數據源計算機提供具有相關聯的id數據的、要發送到數據收集計算機的消息數據；通過用一個隨機數來盲化所述id數據，生成一個盲化id；將所述盲化id發送到標記化計算機；通過網絡發送所述隨機數和所述消息數據，以便由數據收集計算機接收。作為響應，標記化計算機生成包括用所述隨機數盲化的、所述id數據和標記化計算機的一個密鑰的函數的一個盲化標記，將所述盲化標記發送到數據收集計算機。作為響應，數據收集計算機使用所述隨機數來揭盲所述盲化標記以獲得包括所述id數據和所述密鑰的一個確定性函數的id標記。然后，數據收集計算機將所述id標記和所述消息數據存儲在可操作地耦合到數據收集計算機的存儲器中。

技術領域

本發明一般涉及數據標記化。

背景技術

數據標記化(tokenization)是一種用于在將數據移動到不太可信的環境時對數據進行脫敏的技術。例如，當數據集被外包時，或者出于某種目的收集或匯總數據(諸如交易數據)時，法律約束或安全顧慮通常要求在跨越邊界轉移數據或將數據轉移到不受信任的環境中之前使用標記化技術。特別地，要通過網絡傳輸的數據可能包括識別信息，例如社會安全號碼、銀行帳號、車輛識別號碼或不應由數據提供者透露的其他唯一標識符。因此，這種id數據被其他—通常是隨機查找的—數據(標記)(token)替換。為了保持數據的整體效用，必須通過標記化過程維護參照完整性(referential?integrity)。也就是說，標記化操作必須是一個確定性過程，以便所有出現的相同id數據始終被相同的標記替換。

已經提出了多種標記化技術，并且這些技術目前處于商業運營中。典型的方法要么依賴于非加密方法，諸如替換、擾動或轉換表；要么使用加密機制，諸如加密鑰的哈希函數或確定性加密。所有方法的共同之處在于它們要求標記化操作在可信環境中執行，即，由可信數據源本身或由數據源的信任域內的專用實體執行。這對標記化系統的實現施加了限制。此外，當從不同的、可能廣泛分布的數據源收集數據時，難以以安全且有效的方式實現該假設。參照完整性要求標記化操作在所有數據源中保持一致，因此所有源必須共享相同的秘密標記化密鑰，或者更糟糕的是，必須保持轉換表的共享和一致版本。更實際的方法是將標記化任務集中在中央可信實體或TTP(可信第三方)，后者處理所有標記化請求。然后，TTP提供將敏感id數據轉換為安全標記的服務。當前的解決方案需要將id數據公開給TTP，這使得TTP成為安全和隱私瓶頸。例如，當響應于多個請求和/或針對多個源以動態方式執行標記化時，有一個能夠識別和跟蹤對應于id數據的用戶或其他實體的活動的實體，顯然是不期望的。

發明內容

根據本發明的至少一個實施例，提供了一種數據標記化系統，包括適于經由網絡進行通信的數據源計算機、標記化計算機和數據收集計算機。數據源計算機提供具有相關聯的id數據的、要被發送到數據收集計算機的消息數據，并且適于通過用隨機數盲化id數據來生成盲化id。數據源計算機還適于將所述盲化id發送到標記化計算機，并通過網絡發送所述隨機數和所述消息數據以供數據收集計算機接收。標記化計算機適于響應于對所述盲信息的接收而從其生成盲化標記(blinded?token)，所述盲化標記包括用所述隨機數盲化的、所述id數據和所述標記化計算機的密鑰的函數，并且將盲化標記發送給數據收集計算機。數據收集計算機適于響應于從標記化計算機接收到所述盲化標記以及接收到由數據源計算機發送的所述隨機數和所述消息數據，用所述隨機數來去盲化所述盲化標記，以獲得包括所述id數據和所述密鑰的確定性函數的id標記。然后，數據收集計算機將所述id標記和所述消息數據存儲在可操作地耦合到數據收集計算機的存儲器中。