用于處理隱私數(shù)據(jù)的方法
【專利摘要】本發(fā)明旨在通過一種類型的數(shù)據(jù)特有的安全級別的強區(qū)別來提高針對非法訪問的數(shù)據(jù)保護,從而當(dāng)對一部分?jǐn)?shù)據(jù)的保護被破壞時���,其余數(shù)據(jù)仍然不可訪問���。一種用于控制經(jīng)由開放式通信網(wǎng)絡(luò)對用戶私人數(shù)據(jù)的訪問的方法包括下述步驟:把用戶私人數(shù)據(jù)劃分成多個類別,每個類別定義數(shù)據(jù)的一個隱私級別�,利用與數(shù)據(jù)的類別相關(guān)的類別密鑰加密每個類別的用戶私人數(shù)據(jù),把構(gòu)造用于訪問至少一個類別的用戶私人數(shù)據(jù)的實體歸屬于利益相關(guān)者��,以及通過向利益相關(guān)者提供解密對應(yīng)類別的用戶私人數(shù)據(jù)所需的類別密鑰����,對利益相關(guān)者的實體授權(quán)訪問所述至少一個類別的用戶私人數(shù)據(jù)。
【專利說明】用于處理隱私數(shù)據(jù)的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及在開放式或分布式網(wǎng)絡(luò)��、智能電網(wǎng)或云的環(huán)境下的用戶私人數(shù)據(jù)保護�����。
【背景技術(shù)】
[0002]隨著越來越多數(shù)量和種類的裝置經(jīng)由開放式或分布式網(wǎng)絡(luò)互連�����,在這些裝置之間交換的任何信息變得可能被任何人為了任何目的而訪問。某些類型的信息(特別地�,裝置用戶、訂戶或捐助者的個人數(shù)據(jù))需要通過高效的訪問控制來進行特定保護���。
[0003]用于保護敏感個人數(shù)據(jù)的通常解決方案基于在把該數(shù)據(jù)從源裝置發(fā)送給集中式存儲裝置時的加密���,然而,任何第三方(甚至無關(guān)的人)可訪問該集中式存儲裝置���。
[0004]文檔US2005/0216313A1公開了一種電子醫(yī)療記錄保存系統(tǒng)����,該系統(tǒng)包括經(jīng)由網(wǎng)絡(luò)鏈接到不同的健康數(shù)據(jù)輸入源的中央數(shù)據(jù)收集和數(shù)據(jù)存儲服務(wù)器���。每個源經(jīng)由個體病人的第一加密密鑰代碼提供受控單向輸入數(shù)據(jù)����,由此能夠與所有其它病人數(shù)據(jù)分離地同化唯一地針對每個病人的中央服務(wù)器中的數(shù)據(jù)�。所述源還包括與第一密鑰代碼相關(guān)的病人的第二加密密鑰代碼,以使得能夠在授權(quán)的情況下在病人或醫(yī)生訪問的終端啟動一組工具條屏幕和與存儲在遠(yuǎn)程服務(wù)器中的唯一病人數(shù)據(jù)的雙向網(wǎng)絡(luò)連接��。
[0005]文檔W02003/049000A1公開了一種允許用戶利用一個或多個身份提供商存儲他們的身份信息的一部分的方法���。身份信息包括屬性����,諸如用戶的姓名�、郵寄地址、電子郵件�����、電話號碼和信用卡號碼����。身份提 供商是創(chuàng)建、管理和存儲多個用戶的身份信息的實體��。月艮務(wù)提供商是向用戶提供服務(wù)并且利用它已被授權(quán)訪問的用戶的身份的各方面的實體��。用戶能夠使用例如基于密碼的憑證(credential)或任何其它認(rèn)證機制向身份提供商進行認(rèn)證�。服務(wù)提供商能夠隨后依靠該認(rèn)證來提供對授權(quán)的資源的訪問而不需要另外的認(rèn)證。然而�,在一些實施例中,因為用戶最初用于登錄到身份提供商的憑證的質(zhì)量而執(zhí)行另外的認(rèn)證����。敏感數(shù)據(jù)由于加密而具有如此增強的保護并且僅對于具有必要憑證的用戶可訪問�。
[0006]在這個系統(tǒng)中����,用戶數(shù)據(jù)被存儲在具有特定訪問控制的幾個分布式數(shù)據(jù)庫中,所述特定訪問控制要求向身份提供商進行的認(rèn)證或者利用簽名的更強的認(rèn)證�。
