用於保護隱私的廣告選擇的系統和方法

2023-07-06 23:58:26 4

專利名稱：用於保護隱私的廣告選擇的系統和方法
用於保護隱私的廣告選擇的系統和方法
背景技術：
廣告有時打算提供給特定群組或特定人口的潛在消費者。在收費電視(例如，有線或衛星)的情況下，通常由用戶的機頂盒(STB)將針對性的廣告以實況運動圖像專家組(MPEG)傳輸流形式插入到的廣告時段中。通常頭端(head end)可以控制哪個機頂盒播放特定廣告。因為機頂盒做出選擇決定，並且用於做出所述決定的私有信息被包含於STB中，而不是在有線/廣播頭端處，所以通常要求協議是「保護隱私的」。然而，在這種布置下，可以根據在以下過程期間在STB和頭端之間的通信推斷出私有信息:(I)選擇家庭播放廣告，和(2)對由這些STB呈現廣告的次數進行計數。由頭端選擇家庭來播放廣告的用於針對性投放廣告的一個協議如下。從某一外部源頭(例如媒體購買者或廣告主)向有線/廣播頭端提供廣告宣傳。所述廣告宣傳具有一組相關的標準，該標準描述期望的觀看者(例如，淨收入大於$100，000的家庭，或者有學齡前兒童的家庭)和待達到的家庭的總數目。每個STB包含關於其家庭的信息(例如，淨收入)。當展示廣告的時機接近時，頭端發送「廣告時機」消息到所有的STB，其中所述消息包含用於廣告的標識符(廣告的內容可以被單獨地推送到STB)並且還包含用於展示所述廣告的標準。STB利用家庭的私有信息來評價標準是否匹配。如果匹配，則STB發送「符合標準」消息到頭端，識別該STB。頭端從那些響應的家庭中選擇子集(該子集對應於需要達到的家庭數目)，並且發送「展示廣告」消息到每個所選擇的STB，請求展示所述廣告。廣告可以提前在本地存儲於STB硬碟(HD)上，並從HD在本地展示。為了最小化開銷，廣告的分發器可以在當最少利用帶寬時的低流量期間(例如，午夜)將廣告文件推送到STB上。在廣告被展示之後，從STB向頭端發送「廣告已展示」消息，允許對廣告的單次展示進行計數。這對於為了驗證廣告已經展示給所需數目的家庭而言是必要的。雖然上述協議沒有要求用戶的特定私有信息留在STB，但是「符合標準」信息確實通知頭端(能訪問該消息的任何其它方)特定的STB符合特定的標準。雖然並未通過發送「符合標準」消息而將明確的私有信息(例如，確切的家庭淨收入)從STB發送到頭端，但是STB向頭端提供了關於其具體家庭的私有消息(例如，通過聲明家庭符合標準，STB向頭端表明該家庭的淨收入例如大於$100，000)。因此，傳統的協議仍洩露了敏感信息。


圖1為示出了可以實現實施例的系統的拓撲的框圖。圖2為示出了可以實現實施例的系統的可替換拓撲的框圖。圖3A和圖3B示出了描述根據實施例的匿名化協議的流程圖。圖4為示出了根據實施例的在示例性拓撲中使用匿名化協議的的框圖。圖5為示出了實施例的全部過程的流程圖。圖6為示出了根據實施例的由頭端初始處理播放廣告請求的流程圖。圖7為示出了根據實施例的由頭端處理的STB響應的流程圖。
圖8為示出了根據實施例的由STB處理以確定是否展示廣告的流程圖。圖9示意性地示出了根據實施例的匿名化協議的使用。圖10為示出了在頭端處執行的邏輯的軟體或固件實施例的框圖。圖11為示出了在匿名化節點處執行的邏輯的軟體或固件實施例的框圖。圖12為示出了在STB處執行的邏輯的軟體或固件實施例的框圖。在附圖中，附圖標記的最左側數字表示該附圖標記第一次出現的圖。
具體實施例方式現在將結合附圖描述優選實施例，在附圖中相似的附圖標記表示相同的或功能上類似的元件。而且在附圖中，每個附圖標記最左側的數字對應於第一次使用該附圖標記的附圖。雖然討論了具體的配置和布置，但是應該理解的是，這只是出於說明的目的。在相關領域中的技術人員將認識到在不偏離說明書的精神和範圍的情況下，可以使用其它的配置和布置。對於相關領域的技術人員而言顯而易見的是，本發明也可以應用於不同於本文所描述的多種其它系統和應用中。本文公開在例如收費電視(有線或衛星)或網際網路內容輸送(例如，hulu.com或youtube, com)的多媒體設定中提供針對性投放廣告的方法和系統。接收針對性廣告的家庭可以保持匿名並且防止暴露私有信息。這可以通過使用匿名化協議和具有用於STB選擇和報告的機制的基本結構來實現。通過確保當STB符合定義的標準且向頭端發送「符合標準」消息(在選擇過程期間)或者「廣告已展示」消息(在驗證或計數過程期間)時，STB或家庭標識符不被洩露，因而使得家庭消息對頭端或其它方是匿名的，這可以使得被選擇以播放廣告的家庭組匿名。另外，通過僅對符合具體標準的那些家庭投放廣告，並且對顯示廣告的實際實例的數目進行計數，這可以同時允許頭端控制廣告宣傳過程。頭端還能夠對廣告顯示的次數進行計數，而不知道哪個單獨的家庭觀看了該廣告。匿名化服務可以利用匿名化協議來允許頭端在選擇過程期間從STB收集匿名數據。選擇協議可以允許頭端控制哪個STB可以播放具體廣告。匿名化服務可以幫助確定以下兩個問題的答案:(I)有多少家庭符合播放廣告的標準？和(2)有多少STB播放了具體的廣告？圖1是示出了可以在實施例中使用的部件的框圖。示出的頭端110與STB120進行通信。該連接可以允許頭端110通知STB120存在顯示廣告的時機。頭端110還可以識別廣告和指定在STB120能夠展示廣告之前必須符合的標準。