CN1295688A - 用于机密记录的安全数据库管理系统 - Google Patents

Abstract

描述了用于管理敏感数据的系统(100)。该系统通过将数据与标识符信息存储在不同计算机系统上来防止系统管理员访问敏感数据。各查询是用两个代码加密的,第一代码只能由标识符数据库(128)读取而第二代码只能由数据访问数据库(152)读取。通过将数据路径从源终端(104)确定到代入内部ID的标识符数据库(128)上,然后到数据访问数据库(152)及返回到源终端(104),明显地增进了数据安全性。

Description

用于机密记录的安全数据库管理系统

本发明涉及保护机密信息。具体地，本发明防止具有高计算机访问级的内部人员访问敏感数据。

计算机系统已长期用于处理敏感信息。这些系统通常包含数据库及处理大量高度私人与机密数据的处理器。为了防止外部人员访问机密数据，通常使用防火墙及加密系统来防止对数据的非授权访问。用来防止对敏感数据的非授权访问的传统系统与方法的实例包含诸如用户鉴别、访问位置限制及用户级访问控制等机制。虽然这些系统对于防止“外部人员”访问机密数据是有用的，但这些系统通常不能防止授予足够高的系统访问特权的“内部人员”绕过安全控制访问数据。尤其是，拒绝系统管理员访问敏感或机密数据非常困难。

具有高访问级的系统管理员通常能访问计算机系统上的大多数数据。随着计算机上的数据成为越来越敏感与有价值，越来越诱惑系统管理员或其它“受信任的内部人员”挫败系统的保护机制及出售机密数据。从而，需要一种能以高级计算机管理人员不能访问而仍授于适当用户对敏感数据的访问权的形式存储机密数据的系统。

描述了一种检索所存储的敏感数据的方法。接收端接收来自用户的数据请求并用第一代码加密标识符及用第二代码加密数据访问请求。将标识符与数据访问请求传输给第一数据库，它对该标识符译码并确定该用户是否具有请求想要的信息的授权。然后第一数据库检索相关的访问级与内部标识符。第一数据库将仍然加密的数据访问请求与相关访问级及内部标识符提交给第二数据库。

第二数据库检索数据访问请求中所请求的信息，在一个实施例中，如果该用户具有适当的访问级，便将请求的信息传输到接收终端。

图1示出用于实现数据管理系统的一个实施例的计算机网络。

图2为展示实现该数据管理系统的方法的流程图。

图3A、3B、3C与3D示出利用所公开的发明的数据管理系统的不同

实施例。

图4示出在本发明的一个实施例中的多标识符数据库的使用。

图5示出在本发明的一个实施例中所实现的公共管理控制下的组合标识符及数据请求数据库。

在下面的详细描述中，将描述保护敏感数据的方法与装置。详细描述将陈述许多特定细节以便提供对本发明的彻底理解。然而，熟悉本技术的人员会理解没有这些特定细节也可实践本发明。在其它实例中，并未详细描述诸如本技术中的普通技术人员所熟知公开与秘密密钥密码术等公知的方法、过程、协议、部件与电路、以免冲淡本发明。

在本发明的一个实施例中，安全系统是用联成子网的计算机的大型网络实现的。例如，因特网代表将诸如局域网或以太网连接的计算机的子网络耦合在一起大型网络。为了最佳的安全性，所描述的各子网是在不同管理员控制下的。各管理员对各自的子网外部的计算机没有控制权。通过分割敏感数据及在不同计算机子网上分布存储与检索敏感数据，将防止子网的个别管理员不正当地访问数据。

图1示出用于实现本发明的一个实施例的安全数据管理系统100。用户输入数据到源终端104中。典型的用户可以是医师或拥有适当访问级来请求所需的数据的其它人员。在一个实施例中，源终端104可以是计算机或包含个人计算机在内的其它处理设备。在另一实施例中，源终端104只是连接在主计算机或其它处理设备上的终端。源终端可以与本地计算机网或“源子网”106关联。源子网106可以是用局域网连接的多台计算机，源终端104通常通过获取口令、手印、指纹、视网膜扫描或其它适当识别机制标识或采集信息来识别用户。在验证了用户的身份之后，诸如医师、律师、药物强制人员、政府官员或银行家等需要知道信息的用户请求对该安全数据管理系统100处理的关于特定单个主题的特定信息的访问。用户也可以是计算机程序或系统。

