SE527925C2 - Procedure for decryption and database of encrypted data information - Google Patents

Procedure for decryption and database of encrypted data information

Info

Publication number
SE527925C2
SE527925C2 SE0401841A SE0401841A SE527925C2 SE 527925 C2 SE527925 C2 SE 527925C2 SE 0401841 A SE0401841 A SE 0401841A SE 0401841 A SE0401841 A SE 0401841A SE 527925 C2 SE527925 C2 SE 527925C2
Authority
SE
Sweden
Prior art keywords
key
data
metadata
access
encrypted
Prior art date
Application number
SE0401841A
Other languages
Swedish (sv)
Other versions
SE0401841L (en
SE0401841D0 (en
Inventor
Kent Soederstroem
Original Assignee
Infinisec Holding Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infinisec Holding Ab filed Critical Infinisec Holding Ab
Priority to SE0401841A priority Critical patent/SE527925C2/en
Publication of SE0401841D0 publication Critical patent/SE0401841D0/en
Priority to PCT/SE2005/001141 priority patent/WO2006006931A1/en
Priority to CN200580030086.1A priority patent/CN101057433A/en
Publication of SE0401841L publication Critical patent/SE0401841L/en
Publication of SE527925C2 publication Critical patent/SE527925C2/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K1/00Secret communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

The invention concerns a method for the decryption of encrypted information stored in the form of computer records (20) in a database (10). Metadata is stored together with the information content of a computer record, whereby metadata controls the processing of information in the computer records (20) through information being limited by access rules that are defined by protected objects (16) intended for decryption, whereby the protected objects (16) are linked to metadata.

Description

en' a 10 15 20 25 30 35 527 925 2 säkerhetsobjekt avsedda för dekryptering, varvid säkerhetsobjekten är länkade mot nämnda metadata. a security object intended for decryption, the security objects being linked to said metadata.

I en utföringsform av förfarandet enligt föreliggande uppfinning innefattar metadata en symbolkryptonyckel, vilken används för åtkomst till en kryptoalgoritm och en - nyckel i ett kryptonyckelregister för lagring av desamma.In one embodiment of the method according to the present invention, metadata comprises a symbol crypto key, which is used for accessing a crypto algorithm and a key in a crypto key register for storing the same.

En annan utföringsform innefattar att den symbolkryptonyckeln används för översättning till nämnda kryptoalgoritm och -nyckel vid det tillfälle när en bearbetning av data åstadkommes.Another embodiment comprises that the symbol crypto key is used for translation into said crypto algorithm and key at the time when a processing of data is effected.

Ytterligare en utföringsform anger att åtkomsten till kryptonyckeln begränsas av åtminstone ett skyddsobjekt som är länkat till den symboliska nyckeln och till användaren av den krypterade datainformationen i datatermen. l en annan utföringsform genomgås följande förfarandesteg: en av en användare initierad bearbetning av skyddat data, som aktiverar metadata; ett kryptonyckelregister anropas med den symboliska nyckeln som identifikation; krypteringsnyckeln i kryptonyckelregistret är länkad till åtminstone ett skyddsobjekt; àtkomsträttigheten till skyddsobjektet kontrolleras för användaren av det krypterade innehållet i datatermen; med rätt till åtkomst ersätts den symboliska nyckeln i metadata med nämnda krypteringsalgoritm och -nyckel; och att krypteringsbearbetningen utförs med innehållet metadata som styrande parametrar.Another embodiment states that access to the cryptographic key is restricted by at least one protected object linked to the symbolic key and to the user of the encrypted data information in the data term. In another embodiment, the following steps are performed: a user-initiated processing of protected data, which activates metadata; a cryptographic key register is called with the symbolic key as identification; the encryption key in the cryptographic key register is linked to at least one protected object; the access right to the protected object is checked for the user by the encrypted content of the data term; with the right of access, the symbolic key in metadata is replaced by said encryption algorithm and key; and that the encryption processing is performed with the content metadata as controlling parameters.

En utföringsform innefattar att kryptonyckelregistret är en tabell/register innefattande nyckelsymboler av metadata utgörande den symboliska nyckeln. l en annan utföringsform lagras oskyddad datainformation tillsammans med krypterad datainformation. Vidare i en ytterligare utföringsforrn är namn och adress för persondatainformation oskyddad, men personnummer är krypterade enligt föreliggande uppfinning.One embodiment comprises that the cryptographic key register is a table / register comprising key symbols of metadata constituting the symbolic key. In another embodiment, unprotected data information is stored along with encrypted data information. Furthermore, in a further embodiment, the name and address of personal data information are unprotected, but social security numbers are encrypted according to the present invention.

Ytterligare anger föreliggande uppfinning en databas med lagrad krypterad datainformation i form av dataterrner. Metadata lagras tillsammans med datainnehàllet i en dataterm, varvid metadata styr bearbetning av data i dataterrnen genom att data avgränsas av åtkomstregler definierade av säkerhetsobjekt avsedda för dekryptering, varvid säkerhetsobjekten är länkade mot nämnda metadata.Furthermore, the present invention provides a database of stored encrypted data information in the form of data fields. Metadata is stored together with the data content in a data term, metadata controlling processing of data in the data fields by delimiting data by access rules defined by security objects intended for decryption, the security objects being linked to said metadata.

Databasen enligt föreliggande uppfinning medger även lagring av information enligt utföringsformerna för ovan nämnda förfarande genom bilagda osiälvständiga krav. en 10 15 20 25 30 527 925 3 Kortfattad beskrivning av ritningen Fortsättningsvis beskrivs föreliggande uppfinning med avseende på bilagd ritning för en bättre förståelse av uppfinningens utföringsformer och givna exempel, varvid den enda figuren: Fig. 1 i en utföringsform illustrerar hur en grupp av användare och en enskild person erhåller tillträde till i en databas lagrad krypterad information i enlighet med föreliggande uppfinning.The database according to the present invention also allows storage of information according to the embodiments of the above-mentioned method by appended dependent claims. A Brief Description of the Drawing Furthermore, the present invention is described with reference to the accompanying drawing for a better understanding of the embodiments of the invention and given examples, the only example being: Fig. 1 in one embodiment illustrates how a group of users and an individual obtains access to encrypted information stored in a database in accordance with the present invention.

Detaljerad beskrivning av föredragna utföringsformer Såsom tidigare beskrivits häri med avseende på det svenska patentet med publiceringsnumret SE-C2-506 853 föreligger följande skillnader mellan SE-C2-506 853 och föreliggande uppfinning: - l SE-C2-506 853 är varje term i den lagrade informationen kopplad till en termkatalog i en annan databas som beskriver behandlingsregler. Föreliggande uppfinning bygger på att behandlingsregler lagras tillsammans med den lagrade informationen. v I SE-C2-506 853 betraktas nyckeln som ett attribut i termkatalogen. Enligt föreliggande uppfinnlngs lösning innebär det att nyckeln identifieras av en symbolnyckel "key token", som sedan översätts till en aktiv nyckel genom ett uppslag i ett nyckelregister. ~ l SE-C2-506 853 representeras den lagrade informationen av en instans i termkatalogen. I Föreliggande uppfinnings lösning representeras den lagrade informationen av ett skyddsobjekt som har behörighetslänkar via metadata mot nyckeln. Detta avgör om en person är behörig att använda nyckeln eller ej.Detailed Description of Preferred Embodiments As previously described herein with respect to the Swedish patent with the publication number SE-C2-506 853, the following differences exist between SE-C2-506 853 and the present invention: In SE-C2-506 853, each term in the stored the information linked to a term directory in another database describing processing rules. The present invention is based on processing rules being stored together with the stored information. v In SE-C2-506 853 the key is considered as an attribute in the term catalog. According to the solution of the present invention, this means that the key is identified by a symbol key "key token", which is then translated into an active key through an entry in a key register. In SE-C2-506 853 the stored information is represented by an instance in the term directory. In the present invention solution, the stored information is represented by a protected object that has access links via metadata to the key. This determines whether a person is authorized to use the key or not.

Den enda bilagda figuren i föreliggande beskrivning, fig. 1, illustrerar i en utföringsform hur en grupp av användare 12 och en enskild person 14 erhåller tillträde/access till i en databas lagrad krypterad information avseende en dataterm 20 lagrad i en databas 10 i enlighet med föreliggande uppfinning. Databasen 10 innefattar i en utföringsform åtminstone ett säkerhetsobjekt 16, som i sig innefattar en uppsättning sekretessobjekt 1 och 2; ett nyckeluppslagsverk/-register 18 och datatermer 20 avseende någon form av sekretessbelagda uppgifter. I en annan utföringsforrn kan säkerhetsobjektet 16 och nyckelregistret existera utanför databasen 10.The only appended figure in the present description, Fig. 1, illustrates in one embodiment how a group of users 12 and an individual 14 obtain access / access to encrypted information stored in a database regarding a data term 20 stored in a database 10 in accordance with present invention. The database 10 in one embodiment comprises at least one security object 16, which in itself comprises a set of secrecy objects 1 and 2; a key encyclopedia / register 18 and data terms 20 relating to any form of classified information. In another embodiment, the security object 16 and the key register may exist outside the database 10.

En dataterm i enlighet med föreliggande beskrivning utgör något som har en känd betydelse, exempelvis bilmärke, namn, adress, personnummer och annat med känd betydelse. Datatermen innehåller metadata + det krypterade ursprungsvärdet ABCDF .... se fig. 1. 10 15 20 25 30 35 527 925 4 Vad avser säkerhetsobiektet 16 innehåller dessa ett antal sekretessobjekt.A data term in accordance with the present description constitutes something that has a known meaning, for example car brand, name, address, social security number and other things of known meaning. The data term contains metadata + the encrypted origin value ABCDF .... see fig. 1. 10 15 20 25 30 35 527 925 4 As for the security object 16, these contain a number of confidential objects.

Säkerhetsobjektet 16 utgör en länk mellan symbolkryptonyckel och användare. Det kan förekomma flera säkerhetsobjektet 16 i databasen 10, exempelvis kan det finnas ett säkerhetsobjekt för ett personaladministrativt system och ett annat för ett kundregister.The security object 16 forms a link between the symbol crypto key and the user. There may be several security objects 16 in the database 10, for example there may be one security object for a personnel administration system and another for a customer register.

Användningsområdet styr till vilket säkerhetsobjekt 16 en brukare/användare 12, 14 är ansluten mot. l säkerhetsobjektet 16 i databasen 10 finns sekretessobjekt avseende accessbehörighet till dataterrner 20 för användarna/brukama i form av personalen 12 och personen 14. För överskàdlighetsskull, som ett exempel endast lagrade i två poster i form av sekretessobjekt 1 och 2. Tomma boxar i det skyddade objektet 16 anger att det inte finns någon bestämd begränsning av antalet sekretessobjekt i säkerhetsobjektet 16. Exempelvis kan säkerhetsobjektet innehålla sekretessobjekt för fler brukare/personal 12 och personer 14. Sekretessobjekten 1 och 2 innehåller i huvudsak information om begränsningar av dess användande, t.ex., att ett sekretessobjekt endast får användas dagtid, 8:00-17:00, måndag - fredag.The area of use controls to which security object 16 a user / user 12, 14 is connected to. In the security object 16 in the database 10 there are confidential objects regarding access rights to data fields 20 for the users / users in the form of staff 12 and the person 14. For the sake of clarity, as an example only stored in two records in the form of confidential objects 1 and 2. Empty boxes in the protected object 16 indicates that there is no definite restriction on the number of secrecy objects in the security object 16. For example, the security object may contain secrecy objects for more users / staff 12 and persons 14. Confidential objects 1 and 2 mainly contain information on restrictions on its use, e.g. , that a confidential object may only be used during the day, 8: 00-17: 00, Monday - Friday.

För inloggning och bearbetning av datainformationen, häri benämnd ABCDF i datatermen 20 är åtkomsten eller acoessen till information i en dataterm 20 styrd genom sekretessobjekten i säkerhetsobjektet 16, exempelvis genom att brukaren 12, 14 av informationen tillåts allt eller nàgotdera av läsning/skrivning/radering (R/W/D), exekvering och annan känd databearbetning av information i datatermen 20. Med accesstyming avses att användaren/brukaren 12, 14 har behörighet att använda en kryptonyckel/aktiv nyckel för ett visst syfte, t.ex., att använda den för att dekryptera eller alternativt kryptera information i datatermer 20, varvid accesstyrningen resulterar i att nyckeln lämnas ut eller att ett felmeddelande åstadkommas.For logging in and processing the data information, herein referred to as ABCDF in the data term 20, the access or access to information in a data term 20 is controlled by the secrecy objects in the security object 16, for example by allowing the user 12, 14 of the information all or some reading / writing / deletion ( R / W / D), execution and other known data processing of information in the data term 20. By access control is meant that the user / user 12, 14 has permission to use a cryptographic key / active key for a specific purpose, eg, to use it to decrypt or alternatively encrypt information in data terms 20, the access control resulting in the key being disclosed or an error message being generated.

Häri exemplet enl. fig. 1 accesstyrs personal 12 i någon organisation som använder databasen 10 och en enskild person 14, t.ex. personalens 12 chef för bearbetning av datainformationen i datatermen 20. Personalen 12 och personen 14 kan ha olika inloggningsbehörigheter för RllN/D, exekvering eller annan känd databehandlingsbearbetning av informationen i termen 20 i form av sekretessobjekt 1 och 2.Here the example acc. fi g. 1 access control staff 12 in any organization using the database 10 and an individual 14, e.g. the personnel 12 for the processing of the data information in the data term 20. The personnel 12 and the person 14 may have different login privileges for R11N / D, execution or other known data processing of the information in the term 20 in the form of confidential objects 1 and 2.

Personen 14, som chef har i en utföringsform andra accessregler än personalen 12, som medger tillgång till sekretessdata. När någon i personalen 12 söker åtkomst till sekretessdata efter lyckad identitetskontroll via säkerhetsobjektet 16 kan denne fortfarande inte utan vidare läsa informationen i datatermen 20 som t.ex. lagrar sekretessdata om en person. Däremot finns metadata lagrat i dataterrnen 20 i dess huvudfält som föregår det egentliga sekretessbelagda data ABCDF som personalen 12 eller personen 14 söker åtkomst till för bearbetning. Metadatat används av brukaren /användaren 10 15 20 25 30 35 527 925 5 när denne har erhållit tillgång till kryptoalgoritm, t.ex. AES (Advanced Encryption Standard) eller annan känd kryptoalgoritm, och kryptonyckel. Metadata styr bearbetningen på sä sätt att det bla. består av att det: 1. beskriver det dataformat den skyddade termen är lagrad under. 2. markerar om initial vektor (IV) används 3. markerar om data är komprimerat 4. markerar om integritetskontroll ska göras på det krypterade innehållet Säkerhetsobjektet 16 fungerar som en länk mellan kryptonyckel innefattad i en symbolkryptonyckel 100 i ett nyckelregister 18 enligt föreliggande uppfinning och brukare 12, 14. I datatermens 20 metadata innefattas symbolkryptonyckeln 100, vilken således har information om var kryptonyckeln skall hämtas i databasen 10 eller därtill anslutna lagringsenheter. Åtkomsten till data ABCDF .;. anges i en utföringsform enligt föreliggande uppfinning pà följande sätt genom ett förfarande och en databas 10. Förfarandet enligt föreliggande uppfinning avser de operationer som genereras för att säkerställa kryptering av lagrad information i databaser 10. Förfarandet bygger på att metadata, kryptoparametrar och symbolnyckel lagras tillsammans med datainnehàllet och där metadata styr bearbetningen av data informationen i datatermen 20. Brukaren 12, 14 av den lagrade informationen avgränsas av åtkomstregler definierade av säkerhetsobjekt 16 länkade till metadata.The person 14, as the manager, in one embodiment has different access rules than the staff 12, which allow access to confidential data. When someone in the staff 12 seeks access to confidential data after successful identity check via the security object 16, he still cannot read the information in the data term 20 as e.g. stores privacy data about a person. In contrast, metadata is stored in the data field 20 in its main field which precedes the actual classified data ABCDF which the staff 12 or the person 14 seeks access to for processing. Metadata is used by the user / user 10 15 20 25 30 35 527 925 5 when he has gained access to crypto algorithm, e.g. AES (Advanced Encryption Standard) or other known crypto algorithm, and crypto key. Metadata controls the processing in such a way that, among other things. consists of: 1. describing the data format under which the protected term is stored. 2. marks if initial vector (IV) is used 3. marks if data is compressed 4. marks whether privacy check is to be performed on the encrypted content The security object 16 acts as a link between crypt key contained in a symbol crypt key 100 in a key register 18 according to the present invention and users 12, 14. The metadata of the data term 20 includes the symbol cryptographic key 100, which thus has information on where the cryptographic key is to be retrieved in the database 10 or storage units connected thereto. Access to data ABCDF.;. is embodied in an embodiment of the present invention in the following manner by a method and a database 10. The method of the present invention relates to the operations generated to ensure encryption of stored information in databases 10. The method is based on storing metadata, crypto parameters and symbol key together with the data content and where metadata controls the processing of the data information in the data term 20. The user 12, 14 of the stored information is delimited by access rules de fi niered by security objects 16 linked to metadata.

Metadata är data och/eller information om andra data och/eller annan information.Metadata is data and / or information about other data and / or other information.

Förfarandet innefattar att det i varje dataterrn 20 som ska skyddas genom kryptering adderas metadata, som styr bearbetningen av det skyddade innehållet i datatermen 20. Nyckeln kan av säkerhetsskäl inte lagras tillsammans med det krypterade värdet, utan representeras av en symbolisk nyckel som används för att översätta till en kryptoalgoritm och en kryptonyckel vid själva bearbetningstillfället. Åtkomsten till nyckeln begränsas av ett eller flera skyddsobjekt 16 som är länkade till den symboliska nyckeln och till brukaren 12, 14 av det skyddade innehållet i datatermen 20.The method comprises that in each data tower 20 to be protected by encryption is added metadata, which controls the processing of the protected content in the data term 20. For security reasons, the key cannot be stored together with the encrypted value, but is represented by a symbolic key used to translate to a crypto algorithm and a crypto key at the time of processing. Access to the key is restricted by one or more protected objects 16 which are linked to the symbolic key and to the user 12, 14 by the protected contents of the data term 20.

Bearbetningen utförs i en utföringsfonn enligt följande steg: 1. En av brukaren 12, 14 initierad bearbetning av skyddad data ABCDF och som i sin tur aktiverar metadata. 2. Ett nyckelregister ('key dictionary') 18 anropas med symbolnyckeln 100 som identifikation. ' 10 15 20 527 925 b 3. Krypteringsnyckeln (12Ae45GUYTb ...) i ”key dictonary" är länkad till ett eller flera säkerhetsobjekt 16. Åtkomsträttigheten till säkerhetsobjektet 16 (Protected object) kontrolleras för brukaren av det skyddade innehàllet i datatermen 20. 4. Med rätt till åtkomst ersätts den symboliska nyckeln i metadata med krypteringsalgoritm och nyckel. 5. Krypteringsbearbetningen utförs med innehållet i metadata som styrande parametrar.The processing is performed in an embodiment according to the following steps: 1. A processing of protected data ABCDF initiated by the user 12, 14 and which in turn activates metadata. 2. A key dictionary 18 is called with the symbol key 100 as identification. '10 15 20 527 925 b 3. The encryption key (12Ae45GUYTb ...) in the "key dictonary" is linked to one or more security objects 16. The right of access to the protected object 16 (Protected object) is checked for the user by the protected content in the data term 20. 4 With the right of access, the symbolic key in metadata is replaced with encryption algorithm and key 5. The encryption processing is performed with the content of metadata as controlling parameters.

Datatermens 20 fält med symbolnyckeln 100 i metadata kopplas ihop med symbolkryptonyckeln 100 i nyckelregistret 18, varvid sekretessobjekten 1 och 2 hittar symbolkryptonyckeln100 i nyckelregistret enligt följande. Användaren 12, 14 begär att erhälla tillgång till data 20 med hjälp av identiteten på ett sekretessobjekt 16. Dataiermen 20 läses, varvid symbolnyckeln som ingàri metadata hämtas. Den symboliska nyckeln skickas tillsammans med identiteten sekretessobjektet till nyckelregistret 18. Bearbetningen i nyckelregistret åstadkommas i 2 steg: 1. Kontroll att användaren har rätt att använda sekretessobjektet för denna operation och att den symboliska nyckeln har en länk till sekretessobjektet. 2. Översättning av den symboliska nyckeln till en kryptoalgoritm och -nyckel.The field of the data term 20 with the symbol key 100 in metadata is connected to the symbol crypt key 100 in the key register 18, the confidential objects 1 and 2 finding the symbol crypt key 100 in the key register as follows. The user 12, 14 requests access to the data 20 by means of the identity of a confidential object 16. The data arm 20 is read, whereby the symbol key contained in the metadata is retrieved. The symbolic key is sent together with the identity of the secret object to the key register 18. The processing in the key register is accomplished in 2 steps: 1. Check that the user has the right to use the secret object for this operation and that the symbolic key has a link to the secret object. 2. Translation of the symbolic key into a crypto-algorithm and key.

Användaren av data 20 har genom att erhålla tillgång till kryptoalgoritm och - nyckel nu åstadkommit att det är möjligt att dekryptera informationen 20.The user of data 20 has now, by gaining access to crypto algorithm and key, made it possible to decrypt the information 20.

Organ i föreliggande uppfinning kan bestå av programvara eller hårdvara eller en kombination av desamma kända för fackmannen inom teknikomràdet. Vidare är det bilagda patentkrav som anger skyddsomfànget för fackmannen.Means of the present invention may consist of software or hardware or a combination of the same known to those skilled in the art. Furthermore, the appended claims state the scope of protection for the person skilled in the art.

Claims (14)

10 15 20 25 30 35 527 925 w! Patentkrav10 15 20 25 30 35 527 925 w! Patent claims 1. Förfarande för dekryptering av lagrad krypterad datainformation i form av datatermer (20) i en databas (10), k ä n n e t e c k n at av att metadata lagras (100) i form av en symbolkryptonyckel tillsammans med datainnehållet i en dataterm (20), varvid nämnda metadata (1 OO) styr bearbetning av data i datatermen (20) genom att data avgränsas av àtkomstregler definierade av säkerhetsobjekt (16) avsedda för åtminstone ett av dekryptering och kryptering, varvid säkerhetsobjekten (16) är länkade mot nämnda metadata, varvid nämnda metadata innefattar en symbolkryptonyckel (100), vilken används för åtkomst till en kryptoalgoritm (AES) och en -nyckel i ett kryptonyckelregister (18) för lagring av desamma.A method for decrypting stored encrypted data information in the form of data terms (20) in a database (10), characterized in that metadata is stored (100) in the form of a symbol crypto key together with the data contents of a data term (20), wherein said metadata (100) controls processing of data in the data term (20) by delimiting data by access rules defined by security objects (16) intended for at least one of decryption and encryption, the security objects (16) being linked to said metadata, said metadata includes a token cryptographic key (100), which is used to access a crypto-algorithm (AES) and a key in a cryptographic key register (18) for storing the same. 2. Förfarande enligt krav 1, k ä n n e t e c k n at av att symbolkryptonyckeln (100) används för översättning till nämnda kryptoalgoritm och -nyckel vid det tillfälle när en bearbetning av data åstadkommes.A method according to claim 1, characterized in that the symbol cryptographic key (100) is used for translation into said crypto-algorithm and key at the time when a processing of data is effected. 3. Förfarande enligt något av krav 1 och 2, k ä n n e t e c k n at av att åtkomsten till kryptonyckeln begränsas av åtminstone ett skyddsobjekt (16) som är länkat till den symbolkryptonyckeln (100) och till användaren (12) av den krypterade dalainformationen i datatermen (20).Method according to one of Claims 1 and 2, characterized in that access to the cryptographic key is restricted by at least one protection object (16) which is linked to the symbol cryptographic key (100) and to the user (12) of the encrypted valley information in the data term ( 20). 4. Förfarande enligt något av krav 1-3, k ä n n e t e c k n a t av följande förfarandesteg: en av en användare initierad bearbetning av skyddat data, som aktiverar metadata; ett kryptonyckelregister anropas med den symboliska nyckeln som identifikation; krypteringsnyckeln i kryptonyckelregistret är länkad till åtminstone ett skyddsobjekt; àtkomsträttigheten till skyddsobjektet kontrolleras för användaren av det krypterade innehållet i datatermen; med rätt till åtkomst ersätts den symboliska nyckeln i metadata med nämnda krypteringsalgoritm och -nyckel; och att krypteringsbearbetningen utförs med innehållet i metadata som styrande parametrar. _A method according to any one of claims 1-3, characterized by the following method steps: a user-initiated processing of protected data, which activates metadata; a cryptographic key register is called with the symbolic key as identification; the encryption key in the cryptographic key register is linked to at least one protected object; the access right to the protected object is checked for the user by the encrypted content of the data term; with the right of access, the symbolic key in metadata is replaced by said encryption algorithm and key; and that the encryption processing is performed with the contents of metadata as controlling parameters. _ 5. Förfarande enligt något av kraven 1 och 4, k ä n n e t e c k n at av att kryptonyckelregistret är en tabell innefattande nyckelsymboler av metadata utgörande nämnda symboliska nyckel.5. A method according to any one of claims 1 and 4, characterized in that the cryptographic key register is a table comprising key symbols of metadata constituting said symbolic key. 6. Förfarande enligt något av kraven 1-5, k ä n n e t e c k n at av att oskyddad datainformation lagras tillsammans med krypterad datainformation. ~4,_'_ 10 15 20 25 30 35 527 925 8Method according to any one of claims 1-5, characterized in that unprotected data information is stored together with encrypted data information. ~ 4, _'_ 10 15 20 25 30 35 527 925 8 7. Förfarande enligt krav 6, k ä n n e t e c k n at av att namn och adress för persondatainformation är oskyddad, men att personnummer är krypterad.Method according to claim 6, characterized in that the name and address for personal data information is unprotected, but that the personal identity number is encrypted. 8. Databas (10) med lagrad krypterad datainformation i form av datatermer (20), k ä n n e t e c k n a d b av att metadata lagras (100) tillsammans med datainnehàllet i en dataterm (20), varvid nämnda metadata styr bearbetning av data i datatermen (20) genom att data avgränsas av àtkomstregler definierade av säkerhetsobjekt (16) avsedda för dekryptering, varvid säkerhetsobjekten (16) är länkade mot nämnda metadata. varvid nämnda metadata innefattar en symbolkryptonyckel, vilken används för åtkomst till en kryptoalgoritm och en -nyckel i ett kryptonyckelregister (18) för lagring av desamma.Database (10) with stored encrypted data information in the form of data terms (20), characterized in that metadata is stored (100) together with the data content in a data term (20), said metadata controlling processing of data in the data term (20). in that data is delimited by access rules defined by security objects (16) intended for decryption, the security objects (16) being linked to said metadata. said metadata comprising a symbol crypto key, which is used to access a crypto algorithm and a key in a crypto key register (18) for storing the same. 9. Databas enligt krav 8, k ä n n e t e c k n a d av att den symbolkryptonyckeln används för översättning till nämnda kryptoalgoritm och -nyckel vid det tillfälle när en bearbetning av data àstadkommes.Database according to claim 8, characterized in that that symbol cryptographic key is used for translation into said crypto-algorithm and key at the time when a processing of data is accomplished. 10. Databas enligt något av krav 8 och 9, k ä n n e t e c k n a d av att åtkomsten till kryptonyckeln begränsas av åtminstone ett skyddsobjekt som är länkat till den symboliska nyckeln och till användaren av den krypterade datainformationen i dataterrnen.Database according to either of Claims 8 and 9, characterized in that access to the cryptographic key is restricted by at least one protected object which is linked to the symbolic key and to the user of the encrypted data information in the data fields. 11. Databas enligt något av krav 8-10, k ä n n e t e c k n a d av den innefattar: organ som medger en av en användare initierad bearbetning av skyddat data, som aktiverar metadata; organ som anropar ett kryptonyckelregister med den symboliska nyckeln som identifikatiøn; i att i kryptonyckelregistret innefattad krypteringsnyckel är länkad till åtminstone ett skyddsobjekt; organ för kontroll av ätkomsträttigheten till skyddsobjektet för användaren av det krypterade innehållet i datatermen; organ för ersättning vid rätt till åtkomst av den symboliska nyckeln i metadata med nämnda krypteringsalgoritm och -nyckelç och organ som åstadkommer att krypteringsbearbetningen utförs med innehållet metadata som styrande parametrar.A database according to any one of claims 8-10, characterized in that it comprises: means allowing a user-initiated processing of protected data, which activates metadata; means that invoke a cryptographic key register with the symbolic key as the identificatio; in that the encryption key included in the cryptographic key register is linked to at least one protected object; means for checking the eating right of the protected object for the user of the encrypted content of the data term; means for compensating for the right of access of the symbolic key in metadata with said encryption algorithm and key and means for causing the encryption processing to be performed with the content metadata as controlling parameters. 12. Databas enligt nàgot av kraven 8 och 11, k ä n n e t e c k n a d av att kryptonyckelregistret är en tabell innefattande nyckelsymboler av metadata utgörande nämnda symboliska nyckel.Database according to any one of claims 8 and 11, characterized in that the cryptographic key register is a table comprising key symbols of metadata constituting said symbolic key. 13. Databas enligt något av kraven 8-11, k ä n n e t e c k n a d av att oskyddad datainformation lagras tillsammans med krypterad datainformation.Database according to one of Claims 8 to 11, characterized in that unprotected data information is stored together with encrypted data information. 14. Databas enligt krav 13, k ä n n e t e c k n a d av att namn och adress för persondatainformation är oskyddad, men att personnummer är krypterad. .-----.-----Database according to claim 13, characterized in that the name and address for personal data information is unprotected, but that the personal identity number is encrypted. ----- .-----
SE0401841A 2004-07-09 2004-07-09 Procedure for decryption and database of encrypted data information SE527925C2 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
SE0401841A SE527925C2 (en) 2004-07-09 2004-07-09 Procedure for decryption and database of encrypted data information
PCT/SE2005/001141 WO2006006931A1 (en) 2004-07-09 2005-07-08 Storing of metadata
CN200580030086.1A CN101057433A (en) 2004-07-09 2005-07-08 Storing of metadata

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE0401841A SE527925C2 (en) 2004-07-09 2004-07-09 Procedure for decryption and database of encrypted data information

Publications (3)

Publication Number Publication Date
SE0401841D0 SE0401841D0 (en) 2004-07-09
SE0401841L SE0401841L (en) 2006-01-10
SE527925C2 true SE527925C2 (en) 2006-07-11

Family

ID=32867226

Family Applications (1)

Application Number Title Priority Date Filing Date
SE0401841A SE527925C2 (en) 2004-07-09 2004-07-09 Procedure for decryption and database of encrypted data information

Country Status (3)

Country Link
CN (1) CN101057433A (en)
SE (1) SE527925C2 (en)
WO (1) WO2006006931A1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101346734B1 (en) 2006-05-12 2014-01-03 삼성전자주식회사 Multi certificate revocation list support method and apparatus for digital rights management
US7904732B2 (en) * 2006-09-27 2011-03-08 Rocket Software, Inc. Encrypting and decrypting database records
CN101587479B (en) * 2008-06-26 2011-04-13 北京人大金仓信息技术股份有限公司 Database management system kernel oriented data encryption/decryption system and method thereof

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5661799A (en) * 1994-02-18 1997-08-26 Infosafe Systems, Inc. Apparatus and storage medium for decrypting information
US5598470A (en) * 1994-04-25 1997-01-28 International Business Machines Corporation Method and apparatus for enabling trial period use of software products: Method and apparatus for utilizing a decryption block
SE506853C2 (en) * 1996-06-20 1998-02-16 Anonymity Prot In Sweden Ab Method of data processing

Also Published As

Publication number Publication date
WO2006006931A1 (en) 2006-01-19
SE0401841L (en) 2006-01-10
CN101057433A (en) 2007-10-17
SE0401841D0 (en) 2004-07-09

Similar Documents

Publication Publication Date Title
US10735193B1 (en) Decentralized encryption and decryption of blockchain data
EP2731041B1 (en) Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method
US9350714B2 (en) Data encryption at the client and server level
TWI388183B (en) System and method for dis-identifying sensitive information and associated records
US6360324B2 (en) Secure database system
US11698986B1 (en) Decentralized encryption and decryption of blockchain data
US9558366B2 (en) Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method
US6598161B1 (en) Methods, systems and computer program products for multi-level encryption
Sedayao et al. Enhancing cloud security using data anonymization
US20070208743A1 (en) System and Method For Searching Rights Enabled Documents
US20180012035A1 (en) Record level data security
US9977922B2 (en) Multi-tier storage based on data anonymization
US20090240956A1 (en) Transparent encryption using secure encryption device
US20190319947A1 (en) Access to Data Stored in a cloud
CN101925913A (en) Method and system for encrypted file access
CN106022155A (en) Method and server for security management in database
US8972747B2 (en) Managing information in a document serialization
Heurix et al. Privacy-preserving storage and access of medical data through pseudonymization and encryption
US8707034B1 (en) Method and system for using remote headers to secure electronic files
US20050125698A1 (en) Methods and systems for enabling secure storage of sensitive data
JP3727819B2 (en) Database sharing system
SE527925C2 (en) Procedure for decryption and database of encrypted data information
Odabi et al. Data security in health information systems by applying software techniques
US10970408B2 (en) Method for securing a digital document
JP4153709B2 (en) Access control method

Legal Events

Date Code Title Description
NUG Patent has lapsed