CN112997179B - 一种用于实施数据策略的设备和方法 - Google Patents
一种用于实施数据策略的设备和方法 Download PDFInfo
- Publication number
- CN112997179B CN112997179B CN201880099260.5A CN201880099260A CN112997179B CN 112997179 B CN112997179 B CN 112997179B CN 201880099260 A CN201880099260 A CN 201880099260A CN 112997179 B CN112997179 B CN 112997179B
- Authority
- CN
- China
- Prior art keywords
- data
- unit
- access device
- policy
- dee
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 25
- 238000012545 processing Methods 0.000 claims abstract description 45
- 230000002776 aggregation Effects 0.000 claims description 38
- 238000004220 aggregation Methods 0.000 claims description 38
- 230000008569 process Effects 0.000 claims description 12
- 230000000873 masking effect Effects 0.000 claims description 8
- 238000009825 accumulation Methods 0.000 claims description 6
- 238000013479 data entry Methods 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 5
- 238000000547 structure data Methods 0.000 claims description 3
- 238000004148 unit process Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000011012 sanitization Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种用于实施数据策略的数据访问设备。所述数据访问设备包括输入单元、处理单元、数据暴露实施(data exposure enforcement,DEE)单元和输出单元,其中,所述数据访问设备用于在可信执行环境(trusted execution environment,TEE)中运行;所述输入单元用于接收包括用于处理数据和目标标识(identification,ID)的请求的第一数据;所述处理单元用于根据所述数据访问设备中运行的应用程序的需求,对所述第一数据进行处理,以获得包括所述目标ID和数据结构的第二数据;所述DEE单元用于根据数据暴露策略(data exposure policy,DEP)对所述第二数据进行操作,以获得第三数据;以及所述输出单元用于输出所述第三数据。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种在通信系统中实施数据策略的设备和方法。
背景技术
应用程序的用户不愿意将其机密数据委托给该应用程序,是因为担心该数据被披露给:
·应用程序的其它用户,
·应用程序所有者/服务提供商,和/或
·作为行政令披露给政府或其它法律机构。
虽然服务提供商至少可以发布其数据隐私政策,但无法证明此隐私政策正在被执行,也无法证明如何执行此隐私政策。在官方请求披露用户已委托给应用程序的数据的情况下,目前尚无办法保护该数据免受此类请求的影响。
显然需要保护委托此类应用程序中的用户数据,以提高此类应用程序的可信性,并鼓励在通信网络中使用此类应用程序。
发明内容
鉴于上述问题和缺点,本发明的目的在于提高有数据委托的应用程序的可信性。本发明具体旨在为数据提供者公开透明关于如何使用其数据以及谁将能够访问其数据,以便为数据提供者带来新的信任级别。这是因为本发明确保了数据提供者的数据不能以任何不符合数据处理者发布的数据策略的方式使用。
本发明的目的在于通过所附独立权利要求中提供的方案实现。从属权利要求中进一步定义了本发明的有利实现方式。
本发明的第一方面提供了一种用于实施数据策略的数据访问设备。所述数据访问设备包括输入单元、处理单元、数据暴露实施(data exposure enforcement,DEE)单元和输出单元,其中,所述数据访问设备用于在可信执行环境(trusted execution environment,TEE)中运行;所述输入单元用于接收包括用于处理数据的请求和目标标识(identification,ID)的第一数据;所述处理单元用于根据所述数据访问设备中运行的应用程序的需求,对所述第一数据进行处理,以获得包括所述目标ID和数据结构的第二数据;所述DEE单元用于根据数据暴露策略(data exposure policy,DEP)对所述第二数据进行操作,以获得第三数据;以及所述输出单元用于输出所述第三数据。
在第一方面的一种实现方式中,所述用于处理数据的请求包括向应用程序提供数据或从应用程序检索数据的请求。
在第一方面的一种实现方式中,所述DEP是控制所述DEE单元的指令集,其中,所述指令包括匿名化指令,用于通过识别所述数据结构中相应的标识字段来识别待匿名化的所述第二数据中的数据;暴露指令,用于识别所述第二数据中待暴露的其它数据,并指示要向哪个目标ID以及如何将所识别的其它数据暴露;以及聚合策略,用于在进行进一步处理之前控制所述第二内容数据中特定数据类型的数据的聚合,其中,根据所述目标ID中的任何一个执行所述指令集中的任何指令。