源终端104接收来自用户的信息并将信息组合成数据分组116供输出到安全系统100的其它部分。数据分组116由两个较小的数据分组组成，标识符112及数据访问请求124。标识符112包含诸如用户ID118与主题ID120等子数据分组。第一子数据分组用户ID118包含诸如标识请求数据的医师所需的信息等关于该用户的信息。这些信息可包含但不限于姓、名、中名、社会保障号、出身日期、母亲名、驾驶证、医师执照号、州条码号、药物强制代理人号、发票号、指纹号、或识别请求数据的用户必需或有用的其它信息。第二个子数据分组主题ID120包含关于主题的信息。第二子数据分组中的信息包含识别关于数据访问请求的个人或实体所需的数据。例如，这些信息可包含姓、名、中名、社会保障号、出生日期、出生地、母亲名、驾驶证、街道地址、电子邮件、文件号、患者标识号、居住标识号、帐号或公司名称。

与源终端104关联的处理器108用第一加密代码加密包含子数据分组118、120的标识符112。在本发明的一个实施例中，标识符112还具有包含生成子数据分组116的源终端104的信息或地址的子数据分组104。源终端的地址可认作为全球唯一的标识符或“GUID”包含在子数据分组104中。

数据分组116还包含第二部分，数据访问请示124。数据访问请求124包含所请求的数据的详细说明，诸如请示化验结果或请求附加新的进度记录。在本发明的一个实施例中数据访问请求124也可以是标记。标记可以是指定存储器地址或标记接收者要执行的其它指令的指令、索引或代码。标记授权对源子网106的通信以获得数据请示的细节。处理器108以第二代码加密数据访问请求124。数据访问请求124是在数据分组116内与标识符112关联的，使得外部计算机或处理器子网能将标识符112链接到数据访问请求124上。

在医务应用中，源终端104通常是在服务于诸如医务设施或医院等设施的计算机的源子网106中的计算机。源终端104将包含标识符112与数据访问请求124的数据分组116传输给第二处理器或标识符数据库128。标识符数据库最好是第二计算子网130的一部分。第二子网130通常是在第二管理员控制下的局域网。第二子网130与源子网106可位于国家的不同区域中。通信链路连接源终端104与标识符数据库128。在一个实施例中，通信链路为内联网链路与/或专用线路。

标识符数据库128拥有解密标识符112所必需的代码。标识符112的编码与译码可用各种方法完成。在本发明的一个实施例中，源终端104用标识符数据库128的公开密钥加密标识符112。标识符数据库128用对应的秘密密钥解密数据分组116中的标识符112。因为标识符数据库128没有读取包含在数据访问请求124中的信息所需的解密密钥，数据访问请求信息保持对标识符数据库128与子网130的系统管理员受到保护。

标识符数据库128利用包含在标识符112中的信息生成(1)指示请求数据的用户的访问许可的访问级，及(2)标识对应于所请求的数据的个人或实体(主题)的内部标识符。标识符112信息作为查询数据库，通常是表132，的搜索关键字工作。在一个实施例中，利用用户ID118指定的请求数据的用户来标识在表132中找查的数据及确定与主题ID部分120中所标识的个人相关的用户的批准的访问级。具体地，子网130确定允许用户在涉及主题ID120所标识的主题的记录上执行的数据访问活动的类型。例如，子网130可确定该用户是否当前正在治疗所标识的个人的医师。当识别出治疗标识的个人的医师时，便将该医师与对应的访问级关联，允许该医师观察X射线、化验结果或在患者的记录上增加进度记录。包含标识符数据库128的子网130将一个授权的用户访问级与该医师关联。标识符数据库128通常使用诸如表133的表将主题内部ID分配给在标识符112的主题ID部分120中标识的个人。

标识符数据库128输出包含(1)主题数据部分144及(2)数据访问请求124的数据分组148。在一个实施例中，主题数据部分144包含用户访问级子部分136及存储在主题内部标识符子部分140中的内部标识符。主题数据部分144还可包含始发源终端104的地址。因为包含在主题数据部分144中的材料闯入者通常是不能理解的，不要求加密主题数据部分144。在最大的安全系统中，主题数据144中的主题材料是用代码加密的，使得主题材料只是数据请求数据库152可读的。在本发明的一个实施例，用户的身份与主题、源终端104的地址及接收与/或传输数据的时间是存储在标识符数据库128中的记录156中的。

数据请求数据库152与相关的子网154接收数据分组148。当主题数据144是加密的时，数据请求数据库152解密数据分组148的主题数据部分144并检索主题内部ID140及用户访问级136。数据请求数据库152还解密数据访问请求124。数据分组148的数据访问请求124是用只能由数据请求数据库152可读的代码加密的。在本发明的一个实施例中，源终端104用数据请求数据库152的公开密钥加密数据访问请求，允许数据请求数据库152用对应的秘密密钥检索数据访问请求124。

数据请求数据库152判定用户访问级是否足以在对应于主题内部标识符140的记录上执行数据访问请求124中所请求的类型的数据访问。当用户具有适当的用户访问级并从而有资格执行操作时，数据请求数据库152在键控到内部标识符140的记录上执行所请求的操作。

在一个实施例中，数据请求数据库152并不包含可用来将个人或实体链接到包含在数据记录157中的数据上的人口统计、个人标识符及其它可识别个人的信息。将包含诸如地址等人口统计与特定标识符的已知可标识个人的属性消除并存储在标识符数据库128中。从而，虽然数据请求数据库152与对应的子网154的系统管理员能访问对应于诸如指示爱滋病诊断的记录等请求的数据的信息，但管理员不能确定具有这一诊断的患者的姓名。只有标识符数据库128包含将诸如患者的姓名与地址等公开身份链接到内部标识符上的信息。可以想到利用在标识符数据库128与数据请求数据库152之间分裂数据来存储希望除了授权的用户之外防止两个数据元素之间的连接的其它敏感数据。

数据请求数据库152执行所请求的数据访问操作之后，诸如从表157中检索一组化验结果之后，数据请求数据库152利用包含在主题数据144中的源终端ID104将数据操作的结果组发送回源终端104。数据请求数据库152与源终端104之间的连接可通过因特网或数据可在安全线路上传输。可为传输到源终端上加密结果组，例如利用源终端104的公开密钥。

为了进一步增强安全性，尤其是为了防止标识符数据库128或数据请求数据库152之一的单个系统管理员发送查询到系统试图确定内部标识码或执行非授权的数据访问，各数据库维护一个日志。标识符数据库维护可存储从源终端104上某一用户接收的查询及在特定时间上出现的查询的第一日志156。同样，数据请求数据库152维护记录在向其发送请求的信息的目的地上进行操作的主题内部ID、源终端ID104以及从标识符数据库128传输或接收信息的时间的第二日志164。当对系统的完整性存在问题时，第三方审查员可比较第一日志156与第二日志164来判定是否存在不规则事物。第三方审查的较佳过程在审查员能得到它们之前利用诸如校验和或散列函数等过程来变换这些日志，借此保护用户-主题对的机密身份。

可在规定的时间间隔上由标识符数据库生成定期报告公开访问过给定主题的记录的所有用户的身份。这些报告可直接发送给主题或主题指定的人供检查。然后适当时可纠正不规则事物。从而能及时识别不适当的记录访问并使所有用户对他们的活动保持负责。

图2A与2B为示出用于实现当前描述的发明的过程的流程图200。在框204中，源终端上的用户请求数据。用户可输入诸如口令或其它标识信息来表示该用户便是他或她所声称的实体。在框208中源终端用第一代码加密诸如患者姓名等主题的标识信息。在一个实施例中，标识符是用标识符数据库的公开密钥加密的。标识符通常包含终端的地址及诸如请求信息的人的姓名等用户信息。标识符包也可包含源终端的公开密钥。

在框208中，源终端还用第二代码加密数据访问请求。在一个实施例中，数据访问请求是用诸如数据请求数据库等第二数据库的第二公开密钥加密的。数据访问请求包含关于数据请求的性质的信息，诸如删除记录，显示化验结果及更新财经信息。

在本发明的一个实施例中，在框212签名整个数据分组。这一加密可用源终端的秘密密钥进行。这一加密用于标识源终端104并防止其它终端冒充源终端104。在另一实施例中，可用诸如RSA、EICamal与Rabin等许多著名数字签名算法之一数字签名数据分组来进行验证。在框216中，将数据分组传输给具有包含第一数据库或标识符数据库的计算机的子网。

在标识符数据库内，在框220中解密标识符信息。通常，解密是用标识符数据库的秘密密钥完成的。在框224中，标识符数据库用解密的标识符信息来找查为其请求数据的个人(主题)，诸如医院中的患者，并肯定该人或实体存在。在框224中，标识符数据库还验证请求访问的个人具有访问该主题的信息的授权。例如，主题可以是医院中的患者而请求数据的人可以是医师。当用在医院中时，在框224中，标识符数据库可检验一张表来肯定患者与医师表示一个医师-患者对。如果医师与患者并不构成医师-患者对，在框230中不允许访问并在框232中通知源终端不能得到信息。如果医师与患者是医师-患者对，则在判定框230中允许访问，并在框236中，数据库检索(1)对应于该医师-患者对的适当特权级及(2)对应于患者的内部ID。

在框240中，标识符数据库加密内部ID、特权级及源终端地址供传输到分开管理的子网中的数据请求数据库。将患者姓名与医师姓名从数据中剥离，只用内部ID标识。在本发明的一个实施例中，标识符数据库用数据请求数据库的公开密钥加密内部ID。在图2B的框244中，将包含内部标识符、用户访问级或特权级的数据分组连同原先加密的数据访问请求一起在框244中传输给数据请求数据库。在一个实施例中，在日志中增加一项来存档框244中的传输。传输可通过专线或虚拟专用网以保证数据安全性与完整性。在一个实施例中，整个分组是加密与签名的。

在框248中，数据请求数据库解密从标识符数据库接收的信息。在框252中，数据请求数据库检索对应于内部标识符的患者医疗记录文件。在判定框256中，数据请求数据库根据接收的访问特权级判定对文件中特定信息的访问是否允许。如果不允许访问，在框260中发送通知给源终端。

当特权级授权访问特定信息时，数据请求数据库执行所请求的操作及加密数据分组中的结果组供传输给源终端。在一个实施例中，在框264中用源终端的公开密钥加密所请求的信息。源终端的公开密钥是已与数据访问请求一起接收的。然后在框268中将加密的数据传输回源终端。源终端译码数据并将其显示给授权的用户。

通过将事务请求分组中的数据分成几部分，各部分只有对应的独立系统管理员所运行的一个计算机系统或对应的子网可以访问，便保持了主题机密性及数据完整性。诸如标识符128与数据请求数据库152等各数据库能实现在标准计算机系统上。这些系统可用直接连接的网络或者如果数据传输是加密的时用公共可利用的因特网连接结合成整体。

前面的描述还示出从源终端104到标识符数据库128通过数据请求数据库152流回源终端的数据流。图3A与3B分别示出不带与带日志监视器的这一基本结构。然而本发明不应限于这种数据流，由于其它数据流也是可能的。图3C与3D示出信息流与数据管理系统设计的替代实施例。

图3A示出在用户300与标识符数据库308之间沿数据路径304的双向数据流。当标识符数据库308收到查询时，标识符数据库308将该数据请求提交给数据请求数据库312。数据请求数据库312沿数据路径316提供应答给用户300。所示的图3A的配置为并不包含日志监视器的基本单元。

图3B示出使用独立日志监视器320监视标识符数据库308与数据请求数据库312之间的信息流。日志监视器比较来自标识符数据库308与数据请求数据库312的日志。日志中的不一致可能是由用户对数据请求数据312的非授权查询来获得不路经标识符数据库308的信息导致的。此外，这也可能由试图查询标识符数据库及链接内部ID到标识信息上导致的。当这种不一致出现时，日志监视器320传输警告到用户300或独立检验系统。

图3C示出包含单个用户300及多个数据请求数据库350、354的系统。多个数据请求数据库分开并从而减少处理的信息量，并且受各数据请求数据库350、354的各管理员控制。划分信息改进安全性。图3C中，源终端上的用户划分与加密各数据请求数据库单元350、354的数据。标识符数据库358检验用户300的身份并将划分与加密的数据提交给各自的第一数据请求数据库350与/或第二数据请求数据库354。在本发明的一个实施例中，各数据请求数据库350、354拥有其自身的对应公开-秘密加密密钥对来加密用户300与各数据请求数据库350、354之间的传输。各数据请求数据库350、354响应请求并将其应答直接传输回用户300，后者重新组合这些应答。

图3D示出划分标识符数据库来减少各标识符数据库所处理的信息量。在图3D中，用户300传输单个请求给第一标识符数据库362与第二标识符数据库366之一或两者。当第一标识符数据库362或第二标识符数据库366确认用户300的身份与查询的主题时，标识符数据库362与366将数据访问请求提交给数据请求数据库370。数据请求数据库370沿数据路径376提供应答给用户300。在本发明的一个实施例中，可使用双标识符数据库362、366通过在各标识符数据库362、366上用不同标识标准的独立检验要求用户300的真实性的附加验证来提高安全性。在描述的实施例中，只有在两个标识符数据库362、366都验证了请求时数据请求数据库370才提供应答。此外，多个标识符数据库可用来作为附加安全机构分配不同用户或主题给对应的标识符数据库或平衡通过整个网络的数据流的负荷。

在图4中所示的系统400中，用户404将带有用户与主题标识信息的数据请求传输给标识符数据库链中的第一标识符数据库408。链中的各标识符数据库408、412、416检验用户或主题标识数据的特定单元。例如，第一标识符数据库408可包含主题名称。当第一标识符数据库确认诸如名称等数据时，第一标识符数据库408将查询提交给第二标识符数据库412。第二标识符数据库412通过将诸如主题的社会保障号等第二信息单元与所接收的数据比较进一步验证主题的身份。当再一次验证了信息时，第二标识符数据库412将请求传递给第三标识符数据库416，后者可比较指纹等第三数据单元来验证查询的主题的身份。

通过各种标识符数据库使用的返回数据路径420、424、428，各标识符数据库保持用户404知道查询进度。属于同一主题(或用户)的记录是用内部标识在标识符数据库之间链接的。例如，在诸如标识符数据库对412、416等标识符数据库对中的各标识符数据库共享公共的内部标识。用户404用该标识符数据库的公开密钥加密各标识符数据库408、412、416的数据。当全体三个标识符数据库408、412、416验证了主题或用户404是满意地标识的时，数据请求数据库432接收数据访问请求，并沿数据路径436将应答传输给用户404。

已将标识符数据库的功能定义为验证用户与主题的身份并将主题标识符转换成内部ID。数据请求数据库接收从标识符数据库提交的数据访问请求并提供应答。对于各有效的用户-主题对，各标识符数据库输出至少一个用户或主题内部标识(ID)，内部ID是链接相邻的标识符数据库的索引或用来在标识符数据库与数据请求数据库之间连接信息的链路。将数据请求数据库定义为输出查询结果的数据库，查询结果通常是复合数据类型，可包含ASCII正文、图表及其它嵌入信息。在本发明的一个实施例中，数据请求数据库是链中的最后一节，它直接提供信息给用户。然而，数据库有可能既作为标识符数据库又作为数据请求数据库工作。这一实施例示出在图5中，其中单个管理员控制组合第二标识符数据库与数据请求数据库。

在图5中所示的系统500中，用户504传送查询给第一标识符数据库508。当标识符数据库508验证了用户504是授权接收所请求的数据的时，标识符数据库508将数据访问请求提交给组合数据库516的数据请求数据库部分512。组合数据库516的数据请求数据库512部分提供应答给用户504。

