DE112021002201T5

DE112021002201T5 - Datenschutzorientierte Datensicherheit in einer Cloud-Umgebung

Info

Publication number: DE112021002201T5
Application number: DE112021002201.6T
Authority: DE
Inventors: Torsten Teich; Andrew Low
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 2020-04-08
Filing date: 2021-03-16
Publication date: 2023-03-09
Also published as: CN115299011A; AU2021253779A1; US20210319133A1; AU2021253779B2; WO2021205256A1; GB2609359A; GB202216529D0; CN115299011B; JP2023520212A; US11741254B2

Abstract

Techniken für datenschutzorientierte Datensicherheit. Eine Anfrage, um einem Datenverarbeiter zu erlauben, auf private Daten zuzugreifen, die einem Benutzer zugehörig sind, wird bei einem Cloud-Datenschutzdienst empfangen. Die Anfrage umfasst eine Anfrage bezüglich eines Datenzugriffsblocks, der die privaten Daten betrifft, und eines Datenfilters, das einen oder mehrere Zugriffsparameter beschreibt. Der Cloud-Datenschutzdienst erzeugt den ersten Datenzugriffsblock auf Grundlage der privaten Daten und des Datenfilters. Der erste Datenzugriffsblock wird von dem Cloud-Datenschutzdienst zu einer Benutzereinheit übertragen, die so konfiguriert ist, dass sie den ersten Datenzugriffsblock zu dem ersten Datenverarbeiter überträgt. Der Cloud-Datenschutzdienst empfängt eine Anfrage bezüglich der privaten Daten, die den ersten Datenzugriffsblock umfasst. Der Cloud-Datenschutzdienst stellt fest, dass der erste Datenschutzblog gültig ist, und gewährt dem ersten Datenverarbeiter Zugriff auf die privaten Daten.

Description

HINTERGRUND
Die vorliegende Erfindung betrifft Computersicherheit und konkreter datenschutzorientierte Datensicherheit in einer Cloud-Umgebung.
KURZDARSTELLUNG
Ausführungsformen umfassen ein Verfahren. Das Verfahren umfasst ein Empfangen, bei einem Cloud-Daten-Datenschutzdienst, einer Anfrage von einer Benutzereinheit, um einem ersten Datenverarbeiter zu erlauben, auf private Daten zuzugreifen, die dem Benutzer zugehörig sind. Die Anfrage umfasst eine Anfrage bezüglich eines ersten Datenzugriffsblocks, der die privaten Daten betrifft, und eines Datenfilters, das einen oder mehrere Zugriffsparameter beschreibt, die den ersten Datenverarbeiter und die privaten Daten betreffen. Das Verfahren umfasst ein Erzeugen eines ersten Datenzugriffsblocks bei dem Cloud-Daten-Datenschutzdienst auf der Grundlage der privaten Daten und des Datenfilters. Das Verfahren umfasst ferner ein Übertragen des ersten Datenzugriffsblocks aus dem Cloud-Daten-Datenschutzdienst zu der Benutzereinheit. Die Benutzereinheit ist so konfiguriert, dass sie den ersten Datenzugriffsblock zu dem ersten Datenverarbeiter überträgt. Das Verfahren umfasst ferner ein Empfangen, bei dem Cloud-Daten-Datenschutzdienst, einer Anfrage von dem ersten Datenverarbeiter bezüglich der privaten Daten, wobei die Anfrage den ersten Datenzugriffsblock umfasst. Das Verfahren umfasst ferner ein Feststellen, bei dem Cloud-Daten-Datenschutzdienst, dass der von dem ersten Datenverarbeiter empfangene erste Datenzugriffsblock gültig ist, und als Reaktion ein Gewähren eines partiellen Zugriffs auf die privaten Daten gegenüber dem ersten Datenverarbeiter.
Ausführungsformen umfassen ferner ein System. Das System umfasst einen Prozessor und einen Speicher, der ein Programm speichert, das bei Ausführung auf dem Prozessor eine Operation durchführt. Die Operation umfasst ein Empfangen, bei einem Cloud-Daten-Datenschutzdienst, einer Anfrage von einer Benutzereinheit, um einem ersten Datenverarbeiter zu erlauben, auf private Daten zuzugreifen, die dem Benutzer zugehörig sind. Die Anfrage umfasst eine Anfrage bezüglich eines ersten Datenzugriffsblocks, der die privaten Daten betrifft, und eines Datenfilters, das einen oder mehrere Zugriffsparameter beschreibt, die den ersten Datenverarbeiter und die privaten Daten betreffen. Die Operation umfasst ein Erzeugen eines ersten Datenzugriffsblocks bei dem Cloud-Daten-Datenschutzdienst auf der Grundlage der privaten Daten und des Datenfilters. Die Operation umfasst ferner ein Übertragen des ersten Datenzugriffsblocks aus dem Cloud-Daten-Datenschutzdienst zu der Benutzereinheit. Die Benutzereinheit ist so konfiguriert, dass sie den ersten Datenzugriffsblock zu dem ersten Datenverarbeiter überträgt. Die Operation umfasst ferner ein Empfangen, bei dem Cloud-Daten-Datenschutzdienst, einer Anfrage von dem ersten Datenverarbeiter bezüglich der privaten Daten, wobei die Anfrage den ersten Datenzugriffsblock umfasst. Die Operation umfasst ferner ein Feststellen, bei dem Cloud-Daten-Datenschutzdienst, dass der von dem ersten Datenverarbeiter empfangene erste Datenzugriffsblock gültig ist, und als Reaktion ein Gewähren eines partiellen Zugriffs auf die privaten Daten gegenüber dem ersten Datenverarbeiter.
Ausführungsformen umfassen ferner ein nichtflüchtiges Computerprogrammprodukt, wobei das Computerprogrammprodukt ein durch einen Computer lesbares Speichermedium umfasst, auf dem durch einen Computer lesbarer Programmcode verkörpert ist, wobei der durch einen Computer lesbare Programmcode durch einen oder mehrere Computerprozessoren ausführbar ist, um eine Operation durchzuführen. Die Operation umfasst ein Empfangen, bei einem Cloud-Daten-Datenschutzdienst, einer Anfrage von einer Benutzereinheit, um einem ersten Datenverarbeiter zu erlauben, auf private Daten zuzugreifen, die dem Benutzer zugehörig sind. Die Anfrage umfasst eine Anfrage bezüglich eines ersten Datenzugriffsblocks, der die privaten Daten betrifft, und eines Datenfilters, das einen oder mehrere Zugriffsparameter beschreibt, die den ersten Datenverarbeiter und die privaten Daten betreffen. Die Operation umfasst ein Erzeugen eines ersten Datenzugriffsblocks bei dem Cloud-Daten-Datenschutzdienst auf der Grundlage der privaten Daten und des Datenfilters. Die Operation umfasst ferner ein Übertragen des ersten Datenzugriffsblocks aus dem Cloud-Daten-Datenschutzdienst zu der Benutzereinheit. Die Benutzereinheit ist so konfiguriert, dass sie den ersten Datenzugriffsblock zu dem ersten Datenverarbeiter überträgt. Die Operation umfasst ferner ein Empfangen, bei dem Cloud-Daten-Datenschutzdienst, einer Anfrage von dem ersten Datenverarbeiter bezüglich der privaten Daten, wobei die Anfrage den ersten Datenzugriffsblock umfasst. Die Operation umfasst ferner ein Feststellen, bei dem Cloud-Daten-Datenschutzdienst, dass der von dem ersten Datenverarbeiter empfangene erste Datenzugriffsblock gültig ist, und als Reaktion ein Gewähren eines partiellen Zugriffs auf die privaten Daten gegenüber dem ersten Datenverarbeiter.
Figurenliste

1 veranschaulicht ein System zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform.
Die 2A bis C veranschaulichen eine Benutzereinheit, einen Cloud-Server und einen Datenverarbeiter in einem System zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform.
Bei den 3A bis B handelt es sich um ein Flussdiagramm, das einen Datenfluss zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform veranschaulicht.
Die 4A bis C veranschaulichen eine Datenstruktur zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform.
Die 5A bis C veranschaulichen Datenschutzfilter zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform.
Die 6A bis B veranschaulichen Datenzugriffsblockstrukturen zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform.
7 veranschaulicht Techniken zum Navigieren in Datenblockstrukturen zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform.
Die 8A bis B veranschaulichen eine Benutzeroberfläche zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform.
9 stellt eine Cloud-Computing-Umgebung gemäß mindestens einer Ausführungsform bildlich dar.
10 stellt Abstraktionsmodellschichten gemäß mindestens einer Ausführungsform bildlich dar.

AUSFÜHRLICHE BESCHREIBUNG
In der modernen vernetzten Welt wird der Schutz privater Daten zunehmend wichtiger. Bei einer Ausführungsform kann der Schutz privater Daten über ein datenschutzorientiertes System verbessert werden, bei dem personenbezogene Daten an Orten gemäß den Entscheidungen des Eigentümers gespeichert werden und ein Zugriff auf die Daten jederzeit der Echtzeitkontrolle des Eigentümers unterliegt. Um dies zu ermöglichen, kann ein Benutzer einen virtuellen Datensafe besitzen, um die personenbezogenen Daten des Benutzers und den für die Daten erlaubten Umfang des Zugriffs zu verwalten. Bei einer Ausführungsform kann es sich hierbei um einen sicheren Dienst in der Cloud handeln, der durch einen vertrauenswürdigen Dienstanbieter betrieben wird und in einem durch den Benutzer gewählten Bereich installiert ist. Der Informationsaustausch wird über diesen virtuellen Datensafe ausgehandelt. Ferner kann der virtuelle Datensafe im Gegensatz zu einem physisch sicheren Safe (der durch einen Schlüssel oder einen Code geöffnet werden kann, aber entweder offen oder verriegelt ist) einen partiellen Zugriff auf seinen Inhalt freischalten.
Bei einer Ausführungsform ist ein Zugriff zum Lesen von privaten Daten des Benutzers durch ein Sicherer-Zugriff-Token realisiert. Jedem Datenanforderer (z.B. einem Anbieter medizinischer Dienste, einem Finanzinstitut, einem Soziale-Medien-Dienst usw. des Benutzers) wird ein Token vergeben, das es dem Anforderer erlaubt, die Benutzerdaten zu lesen. Der Benutzer kann ferner genau regeln, welchem Anforderer zuzugreifen erlaubt ist, indem zum Beispiel einem Anbieter medizinischer Dienste ein Zugriff auf einen relevanten Abschnitt der medizinischen Daten des Benutzers bereitgestellt wird und einem Finanzdienstleister ein Zugriff auf einen relevanten Abschnitt der Finanzdaten des Benutzers bereitgestellt wird. Ein Benutzer kann das Token annullieren, indem dem Anforderer der Zugriff entzogen wird. Bei einer Ausführungsform kann der Anforderer auf die Daten (die in dem virtuellen Datensafe gespeichert sind) über einen Web-Dienst oder eine geeignete API (z.B. eine RESTful-API) zugreifen. Ferner kann der Benutzer/die Benutzerin wählen, dass er/sie benachrichtigt werden soll, wenn auf seine/ihre Daten zugegriffen wird. Eine Benachrichtigung kann auf der Grundlage des Tokens des Anforderers pro Element konfiguriert sein.
Bei einer Ausführungsform müssen Dienstanbieter, die Daten über den Benutzer speichern möchten, die Daten in dem virtuellen Datensafe des Benutzers speichern. Vertrauenswürdige Behörden können unter der Kontrolle des Benutzers Zugriff auf die Daten anfordern. Der Benutzer kann in Echtzeit über die Zugriffsanforderung informiert werden und zustimmen oder verweigern (über zum Beispiel eine Push-Benachrichtigung oder eine SMS an ihre mobile Einheit). Um zu vermeiden, dass die Benutzerin mit Benachrichtigungen überhäuft wird, kann die Benutzerin ferner entscheiden, wie oft oder zu welchem Zeitpunkt oder bei welchem Ereignis sie die nächste Benachrichtigung bezüglich des bestimmten Anforderers oder Datenelements empfängt. Ferner können in dem Fall, dass der Benutzer nicht in der Lage ist, rechtzeitig zu reagieren, um dem Zugriff zuzustimmen oder diesen zu verweigern, zeitweilige Zugriffsregeln bezüglich Datenelementen angewendet werden, für die der Benutzer eine vorläufige Zustimmung für den zeitweiligen Zugriff bereitgestellt hat.
Bei einer Ausführungsform kann ein Benutzer ferner wählen, einen umfassenderen Zugriff auf Daten zu erlauben, die anonymisiert wurden. Dies kann einem Benutzer erlauben, an öffentlichen Umfragen teilzunehmen, aber eine Offenbarung von Details innerhalb seiner privaten Daten begrenzen. Zum Beispiel können bestimmte Informationen über die Person anonymisiert sein, sodass der Anforderer lediglich eingeschränkte oder zusammengefasste Ergebnisse empfängt. Bei einer Ausführungsform kann der Anbieter des virtuellen Datensafes als vertrauenswürdige Partei fungieren, mit der der Benutzer auf der Grundlage eines Dienstvertrags, den die beiden Parteien abgeschlossen haben, eine vertrauenswürdige Beziehung eingegangen ist.
Zum Beispiel kann ein Benutzer außerdem wählen, bestimmte Datenelemente mit einer Verwendungsart wie z.B. „zeitweilig schreibgeschützt“ im Gegensatz zu „besitzen/kopieren“ zu kennzeichnen, wobei in diesem Fall der Anforderer eines Datenelements die Daten zeitweilig verarbeiten, aber nicht permanent speichern kann. Die Entscheidung des Benutzers kann mit Hilfe eines Datenschutztokens realisiert werden, das der Benutzer in Echtzeit von dem vertrauenswürdigen Dienstanbieter erhält. Der Benutzer (Halter des Datenschutztokens) könnte dieses Token zu einer dritten Partei weiterleiten, die wiederum an den vertrauenswürdigen Dienstanbieter herantreten und das Datenschutztoken präsentieren könnte. Der vertrauenswürdige Dienstanbieter könnte dann angeforderte Daten übergeben, die dem Datenschutztoken zugehörig sind.
Ferner kann ein Datenschutztoken verwendet werden, um ein sekundäres Datenschutztoken zu erzeugen (mit Erlaubnis von dem Benutzer), das es einer weiteren Entität erlaubt, auf dieselben oder eine Teilmenge der privaten Informationen des Benutzers zuzugreifen. Bei einer Ausführungsform halten sich alle beteiligten Parteien an Richtlinien, die unter der Kontrolle des Dateneigentümers an die Daten gebunden sind. Alle Zugriffe, Transaktionen und Interaktionen werden in dem virtuellen Datensafe protokolliert.
1 veranschaulicht ein System zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform. Eine oder mehrere Benutzereinheiten 100 sind zu Datenübertragungszwecken mit einem Cloud-System 150 verbunden. Bei einer Ausführungsform können die Benutzereinheiten 100 eine beliebige geeignete Benutzereinheit umfassen, unter anderem einen Notebook-Computer, einen Desktop-Computer, ein Smartphone, ein Tablet usw. Bei dem Cloud-System 150 kann es sich um ein beliebiges geeignetes Cloud-System (z.B. eine öffentliche Cloud, eine private Cloud, eine Hybrid-Cloud usw.) handeln. Das Cloud-System 150 wird nachstehend ausführlicher in Bezug auf die 9 und 10 beschrieben. Zwar beschreiben eine oder mehrere offenbarte Ausführungsformen beispielhaft ein auf einer Cloud beruhendes System, es kann jedoch ein beliebiges geeignetes System verwendet werden, unter anderem ein nicht auf einer Cloud beruhendes System.
Die Benutzereinheiten 100 können mit dem Cloud-System 150 unter Verwendung einer beliebigen geeigneten Datenübertragungstechnik Daten austauschen, unter anderem über eine WLAN-Verbindung, eine Mobilfunkverbindung, eine leitungsgebundene Verbindung usw. Bei einer Ausführungsform tauschen eine oder mehrere der Benutzereinheiten 100 mit dem Cloud-System 150 unter Verwendung einer Mobilfunkverbindung über das mobile Gateway 120 Daten aus. Ferner können die Benutzereinheiten 100 mit dem Cloud-System 150 unter Verwendung eines beliebigen geeigneten Datenübertragungsnetzwerks Daten austauschen, unter anderem über ein lokales Netzwerk, ein Weitverkehrsnetzwerk, das Internet usw.
Ein oder mehrere Datenverarbeiter 180A bis N sind ferner zu Datenübertragungszwecken mit dem Cloud-System 150 und bei einer Ausführungsform untereinander verbunden. Wie ferner nachstehend beschrieben wird, kann es sich bei den Datenverarbeitern 180A bis N um Systeme handeln, die private Daten verwenden, die den Benutzern der Benutzereinheiten 100 zugehörig sind. Zum Beispiel können die Datenverarbeiter 180A bis N soziale Netzwerke, Finanzinstitute, medizinische Institutionen, Unternehmen, Bildungsinstitutionen, elektronische Spiele usw. umfassen. Die Datenverarbeiter 180A bis N können mit dem Cloud-System 150 unter Verwendung einer beliebigen geeigneten Datenübertragungstechnik Daten austauschen, unter anderem über eine WLAN-Verbindung, eine Mobilfunkverbindung, eine leitungsgebundene Verbindung usw. Ferner können die Datenverarbeiter 180A bis N mit dem Cloud-System 150 unter Verwendung eines beliebigen geeigneten Datenübertragungsnetzwerks Daten austauschen, unter anderem über ein lokales Netzwerk, ein Weitverkehrsnetzwerk, das Internet usw.
Bei einer Ausführungsform umfasst das Cloud-System 150 einen Cloud-Datenschutzdienst 162. Wie nachstehend ausführlicher in Bezug auf nachfolgende Figuren erörtert wird, kann der Cloud-Datenschutzdienst 162 eine datenschutzorientierte Datensicherheit ermöglichen, indem Interaktionen zwischen den Benutzereinheiten 100 den Datenverarbeitern 180A bis N geregelt werden. Zum Beispiel können bei einer Ausführungsform private Daten für die Benutzer der Benutzereinheiten 100 in einem sicheren Datendepot (repository) bei dem Cloud-System 150 aufrechterhalten werden und der Cloud-Datenschutzdienst 162 kann den Zugriff auf diese Daten durch die Datenverarbeiter 180A bis B regeln. Bei einem weiteren Beispiel können private Daten für die Benutzer der Benutzereinheiten in den Benutzereinheiten 100 oder an einem weiteren Speicherort aufrechterhalten werden, der durch die Benutzer aufrechterhalten wird (z.B. ein Speicherort zuhause bei dem Benutzer oder im Büro des Benutzers), und der Cloud-Datenschutzdienst 162 kann den Zugriff auf diese Daten regeln. Dies wird nachstehend ausführlicher in Bezug auf die 2A bis C und später erörtert.
Wie nachstehend ferner erörtert wird, kann gemäß einer oder mehreren offenbarten Ausführungsformen ein Benutzer/eine Benutzerin unter Verwendung des Cloud-Datenschutzdienstes 162 einem oder mehreren der Datenverarbeiter 180A bis N Zugriff auf seine/ihre privaten Daten gewähren. Der Zugriff kann zeitweilig sein und kann begrenzt sein (z.B. eine Benachrichtigung an den Benutzer oder eine Zustimmung durch den Benutzer erfordern). Die Datenverarbeiter 180A bis N bewahren die privaten Daten des Benutzers nicht über die erlaubte zeitweilige Verwendung hinaus auf. Stattdessen bleiben die Daten in einem durch den Benutzer kontrollierten Datendepot gespeichert (z.B. in der Cloud 150 oder auf der Benutzereinheit 100).
Bei einer Ausführungsform können die Datenverarbeiter 180A bis N Daten untereinander austauschen. Zum Beispiel kann es sich bei dem Datenverarbeiter 180A um einen Finanzdienstleister handeln, der einige Funktionen des Datenverarbeiters 180N per Untervertrag vergibt. Weiterhin beispielhaft kann es sich bei dem Datenverarbeiter 180A um einen Anbieter medizinischer Dienste handeln, und bei dem Datenverarbeiter 180N kann es sich um einen Versicherer handeln. Hierbei handelt es sich lediglich um Beispiele und es können beliebige geeignete Datenverarbeiter verwendet werden.
Wie nachstehend ferner erörtert wird, kann der Benutzer Datenverarbeiter 180A dem Datenverarbeiter 180N Zugriff auf private Daten des Benutzers gewähren (z.B. durch Erzeugen eines Datenzugriffsblocks, wie nachstehend in Bezug auf die 3A bis B und die 6A bis 6B erörtert wird). Der Datenverarbeiter 180A kann dem Datenverarbeiter 180N denselben Zugriff gewähren, der für den Datenverarbeiter 180A erlaubt ist, unter anderem beliebige Benachrichtigungs- und Zustimmungsanforderungen, oder einen begrenzten Zugriff (z.B. könnte ein Benutzer einem Anbieter medizinischer Dienste erlauben, einem Versicherer Zugriff auf biografische Informationen und Kreditkarteninformationen eines Benutzers erlauben, aber nicht auf die medizinischen Unterlagen des Benutzers). Dies wird nachstehend ausführlicher erörtert.
Bei einer Ausführungsform können die Benutzereinheiten 100 und die Datenverarbeiter 180A bis N unter Verwendung einer geeigneten Anwendungsprogrammierschnittstelle (application programming interface, API) Daten mit dem Cloud-Datenschutzdienst 162 austauschen. Zum Beispiel können eine RESTful-API oder eine beliebige andere geeignete API verwendet werden. Alternativ können die Benutzereinheiten 100 und/oder die Datenverarbeiter 180A bis N mit dem Cloud-Datenschutzdienst 162 unter Verwendung beliebiger geeigneter Mittel Daten austauschen, unter anderem unter Verwendung einer Webseite, von Netzwerknachrichten, eMail, SMS-Nachrichten, Soziale-Medien-Nachrichten usw. Zum Beispiel könnte ein Benutzer/eine Benutzerin, der/die einem Anbieter medizinischer Dienste den Zugriff auf seine oder ihre Daten gewähren möchte, den Cloud-Datenschutzdienst 162 berechtigen, eine eMail oder eine SMS Nachricht an den Anbieter medizinischer Dienste senden, die den Zugriff gewährt und eine Verknüpfung zu den Daten bereitstellt, um dem Anbieter medizinischer Dienste einen berechtigten Zugriff auf die Daten zu erlauben. Auf diese Weise kann der Datenverarbeiter (z.B. der Anbieter medizinischer Dienste) auf die Daten zugreifen, ohne speziell eine direkte Datenübertragung mit dem Cloud-Datenschutzdienst 162 zu realisieren.
Die 2A bis C veranschaulichen eine Benutzereinheit, einen Cloud-Server und einen Datenverarbeiter in einem System zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform. 2A ist ein Blockschema, das eine Benutzereinheit 200 veranschaulicht (z.B. eine der in 1 veranschaulichten Benutzereinheiten 100). Die Benutzereinheit 200 umfasst einen Prozessor 202, einen Speicher 210 und Netzwerkkomponenten 220. Der Prozessor 202 ruft allgemein im Speicher 210 gespeicherte Programmieranweisungen ab und führt diese aus. Der enthaltene Prozessor 202 steht für eine einzige Zentraleinheit (central processing unit, CPU), mehrere CPUs, eine einzige CPU mit mehreren Verarbeitungskernen, Grafikverarbeitungseinheiten (graphics processing units, GPUs) mit mehreren Ausführungspfaden und dergleichen.
Die Netzwerkkomponenten 220 umfassen Komponenten, die für die Benutzereinheit 200 notwendig sind, um eine Verbindung mit dem Cloud-System 150 herzustellen, wie vorstehend in Bezug auf 1 erörtert. Zum Beispiel können die Netzwerkkomponenten 220 Komponenten einer leitungsgebundenen Schnittstelle, einer WLAN-Schnittstelle oder einer Mobilfunknetzschnittstelle und zugehörige Software umfassen, um eine Datenübertragung zwischen der Benutzereinheit 200 und dem Cloud-System 150 zu ermöglichen.
Zwar ist der Speicher 210 als eine einzige Entität gezeigt, der Speicher 210 kann jedoch eine oder mehrere Speichereinheiten mit Blöcken von Speicher umfassen, die physischen Adressen zugeordnet sind, wie zum Beispiel Direktzugriffsspeicher (random access memory, RAM), Nur-Lese-Speicher (read only memory, ROM), Flash-Speicher oder andere Arten von flüchtigem oder nicht flüchtigem Speicher. Der Speicher 210 enthält allgemein Programmcode zum Durchführen verschiedener Funktionen, die die Verwendung des Benutzereinheit-Clients 200 betreffen. Der Programmcode ist allgemein als verschiedene „Funktionsanwendungen“ oder „Funktionsmodule“ innerhalb des Speichers 210 beschrieben, obwohl alternative Realisierungsformen andere Funktionen und/oder Kombinationen von Funktionen enthalten können.
Innerhalb des Speichers 210 ermöglicht ein Dateneigentümerdienst 212 eine datenschutzorientierte Datensicherheit, wie bei nachfolgenden Figuren erörtert. Zum Beispiel umfasst die Benutzereinheit 200 bei einer Ausführungsform ein Datendepot 214. Das Datendepot 214 kann private Daten für den Benutzer der Benutzereinheit 200 speichern. Der Dateneigentümerdienst 212 kann zum Interagieren mit einem Datenschutzdienst in einem Cloud-System (z.B. dem in 1 veranschaulichten Cloud-Datenschutzdienst 162 und dem in 2B veranschaulichten Datenschutzdienst 262) verwendet werden, um datenschutzorientierte Datensicherheit zu gewährleisten. Dies wird bei nachfolgenden Figuren ausführlicher erörtert.
2B ist ein Blockschema, das einen Server (z.B. eine virtuelle Maschine oder einen physischen Server, wie nachstehend in Bezug auf 9 erörtert wird) in einem Cloud-System 250 (z.B. dem in 1 veranschaulichten Cloud-System 150) veranschaulicht. Das Cloud-System 250 umfasst einen Prozessor 252, einen Speicher 260 und Netzwerkkomponenten 270. Der Prozessor 252 ruft allgemein im Speicher 260 gespeicherte Programmieranweisungen ab und führt diese aus. Der enthaltene Prozessor 252 steht für eine einzige Zentraleinheit (central processing unit, CPU), mehrere CPUs, eine einzige CPU mit mehreren Verarbeitungskernen, Grafikverarbeitungseinheiten (graphics processing units, GPUs) mit mehreren Ausführungspfaden und dergleichen.
Die Netzwerkkomponenten 270 umfassen die Komponenten, die für das Cloud-System 250 notwendig sind, um eine Verbindung mit einem Drahtlos-Datenübertragungsnetzwerk herzustellen, wie vorstehend in Bezug auf 1 erörtert. Zum Beispiel können die Netzwerkkomponenten 270 Komponenten einer leitungsgebundenen Schnittstelle, einer WLAN-Schnittstelle oder einer Mobilfunknetzschnittstelle und zugehörige Software umfassen, um eine Datenübertragung zwischen der Benutzereinheit 200, dem Cloud-System 250 und dem Datenverarbeiter 280 herzustellen, die in 2C veranschaulicht sind.
Zwar ist der Speicher 260 als eine einzige Entität gezeigt, der Speicher 260 kann jedoch eine oder mehrere Speichereinheiten mit Blöcken von Speicher umfassen, die physischen Adressen zugeordnet sind, wie zum Beispiel Direktzugriffsspeicher (RAM), Nur-Lese-Speicher (ROM), Flash-Speicher oder andere Arten von flüchtigem oder nichtflüchtigem Speicher. Der Speicher 260 enthält allgemein Programmcode zum Durchführen verschiedener Funktionen, die die Verwendung des Cloud-Systems 250 betreffen. Der Programmcode ist allgemein als verschiedene „Funktionsanwendungen“ oder „Funktionsmodule“ innerhalb des Speichers 260 beschrieben, obwohl alternative Realisierungsformen andere Funktionen und/oder Kombinationen von Funktionen enthalten können.
Innerhalb des Speichers 260 ermöglicht ein Cloud-Datenschutzdienst 262 (z.B. der in 1 veranschaulichte Cloud-Datenschutzdienst 162) eine datenschutzorientierte Datensicherheit, wie bei nachfolgenden Figuren erörtert wird. Zum Beispiel umfasst der Speicher 260 bei einer Ausführungsform ein Datendepot 264. Das Datendepot 264 kann private Daten für den Benutzer der Benutzereinheit 200 speichern (z.B. anstelle des oder zusätzlich zu dem in 2A veranschaulichten Datendepot 214). Der Cloud-Datenschutzdienst 262 kann zum Interagieren mit dem in 2A veranschaulichten Dateneigentümerdienst 212 und dem in 2C veranschaulichten Datenverarbeiterdienst 292 verwendet werden, um datenschutzorientierte Datensicherheit zu gewährleisten.
Ferner kann der Cloud-Datenschutzdienst 262 bei einer Ausführungsform einen Filtererzeugungsdienst 263 umfassen. Bei einer Ausführungsform wird der Filtererzeugungsdienst 263 verwendet, um benutzerdefinierte Filter für private Daten zu erzeugen, die Zugriffsparameter für die Daten angeben können (z.B., ob Benachrichtigung oder Zustimmung erforderlich ist und auf welche Daten zugegriffen werden kann). Dies wird nachstehend ausführlicher in Bezug auf 5A erörtert. Ferner kann der Speicher 260 ein oder mehrere Datenschutzfilter 266 speichern, die zum Filtern privater Daten verwendet werden, bevor die Daten den Datenverarbeitern bereitgestellt werden (z.B. dem in 2C veranschaulichten Datenverarbeiter 280). Der Cloud-Datenschutzdienst 262, das Datendepot 264 und die Datenschutzfilter 266 werden bei nachfolgenden Figuren ausführlicher erörtert.
2C ist ein Blockschema, das einen Datenverarbeiter 280 veranschaulicht (z.B. einen der in 1 veranschaulichten Datenverarbeiter 180A bis N). Der Datenverarbeiter 280 umfasst einen Prozessor 282, einen Speicher 290 und Netzwerkkomponenten 296. Der Prozessor 282 ruft im Allgemeinen im Speicher 290 gespeicherte Programmieranweisungen ab und führt diese aus. Der enthaltene Prozessor 282 steht für eine einzige Zentraleinheit (central processing unit, CPU), mehrere CPUs, eine einzige CPU mit mehreren Verarbeitungskernen, Grafikverarbeitungseinheiten (graphics processing units, GPUs) mit mehreren Ausführungspfaden und dergleichen.
Die Netzwerkkomponenten 296 umfassen die Komponenten, die für den Datenverarbeiter 280 notwendig sind, um eine Verbindung mit einem Drahtlos-Datenübertragungsnetzwerk herzustellen, wie vorstehend in Bezug auf 1 erörtert. Zum Beispiel können die Netzwerkkomponenten 296 Komponenten einer leitungsgebundenen Schnittstelle oder einer Mobilfunknetzschnittstelle und zugehörige Software umfassen, um eine Datenübertragung zwischen dem Cloud-System 250 und dem Datenverarbeiter 280 sowie zwischen dem Datenverarbeiter 280 und einem weiteren Datenverarbeiter herzustellen.
Zwar ist der Speicher 290 als eine einzige Entität gezeigt, der Speicher 290 kann jedoch eine oder mehrere Speichereinheiten mit Blöcken von Speicher umfassen, die physischen Adressen zugeordnet sind, wie zum Beispiel Direktzugriffsspeicher (RAM), Nur-Lese-Speicher (ROM), Flash-Speicher oder andere Arten von flüchtigem oder nichtflüchtigem Speicher. Der Speicher 290 enthält allgemein Programmcode zum Durchführen verschiedener Funktionen, die die Verwendung des Datenverarbeiters 280 betreffen. Der Programmcode ist allgemein als verschiedene „Funktionsanwendungen“ oder „Funktionsmodule“ innerhalb des Speichers 290 beschrieben, obwohl alternative Realisierungsformen andere Funktionen und/oder Kombinationen von Funktionen enthalten können.
Innerhalb des Speichers 290 ermöglicht ein Datenverarbeiterdienst 292 eine datenschutzorientierte Datensicherheit, wie bei nachfolgenden Figuren erörtert. Zum Beispiel kann der Datenverarbeiterdienst 292 bei einer Ausführungsform zum Interagieren mit dem in 2B veranschaulichten Cloud-Datenschutzdienst 262 verwendet werden, um datenschutzorientierte Datensicherheit zu gewährleisten. Dies wird bei nachfolgenden Figuren ausführlicher erörtert.
Bei den 3A bis B handelt es sich um ein Flussdiagramm 300, das einen Datenfluss zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform veranschaulicht. Bei Block 302 lädt ein Benutzer ein Filter in den Cloud-Datenschutzdienst 262 hoch (z.B. unter Verwendung des in 2A veranschaulichten Dateneigentümerdienstes 212). Bei einer Ausführungsform werden Filter verwendet, um den Zugriff durch einen Datenverarbeiter auf private Daten des Benutzers zu regeln. Ein Filter kann durch den Benutzer (z.B. ein Kundenfilter) erzeugt werden oder es kann sich um ein Standardfilter handeln (das z.B. Nur-Lese-Zugriff, Lese- und Schreibzugriff bereitstellt, die eine Überprüfung vor dem Zugriff erfordern, usw.). Ferner kann es sich bei einer Ausführungsform bei einem Filter um Code (z.B. Quellcode oder kompilierten Code) zur Ausführung durch den Cloud-Datenschutzdienst handeln. Filter werden nachstehend ausführlicher in Bezug auf die 5A bis C erörtert.
Bei Block 304 kompiliert der Cloud-Datenschutzdienst 262 das empfangene Filter (wenn z.B. notwendig) und speichert das Filter (z.B. in dem in 2B veranschaulichten Datenschutzfilterdepot 266). Zum Beispiel kann die Benutzereinheit 200 den Datenschutzdienst-Quellcode für ein Filter hochladen, das Lesezugriff auf die privaten Daten des Benutzers (oder eine bestimmte Teilmenge der privaten Daten des Benutzers) bereitstellt. Der Cloud-Datenschutzdienst 262 kann das empfangene Filter kompilieren und das kompilierte Filter in dem Datenschutzfilterdepot 266 zur späteren Ausführung speichern. Dies wird nachstehend in Bezug auf die 5A bis C erneut ausführlicher erörtert.
Bei Block 306 lädt die Benutzereinheit 200 private Daten in den Cloud-Datenschutzdienst 262 hoch (z.B. unter Verwendung des in 2A veranschaulichten Dateneigentümerdienstes 212). Wie vorstehend in Bezug auf die 2A bis 2B erörtert, speichert ein Cloud-System (z.B. das in 2B veranschaulichte Cloud-System 250) bei einer Ausführungsform die privaten Daten des Nutzers (z.B. in dem in 2B veranschaulichten Datendepot 264). Bei dieser Ausführungsform lädt die Benutzereinheit 200 die privaten Daten in den Cloud-Datenschutzdienst hoch. Bei einer weiteren Ausführungsform werden die privaten Daten des Benutzers anstatt dem Cloud-System 250 oder zusätzlich zu diesem an einem anderen Ort aufrechterhalten (z.B. auf der Benutzereinheit 200).
Bei Block 308 speichert der Cloud-Datenschutzdienst 262 die privaten Daten in einem Datendepot (z.B. in dem in 2B veranschaulichten Datendepot 264). Bei Block 310 leitet die Benutzereinheit 200 eine Sitzung mit dem ersten Datenverarbeiter (z.B. dem Datenverarbeiter 280A) ein. Zum Beispiel kann es sich wie vorstehend erörtert bei dem Datenverarbeiter 280A um einen Anbieter medizinischer Dienste, ein Finanzinstitut oder eine beliebige Einheit handeln, die Zugriff auf die privaten Daten des Benutzers erlangen möchte.
Bei Block 312 fordert der Datenverarbeiter 280A Zugriff auf bestimmte private Datenelemente an, die den Benutzer betreffen. Bei einer Ausführungsform ist der Datenverarbeiter 280A zu Datenübertragungszwecken mit der Benutzereinheit 200 verbunden, entweder direkt, über einen Cloud-Dienst (z.B. den in 1 veranschaulichten Cloud-Dienst 150) oder über einen beliebigen weiteren Datenübertragungspfad. Der Datenverarbeiter 280A überträgt die Datenzugriffsanfrage zu der Benutzereinheit (z.B. über das Cloud-System 250 unter Verwendung des Cloud-Datenschutzdienstes 262).
Bei Block 314 fordert die Benutzereinheit 200 von dem Cloud-Datenschutzdienst 262 einen ersten Datenzugriffsblock an, der die angeforderten Daten und die anfordernde Entität betrifft. Datenzugriffsblöcke werden in Bezug auf die 6A bis B ausführlicher beschrieben. Bei einer Ausführungsform beschreibt ein Datenzugriffsblock, auf welche Daten ein Anforderer zugreifen kann und wie der Anforderer auf diese Daten zugreifen kann (z.B. Zugriff immer erlauben, bei jedem Zugriff Erlaubnis von dem Benutzer verlangen, Erlaubnis täglich/wöchentlich/monatlich verlangen usw.). Ein Datenzugriffsblock kann ferner beschreiben, wie ein untergeordneter Anforderer, der mit dem ursprünglichen Anforderer in Zusammenhang steht, auf die Daten zugreifen kann. Zum Beispiel könnte es sich bei dem Anforderer um einen Anbieter medizinischer Dienste handeln und der Datenzugriffsblock könnte sowohl beschreiben, wer bei dem Anbieter medizinischer Dienste auf die Informationen zugreifen kann, als auch, welche Entitäten die Informationen von dem Anbieter medizinischer Dienste empfangen können (z.B. welche Informationen Versicherern oder anderen Anbietern medizinischer Dienste bereitgestellt werden können). Bei einer Ausführungsform stellen Datenzugriffsblöcke dem Benutzer eine fein differenzierte Kontrolle privater Daten bereit. Datenzugriffsblöcke werden nachstehend in Bezug auf die 6A bis 6B ausführlicher erörtert.
Ferner kann die Benutzereinheit 200 bei einer Ausführungsform bei Block 314 eine zusätzliche Detailebenenfilterung für den Datenzugriffsblock angeben. Bei einer Ausführungsform gibt ein Datenschutzfilter (z.B. ein bei Block 302 in den Cloud-Datenschutzdienst hochgeladener Datenschutzfilter) eine Filterung aufgrund eines Datentyps an. Bei Block 314 kann die Benutzereinheit eine zusätzliche Filterung in Bezug auf bestimmte Daten angeben, die durch den Datenverarbeiter 280A angefordert wurden (z.B. zusätzlich zu den bestehenden Filtern). Die 8A bis 8B erörtern eine Benutzeroberfläche, mit der Block 314 ermöglicht wird.
Bei Block 316 erzeugt der Cloud-Datenschutzdienst einen Datenzugriffsblock und speichert den Datenzugriffsblock in einer Datenzugriffsblock-Registrierungsdatenbank (z.B. als Teil des in 2B veranschaulichten Datendepots 264). Datenzugriffsblöcke werden in Bezug auf die 6A bis B ausführlicher erörtert.
Bei Block 318 sendet der Cloud-Datenschutzdienst 262 an die Benutzereinheit 200 einen Datenzugriffsblock für die angeforderten privaten Daten. Dies wird nachstehend in Bezug auf die 6A bis B weiter erörtert. Alternativ oder zusätzlich kann der Cloud-Datenschutzdienst 262 die Benutzereinheit 200 über den Speicherort des entsprechenden Datenzugriffsblocks benachrichtigen (z.B. wenn der Datenzugriffsblock zuvor erzeugt wurde und auf der Benutzereinheit oder an einem anderen Speicherort aufrechterhalten wird). Zum Beispiel könnte der Cloud-Datenschutzdienst 262 die Benutzereinheit 200 über eine Kennung benachrichtigen, die einem Datenzugriffsblock zugehörig ist, der lokal auf der Benutzereinheit oder an einem Speicherort gespeichert ist, der für die Benutzereinheit zugänglich ist.
Bei Block 320 sendet die Benutzereinheit 200 eine Adresse für den Cloud-Datenschutzdienst 262 zusammen mit dem Datenzugriffsblock an den Datenverarbeiter 280A (z.B. den ersten Datenanforderer). Zum Beispiel kann die Benutzereinheit 200 zu dem Datenverarbeiter 280A einen Uniform Resource Locator (URL) übertragen, der den Cloud-Datenschutzdienst 262 kennzeichnet. Der Datenverarbeiter 280A kann dann den URL zum Zugreifen auf den Cloud-Datenschutzdienst 262 verwenden. Bei einem URL handelt es sich lediglich um ein Beispiel, und es können eine beliebige geeignete Adresse oder Kennung verwendet werden. Ferner sendet die Benutzereinheit 200 den Datenzugriffsblock, der den erlaubten Zugriff für den Datenverarbeiter 280A beschreibt, an den Datenverarbeiter 280A. Datenzugriffsblöcke werden in Bezug auf die 6A bis B ausführlicher erörtert.
Bei Block 322 sendet der Datenverarbeiter 280A den Datenzugriffsblock (der z.B. von dem Benutzereinheit 200 empfangen wurde) an den Cloud-Datenschutzdienst 262, um die gewünschten Daten abzurufen. Bei einer Ausführungsform wird dem Datenverarbeiter 280A erlaubt, auf die Daten zuzugreifen (die z.B. in den Datenzugriffsblock beschrieben sind), und bei Block 330 überträgt der Cloud-Datenschutzdienst 262 die Daten zu dem Datenverarbeiter 280A.
Alternativ oder zusätzlich kann die Benutzerin angeben, dass sie eine Mitteilung empfangen muss und/oder eine Zustimmung bereitstellen muss, bevor dem Datenverarbeiter 280A erlaubt wird, auf die angeforderten Daten zuzugreifen. Dies kann durch den Benutzer definiert werden, zum Beispiel unter Verwendung eines geeigneten Filters, und die Anfrage kann in dem Datenzugriffsblock angegeben werden. Wie nachstehend erläutert wird, kann der Benutzer sich unterscheidende Steuerelemente (z.B. Mitteilung erforderlich, Zustimmung erforderlich oder keines von beidem erforderlich) für unterschiedliche Datenverarbeiter (z.B. kann eine Zustimmung zum Zugreifen auf Kreditkarteninformationen eines Benutzers für einen Händler erforderlich sein, aber nicht für einen weiteren Händler) und für unterschiedliche Daten definieren (z.B. könnte eine Zustimmung bezüglich des Zugriffs auf medizinische Informationen erforderlich sein, aber nicht bezüglich einer eMail-Adresse eines Benutzers). Bei Block 324 benachrichtigt der Cloud-Datenschutzdienst 262 bei diesem Szenario die Benutzereinheit 200 über den Datenzugriff und bittet gegebenenfalls um Zustimmung. Bei Block 326 erzeugt der Cloud-Datenschutzdienst einen nachfolgenden Anfordererzugriffsblock (der z.B. die Anfrage bezeichnet) und speichert den Zugriffsblock in der Registrierungsdatenbank (z.B. in dem in 2B veranschaulichten Datendepot 264). Bei Block 328 bestätigt der Benutzer je nach den Datenzugriffsanforderungen und den Vorgaben des Benutzers gegebenenfalls die Datenzugriffsanfrage, stimmt ihr zu oder lehnt sie ab. Die 8A bis B beschreiben eine Benutzeroberfläche, um dem Benutzer zu ermöglichen, den Datenzugriffsblock zu bestätigen, ihm zuzustimmen oder ihn abzulehnen. Unter der Annahme, dass der Benutzer die Anfrage nicht ablehnt, geht der Ablauf zu Block 330, und der Cloud-Datenschutzdienst sendet die Daten und den nachfolgenden Zugriffsblock an den Datenverarbeiter 280A.
Bei einer Ausführungsform können mehrere Datenverarbeiter um Zugriff auf die privaten Daten bitten (z.B. ein Allgemeinmediziner und ein Facharzt, eine medizinische Einrichtung und eine Versicherung, ein Finanzinstitut und ein Kreditvermittlungsbüro oder beliebige andere geeignete Datenverarbeiter). Bei Block 332 sendet der Datenverarbeiter 280A den URL des Cloud-Datenschutzdienstes 262 und den nachfolgenden Zugriffsblock an den zweiten Datenverarbeiter 280B.
Bei Block 334 sendet der zweite Datenverarbeiter 280B eine Anfrage bezüglich der gewünschten Daten zusammen mit dem nachfolgenden Zugriffsblock an den Cloud-Datenschutzdienst 262. Bei einer Ausführungsform hat der Benutzer den Zugriff für den zweiten Datenverarbeiter 280B sowie für den ersten Datenverarbeiter 280A genehmigt. Bei dieser Ausführungsform geht der Ablauf zu Block 342 und der Cloud-Datenschutzdienst 362 sendet die Daten an den zweiten Datenverarbeiter 280B.
Alternativ oder zusätzlich kann der Benutzer/die Benutzerin angeben, dass er/sie eine Mitteilung empfangen muss und/oder eine Zustimmung bereitstellen muss, bevor dem zweiten Datenverarbeiter 280B erlaubt wird, auf die angeforderten Daten zuzugreifen. Dies kann durch den Benutzer definiert werden, zum Beispiel unter Verwendung eines geeigneten Filters, und die Anfrage kann in dem Datenzugriffsblock angegeben werden. Bei Block 336 benachrichtigt der Cloud-Datenschutzdienst 262 bei diesem Szenario die Benutzereinheit 200 über den Datenzugriff und bittet gegebenenfalls um Zustimmung. Bei Block 338 erzeugt der Cloud-Datenschutzdienst einen nächsten nachfolgenden Anfordererzugriffsblock (der z.B. die Anfrage bezeichnet) und speichert den Zugriffsblock in der Registrierungsdatenbank (z.B. in dem in 2B veranschaulichten Datendepot 264). Bei Block 340 bestätigt der Benutzer je nach den Datenzugriffsanforderungen und den Vorgaben des Benutzers gegebenenfalls die Datenzugriffsanfrage, stimmt ihr zu oder lehnt sie ab. Die 8A bis B beschreiben eine Benutzeroberfläche, um dem Benutzer zu ermöglichen, den Datenzugriffsblock zu bestätigen, ihm zuzustimmen oder ihn abzulehnen. Unter der Annahme, dass der Benutzer die Anfrage nicht ablehnt, geht der Ablauf zu Block 342, und der Cloud-Datenschutzdienst sendet die Daten und den nachfolgenden Zugriffsblock an den Datenverarbeiter 280A.
Bei einer Ausführungsform kann der Cloud-Datenschutzdienst 262 ferner verlangen, dass die Datenverarbeiter 280A und 280B die privaten Daten des Benutzers nach einer durch den Benutzer angegebenen Zeitdauer löschen. Wie vorstehend erörtert können private Daten automatisch durch die Datenverarbeiter 280A und 280B gelöscht werden (um z.B. Zugriff auf die privaten Daten zu haben, muss der Datenverarbeiter einwilligen, die Daten wie gefordert zu löschen), könnten wirksam werden, indem dem Datenprozessor eine Version der Daten bereitgestellt wird, die nach einem angegebenen Zeitraum ablaufen (z.B. sich selbst in Kraft setzen), und dadurch, dass der Cloud-Datenschutzdienst 262 eine Anfrage zum Löschen der Daten zu dem Datenverarbeiter überträgt.
Die 4A bis C veranschaulichen eine Datenstruktur zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform. 4A veranschaulicht gemäß mindestens einer Ausführungsform eine hierarchische Ansicht von privaten Benutzerdaten 402 bis 438 zusammen mit kumulativen Schlüsseln, die den Daten zugehörig sind. Bei einer Ausführungsform sind private Benutzerdaten in einer hierarchischen Beziehung gespeichert (z.B. in einem Datendepot 264 in dem Cloud-System 250, wie in 2B veranschaulicht, oder in einem Datendepot 214 in der Benutzereinheit 200, wie in 2A veranschaulicht). Zum Beispiel ist ein Name eines Benutzers in einem Feld 402 gespeichert. Die Sozialversicherungsnummer des Benutzers ist in einem Feld 404 gespeichert, bei dem es sich um ein untergeordnetes Element des Namensfeldes 402 handelt. Die eMail-Adresse 406 des Benutzers ist in einem Feld 406 gespeichert, bei dem es sich um ein Geschwister des Sozialversicherungsnummernfeldes 404 und ein untergeordnetes Element des Namensfeldes 402 handelt. Die Wohnadresse des Benutzers ist in einem Feld 414 gespeichert, bei dem es sich um ein untergeordnetes Element des eMail-Adressfeldes 406 handelt.
Ferner kann bei einer Ausführungsform unter Verwendung eines Schlüssels auf ein bestimmtes Feld von privaten Informationen zugegriffen werden. Diese Schlüssel können an Datenverarbeiter (z.B. an den in 2C veranschaulichten Datenverarbeiter 280) übergeben werden und der Datenverarbeiter kann den Schlüssel dem Dienst präsentieren, der Datenzugriff bereitstellt (z.B. dem in den 2B und 3 veranschaulichten Cloud-Datenschutzdienst 262). Wenn der Schlüssel gültig ist, stellt der Dienst die Daten bereit. Bei einer Ausführungsform ist jeder Schlüssel signiert (z.B. unter Verwendung einer Verschlüsselung mit öffentlichem/privatem Schlüssel oder einer anderen geeigneten digitalen Signatur) oder gesichert, um nachzuweisen, dass er gültig ist.
Ferner können unterschiedlichen Datenverarbeitern unterschiedliche Signaturen bereitgestellt werden, und die sich unterscheidenden Signaturen können verwendet werden, um nachzuverfolgen, wer auf die Daten zuzugreifen versucht. Zum Beispiel kann dem Datenverarbeiter 280A wie in 3 veranschaulicht ein Schlüssel mit einer Signatur bereitgestellt werden, die sich von der Signatur unterscheidet, die dem Datenverarbeiter 280B bereitgestellt wird, und der Cloud-Datenschutzdienst 262 kann diese sich unterscheidenden Signaturen verwenden, um zu verfolgen, welcher Datenverarbeiter auf ein bestimmtes Datenfeld zuzugreifen versucht. Zum Beispiel kann der Cloud-Datenschutzdienst 262 unter Verwendung einer bestimmten Signatur Zugriffe auf Daten protokollieren.
Ferner können die Schlüssel bei einer Ausführungsform hierarchisch sein und aufeinander aufbauen. Zum Beispiel können kürzere Schlüssel den Zugriff auf Daten höherer Ebenen erlauben, während längere Schlüssel den Zugriff auf konkretere Informationen erlauben können. Wie in 4A veranschaulicht stellt ein Schlüssel „A1“ den Zugriff auf das Namensfeld 402 bereit. Ein Schlüssel „B2A1“ (z.B. der Namensfeldschlüssel mit dem Zusatz „B2“) stellt den Zugriff auf das eMail-Adressfeld 406 bereit. Ein Schlüssel „C1B2A1“ stellt den Zugriff auf das Wohnadressfeld 414 bereit. In ähnlicher Weise stellt ein Schlüssel „B3A1“ den Zugriff auf das Geburtsdatum eines Benutzers bereit. Jedoch ist ein längerer Schlüssel für den Zugriff auf konkretere (z.B. privatere) Informationen erforderlich. Ein Schlüssel „C2B3A1“ ist für den Zugriff auf ein Gesundheitsberichtsfeld 416 erforderlich, ein Schlüssel „D2C2B3A1“ ist für den Zugriff auf ein allgemeines Gesundheitsdatenfeld 424 erforderlich und ein Schlüssel „E2D2C2B3A1“ ist für den Zugriff auf Allergietaten erforderlich.
Ferner befindet sich wie vorstehend erörtert und in 4A veranschaulicht ein längerer Schlüssel in einem kürzeren Schlüssel, um den Zugriff auf allgemeinere Daten zu erlauben. Dies erlaubt einem Datenverarbeiter, der für ein bestimmtes Datenfeld bewilligt wurde (z.B. ein Anbieter medizinischer Dienste mit Zugriff auf das allgemeine Gesundheitsdatenfeld 424 unter Verwendung des Schlüssels „D2C2B3A1“), einen kürzeren Schlüssel für eine weitere Entität bereitzustellen, um den Zugriff auf allgemeinere Daten und nicht auf die konkreten Daten zu erlauben (z.B. indem einem Versicherer ein Schlüssel „B3A1“ bereitgestellt wird, um den Zugriff auf das Geburtsdatenfeld 408, aber nicht auf das allgemeine Gesundheitsdatenfeld 424 zu erlauben). Bei hierarchischen Daten und hierarchischen Schlüsseln, die vorstehend erörtert wurden, handelt es sich lediglich um eine beispielhafte Ausführungsform. Private Daten können auch in einer beliebigen anderen Weise gespeichert werden (z.B. nicht hierarchisch).
Die 4B bis C veranschaulichen gemäß mindestens einer Ausführungsform die Speicherung privater Daten in einerTabelle 450. Zum Beispiel kann es sich bei der in den 4B bis C veranschaulichten Tabelle 450 um eine Datenbanktabelle (z.B. in einer relationalen Datenbank oder in einer beliebigen anderen geeigneten Datenbank) handeln, die die in 4A veranschaulichten privaten Daten speichert (z.B. in einem Datendepot 264, das in 2B veranschaulicht ist, oder 214, das in 2A veranschaulicht ist). Die Elementindexspalte 462 stellt einen Index für die Daten bereit (um z.B. der Datenbank zu ermöglichen, die Daten zu kennzeichnen). Die Elementbeschriftungsspalte 464 beschreibt die Daten.
Die Elementschlüsselspalte 466 stellt den Schlüssel bereit, der für einen Datenverarbeiter zum Zugreifen auf die Daten verwendet wird. Bei einer Ausführungsform können die Schlüssel hierarchisch sein, wie vorstehend in Bezug auf 4A erörtert. Die Wertspalte 468 stellt die Daten selbst bereit. Die Standardfilterspalte 470 stellt eine Standardfilterebene für den Zugriff auf die Daten bereit. Zum Beispiel könnte das Standardfilter für Namensdaten Datenverarbeitern „immer lesen“ erlauben (wodurch standardmäßig der Zugriff ohne eine bestimmte Zustimmung erlaubt wird), während der Standardfilter für allgemeine Gesundheitsdaten „zustimmen durch mich“ sein könnte, wodurch ein Benutzer einem beliebigen Zugriff auf diese Daten zustimmen muss (z.B. standardmäßig). Bei einer Ausführungsform können die Standardfilterebenen anstelle der Verwendung einer für den Menschen lesbaren Sprache codiert sein (z.B. unter Verwendung konstanter Ganzzahlen, die Filterungsebenen darstellen). Bei einer Ausführungsform können bestimmte Filter außerdem durch Benutzer angegeben werden, wie nachstehend in Bezug auf die 5A bis C erörtert wird.
Die 5A bis C veranschaulichen Datenschutzfilter (z.B. Datenformungsfilter) zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform. 5A veranschaulicht ein Erzeugen, Speichern und Verwenden von Datenschutzfiltern zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform. Bei Block 502 wählt ein Benutzer (z.B. der Dateneigentümer 500) die gewünschte Filterebene aus. Bei einer Ausführungsform kompiliert der Benutzer einen Filterausdruck mit Anweisungen und Anforderungen zum Zugreifen auf seine privaten Daten. Zum Beispiel könnte der Benutzer angeben „zustimmen durch mich und einmal lesen durch <Zahnarzt> und bis August 2019 gültig“. Eine Benutzeroberfläche zum Bereitstellen dieser Angabe wird nachstehend in Bezug auf die 8A bis B erörtert.
Bei Block 504 erzeugt ein Filtererzeugungsdienst (z.B. der in 2B veranschaulichte Filtererzeugungsdienst 263) das Filter. Bei einer Ausführungsform empfängt die Filtererzeugung den Filterausdruck (z.B. von Block 502) und analysiert diesen syntaktisch. Der Filtererzeugungsdienst verwendet dann das Datenschutz-Sprachwörterbuch 506, um das Filter mit einem Token zu versehen.
Zum Beispiel kann das Datenschutz-Sprachwörterbuch angeben: $Filterausdruck=Aktion [Bezeichner [< Parameter>]] [| Bedingungsfilterausdruck] .$
Bei der Aktion kann es sich um eine beliebige geeignete Aktion handeln, unter anderem um „Zustimmen“, „Erstellen“, „Lesen“, „Aktualisieren“, „Löschen“, „Weiterleiten“, „Validieren“ oder „Standard“. Bei dem Bezeichner kann es sich um einen beliebigen geeigneten Bezeichner handeln, unter anderem um „durch“, „zu“, „einmal“, „zweimal“, „nie“, „immer“, „bis“ oder „nur“. Bei der Bedingung kann es sich um eine beliebige geeignete Bedingung handeln, unter anderem um „und“, „oder“ oder „und nicht“.
Der Filtererzeugungsdienst kann dann die Token analysieren, geeigneten Programmcode erzeugen, den Code zu einem durch eine Maschine ausführbaren Code kompilieren (gegebenenfalls) und das Filter (z.B. das kompilierte Filter) in dem Datendepot 566 speichern. 5B veranschaulicht Beispiele geeigneter Filter, unter anderem durch einen Menschen lesbaren Programmcode.
Bei Block 512 fordert ein Datenverarbeiter (z.B. der in 2C veranschaulichte Datenverarbeiter 280) private Daten an. Bei einer Ausführungsform überträgt der Datenverarbeiter die Anfrage zu dem Cloud-Datenschutzdienst und stellt einen gültigen Datenzugriffsblock bereit. Dies wird nachstehend ausführlicher in Bezug auf 3 oben beschrieben.
Bei Block 514 verarbeitet ein Datenschutzdienst (z.B. der in 2B veranschaulichte Cloud-Datenschutzdienst 262) die Anfrage. Zum Beispiel kann der Datenschutzdienst den Datenzugriffsblock von dem Datenverarbeiter (z.B. bei Block 512 übertragen) empfangen. Der Datenschutzdienst kann auf eine Datenzugriffsblock-Registrierungsdatenbank 564B (z.B. eine Datenzugriffsblock-Registrierungsdatenbank, die als Teil des in 2B veranschaulichten Datendepots 264 enthalten ist) zugreifen und den Datenzugriffsblock unter Verwendung der Registrierungsdatenbank validieren. Zum Beispiel kann der Datenschutzdienst ermitteln, ob ein übereinstimmender Datenzugriffsblock in der Datenzugriffsblock-Registrierungsdatenbank 564B enthalten ist. Bei einer Ausführungsform ist der Datenzugriffsblock in geeigneter Weise geschützt, um zu gewährleisten, dass er gültig ist (z.B. signiert, verschlüsselt usw.).
Unter der Annahme, dass der Datenzugriffsblock gültig ist, kann der Datenschutzdienst auf die angeforderten Daten aus dem Privatdatendepot 564A zugreifen (z.B. Teil des in 2B veranschaulichten Datendepots 264). Ferner kann der Datenschutzdienst ein Standardfilter für die Daten aus den Privatdatendepot 564A abrufen (z.B. die in 4B veranschaulichte Detailfilterspalte 470).
Der Datenschutzdienst kann dann beliebige Filterprogrammmodule, die den angeforderten Daten entsprechen, aus dem Filterdepot 566 abrufen und kann die Filterprogrammmodule ausführen. Hierbei muss der Datenschutzdienst möglicherweise Kontakt mit dem Dateneigentümer 500 (z.B. mit dem Benutzer der in 2A veranschaulichten Benutzereinheit 200) aufnehmen, um eine Mitteilung über die Anfrage von dem Datenverarbeiter bereitzustellen, und eine Bestätigung, Zustimmung oder Ablehnung der Anfrage (gegebenenfalls in Abhängigkeit von dem Filter) von dem Dateneigentümer 500 empfangen. Bei einer Ausführungsform kann der Datenschutzdienst wie vorstehend in Bezug auf 3 erörtert dann einen nächsten Datenzugriffsblock erzeugen, die Datenzugriffsblock-Registrierungsdatenbank 564B aktualisieren und die Daten an den anfordernden Datenverarbeiter senden.
Die 5B bis C veranschaulichen beispielhafte Datenschutzfilter zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform. Zum Beispiel kann es sich bei der in den 5B bis C veranschaulichten Tabelle 550 um eine Datenbanktabelle (z.B. in einer relationalen Datenbank oder in einer beliebigen anderen geeigneten Datenbank) handeln, die Filter speichert (z.B. in einem Filterdepot 566, das in 5A veranschaulicht ist). Die Filterkennungsspalte 552 stellt einen Index für die Daten bereit (um z.B. der Datenbank zu ermöglichen, die Daten zu kennzeichnen). Die Filterausdrucksspalte 554 kennzeichnet den Kurzbegriff für das Filter (z.B. den benutzerfreundlichen Begriff, der in einer Benutzeroberfläche verwendet werden soll, wie zum Beispiel nachstehend in Bezug auf die 8A bis B beschrieben wird). Die Programmmodulspalte 556 veranschaulicht durch einen Menschen lesbaren Programmcode, der das Filter für eine bestimmte Zeile realisiert. Hierbei handelt es sich lediglich um ein Beispiel, und es kann beliebiger anderer Programmcode verwendet werden.
Die 6A bis B veranschaulichen Datenzugriffsblockstrukturen zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform. 6A veranschaulicht eine beispielhafte Struktur 600 für einen Datenzugriffsblock (zum Beispiel wie vorstehend erörtert) gemäß mindestens einer Ausführungsform. Bei einer Ausführungsform kann ein Datenzugriffsblock verwendet werden, um zu verfolgen und durchzusetzen, auf welche Daten und wie lange ein bestimmter Datenverarbeiter zugreifen darf. Zum Beispiel kann ein Datenzugriffsblock den Zugriff nach Datentyp (z.B. nach Element) und nach Dauer begrenzen (z.B. indem der Zugriff für einen bestimmten Zeitraum erlaubt wird). Eine Typspalte 602 veranschaulicht den Typ eines Feldes dem Datenzugriffsblock und eine Inhaltsspalte 604 veranschaulicht den Inhalt des entsprechenden Feldes in dieser Zeile.
Zum Beispiel kann ein Datenzugriffsblock aus einer Signatur bestehen, gefolgt von einer Reihe von Blöcken. Jeder Block kann aus einem Datum, einer Reihe aus einem oder mehreren Elementen und einer Reihe aus einem oder mehreren Filtern bestehen. Bei dem Datum kann es sich um einen Zeitstempel handeln, der die Erstellung des Block bezeichnet. Bei dem/den Element(en) kann es sich um Kennungen für das Datenschutzdatenelement in dem Datendepot handeln. Zum Beispiel kann es sich bei dem/den Element(en) um den Wert in der in 4B veranschaulichten Elementindexspalte 462 handeln, der dem Datenfeld entspricht. Bei dem Filter kann es sich um einen Filterausdruck (wie z.B. in der Spalte 554 veranschaulicht, die in 5B veranschaulicht ist) oder um eine Kennung für das Filter in dem Filterdepot handeln (wie z.B. in der Spalte 552 veranschaulicht, die in 5B veranschaulicht ist). Bei der Signatur kann es sich um eine Signatur über die Liste von Blöcken hinweg handeln. Bei einer Ausführungsform wird die Signatur wie vorstehend erörtert durch den Datenschutzdienst (z.B. den in 2B veranschaulichten Cloud-Datenschutzdienst 262) unter Verwendung eines eigentümerspezifischen geheimen Schlüssels erzeugt (z.B. unter Verwendung einer Verschlüsselung mit einem öffentlichen Schlüssel).
6B veranschaulicht eine beispielhafte Datenzugriffsblock-Registrierungsdatenbank 650 (z.B. die in 5A veranschaulichte Datenzugriffsblock-Registrierungsbank 564B) gemäß mindestens einer Ausführungsform. Eine Eindeutige-Kennung-Spalte 652 stellt eine eindeutige Kennung für jeden Datenzugriffsblock bereit. Eine Anfordererspalte 654 stellt eine Kennung für den Datenverarbeiter bereit, der die Daten angefordert hat, die zur Erstellung des Datenzugriffsblocks geführt haben. Eine Datenzugriffsblockspalte 656 stellt den Datenzugriffsblock bereit (z.B. wie in 6A veranschaulicht). Eine Blocknutzungsspalte 658 stellt ein Protokoll der Nutzung des Datenzugriffsblocks bereit. Zum Beispiel kann die Blocknutzungsspalte 658 jede Verwendung der Datenzugriffsblockspalte 656 durch die Anfordererspalte 654 nachverfolgen.
Bei einer Ausführungsform kann ein Protokoll zum Bereitstellen von Berichten für den Benutzer zum Erkennen von Fehlern oder unberechtigtem Datenzugriff oder für andere geeignete Zwecke verwendet werden. Zum Beispiel könnte bei einer Ausführungsform ein Datenschutzdienst (z.B. der in 2 veranschaulichte Cloud-Datenschutzdienst 262) einem Benutzer einen Bericht darüber bereitstellen, welche/r Datenverarbeiter auf private Daten des Benutzers zugegriffen haben/hat. Dieser könnte dem Benutzer in regelmäßigen Abständen bereitgestellt werden (z.B. per eMail oder Post) oder könnte auf Anfrage auf einer Webseite, innerhalb einer mobilen Anwendung oder an einer beliebigen anderen geeigneten Stelle zugänglich sein.
7 veranschaulicht Techniken zum Navigieren in Datenblockstrukturen zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform. Wie veranschaulicht empfängt ein Datenschutzdienst (z.B. der in 2B veranschaulichte Datenschutzdienst 262) bei Block 702 Eingabeparameter. Bei Block 704 verwendet der Datenschutzdienst diese Parameter, um einen nachfolgenden Datenzugriffsblock zu erzeugen (z.B. wie bei den Blöcken 326 und 338 in 3 veranschaulicht).
Zum Beispiel könnte der Eingabeparameter „currentBlock“ [<signature>|<timestamp>|<item_index>|<filter_index>] lauten (z.B. unter Verwendung der in 6A veranschaulichten Datenzugriffsblockstruktur). Dies stellt den vorhergehenden Datenzugriffsblock dar. Bei dem Eingabeparameter „signKey“ könnte es sich um den benutzerspezifischen privaten Schlüssel handeln. Bei dem Eingabeparameter „currentDate“ könnte es sich um einen Zeitstempel handeln, der das aktuelle Datum und die aktuelle Uhrzeit darstellt. Bei dem Filterparameter könnte es sich um das zu verwendende neue Filter handeln (z.B. um einen Index auf das Filter in dem Filterdepot oder um einen Kurznamen für das Filter). Bei der Ausgabe könnte es sich um einen nachfolgenden Block handeln, der unter Verwendung des in Block 704 veranschaulichten, durch einen Menschen lesbaren Codes auf der Grundlage dieser Eingaben erzeugt wurde. Hierbei handelt es sich lediglich um ein Beispiel und es können beliebige andere geeignete Techniken verwendet werden.
Die 8A bis B veranschaulichen eine Benutzeroberfläche zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform. 8A veranschaulicht eine Benutzeroberfläche, um einem Benutzer zu ermöglichen, datenverarbeiterspezifische Datenschutzfilterdepot-Steuerelemente zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform festzulegen. Eine Benutzereinheit 800 umfasst eine Schnittstelle 802, die einem Benutzer ermöglicht, gewünschte Sicherheitsparameter für verschiedene Datenverarbeiter grafisch festzulegen. Unter Verwendung von grafischen Symbolen, Text oder einer beliebigen anderen geeigneten optischen oder akustischen Darstellung kann der Benutzer definieren, wie Entitäten auf private Daten des Benutzers zugreifen dürfen.
Zum Beispiel kann ein Benutzer angeben, dass ein Zahnarzt die biografischen Informationen des Benutzers (z.B. Name, Adresse, Telefonnummer) ohne Benachrichtigung lesen darf und die zahnmedizinischen Unterlagen des Benutzers ohne Benachrichtigung lesen darf, wobei der Zahnarzt vor dem Zugreifen auf medizinische Informationen des Benutzers jedoch eine Zustimmung empfangen muss. Weiterhin beispielhaft kann der Benutzer angeben, dass ein Versicherungsunternehmen auf biografische und automobilbezogene Informationen ohne Benachrichtigung zugreifen darf, aber nicht auf medizinische Informationen des Benutzers zugreifen darf.
Die Benutzereinheit 800 umfasst ferner eine Schnittstelle 804, um dem Benutzer Benachrichtigungen über eine Zugriffsanfrage bereitzustellen und dem Benutzer zu ermöglichen, der Anfrage zuzustimmen oder sie abzulehnen. Zum Beispiel zeigt die veranschaulichte Ausführungsform eine Entität „Hypermarket 24/7“ (z.B. eine Drogerie), die auf Kreditkarteninformationen des Benutzers zugreifen möchte. Der Benutzer kann der Anfrage zustimmen oder diese ablehnen.
8B veranschaulicht eine Benutzeroberfläche, um einem Benutzer zu ermöglichen, datenspezifische Datenschutzfilterdepot-Steuerelemente zur datenschutzorientierten Datensicherheit in einer Cloud-Umgebung gemäß mindestens einer Ausführungsform festzulegen. Zum Beispiel umfasst eine Benutzereinheit 800 eine Schnittstelle 852, die private Daten des Benutzers bildlich darstellt. Der Benutzer kann grafische Symbole, Textdarstellungen, akustische Meldungen usw. verwenden, um den Standard Zugriff auf diese Daten zu steuern. Zum Beispiel kann ein Benutzer festlegen, dass standardmäßig eine beliebige Entität auf Namen und Adresse des Benutzers ohne Benachrichtigung oder Zustimmung zugreifen kann. Der Benutzer kann ferner festlegen, dass eine Entität vor dem Zugreifen auf Kreditkarteninformationen des Benutzers standardmäßig eine Zustimmung empfangen muss. Der Benutzer kann ferner festlegen, dass standardmäßig keine Entität auf Gesundheitsunterlagen des Benutzers zugreifen kann.
Wie vorstehend erörtert kann jede dieser Standardeinstellungen durch ein bestimmtes Datenschutzfilter außer Kraft gesetzt werden, das auf eine bestimmte Entität angewendet wird. Zum Beispiel könnte ein Benutzer ein Filter erstellen (z.B. unter Verwendung der in 8A veranschaulichten Schnittstelle), um einem Anbieter medizinischer Dienste zu ermöglichen, ohne Zustimmung auf medizinische Daten zuzugreifen, aber von einem Anbieter medizinischer Dienste verlangen, dass er vor dem Zugreifen auf Kreditkarteninformationen um Zustimmung bittet.
9 stellt eine Cloud-Computing-Umgebung gemäß mindestens einer Ausführungsform bildlich dar. Es versteht sich, dass diese Offenbarung zwar eine ausführliche Beschreibung des Cloud-Computing enthält, die Realisierung der hierin vorgestellten Lehren jedoch nicht auf eine Cloud-Computing-Umgebung beschränkt ist. Vielmehr können Ausführungsformen in Verbindung mit einer beliebigen anderen Art von Datenverarbeitungsumgebung realisiert werden, die gegenwärtig bekannt ist oder in Zukunft entwickelt wird.
Bei Cloud-Computing handelt es sich um ein Modell zur Bereitstellung von Diensten, um einen praktischen und bei Bedarf verfügbaren Netzwerkzugriff auf ein gemeinsam genutztes Reservoir konfigurierbarer Datenverarbeitungsressourcen (z.B. Netzwerke, Netzwerkbandbreite, Server, Verarbeitung, Hauptspeicher, Speicher, Anwendungen, virtuelle Maschinen und Dienste) zu ermöglichen, die bei minimalem Verwaltungsaufwand oder minimaler Interaktion mit einem Anbieter des Dienstes schnell bereitgestellt und freigegeben werden können. Dieses Cloud-Modell kann mindestens fünf Eigenschaften, mindestens drei Dienstmodelle und mindestens vier Bereitstellungsmodelle umfassen.
Die Eigenschaften sind folgende:

On-demand Self Service (Selbstzuweisung bei Bedarf): Ein Cloud-Kunde kann sich einseitig Datenverarbeitungsfunktionen wie zum Beispiel Serverzeit und Netzwerkspeicher dem Bedarf entsprechend automatisch bereitstellen ohne dass eine Interaktion von Menschen mit dem Anbieter des Dienstes erforderlich ist.

Broad Network Access (umfassender Netzwerkzugriff): Es stehen Funktionen über ein Netzwerk zur Verfügung, auf die der Zugriff über Standardmechanismen erfolgt, die die Verwendung durch heterogene Plattformen Thin- oder Thick-Client-Plattformen (z.B. Mobiltelefone, Notebook-Computer und PDAs) unterstützen.
Resource Pooling (Ressourcenbündelung): Die Datenverarbeitungsressourcen des Anbieters werden gebündelt, um mehrere Kunden unter Verwendung eines Mehrfachnutzermodells mit unterschiedlichen physischen und virtuellen Ressourcen zu bedienen, die entsprechend dem Bedarf dynamisch zugewiesen und neu zugewiesen werden. Es besteht eine gefühlte Standortunabhängigkeit in der Weise, dass der Kunde im Allgemeinen keine Kontrolle oder Kenntnis über den genauen Standort der bereitgestellten Ressourcen hat, aber möglicherweise in der Lage ist, den Standort auf einer höheren Abstraktionsebene (z.B. Land, Bundesstaat oder Datenverarbeitungszentrum) anzugeben.
Rapid Elasticity (rasche Elastizität): Funktionen können rasch und elastisch bereitgestellt werden, in einigen Fällen automatisch, um den Funktionsumfang schnell nach oben anzupassen, und schnell freigegeben werden, um den Funktionsumfang schnell nach unten anzupassen. Für den Kunden entsteht oftmals der Eindruck, dass die zum Bereitstellen verfügbaren Funktionen unbegrenzt sind und jederzeit in jeder beliebigen Menge gekauft werden können.
Measured Service (bemessener Dienst): Cloud-Systeme steuern und optimieren automatisch die Ressourcenverwendung durch Nutzung einer Bemessungsfunktion auf einer bestimmten Abstraktionsebene, die für die Art des Dienstes geeignet ist (z.B. Speicher, Verarbeitung, Bandbreite und aktive Benutzerkonten). Die Ressourcennutzung kann überwacht, gesteuert und gemeldet werden, sodass Transparenz sowohl für den Anbieter als auch den Kunden des genutzten Dienstes besteht.
Die Dienstmodelle sind folgende:

Software as a Service (SaaS) (Software als Dienst): Die dem Kunden bereitgestellte Funktion besteht darin, die auf einer Cloud-Infrastruktur ausgeführten Anwendungen des Anbieters zu nutzen. Die Anwendungen sind von verschiedenen Client-Einheiten aus über eine Thin-Client-Schnittstelle wie z.B. über einen Web-Browser (z.B. auf dem Web beruhende eMail) zugänglich. Der Kunde verwaltet oder steuert die zugrunde liegende Cloud-Infrastruktur, unter anderem Netzwerke, Server, Betriebssysteme, Speicherplatz oder sogar einzelne Anwendungsfähigkeiten, nicht, abgesehen von der möglichen Ausnahme eingeschränkter benutzerspezifischer Konfigurationseinstellungen von Anwendungen.

Platform as a Service (PaaS) (Plattform als Dienst): Die dem Kunden bereitgestellte Funktion besteht darin, auf der Cloud-Infrastruktur vom Kunden erzeugte oder erworbene Anwendungen bereitzustellen, die unter Verwendung von Programmiersprachen und Programmierwerkzeugen erzeugt wurden, die durch den Anbieter unterstützt werden. Der Kunde verwaltet oder steuert die zugrunde liegende Cloud-Infrastruktur, unter anderem Netzwerke, Server, Betriebssysteme oder Speicherplatz, nicht, hat aber die Kontrolle über die bereitgestellten Anwendungen und möglicherweise über Konfigurationen der Hosting-Umgebung der Anwendungen.
Infrastructure as a Service (laaS) (Infrastruktur als Dienst): Die dem Kunden bereitgestellte Funktion besteht darin, Verarbeitung, Speicherplatz, Netzwerke und andere grundlegende Datenverarbeitungsressourcen bereitzustellen, wobei der Kunde beliebige Software bereitstellen und ausführen kann, zu der Betriebssysteme und Anwendungen gehören können. Der Kunde verwaltet oder steuert die zugrunde liegende Cloud-Infrastruktur nicht, hat aber die Kontrolle über Betriebssysteme, Speicherplatz sowie bereitgestellte Anwendungen und möglicherweise eine eingeschränkte Kontrolle über ausgewählte Vernetzungskomponenten (z.B. Host-Firewalls).
Die Bereitstellungsmodelle sind folgende:

Private Cloud (private Cloud): Die Cloud-Infrastruktur wird ausschließlich für eine Organisation betrieben. Sie kann durch die Organisation oder einen Dritten verwaltet werden und in den Räumen der Organisation oder außerhalb davon vorhanden sein.

Community Cloud (Community-Cloud): Die Cloud-Infrastruktur wird von mehreren Organisationen genutzt und unterstützt eine bestimmte Benutzergemeinschaft, die gemeinsame Interessen hat (z.B. Gesichtspunkte im Zusammenhang mit einer Aufgabe, mit Sicherheitsanforderungen, Richtlinien und mit der Einhaltung von Gesetzen und Vorschriften). Sie kann durch die Organisationen oder einen Dritten verwaltet werden und in den Räumen der Organisation oder außerhalb davon vorhanden sein.
Public Cloud (öffentliche Cloud): Die Cloud-Infrastruktur wird der allgemeinen Öffentlichkeit oder einer großen Gruppe in einem Industriezweig zur Verfügung gestellt und ist Eigentum einer Organisation, die Cloud-Dienste verkauft.
Hybrid cloud (Hybrid-Cloud): Bei der Cloud-Infrastruktur handelt es sich um eine Mischung aus zwei oder mehreren Clouds (Private Cloud, Community Cloud oder Public Cloud), die eigenständige Entitäten bleiben, aber über eine standardisierte oder proprietäre Technologie miteinander verbunden sind, die die Portierbarkeit von Daten und Anwendungen ermöglicht (z.B. Cloud-Zielgruppenverteilung (Cloud Bursting) zum Lastausgleich zwischen Clouds).
Eine Cloud-Computing-Umgebung ist dienstorientiert, wobei der Schwerpunkt auf Zustandsunabhängigkeit, geringer Kopplung, Modularität und semantischer Interoperabilität liegt. Im Mittelpunkt des Cloud-Computing steht eine Infrastruktur, die ein Netzwerk aus untereinander verbundenen Knoten umfasst.
Nunmehr unter Bezugnahme auf 9 ist dort eine veranschaulichende Cloud-Computing-Umgebung 950 bildlich dargestellt. Wie gezeigt, ist, umfasst die Cloud-Computing-Umgebung 950 einen oder mehrere Cloud-Computing-Knoten 910, mit denen von Cloud-Kunden verwendete lokale Datenverarbeitungseinheiten wie z.B. ein Personal Digital Assistent (PDA) oder ein Mobiltelefon 954 A, ein Desktop-Computer 954 B, ein Notebook-Computer 954C und/oder ein Automobil-Computersystem 954 N Daten austauschen können. Die Knoten 910 können untereinander Daten austauschen. Sie können physisch oder virtuell in einem oder mehreren Netzwerken wie zum Beispiel in einer hierin oben beschriebenen Private Cloud, Community Cloud, Public Cloud oder Hybrid Cloud oder in einer Kombination davon gruppiert sein (nicht gezeigt). Dies ermöglicht der Cloud-Computing-Umgebung 950, Infrastruktur, Plattformen und/oder Software als Dienste zu bieten, für die ein Cloud-Kunde keine Ressourcen auf einer lokalen Datenverarbeitungseinheit zu verwalten braucht. Es versteht sich, dass die Arten von in 9 gezeigten Datenverarbeitungseinheiten 954A bis N lediglich veranschaulichend sein sollen und dass die Datenverarbeitungsknoten 910 und die Cloud-Computing-Umgebung 950 über eine beliebige Art von Netzwerk und/oder über eine beliebige Art von Verbindung, die über ein Netzwerk aufgerufen werden kann (z.B. unter Verwendung eines Webbrowsers), mit einer beliebigen Art von computergestützter Einheit Daten austauschen können.
Unter Bezugnahme auf 10 ist dort eine Gruppe von Funktionsabstraktionsschichten gezeigt, die durch die Cloud-Computing-Umgebung 950 (9) bereitgestellt werden. Es sollte von vornherein klar sein, dass die in 10 gezeigten Komponenten, Schichten und Funktionen lediglich veranschaulichend sein sollen und Ausführungsformen der Erfindung nicht darauf beschränkt sind. Wie bildlich dargestellt ist, werden die folgenden Schichten und entsprechenden Funktionen bereitgestellt:
Eine Hardware- und Softwareschicht 1060 umfasst Hardware- und Softwarekomponenten. Zu Beispielen von Hardware-Komponenten gehören: Großrechner; auf der RISC-Architektur (RISC = Reduced Instruction Set Computer) beruhende Server; Server; Blade-Server; Speichereinheiten; und Netzwerke und Vernetzungskomponenten. Bei einigen Ausführungsformen umfassen Softwarekomponenten eine Netzwerk-Anwendungsserversoftware und eine Datenbanksoftware.
Eine Virtualisierungsschicht 1062 stellt eine Abstraktionsschicht bereit, von der aus die folgenden Beispiele von virtuellen Einheiten bereitgestellt sein können: virtuelle Server; virtueller Speicher; virtuelle Netzwerke, unter anderem virtuelle private Netzwerke; virtuelle Anwendungen und Betriebssysteme; und virtuelle Clients.
Bei einem Beispiel kann eine Verwaltungsschicht 1064 die nachstehend beschriebenen Funktionen bereitstellen. Eine Ressourcenbereitstellung stellt eine dynamische Beschaffung von Datenverarbeitungsressourcen sowie anderen Ressourcen bereit, die genutzt werden, um Aufgaben innerhalb der Cloud-Computing-Umgebung durchzuführen. Eine Gebührenerfassung und Preisberechnung stellt eine Kostenverfolgung bereit, während Ressourcen innerhalb der Cloud-Computing-Umgebung genutzt werden, sowie eine Abrechnung und Fakturierung der Inanspruchnahme dieser Ressourcen. Bei einem Beispiel können diese Ressourcen Anwendungssoftwarelizenzen umfassen. Eine Sicherheit stellt eine Identitätsüberprüfung für Cloud-Kunden und Aufgaben sowie einen Schutz für Daten und andere Ressourcen bereit. Ein Benutzerportal stellt Kunden und Systemadministratoren einen Zugang zu der Cloud-Computing-Umgebung bereit. Eine Dienstgüteverwaltung (Service Level Management) stellt die Zuordnung und Verwaltung von Cloud-Computing-Ressourcen bereit, sodass die jeweils erforderliche Dienstgüte erreicht wird. Eine Planung und Erfüllung von Dienstgütevereinbarungen (Service Level Agreement (SLA), Servicevertrag) stellt die Vorausplanung für und die Beschaffung von Cloud-Computing-Ressourcen bereit, für die auf der Grundlage eines SLA zukünftige Anforderungen erwartet werden.
Eine Betriebslastschicht 1066 stellt Beispiele von Funktionalitäten bereit, für die die Cloud-Computing-Umgebung genutzt werden kann. Zu Beispielen von Betriebslasten und Funktionen, die von dieser Schicht aus bereitgestellt werden können, gehören: Zuordnung und Navigation; Softwareentwicklung und Lebenszyklusverwaltung; Bereitstellung von Schulungen in virtuellen Schulungsräumen; Verarbeiten von Datenanalysen; Transaktionsverarbeitung; und ein Cloud-Datenschutzdienst. Bei einer Ausführungsform könnten alle oder einige der Module des Cloud-Systems 250 in der Betriebslastschicht 1066 realisiert sein. Zum Beispiel könnten der Datenschutzdienst 262, der Filtererzeugungsdienst 263, das Datendepot 264 und das Datenschutzfilterdepot 266 in der Betriebslastschicht 1066 realisiert sein. Bei einer Ausführungsform könnten der Cloud-Datenschutzdienst 262 auf einem Datenverarbeitungssystem in der Cloud (z.B. in der Betriebslastschicht 1066) ausgeführt werden und das Datendepot 264 und das Datenschutzfilterdepot 266 in der Cloud gespeichert sein. Dies ermöglicht den Zugriff auf diese Informationen von einem beliebigen Datenverarbeitungssystem aus, das an ein mit der Cloud verbundenes Netzwerk (z.B. das Internet) angeschlossen ist.
Die Beschreibungen der verschiedenen Ausführungsformen der vorliegenden Erfindung sollen der Veranschaulichung dienen, sind jedoch nicht als vollständig oder auf die offenbarten Ausführungsformen beschränkt gedacht. Für Fachleute sind viele Modifikationen und Variationen denkbar, ohne dass diese eine Abweichung vom Schutzumfang und Grundgedanken der beschriebenen Ausführungsformen darstellen würden. Die hierin verwendete Terminologie wurde gewählt, um die Grundgedanken der Ausführungsformen, die praktische Anwendung bzw. die technische Verbesserung gegenüber den auf dem Markt vorgefundenen Technologien zu erläutern bzw. anderen mit entsprechenden Fachkenntnissen das Verständnis der hierin offenbarten Ausführungsformen zu ermöglichen.
Im Folgenden wird Bezug auf in dieser Offenbarung vorgestellte Ausführungsformen genommen. Der Schutzumfang der vorliegenden Offenbarung ist jedoch nicht auf bestimmte beschriebene Ausführungsformen beschränkt. Stattdessen ist eine beliebige Kombination der folgenden Merkmale und Elemente unabhängig davon denkbar, ob sie mit unterschiedlichen Ausführungsformen im Zusammenhang stehen, um die Erfindung zu realisieren und in die Praxis umzusetzen. Obwohl hierin offenbarte Ausführungsformen möglicherweise Vorteile gegenüber anderen möglichen Lösungen oder gegenüber dem Stand der Technik erzielen, schränkt des Weiteren eine angegebene Ausführungsform den Schutzumfang der vorliegenden Offenbarung unabhängig davon nicht ein, ob ein bestimmter Vorteil durch eine angegebene Ausführungsform erzielt wird. Daher tragen die folgenden Aspekte, Merkmale, Ausführungsformen und Vorteile lediglich einen veranschaulichenden Charakter und sind nicht als Elemente oder Einschränkungen der beigefügten Ansprüche gedacht, ausgenommen in Fällen, in denen dies in einem Anspruch bzw. in Ansprüchen ausdrücklich angegeben ist. Ebenso ist ein Bezug auf „die Erfindung“ nicht als Verallgemeinerung eines hierin offenbarten Erfindungsgegenstands auszulegen und nicht als Element oder Einschränkung der beigefügten Ansprüche anzusehen, ausgenommen in Fällen, in denen dies in einem Anspruch bzw. in Ansprüchen ausdrücklich angegeben ist.
Aspekte der vorliegenden Erfindung können die Form einer vollständig in Hardware realisierten Ausführungsform, einer vollständig in Software realisierten Ausführungsform (unter anderem Firmware, residente Software, Mikrocode usw.) oder einer Ausführungsform annehmen, die Software- und Hardwareaspekte kombiniert, die im hierin allgemein als „Schaltung“, „Modul“ oder „System“ bezeichnet sind.
Bei der vorliegenden Erfindung kann es sich um ein System, ein Verfahren und/oder ein Computerprogrammprodukt handeln. Das Computerprogrammprodukt kann (ein) durch einen Computer lesbare(s) Speichermedium (oder-medien) enthalten, auf dem/denen durch einen Computer lesbare Programmanweisungen gespeichert sind, um einen Prozessor zu veranlassen, Aspekte der vorliegenden Erfindung auszuführen.
Bei dem durch einen Computer lesbaren Speichermedium kann es sich um eine materielle Einheit handeln, auf der Anweisungen zur Verwendung durch eine Einheit zur Ausführung von Anweisungen aufbewahrt und gespeichert sein können. Bei dem durch einen Computer lesbaren Speichermedium kann es sich zum Beispiel, ohne auf diese beschränkt zu sein, um eine elektronische Speichereinheit, eine magnetische Speichereinheit, eine optische Speichereinheit, eine elektromagnetische Speichereinheit, eine Halbleiterspeichereinheit oder eine beliebige geeignete Kombination des Vorstehenden handeln. Eine nicht erschöpfende Liste genauerer Beispiele des durch einen Computer lesbaren Speichermediums umfasst Folgendes: eine transportable Computerdiskette, eine Festplatte, einen Direktzugriffsspeicher (RAM), einen Nur-Lese-Speicher (ROM), einen löschbaren programmierbaren Nur-Lese-Speicher (EPROM oder Flash-Speicher), einen statischen Direktzugriffsspeicher (SRAM), einen transportablen Nur-Lese-Speicher in Form einer Compact Disc (CD-ROM), eine Digital Versatile Disc (DVD), einen Speicherstick, eine Diskette, eine mechanisch codierte Einheit wie zum Beispiel Lochkarten oder erhöhte Strukturen in einer Rille mit darauf aufgezeichneten Anweisungen oder beliebige geeignete Kombinationen des Vorstehenden. Ein durch einen Computer lesbares Speichermedium im hierin verwendeten Sinne ist nicht so auszulegen, dass es sich dabei um flüchtige Signale an sich handelt, beispielsweise um Funkwellen oder sich frei ausbreitende elektromagnetische Wellen, um elektromagnetische Wellen, die sich durch einen Hohlleiter oder andere Übertragungsmedien ausbreiten (z.B. ein Lichtwellenleiterkabel durchlaufende Lichtimpulse) oder um elektrische Signale, die über ein Kabel übertragen werden.
Hierin beschriebene, durch einen Computer lesbare Programmanweisungen können über ein Netzwerk, zum Beispiel das Internet, ein lokales Netzwerk ein Weitverkehrsnetzwerk und/oder ein kabelloses Netzwerk von einem durch einen Computer lesbaren Speichermedium auf betreffende Datenverarbeitungs-/Verarbeitungseinheiten oder auf einen externen Computer oder eine externe Speichereinheit heruntergeladen werden. Das Netzwerk kann Kupferübertragungskabel, Lichtwellenübertragungsleiter, Drahtlosübertragung, Router, Firewalls, Switches, Gateway-Computer und/oder Edge-Server aufweisen. Eine Netzwerkadapterkarte oder eine Netzwerkschnittstelle in der Datenverarbeitungs-/Verarbeitungseinheit empfängt durch einen Computer lesbare Programmanweisungen aus dem Netzwerk und leitet die durch einen Computer lesbaren Programmanweisungen zur Speicherung in einem durch einen Computer lesbaren Speichermedium innerhalb der jeweiligen Datenverarbeitungs-/Verarbeitungseinheit weiter.
Durch einen Computer lesbare Programmanweisungen zum Ausführen von Operationen der vorliegenden Erfindung können Assembleranweisungen, ISA-Anweisungen (ISA = Instruction Set Architecture), Maschinenanweisungen, maschinenabhängige Anweisungen, Mikrocode, Firmware-Anweisungen, Daten zum Setzen von Zuständen oder entweder Quellcode oder Objektcode sein, die in einer beliebigen Kombination aus einer oder mehreren Programmiersprachen geschrieben sind, zu denen eine objektorientierte Programmiersprache wie beispielsweise Smalltalk, C++ oder Ähnliches und herkömmliche prozedurale Programmiersprachen wie beispielsweise die Programmiersprache „C“ oder ähnliche Programmiersprachen gehören. Die durch einen Computer lesbaren Programmanweisungen können vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Softwarepaket, teilweise auf dem Computer des Benutzers und teilweise auf einem entfernt angeordneten Computer oder vollständig auf dem entfernt angeordneten Computer oder Server ausgeführt werden. Bei dem letztgenannten Szenario kann der entfernt angeordnete Computer mit dem Computer des Benutzers über eine beliebige Art von Netzwerk verbunden sein, unter anderem über ein lokales Netzwerk (Local Area Network, LAN) oder über ein Weitverkehrsnetzwerk (Wide Area Network, WAN), oder die Verbindung kann zu einem externen Computer hergestellt werden (beispielsweise über das Internet unter Nutzung eines Internetdienstanbieters (Internet Service Provider)). Bei einigen Ausführungsformen können elektronische Schaltungen, zu denen beispielsweise programmierbare Logikschaltungen, vor Ort programmierbare Gatteranordnungen (Field-Programmable Gate Arrays, FPGA) oder programmierbare Logik-Arrays (PLA) gehören, die durch einen Computer lesbaren Programmanweisungen ausführen, indem Zustandsinformationen der durch einen Computer lesbaren Programmanweisungen genutzt werden, um die elektronische Schaltung zu personalisieren, sodass Aspekte der vorliegenden Erfindung durchgeführt werden.
Aspekte der vorliegenden Erfindung sind hierin unter Bezugnahme auf Flussdiagrammdarstellungen und/oder Blockschemata von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es wird klar sein, dass jeder Block der Flussdiagramme und/oder der Blockschemata und Kombinationen von Blöcken in den Flussdiagrammen und/oder Blockschemata mit Hilfe von durch einen Computer lesbaren Programmanweisungen realisiert werden kann bzw. können.
Diese durch einen Computer lesbaren Programmanweisungen können einem Prozessor eines Universalcomputers, eines Spezialcomputers oder anderer programmierbaren Datenverarbeitungsvorrichtungen bereitgestellt werden, um eine Maschine zu erzeugen, sodass die Anweisungen, die über den Prozessor des Computers oder anderer programmierbarer Datenverarbeitungsvorrichtungen ausgeführt werden, Mittel schaffen, um die in einem Block bzw. in den Blöcken des Flussdiagramms bzw. der Flussdiagramme und/oder des Blockschemas bzw. der Blockschemata angegebenen Funktionen/Aktionen zu realisieren. Diese durch einen Computer lesbaren Programmanweisungen können ebenfalls in einem durch einen Computer lesbaren Medium gespeichert sein, das einen Computer, andere programmierbare Datenverarbeitungsvorrichtungen oder andere Einheiten anweisen kann, in einer bestimmten Weise zu funktionieren, sodass das durch einen Computer lesbare Medium mit darauf gespeicherten Anweisungen ein Erzeugnis aufweist, das Anweisungen enthält, die die in einem Block bzw. in den Blöcken der Flussdiagramme und/oder der Blockschemata angegebene Funktion/Aktion realisieren.
Die durch einen Computer lesbaren Programmanweisungen können auch in einen Computer, in andere programmierbare Datenverarbeitungsvorrichtungen oder in andere Einheiten geladen werden, um zu bewirken, dass auf dem Computer, auf anderen programmierbaren Vorrichtungen oder anderen Einheiten eine Reihe von Operationen ausgeführt wird, um einen mittels Computer realisierten Prozess zu schaffen, sodass die Anweisungen, die auf dem Computer, auf anderen programmierbaren Vorrichtungen oder Einheiten ausgeführt werden, die in einem Block bzw. in den Blöcken der Flussdiagramme und/oder der Blockschemata angegebenen Funktionen/Aktionen realisieren.
Die Flussdiagramme und Blockschemata in den Figuren veranschaulichen die Architektur, Funktionalität und Wirkungsweise möglicher Realisierungsformen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung. In diesem Zusammenhang kann jeder Block in den Flussdiagrammen bzw. in den Blockschemata ein Modul, ein Segment oder einen Abschnitt von Anweisungen darstellen, das bzw. der eine oder mehrere ausführbare Anweisungen zum Realisieren der angegebenen Logikfunktion bzw. Logikfunktionen aufweist. Bei einigen alternativen Realisierungsformen können die in dem Block angegebenen Funktionen in einer anderen als in der Reihenfolge ausgeführt werden, die in den Figuren angegeben ist. Zum Beispiel können zwei hintereinander aufgeführte Blöcke tatsächlich im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können je nach der mit den Blöcken verbundenen Funktionalität manchmal in umgekehrter Reihenfolge ausgeführt werden. Darüber hinaus ist anzumerken, dass jeder Block der Blockschemata und/oder Flussdiagrammdarstellungen sowie Kombinationen von Blöcken in den Blockschemata und/oder Flussdiagrammdarstellungen mit Hilfe zweckgebundener hardwaregestützter Systeme zum Ausführen der angegebenen Funktionen bzw. Aktionen oder mit Hilfe von Kombinationen aus zweckgebundener Hardware und zweckgebundenen Computeranweisungen realisiert werden kann bzw. können.
Zwar ist das Vorstehende auf Ausführungsformen der vorliegenden Erfindung gerichtet, es können jedoch andere und weitere Ausführungsformen der Erfindung entwickelt werden, ohne von deren grundlegendem Schutzumfang abzuweichen, wobei deren Schutzumfang durch die nachfolgenden Ansprüche festgelegt ist.

Claims

Verfahren, das aufweist: Empfangen, bei einem Cloud-Daten-Datenschutzdienst, einer Anfrage von einer Benutzereinheit, um einem ersten Datenverarbeiter zu erlauben, auf private Daten zuzugreifen, die dem Benutzer zugehörig sind, wobei die Anfrage aufweist: eine Anfrage bezüglich eines ersten Datenzugriffsblocks, der die privaten Daten betrifft; und ein Datenfilter, das einen oder mehrere Zugriffsparameter beschreibt, die den ersten Datenverarbeiter und die privaten Daten betreffen; Erzeugen des ersten Datenzugriffsblocks bei dem Cloud-Daten-Datenschutzdienst auf Grundlage der privaten Daten und des Datenfilters; Übertragen des ersten Datenzugriffsblocks von dem Cloud-Datenschutzdienst zu der Benutzereinheit, wobei die Benutzereinheit so konfiguriert ist, dass sie den ersten Datenzugriffsblock zu dem ersten Datenverarbeiter überträgt; Empfangen, bei dem Cloud-Daten-Datenschutzdienst, einer Anfrage von dem ersten Datenverarbeiter bezüglich der privaten Daten, wobei die Anfrage den ersten Datenzugriffsblock aufweist; und Feststellen, bei dem Cloud-Daten-Datenschutzdienst, dass der von dem ersten Datenverarbeiter empfangene erste Datenzugriffsblock gültig ist, und als Reaktion ein Gewähren eines partiellen Zugriffs auf die privaten Daten gegenüber dem ersten Datenverarbeiter.
Verfahren nach dem vorhergehenden Anspruch, wobei ein Umfang des mindestens partiellen Zugriffs auf die privaten Daten, der dem ersten Datenverarbeiter gewährt wurde, auf dem ersten Datenzugriffsblock beruht.
Verfahren nach einem der vorhergehenden Ansprüche, das ferner aufweist: Feststellen, bei dem Cloud-Datenschutzdienst, auf Grundlage des von dem ersten Datenverarbeiter empfangenen ersten Datenzugriffsblocks, dass das Datenfilter eine Benutzerzustimmung angibt, bevor dem ersten Datenverarbeiter Zugriff auf die privaten Daten gewährt wird, und als Reaktion: Übertragen einer Anfrage bezüglich Zustimmung von dem Cloud-Datenschutzdienst zu der Benutzereinheit; und Empfangen, bei dem Cloud-Datenschutzdienst von der Benutzereinheit, einer Nachricht, die eine Zustimmung anzeigt.
Verfahren nach dem vorhergehenden Anspruch, wobei das Feststellen, bei dem Cloud-Datenschutzdienst, dass das Datenfilter eine Benutzerzustimmung angibt, ferner aufweist: Ermitteln, auf Grundlage des von dem ersten Datenverarbeiter empfangenen ersten Datenzugriffsblocks, einer Kennung für das Datenfilter; und Abrufen des Datenfilters aus dem Filterdepot auf Grundlage der Kennung.
Verfahren nach dem vorhergehenden Anspruch, wobei das Datenfilter auf Grundlage einer Eingabe von dem Benutzer an der Benutzereinheit erzeugt wird.
Verfahren nach einem der vorhergehenden Ansprüche, wobei das Feststellen, bei dem Cloud-Datenschutzdienst, dass der von dem ersten Datenverarbeiter empfangene erste Datenzugriffsblock gültig ist, wobei das Verfahren aufweist: Feststellen, dass die digitale Signatur für den ersten Datenzugriffsblock gültig ist.
Verfahren nach einem der vorhergehenden Ansprüche, wobei die Benutzereinheit so konfiguriert ist, dass sie eine Adresse für den ersten Cloud-Datenschutzdienst an den ersten Datenverarbeiter zusammen mit dem ersten Datenzugriffsblock überträgt und wobei der erste Datenverarbeiter so konfiguriert ist, dass er die Anfrage bezüglich der privaten Daten auf Grundlage der Adresse zu dem Cloud-Datenschutzdienst überträgt.
Verfahren nach einem der vorhergehenden Ansprüche, das ferner aufweist: Bereitstellen, durch den ersten Datenverarbeiter für einen zweiten Datenverarbeiter, von Zugriff auf mindestens einen Abschnitt der privaten Daten, wobei das Bereitstellen aufweist: Erzeugen, bei dem Cloud-Datenschutzdienst auf Grundlage des ersten Datenzugriffsblocks, eines zweiten Datenzugriffsblocks, der einen zweiten Datenverarbeiter betrifft; Übertragen, von dem Cloud-Datenschutzdienst zu dem ersten Datenverarbeiter, des zweiten Datenverarbeitungsblock, wobei der erste Datenverarbeiter so konfiguriert ist, dass er dem zweiten Datenverarbeiter den zweiten Datenzugriffsblock bereitstellt; Empfangen, bei dem Cloud-Datenschutzdienst von dem zweiten Datenverarbeiter, einer Anfrage zum Zugreifen auf mindestens den Abschnitt der privaten Daten, wobei die Anfrage den zweiten Datenzugriffsblock aufweist; und Feststellen, bei dem Cloud-Daten-Datenschutzdienst, dass der von dem zweiten Datenverarbeiter empfangene zweite Datenzugriffsblock gültig ist, und als Reaktion ein Gewähren eines partiellen Zugriffs auf mindestens den Abschnitt der die privaten Daten gegenüber dem zweiten Datenverarbeiter.
Verfahren nach dem vorhergehenden Anspruch, wobei der zweite Datenzugriffsblock einen Zugriff auf lediglich einen Abschnitt der privaten Daten für den zweiten Datenverarbeiter wiedergibt.
Verfahren nach einem der vorhergehenden Ansprüche, das ferner aufweist: Speichern des ersten Datenzugriffsblocks in einer Datenzugriffsblock-Registrierungsdatenbank.
Verfahren nach einem der vorhergehenden Ansprüche wobei dem ersten Datenverarbeiter der Zugriff auf die privaten Daten für eine begrenzte Zeitdauer gewährt wird und wobei der erste Datenverarbeiter so konfiguriert ist, dass er die privaten Daten entfernt, nachdem die begrenzte Zeitdauer abläuft.
Verfahren nach einem der vorhergehenden Ansprüche, wobei der Cloud-Datenschutzdienst in einer Public-Cloud-Umgebung unabhängig von dem ersten Datenverarbeiter arbeitet und wobei die privaten Daten in der Public-Cloud-Umgebung aufrechterhalten werden.
System, das aufweist: einen Prozessor; und einen Speicher, der ein Programm speichert, das bei Ausführung auf dem Prozessor eine Operation durchführt, wobei die Operation aufweist: Empfangen, bei einem Cloud-Daten-Datenschutzdienst, einer Anfrage von einer Benutzereinheit, um einem ersten Datenverarbeiter zu erlauben, auf private Daten zuzugreifen, die dem Benutzer zugehörig sind, wobei die Anfrage aufweist: eine Anfrage bezüglich eines ersten Datenzugriffsblocks, der die privaten Daten betrifft; und ein Datenfilter, das einen oder mehrere Zugriffsparameter beschreibt, die den ersten Datenverarbeiter und die privaten Daten betreffen; Erzeugen des ersten Datenzugriffsblocks bei dem Cloud-Daten-Datenschutzdienst auf Grundlage der privaten Daten und des Datenfilters; Übertragen des ersten Datenzugriffsblocks von dem Cloud-Datenschutzdienst zu der Benutzereinheit, wobei die Benutzereinheit so konfiguriert ist, dass sie den ersten Datenzugriffsblock zu dem ersten Datenverarbeiter überträgt; Empfangen, bei dem Cloud-Daten-Datenschutzdienst, einer Anfrage von dem ersten Datenverarbeiter bezüglich der privaten Daten, wobei die Anfrage den ersten Datenzugriffsblock aufweist; und Feststellen, bei dem Cloud-Daten-Datenschutzdienst, dass der von dem ersten Datenverarbeiter empfangene erste Datenzugriffsblock gültig ist, und als Reaktion ein Gewähren eines partiellen Zugriffs auf die privaten Daten gegenüber dem ersten Datenverarbeiter.
System nach dem vorhergehenden Anspruch, wobei ein Umfang des mindestens partiellen Zugriffs auf die privaten Daten, der dem ersten Datenverarbeiter gewährt wurde, auf dem ersten Datenzugriffsblock beruht.
System nach einem der beiden vorhergehenden Ansprüche, wobei die Operation ferner aufweist: Feststellen, bei dem Cloud-Datenschutzdienst, auf Grundlage des von dem ersten Datenverarbeiter empfangenen ersten Datenzugriffsblocks, dass das Datenfilter eine Benutzerzustimmung angibt, bevor dem ersten Datenverarbeiter Zugriff auf die privaten Daten gewährt wird, und als Reaktion: Übertragen einer Anfrage bezüglich Zustimmung von dem Cloud-Datenschutzdienst zu der Benutzereinheit; und Empfangen, bei dem Cloud-Datenschutzdienst von der Benutzereinheit, einer Nachricht, die eine Zustimmung anzeigt.
System nach einem der vorhergehenden Ansprüche 13 bis 15, wobei die Operation ferner aufweist: Bereitstellen, durch den ersten Datenverarbeiter für einen zweiten Datenverarbeiter, von Zugriff auf mindestens einen Abschnitt der privaten Daten, wobei das Bereitstellen aufweist: Erzeugen, bei dem Cloud-Datenschutzdienst auf Grundlage des ersten Datenzugriffsblocks, eines zweiten Datenzugriffsblocks, der einen zweiten Datenverarbeiter betrifft; Übertragen, von dem Cloud-Datenschutzdienst zu dem ersten Datenverarbeiter, des zweiten Datenverarbeitungsblock, wobei der erste Datenverarbeiter so konfiguriert ist, dass er dem zweiten Datenverarbeiter den zweiten Datenzugriffsblock bereitstellt; Empfangen, bei dem Cloud-Datenschutzdienst von dem zweiten Datenverarbeiter, einer Anfrage zum Zugreifen auf mindestens den Abschnitt der privaten Daten, wobei die Anfrage den zweiten Datenzugriffsblock aufweist; und Feststellen, bei dem Cloud-Daten-Datenschutzdienst, dass der von dem zweiten Datenverarbeiter empfangene zweite Datenzugriffsblock gültig ist, und als Reaktion ein Gewähren eines partiellen Zugriffs auf mindestens den Abschnitt der die privaten Daten gegenüber dem zweiten Datenverarbeiter.
Nichtflüchtiges Computerprogrammprodukt, wobei das Computerprogrammprodukt aufweist: ein durch einen Computer lesbares Speichermedium, auf dem durch einen Computer lesbarer Programmcode verkörpert ist, wobei der durch einen Computer lesbare Programmcode durch einen oder mehrere Computerprozessoren lesbar ist, um eine Operation durchzuführen, wobei die Operation aufweist: Empfangen, bei einem Cloud-Daten-Datenschutzdienst, einer Anfrage von einer Benutzereinheit, um einem ersten Datenverarbeiter zu erlauben, auf private Daten zuzugreifen, die dem Benutzer zugehörig sind, wobei die Anfrage aufweist: eine Anfrage bezüglich eines ersten Datenzugriffsblocks, der die privaten Daten betrifft; und ein Datenfilter, das einen oder mehrere Zugriffsparameter beschreibt, die den ersten Datenverarbeiter und die privaten Daten betreffen; Erzeugen des ersten Datenzugriffsblocks bei dem Cloud-Daten-Datenschutzdienst auf Grundlage der privaten Daten und des Datenfilters; Übertragen des ersten Datenzugriffsblocks von dem Cloud-Datenschutzdienst zu der Benutzereinheit, wobei die Benutzereinheit so konfiguriert ist, dass sie den ersten Datenzugriffsblock zu dem ersten Datenverarbeiter überträgt; Empfangen, bei dem Cloud-Daten-Datenschutzdienst, einer Anfrage von dem ersten Datenverarbeiter bezüglich der privaten Daten, wobei die Anfrage den ersten Datenzugriffsblock aufweist; und Feststellen, bei dem Cloud-Daten-Datenschutzdienst, dass der von dem ersten Datenverarbeiter empfangene erste Datenzugriffsblock gültig ist, und als Reaktion ein Gewähren eines partiellen Zugriffs auf die privaten Daten gegenüber dem ersten Datenverarbeiter.
Computerprogrammprodukt nach dem vorhergehenden Anspruch, wobei ein Umfang des mindestens partiellen Zugriffs auf die privaten Daten, der dem ersten Datenverarbeiter gewährt wurde, auf dem ersten Datenzugriffsblock beruht.
Computerprogrammprodukt nach einem der beiden vorhergehenden Ansprüche, wobei die Operation ferner aufweist: Feststellen, bei dem Cloud-Datenschutzdienst, auf Grundlage des von dem ersten Datenverarbeiter empfangenen ersten Datenzugriffsblocks, dass das Datenfilter eine Benutzerzustimmung angibt, bevor dem ersten Datenverarbeiter Zugriff auf die privaten Daten gewährt wird, und als Reaktion: Übertragen einer Anfrage bezüglich Zustimmung von dem Cloud-Datenschutzdienst zu der Benutzereinheit; und Empfangen, bei dem Cloud-Datenschutzdienst von der Benutzereinheit, einer Nachricht, die eine Zustimmung anzeigt.
Computerprogrammprodukt nach einem der vorhergehenden Ansprüche 17 bis 19, wobei die Operation ferner aufweist: Bereitstellen, durch den ersten Datenverarbeiter für einen zweiten Datenverarbeiter, von Zugriff auf mindestens einen Abschnitt der privaten Daten, wobei das Bereitstellen aufweist: Erzeugen, bei dem Cloud-Datenschutzdienst auf Grundlage des ersten Datenzugriffsblocks, eines zweiten Datenzugriffsblocks, der einen zweiten Datenverarbeiter betrifft; Übertragen, von dem Cloud-Datenschutzdienst zu dem ersten Datenverarbeiter, des zweiten Datenverarbeitungsblock, wobei der erste Datenverarbeiter so konfiguriert ist, dass er dem zweiten Datenverarbeiter den zweiten Datenzugriffsblock bereitstellt; Empfangen, bei dem Cloud-Datenschutzdienst von dem zweiten Datenverarbeiter, einer Anfrage zum Zugreifen auf mindestens den Abschnitt der privaten Daten, wobei die Anfrage den zweiten Datenzugriffsblock aufweist; und Feststellen, bei dem Cloud-Daten-Datenschutzdienst, dass der von dem zweiten Datenverarbeiter empfangene zweite Datenzugriffsblock gültig ist, und als Reaktion ein Gewähren eines partiellen Zugriffs auf mindestens den Abschnitt der die privaten Daten gegenüber dem zweiten Datenverarbeiter.