在第一方面的一种实现方式中,所述DEE单元还包括解析单元和操作单元,其中,所述解析单元用于识别所述数据结构中的参与数据类型;所述操作单元用于通过根据所述DEP删除、屏蔽或加密所述数据结构中的数据字段来对所述第二数据进行操作,以获得第三内容数据。
在第一方面的一种实现方式中,所述数据字段包括标识字段和其它数据字段;如果所述DEP要求匿名化和/或要求通过丢弃、屏蔽或加密所述DEP要求操作的任何数据字段来对所述第二数据进行操作,则所述操作单元用于通过丢弃、屏蔽或加密所述标识字段来对所述第二数据进行操作。
在第一方面的一种实现方式中,所述DEP存储在所述DEE单元中。
在第一方面的一种实现方式中,所述DEP向所有目标ID公开。
在第一方面的一种实现方式中,所述DEE单元还包括聚合控制器,用于:计算所述第二数据的允许聚合量,其中,聚合包括由于重复数据输入而对所述第二数据的累积;以及缓存受所述聚合策略影响的所述第二数据的聚合子集,直到满足聚合策略的条件。
在第一方面的一种实现方式中,所述DEE单元还包括加密存储器和提取存储器,其中,所述加密存储器用于通过加密并存储所述第二数据的所述聚合子集来缓存数据;以及在满足所述聚合策略的条件时,所述提取存储器用于通过解密并存储所述第二数据的所述聚合子集作为所述第三数据来存储数据。
在第一方面的一种实现方式中,所述聚合策略包括针对所述DEE单元的指令:除非已经向所述数据访问设备提供了至少一定数量的不同的第一数据条目,否则不暴露字段。
在第一方面的一种实现方式中,所述聚合策略包括针对所述DEE单元的另一指令:如果已经向所述数据访问设备提供了超过一定数量的识别的不同的第一数据条目,则仅暴露所述第二数据的所述聚合子集中的计算字段。
本发明的第二方面提供了一种用于实施数据策略的方法。所述方法包括:在可信执行环境(trusted execution environment,TEE)中运行数据访问设备;输入单元接收包括用于处理数据的请求和目标ID的第一数据;处理单元根据所述数据访问设备中运行的应用程序的需求,对所述第一数据进行处理,以获得包括所述目标ID和数据结构数据的第二数据;数据暴露实施(data exposure enforcement,DEE)单元根据数据暴露策略(dataexposure policy,DEP)对所述第二数据进行操作,以获得第三数据;以及输出单元输出所述第三数据。
本发明的第三方面提供了一种计算机程序产品,包括程序代码,用于在计算机上运行时执行根据第二方面所述的方法。
本发明实施例提供了一种用于实施数据暴露策略的数据访问设备和一种用于实施数据暴露策略的方法。所述用于实施数据策略的数据访问设备包括输入单元、处理单元、数据暴露实施(data exposure enforcement,DEE)单元和输出单元,其中,所述数据访问设备用于在可信执行环境(trusted execution environment,TEE)中运行;所述输入单元用于接收包括用于处理数据的请求和目标标识(identification,ID)的第一数据;所述处理单元用于根据所述数据访问设备中运行的应用程序的需求,对所述第一数据进行处理,以获得包括所述目标ID和数据结构的第二数据;所述DEE单元用于根据数据暴露策略(dataexposure policy,DEP)对所述第二数据进行操作,以获得第三数据;以及所述输出单元用于输出所述第三数据。
由于所述数据访问设备的所有组件或所述数据访问设备中的所有应用程序组件都在可信执行环境中运行,DEE机制可靠地执行了所述DEP,因此,这允许数据提供者完全透明地了解如何使用其数据以及谁将能够访问这些数据。可信执行环境,如英特尔的软件防护扩展(Software Guard Extensions,SGX)技术或AMD的安全内存加密(Secure MemoryEncryption,SME),是主处理器内的一个安全区域,确保了在其中运行的应用程序具有以下属性:代码不变性,即,受保护应用程序的逻辑不可更改;数据机密性—应用程序数据不可访问和证明,即,受保护应用程序能够向第三方证明所述应用程序正在使用第三方身份进行通信,也就是说,该程序确实是在TEE中运行的特定程序。
这为数据提供者带来了新的信任级别,因为新的DEE机制保证数据提供者(如用户)的数据不能以任何不符合策略的方式使用。在任何时候,数据访问设备的所有利益相关者或用户都可以将证明作为TEE的不可或缺的一部分,以验证服务的可信性。
应注意,本申请所描述的所有设备、元件、单元和装置可以在软件或硬件元件或其任何组合中实现。本申请中描述的各种实体执行的所有步骤和所描述的将由各种实体执行的功能旨在表明各个实体适于或用于执行各自的步骤和功能。虽然在以下具体实施例的描述中,由外部实体执行的特定功能或步骤没有在执行特定步骤或功能的该实体的具体元件的描述中反映,但是技术人员应该清楚的是这些方法和功能可以在各自的硬件或软件元件或其任何组合中实现。
附图说明
结合所附附图,下面具体实施例的描述将阐述上述本发明的各方面及其实现方式,其中:
图1示出了本发明实施例提供的一种设备。
图2详细示出了本发明实施例提供的一种设备。
图3示出了本发明实施例提供的一种设备。
图4示出了本发明实施例提供的一种方法。
具体实施方式
图1示出了本发明实施例提供的一种数据访问设备100。在图1中被标识为实施例“在可信执行环境(trusted execution environment,TEE)中运行的数据访问组件”的数据访问设备100是嵌入在TEE 101中的设备、应用程序或应用程序组件106,并包括输入单元102,处理单元103、数据暴露实施(data exposure enforcement,DEE)单元104和输出单元105。
