CN1344398A - 经过计算之关联性的通信方法及装置 - Google Patents

Abstract

在此揭示的发明系使计算机和其相关的通信基础结构能够提供新颖的通信处理,该处理容许信息提供者将信息传播给信息使用者群体。此信息可被明确规划需求的使用者加以目标目标锁定。此种目标目标锁定处理以其它通信协定所无法取得的信息为基础。目标目标锁定处理过程亦包含时间因素。当信息成为适用时,其可在精确的时间吸引使用者的注意,此时间可能在正好消息被收到之后,也可能是在消息到达许久之后。通信处理过程可在不干扰使用者的情况下运行,且使用者并没有对于数据提出明确指定的需求,同时该通信处理可在不损及参与使用者的安全性及隐私权的情况下进行。

Description

经过计算之关联性的通信方法及装置

                           发明背景

                           技术领域

本发明涉及一种新颖的通信处理，此通信处理利用计算机及相关的通信基础设施。本发明尤其涉及一种经过计算之关联性通信的方法及装置。

现有技术之说明

通信处理之目的系为了在数对参与者之间传递信息，以在此所讨论的内容而言，这些操作者系由信息提供者与信息使用者所组成。以下将简要说明各方的考虑。

信息提供者的考虑

信息提供者了解各项信息以及特定使用者得到感兴趣、有用或有价值的信息所对应的状况。举例而言，此类信息可能与具有特别属性的使用者所想要解决的问题有关，或与具有此特别属性之使用者所关注的事物有关。提供者希望将信息传送给处于特定状态的使用者。

原则上，信息提供者可能知道数千或数百万关于其可提供信息的条件。这些条件下的大众可能涉及数千或数百万个使用者。

一种特别感兴趣的情况系发生在一项典型的数据只传送给具有特别环境组合的使用者。原则上，一项典型的数据只有少部分的使用者会有所关注，然而此少部分的使用者即代表了为数众多的使用者。

一种颇具挑战性且非常重要的情况是，当查明某些数据何时适用时，必须知道关于使用者的大量详细信息、使用者的需求考虑或属性。此种数据对于使用者来说可能非常敏感，因而使用者不愿参与必须将此信息透露给信息提供者的处理过程。由于只有使用者能够取得作成适用于其本身之决定所需的信息，并且使用者不愿在自行决定的过程中耗费过多的精力，或者不愿将作成决定所需的敏感数据提供给他人而代替其做出决定；因此，似乎不太可能将使用者的信息视为目标。

信息使用者的考虑

使用者可为个人或机构，其了解信息提供者，而信息提供者拥有可能有利于使用者的信息。事实上，使用者可能知道数十或数百个此类提供者。以典型的情况而言，在任何时刻，提供者所提供的信息中只有少部分为使用者所关注的信息。使用者并不想要从提供者所提供的信息中检查所有的信息，其宁愿检查与其有关联的部分信息。

在典型的情况下，提供者所提供的信息会随着时间改变，而且使用者所经历的状况也会随着时间而改变。使用者不希望持续自行追踪这些改变以及信息提供者提供信息的状态。使用者也不希望记住突然成为有用且过去已发出的信息。

不论是由于使用者所处的环境已改变，或是由于信息提供者所提供的信息已改变，或者由于涉及时间考虑的信息成为适用的数据时，使用者皆希望能够取用一种程序，当信息成为适用的时候，其可自动侦测适用数据的存在。使用者不希望将与其身份或其兴趣、偏好及所有物有关的详细信息透露给提供者。使用者反倒希望收到一种信息格式，其可在使用之前先行仔细地检查。

使用者亦希望拥有一种方法，其可告知信息提供者与其自身有关的问题，或在使用信息之前的某种信息。在典型的情况下，使用者希望，若已作成使用的数据的决定，则数据可轻易且实质上为自动的运用。使用者希望远离错误数据造成破坏的可能性。

因此，若能够提供一种通信技术，其可处理上述有关于信息提供者与信息使用者的所有考虑，则人们可从此通信技术中获益。

                            发明概述

本发明揭示了利用计算机及相关基础设施的组合，使其提供新颖的通信处理方式。此种处理方式容许信息提供者将信息传送给使用者群体。信息可针对拥有明确订定之需求的使用者。此目标锁定过程(targetign)可建立在其它通信协定所无法取得的信息之上；例如，由于其它协定的目标锁定方法需要所有潜在接收者透露敏感信息的缘故，或由于其它协定的目标锁定方法需要所有潜在接收者透露在利用精通使用者计算机、其内容与近端环境才能够取得数据的情况下，进行大量的计算之后才可取得信息的缘故。

此目标锁定过程亦包括时间因素。当信息成为适用时，其可在精确的时间吸引使用者的注意，此时间可能在正好消息被收到之后，也可能是在消息到达许久之后。同样地，此特征亦无法为其它通信协定所取用，而在其它通信协定下，信息散布的时间与使用者得知的时间非常接近。

本发明之通信处理可在不干扰使用者的情况下进行操作，且使用者并没有对于数据提出明确指定的需求，同时该通信处理可在不损及参与使用者的安全性及隐私权的情况下进行。举例而言，在本发明的一种实施例情况下，信息提供者并不知道接收此信息之个人的身份或属性。

此种处理过程可为现代生活提供有效的解决方案，其中包括以自动化的方式提供现代计算机的技术支援。在技术支援的应用中，在此揭示之发明容许提供者明确取得广大使用者群体中的特定计算机，该等计算机呈现硬件、软件、系统设定、数据以及近端环境的特定组合，并将已知这些环境所可能造成之问题的合适解决方案提供给该等计算机的使用者。

本发明之目前较佳的实施例系特别适用于满足技术支援应用之使用者及提供者的考虑。在此亦将针对其它许多令人关注的应用领域及实施例加以说明。

本发明的特别实施例描述如下：

参与者在此称作通知提供者(advice provider)及作者公告(authoradvisory)，其为特别建构的数字文件，并可包括：

(1)人能够解读的内容，如文字及多媒体；

(2)计算机能够解读的内容，如可执行程序与数据；以及

(3)称为定计算机语言的相关语言的表达式。

相关语言系描述一给定的公告可能与使用者有关联的明确状况，它是由参照解读消息之使用者计算机的环境特性来描述，例如系统配置、文档系统内容、所连接的周边设备，或可在远端存取的数据等。在公告内容中，人能够解读的内容可描述引发关联性决定的条件，并建议响应此条件的动作，此动作所涵盖的范围包括安装软件、改变系统设定，以及购买信息或软件等。计算机能够解读的内容可包括执行特定的计算，或使系统环境产生某种改变。

公告系在广域网络(如互联网)上通过公告/订阅的处理而进行通信。公告系由其作者放置于为人熟知的位置，在此称作通知网站。在此称作通知读取器(advicereader)的应用程序系在通知使用者的计算机上执行，并可定期从位于通知网站的通知服务器取得公告。

通知读取器可处理以上述方式所取得的消息，并自动解读关联性子句。通知读取器可判断所得到的消息是否与使用者之计算机及相关装置所定义的环境有所关联。而后使用者会被告知有关联的消息，并可读取相关的公告而执行所建议的操作。

关联性评估系通过语法分析关联性语言的子句来进行。这些子句引入特定的检查器，而该检查器可返回计算机的特性、计算机配置、文档系统或其它引人注目的元件。在实施中，环境特性的列表可供关联性语言参用，并可由通知读取器查核，且环境特性的列表系在执行当中由该检查器词库(library)加以决定。

标准检查器词库的存在，系将用于描述使用者计算机及其环境的丰富语汇提供给通知提供者。在一种实施例情况下，检查器词库的收集量可由通知提供者以动态的方式扩充。

通知读取器系以自动模式持续从分布于公共网络(如互联网)的通知提供者收集许多通知，并分析判断通知的关联性。

遵循通知(advice)收集协定的通知读取器可在完全顾及计算机拥有人隐私权的情况下操作，该协定在此称作匿名完全更新协定(Anonymous Exhaustive UpdateProtocol)。由关联性判断所产生的信息，亦即从使用者计算机所取得的信息，并不会流入服务器。使用者计算机上的信息将仍然保留在使用者计算机上，除非使用者同意散布该数据。词

此实施例的多种变更将会进一步说明，其中包括非常不同的应用、非常不同的消息格式、非常不同的收集协定、非常不同的安全性及隐私权属性、描述消息相关之使用者的极不同方法，以及极不同的使用者与提供者之间的信赖关系(即主从关系)等变更。在此揭示的发明能够实施以上所有环境设定中的实施例。

                  图式简单说明

图1为本发明将公告相配于使用者之处理过程的方框图；

图2为本发明之顾问观点的方框图；

图3为本发明之使用者观点的方框图；

图4为本发明之技术支援应用的流程图；

图5为本发明之通知网站的方框图；

图6为本发明之通知(advice)读取器的方框图；

图7为本发明，使用者响应关联性通知(notification的方框图；

图8为本发明显示公告的数据结构；

图9为一方框图，其显示根据本发明之关联性评估的处理；

图10为本发明之表达式树状结构的流程图；

图11为本发明之命名化属性方法之发送的方框图；

图12为本发明之对象估算模式的流程图；

图13为本发明之对象层级结构(hierarchy)的流程图；

图14为本发明之对象层级结构之新成员(component)的流程图；

图15为一数据结构，其显示本发明之检查器词库的内容；

图16为本发明之状况通知的方框图；

图17为本发明之模拟状况的方框图；

图18为本发明之商品市场的方框图；

图19为本发明之关联性适用文件的流程图；

图20为本发明之问卷调查处理的流程图；

图21为本发明之代理者(mandatory)反馈变异的流程图；

图22为本发明之使用者反馈变异的流程图；

图23为本发明之匿名服务器进行隐蔽双向通信的流程图；

图24为本发明之另一代理者反馈变异的流程图；

图25为本发明之移除关联性要求的方框图。

发明详细说明

本发明实施一种通信处理，其系以系统化的方式解决将信息提供者链接信息使用者的问题。本发明提供一种系统，其依赖于由通信网络连接之计算装置的使用。在实际操作中，这些装置所涵盖的领域包括传统的大型计算机、个人计算机、掌上型个人数据管理器，以及周遭环境中的嵌入式计算装置等，其中包括消费型电子产品，如遥控器、智慧型电视等，以及其它一般的计算密集的环境，如交通工具。通信机制可包括调制解调器或其它有线媒体，或者是无线通信，其使用互联网或其它协定，并且可包括实际分布的媒体。不论是何种特定情况，对于在此所讨论者而言，计算装置系被称作计算机，而通信基础设施则被称作网络。此种基础设施的例子包括内部网络(个人计算机网络)，以及互联网和大型公共计算机网络，其主导万维网(WWW)及相关服务。

若采用特定的术语，则可更彻底地了解本发明的结构，并将注意力集中在上述通信问题的实例。做为共享信息的特定单位在下文中将称作通知(advice)(参照图1)。传送通知的特殊数字文件称作公告(advisory)。通知提供者(adviceprovider)10系以公告12a-12d型态提供信息的机构或个人。提供者系代表计算机通信网络中的服务器计算机。通知使用者14a-14c系接收公告12a-12d型态之信息的机构或个人。使用者系以计算机来代表，其为通信网络中的使用者计算机。

若以具体的方式来思考，则将有所帮助，例如可在实际上将通知提供者假定为执行大型服务器计算机的大型机构；通知使用者在实际上可假定为单独的个人计算机、个人信息管理器或其它个人计算装置所代表的个人；而计算机网络可根据类似目前在互联网上所使用之TCP/IP协定的协定来进行通信。在实际操作上，可预期存在许多变化。举例而言，通知提供者可能为个人计算机所代表的个人，通知使用者可能是大型计算引擎所代表的公司，而实施本发明的通信处理过程则可利用其它实际通信装置上操作的协定。

利用以上的术语，现在即可说明本发明的主要目的。本发明容许公告从通知提供者传送到通知使用者。本发明之通信协定容许集中目标锁定，其系以自动化方式将相关的公告相配于使用者来达成。

关联性判断(参照图2)系由应用程序来完成，此应用程序称作通知读取器20，其可在使用者计算机上执行，并可以自动化的方式根据可能为状况的复杂组合来评估关联性，其包括：

·硬件属性。举例而言，这些属性包括执行评估之计算机的类型、硬件结构21的类型、硬件的效能及容量、链接周边装置的类型以及周边装置的属性等。

·配置属性。举例而言，这些属性包括系统结构22所定义的变量设定值、安装软件应用程序的类型、软件的版本号码及其它属性，以及有关于软件安装27的详细属性等。

·数据库属性。举例而言，这些属性为执行计算之计算机的数据库及文档23的属性，其包括存在性、名称、大小、建立及修改日期、版本及内容等。

·环境属性。举例而言，这些属性为经过查询所连接的周边装置而得知计算机所在环境的属性。这些属性包括热、声音及地理位置等测量装置，以及其它测量装置的测量结果。

·经过计算的属性。举例而言，这些属性系根据对于硬件、配置、数据库及环境属性的了解，运用特定的数理逻辑公式或特定的演算法进行适当的运算之后所得到的属性。

·远端属性24。举例而言，这些属性包括硬件、配置、数据库、环境的以及经过计算的属性，这些属性可通过与使用者或其计算机密切相关的其它计算机进行通信而取得。

·适时性25(Timeliness)。举例而言，这些属性系以当前时间为基础或关键事件发生后所经过的一段时间，例如关联性评估或收集通知。

·个人属性。举例而言，这些属性系有关于计算机使用人的属性，其可通过分析硬件、系统配置、数据库属性、环境属性及远端属性等来加以推断，或直接向使用人或其代理人征求取得该等属性。

·随机性26。举例而言，这些属性系由随机或伪随机发生器的属性。

·通知(advice)属性。举例而言，这些属性系描述本发明之结构，以及公告库中某些公告之存在性或公告类型的属性。

依此方式，不论数据实际上是在使用者计算机上，或是可被使用者取得，原则上数据可用于判断关联性。依此方式所取得的数据可为非常一般化的数据，其涵盖的范围包括个人数据、专业工作产品，以及特定硬件装置的状态等。因此，范围非常广泛的论断可做为关联性判断的主题。

通知读取器30(参照图3)可自动操作来判断关联性，其可将仅来自于若干通知网站33a-33c的相关公告32通过显示器而呈现给使用者，如此使用者即不会因为阅读不相关的公告而加重负担。依此方式，公告可为任何用关联性子句所描述的问题提供自动化的调查分析。

公告系可包含解释部分的数字文件，其以使用者能够轻易理解的用语来描述该公告具有关联性的理由，以及建议使用者采取动作的目的与效用。这些数字文件亦可包含可执行计算机程序，或可执行计算机程序的链接，以做为该数字文件的其它部分。依此方式，公告可为任何问题提供自动化的解决方案，而该问题已经过关联性消息的调查分析，并可由使用者的考虑加以启动。

总之，本发明已假定一种情况，其中主动式通知提供者可识别使用者所关注的状况，并提供关于处理这些状况的通知。

计算机技术支援应用

为了使上述之一般性原理更为具体，以下将针对特别的应用领域加以说明，其中本发明之通信处理非常实用(参照图4)。

在技术支援的应用中，通知提供者提供与计算机相关的产品或服务，例如硬件、软件、互联网服务或数据处理服务。通知提供者拥有为数众多且分布广泛的使用者群体40。部份来自于使用者的输入，通知提供者可得知问题的状况41，而此状况将会影响使用者的某些计算机。通知提供者可辨识出p hxf问题状况43，其中包括使用过时版本的软件、不恰当的系统设定、软件应用程序的冲突性组合、不适当的实际资源、损坏的文档，或其他类似状况。对于每一种发生问题状况，通知提供者可得知象征该等状况之精确的硬件组合、系统配置、数据库结构、适时性以及其它属性。通知提供者了解各个问题状况的明确解决方案，其包括：

·建议使用者修改使用模式；

·建议使用者阅读文件；

·更新升级至新的软件版本；

·提议更改系统设定；

·提议执行某程序段(script)，以执行解决方案；或

·提议下载及执行特殊应用程序，以修正该状况。

通知提供者制作一公告45，而后最好加以测试46，并且存放在通知网站47，以提供有关联的使用者来取用。依此方式，通知提供者利用本发明而以有效的方式与使用者群体联系。提供者将有关于问题状况之特定解决方案的信息套装成正式的公告。此数字文件可包括：

·发生状况这种时明确的正式语言说明书；

·针对处于某种状况之使用者的解释性信息，其描述使用者所面临的状况以及该状况的涵义，同时提供者会提议修正该状况的动作；或

·提供自动解决方案或响应的数字内容。

通知提供者系通过在提供者之通知网站上执行的通知服务器，而将公告40公布在互联网或内部网络。举例而言(参照图5)，通知网站可由通知文档51a-51b的目录以及检查器文档52a-52b所组成(下文将详细解说)。这些公告可通过如目录消息服务器55、HTTP服务器56以及FTP服务器57、或文档服务器58等媒体，而与外部世界54沟通。

通知使用者系通知提供者之产品或服务的使用者，其熟悉通知提供者的通知网站且通常信任该提供者所属的机构及其制作的通知。通知使用者可在自己的计算机上取用通知读取器应用程序。通知使用者会指示其通知读取器订阅由通知提供者所建立的通知网站。

通知读取器20(参照图6)会依照预定时程或在使用者通过使用接口65的手动控制下，收集该使用者所订阅的公告。公告的订阅系以至少部分建立在各种使用者网站定义文档68的订阅管理员67来订阅。公告系从提供者通知网站33a-33b所使用的收集器60进行收集。而后读取器会利用解供接(unwrapper)61分析公告，并将这些公告加入任何已经存在的公告群体。公告可通过多种来源而提供给读取器，其中包括交替输入数据流。通知读取器会利用关联性评估模块(relevanceevaluation module)来判断任何现存或新公告的关联性。此判断过程可以持续或预定时程的方式来进行，或在使用者的手动控制下进行。通知读取器包含使用者接口65，其可接收有关联的公告，且包含显示及管理系统66，其可显示有关联的公告，以供使用者检查。在本发明之若干实施例中，公告亦可利用验证模块(verification module)64而接受数字验证(下文将会详细说明)。

典型的关联公告会以如下的方式向使用者提出报告：

您的计算机具有某种硬件、软件及设定的组合。具有此种组合的计算机，经常被提出存在特别的问题。本公司拥有解决方案。它将会改变您的计算机设定。若您愿意使用此解决方案，则您的问题将可被排除。此种解决方案在发行之前即已经过严格的测试，其代表本公司对此问题的最佳解决方案。

通知使用者在检查如上的公告100(参照图7)后，会对公告110采取某种步骤，例如忽视该公告111。否则，使用者有可能会仔细考虑，此考虑可能包括进一步查询该公告或告知该公告的作者112、将该公告告知其它人113，或采取其它离线的动作114，而后根据考虑的结果，同意或拒绝此提议。若使用者表示同意，则将会自动产生解决方案，此解决方案可包括多种动作，其中包括软件下载72、安装以及执行71、自动电子应答73，或购买或订购数字对象70。

此特定的应用领域系例示本发明可用于以自动化的方式针对计算机上所发生的问题进行诊断及修复。除此之外，本发明尚有许多应用领域，其中包括商业交易而非上述计算机问题的修复，或提供新的专用通信。

对于考虑的响应

本发明可完全响应以上所讨论的考虑。

提供者的考虑

大型通信：与其它以计算机进行传送的通信系统一样，如万维网，本发明亦能够联系大量的使用者，并以廉价的方式将大量的信息传送给使用者。

自动化操作：信息和使用者之相配过程的完成，不需要以熟练的人为操作并以视情况而定的方式介入。

唯一目标锁定：本发明可使数据精确地送往适当的使用者。提供者可以通过审慎指定通知之关联性而使其得到保证。

以详细数据进行目标锁定：在本发明中，信息的目标锁定系集中于使用者的属性，因为目标锁定的过程可取用使用者计算机状态的内部详细数据，而且不需要将此详细数据透露给提供者。此种程度的目标锁定对于其它协定而言不可能达成，因为其它协定要求此信息必须透露给提供者，以判断一项信息是否具有关联性。

使用者的考虑

本发明可满足使用者上述的主要考虑。

不需介入的自动化操作：本发明系一种自动化通信系统，其不需使用者经常介入操作而能够成功地操作。通知读取器可定期从通知网站收集订阅的新通知。此处理过程能够完全以自动化的方式进行(亦可以手动方式操作)。存放在使用者计算机之通知的数据库，可持续由通知读取器进行不需介入的自动化操作，以便评估关联性。

提供范围较窄的被目标锁定信息：在典型的操作模式中，使用者只需检查与其精确属性相关的信息，这些属性包括从计算机的内容所得到的属性，以及相关的周边装置及附属计算机。

信息的适时提供：在典型的操作模式中，一份通知可能会进入使用者的计算机，并在其成为具有关联性之前，持续存放一段预定的时间。当信息成为适用时，该信息将会显示出来，而在其成为具有关联性之前不会显示。

考虑的机会：在典型的情况下，通知读取器并不会自动地运用被建议的解决方案操作者。通知读取器反而会给使用者一个机会来研究诊断及建议事项，并且在进行之前先行评估提供者的可靠度。可运用本发明的考虑有三方面：

·潜在风险的揭示：采用充分利用使用者接口方法，例如以HTML所显示的超文件链接，本发明可使通知提供者充分告知关于使用者遵循所建议之动作的潜在风险。

·发现使用者的抱怨：通过以下所讨论的装置(如Better Advice Bureau)，使用者可在接受所提议的解决方案之前，利用公告机制来提醒自己有关于特定公告与/或通知提供者以及关于已知或可预测的隐私权及安全性的风险。

·已知缺陷的修正：本发明容许通知提供者撤回自己单位的通知。UrgentadviceNet机制为一实例，其系用于将公告快速散布于发明群体。

自动化解决方案：以典型的情况而言，通知提供者制作通知的方式系使得通知读取器将该通知提供给使用者，以便在使用者同意之后，自动运用所建议的解决方案操作者。因此，本发明可在使用者主导的情况下，为使用者所面临的状况提供一种自动化的解决方案。

总之，本发明系提供一种机制，在响应使用者的考虑下，以有效的方式在通信结构中使非常明确的公告相配于使用者。

安全性及隐私权技术：单向障壁

在此所揭示的发明为计算机关联性通信提供完整的处理。此为一广泛的概念，且具有多种可能的应用领域。在某些环境下，此种类型的通信必须特别注意安全性及隐私权的考虑，亦即单向障壁35(参照图3)。在实际例子中，考虑技术支援应用(如以上所讨论者)，其中：

·通信必须在公共网络上进行，例如互联网；

·通知提供者为大型企业或其它公司；以及

·通知使用者系由分布广泛的一般使用者群体所组成。

在此种环境下，使用者对于任何如同熟悉其计算机及其内容来操作的处理方式有特别的考虑。这些考虑是合理的，因为互联网广泛地被认为是不安全的通信媒介。因此，与互联网发生交流的系统，以及其操作如同熟悉使用者的系统，将有可能会侵犯到隐私权。

本发明提议一种使用者计算机与互联网之间进行通信的方法，其可保护使用者的隐私而克服上述问题。此种机制不一定要用在其它环境。举例而言，在某些私人计算机网络中(一般称作内部网络)，本发明具有多种应用。在这些环境中，安全性及隐私权可通过对于计算机及通信基础设施的实际控制，或在处理过程中的参与者签定义务契约的条件下而得到保障。

本发明系在安全性及隐私权非常重要的环境中运用订定及收集的特殊协定。对于在此所讨论的内容而言，此种环境系称作匿名完全更新协定(AEUP)。此种通信协定的意图系为了建立单向障壁，其中信息可以公告的形式进入使用者的计算机，但与使用者有关的信息并不会离开使用者的计算机，除非使用者主动进行传输。

AEUP协定将被视为本发明之预设的协定。此种协定可为使用者提供隐私权的理由，将于下文中进行讨论。本文也会描述多种应用，其中安全性及隐私权对于使用者的接受度而言并非很重要。因此，即使不使用此种协定，仍然可以在安全性及隐私权上获得某种程度的保障。以下将会说明一种替代的协定，即如匿名选择更新协定(Anonymous Selective Update Protocol，ASUP)。

以下将针对安全性及隐私权的考虑作完整的说明。

本发明可满足：

·使用者隐私权的考虑：本发明完全顾及使用者对于隐私权的考虑。在提供AEUP的实施例中，使用者可从目标锁定范围很窄的通知中得到益处，甚至不需透露其身份，同时任何在判断关联性过程中所检查的属性，以及关联性本身的事项也不需透露。

·使用者主动权：在典型的操作模式中，除非使用者参与订阅，否则通知读取器将不会收到通知。如此可确保使用者不会得到不想要的通信。

·自动化操作的隐私权：在AEUP之下，从网站收集通知、评估关联性，以及将相关通知呈现给使用者等操作，皆不需要将使用者的数据透露给通知提供者。

·侵犯之无效：本发明之若干实施例中包括防止侵犯隐私的措施，甚至于防止非法窃听活动。

·使用者安全性考虑：本发明完全顾及使用者的安全性考虑。在提供AEUP的实施例中，使用者可从目标锁定范围很窄的通知中得到益处，而不会将自身暴露于来自恶意来源的安全威胁中。

·使用者启用订阅：在典型的操作模式中，除非使用者参与订阅，否则通知读取器将不会收到通知。此订阅通知网站的过程意味着使用者对于提供者存有某种程度的信赖。因此，在典型的操作中，通知只会来自于受到信赖的网站。

·自动化操作的无害性：在典型的情况下，收集及评估公告的处理过程并不会对使用者的计算机产生明显的效应。任何建议的解决方案皆预先告知，并经过使用者稍后的认可。不想遵循建议动作而只想仔细研究相关通知的使用者，并不会面临明显的危险。

·潜在风险的揭示：通过充分利用使用者接口方法，例如以HTML所显示的超文件链接，本发明可使通知提供者充分告知关于使用者遵循所建议之动作的潜在风险。

·发现使用者的抱怨：通过以下所讨论的装置(如Better Advice Bureau)，使用者可在接受所提议的解决方案之前，利用公告机制来提醒自己有关于特定公告与/或通知提供者以及关于已知或可预测的隐私权及安全性的危险。

·已知缺陷的修正：本发明容许通知提供者撤回自己单位的通知，并可让他人评论通知提供者的错误通知。

·自动化解决方案：以典型的情况而言，通知提供者制作通知的方式系使得通知读取器将该通知提供给使用者，以便在使用者同意之后，自动运用所建议的解决方案操作者。

因此，本发明系提供一种机制，在响应使用者的考虑下，以有效的方式在通信设施中使非常明确的公告相配于使用者。

发明阶层

本文件系从多种角度来描述经过计算的关联性通信，亦即从一种非常一般化的通信处理到一种特定的协定，该种协定已由美国加州柏克莱的UniverseCommunication公司进行实施。在此值得针对本发明所描述的内容加以分类：

关联性导引通信：本发明所使用的一般化的通信处理具有五个单元(参照图8)：

·关联性子句80：关于使用者计算机之状态、内容或环境的声明，其可自动地通过将此声明与使用者计算机的真实状态加以比较来评估。在典型的情况下，关联性子句之前有一主题标题82，其给定通知之主题的概述。

·相关消息81：与该子句相关的一个或多个消息，其对于使用者的适用性至少有一部分系通过评估该子句而得。

·收集器60(参照图6)：一种应用程序，其监视关联性子句从不同位置流入使用者计算机，或许是利用同步的方式。

·观察器63(参照图6)：一种应用程序，其具有评估关联性子句的能力，亦即关于使用者计算机之自我环境的声明，其系通过与环境之真实状态进行比较、检测使用者计算机及其环境的特性、以及检查这些结果是接近或远离关联性。

·告知器(notifier)65、66(参照图6)：一种应用程序，至少在经过评估之关联性子句的导引下，其具有将消息显示给使用者的能力。

本发明与其他目标锁定信息提供者的主要差别系在于，本发明提供详尽的工具，用于选定非常具体的目标锁定目标，而其它用于目标锁定信息的协定无法相配，因为该等协定并没有定期取得使用者环境的状态。

关联性监视通信的详细内容对于上述五单元模式而言较不重要。举例而言，在一种实施情况下，五单元模式系在封闭的计算机网络上执行，例如公司内部网络。在另一实施例中，五单元模式系在公共网络上执行，例如互联网。会影响公共环境的考虑(如安全性及隐私权)可能与私人环境中的考虑完全无关，其中该等考虑可由网络的实际控制而得到满足。在任一环境中，基本的关联性监视通信之五单元模式对于联系提供者与使用者的工作上提供具有价值的贡献。

应注意的重点系在于，在此种五单元模式的实施例中，五个单元并非显而易见。潜在的实施情况显然具有许多似乎不相同的方式来达成此基本结构，以下将进行详细的说明。例如，关联性子句与相关的消息可套装在同一个文档里，并且同时进行联系。在不同的实施例中，关联性监视消息可利用两个阶段来进行通信，其中第一阶段传送关联性子句，而第二部分只有当第一部分导致有关联的结果，或是当使用者计算机向提供者提出要求时才会被送出。在概念上，利用两种通信协定任一皆可得到有效用的结果。两种方法皆为同一发明之实施例。

具有安全性及隐私权的关联性监视：由于公共网络(如互联网)非常重要，可满足基本的安全性及隐私权考虑的五单元模式之一实施例亦非常重要。扩充基本的五单元模式的机制系本发明之一重要实施例(例如通过AEUP、ASUP或基本上等同的协定)，其被扩充而成为公共网络上的封闭及私人的系统。经过计算之关联性通信能够广泛被使用者接受将非常有利。

本发明之较佳实施例：本发明之较佳实施例系由不同互动单元的大量集合所组成，并且经过审慎的设计，以符合实施此系统的目标。许多于系统例示本发明在技术支援应用当中的潜力。凡熟悉此项技术之人士当可了解，本发明可在其它多种应用领域中实施。

不同的实施例：在一系列相异的应用领域经过检查及仔细地研究过后，特定实施例将可达成。本文件非常详细地描述大量的不同实施例，其修改中心实施例的基本操作而用于其它商业领域或需求。举例而言，在特定的环境中，使用低频宽的通信较隐私权来得重要。对于此种环境的变异将详述于后。

发明元件

以下将描述各主要元件，这些元件以目前而言被视为本发明之最佳实施例。在此实施例中，假设通信系通过标准的互联网技术，而通知提供者及通知使用者皆有赖于以标准网络连接的计算机。

通知提供者之组成部份

以下为组成部份名称的列表，接着是次要部分中各组成部份的简要说明：

·通知网站

·公告

·网站的标记(Signature)

·网站的说明文档

·检查器的词库文档

·补充文档

虽然上述组成部份可以多种方式加以实施，最简易的方式系利用当前所了解的最佳模式来描述其型态及功能，并建立在使用互联网协定的基础上。凡熟悉此项技术之人士当可了解，此实施例并非唯一实施例。

通知网站

此为互联网上的标准位置(参照图5)，例如服务器计算机上的URL可定址目录，并结合响应特定TCP/IP要求信息的服务器软件。

网站目录可包含多数个文档，其中包括公告、公告的摘要以及检查器的词库等。

服务器所附带的软件可执行HTTP服务器、FTP服务器或文档服务器等功能，从而利用人们熟知的通信协定来取得存放在目录中的文档。服务器所附带的软件亦可执行特定服务器的功能，以执行本发明之特定的通信协定。

这些协定包括：

·服务描述网站目录之内容的目录消息之功能，其中包括文档名称、大小及时间；

·服务抽取摘要消息之功能，该消息系描述目录当中之文档内容的缩写格式；

·执行安全性连线交换程序的功能；

·执行考验通知读取器的功能，以验证其可靠度；以及

·计量通过网站的网络流量并计算流量阶层总结之功能。

通知网站之服务软件的功能系处理由使用者计算机上执行的通知读取器所发出之特定要求。通知读取器可要求关于网站目录的信息、公告的摘要，或要求个别公告的内容。通知服务器与通知读取器之间的交易情形将在以下进一步说明。

公告

在通知网站上的公告为数字文档。公告通常具有以下若干组成部份：

·以正式关联性语言所撰写的关联性预设条件，其系用于描述计算机与/或其所含内容与/或其环境的属性。关于关联性语言的进一步信息，请参阅以下的说明。

·人类智慧型组成部份，其可总结通信之目的、描述作者、解释人类语言的预设条件，并可以人类语言来解释解决方案。

·计算机智慧型组成部份，其可提供用于解决问题的软件工具，或通过互联网来取得解决该问题的软件。以目前的最佳的实施方法而言，公告系以MIME互联网标准常规所建立之特别的ASCII格式文档，相关文件说明系建立在RFC 1521以及下列等等(参阅N.Borenstein，N.Freed，MIME(多功能互联网邮件协定)，第一部：指定及描述互联网消息本体之格式的机制，互联网标准常规RFC1521(1993))。此种格式现在被用来传送互联网邮件；其含有标头，用以描述消息的传送者及其主题，并含有数字签名之机制。MIME格式的文档很容易在互联网上传送，而且很容易利用互联网社群所熟知的语法分析演算法将其分成各个组成部分。公告文档的格式将在下文中详细说明(请同时参阅，「为AdviceNet撰写公告之指南」(A Guide to Writing Advisories for AdviceNet)，UniverseCommunications，Inc.，柏克莱，加州(1998))。

认证公告

网站签名

在网站上可能会附带某种数字签名的机制；例如，利用公钥(public-key)/私钥(private-key)的标准数字签名即为一例。此种签名机制可用于在公告上签名，以便让通知读取器查核其是否来自于经过认证的通知提供者。

网站说明文档

网站说明文档(site description file，SDF)系一种经过通知提供者认证的特别结构化ASCII文字文档。此文档描述提供者的通知网站，并做为使用者订阅的基础。此文档会说明网站位置(URL)、网站名称，以及网站的安全性特征，例如该网站是否只提供经过数字签名的通知等。此文档亦为使用者提供订阅过程中的各项参数(例如，执行所建议之同步化处理的频率，以及订阅关系的类型(免费/需费用)等)。此文档亦包含以人类可解读的文字所标示之网站的目的。

