用于传输个人数据的方法和设备与流程
本发明从按照独立权利要求的前序部分所述的设备或者方法出发。计算机程序也是本发明的主题。
背景技术:
私有数据发展成应用者的重要资产。因而,为了得到对这些数据的访问,在不同的业务供应商与制造商之间存在大的竞争。这些数据可以被使用,以便改善所供应的业务的质量,并且以便预测不同的市场趋势或者消费趋势。因此,对于应用者而言自然的是,他们期望针对这些资源得到钱。
技术实现要素:
在此背景下,利用这里介绍的方式,介绍了一种根据主权利要求所述的用于传输个人数据的方法,此外介绍了一种根据主权利要求所述的使用该方法的设备,以及最后介绍了一种根据主权利要求所述的相对应的计算机程序。通过在从属权利要求中举出的措施,在独立权利要求中说明的设备的有利的改进方案和改善方案是可能的。
有利地,利用这里所描述的方式,不仅可以传输由应用者产生的个人数据,而且可以传输通过传感器来测量的数据。通过传输这种数据可以引起经济地使用这些传感器的所有权。有利地,在此可以为这些数据的购买方确保,这些数据没有被数据出售方出售给多于一个的购买方。通过针对这种威胁建立合适的对策,可以避免,购买方失去其相对于其竞争者的优势。这类似于数字货币的双重支付,这通过比特币(bitcoin)协议而被谈起。在双重支付的问题中,必须向购买方保正,所获得的货币并未已经被已向其付费的那个购买方消耗过。在数字货币的情况下,任何时候都清楚的是:在交易中涉及的铸币曾经已经被使用。由此,激励铸币的接收方不接受这种交易。
这里所介绍的方式因而类似于所谓的用于保护数据的私密性的“粘性策略(stickypolicy)”解决方案。这种解决方案基于如下原则:所述原则被详细说明,以便使得接收方能够打开经加密的数据包。满足所述原则通过安全硬件来验证,所述安全硬件存储针对该数据包的加密密钥,并且只有当满足相对应的原则时,所述安全硬件才释放密钥。在此应注意的是,该方法的安全性基于对唯一的安全硬件的信任,所述安全硬件存储了解密密钥。当该系统的该部分失灵或者与购买方一起工作时,整个系统崩溃。这里所建议的方式类似于“粘性策略”解决方案,可是基于多个部分在相同时间的安全性,以致购买方会必须与多方一起工作,以便能够进行欺骗。假定的是,在购买方与出售方之间不存在直接通道,另一方面该系统的安全性可能会不起作用。
用于传输个人数据的方法包括如下步骤:
经由一组监控装置到用于检测个人数据的传感器装置的传感器接口,接收传感器装置的通过电信号来代表的请求;
响应于对请求的接收,在使用该组监控装置的情况下,产生加密密钥,以及产生解密密钥的分量(anteilen),其中解密密钥在使用用于秘密共享的方法的情况下被划分成这些分量,并且给该组监控装置中的每个监控装置都分配这些分量中的一个分量;
经由传感器接口,向传感器装置提供加密密钥;以及
经由该组监控装置到终端装置的终端接口,向终端装置提供解密密钥的分量。
传感器装置可以是已知的传感器,所述已知的传感器例如可以由应用者携带。传感器例如可以是温度传感器、脉搏计或者摄像机。电信号可以是消息信号。例如,传感器可以构造为以便检测关于应用者的动作、身体功能或者周围环境的数据作为个人数据。传感器接口可以被理解为设备的模拟或者数字接口。传感器接口可以无线地或者有线地来实施。该组监控装置可以包括至少两个、三个或者更多个监控装置。监控装置可以实施为彼此分离地实施的电设备。电设备可以是计算机。监控装置也被称作监控器。解密密钥的分量必须表示不同的部分,可以把所述不同的部分装配成解密密钥。监控装置例如可以经由电线路或者无线地相互连接,以便能够相互间组织解密密钥的划分。用于秘密共享的方法可以被理解为所谓的“安全秘密共享(securesecretsharing)”。通过使用多个监控装置可以阻止,解密密钥可以通过监控装置的丧失信誉方(kompromittieren)来测定。终端装置可以被理解为电设备。电设备可以是计算机。终端装置也可以被称作用于经由终端接口首次购买个人数据的购买方装置,该终端接口也称作购买方接口。购买方装置也可以简称为购买方。通过该方法可以确保,不能多次出售个人数据。如果传感器装置尝试将相同数据变卖给另一购买方,则监控装置将阻断该交易。只要监控装置中的数个监控装置(数目在此取决于阈值方法)丧失信誉,所有未丧失信誉的监控装置将拒绝将其解密密钥的分量转递给其他购买方。
在产生的步骤中生成这些分量可以借助任何任意“安全秘密共享”方法来进行。“安全秘密共享”方法将秘密分布到这些分量中,以致只有在访问所有分量的情况下才可以再次构造该秘密。在普通的“阈值安全秘密共享(thresholdsecuresecretsharing)”方法中,秘密被划分成n个分量,以致在访问每个具有k<n个元素的子集的情况下可重构该秘密。
“阈值安全秘密共享”方法的实例是“沙米尔(shamir)方法”。在该方法中,选出k-1阶多项式,使得常数值等于该秘密,但是所有其他系数随机地被选出。也就是:
在知道k个分量的情况下,可能通过例如拉格朗日插值(lagrangeinterpolation)来计算多项式的系数,并且由此发现该秘密。
所述提供以此进行:向监控器i寄送所述分量(i,f(i))。购买方又恳求该监控器向他寄送所述分量。
购买方应得到至少k个分量,以便重构该秘密或者解密密钥并且访问数据。只要至少k个监控器正确地完成其任务,并且只要当至少k个监控器识别出数据之前已被转递或者其他条件不满足时,例如当监控器怀疑购买方将利用所述数据时,至少k个监控器不将其分量转交给该购买方,该方法就将实现其安全性。
由此例如可以避免,单个监控器丧失信誉,并且进一步出售数据。
因此,该方法可以包括步骤:当个人数据已经曾被变卖给另一终端装置时,阻断向终端装置提供解密密钥的分量。通过阻断可以确保,数据在首次出售之后不会被再次出售。为了识别出个人数据是否曾已经被出售,个人数据可以配备有明确的指针(zeiger),该指针从终端装置侧一方面可以被用于调用个人数据,而且可以被用于调用解密密钥的分量。以这种方式,监控装置可以在使用指针的情况下来检查,个人数据的当前出售是否是允许的,并且根据检查的结果,释放或者阻断对解密密钥的分量的提供。
该方法可以包括步骤:通过传感器装置生成经加密的个人数据。这可以在使用个人数据和加密密钥的情况下来进行。以这种方式,可以在使用监控装置已知的密钥的情况下来对数据进行加密。
在接收的步骤中,经加密的个人数据可以以电信号的形式经由数据板装置(datenbretteinrichtung)到传感器装置的输入接口来接收。数据板装置可以实现为一个电设备,或者实现为多个电设备的复合体。例如,数据板装置可以是计算机。数据板装置可以构造为以便传递或者缓存经加密的个人数据。在提供的步骤中,经加密的个人数据可以经由数据板装置到终端器装置的输出接口而被提供。通过数据板装置可以避免在传感器装置与终端装置之间的直接接触。
在解密的步骤中,可以在使用解密密钥的分量的情况下通过终端装置来对经加密的个人数据进行解密。以这种方式,终端装置可以获得个人数据。
在输出的步骤中,(例如呈电信号形式的)付费指令可以通过终端装置来输出。以这种方式,可以由终端装置对个人数据进行付费。
在接收的步骤中,(例如呈电信号形式的)付费指令可以通过交易装置经由交易装置到终端装置的接口来接收。例如,交易装置可以构造为以便:测试付费指令,并且生成对应于付费指令的针对传感器装置的所有权的贷方款项。付费装置可以是电设备、例如计算机。
例如以软件或者硬件或者以由软件和硬件构成的混合形式,该方法可以例如在一个设备上或者分布式地在多个设备上分布式地实施。
这里所介绍的方式此外还提出了一种设备,该设备构造为以便:在相对应的装置中执行、操控(ansteuern)或实现这里所介绍的方法的变型方案的步骤。本发明所基于的任务也可以通过本发明的呈设备形式的实施变形方案来快速且高效地予以解决。
为此,该设备可以具有:至少一个计算单元,用于处理信号或者数据;至少一个存储单元,用于存储信号或者数据;至少一个至传感器或者执行器的接口,用于从传感器读入传感器信号,或者用于向执行器输出数据信号或者控制信号;和/或至少一个通信接口,用于读入或者输出嵌入到通信协议中的数据。计算单元例如可以是信号处理器、微控制器等,其中存储单元可以是闪存存储器、eeprom或者磁性存储单元。通信接口可以构造为以便无线地和/或有线地读入或者输出数据,其中可以读入或者输出有线数据的通信接口可以例如以电学方式或者以光学方式从相对应的数据传输线路中读入所述数据或者可以将所述数据输出到相对应的数据传输线路中。
该设备在本发明中可以被理解为电设备,该电设备处理传感器信号并且据此输出控制信号和/或数据信号。该设备可以具有接口,所述接口可以以硬件方式和/或以软件方式来构造。在硬件方式的构造方案中,接口例如可以是所谓的系统asic的包含该设备的极其不同的功能的部分。可是也可能的是,接口是自己的集成电路,或者至少部分地包括分立器件。在软件方式的构造方案中,接口可以是例如除了其他软件模块以外存在于微控制器上的软件模块。
带有程序代码的计算机程序产品或者计算机程序也是有利的,所述程序代码可存储在机器可读的载体或者存储介质、如半导体存储器、硬盘存储器或者光学存储器上,并且尤其是当程序产品或者程序在计算机或者设备上实施时,该程序代码被用于执行、实现和/或操控按照前述实施形式之一所述的方法的步骤。
附图说明
这里所介绍的方式的实施例在附图中示出,并且在随后的描述中予以更为详细地阐述。其中:
图1示出了根据实施例的用于传输个人数据的设备的图示;以及
图2示出了根据实施例的用于传输个人数据的方法的流程图。
具体实施方式
图1示出了根据实施例的用于传输个人数据的设备100的图示。设备100包括至少一组102的监控装置104、106、108、110,这里例如是至少一组四个也称作监控器的监控装置104、106、108、110。该组102具有传感器接口112和终端接口114。
根据实施例,该设备100实施为如下系统:除了该组102之外,所述系统此外还包括至少一个传感器装置120、至少一个终端装置122以及数据板装置124和交易装置126,或者此外还包括所述的装置120、122、124、126中的至少一个。
传感器装置120构造为以便检测应用者的个人数据。例如,传感器装置120可以集成到由应用者携带的腕带中。传感器装置120构造为以便向组102发出请求130。该组102构造为以便经由传感器接口112接收该请求130。响应于请求130的接收,该组构造为以便产生加密密钥132并且产生解密密钥的分量134、136、138、140。加密密钥132可以在使用监控装置104、106、108、110中的一个或者多个的情况下来产生。解密密钥的分量134、136、138、140可以在使用监控装置104、106、108、110中的一个或者多个的情况下来产生。此外,分量134、136、138、140可以由监控装置104、106、108、110中的一个或者多个来存储。例如,在所述监控装置104、106、108、110中的每个监控装置中都存储有解密密钥的另一分量134、136、138、140。组102构造为以便经由传感器接口112向传感器装置120提供所产生的加密密钥132。此外,组102构造为以便经由终端接口114向终端装置122发出解密密钥的分量134、136、138、140。监控装置104、106、108、110可以在区域上彼此分开地布置,例如布置在不同的建筑物中,或者彼此相邻地布置。根据实施例,监控装置104、106、108、110中的每个监控装置都实施为服务器。监控装置104、106、108、110根据实施例经由数据传输网络相互连接。
终端装置122(例如呈与人关联的电设备形式的终端装置)构造为以便购买由传感器装置120检测到的个人数据。根据实施例,在终端装置122已给向交易装置126传输付费指令142之后,终端装置122才获得解密密钥的分量134、136、138、140。为此,监控装置104、106、108、110根据实施例构造为以便:检查付费指令142,并且在对付费指令142的检查结果为肯定的之后,才向终端装置122提供分量134、136、138。
传感器装置120构造为以便在接收到加密密钥132之后在使用加密密钥132的情况下对所检测到的个人数据进行加密,以便获得经加密的个人数据150。传感器装置120构造为以便向数据板装置124发送经加密的个人数据150。该数据板装置124构造为以便:经由输入接口152接收经加密的个人数据150,并且根据实施例缓存所述经加密的个人数据150和/或向终端装置122传输所述经加密的个人数据150。
根据实施例,终端装置122构造为以便:经由输出接口154从数据板装置124读出经加密的个人数据150。
终端装置122构造为以便对经加密的个人数据150进行解密,以便重新赢得原始的个人数据。终端装置122在此构造为以便:在使用由组102接收到的解密密钥的分量134、136、138、140的情况下。对经加密的个人数据150进行解密。
在装置102、120、122、124、126之间的接口112、114、152、154中的单个接口或者所有接口可以实施为无线数据传输接口。替选地,在装置102、120、122、124、126之间的接口112、114、152、154中的单个接口或者所有接口可以实施为有线的数据传输接口。
在下文中依据图1更详细地描述本方法的实施例。
本方法基于公钥的阈值加密方案、即所谓的“thresholdpublickeyencrytionschemes(阈值公钥加密方案)”。这种方案包括可以用于对数据进行加密的公用的加密密钥132,以及包括n个各个单独的解密密钥134、136、138、140(在上文中也称为解密密钥的分量134、136、138、140),以致为了对密钥132或者对利用密钥132来加密的数据150进行解密,必需至少k(k<=n)个所述解密密钥134、136、138、140。
为此,图1示出了根据实施例的方法的总体概述。首先,要求加密密钥132,在图1中通过请求130示出。其次,向传感器装置120发送加密密钥132。第三,将经加密的数据150写入到数据板装置124中。第四,进行付费,在图1中示例性地通过付费指令142示出。第五,获得解密密钥的部分134、136、138、140。在此,终端装置122获得所述部分134、136、138、140。第六,读取数据150,并且通过终端装置122对所述数据150进行解密。
根据实施例,监控器104、106、108、110一起监控该系统100,以便保护市场以防欺诈。
首先,想要出售数据的传感器120向监控器104、106、108、110申请:监控器104、106、108、110一起产生公钥132和解密密钥的分量134、136、138、140,并且将公钥132和解密密钥的分量134、136、138、140本地存储在其自身处。
第二,监控器104、106、108、110一起产生公钥私钥对,将公钥132发送至一个或者多个传感器120,并且本地存储所述分量134、136、138、140。
第三,传感器120对所述数据进行加密,并且将经加密的值(在图1中称作经加密的个人数据150)写到数据板124上。
第四,购买方122要求所述数据,并且针对所述数据进行付费。
第五,监控器104、106、108、110检查,付费142正常,并且交易没有违背市场的原则。只要正确,监控器104、106、108、110就将足够的分量134、136、138、140发送至购买方122,所述购买方122读取数据150并且对数据150进行解密。如果传感器120尝试将相同数据变卖给另一购买方,则监控器104、106、108、110将阻断该交易。只要监控器104、106、108、110中的数个监控器(数目取决于阈值方法)丧失名誉,所有未丧失名誉的监控器就拒绝将其解密密钥的分量134、136、138、140转递给另一购买方。为了识别出数据150已经被出售过一次,可以采用合适的方法。例如,数据150为此可以配备有明确的指针,所述指针一方面使得购买方122能够从数据板124调用数据150,而且使得能够从监控器104、106、108、110调用对于解密所需的分量。通过检查指针,监控器104、106、108、110可以查明,数据150是否首次被调用。
为了出售数据板124中的数据,根据实施例给每个记录(即例如每个数据录入项)都配备有指针。因此,所有缓存在数据板124中的数据150可以配备有明确的指针。指针可以是哈希函数的索引或者结果,例如关于相应的数据150的哈希函数的索引或者结果。由此,购买方122将能够从数据板124中下载数据150,并且紧接着监控器104、106、108、110询问解密密钥。由此,监控器104、106、108、110将识别出该尝试。因而,根据实施例重要的是,购买方122和出售方没有直接接触。
图2示出了根据实施例的用于传输个人数据的方法的流程图。该方法的步骤可以由参照图1所描述的设备的装置来实施。
在步骤201中,经由一组监控装置到用于检测个人数据的传感器装置的传感器接口,接收所述传感器装置的请求。响应于请求的接收,由监控装置在步骤203中产生加密密钥以及解密密钥的分量。在步骤205中,向传感器装置提供所产生的加密密钥。同样,在步骤207中,向终端装置提供解密密钥的所产生的分量。在此,只有当首次出售个人数据时,才提供所述分量。如果在使用监控装置的情况下查明个人数据已经曾被出售或者要被多次出售,则提供的步骤207通过步骤208来阻断。为了能够检查个人数据是否已经可能曾被出售,存储在数据板装置中的经加密的个人数据可以配备有指针,该指针使得终端装置能够从数据板装置加载经加密的个人数据。指针此外还可以由终端装置使用,以便向监控装置提出用于提供解密密钥的分量的请求。因此,监控装置根据实施例构造为以便在步骤208中使用由终端装置提供的指针,以便检查个人数据是否之前已经曾被出售给购买方。如果监控装置查明已经曾出售过个人数据,则监控装置构造为以便阻断分量的提供。
根据实施例,个人数据由传感器装置在步骤209中在使用加密密钥的情况下被加密成经加密的个人数据,以便能够向数据板装置提供经加密的个人数据。经加密的个人数据在步骤211中被数据板装置接收,并且在时间上直接紧接着或者在较晚的时间点在步骤213中被传送至终端装置。
根据实施例,经加密的个人数据在通过终端装置获得之后在步骤215中被终端装置解密。为此,终端装置使用由该组监控装置所提供的解密密钥的分量。
根据实施例,终端装置在步骤217中向交易装置输出付费指令。交易装置在步骤219中接收付费指令。步骤217、219可以在该方法的合适的时间点实施,例如也在实施步骤211之后实施。
如果实施例包括在第一特征与第二特征之间的“和/或”联结,则这应被读取为使得:该实施例根据一种实施形式不仅具有第一特征而且具有第二特征,并且根据另一实施形式或者仅具有第一特征或者仅具有第二特征。
- 还没有人留言评论。精彩留言会获得点赞!