可搜索的经加密的数据的制作方法
【专利说明】可搜索的经加密的数据 相关申请的交叉引用
[0001] 本申请是2012年8月15日提交的美国临时申请No.61/683,659(代理案号: 79900-847131 (035100USP1))的非临时申请且要求其优先权,其全部内容出于所有目的通 过引用整体结合于此。
【背景技术】
[0002] 随着因特网日趋普及,将敏感的个人信息存储在不受信任的服务器计算机上的需 要正在增长。例如,为了给用户提供快速响应时间,很多组织正卸载数据存储并处理至在地 理上靠近用户的第三方数据中心。此外,出于成本和可扩展性原因,作为服务和其它"云"月艮 务的存储在各组织中获得普及。典型地,这些服务由第三方组织利用不确定的安全标准进 行操作。因此,确保静态数据的安全性继续成为必要。
[0003] 为了解决此问题,一些系统可将经加密的数据上传到不受信任的服务器计算机。 尽管数据加密是用于保护敏感的个人信息的众所周知的技术,然而加密通常阻止搜索。因 此,为了用户向经加密的数据库搜索期望的行,用户必须首先下载并解密整个数据库。这需 要过大的带宽和处理量,尤其对于大的数据库。
[0004] 本发明的各实施例解决这些及其他问题。
【发明内容】
[0005] 广泛描述的本发明的各实施例介绍了用于使得经加密的数据的搜索成为可能的 系统和方法。
[0006] 本发明的一个实施例公开了数据加密计算机。数据加密计算机包括处理器和非瞬 态计算机可读存储介质,所述非瞬态计算机可读存储介质包括由处理器执行以用于实现一 种方法的代码,所述方法包括:接收包括不同用户的个人信息的多个敏感数据记录;标识 敏感数据记录的一个或多个可搜索的字段,其中每一可搜索的字段与用户的个人信息的子 集相关联;生成所述一个或多个可搜索的字段中的每一个的可搜索的字段索引;以及利用 数据库加密密钥加密敏感数据记录。
[0007] 本发明的一个实施例公开了用于搜索经加密的数据库的计算机实现的方法。该方 法包括:接收用户的个人信息;利用个人信息生成一个或多个索引值,每一索引值与可搜 索的字段索引相关联;发送所述一个或多个索引值;接收匹配所述索引值的一个或多个经 加密的数据记录;以及利用数据库解密密钥解密所述经加密的数据记录。
[0008] 本发明的一个实施例公开了用于搜索经加密的数据库的计算机实现的方法。该方 法包括:接收可搜索的字段索引的一个或多个索引值,其中所述索引值是利用用户的个人 信息生成的;利用所述索引值检索一个或多个经加密的数据记录;以及发送所述一个或多 个经加密的数据记录。
[0009] 关于本发明的各实施例的进一步细节可在详细描述和附图中发现。 附图简述
[0010] 图1示出了使用可搜索的经加密的数据库的系统。
[0011] 图2示出了数据加密计算机的一个潜在实施例。
[0012] 图3示出了可搜索的经加密的数据库的示例性实施例的更详细的图示。
[0013] 图4示出了数据加密计算机生成包括经加密的数据记录和可搜索的字段索引的 经加密的可搜索的数据库的方法。
[0014] 图5示出了生成用于可搜索的字段的可搜索的字段索引的方法。
[0015] 图6示出了用于搜索和解密经加密的数据记录的方法。
[0016]图7示出了根据本发明的实施例的使用可搜索的经加密的数据库的示例性系统。
[0017]图8描述了服务中心计算机从可搜索的经加密的数据库中检索用户的账户信息 的方法。
[0018] 图9示出了卡片的形式的支付设备的示例。
[0019]图10是可被用于实现针对本发明的各实施例所描述的实体或部件中的任何一个 的计算机系统的高级别框图。 详细描述
[0020] 在讨论本发明的各实施例之前,一些术语的描述可以有助于理解本发明的各实施 例。
[0021] 术语"服务器计算机"可包括功能强大的计算机或计算机群。例如,服务器计算机 可以是大型机,小型计算机群,或起单元作用的服务器组。在一个示例中,服务器计算机可 以是耦合到Web服务器的数据库服务器。服务器计算机可被耦合到数据库,并且可包括用 于为来自一个或多个客户端计算机的请求服务的任何硬件、软件、其他逻辑、或者前述项的 组合。服务器计算机可包括一个或多个计算装置,并且可使用用于为来自一个或多个客户 端计算机的请求服务的各种计算结构、布局,以及编译中的任何一种。
[0022] 术语"敏感数据记录"可包括包含一个或多个"敏感数据字段"(诸如个人信息、财 务信息、受保护信息、对于多个用户的私有或敏感数据)的任何数据记录。例如,敏感数据 记录可包括用户的全名、信用卡号码、健康档案、驾照号码和密码。
[0023] 术语"可搜索的字段"可包括可被用于搜索或检索敏感数据记录的任何字段。在 某些情况下,可搜索的字段可包括敏感数据记录中的字段或敏感数据记录中的字段的一部 分,诸如用户的个人信息的子集。可搜索的字段的示例可包括用户的首字母和姓、用户的信 用卡号码的最后四位数字或用户的邮政编码。
[0024] 术语"可搜索的字段值"可包括敏感数据记录的可搜索的字段的值。例如,对于包 括用户的姓名"JohnSmith"和用户的社会保险号"001-23-4567"的敏感数据记录,可搜索 的字段可以是用户的社会保险号的最后四位数字。因此,对于该用户的可搜索的字段值将 是 "4567"。
[0025] "可搜索的字段的敏感性"可包括对于字段的可搜索的字段值应当被保护到的程 度的指示。例如,用户的最后四位数字的可搜索的字段可被视为"非敏感的",因为该信息通 常被视为公开地可用的且非个人可标识的。然而,用户的名和姓的可搜索的字段可被视为 "敏感的",因为其可指示用户的身份,如果知道的话。进一步,用户的完整社会保险号的可 搜索的字段可被视为"高度敏感的",因为通常期望社会保险号被保密。
[0026] 术语"可搜索的字段索引"可包括索引、数据库列、映射或用于将可搜索的字段值 与数据记录相关联的其它数据结构。可搜索的字段索引可包括一个或多个"可搜索的字段 索引值",其可包括任何经转换的或未经转换的可搜索的字段值。例如,对于用户的姓名的 可搜索的字段,可搜索的字段值可以是"JohnSmith",并且用户的可搜索的字段索引值可 以是SHA-2格式中的散列的姓名(例如,"5078093fdf75a673")。可搜索的字段索引可将 每一可搜索的字段索引值映射到相关联的数据记录。因此,用户的姓名的散列随后可被用 于检索该用户的数据记录。
[0027] 在本发明的某些实施例中,多个可搜索的字段索引可与数据记录相关联。例如,在 某些实施例中,此一个或多个可搜索的字段索引可被存储在数据库表的相同行中作为数据 记录。在这样的实施例中,可执行SQL查询或其它搜索以检索具有可搜索的字段索引的特 定可搜索的字段索引值的行。
[0028] 术语"可搜索的经加密的数据库"可包括包含经加密的数据记录和一个或多个可 搜索的字段索引的任何数据库、表或其它数据集合。"经加密的数据记录"可包括已被加密 的敏感数据记录。经加密的数据记录可包括一个或多个经加密的数据字段。在某些实施例 中,所有敏感数据记录可利用"数据库加密密钥"进行加密,该数据库加密密钥可包括任何 加密密钥或其它秘密数据。在其它实施例中,敏感数据记录可单独地或成组地进行加密。可 搜索的经加密的数据库可以是可操作的以通过匹配与数据记录相关联的可搜索的字段索 引值来检索一个或多个经加密的数据记录。
[0029] 术语"搜索参数"可包括用于确定经加密的数据记录以从可搜索的经加密的数据 库检索的一个或多个可搜索的字段索引值或其它参数的集合。例如,用户"JohnSmith"的 记录可通过提供对应于他的姓名的第一可搜索的字段索引值"5078093fdf75a673"以及对 应于他的信用卡号码的最后4位数字的第二可搜索的字段索引值"4567"来进行检索。所 提供的索引值可对照姓名和信用卡号码的可搜索的字段索引进行匹配以确定与用户相关 联的经加密的数据记录。
[0030] 本发明的各实施例提供很多技术优势。例如,本发明的各实施例使得由服务器所 存储的经加密的数据的搜索成为可能而不需要该服务器解密该数据。经常需要将敏感数据 存储在不受信任的服务器上。例如,各组织可将数据上传至更靠近他们的用户的第三方缓 存服务器,或出于备份或可扩展性原因,可将数据存储在云服务器中。在某些情况下,这些 服务器可能不由该组织进行操作,并且可能易受安全性破解的攻击。在某些实施例中,这些 问题可通过利用数据库加密密钥加密敏感数据记录并在数据加密计算机处生成可搜索的 字段索引,随后将经加密的数据记录和可搜索的字段索引发送至第三方服务来解决。由于 数据库加密密钥不与第三方服务共享,因而敏感数据的内容被模糊化。然而,该数据仍可利 用可搜索的字段索引进行搜索。
[0031 ] 本发明的各实施例提供使得对经加密数据的可搜索访问成为可能的进一步的技 术优势。在本发明的各实施例中,通过给客户提供数据库解密密钥,多个客户或客户端可被 给予对可搜索的经加密的数据库的访问。随后,可搜