CN1575578B - 用于个人信息访问控制的方法和设备 - Google Patents
用于个人信息访问控制的方法和设备 Download PDFInfo
- Publication number
- CN1575578B CN1575578B CN02821059XA CN02821059A CN1575578B CN 1575578 B CN1575578 B CN 1575578B CN 02821059X A CN02821059X A CN 02821059XA CN 02821059 A CN02821059 A CN 02821059A CN 1575578 B CN1575578 B CN 1575578B
- Authority
- CN
- China
- Prior art keywords
- data
- professional supplier
- communication server
- personal information
- supplier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Abstract
为了根据为一个业务供应者定义的保密策略来控制访问个人信息,公开了一种方法,其中该方法包括步骤:把业务供应者请求数据从业务供应者提供到终端用户设备,业务供应者请求数据表示要由业务供应者访问的终端用户设备的用户的个人信息,为业务供应者提供第一用户数据,该数据包括业务供应者请求的用户的个人信息或业务供应者请求的个人信息的拒绝中的至少一个,创建保密收据数据,该数据包括第一用户数据和表示业务供应者的数据,并且为终端用户设备提供业务收据数据。
Description
技术领域
本发明涉及在技术系统中提供和传送的个人信息。特别地,本发明涉及经由电信网提供给业务供应者的用户的个人信息,其中所述用户向所述业务供应者请求业务。
背景技术
诸如移动通信网和互联网供应者之类的许多网络和业务供应者请求用户的个人信息以便交付该用户所请求的业务。为了确保例如由被联系的业务供应者保护个人信息不被滥用并且符合与在许多国家中存在的个人信息的保护有关的法律规章,个人信息的保密和保护成为一个日益重要的问题。
对于互联网来说,万维网联盟已经开发了互联网保密协议,也就是P3P(保密偏爱的平台)。该协议是基于用户代理的并且促使运营商业务网络和其它业务供应者在特殊的语法和语义中实现保密策略。此外,用户必须配置他们自己的保密策略。
用户和业务供应者的保密策略是相互核对的。为此,业务供应者的保密策略必须是机器可读的并且用户必须阅读详细的问题而且确认/回答或者拒绝它们。这种方法导致的用户行为是:例如通过简单地点击“接受”按钮,而不完整地阅读并且不加辨别地接受业务供应者的保密策略。此外,P3P协议要求大量数据的通信以及大量“往返行程时间”(也就是业务供应者与用户之间的数据通信以及相反方向的通信)。
由于这些缺点,对于利用无线通信链路来为移动终端用户提供服务的系统/网络来说,最初为互联网的有线环境开发的P3P协议并不是一个恰当的解决方案。这种移动环境的例子包括含有移动电话、便携式计算机系统、寻呼设备等的电信系统(例如GSM网络、UMTS网络)。
目前没有功能可用于移动环境使得用户能够访问诸如以下列出的信息:
-有个人信息被传送吗?
-什么类型的个人信息已经被传送?
-个人信息已经被传送给谁?
-已经获得个人信息的一方的保密策略是什么?
这种信息对于用户和移动环境中提供的业务来说是重要的,这是因为通常存在两个基本的选项:
用户可以向提供相应的移动环境的运营商的业务网请求业务。在这种情况下,运营商包括实际上运营移动环境的运营商以及只是担当移动环境供应者的运营商。可替代地,用户可以使用另一个业务供应方提供的业务。对于后面这种情况,保密问题甚至是更重要的,这是因为一些业务会请求诸如业务请求用户的地址、地理位置、银行帐户、信用卡号等的个人信息。个人信息只应当在用户同意之后才由移动环境运营商提供给业务供应方。否则,用户可能失去他们对于他们的移动环境运营商的信任,并且移动环境可能失去作为受托系统的状态,尤其是关于除了移动网络运营商之外的各方提供的业务。此外,用户将只与能够恰当保护用户隐私的业务供应者进行合作。
发明内容
本发明的目的是提供一种解决方案,其中能够容易地控制和监视要由第三方访问的个人信息的提供。此外,本发明提供如何访问和使用被提供的个人信息的信息。特别地,本发明为诸如移动通信系统之类的移动环境中的应用提供这种解决方案。
本发明的基本思想是为已经把个人信息传送到诸如业务供应者之类的第三方的用户提供所谓的保密收据。保密收据包括的数据表明谁获得了用户或者该用户使用的运营商何时提供用户的个人信息以及提供了哪种类型的信息用于与第三方并且特别是业务供应者的通信。
此外,保密收据包括与用户的个人信息已经被传送到的第三方的保密策略有关的信息。在这种情况下,保密策略定义第三方如何约束自己来处理被提供的个人数据,其中可以为第三方定义保密策略和/或由第三方定义保密策略和/或保密策略可以基于一般的和/或法律规则和规章。特别地,预期这种保密策略对于业务供应者是有效的。不过,如果没有第三方的保密策略存在或者如果该策略对于用户是未知的,则所建议的方法也是可应用的。
特别地,本发明提供一种适合于包括诸如移动电话之类的移动终端用户设备以及无线通信链路的系统和环境的解决方案。而且,该解决方案确保不能由例如接收到被提供的个人信息的第三方随后执行被接受用于个人信息的提供的保密策略的操纵。
更详细地,根据本发明的方法提供个人信息访问控制,其中提供个人信息的用户接收一个保密收据,用户可以使用该收据来获知接收到所述个人信息的一方并且获知哪种类型的个人信息被提供。
为了通知用户哪种类型的个人信息应当被提供,诸如互联网业务供应者之类的业务供应者把业务供应者请求数据传送到相应用户的终端用户设备。业务供应者请求数据定义将被业务供应者访问和使用的用户的个人信息。
可以由业务供应者响应于从终端用户设备传送到业务供应者的业务请求数据而提供业务供应者请求数据,其中业务请求数据表明用户对于要由业务供应者提供或交付的业务的请求。
根据业务供应者请求数据,用户数据被提供给业务供应者。用户数据可以包括被请求的所有个人信息或者一些被请求的个人信息以及剩余的被请求的个人信息的拒绝。通常,请求个人信息作为提供/交付被请求的业务的先决条件的业务供应者要求用户提供最少的个人信息。尽管如此,还是可以预料到用户数据可以只包括拒绝业务供应者的个人信息请求,例如用户不希望提供如何个人信息。
为了生成上述保密收据,要创建包括(部分)用户数据和表征业务供应者的数据中的至少一个的保密收据数据。
例如为了控制哪一方已经获得了哪个用户数据,保密收据数据被提供分别由终端用户设备及其用户来访问。
一些业务供应者不仅需要个人信息的提供,而且还请求一个确认,该确认表明用户同意提供个人信息以及访问该信息。在这点上,通过把保密收据数据提供给业务供应者,保密收据数据可以用作这样一个确认。