該信道還可以允許頭端請求STB120展示廣告。如果STB120確定其家庭符合聲明的標準，則STB120可以經由匿名化服務130將該確定傳達給頭端110。匿名化服務130可以以保護STB120的家庭的匿名性的方式允許STB120告知頭端110 =STB120的家庭符合標準。以下將對保護匿名的過程進行更詳細地描述。在STB120展示了廣告之後，廣告被展示的事實可以由STB120通過匿名服務130傳達給頭端110。因為該傳達可能以其他方式洩露STB120的家庭符合聲明的標準，所以服務130的使用可以隱藏這個事實，這將在以下進行更詳細的描述。雖然在圖1中示出了單個STB120，但是在本發明的實施例中，可以在單個家庭中呈現一個或多個STB。所有的這種STB將以與STB120相同的方式與頭端110和匿名化服務130進行通信。此外，通常多於一個的家庭具有STB ;再者，這些STB的每一個在其各自的家庭中可以以與STB120相同的方式與頭端110和匿名化服務130進行通信。如本領域的普通技術人員可以理解的，頭端110和STB120的結構在各種實施例中可以不同。匿名化服務130可以具體化為網絡節點，該網絡節點包括伺服器，或者具有一個或多個可編程處理器的其它裝置，或者具有需要連接頭端110和STB120的電路的其它裝置。這種網絡節點可以被視為匿名化節點。如將在下文中更加詳細描述的，匿名化服務130還可以包括以硬體、軟體、固件或其一些組合來實現匿名化協議的功能。在本發明的實施例中，頭端和STB之間的通信可以通過內容分發網絡。這在圖2的實施例中示出。這裡，圖示出頭端210經由內容分發網絡215與STB220進行通信。在這種實施例中，匿名化服務230可以與頭端210進行通信。此外，匿名化服務230可以經由頭端210及其內容分發網絡215與STB220進行通信。如將在以下描述的，匿名化協議可以用於對頭端210隱藏家庭的私有信息。圖3A和圖3B示出了根據實施例的匿名化協議。需要注意的是，在以下描述和附圖中，Ε(Κ」Χ，...)表示利用密鑰Ki對數據欄位(X，...)進行加密。類似地，D(Kj, y,...)表示利用密鑰&對數據欄位y進行解密。如圖3A和圖3B中示出的協議可以用於在針對性投放廣告過程中保護家庭的隱私。圖示的協議的步驟被示出用於將通用數據從STB傳輸到頭端。如將在以下描述的，例如，該數據可以是關於家庭是否符合某些市場標準的指示，或者可以是在家庭展示了廣告的指示。

在305處，STB可以執行公鑰加密過程以對數據進行加密。為了執行該加密，STB可以使用公開密鑰對的公開部分，其中對應的私有部分由頭端持有。與頭端相關的該公開加密密鑰在本文稱為Kpuh,而頭端處所持有的相關私有部分在本文稱為KM。因此在305處示出的數據加密為E (Kpuh, data)S卩，利用密鑰1(_對數據加密。應注意，以下描述的所有利用公鑰對數據加密都可以實施為利用公鑰的對稱密鑰加密，其中對稱密鑰接著被用於加密數據。在310處，在實施例中STB可以結合該加密結果和用於STB的標識符(示為「10^」)、時間戳(「^!116」)和認證信息(「31^_丨1^0」)。時間戳可以是時間和日期的指示，或者可以是周期遞增計數器的值。認證信息可以是系統範圍密碼或者局部密碼、特定於STB的密碼、或者利用STB已知的私鑰籤名的數據欄位的散列(其中匿名化服務已知該密鑰的公開部分)。時間戳和認證信息可以用在接收者(匿名化服務)處以驗證通信的合法性，這將在下文中進行描述。在實施例中，E(K_ data)、IDSTB、時間戳和認證信息的結合可以表現為這些值的二進位表示的拼接。在315處，STB可以利用另一公開密鑰對的公開部分Kbja對該結合加密。該密鑰對的私有部分Km可由匿名化服務持有。在315處，STB因而執行E (Kpua, E (Kpuh, data), IDstb, time, auth_info)在320處，STB可以將結果發送給匿名化服務。應注意，自頭端接收到「廣告時機」消息的每個STB可以執行序列305-320。
在325處，匿名化服務可以利用其私鑰Kpri對每個接收到的消息E (Kpua, E (Kpuh, data), IDstb, time, auth_info)進行解密。應該存在接收自從頭端接收到「廣告時機」消息的每個STB的一個這樣的消息。因此，匿名化服務可以對每個接收到的消息執行以下操作D (KPrA, E (Kpua, E (KPuH, data), IDstb, time, auth_info))這可以為每個STB 產生值 E(KPuH，data)、IDstb, time、auth_info。現在參考圖 3B，在360處，對於從STB接收到的每個消息，匿名化服務隨後可以校驗時間戳以驗證其是足夠近期的且與先前接收到的任何其它消息的時間戳不匹配。如果時間戳太老或者與先前接收到的消息的時間戳匹配，則新接收到的消息可能是副本或者是延遲消息，可能由黑客或想要危害協議的其它第三方發送的。匿名化服務還校驗認證數據以驗證發送方(即，STB)的合法性。在362處，匿名化服務可以對從各自STB處接收到的所有消息E (KPuH, data)計算校驗和。該校驗和可以是循環冗餘碼(CRC)或其它校驗值。在可替換實施例中，校驗和可以是密碼函數的輸出。