CN108351945A - 用于保护机密电子数据的方法和系统 - Google Patents
用于保护机密电子数据的方法和系统 Download PDFInfo
- Publication number
- CN108351945A CN108351945A CN201680059124.4A CN201680059124A CN108351945A CN 108351945 A CN108351945 A CN 108351945A CN 201680059124 A CN201680059124 A CN 201680059124A CN 108351945 A CN108351945 A CN 108351945A
- Authority
- CN
- China
- Prior art keywords
- data
- encryption key
- blurred
- key
- blurring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/16—Obfuscation or hiding, e.g. involving white box
Landscapes
- Engineering & Computer Science (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种用于保护电子数据的方法(100)和系统。该方法(100)包括标识(101)电子数据中可与人相关联的数据,使用第一加密密钥来模糊化(103)电子数据中可与人相关联的数据,存储(105)具有使用第一加密密钥模糊化的数据的电子数据,并且如果第一加密密钥可能不再被认为是安全的,则使用第二加密密钥来模糊化(107)已经使用第一加密密钥模糊化的数据。
Description
本发明涉及一种保护机密电子数据的方法和系统。
术语“大数据”是指用于收集和分析大量数据的技术以及大量数据本身的复合物。大数据范围内生成的电子数据量通常过大或者过于复杂或经历过于迅速的变化,以使得无法使用手动和传统的数据处理方法对其进行评估。所收集的数据可以源自几乎任何来源:从任何电子通信开始,到经由政府机构和公司收集的数据,再到各种监控系统的记录。
在大数据范围内生成的电子数据和/或文档通常可以包含个人数据或至少可以追溯到个人的数据,即与个人相关联的数据。由于数据保护的原因,因此可能有必要在进一步处理之前,特别是在存储它们之前,将这样的个人数据(即与人相关联的数据)匿名化或假名化。匿名化的目的在此是完全防止经匿名化的个人数据被追溯到该人。假名化用化名来替换人的识别特征,以排除或显着阻碍识别。匿名化和假名化之间的关键区别在于,在匿名化中,原本存在于个人的各种个人数据之间的引用被消除,而在假名化中,它们被保留。
个人数据的匿名化或假名化通常使用加密算法来执行。用于此目的的加密密钥的保密性的丧失给数据保护带来极高的风险。在这里,时不时地更新加密密钥,以便甚至防止加密密钥的保密性的潜在损失可能是有用的。
根据现有技术,每当加密密钥被改变时,都有必要访问所存储的原始个人数据并再次对它们进行加密。然后丢弃先前存储的经假名化的数据。如果原始个人数据不再可用,则可能有必要因数据保护的原因而丢弃经假名化的数据。
在这种情况下,所收集的完整信息以及简档的关联创建两者完全丢失。
鉴于此,本发明的任务在于提供一种用于保护机密电子数据,特别是用于保护大数据背景下生成的电子数据的经改进的方法和经改进的系统。
这个任务由独立权利要求的特征解决。有利的进一步改进是从属权利要求的主题。
根据第一方面,本发明涉及一种用于保护电子数据,特别是用于保护大数据背景下生成的电子数据的方法。该方法包括标识电子数据中可与人相关联的数据的步骤,使用第一加密密钥来模糊化电子数据中可与人相关联的数据的步骤,存储具有使用第一加密密钥模糊化的数据的电子数据的步骤,以及如果第一加密密钥不再被认为是安全的,则使用第二加密密钥来模糊化已经使用第一加密密钥模糊化的数据的步骤。
根据本发明的第一方面的方法允许根据数据保护来重用已经被模糊化的数据,所述数据由于用于模糊化的密钥的丢失而不得不被认为被破坏。同时,根据本发明的第一方面的方法允许容易地有规律地改变用于模糊化的密钥。取代为此目的必须访问电子原始数据,可以有利地使用具有已经模糊化的数据的电子数据,而不需要昂贵地恢复电子数据,例如通过解密正被要求的电子数据的经模糊化数据。
在本发明的第一方面的一个实施例中,该方法包括存储具有使用第二加密密钥模糊化的数据的电子数据的另一步骤。
在本发明的第一方面的一个实施例中,在存储具有使用第一加密密钥模糊化的数据的电子数据的步骤中,具有使用第一加密密钥模糊化的数据的电子数据被存储在第一电子存储器中,并且在存储具有使用第二加密密钥模糊化的数据的电子数据的步骤中,具有使用第二加密密钥模糊化的数据的电子数据被存储在第二电子存储器中。
在本发明的第一方面的一个实施例中,在使用第二加密密钥来模糊化已经使用第一加密密钥模糊化的数据的步骤之前,该方法包括标识电子数据中使用第一加密密钥模糊化的数据的步骤。
在本发明的第一方面的一个实施例中,使用第一加密密钥来模糊化可与人相关联的经标识数据的步骤包括使用第一加密密钥对可与人相关联的经标识数据进行加密的步骤,或者使用第二加密密钥来模糊化已经使用第一加密密钥模糊化的数据的步骤包括使用第二加密密钥来加密已经使用第一加密密钥模糊化的数据的步骤。
在本发明的第一方面的一个实施例中,使用第一加密密钥来模糊化可与人相关联的经标识数据的步骤包括使用第一加密密钥将基于密钥的散列函数应用于可与人相关联的经标识数据的步骤,或者使用第二加密密钥来模糊化已经使用第一加密密钥模糊化的数据的步骤包括使用第二加密密钥将基于密钥的散列函数应用于已经使用第一加密密钥模糊化的数据的步骤。
在本发明的第一方面的一个实施例中,在使用第一加密密钥来模糊化可与人相关联的经标识数据的步骤中,或者在使用第二加密密钥来模糊化已经使用第一加密密钥模糊化的数据的步骤中,数据被匿名化。
在本发明的第一方面的一个实施例中,在使用第一加密密钥来模糊化可与人相关联的经标识数据的步骤中,或者在使用第二加密密钥来模糊化已经使用第一加密密钥模糊化的数据的步骤中,数据被假名化。
在本发明的第一方面的一个实施例中,在使用第二加密密钥来模糊化已经使用第一加密密钥模糊化的数据的步骤之后,该方法包括删除使用第一加密密钥模糊化的数据的另一步骤。
在本发明的第一方面的一个实施例中,在使用第二加密密钥来模糊化已经使用第一加密密钥模糊化的数据的步骤之后,该方法包括存储具有使用第一加密密钥和第二加密密钥模糊化的数据的电子数据的附加步骤。
在本发明的第一方面的一个实施例中,第一密钥或第二密钥由安全密钥管理单元来提供。
在本发明的第一方面的一个实施例中,电子数据定义多个电子文档和/或形成连续数据流。
在本发明的第一方面的一个实施例中,电子数据中可与人相关联的数据是姓名、标识号、电话号码、电子邮件地址、人的顾客号和/或适于标识人的另一数据元素。
在本发明的第一方面的一个实施例中,如果第一密钥被破坏、不再是秘密的、或者计划中的密钥改变即将发生,则密钥被认为不再安全。
根据第二方面,本发明涉及一种具有处理器的用于保护电子数据的系统,该处理器被设计成标识电子数据中可与人相关联的数据,使用第一加密密钥来模糊化电子数据中可与人相关联的数据,将具有使用第一加密密钥模糊化的数据的电子数据存储在存储器中,以及如果第一加密密钥可能不再被认为是安全的,则使用第二加密密钥来模糊化已经使用第一加密密钥模糊化的数据。
参考附图解释其他示例性实施例。其中:
图1示出了根据一个实施例的用于保护机密电子数据的方法的示意图;
图2示出了根据一个实施例的文件服务器形式的用于保护机密电子数据的系统的示意图;
图3示出了根据另一个实施例的用于保护机密电子数据的系统的示意图;
图4示出了根据另一个实施例的用于保护机密电子数据的系统中的通信流程的示意图;
图5示出了根据另一个实施例的用于保护机密电子数据的系统中的通信流程的示意图;
图6示出了根据另一个实施例的用于保护机密电子数据的系统中的通信流程的示意图;
图7示出了根据另一个实施例的用于保护机密电子数据的系统中的通信流程的示意图;
图8示出了根据另一个实施例的用于保护机密电子数据的系统中的通信流程的示意图;以及
图9示出了根据另一个实施例的用于保护机密电子数据的系统中的通信流程的示意图。
在下面的详细描述中,参考了形成其一部分的附图,并且其中通过图示的方式示出了可以实施本发明的特定实施例。应该理解,可以利用其他实施例并且可以在不脱离本发明的构思的情况下作出结构或逻辑改变。因此,下面的详细描述不应被认为是限制性的。应该进一步理解的是,除非另有特别说明,否则这里描述的不同示例性实施例的特征可以彼此组合。
参考附图来描述各个方面和实施例,其中相同的附图标记通常指代相同的元件。在以下描述中,为了解释的目的,阐述了许多具体细节以便提供对本发明的一个或多个方面的透彻理解。然而,对于本领域技术人员而言,显而易见的是,可以用较小程度的具体细节来执行一个或多个方面或实施例。在其他情况下,以示意形式示出公知的结构和元件以便于描述一个或多个方面或实施例。应该理解,可以利用其他实施例并且可以在不脱离本发明的构思的情况下作出结构或逻辑改变。
描述了设备,并描述了方法。可以理解的是,该设备的基本特征也适用于该方法,反之亦然。因此,为简洁起见,可能已经省略了这些特征的重复描述。
图1示出了根据一个实施例的用于保护电子数据,尤其是在大数据范围内生成的且包括个人数据(即可与人相关联的数据)的电子数据的方法100的示意图。
方法100包括标识电子数据中可与人相关联的数据的步骤101,该步骤可以使用例如合适的搜索和/或过滤算法来执行。可与人相关联的数据可以是例如姓名、标识号、电话号码、电子邮件地址、人的顾客号、和/或适于标识人的另一数据元素。例如,该电子数据可以按多种电子文档(即文件)的形式而可用和/或源自连续数据流。
方法100包括使用第一加密密钥来模糊化电子数据中可与人相关联的数据的另一步骤103。
方法100包括存储具有使用第一加密密钥模糊化的数据的电子数据的另一步骤105。
方法100包括如果第一加密密钥可能不再被认为是安全的,则使用第二加密密钥来模糊化已经使用第一加密密钥模糊化的数据的另一步骤107。例如,如果第一密钥被破坏、不再是秘密的、或者计划中的密钥改变即将发生,则情况可能如此。
根据一个实施例,具有使用第二加密密钥模糊化的数据的电子数据可以被存储。
根据一个实施例,在存储105具有使用第一加密密钥模糊化的数据的电子数据的步骤中,这些电子数据(即,具有使用第一加密密钥模糊化的数据的电子数据)可以被存储在第一电子存储器中,例如图2中示出的存储器207a中,并且在存储具有使用第二加密密钥模糊化的数据的电子数据的步骤中,具有使用第二加密密钥模糊化的数据的电子数据可以被存储在第二电子存储器中,例如图2中示出的存储器207b中。
根据一个实施例,在使用第二加密密钥来模糊化已经使用第一加密密钥模糊化的数据的步骤之前,方法100包括标识电子数据中已经使用第一加密密钥模糊化的数据的另一步骤。
根据一个实施例,使用第一加密密钥来模糊化103可与人相关联的经标识数据的步骤包括使用第一加密密钥来加密可与人相关联的经标识数据的步骤,或者使用第二加密密钥来模糊化107已经使用第一加密密钥模糊化的数据的步骤包括使用第二加密密钥来加密已经使用第一加密密钥模糊化的数据的步骤。任何基于密钥的加密方法适用于此目的。
根据一个实施例,使用第一加密密钥来模糊化103可与人相关联的经标识数据的步骤包括使用第一加密密钥将基于密钥的散列函数应用于可与人相关联的经标识数据的步骤,或者使用第二加密密钥来模糊化107已经使用第一加密密钥模糊化的数据的步骤包括使用第二加密密钥来将基于密钥的散列函数应用于已经使用第一加密密钥模糊化的数据的步骤。
根据一个实施例,在使用第一加密密钥来模糊化103可与人相关联的经标识数据的步骤中,或者在使用第二加密密钥来模糊化107已经使用第一加密密钥模糊化的数据的步骤中,数据被匿名化。
根据一个实施例,在使用第一加密密钥来模糊化103可与人相关联的经标识数据的步骤中,或者在使用第二加密密钥来模糊化107已经使用第一加密密钥模糊化的数据的步骤中,数据被假名化。
根据一个实施例,在使用第二加密密钥来模糊化103已经使用第一加密密钥模糊化的数据的步骤之后,方法100包括删除使用第一加密密钥模糊化的数据的另一步骤。
根据一个实施例,在使用第二加密密钥来模糊化107已经使用第一加密密钥模糊化的数据的步骤之后,方法100包括存储具有使用第一加密密钥和使用第二加密密钥模糊化的数据的电子数据的另一步骤。
例如,方法100可以由图2中示出的用于保护电子数据的系统200来执行。系统200包括处理器201。处理器201可以被实现在服务器203上并且按硬件和/或软件的形式来设计。进而,服务器203可以是服务器场或数据中心的一部分。
处理器201被设计为执行图1中示出的方法100。文件服务器203和/或处理器201可以被提供有来自数据源205的电子数据。处理器201被设计成标识个人数据和/或这些电子数据中可与人相关联的数据。处理器201被进一步设计成使用第一加密密钥来模糊化(具体来说加密)电子数据中可与人相关联的经标识数据。例如,第一加密密钥可以由安全密钥管理单元209来提供。处理器201被进一步设计成将具有使用第一加密密钥模糊化的数据的电子数据存储在存储器中,例如图2中示出的存储器207a中和/或图2中示出的存储器207b中,以使得电子数据中的个人数据用经模糊化的个人数据来替换。处理器201被进一步设计成如果第一加密密钥可能不再被认为是安全的,则使用第二加密密钥来模糊化已经使用第一加密密钥模糊化的数据。例如,如果第一密钥被破坏、不再是秘密的、或者计划中的密钥改变即将发生,则情况可能如此。
该第二加密密钥也可以由密钥管理单元209提供给处理器201。
下面描述方法100和系统200的进一步实施例。
图3示出了用于保护机密电子数据的系统200的另一实施例的示意图。在该实施例中,处理器201可以提供数据假名化器、假名化管理器、以及数据再假名化器的功能性。例如,这些可以是在处理器201上运行的软件模块。
数据假名化器接收个人数据并且用经假名化数据来替换所有个人数据。经假名化数据最初可以被存储在用于经假名化数据的旧存储器207a中,之后还被存储在用于经假名化数据的新存储器207b中。数据假名化器将经假名化数据转移到用于经假名化数据的旧存储器207a中。在此,它们被持久存储并且(在被要求的情况下)可用于进一步的数据处理。然后,经假名化数据也可供数据再假名化器使用。根据本发明的假名化管理器在丢失密钥的秘密性或者在计划中的密钥改变之后安排对于再假名化而言必需的所有活动。此外,假名化管理器知晓在该方法的进一步过程期间描述的所有密钥,例如,旧密钥和新密钥,并且能够使得它们可用于数据假名化器和数据再假名化器。
数据再假名化器从用于经假名化数据的旧存储器207a读取已经用旧的第一密钥假名化的数据,或者在用于大量数据的再假名化的方法已经被执行多次的情形中,读取已经用诸旧密钥假名化的数据,并且用新的第二密钥来第二次加密它们,或者在用于大量个人数据的再假名化的方法已经被执行多次的情形中,再一次对它们进行加密。经重新加密的数据被写入用于经假名化数据的新存储器207b中。数据再假名化器再次将经假名化的数据转移到用于经假名化数据的新存储器207b中。在此,它们被持久存储并且(在被要求的情况下)可用于数据处理。
图4到9示出了基于图3中示出的系统200的实施例的用于保护机密电子数据的方法100的另一实施例的细节。
图4示出了根据另一实施例的方法100的第一阶段400。个人数据被传送到数据假名化器、使用密钥被假名化、并且被存储在用于经假名化数据的存储器207a中。该方法阶段中的单个密钥被称为“(旧)密钥”,并且在下文中被称作“旧密钥”。这同样适用于该方法阶段中的单个存储器207a,它在本文中被称为“用于经假名化数据的(旧)存储器”,并且在下文中称为“用于经假名化数据的旧存储器”。
阶段400包括以下个体步骤:
401:传送个人数据。
例如,具有电子数据的个人数据被供应到数据假名化器,该数据例如可以由图2中示出的处理器201从图2中示出的数据源205提供。
403:用旧密钥进行假名化
所供应的个人数据中的个人信息被标识并且被模糊化,具体来说被加密。该加密基于(旧)密钥来执行。因而,个人数据被转换成经模糊化(具体来说经假名化)数据。
405:传送经假名化数据
经假名化数据被传送到用于经假名化数据的(旧)存储器207a。
407:持久存储经假名化数据
经假名化数据被持久存储在用于经假名化数据的(旧)存储器207a中的数据库中。
图5示出了根据另一实施例的方法100的第二阶段500。继续第二方法阶段500,因为第一方法阶段400中使用的“旧密钥”可能或应当不再被使用。例如,这是由于丢失密钥的秘密性引起的情形或者这是由常规实现的密钥改变引起的。通过该方法阶段500,假名化管理器启动对于密钥改变而言所有必要的活动。事实上,该方法阶段并不彼此“替换”密钥。相反,另一新密钥被添加到旧密钥。在该方法已经被执行多次的情形中,另一新密钥被添加到诸旧密钥。例如,新密钥可以由假名化管理器生成,并且被转发到数据假名化器以及数据再假名化器。数据假名化器被指令在此之后不再在用于经假名化数据的旧存储器207a中持久存储经假名化数据,而是在用于经假名化数据的新存储器207b中持久存储经假名化数据。数据再假名化器被指令对出于以上提及的原因不再被认为经假名化的旧存储器207a的数据再次进行假名化,并且将它们转移到用于经假名化数据的新存储器207b。
阶段500包括以下个体步骤:
501:生成新密钥
作为处理器201的一部分的假名化管理器生成新密钥,该新密钥在用于加密数据的方法的进一步过程中被使用。
503:密钥(新密钥)(1)
新密钥被传送到数据假名化器。
505:密钥(新密钥)(2)
新密钥被传送到数据再假名化器。
507:存储器改变(新存储器)
数据假名化器被指令在此之后将经假名化数据持久存储在新存储器207b中。
509:启动再假名化(旧存储器、新存储器)
数据再假名化器被指令对存在于旧存储器207a中的数据再次进行假名化并且将它们持久存储在新存储器207b中。
图6示出了根据另一实施例的方法100的第三阶段600。所生成的个人数据被传送到数据假名化器。如在方法阶段400中那样,个人数据使用旧密钥被加密。如果该方法已经被执行多次,则使用诸旧密钥来加密数据,如方法阶段400中那样。然而,出于以上提及的原因,经加密数据可能不被认为是经假名化的。因此,它们被再次加密,这一次是用新密钥进行加密。原始和如今两次被加密的数据现在是经假名化的。然而,经假名化数据不再被存储在用于经假名化数据的旧存储器207a中,而是被存储在用于经假名化数据的新存储器207b中。这一存储器改变通过从方法阶段500调用消息存储器改变(新存储器)来发起。
阶段600包括以下个体步骤:
601:传送个人数据
例如,具有个人数据的电子数据被供应到数据假名化器,该数据例如可以由图2中示出的处理器201从图2中示出的数据源205提供。
603:假名化(旧密钥/诸旧密钥)
所供应的个人数据中的个人信息被标识并且被加密。该加密基于旧密钥来执行。因而,个人数据被转换成经假名化数据。如果该次方法运行之前已经存在诸次方法运行,则出于以上提及的原因现在可能不再被认为是经假名化的已经假名化的信息被标识并且被再次加密。为这些方法运行中的每一者,用方法运行的相应旧密钥来执行上述过程。
605:假名化(新密钥)
在图6中示出的最后一次和/或第二次假名化期间,数据被假名化。只有现在,数据可以被认为是经假名化的。
607:传送经假名化数据
经假名化数据被传送到用于经假名化数据的新存储器207b。
609:持久存储经假名化数据
经假名化数据被持久存储在用于经假名化数据的新存储器207b中的数据库中。
图7示出了根据另一实施例的方法100的第四阶段700。该方法阶段700通过从方法阶段500调用消息“启动再假名化(旧存储器,新存储器)”来发起。来自用于经假名化数据的旧存储器207a中出于以上提及的原因可能不再被认为是经假名化的数据被相继地从用于经假名化数据的旧存储器207a中移除。这些数据使用加密方法并且使用“新密钥”来加密。原始数据现在被加密两次并且因而是经假名化的。如果该方法已经被执行多次,则数据现在被多次加密并且因而是经假名化的。经假名化数据被存储在用于经假名化数据的新存储器207b中。该方法阶段700被重复,直到出于以上提及的原因可能不再被认为是经假名化的所有经假名化数据已经被再次加密并且因而是经假名化的,并且被转移到用于经假名化数据的新存储器207b。
阶段700包括以下个体步骤:
701:传送数据
来自用于经假名化数据的旧存储器207a中出于以上提及的原因可能不再被认为是经假名化的数据被传送到数据再假名化器。
703:假名化(新密钥)
所供应的数据中出于以上提及的原因现在可能不再被认为是经假名化的已经假名化的信息被标识并且被再次加密。该加密基于新密钥来执行。该数据因而再次是经假名化的。
705:传送经假名化数据
经假名化数据被传送到用于经假名化数据的新存储器207b。