从现有技术(例如英特尔的SGX、AMD的SME)中可知TEE 101是一种计算机制,它提供了解决上述“背景技术”部分中提到的问题所需的两种能力:
·机密数据和数据加密密钥的资源保护—由于只有在TEE中运行的代码才能访问密钥和数据,因此其他人(包括服务提供商)都不能访问代码。因此,确保了TEE中加载的代码和数据的完整性。
·证明—是一种计算机制,该机制向TEE中服务的所有用户证明该服务确实是“可信的”,并由其要求的来源提供。这保证了用户与数据访问设备之间通信的机密性。
输入单元102用于接收用于处理数据107的请求和目标标识(identification,ID)108。待由数据访问设备100处理的数据可以包括用户提供的传入数据,或者应用户的请求从数据访问设备中检索/由数据访问设备计算的检索数据,其中,所述数据访问设备的用户可以是任何实体,该实体被启用或授权以向数据访问设备提出处理数据的请求。因此,用户可以是人类用户、上面描述的实体、用户角色或另一应用程序组件。在下文中,术语“用户”的使用应以此一般意义来理解。
输入单元102还用于接收代表用户的目标ID 108。处理数据107的请求可以由输入单元102接收。输入单元102用于将请求传递给数据访问设备100的处理单元103。
处理单元103用于对用于处理数据107的请求和目标ID 108进行处理。如果用于处理数据107的请求包括处理传入数据107的请求,该请求可以由用户提供,则处理单元103可以采取任何措施来转换、解析、丰富、重组和/或格式化数据,以将原始输入数据转换为数据结构。对于执行预期业务逻辑或应用程序目的的应用程序或应用程序组件而言,这是有意义的,且也是应用程序或应用程序组件所期望的,例如,在服务提供商处进行调查或管理客户端数据库,以与客户端进行业务往来。在下文中,上述数据结构被理解为数据值、数据值之间的关系以及可以应用于数据的函数或操作的集合。
如果处理数据107的请求包括从数据访问设备检索和/或由数据访问设备计算数据的请求,则处理单元103可以采取任何措施以查询数据库或从驻留在TEE 101内的数据库中获取数据,以分析结果或查看聚合数据集。为此,处理单元103还将请求转换为对应用程序或应用程序组件有意义和期望的数据结构。
根据用于处理数据107的请求的内容,处理单元103还可以生成多个目标ID,其中,向处理单元103提出该请求或该请求受处理单元103影响。
DEE单元104用于在多个目标ID 109的辅助下对所接收的数据结构进行操作以实施数据暴露策略(data exposure policy,DEP),其中,DEP中定义了如何处理所接收的数据结构。DEE单元的输出包括另一个数据结构110,该另一个数据结构110反映了DEP要求的措施。DEE 104的技术细节将在以下关于图2的阐述中论述。
输出单元105用于输出该另一个数据结构,该另一个数据结构符合DEP,这也将在关于下述关于图2的部分中详细说明。
基于图1所示的通用实施例,图2示出了本发明具体实施例提供的数据访问设备100的DEE单元104。本具体实施例中的DEE单元104包括解析单元201和操作单元202,用于相互协作以执行DEP 203。具体地,解析单元201用于识别DEE单元接收的数据结构204中受DEP203影响的参与数据类型,而操作单元202用于通过丢弃、屏蔽或加密数据结构中的数据字段来对接收的数据结构进行操作,其中,所述数据字段的数据类型是参与数据类型,即是受DEP 203影响的数据字段。DEE单元104还可以包括复制单元(未示出),其用于将接收到的数据结构204的内容复制到中间数据结构中,操作单元使用该中间数据结构来执行其数据操作。这样最终会生成已由DEP净化的输出数据结构205。除了接收输入数据结构204之外,DEE单元104还用于接收多个目标ID 206。可能还需要多个目标ID 206用于指示操作单元202将DEP应用于属于相应目标ID的接收数据结构中的数据。在本具体实施例中,DEE 104单元包括DEP 203,但在另一个实施例中,DEP 203可以是驻留在DEE单元104之外但在数据访问设备100内部的另一个实体。
在本发明的另一个实施例中,数据字段包括标识字段和其它数据字段。此外,如果DEP 203要求匿名化和/或要求通过删除、屏蔽或加密DEP 203要求操作的任何数据字段来对接收的数据结构204进行操作,则操作202单元还用于通过丢弃、屏蔽或加密标识字段来对接收的数据结构204进行操作。
DEP 203通常包括用于控制DEE单元104的指令集。在本发明的一个具体实施例中,指令集可以包括匿名化指令、识别暴露指令和聚合策略。匿名化指令指示DEE单元203的解析单元201通过识别DEP规定的数据结构中的相应标识字段来识别接收到的待匿名化的数据结构中的数据。识别暴露指令指示DEE单元104的解析单元201识别接收到的待暴露的数据结构中的其它数据,并向DEE单元104的操作单元202指示要向哪个目标ID以及如何将所识别的其它数据暴露。聚合策略指示解析单元201和/或操作单元202在进行进一步处理之前控制接收到的数据结构中特定数据类型的数据的聚合。指令集中的任何指令也都可以是有条件的,并且只能根据处理数据的原始请求中提供的包括目标ID 108在内的任何目标ID来执行。
在说明本实施例,特别是提到的聚合策略的示例中,DEP可以调节“在线调查”的进一步处理,这可以允许由参与者/用户各自的目标ID标识的调查的每个参与者/用户为另一个要被评级的调查用户提供评级值。调查应用程序的另一个用户可以是由调查(主动)参与者组成的一组人的管理员,因此只能拥有被动投票权,该被动投票权包括查询例如其绩效累积投票数据的权利。因此,当调查的主动参与者、选民向数据访问设备100提供处理其输入数据的请求时,调查的被动参与者(在本示例中的该组管理员)向数据访问设备100提供处理其查询数据的请求。为了确保选民个人数据的完全保密,DEP不仅可以要求选民的个人数据匿名化,而且还可以要求管理员在积累到一定数量的选票之前不得审查选民的评级数据。本示例中,假设在一定时间后,只投了一票,并且允许将被评级的管理员确定谁还没有按顺序投票(为了让管理员能够管理调查,这很常见)。这样,尽管所有选民的个人数据都已匿名,但管理员可以很容易地确定该选民的身份。为了避免这种或任何其它不期望的调查数据的暴露,相应的聚合政策可以根据本示例中所示的投票数量控制投票数据的暴露。
在另一个实施例中,DEP 203可被数据访问设备的所有用户访问,并且可以作为证明过程的一部分暴露给任何用户。该证明过程是TEE 101不可或缺的一部分。由于本发明的目的是为数据提供者带来新的信任级别,所以本发明的解决方案鼓励用户将其敏感数据提供给数据处理系统。客户需要能够验证与其通信的系统是否按预期运行。这对于许多TEE用例都是适用的,特别是在本发明的情况下。在本发明的情况下,可以发布DEP,并且用户需要信任系统与未被篡改的DEP兼容。远程证明是一种方法,主机通过该方法向远程主机验证其硬件和软件配置。远程证明的目的是使远程系统(质疑者)能够确定对另一个系统(证明者)平台完整性的信任级别。远程证明的体系结构由两个主要组件组成:完整性测量架构和远程证明协议。如果是英特尔SGX/AMD SME提供的TEE,则通过专有协议完成远程证明,该协议涉及在交换的多个消息,从而导致英特尔签署了一份报告,其中包括:
1.验证组件在SGX/SME飞地或TEE中运行
2.提供明确识别加载到该飞地的代码和数据的测量
3.提供共享密钥,该密钥可以作为与飞地间建立安全通信通道的基础
根据此报告,质疑者知道代码在飞地中受到保护,无法修改,也知道哪些特定代码是在飞地中受到保护且无法修改的,哪些代码并可以根据共享密钥继续用于与组件安全通信,以获得如DEP。
在本发明的另一个实施例中,DEE单元104还包括聚合控制器,用于计算接收到的数据结构的内容的允许聚合或累积量。由于不同目标ID 108(例如,由不同目标ID标识的不同用户投票或提供其评级数据)在输入单元102处输入重复数据,聚合或累积被理解为在接收的数据结构204中的内容的累积。为了根据聚合策略在接收到的数据结构204中进行数据累积,聚合控制器还用于缓存接收到的数据结构并向其添加数据,直到满足聚合策略的条件,由此,添加的数据在输入单元处重复馈入,并受聚合策略的影响。
优选地,在本发明的另一个实施例中,聚合数据在由聚合控制器存储之前被加密。为此,引入了一种系统,该系统包括数据访问设备(100)、加密存储器和提取存储器,其中,加密存储器用于加密和缓存接收的数据结构,并通过加密和存储数据的聚合子集向接收的数据结构中重复添加数据,直到满足聚合策略的条件。在数据聚合这一阶段,聚合数据由DEE根据DEP的聚合策略作为接收的数据结构进行处理,并且可以由数据访问设备的用户查看或以其它方式查看。由于属于聚合策略的所有数据都使用只有TEE有权访问的密钥加密,因此加密密钥受到保护,并避免了对缓存数据进行未经授权的操作或查看。一旦满足聚合策略条件,数据就会被解密并提取到提取存储器中,以备在数据访问设备的用户已经提出从数据访问设备中检索数据的请求后输出和查看。
在本发明的一个具体实施例中,聚合策略包括针对DEE单元的指令:除非已经向数据访问设备提供了由各自目标ID标识的至少一定数量的不同的数据条目,否则不暴露字段。例如,在至少10位不同的人向系统提供数据之前,可能希望阻止数据字段的暴露。这一措施可以避免用户身份的意外泄露,正如上述说明聚合策略的示例所阐述的那样。
在本发明的又一个实施例中,聚合策略包括针对DEE单元的另一指令:如果已经向数据访问设备提供了超过一定数量的由各自目标ID识别的不同的数据条目,则仅暴露所述DEE单元持有的聚合数据结构中的计算字段。为了获得满足特定用例需求的聚合策略,如上述两种聚合策略指令可以以任何方式组合。
图3示出了本发明实施例提供的用于实施数据策略设备300并在可信执行环境301中运行的数据访问设备300。用于实施数据策略的数据访问设备300包括输入单元302、处理单元303、数据暴露实施(data exposure enforcement,DEE)单元304和输出单元305,其中,数据访问设备300用于在可信执行环境(trusted execution environment,TEE)301中运行;输入单元302用于接收包括用于处理数据的请求和目标ID的第一数据;处理单元303用于根据数据访问设备中运行的应用程序的需求,对第一数据进行处理,以获得包括目标ID和数据结构的第二数据;DEE单元304用于根据数据暴露策略(data exposure policy,DEP)对第二数据进行操作,以获得第三数据;以及输出单元305用于输出第三数据。
图4示出了一种由数据访问设备实施数据策略的方法400。该方法包括如下步骤:在可信执行环境(trusted execution environment,TEE)中运行401数据访问设备;输入单元接收402包括用于处理数据的请求和目标ID的第一数据;处理单元根据数据访问设备中运行的应用程序的需求,对第一数据进行处理403,以获得包括目标ID和数据结构数据的第二数据;数据暴露实施(data exposure enforcement,DEE)单元根据数据暴露策略(dataexposure policy,DEP)对第二数据进行操作404,以获得第三数据;以及输出单元输出405第三数据。
已经结合作为示例的各实施例以及实施方案描述了本发明。但根据对附图,本公开和独立权利要求的研究,本领域技术人员通过实践所请求保护的发明能够理解并获得其它变体。在权利要求以及描述中,术语“包括”不排除其它元件或步骤,且“一”并不排除复数可能。单个元件或其它单元可满足权利要求书中所叙述的若干实体或项目的功能。在仅凭某些措施被记载在相互不同的从属权利要求书中这个事实并不意味着这些措施的组合不能在有利的实现方式中使用。
Claims (11)
1.一种用于实施数据策略的数据访问设备(100),其特征在于,包括输入单元(102、302)、处理单元(103、303)、数据暴露实施(data exposure enforcement,DEE)单元(104、304)和输出单元(105、305),其中,
