密碼假名映射方法、計算機系統(tǒng)、計算機程序和計算機可讀介質

(19)中華人民共和國國家知識產權局

(12)發(fā)明專利申請

(10)申請公布號CN114144783A

(43)申請公布日2022.03.04

(21)申請?zhí)?02080052243.3(74)專利代理機構上海專利商標事務所有限公

司31100

(22)申請日2020.07.14

代理人錢盛贊蔡悅

(30)優(yōu)先權數(shù)據(jù)

(51)Int.CI.

P19002552019.07.15HU

G06F27/55(2013.01)

(85)PCT國際申請進入國家階段日

G06F21/60(2013.01)

2022.01.17

G06F76/3/(2019.01)

(86)PCT國際申請的申請數(shù)據(jù)

PCT/HU2020/0500322020.07.14

(87)PCT國際申請的公布數(shù)據(jù)

W02021/009529EN2021.01.21

(71)申請人艾克斯坦德爾有限公司

地址匈牙利布達佩斯

(72)發(fā)明人F?瓦古耶赫利G?瓦古耶赫利

權利要求書3頁說明書12頁附圖1頁

(54)發(fā)明名稱

密碼假名映射方法、計算機系統(tǒng)、計算機程

序和計算機可讀介質

(57)摘要

本發(fā)明為一種用于匿名數(shù)據(jù)共享系統(tǒng)的密

碼假名映射方法，該方法被適配成用于從與實體

相關且源自數(shù)據(jù)源(DSJ的數(shù)據(jù)生成假名化數(shù)據(jù)

庫(DB),其中該數(shù)據(jù)在該數(shù)據(jù)源(DS)處由相應

實體的實體標識符(D)來標識，并且其中該數(shù)據(jù)

在該假名化數(shù)據(jù)庫(DB)中通過應用一對一映射

指派給相應實體標識符(D)的假名(P)來標識。根

據(jù)本發(fā)明，應用一個映射器(M)和一個密鑰管理

器(KM),并且由映射器(M)利用與特定數(shù)據(jù)源

(DSJ相對應的映射密碼密鑰(3)為由數(shù)據(jù)源

(DSj)加密的每個經加密實體標識符(CJ生成相

v應的假名(P)。本發(fā)明進一步為實現(xiàn)本發(fā)明的計

g算機系統(tǒng)、以及計算機程序和計算機可讀介質。

Z

寸

二T——<

寸

CN114144783A權利要求書1/3頁

1.一種用于匿名數(shù)據(jù)共享系統(tǒng)的密碼假名映射方法，所述方法被適配成用于從與實體

相關且源自數(shù)據(jù)源(DSJ的數(shù)據(jù)生成假名化數(shù)據(jù)庫(DB)，其中所述數(shù)據(jù)在所述數(shù)據(jù)源(DSJ

處由相應實體的實體標識符(D)來標識，并且其中所述數(shù)據(jù)在所述假名化數(shù)據(jù)庫(DB)中通

過應用一對一映射指派給相應實體標識符(D)的假名(P)來標識，

其特征在于：

-一個映射器(M)和一個密鑰管理器(KM),

-其中所述密鑰管理器(KM)被用于：

-從構成乘法或加法循環(huán)群的預定代數(shù)結構中選擇秘密元素(b),

-從所述代數(shù)結構中為每個數(shù)據(jù)源(DS)選擇將由給定數(shù)據(jù)源(DSJ用作密碼密鑰的元

素包,a)并將其發(fā)送給所述給定數(shù)據(jù)源(DS)同時將所述元素包,年)保密，

-計算所述元素均用］)在給定代數(shù)結構中的逆(dj并將其與所述秘密元素(b)一起用

于生成映射器(M)的映射密碼密鑰(兒)，所述映射密碼密鑰(儲)與所述給定數(shù)據(jù)源(DS)相

對應，以及將所述映射密碼密鑰(%)發(fā)送給所述映射器(M)同時將其保密并指派給所述給

定數(shù)據(jù)源(DS),

-由所述數(shù)據(jù)源(DSP通過使用將被用作密碼密鑰的所述元素包,aj將要被映射的每

個實體標識符(D)轉換成相應的經加密實體標識符(CJ,以及

-由所述映射器(M)利用與特定數(shù)據(jù)源(DS)相對應的所述映射密碼密鑰(hs)為由所述

數(shù)據(jù)源(DSJ加密的每個經加密實體標識符(CJ生成相應的假名(P)。

2.根據(jù)權利要求1所述的方法，其特征在于，應用構成乘法循環(huán)群的代數(shù)結構，其中由

所述密鑰管理器(KM)選擇的值由剩余類模N表示,針對所述代數(shù)結構預定常數(shù)N=p-q和

(p(N)=(p-lMq-l),其中p和q是隨機選擇的質數(shù)，所述秘密元素(b)是隨機選擇的質數(shù)，而

(p(N)是針對N獲得的歐拉函數(shù)的值，

-將被用作所述數(shù)據(jù)源(DSJ的自身密碼密鑰的所述元素(e)由所述密鑰管理器(KM)隨

機選擇，

-所述密鑰管理器(KM)被用于計算將被用作密碼密鑰的所述元素(ei)的逆(d)，針對所

述逆應)滿足方程備?可三1mod(p(N)),

-隨后，由所述密鑰管理器(KM)生成所述映射密碼密鑰％=4-b并將其發(fā)送給所述映

射器(M),

-由所述數(shù)據(jù)源(DS)利用公式Q=DefmodN來計算所述經加密實體標識符(C)

-由所述映射器(M)計算所述假名(P)P=CpmodN。

3.根據(jù)權利要求2所述的方法，其特征在于，隨機選擇的質數(shù)p和q能夠利用所選密鑰大

小的一半比特數(shù)來表示。

4.根據(jù)權利要求2所述的方法，其特征在于，

-由所述密鑰管理器(KM)將要被用作密碼密鑰的所述元素(ej的所述逆(dj發(fā)送給被

授權實體(A),

-由所述通過映射器(M)將所述經加密實體標識符(Ci)發(fā)送給被授權實體(A)。

5.根據(jù)權利要求1所述的方法，其特征在于，應用構成加法循環(huán)群的代數(shù)結構，其中值

由在剩余類模P的數(shù)字域上定義的橢圓曲線的點來表示，其中P為質數(shù)，針對所述代數(shù)結構,

2

CN114144783A權利要求書2/3頁

預定以下常數(shù):y2=x，Ax+Bmodp中定義在質數(shù)p的剩余類上定義的橢圓曲線的點的參數(shù)

