密碼假名映射方法、計(jì)算機(jī)系統(tǒng)、計(jì)算機(jī)程序和計(jì)算機(jī)可讀介質(zhì)

(19)中華人民共和國國家知識產(chǎn)權(quán)局

(12)發(fā)明專利申請

(10)申請公布號CN114144783A

(43)申請公布日2022.03.04

(21)申請?zhí)?02080052243.3(74)專利代理機(jī)構(gòu)上海專利商標(biāo)事務(wù)所有限公

司31100

(22)申請日2020.07.14

代理人錢盛贊蔡悅

(30)優(yōu)先權(quán)數(shù)據(jù)

(51)Int.CI.

P19002552019.07.15HU

G06F27/55(2013.01)

(85)PCT國際申請進(jìn)入國家階段日

G06F21/60(2013.01)

2022.01.17

G06F76/3/(2019.01)

(86)PCT國際申請的申請數(shù)據(jù)

PCT/HU2020/0500322020.07.14

(87)PCT國際申請的公布數(shù)據(jù)

W02021/009529EN2021.01.21

(71)申請人艾克斯坦德爾有限公司

地址匈牙利布達(dá)佩斯

(72)發(fā)明人F?瓦古耶赫利G?瓦古耶赫利

權(quán)利要求書3頁說明書12頁附圖1頁

(54)發(fā)明名稱

密碼假名映射方法、計(jì)算機(jī)系統(tǒng)、計(jì)算機(jī)程

序和計(jì)算機(jī)可讀介質(zhì)

(57)摘要

本發(fā)明為一種用于匿名數(shù)據(jù)共享系統(tǒng)的密

碼假名映射方法，該方法被適配成用于從與實(shí)體

相關(guān)且源自數(shù)據(jù)源(DSJ的數(shù)據(jù)生成假名化數(shù)據(jù)

庫(DB),其中該數(shù)據(jù)在該數(shù)據(jù)源(DS)處由相應(yīng)

實(shí)體的實(shí)體標(biāo)識符(D)來標(biāo)識，并且其中該數(shù)據(jù)

在該假名化數(shù)據(jù)庫(DB)中通過應(yīng)用一對一映射

指派給相應(yīng)實(shí)體標(biāo)識符(D)的假名(P)來標(biāo)識。根

據(jù)本發(fā)明，應(yīng)用一個(gè)映射器(M)和一個(gè)密鑰管理

器(KM),并且由映射器(M)利用與特定數(shù)據(jù)源

(DSJ相對應(yīng)的映射密碼密鑰(3)為由數(shù)據(jù)源

(DSj)加密的每個(gè)經(jīng)加密實(shí)體標(biāo)識符(CJ生成相

v應(yīng)的假名(P)。本發(fā)明進(jìn)一步為實(shí)現(xiàn)本發(fā)明的計(jì)

g算機(jī)系統(tǒng)、以及計(jì)算機(jī)程序和計(jì)算機(jī)可讀介質(zhì)。

Z

寸

二T——<

寸

CN114144783A權(quán)利要求書1/3頁

1.一種用于匿名數(shù)據(jù)共享系統(tǒng)的密碼假名映射方法，所述方法被適配成用于從與實(shí)體

相關(guān)且源自數(shù)據(jù)源(DSJ的數(shù)據(jù)生成假名化數(shù)據(jù)庫(DB)，其中所述數(shù)據(jù)在所述數(shù)據(jù)源(DSJ

處由相應(yīng)實(shí)體的實(shí)體標(biāo)識符(D)來標(biāo)識，并且其中所述數(shù)據(jù)在所述假名化數(shù)據(jù)庫(DB)中通

過應(yīng)用一對一映射指派給相應(yīng)實(shí)體標(biāo)識符(D)的假名(P)來標(biāo)識，

其特征在于：

-一個(gè)映射器(M)和一個(gè)密鑰管理器(KM),

-其中所述密鑰管理器(KM)被用于：

-從構(gòu)成乘法或加法循環(huán)群的預(yù)定代數(shù)結(jié)構(gòu)中選擇秘密元素(b),

-從所述代數(shù)結(jié)構(gòu)中為每個(gè)數(shù)據(jù)源(DS)選擇將由給定數(shù)據(jù)源(DSJ用作密碼密鑰的元

素包,a)并將其發(fā)送給所述給定數(shù)據(jù)源(DS)同時(shí)將所述元素包,年)保密，

-計(jì)算所述元素均用］)在給定代數(shù)結(jié)構(gòu)中的逆(dj并將其與所述秘密元素(b)一起用

于生成映射器(M)的映射密碼密鑰(兒)，所述映射密碼密鑰(儲)與所述給定數(shù)據(jù)源(DS)相

對應(yīng)，以及將所述映射密碼密鑰(%)發(fā)送給所述映射器(M)同時(shí)將其保密并指派給所述給

定數(shù)據(jù)源(DS),

-由所述數(shù)據(jù)源(DSP通過使用將被用作密碼密鑰的所述元素包,aj將要被映射的每

個(gè)實(shí)體標(biāo)識符(D)轉(zhuǎn)換成相應(yīng)的經(jīng)加密實(shí)體標(biāo)識符(CJ,以及

-由所述映射器(M)利用與特定數(shù)據(jù)源(DS)相對應(yīng)的所述映射密碼密鑰(hs)為由所述

數(shù)據(jù)源(DSJ加密的每個(gè)經(jīng)加密實(shí)體標(biāo)識符(CJ生成相應(yīng)的假名(P)。

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，應(yīng)用構(gòu)成乘法循環(huán)群的代數(shù)結(jié)構(gòu)，其中由

所述密鑰管理器(KM)選擇的值由剩余類模N表示,針對所述代數(shù)結(jié)構(gòu)預(yù)定常數(shù)N=p-q和

(p(N)=(p-lMq-l),其中p和q是隨機(jī)選擇的質(zhì)數(shù)，所述秘密元素(b)是隨機(jī)選擇的質(zhì)數(shù)，而

(p(N)是針對N獲得的歐拉函數(shù)的值，

-將被用作所述數(shù)據(jù)源(DSJ的自身密碼密鑰的所述元素(e)由所述密鑰管理器(KM)隨

機(jī)選擇，

-所述密鑰管理器(KM)被用于計(jì)算將被用作密碼密鑰的所述元素(ei)的逆(d)，針對所

述逆應(yīng))滿足方程備?可三1mod(p(N)),

-隨后，由所述密鑰管理器(KM)生成所述映射密碼密鑰％=4-b并將其發(fā)送給所述映

射器(M),

-由所述數(shù)據(jù)源(DS)利用公式Q=DefmodN來計(jì)算所述經(jīng)加密實(shí)體標(biāo)識符(C)

-由所述映射器(M)計(jì)算所述假名(P)P=CpmodN。

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，隨機(jī)選擇的質(zhì)數(shù)p和q能夠利用所選密鑰大

小的一半比特?cái)?shù)來表示。

4.根據(jù)權(quán)利要求2所述的方法，其特征在于，

-由所述密鑰管理器(KM)將要被用作密碼密鑰的所述元素(ej的所述逆(dj發(fā)送給被

授權(quán)實(shí)體(A),

-由所述通過映射器(M)將所述經(jīng)加密實(shí)體標(biāo)識符(Ci)發(fā)送給被授權(quán)實(shí)體(A)。

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，應(yīng)用構(gòu)成加法循環(huán)群的代數(shù)結(jié)構(gòu)，其中值

由在剩余類模P的數(shù)字域上定義的橢圓曲線的點(diǎn)來表示，其中P為質(zhì)數(shù)，針對所述代數(shù)結(jié)構(gòu),

2

CN114144783A權(quán)利要求書2/3頁

預(yù)定以下常數(shù):y2=x，Ax+Bmodp中定義在質(zhì)數(shù)p的剩余類上定義的橢圓曲線的點(diǎn)的參數(shù)