[0007]文檔US79496191B1公開了一種用于管理顧客數(shù)據(jù)的方法。這種方法包括為希望訪問顧客數(shù)據(jù)的實體分派一個或多個角色���,這些實體包括至少一個應(yīng)用�����。該方法提供了:確定與至少一些顧客數(shù)據(jù)關(guān)聯(lián)的類別����,基于與至少一些顧客數(shù)據(jù)關(guān)聯(lián)的類別確定每個角色的訪問級別�,并且基于應(yīng)用是否被授權(quán)訪問保持顧客數(shù)據(jù)的系統(tǒng)來限制由應(yīng)用對該系統(tǒng)的訪問。
[0008]在這個文檔中��,顧客數(shù)據(jù)的訪問級別的機制基于規(guī)則被定義為類別��。通過對存儲所有顧客數(shù)據(jù)的集中式數(shù)據(jù)庫的訪問控制以相同方式保護顧客數(shù)據(jù)��。如果第三方嘗試?yán)@過規(guī)則�,則由所討論的規(guī)則控制的所有數(shù)據(jù)可同時變?yōu)榭稍L問���。
[0009]文檔“Access Control !Principles and Practice,��,(Ravi S.Sandhu 和Pierangela Samarati, IEEE Communications Magazine)公開了一種與利用與授權(quán)數(shù)據(jù)庫鏈接的參考監(jiān)視器的用戶的認(rèn)證結(jié)合的訪問控制����。利用訪問權(quán)(諸如�����,只讀�、讀/寫)來保護對象,從而每個用戶根據(jù)對象的分類而具有其自己的訪問權(quán)���。因此�,利用歸屬于每個用戶的用于訪問不同文件和賬戶的權(quán)利定義訪問矩陣���。
[0010]文檔EP1320012A2公開了一種用于提供分布式訪問控制的系統(tǒng)和方法�����。許多本地服務(wù)器被用于在很大程度上代表負(fù)責(zé)集中式訪問控制管理的中央服務(wù)器而操作�����。這種分布式方式確保由中央服務(wù)器執(zhí)行的訪問控制管理任務(wù)的可信性�����、可靠性和可伸縮性����。根據(jù)實施例,限制對保護的項目的訪問的分布式訪問控制系統(tǒng)能夠包括:至少一個中央服務(wù)器����,具有提供總體訪問控制的服務(wù)器模塊;和多個本地服務(wù)器�。每個本地服務(wù)器能夠包括提供本地訪問控制的本地模塊。由中央服務(wù)器或本地服務(wù)器執(zhí)行的訪問控制用于允許或拒絕請求者對保護的項目的訪問請求���。
[0011]根據(jù)另一實施例��,保護的文檔包括頭和加密數(shù)據(jù)部分����。頭包括用于控制對加密數(shù)據(jù)部分的訪問的加密安全信息��。必須取回與認(rèn)證的用戶關(guān)聯(lián)的用戶密鑰以對加密安全信息進行解密。
[0012]根據(jù)另一實施例��,保護的文件或保護的文檔包括兩個部分:稱為頭的附件�、和加密文檔或數(shù)據(jù)部分。頭包括指向或包括訪問規(guī)則和文件密鑰的安全信息���。訪問規(guī)則幫助實現(xiàn)對保護的文檔的限制性訪問并且實質(zhì)上確定誰/何時/如何/在哪里能夠訪問保護的文檔。文件密鑰被用于對加密數(shù)據(jù)部分進行加密/解密��。
[0013]EP1320012A2的方法因此看起來很復(fù)雜并且具有至少兩個級別的加密:頭部分中的安全信息的加密和利用由安全信息定義的密鑰的數(shù)據(jù)部分的加密�。在頭的解密之后也使用訪問規(guī)則。
【發(fā)明內(nèi)容】
[0014]本發(fā)明的目的旨在通過一種類型的數(shù)據(jù)特有的安全級別的強區(qū)別來提高針對非法訪問的數(shù)據(jù)保護��,從而當(dāng)針對一部分?jǐn)?shù)據(jù)的保護被破壞時���,其余數(shù)據(jù)仍然是不可訪問的���。
[0015]通過下面的方法實現(xiàn)該目的,即�,一種用于通過多樣的加密/解密密鑰利用共享共同隱私級別的數(shù)據(jù)的安全級別的強區(qū)別和高粒度的保護,來控制經(jīng)由開放式通信網(wǎng)絡(luò)對用戶私人數(shù)據(jù)的訪問的方法�,所述用戶私人數(shù)據(jù)由多個源實體提供,所述方法包括下述步驟:
[0016]-把用戶私人數(shù)據(jù)劃分成多個類別��,每個類別定義數(shù)據(jù)的隱私級別,
[0017]-由每個源實體針對每個類別的用戶私人數(shù)據(jù)利用與所述數(shù)據(jù)的類別相關(guān)的類別密鑰進行加密�,
[0018]-把構(gòu)造用于訪問至少一個類別的用戶私人數(shù)據(jù)的至少一個實體歸屬于利益相關(guān)者(stakeholder),
[0019]-通過向所述至少一個實體提供解密對應(yīng)類別的用戶私人數(shù)據(jù)所需的類別密鑰,對利益相關(guān)者的所述至少一個實體授權(quán)訪問所述至少一個類別的用戶私人數(shù)據(jù)���。
[0020]該方法的優(yōu)點在于:數(shù)據(jù)不必被存儲在集中式數(shù)據(jù)庫中�����,而是它們可定位于在網(wǎng)絡(luò)上連接的多個裝置�����、節(jié)點或本地存儲裝置�����。這些分布的數(shù)據(jù)隨后被按照與隱私級別相關(guān)的不同類別進行組織并且被相應(yīng)地加密�����。因此�����,根據(jù)擁有的能夠解密第一利益相關(guān)者被授權(quán)訪問的數(shù)據(jù)的類別的密鑰���,選擇性地執(zhí)行由第一利益相關(guān)者的實體對數(shù)據(jù)的訪問��。其它數(shù)據(jù)類別對于這個第一實體仍然不可訪問��,因為它們均由不同密鑰加密��。具有一組不同的密鑰的第二利益相關(guān)者的第二實體能夠解密對于第一實體禁止的這些類別的全部或一部分�����。
[0021]利益相關(guān)者是用于指定介入可得到用戶私人數(shù)據(jù)的開放式或分布式網(wǎng)絡(luò)的被授權(quán)的人、團體或公司的一般術(shù)語�����。電話運營商����、公共事業(yè)提供商、服務(wù)提供商�����、健康護理提供商、醫(yī)師���、銀行家�、律師�、政治權(quán)力機構(gòu)、上級��、父母��、朋友或給定人的其他親戚等是可具有訪問他們的相關(guān)用戶�、訂戶、顧客��、客戶等的私人數(shù)據(jù)的選擇性權(quán)利的利益相關(guān)者的例子�����。
[0022]實體在這里被定義為提供���、處理�、存儲��、管理�、接收或訪問在開放式網(wǎng)絡(luò)中可用的數(shù)據(jù)的任何裝置���。
[0023]開放式或分布式通信網(wǎng)絡(luò)(也稱為云)是包括把通常位于本地服務(wù)器上或用戶客戶機裝置上的數(shù)據(jù)處理轉(zhuǎn)移到遠(yuǎn)程服務(wù)器實體上的概念。云計算是管理數(shù)據(jù)的特別方式��,因為用戶或客戶不知道數(shù)據(jù)的位置����。利益相關(guān)者不再是他們的服務(wù)器實體的管理者,但是他們能夠以演進方式訪問許多在線服務(wù)而不必管理支持這些服務(wù)的復(fù)雜結(jié)構(gòu)�����。應(yīng)用和數(shù)據(jù)不被記錄在本地計算機中���,而是被記錄在云中���,所述云由借助高效系統(tǒng)流動性所需的高帶寬通信信道互連的一定數(shù)量的遠(yuǎn)程服務(wù)器實體構(gòu)成��。通常通過利用例如互聯(lián)網(wǎng)瀏覽器使用基于web的應(yīng)用來實現(xiàn)對云的訪問�����。
[0024]云計算可與配電網(wǎng)絡(luò)相比�。由專門的提供商或運營商提出信息處理和存儲能力供消費并且根據(jù)實際使用來開發(fā)票。因此,利益相關(guān)者不再需要他們自己的服務(wù)器實體����,而是把這個資源轉(zhuǎn)包給保證按需處理和存儲能力的受信任的公司。這種概念還稱為表述“彈性計算能力”����,因為云計算是用于通過使管理工作和與服務(wù)提供商的聯(lián)系最小化來建立經(jīng)由網(wǎng)絡(luò)對可快速獲得的信息資源的共享可配置存儲的訪問的方便的按需模型。
[0025]應(yīng)用本發(fā)明的方法的網(wǎng)絡(luò)也可以是部分或整個智能電網(wǎng)以及部分或整個家庭局域網(wǎng)�。
