CN103973443A

CN103973443A - 用于遵守隐私的数据处理的方法和设备

Info

Publication number: CN103973443A
Application number: CN201410010538.0A
Authority: CN
Inventors: 克里斯托弗·诺伊曼; 奥利维耶·赫恩; 斯蒂芬·昂奴; 奥古斯汀·索莱; 贾迪普·钱德拉谢卡尔
Original assignee: Thomson Licensing SAS
Current assignee: Thomson Licensing SAS
Priority date: 2013-01-09
Filing date: 2014-01-09
Publication date: 2014-08-06
Also published as: KR20140090571A; US20140195818A1; JP2014134799A; EP2755159A1; EP2755158A1

Abstract

用户设备(110)对数据和与数据相关联的私有属性进行加密。处理设备(140)接收(S202)加密数据和私有属性，从请求方接收(S204)签名的脚本，并且对签名进行验证(S208)。如果成功地验证了，则私有密钥被进行解密封(S210)并且用于对私有属性进行解密(S212)和对脚本属性进行解密(S214)，其中，对私有属性和脚本属性进行比较(S216)以确定脚本是否遵守私有属性。如果是，则对加密数据进行解密(S218)并且脚本处理(S220)私有数据以产生使用请求方的密钥加密(S222)的结果，然后输出(S224)加密的结果。设备被优选地配置为在对数据进行解密的同时禁止输出任何信息。通过这种方式，可以向用户确保对私有数据的处理遵守用户所设置的私有属性。

Description

用于遵守隐私的数据处理的方法和设备

技术领域

本发明大体上涉及数据处理，具体地，涉及遵守隐私的处理。

背景技术

该部分旨在向读者介绍可能与下面描述和／或要求保护的本发明的各个方案有关的现有技术的各个方案。该讨论被认为有助于向读者提供用于促进更好地理解本发明的各个方案的背景信息。因此，应当理解的是，这些陈述应当从这个角度来理解，而不应理解为承认现有技术。

存在如果用户可以为第三方的使用设置遵守隐私权限则用户愿意提供私有用户数据以供第三方分析(特别是聚合)的实例。这种实例的示例是用户家中的网络业务。可能发生这样的情况，即，服务提供商修改服务以便更好地适应用户对分析用户数据的需要。其它示例包括推荐系统和医疗统计。

然而，技术人员认识到，安全性是重要的问题。可以如何向用户确保遵守数据的隐私呢?

在US2004／054918中描述了一个解决方案，在该解决方案中，第一用户设备可以向第二用户设备发送签名的请求，该请求是对第二用户设备存储的数据的请求。如果对签名进行成功地认证，则第二设备向第一用户设备提供请求的数据。然而，该解决方案的主要缺点是它不处理数据，而仅返回请求的数据。因此，它不能用于数据处理或分析。

另一个现有的解决方案是同态加密，但是它通常由于多个原因而不适合。第一，脚本可能需要与同态加密不兼容的处理，例如，对输入数据进行的非多项式的处理。第二，输入数据可能非常多，在该情况下，同态加密较慢。第三，处理有时使用来自第三方(例如，来自库)的软件，该软件不能被完全地改写或重写以用于同态加密。

Siani Pearson、Marco Casassa Mont和Liqun Chen在End-to-EndPolicy-Based Encryption and Management of Data in the Cloud；2011Third IEEE International Conference on Cloud Computing Technologyand Science中描述了针对该问题的又一个现有的解决方案。其解决方案将加密数据绑定到指定数据的私有偏好的“粘结策略(stickypolicy)”，并且依赖于断言其履行定制的粘结策略的愿望的云服务提供商(CSP)。然而，未进一步保证CSP遵守隐私并且CSP有权访问不受保护的数据和用于加密的对称密钥。

在P.Maniatis等人2011年在HotOS2011中的Do You Know WhereYour Data Are?Secure Data Capsules for Deployable Data Protection中找到了又一个现有的解决方案。该解决方案允许用户持续地跟踪和控制其数据以及数据的所有衍生物(经复制和变换的数据)，并且支持处理数据的任意不可信传统二进制。为此，作者引入了“数据胶囊”的概念，即，受密码保护的容器，其是由数据、相关联的策略和容器的历史构成。处理数据胶囊的主机需要可信计算基(TCB)。TCB对数据胶囊进行解封装，验证相关联的策略，运行不可信二进制，并且创建新的数据胶囊作为输出。在运行不可信二进制期间，TCB拦截系统呼叫并且执行信息流跟踪。实际上，信息流跟踪增加了禁止的开销，并且可能不能抵御(采用旁信道或者“不受保护数据漏洞”(也称作“模拟漏洞”)的)强攻击。如作者所指出的，使用信息流跟踪也难以支持可扩展策略语义。

因此，将清楚的是，需要克服现有技术的解决方案的缺点中的至少一些的解决方案。本发明提供了这样的系统。

发明内容

在第一方案中，本发明涉及一种数据处理的方法。设备获得要处理的加密数据、与所述加密数据相关联的私有属性、脚本和用于所述脚本的签名，其中，所述私有属性定义数据处理任务应当遵守的处理需求，以使得数据处理任务被允许处理所述加密数据或者输出所述加密数据的数据处理的结果；验证所述签名；如果成功地验证了所述签名，则：对所述加密数据进行解密以获得解密数据；运行所述脚本以处理所述解密数据从而获得结果；以及输出所述结果。所述设备还将所述私有属性与所述脚本的处理属性进行比较以确定所述脚本是否遵守所述私有属性，所述处理属性定义所述脚本所遵守的处理需求。

在第一优选的实施例中，如果成功地验证所述签名，则在所述解密步骤之前执行所述比较，并且当确定所述脚本遵守所述私有属性时执行所述解密。

在第二优选的实施例中，在所述处理之后执行所述比较，并且当确定所述脚本遵守所述私有属性时执行所述输出。

在第三优选的实施例中，所述私有密钥被密封在所述设备内，并且所述设备当确定所述脚本遵守所述私有属性时对所述私有密钥进行解密封。

在第四优选的实施例中，所述设备在所述比较以后删除所述私有属性和所述处理属性中的至少一个。

在第五优选的实施例中，所述脚本是从请求方获得的，并且所述设备使用所述请求方的密钥对所述结果进行加密，使得所述结果是以加密的形式输出的。

在第二方案中，本发明涉及用于数据处理的设备。所述设备包括至少一个接口，被配置为：获得要处理的加密数据；获得与所述加密数据相关联的私有属性，所述私有属性定义数据处理任务应当遵守的处理需求，以使得数据处理任务被允许处理所述加密数据或者输出所述加密数据的数据处理的结果；获得脚本和用于所述脚本的签名；以及输出结果。所述设备还包括：处理器，被配置为：验证所述签名；如果成功地验证了所述签名，则将所述私有属性与所述脚本的处理属性进行比较以确定所述脚本是否遵守所述私有属性，所述处理属性定义所述脚本遵守的处理需求；以及对所述加密数据进行解密以获得解密数据；运行所述脚本以处理所述解密数据从而获得所述结果。

在第一优选的实施例中，所述私有密钥被密封在所述设备内，并且所述处理器被进一步配置为：当确定所述脚本遵守所述私有属性时，对所述私有密钥进行解密封。

在第二优选的实施例中，所述处理器被进一步配置为：在将所述处理需求与所述处理属性进行比较以后，删除所述私有属性和所述处理属性中的至少一个。

在第三优选的实施例中，所述接口被配置为：从请求方获得所述脚本，并且被进一步配置为获得所述请求方的密钥，并且所述处理器被进一步配置为：使用所述请求方的所述密钥来对所述结果进行加密使得所述结果是以加密的形式输出的。

在第四优选的实施例中，所述设备被配置为：在对所述数据进行解密的同时禁止输出任何信息。

在第五优选的实施例中，所述设备是使用可信平台模块来实现的。有利地，所述可信平台模块依赖于使用最新加载(launch)可信平台模块能力加载的可信计算基。

在第六优选的实施例中，所述处理器被进一步配置为：仅当成功地确定所述脚本遵守所述私有属性时才对所述加密数据进行解密并且处理所述解密数据。

在第七优选的实施例中，所述处理器被进一步配置为仅当成功地确定所述脚本遵守所述私有属性时才输出所述结果。

附图说明

现在将参照附图通过非限制性示例的方式来描述本发明的优选特征，在附图中：

图1示出了根据本发明的优选实施例的用于数据处理的系统；以及

图2示出了根据本发明的优选实施例的用于处理私有数据的方法。

具体实施方式

图1示出了根据本发明的优选实施例的用于数据处理的系统。系统100优选地包括以下实体：

蜂：每一个用户具有称作“蜂”的应用110。蜂110有利地在终端用户的网关上运行，但是也可以在另一网络设备上或专用盒上运行。蜂被配置为收集私有数据clearBeeDataⁱ(i是蜂的索引)，例如，与网络业务有关的信息，并且使用其公共密钥Kⁱ _bee来对收集的数据进行加密。

蜂110还存储或者以其它方式有权访问用户定义的私有策略，用户定义的私有策略包括私有属性priv_attrⁱ。私有属性以预定义格式表达与处理私有数据的分析脚本应当遵守的私有属性有关的约束。例如，这些属性可以限制能够对私有数据执行的操作的类型或者指定数据的可以使用的部分。

可以将属性视为私有数据的所有者可以指定以限制数据的使用的关键词和布尔条件的集合。然后，将私有属性与脚本的处理属性进行匹配，以允许或禁止脚本处理数据。当属性是条件时，还可以在运行脚本以后匹配条件：如果脚本的输出满足条件，则输出可以用作结果。否则，根据所有者偏好和条件的表达性，至少两种情况是可能的：拒绝输出和自动修改输出直到它与条件匹配为止。自动修改的已知示例是添加噪声，直到满足匿名条件为止。

可能的私有属性的非限制性列表包括：

·No-payload(无有效载荷)：脚本忽略任何有效载荷数据；例如，在IP／UDP、IP／TCP报头之后的一切。

·Aggregate-output-only(仅输出聚合)：脚本仅输出全局统计数据，例如，均值或分位数，而不输出输入数据中的明文数据(plain data)。

·j-combination(j-组合)：脚本的输出是至少j个不同的数据集的组合。

·k-combination(k-组合)：脚本的输出是至少k个不同的数据集的组合；其它属性数据值被抑制，直到具有剩余属性的集合的值与至少k-1个其它数据集的值相等为止。

·K-anonymous(K-匿名)：脚本的输出与一个k-anonymity需求(通常是“数据的每一个版本可以使得准标识符的值的每一个组合与至少k个对应方模糊匹配”)相匹配(来自V.Ciriani等人2007年在Springer US，Advances in Information Security，第4页的“k-Anonymity”)。K-anonymity是比k-combination.strict-I-obfuscation更强的特性：针对询问的任何答复必须包含至少I个记录。

·I-obfuscation(I-模糊)：如果询问成功并且数据包含至少I个记录，则针对询问的任何答复包含I个记录，否则，针对询问的任何答复包含0个记录。

蜂110被配置为例如通过密码绑定：attrⁱ=(priv_attrⁱ，h(clearBeeDataⁱ))来将策略与私有数据相关联，其中，h是散列函数(或者其它适当的单向函数)。绑定策略attrⁱ优选地与私有数据存储在一起。

蜂110被进一步配置为使用蜂的加密密钥Kⁱ _bee对私有数据clearBeeDataⁱ和绑定策略attrⁱ进行加密，并且向有利地位于云中的存储设备(称作“蜂箱”120)输出加密数据({clearBeeDataⁱ}Kⁱ _bee、{attrⁱ}Kⁱ _bee)。

只有与蜂的密钥Kⁱ _bee相关联的私有密钥的所有者才可以对加密数据进行解密。为了允许系统中的灵活性，蜂110还产生代理重新加密密钥Kⁱ _bee→Bk。该密钥允许对加密数据进行重新加密，使得它是使用所谓的蜂管理方140的公共密钥进行加密而不是使用蜂的公共密钥Kⁱ _bee进行加密，并且不会经由明文进行传递。可以在G.Ateniese等人在Improved Proxy Re-encryption Schemes with Applications to SecureDistributed Storage，ACM Transactions of Information and SystemSecurity，9(1)：1—30，Fe.2006中找到关于代理重新加密的其它细节。在M.Blaze等人的Divertible protocols and atomic proxy cryptography中描述了基于ElGamal加密的适合的代理重新加密方案。因此，可以由不可信第三方执行重新加密。在优选的实施例中，向蜂箱120输出重新加密密钥Kⁱ _bee→Bk。

蜂箱：蜂箱120是被配置为存储从蜂110接收的加密数据、对加密数据进行代理重新加密、并且存储重新加密的数据({clearBeeDataⁱ}K_Bk、{attrⁱ}K_Bk)的装置。因此，将清楚的是，对蜂箱120的信任需求非常低，这尤其是因为蜂箱120不能在代理重新加密期间访问未加密数据。蜂箱120是有利地使用公知的云存储和处理来实现的。

脚本认证机构：脚本认证机构130负责访问从请求方150接收的数据处理任务(“脚本”)，该数据处理任务将被运行以处理蜂的私有数据。脚本认证机构130验证给定的脚本违反还是满足其要求保护的处理属性。在成功地验证脚本135以后，脚本认证机构130发出脚本135的数字凭证，该数字凭证包括脚本135遵照的处理属性。更正式地，脚本认证机构130的输出是：{script、priv_attr_script、K_script}K_CA ^-1，即，使用密钥K_CA ^-1对括号内的数据的签名，其中，K_script是请求方150的公共密钥，K_CA ^-1是脚本认证机构130的私有密钥。

脚本认证机构130如何验证脚本遵照其要求保护的处理属性超出了本发明的范围。在其最简单的形式中，机构可以由在署名之前手动地检查脚本的技术委员会构成。技术委员会的成员需要物理地召集，这是因为可以使用每一个成员使用部分密钥进行签名的签名方案。技术人员将清楚的是，还可以通过脚本认证机构设备130运行适合的现有技术的脚本分析程序来自动地执行脚本分析。

蜂管理方：蜂管理方140是从请求方150接收一个或多个脚本以在从蜂箱120下载加密或重新加密的数据以后对该数据运行。蜂管理方140优选地是使用可信平台模块(TPM)来实现的。TPM允许使用密封的存储设备来安全地存储蜂管理方的私有密钥K^-1 _Bk，并且建立针对脚本的安全运行环境。

针对脚本的安全运行环境是优选地根据可信计算基(TCB)来获得的，其中，可信计算基(TCB)是使用所谓的最新加载(late launch)TPM能力(例如，使用Intel的senter和AMD的skinit——分别参见Trusted Execution TechnologyTXT)，SoftwareDevelopment Guide Measured Launched Environment Developer’s Guide，March2011，section1.8，page12和AMD Platform for Trustworthy2003Advanced Micro Devices，Inc.，page17)来加载的。最新加载(skinit或senter)将PCR17的值重置为0，并且使用TCB的测量(散列)对其进行扩展：PCR₁₇←H(0||H(TCB))。如果该测量正确，则该测量允许对蜂管理方的私有密钥进行解密封，Unseal(C)→K^-1 _Bk。(参见Jonathan M.McCune等人：“Flicker：An ExecutionInfrastructure for TCB Minimization”，section2.4以得到更多细节。)蜂管理方的密钥对已经预先(例如，在建立蜂管理方时)产生和密封。

TCB被配置为在图2中所示的用于处理私有数据的方法中执行至少以下动作：

(i)接收S202加密的私有数据和策略({clearBeeDatai}Kⁱ _bee、{attrⁱ}Kⁱ _bee)；

(ii)接收S204签名的脚本和签名的属性(script、priv_attr_script)K_CA；

(iii)接收S206请求方150的公共密钥(可能与脚本分离)；

(iv)使用脚本认证机构130的公共密钥来验证S208脚本签名。应当注意的是，如果未成功验证签名，则该方法停止。

(v)对蜂管理方的私有密钥K^-1 _Bk进行解密封S210；

(vi)对每一个蜂的私有数据的策略(即，私有属性)进行提取和解密(步骤S212)并且对脚本属性进行提取和解密(S214)，与脚本的私有属性进行比较S216，并且删除解密的私有属性；

(vii)仅当脚本遵守绑定到蜂的数据的私有策略时，才对蜂的私有数据进行解密S218；

(viii)对解密数据运行S220脚本；

(ix)使用包含在脚本中的请求方150的公共密钥K_script对结果进行加密S222；以及

(x)输出S224加密的结果。

优选地，TCB不允许在任何数据未被保护的同时进行任何系统交互。系统交互包括向屏幕显示数据部分、在与输出文件不同的资源中进行写入、访问网络。通过这种方式(并且通过使用归因于最新加载的安全运行环境)，即便危害运行数据处理任务的操作系统的强攻击方或者尝试替换或更新数据处理任务的攻击方也不能访问私有数据。这可以通过包括以下各项的多种方式来完成：由认证机构核查脚本不允许任何系统交互、或者使用诸如Linux2.6.23及稍后版本中包含的SECCOMP等的明显地限制过程的系统交互能力的外部机制。可以在Linux prctlcommand的操作说明中的PR_SET_SECCOMP的描述中找到与该机制有关的其它细节。

将清楚的是，可能发生这样的情况，即，私有数据太多而不能存储在蜂管理方的中央存储器中，在该情况下，TCB被配置为获得对称会话密钥以用于在不可信的外部存储设备上临时存储会话加密组块。这可以通过TCB中的加密／解密例程或者通过TPM_Seal和TPM_unseal操作使用存储密钥来完成。

下面的算法是用于蜂管理方的TCB的伪随机码的示例：

将清楚的是，虽然为了清楚起见未示出，但是系统中的设备包括适当的功能所需的必要硬件和软件组件，例如，处理器、存储器、用户界面、通信接口和操作系统。

因此，将看出，本发明提出了除了在具有验证和限制能力的可信环境中以外使数据保持加密，并且当且仅当数据私有属性和脚本私有属性兼容时，才处理数据。

通过使用本发明，就处理、存储和网络的安全性而言，可以向数据所有者提供保证。处理的安全性意味着仅通过所有者允许的方式来处理数据；这是使用私有属性来实现的。存储和网络的安全意味着除了运行授权脚本的可信部分以外，系统的任何部分不能访问数据。

技术人员将清楚的是，本发明可以提供增加遵守私有策略的保证的解决方案。

可以独立地或者以任何适当的组合来提供说明书以及(视情况)权利要求和附图中公开的每一个特征。被描述为用硬件实现的特征也可以用软件实现，反之亦然。出现在权利要求中的附图标记仅是举例说明，并且不应当对权利要求的范围具有限制作用。

Claims

1.一种在包括处理器的设备(140)中进行数据处理的方法，所述方法包括以下步骤：

获得(S202)要处理的加密数据；

获得(S202)与所述加密数据相关联的私有属性，所述私有属性定义数据处理任务应当遵守的处理需求，以使得数据处理任务被允许处理所述加密数据或者输出所述加密数据的数据处理的结果；

获得(S204)脚本和用于所述脚本的签名；

验证(S206)所述签名；以及

如果成功地验证了所述签名，则：

对所述加密数据进行解密(S218)以获得解密数据；

运行所述脚本以处理(S220)所述解密数据从而获得结果；以及

输出(S224)所述结果；

所述方法还包括以下步骤：将所述私有属性与所述脚本的处理属性进行比较(S216)以确定所述脚本是否遵守所述私有属性，所述处理属性定义所述脚本所遵守的处理需求。

2.根据权利要求1所述的方法，其中，如果成功地验证所述签名，则在所述解密步骤之前执行所述比较步骤，并且当确定所述脚本遵守所述私有属性时执行所述解密步骤。

3.根据权利要求1所述的方法，其中，在所述处理步骤之后执行所述比较步骤，并且当确定所述脚本遵守所述私有属性时执行所述输出步骤。

4.根据权利要求1所述的方法，其中，所述私有密钥被密封在所述设备内，并且所述方法还包括以下步骤：当确定所述脚本遵守所述私有属性时，对所述私有密钥进行解密封(S210)。

5.根据权利要求1所述的方法，还包括以下步骤：在所述比较步骤以后，删除(S216)所述私有属性和所述处理属性中的至少一个。

6.根据权利要求1所述的方法，其中，所述脚本是从请求方获得的，并且所述方法还包括以下步骤：使用所述请求方的密钥对所述结果进行加密(S222)，使得所述结果是以加密的形式输出的。

7.一种用于数据处理的设备(140)，包括：

至少一个接口，被配置为：

获得要处理的加密数据；

获得与所述加密数据相关联的私有属性，所述私有属性定义数据处理任务应当遵守的处理需求，以使得数据处理任务被允许处理所述加密数据或者输出所述加密数据的数据处理的结果；

获得脚本和用于所述脚本的签名；以及

输出结果；以及

处理器，被配置为：

验证所述签名；以及

如果成功地验证了所述签名，则将所述私有属性和所述脚本的处理属性进行比较以确定所述脚本是否遵守所述私有属性，所述处理属性定义所述脚本遵守的处理需求；以及

对所述加密数据进行解密以获得解密数据；

运行所述脚本以处理所述解密数据从而获得所述结果。

8.根据权利要求7所述的设备，其中，所述私有密钥被密封在所述设备内，并且所述处理器被进一步配置为：当确定所述脚本遵守所述私有属性时，对所述私有密钥进行解密封。

9.根据权利要求7所述的设备，其中，所述处理器被进一步配置为：在将所述处理需求与所述处理属性进行比较以后，删除所述私有属性和所述处理属性中的至少一个。

10.根据权利要求7所述的设备，其中，所述至少一个接口被配置为：从请求方获得所述脚本，并且被进一步配置为：获得所述请求方的密钥，并且所述处理器被进一步配置为：使用所述请求方的所述密钥来对所述结果进行加密使得所述结果是以加密的形式输出的。

11.根据权利要求7所述的设备，其中，所述设备(140)被配置为：在对所述数据进行解密的同时禁止输出任何信息。

12.根据权利要求7所述的设备，其中，所述设备(140)是使用可信平台模块来实现的。

13.根据权利要求12所述的设备，其中，所述可信平台模块依赖于使用最新加载可信平台模块能力加载的可信计算基。

14.根据权利要求7所述的设备，其中，所述处理器被进一步配置为：仅当成功地确定所述脚本遵守所述私有属性时才对所述加密数据进行解密并且处理所述解密数据。

15.根据权利要求7所述的设备，其中，所述处理器被进一步配置为：仅当成功地确定所述脚本遵守所述私有属性时才输出所述结果。