A、B、以及所述曲線中具有大于所述實體標識符(D)的數(shù)目的階數(shù)q的點G、從剩余類modq之

中任意挑選的值的秘密元素(b),

-所述密鑰管理器(KM)被用于從剩余類modq之中隨機選擇將由所述數(shù)據(jù)源(DS))用作

密碼密鑰的元素(a),

-隨后，由所述密鑰管理器(KM)生成映射密碼密鑰hj=aj+b并將其發(fā)送給所述映射器

(M),

-由所述數(shù)據(jù)源(DS)利用公式儲=M十ajG來計算所述經加密實體標識符?)，其中運

算符十為所述橢圓曲線的所述點的和，以及

-由所述映射器(M)計算所述假名(P)P=儲一%G,其中A一B=A十(-B)c

6.根據(jù)權利要求5所述的方法，其特征在于，

-由所述密鑰管理器(KM)將要被用作密碼密鑰的所述元素(aj的所述逆(dj傳遞給被

授權實體(A),以及

-由所述通過映射器(M)將所述經加密實體標識符(Ci)傳遞給被授權實體(A)。

7.一種用于密碼假名化的計算機系統(tǒng)，所述系統(tǒng)包括：

-數(shù)據(jù)源(DS),所述數(shù)據(jù)源藉由實體的實體標識符(D)包括數(shù)據(jù)，

-假名化數(shù)據(jù)庫(DB),其中所述數(shù)據(jù)通過應用一對一映射指派給相應實體標識符(D)的

假名(P)來標識，

其特征在于，

所述系統(tǒng)進一步包括：

-映射器(M)和密鑰管理器(KM)；

-模塊，其被適配成用于應用所述密鑰管理器(KM)從構成乘法或加法循環(huán)群的預定代

數(shù)結構中選擇秘密元素(b),

-模塊，其被適配成用于應用所述密鑰管理器(KM)從所述代數(shù)結構中為每個數(shù)據(jù)源

(DSJ選擇將由給定數(shù)據(jù)源(DSJ用作密碼密鑰的元素(e/aj并將其發(fā)送給所述給定數(shù)據(jù)

源(DSJ同時將所述元素Sj,a)保密,

-模塊，其被適配成用于應用所述密鑰管理器(KM)計算所述元素包,aj在給定代數(shù)結

構中的逆(dj，通過將所述逆(dj與秘密元素⑹一起生成映射器(M)的映射密碼密鑰(4),

所述映射密碼密鑰(瓦)與所述給定數(shù)據(jù)源(DSp相對應，以及將所述映射密碼密鑰(4)發(fā)送

給所述映射器(M)同時將其保密并指派給所述給定數(shù)據(jù)源(DS),

-模塊，其被適配成用于應用所述數(shù)據(jù)源(DSi)，利用將被用作密碼密鑰的所述元素(ej,

aj將要被映射的每個實體標識符(D)轉換成相應的經加密實體標識符(Ci)，以及

-模塊，其被適配成用于應用所述映射器(M),利用與特定數(shù)據(jù)源(DSJ相對應的所述映

射密碼密鑰(hj將由所述數(shù)據(jù)源(DSs)加密的每個經加密實體標識符(C1)映射成相應的假

名(P)。

8.根據(jù)權利要求7所述的計算機系統(tǒng)，其特征在于，所述計算機系統(tǒng)包括被適配成用于

執(zhí)行根據(jù)權利要求2或5的步驟的模塊。

9.一種包含指令的計算機程序，當所述程序由計算機執(zhí)行時，所述指令使所述計算機

執(zhí)行根據(jù)權利要求1所述的方法的步驟。

3

CN114144783A權利要求書3/3頁

10.一種其上存儲有根據(jù)權利要求9所述的計算機程序的計算機可讀介質。

4

CN114144783A說明書1/12頁

密碼假名映射方法、計算機系統(tǒng)、計算機程序和計算機可讀

介質

技術領域

[0001]本發(fā)明涉及一種用于假名映射的密碼方法和計算機系統(tǒng)，計算機程序和計算機可

讀介質，優(yōu)選地實現(xiàn)用于數(shù)據(jù)共享的系統(tǒng)，其中數(shù)據(jù)可以匿名的方式來分析。本發(fā)明提供了

一種符合GDPR規(guī)則的安全假名化解決方案。

背景技術

[0002]當前應用的假名化方法未解決機構的特殊數(shù)據(jù)處理需求。GDPR第2條規(guī)定，如果主

管機構處于預防、調查、偵查或起訴刑事犯罪或執(zhí)行刑事處罰（包括防范和預防對公共安全

的威脅）的目的處理個人數(shù)據(jù)，則本條規(guī)則不適用于個人數(shù)據(jù)的處理。然而，如果主管機構

不能將假名指派給自然人（即使規(guī)則允許此類指派），則主管機構不能利用這一選項。在當

前廣泛應用的假名化解決方案中，由數(shù)據(jù)源執(zhí)行相同的映射，這確保在所有情形中相同的

假名對應于特定標識符，但允許任一方通過例如發(fā)起基于彩虹表的攻擊來破解加密。本發(fā)

明為提供該選項的問題提供了一種解決方案:僅供主管機構利用出于分析目的生成的經過

特殊處置的密碼密鑰來將已出于該目的被假名化的、通過其他適當手段匿名、且未被用于

官方目的的數(shù)據(jù)指派到未經加密的數(shù)據(jù)。

[0003]題為"Datamanagementmethodandregistrationmethodforananonymous

datasharingsystem,aswellasdatamanagerandanonymousdatasharingsystem

用于匿名數(shù)據(jù)共享系統(tǒng)的數(shù)據(jù)管理方法和注冊方法、以及數(shù)據(jù)管理器和匿名數(shù)據(jù)共享系

統(tǒng)”的W02017/141065A1公開了一種用于以一種方式來分析駐留有多個相互獨立的實體

（下文稱為數(shù)據(jù)源）的數(shù)據(jù)的解決方案,這種方式將數(shù)據(jù)加載到單個統(tǒng)一數(shù)據(jù)庫中，實體（例

如，個人、公司）的標識符通過應用被適配成用于保護匿名性的假名來存儲在該數(shù)據(jù)庫中，

確保原始數(shù)據(jù)無法從假名中恢復。本發(fā)明使用從數(shù)論方面來看安全的假名映射方法來補充

W02017/141065A1中所公開的解決方案。然而，將假名指派給原始標識符的過程的安全性

風險不止由假名映射算法易受數(shù)論攻擊引起。在W02017/141065A1中，除了提供假名映射

方法之外，還提供了措施的詳細描述，這些措施必須被采取，以確保提供包含假名的數(shù)據(jù)庫

的匿名性。這些措施有禁止向數(shù)據(jù)指定屬性、分析k-匿名性和1-多樣性、或防止基于反映實

體相互關系的圖形的形態(tài)特性的節(jié)點標識。參考文件中所描述的所有方法也可應用于本發(fā)

