用於信息網絡的專用重疊的製作方法

2024-03-25 16:04:05 1

專利名稱：：用於信息網絡的專用重疊的製作方法用於信息網絡的專用重疊相關串請的交叉引用本申請要求2010年4月13日申請的，發明名稱為「蜂窩網絡的專用重疊」的共同未決美國臨時專利申請第61/323，713號的優先權和利益，在此將該專利申請以引用方式全部併入。關於聯邦科研資助或開發的聲明本發明根據第0424422號合同獲得聯邦科學基金會的政府支持。政府對於該發明具有一定的權利。1.
技術領域：
本發明涉及用於保護信息網絡中平臺的用戶隱私的系統和方法。本發明還涉及用於蜂窩、無線或第三方數據接收和管理系統的用戶的專用(或私用)重疊(privateoverlay)。2.
背景技術：
：公鑰加密技術公鑰加密考慮到兩種不同的密鑰,一種用於加密,另一種用於解密。任何使用了加密密鑰進行加密的明文僅能由具有解密密鑰的人進行解密。如果設計得當，不經過解決非常困難的數學問題是不可能由一個密鑰獲得另一個密鑰的。因此，或許可以通過在線投遞公開加密密鑰，使得任何人可以對消息進行加密，並將其發送給所期望的用戶，而不用擔心該消息會被任何不具有該機密的解密密鑰的人讀取。只要該解密密鑰被保持為機密，該信息就保持安全。Diffie和Hellman在1976年提出了公鑰加密技術。接下來的顯著進步是由Rivest,Shamir和Adleman以及他們關於RSA(此縮寫包含每個發明人的姓氏的首字母)密碼系統的發明在20世紀70年代後期所實現的。RSA密碼系統使用本領域已知算法實現公鑰加密(該算法主要依賴於對大數進行模冪乘)。RSA加密算法的安全性被假定基於將非常大的數字分解為AXB的形式的難度，其中A和B是大的質數。儘管從未被確定地證明，但是通常認為從相應的加密密鑰獲得較好選擇的RSA解密密鑰(或反之)的唯一方式是分解兩個大質數的乘積。這是易於理解的、但已知非常困難的問題。RSA密鑰比對稱系統密鑰大很多，但並沒有大到無法實現的程度。本領域中通常認為3072位的RSA密鑰與對稱密鑰系統中的128位密鑰提供了相同級別的安全性(例如參見http://csrc.nist.gov/publications/nistpubs/800-57/sp80Q-57-Partl-revised2Mar08-2007.pdf)。具有兩種不同密鑰的另一個值得注意的方面是該系統能夠被用於產生安全的數字籤名以及提供安全的通信。公鑰加密技術在可信賴通信中起到了相當重要的作用。但是仍遺漏了一部分當我們使用公鑰向例如在線銷售商發送如我們的信用卡信息時，我們希望能確保確實是該在線銷售商提供了該公鑰。本領域中已知的解決該問題的方法是採取公鑰證書的形式。公鑰證書將公鑰與個人或企業身份綁定，這與護照將個人信息(姓名、出生日期、出生地，等)與護照照片綁定的方式大致相同。目前，電子商務零售商到註冊機構(registrationauthority),並提供足夠的文件來證明他們的企業身份。一旦他們的身份得到驗證，相關的認證機構就生成公鑰，並將該公鑰置於證書上，將該證書和與該密鑰相關的實體的信息進行綁定。該認證機構對該證書進行數字籤名，從而使得已認證實體的顧客可對該證書進行驗證。註冊和認證機構以及其他相關職能機構通常被發現屬於稱作公鑰基礎設施(PublicKeylnfrastructure,PKI)的單個實體。已經出現了一些作為支配性網絡商務PKI的大公司，例如VeriSign。它們通過多種方式建立了信任，包括可靠性、高達250，000美元的現金授權(參見http://www.verisign.com/ssl/buy-ssl-certificates/index.htmltid=abox),並且事實是，如果它們濫用了對於它們的信任，那麼它們作為公司的價值將會在一夜間消失。許多網絡瀏覽器被設置為自動地從已知PKI接收證書，因此不需要個人用戶考慮這些事情。例如，假定一個買家希望到一個在線書商的網站來購買一本書的幾份副本。這個買家首先在他的瀏覽器頂部的URL欄內輸入該書商的URL，然後進入該書商的主頁。這個買家隨後將書的副本放入一個虛擬的購物車中，然後結算。此時開始執行對於大多數用戶未知的加密處理。該書商將含有公共加密密鑰的證書發送到買家的瀏覽器。如果買家願意，他可以通過點擊所顯示的鎖定圖標來實際查看該證書，該鎖定圖標表示在一些瀏覽器內的安全瀏覽。這些證書包含大量信息，包括籤名權限、公共加密密鑰以及預期的加密算法。對於該實例，該證書由認證服務商例如VeriSign籤名，並調用具有特定長度即2040位的密鑰進行RSA加密。在核實該證書之後，這個買家的瀏覽器產生用於對稱密鑰密碼系統的128或256位的密鑰。該密鑰可以使用證書上的RSA公共加密密鑰來進行加密，並且所產生的密文被發送給在線銷售商。銷售商和買方現在共享了一個機密的對稱密鑰，並且現在可以安全地交流。電子商務的成功依賴於通過公鑰加密技術和可信的第三方，例如認證服務商如VeriSign，所產生的信任。保護信息網絡的隱私從一開始，固定電話就是受監管的技術。監管的可能性隨著蜂窩電話而增大，這是由於註冊消息提供了固定的位置信息流。最近，由於非電話的計算和視頻功能被聚集到蜂窩平臺，並且無線平臺和無線網絡的使用得到了擴展，監管度的影響逐漸變得更加重要。本領域需要一種用於保護例如蜂窩和無線網絡的信息網絡的隱私的系統，該系統使得用戶掌管他或她的個人信息。第2部分或者本申請的任何其他部分中引用或標註的任何參考文獻,不應認為該參考文獻被許可作為本發明的現有技術。3.
發明內容一種用於保護網絡中平臺的用戶隱私的系統，該系統包含專用重疊10，該專用重疊包含在公鑰密碼系統中分發認證公鑰的系統20；其中該平臺40被包含在用戶設備30內，以及該用於分發經認證公鑰的系統為網絡50和該網絡的每個授權用戶提供針對該網絡和每個授權用戶的公共加密密鑰。在本系統的一個實施例中，所述用戶設備是蜂窩或行動電話、計算機或客戶數據採集系統、效用度量表(Utiliymeter)或者有線終端。在本系統的另一個實施例中，所述客戶數據收集系統是效用度量表。在本系統的又一個實施例中，所述用於分發經認證公鑰的系統是公鑰基礎設施及認證機構(PKI)。在本系統的又一個實施例中，所述平臺是蜂窩平臺，所述網絡是蜂窩網絡，所述平臺是無線平臺且所述網絡是無線網絡，或者所述平臺是公用事業平臺或第三方數據接收和管理平臺，且所述網絡是與客戶數據採集單元相互通信的通信網絡。在本系統的又一個實施例中，所述客戶數據採集單元是電錶、燃氣表或效用度量表。在本系統的又一個實施例中，生成並本地地存儲私用解密密鑰。在本系統的又一個實施例中，所述平臺是蜂窩平臺，所述網絡是蜂窩網絡，並且所述蜂窩網絡將用戶設備與隨機數相關聯，從而將所述用戶設備與用戶身份相分離。在本系統的又一個實施例中，所述平臺是無線平臺且所述網絡是無線網絡，並且所述無線網絡將用戶設備和與用戶帳號識別符不同的隨機數相關聯，從而將所述用戶設備與用戶身份相分離。在本系統的又一個實施例中，所述平臺是公用事業平臺或第三方數據接收和管理平臺，且所述網絡是通信網絡，所述通信網絡將用戶設備與隨機數相關聯，從而將所述用戶設備與用戶身份相分離。在又一個實施例中，所述系統包含一加密晶片60，其中所述平臺包含所述加密晶片，並且其中所述加密晶片被編程以將認證消息保存在加密的安全庫內。在本系統的又一個實施例中，所述加密晶片是一個可信賴平臺模塊(TPM)。在本系統的又一個實施例中，所述平臺是蜂窩式的，並且所述加密晶片被編程以記錄用戶設備在蜂窩模式下的通話時長。在本系統的又一個實施例中，通話時長是預付費的。在本系統的又一個實施例中，所述平臺是無線的，所述加密晶片被編程以記錄用戶設備在無線模式下的無線使用時長。在本系統的又一個實施例中，無線使用時長是預付費的。在本系統的又一個實施例中，所述加密晶片被編程以支持遠程證明，從而所述網絡遠程確定用戶設備是否被授權。在本系統的又一個實施例中，所述加密晶片被編程以支持遠程證明，從而所述網絡遠程確定用戶設備是否被克隆。在本系統的又一個實施例中，所述加密晶片被編程以支持遠程證明，從而所述網絡遠程確定用戶設備硬體和/或軟體是否被改變。還提供了一種用於保護網絡上平臺用戶的隱私的方法，該方法包括如下步驟提供專用重疊10，該專用重疊包含在公鑰密碼系統中分發經認證公鑰的系統20；其中該平臺40被包含在用戶設備30內，以及該用於分發經認證公鑰的系統為網絡50和該網絡的每個授權用戶提供針對該網絡和每個授權用戶的公共加密密鑰。在該方法的另一個實施例中，用戶設備是蜂窩或行動電話、計算機或客戶數據採集系統。在該方法的另一個實施例中，客戶數據採集單元是效用度量表。在該方法的另一個實施例中，該用於分發經認證公鑰的系統是公鑰基礎設施及認證機構(PKI)。在該方法的另一個實施例中，該平臺是蜂窩平臺，且該網絡是蜂窩網絡，該平臺是無線平臺，且該網絡是無線網絡，或者該平臺是公用事業平臺或第三方數據接收和管理平臺，且該網絡是與客戶數據採集單元通信的通信網絡。在該方法的另一個實施例中，客戶數據採集單元是電錶、燃氣表或效用度量表。在該方法的另一個實施例中，生成並本地地存儲私用解密密鑰。在該方法的另一個實施例中，該平臺是蜂窩平臺，且該網絡是蜂窩網絡，該方法還包含步驟蜂窩網絡將用戶設備與隨機數關聯，從而將該用戶設備與用戶身份相分離。在該方法的另一個實施例中，該平臺是無線平臺，該網絡是無線網絡，且該方法還包含步驟無線網絡將用戶設備與隨機數關聯，從而將該用戶設備與用戶身份相分離。在該方法的另一個實施例中，該平臺是公用事業平臺或第三方數據接收和管理平臺，該網絡是通信網絡，且該通信網絡將用戶設備和隨機數關聯，從而將用戶設備與用戶身份相分離。在該方法的另一個實施例中，專用重疊包含加密晶片，其中該平臺包含加密晶片，並且其中該加密晶片被編程以將認證消息保存在加密的安全庫內。在該方法的另一個實施例中，該加密晶片是可信賴平臺模塊(TPM)。在該方法的另一個實施例中，該平臺是蜂窩式的，且該加密晶片被編程以記錄該用戶設備在蜂窩模式下的通話時長。在該方法的另一個實施例中，通話時長是預付費的。在該方法的另一個實施例中，該平臺是無線平臺，且該加密晶片被編程以記錄用戶設備在無線模式下的無線使用時長。在該方法的另一個實施例中，無線使用時長是預付費的。在該方法的另一個實施例中，該加密晶片被編程以支持遠程證明，該方法還包括步驟網絡遠程地確定用戶設備是否被授權。在該方法的另一個實施例中，該加密晶片被編程以支持遠程證明，該方法還包括步驟網絡遠程地確定用戶設備是否被克隆。在該方法的另一個實施例中，該加密晶片被編程以支持遠程證明，從而網絡遠程地確定用戶設備的硬體和/或軟體是否被改變。在另一個實施例中，該方法還包括在專用模式下運行平臺的步驟，其中當平臺以專用模式運行時，網絡不能將平臺的位置數據與特定用戶相關聯。在該方法的另一個實施例中，以專用模式運行平臺的步驟包含執行專用註冊的步驟，其中專用註冊包含如下步驟網絡周期性地向網絡的每個授權用戶傳送相同的認證消息；以及網絡使用用戶的公用加密密鑰對傳送給每個授權用戶的認證消息進行加密。在該方法的另一個實施例中，網絡周期性地傳送相同的認證消息的步驟被每日執行。在該方法的另一個實施例中，以專用模式運行平臺的步驟包含如下步驟平臺向網絡發送專用授權註冊(PrivacyEnablingRegistration,PER)消息；以及平臺使用網絡的公用加密密鑰對PER加密，其中PER包含認證消息和隨機設備標籤(RandomEquipmentTag,RET)。在該方法的另一個實施例中，PER內的認證消息相當於零確認證明(zero-acknowledgeproof),其向網絡表示PER由有效用戶發送,且不對該用戶進行標識。在該方法的另一個實施例中，RET是隨機數。在另一個實施例中，該方法包含如下步驟將RET輸入到網絡的訪問位置寄存器(VisitorLocationRegister，VLR)和歸屬位置寄存器(HomeLocationRegister,HLR);以及將RET當作電話號碼、帳戶識別符或者用戶ID數據傳送，從而VLR和HLR收集建立和保持對於平臺的蜂窩電話或數據呼叫、無線數據連接或數據傳輸所需的信息，但不將所述信息與特定的用戶、電話號碼、帳號識別符或用戶ID相關聯。在該方法的另一個實施例中，蜂窩電話或數據呼叫、無線數據連接或者數據傳輸是呼入或呼出的。在另一個實施例中，該方法包含將RET與臨時IP位址相關聯的步驟。在該方法的另一個實施例中，蜂窩電話呼叫是被叫通話，該方法包含如下步驟將用戶的RET和蜂窩網絡的業務提供商的身份(例如網絡ID)分發給用戶希望接收到蜂窩電話呼叫的各方，其中該分發步驟使用公鑰加密。在該方法的另一個實施例中，用戶執行該分發步驟。在該方法的另一個實施例中，用於分發經認證公鑰的系統執行該分發步驟。在另一個實施例中，該方法包含在蜂窩平臺內嵌入加密晶片的步驟，其中加密晶片被編程以將認證消息保存在加密的安全庫內。在該方法的另一個實施例中，該加密晶片是可信賴平臺模塊(TPM)。在該方法的另一個實施例中，加密晶片被編程以記錄設備處於蜂窩模式下的蜂窩電話通話時長。在該方法的另一個實施例中，通話時長是預付費的。在該方法的另一個實施例中，加密晶片被編程以支持遠程證明，該方法包含網絡遠程確定設備是否被授權的步驟。在該方法的另一個實施例中，加密晶片被編程以支持遠程證明，該方法包含網絡遠程確定設備是否被克隆的步驟。在該方法的另一個實施例中,TPM被編程以支持遠程證明，該方法包含網絡遠程確定設備硬體和/或軟體是否被改變的步驟。還提供了一種用於確定用戶設備是否被授權的方法，其中該用戶是網絡上平臺的用戶。在一個實施例中，該方法包括提供專用重疊的步驟，該專用重疊包含用於在公鑰密碼系統中分發經認證公鑰的系統其中該平臺被包含在用戶設備內，以及該用於分發經認證公鑰的系統為網絡和該網絡的每個授權用戶提供針對該網絡和每個授權用戶的公共加密密鑰。還提供了一種用於確定用戶設備是否被克隆的方法，其中該用戶是網絡上平臺的用戶。在一個實施例中，該方法包括提供專用重疊的步驟，該專用重疊包含在公鑰密碼系統中分發經認證公鑰的系統其中該平臺被包含在用戶設備內，以及該用於分發經認證公鑰的系統為網絡和該網絡的每個授權用戶提供針對該網絡和每個授權用戶的公共加密密鑰。還提供了一種用於確定用戶設備硬體或軟體是否被改變或篡改的方法，其中該用戶是網絡中平臺的用戶。在一個實施例中，該方法包括提供專用重疊的步驟，該專用重疊包含用於在公鑰密碼系統中分發經認證公鑰的系統其中該平臺被包含在用戶設備內，以及該用於分發經認證公鑰的系統為網絡和該網絡的每個授權用戶提供針對該網絡和每個授權用戶的公共加密密鑰。還提供了一種用於向用戶收費的方法，其中該用戶是網絡中平臺的用戶。在一個實施例中，該方法包括提供專用重疊的步驟，該專用重疊包含在公鑰密碼系統中分發經認證公鑰的系統其中該平臺被包含在用戶設備內，以及該用於分發經認證公鑰的系統為網絡和該網絡的每個授權用戶提供針對該網絡和每個授權用戶的公共加密密鑰。在特定的實施例中，所述平臺是蜂窩平臺，所述網絡是蜂窩網絡，所述平臺是無線平臺且所述網絡是無線網絡，或者所述平臺是公用事業平臺或第三方數據接收和管理平臺，且所述網絡是與客戶數據採集單元相互通信的通信網絡。4.本文將結合附圖具體闡釋本發明，其中相同的附圖標記文字表示在幾幅視圖中相同的器件。應理解的是，在一些情況下，本發明的不同方面被誇大或放大示出以便於理解本發明。圖I是用於蜂窩系統的專用(或私用)重疊10的示意性實施例。專用重疊10使用現有通信、信息或數據網絡50(例如蜂窩網絡)的基礎設施來提供服務(例如蜂窩語音和數據業務)，而不會生成與該用戶綁定的位置和使用記錄。在右下方的是用於在公鑰密碼系統20中分發經認證公鑰的系統的基礎設施的細節。在該實施例中，分發經認證公鑰的系統是公鑰基礎設施和認證機構(PKI)，可信賴平臺模塊TPM或者加密晶片60，訪問位置寄存器VLR,歸屬位置寄存器HLR，用戶隨機標籤，@(*&RND(*zx。圖2是由可信賴平臺模塊(TPM)多樣服務的改進表格；選自TrustedComputingGroup(TCG)SpecificationArchitectureOverview,RevisionI.4,第36頁；具體細節參見章節5.3。圖3是TPM組成架構改進圖，TPM正文第一部分。具體細節參見章節5.3。圖4是用於蜂窩或無線系統的專用重疊的實施例的示意圖。服務供應商例如是蜂窩或無線服務供應商。TPM可信賴平臺模塊或加密晶片60。圖5是對需求響應可能性的評估。由聯邦能源監管委員會修改(2009年6月)。ANationalassessmentofdemandresponsepotential,StaffRep.,http://www.fere,gov/legal/staff-reports/06-09-demand-response.pdf)。具體細節參看章節6·3。圖6是假設場景下的密鑰差異。由聯邦能源監管委員會修改(2009年6月)。ANationalassessmentofdemandresponsepotential,StaffRep.,http://www.fere,gov/legal/staff-reports/06-09-demand-response.pdf)。具體細節參看章節6·3。圖7a_d是行為提取算法。(a)累計的功率消耗數據，(b)推斷出的切換事件，(c)幾個被標識的加載事件，以及(d)參考間隔和估計間隔的比較。參見M.Lis0Vich，D.Mulligan和S.B.Wicker撰寫的Inferringpersonalinformationfromdemand-responsesystem,IEEESecurityPrivacyMag.,第8卷，第I期，第11-20頁，1/2月2010。具體細節參看章節6.3。圖8是高級計量基礎設施(AdvancedMeteringInfrastructure,AMI)建模模塊。根據EngineeringPowerResearchInstitute,AdvancedMeteringInfastructure，http://www.fere,gov/eventcalendar/Files/20070423091846-EPRI%20-%20Advanced%20Metering.pdf)。具體細節參看章節6.3。圖9是考慮隱私的需求響應架構。具體細節參看章節6.3。5.具體實施例方式專用重疊10被提供以用於信息網絡或網絡系統(例如蜂窩電話網絡、無線計算機網絡、有線計算機網絡、通信網絡、第三方數據接收和管理系統、或者公用事業配給系統(UtilityDistributionSystem)),其使得用戶掌管他或她的個人信息。用戶的身份被與指向用戶設備30可以在其中被尋呼的小區的數值標籤相分離。專用重疊10由附加的公鑰基礎設施及認證機構(PKI)或其他註冊和認證機構20生成。這類註冊和認證機構是本領域公知的。PKI(或其他註冊和認證機構)20為蜂窩電話、無線計算或效用度量系統或網絡以及網絡的所有用戶提供針對該網絡和用戶的公鑰。私用解密密鑰被以適當的方式生成並且被本地地存儲。這類生成和存儲私用解密密鑰的方法是本領域公知的。通過增加上述方式，可以針對由蜂窩或無線網絡或公用設施或者第三方數據接收和管理系統註冊的設備建立連接到現有的蜂窩、無線、第三方數據接收和管理、或者公用事業配給基礎設施50的專用重疊10。出於清楚地公開的目的，且不應作為限制性的，本發明的具體描述被分為如下的子章節。5.I用於保護用戶隱私的系統提供了一種用於保護網絡內平臺40的用戶隱私的系統。該系統包含專用重疊10，該專用重疊10包含用於在公鑰密碼系統內分發經認證公鑰的系統20；其中該平臺40被包含在用戶設備30內，以及該用於分發經認證公鑰的系統20為網絡以及該網絡的每個授權用戶提供針對該網絡和每個授權用戶的公用加密密鑰。在一個實施例中，該用戶設備30是蜂窩電話、計算機或客戶數據採集單元。可採用本領域已知的任何客戶數據採集單元。例如，在一個實施例中，該客戶數據採集單元用於公用事業管理或配給，例如效用度量表，諸如電錶、燃氣表或水錶。在一個特定的實施例中，該專用重疊10可用於3G和4G蜂窩系統。在另一個實施例中，該平臺40是蜂窩平臺，且該網絡是蜂窩網絡(圖I和4)。在另一個實施例中，該平臺是無線平臺，且該網絡是無線網絡(圖4)。在另一個實施例中，該平臺是客戶數據採集平臺，且該網絡是通信網絡(圖8)。在另一個實施例中，該分發認證公鑰系統20是公鑰基礎設施及認證機構(PKI)，或者本領域已知的其他註冊和認證機構。在另一個實施例中，生成並本地地存儲私用解密密鑰。在另一個實施例中，蜂窩網絡50將用戶設備(例如蜂窩或無線電話)和不同於電話號碼的隨機數關聯，從而將該用戶設備與用戶身份相分離(圖I)。在另一個實施例中，該平臺40是無線平臺，該網絡50是無線網絡，且該無線網絡將用戶設備30和與用戶帳號識別符不同的隨機數關聯，從而將該用戶設備與用戶身份相分離(圖4)。在另一個實施例中，該平臺40是公用事業或第三方數據接收和管理平臺，該網絡50是通信網絡，且該通信網絡將用戶設備30(例如電錶、燃氣表或水錶)和隨機數關聯，從而將用戶設備30與用戶身份相分尚。在另一個實施例中，該系統包含加密晶片60，其中該加密晶片60被嵌入在平臺40中，並被編程以將認證消息保存在加密的安全庫內。在另一個實施例中，該加密晶片60是可信賴平臺模塊(TrustablePlatformModule,TPM)ο在另一個實施例中，該平臺40是蜂窩平臺，且該加密晶片60被編程以記錄該用戶設備在蜂窩模式下的通話時長。在另一個實施例中，該蜂窩電話通話時長是預付費的。在另一個實施例中，該平臺40是無線的，且該加密晶片60被編程以記錄用戶設備在無線模式下的無線使用時長。在另一個實施例中，無線使用時長是預付費的。在另一個實施例中，該加密晶片60被編程以支持遠程證明，從而網絡50遠程地確定用戶設備30是否被授權。在另一個實施例中，該加密晶片被編程以支持遠程證明，從而網絡遠程地確定用戶設備是否被克隆或者是否被篡改。在另一個實施例中，該加密晶片被編程以支持遠程證明，從而網絡遠程地確定用戶設備的硬體和/或軟體是否被改變。本文所提供的專用重疊可以被用於保護蜂窩網絡內的蜂窩平臺的用戶(例如蜂窩電話)或者無線網絡內的無線設備的隱私。該系統包含用於在公鑰密碼系統內分發經認證公鑰的系統，其中在公鑰密碼系統內分發經認證公鑰的系統為網絡和該蜂窩網絡的授權用戶提供針對該網絡和授權用戶的公用加密密鑰。可採用本領域公知技術由該網絡和授權用戶安全地生成並存儲私用解密密鑰。圖I示意性地示出了專用重疊10的實施例，其用於保護網絡例如蜂窩(或無線)網絡中平臺40的用戶的隱私的系統。專用重疊10包含用於在公鑰密碼系統20內分發經認證公鑰的系統。這類系統是本領域公知的。平臺40被包含在用戶設備30中(在該實施例中，用戶設備是蜂窩電話)，且用於分發認證公鑰的系統20為網絡和網絡的每個授權用戶提供針對該網絡和每個授權用戶的公用加密密鑰。專用重疊使用現有的蜂窩基礎設施來提供蜂窩語音和數據業務，而不生成與該用戶相關聯的位置和使用記錄。如圖I所示，向所有授權用戶發送相同的認證消息(「加密的用戶公鑰」)。如圖I所示，用戶發送認證消息(對於所有有效用戶是相同的)以及來自於用戶設備30的隨機標籤(如圖I所示，@(*&RND(*ZX)以進入專用模式(「加密的網絡公鑰」)。該認證消息相當於零確認證明。本實施例中的加密晶片，可信賴平臺模塊(TPM)60，確保僅有一個有效用戶獲知該認證消息，但網絡不知道哪個用戶發送了該消息。隨機標籤作為專用授權用戶(privacy-enableduser)的電話號碼。專用授權電話包括TPM。TPM能夠執行必要的公鑰加密功能，並能夠記錄和實施通話時長限制。可以通過遠程證明來防止克隆。仍如圖I所示，隨機標籤可用於現有的蜂窩基礎設施中，以替換用於註冊和呼叫路由選擇的用戶ID。不對網絡基礎設施50(在本實施例中，蜂窩網絡基礎設施)進行更改是必需的。PKI或認證機構20支持專用消息傳送(文本或呼叫控制)。用戶生成公用加密密鑰並發送到認證機構或PKI20。相應的解密密鑰被機密地保存在加密晶片60例如TPM中。這允許用戶安全地交換隨機標籤，從而使得用戶可以互相呼叫並考慮安全的呼叫組。如圖I具體所示，下面是認證機構的公鑰基礎設施提供的公鑰實例公鑰基礎設施用戶公鑰PKT)JKO#*$(HFF(U網絡KJHF(Y#$(*YFG—個人用戶)#(*)HEF(*Y#$H(*(「SteveWicker，，)在本文所提供的專用重疊的一個實施例中，用戶身份被與指向用戶設備30的可在其中被尋呼的小區的數值標籤相分離。專用重疊10僅需要為網絡附加認證機構例如公鑰基礎設施和認證機構(PKI)20。PKI為網絡和所有用戶提供公用加密密鑰和私用解密密鑰。另外，可以按下述方式來為現有蜂窩基礎設施建立專用重疊。首先用戶具有已經註冊到蜂窩網絡的蜂窩電話。可以由網絡每天(或以適當的間隔)一次向每個授權用戶傳送相同的認證消息來啟動專用註冊。使用每個用戶的公用加密密鑰來對發送到所有用戶的相同認證消息進行加密。對本領域技術人員來說，顯然上述實施例能夠很容易地改變以與無線網絡中的任何無線設備一同使用(參見圖4)，或者與第三方數據接收和管理系統(參見圖8)或者公用事業配給系統中的通信網絡內的客戶數據採集單元(例如效用度量表)一同使用。5.2用於保護網絡內平臺的用戶隱私的方法還提供了一種用於保護網絡內平臺40的用戶隱私的方法。該方法包含如下步驟提供專用重疊10，專用重疊10包含用於在公鑰密碼系統內分發經認證公鑰的系統20，其中平臺40被包含在用戶設備30內，並且該分發認證公鑰系統20為網絡以及該網絡的每個授權用戶提供針對該網絡和每個授權用戶的公用加密密鑰。用戶設備30可以例如是蜂窩電話、計算機或客戶數據採集單元。在該方法的另一個實施例中，該分發認證公鑰系統20是公鑰基礎設施及認證機構(PKI)。在該方法的另一個實施例中，該平臺是蜂窩平臺，且該網絡是蜂窩網絡。在另一個實施例中，該平臺是無線平臺，且該網絡是無線網絡。在另一個實施例中，該平臺是客戶數據採集平臺，且該網絡是通信網絡。在該方法的另一個實施例中，生成並本地地存儲私用解密密鑰。可藉助於本領域公知技術由該網絡和授權用戶安全地生成並存儲私用解密密鑰。網絡將用戶設備和不同於電話號碼的隨機數相關聯，從而將該用戶設備與用戶身份相分離。在該方法的另一個實施例中，該平臺是蜂窩平臺，且該網絡是蜂窩網絡，該方法還包含步驟蜂窩網絡將用戶設備和不同於電話號碼的隨機數相關聯，從而將該用戶設備與用戶身份相分離。在該方法的另一個實施例中，該平臺是無線平臺，該網絡是無線網絡，且該方法還包含步驟無線網絡將用戶設備和不同於個人相關帳號的隨機數關聯，從而將該用戶設備與用戶身份相分離。在該方法的另一個實施例中，該平臺是公用事業或第三方數據接收和管理平臺，該網絡是通信網絡，且該通信網絡將用戶設備(例如電錶、燃氣表或水錶)和隨機數關聯，從而將用戶設備與用戶身份相分離。在該方法的另一個實施例中，專用重疊包含加密晶片，其中該加密晶片被嵌入在蜂窩平臺中，並被編程以將認證消息保存在加密的安全庫內。在該方法的另一個實施例中，該加密晶片是可信賴平臺模塊(TPM)。在該方法的另一個實施例中，該平臺是蜂窩式的，且該加密晶片被編程以記錄該用戶設備在蜂窩模式下的通話時長。在該方法的另一個實施例中，該蜂窩電話通話時長是預付費的。在該方法的另一個實施例中，該平臺是無線的，且該加密晶片60被編程以記錄用戶設備在無線模式下的無線使用時長。在該方法的另一個實施例中，無線使用時長是預付費的。在該方法的另一個實施例中，該加密晶片被編程以支持遠程證明，該方法還包括步驟網絡遠程地確定用戶設備是否被授權。在該方法的另一個實施例中，該加密晶片被編程以支持遠程證明，該方法還包括步驟網絡遠程地確定用戶設備是否被克隆。在該方法的另一個實施例中，該加密晶片被編程以支持遠程證明，並且該方法包括步驟網絡遠程地確定用戶設備的硬體和/或軟體是否被改變。在另一個實施例中，該方法還包括在專用模式(例如專用蜂窩或無線模式)下運行平臺的步驟，其中當平臺以專用模式運行時，網絡不能將平臺的位置數據與特定用戶相關聯。在該方法的另一個實施例中，以專用模式運行平臺的步驟包含執行專用註冊的步驟，其中專用註冊包含如下步驟網絡周期性地(例如，以小時為間隔，每12小時，每日，每周等)向網絡的每個授權用戶傳送相同的認證消息；並且網絡使用用戶的公用加密密鑰來對傳送給每個授權用戶的認證消息進行加密。在該方法的另一個實施例中，網絡周期性地傳送相同的認證消息的步驟被每日執行。在該方法的另一個實施例中，以專用模式運行平臺(例如蜂窩或無線平臺)的步驟包含如下步驟平臺向網絡發送專用授權註冊(PER)消息；以及平臺使用網絡的公用加密密鑰對PER加密，其中PER包含認證消息和隨機設備標籤(RET)。在該方法的另一個實施例中，PER內的認證消息相當於零確認證明，其向網絡表示PER由有效用戶發送，並且PER內的認證消息不對該用戶進行標識。在該方法的另一個實施例中，RET是隨機數。在另一個實施例中，該方法包含如下步驟將RET輸入到網絡的訪問位置寄存器(VLR)和歸屬位置寄存器(HLR);以及將RET當作電話號碼或帳戶識別符，從而VLR和HLR收集建立和保持對平臺的蜂窩電話或數據呼叫或無線數據連接所需的信息，但不將該信息與特定的用戶、電話號碼或用戶帳號識別符相關聯。在該方法的另一個實施例中，蜂窩電話或數據呼叫或者無線數據連接是呼入或呼出。在另一個實施例中，該方法包含將RET與臨時IP位址相關聯的步驟。在該方法的另一個實施例中，蜂窩電話呼叫是被叫通話，該方法包含如下步驟將用戶的RET和蜂窩網絡的業務提供商的身份(例如網絡ID)分發給用戶希望接收的蜂窩電話呼叫的各方，其中該分發步驟使用公鑰加密。在該方法的另一個實施例中，用戶執行該分發步驟。在該方法的另一個實施例中，認證機構執行該分發步驟。在另一個實施例中，該方法包含在蜂窩平臺內嵌入加密晶片(例如TPM)的步驟，其中加密晶片被編程以將認證消息保存在加密安全庫內。在該方法的另一個實施例中，加密晶片(TPM)被編程以記錄設備處於蜂窩模式下的蜂窩電話通話時長。在該方法的另一個實施例中，通話時長是預付費的。當超過所允許的通話時長時，加密晶片(例如TPM)能夠終止專用模式。在該方法的另一個實施例中，加密晶片(例如TPM)支持遠程證明，該方法包含網絡遠程確定設備是否被授權的步驟。例如，網絡聯繫加密晶片，並使加密晶片對專用軟體和設備ID執行計算，以確定該設備是否有效(即，該設備是否是克隆機)，以及確定硬體和/或軟體是否被篡改。在該方法的另一個實施例中，加密晶片被編程以支持遠程證明，該方法包含網絡遠程地確定設備是否被克隆的步驟。在該方法的另一個實施例中，加密晶片被編程以支持遠程證明，該方法包含網絡遠程地確定硬體和/或軟體是否被改變的步驟。5.3加密晶片或可信賴平臺模塊(TPM)為了防止蜂窩或無線設備被克隆，用戶設備可被設置有加密晶片例如可信賴平臺模塊(TPM)，其被編程以將認證消息保存在加密安全庫內。TPM和其他適合的加密晶片是本領域公知的。當用戶希望進入專用蜂窩(或無線)模式時，用戶可以使得用戶設備向網絡發送專用授權註冊(PER)消息。PER包含認證消息和隨機設備標籤(RET)，並且被使用網絡的公用加密密鑰加密。PER內的認證消息相當於零確認證明，其向網絡表示PER由有效用戶發送，但並不實際地對該用戶進行標識。RET是隨機數，其被輸入到歸屬位置寄存器(HLR)和訪問位置寄存器(VLR)中，並且看上去被當作電話號碼或用戶帳戶識別符(個人帳戶)。這種HLR/VLR記錄被認為是私人蜂窩或無線環境(wirelesscontext)。其會包含在標準HLR/VLR記錄內可以找到的所有信息，但並不與特定的個人或他的電話號碼或個人帳戶相關聯。只要用戶設備保持在專用蜂窩或無線模式下，隨後的註冊消息將包括與用戶電話號碼或個人帳戶不同的RET。建立蜂窩電話呼叫、移動性管理以及漫遊將完全和以前一樣處理，區別在於HLR和VLR位置信息與RET而不是電話號碼相關聯。通過將RET與臨時IP位址相關聯，可保持數據呼叫的私密性。對於用戶的主要操作區別在於被叫通話(在蜂窩平臺下)或數據連接進入(在無線平臺下)。對於在專用蜂窩模式下的用戶設備能夠完成被叫通話的唯一方法是如果主叫方獲知被叫方的RET和網絡ID。(後者是必需的，以使得呼叫建立請求可以被送到適當的HLR)。因此專用蜂窩模式下的用戶必須將他或她的RET通過公鑰加密分發給他或她希望能接收呼叫的各方。這類分發可通過認證機構實現。顯然，此時要解決計費和通訊協助執法法案(CALEA)問題。服務提供商可能希望限制對每個PER所允許的通話時長。還可以依賴於用戶設備內的TPM來實施用戶設備在專用蜂窩模式下的每日或每月的限制。可以讓用戶為專用蜂窩時長預先付費，以使得電話看起來像是預付費蜂窩電話，從而部分地減輕CALEA的顧慮。可信賴平臺模塊(TPM)是TrustedComputingGroup(TCG)開發的一組標準。這些標準是本領域公知的(例如參見TCGSpecificationAechitectureOverview,Specification,RevisionI.4,2007年8月2日；TPMMainPartIDesignPrinciples,SpecificationVersionI.2,Level2Revisionl03,2007年7月9日,TrustedComputingGroupDesign,ImplementationandUsagePrinciples,Version2.01,Authorship:TCGBestPracticesCommittee,2005年12月I日;所有文件均可以PDF格式在www,trustedcomputinggroup.org上下載，或者由TrustedComputingGroup,Beaverton,OR獲得。TPM執行很多功能，包括安全地生成和使用加密密鑰。這些密鑰被用於多種標準用途，包括遠程證明、綁定、籤名和印章(seal)。遠程證明是一種通常通過不可偽造的哈希算法驗證計算設備的硬體和軟體的狀態的機制。根據TCGSpecificationAechitectureOverview,Specification,RevisionI.4(可以PDF格式在www,trustedcomputinggroup.org上下載，或者由TrustedComputingGroup,Beaverton,OR獲得)，「證明(attestation)是核對信息準確性的處理。外部實體可證明被隱藏的位置、受保護的性能以及可信根(RootofTrust)0平臺可以證明會影響平臺完整性(可信賴度)的平臺特性的具體說明。所有證明形式需要證明實體的可靠的證據。證明可以從幾個維度來理解，由TPM證明，對平臺證明，平臺的證明和平臺的認證。」(TCGSpecificationAechitectureOverview,Specification,RevisionL4,第5頁)通過維持一組平臺配置寄存器(PlatformConfigurationRegister,PCR)來執行對TPM自身的證明。TPM功能性的「快照」被測量並存儲。這些測量結果的散列版本被稱為「摘要」(digest)。PCR包含測量摘要。根據TCGSpecificationAechitectureOverview,Specification,RevisionI.4，「測量內核生成測量事件。測量事件由兩類數據組成I)測量值一嵌入數據或程序代碼的表示，和2)測量摘要一這些數值的散列值。數據被生成消息摘要的測量內核掃描。摘要是機器操作狀態的快照。這兩類數據元素(測量值和測量摘要)被分開存儲。測量摘要被使用RTR和RTS功能存儲在TPM中。測量值可以任憑由測量內核虛擬地存儲在任意位置。實際上，該數據可能根本未被存儲，而是在任何需要序列表示形式的時刻被重新計算…TPM包含一組被稱作平臺配置寄存器(PCR)的寄存器，其內含測量摘要。代數形式而言，對PCR的更新如下PCR[n]—SHA-I(PCR[η]+測量數據)。PCR數據是臨時的，在系統重啟時其被重置。驗證測量事件需要重新生成測量摘要。」(TCGSpecificationAechitectureOverview,Specification,RevisionL4,第8頁)綁定是使用公鑰對消息加密。公鑰加密技術使用一對密鑰，一個公鑰和一個私鑰，以利於信息安全而不需要傳輸安全密鑰。需要注意到，TPM將私鑰存儲為「不可移動」密鑰，即私鑰不能被傳輸到另一個設備。TPM通過將密鑰保持在不可被篡改或訪問的安全位置內來確保這類密鑰的安全性。根據TCGSpecificationAechitectureOverview,Specification,RevisionI.4，「TCG定義了四類受保護的消息交換綁定、籤名、印章綁定(Sealed-Binding)(又稱印章)以及印章籤名(Sealed-Signing)…綁定是使用公鑰加密消息的傳統操作。即發送者使用預期接收者的公鑰加密消息。該消息僅能使用接收者的私鑰解密恢復。當私鑰被作為不可移動密鑰由TPM管理時，僅有生成該密鑰的TPM能夠使用該密鑰。因此，使用該公鑰加密的消息被「綁定」到TPM的特定實例。生成可以在多個TPM設備之間轉移的可移動密鑰也是可行的。就其本身而言，綁定並沒除了加密以外的特殊意義。」(TCGSpecificationAechitectureOverview,Specification,RevisionL4,第15頁)籤名是生成數字籤名。如上所述，數字籤名通常被用於加強不可否認性(non-repudiation);關鍵在於確保對該消息籤名的一方是他們所聲稱的人,而並非防止其他人閱讀該信息。根據TCGSpecificationAechitectureOverview,Specification,RevisionI.4，「籤名在傳統意義上也把消息的完整性與用於生成籤名的密鑰相關聯。TPM把一些管理密鑰標籤為僅用於籤名的密鑰，這意味著這些密鑰僅用於計算籤名數據的散列值，並加密這些散列值。因此，它們不會被誤理解為加密密鑰。」(TCGSpecificationAechitectureOverview,Specification,RevisionI.4,第15頁)印章不僅要求接收用戶具有必需的私鑰，而且要求解密硬體處於特定的狀態。該狀態通過使用平臺配置寄存器(PCR)來證明。根據TCGSpecificationAechitectureOverview,Specification,RevisionI.4，「印章是綁定的進一步操作。印章消息被綁定到消息發送者規定的一組平臺度量。平臺度量規定了在允許解密前必須存在的平臺配置狀態。印章將加密消息(實際上是用於加密消息的對稱密鑰)與一組PCR寄存器數值和一個不可移動非對稱密鑰相關聯…通過選擇一些PCR寄存器數值以及將PCR數值和用於加密消息的對稱密鑰進行非對稱加密來生成印章消息。具有非對稱解密密鑰的TPM可能僅在平臺配置與發送者規定的PCR寄存器數值匹配時才解密對稱密鑰。印章是TPM的非常有用的特徵。其確保受保護的消息僅僅當平臺在非常特定的已知配置下運行時才可恢復。」(TCGSpecificationAechitectureOverview,Specification,RevisionL4,第15-16頁)籤名也可以被印章，即關聯到PCR寄存器的狀態。根據TCGSpecificationAechitectureOverview,Specification,RevisionI.4,「印章-籤名…籤名操作也可以連結到PCR寄存器，作為增加確保對消息籤名的平臺滿足特定配置需求的方式。驗證者指示籤名必須包括一些特定PCR寄存器。籤名者在籤名操作期間採集所規定PCR寄存器的數值，並把這些數值包括在消息內，並用作計算籤名消息摘要的一部分。隨後驗證者檢查籤名消息內的PCR值，這與在生成籤名時檢查籤名平臺配置是等同的。」(TCGSpecificationAechitectureOverview,Specification,Revisionl.4,第15頁)TPM提供多種其他服務。在TCGSpecificationAechitectureOverview的章節4.6.3內匯總了標準TPM指令。圖2所示的選錄標註了Sign,GetRandom和StirRandom指令可用於常規的加密用途，例如生成密鑰。如從TPMMainPart3commands,SpecificationVersion摘出的下述選錄可以看出』TPM的GetRandom指令從隨機數發生器返回所請求數量的字節「13.6TPM_GetRandom信息注釋開始GetRandom從隨機數發生器向主叫方返回下一個bytesRequested字節。推薦的是，TPM以允許TPM返回RNG字節的方式執行RNG，從而使得bytesRequested的字節小於可用字節數量的發生頻率很低。操作1.TPM確定bytesRequsted的數量是否可從TPM獲得。2.將randomBytesSize設為可從RNG獲得的字節數。這個數可能小於randomBytesSize。3.將randomBytes設為從RNG獲得的下一個randomBytesSize字節。」(TPMMainPart3Commands.SpecificationVersionI.2,第91頁)。StirRandom指令通過更新隨機數發生器的狀態為隨機數發生器的狀態增加熵。「13.7TPM_StirRandom信息注釋開始StirRandom為RNG狀態增加摘。操作TPM使用適當的混合功能更新當前RNG的狀態。」(TPMMainPart3Commands.SpecificationVersionI.2,第92頁)該標準中關注設計原理的部分可從「TPMMainPartIDesignPrinciples.SpecificationVersionI.2,Level2Revision103，2007年7月9日，可以PDF格式在www,trustedcomputinggroup.org上下載，或者由TrustedComputingGroup,Beaverton,OR獲得,本文中簡稱為「TPMMainParti」。如下所述，TPMMainPartI列出了如果所得到的TPM要與標準兼容，設計者所必須遵循的需求「TPM設計者必須閱讀和實施TPMMainspecification(部分1-4)的信息，並閱讀針對所期望平臺的平臺專用文獻。平臺專用文獻包含可能影響TPM設計和實施的規範聲明。」(TPMMainPart1，第I頁)TPM的基本要素如圖3所示。上述附圖的左上方所示的加密協處理器被設計用於和該結構內其他元件一起執行下述的各種加密功能。TPMMainPartI聲明「加密協處理器，圖2C1執行TPM內的加密操作。TPM採用傳統方式執行傳統的加密操作。這些操作包括如下形式不對稱密鑰生成(RSA)不對稱加密/解密(RSA)散列計算(SHA-I)隨機數發生(RNG)TPM使用這些功能來執行隨機數據的發生、不對稱密鑰的生成、已存儲數據的籤名和保LUOTPM可能在TPM內部使用對稱加密，但不會對TPM的常規用戶公開任何對稱算法函數。TPM可以執行附加的不對稱算法。執行不同算法的TPM設備具有不同的執行籤名和封裝的算法。(TPMMainPartI,第12頁)如上所述，加密算法可以是對稱和不對稱的(公鑰)。這些算法的密鑰也被稱為對稱或不對稱的。如下所述，TPM並未被設計為提供開放的對稱密鑰加密技術。這限制由另一設備使用來生成、存儲和保護這些密鑰。使用隨機數發生器(RNG)執行對稱密鑰的生成。一旦生成密鑰後，執行綁定和印章以便於密鑰的傳送。TPMMainPartI聲明「由於TPM不具有開放的對稱算法，TPM僅是對稱密鑰的生成器、存儲設備和保護器。可使用TPMRNG生成對稱密鑰。存儲和保護可通過TPM的BIND和SEAL功能來實現。如果主叫方想確保在傳送給主叫方時未綁定/未印章之後，對稱密鑰的釋放不會開放，那麼主叫方應使用帶有機密協議的傳送會話…對於不對稱算法，TPM生成並操作RSA密鑰。這些密鑰可僅由TPM持有，或者由TPM的呼叫者共同持有。如果密鑰的私用部分在TPM外部使用，主叫方以及密鑰的用戶有責任確保保護好該密鑰。」(TPMMainPartI,第13頁)下列實例僅用於闡釋，而不是限制性的。6.實例6.I實例I:專用蜂窩覆蓋該實例闡釋了用於蜂窩系統的專用重疊通過嚴格分離設備身份和用戶身份來保護用戶的隱私。引言公鑰加密技術公共密鑰加密涉及兩種不同的密鑰,一種用於加密,另一種用於解密。任何使用了加密密鑰進行加密的明文僅能由具有解密密鑰的人進行解密。如果設計得當，不經過解決非常困難的數學問題是不可能由一個密鑰獲得另一個密鑰的。因此可以公開加密密鑰，可能將其在線粘貼，以使得任何人可加密消息，並把被加密的消息發送給所期望的用戶，而不用擔心該消息能夠被任何不具有該機密的解密密鑰的人讀取。只要該解密密鑰被保持為機密，該消息就保持安全。DifTie和Hellman在1976年引入了公鑰加密技術。接下來的顯著進步是在70年代後期由Rivest,Shamir和Adleman以及他們關於RSA(此縮寫包含每個發明人的姓氏的首字母)密碼系統的發明所實現的。RSA密碼系統使用本領域已知算法實現公鑰加密(該算法主要依賴於對大數進行模冪乘)。RSA加密算法的安全性被假定基於將非常大的數字分解為AXB的形式的難度，其中A和B是大的質數。儘管從未被確定地證明，但是通常認為從相應的加密密鑰獲得較好選擇的RSA解密密鑰(或反之)的唯一方式是分解兩個大質數的乘積。這是易於理解的、但已知非常困難的問題。RSA密鑰比對稱系統密鑰大很多，但並沒有大到無法實現的程度。本領域中通常認為3072位的RSA密鑰與對稱密鑰系統中的128位密鑰提供了相同級別的安全性(例如參見http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57-Partl-revised2_Mar08-2007.pdf)。具有兩種不同密鑰的另一個值得注意的方面是該系統能夠被用於產生安全的數字籤名以及提供安全的通信。例如，假定一個買家寫信給在線書商希望定購一本書的幾百份副本。一旦接收到該信件，該書商希望核實確實是發信的那個個人用戶。進一步假定該買家公開了一個RSA解密密鑰，同時保持相應的加密密鑰為機密。買家向書商一起發送該信件的明文拷貝和加密拷貝，後者使用買家的機密加密密鑰進行了加密。當銷售商使用買家的公開解密密鑰時，銷售商恢復出明文，並檢查是否與買家的信相同。隨後銷售商確信買家確實發送了該信件，因為僅有買家持有生成加密拷貝所需的加密密鑰。這種保證可以被形式化，如下所述。本實例中的密文是任何人可以閱讀但僅有買家可生成的籤名。數字籤名在許多方面實際上都比舊式的各種籤名更加安全，因為數字籤名不能夠被傳送給不同的文件一它總是與在生成該籤名時所加密的文本相關聯的。進一步假定一組個人生成兩組密鑰，第一組用於內容加密，第二組用於生成數字籤名。這組人公開了第一組的加密密鑰以及第二組的解密密鑰，同時保持每對密鑰的另一半為機密。假定這組人中的一個成員Alice想向這一組的另一個成員Bob發送一個籤名的機密消息。Alice首先使用她的機密加密密鑰對消息加密，從而將消息轉換成籤名。隨後她使用Bob的公開加密密鑰對籤名加密。因此原始消息被加密兩次，第一次使用Alice的機密加密密鑰，然後使用Bob的公開加密密鑰。當Bob接收到密文時，他首先使用他的機密解密密鑰來恢復籤名。然後他使用Alice的公開解密密鑰來恢復原始消息，同時使他本人確信這封信確實來自Alice。因此公鑰加密技術在可信賴通信中起到重要作用。但仍有一方面不足在上述Alice和Bob的通信中，Alice假定Bob的公用加密密鑰確實由Bob生成。但是如果Eve(竊聽者)公開了密鑰而偽裝成來自Bob會怎麼樣？如果她能夠做到這點，那麼任何可能來自Bob的機密消息都可以被Eve閱讀。為了防止這一點，公鑰必須被認證。換句話說，Bob籤名機密消息的接收者必須確信Bob的密鑰確實由Bob生成，並且僅有Bob具有相應的私鑰。或者用更現代的術語來解釋，當我們使用公鑰例如向在線銷售商發送信用卡信息時，我們期望確保確實是在線銷售商提供了該密鑰。目前本領域對該問題的已知解決方法採用了公鑰證書的形式。公鑰證書將公鑰和用戶身份綁定，其形式與護照將個人信息(姓名、出生日期、出生地等)與護照照片綁定的形式大致相同。護照是可信賴的第三方一聯邦政府頒發的官方文件。只有請求人提供了足夠的文件證明該用戶是她所聲稱的人，聯邦政府才會頒發護照。一旦聯邦護照機構接收到所有必需的文件和幾張照片，該機構將會核實文件並頒發護照。機場和移民機構想必熟悉這一過程。當他們看到一份護照，並把所附照片與持有者的臉進行比較，隨後他們希望把文件上的數據與持有者關聯。公鑰證書可以基本相同的方式生成和使用。目前，電子商務零售商到註冊機構提供足夠的文件來證明他們的企業身份。一旦他們的身份得到驗證，相關的認證機構就生成公鑰，並將該公鑰置於證書上，將該證書和與該密鑰相關的實體的信息進行綁定。該認證機構對該證書進行數字籤名，從而使得已認證實體的顧客可對該證書進行驗證。註冊和認證機構以及其他相關職能機構通常被發現屬於稱作公鑰基礎設施(PKI)的單個實體。已經出現了一些作為支配性網絡商務PKI的大公司，例如VeriSign。它們通過多種方式建立了信任，包括可靠性、高達250，000美元的現金授權(參看http://www.verisign.com/ssl/buy-ss1-certificates/index.htmltid=a_box)，並且事實是，如果它們濫用了對於它們的信任，那麼它們作為公司的價值將會在一夜間消失。許多網絡瀏覽器被設置為自動地從已知PKI接收證書，因此不需要個人用戶考慮這些事情。例如，假定一個買家希望到一個在線書商的網站來購買一本書的幾份副本。這個買家首先在他的瀏覽器頂部的URL欄內輸入該書商的URL，然後進入該書商的主頁。這個買家隨後將書的副本放入一個虛擬的購物車中，然後結算。此時開始執行對於大多數用戶未知的加密處理。該書商將含有公共加密密鑰的證書發送到買家的瀏覽器。如果買家願意，他可以通過點擊所顯示的鎖定圖標來實際查看該證書，該圖標表示在一些瀏覽器內的安全瀏覽。這些證書包含大量信息，包括籤名權限、公共加密密鑰以及所使用的加密算法。對於該實例，該證書由認證服務商例如VeriSign籤名，並調用具有特定長度即2040位的密鑰進行RSA加密。在核實該證書之後，這個買家的瀏覽器產生用於對稱密鑰密碼系統的128或256位的密鑰。使用證書上的RSA公共加密密鑰對該密鑰進行加密，並且所產生的密文被發送給在線銷售商。銷售商和買方現在共享了機密對稱密鑰，並且他們現在可以安全地交流。電子商務的成功依賴於通過公鑰加密技術和可信的第三方，例如認證服務商如VeriSign,所產生的信任。雖然一些政府部門做出了努力，商業部門享受到市場的擴展，同時公眾也享受到巨大的購買機會。下列實例闡釋使用本文所公開的方法時，公鑰密鑰加密技術可被修改為支持個人的私密利益。專用蜂窩覆蓋只要蜂窩概念需要一臺設備位於特定小區內，蜂窩系統內就存在MSC能夠將用戶設備定位到一個或少量的小區地點的程度的需求。但是重要的是應注意到，是設備而不是特定的人即用戶需要被定位。本文所提供的用於蜂窩系統的專用重疊(圖I和4)通過嚴格分離設備身份和用戶身份來保護用戶的隱私。在本實例中所述的專用蜂窩覆蓋的實施例採用了用於在公鑰密碼系統內分發經認證公鑰的系統。使用PKI類型的處理來認證密鑰，這對本領域技術人員來說是公知的。用於在公鑰密碼系統一認證機構或PKI(或其等同功能)內分發認證公鑰的系統為網絡和所有用戶提供公用加密密鑰以及私用解密密鑰。現有蜂窩基礎體系增加專用重疊可如下建立。本實例具體描述了一個實施例，其中使用具有標準性能的蜂窩電話，該蜂窩電話被增加了在專用模式下運行的功能，即網絡不能夠將電話的位置數據與特定用戶關聯的模式。對於本領域技術人員來說，顯然使用本領域已知的其他蜂窩或無線平臺也是可以預想到的。專用模式基於專用註冊過程，該過程由網絡每天(或以適當的間隔)一次向每個授權用戶發送相同的認證消息來啟動。使用該用戶的公用加密密鑰對發送到每個用戶的認證消息進行加密。當用戶希望進入專用蜂窩模式時，用戶使得蜂窩平臺向網絡發送專用授權註冊(PER)消息。由認證消息和隨機設備標籤(RET)組成的PER使用網絡的公用加密密鑰對PER加密。PER內的認證消息相當於零確認證明，向網絡表明PER由有效用戶發送，但實際上不用於標識該用戶(下面將解決克隆的問題)。RET是隨機數，其可以被輸入到訪問位置寄存器(VLR)和歸屬位置寄存器(HLR)，並被當作電話號碼。VLR和HLR收集建立和保持對於蜂窩平臺的電話呼叫所需的所有信息，但不把所述信息與特定的用戶或電話號碼相關聯。只要用戶保持專用蜂窩模式，隨後的註冊消息包括與用戶電話號碼不同的RET。建立蜂窩電話呼叫、移動性管理以及漫遊將完全和以前一樣處理，區別在於HLR和VLR位置信息與RET而不是電話號碼相關聯。通過將RET與臨時IP位址相關聯，可保持數據呼叫的私密性。本領域已知的通用分組無線業務(GPRS)標準的一個版本可用於任何匿名的分組數據協議(PacketDataProtocol,TOP)環境。該環境將SGSN處的PDP地址與臨時的邏輯連接識別符相關聯；MSI不與PDP地址相關聯，因此環境是匿名的。具體細節在ETSIGSM03.60的章節9.2.2.3的早期版本中有過具體描述，但後來從該標準中刪除。被叫通話要求主叫方已知RET。為了將RET與正確的HLR相關聯，主叫方可識別為被叫方提供服務的服務提供商。因此專用蜂窩模式下的用戶可使用公鑰加密來向他或她願意接收呼叫的各方分發他或她的RET以及服務提供商的身份。可以使用為被叫通話建立的專用環境來建立專用模式下蜂窩平臺的呼叫，或者可替換的，使用不同的隨機字符串基於每次呼叫來註冊呼出通話。這會減少與單個隨機字符串相關的信息量，從而減少了服務提供商將專用環境與特定用戶關聯的能力。克隆和收費問題都可以通過在蜂窩平臺內建立可信賴平臺模塊(TPM)解決。TPM(或等同設備)可被編程以將認證消息保存在加密安全庫內，因此試圖將認證消息轉移到另一個平臺的任何人均不能夠獲得該認證消息。因此當網絡接收到PER消息時，網絡可以確保發送該消息的電話實際上從網絡接收到了認證消息。遠程證明可被用於確保控制TPM的軟體沒有被改變。至於收費，服務提供商面對一個不便的任務是為未知方提供服務。解決方法仍然在於TPM。可通過平臺內軟體控制該平臺可用的專用通話時長的數值，其中該軟體可以通過遠程證明來認證。在一個實施例中，專用通話時長是預付費的。將專用模式按照預付費業務來考慮具有潛在的與通信協助執行法案(CALEA)相關的顯著優點，因為CALEA目前不覆蓋預付費蜂窩電話。在美國以及其他許多國家，人們可購買和使用預付費蜂窩電話，而不用將姓名和電話相關聯。因此本文公開的專用重疊為後付費蜂窩電話用戶提供了預付費電話的專用益處。6.2實例2:匿名認證本實例和實例6.3考慮了對於信息網絡應用考慮隱私的設計的實際情形。本實例描述了一種專用重疊，其解決了對於信息網絡(例如蜂窩、無線)常見的問題一用戶認證的需求，同時努力減少數據和個人的識別度。本實例具體介紹了無屬性需求產生了能夠支持實踐工程師在他或她開發考慮隱私系統的工具的需求。在章節6.3，實例3中，公開了一種考慮隱私的需求響應系統。在實例3中，還解決了幾個架構性問題，強調了分布式處理需求的重要性。在許多不同的場景下，移動計算和通信網絡中出現了認證問題，從蜂窩電話呼叫到在咖啡店內訪問網際網路。因此認證問題是向服務提供商證明你就是你聲稱的那個人。但是如果在減小設備和個人的識別度的理念下再深入探究一點點，就會看出從服務提供商的出發點來看，問題的真正實質是確保能夠為所提供的服務接收到費用。因此無屬性需求可能被滿足；服務提供商不是必須知道向誰提供業務，而只要確保支付到位即可。如果可以建立匿名認證，則運行服務所必需的任何數據採集(例如被叫通話被路由到蜂窩電話所需的位置信息)都是匿名的。匿名認證的特點是零確認證明。用戶可能希望向服務提供商證明他或她是授權用戶池中的一員，而不用提供任何個人識別信息。章節6.I的實例I(圖I)公開了對於蜂窩電話的特定應用方案的一種可行的解決方法，儘管有經驗的從業人員顯然理解該方法可以應用到許多應用中，例如無線網絡或公用通信網絡或第三方數據和接收管理。可提供能夠為網絡和用戶分發公鑰的公鑰基礎設施(PKI)。服務提供商周期性地為所有被授權使用網絡的用戶分發認證消息。認證消息對於所有用戶都是相同的，但使用各個特定用戶的公鑰進行加密。加密後的認證消息可使用電子郵件、無線控制信道或者任何適用於該應用的手段進行傳送。在一些實施例中，認證消息是不可轉移的，此時可以採用加密庫技術，例如可信賴平臺模塊(TPM)。如果用戶希望認證以獲得服務，認證消息和用於標識設備的隨機標籤一起被發回到網絡。使用網絡的公鑰對認證消息進行加密。一旦接收到該消息，網絡就得知用戶請求訪問是有效的，因為用戶知道認證消息。但是網絡不知道用戶的身份。隨後網絡可以根據需求使用隨機標籤聯繫用戶設備並為用戶設備提供訪問權限。上述專用重疊的實例闡釋了無屬性需求的應用建立了一種用於保護用戶隱私的系統，如果需要的話，網絡可和用戶設備交互以及追蹤該用戶設備，而不用知道該設備屬於誰。這種設計用於保護用戶的隱私，並允許專用和匿名使用。6.3實例3:需求響應和分布式處理公用事業採用了微網格以及其他提供能源生產中的節省成本的系統，其增加了網格可靠性和靈活性，並生成新的客戶-公用事業交互模式(例如參看FederalEnergyRegulatoryCommission,(2009年9月)，2009Assessmentofdemandresponseandadvancedmetering,StaffRep.http://www.fere,gov/legal/sraff-reports/sep-09-demand-response.pdf)。需求響應系統在這一方面起到關鍵作用。一般而言，需求響應系統通過終端使用者對電力價格隨時間的變化來調整電力消費行為(M.H.Albadi和E.F.El-Saadany,Asummaryofdemandresponseinelectricitymarkets,ElectricPowersyst.Res.，第78卷，第1989-1996頁，2008年)。不管是為客戶提供價格信息還是由公用事業公司直接控制設備而產生的調整，都會改變需求時間、瞬時需求等級、或者在給定時間周期內的總需求(OECD,InternationEnergyAgency,ThePowertoChoose-DemandResponseinLiberalizedElectricityMarkets,巴黎,法國，2003)。總體目標是平衡電力隨時間的消費，以減輕使得發電機在線和離線的公用事業(昂貴)需求。需求響應系統所需的電力消費信息的精度級別要遠比每月支出精細的多。原因很簡單如果一天當中根據價格調整消費行為，那麼消費信息必須具有與價格信息相同級別的精度，從而適當地向客戶收費。解決方案是高級計量基礎設施(AMI)，它不同於過去的每月一次地讀表，其是可以按分鐘來對電力消費進行採樣和記錄的技術。AMI開發已經進行了數年。聯邦能源監管委員會預計在2009年將在全國安裝795萬臺高級計量表(FederalEnergyRegulatoryCommission,(2009年9月)，2009Assessmentofdemandresponseandadvancedmetering,StaffRep.http://www.fere,gov/legal/sraff-reports/sep-09-demand-response.pdf)。到2009年為止，19個州的29家公用事業公司宣布或實施了高級計量試點或者全面部署程序。需求響應的潛在影響是巨大的。如圖5所示(FederalEnergyRegulatoryCommission,(2009年9月),2009Assessmentofdemandresponseandadvancedmetering,StaffRep.http://www.fere,gov/legal/sraff-reports/sep-09-demand-response.pdf),根據AMI分布的水平，美國在電力需求的夏季高峰期，電力總負荷的潛在節省可從4%到20%。這對美國對外國石油和相關資源的需求的正面影響是很難誇大的。更具體地參看圖5,可以看出節能程度是AMI參與率的函數。圖6給出了不同場景的注釋。比較圖6和圖5，注意到B選擇加入參與場景的節能預計9%，而強制的統一方式是20%。如果調整者要求用戶在他們的家裡安裝高級計量表，那麼峰值消費額外降低11%是可行的。這個問題將具有全國性的意義，因為除非AMI被正確安裝，否則它將造成嚴重的隱私威脅。Lisovich等人表示高級計量系統採集的具體電力消費數據洩漏了室內活動的信息(參見M.Lisovich,D.Mulligan和S.B.Wicker,Inferringpersonalinformationfromdemand-responsesystems,IEEESecurityPrivacyMag.第8卷第I期，第11-20頁，2010年1/2月)。另外，這些數據可以和其他易獲得的信息組合，甚至能發現所有者的更多活動信息(M.Lisovich,D.Mulligan和S.B.Wicker,Inferringpersonalinformationfromdemand-responsesystems,IEEESecurityPrivacyMag.第8卷第I期,第11-20頁，2010年1/2月)。這一結果是根據在標準學生宿舍(具有了適當的隱私保護，並且獲得了住宿人員的明確許可)中進行的實驗而獲得的。所製造的電力使用監控儀被連接到住宿人員的斷路器面板以採集實時的電力消費數據。這些數據以每I秒或15秒的間隔獲得，解析度為lw，該數據被傳送到在工作站上運行的非侵入式負載監測(NILM)應用程式。隨後在工作站上運行行為提取算法以試圖僅基於電力消耗來預測行為。使用視頻數據來建立對該實驗的控制。該實驗的一些結果在圖7a_d中介紹。圖7(a)描述了幾天中累計的電力消費數據。垂直軸用瓦特標註，而水平軸表示幾天中的時間流逝。每天內幾個主要的電力消費峰值表明住所內的活動。圖7(b)示出了對於幾百秒內採集的電力消費數據應用邊緣檢測算法的結果。邊緣檢測算法相當簡單並且是本領域公知的這幅圖表示相鄰時間的電力消費樣本間的差值。垂直軸表示Λ(t)=(04(卜1)，其中？(0是在時刻t的電力消耗採樣。水平軸表示時間。注意到現在可以分離出特定的切換事件；很容易看出冰箱和微波爐生成的電力消耗瞬變。圖7(c)是負荷識別程的屏幕截圖。其顯示出如何對一天(水平軸的單元是天)內的事件進行分離和分類。通過這類信息，我們可以估計出個體在室內的行為。圖7(d)示出電力消費數據可被用於估計與個人行為相關的變量。參考線表示實際行為。在「參考作息線」之上，零表示居住者在入睡；一表示他醒著。在「參考存在線」上，零表示住所的居住者不在家；一表示他在家。估計線表示我們對這些事件的估計結果。注意到參考數據和估計數據相當接近。既然電力消費數據產生了隱私問題，那麼很顯然集中的採集會使得採用公用事業設施的用戶感到不安。然而集中採集看起來是將要實施的方向。在下面從2006FERC「AssessmentofDemandResponseandAdvancedMetering，，的摘要中，AMI被定義為提供集中採集的系統。看起來並沒有對客戶隱私需求更敏感的架構選擇的考慮。出於這篇報告的目的，委員會人員將「高級計量」如下定義「高級計量是每小時地或以更高的頻率來記錄客戶消費的計量系統，其通過通信網絡將每天的或更高頻率傳送的測量結果傳送到集中米集點」(FederalEnergyRegulatoryCommission,Assessmentofdemandresponseandadvancedmetering,Washington,DC,StaffRep.,DocketNo.AD06-2-000,2006年8月，第6頁)。上述定義已經被公用事業設施引用，並被本領域認可(E.Steel和J.Angwin,Ontheweb’scuttingedge,anonymityinnameonly,WallStreetJ.，04.8月2010)。該定義也已經在FERC公開的高級計量基礎設施(AMI)文獻中以圖示表示，參看圖8(EngineeringPowerResearchInstitute,AdvancedMeteringInfrastucture.http://www.fere.gov/eventealendar/Files/2-0070423091846-EPRI%20-%20Advanced%20Metering.pdf)。注意到參考文獻是對於第三方數據接收和管理的可能性做出的。這有爭議地增加了所獲得數據的不符合規範使用的可能性，包括市場人員和其他人的商業化和隨後的再使用。需求響應系統的長期未來是有風險的。消費者對於潛在的侵犯隱私變得警醒，從而有動機促使立法尋求該系統的昂貴替換形式。司法措施也可能使得該項目具有風險。無論是來自公眾的呼籲或者司法行為，放棄隱私的系統最終會沒有出路。但是通過考慮隱私設計的放大鏡來看需求響應系統，保有隱私的技術方案是很明顯的。需求響應系統的目標是，不管是誘導還是直接控制，通過使用更精細的價格信息來調整消費行為。利益-消費行為分別很大。當考慮分布式處理需求時，顯然不是必需採集電力消費數據，而實際上需要分發價格數據。更精細的消費信息需求從不會離開近鄰，因此減輕了大多數的隱私顧慮。考慮隱私的需求響應結構必須解釋幾個不同的數據流。對於每個數據流，需要執行隱私分析，並且如果需要的話，採用考慮隱私的設計。首先，在尋求改變客戶行為的系統內，價格數據必須被提供給客戶，以使得他/她具有做出消費決策的基礎。這不存在隱私顧慮，因為公用事業公司可以把價格廣播到住所的計量表和/或客戶的家用計算機上的應用程式。其次，在直接控制系統中，公用事業公司必須向設備發送信號以控制設備在一天當中的電力消耗。儘管這會產生嚴重的安全隱患，但並不會產生關於客戶在家中的行為及偏好的息。第三個數據流更加有問題。客戶特定的消費數據必須提供給公用事業公司以用於收費。此時存在一個問題，因為人們不能在不產生前述隱私問題的情況下向公用事業公司傳送消費數據。人們也不能傳送實時消耗數據，因為這對於將信息轉換成消費數據是不重要的。解決方法是累加住所的價格加權後的消費數據，然後將累加成本每周或每月發送到公用事業公司。這意味著計量表需要可信賴平臺模塊或等同形式的安全級別。最後，公用事業公司需要暫時精確的消費數據，但以客戶級別累加，以預測需求並維持價格模型。通常，在子站點級別累加後的實際電力消耗數據已經足夠用於預測新的傳輸和分配線的需求，以及為所預測需求服務所需的生產。近鄰的累加器可以被用於組合和匿名數據，從而提供所需的暫時精度，而不會生成關於個人行為的信息。可以通過累加一定數量的客戶的電力消費數據來執行匿名操作，因此不能分離出單個客戶的數據。上述解決方案被嵌入在圖9所示的架構中。本發明不局限於本文所述的特定實施例。實際上，對於本領域技術人員來言，除了本文所述形式之外，顯然可根據前述說明對於本發明做出各種修改。這類修改應落入所附權利要求書的範圍內。本文所應用的參考文獻被以全文引用方式且通用地併入，就如同每篇公開文獻、專利或專利申請被單獨且特別指定為其通過全文引用方式且通用地併入一樣。任何公開文獻的引用是出於早於申請日的公開的目的，並且其不應被解釋為承認本發明無權由於在先發明而早於這些公開文獻。權利要求1.一種用於保護網絡中平臺的用戶隱私的系統，該系統包含專用重疊(10)，該專用重疊包含用於在公鑰密碼系統中分發經認證公鑰的系統(20)；其中該平臺(40)被包含在用戶設備(30)內，以及該用於分發經認證公鑰的系統為該網絡(50)和該網絡的每個授權用戶提供針對該網絡和每個授權用戶的公共加密密鑰。2.如權利要求I所述的用於保護隱私的系統，其中所述用戶設備是蜂窩或行動電話、計算機或客戶數據採集系統、效用度量表或者有線終端。3.如權利要求2所述的用於保護隱私的系統，其中所述客戶數據採集系統是效用度量表。4.如權利要求I所述的用於保護隱私的系統，其中所述用於分發經認證公鑰的系統是公鑰基礎設施及認證機構(PKI)。5.如權利要求I所述的用於保護隱私的系統，其中所述平臺是蜂窩平臺，並且所述網絡是蜂窩網絡，所述平臺是無線平臺，並且所述網絡是無線網絡，或者所述平臺是公用事業平臺或第三方數據接收和管理平臺，並且所述網絡是與客戶數據採集單元相互通信的通信網絡。6.如權利要求I所述的用於保護隱私的系統，其中生成並本地地存儲私用解密密鑰。7.如權利要求I所述的用於保護隱私的系統，其中所述平臺是蜂窩平臺，所述網絡是蜂窩網絡，以及所述蜂窩網絡將所述用戶設備與隨機數相關聯，從而將所述用戶設備與用戶身份相分離。8.如權利要求I所述的用於保護隱私的系統，其中所述平臺是無線平臺，所述網絡是無線網絡，以及所述無線網絡將所述用戶設備和與用戶帳號識別符不同的隨機數相關聯，從而將所述用戶設備與用戶身份相分離。9.如權利要求I所述的用於保護隱私的系統，其中所述平臺是公用事業平臺或第三方數據接收和管理平臺，所述網絡是通信網絡，以及所述通信網絡將所述用戶設備與隨機數相關聯，從而將所述用戶設備與用戶身份相分離。10.如權利要求I所述的用於保護隱私的系統，包含加密晶片(60)，其中所述平臺包含所述加密晶片，並且其中所述加密晶片被編程以將認證消息保存在加密的安全庫內。11.如權利要求10所述的用於保護隱私的系統，其中所述加密晶片是可信賴平臺模塊(TPM)012.如權利要求10所述的用於保護隱私的系統，其中所述平臺是蜂窩式的，並且所述加密晶片被編程以記錄所述用戶設備在蜂窩模式下的通話時長。13.如權利要求12所述的用於保護隱私的系統，其中通話時長是預付費的。14.如權利要求10所述的用於保護隱私的系統，其中所述平臺是無線的，所述加密晶片被編程以記錄所述用戶設備在無線模式下的無線使用時長。15.如權利要求14所述的用於保護隱私的系統，其中無線使用時長是預付費的。16.如權利要求10所述的用於保護隱私的系統，其中所述加密晶片被編程以支持遠程證明，從而所述網絡遠程確定所述用戶設備是否被授權。17.如權利要求10所述的用於保護隱私的系統，其中所述加密晶片被編程以支持遠程證明，從而所述網絡遠程確定所述用戶設備是否被克隆。18.如權利要求10所述的用於保護隱私的系統，其中所述加密晶片被編程以支持遠程證明，從而所述網絡遠程確定所述用戶設備的硬體和/或軟體是否被改變。19.一種用於保護網絡中平臺的用戶隱私的方法，該方法包括如下步驟提供專用重疊(10)，該專用重疊包含在公鑰密碼系統中分配經認證公鑰的系統(20)；其中該平臺(40)被包含在用戶設備(30)內，以及該用於分發經認證公鑰的系統為該網絡和該網絡的每個授權用戶提供針對該網絡和每個授權用戶的公共加密密鑰。20.如權利要求19所述的方法，其中所述用戶設備是蜂窩或行動電話、計算機或客戶數據採集系統。21.如權利要求20所述的方法，其中所述客戶數據採集系統是效用度量表。22.如權利要求19所述的方法，其中所述用於分發經認證公鑰的系統是公鑰基礎設施及認證機構(PKI)。23.如權利要求19所述的方法，其中該平臺是蜂窩平臺，並且該網絡是蜂窩網絡，該平臺是無線平臺，並且該網絡是無線網絡，或者該平臺是公用事業平臺或第三方數據接收和管理平臺，並且該網絡是與客戶數據採集單元通信的通信網絡。24.如權利要求19所述的方法，其中生成並本地地存儲私用解密密鑰。25.如權利要求19所述的方法，其中該平臺是蜂窩平臺，以及該網絡是蜂窩網絡，該方法還包含步驟該蜂窩網絡將該用戶設備與隨機數關聯，從而將該用戶設備與用戶身份相分離。26.如權利要求19所述的方法，其中該平臺是無線平臺，以及該網絡是無線網絡，該方法還包含步驟該無線網絡將該用戶設備與隨機數關聯，從而將該用戶設備與用戶身份相分離。27.如權利要求19所述的方法，其中該平臺是公用事業平臺或第三方數據接收和管理平臺，該網絡是通信網絡，以及該通信網絡將該用戶設備和隨機數關聯，從而將該用戶設備與用戶身份相分離。28.如權利要求19所述的方法，其中該專用重疊包含加密晶片，其中該平臺包含加密晶片，並且其中該加密晶片被編程以將認證消息保存在加密的安全庫內。29.如權利要求19所述的方法，其中該加密晶片是可信賴平臺模塊(TPM)。30.如權利要求19所述的方法，其中該平臺是蜂窩式的，且該加密晶片被編程以記錄該用戶設備在蜂窩模式下的通話時長。31.如權利要求30所述的方法，其中通話時長是預付費的。32.如權利要求19所述的方法，其中該平臺是無線的，且該加密晶片被編程以記錄該用戶設備在無線模式下的無線使用時長。33.如權利要求32所述的方法，其中無線使用時長是預付費的。34.如權利要求19所述的方法，其中該加密晶片被編程以支持遠程證明，該方法還包括步驟該網絡遠程地確定該用戶設備是否被授權。35.如權利要求19所述的方法，其中該加密晶片被編程以支持遠程證明，該方法還包括步驟該網絡遠程地確定該用戶設備是否被克隆。36.如權利要求19所述的方法，其中該加密晶片被編程以支持遠程證明，從而該網絡遠程地確定該用戶設備的硬體和/或軟體是否被改變。37.如權利要求19所述的方法，其中還包括在專用模式下運行該平臺的步驟，其中當該平臺以該專用模式運行時，該網絡不能將該平臺的位置數據與特定用戶相關聯。38.如權利要求37所述的方法，其中以專用模式運行該平臺的步驟包含執行專用註冊的步驟，其中專用註冊包含如下步驟該網絡周期性地向該網絡的每個授權用戶傳送相同的認證消息；以及該網絡使用用戶的公用加密密鑰對傳送給每個授權用戶的認證消息進行加密。39.如權利要求38所述的方法，其中該網絡周期性地傳送相同的認證消息的步驟被每日執行。40.如權利要求37所述的方法，其中以專用模式運行平臺的步驟包含如下步驟該平臺向該網絡發送專用授權註冊(PER)消息；以及該平臺使用該網絡的公用加密密鑰對PER加密，其中該PER包含該認證消息和隨機設備標籤(RET)。41.如權利要求40所述的方法，其中該PER內的該認證消息相當於零確認證明，其向網絡表示PER由有效用戶發送；並且該PER內的認證消息不對該用戶進行標識。42.如權利要求40所述的方法，其中該RET是隨機數。43.如權利要求40所述的方法，其中該方法包含如下步驟將該RET輸入到該網絡的訪問位置寄存器(VLR)和歸屬位置寄存器(HLR);以及將該RET當作電話號碼、帳戶識別符或者用戶ID數據傳送，從而該VLR和HLR收集建立和保持對該平臺的蜂窩電話或數據呼叫、無線數據連接或數據傳輸所需的信息，但不將所述信息與特定的用戶、電話號碼、帳號識別符或用戶ID相關聯。44.如權利要求43所述的方法，其中該蜂窩電話或數據呼叫、無線數據連接或者數據傳輸是呼入或呼出的。45.如權利要求43所述的方法，其中包含將該RET與臨時IP位址相關聯的步驟。46.如權利要求44所述的方法，其中該蜂窩電話呼叫是被叫通話，該方法包含如下步驟將用戶的RET和該蜂窩網絡的業務提供商的身份分發給用戶希望接收蜂窩電話呼叫的各方，其中該分發步驟使用公鑰加密。47.如權利要求46所述的方法，其中該用戶執行該分發步驟。48.如權利要求46所述的方法，其中該用於分發經認證公鑰的系統執行該分發步驟。49.如權利要求19所述的方法，其中該方法包含在該蜂窩平臺內嵌入加密晶片的步驟，其中該加密晶片被編程以將認證消息保存在加密的安全庫內。50.如權利要求49所述的方法，其中該加密晶片是可信賴平臺模塊(TPM)。51.如權利要求49所述的方法，其中當該設備處於蜂窩模式時，該加密晶片被編程以記錄蜂窩電話通話時長。52.如權利要求51所述的方法，其中通話時長是預付費的。53.如權利要求49所述的方法，其中該加密晶片被編程以支持遠程證明，該方法包含該網絡遠程確定該設備是否被授權的步驟。54.如權利要求49所述的方法，其中該加密晶片被編程以支持遠程證明，該方法包含該網絡遠程確定該設備是否被克隆的步驟。55.如權利要求49所述的方法，其中該TPM被編程以支持遠程證明，該方法包含該網絡遠程確定該設備的硬體和/或軟體是否被改變的步驟。56.一種用於確定用戶設備是否被授權的方法，其中該用戶是網絡中平臺的用戶，該方法包括提供專用重疊的步驟，該專用重疊包含用於在公鑰密碼系統中分發經認證公鑰的系統；其中該平臺被包含在用戶設備內，以及該用於分發經認證公鑰的系統為該網絡和該網絡的每個授權用戶提供針對該網絡和每個授權用戶的公共加密密鑰。57.一種用於確定用戶設備是否被克隆的方法，其中該用戶是網絡中平臺的用戶，該方法包括提供專用重疊的步驟，該專用重疊包含在公鑰密碼系統中分發經認證公鑰的系統；其中該平臺被包含在用戶設備內，以及該用於分發經認證公鑰的系統為該網絡和該網絡的每個授權用戶提供針對該網絡和每個授權用戶的公共加密密鑰。58.一種用於確定用戶設備的硬體或軟體是否被改變或篡改的方法，其中該用戶是網絡中平臺的用戶，該方法包括提供專用重疊的步驟，該專用重疊包含用於在公鑰密碼系統中分發經認證公鑰的系統；其中該平臺被包含在用戶設備內，以及該用於分發經認證公鑰的系統為網絡和該網絡的每個授權用戶提供針對該網絡和每個授權用戶的公共加密密鑰。59.一種用於向用戶收費的方法，其中該用戶是網絡中平臺的用戶，該方法包括提供專用重疊的步驟，該專用重疊包含用於在公鑰密碼系統中分發經認證公鑰的系統；其中該平臺被包含在用戶設備內，以及該用於分發經認證公鑰的系統為該網絡和該網絡的每個授權用戶提供針對該網絡和每個授權用戶的公共加密密鑰。60.如權利要求56，57，58或59所述的方法，其中所述平臺是蜂窩平臺，並且所述網絡是蜂窩網絡，所述平臺是無線平臺，並且所述網絡是無線網絡，或者所述平臺是公用事業平臺或第三方數據接收及管理平臺，且所述網絡是與客戶數據採集單元相互通信的通信網絡。全文摘要本發明公開了一種用於信息網絡的專用重疊，使得用戶能夠掌控該用戶的個人信息。用戶身份從指向用戶設備可在其中被尋呼的小區的數值標籤中被分離出來。通過註冊和認證機構、例如公鑰基礎設施及認證機構(PKI)來生成專用重疊。註冊和認證機構為網絡和所有用戶提供用於該網絡和用戶的公用加密密鑰。以適當的方式生成和本地存儲私用解密密鑰。由於增加了私用解密密鑰，能夠針對由例如蜂窩、無線網絡或由公用事業配給系統註冊的設備建立到現有蜂窩、無線或公用事業配給基礎設施的專用重疊。文檔編號H04L9/32GK102934392SQ201180027910公開日2013年2月13日申請日期2011年4月12日優先權日2010年4月13日發明者史蒂芬·B·威克申請人:康奈爾大學