技術領域

本發明的實施例一般地涉及在網絡中存儲用戶的個人數據，并且更具體地涉及一種用于在網絡中保持用戶的存儲的個人數據的隱私的裝置和方法。

背景技術

移動設備經常視為用于通信、商業和娛樂的重要個人設備。它們可以收集與它們的用戶有關的各種數據或者信息，比如位置、移動應用使用信息、通信統計、設備連通狀態、web服務訪問統計以及用戶個人活動等。同時，已經開發多種在線服務，這些服務嘗試收集移動用戶的個人數據以便提供所需服務，并且更具體地提供基于用戶數據挖掘的個人化移動服務。

例如，基于移動用戶位置的服務已經表現商業潛力。信譽服務可以基于廣泛收集的用戶反饋和軟件/應用使用統計來提供關于可下載軟件(例如，移動)應用的個人化推薦。這些和其它相似類型的服務一般應用集中服務中心以從用戶的移動電話收集用戶的個人數據，然后基于收集的數據提供服務。該服務中心可以部署于廣域網(比如因特網)之上并且可能易受各種內部和外部攻擊。

在實踐中，用戶可能猶豫將他們的個人數據共享給服務提供商的位于不安全網絡中的服務中心。隱私經常被聲稱為該猶豫的主要考慮。首先，服務中心可能遭受其中用戶的個人數據可能被未授權個人訪問的內部或者外部攻擊。其次，即使服務中心恰當運行，仍然可以根據存儲于服務中心數據庫中的可訪問數據記錄來推導一些個人數據。

發明內容

鑒于前述背景，本發明的示例實施例涉及一種用于在服務中心或者其它裝置處保持用戶數據的隱私以便克服數據庫讀取攻擊和用戶數據跟蹤攻擊的裝置和方法。本發明的示例實施例可以防止或減少服務中心學習或者跟蹤關于在服務中心的數據庫中維護的用戶數據記錄的信息。可以使用假名來藏匿和/或借助隨機初始化矢量來加密可以用來鏈接與相同用戶關聯的任何兩個用戶記錄的信息。根據本發明的示例實施例，可以向已授權用戶分配獨立秘密密鑰(用于假名生成和加密)從而滿足高級和動態的可追溯要求，這可以允許使用代理重新加密技術的高效密鑰管理和權限撤回。

本發明的示例實施例可以后向兼容于服務中心的現有通信協議和數據庫方案，并且可以不對物理基礎設施施加任何額外要求。另外，本發明的示例實施例可以用如下方式運用安全管理器，該方式與在線安全管理器相比可以減少成本，并且在線安全管理器還可能讓用戶感覺更繁瑣。

根據本發明的示例實施例的一個方面，提供一種包括處理器和存儲器的裝置，存儲器存儲可執行指令，可執行指令響應于由處理器執行來使裝置至少執行多個操作。操作包括在裝置(例如，服務中心)接收假名和加密的標識符，其中假名屬于具有唯一標識符的用戶的個人數據。已經使用第一秘密密鑰來生成假名，并且已經通過使用第二秘密密鑰加密標識符來生成加密的標識符。第一秘密密鑰和第二秘密密鑰為被授權訪問數據的其他用戶所知，而不為裝置所知。操作還包括將個人數據在假名之下存儲在數據庫中，并且由加密的標識符編索引。已授權用戶然后可以基于假名和加密的標識符查詢數據庫來取回個人數據。

更具體而言，存儲器可以存儲可執行指令，可執行指令響應于由處理器執行來使裝置進一步執行從已授權用戶接收針對個人數據的查詢，其中查詢包括均已經由已授權用戶生成的假名和加密的標識符。操作然后可以包括：基于假名和加密的標識符從數據庫取回個人數據；并且準備個人數據用于向已授權用戶發送。

可以接收用于多個用戶的相應假名和加密的標識符。在這樣的實例中，個人數據可以在相應的假名之下存儲于數據庫中，并且由相應的加密的標識符編索引。也在這樣的實例中，查詢可以包括針對用戶中的一些用戶的個人數據的查詢，并且可以包括相應用戶的假名和加密的標識符。根據本發明的示例實施例的另一方面，提供一種包括處理器和存儲器的裝置，存儲器存儲可執行指令，可執行指令響應于由處理器執行來使裝置至少使用第一秘密密鑰來生成用戶的個人數據的假名并且使用第二秘密密鑰來加密用戶的唯一標識符。該實施例的裝置被配置成準備假名和加密的標識符用于向遠程裝置發送以便將個人數據在假名之下存儲于數據庫中，并且由加密的標識符編索引。第一秘密密鑰和第二秘密密鑰為被授權訪問數據的一個或者多個其他用戶所知，但是不為遠程裝置所知。