707:持久存储经假名化数据
经假名化数据被持久存储在用于经假名化数据的新存储器207b中的数据库中。
图8示出了根据另一实施例的方法100的第五阶段800。通过这一最后方法阶段800,不再被需要的“旧存储器”被丢弃。在准备将来的方法运行时,新存储器(即“(新)存储器”)被生成。通过生成“(新)存储器”,(先前的)“新存储器”变为新的“(旧)存储器”。
阶段800包括以下个体步骤:
801:丢弃存储器(1)
假名化管理器发起旧存储器207a的删除。
803:丢弃存储器(2)
旧存储器207a被丢弃。所有数据被删除。
805:生成存储器(1)
假名化管理器发起(新)存储器207b的生成和初始化。
807:生成存储器(2)
新存储器207b被生成和发起。
上述方法100可以对于每一密钥改变被执行多次。在此情形中,前一方法运行的术语“新存储器”要用新方法运行中的术语“旧存储器”来替换。随着每一次新的方法运行,新的“新存储器”被创建,其由图8中的标号207a’和207b’来指示。
具体地,在方法被重复执行时,方法阶段600改变。如果一次方法运行之前已经有诸次方法运行,则对于这些方法运行中的每一者,用该方法运行的相应旧密钥来进行假名化。在方法阶段600范围内的第一假名化期间,个人数据被标识和假名化。在每一附加的假名化期间,已经被假名化的数据被再次假名化。
图9示出了在第n次方法运行期间的假名化期间的方法阶段的示意图。在此情形中,采用复数的术语“诸旧密钥”指的是第1个到第n-1个密钥。在此情形中,术语“旧密钥”指的是第n-1个密钥。术语“新密钥”指的是第n个密钥。
在上文结合图3到9描述的方法100和系统200的其他实施例中,个人数据被假名化。然而,这仅仅表示该系统和方法的一个特定实施例。在其他实施例中,个人数据也可以用其他方式(例如匿名化)来模糊化。
在上文结合图3到9描述的方法100和系统200的其他实施例中,相应的新密钥以及旧密钥由假名化管理器来存储。然而,这仅仅表示一特定实施例。在另一有利实施例中,相应的新密钥和旧密钥可以被存储在分开的密钥管理单元中,例如图2中示出的密钥管理单元209。密钥管理单元209可满足较宽的安全性要求。
在上文结合图3到9描述的方法100和系统200的其他实施例中,用于经假名化数据的旧存储器207a在再假名化之后被丢弃。这仅仅表示一特定实施例。在另一有利实施例中,该旧存储器207a可以被保留。保留可以充当例如存档的目的。
在上文结合图3到9描述的方法100和系统200的其他实施例中,用于经假名化数据的新存储器207b在密钥改变之前已经可用并且被初始化。这仅仅表示一特定实施例。在另一有利实施例中,新存储器207b也可以在另一合适的时间点被创建和初始化。此类时间点将是例如在方法阶段500中的消息“存储器改变(新存储器)”之前。
在上文结合图3到9描述的方法100和系统200的其他实施例中,个体数据集在各单元之间被传送。这仅仅表示一特定实施例。在另一有利实施例中,还可按连续数据流的形式传送数据。
在上文结合图3到9描述的方法100和系统200的其他实施例中,数据被持久存储在数据库中。这仅仅表示一特定实施例。在另一有利实施例中,数据也可用另一合适形式被持久存储。其他合适的形式可以是例如文件系统中的文件。
在上文结合图3到9描述的方法100和系统200的其他实施例中,数据被持久存储。这仅仅表示一特定实施例。在另一有利实施例中,数据也可按瞬态方式被保持。
在上文结合图3到9描述的方法100和系统200的其他实施例中,在再假名化的范围内,数据从旧存储器207a被复制到新存储器207b。数据因而存在于两个不同存储器中。这仅仅表示一特定实施例。在另一有利实施例中,数据也可以在单个存储器中从其原始状态转移到经再假名化状态。接着,在任何给定时间,数据仅存在于单个存储器中。
Claims (15)
1.一种用于保护电子数据的方法(100),包括:
标识(101)所述电子数据中能够与人相关联的数据;
使用第一加密密钥来模糊化(103)所述电子数据中能够与人相关联的数据;
存储(105)具有使用所述第一加密密钥模糊化的数据的电子数据;以及
如果所述第一加密密钥不能再被认为是安全的,则使用第二加密密钥来模糊化(107)已经使用所述第一加密密钥模糊化的数据。
2.如权利要求1所述的方法(100),其特征在于,所述方法包括存储具有使用所述第二加密密钥模糊化的数据的电子数据的另一步骤。
3.如权利要求2所述的方法(100),其特征在于,在存储(105)具有使用所述第一加密密钥模糊化的数据的电子数据的步骤中,具有使用所述第一加密密钥模糊化的数据的电子数据被存储在第一电子存储器(207a)中,并且在存储具有使用所述第二加密密钥模糊化的数据的电子数据的步骤中,具有使用所述第二加密密钥模糊化的数据的电子数据被存储在第二电子存储器(207b)中。
4.如前述权利要求中任一项所述的方法(100),其特征在于,在使用所述第二加密密钥来模糊化(107)已经使用所述第一加密密钥模糊化的数据的步骤之前,所述方法包括标识所述电子数据中使用所述第一加密密钥模糊化的数据的另一步骤。
