发行隐私.pdf

将可能敏感的信息与隐私期望一起发送。一种方法可以例如在计算环境中实施。该方法包括发送可能敏感的信息。还发送指定该可能敏感的信息应被如何保护的隐私期望信息。该信息和隐私期望信息可以包括在发放的令牌中，以便该隐私期望稍后在令牌交换中传送。

1.  一种在计算环境中发送可能敏感的信息的方法，所述方法包括：
发送可能敏感的信息(202)；以及
发送指定所述可能敏感的信息应被如何保护的隐私期望信息(204)。

2.  如权利要求1所述的方法，其特征在于，所述方法是在令牌请求过程中实施的。

3.  如权利要求2所述的方法，其特征在于，还包括接收包括所述隐私期望信息的令牌。

4.  如权利要求3所述的方法，其特征在于，所述令牌是用于标识身份的身份令牌。

5.  如权利要求3所述的方法，其特征在于，所述令牌是允许实体访问服务的功能的授权令牌。

6.  如权利要求3所述的方法，其特征在于，所述令牌包括实体专用信息的指示，在使用所述令牌时所述实体专用信息应被回送以供请求者验证。

7.  如权利要求1所述的方法，其特征在于，所述方法是在应用程序消息交换中实施的。

8.  如权利要求1所述的方法，其特征在于，所述隐私期望信息包括指定所述可能敏感的信息要被如何使用的一个或多个使用限制。

9.  如权利要求1所述的方法，其特征在于，所述隐私期望信息包括指定发送可能敏感的信息的目的的目的信息。

10.  如权利要求1所述的方法，其特征在于，所述隐私期望信息包括指定可以与谁共享所述可能敏感的信息的机密性信息。

11.  一种在计算环境中接收可能敏感的信息的方法，所述方法包括：
接收可能敏感的信息(302)；以及
接收指定所述可能敏感的信息应被如何保护的隐私期望信息(304)。

12.  如权利要求11所述的方法，其特征在于，所述方法是在令牌请求过程中实施的。

13.  如权利要求12所述的方法，其特征在于，还包括发送包括所述隐私期望信息的令牌。

14.  如权利要求13所述的方法，其特征在于，所述令牌包括实体专用信息的指示，在使用所述令牌时所述实体专用信息应被回送以供请求者验证。

15.  如权利要求11所述的方法，其特征在于，所述方法是在应用程序消息交换中实施的。

16.  如权利要求11所述的方法，其特征在于，所述隐私期望信息包括指定所述可能敏感的信息要被如何使用的一个或多个使用限制。

17.  如权利要求11所述的方法，其特征在于，所述隐私期望信息包括指定发送可能敏感的信息的目的的目的信息。

18.  如权利要求11所述的方法，其特征在于，所述隐私期望信息包括指定可以与谁共享所述可能敏感的信息的机密性信息。

19.  如权利要求11所述的方法，其特征在于，还包括发送指定所述隐私期望信息是否可被履行或所述隐私期望信息是否可被部分履行的指示。

20.  一种计算机可读介质，所述介质上存储有数据结构，所述数据结构被嵌入在安全令牌(110)中，其中所述数据结构包括：
第一字段，其中所述第一字段包括可能敏感的信息(106)；以及
第二字段，其中所述第二字段包括指定所述可能敏感的信息应被如何保护的隐私期望信息(108)。

发行隐私
背景
背景和相关技术
计算机和计算系统已经影响了现代生活的几乎每个方面。计算机通常在工作、消遣、保健、交通、娱乐、家务管理等中都有所涉及。计算机的功能也已通过其经由各种网络连接来互连的能力来增强。
现代计算机通常包括用于连接到其它计算机的功能。例如，现代家庭计算机可以包括调制解调器，其用于到因特网服务提供方服务器、电子邮件服务器、直接到其它计算机等的拨号连接。另外，几乎所有家庭计算机都配备诸如符合IEE 802.3标准的RJ-45以太网端口等网络接口端口。该网络端口以及诸如各种无线和硬连线连接等其它连接可被用于互连计算机。
通常，在客户机与服务通信时，该服务具有该客户机必须接受或该客户机在选择与该服务通信的情况下自然接受的公布的隐私策略。例如，该服务可以具有关于从该客户机发送的数据将被用于什么、从该客户机发送的数据将与谁共享等的某些策略。这些隐私策略通常是公布的，以便客户机可以选择是否接受给定的策略。然而，在客户机不能协商策略反而受约束于所公布的策略方面，这些策略在其应用中有些严格。
另外，服务可以改变其策略。尽管一般有在策略改变时的通知要求，但却难以精确评估改变了什么和隐私被如何影响。此外，在策略频繁改变时这变得很耗时。重新评估隐私策略可能需要大量决策制定资源来确定经修改的策略是否是可接受的。
在此要求保护的主题不限于解决任何缺点或仅在诸如上述环境中操作的各个实施例。相反，提供该背景仅用以示出在其中可实践在此描述的部分实施例的一个示例性技术领域。

简要概述
此处示出的一个实施例包括发送可能敏感的信息的方法。该方法可以例如在计算环境中实施。该方法包括发送可能敏感的信息。还发送指定该可能敏感的信息应被如何保护的隐私期望信息。
在从计算环境中的接收系统的观点来看的另一实施例中，示出了接收可能敏感的信息的方法。该方法包括接收可能敏感的信息。还接收指定该可能敏感的信息应被如何保护的隐私期望信息。
一个实施例作为计算机可读介质来包括，该介质上存储有数据结构。该数据结构嵌入在安全令牌中。该数据结构包括第一字段，其中该第一字段包括可能敏感的信息。该数据结构还包括第二字段，其中该第二字段包括指定该可能敏感的信息应被如何保护的隐私期望信息。
提供本概述以便以简化的形式介绍将在以下详细描述中进一步描述的一些概念。该概述不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。
另外的特征和优点将在以下的描述中阐述，并且部分可从该描述中显而易见，或者可以从此处的教示实践中习得。本发明的特征和优点可以通过在所附权利要求中特别指出的手段和组合来认识并获取。本发明的特征将从以下描述和所附权利要求书中变得完全显而易见，或者可通过如下所述对本发明的实践而获知。

附图简述
为了描述能够获得上述和其它优点和特征的方式，将通过参考附图中示出的各具体实施例来呈现对以上简述的主题的更为具体的描述。可以理解，这些附图仅描述各典型实施例，从而不被认为是对其范围的限制，将通过使用附图用附加特征和细节来描述和说明各实施例，附图中：
图1示出在其中发送信息和对该信息的隐私期望的环境；
图2示出发送信息与隐私期望的方法；以及
图3示出接收信息与隐私期望的方法。
详细描述
此处的各实施例可以包括含有各种计算机硬件的专用或通用计算机，这将在以下做出更详细的讨论。
此处示出的一个实施例提供用于允许客户机指示该客户机可接受的隐私策略的功能。隐私策略可以在逐情况的基础上通过将隐私期望连同对其应用该隐私期望的信息一起发送来指示。该信息和该隐私期望的接收者可被配置为履行隐私期望。另选地，接收者可以指示该隐私期望不能被履行。在另一实施例中，在接收者被配置为履行隐私期望的意义上，该接收者将履行该隐私期望。在又一实施例中，隐私期望可以由接收者嵌入在令牌中并发放回客户机，以便该隐私期望可被包括在与其它服务的认证活动中。
值得注意的是，某些服务可以具有防止它们履行某些隐私期望的合法限制。国内和国际法可以要求存储和/或与特定实体共享特定信息。银行业具有可以防止特定数据处理的众所周知的报告和数据收集要求。如此，如前所述，这些组织可以只履行他们能够的范围内的隐私期望，或根本不履行。
现在对图1进行参考，其示出一个示例性实施例。图1示出客户机102。图1还示出服务104。服务104可以包括客户机102期望访问的功能。在一实施例中，服务104可以包括用于向客户机102发放安全和/或标识令牌的令牌发放者服务。
客户机102向服务104发送信息106。在一实施例中，该信息可以是敏感的和/或个人信息。例如，该信息可以是个人信息或个人标识信息，如名字、地址、电话号码、年龄、性别等等。尽管此处示出了信息的某些示例，但该枚举不应被认为是对可以在此处所描述的各实施例中表达的信息或信息类型的限制。
图1示出客户机102还随信息106一起发送隐私期望108。隐私期望108指定信息106应被如何保护。例如，隐私期望可以包括指定该信息被如何使用的一个或多个使用限制。例如，使用限制可以指定该信息要用于认证目的、用于信息目的、和/或与特定事务相关的特定目的或用于与特定应用程序一起使用。
另选地，隐私期望可以包括指定发送可能敏感的信息的目的的目的信息。
在另一替换实施例中，隐私期望可以包括指定该可能敏感的信息可以与谁共享的机密性信息。例如，在一实施例中，隐私期望可以指定该信息不应被共享。在其它实施例中，隐私期望可以指定该信息只应与给定一组伙伴共享。在又一实施例中，隐私期望可以指定该信息只应与接收该信息的实体的伙伴共享。
值得注意的是，尽管各实施例可被描述为替换实施例，但应当理解，各实施例可以包括超过一个替换或一起包括不同的替换。
各实施例可以在各种环境中实现。例如，在一实施例中，信息106和隐私期望108可以在应用程序消息交换中执行。其它实施例可以在令牌请求或授权交换中实现。
再次参考图1，可以实现在其中包括隐私期望108的令牌110被返回给客户机102的实施例。具体地，信息106可以在令牌请求过程中传递。包括信息106和隐私期望信息108的令牌可以被返回给客户机102。该令牌随后可以客户机102可以与其它服务进行的其它事务中使用，以便其它服务随后知道对信息106的隐私期望108。可以实现在其中令牌是用于标识实体的身份令牌的实施例。另选地，令牌可以是允许实体访问服务的功能的授权令牌。