网站说明文档(SDF)亦可包含经过网站认证之通知所附带的公钥。经过网站认证之通知必须利用此公钥来查核其签名。

SDF亦可由经认证的单位来签名，以建立此网站说明文档的认证。举例而言，SDF可经过advisories.com或Better Advice Bureau加以签名，请参阅下文之说明。

SDF亦可包含由经认证之分级服务所提供的分级区块(rating block)，以便在该网站上建立顾及隐私、安全及有用通知的可靠度。请参阅下文中的实例。

检查器词库

检查器词库系特殊功能之可执行码的词库，其可供通知读取器取用，用以扩充关联性语言的能力。在效用上，检查器词库为通知网站提供关联性语言之特定扩充的机制。

补充文档

截至目前为止，所讨论的通知网站的内容在本发明之一般操作中扮演重要的角色。在一典型的实施例中，额外的文档可出现在通知网站的目录中，就本发明本身而言，这些文档并没有扮演任何角色，但可加入通知网站的目录。这些文档系与其它文档同样的方式散布。此实施例容许散布安装程序、解除安装程序、外壳手搞文件、JAVA以及Visual Basic程序等；亦即，概括而言，其可为数据包、应用程序及其它可支援网站所发出之通知的评估及遵循的资源。举例而言，此种额外附加的文档可做为通知提供者自己的检查器词库的数据库搜寻，或做为执行通知提供者所建议之解决方案的应用程序。

通知使用者之组成部份

以下为通知使用者之观点下的组成部份名称的列表，接着是次要部分中各组成部份的简要说明：

·通知读取器

·订阅数据库

·公告数据库

·使用者简况

·检查器

·解决方案指南(wizard)

·通知读取器

通知读取器系一种在使用者计算机上执行的应用程序，其负责通知网站的联系，并用于管理和使用者之间的互动。通知读取器保存使用者计算机上的文档目录。该目录当中包含各种用于/管理通知读取器之操作的文档，以下将详细解说。

通知读取器有许多工作，以下将其列出，但未加以详细描述：

·管理订阅

·与通知网站同步

·收集公告文档

·解开公告消息

·管理通知数据库

·管理关联性评估

·评估个别公告的关联性

·调用检查器

·显示关联性公告给使用者

以下将详细说明处理过程。

订阅数据库

通知读取器保存订阅信息的数据库，其可加以排程而通过收集器单元进行网站同步化处理。该订阅数据库含有关于通知网站位置的信息；由通知网站所提供之通知说明文档的信息及建议，例如同步化之频率的建议；查核通知网站之数字签名所需的信息；以及有关使用者对于通知网站的观感等信息。

通知数据库

通知读取器保存从不同通知网站所收集而来之通知的数据库。这些可根据该通知所考虑的系统所接收者之网站加以索引化，或根据有助于使用者或作者的其它原则。

通知读取器可将通知组织成为通知群体，其分享同样的处理方式。此原则的例子包括一特别目标锁定多人之使用者计算机其中一人之考虑的群体、只排程进行手动式关联性评估的群体，以及夜晚排定某一时间进行评估的通知群体。

使用者简况

通知读取器保存一个或多个特别的文档，其含有取自访谈使用者、从使用者之动作推导出，或从计算机或其环境推导所得到的数据。此种数据可描述计算机或其环境，亦可描述喜好、兴趣、需求、能力、职业以及使用者的计划等，其中包括与计算机操作无关的事物。

一个或多个文档可被加密。该等文档可通过通知网站加以组织，使其描述仅提供特定网站进行关联性分析所需要查询的兴趣及喜好等。

检查器

检查器词库含有可执行程序码，其可被通知读取器调用，以做为关联性评估处理过程中的一个环节。检查器可检测使用者计算机的特性、储存装置、周边装置、环境或其它远端相关的计算机。这些特性将详述于后。

解决方案指南

解决方案指南支援自动化解决方案的处理过程。解决方案指南为应用程序，其可执行经常用于解决计算机问题的制式功能。这些功能将详述于后。

交易概观

以下将说明本发明所使用建立在互联网上之交易的基本模式。

订阅模式

在本发明中，互动的开始通常系由使用者启用。举例而言，使用者可能因为在其计算机上安装新硬件或软件产品的缘故而得知通知提供者及其相关通知网站的存在，或由于广告或与其它使用者分享经验而得知。在使用者得知该网站提供通知及可信赖之后，使用者可能会订阅。该使用者会与通知读取器联系并调用订阅管理员67(参照图6)，同时设定通知读取器，并通过提出所对应的网站说明文档或此种文档的指标，或该网站本身包含该文档之实例而订阅该通知网站。在详阅SDF所建议的互动项目之后，使用者会设定相关的订阅参数，该等参数系用于控制从网站上收集通知的频率。

利用AEUP收集通知

按照订阅的项目，通知读取器可定期或以使用者手动的方式进行与网站的同步化操作。一通知读取器之元件称作收集器，其功能系将使用者网站的图像与当前通知网站的的图像同步化。在最新的同步化之后，若通知网站撤回通知或制作新的通知，则这些状态将有所不同。收集器会确定通知网站上的公告与使用者之设备上的通知存在一对一的关系。收集器将会开启通往通知网站上的目录消息服务器。在选择性的安全信号交换以查核通知读取器及服务器的认证之后，收集器会在服务器上查询目录消息。收集器会检查响应，以检查该网站目录在前一次同步化之后是否有所改变。若没有改变，则不需要从通知网站取得任何文档，同时连线过程因而终止。若目录已经改变或第一次进行同步化，则收集器将启动FTP与/或HTTP与/或文档服务器来取得新的文档。收集也会删除不再对应服务器的公告，如此将终止使用者网站图像与真实网站图像的同步化。

以上所描述的协定为AEUP协定。收集器可在通知服务器的同意下，以匿名的方式收集位于通知网站上的所有文档，或以任何等级收集先前尚未收集的文档。此用意系在于存放在使用者计算机的通知含有在任何时刻由前一次同步化在通知网站所提供的所有公告，而不是使用者已经刻意删除的公告。因此，在此没有选择性的收集操作。此协定的结果及替代的协定将详述于后。

解开公告

如下所述，公告文档有可能是复杂的层级结构，其包含一个或一个以上的消息。通知读取器会解开此结构中的所有单元。该结构之单元可利用数字签名的方法加以签名，亦即在解开过程中会被查核。解开之后，公告会加入所有公告所组成的群体，其中包括将被评估的新公告与旧公告。在一典型的实施例中，本发明可防止未经签名而不能被查核的公告进入系统当中。

关联性评估

由于所有将被评估的通知可与收集过程分离，因此其可持续被处理，或根据使用者所自定的时程或使用者的即时要求，或根据某些特定引发事件来处理(参照图9)。通知读取器会分析个别的消息，并辨认出决定关联性的子句。这些子句系正式关联性语言的表达式，其将详述如后。通知读取器系利用表达式树状结构产生器91而将子句分析成为基本子表达式的树状结构(参照图10)，而后利用表达式树状结构计算器来评估该树状结构的各个子表达式。若评估操作处理成功并产生真值(True)，则该消息即被视为有关联93。而后，一种迅速传送的方法94会用于消耗该公告，该公告可包含一文档系统检查器，此检查器系用于辨认各种使用者容量97、98中的适当目录及文档名称参考96；一登录文档检查器99，用以检查操作系统的登录文档120；一操作系统检查器121，其可检查各种系统元件122；或一硬件装置检查器123，用以检查各种系统装装置124。

检查器

子表达式的评估系由称作检查器的方法(参照图11)来执行，其可执行数理逻辑运算、执行计算演算法、返回系统调用的结果、存取储存装置的内容，以及查询装置或远端计算机。这些方法被称作检查器是因为其经常性的目的系在于检查使用者计算机的特性及其配置，或是储存装置的内容。检查器可内建在读取器当中，亦可通过DLL或类似的机制接入。因此，对象123、特性名称131与/或字串选择器132可利用方法传送模块134，并依照方法传送表133所包含的传送消息而迅速传送到读取器。各种检查器135、136可提供于使用者位置，各个检查器包含检查器词库137、139，以及有关的方法138、140。以下将针对检查器作更进一步的说明。

使用者接口

在通知群体之一个项目已被决定其关联性之后，有关联的项目会加入显示的项目列表中。此列表会依照典型的使用者接口模式而被显示。使用者接口可告知使用者关于公告的作者、取得公告的数据、公告成为有关联的日期、公告的主题，以及该公告消息的其它属性。使用者接口可为使用者显示各公告的解释性内容。解释性内容可包含单纯的文字解释或更精心制作的多媒体解释，并取决于公告而定。解释的内容可辨识导致该公告成为有关联的状况、该关联性所隐含的意义、建议的动作或当前采取的动作、采取这些动作或不采取动作的后果，或其它使用者或团体对于该项动作建议的经验等，并取决于公告而定。使用者将仔细阅读该项解释内容，且或许会进行额外的探究(例如研究提供者的可靠度，或其它使用者的意见等)。

建议的响应

做为相关公告之显示的一部分，通常会提供响应状况的机会给使用者。可能的反应包括：

·使用者忽略信息/建议：使用者在检查公告之后决定不购买而忽略该项公告，并删除该公告。

·使用者被告知：使用者检查该公告或其它被指定的文件，并从中得知某些重要或感兴趣的事项。

·使用者考虑接受：使用者检查该公告或其它被指定的文件，或某些其所包含的多媒体内容，或其所指定的多媒体内容，并处于刺激接受的内容中。

·使用者将该信息转寄给其他人：其中包括朋友、家人、同事或伙伴。转寄的过程可为离线状态的传递或电子传递，如电子邮件。

·使用者和提供者或其他人联系：此包括利用信件、电话、传真或电子邮件等联系方式。此亦可包括参与信息交换，其中包括技术支援、训练或市场调查，以及参与售销或其它商业交易。

·使用者在适时的事件中开始线上参与。

·使用者利用电子商务购买物品：此可包括通过点选通知读取器视窗而进行购买，其为购物模式。

·使用者填写数据：此包括网站浏览器所送出的表格，或通过电子邮件返回的文字文档表格，或由填写并传真或邮寄返回的格式。

·使用者在离线的现实世界中采取动作：此包括任何离线的动作，其范围可从与修改计算机装置之状态有关的动作、收集计算机周遭环境的信息，或在连线处理过程开始之前以手动的方式读取某些指令。此动作亦可包含单纯的个人项目。

·使用者修改计算机上的系统设定或数据字段：此可包括使用者在计算机上执行一系列的手动操作，以改变某些系统元件的设定或软件应用程序，或修改数据库当中的数据。

·使用者开始安装/解除安装/执行解决方案：此可包括使用者点选装置读取器上的按键，接动自动执行一系列的下载/安装/解除安装/执行步骤，或要求使用者存取实际媒体，例如软件或CD-ROM，以便在直接监督之下执行安装。其可包含自动执行或在使用者控制下执行，接着遵行通知所指示的指令。

·使用者调用解决方案的手稿文件：通知可利用高阶系统效用语言(high-level system-affecting langange)来提供一系列的指令，例如AppleScript、DOSShell、Visual Basic，使用者可能会将其储存为文档并传送给标准解译器(例如，AppleScript编辑器、DOS Shell命令列解译器(1ine interpreter)、UNIX Shell命令列解译器或Visual Basic命令列解译器)。此动作可以其它方式包含使用者在计算机上执行一系列的手动操作，其涉及在特定应用程序的视窗中逐字键入指令。

许多实质上的响应可被归纳在此列表的响应当中。

通知文档的格式

通知文档的格式提供一种机制，用于单一通知或多个通知的编码，以便在计算机网络和其它数字传输媒体之间进行传送，并提供许多相同的基本解说的内容变化。以下的讨论将以一般用语来描述通知的各项组成部份，并描述目前认为利用MIME格式实施通知的最佳方法。

一个基本通知的组成部份

最基本的通知可包括下列逻辑组成部份(参照第8图)：

·绕接器(wrapper)：被设计用于绕接传送及后续解码信息的组成部份。

·来源列：用于识别通知作者的组成部份。

·主题列：用于简要识别通知考虑的组成部份。

·关联性子句：正式关联性语言中的组成部份，其明确的指出通知可为有关联的条件。

·消息本体：用于提供解释内容的组成部份，其可对使用者解释何种条件下可发现关联性、为何与使用者有关联，以及被建议采取何种动作。

·动作按键：让使用者能够调用被建议动作之自动化执行的元件。

子句变化

在基本规划上精心制作可能很有价值：

·通知可包含何时过期的子句。此为一种正式关联性语言的表达式，若其评估的结果为真，则将使消息成为过期的。

·通知可包含何时评估的子句。此为一种正式关联性语言的表达式，若其评估的结果为真，则该消息将会被评估其关联性。

·通知可包含要求检查器词库的子句。其可给定检查器词库的名称以及其可被找到的URL。此表示为了使关联性能够正确地被评估，必须安装检查器词库。

·通知可包含参考的子句，其给定与通知有关之状况所参考的系统关键字标示。

·通知可包含解决方案效用的子句。其给定所建议响应之可能效用的关键字标示。

将来还可以有其他的变异形式。这些变异形式是不排除在本发明的范围内的。

显示的变化

消息本体可以下列至少三种格式显现：

文字：解释性内容可为不受局限ASCII文字文档。此种格式在显示的风格上并没有内嵌式的变化(例如，字体无法改变与/或不具参考外部文档的超文件链接)。

HTML(超文字标记语言)：此种组成消息本体的解释性内容可为HTML文件。网站浏览器可识别此种文件。HTML文件在文字显示上可有所变化其包含表格及视觉上的格式化特征，并可参考外部文件以及外部图形文档。

文字/HTML：此种组成消息本体的解释性内容可为文字/HTML格式。通知读取器可以选择使用何种格式较符合使用者的需求。

在通知内容中进一步的变化，其中包括声音及图像，亦包含在本发明的范围内。

数字完整及认证

消息本体可具有数字认证特征，其附加于该消息，用以确保其完整性及认证。

数字摘要可附加于该消息，以确保该消息之完整性。当作者编写该消息时，消息本体的特定功能可加以计算，并附加在该消息中。消息的接收者可通过计算相同的功能并查核其产生相同的结果，以检查附加消息的完整性。数字摘要的实例包括CRC、MD5以及SHA。

数字摘要在计算机程序设计领域中系为人们所熟知，即所谓杂凑。其概念为，以模式化算术为基础的数学运算可运用于文字主体的数字表示，其可产生数字输出，范围从小型数值到需要数十数字来代表的数字，并取决于摘要机制的详细内容。这些数值运算通常会生产生一个输出值，其取决于不连续文字的原始本体，而此种输出不容易倒置。换言之，差易性很小的消息会演变成为非常不同的摘要。此外，要找出任何两个具有相同摘要的消息可能非常困难，而且若两个消息其中之一明显被指定，则很难找到另外一个具有相同摘要的消息。

实质上的涵意在于，因传送或纪录错误而导致通知文件从作者原来的语意以某种方式被修改，通常并不会导致被修改的文件产生适当的数字摘要。依此方式，被修改的文件可以被辨识出来，并可不列入考虑。

数字签名可附加在消息中，以确保消息的认证(请参阅C.Pfleeger，Securityin Computing，Second Edition，Prenitce Hall(1996)；以及PGP 4.0 Users Manual，PGP Pretty Good Privacy，Inc.(1997))。此为数字摘要概念的改良，其可避免摘要的安全性受到窃听的威胁。

通常数字签名的操作方式如下：当作者编写消息时，该消息的数字摘要会被计算，而后，摘要会利用为人们熟知及广范运用于通知网站的加密技术进行加密。被加密的摘要会被视为通知网站在该消息上的签名，并且会附加在消息本身及标示为签名。

在寻找查核网站的签名时，通知读取器会试图利用通知网站所附带的已知解密演算法来针对该签名进行解密。成功的解密会产生数字摘要，其符合通知读取器直接从消息计算出的值。不成功的解密所产生的结果会不符合所接受到之消息的数字摘要。

广泛为人们所接受的系在于当和某种已知加密系统一起使用时此种处理将产生安全的数字文件(请参阅C.Pfleeger，Security in Computing，Second Edition，Prenitce Hall(1996)；以及PGP 4.0 Users Manual，PGP Pretty Good Privacy，Inc.(1997))。换言之，怀有恶意的机构并不能够轻易修改有效的通知而产生解密成功且冒充的通知。

的确，为了能够成功地蒙骗此系统，冒充的通知必须产生经过正确修改之文件的数字摘要，并且运用通知网站所附带的加密演算法。虽然冒充者可能知道数字摘要机制的操作方式，但是其无法如同通知网站一般对文件进行加密。

应用于公共通信中的现代密码系统的基本假设，在于某些加密/解密演算法可具有广为人知的解密演算法，并将该等加密演算法加以保密。在此基本假设被推翻之前，数字签名机制仍然会广泛被视为有效的认证机制。

MIME

在目前用于互联网传输之结构通知的最佳方法中，通知文件系分组为单独的ASCII文字文档，其为一种MIME文档的有效实例(参阅N.Borenstein，N.Freed，MIME(多功能互联网邮件协定)，第一部：指定及描述互联网消息本体之格式的机制，互联网标准常规RFC 1521(1993))。事实上只有完整MIME格式的特殊次集合会使用到。MIME的特殊扩充件适用于本发明。MIME系一种互联网标准常规，其扩充典型的电子邮件互联网标准，一般称作RFC822。MIME格式广范使用于电子邮件的互联网传输。与通知有关的特别使用性有四种特色：

标头列：MIME会指定消息本体之前有一延伸消息标头，其由各种标头列所组成，其中各别的列由为人们熟知的子句开始，且包含寻址、日期及相关评论。某些列可以很容易的适用于本发明。例如通知的来源列及主题列组成部份可以实施为From：及Subject：标头列，其为MIME标准的一部份。

扩充性：MIME提供一种用于在消息中建立新消息列的方法。此包括将新消息列嵌入消息中的方法，以及一种将MIME认证签入新列的方法。主要发明建构何时相关及何时过期等，因而可以轻易地以此种方式加入MIME语言。

替代性：MIME提供一种为相同消息提供两种不同版本的方法，亦即多重替换，且具有目地选取适当显示的方法。因此，本发明传输一个或多个显示相同构信息的设施可以很容易的利用MIME标准及其多重替换特性加以实施。

摘要机制：MIME提供一种为人熟知的机制，亦即多重/混合，以用于将多个完整的MIME消息分组成单一文档而提供互联网传输。MIME安置一种递归的摘要结构，其中一个消息可具有多个相关部份，且各部分本身可为一种插入MIME文档的逐字解译。使用此特征MIME文档可用于摘录许多消费者的组成部分，并以现代个人计算机文档系统的分支结构的树状结构联想加以组织。

因此，MIME成为一种用于分组电子邮件的工具，而不是用于分组新的文件，亦即通知。为了避免混淆，应了解的是：通知并不像电子邮件，因为通知并没有特定的收件者或收件者列表。通知反而是一种广播式的消息。一个通知通常具有关联及相关子句，且通常具有主动式的内容。电子邮件并没有关联性及相关子句，且通常没有主动式的内容。通知是新的通信格式的一部分，其可在MIME标准当中实施。MIME的通知应用可籍由忽略某些电子邮件所使用的MIME子句，并且加入特定的新子句而解决电子邮件以外的不同问题，所加入的新子句系用于关联性评估以及通知的管理。在某种情况下，通知与电子邮件的关系即如同USENET与电子邮件之间的关系。通知及USENET新闻系统两者皆以MIME作为分组的机制。然而，两者皆提供不同于电子邮件的通信装置。

虽然MIME系一种便于实现通知之形式的方法，但不需要将MIME和本发明联系在一起。在互联网世界中存在许多其它常用的格式，例如XML，其可用于表示通知。在本发明所揭示的内容中，在此只讨论目前被视为实施通知文档的最佳方法。

实例

以下为一通知文档的实例：

    Date：Sat Mar 21 1998 17：06：12+0800

    From：Jeremiah Adviser jeremiah@advisories.com

    MIME-Version 1.0

    Organization：Universe Communication，Inc.

    Subject：A better version of the advice reader is now available

    Relevant-When：version of application″advice.exe″＜version″5.0″

    Content-Type：text/html；charset＝us-ascii

    ＜HTML＞＜BODY＞

    A better version of the advice reader is now available.

    Click to＜A HREF＝″http：//www.advisories.com/win98/advice50.exe″＞

    Download＜/A＞the latest version of advice reader.

    ＜/BODY＞＜/HTML＞

在此，读取器可看到一消息的不同组成部分，其内嵌为MIME部分：

绕接器：

·MIME-版本及内容-型态标头列。

·来源列：From：Jeremiah Adviser…

·主题列：Subject：A better version of…

·消息本体：HTML片段，从<HTML>开始，并在</HTML>结束。

·动作按键：此通知中并没有动作按键。该消息(下载)的主动部分系由HTMLHREF链接加以处理。使用者通常可看到字元下载，且通常会了解在该字元上以滑鼠标器进行点选将会导致所指示的动作。

分级区块

在另一变化中，通知可能会包含分级区块，这些分级区块所包含的信息会根据如隐私权、安全性及有用性等判断规则，而将该通知加以分级。对于分级区块而言，已经有标准的格式存在(参阅Khare，Rohit，Digital Signature LabelArchitecture，The World Wide Web Journal，Vol.2 Number 3，pp.49-64 Oreilly(Summer 1997)，http：//www.w3.org/DSIG)，这些格式可以很容易地以MIME结构附加在消息上。另参照下文之说明。

关联性语言

通知的格式类似于电子邮件消息的格式，其在消息/摘要标头中具有许多相同的部分。由通知所提供的主要扩充系消息中之新子句的常规，亦即关联性子句。关联性子句之前有关键字短语relevant-When：。紧接在该关键字之后的是关联性语言的表达式。以下的讨论系针对目前用于描述使用者计算机状态的最佳方法。

描述性语言

关联性子句的目的是为了检验个别计算机的状态，并检验其是否符合某公告之关联性的条件。

以目前被视为实施本发明的最佳方法而言，语言本身，即语言可允许的短语及该短语背后的语意，可提供使用者计算机元件的智慧模式、其周边装置、储存装置、文档其相关概念。此不同于一般计算机语言所常用的模式，其中语言本身为解决问题所提供的图像非常狭隘。

和传统语言一样，关联性语言包含基本的数据型态，例如布尔(Boolean)代数、整数及字串等。此外，和传统语言一样，关联性语言亦可撰写如下之数理逻辑表达式：

(2346+(-1234)/(1+2))＞0

典型表达式(如1+2)的意义是将方法″+″应用于一组对象，以便计算两个子表达式l及2。问题中的该组对象系整数型态，其值分别为1及2。以目前的最佳方法而言，关联性语言具有范围广泛的可用运算，其包括算术、字串以及逻辑运算等，这些运算是以操作于内建的实质数据型态的方法而建立起来的(参照图12)。

不像传统语言，关联性语言包含一种抽象数据型态“World”，其可视为个人计算机的整体环境，而关联性子句可在其上加以计算。此种对象具有某些特性。这些特性会使对象成为各种型态，且这些对象可具有更进一步的特性(参照图13)。

“World”系一种取决于特定实施及特定系统结构的型态，其具有多种特性。

如上所述之技术支援应用中，这些特性可包括系统文件夹特性、CPU特性以及监视器特性等。一个对象的特性可通过施行解析器方法而获得。用于数据型态“World”之系统数据夹的解析器方法会返回型态为系统数据夹的对象。用于数据型态“World”之CPU特性的解析器方法会返回型态为CPU的对象。这些导出对象反而具有其本身的特性。例如，型态为CPU的对象可能具有如下之特性：速率、制造者、机型、MMX(多工储存转换器)以及高速缓存等。当方法运用于型态为CPU的对象时，其所对应的各项特性皆会返回一结果。为了便于说明，在此假设速率的结果为一整数，制造者的结果为代表制造者名称的字串，机型的结果亦为一字串，其代表机型名称，而MMX及高速缓存则返回更为特定的对象型态MMX及cache(高速缓存)。

关联性语言已假设使用者计算机可检查的特性系等同于“World”数据型态，且可从“World”导出的特性系通过反复要求从“World”所导出之对象的特性而得(参照图14)。对象World(ObjectWorld)可在技术支援的应用中提供一种可导出对象世界的丰富概念。

关联性子句的实例

以下系用于技术支援应用中之关联性子句的实例：

在使用者计算机上之某种应用的存在性

relevant-When：exists application“Photoshop”

此片段的用意是application为“World”型态的特性，其取得额外的字串参数，并返回型态为application的对象。exists为所有对象的特性，若该对象存在，则其返回布尔值为真(Boolean True)。若名称为“Photoshop”的应用程序无法被实施应用程序特性的方法找到，则其结果为一不存在的对象，此时exists将返回布尔值为假。

版本号码之比较

relevant-When：version of Control Panel″MacTCP″is version″2.02″

此片段的用意是Control Panel为“World”型态的特性，其取得额外的字串参数，并返回型态为Control Panel的对象。若名称为″MacTCP″的控制面板无法被实施控制面板特性的方法找到，则其结果为一不存在的对象，此时version(版本)不是被允许的特性，此计算失败。若名称为″MacTCP″的控制面板可被找到，则版本为Control Panel所认可的特性，而后该版本将调用方法，其返回型态为version的对象且包含该控制面板的号码，并以特别的格式来记录。此结果将会与子表达式″2.02″版本进行比较。此时间版本参照“World”之特性，其取得额外字串参数，并返回型态为version的对象。若计算成功，则比较的结果为布尔值：其为真或假。

修改日期之比较

relvant-when：modification time of Photoshop PlugIn“Picture

              Enhancer”is greater than time“0 January 1997 12：34：56

              +0800”

此片段的用意是Photoshop PlugIn为“World”的特性，其取得额外的字串参数，并返回型态为Photoshop PlugIn的对象。若名称为“Picture Enhancer”的Photoshop PlugIn(随插即用程序)无法被实施Photoshop PlugIn特性的方法找到，则其结果为一不存在的对象，此时modification time不是被允许的特性，此计算失败。若名称为“Picture Enhancer”的Photoshop随插即用程序可被找到，则修改时间为Photoshop随插即用程序所认可的特性，而后该修改时间将调用方法，其返回型态为time的对象。此结果将会与子表达式时间的结果“January1997(1997年1月10日)”进行比较。在此，时间参照“World”之特性，其取得额外字串参数，并返回型态为time的对象。若计算成功，则整个表达式的结果为布尔值：其为真或假。

自动语法分析及计算

关联性语言的主要目的系使通知提供者能够发布公告，而该公告可让通知使用者在计算机上进行分析，并且在不需要使用者介入的情况下而以自动化的方式读取，并判断该公告是否与使用者有关联。

在目前所知道的最佳方法中，关联性语言系以无上下文的文法加以实施，其可自动地被分析为子表达式的树状结构。子表达式的树状结构可被理解为抽象结构，其节点为方法，而分支则为子表达式。

此种树状结构系使用计算机科学中的标准符号来表示：

(node(expr-1)(expr-2)…(expr-n))

其中节点(node)给定所运用之方法的名称，(expr-k)则代表提供给该方法的第k个子表达式。举例而言，下列表达式：

(2346+(-1234)/(1+2))＞0

可被分析成为：

    (>      (+(Integer 2346)

              (/   (Integer-1234)

                    (+         (Integer 1)(Integer 2))

               )

         )

         (Integer 0)

)

表达式：

exists application“Photoshop”

可被分析成为：

(exists    (application    “Photoshop”))

控制面板″MacTCP″之版本为″2.02″的表达式分析为：

    (is    (version    (Control-Panel″MacTCP″))

           (version    (string″2.02″))

       )

最后，表达式：

modification time of Photoshop PlugIn″Picture Enhancer″is greaterthan time″10 January 1997″

将被分析为：

    (is-greater-than    (modification-time(Photoshop-PlugIn″PictureEnhancer″))

                 (time(string″10 January 1997″))

    )

总之，语法分析的目的是为了识别一系列将被使用到的方法调用。将无上下文文法分析为表达式树状结构的程序系为人们熟知的(参阅A.Aho，J.Ullman，Principles of Complier Design，Addision-Wesley(1997))。语汇分析器会将输入分成一系列的令牌(token)。在目前所知道的最佳方法中，这些令牌的形式如下：

[String]    包在引号(″)内，并可被列打印出的ASCII字符。

[Integer]  十进数字字的字串。

[Minus]    ″-″符号

[SumOp]″+″符号

[PrdOp]    ″*/″符号以及字串″mod″。

[RelOp]    ＝ > >＝ <＝  ！＝以及关系短语「与」、「或」、「是」及「非」。

[Phrase]    一连串未加引号之一或多个字词，字词可为依照字母顺序排列之字母与数字的序列，且不包含内嵌的空白。短语会分解为保留的短语。

语法分析系依照产生文法之程序表而以制式化的方式进行。在目前所知道的最佳方法中，文法的产生方式如下：

    ＜Goal＞           ：＝＜Expr＞

    ＜Expr＞           ：＝＜Expr＞or＜AndClause＞|＜AndClause＞

    ＜AndClause＞ ：＝＜AndClause＞and＜Relation＞|＜Relation＞

    ＜Relation＞      ：＝＜SumClause＞[RelOp]＜SumClause＞|＜SumClause＞

    ＜SumClause＞ ：＝＜SumClause＞[SumOp]＜Product＞

                   |＜SumClause＞[Minus]＜Product＞

                   |＜Product＞

    ＜Product＞   ：＝＜Product＞[PrdOp]＜Unary＞

                   |＜Unary＞

    ＜Unary＞     ：＝[Minus]＜Unary＞

                   |  [UnyOp]＜Unary＞

                   |＜Cast＞

    ＜Cast＞      ：＝＜Cast＞as[Phrase]

                |＜Reference＞

    ＜Reference＞ ：＝[Phrase]of＜Reference＞

                   |  [Phrase][string]＜Restrict＞of＜Reference＞

                   |  [Phrase][integer]＜Restrict＞of＜Reference＞

                   |  [Phrase][string]of＜Reference＞

                   |  [Phrase][integer]of＜Reference＞

                   |  [Phrase]＜Restrict＞of＜Reference＞
				
				<dp n="d33"/>
                |  [Phrase][string]

                |  [Phrase][integer]

                |  [Phrase]＜Restrict＞

                   |  [Phrase]

                |  exists＜Reference＞

                   |  number of＜Reference＞

                   |  [string]

                |  [integer]

                |  it

                |  (＜Expr＞)

    ＜Restric＞  ：＝whose(＜Expr＞)

在显示中，word系代表语言中的保留字，[Phrase]代表短语，并由上述之语汇分析加以定义。

文法可利用多种方法而用于产生语法分析器(参阅参阅A.Aho，J.U1lman，Principles of Complier Design，Addision-Wesley(1997))。这些包括自动语法分析器产生器，如YACC，其可产生由列表驱动有限状态并可辨认文法的自动装置。此表系直接由以上所列的产生形式而建立，亦可通过手动并根据模仿模块中的文法产生而以递归的方式建立，其中模块的命名及内部结构系模仿产生文法的结构。

所有此种处理方式皆有相同的基本结果。新的令牌将会一个接着一个输入，并和目前的状态加以比较；若存在的话，同时也和被允许的型态与接收指令动作列表进行比较。指令动作可解释为指定系统化建立表达式树状结构的各个步骤。典型的动作系有关于加乘(production)运算：

<Relation>    ：＝<SumClause>[RelOp]<SumClause>

其可以标准记号加以改写为：

$$＝($2$1$2)

其可被解读如下：$$系代表运算的结果，$1、$2及$3代表子表达式树状结构的组成部分，而括号则为划定表达式树状结构界线的记号。此动作将会调用有关可识别<RelOp>的子表达式树状结构。此结果系来自于以根本方法将左子表达式与右子表达式产生联系并加以比较。在此考虑表达式：控制面板的版本″MacTCP″isversion″2.02″，并考虑当语法分析器试图以[RelOp]作用在<Relation>时的状态。表达式树状结构已经与代表Control-Panel″MacTCP″的左子表达式$1产生联系，并与代表version(string″2.02″)的右子表达式$3产生联系。与整体<Relation>有关的表达式树状结构系依照″is $1$3″模式之结合而得。因此，所得到的表达式树状结构可表示为″is(Control-Panel″MacTCP″)..(version(string″2.02″))。

以加乘运算加以链接的方式系一种描述如何建立树状结构的适当形式。在某些实施情况下，该等树状结构只可以隐藏的方式被建立。

若接着下一个符号符合被容许的型态，则分析过程将会持续进行；若发生未预期的结合，则语法分析失败。一旦语法分析失败后，通知将会宣告不具关联性。

以目前所知用于实施本发明的最佳方法而言，各个有效的方法在语法分析器进行分析时皆为已知。不像其他语言，若子句在句法上为正确但使用命名目前未知方法的短语，则分析过程将失败。

以目前所知用于实施本发明的最佳方法而言，各个子表达式会取得强烈型态的值，该型态在先前为已知。数据型态的实例包括整数、字串及布尔值。在分析输入之数据型态之结合时，各种方法皆为已知。任何针对被禁止的数据型态运用方法的尝试将会被侦错而视为错误。若被检测出错误，则通知将会宣告不具关联性。

在成功完成分析之后，表达式树状结构将会被建立，其包括一组方法调用及相关的自变量，以及该自变量的相关数据型态。表达式的计算过程系利用以适当次序发送的适当方法来进行。

计算过程可能成功也可能失败。失败的情况例如，由于过度使用系统资源、无法取得某种资源、取得某资源的时间过长，或其它原因所造成。成功的计算将产生真或假的布尔值或其它数值。通知被解释成具有关联性即如同表明计算成功，而其结果是布尔值为真。

特别是，若某子表达式无法被解读成有效的语言表达式，或子表达式企图针对受到禁止之数据型态运用方法，或子表达式目前无法计算时，整个表达式将会失效，并且通知将会自动宣告不具关联性。

可扩充的语言

关联性语言的目的系为了精确描述计算机的状态、内容、附加装置以及环境。此状态将会随着使用者购买新的软件与/或硬件，或新的软件/硬件被发明出来而有所变化，此状态也可能因为使用者所欲解决之问题的领域改变而有所变化；例如，个人财务、家用计算装置的管理，或其它领域等。