明，包括其中確保數(shù)據(jù)源的匿名性也是要求的情形。這在數(shù)據(jù)源報告與它們自身相關的數(shù)

據(jù)的情形中尤為重要。

[0004]如今，幾乎所有真實世界的事件都以數(shù)字空間中所存儲的數(shù)據(jù)的形式留下痕跡。

對這些數(shù)據(jù)的分析允許作出有價值的推斷。數(shù)據(jù)被存儲在通常彼此不處于依賴關系的多個

實體中。數(shù)據(jù)常常有實體（例如，個人、公司、機構、財產、儀器、金融資產等）的特征或描述其

行為。在數(shù)據(jù)庫中，實體指的是應用廣為人知的實體標識符（例如，社會保障號碼、稅號、土

地注冊號）。具有根據(jù)實體標識符的實體特征的可分析數(shù)據(jù)被稱為屬性。

[0005]如果可以使用盡可能廣泛范圍的數(shù)據(jù)進行分析，則可以關于實體的行為和相互關

5

CN114144783A說明書2/12頁

系進行更接近現(xiàn)實的分析。這樣做的最佳方式是應用單個數(shù)據(jù)庫分析所有可用數(shù)據(jù)。然而,

數(shù)據(jù)庫常常包含機密信息，或者受法律保護的信息（例如，在自然人的情形中）。這為數(shù)據(jù)管

理器出于聚集分析目共享它們所管理的數(shù)據(jù)設置了限制。因此，數(shù)據(jù)管理者（即數(shù)據(jù)源）必

須傳遞數(shù)據(jù)，以使得執(zhí)行假名化映射以及應用于共用數(shù)據(jù)庫的分析的實體無法訪問原始實

體標識符。這是可行的，因為在大多數(shù)情形中，分析的目的不是理解特定人或物的屬性、行

為或聯(lián)系網絡，而是識別從更多人群中的（匿名）個體期望的行為模式、分析聯(lián)系網絡的結

構、以及作出與事件的未來進程相關的推斷。

[0006]通過W02017/141065A1中所公開的方法定義了為共用數(shù)據(jù)庫中所存儲的未經加

密的開放實體標識符和匿名標識符（下文稱為:假名）之間的映射設置的要求。這種映射實

際上只能通過利用特殊的信息技術設備（即，密碼處理器（在物理保護下執(zhí)行密碼運算的專

用計算機單元））來實現(xiàn)。在開放多用戶系統(tǒng)中，這對系統(tǒng)的適用性提出了問題。與在單個步

驟中執(zhí)行的映射相反，已知的技術解決方案通常提供針對“暴力”類型攻擊的保護（通過擁

有關于加密系統(tǒng)運算的信息，通過嘗試每個可能密鑰來確定所應用的密鑰），但是數(shù)據(jù)源與

執(zhí)行映射的實體之間的惡意協(xié)作只能通過應用補充方法來防止（例如，通過由附加實體對

經映射值進行加密）o

[0007]如果給定的開放實體標識符以相同的假名輸入共用數(shù)據(jù)庫，則可將假名用于上述

分析目的，而不論哪個數(shù)據(jù)源發(fā)送了它，即未經加密的標識符與假名之間的映射必須是一

對一映射，其中無法計算映射的逆，即任何實體都無法從假名生成未經加密實體標識符。如

果映射是由數(shù)據(jù)源執(zhí)行的，那么它們也必須應用相同的映射。如果需要算法上不可逆的映

射，則通常應用密碼散列函數(shù)，其中未經加密的數(shù)據(jù)是函數(shù)的輸入，而在該情形中輸出值是

假名。造成問題的是，實體標識符的多樣性通常是低的，量級在一億至數(shù)百億之間。對于此

類多樣性，可以在很短的時間內生成彩虹表（用于反轉密碼散列函數(shù)的預計算表）。因此，在

計算散列值的進程中，加“鹽”來補充輸入數(shù)據(jù)（隨機選擇的數(shù)據(jù)用作散列函數(shù)的附加輸入

數(shù)據(jù)）。在此類情形中，所有實體都必須應用相同的“鹽”，以使能能夠維持一對一關系。但

是，由所有數(shù)據(jù)源使用的數(shù)據(jù)很難能夠被視為秘密，或者如果攻擊者能夠訪問任何數(shù)據(jù)源

的系統(tǒng)，要執(zhí)行計算甚至不需要知曉值（例如，攻擊者可能是執(zhí)行任意數(shù)目的映射時不以任

何方式受限的數(shù)據(jù)源之一）。

[0008]另一種可能性是將未經加密的數(shù)據(jù)或由應用相同加密和假名的數(shù)據(jù)源加密的數(shù)

