获得数据时,消费者可能需要将其读数与一周前获得的读数进行关联。这种类型的部署可以使用上面结合分布式数据匿名化服务描述的过程流程。
在示例oneM2M实施例中,用户可以具有在他的家中向网关注册的若干个设备(例如,智能手表、健康监视设备、智能应用)。设备可以是ADN-AE,并且网关可以是MN-CSE。ADN-AE可以向MN-CSE注册。MN-CSE(网关)可以向oneM2M服务提供者拥有的IN-CSE注册。
IN-CSE可以连接到允许在其资源树中创建用户简档的IN-AE。IN-AE可以用于创建新的用户简档。创建新的用户简档可能需要创建
AND-AE之一可以是追踪所有者心律和锻炼活动的智能手表。这些值可以存储在网关上并通知IN-CSE。
第三方IN-AE之一可以是健康监视应用,该应用允许智能手表的所有者查看其活动摘要。如图16所示,该IN-AE可以请求读取数据,其中IN-AE是ASP。IN-CSE可以是IoT服务器,并且隐私策略服务和数据匿名化服务可以是CSF的服务。在步骤2中,当IN-CSE调用隐私策略服务时,
第三方IN-AE中的另一个可以是健康保险应用,该应用能够查看所有者的锻炼活动,使得他可以获得其保费折扣。但是,所有者可能希望阻止或限制健康保险公司查看其活动的更多详细信息(例如,心率)。如图16所示,该IN-AE可以请求读取数据,其中IN-AE是ASP。IN-CSE可以是IoT服务器,并且隐私策略服务和数据匿名化服务可以是CSF的服务。在步骤2中,当IN-CSE调用隐私策略服务时,
图23示出了图11中所示示例的特定于oneM2M/IoT的实现。图23示出了PPS和DDS可以驻留在基础设施节点或中间节点服务层处。几个ASP可以将其各自的应用表示为经由Mca连接到IN-CSE或MN-CSE的AE。设备(例如,智能表)可以充当AE或CSE,并且可以分别经由Mca或Mcc连接到IN-CSE或MN-CSE。用户可以使用示为AE的应用通过称为“订户管理门户”的特殊应用经由Mca连接到IN-CSE或MS-CSE。在这种实现中,PPS和DAS可以作为oneM2M/IoT公共服务功能存在。
在示例3GPP实施例中,在3GPP 5G核心网络中,NWDA网络功能可以收集关于网络的性能、特定网络切片、特定网络功能、特定用户、特定设备和/或特定订户(也是用户、订户和设备类型)的数据。该数据可以经由与AF的直接接口开放给第三方应用功能(AF)。附加地或替代地,AF可以经由NEF做出其请求。
如上所述,开放给第三方AF的数据可能需要匿名化。隐私策略服务和数据匿名化服务可以部署为3GPP 5G核心网络中的虚拟化网络功能,并在数据开放给第三方应用功能之前用于协助清理数据。
隐私策略服务可以被部署为新的独立NF或者PPS功能可以与现有NF集成在一起,诸如NWDA、PCF或NEF。PPS可以存储与应如何使数据匿名化UDR相关的策略。为了正确制定策略,PPS可以从UDR获得网络、用户、订户和第三方应用的偏好。当PPS访问UDR时,它可以是直接访问或经由UDM。
数据匿名化服务(DAS)可以被部署为新的独立NF或者PPS功能可以与现有NF集成在一起,诸如NWDA,PCF或NEF。为了适当地匿名化数据,DAS可以从PPS或UDR获得隐私策略。附加地或替代地,它们可以在数据匿名化请求中被提供给DAS。当PPS访问UDR时,它可以是直接访问或经由UDM。注意的是,PPS和DAS功能可以集成在单个NF中。示例详细信息如图24所示并在下面进行描述:
在步骤1处,第三方应用功能通过调用读取数据服务向NWDA发送对一组数据的请求。请求可以通过直接寻址NWDA来进行,或者它可以经由NEF来进行。至少,该请求指示AF正在请求什么数据集。这可以通过指示数据集标识符来完成。请求还可以指示AF期望与用户、订户、设备或网络的个体或组相关的数据。请求还可以包括可以由网络核实/授权以检查AF是否被授权获得所请求的数据的授权密钥。
