CN115803735A - 网络中的数据库访问控制服务 - Google Patents
网络中的数据库访问控制服务 Download PDFInfo
- Publication number
- CN115803735A CN115803735A CN202180047500.9A CN202180047500A CN115803735A CN 115803735 A CN115803735 A CN 115803735A CN 202180047500 A CN202180047500 A CN 202180047500A CN 115803735 A CN115803735 A CN 115803735A
- Authority
- CN
- China
- Prior art keywords
- data
- key
- provider
- database
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 13
- 238000000034 method Methods 0.000 claims description 79
- 230000004044 response Effects 0.000 claims description 39
- 230000015654 memory Effects 0.000 claims description 18
- 238000013475 authorization Methods 0.000 claims description 14
- 238000012546 transfer Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 description 20
- 230000006870 function Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- 238000013500 data storage Methods 0.000 description 9
- 239000010410 layer Substances 0.000 description 7
- 230000008520 organization Effects 0.000 description 5
- 239000002356 single layer Substances 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 4
- 238000013523 data management Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000036541 health Effects 0.000 description 3
- 238000012384 transportation and delivery Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000003139 buffering effect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000002355 dual-layer Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/107—License processing; Key processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
Abstract
一种支持网络数据库服务的系统包括:控制器,用于接收一个或多个数据请求并对所述一个或多个数据请求进行认证;与所述控制器进行通信的网关(gateway,GW),用于:从所述控制器接收所述一个或多个数据请求中的至少一个数据请求,对在所述请求中接收到的数据执行数据分类,以及根据所述数据分类、所述GW的硬件保护密钥和第二(加密)密钥生成密码密钥。所述密码密钥用于访问数据库。所述控制器和所述GW由不同方操作。
Description
相关申请交叉引用
本申请要求于2020年7月3日提交的序列号为16/920,623、发明名称为“网络中的数据库访问控制服务(DATABASE ACCESS CONTROL SERVICE IN NETWORKS)”的美国申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本发明涉及数据库访问控制,尤其涉及在网络环境中访问数据库时保护隐私的方法和系统。
背景技术
数据外包或“数据库即服务(database as a service,DBaaS)”是数据管理的一种新范式,其中,第三方服务提供商提供数据库即服务。DBaaS为其客户或客户端提供数据管理。DBaaS提供的好处是,客户不必购买或提供自己的硬件,不必安装数据库软件或自己管理数据库,也不必为了确保数据库系统保持可用性和安全性而进行必要的升级和备份。
DBaaS还实现多方数据共享和数据共享。DBaaS的参与方包括数据提供商、数据请求方、数据库提供商和DBaaS服务提供商。数据提供商是提供要存储在数据库中的数据的实体。上传到数据库的数据可以是数据提供商的机密数据或专有数据。数据请求方是请求访问数据或访问存储的数据中的数据驱动报告的实体。数据库提供商提供数据库存储和数据库引擎,在许多应用中是云计算提供商。数据库提供商应保护数据提供商提供的数据的隐私和机密性。数据库提供商还根据数据提供商的数据访问权限访问数据库提供商的数据。DBaaS服务提供商必须管理数据访问,并且保护各方(包括他们自己)的隐私、机密性和访问权限。在一些实施例中,所有各方都可以是单独的实体。在其它实施例中,单个实体可以执行多方的角色。
当前用于保护机密性的技术方案可以称为零知识隐私(zero-knowledgeprivacy),依赖于密钥管理器和非对称加密。
在使用零知识隐私时,数据库提供商提供零知识隐私,其中,数据提供商对他们自己的数据进行加密并将加密数据上传到数据库。数据库提供商不了解数据,也不访问数据加密密钥。提供零知识隐私的数据库提供商的示例包括云服务提供商、Tresorit、pCloudAG和Sync.com Inc.。如果未经允许访问服务器,则除数据提供商之外,任何人都无法访问数据,因为只有数据提供商拥有加密密钥。但是,如果数据提供商希望与数据请求方或第三方共享其数据,则数据提供商必须从数据库下载数据,然后安全地将其发送给数据请求方或第三方。这个过程会消耗网络资源,而且在数据提供商使用智能手机或平板电脑等移动设备或物联网(Internet of things,IoT)设备的情况下是不切实际的。
一些应用依赖于使用第三方或代理对数据进行加密,该第三方或代理存储共享密钥并从存储器中检索,该存储器与加密数据的密钥生成器分离。可以使用外部密钥服务器或密钥管理器,外部密钥服务器或密钥管理器也可以自己生成加密密钥。示例包括Vormetric透明加密和趋势科技公司(Trend Micro Inc.)的SecureCloud。这样使得数据请求方使用第三方、代理或密钥管理器的加密密钥来下载数据并对数据进行解密。但是,恶意数据请求方可以在未经数据提供商授权的情况下访问数据库并使用相同的共享密钥来检索数据提供商的数据。
人们还提出非对称加密作为一种技术方案。非对称加密使得半可信代理将使用一个用户的公钥进行加密的数据转换为使用另一个用户的私钥进行解密。然而,为了满足长期的安全需求,需要4096位或8192位的长对称密钥,这使得在存储和计算能力有限的一些用户设备上对数据进行加密是不切实际的。
需要数据管理技术方案,以保护数据提供商的数据机密性,确保数据请求方和数据库提供商在允许访问数据之前通过授权和认证,并且提供可信第三方来独立管理DBaaS系统。
背景技术的目的是揭示申请人认为可能与本发明相关的信息。没有必要承认也不应解释任何前述信息构成与本发明相对的现有技术。
发明内容
本发明实施例提供了一种用于实现“隐私数据库访问控制(privacy databaseaccess control,PDAC)”以及将PDAC即服务(PDAC as a service,PDACaaS)提供给数据提供商、数据请求方、数据库提供商和DBaaS服务提供商的系统。实施例还提供了实现架构来提供PDACaaS的方法,该PDACaaS保护和增强数据提供商的隐私以及对访问存储在数据库中的数据进行认证和访问控制。实施例提供了具有可自定义安全级别的数据库访问控制,以满足参与各方的各种安全要求。
根据本发明实施例,提供了一种系统。所述系统包括:控制器,用于接收一个或多个数据请求并对所述一个或多个数据请求进行认证。这样的系统还包括与所述控制器进行通信的网关(gateway,GW)。所述GW用于:从所述控制器接收与所述一个或多个数据请求中的至少一个数据请求对应的响应;从数据提供商接收数据;根据所述响应对所述数据执行数据分类,以得到分类结果;生成用于访问数据库的密码密钥,其中,所述密码密钥基于所述分类结果、所述GW中的硬件保护密钥和所述数据提供商的密钥。所述密码密钥用于访问数据库。所述控制器和所述数据库由不同方操作。
本系统实施例用于将数据存储服务与访问控制服务分离。这使得数据存储和数据访问/控制这两种服务由不同实体提供,从而增强了数据的安全性和隐私。本实施例还用于提供根据数据的特征自定义的安全级别。
在其它实施例中,所述GW是入口GW,所述一个或多个数据请求包括数据上传请求,所述入口GW还用于:向所述控制器发送所述数据上传请求,根据所述密码密钥对所述数据进行加密,以及将所述加密的数据发送给所述数据库进行存储。本实施例用于确保数据的提供商和系统之间的安全通信。