A、B、以及所述曲線中具有大于所述實(shí)體標(biāo)識符(D)的數(shù)目的階數(shù)q的點(diǎn)G、從剩余類modq之

中任意挑選的值的秘密元素(b),

-所述密鑰管理器(KM)被用于從剩余類modq之中隨機(jī)選擇將由所述數(shù)據(jù)源(DS))用作

密碼密鑰的元素(a),

-隨后，由所述密鑰管理器(KM)生成映射密碼密鑰hj=aj+b并將其發(fā)送給所述映射器

(M),

-由所述數(shù)據(jù)源(DS)利用公式儲=M十a(chǎn)jG來計(jì)算所述經(jīng)加密實(shí)體標(biāo)識符?)，其中運(yùn)

算符十為所述橢圓曲線的所述點(diǎn)的和，以及

-由所述映射器(M)計(jì)算所述假名(P)P=儲一%G,其中A一B=A十(-B)c

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，

-由所述密鑰管理器(KM)將要被用作密碼密鑰的所述元素(aj的所述逆(dj傳遞給被

授權(quán)實(shí)體(A),以及

-由所述通過映射器(M)將所述經(jīng)加密實(shí)體標(biāo)識符(Ci)傳遞給被授權(quán)實(shí)體(A)。

7.一種用于密碼假名化的計(jì)算機(jī)系統(tǒng)，所述系統(tǒng)包括：

-數(shù)據(jù)源(DS),所述數(shù)據(jù)源藉由實(shí)體的實(shí)體標(biāo)識符(D)包括數(shù)據(jù)，

-假名化數(shù)據(jù)庫(DB),其中所述數(shù)據(jù)通過應(yīng)用一對一映射指派給相應(yīng)實(shí)體標(biāo)識符(D)的

假名(P)來標(biāo)識，

其特征在于，

所述系統(tǒng)進(jìn)一步包括：

-映射器(M)和密鑰管理器(KM)；

-模塊，其被適配成用于應(yīng)用所述密鑰管理器(KM)從構(gòu)成乘法或加法循環(huán)群的預(yù)定代

數(shù)結(jié)構(gòu)中選擇秘密元素(b),

-模塊，其被適配成用于應(yīng)用所述密鑰管理器(KM)從所述代數(shù)結(jié)構(gòu)中為每個(gè)數(shù)據(jù)源

(DSJ選擇將由給定數(shù)據(jù)源(DSJ用作密碼密鑰的元素(e/aj并將其發(fā)送給所述給定數(shù)據(jù)

源(DSJ同時(shí)將所述元素Sj,a)保密,

-模塊，其被適配成用于應(yīng)用所述密鑰管理器(KM)計(jì)算所述元素包,aj在給定代數(shù)結(jié)

構(gòu)中的逆(dj，通過將所述逆(dj與秘密元素⑹一起生成映射器(M)的映射密碼密鑰(4),

所述映射密碼密鑰(瓦)與所述給定數(shù)據(jù)源(DSp相對應(yīng)，以及將所述映射密碼密鑰(4)發(fā)送

給所述映射器(M)同時(shí)將其保密并指派給所述給定數(shù)據(jù)源(DS),

-模塊，其被適配成用于應(yīng)用所述數(shù)據(jù)源(DSi)，利用將被用作密碼密鑰的所述元素(ej,

aj將要被映射的每個(gè)實(shí)體標(biāo)識符(D)轉(zhuǎn)換成相應(yīng)的經(jīng)加密實(shí)體標(biāo)識符(Ci)，以及

-模塊，其被適配成用于應(yīng)用所述映射器(M),利用與特定數(shù)據(jù)源(DSJ相對應(yīng)的所述映

射密碼密鑰(hj將由所述數(shù)據(jù)源(DSs)加密的每個(gè)經(jīng)加密實(shí)體標(biāo)識符(C1)映射成相應(yīng)的假

名(P)。

8.根據(jù)權(quán)利要求7所述的計(jì)算機(jī)系統(tǒng)，其特征在于，所述計(jì)算機(jī)系統(tǒng)包括被適配成用于

執(zhí)行根據(jù)權(quán)利要求2或5的步驟的模塊。

9.一種包含指令的計(jì)算機(jī)程序，當(dāng)所述程序由計(jì)算機(jī)執(zhí)行時(shí)，所述指令使所述計(jì)算機(jī)

執(zhí)行根據(jù)權(quán)利要求1所述的方法的步驟。

3

CN114144783A權(quán)利要求書3/3頁

10.一種其上存儲有根據(jù)權(quán)利要求9所述的計(jì)算機(jī)程序的計(jì)算機(jī)可讀介質(zhì)。

4

CN114144783A說明書1/12頁

密碼假名映射方法、計(jì)算機(jī)系統(tǒng)、計(jì)算機(jī)程序和計(jì)算機(jī)可讀

介質(zhì)

技術(shù)領(lǐng)域

[0001]本發(fā)明涉及一種用于假名映射的密碼方法和計(jì)算機(jī)系統(tǒng)，計(jì)算機(jī)程序和計(jì)算機(jī)可

讀介質(zhì)，優(yōu)選地實(shí)現(xiàn)用于數(shù)據(jù)共享的系統(tǒng)，其中數(shù)據(jù)可以匿名的方式來分析。本發(fā)明提供了

一種符合GDPR規(guī)則的安全假名化解決方案。

背景技術(shù)

[0002]當(dāng)前應(yīng)用的假名化方法未解決機(jī)構(gòu)的特殊數(shù)據(jù)處理需求。GDPR第2條規(guī)定，如果主

管機(jī)構(gòu)處于預(yù)防、調(diào)查、偵查或起訴刑事犯罪或執(zhí)行刑事處罰（包括防范和預(yù)防對公共安全

的威脅）的目的處理個(gè)人數(shù)據(jù)，則本條規(guī)則不適用于個(gè)人數(shù)據(jù)的處理。然而，如果主管機(jī)構(gòu)

不能將假名指派給自然人（即使規(guī)則允許此類指派），則主管機(jī)構(gòu)不能利用這一選項(xiàng)。在當(dāng)

前廣泛應(yīng)用的假名化解決方案中，由數(shù)據(jù)源執(zhí)行相同的映射，這確保在所有情形中相同的

假名對應(yīng)于特定標(biāo)識符，但允許任一方通過例如發(fā)起基于彩虹表的攻擊來破解加密。本發(fā)

明為提供該選項(xiàng)的問題提供了一種解決方案:僅供主管機(jī)構(gòu)利用出于分析目的生成的經(jīng)過

特殊處置的密碼密鑰來將已出于該目的被假名化的、通過其他適當(dāng)手段匿名、且未被用于

官方目的的數(shù)據(jù)指派到未經(jīng)加密的數(shù)據(jù)。

[0003]題為"Datamanagementmethodandregistrationmethodforananonymous

datasharingsystem,aswellasdatamanagerandanonymousdatasharingsystem

用于匿名數(shù)據(jù)共享系統(tǒng)的數(shù)據(jù)管理方法和注冊方法、以及數(shù)據(jù)管理器和匿名數(shù)據(jù)共享系

統(tǒng)”的W02017/141065A1公開了一種用于以一種方式來分析駐留有多個(gè)相互獨(dú)立的實(shí)體

（下文稱為數(shù)據(jù)源）的數(shù)據(jù)的解決方案,這種方式將數(shù)據(jù)加載到單個(gè)統(tǒng)一數(shù)據(jù)庫中，實(shí)體（例

如，個(gè)人、公司）的標(biāo)識符通過應(yīng)用被適配成用于保護(hù)匿名性的假名來存儲在該數(shù)據(jù)庫中，

確保原始數(shù)據(jù)無法從假名中恢復(fù)。本發(fā)明使用從數(shù)論方面來看安全的假名映射方法來補(bǔ)充

W02017/141065A1中所公開的解決方案。然而，將假名指派給原始標(biāo)識符的過程的安全性

風(fēng)險(xiǎn)不止由假名映射算法易受數(shù)論攻擊引起。在W02017/141065A1中，除了提供假名映射

方法之外，還提供了措施的詳細(xì)描述，這些措施必須被采取，以確保提供包含假名的數(shù)據(jù)庫

的匿名性。這些措施有禁止向數(shù)據(jù)指定屬性、分析k-匿名性和1-多樣性、或防止基于反映實(shí)

體相互關(guān)系的圖形的形態(tài)特性的節(jié)點(diǎn)標(biāo)識。參考文件中所描述的所有方法也可應(yīng)用于本發(fā)

明，包括其中確保數(shù)據(jù)源的匿名性也是要求的情形。這在數(shù)據(jù)源報(bào)告與它們自身相關(guān)的數(shù)

據(jù)的情形中尤為重要。

[0004]如今，幾乎所有真實(shí)世界的事件都以數(shù)字空間中所存儲的數(shù)據(jù)的形式留下痕跡。

對這些數(shù)據(jù)的分析允許作出有價(jià)值的推斷。數(shù)據(jù)被存儲在通常彼此不處于依賴關(guān)系的多個(gè)

實(shí)體中。數(shù)據(jù)常常有實(shí)體（例如，個(gè)人、公司、機(jī)構(gòu)、財(cái)產(chǎn)、儀器、金融資產(chǎn)等）的特征或描述其

行為。在數(shù)據(jù)庫中，實(shí)體指的是應(yīng)用廣為人知的實(shí)體標(biāo)識符（例如，社會保障號碼、稅號、土

地注冊號）。具有根據(jù)實(shí)體標(biāo)識符的實(shí)體特征的可分析數(shù)據(jù)被稱為屬性。

[0005]如果可以使用盡可能廣泛范圍的數(shù)據(jù)進(jìn)行分析，則可以關(guān)于實(shí)體的行為和相互關(guān)

5

CN114144783A說明書2/12頁

系進(jìn)行更接近現(xiàn)實(shí)的分析。這樣做的最佳方式是應(yīng)用單個(gè)數(shù)據(jù)庫分析所有可用數(shù)據(jù)。然而,

數(shù)據(jù)庫常常包含機(jī)密信息，或者受法律保護(hù)的信息（例如，在自然人的情形中）。這為數(shù)據(jù)管

理器出于聚集分析目共享它們所管理的數(shù)據(jù)設(shè)置了限制。因此，數(shù)據(jù)管理者（即數(shù)據(jù)源）必

須傳遞數(shù)據(jù)，以使得執(zhí)行假名化映射以及應(yīng)用于共用數(shù)據(jù)庫的分析的實(shí)體無法訪問原始實(shí)

體標(biāo)識符。這是可行的，因?yàn)樵诖蠖鄶?shù)情形中，分析的目的不是理解特定人或物的屬性、行

為或聯(lián)系網(wǎng)絡(luò)，而是識別從更多人群中的（匿名）個(gè)體期望的行為模式、分析聯(lián)系網(wǎng)絡(luò)的結(jié)

構(gòu)、以及作出與事件的未來進(jìn)程相關(guān)的推斷。

[0006]通過W02017/141065A1中所公開的方法定義了為共用數(shù)據(jù)庫中所存儲的未經(jīng)加

密的開放實(shí)體標(biāo)識符和匿名標(biāo)識符（下文稱為:假名）之間的映射設(shè)置的要求。這種映射實(shí)

際上只能通過利用特殊的信息技術(shù)設(shè)備（即，密碼處理器（在物理保護(hù)下執(zhí)行密碼運(yùn)算的專

用計(jì)算機(jī)單元））來實(shí)現(xiàn)。在開放多用戶系統(tǒng)中，這對系統(tǒng)的適用性提出了問題。與在單個(gè)步

驟中執(zhí)行的映射相反，已知的技術(shù)解決方案通常提供針對“暴力”類型攻擊的保護(hù)（通過擁

有關(guān)于加密系統(tǒng)運(yùn)算的信息，通過嘗試每個(gè)可能密鑰來確定所應(yīng)用的密鑰），但是數(shù)據(jù)源與

執(zhí)行映射的實(shí)體之間的惡意協(xié)作只能通過應(yīng)用補(bǔ)充方法來防止（例如，通過由附加實(shí)體對

經(jīng)映射值進(jìn)行加密）o

[0007]如果給定的開放實(shí)體標(biāo)識符以相同的假名輸入共用數(shù)據(jù)庫，則可將假名用于上述

分析目的，而不論哪個(gè)數(shù)據(jù)源發(fā)送了它，即未經(jīng)加密的標(biāo)識符與假名之間的映射必須是一

對一映射，其中無法計(jì)算映射的逆，即任何實(shí)體都無法從假名生成未經(jīng)加密實(shí)體標(biāo)識符。如

果映射是由數(shù)據(jù)源執(zhí)行的，那么它們也必須應(yīng)用相同的映射。如果需要算法上不可逆的映

射，則通常應(yīng)用密碼散列函數(shù)，其中未經(jīng)加密的數(shù)據(jù)是函數(shù)的輸入，而在該情形中輸出值是

假名。造成問題的是，實(shí)體標(biāo)識符的多樣性通常是低的，量級在一億至數(shù)百億之間。對于此

類多樣性，可以在很短的時(shí)間內(nèi)生成彩虹表（用于反轉(zhuǎn)密碼散列函數(shù)的預(yù)計(jì)算表）。因此，在

計(jì)算散列值的進(jìn)程中，加“鹽”來補(bǔ)充輸入數(shù)據(jù)（隨機(jī)選擇的數(shù)據(jù)用作散列函數(shù)的附加輸入

數(shù)據(jù)）。在此類情形中，所有實(shí)體都必須應(yīng)用相同的“鹽”，以使能能夠維持一對一關(guān)系。但

是，由所有數(shù)據(jù)源使用的數(shù)據(jù)很難能夠被視為秘密，或者如果攻擊者能夠訪問任何數(shù)據(jù)源

的系統(tǒng)，要執(zhí)行計(jì)算甚至不需要知曉值（例如，攻擊者可能是執(zhí)行任意數(shù)目的映射時(shí)不以任

何方式受限的數(shù)據(jù)源之一）。

[0008]另一種可能性是將未經(jīng)加密的數(shù)據(jù)或由應(yīng)用相同加密和假名的數(shù)據(jù)源加密的數(shù)

據(jù)之間的關(guān)系的生成委托給受信任合作者。受信任合作者能夠在第一情形中簡單地匯編彩

虹表,而在第二情形中通過獲取對僅單個(gè)數(shù)據(jù)源的系統(tǒng)的訪問來匯編彩虹表。因此，根據(jù)W0

2017/141065A1的解決方案得到數(shù)據(jù)源必須應(yīng)用基于唯一（例如，自身的）密碼密鑰的加密

方法的結(jié)論。在此類情形中，數(shù)據(jù)源將相同的實(shí)體標(biāo)識符作為不同的密碼（經(jīng)加密的數(shù)據(jù)）

來發(fā)送，同時(shí)必須執(zhí)行假名映射，以使得在特定密碼是從相同的未經(jīng)加密標(biāo)識符計(jì)算的情

況下必須將不同的密碼指派給相同的假名。在根據(jù)本文件實(shí)現(xiàn)的解決方案中，應(yīng)用RSA密

鑰，其中解密密鑰被存儲在可信平臺模塊（TPM,例如參見IS0/IEC11889）中，通過利用安全

密碼處理器進(jìn)行解密過程以及未經(jīng)加密的數(shù)據(jù)到假名的映射。這種結(jié)構(gòu)難以實(shí)現(xiàn)并且需要

大量的初始投資，同時(shí)其運(yùn)算也是麻煩的，因?yàn)樗枰挠布A(chǔ)設(shè)施與數(shù)據(jù)源的數(shù)目成

線性關(guān)系。

[0009]發(fā)明描述

6

CN114144783A說明書3/12頁

[0010]本發(fā)明的目的是消除現(xiàn)有技術(shù)解決方案（尤其是以上所呈現(xiàn)的現(xiàn)有技術(shù)解決方

案）的缺點(diǎn)或減少其影響。

[0011]本發(fā)明的主要目的是提供一種密碼假名映射解決方案，該方案不需要使用安全硬

件（例如，密碼處理器）來執(zhí)行解密并將未經(jīng)加密的數(shù)據(jù)映射到假名。

[0012]通過提供根據(jù)權(quán)利要求1的密碼假名映射方法、根據(jù)權(quán)利要求7的計(jì)算機(jī)系統(tǒng)、根

據(jù)權(quán)利要求9的計(jì)算機(jī)程序以及根據(jù)權(quán)利要求10的計(jì)算機(jī)可讀介質(zhì)實(shí)現(xiàn)本發(fā)明的目的。本

發(fā)明的優(yōu)選實(shí)施例在從屬權(quán)利要求中定義。

[0013]根據(jù)本發(fā)明的密碼假名映射方法被適配成用于從實(shí)體數(shù)據(jù)生成假名化數(shù)據(jù)庫，其

中數(shù)據(jù)在數(shù)據(jù)源處利用相應(yīng)實(shí)體的實(shí)體標(biāo)識符來標(biāo)識,并且其中數(shù)據(jù)在假名化數(shù)據(jù)庫中利

用應(yīng)用一對一映射指派給相應(yīng)實(shí)體標(biāo)識符的假名來標(biāo)識。

[0014]本發(fā)明是一種利用在剩余類上執(zhí)行的模求基的屬性以及基于橢圓曲線的特別選

擇的離散點(diǎn)的運(yùn)算屬性，并實(shí)現(xiàn)所需的抽象映射，同時(shí)不包含與現(xiàn)有技術(shù)相關(guān)的以上所提

及的限制的解決方案。

[0015]與現(xiàn)有技術(shù)相比，本發(fā)明不需要用于存儲密碼密鑰或用于執(zhí)行計(jì)算的任何特殊硬

件，而是取而代之地通過純粹的密碼手段來解決問題。這首先要求必須將實(shí)體標(biāo)識符指派

給代數(shù)（數(shù)學(xué)）結(jié)構(gòu)（例如，參見維基百科（Wikipedia））的元素，在這些元素上執(zhí)行密碼計(jì)

算。信息技術(shù)設(shè)備應(yīng)用數(shù)據(jù)的二進(jìn)制表示，因此數(shù)據(jù)可被解讀為可被用于執(zhí)行計(jì)算的正整

數(shù)。在下文中，假設(shè)映射域能夠提供實(shí)體標(biāo)識符和計(jì)算出的密碼的唯一表示。例如，如果計(jì)

算是在剩余類的循環(huán)群（例如，參見維基百科）上執(zhí)行的，則選擇的模數(shù)將足夠大，以使得有

足夠數(shù)目的剩余類可用。由于在實(shí)際實(shí)現(xiàn)中應(yīng)用了密鑰大小，因此這不會造成問題。例如，

在對剩余類執(zhí)行模求累的情形中，與實(shí)際出現(xiàn)的實(shí)體標(biāo)識符相比，指數(shù)可以應(yīng)用多得多的

比特來表示。在此類情形中，可以考慮對值進(jìn)行所謂的“填充”，以使得使用低基數(shù)執(zhí)行的求

事不能通過普通的根計(jì)算來反轉(zhuǎn)。這在計(jì)算結(jié)果的過程期間不需要模運(yùn)算的情形中發(fā)生。

由于應(yīng)用一對一映射的要求，只能應(yīng)用確定性填充方法。

[0016]因此，考慮多個(gè)數(shù)據(jù)源，每個(gè)數(shù)據(jù)源包括包含實(shí)體標(biāo)識符和屬性的數(shù)據(jù)庫。必須在

共用數(shù)據(jù)庫中收集數(shù)據(jù)，以使得根據(jù)以下條件使用假名將實(shí)體標(biāo)識符包括在其中：

[0017]⑴給定實(shí)體標(biāo)識符必須被映射到相同的假名，而不論接收到它的數(shù)據(jù)源如何。

[0018]⑵不得將同一假名指派給兩個(gè)不同的實(shí)體標(biāo)識符。

[0019]（3）未經(jīng)加密的標(biāo)識符與其假名之間的關(guān)系不可由系統(tǒng)的任何參與者僅利用其已

知的信息獲得，即使數(shù)據(jù)源以破壞加密為意圖與參與映射的參與實(shí)體合作。

[0020]（4）特別授權(quán)實(shí)體（例如主管機(jī)構(gòu)）必須能夠根據(jù)由數(shù)據(jù)源發(fā)送的密碼來計(jì)算未經(jīng)

加密實(shí)體標(biāo)識符。

[0021]條件⑴和⑵一起暗示了映射必須是一對一映射。密碼映射滿足該要求，只要我

們維持在其域（在密碼學(xué)中，為消息域）內(nèi)。條件⑶排除了可僅由一個(gè)或兩個(gè)參與者、不需

要與其他參與實(shí)體合作地執(zhí)行所有映射。為了滿足條件⑷，需要這樣一種方法，該方法被

適配成從應(yīng)用由其他實(shí)體運(yùn)用的密碼密鑰映射的密碼來生成未經(jīng)加密的數(shù)據(jù)，而其他實(shí)體

不能從它們相應(yīng)的自身密碼密鑰來計(jì)算該解密密鑰。因?yàn)榧倜c未經(jīng)加密的數(shù)據(jù)之間的關(guān)

系將受到各種方式保護(hù)，因此為滿足該條件，必須應(yīng)用由數(shù)據(jù)源計(jì)算的密碼。數(shù)據(jù)源必須不

可能跟蹤映射的第一步驟和第二步驟，因?yàn)榉駝t，它可以很容易地獲得作為第二計(jì)算步驟

7

CN114144783A說明書4/12頁

的結(jié)果的假名。執(zhí)行第二映射的實(shí)體可以很容易地訪問假名，因此它必須不能訪問未經(jīng)加

密實(shí)體標(biāo)識符。這在實(shí)體標(biāo)識符由數(shù)據(jù)源應(yīng)用它們自身的唯一加密（即，使用它們自身的密

碼密鑰）發(fā)送給映射器實(shí)體，但是數(shù)據(jù)源無法“看到”假名映射計(jì)算，或者無法將其結(jié)果與它

們自己提供的數(shù)據(jù)相關(guān)的情況下可被提供。

[0022]根據(jù)W02017/141065A1中所描述的技術(shù)方案，必須通過將映射分解成各步驟來

應(yīng)用密碼執(zhí)行假名映射，其中給定步驟能由被適配成執(zhí)行映射的僅單個(gè)參與實(shí)體來執(zhí)行：

[0023]P=gb（fkeyj（Q））=晶（fkey:iIke%（D）））

[0024]其中D為實(shí)體標(biāo)識符,P為假名，i為數(shù)據(jù)源的數(shù)字標(biāo)識符,J為應(yīng)用其自身密鑰計(jì)

算的密碼。加密系統(tǒng)中的不同映射常常應(yīng)用不同的密鑰來執(zhí)行相同的算法。因此，應(yīng)用密鑰

b執(zhí)行的映射g可被4替換。應(yīng)用單個(gè)映射器（例如，安全密碼處理器），該映射器被適配成解

密密碼，隨后應(yīng)用假名映射密鑰b來將未經(jīng)加密的數(shù)據(jù)映射到假名P。例如，應(yīng)用RSA方法（例

如，參見US4,405,829A）,第i個(gè)數(shù)據(jù)源的密碼密鑰為（erN）,其中e為加密指數(shù)，而N為模

數(shù)。密碼是通過以下計(jì)算獲得的：

[0025]Cj三DeimodN

[0026]密碼隨后并被發(fā)送給執(zhí)行假名映射的實(shí)體，該實(shí)體利用解密密鑰（dj,N）生成未經(jīng)

加密的數(shù)據(jù)，其中4為指數(shù)，執(zhí)行以下計(jì)算：

[0027]D三modN

[0028]根據(jù)us4405829A,該計(jì)算例如應(yīng)用安全密碼處理器來執(zhí)行，以使得映射器不能

訪問未經(jīng)加密的數(shù)據(jù)，但是能夠使用結(jié)果來計(jì)算假名。利用映射g三4的密碼密鑰（b,N）從

未經(jīng)加密的數(shù)據(jù)中獲得假名（與本說明書中的其他地方不同，此處符號三表示同一性而非

一致性）：

[0029]P=DbmodN

[0030]重要的是，不能從執(zhí)行計(jì)算的設(shè)備中讀取值4和b；此類設(shè)備例如是可信平臺模塊

芯片。因?yàn)間和f兩者均表示模N的模求累,所以在下文中使用僅f。使用以上示例的幾號，整

個(gè)映射為：

[0031]p=（（DeimodN）d>modN）bmodN

[0032]其中利用指數(shù)ej的最內(nèi)層密碼計(jì)算由數(shù)據(jù)源執(zhí)行，隨后由映射器應(yīng)用指數(shù)b來執(zhí)

行計(jì)算。

[0033]目的是提供一種用于執(zhí)行后兩次映射的計(jì)算方法，在此進(jìn)程中，實(shí)體執(zhí)行計(jì)算：

[0034]i.無法訪問實(shí)體標(biāo)識符D（即未經(jīng)加密的數(shù)據(jù)），以及

[0035]ii.無法訪問被用于從未經(jīng)加密的數(shù)據(jù)生成假名的指數(shù)b。

[0036]由此得出，根據(jù)條件（i.）,執(zhí)行計(jì)算的實(shí)體也必須不能訪問4,因?yàn)榉駝t它可能解

密密碼。條件（ii.）是必需的，以防止映射器進(jìn)行成功的試錯(cuò)或基于彩虹表的攻擊。在示例

性映射中，數(shù)據(jù)應(yīng)用由正整數(shù)模數(shù)（N）定義的剩余類來表示。

[0037]在根據(jù)本發(fā)明的解決方案中，可以在任意數(shù)目的步驟中執(zhí)行應(yīng)用逆密鑰的解密以

及假名映射，以使得在計(jì)算進(jìn)程中不生成未經(jīng)加密的數(shù)據(jù)（實(shí)體標(biāo)識符），沒有實(shí)體能夠獲

得解密密鑰key「i,并且也沒有實(shí)體能夠獲得假名映射密鑰b,即，沒有實(shí)體能夠秘密地從未

8

CN114144783A說明書5/12頁

經(jīng)加密的數(shù)據(jù)生成假名（即編譯彩虹表）。為了達(dá)成這一點(diǎn)，應(yīng)用基于已知數(shù)目的理論基礎(chǔ)

的信息技術(shù)方法。

[0038]附圖簡述

[0039]下文參考附圖通過示例來描述本發(fā)明的優(yōu)選實(shí)施例,其中：

[0040]圖1是解說根據(jù)本發(fā)明的解決方案的示意圖，該解決方案應(yīng)用單個(gè)密鑰管理器來

實(shí)現(xiàn)并且包括被適配成用于解密數(shù)據(jù)源的經(jīng)加密數(shù)據(jù)（密碼）的特別授權(quán)實(shí)體。

[0041]用于執(zhí)行發(fā)明的模式

[0042]根據(jù)本發(fā)明，已經(jīng)認(rèn)識到，構(gòu)成乘法或加法循環(huán)群的代數(shù)結(jié)構(gòu)的特征可被優(yōu)選地

用來完成本發(fā)明的目的。以下更詳細(xì)地描述了基于此類代數(shù)結(jié)構(gòu)的兩種類型的解決方案,

但是根據(jù)本發(fā)明，還可以應(yīng)用提供本發(fā)明的運(yùn)算所需的算術(shù)的其他此類代數(shù)結(jié)構(gòu)。在示例

性代數(shù)結(jié)構(gòu)中，首先詳細(xì)描述了涉及剩余類模N（其中N是正整數(shù)）的解決方案，隨后相對于

前者描述了涉及在剩余類模P（其中P是質(zhì)數(shù)）數(shù)域上定義的橢圓曲線的點(diǎn)的解決方案。

[0043]實(shí)體標(biāo)識符及對應(yīng)數(shù)據(jù)被存儲在相互獨(dú)立的數(shù)據(jù)源處的數(shù)據(jù)庫中，并且在根據(jù)本

發(fā)明的假名化之后,數(shù)據(jù)連同從實(shí)體標(biāo)識符生成的假名一起被存儲在中央假名化數(shù)據(jù)庫中

并被指派給彼此。遵守本發(fā)明的對象集的條件，對于給定的實(shí)體標(biāo)識符，未經(jīng)加密的數(shù)據(jù)與

假名之間的關(guān)系不會受數(shù)據(jù)來源（即，其來自什么數(shù)據(jù)源）的影響。然而，映射過程（即在特

定階段執(zhí)行的運(yùn)算）對于每個(gè)數(shù)據(jù)源是唯一的，也就是說，必須要使用不同的密碼密鑰（例

如,模累）來執(zhí)行相同的映射。數(shù)據(jù)收集系統(tǒng)的實(shí)現(xiàn)必須從選擇適當(dāng)?shù)哪?shù)開始。這實(shí)際上

是由數(shù)據(jù)收集服務(wù)的供應(yīng)商或首先決定適用密鑰的比特長度的數(shù)據(jù)收集社區(qū)來執(zhí)行的。隨

后，選擇兩個(gè)此類質(zhì)數(shù)，它們的乘積（用作模數(shù)）可以使用給定的比特?cái)?shù)目來表示。生成密鑰

的實(shí)體（下文稱為：密鑰管理器）必須知曉模數(shù)N并且還知曉由歐拉（Euler）函數(shù)給出的值

（p（N）,或者換言之，其totient值。執(zhí)行映射的所有參與實(shí)體都必須知曉模數(shù)的值N。如果要

被映射的實(shí)體標(biāo)識符的表示大小顯著小于密鑰大小，則優(yōu)選應(yīng)用某種類型的填充方法。該

方法必須是確定性的，即每個(gè)數(shù)據(jù)源必須接收相同的值，以使得假名也是確定性的，而不論

數(shù)據(jù)源如何。因此，映射的基本數(shù)據(jù)為N和（p（N）o

[0044]根據(jù)本發(fā)明，通過隨機(jī)選擇，意味著該方法的實(shí)現(xiàn)不依賴于選擇給定集合的哪些

特定元素。因此，隨機(jī)選擇意味著還包括準(zhǔn)隨機(jī)或偽隨機(jī)選擇，以及所有此類選擇方法（即

使根據(jù)觀察者不知曉的規(guī)則），其中選擇對于外部觀察者而言似乎是隨機(jī)的。如果集合構(gòu)成

代數(shù)結(jié)構(gòu)，則在它具有空元素和/或單元元素的情況下，它/它們不被認(rèn)為是隨機(jī)選擇的。此

外，在剩余類的情形中，避免選擇非相對質(zhì)數(shù)值。但是，出于密碼考慮,值得選擇它們的表示

的比特長度填滿所有可用空間的此類值。

[0045]如圖1中所示，描述實(shí)體或它們的行為的實(shí)體標(biāo)識符D和屬性（圖中未示出后者）由

數(shù)據(jù)源DSj存儲在它們相應(yīng)的數(shù)據(jù)庫中。特定實(shí)體與其他實(shí)體之間的關(guān)系可被視為給定實(shí)

體的特征。由此，在此類關(guān)系中，其他實(shí)體的實(shí)體標(biāo)識符被視為屬性（例如,B是A的客戶端,

在該情形中，B同時(shí)為屬性和實(shí)體標(biāo)識符）。因?yàn)楦鶕?jù)本發(fā)明的技術(shù)方案的目的是支持匿名

性，所以此類數(shù)據(jù)也可被視為實(shí)體標(biāo)識符。

[0046]與實(shí)體標(biāo)識符D相關(guān)的屬性優(yōu)選地由數(shù)據(jù)源DSj作為未經(jīng)加密的數(shù)據(jù)來傳遞，而實(shí)

體標(biāo)識符D由數(shù)據(jù)源DSj利用其自身的密碼密鑰來加密。結(jié)果所得的密碼被發(fā)送到被適配成

9

CN114144783A說明書6/12頁

執(zhí)行至假名P的映射的實(shí)體（即映射器M）。同時(shí)，維持未經(jīng)加密的數(shù)據(jù)與密碼之間的指派（即

維持經(jīng)加密實(shí)體標(biāo)識符），因?yàn)閿?shù)據(jù)分析所需的數(shù)據(jù)庫只能以此類方式來加載有用信息。

[0047]本發(fā)明的技術(shù)方案應(yīng)用對于所有數(shù)據(jù)源DSj而言共用的單個(gè)映射器M,其實(shí)現(xiàn)如

下。在第一步驟中，由數(shù)據(jù)源DSj執(zhí)行加密,隨后在第二步驟中由映射器M計(jì)算假名P。如果這

兩個(gè)實(shí)體協(xié)作，那么它們就能夠?qū)⑽唇?jīng)加密的數(shù)據(jù)與假名P連接，因此它們甚至可以生成彩

虹表。因此，可以在通過進(jìn)一步信息技術(shù)手段補(bǔ)充對映射器M的監(jiān)督的情形中應(yīng)用該解決方

案。

[0048]第i個(gè)數(shù)據(jù)源DSj使用其自身的秘密密碼密鑰，該密鑰使用以上應(yīng)用的編號被稱為

0,N）。每個(gè)數(shù)據(jù)源都可以使用任意數(shù)目的密鑰，因此不止一個(gè)密鑰標(biāo)識符索弓Ii可以對應(yīng)

于數(shù)據(jù)源。因此，實(shí)體標(biāo)識符D作為以下密碼被發(fā)送給映射器：

[0049]Cj=DeimodN

[0050]如上所示，假名通過映射器執(zhí)行以下運(yùn)算來生成：

[0051]p三（（Cj）dimodN）bmodN

[0052]作為中間計(jì)算的結(jié)果，通過計(jì)算值（CjamodN,可以獲得必須對映射器保持隱藏

的未經(jīng)加密的值D。出于相同的原因，映射器也不能訪問包。針對該問題的解決方案是同時(shí)

利用指數(shù)a和b并應(yīng)用指數(shù)hi=di-bmod（p（N決執(zhí)行兩次求累運(yùn)算：

[0053]p=q同modN

[0054]必須注意到，對模求嘉運(yùn)算的指數(shù)執(zhí)行的運(yùn)算結(jié)果必須使用根據(jù)（P（N）的模數(shù)來計(jì)

算,因?yàn)檫@些指數(shù)形成具有數(shù)目（p（N件元素的循環(huán)群。

[0055]當(dāng)然，必須確認(rèn)實(shí)體標(biāo)識符D（即未經(jīng)加密的數(shù)據(jù)）是否出現(xiàn)在以上計(jì)算進(jìn)程中的

某處。如果以上模求累運(yùn)算是作為乘法序列來執(zhí)行的，則在執(zhí)行dj乘法之后,將獲得未經(jīng)加

密的標(biāo)識符D,這將使該方法變得無用，因?yàn)閳?zhí)行計(jì)算的實(shí)體可以輕松檢查所獲得的部分結(jié)

果是否為實(shí)體標(biāo)識符所期望的形式，特別是檢查它是否還包含CDV（檢查數(shù)字值）。然而，由

于2048比特的最小適用密鑰大小，指數(shù)的十進(jìn)制形式有616位，即，將必須執(zhí)行多達(dá)1（）616次

模乘法。實(shí)際上,這是不可行的。因此，下面將描述最簡單（但并非最有效的）的實(shí)際可行的

方法。應(yīng)用二進(jìn)制求暴方法來執(zhí)行求事X、（例如，參見:模求累，從右到左二進(jìn)制方法）。這些

數(shù)字以二進(jìn)制形式來表示，即二的基和。例如，對于y：

2

[0056]y=y0?2°+y（?2*+71?2+y3?2^^?2~1,其中丫1是數(shù)字二進(jìn)制表示中的第i比

特,即為0或1,對和貢獻(xiàn)0或。由此，

>123123n-1

[0057]xy=xyo2°+yr2+y2-2+y3-2+_xy0'2°.j^yi-2.xy2,2.xy312..xyn-r2o

[0058]因止匕，如果指數(shù)y中的第i比特為零，則中間結(jié)果乘以一，而如果第i比特是一，則它

乘以x21即乘以小小2E4M8,...^2自。然而,在二進(jìn)制表示的情形中，應(yīng)用二次幕的求幕可

以作為比特移位運(yùn)算來執(zhí)行。因此，已經(jīng)實(shí)現(xiàn)了實(shí)用可計(jì)算性。中間結(jié)果是應(yīng)用密碼G的二

進(jìn)制表示的兩個(gè)非零數(shù)字的（對應(yīng)）基指數(shù)計(jì)算的毒乘積。如果hi三di?bmodq）（N）的第

-r（低階）比特與夫的比特相同，則低階比特被定為朝向左側(cè)。如果包的長度與％的長度相

同，即它們以相同數(shù)目的零開始，則與b相乘對應(yīng)于與單位相乘，即b三1mod（p（N）。讓我

10

CN114144783A說明書7/12頁

們排除該簡單情形，其中假名映射將是一致的，因此相應(yīng)地不選擇b作為其中一者。否則，密

鑰選擇(以及因此還有逆的選擇)可被認(rèn)為是隨機(jī)的，因此它們以數(shù)目n個(gè)零開始的概率為

[0059]讓我們考慮其中dj和均不具有相同長度的情形。如果乘法包-b根據(jù)“長乘法”算法

(如文獻(xiàn)上說的那樣)執(zhí)行，即利用乘法器包的數(shù)字乘以被認(rèn)為未知的被乘數(shù)b,則在4的給

定比特為1的情況下，結(jié)果為b,而在給定比特為0的情況下，結(jié)果為0。給定比特的值實(shí)際上

可以被認(rèn)為是隨機(jī)的，因此在統(tǒng)計(jì)上中間結(jié)果在一半的情形中將是非零的。中間結(jié)果隨后

根據(jù)乘法器的對應(yīng)數(shù)字進(jìn)行移位并相加。作為結(jié)果，獲得與匈中非零比特的數(shù)目一樣多的

方程,該數(shù)目平均為可長度的一半。在所有這些等式中，b的特定比特的和等于dj的對應(yīng)比特

的值，即0或1。在密鑰大小為2048比特的情況下，解決方案平均必須滿足1024條語句。在方

程的右側(cè)可以為1或0的值，其僅作為0和1的和來獲得。如果對于隨機(jī)選擇的b的值,所計(jì)算

的值與乘積的剛計(jì)算的數(shù)字處的0或1不相同，則改變計(jì)算中所包括的b的單個(gè)比特將產(chǎn)生

正確的結(jié)果。然而，每次都將作為b的二進(jìn)制表示的潛在可選值的數(shù)量減少一半。因此，以2

I。?」的概率執(zhí)行產(chǎn)生應(yīng)用4作為指數(shù)的求塞結(jié)果的運(yùn)算，即以1。3。8的概率獲得未經(jīng)加密的

數(shù)據(jù)。因此，實(shí)際上在計(jì)算進(jìn)程中幾乎從不生成未經(jīng)加密的數(shù)據(jù)。

[0060]數(shù)據(jù)收集網(wǎng)絡(luò)的共用標(biāo)識符具有以下特性。在映射密鑰的進(jìn)程中，使用W02017/

141065A1中指定的方法來將模數(shù)N生成為適當(dāng)幅值的兩個(gè)質(zhì)數(shù)的積N=p-q。在此類情形

中，(p(N)=(p-l>(q-l)。對用于將未經(jīng)加密的數(shù)據(jù)映射到假名的指數(shù)b的唯一要求是，它與

q)(N)互質(zhì)。b針對(p(N)的模乘法逆未被計(jì)算，因?yàn)樗幢挥糜谌魏斡?jì)算(如果三1mod

m,a的乘法逆為小模m)。

[0061]生成一對映射密鑰的過程如下：在執(zhí)行以上計(jì)算之后，與(p(N)互質(zhì)的指數(shù)dj是隨

機(jī)選擇的。然后應(yīng)用擴(kuò)展歐幾里德算法來計(jì)算ej針對其公式三1mod(p(N)將為真。在

那之后，計(jì)算hi=di-bmod(p(N)o

[0062]因?yàn)樵趽碛衎時(shí)，可以從未經(jīng)加密的數(shù)據(jù)生成假名，所以該數(shù)據(jù)可被根本無法訪問

未經(jīng)加密的數(shù)據(jù)的此類實(shí)體訪問。因此，在此類系統(tǒng)中，需要密鑰管理器KM,其被適配成用

于生成密鑰并使它們可由執(zhí)行計(jì)算的實(shí)體訪問。p、q和b的值由此由密鑰管理器生成并保

密。值(p(N)也可由僅密鑰管理器訪問，即它是唯一能夠生成密鑰(ei、dj和4)的實(shí)體，即上

述映射密鑰對由密鑰管理器KM生成。

[0063]立法或數(shù)據(jù)收集和數(shù)據(jù)分析社區(qū)的規(guī)則可能允許機(jī)構(gòu)A或受社區(qū)信任的機(jī)構(gòu)被給

予對未經(jīng)加密的數(shù)據(jù)訪問。由于這是不期望的，即使該實(shí)體也能夠在未經(jīng)加密數(shù)據(jù)與假名

之間建立連接，因此優(yōu)選地出于該目的應(yīng)用直接源自數(shù)據(jù)源DS1的密碼。為了執(zhí)行解密操

作，需要密鑰管理器KM在經(jīng)加密數(shù)據(jù)通道上將密鑰包傳遞給該實(shí)體。則，如果已經(jīng)獲得了所

需的法律授權(quán)或數(shù)據(jù)收集社區(qū)的許可，則實(shí)體可以向映射器M請求所需的密碼數(shù)據(jù)。該實(shí)體

由此能夠通過執(zhí)行以下計(jì)算來訪問所接收的未經(jīng)加密的數(shù)據(jù)：D=峭modNa

[0064]如果將針對每個(gè)數(shù)據(jù)元素控制解密授權(quán)，則數(shù)據(jù)源DSj必須利用相應(yīng)的不同密碼

密鑰來對每個(gè)數(shù)據(jù)元素進(jìn)行加密，隨后將其傳遞給映射器M。在每個(gè)時(shí)機(jī)中都必須向生成數(shù)

據(jù)源DSj的密碼密鑰ej和映射器M的映射密鑰儲的密鑰管理器KM請求所需的密鑰，并且將前

11

CN114144783A說明書8/12頁

者傳遞給數(shù)據(jù)源DSj,并將后者傳遞給映射器M,以使得沒有其他實(shí)體能夠訪問它們。由機(jī)構(gòu)

A例如分別從密鑰管理器KM以及從負(fù)責(zé)管理假名化數(shù)據(jù)庫DB的實(shí)體獲得密鑰包和數(shù)據(jù)。由

此，僅那些密碼以及僅與授權(quán)中所包括的數(shù)據(jù)相對應(yīng)的那些密碼密鑰才被傳遞給機(jī)構(gòu)A。

[0065]圖1中可以看到的示例性解決方案包括以下步驟：

[0066]⑴映射的常數(shù)由密鑰管理器KM生成:N=p-q,(p(N尸(p-l>(q-l)(這兩個(gè)因子都

是隨機(jī)選擇的質(zhì)數(shù)，可以優(yōu)選地以所選密鑰大小的一半比特長度來表示)，b為指數(shù)，這些值

中僅N對其他實(shí)體公開,而其他被保密；

[0067](2)在數(shù)據(jù)源DSj請求之際，密鑰管理器KM使用標(biāo)識符i生成由加密密鑰和映射密

鑰組成的密鑰對:指數(shù)為erhi，其中該標(biāo)識符根據(jù)以上描述，其中與標(biāo)識符索引一起前者被

傳遞給數(shù)據(jù)源DSj,后者被傳遞給映射器M；數(shù)據(jù)必須被視為秘密數(shù)據(jù)，因此數(shù)據(jù)傳遞可以經(jīng)

加密或其他合適的方式來執(zhí)行。

[0068]⑶實(shí)體標(biāo)識符D(即未經(jīng)加密的數(shù)據(jù))由數(shù)據(jù)源DSj映射到密碼。三D*modN并

被發(fā)送給映射器M；

[0069](4)由映射器M根據(jù)密碼計(jì)算假名P=CjhimodNo

[0070]⑸在具有適當(dāng)授權(quán)的情況下，主管機(jī)構(gòu)A能夠使用以下公式從密碼中獲得未經(jīng)加

密的數(shù)據(jù)(如果它從密鑰管理器KM接收指數(shù)dj并從數(shù)據(jù)管理器接收對應(yīng)的密碼CJ；

D=CjdimodNo

[0071]在上述實(shí)施例中，數(shù)據(jù)由數(shù)據(jù)源DSj應(yīng)用由索引i標(biāo)識的相應(yīng)的自身秘密密碼密鑰

ej來加密，其中數(shù)據(jù)源DSj可以具有任意數(shù)目的密鑰。

[0072]尤其優(yōu)選地選擇質(zhì)數(shù)為值p和q,因?yàn)樵谠撉樾沃?，相對質(zhì)數(shù)的數(shù)目是已知的(其為

(p-1),(q-1))o

[0073]如引言中所提及的，還可以應(yīng)用定義在剩余類模p(其中p為質(zhì)數(shù))的數(shù)字字段上的

橢圓曲線點(diǎn)來執(zhí)行假名映射(例如，參見維基百科(Wikipedia)文章“橢圓曲線(Elliptic

n23

curve))Oy=x+Ax+Bmodp在該上下文中，讓代數(shù)結(jié)構(gòu)為滿足方程y?=x3+Ax+Bmodp的

點(diǎn)集，其中x、y、A和B是質(zhì)數(shù)p的剩余類。首先，必須將未經(jīng)加密實(shí)體標(biāo)識符m指派給曲線的

點(diǎn)。讓我們選擇曲線中的點(diǎn)G,該點(diǎn)G具有足夠大的階數(shù)q以使得能夠?qū)⑾⒖臻g的點(diǎn)指派給

由G應(yīng)用一對一映射生成的點(diǎn)。(對于曲線的所有點(diǎn)，存在數(shù)字q為在無窮遠(yuǎn)處到達(dá)點(diǎn)0所需

的點(diǎn)自身的相加次數(shù)。此類數(shù)字中最小的數(shù)字q給出了點(diǎn)的次序。)為了達(dá)成這一點(diǎn)，例如,

可以應(yīng)用以下方法(AritroSengupta,UtpalKumarRayiMessagemappingandreverse

mappinginellipticcurvecryptosystem(橢圓曲線密碼系統(tǒng)中的消息映射和反向映

射)(2016))。在低階數(shù)字處,D的二進(jìn)制表示由8比特補(bǔ)充。在以上定義的曲線公式中，用由

此獲得的值替換X。如果針對y不存在解，則x的值增加1。如果解確實(shí)存在，則已經(jīng)得到由曲

線定義的有限代數(shù)結(jié)構(gòu)的點(diǎn)M。此處應(yīng)用與以上對象的規(guī)范相關(guān)的描述以使得由第i個(gè)數(shù)據(jù)

源DSj應(yīng)用其自身的密碼密鑰將該點(diǎn)投射到曲線的另一點(diǎn)4,隨后由映射器將其投影到用作

假名的點(diǎn)P,以使得當(dāng)且僅當(dāng)點(diǎn)M相同時(shí)，不同的密碼J被指派給相同的點(diǎn)P。

[0074]因?yàn)榛诖鷶?shù)結(jié)構(gòu)形成加法循環(huán)群的解以與基于乘法循環(huán)群的解類似的方式來

運(yùn)算，因此未單獨(dú)示出。在需要的情況下，附圖中所示的標(biāo)記可以用以下描述中包括的對應(yīng)

運(yùn)算和標(biāo)記來替換。被適配成定義代數(shù)結(jié)構(gòu)的值x、y、A、B和p由密鑰管理器KM來定義，該密

12

CN114144783A說明書9/12頁

鑰管理器KM還選擇點(diǎn)G,其中已知階數(shù)大于消息空間的多重性。該密鑰管理器KM隨后將這些

數(shù)據(jù)與數(shù)據(jù)源DSj和映射器M共享。隨后從剩余類modq中隨機(jī)或任意選擇相應(yīng)的密鑰b,選

擇不同于0和1的值。

[0075]為了數(shù)據(jù)提供，由密鑰管理器KM從剩余類modq中為第i個(gè)數(shù)據(jù)源DSj隨機(jī)選擇數(shù)

字aj該數(shù)字將是由該數(shù)據(jù)源DSj用作密碼密鑰ej=aj（在以經(jīng)加密方式接收之后）。應(yīng)用公

式hj=aj+b,其生成與數(shù)據(jù)源DSj相對應(yīng)的映射密鑰。該密鑰隨后以經(jīng)加密方式傳遞給映射

器M。

[0076]在此之后，由數(shù)據(jù)源DSj通過使兩點(diǎn)相加來執(zhí)行加密運(yùn)算：Q=M十a(chǎn)jG,其中運(yùn)算

符十表示曲線的兩點(diǎn)的相加，而標(biāo)量相乘表示重復(fù)的相加。

[0077]僅在對曲線點(diǎn)執(zhí)行下述運(yùn)算的情況下，修改對剩余類執(zhí)行的以上過程。由映射器M

對源自第i個(gè)數(shù)據(jù)源的數(shù)據(jù)執(zhí)行以下運(yùn)算：P=G十（一hjG）,其中一元運(yùn)算符表示曲線

點(diǎn)在x軸上的反射。利用此類值的運(yùn)算十在下文中用運(yùn)算符由來標(biāo)識。由此，通過兩個(gè)映射

的組合來獲得假名：

P=M十cijG一hjG=M十3jG一（aj+b）G=M十（a,—a/）G

[0078]

=M十⑶-ajG一bG=M一bG

[0079]由此，由每個(gè)數(shù)據(jù)源將相同的實(shí)體標(biāo)識符D作為不同的密碼來發(fā)送,但是最后將其

指派給相同的假名P?？扇芜x地，點(diǎn)P的x坐標(biāo)也可被應(yīng)用作為假名。

[0080]法規(guī)或數(shù)據(jù)收集和數(shù)據(jù)分析社區(qū)的規(guī)則可能允許機(jī)構(gòu)A或受社區(qū)信任的機(jī)構(gòu)被給

予對未經(jīng)加密的數(shù)據(jù)訪問。由于這是不期望的，即使該實(shí)體也能夠在未經(jīng)加密的數(shù)據(jù)與假

名之間建立連接，因此優(yōu)選地出于該目的應(yīng)用直接源自數(shù)據(jù)源DSj的密碼。為了執(zhí)行解密操

作，需要密鑰管理器KM在經(jīng)加密數(shù)據(jù)通道上將密鑰4傳遞給該實(shí)體?？捎擅荑€管理器KM存

儲經(jīng)加密的數(shù)據(jù)以及假名化數(shù)據(jù)，并將其傳遞給被授權(quán)方。在此類情形中，如果已經(jīng)獲得了

所需的法律授權(quán)或數(shù)據(jù)收集社區(qū)的許可，則機(jī)構(gòu)A可以向映射器M請求所需的密碼數(shù)據(jù)。在

擁有這些數(shù)據(jù)的情況下，可以通過執(zhí)行以下計(jì)算來獲得未經(jīng)加密的數(shù)據(jù)D=Q一ajG。

[0081]因此,為了確保擁有系統(tǒng)的任何組件不足以允許暗碼解譯假名P與實(shí)體標(biāo)識符D之

間的關(guān)系,根據(jù)本發(fā)明的假名映射系統(tǒng)執(zhí)行以下數(shù)據(jù)轉(zhuǎn)換：

[0082]-從數(shù)據(jù)源DSj處可用并適于通過特征名稱（即從實(shí)體標(biāo)識符D）來標(biāo)識人、物或其

他實(shí)體的數(shù)據(jù)產(chǎn)生，

[0083]-此類假名化數(shù)據(jù)，其中實(shí)體標(biāo)識符D被以獨(dú)立于由數(shù)據(jù)源DSj使用的密碼密鑰ej的

一對一方式指派給其的假名P來替換，

[0084]以使得

[0085]-應(yīng)用加密裝置/模塊，由密鑰管理器KM從形成由密碼算法利用的乘法或加法循環(huán)

群的代數(shù)結(jié)構(gòu)中隨機(jī)或任意選擇元素b（優(yōu)選地，此處以下功能性由加密裝置/模塊來實(shí)現(xiàn):

其生成可應(yīng)用合適的映射來映射到密鑰空間的隨機(jī)數(shù)，以使用近似均勻的概率（即隨機(jī)地）

從密鑰空間的元素之中選擇），以及

[0086]-從相同的代數(shù)結(jié)構(gòu)中，其為每個(gè)數(shù)據(jù)源DSj隨機(jī)或任意選擇至少一個(gè)元素ej或aj

該元素ej或aj以使得其僅能由將其用作密碼密鑰的特定數(shù)據(jù)源DSj訪問的方式傳遞給該數(shù)

13

CN114144783A說明書10/12頁

據(jù)源DSj,

[0087]-以使得未經(jīng)加密的數(shù)據(jù)D被映射到密碼J中，以及

[0088]-取決于該代數(shù)結(jié)構(gòu)，其計(jì)算密碼的乘法或加法逆密碼密鑰4或aj以及

[0089]-取決于該代數(shù)結(jié)構(gòu)，其將a或aj與元素b相乘或相加并將由此獲得的元素現(xiàn)傳遞

給映射器M,以使得元素％僅能由映射器M訪問，

[0090]-該映射器M隨后將可用作密碼密鑰，以將由數(shù)據(jù)源DSj加密的數(shù)據(jù)映射成假名P

[0091]以及，可任選地，

[0092]-如果在系統(tǒng)之外定義的條件被滿足,其將密碼密鑰工傳遞給被授權(quán)實(shí)體（即機(jī)構(gòu)

A）,則該實(shí)體

[0093]-在系統(tǒng)之外定義的條件被滿足的情況下，從數(shù)據(jù)庫DB的映射器M接收與由此類條

件指定的數(shù)據(jù)相對應(yīng)的密碼

[0094]-以使得其能夠獲得未經(jīng)加密的數(shù)據(jù)D。

[0095]根據(jù)本發(fā)明的用于密碼假名化的計(jì)算機(jī)系統(tǒng)包括：

[0096]-數(shù)據(jù)源DSi包含與實(shí)體相關(guān)的數(shù)據(jù),數(shù)據(jù)在數(shù)據(jù)源DSj處通過實(shí)體的實(shí)體標(biāo)識符D

來標(biāo)識，

[0097]-假名化數(shù)據(jù)庫DB,其中數(shù)據(jù)應(yīng)用以一對一方式指派給每個(gè)實(shí)體標(biāo)識符D的相應(yīng)假

名P來標(biāo)識，

[0098]-映射器M,

[0099]-密鑰管理器KM,以及

[0100]-實(shí)現(xiàn)上述功能和/或?qū)嶓w的模塊，這些模塊可以是硬件、軟件或組合的硬件軟件

模塊。

[0101]密鑰管理器KM優(yōu)選為包括被適配成用于執(zhí)行程序的處理器以及被適配成用于提

供數(shù)據(jù)寫入、存儲和讀出功能的存儲器的裝置。在該裝置上運(yùn)行的程序被適配成用于生成

執(zhí)行映射所需的數(shù)據(jù)，例如，被適配成從未經(jīng)加密的數(shù)據(jù)生成假名的模指數(shù)和模數(shù)的

totient值。該裝置被適配成用于存儲這些值，以使得其他任何人都不能訪問這些值，但該

裝置仍然能夠利用這些值來執(zhí)行計(jì)算。除此之外，該裝置還能夠應(yīng)用上述過程（例如，擴(kuò)展

歐幾里德算法）來計(jì)算模指數(shù)密鑰對，并且能夠在安全數(shù)據(jù)通道上將經(jīng)加密的指數(shù)傳遞給

數(shù)據(jù)源，并計(jì)算應(yīng)用于假名映射的指數(shù)，該指數(shù)還可被傳遞給在安全數(shù)據(jù)通道上執(zhí)行映射

的實(shí)體。例如，由以上所提及的可信平臺模塊（TPM）電路滿足所有這些要求。

[0102]映射器叫優(yōu)選為被適配成