5.如前述权利要求中任一项所述的方法(100),其特征在于,使用所述第一加密密钥来模糊化(103)能够与人相关联的经标识数据的步骤包括使用所述第一加密密钥来加密能够与人相关联的经标识数据的步骤,或者使用所述第二加密密钥来模糊化(107)已经使用所述第一加密密钥模糊化的数据的步骤包括使用所述第二加密密钥来加密已经使用所述第一加密密钥模糊化的数据的步骤。
6.如前述权利要求中任一项所述的方法(100),其特征在于,使用所述第一加密密钥来模糊化(103)能够与人相关联的经标识数据的步骤包括使用所述第一加密密钥将基于密钥的散列函数应用于能够与人相关联的经标识数据的步骤,或者使用所述第二加密密钥来模糊化(107)已经使用所述第一加密密钥模糊化的数据的步骤包括使用所述第二加密密钥将基于密钥的散列函数应用于已经使用所述第一加密密钥模糊化的数据的步骤。
7.如前述权利要求中任一项所述的方法(100),其特征在于,在使用所述第一加密密钥来模糊化(103)能够与人相关联的经标识数据的步骤中,或者在使用所述第二加密密钥来模糊化(107)已经使用所述第一加密密钥模糊化的数据的步骤中,所述数据被匿名化。
8.如前述权利要求中任一项所述的方法(100),其特征在于,在使用所述第一加密密钥来模糊化(103)能够与人相关联的经标识数据的步骤中,或者在使用所述第二加密密钥来模糊化(107)已经使用所述第一加密密钥模糊化的数据的步骤中,所述数据被假名化。
9.如前述权利要求中任一项所述的方法(100),其特征在于,在使用所述第二加密密钥来模糊化(109)已经使用所述第一加密密钥模糊化的数据的步骤之后,所述方法(100)包括删除使用所述第一加密密钥模糊化的数据的另一步骤。
10.如前述权利要求中任一项所述的方法(100),其特征在于,在使用所述第二加密密钥来模糊化(107)已经使用所述第一加密密钥模糊化的数据的步骤之后,所述方法(100)包括存储具有使用所述第一加密密钥和使用所述第二加密密钥模糊化的数据的电子数据的另一步骤。
11.如前述权利要求中任一项所述的方法(100),其特征在于,所述第一密钥或所述第二密钥由安全密钥管理单元(209)提供。
12.如前述权利要求中任一项所述的方法(100),其特征在于,所述电子数据定义多个电子文档和/或形成连续数据流。
13.如前述权利要求中任一项所述的方法(100),其特征在于,所述电子数据中能够与人相关联的数据是姓名、标识号、电话号码、电子邮件地址、人的顾客号和/或适于标识人的另一数据元素。
14.如前述权利要求中任一项所述的方法(100),其特征在于,如果所述第一密钥被破坏、不再是秘密的、或者计划中的密钥改变即将发生,则所述第一密钥不能再被认为是安全的。
15.一种用于保护电子数据的系统(200),包括:
处理器(201),被设计为:
标识所述电子数据中能够与人相关联的数据;
使用第一加密密钥来模糊化所述电子数据中能够与人相关联的数据;
将具有使用所述第一加密密钥模糊化的数据的电子数据存储在存储器中;以及
如果所述第一加密密钥不能再被认为是安全的,则使用第二加密密钥来模糊化已经使用所述第一加密密钥模糊化的数据。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP15190246.7 | 2015-10-16 | ||
| DE102015117680.7 | 2015-10-16 | ||
| EP15190246.7A EP3156932A1 (de) | 2015-10-16 | 2015-10-16 | Verfahren und system zum schutz von vertraulichen elektronischen daten |
| DE102015117680.7A DE102015117680A1 (de) | 2015-10-16 | 2015-10-16 | Verfahren und System zum Schutz von vertraulichen elektronischen Daten |
| PCT/EP2016/071460 WO2017063803A1 (de) | 2015-10-16 | 2016-09-12 | Verfahren und system zum schutz von vertraulichen elektronischen daten |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108351945A true CN108351945A (zh) | 2018-07-31 |
Family
ID=57068041
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680059124.4A Pending CN108351945A (zh) | 2015-10-16 | 2016-09-12 | 用于保护机密电子数据的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20180276412A1 (zh) |
| CN (1) | CN108351945A (zh) |
| CA (1) | CA2999104A1 (zh) |
| WO (1) | WO2017063803A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112039852A (zh) * | 2020-08-07 | 2020-12-04 | 武汉斗鱼鱼乐网络科技有限公司 | 一种核心接口保护的方法、存储介质、电子设备及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090282036A1 (en) * | 2008-05-08 | 2009-11-12 | Fedtke Stephen U | Method and apparatus for dump and log anonymization (dala) |
| US20120131075A1 (en) * | 2010-11-23 | 2012-05-24 | Kube Partners Limited | Private information storage system |
| CN103607277A (zh) * | 2013-11-18 | 2014-02-26 | 中国联合网络通信集团有限公司 | 密钥更新的处理方法、设备和系统 |
| US20140161251A1 (en) * | 2011-02-17 | 2014-06-12 | Toshiba Solutions Corporation | Key management system |
| US20140310513A1 (en) * | 2013-04-10 | 2014-10-16 | International Business Machines Corporation | Method and system for managing security in a computing environment |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6449621B1 (en) * | 1999-11-03 | 2002-09-10 | Ford Global Technologies, Inc. | Privacy data escrow system and method |
| DE102006012311A1 (de) * | 2006-03-17 | 2007-09-20 | Deutsche Telekom Ag | Verfahren und Vorrichtung zur Pseudonymisierung von digitalen Daten |
| EP1956512A1 (de) * | 2007-02-12 | 2008-08-13 | PD-Gaus Programmier- und Datenservice GmbH | Verfahren zur kryptographischen Datenverschlüsselung |
| EP2523139A1 (en) * | 2011-05-10 | 2012-11-14 | Nagravision S.A. | Method for handling privacy data |
-
2016
- 2016-09-12 CN CN201680059124.4A patent/CN108351945A/zh active Pending
- 2016-09-12 CA CA2999104A patent/CA2999104A1/en not_active Abandoned
- 2016-09-12 WO PCT/EP2016/071460 patent/WO2017063803A1/de active Application Filing
- 2016-09-12 US US15/763,461 patent/US20180276412A1/en not_active Abandoned
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090282036A1 (en) * | 2008-05-08 | 2009-11-12 | Fedtke Stephen U | Method and apparatus for dump and log anonymization (dala) |
| US20120131075A1 (en) * | 2010-11-23 | 2012-05-24 | Kube Partners Limited | Private information storage system |
| US20140161251A1 (en) * | 2011-02-17 | 2014-06-12 | Toshiba Solutions Corporation | Key management system |
| US20140310513A1 (en) * | 2013-04-10 | 2014-10-16 | International Business Machines Corporation | Method and system for managing security in a computing environment |