因此，无法预先界定本发明所提供之计算机状态的组成部分。人们希望，关联性语言能够为未来的作者扩充表达关于目前尚未想到之系统状态的能力。

在本发明之一实施例中，关联性语言的词汇可经过管理机构以及个别通知网站的作者而加以扩充。

在该实施例中，关联性语言可通过发展以动态方式载入词库，并将新语汇及语意加入语言中而扩充与/或通过修改现存的语汇及方法而加以扩充。这些扩充在此称作检查器词库，其可从通知网站下载，并安装在使用者计算机中，从而改变关联性语言在该计算机中的意义，并让新的通知群体能够在该计算机上进行解读。

这些动态载入的词库包含必须加入语言中之新数据型态的宣告、与该数据型态有关之新特性的宣告、特定型态之对象所取得之特定性质的数据型态的宣告，以及方法的宣告等；亦即，为取得该等特性所执行的可执行程序码。

非程序化语言

不像许多使用于与计算机操作与/或维护有关的语言，关联性语言不一定为程序化。换言之，关联性语言不需要指定存储器各个不同部份的操作方式。此为描述性的相反情况。关联性语言不需要执行传统的程序化处理，例如回路、指定以及条件式控制等。

相反，以扩充的方式来处理该等服务，将引发各种安全性及隐私权的威胁，此将使其更容易因为疏忽而撰写，或撰写错误的公告而在计算时消耗过多的资源。

以目前所知用于实施本发明的最佳方法而言，在关联性语言中将无法使用程序性的处理服务。即如上述文法说明之检查所显示者，该语言具有下列性质：

·无名称变量

·无指定叙述

·无函数调用，或至少无具有可变自变量之外显函数调用(calls)

·无回路或条件式执行

这些介于关联性语言与其他一般语言之间的表面差异系根基于下列观点：

·由于考虑未参与的计算，语言在理想的情况下，不应该对计算机或环境产生副作用。

·为了让使用者产生信心，使用者必须能够自己看到语言不会对计算机或环境产生副作用。

·描述性语言并不像程序性语言一般，其没有副作用现象。

总之，语言的结构及可观察的限制性必须能够将安全的消息传送给使用者。

以下的讨论将提出关联性语言与程序性语言的两个主要差异：

函数调用。关联性语言具有方法发送，其对应某些语言当中的函数调用，但其具有较局限的形式。

第一，算术及逻辑运算中有单元方法及二元方法：″+″、″-″、″*″、″/″「与」(and)、「或」(or)、″＝″及其它相似的运算。这些运算可视为单元或二元的函数调用，但其具有非常局限的形式，并以为人们熟知的方法呈现很少的风险及资源负担。

第二，存在未经命名的特性，例如修改时间。

第三，存在已经命名的特性，例如应用程序“Photoshop”。

未经命名的特性可视为施行于一对象的函数调用，但为单纯的调用，因为并未涉及任何参数。在典型的情况下，特性系从特定的数据结构中获取某一值并经过计算而得，其通常不会有风险或造成资源负担。已经命名的特性可视为两变量的函数调用；其中，第一个变量为对象，第二个对象则为字串命名的识别字。然而，这些也不是非常一般化的操作，因为在一种实施情况下，字串命名的识别字本身并非经过计算所得到的结果；因此，其必须为字串常数。以上述方式所指定的计算型态受到非常大的局限。同样地，在典型的情况下，已经命名的特性系从特定的数据结构中获取某一值并经过计算而得，所以通常不会有风险或造成资源负担。

回路及条件式执行

关联性语言并没有″for″、″while″或″if″陈述，但其确实具有有限的重复性操作。其利用称作复数特性的结构来执行重复性操作。在关联性语言中，单数及复数的性质皆可使用，例如单一项目及多重项目皆可，第一个必须为单独项目的结果，第二个则可为复数的结果。在典型的情况下，复数性会进一步使用whose()子句而限定为次集合。

利用复数-单数二分法，可以保留某些精细的划分的意义。例如：

exists application“Photoshop”

意谓确实存在此种应用程序；而

exists applications“Photoshop”whose(version of it is version″4.0″)

意谓存在一个或一个以上称作“Photoshop”的应用程序，且其中一个的版本号码为4.0。

在第二个例子中，重复性操作系在所考虑之系统上以隐藏的方式在所有称作“Photoshop”的应用程序之集合上进行；因此，回路的效应即可在不使用传统程序化程序设计的情况下获得。

从确保安全性及隐私权的观点来看，语言表达的限制有助于语言的安全性(参照以下之说明)。然而，设计语言的目的即在于使其具有很高的表达性而具有很强的功能。利用语言中的一些字词即可取得有关于系统状态的答案，而为了得到同样的结果，传统的程序性语言必须撰写数百行的程序码并引用系统词库中的特殊函数，否则无法获得此结果。

若很明显地出现传统上由程序化语言所处理的服务，则此需求可利用上述之检查器词库机制来扩充关联性语言而得到满足，以下将详细说明。此具有两项优点：

[Efficiency]包括通过扩充而加入的新检查器，而不是在关联性语言中提供程序性服务，如此将得到更有效率的结果。检查器通常可取得有效的执行编译方法，其可在进行关联性评估时减轻系统资源的负担，但关联性语言的解译通常较慢。

[Security]包括由此扩充机制所提供的新检查器，其可让使用者改正出现问题的情况。若某一复杂的表达式在许多地方被使用且具有不良的副作用，则将非常难以改正。若相同的程序码加在一起而成为检查器词库，则使用者可利用关联性语言识别出有问题的程序码，以辨认出检查器是否被安装于使用者的计算机上。如此即可能撰写一种公告，其不同于依赖检查器词库的公告。

使用者可存取性

关联性语言可控制大量计算机上之系统的执行。虽非必要，使用者可能非常希望在原则上能够针对关联性语言进行读取并建构适当的理解，但是在大部分的情况下，很少使用者会选择如此做。

以目前所知用于实施本发明的最佳方法而言，关联性语言的语法类似于单纯的英语语法，其中语言中的主要角色系由如″of″、″as″、″whose″等冠词以及如exists等动词所形成的子句来扮演。

语言之高度受限的本质可促进使用者的了解。此种语言可避免预设计算机程序设计背景的概念，例如阵列、回路以及条件式运算。

检查器词库

检查器词库的组成单元

在概念上，关联性语言的子句分析会产生一组方法发送(参照图11)，其中某些方法会依照自变量的列表而以某种次序被调用。此运算系一种以系统化的方式执行一连串方法发送的处理过程。方法发送系关联性处理当中的重要技术特征。

检查器词库系一组方法及相关接口的结合，其可让方法安装于通知读取器当中。由于分析器之结构及计算过程的缘故，检查器词库可包括下列单元：

·用于关联性语言之[Phrase]的宣告

·该[Phrase]与特定方法之关联

·用于关联性语言之新数据型态的宣告

·方法之调用原型的宣告。此包括提供给方法之自变量的数字及所需的数据型态。

·方法产生结果之数据型态的宣告。

·该方法以可执行形式的实施。

·在事件中被调用而与程序码有关之特殊挂钩(hook)的宣告，例如：检查器发送者起始、检查器发送者终止、检查器发送者主要计算之回路的起始，以及检查器发送者主要计算之回路的终止。

·与该特定方法有关之特殊高速缓存的建立及维护，及与其有关之特殊挂钩的宣告。

·可执行形式之特殊事件方法及高速缓存方法的实施。

在概念上，检查器词库可将所有被计算的宣告链接至通知读取器，其可使通知读取器的内部数据结构产生变化，以得到新的方法调用。

这些宣告将会影响系统的两个基本数据结构。第一个基本数据结构为给定其可作用于上的所有被允许短语及相关数据型态的语法列表，以及结果的相关数据型态。此系用于进行语意分析的时候。第二个基本数据结构为方法发送列表，其提供系统化的方式来决定相关的可执行方法，以用于给定的短语及数据型态。此系用于进行计算的时候。

面向对象的结构

用于实施上述检查器词库结构的便利方式系利用现代的面向对象的程序语言的特性，例如C++。在功效上，此种程序语言的内建特性，即对象宣告、多用性以及算子超载等，皆为宣告某些短语的方式，其中当运用于某些数据型态时，该等短语具有某种程度的意义，并且为系统化管理该等信息的方式。其它的特征，例如构造符(constructor)、复造构造符以及析构符(destructor)等，皆为定义某种起始时间及终止时间程序码主体的方式。

以目前所知用于实施本发明的最佳方法而言，该等现代面向对象的语言之特征系用于提供检查器词库的各项特征。

扩充性

如上所述，在一种实施情况下，将若干检查器词库安装于通知读取器中是可能的方式。以此种方式所安装的检查器词库在关联性语言中定义一组经过认可的[Phrase]、一组在进行计算时容许的数据型态，以及一组与该等数据型态相关的方法。

总之，关联性语言可以动态的方式加以建构。在一种实施情况下，检查器词库可由通知提供者建立，并下载到使用者的计算机中，以做为网站同步化的一部分。这些词库可通过通知读取器进行管理，例如储存在一熟悉的位置，即如储存在通知读取器所管理的整个目录的次目录中。在此目录中的检查器词库，可在通知读取器被启动时，链接到该通知读取器。

当链接发生时，宣告的程序会被调用，并将新的[Phrase]安装到关联性语言的语意分析列表，并使该等[Phrase]关联于某些方法调用。关联性语言以此种方式引进新描述的可能性。

分层化语言定义

如此，关联性语言可为开放式终端，并以一层接着一层的方式建立而扩充。因此，为了了解一完整安装的系统，应了解已经安装的阶层，并了解各层所提供的方法。在典型的安装中，该等阶层包括下列：

·基础层：其包含子句估算的基本机制：一些基本的内建短语及相关方法。人们期望在所有使用者计算机上之通知读取器的基础层皆相同。

·系统特定层：其由某种操作系统所组成，并可提供关于某种计算机群组及其附加装置与环境的特征。例如，在一种实施情况下，此种阶层可提供取得日期及时间、各种文档大小、PRAM的内容或所附加之周边装置的名称等的方法。

·销售者特定层：此潜在为大量的扩充层集合通常是由第三者所建立，其提供取用特定的硬件装置内部及软件产品的途径。人们可将其视为潜在的作者，其范围从硬件制造商(如电缆调制解调器的制造商)的产品到软件制造商的产品(如Photoshop及PlugIn)，而到服务供应商(America On-Line)等。

实例：版本检查器

以下所描述的系一种用于Macintosh操作系统下之应用程序数据型态版本特性的检查器。此种检查器之宣告如下：

·加入关联性语言的新[Phrase]：版本；

·新的数据型态version，上述许多例子已有说明；

·此种可在Macintosh操作系统下使用之数据型态的多种特性：

主要修订：修订编号的首要数字段。

次要修订：修订编号的次要数字段。

阶段：一字串，如″Alpha″、″Beta″等。

国家：一字串，如美国或法国。

字串1：一字串。

字串2：一字串。

·方法：以可执行码的形式，通过开启应用程序的资源分支(fork)、获取所需的信息，并将其转换成所需的数据型态，以便执行上述特性。

·“World”之新命名的特性version，其选取字串特性的识别字，例如在版本1.1当中的″1.1″，并加入version数据型态中。

完成安装之后，此检查器会让系统使用一系列的数据型态及特性，即如图14所示。举例而言，为了检查版本号码0.99的beta版应用程序是否被使用，人们可撰写以下的关联性子句：

Stage of application″Netscape Navigator″is″Beta″

and Minor Revision of application″Netscape Navigator″is 99

and Major Revision of application″Netscape Navigator″is 0

特殊的检查器

如上所述，关联性语言的扩充机制具有强大的功效，即如下所述：

操作系统检查器

系统的特定检查器可取用操作系统的特性，并容许撰写通知来查核附加装置及其它次系统的存在与否以及配置。

以下为一有效的片段，其被撰写用于Macintosh操作系统的检查器词库：

exists serial device″Modem Port″

此片段的用意系检查其是否为具有专用调制解调器端口的Macintosh计算机，其系用于区别调制解调器/打印机端口。基本上，与“World″的特性有关联的串列装置符合各种不同的装置。识别符从许多装置中选取名称为「调制解调器端口」的装置。若存在此种装置，则短语的计算结果为真。若不存在，则短语的计算结果为假。

input name of serial device″Modem Port″is″.Aln″

此片段系为了检查调制解调器端口是否使用标准的串行驱动器。“World”的特性系将″Modem Port″参照为特性输入名称的对象。此片段系检查其是否等于″.Aln″，即如Mac操作系统的一般设定值。

有关其它特性及数据型态的例子可在Macintosh操作系统的检查器词库中取得，其中包括：

·实际RAM：“World”之特性、整数数值：存储安装RAM存储器的子节数目。

·逻辑RAM：“World”之特性、整数数值：安装RAM存储器及虚拟存储器的子节数目。

·虚拟RAM：“World”之特性、布尔值：若虚拟存储器被启用则为真。

·PowerPC：“World”之特性、布尔值：若CPU为PowerPC则为真。

·系统版本：“World”之特性，其数据型态为version：目前所安装的系统版本。

·ROM版本：“World”之特性，其数据型态为version：目前所安装之ROM的版本。

这些例子清楚显示，人们可撰写针对装置的关联性子句，例如该装置具有少量的存储器、过期的ROM或旧的系统版本。

登录检查器

现代的个人计算机操作系统，如Windows 95及Macintosh OS 8等，皆拥有称作登录(registry)的特殊数据库，其记录大量关于系统配置以及安装特定软件的信息。登录检查器为一种安装于通知读取器的检查器词库，其可使关联性语言参用并计算登录数据库的特性。

下列为Macintosh平台上的一个实例：

22＝integer value of entry″APPL.interrupt″of entry″bandit″of

    entry″Device Tree″of entry″devices″of Registry

此片段的用意系输入Macintosh名称登录、找寻″device″项目、在该项目中找寻″Device Tree″项目，以及传到次登录″bandit″而后次登录″APPL.interrupt″。最后所得到的项目会转换为整数值，并与码22进行比较。

登录数据可包含关于其在计算机上操作的大量信息。登录检查器使所有这些信息可供关联性语言使用。

喜好设定检查器

在现代计算机上所使用的典型应用程序，例如Netscape及Microsoft Word等，皆具有称为喜好设定文档的特殊数据库，其可记录大量关于某种程序之配置的信息。喜好设定检查器为一种安装于通知读取器的检查器词库，其可使关联性语言参用并计算特定应用程序之喜好设定文档的特性。

以下为一实例：

假设网站浏览器应用程序″Netscape Navigator″具有一个喜好设定文档，其系有关于各种内容类型。辅助应用程序了解如何处理该内容类型。举例而言，图像文档JPEG类型所附带的辅助应用程序可能为JPEGView，而x-pn-realaudio类型所附带的辅助应用程序可能为RealAudio播放器。

假设名称为RealAudio的通知提供者想要制作针对网站浏览器设定错误之使用者的公告，并为其提供该配置的自动修正。

假设可使用Netscape Navigator之喜好设定检查器，并且在将该检查器安装于通知读取器之后，Netscape Navigator的喜好设定即成为World的特性。

而后，该提供者即可针对具有RealAudio，但其网站浏览器设定不适当的使用者，其系以关联性子句制作公告如下：

exists application″Realaudio Player 4.0″

and exists application″Netscape Navigator″

and((helper name of entry″x-pn-realaudio″of entry″Helper Table″

    of Netscape Navigator Preferences)is not″RealAudio Player 4.0″

此片段的用意系存取Netscape Navigator喜好设定文档，找寻″Helper Table″项目、在该项目中找寻″x-pn-realaudio″项目，并获取相关的辅助程序名称。最后所得到的项目为一字串，并与″RealAudio Player 4.0″进行比较。

现代软件应用程序的喜好设定文档包含大量有关于该应用程序之工作情况的信息，而喜好设定检查器可使所有该等信息提供给关联性语言使用。

数据库检查器

不论是以内在或外在的方式，许多使用者拥有储存关于使用者之信息的商业数据库。实例包括：

·个人财务应用程序所附带的数据库：以内在方式使用″Check Free″与″Quicken″及相似的程序的使用者，在其装置设备上具有数据库。

·小型办公室套件所附带的数据库：经营小型企业的使用者在其计算机上拥有客户数据库、供应商数据库以及会计数据库等。

数据库检查器为基本关联性语言的扩充件，其目的系容许关联性语言取用数据库当中的字段。以下为语法的一个实例：

numeric field″CURRENT BALANCE″of FoxBase Database

″Personal.DBF″＜0

此片段的用意如下：通知提供者试图联系使用CheckFree程序的使用者。CheckFree程序的使用者在其计算机上拥有由FoxBase所建立的数据库，其系以Personal.DBF加以识别。此片段试图联系数据库指称目前帐户余额为负值的使用者。此计算的语意系依赖FoxBase数据库检查器的执行。

假设操作的方式如下：名称为Personal.DBF的数据库被放置在使用者计算机的主要储存装置，其系以例如FoxBase格式进行解译，名称为″CURRENT BALANCE″的数字段将会被获取。而后，此片段会将所获取的值与0加以比较。

应注意的是，若使用者并没有所指示类型的数据库，则上述子句将会分析失败或计算错误。不论是何种情况，都将不会宣告其具有关联性。如此即可不需要顾虑为了限定此种类型的子句，而利用冗长的前言来检查某种类型的软件是否可使用。分析失败的情况可能会由于使用者的计算机没有安装FoxBase数据库检查器而发生。计算失败的情况则可能由于找不到Personal.DBF文档而发生。

本技术的应用之一系在于技术支援的场合。假设通知提供者所发行的软件如同CheckFree能够建立及管理一数据库，并且该通知提供者想要帮助使用者维持该数据库的更新状态。通知提供者可针对使用者数据库的一般问题来制作公告，问题例如使用者忘记以正确的余额来起始数据库。这些公告即可提醒使用者该等问题，并提出解决问题的方案。

使用者简况检查器

本发明可维护一个或多个提供使用者简况文档，其中包括识别短语及相关设定值。

使用者简况检查器系一种安装于通知读取器的检查器词库，其可让关联性语言参用储存于使用者简况文档的数据。在高度抽象化之下，其型态与数据库检查器或登录检查器所使用的函数一样，差别只在于所检查的数据库不同而已。

为了例示此种检查器的使用方式，假设人们希望以947XX形式的Zip码来取得使用者。同时假设使用者简况具有一个称作Zip码的变量，则以下的关联性子句：

947＝(value of variable″Zip Code″of User Profile as integer)/100

将可提供所需的功能。上述子句的用意如下：使用者的简况被检查，名称为Zip Code的变量被获取，而且所得到的整数除以100。末尾的小数会在处理过程中被删除，留下的三位整数将与947进行比较。

在一种实施情况下，使用者简况为一种以动态方式进行扩充的数据库，新的变量将会依照通知提供者的需求而被加入。一种机制将提供通知提供者用于制作范本文档，范本文档系描述一组通知提供者计划参用并希望使用者指定的变量。范本文档被存放在通知网站，并在进行同步化操作时被自动收集。范本文档系用于驱动位于使用者计算机上的编辑模块，该等范本文档为使用者提供一组范本变量名称以及一组其目前的设定值，若先前未经过定义则为空白。而后使用者可填入空白字段及编辑其它字段。依此方式，提供者想要定义的变量即可吸引使用者的注意并进行编辑。

以上述方式使得使用者的部分简况与特定的通知网站产生联系称作网站简况。关联性子句的公告：

not exists Data file of site Profile

会检查网站简况是否已经在此网站上被启用。若没有被启用，则公告应以人类可解读的消息内容指出，通知提供者希望使用者填写用于修正与该网站有关之通知功能所需的使用者简况变量。此外，如同计算机可解读的内容一般，其应该调用编辑模块，并利用新的范本为使用者提供编辑新的使用者简况的机会。

具有下列关联性子句的公告：

Modification Time of Data File of site Profile＜

Modification Time of Template file of site Profile

将会检查自从上一个新的范本文档之后，网站简况是否已经更新。若没有更新，则公告应以人类可解读的消息内容指出，通知提供者希望使用者加入一些新的使用者简况变量，用以修正与该网站有关之通知功能。此外，如同计算机可解读的内容一般，其应该调用编辑模块，并利用新的范本及旧的简况而为使用者提供编辑的机会。

远端检查器

原则上，检查器词库亦可让关联性语言检查其它通信装置的特性。该等特性包括：

·远端物理测量：向其它装置要求可测量的信息，其中可能包括位置、温度、电压或处理状态等。

·远端装置查询：向其它装置要求关于其本身及其状态的信息。

·远端计算：向其它装置要求计算的结果，例如由公式及程序所设定的计算，或由检查器所提供的字符集(script)。

·远端数据库查询：要求其它具有数据库的计算机回答关于数据库内容的查询。

·远端关联性调用：将关联性子句传到另一计算机，并取得由该计算机在其环境中所计算得到的结果。

以下为远端物理测量的实例。假设有一检查器词库，其定义World之一特性，称作互联网原子钟，则该原子钟能够通过互联网协定查询具有权威的计时器，并将结果传回关联性语言的时间数据型态。假设其亦定义一种称作系统格林威治时间的World特性，该系统格林威治时间可给定等同于系统时钟的格林威治标准时间。以下的关联性语言系针对系统时间设定不正确的使用者：

abs((Greenwich Time of Internet Atomic Clock)-System Greenwich Time)＞time″10 Seconds″

以下为远端装置查询的实例。假设有一检查器词库，其定义World之一特性，称作网络Postscript打印机，则该网络Postscript打印机能够查询目前所选用的打印机，以确定其是否经过适当地设定。一段有效的关联性子句如下：

Model of Network Postscript Printer is″Laser Jet 5″and

ROM Version of Network Postscript Printer＜version″2.0″

上述子句系针对拥有旧版ROM之Laser Jet 5打印机的使用者。

以下为远端数据库检查器的实例。假设通知提供者为一大型机构，其所服务的使用者为员工，且该等员工拥有小型的掌上型计算装置，并将重要数据存放在远端计算机上，而该远端计算机与该等小型装置之间具有安全性交换数据程序所建立的信赖关系。同时假设，员工所使用的机构数据可通过互联网上的小型目录存取协定(Lightweight Directory Access Protocol，LDAP)数据库进行数据的存取(参阅W.Yeong，T.Howes，S.Kille，LDAP(Lightweight Directory AccessProtoco1)，Internet Standards Track RFC 1777(1995))。通知提供者希望提供指称关于员工被指派之计划案状况的通知，此通知虽然无法由掌上型装置取得，但是却可通过LDAP查询LDAP服务器而得到。此外，该通知可指称关于员工的状况，而此消息只能由掌上型装置取得。

提供者发展可存取位于LDAP服务器上之数据的检查器词库，以及可存取在掌上型装置之数据的检查器词库。假设这些检查器的安装步骤包括利用适当的密码及使用者名称来设定LDAP查询。一个有效的关联性子句如下：

sponsor of assigned project of Employee LDAP record is″U.S.

Government″and(per diem charges of current daily expense of

Employee Handheld record＞35)

此片段的用意系从与此员工有关之LDAP数据库获取某一数据项目，而赞助者名称会与″U.S.Government″比较。若上述条件成立，则目前的旅费记录系以按日报帐来查询。

此种处理方式提供一种以匿名及主动的方式目标锁定列于组织化数据库的员工，其中该等员工的按日费率低于其花费。因此，本发明提供一种方法，其可在提交帐单之前检查旅费报帐。

远端系统的接口规格将引发重要的议题。其中一个技术特征在于，要求远端服务的使用者计算机与其它满足其要求的装置或计算机之间必须存在信赖的关系，以便进行关联性的自动评估。在某些情况下，通信过程必须进行加密处理。资源被使用的程度必须加以监视。此外，必须在某些情形下可使用数字认证。这些议题皆可利用为人熟知的机制进行处理。

通知提供者所能提供的公告处理，不仅能够参用使用者计算机及其环境的特性，同时还能够通过查询使用者计算机而取用其特性，并建立如下所述之新颖的通信协定，亦即个人信息存取协定。

检查程序工作纪录文档

许多计算机软件应用程序及处理程序，会保留一个或多个含有该程序或该等处理过程之执行历史纪录的文档。此种工作纪录文档的标准实例包括：由邮件服务器及登入背景执行程序所保存的执行工作纪录、由备份软件所保存的备份工作纪录，以及由使用者程序所保存的错误工作纪录。

程序工作纪录检查器为一种检查器词库，其可安装于通知读取器，并可让关联性语言参用储存于某一个或多个工作纪录文档中的数据。在高度抽象化之下，其型态与数据库检查器、登录检查器或使用者简况检查器所使用的函数一样，差别只在于所检查的数据库不同而已。

此种检查器词库定义让人从工作纪录文档中得到主要数据项目的存取方法。

做为如何使用此种检查器的实例，假设人们希望联系执行GraphMaker应用程序的使用者，其中由GraphMaker所产生的工作纪录文档中包含错误码93456的错误数据项目。

此外，假设此错误码系指示某一PostScript打印机无法处理GraphMaker所输出的文档。人们希望能够联系处于上述状况的使用者，并告知此问题的解决办法。假设GraphMaker可在其通知网站上使用一种检查器词库，其可执行一组与中央数据型态有关的方法，其称作GraphMaker错误工作纪录。在此假设，当此检查器词库安装于通知读取器时，GraphMaker错误工作纪录为World的一个特性。同时假设，GraphMaker错误工作纪录具有一个称作数据项目的特性，并假设此种特性的结果为GraphMaker错误工作纪录数据项目型态的对象，且该数据项目具有特性错误码及错误消息，其可分别产生整数及字串数据型态。而后，以下子句：

exists entries″Error″of GraphMaker error log whose(Error Code of

it＝93456)

可提供所需的功能。此子句的用意如下：与GraphMaker错误工作纪录有关的文档被找到并开启，同时会针对此文档搜寻型态错误的数据项目而非警告。这些数据项目将会被检查，以判断其中是否有任何数据项目与指示型态的错误码有关。

如此可让技术支援机构发展用于维护该领域中之复杂产品的处理程序，其中：

·开发产品的方式系便于例外状况可被识别并加以纪录；

·此工作纪录系在通知网站上进行研发及公布；以及

·制作的公告可检查工作纪录，以便识别出并修正出现问题的状况。

依此方式，技术支援机构即可目标锁定处于某些程序错误情况下的使用者。

检查通知系统

通知读取器可保留订阅信息、公告群体；在一种实施情况下，其可保留指示关联性评估的历史以及自动化解决方案的工作纪录。

通知系统检查器系一种安装于通知读取器的检查器词库，其可让关联性语言参用储存于通知读取器本身及由其管理的数据。在高度抽象化之下，其型态与数据库检查器、登录检查器或使用者简况检查器所使用的函数一样，差别只在于所检查的数据库不同而已。

此种检查器词库定义让人从系统的重要元件中得到主要数据项目的存取方法：

·订阅数据库：某些订阅的存在与否、与某些订阅有关之通知网站的地址、与某些订阅有关之同步化时程、与某些订阅有关之数字认证，以及其它为人所关注的属性。

·通知数据库：通知数据库中，某些公告存在与否。通知数据库中，某种公告是否具有关联性。通知数据库中，某为作者存在与否。通知数据库中，某种主题存在与否。

·通知读取器工作纪录文档：在过去某一时间，曾经订阅某网站。某些检查条件是否存在；例如，由于评估公告的时间过长而放弃某公告之评估。在过去某一时间，某公告的关联性。在过去某时间，使用者接受与某公告有关之自动化解决方案操作者。

·通知读取器配置：安装某些检查器。通知读取器的操作参数。使用者的喜好设定。

做为如何使用此种检查器的实例，假设在1998年1月，一特殊的插入码被公布，该插入码系修正GraphMaker应用程序。假设大部分安装此插入码的使用者系通过在此所描述的公告过程而得知。人们希望联系执行GraphMaker应用程序的使用者，而GraphMaker应用程序系在过去的某一时间通过公告的提示而将该插入码安装于GraphMaker应用程序。人们认为此系由于经过改善的插入码已可使用的缘故。

针对上述情况的完整策略可制定出多种公告。此策略可针对目前订阅通知网站的使用者来制定公告。此为普通的建构方式，并使用前述的机制来完成。然而，完整的策略亦包括制定另外三种公告而最终针对其它使用者：

首先，策略制定一种针对不再订阅通知网站之使用者的公告，而且该等使用者在以往曾经做过不再订阅的动作。此种公告可通过各种非本发明所提出之正式订阅机制的方式进行发送，例如通过UrgentAdviceNet的服务。此公告将会检查GraphMaker是否已被安装，同时检查是否没有主动订阅GraphMaker通知网站，而后在由通知读取器所产生的工作纪录上检查GraphmMaker通知″98/1/08-1″是否在以前具有关联性，以及使用者是否已经接受所提议的解决方案。所有被告知其具有关联性的使用者将有可能重新订阅该通知网站；在重新订阅之后，使用者将会收到关于更新插入码的指示说明。

第二，策略制定一种针对从未订阅过通知网站且从未收到较早的公告之使用者的公告。此种公告将会检查受影响的GraphMaker版本是否已被安装，而后检查目前的订阅数据库是否显示没有主动订阅，同时检查工作纪录是否显示并无先前的主动订阅。所有被告知其具有关联性的使用者将有可能订阅该通知网站；在订阅之后，使用者将会收到关于更新插入码的指示说明。

第三，策略订定一种针对已利用其它方式订阅而取得先前公告的复制本之使用者的公告，而且该等使用者仍然订阅通知数据库。此种公告并不会自动被网站同步化删除，因为该公告并非伴随来源的通知网站。该公告可识别旧公告之通知数据库的存在。对于所有被告知其具有关联性的使用者而言，首先此主动公告将不再由其作者公开宣告，其次使用者可能会订阅该网站，最后使用者将会收到关于更新插入码的指示说明。

人们期望通知读取器安装有检查器词库，该等检查器词库实施一组关于三种中央数据型态的方法，并称作adviceNet订阅检查器、adviceNet通知检查器以及adviceNet历史检查器。

利用该等检查器，人们可目标锁定过去曾经采用公告所提议之解决方案的使用者，但是目前该使用者并没有订阅：

exists application″GraphMaker″whose(version of it is version″1.01″)and not exists entry″GraphMaker″of adviceNet Subscription inspector andexists entry″relevant″of adviceNet History inspector

whose(author of it is″GraphMaker″and

identifier of it is″98/01/08-1″and

adoption status of it is″Accept″)

利用上述之检查器，人们亦可目标锁定从未订阅的使用者：

exists application″GraphMaker″whose(version of it is version″1.01″)and not exists entry″Subscription″of adviceNet History inspector

whose(name of it is″GraphMaker″)

利用上述之检查器，人们亦可目标锁定利用其它方法接收通知的使用者：

exists application″GraphMaker″whose(version of it is version″1.01″)and exists entry″Advisory″of adviceNet advice Database

whose(author of it is″GraphMaker″and identifier of it is″98/01/08-1″)

这些检查器可使技术支援机构发展用以维护公告群体的程序，并应用于先前公告之采用/不采用的结果。

第二种类型的实例系关于通知提供者RealAudio想要制作一种公告，例如其可检查特定检查器是否已经安装，并且检查是否为正确的版本，因为通知系取决于此检查的结果。假设有一种检查器词库，当安装此种检查器之后，其可加入adviceNet配置而做为World的特性。RealAudio可在其网站上利用下列关联性子句进行公告之服务：

not exists inspector library″Netscape Preferences″of adviceNetConfiguration

上述子句能够让人们检查得知检查器词库并未被安装。人类可解读的相关消息内容为一种解释内容，其目的系为了使RealAudio通知能够正常操作，使用者应从Netscape网站取得合适的检查器。此外，其可由下列子句来服务通知：

version of inspector library″Netscape Preferences″of adviceNetConfiguration is not version″1.0″

用以目标锁定其检查器词库之版本错误的使用者。

此种检查器可让技术支援机构确定通知读取器系以正确的方式加以设定，并使用该技术支援机构所提供的通知。

变更

其它传输机制

截至目前为止，在此所讨论的系集中在单独一种传输公告的机制。事实上，在许多情况下，人们可以采用或者希望使用别种方法进行传输。一些传输的方式包括：

·利用实际传输的通知：到达使用者计算机的通知可从软盘、光盘只读存储器(CD-ROM)或相似的实际传输媒介等拷贝而来。

·利用电子邮件的通知：公告可为电子邮件消息的一部分，其来自于另一个使用者或通知提供者。

·利用USENet的通知：公告可为通过USENet协定而散布之新闻消息的一部分，其为另一个使用者或通知提供者所登载。

·利用私人专用协定的通知：公告可为通过私人专用协定而散布之消息的一部分。

·利用文档传输的通知：公告可通过文档传输而从另一个装置取得，其中该传输系使用通知读取器以外的应用程序，例如，使用者可能通过网站浏览器而点击超文件链接，以便下载公告文档。或者，一应用程序可能指向下载一公告，且不需要使用者控制，其利用FTP或某种文档共享协定。

处理通过以下路径之一的通知的方式有三种不同的程序。

·加入通知数据库：通知被加入现存并持续进行关联性测试的通知数据库。

·状况评估：当通知被开启时，该通知会进行关联性评估，但并不会加入任何永久保留的群体。当该通知关闭时，公告与系统并无交互作用。此种类型的通知系手动检查的一部分，例如在只发生一次的情况。

·储备：通知会储存在使用者计算机的储存装置上，以提供未来之用。此意谓着，在未来的某一时间，通知将会加入通知数据库，亦即在未来通知将会进行一次评估。

状况评估的可能性，亦即状况评估，将会以特别通知来进行(参照图16)。此方式可用于建立非常复杂的公告摘要，该等公告只有在使用者有特别的需求或发生特别的状况时才会被开启。

以下为应用于技术支援领域之其它类型的传输机制：

·购买之前的通知：通知摘要系做为购买使用者计算机的新软件或硬件过程的一部分而到达使用者计算机。此收集过程可通过媒介的实际传输或通过电子邮件；例如，使用者可从购物网站取得摘要。当通知读取器处理摘要时，其将计算使用者计算机的硬件情况，并告知使用者关于各种可能购买的适用性。此处理过程通常只执行一次。

