专利名称:用户中心私人数据管理的方法和设备的制作方法
技术领域:
本发明涉及数据管理,具体地讲,涉及用户中心私人数据管理。
背景技术:
在社交网络中保持结构"洞"(hole)具有许多优点,其中,在社交网络 中保持结构"洞,,包括控制对资源/信息的访问以及保持个人隐私。因为结构 洞将个人的社交网络分割为分离的网络簇,所以个人能够将他/她自己的社会 适当面分别描绘到各个簇中,而不感觉到被结合的社会规范约束。为了继续 保持单独的社会角色,个人也必须明确地保持发展的结构洞。尽管可通过物理环境与具体簇的联合将结构洞简单地保持在物理世界 中,但是这并不直接转化到数字世界。在数字世界,切换"环境"是相对简 单的。人们可以容易地参加两个不同聊天室的与来自截然不同的社交圈的人 的会话。尽管多个窗口给人多个"环境,,的印象,但是人们可容易地在多个 "环境"之间迅速切换导致了许多不期望事件。例如,人们错误地将电子邮 件或即时消息发送给错误的人的情况并不鲜见。数字世界的一种趋势是在线提供越来越多的服务。然而,这些服务中的 每一个需要专用服务的用户识别和认证。例如,为了访问银行A的在线服务, 用户必须具体针对4艮行A创建唯一的ID和密码,如果用户拥有银行B的帐 户并想要在线访问银行B,则用户必须针对银行B创建单独的ID和密码。为了克服在数字世界中保持在线私人数据的多个帐户/不同面的不便,已 提出了几种方法。 一种方法是同盟方法,如自由联盟。在同盟方法中,在服 务供应商之间建立协定,由此跨域识别不同服务供应商的用户帐户。这产生 了单个虛拟标识符域。当用户得到一个服务供应商的认证时,用户被认为得 到所有服务供应商的识别和认证。尽管同盟带给用户存在单个标识符域的假个潜在问题是,即使用户不积极地使用多个帐户,用户仍然保留所述多个帐 户。另一个问题是,这种方法使可拥有超过用户想要服务供应商拥有的关于用户的信息的服务供应商获益,并且这些服务供应商可能违反如上所讨论的 用户分隔社交网络的愿望而使用这些信息。另 一种方法使用集中控制的用户身份。这种方法提供单个标识符和为所 有服务供应商所使用的证书供应商。用户可使用单个帐户来访问所有服务供 应商。然而,这种方法的一个问题是,存在帐户服务持有人(即,密码服务) 可成为安全攻击的焦点的单点失败,因此,标识符/证书服务可能出故障。这 导致依赖帐户信息的其他服务的不可用。另一个问题是,如果这个标识符/证 书服务供应商的安全被攻破,则所有用户信息被泄露给作案者。此外,从商 业的角度来看,服务供应商依赖该帐户持有人,这导致服务锁定和垄断。另 一种方法认识到在客户端管理多个帐户的需要,并提供设施以将帐户 信息存储在本地设备上。这种方法减轻多个帐户维护的负担。然而,由于这 种方法的这些应用被设计为在单个装置(例如,台式PC)上运行,所以不能 在多个设备之间共享账户。因此,用户必须在他们使用的每个装置上复制帐户。此外,这种方法是应用专用。例如,Mozilla密码管理器只能用于Mozilla 浏览器,而不能用于Internet Explorer或其他浏览器。在OS X钥匙串 (keychain)的情况下,用户是钥匙串和其他应用之间的通信链接。用户必须 手动获取帐户身份和密码,然后将信息剪切并粘贴到其他应用。认识到用户中心私人数据管理的需要,第三方公司开始在线提供帐户和 私人数据管理。他们允许用户将帐户存储在他们的网站上。可以以两种方式 检索账户。 一种方式是自动检索,其中,公司在用户的浏览器中提供小插件。 安装之后,插件监视浏览的URL。当URL与存储在身份管理数据库中的内 容匹配时,自动为用户将用户名和密码填入浏览器。第二种方式是手动检索, 其中,如果浏览器插件未识别出URL,则用户可通过查询数据库请求用户名 和密码。然而,这种方法存在几个缺点。第一个明显的缺点是,即使给出私 隐策略声明,也难以说服用户他们的私人信息不会被滥用。第二个缺点是, 使用浏览器专用插件以在不同的硬件和软件平台上支持各种应用(如,浏览 器),插件的数量和相关开发成本将剧增。发明内容本发明的一个实施例提供一种用户中心私人数据管理的方法和设备。根 据本发明的这种数据管理提供管理功能,所述管理功能方便用户私人数据(如,登录信息、网站偏好、信用卡信息和家庭网络环境中设置的策略)的 安全管理和共享。这减轻了由用户手动管理多个身份和私人数据的负担,并 为不同的在线/社交网络保留身份隐私,这是用户所期望的。由于消费性电子产品可能不具有本地存储能力,所以本发明并不要求每 个装置将用户信息存储在本地。
图1示出根据本发明实施例的在家庭网络中实现用户中心私人数据管理 方法的数据管理系统的示例性实现的功能框图。程图。图3示出根据本发明另一实施例的网络中的另一数据管理的示例性实现 的功能框图。
具体实施方式
根据本发明的数据管理方法和系统允许用户中心安全管理和用户信息 (诸如电子商务数据(包括登录详细信息、信用卡信息等)和家庭网络环境 中用户设置的策略和偏好)的共享。使用一种对用户数据加密和解密的技术, 并将加密版本的数据物理地存储在家庭中(而不是在线服务/实体)的网关装 置上。以用户的最佳利益在用户端管理用户的私人信息,从而用户对于用户 信息流动的内容以及用户信息流动的地方有绝对的控制权。本发明的一个实施例提供一种用户中心私人数据管理的方法和设备。根 据本发明的这种数据管理提供管理功能,所述管理功能方便用户私人数据 (如,登录信息、网站偏好、信用卡信息和家庭网络环境中设置的策略)的 安全管理和共享。这减轻了由用户手动管理多个身份和私人数据的负担,并 为不同的在线/社交网络保留身份隐私,这是用户所期望的。根据本发明的数据管理方法和系统允许用户中心安全管理和用户信息 (诸如电子商务数据(包括登录详细信息、信用卡信息等)和家庭网络环境 中用户设置的策略和偏好)的共享。使用一种对用户数据加密和解密的技术, 并将加密版本的数据物理地存储在家庭中(而不是在线服务/实体)的网关装 置上。以用户的最佳利益在用户端管理用户的私人信息,从而用户对于用户信息流动的内容以及用户信息流动的地方有绝对的控制权。通常,家庭中可能有一个以上的台式PC,并且存在家庭中的更多装置与 互联网连接的大趋势。例如,用户可使用TV进行网上购物、检查电子邮件 等。能够访问互联网的装置的倍增对用户而言出现了问题。每当用户想要访 问在线服务时,用户就需要输入帐户信息,如用户名/密码。为了进行网上购物,要求用户拥有信用卡信息。这在多个台式PC上是繁瑣的,因为TV不具 备方便的输入方法(例如,PC的键盘),所以这在TV上几乎是无法忍受的。享用户拥有并早先输入的登录信息和信用卡信息的机制的缺乏必然导致用户 不愉快的网上购物经历。一种解决该问题的方式是将私人数据保存在可移除介质(如SM卡、存 储棒)中,这样,每当用户使用不同的装置时,用户将该介质插入到装置中。 然而,这要求用户一直携带介质,这与直接携带信用卡无异。比信用卡更糟 的是,如果丢失介质,则没有用户可以报告的部门。另一种方式是将信息复 制到家庭中的每个装置。然而,因为当需要更新信息时,用户必须更新每个 装置,所以更新信息可能有问题。根据本发明实施例,用户信息(诸如电子商务数据(包括登录详细信息、 信用卡信息等)和家庭网络环境中用户设置的策略和偏好)存储在总是可访 问的中心位置中。与工作站和服务器被良好地管理以及服务器总是在线的企 业环境不同,家庭环境中的除了家庭网关之外的装置可随时开启和关闭。家 庭网关是家庭中用于互联网连接需要一直在线的唯一装置。然而,因为家庭网关是在家庭受到安全攻击的情况下首先受到攻击,所 以家庭网关可能不安全。如果网关被入侵,则网关上的信息可能被泄露。为 了克服潜在的安全攻击,在将私人数据存储在网关中时需要对其进行加密, 在装置使用期间对其进行解密。 一种保护数据的方式是让网关进行这样的加 密和解密。然而,网关上的加密/解密密钥易受到攻击。另 一种方式是让装置对信息进行加密,并将加密的数据存储在家庭网关 中,必然使网关成为总是可访问的存储器。根据本发明实施例,在装置首次被安装在家庭中时,ID(即,保密的长 序列字符)被分配给该装置。然后,提示用户输入个人识别号码(PIN)。使 用分配的ID和用户PIN的结合产生密钥。密钥被存储在装置中,并被用于对用户将来可通过该装置输入的任何用户私人数据进行加密。然后,加密的数 据被传送到家庭中的网关装置,此后,网关管理该数据,并作为家庭的用户 私人数据的中心数据库。对家庭中安装的每个装置重复以下处理将ID分配给装置、提示用户输 入PIN以及基于ID和PIN的结合产生密钥。因此,家庭中的每个装置一直 拥有密钥,并且能够对从网关获得的数据进行加密以及对加密的数据进行解 密。当用户希望使用特定的装置获得用户的私人数据时,相应的装置向网关 请求有关的数据,并且使用装置拥有的密钥对获得的加密的数据进行解密。 因为用于对加密的用户数据进行解密的密钥未存储在网关上,所以即使网关 被入侵或未经适当授权被访问,入侵者仍不能解密其上存储的用户数据。图1示出根据本发明实施例的在本地网络90 (例如,家庭网络)中实现 用户中心私人数据管理方法的数据管理系统10的示例性实现的功能框图。在 这个例子中,系统10包括所示彼此相连的装置100、装置108、网关114和 装置120。在家庭网络90中,用户安装装置IOO,并将ID (保密的长序列字符,例 如,64字节)分配给装置100。提示用户输入用户的PIN,装置100基于ID 和用户的PIN产生加密密钥(例如,对称密钥)。装置100将所产生的对称密 钥存储在装置100中的安全模块104 (例如,插件软件模块)中。基于诸如 DES (数据加密标准,联邦信息处理标准公开46-2, 1993,包含于此以供参 考)的加密标准随机产生对称密钥。安全模块104包括四个子模块密钥存 储器,安全地包含对称密钥;密钥产生器,产生对称密钥;解密器,使用对 称密钥对加密的数据进行解密;以及加密器,使用对称密钥对数据进行加密。然后,用户安装另一装置108,并分配ID (采用与分配ID给装置100 相同的处理)。^提示用户输入用户的PIN,装置108基于ID和用户的PIN产 生对称密钥,装置108将所产生的对称密钥存储在其安全模块112 (例如, 插件程序软件模块)中。安全模块112包含四个子模块密钥存储器,安全 地包含对称密钥;密钥产生器,产生对称密钥;解密器,使用对称密钥对加 密的数据进行解密;以及加密器,使用对称密钥对数据进行加密。安装家庭网关114用于互联网传输。装置100包括应用102(例如,Web 浏览器),所述应用102能够连接到互联网101,并允许用户进行在线活动。 为了调用安全模块104,该装置必须通过PIN号码对用户进行认证。例如,如果装置100是TV,则用户可以使用TV遥控器并输入几个数字(即,6个 数字)作为PIN号码。如上所述,PIN号码是用户选择的保密号码,并被用 于识别用户以及对用户进行认证。装置108也能够使用能够连接到互联网的应用110 (例如,Web浏览器) 和安全模块112来进行互联网活动。浏览器110和模块112为装置100提供 与浏览器102和模块104提供的功能相同的功能。网关114包括用于存储数 据(包括所述存储用户的个人的私人数据)的存储装置116。图2提供根据本发明实施例的由系统10实现的数据管理的步骤的实施例 的示例性流程图。在步骤200,用户使用所述安全模块104在装置100的安全模块104中 设置用户的个人信息,如信用卡、地址、电话、电子邮件帐户等。在步骤202,安全模块104向用户询问用户的个人PIN号码,并产生密 钥。只有当PIN有效时才允许用户继续。在步骤204,安全模块104使用内部存储的密钥对数据进行加密,并将 其发送到网关114。在步骤206,网关114将数据存储在存储器116中。数据是通过每个用 户ID被组织的,/人而不同的用户拥有自己的入口。在步骤208,稍后,用户想要通过装置108访问互联网101。用户利用浏 览器110浏览Web,找到他想要购买的东西。然后,他通过浏览器110开始 购物,并最终到达需要用户的信用卡信息的页面。在步骤208,安全模块112向用户询问用户的个人PIN号码。只有当PIN 有效时才允许用户继续。在步骤210,用户或应用调用安全才莫块112以从网关114获耳又相关数据 (加密的私人数据)。在步骤212,模块112从以上提供的装置ID和用户密码恢复密钥。在步骤216,安全模块112使用内部存储的密钥对加密的数据进行解密。在步骤218,在解密之后,安全模块112在浏览器110显示的页面以及 个人信息的名称字段中查找输入字段名称。如果存在明确的匹配,则安全模 块112自动将数据复制到浏览器110的输入表单。在步骤220,浏览器110中可能存在仍然不明确的字段。例如, 一个人 可能拥有多张信用卡,安全模块112不知道用户想用哪张信用卡购买。用户可以从安全模块112手动选择适当的数据,并将它们复制到浏览器110。在步骤222, —旦浏览器110中的表单被填写,用户就继续他的在线活动。在步骤224,此后,如果用户在进行在线活动的同时正好在浏览器中输 入一些新的数据,则模块112重复步骤202-206。另一种分配秘密ID的备选方法使用用于秘密ID交换的公钥基础结构 (PKI)。这要求当新装置进入网络100并需要设置时另一装置120 (图1 ) 必须在线。假设每个装置包含装置公钥和装置私钥。图3示出根据本发明另 一实施例的家庭网络30中的另 一数据管理的示例 性实现的功能框图。在这个例子中,系统包括所示彼此相连的装置400、装 置420和网关414。 ID共享的过程如下用户开启现有的装置400。装置400已经包含家庭网络30的秘密ID。用户开启新装置420,新装置420在家用网络30中搜索其他装置(除了 家庭网关414之外),并找到装置400。装置420使用装置420的序列号向装置400询问秘密ID。装置400使用 装置420的序列号从证书颁发机构(CA) 450获得用于装置420的证书。该 证书包含装置420的公钥。装置400使用装置420的公钥对秘密ID进行加密,并使用它自己的私钥 对其进行签名。然后,装置400将签名的消息(即,消息包含装置400的数字签名,如 装置400的私钥)发送到装置420,其中,消息包括加密的秘密ID和装置400 的序列号。装置420接收签名的消息和装置400的序列号,并使用装置420的序列 号从CA450获得i正书。然后,装置420使用获得的装置400的证书中的公钥来对签名的消息进 行验证。然后,装置420使用自己的私钥对秘密ID进行解密,并将它安全地存储 在自己的安全存储区域(例如,装置420中的模块112或另一模块)中。 这就完成了装置设置的步骤,装置420准备好数据共享。 根据本发明另一备选实施例,使用认证的Di伍e-Hellman密钥交换方法 来分配秘密ID (W. Diffie, M E Hellman, "Privacy and Authentication: AnIntroduction to Cryptography"(隐矛厶牙口iU正力口密'法介绍),Proc. of the IEEE, Vol. 67 No 3, pp 397-427, 1979年3月(2000年12月2日);W. Diffie, P. C. van Oorschot,和M. J. Wiener, "Authentication and authenticated key exchanges" (iU正和认i正的密钥交换),Designs, Codes and Cryptography ( i殳计、代码和 加密法),Vol.2 ( 1992), 107-125,包含于此以供参考)。在这种情况下,通过首先在现有装置和新装置之间产生临时对称密钥, 在新装置和现有装置之间交换秘密ID。然后,临时对称密钥用于交换秘密ID。 为了保护处于攻击过程中的人,在产生临时对称密钥之前必须用PKI对新装 置和现有装置进行认证。虽然现有装置必须涉及上述备选方法,但是因为通常在容易访问其他现 有装置的家庭网络中执行设置处理,所以该要求是合理的。因此,本发明釆用私人数据管理和共享的用户中心方法。对用户最有利 的是,在用户端管理用户的私人信息,从而用户对于用户信息流动的内容以 及用户信息流动的地方有绝对的控制权。在通信实体不能给予信任的假设的 数字世界中,这对传统方法是有利的。与同盟方法相比,本发明通过用户的命令保持数字/社交网络的分离,从 而服务供应商不能有意和/或无意地将一个帐户与其他帐户链接。此外,与集 中控制的方法不同,本发明允许服务供应商提供他们的认证和授权模型的自 由以及在无业务和技术锁定的情况下的实现。这也对用户有利,因为他们不 需要与特定的帐户管理供应商锁定。本发明将应用专用密码管理的方法扩大 到家庭网络中的多个装置。这对于新兴的家庭网络和联网装置尤其重要,其 中,联网装置中的每个装置可独立地访问在线资源和服务。此外,由于消费 性电子产品可能不具有本地存储能力,所以本发明并不要求每个装置将用户 信息存储在本地。虽然本发明受到许多不同形式的实施例的影响,但是这些形式表示在附 图中,并且这里在本发明的优选实施例中被详细描述,应该理解,本说明书 将被认为是本发明的原理的示例,并不意图将本发明广泛的方面限制于所示 的实施例。可以通过本领域技术人员公知的许多方式(如由处理器执行的程 序指令、逻辑电路、ASIC、固件等)实现根据本发明的上述示例性架构。因 此,本发明并不限于这里描述的示例性实施例。尽管已参照本发明的特定优选版本相当详细地描述了本发明,但是其他版本也是可以的。因此,权利要求的精神和范围不应只限于这里包含的优选 版本的描述。产业上的可利用性 序列表文本
权利要求
1、一种联网装置的用户数据管理的方法,包括以下步骤通过装置接收用户数据;使用密钥对用户数据加密;将加密的用户数据存储在多个装置可访问的指定的装置中;由此用户管理所述用户数据,从而用户能够控制用户数据的传播。
2、 如权利要求l所述的方法,其中,用户数据包括电子商务数据、策略 和偏好中的一个或多个。
3、 如权利要求l所述的方法,其中,指定的装置包括基本上总是可用的 装置。
4、 如权利要求3所述的方法,其中,指定的装置包括本地网络中的网关装置。
5、 如权利要求l所述的方法,还包括以下步骤当需要访问存储的加密的用户数据时,访问在中心装置中存储的加密的 用户数据,并使用所述密钥对加密的用户数据执行解密。
6、 如权利要求l所述的方法,其中,对用户数据进行加密的步骤还包括 以下步骤在用户装置中对用户数据执行加密。
7、 如权利要求6所述的方法,还包括以下步骤将加密的用户数据发送 到指定的装置以存储在所述指定的装置中,从而加密的用户数据可被用户装 置使用。
8、 一种用户数据管理的方法,包括以下步骤通过产生加密密钥并将所述密钥存储在用户装置中以用于对用户可通过 用户装置输入的任何用户数据进行加密,来在本地网络中安装用户装置; 将用户数据提供给用户装置;使用存储在用户装置中的所述密钥来对用户数据执行加密; 发送加密的数据以存储在多个装置可访问的指定的装置中。
9、 如权利要求8所述的方法,还包括以下步骤当需要访问存储的加密 的用户数据时,通过所述用户装置访问在指定的装置中存储的加密的用户数 据,并使用存储在用户.装置中的所述密钥对加密的用户数据执行解密。
10、 如权利要求8所述的方法,其中,用户数据包括电子商务数据、策略和偏好中的一个或多个。
11、如权利要求8所述的方法,其中,中心装置包括基本上总是可用的装置。
12、 如权利要求11所述的方法,其中,指定的装置包括本地网络中的网 关装置。
13、 如权利要求8所述的方法,其中,产生加密密钥的步骤还包括以下步骤将ID分配给用户装置; 从用户接收PIN;基于用户装置ID和用户PIN产生加密密钥。
14、 如权利要求13所述的方法,其中,分配ID的步骤还包括以下步骤 使用用于秘密ID交换的公钥基础结构(PKI ),其中,用户装置包括装置公钥 和装置私钥。
15、 如权利要求13所述的方法,其中,分配ID的步骤还包括以下步骤 使用认证的Diffie-Hellman密钥交换方法来分配ID。
16、 一种连接的装置的用户数据管理系统,包括安全模块,通过装置接收用户数据,并使用相应的加密密钥对用户数据 进行加密,其中,多个装置中的每一个包括相应的加密密钥;其中,安全模块将加密的用户数据存储在多个装置可访问的指定的装置 中,由此用户管理所述用户数据,从而用户能够控制用户数据的传播。
17、 如权利要求16所述的系统,还包括指定的装置中的数据库,用于 存储来自一个或多个用户装置的加密的用户数据。
18、 如权利要求16所述的系统,其中,指定的装置包括基本上总是可用 的装置。
19、 如权利要求18所述的系统,其中,中心装置包括本地网络中的网关装置。
20、 如权利要求16所述的系统,其中,当需要访问存储的加密的用户数 据时,安全模块还访问在中心装置中存储的加密的用户数据,并使用所述密 钥对加密的用户数据执行解密。
21、 如权利要求16所述的系统,其中,安全模块是所述用户装置的用于 接收用户数据的组件。
22、 如权利要求21所述的系统,其中,用户装置将加密的用户数"fe发送到指定的装置以存储在所述指定的装置中,从而加密的用户数据对用户装置 可用。
23、 如权利要求l所述的系统,还包括多个安全模块,每个安全才莫块与 所述多个用户装置中的相应的一个用户装置关联,其中,所述多个装置的每 一个装置包括相应的加密密钥。
全文摘要
一种数据管理方法和系统允许用户中心安全管理和用户信息(诸如电子商务数据(包括登录详细信息、信用卡信息等)和家庭网络环境中用户设置的策略和偏好)的共享。使用一种对用户数据加密和解密的技术,并将加密版本的数据物理地存储在家庭中(而不是在线服务/实体)的网关装置上。以用户的最佳利益在用户端管理用户的私人信息,从而用户对于用户信息流动的内容以及用户信息流动的地方有绝对的控制权。
文档编号G06F17/00GK101405759SQ200780010123
公开日2009年4月8日 申请日期2007年1月16日 优先权日2006年3月28日
发明者玉 宋, 艾伦·梅瑟, 阿努基萨·昆吉萨帕赞 申请人:三星电子株式会社