如上所述,所述方法可以应用的情况是:保密策略对于业务供应者是有效的。
为了在终端用户设备与业务供应者之间的通信,可以提供一个通信服务器。通信服务器的例子包括计算机和电话网运营商、提供者、使用有线和无线通信链路的系统和基站、计算机网络服务器等中的至少一个。
与通信服务器的存在无关,用户数据可以由终端用户设备提供给业务供应者。
如果使用通信服务器,则用户数据可以由通信服务器提供给业务供应者,其中根据来自终端用户设备的指示来确定用户数据。这种指示包括下列信息中的至少一个:关于可以响应于业务供应者请求数据而提供给业务供应者的个人数据的信息以及不应当传送给业务供应者的个人数据的信息。
接收到用户数据之后,业务供应者可以访问个人信息,并且如果被请求,则交付一个业务。
此外,业务供应者可能提供其保密策略,该保密策略可能包括在保密收据数据中。
如果保密收据中包括保密策略或者指示该保密策略的数据,则终端用户设备被启动来访问该保密策略而无需进一步的动作。在许多情况下,用户对于保密策略本身不感兴趣而只是对于涉及传送到业务供应者的个人信息的信息感兴趣。在这里,可选地包括保密策略的保密收据数据最好是由业务供应者或者利用第三方根据终端用户设备的请求来提供,以便使得通常对于保密策略不感兴趣的用户能够获得相应的保密策略。
保密收据数据还可以包括与用户个人信息的提供有关的信息,诸如表明用户数据何时提供给业务供应者的时间的数据、保密收据数据的创建时间、用户的标识、终端用户设备的标识等。此外,保密收据数据还可以包括保密策略或者已经被提供的相应数据的信息。
为了创建保密收据数据,可以使用用于终端用户设备的通信服务器。这里,通过把保密收据数据从通信服务器传送到终端用户设备来把保密收据数据提供给终端用户设备。
在本发明的方法的优选实施例中,业务供应者把表明其保密策略的保密策略数据包括在业务供应者请求数据中并且把该数据传送到通信服务器。通信服务器从业务供应者请求数据中清除保密策略数据并且创建可选地包括保密策略数据的保密收据数据。为了减少存储需求,例如如果多个用户从同一个业务供应者接收数据请求或者用户通常定期地访问一个业务供应者,期望单独存储保密策略。然后,保密收据数据可以包括对于保密策略的用于检索的指针。
根据业务供应者请求数据中定义的被请求的个人信息,通信服务器产生表明业务供应者请求哪个个人信息的通信服务器请求数据,并且把通信服务器请求数据传送到终端用户设备。响应于此,终端用户设备把表明被提供的和被拒绝的被请求个人信息中的至少一个的响应数据发送到通信服务器。通信服务器把通信服务器数据传送到业务供应者,其中通信服务器数据包括包含在响应数据中的或者根据从终端用户设备获得的指示而确定的个人信息。在个人信息指示的情况下,终端用户设备因此不提供个人信息,而是提供通信服务器被允许把哪种类型的个人信息提供给业务供应者的信息。关于对于个人信息的业务供应者请求并且根据这种指示,通信服务器访问或确定相应的个人信息并且把该信息提供给业务供应者。这种指示分别包括用户姓名、地址、银行帐户、信用卡号等以及用户和终端用户设备的位置数据的提供,其可以例如通过作为移动通信系统的运营商来操作的通信服务器来确定。优选地,从通信服务器提供到业务供应者的个人信息被作为“硬”数据来传送,也就是实际包括个人信息的数据。为了安全,这种“硬”数据可以被加密。
为了便于个人信息的提供,可以定义用户数据,自动地无需终端用户设备或者其用户的进一步动作或者根据用户的确认或者选择而响应于一个相应的请求来把所述用户数据传送到业务供应者。如果自动传送的用户数据覆盖所有被请求的个人信息,则用户动作是不必要的或者用户只需要确认数据传输并且优选地选择数据用于传输。
为了确保只在终端用户设备的用户已经同意提供个人信息的情况下才把个人信息提供给业务供应者,期望如果响应数据包括业务供应者请求的至少一个个人信息,也就是响应数据不是只包括被请求的个人信息的拒绝,则自动地把用户数据传送到业务供应者。
不过,优选地,用户接收请求数据列表并且从该列表中选择要被提供的数据。然后,符合的指示被提供给通信服务器,该服务器能够为业务供应者提供例如包括在用户数据中的相应的个人信息。
为了减少从通信服务器传送到终端用户设备的数据量,可能通信服务器请求数据不包括保密策略数据。然后,最好由通信服务器来存储保密策略数据,以便如果希望,则终端用户设备能够通过把一个相应的请求发送到通信服务器而获得保密策略。
在另一个优选实施例中,业务供应者与终端用户设备之间的或相反的通信分别被加密,以便通信服务器不能访问和读取业务供应者和终端用户设备的数据。这里,应当执行数据加密,使得通信服务器能够被识别业务供应者请求个人信息,以便创建保密收据数据。此外,还期望数据加密允许通信服务器清除保密策略数据。
在另一个优选实施例中,通过为终端用户设备而把通信服务器开隧道,业务供应者请求数据被从业务供应者直接传送到终端用户设备,也就是通信服务器不能访问在业务供应者与终端用户设备之间交换的数据通信(数据业务量)。以一种类似的方式,通过为通信服务器开隧道,用户数据能够被直接传送到业务供应者。
为了创建保密收据数据,终端用户设备还把用户数据传送到通信服务器,该服务器响应于此而创建保密收据数据。
这里,期望业务供应者请求数据包括业务供应者的保密策略,从而终端用户设备能够把相应的保密策略数据或保密策略传送到通信服务器。然后,通信服务器能够把保密策略数据存储在策略收据数据中。
而且,业务供应者与终端用户设备之间的数据交换也能够被加密以便拒绝由通信服务器或者任何其它第三方进行访问。
为了证实对于个人信息的当前业务供应者请求的保密策略是否是真正的业务供应者的保密策略,可能把业务供应者请求数据的保密策略与从业务供应者获得的另外的保密策略进行比较并且如果比较的保密策略是不同的,则通知终端用户设备。如果比较表明保密策略是相同的,则可以创建保密收据数据。可以为例如文本文件这样的任何格式的保密策略来执行所述比较。
在通信服务器的情况下,来自通信服务器的请求可以被传送到业务供应者来请求另外的保密策略。然后,被请求的另外的保密策略被传输到通信服务器,该服务器把当前业务供应者请求的保护策略与根据通信服务器请求而从业务供应者获得的保密策略进行比较,以便如果该比较失败则警告终端用户设备或者创建保密数据数据。
如上所述,终端用户设备能够利用相应的请求数据来请求保密策略以便根据其收据而访问保密策略。在通信服务器的情况下,这种保密策略请求数据能够从终端用户设备传送到通信服务器,该服务器把保密策略数据或表示保密策略数据的数据传送到终端用户设备。
此外,本发明还提供系统、设备、部件等,诸如通信服务器、终端用户设备和计算机软件程序产品,它们被修改和编程来实现和执行根据本发明的基本方案,特别是创建保密收据数据。此外,它们还被修改和编程来执行根据本发明的上述方法。
附图说明
以下关于优选实施例的描述是参考附图进行的,在附图中:
图1表示供本发明使用的通信环境,