據(jù)之間的關系的生成委托給受信任合作者。受信任合作者能夠在第一情形中簡單地匯編彩

虹表,而在第二情形中通過獲取對僅單個數(shù)據(jù)源的系統(tǒng)的訪問來匯編彩虹表。因此，根據(jù)W0

2017/141065A1的解決方案得到數(shù)據(jù)源必須應用基于唯一（例如，自身的）密碼密鑰的加密

方法的結論。在此類情形中，數(shù)據(jù)源將相同的實體標識符作為不同的密碼（經加密的數(shù)據(jù)）

來發(fā)送，同時必須執(zhí)行假名映射，以使得在特定密碼是從相同的未經加密標識符計算的情

況下必須將不同的密碼指派給相同的假名。在根據(jù)本文件實現(xiàn)的解決方案中，應用RSA密

鑰，其中解密密鑰被存儲在可信平臺模塊（TPM,例如參見IS0/IEC11889）中，通過利用安全

密碼處理器進行解密過程以及未經加密的數(shù)據(jù)到假名的映射。這種結構難以實現(xiàn)并且需要

大量的初始投資，同時其運算也是麻煩的，因為所需要的硬件基礎設施與數(shù)據(jù)源的數(shù)目成

線性關系。

[0009]發(fā)明描述

6

CN114144783A說明書3/12頁

[0010]本發(fā)明的目的是消除現(xiàn)有技術解決方案（尤其是以上所呈現(xiàn)的現(xiàn)有技術解決方

案）的缺點或減少其影響。

[0011]本發(fā)明的主要目的是提供一種密碼假名映射解決方案，該方案不需要使用安全硬

件（例如，密碼處理器）來執(zhí)行解密并將未經加密的數(shù)據(jù)映射到假名。

[0012]通過提供根據(jù)權利要求1的密碼假名映射方法、根據(jù)權利要求7的計算機系統(tǒng)、根

據(jù)權利要求9的計算機程序以及根據(jù)權利要求10的計算機可讀介質實現(xiàn)本發(fā)明的目的。本

發(fā)明的優(yōu)選實施例在從屬權利要求中定義。

[0013]根據(jù)本發(fā)明的密碼假名映射方法被適配成用于從實體數(shù)據(jù)生成假名化數(shù)據(jù)庫，其

中數(shù)據(jù)在數(shù)據(jù)源處利用相應實體的實體標識符來標識,并且其中數(shù)據(jù)在假名化數(shù)據(jù)庫中利

用應用一對一映射指派給相應實體標識符的假名來標識。

[0014]本發(fā)明是一種利用在剩余類上執(zhí)行的模求基的屬性以及基于橢圓曲線的特別選

擇的離散點的運算屬性，并實現(xiàn)所需的抽象映射，同時不包含與現(xiàn)有技術相關的以上所提

及的限制的解決方案。

[0015]與現(xiàn)有技術相比，本發(fā)明不需要用于存儲密碼密鑰或用于執(zhí)行計算的任何特殊硬

件，而是取而代之地通過純粹的密碼手段來解決問題。這首先要求必須將實體標識符指派

給代數(shù)（數(shù)學）結構（例如，參見維基百科（Wikipedia））的元素，在這些元素上執(zhí)行密碼計

算。信息技術設備應用數(shù)據(jù)的二進制表示，因此數(shù)據(jù)可被解讀為可被用于執(zhí)行計算的正整

數(shù)。在下文中，假設映射域能夠提供實體標識符和計算出的密碼的唯一表示。例如，如果計

算是在剩余類的循環(huán)群（例如，參見維基百科）上執(zhí)行的，則選擇的模數(shù)將足夠大，以使得有

足夠數(shù)目的剩余類可用。由于在實際實現(xiàn)中應用了密鑰大小，因此這不會造成問題。例如，

在對剩余類執(zhí)行模求累的情形中，與實際出現(xiàn)的實體標識符相比，指數(shù)可以應用多得多的

比特來表示。在此類情形中，可以考慮對值進行所謂的“填充”，以使得使用低基數(shù)執(zhí)行的求

事不能通過普通的根計算來反轉。這在計算結果的過程期間不需要模運算的情形中發(fā)生。

由于應用一對一映射的要求，只能應用確定性填充方法。

[0016]因此，考慮多個數(shù)據(jù)源，每個數(shù)據(jù)源包括包含實體標識符和屬性的數(shù)據(jù)庫。必須在

共用數(shù)據(jù)庫中收集數(shù)據(jù)，以使得根據(jù)以下條件使用假名將實體標識符包括在其中：

[0017]⑴給定實體標識符必須被映射到相同的假名，而不論接收到它的數(shù)據(jù)源如何。

[0018]⑵不得將同一假名指派給兩個不同的實體標識符。

[0019]（3）未經加密的標識符與其假名之間的關系不可由系統(tǒng)的任何參與者僅利用其已

知的信息獲得，即使數(shù)據(jù)源以破壞加密為意圖與參與映射的參與實體合作。

[0020]（4）特別授權實體（例如主管機構）必須能夠根據(jù)由數(shù)據(jù)源發(fā)送的密碼來計算未經

加密實體標識符。

[0021]條件⑴和⑵一起暗示了映射必須是一對一映射。密碼映射滿足該要求，只要我

們維持在其域（在密碼學中，為消息域）內。條件⑶排除了可僅由一個或兩個參與者、不需

要與其他參與實體合作地執(zhí)行所有映射。為了滿足條件⑷，需要這樣一種方法，該方法被

適配成從應用由其他實體運用的密碼密鑰映射的密碼來生成未經加密的數(shù)據(jù)，而其他實體

不能從它們相應的自身密碼密鑰來計算該解密密鑰。因為假名與未經加密的數(shù)據(jù)之間的關

系將受到各種方式保護，因此為滿足該條件，必須應用由數(shù)據(jù)源計算的密碼。數(shù)據(jù)源必須不

可能跟蹤映射的第一步驟和第二步驟，因為否則，它可以很容易地獲得作為第二計算步驟

7

CN114144783A說明書4/12頁

的結果的假名。執(zhí)行第二映射的實體可以很容易地訪問假名，因此它必須不能訪問未經加

密實體標識符。這在實體標識符由數(shù)據(jù)源應用它們自身的唯一加密（即，使用它們自身的密

碼密鑰）發(fā)送給映射器實體，但是數(shù)據(jù)源無法“看到”假名映射計算，或者無法將其結果與它

們自己提供的數(shù)據(jù)相關的情況下可被提供。

[0022]根據(jù)W02017/141065A1中所描述的技術方案，必須通過將映射分解成各步驟來

應用密碼執(zhí)行假名映射，其中給定步驟能由被適配成執(zhí)行映射的僅單個參與實體來執(zhí)行：

[0023]P=gb（fkeyj（Q））=晶（fkey:iIke%（D）））

[0024]其中D為實體標識符,P為假名，i為數(shù)據(jù)源的數(shù)字標識符,J為應用其自身密鑰計

算的密碼。加密系統(tǒng)中的不同映射常常應用不同的密鑰來執(zhí)行相同的算法。因此，應用密鑰

b執(zhí)行的映射g可被4替換。應用單個映射器（例如，安全密碼處理器），該映射器被適配成解

密密碼，隨后應用假名映射密鑰b來將未經加密的數(shù)據(jù)映射到假名P。例如，應用RSA方法（例

如，參見US4,405,829A）,第i個數(shù)據(jù)源的密碼密鑰為（erN）,其中e為加密指數(shù)，而N為模

數(shù)。密碼是通過以下計算獲得的：

[0025]Cj三DeimodN

[0026]密碼隨后并被發(fā)送給執(zhí)行假名映射的實體，該實體利用解密密鑰（dj,N）生成未經

加密的數(shù)據(jù)，其中4為指數(shù)，執(zhí)行以下計算：

[0027]D三modN

[0028]根據(jù)us4405829A,該計算例如應用安全密碼處理器來執(zhí)行，以使得映射器不能

訪問未經加密的數(shù)據(jù)，但是能夠使用結果來計算假名。利用映射g三4的密碼密鑰（b,N）從

未經加密的數(shù)據(jù)中獲得假名（與本說明書中的其他地方不同，此處符號三表示同一性而非

一致性）：

[0029]P=DbmodN

[0030]重要的是，不能從執(zhí)行計算的設備中讀取值4和b；此類設備例如是可信平臺模塊

芯片。因為g和f兩者均表示模N的模求累,所以在下文中使用僅f。使用以上示例的幾號，整

個映射為：

[0031]p=（（DeimodN）d>modN）bmodN

[0032]其中利用指數(shù)ej的最內層密碼計算由數(shù)據(jù)源執(zhí)行，隨后由映射器應用指數(shù)b來執(zhí)