在其它实施例中,所述一个或多个数据请求包括数据请求方的数据访问请求。所述控制器还用于:对所述数据访问请求进行认证和授权,以及向出口GW发送数据指示。所述系统还包括:出口GW,用于对所述接收到的数据指示执行数据分类,以得到第二分类结果;从所述数据库接收数据;根据所述第二分类结果、所述出口GW的硬件保护密钥和所述数据提供商的所述密钥生成解密密钥。出口GW使用用于访问数据库的解密密钥来提供在数据访问请求中请求的数据。例如,出口GW根据解密密钥对数据进行解密,并且将解密的数据提供给数据请求方。本实施例用于确保系统和请求访问数据的实体之间的安全通信。在其它实施例中,所述入口GW、所述出口GW和所述控制器由同一方操作,所述同一方与操作所述数据库的那一方不同。
在其它实施例中,所述入口GW接收到的所述数据是来自所述数据提供商的加密数据。在其它实施例中,所述入口GW还用于根据所述数据提供商的所述密钥对来自所述数据提供商的所述加密数据进行解密,以得到解密数据,其中,由所述入口GW进行加密的所述数据是所述解密数据。在其它实施例中,所述出口GW用于根据所述解密密钥和所述数据提供商的所述密钥对所述数据进行解密。在其它实施例中,所述系统还包括:数据分发中心,用于:从所述入口GW接收所述加密数据,选择所述数据库来存储所述加密数据,以及将所述数据库的地址存储在日志服务器中;所述入口GW用于通过所述数据分发中心将所述加密数据发送给所述数据库进行存储。在其它实施例中,所述控制器还用于通过认证中心对所述数据提供商进行认证。在其它实施例中,所述控制器用于通过向所述数据提供商确认所述数据访问请求被授权,对所述数据访问请求执行授权。
在其它实施例中,所述数据库是用于接收所述数据的多个数据库中的一个数据库。所述多个数据库中的每个数据库包括多个入口GW中的一个入口GW和多个出口GW中的一个出口GW,所述控制器用于从所述多个数据库中选择所述数据库。本实施例提供了一种多层系统,可以用于提高该系统的性能和可靠性。在其它实施例中,所述入口GW用于通过将所述数据发送给数据分发中心,将所述加密数据发送给所述数据库进行存储。本实施例可以通过更加高效地管理数据库来提高系统在向数据库发送数据时的性能。在其它实施例中,所述控制器通过认证中心对所述数据的提供商进行认证。本实施例可以通过使用与系统分开的外部认证中心对用户进行认证来提高安全性。在其它实施例中,所述数据访问请求的授权由所述数据的提供商授予。本实施例使得数据的提供商控制授权访问数据的人。
根据本发明实施例,提供了一种将数据存储在网络数据库中的方法。所述方法包括:入口网关(gateway,GW)接收数据上传请求。所述方法还包括:控制器对所述数据上传请求进行认证。所述方法还包括:所述入口GW接收上传数据。所述方法还包括:所述入口GW对所述上传数据执行数据分类,以及所述入口GW对所述上传数据进行加密。所述方法还包括:所述入口GW将所述上传数据发送给数据库。本实施例用于将数据存储服务与访问控制服务分离。这使得这两种服务由不同的实体提供,并且使得数据库服务提供商不了解存储在其中的数据。在其它实施例中,所述上传数据由所述入口GW使用所述数据分类、所述入口GW的硬件保护密钥和所述入口GW根据所述入口GW和所述上传数据的提供商之间协商的第二密钥计算的第一密码密钥进行加密。本实施例用于确保上传数据的提供商和系统之间的安全通信。
在其它实施例中,所述第一密码密钥根据所述上传数据的分类来计算。本实施例可以用于提供根据数据的特征自定义的安全级别。其它实施例包括:在使用所述第一密码密钥对所述数据进行加密之前,所述入口GW使用所述第二密钥对所述数据进行解密。本实施例可以通过在上传数据发送给数据库提供商之前对其进行两次加密来提高安全性。
根据本发明实施例,提供了一种从网络数据库请求数据的方法。所述方法包括:出口网关(gateway,GW)接收对存储在数据库中的数据的数据访问请求。所述方法还包括:控制器对所述数据访问请求进行认证。所述方法还包括:所述控制器从所述数据的提供商接收所述数据访问请求的授权。所述方法还包括:所述出口GW从所述数据库接收所述数据,以及对所述数据执行数据分类。所述方法还包括:所述出口GW从所述数据的提供商接收密码密钥。所述方法还包括:所述出口GW使用所述密码密钥对所述数据进行解密。所述方法还包括:所述出口GW提供在所述数据访问请求中请求的所述数据。本实施例用于将数据存储服务与访问控制服务分离。这使得这两种服务由不同的实体提供,并且使得数据库服务提供商不了解存储在其中的数据。本实施例还用于使得上传数据的提供商控制对请求访问上传数据的实体的访问。
其它实施例包括:在完成所述数据访问请求之前,所述出口GW使用所述出口GW根据从所述数据的提供商接收到的所述密码密钥和所述出口GW的硬件保护密钥计算的第三密码密钥对所述数据进行解密。本实施例用于使得上传数据的提供商控制对请求访问上传数据的实体的访问。在其它实施例中,所述第三密码密钥根据所述数据的分类来计算。本实施例可以用于提供根据数据的特征自定义的安全级别。在其它实施例中,所述数据请求由所述控制器通过认证中心进行认证。本实施例可以通过使用与系统分开的外部认证中心对用户进行认证来提高安全性。
根据本发明实施例,提供了一种例如实现为入口网关(gateway,GW)的装置。所述装置包括处理器、至少一个网络接口和存储机器可读指令的非瞬时性机器可读存储器,其中,当所述机器可读指令由所述处理器执行时,配置所述入口GW。所述入口GW用于:从数据提供商接收数据上传请求,其中,所述数据上传请求包括数据;向控制器发送所述数据上传请求;从控制器接收与数据请求对应的响应;根据所述响应对所述数据执行数据分类,以得到分类结果;生成密码密钥,其中,所述密码密钥基于所述分类结果、所述GW中的硬件保护密钥和所述数据提供商的密钥;使用所述密码密钥对所述数据进行加密;将所述加密数据发送给所述数据库进行存储。有利地,数据库和GW可以由不同方操作,以增强安全性和隐私。在其它实施例中,所述入口GW接收到的所述数据是来自所述数据提供商的加密数据。在其它实施例中,所述入口GW还用于根据所述数据提供商的所述密钥对来自所述数据提供商的所述加密数据进行解密,以得到解密数据,其中,所述入口GW进行加密的所述数据是所述解密数据。在其它实施例中,所述入口GW用于通过数据分发中心将所述加密数据发送给所述数据库进行存储。在其它实施例中,所述响应是所述数据提供商的认证。在其它实施例中,所述入口GW和所述控制器由同一方操作,所述同一方与操作所述数据库的那一方不同。
根据本发明实施例,提供了例如实现为出口网关(gateway,GW)的装置。所述装置包括处理器、至少一个网络接口和存储机器可读指令的非瞬时性机器可读存储器,其中,当所述机器可读指令由所述处理器执行时,配置所述出口GW。所述GW用于:从数据请求方接收数据访问请求;将所述数据访问请求发送给控制器进行认证和授权;从所述控制器接收数据指示;对所述接收到的数据指示执行数据分类,以得到第二分类结果;从与所述数据访问请求相关联的所述数据库接收数据;根据所述第二分类结果、所述出口GW的硬件保护密钥和所述数据提供商的所述密钥生成解密密钥;根据所述解密密钥对所述数据进行解密,并且将所述解密数据提供给所述数据请求方。在其它实施例中,所述数据库和所述GW由不同方操作。在其它实施例中,所述出口GW用于根据所述解密密钥和所述数据提供商的所述密钥对所述数据进行解密。在其它实施例中,所述出口GW和所述控制器由同一方操作,所述同一方与操作所述数据库的那一方不同。
上文结合本发明的各个方面描述了实施例,这些实施例可以基于这些方面来实现。本领域技术人员将理解,实施例可以结合描述它们的方面来实现,但也可以与该方面的其它实施例一起实现。当实施例相互排斥或互不兼容时,这对于本领域技术人员来说是显而易见的。一些实施例可以结合一个方面进行描述,但也可以适用于其它方面,这对本领域技术人员是显而易见的。
附图说明
结合附图,通过以下详细描述,本发明的进一步特征和优点将变得显而易见。
图1示出了本发明一个实施例提供的参与方或实体以及它们在PDAC系统中扮演的角色。
图2示出了本发明一个实施例提供的包括PDAC服务联合体的PDACaaS。
图3示出了本发明一个实施例提供的具有单层架构的PDAC系统。
图4示出了本发明一个实施例提供的分层PDACaaS架构。
图5示出了本发明一个实施例提供的PDACaaS联盟架构。
图6示出了本发明一个实施例提供的还包括认证中心的PDAC系统。
图7示出了本发明一个实施例提供的将数据提供商注册到PDAC服务提供商的方法。
图8示出了本发明一个实施例提供的将数据请求方注册到PDAC服务提供商的方法。
图9A至图9D示出了本发明一个实施例提供的用于将数据上传到PDAC系统中的数据库的数据上传方法。
图10A至图10C示出了本发明一个实施例提供的用于访问存储在数据库提供商中的数据的数据访问方法。
图11示出了本发明一个实施例提供的基于安全级别的数据分类。
图12示出了本发明一个实施例提供的基于数据特征的数据分类。
图13A示出了本发明一个实施例提供的如何为数据提供商或数据请求方生成公私密钥对。
图13B示出了本发明一个实施例提供的入口GW在使用一级加密方法时进行密钥生成。
图13C示出了本发明一个实施例提供的入口GW在使用二级加密方法时进行密钥生成。
图13D示出了本发明一个实施例提供的出口GW在使用二级加密方法时进行密钥生成。
图13E示出了本发明一个实施例提供的出口GW在使用二级加密方法时进行密钥生成。
图14是本发明一个实施例的用于实现PDAC系统的计算系统的框图。
需要说明的是,在整个附图中,相似的特征由相似的附图标记标识。
具体实施方式
