隐私保护的虚拟电子邮件系统的制作方法

隐私保护的虚拟电子邮件系统
1.相关申请的交叉引用
2.本技术要求2020年12月3日提交的题为privacy-preserving virtual email system(隐私保护的虚拟电子邮件系统)的美国申请no.63/121,087的优先权，其公开内容通过引用并入本文。
技术领域
3.本说明书涉及被链接到用户信息并且能够被用作认证和/或授权目的的标识符的数据处理和电子邮件地址。


背景技术：

4.电子邮件地址为用户提供了通过互联网通信的方式。通常，用户具有一个或多个用于各种目的的电子邮件地址。例如，用户可能具有用于与工作同事通信的工作电子邮件地址，以及用户可能具有用于与工作之外的朋友通信的个人电子邮件地址。


技术实现要素：

5.通常，本说明书中描述的主题的一个创新方面能够被体现在方法中，该方法包括从用户设备接收并且在身份服务器处接收被映射到用户信息值的第一集合的第一电子邮件地址的登录凭证，由身份服务器检测触发事件，响应于检测到该触发事件，由身份服务器创建与第一电子邮件地址分离并且被映射到与用户信息值的第一集合不同的用户信息值的第二集合的新的虚拟电子邮件地址，由身份服务器检测来自请求实体的对凭证的请求，并且响应于检测到该请求，由身份服务器将新的虚拟电子邮件地址作为新的登录凭证传输到请求实体。
6.这些实施方式和其他实施方式每个都能够可选地包括以下特征中的一个或多个。在一些实施方式中，触发事件是用户输入和由身份服务器定义的预定条件之一。
7.在一些实施方式中，登录凭证以文本输入、音频输入或视觉输入的形式被提供。
8.在一些实施方式中，将新虚拟电子邮件地址作为登录凭证传输到请求实体包括：通过令牌化应用编程接口来传输通过令牌化api表示新的虚拟电子邮件地址的数据，其中表示新的虚拟电子邮件的数据是无法被追溯到第一电子邮件地址的令牌。
9.在一些实施方式中，该方法包括：由身份服务器并且基于新的虚拟电子邮件地址通过创建将新的虚拟电子邮件地址映射到用户信息值的第二集合的数据库条目来更新数据库。在一些实施方式中，该方法进一步包括从用户设备接收指示对新虚拟电子邮件地址的改变的输入，以及由身份服务器并且基于指示对新的虚拟电子邮件地址的改变的输入来更新数据库条目。
10.在一些实施方式中，对凭证的请求包括指示用户设备已经访问具有用于输入凭证的一个或多个文本字段的网页的数据。
11.该方面的其他实施例包括被配置为执行方法的动作、被编码在计算机存储设备上
的相应的系统、装置和计算机程序。
12.用户通常具有一个主电子邮件地址，他们将其用于许多目的，包括接收电子邮件和作为标识符以创建第三方的帐户，以及其他目的。由于对用户的便利性，使用电子邮件地址作为标识符的兴趣越来越大。通过允许使用电子邮件地址作为认证和/或授权目的的标识符，用户能够简单地输入他们的电子邮件地址以授予应用、内容提供者或其他实体访问任何所请求的用户信息的权限。
13.然而，因为用户通常将在许多年的过程中使用单个主电子邮件地址，因此该主电子邮件地址可能与特定于用户的大量信息相关联，这些信息在用户拥有邮件的电子邮件地址的整个时间过程中积累。用户可能不希望授予请求实体访问与他们的主电子邮件地址相关联的全部信息集合的权限。请求实体能够包括，例如，内容提供者或政府组织。此外，用户可能希望在被询问时创建临时身份，并且可能不希望他们的活动被存储和访问。例如，使用共享计算机来计划惊喜旅行，在旅行期间他们将要向另一半求婚，的某人可能不希望他们的另一半可以访问他们最近的旅行计划活动。在该情况下，使用电子邮件地址作为临时标识符而不是其他类型的标识符(例如，第三方cookie)能够帮助防止数据或其他信息泄露给意外方。
14.以下描述讨论了各种技术和系统，用于在用户浏览互联网或在他们的设备上使用本地应用时保护他们的隐私，同时仍然能够实现个性化体验，其通过减少用户为了达到他们正在寻找的在线信息而必须提出的网络请求的数量(减少了所需的计算资源、所需的服务器访问、所需的数据传输以及消耗的用户设备电池资源)来产生更高效的系统。
15.虚拟电子邮件系统允许用户创建和管理虚拟电子邮件地址以用作代替cookie的标识符。虚拟电子邮件地址能够被用作方便用户使用的维护身份的方式，并且为他们提供对正在收集哪些数据、正在如何收集数据以及正在如何使用数据的一定程度的控制。通过使用由保护层与用户的主要身份分离的虚拟电子邮件地址标识符，以及通过允许用户控制与特定虚拟电子邮件标识符相关联的信息，所描述的系统为用户提供了方便的解决方案，该解决方案保留或者甚至改进对他们可用的隐私并且允许请求实体访问用户已授予访问权限的用户信息。用户能够随时创建新的虚拟电子邮件地址并且调整隐私设置。所描述的系统允许用户控制被收集的数据以及该数据在粒度基础上能够被维护的时间长度。例如，所描述的系统允许用户创建各种安全、隐私和保护级别的虚拟电子邮件地址，从而提高数据安全性。
16.所描述的系统能够自动地检测其中应该生成新的虚拟电子邮件地址的情况，为用户提供无缝体验，该无缝体验为他们提供对如何以及何时能够使用他们的数据的控制，而无需用户在每次用户可能想要新的虚拟电子邮件地址时手动地实现措施。
17.然后虚拟电子邮件地址能够被提供给安全api，该安全api执行，例如，虚拟电子邮件地址标识符的令牌化以在虚拟电子邮件地址和请求实体之间提供保护层。然后该令牌能够被用于标识、授权和/或认证目的。
18.能够实现本说明书中描述的主题的特定实施例以实现以下优点中的一个或多个。例如，使用令牌化技术保护用户数据防止对参与过程的实体可用的用户信息被泄露给其他实体。另外，通过实现其他保护层(包括加密)，虚拟电子邮件管理系统的结构防止实体访问任何超出认证或授权所必需的信息。例如，虚拟电子邮件系统能够维护虚拟电子邮件地址
之间的分离，使得主电子邮件地址不可以由被授予访问映射到主电子邮件地址的虚拟电子邮件地址的实体访问。贯穿本文档讨论的技术还使个性化内容选择、互联网浏览和应用使用以及其他活动能够被执行，同时防止涉及内容交付或请求实体的任何系统能够跨不同网站、数据集成平台、时间段等跟踪单个用户。
19.本文中讨论的技术包括为了认证和/或授权的目的使用编码数据或令牌代替实际数据来传输数据，使得参与本文中讨论的过程的计算系统没有访问底层数据的权限，但仍然能够使用这些代码执行过程的操作。即使数据被破解，例如，被盗或被泄露给另一实体，使用代码代替实际数据也保护了数据，从而提高数据安全性。
20.系统还基于触发事件为用户自动地生成虚拟电子邮件地址，减少用户所需的输入量并减少内容呈现中的延迟。通过自动地生成虚拟电子邮件地址，系统减少了执行该过程所需的必要中央处理单元(cpu)周期，例如，通过不必须对来自用户的大量输入进行加密和解密，减少了执行该过程的延迟，这对于使用该过程来选择内容以用于在用户设备上呈现的实施方式是关键的，并且使整个过程更加高效。此外，数据能够在特定的计算系统被本地缓存，从而减少对任何缓存数据的未来请求的延迟。减少延迟还减少用户设备在等待这样的内容到达时发生的错误的数量。由于内容经常需要以毫秒为单位被提供并且被提供给通过无线网络连接的移动设备，因此减少基于用户信息对内容的选择和提供的延迟对于防止错误以及减少用户受挫是关键的。通过自动地生成虚拟电子邮件地址以及然后使用该电子邮件地址用于认证和/或授权，系统为用户提供无缝体验。
21.所描述的技术还提供了用于维护高级别隐私的简化过程。通过对于映射到用户的单个主电子邮件地址的各种用户标识符实施统一管理系统，该系统为用户隐私提供了高标准，而无需对用户所需的输入或请求实体的认证和/或授权过程的大量改变。