所述数据访问设备(100)用于在可信执行环境(trusted execution environment,TEE)(101)中运行;
所述输入单元(102)用于接收包括用于处理数据(107)的请求和目标标识(identification,ID)(108)的第一数据;
所述处理单元(103),用于根据所述数据访问设备(100)中运行的应用程序的要求,对所述第一数据进行处理,以获得包括目标ID(109)和数据结构(109)的第二数据;
DEE单元(104)用于根据数据暴露策略(data exposure policy,DEP)对所述第二数据进行操作,以获得第三数据;DEP(203)是控制所述DEE单元(104)的指令集,其中,所述指令包括:匿名化指令,用于通过识别数据结构(204)中的相应标识字段来识别待匿名化的所述第二数据中的数据;暴露指令,用于识别所述第二数据中待暴露的其它数据,并指示要向哪个目标ID(206)以及如何将所识别的其它数据暴露;以及聚合策略,用于在进行进一步处理之前控制所述第二数据中特定数据类型的数据的聚合,其中,根据所述目标ID(206)中的任何一个执行所述指令集中的任何指令;以及
所述输出单元(105)用于输出所述第三数据。
2.根据权利要求1所述的数据访问设备,其特征在于,
所述处理数据(107)的请求包括向应用程序提供数据或从应用程序检索数据的请求。
3.根据权利要求2所述的数据访问设备(100),其特征在于,所述DEE单元(104)还包括解析单元(201)和操作单元(202),其中,
所述解析单元(201)用于识别所述数据结构(204)中的参与数据类型;
操作单元(202)用于通过根据所述DEP(203)删除、屏蔽或加密所述数据结构(204)中的数据字段来对所述第二数据进行操作,以获得第三内容数据。
4.根据权利要求3所述的数据访问设备(100),其特征在于,
所述数据字段包括标识字段和其它数据字段;
如果所述DEP(203)要求匿名化和/或要求通过丢弃、屏蔽或加密所述DEP(203)要求操作的任何数据字段来对所述第二数据进行操作,则所述操作单元(202)用于通过丢弃、屏蔽或加密所述标识字段来对所述第二数据进行操作。
5.根据权利要求1至4中任一项所述的数据访问设备(100),其特征在于,所述DEP(203)存储在所述DEE单元(104)中。
6.根据权利要求1至4中任一项所述的数据访问设备(100),其特征在于,所述DEP(203)向所有目标ID公开。
7.根据权利要求3或4所述的数据访问设备(100),其特征在于,所述DEE单元(104)还包括:聚合控制器,用于:
计算所述第二数据的允许聚合量,其中,聚合包括由于重复数据输入而对所述第二数据的累积;以及
缓存受所述聚合策略影响的所述第二数据的聚合子集,直到满足聚合策略的条件。
8.一种用于实施数据策略的系统,其特征在于,包括:
根据权利要求7所述的数据访问设备(100);以及
加密存储器和提取存储器,其中,
所述加密存储器用于通过加密并存储所述第二数据的所述聚合子集来缓存数据;以及
在满足所述聚合策略的条件时,所述提取存储器用于通过解密并存储所述第二数据的所述聚合子集作为所述第三数据来存储数据。
9.根据权利要求3或4所述的数据访问设备(100)或根据权利要求8所述的系统,其特征在于,所述聚合策略包括针对所述DEE单元(104)的指令:除非已经向所述数据访问设备(100)提供了至少一定数量的不同的第一数据条目,否则不暴露字段。
10.根据权利要求3或4所述的数据访问设备(100)或根据权利要求8所述的系统,其特征在于,所述聚合策略包括针对所述DEE单元(104)的另一指令:如果已经向所述数据访问设备(100)提供了超过一定数量的识别的不同的第一数据条目,则仅暴露所述第二数据的聚合子集中的计算字段。
11.一种用于实施数据策略的方法(400),其特征在于,包括:
在可信执行环境(trusted execution environment,TEE)中运行(401)数据访问设备;
输入单元接收(402)包括用于处理数据的请求和目标标识(identification,ID)的第一数据;
处理单元根据所述数据访问设备中运行的应用程序的需求,对所述第一数据进行处理(403),以获得包括目标ID和数据结构数据的第二数据;
数据暴露实施(data exposure enforcement,DEE)单元根据数据暴露策略(dataexposure policy,DEP)对所述第二数据进行操作(404),以获得第三数据;DEP(203)是控制所述DEE单元(104)的指令集,其中,所述指令包括:匿名化指令,用于通过识别数据结构(204)中的相应标识字段来识别待匿名化的所述第二数据中的数据;暴露指令,用于识别所述第二数据中待暴露的其它数据,并指示要向哪个目标ID(206)以及如何将所识别的其它数据暴露;以及聚合策略,用于在进行进一步处理之前控制所述第二数据中特定数据类型的数据的聚合,其中,根据所述目标ID(206)中的任何一个执行所述指令集中的任何指令;以及
输出单元输出(405)所述第三数据。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2018/079823 WO2020088753A1 (en) | 2018-10-31 | 2018-10-31 | Device and method for enforcing a data policy |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112997179A CN112997179A (zh) | 2021-06-18 |
| CN112997179B true CN112997179B (zh) | 2024-04-12 |
Family
