用于为分布式计算提供端到端隐私的方法和装置

摘要

提供了一种用于在多级分布式计算中提供端到端隐私的方法。分布式计算隐私平台确定与计算环境的至少一个级别相关的一个或多个隐私策略（301）。分布式计算隐私平台还确定与该计算环境的该至少一个级别相关的一个或多个计算闭包（303）。分布式计算隐私平台还处理和/或促进处理这一个或多个隐私策略和一个或多个计算闭包，以至少部分地促使实施这一个或多个隐私策略（305-315）。

说明书

背景技术

如今，对于许多人来说，具有不同连接方式的移动设备正在变成到互 联网的主网关，并且也是个人信息的主要存储点。除了个人计算机的通常 范围之外，这还是传感器设备加上基于互联网的提供器。将这些设备和近 来地应用以及这些应用所存储的信息组合在一起是较大的互操作性挑战。 这可通过大量的、个体的和个人的信息空间来实现，其中个人、个人的群 组等可通过其自己的本地达成一致的语义来布置、共享、交互和操纵信息 的网站（或者由程序设备来自动执行其规划、交互和操纵），而无需一定 要顺应难以获得的全球整体。

此外，除了信息之外，信息空间还可与共享和交互计算或计算空间的 网站组合，使得具有到计算空间的连接的设备可使信息空间中的信息在计 算空间环境内被操纵，并且结果被递送到设备，而非整个过程在设备中本 地被执行。注意，这样的计算空间可由设备之间、从设备到网络基础设施、 到分布式信息空间的连接组成，使得计算可以在充足的计算元件可用的地 方被执行。通常被称为计算云的这些组合的信息空间和计算空间是其中人 们可以在本地级应用语义和推理的“巨大全球图”的扩展。

在一个实例中，云是分别嵌入了包括计算机、信息器具、处理设备和 传感器的分布式信息和计算基础设施的工作空间，其允许人们通过从计算 机或其他设备访问信息和计算高效地工作。可通过物理地呈现为异构网络 （有线和无线）的计算设备来提供信息空间或计算空间。另一方面，不同 级别的主动、被动或混合的计算元素可可用于各种架构级别（例如，设备 级别、基础设施级别等）的各种其他组件中的设备，其中不同的分布式组 件可具有不同的能力并支持不同的过程。在各种示例环境中，为了增强设 备的信息处理能力和降低处理成本，人们可能考虑通过提供多级分布式计 算来最小化或至少显著改善计算环境内分布式组件间的数据、信息和计算 的交换，从而使得可将数据迁移到具有最小或改进的成本的最有可能的计 算级别。

然而，尽管存在由计算环境的相应级别呈现的信息和计算可以不同粒 度来分布的事实，但在某些示例实现中仍存在在这样的异构环境内实现可 伸缩的高度上下文信息处理的挑战。例如，在各种实现中，由于环境（例 如，设备、基础设施和云）的分布性质，数据、信息和计算元素（例如， 计算闭包（closure））在异构网络环境内的分布式设备间被交换，其中 具有各种粒度级和各种结构的信息由各种独立的源（例如，所有者）提供 并在这些源之间传输。在这样的环境中，实现所交换的信息和计算闭包的 端到端隐私、开发时和运行时认证以及上下文验证是重要的问题。

发明内容

因此，存在对于用于在多级分布式计算中提供端到端隐私的方法的需 要。

根据一个实施例，一种方法包括确定与计算环境的至少一个级别相关 的一个或多个隐私策略。该方法还包括确定与所述计算环境的所述至少一 个级别相关的一个或多个计算闭包。该方法还包括处理和/或促进处理所 述一个或多个隐私策略和所述一个或多个计算闭包，以确定是否要至少部 分地促使实施所述一个或多个隐私策略。

根据另一实施例，一种装置包括至少一个处理器；以及至少一个存储 器，所述存储器包括计算机程序代码，所述至少一个存储器和所述计算机 程序代码被配置来与所述至少一个处理器一起至少部分地促使所述装置确 定与计算环境的至少一个级别相关的一个或多个隐私策略。该装置还被促 使来确定与所述计算环境的所述至少一个级别相关的一个或多个计算闭包。 该装置还被促使来处理和/或促进处理所述一个或多个隐私策略和所述一 个或多个计算闭包，以确定是否要至少部分地促使实施所述一个或多个隐 私策略。

根据另一实施例，一种计算机可读存储介质承载一个或多个指令的一 个或多个序列，所述指令在由一个或多个处理器执行时至少部分地促使装 置确定与计算环境的至少一个级别相关的一个或多个隐私策略。该装置还 被促使来确定与所述计算环境的所述至少一个级别相关的一个或多个计算 闭包。该装置还被促使来处理和/或促进处理所述一个或多个隐私策略和 所述一个或多个计算闭包，以确定是否要至少部分地促使实施所述一个或 多个隐私策略。

根据另一实施例，一种装置包括用于确定与计算环境的至少一个级别 相关的一个或多个隐私策略的构件。该装置还包括用于确定与所述计算环 境的所述至少一个级别相关的一个或多个计算闭包的构件。该装置还包括 用于处理和/或促进处理所述一个或多个隐私策略和所述一个或多个计算 闭包以确定是否要至少部分地促使实施所述一个或多个隐私策略的构件。

此外，对于本发明的各种示例实施例，以下可适用：一种方法，其包 括促进处理和/或处理（1）数据和/或（2）信息和/或（3）至少一个信号， 所述（1）数据和/或（2）信息和/或（3）至少一个信号至少部分基于（或 至少部分得自）与本发明的任何实施例相关的在本申请中公开的方法（或 过程）中的任一个或其任何组合。

对于本发明的各种示例实施例，以下也可适用：一种方法，其包括促 进访问至少一个接口，所述接口被配置来允许访问至少一个服务，所述至 少一个服务被配置来执行在本申请中公开的网络或服务提供商方法（或过 程）中的任一个或其任何组合。

对于本发明的各种示例实施例，以下也可适用：一种方法，其包括促 进创建和/或促进修改（1）至少一个设备用户接口元件和/或（2）至少一 个设备用户接口功能，所述（1）至少一个设备用户接口元件和/或（2） 至少一个设备用户接口功能至少部分基于从与本发明的任何实施例相关的 在本申请中公开的方法或过程中之一或其任何组合得到的数据和/或信息 和/或从与本发明的任何实施例相关的在本申请中公开的方法（或过程） 中之一或其任何组合得到的至少一个信号。

对于本发明的各种示例实施例，以下也可适用：一种方法，其包括创 建和/或修改（1）至少一个设备用户接口元件和/或（2）至少一个设备用 户接口功能，所述（1）至少一个设备用户接口元件和/或（2）至少一个 设备用户接口功能至少部分基于从与本发明的任何实施例相关的在本申请 中公开的方法（或过程）中之一或其任何组合得到的数据和/或信息和/或 从与本发明的任何实施例相关的在本申请中公开的方法（或过程）中之一 或其任何组合得到的至少一个信号。

在各种示例实施例中，可在服务提供商一端或在移动设备一端或在服 务提供商和移动设备之间（在两端都执行操作）以任何共享方式来完成所 述方法（或过程）。

对于各种示例实施例，以下可适用：一种装置，其包括用于执行最初 提交的权利要求1-10、21-30和46-48中的任一项所述的方法的构件。

此外，仅仅通过示出多种特定实施例和实现（包括被设想用于实施本 发明的最佳方式），本发明的其他方面、特征和优势便从以下详细描述中 显而易见了。本发明还能够采取其他和不同的实施例，并且可以在各种明 显的方面对其若干细节进行修改，所有这些都是在不脱离本发明的精神和 范围的情况下。相应地，附图和描述应被视为在性质上是说明性的而非限 制性的。

附图说明

通过实例的方式而非限制的方式示出了本发明的实施例，在附图中：

图1是根据一个实施例的能够在多级分布式计算中提供端到端隐私的 系统的示意图；

图2是根据一个实施例的分布式计算隐私平台的组件的示意图；

图3是根据一个实施例的用于在多级分布式计算中提供端到端隐私的 过程的流程图；

图4是根据一个实施例的具有隐私策略的多级计算环境的示意图；

图5A-5B是根据一个实施例的多级计算环境中实施了隐私的计算的分 布的示意图；

图6是根据一个实施例的多级计算环境中的分布式计算中的端到端隐 私的策略应用的示意图；

图7A-7B是根据一个实施例的设备间的计算分布的示意图；

图8是根据一个实施例的将过程示出为基元计算闭包的组合的示意图；

图9是根据一个实施例的从一个设备到另一设备的过程分布的示意图； 以及

图10是根据一个实施例的计算闭包分配/映射的示意图。

图11是可用来实现本发明的实施例的硬件的示意图；

图12是可用来实现本发明的实施例的芯片组的示意图；以及

图13是可用来实现本发明的实施例的移动终端（例如，手机）的示 意图。

具体实施方式

公开了用于在多级分布式计算中提供端到端隐私的方法、装置和计算 机程序的实例。在以下描述中，为了说明的目的，阐述了大量具体细节， 以便提供对本发明的实施例的彻底了解。然而，对于本领域技术人员显而 易见的是，可以在没有这些具体细节或有等同的布置的情况下实施本发明 的实施例。在其他情况下，以框图的形式示出了众所周知的结构和设备， 以便避免不必要地使本发明的实施例晦涩难懂。

如本文所使用的，术语“计算闭包”是指特定的计算过程以及各种过 程（包括传递参数；共享过程结果；选择从可替代输入、数据流和过程结 果的计算提供的结果等）间的关系和通信。计算闭包（例如，指令、数据 和/或相关执行上下文或状态的粒度反射集合）提供切割过程计算并将计 算片段在设备、基础设施和信息源之间传输的能力。

如本文所使用的，术语“云”指来自不同源的信息和计算闭包的聚集 集合。这种多源化非常灵活，因为它考虑到并依靠相同信息或计算片段可 能来自不同源的观察。在一个实施例中，云内的信息和计算使用语义Web 标准（如资源描述框架（RDF）、RDF方案（RDFS）、OWL（Web本体语言）、 FOAF（朋友本体的朋友）、RuleML（规则标记语言）中的规则集等）来表 示。此外，如本文所使用的，RDF指最初作为元数据数据模型而设计的万 维网联盟（W3C）规范系列。其已发展到被用作用于使用各种语法格式以 网站资源实现的信息和计算的概念描述或建模的一般方法。尽管相对于云 来描述各种实施例，但设想了本文描述的方法可与用来创建信息和计算的 分布式模型的其他结构和概念描述方法一起使用。

