CN115917537A - 使用短程收发器对个人用户数据进行数据访问控制的系统和方法 - Google Patents

Abstract

提出了用于通过诸如非接触式卡之类的短程收发器与客户端设备的交互来控制数据访问的系统和方法。一种示例性系统和方法可以包括：建立存储用户和服务提供商的标识符和密钥的数据库，经由网络从服务提供商的客户端设备接收服务提供商令牌和对数据访问密钥的请求，该请求是响应于与用户相关联的非接触式卡和客户端设备之间的轻叩动作而生成的，验证服务提供商被授权接收对被加密并被存储在非接触式卡上的个人用户数据的访问，基于用户密钥生成数据访问密钥，并经由网络将数据访问密钥发送给服务提供商客户端设备，使得客户端设备可以对从非接触式卡获得的个人用户信息进行解密。

Description

使用短程收发器对个人用户数据进行数据访问控制的系统和方法

相关申请的交叉引用

本申请要求2020年4月30日提交的美国专利申请号16/863，750的优先权，其公开内容通过引用整体并入本文。

技术领域

本公开总体上涉及用户数据控制，并且更具体地，涉及通过短程收发器与客户端设备的交互对个人用户数据的访问进行主动控制的示例性系统和方法。

背景技术

典型用户拥有可能具有敏感或机密性质的个人用户信息或数据，例如，包括诸如个人健康数据、社会保障号码、家庭联系人等之类的信息。当用户创建账户时，用户通常会提供一定数量的关于用户的个人识别信息，以及诸如用户名和密码之类的用于账户访问的信息。除用户之外的实体可以添加到个人用户数据中。不同的实体可以具有例如不同的用户数据保留策略、不同的使用策略和不同的用户数据共享策略。使用用户信息的策略可能在对用户没有任何通知的情况下进一步改变。此外，用户信息的拥有者也可能通过一个实体被另一个实体兼并或收购而改变，很多时候是在对用户没有任何通知的情况下。

账户访问通常依赖登录凭证(例如用户名和密码)来确认持卡人的身份。但是，如果登录凭证被泄露，则另一个人可能会访问用户的账户，并可能访问用户的敏感或机密信息或数据。此外，用户与其共享个人信息的实体或个人越多，则用户信息被其中一个实体的漏洞窃取的风险就越大。此外，用户可能仅希望出于有限的目的或在有限的时间内与实体或个人共享某些个人信息。

因此，提供允许用户控制用户信息的使用以克服本文所述的至少一些缺陷的示例性系统和方法可能是有益的。

发明内容

所公开技术的方面包括用于通过短程收发器(诸如非接触式卡)与客户端设备的交互来控制数据访问的系统和方法。可以在个人用户数据的上下文中提供数据访问控制，包括处理经由诸如非接触式卡之类的短程收发器与客户端设备的交互来获得对个人用户数据的访问的请求，使得个人用户数据仅被提供给被授权审查数据的服务提供商，并且某些账户标识符信息或账户登录信息的公开不需要被公开给请求访问个人用户数据的服务提供商。

本公开的实施例提供了一种数据访问控制系统，包括：存储信息的数据库，该信息包括与用户相关联的用户标识符和用户密钥，以及与服务提供商相关联的服务提供商标识符和服务提供商密钥；服务器，该服务器被配置用于与和服务提供商相关联的客户端设备进行数据通信；与用户相关联的非接触式卡，该非接触式卡包括通信接口、处理器和存储器，该存储器存储小程序、用户令牌和与用户相关的个人用户数据，其中该个人用户数据被使用用户密钥加密；包括用于在客户端设备上执行的指令的客户端应用，该客户端应用被配置为：响应于非接触式卡和客户端设备之间的轻叩动作：从非接触式卡接收用户令牌，并且向服务器发送服务提供商令牌、用户令牌和对数据访问密钥的请求，其中服务提供商令牌与服务提供商相关联；从服务器接收数据访问密钥；从非接触式卡接收经加密的个人用户数据；并且使用数据访问密钥，对经加密的个人用户数据进行解密；以及与服务器和数据库进行数据通信的处理器，该处理器被配置为：从客户端设备接收服务提供商令牌、用户令牌和对数据访问密钥的请求；基于服务提供商令牌识别服务提供商；基于用户令牌识别用户；验证服务提供商被授权接收对个人用户数据的访问；并将数据访问密钥发送给客户端设备。

本公开的实施例提供了一种用于控制数据访问的方法，包括：建立存储信息的数据库，该信息包括与用户相关联的用户标识符和用户密钥，以及与服务提供商相关联的服务提供商标识符和第一服务提供商密钥；经由网络从与服务提供商相关联的第一客户端设备接收服务提供商令牌和对数据访问密钥的请求，以访问被存储在与用户相关联的非接触式卡上的个人用户数据，该个人用户数据被使用用户密钥加密，该请求是响应于非接触式卡和第一客户端设备之间的轻叩动作而生成的，该请求伴随有被存储在非接触式卡上的用户令牌；基于服务提供商令牌识别服务提供商；基于用户令牌识别用户；验证服务提供商被授权接收对被存储在非接触式卡上的个人用户数据的访问；基于用户密钥生成数据访问密钥；以及向第一客户端设备发送数据访问密钥。

本公开的实施例提供了一种用于控制数据访问的方法，包括：建立存储信息的数据库，该信息包括与用户相关联的用户标识符和用户密钥，以及与服务提供商相关联的服务提供商标识符和服务提供商密钥；提供包括通信接口、处理器和存储器的非接触式卡，该存储器存储小程序和用户令牌，其中该通信接口被配置为支持近场通信、蓝牙或Wi-Fi中的至少一个，并且其中该非接触式卡与该用户相关联；提供包括用于在与服务提供商相关联的客户端设备上执行的指令的客户端应用，该客户端应用被配置为：响应于非接触式卡和客户端设备之间的轻叩动作：从非接触式卡接收用户令牌，并且向服务器发送服务提供商令牌、用户令牌和对数据访问密钥的请求，其中服务提供商令牌与服务提供商相关联；从服务器接收数据访问密钥和到存储与用户相关联的经加密的个人用户数据的数据存储库的链接，其中该数据访问密钥是基于用户密钥生成的；经由该链接向该数据存储库发送对该经加密的个人用户数据的请求；从数据存储库接收经加密的个人用户数据；并且使用数据访问密钥，对经加密的个人用户数据进行解密；经由网络从客户端设备接收服务提供商令牌和对数据访问密钥的请求，以访问与用户相关联的个人用户数据，该请求伴随有用户令牌；基于服务提供商令牌识别服务提供商；基于用户令牌识别用户；验证服务提供商被授权接收对与用户相关联的个人用户数据的访问；生成到存储经加密的个人用户数据的数据存储库的链接；基于用户密钥生成数据访问密钥；以及将数据访问密钥和到存储经加密的个人用户数据的数据存储库的链接发送给客户端设备。

所公开的设计的进一步特征以及由此提供的优点，将在下文中参照下面描述以及在附图中所示出的具体示例实施例进行更详细的解释。

附图说明

图1A是根据一个或多个示例实施例的数据访问控制系统的图。

图1B是示出了根据一个或多个示例实施例的用于提供数据访问控制的序列的图。

图1C是示出了根据一个或多个示例实施例的用于提供数据访问控制的序列的图。

图2示出了根据一个或多个示例实施例的在数据访问控制系统中使用的客户端设备的组件。

图3示出了根据一个或多个示例实施例的在数据访问控制系统中使用的短程收发器的组件。

图4是示出了根据一个或多个示例实施例的在数据访问控制系统中使用的客户端设备和短程收发器之间的交互的图。

图5是示出了根据一个或多个示例实施例的在数据访问控制系统中使用的客户端设备和短程收发器之间的交互的图。

图6A-6B提供了示出根据一个或多个示例实施例的数据访问控制方法的流程图。

图7A-7C提供了示出根据一个或多个示例实施例的一种或多种数据访问控制方法的流程图。

图8是根据一个或多个示例实施例的数据访问控制系统的图。

具体实施方式

实施例的以下描述提供了引用数字具体描述了本公开不同方面的特征和教导的非限制性代表性示例。所描述的实施例应该被认为能够与实施例描述中的其他实施例分开或结合实施。阅读实施例描述的本领域普通技术人员应该能够学习和理解本公开的不同描述方面。对实施例的描述应当有助于对本公开的理解达到这种程度，即没有具体涵盖但在阅读了实施例的描述的本领域技术人员的知识范围内的其他实施方式将被理解为与本公开的应用一致。

所公开的系统和方法的示例性实施例提供了用于通过短程收发器(诸如非接触式卡)与客户端设备的交互来控制数据访问。数据访问控制可以在控制对个人用户数据的访问的上下文中被提供。对访问个人用户数据的请求可以经由诸如非接触式卡之类的短程收发器与客户端设备的交互来处理，使得个人用户数据仅被提供给被授权查看数据的服务提供商，并且某些账户标识符信息或账户登录信息的公开不需要向请求访问个人用户数据的服务提供商公开。所公开的技术的益处可以包括对个人用户数据的改进的数据安全性、在需要访问而没有用户响应或干预时(诸如例如，在紧急情况下)对个人用户数据的改进的访问、以及改进的用户体验。

图1A示出了根据一个或多个示例实施例的数据访问控制系统100的图。如下面进一步讨论的，系统100可以包括客户端设备101、客户端设备103、短程收发器105、服务器110、处理器120和数据库130。客户端设备101和客户端设备103可以经由网络115与服务器110通信。尽管图1示出了以特定方式连接的某些组件，但是系统100可以包括以各种方式连接的附加的或多个组件。

系统100可包括一个或多个客户端设备(诸如客户端设备101和/或客户端设备103)，每个客户端设备均可为联网计算机。如本文所述，联网计算机可以包括但不限于计算机设备或通信设备，包括例如服务器、网络设备、个人计算机、工作站、电话、手持PC、个人数字助理、瘦客户端、胖客户端、互联网浏览器或其他设备。客户端设备101和103中的每一个也可以是移动设备；例如，移动设备可以包括来自苹果的iPhone、iPod、iPad或运行苹果的

操作系统的任何其他移动设备、运行微软的

Mobile操作系统的任何设备、运行谷歌的

操作系统的任何设备和/或任何其他智能手机、平板电脑或类似的可穿戴移动设备。可以被包括在诸如客户端设备101和/或客户端设备103之类的客户端设备中的附加特征在下文参照图2做了进一步描述。

系统100可包括一个或多个短程收发器，如短程收发器105。短程收发器105可以在诸如近场通信(NFC)之类的短程通信场中与诸如客户端设备101和/或客户端设备103之类的客户端设备进行无线通信。短程收发器105可以包括例如非接触式卡、智能卡，或者可以包括具有不同形状因子的设备(诸如智能钥匙、挂件或者被配置为在短程通信场内通信的其他设备)。在其他实施例中，短程收发器105可以与客户端设备101、103相同或相似。可以被包括在诸如短程收发器105之类的短程收发器中的附加特征在下面参照图3做了进一步描述。

系统100可以包括一个或多个服务器110。在一些示例实施例中，服务器110可以包括耦接到存储器的一个或多个处理器(诸如例如，微处理器)。服务器110可以被配置为中央系统、服务器或平台，以在不同时间控制和调用各种数据来执行多个工作流动作。服务器110可以是诸如刀片服务器之类的专用服务器计算机，或者可以是个人计算机、膝上型计算机、笔记本计算机、掌上型计算机、网络计算机、移动设备或者能够支持系统100的任何处理器控制的设备。

服务器110可以被配置为(诸如例如，经由连接)与一个或多个处理器(诸如处理器120)进行数据通信。在一些示例实施例中，服务器110可以包含处理器120。在一些示例实施例中，服务器110可以在物理上与处理器120分离和/或远离处理器120。处理器120可配置为充当后端处理器。处理器120可以被配置为(诸如例如，经由连接)与数据库130和/或服务器110进行数据通信。处理器120可以包括诸如微处理器、RISC处理器、ASIC等之类的一个或多个处理设备，以及相关联的处理电路。处理器120可以包括或被连接到存储可执行指令和/或数据的存储器。处理器120可以经由服务器110向诸如客户端设备101和/或103之类的的其他设备传送、发送消息、请求、通知、数据等，或者/从诸如客户端设备101和/或103之类的其他设备接收消息、请求、通知、数据等。

服务器110可以被配置为(诸如例如，经由连接)与一个或多个数据库(诸如数据库130)进行数据通信。数据库130可以是关系的或非关系的数据库，或者多于一个数据库的组合。在一些示例实施例中，服务器110可以包含数据库130。在一些示例实施例中，数据库130可以在物理上与服务器110分离和/或远离服务器110，数据库130可以位于另一个服务器中，在基于云的平台上，或者在与服务器110进行数据通信的任何存储设备中。

服务器110、处理器120和数据库130之间的连接可以经由适用于这些组件之间通信的任何有线的和/或无线的通信线路、链路或网络或其组合进行。这种网络可以包括网络115和/或与本文参照网络115描述的类型相同或相似的一个或多个网络。在一些示例实施例中，服务器110、处理器120和数据库130之间的连接可以包括公司LAN。

服务器110和/或数据库130可以包括用于控制对用户账户的访问的用户登录凭证。登录凭证可包括但不限于用户名、密码、访问码、安全问题、刷卡模式、图像识别、身份扫描(例如，驾驶执照扫描和护照扫描)、设备注册、电话号码、电子邮件地址、社交媒体账户访问信息和生物特征识别(例如，语音识别、指纹扫描、视网膜扫描和面部扫描)。

数据库130可以包含与一个或多个用户、一个或多个服务提供商和一个或多个账户相关的数据。与用户相关的数据可以包括用户标识符和用户密钥，并且可以在一个或多个账户中被维护或组织。与服务提供商相关的数据可以包括服务提供商标识符和服务提供商密钥，并且可以在一个或多个账户中被维护或组织。账户可以由各种实体中的任何一个或多个(或代表其)维护，和/或与各种实体中的任何一个或多个相关，该各种实体诸如例如(但不限于)银行、商家、在线零售商、服务提供商、销售商、制造商、社交媒体提供商、体育或娱乐活动的提供商或发起人、或连锁酒店。例如，数据库130可以包括但不限于账户标识信息(例如，账号、账户所有者标识号、账户所有者姓名和联系信息-其中的任何一个或多个可以包括账户标识符)、账户特征(例如，账户类型、资金和交易限制以及对访问和其他活动的限制)，并且可以包括与账户相关的信息和数据，该与账户相关的信息和数据包括财务信息(例如余额信息、支付历史和交易历史)、社会和/或个人信息。被存储在数据库130中的数据可以以任何合适的格式被存储，并且可以以安全的格式被加密和存储，以防止未经授权的访问。任何合适的算法/过程都可以被用于数据加密和授权解密。

服务器110可以被配置为经由诸如网络115之类的一个或多个网络，与诸如客户端设备101和/或客户端设备103之类的一个或多个客户端设备进行通信。网络115可以包括无线网络、有线网络或无线网络和有线网络的任意组合中的一个或多个，并且可以被配置为将客户端设备101和/或103连接到服务器110。例如，网络115可以包括光纤网络、无源光网络、电缆网络、互联网网络、卫星网络、无线局域网(LAN)、全球移动通信系统、个人通信服务、个人区域网、无线应用协议、多媒体消息服务、增强型消息服务、短消息服务、基于时分复用的系统、基于码分多址的系统、D-AMPS、Wi-Fi、固定无线数据、IEEE 802.11b、802.15.1、802.11n和802.11g、蓝牙、NFC、射频识别(RFID)、Wi-Fi等。

此外，网络115可包括但不限于电话线、光纤、IEEE Ethernet 902.3、广域网、无线个人区域网、LAN或全球网络(诸如互联网)。此外，网络115可以支持互联网网络、无线通信网络、蜂窝网络等，或者它们的任意组合。网络115还可以包括作为独立的网络或者彼此协作地操作的一个网络，或者任意数量的上述示例性类型的网络。网络115可以利用它们通信地耦接到的一个或多个网元的一个或者多个协议。网络115可以将其他协议转换成网络设备的一个或多个协议，或者从其他协议转换成网络设备的一个或多个协议。尽管网络115被描绘为单个网络，但是应当理解，根据一个或多个示例实施例，网络115可以包括多个互连的网络，诸如例如，互联网、服务提供商的网络、有线电视网络、诸如信用卡协会网络之类的公司网络、LAN和/或家庭网络。

在一些示例实施例中，服务器110可以访问记录(包括数据库130中的记录)，以确定用于与客户端设备101和/或客户端设备103通信的一种或多种方法。该通信方法可以包括具有被存储在客户端设备101和/或客户端设备103上的应用的可动作的推送通知。其他通信方法可以包括文本消息或电子邮件，或者适合于基于网络的客户端/服务器配置中的其他消息传递技术。客户端设备101和/或103的消息或请求可以经由客户端设备上的应用被传送到服务器110，或者可以通过文本消息或电子邮件发送，或者通过适合于基于网络的客户端/服务器配置的其他消息传递技术来发送。源自客户端设备101或客户端设备103的通信可以使用与源自服务器110的通信相同的通信方法或者经由不同的通信方法被发送到服务器110。

图1B示出了示出根据一个或多个示例实施例的用于提供数据访问控制的序列的图，其可包括服务提供商对数据访问密钥的请求，以访问或解密被存储在短程收发器上的个人用户数据。图1B参照了如图1A所示的示例性实施例系统100的类似组件。客户端设备101可以与服务提供商相关联。服务提供商可以具有相关联的服务提供商令牌。客户端设备101可以包括应用102，该应用102可以包括由客户端设备101执行的指令。客户端设备101可以包括下面参照图2进一步描述的特征。应用102可以被配置为在使用客户端设备101时为服务提供商提供用户界面。应用102可以被配置为经由客户端设备101与其他客户端设备、短程收发器105以及服务器110进行通信。应用102可以被配置为接收请求和发送消息，如本文参照客户端设备101所描述的。包括标识符和/或密钥的服务提供商信息和用户信息可以被存储在数据库130中。

短程收发器105可以与用户相关联。短程收发器105可以包括例如非接触式卡，并且可以包括下面参照图3进一步描述的特征。短程收发器105可以具有存储小程序106和/或令牌107以及存储个人用户数据108的存储器。令牌107和个人用户数据108可以与用户相关联。

令牌可以被用于通过令牌授权提高安全性。服务器110可以向诸如客户端设备101之类的客户端设备发送验证请求，从客户端设备接收响应信息，并且如果验证通过，则将验证令牌发送回客户端设备。验证令牌可以基于预定的令牌，或者可以是基于算法的动态令牌，该算法可以是秘密的并且仅为服务器110和客户端设备所知；该算法可以包括可由参与者独立验证的实时参数(诸如特定位置的温度或时间)。令牌可以被用于验证服务提供商或用户的身份。验证请求和/或验证令牌可以基于被存储在短程收发器105上的令牌107。

个人用户数据108可以包括个人用户信息或可能具有敏感或机密性质的数据，诸如例如，个人健康数据、社会保障号码、家庭联系人等(包括本文参照图3识别的数据类型)。个人用户数据108可以被加密并以安全格式存储，以防止未经授权的访问。

在一些示例实施例中，个人用户数据可以包括诸如例如，身高、体重、血型、处方药、过敏、紧急联系人、治疗或DNR指示等之类的个人健康数据。个人用户数据还可以包括诸如例如姓名、性别、出生日期等之类的个人识别数据。使用客户端设备101的服务提供商可以是例如第一响应者、应急小组成员或应急健康护理提供者或技术人员，并且可以与诸如消防或救护部门、警察部门、医院等之类的服务实体相关联。

在一些示例性实施例中，应用102可在客户端设备101上显示指令，提示服务提供商在短程收发器105和客户端设备101之间发起轻叩动作。如此处所使用的，轻叩动作可以包括对着客户端设备101轻叩短程收发器105(反之亦然)。例如，如果短程收发器105是非接触式卡，并且客户端设备101是移动设备，则轻叩动作可以包括在客户端设备101的屏幕或其他部分上轻叩非接触式卡。然而，轻叩动作不限于短程收发器105对客户端设备101进行的物理轻叩，并且可以包括其他姿势，诸如例如，短程收发器105在客户端设备101附近的挥动或其他移动(反之亦然)。

在标签150处，短程收发器105和客户端设备101之间可能存在轻叩动作。轻叩动作可以响应于客户端设备101上显示的提示。

在标签152处，应用102可以(经由客户端设备101)与短程收发器105通信(例如，在短程收发器105被拿到靠近客户端设备101后)。应用102和短程收发器105之间的通信可以包括短程收发器105(诸如例如，非接触式卡)足够靠近客户端设备101的读卡器(未示出)，以实现应用102与短程收收机105之间的NFC数据传输，并且可以结合(或响应于)短程收发器105和客户端设备101之间的轻叩动作(诸如例如，标签150处的轻叩动作)发生。该通信可以包括数据或命令的交换，以在应用102和短程收发器105之间建立通信会话。数据的交换可以包括一个或多个密钥的传输或交换，这些密钥可以是预先存在的密钥或作为会话密钥被生成的密钥。在一些示例实施例中，在短程收发器105和客户端设备101之间的轻叩动作之前，通信可以在短程收发器105进入客户端设备101的短程通信场时发生。

在标签154处，短程收发器105可以向应用102发送与用户相关联的用户令牌107。令牌107可以包括用户标识符。在一些示例实施例中，用户令牌107可以包括与用户相关联的密钥。在一些示例实施例中，向应用102发送令牌107可以结合(或响应于)短程收发器105和客户端设备101之间的轻叩动作(诸如例如，标签150处的轻叩动作)。在一些示例实施例中，向应用102发送令牌107可以在短程收发器105和客户端设备101之间的轻叩动作之前，在短程收发器105进入客户端设备101的短程通信场时发生。

在标签156处，应用102可以向服务器110发送用户令牌107，以及与服务提供商相关联的服务提供商令牌和对数据访问密钥的请求。这可以响应于短程收发器105和客户端设备101之间的轻叩动作(诸如例如，标签150处的轻叩动作)来执行。数据访问密钥将使服务提供商能够解密经加密的个人用户数据108。

在标签158处，处理器120可以(例如，经由服务器110)接收用户令牌、服务提供商令牌和数据访问密钥请求。处理器120可以使用用户令牌来识别用户。处理器120可以使用服务提供商令牌来将服务提供商识别为数据访问密钥请求的发送者。在一些示例实施例中，识别服务提供商可以通过使用令牌中的服务提供商标识符在数据库130中查找信息来执行。在一些示例实施例中，在标签159处，如果服务提供商令牌包括与服务提供商相关联的密钥，则处理器120可以使用服务提供商密钥来认证服务提供商；同样，如果用户令牌包括与用户相关联的密钥，则处理器120可以使用用户密钥来认证用户。基于服务提供商的身份(并且这种身份可以被认证)，处理器120可以验证服务提供商是否被授权接收数据访问密钥以解密个人用户数据108，并由此获得对个人用户数据108的访问。在示例实施例中，服务提供商密钥可以对服务提供商可用并且在有限的时间段内(诸如例如，每天、每周、每月或其他基准)有效。当新密钥变得可用时，客户端设备101可以每隔一段时间(例如，每天、每周、每月或其他基准)向服务器110发送对服务提供商密钥的请求。由客户端设备101接收服务提供商密钥不需要服务提供商在短程收发器105附近，并且服务提供商密钥可以由客户端设备101独立于对短程收发器105的任何轻叩动作来请求或接收。

在标签160处，处理器120可将数据访问密钥发送给客户端设备101。如上所述，处理器120可以验证服务提供商被授权接收数据访问密钥。数据访问密钥可以被存储在数据库130中，或者可以基于用户密钥、服务提供商密钥或者用户密钥和服务提供商密钥的组合来生成。用户密钥可以被存储在数据库130中或者被包括在用户令牌107中。服务提供商密钥可以被存储在数据库130中，或者被包括在从客户端设备101接收的服务提供商令牌中。

在示例实施例中，处理器120可改为向客户端设备101发送拒绝通知(未示出)，指示服务提供商未被授权接收数据访问密钥。

在标签162处，短程收发器105可以通过客户端设备101向应用102发送经加密的个人用户数据108。值得注意的是，相对于参照图1B所描述的其他事件，短程收发器105向客户端设备101发送经加密的私人用户数据108的时间并不关键。经加密的个人用户数据108可以在第一次轻叩动作时发送，或者在任何时间(包括在客户端设备101接收到数据访问密钥之后)发送。

应用102可以被配置为使用所接收到的数据访问密钥来接收、解密和访问经加密的个人用户数据108。在一些实施例中，应用102可以使得个人用户数据显示在客户端设备101上。在一些实施例中，应用102可以被允许将个人用户数据存储在客户端设备101上，以便有时间限制地或有使用次数限制地进行检索。

在一个或多个示例实施例中，服务提供商对个人用户数据的访问可以根据数据控制参数来限制。在示例实施例中，数据控制参数可以被存储在数据库130中。在示例实施例中，数据控制参数可以被存储在短程收发器105的存储器中。被存储在短程收发器105的存储器中的数据控制参数可以被发送到应用102，并被应用102用来限制服务提供商对个人用户数据的访问。小程序106可以被配置为接收数据控制参数并将数据控制参数存储在短程收发器105的存储器中。

在一个或多个示例实施例中，数据控制参数可以被用于以一种或多种方式限制服务提供商对个人用户数据的访问。例如，数据控制参数可以只允许在特定或有限的时间段内访问。作为另一个示例，数据控制参数可以允许服务提供商访问单次使用。作为另一个示例，仅当短程收发器105在客户端设备101的短程通信场的范围内被检测到时，数据控制参数才可以允许访问。在一个或多个实施例中，可以提示用户确认服务提供商可以访问个人用户数据在一个或多个实施例中，用户可以预先批准服务提供商对个人数据的访问，使得用户不需要在服务提供商试图获得数据访问时给予许可。用户可以通过各种方式确认或预先批准对个人用户数据的访问，包括通过响应提示将用户的短程收发器轻叩到客户端设备。

在示例实施例中，个人用户数据可以被存储在数据库130中，并可以被更新。更新后的个人用户数据可以被存储在数据库130中，并在请求个人用户数据时被发送到客户端设备101。

在示例实施例中，应用102可以响应于短程收发器105和客户端设备101之间的轻叩动作而被启动。

图1C示出了根据一个或多个示例实施例的用于提供数据访问控制的序列的图，其可以包括服务提供商对数据访问密钥的请求，以访问或解密被存储在短程收发器上的个人用户数据。图1C参照了如图1A所示的示例实施例系统100的类似组件和如图1B所示的示例实施例系统100的类似特征，包括上面关于标签150-159描述的特征(此处不再重复)。在上面关于图1B的描述中引用的服务提供商在描述图1C时将被称为第一服务提供商。参照图1C，根据上文参照标签150-159描述的过程，在将第一服务提供商识别为用于访问用户的个人用户数据的数据访问密钥请求的发送者时，可以确定需要两人批准。

响应于两人批准的要求可能涉及与第二服务提供商相关联的客户端设备103。第二服务提供商可以与和第一服务提供商(如上所述)相同的服务实体相关联，或者可以与和该服务实体相关的实体相关联，或者与不同的实体相关联。客户端设备103可以包括应用104，该应用104可以包括由客户端设备103执行的指令。客户端设备103可以包括下面参照图2进一步描述的特征。应用104可以被配置为在使用客户端设备103时为第二服务提供商提供用户界面。应用104可以被配置为经由客户端设备103与其他客户端设备、短程收发器105以及服务器110进行通信。应用104可以被配置为接收请求和发送消息，如本文参照客户端设备103所描述的。

在标签164处，处理器120可(例如，经由服务器110)向客户端设备101发送两人批准通知，通知第一服务提供商需要第二服务提供商批准数据访问密钥请求。应用102可以使消息被显示在客户端设备101上，该消息指示系统正在等待第二服务提供商对请求的批准。在一些示例实施例中，通知可以被发送到客户端设备103，或者被发送到客户端设备101和客户端设备103两者。处理器120可以打开与应用102的数据访问会话，以在等待批准时提供对数据访问密钥请求(经由用户令牌与用户相关)的跟踪。

在标签166处，短程收发器105和客户端设备103之间可能存在轻叩动作。轻叩动作可以响应两人批准通知。应用104可以从短程收发器105接收用户令牌107。

在标签168处，应用104可向服务器110发送用户令牌，以及与第二服务提供商相关联的第二服务提供商令牌和数据访问密钥请求；这可以响应于上文参照标签166描述的轻叩动作。第二服务提供商令牌可以包括第二服务提供商密钥。处理器120可以打开与应用104的数据访问会话，以提供对来自第二服务提供商的数据访问密钥请求(经由用户令牌与用户相关)的单独跟踪。处理器120可以使用第二服务提供商令牌来将第二服务提供商识别为数据访问密钥请求的发送者。基于用户令牌，处理器120可以确定由第二服务提供商做出的数据访问密钥请求对应于由第一服务提供商做出的公开数据访问密钥请求，并且因此可以寻求批准第一服务提供商对个人用户数据的访问。

在标签170处，处理器120可以向应用104发送请求第二服务提供商批准第一服务提供商提交的数据访问密钥请求的批准通知。

应用104可在客户端设备103上为第二服务提供商显示指令，以批准第一服务提供商做出的数据访问密钥请求。在一些示例实施例中，显示器可以指示第二服务提供商用客户端设备103轻叩短程收发器105/对着客户端设备103轻叩短程收发器105以指示批准(例如，如图5所示)。在一些示例实施例中，显示器可指示第二服务提供商按下按钮(图5中未示出)以指示批准。在一个或多个示例实施例中，在客户端设备103上显示批准数据访问密钥请求的指令可以响应于标签170的批准通知。在客户端设备103上显示批准数据访问密钥请求的指令可以响应于标签170的批准通知。在一个或多个示例实施例中，在客户端设备103上显示批准数据访问密钥请求的指令可以响应于标签164的两人批准通知。

在标签172处，一旦第二服务提供商已采取行动(例如，通过轻叩动作或按下按钮)以指示批准，应用104可以向服务器110发送批准消息。基于批准消息，处理器120可以确定第二服务提供商已经批准了第一服务提供商的数据访问密钥请求。

在示例实施例中，响应于两人批准通知，应用102可以在客户端设备101上显示要由客户端设备103扫描或以其他方式输入的代码(诸如QR代码或数字代码)。应用104可以将(如扫描的或输入到客户端设备103中的)该代码发送到服务器110，以指示对数据访问密钥请求的批准。基于所发送的代码，处理器120可以确定第二服务提供商已经批准了第一服务提供商的数据访问密钥请求。

在标签174处，处理器120可以将数据访问密钥发送给客户端设备101。数据访问密钥可以被存储在数据库130中，或者可以基于用户密钥、第一服务提供商密钥、或者用户密钥和第一服务提供商密钥的组合、或者用户密钥、第一服务提供商密钥和第二服务提供商密钥的组合来生成。用户密钥可以被存储在数据库130中或者被包括在用户令牌107中。第一服务提供商密钥可以被存储在数据库130中，或者被包括在从客户端设备101接收到的第一服务提供商令牌中。第二服务提供商密钥可以被存储在数据库130中，或者被包括在从客户端设备103接收的第二服务提供商令牌中。

在标签176处，短程收发器105可以经由客户端设备101向应用102发送经加密的个人用户数据108。值得注意的是，相对于参照图1B或1C所描述的其他事件，短程收发器105向客户端设备101发送经加密的私人用户数据108的时间并不关键。经加密的个人用户数据108可以在第一次轻叩动作时发送，或者在包括在客户端设备101接收到数据访问密钥之后的任何时间发送。

如上文参照图1B所述，应用102可以被配置为使用所接收到的数据访问密钥来接收、解密和访问经加密的个人用户数据108，包括例如，使得个人用户数据显示在客户端设备101上，和/或将个人用户数据存储在客户端设备101上，以便有时间限制地或有使用次数限制地进行检索。在示例实施例中，所接收到的数据访问密钥可以被存储在客户端设备101上，并且只有当数据访问密钥仍然被存储在客户端设备上时，应用102才可以将个人用户数据显示在客户端设备101上。

在示例实施例中，应用104可以响应于短程收发器105和客户端设备103之间的轻叩动作而被启动。

图2示出了根据一个或多个示例实施例的数据访问控制系统中使用的客户端设备200的组件。在一个或多个示例实施例中，客户端设备200可以是上文参照图1A和图1B-1C所描述的客户端设备101和/或103中的一个或多个。客户端设备200可以包括一个或多个应用201、一个或多个处理器202、短程通信接口203和网络接口204。应用201可以包括将在处理器202上被执行的软件应用或可执行程序代码，并且被配置为执行本文针对任何客户端设备(诸如客户端设备101和/或103)描述的特征，和/或本文参照应用102描述的任何特征。应用201可以例如被配置为经由客户端设备101(诸如例如经由短程通信接口203和/或网络接口204)，与其他设备发送和/或接收数据。例如，应用201可以被配置为发起一个或多个请求(诸如对短程收发器(诸如非接触式卡)的近场数据交换请求)。应用201还可以被配置为经由显示器(未示出)为客户端设备的用户提供用户界面。应用201可以被存储在客户端设备200的存储器中；该存储器可以包括只读存储器、一次写入多次读取存储器和/或读/写存储器，例如RAM、ROM和EEPROM。

处理器202可以包括诸如微处理器、RISC处理器、ASIC等之类的一个或多个处理设备，并且可以包括相关的处理电路。处理器202可以包括或连接到存储可执行指令和/或数据的存储器，这对于控制、操作包括应用201在内的客户端设备200的其他特征或与之交互可能是必要的或适当的。处理器202(包括任何相关联的处理电路)可包含附加的组件，该附加的组件包括如执行本文描述的功能所必需的处理器、存储器、错误和奇偶校验/CRC检查器、数据编码器、防冲突算法、控制器、命令解码器、安全原语和防篡改硬件。

短程通信接口203可支持经由诸如NFC、RFID或蓝牙之类的短程无线通信场进行通信。短程通信接口203可以包括诸如移动设备NFC读取器之类的读取器。短程通信接口203可以被并入网络接口204，或者可以作为单独的接口被提供。

网络接口204可以包括有线或无线数据通信能力。这些能力可以支持与有线或无线通信网络的数据通信，该有线或无线通信网络包括互联网、蜂窝网络、广域网、局域网、无线个人区域网、广域网络、用于发送和接收数据信号的任何其他有线或无线网络、或者它们的任意组合。这种网络可以包括但不限于电话线、光纤、IEEE Ethernet 902.3、广域网、局域网、无线个人局域网、广域网络或诸如互联网的全球网络。

客户端设备200还可以包括显示器(未示出)。这种显示器可以是用于呈现视觉信息的任何类型的设备，诸如计算机监视器、平板显示器或移动设备屏幕，包括液晶显示器、发光二极管显示器、等离子面板和阴极射线管显示器。

客户端设备200还可以包括一个或多个装置输入(未示出)。这种输入可以包括用于将信息输入到客户端设备中的任何设备，该任何设备是可用的并且由客户端设备300支持，诸如触摸屏、键盘、鼠标、光标控制设备、触摸屏、麦克风、数码相机、录像机或便携式摄像机。设备输入可以被用于输入信息并与客户端设备200交互，并且通过扩展，与本文描述的系统交互。

图3示出了根据一个或多个示例实施例的数据访问控制系统中使用的短程收发器300的组件。在一个或多个示例实施例中，短程收发器300可以是上文参照图1A和图1B-1C所描述的短程收发器105中的一个或多个。短程收发器300可以包括例如非接触式卡，或者可以包括具有不同形状因子的设备(诸如智能钥匙、挂件或者被配置为在短程通信场内通信的其他设备)。短程收发器300可以包括处理器301、存储器302和短程通信接口306。

处理器301可以包括诸如微处理器、RISC处理器、ASIC等之类的一个或多个处理设备，并且可以包括相关的处理电路。处理器301可以包括或被连接到存储可执行指令和/或数据的存储器，这对于控制、操作短程收发器300的其他特征(包括小程序303)或与之接口可能是必要的或适当的。处理器301(包括任何相关联的处理电路)可以包含附加的组件，该附加的组件包括如执行本文描述的功能所必需的处理器、存储器、错误和奇偶校验/CRC校验器、数据编码器、防冲突算法、控制器、命令解码器、安全原语和防篡改硬件。

存储器302可以是只读存储器、一次写入多次读取存储器或读/写存储器，例如RAM、ROM和EEPROM。存储器302可以被配置为存储一个或多个小程序303、一个或更多令牌304和个人用户数据305。小程序303可以包括被配置为在处理器301上执行的一个或多个软件应用(诸如可以在非接触式卡上被执行的Java卡小程序)。然而，应当理解，小程序303不限于Java卡小程序，而是可以是可在非接触式卡或具有有限存储器的其他设备上操作的任何软件应用。小程序303可以被配置为响应一个或多个请求(诸如来自客户端设备的近场数据交换请求，包括来自具有诸如移动设备NFC读取器之类的读取器的设备的请求)。小程序303可以被配置为从(或向)存储器302读取(或写入)数据，包括令牌304和/或个人用户数据305，并响应于请求提供这种数据。

令牌304可以包括被分配给短程收发器300的用户的唯一字母数字标识符，并且该标识符可以将短程收发器300的用户与其他短程收发器的其他用户(诸如其他非接触式卡用户)区分开来。在一些示例实施例中，令牌304可以识别客户和分配给该客户的账户，并且还可以识别与客户的账户相关联的短程收发器(例如非接触式卡)。在一些示例实施例中，令牌304可以包括针对与短程收发器相关联的用户或客户唯一的密钥。

个人用户数据305可以被存储在存储器302中，并且例如，可以位于特定的存储位置或者由文件名标识的数据文件中。个人用户数据305可以包括个人用户信息或可能具有敏感或机密性质的数据，诸如例如，个人健康数据、社会保障号码、家庭联系人等。个人用户数据305可以被加密并以安全格式被存储，以防止未经授权的访问。任何合适的算法/程序(包括例如，公钥/私钥加密)都可以被用于数据加密和授权解密。

个人用户数据305(以及上文参照图1B-1C所述的个人用户数据108)可以包括以下数据类别中的任何一个或多个：全名、出生日期、电子邮件地址、家庭地址、民族/种族、性别、出生地、母亲的婚前姓名、社会保障号码、国民身份证号、护照号、签证许可号、驾照号、车辆牌照号、遗传信息、医疗信息、残疾信息、保险详情、位置信息、您何时在做什么、状态、参加的活动、性取向、教育历史、年级、就业历史、工资、工作职位/头衔、财务、社会、公用事业、服务或其他账户的账户信息、照片、政治和宗教倾向和从属关系、对争议问题的看法、历史/背景、信用评分/记录、注册网站、犯罪记录和/或商业敏感信息。

短程通信接口306可支持经由诸如NFC、RFID或蓝牙之类的短程无线通信场进行通信。短程收发器300还可以包括被连接到短程通信接口306的一个或多个天线(未示出),以提供与短程无线通信场的连接。

图4是示出了根据一个或多个示例实施例(包括上文参照图1A-1C所描述的实施例)的数据访问控制系统中使用的客户端设备401和短程收发器420之间的交互400的图。客户端设备401可以是上文参照图1A和图1B-1C所描述的客户端设备101。如上文参照图1B-1C所述，客户端设备401可以与(第一)服务提供商相关联。用户界面402可以由上文参照图1B-1C所描述的应用102生成。短程收发器420可以是上文参照图1A和图1B-1C所描述的短程收发器105。在短程收发器420(诸如，经由轻叩动作)进入客户端设备401的短程通信场时，客户端设备401可以与短程收发器420通信。客户端设备401可以经由发送信号431向短程收发器420发送数据或命令，并且可以经由接收信号432从短程收发器420接收数据(包括令牌422)。短程收发器420还可以向客户端设备401发送经加密的个人用户数据(未示出)。客户端设备401和短程收发器420之间的通信可以如上文参照图1B-1C所述进行(例如，客户端设备101或103和短程收发器105)。

用户界面402可以在客户端设备401上呈现用户数据访问请求410的屏幕显示，其可以包括字段411和字段412。如果需要，第一服务提供商可以在字段411中输入用户名，在字段412中输入密码。屏幕显示可以包括指令414，该指令414提示第一服务提供商轻叩短程收发器420(在所示的示例中，短程收发器420可以是非接触式卡)来发起数据访问密钥请求，以获得解密经加密的个人用户数据所需的数据访问密钥。指令414可以是来自服务器110的推送通知(如图1A和图1B-1C所示)。响应于轻叩动作，客户端设备401可以将数据访问密钥请求连同用户令牌422(来自短程收发器420)和第一服务提供商令牌一起发送给服务器110(如图1A和图1B-1C所示)。

图5是示出了根据一个或多个示例实施例(包括上文参照图1A-1C所描述的实施例)的数据访问控制系统中使用的客户端设备501和短程收发器520之间的交互500的图。客户端设备501可以是上文参照图1A和图1C所描述的客户端设备103。如上文参照图1C所述，客户端设备501可以与第二服务提供商相关联。用户界面502可以由上文参照图1C所描述的应用104生成。短程收发器520可以是上文参照图1A和图1B-1C所描述的短程收发器105。在短程收发器520(例如，经由轻叩动作)进入客户端设备501的短程通信场时，客户端设备501可以与短程收发器520通信。客户端设备501可以经由发送信号531向短程收发器520发送数据或命令，并且可以经由接收信号532从短程收发器520接收数据(包括令牌522)。客户端设备501和短程收发器520之间的通信可以如上文参照图1B-1C所述进行(例如，客户端设备101或103和短程收发器105)。

用户界面502可以在客户端设备501上呈现用户数据访问请求510的屏幕显示，其可以包括字段511和字段512。如果需要，第二服务提供商可以在字段511中输入用户名，在字段512中输入密码。屏幕显示可以包括指令514，该指令514通知第二服务提供商需要两个服务提供商来批准用户数据访问请求，并提示第二服务提供商轻叩短程收发器520(在所示的示例中，短程收发器520可以是非接触式卡)来完成批准过程。指令514可以是来自服务器110的推送通知(如图1A和图1B-1C所示)。响应于轻叩动作，客户端设备501可以向服务器110发送用户令牌522(来自短程收发器520)和第二服务提供商令牌。

图6A是示出了根据一个或多个示例实施例的数据访问控制600的方法的流程图，参照上述组件和特征，包括但不限于附图和相关联的描述。数据访问控制方法600可以由在与(第一)服务提供商相关联的客户端设备101上执行的应用102来执行。短程收发器105与用户相关联。

在框610处，应用102可以使客户端设备101显示用户数据访问请求屏幕(例如图4所示以及上文参照图4所述)。用户数据访问请求屏幕可以包括用客户端设备101轻叩短程收发器105/对着客户端设备101轻叩短程收发器105以发起数据访问密钥请求的指令。如上参照图4所述，短程收发器420(以及因此短程收发器105)可以是非接触式卡。

在框620处，可以在短程收发器105和客户端设备101之间检测到轻叩动作。

在框630处，可以从短程收发器105接收用户令牌107。接收用户令牌107可以响应于框620的轻叩动作。用户令牌107可以包括用户标识符。在一些示例实施例中，用户令牌107可以包括与用户相关联的用户密钥。

在框640处，用户令牌107和(与服务提供商相关联的)服务提供商令牌可以与数据访问密钥请求一起被发送到服务器110，以获得用于解密从(或将从)短程收发器105接收到的经加密的个人用户数据的密钥，向服务器110发送用户令牌107、服务提供商令牌和数据访问密钥请求可以响应于框620的轻叩动作。

在框650处，可以从服务器110接收数据访问密钥。

在框660处，经加密的个人用户数据可以从短程收发器105被接收。如上所述，经加密的个人用户数据可以在该过程中的任何时间被接收。

在框670处，数据访问密钥可以被用于解密经加密的个人用户数据。如上所述，在一些实施例中，应用102可以使得个人用户数据显示在客户端设备101上。在一些实施例中，应用102可以被允许将个人用户数据存储在客户端设备101上，以便有时间限制地或有使用次数限制地进行检索。

图6B是示出了根据一个或多个示例实施例的数据访问控制600的方法的流程图，参照上述组件和特征，包括但不限于附图和相关联的描述。图6B中描述的特征可以是对图6A中参照的特征的补充。本文将不再重复图6A中参照的框的描述。如上文参照图6A所描述的，数据访问控制方法600可以由在与(第一)服务提供商相关联的客户端设备101上执行的应用102来执行。短程收发器105与用户相关联。

位于短程收发器105上的存储器(诸如图4中所示的存储器302)可以包含基本用户数据(诸如姓名、性别和出生日期)。该基本用户数据可以是被包含在个人用户数据中的数据类型的子集，或者可以是附加数据，和/或可以是不太可能改变(或者与其他类型的个人用户数据相比不太可能随时间改变)的数据。在一些示例实施例中，诸如当个人用户数据包括健康数据时，基本用户数据可以包括健康数据的某些方面，诸如例如，身高、体重、过敏、处方、DNR指令等。可以被包括在基本用户数据中的信息类型可以由用户选择。

基本用户数据可以被存储在短程收发器存储器302中，并且例如，可以位于特定的存储位置或者由文件名标识的数据文件中。

基本用户数据可以用密钥加密，使得它可以用服务提供商可用的基本服务提供商密钥对其进行解密。基本服务密钥可以不同于描述个人用户数据305所需的数据访问密钥。在一个或多个实施例中，基本服务提供商密钥对于服务提供商是可用的，并且在有限的时间段内有效，诸如例如每天、每周、每月或其他基准。基本服务提供商密钥可以为与特定服务提供商实体相关联的所有人员所共用。基本服务提供商密钥可以被存储在数据库130中，或者可以由系统基于服务提供商的身份来生成。由系统存储基本服务提供商密钥(或生成密钥)并将密钥推送到客户端设备提供了一种控制访问的方式，并允许出于审计(audit)目的而记录和跟踪访问。

在框690处，从服务器接收基本服务提供商密钥。根据服务提供商(或服务提供商实体)可能与系统100的安排或协议，可以在任何时间请求和/或获得基本服务提供商密钥。例如，当新密钥变得可用时，客户端设备101可以每隔一段时间(例如，每天、每周、每月或其他基准)向服务器110发送对基本服务提供商密钥的请求。接收基本服务提供商密钥不需要服务提供商在短程收发器105附近，并且可以独立于短程收发器105的任何轻叩动作来请求或接收基本服务提供商密钥。

在框692处，基本服务提供商密钥可以被存储在位于客户端设备101中的存储器中，允许服务提供商在稍后的时间重新调用和使用基本服务提供商密钥。

在框694处，可以从短程收发器105接收经加密的基本用户信息。这可以响应于短程收发器105和客户端设备101之间的轻叩动作，或者可以在短程收发器105呈现在客户端设备101的短程无线通信场的范围内的任何时间被接收。

在框696处，基本服务提供商密钥可以被用于对经加密的基本用户数据进行解密。应用102可以使基本用户数据显示在客户端设备101上。在一些实施例中，可以允许应用102将个人用户数据存储在客户端设备101上，以便有时间限制地或有使用次数限制地进行检索。在示例实施例中，基本用户数据可以以未经加密的格式被存储在收发器105上。在示例实施例中，基本用户数据可以由客户端设备101以未经加密的形式接收，并且无需基本服务提供商密钥就可以访问。基本用户数据是否以未经加密的格式存储或提供可以由用户决定。

图7A是示出了根据一个或多个示例实施例的数据访问控制方法700的流程图，参照上述组件和特征，包括但不限于附图和相关联的描述。数据访问控制方法700可以由处理器120执行，该处理器120经由服务器110与关联于第一服务提供商的客户端设备101和/或关联于第二服务提供商的客户端设备103通信。

在框710处，可以从与第一服务提供商相关联的客户端设备101接收数据访问密钥请求，以及用户令牌107和(与第一服务提供商相关联的)服务提供商令牌，请求数据访问密钥以实现对经加密的个人用户数据的解密。令牌107可以包括用户标识符。在一些示例实施例中，令牌107可以包括与用户相关联的用户密钥。在一些示例实施例中，服务提供商令牌可以包括第一服务提供商密钥。

在框720处，可以基于服务提供商令牌将数据访问密钥请求的发送者识别为第一服务提供商。在一些示例实施例中，当服务提供商令牌包括与第一服务提供商相关联的第一服务提供商密钥时，第一服务提供商密钥可以被用于认证第一服务提供商。

在框730处，可以基于接收到的用户令牌107识别用户。在一些示例实施例中，当令牌107包括与用户相关联的用户密钥时，用户密钥可以被用于认证用户。

在框740处，处理器可以验证第一服务提供商被授权接收对个人用户数据的访问(并因此被授权获得数据访问密钥)。授权可以基于服务提供商的身份或者用户的身份或者两者，并且可以包括从数据库130中检索信息。

在框750处，可将数据访问密钥发送至与服务提供商相关联的客户端设备101。如上所述，数据访问密钥可以被存储在数据库130中，或者可以基于用户密钥、第一服务提供商密钥或者用户密钥和第一服务提供商密钥的组合来生成。

图7B是示出了根据一个或多个示例实施例的数据访问控制701的方法的流程图，参照上述组件和特征，包括但不限于附图和相关联的描述。图7B中描述的特征可以是图7A中参照的特征的补充。本文将不再重复对图7A中参照的框的描述。如上参照图7A所述，数据访问控制方法700可以由处理器120执行，该处理器120经由服务器110与关联于第一服务提供商的客户端设备101和/或关联于第二服务提供商的客户端设备103通信。

根据图7B中的方法，不按图7A所示的顺序执行框750(参照图7A)。相反，参照图7B，在框750’,确定服务提供商访问个人用户数据需要两人批准。

在框760处，向与第一服务提供商相关联的客户端101发送两人批准要求第二服务提供商必须批准数据访问密钥请求的通知。

在框765处，可以从与第二服务提供商相关联的客户端设备103接收数据访问密钥请求，以及用户令牌和第二服务提供商令牌。第二服务提供商令牌可以包括第二服务提供商密钥。

在框770处，可以确定来自第二服务提供商的客户端设备103的数据访问密钥请求对应于先前从第一服务提供商的客户端设备101接收的数据访问密钥请求。

在框775处，可以向第二服务提供商的客户端设备103发送批准通知，以寻求对第一服务提供商做出的数据访问密钥请求的批准。

在框780处，可从第二服务提供商的客户端设备103接收批准消息，该批准消息指示第二服务供应商批准第一服务提供商所做的数据访问密钥请求。

在框785处，可将数据访问密钥发送至与第一服务提供商相关联的客户端设备101。如上所述，数据访问密钥可以被存储在数据库130中，或者可以基于用户密钥、第一服务提供商密钥、或者用户密钥和第一服务提供商密钥的组合、或者用户密钥、第一服务提供商密钥和第二服务提供商密钥的组合来生成。

图7C是示出了根据一个或多个示例实施例的数据访问控制方法702的流程图，参照上述组件和特征，包括但不限于附图和相关联的描述。图7C中描述的特征可以是图7A或7B中参照的特征的补充。本文将不再重复对图7A和7B中参照的框的描述。如上参照图7A和7B所述，数据访问控制方法700可以由处理器120执行，该处理器120经由服务器110与关联于第一服务提供商的客户端设备101和/或关联于第二服务提供商的客户端设备103通信。

在框790处，从客户端设备101接收对基本服务提供商密钥的请求。如上所述，可以根据服务提供商(或服务提供商实体)可能具有的与系统100的安排或协议，在任何时候请求基本服务提供商密钥。请求基本服务提供商密钥不需要服务提供商在短程收发器105附近，并且基本服务提供商密钥可以独立于对短程收发器105的任何轻叩动作而被发送到客户端设备101。

在框792处，处理器可以验证服务被授权接收对基本用户数据的访问(并因此被授权获得基本服务提供商密钥)。授权可以基于服务提供商的身份，并且可以包括从数据库130中检索信息。

在框794处，可以将基本服务提供商密钥发送至与服务提供商相关联的客户端设备101。服务提供商密钥可以被存储在数据库130中，或者可以由系统基于服务提供商的身份来生成。

图8示出了根据一个或多个示例实施例的数据访问控制系统800的图。图8参照了如图1A所示的示例实施例系统100的类似组件，并且本文将不再重复对这些组件的描述。除了如图1A所示出的和上文所描述的与系统100相关的组件之外，系统800可以包括数据存储库801。数据存储库801可以包括数据库，该数据库具有与以上针对数据库130描述的相同或相似的结构、功能或特征中的一些或全部。数据存储库还可以包括或包含具有与以上针对服务器110描述的相同或相似的结构、功能或特征中的一些或全部的服务器。数据存储库还可以包括或包含具有与以上针对处理器120描述的相同或相似的结构、功能或特征中的一些或全部的处理器。数据存储库被配置为存储个人用户数据，诸如上面关于图3中的个人用户数据305所描述的类型的个人用户数据。数据存储库可以以加密的格式存储个人用户数据，或者可以在发送给授权服务提供商之前对个人用户信息进行加密。数据存储库801可以由与操作系统100相同或相关的实体操作，或者可以由第三方操作。

在操作中，系统800可以执行由如上所述的系统100的组件所执行的所有或许多相同的功能，以用于处理对访问个人用户数据的数据访问密钥的请求。一旦系统800验证服务提供商被授权接收对个人用户数据的访问，则处理器120可以生成到存储个人用户数据的数据存储库的链接。在示例实施例中，处理器120可以提供除了到数据存储库801的链接之外或者代替到数据存储库801的链接的信息(诸如例如，数据储存库801的电子地址)。

处理器120可以检索数据访问密钥或生成如上所述的数据访问密钥(包括，例如，基于用户密钥或基于用户密钥和服务提供商密钥生成)。处理器120可以向客户端设备101发送数据访问密钥和到个人用户数据可能位于其中的数据存储库801的链接。在接收到数据访问密钥和到数据存储库801的链接时，客户端设备101然后可以基于该链接从数据存储库801检索经加密的个人用户数据。例如，客户端设备101可以经由链接向数据存储库801发送对经加密的个人用户数据的请求，并且从数据存储库801接收经加密的个人用户数据。一旦客户端设备101已经获得经加密的个人用户数据，客户端设备101可以使用数据访问密钥来对经加密的私人用户数据进行解密。一旦个人用户数据被解密，客户端设备101可以如上所述访问和使用个人用户数据。

在一些示例实施例中，数据存储库801可以存储与收发器105上所存储的相同的个人用户数据。在一些示例实施例中，个人用户数据被存储在数据存储库801中，而不是被存储在收发器105上。在一些示例实施例中，个人用户数据可以被存储在数据存储库801中，并且只有有限的一组用户数据(诸如例如，基本用户数据)可以被存储在收发器105上。在一些示例实施例中，存储在数据存储库801中的个人用户数据可以被更新。更新后的个人用户数据可以被存储在数据存储库801中，并且在请求个人用户数据时被发送到客户端设备101。

本公开实施例的描述提供了参照附图和数字的非限制性代表性示例，以具体描述本公开不同方面的特征和教导。所描述的实施例应该被认为能够与实施例描述中的其他实施例分开或结合实施。阅读了实施例的描述的本领域普通技术人员应该能够学习和理解本公开的不同描述方面。实施例的描述应当有助于理解本公开，其程度应使得其他实施方式(没有具体涵盖，但是在阅读了实施例描述的本领域技术人员的知识范围内)将被理解为与本公开的应用一致。

在整个说明书和权利要求书中，除非上下文另有明确规定，否则以下术语至少具有本文明确关联的含义。术语“或”旨在表示包含性的“或”。此外，术语“一”、“一个”和“该”旨在表示一个或多个，除非另有规定或上下文中明确规定为单数形式。

在本说明书中，阐述了许多具体细节。然而，应该理解，所公开技术的实施方式可以在没有这些具体细节的情况下实践。在其他情况下，为了不模糊对本描述的理解，已知的方法、结构和技术没有被详细显示。对“一些示例”、“其他示例”、“一个示例”、“示例”、“各种示例”、“一个实施例”、“实施例”、“一些实施例”、“示例实施例”、“各种实施例”、“一个实施方式”、“实施方式”、“示例实施方式”、“各种实施方式”、“一些实施方式”等的引用，指示如此描述的公开技术的一个或多个实施方式可以包括特征、结构或特性，但是并非每个实施方式都必须包括该特定的特征、结构或特性。此外，短语“在一个示例中”、“在一个实施例中”或“在一个实施方式中”的重复使用不一定指相同的示例、实施例或实施方式，尽管它可能指相同的示例、实施例或实施方式。

如本文所用，除非另有规定，否则序数形容词“第一”、“第二”、“第三”等的使用来描述一个共同的对象，仅仅表示相同对象的不同实例被引用，并不意味着如此描述的对象必须在时间上、空间上、排序上或以任何其他方式处于给定的顺序。

虽然已经结合目前被认为是最实用的各种实施方式对所公开技术的某些实施方式进行了描述，但是应当理解，所公开技术不限于所公开的实施方式，相反，旨在涵盖被包括在所附权利要求范围内的各种修改和等同布置。尽管本文使用了特定的术语，但是它们仅被用于一般的和描述性的意义，而不是出于限制的目的。

本书面描述使用示例来公开了所公开技术的某些实施方式(包括最佳模式)，并使任何本领域技术人员能够实践所公开的技术的某些实施方式(包括制造和使用任何设备或系统以及执行任何结合的方法)。所公开技术的某些实施方式的可专利范围在权利要求中定义，并且可以包括本领域技术人员想到的其他示例。如果这些其他示例具有与权利要求的字面语言没有不同的结构元素，或者如果它们包括与权利要求的字面语言没有实质性差异的等同结构元素，则这样的其他示例旨在处于权利要求的范围内。

Claims (19)

1.一种数据访问控制系统，包括：

数据库，所述数据库存储包括与用户相关联的用户标识符和用户密钥、以及与服务提供商相关联的服务提供商标识符和服务提供商密钥的信息；

服务器，所述服务器被配置为经由网络与和所述服务提供商相关联的客户端设备进行数据通信；

非接触式卡，其与所述用户相关联，所述非接触式卡包括通信接口、处理器和存储器，所述存储器存储小程序、用户令牌和与用户相关联的个人用户数据，其中所述个人用户数据被使用所述用户密钥进行加密；

客户端应用，所述客户端应用包括用于在所述客户端设备上执行的指令，所述客户端应用被配置为：

响应于所述非接触式卡和所述客户端设备之间的轻叩动作：从所述非接触式卡接收所述用户令牌，并向所述服务器发送服务提供商令牌、所述用户令牌和对数据访问密钥的请求，其中所述服务提供商令牌与所述服务提供商相关联；

从所述服务器接收所述数据访问密钥；

从所述非接触式卡接收经加密的个人用户数据；和

使用所述数据访问密钥，对所述经加密的个人用户数据进行解密；以及

处理器，其与所述服务器和所述数据库进行数据通信，所述处理器被配置为：

从所述客户端设备接收所述服务提供商令牌、所述用户令牌和所述对数据访问密钥的请求；

基于所述服务提供商令牌识别所述服务提供商；

基于所述用户令牌识别所述用户；

验证所述服务提供商被授权接收对所述个人用户数据的访问；

从所述数据库检索所述用户密钥；

根据所述用户密钥生成所述数据访问密钥；和

向所述客户端设备发送所述数据访问密钥。

2.根据权利要求1所述的数据访问控制系统，其中，所述用户令牌包括所述用户密钥，并且所述处理器还被配置为基于所述用户密钥来认证所述用户。

3.根据权利要求1所述的数据访问控制系统，其中，所述服务提供商令牌包括所述服务提供商密钥，并且所述处理器还被配置为基于所述服务提供商密钥来认证所述服务提供商。

4.根据权利要求1所述的数据访问控制系统，其中：

所述服务提供商令牌包括所述服务提供商密钥；并且

所述数据访问密钥根据所述用户密钥和所述服务提供商密钥生成。

5.根据权利要求1所述的数据访问控制系统，其中，所述客户端应用还被配置为将解密的个人用户数据显示在所述客户端设备上。

6.根据权利要求5所述的数据访问控制系统，其中，所述客户端应用还被配置为：

将所述数据访问密钥存储在所述客户端设备上；和

只有当所述数据访问密钥仍然被存储在所述客户端设备上时，才将所述解密的个人用户数据显示在所述客户端设备上。

7.根据权利要求1所述的数据访问控制系统，其中：

所述非接触式卡的所述存储器还存储与所述用户相关联的基本用户数据，所述基本用户数据被用基本服务提供商密钥进行加密；并且

所述客户端应用还被配置为：

从所述非接触式卡接收经加密的基本用户数据；和

使用所述基本服务提供商密钥，对所述经加密的基本用户数据进行解密。

8.根据权利要求7所述的数据访问控制系统，其中，所述客户端应用还被配置为：

从所述服务器接收所述基本服务提供商密钥；以及

将所述基本服务提供商密钥存储在所述客户端设备的存储器中。

9.根据权利要求8所述的数据访问控制系统，其中：

所述客户端应用还被配置为向所述服务器发送对基本服务提供商密钥的请求，所述对基本服务提供商的密钥的请求独立于所述非接触式卡和所述客户端设备之间的轻叩动作；并且

所述处理器还被配置为：

验证所述服务提供商被授权接收所述基本服务提供商密钥；以及

向所述客户端设备发送所述基本服务提供商密钥。

10.根据权利要求9所述的数据访问控制系统，其中，所述基本服务提供商密钥仅在预定的时间段内有效。

11.一种用于控制数据访问的方法，包括：

建立存储信息的数据库，所述信息包括与用户相关联的用户标识符和用户密钥，以及与服务提供商相关联的服务提供商标识符和第一服务提供商密钥；

经由网络从与所述服务提供商相关联的第一客户端设备接收服务提供商令牌和对数据访问密钥的请求，以访问被存储在与所述用户相关联的非接触式卡上的个人用户数据，所述个人用户数据是使用所述用户密钥进行加密的，所述请求是响应于所述非接触式卡和所述第一客户端设备之间的轻叩动作而生成的，所述请求伴随有被存储在所述非接触式卡上的用户令牌；

基于所述服务提供商令牌识别所述服务提供商；

基于所述用户令牌识别所述用户；

验证所述服务提供商被授权接收对被存储在所述非接触式卡上的所述个人用户数据的访问；

从所述数据库中检索所述用户密钥；

基于所述用户密钥生成所述数据访问密钥；以及

向所述第一客户端设备发送所述数据访问密钥。

12.根据权利要求11所述的方法，其中，所述用户令牌包括所述用户密钥，所述方法还包括基于所述用户钥匙认证所述用户。

13.根据权利要求11所述的方法，其中，所述服务提供商令牌包括所述第一服务提供商密钥，所述方法还包括基于所述第一服务提供商密钥认证所述服务提供商。

14.根据权利要求13所述的方法，其中，所述数据访问密钥是基于所述用户密钥和所述第一服务提供商密钥生成的。

15.根据权利要求13所述的方法，还包括从第二客户端设备接收第二服务提供商密钥，其中，所述数据访问密钥是基于所述用户密钥、所述第一服务提供商密钥和所述第二服务提供商密钥生成的。

16.根据权利要求15所述的方法，其中，所述第二服务提供商密钥由所述第二客户端设备响应于所述非接触式卡和所述第二客户端设备之间的轻叩动作而发送。

17.根据权利要求11所述的方法，其中，所述数据库还存储与所述用户相关联的更新后的个人用户数据，所述方法还包括：

使用所述用户密钥加密所述更新后的个人用户数据；以及

向所述第一客户端设备发送经加密的更新后的个人用户数据。

18.一种用于控制数据访问的方法，包括：

建立存储信息的数据库，所述信息包括与用户相关联的用户标识符和用户密钥，以及与服务提供商相关联的服务提供商标识符和服务提供商密钥；

提供包括通信接口、处理器和存储器的非接触式卡，所述存储器存储小程序和用户令牌，其中所述通信接口被配置为支持近场通信、蓝牙或Wi-Fi中的至少一个，并且其中，所述非接触式卡与所述用户相关联；

提供包括用于在与所述服务提供商相关联的客户端设备上执行的指令的客户端应用，所述客户端应用被配置为：

响应于所述非接触式卡和所述客户端设备之间的轻叩动作：从所述非接触式卡接收所述用户令牌，并经由网络向服务器发送服务提供商令牌、所述用户令牌和对数据访问密钥的请求，其中所述服务提供商令牌与所述服务提供商相关联；

从所述服务器接收所述数据访问密钥和到存储与所述用户相关联的经加密的个人用户数据的数据存储库的链接，其中，所述数据访问密钥是基于所述用户密钥生成的；

经由所述链接向所述数据存储库发送对所述经加密的个人用户数据的请求；

从所述数据存储库接收所述经加密的个人用户数据；和

使用所述数据访问密钥，对所述经加密的个人用户数据进行解密；

经由所述网络从所述客户端设备接收服务提供商令牌和所述对数据访问密钥的请求，以访问与所述用户相关联的所述个人用户数据，所述请求伴随有所述用户令牌；

基于所述服务提供商令牌识别所述服务提供商；

基于所述用户令牌识别所述用户；

验证所述服务提供商被授权接收对与所述用户相关联的所述个人用户数据的访问；

生成到存储所述经加密的个人用户数据的所述数据存储库的链接；

从所述数据库中检索所述用户密钥；

基于所述用户密钥生成所述数据访问密钥；以及

向所述客户端设备发送所述数据访问密钥和到存储所述经加密的个人用户数据的所述数据存储库的链接。

19.根据权利要求18所述的方法，其中所述数据访问密钥是基于所述用户密钥和所述服务提供商密钥生成的。

Images