行計算。

[0033]目的是提供一種用于執(zhí)行后兩次映射的計算方法，在此進程中，實體執(zhí)行計算：

[0034]i.無法訪問實體標識符D（即未經加密的數(shù)據(jù)），以及

[0035]ii.無法訪問被用于從未經加密的數(shù)據(jù)生成假名的指數(shù)b。

[0036]由此得出，根據(jù)條件（i.）,執(zhí)行計算的實體也必須不能訪問4,因為否則它可能解

密密碼。條件（ii.）是必需的，以防止映射器進行成功的試錯或基于彩虹表的攻擊。在示例

性映射中，數(shù)據(jù)應用由正整數(shù)模數(shù)（N）定義的剩余類來表示。

[0037]在根據(jù)本發(fā)明的解決方案中，可以在任意數(shù)目的步驟中執(zhí)行應用逆密鑰的解密以

及假名映射，以使得在計算進程中不生成未經加密的數(shù)據(jù)（實體標識符），沒有實體能夠獲

得解密密鑰key「i,并且也沒有實體能夠獲得假名映射密鑰b,即，沒有實體能夠秘密地從未

8

CN114144783A說明書5/12頁

經加密的數(shù)據(jù)生成假名（即編譯彩虹表）。為了達成這一點，應用基于已知數(shù)目的理論基礎

的信息技術方法。

[0038]附圖簡述

[0039]下文參考附圖通過示例來描述本發(fā)明的優(yōu)選實施例,其中：

[0040]圖1是解說根據(jù)本發(fā)明的解決方案的示意圖，該解決方案應用單個密鑰管理器來

實現(xiàn)并且包括被適配成用于解密數(shù)據(jù)源的經加密數(shù)據(jù)（密碼）的特別授權實體。

[0041]用于執(zhí)行發(fā)明的模式

[0042]根據(jù)本發(fā)明，已經認識到，構成乘法或加法循環(huán)群的代數(shù)結構的特征可被優(yōu)選地

用來完成本發(fā)明的目的。以下更詳細地描述了基于此類代數(shù)結構的兩種類型的解決方案,

但是根據(jù)本發(fā)明，還可以應用提供本發(fā)明的運算所需的算術的其他此類代數(shù)結構。在示例

性代數(shù)結構中，首先詳細描述了涉及剩余類模N（其中N是正整數(shù)）的解決方案，隨后相對于

前者描述了涉及在剩余類模P（其中P是質數(shù)）數(shù)域上定義的橢圓曲線的點的解決方案。

[0043]實體標識符及對應數(shù)據(jù)被存儲在相互獨立的數(shù)據(jù)源處的數(shù)據(jù)庫中，并且在根據(jù)本

發(fā)明的假名化之后,數(shù)據(jù)連同從實體標識符生成的假名一起被存儲在中央假名化數(shù)據(jù)庫中

并被指派給彼此。遵守本發(fā)明的對象集的條件，對于給定的實體標識符，未經加密的數(shù)據(jù)與

假名之間的關系不會受數(shù)據(jù)來源（即，其來自什么數(shù)據(jù)源）的影響。然而，映射過程（即在特

定階段執(zhí)行的運算）對于每個數(shù)據(jù)源是唯一的，也就是說，必須要使用不同的密碼密鑰（例

如,模累）來執(zhí)行相同的映射。數(shù)據(jù)收集系統(tǒng)的實現(xiàn)必須從選擇適當?shù)哪?shù)開始。這實際上

是由數(shù)據(jù)收集服務的供應商或首先決定適用密鑰的比特長度的數(shù)據(jù)收集社區(qū)來執(zhí)行的。隨

后，選擇兩個此類質數(shù)，它們的乘積（用作模數(shù)）可以使用給定的比特數(shù)目來表示。生成密鑰

的實體（下文稱為：密鑰管理器）必須知曉模數(shù)N并且還知曉由歐拉（Euler）函數(shù)給出的值

（p（N）,或者換言之，其totient值。執(zhí)行映射的所有參與實體都必須知曉模數(shù)的值N。如果要

被映射的實體標識符的表示大小顯著小于密鑰大小，則優(yōu)選應用某種類型的填充方法。該

方法必須是確定性的，即每個數(shù)據(jù)源必須接收相同的值，以使得假名也是確定性的，而不論

數(shù)據(jù)源如何。因此，映射的基本數(shù)據(jù)為N和（p（N）o

[0044]根據(jù)本發(fā)明，通過隨機選擇，意味著該方法的實現(xiàn)不依賴于選擇給定集合的哪些

特定元素。因此，隨機選擇意味著還包括準隨機或偽隨機選擇，以及所有此類選擇方法（即

使根據(jù)觀察者不知曉的規(guī)則），其中選擇對于外部觀察者而言似乎是隨機的。如果集合構成

代數(shù)結構，則在它具有空元素和/或單元元素的情況下，它/它們不被認為是隨機選擇的。此

外，在剩余類的情形中，避免選擇非相對質數(shù)值。但是，出于密碼考慮,值得選擇它們的表示

的比特長度填滿所有可用空間的此類值。

[0045]如圖1中所示，描述實體或它們的行為的實體標識符D和屬性（圖中未示出后者）由

數(shù)據(jù)源DSj存儲在它們相應的數(shù)據(jù)庫中。特定實體與其他實體之間的關系可被視為給定實

體的特征。由此，在此類關系中，其他實體的實體標識符被視為屬性（例如,B是A的客戶端,

在該情形中，B同時為屬性和實體標識符）。因為根據(jù)本發(fā)明的技術方案的目的是支持匿名

性，所以此類數(shù)據(jù)也可被視為實體標識符。

[0046]與實體標識符D相關的屬性優(yōu)選地由數(shù)據(jù)源DSj作為未經加密的數(shù)據(jù)來傳遞，而實

體標識符D由數(shù)據(jù)源DSj利用其自身的密碼密鑰來加密。結果所得的密碼被發(fā)送到被適配成

9

CN114144783A說明書6/12頁

執(zhí)行至假名P的映射的實體（即映射器M）。同時，維持未經加密的數(shù)據(jù)與密碼之間的指派（即

維持經加密實體標識符），因為數(shù)據(jù)分析所需的數(shù)據(jù)庫只能以此類方式來加載有用信息。

[0047]本發(fā)明的技術方案應用對于所有數(shù)據(jù)源DSj而言共用的單個映射器M,其實現(xiàn)如

下。在第一步驟中，由數(shù)據(jù)源DSj執(zhí)行加密,隨后在第二步驟中由映射器M計算假名P。如果這

