住地址或 与用户相关联的任何其它适当的地址。地址可利用街道名和街道号码、地理坐标或任何其 它适当的方式来表示。例如,对于用户jsmith45,地址字段306可包括"123MainSt,San Francisco,CA, 94111"。
[0052] 在本发明的各实施例中,包括经加密的数据记录的经加密的数据字段301-306可 诸如利用数据库加密密钥单独地或共同地进行加密。经加密的数据记录可与一个或多个可 搜索的字段索引307-311相关联,如以下所描述的。
[0053] 姓名索引307可包括包含用户的全名或依法登记的姓名的索引。因此,在本发明 的某些实施例中,与姓名索引307相关联的可搜索的字段值可类似于存储在姓名字段320 中的那些。然而,在本发明的某些实施例中,姓名索引307可被确定为敏感的,并因此其可 被散列以使字段值模糊(obfuscate)。例如,对于具有姓名"JohnSmith"的用户jsmith45, 相应的可搜索的字段索引值可以是"ef61a579c907bbed674c0"(利用姓名"JohnSmith"的 SHA-2散列所生成)。因此,包括"JohnSmith"的SHA-2散列的搜索参数可被用于从姓名 索引307检索用户jsmith45的经加密的数据记录。
[0054] 出生的日和月索引308可包括包含用户的出生的日和月的索引。由于用户的出生 的日和月通常不被视为敏感数据,因而其可以明文被存储在索引308中。例如,对于其出生 日期为"12/3/1945"的用户jsmith45,字符串"12/3"可被存储在用户的出生的日和月索引 308中。因此,包括出生的日和月" 12/3"的搜索参数可被用于从索引308检索用户jsmith45 的经加密的数据记录。
[0055]PAN(最后4位)索引309可包括包含用户的主账号(PAN)的最后四位数字 的索引。由于PAN的最后四位数字通常不被视为敏感数据(因为其可被印刷在收据上 或被显示在网页上),因而其可同样以明文被存储在索引309中。例如,对于其PAN为 "4567-8901-2345-6789"的用户jsmith45,索引309的相应的可搜索的字段索引值可以是 "6789"。因此,包括PAN的最后4位数字"6789"的搜索参数可被用于从索引309检索用户jsmith45的经加密的数据记录。
[0056]SSN(最后4位)索引310可包括包含用户的社会保险号(SSN)的最后四位数字的 索引。由于SSN的最后四位数字通常被视为高度敏感数据(因为其可被用于冒充一个人), 因而其可在索引310中被存储为基于散列的消息认证码(HMC)。因此,可搜索的字段密钥 可针对索引310而生成并且被用于生成HMAC索引值。例如,对于其SSN为"001-23-4567" 的用户jsmith45,索引309的相应的可搜索的字段索引值可以是"bee0b8cfdac4a"。因此, 包括利用可搜索的字段密钥所生成的"4567"的HMAC的搜索参数可被用于从索引310检索 用户jsmith45的经加密的数据记录。
[0057] 邮政编码索引311可包括包含与用户相关联的邮政编码的索引。由于用户的邮政 编码通常不被视为敏感数据,因而其可以明文被存储在索引311中。例如,对于其地址为 "123MainSt,SanFrancisco,CA, 94111"的用户jsmith45,字符串"94111"可被存储在用 户的邮政编码索引311中。因此,包括邮政编码"94111"的搜索参数可被用于从索引311 检索用户jsmith45的经加密的数据记录。 II.示例性可搜索的经加密的数据库生成方法
[0058] 图4示出了数据加密计算机200生成包括经加密的数据记录和可搜索的字段索引 的经加密可搜索数据库的方法。
[0059] 在步骤401处,数据加密计算机200接收多个敏感数据记录。敏感数据记录可从 任何适当的来源接收。例如,在某些实施例中,敏感数据记录可从个人信息数据库220或从 可信的数据库中检索。
[0060] 表1示出了三个敏感数据记录的示例性表示。如所示,敏感数据记录可包括多个 敏感数据字段,诸如用户的ID、姓名、出生日期、主账号(PAN)和社会保险号(SSN)。
【主权项】
1. 一种数据加密计算机,包括: 处理器;以及 非瞬态计算机可读存储介质,包括可由所述处理器执行以用于实现一种方法的代码, 所述方法包括: 接收包括不同用户的个人信息的多个敏感数据记录; 标识所述敏感数据记录的一个或多个可搜索的字段,其中,每一个可搜索的字段与用 户的个人信息的子集相关联; 生成所述一个或多个可搜索的字段中的每一个的可搜索的字段索引; 利用数据库加密密钥来加密所述敏感数据记录。
2. 如权利要求1所述的数据加密计算机,其特征在于,所述方法进一步包括: 通过所述处理器将经加密的数据记录和所生成的索引发送至可搜索的经加密的数据 库。
3. 如权利要求1所述的数据加密计算机,其特征在于,每一个可搜索的字段索引的格 式依赖于所述可搜索的字段的敏感性。
4. 如权利要求3所述的数据加密计算机,其特征在于,生成一个或多个索引包括: 当可搜索的字段是高度敏感的时候,将所述可搜索的字段的格式确定为基于散列的消 息认证码(HMAC);以及 利用可搜索的字段密钥来生成所述可搜索的字段的HMAC。
5. 如权利要求4所述的数据加密计算机,其特征在于,生成一个或多个索引进一步包 括: 将所述可搜索的字段密钥发送至被授权利用所述可搜索的字段进行搜索的一个或多 个客户。
6. 如权利要求1所述的数据加密计算机,其特征在于,所述方法进一步包括: 将所述数据库加密密钥传送至被授权解密经加密的数据记录的一个或多个客户。
7. -种计算机实现的方法,包括: 通过处理器接收用户的个人信息; 通过所述处理器利用所述个人信息生成一个或多个索引值,每一个索引值与可搜索的 字段索引相关联; 通过所述处理器发送所述一个或多个索引值; 通过所述处理器接收匹配所述索引值的一个或多个经加密的数据记录;以及 通过所述处理器利用数据库解密密钥来解密所述经加密的数据记录。
8. 如权利要求7所述的计算机实现的方法,其特征在于,进一步包括: 从数据加密计算机接收所述数据库解密密钥。
9. 如权利要求7所述的计算机实现的方法,其特征在于,每一个可搜索的字段索引的 格式是利用相应的可搜索的字段的敏感性来确定的。
10. 如权利要求7所述的计算机实现的方法,其特征在于,所述索引值中的至少一个是 基于散列的消息认证码。
11. 一种计算机实现的方法,包括: 通过处理器接收可搜索的字段索引的一个或多个索引值,其中所述索引值是利用用户 的个人信息生成的; 通过所述处理器利用所述索引值来检索一个或多个经加密的数据记录;以及 通过所述处理器发送所述一个或多个经加密的数据记录。
12. 如权利要求11所述的计算机实现的方法,其特征在于,每一个可搜索的字段索引 的格式是利用与所述可搜索的字段索引相关联的可搜索的字段的敏感性来确定的。
13. 如权利要求11所述的计算机实现的方法,其特征在于,所述经加密的数据记录是 利用数据加密密钥来加密的,经加密的数据记录是可利用与所述数据库加密密钥相关联的 数据库解密密钥来解密的。
14. 如权利要求11所述的计算机实现的方法,其特征在于,所述索引值中的至少一个 是基于散列的消息认证码。
15. 如权利要求11所述的计算机实现的方法,其特征在于,所述索引值是从服务中心 计算机接收的,其中,所述索引值是利用由用户提供的标识信息而生成的。
16. 如权利要求15所述的计算机实现的方法,其特征在于,所述方法进一步包括: 当多个经加密的数据记录匹配所述索引值时,提示所述服务中心计算机发送附加标识 信息。
17. -种包括配置成执行如权利要求11所述的方法的服务器计算机以及与所述服务 器计算机通信的客户端计算机的系统,所述客户端计算机配置成: 发送所述一个或多个索引值; 接收所述一个或多个经加密的数据记录;以及 解密所述一个或多个经加密的数据记录。
【专利摘要】广泛描述的本发明的各实施例介绍了用于使得经加密的数据的搜索成为可能的系统和方法。本发明的一个实施例公开了用于生成可搜索的经加密的数据库的方法。该方法包括:接收包括不同用户的个人信息的多个敏感数据记录;标识敏感数据记录的一个或多个可搜索的字段,其中每一个可搜索的字段与用户的个人信息的子集相关联;生成所述一个或多个可搜索的字段中的每一个的可搜索的字段索引;以及利用数据库加密密钥加密敏感数据记录。
【IPC分类】G06F17-30, G06F12-14
【公开号】CN104704493
【申请号】CN201380053158
【发明人】S·艾斯, S·纳加桑达拉姆
【申请人】维萨国际服务协会
【公开日】2015年6月10日
【申请日】2013年8月13日
【公告号】EP2885732A1, US20140052999, WO2014028524A1