图2表示图1的通信环境的一部分,
图3表示根据本发明的终端用户设备,
图4表示根据本发明的通信服务器,以及
图5-图10表示根据本发明的五种数据结构。
具体实施方式
如图1所示,被修改和编程来执行本发明的通信环境包括通信服务器2。通常,通信服务器2是未在图中示出的例如GSM或UMTS网络这样的运营商的通信系统的一部分。通信服务器2允许和控制来自和去往相关的终端用户设备的通信,该终端用户设备的例子是图1所示的移动电话4、固定电话6、便携式计算机8和桌面计算机系统10。
为了通信,终端用户设备4、6、8和10可以建立无线通信链路12和14以及有线通信链路16和18。
此外,通信服务器2还连接到作为业务供应者20、22和24的系统、网络、设备等。通信服务器2与业务供应者20、22和24之间的通信链路可以是有线和无线通信链路26、28和30。
下面讨论图2,图2示出了通信服务器2、移动电话4、无线通信链路12、业务供应者20和图1的有线通信链路26。
如图3所示,移动电话4包括天线32以及耦合到该天线的发送机/接收机单元34。天线32和发送机/接收机单元34用作与通信服务器2的数据通信的通信接口。为了控制移动电话4的操作,采用一个控制/处理单元36,该单元操作耦合到天线32、发送机/接收机单元34、安全安全标识模块SIM38和无线标识模块WIM 40中的至少一个以及存储器42。应当指出,安全标识模块38和无线标识模块40可以体现为单独的单元,或者作为提供SIM 38和WIM 40的功能的实现在诸如芯片之类的一个部件中的单独一个单元或多个单元。
如图4所示,通信服务器2包括如下所述的用于到移动电话4和业务供应者20的通信链路的通信接口单元44、用于控制其操作的处理器单元46以及用于存储数据的存储器48。
方案A
移动电话4的用户(未示出)希望业务供应者20交付/提供一个业务。因此,该用户利用移动电话4经由通信服务器2把业务请求发送到业务供应者20或者把业务请求直接发送到业务供应者20。
如果业务请求被传送到通信服务器2,则通信服务器2把该业务请求转发到业务供应者20。可选地,通信服务器2使得来自移动电话4的业务请求是“看不到的”也就是请求的源对于业务供应者20来说是未知的,并且移动电话4及其用户无法被分别标识。
为了交付移动电话4的用户所请求的业务,业务供应者20请求用户的个人信息。这种个人信息的例子包括用户的姓名、地址、地理位置、银行帐户、信用卡号、年龄、性别等、移动电话4的电话号码等。为了个人信息保护,对于业务供应者20有效的保密策略被采用,其包括业务供应者20对于个人信息如何进行访问、处理、分布式存储等的规则和规定。
对于个人信息和保密策略的请求被传输到通信服务器2,作为如图5所示的请求PIR1。请求PIR1包括标志PI-Flag、详细的个人信息请求PI-Request以及附加的保密策略PP。标志PI-Flag通知接收通信服务器2:从业务供应者传输的数据包括对于个人信息的请求。
根据请求PIR1的接收,通信服务器读取被启用的标志PI-Flag并且把一个收据号PI-RN分配给这个信息流。此外,在从业务供应者20接收的数据中清除/删剪保密策略PP,并且存储作为保密收据数据的一部分,这将在下面参考图7来进行描述。
通信服务器20利用如图6所示的一个请求PIR2来转发个人信息请求PI-Request。请求PIR2包括详细的个人信息请求PI-Request,而保密策略PP已经被收据号PI-RN代替。根据个人信息请求PI-Request来提供(一些或全部)个人信息或者(部分或完全)拒绝这样做的用户能够观看被传送到移动电话4的请求PIR2。这可以例如通过填写/回答、接受或拒绝不同的域或者问题来完成。
如果用户希望知道对于业务供应者20有效的保密策略,则一个相应的请求被从移动电话4传送到通信服务器2。该请求包括收据号PI-RN,根据该收据号,通信服务器2把保密策略PP返回到移动电话4。为此,可以利用移动电话4来显示收据号PI-RN并且/或把收据号PI-RN存储在移动电话4中,例如存储在SIM 38、WIM 40或者存储器42中(参见图4)。
由用户提供的个人信息被发送到通信服务器2,该服务器例如在得到用户允许的情况下通过填写相应的域来回答来自业务供应者20的个人信息请求。此外,通信服务器2存储用户的个人信息本身以及/或哪种类型的个人信息已经由用户在保密收据数据中提供。此外,通信服务器2在保密收据数据中包括使用的安全方法(例如TLS 1.0或WTLS)并且利用时间戳和指示通信服务器2的签名来对于保密收据进行签名,以便在获得个人信息之后保护用户和本身例如由服务供应者20修改保密策略。
在图7中,示出所得到的保密收据数据包括收据号PI-RN、保密策略PP、个人信息PI-Data、标识所使用的安全方法的数据SM、时间戳T和通信服务器2的签名S。
然后,通信服务器2转发基于由用户提供给业务供应者20的个人信息PI-Data所产生的数据。根据被请求的个人信息或者至少其最少的一部分的接收,业务供应者20交付被请求的业务。如果通信服务器2使得移动电话4关于业务供应者20是“看不到的”,则通信服务器2必须在业务供应者20与移动电话4之间进行映射,以便交付被请求的业务。否则,可以把业务直接交付给移动电话4。
假设移动电话4的用户希望访问由通信服务器2存储的保密收据数据,例如在用户已经一致同意的保密策略的被断定的破坏的情况下,一个保密收据请求被从移动电话4发送到通信服务器2,该服务器基于包括在保密收据请求中的收据号PI-RN来返回被请求的保密收据数据。
必须指出的是,只要收据号PI-RN可用于移动电话4,就可以在上述过程期间或之后的任何时间来从移动电话4中发出保密收据请求,而与实际包括在保密收据数据中的数据无关。
可选地,由用户通过移动电话4提供的个人信息PI-Data可以被存储在移动电话4中,而不是把个人信息PI-Data插入到保密收据数据中。在这种情况下,可以根据移动电话4的接收而把个人信息PI-Data与从通信服务器2请求的保密收据进行合并。
方案B
假设移动电话4的用户希望联系业务供应者20来进行数据通信,其方式是通信服务器2不被允许访问和读取在移动电话4与业务供应者20之间交换的数据并且特别是用户提供的个人信息,采用下列过程。
与方案A类似,一个业务请求被从移动电话4传输到业务供应者20。然后,要被使用来进行移动电话4与业务供应者20之间的数据通信的安全方法被协商并且一致同意,所述安全方法是例如加密、鉴权、证明方法等。
然后,业务供应者20把图8所示的请求PIR3发送到通信服务器2。由一致同意的安全方法来保护请求PIR3,例如请求PIR3至少部分地被加密。所使用的安全方法必须确保通信服务器2能够识别/读取标志PI-Flag,以便该通信服务器2被通知如下情况:业务供应者请求个人信息并且必须创建保密收据。