22.本说明书中描述的主题的一个或多个实施例的细节在附图和以下描述中阐述。本主题的其他特征、方面和优点将从描述、附图和权利要求中变得明显。
附图说明
23.图1是用于隐私保护的虚拟电子邮件地址系统的示例环境的框图。
24.图2描绘了用于生成虚拟电子邮件地址的过程的数据流。
25.图3描绘了由虚拟电子邮件地址系统生成和管理的电子邮件地址的树形结构。
26.图4是生成虚拟电子邮件地址的示例过程的流程图。
27.图5是示例计算机系统的框图。
28.各个图中的相同的附图标记和名称表示相同的元素。
具体实施方式
29.以下描述涉及为用户提供对电子邮件地址标识符的生成和管理的控制。因为用户通常将在很长一段时间内保留相同的主电子邮件地址并且通常不删除该电子邮件地址，所以它通常被链接到这段时间内收集的大量用户信息。另外，主电子邮件地址能够被用作登录应用或网站的凭据，用户可以使用该主电子邮件地址作为登录其许多帐户或访问其他数据的凭据。
30.用户可能不希望向每个请求实体，诸如网站、供应商、内容提供者等，提供链接到
他们的主电子邮件地址的所有数据，或者允许这种实体随着时间的推移基于他们的主电子邮件地址来收集用户数据。然而，创建新的电子邮件地址以用作每个新的请求实体的凭据并且管理信息能够是乏味、耗时的，并且与用于生成和使用多个电子邮件地址的自动化技术相比，其使用更多的计算资源。
31.为了解决该问题，所描述的系统生成将被用作标识符的虚拟电子邮件地址，例如，在用户可能希望限制向请求者提供的信息的数量或类型和/或请求者有权访问信息的时间量的情况下。系统能够自动地检测触发为用户创建虚拟电子邮件地址的事件或条件，并且还允许用户手动地发起新的虚拟电子邮件地址的创建。用户还能够通过他们的用户设备访问系统，与不同的应用、网站通信，并通过应用编程接口(api)请求实体。
32.虚拟电子邮件地址被提供给存储用户简档信息的数据库。该简档信息在数据库中通过电子邮件地址被组织。例如，简档信息能够通过电子邮件地址被索引。一旦虚拟电子邮件地址被链接到数据库内的简档信息，虚拟电子邮件地址就能够被用作用于认证和/或授权目的标识符或其他凭证。如以下进一步详细描述的，用户能够随时管理电子邮件地址的设置或删除电子邮件地址。
33.图1是用于隐私保护的虚拟电子邮件地址系统125的示例环境100的框图。示例环境100包括网络102，诸如局域网(lan)、广域网(wan)、互联网，或它们的组合。网络102连接电子文档服务器104(“electronic doc servers”(电子文档服务器))、用户设备106、安全api 120、虚拟电子邮件地址系统125(其包括隐私身份服务器130和身份数据库140)以及数据集成器150。示例环境100可以包括许多不同的电子文档服务器104、用户设备106和数据集成器150。
34.用户设备106是能够通过网络102请求和接收资源(例如，电子文档)的电子设备。示例用户设备106包括个人计算机、可穿戴设备、智能扬声器、平板设备、移动通信设备(例如，智能电话)、智能电器、游戏系统和能够通过网络102发送和接收数据的其他设备。在一些实施方式中，用户设备能够包括向用户输出可听的信息的扬声器，以及从用户接收可听的输入(例如，口语输入)的麦克风。用户设备还能够包括提供交互式语音界面以用于提交输入和/或接收响应于输入而提供的输出的数字助理。用户设备还能够包括用于呈现视觉信息(例如，文本、图像和/或视频)的显示器。用户设备106通常包括用户应用，诸如网络浏览器，以有助于通过网络102发送和接收数据，但是由用户设备106执行的本地应用也能够有助于通过网络102发送和接收数据。
35.用户设备106包括诸如浏览器或操作系统的软件。在一些实施方式中，软件允许用户通过诸如网络102的网络访问信息，从服务器检索信息并且在用户设备106的显示器上显示该信息。在一些实施方式中，软件管理用户设备106的硬件和软件资源并为用户设备106上的其他程序提供公共服务。软件能够充当程序和用户设备的硬件之间的中介。在该特定示例中，在用户设备106上运行的应用112是允许用户通过网络102访问信息的软件。
36.电子文档是在用户设备106处呈现内容集合的数据。电子文档的示例包括网页、文字处理文档、便携式文档格式(pdf)文档、图像、视频、音频、搜索结果页面、流传输视频游戏内容和馈送源。本地应用(例如，“应用程序app”)，诸如安装在移动计算设备、平板计算设备或桌面计算设备上的应用，也是电子文档的示例。电子文档105(“electronic docs”(电子文档))能够由电子文档服务器104提供给用户设备106。例如，电子文档服务器104能够包括
托管发布者网站的服务器。在该示例中，用户设备106能够发起对给定发布者网页的请求，并且托管给定发布者网页的电子文档服务器104能够通过发送发起在用户设备106处的给定网页的呈现的机器超文本标记语言(html)代码来响应该请求。
37.电子文档能够包括多种内容。例如，电子文档105能够包括在电子文档本身内和/或不随时间改变的静态内容(例如，文本或其他指定内容)。电子文档还能够包括可以随时间或基于每个请求而改变的动态内容。例如，给定电子文档的发布者能够维护被用于填充电子文档的部分的数据源。在该示例中，给定电子文档能够包括标签或脚本，当给定电子文档由用户设备106处理(例如，渲染或执行)时，该标签或脚本使用户设备106从数据源请求内容。用户设备106将从数据源获得的内容集成到给定电子文档的呈现中以创建包括从数据源获得的内容的复合电子文档。本文中所指的媒体内容是一种数字内容。
38.对于每个用户，应用和内容提供者能够为访问他们的数据的每个用户维护标识、认证和/或授权信息。通常，该信息使用被存储在用户设备上的被称为cookie的一小段数据而被存储和分类。然而，cookie通常由每个应用创建者或内容提供者创建和存储，并且能够被用于编译个人的历史活动的记录，而没有来自用户的关于能够被收集的信息的类型或数量、关于能够被保留信息的时间量、或者关于能够与谁共享信息的输入。另外，cookie的安全性通常依赖于发布网站的安全性，其能够不同。cookie的这些属性能够向用户提供隐私和安全风险。
39.安全api 120有助于敏感数据到第三方的传输，其将接收到的数据替换为非敏感占位符。例如，安全api 120能够执行令牌化以将接收到的数据替换为令牌。安全api 120能够被用于通过将接收到的数据替换为不相关的值来保护数据并使数据不敏感。例如，不相关的值能够具有相同的大小和格式。令牌能够保留原始数据的元素，并且然后被提供用于认证或授权过程，并且原始数据被存储在安全的令牌库中。令牌化的数据提供优于其他保护形式的优势，因为令牌化的数据是不可破译和不可逆的。由于令牌与原始接收数据之间没有数学关系，令牌无法返回其原始形式。
40.身份服务器130是允许创建和管理电子邮件地址的服务器。在一些实施方式中，身份服务器130能够被用于创建和管理虚拟和实际电子邮件地址两者。身份服务器130包括电子邮件管理模块132和用户界面134。身份服务器130能够被实现为一个或多个处理器。在一些实施方式中，身份服务器130能够是单个服务器。身份服务器130也能够被实现为分布式系统，其组件位于不同的联网计算机上。
41.电子邮件管理模块132实现了例如在特定时间生成虚拟电子邮件地址的电子邮件管理模块。例如，电子邮件管理模块132能够检测触发生成虚拟电子邮件的事件。这些事件，也称为触发事件，能够由用户、身份服务器130和/或请求实体以及其他实体指定。例如，电子邮件管理模块132能够检测到当前用户已经导航到他们以前从未访问过的网站，并且该网站正在请求凭证。电子邮件管理模块132然后能够确定网站的访问之前尚未被用户访问过，以及凭证的请求是由身份服务器130指定的触发事件并且生成链接到用户的主电子邮件的新的虚拟电子邮件地址。该新的虚拟电子邮件地址能够被提供给新网站，例如，而不是用户的现有电子邮件地址。