图1是根据一个实施例的能够在多级分布式计算中提供端到端隐私的 系统的示意图。如前面所述，云环境由信息和计算资源组成，每个资源由 经由共享存储器传递信息和计算闭包（例如，RDF图）的若干分布的设备 组成。云环境内的设备可在本地在其自己的存储空间中存储计算闭包，或 者在云内的全球可访问的环境上发布计算闭包。在第一种情况下，设备负 责组合或提取计算所需的任何过程，而在第二种情况下过程可由包括设备 的全球可访问的环境来进行。如果在基础设施级别能量成本更低的话，则 设备可利用架构基础设施级别的资源，例如以便节约能量，而无须访问云 级别。设备也可至少部分地能够利用来自架构的设备级别中的其他设备的 资源，而无须到达基础设施级别或云。或者，设备可具有到云级别的直接 计算闭包连接器，其中设备被更紧密地链接至云环境，用于能量节约目的。

云计算技术的基本概念为云范围内的各种设备提供了使用分布式计算 的机会，其方式是对用户隐藏计算的分布性质，并且对用户来说显得好像 所有计算是在同一设备上执行的。云计算也使用户能够通过在其可访问的 设备之间转移计算来拥有对计算分布的控制。例如，用户可能想要在工作 设备、家用设备和便携设备、其他私人或公共设备等间转移计算。或者， 用户、制造商、系统管理员等可以基于预定义和定期测量的因素自动启动 环境的各元素和/或级别间的计算转移的方式来设置计算架构或环境的元 素。在这种情况下，所有或部分计算转移可遍及从设备级别到云级别的端 到端分布路径或仅在某些级别（例如，设备级别）中在背景中来进行。可 对于设备用户隐藏在背景中发生的计算分布。或者，用户可接收指示分布 在背景上正在进行的消息。当前的技术使移动设备的用户能够经由其用户 设备的用户接口的元件来操纵上下文，如数据和信息。然而，与云内的数 据和信息相关或对其进行的计算和过程的分布通常受系统控制。换言之， 云一般来说不向用户（例如，在信息空间上分布的信息的集合的所有者） 提供控制例如对信息进行操作的应用的相关计算和过程的分布的能力。例 如，处理分布在一个或多个云内的联系信息的联系人管理应用通常在单个 设备上执行（例如，该应用的所有过程和计算也在同一设备上执行）来对 分布的信息进行操作。在某些情况下（例如，当计算复杂、数据集合较大 等时），除了信息之外还提供分布相关计算的方式是有利的。

通过引入构造、分布和聚集计算以及其相关数据的能力来实现此目标。 更具体来说，为了使经由一个或多个设备连接至云的云的用户（例如，移 动设备用户、应用开发者等）能够在该一个或多个用户设备或访问云的其 他设备间分布计算，将每个计算解构为其基本或原始过程或计算闭包。一 旦将计算划分成了其基元计算闭包，便可以分布的方式执行每个闭包内或 由其表示的过程，并且可将处理结果收集并聚集成初始的总体计算的执行 结果。

在一个实施例中，计算架构或环境由多个架构级别组成，包括设备级 别、基础设施级别和云计算级别。来自设备级别的设备具有经由一个或多 个基础设施级别至云计算级别的连接，其中每个基础设施级别可由层和组 件（如骨干、路由器、基站等）组成。通常，在也可具有各种分布级别的 云计算级别内定义、构造和执行与与来自设备级别的设备相关的过程关联 的计算闭包。然而，基础设施级别的组件可配有可用于执行与过程关联的 计算闭包的各种资源（例如，处理环境、存储空间等）。由于基础设施级 别作为设备级别和云计算级别之间的接口来运行，所以如果可以在基础设 施级别中执行计算闭包，则将无需将计算闭包迁移到可能相当需要过度使 用资源的云计算级别。因此，在基础设施级别执行与和设备相关的过程关 联的计算闭包可以更高效的方式向设备用户提供服务。然而，由设备级别、 基础设施级别和云级别组成的多级架构环境的组件在配置、通信能力、按 照分布式计算的所有权、隐私和安全性应用的策略等方面可能各不相同。

在一个实施例中，闭包可由通过同态变换方式产生的签名来签名，因 此表示在某些情况下可被理解为至少有意义的信息集合的与域无关的段。 此外，多级架构环境的组件和级别间的计算闭包的分布、访问和执行可能 要求环境的各组件和级别所施加的隐私策略和规则间的兼容性。

在一个实施例中，多级计算环境包括用于计算环境的设备、基础设施 和云级别中的隐私执行和验证的策略。策略可由在设备、基础设施和云级 别的隐私策略实施、隐私执行域组成，其中每个域可提供其自身的隐私策 略。注意，用于在设备、基础设施和云级别的签名的计算闭包流（例如， 功能流）的隐私策略可具有影响总体结果的重叠的能力。例如，某些设备 可具有功率限制，并且此限制可在该设备的隐私策略规则和信息共享中被 反映。

在一个实施例中，隐私策略提供各种规则实施中什么以及怎样应用于 信息和计算的不同程度。另外，隐私策略可基于概率逻辑、一阶逻辑、高 阶逻辑等。例如，在概率策略中，计算及其相关的闭包可影响隐私，或者， 对于基于一阶逻辑的策略，可能存在至其中可应用隐私规则的闭包的直接 链接。

在一个实施例中，计算闭包隐私策略可由策略规则以及用于相应地应 用规则的机制组成。策略应用机制可分为三个主要类别：加密、过滤和匿 名化。此外，基于闭包机制的隐私策略实施和签名来使用计算闭包。总的 解决方案对于由设备级别、基础设施级别和云级别组成的每个多级计算环 境设置在安全性、隐私和能量限制设置和阈值之间建立了平衡。

在各种实施例中，隐私规则、策略或机制中的任何错误可导致一个或 多个隐私策略的故障。在这种情况下，隐私策略的分解可能不是可管理或 可解决的。

在一个实施例中，每个架构级别的不同组件支持具有不同级别和/或类 型的被定义、实施或其组合的隐私的不同类型的闭包。每个组件（例如， 基础设施组件、节点）可具有可显著影响计算的分布和执行的效率以及多 级环境中计算的端到端隐私的许多先前创建的实施了隐私的实体、闭包、 链路，以及用于计算闭包的分布和执行的分布路径，如闭包、多个分支、 交互点、规则等之间的连接器。

在一个实施例中，可从一个组件到另一组件或从一个架构级别到另一 架构级别（例如，从基础设施到云）转移和/或扩展计算。多级计算环境 的组件和级别可配有隐私策略，以便验证由其他组件实施的隐私策略以确 保计算隐私。例如，被签名为高度私有的计算可被视为不可访问。然而， 各种隐私策略可基于不同规则、验证方法、编码和解码机制等。

在另一实施例中，可表示各种计算且基于一个或多个基元计算闭包的 组合形成的复杂或复合计算闭包（也称为超级闭包）可与基于其基元计算 闭包（也称为根元素）的一个或多个策略的组合形成的复杂或复合隐私策 略关联。在本实施例中，例如，超级闭包的失败或故障可能是由其复合隐 私策略的失败或故障造成的，而其复合隐私策略的失败或故障又可能是由 其根元素策略中的一个或多个的失败或故障所造成的。为了找到有缺陷的 根元素，可能不得不分解复合策略。然而，当前的多级环境不具有可以隐 藏计算闭包流所有权的隐私规则或策略。没有用于分解应用于某个功能流 的正确隐私策略规则的机制，并且没有用于计算闭包隐私策略实施加密方 法的机制。

因此，存在在多级环境的异构环境中实现计算隐私的挑战，其中具有 不同粒度级别和不同结构的计算在各种独立源间被提供、签名并传输。

为了处理此问题，图1的系统100引入了在多级分布式计算中提供端 到端隐私的能力。计算环境由可用于各种级别的计算环境（如设备级别、 基础设施级别和云计算级别）的不同级别的主动计算元素组成。由于这些 计算元素提供用于每个环境级别的各种级别的功能，所以在计算环境内提 供不同级别的计算闭包分布使得计算闭包能够在被最低要求的分布级别之 后执行。然而，对于计算闭包的执行很重要的功能是通过在多级计算环境 的每个部分处的各种类型和级别的现有隐私措施间建立兼容性来检测、识 别及确定计算隐私并确保计算闭包的隐私。

在一个实施例中，云可包括闭包元素（例如，闭包基元）的超集和隐 私策略根元素的超集（也称为点阵），而基础设施或设备级别组件可具有 其子集，因此云可能够比基础设施或设备级别更有效地支持计算闭包及其 隐私。

在一个实施例中，在各种架构级别处的设备设置（如隐私设置、安全 设置、服务质量（QOS）设置、服务等级（COS）设置、优先级设置等）可 影响计算闭包分布的方向和方法，因为不同设置可导致不同情况以及不同 可用分布路径和要求。另外，计算闭包的隐私可能受架构级别的其他特性 （如安全实施战略等）的影响。另一方面，可通过不同级别的计算分布来 实现确保在不同架构级别和组件之间的实施了隐私的分布。

在一个实施例中，根据在每个级别处可用的能力和要求，可将特定量 的计算功能从设备级别转移到基础设施级别，或者进一步转移到云级别。 例如，对于与多个用户所共同使用的公共设备相关的计算，严格的隐私实 施措施可能不是必需的，而私有和保密计算可能需要更高级的措施（例如， 策略实施）。

在另一实施例中，当基础设施节点具有有限的隐私支持能力时，可将 计算转移到具有更高隐私能力的下一个最接近的节点，在该节点计算可以 继续，并且如果不存在具有足够隐私支持能力的基础设施节点则可将计算 重新分布到云级别。注意，各种因素（如不同设备设置、限制、配置；在 运行时设置、限制和配置发生的任何更改等）可改变计算闭包分布的方向， 因为隐私支持能力可根据变化因素改变。另外，可将隐私的最低可接受级 别的阈值值与计算关联。在这种情况下，如果没有任何的环境级别具有足 够的能力用于计算的执行，则可激活一个或多个功能来例如终止计算、发 出对于更高隐私能力的请求、向计算的所有者发出错误消息、用具有更低 隐私要求的相似计算替换计算等。

在一个实施例中，可执行操作来确定和比较设备和基础设施之间以及 基础设施和云之间的计算闭包过程的隐私。还可确定将计算闭包转移到哪 里更合算、对于一个或一组计算闭包可接受的隐私范围是什么（考虑与计 算相关的其他能力，如安全级别和规则、像电池与电源插头连接的能量问 题等）。此外，可将每个策略与隐私级别关联，使得可基于计算的隐私要 求而将适当的策略指派到计算。

在一个实施例中，在与特定隐私机制相关的多级计算环境中，可通过 由计算闭包的构成闭包基元的策略组成的唯一复合策略对分布的计算闭包 的功能流或组进行签名，并且复合策略与隐私机制相联系。

如图1所示，系统100包括具有经由通信网络105到分布式计算隐私 平台103的连接的用户设备（UE）107a-107i的集合101a-101n。例如， 系统100的通信网络105包括一个或多个网络，如数据网络（未示出）、 无线网络（未示出）、电话网络（未示出）或其任何组合。设想了数据网 络可以是任何局域网（LAN）、城域网（MAN）、广域网（WAN）、公共数 据网络（例如，互联网）、短程无线网络或任何其他合适的分组交换网络， 如商业上拥有的专属分组交换网络，例如专属有线电视或光纤网络等，或 其任何组合。此外，无线网络可以是例如蜂窝网络，并且可以采用各种技 术，包括用于全球演进的增强数据率（EDGE）、通用分组无线业务（GPRS）、 全球移动通信系统（GSM）、互联网协议多媒体子系统（IMS）、通用移动 通信系统（UMTS）等，以及任何其他合适的无线介质，例如全球微波接入 互操作性（WiMAX）、长期演进（LTE）网络、码分多址（CDMA）、宽带码 分多址（WCDMA）、无线保真（WiFi）、无线LAN（WLAN）、蓝牙、互联网 协议（IP）数据广播、卫星、移动自组网络（MANET）等，或其任何组合。

UE107a-107i为任何类型的移动终端、固定终端或便携终端，包括移 动手机、站、单元、设备、多媒体计算机、多媒体平板设备、互联网节点、 通信器、台式计算机、膝上型计算机、笔记本计算机、上网本计算机、平 板式计算机、个人通信系统（PCS）设备、个人导航设备、个人数字助理 （PDA）、音频/视频播放器、数码相机/摄像机、定位设备、电视接收器、 无线电广播接收器、电子书设备、游戏设备或其任何组合，包括这些设备 的附件和外围设备，或其任何组合。还设想了UE107a-107i可支持任何 类型的用户接口（如“可穿戴”电路等）。

在一个实施例中，UE107a-107i分别配有一个或多个用户接口（UI） 109a-109i。根据正在使用的服务，在任何时间每个UI109a-109i可由若 干UI元件（未示出）组成。UI元件可为表示诸如信息（例如，音乐信息、 联系信息、视频信息等）、功能（例如，设置、搜索等）和/或过程（例 如，下载、播放、编辑、保存等）的用户上下文的图标。这些上下文可能 需要可能影响服务（例如位误码率等）的与介质有关的计算闭包的某些集 合。另外，每个UI元件可按粒度分布绑定到上下文/过程。在一个实施例 中，粒度分布使过程能够在设备、计算云和其他基础设施之间被隐式或显 式地迁移。另外，UE107a-107i可为具有使得可在设备间本地传输计算操 作和内容的设备到设备连接的嵌入式射频（RF）标签系统的移动设备。

在一个实施例中，可例如通过单播（例如，向仅仅另一设备）或多播 （例如，向多个其他设备）的方式来开始过程分布。例如，一个UE107a 可与许多基础设施（或许多基础设施的许多组件）通信，而基础设施的许 多节点可与多个云通信。另外，可通过姿势识别来触发过程分布，其中用 户预先选择特定的UI元件集合并作出姿势来模拟从一个设备向另一设备 “倾倒”所选择的UE元件。在其他实施例中，可在没有直接用户参与的 情况下且基于UE107a-107i的制造商的默认设置、UE的用户的先前设置、 在UE107a-107i上激活或与UE107a-107i相关的应用中的默认设置或其 组合来自动开始过程分布。

如图1中所示，UE107a-107i的用户可拥有、使用或以其他方式可访 问在一个或多个计算云111a-111n上在信息存储库113a-113m和计算存储 库115a-115m中分布的信息和计算的各片段，其中一个或多个计算空间 115a-115m中的每个包括一个或多个计算闭包的多个集合。在一个实施例 中，用户可以是使用UE107a-107i来连接至基础设施和云的应用开发者， 其不仅用于访问为最终用户提供的服务而且也用于诸如开发、分布、处理 和聚集各种计算的活动。

在一个实施例中，通信网络105由一个或多个基础设施117a-117k组 成，其中每个基础设施是包括多个组件119a-119n的被设计的通信系统。 组件119a-119n包括骨干、路由器、交换机、无线接入点、接入方法、协 议等，其用于在通信网络105内或在通信网络105和其他网络之间的通信。

在一个实施例中，分布式计算隐私平台103基于与不同架构级别和计 算的隐私要求相关的隐私策略和隐私实施来控制向计算环境的其他组件或 级别（包括通信网络105的环境内的基础设施级别117a-117k，以及云级 别111a-111n）分布与UE107a-107i相关的计算。

在一个实施例中，可由用户或例如通过触发一系列计算闭包（其又支 持分布过程）基于背景活动来开始计算分布的隐私验证。在计算分布前， 评估包括执行计算的组件的隐私能力的能力。如果架构级别的能力不令人 满意或发现能力的变化，则评估过程将继续，直到适当的能力变得可用。 可能在同一或其他计算环境级别中找到隐私能力，并且将在找到可用能力 的级别进行计算闭包执行。

在另一实施例中，网络组件119a-119n可提供不同级别的功能。例如， 相同组件119a-119n可提供静态计算闭包，而其他组件可提供动态计算闭 包。如本文所使用的，静态计算闭包是具有预定配置的闭包，其又可能要 求预定的隐私级别来执行，而动态计算闭包是可基于动态因素（如时间、 通信负荷、可用隐私的类型或量等）以不同方式运行的闭包。在一个实施 例中，动态计算闭包可通过修改参数（如可用隐私的级别）基于动态因素 调整自身。例如，动态计算闭包可将自身降级，以便用更低的隐私级别被 处理。在其他实施例中，关键计算闭包可被指派更低和更高的可接受的隐 私阈值，其中在该范围内的可用隐私是可接受的。在一个实施例中，在基 础设施117a-117k的组件处的可用隐私的级别和类型可能或可能不通过一 对一映射与UE107a-107i的计算闭包所需要的隐私对准。这意味着组件 可能需要从计算环境的当前或下一层或级别定位（或请求）具有更高隐私 能力级别的其他组件并将计算转发到所定位的组件。组件还可具有调整其 隐私设置并使其隐私能力适应计算要求的能力。换言之，如果过程和其处 理环境之间的隐私可用性不被直接对准，则处理环境可能扩展其能力（对 于动态闭包）或定位其他组件（对于静态闭包）或其组合。在一个实施例 中，如果直接对准不成功且没找到替代环境，则可将设置与更低的隐私要 求对准。例如，可通过丢弃部分计算闭包、用可能产生准确性差一些但对 于用户的需要来说准确性已足够的结果的更基本的计算替代复杂计算来降 低要求。另外，可降低满意阈值（在服务提供商和用户同意的情况下）， 使得可将更低的计算隐私级别视为令人满意。

在一个实施例中，UE107a-107i的用户可选择某些动态计算流来用作 某些条件（例如，在确定时间、对于具体确定的计算隐私级别等）下的默 认计算流。在此实施例中，分布式计算隐私平台103可将特定优先级级别 关联到选定的计算流，使得（如果可用）选定的计算流比其他可用计算优 先。选定的计算流和指派的优先级可确定UE107a-107i的用户的满意阈 值的级别。

在一个实施例中，在设备级别101a-101n、基础设施级别117a-117k 和云级别111a-111n的多个级别中可用的计算闭包及其相关策略被对准， 即所有计算闭包和策略在每个级别可用，或者所有计算闭包和策略的超集 在云级别可用，而每个更低的级别可访问来自其更高级别的计算闭包和策 略的子集，例如基础设施级别计算闭包和策略可为云级别的闭包和策略的 子集，并且设备级别闭包和策略可为基础设施级别闭包和策略的子集。另 外，计算环境的级别可具有功能上等同的计算闭包（就其执行相同过程并 产生具有针对不同级别的隐私要求而得到的不同级别的准确度的相同结果 的意义而言）的集合。例如，如果无法找到具有足够隐私能力的策略环境， 则提供包括具有高隐私要求的某些受限制区域的地图的一组计算可提供该 地图并排除与受限制区域相关的信息。

在一个实施例中，在功能流中具有高优先级的计算的存在可影响该功 能流或其他功能流中的其他计算，如具有低优先级的计算。在一个实施例 中，可将一个或多个参数与每个或一组计算闭包关联，其中可通过更新这 些参数来修改闭包优先级。例如，可将参数（如“已使用”、“未使用”、 “可用”、“不可用”、“已禁用”、“已启用”、“高速”等）指派到 闭包，用于确定闭包优先级。例如，可通过系统更新、安全密钥等启用已 禁用的一组计算闭包，以便提供所需的隐私级别。

在一个实施例中，可将复合隐私策略及其相关超级闭包分解并匹配到 计算流（计算分布的流）中。在其他实施例中，环境的组件和级别可编译、 执行其复合隐私策略和超级闭包以及将其提交到云，使得云可以维持遍及 多级计算环境的所有可用策略、复合策略、闭包和超级闭包的点阵。云的 点阵是环境的其他级别（如UE107a-107i（设备级别的组件）和基础设施 117a-117k）可以访问的所有策略、复合策略、闭包和超级闭包的超集。 执行一个或多个计算闭包中的至少一个、至少一个功能流或其组合的计算 环境的级别可访问与这些闭包和功能流相关的根元素。

在一个实施例中，在端到端计算的开发时间和运行时间中的计算的认 证之间没有分辨区别。分布式计算隐私平台103提供早期验证（分布前在 组件级别）和上下文验证，其中闭包能力（例如，能耗、安全元素、隐私 规则等）可表示为数据。另外，分布式计算隐私平台103可确定某些根元 素是否已改变，使得可将使用该元素的所有策略隔离并标记为无效。

例如，UE101a-101n和分布式计算隐私平台103使用众所周知的、新 的或仍在开发的协议与彼此以及通信网络105的其他组件通信。在此上下 文中，协议包括定义通信网络105内的网络节点如何基于通过通信链路发 送的信息与彼此交互的一组规则。协议在每个节点内的不同操作层（从生 成和接收各种类型的物理信号，到选择用于传输这些信号的链路，到这些 信号指示的信息格式，到识别在计算机系统上执行的哪个软件应用发送或 接收信息）有效。在“开放系统互连（OSI）参考模型”中描述了用于通 过网络交换信息的在概念上不同的协议层。

通常，通过交换离散数据包来产生网络节点之间的通信。每个数据包 通常包括（1）与特定协议相关的头部信息，以及（2）在头部信息后面且 包含可独立于该特定协议处理的信息的净荷信息。在一些协议中，数据包 包括（3）在净荷后面且指示净荷信息的结束的尾部信息。头部包括诸如 数据包的源、其目的地、净荷的长度及协议使用的其他属性的信息。通常， 对于特定协议，净荷中的数据包括用于与不同的、更高的OSI参考模型的 层相关的不同协议的头部和净荷。对于特定协议，头部通常指示包含在其 净荷中的下一个协议的类型。据说，更高层协议被封装在更低层协议中。 包括在遍历多个异构网络（如互联网）的数据包中的头部通常包括物理（第 一层）头部、数据链路（第二层）头部、网间（第三层）头部和传输（第 四层）头部，以及各种应用（第五层、第六层和第七层）头部（如OSI参 考模型所定义）。

图2是根据一个实施例的分布式计算隐私平台的组件的示意图。例如， 分布式计算隐私平台包括用于在多级分布式计算中提供端到端隐私的一个 或多个组件。设想了可将这些组件的功能组合在一个或多个组件中，或者 由等同功能的其他组件来执行这些组件的功能。在此实施例中，分布式计 算隐私平台包括策略实施模块201、闭包组合模块203、机制确定模块205 和存储器207。

参照图3来描述图2，其中图3示出了根据一个实施例的用于在多级 分布式计算中提供端到端隐私的过程的流程图300。在一个实施例中，分 布式计算隐私平台103执行过程300并以例如包括如图12所示的处理器 和存储器的芯片组来实现。在一个实施例中，在开始执行过程（例如，与 与UE107相关的应用关联）之后，分布式计算隐私平台103被指派根据 设备、基础设施和云的隐私能力以及计算闭包的隐私配置验证与过程相关 的计算的端到端分布的隐私的任务。可由UE107a的用户、基于预先确定 的设置由UE107a自动、由关联到UE107a的其他设备或组件或由其组合 开始计算分布。此外，计算分布的开始可触发分布式计算隐私平台103的 启动。

在一个实施例中，如图3的流程图300的步骤301所示，策略实施模 块201确定与系统100内的计算环境的至少一个级别相关的一个或多个隐 私策略。计算环境的级别至少部分地包括设备级别101a-101n、基础设施 级别117a-117k和云计算级别111a-111n。环境的每个级别可具有由制造 商、设备所有者、系统管理员、管理策略协议等施加的其自身的隐私策略。 与计算环境的每个级别相关或与计算环境的级别的每个组件相关的隐私策 略可本地存储在UE107a-107i（未示出）、网络基础设施117a-117k及诸 如路由器、基站等（未示出）的其组件、计算云111a-111n的本地存储单 元中，例如在信息存储库113a-113m或其他存储单元（未示出）中或在通 信网络105的环境内的分布的位置。

在一个实施例中，依照图3的步骤303，策略实施模块201确定与计 算环境的至少一个级别相关的一个或多个计算闭包。如前面关于图1所讨 论的，在多级分布式计算环境中，每个计算闭包内或由其表示的过程可以 分布的方式由环境的不同级别来执行，并且处理结果可被收集并聚集成初 始总体计算的执行结果。在图3的步骤303，策略实施模块201确定将由 环境的每个级别执行的计算闭包。

在一个实施例中，依照图3的步骤305，策略实施模块201确定一个 或多个计算闭包中的至少一个的至少一个能力是用于促使或用于确定是否 要至少部分地促使实施该一个或多个隐私策略。在具有多个级别的执行组 件的分布式环境中，用于每个级别和要由各级别执行的多个计算闭包（具 有提供与隐私策略的实施相关的信息的至少一个计算闭包）的多个隐私策 略可确保在任何需要的地方实施隐私策略。在一个实施例（其中能够促使 一个或多个隐私策略的实施的至少一个计算闭包不存在）中，策略实施模 块201可预先创建具有期望的隐私策略实施能力的至少一个计算闭包，并 将预先创建的闭包添加到计算闭包的集合（将对该集合实施隐私策略）。

在一个实施例中，依照图3的步骤307，闭包组合模块203确定计算 环境的组件（节点）的能力、功能流、成本功能、规则等的一个或多个参 数。这些参数使得能够将计算闭包组合成相似或相同隐私策略适用的具有 相似特征的组。例如，在一些实施例中，根据在每个级别处的可用能力和 每个闭包的要求，可将某些量的计算功能（功能流）从某些设备转移到某 些基础设施级别组件，或进一步转移到特定云。例如，对于与由多个用户 共同使用的公共设备相关的计算，严格的隐私措施可能不是必需的，而私 有和保密计算可能需要更高级的隐私措施。在一个实施例中，计算环境的 级别的组件的一个或多个能力可至少部分地包括一个或多个能耗能力、一 个或多个安全实施能力、一个或多个隐私实施能力、一个或多个可用资源 （例如，连接质量、带宽、可用存储、处理能力等）或其组合。此外，在 组合闭包时可考虑诸如标识在每个计算级别、组件等处的计算成本的成本 功能、与每个级别、组件等相关的规则或其组合的参数。这些参数使得能 够提供更合算的组合闭包组，并提供以避免执行环境的规则和对正在被执 行的闭包应用的规则之间的冲突的方式将闭包分布到环境的组件的洞察力。

在一个实施例中，依照图3的步骤309，闭包组合模块203至少部分 地促使至少部分地基于一个或多个确定的参数将一个或多个计算闭包中的 至少一个与一个或多个其他计算闭包组合。如前文所述，将闭包组合成具 有共同策略要求的组使得能够对每个组的闭包实施共享的隐私策略，而不 是对每个闭包个别地实施隐私策略。

在一个实施例中，依照图3的步骤311，策略实施模块201确定与计 算环境的至少一个其他级别相关的一个或多个其他隐私策略。如前文所述， 在具有不同环境级别和不同组件的分布式计算环境中，环境的每个组件或 级别可具有其自身的隐私策略集合，需要将这些隐私策略组合，在组件和 级别间分布计算才有可能。例如，对于与将要从在设备级别的UE107a-107i 分布到基础设施级别117a-117k的一个或多个组件或分布到云级别 111a-111n的过程相关的一组计算闭包，需要确定并组合至少闭包的原点 和闭包的目的地点的隐私策略。

在一个实施例中，依照图3的步骤313，机制确定模块205处理一个 或多个隐私策略、一个或多个计算闭包或其组合以确定用于实施该一个或 多个隐私策略的一个或多个机制。机制可至少部分地包括一个或多个加密 机制、一个或多个过滤机制、一个或多个匿名化机制或其组合，其中加密 方法与计算闭包的安全能力具有直接联系。过滤过程可从将执行的计算闭 包的集合中排除一个或多个计算闭包，以便产生其隐私要求将与执行环境 的隐私能力匹配的新集合。匿名化过程可例如通过移除可能也泄露闭包所 有权的敏感信息来使计算闭包不可跟踪。注意，各种隐私策略属于这些主 要机制中的一个或其组合。在一个实施例中，机制确定模块205至少部分 基于计算环境的至少一个级别来确定一个或多个机制。注意，环境的各级 别可具有要求实施特定机制的不同规则。

在一个实施例中，依照图3的步骤315，策略实施模块201处理一个 或多个确定的隐私策略和一个或多个确定的计算闭包，以至少部分地促使 对计算闭包实施该一个或多个隐私策略。策略实施模块201将计算闭包的 确定的能力、环境级别的确定的能力、确定的参数、确定的机制等用于策 略实施过程。在此过程中，策略实施模块201可在与计算环境的每个级别 和将在相应级别执行的计算闭包相关的策略之间创建映射。策略实施可通 过将与策略相关的信息并入表示每个计算闭包的数据结构、通过将共同的 策略关联到具有共享策略的闭包的集合、通过生成特定策略数据格式并在 策略数据和闭包数据之间创建链接或通过其组合来执行。隐私策略实施使 得能够基于应用需要（例如，是否允许闭包加密、是否允许过滤以及过滤 是否导致信息丢失或无损过滤是否可能等）来执行具有选定/不同技术的 某些应用。可能存在关于需要和/或允许多少策略实施的不同程度。

此外，在各种实施例中，策略实施模块201、闭包组合模块203和机 制确定模块205可在存储器207中存储来自其过程的中间或最终结果、从 存储器207中访问由其他模块或组件提供的数据或结果或其组合。

图4是根据一个实施例的具有隐私策略的多级计算环境的示意图。在 一个实施例中，集合101包括UE107a、107b和107c，其中UE107a需要 要执行的计算闭包的集合401，而UE107b需要要执行的计算闭包的集合 403。在闭包集合401和403中，几何图标表示计算闭包，其中具有指派 的隐私策略的闭包显示为实心填充的图标，而其他闭包为未填充的图标。 在一个实施例中，无论何时计算闭包的集合401或403的隐私评估要求的 成本超过在计算环境的当前级别的设备能力，计算都将被分布到下一个级 别，如基础设施级别。分布式计算隐私平台103分别从UE107a和107b 接收对于分布集合401和403的请求。分布式计算隐私平台103使用由诸 如策略实施模块201的组件提供或来自环境的基础设施117a-117c和云 111a-111n的其他级别的信息，如参照图3的流程图所述，以便选择基础 设施级别117a、117b或117c的组件用于分布计算闭包401和403。在图 4的实例中，实施了隐私的集合401的闭包被分布到基础设施117a的组件 119a和119c（如箭头405所示），而实施了隐私的集合403的闭包被分 布到基础设施117a的组件119b和119d（如箭头407所示）。类似地，基 础设施117a可进一步将闭包分布到一个或多个云111a-111n（如箭头411 所示）。从UE107a中的集合401开始继续经过基础设施117a的组件119a 和119c并到达一个或多个云111a-111n的路径413表示相关闭包的功能 流。一旦完成了执行，可将分布的闭包的执行结果聚集并返回到UE107a 和107b。

在一个实施例中，分布式计算隐私平台103可定期从设备、基础设施 和云接收关于新隐私策略和可用隐私实施组件和路径的更新信息、隐私状 态和更新的隐私参数。另外，分布式计算隐私平台103可定期从设备、基 础设施和/或云请求关于隐私实施组件和路径的可用性状态的更新。

如前文所讨论的，任一分布点（例如，UE107a或组件119a）的能力 和隐私策略可用性可改变。例如，如果检测到违反隐私的情况，则分布式 计算隐私平台103的组件确定改变并相应地调整策略、能力、参数，以便 分布式计算隐私平台103能够对违反的原因进行检验和检测，并防止事件 再次发生。注意，存储器419可用于存储与基础设施117a-117c的组件相 关的本地数据，如组件能力、要求等。

图5A-5B是根据一个实施例的在多级计算环境中分布实施了隐私的计 算的示意图。图5A是计算分布的概括表示。如图5A所示，计算分布在架 构级别（未示出）的组件501处开始。每个组件可执行构成计算分支的一 组闭包。例如，分支501由闭包503a-503d组成，其中每两个连续的闭包 通过连接器连接，并且计算分支还通过连接器通信。例如，连接器 505a-505c连接闭包503a-503d。连接器也可将与一个闭包相关的信息和 数据及其执行结果转移到分支中的下一个闭包或其他分支。另外，连接器 可充当构成分布式计算的相关分支之间的链路。

在一个实施例中，连接器可包含关于参数（如隐私要求和/或能力、功 能流、分布地图、闭包和架构级别之间的链接等）的信息。将闭包连接到 连接器以及将连接器连接到下一个闭包的箭头示出了基于参数所采用的功 能流。如图5A所示，已通过连接器505a和连接器511a之间的通信将闭 包从组件501分布到组件507。组件507的计算分支包括通过连接器511b 和511c通信的闭包509a-509c，而分支501和507通过连接器505a和511a 通信。类似地，第三分支513已由在组件513处执行并通过连接器517b 和517c连接的闭包515a-515c形成，而该分支通过连接器517a与其他分 支通信。

在一个实施例中，初始分支501可在UE107a-107i中，第二分支507 可在基础设施117a-117n的组件中，而第三分支可在同一基础设施的另一 组件、不同的基础设施的另一组件、云或其组合中。

图5B示出了具有影响分布的各种参数的计算分布。如图5B所示，计 算分布在架构级别（未示出）的组件531处开始。每个组件可执行构成计 算分支的一组闭包。例如，分支531由闭包533a-533d组成，其中每两个 连续的闭包通过连接器连接，并且计算分支还通过连接器通信。例如，连 接器535a-535c连接闭包533a-533d，而连接器571连接分支547和559。 连接器也可将与一个闭包相关的信息和数据及其执行结果转移到分支中的 下一个闭包或其他分支。另外，连接器可充当构成分布式计算的相关分支 之间的链路。

在一个实施例中，连接器可包含关于参数（如包括隐私要求和可用性 的能力、成本功能、功能流规格、分布地图、闭包和架构级别之间的链接 等）的信息。将闭包连接到连接器以及将连接器连接到下一个闭包的箭头 示出了基于参数所采用的功能流。例如，星符号541a-541d、557a-557c 和569a-569b表示对闭包施加的隐私规则，而符号545a-545b表示对超级 闭包（例如，由闭包组合模块203提供的组合闭包）施加的策略规则，上 述策略规则由UE107a-107i的用户、默认地由UE107a-107i的制造商、 由基础设施117a-117k、由云111a-111n或由其组合施加，并且分别与每 个闭包533a-533d、549a-549c以及561a-561c关联。另外，块539a-539d、 555a-555c和567a-567c表示与一个或多个闭包相关的经过处理的隐私策 略，而块543a-543b表示一个或多个超级闭包的隐私策略的组合。在图5B 的实例中，隐私策略539a示出了基于隐私规则541a的闭包533a的策略。 在一个实施例中，如果隐私策略539a是依照规则541a，在所施加的策略 被验证，并且闭包533a可以被分布，然而如果策略539a与规则541a的 任何规则相抵触，则闭包533a将被分布式计算隐私平台103标识为不可 分布。

在一个实施例中，块543a表示由策略实施模块201从一组策略 539a-539d组成的组合策略，而块545a表示多级计算环境的组件547的组 合隐私规则。在此实施例中，如果分布式计算隐私平台103检测到组合策 略543a和组合规则545a之间的抵触，则闭包分布可被终止。其后，分布 式计算隐私平台103可向组件531发布隐私违反的警报、调查问题并找到 有问题的组件、提出克服问题的解决方案的建议或其组合。

在一个实施例中，一个闭包或一组闭包可能没有对隐私策略规则的访 问权以便验证其被施加的隐私。例如，在图5B中，闭包561c被指派具有 不带有隐私规则的策略567c。在此实施例中，如箭头573所示，执行分支 559的分布式计算组件绕过闭包561c，而不执行计算561c。或者，该组件 可从分布式计算隐私平台103请求闭包561c的隐私规则。

在一个实施例中，可维护预定义或先前使用的隐私规则的存储库，使 得可将具有缺少的隐私规则的任何计算与存储库比较，并且可例如基于具 有缺少的隐私规则的计算与具有存储库中的隐私规则的其他计算之间可能 存在的相似性来从存储库内容向它们（具有缺少的隐私规则的任何计算） 指派合适的规则。规则指派可用于临时的时段，直到从同一功能流中的其 他类似的计算、从相邻的计算闭包等找到、请求、借用、生成、扩展了用 于计算的确切的规则。

由结果聚集器575将三个分支531、547和559的闭包执行的最终结 果聚集起来，并转发到请求设备。

在一个实施例中，在环境的每个级别，计算闭包533a-533d、549a-549c 或561a-561c中的一个或多个可为由分布式计算隐私平台103创建的预先 创建的闭包，其中预先创建的闭包包括关于分别对闭包实施一个或多个隐 私规则541a-541d、557a-557c和569a-569b的信息，并且作为结果产生 所施加的隐私策略539a-539d、555a-555c和567a-567c。预先创建的闭包 还可产生组合的隐私策略543a、543b或组合的隐私规则545a、545b等。

在图5B的实施例中，对于计算基础设施的每个域或每个级别，隐私 机制和规则可不同。隐私规则还可重叠并允许将隐私执行域扩展到基础设 施的一个或所有级别。换言之，每个计算闭包和每个分支或计算闭包的功 能流可启用并利用不同隐私机制和规则。

另外，可将不同隐私机制（例如，加密、过滤、匿名化）与计算闭包 能力（例如，能耗、安全性、隐私和连接质量）相结合来使用。策略实施 模块201可在有或无不同隐私策略机制的情况下考虑不同能力。策略实施 模块201使得能够基于应用要求（例如，是否允许闭包加密、是否允许具 有数据丢失的过滤等）来执行具有选定/不同技术的应用。可将分布式计 算隐私平台103调节为基于所涉及的实体的能力和要求来提供不同程度的 隐私实施。

图6是根据一个实施例的用于多级计算环境中的分布式计算中的端到 端隐私的策略应用的示意图。在一个实施例中，已将隐私规则指派到与UE 107a相关的过程的闭包601、603和605。在图6的实例中，闭包605应 该在闭包601和603的执行的组合结果之上被执行。闭包601在基础设施 级别117a的组件119a处被执行，而闭包603被转移到级别117a的组件 119c（例如，基础设施级别中的另一设备）来执行。在此实施例中，在闭 包（601或603）被转移到组件（119a或119c）之前，分布式计算隐私平 台103验证环境级别117a的组件119a和119c的隐私能力对于闭包601 和603的隐私要求来说是令人满意的，并且仅当相应的组件具有足够能力 时转移才会发生。在此实例中，闭包601和603可在不同的组件119a和 119c处并行地被执行。

在一个实施例中，在执行完成时，将结果返回到原来的设备107a。然 而，应再次由分布式计算隐私平台103验证向UE107a发送结果所经过的 路径，以遵循闭包601和603两者的隐私要求，并且也遵循可适用于结果 的任何额外的隐私规则。然后，可将返回的结果与闭包605一起转移到基 础设施级别117b的组件119d来执行。如果基础设施级别没有任何隐私能 力或非隐私能力（例如，处理能力等），则可在云级别111a-111n执行闭 包。也将最终执行结果返回到107a，以向用户呈现、由运行的应用利用等。 形状607内的区域示出了根据隐私策略规则（用于确定分布路径）的闭包 601、603和605的计算流。

在一个实施例中，基础设施组件119a、119c和119d将不能解密闭包 601、603和605，因为这些闭包受隐私策略规则保护。这些闭包及其执行 结果只能由隐私策略所允许的实体（例如，UE107a）来解密。然而，执 行环境的组件可操纵（例如，执行）闭包的加密副本，而不对其进行解密， 并将结果返回到请求设备107a。

在一个实施例中，分布式计算隐私平台103利用隐私策略实施的各种 机制。主要机制类别包括加密、过滤和匿名化。每种机制具有一组能力且 被定义用于闭包（例如，附加到设备及其信道）。可将设备、组件和架构 级别的能力标识为各种参数，例如能耗、安全级别、隐私级别、连接质量 等。此外，每个闭包可具有不同能力和要求，并且可以签名（例如，策略 指派签名）或超级签名（组合的策略指派）的形式将闭包与定义的能力和 要求关联。

在一个实施例中，可将闭包能力或各种类型彼此组合，例如，闭包签 名可标识闭包的隐私和能耗两者，另一签名可标识隐私、能量和安全能力 的组合等。

在一个实施例中，策略可实施“无损”加密的方法，其中信息量必须 保持相同（例如，闭包不可由于加密而丢失任何信息）。

在一个实施例中，在计算环境的不同级别可允许不同隐私机制。例如， 设备级别101可仅认可加密，基础设施级别117a-117c可仅允许过滤，而 云级别111a-111n可允许所有机制：加密、过滤和匿名化。

在一个实施例中，闭包能力可与定义的机制重叠。例如，UE107a可 具有低电池电力。因此，UE107a在低电池电力时可能不是用于其他设备 共享信息的合适选择，以免违背隐私、丢失参数、丢失闭包值等（例如， 具有低电池电力的UE可能不能够应用解密）。

在一个实施例中，可将不同隐私机制与计算闭包能力一起使用。策略 实施模块201可在有或没有不同隐私策略机制的情况下考虑不同能力。可 将加密、过滤、匿名化机制与计算闭包能力参数（如能量、安全性、隐私 和连接质量）组合。

在一个实施例中，如所述的隐私策略通过能力度量、能量和安全性与 功能流元素（能力）相联系。另外，可将隐私应用于许多系统，从而向概 率和逻辑方法提供计算闭包。可将不同隐私机制与计算闭包能力一起使用。 此外，隐私策略实施可在有或没有不同隐私策略机制的情况下考虑不同能 力。

图7A-7B是根据一个实施例的在设备间的计算分布的示意图。在一个 实施例中，在图7A中，后端环境117是网络基础设施。后端环境也可以 是与UE107a的所有者相关的云111内或与用户相关的另一UE107b上的 虚拟运行时环境。后端环境117可包括一个或多个组件（后端设备）119a 和诸如便捷API707的一个或多个应用编程接口（API），所述API可包 括针对使用的软件开发环境（例如，JAVA、PHP等）定制的API。此外， UE107a和107b可包括客户端API705a和705b。每个API使得设备与另 一设备或环境内的组件之间能够交互。例如，后端API709使得后端设备 119a和代理5之间能够交互，而便捷API707使得后端设备119a和代理 3和代理4之间能够交互，其中每个代理是处理后端环境117内的计算闭 包的一组过程。API705a和705b分别使得UE107a和代理1之间以及UE 107b和代理2之间能够交互。如图7A的实例中所示，代理3在PHP下工 作，而代理4是JAVA过程。UE107a和107b中的每个具有可为云111的 部分的计算闭包环境713a和713b。箭头715a-715e表示计算闭包在环境 713a、713b和计算闭包存储库717间的分布路径。计算闭包存储库717是 可被具有至后端环境117的连接的所有UE和基础设施组件访问和使用的 计算闭包的存储库。

在一个实施例中，后端设备119a可配有监视和管理对计算闭包存储 库717的任何访问的闭包循环和封送（marshaling）组件711。在其他实 施例中，闭包循环和封送（即，为了统一使用的标准化）可为分布式计算 隐私平台103的功能。

在一个实施例中，可由编译系统使用用于生成匿名功能对象（如λ表 达式）的方法基于匿名功能对象组成并自动创建环境713a、713b和计算 闭包存储库717内的计算闭包。

图7B是如在图7A中引入的计算闭包环境713的扩展视图。计算闭包 环境713可由一个或多个计算闭包生成组件组成。在一个实施例中，计算 闭包环境713具有为UE107的用户提供各种服务的服务基础设施723。服 务可包括可在UE107上执行的任何应用，如游戏、音乐、文本消息传送、 语音电话等。在一个实施例中，服务基础设施723为在分布式计算隐私平 台103的监管下的闭包分布（如在图1、图2和图3中所讨论的）提供支 持。依照箭头741，代理1从计算闭包存储库749检索服务基础设施723 需要的计算闭包，并通过服务基础设施723将新生成的计算闭包存储到计 算闭包存储库749中，以便进行分布。

在另一实施例中，计算闭包环境713具有为开发者提供用于操纵由UE 107提供的服务的各种工具的开发者体验模块727。这些工具可包括允许 开发者跨开发平台将过程链接在一起的标准化和/或抽象数据类型和服务。 在一个实施例中，开发者体验模块727在分布式计算隐私平台103（如图 1中所讨论的）的监管下为抽象数据类型和服务提供跨平台支持。依照箭 头743，代理2从计算闭包存储库749检索开发者体验模块727所需的计 算闭包，并通过开发者体验模块727将新生成的计算闭包存储到计算闭包 存储库749中，以便进行分布。

在又一实施例中，计算闭包环境713具有为迁移闭包401提供抽象包 装器（即，一元包装器）的可伸缩计算模块731。此抽象在闭包401和UE 107之间提供计算兼容性。抽象包装器可为与闭包401相关的各种过程提 供调度、存储管理、系统调用和其他服务。这些服务在分布式计算隐私平 台103（如图1中所讨论的）的监管下被提供。依照箭头745，代理3从 计算闭包存储库749检索可伸缩计算模块731所需的计算闭包，并通过可 伸缩计算模块731将新生成的计算闭包存储到计算闭包存储库749中，以 便进行分布。在一个实施例中，后端环境117可访问计算闭包存储库749， 并在计算闭包存储库749和后端计算闭包存储库717之间交换/迁移一个 或多个计算机闭包747。

图8是根据一个实施例的示出作为基元计算闭包的组合的过程的示意 图。过程800由闭包基元801a-801d组成。闭包基元801a-801d（其类似 于图4的几何图标闭包）被组合器803a-803d彼此组合成过程800。对象 805表示包括过程状态的执行要求，在这些要求下，被组合器803a-803d 组合的闭包801a-801d的执行将产生过程800。

在一个实施例中，过程800的分布包括将作为独立元素的闭包 801a-801d、组合器803a-803d和过程状态805分布到例如基础设施环境 117中。可将独立的闭包801a-801d从基础设施环境117分布到其中可执 行它们的不同组件119a-119m中。

图9是根据一个实施例的从一个设备到另一设备的过程分布的示意图。 在一个实施例中，设备107a是与用户相关的UE。UE107a可包括在设备 间被迁移的用户上下文903。代理1和代理2是计算和处理用户上下文903 内的计算闭包的处理器。在不同设备中，代理的数目基于设备的设计、功 能、处理能力等可有所不同。块905表示作为一组计算闭包即闭包_1、闭 包_2、...和闭包_n的“对象”，其中每个闭包是例如与用户设备107a向 用户提供的服务相关的更大的过程的组件。每个闭包是可独立于其他闭包 执行的单独过程。在图9的实例中，过滤过程907通过过滤闭包集合“对 象”从该集合中提取闭包_1（在块909中示出）。使用示例性的“放置（Put）” 命令911将所提取的闭包_1添加到计算闭包存储库913。

在本实例中，假定由分布式计算隐私平台103基于足够隐私的可用性 而选择基础设施级别（未示出）的组件119a作为从UE107a的闭包分布 的目的地。在指派分布路径（类似于图4中的路径413）之后，所提取的 计算闭包闭包_1被迁移到组件119a，并在组件119a上被执行。

在一个实施例中，组件119a使用“获取（Get）”命令915从计算闭 包存储库913接收计算闭包闭包_1并提取它。所提取的闭包_1被投射成 具有用户设备上下文的闭包，并且产生对象917。块919表示由负责执行 的组件将闭包重新构造到初始上下文中。然后，可由代理3在组件119a 的运行时环境921中执行所聚集的上下文。

在另一实施例中，UE107a和组件119a可交换位置，并且分布是从组 件119a到UE107a执行的，或者两个设备都可为UE。在此实施例中，分 解和聚集过程类似于上面的实例。

图10是根据一个实施例的计算闭包分配/映射的示意图。图10的示 意图示出了在作为客户端的UE107a和作为计算基础设施117的组件的后 端设备119a之间形成的共同可访问的存储器地址空间1001。

在一个实施例中，UE107a可包括RDF存储库1003，其持有与UE107a 相关的过程的计算闭包。类似地，后端设备119a可包括RDF存储库1013， 其持有与设备119a、UE107a-107i或具有到设备119a或云111的连接的 任何其他设备相关的过程关联的计算闭包。

在其他实施例中，UE107a和后端设备119a中的统一资源标识符（URI） 1005和1015可用来标识可由其相应的设备经由通信网络105访问的名称 和资源。另外，UE107a和后端设备119a可具有包括类似于图5B的规则 569a-569b的对设备施加的隐私规则的规则集合1007a和1017a。注意， UE107a的规则库1007a可为后端设备119a的规则库1017a的子集，其中 规则1017a是由云111管理的规则的超集的子集。此外，可将与每个设备 相关的旧代码存储在UE107a上的旧代码存储区域1009a和1009b中，以 及后端设备119a上的旧代码存储区域1019a和1019b中。

在一个实施例中，UE107a可配有作为闭包存储库的非易失性存储空 间1011。闭包存储库1011可包括示出为几何对象的一组闭包基元（类似 于图4的集合401或403的基元）。类似地，后端设备119a可配有作为 闭包存储库的非易失性存储空间1021。闭包存储库1021也可包括作为几 何对象示出的一组闭包基元。在一个实施例中，闭包存储库1011是至少 部分基于一个或多个标准（如访问的时间、访问的频率、优先级分类、隐 私设置等）确定的闭包存储库1021的子集。闭包存储库1011和1021的 几何形状已各被分成实心填充的几何形状（表示已签名的闭包）和未填充 的几何形状（表示未签名的闭包）的两组。由于与易失性存储器（如1007a、 1007b、1017a及1017b）相比非易失性存储器较昂贵且需要大量资源（例 如，电力消耗），所以UE107a-107i上的非易失性存储器的容量有限。 然而，服务于大量用户的后端设备119a可配有更大容量的非易失性存储 空间。由于UE107a-107i上的非易失性存储空间的容量有限，并且也由 于不同设备上的不同级别的隐私设置，所以仅闭包存储库1021的子集被 本地存储在闭包存储库1011，以供UE107a本地使用。为了最小化UE107 从设备109a的闭包存储库1021检索一个或多个基元所需的次数，基于一 个或多个标准确定子集1011。在一个实施例中，闭包存储库1011可被确 定为一组最频繁被UE107a访问的闭包存储库1021的闭包基元。在另一 实施例中，闭包存储库1011可被确定为一组最近被UE107a访问的闭包 存储库1021的闭包基元。在其他实施例中，可将各种组合的条件和标准 用于从集合1021确定子集1011作为UE107a的闭包存储库的内容。此外， 可定期同步闭包存储库1011和1021。闭包存储库的同步确保了闭包存储 库1021的闭包基元和签名点阵的根元素中的任何改变（添加、删除、修 改等）均被反映在闭包存储库1011中。

在一个实施例中，为了执行与UE107a上的过程相关的闭包集合401 （闭包存储库1011的子集），可在分布式计算隐私平台103的监管下并 在验证闭包的隐私和目的地组件的能力之后将集合401迁移到后端设备 119a，后端设备119a是基础设施117的组件（分布路径如箭头1023所示）。 然后，分布式计算隐私平台103可通知UE107a、后端设备119a或其组合 的处理组件（未示出处理组件）已准许闭包基元的隐私且准备好执行闭包。 或者，分布式计算隐私平台103可确定从隐私的观点来说闭包未被准许， 并终止其分布和执行。

在一个实施例中，对后端设备119a的闭包存储库1021的任何更改（例 如，添加、删除、修改等）可首先通过通信网络105输入URI1015。然后， 可从URI1015应用对闭包存储库1021的更改（由箭头1027a-1027d示出）。 类似地，基于闭包存储库1021的内容更新闭包存储库1011，并且将更新 与UE107a内的其他被授权的组件共享（例如，与URI1005，如箭头 1025a-1025d所示）。

在一个实施例中，从RDF存储库1003和1013以及闭包存储库1011 和1021形成共同可访问的存储器地址空间1001。共同可访问的存储器地 址空间1001可作为连续存储空间被设备107a和119a中的每个访问。

本文描述的用于在多级分布式计算中提供端到端隐私的过程可有利地 通过软件、硬件、固件或软件和/或固件和/或硬件的组合来实现。例如， 本文描述的过程可有利地通过处理器、数字信号处理（DSP）芯片、专用 集成电路（ASIC）、现场可编程门阵列（FPGA）等来实现。下面详细说明 了用于执行所述功能的此类示例性硬件。

图11示出了计算机系统1100，可在计算机系统1100上实现本发明的 实施例。尽管计算机系统1100是相对于特定设备来描绘的，但设想了图 11内的其他设备（例如，网络元件、服务器等）可部署示出的系统1100 的硬件和组件。计算机系统1100被编程（例如，通过计算机程序代码或 指令）来如本文所述在多级分布式计算中提供端到端隐私，并且包括用于 在计算机系统1100的其他内部和外部组件之间传递信息的通信机制，如 总线1110。将信息（也称为数据）表示为可测量的现象（通常为电压，但 在其他实施例中包括诸如磁、电磁、压力、化学、生物、分子、原子、亚 原子和量子交互的现象）的物理表达。例如，南北磁场或零和非零电压表 示二进制位（比特）的两种状态（0、1）。其他现象可表示高基数的位。 测量前多个同步量子状态的叠加表示量子比特（qubit）。一个或多个位 的序列构成用来表示字符的数字或代码的数字数据。在一些实施例中，通 过特定范围内的可测量值的接近连续统来表示称为模拟数据的信息。计算 机系统1100或其一部分构成用于执行在多级分布式计算中提供端到端隐 私的一个或多个步骤的构件。

总线1110包括一个或多个并行信息导体，使得信息快速在耦接到总 线1110的设备间被转移。用于处理信息的一个或多个处理器1102与总线 1110耦接。

处理器（或多个处理器）1102如与在多级分布式计算中提供端到端隐 私相关的计算机程序代码所指定的那样对信息执行一组操作。该计算机程 序代码为为处理器和/或计算机系统的操作提供指令以执行指定的功能的 一组指令或语句。例如，该代码可以编译成处理器的本机指令集的计算机 编程语言来编写。该代码还可以直接使用本机指令集（例如，机器语言） 来编写。所述一组操作包括从总线1110带入信息及将信息置于总线1110 之上。所述一组操作通常还包括比较两个或更多个信息单元、将信息单元 移位，以及将两个或更多个信息单元组合，如通过加法或乘法或逻辑运算 （如或、异或（XOR）和与）的方式。通过称为指令的信息（如一个或多 个位的操作码）来向处理器表示可由处理器执行的该组操作中的每个操作。 将由处理器1102执行的一系列操作（如一系列操作码）构成处理器指令， 也称为计算机系统指令，或者简单地称为计算机指令。可将处理器实现为 机械、电、磁、光学、化学或量子组件，其中，单独地或以组合形式。

计算机系统1100还包括耦接到总线1110的存储器1104。存储器1104 （如随机存取存储器（RAM）或任何其他动态存储设备）存储包括用于在 多级分布式计算中提供端到端隐私的处理器指令的信息。动态存储器允许 存储在其中的信息被计算机系统1100改变。RAM允许存储在称为存储器地 址的位置的信息单元独立于在相邻地址的信息而被存储和检索。存储器 1104还被处理器1102用来存储执行处理器指令期间的临时值。计算机系 统1100还包括耦接到总线1110的用于存储不被计算机系统1100改变的 静态信息（包括指令）的只读存储器（ROM）或任何其他静态存储设备。 某个存储器由在断电时丢失存储在其中的信息的易失性存储器组成。非易 失性（持久）存储设备1108（如磁盘、光盘或闪存卡）也耦接到总线1110， 其用于存储即使在计算机系统1100被关闭或以其他方式断电时也能持久 的信息（包括指令）。

信息（包括用于在多级分布式计算中提供端到端隐私的指令）从外部 输入设备1112（如包含由人类用户操作的数字字母键的键盘或传感器）被 提供到总线1110，供处理器使用。传感器检测其附近的状况并将这些检测 变换为与用来表示计算机系统1100中的信息的可测量现象兼容的物理表 达。耦接到总线1110、主要用于与人交互的其他外部设备包括用于呈现文 本或图像的显示设备1114（如阴极射线管（CRT）、液晶显示器（LCD）、 发光二极管（LED）显示器、有机LED（OLED）显示器、等离子屏幕或打印 机）和用于控制呈现在显示器1114上的小光标图像的位置并发出与呈现 在显示器1114上的图形元件相关的命令的定点设备1116（如鼠标、跟踪 球、光标方向键或运动传感器）。在一些实施例中，例如，在计算机系统 1100自动执行所有功能而无需人的输入的实施例中，省略外部输入设备 1112、显示设备1114和定点设备1116中的一个或多个。

在所示实施例中，将专用硬件（如专用集成电路（ASIC）1120）耦接 到总线1110。该专用硬件被配置来对于特殊用途来说足够快速地执行不由 处理器1102执行的操作。ASIC的实例包括用于生成显示器1114的图像的 图形加速器卡、用于加密和解密通过网络发送的消息的密码板、语音识别 和与专用外部设备（如反复执行以硬件实现更高效的一些复杂操作的序列 的机械臂和医学扫描设备）的接口。

计算机系统1100还包括耦接到总线1110的通信接口1170的一个或 多个实例。通信接口1170提供耦接到用其自身的处理器操作的各种设备 （如打印机、扫描仪和外部磁盘）的单向或双向通信。通常，耦接是用连 接到本地网络1180的网络链路1178，具有其自身的处理器的各种外部设 备连接到本地网络1180。例如，通信接口1170可为个人计算机上的并行 端口或串行端口或通用串行总线（USB）端口。在一些实施例中，通信接 口1170为提供至对应类型的电话线的信息通信连接的综合业务数字网 （ISDN）卡或数字用户线路（DSL）卡或电话调制解调器。在一些实施例 中，通信接口1170是将总线1110上的信号转换为用于借助于同轴电缆的 通信连接的信号或转换为用于借助于光缆的通信连接的光学信号的线缆调 制解调器。作为另一实例，通信接口1170可为用来提供至兼容的局域网 （LAN）（如以太网）的数据通信连接的LAN卡。也可以实现无线链路。 对于无线链路，通信接口1170发送或接收或者既发送也接收携带信息流 （如数字数据）的电、声学或电磁信号，包括红外和光学信号。例如，在 无线手持设备（如移动电话，比如手机）中，通信接口1170包括射频带 电磁发射器和接收器（称为射频收发器）。在某些实施例中，通信接口1170 使得能够连接至通信网络105，以便在多级分布式计算中向UE107a-107i 提供端到端隐私。

如本文所使用的术语“计算机可读介质”指参与向处理器1102提供 信息（包括供执行的指令）的任何介质。此类介质可采取许多形式，包括 但不限于计算机可读存储介质（例如，非易失性介质、易失性介质）和传 输介质。非瞬时性介质（如非易失性介质）包括例如光学或磁盘，如存储 设备1108。易失性介质包括例如动态存储器1104。传输介质包括例如双 绞电缆、同轴电缆、铜线、光纤电缆和不使用线或电缆通过空间传递的载 波，如声波和电磁波，包括无线电、光学和红外波。信号包括通过传输介 质传输的振幅、频率、相、极化或其他物理特性的人为瞬变。计算机可读 介质的通常形式包括例如软盘、柔性盘、硬盘、磁带、任何其他磁介质、 CD-ROM、CDRW、DVD、任何其他光学介质、穿孔卡片、纸带、光学标记表、 具有孔的图案或其他光学上可识别的记号的任何其他物理介质、RAM、PROM、 EPROM、快闪EPROM、EEPROM、闪存、PCM（相变存储器）、任何其他NVM （非易失性存储器）、任何其他存储器芯片或卡盘、载波或计算机可以从 其中读取的任何其他介质。术语计算机可读存储介质在本文中用来指代除 了传输介质之外的任何计算机可读介质。

在一个或多个有形介质中编码的逻辑包括计算机可读存储介质和专用 硬件（如ASIC1120）之一或两者上的处理器指令。

网络链路1178通常通过一个或多个网络使用传输介质向使用或处理 信息的其他设备提供信息通信。例如，网络链路1178可通过本地网络1180 提供至主机计算机1182或由互联网服务提供商（ISP）运行的设备1184 的连接。ISP设备1184又通过现在通常称为互联网1190的网络的公共、 全球分组交换通信网络提供数据通信服务。

连接至互联网的称为服务器主机1192的计算机上有响应于通过互联 网接收的信息而提供服务的过程。例如，服务器主机1192上有提供表示 用于在显示器1114处呈现的视频数据的信息的过程。设想了系统1100的 组件可以各种配置部署在其他计算机系统（例如，主机1182和服务器1192） 内。

本发明的至少一些实施例与使用计算机系统1100来实现本文所述的 技术中的一些或全部相关。根据本发明的一个实施例，响应于处理器1102 执行包含在存储器1104中的一个或多个处理器指令的一个或多个序列， 由计算机系统1100执行这些技术。可从另一计算机可读介质（如存储设 备1108或网络链路1178）将此类指令（也称为计算机指令、软件和程序 代码）读入存储器1104。包含在存储器1104中的指令序列的执行促使处 理器1102执行本文所述的方法步骤中的一个或多个。在可替代的实施例 中，硬件（如ASIC1120）可用来代替软件或与软件组合以实现本发明。 因此，本发明的实施例不限于硬件和软件的任何特定组合，除非本文另外 明确指出。

经通信接口1170通过网络链路1178和其他网络传输的信号将信息传 递到计算机系统1100，并从计算机系统1100传递信息。计算机系统1100 可经网络链路1178和通信接口1170通过尤其是网络1180、1190发送和 接收信息，包括程序代码。在使用互联网1190的实例中，服务器主机1192 通过互联网1190、ISP设备1184、本地网络1180和通信接口1170传输通 过从计算机1100发送的消息请求的特定应用的程序代码。可由处理器1102 在接收到代码时执行所接收的代码，或者可将所接收的代码存储在存储器 1104中或存储在存储设备1108中或存储在任何其他非易失性存储器中， 供以后执行，或者既执行又存储所接收的代码。这样，计算机系统1100 可获取以载波上的信号的形式的应用程序代码。

在将指令或数据或两者的一个或多个序列传递至处理器1102以便执 行中，可涉及各种形式的计算机可读介质。例如，可最初在远程计算机（如 主机1182）的磁盘上承载指令和数据。远程计算机将指令和数据载入其动 态存储器，并使用调制解调器通过电话线发送指令和数据。计算机系统 1100本地的调制解调器接收电话线上的指令和数据，并使用红外发射器将 指令和数据转换成充当网络链路1178的红外载波上的信号。充当通信接 口1170的红外检测器接收红外信号中携带的指令和数据，并将表示指令 和数据的信息置于总线1110之上。总线1110将信息传递到存储器1104， 处理器1102从存储器1104检索并使用随指令发送的某些数据执行指令。 可选地，在由处理器1102执行之前或之后，可将在存储器1104中接收的 指令和数据存储在存储设备1108上。

图12示出了芯片组或芯片1200，可在其上实现本发明的实施例。芯 片组1200被编程来如本文所述在多级分布式计算中提供端到端隐私，且 包括例如并入在一个或多个物理封装（例如，芯片）中的相对于图11所 述的处理器和存储器组件。例如，物理封装包括在结构组装件（例如，基 板）上的一个或多个材料、组件和/或线的布置，以提供一个或多个特性， 如物理强度、尺寸节约和/或电交互的限制。设想了在某些实施例中可以 单个芯片实现芯片组1200。还设想了在某些实施例中可将芯片组或芯片 1200实现为单个“片上系统”。还设想了在某些实施例中例如将不使用单 独的ASIC，并且如本文所公开的所有相关功能将由一个或多个处理器来执 行。芯片组或芯片1200或其部分构成用于执行提供与功能的可用性相关 的用户接口导航信息的一个或多个步骤的构件。芯片组或芯片1200或其 部分构成用于执行在多级分布式计算中提供端到端隐私的一个或多个步骤 的构件。

在一个实施例中，芯片组或芯片1200包括用于在芯片组1200的组件 间传递信息的通信机制，如总线1201。处理器1203具有至总线1201的连 接，以执行存储在例如存储器1205中的指令和过程信息。处理器1203可 包括一个或多个处理核心，其中每个核心被配置来独立执行。多核心处理 器使得能够在单个物理封装内进行多处理。多核心处理器的实例包括两个、 四个、八个或更大数目的处理核心。或者或另外，处理器1203可包括经 由总线1201协同配置的一个或多个微处理器，以使得能够独立执行指令、 流水线技术和多线程。处理器1203还可附带一个或多个专门的组件来执 行某些处理功能和任务，如一个或多个数字信号处理器（DSP）1207或一 个或多个专用集成电路（ASIC）1209。DSP1207通常被配置来独立于处理 器1203来实时地处理真实世界信号（例如，声音）。类似地，ASIC1209 可被配置来执行更通用的处理器不能轻易执行的专门功能。用来辅助执行 本文所述的本发明的功能的其他专门组件可包括一个或多个现场可编程门 阵列（FPGA）（未示出）、一个或多个控制器（未示出）或一个或多个其 他专用计算机芯片。

在一个实施例中，芯片组或芯片1200包括仅一个或多个处理器以及 支持和/或相关于和/或用于这一个或多个处理器的一些软件和/或固件。

处理器1203和附带组件具有经由总线1201至存储器1205的连接。 存储器1205包括用于存储当被执行时执行本文所述的用来在多级分布式 计算中提供端到端隐私的发明步骤的可执行指令的动态存储器（例如，RAM、 磁盘、可写光盘等）和静态存储器（例如，ROM、CD-ROM等）两者。存储 器1205还存储与本发明的步骤的执行相关或由其生成的数据。

图13是根据一个实施例的用于通信的移动终端（例如，手机）的示 例性组件的示意图，该移动终端能够在图1的系统中操作。在一些实施例 中，移动终端1301或其一部分构成用于执行在多级分布式计算中提供端 到端隐私的一个或多个步骤的构件。一般来说，通常按照前端和后端特性 来定义射频接收器。接收器的前端包括射频（RF）电路的全部，而后端包 括基带处理电路的全部。如本申请中所使用的，术语“电路”指：（1） 仅硬件的实现（如仅以模拟和/或数字电路的实现）和（2）电路和软件（和 /或固件）的组合（如，如果可适用于特定上下文的话，一起工作以促使 装置（如移动电话或服务器）执行各种功能的处理器（包括数字信号处理 器）、软件和存储器的组合）两者。此“电路”的定义适用于在本申请中 （包括在任何权利要求中）此术语的所有使用。作为进一步的实例，如在 本申请中所使用的且如果可适用于特定上下文的话，术语“电路”还将涵 盖仅一个处理器（或多个处理器）及其附带软件和/或固件的实现。术语 “电路”还将涵盖（如果可适用于特定上下文的话）例如移动电话中的基 带集成电路或应用处理器集成电路或蜂窝网络设备或其他网络设备中的类 似集成电路。

电话的有关内部组件包括主控制单元（MCU）1303、数字信号处理器 （DSP）1305和包括麦克风增益控制单元和扬声器增益控制单元的接收器/ 发射器单元。主显示单元1307向用户提供显示以支持执行或支持在多级 分布式计算中提供端到端隐私的步骤的各种应用和移动终端功能。显示器 1307包括被配置来显示移动终端（例如，移动电话）的用户接口的至少一 部分的显示器电路。另外，显示器1307和显示器电路被配置来促进用户 控制至少某些移动终端的功能。音频功能电路1309包括麦克风1311和放 大来自麦克风1311的语音信号输出的麦克风放大器。经过放大的来自麦 克风1311的语音信号输出被馈送到编码器/解码器（CODEC）1313。

无线电部分1315放大功率并转换频率，以便经由天线1317与包括在 移动通信系统中的基站通信。功率放大器（PA）1319和发射器/调制电路 可操作地响应于MCU1303，其中来自PA1319的输出耦接至双工器1321 或循环器或天线开关（如本领域中已知的）。PA1319还耦接至电池接口 和功率控制单元1320。

在使用中，移动终端1301的用户向麦克风1311中讲话，并且他的或 她的话音连同任何检测到的背景噪声被转换成模拟电压。然后，该模拟电 压通过模数转换器（ADC）1323被转换成数字信号。控制单元1303将该数 字信号路由到DSP1305中，以便在那里进行处理，如语音编码、信道编 码、加密和交织。在一个实施例中，由未单独示出的单元使用蜂窝传输协 议（如用于全球演进的增强数据率（EDGE）、通用分组无线业务（GPRS）、 全球移动通信系统（GSM）、互联网协议多媒体子系统（IMS）、通用移动 通信系统（UMTS）等）以及任何其他合适的无线介质（例如微波接入（WiMAX）、 长期演进（LTE）网络、码分多址（CDMA）、宽带码分多址（WCDMA）、无 线保真（WiFi）、卫星等，或其任何组合）对经过处理的话音信号进行编 码。

然后，经过编码的信号被路由至均衡器1325，以便补偿空中传输期间 发生的任何与频率相关的损失（如相和振幅失真）。在均衡比特流之后， 调制器1327将信号与在RF接口1329中生成的RF信号组合。调制器1327 通过频率或相调制的方式生成正弦波。为了为传输准备信号，上变频器 1331将来自调制器1327的正弦波输出与由合成器1333生成的另一正弦波 组合，以实现期望的传输频率。然后，信号通过PA1319被发送以将信号 增大到适当的功率级。在实际系统中，PA1319充当可变增益放大器，其 增益从自网络基站接收的信息受DSP1305控制。然后，信号在双工器1321 内被滤波，并可选地被发送至天线耦合器1335，以匹配阻抗，从而提供最 大功率传输。最后，信号经由天线1317被传输至本地基站。可提供自动 增益控制（AGC）来控制接收器的最终级的增益。可将信号从那里转发至 远程电话，该远程电话可为另一蜂窝电话、任何其他移动电话或连接至公 共交换电话网络（PSTN）的陆线，或其他电话网络。

传输至移动终端1301的话音信号经由天线1317来接收，并立即被低 噪声放大器（LNA）1337放大。下变频器1339降低载波频率，同时解调器 1341剥离RF，仅留下数字比特流。然后，信号经过均衡器1325，并被DSP 1305处理。数模转换器（DAC）1343转换信号，并且所得的输出通过扬声 器1345被传输至用户，所有这些都在可实现为中央处理单元（CPU）（未 示出）的主控制单元（MCU）1303的控制之下。

MCU1303接收各种信号，包括来自键盘1347的输入信号。键盘1347 和/或与其他用户输入组件（例如，麦克风1311）相结合的MCU1303包括 用于管理用户输入的用户接口电路。MCU1303运行用户接口软件来促进用 户控制移动终端1301的至少一些功能，以便在多级分布式计算中提供端 到端隐私。MCU1303还分别向显示器1307和语音输出切换控制器递送显 示命令和开关命令。此外，MCU1303与DSP1305交换信息，并可访问可 选地并入的SIM卡1349和存储器1351。此外，MCU1303执行终端需要的 各种控制功能。DSP1305可对话音信号执行各种传统的数字处理功能中的 任一个，这取决于实现。另外，DSP1305从麦克风1311检测到的信号确 定本地环境的背景噪声级别，并将麦克风1311的增益设置为被选定来补 偿移动终端1301的用户的自然趋势的级别。

CODEC1313包括ADC1323和DAC1343。存储器1351存储包括来电 铃声数据的各种数据，并且能够存储其他数据，包括经由例如全球互联网 接收的音乐数据。软件模块可驻留在RAM存储器、闪存、寄存器或本领域 中已知的任何其他形式的可写存储介质中。存储设备1351可为但不限于 是单个存储器、CD、DVD、ROM、RAM、EEPROM、光学存储器、磁盘存储器、 闪存存储器或能够存储数字数据的任何其他非易失性存储介质。

可选地并入的SIM卡1349承载例如诸如蜂窝电话号码、提供服务的 运营商、预订细节和安全信息的重要信息。SIM卡1349主要用来在射频网 络上标识移动终端1301。卡1349还包含用于存储个人电话号码簿、文本 消息和用户特定的移动终端设置的存储器。

虽然已结合很多实施例和实现描述了本发明，但本发明并不如此受限 制，而是涵盖落入权利要求的范围的各种显而易见的修改和等同布置。尽 管在权利要求中以某些组合表达了本发明的特征，但设想了可以任何组合 和顺序来布置这些特征。