此外,安全方法应当允许通信服务器2能够如上所述地清除保密策略PP。例如,请求PIR3可以被加密,以便只有详细的个人信息请求PI-Request被加密,而标志PI-Flag和保密策略PP不被加密。作为一个替代,保密策略PP能够被加密并且由另一个标志来进行标记,以便通信服务器2能够利用这个标志来清除保密策略PP。由于在这个方案中,由移动电话4和业务供应者20采用的安全方法能够被认为是用于移动电话4和业务供应者20的单独保密策略,所以安全方法可以被包括在保密策略PP中。
当接收到请求PIR3时,通信服务器2“注意到”标志PI-Flag并且把一个收据号PI-RN分配给这个请求。此外,通信服务器2分离保密策略PP并且把该保密策略PP与收据号PI-RN存储在保密收据数据中,这将在以下参考图10进行描述。
图8示出了请求PIR3的这种加密,其中斜体的部分表示被加密的数据。
接下来,通信服务器2把一个请求PIR4传输到移动电话4,包括收据号PI-RN和加密的个人信息请求PI-Request,如图9所示,与请求PIR2类似(参见图6),请求PIR4不包括保密策略PP。图9中斜体的部分表示被加密的数据。
移动电话4解密请求PIR4并且(部分或全部)回答或拒绝个人信息请求,加密被提供的个人信息PI-Data并且把它返回到通信服务器2。
通信服务器2把来自移动电话4的加密的个人信息PI-Data存储在保密收据数据中,并且如上所述地包括导致如图10所示的保密收据数据的另外的数据。图10中的斜体的部分同样表示加密的数据。
加密的个人信息PI-Data被转发到业务供应者20,该业务供应者响应于此而把被请求的业务交付到移动电话4。
可选地,个人信息PI-Data被在两个利用不同的密钥加密的拷贝中发送到通信服务器2。利用用户的密钥来加密第一个拷贝用于存储在保密收据数据中并且由用户解密。利用业务供应者的公共密钥来加密第二个拷贝并且将它转发到业务供应者进行解密。可替代地,个人信息PI-Data的一个单独的加密的拷贝被发送。
不过,后面一个方案要求用户和业务供应者都能够解密信息。这会带来问题,因为如果一个密钥对归因于用户与业务供应者的每个组合,则很难由用户和业务供应者管理这种解密。
如上关于方案A所述的,移动电话4能够通过一个相应的保密收据请求来访问保密收据数据。这里,必须指出,被一致同意的安全方法应当可用于移动电话4来解密已经加密的数据部分。
方案A+B
方案A与方案B的组合或者混合也是可能的,例如用于填写功能的对于像移动电话4的地理位置或用户的个人偏爱这样的任何信息的个人信息请求,并且用于执行移动电话4与业务供应者20之间的数据通信,包括加密的和未加密的数据。
方案C
下面描述的过程是,通过为通信服务器2“开隧道”,可以在移动电话4与业务供应者20之间执行至少一部分这二者之间的数据通信,也就是通信服务器2不能访问移动电话4与业务供应者20之间的数据业务量。
到用于移动电话4与业务供应者20之间的数据通信的安全方法被一致同意的这一点,方案C的过程与关于方案B所述的相应步骤是对应的。这里,要被使用的安全方法包括关于通信服务器2要被开隧道的一致同意。
然后,业务供应者20把一个个人信息请求发送到移动电话4,其中不需要上述的标志PI-Flag。可选地,业务供应者20把其保密策略包括在这个请求中。
响应于这个请求,移动电话4把个人信息返回到业务供应者20并且还把个人信息作为可选地加密的数据而发送到通信服务器2进行存储。
为了产生保密收据,通信服务器2把一个收据号分配给从移动电话4获得的加密的个人信息并且把收据号返回到移动电话4。如上所述,保密收据可以包括时间戳以及与通信服务器2相关的签名等。
为了由移动电话4从通信服务器2获得保密收据,要参考以上描述的内容。
为了把保密策略包括在保密收据中,在个人信息请求中从业务供应者接收的保密策略被移动电话4转发到通信服务器2。为了增强安全等级,通信服务器2可能还请求来自业务供应者20的保密策略并且把从移动电话4和从业务供应者20接收的保密策略进行比较。如果该比较表示接收到的保密策略相同,则把保密策略存储在保密收据中。否则,通信服务器2通过传送一个相应的告警消息来警告移动电话4的用户。
方案D
作为上述实施例的替代或者补充选项,可以相应地由通信服务器2根据从移动电话4获得的由其用户定义的指示来把个人信息提供给业务供应者20。这种指示或者指示符数据包括的信息是用于通信服务器2的用户允许哪种类型的个人数据被响应于对于个人信息的请求而传输到业务供应者20。例如,所述指示通知通信服务器2以下情况:根据来自业务供应者20的请求,可以把用户的姓名、地址、银行帐户、信用卡号等提供给业务供应者20。这种为业务供应者20提供个人信息的方式具有的优点是,用户和移动电话4分别不被包含在个人信息的实际提供中,这为用户增强了舒适度并且减小了在移动电话4与通信服务器2之间传送的数据量。如果对于个人信息的业务供应者请求采用列表或者问卷的形式,则通信服务器2根据来自移动电话4的指示来填写相应的域或者回答相应的问题。
此外,这种为业务供应者提供个人信息的方式允许实际上不能由终端用户设备或其用户提供或者只能利用额外的努力来提供的个人信息的传送。这种个人信息的例子相应地包括用户设备及其用户的地理位置、实际可用的数据传输速率或者带宽以及通信链路的可靠性等。此外,这种个人信息通常可以由通信服务器来提供,例如在担当移动环境运营商的通信服务器的情况下,是终端用户设备的位置。然后,依据一个相应的指示,通信服务器将根据该指示来提供这种个人信息。
例如,定期地从对于每个定单都请求用户的地址和信用卡号的食品交付业务进行订购的一个用户被免于每次都提供所述信息。因此,使用上述的由通信服务器2提供个人信息为用户简化了这种业务请求。另一方面,这个过程不会削弱个人信息的安全性,这是因为用户知道必须把哪种类型的个人信息提供给食品交付业务,同意考虑到相应的保密策略来提供必要的信息并且允许通信服务器提供这些信息,否则没有食品定单将被完成。
其它选项
移动电话4的用户可能同意把特殊的一组个人信息转发到业务供应者20或者诸如移动电话4的技术数据之类的另外的用户相关的信息。处理这种数据的方式可以与上述个人信息关于传输到业务供应者20、保密收据数据、由通信服务器2和移动电话4存储、加密等的方式是类似的。
这可以通过如下操作来完成:为通信服务器2提供相应的数据并且允许响应于对于个人信息的业务供应者请求和/或个人信息的提供而把有利地由通信服务器2存储的数据自动传输到业务供应者2。
此外,要被自动转发的数据可以由移动电话4提供,例如存储在SIM 38、WIM 40和存储器42中,并且根据实际的方案而传送到通信服务器2和业务供应者20。
这使得用户更容易获得被请求的业务供应者20的业务,特别是当(个人)信息经常或者定期地被请求时。此外,这个过程最小化了移动电话4与通信服务器2之间的数据通信。为了个人信息保护,只有当移动电话4的用户实际上同意提供关于当前被请求的业务的个人信息时,才应当允许这种把(个人)信息自动转发到业务供应者20。