42.电子邮件管理模块132能够生成或修改具有特定参数的虚拟电子邮件地址。例如，电子邮件管理模块132能够生成具有特定隐私保护级别、具有特定用户信息集合并且链接
到用户的主电子邮件地址的虚拟电子邮件地址。在一些实施方式中，在特定的虚拟电子邮件地址和用户的主电子邮件地址之间能够存在多层电子邮件地址。与用户的主电子邮件地址链接的电子邮件地址被存储在其中的结构能够是例如树形结构的形式。以下关于图3详细描述树形结构和每个电子邮件地址之间的连接。
43.身份服务器130的用户界面134允许用户向电子邮件管理模块132提供输入。例如，用户界面134允许用户执行操作，诸如发起新的虚拟电子邮件地址的生成、发起用于新的虚拟电子邮件地址的输入创建参数、改变现有电子邮件地址参数以及删除现有电子邮件地址和其他操作。身份服务器130能够向客户端设备106提供用户界面134和/或在用户设备106处更新用户界面134。例如，身份服务器130能够提供使用户设备106生成用户界面和向用户设备106的用户显示数据。
44.身份数据库140使用用户的个人标识符来存储用户信息。例如，身份数据库140能够是基于电子邮件的信息存储系统，其中信息是链接到特定电子邮件地址的用户信息。在该示例中，个人标识符是特定的电子邮件地址。该信息能够包括基于特定电子邮件地址的用户已向请求实体提供要收集的授权的数据而确定的度量。例如，该信息能够包括用户的位置信息和用户上个月访问特定咖啡店已经花费的平均时间量。
45.数据集成器150组合来自不同来源的数据，并向用户提供数据的统一视图，该数据的统一视图能够比数据的原始呈现更能提供信息或更有用。数据集成器150合并不同类型的数据并且允许用户执行诸如查询或分析数据的动作。在系统100内，数据集成器150接收并处理数据以供另一个用户使用，诸如请求实体。
46.图2描绘了用于在图1的示例环境中生成虚拟电子邮件地址的过程的数据流200。数据流200的操作由系统100的各种组件执行。例如，数据流200的操作能够由通过安全api 120与身份服务器130通信的用户设备106执行。
47.流程从步骤a开始，其中用户登录到他们的主电子邮件地址。例如，用户能够登录到用户的主电子邮件地址exampleemailaddress@exampledomain.com。用户能够通过用户设备106登录到他们的电子邮件地址。例如，用户能够使用用户设备106上的电子邮件客户端来登录到他们的电子邮件地址。在一些实施方式中，用户能够通过应用112登录到他们的电子邮件地址。应用112能够是与电子邮件客户端集成的互联网浏览器，并且应用112能够是例如网络浏览器，用户能够通过该网络浏览器访问基于网络的电子邮件客户端。
48.流程继续进行步骤b，其中用户能够通过授权标准登录到有助于互联网浏览的应用。例如，用户能够通过诸如oauth、开放式授权标准的授权标准来登录到应用112。该标准允许用户使用电子邮件地址登录第三方应用、网站或其他目的地。例如，用户能够使用他们的主电子邮件地址exampleemailaddress@exampledomain.com登录到应用112，网络浏览器。授权标准能够使用，例如，安全api 120来执行令牌交换。
49.流程继续进行步骤c，其中用户能够使用有助于互联网浏览的应用来浏览网站和其他目的地，并使用他们的主电子邮件地址向他们的浏览目的地标识他们自己。例如，用户能够使用应用112来浏览互联网以及使用他们的主电子邮件地址exampleemailaddress@exampledomain.com来向他们当前访问的网站cute bird news example website标识他们自己。
50.流程继续进行步骤d，其中为用户生成新的虚拟电子邮件地址。能够创建虚拟电子
邮件地址，如关于步骤d-1所描述的，其中用户手动地发起新的虚拟电子邮件地址的生成，或者如关于步骤d-2所描述的，其中身份服务器130自动发起新的虚拟地址的生成。
51.在步骤d-1中，用户能够发起唯一电子邮件地址的生成并且指定电子邮件地址的参数。例如，用户能够点击用户界面134内的按钮、图标或其他控件，并将“newswebsitesemailaddress(新网站电子邮件地址)”作为新的本地部分输入到文本字段中，将“news websites(新网站)”作为其目的输入到另一个文本字段中，并且从可选择的项目的列表中选择他们的名称和位置作为虚拟电子邮件地址被用作标识符的请求实体能够访问的信息。通过该方式，用户能够控制哪个虚拟电子邮件地址被用于各种不同的目的。用户界面134提供允许用户编辑他们的信息并指示他们希望与请求实体共享哪些数据的电子邮件生成和管理ui。用户能够随时通过用户界面134除去或改变他们的电子邮件地址和属性。
52.例如，用户界面134允许用户创建、编辑和删除电子邮件地址。用户界面134能够向用户提供例如根据电子邮件地址的特定属性分类的他们的电子邮件地址的有组织的视图。用户界面134提供允许用户查看他们的电子邮件地址的子集的过滤和分类选项。在一些实施方式中，用户界面134能够向用户呈现他们的电子邮件地址的树形视图。该结构将在以下参考图3详细描述。
53.在一些实施方式中，能够为用户选择新的虚拟电子邮件地址的随机本地部分并呈现以供批准。在一些实施方式中，用户能够创建不同于他们的主电子邮件地址的本地部分的他们自己的本地部分。新的虚拟电子邮件地址能够由与主电子邮件地址相同的域托管。在一些实施方式中，新的虚拟电子邮件地址由与托管主电子邮件地址的域不同的域托管。
54.用户界面134允许用户选择他们想要使用来显示他们的电子邮件地址管理界面的视图。例如，用户界面134能够向用户提供用户界面134如何呈现电子邮件地址管理界面元素的选项。用户能够通过用户界面134在各种电子邮件地址之间切换并指定电子邮件地址的偏好和参数。用户界面134允许用户同时编辑一个或多个电子邮件地址。
55.用户能够通过选择快捷方式或启动身份服务器130来手动地访问用户界面134。例如，用户能够从他们在用户设备106上的桌面选择用户界面134。用户能够通过各种其他方法访问用户界面134以用于启动或访问应用，包括通过音频输入、手势、触摸输入等。例如，用户能够向个人助理设备说出触发词以启动用户界面134。
56.在一些实施方式中，能够触发用户界面134以用于向用户显示。能够基于由用户、身份服务器130和/或数据集成器150等指定的特定触发事件来触发用户界面134以用于显示。例如，能够在用户访问从用户请求凭据的购物网站时触发用户界面134以用于向用户显示。用户能够在无论何时被呈现时通过用户界面134访问由身份服务器130提供的任何创建和管理功能。在一些实施方式中，用户界面134的特定视图针对特定触发事件被呈现。例如，当用户访问由身份服务器130维护的网站黑名单上的网站时，能够向用户提供包括导航离开和锁定所有电子邮件地址和用户信息以防被访问的特定的、简短的动作列表。在另一示例中，当用户访问非黑名单网站时，能够被用于网站的虚拟电子邮件地址列表能够被呈现。以这样的方式，用户能够选择电子邮件地址中的一个以简单且有效的方式提供给网站。
57.在一些实施方式中，用户界面134能够显示存储的并且链接到特定电子邮件地址的用户信息。用户界面134还能够显示使用特定电子邮件地址作为标识符的历史。例如，用
户界面134能够显示具有对作为用户的身份的特定电子邮件地址的访问权限的网站、目的地和其他请求实体。
