CN110324299B - 用于在服务器和客户端之间匿名交换数据的系统和方法 - Google Patents

Abstract

本发明公开了一种用于在客户端‑服务器架构中交换数据的系统和方法。在客户端侧，将打算分派到服务器的第一数据结构划分为至少两个子结构，所述至少两个子结构包括第一子结构和第二子结构。通过具有匿名化模块的第一网络节点将第一子结构从所述客户端分派到所述服务器，其中，由所述匿名化模块变换所述第一子结构的数据。将所述第二子结构从所述客户端分派到具有存储模块的第二网络节点。由所述服务器从具有所述存储模块的所述第二网络节点接收所述第二子结构，以及由所述服务器将获得的数据子结构组合为第二数据结构。

Description

用于在服务器和客户端之间匿名交换数据的系统和方法

技术领域

本发明总体涉及信息安全技术领域，更具体地涉及确保在客户端-服务器架构中路由的数据的匿名性的系统和方法。

背景技术

世界各地的法律变化正迫使信息安全专家寻求用于管理来自个人电子设备的数据的新方法。例如，在俄罗斯联邦签署了一项法律，借此，被因特网服务使用的俄罗斯人的个人可识别信息必须被保管在俄罗斯境内；在瑞士，还要求银行不允许用户数据离开联邦政府的司法领域；以及在多个国家中，禁止个人可识别信息以开放形式来保管。正在开发的解决方案不应当使计算机系统的用户的工作更加困难且应当在用户操作中对用户尽可能透明。

随着通用数据保护条例(General Data Protection Regulation，GDPR)的出现，在各种服务方面的网络基础设施中保管的且从用户接收的个人可识别信息的总量趋向于最小化。有必要提供从用户获得的数据的分布式存储和处理，而不失去其独特性。

这些因素导致在公司和私营部门中难以实现云基础设施，从而在市场上出现了可以将法律要求考虑在内的技术方案。

现有的方法具有如下缺点：需要在用户设备上安装额外的代理，这使得用户更加难以利用远程服务器进行作业且使得交互不透明。在不安装代理的另一情况下，无论内容是什么，都要执行原始数据的总体加密，这也是不方便的且造成额外负担。对于客户端和服务器的位置也没有给出适当考虑。需要能够解决这些缺点的方案。

发明内容

本发明的各方面被配置成在客户端-服务器架构中路由数据，其中，确保被传输的数据的匿名性而不损失信息的完整性和代表性，如由服务器对于统计资料的分析和编译所要求的(即，符合数据保护条例)。本发明的技术结果是在客户端-服务器架构中传输数据时提供客户端的数据的匿名性。

根据本发明的一个方面，提供一种用于在客户端-服务器架构中交换数据的方法。所述方法包括：通过客户端将打算分派到服务器的第一数据结构划分为至少两个子结构，所述至少两个子结构包括第一子结构和第二子结构；以及通过具有匿名化模块的第一网络节点将所述第一子结构从所述客户端分派到所述服务器。由所述匿名化模块变换所述第一子结构的数据。所述第一网络节点位于第一区域网络中且与所述服务器和所述客户端不在同一内联网中，所述第一区域网络不同于所述服务器所处的第二网络。所述方法还包括：将所述第二子结构从所述客户端分派到具有存储模块的第二网络节点。所述第二网络节点位于第三区域网络中且与所述服务器和所述客户端不在同一内联网中，所述第三区域网络不同于所述服务器所处的所述第二网络。由所述服务器从具有所述存储模块的所述网络节点接收所述第二子结构，由所述服务器将获得的数据子结构组合为第二数据结构。

在另一方面中，由所述客户端使用单向函数完成所述数据子结构的第一变换，使得所述匿名化模块不能够执行所述数据的逆变换。

在另一方面中，由所述匿名化模块使用单向函数完成在传输中的所述数据结构的第二变换，使得所述服务器和所述客户端不能够执行逆变换。

在另一方面中，所述变换由加密模块执行。

在另一方面中，使用非对称加密变换不包含关键数据的所述第二子结构的数据，其中，将公钥发送到所述客户端，且将私钥保管在所述服务器处。

在另一方面中，所述区域网络位于不同司法辖区内。

在另一方面中，所述第一区域网络包括国家网络。

在另一方面中，被划分为至少两个子结构的所述数据结构包括：包含关键数据的所述第一子结构和不包含关键数据的所述第二子结构，其中，所述关键数据为所述客户端所位于的国家的司法辖区内的法律对采集、存储、访问、传播和处理作出约束的数据。

在另一方面中，所述关键数据包括个人可识别信息(PII)。

在另一方面中，在所述客户端侧的被划分的所述第一数据结构包括请求数据结构。

在另一方面中，对所述请求数据结构的响应由所述服务器制定，其中，响应于请求的响应数据结构包含：由所述匿名化模块变换的包含关键数据的第三子结构，和不包含关键数据的第四子结构。将不包含关键数据的所述第四子结构从所述服务器分派到具有所述存储模块的所述第二网络节点。将包含关键数据的所述第三子结构从所述服务器分派到具有所述匿名化模块的所述第一网络节点。由所述匿名化模块执行响应于所述请求的所述响应数据结构的、包含关键数据的所述第三子结构的逆变换，以及在所述子结构中将关于所述请求的处理的消息分派到所述关键数据所属的所述客户端。由所述客户端从具有所述存储模块的所述第二网络节点获得不包含关键数据的所述第四子结构。

在另一方面中，由所述服务器执行对所述请求的所述响应的、不包含关键数据的所述第四子结构的变换。

在另一方面中，由所述客户端执行对所述请求的所述响应的、不包含关键数据的所述第四子结构的逆变换。

在另一方面中，将非对称加密用于所述变换，其中，私钥由所述客户端保管，且将公钥发送到所述服务器。

在另一方面中，用于所述客户端的所述消息包含在具有所述存储模块的所述第二网络节点处的不包含关键数据的所述第四子结构的标识符。

根据另一示例性方面，提供了一种用于在客户端-服务器架构中交换数据的系统。所述系统包括：多个网络节点，所述多个网络节点包括第一网络节点和第二网络节点；客户端；和服务器，所述服务器经由所述多个网络节点通信地连接到所述客户端。所述第一网络节点包括匿名化模块，且所述第一网络节点位于第一区域网络中且与所述服务器和所述客户端不在同一内联网中，所述第一区域网络不同于所述服务器所处的第二网络。所述第二网络节点包括存储模块，且所述第二网络节点位于第三区域网络中且与所述服务器和所述客户端不在同一内联网中，所述第三区域网络不同于所述服务器所处的所述第二网络。所述客户端被配置成将打算分派到服务器的第一数据结构划分为至少两个子结构，所述至少两个子结构包括第一子结构和第二子结构。所述客户端还被配置成通过具有所述匿名化模块的所述第一网络节点将所述第一子结构从所述客户端分派到所述服务器，其中，由所述匿名化模块变换所述第一子结构的数据。所述客户端被配置成将所述第二子结构从所述客户端分派到具有所述存储模块的所述第二网络节点。由所述服务器从具有所述存储模块的所述第二网络节点接收所述第二子结构，以及由所述服务器将获得的数据子结构组合为第二数据结构。

根据另一个示例性方面，提供了一种计算机可读介质，其包括多个指令，这些指令包括用于执行本申请中所公开的方法中的任一方法的计算机可执行指令。

以上对示例性方面的简要概述用于提供对本发明的基本理解。该概述不是对所有预期方面的广泛综述，并且既不旨在标识所有方面的关键的或主要的要素，也不旨在勾画本发明的任何方面或所有方面的范围。该概述的唯一目的是以简化的形式呈现一个或多个方面，作为随后的对本发明的更详细的描述的前奏。为了实现前述内容，本发明的一个或多个方面包括在权利要求中所描述的且示例性指出的特征。

附图说明

并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例性方面，以及连同具体实施方式一起用来阐述这些示例性方面的原理和实现方式。

图1示出了用于在客户端-服务器架构中路由数据的系统。

图2示出了在客户端-服务器架构中路由数据的方法的变型，其中，数据结构被客户端划分为子结构。

图3示出了在执行请求时在客户端-服务器架构中路由数据的方法的变型，其中，由匿名化模块识别数据结构中的子结构。

图4示出了在客户端-服务器架构中路由数据的方法的变型，其中，由客户端识别数据结构中的子结构。

图5示出了在执行请求时在客户端-服务器架构中路由数据的方法的变型，其中，由客户端将数据结构划分为子结构。

图6A示出了在分派数据(为了统计资料的编译)时在客户端-服务器架构中路由数据的方法的示例性方面，其中，由客户端将数据结构划分为子结构。

图6B示出了在基于由图6A的方法所采集的信息检测对客户端的针对性攻击时，在客户端-服务器架构中路由数据的方法的示例性方面。

图7示出了在执行请求时在客户端-服务器架构中路由数据的方法的方面，其中，由匿名化模块识别数据结构中的子结构。

图8示出了在客户端-服务器架构中路由数据的方法的方面，其中，由客户端识别数据结构中的子结构。

图9示出了在执行请求时在客户端-服务器架构中路由数据的方法的方面，其中，由客户端将数据结构划分为子结构。

图10示出了在客户端-服务器架构中匿名交换数据的系统。

图11示出了在客户端-服务器架构中交换数据的方法的变型，其用于从客户端获得数据以在服务器侧编译统计资料。

图12示出了在执行客户端对服务器的请求时所使用的交换数据的方法的变型。

图12A示出了以异步模式执行客户端对服务器的请求时所使用的交换数据的方法的变型。

图13示出了在执行客户端对服务器的请求时交换数据的方法的示例性方面。

图13A示出了以异步模式执行客户端对服务器的请求时交换数据的方法的示例性方面。

图14示出了根据示例性方面的其上可实现所公开的系统和方法的计算机系统的示例。

具体实施方式

本申请中在用于在客户端-服务器架构中路由匿名数据的系统、方法和计算机程序产品的背景下描述示例性方面。本领域的普通技术人员能够认识到，以下描述仅仅是说明性的，而不旨在以任何方式进行限制。了解本发明的优点的本领域技术人员将很容易想到其它方面。现在将详细地参考如附图中所示的示例性方面的实现方式。贯穿附图和以下描述将尽可能地使用相同的附图标记来指代相同或类似的项目。

图1示出了用于在客户端-服务器架构中路由数据的系统100。该系统100包括客户端102、服务器104、和具有匿名化模块108的网络节点106。服务器104可以为云基础设施(在图中未示出)的一部分，而客户端可以为用户设备。具有匿名化模块108的网络节点106可以位于区域网络107中且与服务器104和客户端102不在同一内联网中，该区域网络107不同于服务器所处的区域网络(即，区域网络2和区域网络3)。如在本申请中所使用的，区域网络107指的是地理上分散的网络，通过通信手段将处于不同点的计算机联合在一起成为一个整体，这组区域网络形成全球网络109。在本发明的上下文中，不同的区域网络107不仅在地理上分离，而且还位于不同的司法辖区(即，很可能受制于不同的法规)，从而在本发明的上下文中，不同的区域网络也可以包括将各个国家的节点联合在一起的网络(国家网络)。例如，在图1中，区域网络“1”为美国(United States of America)的网络、区域网络“2”为德国(Germany)和/或欧盟(European Union)的网络、且区域网络“3”为俄罗斯联邦(RussianFederation)的网络。

图1的全球网络109为所有区域网络107的总和，或是世界网络、因特网。在GDPR(通用数据保护条例)的术语中，例如，服务器所在的RF的区域网络将被视为第三国家的区域网络。

在具体实例中，具有匿名化模块108的网络节点106的区域网络107也不同于客户端102的区域网络。因为在一般情况下，由于使用了内部地址隐藏技术，尤其是代理(Proxy)、网络地址转换(Network Address Translation，NAT)，使得外部IP地址是可见的，因此图1中的箭头被绘制成源自于网络而非源自于客户端。

客户端102可以包括修改模块110，该修改模块110被配置成将一个或多个数据结构(例如，所述一个或多个数据结构被创建，用以将来自客户端的数据分派到服务器)划分为子结构以及为获得的子结构选择路径。数据结构为由系统100的组件(包括客户端102和服务器104)生成且保持的数据值的集合。注意，在数据结构中的一些数据值可以为“个人数据”，且因此受制于数据隐私政策和法规。子结构则为一种包含来自原始数据结构的数据值的子集的数据结构。举例来说，数据结构中的数据值可以包括数据上报、用户请求、数据查询和/或查询结果、日志数据、应用程序的状态数据、用户事务(一个或多个)的记录、用户生成的内容、和适于在客户端-服务器架构中交换的其它形式的数据。在一些示例中，数据结构可以为内存中的数据结构(例如，链表、散列表、树、数组、数据库记录)或磁盘上的数据结构(例如，文件、二进制大对象(BLOB))。在其它示例中，数据结构可以为被配置成将本申请中包含的数据值从客户端传输到服务器的一个或多个网络数据包。数据结构可以以文本格式、以结构化格式(例如，可扩展标记语言或XML、JavaScript对象表示法(JavaScriptObject Notation)或JSON)、或以用于信息交换的其它格式序列化。

可以存在用于将数据结构划分为子结构的各种标准。一个这样的标准可以为存在个人可识别信息或特殊类别的个人可识别信息(在GDPR的术语中)，借此，数据结构被划分，使得一个子结构包含该个人可识别信息(也称为“PII”)或特殊类别的个人可识别信息、另一个子结构包括非个人可识别信息的数据(即，该另一个子结构不包含PII)。作为个人数据的数据的表征和分配可以例如由国家法律(换言之，根据数据源的位置)规定，所描述的系统中的作为客户端的设备的用户位于该国家的司法辖区内。

用于将数据结构划分为子结构的另一标准为存在关键数据。关键数据为法律或被授权实体在其采集、存储和处理上加以约束的数据。关键数据通常对于透露、传播和泄露是敏感的，这是因为这些事件的发生将导致侵犯用户(如受法律保护的用户)的权利和利益，以及针对违背用于采集、存储、访问和处理这类数据的规则的那些人追究法律责任。关键数据的具体例子为机密数据(敏感数据)或机密信息。在本申请的上下文中，机密数据和机密信息按同义来使用。机密数据指的是按照国家法律受到保护的数据，所描述的系统中的作为客户端的设备的用户位于该国家的司法辖区内。机密数据在特定情况下包括个人可识别信息(PII)和以下数据，该数据包含如下项：商业秘密、税收保密、银行保密、医疗保密、公证保密、律师保密、审计保密、通信保密、保险保密、遗嘱保密、收养保密、忏悔保密、调查保密、法庭审理保密、关于受保护人的信息、和国家秘密。在一个方面，关键数据可以包括如在GDPR下指定的敏感的个人数据，该敏感的个人数据可以为揭示种族或民族起源、政治意见、宗教或哲学信仰、工会会员资格、涉及健康或性生活和性取向的数据、和基因数据或生物特征数据(例如为了唯一地识别自然人的目的)的任何数据。

匿名化模块108被配置成执行子结构的变换和逆变换，这些子结构的路径经过具有匿名化模块108的网络节点106。在一个方面，子结构的变换可以为子结构中包含的数据的变换。在具体实例中，子结构的数据的变换方法可以包括如下项中的一者或多者：量化、排序、合并(粘合)、分组、数据集配置、值的表替换、计算值、数据编码、加密和归一化(缩放)。

某些种类的变换(例如令牌化和/或加密)可以不仅应用于子结构中的个体数据、而且还应用于作为整体的子结构。在具体实例中，执行所述变换，但不可能通过除了网络节点的匿名化模块108以外的任何部件进行逆变换。逆变换指的是还原变换的对象(数据、子结构)在变换之前的原始形式的变换。通常，变换可以为集合对其自身的任何映射(函数)，或换言之，变换为将某个集合转换为另一集合的映射。

可以由匿名化模块108通过相同方法或通过不同方法来变换来自同一客户端的子结构。如果通过相同方法进行变换，则来自同一客户端的变换后的子结构或子结构的数据将具有完全相同的外观；否则，它们将不同且将不可能为同一客户端编译统计资料(执行概要分析)。

服务器104可以包括组合模块112，该组合模块112被配置成组合在客户端侧划分的数据结构。组合模块112可以组合数据，例如基于唯一标识符组合数据，这些唯一标识符在划分期间被分配给各个子结构且对于同一结构的子结构来说是完全相同的。组合模块112接收通过各种网络路径到达服务器104的子结构并将其组合为一个结构。该结构将明显不同于在客户端侧划分的原始结构，这是因为经过具有匿名化模块108的网络节点的子结构将被该匿名化模块108变换。得到的结构可以被保存在数据库(在图中未示出)中。

在具体实例中，匿名化模块108从客户端获得没有被客户端的修改模块110划分为子结构的结构(例如，对服务器的请求的结构)，在该情况下，为了传输到服务器，匿名化模块108在获得的结构中识别包含PII的子结构，且执行所述子结构的数据的变换；下文给出示例。

所描述的系统100用于分派到服务器104的请求和分派到客户端102的对这些请求的响应的匿名化，且还用于从客户端102获得用于统计资料的编译的数据。

图2为示出根据在客户端-服务器架构中路由数据的方法的示例性操作的框图，该方法用在用于从客户端获得用于统计资料的编译的数据的具体实例中。在步骤200中，修改模块110(例如，在客户端102上执行)根据标准划分打算分派到服务器的结构201，一个这样的标准可以为在该结构中存在PII，以及作为划分的结果，获得了包含PII的子结构(举例来说，在图2中是子结构1)和不包含PII的子结构(在图2中对应于子结构2)。在此及下文中，作为标准的示例，我们会使用PII的存在而非关键数据或机密数据的存在，即使在本申请的上下文中、在本发明的示例性方面中对于PII有效的内容对于关键数据或机密数据通常也是有效的。在具体实例中，可以存在第一类型和第二类型的多于一个子结构、以及执行划分所利用的多于一个标准。

在步骤210中，修改模块110将获得的子结构分派(即，传输)到服务器104，该分派通过各种路径(路径A和路径B)发生，其中，路径之一(例如路径A)包括具有匿名化模块108的网络节点106。在一个方面，修改模块110可以基于在数据子结构之一中包含的个人数据确定用于分派至少两个数据子结构的至少两条路径。网络节点106位于区域网络中且与服务器或客户端不在同一内联网中，该区域网络不同于服务器104所在的网络。当打算分派到服务器的子结构之一包含PII时，所述子结构将经由具有匿名化模块108的网络节点(路径A)被导向到服务器。

然后，在步骤220中，经过具有匿名化模块108的网络节点106的子结构由该匿名化模块108变换，然后以变换后的状态被发送到服务器104(步骤221)。在一般情况下，来自同一客户端的子结构在不同的时刻被不同地变换。例如，在第一时间段发送的具有客户端标识符的子结构被变换成包括匿名标识符(匿名ID1，AnonymizedID1)，该匿名标识符不同于在第二时间发送的子结构的后续匿名标识符(匿名ID2，AnonymizedID2)，即使该子结构来自同一客户端且具有相同的客户端标识符(客户端ID，Client ID)(即，Client ID->AnonymizedID1≠AnonymizedID2≠AnonymizedID3，以此类推)，以及这可以涉及所有示例。在特定情况下，当对于某些安全系统需要装配(将统计资料编译)关于特定客户端的信息时，变换对于来自同一客户端的子结构来说将为完全相同的(例如，Client ID->AnonymizedID1＝AnonymizedID2＝AnonymizedID3，以此类推)。

综上所述，在步骤230中，将从客户端获得的子结构组合为一个结构231(结构’)。显然，得到的结构(结构’)不同于原始结构，这是因为至少一个子结构已被匿名化模块108变换。得到的结构231也将被服务器侧的基础设施用在数据库中。为了图示的清晰，从图中省略了基础设施和数据库。在其它附图中指示了各个基础设施元件，诸如请求处理器302和攻击检测模块602。采用这类方式进行由匿名化模块108对子结构和/或子结构的数据的变换，以便排除由除了具有匿名化模块108的网络节点106的部件以外的任何部件对子结构和/或子结构的数据进行逆变换的可能性。

图3示出了用在用于执行客户端相对于服务器的请求301的具体实例的路由方法。在步骤300中，通过修改模块110将在客户端侧制定的请求从客户端102分派到服务器104，该路径包括具有匿名化模块108的网络节点106，所述网络节点位于区域网络中且与服务器或客户端不在同一内联网中，该区域网络不同于服务器所处的网络。在具体实例中，可以在客户端侧通过修改模块110变换一些请求数据(不包含机密数据)，其中，可以进行该变换，使得对于匿名化模块108来说不可能执行逆变换(在图4中的步骤311)并且仅服务器104可以执行逆变换(在图4中的步骤325)。举例来说，可以使用非对称加密技术执行变换和逆变换，其中，客户端102具有公钥且服务器104具有私钥。如在本申请中所使用的，术语“变换”指的是正变换，除非另有说明。

接着，在步骤310中，匿名化模块108按照标准识别打算分派到服务器的请求的数据结构中的子结构，一个这样的标准可以为PII的存在，作为识别的结果而获得包含PII的子结构(在图3中，从先前示例类推，这是子结构1)和不包含PII的子结构(在图3中，这是子结构2)。在步骤320中，使用匿名化模块108执行包含PII的数据子结构(和/或子结构中的数据)的变换(从原始到变换后的正变换)，以及使用匿名化模块108将得到的该请求的具有包含PII的变换后的子结构的数据结构分派到服务器(步骤321)。

响应于接收的请求，在步骤330中，服务器使用请求处理器302生成响应323。关于在具体实例中可能已被客户端102变换的请求的数据，服务器104首先执行逆变换(图4中的步骤325，如后文所描述)。对请求的响应的数据结构323在具有PII的示例中包含如下子结构：(1)被匿名化模块108变换的包含PII的至少一个子结构(从请求结构中提取的子结构1’)；和(2)不包含PII的至少一个子结构(子结构3，其包含对请求的响应的主体或响应的有效负荷)。

不包含PII的数据(子结构3)可以被变换(正变换)(子结构3’)，而不可能由匿名化模块108进行逆变换，这在步骤340中进行。仅可以通过客户端的修改模块110执行该数据的逆变换(例如，非对称加密，其中，服务器具有公钥且客户端具有私钥)，在步骤350中，将得到的对请求的响应的数据结构324从服务器分派到具有匿名化模块108的网络节点。在步骤360中，使用匿名化模块108执行对请求的响应324的包含PII的数据子结构(子结构1’)的逆变换。对于在步骤320中变换后的数据，进行该逆变换(从变换后的数据到来自客户端的请求中最初包含的原始数据的逆变换)。将获得的数据结构重新导向到客户端(步骤370)，以及在步骤380中，使用客户端的修改模块110执行在步骤340中被服务器变换的、对请求的响应的不包含PII的数据子结构的逆变换。因此，客户端102生成数据结构381，该数据结构381包含被服务器变换的、对请求的响应的不包含PII的数据子结构。

图4示出了在图3中示出的方法的变型，但是在该变型中，用于识别子结构的步骤310不通过匿名化模块108而通过客户端的修改模块110执行，随后是在步骤311中的子结构的变换。从图3的变型类推，不包含PII的子结构(子结构2)经受该变换。因此，在图4中的步骤300’不同于在图3中的方法的类似步骤300，其不同之处在于，发送到具有匿名化模块108的网络节点的不是请求的原始数据结构、而是在执行步骤310和步骤311之后的变换后的结构412。相应地，在该变型中，在执行步骤330之前添加步骤325，在该步骤325中，首先执行对在步骤311中变换后的子结构(在该示例中，为不包含PII的子结构2’)的逆变换。

图5示出了在客户端-服务器架构中路由数据的方法的变型，其中，步骤200至步骤230类似于图2中所示的方法的步骤，而步骤300至步骤380类似于图3中所示的方法的步骤。在特定情况下，从图4中的步骤311类推，子结构2在被直接分派到服务器之前可以首先被变换，于是除了步骤311外，在方法的图中还添加步骤325。

在具体实例中，在图3至图5中所示的方法的全部方面中，在步骤370中由具有匿名化模块108的网络节点106分派到客户端102的数据结构不包含具有PII的数据子结构(在这些示例中，为子结构1)。该子结构需要被保存直到该步骤，以便确定响应的收件方；此后，在具体实例中无需如此。

图6A示出了在图2中所示的方法的示例性操作。客户端102通信地连接到位于服务器侧的用于针对性攻击的远程检测的系统，诸如攻击检测模块602。为了允许攻击检测模块602的完整操作，可能需要从客户端102获得关于在不同时期检测到的具有恶意代码的文件(恶意文件)的信息以及基于获得的信息编译统计资料(通常，按照关于个人可识别信息的国家法律，这仍需要匿名地进行)。在基于从客户端接收的信息检测到多个这类恶意文件时，在服务器侧得出如下结论：已检测到在客户端上的针对性攻击。

为了将关于检测到的恶意文件的信息传输到服务器，客户端102生成数据结构601，该数据结构601包括客户端标识符(“客户端ID”)和关于检测到的恶意文件的信息(“MD5”)。在步骤200中，修改模块110将打算分派到服务器的所形成的数据结构601划分为子结构，作为划分的结果而获得包含客户端ID的子结构和包含文件的MD5的子结构。为了获知这些子结构为哪个结构的一部分，为这些子结构分配标识符(在图中，该标识符被表示为结构ID(StructureID))。在步骤210中，客户端的修改模块110将获得的子结构传输到服务器104，该传输通过不同路径(路径A和路径B)发生，其中，路径之一(路径A)包括具有匿名化模块108的网络节点106，所述网络节点106位于区域网络中且与服务器或客户端不在同一内联网中，该区域网络不同于服务器所处的网络。包含客户端ID的子结构通过具有匿名化模块108的网络节点106被导向到服务器104(路径A)。在步骤220中，匿名化模块108执行客户端ID的变换，其中，将客户端ID保存在网络节点处且在子结构中用令牌匿名ID(AnonymizedID)代替它(在具体实例中，客户端ID可以被加密)。将获得的子结构分派到服务器(步骤221)。综上所述，在步骤230中，将从客户端接收的子结构组合为结构603。显然，得到的结构603不同于原始结构601，这是因为至少一个子结构已被匿名化模块108变换。得到的结构603被保存在服务器104处(或在服务器所属的基础设施的任何给定数据库中)且将被服务器用来收集关于从其获得该结构的客户端102的信息(在图中被表示为统计资料(STATISTICS))。在步骤240中，收集的信息将被攻击检测模块602使用，以及如果攻击检测模块602检测到攻击，则在步骤250中，攻击检测模块602生成数据结构623，该数据结构623包含：具有匿名ID的子结构和包含关于攻击的信息(在图中被表示为攻击ID(AttackID))的子结构；获得的结构623将被寻址到客户端以给出攻击的通知。

在图6B中示出了分派方法的示例，步骤340至步骤380类似于图8中所示的示例的步骤。在具体实例中，关于攻击的信息可能不被变换，而是以开放形式被分派；在该情况下，该示例将缺少步骤340和步骤380。在图6B中以及在本发明的其它图中所示的方面中，可选的方面和可替选的方面用虚线轮廓或用浅色字体绘制，诸如在步骤370中的获得的响应中的客户端ID字段。

图7示出了本发明的另一示例性操作。客户端102已检测到新文件，该新文件需要被服务器104扫描以确定是否存在恶意代码。为此，需要将关于该文件的信息分派到服务器，在本示例中，这为文件的MD5，为此，客户端生成请求数据结构701。出于该目的，为了告知服务器应该向谁分派响应，修改模块110(例如，在客户端102处执行)将客户端ID插入请求数据结构701中，从而该请求数据结构701包括客户端ID和文件MD5。在步骤300中，通过修改模块110将生成的请求分派到服务器，该路径包括具有匿名化模块108的网络节点106，所述网络节点位于区域网络中且与服务器或客户端不在同一内联网中，该区域网络不同于服务器所处的网络。接着，在步骤310中，匿名化模块108识别打算分派到服务器的结构701中的子结构，作为识别的结果而获得包含客户端ID的子结构和包含文件的MD5的子结构。在步骤320中，匿名化模块108执行客户端ID的变换，其中，将客户端ID保存在网络节点106处且在子结构中用令牌匿名ID代替它(在具体实例中，客户端ID可以被加密)。将获得的具有变换后的子结构的请求的数据结构分派到服务器(步骤321)。在步骤330中，通过服务器104的请求处理器302生成对接收的请求的响应723。请求处理器302从结构中提取文件MD5且作出指示在客户端处被分析的文件为恶意的判定，例如“MD5-BAD”。对请求的响应的数据结构723包含如下子结构：(1)包含令牌匿名ID(或由匿名化模块108加密的客户端ID)的至少一个子结构；和(2)包含对于文件的判定(MD5-BAD)的至少一个子结构。

就这一点而言，在步骤340中，通过服务器104变换该判定，而不可能通过匿名化模块108进行逆变换，例如通过用公钥对该判定加密而进行变换(变换后的判定在图中被表示为加密Ver(EncryptedVer))，将私钥保管在客户端处，以及仅可以由客户端的修改模块110执行逆变换。在步骤350中，将获得的对请求的响应的数据结构724从服务器分派到具有匿名化模块108的网络节点106。在步骤360中，匿名化模块108执行对请求的响应724的包含令牌匿名ID的数据子结构的逆变换，其中，在令牌的情况下，该令牌被先前保存的客户端ID替换，以及在客户端ID被加密的情况下，则对该客户端ID解密。因此，对于在步骤320中变换后的数据执行该变换。将获得的数据结构重新导向到客户端(步骤370)，以及在步骤380中，客户端的修改模块110执行在步骤340中由服务器变换后的判定的逆变换；在本示例中，借助私钥对该变换后的判定进行解密。在具体实例中，匿名ID用于同一客户端ID，但是二者在不同传输中将是不同的。

图8示出了在图7中所示的示例的变型。在该变型中，在识别子结构之后的步骤310不由匿名化模块108执行、而由客户端102的修改模块110来执行，随后，保存关于文件的信息(文件的MD5)的子结构的变换通过用公钥加密来进行(在图中，变换后的关于文件的信息被表示为加密MD5)；将私钥保管在服务器处且仅可以在服务器处执行逆变换。因此，在图8中的示例的步骤300’不同于在图7中的示例的类似步骤，其不同之处在于发送到具有匿名化模块108的网络节点的不是请求的原始结构(例如801)、而是在执行步骤310和步骤311之后的变换后的结构(数据结构812)。相应地，因此添加步骤325，其中，在执行步骤330之前，针对关于文件的加密信息，通过借助私钥对其解密而进行逆变换。

图9示出了在客户端-服务器架构中路由数据的示例，其中，步骤200至步骤230类似于图6A中所示的示例的步骤，而步骤330至步骤380类似于图7中所示的示例的步骤。在具体实例中，从图8的示例中的步骤311类推，关于文件的信息在被直接分派到服务器之前可以首先被变换，从而除了步骤311外，在本示例中还添加步骤325。

客户端的修改模块110拦截打算分派到服务器的结构901，根据建立的规则划分这些结构，以及还按照规则为这些子结构选择路径。在具体示例中根据一个或多个信息技术策略建立修改模块110运作所依据的规则，所述一个或多个信息技术策略被配置成符合客户端102(来源)正运行的司法辖区内的现有法规和法律。因此，为了应用规则，客户端的修改模块110确定客户端的位置(来源)、形成的数据结构901中的数据的类型、数据结构的目的(例如，传输的类型：请求或统计资料，其中，将数据分派到服务器用以在服务器侧编译统计资料)、数据接收方的位置。基于此，根据规则，修改模块110选择用于数据的路径、划分变型、和在客户端侧的变换方法。在表1中呈现了制定的规则的一个变型，其中，“方法”列指示用于变换的相关方法，可以包括如下方法：“方法1”被表征为包括在客户端侧划分数据结构(参看图2)；“方法2”被表征为包括在具有匿名化模块108的网络节点处识别数据结构(参看图3)；“方法3”被表征为包括在客户端侧识别数据结构(参看图4)。

如上所述，这些规则可以按照法规/法律(诸如GDPR)的要求来给出，且正如任何给定法律规范那样包括假设和处置，这在算法语言中对应于if–then(如果-则)结构。因此，提供的表1按如下格式制定规则：

IF[类型、来源、接收方、个人可识别信息(yes/no，是/否)]，THEN[方法、匿名化节点的位置、用于数据的变换方法]

考虑示例性数据结构，其中，修改模块110确定：传输的类型为请求，来源(客户端)为德国、接收方(服务器)为俄罗斯联邦，以及结构包含个人可识别信息。按照规则，修改模块110在客户端侧识别具有PII的子结构(如图4的步骤310中-方法2)并经由USA分派该子结构，用公钥加密不具有PII的子结构(如图4的步骤311中)，以及通过匿名化模块108利用加密变换个人可识别信息。

表1、用于修改模块的规则

图10示出了在客户端-服务器架构中匿名交换数据的变型系统1000，类似于在图1中所示的系统，除了该系统1000包括具有存储模块1004的网络节点1002。存储模块1004可以包括一个或多个存储设备。具有存储模块1004的网络节点1002位于区域网络107中且与服务器或客户端不在同一内联网中，该区域网络107不同于服务器所处的区域网络。在具体实例中，具有存储模块1004的网络节点1002可以在与具有匿名化模块108的网络节点106相同的区域网络中；该网络在图10中被标示为“区域网络N”。具有存储模块1004的网络节点1002的目的是向服务器104隐藏客户端102的外部IP地址且减轻匿名化模块108所处的网络节点106的负担，从而减少经过具有匿名化模块108的网络节点106的业务量。具有存储模块1004的网络节点1002为用于被客户端与服务器交换的数据的中间存储库。

在图10中所示的系统1000用于在客户端与服务器之间匿名交换数据，包括用于传输来自客户端的用于编译统计资料的数据、以及用于“请求-响应”类型的客户端-服务器交互。图11示出了在客户端与服务器之间匿名交换数据的方法，该方法在具体实例中用于从客户端获得数据，用以在服务器侧编译统计资料。步骤200、步骤221、步骤220、步骤230类似于在图2中所示的步骤。步骤210’不同于类似步骤且添加步骤222。在图2中，路径B直接从客户端走向服务器，但是在图11中所描述的方面中，该路径被分解，且客户端不将子结构2分派到服务器、而是将子结构分派到具有存储模块1004的网络节点。然后，在步骤222中，将由服务器接收该子结构。在步骤222中将该子结构传输到服务器的发起方可以为具有存储模块1004的网络节点1002或服务器104，其在经由路径A接收到具有子结构2的标识符的子结构1’时按需下载子结构2，该子结构2的标识符可以被具有存储模块1004的网络节点1002保存。

图12示出了用在用于执行客户端向服务器的请求的具体实例中的数据交换的方法。步骤200、步骤221、步骤220、步骤230类似于在图2中所示的步骤，步骤210’、步骤222类似于在图11中所示的步骤，步骤330类似于在图3中的该同一步骤。因此，将请求分派到服务器类似于如图11所示的将数据分派到服务器用以编译统计资料；与上文所描述的全部内容的区别包括：如何分派在步骤330中准备的响应。在步骤331中，将在步骤330中制定的对请求的响应的结构分解为至少两个子结构：(1)由匿名化模块108变换的包含PII的至少一个子结构(例如，从请求结构中提取的子结构1’)；和(2)不包含PII的至少一个子结构(例如，子结构3，其包含对请求的响应的主体或响应的有效负荷)。

在步骤350a中，将包含PII的子结构从服务器104分派到具有匿名化模块108的网络节点106，其中，在步骤360中将执行变换，该变换为在步骤220中执行的变换的逆变换。在步骤350b中将不包含PII的子结构(在图12中，子结构3)分派到具有存储模块1004的网络节点1002。接着，在步骤371中将不包含PII的子结构发送到客户端。客户端在步骤371中接收子结构的变型可以为不同的。如果进行步骤350a，则在步骤360中的变换之后，在步骤370a中，具有匿名化模块108的网络节点将响应已准备就绪的通知(消息)分派到客户端；此后，客户端访问具有存储模块1004的网络节点且从具有存储模块1004的网络节点接收不包含PII的子结构。在步骤370a中的通知可以例如包含在步骤331中划分对请求的响应的结构的过程中分配给子结构3的唯一标识符，具有该标识符的该子结构由客户端向具有存储模块1004的网络节点1002请求。在具体实例中，可以不执行步骤350a、步骤360、步骤370a。在该情况下，在步骤200中的划分过程中分配给子结构的标识符将类似于在步骤331中分配的标识符，以及在步骤371中，客户端将通过关于具有相应标识符的子结构到达具有存储模块1004的网络节点、而周期性地轮询该具有存储模块1004的网络节点来获得子结构3。如果不执行步骤350a、步骤360、步骤370a，则对请求的响应的结构与不包含PII的子结构(子结构3)相同，向该子结构分配唯一标识符。在另一具体实例中，在步骤371中，具有存储模块1004的网络节点独立地将子结构3分派到客户端；在该情况下，使用会话标识符，该会话标识符被建立在客户端与具有存储模块1004的网络节点之间以进行步骤210；在给定情况下，在步骤200和步骤331中，分配给子结构的唯一标识符为等同的且它们等同于会话标识符。在该情况下，当网络节点在步骤350b中接收子结构3时，该网络节点将读取子结构3的标识符并将其转发到客户端，该客户端的会话具有相同的标识符；用于该变型的执行的初级条件是：在执行请求且分派响应时，保持客户端与具有存储模块1004的网络节点之间的会话，直到客户端与服务器之间的数据交换结束。

在具体实例中，在图12中描述的方案可以以异步模式操作；在该情况下，进行步骤330而不执行步骤230，使用子结构2的数据，以及省略步骤331，将获得的子结构3分派到具有存储模块1004的网络节点(步骤350b)。步骤230将独立于步骤330来执行。该模式增大服务器的响应速度，且在如下情况下被使用：仅需要不包含PII的子结构中包含的数据来处理请求。在这类情况下组合子结构(步骤230)仅对编译统计资料是必要的，如在图12A中所示的示例中。

图13示出了在图12中所示的方法的使用示例，以便从服务器获得针对在客户端侧检测到的文件的判定(危险的/恶意的、或安全的)。为了将关于检测到的文件的信息(在本示例中，关于文件的信息为文件的MD5)传输到服务器，形成包括客户端ID和检测到的文件的MD5的数据结构。在步骤200中，修改模块110将制定的打算传输到服务器的结构划分为子结构，作为划分的结果而获得包含客户端ID的子结构和包含文件的MD5的子结构；为了获知这些子结构为哪个结构的一部分，为这些子结构分配标识符(在图中，该标识符被表示为结构ID)。在步骤210中，客户端的修改模块110分派获得的子结构。该分派通过不同路径(路径A和路径B)完成且去往不同接收方。经由路径A将子结构分派到服务器，路径A包括具有匿名化模块108的网络节点，所述网络节点位于区域网络中且与服务器或客户端不在同一内联网中，该区域网络不同于服务器所处的网络。经由具有匿名化模块108的网络节点(路径A)将包含客户端ID的子结构发送到服务器。经由路径B将子结构分派到具有存储模块1004的网络节点1002，所述网络节点位于区域网络中且与服务器或客户端不在同一内联网中，该区域网络不同于服务器所处的网络。将包含文件的MD5的子结构发送到具有存储模块1004的网络节点1002(路径B)。在步骤220中，使用匿名化模块108执行客户端ID的变换，其中，将客户端ID保存在网络节点处，且在子结构中用令牌匿名ID代替它(在具体实例中，客户端ID可以被加密)。将获得的子结构分派到服务器(步骤221)。在步骤222中，将由服务器接收具有文件的MD5的子结构。如果以同步模式执行方法，则在步骤230中，将组合在步骤221和步骤222中由服务器获得的子结构，以及在步骤330中，将处理响应。在本示例中，将根据恶意文件和安全文件的基础扫描MD5，以及将根据扫描结果作出判定，且为请求制定响应(在给定示例中，该文件被证明为恶意的，即MD5-BAD)。在步骤331中，将对请求制定的响应划分为两个子结构，作为划分的结果而获得包含客户端ID的子结构和包含判定(MD5-BAD)的子结构，为了获知这些子结构为哪个结构的一部分，为这些子结构分配标识符(在图中被表示为结构ID)；在具体实例中，该标识符可以与在步骤200中分配给子结构的标识符相同。在步骤350b中，将具有判定的子结构分派到具有存储模块1004的网络节点1002，该网络节点1002在步骤371中将该子结构转发到客户端(如果结构ID对应于在步骤210中建立的网络节点与客户端之间的会话ID)、或者保存该子结构直到需要时。作为步骤350a、步骤360和步骤370a的执行结果，在客户端从具有匿名化模块108的网络节点接收通知的情况下，该子结构可能被客户端需要。在另一方面，客户端可以关于在网络节点处是否存在响应子结构不断地轮询具有存储模块1004的网络节点1002(在该情况下，在步骤200和步骤331中分配给子结构的结构ID应当为完全相同的)。在步骤372中，客户端处理响应。如果以异步模式执行该方法(图13A)，则独立地执行步骤230和步骤330。在步骤330中的结构ID不改变且与在步骤200中的结构ID相同，且在具体实例中等同于步骤210的在客户端与具有存储模块1004的网络节点之间的会话ID，在该背景下，子结构的传输也将发生在步骤371中。

本发明的各方面使得能够分散来自客户端的数据，这为用户提供匿名性，该用户的设备为客户端；在访问服务器时，由客户端与服务器交换的数据无法与客户端相关联。一些数据仅服务器知晓，一些数据仅具有匿名化模块108的网络节点知晓，并且在不同时访问这些系统组件的情况下无法对数据去匿名化，同时通过在不同区域网络上分布系统组件来确保不可能同时访问(包括通过政府机构访问)这些组件，所述系统组件在地理方面和属地管辖权方面均不同。当利用具有存储模块1004的网络节点时，本发明的各方面还允许向服务器隐藏客户端的外部IP地址(服务器不直接从客户端、而是经由具有存储模块1004的网络节点获得子结构)，且也减少具有匿名化模块108的网络节点上的负担。

在本发明中，术语修改模块、匿名化模块、组合模块、请求处理器、攻击检测模块、和存储模块被理解为意指真实的设备、系统、组件、和组件组，这些设备、系统、组件、和组件组利用硬件(诸如集成微电路(专用集成电路,ASIC)或现场可编程门阵列(FPGA))或例如以软件和硬件的组合(诸如微处理器系统和程序指令集合)的形式、以及也基于神经形态芯片(神经突触芯片)来实现。这些部件的功能可以仅仅通过硬件来实现，也可以以组合的形式来实现，其中，一些功能通过软件来实现，以及一些功能通过硬件来实现。在特定变型方面中，可以在计算机(诸如在图14中所示的计算机)的处理器上执行模块。数据库可以通过每个可行方法来实现且可以被包含在单一物理介质上或不同物理介质上，上述物理介质为本地的和远程的。