数据请求数据库512中的标识信息可用作标识信息与/或请求的数据。例如，组合数据库516可具有维护指纹ID记录的任务。来自标识符数据库508的数据访问请求可包含增加新的指纹记录到指纹记录516的表中的指令。成功地完成这一操作时，从数据请求数据库512送回报文给用户504。此外，可将标识用户或主题的指纹从标识符数据库508送到标识符数据库520。通过与指纹记录516的表中的记录匹配确认了身份之后，便生成内部ID。当数据传输得到授权时，标识符数据库520将内部ID与数据访问请求提交给第二数据请求数据库524，后者将应答提供回到用户504。

能够组合或改变标识符数据库与数据请求数据库的各种排列来实现具有各种性能、数据安全性、数据完整性及机密性折衷方案的数据管理系统。

从上面附图的描述中，熟悉本技术的人员会理解所示出与描述的特定实施例只是为了说明的目的并不是限制本发明的范围。熟悉本技术的人员会理解可用其它特定形式实施本发明而不脱离其精神或实质特征。例如，虽然描述使用了一个对象或患者的例子，用一个请求也能同样地访问若干机构或患者的记录。本发明及其等同物的限定是由下面的权利要求定义的。

Claims (15)

1．一种用于管理数据的方法，包括：

传输包含以第一代码加密的标识符部分及以第二代码加密的数据访问请求的数据分组到第一系统，该第一系统配置成译码及确定标识符的真实性及将数据访问请求与内部索引提交给第二系统。

2．如权利要求1的方法，其中第一系统是在第一管理控制下而第二系统是在第二管理控制下。

3．如权利要求1的方法，还包括下述操作：

用第一系统的公开密钥加密标识符；以及

用第二系统的公开密钥加密数据访问请求。

4．如权利要求3的方法，其中标识符是数字签名的，使能验证数据分组的始发者。

5．如权利要求1的方法，其中该标识符包含主题表示。

6．如权利要求1的方法，其中第一系统更新日志来指明收到查询或传输数据分组，及第二系统更新日志来指明收到数据访问请求或传输数据访问的结果。

7．一种在第一管理员的控制下处理安全数据的设备，包括：

输入端口，接收来自源的以第一代码加密的标识符及以第二代码加密的对应数据访问请求；

处理器，解密第一代码并确定对应于该标识符的内部标识；以及

输出连接，将内部标识及以第二代码加密的数据输出到包括在第二管理员下操作的第二数据库的第二装置。

8．如权利要求7的设备，其中该处理器验证发布信息的用户对所请求的信息具有适当的访问级。

9．如权利要求8的设备，其中该处理器只在验证了源具有适当的访问级之后才传输访问请求给第二装置。

10．如权利要求7的设备，还包括：

存储日志的存储器，该日志包含传输给第二装置的内部标识码的记录。

11．如权利要求7的设备，其中该装置用秘密密钥译码第一代码。

12．一种管理敏感数据的系统，包括：

源终端接收数据访问请求，并输出数据分组，该数据分组包含编码在第一代码中的标识符信息的第一子部分及编码在第二代码中的请求数据的第二子部分；

标识符数据库接收数据分组并译码标识符信息，标识符子网根据标识符信息检索内部标识符，并将内部标识符与编码在第二代码中的请求数据关联；以及

数据请求数据库接收内部标识符与编码在第二代码中的请求数据，数据请求数据库译码请求数据并返回应答给源终端。

13．如权利要求12的系统，其中第一代码使用标识符数据库的公开密钥而第二代码使用数据请求数据库的公开密钥。

14．如权利要求12的系统，其中该标识符数据库及数据请求数据库各为对应子网的一部分。

15．一种管理敏感数据的方法，包括：

从标识符数据库接收与编码的数据请求关联的内部标识符；

接收与内部标识符关联的编码的数据请求；

译码该编码的数据请求并执行该数据请求；以及

将输出应答传送给源终端。

Images