| CN103607277A (zh) * | 2013-11-18 | 2014-02-26 | 中国联合网络通信集团有限公司 | 密钥更新的处理方法、设备和系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112039852A (zh) * | 2020-08-07 | 2020-12-04 | 武汉斗鱼鱼乐网络科技有限公司 | 一种核心接口保护的方法、存储介质、电子设备及系统 |
| CN112039852B (zh) * | 2020-08-07 | 2022-08-05 | 武汉斗鱼鱼乐网络科技有限公司 | 一种核心接口保护的方法、存储介质、电子设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017063803A1 (de) | 2017-04-20 |
| US20180276412A1 (en) | 2018-09-27 |
| CA2999104A1 (en) | 2017-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108768951B (zh) | 一种云环境下保护文件隐私的数据加密和检索方法 | |
| CN108200172B (zh) | 一种支持安全数据去重与删除的云存储系统及方法 | |
| US9256499B2 (en) | Method and apparatus of securely processing data for file backup, de-duplication, and restoration | |
| US9122882B2 (en) | Method and apparatus of securely processing data for file backup, de-duplication, and restoration | |
| GB2567146A (en) | Method and system for secure storage of digital data | |
| CN114826696B (zh) | 文件内容分级共享方法、装置、设备及介质 | |
| CN108632385B (zh) | 基于时间序列的多叉树数据索引结构云存储隐私保护方法 | |
| AU2017440029B2 (en) | Cryptographic key generation for logically sharded data stores | |
| CN113836558A (zh) | 文件加密方法、装置及文件解密方法 | |
| US20170351871A1 (en) | Data Owner Controlled Data Storage Privacy Protection Technique | |
| CN110768797A (zh) | 一种基于身份格式保留加密的数据脱敏方法 | |
| CN112805704A (zh) | 保护数据的方法和系统 | |
| WO2014141802A1 (ja) | 情報処理装置、情報処理システム、および情報処理方法、並びにプログラム | |
| CN108351945A (zh) | 用于保护机密电子数据的方法和系统 | |
| CN1558580B (zh) | 一种基于密码技术的网络数据安全防护方法 | |
| Wani | Privacy preserving anti-forensic techniques | |
| CN113836546B (zh) | 一种密钥管理方法、装置、设备及存储介质 | |
| CN107925664B (zh) | 用于安全且高效地访问连接数据的方法 | |
| CN112235324B (zh) | 一种基于KeyStore密钥树的密钥管理系统、更新方法、读取方法 | |
| JP2000286831A (ja) | 鍵リカバリ権限管理方法、その装置及びプログラム記録媒体 | |
| EP3461055B1 (en) | System and method for secure outsourced annotation of datasets | |
| US10380354B2 (en) | Method and system for safeguarding database relations against unauthorized access | |
| Vanitha et al. | Secured data destruction in cloud based multi-tenant database architecture | |
| CN116541879A (zh) | 一种信息加密及其可信删除方法及系统 | |
| AU2022308058A1 (en) | System and method for secure storage using offline public keys |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180731 |
|
| WD01 | Invention patent application deemed withdrawn after publication |