在步骤2处,NEF将数据请求转发给NWDA和AF标识符。NEF可以首先通过查询UDM/UDRM来授权来自AF的请求,以检查AF是否被授权消费数据。UDM/UDR查询还可以核实所提供的授权密钥是否正确。
在步骤3处,NWDA可以向PPS提供关于请求了什么数据集、谁正在请求数据(AF标识符)以及与数据相关联的(一个或多个)用户、(一个或多个)订户和(一个或多个)设备的指示。PPS可以获得与与数据相关联的(一个或多个)用户、(一个或多个)订户和(一个或多个)设备相关的策略或偏好。例如,PPS可以从UDM/UDR获得这样的策略和偏好。然后,PPS可以制定描述应如何匿名化所请求的内容的策略。
在步骤4处,PPS使用本文所述的策略回复NWDA。策略可以包括能够访问该数据集并且能够对该数据集应用策略的DAS的身份。注意的是,PPS可能已经将策略存储在诸如UDR的存储功能中,在这种情况下,PPS可以简单地向NWDA提供指向该策略的标识符或指针。
在步骤5处,NWDA向DAS发送请求以请求将数据匿名化。该请求可以包括数据和策略或指向该数据和策略的指针。
在步骤6中,DAS可以如本文所述将策略应用于数据集,并将匿名化数据提供给NWDA。如果上一步的请求包含指向数据和/或策略的指针,那么DAS可能需要在将策略应用到数据之前从适当的存储功能检索数据和/或策略。
在步骤7处,NWDA用所请求的数据集(其已被匿名化)回复AF。该回复可以经由NEF被路由到AF。
在步骤8处,NEF回复AF。
从AF到NEF的请求还可以指示AF希望某些设备、订户或用户将元数据插入到其向网络的业务中,使得诸如AMF、SMF和UPF之类的NF可以收集元数据并将其转发到NWDA。NEF可以将这样的请求转发给PCF。PCF然后可以向UE发送指示UE应当向网络发送元数据的更新后的USRP。一旦来自UE的分析数据被存储在NWDA中,就可以在将数据转发到第三方应用服务器之前,使用图24的过程来使数据匿名化。
服务层实体可以被配置为从应用服务提供者接收访问与服务层实体的特定用户相关联的数据的请求、基于该访问数据的请求确定一个或多个隐私策略与特定用户相关联、检索一个或多个隐私策略、基于一个或多个隐私策略生成防止应用服务提供者确定特定用户的一个或多个识别特性的匿名化数据集,并将该匿名化数据集发送给应用服务提供者。
生成匿名化数据集可以包括移除数据的至少一部分和修改数据的至少一部分中的一个或多个。修改数据的至少一部分可以包括缩写数据的至少一部分、替换数据的至少一部分、混排数据的至少一部分以及加密数据的至少一部分中的一个或多个。一个或多个隐私策略可以包括与特定用户相关联的一个或多个用户策略、一个或多个应用服务提供者策略,以及一个或多个法律策略。访问与特定用户相关联的数据的请求可以包括与应用服务提供者相关联的一个或多个特性。发送匿名化数据集可以包括向应用服务提供者发送数据已经被匿名化的指示和用于使数据匿名化的匿名化技术的指示中的至少一个。服务层实体还可以被配置为至少基于与应用服务提供者相关联的一个或多个特性来选择与特定用户相关联的多个隐私策略中的一个或多个。
服务层实体可以被配置为初始化一个或多个数据访问参数、从隐私策略服务中检索一个或多个隐私策略、在服务层实体处存储一个或多个隐私策略、从应用服务提供者接收访问服务层实体处存储的数据的至少一部分的请求、确定存储的隐私策略中的一个或多个可适用于数据的该部分、基于一个或多个隐私策略将数据的该部分匿名化以便防止应用服务提供者确定与数据的该部分相关联的特定用户的一个或多个识别特性,以及将匿名化数据发送给应用服务提供者。
匿名化数据可以包括移除数据的至少一部分和修改数据的至少一部分中的一个或多个。修改数据的至少一部分可以包括缩写数据的至少一部分、替换数据的至少一部分、混排数据的至少一部分以及加密数据的至少一部分中的一个或多个。一个或多个隐私策略可以包括与特定用户相关联的一个或多个用户策略、一个或多个应用服务提供者策略,以及一个或多个法律策略。一个或多个访问参数可以被初始化为服务层注册过程的一部分。访问数据的该部分的请求可以包括与应用服务提供者相关联的一个或多个特性。发送匿名化数据可以包括向应用服务提供者发送数据已经被匿名化的指示和用于使数据匿名化的匿名化技术的指示中的至少一个。服务层实体还可以被配置为至少基于与应用服务提供者相关联的一个或多个特性来选择存储在服务层实体处的给定隐私策略之一。
服务层实体可以被配置为:从设备接收包括将设备与一个或多个用户简档链接的指示的链接请求、将设备注册到服务层实体、基于链接请求向订户管理门户发送通知、从订户管理门户接收与用户简档中的一个或多个用户简档相关联的用户已接受链接请求的指示,以及在服务层实体处链接设备和一个或多个用户简档。
链接请求可以包括密钥。服务层实体可以被配置为确定从设备接收到的链接密钥与与用户简档相关联的链接密钥匹配。服务层实体可以被配置为向设备或订户管理门户中的至少一个发送设备和一个或多个用户简档已经被链接的指示。设备可以是用户设备、应用或另一个服务层实体中的一个。
执行图5、6、9-17和19-24中所示的步骤的任何实体(诸如服务层、服务层设备、服务层应用、应用实体等)可以是逻辑实体,该逻辑实体可以以存储在被配置用于无线和/或网络通信的装置或诸如图25C或图25D中所示的那些计算机系统的存储器中并在其处理器上执行的软件(即,计算机可执行指令)的形式来实现。即,图5、6、9-17和19-24所示的(一个或多个)方法可以以存储在装置(诸如图25C或图25D中所示的装置或计算机系统)的存储器中的软件(即,计算机可执行指令)的形式来实现,其中计算机可执行指令在由装置的处理器执行时执行图5、6、9-17和19-24中所示的步骤。还应该理解的是,图5、6、9-17和19-24中所示的任何传输和接收步骤可以在装置的处理器及其执行的计算机可执行指令(例如,软件)的控制下由装置/实体的通信电路系统来执行。
图25A是其中可以实现一个或多个公开的实施例的示例机器对机器(M2M)、物联网(IoT)或物联网(WoT)通信系统10的图。一般而言,M2M技术为IoT/WoT提供构建块,并且任何M2M设备、M2M网关、M2M服务器或M2M服务平台都可以是IoT/WoT的组件或装置以及IoT/WoT服务层等。图1-24中任何一个中所示的任何实体都可以包括通信系统的网络装置,诸如图25A-25D中所示的那些。
服务层可以是网络服务体系架构内的功能层。服务层通常位于应用协议层(诸如HTTP、CoAP或MQTT)之上,并为客户端应用提供增值服务。服务层还提供到位于较低资源层(诸如例如控制层和运输/接入层)的核心网络的接口。服务层支持多种类别的(服务)能力或功能,包括服务定义、服务运行时启用、策略管理、访问控制和服务聚类。最近,若干行业标准组织(例如,oneM2M)一直在开发M2M服务层,以解决与M2M类型的设备和应用集成到诸如互联网/web、蜂窝、企业和家庭网络的部署中相关联的挑战。M2M服务层可以为应用和/或各种设备提供对由服务层支持的上面提到的能力或功能集合的访问,服务层可以被称为CSE或SCL。一些示例包括但不限于安全性、收费、数据管理、设备管理、发现、供给以及连接性管理,这些可以被各种应用共同使用。这些能力或功能经由使用由M2M服务层定义的消息格式、资源结构和资源表示的API使这些各种应用可用。CSE或SCL是可以由硬件或软件实现的功能实体,并且提供开放于各种应用或设备的(服务)能力或功能(即,这些功能实体之间的功能接口),以便它们使用这样的能力或功能。
如图25A中所示,M2M/IoT/WoT通信系统10包括通信网络12。通信网络12可以是固定网络(例如,以太网、光纤、ISDN、PLC等)或无线网络(例如,WLAN、蜂窝等)或者异构网络的网络。例如,通信网络12可以由向多个用户提供诸如语音、数据、视频、消息传递、广播等内容的多个接入网络组成。例如,通信网络12可以采用一种或多种信道接入方法,诸如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交FDMA(OFDMA)、单载波FDMA(SC-FDMA)等。另外,例如,通信网络12可以包括其它网络,诸如核心网络、互联网、传感器网络、工业控制网络、个人区域网络、融合个人网络、卫星网络、家庭网络或企业网络。
如图25A中所示,M2M/IoT/WoT通信系统10可以包括基础设施域和现场域。基础设施域是指端到端M2M部署的网络侧,并且现场域是指通常在M2M网关后面的区域网络。现场域和基础设施域都可以包括网络的各种不同网络装置(例如,服务器、网关、设备等)。例如,现场域可以包括M2M网关14和设备18。将认识到的是,根据期望,任何数量的M2M网关设备14和M2M设备18可以包括在M2M/IoT/WoT通信系统10中。M2M网关设备14和M2M设备18中的每一个被配置为使用通信电路系统经由通信网络12或直接无线电链路传输和接收信号。
M2M网关14允许无线M2M设备(例如,蜂窝和非蜂窝)以及固定网络M2M设备(例如,PLC)或者通过诸如通信网络12之类的运营商网络或者通过直接无线电链路进行通信。例如,M2M设备18可以经由通信网络12或直接无线电链路从M2M应用20或其它M2M设备18收集数据并向M2M应用20或其它M2M设备18发送数据。M2M设备18还可以从M2M应用20或M2M设备18接收数据。另外,数据和信号可以经由M2M服务层22被发送到M2M应用20和从M2M应用20接收,如下所述。M2M设备18和网关14可以经由各种网络进行通信,包括蜂窝、WLAN、WPAN(例如,Zigbee、6LoWPAN、蓝牙)、直接无线电链路和有线线路。示例M2M设备包括但不限于平板电脑、智能电话、医疗设备、温度和天气监视器、联网汽车、智能仪表、游戏控制台、个人数字助理、健康和健身监视器、灯、恒温器、电器、车库门以及其它基于致动器的设备、安全设备和智能插座。
参考图25B,现场域中所示的M2M服务层22为M2M应用20、M2M网关14和M2M设备18以及通信网络12提供服务。将理解的是,M2M服务层22可以根据期望与任何数量的M2M应用、M2M网关14、M2M设备18和通信网络12通信。M2M服务层22可以由网络的一个或多个网络装置实现,这些节点可以包括服务器、计算机、设备等。M2M服务层22提供适用于M2M设备18、M2M网关14和M2M应用20的服务能力。M2M服务层22的功能可以以各种方式实现,例如作为web服务器、在蜂窝核心网中、在云中等等。
类似于所示的M2M服务层22,在基础设施域中存在M2M服务层22'。M2M服务层22'为基础设施域中的M2M应用20'和底层通信网络12提供服务。M2M服务层22'还为现场域中的M2M网关14和M2M设备18提供服务。将理解的是,M2M服务层22'可以与任何数量的M2M应用、M2M网关和M2M设备通信。M2M服务层22'可以由不同的服务提供者与服务层交互。M2M服务层22'可以由网络的一个或多个网络装置实现,这些节点可以包括服务器、计算机、设备、虚拟机(例如,云计算/存储场等)等。
还参考图25B,M2M服务层22和22'提供不同应用和垂直领域可以充分利用的核心服务交付能力集。这些服务功能使M2M应用20和20'能够与设备交互并执行诸如数据收集、数据分析、设备管理、安全性、计费、服务/设备发现等功能。基本上,这些服务能力免除了应用实现这些功能的负担,从而简化了应用开发并减少了成本和上市时间。服务层22和22'还使M2M应用20和20'能够通过各种网络(诸如网络12)与服务层22和22'提供的服务相关联地进行通信。
M2M应用20和20'可以包括各种行业中的应用,诸如但不限于运输、健康和保健、联网家庭、能源管理、资产跟踪以及安全性和监控。如上面所提到的,在系统的设备、网关、服务器和其它网络装置之间运行的M2M服务层支持诸如例如数据收集、设备管理、安全性、计费、位置跟踪/地理围栏、设备/服务发现以及遗留系统集成之类的功能,并将这些功能作为服务提供给M2M应用20和20'。
一般而言,诸如图25B中所示的服务层22和22'之类的服务层定义软件中间件层,该软件中间件层通过应用编程接口(API)和底层联网接口的集合来支持增值服务能力。ETSI M2M和oneM2M体系架构都定义了服务层。ETSI M2M的服务层被称为服务能力层(SCL)。SCL可以在ETSI M2M体系架构的各种不同节点中实现。例如,服务层的实例可以在M2M设备中实现(其中它被称为设备SCL(DSCL))、在网关中实现(其中它被称为网关SCL(GSCL))和/或在网络节点中实现(其中它被称为网络SCL(NSCL))。oneM2M服务层支持公共服务功能(CSF)的集合(即,服务功能)。一个或多个特定类型的CSF的集合的实例化被称为公共服务实体(CSE),其可以托管在不同类型的网络节点(例如,基础设施节点、中间节点、特定于应用的节点)上。第三代合作伙伴计划(3GPP)还已经定义了用于机器类型通信(MTC)的体系架构。在那种体系架构中,服务层及其提供的服务功能是作为服务能力服务器(SCS)的一部分实现的。无论是在ETSI M2M体系架构的DSCL、GSCL或NSCL中实施,在3GPP MTC体系架构的服务能力服务器(SCS)中实施,在oneM2M体系架构的CSF或CSE中实施,还是在网络的某个其它节点中实施,服务层的实例都可以被实现为或者在网络中的一个或多个独立节点(包括服务器、计算机以及其它计算设备或节点)上执行的逻辑实体(例如,软件、计算机可执行指令等),或者被实现为一个或多个现有节点的一部分。作为示例,服务层或其组件的实例可以以在具有下述图25C或图25D中所示的一般体系架构的网络装置(例如,服务器、计算机、网关、设备等)上运行的软件的形式实现。
另外,本文描述的方法和功能可以被实现为使用面向服务的体系架构(SOA)和/或面向资源的体系架构(ROA)来访问服务的M2M网络的一部分。
从部署的角度来看,服务层可以部署在包括服务器、网关和设备的各种类型的网络节点上,如本文各个图中所示。实现服务层功能或以其它方式并入服务层的实例的通信网络的任何此类节点、服务器、网关、设备、装置或其它逻辑实体在本文中可以被称为服务层实体。
图25C是网络的装置的示例硬件/软件体系架构的框图,其中装置诸如图1-24中所示的实体之一,其可以作为M2M网络中的M2M服务器、网关、设备或其它网络装置操作,诸如图25A和25B中所示的。如图25D中所示,网络装置30可以包括处理器32、不可移动存储器44、可移动存储器46、扬声器/麦克风38、键盘40、显示器、触摸板和/或指示器42、电源48、全球定位系统(GPS)芯片组50和其它外围设备52。网络装置30还可以包括通信电路系统,诸如收发器34和传输/接收元件36。将认识到的是,网络装置30可以包括前述元件的任意子组合,同时保持与实施例一致。该网络装置可以是实现本文描述的用于数据匿名化的方法(诸如关于图5、6、9-17和19-24示出和描述的操作)的装置。
处理器32可以是通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP内核相关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任何其它类型的集成电路(IC)、状态机等。一般而言,处理器32可以执行存储在网络装置的存储器(例如,存储器44和/或存储器46)中的计算机可执行指令,以便执行网络装置的各种所需功能。例如,处理器32可以执行信号编码、数据处理、功率控制、输入/输出处理和/或使网络装置30能够在无线或有线环境中操作的任何其它功能。处理器32可以运行应用层程序(例如,浏览器)和/或无线电接入层(RAN)程序和/或其它通信程序。例如,处理器32还可以执行安全操作,诸如认证、安全密钥协商和/或加密操作,诸如在接入层和/或应用层。
如图25C中所示,处理器32耦合到其通信电路系统(例如,收发器34和传输/接收元件36)。通过执行计算机可执行指令,处理器32可以控制通信电路系统,以便使网络装置30经由与其连接的网络与其它网络装置通信。特别地,处理器32可以控制通信电路系统,以便执行本文(例如,在图5、6、9-17和19-24中)和权利要求中描述的传输和接收步骤。虽然图25C将处理器32和收发器34描绘为分开的组件,但是将认识到的是,处理器32和收发器34可以一起集成在电子包装或芯片中。
传输/接收元件36可以被配置为向其它网络装置传输信号或从其它网络装置接收信号,包括M2M服务器、网关、设备等。例如,在实施例中,传输/接收元件36可以是被配置为传输和/或接收RF信号的天线。传输/接收元件36可以支持各种网络和空中接口,诸如WLAN、WPAN、蜂窝等。在实施例中,传输/接收元件36可以是被配置为例如传输和/或接收IR、UV或可见光信号的发射器/检测器。在又一个实施例中,传输/接收元件36可以被配置为传输和接收RF和光信号两者。将认识到的是,传输/接收元件36可以被配置为传输和/或接收无线或有线信号的任意组合。
此外,虽然传输/接收元件36在图25C中被描绘为单个元件,但是网络装置30可以包括任何数量的传输/接收元件36。更具体而言,网络装置30可以采用MIMO技术。因此,在实施例中,网络装置30可以包括用于传输和接收无线信号的两个或更多个传输/接收元件36(例如,多个天线)。
收发器34可以被配置为调制将由传输/接收元件36传输的信号并且解调由传输/接收元件36接收的信号。如上所述,网络装置30可以具有多模式能力。因此,例如,收发器34可以包括多个收发器,用于使网络装置30能够经由多个RAT(诸如UTRA和IEEE 802.11)进行通信。
处理器32可以从任何类型的合适存储器(诸如不可移动存储器44和/或可移动存储器46)访问信息,并将数据存储在其中。例如,处理器32可以在其存储器中存储会话上下文,如上所述。不可移动存储器44可以包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘,或任何其它类型的存储器存储设备。可移动存储器46可以包括订户身份模块(SIM)卡、记忆棒、安全数字(SD)存储卡等。在其它实施例中,处理器32可以从物理地位于网络装置30上(诸如在服务器或家用计算机上)的存储器访问信息,并将数据存储在其中。处理器32可以被配置为控制显示器或指示器42上的照明图案、图像或颜色以反映装置的状态或配置装置,特别是底层网络、应用或与网络装置通信的其它服务。在一个实施例中,显示器/指示器42可以呈现图形用户界面。
处理器32可以从电源48接收电力,并且可以被配置为向网络装置30中的其它组件分配电力和/或控制给其的电力。电源48可以是用于为网络装置30供电的任何合适的设备。例如,电源48可以包括一个或多个干电池(例如,镍镉(NiCd)、镍-锌(NiZn)、镍金属氢化物(NiMH)、锂离子(Li离子)等)、太阳能电池、燃料电池等。
处理器32还可以耦合到GPS芯片组50,GPS芯片组50被配置为提供关于网络装置30的当前位置的位置信息(例如,经度和纬度)。将认识到的是,网络装置30可以通过任何合适的位置确定方法获取位置信息,同时保持与实施例一致。
处理器32还可以耦合到其它外围设备52,外围设备52可以包括提供附加特征、功能和/或有线或无线连接性的一个或多个软件和/或硬件模块。例如,外围设备52可以包括各种传感器,诸如加速度计、生物测定(例如,指纹)传感器、电子罗盘、卫星收发器、传感器、数码相机(用于照片或视频)、通用串行总线(USB)端口或其它互连接口、振动设备、电视收发器、免提耳机、蓝牙
网络装置30可以在其它装置或设备中实施,诸如传感器、消费电子产品、可穿戴设备(诸如智能手表或智能服装)、医疗或电子卫生设备、机器人、工业装备、无人机、车辆(诸如小汽车、卡车、火车或飞机)。网络装置30可以经由一个或多个互连接口(诸如可以包括外围设备52之一的互连接口)连接到这种装置或设备的其它组件、模块或系统。
图25C是示例计算系统90的框图,该计算机系统90还可以用于实现网络的一个或多个网络装置,诸如图1-24中所示并在本文描述的实体,其可以作为M2M网络中的M2M服务器、网关、设备或其它网络装置操作,诸如图25A和25B所示。
计算系统90可以包括计算机或服务器,并且可以主要由计算机可读指令控制,计算机可读指令可以是软件的形式,无论在何处,或者通过任何方式存储或访问这样的软件。这种计算机可读指令可以在诸如中央处理单元(CPU)91之类的处理器内执行,以使计算系统90工作。在许多已知的工作站、服务器和个人计算机中,中央处理单元91由称为微处理器的单芯片CPU实现。在其它机器中,中央处理单元91可以包括多个处理器。协处理器81是与主CPU 91不同的可选处理器,其执行附加功能或辅助CPU 91。CPU 91和/或协处理器81可以接收、生成和处理与所公开的系统和方法相关的数据。
在操作中,CPU 91取出、解码并执行指令,并经由计算机的主数据传输路径,系统总线80,向其它资源传送信息和从其它资源传送信息。这种系统总线连接计算系统90中的组件并定义用于数据交换的介质。系统总线80通常包括用于发送数据的数据线、用于发送地址的地址线,以及用于发送中断和用于操作系统总线的控制线。这种系统总线80的示例是PCI(外围组件互连)总线。
耦合到系统总线80的存储器包括随机存取存储器(RAM)82和只读存储器(ROM)93。这种存储器包括允许存储和检索信息的电路系统。ROM 93一般包含不能被容易地修改的存储数据。存储在RAM 82中的数据可以由CPU 91或其它硬件设备读取或改变。对RAM 82和/或ROM 93的访问可以由存储器控制器92控制。存储器控制器92可以提供地址翻译功能,该地址翻译功能在执行指令时将虚拟地址翻译成物理地址。存储器控制器92还可以提供存储器保护功能,该存储器保护功能隔离系统内的进程并将系统进程与用户进程隔离。因此,以第一模式运行的程序只可以访问由其自己的进程虚拟地址空间映射的存储器;除非已设置进程之间的存储器共享,否则它无法访问另一个进程的虚拟地址空间内的存储器。
此外,计算系统90可以包含外围设备控制器83,其负责将来自CPU 91的指令传送到外围设备,诸如打印机94、键盘84、鼠标95和磁盘驱动器85。
由显示器控制器96控制的显示器86用于显示由计算系统90生成的视觉输出。这种视觉输出可以包括文本、图形、动画图形和视频。显示器86可以用基于CRT的视频显示器、基于LCD的平板显示器、基于气体等离子体的平板显示器或触摸面板来实现。显示器控制器96包括生成发送到显示器86的视频信号所需的电子组件。结合由CPU 91执行的计算机可执行指令,显示器86可以生成并操作图25D中所示并描述的图形用户界面及其随附的描述。