在365處，匿名化服務可以利用Kaffl對新的時間戳和校驗和進行加密:E (Kpuh, time, checksum)在370處,匿名化服務可以將E(KPuH, time, checksum)和每個E(KPuH, data)作為消息的集合組發送給頭端。通過發送來自每個STB的消息E(KPuH, data)的全部集合,可以保護各個個體STB的匿名。在375處，頭端可以對這些值進行解密。因此，頭端可以執行解密D (KPrH, E (Kpuh, time, cheksum))並恢復時間和校驗值。頭端還可以為每個E(K_，data)執行D (KPrH, E (Kpuh, data))並恢復數據。作為該協議的結果，頭端可能永遠都不會知道數據源頭(S卩，STB及其家庭)的身份。可以在匿名化服務處識別源頭，但是不會洩露給頭端。此外，因為源頭的身份可以在STB和匿名化服務之間進行加密，所以外部觀察者也同樣不能識別數據源頭。另外，因為數據在被頭端接收之前維持為加密的，所以匿名化服務不能確定從STB向頭端發送什麼信息。根據實施例，圖4示出了信息流。若干STB中的每個，STB1,…3 (也分別標記為421,422，…，423)，可以執行公鑰加密過程以對數據進行加密。為了執行該加密，STB可以利用公開密鑰對的公開部分Km，其中對應的私有部分Krih可以由頭端410持有。對數據加密的結果可以示出為E (Kpuh, data)在實施例中，每個STB可以結合該加密結果和用於STB的標識符(示為「IDSTBi」)、時間戳和認證信息。時間戳和認證信息可以用在接收者(匿名化服務430)處以驗證通信的合法性。每個STB可以利用公開部分Km對該結合進行加密。該密鑰對的私有部分Km可由匿名化服務430持有。每個STBi因而可以執行 E (Kpua, E (Kpuh, (Iatai), IDstm, time, auth_info)。然後每個STB可以將其結果發送給匿名化服務430。匿名化服務430可以利用其私鑰Km對接收到的消息進行解密。這產生值E(Kpuh, (Iatai)、IDSTB1、time和auth_info。匿名化服務430隨後可以校驗時間戳以驗證其與先前接收到的任何其它消息的時間戳不匹配。匿名化服務430還可以校驗認證數據以驗證每個發送方(即，STBi)的合法性。匿名化服務430可以接收來自許多節點的結果E (Kpuh, (Iatai)，每個結果來自每個STBi0在超時後，匿名化服務可以收集所有這些結果，並以隨機次序組合它們。匿名化服務430還可以利用Krih對結果列表的新的時間戳和校驗和進行加密:E (Kpuh, time, checksum)匿名化服務430可以向頭端410發送E (Kpuh, time, checksum)和包含每個E(Krih, data,)的隨機排序列表。頭端410隨後可以對這些值進行解密。因此，頭端410可以執行解密D (KPrH, E (Kpuh, time, cheksum))並恢復時間和校驗值。頭端410可以校驗所述校驗和與接收到的數據是一致的，以及所述時間戳與先前接收到的消息的時間戳不匹配。頭端還可以執行D (KPrH, E (Kpuh, (Iatai))並恢復每段Clatait5在一個實施例中，每個STB可以為其各自的家庭提供娛樂和廣告內容。這些家庭在圖4中示為家庭471，…，473。通常，STB可以訪問或存儲要求隱私的信息，例如:家庭收入、家庭成員的人口統計資料、家庭的地理位置等。就是該家庭信息可以用來匹配用於廣告的標準。例如，廣告可以針對具有某一收入水平的家庭，或者具有某個年齡組居民的家庭。如果符合標準，則STBi可以在Clatai中聲明其家庭符合標準並且適合觀看廣告。在實施例中，頭端410可以是內容分發器460的基本結構的一部分。例如，內容分發器460可以是有線電視公司、衛星電視公司或者網際網路內容輸送提供者。匿名化服務430可以由第三方480管理，而不依賴內容分配器460。根據實施例，以上討論的匿名化協議可以如圖5所示使用。在510處，由頭端接收並處理分發廣告的請求。該請求可以伴隨有用於顯示的標準，從而使廣告針對符合這些標準的家庭，以及應該達到的家庭數目。頭端可以用「廣告時機」消息將標準和用於廣告的標識符發送給STB。在實施例中，實際的廣告(例如，以及音頻/可視文件)可能已經預先被分發給所有的STB並存儲在其中。因此，頭端能夠向STB發送廣告的ID而無需發送實際的廣告。在520處，所有的STB可以檢查「廣告時機」消息中的標準，將該標準與存儲在STB上的關於STB的家庭的信息進行比較，並確定是否符合標準。然後通過發送「符合標準」消息經由匿名化服務應答頭端。為此，可以使用參考圖3A、圖3B和圖4在以上討論的匿名化協議。在這種情況下，由每個STB傳輸給頭端的數據可以包括關於STB的家庭是否符合標準的指示。

在530處，頭端可以處理匿名化的「符合標準」響應，並確定已經以肯定方式響應(即，表明其各自的家庭符合標準)的STB的數目。然後頭端可以向所有的STB廣播展示廣告的請求。在實施例中，該消息可以由頭端進行加密。在這種實施例中，可以利用頭端持有的私鑰執行加密，其中在每個STB處解密所需要的對應的公鑰是公開可獲得的。這種布置將防止未認證方出於傳輸的目的冒充頭端。
在540處，每個STB可以確定是否將展示廣告。如將在下文中更詳細描述的，該確定可以包括但不限於關於是否符合標準的確定。如果STB確定將展出廣告，則可以展出廣
生口 ο在550處，再次使用以上描述的匿名化服務和協議，每個STB可以用「廣告已展示」消息向頭端發送廣告的標識符和是否播放廣告的指示。對於STB發送的每條消息，數據欄位包含關於是否展示廣告的指示，而不是關於是否符合標準的指示。在560處，頭端可以對展示廣告的家庭的數目進行計數。根據實施例，圖6更詳細地示出了分發廣告(圖5的510)的請求的處理。在610處，在頭端處接收來自外部源頭的請求，要求播放廣告。在實施例中，該請求可以包括用於廣告的標識符(「ad ID」)、用於待播放廣告的家庭的標準(例如，特定家庭人口統計資料或收入水平)、以及請求播放廣告的家庭的數目(「N」)。在有些環境下，可能期望在儘可能多的家庭中播放廣告。在這種情況下，N將具有無限值。在620處，確定N是否具有無限值。如果N不是無限的且具有有限值，則在640處在頭端緩存標準、N和廣告標識符，並且在650處將消息發送給所有的STB，其中所述消息包括廣告標識符和標準。該消息可以聲明具 有時機為符合所聲明的標準的家庭展示識別出的廣告。如果N具有無限值，則在630處頭端可以發送消息到所有的STB，告知所有的STB如果其符合標準則展示廣告，指定標準，並定義值Pstow=I。值Pshtw的使用將在後文中進行更詳細描述。關於這點，將該值設置為I有效地告知每個STB如果其符合標準則其適合展示廣告。根據實施例，圖7更詳細地示出了由頭端處理的STB響應(圖5的530)。在710處，頭端可以從各個STB處接收表明其對應的家庭符合標準的一條或多條消息。需要注意的是，雖然頭端接收這些消息，但是頭端不會知道已響應的具體家庭或者STB的身份。在720處，如上所述，頭端可以利用其公開密鑰對的私有部分對這些消息進行解密。在730處，頭端可以對肯定性響應的數目進行計數，以獲悉符合標準的家庭的總數目M。否定性響應將被忽略。在740處，確定是否M〈N。如果不是，則在750處頭端可以定義Psh =N/M，其中N是廣告主要求或期望觀看廣告的家庭的數目。該值表示為達到目標N，被要求觀看廣告的適合的家庭(即，符合標準的家庭)的比率。如果740處的條件為真，則被要求觀看廣告的家庭的數目符合或者超過滿足標準的家庭的數目。在這種情況下，可以為所有適合的家庭展示廣告。如將在下文進行描述的，這通過設置Pshw=I成為可能。在770處，可以將消息發送給所有的STB，告知所有的STB如果其對應的家庭滿足標準，則它們適合展示廣告，暫停涉及Pstow的STB處的進一步處理，這將在以下進行描述。在實施例中，該消息可以包括用於廣告的標識符、標準和PshOTt。此外，在實施例中，可以以加密形式發送這些值(利用頭端的密鑰對的私有部件Km進行加密)。根據實施例，圖8更詳細地示出了確定是否展示廣告(圖5的540)。在805處，STB可以從頭端接收包括廣告ID、標準和Pstow的「展示廣告」消息。在810處，在STB處做出關於家庭是否符合標準的確定。如果不符合，則在820處STB可以準備經由匿名化協議待發送給頭端的否定的「廣告已展示」消息；該消息可以在550處經由匿名化協議發送給頭端。否則，在830處，可以生成隨機數P，其中0〈P〈1。在實施例中，可以利用噪聲源產生隨機數P ;可替換地，可以利用確定性的偽隨機數據源生成P。在840處，可以做出關於是否P〈PshOT的確定。如果是，則在850處可以展示廣告。如果不是，則在820處STB可以準備經由匿名化協議到頭端的否定的「廣告已展示」消息。在860處，可以準備表示廣告已經展示的消息。該消息可以在550處經由匿名化協議發送給頭端。回顧如果N為無限的(意味著對所有符合標準的家庭展示廣告)，則頭端定義PshMt=l。如果頭端定義Pshtw等於1，則對於符合標準的每個家庭(在810處)，STB生成隨機數P (在830處)，其中P〈PslTOW，並且在850處在每個這種家庭中展示廣告。當N不是無限的時，則如頭端處定義的，Psh(W=N/M。通過使得每個STB選擇隨機數P (在830處)並且確定如果P〈PshOTt (在840處)，則期望的展示廣告(在850處)的家庭的數目將等於N。應注意的是，在某些實施例中，在頭端處獲得的Pstow的值可能與在750處示出的計算獲得的值稍微不同。例如，如果頭端希望將顯示廣告的機會減小到小於N個家庭，則頭端可以少量增加Pstow的值。這將導致展示廣告的STB的較大的組。類似地，如果頭端希望將顯示廣告的機會減小到多於N個家庭，則頭端可以少量減小Pshw的值。根據實施例，圖9示意性地示出了以上應用的匿名化協議。在910處，頭端可以發布消息給所有的STB，宣布展示廣告的時機。該消息可以包括用於廣告的ID以及用於展示廣告的標準。在920處，每個STB可以用聲明標準是否由特定家庭滿足的消息進行響應。可以將這些消息發送給匿名化服務。每個消息可以包括是否符合標準的加密指示，其中所述加密是利用非對稱密鑰對的公開部執行的。該密鑰對的私有部分可以僅由頭端持有。該加密指不不出為E(KPuH, criteria_met_y/n),其中criteria_met_y/n佔據圖3A和圖3B中示出的數據欄位。可以利用另一非對稱密鑰對的公開部分KM，對該加密的指示連同STB(示為STBi)的ID、時間戳以及認證信息進一步加密。後一公開密鑰對的私有部分可以由匿名化服務持有。因此，所述消息示出為E(KPuA，E(KPuH，criteria_met_y/n), IDstm, time, auth_info)，其中這樣的消息可以由每個STBi生成用以傳輸至匿名化服務。雖然附圖示出用於不同STB的三個這種消息，但是可以理解的是STB (以及相關消息)的總數目可以更多或更少。匿名化服務可以利用其私鑰對每個這種消息進行解密，以恢復STBi的ID、時間戳以及認證信息。後兩個值可以由匿名化服務按如上所述進行校驗。該解密還可以恢復關於STBi是否符合標準的加密指示E (KPuH, criteria_met_y/n)。然後在930處,可以將該加密的指示與從每個STBi處接收的指示結合併作為一組被匿名化服務轉發到頭端。在實施例中，在發送給頭端之前加密指示組的次序可以是隨機的。匿名化服務還可以發送廣告的ID、時間戳和作為加密指示的函數的校驗和。可以利用Krih對這後三個值進行加密。然後頭端利用其私鑰對接收到的消息進行解密，以識別廣告並對符合標準的STB的數目進行計數。頭端永遠不知道符合標準的具體STB的身份。校驗和也可以校驗接收到的時間戳和校驗和值。部分基於表明符合標準的家庭的數目，頭端可以如上所述計算Pstow值。在940處，頭端然後可以發送消息給每個STB，指示STB如果符合標準並且如果值P(如上所述在STB處生成的)允許則展示廣告。如上所述，可以由頭端利用Km對該消息進行加密。在這種情況下，每個STB將利用Kpuh對該消息進行解密。
然後有些STB將展示廣告，而另一些STB不展示。在每個STB處可以生成加密指示，識別廣告並且聲明廣告是否被展示。可以利用Kaffl對該指示進行加密，並示出為E (Kpuh, ad ID, ad_shown_y/n)。這裡，欄位 ad ID 和 ad_shown_y/n 共同表不圖 3A 和圖 3B 中示出的數據欄位。在該指示中未識別出特定STB。然後，利用Kbja，對該指示連同STB的標識符、時間戳和認證信息進一步進行加密。因此該消息示出為E(Kpua, E(KPuH，ad ID, ad_shown_y/n)，IDstm, time, auth_info)。在950處,每個STB發送這種消息到匿名化服務，併入STB是否展示廣告的適當指示。然後匿名化服務可以對消息解密以恢復STBi的ID、時間戳和認證信息。可按如上所述對後兩個值進行校驗。該解密還可以產生關於廣告是否被展示的加密指示E(K_，ad_shown_y/η)。然後結合該加密指示和來自每個STBi的指示,並在960處共同地被匿名化服務轉發到頭端。匿名化服務還可以發送廣告的ID、時間戳以及作為加密指示的函數的校驗和。可以利用Kpuh對這後三個值進行加密。然後頭端可以利用其私鑰對接收到的消息解密，以識別廣告並處理校驗和與時間戳。然後頭端能夠對展示廣告的STB的數目進行計數。本文中公開的一個或多個特徵可以以硬體、軟體、固件及其組合實現，包括分立的和集成的電路邏輯、專用集成電路(ASIC)邏輯、可編程門陣列和/或微控制器，或者可以實現為特定域集成電路封裝的一部分，或者集成電路封裝的組合。如本文中所使用的術語「軟體」指的是包括計算機可讀介質的電腦程式產品，所述計算機可讀介質內存儲有電腦程式邏輯以使得計算機系統執行本文公開的一個或多個特徵和/或特徵組合。在圖10-圖12中示出的計算系統的環境下說明了軟體或固件實施例。在圖10中，系統1000可以位於頭端處，並可以包括處理器1020和包括存儲電腦程式邏輯1040的一個或多個計算機可讀介質的存儲器1010的主體。例如，存儲器1010可以實施為硬碟及驅動器、諸如光碟及驅動器的可移動介質，只讀存儲器(ROM)或隨機存取存儲器(RAM)設備。處理器1020和存儲器1010可以利用本領域普通技術人員已知的任意多種技術(例如，總線)進行通信。包含於存儲器1010內的電腦程式邏輯1040可以由處理器1020讀取和執行。共同示為1/01030的一個或多個I/O埠和/或I/O設備也可以連接到處理器1020和存儲器1010。電腦程式邏輯1040可以包括初始請求處理邏輯1050。該邏輯負責處理在頭端從廣告主或內容提供者處接收到的播放廣告的初始請求。如上所述，這種初始請求還可以包括用於具體廣告的標識符、用於可以播放廣告的家庭的標準，以及表示待觀看廣告的家庭的數目的值N。初始請求處理邏輯1050可以負責在N為無限的時指示STB展示廣告，否則告知STB存在展示該廣告的時機。電腦程式邏輯1040還可以包括STB響應處理邏輯1060。該邏輯主體可以負責從STB接收表示已經符合標準的消息、對這些消息解密、對肯定性響應的數目進行計數、在必要時計算Pshmt,以及指示STB展示廣告。應注意的是，在替換實施例中，可以由邏輯1060控制解密過程，其中實際的解密可以由一個或多個硬體組件執行。電腦程式邏輯1040還可以包括統計數據收集邏輯1070。邏輯1070可以負責從STB接收指示廣告是否已經被展示的消息，並對已經展示了廣告的家庭的總數目進行計數。在替換實施例中，可以不同地組織電腦程式邏輯1040以便實施本文描述的處理。可以使用不同的邏輯模塊代替圖10中所示出的模塊。此外，在替換實施例中，如本領域中普通技術人員可以理解的，可以使用更多或更少的邏輯模塊。參照圖11，系統1100可以位於匿名化服務中，並可以包括處理器1120和包括存儲電腦程式邏輯1140的一個或多個計算機可讀介質的存儲器1110的主體。例如，存儲器1110可以實施為硬碟及驅動器、諸如光碟及驅動器的可移動介質，只讀存儲器(ROM)或隨機存取存儲器(RAM)設備。處理器1120和存儲器1110可以利用本領域普通技術人員已知的任意多種技術(例如，總線)進行通信。包含於存儲器1110內的電腦程式邏輯1140可以由處理器1120讀取和執行。共同示為1/01130的一個或多個I/O埠和/或I/O設備也可以連接到處理器1120和存儲器1110。電腦程式邏輯1140可以包括解密邏輯1150。該邏輯可以負責如上所述對來自STB的加密消息進行解密。電腦程式邏輯1140還可以包括驗證邏輯1160，該邏輯可以負責驗證包含於那些消息中的數據(例如認證數據)，並如上所述校驗時間戳。電腦程式邏輯1140還可以包括加密邏輯1170。邏輯1170可以負責如上所述對待發送給頭端的消息進行加密。在替換實施例中，可以不同地組織電腦程式邏輯1140以便實施本文描述的處理。可以使用不同的邏輯模塊代替圖11中所示出的模塊。此外，在替換實施例中，如本領域中普通技術人員可以理解的，可以使用更多或更少的邏輯模塊。此外，雖然圖11的實施例提出加密和解密可以由軟體或固件執行，但是在替換實施例中，加密和解密可以由硬體執行。在這種實施例中，對加密和解密操作的控制可按電腦程式邏輯1140的指示由處理器1120執行。參照圖12，系統1200可以位於STB處，並可以包括處理器1220和包括存儲電腦程式邏輯1240的一個或多個計算機可讀介質的存儲器1210的主體。例如，存儲器1210可以實施為硬碟及驅動器、諸如光碟及驅動器的可移動介質，只讀存儲器(ROM)或隨機存取存儲器(RAM)設備。處理器1220和存儲器1210可以利用本領域普通技術人員已知的任意多種技術(例如，總線)進行通信。包含於存儲器1210內的電腦程式邏輯1240可以由處理器1220讀取和執行。共同示為1/01230的一個或多個I/O埠和/或I/O設備也可以連接到處理器1220和存儲器1210。電腦程式邏輯1240可以包括家庭評價邏輯1250。該邏輯可以負責比較關於家庭的信息和用於展示廣告的標準，以便確定是否符合標準。電腦程式邏輯1240還可以包括加密邏輯1260，例如如上所述，該邏輯可以負責對指示是否符合標準的消息以及指示是否已展示廣告的消息進行加密。電腦程式邏輯1240還可以包括解密邏輯1270。邏輯1270可以負責對消息(例如來自頭端告知STB展示廣告的消息)進行解密。電腦程式邏輯1240還可以包括隨機化邏輯1280，該邏輯可以負責確定如上所述的O到I之間的隨機值。可替換地，在實施例中，隨機化過程可以利用用於生成隨機值的硬體，在這種情況下，邏輯1280可以負責控制隨機化硬體或對其採樣。電腦程式邏輯1240還可以包括顯示決定邏輯1290，如上所述，給定隨機值P和接收到的值Pshmt,該邏輯可以負責確定是否展示廣告。在替換實施例中，可以不同地組織電腦程式邏輯1240以便實施本文描述的處理。可以使用不同的邏輯模塊代替圖12中所示出的模塊。此外，在替換實施例中，如本領域中普通技術人員可以理解的，可以使用更多或更少的邏輯模塊。此外，雖然圖12的實施例提出加密和解密可以由軟體或固件執行，但是在替換實施例中，加密和解密可以由硬體執行。在這種實施例中，對加密和解密操作的控制可按電腦程式邏輯1240的指示由處理器1220執行。藉助於示出功能、特徵以及其關係的功能構件，本文公開了方法和系統。為了便於描述，本文中隨意定義了這些功能部件的至少部分界限。可以定義替換界限，只要適當實現了其特定功能和關係。雖然本文公開了各種實施例，但是應該理解的是這些實施例僅是通過示例而非限制的方式呈現。對相關領域的技術人員顯而易見的是，在不偏離本文公開的方法和系統的精神和範圍的情況下，可以對所述方法和系統的形式和細節做出多種改變。因此，權利要求的廣度和範圍不應受到本文公開的任何示例性實施例的限制。
權利要求
1.一種方法，包括: 在匿名化服務節點處接收來自多個機頂盒(STB)的信息，所述信息由每個STB利用第一公開密鑰對的公開部分進行加密，來自每個STB的所述信息包括: STB的標識符， 廣告的標識符，以及 關於是否符合用於顯示所述廣告的一個或多個標準的指示，其中， 以第二公開密鑰對的公開部分對所述指示加密； 對來自每個STB的加密信息進行解密，以恢復每個STB的所述標識符； 利用所述第二公開密鑰對的所述公開部分對所述廣告的所述標識符進行加密；以及將所有加密的指示和所述廣告的所述加密的標識符一起轉發給頭端，使得所述頭端對符合所述標準的STB的數目M進行計數， 其中，所述第一公開密鑰對的私有部分在所述匿名化服務節點處持有並且對於所述頭端是不可得的，所述第二公開密鑰對的私有部分在所述頭端處持有並且對於所述匿名化服務是不可得的。
2.根據權利要求1所述的方法，其中，來自每個STB的所述信息還包括第一時間戳和認證數據，從而也利用所述第一公開密鑰對的所述公開部分對所述第一時間戳和所述認證數據進行加密；以及 其中，根據權利要求1所述的方法還包括: 在對來自每個STB的所述加密信息進行解密之後，驗證所述認證數據並且確定所述第一時間戳是否與先前接收到的任意時間戳匹配。
3.根據權利要求1所述的方法，還包括: 在所述匿名化服務節點處接收來自每個STB的、利用所述第一公開密鑰對的所述公開部分進行加密的進一步信息，，所述進一步信息包括: 所述STB的標識符，以及 在所述STB處是否顯示了所述廣告的指示，所述指示被利用所述第二密鑰對的所述公開部分加密， 對來自每個STB的加密的進一步信息進行解密，以恢復每個STB的標識符，所述解密利用所述第一公開密鑰對的私有部分來執行； 利用所述第二公開密鑰對的公開部分對所述廣告的標識符進行加密；以及將是否顯示所述廣告的所有加密的指示和所述廣告的加密的標識符一起轉發給所述頭端，使得所述頭端對顯示所述廣告的STB的數目進行計數。
4.根據權利要求3所述的方法，其中，所述進一步信息包括認證數據和第二時間戳，從而也利用所述第一公開密鑰對的所述公開部分對所述認證數據和所述第二時間戳進行加密；以及 其中，根據權利要求3所述的方法還包括: 在對所述加密的進一步信息進行解密之後，驗證所述認證數據並且確定所述第一時間戳是否與先前接收到的任意時間戳匹配。
5.根據權利要求4所述的方法，還包括: 基於所述STB的對應的是否顯示所述廣告的指示來計算校驗和；利用所述第二公開密鑰對的所述公開部分，對所述校驗和與所述第二時間戳進行加密；以及 將所述加密的校驗和與第二時間戳連同每個STB的對應的是否顯示所述廣告的指示一起轉發給所述頭端。
6.根據權利要求3所述的方法，其中，是否顯示所述廣告的所述指示是在每個STB處生成的， 其中，響應於從所述頭端發布到每個STB的命令，在每個STB處做出關於是否顯示所述廣告的決定，其中，所述命令包括參數Psh =N/M, 其中，N為期望觀看所述廣告的家庭的數目，並且M是由所述頭端計數的指示符合所述標準的家庭的數目； 其中，在接收到所述命令之後，每個STB創建O到I之間的隨機數，並且僅在所述隨機數小於或等於Pstow時顯示所述廣告。
7.根據權利要求1所述的方法，其中，響應於來自所述頭端的識別顯示所述廣告的時機並且指定用於顯示所述廣告的所述標準的廣播，所述STB創建符合所述標準的指示。
8.一種系統,包括: 處理器；以及 與所述處理器進行通信的存儲器，所述存儲器用於存儲多個處理指令以指示所述處理器進行以下操作: 接收來自多個機頂盒( STB)的信息，所述信息由每個STB利用第一公開密鑰對的公開部分進行加密，來自每個STB的所述信息包括: STB的標識符， 廣告的標識符，以及 關於是否符合用於顯示所述廣告的一個或多個標準的指示， 其中，以第二公開密鑰對的公開部分對所述指示進行加密； 對來自每個STB的所述加密信息進行解密，以恢復每個STB的所述標識符； 利用所述第二公開密鑰對的所述公開部分對所述廣告的所述標識符進行加密；以及將所有加密的指示和所述廣告的所述加密的標識符一起轉發給頭端，使得所述頭端對符合所述標準的STB的數目M進行計數， 其中，所述第一公開密鑰對的私有部分在匿名化服務節點處持有並且對於所述頭端是不可得的，所述第二公開密鑰對的私有部分在所述頭端處持有並且對於所述匿名化服務是不可得的。
9.根據權利要求8所述的系統，其中，來自每個STB的信息還包括第一時間戳和認證數據，從而也利用所述第一公開密鑰對的公開部分對所述第一時間戳和所述認證數據進行加密；以及 其中，所述存儲器還存儲處理指令以指示所述處理器進行以下操作: 在對來自每個STB的加密的信息進行解密之後，驗證所述認證數據並且確定所述第一時間戳是否與先前接收到的任意時間戳匹配。
10.根據權利要求8所述的系統，其中，所述存儲器還存儲處理指令以指示所述處理器進行以下操作:在所述匿名化服務節點處接收來自每個STB的進一步信息，利用所述第一公開密鑰對的公開部分對所進一步述信息進行加密，所述進一步信息包括: 所述STB的標識符，以及 在所述STB處是否顯示了所述廣告的指示，所述指示被利用所述 第二密鑰對的所述公開部分進行加密； 對來自每個STB的加密的進一步信息進行解密，以恢復每個STB的標識符，所述解密利用所述第一公開密鑰對的私有部分來執行； 利用所述第二公開密鑰對的公開部分對所述廣告的標識符進行加密；以及將是否顯示所述廣告的所有加密的指示和所述廣告的加密的標識符一起轉發，使得所述頭端對顯示所述廣告的STB的數目進行計數。
11.根據權利要求10所述的系統，其中，所述指示進一步信息包括認證數據和第二時間戳，從而也利用所述第一公開密鑰對的公開部分對所述認證數據和所述第二時間戳進行加密；以及 其中，所述存儲器進一步存儲處理指令以指示所述處理器進行以下操作: 在對所述加密的進一步信息進行解密之後，驗證所述認證數據並且確定所述第二時間戳是否與先前接收到的任意時間戳匹配。
12.根據權利要求11所述的系統，其中，所述存儲器還存儲處理指令以指示所述處理器進行以下操作: 基於所述STB的對 應的是否顯示所述廣告的指示來計算校驗和； 利用所述第二公開密鑰對的公開部分，對所述校驗和與所述第二時間戳進行加密；以及 將所述加密的校驗和與所述第二時間戳連同每個STB的對應的是否顯示所述廣告的指示一起轉發。
13.根據權利要求10所述的系統，其中，是否顯示所述廣告的所述指示是在每個STB處生成的， 其中，響應於從所述頭端發布到每個STB的命令，在每個STB處做出關於是否顯示所述廣告的決定，其中，所述命令包括參數Psh =N/M, 其中，N為期望觀看所述廣告的家庭的數目，並且M是由所述頭 端計數的指示符合所述標準的家庭的數目；並且 其中，在接收到所述命令之後，每個STB創建O和I之間的隨機數，並且僅在所述隨機數小於或等於Pstow時顯示所述廣告。
14.根據權利要求8所述的系統，其中，響應於來自所述頭端的廣播，所述STB創建符合所述標準的指示，所述廣播識別顯示所述廣告的時機並且指定用於顯示所述廣告的所述標準。
15.一種包括存儲有電腦程式邏輯的計算機可用介質的電腦程式產品，計算機控制邏輯包括: 配置為使得處理器接收來自多個機頂盒(STB)的信息的邏輯，所述信息由每個STB利用第一公開密鑰對的公開部分進行加密，所述來自每個STB的信息包括: STB的標識符，廣告的標識符，以及 關於是否符合用於顯示所述廣告的一個或多個標準的指示，其中，以第二公開密鑰對的公開部分對所述指示進行加密； 配置為使得處理器對來自每個STB的所述加密信息進行解密以恢復每個STB的所述標識符的邏輯； 配置為使得處理器利用所述第二公開密鑰對的所述公開部分對所述廣告的所述標識符進行加密的邏輯；以及 配置為使得處理器將所有加密的指示和所述廣告的所述加密的標識符一起轉發給頭端，使得所述頭端對符合所述標準的STB的數目M進行計數的邏輯， 其中，所述第一公開密鑰對的私有部分在匿名化服務節點處持有並且對於所述頭端是不可得的，所述第二公開密鑰對的私有部分在所述頭端處持有並且對於所述匿名化服務是不可得的。
16.根據權利要求15所述的電腦程式產品，其中，來自每個STB的所述信息還包括第一時間戳和認證數據，從而也利用所述第一公開密鑰對的公開部分對所述第一時間戳和所述認證數據進行加密；以及 其中，所述計算機控制邏輯還包括: 配置為使得處理器在對來自每個STB的加密的信息進行解密之後，驗證所述認證數據並且確定所述第一時間戳是否與先前接收到的任意時間戳匹配的邏輯。
17.根據權利要求15所述的電腦程式產品，其中所述計算機控制邏輯還包括: 配置為使得處理器在所述匿名化服務節點處接收來自每個STB的進一步信息的邏輯，所述進一步信息被利用所述第一公開密鑰對的公開部分進行加密，所述進一步信息包括:所述STB的標識符，以及 在所述STB處是否顯示了所述廣告的指示，所述指示被利用所述第二密鑰對的公開部分進行加密， 其中，利用所述第一公開密鑰對的公開部分對是否顯示所述廣告的指示進行加密； 配置為使得處理器對來自每個STB的加密的進一步信息進行解密以恢復每個STB的標識符的邏輯，所述解密被利用所述第一公開密鑰對的私有部分來執行；以及 配置為使得處理器將是否顯示所述廣告的所有加密的指示和所述廣告的加密的標識符一起轉發給所述頭端，使得所述頭端對顯示所述廣告的STB的數目進行計數的邏輯。
18.根據權利要求17所述的電腦程式產品，其中，所述進一步信息包括認證數據和第二時間戳，從而也利用所述第一公開密鑰對的公開部分對所述認證數據和所述第二時間戳進行加密；以及 其中，所述計算機控制邏輯還包括: 配置為使得處理器在對所述加密的進一步信息進行解密之後，驗證所述認證數據並且確定所述第二時間戳是否與先前接收到的任意時間戳匹配的邏輯。
19.根據權利要求18所述的電腦程式產品，其中，所述計算機控制邏輯還包括: 配置為使得處理器基於所述ST B的對應的是否顯示所述廣告的指示來計算校驗和的邏輯； 配置為使得處理器利用所述第二公開密鑰對的公開部分對所述校驗和與所述第二時間戳進行加密的邏輯；以及 配置為使得處理器將所述加密的校驗和與所述第二時間戳連同每個STB的對應的是否顯示所述廣告的指示一起轉發給所述頭端的邏輯。
20.根據權利要求17所述的電腦程式產品，其中，是否顯示所述廣告的所述指示是在每個STB處生成的， 其中，響應於從所述頭端發布到每個STB的命令，在每個STB處做出關於是否顯示所述廣告的決定，其中所述命令包括參數Psh =N/M, 其中，N為期望觀看所述廣告的家庭的數目，並且M是由所述頭端計數的指示符合所述標準的家庭的數目；並且 其中，在接收到所述命令之後，每個STB創建O和I之間的隨機數，並且僅在所述隨機數小於或等於Pstow時顯 示所述廣告。
全文摘要
在收費電視設置中提供針對性投放廣告的方法和系統，其中接收針對性廣告的家庭可以保持匿名。這可以通過結合匿名化協議和具有用於STB選擇和報告的機制的基本結構來實現。通過確保在STB符合定義的標準並發送「符合標準」消息(在選擇過程期間)或者「廣告已展示」消息(在有效或計數過程期間)到頭端時不洩露STB或家庭標識符，從而使得家庭信息對於頭端是匿名的，這使得被選擇以播放廣告的家庭組匿名化。另外，這允許頭端通過僅向符合具體標準的那些家庭投放廣告來控制廣告宣傳過程，且允許頭端對顯示廣告的實際實例的數目進行計數。頭端能夠對廣告顯示的數目進行計數，而不知道哪個特定的家庭觀看了廣告。
文檔編號H04N21/266GK103081493SQ201180039025
公開日2013年5月1日 申請日期2011年7月1日 優先權日2010年7月9日
發明者M·D·亞維斯, S·加爾 申請人:英特爾公司