58.在步骤d-2中，其中电子邮件管理模块，例如电子邮件管理模块132能够自动地为用户创建具有特定属性的新的虚拟电子邮件地址。电子邮件管理模块132能够实现各种默认触发事件或条件以用于创建新的虚拟电子邮件地址。例如，电子邮件管理模块132能够创建默认触发条件以创建新的虚拟电子邮件地址以用于一次性使用、一个网站使用、一个数据集成器使用等。电子邮件管理模块132还能够指定何时应该删除包括任何相关的用户数据的虚拟电子邮件地址。例如，如果创建电子邮件地址用于一次性使用，则电子邮件管理模块132能够指定该电子邮件地址应该在使用后立即被删除。电子邮件管理模块132能够指定发起电子邮件地址的删除的触发事件、时间、条件等。电子邮件管理模块132还能够编辑电子邮件地址的设置和属性。例如，电子邮件管理模块132能够更新电子邮件地址以减少对用户信息的访问或移除用户信息。
59.在一些实施方式中，电子邮件管理模块能够使用从不收集、存储或提供用户数据的临时电子邮件地址。该类型的临时电子邮件地址能够被用于不安全或不期望信息被收集或交换的情况。在该示例中，用户的任何用户信息都不可能与该临时电子邮件地址相关联。
60.电子邮件管理模块通过自动地检测新的虚拟电子邮件地址能够或应该被用作用户的标识符的机会和情况来改进用户体验。除了提供无缝且简单的用户体验之外，身份服务器130和用户界面134允许用户通过向用户提供继续使用新创建的电子邮件地址的选择来行使对自动地创建的电子邮件地址的控制，以编辑一个或多个电子邮件地址的属性等。
61.电子邮件管理模块使用关于用户及其活动和目的地的信号来确定触发事件。触发事件能够在发生时被预先确定或检测。例如，电子邮件管理模块能够基于每次用户使用搜索术语“最佳”“惊喜”“假期”“位置”时发起新的虚拟电子邮件地址的创建以及在会话结束后删除虚拟电子邮件地址的用户历史来确定，每次用户输入该搜索术语组合时都应该创建新的虚拟电子邮件地址，并且应该在会话被结束后删除新的虚拟电子邮件地址。在另一示例中，电子邮件管理模块能够基于用户的活动来确定，该用户的活动包括访问各种珠宝店网站和点击不同类型的订婚戒指。然后电子邮件创建能够创建新的虚拟电子邮件地址，以在无论何时检测到用户正在访问珠宝店网站时被使用，使得该类型的活动仅被链接到特定于此目的创建的虚拟电子邮件地址。
62.电子邮件管理模块能够触发向用户显示用户界面134，以在新的虚拟电子邮件地址的创建时向用户显示新的虚拟电子邮件地址及其参数以用于批准或用于用户的信息。例如，当身份服务器130检测到用户已经通过应用112、网络浏览器和包括新创建的电子邮件地址及其参数的用户界面134的触发显示来输入搜索术语“最佳”、“惊喜”、“假期”、“位置”时，电子邮件管理模块能够创建新的虚拟电子邮件地址。然后用户能够批准创建并继续使用新创建的虚拟电子邮件地址，解除用户界面134以继续使用现有默认电子邮件地址用于触发情况、选择要使用的不同电子邮件地址、从搜索导航离开等。
63.触发事件能够是基于时间的。例如，电子邮件管理模块能够指定触发事件以每周删除具有特定属性集合的电子邮件地址。触发条件能够是访问特定网站或目的地。例如，电子邮件管理模块能够指定触发事件，以在访问the shopping for cute bird stuff的网站时，如果尚未被映射到该网站，创建新的虚拟电子邮件地址。触发事件能够是浏览会话的关
闭。例如，电子邮件管理模块能够指定触发事件，以在打开新的浏览会话时创建新的虚拟电子邮件地址并在关闭浏览会话时删除当前的电子邮件地址。触发事件能够是启动特定应用。例如，在启动与步骤1中用户通过其登录到他们的主电子邮件地址的网页浏览应用112不同的网页浏览应用时，电子邮件管理模块能够指定触发事件以创建新的虚拟电子邮件地址。触发条件能够基于用户设备106的特性。例如，当用户已经使用他们通常不使用或从未使用过的用户设备106登录时，电子邮件管理模块能够指定触发事件以创建新的虚拟电子邮件地址。
64.基于时间的触发事件能够被用于以指定频率回收和/或更新电子邮件地址。即，能够根据指定的频率将电子邮件地址从使用中移除并返回到服务。这能够限制实体可以使用电子邮件地址属性和其他用户标识信息的组合来确定用户身份的可能性，诸如与用户相关联的cookie或标识包括用户作为会员的用户兴趣组的用户组标识符。
65.在一些实施方式中，能够基于与用户相关的信息来确定和/或调整电子邮件地址被回收的频率。例如，频率能够基于用户的在线活动的度量(例如，用户在网上花费的频率或时间)、提供给用户的第三方内容的数量、包括关于用户的信息的数据库的数量等。例如，更活跃的用户的电子邮件地址可能比不太活跃用户的电子邮件地址更频繁地被回收，因为更有可能的是更大量的实体具有访问电子邮件地址和其他与不太活跃的用户相比更活跃的用户相关的信息的权限。因此，如果没有更频繁的回收，实体将比不太活跃的用户具有更好的机会了解更活跃用户的身份。
66.电子邮件地址也能够在被用于用户之后被更新。例如，用户能够在访问特定网站时选择使用特定电子邮件地址。作为响应，电子邮件管理模块能够在指定的持续时间内防止电子邮件地址的使用，并且然后在持续时间到期后更新电子邮件地址以供用户进一步使用。电子邮件管理模块能够与请求实体的数据库集成，以检测何时使用和记录电子邮件地址。或者，用户能够向电子邮件管理模块提供指示特定电子邮件地址被使用的数据，例如，使用用户界面134。在另一示例中，当用户选择特定电子邮件地址以用于请求实体时，用户界面134能够向电子邮件管理模块报告。
67.在一些实施方式中，多个用户能够共享电子邮件地址。每个用户都能够具有该电子邮件地址内的子帐户。这能够通过无法将电子邮件地址链接到使用共享电子邮件地址访问网站的特定用户来保护个人用户隐私。
68.多个用户能够基于电子邮件地址的兴趣类别和指示用户对该兴趣类别感兴趣的用户信息被分组到，例如分配给，该电子邮件地址。例如，用户的在线活动能够被分析，例如在用户的用户设备上使用隐私安全技术，以确定用户感兴趣的一个或多个类别。电子邮件管理模块能够从用户的用户设备接收用户的一个或多个兴趣类别，并将这些兴趣类别与各种电子邮件地址的兴趣类别进行比较。如果存在匹配，电子邮件管理模块能够将电子邮件地址分配给用户，并将该电子邮件地址包括在用户访问网站时能够使用的电子邮件地址列表中。
69.例如，确定对小狗感兴趣的每个用户能够被分配给电子邮件地址“puppies@example.com”。然后，这些用户中的每一个都能够使用该电子邮件地址访问网站和/或其他电子资源。以这样的方式，网站将不能标识个人用户，但是将能够为用户定制内容，例如，通过提供小狗相关内容或其他对小狗感兴趣的用户也感兴趣的内容。
70.在一些实施方式中，电子邮件管理模块能够维护触发事件被定义的网站的列表。例如，电子邮件管理模块能够维护网站的黑名单，对于该黑名单创建没有用户可访问信息的新的虚拟电子邮件地址是推荐的。在一些实施方式中，电子邮件管理模块能够基于诸如所提供内容的类别、第三方生成的信任分数、一段时间内的访问者数量、访问者的可信度等属性为每个网站生成分数。例如，邮件管理模块能够实现0至100范围的评分机制，其中100是最可信的。在该示例中，电子邮件管理模块能够将10分分配给网站，用户经常从该网站订购商品但已发布他们没有收到商品的投诉以及他们已经开始在他们使用的作为网站的凭据的电子邮件地址接收垃圾邮件的投诉。对具有满足阈值，例如，通过小于或等于阈值，的分数的网站的用户访问能够是触发事件。
71.在一些实施方式中，电子邮件管理模块能够由其他输入或事件触发，诸如来自用户的定义的音频输入。例如，如果用户拍手切换到不同的电子邮件地址身份或者创建新的虚拟电子邮件地址。当用户已授予访问其设备的相机和/或将手势定义为触发事件时，触发事件能够包括来自用户的视觉输入。例如，如果用户快速眨眼两次，或者执行诸如以特定方式挥手的特殊手势，则电子邮件管理模块能够检测到这些手势，并且触发新的虚拟电子邮件地址的生成。
72.在一些实施方式中，游戏玩家用户的电子邮件管理模块能够为每个游戏创建新的虚拟电子邮件地址以保持在线设置中的匿名性。例如，用户能够使用电子邮件地址作为标识符来登录流传输游戏平台。电子邮件管理模块能够为用户正在玩的每种类型的游戏(例如，角色扮演游戏(rpg)、益智游戏、策略游戏等)创建不同的虚拟电子邮件地址。
73.因为用户的主电子邮件地址和所有链接的虚拟电子邮件地址与第三方请求实体屏蔽但对身份服务器130可见，所以身份服务器130能够使用存储的结构，如关于图3详细描述的，来防御由用户在表面匿名电子邮件地址的伪装下进行的恶意或欺诈活动，该表面匿名电子邮件地址是由系统创建的虚拟电子邮件地址。
74.另外，系统为用户提供了灵活性，允许用户匿名访问资源。例如，用户能够创建单独的电子邮件帐户发送电子邮件。用户能够具有用于发送个人电子邮件的一个电子邮件帐户和用于向工作同事发送电子邮件以及用于申请工作的一个电子邮件帐户。因为一些电子邮件帐户可以具有不同的设置和限制，诸如对每日电子邮件数量的限制，用户通过具有不同的电子邮件帐户而具有更多的灵活性，因为发送的个人电子邮件数量不会影响用户能够发送的工作电子邮件的数量。
75.在一些实施方式中，电子邮件管理模块132使用机器学习分析身份服务器130的用户的聚合行为。例如，电子邮件管理模块132能够确定，身份服务器130的用户通常将在首次访问诸如博客的某些类型的网站时创建新的虚拟电子邮件地址，并且将重复使用相同的虚拟电子邮件地址以用于后续访问和类似的网站。在另一示例中，电子邮件管理模块132能够确定，普通用户每月删除所有虚拟电子邮件地址而保留他们的主电子邮件地址。电子邮件管理模块132使用这些学习行为指定触发事件和条件。
76.电子邮件管理模块能够检测和分析特定于电子邮件地址的活动，解析和分类利用特定电子邮件地址作为标识符执行的交互和动作。例如，当用户登录到他们的主电子邮件地址并访问建议附近热门活动的旅游网站时，电子邮件管理模块能够发起用户信息的更新以更新他们的位置。
77.在一些实施方式中，用户能够通过用户界面134指定身份服务器130在检测到触发事件时应该执行的自动动作的集合。例如，用户能够通过用户界面134提供输入，指示新的虚拟电子邮件地址应该被每天创建，并在请求实体从用户请求凭证或信息的那天期间被自动地用于识别、认证和/或授权的目的。用户还能够指定新的虚拟电子邮件地址应该在这天结束时被删除。
78.流程继续进行步骤e，其中身份服务器130向身份数据库140提供新的电子邮件地址身份。例如，身份服务器130能够通过用户的新的虚拟电子邮件地址身份来传递被使得对于请求实体可用的指定信息或信息类型到身份数据库140。
79.身份数据库140将该用户信息存储在由电子邮件地址组织的用户简档中。用户设备106的用户能够通过用户界面134访问、编辑和/或删除身份数据库140内的信息。在一些实施方式中，用户能够通过用户界面134直接地访问身份数据库140内存储的数据。在其他实施方式中，用户能够通过用户界面134执行操作，其使身份服务器130访问、编辑和/或删除身份数据库140内的信息。
80.流程继续进行步骤f，其中身份服务器130将用户选择的电子邮件地址身份和相关联的用户信息传递到请求实体。电子邮件地址身份能够被传送到请求实体，诸如关于步骤f-1描述的内容提供者或关于步骤f-2描述的数据集成器。电子邮件地址身份能够是步骤d中创建的新的虚拟电子邮件地址身份或者由用户指定的不同的电子邮件地址身份。
81.在步骤f-1中，身份服务器130通过安全api 120将用户选择的电子邮件地址身份传送到请求实体。在该特定示例中，请求实体是能够例如是内容提供者或内容发布者的电子文档服务器104。例如，请求实体能够是维护网站的在线商店，用户能够通过其创建帐户并购买商品。
82.在步骤f-2中，身份服务器130通过安全api 120将用户选择的电子邮件地址身份传送到请求实体。在该特定示例中，请求实体是能够整合和编译数据并执行对数据的数据分析的数据集成器150。
83.通过将用户选择的电子邮件地址身份传送到请求实体，身份服务器130能够执行认证和/或授权过程以向请求实体提供用户信息和/或凭证。
84.例如，身份服务器130能够通过用户的电子邮件地址将被使得对于请求实体可用的指定信息或信息类型传送到请求实体。能够利用实体执行通信，与由请求实体通过诸如安全api 120的安全系统使用的平台和/或格式无关。能够利用实体执行通信，与由请求实体通过能够执行安全令牌交换的安全api 120使用的平台和/或格式无关。
85.图3描绘了由虚拟电子邮件地址系统，例如，图1的虚拟电子邮件地址系统125，生成和管理的电子邮件地址的树形结构300。如图1和图2描述，树形结构300内的电子邮件地址是属于系统的用户设备106的用户的电子邮件地址。树形结构300能够被存储在例如身份数据库140内。
86.树形结构300是描绘用户设备的主电子邮件地址的用户和与用户的主电子邮件地址相关联的虚拟电子邮件地址之间的链接和关系的结构。
87.电子邮件地址302是用户的主电子邮件地址，exampleemailaddress@exampledomain.com。电子邮件地址302是用户最旧的电子邮件地址，并且是顶级别电子邮件地址，虚拟电子邮件地址从该顶级别电子邮件地址生成，并且虚拟电子邮件地址链接到
该顶级别电子邮件地址。
88.电子邮件地址310是为新闻网站创建的虚拟电子邮件地址newswebsites.exampleemailaddress@exampledomain.com。电子邮件地址320是该月的虚拟电子邮件地址，mmyyyyemail.exampleemailaddress@exampledomain.com。例如，电子邮件地址320能够被创建并且被用于特定年份的特定月份。电子邮件地址310和320是直接被链接到主电子邮件地址302的第二级别电子邮件地址，并且处于比顶级别电子邮件地址302更低的级别。
89.电子邮件地址312和314是用于特定新闻网站的虚拟电子邮件地址：site1.newswebsites.exampleemailaddress@exampledomain.com和site2.newswebsites.exampleemailaddress@exampledomain.com。电子邮件地址322和324是用于特定日期的虚拟电子邮件地址：
90.d1.mmyyyy.exampleemailaddress@exampledomain.com和d2.mmyyyy.exampleemailaddress@exampledomain.com。电子邮件地址312、314、322和324是通过第二级别电子邮件地址310和320链接到主电子邮件地址302的第三级别电子邮件地址，并且处于比第二级别电子邮件地址310和320更低的级别。
91.电子邮件地址326是用于特定日期一次性使用的虚拟电子邮件地址，ontime.d2.mmyyyy.exampleemailaddress@exampledomain.com。电子邮件地址326是通过第三级别电子邮件地址324和第二级别电子邮件地址320链接到主电子邮件地址302的第四级别电子邮件地址。在该特定示例中，电子邮件地址326是底级别电子邮件地址，并且是处于比第三级别电子邮件地址312、314、322和324更低的级别上。
92.在电子邮件地址的每个级别之间存在保护层和加密层。例如，虽然树形结构300清楚地显示了每个电子邮件地址之间以及电子邮件地址级别之间的联系，并且这些关系由虚拟电子邮件地址系统维护，系统仅向请求实体提供由用户指定的电子邮件地址，例如，用于该实体或用于与该实体相关联的目的(例如，请求实体的新闻网站目的是新闻网站)。可能没有任何机制用于通过令牌化过程或交换来接收用户电子邮件地址的请求方。通过防止诸如公司实体、政府实体或数据集成器等请求实体在顶部级别以外的任何级别上跟踪电子邮件地址标识符到主电子邮件地址302，存储电子邮件地址的该方法保护虚拟电子邮件地址系统的用户的隐私。
93.通过创建其中每个都防护彼此的电子邮件地址的级别，虚拟电子邮件地址系统从顶级别主电子邮件地址302切断更低级别的电子邮件地址。每个电子邮件地址都防护其他地址，使得与每个电子邮件地址关联的用户数据对于更低级别的电子邮件地址是不可访问的。即，与电子邮件地址310相关联的用户数据和电子邮件地址310本身不会被提供到将接收电子邮件地址312或电子邮件地址314的请求实体。
94.当用户通过用户界面134访问、创建、编辑和/或删除身份数据库140中的数据时，身份服务器130能够更新树形结构300。用户能够逐个地访问树形结构300内的电子邮件或者用户能够一次访问多于一个电子邮件。例如，用户能够定期地删除链接到其主电子邮件地址的每个底级别电子邮件。
95.在一些实施方式中，虚拟电子邮件地址能够被回收。例如，能够将被删除的虚拟电子邮件地址释放回可用的电子邮件地址池中。如上所述，虚拟电子邮件地址能够按指定频率被回收，该指定频率能够被动态地调整。
96.图4是生成虚拟电子邮件地址的示例过程400的流程图。在一些实施方式中，过程400能够由一个或多个系统执行。例如，过程400能够由图1至图3的身份服务器130和/或用户设备106实现。在一些实施方式中，过程400能够被实现为存储在计算机可读介质上的指令，该计算机可读介质可以是非暂时性的，并且当指令由一个或多个服务器执行时，指令能够使一个或多个服务器执行过程400的操作。
97.过程400开始于从用户设备并且在身份服务器处接收映射到用户信息值的第一集合的第一电子邮件地址的登录凭证(402)。例如，身份服务器130可以从用户设备106接收被映射到用户简档信息集合的主电子邮件地址的登录凭证。
98.在一些实施方式中，登录凭证以以下形式被提供：文本输入、音频输入或视觉输入。例如，用户设备106的用户能够通过文本字段输入他们的登录凭证、提供语音样本、执行手势等。
99.过程400继续由身份服务器检测触发事件(404)。例如，身份服务器130能够检测触发事件，诸如访问相同网站的阈值数量。
100.在一些实施方式中，触发事件能够是用户输入或由身份服务器定义的预定条件。例如，身份服务器130能够通过用户界面134检测用户在用户界面元素上的点击，以指示用户希望发起创建新的虚拟电子邮件地址。
101.响应于检测到触发事件，过程400继续由身份服务器创建与第一电子邮件地址分离并映射到与用户信息值的第一集合不同的用户信息值的第二集合的新的虚拟电子邮件地址(406)。例如，身份服务器130能够创建与主电子邮件地址分离的新的虚拟电子邮件地址。新的虚拟电子邮件地址被链接到身份服务器130内的主电子邮件地址，但是该关系不能由诸如请求实体的第三方确定，如上面关于图2和图3所描述的。
102.过程400继续由身份服务器并从请求实体检测对凭证的请求(408)。例如，身份服务器130能够检测对凭证的请求，诸如用于注册来自博客的更新的电子邮件地址。
103.在一些实施方式中，对凭证的请求能够是指示用户设备已经访问具有用于输入凭证的一个或多个文本字段的网页的数据。例如，身份服务器130能够简单地检测用户设备106已经导航到具有一个或多个文本字段或其他用户界面元素的网页，通过该网页能够输入诸如联系信息或的凭证。
104.响应于检测到请求，过程400继续由身份服务器将新的虚拟电子邮件地址作为登录凭证传输到请求实体(410)。例如，身份服务器130将新的虚拟电子邮件地址提供到请求实体，诸如拥有用户访问的网站的企业。
105.在一些实施方式中，将新虚拟电子邮件地址作为登录凭证传输到请求实体包括：通过令牌化应用编程接口传输通过令牌化api表示新的虚拟电子邮件地址的数据，以及表示新的虚拟电子邮件地址的数据是无法被追溯到第一电子邮件地址的令牌。例如，身份服务器130能够通过安全api 120将新的虚拟电子邮件地址作为标识符传输到请求实体。
106.身份服务器功能基于新的虚拟电子邮件地址通过创建将新的虚拟电子邮件地址映射到用户信息值的第二集合的数据库条目来更新数据库。例如，身份服务器130能够基于新的虚拟电子邮件地址通过创建将新的虚拟电子邮件地址映射到用户信息集合的数据库条目来更新身份数据库140，该用户信息集合被使得对于用户对其提供新的虚拟电子邮件地址作为标识符的请求实体可用。
107.在一些实施方式中，过程400包括从用户设备接收指示对新虚拟电子邮件地址的改变的输入，并且然后由身份服务器并且基于指示对新虚拟电子邮件地址的改变的输入来更新数据库条目。例如，身份服务器130能够通过用户界面134从用户设备106接收指示用户想要删除新的虚拟电子邮件地址的输入，并且身份服务器130能够删除身份数据库140内的条目。
108.图5是能够被用于执行上述操作的示例计算机系统500的框图。系统500包括处理器510、存储器520、存储设备530和输入/输出设备540。组件510、520、530和540中的每一个能够例如使用系统总线550互连。处理器510能够处理用于在系统500内执行的指令。在一个实施方式中，处理器510是单线程处理器。在另一实施方式中，处理器510是多线程处理器。处理器510能够处理存储在存储器520或存储设备530上的指令。
109.存储器520在系统500内存储信息。在一个实施方式中，存储器520是计算机可读介质。在一个实施方式中，存储器520是易失性存储器单元。在另一实施方式中，存储器520是非易失性存储器单元。
110.存储设备530能够为系统500提供大容量存储。在一个实施方式中，存储设备530是计算机可读介质。在各种不同的实施方式中，存储设备530能够包括，例如，硬盘设备、光盘设备、由多个计算设备通过网络共享的存储设备(例如，云存储设备)，或一些其他大容量存储设备。
111.输入/输出设备540为系统500提供输入/输出操作。在一个实施方式中，输入/输出设备540能够包括网络接口设备中的一个或多个，例如，以太网卡、串行通信设备，例如，以及rs-232端口，和/或无线接口设备，例如，以及802.11卡。在另一实施方式中，输入/输出设备能够包括被配置为接收输入数据并将输出数据发送到其他输入/输出设备，例如键盘、打印机和显示设备560，的驱动器设备。然而，也能够使用其他实施方式，诸如移动计算设备、移动通信设备、机顶盒电视客户端设备等。
112.虽然已经在图5中描述了示例处理系统，但是本说明书中描述的主题和功能的操作的实施方式能够被实现在其他类型的数字电子电路中或者在计算机软件、固件或硬件中，包括本说明书中公开的结构及其结构等效物，或者它们中的一个或多个的组合。
113.媒体不必然与文件对应。媒体可以被存储在包含其他文档的文件的一部分中、专用于所讨论文档的单个文件中或多个协调文件中。
114.在贯穿本文档讨论的技术收集和/或使用关于用户的信息的情况下，可以向用户(诸如终端用户、内容生成者或内容提供者以及其他类型的用户)提供控制，该控制允许用户对于本文中所描述的系统、程序或特征是否以及何时可以能够收集用户信息(例如，关于用户的社交网络、社交行为、或活动、职业、用户的偏好、或用户的当前位置)做出选择，以及对于是否从服务器向用户发送内容或通信做出选择。另外，在存储或使用某些数据之前，其可以以一个或多个方式被处理，使得个人身份信息被移除。例如，用户的身份可以被处理，使得用户的任何个人身份信息无法被确定，或者用户的地理位置可以在获取位置信息的情况下被一般化(诸如城市、邮政编码或州级别)，使得用户的特定位置无法被确定。因此，用户可以具有对于收集关于用户的哪些信息、如何使用该信息以及向用户提供哪些信息的控制。
115.本说明书中描述的主题和操作的实施例能够被实现在数字电子电路或计算机软
件、固件或硬件中，包括在本说明书中公开的结构及其结构等效物，或以它们的一个或多个的组合。本说明书中描述的主题的实施例能够被实现为一个或多个计算机程序，即，编码在(一个或多个)计算机存储介质上的计算机程序指令的一个或多个模块，用于由数据处理装置执行或者控制数据处理装置的操作。替代地或另外，程序指令能够被编码在人工生成的传播信号上，例如，机器生成的电信号、光信号或电磁信号，该信号被生成以将信息编码用于传输到合适的接收器装置以供数据处理装置执行。计算机存储介质能够是，或者被包括在，计算机可读存储设备、计算机可读存储基板、随机或串行存取存储器阵列或设备、或它们的一个或多个的组合中。此外，虽然计算机存储介质不是传播信号，但计算机存储介质能够是编码在人工生成的传播信号中的计算机程序指令的源或目的地。计算机存储介质也能够是，或者被包括在，一个或多个单独的物理组件或介质(例如，多个cd、磁盘或其他存储设备)中。本说明书中描述的方法可以是计算机实现的方法。
116.本说明书中描述的操作能够被实现为由数据处理装置对存储在一个或多个计算机可读存储设备上或从其他源接收的数据执行的操作。
117.术语“数据处理装置”涵盖用于处理数据的所有类型的装置、设备和机器，包括例如可编程处理器、计算机、片上系统、或前述的多个、或前述的组合。该装置能够包括专用逻辑电路，例如，fpga(现场可编程门阵列)或asic(专用集成电路)。除了硬件之外，该装置还能够包括用于所讨论的计算机程序的创建执行环境的代码，例如，构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行时环境、虚拟机或它们的一个或多个的组合的代码。该装置和执行环境能够实现各种不同的计算模型基础设施，诸如web服务、分布式计算和网格计算基础设施。
118.计算机程序(也被称为程序、软件、软件应用、脚本或代码)能够以任何形式的编程语言被编写，包括编译或解释语言、声明性或过程性语言，并且它能够被部署为任何形式，包括作为独立程序或作为模块、组件、子程序、对象或其他适用于计算环境的单元。计算机程序可以但不必须与文件系统中的文件相对应。程序能够被存储在持有其他程序或数据的文件的一部分中(例如，存储在标记语言文档中的一个或多个脚本)、专用于所讨论程序的单个文件或多个协调文件(例如，存储一个或多个模块、子程序或部分代码的文件)。计算机程序能够被部署以在位于一个网站或跨多个网站分布并由通信网络互连的一个计算机或多个计算机上被执行。
119.本说明书中描述的过程和逻辑流程能够由一个或多个可编程处理器执行，该一个或多个可编程处理器执行一个或多个计算机程序以通过对输入数据进行操作并生成输出来执行动作。过程和逻辑流程也能够由例如fpga(现场可编程门阵列)或asic(专用集成电路)的专用逻辑电路执行，并且装置也能够被实现为例如fpga(现场可编程门阵列)或asic(专用集成电路)的专用逻辑电路。
120.适用于执行计算机程序的处理器包括例如通用和专用微处理器两者。通常，处理器将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的基本元件是用于根据指令执行动作的处理器以及用于存储指令和数据的一个或多个存储器设备。通常，计算机还将包括或者被可操作地耦合到用于存储数据的一个或多个大容量存储设备，例如，磁盘、磁光盘或光盘，以从该一个或多个大容量存储设备接收数据或向其传输数据或两者。然而，计算机不必须具有这样的设备。此外，计算机能够被嵌入到另一设备中，例如，移动电
话、个人数字助理(pda)、移动音频或视频播放器、游戏控制台、全球定位系统(gps)接收器或便携式存储设备(例如，通用串行总线(usb)闪存驱动器)，仅举几例。适用于存储计算机程序指令和数据的设备包括所有形式的非易失性存储器、介质和存储设备，包括例如半导体存储设备，例如，eprom、eeprom和闪存设备；磁盘，例如，内部硬盘或可移动盘；磁光盘；以及cd-rom和dvd-rom盘。处理器和存储器能够由专用逻辑电路补充或被结合在专用逻辑电路中。
121.为了提供与用户的交互，本说明书中描述的主题的实施例能够被实现在具有显示设备的计算机上，例如，crt(阴极射线管)或lcd(液晶显示)监视器，用于向用户显示信息，以及键盘和定点设备，例如，鼠标或轨迹球，用户能够通过其向计算机提供输入。也能够使用其他类型的设备来提供与用户的交互；例如，提供给用户的反馈能够是任何形式的感官反馈，例如，视觉反馈、听觉反馈或触觉反馈；也能够以任何形式接收来自用户的输入，包括声音、语音或触觉输入。另外，计算机能够通过向用户使用的设备发送文档和从其接收文档来与用户交互；例如，通过将网页发送到用户客户端设备上的web浏览器，以响应从web浏览器收到的请求。
122.本说明书中描述的主题的实施例能够被实现在计算系统中，该计算系统包括后端组件，例如，作为数据服务器，或者包括中间件组件，例如，应用服务器，或者包括前端组件，例如，具有图形用户界面或web浏览器的客户端计算机，用户能够通过其与本说明书中描述的主题的实施方式交互，或者一个或多个这样的后端、中间件或前端组件的任何组合。系统的组件能够通过任何形式或介质的数字数据通信互连，例如，通信网络。通信网络的示例包括局域网(“lan”)和广域网(“wan”)、互联网络(例如，互联网)和对等网络(例如，自组织对等网络)。
123.计算系统能够包括客户端和服务器。客户端和服务器通常彼此远离并且通常通过通信网络交互。客户端和服务器的关系是借助于在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序而产生的。在一些实施例中，服务器将数据(例如，html页面)传输到客户端设备(例如，为了向与客户端设备交互的用户显示数据以及从与客户端设备交互的用户接收用户输入的目的)。在客户端设备处生成的数据(例如，用户交互的结果)能够在服务器处从客户端设备接收。
124.虽然本说明书包含许多特定的实施方式细节，但这些不应被理解为对任何发明的范围或可能要求保护的内容的限制，而是对特定发明的特定实施例特定的特征的描述。在本说明书中在分离的实施例的上下文中描述的某些特征也能够在单个实施例中组合实施。相反，在单个实施例的上下文中描述的各种特征也能够在多个实施例中单独或以任何合适的子组合被实现。此外，虽然特征可以在以上被描述为以某些组合起作用，并且甚至最初如此要求保护，但在一些情况下，来自所要求保护的组合的一个或多个特征能够从组合中删除，并且所要求保护的组合可以涉及子组合或子组合的变体。
125.类似地，虽然在附图中以特定顺序描绘了操作，但这不应被理解为要求以所示特定顺序或按依次顺序执行这样的操作，或者执行所有所示操作以实现期望结果。在某些情况下，多任务和并行处理可能是有利的。此外，上述实施例中各种系统组件的分离不应理解为在所有实施例中都需要这样的分离，而且应理解的是，所描述的程序组件和系统通常能够被集成在单个软件产品中或者被封装到多个软件产品中。
126.因此，已经描述了本主题的特定实施例。其他实施例在以下权利要求的范围内。在一些情况下，权利要求中陈述的动作能够以不同的顺序执行，并且仍然实现期望的结果。另外，附图中描绘的过程不一定需要所示的特定顺序或依次顺序来实现期望的结果。在某些实施方式中，多任务和并行处理可能是有利的。
127.以下是本公开的非限制性方面的列表：
128.方面1.一种计算机实现的方法，包括：
129.从用户设备并且在身份服务器处接收映射到用户信息值的第一集合的第一电子邮件地址的登录凭证；
130.由所述身份服务器检测触发事件；
131.响应于检测到所述触发事件，由所述身份服务器创建与所述第一电子邮件地址分离并映射到不同于用户信息值的所述第一集合的用户信息值的第二集合的新的虚拟电子邮件地址；
132.由所述身份服务器检测来自请求实体的对凭证的请求；以及
133.响应于检测到所述请求，由所述身份服务器将所述新的虚拟电子邮件地址作为新的登录凭证传输到所述请求实体。
134.方面2.根据方面1所述的方法，其中，所述触发事件是以下之一：用户输入和由所述身份服务器定义的预定条件。
135.方面3.根据方面1或方面2所述的方法，其中，所述登录凭证以以下形式被提供：文本输入、音频输入或视觉输入。
136.方面4.根据方面1至3中的任一项所述的方法，其中，将所述新的虚拟电子邮件地址作为登录凭证传输到所述请求实体包括：
137.通过令牌化应用编程接口来传输通过令牌化api表示所述新的虚拟电子邮件地址的数据，
138.其中，表示所述新的虚拟电子邮件地址的所述数据是无法被追溯到所述第一电子邮件地址的令牌。
139.方面5.根据方面1至3中的任一项所述的方法，其中，将所述新的虚拟电子邮件地址作为登录凭证传输到所述请求实体包括：
140.通过令牌化应用编程接口来传输通过令牌化api表示所述新的虚拟电子邮件地址的数据，使得表示所述新的虚拟电子邮件地址的所述数据是无法被追溯到所述第一电子邮件地址的令牌。
141.方面6.根据方面1至5中的任一项所述的方法，进一步包括：
142.由所述身份服务器并且基于所述新的虚拟电子邮件地址通过创建将所述新的虚拟电子邮件地址映射到用户信息值的所述第二集合的数据库条目来更新数据库。
143.方面7.根据方面6所述的方法，进一步包括：
144.从所述用户设备接收指示对所述新的虚拟电子邮件地址的改变的输入；以及
145.由所述身份服务器并且基于指示对所述新的虚拟电子邮件地址的改变的所述输入来更新所述数据库条目。
146.方面8.根据方面1至7中的任一项所述的方法，其中，对凭证的所述请求包括指示所述用户设备已经访问具有用于输入凭证的一个或多个文本字段的网页的数据。
147.方面9.一种系统，包括：
148.一个或多个处理器；以及
149.一个或多个存储器元件，所述一个或多个存储器元件包括指令，所述指令在被执行时使所述一个或多个处理器执行操作，所述操作包括：
150.从用户设备并且在身份服务器处接收映射到用户信息值的第一集合的第一电子邮件地址的登录凭证；
151.由所述身份服务器检测触发事件；
152.响应于检测到所述触发事件，由所述身份服务器创建与所述第一电子邮件地址分离并且映射到不同于用户信息值的所述第一集合的用户信息值的第二集合的新的虚拟电子邮件地址；
153.由所述身份服务器检测来自请求实体的对凭证的请求；以及
154.响应于检测到所述请求，由所述身份服务器将所述新的虚拟电子邮件地址作为新的登录凭证传输到所述请求实体。
155.方面10.根据方面9所述的系统，其中，所述触发事件是以下之一：用户输入和由所述身份服务器定义的预定条件。
156.方面11.根据方面9或10所述的系统，其中，所述登录凭证以以下形式被提供：文本输入、音频输入或视觉输入。
157.方面12.根据方面9至11中的任一项所述的系统，其中，将所述新的虚拟电子邮件地址作为登录凭证传输到所述请求实体包括：
158.通过令牌化应用编程接口来传输通过令牌化api表示所述新的虚拟电子邮件地址的数据，其中，表示所述新的虚拟电子邮件地址的所述数据是无法被追溯到所述第一电子邮件地址的令牌。
159.方面13.根据方面9至11中的任一项所述的系统，其中，将所述新的虚拟电子邮件地址作为登录凭证传输到所述请求实体包括：
160.通过令牌化应用编程接口来传输通过令牌化api表示所述新的虚拟电子邮件地址的数据，
161.使得表示所述新的虚拟电子邮件地址的所述数据是无法被追溯到所述第一个电子邮件地址的令牌。
162.方面14.根据方面9至13中的任一项所述的系统，所述操作进一步包括：
163.由所述身份服务器并且基于所述新的虚拟电子邮件地址通过创建将所述新的虚拟电子邮件地址映射到用户信息值的所述第二集合的数据库条目来更新数据库。
164.方面15.根据方面14所述的系统，所述操作进一步包括：
165.从所述用户设备接收指示对所述新的虚拟电子邮件地址的改变的输入；以及
166.由所述身份服务器并且基于指示对所述新的虚拟电子邮件地址的改变的所述输入来更新所述数据库条目。
167.方面16.根据方面9至15中的任一项所述的系统，其中，对凭证的所述请求包括指示所述用户设备已经访问具有用于输入凭证的一个或多个文本字段的网页的数据。
168.方面17.一种利用指令编码的计算机存储介质，当所述指令由分布式计算系统执行时，使得所述分布式计算系统执行操作，所述操作包括：
169.从用户设备并且在身份服务器处接收映射到用户信息值的第一集合的第一电子邮件地址的登录凭证；
170.由所述身份服务器检测触发事件；
171.响应于检测到所述触发事件，由所述身份服务器创建与所述第一电子邮件地址分离并且映射到不同于用户信息值的所述第一集合的用户信息值的第二集合的新的虚拟电子邮件地址；
172.由所述身份服务器检测来自请求实体的对凭证的请求；以及
173.响应于检测到所述请求，由所述身份服务器将所述新的虚拟电子邮件地址作为新的登录凭证传输到所述请求实体。
174.方面18.根据方面17所述的计算机存储介质，其中，所述触发事件是以下之一：用户输入和由所述身份服务器定义的预定条件。
175.方面19.根据方面17或18所述的计算机存储介质，其中，所述登录凭证以以下形式被提供：文本输入、音频输入或视觉输入。
176.方面20.根据方面17至19中的任一项所述的计算机存储介质，其中，将所述新的虚拟电子邮件地址作为登录凭证传输到所述请求实体包括：
177.通过令牌化应用编程接口来传输通过令牌化api表示所述新的虚拟电子邮件地址的数据，
178.其中，表示所述新的虚拟电子邮件地址的所述数据是无法被追溯到所述第一电子邮件地址的令牌。
179.方面21.根据方面17至19中的任一项所述的计算机存储介质，其中，将所述新的虚拟电子邮件地址作为登录凭证传输到所述请求实体包括：
180.通过令牌化应用编程接口来传输通过令牌化api表示所述新的虚拟电子邮件地址的数据，使得表示所述新的虚拟电子邮件地址的所述数据是无法被追溯到所述第一电子邮件地址的令牌。
181.方面22.根据方面17至21中的任一项所述的计算机存储介质，所述操作进一步包括：
182.由所述身份服务器并且基于所述新的虚拟电子邮件地址通过创建将所述新的虚拟电子邮件地址映射到用户信息值的所述第二集合的数据库条目来更新数据库。
183.方面23.根据方面22所述的计算机存储介质，所述操作进一步包括：
184.从所述用户设备接收指示对所述新的虚拟电子邮件地址的改变的输入；以及
185.由身份服务器并且基于指示对所述新的虚拟电子邮件地址的改变的所述输入来更新所述数据库条目。