本发明实施例公开了提供DBaaS的方法、装置和系统,该DBaaS保护和增强数据提供商的隐私并包括对访问存储在一个或多个数据库或其它存储器中的数据进行认证和访问控制。实施例提供“隐私数据库访问控制(privacy database access control,PDAC)”,以及将PDAC即服务(PDAC as a service,PDACaaS)提供给数据提供商、数据请求方、数据库提供商和DBaaS服务提供商。实施例可以支持多个级别的数据隐私或安全性,包括可选择或可自定义的保护级别。本发明还支持多种PDAC服务架构、多种密码(加密和解密)方案和多种数据隐私过程选项。实施例将数据库提供商的数据存储责任与数据访问控制分离,以避免数据存储和访问控制由单一提供商进行。这种分离提供了数据提供商和数据请求方已知的更安全的系统,以实现一种更安全和可信的数据存储环境。
图1示出了本发明一个实施例提供的PDAC系统100中涉及的各方或实体及他们扮演的角色。PDAC系统100由本文中称为PDAC服务提供商108的单独实体来管理和控制。PDAC服务提供商108对数据库服务提供商106和数据库112进行访问控制。在实施例中,数据库服务提供商106可以访问一个或多个数据库112。在只访问单个数据库的情况下,术语“数据库服务提供商”和“数据库提供商”可以互换使用。为了避免数据库服务提供商106在未授权的情况下访问存储在数据库112中的数据,PDAC服务提供商108可以是与数据库服务提供商106分开的实体。因此,为了提高安全性,PDAC服务提供商108不应提供数据库服务,而且数据库服务提供商106不应是PDAC服务提供商108。
数据提供商102,简称提供商,是PDAC服务的客户端。数据提供商102可以是拥有自己专有的数据或数据提供商102有权提供和共享的数据的个人。数据提供商102可以是创建或存储私有数据的一个或多个计算设备的拥有者。在实施例中,计算设备可以是移动设备,例如蜂窝电话。数据提供商102也可以是拥有自己私有的数据的组织。数据提供商102使用PDACaaS来上传专有数据并安全地存储专有数据,并且使用PDAC服务来控制和管理其他人对其数据的访问和使用。数据提供商102的示例是存储公民身份信息的政府部门或存储患者测试结果或病史的医学实验室。个人可以使用PDAC服务来保存其财务数据或其它个人信息。在这些示例中,可能需要数据提供商102允许第三方访问其部分或全部数据。在其它情况下,法律上可能需要授权方访问数据。还可能需要第三方访问部分匿名数据,例如汇编健康统计数据。实施例提供了通知数据提供商102是否请求或要求访问其数据的机制。
数据存储在多个独立或附属的隐私数据库112中。数据库服务提供商106在PDAC系统中用于提供数据库112以存储数据提供商102的专有数据。这些数据提供商102应该与PDAC服务提供商108不同,以确保存储在数据库112中的数据不能被数据库服务提供商106访问。在实施例中,数据库提供商106不能访问未加密数据或解密数据,并且不知道存储在其中的数据的内容。数据库112可以使用多种底层技术。数据库112可以是相对简单的网络附接存储器、远程服务器或云计算存储器。数据库112也可以是存储空间大、备份设施鲁棒且访问快速的复杂关系数据库。每个数据库112可以将包括参数的数据库信息提供给数据库服务提供商106或PDAC服务提供商108,这些信息关于每个数据库112的位置、能力和操作参数。该数据库信息可以包括但不限于数据库的存储容量、支持的编程语言、数据库的位置或地址等。
数据由一个或多个数据请求方104从数据库服务提供商106获取。数据请求方104是希望访问数据提供商102的专有数据的个人或组织。在实施例中,访问数据由数据提供商102授权或通过法律手段授权。数据请求方104的示例是授权的政府实体、数据提供商102的医疗保健提供商(例如医生或牙医)或数据提供商102指定的各方。数据请求方102可以在线或离线访问数据。在线访问是指数据请求方104只能远程访问和处理存储在PDAC系统100中的数据。离线访问是指数据请求方104可以下载数据并在本地处理数据。也可以使用其它访问方法以及在线访问和离线的混合访问。
在实施例中,数据提供商102可以由代理110表示。如果数据提供商102之间已经建立了一定级别的相互信任,或者约定代理110表示数据提供商102,则数据提供商102的代理可以代表数据提供商102执行所需的数据处理。一般而言,数据提供商可以包括数据拥有者或代理。在一些实施例中,只有数据拥有者可以提供授权。在其它实施例中,数据提供商可以提供授权,数据提供商是数据拥有者或代理。
如图2所示,PDAC服务提供商108可以与数据库服务提供商106及其各个数据库112组合在一起,形成PDAC服务联合体202以提供PDACaaS。在实施例中,图3中的PDAC控制器302可以与第三方认证、授权和计费(authentication,authorization,and accounting,AAA)实体(例如图6中的认证中心602)执行认证和授权动作。认证中心602可以是蜂窝无线网络的核心网(core network,CN)的一部分。
PDAC服务架构可以利用许多变体,包括单层架构、双层分层架构和PDAC服务联盟架构,如下所述。
图3示出了一个实施例提供的单层架构。在本实施例中,PDAC控制器302、入口网关(gateway,GW)306和出口网关(gateway,GW)310已经添加到图2的架构中。入口GW 306和出口GW 310可以由PDAC服务提供商108控制,但在其它情况下,入口GW和出口GW可以由不同的实体控制。另外,该架构可以提供数据分发中心308和日志服务器304。数据分发中心308可以由PDAC服务提供商108、数据库服务提供商106或第三方等不同的提供商控制。日志服务器304可以由PDAC服务提供商108或数据库服务提供商106控制。日志服务器304与数据分发中心308和出口GW 310进行通信。
入口GW 306连接到数据提供商102(或他们的代理110),以接收数据提供商102提供的上传数据。入口GW 306还可以用于对数据库提供商106隐藏数据提供商102或其代理110的身份,从而为数据提供商102提供匿名性并实现匿名上传数据。入口GW 306还可以通过使用本领域已知的代理和缓冲等技术提高数据提供商102和数据库112之间的网络性能。入口GW 306可以专用于单个数据提供商102或数据提供商组,或者可以服务于特定的地理区域。入口GW 306还连接到可选的数据分发中心308,该数据分发中心又连接到数据库服务提供商106提供的一个或多个数据库112以进行数据存储。入口GW 306包括控制功能和数据处理功能。
出口GW 310将数据库112连接到数据请求方104,以将数据转发给请求方104。出口GW 310还可以用于对数据库提供商106隐藏数据请求方106的身份。出口GW 310还可以通过使用本领域已知的代理和缓冲等技术提高数据提供商102和数据库112之间的网络性能。出口GW 310可以专用于单个数据提供商102或数据提供商组,或者可以服务于特定的地理区域。出口GW 310还连接到日志服务器304,以更加高效进行数据访问。出口GW 310包括控制功能和数据处理功能。出口GW 310可以扩展到包括足够的计算资源,以使得数据请求方104进行在线数据处理,其中,数据不传输到数据请求方104。
PDAC系统中的元件之间的控制接口如图3中的虚线所示。PDAC服务提供商108操作PDAC控制器302。PDAC控制器302可以具有连接到数据提供商102或其代理110、入口GW 306、出口GW 310和数据请求方104的控制接口。日志服务器304可以具有连接到数据分发中心和出口GW 310的控制接口。根据需要,也可以存在未示出的其它控制接口。
PDAC服务元件可以使用多种方式实现,包括实现为离散计算系统或实现为网络切片的元件,该网络切片包括图3中所示的元件和它们之间的互连。网络切片是指一种用于创建虚拟网络的技术,这些虚拟网络将不同类型的网络流量分开,并且可以用于可重构的网络架构中,例如采用网络功能虚拟化(network function virtualization,NFV)的网络。网络切片包括逻辑网络功能的集合,这些功能支持特定场景的通信服务需求。逻辑网络功能可以在包括服务器、路由器等在内的网络硬件上实例化。网络切片还包括分配带宽满足服务质量(quality of service,QoS)和体验质量(quality of experience,QoE)要求的网络功能之间的必要链路。
在实施例中,PDACaaS架构的各个部分可以实现为虚拟网络功能。在通过蜂窝无线网络进行网络接入的一些情况下,与数据提供商102和数据请求方106进行通信的实体(例如入口GW 306和出口GW 310)可以在网络的无线接入网(radio access network,RAN)部分中实现。当数据提供商102或数据请求方106是蜂窝移动设备或用户设备(user equipment,UE)时,这可能是有益的。
图4示出了本发明一个实施例提供的分层PDACaaS架构。分层PDACaaS架构可以包括多层PDAC服务联合体,例如图4中所示的双层PDAC服务联合体400,包括第一层联合体404a和404b以及第二层联合体402。每个第一层联合体404a和404b包括多个数据库提供商106a和106b,每个数据库提供商具有自己的入口GW 306a和306b、数据分发中心308a和308b、出口GW 310a和310b以及日志服务器304a和304b。第二层联合体402包括入口GW 406和出口GW 410,使得双层PDAC服务联合体400在数据提供商102或数据请求方104看来是图3中所示的单层架构202。可以理解的是,在每个第一层联合体中,为了考虑与性能相关的因素,例如负载平衡、时延、地理位置、冗余等,数据库112的数量以及数据库提供商106a和106b的数量可以增加到任意数量,入口GW 406、306a和306b的层级以及出口GW 410、310a和310b的层级可以增加。
