[发明专利]用于数据访问控制的方法和装置

说明书

描述了用于控制对数据的访问的系统和技术。数据以针对该数据的访问例如能够通过在输送之前对该数据进行加密而受到控制的方式被输送至库集。对请求者提供获准对数据进行访问的能力的功能被划分，而使得多个实体能够为请求者提供以获准对数据进行访问所需的信息的一部分。该信息的多个部分可以是能够被组合为完整密钥的部分密钥。请求者仅能够在其接收到获准对数据进行访问所需的信息的所有部分的情况下才能够获准对该数据进行访问，并且可以使用不同准则来决定是否向请求者提供该信息的每个部分。

技术领域

本发明总体上涉及数据存储和安全。更具体地，本发明涉及以异构方式、通过多个控制器对请求者的数据访问进行控制。

背景技术

越来越多的数据用户远程存储大量的数据。这样的方法为用户提供了许多便利，这允许用户对其数据进行访问。这样的访问在很大程度上独立于用户的位置和用户可以用来获准对数据进行访问的设备。数据的远程存储还允许用户与服务提供商共享数据，后者能够使用该数据向用户提供更好且更为便利的服务。

用户所能够远程存储的数据越多，用户能够按照期望与其它各方进行共享的数据就越多，用户在使用其数据所能够享有的便利也就越多。然而，大量的用户数据或多或少是私人的并且用户希望能够防止这样的数据被未知或非受信方所访问。另一方面，学习可以处理数据的所有各方的身份和可信度剥夺了远程数据存储能够为用户提供的许多便利。对于用户而言，能够在不知道哪些人可能不时地对数据进行处理或传输的情况下递送其数据，但是对敏感数据进行保护以使得数据仅能够由满足访问准则的各方所使用将会是便利的。

发明内容

在本发明的一个实施例中，一种装置包括至少一个处理器和存储计算机程序代码的存储器。该存储计算机程序代码的存储器被配置为与该至少一个处理器一起使得该装置至少：生成能够由数据请求者用来对存储的数据进行解密的完整密钥；将该完整密钥划分为至少第一部分密钥和第二部分密钥；以及根据指定的准则来控制向数据请求者递送至少该第一部分密钥和该第二部分密钥，其中用于递送该第一密钥的准则可以不同于用于递送该第二密钥的准则。

在本发明的另一实施例中，一种方法包括：生成能够由数据请求者用来对存储的数据进行解密的完整密钥；将该完整密钥划分为至少第一部分密钥和第二部分密钥；以及根据指定的准则来控制向数据请求者递送至少该第一部分密钥和该第二部分密钥，其中用于递送该第一密钥的准则可以不同于用于递送该第二密钥的准则。

在本发明的另一实施例中，一种计算机可读介质存储指令程序。处理器对该指令程序的执行将一种装置配置为至少：生成能够由数据请求者用来对所存储的数据进行解密的完整密钥；将完整密钥划分为至少第一部分密钥和第二部分密钥；以及根据指定的准则来控制向数据请求者递送至少该第一部分密钥和该第二部分密钥，其中用于递送该第一密钥的准则可以不同于用于递送该第二密钥的准则。

附图说明

图1图示了根据本发明实施例的系统；

图2图示了根据本发明实施例的过程；

图3图示了根据本发明实施例的信息流和活动；以及

图4图示了用于执行根据本发明实施例的操作的单元。

具体实施方式

本发明的实施例认识到，希望对其私有数据进行控制的用户可以通过对数据加密来实现这一目的。数据所有者可以对数据进行加密并且随后将经加密的数据递送至数据存储服务提供商，诸如云服务提供商。云服务提供商并非必然需要被数据所有者所信任，因为其并无法对数据进行解密。对数据的访问可以在需要的情况下由多方使用一个或多个密钥进行控制。该一个或多个密钥例如可以是解密密钥的部分密钥。本发明的实施例认识到，用户可以基于有关请求者信誉的准则以及数据所有者所进行的个人评估而允许不同请求者对数据进行访问。