为了最小化由通信服务器2和/或移动电话4存储的数据,可能检查是否已经存储了关于当前被请求的业务的实际接收的保密策略。在这种情况下,不需要进一步存储保密策略。
为了访问保密收据,一个图标可以被提供在终端用户设备的显示器上。依赖于个人数据是否被传输到业务供应者,这种图标可以具有不同的外观。优选地,当图标被访问时,显示个人数据被传输到的业务供应者的列表,并且响应于从该列表中选择一个希望的个人信息传输,提供对于被选择的业务供应者的一个相应的保密收据,例如下载到终端用户设备。
例如,所述图标可以具有一个眼睛的形式,包括下列外观和功能:
闭合的眼睛:没有个人信息被提供。
张开的眼睛:在实际的会话中已经提供了个人信息。在这个上下文中,一个会话可以是用于去往和来自终端用户设备的通信的“接通”时间段或者预定义的寿命。
如上所述,眼睛可以被用于访问到第三方的个人信息传输的历史,也就是访问保密收据。
应用示例
只是作为执行本发明的例子,来描述下列应用。一个用户希望交付一份比萨饼,其中比萨饼应当是热的并且以现金支付。运营商(也就是按照先前描述的通信服务器)已经存储了用户的“比萨饼概况”,其中包括要关于比萨饼定单被提供的用户的个人信息。用户选择来自运营商的比萨饼交付业务,其响应于此而把所述请求转发到比萨饼公司进行交付。比萨饼公司请求例如用户的位置、信用卡号和比萨饼概况并且还把其保密策略传送到运营商。运营商创建保密收据并且把请求转发到用户。然后,用户同意提供涉及位置以及比萨饼概况的信息但是拒绝提供信用卡号。用户的这个响应被发送到运营商,运营商填写位置和用户的比萨饼概况,但是没有填写信用卡号,并且把它转发到比萨饼公司。运营商存储哪种类型的个人信息已经被发送到比萨饼公司。
参考上述图标,当用户对于提供个人信息的协定已经被发送到运营商时,眼睛已经被接通,也就是眼睛张开。用户可以为了获得个人信息已经被发送到的要被提供的业务的列表而点击所述眼睛。例如,用户选择比萨饼交付业务并且从而向运营商请求相应的保密收据,运营商把该保密收据返回给用户。
Claims (22)
1.一种用于对于由业务供应者(20)请求的用户数据进行个人信息访问控制的方法,包括下列步骤:
-从业务供应者(20)向终端用户设备(4)提供业务供应者请求数据,该业务供应者请求数据表示要由业务供应者(20)访问的终端用户设备(4)的用户的个人信息,
-为业务供应者(20)提供第一用户数据,该第一用户数据包括由业务供应者(20)请求的用户的个人信息与业务供应者(20)请求的个人信息的拒绝中的至少一个,
其特征在于
-创建保密收据数据,该保密收据数据包括第一用户数据或部分该第一用户数据,以及表示业务供应者(20)的数据,以及
-提供保密收据数据由终端用户设备(4)访问。
2.根据权利要求1的方法,其中对于所述业务供应者(20)保密策略是有效的。
3.根据权利要求1或2的方法,其中
终端用户设备(4)与业务供应者(20)之间的通信是经由通信服务器(2)执行的。
4.根据权利要求1或2的方法,其中
由终端用户设备(4)把第一用户数据提供给业务供应者(20)。
5.根据权利要求3的方法,其中
由通信服务器(2)根据终端用户设备(4)的要被提供给业务供应者(20)的个人信息的指示来把第一用户数据提供给业务供应者(20)。
6.根据权利要求1或2的方法,其中
响应于来自终端用户设备(4)的保密收据请求数据来提供保密收据数据。
7.根据权利要求1或2的方法,包括下列步骤中的至少一个:
-把终端用户设备业务请求传送到业务供应者(20),该终端用户设备业务请求表示来自终端用户设备(4)的对于要由业务供应者(20)交付的业务的请求,以及
-根据个人信息的接收来由业务供应者(20)交付业务。
8.根据权利要求3的方法,包括下列步骤:
-把业务供应者请求数据从业务供应者(20)传送到通信服务器(2)
-由通信服务器(2)创建保密收据数据,
-由通信服务器(2)产生表示被请求的个人信息的通信服务器请求数据,以及
-把通信服务器请求数据从通信服务器(2)传送到终端用户设备(4)。
9.根据权利要求8的方法,包括下列步骤:
-把第一用户数据从终端用户设备(4)传送到通信服务器(2),以及
-根据第一用户数据把包括至少部分个人信息的通信服务器数据从通信服务器(2)传送到业务供应者(20)。
10.根据权利要求3的方法,包括下列步骤:
-把指示符数据从终端用户设备(4)传送到通信服务器(2),该指示符数据表示要被提供给业务供应者(20)的个人信息,以及
-根据指示符数据把包括个人信息的通信服务器数据从通信服务器(2)传送到业务供应者(20)。
11.根据权利要求3的方法,包括下列步骤中的至少一个:
-通过为通信服务器(2)开隧道,把业务供应者请求数据从业务供应者(20)直接传送到终端用户设备(4),以及
-通过为通信服务器(2)开隧道,把第一用户数据从终端用户设备(4)直接传送到业务供应者(20)。
12.根据权利要求11的方法,包括下列步骤:
-进一步把第一用户数据从终端用户设备(4)传送到通信服务器(2),以及
-根据第一用户数据的接收,由通信服务器(2)创建保密收据数据。
13.根据权利要求2的方法,包括下列步骤:
-把表示保密策略的保密策略数据包括在业务供应者请求数据中。
14.根据权利要求13的方法,包括下列步骤:
-把保密策略数据从业务供应者请求数据中清除,以及
-把保密策略数据或表示保密策略数据的指针数据包括在保密收据数据中。
15.根据权利要求1或2的方法,其中
提供给终端用户设备(4)的业务供应者请求数据包括被分配给所述业务供应者请求数据的提供的收据号数据。
16.根据权利要求15的方法,其中
收据号数据被存储在保密收据数据中。
17.根据权利要求13的方法,包括下列步骤:
-把保密策略数据从终端用户设备(4)传送到通信服务器(2),以及
-由通信服务器(2)把保密策略数据(PP)包括在保密收据数据中。
18.根据权利要求1或2的方法,包括下列步骤:
-对于用于业务供应者请求数据的表示保密策略的保密策略数据与从业务供应者(20)获得的另外的保密策略数据进行比较。
19.根据权利要求18的方法,包括下列步骤中的至少一个:
-如果所述比较失败,则把告警数据提供给终端用户设备(4),该告警数据表示用于业务供应者请求数据的保密策略数据与另外的保密策略数据不相同,以及
-如果所述比较表示用于业务供应者请求数据的保密策略数据与另外的保密策略数据相同,则创建保密收据数据。
20.根据权利要求18的方法,包括下列步骤:
-把通信服务器保密策略请求数据从通信服务器(2)传送到业务供应者(20),该通信服务器保密策略请求数据表示另外的保密策略数据,
-把另外的保密策略数据从业务供应者(20)传送到通信服务器(2),以及
-由通信服务器(2)执行保密策略数据的比较。
21.根据权利要求1或2的方法,包括下列步骤:
-传送来自终端用户设备(4)的保密策略请求数据,该保密策略请求数据表示终端用户设备(4)对于访问保密策略数据的请求,以及
-把表示保密策略的保密策略数据传送到终端用户设备(4)由终端用户设备(4)访问。
22.一种用于对于由业务供应者(20)请求的用户数据进行个人信息访问控制的设备,包括:
-用于从业务供应者(20)向终端用户设备(4)提供业务供应者请求数据的装置,该业务供应者请求数据表示要由业务供应者(20)访问的终端用户设备(4)的用户的个人信息,
-用于为业务供应者(20)提供第一用户数据的装置,该第一用户数据包括由业务供应者(20)请求的用户的个人信息与业务供应者(20)请求的个人信息的拒绝中的至少一个,
其特征在于,还包括:
用于创建保密收据数据的装置,该保密收据数据包括第一用户数据或部分该第一用户数据,以及表示业务供应者(20)的数据,以及
用于提供保密收据数据由终端用户设备(4)访问的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP01125568A EP1307019A1 (en) | 2001-10-25 | 2001-10-25 | Method and apparatus for personal information access control |
| EP01125568.4 | 2001-10-25 | ||
| PCT/EP2002/011416 WO2003036900A2 (en) | 2001-10-25 | 2002-10-11 | Method and apparatus for personal information access control |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1575578A CN1575578A (zh) | 2005-02-02 |
| CN1575578B true CN1575578B (zh) | 2010-06-23 |
Family
ID=8179080
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN02821059XA Expired - Fee Related CN1575578B (zh) | 2001-10-25 | 2002-10-11 | 用于个人信息访问控制的方法和设备 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US20050086061A1 (zh) |
| EP (2) | EP1307019A1 (zh) |
| JP (1) | JP2005506642A (zh) |
| CN (1) | CN1575578B (zh) |
| AT (1) | ATE516650T1 (zh) |
| AU (1) | AU2002340554A1 (zh) |
| CA (1) | CA2463952A1 (zh) |
| WO (1) | WO2003036900A2 (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7469416B2 (en) * | 2002-11-05 | 2008-12-23 | International Business Machines Corporation | Method for automatically managing information privacy |
| US20050076233A1 (en) * | 2002-11-15 | 2005-04-07 | Nokia Corporation | Method and apparatus for transmitting data subject to privacy restrictions |
| US7631048B2 (en) * | 2003-09-24 | 2009-12-08 | Microsoft Corporation | Method and system for personal policy-controlled automated response to information transfer requests |
| KR100982517B1 (ko) * | 2004-02-02 | 2010-09-16 | 삼성전자주식회사 | 이벤트 정보가 포함된 동영상 데이터가 기록된 저장 매체 및 재생 장치 |
| US8464311B2 (en) * | 2004-10-28 | 2013-06-11 | International Business Machines Corporation | Method and system for implementing privacy notice, consent, and preference with a privacy proxy |
| US7913291B2 (en) | 2004-12-22 | 2011-03-22 | Telefonaktiebolaget L M Ericsson (Publ) | Means and method for control of personal data |
| US20060161666A1 (en) * | 2005-01-18 | 2006-07-20 | International Business Machines Corporation | Apparatus and method for controlling use of instant messaging content |
| FR2881303A1 (fr) * | 2005-01-24 | 2006-07-28 | France Telecom | Procede de gestion des donnees personnelles des utilisateurs de services vocaux et serveur d'application pour la mise en en oeuvre de ce procede |
| US8326767B1 (en) * | 2005-01-31 | 2012-12-04 | Sprint Communications Company L.P. | Customer data privacy implementation |
| KR100851976B1 (ko) * | 2006-11-14 | 2008-08-12 | 삼성전자주식회사 | 신뢰할 수 있는 장치를 사용하여 개인정보를 전송하는 방법및 장치 |
| US20080270802A1 (en) * | 2007-04-24 | 2008-10-30 | Paul Anthony Ashley | Method and system for protecting personally identifiable information |
| CN101232442A (zh) * | 2008-01-09 | 2008-07-30 | 中兴通讯股份有限公司 | 一种策略控制的方法 |
| JP5267027B2 (ja) | 2008-10-03 | 2013-08-21 | 富士通株式会社 | 個人情報システム |
| US8438596B2 (en) | 2009-04-08 | 2013-05-07 | Tivo Inc. | Automatic contact information transmission system |
| US20120066037A1 (en) * | 2009-05-22 | 2012-03-15 | Glen Luke R | Identity non-disclosure multi-channel auto-responder |
| WO2011007554A1 (ja) * | 2009-07-16 | 2011-01-20 | パナソニック株式会社 | アクセス制御装置、アクセス制御方法、プログラム、記録媒体及び集積回路 |
| CN102098271B (zh) | 2009-12-10 | 2015-01-07 | 华为技术有限公司 | 用户信息的获取方法、装置和系统 |
| JP6239906B2 (ja) | 2012-09-19 | 2017-11-29 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | アクセス制御方法、アクセス制御システム、通信端末、及び、サーバ |
| CN103986728B (zh) * | 2014-05-30 | 2017-05-24 | 华为技术有限公司 | 用户数据的处理方法和装置 |
| CN104754057A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 一种数据通信中用户信息保护方法 |
| US10693954B2 (en) * | 2017-03-03 | 2020-06-23 | International Business Machines Corporation | Blockchain-enhanced mobile telecommunication device |
| JP7207114B2 (ja) * | 2019-04-09 | 2023-01-18 | 富士通株式会社 | 情報処理装置および認証情報処理方法 |
| US10880331B2 (en) * | 2019-11-15 | 2020-12-29 | Cheman Shaik | Defeating solution to phishing attacks through counter challenge authentication |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073106A (en) * | 1998-10-30 | 2000-06-06 | Nehdc, Inc. | Method of managing and controlling access to personal information |
| WO2000067105A1 (en) * | 1999-05-05 | 2000-11-09 | Contact Networks, Inc. | Method and apparatus for publishing and synchronizing selected user information over a network |
| EP1089200A2 (en) * | 1999-10-01 | 2001-04-04 | Ncr International Inc. | Method and apparatus for dynamic discovery of a data model allowing customization of consumer applications accessing privacy data |
| US6269349B1 (en) * | 1999-09-21 | 2001-07-31 | A6B2, Inc. | Systems and methods for protecting private information |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6104716A (en) * | 1997-03-28 | 2000-08-15 | International Business Machines Corporation | Method and apparatus for lightweight secure communication tunneling over the internet |
| US6678516B2 (en) * | 2001-05-21 | 2004-01-13 | Nokia Corporation | Method, system, and apparatus for providing services in a privacy enabled mobile and Ubicom environment |
-
2001
- 2001-10-25 EP EP01125568A patent/EP1307019A1/en not_active Withdrawn
-
2002
- 2002-10-11 US US10/493,710 patent/US20050086061A1/en not_active Abandoned
- 2002-10-11 AU AU2002340554A patent/AU2002340554A1/en not_active Abandoned
- 2002-10-11 JP JP2003539265A patent/JP2005506642A/ja active Pending
- 2002-10-11 WO PCT/EP2002/011416 patent/WO2003036900A2/en active Application Filing
- 2002-10-11 CA CA002463952A patent/CA2463952A1/en not_active Abandoned
- 2002-10-11 AT AT02774703T patent/ATE516650T1/de not_active IP Right Cessation
- 2002-10-11 CN CN02821059XA patent/CN1575578B/zh not_active Expired - Fee Related
- 2002-10-11 EP EP02774703A patent/EP1438819B1/en not_active Expired - Lifetime
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073106A (en) * | 1998-10-30 | 2000-06-06 | Nehdc, Inc. | Method of managing and controlling access to personal information |
| WO2000067105A1 (en) * | 1999-05-05 | 2000-11-09 | Contact Networks, Inc. | Method and apparatus for publishing and synchronizing selected user information over a network |
| US6269349B1 (en) * | 1999-09-21 | 2001-07-31 | A6B2, Inc. | Systems and methods for protecting private information |
| EP1089200A2 (en) * | 1999-10-01 | 2001-04-04 | Ncr International Inc. | Method and apparatus for dynamic discovery of a data model allowing customization of consumer applications accessing privacy data |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005506642A (ja) | 2005-03-03 |
| AU2002340554A1 (en) | 2003-05-06 |
| US20050086061A1 (en) | 2005-04-21 |
| ATE516650T1 (de) | 2011-07-15 |
| EP1438819B1 (en) | 2011-07-13 |
| WO2003036900A3 (en) | 2003-09-04 |
| WO2003036900A2 (en) | 2003-05-01 |
| EP1307019A1 (en) | 2003-05-02 |
| CN1575578A (zh) | 2005-02-02 |
| EP1438819A2 (en) | 2004-07-21 |
| CA2463952A1 (en) | 2003-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1575578B (zh) | 用于个人信息访问控制的方法和设备 | |
| CN1522516B (zh) | 多内容电子邮件的安全标题信息 | |
| CA2256881C (en) | An automatic safe public communication system | |
| CN100562902C (zh) | 用于安全管理存储在电子标签上的数据的方法和系统 | |
| US20120311326A1 (en) | Apparatus and method for providing personal information sharing service using signed callback url message | |
| CN1910882B (zh) | 保护数据的方法和系统、相关通信网络以及计算机程序产品 | |
| CN104662870A (zh) | 数据安全管理系统 | |
| US20080288778A1 (en) | Method for Generating and Verifying an Electronic Signature | |
| US20110154040A1 (en) | Message storage and retrieval | |
| CN1977559B (zh) | 保护在用户之间进行通信期间交换的信息的方法和系统 | |
| US8032753B2 (en) | Server and system for transmitting certificate stored in fixed terminal to mobile terminal and method using the same | |
| CN109257416A (zh) | 一种区块链云服务网络信息管理系统 | |
| US7389418B2 (en) | Method of and system for controlling access to contents provided by a contents supplier | |
| EP1513313A1 (en) | A method of accessing a network service or resource, a network terminal and a personal user device therefore | |
| EP1351466B1 (en) | A method of exchanging secured data through a network | |
| JP4675583B2 (ja) | 個人情報提供システムおよび方法 | |
| KR100763756B1 (ko) | Sms 제공 시스템 및 방법 | |
| EP1811716B1 (en) | Server | |
| GB2377143A (en) | Internet security | |
| JP2003173321A (ja) | 携帯端末装置 | |
| JP2004102524A (ja) | データベースのセキュリティシステム及びセキュリティ方法 | |
| KR100643314B1 (ko) | 싱글 사인 온으로 서로 다른 통신 프로그램을 동시에 사용가능하게 하는 방법 | |
| Holtmanns | Privacy in a mobile environment | |
| CN117668806A (zh) | 应用程序的访问方法、装置、计算机设备与存储介质 | |
| JP2003333208A (ja) | 通信方法及び通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100623 Termination date: 20161011 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |