[发明专利]一种向用户提供产品和/或服务而不损害其隐私的基于软件的开关

说明书

提供一种在线服务提供过程，在此过程中，服务供应商对服务交付给的用户的了解不会增加。这是通过将用户属性信息作为模糊对象呈现给服务提供者来实现的，这些模糊对象可以独立验证，并且是隐私保护的。

交叉引用

本申请是2017年8月7日提交的第15/671021号美国专利申请的一部分延续，并主张2016年9月9日提交的第62/385515号临时申请的优先权，两项申请的内容以引用方式并入本文中。

背景

互联网和网络上有丰富的服务体验。新发明，如基于区块链的系统，设想了称为智能合约的计算机程序，为智能设备如自动驾驶汽车提供服务。进一步设想，整体服务体验可以分解为多个组件，其中多个服务供应商可以提供各自的组件。许多智能设备、智能计算机程序和服务体验还利用从位于用户计算设备中的传感器设备或用户设备所在附近的物理环境中获取的数据。因此，需要使用自动驾驶汽车的服务体验可能会收集越来越多的用户数据。大多数服务体验也基于用户提供的信息。消费者越来越表现出关心保护用户数据隐私的迹象。对于在线网络中通过传感器设备收集大量用户数据过程中提供保护用户数据隐私的服务系统将具有巨大的社会价值和商业效益。

发明内容

根据本发明所述主题的一个方面，提供了一种便于向用户交付产品和/或服务的系统和方法。根据该方法，将第一可执行计算机代码插入到建立用户会话的计算环境中。第一可执行计算机代码与提供产品和/或服务的实体相关联。在计算环境中建立一个用户会话。为了响应插入到用户会话中的第一可执行计算机代码，在用户会话中创建了第一虚拟机。第一可执行计算机代码是在第一虚拟机上执行，执行第一可执行计算机代码包括通过通信网络和从用户的用户计算设备获取完成产品和/或服务交付所需的用户计算设备必须的所有信息的第一适当子集。所有信息的第一适当子集小于完成产品和/或服务交付所需的来自用户计算设备的所有信息的完整集合。信息的第一适当子集由第一可执行计算机代码处理。第一可执行计算机代码产生第一输出数据。通过在第一可执行计算机代码获得第一信息之前模糊用户的用户信息属性的实体，选择性地启用或禁用信息的第一适当子集中的信息中介。在执行完第一可执行计算机代码后终止第一虚拟机。第二可执行计算机代码至少基于由第一可执行计算机代码产生的第一输出数据的第一部分而获得。第二可执行计算机代码被插入到计算环境中建立的用户会话中。为了响应插入到用户会话中的第二可执行计算机代码，在用户会话中创建第二虚拟机。第二可执行计算机代码在第二虚拟机上执行，执行第二可执行计算机代码包括通过通信网络和从用户计算设备获取完成产品和/或服务交付所需的用户计算设备必须的所有信息的第二适当子集。所有信息的第二适当子集小于完成产品和/或服务交付所需的来自用户计算设备的所有信息的完整集合，并且还包括有不属于第一适当子集中的信息。信息的第二适当子集由第二可执行计算机代码处理。第二可执行计算机代码产生第二输出数据。通过在第二可执行计算机代码获得第二信息之前模糊用户的用户信息属性的实体，选择性地启用或禁用信息的第二适当子集中的信息中介。第二虚拟机在执行完第二可执行计算机代码后终止。至少部分基于由第二可执行计算机代码产生的第二输出数据，产品和/或服务被交付给用户计算设备的用户。

根据本发明所述主题的另一个方面，提供了一种通过通信网络进行交易的系统和方法。根据该方法，响应通过通信网络接收到的用户请求，在计算环境中建立用户会话。多个可执行计算机代码在计算环境中执行,每个执行交易的一部分，其中执行每一个可执行计算机代码包括通过通信网络和从用户计算设备获取完成交易所需的用户计算设备必须的所有信息的不同的适当子集。所有信息的每个适当子集都小于完成交易所需的来自用户计算设备需要的所有信息的完整集合。每个可执行计算机代码处理它所获得的信息的相应子集。通过实体选择性地启用或禁用不同适当信息子集中的信息中介，该实体在可执行计算机代码获取信息之前，模糊用户的用户信息属性。在每个可执行计算机代码的执行过程中，信息仅在多个可执行计算机代码之间交换，其交换方式是获取之前其中一个可执行计算机代码输出的加密输出信息。对加密的输出信息进行的加密操作使用户需要一个或多个解密密匙才能解密输出信息。在完成交易所需的最后一个可执行计算机代码的执行之后，将终止用户会话，从而使计算环境中不再存在信息的每个子集。