[0026]智能電網(wǎng)通常使用計算機技術(shù)定義智能配電網(wǎng)絡(luò)以優(yōu)化生產(chǎn)和分配并且更好地鏈接電力提供商和消費者之間的供應(yīng)和需求。另外�����,計算機技術(shù)旨在節(jié)能���,保護網(wǎng)絡(luò)安全���,并且降低管理和運營成本。智能電網(wǎng)概念還與智能儀表關(guān)聯(lián)��,智能儀表能夠提供時隙計費��,允許消費者在不同電力提供商之中選擇最好的價格�,并且選擇允許更好地使用電網(wǎng)的消費時間����。這種系統(tǒng)還可允許更精細(xì)地映射消費以按照更加局部的標(biāo)度來預(yù)計未來的需要��。
[0027]家庭局域網(wǎng)或家庭網(wǎng)絡(luò)是住宅局域網(wǎng)(LAN)��。它允許通常部署在家庭中的數(shù)字裝置(通常是少量的個人計算機和附件���,諸如打印機和移動計算裝置)之間的通信����。一個重要功能是通過有線TV或數(shù)字用戶線(DSL)提供商對互聯(lián)網(wǎng)接入(常常是寬帶服務(wù))的共享�����。另外����,可增加家庭服務(wù)器以用于增加的功能。家庭網(wǎng)絡(luò)可使用有線或使用利用例如WiFi (IEEE 802.11)等通信協(xié)議的無線技術(shù)��。
[0028]在文檔“Access Control !Principles and Practice” (Ravi S.Sandhu 和Pierangela Samarati, IEEE Communications Magazine)中����,未提及利用一個類別的數(shù)據(jù)特有的密鑰對數(shù)據(jù)的加密。安全級別的區(qū)別因此看起來很弱�����。事實上����,如果對某些文件的只讀權(quán)利被修改為讀寫權(quán)利,則具有相同的只讀權(quán)利的其它文件也可被修改����。這意味著用于區(qū)別關(guān)于文件的權(quán)利的“粒度”很低。本發(fā)明的另一目的還在于:通過增加類別的數(shù)量并且并行地增加用于根據(jù)數(shù)據(jù)的類別來解密數(shù)據(jù)的對應(yīng)密鑰,來增加這種粒度�����。[0029]文檔EP1320012A2未提及下述步驟:把用戶私人數(shù)據(jù)劃分成多個類別�,其中每個類別定義用戶私人數(shù)據(jù)的隱私級別,并且利用與用戶私人數(shù)據(jù)的類別相關(guān)的類別密鑰加密每個類別的用戶私人數(shù)據(jù)�。
[0030]本發(fā)明解決的問題是利用數(shù)據(jù)的每個類別(即,共享共同隱私級別的數(shù)據(jù))的安全級別的強區(qū)別以高效方式提高私人用戶數(shù)據(jù)的安全性����。通過使特定的一組類別密鑰歸屬于相關(guān)的利益相關(guān)者來控制對數(shù)據(jù)的訪問。如果密鑰被發(fā)現(xiàn)����,則僅涉及一個類別的數(shù)據(jù)而沒有關(guān)于其它類別的任何安全性損失��。
[0031]本發(fā)明由于密鑰多樣性而允許高粒度的保護����。數(shù)據(jù)能夠分布在大網(wǎng)絡(luò)(云)中并且在布置合適的類別密鑰的情況下能夠從網(wǎng)絡(luò)的任何位置訪問數(shù)據(jù)���。存儲位置的安全性也可隨著類別而改變�。
【專利附圖】
【附圖說明】
[0032]利用下面參照作為非限制性例子給出的附圖進行的詳細(xì)描述�,將會更好地理解本發(fā)明。
[0033]圖1顯示包括提供可由授權(quán)利益相關(guān)者訪問的用戶私人數(shù)據(jù)的數(shù)據(jù)處理實體和存儲裝置的開放式網(wǎng)絡(luò)(云�����、智能電網(wǎng)���、家庭局域網(wǎng)等)的方框圖��。
[0034]圖2顯示開放式網(wǎng)絡(luò)的例子�����,其中使得多個類別的加密數(shù)據(jù)對于擁有用于解密被授權(quán)訪問的數(shù)據(jù)類別的合適密鑰的利益相關(guān)者可用�。
【具體實施方式】
[0035]圖1示出包括多個互連的數(shù)據(jù)處理實體E和由實體E控制的數(shù)據(jù)庫DB的開放式網(wǎng)絡(luò)C的例子���。利益相關(guān)者S1����、S2�����、S3能訪問直接由實體E提供的數(shù)據(jù)或存儲在數(shù)據(jù)庫DB中的數(shù)據(jù)或由實體E和數(shù)據(jù)庫DB兩者提供的數(shù)據(jù)集�����。對數(shù)據(jù)的訪問取決于以允許解密一個或多個類別的數(shù)據(jù)的密鑰的形式給予利益相關(guān)者S1�、S2、S3的授權(quán)�����。
[0036]在圖2詳述開放式網(wǎng)絡(luò)的例子��,其中源實體SE1����、SE2��、SE3����、SE4��、SE5��、SE6和SE7提供預(yù)定類別(Cl���,C2���,...Cn)的用戶私人數(shù)據(jù)(dCl,dC2���,...dCn)�����。每個類別的用戶私人數(shù)據(jù)(dCl����,dC2,...dCn)由相關(guān)的源實體利用類別密鑰(KCl, KC2���,...KCn)加密��。
[0037]在智能電網(wǎng)的情況下���,這些源實體可例如包括測量與能量����、流體、熱量或多媒體通信數(shù)據(jù)消費對應(yīng)的值的智能儀表��。這些值根據(jù)其性質(zhì)�、服務(wù)提供商或隱私而被劃分為多個類別(C1,C2���,...Cn)����。例如���,電能消費不涉及與多媒體通信數(shù)據(jù)相同的提供商或運營商��。另夕卜����,一個類別的數(shù)據(jù)與另一類別的數(shù)據(jù)的組合可具有需要特定保護的某一隱私級別。
[0038]根據(jù)其它例子��,源實體(SE1���,SE2�,...SEn)可以是電動車輛或RFID裝置或提供與一個或幾個用戶關(guān)聯(lián)的要保護的私人數(shù)據(jù)的任何裝置��。
[0039]由于按照類別組織的用戶私人數(shù)據(jù)涉及不同用戶Ul����,U2,...Uk����,所以可結(jié)合其它密鑰(諸如,用戶相關(guān)密鑰)使用類別密鑰����。類別和用戶是數(shù)據(jù)的正交劃分。能夠在密鑰階梯的專用層使用類別密鑰�。
[0040]在圖2的例子中����,源實體SE5��、SE6產(chǎn)生類別Cl和C2的私人數(shù)據(jù)dCl和dC2����,這些私人數(shù)據(jù)利用相應(yīng)類別密鑰KCl和KC2均被加密。
[0041]源實體SE1�����、SE2和SE3產(chǎn)生類別C1�����、C2和C3的數(shù)據(jù)dCl��、dC2和dC3�,這些數(shù)據(jù)利用其相應(yīng)類別密鑰KC1�、KC2和KC3均被加密。
[0042]源實體SE4產(chǎn)生利用其相應(yīng)類別密鑰KC2加密的類別C2的數(shù)據(jù)dC2���。
[0043]源實體SE7產(chǎn)生利用其相應(yīng)類別密鑰KCl加密的類別Cl的數(shù)據(jù)dCl�����。
[0044]類別密鑰(KC1���,KC2��,...KCn)為對稱型或非對稱型��,或者為對稱密鑰和非對稱密鑰的組合�����。在配置例子中�,公鑰被存儲在源實體中�,而對應(yīng)的私鑰被存儲在由有權(quán)訪問數(shù)據(jù)dCl、dC2和dC3的利益相關(guān)者控制的實體中�����。
[0045]數(shù)據(jù)庫控制實體DBCE或管理中心處理���、管理��、整理可被臨時或永久存儲在數(shù)據(jù)庫DB中的產(chǎn)生的數(shù)據(jù)��。在該例子中���,用戶數(shù)據(jù)(諸如�,標(biāo)識符���、姓名��、地址�、智能儀表標(biāo)識符�����、類型�、位置等)被與由數(shù)據(jù)庫控制實體DBCE收集的智能儀表值數(shù)據(jù)一起存儲在數(shù)據(jù)庫中�����。視為具有高隱私級別的這些用戶數(shù)據(jù)具有通過對應(yīng)的類別密鑰KC1�、KC2和KC3加密的類別C1、C2 和 C3��。
[0046]在其它例子中����,類別(Cl�,C2���,...Cn)是用戶偏好�����、使用統(tǒng)計���、位置、存在信息��、偽類別�����,這些類別中的每一個類別由源實體(SEl, SE2�����,...SEn)利用與數(shù)據(jù)的類別(Cl���,C2���,...Cn)相關(guān)的類別密鑰(KCl, KC2��,...KCn)加密�。
[0047]根據(jù)實施例�,數(shù)據(jù)庫(DB1,DB2�,...DBn)分布在開放式通信網(wǎng)絡(luò)(C)中的多個存儲位置,存儲位置可取決于用戶私人數(shù)據(jù)(dCl, dC2�,...dCn)的類別(Cl,C2,...Cn)��。例如����,與具有低隱私級別或在丟失或破壞的情況下可容易地再現(xiàn)的數(shù)據(jù)的類別相比,與敏感數(shù)據(jù)對應(yīng)的類別被定位于更安全的位置��。也可為了可訪問性和性能目的而確定位置��。
[0048]根據(jù)另一實施例���,數(shù)據(jù)庫(DB1,DB2,...DBn)被部分或全部存儲在開放式通信網(wǎng)絡(luò)(C)中的預(yù)定位置處的至少一個遠(yuǎn)程存儲裝置中����。
[0049]數(shù)據(jù)庫控制實體DBCE在計劃的時間或在請求時利用由源實體SE1�����、SE2�、SE3����、SE4、SE5�����、SE6和SE7產(chǎn)生的最新值以及利用用戶數(shù)據(jù)的任何變化來更新數(shù)據(jù)庫DB���。這些更新操作可被自動地或者由具有向數(shù)據(jù)庫控制實體DBCE發(fā)送特定更新命令的特定權(quán)利或授權(quán)的利益相關(guān)者手工地或者按照二者的組合的方式執(zhí)行���。
[0050]利益相關(guān)者SI利用客戶實體CEl把請求Rq(dCl,dC2��,dC3)發(fā)送給網(wǎng)絡(luò)C����。至少包括用于訪問由標(biāo)識符ID Uj識別的用戶的數(shù)據(jù)d的指令的請求Rq(dCl�,dC2�,dC3)被轉(zhuǎn)發(fā)給數(shù)據(jù)庫控制實體DBCE,數(shù)據(jù)庫控制實體DBCE通過發(fā)送類別CA�、C2、C3的關(guān)于用戶Uj的數(shù)據(jù)(即����,用戶私人數(shù)據(jù)(dCl)KCl、(dC2)KC2���、(dC3)KC3�,每一用戶私人數(shù)據(jù)均通過相應(yīng)的類別密鑰 KC1��、KC2�����、KC3 被加密)����,來返回答復(fù) Rp[(dCl)KCl,(dC2)KC2��,(dC3)KC3]�。
[0051]利益相關(guān)者SI的客戶實體CEl僅擁有類別密鑰KCl和KC3,從而僅類別Cl和C3的數(shù)據(jù)能夠由利益相關(guān)者SI解密�,因為類別密鑰KC2不可用,所以加密數(shù)據(jù)(dC2)KC2仍不可訪問��。
[0052]客戶實體CE可包括能夠連接到開放式網(wǎng)絡(luò)并且接收先前請求的數(shù)據(jù)的任何服務(wù)器或終端裝置���,諸如個人計算機����、個人數(shù)字助理或智能電話�����。
[0053]源實體SE和客戶實體CE可位于開放式網(wǎng)絡(luò)(例如���,智能電網(wǎng)或家庭局域網(wǎng))中的任何地方���。
[0054]根據(jù)實施例,源實體SE和客戶實體CE位于同一物理裝置或服務(wù)器中�。
[0055]根據(jù)實施例,在家庭局域網(wǎng)中��,實體是網(wǎng)絡(luò)接入家庭網(wǎng)關(guān)或家庭能量網(wǎng)關(guān)。
[0056]根據(jù)實施例�,數(shù)據(jù)庫控制實體DBCE以如下方式過濾利益相關(guān)者的請求:僅返回利益相關(guān)者能夠解密的類別的用戶私人數(shù)據(jù),不發(fā)送其它類別����。在這種情況下,包括利益相關(guān)者的可用類別密鑰KC的客戶實體CE的配置被登記到數(shù)據(jù)庫控制實體DBCE可訪問的網(wǎng)絡(luò)的數(shù)據(jù)庫中��。
[0057]在圖2中����,利益相關(guān)者S2發(fā)送用于訪問一組用戶的數(shù)據(jù)的請求Rq [dC2],并且接收僅包括客戶實體CE2能夠解密的類別C2的數(shù)據(jù)dC2的答復(fù)Rp[(dC2)KC2]�。事實上,對于這個客戶實體CE2����,僅類別密鑰KC2可用。
[0058]利益相關(guān)者S3發(fā)送針對一組用戶的數(shù)據(jù)的請求Rq[dCl����,dC2],并且在答復(fù)Rp[(dCl)KCl����,(dC2)KC2]中接收類別Cl和C2的數(shù)據(jù)����?���?蛻魧嶓wCE3擁有解密類別Cl和C2所需的類別密鑰KCl和KC2�����。
[0059]在另一實施例中���,加密的類別的所請求的用戶私人數(shù)據(jù)伴隨有包括利用利益相關(guān)者的個人密鑰加密的必要類別密鑰的密文��。
[0060]例如�,利益相關(guān)者SI接收到具有密文(KCl��,KC3)KS1的答復(fù)Rp[(dCl)KCl�,(dC2)KC2,(dC3)KC3]����,其中KSl是利益相關(guān)者SI的個人密鑰。在這種情況下��,僅個人密鑰KSl被存儲在客戶實體CEl中,因為由也可記錄利益相關(guān)者SI的數(shù)據(jù)庫控制實體DBCE提供類別密鑰���。
【權(quán)利要求】
1.一種用于通過多樣的加密/解密密鑰��,利用共享共同隱私級別的數(shù)據(jù)的安全級別的強區(qū)別和高粒度的保護����,來控制經(jīng)由開放式通信網(wǎng)絡(luò)(C)對用戶私人數(shù)據(jù)(dCl����,dC2,...dCn)的訪問的方法�,所述用戶私人數(shù)據(jù)(dCl,dC2��,...dCn)由多個源實體(SEl,SE2,...SEn)提供,所述方法包括下述步驟: -把用戶私人數(shù)據(jù)(dCl��,dC2����,...dCn)劃分成多個類別(Cl,C2��,...Cn)���,每個類別(Cl�,C2,...Cn)定義用戶私人數(shù)據(jù)(dCl��,dC2����,...dCn)的一個隱私級別����, -由各個源實體(SEl,SE2����,...SEn)利用與用戶私人數(shù)據(jù)(dCl,dC2�,...dCn)的類別(Cl,C2�,...Cn)相關(guān)的類別密鑰(KCLKC2,...KCn)加密各個類別(Cl,C2,...Cn)的用戶私人數(shù)據(jù)(dCl, dC2�,...dCn), -把構(gòu)造用于訪問至少一個類別(Cl���,C2��,...Cn)的用戶私人數(shù)據(jù)(dCl�����,dC2�,...dCn)的至少一個實體(CEl,CE2����,...Cn)歸屬于利益相關(guān)者(SI,S2��,...Sn)�, -通過向所述至少一個實體(CE1,CE2�,...Cn)提供解密對應(yīng)類別(Cl,C2��,...Cn)的用戶私人數(shù)據(jù)(dCl��,dC2�����,...dCn)所需的類別密鑰(KC1�,KC2�����,...KCn)��,對利益相關(guān)者(SI��,S2,...Sn)的所述至少一個實體(CE I, CE2���,...Cn)授權(quán)訪問所述至少一個類別(Cl,C2��,...Cn)的用戶私人數(shù)據(jù)(dCl��,dC2��,...dCn)����。
2.如權(quán)利要求1所述的方法����,其特征在于,加密的用戶私人數(shù)據(jù)((dCl)KCl�,(dC2)KC2��,…(dCn)KCn)被存儲在由至少一個數(shù)據(jù)庫控制實體(DBCE)控制的至少一個數(shù)據(jù)庫(DBLDB2,...DBn)中��,利益相關(guān)者(SI����,S2��,...Sn)的實體(CEI, CE2��,...CEn)根據(jù)與利益相關(guān)者(S1�,S2,...Sn)的所述實體(CEl���,CE2���,...CEn)可用的類別密鑰(KC1,KC2����,...KCn)對應(yīng)的類別(Cl,C2�,...Cn ),經(jīng)由所述至少一個數(shù)據(jù)庫控制實體(DBCE)訪問用戶私人數(shù)據(jù)(dCl, dC2,...dCn)����。