ID=64051590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880099260.5A Active CN112997179B (zh) | 2018-10-31 | 2018-10-31 | 一种用于实施数据策略的设备和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20210248269A1 (zh) |
| EP (1) | EP3857420A1 (zh) |
| CN (1) | CN112997179B (zh) |
| WO (1) | WO2020088753A1 (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1420488A (zh) * | 2001-08-07 | 2003-05-28 | 陈涛 | 可视音带的图文数据生成和编码方法及图文数据播放装置 |
| CN104077533A (zh) * | 2014-07-17 | 2014-10-01 | 北京握奇智能科技有限公司 | 一种操作敏感数据的方法和设备 |
| CN105765598A (zh) * | 2013-12-24 | 2016-07-13 | 英特尔公司 | 经由本地化个人化的隐私实施 |
| CN107251069A (zh) * | 2016-01-28 | 2017-10-13 | 华为技术有限公司 | 一种近场通信支付方法及终端 |
| CN107431621A (zh) * | 2014-12-27 | 2017-12-01 | 迈克菲有限责任公司 | 采用输入标记的可信二进制的二进制转换 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6499110B1 (en) * | 1998-12-23 | 2002-12-24 | Entrust Technologies Limited | Method and apparatus for facilitating information security policy control on a per security engine user basis |
| WO2003048979A2 (en) * | 2001-12-07 | 2003-06-12 | Multigig Limited | Timing circuit cad |
| US7730138B2 (en) * | 2004-07-14 | 2010-06-01 | Microsoft Corporation | Policy processing model |
| US7987496B2 (en) * | 2008-04-11 | 2011-07-26 | Microsoft Corporation | Automatic application of information protection policies |
| WO2009155681A1 (en) * | 2008-06-26 | 2009-12-30 | Redknee Inc. | System, method and apparatus for security management of an electronic device |
| US8826369B2 (en) * | 2009-08-11 | 2014-09-02 | Nec Corporation | Terminal, communication system, data management method, server and storage medium |
| WO2011104663A1 (en) * | 2010-02-23 | 2011-09-01 | Confidato Security Solutions Ltd | Method and computer program product for order preserving symbol based encryption |
| US20110295751A1 (en) * | 2010-05-27 | 2011-12-01 | Smith Micro Software, Inc. | System and method for subsidized internet access through preferred partners |
| US9529996B2 (en) * | 2011-10-11 | 2016-12-27 | Citrix Systems, Inc. | Controlling mobile device access to enterprise resources |
| US9787681B2 (en) * | 2012-01-06 | 2017-10-10 | Optio Labs, Inc. | Systems and methods for enforcing access control policies on privileged accesses for mobile devices |
| CN104838630B (zh) * | 2012-10-10 | 2018-10-12 | 思杰系统有限公司 | 基于策略的应用程序管理 |
| EP2947816B1 (en) * | 2013-04-24 | 2018-01-17 | Huawei Technologies Co., Ltd. | Method for charging for application, and charging device and system |