另外,计算系统90可以包含通信电路系统,诸如例如网络适配器97,其可以用于将计算系统90连接到外部通信网络,诸如图25A-25D的网络12,以使计算系统90能够与网络的其它装置通信。单独或与CPU 91组合的通信电路系统可以用于执行本文(例如,在图5、6、9-17和19-24中)和权利要求中描述的传输和接收步骤。
应该理解的是,本文描述的任何或所有系统、方法和处理都可以以存储在计算机可读存储介质上的计算机可执行指令(即,程序代码)的形式实施,所述指令在由机器(诸如M2M网络的装置,包括例如M2M服务器、网关、设备等)执行时执行和/或实现本文描述的系统、方法和处理。具体而言,上述任何步骤、操作或功能可以以这种计算机可执行指令的形式实现。计算机可读存储介质包括以用于存储信息的任何非瞬态(即,有形或物理)方法或技术实现的易失性和非易失性、可移动和不可移动介质,但是这种计算机可读存储介质不包括信号。计算机可读存储介质包括但不限于RAM、ROM、EEPROM、闪存或其它存储器技术,CD-ROM、数字通用盘(DVD)或其它光盘存储装置,磁带盒、磁带、磁盘存储装置或其它磁存储设备,或者可以用于存储期望信息并且可由计算机访问的任何其它有形或物理介质。
表12示出了可能在以上描述中出现的与服务层技术相关的首字母缩略词的列表。除非另有说明,否则本文中使用的首字母缩写词是指下面列出的对应术语:
表12.首字母缩写词
以下是在整个详细描述中使用的术语的描述和示例定义:
数据集的一部分:房屋地址可以被更改为仅显示镇区名称。门牌号没有被提供或用虚拟值代替。
缩写的数据集:人的名字被更改为首字母缩写词、缩写、缩短的形式等。
清理的数据集:从数据集中移除数据和/或更改数据,使得移除重要数据。
替换的数据集:人的名字可以用随机数、通用名、别名、缩写等替换。注意的是,与“替换”和“别名”相关的术语在本文档中可互换使用。
混排的数据集:类似于替换,但是其中在固定域(例如,邮政编码)内的数据之间的数据记录被彼此随机交换。混排的数据集是一种修改后的数据。例如,邮政编码19128的居民(家庭)之间的平均耗水量数据可以混排,但是可能获得一些有意义的统计数据,诸如耗水量中位数和平均值,而不会侵犯用户隐私。
加密的数据集:可以用密钥对人的数据进行加密。只有具有该密钥的应用服务提供者才可以能够解密数据。
数据主体:一条数据所属的实体。例如,病历的数据主体是患者。
用户:自然人或人类。
网络功能(NF):网络中具有定义的功能行为和接口的处理功能。NF既可以被实现为专用硬件上的网络元件,也可以被实现为在专用硬件上运行的软件实例,或者被实现为在适当的平台上(例如,在云基础设施上)实例化的虚拟化功能。
数据匿名化和清理技术的示例包括但不限于混排、过滤、掩蔽和别名化。过滤的示例是移除数据。掩蔽的示例是移除数据集的一部分(例如,将6789 3rd Ave.掩蔽为XXXX3rd Ave.)。别名化的示例是将名称重新分配给实体(例如,用户Bob被更改为User-A,设备门锁被更改为device-1)。
本书面描述使用示例来公开本发明,包括最佳模式,并且还使本领域技术人员能够实践本发明,包括制造和使用任何设备或系统以及执行任何结合的方法。本发明的可专利范围由权利要求限定,并且可以包括本领域技术人员想到的其它示例。如果这些其它示例具有与权利要求的字面语言没有不同的元件,或者如果它们包括与权利要求的字面语言无实质差别的等效元件,那么这些其它示例意图在权利要求的范围内。
- 用于服务订户的隐私的数据匿名化
- 一种基于聚类匿名化与差分隐私保护的数据处理方法及系统