兩個實體協(xié)作，那么它們就能夠將未經加密的數(shù)據(jù)與假名P連接，因此它們甚至可以生成彩

虹表。因此，可以在通過進一步信息技術手段補充對映射器M的監(jiān)督的情形中應用該解決方

案。

[0048]第i個數(shù)據(jù)源DSj使用其自身的秘密密碼密鑰，該密鑰使用以上應用的編號被稱為

0,N）。每個數(shù)據(jù)源都可以使用任意數(shù)目的密鑰，因此不止一個密鑰標識符索弓Ii可以對應

于數(shù)據(jù)源。因此，實體標識符D作為以下密碼被發(fā)送給映射器：

[0049]Cj=DeimodN

[0050]如上所示，假名通過映射器執(zhí)行以下運算來生成：

[0051]p三（（Cj）dimodN）bmodN

[0052]作為中間計算的結果，通過計算值（CjamodN,可以獲得必須對映射器保持隱藏

的未經加密的值D。出于相同的原因，映射器也不能訪問包。針對該問題的解決方案是同時

利用指數(shù)a和b并應用指數(shù)hi=di-bmod（p（N決執(zhí)行兩次求累運算：

[0053]p=q同modN

[0054]必須注意到，對模求嘉運算的指數(shù)執(zhí)行的運算結果必須使用根據(jù)（P（N）的模數(shù)來計

算,因為這些指數(shù)形成具有數(shù)目（p（N件元素的循環(huán)群。

[0055]當然，必須確認實體標識符D（即未經加密的數(shù)據(jù)）是否出現(xiàn)在以上計算進程中的

某處。如果以上模求累運算是作為乘法序列來執(zhí)行的，則在執(zhí)行dj乘法之后,將獲得未經加

密的標識符D,這將使該方法變得無用，因為執(zhí)行計算的實體可以輕松檢查所獲得的部分結

果是否為實體標識符所期望的形式，特別是檢查它是否還包含CDV（檢查數(shù)字值）。然而，由

于2048比特的最小適用密鑰大小，指數(shù)的十進制形式有616位，即，將必須執(zhí)行多達1（）616次

模乘法。實際上,這是不可行的。因此，下面將描述最簡單（但并非最有效的）的實際可行的

方法。應用二進制求暴方法來執(zhí)行求事X、（例如，參見:模求累，從右到左二進制方法）。這些

數(shù)字以二進制形式來表示，即二的基和。例如，對于y：

2

[0056]y=y0?2°+y（?2*+71?2+y3?2^^?2~1,其中丫1是數(shù)字二進制表示中的第i比

特,即為0或1,對和貢獻0或。由此，

>123123n-1

[0057]xy=xyo2°+yr2+y2-2+y3-2+_xy0'2°.j^yi-2.xy2,2.xy312..xyn-r2o

[0058]因止匕，如果指數(shù)y中的第i比特為零，則中間結果乘以一，而如果第i比特是一，則它

乘以x21即乘以小小2E4M8,...^2自。然而,在二進制表示的情形中，應用二次幕的求幕可

以作為比特移位運算來執(zhí)行。因此，已經實現(xiàn)了實用可計算性。中間結果是應用密碼G的二

進制表示的兩個非零數(shù)字的（對應）基指數(shù)計算的毒乘積。如果hi三di?bmodq）（N）的第

-r（低階）比特與夫的比特相同，則低階比特被定為朝向左側。如果包的長度與％的長度相

同，即它們以相同數(shù)目的零開始，則與b相乘對應于與單位相乘，即b三1mod（p（N）。讓我

10

CN114144783A說明書7/12頁

們排除該簡單情形，其中假名映射將是一致的，因此相應地不選擇b作為其中一者。否則，密

鑰選擇(以及因此還有逆的選擇)可被認為是隨機的，因此它們以數(shù)目n個零開始的概率為

[0059]讓我們考慮其中dj和均不具有相同長度的情形。如果乘法包-b根據(jù)“長乘法”算法

(如文獻上說的那樣)執(zhí)行，即利用乘法器包的數(shù)字乘以被認為未知的被乘數(shù)b,則在4的給

定比特為1的情況下，結果為b,而在給定比特為0的情況下，結果為0。給定比特的值實際上

可以被認為是隨機的，因此在統(tǒng)計上中間結果在一半的情形中將是非零的。中間結果隨后

根據(jù)乘法器的對應數(shù)字進行移位并相加。作為結果，獲得與匈中非零比特的數(shù)目一樣多的

方程,該數(shù)目平均為可長度的一半。在所有這些等式中，b的特定比特的和等于dj的對應比特

的值，即0或1。在密鑰大小為2048比特的情況下，解決方案平均必須滿足1024條語句。在方

程的右側可以為1或0的值，其僅作為0和1的和來獲得。如果對于隨機選擇的b的值,所計算

的值與乘積的剛計算的數(shù)字處的0或1不相同，則改變計算中所包括的b的單個比特將產生

正確的結果。然而，每次都將作為b的二進制表示的潛在可選值的數(shù)量減少一半。因此，以2

I。?」的概率執(zhí)行產生應用4作為指數(shù)的求塞結果的運算，即以1。3。8的概率獲得未經加密的

數(shù)據(jù)。因此，實際上在計算進程中幾乎從不生成未經加密的數(shù)據(jù)。

[0060]數(shù)據(jù)收集網絡的共用標識符具有以下特性。在映射密鑰的進程中，使用W02017/

141065A1中指定的方法來將模數(shù)N生成為適當幅值的兩個質數(shù)的積N=p-q。在此類情形

中，(p(N)=(p-l>(q-l)。對用于將未經加密的數(shù)據(jù)映射到假名的指數(shù)b的唯一要求是，它與

q)(N)互質。b針對(p(N)的模乘法逆未被計算，因為它未被用于任何計算(如果三1mod

m,a的乘法逆為小模m)。

[0061]生成一對映射密鑰的過程如下：在執(zhí)行以上計算之后，與(p(N)互質的指數(shù)dj是隨

機選擇的。然后應用擴展歐幾里德算法來計算ej針對其公式三1mod(p(N)將為真。在

那之后，計算hi=di-bmod(p(N)o

[0062]因為在擁有b時，可以從未經加密的數(shù)據(jù)生成假名，所以該數(shù)據(jù)可被根本無法訪問

未經加密的數(shù)據(jù)的此類實體訪問。因此，在此類系統(tǒng)中，需要密鑰管理器KM,其被適配成用

于生成密鑰并使它們可由執(zhí)行計算的實體訪問。p、q和b的值由此由密鑰管理器生成并保

密。值(p(N)也可由僅密鑰管理器訪問，即它是唯一能夠生成密鑰(ei、dj和4)的實體，即上

述映射密鑰對由密鑰管理器KM生成。

[0063]立法或數(shù)據(jù)收集和數(shù)據(jù)分析社區(qū)的規(guī)則可能允許機構A或受社區(qū)信任的機構被給

予對未經加密的數(shù)據(jù)訪問。由于這是不期望的，即使該實體也能夠在未經加密數(shù)據(jù)與假名

之間建立連接，因此優(yōu)選地出于該目的應用直接源自數(shù)據(jù)源DS1的密碼。為了執(zhí)行解密操

作，需要密鑰管理器KM在經加密數(shù)據(jù)通道上將密鑰包傳遞給該實體。則，如果已經獲得了所

需的法律授權或數(shù)據(jù)收集社區(qū)的許可，則實體可以向映射器M請求所需的密碼數(shù)據(jù)。該實體

由此能夠通過執(zhí)行以下計算來訪問所接收的未經加密的數(shù)據(jù)：D=峭modNa

[0064]如果將針對每個數(shù)據(jù)元素控制解密授權，則數(shù)據(jù)源DSj必須利用相應的不同密碼

密鑰來對每個數(shù)據(jù)元素進行加密，隨后將其傳遞給映射器M。在每個時機中都必須向生成數(shù)

據(jù)源DSj的密碼密鑰ej和映射器M的映射密鑰儲的密鑰管理器KM請求所需的密鑰，并且將前

11

CN114144783A說明書8/12頁

者傳遞給數(shù)據(jù)源DSj,并將后者傳遞給映射器M,以使得沒有其他實體能夠訪問它們。由機構

A例如分別從密鑰管理器KM以及從負責管理假名化數(shù)據(jù)庫DB的實體獲得密鑰包和數(shù)據(jù)。由

此，僅那些密碼以及僅與授權中所包括的數(shù)據(jù)相對應的那些密碼密鑰才被傳遞給機構A。

[0065]圖1中可以看到的示例性解決方案包括以下步驟：

[0066]⑴映射的常數(shù)由密鑰管理器KM生成:N=p-q,(p(N尸(p-l>(q-l)(這兩個因子都

是隨機選擇的質數(shù)，可以優(yōu)選地以所選密鑰大小的一半比特長度來表示)，b為指數(shù)，這些值

中僅N對其他實體公開,而其他被保密；

[0067](2)在數(shù)據(jù)源DSj請求之際，密鑰管理器KM使用標識符i生成由加密密鑰和映射密

鑰組成的密鑰對:指數(shù)為erhi，其中該標識符根據(jù)以上描述，其中與標識符索引一起前者被

傳遞給數(shù)據(jù)源DSj,后者被傳遞給映射器M；數(shù)據(jù)必須被視為秘密數(shù)據(jù)，因此數(shù)據(jù)傳遞可以經

加密或其他合適的方式來執(zhí)行。

[0068]⑶實體標識符D(即未經加密的數(shù)據(jù))由數(shù)據(jù)源DSj映射到密碼。三D*modN并

被發(fā)送給映射器M；

[0069](4)由映射器M根據(jù)密碼計算假名P=CjhimodNo

[0070]⑸在具有適當授權的情況下，主管機構A能夠使用以下公式從密碼中獲得未經加

密的數(shù)據(jù)(如果它從密鑰管理器KM接收指數(shù)dj并從數(shù)據(jù)管理器接收對應的密碼CJ；

D=CjdimodNo

[0071]在上述實施例中，數(shù)據(jù)由數(shù)據(jù)源DSj應用由索引i標識的相應的自身秘密密碼密鑰

ej來加密，其中數(shù)據(jù)源DSj可以具有任意數(shù)目的密鑰。

[0072]尤其優(yōu)選地選擇質數(shù)為值p和q,因為在該情形中，相對質數(shù)的數(shù)目是已知的(其為

(p-1),(q-1))o

[0073]如引言中所提及的，還可以應用定義在剩余類模p(其中p為質數(shù))的數(shù)字字段上的

橢圓曲線點來執(zhí)行假名映射(例如，參見維基百科(Wikipedia)文章“橢圓曲線(Elliptic

n23

curve))Oy=x+Ax+Bmodp在該上下文中，讓代數(shù)結構為滿足方程y?=x3+Ax+Bmodp的

點集，其中x、y、A和B是質數(shù)p的剩余類。首先，必須將未經加密實體標識符m指派給曲線的

點。讓我們選擇曲線中的點G,該點G具有足夠大的階數(shù)q以使得能夠將消息空間的點指派給

由G應用一對一映射生成的點。(對于曲線的所有點，存在數(shù)字q為在無窮遠處到達點0所需

的點自身的相加次數(shù)。此類數(shù)字中最小的數(shù)字q給出了點的次序。)為了達成這一點，例如,

可以應用以下方法(AritroSengupta,UtpalKumarRayiMessagemappingandreverse

mappinginellipticcurvecryptosystem(橢圓曲線密碼系統(tǒng)中的消息映射和反向映

射)(2016))。在低階數(shù)字處,D的二進制表示由8比特補充。在以上定義的曲線公式中，用由

此獲得的值替換X。如果針對y不存在解，則x的值增加1。如果解確實存在，則已經得到由曲

線定義的有限代數(shù)結構的點M。此處應用與以上對象的規(guī)范相關的描述以使得由第i個數(shù)據(jù)

源DSj應用其自身的密碼密鑰將該點投射到曲線的另一點4,隨后由映射器將其投影到用作

假名的點P,以使得當且僅當點M相同時，不同的密碼J被指派給相同的點P。

[0074]因為基于代數(shù)結構形成加法循環(huán)群的解以與基于乘法循環(huán)群的解類似的方式來

運算，因此未單獨示出。在需要的情況下，附圖中所示的標記可以用以下描述中包括的對應

運算和標記來替換。被適配成定義代數(shù)結構的值x、y、A、B和p由密鑰管理器KM來定義，該密

12

CN114144783A說明書9/12頁

鑰管理器KM還選擇點G,其中已知階數(shù)大于消息空間的多重性。該密鑰管理器KM隨后將這些

數(shù)據(jù)與數(shù)據(jù)源DSj和映射器M共享。隨后從剩余類modq中隨機或任意選擇相應的密鑰b,選

擇不同于0和1的值。

[0075]為了數(shù)據(jù)提供，由密鑰管理器KM從剩余類modq中為第i個數(shù)據(jù)源DSj隨機選擇數(shù)

字aj該數(shù)字將是由該數(shù)據(jù)源DSj用作密碼密鑰ej=aj（在以經加密方式接收之后）。應用公

式hj=aj+b,其生成與數(shù)據(jù)源DSj相對應的映射密鑰。該密鑰隨后以經加密方式傳遞給映射

器M。

[0076]在此之后，由數(shù)據(jù)源DSj通過使兩點相加來執(zhí)行加密運算：Q=M十ajG,其中運算

符十表示曲線的兩點的相加，而標量相乘表示重復的相加。

[0077]僅在對曲線點執(zhí)行下述運算的情況下，修改對剩余類執(zhí)行的以上過程。由映射器M

對源自第i個數(shù)據(jù)源的數(shù)據(jù)執(zhí)行以下運算：P=G十（一hjG）,其中一元運算符表示曲線

點在x軸上的反射。利用此類值的運算十在下文中用運算符由來標識。由此，通過兩個映射

的組合來獲得假名：

P=M十cijG一hjG=M十3jG一（aj+b）G=M十（a,—a/）G

[0078]

=M十⑶-ajG一bG=M一bG

[0079]由此，由每個數(shù)據(jù)源將相同的實體標識符D作為不同的密碼來發(fā)送,但是最后將其

指派給相同的假名P。可任選地，點P的x坐標也可被應用作為假名。

[0080]法規(guī)或數(shù)據(jù)收集和數(shù)據(jù)分析社區(qū)的規(guī)則可能允許機構A或受社區(qū)信任的機構被給

予對未經加密的數(shù)據(jù)訪問。由于這是不期望的，即使該實體也能夠在未經加密的數(shù)據(jù)與假

名之間建立連接，因此優(yōu)選地出于該目的應用直接源自數(shù)據(jù)源DSj的密碼。為了執(zhí)行解密操

作，需要密鑰管理器KM在經加密數(shù)據(jù)通道上將密鑰4傳遞給該實體?？捎擅荑€管理器KM存

儲經加密的數(shù)據(jù)以及假名化數(shù)據(jù)，并將其傳遞給被授權方。在此類情形中，如果已經獲得了

所需的法律授權或數(shù)據(jù)收集社區(qū)的許可，則機構A可以向映射器M請求所需的密碼數(shù)據(jù)。在

擁有這些數(shù)據(jù)的情況下，可以通過執(zhí)行以下計算來獲得未經加密的數(shù)據(jù)D=Q一ajG。

[0081]因此,為了確保擁有系統(tǒng)的任何組件不足以允許暗碼解譯假名P與實體標識符D之

間的關系,根據(jù)本發(fā)明的假名映射系統(tǒng)執(zhí)行以下數(shù)據(jù)轉換：

[0082]-從數(shù)據(jù)源DSj處可用并適于通過特征名稱（即從實體標識符D）來標識人、物或其

他實體的數(shù)據(jù)產生，

[0083]-此類假名化數(shù)據(jù)，其中實體標識符D被以獨立于由數(shù)據(jù)源DSj使用的密碼密鑰ej的

一對一方式指派給其的假名P來替換，

[0084]以使得

[0085]-應用加密裝置/模塊，由密鑰管理器KM從形成由密碼算法利用的乘法或加法循環(huán)

群的代數(shù)結構中隨機或任意選擇元素b（優(yōu)選地，此處以下功能性由加密裝置/模塊來實現(xiàn):

其生成可應用合適的映射來映射到密鑰空間的隨機數(shù)，以使用近似均勻的概率（即隨機地）

從密鑰空間的元素之中選擇），以及

[0086]-從相同的代數(shù)結構中，其為每個數(shù)據(jù)源DSj隨機或任意選擇至少一個元素ej或aj

該元素ej或aj以使得其僅能由將其用作密碼密鑰的特定數(shù)據(jù)源DSj訪問的方式傳遞給該數(shù)

13

CN114144783A說明書10/12頁

據(jù)源DSj,

[0087]-以使得未經加密的數(shù)據(jù)D被映射到密碼J中，以及

[0088]-取決于該代數(shù)結構，其計算密碼的乘法或加法逆密碼密鑰4或aj以及

[0089]-取決于該代數(shù)結構，其將a或aj與元素b相乘或相加并將由此獲得的元素現(xiàn)傳遞

給映射器M,以使得元素％僅能由映射器M訪問，

[0090]-該映射器M隨后將可用作密碼密鑰，以將由數(shù)據(jù)源DSj加密的數(shù)據(jù)映射成假名P

[0091]以及，可任選地，

[0092]-如果在系統(tǒng)之外定義的條件被滿足,其將密碼密鑰工傳遞給被授權實體（即機構

A）,則該實體

[0093]-在系統(tǒng)之外定義的條件被滿足的情況下，從數(shù)據(jù)庫DB的映射器M接收與由此類條

件指定的數(shù)據(jù)相對應的密碼

[0094]-以使得其能夠獲得未經加密的數(shù)據(jù)D。

[0095]根據(jù)本發(fā)明的用于密碼假名化的計算機系統(tǒng)包括：

[0096]-數(shù)據(jù)源DSi包含與實體相關的數(shù)據(jù),數(shù)據(jù)在數(shù)據(jù)源DSj處通過實體的實體標識符D

來標識，

[0097]-假名化數(shù)據(jù)庫DB,其中數(shù)據(jù)應用以一對一方式指派給每個實體標識符D的相應假

名P來標識，

[0098]-映射器M,

[0099]-密鑰管理器KM,以及

[0100]-實現(xiàn)上述功能和/或實體的模塊，這些模塊可以是硬件、軟件或組合的硬件軟件

模塊。

[0101]密鑰管理器KM優(yōu)選為包括被適配成用于執(zhí)行程序的處理器以及被適配成用于提

供數(shù)據(jù)寫入、存儲和讀出功能的存儲器的裝置。在該裝置上運行的程序被適配成用于生成

執(zhí)行映射所需的數(shù)據(jù)，例如，被適配成從未經加密的數(shù)據(jù)生成假名的模指數(shù)和模數(shù)的

totient值。該裝置被適配成用于存儲這些值，以使得其他任何人都不能訪問這些值，但該

裝置仍然能夠利用這些值來執(zhí)行計算。除此之外，該裝置還能夠應用上述過程（例如，擴展

歐幾里德算法）來計算模指數(shù)密鑰對，并且能夠在安全數(shù)據(jù)通道上將經加密的指數(shù)傳遞給

數(shù)據(jù)源，并計算應用于假名映射的指數(shù)，該指數(shù)還可被傳遞給在安全數(shù)據(jù)通道上執(zhí)行映射

的實體。例如，由以上所提及的可信平臺模塊（TPM）電路滿足所有這些要求。

[0102]映射器叫優(yōu)選為被適配成