专利名称:元数据的存储的制作方法
技术领域:
本发明涉及一种对以计算机记录的形式存储在数据库中的加密信息进行解密的方法以及数据库。
背景技术:
如现有技术中公开号SE-C2-506853的瑞典专利描述的,需要加强对未经授权侵入如计算机数据库的项目的保护,用于在例如创建个人数据库时,保护个人信息的完整性。为了防止不受控制地注册个人信息,政府已经引入了对个人数据库的相关的限制。为此,需要在商业、军队、银行系统、保险系统、警察局以及其它的处理敏感个人信息和受保密限制的其它信息的机构和组织内防止侵入为此所用的数据库。
在公开号SE-C2-506853的专利中,所存储信息中的每个计算机记录与记录数据库连接,记录数据库在存储了打算要保护的信息的数据库之外的数据库中,在记录数据库中对受保护信息的处理规则进行了描述。加密密钥被认为是记录数据库中的属性,从而所存储信息由记录数据库中的一个条目来表示。
需要能够以更紧密和更容易管理的方式,例如,与信息一起,来存储用于加密和解密中的至少一种的信息和密钥,而不能通过数据库中的记录直接获得密钥。
发明内容
本发明涉及一种以记录的形式存储在数据库中的加密信息的解密。根据本发明的方案基于针对与所存储信息一起被存储的计算机记录的处理规则。
因此,本发明包括用“密钥标记(key token)”来标识密钥,随后通过在密钥词典中查找,来将其解译成有效密钥。根据本发明的所存储信息由受保护对象来表示,该受保护对象具有通过元数据与该密钥的授权链接,该元数据确定用户是否可以使用该密钥。
为了解决现有问题并实现本发明所期望的目的,规定了一种用于对以计算机记录的形式存储在数据库中的加密信息进行解密和加密中的至少一种的方法。元数据与计算机记录的信息内容一起被存储,其中元数据控制对计算机记录中的信息的处理,来进行解密,其中,该信息受访问规则限制,该访问规则由受保护对象来定义,其中受保护对象链接到元数据。
在根据本发明的方法的一个实施例中,元数据包括密钥标记,用于访问存储加密密钥的加密密钥词典中的密码算法和加密密钥。
第二实施例包括当执行数据处理时,使用密钥标记来解译密码算法和加密密钥。
另一实施例规定了对加密密钥的访问受到至少一个受保护对象的限制,该受保护对象链接到符号密钥以及计算机记录中被加密信息的用户。
在另一实施例中执行下列步骤用户启动对受保护信息的处理,因此激活元数据;以符号密钥作为标识,向加密密钥词典发送请求;加密密钥词典中的加密密钥链接到至少一个受保护对象;针对计算机记录的被加密内容的用户,检查对受保护对象的访问权限;如果该用户具有访问权限,则用加密算法和加密密钥替代元数据中的符号密钥;以及以元数据的内容作为控制参数,来执行加密处理。
一个实施例包括以下情况加密密钥词典是包含构成符号密钥的元数据的密钥符号(key symbol)的表/词典。
在另一个实施例中,非保护信息与加密信息一起被存储。另外,在另一实施例中,个人信息的姓名和地址未受到保护,而公民注册号根据本发明而被加密。
此外,本发明规定了具有以计算机记录的形式被存储的加密信息的数据库。元数据与计算机记录中的信息内容一起被存储,所述元数据通过由受保护对象定义的访问规则所限定的信息,来控制对计算机记录中的信息的处理,以进行解密,其中受保护对象与元数据链接。
根据本发明的数据库也允许根据通过附加的从属权利要求描述的以上方法的实施例进行信息存储。
为更好地理解本发明给出的实施例和示例,将参照附图描述本发明,其中唯一的附图为图1说明了根据本发明的一个实施例中,用户组以及个人如何获得对存储在数据库中的加密信息的访问。
具体实施例方式
如在此之前关于公开号SE-C2-506853的瑞典专利的描述,在SE-C2-506853和本发明之间存在下列不同点●在SE-C2-506853中,所存储信息中的每个记录链接到在描述处理规则的另一个数据库中的记录数据库。本发明基于处理规则与所存储信息一起存储。
●在SE-C2-506853中,密钥被看作记录数据库中的属性。根据本发明提出的方案,密钥由“密钥标记”来标识,随后通过在密钥词典中查找,将其解译成有效密钥。
●在SE-C2-506853中,所存储信息由记录数据库中的条目来表示。在根据本发明的方案中,所存储信息由受保护对象来表示,该受保护对象通过元数据授权链接到密钥。这确定个人是否被授权使用该密钥。
在本发明说明书中的唯一附图中,图1说明了在根据本发明的一个实施例中,关于存储在数据库10中的计算机记录20,用户组12以及个人14如何获得对存储在数据库中的加密信息的访问。在一个实施例中,数据库10包括至少一个受保护对象16,受保护对象实质上包括一组保密对象1和2;密钥查找词典18以及与某种形式的保密信息有关的计算机记录20。在第二实施例中,受保护对象16和密钥词典可以在数据库10之外。
根据本发明的计算机记录具有公知的重要性,包括例如,车辆登记、姓名、地址、公民注册号和其它的具有公知重要性的项目。该计算机记录包括元数据和被加密的原始值ABCDF...,参见图1。
至于受保护对象,其包含多个保密对象。受保护对象16构成密钥标记和用户之间的链接。数据库10中可以存在多个受保护对象16,例如,可以有用于人员管理系统的一个受保护对象和用于消费者列表的第二个受保护对象。应用程序区域确定用户12、14访问的受保护对象16。
对于以人员12和个人用户14的形式的用户,关于对计算机记录20的访问授权,保密对象存在于数据库10中的受保护对象16中。为了清楚地说明,作为示例,仅仅以保密对象1和2的形式存储在两个记录中。受保护对象16中的空盒子说明对受保护对象16中的保密对象的个数没有预定的限制。保密对象可以包括例如用于几个用户/人员12和个人14的保密对象。保密对象1和2主要包括关于它们的使用限制的信息,例如,保密对象可以仅仅在星期一至星期五白天的8:00到17:00之间被使用。
对于在此以ABCDF...表示的计算机记录20中的信息的注册和处理,由例如被允许进行针对计算机记录20中的信息的读/写/删除(R/W/D)和其它公知处理方法中的所有或其中一种的用户12、14,通过受保护对象16中的保密对象,来控制对计算机记录20中的信息的访问。术语“访问控制”在此用于表示对用户12、14批准授权以使用加密密钥/有效密钥来达到某个目的,例如,使用它来解密或加密计算机记录20中的信息,其中访问控制导致该密钥被批准或产生错误信息。
在此,在根据图1的示例中,在使用数据库10的人员12以及个人14之上的组织中,例如人员12的上级,执行访问控制,用于处理在算机记录20中的信息。对以保密对象1和2的形式的记录20中的信息,人员12以及个人14对R/W/D或其它公知数据处理方法的执行可以有不同的注册授权。
在一个实施例中,个人14,作为上级,具有不同于人员12的访问规则的其它访问规则,这些访问规则允许访问保密信息。当人员12的成员在成功的身份确认之后,通过受保护对象16寻求对保密信息的访问时,这个成员仍然不能自动地读取存储了与个人有关的保密信息的计算机记录20中的信息。相反,在计算机记录中,在人员12或个人14寻求对其进行访问以用于处理的实际保密信息ABCDF...之前的主要字段中,存储有元数据。当他或她获得对加密算法,如AES(高级加密标准)或其它公知的加密算法以及密钥的访问时,元数据被该用户使用。元数据控制处理,该处理包括1.描述受保护记录被存储的数据格式2.指示是否使用初始向量(IV)3.指示信息是否已经被压缩4.指示是否要对被加密的内容执行完整性验证。
受保护对象16用作加密密钥和用户12、14之间的链接,该加密密钥被包含在根据本发明的密钥词典18中的密钥标记100中。密钥标记100被包括在计算机记录20的元数据中,因此密钥标记具有信息,所述信息与从中获取加密密钥的数据库10的位置、或与之相连的存储单元有关。
在根据本发明的一个实施例中,通过方法和数据库10,以下列方式规定了对信息ABCDF...的访问。根据本发明的方法涉及为了确保存储在数据库10中的信息的加密而产生的那些操作。该方法基于与信息内容一起存储的元数据、加密参数和密钥标记,其中元数据控制对计算机记录20中的信息的处理。所存储信息的用户12、14受由链接到元数据的受保护对象16所定义的访问规则限制。
元数据是关于其它数据或其它信息的数据和信息中的至少一个。
该方法包括将元数据添加到要通过加密保护的每个计算机记录20,其中元数据控制对计算机记录20的受保护内容的处理。出于安全的原因,密钥可以不与加密值一起存储。在实际的处理中,该密钥替代地由用于解译为加密算法和加密密钥的符号密钥来表示。对密钥的访问受到一个或几个受保护对象16的限制,该受保护对象16与该符号密钥以及计算机记录20的受保护内容的用户12、14链接。
在一个实施例中,该处理依照下列步骤执行
1.由用户12、14开始处理受保护信息ABCDF...,因此激活元数据。
2.以符号密钥100作为标识,对密钥词典18进行查询。
3.密钥词典中的密钥(12Ae45GUYTb...)链接到一个或几个受保护对象16。针对计算机记录20的受保护内容的用户,检查对受保护对象16的访问权限。
4.如果已经准许了访问权限,则用加密算法和加密密钥替代元数据中的符号密钥。
5.以元数据的内容作为控制参数,执行加密处理。
在元数据中具有符号密钥100的计算机记录20的字段与密钥词典18中的密钥标记100连接,从而保密对象1和2借助于下列步骤,在密钥词典中找到密钥标记100。用户12、14借助于保密对象16的身份,请求访问信息20。计算机记录20被读取,从而包括在元数据中的密钥标记被获取。符号密钥与保密对象的身份一起被发送到密钥词典18。以两个步骤执行密钥词典中的处理1.检查用户是否有权使用保密对象来用于这个操作,并且检查密钥标记是否具有到保密对象的链接。
2.将密钥标记解译为加密算法和加密密钥。
现在,信息20的用户通过对加密算法和加密密钥的访问,可能对信息20进行解密。
在本发明中的装置可以由本领域技术人员所公知的软件或硬件或其组合组成。此外,对本领域技术人员来说,所附的权利要求书规定了保护范围。
权利要求
1.一种方法,用于对以计算机记录(20)的形式存储在数据库(10)中的加密信息进行解密和加密中的至少一种,其特征在于元数据以密钥标记的形式与信息内容一起被存储在计算机记录(20)中,其中所述元数据(100)通过由受保护对象(16)定义的访问规则所限定的信息,来控制对计算机记录(20)中的信息的处理,以进行解密和加密中的至少一种,其中受保护对象(16)链接到所述元数据。
2.根据权利要求1的方法,其特征在于所述元数据包括密钥标记(100),所述密钥标记(100)用于访问存储加密密钥的加密密钥词典(18)中的加密算法(AES)和加密密钥。
3.根据权利要求2的方法,其特征在于在执行该信息处理的情况下,使用密钥标记(100)来解译所述加密算法和加密密钥。
4.根据权利要求2或3的方法,其特征在于对加密密钥的访问受到至少一个受保护对象(16)的限制,该受保护对象(16)链接到密钥标记(100)和计算机记录(20)中的加密信息的用户(12)。
5.根据权利要求2-4中的任一个的方法,其特征在于下列步骤由用户开始对受保护信息的处理,由此激活元数据;以符号密钥作为标识,向加密密钥词典发送请求;在加密密钥词典中的加密密钥链接到至少一个受保护对象;针对计算机记录的加密内容的用户,检查对受保护对象的访问权限;如果用户具有访问权限,则用所述加密算法和加密密钥替代元数据中的符号密钥;以及以元数据的内容作为控制参数,执行加密处理。
6.根据权利要求2或5的方法,其特征在于加密密钥词典是包括构成所述符号密钥的元数据的密钥符号的表。
7.根据权利要求1-6中的任一个的方法,其特征在于非保护信息与加密信息一起被存储。
8.根据权利要求7的方法,其特征在于个人信息的姓名和地址不受保护,而公民注册号被加密。
9.一种数据库(10),具有以计算机记录(20)的形式存储的加密信息,其特征在于元数据与信息内容一起被存储在计算机记录(20)中,其中所述元数据通过由受保护对象(16)定义的访问规则所限定的信息,来控制对计算机记录(20)中的信息的处理,以进行解密,其中受保护对象(16)链接到所述元数据。
10.根据权利要求9的数据库,其特征在于所述元数据包括密钥标记,密钥标记用于访问存储加密密钥的加密密钥词典(18)中的加密算法和加密密钥。
11.根据权利要求10的数据库,其特征在于在执行该信息处理的情况下,使用加密密钥来解译所述加密算法和加密密钥。
12.根据权利要求10或11的数据库,其特征在于对加密密钥的访问受到至少一个受保护对象的限制,该受保护对象链接到符号密钥以及计算机记录中的加密信息的用户。
13.根据权利要求10-12中的任一个的数据库,其特征在于包括允许处理受保护信息的装置,该处理由用户发起,并激活元数据;以符号密钥作为标识向加密密钥词典发送请求的装置;加密密钥词典中的加密密钥链接到至少一个受保护对象;针对计算机记录的加密内容的用户,检查对受保护对象的访问权限的装置;替代装置,如果用户具有访问权限,则用所述加密算法和加密密钥替代元数据中的符号密钥;以及以元数据的内容作为控制参数来执行加密处理的装置。
14.根据权利要求10或13的数据库,其特征在于加密密钥词典是包括构成所述符号密钥的元数据的密钥符号的表。
15.根据权利要求9-13中的任一个的数据库,其特征在于非保护信息与加密信息一起被存储。
16.根据权利要求15的数据库,其特征在于个人信息的姓名和地址不受保护,而公民注册号被加密。
全文摘要
本发明涉及一种对以计算机记录(20)的形式存储在数据库(10)中的加密信息进行解密的方法。元数据与计算机记录的信息内容一起被存储,其中元数据通过由受保护对象(16)定义的访问规则限制的信息,控制对计算机记录(20)中的信息的处理,以进行解密,其中受保护对象(16)链接到元数据。
文档编号G06F21/62GK101057433SQ200580030086
公开日2007年10月17日 申请日期2005年7月8日 优先权日2004年7月9日
发明者肯特·斯德斯都摩 申请人:印菲尼赛克控股公司