TWI607340B - Privacy data flow security and storage protection method and system - Google Patents

Description

隱私資料流程安全與儲存保護方法及其系統

本發明係關於一種使用資料傳輸安全及資料庫儲存相關保護機制，提出一套完整的隱私資料流程安全與儲存保護方法，大幅提高系統的資訊安全與個資保護。

過往所提供之資料庫保護方法，利用資訊隱藏技術將與個人私密資料庫表格有關聯的資料庫主鍵隱藏於一影像內，以達到保護私密資料的目的。由於個人身份與私密資料間無明顯外露之索引鍵，即使資料庫遭竊取，個人私密資料也不易洩漏；可防止具資料庫管理權限之管理者查閱他人私密資料；在隱匿個人身份情況下仍可提供健康照護資料予相關單位做管理或學術研究之加值統計分析。但因該專利著重於對資料庫表格有關聯的資料庫主鍵做保護與處理，在個人私密資料進入資料庫前的交換及匯入動作，像醫院所提供的健檢資料的交換及匯入，以及之後使用者及管理單位在查詢資料的網頁傳輸安全，都有潛在的個人資料保護及資訊安全問題。

本案發明人鑑於上述習用方式所衍生的各項缺點，乃亟思加以改良創新，並經多年苦心孤詣潛心研究後，終於成功研發完成本隱私資料流程安全與儲存保護方法及其系 統。

本發明所提供之隱私資料流程安全與儲存保護方法及其系統，係利用資料傳輸安全及資料庫儲存相關技術，以達成保護隱私資料的傳輸與儲存的目的。本發明的隱私資料流程安全與儲存保護方法包括三個部份：(一)一套隱私資料交換機制、(二)一套隱私資料儲存機制、(三)一套隱私資料查詢機制。

一套隱私資料交換機制，是從資料來源端到資料接收端的隱私資料交換，資料來源端將隱私資料以AES(Advanced Encryption Standard)加密後並以資料接收端的公鑰(Public key)進行RSA簽章(RSA sign)後，透由SFTP管道傳輸，資料接收端收到隱私資料後，透由RSA密鑰(Private key)解密及核章(RSA verify signature)，解密後的隱私資料則透由Web相關技術匯入資料庫儲存。資料接收端收到的隱私資料須定期刪除，並由主管審核確認，解密後的隱私資料在匯入資料庫後則由轉檔程式立刻刪除。資料接收端伺服器的管理者與RSA密鑰(Private key)解密者須為不同人，以確保資訊安全。資料接收端的隱私資料接收、匯入與刪除動作皆須保留相關之作業紀錄或表單，由主管定期稽核。

一套隱私資料儲存機制，針對可辨識身分的資料與隱私資料分開儲存，資料庫區分為兩個，分別存在不同的伺服器，一個資料庫儲存可辨識身分的資料像是人事資料表，另一個資料庫儲存隱私資料的資料表，儲存可辨識身分資料的資料庫中還存在一個關聯的資料表，其主鍵(Primary key) 即為隱私資料表的主鍵，同時還存在人事資料表的主鍵，主鍵的欄位儲存使用GUID型態，確保主鍵的唯一。隱私資料在匯入資料庫時，就會透由轉檔中介程式匯入對應的資料庫與資料表儲存。兩個伺服器管理者須不同人，伺服器管理者與資料庫管理者也須不同人，以確保資訊安全。

一套隱私資料查詢機制，針對使用者查詢隱私資料的驗證動作，使用者須先透由帳號密碼進入查詢系統，在查詢隱私資料的頁面需再插入身分識別證，透由身分識別證的私鑰與在頁面輸入的通行碼進行雙因子認證，經確認身分無誤後才可查詢相關隱私資料。隱私資料的查詢動作都會保存相關紀錄於資料庫，由主管定期稽核。

本發明所提供一種隱私資料流程安全與儲存保護方法及其系統，與其他習用技術相互比較時，更具備下列優點：

1.本發明提供一套從原始資料檔到系統接收端的隱私資料交換機制，隱私資料需透由公私鑰及加解密演算法與安全通道傳輸，可減少傳輸過程中隱私資料被竊取的資安風險，或即使被竊取也不易洩漏。

2.本發明提供一套隱私資料儲存機制，將可辨識身分的資料與其他隱私資料分開儲存，即使資料庫遭竊取，隱私資料也不易洩漏，而且可防止具資料庫權限的管理者查閱他人私密資料。

3.本發明提供一套隱私資料查詢機制，隱私資料的查詢需透由身分識別證的金鑰與通行碼進行雙因子認證，以減低被他人偽造身分窺知隱私資料的風險。

110‧‧‧資料原始檔

120‧‧‧資料中繼檔

130‧‧‧接收端伺服器

140‧‧‧接收端資料原始檔

150‧‧‧轉檔中介程式

160‧‧‧健檢資料庫伺服器

161‧‧‧健檢紀錄資料表

162‧‧‧健檢項目資料表

163‧‧‧健檢項目規則設定資料表

164‧‧‧健檢紀錄資料表欄位

165‧‧‧健檢項目資料表欄位

166‧‧‧健檢項目規則設定資料表欄位

170‧‧‧人事資料庫伺服器

171‧‧‧人事資料表

172‧‧‧員工健檢關聯資料表

173‧‧‧人事資料表欄位

174‧‧‧員工健檢關聯資料表欄位

180‧‧‧網頁伺服器

190‧‧‧用戶接收端

請參閱有關本發明之詳細說明及其附圖，將可進一步瞭解本發明之技術內容及其目的功效；有關附圖為：圖1為本發明隱私資料流程安全與儲存保護方法及其系統之架構示意圖；圖2為本發明隱私資料流程安全與儲存保護方法及其系統之人事資料庫伺服器示意圖；圖3為本發明隱私資料流程安全與儲存保護方法及其系統之健檢資料庫伺服器示意圖；圖4為本發明隱私資料流程安全與儲存保護方法及其系統之流程圖。

為了使本發明的目的、技術方案及優點更加清楚明白，下面結合附圖及實施例，對本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅用以解釋本發明，但並不用於限定本發明。

以下，結合附圖對本發明進一步說明：請參閱圖1所示，本發明隱私資料流程安全與儲存保護方法及其系統之架構示意圖，主要包括資料原始檔110、資料中繼檔120、接收端伺服器130、接收端資料原始檔140、轉檔中介程式150、資料庫伺服器160、人事資料庫伺服器170、網頁伺服器180、用戶接收端190，其中資料原始檔，係為一來源端，以提供後續所需之相關資料；資料中繼檔120，係接收該資料原始檔經由RSA簽章(RSA sign，非對稱加密演算法)加密後之資料檔案；接收端伺服器130，係接收該資料中繼檔120經由SFTP(SSH文件傳輸協議，也稱為Secret File Transfer Protocol，Secure FTP或SFTP)轉檔後之資料檔案；接收端資 料原始檔140，係接收經由該接收端伺服器130透由RSA密鑰(Private key)解密及核章(RSA verify signature)後之該資料原始檔之相關資料；轉檔中介程式150，係以該接收端資料原始檔140接收之資料利用該轉檔中介程式150，將文書格式資料轉檔後，透過ADO.NET資料庫相關函式分類儲存至資料庫中；資料庫伺服器160，係儲存經由該轉檔中介程式150轉檔後之資料，係包括紀錄資料表、項目資料表、及項目規則設定資料表，其中紀錄資料表，係具有紀錄資料表欄位，並包括流水碼、項目代碼、及資料數值；項目資料表，係具有項目資料表欄位，並包括項目代碼、及項目名稱；項目規則設定資料表，係具有項目規則設定資料表欄位，並包括項目代碼、及設定資料；人事資料庫伺服器170，係儲存經由該轉檔中介程式150轉檔後之資料，係包括人事資料表、及員工關聯資料表，其中人事資料表，係具有人事資料表欄位，並包括人資代號、及人資基本資料；員工關聯資料表，係具有員工關聯資料表欄位，係包括流水碼、及人資代號；網頁伺服器180，係為該資料庫伺服器160以及人事資料庫伺服器170與用戶接收端190之連接管道；用戶接收端190，係以https連接該網頁伺服器180，以取得所需之資料。

其本發明以醫院健檢資料為例，保密方法之實施方式如下：醫院端健檢資料原始檔為每年度員工健檢醫院提供以電腦文書格式儲存之健檢相關資料，其中包括員工個人基本資料、所有健檢檢查項目值、健檢項目規則設定等，其醫院端是以高階加密標準(Advanced Encryption Standard，AES)加密並以接收端資料原始檔的公鑰(Public key)進行 非對稱加密演算法(RSA sign，RSA簽章)後，產生健檢資料中繼檔，經由SFTP(SSH文件傳輸協議，也稱為Secret File Transfer Protocol，Secure FTP或SFTP)傳輸到接收端伺服器，當接收端伺服器收到後，透由RSA密鑰(Private key)解密及核章(RSA verify signature)後，得到健檢資料原始檔，其中接收端伺服器的管理者與RSA密鑰(Private key)解密須為不同人，以確保資訊安全。接收端利用轉檔中介程式，透過轉檔方式，將文書格式資料轉檔後，透過ADO.NET資料庫相關函式，儲存至健檢資料庫伺服器之健檢紀錄資料表、健檢項目資料表、健檢項目規則設定資料表、人事資料庫伺服器之人事資料表、員工健檢關聯資料表。其接收端伺服器收到的健檢資料中繼檔須定期刪除，並由主管審核確認，解密後的接收端資料原始檔在轉檔完成後則由轉檔中介程式立刻刪除，接收端伺服器的健檢資料接收、匯入與刪除動作皆須保留相關之作業紀錄或表單，由主管定期稽核。

以醫院健檢資料為例：請參閱圖2、及圖3所示，係本發明隱私資料流程安全與儲存保護方法及其系統之人事資料庫伺服器示意圖、健檢資料庫伺服器示意圖，其人事資料庫伺服器170主要包括人事資料表171、員工健檢關聯資料表172、人事資料表欄位173、員工健檢關聯資料表欄位174，以及圖3，本發明隱私資料流程安全與儲存保護方法及其系統之健檢資料庫伺服器示意圖，其健檢資料庫伺服器160主要包括健檢紀錄資料表161、健檢項目資料表162、健檢項目規則設定資料表163、健檢紀錄資料表欄位164、健檢項目資料表欄位165、健檢項目規則設定資料表欄位166，此實施例用 以補充說明在圖1架構下之資料庫儲存保護方法，首先將資料表分為兩類，一類是屬於人事相關資料，即為一般個資，包括人事資料表171，儲存在人事資料庫伺服器170；另一類是屬於健檢相關資料，即為特種個資，包括健檢紀錄資料表161、健檢項目資料表162、健檢項目規則設定資料表163，儲存在健檢資料庫伺服器160；另外有一個員工健檢關聯資料表172儲存在人事資料庫伺服器170，作為人事資料與健檢資料的關聯建立。人事資料表171包含人事資料表欄位173，有員工代號、姓名、出生年月日、身分證字號、機構、地址、電話等欄位，員工代號為PK；健檢紀錄資料表161包含健檢紀錄資料表欄位164，有健檢流水碼、健檢項目代碼、檢驗值等欄位，健檢流水碼及健檢項目代碼為PK；健檢項目資料表162包含健檢項目資料表欄位165，有健檢項目代碼、健檢項目名稱等欄位，健檢項目代碼為PK；健檢項目規則設定資料表163包含健檢項目規則設定資料表欄位166，有健檢項目代碼、健檢醫院代碼、男上限值、男下限值、女上限值、女下限值等欄位，健檢項目代碼及健檢醫院代碼為PK；員工健檢關聯資料表172包含員工健檢關聯資料表欄位174，有健檢流水碼、員工代號等欄位，健檢流水碼為PK。透由員工健檢關聯資料表172可找到健檢紀錄資料表161與人事資料表171的關聯。健檢流水碼則透由ASP.NET技術產生唯一識別的全局唯一識別元(GUID)值，以確保每一筆資料的唯一性。將健檢資料與人事資料分開儲存於不同的伺服器，可大幅升高健檢資料儲存的安全，即使整個健檢資料庫被竊取或伺服器被入侵，這些資料也是沒有意義的資料，因為沒有任何可識別身分的欄位。健檢資料庫伺服器160與人事資料庫伺服器170 須為不同管理者，伺服器管理者與資料庫管理者也須不同管理者，以確保資訊安全。

而在用戶端使用者可使用PC(或手機)瀏覽器或應用程式190，使用者須先透過https協定連結至網頁伺服器180，輸入帳號密碼後進入系統，在查詢健檢資料的頁面需再插入身分識別證，透由身分識別證的私鑰與在頁面輸入的通行碼進行雙因子認證，經確認身分無誤後才可查詢個人健檢資料。企業勞安管理者要進行健檢資料統計查詢分析時，也須經由同樣的雙因子認證方式才可查詢，以保護健檢資料的安全。健檢資料相關查詢動作都會保存紀錄於資料庫，由主管定期稽核。

圖4為本發明隱私資料流程安全與儲存保護方法及其系統之流程圖，其流程包含三大步驟如下：資料交換，S401為資料來源端到資料接收端的隱私資料交換，S402資料來源端將原始資料檔以AES加密後並以資料接收端的公鑰(Public key)進行RSA簽章後，S403透由SFTP管道傳輸，資料接收端收到隱私資料後，透由RSA密鑰(Private key)解密及核章(RSA verify signature)，S404解密後的隱私資料則透由Web相關技術匯入資料庫儲存，其資料接收端收到的隱私資料須定期刪除，並由主管審核確認，解密後的隱私資料在匯入資料庫後則由轉檔程式立刻刪除。資料接收端伺服器的管理者與RSA密鑰(Private key)解密者須為不同人，以確保資訊安全。資料接收端的隱私資料接收、匯入與刪除動作皆須保留相關之作業紀錄或表單，由主管定期稽核；資料儲存，S405針對可辨識身分的資料與隱私資料分開 儲存，S406資料庫區分為兩個，健檢資料庫伺服器與人事資料庫伺服器，且分別存在不同的伺服器，人事資料庫伺服器儲存可辨識身分的資料像是人事資料表，另一個健檢資料庫伺服器儲存隱私資料的資料表，其中人事資料庫伺服器儲存可辨識身分資料的資料庫中還存在一個關聯的資料表，其主鍵(Primary key)即為隱私資料表的主鍵，同時還存在人事資料表的主鍵，主鍵的欄位儲存使用GUID型態，確保主鍵的唯一，隱私資料在匯入健檢資料庫伺服器時，就會透由轉檔中介程式匯入對應的資料庫與資料表儲存，健檢資料庫伺服器與人事資料庫伺服器管理者須不同人，伺服器管理者與資料庫管理者也須不同人，以確保資訊安全；資料查詢，S407針對使用者查詢隱私資料的驗證動作，使用者須先透由帳號密碼進入查詢系統，在查詢隱私資料的頁面需再插入身分識別證，透由身分識別證的私鑰與在頁面輸入的通行碼進行雙因子認證，S408經確認身分無誤後才可查詢相關隱私資料，其中隱私資料的查詢動作都會保存相關紀錄於資料庫，由主管定期稽核。

上列詳細說明乃針對本發明之一可行實施例進行具體說明，惟該實施例並非用以限制本發明之專利範圍，凡未脫離本發明技藝精神所為之等效實施或變更，均應包含於本案之專利範圍中。

綜上所述，本案不僅於技術思想上確屬創新，並具備習用之傳統方法所不及之上述多項功效，已充分符合新穎性及進步性之法定發明專利要件，爰依法提出申請，懇請貴局核准本件發明專利申請案，以勵發明，至感德便。

110‧‧‧資料原始檔

120‧‧‧資料中繼檔

130‧‧‧接收端伺服器

140‧‧‧接收端資料原始檔

150‧‧‧轉檔中介程式

160‧‧‧資料庫伺服器

170‧‧‧人事資料庫伺服器

180‧‧‧網頁伺服器

190‧‧‧用戶接收端

Claims (7)

1. 一種隱私資料流程安全與儲存保護系統，其主要係包括：資料原始檔，係為一來源端，以提供後續所需之相關資料；資料中繼檔，係接收該資料原始檔經由RSA簽章(RSA sign，非對稱加密演算法)加密後之資料檔案；接收端伺服器，係接收該資料中繼檔經由SFTP(SSH文件傳輸協議，也稱為Secret File Transfer Protocol，Secure FTP或SFTP)轉檔後之資料檔案；接收端資料原始檔，係接收經由該接收端伺服器透由RSA密鑰(Private key)解密及核章(RSA verify signature)後之該資料原始檔之相關資料；轉檔中介程式，係以該接收端資料原始檔接收之資料利用該轉檔中介程式，將文書格式資料轉檔後，透過ADO.NET資料庫相關函式分類儲存至資料庫中；資料庫伺服器，係儲存經由該轉檔中介程式轉檔後之資料，係包括紀錄資料表、項目資料表、及項目規則設定資料表；人事資料庫伺服器，係儲存經由該轉檔中介程式轉檔後之資料，係包括人事資料表、及員工關聯資料表；網頁伺服器，係為該資料庫伺服器以及人事資料庫伺服器與用戶接收端之連接管道，；用戶接收端，係以https連接該網頁伺服器，以取得所需之資料。
2. 如申請專利範圍第1項所述之隱私資料流程安全與儲存保護系統，其中該紀錄資料表，係具有紀錄資料表欄位，係 包括流水碼、項目代碼、及資料數值。
3. 如申請專利範圍第1項所述之隱私資料流程安全與儲存保護系統，其中該項目資料表，係具有項目資料表欄位，係包括項目代碼、及項目名稱。
4. 如申請專利範圍第1項所述之隱私資料流程安全與儲存保護系統，其中該項目規則設定資料表，係具有項目規則設定資料表欄位，係包括項目代碼、及設定資料。
5. 如申請專利範圍第1項所述之隱私資料流程安全與儲存保護系統，其中該人事資料表，係具有人事資料表欄位，係包括人資代號、及人資基本資料。
6. 如申請專利範圍第1項所述之隱私資料流程安全與儲存保護系統，其中該員工關聯資料表，係具有員工關聯資料表欄位，係包括流水碼、及人資代號。
7. 一種隱私資料流程安全與儲存保護方法，其步驟包括：A.資料交換，係為資料來源端到資料接收端的隱私資料交換，資料來源端將原始資料檔以AES加密後並以資料接收端的公鑰(Public key)進行RSA簽章後，透由SFTP管道傳輸，資料接收端收到隱私資料後，透由RSA密鑰(Private key)解密及核章(RSA verify signature)，解密後的隱私資料則透由Web相關技術匯入資料庫儲存；B.資料儲存，針對辨識身分的資料與隱私資料分開儲存，資料庫區分為資料庫伺服器與人事資料庫伺服器，且分別存在不同的伺服器，人事資料庫伺服器儲存可辨識身分的資料像是人事資料表，另一個資料庫伺服器儲存隱私資料的資料表，其中人事資料庫伺服器儲存 可辨識身分資料的資料庫中還存在一個關聯的資料表，其主鍵(Primary key)即為隱私資料表的主鍵，同時還存在人事資料表的主鍵，主鍵的欄位儲存使用GUID型態，確保主鍵的唯一，隱私資料在匯入資料庫伺服器時，就會透由轉檔中介程式匯入對應的資料庫與資料表儲存；C.資料查詢，針對使用者查詢隱私資料的驗證動作，使用者須先透由帳號密碼進入查詢系統，在查詢隱私資料的頁面需再插入身分識別證，透由身分識別證的私鑰與在頁面輸入的通行碼進行雙因子認證，經確認身分無誤後才可查詢相關隱私資料，其中隱私資料的查詢動作都會保存相關紀錄於資料庫，由主管定期稽核。