图14为示出了根据本发明的示例性方面的其上可实施用于在客户端-服务器架构中传输数据的系统和方法的方面的计算机系统20的框图。应当注意，计算机系统20可以对应于例如先前所描述的客户端102、服务器104、网络节点106和网络节点1002。

如图所示，该计算机系统20(其可以是个人计算机或服务器)包括中央处理单元21、系统存储器22和连接各种系统组件的系统总线23，各种系统组件包括与中央处理单元21相关联的存储器。如本领域的普通技术人员能够领会的，系统总线23可以包括总线存储器或总线存储器控制器、外围总线、以及能够与任何其它总线架构交互的本地总线。系统存储器可以包括永久性存储器(ROM)24和随机存取存储器(Random-Access Memory，RAM)25。基本输入/输出系统(Basic Input/Output System，BIOS)26可以存储用于在计算机系统20的元件之间进行信息传输的基本程序，例如在使用ROM 24加载操作系统时的那些基本程序。

计算机系统20还可以包括用于读取和写入数据的硬盘27、用于在可移动磁盘29上读取和写入的磁盘驱动器28、以及用于读取和写入可移动光盘31(诸如CD-ROM、DVD-ROM和其它光学介质)的光盘驱动器30。硬盘27、磁盘驱动器28和光盘驱动器30分别通过硬盘接口32、磁盘接口33和光盘驱动器接口34连接到系统总线23。驱动器和对应的计算机信息介质为用于存储计算机系统20的计算机指令、数据结构、程序模块和其它数据的电源独立的模块。

示例性方面包括使用经由控制器55连接到系统总线23的硬盘27、可移动磁盘29和可移动光盘31的系统。本领域的普通技术人员能够理解，也可以利用能够以计算机可读的形式存储数据的任何类型的介质56(固态驱动器、闪存卡、数字盘、随机存取存储器(RAM)等等)。

计算机系统20具有可以存储操作系统35的文件系统36、以及另外的程序应用37、其它程序模块38和程序数据39。计算机系统20的用户可以使用键盘40、鼠标42、或本领域的普通技术人员已知的任何其它输入设备(诸如但不限于麦克风、操纵杆、游戏控制器、扫描仪等)输入命令和信息。这些输入设备通常通过串行端口46插入到计算机系统20中，串行端口46转而连接到系统总线，但是本领域的普通技术人员能够领会，输入设备也可以以其它方式被连接，诸如但不限于经由并行端口、游戏端口、或通用串行总线(Universal SerialBus，USB)来连接。监控器47或其它类型的显示设备也可以通过接口(例如视频适配器48)连接到系统总线23。除了监控器47，个人计算机还可以配备有其它的外围输出设备(未示出)，例如扬声器、打印机等。

计算机系统20可以使用到一个或多个远程计算机49的网络连接而工作在网络环境中。一个或多个远程计算机49可以为本地计算机工作站或服务器，其包括在描述计算机系统20的性质时提到的上述元件中的大多数元件或全部元件。其它设备也可以存在于计算机网络中，诸如但不限于路由器、网站、对等设备或其它的网络节点。

网络连接可以形成计算机局域网(Local-Area Network，LAN)50和计算机广域网(Wide-Area Network，WAN)。这些网络用在企业计算机网络和公司内部网络中，并且这些网络通常有权访问因特网。在LAN或WAN网络中，个人计算机20通过网络适配器或网络接口51连接到局域网50。当使用网络时，计算机系统20可以采用调制解调器54或本领域的普通技术人员所熟知的能够与计算机广域网(诸如因特网)通信的其它模块。调制解调器54可以是内部设备或外部设备，可以通过串行端口46连接到系统总线23。本领域的普通技术人员能够领会，所述网络连接是使用通信模块建立一个计算机与另一个计算机的连接的许多熟知方式中的非限制性示例。

在各个方面中，本申请中所描述的系统和方法可以以硬件、软件、固件或其任何组合来实施。如果以软件来实施，则上述方法可以作为一个或多个指令或代码而被存储在非暂时性计算机可读介质上。计算机可读介质包括数据存储器。以示例性而非限制性的方式，这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪存或其它类型的电存储介质、磁存储介质或光存储介质，或可用来承载或存储所期望的指令或数据结构形式的程序代码并可以被通用计算机的处理器访问的任何其它介质。

在各个方面中，本发明中所描述的系统和方法可以按照模块来处理。本文中所使用的术语“模块”指的是例如现实世界的设备、组件、或使用硬件(诸如通过专用集成电路(Application Specific Integrated Circuit，ASIC)或现场可编程门阵列(Field-Programmable Gate Array，FPGA)实现的组件的布置，或者指的是硬件和软件的组合，例如通过微处理器系统和实现模块功能的指令组(该指令组在被执行时将微处理器系统转换成专用设备)来实现这样的组合。一个模块还可以被实施为两个模块的组合，其中单独地通过硬件促进某些功能，并且通过硬件和软件的组合促进其它功能。在某些实现方式中，模块的至少一部分(以及在一些情况下，模块的全部)可以在通用计算机(诸如上文在图14中更详细描述的通用计算机)的处理器上执行。因此，每个模块可以以各种合适的配置来实现，而不应受限于本文中所列举的任何特定的实现方式。

为了清楚起见，本文中没有公开各个方面的所有例程特征。应当领会的是，在本发明的任何实际的实现方式的开发中，必须做出许多特定实现方式的决定，以便实现开发者的特定目标，并且这些特定目标对于不同的实现方式和不同的开发者将变化。应当理解的是，这种开发努力会是复杂的且费时的，但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。

此外，应当理解的是，本文中所使用的措辞或术语出于描述而非限制的目的，从而本说明书的术语或措辞应当由本领域技术人员根据本文中所提出的教导和指导结合相关领域技术人员的知识来解释。此外，不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义，除非明确如此阐述。

本文中所公开的各个方面包括本文中以说明性方式所引用的已知模块的现在和未来已知的等同物。此外，尽管已经示出并描述了各个方面和应用，但是对于了解本发明的优点的本领域技术人员将显而易见的是，在不脱离本文中所公开的发明构思的前提下，相比于上文所提及的内容而言的更多修改是可行的。

Claims (18)

1.一种用于在客户端和服务器之间交换数据的方法，所述方法包括：

通过所述客户端将打算分派到所述服务器的第一数据结构划分为包含关键数据的第一子结构和不包含关键数据的第二子结构，其中，所述关键数据为所述客户端所位于的国家的司法辖区内的法律对采集、存储、访问、传播和/或处理作出约束的数据；

通过所述客户端基于所述第一子结构中所述关键数据的存在为所述第一子结构和所述第二子结构选择所述客户端和所述服务器之间的不同的网络路径；

经由包括具有匿名化模块的第一网络节点的第一路径将所述第一子结构从所述客户端分派到所述服务器，其中，由所述匿名化模块变换所述第一子结构的数据，且其中，所述第一网络节点位于第一区域网络中且与所述服务器和所述客户端不在同一内联网中，所述第一区域网络不同于所述服务器所处的第二网络；