图5示出了本发明一个实施例提供的PDACaaS联盟架构。PDACaaS联盟架构500可以包括一个或多个服务联合体504a和504b,如图所示。每个服务联合体可以包括至少一个PDACaaS提供商,例如108a和108b。架构500内的PDACaas提供商可以形成联盟,该联盟可以称为“PDAC联盟”或“PDAC服务联盟”。PDAC联盟包括接口502,接口502使得多个PDACaaS提供商108a和108b之间能够进行通信和合作,以更加高效地执行各种动作,例如,数据请求、批准请求、记录共享等。相应地,PDACaaS提供商108a和108b可以一起通信和合作,以响应数据提供商102a或102b请求上传数据请求方104a和104b的数据请求,访问上传数据,等等。在一些实施例中,PDAC联盟还可以包括数据提供商102a和102b、他们的代理110a或110b以及数据请求方104a或104b中的一个或多个,作为PDAC服务联盟中的成员。可以理解的是,为了考虑与性能相关的因素,例如负载平衡、时延、地理位置、冗余等,PDAC服务联合体504a和504b的数量可以增加到任意数量。此外,在每个参与组织都有自己的PDAC服务提供商的情况下,也可以实现大型组织的PDAC服务联盟。还可以理解的是,多层架构400可以与联盟架构500组合,以根据具体实现方式的需要或期望产生更复杂的PDACaaS架构。
不同的PDACaaS架构可以用于实现不同级别的安全性。由于数据库服务提供商404a和404b以及入口GW和出口GW存在冗余,因此多层架构400的可靠性和性能比单层架构300的高。联盟架构500能够实现更安全的操作,因为不同的PDAC服务提供商108a和108b可以将客户安全和服务提供给不同类型的数据提供商102a和102b以及不同类型的服务请求方104a和104b。
PDAC服务提供商108提供多种服务并执行多个动作以提供PDACaaS。PDAC服务提供商108负责部署PDAC控制器302。部署PDAC控制器302可以包括实例化网络切片和虚拟机、激活或启用控制器,以及部署适用于所选择的PDACaaS架构的所需数量的PDAC控制器。
反过来,PDAC控制器302负责注册和认证数据提供商102,以及控制数据提供商102或其代理110的数据上传。PDAC控制器302还负责注册和认证数据请求方104,以及控制数据请求方104的数据访问。
PDAC控制器302负责根据PDACaaS架构的需要部署或实例化任何入口GW 306或出口GW 310。部署入口GW 306是为了将足够接口提供给数据提供商102或其代理110以及提供给数据分发中心308。入口GW 306控制数据上传,包括数据分类和控制用于数据加密的密钥。
本文中使用的“密码密钥”可以简单地称为密钥,并且包括加密密钥和解密密钥。加密密钥是指用于对数据进行加密的密码密钥。解密密钥是指用于对数据进行解密的密码密钥。加密密钥和解密密钥可以是本领域已知的公私密钥对或对称密钥等一对密码密钥的一部分。
PDAC控制器302负责部署或实例化任何数据分布中心308以控制数据库112之间的数据分布。
PDAC控制器302负责部署或实例化任何出口GW 310以控制对存储在数据库112中的数据的访问,包括数据分类、控制加密和解密、在线和离线访问数据以及与数据请求方104和日志服务器304进行连接。出口GW 310还可以扩展到与在数据请求方104只能在线访问数据时使用的云计算资源进行连接。
每个数据库服务提供商106可以确定或指定是否部署、实例化和管理其数据库112所需的任何日志服务器304。数据库服务提供商106还提供和管理数据库112以存储数据,并且部署数据库控制器以与入口GW 306、出口GW 310或入口GW 306或出口GW 310的任何控制器进行连接。
图6示出了本发明一个实施例提供的还包括认证中心的PDAC系统。图6中的PDAC系统600可以类似于图3中的PDAC系统300,但增加了认证中心602。如本文中所述,在一些实施例中,PDAC控制器302可以与第三方AAA实体(如本文中进一步论述的认证中心602)执行认证和授权动作。
在实施例中,数据提供商102或数据请求方104必须注册到PDAC服务提供商108,以便使用PDACaaS。图7示出了本发明一个实施例提供的将数据提供商102注册到PDAC服务提供商108的方法。在步骤701中,数据提供商102向PDAC控制器302发送提供商注册请求。注册请求701可以包括一个或多个参数(例如数据提供商客户端ID)和用于向认证中心602(如图6所示)认证的联系人信息(例如证书或地址)。在步骤702中,PDAC控制器302可以使用联系人信息将提供商注册请求转发给ID认证中心602。在一些实施例中,PDAC控制器302可以使用PDAC系统已知的ID认证中心602,或者通过其它方式确定ID认证中心602。在步骤703中,如果ID认证中心602成功认证数据提供商102,则PDAC控制器302可以注册数据提供商102,并且可以分配或生成加密密钥,例如公私密钥,以与数据提供商102和PDAC控制器102进行通信,从而保留私钥和客户端ID。PDAC控制器302还可以生成认证参数,例如PDAC证书,或授权数据提供商来接收PDAC服务的指示。在步骤704中,PDAC控制器302向数据提供商102发送提供商注册响应。提供商注册响应可以包括一个或多个参数,例如为PDAC控制器302和数据提供商102进行通信而生成的公钥、一列入口GW 306以及与入口GW 306进行通信所需的公钥和认证参数。在一些实施例中,数据提供商102使用的加密密钥可以通过安全信道传送。在步骤705中,数据提供商102接收提供商注册响应,并且存储用于对与PDAC控制器302的通信进行加密的公钥、用于与入口GW 306进行通信的公钥、认证参数以及自身的公私密钥对。PDAC控制器302更新自己的一列注册数据提供商。在代理110代表数据提供商102的实施例中,代理110可以执行如上所述的数据提供商102的动作。
图8示出了本发明一个实施例提供的将注册数据请求方104注册到PDAC服务提供商108的方法。在步骤801中,数据请求方104向PDAC控制器302发送请求方注册请求。注册请求可以包括一个或多个参数(例如数据请求方客户端ID)和用于联系认证中心602的联系人信息(例如证书或地址)。在步骤802中,PDAC控制器302可以使用联系人信息将请求方注册请求转发给ID认证中心602。在一些实施例中,PDAC控制器302可以使用PDAC系统已知的ID认证中心602,或者通过其它方式确定ID认证中心602。在步骤803中,如果ID认证中心602成功认证数据请求方104,则PDAC控制器302可以注册数据请求方104,并且可以分配或生成加密密钥,例如公私密钥,以与数据请求方104和保留私钥和客户端ID的PDAC控制器102进行通信。PDAC控制器302还可以生成认证参数,例如PDAC证书,或授权数据请求方来接收PDAC服务的指示。在步骤804中,PDAC控制器302向数据请求方104发送请求方注册响应。请求方注册响应可以包括一个或多个参数,例如为PDAC控制器302和数据请求方104进行通信而生成的公钥、一列出口GW 310以及与出口GW 310进行通信所需的公钥和认证参数。在一些实施例中,数据请求方104使用的加密密钥可以通过安全信道传送。在步骤805中,数据请求方104接收请求方注册响应,并且存储用于对与PDAC控制器302的通信进行加密的公钥、用于与出口GW 310进行通信的公钥、认证参数以及自身的公私密钥对。PDAC控制器302更新自己的一列注册数据请求方。
图9包括图9A至图9D,示出了一个实施例提供的用于将数据上传到数据库112的数据上传方法900。数据上传方法900可以包括数据提供商102和入口GW 306对数据进行单层加密,以及数据提供商102和入口GW 306对数据进行双层加密。在执行数据上传方法900之前,数据提供商102已经注册到PDAC服务,并且获取到自身和一列入口GW 306的加密密钥以及入口GW 306的公钥。入口GW306同样预配置有所需的加密密钥。这些加密密钥可以受硬件保护,不得更改。在步骤901中,数据提供商102向入口GW 306发送上传请求。数据上传请求可以包括参数,例如数据提供商102的客户端ID、认证材料、PDAC服务偏好,以使得PDAC系统对数据进行分类并分配要与上传数据一起使用的安全保护级别。在步骤802中,入口GW 306向PDAC控制器302发送接收到的上传请求和在接收到的上传请求中接收到的参数。在步骤903中,PDAC控制器302验证数据上传器102的身份并生成认证标识符。在步骤904中,PDAC控制器302向入口GW 306发送上传响应。上传响应可以包括一个或多个参数,例如数据提供商102的客户端ID、在步骤903中生成的认证标识符、PDAC服务的配置信息,例如PDAC系统支持的一列安全保护级别。在步骤905中,入口GW 306使用上传请求中的认证材料和PDAC控制器302在步骤903中生成的认证标识符来执行认证。如果认证成功,则入口GW 306将PDAC服务配置给数据提供商102。
图9B示出了本发明一个实施例提供的使用一级加密的第一选项。在步骤906中,使用Diffie-Hellman(D-H)密钥交换等现有方法,在数据提供商102和入口GW 306之间协商会话密钥和令牌(SKtk)。在步骤906中生成的令牌仅在生成令牌的会话的持续时间内有效。在步骤908中,数据提供商102向入口GW 306发送客户端密钥传送消息。客户端密钥传送消息可以包括数据提供商102的密钥(Kclient),该密钥使用在步骤906中生成的会话密钥进行加密。客户端密钥传送消息还可以包括要上传到入口GW 306的数据,该数据可以使用SKtk或Kclient进行加密。在步骤910中,入口GW 306通过对数据进行分类、计算加密密钥(可以称为密码密钥)Kingress以及使用Kingress对上传数据进行加密,处理来自数据提供商102的上传数据。最后,入口GW 306可以销毁Kclient,以避免访问已经使用Kclient进行加密的数据。
图9C示出了本发明一个实施例提供的使用二级加密而不是图9B中所示的步骤906、步骤908和步骤910的一级加密的第二选项。使用第二选项,在步骤910之后的步骤912中,入口GW 306向数据提供商102发送响应。响应可以作为确认并包括认证结果。该响应可以指示图9A中步骤905的认证结果。在步骤914中,数据提供商102向入口GW 306发送上传数据及其数据特征、分类或描述。上传数据使用客户端的密钥Kclient进行加密。在步骤916中,入口GW 306对上传数据进行分类,计算加密密钥Kingress,以及使用Kingress对数据重新加密。因此,对上传数据进行了两次加密;第一次由数据提供商102使用Kclient进行加密,第二次由入口GW 306使用Kingress进行加密。
图9D示出了在由入口GW 306进行加密之后执行的步骤。在步骤918中,入口GW306向数据分发中心308发送使用选项1(图9B)或选项2(图9C)进行加密的数据和数据分类信息。在步骤920中,数据分发中心308向隐私数据库112传送加密数据。在步骤922中,数据分发中心308向日志服务器924发送状态更新消息。状态更新消息可以包括一个或多个参数,例如数据提供商102的客户端ID、数据库地址和数据分类信息。最后,在步骤924中,日志服务器304将更新状态消息存储在其中。
图10包括图10A至图10C,示出了一个实施例提供的用于访问存储在数据库提供商106中的数据的数据访问方法1000。数据访问方法1000提供在线数据访问和离线数据访问的选项。从图10A开始,在步骤1001中,先前注册的数据请求方104向PDAC控制器302发送数据访问请求。数据访问请求可以包括一个或多个参数,例如数据请求方104的ID、已知数据提供商102的ID、数据特征或数据描述、任何访问数据的使用的描述以及数据请求方104希望使用在线数据访问过程还是希望使用离线数据访问过程。在步骤1002中,PDAC控制器302验证数据请求方104,并且确定数据请求方104可以访问的出口GW 310。在步骤1003中,PDAC控制器302向上传或拥有在步骤1001中接收到的数据访问请求中提到的数据的数据提供商102或其代理110发送数据访问批准请求。数据访问批准请求可以包括一个或多个参数,例如数据提供商102的客户端ID、数据请求方104的ID、任何访问数据的使用、数据特征或数据描述、出口GW的待使用ID或出口GW 310的待使用地址等。数据访问批准请求还可以包括出口GW 310的公钥。如果数据提供商102批准数据访问批准请求,则在步骤1004中,数据提供商102生成会话密钥和令牌SKtk。在步骤1005中,数据提供商102向PDAC控制器302发送数据访问批准响应。数据访问批准响应可以包括一个或多个参数,例如,使用出口GW 310的公钥进行加密的SKtk。SKtk也可以用于对Kclient进行加密。在步骤1006中,PDAC控制器302向数据请求方104发送数据访问响应。数据访问响应可以包括一个或多个参数,例如数据提供商102的ID以及出口GW 310的ID或地址及其公钥。在步骤1007中,PDAC控制器310向出口GW310发送数据访问指示消息。数据访问指示消息可以包括一个或多个参数,例如数据请求方104的ID及其公钥、使用出口GW310的公钥进行加密的SKtk、数据特征或数据描述、数据提供商102的ID以及任何数据处理偏好。
图10B是本发明一个实施例提供的数据访问方法1000的延续。在步骤1008中,出口GW 310使用从上传数据导出的数据特征将数据分类分配给所请求的数据。在步骤1009中,出口GW 310向日志服务器304发送数据库地址请求。数据库地址请求1009可以包括一个或多个参数,例如数据提供商102的ID,或数据分类值。在步骤1010中,日志服务器304通过向出口GW 310发送数据地址响应来响应数据库地址请求。数据地址响应可以包括一个或多个参数,例如数据提供商102的ID、数据库的地址、位置或者存储在数据库中的数据的地址。在步骤1011中,出口GW 310从存储数据的一个或多个数据库中获取数据。在步骤1012中,出口GW 310向数据提供商102发送客户端密钥请求。客户端密钥请求可以包括对客户端密钥的请求。在步骤1013中,数据提供商102使用数据提供商102向出口GW310发送的客户端密钥传送消息来响应客户端密钥请求。客户端密钥传送消息可以包括一个或多个参数,例如数据提供商102的加密密钥(也可以称为第二密钥)Kclient,该密钥使用SKtk进行加密。当SKtk过期,SKtk无效时,Kclient可能会被销毁,此时Kclient可能不再进行解密。
图10C是本发明一个实施例提供的数据访问方法1000的延续。在步骤1014中,出口GW 310通过计算用于对所请求的数据进行解密的加密密钥(可以称为密码密钥)Kegress来处理所请求的数据,销毁基于带有令牌的SKtk的Kclient,然后生成新的会话密钥和令牌SKtk_re,以使用SKtk_re对所请求的数据进行加密。在步骤1015中,出口GW 310向数据请求方104发送使用数据请求方104的公钥进行加密的SKtk_re。
在所请求的数据不传送给数据请求方104而进行在线处理的情况下,在步骤1016中,出口GW 310可以根据数据请求方104的数据处理偏好在线处理数据。一旦出口GW 310在线处理数据,就可以将报告或摘要发送给数据请求方104。在所请求的数据通过传送给数据请求方104而进行离线处理的情况下,在步骤1017中,出口GW 310可以向数据请求方104发送使用SKtk_re进行加密的所请求的数据。在一些实施例中,可以使用在线处理和离线处理的组合,在这种情况下,可以执行步骤1016和步骤1017。最后,在步骤1018中,数据请求方104可以根据SKtk_re销毁数据。当SKtk_re过期,SKtk_re失效时,数据可能会被销毁,此时数据可能不再进行解密。
实施例可以自定义PDACaaS来支持多种不同的应用程序和客户端。实施例包括多种PDAC服务架构、多种数据加密和解密方法以及多种由数据请求方104处理所请求的数据的选项。
PDAC服务的自定义使得PDACaaS的实施例可以满足大量客户端(例如数据提供商102和数据请求方104)的需求。客户端可以选择或定义服务参数,以根据其特定服务要求和所使用数据的类型或特征自定义PDACaaS。数据类型或特征的一些示例是身份(identification,ID)文件或ID相关数据、个人健康相关数据或文件、个人或企业的投资数据、社会关系文件,例如联系人信息数据、个人或企业的财务或账单信息。
每个提供的PDAC服务可以服务于多个数据提供商102或数据请求方104。每个数据提供商102可以自定义要从PDAC服务接收的优选数据保护级别。可以为特定类型的数据指定一组数据保护级别。一组数据保护级别可以包括架构、加密方案或隐私等参数。架构可以包括分层PDACaaS架构400、PDACaaS联盟架构500或不同架构的混合体。加密(或密码)密钥参数可以定义用于数据加密和解密的密钥,或者定义是使用单层加密方案还是双层加密方案。隐私参数可以为访问的部分或全部数据选择在线访问或离线访问。
例如,对于由政府实体管理的身份文件等高度敏感数据,一组数据保护级别可以包括二级分层PDACaaS架构、双层加密方案,并且仅限于在线访问。对于较不敏感的数据,例如个人投资记录,一组数据保护级别可以包括单层架构300,并且允许数据请求方104离线访问。
数据提供商102可以根据可用PDAC服务的能力选择其优选的PDAC服务。数据提供商102可以请求具体特征和参数,作为数据上传方法900的一部分,具体是作为在步骤901中接收到的上传请求的一部分。PDAC控制器302还可以根据客户端在步骤901中的上传请求中发送的保护级别要求、数据类型等来确定数据提供商102的参数。
在数据管理领域,属于信息生命周期管理过程的数据分类可以用作工具,以使得或帮助PDAC服务提供商或数据库提供商确定哪些基线安全控制适合于保护数据。每个数据提供商102或数据请求方104可以具有它们自己的分类,并且还可以拥有根据行业或组织类型(例如商业或政府)定义的分类标准。数据分类可以包括安全级别和数据特征或类型。
图11示出了本发明一个实施例提供的基于安全级别的数据分类。如图11所示,不同类别的商业数据1102对应的安全级别可以包括敏感、机密、私有、专有和公开。政府数据1104的安全级别可以包括绝密、机密、秘密、敏感和非机密。
图12示出了本发明一个实施例提供的基于数据特征的数据分类。如图12所示,用于商业数据1102的数据类型可以包括业务数据、个人数据、社会数据、健康数据、环境数据等。政府数据1104的数据类型可以包括个人身份数据、军事数据、警察或法律数据、社区数据等。其它分类、安全级别等可以根据需要添加或定义。在实施例中,PDAC服务可以支持任意数量的用于分类数据的标准,并且可以在入口GW 306或出口GW 310中预配置这些标准。
实施例提供了在PDAC系统中使用的加密密钥的生命周期管理。具体地,PDAC系统可以支持并管理公私密钥对、数据库加密密钥以及带有令牌的限制使用的临时会话密钥。
在注册到PDAC系统之后,数据提供商102或数据请求方104可以具有他们自己的公私密钥对或PDAC系统的公钥。入口GW 306或出口GW 310也可以具有它们自己的公私密钥对或PDAC系统的公钥。类似地,PDAC系统可以存储系统实体(例如,数据提供商102、数据请求方104、入口GW 306或出口GW 310)的公钥。这些公私密钥用于对消息进行签名或加密或协商会话密钥。在一些实施例中,系统实体可以存储由安全硬件保护的私钥。公私密钥对还可以设置为在预定时间之后到期,或者根据标准或事件(例如检测到黑客攻击)到期。
图13A示出了在一个实施例中如何为数据提供商102或数据请求方104生成公私密码密钥对。在1302中,客户端或其代理可以提供初始参数(例如密码或主密钥),将初始参数输入到密钥导出函数(key derivation function,KDF)。在1304中,得到客户端密钥Kclient,其可以用于对数据和消息进行加密。初始参数只有客户端知道,私钥只能存储在客户端自己的硬件中。稍后吊销Kclient,以避免使用令牌访问数据。自毁数据也可以使用自毁数据系统(Self Destructing Data System,SeDaS)、Vanish系统或类似技术等技术来实现。数据自毁可以通过令牌值控制,该令牌值可以由数据提供商102、他们的代理110或PDAC系统分配。一旦令牌值到期,Kclient被销毁,数据可能不容易解密。该特征使得数据提供商102能够重新控制或撤销他们的数据访问。
实施例包括数据库加密密钥,以避免数据库提供商106访问存储在PDAC系统中的未加密数据。为了提高安全性,尤其是当数据库服务提供商106可以是云计算提供商时,数据库加密密钥有时间有效期,有效期可能取决于数据预期存储在数据库112中的时间和数据请求方104访问数据的时间。例如,当授权数据请求方104或其它实体可以访问数据库2年时,密码密钥的时间有效期可以设置为2年。加密密钥的时间有效期越长,或者如果它们没有过期,密钥就越安全。
在实施例中,数据加密密钥可以由入口GW 306生成,如图13B所示。入口GW 306可以使用取下列内容为输入的KDF:K0,其中,K0是特定于入口GW 306的硬件保护密钥,并且可以保存在入口GW 306的硬件安全模块(hardware security module,HSM)中;Kclient,数据提供商102的第二密钥;根据从数据提供商102接收到的数据的分类导出的值,其中,该值由入口GW 306确定。
图13B还示出了本发明一个实施例的用于向数据库112发送从数据提供商102接收到的数据的一级加密方法。首先,入口GW 306接收数据提供商102使用数据提供商102的Kclient进行加密的数据。在1310中,入口GW 306使用Kclient对接收到的数据进行解密。在1312中,入口GW 306确定解密数据的分类。在1314中,在入口GW 306的KDF中,数据分类与特定于入口GW 306本身的Kclient和K0组合,以产生密码(加密)密钥对Kingress。在1316中,入口GW 306使用Kingress对用于传输的数据进行加密。最后,在1318中,销毁Kclient,以避免进一步使用Kclient。
图13C示出了本发明一个实施例提供的用于向数据库112发送从数据提供商102接收到的数据的二级加密方法。在1320中,入口GW 306获取数据分类。在1322中,在入口GW306的KDF中,数据分类与特定于入口GW 306本身的Kclient和K0组合,以产生密码(加密)密钥对Kingress。在1324中,入口GW 306使用Kingress对用于传输的数据进行加密。
图13D示出了本发明一个实施例提供的用于向数据请求方104发送从数据库112接收到的数据的二级解密方法。在1330中,出口GW 310获取数据分类。在1332中,在出口GW310的KDF中,数据分类与K0和第二密钥Kclient组合,以产生密码(解密)密钥对Kegress,其中,K0是特定于出口GW 310本身的硬件保护密钥。在1334中,出口GW 310使用Kegress对数据进行一次解密。然后,在1336中,出口GW 310使用Kclient对数据再次解密,以便发送给数据请求方104。最后,在1338中,销毁Kclient,以避免进一步使用Kclient。
图13E示出了本发明一个实施例提供的用于向数据请求方104发送从数据库112接收到的数据的一级解密方法。在1340中,出口GW 310获取数据分类。在1342中,在出口GW310的KDF中,数据分类与特定于出口GW 310本身的K0和第二密钥Kclient组合,以产生密码(解密)密钥对Kegress。在1344中,出口GW 310使用从入口GW 306接收到的Kegress对数据进行解密,以便发送给数据请求方104。最后,在1346中,销毁Kclient,以避免进一步使用Kclient。
临时会话密钥可以在出口GW 306和数据请求方104之间协商,或者在数据提供商102和入口GW 306之间协商,以对数据进行加密。该会话密钥可以使用公钥进行加密。
图14是可以用于实现本文中公开的设备和方法的计算系统1400的框图。具体设备可以使用所有示出的组件或仅这些组件的一个子集,且设备的集成程度可能不同。此外,设备可以包括组件的多个实例,例如多个处理单元、多个处理器、多个存储器、多个发送器、多个接收器等。计算系统1400包括处理单元1402。处理单元1402通常包括中央处理单元(central processing unit,CPU)1405、总线1410和存储器1415,并且可选地还可以包括大容量存储设备1420、视频适配器1425和I/O接口1430(如虚线所示)。
CPU 1405可以包括任意类型的电子数据处理器。存储器1415可以包括任意类型的非瞬时性系统存储器,例如静态随机存取存储器(static random access memory,SRAM)、动态随机存取存储器(dynamic random access memory,DRAM)、同步DRAM(synchronousDRAM,SDRAM)、只读存储器(read-only memory,ROM)或其组合。在一个实施例中,存储器1415可以包括在开机时使用的ROM以及在执行程序时使用的存储程序和数据的DRAM。总线1410可以是任意类型的几种总线架构中的一个或多个,包括内存总线或内存控制器、外围总线或视频总线。
大容量存储器1420可以包括任意类型的非瞬时性存储设备,用于存储数据、程序和其它信息并使这些数据、程序和其它信息可通过总线1410访问。大容量存储器1420可以包括,例如,固态硬盘、硬盘驱动器、磁盘驱动器、光盘驱动器中的一个或多个。
视频适配器1425和I/O接口1440提供可选接口,以将外部输入和输出设备耦合到处理单元1402。输入和输出设备的示例包括与视频适配器1425耦合的显示器1435和与I/O接口1430耦合的I/O设备1440(例如触摸屏)。其它设备可以耦合到处理单元1402,并且可以使用更多的或更少的接口。例如,通用串行总线(Universal Serial Bus,USB)(未示出)等串行接口可以用于为外部设备提供接口。
处理单元1402还可以包括一个或多个网络接口1450,网络接口1450可以包括以太网电缆等有线链路或接入一个或多个网络1445的无线链路。网络接口1450使得处理单元1402可以通过网络1445与远程实体进行通信。例如,网络接口1450可以通过一个或多个发送器/发送天线和一个或多个接收器/接收天线提供无线通信。在一个实施例中,处理单元1402与局域网或广域网耦合,以与其它处理单元、互联网或远程存储设施等远程设备进行数据处理和通信。
通过上述实施例的描述,本发明可以仅通过硬件实现,也可以通过软件和必要的通用硬件平台实现。基于这种理解,本发明的技术方案可以通过软件产品的形式体现。软件产品可以存储在非易失性或非瞬时性存储介质中,非易失性或非瞬时性存储介质可以是光盘只读存储器(compact disk read-only memory,CD-ROM)、USB闪存盘或可移动硬盘。软件产品包括许多指令,这些指令使得计算机设备(个人计算机、服务器或网络设备)能够执行本发明实施例中提供的方法。例如,这种执行可以对应于本文中描述的逻辑操作的模拟。根据本发明实施例,软件产品可以另外或可选地包括多个指令,这些指令使得计算机设备能够执行配置或编程数字逻辑装置的操作。
尽管已经参考本发明的特定特征和实施例描述了本发明,但是明显可以在不脱离本发明的情况下制定本发明的各种修改和组合。因此,说明书和附图仅被视为所附权利要求书限定的对本发明的说明,并且预期覆盖在本发明的范围内的任何和所有修改、变化、组合或等同物。
Claims (34)
1.一种用于提供网络数据库服务的系统,其特征在于,所述系统包括:
控制器,用于:
接收一个或多个数据请求;
对所述一个或多个数据请求进行认证;
与所述控制器进行通信的网关(gateway,GW),其中,所述GW用于:
从所述控制器接收与所述一个或多个数据请求中的至少一个数据请求对应的响应;
从数据提供商接收数据;
根据所述响应对所述数据执行数据分类,以得到分类结果;
生成用于访问数据库的密码密钥,其中,所述密码密钥基于所述分类结果、所述GW中的硬件保护密钥和所述数据提供商的密钥,
其中,所述控制器和所述数据库由不同方操作。
2.根据权利要求1所述的系统,其特征在于,所述GW是入口GW,所述一个或多个数据请求包括数据上传请求,所述入口GW还用于:向所述控制器发送所述数据上传请求,根据所述密码密钥对所述数据进行加密,以及将所述加密数据发送给所述数据库进行存储。
3.根据权利要求2所述的系统,其特征在于,所述一个或多个请求包括数据请求方的数据访问请求,所述控制器还用于:对所述数据访问请求执行认证和授权,以及向出口GW发送数据指示;所述系统还包括:所述出口GW,用于:
对所述接收到的数据指示执行数据分类,以得到第二分类结果;
从所述数据库接收数据;
根据所述第二分类结果、所述出口GW的硬件保护密钥和所述数据提供商的所述密钥生成解密密钥;
根据所述解密密钥对所述数据进行解密,并且将所述解密数据提供给所述数据请求方。
4.根据权利要求3所述的系统,其特征在于,所述出口GW用于根据所述解密密钥和所述数据提供商的所述密钥对所述数据进行解密。
5.根据权利要求3或4所述的系统,其特征在于,所述控制器用于通过以下方式对所述数据访问请求执行授权:向所述数据提供商确认所述数据访问请求被授权。
6.根据权利要求4或5所述的系统,其特征在于,所述控制器还用于:向所述数据提供商发送数据访问批准请求,以及从所述数据提供商接收数据访问批准响应,其中,所述数据访问批准请求包括所述数据提供商的客户端标识符、所述数据请求方的标识符、所述数据的使用、数据特征或数据描述、所述出口GW的标识符或地址、所述出口GW的公钥中的一个或多个,所述数据访问批准响应包括使用所述出口GW的公钥进行加密的会话密钥和令牌(SKtk),SKtk由所述数据提供商生成。
7.根据权利要求4至6中任一项所述的系统,其特征在于,所述出口GW还用于从所述控制器接收指示消息,其中,所述指示消息包括所述数据请求方的标识符和所述标识符的公钥、使用所述出口GW的公钥进行加密的会话密钥和令牌(SKtk)、数据特征或数据描述、所述数据提供商的标识符和隐私数据库访问控制(privacy database access control,PDAC)服务的安全级别的偏好中的一个或多个。
8.根据权利要求4至7中任一项所述的系统,其特征在于,所述控制器还用于向所述数据请求方发送数据访问响应,其中,所述数据访问响应包括所述数据提供商的标识符、所述出口GW的标识符或地址和所述出口GW的公钥中的一个或多个。
9.根据权利要求4至8中任一项所述的系统,其特征在于,所述出口GW还用于:
向日志服务器发送数据库地址请求,其中,所述数据库地址请求包括所述数据提供商的标识和数据分类值中的一个或多个;
从所述日志服务器接收数据地址响应,其中,所述数据地址响应包括所述数据提供商的标识符、所述数据库的地址、所述数据库的位置和存储在所述数据库中的所述数据的地址中的一个或多个。
10.根据权利要求4至9中任一项所述的系统,其特征在于,所述出口GW还用于:
向所述数据提供商发送客户端密钥请求;
从所述数据提供商接收客户端密钥传送消息,其中,所述客户端密钥传送消息是所述客户端密钥请求的响应,所述客户端密钥传送消息包括所述数据提供商的标识符和所述数据提供商根据所述数据提供商的所述密钥以及所述会话密钥和令牌SKtk生成的加密密钥中的一个或多个。
11.根据权利要求3至10中任一项所述的系统,其特征在于,所述入口GW、所述出口GW和所述控制器由同一方操作,所述同一方与操作所述数据库的那一方不同。
12.根据权利要求2至11中任一项所述的系统,其特征在于,所述入口GW接收到的所述数据是来自所述数据提供商的加密数据。
13.根据权利要求12所述的系统,其特征在于,所述入口GW还用于根据所述数据提供商的所述密钥对来自所述数据提供商的所述加密数据进行解密,以得到解密数据,其中,所述入口GW进行加密的所述数据是所述解密数据。
14.根据权利要求2至13中任一项所述的系统,其特征在于,所述系统还包括:数据分发中心,用于:从所述入口GW接收所述加密数据,选择所述数据库来存储所述加密数据,以及将所述数据库的地址存储在日志服务器中;所述入口GW用于通过所述数据分发中心将所述加密数据发送给所述数据库进行存储。
15.根据权利要求1至14中任一项所述的系统,其特征在于,所述控制器还用于通过认证中心对所述数据提供商进行认证。
16.一种由入口网关(gateway,GW)执行的方法,其特征在于,所述方法包括:
从数据提供商接收数据上传请求,其中,所述数据上传请求包括数据;
向控制器发送所述数据上传请求;
从控制器接收与数据请求对应的响应;
根据所述响应对所述数据执行数据分类,以得到分类结果;
生成密码密钥,其中,所述密码密钥基于所述分类结果、所述GW中的硬件保护密钥和所述数据提供商的密钥;
使用所述密码密钥对所述数据进行加密;
将所述加密数据发送给所述数据库进行存储,
其中,所述数据库和所述GW由不同方操作。
17.根据权利要求16所述的方法,其特征在于,所述入口GW接收到的所述数据是来自所述数据提供商的加密数据。
18.根据权利要求17所述的方法,其特征在于,所述方法还包括:
根据所述数据提供商的所述密钥,对来自所述数据提供商的所述加密数据进行解密,以得到解密数据,其中,所述入口GW进行加密的所述数据是所述解密数据。
19.根据权利要求16至18中任一项所述的方法,其特征在于,所述加密数据通过数据分发中心发送给所述数据库进行存储。
20.根据权利要求16至19中任一项所述的方法,其特征在于,所述响应是所述数据提供商的认证。
21.根据权利要求16至20中任一项所述的方法,其特征在于,所述入口GW和所述控制器由同一方操作,所述同一方与操作所述数据库的那一方不同。
22.根据权利要求16至21中任一项所述的方法,其特征在于,所述数据上传请求还包括以下内容中的一个或多个:
所述数据提供商的客户端标识符,
用于认证的信息和
隐私数据库访问控制(privacy database access control,PDAC)服务的安全级别的偏好。
23.根据权利要求22所述的方法,其特征在于,所述响应包括以下内容中的一个或多个:
所述数据提供商的所述客户端标识符,
所述控制器的认证标识符和
所述PDAC服务的配置信息,其中,所述配置信息指示安全保护级别的偏好。
24.一种由出口网关(gateway,GW)执行的方法,其特征在于,所述方法包括:
从数据请求方接收数据访问请求;
将所述数据访问请求发送给控制器进行认证和授权;
从所述控制器接收数据指示;
对所述接收到的数据指示执行数据分类,以得到第二分类结果;
从与所述数据访问请求相关联的所述数据库接收数据;
根据所述第二分类结果、所述出口GW的硬件保护密钥和数据提供商的密钥生成解密密钥;
根据所述解密密钥对所述数据进行解密,并且将所述解密数据提供给所述数据请求方,
其中,所述数据库和所述GW由不同方操作。
25.根据权利要求24所述的方法,其特征在于,所述方法还包括:
根据所述解密密钥和所述数据提供商的所述密钥对所述数据进行解密。
26.根据权利要求24或25所述的方法,其特征在于,所述出口GW和所述控制器由同一方操作,所述同一方与操作所述数据库的那一方不同。
27.根据权利要求24至26中任一项所述的方法,其特征在于,所述数据访问请求包括以下内容中的一个或多个:
所述数据请求方的标识符,
所述数据提供商的标识符,
数据特征或数据描述,
所述数据的使用描述和
指示所述数据请求方优先使用在线数据访问过程还是离线数据访问过程的指示。
28.根据权利要求24至27中任一项所述的方法,其特征在于,所述方法还包括:
从所述控制器接收指示消息,其中,所述指示消息包括所述数据请求方的标识符和所述标识符的公钥、使用所述出口GW的公钥进行加密的会话密钥和令牌(SKtk)、数据特征或数据描述、所述数据提供商的标识符以及隐私数据库访问控制(privacy database accesscontrol,PDAC)服务的安全级别偏好中的一个或多个。
29.根据权利要求24至28中任一项所述的方法,其特征在于,所述方法还包括:
向日志服务器发送数据库地址请求,其中,所述数据库地址请求包括所述数据提供商的标识符和数据分类值中的一个或多个;
从所述日志服务器接收数据地址响应,其中,所述数据地址响应包括所述数据提供商的标识符、所述数据库的地址、所述数据库的位置和存储在所述数据库中的所述数据的地址中的一个或多个。
30.根据权利要求24至29中任一项所述的方法,其特征在于,所述方法还包括:
向所述数据提供商发送客户端密钥请求;
从所述数据提供商接收客户端密钥传送消息,其中,所述客户端密钥传送消息是所述客户端密钥请求的响应,所述客户端密钥传送消息包括所述数据提供商的标识符和所述数据提供商根据所述数据提供商的所述密钥以及所述会话密钥和令牌SKtk生成的加密密钥中的一个或多个。
31.一种装置,其特征在于,所述装置包括:
处理器;
至少一个网络接口;
存储机器可读指令的非瞬时性机器可读存储器,其中,当所述机器可读指令由所述处理器执行时,所述装置用于执行根据权利要求16至23中任一项所述的方法。
32.一种装置,其特征在于,所述装置包括:
处理器;
至少一个网络接口;
存储机器可读指令的非瞬时性机器可读存储器,其中,当所述机器可读指令由所述处理器执行时,所述装置用于执行根据权利要求24至30中任一项所述的方法。
33.一种系统,其特征在于,所述系统包括根据权利要求31所述的装置和根据权利要求32所述的装置。
34.一种存储机器可读指令的机器可读存储器,其特征在于,当所述机器可读指令由至少一个处理器执行时,所述装置用于执行根据权利要求16至30中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/920,623 US11537733B2 (en) | 2020-07-03 | 2020-07-03 | Database access control service in networks |
| US16/920,623 | 2020-07-03 | ||
| PCT/CN2021/100701 WO2022001683A1 (en) | 2020-07-03 | 2021-06-17 | Database access control service in networks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115803735A true CN115803735A (zh) | 2023-03-14 |
Family
ID=79166832
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180047500.9A Pending CN115803735A (zh) | 2020-07-03 | 2021-06-17 | 网络中的数据库访问控制服务 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11537733B2 (zh) |
| EP (1) | EP4168905A4 (zh) |
| CN (1) | CN115803735A (zh) |
| WO (1) | WO2022001683A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4186187A1 (en) * | 2020-07-24 | 2023-05-31 | Superfile, Inc. | Systems and methods for remote ownership and content control of media files on untrusted systems |
| US11755776B2 (en) * | 2020-11-20 | 2023-09-12 | Paypal, Inc. | Detecting leakage of personal information in computing code configurations |
| US20220179997A1 (en) * | 2020-12-04 | 2022-06-09 | Microchip Technology Incorporated | Higher-layer-processing data in time-sensitive data blocks at a physical-layer-interface device |
| US20220343018A1 (en) * | 2021-04-21 | 2022-10-27 | SafePorter LLC | Method for providing a privacy-enabled service to users |
| WO2023212700A1 (en) * | 2022-04-28 | 2023-11-02 | Identikey, Llc | Computerized systems and methods for a multi-faceted encryption platform |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000026750A1 (en) * | 1998-11-05 | 2000-05-11 | NEUVIS, Inc | Method for controlling access to information |
| US8751826B2 (en) * | 2009-04-01 | 2014-06-10 | Salesforce.Com, Inc. | Enhanced system security |
| EP2523139A1 (en) | 2011-05-10 | 2012-11-14 | Nagravision S.A. | Method for handling privacy data |
| US9087209B2 (en) | 2012-09-26 | 2015-07-21 | Protegrity Corporation | Database access control |
| US9118639B2 (en) * | 2013-03-14 | 2015-08-25 | Intel Corporation | Trusted data processing in the public cloud |
| US9076004B1 (en) * | 2014-05-07 | 2015-07-07 | Symantec Corporation | Systems and methods for secure hybrid third-party data storage |
| US10033702B2 (en) * | 2015-08-05 | 2018-07-24 | Intralinks, Inc. | Systems and methods of secure data exchange |
| US10812452B2 (en) * | 2016-04-01 | 2020-10-20 | Egnyte, Inc. | Methods for improving performance and security in a cloud computing system |
| US10530578B2 (en) * | 2016-08-05 | 2020-01-07 | Oracle International Corporation | Key store service |
| CN106326758A (zh) | 2016-08-30 | 2017-01-11 | 四川格锐乾图科技有限公司 | 一种根据用户需求对数据进行分类加密的系统 |
-
2020
- 2020-07-03 US US16/920,623 patent/US11537733B2/en active Active
-
2021
- 2021-06-17 CN CN202180047500.9A patent/CN115803735A/zh active Pending
- 2021-06-17 EP EP21832237.8A patent/EP4168905A4/en active Pending
- 2021-06-17 WO PCT/CN2021/100701 patent/WO2022001683A1/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| US20220004655A1 (en) | 2022-01-06 |
| US11537733B2 (en) | 2022-12-27 |
| EP4168905A1 (en) | 2023-04-26 |
| WO2022001683A1 (en) | 2022-01-06 |
| EP4168905A4 (en) | 2023-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10735202B2 (en) | Anonymous consent and data sharing on a blockchain | |
| US9864874B1 (en) | Management of encrypted data storage | |
| US11537733B2 (en) | Database access control service in networks | |
| US11675922B2 (en) | Secure storage of and access to files through a web application | |
| CN110322940B (zh) | 一种医疗数据共享的访问授权方法及系统 | |
| CN114513533A (zh) | 一种分类分级健身健康大数据共享系统及方法 | |
| EP3345372B1 (en) | Secure key management and peer-to-peer transmission system with a controlled, double-tier cryptographic key structure and corresponding method thereof | |
| CN105027107A (zh) | 安全虚拟机迁移 | |
| JP5992535B2 (ja) | 無線idプロビジョニングを実行するための装置及び方法 | |
| CN104054321A (zh) | 针对云服务的安全管理 | |
| US11595398B1 (en) | Access control for named domain networking | |
| US20050027979A1 (en) | Secure transmission of data within a distributed computer system | |
| TWI829219B (zh) | 可將取用訊標由區塊鏈子系統移轉給資料請求者裝置的去中心化資料授權控管系統 | |
| KR101698555B1 (ko) | 건강관리 데이터 핸들링 방법 및 시스템 | |
| TWI829218B (zh) | 可經由第三方服務子系統間接移轉取用訊標的去中心化資料授權控管系統 | |
| TWI829217B (zh) | 可彈性調整資料授權政策的去中心化資料授權控管系統 | |
| TWI829216B (zh) | 可透過第三方服務子系統轉傳訊標請求的去中心化資料授權控管系統 | |
| CN116601916A (zh) | 作为用于密钥散列消息认证码用户认证和授权的密钥材料的基于属性的加密密钥 | |
| De Oliveira et al. | Red Alert: break-glass protocol to access encrypted medical records in the cloud | |
| JP2022511357A (ja) | データ暗号化に基づく目的に固有のアクセス制御方法、および装置 | |
| TWI829221B (zh) | 可允許資料請求者裝置查核區塊鏈子系統中的資料授權政策正確性的去中心化資料授權控管系統 | |
| TWI829215B (zh) | 可檢核取用訊標的移轉歷史以驗證取用訊標有效性的去中心化資料授權控管系統 | |
| TWI829222B (zh) | 可利用第三方服務子系統提供可查詢資料清單給資料請求者裝置的去中心化資料授權控管系統 | |
| TWI766430B (zh) | 可動態調整資料授權政策的去中心化資料授權控管系統 | |
| TWI829220B (zh) | 可利用智能合約產生並移轉授權訊標的去中心化資料授權控管系統 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |