本发明旨在通过一种类型的数据特有的安全级别的强区别来提高针对非法访问的数据保护,从而当对一部分数据的保护被破坏时,其余数据仍然不可访问。一种用于控制经由开放式通信网络对用户私人数据的访问的方法包括下述步骤:把用户私人数据划分成多个类别,每个类别定义数据的一个隐私级别,利用与数据的类别相关的类别密钥加密每个类别的用户私人数据,把构造用于访问至少一个类别的用户私人数据的实体归属于利益相关者,以及通过向利益相关者提供解密对应类别的用户私人数据所需的类别密钥,对利益相关者的实体授权访问所述至少一个类别的用户私人数据。
1.一种用于通过多样的加密/解密密钥,利用共享共同隐私级别的数据的安全级别的强区别和高粒度的保护,来控制经由开放式通信网络(C)对用户私人数据(dC1,dC2,...dCn)的访问的方法,所述用户私人数据(dC1,dC2,...dCn)由多个源实体(SE1,SE2,...SEn)提供,所述方法包括下述步骤:-把用户私人数据(dC1,dC2,...dCn)划分成多个类别(C1,C2,...Cn),每个类别(C1,C2,...Cn)定义用户私人数据(dC1,dC2,...dCn)的一个隐私级别,-由各个源实体(SE1,SE2,...SEn)利用与用户私人数据(dC1,dC2,...dCn)的类别(C1,C2,...Cn)相关的类别密钥(KC1,KC2,...KCn)加密各个类别(C1,C2,...Cn)的用户私人数据(dC1,dC2,...dCn),-把构造用于访问至少一个类别(C1,C2,...Cn)的用户私人数据(dC1,dC2,...dCn)的至少一个实体(CE1,CE2,...Cn)归属于利益相关者(S1,S2,...Sn),-通过向所述至少一个实体(CE1,CE2,...Cn)提供解密对应类别(C1,C2,...Cn)的用户私人数据(dC1,dC2,...dCn)所需的类别密钥(KC1,KC2,...KCn),对利益相关者(S1,S2,...Sn)的所述至少一个实体(CE1,CE2,...Cn)授权访问所述至少一个类别(C1,C2,...Cn)的用户私人数据(dC1,dC2,...dCn)。
2.如权利要求1所述的方法,其特征在于,加密的用户私人数据((dC1)KC1,(dC2)KC2,…(dCn)KCn)被存储在由至少一个数据库控制实体(DBCE)控制的至少一个数据库(DB1,DB2,...DBn)中,利益相关者(S1,S2,...Sn)的实体(CE1,CE2,...CEn)根据与利益相关者(S1,S2,...Sn)的所述实体(CE1,CE2,...CEn)可用的类别密钥(KC1,KC2,...KCn)对应的类别(C1,C2,...Cn),经由所述至少一个数据库控制实体(DBCE)访问用户私人数据(dC1,dC2,...dCn)。
3.如权利要求2所述的方法,其特征在于,所述数据库(DB1,DB2,...DBn)分布在开放式通信网络(C)中的多个存储位置。
4.如权利要求2所述的方法,其特征在于,所述数据库(DB1,DB2,...DBn)被部分或全部存储在开放式通信网络(C)中的预定位置处的至少一个远程存储装置中。
5.如权利要求1至4中任何一项所述的方法,其特征在于,所述通信网络(C)全部或部分是智能电网。
6.如权利要求1至4中任何一项所述的方法,其特征在于,所述通信网络(C)全部或部分是家庭局域网。
7.如权利要求1至6中任何一项所述的方法,其特征在于,所述类别密钥(KC1,KC2,...KCn)为对称型或非对称型,或者为对称密钥和非对称密钥的组合。
8.如权利要求1至7中任何一项所述的方法,其特征在于,结合诸如利益相关者相关密钥或用户相关密钥的其它密钥使用类别密钥(KC1,KC2,...KCn)。
9.如权利要求2至8中任何一项所述的方法,其特征在于,所述至少一个数据库控制实体(DBCE)包括管理多个源实体(SE1,SE2,...SEn)的管理中心,每个源实体(SE1,SE2,...SEn)定期地或在计划的时间把数据发送给所述至少一个数据库控制实体(DBCE),所述至少一个数据库控制实体(DBCE)为数据库(DB1,DB2,...DBn)提供数据。
10.如权利要求9所述的方法,其特征在于,所述源实体(SE1,SE2,...SEn)是智能仪表、电动车辆或RFID装置。
11.如权利要求5至10中任何一项所述的方法,其特征在于,所述数据是被划分为多个类别(C1,C2,...Cn)的测量数据,每个类别的测量数据由智能仪表源实体(SE1,SE2,...SEn)利用与测量数据的类别(C1,C2,...Cn)相关的类别密钥(KC1,KC2,...KCn)加密。
12.如权利要求5至11中任何一项所述的方法,其特征在于,所述类别(C1,C2,...Cn)是用户偏好、使用统计、位置、存在信息、伪类别,这些类别中的每一个类别由源实体(SE1,SE2,...SEn)利用与数据的类别(C1,C2,...Cn)相关的类别密钥(KC1,KC2,...KCn)加密。
13.如权利要求1至12中任何一项所述的方法,其特征在于,所述至少一个源实体(SE1,SE2,...SEn)和所述至少一个客户实体(CE1,CE2,...Cn)被组合在同一物理实体中。
14.如权利要求1至12中任何一项所述的方法,其特征在于,所述至少一个源实体(SE1,SE2,...SEn)或客户实体(CE1,CE2,...Cn)与至少一个数据库控制实体(DBCE)组合在同一物理实体中。
15.如权利要求13或14所述的方法,其特征在于,所述实体是网络接入家庭网关或家庭能量网关。
用于处理隐私数据的方法
技术领域
[0001] 本发明涉及在开放式或分布式网络、智能电网或云的环境下的用户私人数据保护。
背景技术
[0002] 随着越来越多数量和种类的装置经由开放式或分布式网络互连,在这些装置之间交换的任何信息变得可能被任何人为了任何目的而访问。某些类型的信息(特别地,装置用户、订户或捐助者的个人数据)需要通过高效的访问控制来进行特定保护。
[0003] 用于保护敏感个人数据的通常解决方案基于在把该数据从源装置发送给集中式存储装置时的加密,然而,任何第三方(甚至无关的人)可访问该集中式存储装置。
[0004] 文档US2005/0216313A1公开了一种电子医疗记录保存系统,该系统包括经由网络链接到不同的健康数据输入源的中央数据收集和数据存储服务器。每个源经由个体病人的第一加密密钥代码提供受控单向输入数据,由此能够与所有其它病人数据分离地同化唯一地针对每个病人的中央服务器中的数据。所述源还包括与第一密钥代码相关的病人的第二加密密钥代码,以使得能够在授权的情况下在病人或医生访问的终端启动一组工具条屏幕和与存储在远程服务器中的唯一病人数据的双向网络连接。
[0005] 文档WO2003/049000A1公开了一种允许用户利用一个或多个身份提供商存储他们的身份信息的一部分的方法。身份信息包括属性,诸如用户的姓名、邮寄地址、电子邮件、电话号码和信用卡号码。身份提供商是创建、管理和存储多个用户的身份信息的实体。服务提供商是向用户提供服务并且利用它已被授权访问的用户的身份的各方面的实体。用户能够使用例如基于密码的凭证(credential)或任何其它认证机制向身份提供商进行认证。服务提供商能够随后依靠该认证来提供对授权的资源的访问而不需要另外的认证。然而,在一些实施例中,因为用户最初用于登录到身份提供商的凭证的质量而执行另外的认证。
敏感数据由于加密而具有如此增强的保护并且仅对于具有必要凭证的用户可访问。
[0006] 在这个系统中,用户数据被存储在具有特定访问控制的几个分布式数据库中,所述特定访问控制要求向身份提供商进行的认证或者利用签名的更强的认证。
[0007] 文档US79496191B1公开了一种用于管理顾客数据的方法。这种方法包括为希望访问顾客数据的实体分派一个或多个角色,这些实体包括至少一个应用。该方法提供了:确定与至少一些顾客数据关联的类别,基于与至少一些顾客数据关联的类别确定每个角色的访问级别,并且基于应用是否被授权访问保持顾客数据的系统来限制由应用对该系统的访问。
[0008] 在这个文档中,顾客数据的访问级别的机制基于规则被定义为类别。通过对存储所有顾客数据的集中式数据库的访问控制以相同方式保护顾客数据。如果第三方尝试绕过规则,则由所讨论的规则控制的所有数据可同时变为可访问。
[0009] 文 档“Access Control:Principles and Practice”(Ravi S.Sandhu 和Pierangela Samarati,IEEE Communications Magazine)公开了一种与利用与授权数据库链接的参考监视器的用户的认证结合的访问控制。利用访问权(诸如,只读、读/写)来保护对象,从而每个用户根据对象的分类而具有其自己的访问权。因此,利用归属于每个用户的用于访问不同文件和账户的权利定义访问矩阵。
[0010] 文档EP1320012A2公开了一种用于提供分布式访问控制的系统和方法。许多本地服务器被用于在很大程度上代表负责集中式访问控制管理的中央服务器而操作。这种分布式方式确保由中央服务器执行的访问控制管理任务的可信性、可靠性和可伸缩性。根据实施例,限制对保护的项目的访问的分布式访问控制系统能够包括:至少一个中央服务器,具有提供总体访问控制的服务器模块;和多个本地服务器。每个本地服务器能够包括提供本地访问控制的本地模块。由中央服务器或本地服务器执行的访问控制用于允许或拒绝请求者对保护的项目的访问请求。
[0011] 根据另一实施例,保护的文档包括头和加密数据部分。头包括用于控制对加密数据部分的访问的加密安全信息。必须取回与认证的用户关联的用户密钥以对加密安全信息进行解密。
[0012] 根据另一实施例,保护的文件或保护的文档包括两个部分:称为头的附件、和加密文档或数据部分。头包括指向或包括访问规则和文件密钥的安全信息。访问规则帮助实现对保护的文档的限制性访问并且实质上确定谁/何时/如何/在哪里能够访问保护的文档。文件密钥被用于对加密数据部分进行加密/解密。
[0013] EP1320012A2的方法因此看起来很复杂并且具有至少两个级别的加密:头部分中的安全信息的加密和利用由安全信息定义的密钥的数据部分的加密。在头的解密之后也使用访问规则。
发明内容
[0014] 本发明的目的旨在通过一种类型的数据特有的安全级别的强区别来提高针对非法访问的数据保护,从而当针对一部分数据的保护被破坏时,其余数据仍然是不可访问的。
[0015] 通过下面的方法实现该目的,即,一种用于通过多样的加密/解密密钥利用共享共同隐私级别的数据的安全级别的强区别和高粒度的保护,来控制经由开放式通信网络对用户私人数据的访问的方法,所述用户私人数据由多个源实体提供,所述方法包括下述步骤:
[0016] -把用户私人数据划分成多个类别,每个类别定义数据的隐私级别,[0017] -由每个源实体针对每个类别的用户私人数据利用与所述数据的类别相关的类别密钥进行加密,
[0018] -把构造用于访问至少一个类别的用户私人数据的至少一个实体归属于利益相关者(stakeholder),
[0019] -通过向所述至少一个实体提供解密对应类别的用户私人数据所需的类别密钥,对利益相关者的所述至少一个实体授权访问所述至少一个类别的用户私人数据。
[0020] 该方法的优点在于:数据不必被存储在集中式数据库中,而是它们可定位于在网络上连接的多个装置、节点或本地存储装置。这些分布的数据随后被按照与隐私级别相关的不同类别进行组织并且被相应地加密。因此,根据拥有的能够解密第一利益相关者被授权访问的数据的类别的密钥,选择性地执行由第一利益相关者的实体对数据的访问。其它数据类别对于这个第一实体仍然不可访问,因为它们均由不同密钥加密。具有一组不同的密钥的第二利益相关者的第二实体能够解密对于第一实体禁止的这些类别的全部或一部分。
[0021] 利益相关者是用于指定介入可得到用户私人数据的开放式或分布式网络的被授权的人、团体或公司的一般术语。电话运营商、公共事业提供商、服务提供商、健康护理提供商、医师、银行家、律师、政治权力机构、上级、父母、朋友或给定人的其他亲戚等是可具有访问他们的相关用户、订户、顾客、客户等的私人数据的选择性权利的利益相关者的例子。
[0022] 实体在这里被定义为提供、处理、存储、管理、接收或访问在开放式网络中可用的数据的任何装置。
[0023] 开放式或分布式通信网络(也称为云)是包括把通常位于本地服务器上或用户客户机装置上的数据处理转移到远程服务器实体上的概念。云计算是管理数据的特别方式,因为用户或客户不知道数据的位置。利益相关者不再是他们的服务器实体的管理者,但是他们能够以演进方式访问许多在线服务而不必管理支持这些服务的复杂结构。应用和数据不被记录在本地计算机中,而是被记录在云中,所述云由借助高效系统流动性所需的高带宽通信信道互连的一定数量的远程服务器实体构成。通常通过利用例如互联网浏览器使用基于web的应用来实现对云的访问。
[0024] 云计算可与配电网络相比。由专门的提供商或运营商提出信息处理和存储能力供消费并且根据实际使用来开发票。因此,利益相关者不再需要他们自己的服务器实体,而是把这个资源转包给保证按需处理和存储能力的受信任的公司。这种概念还称为表述“弹性计算能力”,因为云计算是用于通过使管理工作和与服务提供商的联系最小化来建立经由网络对可快速获得的信息资源的共享可配置存储的访问的方便的按需模型。
[0025] 应用本发明的方法的网络也可以是部分或整个智能电网以及部分或整个家庭局域网。
[0026] 智能电网通常使用计算机技术定义智能配电网络以优化生产和分配并且更好地链接电力提供商和消费者之间的供应和需求。另外,计算机技术旨在节能,保护网络安全,并且降低管理和运营成本。智能电网概念还与智能仪表关联,智能仪表能够提供时隙计费,允许消费者在不同电力提供商之中选择最好的价格,并且选择允许更好地使用电网的消费时间。这种系统还可允许更精细地映射消费以按照更加局部的标度来预计未来的需要。
[0027] 家庭局域网或家庭网络是住宅局域网(LAN)。它允许通常部署在家庭中的数字装置(通常是少量的个人计算机和附件,诸如打印机和移动计算装置)之间的通信。一个重要功能是通过有线TV或数字用户线(DSL)提供商对互联网接入(常常是宽带服务)的共享。另外,可增加家庭服务器以用于增加的功能。家庭网络可使用有线或使用利用例如WiFi(IEEE 802.11)等通信协议的无线技术。
[0028] 在 文 档“Access Control:Principles and Practice”(Ravi S.Sandhu 和Pierangela Samarati,IEEE Communications Magazine)中,未提及利用一个类别的数据特有的密钥对数据的加密。安全级别的区别因此看起来很弱。事实上,如果对某些文件的只读权利被修改为读写权利,则具有相同的只读权利的其它文件也可被修改。这意味着用于区别关于文件的权利的“粒度”很低。本发明的另一目的还在于:通过增加类别的数量并且并行地增加用于根据数据的类别来解密数据的对应密钥,来增加这种粒度。
[0029] 文档EP1320012A2未提及下述步骤:把用户私人数据划分成多个类别,其中每个类别定义用户私人数据的隐私级别,并且利用与用户私人数据的类别相关的类别密钥加密每个类别的用户私人数据。
[0030] 本发明解决的问题是利用数据的每个类别(即,共享共同隐私级别的数据)的安全级别的强区别以高效方式提高私人用户数据的安全性。通过使特定的一组类别密钥归属于相关的利益相关者来控制对数据的访问。如果密钥被发现,则仅涉及一个类别的数据而没有关于其它类别的任何安全性损失。
[0031] 本发明由于密钥多样性而允许高粒度的保护。数据能够分布在大网络(云)中并且在布置合适的类别密钥的情况下能够从网络的任何位置访问数据。存储位置的安全性也可随着类别而改变。
附图说明
[0032] 利用下面参照作为非限制性例子给出的附图进行的详细描述,将会更好地理解本发明。
[0033] 图1显示包括提供可由授权利益相关者访问的用户私人数据的数据处理实体和存储装置的开放式网络(云、智能电网、家庭局域网等)的方框图。
[0034] 图2显示开放式网络的例子,其中使得多个类别的加密数据对于拥有用于解密被授权访问的数据类别的合适密钥的利益相关者可用。
具体实施方式
[0035] 图1示出包括多个互连的数据处理实体E和由实体E控制的数据库DB的开放式网络C的例子。利益相关者S1、S2、S3能访问直接由实体E提供的数据或存储在数据库DB中的数据或由实体E和数据库DB两者提供的数据集。对数据的访问取决于以允许解密一个或多个类别的数据的密钥的形式给予利益相关者S1、S2、S3的授权。
[0036] 在图2详述开放式网络的例子,其中源实体SE1、SE2、SE3、SE4、SE5、SE6和SE7提供预定类别(C1,C2,...Cn)的用户私人数据(dC1,dC2,...dCn)。每个类别的用户私人数据(dC1,dC2,...dCn)由相关的源实体利用类别密钥(KC1,KC2,...KCn)加密。
[0037] 在智能电网的情况下,这些源实体可例如包括测量与能量、流体、热量或多媒体通信数据消费对应的值的智能仪表。这些值根据其性质、服务提供商或隐私而被划分为多个类别(C1,C2,...Cn)。例如,电能消费不涉及与多媒体通信数据相同的提供商或运营商。另外,一个类别的数据与另一类别的数据的组合可具有需要特定保护的某一隐私级别。
[0038] 根据其它例子,源实体(SE1,SE2,...SEn)可以是电动车辆或RFID装置或提供与一个或几个用户关联的要保护的私人数据的任何装置。
[0039] 由于按照类别组织的用户私人数据涉及不同用户U1,U2,...Uk,所以可结合其它密钥(诸如,用户相关密钥)使用类别密钥。类别和用户是数据的正交划分。能够在密钥阶梯的专用层使用类别密钥。
[0040] 在图2的例子中,源实体SE5、SE6产生类别C1和C2的私人数据dC1和dC2,这些私人数据利用相应类别密钥KC1和KC2均被加密。
[0041] 源实体SE1、SE2和SE3产生类别C1、C2和C3的数据dC1、dC2和dC3,这些数据利用其相应类别密钥KC1、KC2和KC3均被加密。
[0042] 源实体SE4产生利用其相应类别密钥KC2加密的类别C2的数据dC2。
[0043] 源实体SE7产生利用其相应类别密钥KC1加密的类别C1的数据dC1。
[0044] 类别密钥(KC1,KC2,...KCn)为对称型或非对称型,或者为对称密钥和非对称密钥的组合。在配置例子中,公钥被存储在源实体中,而对应的私钥被存储在由有权访问数据dC1、dC2和dC3的利益相关者控制的实体中。
[0045] 数据库控制实体DBCE或管理中心处理、管理、整理可被临时或永久存储在数据库DB中的产生的数据。在该例子中,用户数据(诸如,标识符、姓名、地址、智能仪表标识符、类型、位置等)被与由数据库控制实体DBCE收集的智能仪表值数据一起存储在数据库中。视为具有高隐私级别的这些用户数据具有通过对应的类别密钥KC1、KC2和KC3加密的类别C1、C2和C3。
[0046] 在其它例子中,类别(C1,C2,...Cn)是用户偏好、使用统计、位置、存在信息、伪类别,这些类别中的每一个类别由源实体(SE1,SE2,...SEn)利用与数据的类别(C1,C2,...Cn)相关的类别密钥(KC1,KC2,...KCn)加密。
[0047] 根据实施例,数据库(DB1,DB2,...DBn)分布在开放式通信网络(C)中的多个存储位置,存储位置可取决于用户私人数据(dC1,dC2,...dCn)的类别(C1,C2,...Cn)。例如,与具有低隐私级别或在丢失或破坏的情况下可容易地再现的数据的类别相比,与敏感数据对应的类别被定位于更安全的位置。也可为了可访问性和性能目的而确定位置。
[0048] 根据另一实施例,数据库(DB1,DB2,...DBn)被部分或全部存储在开放式通信网络(C)中的预定位置处的至少一个远程存储装置中。
[0049] 数据库控制实体DBCE在计划的时间或在请求时利用由源实体SE1、SE2、SE3、SE4、SE5、SE6和SE7产生的最新值以及利用用户数据的任何变化来更新数据库DB。这些更新操作可被自动地或者由具有向数据库控制实体DBCE发送特定更新命令的特定权利或授权的利益相关者手工地或者按照二者的组合的方式执行。
[0050] 利益相关者S1利用客户实体CE1把请求Rq(dC1,dC2,dC3)发送给网络C。至少包括用于访问由标识符ID Uj识别的用户的数据d的指令的请求Rq(dC1,dC2,dC3)被转发给数据库控制实体DBCE,数据库控制实体DBCE通过发送类别CA、C2、C3的关于用户Uj的数据(即,用户私人数据(dC1)KC1、(dC2)KC2、(dC3)KC3,每一用户私人数据均通过相应的类别密钥KC1、KC2、KC3被加密),来返回答复Rp[(dC1)KC1,(dC2)KC2,(dC3)KC3]。
[0051] 利益相关者S1的客户实体CE1仅拥有类别密钥KC1和KC3,从而仅类别C1和C3的数据能够由利益相关者S1解密,因为类别密钥KC2不可用,所以加密数据(dC2)KC2仍不可访问。
[0052] 客户实体CE可包括能够连接到开放式网络并且接收先前请求的数据的任何服务器或终端装置,诸如个人计算机、个人数字助理或智能电话。
[0053] 源实体SE和客户实体CE可位于开放式网络(例如,智能电网或家庭局域网)中的任何地方。
[0054] 根据实施例,源实体SE和客户实体CE位于同一物理装置或服务器中。
[0055] 根据实施例,在家庭局域网中,实体是网络接入家庭网关或家庭能量网关。
[0056] 根据实施例,数据库控制实体DBCE以如下方式过滤利益相关者的请求:仅返回利益相关者能够解密的类别的用户私人数据,不发送其它类别。在这种情况下,包括利益相关者的可用类别密钥KC的客户实体CE的配置被登记到数据库控制实体DBCE可访问的网络的数据库中。
[0057] 在图2中,利益相关者S2发送用于访问一组用户的数据的请求Rq[dC2],并且接收仅包括客户实体CE2能够解密的类别C2的数据dC2的答复Rp[(dC2)KC2]。事实上,对于这个客户实体CE2,仅类别密钥KC2可用。
[0058] 利益相关者S3发送针对一组用户的数据的请求Rq[dC1,dC2],并且在答复Rp[(dC1)KC1,(dC2)KC2]中接收类别C1和C2的数据。客户实体CE3拥有解密类别C1和C2所需的类别密钥KC1和KC2。
[0059] 在另一实施例中,加密的类别的所请求的用户私人数据伴随有包括利用利益相关者的个人密钥加密的必要类别密钥的密文。
[0060] 例如,利益相关者S1接收到具有密文(KC1,KC3)KS1的答复Rp[(dC1)KC1,(dC2)KC2,(dC3)KC3],其中KS1是利益相关者S1的个人密钥。在这种情况下,仅个人密钥KS1被存储在客户实体CE1中,因为由也可记录利益相关者S1的数据库控制实体DBCE提供类别密钥。
