DE112018005628T5 - Datenbereinigungssystem für eine öffentliche Host-Plattform - Google Patents

Datenbereinigungssystem für eine öffentliche Host-Plattform Download PDF

Info

Publication number
DE112018005628T5
DE112018005628T5 DE112018005628.7T DE112018005628T DE112018005628T5 DE 112018005628 T5 DE112018005628 T5 DE 112018005628T5 DE 112018005628 T DE112018005628 T DE 112018005628T DE 112018005628 T5 DE112018005628 T5 DE 112018005628T5
Authority
DE
Germany
Prior art keywords
message
data
anonymized
values
fields
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112018005628.7T
Other languages
English (en)
Inventor
Ilgen Banu Yuceer
Patrick Ryan Wardrop
Matthew Elsner
Brian Robert Matthiesen
Ariel Farkash
Igor Gokhman
David George Drucker
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE112018005628T5 publication Critical patent/DE112018005628T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Automation & Control Theory (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Ein System und Verfahren zum Verwalten einer Transaktionsverarbeitung werden offenbart. Das Verfahren eines oder mehrere aus einem Empfangen einer von einer Client-Einheit übertragenen Nachricht, wobei die Nachricht ein vordefiniertes strukturelles Format zum Verarbeiten durch ein dienstbereitstellendes Datenverarbeitungssystem enthält, einem Ermitteln eines Typs der Nachricht und einem Erkennen eines oder mehrerer sensibler Felder innerhalb der Nachricht auf Grundlage des ermittelten Typs der Nachricht, einem Anonymisieren von Werten des einen oder der mehreren sensiblen Felder innerhalb der Nachricht, während das vordefinierte strukturelle Format intakt bleibt, sowie einem Übertragen der anonymisierten Nachricht, die den einen oder die mehreren anonymisierten Werte enthält, wobei das strukturelle Format intakt bleibt, an das dienstbereitstellende Datenverarbeitungssystem. Das System kann Daten aus einem privaten Netzwerk anonymisieren, bevor sie an einen öffentlichen Dienst übertragen werden.

Description

  • Technisches Gebiet
  • Diese Anmeldung bezieht sich im Allgemein auf ein Datenbereinigungssystem und im Besonderen auf ein System, Verfahren und nicht flüchtiges, durch einen Computer lesbares Medium, die sensible Client-Daten aus einer Nachricht anonymisieren, während eine Datenstruktur der Nachricht mit nicht sensiblen Daten intakt bleibt, wodurch die Client-Daten durch einen Dienst eines Dritten anonym verarbeitet werden können.
  • HINTERGRUND
  • Öffentliche Cloud-Dienste sind eine Form des Cloud-Computing, bei der sich eine Organisation für Dienste wie Server, Datenspeicher, Anwendungen, Unternehmensdatenverarbeitung und dergleichen, die dem Unternehmen über das Internet bereitgestellt werden, auf einen Drittanbieter von Cloud-Diensten verlässt. Öffentliche Cloud-Dienste können Unternehmen von den hohen Kosten befreien, die anfallen, wenn sie ihre eigene, lokale Hardware- und Software-Infrastruktur kaufen, verwalten und pflegen. Aufgrund des Fachwissens und der bestehenden Infrastruktur des Anbieters einer öffentlichen Cloud werden öffentliche Clouds außerdem erheblich schneller und mit höherer Skalierbarkeit und Verfügbarkeit bereitgestellt als eine lokale Infrastruktur. Organisationen können sogar ihre eigenen Anwendungen entwickeln und die Anwendungen dennoch durch die öffentliche Cloud hosten lassen.
  • Allerdings werden öffentliche Cloud-Dienste üblicherweise durch Dritte bereitgestellt, was diesen Dritten Zugang zu sensiblen Daten der Organisation und ihrer Mitglieder gibt. Die sensiblen Daten enthalten personenbezogene Daten (Personally Identifiable Information, PII), bei denen es sich um jedwede Daten zu einer Person (oder einer der Person zugehörigen Benutzereinheit) handelt, die verwendet werden können, um die Identität der Person zu unterscheiden oder zu verfolgen. PII werden häufig durch Kriminelle genutzt, um einen Identitätsdiebstahl zu begehen oder die Planung krimineller Handlungen zu unterstützen. Aufgrund der Gefahr eines Diebstahls von PII haben viele Länder Rechtsvorschriften erlassen, die den Schutz von PII vorsehen. Zusätzlich werden Organisationen dazu angehalten, private Unternehmensdaten, die für ihr Geschäft von hoher Bedeutung sind, auch dann zu schützen, wenn diese nicht als PII eingestuft werden.
  • KU RZDARSTELLU NG
  • Bei einer Beispielausführungsform wird ein Datenverarbeitungssystem bereitgestellt, das einen oder mehrere Prozessoren, die eine von einer Client-Einheit übertragene Nachricht empfangen können, wobei die Nachricht ein vordefiniertes strukturelles Format zum Verarbeiten durch ein dienstbereitstellendes Datenverarbeitungssystem enthält, die einen Typ der Nachricht ermitteln und auf Grundlage des ermittelten Typs der Nachricht ein oder mehrere sensible Felder innerhalb der Nachricht erkennen und die Werte des einen oder der mehreren sensiblen Felder innerhalb der Nachricht anonymisieren können, während das vordefinierte strukturelle Format intakt bleibt, sowie eine Netzwerkschnittstelle enthält, welche die anonymisierte Nachricht, die den einen oder die mehreren anonymisierten Werte enthält, wobei das strukturelle Format intakt bleibt, an das dienstbereitstellende Datenverarbeitungssystem übertragen kann.
  • Bei einer weiteren Beispielausführungsform wird ein durch einen Computer realisiertes Verfahren bereitgestellt, das eines oder mehrere aus einem Empfangen einer von einer Client-Einheit übertragenen Nachricht, wobei die Nachricht ein vordefiniertes strukturelles Format zum Verarbeiten durch ein dienstbereitstellendes Datenverarbeitungssystem enthält, einem Ermitteln eines Typs der Nachricht und einem Erkennen eines oder mehrerer sensibler Felder innerhalb der Nachricht auf Grundlage des ermittelten Typs der Nachricht, einem Anonymisieren von Werten des einen oder der mehreren sensiblen Felder innerhalb der Nachricht, während das vordefinierte strukturelle Format intakt bleibt, sowie einem Übertragen der anonymisierten Nachricht, die den einen oder die mehreren anonymisierten Werte enthält, wobei das strukturelle Format intakt bleibt, an das dienstbereitstellende Datenverarbeitungssystem enthält.
  • Bei einer weiteren Beispielausführungsform wird ein nicht flüchtiges, durch einen Computer lesbares Medium mit darauf gespeicherten Programmanweisungen bereitgestellt, die bei Ausführung einen Computer veranlassen, eines oder mehrere aus einem Empfangen einer von einer Client-Einheit übertragenen Nachricht, wobei die Nachricht ein vordefiniertes strukturelles Format zum Verarbeiten durch ein dienstbereitstellendes Datenverarbeitungssystem enthält, einem Ermitteln eines Typs der Nachricht und einem Erkennen eines oder mehrerer sensibler Felder innerhalb der Nachricht auf Grundlage des ermittelten Typs der Nachricht, einem Anonymisieren von Werten des einen oder der mehreren sensiblen Felder innerhalb der Nachricht, während das vordefinierte strukturelle Format intakt bleibt, sowie einem Übertragen der anonymisierten Nachricht, die den einen oder die mehreren anonymisierten Werte enthält, wobei das strukturelle Format intakt bleibt, an das dienstbereitstellende Datenverarbeitungssystem durchzuführen.
  • Bei einer Beispielausführungsform wird ein Datenverarbeitungssystem bereitgestellt, das eines oder mehrere aus einer Netzwerkschnittstelle, die eine von einem Proxy-System empfangene anonymisierte Nachricht empfangen kann, wobei die anonymisierte Nachricht ein vordefiniertes strukturelles Format, anonymisierte Werte, die in einem oder mehreren sensiblen Datenfeldern der Nachricht enthalten sind, und nicht identifizierende Werte in übrigen Datenfeldern der Nachricht enthält, sowie einen Prozessor enthält, der zu verarbeitende Daten aus den übrigen Datenfeldern in der Nachricht identifizieren und einen Prozess für die identifizierten Daten aus den übrigen Datenfeldern ausführen kann, ohne die anonymisierten Werte zu verwenden, die in dem einem oder den mehreren sensiblen Datenfeldern enthalten sind, um ein Verarbeitungsergebnis für die anonymisierte Nachricht zu erzeugen, wobei der Prozessor des Weiteren die Netzwerkschnittstelle steuern kann, um auf Grundlage des erzeugten Verarbeitungsergebnisses eine Antwortnachricht an das Proxy-System zu übertragen.
  • Bei einer weiteren Beispielausführungsform wird ein durch einen Computer realisiertes Verfahren bereitgestellt, das eines oder mehrere aus einem Empfangen einer von einem Proxy-System übertragenen anonymisierten Nachricht, wobei die anonymisierte Nachricht ein vordefiniertes strukturelles Format, anonymisierte Werte, die in einem oder mehreren sensiblen Datenfeldern der Nachricht enthalten sind, und nicht identifizierende Werte in übrigen Datenfeldern der Nachricht enthält, einem Identifizieren von zu verarbeitenden Daten aus den übrigen Datenfeldern in der Nachricht und einem Ausführen eines Prozesses für die identifizierten Daten aus den übrigen Datenfeldern, ohne die anonymisierten Werte zu verwenden, die in dem einem oder den mehreren sensiblen Datenfeldern enthalten sind, um ein Verarbeitungsergebnis für die anonymisierte Nachricht zu erzeugen, sowie einem Übertragen einer Antwortnachricht an das Proxy-System auf Grundlage des erzeugten Verarbeitungsergebnisses enthält.
  • Andere Merkmale und Änderungen können aus der folgenden Beschreibung in Zusammenhang mit den Zeichnungen und den Ansprüchen offensichtlich werden.
  • Figurenliste
  • Bevorzugte Ausführungsformen der vorliegenden Erfindung werden nun lediglich beispielhaft und mit Blick auf die folgenden Zeichnungen beschrieben:
    • 1 ist eine Darstellung, die ein Bereinigungssystem für eine öffentliche Host-Plattform gemäß einer Beispielausführungsform veranschaulicht.
    • 2 ist eine Darstellung, die einen Bereinigungs-Proxy veranschaulicht, der mit einem öffentlichen Cloud-Dienst gemäß einer Beispielausführungsform Daten austauscht.
    • 3 ist eine Darstellung, die einen Prozess eines Anonymisierens von sensiblen Client-Daten aus einer Nachricht gemäß einer Beispielausführungsform veranschaulicht.
    • 4 ist eine Darstellung, die ein Verfahren zum Bereinigen von Daten gemäß einer Beispielausführungsform veranschaulicht.
    • 5 ist eine Darstellung, die ein Verfahren zum Empfangen und Verarbeiten von bereinigten Daten gemäß einer Beispielausführungsform veranschaulicht.
    • 6 ist eine Darstellung, die ein Datenverarbeitungssystem gemäß einer Beispielausführungsform veranschaulicht.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Es dürfte offensichtlich sein, dass die Komponenten der vorliegenden Anmeldung, wie sie hier allgemein beschrieben und in den Figuren veranschaulicht werden, in einer großen Vielfalt von verschiedenen Konfigurationen angeordnet und konzipiert werden können. Die folgende ausführliche Beschreibung der Ausführungsformen von mindestens einem aus einem Verfahren, einer Vorrichtung, einem nicht flüchtigen, durch einen Computer lesbaren Medium und System, wie sie in den beigefügten Figuren dargestellt sind, ist somit nicht als Beschränkung des Geltungsumfangs der beanspruchten Anmeldung, sondern lediglich als repräsentativ für ausgewählte Ausführungsformen zu verstehen.
  • Die in dieser Patentschrift beschriebenen Merkmale, Strukturen oder Kennzeichen können in den Ausführungsformen auf jede geeignete Art und Weise miteinander kombiniert werden. Zusätzlich wird mit der Verwendung der Formulierungen wie „Beispielausführungsformen“, „manche Ausführungsformen“ oder ähnlicher Formulierungen in dieser Patentschrift kenntlich gemacht, dass ein bestimmtes Merkmal, eine bestimmte Struktur oder ein bestimmtes Kennzeichen, das bzw. die in Verbindung mit der Ausführungsform beschrieben wird, in mindestens einer Ausführungsform enthalten sein kann und nicht so zu verstehen ist, als sei es in anderen Ausführungsformen nicht vorhanden. Somit können Vorkommen der Formulierungen „Beispielausführungsformen“, „in manchen Ausführungsformen“, „in anderen Ausführungsformen“ oder ähnlicher Formulierungen verwendet werden, um sich auf dieselbe Gruppe von Ausführungsformen zu beziehen, und die beschriebenen Merkmale, Strukturen oder Kennzeichen können auf jede geeignete Art und Weise in einer oder mehreren Ausführungsformen miteinander kombiniert werden.
  • Obwohl in der Beschreibung von Ausführungsformen der Begriff „Nachricht“ verwendet werden kann, kann die Anmeldung auf viele Typen von Netzwerkdaten wie z.B. ein Paket, einen Datenrahmen, ein Datagramm usw. angewendet werden. Der Begriff „Nachricht“ oder „Anforderung“ kann ein Paket, einen Datenrahmen, ein Datagramm und jegliche Äquivalente hiervon enthalten. Obwohl in Beispielausführungsformen bestimmte Typen von Nachrichten und Signalanforderungen dargestellt werden können, sind diese des Weiteren nicht auf einen bestimmten Typ von Nachricht beschränkt, und die Anmeldung ist nicht auf einen bestimmten Typ von Signalübertragung beschränkt.
  • Die beschriebene Anmeldung bezieht sich auf ein Datenbereinigungssystem und im Besonderen auf ein Proxy-System eines privaten Netzwerks, das sensible personenbezogene Daten aus einer Nachricht entfernt, bevor die Nachricht an eine öffentliche Cloud übermittelt wird, wodurch die Sicherheit von persönlichen Daten von Benutzern des privaten Netzwerks verbessert wird. Zusätzlich stellen die Ausführungsformen auch ein Cloud-Dienstsystem bereit, das eine anonymisierte Nachricht mit anonymisierten Datenwerten in sensiblen Datenfeldern und nicht identifizierenden Werten in übrigen Datenfeldern empfängt. Das Cloud-Dienstsystem kann einen Dienst für Client-Daten aus den nicht identifizierenden Werten der Nachricht ausführen oder anderweitig durchführen und ein Verarbeitungsergebnis erzeugen. Darüber hinaus kann das Cloud-Dienstsystem auf Grundlage des Verarbeitungsergebnisses eine Antwortnachricht an das Proxy-System übertragen. In diesem Beispiel kann die Antwortnachricht die anonymisierten Datenwerte in den sensiblen Datenfeldern enthalten, ohne wie auch immer geartete personenbezogene Daten aufzuweisen. Der Proxy kann einen Schlüsselbezeichner verwenden, der innerhalb der anonymisierten sensiblen Datenfelder eingebettet ist, um die sensiblen Daten zu entschlüsseln, den Client zu ermitteln und das Verarbeitungsergebnis an ein entsprechendes Client-System zu übertragen.
  • Um Betrug und andere kriminelle Handlungen zu verhindern, sollten Organisationen, die Cloud-Dienste von Dritten für eine Datenverarbeitung und -speicherung verwenden, sicherstellen, dass die an die Cloud gesendeten Daten geschützt sind, wenn sie etwaige PII oder sensible Daten enthalten. Die Beispielausführungsformen stellen ein System zum Bereinigen von sensiblen oder personenbezogenen Daten (PII) für eine Datenverarbeitung und -speicherung in der öffentlichen Cloud bereit und ermöglichen Organisationen, Cloud-Dienste von Dritten zu verwenden, ohne das Risiko eines Offenlegens von sensiblen Daten wie z.B. PII-Daten einzugehen.
  • Verwandte Systeme können versuchen, alle Client-/Nachrichtendaten zu verschlüsseln, bevor die Daten an die Cloud gesendet werden. Dies kann eine akzeptable Lösung darstellen, wenn die Cloud lediglich zum Speichern und/oder gemeinsamen Nutzen der Daten durch die Parteien verwendet wird, die Zugriff auf die Entschlüsselungsschlüssel haben. Sie macht es etwaigen Cloud-Diensten von Dritten, die nicht über die Verschlüsselungsschlüssel verfügen, jedoch unmöglich, die Daten zu entschlüsseln und Datenoperationen durchzuführen. Darüber hinaus verschlüsselt diese Vorgehensweise alle Daten sogar dann, wenn nur ein kleiner Prozentsatz davon sensible Daten enthält, wodurch sich der Verarbeitungsaufwand erhöht. Andere verwandte Systeme können Entschlüsselungsserver in der Cloud unterhalten oder sich auf den Cloud-Diensteanbieter verlassen, um die Daten zu schützen, um für eine Verarbeitung Zugriff auf die Klartextdaten zu erhalten. Allerdings haben sie den Nachteil, dass einer weiteren Entität vertraut werden muss, die PII oder sensiblen Daten während einer Übertragung, Speicherung und Verarbeitung zu schützen, und dass die PII oder anderweitigen sensiblen Daten außerhalb der Organisation, zu der sie gehören, entschlüsselt werden können sowie, dass darauf zugegriffen werden kann.
  • Die Beispielausführungsformen richten sich auf ein System, das als ein Proxy zwischen den persönlichen Daten der Organisation und (z.B. öffentlichen) Cloud-Diensten von Dritten wirkt und selektiv nur die PII oder sensiblen Daten in dem Text oder den binären Daten anonymisiert (z.B. verschlüsselt, verbirgt usw.), bevor sie an die Cloud gesendet werden, ohne dabei die Struktur der Datennachricht/-felder zu ändern. Dies ermöglicht dem verwendeten Cloud-Dienst, die Daten korrekt zu verarbeiten, ohne dass ein wie auch immer geartetes Risiko eines Offenlegens der PII oder sensiblen Daten besteht. Das System ermöglicht außerdem ein Entschlüsseln der Daten, wenn Ergebnisse von dem Cloud-Dienst zurückerhalten werden, und stellt eine Art und Weise bereit, wie Verschlüsselungsschlüssel regelmäßig geändert werden können, um bewährten Sicherheitspraktiken zu entsprechen, während zugleich sichergestellt wird, dass Daten, die mit alten Schlüsseln bereits in der Cloud gespeichert sind, dennoch entschlüsselt werden können. Darüber hinaus kann der Proxy Teil eines privaten Netzwerks sein. Entsprechend verlassen in Klartext vorliegende PII und sensible Daten sowie die Schlüssel zum Verschlüsseln/Entschlüsseln der Daten unter Umständen nie das private Unternehmen, wodurch das Risiko eines Offenlegens von sensiblen Daten oder PII beim Verwenden der öffentlichen Cloud ausgeschaltet wird.
  • 1 veranschaulicht ein Bereinigungssystem 100 für eine öffentliche Host-Plattform gemäß einer Beispielausführungsform. Unter Bezugnahme auf 1 enthält das System 100 eine Mehrzahl von Client-Einheiten 110, die Teil eines privaten Netzwerks (z.B. eines Unternehmensressourcen-Netzwerks usw.) sein können, ein Proxy-System 120 und eine Mehrzahl von Host-Servern 130, die öffentliche Dienste wie z.B. öffentliche Dienste auf Cloud-Grundlage hosten, um eine Datenverarbeitung und Operationen für die öffentliche Cloud durchzuführen. Gemäß verschiedenen Ausführungsformen kann das Proxy-
    System 120 (z.B. der lokale Netzwerkserver) auch Teil des privaten Netzwerks mit den Client-Einheiten 110 sein, wobei Ausführungsformen jedoch nicht hierauf beschränkt sind. Während eines Datenübertragungsprozesses zwischen einer Client-Einheit 110 und einem Host-Server 130 kann das Proxy-System 120 eine durch die Client-Einheit 110 übertragene und für den Host-Server 130 gedachte Nachricht abfangen oder anderweitig empfangen und die Nachricht bereinigen, um sensible Client-Daten zu entfernen oder anderweitig zu anonymisieren. Als ein Ergebnis kann die Nachricht, die letztlich an den Host-Server5 130 gesendet wird, für den Host-Server 130 vollständig anonym sein. In dem Beispiel aus 1 wird ein einziges Proxy-System 120 gezeigt. Dabei sollte jedoch offensichtlich sein, dass das System 100 auch mehrere Proxy-Systeme 120 (z.B. auf verschiedenen lokalen Servern des privaten Netzwerks) enthalten kann, um verschiedenen Segmenten von Client-Einheiten 110 in dem privaten Netzwerk zu dienen.
  • Gemäß verschiedenen Ausführungsformen anonymisiert das Proxy-System 120 sensible Daten von dem Client, indem es eine Verschlüsselung eines Werts des Datenfelds durchführt, was in einem verschlüsselten Datenwert für das sensible Datenfeld resultiert. Darüber hinaus kann das Proxy-System 120 einen Schlüsselbezeichner des verwendeten Verschlüsselungsschlüssels zu dem verschlüsselten Datenwert (oder zu einer anderen Stelle in der Nachricht) hinzufügen, bevor die Nachricht an den Host-Dienst 130 übertragen wird. Der Host-Server 130 kann für die in der Nachricht enthaltenen, nicht identifizierenden Daten einen Dienst eines Dritten ausführen, ohne die anonymen Daten zu verwenden, und ein Verarbeitungsergebnis erzeugen. Darüber hinaus kann der Host-Server 130 auf Grundlage des Verarbeitungsergebnisses eine Antwortnachricht zurück an das Proxy-System 120 übertragen. Die Antwortnachricht kann die anonymisierten Datenwerte in den sensiblen Datenfeldern enthalten.
  • Als Antwort darauf kann das Proxy-System 120 die verschlüsselten Felder, die von dem durch den Host-Server 130 gehosteten Cloud-Dienst zurückerhalten werden, auf Grundlage des Schlüsselbezeichners entschlüsseln. Der Schlüsselbezeichner kann ein eindeutiger, privater Bezeichner für den zum Verschlüsseln der Daten verwendeten Verschlüsselungsschlüssel sein, der in den Daten enthalten ist, die an die Cloud gesendet werden. Der Schlüsselbezeichner wird durch das System verwendet, um den Entschlüsselungsschlüssel aufzufinden, der benötigt wird, um die von dem Cloud-Dienst zurückerhaltenen Daten zu entschlüsseln, enthält jedoch keinerlei Daten, mit denen ein Dritter den Entschlüsselungsschlüssel nachbilden könnte. Der Schlüsselbezeichner kann an das Nachrichtenfeld, das durch das Proxy-System 120 verschlüsselt wird, angehängt oder anderweitig zu diesem hinzugefügt werden, bevor das Proxy-System 120 die Daten an die Cloud sendet. Wenn eines der Felder in den Verarbeitungsergebnissen, die von dem Host-Server 130 des Cloud-Dienstes zurückerhalten werden, einen Schlüsselbezeichner enthält, kann das Proxy-System 120 daraus schließen, dass das Feld Daten enthält, die es verschlüsselt hat, findet unter Verwendung des Schlüsselbezeichners den korrekten Entschlüsselungsschlüssel auf und entschlüsselt das Feld, bevor es die Ergebnisse an die entsprechende Client-Einheit 110 weiterleitet, die auf den Cloud-Dienst zugreift.
  • Die Verwendung des Proxy-Systems 120 ermöglicht ein einfaches Ändern der für neue Daten verwendeten Verschlüsselungsschlüssel, während zugleich sichergestellt wird, dass mit den alten Schlüsseln bereits in der Cloud gespeicherte Daten auch dann noch entschlüsselt werden können, wenn der verwendete Cloud-Dienst kein Aktualisieren der Daten zulässt, nachdem diese gespeichert werden. In diesem Beispiel kann ein neuer Schlüsselbezeichner an die neu verschlüsselten Daten angehängt werden, während ältere, von dem Dienst empfangene Daten mit den alten Schlüsseln entschlüsselt werden, die anhand ihres Schlüsselbezeichners aufgefunden werden. Die alten Schlüssel können bis zu dem Ende der Datenaufbewahrungsfrist des verwendeten Cloud-Dienstes in dem Proxy-System 120 gespeichert werden. Wenn der Cloud-Dienst, der die Daten verarbeiten oder analysieren wird, strukturierte Daten mit einem vorbestimmten Format für die Felder erwartet, die verschlüsselt/bereinigt werden müssen, wird ein das Feldformat erhaltender Verschlüsselungsalgorithmus verwendet. In diesem Fall wird der Schlüsselbezeichner als ein zusätzliches Feld angehängt, oder ein bestehendes Feld, das nicht durch den verwendeten Cloud-Dienst verarbeitet wird, wird durch den Schlüsselbezeichner ersetzt.
  • 2 veranschaulicht einen Bereinigungs-Proxy, der mit einem öffentlichen Cloud-Dienst gemäß einer Beispielausführungsform Daten austauscht. In diesem Beispiel werden Client-Daten durch das Proxy-System 210 (das dem Proxy-System 120 aus 1 entspricht) abgefangen. Das Proxy-System 210 in diesem Beispiel enthält ein Codierer-/ Decodierermodul 211, einen Parser 212, ein Verschlüsselungs-/Entschlüsselungsmodul 213 und einen sicheren Schlüsselspeicher 214, der Verschlüsselungsschlüssel und eine Referenztabelle für Schlüsselbezeichner speichert. Das Proxy-System 210 ist nicht auf ein Bereinigen von Textformaten wie z.B. Textdokumente, HTML, XML, JSON, Protokolldaten, Ereignisse usw. beschränkt. Mithilfe von angepassten Codierer-/Decodierermodulen unterstützt es auch ein Bereinigen von binären Formaten wie verschiedene Dokumentenformate und NetFlow/IPFIX-Flussdaten.
  • Gemäß verschiedenen Ausführungsformen kann das Proxy-System 210 einen Datentyp der Nachricht ermitteln, den entsprechenden Decodierer 211 aufrufen und die decodierten Daten an den Parser 212 weiterleiten, um die PII und/oder andere sensible Datenfelder für eine Verschlüsselung zu identifizieren. Die sensiblen Datenfelder innerhalb der Nachricht werden dann durch das Verschlüsselungs-/Entschlüsselungsmodul 213 verschlüsselt und anschließend durch das Codierermodul 211 in dem ursprünglichen Format neu codiert und an den Cloud-Dienst weitergeleitet. Die weitergeleiteten Daten sind für den Cloud-Dienst 220 vollständig anonym, wobei die Datennachricht jedoch ein vordefiniertes strukturelles Format aufweist, das intakt bleibt, so dass der Cloud-Dienst 220 einen Software-Prozess für die übrigen Daten (d.h. die nicht identifizierenden Daten) ausführen kann, der die anonyme Nachricht beibehält. Zum Beispiel kann der Cloud-Dienst 220 einen Prozessor 222 enthalten, der eines/einen oder mehrere von in einem Speicher 224 gespeicherten Programme/Dienste für die anonymen Nachrichtendaten ausführt.
  • Darüber hinaus erzeugt der Cloud-Dienst 220 auf Grundlage des Verarbeitungsergebnisses eine Antwortnachricht, die dieselben anonymen Daten innerhalb der sensiblen Datenfelder enthält, und überträgt die Antwortnachricht an das Proxy-System 210. Einen ähnlichen Prozess verfolgt das Proxy-System 210 für die von dem Cloud-Dienst 220 empfangenen Daten, um die entschlüsselten Daten zu decodieren, zu entschlüsseln und erneut zu codieren. Das Proxy-System 210 kann eingebaute Codierer/Decodierer für gängige binäre Formate sowie die Fähigkeit bereitstellen, angepasste Codierer/Decodierer zu integrieren. Da das Proxy-System 210 Schlüsselbezeichner in dem sicheren Schlüsselspeicher 214 speichert, kann das Proxy-System 210 des Weiteren ein Nachrichtenfeld erkennen, das einen Schlüsselbezeichner enthält, und das Nachrichtenfeld auf Grundlage eines mit dem Schlüsselbezeichner verknüpften Entschlüsselungsschlüssels entschlüsseln, wodurch die personenbezogenen Daten des Client-Systems offenbart werden. Entsprechend kann das Proxy-System 210 das Verarbeitungsergebnis an das entsprechende Client-System weiterleiten.
  • In manchen Fällen kann das Proxy-System für die Datenbereinigung nur für Clients in dem Unternehmensnetzwerk verfügbar sein. Clients, die außerhalb des Unternehmensnetzwerks auf die Cloud-Dienste zugreifen, zum Beispiel auf einer mobilen Einheit während einer Reise, können den Cloud-Dienst zwar dennoch verwenden, sehen jedoch für die PII und die sensiblen Datenfelder lediglich verschlüsselte Werte. Die PII und sensiblen Daten im Klartext und die für die Verschlüsselung/Entschlüsselung verwendeten Schlüssel verlassen zu keiner Zeit das private Unternehmen. Hiermit kann sichergestellt werden, dass PII und sensible Daten nicht gegenüber einem öffentlichen Netzwerk oder Dienst offengelegt werden, während zugleich die Verwendung eines öffentlichen Dienstes gestattet wird, um die Daten zu verarbeiten, welche die PII oder sensiblen Daten enthalten.
  • Welche Felder als PII/sensibel betrachtet werden, kann durch den Administrator des Bereinigungs-Proxys konfigurierbar sein und kann auch Daten enthalten, die nicht als PII gelten, von der Organisation aber als sensibel betrachtet werden. Beispiele für sensible Daten enthalten Sozialversicherungsnummern, Mitarbeiternamen, Mitarbeiter-Telefonnummern, interne IP-Adressen usw. Auf Grundlage eines Typs von Cloud-Dienst, der durch den Cloud-Dienst 220 bereitgestellt wird, können sensible Daten außerdem auch von anderer Art sein. Nicht beschränkende Beispiele für Cloud-Dienste enthalten Cloud-Sicherheitsmakler, Analyseeinheiten für Cloud-Sicherheitsprotokolle, Archivierungseinheiten für Cloud-Protokolle, Analyseeinheiten für statistische Cloud-Daten, Cloud-Speicherdienste und dergleichen mehr. Die Client-Daten, die bereinigt werden, können in einem beliebigen Format vorliegen, beispielsweise als JSON, Text, xml, csv, Syslog, Windows-Sicherheitsereignisprotokolle, angepasstes Format usw. Das Bereinigungs-Proxy-System 210 muss das Format der von ihm verarbeiteten Daten nicht verstehen. Zusätzlich kann eine Datenübertragung zwischen dem Client, dem Proxy-System 210 und dem Cloud-Dienst 220 anhand des HTTP/HTTPS-Protokolls (Web-Anfragen) erfolgen, da dies das Protokoll ist, das von den meisten Cloud-Diensten verwendet wird.
  • Um die sensiblen Datenfelder zu erzeugen, kann der Proxy-Administrator reguläre Ausdrücke oder andere Daten konfigurieren, die einen Typ von Nachrichten identifizieren, der sensible Daten enthalten kann, und er konfiguriert innerhalb eines jeden Typs von Nachricht die regulären Ausdrücke, die mit den PII/sensiblen Feldern übereinstimmen. Wenn die Daten von dem Client eingehen, kann das Proxy-System 210 unter Verwendung der Konfiguration die Nachrichtentypen erkennen, die verarbeitet werden müssen. Der Proxy 210 kann dann die regulären Ausdrücke, die für den Typ von Nachricht konfiguriert wurden, anwenden und nur die übereinstimmenden sensiblen Felder ersetzen, ohne das Format der Daten zu ändern, und er leitet die Nachricht an den Cloud-Dienst 220 weiter. Bei manchen Ausführungsformen kann das Proxy-System 210 über standardmäßige reguläre Ausdrücke verfügen, die für gängige PII-Felder wie z.B. Telefonnummern, Sozialversicherungsnummern usw. bereits integriert sind, wobei der Administrator jedoch für jeden anderen Typ von Daten, die er bereinigt haben möchte, seine eigenen regulären Ausdrücke definieren kann.
  • 3 veranschaulicht einen Bereinigungsprozess eines Anonymisierens von sensiblen Client-Daten aus einer Nachricht gemäß einer Beispielausführungsform. In diesem Beispiel wird eine Ereignisprotokollnachricht 300A von einer Client-Einheit empfangen, und das Proxy-System erzeugt eine anonyme Nachricht 300B, wobei ein vordefiniertes strukturelles Format der Ereignisprotokollnachricht intakt bleibt. Im Besonderen verschlüsselt das Proxy-System Werte von sensiblen Datenfeldern wie z.B. Benutzername, Zieldomäne und Netzwerkadresse und fügt die verschlüsselten Werte in die anonyme Nachricht 300B ein. Zusätzlich fügt der Proxy für jedes sensible Datenfeld innerhalb des Felds an einem Ende eines verschlüsselten Werts einen Schlüsselbezeichner 311 hinzu. Allerdings sind die Ausführungsformen nicht hierauf beschränkt, und der Schlüsselbezeichner kann auch an einer anderen Stelle in der Nachricht eingefügt werden, z.B. in Kopfdaten oder in einem Feld, das für diesen Typ von Dienst nicht genutzt wird.
  • Zum Beispiel möchte eine Organisation womöglich einen Cloud-Sicherheitsmakler oder eine Sicherheitsprotokoll-Analyseeinheit verwenden, um ihre internen Protokolle auf etwaige Hinweise auf unbefugte Zugriffe oder verdächtige Aktivitäten zu analysieren. Die Organisation kann über WINDOWS®- und LINUX®-Einheiten verfügen, die Protokolle in einem WINDOWS®-Sicherheitsprotokoll-Format und einem LINUX®-Syslog-Format erzeugen. Somit kann die Organisation einen Cloud-Dienst einer Cloud-Protokoll-Analyseeinheit auswählen, der diese Formate unterstützt. Die Organisation kann die internen Protokoll-Erfassungseinheiten konfigurieren, um die Protokolle an den Cloud-Dienst zu senden, möchte jedoch unter Umständen sicherstellen, dass die PII und sensiblen Daten innerhalb der Protokolle nicht an die Cloud gesendet werden. Entsprechend kann das Bereinigungs-Proxy-System konfiguriert werden, um die Daten, die an die Cloud-Protokoll-Analyseeinheit gesendet werden, abzufangen und zu bereinigen, bevor es sie weiterleitet. Microsoft, Windows, Windows NT und das Windows-Logo sind Marken der Microsoft Corporation in den Vereinigten Staaten und/oder anderen Ländern.
  • Zum Beispiel fängt das Bereinigungssystem eine Protokollnachricht 300A zu einem Windows-Sicherheitsereignis ab, wie in 3 gezeigt wird. Hier ist das Bereinigungssystem konfiguriert, um WINDOWS®-Sicherheitsereignisprotokolle und LINUX®-Syslog-Protokolle zu erkennen. Das Proxy-System kann die Nachricht dann unter Verwendung seiner Konfiguration als eine Sicherheitsereignis-Protokollnachricht identifizieren. Das Proxy-System kann daraufhin prüfen, wie es mit diesem Typ von Nachricht zu verfahren hat. Der Proxy-Administrator hat eine Konfiguration vorgenommen, um unter Verwendung von regulären Ausdrücken, die diese Felder identifizieren, die Felder für Benutzernamen, Zieldomäne und Quell-Netzwerkadresse aus den Sicherheitsereignis-Protokollnachrichten zu entfernen. Das Bereinigungssystem verschlüsselt diese Felder, ohne das Format der ursprünglichen Nachricht zu ändern, so dass die Cloud-Protokoll-Analyseeinheit sie auch dann noch als ein Sicherheitsereignisprotokoll erkennen und verarbeiten kann. Der Proxy wandelt die Nachricht 300A in eine anonyme Nachricht 300B um. Dabei bleibt die Struktur der ursprünglichen Nachricht zwar intakt, die sensiblen Felder werden jedoch ersetzt. Zum Beispiel wird der Mitarbeitername hans.mueller durch einen verschlüsselten Wert/Hash-Wert ersetzt, und ein Schlüsselbezeichner PK789 des verwendeten Verschlüsselungsschlüssels wird an einem Ende des verschlüsselten Werts hinzugefügt.
  • Wenn der Cloud-Dienst ein Verarbeitungsergebnis erzeugt, kann er mit einer Nachricht antworten, die Daten zu dem Verarbeitungsergebnis sowie Hash-Werte/verschlüsselte Werte enthält, die entsprechend in der anonymen Nachricht 300B enthalten sind. Der Bereinigungs-Proxy kann diese Antwort von dem Cloud-Dienst abfangen und erkennt die Felder, die er verschlüsselt hat, findet den Verschlüsselungsschlüssel PK789 in seiner Referenztabelle auf, entschlüsselt und ersetzt die Felder, ohne die Datenstruktur zu verändern, und leitet die Nachricht an ihren Ziel-Client weiter.
  • Obwohl in 3 nicht gezeigt, kann der Cloud-Dienst in manchen Beispielen dazu verwendet werden, die Länge eines Felds oder das Format eines Felds zu überprüfen. In diesem Beispiel kann der Bereinigungs-Proxy konfiguriert werden, um eine formaterhaltende Verschlüsselung zu verwenden. Wenn die Cloud-Protokoll-Analyseeinheit zum Beispiel erwartet, dass der Wert des Felds „Quell-Netzwerkadresse“ im IP-Adressformat vorliegt, kann der Administrator des Bereinigungs-Proxys das System konfigurieren, um für das betreffende Feld einen formaterhaltenden Ersatz und für die anderen Felder einen standardmäßigen Verschlüsselungsersatz zu verwenden. Die Felder, die eine Formaterhaltung erfordern, werden unter Verwendung von formaterhaltenden Verschlüsselungsalgorithmen verschlüsselt, und der Verschlüsselungsbezeichner des Schlüssels kann in ein nicht genutztes Feld eingefügt oder als ein neues Feld an die Nachricht angehängt werden. Auch dies ist durch den Proxy-Administrator konfigurierbar.
  • Das Proxy-System kann für verschiedene Cloud-Dienste verschiedene Verschlüsselungsschlüssel verwenden. Wenn die Organisation zum Beispiel einen Cloud-Protokoll-Analyseeinheit-Dienst und einen weiteren statistischen Analyseeinheit-Dienst verwendet, können selbst dann für jeden Dienst verschiedene Schlüssel verwendet werden, wenn ein und dieselben Daten an beide Dienste gesendet werden. Die Schlüsselverwendung für die Nachrichten, die an einen einzigen Cloud-Dienst gesendet werden, ist zudem konfigurierbar. Alle Felder innerhalb der Nachrichten können denselben Schlüssel verwenden, oder bestimmte Felder können konfiguriert werden, um verschiedene Schlüssel zu verwenden. Allerdings können alle Felder ein und desselben Typs denselben Schlüssel verwenden, wenn eine Korrelation zwischen verschiedenen Nachrichten erforderlich ist. In dem obigen Beispiel werden alle Benutzernamensfelder mit dem Schlüssel PK789 verschlüsselt, alle Quell-Netzwerkadressfelder können jedoch mit PK790 verschlüsselt werden. Der Protokoll-Analyseeinheit-Dienst kann für einen Benutzer „hans.mueller“ „Zu viele Anmeldeversuche“ melden, nachdem er innerhalb einer bestimmten Zeitspanne zahlreiche Protokollnachrichten mit demselben Benutzernamen verzeichnet hat. Damit dies funktioniert, können alle Benutzernamensfelder für die bestimmte Zeitspanne mit demselben Schlüssel verschlüsselt werden. Außerdem können nach Ermessen des Proxy-Administrators für jeden Cloud-Dienst neue Schlüssel erzeugt werden. Alte Schlüssel können für die durch den Administrator konfigurierte Zeitspanne gespeichert werden, damit alte Daten entschlüsselt werden können.
  • 4 veranschaulicht ein Verfahren 400 für ein Bereinigen von Daten gemäß einer Beispielausführungsform. Zum Beispiel kann das Verfahren 400 durch ein Proxy-System wie das Proxy-System 120 durchgeführt werden, das in 1 gezeigt wird. Das Verfahren 400 kann außerdem durch eine Datenverarbeitungseinheit wie z.B. einen Server, eine Benutzereinheit, eine Cloud-Plattform oder Ähnliches durchgeführt werden. Das Verfahren 400 kann dazu verwendet werden, sensible Daten wie z.B. PII, die einen Benutzer, eine Benutzereinheit oder Ähnliches identifizieren können, zu verbergen, zu entfernen oder anderweitig unsichtbar zu machen. In 410 kann das Verfahren ein Empfangen einer von einer Client-Einheit übertragenen Nachricht enthalten. Zum Beispiel kann die Nachricht ein vordefiniertes strukturelles Format aufweisen, das durch einen Cloud-Dienst oder einen anderen öffentlichen Dienst verwendet wird, der in der Nachricht enthaltene Client-Daten verarbeitet. Der Cloud-Dienst kann zum Beispiel eine Unternehmensressourcen-Funktion oder dergleichen sein, die Client-Daten aus einem Unternehmensressourcen-Netzwerk verarbeitet. Dienste können Bestandsverwaltung, Einkauf, Finanzen, Personal und Ähnliches enthalten. Allerdings sind die Ausführungsformen nicht auf Unternehmensressourcen-Dienste beschränkt und können mit allen Diensten und Funktionen von Dritten verwendet werden.
  • In 420 kann das Verfahren ein Ermitteln eines Typs der Nachricht und ein Erkennen eines oder mehrerer sensibler Felder innerhalb der Nachricht auf Grundlage des ermittelten Typs der Nachricht enthalten. Zum Beispiel kann der Nachrichtentyp auf Grundlage eines Cloud-Dienstes aus einer Mehrzahl von Cloud-Diensten ermittelt werden, für den die Nachricht vorgesehen ist. Auf Grundlage der Funktionen, die durch den Dienst durchgeführt werden, kann jeder Dienst unterschiedliche Datenfelder innerhalb der Nachricht verwenden. Daher können auf Grundlage des durchgeführten Dienstes verschiedene PII in der Nachricht enthalten sein, die von der Client-Einheit empfangen wird. Auf Grundlage eines Typs des durchzuführenden Dienstes kann das in 420 durchgeführte Erkennen verschiedene PII-Felder innerhalb eines Hauptteils oder eines Inneren der Nachricht identifizieren.
  • In 430 kann das Verfahren ein Anonymisieren von Werten des einen oder der mehreren sensiblen Felder innerhalb der Nachricht, während das vordefinierte strukturelle Format intakt bleibt, und in 440 ein Übertragen der anonymisierten Nachricht, die das eine oder die mehreren anonymisierten sensiblen Felder enthält, wobei das vordefinierte strukturelle Format intakt bleibt, an das dienstbereitstellende Datenverarbeitungssystem enthalten. Zum Beispiel kann das Anonymisieren ein Verschlüsseln oder anderweitiges Verbergen der PII-Werte innerhalb des Inneren der Nachricht enthalten, während Werte von übrigen Feldern (d.h. die keine PII enthalten) innerhalb des Hauptteils der Nachricht intakt bleiben. Das Anonymisieren kann ein Verschlüsseln eines Werts eines sensiblen Felds unter Verwendung eines Verschlüsselungsschlüssels und ein Hinzufügen eines Schlüsselbezeichners des Verschlüsselungsschlüssels zu dem Hauptteil der Nachricht enthalten.
  • Gemäß verschiedenen Aspekten kann das Proxy-System einen Wert des Schlüsselbezeichners (z.B. einen alphanumerischen Wert) zu einem verschlüsselten Wert, der innerhalb des sensiblen Datenfelds der Nachricht gespeichert wird, hinzufügen (z.B. anhängen, nachstellen usw.) Um die Schlüsselbezeichner nachzuverfolgen, kann das Proxy-System eine Referenztabelle mit Schlüsselbezeichnern und entsprechenden Verschlüsselungsschlüsseln eines jeden Schlüsselbezeichners in einer Speichereinheit speichern. Entsprechend können die Daten das Proxy-System in einem vollständig anonymisierten Zustand verlassen, wobei die einzigen identifizierenden Daten der Schlüsselbezeichner des Verschlüsselungsschlüssels sind (der ausschließlich dem Proxy-System bekannt ist). Entsprechend ist ein Zugriff auf und eine Analyse der Nachrichtendaten durch einen Dritten wie z.B. einen öffentlichen Cloud-Dienst möglich, ohne personenbezogene Daten eines Clients zu enthüllen.
  • Obwohl in 4 nicht gezeigt, kann das Verfahren bei manchen Ausführungsformen des Weiteren ein Empfangen einer Antwortnachricht von dem dienstbereitstellenden Datenverarbeitungssystem enthalten, die ein Verarbeitungsergebnis des dienstbereitstellenden Datenverarbeitungssystems und das eine oder die mehreren anonymisierten sensiblen Datenfelder enthält. Als Reaktion darauf kann das Verfahren ein Entschlüsseln des einen oder der mehreren anonymisierten sensiblen Datenfelder, ein Ermitteln auf Grundlage der entschlüsselten sensiblen Datenfelder, dass die Client-Einheit dem Verarbeitungsergebnis zugehörig ist, und ein Übertragen des Verarbeitungsergebnisses an die Client-Einheit enthalten. Zum Beispiel kann das Verfahren auf die Referenztabelle mit der Korrelation zwischen Verschlüsselungsbezeichnern und Verschlüsselungsschlüsseln zurückgreifen.
  • 5 veranschaulicht ein Verfahren 500 für ein Empfangen und Verarbeiten von bereinigten Daten gemäß einer Beispielausführungsform. Zum Beispiel kann das Verfahren 500 durch einen Host eines öffentlichen Cloud-Dienstes wie z.B. eine in 1 gezeigte Host-Plattform 130 durchgeführt werden. Das Verfahren 500 kann außerdem durch eine Datenverarbeitungseinheit wie z.B. einen Server, eine Benutzereinheit, eine Cloud-Plattform oder Ähnliches durchgeführt werden. Unter Bezugnahme auf 5 kann das Verfahren in 510 ein Empfangen einer von einem Proxy-System übertragenen anonymisierten Nachricht enthalten. Zum Beispiel kann die anonymisierte Nachricht ein vordefiniertes strukturelles Format zum Verarbeiten durch einen Cloud-Dienst aufweisen und kann anonyme Daten, die ersatzweise in das eine oder die mehreren sensiblen Felder der Nachricht eingefügt wurden, sowie nicht identifizierende Datenwerte in anderen, übrigen Feldern enthalten. Zusätzlich kann die Nachricht auch Client-Daten zum Verarbeiten z.B. über einen öffentlichen Cloud-Dienst oder eine andere Anwendung von Dritten enthalten.
  • Zum Beispiel können das eine oder die mehreren sensiblen Felder mit anonymen Daten jeweils einen verschlüsselten Wert enthalten, der unter Verwendung eines Verschlüsselungsschlüssels verschlüsselt wird. Verschiedene Nachrichtenfelder können unter Verwendung verschiedener Schlüssel durch das Proxy-System verschlüsselt werden. Die Verschlüsselungsschlüssel können dem dienstverarbeitenden System unbekannt sein. Zusätzlich kann die Nachricht für jedes Feld, das verschlüsselt wurde, einen Schlüsselbezeichner enthalten. Der Schlüsselbezeichner kann den durch das Proxy-System verwendeten Verschlüsselungsschlüssel identifizieren. Gemäß verschiedenen Ausführungsformen entsprechen das eine oder die mehreren sensiblen Felder mit den anonymen Daten jeweils personenbezogenen Daten (PII) einer Client-Einheit.
  • In 520 kann das Verfahren ein Identifizieren von zu verarbeitenden Daten aus den übrigen Datenfeldern der Nachricht und ein Ausführen eines Prozesses für die identifizierten Daten aus den übrigen Feldern enthalten, ohne die anonymen Daten zu verwenden, um ein Verarbeitungsergebnis zu erzeugen. Zum Beispiel kann das Verarbeiten einen öffentlichen Cloud-Dienst wie z.B. einen ERP-Dienst (Enterprise Resource Planning, Geschäftsressourcenplanung) oder dergleichen für Daten ausführen, die innerhalb der Nachricht enthalten sind. In 530 kann das Verfahren ein Erzeugen und Übertragen einer Antwortnachricht, die das Verarbeitungsergebnis und das eine oder die mehreren sensiblen Felder mit anonymen Daten enthält, an das Proxy-System enthalten.
  • Die obigen Ausführungsformen können in Hardware, in einem Computerprogramm, das durch einen Prozessor ausgeführt wird, in Firmware oder in einer Kombination hiervon realisiert werden. Ein Computerprogramm kann auf einem durch einen Computer lesbaren Medium wie z.B. einem Speichermedium enthalten sein. So kann sich ein Computerprogramm zum Beispiel in einem Direktzugriffsspeicher (Random Access Memory, RAM), einem Flash-Speicher, einem Festwertspeicher (Read-Only Memory, ROM), einem löschbaren, programmierbaren Nur-Lese-Speicher (Erasable Programmable Read-Only Memory, EPROM), einem elektronisch löschbaren, programmierbaren Nur-Lese-Speicher (Electronically Erasable Programmable Read-Only Memory, EEPROM), in Registern, auf einer Festplatte, auf einer Wechselplatte, auf einem Compact Disk Read-Only Memory (CD-ROM) oder auf jeder anderen Form von Speichermedium befinden, die auf dem Fachgebiet bekannt ist.
  • Ein beispielhaftes Speichermedium kann mit dem Prozessor verbunden sein, so dass der Prozessor Daten von dem Speichermedium lesen und Daten auf das Speichermedium schreiben kann. Alternativ kann das Speichermedium ein fester Bestandteil des Prozessors sein. Der Prozessor und das Speichermedium können sich in einer anwendungsspezifischen integrierten Schaltung (Application-Specific Integrated Circuit, ASIC) befinden. Alternativ können der Prozessor und das Speichermedium als einzelne Komponenten angeordnet sein. 6 veranschaulicht zum Beispiel eine Beispiel-Computersystemarchitektur 600, die in jeder der oben beschriebenen Komponenten usw. vorhanden oder darin integriert sein kann. Das Computersystem 600 kann eine einzelne Einheit oder eine Kombination von Einheiten sein. Zum Beispiel kann das
    Computersystem 600 ein Blockchain-Knoten, eine Datenbank, ein Server, eine Cloud-Plattform, ein Netzwerk, eine Kombination hiervon und dergleichen mehr sein.
  • 6 ist nicht als eine wie auch immer geartete Beschränkung von Verwendungsumfang oder Funktionalität von Ausführungsformen der hier beschriebenen Anmeldung gedacht. Unabhängig davon kann das Datenverarbeitungssystem 600 (bzw. der Knoten 600) mit jeder beliebigen hier dargelegten Funktionalität realisiert werden und/oder diese durchführen.
  • In dem Datenverarbeitungsknoten 600 gibt es ein Computersystem/einen Server 602, das bzw. der mit zahlreichen anderen Universal- oder Spezial-Datenverarbeitungssystemumgebungen oder -konfigurationen betrieben werden kann. Ohne darauf beschränkt zu sein, sind Beispiele bekannter Datenverarbeitungssysteme, - umgebungen und/oder -konfigurationen, die für eine Verwendung mit einem Computersystem/Server 602 geeignet sein können, Personal-Computersysteme, Server-Computersysteme, Thin Clients, Thick Clients, Handheld- oder Laptop-Einheiten, Mehrprozessorsysteme, Systeme auf Grundlage von Mikroprozessoren, Set-Top-Boxen, programmierbare Unterhaltungselektronik, Netzwerk-PCs, Mini-Computersysteme, Mainframe-Computersysteme sowie verteilte Cloud-Computing-Umgebungen, die irgendeine/s der obigen Systeme oder Einheiten enthalten, und dergleichen.
  • Das Computersystem/der Server 602 lässt sich im allgemeinen Zusammenhang von Anweisungen beschreiben, die durch ein Computersystem ausführbar sind, wie z.B. Programmmodule, die durch ein Computersystem ausgeführt werden. Allgemein können Programmmodule Routinen, Programme, Objekte, Komponenten, Logik, Datenstrukturen usw. enthalten, die bestimmte Aufgaben durchführen oder bestimmte abstrakte Datentypen realisieren. Das Computersystem/der Server 602 kann in verteilten Cloud-Computing-Umgebungen eingesetzt werden, wo Aufgaben von entfernt angeordneten Verarbeitungseinheiten durchgeführt werden, die über ein Datenübertragungsnetzwerk verbunden sind. In einer verteilten Cloud-Computing-Umgebung können sich Programmmodule sowohl in lokalen als auch in entfernt angeordneten Computersystem-Speichermedien wie beispielsweise Arbeitsspeichereinheiten befinden.
  • In 6 wird das Computersystem/der Server 602 in dem Datenverarbeitungsknoten 600 als eine Universal-Datenverarbeitungseinheit gezeigt. Ohne darauf beschränkt zu sein, können die Komponenten des Computersystems/Servers 602 einen oder mehrere Prozessoren oder Verarbeitungseinheiten 604 (d.h. Prozessoren), einen Systemarbeitsspeicher 606 und einen Bus enthalten, der verschiedene Systemkomponenten wie z.B. den Systemarbeitsspeicher 606 mit dem Prozessor 604 verbindet. Der Datenverarbeitungsknoten 600 kann das in 1 gezeigte Proxy-System, das in 1 gezeigte Host-System 130 oder eine weitere Einheit bzw. eine Kombination von Einheiten sein, wie z.B. ein Server, eine Cloud-Plattform, eine Datenbank, eine Benutzereinheit und/oder Ähnliches. Der Datenverarbeitungsknoten 600 kann außerdem sowohl das in 4 gezeigte Verfahren 400 als auch/oder das in 5 gezeigte Verfahren durchführen
  • Der Bus steht für mindestens einen von mehreren Typen von Busstrukturen wie z.B. einen Speicherbus oder einen Arbeitsspeicher-Controller, einen Peripheriebus, einen Accelerated Graphics Port (AGP) und einen Prozessor oder lokalen Bus, wobei eine beliebige aus einer Vielfalt von Busarchitekturen verwendet werden kann. Beispielhaft und nicht als Beschränkung zu verstehen, enthalten derartige Architekturen einen ISA-Bus (Industry Standard Architecture), einen MCA-Bus (Micro Channel Architecture), einen EISA-Bus (Enhanced ISA), einen lokalen VESA-Bus (Video Electronics Standards Association) und einen PCI-Bus (Peripheral Component Interconnect).
  • Das Computersystem/der Server 602 enthält üblicherweise eine Vielfalt von Medien, die durch ein Computersystem lesbar sind. Derartige Medien können beliebige verfügbare Medien sein, auf die das Computersystem/der Server 602 zugreifen kann, und sowohl flüchtige als auch nicht flüchtige, entfernbare als auch nicht entfernbare Medien enthalten. Bei einer Ausführungsform realisiert ein Systemarbeitsspeicher 606 die Ablaufpläne der anderen Figuren. Der Systemarbeitsspeicher 606 kann ein durch ein Computersystem lesbares Medium in Form eines flüchtigen Arbeitsspeichers wie z.B. eines RAM 610 und/oder eines Cache-Arbeitsspeichers 612 enthalten. Das Computersystem/der Server 602 kann des Weiteren andere entfernbare/nicht entfernbare, flüchtige/nicht flüchtige Computersystem-Speichermedien enthalten. Nur um ein Beispiel zu geben, kann ein Speichersystem 614 zum Lesen von und Schreiben auf ein nicht entfernbares, nicht flüchtiges magnetisches Medium bereitgestellt werden (das nicht gezeigt und üblicherweise als eine „Festplatte“ bezeichnet wird). Obwohl hier nicht abgebildet, können ein Magnetplattenlaufwerk zum Lesen von und Schreiben auf eine entfernbare, nicht flüchtige Magnetplatte (z.B. eine Diskette) sowie ein optisches Plattenlaufwerk zum Lesen von oder Schreiben auf eine entfernbare, nicht flüchtige optische Platte wie z.B. ein CD-ROM, ein DVD-ROM oder ein anderes optisches Medium bereitgestellt werden. In diesen Fällen kann jedes Laufwerk über ein oder mehrere Datenmedienschnittstellen mit dem Bus verbunden sein. Wie weiter unten ausführlicher dargestellt und beschrieben, kann der Arbeitsspeicher 606 mindestens ein Programmprodukt mit einem Satz von (z.B. mindestens einem) Programmmodulen enthalten, wobei diese so konfiguriert sind, dass sie die Funktionen verschiedener Ausführungsformen der Anmeldung durchführen.
  • Ein Programm/Dienstprogramm 616 mit einem Satz von (mindestens einem) Programmmodulen 618 kann beispielsweise und ohne als Beschränkung verstanden zu werden im Arbeitsspeicher 606 gespeichert werden, ebenso wie ein Betriebssystem, ein oder mehrere Anwendungsprogramme, andere Programmmodule und Programmdaten. Das Betriebssystem, das eine oder die mehreren Anwendungsprogramme, die anderen Programmmodule und die Programmdaten oder eine Kombination hiervon können jeweils eine Realisierung einer Netzwerkumgebung enthalten. Die Programmmodule 618 führen im Allgemeinen die Funktionen und/oder Verfahrensweisen von verschiedenen Ausführungsformen der hier beschriebenen Anmeldung aus.
  • Der Fachmann weiß, dass Aspekte der vorliegenden Anmeldung als ein System, Verfahren oder Computerprogrammprodukt ausgeführt werden können. Entsprechend können Aspekte der vorliegenden Anmeldung in Gestalt einer vollständig in Hardware realisierten Ausführungsform, einer vollständig in Software realisierten Ausführungsform (z.B. Firmware, residente Software, Mikrocode usw.) oder in Gestalt einer Ausführungsform vorliegen, die Software- und Hardware-Aspekte vereint, welche zusammenfassend als „Schaltung“, „Modul“ oder „System“ bezeichnet werden können. Des Weiteren können Aspekte der vorliegenden Anmeldung in Gestalt eines Computerprogrammprodukts vorliegen, das in einem oder mehreren durch einen Computer lesbaren Medien enthalten ist, auf dem bzw. denen durch einen Computer lesbarer Programmcode enthalten ist.
  • Das Computersystem/der Server 602 kann zudem mit einer oder mehreren externen Einheiten 620 Daten austauschen, z.B. mit einer Tastatur, einer Zeigeeinheit, einer Anzeige 622 usw.; mit einer oder mehreren Einheiten, die einem Benutzer gestatten, mit dem Computersystem/Server 602 zu interagieren; und/oder mit beliebigen Einheiten (z.B. Netzwerkkarte, Modem usw.), die dem Computersystem/Server 602 ermöglichen, mit einer oder mehreren anderen Datenübertragungseinheiten Daten auszutauschen. Eine solche Datenübertragung kann über E/A-Schnittstellen 624 erfolgen. Des Weiteren kann das Computersystem/der Server 602 über einen (auch als eine Netzwerkschnittstelle bezeichneten) Netzwerkadapter 626 mit einem oder mehreren Netzwerken Daten austauschen, z.B. mit einem lokalen Netzwerk (Local Area Network, LAN), einem Weitverkehrsnetzwerk (Wide Area Network, WAN) und/oder einem öffentlichen Netzwerk (z.B. dem Internet). Wie abgebildet, tauscht der Netzwerkadapter 626 über einen Bus Daten mit den anderen Komponenten des Computersystems/Servers 602 aus. Dabei sollte klar sein, dass - obwohl hier nicht abgebildet - auch andere Hardware- und/oder Software-Komponenten in Verbindung mit dem Computersystem/Server 602 verwendet werden können. Beispiele hierfür sind, ohne darauf beschränkt zu sein, Mikrocode, Einheitentreiber, redundante Verarbeitungseinheiten, externe Plattenlaufwerksstapel, RAID-Systeme, Bandlaufwerke und Datenarchivierungsspeichersysteme usw.
  • Gemäß verschiedenen Ausführungsformen kann der Prozessor 604 eine von einer Client-Einheit übertragene Nachricht empfangen. Die Nachricht kann von einer mit dem Datenverarbeitungssystem 602 verbundenen Client-Einheit über ein Netzwerk (z.B. die Netzwerkschnittstelle 626) übertragen werden. Das Netzwerk kann ein lokales Netzwerk, ein privates Netzwerk, ein Unternehmensressourcen-Netzwerk, ein öffentliches Netzwerk oder Ähnliches sein. Die Nachricht kann ein vordefiniertes strukturelles Format enthalten, das durch spezifische Felder definiert wird, die zum Verarbeiten durch ein dienstbereitstellendes Datenverarbeitungssystem wie z.B. einen öffentlichen Cloud-Dienst verwendet werden. Abhängig von dem zu verwendenden Cloud-Dienst kann die Nachricht verschiedene ausgefüllte Felder mit sensiblen Daten aufweisen (z.B. PII, interne Organisationsdaten usw.). Der Prozessor 606 kann einen Typ der Nachricht ermitteln und auf Grundlage des ermittelten Typs der Nachricht ein oder mehrere sensible Felder innerhalb der Nachricht erkennen. Das Weiteren kann der Prozessor 606 Werte des einen oder der mehreren sensiblen Felder innerhalb der Nachricht anonymisieren, während das vordefinierte strukturelle Format intakt bleibt, um eine anonymisierte Nachricht zu erzeugen. Die Netzwerkschnittstelle 626 kann die anonymisierte Nachricht an das dienstbereitstellende Datenverarbeitungssystem übertragen.
  • Bei manchen Ausführungsformen kann der Prozessor 606 eine in dem Speicher 604 gespeicherte Referenztabelle verwalten, die eine Verknüpfung zwischen Schlüsselbezeichnern und entsprechenden Verschlüsselungsschlüsseln eines jeden Schlüsselbezeichners enthält. Wenn das Datenübertragungssystem 602 die anonymisierte Nachricht an den Cloud-Dienst überträgt, weist die anonymisierte Nachricht keine identifizierenden Daten auf, die einen Client oder eine Client-Einheit identifizieren, der bzw. die die Nachricht übertragen hat. Hier kann der Proxy die Daten der Nachricht vollständig anonymisieren (z.B. PII verschlüsseln). Damit der Proxy die Nachricht verschlüsseln kann, wenn eine Antwort von dem Cloud-Dienst zurückgegeben wird, kann der Prozessor 606 einen Schlüsselbezeichner in den verschlüsselten Datenwert, der in dem Nachrichtenfeld enthalten ist, einbetten oder auf andere Weise zu diesem hinzufügen. Dieser Schlüsselbezeichner hat für den Cloud-Dienst womöglich keine Bedeutung, kann durch das Proxy-System jedoch zum Entschlüsseln der PII verwendet werden, wenn eine Antwortnachricht mit den verschlüsselten Werten zurückgegeben wird. Darüber hinaus kann das Proxy-System die Nachricht mit dem Verarbeitungsergebnis auf Grundlage der entschlüsselten PII an die Client-Einheit übermitteln.
  • Gemäß verschiedenen anderen Ausführungsformen kann das Datenverarbeitungssystem einem Host-Server eines öffentlichen Cloud-Dienstes entsprechen. In diesem Beispiel kann die Netzwerkschnittstelle 626 eine von einem Proxy-System übertragene anonymisierte Nachricht empfangen. Zum Beispiel kann die anonymisierte Nachricht ein vordefiniertes strukturelles Format, in einem oder mehreren sensiblen Datenfeldern der Nachricht enthaltene anonymisierte Werte und nicht identifizierende Werte in übrigen Datenfeldern der Nachricht enthalten. Der Prozessor 604 kann zu verarbeitende Daten aus den übrigen Datenfeldern in der Nachricht identifizieren und einen Prozess für die identifizierten Daten aus den übrigen Datenfeldern durchführen, ohne die anonymen Werte zu verwenden, die in dem einen oder den mehreren sensiblen Datenfeldern enthalten sind, um ein Verarbeitungsergebnis für die anonymisierte Nachricht zu erzeugen. Darüber hinaus kann die Netzwerkschnittstelle 626 auf Grundlage des erzeugten Verarbeitungsergebnisses eine Antwortnachricht an das Proxy-System übertragen.
  • Obwohl eine beispielhafte Ausführungsform von mindestens einem System, Verfahren und nicht flüchtigem, durch einen Computer lesbaren Medium in den beigefügten Zeichnungen veranschaulicht und in der obigen ausführlichen Beschreibung beschrieben wurde, sollte klar sein, dass die Anmeldung nicht auf die offenbarten Ausführungsformen beschränkt ist, sondern für zahlreiche Umgestaltungen, Änderungen und Ersetzungen geeignet ist, wie sie durch die folgenden Ansprüche dargelegt und definiert werden. Zum Beispiel können die Fähigkeiten des Systems der verschiedenen Figuren durch eine(s) oder mehrere der hier beschriebenen Module oder Komponenten oder aber in einer verteilten Architektur durchgeführt werden und einen Sender, einen Empfänger oder ein aus beidem bestehendes Paar enthalten. Zum Beispiel kann die gesamte oder ein Teil der durch die einzelnen Module durchgeführten Funktionalität durch eines oder mehrere dieser Module durchgeführt werden. Des Weiteren kann die hier beschriebene Funktionalität zu verschiedenen Zeiten und in Verbindung mit verschiedenen Ereignissen durchgeführt werden, die innerhalb oder außerhalb der Module oder Komponenten auftreten können. Außerdem können die zwischen verschiedenen Modulen gesendeten Daten über mindestens eines der folgenden Elemente zwischen den Modulen gesendet werden: ein Datennetzwerk, das Internet, ein Sprachnetzwerk, ein Internet-Protokoll-Netzwerk, eine drahtlose Einheit, eine drahtgebundene Einheit und/oder über eine Mehrzahl von Protokollen. Zudem können die durch eines der Module gesendeten oder empfangenen Nachrichten direkt und/oder über eines oder mehrere der anderen Module gesendet oder empfangen werden.
  • Für einen Fachmann dürfte klar sein, dass ein „System“ als ein Personal Computer, ein Server, eine Konsole, ein persönlicher digitaler Assistent (PDA), ein Mobiltelefon, eine Tablet-Datenverarbeitungseinheit, ein Smartphone oder eine beliebige andere geeignete Datenverarbeitungseinheit oder aber als eine Kombination von Einheiten ausgeführt werden kann. Die Darlegung der oben beschriebenen Funktionen als durch ein „System“ durchgeführt soll keinerlei Beschränkung des Geltungsumfangs der vorliegenden Erfindung beabsichtigen, sondern ist so zu verstehen, dass sie lediglich ein Beispiel von vielen Ausführungsformen bereitstellt. Tatsächlich können hier offenbarte Verfahren, Systeme und Vorrichtungen in an einem Ort zusammengeführten und verteilten Formen realisiert werden, die mit Datenverarbeitungstechnologie im Einklang stehen.
  • Zu erwähnen ist, dass manche der in dieser Patentschrift beschriebenen Systemmerkmale als Module dargelegt wurden, um ihre Realisierungsunabhängigkeit besonders hervorzuheben. So kann ein Modul zum Beispiel als eine Hardware-Schaltung realisiert werden, die angepasste VLSI-Schaltungen (Very Large Scale Integration, Integration in sehr großem Maßstab) oder Gate-Arrays, vorgefertigte Halbleiter wie Logikchips, Transistoren oder andere einzelne Komponenten aufweist. Ein Modul kann auch als programmierbare Hardware-Einheiten wie z.B. Field-Programmable-Gate-Arrays, programmierbare Array-Logik, programmierbare Logikeinheiten, Grafikprozessoren oder Ähnliches realisiert werden.
  • Ein Modul kann mindestens teilweise auch in Software realisiert werden, um durch verschiedene Typen von Prozessoren ausgeführt zu werden. Eine bestimmte Einheit von ausführbarem Code kann zum Beispiel einen oder mehrere physische oder logische Blöcke von Computeranweisungen aufweisen, die zum Beispiel als ein Objekt, eine Prozedur oder eine Funktion organisiert sein können. Dessen ungeachtet muss der ausführbare Code eines identifizierten Moduls nicht physisch an einer gemeinsamen Stelle vorliegen, sondern kann unterschiedliche Anweisungen aufweisen, die an verschiedenen Stellen gespeichert werden und die, wenn sie logisch miteinander verbunden werden, das Modul aufweisen und den vorgesehenen Zweck des Moduls erzielen. Des Weiteren können Module in einem durch einen Computer lesbaren Medium gespeichert werden, wobei es sich zum Beispiel um ein Festplattenlaufwerk, eine Flash-Einheit, einen RAM, ein Band oder ein anderes derartiges Medium handeln kann, das zum Speichern von Daten verwendet wird.
  • Tatsächlich kann ein Modul von ausführbarem Code eine einzige Anweisung oder viele Anweisungen sein und sogar auf mehrere verschiedene Codesegmente, auf verschiedene Programme und auf mehrere Speichereinheiten verteilt sein. Entsprechend können Betriebsdaten hier innerhalb von Modulen identifiziert und veranschaulicht werden und können in jeder geeigneten Form realisiert und innerhalb jedes geeigneten Typs von Datenstruktur organisiert sein. Dabei können die Betriebsdaten als ein einziger Datensatz zusammengestellt werden, oder sie können auf verschiedene Stellen, darunter verschiedene Speichereinheiten, verteilt werden, und sie können zumindest teilweise lediglich als elektronische Signale in einem System oder Netzwerk vorhanden sein.
  • Es dürfte offensichtlich sein, dass die Komponenten der Anmeldung, wie sie hier allgemein beschrieben und in den Figuren veranschaulicht werden, in einer großen Vielfalt von verschiedenen Konfigurationen angeordnet und konzipiert werden können. Die ausführliche Beschreibung der Ausführungsformen ist daher nicht als Beschränkung des Geltungsumfangs der beanspruchten Anmeldung, sondern lediglich als repräsentativ für ausgewählte Ausführungsformen der Anmeldung zu verstehen.
  • Für einen Fachmann dürfte klar sein, dass die obigen Lehren mit einer anderen Reihenfolge von Schritten und/oder mit Hardware-Elementen in Konfigurationen praktisch umsetzbar sind, die sich von den offenbarten unterscheiden. Obwohl die Anmeldung auf Grundlage dieser bevorzugten Ausführungsformen beschrieben wurde, sollte für den Fachmann daher offensichtlich sein, dass bestimmte Änderungen, Abwandlungen und alternative Bauweisen möglich sind.

Claims (25)

  1. Datenverarbeitungssystem, aufweisend: einen Prozessor, der konfiguriert ist, um eine von einer Client-Einheit übertragene Nachricht zu empfangen, wobei die Nachricht ein vordefiniertes strukturelles Format zum Verarbeiten durch ein dienstbereitstellendes Datenverarbeitungssystem aufweist, einen Typ der Nachricht zu ermitteln und auf Grundlage des ermittelten Typs der Nachricht ein oder mehrere sensible Felder innerhalb der Nachricht zu erkennen sowie Werte des einen oder der mehreren sensiblen Felder innerhalb der Nachricht zu anonymisieren, während das vordefinierte strukturelle Format intakt bleibt; und eine Netzwerkschnittstelle, die konfiguriert ist, um die anonymisierte Nachricht, die den einen oder die mehreren anonymisierten Werte enthält, an das dienstbereitstellende Datenverarbeitungssystem zu übertragen, wobei das vordefinierte strukturelle Format intakt bleibt.
  2. Datenverarbeitungssystem nach Anspruch 1, wobei der Prozessor konfiguriert ist, um ein oder mehrere Felder innerhalb eines Hauptteils der Nachricht zu erkennen, die PII-Werte (Personally Identifiable Information, personenbezogene Daten) enthalten, und die PII-Werte zu anonymisieren, während Werte von übrigen Feldern innerhalb des Hauptteils der Nachricht intakt bleiben.
  3. Datenverarbeitungssystem nach Anspruch 1, wobei der Prozessor konfiguriert ist, um einen Wert eines sensiblen Felds unter Verwendung eines Verschlüsselungsschlüssels zu verschlüsseln und einen Schlüsselbezeichner des Verschlüsselungsschlüssels zu der Nachricht hinzuzufügen.
  4. Datenverarbeitungssystem nach Anspruch 3, wobei der Schlüsselbezeichner einen alphanumerischen Wert aufweist und der Prozessor konfiguriert ist, um den Schlüsselbezeichner an einen verschlüsselten Wert des sensiblen Felds anzuhängen.
  5. Datenverarbeitungssystem nach Anspruch 3, wobei der Prozessor des Weiteren konfiguriert ist, um eine Referenztabelle mit Schlüsselbezeichnern und entsprechenden Verschlüsselungsschlüsseln eines jeden Schlüsselbezeichners in einer Speichereinheit zu speichern.
  6. Datenverarbeitungssystem nach Anspruch 1, wobei die Netzwerkschnittstelle des Weiteren konfiguriert ist, um eine Antwortnachricht von dem dienstbereitstellenden Datenverarbeitungssystem zu empfangen, wobei die Antwortnachricht ein Verarbeitungsergebnis des dienstbereitstellenden Datenverarbeitungssystems und den einen oder die mehreren anonymisierten Werte enthält.
  7. Datenverarbeitungssystem nach Anspruch 6, wobei der Prozessor des Weiteren konfiguriert ist, um den einen oder die mehreren anonymisierten Werte zu entschlüsseln, auf Grundlage der entschlüsselten Werte zu ermitteln, dass die Client-Einheit dem Verarbeitungsergebnis zugehörig ist, und das Verarbeitungsergebnis an die Client-Einheit zu übertragen.
  8. Durch einen Computer realisiertes Verfahren, aufweisend: ein Empfangen einer von einer Client-Einheit übertragenen Nachricht, wobei die Nachricht ein vordefiniertes strukturelles Format zum Verarbeiten durch ein dienstbereitstellendes Datenverarbeitungssystem aufweist; ein Ermitteln eines Typs der Nachricht und auf Grundlage des ermittelten Typs der Nachricht ein Erkennen eines oder mehrerer sensibler Felder innerhalb der Nachricht; ein Anonymisieren von Werten des einen oder der mehreren sensiblen Felder innerhalb der Nachricht, während das vordefinierte strukturelle Format intakt bleibt; und ein Übertragen der anonymisierten Nachricht, die den einen oder die mehreren anonymisierten Werte enthält, an das dienstbereitstellende Datenverarbeitungssystem, wobei das vordefinierte strukturelle Format intakt bleibt.
  9. Durch einen Computer realisiertes Verfahren nach Anspruch 8, wobei das Erkennen ein Erkennen eines oder mehrerer Felder innerhalb eines Hauptteils der Nachricht, die PII-Werte (personenbezogene Daten) enthalten, durch den Prozessor aufweist und wobei das Anonymisieren ein Anonymisieren der PII-Werte durch das Proxy-System aufweist, während Werte von übrigen Feldern innerhalb des Hauptteils der Nachricht intakt bleiben.
  10. Durch einen Computer realisiertes Verfahren nach Anspruch 8, wobei das Anonymisieren ein Verschlüsseln eines Werts eines sensiblen Felds unter Verwendung eines Verschlüsselungsschlüssels und ein Hinzufügen eines Schlüsselbezeichners des Verschlüsselungsschlüssels zu der Nachricht aufweist.
  11. Durch einen Computer realisiertes Verfahren nach Anspruch 10, wobei der Schlüsselbezeichner einen alphanumerischen Wert aufweist und das Hinzufügen ein Anhängen des Schlüsselbezeichners an einen verschlüsselten Wert des sensiblen Felds aufweist.
  12. Durch einen Computer realisiertes Verfahren nach Anspruch 10, wobei das Verfahren des Weiteren ein Speichern einer Referenztabelle mit Schlüsselbezeichnern und entsprechenden Verschlüsselungsschlüsseln eines jeden Schlüsselbezeichners in einer Speichereinheit aufweist.
  13. Durch einen Computer realisiertes Verfahren nach Anspruch 8, wobei das Verfahren des Weiteren ein Empfangen einer Antwortnachricht von dem dienstbereitstellenden Datenverarbeitungssystem aufweist, wobei die Antwortnachricht ein Verarbeitungsergebnis des dienstbereitstellenden Datenverarbeitungssystems und den einen oder die mehreren anonymisierten Werte enthält.
  14. Durch einen Computer realisiertes Verfahren nach Anspruch 13, wobei das Verfahren des Weiteren ein Entschlüsseln des einen oder der mehreren anonymisierten Werte, ein Ermitteln, dass die Client-Einheit dem Verarbeitungsergebnis auf Grundlage der entschlüsselten Werte zugehörig ist, und ein Übertragen des Verarbeitungsergebnisses an die Client-Einheit aufweist.
  15. Dienstbereitstellendes Datenverarbeitungssystem, aufweisend: eine Netzwerkschnittstelle, die konfiguriert ist, um eine von einem Proxy-System übertragene anonymisierte Nachricht zu empfangen, wobei die anonymisierte Nachricht ein vordefiniertes strukturelles Format, in einem oder mehreren sensiblen Datenfeldern der Nachricht enthaltene anonymisierte Werte und nicht identifizierende Werte in übrigen Datenfeldern der Nachricht aufweist; und einen Prozessor, der konfiguriert ist, um zu verarbeitende Daten aus den übrigen Datenfeldern in der Nachricht zu identifizieren und einen Prozess für die identifizierten Daten aus den übrigen Datenfeldern auszuführen, ohne die anonymen Werte zu verwenden, die in dem einen oder den mehreren sensiblen Datenfeldern enthalten sind, um ein Verarbeitungsergebnis für die anonymisierte Nachricht zu erzeugen, wobei der Prozessor des Weiteren konfiguriert ist, um die Netzwerkschnittstelle zu steuern, um auf Grundlage des erzeugten Verarbeitungsergebnisses eine Antwortnachricht an das Proxy-System übertragen.
  16. Dienstbereitstellendes Datenverarbeitungssystem nach Anspruch 15, wobei die in einem sensiblen Datenfeld enthaltenen anonymisierten Daten einen verschlüsselten Wert aufweisen, der unter Verwendung eines Verschlüsselungsschlüssels verschlüsselt wurde.
  17. Dienstbereitstellendes Datenverarbeitungssystem nach Anspruch 16, wobei die in dem sensiblen Datenfeld enthaltenen anonymisierten Daten des Weiteren einen Schlüsselbezeichner des Verschlüsselungsschlüssels aufweisen, der zu dem verschlüsselten Wert hinzugefügt wird.
  18. Dienstbereitstellendes Datenverarbeitungssystem nach Anspruch 15, wobei die sensiblen Datenfelder personenbezogenen Daten (PII) entsprechen.
  19. Dienstbereitstellendes Datenverarbeitungssystem nach Anspruch 15, wobei die Antwortnachricht die anonymisierten Werte in einem oder mehreren sensiblen Datenfeldern der Antwortnachricht enthält.
  20. Durch einen Computer realisiertes Verfahren, aufweisend: ein Empfangen einer von einem Proxy-System übertragenen anonymisierten Nachricht, wobei die anonymisierte Nachricht ein vordefiniertes strukturelles Format, in einem oder mehreren sensiblen Datenfeldern der Nachricht enthaltene anonymisierte Werte und nicht identifizierende Werte in übrigen Datenfeldern der Nachricht aufweist; ein Identifizieren von zu verarbeitende Daten aus den übrigen Datenfeldern in der Nachricht und ein Ausführen eines Prozesses für die identifizierten Daten aus den übrigen Datenfeldern, ohne die anonymen Werte zu verwenden, die in dem einen oder den mehreren sensiblen Datenfeldern enthalten sind, um ein Verarbeitungsergebnis für die anonymisierte Nachricht zu erzeugen; und ein Übertragen einer Antwortnachricht an das Proxy-System auf Grundlage des erzeugten Verarbeitungsergebnisses.
  21. Durch einen Computer realisiertes Verfahren nach Anspruch 20, wobei die in einem sensiblen Datenfeld enthaltenen anonymisierten Daten einen verschlüsselten Wert aufweisen, der unter Verwendung eines Verschlüsselungsschlüssels verschlüsselt wurde.
  22. Durch einen Computer realisiertes Verfahren nach Anspruch 21, wobei die in dem sensiblen Datenfeld enthaltenen anonymisierten Daten des Weiteren einen Schlüsselbezeichner des Verschlüsselungsschlüssels aufweisen, der zu dem verschlüsselten Wert hinzugefügt wird.
  23. Durch einen Computer realisiertes Verfahren nach Anspruch 20, wobei die sensiblen Datenfelder personenbezogenen Daten (PII) entsprechen.
  24. Durch einen Computer realisiertes Verfahren nach Anspruch 20, wobei die Antwortnachricht die anonymisierten Werte in einem oder mehreren sensiblen Datenfeldern der Antwortnachricht enthält.
  25. Nicht flüchtiges, durch einen Computer lesbares Medium mit darauf gespeicherten Programmanweisungen, das bei Ausführung einen Computer veranlasst, ein Verfahren durchzuführen, aufweisend: ein Empfangen einer von einer Client-Einheit übertragenen Nachricht, wobei die Nachricht ein vordefiniertes strukturelles Format zum Verarbeiten durch ein dienstbereitstellendes Datenverarbeitungssystem aufweist; ein Ermitteln eines Typs der Nachricht und auf Grundlage des ermittelten Typs der Nachricht ein Erkennen eines oder mehrerer sensibler Felder innerhalb der Nachricht; ein Anonymisieren von Werten des einen oder der mehreren sensiblen Felder innerhalb der Nachricht, während das vordefinierte strukturelle Format intakt bleibt; und ein Übertragen der anonymisierten Nachricht, die den einen oder die mehreren anonymisierten Werte enthält, an das dienstbereitstellende Datenverarbeitungssystem, wobei das vordefinierte strukturelle Format intakt bleibt.
DE112018005628.7T 2017-12-19 2018-12-14 Datenbereinigungssystem für eine öffentliche Host-Plattform Pending DE112018005628T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/847,790 2017-12-19
US15/847,790 US10333902B1 (en) 2017-12-19 2017-12-19 Data sanitization system for public host platform
PCT/IB2018/060098 WO2019123167A1 (en) 2017-12-19 2018-12-14 Data sanitization system for public host platform

Publications (1)

Publication Number Publication Date
DE112018005628T5 true DE112018005628T5 (de) 2020-07-23

Family

ID=66816578

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018005628.7T Pending DE112018005628T5 (de) 2017-12-19 2018-12-14 Datenbereinigungssystem für eine öffentliche Host-Plattform

Country Status (6)

Country Link
US (3) US10333902B1 (de)
JP (1) JP7182340B2 (de)
CN (1) CN111356981B (de)
DE (1) DE112018005628T5 (de)
GB (1) GB2584558A (de)
WO (1) WO2019123167A1 (de)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11036885B1 (en) * 2018-01-06 2021-06-15 Very Good Security, Inc. System and method for identifying, storing, transmitting, and operating on data securely
US11843719B1 (en) * 2018-03-30 2023-12-12 8X8, Inc. Analysis of customer interaction metrics from digital voice data in a data-communication server system
US10776508B2 (en) * 2018-07-13 2020-09-15 Bank Of America Corporation Holistic and secure resource provisioning gateway system
US11477197B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Sidecar architecture for stateless proxying to databases
US11477217B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Intruder detection for a network
US11606358B2 (en) 2018-09-18 2023-03-14 Cyral Inc. Tokenization and encryption of sensitive data
US20220038433A1 (en) * 2018-09-21 2022-02-03 Nokia Technologies Oy Method and apparatus for secure messaging between network functions
KR20210082194A (ko) * 2018-10-19 2021-07-02 디지털 에셋 (스위츠랜드) 게엠베하 프라이버시 보호 유효성 검사 및 커밋 아키텍처
US11030350B2 (en) * 2018-11-29 2021-06-08 Visa International Service Association System, method, and apparatus for securely outputting sensitive information
US11170128B2 (en) * 2019-02-27 2021-11-09 Bank Of America Corporation Information security using blockchains
US11803481B2 (en) * 2019-02-28 2023-10-31 Hewlett Packard Enterprise Development Lp Data anonymization for a document editor
US11409906B2 (en) 2019-10-03 2022-08-09 Accenture Global Solutions Limited Privacy-secure edge-zone digital identity computing for open-loop pixel-state control
EP3800912B1 (de) 2019-10-03 2023-07-19 Accenture Global Solutions Limited Datenschutzsicheres edge-zone computing zur autorisierung sicherer operationen
US10917401B1 (en) * 2020-03-24 2021-02-09 Imperva, Inc. Data leakage prevention over application programming interface
US11960623B2 (en) * 2020-03-27 2024-04-16 EMC IP Holding Company LLC Intelligent and reversible data masking of computing environment information shared with external systems
US11822690B1 (en) * 2021-01-25 2023-11-21 Amazon Technologies, Inc. Data egress validation
US11924169B1 (en) 2021-01-29 2024-03-05 Joinesty, Inc. Configuring a system for selectively obfuscating data transmitted between servers and end-user devices
US20230016069A1 (en) * 2021-07-09 2023-01-19 Vmware, Inc. Device data-at-rest security using extended volume encryption data
KR102570616B1 (ko) * 2021-07-15 2023-08-23 주식회사 카카오 단말에서 비식별키를 생성하는 방법, 그리고 이를 구현한 서버 및 단말
CN113434893B (zh) * 2021-07-19 2024-03-22 首都医科大学宣武医院 一种用于保护用户隐私的咨询服务提供方法及系统
US11763803B1 (en) * 2021-07-28 2023-09-19 Asapp, Inc. System, method, and computer program for extracting utterances corresponding to a user problem statement in a conversation between a human agent and a user
CN113992359A (zh) * 2021-09-30 2022-01-28 上海数禾信息科技有限公司 用户信息的加密控制方法、装置、计算机设备和存储介质
WO2024005679A1 (en) * 2022-06-29 2024-01-04 Telefonaktiebolaget Lm Ericsson (Publ) Indicating personal data in an http message

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7757278B2 (en) * 2001-01-04 2010-07-13 Safenet, Inc. Method and apparatus for transparent encryption
JP2007172521A (ja) 2005-12-26 2007-07-05 Hitachi Software Eng Co Ltd ダイレクトメール配信システム
US9355273B2 (en) * 2006-12-18 2016-05-31 Bank Of America, N.A., As Collateral Agent System and method for the protection and de-identification of health care data
US8539597B2 (en) 2010-09-16 2013-09-17 International Business Machines Corporation Securing sensitive data for cloud computing
US9202078B2 (en) * 2011-05-27 2015-12-01 International Business Machines Corporation Data perturbation and anonymization using one way hash
US8938613B2 (en) 2012-05-31 2015-01-20 Novell, Inc. Techniques for secure message offloading
US9317715B2 (en) * 2012-08-24 2016-04-19 Sap Se Data protection compliant deletion of personally identifiable information
US20150026462A1 (en) * 2013-03-15 2015-01-22 Dataguise, Inc. Method and system for access-controlled decryption in big data stores
JP6089881B2 (ja) 2013-03-28 2017-03-08 富士通株式会社 データ検索方法、データ追加更新方法、データ検索プログラムおよび中継装置
US9129133B2 (en) * 2013-11-01 2015-09-08 Anonos, Inc. Dynamic de-identification and anonymity
JP2015090993A (ja) 2013-11-05 2015-05-11 エヌ・ティ・ティ・ソフトウェア株式会社 暗号制御装置、暗号制御方法、及びプログラム
JP6364287B2 (ja) 2014-09-04 2018-07-25 株式会社富士通ソーシアルサイエンスラボラトリ データ秘匿・復元装置、方法およびプログラム、データ秘匿・復元システム、ならびに帳票作成装置
US10601781B2 (en) 2015-10-12 2020-03-24 Servicenow, Inc. Selective encryption delineation
US10320761B2 (en) 2015-11-02 2019-06-11 Servicenow, Inc. Selective encryption configuration
US10326772B2 (en) * 2015-11-20 2019-06-18 Symantec Corporation Systems and methods for anonymizing log entries
US10805273B2 (en) 2016-04-01 2020-10-13 Egnyte, Inc. Systems for improving performance and security in a cloud computing system
US20170305437A1 (en) * 2016-04-26 2017-10-26 Google Inc. Crowd-sourced vehicle setting recommendations
CN107257499B (zh) * 2017-07-21 2018-09-18 安徽大学 一种视频推荐系统中的隐私保护方法和视频推荐方法

Also Published As

Publication number Publication date
US20190190890A1 (en) 2019-06-20
WO2019123167A1 (en) 2019-06-27
US10523638B2 (en) 2019-12-31
CN111356981A (zh) 2020-06-30
GB2584558A (en) 2020-12-09
US20190215309A1 (en) 2019-07-11
GB202010953D0 (en) 2020-09-02
US11895094B2 (en) 2024-02-06
JP7182340B2 (ja) 2022-12-02
US10333902B1 (en) 2019-06-25
US20200084184A1 (en) 2020-03-12
JP2021508394A (ja) 2021-03-04
CN111356981B (zh) 2024-03-12

Similar Documents

Publication Publication Date Title
DE112018005628T5 (de) Datenbereinigungssystem für eine öffentliche Host-Plattform
DE112016004274B4 (de) Systeme und Verfahren zur Datenverlustvermeidung unter Wahrung von Vertraulichkeit
DE112012002541B4 (de) Einer Warteschlangenumgebung für Anforderung/Antwort-Nachrichten zugehörige dynamische Datenschutzrichtlinien
DE112018003825T5 (de) Blockchain-berechtigungsprüfung mittels hard/soft-token-überprüfung
EP3033855B1 (de) Unterstützung einer entschlüsselung von verschlüsselten daten
DE102018106682A1 (de) Bereitstellen einer out-of-band-verifizierung für blockchain-transaktionen
DE102011077218B4 (de) Zugriff auf in einer Cloud gespeicherte Daten
EP3031226B1 (de) Unterstützung der nutzung eines geheimen schlüssels
DE202016007854U1 (de) Speichern eines entschlüsselten Nachrichtenkörpers und Schlüssel, der für die Verschlüsselung und Entschlüsselung eines Nachrichtenkörpers verwendet wird
DE102016100494A1 (de) Sichere Identitätsauthentifizierung in einer elektronischen Transaktion
DE112011100182T5 (de) Transaktionsprüfung für Datensicherheitsvorrichtungen
DE112014000584T5 (de) Erreichen von Speichereffizienz bei durchgängiger Verschlüsselung unter Verwendung von nachgelagerten (Downstream-)Decryptern
DE102012220716A1 (de) Verfahren, Datenverarbeitungsvorrichtung und Programm zum Identifizieren vertraulicher Daten
DE112020005075T5 (de) Effiziente schwellenwertspeicherung von datenobjekten
DE102015122518A1 (de) Authentifizierung von Datenkommunikationen
DE112010003149T5 (de) Gemeinschaftliche Verschlüsselung und Entschlüsselung durch Agenten
DE102013221159B3 (de) Verfahren und System zum manipulationssicheren Bereitstellen mehrerer digitaler Zertifikate für mehrere öffentliche Schlüssel eines Geräts
DE112021001671T5 (de) Netzübergreifendes bereitstellen von identitäten
DE112021002053T5 (de) Verrauschte Transaktion zum Schutz von Daten
DE112021002201T5 (de) Datenschutzorientierte Datensicherheit in einer Cloud-Umgebung
DE112020000752T5 (de) Sicherer Zugriff auf gespeicherte Datendateien unter Verwendung von Tokens, die in optischen Codes codiert sind
DE102021205259A1 (de) Erstellung von beschränkten mobilen konten
DE10146361A1 (de) Vorrichtung und Verfahren zur Etablierung einer Sicherheitspolitik in einem verteilten System
DE112021006165T5 (de) Schlüsselwiederherstellung in einem blockchain-netzwerk mit oprf
DE102010037326A1 (de) Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R084 Declaration of willingness to licence