在一实施例中，令牌110可以包括实体专用信息的指示，在使用该令牌时该信息应被回送以供请求者验证。值得注意的是，实体专用信息可以是对于多个不同实体的任一个的。例如，该信息可以应用于计算机系统处的用户。在另一实施例中，该实体可以应用于该计算机系统本身。此外，实体可以是组织、个人、计算机系统、其它系统等的一个。此处对实体的具体枚举不应被认为是对可以实现的实施例中使用的实体的限制。
现在参考图2，示出了示例性方法200。方法200可以在计算环境中实施，并包括用于发送可能敏感的信息的各个动作。例如，图2示出发送可能敏感的信息(动作202)。如图1所示，信息106可以由客户机102发送到服务104。如前所述，该信息可以是敏感的信息。例如，在一实施例中，该信息可以是实体专用信息。例如，该信息可以是名字、地址、电话号码、年龄等等。其它示例可以包括诸如IP地址、MAC地址、序列号、或实际上任何其它信息等实体标识符。
图2还示出发送指定该可能敏感的信息应被如何保护的隐私期望信息的动作(动作204)。如前所述，该隐私期望信息可以包括例如一个或多个使用限制。在另一实施例中，该隐私期望可以包括指定发送该可能敏感的信息的目的的目的信息。在又一实施例中，该隐私期望信息可以包括指定该可能敏感的信息可以与谁共享的机密性信息。
如前所述，方法200可以在多个实施例中实施。例如，方法200可以在令牌请求过程中实施。在一实施例中，在方法200在令牌请求过程中实施时，该方法还可以包括接收包括该隐私期望信息的令牌。这种令牌可以是例如用于标识实体的身份令牌，和/或允许该实体访问服务的功能的授权令牌。另外，在一实施例中，该令牌可以包括实体专用信息的指示，在使用该令牌时该信息应被回送以供请求者验证。
尽管此处示出了其中在令牌请求过程中使用了方法的示例，但也可以使用其它环境。例如，方法200可以在不包括令牌请求过程的简单应用程序消息交换中实施。
现在参考图3，示出了另一实施例。图3示出可以在计算环境中实施的方法300。方法300示出了从接收隐私期望和信息的服务的观点来看的方法。说明性地，方法300包括接收可能敏感的信息(动作302)。如此处先前所述，信息106可以由服务104接收，如图1所示。该信息可以是可能敏感的信息，如身份专用信息、个人信息、个人标识信息或其它敏感的信息。
图3示出的方法300还包括接收指定该可能敏感的信息应被如何保护的隐私期望信息的动作(动作304)。例如，如图1所示，隐私期望108在服务104处与信息106一起接收。如先前描述的各实施例所示，隐私期望可以包括例如，指定该可能敏感的信息要被如何使用的一个或多个使用限制、指定发送可能敏感的信息的目的的目的信息、和/或指定该可能敏感的信息可以与谁共享的机密性信息。
另外，如此处先前所述，信息106和隐私期望108可以由服务104用来向客户机102提供令牌110。令牌110可以包括嵌入在令牌110中的隐私期望。这允许客户机102在其它认证过程或服务请求过程中用令牌110传递隐私期望。
在一实施例中，服务104可以咨询服务策略信息来确定服务104是否能够履行所有的隐私期望108。如果服务104能够履行隐私期望108，则服务104可以通知客户机102隐私期望108将被履行。在某些实施例中，服务104可能不能够履行隐私期望108。该服务可以向客户机102响应隐私期望不能够被履行。客户机102随后可以或者向服务104指示该事务应被完成而不管隐私期望108不能够被履行，或者另选地，客户机102可以指示该事务应被取消且先前发送到服务104的所有信息106应被丢弃。在某些实施例中，服务104可能能够履行某些隐私期望108而不能够履行一个或其它隐私期望。服务104可以如此向客户机102指示。客户机102随后可以确定是否继续进行给定事务。
各实施例还可包括用于承载或其上储存有计算机可执行指令或数据结构的计算机可读介质。这样的计算机可读介质可以是可由通用或专用计算机访问的任何可用介质。作为示例而非限制，这样的计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或可用于承载或存储计算机可执行指令或数据结构形式的所需程序代码装置且可由通用或专用计算机访问的任何其它介质。这种计算机可以包括但不限于，台式计算机、膝上型计算机、服务器系统、个人数字助理、智能电话、嵌入式系统等等。当信息通过网络或另一通信连接(硬连线、无线或硬连线或无线的组合)传输或提供给计算机时，该计算机将该连接完全视为计算机可读介质。因此，任何这样的连接被适当地称为计算机可读介质。以上的组合也应包括在计算机可读介质的范围之内。
计算机可执行指令包括例如，使通用计算机、专用计算机、或专用处理设备执行某一功能或某组功能的指令和数据。尽管用对结构特征和/或方法动作专用的语言描述了本主题，但可以理解，所附权利要求书中定义的主题不必限于上述具体特征或动作。相反，上述具体特征和动作是作为实现权利要求的示例形式公开的。
本发明可具体化为其它具体形式而不背离其精神或本质特征。所述实施例在所有方面都应被认为仅是说明性而非限制性的。从而，本发明的范围由所附权利要求书而非前述描述指示。落入权利要求书的等效方式的含义和范围内的所有改变应被权利要求书的范围涵盖。