技術(shù)領(lǐng)域

本發(fā)明大體上涉及數(shù)據(jù)處理，具體地，涉及遵守隱私的處理。

背景技術(shù)

該部分旨在向讀者介紹可能與下面描述和／或要求保護(hù)的本發(fā)明的各個方案有關(guān)的現(xiàn)有技術(shù)的各個方案。該討論被認(rèn)為有助于向讀者提供用于促進(jìn)更好地理解本發(fā)明的各個方案的背景信息。因此，應(yīng)當(dāng)理解的是，這些陳述應(yīng)當(dāng)從這個角度來理解，而不應(yīng)理解為承認(rèn)現(xiàn)有技術(shù)。

存在如果用戶可以為第三方的使用設(shè)置遵守隱私權(quán)限則用戶愿意提供私有用戶數(shù)據(jù)以供第三方分析(特別是聚合)的實例。這種實例的示例是用戶家中的網(wǎng)絡(luò)業(yè)務(wù)。可能發(fā)生這樣的情況，即，服務(wù)提供商修改服務(wù)以便更好地適應(yīng)用戶對分析用戶數(shù)據(jù)的需要。其它示例包括推薦系統(tǒng)和醫(yī)療統(tǒng)計。

然而，技術(shù)人員認(rèn)識到，安全性是重要的問題。可以如何向用戶確保遵守數(shù)據(jù)的隱私呢?

在US2004／054918中描述了一個解決方案，在該解決方案中，第一用戶設(shè)備可以向第二用戶設(shè)備發(fā)送簽名的請求，該請求是對第二用戶設(shè)備存儲的數(shù)據(jù)的請求。如果對簽名進(jìn)行成功地認(rèn)證，則第二設(shè)備向第一用戶設(shè)備提供請求的數(shù)據(jù)。然而，該解決方案的主要缺點是它不處理數(shù)據(jù)，而僅返回請求的數(shù)據(jù)。因此，它不能用于數(shù)據(jù)處理或分析。

另一個現(xiàn)有的解決方案是同態(tài)加密，但是它通常由于多個原因而不適合。第一，腳本可能需要與同態(tài)加密不兼容的處理，例如，對輸入數(shù)據(jù)進(jìn)行的非多項式的處理。第二，輸入數(shù)據(jù)可能非常多，在該情況下，同態(tài)加密較慢。第三，處理有時使用來自第三方(例如，來自庫)的軟件，該軟件不能被完全地改寫或重寫以用于同態(tài)加密。

Siani Pearson、Marco Casassa Mont和Liqun Chen在End-to-End Policy-Based Encryption and Management of Data in the Cloud；2011Third IEEE International Conference on Cloud Computing Technology and Science中描述了針對該問題的又一個現(xiàn)有的解決方案。其解決方案將加密數(shù)據(jù)綁定到指定數(shù)據(jù)的私有偏好的“粘結(jié)策略(sticky policy)”，并且依賴于斷言其履行定制的粘結(jié)策略的愿望的云服務(wù)提供商(CSP)。然而，未進(jìn)一步保證CSP遵守隱私并且CSP有權(quán)訪問不受保護(hù)的數(shù)據(jù)和用于加密的對稱密鑰。

在P.Maniatis等人2011年在HotOS2011中的Do You Know Where Your Data Are?Secure Data Capsules for Deployable Data Protection中找到了又一個現(xiàn)有的解決方案。該解決方案允許用戶持續(xù)地跟蹤和控制其數(shù)據(jù)以及數(shù)據(jù)的所有衍生物(經(jīng)復(fù)制和變換的數(shù)據(jù))，并且支持處理數(shù)據(jù)的任意不可信傳統(tǒng)二進(jìn)制。為此，作者引入了“數(shù)據(jù)膠囊”的概念，即，受密碼保護(hù)的容器，其是由數(shù)據(jù)、相關(guān)聯(lián)的策略和容器的歷史構(gòu)成。處理數(shù)據(jù)膠囊的主機(jī)需要可信計算基(TCB)。TCB對數(shù)據(jù)膠囊進(jìn)行解封裝，驗證相關(guān)聯(lián)的策略，運行不可信二進(jìn)制，并且創(chuàng)建新的數(shù)據(jù)膠囊作為輸出。在運行不可信二進(jìn)制期間，TCB攔截系統(tǒng)呼叫并且執(zhí)行信息流跟蹤。實際上，信息流跟蹤增加了禁止的開銷，并且可能不能抵御(采用旁信道或者“不受保護(hù)數(shù)據(jù)漏洞”(也稱作“模擬漏洞”)的)強(qiáng)攻擊。如作者所指出的，使用信息流跟蹤也難以支持可擴(kuò)展策略語義。

因此，將清楚的是，需要克服現(xiàn)有技術(shù)的解決方案的缺點中的至少一些的解決方案。本發(fā)明提供了這樣的系統(tǒng)。

發(fā)明內(nèi)容

在第一方案中，本發(fā)明涉及一種數(shù)據(jù)處理的方法。設(shè)備獲得要處理的加密數(shù)據(jù)、與所述加密數(shù)據(jù)相關(guān)聯(lián)的私有屬性、腳本和用于所述腳本的簽名，其中，所述私有屬性定義數(shù)據(jù)處理任務(wù)應(yīng)當(dāng)遵守的處理需求，以使得數(shù)據(jù)處理任務(wù)被允許處理所述加密數(shù)據(jù)或者輸出所述加密數(shù)據(jù)的數(shù)據(jù)處理的結(jié)果；驗證所述簽名；如果成功地驗證了所述簽名，則：對所述加密數(shù)據(jù)進(jìn)行解密以獲得解密數(shù)據(jù)；運行所述腳本以處理所述解密數(shù)據(jù)從而獲得結(jié)果；以及輸出所述結(jié)果。所述設(shè)備還將所述私有屬性與所述腳本的處理屬性進(jìn)行比較以確定所述腳本是否遵守所述私有屬性，所述處理屬性定義所述腳本所遵守的處理需求。

在第一優(yōu)選的實施例中，如果成功地驗證所述簽名，則在所述解密步驟之前執(zhí)行所述比較，并且當(dāng)確定所述腳本遵守所述私有屬性時執(zhí)行所述解密。

在第二優(yōu)選的實施例中，在所述處理之后執(zhí)行所述比較，并且當(dāng)確定所述腳本遵守所述私有屬性時執(zhí)行所述輸出。