| US9800582B2 (en) * | 2013-06-04 | 2017-10-24 | Edmond Scientific Company | Method and apparatus generating and applying security labels to sensitive data |
| US9747096B2 (en) * | 2014-07-07 | 2017-08-29 | Harman Connected Services, Inc. | Remote embedded device update platform apparatuses, methods and systems |
| CN107209841B (zh) * | 2014-10-22 | 2020-11-03 | 微软技术许可有限责任公司 | 在软件应用中启用分类和irm的方法、系统和介质 |
| US10395042B2 (en) * | 2015-07-02 | 2019-08-27 | Oracle International Corporation | Data encryption service |
| US20170039376A1 (en) * | 2015-08-05 | 2017-02-09 | Dell Products L.P. | Systems and methods for providing secure data |
| CN108781361B (zh) * | 2016-03-15 | 2020-09-08 | 华为技术有限公司 | 用于处理数据包的方法及设备 |
| AU2017201850B2 (en) * | 2016-03-21 | 2020-10-29 | Vireshwar K. ADHAR | Method and system for digital privacy management |
| US10698986B2 (en) * | 2016-05-12 | 2020-06-30 | Markany Inc. | Method and apparatus for embedding and extracting text watermark |
| US10257197B2 (en) * | 2016-07-14 | 2019-04-09 | Sap Se | Private data access controls in mobile applications |
| US10614248B2 (en) * | 2017-01-31 | 2020-04-07 | Ca, Inc. | Privacy preserving cross-organizational data sharing with anonymization filters |
| WO2018174846A1 (en) * | 2017-03-20 | 2018-09-27 | Nokia Technologies Oy | Distributed network policy decision making |
| CN111279316B (zh) * | 2017-08-28 | 2024-04-09 | 皇家Kpn公司 | 网络中的应用功能及其控制 |
| US10970410B2 (en) * | 2017-10-26 | 2021-04-06 | Lawrence Livermore National Security, Llc | Accessing protected data by a high-performance computing cluster |
-
2018
- 2018-10-31 EP EP18796031.5A patent/EP3857420A1/en active Pending
- 2018-10-31 CN CN201880099260.5A patent/CN112997179B/zh active Active
- 2018-10-31 WO PCT/EP2018/079823 patent/WO2020088753A1/en unknown
-
2021
- 2021-04-29 US US17/243,963 patent/US20210248269A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1420488A (zh) * | 2001-08-07 | 2003-05-28 | 陈涛 | 可视音带的图文数据生成和编码方法及图文数据播放装置 |
| CN105765598A (zh) * | 2013-12-24 | 2016-07-13 | 英特尔公司 | 经由本地化个人化的隐私实施 |
| CN104077533A (zh) * | 2014-07-17 | 2014-10-01 | 北京握奇智能科技有限公司 | 一种操作敏感数据的方法和设备 |
| CN107431621A (zh) * | 2014-12-27 | 2017-12-01 | 迈克菲有限责任公司 | 采用输入标记的可信二进制的二进制转换 |
| CN107251069A (zh) * | 2016-01-28 | 2017-10-13 | 华为技术有限公司 | 一种近场通信支付方法及终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020088753A1 (en) | 2020-05-07 |
| EP3857420A1 (en) | 2021-08-04 |
| CN112997179A (zh) | 2021-06-18 |
| US20210248269A1 (en) | 2021-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2743842A1 (en) | Secure search processing system and secure search processing method | |
| EP2912816A1 (en) | Method and apparatus for managing access rights | |
| CN113139204A (zh) | 一种利用零知识证明和洗牌算法的医疗数据隐私保护方法 | |
| Giweli et al. | Enhancing data privacy and access anonymity in cloud computing | |
| Zaghloul et al. | $ d $ d-MABE: Distributed Multilevel Attribute-Based EMR Management and Applications | |
| Zaghloul et al. | d-emr: Secure and distributed electronic medical record management | |
| Coppolino et al. | Exploiting new CPU extensions for secure exchange of eHealth data at the EU level | |
| Cho et al. | Guaranteeing the integrity and reliability of distributed personal information access records | |
| González-Manzano et al. | ase-PoW: A proof of ownership mechanism for cloud deduplication in hierarchical environments | |
| US20200311303A1 (en) | Methods, systems, apparatuses and devices for facilitating user privacy using encryption based pseudonymization | |
| CN112997179B (zh) | 一种用于实施数据策略的设备和方法 | |
| Mumtaz et al. | PDIS: A Service Layer for Privacy and Detecting Intrusions in Cloud Computing. | |
| Ferretti et al. | Verifiable delegated authorization for user-centric architectures and an OAuth2 implementation | |
| Leila et al. | A new framework of authentication over cloud computing | |
| Rahman et al. | PriGen: a generic framework to preserve privacy of healthcare data in the cloud | |
| Lohmöller et al. | Poster: bridging trust gaps: data usage transparency in federated data ecosystems | |
| Ahmed et al. | A secure provenance scheme for detecting consecutive colluding users in distributed networks | |
| Olsson et al. | 5G zero trust–A Zero-Trust Architecture for Telecom | |
| Raja et al. | An enhanced study on cloud data services using security technologies | |
| Mounnan et al. | Efficient distributed access control using blockchain for big data in clouds | |
| Sutar et al. | Privacy Management in Cloud by making use of Homomorphic Functions | |
| Gagged et al. | Improved secure dynamic bit standard technique for a private cloud platform to address security challenges | |
| Uthayashangar et al. | Image and text encrypted data with authorized deduplication in cloud | |
| US11159578B1 (en) | Apparatus and method for managing digital identities and controlling their correlation to legal identities | |
| CN114650184B (zh) | 一种基于信任度的Docker进程安全访问控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220216 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Applicant after: Huawei Cloud Computing Technologies Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |