DE112019003808T5 - Zweckspezifische Zugriffssteuerung auf Grundlage einer Datenverschlüsselung - Google Patents

Zweckspezifische Zugriffssteuerung auf Grundlage einer Datenverschlüsselung Download PDF

Info

Publication number
DE112019003808T5
DE112019003808T5 DE112019003808.7T DE112019003808T DE112019003808T5 DE 112019003808 T5 DE112019003808 T5 DE 112019003808T5 DE 112019003808 T DE112019003808 T DE 112019003808T DE 112019003808 T5 DE112019003808 T5 DE 112019003808T5
Authority
DE
Germany
Prior art keywords
data
encrypted
decryption key
consumers
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112019003808.7T
Other languages
English (en)
Other versions
DE112019003808B4 (de
Inventor
Sima Nadler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE112019003808T5 publication Critical patent/DE112019003808T5/de
Application granted granted Critical
Publication of DE112019003808B4 publication Critical patent/DE112019003808B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

Ein Verfahren, eine Vorrichtung und ein Produkt für eine zweckspezifische Zugriffssteuerung auf Grundlage einer Datenverschlüsselung. Das Verfahren weist auf: Verfügen über Daten einer betroffenen Person, wobei eine Genehmigung zur Nutzung der Daten für einen Zweck bereitgestellt wird; Gewinnen eines dem Zweck zugehörigen Verschlüsselungsschlüssels, wobei ein Entschlüsselungsschlüssel zum Entschlüsseln von mit dem Verschlüsselungsschlüssel verschlüsselten Informationen erforderlich ist; Verschlüsseln der Daten mithilfe des Verschlüsselungsschlüssels, wodurch auf dem Zweck beruhend verschlüsselte Daten gewonnen werden, die mit dem Zweck codiert sind, für den die Daten verwendet werden können; und Ermöglichen eines Zugriffs auf die auf dem Zweck beruhend verschlüsselten Daten für einen oder mehrere Datenkonsumenten, wodurch der Zugriff auf die Daten durch Entschlüsseln der auf dem Zweck beruhend verschlüsselten Daten mithilfe des Entschlüsselungsschlüssels zu erlangen ist, der für Datenkonsumenten verfügbar ist, die für den Zweck zertifiziert sind.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Offenbarung bezieht sich allgemein auf den Datenschutz und im Besonderen auf eine Steuerung und Verwaltung eines Datenzugriffs in Übereinstimmung mit berechtigten Nutzungszwecken.
  • HINTERGRUND
  • In einer Vielzahl von praktischen Anwendungen und Alltagsszenarien können vertrauliche Informationen gesammelt, gespeichert, übertragen und verwendet werden, was zu verschiedenen Bedenken hinsichtlich des Datenschutzes oder der Privatsphäre führt. Bei den vertraulichen Informationen kann es sich zum Beispiel um personenbezogene Informationen, die entweder allein oder zusammen mit sonstigen Informationen ermöglichen, eine einzelne Person oder ein Individuum im Kontext zu erkennen oder zu finden, oder um anderweitig sensible Informationen wie zum Beispiel medizinische oder finanzielle Daten handeln, die die davon betroffene Person möglicherweise vertraulich behandeln möchte. Mit dem Aufkommen der sogenannten Datenautobahn und der Allgegenwärtigkeit von Technologien wie zum Beispiel dem Internet der Dinge (Internet-of-Things, loT), Wearable-Sensor-Systemen und ebenfalls netzwerkfähigen Einheiten kann es immer häufiger vorkommen, dass private Daten an einem Ort erzeugt und an einen anderen Ort oder sogar an eine andere Entität zum Verarbeiten oder zur weiteren Nutzung übertragen werden. So kann zum Beispiel ein Blutzuckermessgerät den Blutzuckerspiegel eines Patienten verfolgen und die Messwerte zur Überwachung und Behandlung an ein Gesundheitszentrum übertragen, oder ein Bordcomputer kann Telemetriesignale an ein entfernt angeordnetes Verkehrsverwaltungssystem weiterleiten, um die Routenplanung und die Sicherheit des Fahrers zu verbessern. Damit wachsen eine Sorge und ein Risiko, dass private Daten unberechtigt verwendet werden, zum Beispiel durch einen unberechtigten Dritten oder für unberechtigte Zwecke, sogar durch eine selbe Entität, die möglicherweise für einen deklarierten Zweck einen berechtigten Zugriff auf die Daten erlangt, diesen dann aber womöglich für sonstige, nicht damit zusammenhängende Zwecke nutzt.
  • KURZDARSTELLUNG
  • Eine beispielhafte Ausführungsform des offenbarten Gegenstands ist ein Verfahren, das aufweist: Verfügen über Daten einer betroffenen Person, Gewinnen eines dem Zweck zugehörigen Verschlüsselungsschlüssels, Verschlüsseln der Daten mithilfe des Verschlüsselungsschlüssels, Ermöglichen eines Zugriffs auf die auf dem Zweck beruhend verschlüsselten Daten für einen oder mehrere Datenkonsumenten.
  • Eine weitere beispielhafte Ausführungsform des offenbarten Gegenstands ist ein Verfahren, das aufweist: Gewinnen von auf einem Zweck beruhend verschlüsselten Daten, die Daten verschlüsseln, Entschlüsseln der auf einem Zweck beruhend verschlüsselten Daten mithilfe eines dem Zweck zugehörigen Entschlüsselungsschlüssels und Verwenden der Daten durch einen Datenkonsumenten.
  • Bei einer noch weiteren beispielhaften Ausführungsform des offenbarten Gegenstands handelt es sich um eine computerunterstützte Vorrichtung mit einem Prozessor und einem verbundenen Speicher, wobei der Prozessor dazu gestaltet ist, durchzuführen: Verfügen über Daten einer betroffenen Person, wobei eine Genehmigung zur Nutzung der Daten für einen Zweck bereitgestellt wird; Gewinnen eines dem Zweck zugehörigen Verschlüsselungsschlüssels, wobei ein Entschlüsselungsschlüssel zum Entschlüsseln von mit dem Verschlüsselungsschlüssel verschlüsselten Informationen erforderlich ist; Verschlüsseln der Daten mithilfe des Verschlüsselungsschlüssels, wodurch auf dem Zweck beruhend verschlüsselte Daten gewonnen werden, die mit dem Zweck codiert sind, für den die Daten verwendet werden können; Ermöglichen eines Zugriffs auf die auf dem Zweck beruhend verschlüsselten Daten für einen oder mehrere Datenkonsumenten, wodurch der Zugriff auf die Daten durch Entschlüsseln der auf dem Zweck beruhend verschlüsselten Daten mithilfe des Entschlüsselungsschlüssels zu erlangen ist, der für Datenkonsumenten verfügbar ist, die für den Zweck zertifiziert sind.
  • Figurenliste
  • Der vorliegende offenbarte Gegenstand wird anhand der folgenden ausführlichen Beschreibung in Verbindung mit den Zeichnungen, in denen entsprechende oder ähnliche Ziffern oder Zeichen entsprechende oder ähnliche Komponenten bezeichnen, besser verständlich und nachvollziehbar. Sofern nicht anders angegeben, stellen die Zeichnungen beispielhafte Ausführungsformen oder Aspekte der Offenbarung bereit und schränken den Umfang der Offenbarung nicht ein. In den Zeichnungen:
    • stellen die 1A bis 1C eine schematische Veranschaulichung beispielhafter Umgebungen und einer beispielhaften Architektur, in denen der offenbarte Gegenstand eingesetzt werden kann, gemäß einigen beispielhaften Ausführungsformen des offenbarten Gegenstands dar;
    • stellt 2 einen Ablaufplan eines Verfahrens gemäß einigen beispielhaften Ausführungsformen des offenbarten Gegenstands dar; und
    • stellt 3 einen Ablaufplan eines Verfahrens gemäß einigen beispielhaften Ausführungsformen des offenbarten Gegenstands dar.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Ein technisches Problem, mit dem sich der offenbarte Gegenstand befasst, ist der Schutz von Daten vor unberechtigtem Zugriff oder unberechtigter Verwendung. Eine von den Daten oder von gesetzlichen oder Unternehmensrichtlinien betroffene Person kann angeben, (1) für welchen Zweck die Daten verwendet werden dürfen, (2) welche Entitäten (Datenkonsumenten) die Daten verwenden dürfen oder (3) für welche Kombination aus Zweck und Entität (Datenkonsument) die Daten verwendet werden dürfen. Ein Zugriff durch eine unberechtigte Entität oder eine Nutzung für einen unberechtigten Zweck sollte verhindert werden. Beispielsweise kann ein Patient eine Verwendung von durch ein Blutzuckermessgerät erfassten Daten für einen medizinischen Zweck, z.B. eine Behandlung von Diabetes, genehmigen, nicht jedoch für einen gewerblichen Zweck wie etwa gezielte Werbung zum Kauf von Insulinprodukten oder dergleichen. In ähnlicher Weise kann ein Benutzer eines Mobiltelefons zustimmen, dass Geodaten durch Navigationsdienste gesammelt und verwendet werden, nicht jedoch durch Werbedienste, zur Überwachung von Versicherungspolicen, zur Strafverfolgung oder dergleichen. In ähnlicher Weise können Datennutzungsrichtlinien oder Gesetze vorschreiben, für welche Zwecke personenbezogene Daten verwendet werden dürfen.
  • Zusätzlich oder alternativ kann eine weitere Einschränkung einer Vertraulichkeitsstufe bei der Einhaltung des Datenschutzes des Datenkonsumenten, des geographischen Standorts des Datenkonsumenten oder dergleichen zugehörig sein.
  • Ein noch weiteres technisches Problem besteht darin, einen Datenzugriff durch vertrauenswürdige Software zu ermöglichen, die auf nicht vertrauenswürdigen Maschinen oder mithilfe von nicht vertrauenswürdiger Drittanbieter-Software ausgeführt wird.
  • Ein noch weiteres technisches Problem, mit dem sich der offenbarte Gegenstand befasst, ist eine Einsparung von Datenverarbeitungs- und Speicher-Ressourcen, die bei einer Durchsetzung von Datenschutz- und Nutzungsberechtigungsrichtlinien verwendet werden.
  • Eine technische Lösung besteht darin, eine auf einem Zweck beruhende Datenverschlüsselung und -entschlüsselung einzusetzen und einen Zugriff auf die Daten für einen berechtigten Zweck in verschlüsselter Form bereitzustellen, so dass sie nur von Akteuren entschlüsselt werden können, von denen angenommen wird, dass sie den berechtigen Nutzungszweck einhalten.
  • Eine weitere technische Lösung besteht darin, eine Datenverschlüsselung und - entschlüsselung auf Grundlage einer kombinierten Zweck- und Entitäts-ID (Datenkonsument) einzusetzen und einen Zugriff auf die Daten für den spezifischen Datenkonsumenten nur für den spezifischen Zweck bereitzustellen.
  • Bei einigen beispielhaften Ausführungsformen kann eine Verteilung von auf einem Zweck beruhenden Verschlüsselungs- und Entschlüsselungsschlüsseln sowie eine Einrichtung und Verwaltung einer/eines geeigneten Zwecktaxonomie und -registers durch einen spezialisierten behördlichen Akteur durchgeführt werden, der hierin als Zweckzertifizierungsstelle (Purpose Certification Authority, PCA) bezeichnet wird, die ein PCA-Modul einsetzen kann. Beispielsweise kann das PCA-Modul für jeden erkannten Datennutzungszweck ein Tupel (Purpose_ID, Purpose_Enc_Key, Purpose_Dec_Key) erzeugen und verwalten, wobei Purpose_ID (Zweck_ID) den Zweck eindeutig kennzeichnet (z.B. ein(e) zugewiesene(r) Seriennummer oder Code), Purpose_Enc_Key (Zweck_Verschlüsselungs_Schlüssel) dazu dient, Informationen zu verschlüsseln, deren Verwendung nur auf diesen Zweck beschränkt sein soll, und Purpose_Dec_Key (Zweck_Entschlüsselungs-Schlüssel) dazu dient, mit Purpose_Enc_Key verschlüsselte Informationen zu entschlüsseln. Im Besonderen kann nur eine Entität, die im Besitz von Purpose_Dec_Key ist, in der Lage sein, die mit Purpose_Enc_Key verschlüsselten Informationen zu entschlüsseln.
  • Bei einigen beispielhaften Ausführungsformen können die auf einem Zweck beruhenden Verschlüsselungs- und Entschlüsselungsschlüssel, Purpose_Enc_Key und Purpose_Dec_Key, ein öffentlich-privates Schlüsselpaar in einem asymmetrischen Verschlüsselungssystem wie zum Beispiel den Verschlüsselungsschemata mit öffentlichem Schlüssel von RSA, EIGamal oder dergleichen sein. Im Zusammenhang mit der vorliegenden Offenbarung kann ein Verschlüsselungsschlüssel auch austauschbar als öffentlicher Schlüssel bezeichnet werden, und in ähnlicher Weise kann ein Entschlüsselungsschlüssel auch austauschbar als privater Schlüssel bezeichnet werden.
  • Bei einigen beispielhaften Ausführungsformen kann die PCA die Einhaltung einer Datennutzungsrichtlinie durch die Akteure zertifizieren und überwachen. Die PCA kann eine Mehrzahl von registrierten Entitäten verwalten, von denen eine oder mehrere Datenanbieter und die anderen Datenverarbeiter sind. Das PCA-Modul kann für jeden berechtigten Zweck einen öffentlichen Schlüssel und einen privaten Schlüssel verwalten. Das PCA-Modul kann die einem Zweck zugehörigen öffentlichen Schlüssel an die Datenanbieter verteilen, um einem Datenanbieter zu ermöglichen, zweckspezifische Informationen mithilfe des öffentlichen Schlüssels des Zwecks zu verschlüsseln, und kann Datenverarbeitern einen Schlüssel zum Entschlüsseln der Informationen für den angegebenen Zweck, d.h., den privaten Schlüssel des Zwecks, erteilen, wobei das PCA-Modul in der Lage sein kann sicherzustellen, dass ein Datenverarbeiter, dem der private Schlüssel erteilt wurde, die entschlüsselten Informationen nur für den angegebenen Zweck verwendet. Die Zertifizierung und Durchsetzung der Zweckeinhaltung der Datenverarbeiter durch die PCA kann ähnlich durchgeführt werden, wie in der US-Patentanmeldung Nr. 15/276 815 mit dem Titel „Digital certificate for verifying application purpose of data usage“, eingereicht am 27. September 2016, und/oder in der US-Patentanmeldung Nr. 15/397 753 mit dem Titel „Purpose-Based Control of Data Used by Computer Software Applications“, eingereicht am 4. Januar 2017, beschrieben, die beide in vollem Umfang durch Bezugnahme eingeschlossen sind, ohne dass dies zu einer Ablehnung führt.
  • Bei einigen beispielhaften Ausführungsformen kann jeder Datenverarbeiter mit seinem eigenen individuellen öffentlich-privaten Schlüsselpaar ausgestattet sein, das ermöglicht, Informationen so zu verschlüsseln, dass nur der Datenverarbeiter sie entschlüsseln kann. Das PCA-Modul kann den eigenen öffentlichen Schlüssel des Datenverarbeiters verwenden, um einen privaten Schlüssel eines Zwecks, der diesem erteilt worden ist, zu verschlüsseln, um eine widerrechtliche Verwendung des privaten Schlüssels durch unberechtigte Entitäten zu verhindern. Das PCA-Modul kann für eine Erzeugung, Verteilung und Verwaltung von individuellen Schlüsseln, Zweckschlüsseln oder dergleichen zuständig sein. Das PCA-Modul kann darüber hinaus einen Ablauf von Schlüsseln und eine Verteilung von neuen Schlüsseln verwalten, wenn zum Beispiel bei einer verarbeitenden Entität ein Verstoß festgestellt worden ist, wodurch die Verwendung personenbezogener Daten für einen bestimmten Zweck verhindert wird.
  • Bei einigen beispielhaften Ausführungsformen kann die Berechtigung zum Verwenden von Daten für einen spezifischen Zweck zusammen mit zusätzlichen konjunktiven Einschränkungen erteilt werden. Beispielsweise kann die Berechtigung für einen spezifischen Datenkonsumenten zusätzlich zu der Anforderung eingeschränkt werden, dass die Daten für einen spezifischen Zweck verwendet werden. Um solche Einschränkungen durchzusetzen, kann ein Verbundschlüssel, der sowohl aus dem eigenen öffentlichen Schlüssel des Datenverarbeiters als auch aus dem öffentlichen Schlüssel des Zwecks besteht, verwendet werden, um Informationen zu verschlüsseln, die für diese Verwendung an den Datenverarbeiter gerichtet sind. Dementsprechend kann ein „Box-in-a-Box“-Verschlüsselungsansatz angewendet werden, bei dem Informationen zunächst mit dem öffentlichen Schlüssel des Zwecks verschlüsselt und dann mit dem eigenen öffentlichen Schlüssel des Datenverarbeiters erneut verschlüsselt werden können. Zusätzliche konjunktive Einschränkungen können zusätzlich oder anstelle der Berechtigung eines spezifischen Datenkonsumenten eingesetzt werden. Bei der konjunktiven Einschränkung kann es sich zum Beispiel um eine Einschränkung handeln, dass der Datenkonsument mit einer Bewertung oberhalb eines Mindestschwellenwerts eingestuft wurde. Jeder Datenkonsument kann danach eingestuft werden, wie gut er Datenschutzanforderungen einhält oder wie datenschutzfreundlich seine Datenschutzrichtlinien sind oder dergleichen. Beispielsweise kann jeder Datenkonsument durch die PCA mit einer Bewertung zwischen 0 und 1 bewertet werden. Die Nutzung der Daten kann auf einen Datenkonsumenten beschränkt werden, der eine Bewertung von mindestens 0,6 aufweist. Zum Verschlüsseln der Daten kann ein Verbundschlüssel verwendet werden, der auf dem auf einem Zweck beruhenden Schlüssel beruht und auf einem Verschlüsselungsschlüssel beruht, der dem Mindestschwellenwert von 0,6 zugehörig ist. Der Datenkonsument, der eine Bewertung von 0,6 oder mehr aufweist, kann Zugriff auf einen Entschlüsselungsschlüssel haben, der dem Mindestschwellenwert von 0,6 zugehörig ist, und kann ihn dazu verwenden, die Daten zu entschlüsseln, wenn er für den berechtigten Zweck zertifiziert ist. Als noch weiteres Beispiel kann es sich bei der konjunktiven Einschränkung um eine Einschränkung des geographischen Standorts handeln, an dem die Daten verwendet werden. Ein Benutzer möchte möglicherweise verhindern, dass Entitäten in China Zugriff auf seine privaten Daten erhalten. Als weiteres Beispiel kann eine organisationsbezogene Richtlinie eine Verwendung privater Daten ausschließlich auf die Vereinigten Staaten von Amerika beschränken. Eine solche Einschränkung kann durch Nutzen eines Verbundschlüssels dargestellt werden, der auf dem auf einem Zweck beruhenden Schlüssel und dem auf dem geographischen Standort beruhenden Schlüssel beruht. Während der Entschlüsselung kann die PCA den geographischen Standort des Datenkonsumenten ermitteln, zum Beispiel mithilfe eines GPS-Moduls, wobei ein geographischer Standort einer IP-Adresse ermittelt wird, oder dergleichen, und ermitteln, ob ihm Zugriff zu einem geeigneten Entschlüsselungsschlüssel zu erteilen ist. In einigen Fällen kann der geographische Standort des Datenanbieters der physische Standort der Maschine sein, die den Datennutzungsprozess ausführt (z.B. der Standort des Servers des Datenkonsumenten, der die Daten verarbeitet). Zusätzlich oder alternativ kann der geographische Standort auf dem rechtlichen Standort der Entität beruhen, die den Datennutzungsprozess betreibt. Beispielsweise hat ein chinesisches Unternehmen möglicherweise keinen Zugriff auf Daten, die ausschließlich für die USA bestimmt sind, selbst wenn das chinesische Unternehmen einen Server verwendet, der sich in den USA befindet.
  • Bei einigen beispielhaften Ausführungsformen kann das PCA-Modul mit einem Datenschutzportal verbunden sein oder mit diesem in Datenaustausch stehen, das zum Empfangen und Verwalten von Datenschutzeinstellungen in Bezug auf eine betroffene Person ausgebildet ist. Bei einigen beispielhaften Ausführungsformen kann das Datenschutzportal die betroffene Person in die Lage versetzen, ihre Datenschutzeinstellungen anzugeben und diese nach Belieben zu aktualisieren. Die betroffene Person kann über das Datenschutzportal angeben, für welche Zwecke die Daten verwendet werden dürfen, und optional, welche spezifischen Datenverarbeiter berechtigt sind, die Daten für einen bestimmten Zweck zu verwenden. Zusätzlich oder alternativ kann das Datenschutzportal durch sonstige, andere Akteure als die betroffene Person verwendet werden, zum Beispiel von deren Erziehungsberechtigtem, einem Administrator einer Organisation, der die betroffene Person angehört, oder dergleichen. Bei einigen beispielhaften Ausführungsformen kann eine Richtlinie in dem Datenschutzportal definiert sein, und eine solche Richtlinie kann auf eine Gruppe von Benutzern angewendet werden, die ihre eigene Richtlinie selektiv aktualisieren können. In einigen Fällen aktualisieren die Benutzer die Richtlinie möglicherweise nur, um sie weiter einzuschränken, und nicht, um die Richtlinie zu lockern. Zusätzlich oder alternativ kann die benutzerdefinierte Richtlinie durch Leitlinien eingeschränkt werden, indem zum Beispiel verhindert wird, dass die Richtlinie ausschließt, dass die Organisation der betroffenen Person die Daten ansieht. Das Datenschutzportal kann dazu ausgebildet sein, die Datenschutzeinstellungen zu speichern, die Einstellungen für teilnehmende Entitäten wie Datenanbieter oder dergleichen bereitzustellen und eine Änderung der Einstellungen durch die betroffene Person oder sonstige Akteure mit ausreichenden Berechtigungen zu ermöglichen, zum Beispiel ein Hinzufügen oder Löschen von Zwecken, für die eine Verwendung der Daten zulässig ist. Das Datenschutzportal kann darüber hinaus Gesetze und Unternehmensrichtlinien verwalten, die angeben, wie personenbezogene Daten verwendet werden dürfen, einschließlich (aber nicht beschränkt darauf), ob eine Eingabe von der betroffenen Person gewonnen werden sollte.
  • Eine weitere technische Lösung kann darin bestehen, die Daten selbst mit auf einem Zweck beruhenden Schlüsseln zu verschlüsseln. Eine solche Verschlüsselung verhindert die Verwendung der Daten durch Unberechtigte, selbst wenn diese, zum Beispiel durch ein Datenleck, Zugriff auf die Daten erhalten haben. Die Daten können mit einem dem Zweck entsprechenden Schlüssel verschlüsselt werden. In einigen Fällen, wenn konjunktive Einschränkungen angewendet werden, kann ein Verbundschlüssel auf Grundlage des Schlüssels, der dem Zweck entspricht, und zusätzlicher Schlüssel, die der/den zusätzlichen einen oder mehreren konjunktiven Einschränkungen entsprechen, erstellt werden. Bei einigen beispielhaften Ausführungsformen werden, wenn disjunktive Einschränkungen angewendet werden, dieselben Daten mithilfe unterschiedlicher Schlüssel verschlüsselt. Beispielsweise mithilfe von SchlüsselA für einen Zweck A und getrennt davon mithilfe von SchlüsselB für einen Zweck B.
  • Bei einigen beispielhaften Ausführungsformen können die Daten in einer Weise verschlüsselt werden, dass die darauf angewendeten Einschränkungen einschließlich der auf einem Zweck beruhenden Einschränkungen codiert werden. In einigen Fällen kann ein Header der Daten verwendet werden, um die Einschränkungen aufzuführen, wie zum Beispiel die Angabe des zulässigen Zwecks, der zulässigen Mindestbewertung, des zulässigen Datenkonsumenten, des zulässigen geographischen Standorts oder dergleichen. Der Header kann dazu verwendet werden zu ermitteln, ob ein spezifischer Datenkonsument in der Lage sein kann, die Daten für einen spezifischen Zweck zu verwenden.
  • Eine noch weitere technische Lösung kann darin bestehen, geschützte Prozesse einzusetzen, zum Beispiel mit geschützten Speicherbereichen. In einigen Fällen kann Software Guard Extensions (SGX) von INTEL™ eingesetzt werden, um Enklaven für den geschützten Prozess zuzuweisen, wodurch ein Zugriff von einem Hypervisor, Betriebssystem und sonstigen unberechtigten Dritten verhindert wird, selbst wenn diese Dritten uneingeschränkten Zugriff auf die Maschine haben, die den geschützten Prozess ausführt. Zusätzlich oder alternativ kann TrustedZone von ARM™ eingesetzt werden, um einen vertrauenswürdigen Speicherbereich zuzuweisen, auf den der Zugriff auf den geschützten Prozess beschränkt ist. TrustedZone kann einen Zugriff von Dritten auf den vertrauenswürdigen Speicherbereich unabhängig von deren Berechtigungen auf Maschinenebene verhindern.
  • Bei einigen beispielhaften Ausführungsformen kann der geschützte Prozess verwendet werden, um den Header der verschlüsselten Daten zu analysieren und einen Entschlüsselungsschlüssel dafür bereitzustellen, falls der Datenkonsument Zugriff darauf erhalten sollte, um eine gewünschte Operation durchzuführen (z.B. abhängig von seinem Zweck, der Zertifizierung und dem zulässigen Zweck der Daten). In einigen Fällen kann es sich bei dem Entschlüsselungsschlüssel um einen eindeutigen Schlüssel handeln, der nur für die verschlüsselten Daten verwendet wird. Der eindeutige Entschlüsselungsschlüssel kann auf Grundlage des Entschlüsselungsschlüssels des berechtigten Zwecks, der Entschlüsselungsschlüssel von konjunktiven Beschränkungen und eines zusätzlichen Schlüssels wie zum Beispiel des Schlüssels des Datenerzeugers, der die Daten erstellt hat, erzeugt werden. In einem solchen Fall wirkt sich die Tatsache, dass der Entschlüsselungsschlüssel außerhalb des geschützten Prozesses verfügbar ist, wo er zur Entschlüsselung der verschlüsselten Daten verwendet wird, nicht nachteilig auf die Zugriffssteuerung aus. Insbesondere kann derselbe Entschlüsselungsschlüssel nicht für sonstige Datenelemente verwendet werden.
  • Bei einigen beispielhaften Ausführungsformen kann der geschützte Prozess für ein Durchführen der gesamten Datenverarbeitung des Datenkonsumenten zuständig sein, wodurch ein Durchsickern der privaten Daten an Unberechtigte verhindert wird.
  • Eine technische Auswirkung einer Nutzung des offenbarten Gegenstands besteht darin, Datenschutz vor unberechtigter Verwendung bereitzustellen, der den Daten selbst zugeordnet ist, der verhindert, dass die Daten durch Unberechtigte verwendet werden, selbst wenn diese Zugriff darauf erlangen. Die verteilten Daten selbst sind verschlüsselt und für jegliche Partei unbrauchbar, die nicht durch die PCA für die richtigen Zwecke berechtigt ist (und möglicherweise zusätzliche konjunktive Einschränkungen einhält).
  • Eine weitere technische Auswirkung einer Nutzung des offenbarten Gegenstands besteht darin, dass ein dezentrales System bereitgestellt wird, das keinen zentralen Server benötigt, um den Großteil der Verarbeitung durchzuführen. Zentrale Systeme für eine Durchsetzung von Einwilligungen und Richtlinien können Leistungsengpässe aufweisen und erfordern Vertrauen in den zentralen Datenspeicher oder die Behörde. Eine solche Lösung mag für ein einzelnes Unternehmen sinnvoll und angemessen sein, kann aber für eine gemeinsame Nutzung von Daten über verschiedene Entitäten hinweg problematisch sein, wie es zum Beispiel im loT und bei Wearables häufig der Fall ist. Der offenbarte Gegenstand stellt ein dezentrales System bereit, bei dem die Einschränkungen nicht an einem zentralen Ort gespeichert werden und kein Engpass einer zentralen Verarbeitung besteht. Stattdessen kann die Verarbeitung der Hochleistungs-Verschlüsselungs-/Entschlüsselungsoperationen bei den Agenten des Systems selbst durchgeführt werden: bei Datenerzeugern, wenn sie neue Daten erstellen und auf einem Zweck beruhende Zugriffsbeschränkungen dafür festlegen; und bei Datenkonsumenten, wenn sie auf die auf einem Zweck beruhend beschränkten Daten zugreifen. Eine solche Dezentralisierung kann den Gesamtdurchsatz des Systems erhöhen und kann mögliche Engpässe beseitigen.
  • Der offenbarte Gegenstand kann eine oder mehrere technische Verbesserungen gegenüber jeder bereits bestehenden Technik und jeder Technik, die zuvor zur Routine geworden ist oder dem Stand der Technik entspricht, bereitstellen. Zusätzliche technische Probleme, Lösungen und Auswirkungen können für einen Fachmann angesichts der vorliegenden Offenbarung ersichtlich sein.
  • Unter Bezugnahme auf 1A wird eine schematische Veranschaulichung einer Umgebung und einer Architektur gemäß einigen beispielhaften Ausführungsformen des offenbarten Gegenstands dargestellt.
  • Eine Umgebung 100 kann einen Datenbehälter 101 aufweisen, der Daten in Übereinstimmung mit dem offenbarten Gegenstand speichert. Bei dem Datenbehälter 101 kann es sich um einen Speicher-Server, eine einem Netzwerk zugehörige Speichereinheit, ein Rechenzentrum, eine Datenbank oder dergleichen handeln.
  • Die Umgebung 100 kann ein Zweckzertifizierungsstellen(PCA)-Modul 110, das zum Zertifizieren und Durchsetzen der Einhaltung berechtigter Nutzungszwecke ausgebildet ist, und ein Datenschutzportal 120 aufweisen, das zum Empfangen von Definitionen und Aktualisierungen von berechtigten Zwecken und/oder Entitäten ausgebildet ist. Das PCA-Modul 110 kann ein Register von Zwecken entsprechend einer definierten Taxonomie und ein Verschlüsselungssystem aus entsprechenden öffentlichen und privaten Schlüsselpaaren verwalten, die für die registrierten Zwecke vorgesehen sind. Die Taxonomie von Zwecken kann durch das PCA-Modul 110 mit dem Datenschutzportal 120 gemeinsam genutzt werden, um die Gesamtkonsistenz und Kompatibilität zwischen ihnen sicherzustellen. Das Datenschutzportal 120 kann die Nutzungsberechtigungen von einer von den Daten 109 betroffenen Person oder einem weiteren Benutzer im Namen der betroffenen Person oder von Datenschutzrichtlinien empfangen und sie in Datenschutzeinstellungen 125 speichern.
  • Bei einem Datenerzeuger 130 kann es sich um eine Entität handeln, die die Daten zu der betroffenen Person erzeugt. Bei einigen beispielhaften Ausführungsformen kann es sich bei dem Datenerzeuger 130 um eine Anwendung handeln, die Informationen in Bezug auf einen Benutzer verfolgt. Zusätzlich oder alternativ kann der Datenerzeuger 130 eine Einheit auf Grundlage des loT sein, die Informationen in Bezug auf die betroffene Person überwacht. Zusätzliche Beispiele für Datenerzeuger wären einem Fachmann angesichts der vorliegenden Offenbarung ersichtlich. Bei (in 1A nicht dargestellten) Daten 131 kann es sich um die Rohversion der privaten Daten handeln. Der Datenerzeuger 130 kann dazu ausgebildet sein, eine oder mehrere verschlüsselte Versionen der Daten bereitzustellen, die jeweils mithilfe von zumindest einem mit einem Zweck in Zusammenhang stehenden Verschlüsselungsschlüssel verschlüsselt sind. Wenn als Beispiel die Daten 131 für den Zweck A und den Zweck C verfügbar gemacht werden, kann der Datenerzeuger 130 DatenA 132 und Datenc 138 bereitstellen. Die DatenA 132 können durch einen dem Zweck A zugehörigen, auf dem Zweck beruhenden Verschlüsselungsschlüssel verschlüsselt sein. Die DatenA 132 können durch Datenkonsumenten entschlüsselbar sein, die für den Zweck A zertifiziert sind und Zugriff auf den entsprechenden privaten Schlüssel, PrKA 142, haben, wie zum Beispiel Datenkonsumenten 111, 113, 115. Zusätzlich oder alternativ können die Datenc 138 mithilfe eines dem Zweck C zugehörigen, auf dem Zweck beruhenden Verschlüsselungsschlüssel verschlüsselt sein und für Datenkonsumenten verfügbar sein, die Zugriff auf PrKc 146 haben, wie zum Beispiel Datenkonsumenten 113, 117.
  • Bei einigen beispielhaften Ausführungsformen kann der Datenerzeuger 130 die Daten mit zusätzlichen konjunktiven Einschränkungen bereitstellen, wie zum Beispiel einer Einschränkung auf eine spezifische Identität des Datenerzeugers, einer Einschränkung auf eine Bewertung des Datenkonsumenten mithilfe der Informationen, einer Einschränkung auf einen geographischen Standort des Datenkonsumenten oder dergleichen, ohne darauf beschränkt zu sein. Bei einigen beispielhaften Ausführungsformen kann es sich bei der Bewertung um eine Bewertung handeln, die die Einhaltung allgemeiner Datenschutzbestimmungen oder -standards durch den Datenkonsumenten angibt. Zusätzlich oder alternativ kann die Bewertung eine Bewertung sein, die durch die PCA auf Grundlage einer Untersuchung der Verwendung von Daten durch den Datenkonsumenten vergeben wird. Beispielsweise könnte FACEBOOK™ eine relativ niedrige Bewertung für eine Weitergabe von Informationen an Regierungen (in Übereinstimmung mit ihrer Datenschutzrichtlinie und ihren Nutzungsbedingungen) erhalten, wohingegen TELEGRAM™ eine relativ hohe Bewertung erhalten kann, da eine Weitergabe von Informationen an Dritte vermieden wird. Wenn zum Beispiel eine zusätzliche einschränkende Anforderung B bereitgestellt wird, können die Daten allein mithilfe des Schlüssels, der der einschränkenden Anforderung entspricht (DatenB 134) oder mithilfe des auf dem Zweck beruhenden Schlüssels zusammen mit dem Schlüssel der einschränkenden Anforderung (DatenAB 136) verschlüsselt werden.
  • Die Umgebung 100 kann eine oder mehrere Entitäten aufweisen, die daran interessiert sein können, die Daten 131 zu verwenden, wie zum Beispiel die Datenkonsumenten 111, 113, 115 und 117. Die Datenkonsumenten 111, 113, 115, 117 können auch als Dienstanbieter bezeichnet werden, da sie die Daten nutzen und sie verarbeiten können, um einen Dienst bereitzustellen. Die PCA kann jeden der Datenkonsumenten 111, 113, 115, 117 für einen oder mehrere Zwecke zertifizieren und das PCA-Modul 110 veranlassen, sie mit jedem der jeweiligen privaten Schlüssel in Übereinstimmung mit deren zertifizierten Zwecken und der Einhaltung sonstiger einschränkender Anforderungen auszustatten, wie zum Beispiel mit PrKx 142 für den Zweck A und mit PrKc 146 für den Zweck C. In dem veranschaulichten Beispiel kann der Datenkonsument 111 für den Zweck A zertifiziert sein, und ihm kann PrKA 142 erteilt werden, der Datenkonsument 113 kann sowohl für den Zweck A als auch für den Zweck C zertifiziert sein, und ihm können PrKA 142 und PrKC 146 erteilt werden, der Datenkonsument 115 kann für den Zweck A zertifiziert sein und kann die einschränkende Anforderung B einhalten, und ihm können PrKA 142 und PrKB 144 erteilt werden, und der Datenkonsument 117 kann für den Zweck C zertifiziert sein, und ihm kann PrKc 146 erteilt werden.
  • Den Datenkonsumenten 111, 113, 115, 117 kann Zugriff auf den Datenbehälter 101 erteilt werden oder kann auf andere Weise Zugriff auf die verschlüsselten Versionen der Daten (z.B. die DatenA 132, die DatenB 134, die DatenC 136, die DatenD 138) erteilt werden.
  • Bei einigen beispielhaften Ausführungsformen können die öffentlichen Schlüssel, die zum Verschlüsseln der Daten verwendet werden, allgemein verfügbar sein, zum Beispiel über das PCA-Modul 110 zugänglich sein, in dem Datenbehälter 101 gespeichert sein, im Internet veröffentlicht sein oder dergleichen. Als Beispiel kann der Datenerzeuger 130 relevante öffentliche Schlüssel von dem PCA-Modul 110 anfordern, wenn Daten zu verschlüsseln sind. Die angeforderten Schlüssel können auf den der betroffenen Person zugehörigen Datenschutzeinstellungen 125, dem Datenerzeuger 130 oder dergleichen beruhen.
  • Das Datenschutzportal 120 kann eine Angabe von Zwecken bereitstellen, für die eine Nutzung der Daten zulässig ist, wie in den Datenschutzeinstellungen 125 angegeben. Der Datenerzeuger 130, der daran interessiert ist, Daten bereitzustellen, die in Übereinstimmung mit den Datenschutzeinstellungen 125 zu verwenden sind, kann die Daten mithilfe der relevanten Schlüssel verschlüsseln, wobei die spezifischen Nutzungszwecke und/oder konjunktive Einschränkungen angegeben werden.
  • Wenn ein Datenkonsument Daten nutzen möchte, kann er versuchen, sie zu gewinnen. Beispielsweise hat ein Datenkonsument 111, der für den Zweck A zertifiziert ist, Zugriff auf PrKA 142. Der Datenkonsument 111 kann PrKA 142 dazu nutzen, die DatenA 132 zu entschlüsseln, um Zugriff auf die Daten zu erlangen. Der Datenkonsument 111 kann jedoch außerstande sein, Zugriff auf die Daten zu erlangen, wenn die DatenA 132 nicht verfügbar sind, wenn zum Beispiel nur die DatenAB 136 oder die Datenc 138 verfügbar sind. Bei einigen beispielhaften Ausführungsformen können die Informationen in Bezug darauf, welche Schlüssel (z.B. Zwecke, konjunktive Einschränkungen oder dergleichen) erforderlich sind, um auf die Daten zuzugreifen, in einer unverschlüsselten Form in dem Header der Daten bereitgestellt werden. Durch Bereitstellen solcher Informationen können Rechen-Ressourcen geschont werden, da möglicherweise keine Notwendigkeit besteht, eine Entschlüsselung zu versuchen, wenn die relevanten Schlüssel nicht verfügbar sind.
  • Unter Bezugnahme auf 1B wird eine schematische Veranschaulichung einer Umgebung und einer Architektur gemäß einigen beispielhaften Ausführungsformen des offenbarten Gegenstands dargestellt.
  • Der Datenerzeuger 130 ist dazu ausgebildet, Rohdaten, die Daten 131, zu erzeugen. Ein Datenschutz-Proxy 135 kann dazu ausgebildet sein, Kopien der Daten 131 zu erstellen, in die eine auf einem Zweck beruhende Berechtigungszugriffssteuerung eingebettet ist. Dieselben Daten können für verschiedene Zugriffsberechtigungen mehrmals dupliziert werden. In dem veranschaulichten Beispiel werden die Daten 131 nur für den Zweck A als berechtigt bereitgestellt (die DatenA 132). Der Datenschutz-Proxy 135 kann auf Grundlage der Datenschutzeinstellungen 125, die durch das Datenschutzportal 120 bereitgestellt und definiert werden, ermitteln, welche Replikate der Daten zu erstellen sind. Zusätzlich oder alternativ können die relevanten Verschlüsselungsschlüssel für den Datenschutz-Proxy 135 von einem zentralen Ort aus bereitgestellt werden, zum Beispiel öffentlich über das Internet veröffentlicht werden, durch das PCA-Modul 110 veröffentlicht werden oder dergleichen.
  • Bei einigen beispielhaften Ausführungsformen kann der Datenschutz-Proxy 135 auf der Maschine implementiert sein, die die Daten erzeugt und den Datenerzeuger 130 ausführt. Bei einigen beispielhaften Ausführungsformen kann ein selber Computer den Datenerzeuger 130 ausführen, um die Rohdaten (131) zu erzeugen, wie auch den Datenschutz-Proxy 135 ausführen, um eine zugriffsbeschränkte Version davon (135) zu erzeugen. Bei einigen beispielhaften Ausführungsformen kann der Datenschutz-Proxy 135 als Teil eines Moduls für eine abgehende Datenübertragung eines Computers implementiert sein, zum Beispiel in einem Treiber implementiert sein, der durch das Betriebssystem aufgerufen wird. Der Datenschutz-Proxy 135 kann aufgerufen werden, um Daten zu verschlüsseln, wenn sie von dem Computer an externe Computer übertragen werden, um sicherzustellen, dass sonstige Parteien keinen Zugriff auf die Daten erlangen, sofern sie nicht ordnungsgemäß berechtigt sind. Zusätzlich oder alternativ kann der Datenschutz-Proxy 135 auf einer anderen Maschine wie zum Beispiel einem Gateway implementiert sein, durch das die Daten an Dritte übertragen werden, um dem Datenerzeuger 130 zu ermöglichen, die Daten unverändert mithilfe ihrer Rohform (131) zu verwenden, und um sicherzustellen, dass verhindert wird, dass Dritte diese verwenden, sofern sie nicht korrekt berechtigt sind.
  • Ein Datenkonsument 140 wie zum Beispiel 111, 113, 115, 117 von 1A kann einen Dienst 146 implementieren, der die Daten 131 verwenden möchte, beispielsweise für Verarbeitungszwecke. Der Datenkonsument 140 kann die Daten in ihrer geschützten Form empfangen, z.B. die DatenA 132. Eine Entschlüsselungseinrichtung 142 kann dazu ausgebildet sein, die Daten (DatenA 132) zu entschlüsseln. Die Entschlüsselungseinrichtung 142 kann für eine Zweckenklave 144 den Header der DatenA 132 bereitstellen. Die Zweckenklave 144 kann dazu ausgebildet sein, den/die Entschlüsselungsschlüssel von dem PCA-Modul 110 zu gewinnen, wenn der Datenkonsument dazu berechtigt ist. Die Zweckenklave 144 kann den/die Schlüssel an die Entschlüsselungseinrichtung 142 zurückgeben, die anschließend die DatenA 132 entschlüsseln kann, um die Daten 131 zu gewinnen. Anschließend können die Daten 131 durch den Dienst 146 verwendet und verarbeitet werden.
  • Bei einigen beispielhaften Ausführungsformen kann die Zweckenklave 144 durch einen geschützten Prozess ausgeführt werden, zum Beispiel mithilfe von Enklaven mithilfe von SGX oder eines geschützten Speicherbereichs implementiert werden. Während die Zweckenklave 144 den Header der verschlüsselten Daten, der DatenA 132, analysiert, kann sie dazu verwendet werden sicherzustellen, dass, selbst wenn der Datenkonsument 140 für mehrere Zwecke berechtigt ist, der Datenschutz durch eine Verwendung von Berechtigungsschlüsseln sonstiger (nicht dargestellter) Dienste, die darauf ausgeführt werden, um Daten für den Dienst 146 bereitzustellen, nicht verletzt würde. Es werde zum Beispiel angenommen, dass der Datenkonsument 140 zwei Dienste implementieren kann, den Dienst 146, der dem Zweck B zugehörig ist, und einen (nicht dargestellten) weiteren Dienst, der dem Zweck A zugehörig ist. Da der andere Dienst für den Zweck A zertifiziert ist, darf der Datenkonsument 140 die DatenA 132 entschlüsseln. Eine solche Entschlüsselung sollte jedoch nur auf einen Fall beschränkt sein, in dem die Daten für den anderen Dienst und nicht für den Dienst 146 bereitzustellen sind. Ein Ausführen eines geschützten Dienstes kann sicherstellen, dass der Schlüssel nur für berechtigte Dienste und nur, wenn der Header der Daten dies tatsächlich erfordert, zurückgegeben wird.
  • Unter Bezugnahme auf 1C wird eine alternative Architektur gemäß einigen beispielhaften Ausführungsformen des offenbarten Gegenstands dargestellt.
  • Der Datenkonsument 140 ist in einer Weise implementiert, in der der Dienst 146 als geschützter Prozess (z.B. als Zweckenklave 144) ausgeführt wird. Eine solche Implementierung stellt sicher, dass die Daten 131 nur für den Dienst 146 und nicht für sonstige Prozesse, die durch den Datenkonsumenten 140 ausgeführt werden, zu sehen und verwendbar sind. Die Daten 131 sind darüber hinaus für Kernel-Prozesse, das Betriebssystem des Datenkonsumenten 140, einen Hypervisor oder dergleichen nicht verfügbar. Eine solche Lösung kann darüber hinaus sicherstellen, dass die Daten 131 nicht durchsickern, selbst wenn der Dienst 146 auf Hardware ausgeführt wird, die im Besitz von Dritten ist und durch diese betrieben wird.
  • Unter Bezugnahme auf 2 wird ein Ablaufplan eines Verfahrens gemäß einigen beispielhaften Ausführungsformen des offenbarten Gegenstands dargestellt.
  • In Schritt 200 werden Daten gewonnen. Bei den Daten kann es sich um Daten über eine betroffene Person handeln. Die Daten können durch Überwachen der betroffenen Person, durch Analysieren von Informationen in Bezug darauf oder dergleichen gewonnen werden. Bei einigen beispielhaften Ausführungsformen können die Daten von einer durch die betroffene Person getragenen Wearable-Einheit, von einer durch die betroffene Person getragene oder verwendete Benutzereinheit, von einer loT-Einheit, die die betroffene Person oder ihre Umgebung überwacht, oder dergleichen gewonnen werden. Die Daten können für einige Zwecke gewonnen werden und vorzugsweise verwendbar sein.
  • In Schritt 210 kann ein Satz von berechtigten Zwecken gewonnen werden. Bei einigen beispielhaften Ausführungsformen kann der berechtigte Zweck von einem Datenschutzportal gewonnen werden. Der berechtigte Zweck kann auf Grundlage des Typs von Daten, des Ursprung der Daten, der von den Daten betroffenen Person oder dergleichen festgelegt werden. Bei einigen beispielhaften Ausführungsformen kann eine Mehrzahl von berechtigten Zwecken vorhanden sein. Jeder Prozess kann in den Schritten 210 bis 250 einzeln verarbeitet werden.
  • In Schritt 220 kann ein Verschlüsselungsschlüssel des Zwecks gewonnen werden. Bei dem Verschlüsselungsschlüssel kann es sich um einen öffentlichen Schlüssel des Zwecks handeln, der veröffentlicht ist. Zusätzlich oder alternativ kann der Verschlüsselungsschlüssel von einem PCA-Modul wie zum Beispiel 110 von 1A gewonnen werden.
  • In Schritt 230 können zusätzliche Verschlüsselungsschlüssel wie zum Beispiel Verschlüsselungsschlüssel, die einer oder mehreren konjunktiven Einschränkungen zugehörig sind, die auf die Verwendung der Daten anzuwenden sind, gewonnen werden. Die auf die Daten anzuwendenden konjunktiven Einschränkungen können auf Grundlage der Datenschutzeinstellungen wie zum Beispiel 125 von 1A ermittelt werden.
  • In Schritt 240 können die Daten mithilfe der in den Schritten 220 bis 230 gewonnenen Schlüssel verschlüsselt werden. Bei einigen beispielhaften Ausführungsformen kann ein Verbundschlüssel mithilfe der mehreren Schlüssel erstellt und zum Verschlüsseln der Daten in einer einzigen Operation verwendet werden. Zusätzlich oder alternativ können die Daten mithilfe eines ersten Schlüssels verschlüsselt werden, und danach kann das Ergebnis mithilfe eines zweiten Schlüssels verschlüsselt werden usw. Zusätzlich oder alternativ können die Daten mithilfe eines auf einem Zweck beruhenden Schlüssels verschlüsselt werden und danach mithilfe eines oder mehrerer Schlüssel verschlüsselt werden, die konjunktiven Einschränkungen zugehörig sind.
  • Bei einigen beispielhaften Ausführungsformen können die Schritte 220 bis 240 iterativ durchgeführt werden, wobei ein Schlüssel gewonnen (z.B. in Schritt 220 oder 230) und für eine Verschlüsselung verwendet wird (z.B. in Schritt 240), danach ein weiterer Schlüssel gewonnen (z.B. in Schritt 220 oder 230) und für eine weitere Verschlüsselung verwendet wird (z.B. in Schritt 240) und so weiter.
  • In Schritt 250 können die verschlüsselten Daten übertragen oder auf andere Weise für sonstige Parteien verfügbar gemacht werden. Die verschlüsselten Daten selbst können an Dritte übertragen werden, wodurch die Verwendung der Rohdaten für Datenkonsumenten ermöglicht wird, die Zugriff auf die relevanten Entschlüsselungsschlüssel haben, zum Beispiel im Hinblick darauf, dass sie für den relevanten Zweck zertifiziert sind und Eigenschaften aufweisen, die die konjunktiven Einschränkungen einhalten.
  • Unter Bezugnahme auf c wird ein Ablaufplan eines Verfahrens gemäß einigen beispielhaften Ausführungsformen des offenbarten Gegenstands dargestellt.
  • In Schritt 300 können geschützte Daten gewonnen werden. Die geschützten Daten können mithilfe von auf einem Zweck beruhenden Schlüsseln und/oder Schlüsseln, die konjunktiven Einschränkungen zugehörig sind, verschlüsselt werden. Die geschützten Daten wie zum Beispiel 132 von 1A können einen unverschlüsselten Header aufweisen, der deren berechtigten Zweck und/oder darauf angewendete konjunktive Einschränkungen angibt.
  • In Schritt 310 können die Zugriffsberechtigungen auf die Daten ermittelt werden. Die Zugriffsberechtigungen können auf Grundlage des Headers der Daten ermittelt werden. Zusätzlich oder alternativ können Zugriffsberechtigungen implizit ermittelt werden, indem versucht wird, die geschützten Daten mithilfe von Schlüsseln zu entschlüsseln, die für den Datenkonsumenten verfügbar sind, der das Verfahren von 3 durchführt.
  • In Schritt 320 können Eigenschaften des Datenkonsumenten ermittelt werden. Die Eigenschaften können spontan ermittelt werden oder können a-priori ermittelt werden. Die Eigenschaften können sich auf potentielle konjunktive Einschränkungen beziehen. Zusätzlich oder alternativ kann nur in dem Fall, dass eine konjunktive Einschränkung für die Daten relevant ist, die relevante Eigenschaft ermittelt werden. Bei einigen beispielhaften Ausführungsformen kann die Eigenschaft die Identität des Datenkonsumenten, dessen geographischen Standort, eine Datenschutzbewertung oder dergleichen angeben. In Teilschritt 322 kann eine Bewertung für den Datenkonsumenten berechnet werden. In einigen Fällen kann die Bewertung manuell bereitgestellt werden. Zusätzlich oder alternativ kann die Bewertung automatisch berechnet werden, zum Beispiel auf Grundlage einer überwachten Einhaltung einer allgemeinen Datenschutzrichtlinie (die strenger als diejenige des Datenkonsumenten sein kann, der die Schritte von 3 durchführt). In Teilschritt 324 kann ein geographischer Standort des Datenkonsumenten ermittelt werden, zum Beispiel auf Grundlage einer GPS-Messung, auf Grundlage eines geographischen Standorts der dabei verwendeten IP-Adresse oder dergleichen. Zusätzlich oder alternativ kann der geographische Standort auf Grundlage von juristischen Dokumenten wie zum Beispiel Gründungsdokumenten der Entität, die den Datenkonsumenten betreibt, oder dergleichen ermittelt werden.
  • In Schritt 330 können ein oder mehrere Entschlüsselungsschlüssel gewonnen werden. Die Entschlüsselungsschlüssel können von einem PCA-Modul wie zum Beispiel 110 von 1 gewonnen werden. Die Entschlüsselungsschlüssel können zunächst von dem PCA-Modul gewonnen werden und lokal durch den Datenkonsumenten gespeichert werden. Zusätzlich oder alternativ können die Entschlüsselungsschlüssel nach Bedarf gewonnen werden, wenn sie verwendet werden müssen. Bei den gewonnenen Entschlüsselungsschlüsseln kann es sich um Schlüssel handeln, die den Zugriffsberechtigungen der Daten zugehörig sind, zum Beispiel einen zertifizierten Zweck, eine zertifizierte Bewertung, eine zertifizierte Identität, einen zertifizierten geographischen Standort oder dergleichen.
  • In Schritt 340 können die verschlüsselten Daten entschlüsselt werden, um die Daten zu gewinnen.
  • In Schritt 350 können die Daten verarbeitet werden, zum Beispiel durch den Dienst 146 von 1B. Die Daten können zum Verarbeiten in Bezug auf den berechtigten Zweck verwendet werden. Bei einigen beispielhaften Ausführungsformen kann die PCA den Dienstanbieter zertifizieren, indem sie seinen Code untersucht und sicherstellt, dass der Code, der auf die Daten zugreift, während er einen spezifischen Zweck angibt, sich tatsächlich selbst darauf beschränkt, die Daten nur für diesen spezifischen Zweck zu nutzen.
  • Bei einigen beispielhaften Ausführungsformen können die Schritte 310 bis 350 durch einen geschützten Prozess durchgeführt werden, wie etwa in 1C beispielhaft dargestellt. Zusätzlich oder alternativ können die Schritte 310 bis 350 durch einen geschützten Prozess durchgeführt werden, wie etwa in 1B beispielhaft dargestellt.
  • Bei der vorliegenden Erfindung kann es sich um ein System, ein Verfahren und/oder ein Computerprogrammprodukt handeln. Das Computerprogrammprodukt kann (ein) durch einen Computer lesbare(s) Speichermedium (oder -medien) enthalten, auf dem/denen durch einen Computer lesbare Programmanweisungen gespeichert ist/sind, um einen Prozessor dazu zu veranlassen, Aspekte der vorliegenden Erfindung auszuführen.
  • Bei dem durch einen Computer lesbaren Speichermedium kann es sich um eine physische Einheit handeln, die Anweisungen zur Verwendung durch eine Einheit zur Ausführung von Anweisungen behalten und speichern kann. Bei dem durch einen Computer lesbaren Speichermedium kann es sich zum Beispiel um eine elektronische Speichereinheit, eine magnetische Speichereinheit, eine optische Speichereinheit, eine elektromagnetische Speichereinheit, eine Halbleiterspeichereinheit oder jede geeignete Kombination daraus handeln, ohne auf diese beschränkt zu sein. Zu einer nicht erschöpfenden Liste spezifischerer Beispiele des durch einen Computer lesbaren Speichermediums gehören die Folgenden: eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM), ein Festwertspeicher (ROM), ein löschbarer programmierbarer Festwertspeicher (EPROM bzw. Flash-Speicher), ein statischer Direktzugriffsspeicher (SRAM), ein tragbarer Kompaktspeicherplatten-Festwertspeicher (CD-ROM), eine DVD (digital versatile disc), ein Speicher-Stick, eine Diskette, eine mechanisch codierte Einheit wie zum Beispiel Lochkarten oder erhabene Strukturen in einer Rille, auf denen Anweisungen gespeichert sind, und jede geeignete Kombination daraus. Ein durch einen Computer lesbares Speichermedium soll in der Verwendung hierin nicht als flüchtige Signale an sich aufgefasst werden, wie zum Beispiel Funkwellen oder andere sich frei ausbreitende elektromagnetische Wellen, elektromagnetische Wellen, die sich durch einen Wellenleiter oder ein anderes Übertragungsmedium ausbreiten (z.B. durch ein Glasfaserkabel geleitete Lichtimpulse) oder durch einen Draht übertragene elektrische Signale.
  • Hierin beschriebene, durch einen Computer lesbare Programmanweisungen können von einem durch einen Computer lesbaren Speichermedium auf jeweilige Datenverarbeitungs-/Verarbeitungseinheiten oder über ein Netzwerk wie zum Beispiel das Internet, ein lokales Netzwerk, ein Weitverkehrsnetz und/oder ein drahtloses Netzwerk auf einen externen Computer oder eine externe Speichereinheit heruntergeladen werden. Das Netzwerk kann Kupferübertragungskabel, Lichtwellenübertragungsleiter, drahtlose Übertragung, Router, Firewalls, Vermittlungseinheiten, Gateway-Computer und/oder Edge-Server aufweisen. Eine Netzwerkadapterkarte oder Netzwerkschnittstelle in jeder Datenverarbeitungs-/Verarbeitungseinheit empfängt durch einen Computer lesbare Programmanweisungen aus dem Netzwerk und leitet die durch einen Computer lesbaren Programmanweisungen zur Speicherung in einem durch einen Computer lesbaren Speichermedium innerhalb der entsprechenden Datenverarbeitungs-/Verarbeitungseinheit weiter.
  • Bei durch einen Computer lesbaren Programmanweisungen zum Ausführen von Arbeitsschritten der vorliegenden Erfindung kann es sich um Assembler-Anweisungen, ISA-Anweisungen (Instruction-Set-Architecture), Maschinenanweisungen, maschinenabhängige Anweisungen, Mikrocode, Firmware-Anweisungen, zustandssetzende Daten oder entweder Quellcode oder Objektcode handeln, die in einer beliebigen Kombination aus einer oder mehreren Programmiersprachen geschrieben werden, darunter objektorientierte Programmiersprachen wie Smalltalk, C++ o.ä. sowie herkömmliche prozedurale Programmiersprachen wie die Programmiersprache „C“ oder ähnliche Programmiersprachen. Die durch einen Computer lesbaren Programmanweisungen können vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Software-Paket, teilweise auf dem Computer des Benutzers und teilweise auf einem entfernt angeordneten Computer oder vollständig auf dem entfernt angeordneten Computer oder Server ausgeführt werden. In letzterem Fall kann der entfernt angeordnete Computer mit dem Computer des Benutzers durch eine beliebige Art Netzwerk verbunden sein, darunter ein lokales Netzwerk (LAN) oder ein Weitverkehrsnetz (WAN), oder die Verbindung kann mit einem externen Computer hergestellt werden (zum Beispiel über das Internet unter Verwenden eines Internet-Dienstanbieters). In einigen Ausführungsformen können elektronische Schaltungen, darunter zum Beispiel programmierbare Logikschaltungen, feldprogrammierbare Gate-Arrays (FPGA) oder programmierbare Logik-Arrays (PLA) die durch einen Computer lesbaren Programmanweisungen ausführen, indem sie Zustandsdaten der durch einen Computer lesbaren Programmanweisungen nutzen, um die elektronischen Schaltungen zu personalisieren, um Aspekte der vorliegenden Erfindung durchzuführen.
  • Aspekte der vorliegenden Erfindung sind hierin unter Bezugnahme auf Ablaufpläne und/oder Blockschaubilder von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es wird darauf hingewiesen, dass jeder Block der Ablaufpläne und/oder der Blockschaubilder sowie Kombinationen von Blöcken in den Ablaufplänen und/oder den Blockschaubildern mittels durch einen Computer lesbare Programmanweisungen implementiert werden können.
  • Diese durch einen Computer lesbaren Programmanweisungen können einem Prozessor eines Universalcomputers, eines Spezialcomputers oder einer anderen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu erzeugen, so dass die über den Prozessor des Computers bzw. der anderen programmierbaren Datenverarbeitungsvorrichtung ausgeführten Anweisungen Mittel zur Umsetzung der in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaubilder festgelegten Funktionen/Schritte erzeugen. Diese durch einen Computer lesbaren Programmanweisungen können auch auf einem durch einen Computer lesbaren Speichermedium gespeichert sein, das einen Computer, eine programmierbare Datenverarbeitungsvorrichtung und/oder andere Einheiten so steuern kann, dass sie auf eine bestimmte Art funktionieren, so dass das durch einen Computer lesbare Speichermedium, auf dem Anweisungen gespeichert sind, ein Herstellungsprodukt aufweist, darunter Anweisungen, welche Aspekte der/des in dem Block bzw. den Blöcken des Ablaufplans und/oder der Blockschaubilder angegebenen Funktion/Schritts umsetzen.
  • Die durch einen Computer lesbaren Programmanweisungen können auch auf einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder eine andere Einheit geladen werden, um das Ausführen einer Reihe von Prozessschritten auf dem Computer bzw. der anderen programmierbaren Vorrichtung oder anderen Einheit zu verursachen, um einen auf einem Computer ausgeführten Prozess zu erzeugen, so dass die auf dem Computer, einer anderen programmierbaren Vorrichtung oder einer anderen Einheit ausgeführten Anweisungen die in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaubilder festgelegten Funktionen/Schritte umsetzen.
  • Die Ablaufpläne und die Blockschaubilder in den Figuren veranschaulichen die Architektur, die Funktionalität und den Betrieb möglicher Implementierungen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung. In diesem Zusammenhang kann jeder Block in den Ablaufplänen oder Blockschaubildern ein Modul, ein Segment oder einen Teil von Anweisungen darstellen, die eine oder mehrere ausführbare Anweisungen zur Ausführung der bestimmten logischen Funktion(en) aufweisen. In einigen alternativen Ausführungen können die in dem Block angegebenen Funktionen in einer anderen Reihenfolge als in den Figuren gezeigt stattfinden. Zwei nacheinander gezeigte Blöcke können zum Beispiel in Wirklichkeit im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können manchmal je nach entsprechender Funktionalität in umgekehrter Reihenfolge ausgeführt werden. Es ist ferner anzumerken, dass jeder Block der Blockschaubilder und/oder der Ablaufpläne sowie Kombinationen aus Blöcken in den Blockschaubildern und/oder den Ablaufplänen durch spezielle auf Hardware beruhende Systeme implementiert werden können, welche die festgelegten Funktionen oder Schritte durchführen, oder Kombinationen aus Spezial-Hardware und Computeranweisungen ausführen.
  • Die hierin verwendete Terminologie dient lediglich der Beschreibung bestimmter Ausführungsformen und soll die Erfindung nicht beschränken. So, wie sie hierin verwendet werden, sollen die Singularformen „ein“, „eine“ und „der“, „die“, „das“ auch die Pluralformen enthalten, sofern dies aus dem Kontext nicht eindeutig anders hervorgeht. Es versteht sich darüber hinaus, dass die Begriffe „aufweist“ und/oder „aufweisend“, wenn sie in dieser Beschreibung verwendet werden, das Vorhandensein von angegebenen Merkmalen, Ganzzahlen, Schritten, Vorgängen, Elementen und/oder Komponenten bezeichnen, jedoch nicht das Vorhandensein bzw. die Beifügung von einem/einer bzw. mehreren anderen Merkmalen, Ganzzahlen, Schritten, Vorgängen, Elementen, Komponenten und/oder Gruppen davon ausschließen.
  • Die entsprechenden Strukturen, Materialien, Vorgänge und Entsprechungen aller Mittel oder Schritt-plus-Funktion-Elementen in den nachstehenden Ansprüchen sollen jede Struktur, jedes Material bzw. jede Handlung zum Durchführen der Funktion in Kombination mit anderen beanspruchten Elementen als ausdrücklich beansprucht enthalten. Die Beschreibung der vorliegenden Erfindung erfolgte zum Zweck der Veranschaulichung und Beschreibung, ist jedoch nicht erschöpfend oder auf die Erfindung in der offenbarten Form beschränkt gemeint. Viele Modifizierungen und Varianten sind für Fachleute ersichtlich, ohne vom Umfang und Wesensgehalt der Erfindung abzuweichen. Die Ausführungsform wurde ausgewählt und beschrieben, um die Grundgedanken der Erfindung und die praktische Anwendung am besten zu erläutern und um anderen Fachleuten das Verständnis der Erfindung für verschiedene Ausführungsformen mit verschiedenen, für den in Betracht gezogenen Einsatz geeigneten Modifizierungen zu ermöglichen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 15276815 [0015]
    • US 15/397753 [0015]

Claims (20)

  1. Verfahren, das aufweist: Verfügen über Daten einer betroffenen Person, wobei eine Genehmigung zur Nutzung der Daten für einen Zweck bereitgestellt wird; Gewinnen eines dem Zweck zugehörigen Verschlüsselungsschlüssels, wobei ein Entschlüsselungsschlüssel zum Entschlüsseln von mit dem Verschlüsselungsschlüssel verschlüsselten Informationen erforderlich ist; Verschlüsseln der Daten mithilfe des Verschlüsselungsschlüssels, wodurch auf dem Zweck beruhend verschlüsselte Daten gewonnen werden, die mit dem Zweck codiert sind, für den die Daten verwendet werden können; Ermöglichen eines Zugriffs auf die auf dem Zweck beruhend verschlüsselten Daten für einen oder mehrere Datenkonsumenten, wodurch der Zugriff auf die Daten durch Entschlüsseln der auf dem Zweck beruhend verschlüsselten Daten mithilfe des Entschlüsselungsschlüssels zu erlangen ist, der für Datenkonsumenten verfügbar ist, die für den Zweck zertifiziert sind.
  2. Verfahren nach Anspruch 1, wobei eine Genehmigung zur Nutzung der Daten für einen zweiten Zweck bereitgestellt wird, wobei das Verfahren des Weiteren aufweist: Gewinnen eines dem zweiten Zweck zugehörigen zweiten Verschlüsselungsschlüssels, wobei ein zweiter Entschlüsselungsschlüssel zum Entschlüsseln von mit dem zweiten Verschlüsselungsschlüssel verschlüsselten Informationen erforderlich ist; Verschlüsseln der Daten mithilfe des zweiten Verschlüsselungsschlüssels, wodurch auf einem zweiten Zweck beruhend verschlüsselte Daten gewonnen werden, die mit dem zweiten Zweck codiert sind, für den die Daten verwendet werden können; Ermöglichen eines Zugriffs auf die auf dem zweiten Zweck beruhend verschlüsselten Daten für den einen oder die mehreren Datenkonsumenten, wodurch der Zugriff auf die Daten durch Entschlüsseln der auf dem Zweck beruhend verschlüsselten Daten mithilfe des Entschlüsselungsschlüssels, der für Datenkonsumenten verfügbar ist, die für den Zweck zertifiziert sind, oder durch Entschlüsseln der auf dem zweiten Zweck beruhend verschlüsselten Daten mithilfe des zweiten Entschlüsselungsschlüssels zu erlangen ist, der für Datenkonsumenten verfügbar ist, die für den zweiten Zweck zertifiziert sind.
  3. Verfahren nach Anspruch 1, wobei die Genehmigung zur Nutzung der Daten für den Zweck durch eine konjunktive Einschränkung eingeschränkt wird; wobei das Verschlüsseln der Daten aufweist: Verschlüsseln der Daten mithilfe des Verschlüsselungsschlüssels, um Zwischendaten zu gewinnen; und Verschlüsseln der Zwischendaten mithilfe eines zweiten Verschlüsselungsschlüssels, der der konjunktiven Einschränkung zugehörig ist, wodurch die auf dem Zweck beruhend verschlüsselten Daten gewonnen werden, wobei ein zweiter Entschlüsselungsschlüssel zum Entschlüsseln von mit dem zweiten Verschlüsselungsschlüssel verschlüsselten Informationen erforderlich ist, wobei der zweite Entschlüsselungsschlüssel eingeschränkt für den Datenkonsumenten verfügbar ist, der die konjunktive Einschränkung einhält; wodurch ein Zugriff auf die Daten durch Entschlüsseln der auf dem Zweck beruhend verschlüsselten Daten mithilfe des Entschlüsselungsschlüssels, der für Datenkonsumenten verfügbar ist, die für den Zweck zertifiziert sind, zusammen mit dem zweiten Entschlüsselungsschlüssel zu erlangen ist, der für Dienstanbieter verfügbar ist, die die konjunktive Einschränkung einhalten.
  4. Verfahren nach Anspruch 3, wobei die konjunktive Einschränkung eine Identität eines berechtigten Dienstanbieters ist, wodurch nur der berechtigte Dienstanbieter in der Lage ist, auf die Daten zuzugreifen und nur zum Verwenden der Daten für den Zweck.
  5. Verfahren nach Anspruch 3, wobei es sich bei der konjunktiven Einschränkung handelt um: eine Einschränkung auf eine Mindestschwellenwertbewertung eines Dienstanbieters, der die Daten verwendet; oder eine Einschränkung auf einen geographischen Standort eines Dienstanbieters, der die Daten verwendet.
  6. Verfahren nach Anspruch 1, wobei das Ermöglichen aufweist: Speichern der auf einem Zweck beruhend verschlüsselten Daten in einem Datenspeicher, der für den einen oder die mehreren Datenkonsumenten zugänglich ist; und/oder Übertragen der auf einem Zweck beruhend verschlüsselten Daten an den einen oder die mehreren Datenkonsumenten.
  7. Verfahren nach Anspruch 1, wobei eine Verteilung des Entschlüsselungsschlüssels an einen oder mehrere Datenkonsumenten durch ein Zweckzertifizierungsstellen(PCA)-Modul durchgeführt wird und auf Datenkonsumenten beschränkt ist, die durch die PCA zum Verwenden von Daten für den Zweck zertifiziert sind.
  8. Verfahren nach Anspruch 1, wobei die Genehmigung zur Nutzung der Daten für einen ersten Zweck durch die betroffene Person oder eine Richtlinie bereitgestellt wird.
  9. Verfahren nach Anspruch 1, wobei das Verschlüsseln des Weiteren aufweist: Codieren einer Kennung des Zwecks in einem Header der auf einem Zweck beruhend verschlüsselten Daten, wodurch ein Datenkonsument in die Lage versetzt wird, auf Grundlage eines vorgesehenen Nutzungszwecks zu ermitteln, ob der Datenkonsument berechtigt ist, die Daten zu nutzen.
  10. Verfahren, das aufweist: Gewinnen von auf einem Zweck beruhend verschlüsselten Daten, die Daten verschlüsseln, wobei die auf einem Zweck beruhend verschlüsselten Daten mithilfe eines einem Zweck zugehörigen Verschlüsselungsschlüssels verschlüsselt werden, wobei eine Genehmigung zur Nutzung der Daten für den Zweck bereitgestellt wird; Entschlüsseln der auf einem Zweck beruhend verschlüsselten Daten mithilfe eines dem Zweck zugehörigen Entschlüsselungsschlüssels, wobei der Entschlüsselungsschlüssel zum Entschlüsseln von mit dem Verschlüsselungsschlüssel verschlüsselten Informationen verwendbar ist, wodurch die Daten gewonnen werden; und Verwenden der Daten durch einen Datenkonsumenten.
  11. Verfahren nach Anspruch 10, wobei das Entschlüsseln innerhalb eines geschützten Prozesses durchgeführt wird, wobei ein Zugriff auf einen Speicherbereich des geschützten Prozesses für sonstige Prozesse eingeschränkt ist, wodurch ein Zugriff auf den Entschlüsselungsschlüssel durch sonstige Prozesse verhindert wird.
  12. Verfahren nach Anspruch 11, wobei das Verwenden der Daten innerhalb des geschützten Prozesses durchgeführt wird.
  13. Verfahren nach Anspruch 11, wobei das Entschlüsseln aufweist: Bereitstellen eines Headers der auf einem Zweck beruhend verschlüsselten Daten für den geschützten Prozess, wobei der Header eine Angabe des Zwecks, des Datenkonsumenten und/oder einer konjunktiven Einschränkung aufweist; und Empfangen des Entschlüsselungsschlüssels von dem geschützten Prozess; und wobei das Verwenden der Daten außerhalb des geschützten Prozesses durchgeführt wird.
  14. Computerunterstützte Vorrichtung mit einem Prozessor und einem verbundenen Speicher, wobei der Prozessor dazu gestaltet ist, durchzuführen: Verfügen über Daten einer betroffenen Person, wobei eine Genehmigung zur Nutzung der Daten für einen Zweck bereitgestellt wird; Gewinnen eines dem Zweck zugehörigen Verschlüsselungsschlüssels, wobei ein Entschlüsselungsschlüssel zum Entschlüsseln von mit dem Verschlüsselungsschlüssel verschlüsselten Informationen erforderlich ist; Verschlüsseln der Daten mithilfe des Verschlüsselungsschlüssels, wodurch auf dem Zweck beruhend verschlüsselte Daten gewonnen werden, die mit dem Zweck codiert sind, für den die Daten verwendet werden können; Ermöglichen eines Zugriffs auf die auf dem Zweck beruhend verschlüsselten Daten für einen oder mehrere Datenkonsumenten, wodurch der Zugriff auf die Daten durch Entschlüsseln der auf dem Zweck beruhend verschlüsselten Daten mithilfe des Entschlüsselungsschlüssels zu erlangen ist, der für Datenkonsumenten verfügbar ist, die für den Zweck zertifiziert sind.
  15. Computerunterstützte Vorrichtung nach Anspruch 14, wobei eine Genehmigung zur Nutzung der Daten für einen zweiten Zweck bereitgestellt wird, wobei die Programmanweisungen den Prozessor des Weiteren veranlassen, durchzuführen: Gewinnen eines dem zweiten Zweck zugehörigen zweiten Verschlüsselungsschlüssels, wobei ein zweiter Entschlüsselungsschlüssel zum Entschlüsseln von mit dem zweiten Verschlüsselungsschlüssel verschlüsselten Informationen erforderlich ist; Verschlüsseln der Daten mithilfe des zweiten Verschlüsselungsschlüssels, wodurch auf einem zweiten Zweck beruhend verschlüsselte Daten gewonnen werden, die mit dem zweiten Zweck codiert sind, für den die Daten verwendet werden können; Ermöglichen eines Zugriffs auf die auf dem zweiten Zweck beruhend verschlüsselten Daten für den einen oder die mehreren Datenkonsumenten, wodurch der Zugriff auf die Daten durch Entschlüsseln der auf dem Zweck beruhend verschlüsselten Daten mithilfe des Entschlüsselungsschlüssels, der für Datenkonsumenten verfügbar ist, die für den Zweck zertifiziert sind, oder durch Entschlüsseln der auf dem zweiten Zweck beruhend verschlüsselten Daten mithilfe des zweiten Entschlüsselungsschlüssels zu erlangen ist, der für Datenkonsumenten verfügbar ist, die für den zweiten Zweck zertifiziert sind.
  16. Computerunterstützte Vorrichtung nach Anspruch 14, wobei die Genehmigung zur Nutzung der Daten für den Zweck durch eine konjunktive Einschränkung eingeschränkt wird; wobei das Verschlüsseln der Daten aufweist: Verschlüsseln der Daten mithilfe des Verschlüsselungsschlüssels, um Zwischendaten zu gewinnen; und Verschlüsseln der Zwischendaten mithilfe eines zweiten Verschlüsselungsschlüssels, der der konjunktiven Einschränkung zugehörig ist, wodurch die auf dem Zweck beruhend verschlüsselten Daten gewonnen werden, wobei ein zweiter Entschlüsselungsschlüssel zum Entschlüsseln von mit dem zweiten Verschlüsselungsschlüssel verschlüsselten Informationen erforderlich ist, wobei der zweite Entschlüsselungsschlüssel eingeschränkt für den Datenkonsumenten verfügbar ist, der die konjunktive Einschränkung einhält; wodurch ein Zugriff auf die Daten durch Entschlüsseln der auf dem Zweck beruhend verschlüsselten Daten mithilfe des Entschlüsselungsschlüssels, der für Datenkonsumenten verfügbar ist, die für den Zweck zertifiziert sind, zusammen mit dem zweiten Entschlüsselungsschlüssel zu erlangen ist, der für Dienstanbieter verfügbar ist, die die konjunktive Einschränkung einhalten.
  17. Computerunterstützte Vorrichtung nach Anspruch 16, wobei es sich bei der konjunktiven Einschränkung handelt um: eine Identität eines berechtigten Dienstanbieters; eine Einschränkung auf eine Mindestschwellenwertbewertung eines Dienstanbieters, der die Daten verwendet; oder eine Einschränkung auf einen geographischen Standort eines Dienstanbieters, der die Daten verwendet.
  18. Computerunterstützte Vorrichtung nach Anspruch 14, wobei das Ermöglichen aufweist: Speichern der auf einem Zweck beruhend verschlüsselten Daten in einem Datenspeicher, der für den einen oder die mehreren Datenkonsumenten zugänglich ist; und/oder Übertragen der auf einem Zweck beruhend verschlüsselten Daten an den einen oder die mehreren Datenkonsumenten.
  19. Computerunterstützte Vorrichtung nach Anspruch 14, wobei eine Verteilung des Entschlüsselungsschlüssels an einen oder mehrere Datenkonsumenten durch ein Zweckzertifizierungsstellen(PCA)-Modul durchgeführt wird und auf Datenkonsumenten beschränkt ist, die durch die PCA zum Verwenden von Daten für den Zweck zertifiziert sind.
  20. Computerunterstützte Vorrichtung nach Anspruch 14, wobei das Verschlüsseln des Weiteren aufweist: Codieren einer Kennung des Zwecks in einem Header der auf einem Zweck beruhend verschlüsselten Daten, wodurch ein Datenkonsument in die Lage versetzt wird, auf Grundlage eines vorgesehenen Nutzungszwecks zu ermitteln, ob der Datenkonsument berechtigt ist, die Daten zu nutzen.
DE112019003808.7T 2018-11-15 2019-11-07 Zweckspezifische Zugriffssteuerung auf Grundlage einer Datenverschlüsselung Active DE112019003808B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/191,490 US11132452B2 (en) 2018-11-15 2018-11-15 Data-encryption-based purpose-specific access control
US16/191,490 2018-11-15
PCT/IB2019/059575 WO2020099996A1 (en) 2018-11-15 2019-11-07 Data-encryption-based purpose-specific access control

Publications (2)

Publication Number Publication Date
DE112019003808T5 true DE112019003808T5 (de) 2021-04-22
DE112019003808B4 DE112019003808B4 (de) 2022-12-08

Family

ID=70727881

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112019003808.7T Active DE112019003808B4 (de) 2018-11-15 2019-11-07 Zweckspezifische Zugriffssteuerung auf Grundlage einer Datenverschlüsselung

Country Status (5)

Country Link
US (1) US11132452B2 (de)
JP (1) JP7465043B2 (de)
DE (1) DE112019003808B4 (de)
GB (1) GB2593642A (de)
WO (1) WO2020099996A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11386229B2 (en) * 2019-07-04 2022-07-12 Blackberry Limited Filtering personally identifiable information from vehicle data

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0834587B2 (ja) * 1989-07-07 1996-03-29 株式会社日立製作所 画像データの秘匿方法
US8302153B1 (en) * 1999-06-09 2012-10-30 Verizon Patent And Licensing Inc. Systems and methods for securing extranet transactions
JP2000138667A (ja) 1999-11-29 2000-05-16 Hitachi Software Eng Co Ltd 回覧デ―タ参照順の制御方法およびシステム
JP2002268549A (ja) 2001-03-06 2002-09-20 Sharp Corp 情報へのアクセス制御方法、情報へのアクセス制御装置、情報へのアクセス制御ネットワークシステム、情報へのアクセス制御プログラム
JP2002342292A (ja) 2001-05-17 2002-11-29 Sony Corp コンテンツ配信サーバおよび検出装置
US8275632B2 (en) 2004-07-23 2012-09-25 Privit, Inc. Privacy compliant consent and data access management system and methods
EP1637957A1 (de) * 2004-09-21 2006-03-22 Deutsche Thomson-Brandt Gmbh Verfahren und Einrichtung für den Zugriff auf geschützte Daten
JP2008276376A (ja) 2007-04-26 2008-11-13 Hitachi Software Eng Co Ltd 文書ファイル保護方法
JP5208982B2 (ja) 2010-03-01 2013-06-12 中国電力株式会社 整数を暗号化及び復号化する方法、装置及びシステム
JP5703714B2 (ja) 2010-11-22 2015-04-22 日本電気株式会社 データ処理装置およびデータ処理システムとデータ処理プログラムならびにアクセス制限方法
US20120173881A1 (en) * 2011-01-03 2012-07-05 Patient Always First Method & Apparatus for Remote Information Capture, Storage, and Retrieval
JP5698614B2 (ja) * 2011-06-22 2015-04-08 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation コンテキスト情報処理システム及び方法
US9323950B2 (en) * 2012-07-19 2016-04-26 Atmel Corporation Generating signatures using a secure device
CN104641591B (zh) 2012-09-21 2018-02-02 诺基亚技术有限公司 用于基于信任级别提供对共享数据的访问控制的方法和装置
US8904503B2 (en) 2013-01-15 2014-12-02 Symantec Corporation Systems and methods for providing access to data accounts within user profiles via cloud-based storage services
US9547720B2 (en) 2014-12-24 2017-01-17 Sap Se Access control for encrypted query processing
US10135622B2 (en) 2016-06-03 2018-11-20 Intel Corporation Flexible provisioning of attestation keys in secure enclaves
US10257197B2 (en) * 2016-07-14 2019-04-09 Sap Se Private data access controls in mobile applications
CN108021906A (zh) * 2017-12-23 2018-05-11 宁波亿拍客网络科技有限公司 一种双通道及单通道安全视频图像信息分析处理系统
CN108400966B (zh) * 2018-01-04 2020-08-07 中国地质大学(武汉) 一种基于时效控制的文件访问方法、设备及存储设备

Also Published As

Publication number Publication date
WO2020099996A1 (en) 2020-05-22
DE112019003808B4 (de) 2022-12-08
GB2593642A (en) 2021-09-29
GB202108158D0 (en) 2021-07-21
US11132452B2 (en) 2021-09-28
JP2022511357A (ja) 2022-01-31
JP7465043B2 (ja) 2024-04-10
US20200159942A1 (en) 2020-05-21

Similar Documents

Publication Publication Date Title
DE112018003077T5 (de) Ein cluster von sicheren ausführungsplattformen
DE112018000779T5 (de) Tokenbereitstellung für Daten
DE102017104075B4 (de) Schützen von daten auf einer speichervorrichtung
DE112018000143T5 (de) Datenmaskierung
DE112018005628T5 (de) Datenbereinigungssystem für eine öffentliche Host-Plattform
DE112021001766B4 (de) Inhaltskontrolle durch datenaggregationsdienste dritter
DE112018004390B4 (de) Sichere zugriffsverwaltung für werkzeuge innerhalb einer sicheren umgebung
DE102009001719B4 (de) Verfahren zur Erzeugung von asymmetrischen kryptografischen Schlüsselpaaren
DE112016004274B4 (de) Systeme und Verfahren zur Datenverlustvermeidung unter Wahrung von Vertraulichkeit
DE112021004937T5 (de) Sicheres erneutes verschlüsseln von homomorph verschlüsselten daten
DE112014000584T5 (de) Erreichen von Speichereffizienz bei durchgängiger Verschlüsselung unter Verwendung von nachgelagerten (Downstream-)Decryptern
DE102011077218B4 (de) Zugriff auf in einer Cloud gespeicherte Daten
EP1290530A1 (de) Verschlüsseln von abzuspeichernden daten in einem iv-system
CH709936B1 (de) System und Verfahren für das kryptographische Suite-Management.
DE112011103580B4 (de) Verfahren, sichere Einheit, System und Computerprogrammprodukt für das sichere Verwalten des Benutzerzugriffs auf ein Dateisystem
DE102009017221A1 (de) Information-Rights-Management
KR101220160B1 (ko) 모바일 클라우드 환경에서 안전한 프록시 재암호화 기반의 데이터 관리 방법
DE112020000134T5 (de) Sicherer, mehrstufiger zugriff auf verschleierte daten für analysen
EP3876127A1 (de) Gerätefernwartung auf basis verteilter datenspeicherung
DE112020005625T5 (de) Binden sicherer objekte eines sicherheitsmoduls an einen sicheren gast
DE112021002201T5 (de) Datenschutzorientierte Datensicherheit in einer Cloud-Umgebung
DE112021006229T5 (de) Hybride schlüsselableitung zum sichern von daten
DE112022003368T5 (de) Verschlüsselungsüberwachungsregister und -system
EP3672142B1 (de) Verfahren und system zur sicheren übertragung eines datensatzes
DE10146361A1 (de) Vorrichtung und Verfahren zur Etablierung einer Sicherheitspolitik in einem verteilten System

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence
R020 Patent grant now final