·安装的通知：通知摘要160可做为在使用者计算机上安装新软件或新硬件过程中的一部分而到达使用者计算机。此新软件可能是通过媒介161的实际传输或通过电子传输162。新的公告可做为自动起始过程的一部分，藉此可让订阅以自动化的方式启动，同时公告将会被放置在通知群体中而做为一种起始近端网站地图的方式。使用者端与通知网站的选择性同步化亦可加以启动163。使用者读取器开启通知摘要164并评估通知的关联性165。公告系显示选择性的解决方案166，而使用者将会对公告167有所反应。系统会执行标准的安装程序168并进入订阅安装后的通知网站，以便收取安装后的公告170。

·问题侦错：通知摘要可做为在使用者计算机上安装新软件或新硬件过程中的一部分而到达使用者计算机。然而，在安装过程中并未使用到该摘要。反倒是，摘要会被复制到计算机的储存装置。稍后，当某种问题发生时，使用者会被告知利用多种方式来开启该摘要。在完成开启之后，使用者将会注意各种可应用于此特定状况及硬件/软件/环境配置的公告。在整个事件结束之后，通知会被关闭，并且或许在未来的某一时间将会再次使用。

其它通知机制

公告可以通过有别于一般通知读取器的接口而以其它方式呈现给使用者。例如：

·通过其它应用程序中的通知信箱：当使用另一种应用程序时，使用者可能被告知关联性公告的存在。此种通知系利用适于该种应用程序的机制。举例而言，当使用者从事另一项动作时，例如观看影片，其可以不会很唐突的方式告知使用者，例如以画中画(picture-in-picture)等方式。

·通过桌面/屏幕保护程序：当使用者并未使用应用程序时，其可能被告知关联性公告的存在。此种通知系利用预设的呈现方式。例如，桌面具有描述关联性公告存在的动画式图像。在另一个例子中，屏幕保护程序会呈现动画内容，其状况系指示装置的状态，例如受到公告影响的次系统。

·通过电子邮件：使用者可通过电子邮件的电子消息传输而被告知关联性公告的存在。此包括指出关联性公告之号码及类型的文字摘要，以及受影响之系统元件的号码及类型。

·通过消息传递：使用者可通过电子消息传输并驱动另一种形式的信息传输而被告知关联性公告的存在。此可包括标准的通信装置，例如寻呼机、电话及传真通信。举例而言，在使用者的装置连接到家中的计算机环境时，本发明将会检查该等装置的特性，并以紧急消息的方式寻呼使用者。若一公告被写成查询家中的温度，则当温度过高或过低时，该公告即成为具有关联性。假设该关联性公告系设置为使用数字与字母的寻呼方式，则使用者会被寻呼并指出家中的温度超过正常范围。

进行关联性评估的频率

截至目前所讨论的，关联性评估为一种由通知读取器所执行的程序。典型的实施例将会持续评估所有位于通知数据当中的通知，以评估其关联性、测量总CPU资源的使用量，并在时间间隔(如1秒钟)持续测量资源的消耗量而保持在可使用之CPU时间的某一比例以下。

典型的实施例可让使用者以三种方式涉入：

第一，让使用者设定控制持续计算中之CPU资源的参数。

第二，让使用者将公告集中到根据不同时间表进行评估的特别群体。例如，手动操作的群体只在手动的情况下进行评估，而夜间群体则只在使用者所指定的傍晚时间才进行评估。

第三，让使用者以手动的方式针对个别的通知设定评估的时间，同时以优先于所有群体成员之参数的方式来进行。

上述处理方式具有多种重要的变更：

·跳越评估：在某些环境中，可能不需要针对群体中的所有通知进行评估，而让所有通知通过该群体。例如，需要非常长之评估时间的通知将会定期地被跳过，或者根据在使用者计算机上执行的其它应用程序的CPU使用量而跳过。一项未经过评估的通知将会维持其原先评估的状态。

·根据作者的建议进行时间排程：在一种实施情况下，公告的作者能够指定关联性评估的时间排程。作者可将载明评估之时间排程的Evaluate-When条列纳入公告文档中。选项可纳入关联性评估的周期性时间排程、关联性评估的条件，或具有标准的评估时间排程的已知通知群体。

·根据通知读取器的分析进行排程：评估关联性的过程即类似于在计算机操作系统上执行各种不同的程序一样。利用传统的操作系统排程的概念，人们可将优先权指定给公告，并将较低的优先权指定给某些程序。上述略过评估的程序即为此种处理的特例。

关联性评估中的变更

模拟情况：在某些状况下(参照图17)，若使用者能够在有别于实际发生状况的环境下模拟通知的评估，则将会非常有用。

在通知读取器的实施当中，一种方法被提供用于模拟未曾取得的状况。此种通知读取器在方法调用发送者上有所变更。在此变更中，方法的名称及被调用的数据型态将会在方法发送之前与代理层173中的模拟表172进行比较。使用者可编辑171模拟表的内容。若没有相配的情况，则将依照一般的方式进行发送，亦即表达式树状结构计算器174所收到的公告系由方法发送者175发送。若出现相配的情况，则发送将会闲置，且该方法的值将通过查询模拟表的相关单元而取得。不论在何种情况，结果皆会通过代理层而被传送到系统，例如传送到系统检查器176或登录检查器177。

如上述之实施可让使用者进行状况的模拟。使用者可通过编辑模拟表，以及安装方法的名称与参用自变量及返回相关值的型态而以优先于一般关联性评估的方式进行处理。

依照上述方式，存在一种工具可用于：

·伪装通常会连接但目前无法使用之装置的存在；

·假设使用者的计算机经过某些变更，且未真正进行变更，则判断某一公告或一群公告是否已经失效(即成为无关联性)。

·判断产品的安装是否导致某些公告成为具有关联性。

此种处理方式具有多种其它的应用：

·使用者筛选：这是人们隐含了假设，使用者通常会想要检查来自所有网站的关联性公告。在实际情况下，使用者可能会对公告的筛选感到兴趣，并将注意力集中在来自于特定网站的项目；在来自于特定群体中，其将注意力集中于呈现Refers-to或Solution-Affects中之关键标示的公告。信任之提升本发明提供一种强大工具，其可将通知使用者与通知作者所提供之通知联系在一起。

在某些环境下，本发明必须意识到安全性及隐私权。关于安全性与隐私权考虑的进一步讨论，请参考以下之说明：

·通过公共网络(例如互联网)连接通知提供者以及通知使用者；

·典型的通知使用者为一般民众；以及

·通知提供者为大型公司或其它需要保护及提升其形象的企业。

在上述环境中，重要的是必须考虑到公共网络被广泛视为不安全的情况，并且提供工具让使用者及提供者皆可以明智的方式动作。

在此揭示的通信处理过程系设计用于支援通知使用者与通知提供者，使两者能够进行明智的动作。此处理过程的基础系在于使用者应该只和受到信任的提供者进行互动；而在此点上，本发明所提供的技术可支援使用者评估可靠度，以及支援提供者维护可靠度的状态。

信任的重要性

一般而言，可靠的通知网站具有许多特点：

·品质：使用者感知通知的动机、构想及执行皆良好。

·安全：使用者感知通知为安全的、不具伤害性，并且试图协助及仔细地测试和负责任地维护。

·隐密：使用者感知通知具有隐私权，其中并无窥探或窃听的意图，并且试图维护隐私权及仔细地设计和负责任地维护。

·关联性：使用者感知通知为紧密地目标锁定其关联性，而且并不会试图以消息广播的方式(此种方式在其它通信形式中称作“罐头猪肉”(spamming)，亦即将相同的消息传送给大量未要求传送消息的使用者)对范围广泛的使用者进行目标锁定，并且试图联系范围较小的使用者群体而专注于了解需要，同时会仔细地设计和负责任地维护。

本发明提供一些技术工具，其有助于使用者与提供者之间的开放通信，以导向适当的信任属性。在一种实施情况下，本发明提供若干机制，其可让有兴趣的提供者提升使用者对其信任度，以及让使用者得知如何分辨可靠与不可靠的提供者：

·揭示内容：通知提供者可揭示通知的潜在效应，并且描述测试当中或在工厂所得到的经验。

·发现：通知使用者可得知关于通知的潜在效应，以及关于其他人利用某些提供者或通知网站的经验。

·反馈：通知使用者可针对其所使用过的特定通知发表意见。

·修正：通知提供者能够撤回错误的通知。

·认证：通知提供者能够通过外部的分级服务而以安全及有效的方式寻求其自身网站的认证。此外，通知读取器能够隔开不符合使用者所制定之规格的通知。

以下将详细说明以上之机制。

揭示内容机制

本发明让使用者能够以人类可解读的消息单元来描述通知的潜在效应，以及关于提供者在测试当中或来自于使用者反馈的经验。

利用多种揭示的方法，通知提供者能够取得使用者的信任及可见度。

在一种实施情况下，提供者会提供更正式的文件说明以及通知之效应的监视，以使通知提供者能够揭示从潜在效应的名称到原型之关键字的揭示内容。

中央机构(例如Better Advice Bureau)会公布经过注册之关键字的列表，这些关键字系用于描述可能会受到解决方案建议影响之使用者计算机的次系统或其环境，或描述可能会影响个人隐私的解决方案建议。在制作通知的过程中，通知提供者系利用上述机制来揭示所建议之解决方案的潜在影响，其系通过Solution-Affects标头列中的原型关键字来完成。

在通知读取器之一种实施情况下，这些关键字可供查询及索引，且关联性评估为其辅助功能。

在一种实施情况下，可以支持方便使用者的功能，其利用以这些关键字为基础之使用户端的各种过滤功能。例如，当使用者暂时卸下CD-ROM而受到大量公告的困扰时，其可利用本项技术特征来简化其生活。该使用者可在关键字字段中宣告所有参照CD-ROM的公告皆不具关联性，而后再将CD-ROM卸下。依此方式，即使存在一般由没有安装CD-ROM所引发的公告，该使用者将不会看到这些公告。至于其它的机制，请参考以上关于模拟状况的说明。

使用者的信心亦可通过以这些关键字为基础的用户端过滤功能而加以支持。例如，假设可使用的关键字将使用者的身份透露给提供者。在此情况下，当使用本项技术特征时，提供者即揭示消息的效应。由于策略的缘故，不参加市场调查或类似的信息收集公告的使用者，将会指定含有此关键字的公告被视为不具关联性。依此方式，提供者尽其义务揭示公告，而信任该提供者的使用者则仅检查重要的消息以做为回报。

发现机制

在典型的实施例中，通知使用者可在应用所建议的解决方案操作者之前，先行自我告知通知的潜在影响。某些功能已利用当前的互联网技术达成。使用者可查询其它网站及搜寻引擎，以查看是否存在关于某一通知的新闻。

本发明系通过特殊的互联网服务器来扩充此种机制，其称作Better AdviceBureau。Better Advice Bureau系做为关于通知之效应与副作用之信息的中央检查所。使用者可在任何时刻查询Better Advice Bureau，并针对特定的公告或网站要求已经纪录的评论。

反馈机制

在典型的实施例中，通知使用者可将反馈提供给通知提供者以及描述使用该通知之经验的其它使用者。某些功能已利用当前的互联网技术达成。使用者可利用电子邮件及USENet新闻组而将关于使用某公告的经验告知其它使用者。

在一种实施情况下，本发明系通过特殊的互联网服务器来扩充此种机制，其称作Better Advice Bureau。Better Advice Bureau系做为关于通知之效应与副作用之信息的中央检查所。使用者可在任何时刻将特定的公告或网站的纪录评论提交给Better Advice Bureau网站(以下将加以说明)。Better Advice Bureau可将这些评论传送给能够对其响应的通知提供者。在一种实施情况下，BetterAdvice Bureau在寄送或张贴之前会消除使用者的身份数据，以保护使用者的身份。Better Advice Bureau将会编辑所有由使用者所提交的信息，同时将提供者的响应一并存入可通过网络查询的数据库。

在一种实施情况下，通知读取器可通过纳入一种自动建立标准公告显示之公告的简易方式，以提供直接取用此项技术特征，并将该公告提交给位于BetterAdvice Bureau的主管机构。例如，一按键设置做为通知浏览器视窗的一部分。由点击该按键，一寄送者视窗将会开启寄件者与接收者的地址，同时具有公告号码及所提供的主旨。而后，使用者能够随时通过一次点击选取而记录关于某一通知的评论。

修正机制

在典型的实施例中，通知提供者能够撤回刊登错误的通知。此工作系通过移除提供者之通知网站上的公告而达成。当订阅的通知读取器随着时间与提供者的网站进行同步化时，公告将会自动地从使用者的计算机上消失。

在某些环境下，上述处理并非主动的解决方案。例如，某些公告可能以通知读取器/通知网站模式以外的装置进行散布。由于某些使用者可能在其通知群体中拥有此种公告，但却没有相关的订阅，因此该等使用者需要对立的公告以进行处理。此种公告系做为与另一通知对立的通知。利用如上述之检查器词库，当使用者计算机在其主要的通知群体上拥有特定的通知时，其可写入有关联的公告。此种公告的典型样式如下：

The advisory 40139 which we released on 5/31/98 has been recalled，andwe recommend that you delete it from your advice system immediately.

If you agree to this，click the<DoIt>button below.

(signed)<Authors Name>

此种对立的通知系提交给UrgentAdviceNet而加以散布，其为一种所有通知读取器订阅的特殊通知网站。该通知将会快速地散布给使用者。

总之，本发明提供一种处理错误通知的程序如下：

·从通知网站上移除错误的公告。

·撰写对立的公告，并将该公告提交给UrgentAdviceNet。

·撰写较佳的公告。

·将较佳的公告放上提供者的通知网站。

认证机制

一种让使用者更进一步接受使用公告及相关解决方案的技术，系免除个别使用者决定消息之可靠度的负担。一种用于实施上述技术的方法系由位于中央网站的分级服务所提供，其根据已知的隐私及安全性的标准而为通知提供者提供服务，并对通知加以认证。根据目前现有的网站协定(参阅Khare，Rohit，DigitalSignature Label Architecture，The World Wide Web Journal，Vol.2，Number3，pp.49-64，Oreilly(Summer 1997)http：//www.w3.org/DSIG)，存在一种用于建立URL分级服务的方法，该方法系通过可信赖之认证消息团体来认证某分级机构所声称之某信息来源所包含的特性。该等声称的可靠度，亦即通知确实是经过该服务所认证而不是冒充者所提供，系建立在标准的认证与加密的装置上。应用上述技术即可在中央网站(例如下述之Better Advice Bureau)上设立分级服务，以证明某一通知系以一般能够接受的广告方式来操作，该技术可用于保护个人的身份，且通常具有良好的效果。通知的作者会将寻求可靠度认证的公告提交给认证机构，而后该认证机构会研究该等消息，并判断同意证明这些消息中的某些公告。在此，所谓的认证系指根据已知的标准，一特别的分级团体在消息中附加指示说明该消息确实由相关单位宣称具有某些属性。

在本发明之一实施例中，使用者能够选择以整体的方式使用一个或多个分级服务。此功能如下：

·分级服务系使用已知的格式，例如PICS(参阅Khare，Rohit，DigitalSignature Label Architecture，The World Wide Web Journal，Vo1.2，Number3，pp.49-64，Oreilly(Summer 1997)http：//www.w3.org/DSIG)，用于说明如通知网站及个别公告等来源的等级。

分级服务会公布用于分级系统中的描述性关键字的列表，例如BAB-Privacy-Standards-Comliant或不影响文档系统。

分级服务会标示利用其自行定义之标示系统的个别公告，并将这些标记插入公告而做为依照标准标示格式之等级区块，例如PICS。

分级服务系利用其自行定义的标示系统而将标记附加于网站的说明文档，并将这些标记插入网站的说明文档而做为依照标准标示格式之等级区块，例如PICS。

等级区块系通过与该服务及与部分分级标示标准相关的密码建立签名机制进行解释及认证。

·通知读取器的使用者接口经过扩充而包含新的元件，即认证管理员。该元件可让使用者仅在可信赖的隐私权分级的认证下，以及在具有使用者能够接受的性质下容许进行公告的关联性评估。举例而言，使用者可隔离未经Better AdviceBureau认证为BAB-Privacy-Standards-Compliant的公告，从而信任使用于其系统上的公告并不会将信息透露到外界而违反其隐私。

认证管理员具有两种界定的角色(或称为作用)：

·诱发使用者的需求：认证管理员在执行认证的过程中扮演重要的角色，其将可选择的潜在分级服务列表提供给使用者。当一服务被选取之后，认证管理员会从分级服务的URL取得经过定义的分级关键字列表，并容许使用者通过指定可靠的消息中必须包含(或不包含)特定的关键字或关键字的组合而设计一个过滤器。

·强制策略：认证管理员亦负责分析与验证与个别消息有关的分级，并将没有通过认证或不包含使用者所想要之属性的消息隔离开来。

特许的网站

在一种实施情况下，通知读取器经过硬件接线订阅的方式而预先设定三个特许的通知网站。这些内建式的订阅在确保本发明之安全性方面，扮演了重要的角色：其与本发明一同构成免疫系统。

advisories.com

advisories.com为一信息网站及FTP(文档传输协定)网站，其系通过通知读取器软件的制作者加以操作。此种网站可让全世界的使用者取得关于系统、通知读取器以及任何软件的消息及更新信息，或本发明之通信软件的更新信息。

advisories.com亦为散布订阅消息的可靠网站。经过数字认证的网站订阅文档可在互联网上许多的主要通知网站上找到。这些网站订阅文档系经过数字签名机制的签发，该机制可自动地让各个通知读取器的复制了解。这可提供重要的安全功能。即如以下针对安全性的说明，在刚开始订阅时，存在一个熟知且可靠的网站做为正确信息的来源非常重要。通过advisories.com取得网站订阅文档，使用者即具有某种程度的信心保证其可得到正确的订阅信息，并且不会轻易受到各种安全性问题的伤害。

advisories.com亦为一种散布及制作信息的网站，特别是规划制作常规。两种特定的常规已被提出：

·关键字协调：此系有关于通知作者利用公告揭示通知对于使用者计算机、装置或环境之潜在效应的方式。在advisories.com网站上可取得目前所采用之关键字的列表。

·使用者简况变量的规划：此系有关于一种机制，新的变量可通过该种机制并通过不同的通知提供者而加入使用者的简况。在advisories.com网站上可取得目前所采用之变量的格式及传播者的列表。

BetterAdviceBureau.org

BetterAdviceBureau.org系在互联网上兼具网页信息及通知的网站。该网站系致力于民用通信之通信协定的维护。

BetterAdviceBureau.org网站描述系统操作的原则、该系统为何有用，以及为何要保护安全性及隐私权。此外，该网站描述已知的风险并建议与该系统互动的程序。该网站系做为使用者抱怨公告之操作的信息交换所，并做为使用者研究关于其试图运用某一公告之经验的所在。

BetterAdviceBureau.org通知网站系所有通知读取器皆订阅的网站。该网站系以反对不良公告或不良网站的方式发出称作超越的通知或反对的通知。通过此种装置，使用者即可在安全性及隐私权的观点上得知通知程序中的危险情况，并采取正确的措施。

BetterAdviceBureau.org亦为散布分级信息的网站，特别是如上所述之某些分级常规的公告。根据由分级服务(参阅Khare，Rohit，Digital Signature LabelArchitecture，The World Wide Web Journal，Vo1.2 Number 3，pp.49-64 Oreilly(Summer 1997)，http：//www.w3.org/DSIG)所提供的判断标准，当中存在一般在网站上所接纳的分级资源的方法。在一种实施情况下，Better Advice Bureau的功能系做为隐私、安全性及个别公告之有用性的认证工具。在此种角色中，BetterAdvice Bureau会根据已知的分级格式(例如PICS)，将某些特定的分级区块纳入个别的公告中，并针对该等公告进行分级。Better Advice Bureau亦将解释该等区块所需的信息公布于其网站上，其中包括：

·用于分级系统中之描述性关键字的列表，例如BAB-Privacy-Standard-Compliant或不影响该文档系统(Does Not Affect file System)。

·与认证过程有关的公钥信息。

UrgentAdvice.net

UrgentAdviceNet可快速地将公告传送给所有的公告使用者，其谨慎地处理严重影响多数使用者的紧急情况。在一种实施情况下，UrgentAdviceNet优先进行同步化处理，每当进行任何同步化处理时，其亦一并进行同步化处理。

其它应用领域

截至目前为止，本文系针对本发明在关于技术支援方面的应用。以下为可应用本发明之其它应用的部分列表：

Consolidator.com

机票联营业者购买五十个在八月二十日从纽约飞往伦敦的座位。该联营业者想要将该等座位转售给旅客。此外，该联营业者与多个旅行社有所往来。

该联营业者可运用本发明，使其产品的行销更为有效率。该联营业者系做为通知提供者并制作公告，该公告的关联性列宣告一使用者存在于旅行社之客户数据库中，且该使用者在该日期或接近该日期已保留一张从纽约前往伦敦的机票。通知提供者可将该公告放置于它的通知网站上。

在上述例子中，不同的旅行社与机票联营业者一同操作，通知使用者各有其自己的计算机被设定于订阅该联营通知网站。该等使用者亦在其自己的计算机中安装了特殊的检查器，其可搜寻旅行社之客户数据库，以搜寻拥有特定旅游计划的使用者。公告会进入使用者的计算机中，并自动进行关联性的检查。在此，关联性系指拥有旅游计划的潜在旅游者。旅行社将联营业者所提供的降价机票提供给旅游者。而后，联营业者售出机票，而旅行社得到佣金。至此，所有的参与者皆得到益处。

CheapFlights.com

大型的航空公司经常在最后一分钟提供廉价机票费率的机会。航空公司希望机票能够符合在最后一分钟仍然想要前往某些城市的客户。该航空公司可运用本发明，使其产品的行销更为有效率。该航空公司系做为通知提供者并制作公告，该公告的关联性列宣告一使用者简况中存在表示想要前往某城市的期望。通知提供者可将该公告放置于它的通知网站上。

在潜在的旅游者中，通知使用者在其各自的计算机中设定订阅该航空公司的通知网站。使用者另外在其使用者简况中表示其希望在简短告知的情况下前往想要到达的城市。公告会进入使用者的计算机中，并自动进行关联性的检查。在此，关联性系指简短告知航班的机会。

Commodity.com

以上所描述的系统可在许多其它的商业领域中操作；例如，人们可建立如CheapConcerts.com及CheapHotelSuites.com，并以相似的原理进行操作。

在此点上加以延伸，利用本发明经营新型态的商品市场即为可能。在一种模式中(参照图18)，其中存在称作Commodity.com的中央网站，其功能为市场的创立者。此种设立在目前以分类广告所处理的环境中颇具吸引力，其中许多劳力系用于搜寻主要的市场。此处理过程如下：

·提供者将提供销售物品的公告提交给Commodity.com 180。

·Commodity.com通知网站的工作人员编辑并刊登该等公告181、182。

·使用者订阅Commodity.com 184。

·订阅者将关于喜好的信息输入使用者简况中189、190。

·关联性公告考虑符合使用者之喜好的物品。此过程系以上述之方式进行，其中通知读取器收集来自于Commodity.com的公告183。关联性评估系依照使用者简况来进行185，即利用使用者简况检查器加以检查186。而后，使用者检查有关联的商品187，并针对其中所包含的信息采取动作188。

BalanceTransfer.com

在财务服务的领域中，其中存在许多公司试图直接对客户行销特定的服务。这些服务包括拥有现金低利贷款服务的信用卡、从无法同时操作之财务工具进行信用余额转帐，以及提供抵押贷款等。

联系客户的工作昂贵且经常遭遇困难。有些使用者虽然有兴趣于财务服务的益处，但却不愿以电话或信件的方式进行联络。另外有些使用者不愿在电话中透露敏感的信息，而此种信息却往往为参与的必要信息。

以下为通过本发明所提供之财务服务的实例。此本发明之实施例系以中央化系统为例，然而其很容易成为非中央化系统。

·提供者将公告提交给BalanceTransfer.com，BalanceTransfer.com提供余额转帐给具有足够余额及收入的帐户。

·BalanceTransfer.com告知通知网站的工作人员进行公告的编辑及刊登。

·使用者订阅BalanceTransfer.com。

·使用者在使用者简况中填入关于信用卡余额、目前余额的利率以及收入的信息。

·通知读取器利用远端连线并在维护隐私的情况下查核余额。

·将有利于使用者的关联性服务提供给使用者。若公告经过良好的撰写，则该等公告可利用收入数据测试申请人是否经过认可。因此，关联性公告具有预先经过查核的可靠度。

此种公告具有多种变化。家庭贷款系以大致相同的方式进行操作。公告的撰写方式会提及与本金、当前利率及目前贷款的期限等有关的变量。若一公告提供一组较当前期限更佳的期限，则该公告具有关联性。

此种服务并非必须为全面中央化的。在一典型的变更中，个别的抵押经纪人可提供自己的通知网站。

BadPills.com

本发明可应用于各种使用者产品之警告撤回以及安全性公告。以下为一个实例。

BadPills.com为一网站，其中可取得关于药品及其交互作用的信息。以下将描述此网站如何操作来告知使用者群体关于可能发生的药品交互作用的风险。

·美国食品及药物管理局(FDA)及其它机构，例如药品制造商及使用者组织，会提出关于用药之交互作用及副作用的信息。各个公告皆具有以下的格式：

关联性子句宣称在使用者的药品数据库中存在当前会造成已知潜在伤害性交互作用的处方。

人可读懂的内容告知关于此种交互作用、告知药剂师其客户群体中具有该种交互作用，并敦促该药剂师改正此种状况。

·通知网站收集意见，并加以编辑及刊登。

·药剂师订阅该网站：药剂师必须在其本身的计算机上安装标准的药品使用者数据库检查器，以做为开始订阅的一部分。该检查器可检查数据库中的患者是否具有某种用药处方。

·药剂师的计算机定期收集公告。

·关联性评估查询药品使用者数据库检查器。

·数据库检查器处理药品数据库。

·关联性消息提供给危险的药品并用。

上述之本发明的实施例具有多种变化形式。通过医师与患者数据库检查器，即可为医师提供相似的服务，其中医师可在其办公室的计算机上追踪登录的患者。通过个别的健康记录数据库检查器，即可为患者提供相似的服务，其中患者可将自己登录于使用者简况。一种简化以上程序的方式系拥有信息交换程序，其可让使用者在远端查询与自身有关的药品数据库。

群体匿名通信

假设群体G希望与提供者P进行匿名通信。在群体G当中的个体分布广泛且彼此不认识。此时，本发明可建立一种用于提供双向匿名通信的网站。

此种通信可广泛运用并提供许多人使用。对于参与者的匿名性而言，重要的是，系统系提供来自不同群体之不同个人来使用。

此种网站一种匿名刊登的通知网站，其中任何传送到特定地址的电子邮件皆会去掉其识别身份，并刊登在该通知网站。该等通知网站系以完全自动化的方式操作。此网站可称作SecretFriends.org。

此网站可连同私钥暨公钥加密系统一同使用。安全的离线系指一种代理群体G安排与群体P进行通信的系统。代理群体会将为群体G所建立的公钥传送给群体P，以便于在此进行的讨论。此公钥并非真正为公开的，而仅有群体G与群体P知道，其所以被称作公钥系由于其为一般公钥暨私钥系统之标准应用程序所制作的公共钥匙。此公钥仅传送给群体P。同样地，代理群体会将特别建立的公钥从群体P传送到群体G。

群体G与群体P系以下方式进行消息的交换：

·订阅SecretFriends.org。

·制作仅与持有其所发行之公钥有关之使用者的消息。

·利用匿名转送器或其它装置，将加密的消息刊登于SecretFriends.org。

上述之处理方式提供如下的匿名通信：参与者的通知读取器与SecretFriends.org进行同步处理。在可能的情况下，将可取得真正经过加密之消息的大量公告。通知读取器仅会显示真正利用所指定之钥匙进行加密的消息，其余消息皆会被抛弃。而后，关联性公告会被加密及读取。

上述处理可提供符合AEUP协定的匿名性，因为假设许多不同的人使用SecretFriends.org，则大量被置放的消息当中只有少部分为某一读取器感到兴趣。由于AEUP之结构的缘故，在通知网站上观察处理过程的人无法分辨对于使用者具有关联性的消息。

敏感性产品信息的散布

在特定环境中，群体匿名通信的变化被提供做为使用者的信息服务，在此种服务中，产品的使用者不希望公开其所使用的产品；例如，抗精神病用药的使用者或正在进行癌症治疗的患者。

敏感性产品的使用会被给予购买产品所附带的数值码，以做为(秘密的)公钥。而后该使用者订阅经过预先规划的特定通知网站，例如SecretFriends.org，或整个工业联盟的网站，例如DrugInfo.org。该等使用者在其订阅中指定(秘密的)公钥。通知读取器会定期与该网站进行同步化，并将某些有关联的产品带入公告，其它则与该产品无关。只有与特定药物有关的公告才会通过数字签名的试验而成为有关联。

安全性议题

当在此揭示之本发明以上述之方式加以实施并应用于技术支援领域时，其亦可在重要的环境下操作。实施的系统通常会自动与互联网产生互动，并且在不需人为监督之下取得及使用来自远端计算机的资源。这些资源将会在使用者的计算机上保留一段时间，并定期评估其关联性。当关联性公告被识别之后，通知读取器会将该关联性公告的解释性内容呈现给使用者。该解释性内容可能会提议使用者针对计算机、连接的装置或其它对象采取动作而产生某些效果。若使用者同意采取动作，则这些动作通常会自动执行。

总之，通知读取器会将经过自动处理的文件引介给使用者，并在处理过后向使用者提议潜在永久性变更计算机或其环境。网络专家一致认为，在网络上进行未经监督的互动是非常危险的(参阅Anonymous(1997)Maximum Security，Sams.net Publishing，Indianapolis；Oaks，S.(1998)，Java Security，Oreilly，Sebastopol，CA；以及Baker，R.H.(1995)Network Security，McGraw-Hill，NewYork)。事实上，本发明在标准的操作模式下并不会使通知使用者或通知提供者暴露于风险性大于一般使用电子邮件、网站浏览器以及相关互联网工具所涉及之基线风险性的环境。该等互联网的互动模式所涉及的风险性在目前已被视为可接受的范围。本发明在典型的操作模式下，其风险性更低。

初步评论

两个基本点是我们感兴趣：

·可靠的网站：可靠的概念已在上文中讨论过。使用者应该只订阅其熟知的通知网站，以提供可靠的通知。事实上，使用者通常会将其通知读取器设定为订阅来自大型企业的通知为主，该等大型企业生产使用者所关注的物品及服务，例如：计算机制造商、软件发行者，或是互联网服务的提供者。此种订阅大型机构的类型为非常安全的举动。该等机构会关注于提供可靠的通知，以便与其客户维持密切的关系。可预期的是，订阅此种由大型企业所制作之通知的使用者将会承受非常低的风险。

·Better Advice Bureau：以上所述之BetterAdviceBureau.org为确保本发明之使用者的安全性及隐私权的基本工具。所有本发明的使用者皆订阅该网站。此网站会编辑反对的通知，并告知使用者关于危险网站以及关于流通当中的不良通知。Better Advice Bureau在本发明之某些技术样态中系做为本发明之免疫系统，其可更正危险的情况。UrgentAdviceNet为另一个可供所有使用者订阅的网站，其提供特殊的机制，用以将非常紧急的通知传送给使用者群体。

不具高度简况风险

以下关于安全性的讨论系考虑在互联网互动上为人熟知的风险，接着解释这些风险确实不会发生在本发明之典型的实施当中。

高度简况风险的详细记载

互联网操作曾经在过去遭受到一些主动的威胁，该等威胁可以大众印象中的三种图像来代表。

·非法侵入：Kevin Mitnick案件。在过去数年中，Mitnick利用互联网以系统化的方式侵入全世界的计算机，他蓄意使某些计算机崩溃或使其永久失去数据。虽然Mitnick可被视为某种恶意的天才，但是实际上，互联网上的网站已给予如何侵入五角大楼计算机的线索。五角大楼于1997年所主导的实验显示，利用公众可取得的信息，一个人在实际上能够进入机密性的DOD计算机，并使文档造成永久性的损害。

·攻击事件：目前的互联网可提供免费的软件，其可让使用者在互联网上攻击其他人的计算机并导致计算机崩溃。基本的策略是连接所欲攻击之受害者的不同TCP/IP端口服务器，并将服务的请求涌入该服务器(参阅Anonymous，MaximumSecurity，Sams.Net 1997)。

·破坏程序(worm)：Robert Morris，Jr事件。在1988年的著名事件中，Morris释出一种破坏程序，其快速地在互联网上散布并自我安装于许多计算机中，而当在该等计算机中执行时，此破坏程序再将其散布于其它计算机。事实上，Morris只想恶作剧而已，他为此破坏程序的快速散布感到惊讶，而且消除此破坏程序以及恢复受影响的计算机需要大量时间。该破坏程序的巨大破坏性系源自于其具有自动散布的能力，并可在任何能够到达的计算机上自动执行。上述事件生动地表达通过互联网上自动散布可执行码所可能引发的危险(参阅Pfleeger，Securityin Computing，Prentice Hall，1996)。

使用者不会暴露于高度简况风险

通知读取器不会导致使用者暴露高度简况来源而超出目前所承受的基线风险。

通知读取器不易受到侵入的破坏，因为它不提供侵入所需的任何使用者与系统接口的登入。

通知读取器不会致使使用者的计算机在超出现行互联网连接所面对的风险下，额外受到攻击的危险。

通知读取器不会增加风险，因为它不会永久开启可能会涌入大量要求的TCP/IP端口。外界无法试图与通知读取器沟通或进行交互作用。

通知读取器不会使网络暴露于任何破坏程序的威胁。典型的结构中，系统并不会提供任何的机制，使得任何对象皆可从一通知读取器散布到另一通知读取器。

服务器暴露

以下考虑本发明之服务器受到主动威胁的受害性。本发明之服务器如同所有建立在互联网上的服务器一般，其目的在于将服务提供给外界。该等服务可在互联网上见到，并且全时间开放做为商业交易。

本发明不会受到侵入的破坏，因为其不提供侵入所需的任何使用者与系统接口的登入。然而，服务器仍然可能会如同互联网上的所有服务器一样涌入大量的要求。目前已有为人熟知的技术来克服此种涌入大量要求的情况，而且专业的网站操作者了解该种技术。本发明之服务器端的使用者皆为专家，其具备充分的技术能够评估并针对此种标准类型的威胁做出反应。

本发明之服务器不会使服务器暴露于任何破坏程序的威胁。在典型的配置中，本系统不会提供任何的机制，使得任何对象可从一通知读取器散布到另一通知读取器，亦不会使范围非常窄的功能以外的任何对象在服务器上执行。

受到保护的影响

在某种程度上，本发明确实有助于免除破坏程序、侵入及攻击的破坏。通知传送的机制可让网络安全人员建立警告用的公告，以便当使用者的操作方式可能导致通道开启而受到恶意破坏时，警告使用者此种状况。通知传送的机制亦可让网络安全人员制作用于侦错的公告，其可检查使用者的计算机是否正受到破坏或最近已遭受破坏。依此方式，本发明之功能为一种免疫系统，其可快速地散布修正的通知。

受骗的风险

实际上，本发明之交互作用并非完全不用监督。通知读取器只和使用者已经订阅的通知网站进行沟通。因此，在选择订阅时，使用者已经行使永久性的高程度监督。若使用者只订阅积极提供可靠通知之机构所提供的网站，则使用者即可受到保护。个人制作有害的通知并不会合法地强制将该通知引入任何特定的通知读取器。

在现行的威胁中，有一种非常重要的类别不为人熟知，即诈骗的破坏。在此种类别中，落入互联网位置的诈骗中即使用者以为他是与某一可靠的网站沟通，但实际上却是与诈骗者网站沟通。另一种诈骗系使用表面上为标准应用程序的潜伏程序，但实际上不是，因而以某些方式破坏隐私及安全性(参阅Anonymous，Maximum Security，Sams.Net，1997)。

DNS诈骗行为

在此种情况下，诈骗者建立类似受欢迎及可靠之网站的翻版，例如MicroComp网站。然而，诈骗者的网站另包含有害的通知。

DNS诈骗提供一种途径，使诈骗者的网站由网络上的某些使用者看来如同真正的MicroComp一样。此种方式只有在目前的网络协定之下才会发生，其中诈骗者干扰某些使用者的DNS查询过程，并将特定使用者针对MicroComp所提出的通知要求加以误导。

DNS诈骗的操作方式如下：诈骗者必须能够在系统的层级上取用互联网上的装置，该装置在实际上系位于拦截特定网域名称服务器(DNS)所提供之某些网域名称解析要求的位置。诈骗者以程序致使IP路由逻辑检查寻找MicroComp但却被拦截的要求，并将错误的TCP/IP地址返回，而且返回的地址系指向诈骗者的伪装通知网站。当通知读取器试图前往MicroComp的通知网站时，所有位于诈骗者下游的通知读取器皆将被误导至伪装的通知网站。伪装网站的外表和真正的网站一样，但却在伪装成可靠的提供者之下散布有害的通知。总之，通过DNS诈骗行为，攻击者可将有害的通知直接引入一台以上计算机。

此种活动在现行的联邦法规下已构成诈骗的犯罪行为。此种诈骗行为据报导非常罕见(参阅Anonymous(1997)Maximum Security，Sams.net Publishing，Indianapolis)。此外，能够进行此种诈骗类型的犯罪者将会发现，使用本发明之系统与其它目标相较之下，较不具吸引性。举例而言，网络书店及软件批发商等大中型电子商务网站的DNS诈骗对于诈骗者而言较具吸引性，因为若诈骗成功则可得到更多的利益。的确，诈骗者能够伪装成某一零售商的网站，且具有如同真正网站的网页外表。假的网站含有使用者填写用于进行交易的表格。在现实情况下，该等表格系用于获取关于信用卡号码或其它敏感的财物数据。上述情况对于诈骗者的DNS诈骗计划而言，似乎为更直接获取利益的方式。

此种活动仅会影响大型公共网络(如互联网)的一部分使用者。举例而言，若一使用者乐于与一DNS服务器进行安全的连线，同时假设该服务器上信息系被安全地保存，则DNS诈骗对于该特定使用者而言并无实质上的威胁。在大部分的中大型企业中，DNS服务系由企业内部网络来提供。假设诈骗者位于企业外部，则对于企业内部的通知使用者而言，此诈骗的威胁可通过企业内部的安全性装置(即防火墙)加以阻挡。有些非企业性的通知使用者系通过实际位于调制解调器附近之互联网上的互联网服务提供者而享有互联网连线。若诈骗者并非位于互联网服务提供者之办公室的实际区域，则使用该DNS服务的使用者亦不会受到DNS诈骗的伤害。

实际上，诈骗行为的威胁只会发生在依赖不安全的DNS连线的通知读取器。在未来的网络协定中，DNS连线可加以数字认证，而在此种环境下，诈骗的威胁即可被阻挡。在该种网络协定到来之前，本发明具有一种在现行区域针对通知本身运用数字认证的方式，用以阻挡诈骗的威胁。通知的数字认证亦为使用安全DNS连线之使用者所瞩目，因为在某些实施例中，通知可能被不安全的装置所散布，例如电子邮件或窃取者网络。通知的数字认证可让使用者对于其所收到的通知获得额外的信心。

在本发明的典型实施例中，数字认证用语系指利用现行的数字签名机制，其系以称作公钥/私钥对为基础的机制(参阅PGP 4.0 Users Manual，PGP Pretty GoodPrivacy，Inc.(1997))。此种机制已发展成为清楚了解、成熟且可靠的标准。其它型式的数字认证亦可运用而同样有效。

以下将描述公钥暨私钥对机制如何用于通知的认证。通知提供者(例如MicroComp)可取得公钥暨私钥对，而其中提供者仅秘密知道私钥。如下所述，通知提供者将会采取步骤而公开正确的公钥。知道公钥暨私钥对的提供者会将签名区块附加在每一项公告上，而该数字区区块已经过知道正确的公钥的通知读取器成功地解读。通知读取器能够解读区块即证明作者知道两钥匙，而此亦证明作者确实为MicroComp。在典型的实施例中，使用者接口元件会告知使用者，一给定的通知已经过MicroComp签名。上述过程的精确意义为，签名区块已利用已知的公钥而成功地解读。

本发明用于避免受到DNS诈骗之威胁的机制涉及使用者及提供者两者的动作。提供者制作网站的说明文档，其包含有关于订阅信息的列表，其中包括网站的位置以及网站之数字签名的公钥。该提供者会公布网站的说明文档，例如磁盘或CD-ROM等实际媒介，以做为MicroComp发行软件产品的一部分。依此方式，许多使用者可通过安全的装置取得网站说明文档的拷贝。进行订阅MicroComp的使用者会将MicroComp的网站说明文档提交给通知读取器的订阅管理员。不论何时制作公告，提供者皆会附上数字签名区块。不论何时收到通知，通知读取器会检查数字签名是否已成功地利用读取器所知道对应MicroComp的公钥而加以解读。除非该通知通过此项试验，否则通知读取器将会拒绝评估该通知的关联性。读取器亦告知使用者存在来自于一网站且未经签名的通知，而该网站的说明文档指称该网站仅提供经过签名的通知。读取器亦将上述情况通知Better Advice Bureau。

为了观察此种处理方式为何能够避免受到DNS诈骗的伤害，重要的是应了解公钥暨私钥系统的基本特性。一般皆承认，诈骗者在试图仿制MicroComp.com的数字签名时，其将面对非常艰困的处境。上述结论系基于以下的假设：诈骗者必须利用仅可由与加密技术相关的公开信息而制作成功的仿制签名；亦即诈骗者并不能直接取用MicroComp的私钥。对于诈骗者而言，由公开的信息来正确地仿制签名，在计算上为非常艰难的工作(参阅C.Pfleeger，Security in Computing，Second Edition，Prentice-Hall(1996)；以及PGP 4.0 Users Manual，PGP PrettyGood Privacy，Inc.(1997))。同样艰难的计算工作系在于针对数百或数千数字之整数加以因数分解成质因数的工作。利用数千台以网络连接的计算机工作站进行数月的计算，仅可能针对150至200数字的数进行因数分解。何况上述之计算只可由科学合作企业来达成。诈骗者实在不可能利用所需的资源而成功地针对一般运用于签名之演算法的整数长度进行因数分解。再者，亦存在一种简易的补救办法，亦即将钥匙的数字加倍，以使因数分解的工作超出当前可取用之计算资源的能力。

总之，诈骗者几乎不可能利用真正的MicroComp公钥所能了解的数字签名来制作通知。除非诈骗者能够达成此目的，否则通知读取器将会拒绝评估通知的关联性，因而诈骗者的通知并无实质上的威胁。

钥匙诈骗

钥匙诈骗为数字认证系统中的明显漏洞。在此情况下，使用者的通知读取器在某种程度上接受不正确的MicroComp公钥，亦即不是用于MicroComp的正确钥匙，而是诈骗者的公钥/私钥对的公钥。若发生上述情况，则通知读取器会被蒙骗，因为通知读取器会将诈骗者的通知误认为有效的。然而，本发明的设计可避免发生上述情况。

钥匙诈骗的发生势必由于使用者采用不安全的信道取得网站说明文档而开始订阅所造成，例如从实际媒介安装原始软件。诈骗者势必要制作伪造的网站说明文档，并将这些文档散布于互联网上。

本发明之典型的实施例不会被钥匙诈骗所蒙骗。有三种机制用于避免被蒙骗，其任何组合皆具有效果：

·网站说明文档的认证：在一种实施情况下，网站说明文档含有中央机构Better Advice Bureau的数字签名，用以证明该网站说明文档确实经过MicroComp认证。Better Advice Bureau的数字签名系硬线接线到通知读取器，因而能够避免Better Advice Bureau认证诈骗的可能性。

·防诈骗钥匙验证：在订阅管理员的典型实施中，其将会在记录订阅之前先进行钥匙的验证。订阅管理员包含硬线接线的信息，使其与钥匙认证服务器的硬线接线IP之间建立直接的TCP/IP连线。此种服务器会依照其所宣称的方式来验证被给定的机构公钥。由于服务器的联系地址系硬线接线到程序，因此存取钥匙服务器的过程不会发生DNS诈骗。

·反对通知：若某一网站已被诈骗，则必须提交一份公告给BetterAdviceBureau.org，并分送给所有的通知读取器，因为BetterAdviceBureau.org为内建的订阅。该公告将宣称与该网站所附带之正确公钥的值。拥有不正确之公钥的使用者将会被告知解释所牵涉之风险的关联性公告。若事件特别地紧急，则会使用UrgentAdviceNet。

总之，若通知读取器及其订阅已经过适当的设定，则当通知提供者以数字方式签发公告时，通知使用者即可避免受到诈骗。

降低诈骗威胁的风除

DNS诈骗为互联网之安全性的严重威胁，其不仅会威胁本发明之系统，并且会威胁到互联网上的其它部分，特别是电子商务。BetterAdviceBureau.org及UrgentAdviceNet两者系有助于封锁通知之诈骗的重要手段。

BetterAdviceBureau.org及UrgentAdviceNet系有助于封锁互联网活动之诈骗的重要手段。运用此种组合即可降低在互联网上受到诈骗的可能性，同时亦可降低本发明以外之诈骗的可能性。

通知读取器之潜伏程序

本发明之安全性系统中的另一潜在性缺失系合法通知读取器之可执行二进制的备份，可能会被攻击者取得，而后再以系统化的方式加以变更而加入各种新的行为。最后产生的非法读取器将会重新在互联网上散布，且以伪装成合法通知读取器之备份的姿态出现，并经过不知情的使用者下载使用。没有方法能够阻止此种非法读取器的产生，也没有方法阻止非法软件工具之备份呈现非常具破坏的行为。全世界的互联网社群之使用者皆了解上述情况。任何在互联网上从非正统的提供者网站下载软件的人皆将自己暴露于危险当中，而不论下载的软件为文字编辑器、试算表、网站浏览器或通知读取器。

然而，人们所关注的是危及使用者之安全性及隐私权的非法潜伏的读取器，而非造成破坏者。此种潜伏的读取器含有能够逃过不定期侦测的细微特性，并让使用者的环境产生细微的变化，或收集及转寄关于该使用者的重要信息。同样地，本发明对于此种变更并不会比其它软件更容易受到破坏。无论如何，在本发明的典型实施例中，其包括两种用于识别潜伏软件之存在的机制，且有助于修正此种状况。

·服务器查问：此实施系本发明之服务器-读取器互动协定的一部分。服务器的典型实施系通过交换预设控制信号(handshaking)程序而开始与通知读取器进行沟通，其中该服务器会查问通知读取器，以要求证明其本身为合法的通知读取器。在典型的实施中，通知读取器会在偏离程序的已知起始位置，利用动态的方式在存储器中写入而建立某些具有已知特性的数据区块。建立此种数据的方法及其目的会加以保密。服务器系选取该数据中的任意区块，并询问通知读取器与该区块相关的正确数字摘要。若程序已经过变更，则可执行码不易正确地答复查问。若服务器没有收到满意的答复，则该服务器会将通知传送到自动化关联的读取器，并告知该使用者的通知读取器不正确。通知读取器亦可拒绝与没有通过数字认证试验的服务器进行互动。

·通知查问：在BetterAdviceBureau.org网站，本发明提供一种通知，其内容可用于查核已安装本发明的有效配置。该通知可每天变更而宣称CPU存储器中的特定数据区块，同时该通知读取器正在执行中，且具有某些数字摘要。该等区块可通过Better Advice Bureau.org机构随机选取，或当潜伏程序通过位于特定位置之二进制数据中的特定主题加以检查时，则根据设计而定。

总之，本发明可判断分析潜伏程序，并将其告知使用者。

降低潜伏程序的威胁

潜伏程序为互联网之安全性的严重威胁，其不仅会威胁本发明之系统，并且会威胁到互联网上的其它部分，特别是电子商务。BetterAdviceBureau.org及UrgentAdviceNet两者系有助于封锁通知之诈骗的重要手段，对于潜伏程序而言亦如此。BetterAdviceBureau.org及UrgentAdviceNet亦为有助于封锁潜伏应用程序的重要手段。运用这些手段可降低在互联网上受到潜伏程序活动破坏的可能性，同时亦可降低本发明以外之潜伏活动的可能性。

无法减低的核心风险

由可靠的作者出于善意所提供之有缺陷的通知将会造成威胁。通知的作者为了良好的声誉而使其愿意提供优良的通知。通知提供者在一核心应用领域中(例如技术支援)为复杂机构的一部分，该机构以受过训练的方式来处理事情。该等通知提供者了解通知应该经过安全性及有效性的测试，并以谨慎及阶段性的方式发行。因此，在技术支援领域中的通知仅有非常少数会有缺陷。然而，可靠的通知提供者偶尔也会制作出有问题的通知。

通知所可能引发的风险有下列两种：

第一，在通知的收集及评估中存在风险。

其次，在解决方案的处理过程中存在风险，亦即使用者响应由关联性公告针对问题状况所提供的解决方案。以目前而言，第二种的风险较大。当使用者同意一项解决方案时，其让功能强大的动作产生永久性的结果。通知读取器无法针对错误或蓄意破坏的解决方案提供任何的保护措施。安全性的责任反倒是落在使用者身上，其应该始终将订阅限制在为人熟知且可靠的网站，而且使用者必须在接受一公告所提议的解决方案之前，先行仔细检查公告来源的说明及可靠性。在典型的配置中，本发明并不会自动地执行解决方案操作者，因为使用者有必要加以监督。

对于第一种风险来说，及在收集及评估通知的过程中，本发明特别设计用于限制此风险。

在典型的情况下，本发明的确用于不需人为参与的自动化模式。在此种模式中，公告系从外部的通知网站收集而不需要使用者的介入，并且在不需使用者介入的情况下自动评估其关联性。如上所述，互联网专家一致认为，不需人为介入的自动化操作具有严重的风险。

然而，本发明不会任意下载资源，亦不会评估任意的可执行码。本发明之设计对于自动流入使用者计算机的信息会加以限制，同时会针对自动评估的效应加以限制。这些限制系特别设计用于避免自动操作的已知风险。

在典型的配置下，本发明并不会自动执行解决方案操作者，亦不会执行未经人为介入的操作。在此典型的配置下，在系统上所进行的自动操作并不会产生直接的效果，亦即通知读取器不会修改系统环境之特定部分的存取。效果反倒是以间接的方式产生，亦即在下载及进行通知评估过程中消耗过多资源的副作用。相关的副作用有下列三种类型：

(a)收集通知的过程独占所有的网络带宽。

(b)收集通知的过程可能充斥近端的储存装置。

(c)关联性评估的过程可能消耗所有的CPU时钟周期。

问题(a)及(b)可利用资源的定量分配来解决。能够流入使用者计算机的信息包括ASCII文字文档。通过限制下载时间的配额，本系统可避免过度使用网络资源的可能性，并且避免数据量大的文档下载到计算机而耗费处理器及储存装置的容量。问题(c)亦可部分通过资源的定量分配来解决。通过计量监督CPU的使用量并限制资源的配额，本发明可解决该上述问题。

本发明之安全性支援

本发明在多个方面被设计用于支援安全性的特质。

语言结构

关联性语言为机动码(mobile code)的一个例子。此种程序码系通过作者于一台计算机上撰写以用于解释另一台计算机。近来，用于机动码的安全性语言的发展已引起广泛的注意(参阅S.Oaks，Java Security，Oreilly(1998)；以及N.Borenstein，Email with a mind of its own：The Sage-TCL Language for Enablemail，http：//minsky.med.Virginia.edu：80/sdm7g/Projects/Python/safe-tcl/)。Java及Safe-TCL两种程序语言即为所谓的安全性语言，亦即两者可提供传统的C及C++语言所无法提供的安全等级。

关联性语言系一种用于机动编码的语言。该语言所提供的保护程度超过目前互联网商业社群之安全等级的基准。基本上，用于机动码之关联性语言的解译比安全性语言(如Java与TCL)更安全。Java、TCL及关联性语言系程序化语言。这些语言包含如回路、递归及分支叙述等控制特性，滥用该等控制特性将会消耗大量系统CPU的资源。这些语言亦提供作者执行储存配置的功能，滥用该功能将会潜在性地大量消耗系统存储器的资源。尽管其标示为安全的程序码，从网络上取得该等语言的程序码执行自动操作，在实际上为危险的操作。事实上，该等机动码通常只在人为操作之下进行操作。举例而言，机动性的Java程序码通常系用于网站浏览器，而当程序码执行时，人们可观看屏幕，此意味人们可以监督执行的过程。

关联性语言系一种描述性语言，而不是程序性语言，其描述计算机及其环境的状态。关联性评估系一种判断此状态是否成立的过程。状态的描述系使用一种不会呈现传统的控制结构(如回路)的语言，该语言亦不具传统的储存位置配置功能。

事实上，关联性语言受到非常紧密的限制，以致其并非完整的图灵(Tuning)。关联性语言不会遇到著名的图灵终止问题，而此种问题一般是出现在程序性语言。图灵终止问题系在于决定一给定的计算机程序是否会终止。大部分的程序性语言不具决定性，其包含或许为简单的程序，并且无法事先得知该程序是否终将会终止。Java及TCL语言可能不具决定性。在明显的对照下，以关联性语言所表达的叙述具有决定性，亦即程序将会终止。此特性为另一个Java及TCL语言所无法保证的安全性。

人们的可理解性

本发明之另一项安全性特点系在于人类对于关联性语言的可理解性。关联性语言的外貌可让人联想到一般的英文。能够研读英文的使用者可通过检查公告的纯文字而大致了解被给定之公告的作用。依此方式，使用者即可理解送给他们的公告。虽然不可靠的通知提供者可能会通过撰写难以理解的关联性子句而伪装其意图，但更重要的是，可靠的通知提供者能够使其意图明确呈现给使用者，以取得并培养信任。

揭露及标示

在一种实施情况下，本发明提供一种机制，其可鼓励通知提供者将所欲产生的效果清楚标示于公告中，从而为大众提供对于给定解决方案操作者所伴随之风险的正确认知。

在此实施例中，Better Advice Bureau定义并维护特殊标示的列表，该等标示指出特定解决方案操作者的效应；例如，将会有所影响的次系统、效应能够回复的程度，以及进一步解释所建议变更之文件的取得方式等。通知提供者系利用此标示系统来描述通过该提供者所公布之公告的效应。通知读取器系在解决方案的建议过程中，利用此标示机制做为使用者接口的一部分。当使用者试图运用解决方案操作者时，部分的使用者接口会根据提供者所提供的标示而为使用者指出可能产生副作用的类型。

使用者及提供者皆在中央分类的指导之下，其对于了解及探讨系统变更的副作用具有共同的方式。Better Advice Bureau会针对不实标示其公告效应的公告发出反对公告。通知读取器会利用清晰可见的识别符，用以警告具有严重效应的通知，以及警告未加标示其效应的通知。使用者可拒绝接受未加标示之建议的解决方案操作者，或拒绝订阅制作未经标示之操作者的网站。

安全性结论

目前存在许多危及使用者之安全性的非法活动。然而，本发明之系统已经过设计而具有防卫的有效装置。本发明并不会让使用者承担高于目前使用电子邮件及网络浏览所承担的风险，事实上，本发明所涉及的风险远低于从事标准活动所承担的风险。

此外，可靠的通知提供者亦可能发出有害的通知。根据本发明所设计的系统能够控制并修正此种状况。无心的错误所造成的伤害程度会被控制，因为通知只会被有限的系统资源部分存取，例如磁盘储存空间及CPU时间，而且在典型的实施例中，该等资源的使用会被监视及定量分配。通知文档的结构及其所伴随的关联性语言对于使用者而言为明显易懂，如此将有助于使用者本身扮演促进其安全性的角色。最后，经过公告的处理过程、Better Advice Bureau以及UrgentAdviceNet的处理，本发明包含以自动化修正安全性问题的机制。

隐私权议题

通知读取器可以获取大量关于使用者计算机的信息、关于使用者计算机上的文档内容，以及关于计算机与当前环境中的装置之间的交互作用。在典型的实施例中，通知读取器能够存取使用者计算机上关于使用者的财物、个人或医药事项，并取决于使用者储存该等信息的程度而定，例如银行存款余额以及医药处方等。使用者计算机的家用或工作的部分环境系构成其计算机连上网络装置的范围，通知读取器能够存取与该环境有关的信息，例如该环境中是否存在某些装置、该等装置是否正在用作，以及操作的状况为何等等。本发明之该项功能系有益于使用者，其有助于撰写指出问题状况的有用通知，以便提醒使用者。

本发明所存取的信息中，大部分具有潜在的敏感性，而且大部分的使用者在不知情的情况下将这些信息透露给陌生人。任何能够存取此种信息的系统亦必须能够保护信息。如下所述，通知读取器能够保护使用者的隐私。

现存的互联网隐私权标准

本发明的设计可保障使用者的隐私，其所提供的保护程度远高于目前互联网商业社群所采行的基准。

以互联网为中介的活动，例如网络浏览及线上购物等，可能会导致使用者将使用者的身份、计算机配置以及某些关于使用者购物及浏览喜好的信息透露给网站服务器。目前并没有单独可接受的隐私标准，而且专门从与其网站进行互动进行收集关于使用者信息并共享关于使用者之信息的工业团体已经组成。着眼于使用者之利益的团体，例如电子隐私信息中心(Electronic Privacy InformationCenter，EPIC)，已经组成以做为响应；此外，目前存在使用者之电子隐私权的政治争论。

本发明提供一种方法，其符合或超越使用者团体对于信息隐私的期望，并且为工业团体提供一种方法，使其能够将精细筛选目标锁定的消息提供给所欲目标锁定的接收者。

通过考虑重视/忽略隐私之动作的分类即可了解本发明的标准。通知提供者的规范标准分为四种类型，以下为其定义：

(Ea)完全符合规范的

(Eb)稍具规范的

(Ec)仅为合法的

(Ed)犯罪的

信息提供者之完全符合规范的行为系定义为完全尊重使用者的隐私，以及本发明之通信协定的目的。具有完全符合规范的提供者具备：

·其不会非法挪用使用者社群的身份或监督；特别是，其将不会：

试图从服务器的活动来推断任何使用者的身份或属性；

试图从网络的活动来推断任何使用者的身份或属性；以及

·不会将互联网做为单纯播送广告的媒体，并且不会在未经要求的情况下，与所有或大部分的使用者建立联系而使用者被动地收到消息。

·其将数据收集动作的存在及目的完全让使用者知晓。

·其不会将收集得来的信息以无涉于所揭示之信息收集目的的方式加以运用。

·其不会将由问卷所得来的信息关联于服务器或网络的未来活动。

完全符合规范的行为系一种远高于目前在互联网商业社群中多数作者所遵守的标准。目前在互联网商业社群中，对于使用者的隐私权具有范围广泛的态度及行为。许多例子只能够被归为稍具规范的或仅为合法的行为。

稍具规范的行为系指从互联网活动推知使用者的身份及属性，同时会注意到泄漏隐私的可能性，尊重提供者与使用者之间的关系而不会利用信息来进行使用者不需要的联系，以及不会将信息提供给其它企业经营者等。实际上，稍具规范的行为会将收集而来的信息限制于内部研究及企划的使用，其类似于目前具有规范之公司由产品注册卡收集而来之信息的使用方式。

仅为合法的行为系指从互联网活动推知使用者的身份及属性，但是不太会注意到泄漏隐私的可能性，并且在合乎现行法规之下尽可能地使用收集而来的信息，其中包括系统化地将信息提供给其它经营者以及进行使用者不需要的联系。许多利用网络进行信息收集工作的标准正好在仅为合法的程度。收集关于使用者消息的公司系利用网站浏览器来告知使用者，不安全的处理过程正在发生。该等公司并不会单独告知并解释何种信息正被收集，以及收集而来的信息将被如何使用等。

隐私的保护

本发明不允许与外界进行未经要求的通信。在例行操作中，本发明只会与经过使用者订阅的通知服务器进行通信。假设安全性的问题，例如诈骗及潜伏程序等皆不构成问题，则泄漏隐私的风险将集中在于使用者与可靠通知提供者之间的互动。如下所述，本发明之通信协定将公告的通信处理过程分成下列阶段：

(ACP-a)订阅：使用者以匿名的方式开始订阅。

(ACP-b)收集：使用者的通知读取器以匿名的方式从网站上收集通知。

(ACP-c)评估：使用者的通知读取器评估通知的关联性。

(ACP-d)解释：使用者的通知读取器显示由通知提供者所制作的文件，并解释该公告为何具有关联性，同时建议解决方案/响应。

(ACP-e)解决方案/响应：使用者评该文件，并且可能接受所建议的解决方案/响应，或者与外界联系。

本发明系利用AEUP通信协定，使得步骤(ACP-a)至(ACP-d)完全为隐密的，并限制在步骤(ACP-e)中所提供的信息。

操作上，完全符合规范的通知提供者从不违反通信协定在步骤(ACP-a)至(ACP-d)的隐私保护。尤其是，完全符合规范的通知提供者从不利用本发明来挪用使用者的身份或监督，其不会从服务器的活动来推知任何使用者的身份或属性，其亦不会发展工具用于从网络的活动推知任何使用者的身份或属性。完全符合规范的通知提供者不会利用本发明做为单纯的播送广告媒体，并且不会在未经要求的情况下，建立公告而与所有或大部分的使用者联系。利用本发明来收集使用者信息系在解决方案时间(ACP-e)的问卷过程中进行，并且预先为使用者以浅显易懂的用语完整解释被收集信息的类型，以及收集该等信息的用途等。不会有任何意图将收集而来的信息运用在其所揭示的目的之外，亦不会将收集到的信息关联于服务器的未来活动。

在典型的实施例中，本发明可激励提供者以完全符合规范的方式来动作。本发明可提供机制用于激励使用者了解完全符合规范行为的标准，以及了解个别提供者所具有的标准。本发明包含用于抵抗及防止针对隐私的犯罪性攻击的机制，并且可对抗及防止不符规范的行为。

在典型的实施例中，本发明具有多种机制，其可用于促进及增强完全的规范行为。

首先，通过鼓励订阅可靠的通知网站，本发明可激励使用者了解到网站的品质。一个重要的品质因素即为规范品质。

其次，Better Advice Bureau提供一种机制，用以签发警告不符规范网站的公告。Better Advice Bureau存有可公开取得的反对公告之客观因素的列表。此列表可让使用者及提供者清楚了解产生反对公告的行为类型。依此方式，提供者可收到关于何种行为将会构成不符规范行为的准则。对于想要维护公信的提供者而言，其将会以合乎规范的方式来动作。

第三，本发明可阻挠违反该协定之隐私的企图。如下所述，本发明可有效应付所有针对本协定的合法威胁，且提供者必须在触犯法律的情况下才有可能违反本通信协定。

隐私权及AEUP

本发明系利用协定(AEUP)而在开放的公共网络上进行信息交换，其强制加入比现行工业标准高出许多的信息伦理标准。此外，该协定可抵抗某些公然的犯罪行为。

AEUP的目标系在于：

位于装置设备上的信息保留在该装置设备上。

换言之，在未经过明白的同意之下，通过本发明所取得之使用者计算机或其环境的信息将不会散布于外界的第三者。以实际的术语而言，AEUP系在使用者计算机与外在世界之间提供一保护层。在未经人为操作当中：

信息会流入使用者的计算机，但信息不会流出使用者的计算机。

此种限制性的设计系以下列四种原则来表示：

(PRIV-a)订阅的动作并不会泄漏使用者的身份及属性。

(PRIV-b)收集通知的动作并不会泄漏使用者的身份及属性。

(PRIV-c)评估关联性的动作并不会泄漏使用者的身份及属性。

(PRIV-d)被动检查关联性公告的动作并不会泄漏使用者的身份及属性。

当在AEUP协定下操作时，所有的自动化且未经人为介入的操作将会保护使用者的身份及属性的隐私。以下将描述AEUP及本发明执行(PRIV-a)至(PRIV-d)的整体过程。

(PRIV-a)订阅动作中的隐私

在AEUP监督管理之下，使用者在订阅某通知网站时所提供的信息只有使用者及其通知读取器知道。此点需要澄清。在一般用途中，订阅一词系隐含使用者经过注册而成为订户的过程。在AEUP的监督管理之下，并没有以上的注册过程，因为不需要此种注册过程。通知的提供方式即如同网站所提供的网页一样，其能够以匿名的方式自由取阅。订阅的过程系使用者与其通知读取器之间的互动，而非使用者与外界某一通知提供者之间的互动。在使用者计算机上操作的通知读取器系取得由使用者所选择之网站上的通知，并将该等通知存放在使用者计算机中的数据库，且仅在近端做为通知读取器之订阅管理员所管理之数据库的一部分。该数据库控制通知的评估，并使通知收集者定期从某些网站上收集通知，而非从其它网站收集通知。因此，订阅过程为隐私的事件。

(PRTV-b)收集动作中的隐私

在AEUP的管理之下，收集通知的动作并不会将特定使用者所感兴趣的事物或特定计算机的配置透露到外界。

可能会有所反对的是，通知网站可得知订阅者的身份，因为订阅者的通知读取器会经常从网站上收集信息。然而，在典型的实施例中，唯一可从通知收集动作得知的是链接至通知网站的IP地址。在目前的互联网协定之下，大部分的使用者系利用动态的IP地址，因此IP地址与使用者身份的关联性很低，其持续的时间约数分钟。因此，IP地址中的信息大致上并无利用价值。

再者，对于拥有固定IP地址而不希望真实的IP地址泄漏到外界的使用者而言，其可利用代理服务器。代理服务器系一种为人熟知的工具，利用代理服务器可将某些IP用户-服务器互动由第三者的IP用户-服务器互动所取代，其代理对服务器提出数据的要求，并以匿名的方式将数据引导至用户端。对于服务器而言，代理服务器即如同用户端。对于用户端而言，代理服务器即如同真正的服务器。在服务端与用户端之间不会有任何直接的联系。服务器绝不会取得用户端的身份，即其IP地址。

在一种实施情况下，本发明被设定为将全域性的代理服务提供给所有的使用者，且通知读取器可选择性地连接而让使用者利用服务器。在此实施例中，BetterAdvice Bureau或其它中央机构提供以匿名方式收集通知的服务器，其可接收来自使用者之收集通知的要求，同时将其回复地址略除，而该等要求会被送至通知网站，并将回复的信息转寄给使用者。

收集通知的动作可能被认为会泄漏信息，因为收集者仅从通知网站上可取得的文件中选择某些文件。此反对观点系源自于不了解AEUP协定。在典型的实施例中，通知收集器始终会从通知网站上取得使用者的机械装置中所不存在的文件。在数据收集的过程中不会进行任何的选择。所有的通知只会在被收集及储存在使用者的计算机之后才会进行关联性评估。在通知收集器的动作中，唯一正确的推知只会出现在使用者正在订阅该网站的时候。

上述处理方式非常不同于目前利用互联网获取关联性信息的方式。在目前广泛运用的处理方式中，使用者会将例如喜好、特性及系统配置等信息填写于表格。此表格将会传送给服务器。而后服务器会根据该表格中的信息而以集中的方式响应使用者。此种标准方式会将关于使用者的信息透露出来。

在本发明的处理方式中，使用者的喜好及配置会在使用者的计算机上被保密。所有由网站所提供的通知将会被送到使用者的机械装置上，而后再隐密地进行关联性的评估。

(PRIV-c)评估关联性动作的隐私权

给定通知的关联或无关联性可反映出大量关于通知使用者的计算机及其环境的信息。在非常集中的条件、详细指定的使用者简况内容，以及特定文档的内容等，能够传递大量关于使用者的信息。

若通知读取器容许公告的关联性或无关联性从读取器泄漏至外界，则通知读取器损及使用者的隐私权。若此种情况发生在无人为介入的操作下，则其后果将非常严重，因为有数以千计的公告进行关联性评估。若有一种以系统化方式发现许多通知之任意组合的关联性的机制存在，则关于使用者的完整简况将会泄漏至外界。

在典型的实施例中，通知读取器的关联性评估过程具仅有其自身的外在观察效应，并在使用者接口的状态上产生变化。当一项通知成为有关联性时，使用者将会被告知，并且没有其它动作。在一典型的实施例中，某项通知被判断为具有关联性时，并不会在外界能够观察的使用者计算机以外导致任何动作。当运用远端检查器时，则为上述情况的例外。请参照以下的说明。

(PRIV-d)被动检查有关联性的公告不会泄漏使用者的身份或属性

使用者在其自己的计算机上阅读文字文档并没有隐私权的问题。在外界世界中，人们不需要知道某人已阅读过该文档；然而，读取网页是另一回事。由本发明所维护的单向隐私权保护机制的漏洞系由于不小心地将HTML或其它如公告之解释性部分的公告内容的有效类型等超链接媒介提供出来而开启。以下的讨论将会说明此漏洞及其所引发的后果，并且在一种实施情况下说明为何本发明不会任使此种漏洞对外开启。

解决方案之操作的限制

处理通知的一连串步骤中的最后步骤系实施所建议的解决方案。由于此项操作在基本上为任意的操作，因此本发明无法控制此项操作的效应。特别是，所建议之解决方案的操作涉及与作者之间的电子通信，以致泄漏身份及属性。为了上述理由，在设计上存在下述局限：

(PRIV-e)在典型的实施过程中，通知读取器不会自动运用被建议的解决方案操作者；只有在使用者同意之后，解决方案操作者才会被运用。

由于解决方案操作者具有开放的本质，使用者在保护其自身隐私的过程中扮演重要的角色。不论使用者知道与否，运用所建议之解决方案的动作皆可能会将使用者的身份或属性泄漏出去。不符规范的通知作者可建立潜伏的解决方案操作者，且同时宣称进行某种操作，其在未告知使用者的情况下，以非法挪用的方式执行电子通信。使用者应该仅同意运用来自于其所信任且依照规范方式行事的可靠作者。

远端检查器：接通泄漏

在一种实施情况下，关联性评估的过程中存在潜在的隐私侵犯，其系基于以下的情况：通知读取器容许″and″子句的条件式评估，以及关联性子句可通过查询其它远离执行通知读取器之使用者计算机的计算机与/或装置而参照经过查证的条件。粗心操作远端检查器将会造成外界可观察的互联网活动，而从该活动即可推知某些关联性子句的值。引发网络活动的检查器绝非本发明的重点所在，因而此种特别的隐私威胁仅会对本发明之某些实施产生影响(请对照Pfleeger所着Security in Computing之变换信道(Covert Channels)的说明)。

当在某一通知使用者的装置上进行关联性评估时，兹考虑想要得知关联性子句R之值的窃听者。假设该窃听者经营一通知网站，且受到使用者的信任以及通知读取器的订阅；如此，该窃听者即可将通知引入使用者的装置。假设该窃听者知道该通知读取器含有检查器，且当通过子句I进行调用时，该检查器会在该窃听者的控制下经过一段互联网而产生网络活动。举例而言，假设该窃听者拥有系统层级的存取权，其能够在使用者的装置与标的装置之间的直接路径上取用互联网上的节点，以查询某特定检查器的调用。而后该窃听者在一位置上利用程序设计而在使用者与标的之间记录IP流量。

在上述之假设情况下，该窃听者系在一位置上制作通知且宣称子句R及子句I，并将该通知公布于其通知网站。当该此通知被收集到使用者的装置之后，该通知将会自动估算其关联性。

在通知读取器之实施情况中，当子句A被判断为假时，子句A及子句B的估算将会立即终止，因为不需要知道子句B的值即可终止短语的估算。一旦子句A被判断为假时，可得知子句A及子句B的值为假。此方案称作条件式估算。在通知读取器的实施中，存在不执行条件式估算的情况。该等方案在推算表达式的值之前，总是会估算该表达式的所有子表达式。执行条件式估算与否系取决于性能的考虑。利用条件式估算的通知读取器通常执行较快。

若通知读取器系以上述方式进行条件式估算，则只有当子句R的估算结果为真时，网络活动才会被子句I提示出来。窃听者系处在一位置来观察此网络活动，因而将子句R估算为真。关于使用者的信息即由于上述之关联性评估而从使用者的计算机泄漏出去。

在上述假设性情况的讨论中，应注意的是，以上所描述的窃听行为已构成电子式跟踪的行为，并且可能已经违法。上述情况的发生必须通知作者本身即是窃听者，其从事窃听的阴谋，或者该作者并无设法避免未经认证的通知以其姓名发出，例如通过签发该作者之通知。通知使用者只能通过订阅可靠的网站来避免受到此种威胁，亦即订阅符合完全符合规范行为之标准的网站。

通知的使用者亦可通过设定通知读取器，使其限制容许针对与其具有实际连接之网域进行关联性检查的网域，以避免受到窃听的威胁。在极端的情况下，上述限制系表示只容许执行通知读取器的计算机上进行关联性评估。

目前存在四种机制，通知读取器可使其容许进行网络活动，同时避免受到窃听的威胁。

·不容许进行子句的条件式估算：通知读取器被设定于防止进行条件式估算。在该事件中，关于关联性估算的信息不会通过在使用者与标的之间所存在的可观察网络活动而泄漏。

·针对条件式估算进行随机记录：在估算子句A及子句B的过程中，分析器会将等同于(&AB)的子句减低至1/2的机率，并且以机率1/2执行(&BA)。当此步骤完成之后，在估算子句R及子句I的过程中所出现的网络活动，在实际上系隐含着子句A为真的机率为1/2。对处于此种状况下的使用者而言，此表示不可能在特定的状况下判断子句R是否确实为真。

·始终针对调用网络活动的子表达式进行强制性的估算：通知读取器会被设定，以使得各个检查器皆具有远端活动的属性，而此属性会在检查器致使执行该检查器的装置以外的活动时被设定。在分析一关联性子句时，通知读取器会辨识具有远端活动属性的子表达式，并强制执行该等子表达式的关联性估算。

·中断关联性评估中的网络活动：具有远端活动属性的检查器会被限制操作于暂存的数据，其系利用队列中的要求而限制在一预设位置或位置的集合。此表示，当接收到必须从远端加以判断之属性的要求时，检查器能够检查近端的暂存区。若问题的解答存在于暂存区时，则响应该解答。若解答无法在暂存区中找到，则该项要求会被置于队列中而等待未来的估算。一处理程序将会根据固定的时程独立操作，例如一天一次，其与远端装置的固定列表进行通信，并且在该时间处理最后一天中暂存的所有要求。依此方式，关联性估算本身将不会造成正常排定时程活动以外的网络活动。

这些机制的适当组合将慷保护关联性估算的隐私，甚至在违法窃听的背景之下亦可得到保护。

HTML：接通泄漏

现代典型的HTML文件的最终型式系多个文档的产物，而不是由单一文档所组成。HTML文件本身即给定一种显示的逻辑结构与文字元件的详细目录，以及各种图像及多媒体文档之链接的集合，此结合可提供视觉上的元件。在传统的网站浏览过程中，网站浏览器会在一连串的阶段建构经过处理的图像。首先，HTML文档会被收集且文件的框架会被处理。若该HTML文档参照到位于远端的多媒体文档，则该网站浏览器开始收集该等文档。当该等文档到达之后，其将会被用于格式化以及描绘最终的显示结果。

人们假设，通知提供者已经制作含有HTML文档的公告，且该文档参照到位于该通知提供者之服务器上的解释性文档。同时假设，通知读取器系做为传统的网站浏览器而用于描述HTML语言。在使用者研读公告的时候，潜在的图像文档会从服务器加以收集。换言之，研读公告的动作将会使通知服务器存在显著的动作。若该公告不具关联性，则该HTML语言将不会被描述，并且由于未经过描述的HTML不会导致收集多媒体文档，因此该服务器可从公告被评估为具有关联性的活动而被推知。如此，信息将通过单向的保护层而从使用者泄漏到提供者。

完全符合规范的通知提供者绝不会理会此种活动。然而，原则上，稍具规范的通知提供者可能会充分利用此种活动而得知关于使用者群体的某些信息。的确，此种通知提供者能够制作参照到特殊多媒体文档的公告，且该公告仅指向该等多媒体文档。通过计算参照到多媒体文档的数目，并除以公告本身之收集者的数目，人们即可获得呈现某种环境之使用者群体的估计比例。

无论如何，在一典型的实施情况下，本发明会采取步骤来削弱此种活动。此种活动所引发的信息泄漏系被视为较不具完全的规范性，因为与其它不符规范的行为结合之下，其将会牺牲个人的隐私权。真实的情况是，此种信息泄漏具有无害且有用的应用。只要信息泄漏与使用者的身份无关，人们即可主张信息的泄漏可用于告知通知提供者关于使用者群体的概况。然而，此种信息泄漏的情况可能会引诱进行导致隐私严重滥用的关联。

另外有一种机制，本发明系通过该机制提供类似的响应给通知提供者，且同时保护个人的隐私权，亦即随机的响应。为了削弱HTML试图过度利用泄漏的信息，本发明的典型实施可采取以下三种机制之一或所有机制：

·HTML-A代理服务器：惟独通过代理服务器进行操作，通知读取器可破坏可能在通知网站上看到之收集者身份与收集事实之间的关联。实际上，通知读取器系通过代理服务器来收集多媒体文档，而不是通过原始的网站。在实施情况下，代理服务器系将多媒体文档暂存于近端，从而服务取得多媒体文档的要求，而同时仅向通知网站要求文档一次。通知网站将会发现此种安排的益处，因为如此可减轻其自身服务器上的负载。然而另一方面，该等服务器将会丧失研究普遍盛行之属性，或者建立身份与属性间之关联性的能力。

·HTML-B立即收集所有的多媒体：在本发明之一实施中，收集的过程包括自动下载公告之HTML所参照到的多媒体文档。此操作过程如下：预先进行公告的分析，如此可引导至公告之解释性部分的HTML来源所参照的所有多媒体文档的列表。通知收集者会立即收集该等文档，以确保当该公告成为有关联性时，该等文档可在近端取得。对于本发明的实施而言，文档收集的事实与某公告是否具有关联性之间并无关联。

机制(HTML-A)与机制(HTML-B)可以同时运用；亦即，代理服务器能够代替用户端收集通知，同时可收集该通知之任何HTML来源所参照的所有多媒体文档。在开始时，使用者的通知读取器仅取得公告的文档，而非所有的多媒体文档。在适当的时间，多媒体文档会从代理服务器收集而得。依此方式，同样地，文档收集的事实与某公告是否具有关联性之间并无关联。

·HTML-C随机下载多媒体：在本发明之一实施中，收集的过程包括随机下载某些公告之HTML所参照到的某些多媒体文档。此操作过程如下：预先进行公告的分析，如此可引导至公告之解释性部分的HTML来源所参照的所有多媒体文档的列表。通知收集者会定期从该列表中收集一些随机选取的文档。对于任何由通知作者所公布的公告而言，上述做法可确保取得大部分的多媒体文档。如此并非为了关联性的缘故，而是为了输出单纯的机会实验。部分而言，如此可确保使用者当中具有关联性者能够在近端取得该等文档。在本发明之实施情况下，文档收集的事实与某公告是否具有关联性之间并无逻辑关联。不论存在何种关联皆涉及机率，并且能够通过适当地选择随机下载的频率而使机率降低。

隐私权规范的支援

本发明具有三种超越原则，其有助于信息规范的施行。

·规范的网站：使用者应该只订阅符合规范的通知网站。许多使用者将其通知读取器设定为订阅来自大型企业的通知为主，该等大型企业生产使用者所关注的物品及服务，例如：计算机制造商、软件发行者，或是互联网服务的提供者。此种订阅大型机构的类型为非常安全的举动。该等机构会关注于提供可靠的通知，以便与其客户维持密切的关系。订阅此种由大型企业所制作之通知的使用者将会承受非常低的风险。

·规范的明确订定：Better Advice Bureau为激励作者之符合规范行为的基本工具。所有的使用者皆订阅该网站。此网站会编辑反对的通知，并告知使用者关于危险网站以及关于流通当中的不良通知。若解决方案操作者未事先告知使用者该信息将透露给通知作者，或未明确告知关于透露之信息的性质，则BetterAdvice Bureau将此种行为定义为不符规范。若有潜伏通知以不符规范的方式流通，则会引起Better Advice Bureau的注意，其将会发布反对该等潜伏通知的公告。因此，对于本发明之某些技术态样而言，Better Advice Bureau系做为本发明的隐私权保护系统，其可更正不符合规范的情况。

·明确标示副作用：为使符合规范之行为与偏离规范之行为的定义更加明确，Better Advice Bureau描述的一组附加于公告的标示，该等标示指出解决方案操作者的潜在副作用；该等标示系指出：

可能会被公告所提议之解决方案影响的重要次系统。

使用公告所提议的解决方案是否会泄漏信息。

可能会泄漏之信息的类型。

若信息可能会泄漏，其是否能够用于行销/邮寄。

若信息可能会泄漏，其是否能够与其它同伴共用。

完全符合规范的行为要求作者根据对于潜在使用者的影响而标示其所制作的通知。若通知未加以标示，Better Advice Bureau会将其视为反对通知。BetterAdvice Bureau会将持续且始终误传的网站视为反对订阅公告的网站。

用户-服务器互动的另一种选择

本发明之主要组成部分系使用者与提供者网站图像之间的同步化。此同步化系根据AEUP协定来达成。然而，本发明之基本原理存在其它实施例，其中同步化可通过不同的装置来产生效用，即如以下之说明。

匿名选择性更新协定

在此协定的管理之下，如同在AEUP的管理之下，订阅及同步化的动作皆以匿名的方式进行。然而，更新的过程为选择性的，而非彻底更新。

ASUP定义

在ASUP之下，各个公告消息皆被摘要处理成简短的样式，其中包括至少一个参照原始公告的消息识别符、原始公告的关联性子句，以及其它可能存在的信息，例如主题列。在此协定之下，除了目录消息及整个公告文档之外，通知服务器亦为通知读取器提供一或多个公告之摘要的服务。

在ASUP的管理下，收集的过程会改变。通知读取器不会保证其拥有通知网站之各个公告的完整本体，而是保证其至少拥有各个消息的摘要。通知读取器系通过在前一次同步化之后，提出取得所有新公告之摘要的要求来完成此项工作。

在ASUP之下，通知数据库会改变。通知数据库包含两种数据项目：完整的公告以及公告的摘要。

在ASUP之下，通知读取器会针对其所取得的所有关联性子句进行关联性评估的时间排程，该等子句包括存在于完整公告中的子句以及摘要所包含的子句。

在ASUP之下，有关联的公告会引发通知读取器与通知网站之间进行新回合的通信。取决于配置的设定，不论是预期使用者需要完整的公告或基于来自使用者的直接要求，通知读取器皆会与通知网站建立通信，并要求取得某些公告的本体。

此种协定的效果系在于尽管使用者的通知读取器会取得并估算所有已经公布的关联性子句，但其并不会下载所有已经公布的公告。

ASUP的分析

若已公布的公告所占用的储存空间远大于经过摘要处理的公告，则此协定将是有利的。此协定能够节省使用者取得大量公告之本体的时间，并且为提供者节省服务要求的时间。此协定的缺陷系在于其可能损及使用者的隐私。在ASUP协定之下，可以想见的是，通知提供者可能会试图通过观察通知读取器所要求及不要求的公告文档来推知使用者。若完全依照上述的方式施行此协定，则当子句不具相关性时，使用者将永远不会要求整个公告，而且当子句具有相关性时，其将始终要求整个公告。原则上，意图得知关于特定使用者之信息的通知提供者会将取得完整公告的服务器要求关联于使用者来自的IP地址，从而推知表明对应计算机的公告之关联性的要求。若IP地址永久性指定给某个使用者计算机，则原则上提供者会将该等要求关联于使用者的身份。依此方式，与使用者有关的信息将会泄漏给服务器。

ASUP之下的隐私权保护

·随机收集：信息泄漏的可能性系通过使通知读取器要求取得某些关联性子句不具关联性之公告的完整公告本体而降低。利用随机机制可达此目的。各个完整的公告本体皆以机率值p而提出取得的要求，其中p为预设的数值。

·代理服务器：信息泄漏的可能性系通过使通知读取器通过代理服务器来要求完整的公告本体而降低，其系以匿名的方式将取得公告本体的要求转送给通知网站，从而避免通知网站得知要求者的身份。为达此目的，位于例如Better AdviceBureau或advisories.com的集中管理代理服务器可加以利用。

·私用服务器：信息泄漏的可能性系通过限制服务器软件的供应而降低。若仅与本发明一同操作的服务器软件不会让使用者与其所要求的公告产生关联，同时不会记录该等要求的工作记录，并且若服务器软件的使用者并无通过窃听服务器与读取器之间的通信来削弱私用协定的意图，则个人的信息将不会通过ASUP而透露给服务器。

服务器软件的供应能够通过修改读取器/服务器的互动以强制执行某种安全性预设控制信号交换而加以限制。利用数字加密技术而做为安全性预设控制信号交换的一部分，以及限制存取适当的安全性预设控制信号交换钥匙，人们即可限制建立服务器软件。

禁止窃听用户-服务器的互动可以订定契约的方式来施行。有效的服务器软件仅能够在接收者不会被窃听的情况下才可取用。

因此，存在许多途径用于保护ASUP之下的隐私。

非匿名性完全更新协定

在某些环境中，匿名订阅的构想并不能操作；例如，由于公告仅提供给已付费的使用者，而且读取器/服务器互动的过程中包括预设控制信号交换区段，其中读取器必须证明其本身为付费的使用者。在此种情况的变更之下，通知不仅只提供给已付费的会员，而且会员必须证明其本身有资格使用该通知。

非匿名性完全更新协定(NEUP)系应用于非匿名性的环境中，其中订阅者将会在每一次同步化时下载所有的新公告而进行完全的更新动作。在NEUP之下，使用者的隐私系依照下列方式加以保护：虽然提供者能够知道使用者订阅的情况，但收集通知及评估关联性的过程并不会将使用者的相关信息透露给提供者。

非匿名选择性更新协定

在某些环境中，匿名订阅的构想并不能操作，而且完全更新的操作亦无法进行，此系由于必须考虑大量有可能具有关联性的公告，或是由于各个公告的量过于庞大的缘故，以致使用者及提供者不愿动用广大的资源来进行完全的更新。

非匿名选择性更新协定(NSUP)提供此种非匿名性的环境，其中通知读取器能够选择性地更新、取得初次摘要化的公告、评估关联性以及稍后下载关联性公告。

NSUP本身无法为使用者保障隐私。通知提供者知道使用者的订阅，以及例行的收集与关联性评估皆会致使关联性为真的子句透露给提供者。在NSUP之下，存在多种用于保护使用者之隐私权的机制；例如，随机化、代理服务器以及私用服务器等。

通知散布的另一种选择

中央管理的通知服务器

在一实施例中，单独中央管理的网站系用于存放多个不同通知提供者所提供的通知；实际上，不同的通知网站系做为单一文档系统的不同次目录。所有在使用者计算机上操作的通知读取器皆通过联系此中央网站而与其网站图像进行同步化，并且要求取得如公告等资源。在实施中，单独的网站实际上系由一组彼此映射各自功能与内容的计算机所组成。

上述配置具有两个面向的影响：

·隐私：上述配置通过隔离使用者与提供者而防止提供者得知使用者的身份，或有关任何使用者的属性。特别是，若中央通知网站没有进行工作记录或分析读取器-服务器通信，则ASUP协定在此种环境下为安全的。

·安全性：上述配置将通知网站限制在符合由中央服务器所订定之标准的网站，用以限制通知网站所提供的内容，从而确保通知网站系由典型为负责的机构所经营。

中央管理的网站容许提供者利用标准方法来更新其位于该中央网站的内容，例如使用FTP或相关的文档传输方法。

中央管理的代理服务器

在一实施例中，对于所有的通知读取器而言，其可利用做为代理服务器的中央管理网站。通知网站的分布极为广泛。然而，许多使用者并不会以个别的方式前往该等网站。使用者反倒会设定其读取器，使其通过中央代理服务器来获取所有公告。关心隐私权的使用者特别会利用上述方式。

中央代理服务器会暂存许多不同通知提供者所提供的通知。使用者计算机上的通知读取器向代理服务器提出使用资源的要求，例如从某些通知网站收集公告。若该等资源在代理服务器上可被取用，则该等资源将立即提供给使用者。若无法在代理服务器上使用所要求的资源，则会向原始的网站查询所要求的资源，并以匿名的方式转寄给使用者，同时将取得的资源暂存于该代理服务器。当原始网站改变时，通知网站包含一种方法用以告知中央代理服务器网站，其指出暂存的资源应加以清除(参阅Hallam-Baker，Phillip M.(1996)Notification for ProxyCaches，World-Wide-Web Consortium Technical Report，http：//www.w3.org/TR/WD-proxy)。

上述配置能够符合使用者对于隐私权的要求。通过隔离使用者与提供者，此配置可防止提供者得知使用者的身份，或有关任何使用者的属性。特别是，若中央通知网站没有进行工作记录或分析读取器-服务器通信，即使是ASUP协定，其在此种环境下亦为安全的。

中央管理的匿名式通知转寄器

在一实施例中，通知的散布系利用互联网的电子邮件来进行，其系利用匿名的邮寄列表而通过中央管理的转寄器加以转寄。

在此仍然保留以上所讨论之通知网站的结构。许多读取器并非直接与该等网站联系。读取器反而会利用匿名的邮件来取得通知。在此种实施情况下，通知网站会以电子邮件的方式将新公告寄送给中央转寄网站，而后该中央转寄网站再将该等新公告寄送给秘密保存的邮寄列表，该列表中包含已经与该中央网站联系并已建立订阅关系的个人。在此实施中，其中包括特别为撤回所设计的新公告格式。通知网站系寄送撤回公告给中央转寄网站，而后中央网站再转寄给邮寄列表中的使用者，从而处理公告的撤回。

在上述配置中，通知读取器系与使用者计算机上的电子邮件读取器合作，并且与自动过滤进入为通知读取器存取所设计之信箱的电子邮件读取器合作。通知读取器并非直接与原始网站联系而进行同步化，其系通过解释上一次同步化到达信箱中的内容来进行同步化。

此种处理方式特别适于和P0P3互联网邮件服务器一同操作。此种配置在基本上系利用电子邮件的AEUP协定。在一般情况下，通知提供者无从得知使用者订阅的信息以及某些公告是否具有关联性。

在此种配置中，AEUP必定能为使用者提供单向保护。使用者了解通知网站不一定知道其订阅该网站，并且了解使用者的装置与通知网站之间并无直接的IP流通。使用者能够通过检查邮件中的纯文字内容而观察到公告并非直接来自于通知网站，而是以匿名的方式从中央通知转寄器传送而来。

此种配置的缺点在于危及秘密邮寄列表的安全性。为了增加使用者的信心，中央转寄器最好为顾及使用者利益的可靠机构来经营操作。

通过隔离使用者与提供者，此种配置能可防止提供者得知任何参与且不愿将任何事物透露给提供者的使用者之身份或任何有关联的属性。

USENET通知散布者

在一实施例中，通知的散布系通过USENET新闻组进行传送。

在此仍然保留以上所讨论之通知网站的结构。通知网站的分布非常广泛。然而，许多读取器并非直接与该等网站联系。读取器反而会利用USENET来取得通知。在此种实施中，整个USENET新闻组将会被建立，例如各个通知网站具有一个新闻组。通知网站偶而会将新的公告刊登于USENET，而后USENET再将这些新公告散布于全世界所有做为新闻组服务器的装置。

在此种配置下，通知读取器随后会进行同步化，其并非直接联系原始通知网站而进行同步化的动作，而是利用USENET协定来联系新闻组服务器，并取得某些新闻组中的新公告。

此种配置在基本上系利用USENET的AEUP协定。在一般情况下，通知提供者无从得知使用者订阅的信息以及某些公告是否具有关联性。

在此种配置中，AEUP必定能为使用者提供单向保护。使用者了解通知网站不一定知道其订阅该网站，并且了解使用者的装置与通知网站之间并无直接的IP流通。实际上，由于通过USENET接收新闻的动作系以匿名的方式进行，因此不存在邮寄列表，而且没有中央管理的信息机构将使用者与通知网站联系起来。

软件频道

在一种可能的实施例中，通知的散布系通过推展的提供者所称的频道来操作，例如Backweb、Marimba以及Pointcast(参阅Ellerman，Castedo(1997)Channel Definition Format，World-Wide-Web Consortium Technical Report，http：//www.w3.org/TR/NOTE-CDFsubmit.html)。在另一实施例中，通知的散布系利用电子邮件的邮寄列表来操作。不论何种情况，散布的方法皆称作频道，其逻辑关系皆相同。若每当字词频道在邮寄列表中被改变，则以下并无重要的变化。

在此仍然保留以上所讨论之通知网站的结构。通知网站的分布非常广泛。然而，许多读取器并非直接与该等网站联系。读取器反而会通过频道来取得通知。在此种实施中，整个频道的集合将会被建立，各个通知网站或许有一个频道。通知网站偶而会将新的公告推广于其所对应的频道，而后频道再将这些新公告散布于全世界所有订阅该频道的装置。

在此种配置下，通知读取器系通过听取该频道所内送的数据而进行同步化，且当内送的公告到达之后，随即处理这些公告。

此种配置在基本上系NEUP协定的实施。在频道的某些实施中，通知提供者可得知使用者已经订阅。在一般情况下，通知提供者无从得知某些公告是否具有关联性。

在此种配置中，若频道提供者提供真正的单向频道并为使用者解释，则AEUP必定能为使用者提供单向保护。举例而言，使用者皆熟悉邮寄列表可提供典型的单向通信。此外，使用者亦了解只有在其愿意在另一方向启动联系的情况下，双向沟通才有可能。

促进使用者信任之机制的另一种选择

截至目前为止，使用者对于隐私的主要考虑已被假设必须以技术方法加以解决。此观点系在于为了能够保障使用者的隐私，必须发展一种系统，其可正确地使通知提供者不可能针对特定使用者之某些公告的关联性进行推知。能够依此种方式来隔离使用者系一项重要的进展。此外，有些使用者可能无法接受一种针对隐私性问题之单纯技术性的解决方案，而且该等使用者可能会怀疑，任何解决方案皆不免有缺陷，亦即有时会发生泄漏信息的情况。该等使用者顾虑发生信息泄漏的情况，而不会被说服信息在技术性的保证下不会发生泄漏。经过通知提供者明确保证不会利用泄漏的信息，或许可消除这些使用者的疑虑。

一种满足使用者对于通知提供者之意图的考虑系限制通知提供者的数量，使其限制于已经签署并遵守提供给使用者保证之合约的通知提供者。此包括三个组成部分：

·合乎规范的标准：人们可取得提供已知合乎规范行为之定义的基本文件。某些通知提供者已签署此文件，并将该文件寄存于中央机构，例如Better AdviceBureau，其公布签署者的身份。

·使用者接口：使用者可选择仅与合乎规范标准的提供者进行沟通。

·服务器特权的限制：通过专用的信号交换机制，以及仅将存取适当的读取器/服务器的密码授权给签署规范同意书的提供者，读取器/服务器之间的互动即可获得保障。此操作有两种自然的方式：

通过中央化的服务器策略，其中通知读取器的功能被信号交换机制所限制，使其仅能够与中央化的通知服务器进行联系，且中央服务器仅提供来自于遵守规范标准之网站的通知。

遵循专用服务器的策略，其中通知读取器仅能够与具有正确交换讯号的通知服务器进行沟通，且该交换讯号仅为遵守规范的通知网站所知。

总之，某些已经签署同意书的通知提供者可为使用者隐私提供契约保证。某些使用者则只愿意和该等提供者联系，此时存在一种用于限制通知读取器存取该等提供者的机制。

关联性评估模式的另一种选择

概况：状态比较

实际上，关联性子句系一种关于计算机、计算机之环境，或计算机可取用之计算装置之状态或环境的宣告。关联性语言提供一种途径，让作者能够描述计算机状态的组成部分。然而，存在许多其它方式可用于描述状态的组成。

通知读取器及其所伴随的检查器词库提供一种将状态之描述与真实状态进行比较的途径。然而，存在许多其它方式可用于比较状态的组成与描述。

观察者社群

陈述描述的另一种方法可依赖观察器社群，亦即专门的应用程序，各个观察器拥有自己的特别考虑及结构，其可分析关于计算机或其环境的特定宣告。此种应用程序称作观察器。

兹考虑一种文档观察器应用程序，其观察某些文档是否具有正确的属性。此应用程序维护宣告的数据库。各个数据项目命名一文档或目录、对象之特定属性的列表、特定的观察频率，以及指向消息的指标与失败宣告所伴随的动作。特定属性的例子包括存在性、名称、版本、大小及封包的计算值(checksum)。文档系统观察器会以预定的时程或通过使用者控制而持续执行，其通过宣告的数据库并查看各个数据项目是否具有所宣告的状态，例如各个文档具有特定的属性。若观察器发现数据项目不具所要求的状态，则其将宣告失败相关信息及该宣告所伴随之消息和动作一起传送到使用者接口模块。使用者接口模块为观察器应用程序的一部分，且为整个系统共用的应用程序；此使用者接口模块会将所宣告条件的失败信息呈现给使用者，并传送伴随的消息及建议的响应。

文档观察器应用程序同时会解译制作关于状态的新宣告，或撤销旧的宣告。接收到此种消息将使文档观察器更新其宣告数据库，以纳入制作新宣告的数据项目，或删除制作撤销宣告的数据项目。文档观察器本身系从消息模块接收到这些消息，而通知模块为观察器应用程序的一部分，或为整个系统共用的应用程序。

位于远端想要宣告关于使用者计算机的作者会根据已公告的文档观察器宣告识别符而为文档观察器应用程序制作消息。此数据库的数据项目与文档观察器所保存之数据库的数据项目属于同一类型，或利用关键字语言或其它人类可解读之描述性装置所构成的数据项目的文字描述。此种识别符会加以分组，并通过网络或其它数字传输机制进行传送。此种分组(package)系利用目前所列举的方法而散布到使用者计算机，亦即AEUP、ASUP、NEUP、NSUP、电子邮件或频道等方法。

上述处理方法的潜在优点包括：

·专门化的生产效率：由于观察器已经过专门化，因此被撰写将完成特殊工作的速率加以最佳化。举例而言，若文档系统观察器必须观察同一目录中的多个文档，其将仅存取一个文档结构而非多个文档结构，以便节省磁盘的操作。若已经知道输出系基于某些先前的操作，则有可能省去某些操作。若必须针对同一文档测试多个不同的宣告，则有可能利用单独的文档存取而同时取得关于所有宣告的信息。此外，若观察器以预设的格式来接收指令而不需要进行分析，则其能够以更快的速度来估算宣告。

·专门化的生产丰富表现：由于观察器已经过专门化，因此被撰写成利用非常方便的模式来描述特殊的工作。举例而言，若文档系统观察收到语言中的表达式，则该语言被设计从其它系统纳入已经过证明为有用的惯用语。因此，在UNIX系统中，通配符号*、[a-z]、？，以及相关的结构等，能够有效地用于描述文档系统的特性；例如，利用相似但不相同的名称来参用一大群的文档。文档系统观察器可利用此种专门化的惯用语，而不会影响观察器社群中之其它观察器接口的设计。

·专门化的时间排程演算法：由于观察器已经过专门化，因此被撰写成排定经过正确提出之特殊工作的执行时间。举例而言，文档系统观察器遵循专门化的时间排程演算法而以持续的模式来操作，且该时间排程演算法有别于系统环境观察器所使用的演算法。例如，在某些操作系统下，文档系统本身可维护关于文档或目录是否已经改变的信息，其系用于延迟宣告的估算，因为其已得知自从上一次估算以来，宣告的状态并没有改变。

·专门化的生产安全性及隐私：由于观察器已经过专门化，因此被撰写成隔离某些危险或泄漏宣告。举例而言，文档系统观察器具有多种可供使用者进行设定的安全性及隐私环境，其可让使用者控制存取某些文档或文档中的组成部分。

观察器的集合很大。除了文档系统观察器与系统环境观察器之外，诸如序列装置观察器、打印机观察器，以及网络观察器等文档皆可被提供。

观察器社群亦为本发明

观察器社群的处理方式系本发明的一种变更。存在两种途径来理解此点。

·做为实施层：应注意的是，在本发明中，检查器词库拥有其自己在实际上通过该等特定观察器所进行的实施。例如，文档系统观察器被建置用于观察各种文档中的各种特性。而后供作通知读取器使用如下：当查询文档系统观察器时，在通知读取器中有关于方法发送的文档将会被执行。此时，文档系统观察器会回答此项查询并在其宣告数据库中记录该项查询。当下一次出现同样的发送时，文档系统观察器将会在可能的情况下使用其专门化的暂存、排程及最佳化，而以较低成本的方式取得回答。依此方式，观察器社群即为检查器的实施层，而观察器社群的使用者接口/通信软件则为通知读取器软件。

·做为变更的实施：另一种检查观察器之社群为本发明之相关发明的途径系注意到大部分引人注目之观察器处理的特征，诸如两种处理方式皆提供将专门化的惯用语应用于特殊工作。UNIX模式结构的惯用语系通过建立名称化的World特性来实施，该特性系称作定位文档，其可接收UNIX样式的模式而当作名称识别符字串。下列片段：

not exists Located files″*.mat″whose(creator of it is creator″MATLAB″)

以上的片段系以UNIX的记法要求文档，其被提供于本发明之语言并通过检查器多元特性定位文档UNIX模式。

最佳化策略的考虑树林

利用观察器社群处理来表达描述可明确地表达考虑树林的概念。各个有兴趣的作者会规划有关于使用者计算机之状态的考虑，这些考虑将会传给计算机，而且该计算机的状态会持续地被检查且与该等考虑进行比较。

以效率及时间排程的观点而言，环绕基本考虑之树林的概念来组织陈述描述的处理方式较优于环绕关联性子句的概念。许多通知的次子句可能具有完全相同的短语，个别估算该等次子句将会没有效率。例如，兹考虑五个宣告AdobePhotoshop之关联性子句的通知。第一个子句为：

exists Folder″Brushes and Patterns″of

   Folder containing Application″Adobe Photoshop 2.5″

第二个子句为：

exists Folder″Calibration″of

   Folder containing Application″Adobe Photoshop 2.5″

第三个子句为：

exists Folder″Color Palettes″of

   Folder containing Application″Adobe Photoshop 2.5″

第四个子句为：

exists Folder″Plug-Ins″of

   Folder containing Application″Adobe Photoshop 2.5″

第五个子句为：

exists Folder″Third-Party Filters″of

   Folder containing Application″Adobe Photoshop 2.5″

在以上任何一种情况下，关联性子句的评估皆需要估算含有应用程序″AdobePhotoshop 2.5″的短语文件夹。总之，上述五个子句执行同样的工作五次。

有可能以不同的方式来组织事物，外表的表达式被分析成最小集合的子表达式。这些次子句的集合而后以简洁的方式被观察。更具体而言，时间排定进行共同估算之关联性子句的群体将会被分析成相关的表达式树状结构的树林。此树状结构的集合将会被分析成其最大的次树状结构。若两个次树状结构在实质上相同，则两个次树状结构相等，亦即相同的方法发送系应用于相同的自变量，或在交换性与组合性相同的有效应用程序之下重新安排。若一表达式的次树状结构出现在另一相关之第一层次树状结构，则该次树状结构即为另一次树状结构的子树。

若出现下列任一，则次树状结构为最大：

(a)其没有母树，或

(b)其拥有至少两个母树，且该等母树系不同的表达式。

以下将说明上述五个关联性子句的概念。第一个子句被分析为：

  (exists(Folder″Brushes and Patterns″

(Folder-Containing

Application″Adobe Photoshop 2.5″

)

)

)

第二个子句被分析为：

  (exists(Folder″Calibration″

(Folder-Containing

Application″Adobe Photoshop 2.5″

)

)

)

第三个子句被分析为：

  (exists(Folder″Color Palettes″

(Folder-Containing

Application″Adobe Photoshop 2.5″

)

)

)

第四个子句被分析为：

  (exists(Folder″Plug-Ins″

(Folder-Containing

Application″Adobe Photoshop 2.5″

)

)

)

第五个子句被分析为：

  (exists(Fo1der″Third-Party Filters″

(Folder-Containing

Application″Adobe Photoshop 2.5″

)

)

)

在此，上述五个不同的关联性子句为不相等，因为其命名不同的特性。最大表达式的集合系由这些五个表达式所组成，另外加上一适当的子表达式：

  (Folder-Containing

(Application″Adobe Photoshop 2.5″)

)

环绕组织在最大表达式的观察器系以下列方式进行简洁的操作：

·将关联性子句集合中的所有表达式分析为表达式树状结构。

·以单独的标记来标示该等具有母树的最大子表达式。

·将各个表达式树状结构转换成由参用其被标示之最大子表达式所建立的新树状结构。

当进行关联性评估时，将保留称作最大子表达式值储存器的额外储存空间，其系记录最大子表达式的值，以供作稍后使用。当遇到参用被标示的最大子表达式时，首先会检查此储存器是否已经记录一值。若该储存器已记录一值，则使用被记录的值。若该储存器中不存在该值，则估算该子表达式，并记录该储存器中的其余值。

更详细而言，其操作情形如下：对于上述五个关联性子句的集合而言，最大子表达式：

  (Folder-Containing

(Application″Adobe Photoshop 2.5″)

)

将会伴随最大子表达式之储存器中的第一位置。转换典型的关联性子句系通过正确地参用此储存器。在第一个关联性子句的情况下，其操作方式如下：

(exists(Folder″Brushes and Patterns″

       (Maximal-Subexpression 1

           (quote(Folder-Containing

(Application″Adobe Photoshop 2.5″)

)

)

)

)

)

总之，称作Maximal-Subexpression的绕接器会插入被识别的最大子表达式。此绕接器方法的第一个自变量系有关于储存器之指标一的子表达式，而第二个自变量则为引号内的表达式。引号内的表达式并不会在绕接器方法被调用之前进行估算，而是被分析为适当的陈述，以做未经估算的数据结构，并代表条件式估算的表达式，该数据结构将会被传送到绕接器方法而做为数据。绕接器方法观察位置一，以查看是否已储存一值。若已储存一值，则该绕接器方法将返回该值。若储存值不存在，则绕接器方法会要求估算已经传送的子表达式。当估算完成之后，该值将会被存放在最大子表达式储存器的位置一。

上述过程已假设进行关联性估算的子句为给定通知群体中第一个被估算的子表达式，此估算过程将会估算子表达式并记录最大子表达式储存器之位置一的值。

现在考虑通知群体中的第二个项目，其转换格式为：

  (exists(Fo1der″Calibration″

           (Maximal-Subexpression 1

              (quote(Folder-Containing

(Application″Adobe Photoshop 2.5″)

)

)

)

)

)

上述过程已假设此子句的估算系在前一子句被估算之后才进行。在此并没有估算最大子表达式，因为绕接器发现子表达式的值已经记录在储存器。

接着说明人们如何能够识别表达式树状结构之树林中的最大子表达式。此系通过树/树林修剪演算法来取得。任何不依赖其它方法估算其值的方法系定义为终端型式。形式上，该值为World的名称化特性(应用程序″Adobe Photoshop 2.5″)、World的无名称化特性(系统文件夹)或常数(字串″xxxx″)、(整数1234)。

演算法系从扫描关联性子句群体的单独终端型式开始。此演算法将一组指向群体中出现该型式的所有位置的指标与所有单独终端型式联系在一起。

演算法会启动工作子表达式型式的数据库，当作所有终端型式的集合，亦即开始时，工作子表达式型式为终端子表达式型式。这些子表达式将会加以注记，以便在下一阶段进行估算。

演算法将会在各个阶段进行，各阶段将工作子表达式型式转换为母树型式的集合。当工作数据库空白时，该演算法即终止。在给定的阶段中，其将递归通过所有工作型式的集合。对于各个在工作集合中被注记而在此阶段被研究的型式而言，其将考虑该表达式的所有母表达式的集合。此为可行的方式，因为一组指向其出现在群体中的指标会与型式联系在一起。

除了该等母方法调用之外，其可找出单独的型式，即方法名称与方法自变量的唯一组合，并可给定子表达式而做为第一层子表达式。此种单独的调用模式戏称作母型。若不存在母型，则子表达式会从工作数据库中被删除。若恰好有一母型，则工作数据库中的子表达式会以其母型来取代，同时该母型会加以注记而仅用于处理下一阶段，而指向母型出现位置的指标将利用先前指向子树出现位置的指标来进行适当的计算。若存在一个以上的母型，则新的最大型式会加以识别。此最大型式会被指定一最大型式识别码，且在各个参用该型式的表达式上会进行绕接器转换。换言之，在出现型式的所有表达式中，绕接器系根据下列程序码而插入到型式的周围：

(Maximal-Subexpression$ID#(quote$$))

其中ID系由识别出的最大型式的识别码取代，$$系代表最大型式本身的出现，而(括号)型式系为了避免立即估算，即如以上之说明。

工作型式数据库而后被扩充而纳入所识别出之最大型式的唯一母型，且新加入的项目会加以注记而用于下一阶段，并且纳入指向通知群体中各个母型之出现位置的指标。

此演算法的终点存在一组被转换的表达式，其中最大共用子表达式已被识别，而且只会进行简洁的估算。

读取器可能会想要查核演算法是否针对上述之五个关联性子句产生期望的结果。

二进制关联性判断的另一种选择

本发明预期一种状况，其中消息到达之后会依据告知使用者关于某些相关消息的目的而进行计算，且其中时间的选择、格式及其它包含通知与否的通知属性等，皆会被特定计算结果的影响。若想进一步影响关联性评估，可针对上述之系统稍加变更即可。

在一实施例中，本发明系根据非二进制判断准则来取得关联性评估的结果。在关联性语言中，建构良好的短语将可产生数值结果而非布尔值。布尔真值被视为与数值1.0等同，而布尔假值则被视为与数值0.0等同。在此已假设，通知本体中的某些子句系产生布尔值，而其它子句则产生介于0与1之间的数值。0与1之间的数值被解释为指出完全相关与完全不相关之间的关联性程度。在一实施例中，使用者接口会将根据关联性程度所分等的公告呈现给使用者，其中值为1.0的公告排在列表的最上方，而值为0.0的公告则排在最下方。此种由布尔值扩充至实数的变更即所谓的模糊逻辑。

在不同的实施例中，关联性判断的输出为明确的标示。在此实施例中，真值与假值为两个标示，而使用者接口则主要系为了显示被标示为真的消息。然而，另有如Attractive Offer或Chronic Household Situation Needing EventualAttention等标示。这些标示系由关联性子句的评估而来，并取决于本发明所附加之使用者接口，这些标示有别于其它种类的标示而导向不同的通知方法或不同的呈现方法。中央协调机构的实施(例如advisories.com)提供一种用于公布及规划这些标示的机制。在使用者端实施过滤能够让使用者将相关方法与不同的标示联系在一起，该等方法包括没有通知的可能性。

在本发明之一实施例中，一层额外的分析系插入关联性评估与使用者接口之间。因此，关联性计算的结果可根据使用者的喜好及对于使用者的观察而被过滤。因此，关联性计算将会影响通知的过程，而非单独判断消息的通知状态。举例而言，使用者能够在使用者端利用过滤方法(如上之说明)阻止显示某些表面上有关联的消息。在一实施例中，此种审查机制会自动执行。通知读取器或其它应用程序包含用于观察使用者行为及推知关于使用者喜好的模块，并可驱动此种审查机制。同样地，在一实施例中，优先处理的机制会自动执行。通知读取器或其它应用程序包含用于观察使用者行为及推知关于使用者喜好的模块，使得除了关联性消息以外，较可能吸引使用者兴趣的消息将会较早被显示或以更显著的方式显示。

另一种消息格式

MIME绕接器的另一种选择

在此揭露的较佳实施例系使用MIME，其为一种习知的互联网标准且做为分组公告的方法，并在互联网及其它数字传输媒介上进行传输。

另一种分组文字信息而用于远端解译的方法系XML语言。此种语言亦可进行等级化通信，并且能够适用于以上所列举之类型的消息元件。

在此揭示的基本配置具有多种实施的方式。不论是使用如MIME及XML等习知的协定或私人专用的协定，这些协定皆可用于实施本发明。

三方通信的替代

本发明系以三方通信的观点加以讨论，其中包括人类可解读的信息、关联性子句，以及计算机可解读的信息。此三个以逻辑方式连接的部分不需要分组成同一个具际消息，这些部分只要有关联即可。举例而言，ASUP协定传送仅包含消息识别符及从消息本体抽取出的关联性子句的摘要，其包括解释性内容、软件以及参考数据。在ASUP之下，关联性子句的评估会驱动第二个读取器-服务器的互动，如此即可获得相关的消息本体。在其它实施情况下，关联性子句与内容之间更松散的关系将会被保留，其中有关联的结果将会开始整个消息序列的搜寻。

关联性语言的替代

在描述使用者的计算机及其环境的状态时，关联性语言系一种方便的工具。然而，其它语言可加以修改而成为适用于计算关联性之通信的型式。

JAVA模式

JAVA程序语言系一种已知并广泛应用于特定计算的工具。

在本发明之一实施例中，关联性语言的角色系利用由JAVA程序语言所实施的软件工具来扮演。由于JAVA广受欢迎的特性，软件发展者及其它计算机专家将会广泛接受此种实施方式。

以目前人们所了解用于发展上述实施的最佳方法而言，JAVA语言的改编版RELEVANCE-JAVA已被发展，其具有自己的专门化资源，并且通过专用的JAVA装置来计算。此特别版本的用意系为了提供如同以上所描述之关联性语言的隐私及安全的特性。RELEVANCE-JAVA语言提供三种特性而使其成为非常有用的工具：

·专门化的检查器词库：特殊的JAVA对象及类别已被发展用于判断使用者计算机的特性。该等对象及类别可检查文档系统、系统环境以及与计算机及其环境相关的特性。此功能系通过开启JAVA虚拟机器上的某些特性来存取装置的特征而达成。

·隐私权限制：虽然RELEVANCE-JAVA语言能够得知大量关于使用者装置的信息，但其无法将收集而来的信息传回给作者。此功能系通过限制对象及类别的安装并关闭JAVA虚拟机器中的某些特性而实现。

·安全性限制：虽然RELEVANCE-JAVA语言能够得知大量关于使用者装置的信息，但其无法变更该装置，亦即修改文档及影响系统环境设定。

以上所描述的三方通信系以下列方式进行操作：一方系由人类可解读的解释性内容所组成；一方系由指定消息在何种情况下将在使用者装置上成为具关联性的RELEVANCE-JAVA程序码所组成；而另一方则为计算机可解译的程序码，其或许为不同版本的JAVA，并且能够在使用者同意之下影响使用者的装置。

Visual Basic模式

Visual Basic程序语言系一种已知并广泛应用于特定计算的工具。

在本发明之一实施例中，关联性语言的角色系利用由Visual Basic程序语言所实施的软件工具来扮演。由于Visual Basic广受欢迎的特性，软件发展者及其它计算机专家将会广泛接受此种实施方式。

以目前人们所了解用于发展上述实施的最佳方法而言，Visual Basic语言的改编版RELEVANCE-BASIC已被发展，其具有自己的专门化资源，并且通过专用的Basic翻译器来计算。此特别版本的用意系为了提供如同以上所描述之关联性语言的隐私及安全的特性。RELEVANCE-BASIC语言提供三种特性而使其成为非常有用的工具：

·专门化的检查器词库：特殊的Visual Basic函数及数据型态已被发展用于判断使用者计算机的特性。该等函数及数据型态可检查文档系统、系统环境以及与计算机及其环境相关的特性。

·隐私权限制：虽然RELEVANCE-BASIC语言能够得知大量关于使用者装置的信息，但其无法将收集而来的信息传回给作者。此功能系通过限制对象及类别的安装并关闭BASIC翻译器中的某些特性而实现。

·安全性限制：虽然RELEVANCE-BASIC语言能够得知大量关于使用者装置的信息，但其无法变更该装置，亦即修改文档及影响系统环境设定。

三方通信系以下列方式进行操作：一方系由人类可解读的解释性内容所组成；一方系由指定消息在何种情况下将在使用者装置上成为具关联性的RELEVANCE-BASIC程序码所组成；而另一方则为计算机可解译的程序码，其或许为不同版本的Visual Basic，并且能够在使用者同意之下影响使用者的装置。

UNIX模式

UNIX命令解译器(Shell)在变异的实施中可视为一种描述性语言，其为已知并广泛应用于检查文档系统之特性与特定计算的工具。

在本发明之一实施例中，关联性语言的角色系利用由UNIX命令解译器及相关的UNIX工具所实施的软件工具来扮演。由于UNIX广受欢迎的特性，软件发展者及其它计算机专家将会广泛接受此种实施方式。

以目前人们所了解用于发展上述实施的最佳方法而言，UNIX命令解译器的改编版RELEVANCE-Shell已被发展，其具有自己的专门化资源，并且通过专用的Shell翻译器来计算。此特别版本的用意系为了提供如同以上所描述之关联性语言的隐私及安全的特性。RELEVANCE-Shell提供三种特性而使其成为非常有用的工具：

·专门化的检查器应用程序：特殊的应用程序已被发展用于判断使用者计算机的特性。该等应用程序可检查文档系统、系统环境以及与计算机及其环境相关的特性。RELEVANCE-Shell能够得知上述特性。

·隐私权限制：虽然RELEVANCE-Shell能够得知大量关于使用者装置的信息，但其无法将收集而来的信息传回给作者。此功能系通过解除Shell翻译器中的某些通信及网络特性的存取而实现。

·安全性限制：虽然RELEVANCE-Shell能够得知大量关于使用者装置的信息，但其无法变更该装置，亦即修改文档及影响系统环境设定，除非通过标准机制来进行，例如在诸如tmp(暂存文件夹)等标准位置上建立暂时文档，并接受资源的计量分配。

三方通信系以下列方式进行操作：一方系由人类可解读的解释性内容所组成；一方系由指定消息在何种情况下将在使用者装置上成为具关联性的RELEVANCE-Shell程序码所组成；而另一方则为计算机可解译的程序码，其或许为不同版本的Shell或其它UNIX可解译的程序码，并且能够在使用者同意之下影响使用者的装置。

状态描述的另一种选择

以上已说明可用于描述使用者计算机之状态的别种方法。若人们可使用各自拥有独特接口的观察器社群，则不需要利用整个关联性语言来描述状态。而后关联性语言可被任何一种表达式工具所取代，且该应用程序模块可通过该工具而被调用及控制。

中等关联程度的处理

在本发明之详细说明所采取的立场上，关联性评估的目的系为了居中传达通知给使用者，以告知消息的存在。为了达此目的，通知读取器应用程序的功能系做为通信中心，而公告则扮演类似电子邮件、USENET新闻组及其它通信型式之消息的角色，因为该等消息系做为使用者定义之时间排程的一部分而被使用者读取。在此观点下，使用者为其计算机、所有物及其组织成员的管理者，而使用者读取有助于其扮演管理者角色的通知。

然而，仍然有其它非管理的环境，其中关联性可利用使用者所参与之过程的一部分而使信息传达给使用者。

·导引：使用者系计算机应用程序的使用者，而以关联性为基础的通信系在执行某动作当时或在执行某动作之后提供基准给使用者。

·组成结构：使用者利用计算机上的显示应用程序来读取文件，而以关联性为基础的内容改编制作该文件，使得人类可解读的消息可直接目标锁定读者的特点。

事实上，上述所有应用程序皆为本发明之实施例。经过计算之关联性通信模式的价值远超过上述之管理模式。

关联性导引的计算机互动

以下为一实例，其显示公告如何能够在软件操作中导引使用者。

兹考虑下列问题：某一危险的电子邮件在广为散布的情况下被接收。当使用者利用电子邮件程序Eudora 4.0收到该电子邮件时，该使用者看到表面上无害的邮件消息，且该邮件包含一附加文档而期望被开启。实际上，此附加文档为经过恶意制作的文件；若被开启，则将导致使用者的计算机受到破坏。

以下的讨论将说明一种以关联性为基础之通信的实施方法，其有助于以有效的方式来处理上述状况。在该实施当中，作者会制作一公告，并在使用者利用Eudora开启该附加文档之前，先行评估其关联性。关联性子句将会检查所欲进行之动作的各种属性，同时准确地目标锁定开启具有某种属性之附加文档的意图。而后该公告将邮件应用程序向使用者显示的文字内容返回给该邮件应用程序。

在一实施例中，所希望得到的效果可利用下列交互应用程序通信设施而产生：

·邮件读取器应用程序具有关联性评估事件的特殊集合；亦即，公告之作者所熟知的预先定义的事件。

·无论何时当这些事件出现时，该邮件读取器会通过标准的事件通知协定而将该事件告知通知读取器。

·通知读取器将会保留事件群体；亦即，在接收到某些事件的通知之后，试图针对公告进行评估。

·在接收到对应事件的通知之后，通知读取器将会评估事件群体中的公告。

·通知读取器以下列其中一种方式通知使用者有关联性的消息：

利用通知读取器的标准使用者接口直接通知应用程序的使用者；或

将有关联的消息传送给邮件读取器。然后邮件读取器再根据该应用程序的使用者接口而将该等消息显示给使用者。

上述各种通知方法系在使用者喜好、作者喜好或应用程序之预设值的控制下加以选择。

此种由事件所驱动的结构功能特别强大，当：

·应用程序传送一种包含关于事件的描述性信息。在邮件读取器的背景下，Eudora About to Open Attachment(Eudora将开启附加文档)事件会附带关于邮件寄件者的信息、关于附加文档之名称的信息，以及关于附加文档之属性的信息。

·通知读取器含有检查器词库，其将参用由应用程序所提供的功能；例如，邮件寄送者及文档名称等。

在上述背景下，若人们想要警告所有从king@athens.gr接收附有附加文档之邮件的使用者，使其不开启该附加文档，则可制作一关联性子句以目标锁定将开启该附加文档的使用者。公告系通过MIME的标头列机制及以上所描述的消息列变化加以处理并转送到通知事件群体。预先定义之通知事件所接续的advice-event-pool：型式的简易标头列即指出所想要的发送路线。

适用关联性的通信

以下为一实例，其显示关联性如何能够用于特制信息本体的散布(参照图19)：

兹考虑下列问题：某一发行者想要建立一电子文件，此文件之内容系为读者特别制作；例如，由于该内容中的广告较适合某些读者，或者由于该内容所包含的技术信息较适合某些读者。无论如何，理想的特制内容必须深入了解较可能由使用者得到的使用者喜好、所有物及组织成员的型态及细节。

以下的讨论系描述利用本发明之关联性评估单元加以实施的系统。此实施能够让发行者建立适用关联性的文件，以解决上述问题。发行的操作系以数字文件的格式加以散布，其中该文件含有内嵌于其中并参照许多可能变更的内容。其它可能的变更可通过关联性子句加以选择。文件中确实出现在使用者显示器上的单元系依照使用者的详细特性所选择的单元。

以下为上述系统之一实施例：选择基本文档处理目的格式。为了具体起见，在此架设此为一HTML文件。而后定义一包含文件的特殊原始格式。在此背景下，此文件称作PRE-HTML文件。原始格式194提供安排多个以线性次序被修改之HTML文件的等级化嵌套区段的可能性。此种安排的各个单元会受到一个或多个关联性子句的保护。原始格式之各的单元与HTML文件的相异处系在于它们亦提供来自于关联性语言的内嵌式include表达式。

通知的作者系以关联性子句及检查器子句191来撰写文件。为了为特定使用者建立特制的文件，原始格式的文档会被传送到使用者计算机192，且原始格式中的文档会被编入特制的目的格式文件195。然后，目的格式文件会由目的文件处理系统进行处理，以显示特制的文件193。

此编辑步骤系出现特制及接受详细检查的步骤。当原始格式被处理时，其将遭遇多种元件。受到关联性子句保护且被评估为假的单元，或任何不为真的等级皆会被排除。被排除的元件将不会出现在最终的目的格式文档。受到关联性子句保护且被评估为真的单元则会被保留，并且会出现在最终的目的格式文档。所有被保留的单元会在置于目的文件文档之前先行被处理。若文档中存在任何的include表达式，则该等表达式将被估算，且估算的结果会内插入目的文件文档。

上述过程可解决制作特制文件的问题，因为关联性语言能够让通知提供者编写特制的文件，即如同作者已晓得使用者计算机及环境的详细信息，但使用者却不需要将个人信息透露给提供者。

上述之本发明的实施例安置一种通知提供者，其可在经过精确定义的环境下将信息呈现给使用者，并且利用以上所描述的关联性监督通信模式。在此，收集器、观察器及通知者在本发明中各具有不同的结构，但在抽象的层次上其功能相似。举例而言，将原始格式文件编入目的格式文件的工具在上述之五方模式(five-part model)中，其同时扮演观察器及通知者的角色，而目的文件处理系统则扮演通知者的使用者接口角色。收集器的角色可由任何一种系统或将原始格式文件带入使用者环境的系统来扮演。

在此种特制的文件中存在隐私的考虑。例如，以HTML做为目的语言即表示有可能发生信息泄漏。

其它由关联性所驱动的文件特制处理亦为可行的实施方式。举例而言，人们能够发展一种系统，在此系统中，原始文件并非一次全部编入已知格式的目的文档，而是建构成互动性的解释。以下为一实例：一原始文件系由许多页PRE-HTML格式的文件所组成。由关联性子句所保护的条件式编辑区块系内嵌于原始文件中，且包含上述利用关联性子句的表达式替换。当观看者逐页检查该文件时，每一页将会从PRE-HTML文件被编入HTML文件，若有需要亦可加以显示。在此模式中，使用者在文件中所通过的路径仅在执行期间被决定。例如，文件中的某些链接会受到关联性的保护。关联性表达式会参照环境属性，而这些环境属性系随着读者阅读该文件而改变；亦即，环境属性会因为读者在该文件中进行阅读而改变。举例而言，读者会被提示信息而做为阅读文件过程的一部分，而提示的结果将会使网站的简况变量产生变化，因而使得后来参访的网页产生变化。

远端存取个人信息

本发明能够让通知作者根据针对使用者计算机及其环境所计算得到的可查核情况之任意组合而目标锁定状况。此环境可包括个人性质的数据。由于某些类型的个人数据可以标准格式广泛存在于大量的个人计算机中，如此即可让本发明能够用于在个人性质的议题上告知众多的个人。自然的应用领域包括：

·个人财务：若有关于个人财产的信息系以标准格式存在于大量的使用者计算机或其环境中，则通知作者能够适时为众多的个人提供与其银行帐户管理或与其投资组合有关的关联性通知。

·个人健康议题：若有关于个人医疗记录的信息系以标准格式存在于大量的使用者计算机或其环境中，则通知作者能够适时为众多的个人提供关于药物交互作用的关联性通知，或关于基因或血型信息与药物之间的交互作用的关联性通知。

如此可建立前所未有的机会，亦即在不损害个人隐私的情况下，其能够提供高度目标锁定的通知。尽管通知作者制作关于使用者之财务或健康情况的详细宣告，且虽然需要详细得知敏感的个人信息以估算该等宣告，但本系统本身并不会将该等信息透露给作者。在某些情况下，使用者在读取关联性公告之后，其可选择揭露该等信息。

上述应用领域仅限于使用者获取并保留关于其所关注之项目的标准格式化的精确数据，且该等数据能够通过通知提供者所熟知的装置进行存取。人们极希望能够免除数据管理及数据输入工作的负担，以使得使用者不需要成为数据的管理者。特别是，负责维护与其客户有关之精确数据的专业机构极希望能够专注于其所负责之数据的完整性。例如：

·药局维护其使用者的记录。

·医师维护其病人的记录。

·金融机构维护其客户的记录。

上述施行者部分为其病人、使用者或客户维护精确且适时的记录而收取费用。

使用者极希望能够存取其所参与之专业机构所维护的某些关键信息。例如：

·人们希望所需要的数据能够在使用者计算机的要求之下而自动从药局取得，而不是使用者输入关于自己的医药处方的计算机数据。

·人们希望所需要的数据能够在使用者计算机的要求之下而自动从金融机构取得，而不是使用者输入关于自己的股票投资组合的计算机数据，并且每日进行操作。

·人们希望所需要的数据能够在使用者计算机的要求之下而自动从医药机构取得，而不是使用者输入关于自己的健康记录的计算机数据，并且每当该等数据有所变化时进行处理。

以下为利用本发明来解决上述问题的解决方案：

·远端医疗记录检查器、远端财务记录检查器，以及远端药物处方检查器的标准组合已发展完成，其语法及使用方法皆已公布。这些检查器拥有服务端元件及用户端元件，稍后将会说明。

·通知的作者撰写与个人数据之不同议题有关的通知。

·某些医师、金融机构及药局在其办公场所中的计算机上会安装服务端元件。他们会向大众宣传具有远端信息存取的功能性。

·有兴趣从利用远端信息存取而获益的使用者将会联系金融机构、医师或药局，并授权将其个人信息加入服务器软件。

·使用者订阅某些通知网站，其中该等网站的通知包含利用远端检查器的通知。此项订阅的起始时间适于让使用者计算机的通知读取器利用该项信息。

·该项通知会根据其所放置的通知群体而进行定期的评估。评估的结果会导致使用者计算机与远端计算机建立通信，以取得所需的信息。举例而言，使用者计算机上的远端药物处方检查器词库与药物信息服务器建立通信，并查询使用者是否拥有某些有问题的处方组合。

以下为利用本系统来撰写公告的实例：假设某药剂师为其患者提供一种抗抑郁药物，并且发现该患者同时使用一种抗炎药物而可能存在危急状况。在实际上，一个处方可能由精神病医师开出，而另一处方则在整形外科医师不知患者在使用其它药物处方的情况下开出。制造商将会制作指出危险情况的公告如下：

exists pharmacy prescription″Xanax″and  exists pharmacyprescription″Buterin″

制造商会将存在潜在危险组合的说明纳入消息的本体。当使用者计算机上的通知读取器遇到此关联性子句时，其将会联系药局服务器并查询药物处方Xanax与药物处方Buterin，并根据该项查询结果而决定该公告的关联性。若该项公告具有关联性，则通知读取器将会告知使用者该项状况。

在决定使用者是否接受本系统时，一项重要的议题系在于本系统保护使用者隐私的能力。为了达此目的，用户与服务器之间的互动过程系被周密地保护：

·使用者用户与药局服务器之间的通信系通过标准的加密方法(例如SSL协定)加以保护。

·要求信息之使用者的身份系由药局服务器的标准加密方法来加以认证。

利用这些装置，除了个人之计算机上的通知读取器之外，药局服务器可避免将与个人有关的信息泄漏出去。至少在一般的操作情况下，个人之计算机上的通知读取器不会将接收到的信息泄漏出去。

以下为一种用于上述之远端检查器的方便互动协定。在此协定中，很容易设置用户端软件。用户端会通过安全的链接而将准确描述查询于表面语言的ASCII字串传送出去。在上述例子中，用户端系传送药物处方Xanax。服务器利用关联性子句分析器的微型分析计算器来分析该处方。服务器知道此子句系指患者Joshph A.的处方记录，因为起始认证已发生作用，并且利用标准数据库的查询方法而在药物数据库中搜寻指出拥有医药处方Xanax之患者的数据项目。然后服务器以ASCII字串返回真值或假值，此时用户端分析此字串并将对应的布尔值返回给通知读取器。

双向通信

本发明之一目的仅容许单向的通信，即将通知从通知提供者送至通知使用者，但不容许使用者的信息泄漏给提供者。单向层一词即意谓此项功能。

然而，在许多情况下，此种模式将会受限。例如，在某些情况下，使用者想要和提供者联系，尤其是当使用者在互动中得到益处时。一个实例是当使用者想要得到解决一特定问题的技术支援，但现存的公告无法提出解决方案时。为了解决使用者所面临的问题，使用者愿意将有关于其配置设定的各种信息提供给解决方案的提供者。在其它情况中，订阅某一网站的通知使用者实际上为操作该通知网站之机构的职员，因此该通知使用者想要与特定的通知提供者分享信息。

开启双向沟通

开启双向沟通一词系指实施本发明的环境，且通常系以单向的方式进行通信，但是处理过程有时会将信息返回给通知提供者，同时该处理过程系发生在提供者可明确得知使用者计算机之身份的情况下。

问卷调查

在一实施中(参照图20)，定义一种称作问卷调查200的特定文件格式，其包含具有注解及明确的include-表达式的文字。在此已假设include-表达式系由两个金钱符号$$来限定。include-表达式系以关联性语言加以撰写，且不需要估算其真值或假值；例如，其值为字串或整数。同时亦假设注解之前有％符号。问卷调查的例子如下：

％Data needed by ABC Corporation to

％Diagnose the XYZ Problem

inventory of User Computer Configuration：

Computer Manufacturer：$$Manufacturer of Computer$$

Model：$$Model of Computer$$

OSVersion：$$version of Operating System$$

RAM：$$System Ram$$

Disk：$$size of boot volume$$

此问卷调查包含如计算机制造商等文字，以及如计算机之制造商等include-表达式。问卷调查的目的系为了使通知读取器能够利用其丰富的检查器词库来收集关于计算机型式及某些特征的信息。

以下为一实例，其显示如何运用问卷调查：如上之问卷调查系经过通知提供者200认证，并以具有明确内容型态201之MIME格式而被插入公告的解决方案部份。使用者将会观看到有关联的公告202以及附带的人类可解读之内容。人类可解读之内容如下：

您有XYZ状况。为了能够帮助您，在ABC公司的我们需要一些关于此状况的信息-关于您的系统环境的信息。若您按下左下方的按键，则此信息将会自动被收集。您将有机会重新检查该项信息，而后再同意将此信息传送到ABC公司。

在该公告的下方有两个按键：一个注明为收集信息，另一个则注明为要求重新检查。第一个按键系表示同意信息的收集；第二个按键则表示要求重新检查问卷调查的原始文档，以便得知更多关于提供者要求收集信息的用意。

若使用者同意203，则问卷中的关联性子句会被评估204，例如使用各种检查器205、206进行评估，对应的结果将会被纳入已经过评估的关联性子句。在前述的例子中，此处理过程将会产生：

％Data needed by ABC Corporation to

％Diagnose the XYZ Problem

inventory of User Computer Configuration：

Computer Manufacturer：Toshiba

Model：T1200

OSType：Windows 98

OSVersion：1.0

RAM：64M

Disk：2G

使用者可被提示纳入过程的结果，并且有机会检查该结果，同时将该结果传送给通知提供者。在一实施中，该等结果系以做为寄件者视窗之一部分的方式而提示给使用者，其显示此信息207的接收者，且下方有一注明为寄送208的按键。

采用此装置，关联性语言可简化通知提供者与通知使用者之间的通信，并让检查器收集通知提供者所需且使用者难于自行收集的信息。提供者能够受益，因为其可快速且精确地获得在技术支援过程中所需的重要信息，而使用者亦能够从中受益，因为此处理过程将可免除寻找正确数据及获得正确报告的工作负担。

为了使此种方法能够发挥作用，其必须让使用者接受此方法。使用者对于受到问卷诈骗的可能性相当敏感，其中问卷表明将收集一种信息，例如CPU的类型，但实际上却收集另一种信息，例如VISA信用卡卡号或密码等。

一种能够进一步得到使用者接受的技术系中央网站的隐私分级服务，当问卷以适当的随机响应协定来实施时，中央网站可证明该等问卷符合隐私的标准。在现行的网站协定下(请参阅Khare，Rohit，Digital Signature Label Architecture，The World Wide Web Journal，Summer 1997，Vol.2 Number 3，pp.49-64，Oreilly，Sebastopol，CA，http：//www.w3.org/DSIG)，存在一种建立分级服务的方法，其能够以可靠的方式证明某些消息确实具有某些特性。这些声明的可靠度，亦即其确实由该服务所提供而非诈骗者所制作，系根据标准认证及加密装置的运用而得以确保。运用此技术，隐私分级服务即可建立于中央网站，例如BetterAdviceBureau.org，以证明某些问卷系以一般能够接受的广告工作方式来收集信息，且推销员系以保护个人身份的情况下来使用该等信息。通知作者会为其问卷寻求具有尊重隐私之特性的认证而将该等消息提交给认证当局，而认证当局在仔细检查该等消息之后，其将选择性地同意证明某些消息具有尊重隐私的特性。在本发明之一实施例中，通知读取器的使用者接口或类似的元件系被设定为只有当问卷已经得到可靠的隐私分级服务的可靠证明之后，该等问卷才被容许呈现给使用者。

强制反馈

在本发明之一实施例中(参照图21)，为了与某一可靠的提供者维持关系，可开启双向通信。

以上系假设使用者的状况不同于本发明的一般环境。在此种变更的环境中，某些类型的通知提供者享有特殊的地位，例如雇主或承包商，其可让雇主或承包商以有别于在其它环境下的通知提供者而拥有强制性的特权。这些超载通知网站210公布由读取器211所收集的公告，而后再针对该公告212进行关联性评估。有关联的消息会呈现213给使用者，而使用者可能会同意或拒绝该公告所建议的动作214。反馈路径216让使用者的动作能够回报215给超载通知网站。

在此实施例中，可实施下列任一选项：

·某些通知网站的订阅系强制性的；

·某些通知无法被使用者删除，某些提供者无法通过使用者进行时间排程、设定优先顺序或加以反对；

·某些通知从使用者端产生自动化的反馈给提供者，其中系有关于下列之一或所有项目：

(a)使用者计算机的识别；

(b)某公告在该计算机上的关联性状态；以及

(c)使用者已经/未曾采行某公告中所建议之解决方案的事实。

反馈的内容系通过电子邮件或其它方便的电子装置来进行传送。

在此环境中，许多计算机的管理者能够：

(1)撰写公告而发送给多个由其管理的装置；

(2)期待所有的装置皆收到该公告；以及

(3)期待接收回复关于该等装置上之公告的关联性与/或解决方案状态的信息。

上述功能可通过修改以上所讨论之通知读取器的结构(参照图22)而加以实施。

·通知网站220可通过设定通知读取器之订阅管理员，使其具有该特殊状态而被给定特殊的超载状态(即如以上连同图21所讨论的)。

·新的消息列类型受托动作(Mandated-Action)会被设立，并且由通知网站以超载状态用于标示具有特殊关键字短语的消息部分，以调用特定的强制性特权：

将一消息标示为不可由使用者删除，且使用者不可通过通知读取器之使用者接口221来删除；

在关联性222，评估问卷223及寄回224标示一消息要求存在关联性之后立即通过反馈路径226通知225作者，该通知过程首先处理已填入各种include-字段的问卷，然后再将该信息传送给该作者；

使用者接受而寄回系标示一消息要求使用者在选择所伴随之公告的动作按键而接受所建议的动作之后立即通知作者；

使用者拒绝而寄回系标示一消息要求使用者在选择所伴随之公告的动作按键而接受所建议的动作之后立即通知作者。通知读取器经过适当的修改，以便当具有超载状态的消息被接收及处理时，其可执行所欲的功能。

遮蔽的双向通信

在执行双向通信的同时能够通过遮蔽回复者的身份而得到某种程度的隐私权保护。

通过匿名通信及隐私分级的遮蔽

在一实施情况中(参照图23)，当通知提供者与使用者以匿名的方式进行通信时，通知提供者231可从使用者的计算机上取得详细的信息。本发明之此实施例系限制通信的范围，使得当消息返回到通知提供者时：

·消息的标头不含唯一识别回复者身份的信息；

·消息主体本身不含唯一识别回复者身份的信息；以及

·处理过程包括三个部分：

通知提供者制作一文件，即如以上所讨论的问卷，用于以自动化的方式收集信息，或以HTML格式并通过使用者访谈来收集信息。使用者的通知读取器232可收集此信息。

在决定关联性时233：

若该文件为问卷，则通知取器将会填写适当的include-字段。

若该文件为HTML格式，则使用者会填写适当的调查问题。

该文件为通过某一中央网站，例如Better Advice Bureau、advisories.com或其它通过匿名重寄器或功能相同的服务而提供身份保护的网站，并以电子邮件通过反馈路径235、236而匿名选择通向提供者的路由。

此处理过程的最后一个阶段将会移除关于使用者身份的信息，此过程系借着删除消息标头的身份识别来达成。可预期的是，使用者将对此种处理方法的基本有效性具有信心，因为使用者了解中央网站会保护此处理方法的完善。

使用者自己需负责确保消息的本体中不含识别其身份的信息。例如，若使用者响应询问其姓名及地址的HTML格式，则使用者并无保护其身份。若使用者转寄含有识别信息(如IP地址)的问卷，则使用者并无保护其身份。

在一种实施中，使用者利用中央网站所提供的隐私分级服务来帮助保护其隐私。在现行的网站协定下(请参阅Khare，Rohit，Digital Signature LabelArchitecture，The World Wide Web Journal，Vol.2 Number 3，pp.49-64，OReilly，(1997)http：//www.w3.org/DSIG)，存在一种建立分级服务的方法，其能够以可靠的方式证明某些消息确实具有某些特性。这些声明的可靠度，亦即其确实由该服务所提供而非诈骗者所制作，系根据标准认证及加密装置的运用而得以确保。运用此技术，隐私分级服务即可建立于中央网站，例如BetterAdviceBureau.org，以证明某些问卷不含引诱敏感信息的手段。通知作者会为其问卷寻求具有尊重隐私之特性的认证而将该等消息提交给认证当局，而认证当局在仔细检查该等消息之后，其将选择性地同意证明某些消息具有尊重隐私的特性。在本发明之一实施例中，通知读取器的使用者接口或类似的元件系被设定为只有当问卷已经得到可靠的隐私分级服务的可靠证明之后，该等问卷才被容许呈现给使用者。

通过随机化响应的遮蔽

在一种实施例中，通知提供者系从使用者的计算机上取得详细的信息，同时致使使用者保护其自身的隐私。本发明之此实施例系限制通信的范围，使得当消息返回到通知提供者时：

·消息主体本身不含能够通过可靠推知而反映使用者之计算机或其环境的真实状态的信息。

在某些实施例中，此技术系利用中央化的匿名通信及中央化的隐私认证来实施。

此处理过程包括三个部分：

·通知提供者制作一文件，即如以上所讨论的问卷，用于以自动化的方式收集信息，然而需遵守额外的限制。

·通知读取器填入适当的include-字段，并随机改变回答以及取决于随机机制而更正不正确的回答。

·将最后得到的文件返回给作者。

在一种实施例中，信息被返回的过程为匿名的。文件会提交给某一中央网站，例如Better Advice Bureau或advisories.com，或其它通过匿名重寄器或功能相同的服务而提供身份保护的网站。此处理过程的最后一个阶段将会移除关于使用者身份的信息，此过程系借着删除消息标头的身份识别来达成。

以下将更详细说明随机改变回答的概念：在此假设只有具有布尔值的问卷才能够被允许，然而在额外的操作之下可容许更一般化的问卷。通知读取器的关联性评估单元会估算include-字段中所指示的布尔值表达式；然而，并不会始终都会将结果插入外送的消息中。由关联性评估所得到的值将指称为R。通知读取器并不会总是将R所代表的值取代include-字段，而是进行两阶段的推测实验。在第一阶段里，通知读取器会从随机数发生器中取得一随机的布尔值X，此随机的布尔值即类似于真值或假值。X的值将会保持为私用的，并且在第一阶段中做成判断。在此决定中，若X的布尔值为真，则该判断系将R所代表的值插入include-字段中。若X的布尔值为假，则该判断系再一次取得或然率相同的第二个布尔值Y，并将Y所代表的值插入include-字段。因此，在任一特定的消息中，惟独以该消息为基础来判断关联性评估阶段所获得的答案(R)为真或假是不可能的，因为报告的值为R或Y的可能性是相同的，而且在R与Y之间做成判断的变量X无法透露。

如此即可保障使用者的隐私权。

在此同时，上述之随机化响应通信协定可容许问卷的作者取得关于使用者的可靠信息，并且不会泄漏特定使用者的信息。若π代表具有某种样本特征的使用者比例，而P代表所接收的真值响应的比例，则：

E(p)＝1/4+π/2

其中E(p)代表数学期望值。

由p＝E(p)(大数定律)，π可估计为：

举例而言，若61％的响应为真，人们估计72％＝2(61％-25％)的样本具有给定的特征。

上述方法具有非布尔值变量的扩充以及多重项目的响应。

为了使上述方法能够发挥效果，必须得到使用者的接受。一种能够进一步得到使用者接受的技术系中央网站的隐私分级服务，当问卷以适当的随机化响应协定来实施时，中央网站可证明该等问卷符合隐私的标准。在现行的网站协定下(请参阅Khare，Rohit，Digital Signature Label Architecture，The World Wide WebJournal，Vol.2  Number 3，pp.49-64，Oreilly(1997)，CA，http：//www.w3.org/DSIG)，存在一种建立分级服务的方法，其能够以可靠的方式证明某些消息确实具有某些特性。这些声明的可靠度，亦即其确实由该服务所提供而非诈骗者所制作，系根据标准认证及加密装置的运用而得以确保。运用此技术，隐私分级服务即可建立于中央网站，例如BetterAdviceBureau.org，以证明某些问卷系适当地运用随机化响应技术，并且能够保护个人身份。通知作者会为其问卷寻求具有尊重隐私之特性的认证而将该等消息提交给认证当局，而认证当局在仔细检查该等消息之后，其将选择性地同意证明某些消息具有尊重隐私的特性。在本发明之一实施例中，通知读取器的使用者接口或类似的元件系被设定为只有当问卷已经得到可靠的隐私分级服务的可靠证明之后，该等问卷才被容许呈现给使用者。

网络管理

以下的讨论将说明本基础发明之两个重要的变更，其有助于解决网络管理的问题；亦即，管理计算装置的大型网络。

强制性通知

在本发明的基本描述中，其中已假设提供通知的用意系让身为管理者角色的使用者能够方便适当地读取及操作其所拥有的选择(参照图24)。

在某些环境当中，先前所描述的基本通信模式可进行有用的更改，因而使用者不用检查某些公告。在此环境之一实例中，网络管理者240监督通信计算装置的大型网络，同时各个装置可能彼此不相同且不断地改变其状态。该网络管理者想要让某些通知能够执行某种操作，但却不知道该等通知为何。

在上述环境下，若拥有能够取得并检查242公告的通知读取器程序241，则具有实用价值，且当确定关联性之后243，通知读取器将会自动应用所指示的解决方案操作者244。如此即可让网络管理者撰写目标锁定多个装置但却不知出现的装置为何的一般性公告，并且在该等装置上得到所需的功能。解决方案或通信工作记录245可选择性地通过反馈路径246而寄送回网络管理者。

适用上述功能的场合包括：

·目标锁定其安全性设定不符某管理者所订定之标准的所有装置。重新加入所要求的环境设定。

·目标锁定所有具有某一文档之拷贝的装置。在该等装置上，以更新过的文档取代该文档。

·目标锁定其近端磁盘的可使用空间低于某数量的所有装置。在这些装置上，清除暂存的文档量。

此外，亦存在其它的实例，其中包括技术支援以外的应用领域。例如，以办公室设备为计算装置的环境中，网络管理涉及与维护及监视设备财产及其使用状况有关的工作。

以目前所了解之本发明的最佳实施例而言，其中存在若干变更：

·通知读取器系以无接口之应用程序的方式进行实施，其中不存在使用者接口。

·在典型的情况下，通知读取器系通过不同于一般的订阅模式的通信机制进行接收；例如，通过电子邮件或其它散布机制。

·消息的格式略除人类可解读的内容。

·消息格式纳入消息组成部分，其中包括软件工具，例如描述字符集(script)或可执行二进制程序码，或参用软件工具，例如URL或文档系统之路径名称，其在某种情况成为有关联时提供可被自动调用的功能。

某些技术特征可包括下列变更：

·安全性技术特征：通知读取器包含一种认证技术特征，其可用于查核试图运用强制性特权的通知网站之身份。

·双向通信技术特征：当通知的作者要求时，通知读取器能够返回与通知作者沟通，此功能系由Mandated-Action：消息列来表示。

主从配置

在本发明之描述中，其中已假设提供通知的用意系让身为管理者角色的使用者能够方便适当地读取及操作其所拥有的选择。在描述中，已隐含假设使用者为个人计算机或其环境的管理者。

在某些环境当中，先前所描述的基本通信模式可进行有用的更改，以反映大量计算装置之管理者的需求。在此环境之一实例中(参照图25)，网络管理者250监督通信计算装置251-253的大型网络，同时各个装置可能彼此不相同且不断地改变其状态。该网络管理者想要一种其功能为主动读取器254的通知读取器，其中该管理者在主动使用者接口中所观看到的各个项目系同时总结多个装置255、256上之通知的关联性状态。如此可让管理者监控257、258并决定一并接受或拒绝多个装置上的通知。

在上述环境中，网络管理者的工作站系主动装置，而其所管理的计算装置则为从动装置。人们非常希望有一种主动通知读取器程序在主动装置上执行并取得公告，而后该主动装置和若干从动装置进行通信，各个从动装置皆执行从动关联性计算器及从动动作实施器，并且总结互动的结果。这些从动关联性计算器接收来自主动通知读取器的消息。该等消息系由绕接信息及个别的关联性子句所组成。从动装置系在由该等装置所定义的环境中进行关联性子句的估算，并将所得到的值传送到主动装置。而后主动读取器研究如此得到的结果，并依照特殊的主动使用者接口将主动有关联性的总结呈现给网络管理者。若附带的关联性子句之布尔值在任一从动装置上为真，则消息即被视为主动有关联的。网络管理者研究主动有关联的消息，并且可能接受某些消息所附带的建议动作。当管理者接受建议后，主动读取器会与取得关联性结果之从动装置上的从动动作计算器进行联系，并将所建议的动作做为公告的一部分而加以传送，同时指出该动作应被执行。各个从动动作计算器皆以上述方式联系，而后在该装置所提供的环境下运用所指示的解决方案。

在上述环境中，网络管理者订阅通知，并且扮演代替所有从动装置之使用者管理通知之处理的角色。当一项通知在本发明之一般情况下为有关联时，若该通知建议使用者应该更新其装置上的软件，则当网络上的某些装置亦应该进行更新时，相同的通知将会呈现给网络管理者，如此即可有效率地建议所有在网络上的装置进行对应软件的更新。

以目前所了解之本发明的最佳实施例而言，其中存在若干本发明在一般模式下的变更：

·从动关联性计算器及从动动作实施器系以无接口之应用程序的方式进行实施，其中不存在使用者接口。

·在典型的情况下，从动关联性计算器及从动动作实施器系通过不同于一般的订阅模式的通信机制进行接收；例如，通过电子邮件或其它散布机制。

·主动读取器与从动关联性计算器之间的通信消息格式略除人类可解读的内容。

·主动读取器与从动动作实施器之间的消息格式纳入消息组成部分，其中包括软件工具，例如描述字符段或可执行二进制程序码，或参用软件工具，例如URL或文档系统之路径名称，其在某种情况成为有关联时提供可被自动调用的功能。

此外，某些变更亦可执行。从动关联性计算器及从动动作实施器包含一种认证技术特征，其可用于查核试图运用强制性特权的通知网站之身份。

取决于网络管理者的不同观点，主动使用者接口所具有的技术特征在本发明之一般情况下无法使用。这些技术特征包括：

·装置列表显示：显示所有与被给定之公告有关联的装置列表。纳入该等装置的其它特征来修饰此列表。

·装置列表过滤：将选择机制应用于有关联之装置的列表，并且仅容许将所建议的动作运用于该关联性装置群体中的次集合。特别有用的是能够穿插预先定义的列表，例如某操作部门之装置的列表、某地之装置的列表，或在其它公告中呈现为有关联之装置的列表。同样重要的是让装置的列表能够扩充至关联性装置以外，以容许手动编辑或接续其它的装置列表，例如预先定义的列表，或在其它公告中呈现为有关联之装置的列表。

以上所描述的逻辑结构系公告之单一本体的逻辑结构，该等公告在不同的背景集合下进行关联性评估，其中在所有不同背景中的结果会被集合成单独的主动使用者接口。此逻辑结构在其它环境中具有意义。举例而言，在以上所描述的药物交互作用的例子中，药剂师为管理者，其收到来自制药商的公告之本体系可应用于多种不同背景下的本体，且该药剂师的各个客户的数据库记录提供用于解读该等公告的特殊背景。在此，背景并非个别的装置，而是指数据库中的个别记录。主动使用者接口系本发明之另一种变更的基础；例如，利用专门化的数据库检查器来操作，主动通知读取器可取得与一给定的公告有关联之所有患者的列表。使用者接口仅将与主动装置有关联的信息呈现给药剂师，亦即与数据库中某些患者有关联的公告。而后药剂师再检查有关联的公告，并检查相关患者的列表。

虽然本发明已参照较佳实施例而详细说明如上，凡熟悉此项技术者当可轻易了解其它不脱离本发明之精神和范围的应用领域，因此本发明之保护范围当视后附权利要求书所界定的范围为准。

Claims (44)

1.一种通信系统，其特征在于，所述系统包含：

一通知提供器，其在一通信媒体上传播信息；

一通知使用者，它从所述通信媒体收集所述传播的信息；以及

一读取器，附带于所述通知使用者，用以判断所述传播信息的关联性；

其中，只有当所述信息符合某种特定关联性条件时，所述通知使用者才会被告知所述信息。

2.如权利要求1所述的系统，其特征在于，所述读取器还包含：

在不向所述通知提供器透露所述通知使用者的身份的任何方面的情况下，将关联性信息提供给所述通知使用者的装置。

3.如权利要求1所述的系统，其特征在于，提供给所述通知使用者的所述信息的相关性是基于通知使用者计算机的所有特性、所述计算机的内容或状态，或与所述计算机相关的当地环境的特性的。

4.如权利要求1所述的系统，其特征在于，所述通知提供器通过参照一通知使用者的特性来指定与所述信息有潜在关联的读者群，所述特性用于判断提供给所述通知使用者的信息的关联性。

5.一种通信方法，其特征在于，它包含下列步骤：

在一通知提供器位置处制作一信息；

利用网络并以匿名的方式将所述信息传播给潜在的通知使用者；

在一通知使用者位置处，处理所述信息；

判定所述信息是否与所述通知使用者有关联；

其中，所述信息是在不要求所述通知使用者将其身份或属性透露给所述通知提供者的情况下，传播给所述通知使用者的。

6.一种在包括由通信网连接的计算装置的系统中，用于链接信息提供器与信息使用者的通信设备，其特征在于，所述设备包含：

被分享的特定通知单元；

传送所述通知的数字文件；

以公告的形式传播所述通知的通知提供器；

接收所述公告的通知使用者；

其中，所述公告是从所述通知提供器通过所述通信网传播到所述通知使用者的；以及

通信协定，通过使公告和与所述公告相关的通知使用者自动匹配的方式，集中目标目标锁定所述公告。

7.如权利要求6所述的设备，其特征在于，它还包含：

一与通知使用者的计算机相关联的通知读取器，用于执行关联性判断。

8.如权利要求7所述的设备，其特征在于，所述的关联性判断是根据一组条件的组合而自动进行的，所述条件可以包括硬件特征、配置特征、数据库特征、环境特征、经过计算的特征、远端特征、适时性、个人特征、随机性以及通知特征。

9.如权利要求6所述的设备，其特征在于，所述公告包含：

数字文件，它包含解释性部分，它以所述通知使用者能够轻易理解的用语来描述所述公告具有关联性的理由，以及建议所述通知使用者采取动作的目的与效果。

10.如权利要求7所述的设备，其特征在于，所述的通知读取器包含：

一收集器，用于收集所述通知使用所订阅的公告；

一订阅管理员，用于根据建立在至少一个使用者网站所定义的文档，以输入对公告的订阅；

一解绕接器，用于对所述公告进行语法分析；

一模块，用于判断所述公告的关联性，所述判断可以持续或以预定时间间隔的方式来进行，或在使用者的手动控制下进行；

一使用者接口，用于接收有关联的公告；以及

一显示及管理系统，它显示有关联的公告，以供通知使用者检查。

11.一种通信设备，其特征在于，它包含：

一公告，其包含：

一关联性子句，它包含一声明，所述声明涉及有关一通知使用者计算机的状态、内容或环境，其可自动通过将所述声明与所述使用者计算机的实际状态加以比较来评估；

一与所述关联性子句相关的消息，它对于所述使用者的适用性至少有一部分是由评估所述关联性子句来确定的；

一收集器，用于确保所述关联性子句从不同位置流入所述通知使用者计算机；

一观察器，它通过与一通知使用者环境的实际状态进行比较来评估所述关联性子句，并检测所述通知使用者计算机及其环境的特性，以及检查结果是接近还是远离关联性；以及

一告知器，至少在部分经过评估的关联性子句的导引下，将消息显示给一通知使用者。

12.如权利要求11所述的设备，其特征在于，所述公告还包含下列任一项：

一绕接器，用于对所述公告中的信息进行分组，以用于传送及后续译码；

一来源列，用于识别一通知作者；

一主题列，用于识别所述公告的考虑；

一关联性子句，用于指出所述通知为有关联的条件；

一消息本体，用于对所述通知使用者提供解释性材料，以解释何种条件下可发现关联性、为何与所述通知使用者有关联，以及被建议采取何种动作；以及

一动作按键，向使用者提供能够调用所建议的动作的自动化执行。

13.一种针对一个以上数字文件进行编码的装置，所述数字文件在计算机网络以及其它数字传输媒体上传送通知，其特征在于，它包含：

一绕接器，用于对一个或以上的数字文件进行分组，以用于传送及后续译码；

一来源列元件，用于识别一通知作者；

一主题列部分元件，以总结的方式识别所述通知之主题事项；

一关联性子句元件，用于指出所述通知为有关联的条件；

一消息本体元件，用于对一使用者提供解释性内容，以解释何种条件下可发现关联性、为何与所述使用者有关联，以及所建议的采取何种动作；以及

一动作按键元件，用来让所述使用者能够调用所述被建议的动作的自动化执行；

其中，所述一个以上数字文件包含未针对特定收件者或收件者列表的传播的消息。

14.如权利要求13所述的装置，其特征在于，所述一个或以上数字文件还包含下列任一项：

一何时过期子句，若所述子句被评估为真，则使一文件成为过期的文件；

一何时评估的子句，若所述子句被评估为真，则使所述文件受到关联性评估；

一要求检查器词库的子句，用于给出所述检查器词库的名称以及其可被找到的URL，其中，为了使关联性能够正确地被评估，必须安装所述检查器词库；

一参考子句，用于给出与一文件有关之状况所参考的系统关键字标示；以及

一解决方案效用子句，用于给出所建议响应的效果的关键字标示。

15.如权利要求13所述的装置，其特征在于，所述消息本体还包含：

数字认证特征，它附加于所述消息上，以确保其完整性及认证。

16.如权利要求13所述的装置，其特征在于，所述一个或以上数字文件被分组为文字文档，其为MIME文档的有效实例。

17.如权利要求16所述的装置，其特征在于，所述MIME文档还包含下列任一项：

标头列，用于指定消息本体之前有一延伸消息标头，所述延伸消息标头由各种标头列组成，其中，各列由众所周知的子句开始，且包含地址、日期及相关说明；

在消息中建立新消息列的装置，包括将所述新消息列嵌入消息中的装置，以及用MIME认证来登记所述新列的装置；

提供相同消息的不同版本的装置，且具有目地选取适当显示的方法；以及

一摘要机制，用于将几个完整的MIME消息分组成用于互联网传送的单一的文档。

18.如权利要求13的所述的装置，其特征在于，它还包含：

一个以上的分级块，用于包含信息，所述信息是按照隐私权、安全性及有用性等判断规则其中之一，而将所述一个以或以上数字文件加以分级。

19.一种针对一个或以上数字文件进行编码的方法，所述数字文件在计算机网络或其它数字传输媒体上传送通知，其特征在于，所述方法至少包含下列步骤：

将所述一个或更多数字文件进行分组，用于传送及后续译码；

识别一通知作者；

以总结的方式识别所述通知之主题事项；

指出所述通知为有关联的条件；

向使用者提供解释性内容，以解释何种条件下可发现关联性、为何与所述使用者有关联，以及所建议采取的何种动作；以及

向所述使用者提供能够调用自动执行所述建议的动作；

其中，所述一个或多个数字文件包含未针对特定收件者或收件者列表的传播消息。

20.如权利要求19所述的方法，其特征在于，所述一个或多个数字文件还包含下列任一项：

一何时过期子句，若所述子句被评估为真，则使一文件成为过期的文件；

一何时评估的子句，若所述子句被评估为真，则会评估所述文件的关联性；

一要求检查器词库的子句，用于给出所述检查器词库的名称以及其可被找到的URL，其中，为了正确评估关联性，必须安装所述特定的检查器词库；一参考子句，用于给出与一文件有关的状况所参考的系统关键字标示；以及

一解决方案效用子句，用于给出所建议的响应效果的关键字标示。

21.如权利要求19所述的方法，其特征在于，所述消息本体还包含：

数字认证特征，它附加于所述消息上，以确保其完整性及认证。

22.如权利要求19所述的方法，其特征在于，所述一个或多个数字文件分组为文字文档，其为MIME文档的有效实例。

23.如权利要求22所述的方法，其特征在于，所述MIME文档还包含下列任一项：

标头列，用于指定消息本体之前有一扩展的消息标头，所述扩展的消息标头由各种标头列所组成，其中，各列由众所周知的子句开始，且包含地址、日期及相关说明；

在消息中建立新消息列的装置，包括任何将所述新消息列嵌入消息中的装置，以及通过MIME认证登记所述新列的装置；

提供相同消息不同版本的装置，且具有目地选取适当显示的方法；以及

一摘要机制，用于将几个完整的MIME消息分组成用于互联网传送的单一的文档。

24.如权利要求19所述的方法，其特征在于，它还包含：

一个或多个分级区块，用于包含信息，所述信息是按照隐私权、安全性及有用性等判断规则其中之一，而将所述一个或多个数字文件加以分级。

25.一种用于检查计算机之任一特性的方法，所述计算机特性包括所述计算机配置、所述计算机储存装置的内容、所述计算机的周边装置、所述计算机的环境或远端的相关计算机，其特征在于，所述方法包含下列步骤：

检查器调度程序

提供至少一个检查器，所述检查器包含一个检查器词库以及相关的方法；以及

利用所述至少一个检查器来评估子表达式；

检查器调度程序中，所述检查器进行下列其中之一的计算：进行数理逻辑计算、执行计算规则、返回系统调用的结果、访问储存装置中的内容，以及对装置或远端计算机进行查询。

26.如权利要求25所述的方法，其特征在于，它还包含下列步骤：

提供一个与通知用户计算机相关的检查器程序，以持续进行关联性判断；

其中，所述关联性判断由关联性子句来驱动，其可持续地被评估；以及

其中，所述检查器词库包含可由该检查器程序调用的可执行码，作为所述关联性评估过程的一部分。

27.如权利要求25的所述的方法，其特征在于，它还包含下列步骤：

将特定的关联性子句传送到远端位置；

评估所述子句；以及

在一使用者作成被传送的内容之后，返回所述子句；其中，所述远端位置的特性是已知的。

28.如权利要求25的所述的方法，其特征在于，所述关联性评估是在一主从关系中由一主机所驱动，所述主机告知一从属装置进行一个关联性子句的评估。

29.如权利要求26所述的方法，其特征在于，所述方法调度模块执行下列步骤：

在一关联性语言中对一子句进行语法分析；

根据所述语法分析步骤，产生一个方法调度列表，其中，以特定变量表的特定顺序调用特定的方法；以及

以适当的顺序系统地执行一系列的方法调度。

30.一种检查器，用于检查计算机之任一特性，所述特性包括所述计算机的配置、所述计算机之储存装置的内容、所述计算机之周边装置、所述计算机之环境或远端的相关计算机，其特征在于，所述检查器包含：

一检查器词库，它包含可执行码，所述可执行码被调用而作为持续关联性评估过程的一部分；以及

一个或多个检查器方法，用于进行数理逻辑运算、执行算术运算、返回系统调用的结果、访问储存装置中的内容，以及对装置或远端计算机进行查询。

31.如权利要求30所述的设备，其特征在于，它还包含：

一与通知用户计算机相关联的检查器调度程序，以持续进行关联性判定，其中，所述关联性评估是由关联性子句数据库驱动的，它可以持续地受到评估；

其中，所述检查器词库包含可执行码，它由所述检查器调度程序调用，以作为关联性判定过程的一部分。

32.如权利要求30所述的设备，其特征在于，所述特定关联性子句被传送到远端位置，并进行评估，并且在一使用者作成被传送的内容之后，返回所述关联性子句，其中，所述远端位置的特性可以是已知的。

33.如权利要求30所述的设备，其特征在于，所述关联性评估是在一主从关系中由主机驱动的，所述主机告知一从属装置进行一关联性子句的评估。

34.如权利要求30所述的检查器，其特征在于，所述检查器词库还包含：

一[短语]的说明，用于关联性语言中；

所述[短语]与一特定方法的关联；

用于评估过程的新数据型态的说明；

调用所述特定方法的原型的说明，包括提供给所述特定方法的数字以及变量所需的数据型态；

所述特定方法所产生的数据型态的说明；

所述特定方法以可执行形式中的实施；

在事件中要调用而与程序码有关的特殊勾连的说明，所述事件包括：检查器调度程序的起始、检查器调度程序的终止、检查器调度程序主要估算回路的起始，以及检查器调度程序主要估算回路的终止；

与所述特定方法有关之特殊高速缓存的建立及维护，及与其有关之特殊勾连的说明；以及

可执行形式之特殊事件方法及高速缓存方法的实施。

35.如权利要求30所述的检查器，其特征在于，它还包含：

一模块，用于将所述检查器词库链接至所述检查器调度程序，并附带所有经过估算的说明，以使所述检查器调度程序的内部数据结构产生变化，其中，新方法可提供所述检查器调度程序调用。

36.如权利要求35所述的检查器，其特征在于，它还包含：

一语法列表，用来将所述产生的变化提供给所有经过允许的短语以及它们所操作的相关数据型态；以及

一调度列表，用以系统地针对给定的短语及数据型态的有关可执行方法进行判定。

37.如权利要求30的所述的检查器，其特征在于，所述多个检查器词库是安装于所述检查器调度程序之一实例，用以定义一组在关联性语言中能够识别的[短语]、一组在估算时经过允许的数据型态，以及一组有关这些数据型态的方法。

38.如权利要求30所述的检查器，其特征在于，所述检查器词库在所述检查器调度程序被启动时，链接到所述检查器调度程序；以及

其中，调用说明程序、在关联性语言的语汇分析表中安装新[短语]，且当所述链接发生时，所述等新[短语]与特定方法的调用相关联。

39.如权利要求30所述的检查器，其特征在于，它还包含：

一基础层，它包含一机构，用于进行基本操作，包括所有与系统无关之基本算术与逻辑运算；

一系统特定层，其与特定的操作系统相关；

一个或多个销售者特定层，用于提供对特定硬件装置及软件产品的访问；以及

适当的附加层，它们是以其它通知提供者为基础的。

40.如权利要求30所述的检查器，其特征在于，所述检查器包含：

一系统特定检查器，用于访问一操作系统之特性，并允许通知被写入，以检查附加装置及其它子系统之存在与配置；

一登录检查器，使关联性语言能够参照及估算一登录数据库的特性；

一喜好设定检查器，使关联性语言能够参照及估算一特定应用程序之喜好设定文档的特性；

一数据库检查器，使关联性语言能够访问数据库中的字段；以及

一使用者简况检查器，使关联性语言能够参照存放在使用者简况中的数据。

41.如权利要求30所述的检查器，其特征在于，它还包含：

一模板文档，用于描述一组变量，一通知提供者计划在公告中参照所述变量组；

其中，所述模板文档放置在通知网站，并且在同步的时间以自动的方式被收集起来；

其中，所述模板文档用于驱动用户计算机上的编辑模块，其为使用者呈现模板变量名称列表及其目前值的列表，若先前未被定义，则出现空白字段；以及

其中，所述使用者可填写所述空白字段并编辑其它字段。

42.如权利要求30所述的检查器，其特征在于，所述检查器包含：

一远端检查器，用于检查其它通信装置的特性；

其中，所述远端检查器系检查下列任一项：

远端物理测量；

远端装置查询；

远端计算；

远端数据库查询；以及

远端关联性调用。

43.如权利要求30所述的检查器，其特征在于，所述检查器包含：

一程序纪录检查器，使关联语言能够参照存放在特定工作纪录文档或与任何特定应用程序有关之文档的数据，其中，所述程序工作纪录文档可包括网站浏览器、电信工作纪录、传真工作纪录或点击数据流工作纪录其中之一。

44.一包含由通信网连接的计算装置的系统中的检查器，所述系统包含一种用于将信息提供者与信息使用者链接起来的通信设备，所述通信设备包含被分享的通知的特定单元、传送所述通知的数字文件、以公告形式传播所述通知的通知提供者、接收所述公告的通知使用者，其中，所述公告是从所述通知提供者在通信网上传播到所述通知使用者，一通信协定用于以自动化的方式集中目标目标锁定所述公告，并使所述公告与所述公告有关联的通知使用者匹配，以及一与通知用户计算机相关的检查器调度程序，用以持续进行关联性判定，其中，所述关联性判定由关联性子句数据库来驱动，这些关联性子句可持续地被评估，其特征在于，所述检查器包含：

一检查器词库及其相关的方法，其利用所述至少一个检查器，来评估子表达式；

其中，所述检查器词库包含可执行码，所述可执行码由所述检查器调度程序调用，作为所述关联性判定过程的一部分；以及

其中，所述检查器进行下列其中之一项工作：数理逻辑运算：执行计算规则、返回系统调用的结果、访问储存装置中的内容，以及对装置或远端计算机进行查询。

Images