多层数据安全制造技术

可以利用公钥加密数据。从可对数据运行的多个功能中，可以选择一个或多个功能。被选的一个或多个功能可以与加密数据相关联。被选的一个或多个功能可以提供对数据的排他访问。指定访问一个或多个功能的条件的数据结构可以被创建。提供对一个或多个功能的访问的排他接口可以被创建。所述接口在确定所述条件中的一个或多个条件被满足时，可以许可对一个或多个功能的访问。加密数据、相关联的一个或多个功能、数据结构以及所述接口可以被包括在对象内。

【技术实现步骤摘要】
多层数据安全
[0001 ] 本专利技术涉及多层数据安全。
技术介绍
组织往往合作和共享信息以开发产品和/或服务。然而，在某些情形下，需要被共享的信息可能是机密的(例如，知识产权)。因此，组织在不确定机密信息不会被误用的情况下可能不愿共享机密信息。虽然诸如密码和数字权利管理之类的传统数据安全技术提供了某些数据保护，但是这些技术可能被规避。例如，被密码保护的数据可以在初始提取原始数据之后被复制和分发。
技术实现思路
根据本专利技术的一个方面，提供一种计算机实现的方法，其包括:由计算机处理器利用密钥加密数据；从可对所述数据运行的多个功能中，选择至少一个功能；将被选的至少一个功能与加密数据相关联，其中，所述被选的至少一个功能提供对所述数据的排他访问；创建指定访问具有加密数据的至少一个功能的条件的数据结构；创建提供对所述至少一个功能的访问的排他接口，其中，所述接口在确定所述条件中的至少一个条件被满足时，许可对所述至少一个功能的访问；以及将加密数据、相关联的至少一个功能、数据结构以及所述接口包括在对象内。 根据本专利技术的一个方面，提供一种装置，其包括:处理器，所述处理器用于:利用密钥加密数据；从可对所述数据运行的多个功能中，选择至少一个功能；将被选的至少一个功能与加密数据相关联，其中，所述被选的至少一个功能提供对所述数据的排他访问；创建指定访问所述至少一个功能的条件的数据结构；创建提供对所述至少一个功能的访问的排他接口，其中，所述接口在确定所述条件中的至少一个条件被满足时，许可对所述至少一个功能的访问；以及将加密数据、相关联的至少一个功能、数据结构以及接口包括在对象内。 根据本专利技术的一个方面，提供一种具体化有用于引起计算机运行指令的计算机可执行指令的非瞬时计算机可读介质，所述计算机指令包括:由计算机处理器利用密钥加密数据；从可对所述数据运行的多个功能中，选择至少一个功能；将被选的至少一个功能与加密数据相关联，其中，所述被选的至少一个功能提供对所述数据的排他访问；创建指定访问所述至少一个功能的条件的数据结构；创建提供对所述至少一个功能的访问的排他接口，其中，所述接口在确定所述条件中的至少一个条件被满足时，许可对所述至少一个功能的访问；以及将加密数据、相关联的至少一个功能、数据结构以及所述接口包括在对象内。 根据本专利技术的一个方面，提供一种计算机实现的方法，该方法包括:由计算机处理器利用密钥加密数据；从可对所述数据运行的多个功能中，选择至少一个功能；将被选的至少一个功能与加密数据相关联，其中，所述被选的至少一个功能提供对所述数据的排他访问；创建指定访问所述至少一个功能的条件的数据结构；创建提供对所述至少一个功能的访问的排他接口，其中，所述接口在确定所有条件被满足时，许可对所述至少一个功能的访问；以及将加密数据、相关联的至少一个功能、数据结构以及运行所述至少一个功能所需的软件包括在对象内。 【附图说明】 图1图示了根据实施例的自知数据对象(self-aware data object, SAD0)。 图2图示了根据实施例的创建SADO的过程图。 图3图示了根据实施例的图示出SADO的使用的过程图。 图4图示了根据实施例的存储自知访问控制组件(self-aware access controlcomponent, SAACC)用来确定与SADO相关联的功能的授权使用的标准的数据结构。 [0011 ] 图5示出了实施例中的示例性架构。 【具体实施方式】 可以在系统中论述实施例以创建和使用安全的数据对象。在一实施例中，可以利用密钥加密数据。从可对数据运行的多个功能中，可以选择一个或多个功能。被选的一个或多个功能可以与加密数据相关联。被选的一个或多个功能可以提供对该数据的排他访问(exclusive access)。指定对一个或多个功能的访问的条件的数据结构可以被创建。提供对一个或多个功能的访问的排他接口可以被创建。当确定所述条件中的一个或多个条件被满足时，该接口可以许可对一个或多个功能的访问。在另一实施例中，当确定所有条件被满足时，该接口可以许可对所述一个或多个功能的访问。加密数据、相关联的一个或多个功能、数据结构和接口可以被包括在对象内。 在实施例中，运行一个或多个功能所需的软件可以被包括在所述对象中。在实施例中，所述一个或多个条件可以指定有权访问所述一个或多个功能的授权用户。在实施例中，所述一个或多个条件可以指定用于访问所述一个或多个功能的时段。在实施例中，所述一个或多个条件可以指定所述一个或多个功能可以被运行的最大次数。在实施例中，所述接口可以当确定所有条件被满足时许可对所述一个或多个功能的访问。 组织往往合作和共享信息以开发产品和/或服务。然而，在某些情形下，需要被共享信息可能是机密的(例如，知识产权)。因此，组织在不确定机密信息不会被误用的情况下可能不愿共享机密信息。虽然诸如密码和数字权利管理之类的传统数据安全技术提供了某些数据保护，但是这些技术可能被规避。例如，被密码保护的数据可以在初始授权提取原始数据之后被复制和分发。 传统数据安全技术所呈现的问题可以通过创建和利用具有封装对象的多个安全层的对象(自知数据对象)来解决。图1图示了根据实施例的自知数据对象(SADO) 100。数据110是需要基于利用数据的上下文(context)来保护的机密数据。数据110可以由数据加密层120保护。数据访问功能130可以提供对数据110的不同类型的访问。自知访问控制组件(SAACC) 140是通过其可以访问数据110的排他接口。具体来说，SAACC排他地控制对功能130的访问。 数据110可以被加密以创建加密层120。加密层120可以防止对数据110的未授权访问。即使以未被授权的方式从SAD0100中提取了数据110，加密层120也可以保证数据110是不可用的。对称的或者非对称的加密方案可以被用于这个目的。对称的加密方案的示例包括 Twofish、Serpent、AES、Blowfish、CAST5、RC4、3DES 和 IDEA。非对称的加密方案的示例包括良好隐私(Pretty Good Privacy, PGP)、传输层安全(Transport Layer Security,TLS)和GNU隐私保护(GNU Privacy Guard, GPG)。在对称的加密方案中，相同的密钥被用来加密并解密数据110。相反，在非对称的方案中，不同的密钥被用来加密和解密数据110。具体来说，在非对称的方案中，数据110是利用授权数据用户的公钥加密的。可以使公钥为需要向授权数据用户发送敏感数据的任何用户/系统所知。数据110可以仅仅通过只有授权数据用户才知道的授权数据用户的私钥来解密。 数据操纵功能130是通过其可以利用数据110的功能。这些功能130可以在创建SAD0100的时间点被提供。功能130可以是授权用户访问数据110的唯一方式。S卩，数据110不能在不调用功能130中的一个或多个的情况下被使用。这保证了数据110仅可以以功能130所指定的预定授权方式被访问。在实施例中，运行功能130所需的软件可以被包括在SAD0100中。所述软件可以在SAD0100被创建时的时间本文档来自技高网...

【技术保护点】
一种计算机实现的方法，包括：由计算机处理器利用密钥加密数据；从可对所述数据运行的多个功能中，选择至少一个功能；将被选的至少一个功能与加密数据相关联，其中，所述被选的至少一个功能提供对所述数据的排他访问；创建指定访问具有加密数据的至少一个功能的条件的数据结构；创建提供对所述至少一个功能的访问的排他接口，其中，所述接口在确定所述条件中的至少一个条件被满足时，许可对所述至少一个功能的访问；以及将加密数据、相关联的至少一个功能、数据结构以及所述接口包括在对象内。

【技术特征摘要】
2013.06.14 US 13/918,2341.一种计算机实现的方法，包括: 由计算机处理器利用密钥加密数据； 从可对所述数据运行的多个功能中，选择至少一个功能； 将被选的至少一个功能与加密数据相关联，其中，所述被选的至少一个功能提供对所述数据的排他访问； 创建指定访问具有加密数据的至少一个功能的条件的数据结构； 创建提供对所述至少一个功能的访问的排他接口，其中，所述接口在确定所述条件中的至少一个条件被满足时，许可对所述至少一个功能的访问；以及 将加密数据、相关联的至少一个功能、数据结构以及所述接口包括在对象内。2.如权利要求1所述的方法，其中，运行所述至少一个功能所需的软件被包括在所述对象中。3.如权利要求1所述的方法，其中，所述至少一个条件指定有权访问所述至少一个功能的授权用户。4.如权利要求1所述的方法，其中，所述至少一个条件指定用于访问所述至少一个功能的时段。5.如权利要求1所述的方法，其中，所述至少一个条件指定所述至少一个功能可以被运行的最大次数。6.如权利要求1所述的方法，其中，所述至少一个条件指定从所述至少一个功能的运行出现的利益冲突。7.如权利要求1所述的方法，其中，所述接口在确定所有条件被满足时许可对所述至少一个功能的访问。8.一种装置，包括: 处理器，其用于: 利用密钥加密数据； 从可对所述数据运行的多个功能中，选择至少一个功能； 将被选的至少一个功能与加密数据相关联，其中，所述被选的至少一个功能提供对所述数据的排他访问； 创建指定访问所述至少一个功能的条件的数据结构； 创建提供对所述至少一个功能的访问的排他接口，其中，所述接口在确定所述条件中的至少一个条件被满足时，许可对所述至少一个功能的访问；以及 将加密数据、相关联的至少一个功能、数据结构以及接口包括在对象内。9.如权利要求8所述的装置，其中，运行所述至少一个功能所需的软件被包括在所述对象中。10.如权利要求8所述的装置，其中，所述至少一个条件指定有权访问所述至少一个功能的授权用户。11.如权利要求8所述的装置，其中，所述至少一个条件指定用于访问所述至少一个功能的时段。12.如权利要求8所述的装置，其中，所述至少一个...

【专利技术属性】
技术研发人员：MP奇林斯基，JHP埃洛夫，
申请(专利权)人：SAP欧洲公司，
类型：发明
国别省市：德国;DE