3.如權(quán)利要求2所述的方法,其特征在于�,所述數(shù)據(jù)庫(DBl,DB2�����,...DBn)分布在開放式通信網(wǎng)絡(luò)(C)中的多個存儲位置����。
4.如權(quán)利要求2所述的方法,其特征在于����,所述數(shù)據(jù)庫(DBl��,DB2����,...DBn)被部分或全部存儲在開放式通信網(wǎng)絡(luò)(C)中的預(yù)定位置處的至少一個遠(yuǎn)程存儲裝置中。
5.如權(quán)利要求1至4中任何一項所述的方法��,其特征在于,所述通信網(wǎng)絡(luò)(C)全部或部分是智能電網(wǎng)�����。
6.如權(quán)利要求1至4中任何一項所述的方法�,其特征在于,所述通信網(wǎng)絡(luò)(C)全部或部分是家庭局域網(wǎng)�����。
7.如權(quán)利要求1至6中任何一項所述的方法�,其特征在于,所述類別密鑰(KC1��,KC2�,...KCn)為對稱型或非對稱型,或者為對稱密鑰和非對稱密鑰的組合����。
8.如權(quán)利要求1至7中任何一項所述的方法,其特征在于��,結(jié)合諸如利益相關(guān)者相關(guān)密鑰或用戶相關(guān)密鑰的其它密鑰使用類別密鑰(KCl�����,KC2,...KCn)�。
9.如權(quán)利要求2至8中任何一項所述的方法,其特征在于����,所述至少一個數(shù)據(jù)庫控制實體(DBCE)包括管理多個源實體(SE1,SE2����,...SEn)的管理中心,每個源實體(SE1�����,SE2���,...SEn)定期地或在計劃的時間把數(shù)據(jù)發(fā)送給所述至少一個數(shù)據(jù)庫控制實體(DBCE)�����,所述至少一個數(shù)據(jù)庫控制實體(DBCE)為數(shù)據(jù)庫(DBl,DB2,...DBn)提供數(shù)據(jù)�。
10.如權(quán)利要求9所述的方法,其特征在于���,所述源實體(SEl��,SE2�,...SEn)是智能儀表、電動車輛或RFID裝置�����。
11.如權(quán)利要求5至10中任何一項所述的方法�,其特征在于,所述數(shù)據(jù)是被劃分為多個類別(Cl�����,C2�����,...Cn)的測量數(shù)據(jù)����,每個類別的測量數(shù)據(jù)由智能儀表源實體(SE1,SE2��,...SEn)利用與測量數(shù)據(jù)的類別(Cl����,C2,...Cn)相關(guān)的類別密鑰(KCl, KC2�����,...KCn)加密�。
12.如權(quán)利要求5至11中任何一項所述的方法��,其特征在于��,所述類別(Cl�����,C2���,...Cn)是用戶偏好���、使用統(tǒng)計、位置��、存在信息��、偽類別�,這些類別中的每一個類別由源實體(SE1,SE2���,...SEn)利用與數(shù)據(jù)的類別(C1��,C2��,...Cn)相關(guān)的類別密鑰(KC1,KC2,...KCn)加密����。
13.如權(quán)利要求1至12中任何一項所述的方法����,其特征在于,所述至少一個源實體(SELSE2,...SEn)和所述至少一個客戶實體(CE1,CE2,...Cn)被組合在同一物理實體中����。
14.如權(quán)利要求1至12中任何一項所述的方法,其特征在于���,所述至少一個源實體(SELSE2,...SEn)或客戶實體(CE1,CE2,...Cn)與至少一個數(shù)據(jù)庫控制實體(DBCE)組合在同一物理實體中����。
15.如權(quán)利要求13或14所述的方法�����,其特征在于,所述實體是網(wǎng)絡(luò)接入家庭網(wǎng)關(guān)或家庭能量網(wǎng)關(guān)��。
【文檔編號】G06Q50/06GK103502994SQ201280022311
【公開日】2014年1月8日 申請日期:2012年5月9日 優(yōu)先權(quán)日:2011年5月10日
【發(fā)明者】A·比卡爾 申請人:納格拉影像股份有限公司