本發(fā)明提供了一種對數(shù)據(jù)存儲器(101)執(zhí)行操作的方法，數(shù)據(jù)存儲器(101)用于存儲使用與數(shù)據(jù)的擁有者(102)相關(guān)聯(lián)的密鑰K^D來加密的數(shù)據(jù)。該方法包括：針對每個(gè)授權(quán)客戶端C_j，導(dǎo)出第一密鑰K_Cj和第二密鑰K_Tj；向客戶端C_j提供第一密鑰K_Cj；以及向可信第三方(TTP)(104)提供第二密鑰K_Tj。該方法還包括：在策略執(zhí)行點(diǎn)(PEP)(103)處，從授權(quán)的客戶端中的客戶端C_k(105)接收(401)對數(shù)據(jù)存儲器執(zhí)行操作的請求；從客戶端C_k獲取第一密鑰K_Ck，從TTP獲取(404?406)第二密鑰K_Tk，根據(jù)第一密鑰K_Ck和第二密鑰K_Tk導(dǎo)出密鑰K^D；以及，使用導(dǎo)出的密鑰K^D來對數(shù)據(jù)存儲器執(zhí)行(408?411)操作。公開的信任模型基于涉及客戶端和TTP的兩部分秘密共享。

技術(shù)領(lǐng)域

本發(fā)明涉及對用于存儲使用與數(shù)據(jù)的擁有者相關(guān)聯(lián)的密鑰加密的數(shù)據(jù)的數(shù)據(jù)存儲器執(zhí)行操作的方法、對應(yīng)的計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品、對應(yīng)的策略執(zhí)行點(diǎn)(PEP)、對應(yīng)的可信第三方(TTP)，以及對應(yīng)的客戶端設(shè)備。

背景技術(shù)

個(gè)人資料庫(PDV)是用戶或代表用戶的代理可以存儲數(shù)據(jù)的基于云或網(wǎng)絡(luò)的數(shù)據(jù)存儲器，數(shù)據(jù)例如文件、文檔、照片、醫(yī)療期刊、音樂、聯(lián)系人列表、存在信息等。存儲的數(shù)據(jù)可以隨后由被授權(quán)的客戶端(即已經(jīng)被許可訪問所儲的數(shù)據(jù)的客戶端)訪問。客戶端可以是數(shù)據(jù)存儲器的其他用戶、網(wǎng)絡(luò)操作者、或例如個(gè)性化服務(wù)或數(shù)據(jù)共享服務(wù)的服務(wù)提供者。

已知的是，使用例如可擴(kuò)展的訪問控制標(biāo)識語言(XACML)之類的策略語言來描述如何處理資源，例如數(shù)據(jù)或信息。在客戶端可以訪問資源之前，檢查訪問是否被策略所允許。

在并不完全信任數(shù)據(jù)存儲器提供者或關(guān)聯(lián)的PEP去執(zhí)行訪問策略時(shí)，加密成為了常見的解決方案。然而，加密的缺點(diǎn)在于，數(shù)據(jù)的擁有者必須在線，以便向進(jìn)行請求訪問的客戶端提供加密數(shù)據(jù)的解密密鑰。如果擁有者希望許可離線訪問，必須通過除了在數(shù)據(jù)存儲器中存儲密鑰以外的一些其它方式來向進(jìn)行請求的客戶端提供密鑰，因?yàn)樾湃文Ｐ筒荒茉跀?shù)據(jù)存儲器中存儲密鑰。無論怎樣實(shí)現(xiàn)對密鑰的訪問，擁有者沒有完全的控制，并且能夠占有密鑰的任何人都可以訪問存儲的數(shù)據(jù)。因此，不再保證數(shù)據(jù)的秘密性。

例如在能夠使用若干個(gè)客戶端并且它們中的至少幾個(gè)被信任的情況下，用于控制對存儲的數(shù)據(jù)的訪問的已知的解決方案是使用分割密鑰。存儲的數(shù)據(jù)的擁有者然后可以通過以下方式來應(yīng)用對密鑰(或可能地，數(shù)據(jù))的所謂秘密共享：只有若干個(gè)客戶端(即一個(gè)以上的客戶端)可以聯(lián)合檢索加密的數(shù)據(jù)。例如，擁有者可以按照這樣的方式來在n個(gè)客戶端之間分割密鑰：至少n/2+1個(gè)客戶端(即大部分客戶端)被要求合作以便獲得密鑰或存儲的數(shù)據(jù)。本領(lǐng)域已知若干秘密共享方法。

雖然密鑰分割提供了更好地保護(hù)，但該技術(shù)的直接使用意味著持有密鑰的一部分的一組客戶端可以在不涉及數(shù)據(jù)的擁有者的情況下重構(gòu)完整的密鑰。另外，如果發(fā)生了非故意的錯(cuò)誤，策略和訪問控制的現(xiàn)有方案不能提供安全保護(hù)。例如，諸如由于訪問策略的錯(cuò)誤配置，數(shù)據(jù)存儲器的提供者可能錯(cuò)誤地向未經(jīng)擁有者授權(quán)的客戶端許可訪問。

發(fā)明內(nèi)容

本發(fā)明的目的是提供對于以上技術(shù)和現(xiàn)有技術(shù)的改進(jìn)的替代。

更具體地，本發(fā)明的目的在于：提供一種對數(shù)據(jù)存儲器執(zhí)行操作的改進(jìn)方式，該數(shù)據(jù)數(shù)據(jù)存儲器用于存儲使用與數(shù)據(jù)的擁有者相關(guān)聯(lián)的密鑰來加密的數(shù)據(jù)。具體地，本發(fā)明的目的在于：針對請求對數(shù)據(jù)存儲器執(zhí)行操作的客戶端設(shè)備(在本公開中也被稱作客戶端)提供改進(jìn)的訪問控制。

如獨(dú)立權(quán)利要求所定義的，通過本發(fā)明的不同方面來實(shí)現(xiàn)本發(fā)明的這些目的和其他目的。從屬權(quán)利要求表征本發(fā)明的實(shí)施例。