用于實現由請求方訪問數據的方法、系統、設備以及計算機程序。生成數據的多個集合。然后，將單向函數用于生成各自與多個集合中的相應的一個集合相關聯的多個密鑰。在生成用于該集合的密鑰時，與在規定集合內的數據相關聯的信息被用作至單向函數的輸入。將密鑰分配給請求方。隨后，請求方可使用所接收到的密鑰產生數據訪問請求。在接收到密鑰時，可以實現對數據的訪問。然后，請求方可從與所接收的數據的至少一部分相關聯的信息生成認證數據并且通過將認證數據與從所接收到的密鑰推導出的數據進行比較來認證所接收到的數據。

技術領域

本發明涉及用于實現對數據的訪問，并且具體而言，涉及實現使多個請求方訪問數據的設備、系統以及方法。

背景技術

在很多通信系統中，期望控制對數據的訪問。具體而言，期望具有一種系統，其中，允許不同的請求方訪問給定的數據塊內的特定的數據部分同時防止訪問其他數據部分。而且，期望允許不同的參與方(party)訪問數據的相同數據部分，同時不(例如)使雙方訪問全部相同的數據部分；即，允許各方重疊訪問，但是無需是一致的訪問。

在US 2005/0180573中描述了提供這樣的系統的一個實例。在該實例中，將數據塊分成多個部分。然后，使用不同的部分專用密鑰對數據的各部分進行加密。然后，給請求方提供參與方專用密鑰，該參與方專用密鑰可以用于獲得或者解密部分專用密鑰。設置該參與方專用密鑰使得規定的參與方僅能夠獲取與允許參與方訪問的數據部分相對應的部分專用密鑰。這使請求方能夠解密并且因此訪問允許參與方訪問的數據部分。

然而，該系統具有多個缺點。例如，丟失密鑰或者移除規定的請求方的訪問權，這意味著先前允許規定參與方訪問的數據的所有部分都必須重新進行加密。此外，該系統要求各方使用的任何計算機設備能夠解密數據，這增加了總體系統的費用。

因此，需要一種用于實現對數據的訪問的改進的系統。

發明內容

根據至少一個實施方式，提供了用于支持或實現傳輸數據的功能的方法、裝置、系統以及軟件。

這由在各獨立權利要求中記載的特征的組合實現。因此，從屬權利要求規定了各種實施方式的進一步的詳細實施方式。

根據本發明的第一方面，提供了一種實現由請求方對數據進行訪問的方法，所述方法包括：生成數據的多個集合；使用單向函數生成各自與所述多個集合中的相應的一個集合相關聯的多個密鑰，其中，在生成與所述集合相關聯的密鑰時，與數據的所述集合相關聯的信息被用作至所述單向函數的輸入；對密鑰進行布置以能夠用于被分配給一個或多個請求方；從所述請求方接收包括密鑰的數據訪問請求；并且基于所接收到的密鑰實現由所述請求方對所述集合中的數據進行訪問。

通過生成所述集合，并且使所述集合與密鑰相關聯，實施方式能夠有效地控制對數據的訪問。如果密鑰被泄漏-即，密鑰被未授權訪問數據的參與方知道，那么需要做出的改變僅是密鑰與所述集合之間的關聯。例如，可生成新密鑰，并且可撤銷被泄漏的密鑰。由于不需要重新加密，所以這比在背景部分中描述的加密系統更有效。

另外，由于使用單向函數(one-way function)，所以第三方將不能創建用于訪問數據的有效密鑰，因此，有效密鑰的來源僅僅通過密鑰生成器分配。這給系統提供了更高的安全性，這是因為密鑰的分配可以控制并且用于限制對數據進行訪問，并且由于密鑰本身提供認證請求方并且從而控制訪問數據的方式。這可以與其中提供簡單的指針(例如，URL)以能夠訪問遠程數據的系統形成對比。

通過使用數據本身來生成密鑰，密鑰能夠執行兩個功能。第一，能夠訪問數據，并且其次，密鑰使接收方能夠使用密鑰認證所檢索到的數據。具體而言，密鑰可以用于檢測在所生成的密鑰與訪問的數據之間的數據的變化(無論是意外還是收到攻擊)。由于(一旦分配的)密鑰由與數據分離的請求方持有，這使得在未被檢測的情況下更加難以修改數據。