经由包括具有存储模块的第二网络节点的第二路径将所述第二子结构从所述客户端分派到所述服务器，所述存储模块包括用于在所述客户端和所述服务器之间正在交换的数据的中间存储库，其中，所述第二网络节点位于第三区域网络中且与所述服务器和所述客户端不在同一内联网中，所述第三区域网络不同于所述服务器所处的所述第二网络；

其中，由所述服务器将所述服务器经由所述第一路径和所述第二路径接收的数据子结构组合为第二数据结构。

2.如权利要求1所述的方法，其中，由所述客户端使用单向函数完成所述数据子结构的第一变换，使得所述匿名化模块不能够执行所述数据的逆变换。

3.如权利要求2所述的方法，其中，由所述匿名化模块使用单向函数完成在传输中的所述数据结构的第二变换，使得所述服务器和所述客户端不能够执行逆变换。

4.如权利要求1所述的方法，其中，所述变换由加密模块执行。

5.如权利要求4所述的方法，其中，使用非对称加密变换不包含关键数据的所述第二子结构的数据，其中，将公钥发送到所述客户端，且将私钥保管在所述服务器处。

6.如权利要求1所述的方法，其中，所述区域网络位于不同司法辖区内。

7.如权利要求1所述的方法，其中，所述第一区域网络包括国家网络。

8.如权利要求1所述的方法，其中，所述关键数据包括个人可识别信息(PII)。

9.如权利要求1所述的方法，其中，在所述客户端侧的被划分的所述第一数据结构包括请求数据结构。

10.如权利要求9所述的方法，其中，对所述请求数据结构的响应由所述服务器制定，其中，响应于请求的响应数据结构包含：由所述匿名化模块变换的包含关键数据的第三子结构，和不包含关键数据的第四子结构；

其中，将不包含关键数据的所述第四子结构从所述服务器分派到具有所述存储模块的所述第二网络节点；

其中，将包含关键数据的所述第三子结构从所述服务器分派到具有所述匿名化模块的所述第一网络节点；

其中，由所述匿名化模块执行响应于所述请求的所述响应数据结构的、包含关键数据的所述第三子结构的逆变换，以及在所述子结构中将关于所述请求的处理的消息分派到所述关键数据所属的所述客户端；以及

其中，由所述客户端从具有所述存储模块的所述第二网络节点获得不包含关键数据的所述第四子结构。

11.如权利要求10所述的方法，其中，由所述服务器执行对所述请求的所述响应的、不包含关键数据的所述第四子结构的变换。

12.如权利要求11所述的方法，其中，由所述客户端执行对所述请求的所述响应的、不包含关键数据的所述第四子结构的逆变换。

13.如权利要求12所述的方法，其中，将非对称加密用于所述变换，其中，私钥由所述客户端保管，且将公钥发送到所述服务器。

14.如权利要求10所述的方法，其中，用于所述客户端的所述消息包含在具有所述存储模块的所述第二网络节点处的不包含关键数据的所述第四子结构的标识符。

15.一种用于在客户端和服务器之间交换数据的系统，所述系统包括：

多个网络节点，所述多个网络节点包括第一网络节点和第二网络节点；

所述客户端；和

所述服务器，所述服务器经由所述多个网络节点通信地连接到所述客户端，

其中，所述第一网络节点包括匿名化模块，且所述第一网络节点位于第一区域网络中且与所述服务器和所述客户端不在同一内联网中，所述第一区域网络不同于所述服务器所处的第二网络，

其中，所述第二网络节点包括存储模块，所述存储模块包括用于在所述客户端和所述服务器之间正在交换的数据的中间存储库，且所述第二网络节点位于第三区域网络中且与所述服务器和所述客户端不在同一内联网中，所述第三区域网络不同于所述服务器所处的所述第二网络，

其中，所述客户端被配置成将打算分派到所述服务器的第一数据结构划分为包含关键数据的第一子结构和不包含关键数据的第二子结构，其中，所述关键数据为所述客户端所位于的国家的司法辖区内的法律对采集、存储、访问、传播和/或处理作出约束的数据；

其中，所述客户端被配置成基于所述第一子结构中所述关键数据的存在为所述第一子结构和所述第二子结构选择所述客户端和所述服务器之间的不同的网络路径；

其中，所述客户端被配置成经由包括具有所述匿名化模块的所述第一网络节点的第一路径将所述第一子结构从所述客户端分派到所述服务器，其中，由所述匿名化模块变换所述第一子结构的数据，

其中，所述客户端被配置成经由包括具有所述存储模块的所述第二网络节点的第二路径将所述第二子结构从所述客户端分派到所述服务器，

其中，所述客户端被配置成基于相应子结构中所述关键数据的存在来选择所述第一路径或所述第二路径，以及

其中，所述服务器被配置成将经由所述第一路径和所述第二路径接收的数据子结构组合为第二数据结构。

16.如权利要求15所述的系统，其中，在所述客户端侧的被划分的所述第一数据结构包括请求数据结构；

其中，对所述请求数据结构的响应由所述服务器制定，其中，响应于请求的响应数据结构包含：由所述匿名化模块变换的包含关键数据的第三子结构，和不包含关键数据的第四子结构；

其中，将不包含关键数据的所述第四子结构从所述服务器分派到具有所述存储模块的所述第二网络节点；

其中，将包含关键数据的所述第三子结构从所述服务器分派到具有所述匿名化模块的所述第一网络节点；

其中，由所述匿名化模块执行响应于所述请求的所述响应数据结构的、包含关键数据的所述第三子结构的逆变换，以及在所述子结构中将关于所述请求的处理的消息分派到所述关键数据所属的所述客户端；以及

其中，由所述客户端从具有所述存储模块的所述第二网络节点获得不包含关键数据的所述第四子结构。

17.如权利要求16所述的系统，其中，由所述服务器执行对所述请求的所述响应的、不包含关键数据的所述第四子结构的变换，以及

其中，由所述客户端执行对所述请求的所述响应的、不包含关键数据的所述第四子结构的逆变换。

18.一种非暂时性计算机可读介质，所述非暂时性计算机可读介质包括用于在客户端和服务器之间交换数据的计算机可执行指令，所述非暂时性计算机可读介质包括用于如下操作的指令：

通过所述客户端将打算分派到所述服务器的第一数据结构划分为包含关键数据的第一子结构和不包含关键数据的第二子结构，其中，所述关键数据为所述客户端所位于的国家的司法辖区内的法律对采集、存储、访问、传播和/或处理作出约束的数据；

通过所述客户端基于所述第一子结构中所述关键数据的存在为所述第一子结构和所述第二子结构选择所述客户端和所述服务器之间的不同的网络路径；

经由包括具有匿名化模块的第一网络节点的第一路径将所述第一子结构从所述客户端分派到所述服务器，其中，由所述匿名化模块变换所述第一子结构的数据，且其中，所述第一网络节点位于第一区域网络中且与所述服务器和所述客户端不在同一内联网中，所述第一区域网络不同于所述服务器所处的第二网络；

经由包括具有存储模块的第二网络节点的第二路径将所述第二子结构从所述客户端分派到所述服务器，所述存储模块包括用于在所述客户端和所述服务器之间正在交换的数据的中间存储库，其中，所述第二网络节点位于第三区域网络中且与所述服务器和所述客户端不在同一内联网中，所述第三区域网络不同于所述服务器所处的所述第二网络；

其中，由所述服务器将所述服务器经由所述第一路径和所述第二路径接收的数据子结构组合为第二数据结构。

Images