[发明专利]数据标记化方法和系统

说明书

数据源计算机提供具有相关联的id数据的、要发送到数据收集计算机的消息数据；通过用一个随机数来盲化所述id数据，生成一个盲化id；将所述盲化id发送到标记化计算机；通过网络发送所述随机数和所述消息数据，以便由数据收集计算机接收。作为响应，标记化计算机生成包括用所述随机数盲化的、所述id数据和标记化计算机的一个密钥的函数的一个盲化标记，将所述盲化标记发送到数据收集计算机。作为响应，数据收集计算机使用所述随机数来揭盲所述盲化标记以获得包括所述id数据和所述密钥的一个确定性函数的id标记。然后，数据收集计算机将所述id标记和所述消息数据存储在可操作地耦合到数据收集计算机的存储器中。

技术领域

本发明一般涉及数据标记化。

背景技术

数据标记化(tokenization)是一种用于在将数据移动到不太可信的环境时对数据进行脱敏的技术。例如，当数据集被外包时，或者出于某种目的收集或汇总数据(诸如交易数据)时，法律约束或安全顾虑通常要求在跨越边界转移数据或将数据转移到不受信任的环境中之前使用标记化技术。特别地，要通过网络传输的数据可能包括识别信息，例如社会安全号码、银行帐号、车辆识别号码或不应由数据提供者透露的其他唯一标识符。因此，这种id数据被其他—通常是随机查找的—数据(标记)(token)替换。为了保持数据的整体效用，必须通过标记化过程维护参照完整性(referential integrity)。也就是说，标记化操作必须是一个确定性过程，以便所有出现的相同id数据始终被相同的标记替换。

已经提出了多种标记化技术，并且这些技术目前处于商业运营中。典型的方法要么依赖于非加密方法，诸如替换、扰动或转换表；要么使用加密机制，诸如加密钥的哈希函数或确定性加密。所有方法的共同之处在于它们要求标记化操作在可信环境中执行，即，由可信数据源本身或由数据源的信任域内的专用实体执行。这对标记化系统的实现施加了限制。此外，当从不同的、可能广泛分布的数据源收集数据时，难以以安全且有效的方式实现该假设。参照完整性要求标记化操作在所有数据源中保持一致，因此所有源必须共享相同的秘密标记化密钥，或者更糟糕的是，必须保持转换表的共享和一致版本。更实际的方法是将标记化任务集中在中央可信实体或TTP(可信第三方)，后者处理所有标记化请求。然后，TTP提供将敏感id数据转换为安全标记的服务。当前的解决方案需要将id数据公开给TTP，这使得TTP成为安全和隐私瓶颈。例如，当响应于多个请求和/或针对多个源以动态方式执行标记化时，有一个能够识别和跟踪对应于id数据的用户或其他实体的活动的实体，显然是不期望的。

发明内容

根据本发明的至少一个实施例，提供了一种数据标记化系统，包括适于经由网络进行通信的数据源计算机、标记化计算机和数据收集计算机。数据源计算机提供具有相关联的id数据的、要被发送到数据收集计算机的消息数据，并且适于通过用随机数盲化id数据来生成盲化id。数据源计算机还适于将所述盲化id发送到标记化计算机，并通过网络发送所述随机数和所述消息数据以供数据收集计算机接收。标记化计算机适于响应于对所述盲信息的接收而从其生成盲化标记(blinded token)，所述盲化标记包括用所述随机数盲化的、所述id数据和所述标记化计算机的密钥的函数，并且将盲化标记发送给数据收集计算机。数据收集计算机适于响应于从标记化计算机接收到所述盲化标记以及接收到由数据源计算机发送的所述随机数和所述消息数据，用所述随机数来去盲化所述盲化标记，以获得包括所述id数据和所述密钥的确定性函数的id标记。然后，数据收集计算机将所述id标记和所述消息数据存储在可操作地耦合到数据收集计算机的存储器中。