JP2003527035A - 遠隔の第三者監視を有する自動識別保護システム - Google Patents

遠隔の第三者監視を有する自動識別保護システム

Info

Publication number
JP2003527035A
JP2003527035A JP2001567171A JP2001567171A JP2003527035A JP 2003527035 A JP2003527035 A JP 2003527035A JP 2001567171 A JP2001567171 A JP 2001567171A JP 2001567171 A JP2001567171 A JP 2001567171A JP 2003527035 A JP2003527035 A JP 2003527035A
Authority
JP
Japan
Prior art keywords
data
mapping
work
receiver
sender
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001567171A
Other languages
English (en)
Other versions
JP2003527035A5 (ja
Inventor
グブヤートソン・ハコン
カールソン・スベリア
トーマー・スケッギ
Original Assignee
デコード ジェネティクス イーエッチエフ.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デコード ジェネティクス イーエッチエフ. filed Critical デコード ジェネティクス イーエッチエフ.
Publication of JP2003527035A publication Critical patent/JP2003527035A/ja
Publication of JP2003527035A5 publication Critical patent/JP2003527035A5/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/383Anonymous user system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding
    • H04L2209/043Masking or blinding of tables, e.g. lookup, substitution or mapping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 本発明は、個人識別名および個人データから成るデータ・パケットを処理することにより、第1のパーティにより送信された個人的に識別可能なデータが、一旦、第2のパーティにより受信されると匿名になるようにする自動化システムに関するものである。本発明は、秘密共有を使用することにより、マッピング機能および認証過程の分散キー管理を容易にして、システムを遠隔で操作できるようにする。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】
本発明は、個人識別名および個人データから成るデータ・パケットを匿名化す
る処理に関するものである。ユーザ介入を必要とせずに、自動的にデータ・パケ
ットの個人識別名をマッピングするシステムであって、2つまたはそれ以上のパ
ーティが慎重な取扱いを要する個人データを、そのデータが属する各個人の個人
識別名を公開することなく、シームレス(傷跡なし)に交換できる。本発明は、
秘密共有を使用して、マッピング機能の分散キー管理を容易にする。
【0002】
【従来の技術】
最新のコンピュータを用いて、慎重な取扱いを要する個人データの大量分析が
、例えば疫学的研究および販売データのデータマイニングにおいて一般的に実行
されている。このような研究は通常、データ・アナライザ自体が、個人データが
属する各個人を識別できる方法で実行される。この理由は、データ・パケット識
別名が、個人識別名そのものとして残されているか、または個人識別名がマッピ
ングされるとき、そのマッピングがデータ分析にアクセス可能であるかのどちら
かである。
【0003】 代表的な例は、マッピングが対称暗号化(Ehrsamほかの米国特許No.
3,962,539と同様)を用いて実行され、その暗号化キーはデータ・アナ
ライザにより既知である場合のものである。特定の第三者キーホルダがすべての
データ暗号化セッションに参加しなければならないのは、暗号化プロセスにより
課された不便性のためであることが多いからである。複数のパーティからの暗号
化監視の要求がさらに増え、この逆が、実際においてはさらに一般的である。つ
まり、単一キーの認識がいくつかのスーパバイザ間で共有されて、特定のスーパ
バイザが暗号化プロセスに参加することを保証する。
【0004】
【発明の概要】 本発明は、個人データを含むデータ・パケット内の個人識別名を自動的にマッ
ピングするソフトウェア・システムである。このシステムは、セキュア環境(秘
密保護環境)で動作する3つの主要モジュールを基にしている。それらは秘密共
有モジュール、マッピング・モジュールおよび通信モジュールである。このシス
テムはまた、永久データ記憶装置に接続される。
【0005】 ユーザの役割は、4つの主要カテゴリ、すなわち正式ユーザ、監査者、管理者
およびキーホルダに分類される。正式ユーザは、センダ(sender)またはレシー
バ(receiver)のどちらか、またはその両者であり、異なるセキュリティ・ゾー
ンまたは領域に関連付けされている。一般的には、2つだけのセキュリティ領域
、すなわちデータ・コレクタおよびデータ・アナライザがあるが、このシステム
を拡張して、3つ以上のセキュリティ領域を有することができる。ユーザがシス
テムにログオンするときは、電子証明書(Rivestほかの米国特許No.4
,405,829参照)を利用する2方向の認証が使用される。したがって、こ
のシステムは、各ユーザとそのユーザ役割とを確認し、同様にユーザは、ユーザ
自身が正しいシステムに接続されていることを確認する。
【0006】 システムが立ち上がり、稼動すると、システムは、センダ、レシーバ、スーパ
バイザおよびそれ自体の永久データ記憶装置に対するセキュア入力−出力チャネ
ルを有する“ブラック・ボックス”として考えることができる。システムがセキ
ュア環境内、例えば、1994年にAddison−Wesley Publi
cation Co.,から出版された、S.Castanoとその他による“
Database Security”の218ページ目において述べられたセ
キュア・オペレーション・システム(secure operating system)、または干渉
防止ハードウェア内で稼動すると仮定すると、これらセキュア・チャネルを通過
する以外にシステムに格納されたすべての情報を読出し、または書込みすること
が不可能である。したがって、システムは、必要とされる特権を持たないユーザ
による違法なアクセスが存在しないことを保証する。同様に、永久データ記憶装
置ヘの全データ転送が、暗号化されるか、ディジタル署名(例えば、Bruce
Schneierによる“Applied Cryptography”,1
996,John Wiley & Sons,Inc.出版の485ページにお
いて述べられている方法)されるか、またはその両方がなされ、したがって、シ
ステムのみにより修正および読み出し可能である。このため、永久データ記憶装
置は、システムに割当てされたセキュア・メモリの一部として考えることができ
る。
【0007】 システムが最初にスタートするときは、すべてのキーホルダが存在する必要が
あり、その数は、立ち上げ時の仕様次第である。この初期の立ち上げプロセスで
は、システムは、システムだけに認識される秘密暗号化キーを作成する。このキ
ーは、データ暗号化キーとして公知であり、セキュア・メモリにおいて維持され
、何者にも公開されることはない。しかし、このキーは、秘密共有技術(例えば
、前述のSchneierによる“Applied Cryptography
”の528ページにおいて述べられている)を使用して、暗号化された形態で永
久的に記憶される。システムが再スタートするときは、データ暗号化キーを復号
化するのに十分な数のキーホルダが参加する。初期スタートの間、パブリック−
プライベート・キー・ペア(公開−秘密鍵の対)(Rivestほかの米国特許
No.4,405,829参照)もシステム用に作成される。プライベート・キ
ーは、データ暗号化キーとして暗号化されて記憶され、システムは、このプライ
ベート・キーを使用して、クライアントに対しシステム自信の認証を行う。
【0008】 初期の立ち上げ時には、キーホルダの役割に加えて、スーパバイザの役割を特
定のユーザに割当てる必要がある。その後、全てのユーザ操作を遠隔で実行でき
る。例えば、他のユーザをスーパバイザにより遠隔で作成でき、それらの役割り
および電子証明書をシステムに登録できる。
【0009】 システムに送られるすべてのデータ・パケットを処理して、個人識別名をマッ
ピング、すなわち暗号化する。システムは、プッシュ−プッシュ・モードまたは
プッシュ−プル・モードのいずれにおいても作動できる。前者の場合、システム
は、暗号化されたデータをレシーバに自動的に送るのに対し、後者の場合には、
レシーバがデータ・パケットを要求する必要がある。このシステムを使用して、
データ・パケットを復号化することも明らかに可能であり、したがって、同一ユ
ーザはレシーバおよびセンダの両方の動作が可能である。
【0010】 システムは、細部の異なるレベルのユーザ活動をログ(経過記録)に記録する
。例えば、システムは単に、各トランザクションに含まれるすべてのユーザ名を
ログに記録できるが、トランザクションで転送されるデータすべての内容もログ
に記録できる。このようなログはすべて、暗号化されるかまたはディジタル署名
を用いて永久データ記憶装置に保存され、それにより、システムが検出すること
なくログを改ざんすることが不可能になる。この場合、ログを監視する監査者は
、システムを遠隔で無効にすることにより、その動作を一時的に停止し、特定ユ
ーザを無効にできる。
【0011】
【発明の実施の形態】
本発明の前述およびその他の目的、特徴、および利点は、添付図面に示す本発
明の好ましい実施形態の以下の詳細な説明で明らかになるであろう。図面では、
同一参照符号は異なる図面においても同一部品を指す。図面は必ずしも縮尺通り
でなく、本発明の原理を示すことに重点が置かれている。
【0012】 好ましい実施形態の以下の説明は、本発明の範囲により可能な多くの可能な実
施形態の1つとしてだけ理解されるべきである。引用は本明細書の一部を形成す
る添付図面に対してなされる。
【0013】 概要 個人データは、例えば疫学的研究において、大量に分析される必要があること
が多い。多くの場合、データ・レコードの真の個人識別は必要とされないが、今
日、このようなデータを暗号化する管理タスクを簡単化するシステムが無いため
、個人識別名を持つこのようなデータを処理することは一般的な手法である。
【0014】 本発明は、データを暗号化するプロセスを簡単化するシステムを示す。このシ
ステムは、最小のユーザ介入のみを必要とし、データ・パケットの個人識別名を
自動的にマッピングし、それにより、2つの離れているユーザ、すなわちデータ
・コレクタとデータ・アナライザが適切な方法でデータを交換できる。
【0015】 構成 図1は、2つのセキュリティ領域、すなわち1つのデータ・コレクタ109と
1つのデータ・アナライザ110とを持つ、本発明の好ましい実施形態を実現す
るのに必要な構成例を示す。図には、全体システム150を構成するのに必要な
コンポーネント、すなわち中央処理ユニット102およびアプリケーション・プ
ログラムおよびデータ用のランダム・アクセス・メモリ103を有するコンピュ
ータ101と、永久データ記憶装置104と、クライアントをシステム・コンピ
ュータ101に接続する広域コンピュータ・ネットワーク105とを示す。
【0016】 本発明のシステムの中心部は、セキュア環境で稼動するコンピュータ・プログ
ラム175として具体化できる。このプログラム175は、3つの主要コンポー
ネント、すなわちマッピング・モジュール106、セキュア通信モジュール10
7および秘密共有モジュール108から構成される。セキュア通信チャネルは、
センダ109、レシーバ110およびスーパバイザ111により形成される。同
様に、システム150は、セキュア環境外でシステム情報を格納する永久記憶装
置104にアクセスできる。システム150により格納される情報のタイプは、
4つのカテゴリ、すなわちユーザ情報、データ・ログ、マッピング状態および秘
密共有データに分割される。
【0017】 好ましい実施形態では、システムは、メモリ保護を有するセキュア・オペレー
ティング・システム内で実行するソフトウェア・アプリケーション175として
実現される。したがって、セキュア環境は、システム・プログラムを実行するプ
ロセスのために確保されたアドレス空間112である。このアドレス空間112
内で、対称データ暗号化キーおよび非対称プライベート・キーが、例えば、マッ
ピング・モジュール106用のシステム・データを含むその他のシステム・デー
タと共に113で格納される。これら2つのキーは、セキュア・アドレス空間1
12を常に暗号化フォーマットの状態におくので、それらは本発明のソフトウェ
ア・システム175にのみ特有であるといえる。
【0018】 永久記憶装置104は、ハード・ディスクまたは磁気テープのようなディジタ
ル情報を格納できる任意の装置である。本発明のソフトウェア175は、暗号お
よびディジタル署名を使用して、永久記憶領域104に保存されたデータを気付
かれずに読み出し、または改ざんされることがないように保証する。しかし、シ
ステム150が常に破壊される可能性があるので、“サービス開始の失敗”を妨
げる試みは実行されない。
【0019】 システム150はまた、物理的セキュリティを使用して、識別保護システム1
75により使用されるメモリ103を保護する改ざん防止ハードウェア、または
任意の構成を用いて実現される。図2は、安全保管部203に格納されている一
般的なコンピュータ201およびファイアウォール202(例えば、S.Gar
finkelらによる“Practical Unix(登録商標) and
Internet Security(第2版)”,1996,O'Reill
y & Associates,Inc.出版において述べられている)のような
一般的に利用可能なコンポーネントから形成される構成例を示す。コンピュータ
のディスプレイ・モニター204は、安全保管部203の外部に格納されて、シ
ステム175の動作を監視できるようになっている。しかし、それのキーボード
は安全保管部203内部に格納されている。ファイアウォール202を介して、
安全保管部203内のコンピュータ201は、ファイル・サーバまたはリレーシ
ョナル・データベース・サーバ(例えば、R.Ramakrishnanおよび
J.Gehrkeによる“Database Management Syst
ems(第2版)”,2000,McGraw Hill出版において構成され
ている)である永久記憶装置206を制御する第2コンピュータ205に接続さ
れている。記憶用コンピュータ205および安全保管部203は、永久記憶装置
206のバックアップを作成するシステム管理者のような個人だけがアクセスを
許可されるセキュア・ルーム207内に維持される。安全保管部203へのアク
セスは、このような操作には必要とされないので、システム150は、本発明の
識別保護システム175のセキュリティを損なうことなく維持される。データ・
コレクタおよびデータ・アナライザのようなクライアント210は、広域ネット
ワーク220を介して暗号化システム150に接続される。したがって、セキュ
リティ・コンピュータ201と記憶用コンピュータ205との間の2系統通信に
加えて、ファイアウォール202は、広域ネットワーク220上の2系統通信を
可能にするように構成される必要がある。
【0020】 全般的なシステム機能 図3によれば、本発明のシステム175の目的は、ヘッダ302と、各々が個
人識別名304および個人データ305で構成される複数のデータ・パケット3
03とを有するファイル301を自動的に受信することである。システム175
は、個人識別名304に特定のマッピングを適用し、その後、適正なレシーバが
そのデータを要求するまで、またはそのデータを適正なレシーバに直接送出する
までログに格納しておく。一般に、マッピング機能は、対称暗号化方式であるが
、表引き、または表引きと暗号化との組合わせとして実現されるいかなるもので
あってもよい。両方の場合、マッピングに関する全情報、例えば暗号化キーまた
はルックアップ・テーブルは、暗号化されたフォーマットで永久データ記憶装置
104に格納される。
【0021】 適切なクライアント・アプリケーションを用いて、ユーザ109は、システム
175に接続して、システムの通信モジュール107とのセキュア・コネクショ
ンを確立する。さらに、システム・サーバ101はユーザを認証し、ユーザはシ
ステム175を認証する。このような2系統の認証およびセキュア・コネクショ
ンは、Elgamalらによる米国特許No.5,825,890の“セキュア
・ソケット層アプリケーション・プログラム装置および方法”に記載されたセキ
ュア・ソケット層(SSL)であるのが一般的である。しかし別の選択も可能で
ある。SSL手法により、システム175は、登録された全ユーザの電子証明書
、すなわちパブリック・キー(公開鍵)と同等なもの(Rivestらの米国特
許No.4,405,829を参照)を格納する。システム175はまた、プラ
イベート・キー(秘密鍵)(Rivestらの米国特許No.4,405,82
9を参照)を保持し、それを使用してユーザにシステム自体を立証し、ユーザは
そのシステムの証明書のローカル・コピーを所有する。SSL手法を使用するこ
とにより、認められた登録ユーザにのみネットワーク上のシステムとの通信が可
能になることを保証する。
【0022】 したがって、センダは登録され、許可されたレシーバだけにデータを送ること
ができる。同様に、適正な役割を持つユーザだけがスーパバイザとしてシステム
にログオンできる。この構成により、システム175の全制御を遠隔で実行でき
、データの送信および受信だけでなく、新しいユーザの作成およびログの検査の
ような管理タスクを全て実行できる。したがって、コンピュータ・システム10
1が故障しない限り、本発明の識別保護システム175は遠隔で全操作ができる
。マッピング情報およびデータ暗号化キーは、セキュア・メモリ(secure memor
y)112内に残り、システム175が個人識別名の秘密マッピングを保証する
のに使用する以外は、誰にも公開されない。
【0023】 本発明のシステム175が、プッシュ−プル・モードで稼動し、データ・コレ
クタ109が、データ・アナライザ110にデータを送るときは、以下のステッ
プに従う。 1.データ・コレクタ109のユーザは、コンピュータ・ネットワーク・システ
ム150に接続する。 2.本発明のソフトウェア・システム175は、クライアントのユーザ名の入力
を促し、永久データ記憶装置104から対応するユーザ情報を読み込む。 3.ユーザのディジタル証明書(パブリック・キー)を使用して、システム17
5は、クライアント109が、クライアント自身をシステム175に対して立証
するためにプライベート・キーを用いて複合化するデータを暗号化する。 4.同様に、クライアント109がシステム175の発行証明書を使用して、シ
ステム175を認証する。例えば、システム175は、自身のプライベート・キ
ーを使用して、クライアント109から送られたデータを復号化することにより
クライアント109に対しシステム175自身を立証する。 5.ユーザ109は、登録されたユーザ・リストからデータ転送の可能な相手で
あるレシーバ110を選択する。 6.ユーザ109はデータ転送を開始し、システム175はデータ・ファイル3
01を受け取る。 7.ファイル301は、データ暗号化キーを用いて暗号化されて永久記憶装置1
04に保存され、転送に関する必要な情報はログに書き込まれる。 8.システム175は、レシーバ110にメールを送って、そのデータを通知す
る。 9.ユーザ109はログオフする。
【0024】 データ・アナライザ(レシーバ)110がデータを復元するとき、前記ステッ
プ1〜4は、クライアント109の代わりにクライアント110により繰返され
る。その後、以下のステップを実行する。 1.ユーザ110は、復元するデータ・ファイル301を選択する。 2.データ・ファイル内の各データ・パケット303の全識別名にマッピング機
能を適用する。 3.ユーザ・クライアント110は、ファイル301を受け取り、それをローカ
ルに格納する。 4.レシーバ110がログオフする。
【0025】 あらゆるユーザの場合にも、同一認証パターンを有する。システム175がユ
ーザを受け付けると、ユーザは、自身のユーザ・プロファイル情報で指定された
ユーザ役割に従って動作を実行することだけを許可される。
【0026】 秘密共有およびキー管理 図4によれば、本発明のシステム175の重要な特徴は、複数のキーホルダ(
鍵所有者)をサポートすることにより、マッピングの信頼性を保つことである。
したがって、システム175は第三者による暗号化を実現し、一個人がシークレ
ット・マッピングに障害を発生させることはない。実際、キーに損害を与えるの
に必要なキーホルダの数を特定できる。
【0027】 識別保護システム175の初期のスタートにおいて、関係するキーホルダのす
べてが参加する必要があり、それらの数は仕様で決定される。例えば、Nキーホ
ルダが必要な場合、システム175は、N個のパスワード、つまり各キーホルダ
に対し1つのパスワードとそれらの証明書を要求する。各ユーザは、そのパスワ
ードをシステム175の外部に開示しないことを期待される。好ましい実施形態
では、システム175は、これらN個のパスワードのすべてを連結して、単一の
結合パスワードを形成する。次に、所定のメッセージ要約機能(Bruce S
chneierによる“Applied Cryptography”,199
6,の435ページに開示されている)を適用することにより、MD()、つま
り結合されたパスワード上で暗号化キーKを作成する。つまり、K=MD(pw 1 +pw2+...+pwN)となる。ここで、pw1+pw2は、2つのパスワー
ドpw1とpw2の連結を示す。キーKは、データ暗号化キーとして呼ばれ、Nよ
り小さいキーホルダのすべてのグループに対して未知である。しかしKは、動作
中はシステム175には既知である。
【0028】 複数のキーホルダに対する要求は、特定タイプの管理事項を発生させる。すな
わち、すべてのキーホルダが、システム175に機能的に依存している特定プロ
ジェクトの有効期間内に集まらない可能性がある。したがって、システム175
が何らかの理由で再スタートしなければならない場合、十分な数のキーホルダが
参加できない可能性がある。これより、個人がキーホルダとしての役目を終る必
要のある場合、全キーホルダを含まずに、遠隔操作するのに有益である。これが
実現するのは、システム175が、Kで暗号化された、全キーホルダのパスワー
ド401を格納する場合である。システム175は、役目を終るキーホルダのパ
スワードを新しいキーホルダのパスワードに置換え、同様にこれらの証明書も交
換する。同様に、キーホルダが、自身のパスワードが連結されていると考え、そ
のパスワードを更新することを望む場合は、同一手順を使用できる。
【0029】 システム175の構成は、キーホルダの総数が、システム175を再スタート
させるのに必要なキーホルダの数より大きくするように構成できる。例えば、N
キーホルダが存在するが、システム175を再スタートさせるのに必要なキーホ
ルダ数がMだけであるとすると、したがって、Mキーホルダだけがマッピング機
能を公開するのに必要とされる。好ましい実施形態では、システム175は、存
在するM個のパスワードの全結合402に対するKの暗号化バージョンを格納す
る。標準組合せ計算は、Kを暗号化するために暗号化キーのN!/(M!(N−
M)!)バージョンを必要とすることを示す。Mキーホルダが再スタート時に利
用可能な場合、システム175は、それらM個のパスワードを組合せることによ
り、暗号化キーの1つを常に作成して、Kを復号化する。同様に、システム17
5が全パスワードを認知しているため、前述の方法と同様にして、キーホルダが
自身のパスワードを変更する場合、これらの組合せすべてを再作成できる。他の
いくつかの秘密共有方法を適用して、この機能を可能にすることもできる。
【0030】 特に指定しない限り、システム175は、通常の一般パターンを使用して、プ
レーン・テキスト・データ、すなわちCR(D,K)を暗号化する。ここで、C
R()は暗号化アルゴリズムを、Dはプレーン・テキスト入力データを、Kは暗
号化キーを示す。(先に引用されたB.Schneierの“AppliedC
ryptography”の第1ページを参照)。この方法はプレーン・テキス
トの前に、所定の確認パターンと疑似ランダム数との組合せである固定された長
さのストリングを付ける。さらに、暗号ブロック連結(Schneierの19
3ぺージを参照)を使用して、ランダム性を全暗号化テキストに伝播させる。こ
れにより、暗号化テキスト内のパターンを観測するのが困難になり、また、暗号
化テキストが正確なプレーン・テキストに復号化されるか否かを、システムが認
識するのを可能にする。すなわち、暗号化キーが誤っているか、またはデータが
改ざんされているかのどちらかをシステムが観測できる。
【0031】 特定の不確定の理由によりシステムが停止した場合に、システム175を再ス
タートするとき、キーホルダはキーワードを入力する必要がある。システム17
5は、初期のスタートと同一方法でKを再作成する。確認パターンが不正確な場
合、システム175は、特定のパスワードが不正確か、または何者かがデータを
改ざんしたと認識する。システム175が、この2つの例外の差異を導き出すこ
とを可能にするために、システム175は、標準パスワード・テーブルに使用さ
れる方法である、各キーホルダのパスワードのメッセージ要約403を格納する
。これにより、システム175は、2つの例外の差異を導き出し、またパスワー
ドが不正確であることを表示できる。
【0032】 401〜403のデータ構造は、シークレット・キーKを有するエンベロープ
(封筒)とみなすことができ、適正な数のキーホルダのみがこのエンベロープを
開けることが出来る。本発明では、このエンベロープを秘密共有エンベロープ(
SSE)400としている。
【0033】 識別名のマッピング 本発明のシステム175の主要な目的は、センダ109/110から受け取っ
たデータ・パケット303内の個人識別名を、特定の種類の秘密マッピングを使
用して変換し、オリジナル識別名が、レシーバ110/109により認識できな
いようにすることである。結果的として、データ・パケット303内のデータが
受信されたときには、そのデータは匿名化(暗号化)されていると考えられる。
同様に、この方法を逆にして、センダは、逆にマッピングされた匿名データ・パ
ケットを送ることにより、レシーバに識別可能なデータを提供する。
【0034】 個人識別名(PID)の全マッピングは、マッピング・モジュール106によ
り処理される(図1)。好ましい実施形態では、マッピングは、対称暗号化、ラ
ンダム・ジェネレータを持つルックアップ・テーブル、または両方の組合せのど
れかを使用して実現される。マッピング機能に関係なく、マッピング・モジュー
ル106は、永久状態、例えばPID暗号化キーまたはルックアップ・テーブル
を保存する。マッピング・モジュール106により使用される情報のフォーマッ
トが何であれ、データ暗号化キーKを使用して、情報を暗号化できる。
【0035】 暗号化をマッピングに使用したとき、PID暗号化キーがキーホルダにより入
力されるかどうか、またはシステム175が、Kと同様の方法でそのキーを作成
するかどうかは自由選択である。最も重要な点は、マッピング・モジュール10
6の外部の永久状態において、PID暗号化キーが、常に暗号化されて格納され
ていなければならない。
【0036】 さらにまた、システム175は、複数の領域間に秘密マッピングを実現可能な
ように構成されている。例えば、2つの領域が、暗号化データを用いて作業する
2つの異なる研究室の一連の識別名であり、第3の領域が、社会保障識別名であ
ってもよい。図5は、2つの1対1のマッピング関係、DMij504とDMjk
05とで関連付けされた3つの領域、Di501、Dj502およびDk503を
示す。これら2つのマッピング関係504、505を用いて、システム175は
、DiとDk間のマッピング、例えばDik(x)=Djk(Dij(x))を提供でき
る。ただし、システムがこのようなマッピングが可能なように構成されていると
仮定する。
【0037】 同様に、システム175は、異なる特性の識別名を持つ完全に異なるセット、
例えばDi501およびDl506のセットを可能にする。例として、同一データ
・レコード内に個人識別名と医師の識別名とを持つことが可能である。2つの別
個の領域に属するこれら識別名は、2つの独立したマッピング関係を持つ2つの
新しい領域に対し同時にマッピングされる。
【0038】 システム175が複数のマッピング関係を使用する場合には、前述のようにマ
ッピング関係を保護するメカニズムとして、データ暗号化キーのKを使用する代
わりに、各マッピング関係に対し別個の秘密共有アクセスを可能にすることが望
ましい。したがって、各マッピング関係は、それ自体の秘密共有エンベロープ4
00を持つことになる(図4)。図6は、ルックアップ・テーブルのマッピング
関係を格納するのに必要なマッピング情報の例を示す。秘密共有エンベロープ(
SSE)601は、マッピングのための特定の暗号化キー、DMキーを格納する
のに使用され、ルックアップ・テーブル602は、暗号化された関係の1部分を
伴い格納されている。この暗号化が、ランダム化を用いない暗号化であるため、
ここでは、暗号化はCR'()で示し、前述のCR()と区別する。ルックアッ
プ・テーブル602のこのフォーマットにより、システム175は大きなルック
アップ・テーブルを秘密保護方式で永久記憶装置104に格納できる。さらに、
これにより、データベース・インデックス(Ramakrishnanらによる
“Database Management Systems(第2版)”,2
000,を参照)を使用する高速ルックアップが可能になり、ルックアップ・テ
ーブル602の関係する2つの部分が暗号化されている場合に必要なルックアッ
プ・テーブルをセキュア・アドレス空間112に格納する必要性を軽減する。6
02に示す例では、識別名がDiからDjにマッピングされているとき、ルックア
ップは、DMijキーを用いて暗号化された識別名に基づく。しかし、逆マッピン
グに対しては、ルックアップは、領域Djに属する識別名と、その後、DMij
ーを用いて復号化された出力とに基づく。
【0039】 ユーザ・プロファイルおよびデータ・ログ システム175は、ユーザに関する全情報を永久記憶装置104に格納する。
永久記憶装置の好ましい実施形態では、リレーショナル・データベースが構造化
照会言語(SQL)インタフェース(前述のRamakrishnanらの“D
atabase Management Systems”の119ページを参
照)を用いて使用される。データベース照会言語を使用可能にするためには、デ
ータベース内の全情報を暗号化することは現実的でない。また、ユーザ・プロフ
ァイルのような情報は、慎重な取扱いを要するとはほとんど考えられない。しか
し、ユーザ・プロファイルが改ざんされる可能性がある場合、システム175の
セキュリティが損なわれる可能性がある。これを防止するため、特定の種類のデ
ィジタル署名が使用される。詳細には、他の全コラムの暗号化されたメッセージ
要約を含む追加コラムを選択されたテーブル内の各データ組、例えばCR(MD
(組データ),K)、またはCR()およびMD()が前述の用に定義されてい
る場合は単にMD(組データ+K)に追加する。図7には格納されたデータの改
ざん防止の例を示し、以下に説明する。この第2の方法は、すべてのユーザ・デ
ータを暗号化することである。しかし、この方法は、データを使用するために、
システムが全データをセキュア・メモリに読み込むことを要求する。第3の方法
は、これら2つの方法を組合せて使用することである。
【0040】 図7は、テーブルA701が、3行のデータを有し、テーブルBが4行のデー
タを有することを示している。テーブルA701およびB702から違法および
非認証の行の削除を防止するためには、独立するそれぞれの行に署名するだけで
は不十分である。行が削除または更新されないログに対しては、連結を用いるこ
と、すなわち各行が前の行のメッセージ要約を含むようにすることが可能である
が、この方法は、行を更新する必要がある場合には実行不可能である。適正な方
法は、システム175が、テーブル701、702の各レコード(データ行)に
対し行ID703を発行し、それをディジタル署名704に含むようにすること
である。次に、システム175により利用される各テーブル701、702の行
数を格納する個別の集計テーブル705が使用される。行をテーブル701、7
02に挿入後、システム175は、集計テーブル705内の対応する行を更新す
る必要がある。したがって、システム175は、各テーブル701、702の数
えられた行数が、集計テーブル705内に格納された対応する数(カウント70
6)に一致するかどうかをチェックすることにより、各テーブル701、702
の完全性を常に確認できる。また、対応する行のディジタル署名を使用して、所
定のSQLステートメントのテーブル701、702から使用できる全レコード
を確認できる。集計テーブル705は、常に、比較的小さく、したがってメイン
・メモリ内に容易に格納できる。好ましくは、集計テーブル705のバックアッ
プを、安全保管部203の内部のようなセキュア・データ記憶装置に格納するか
、またはデータ記憶装置206のバックアップを作成するときに定期的に公開す
る。
【0041】 システム175が、プッシュ−プッシュ・モードで動作している場合、センダ
109のトランザクションが完了する前にレシーバ110が、全データ・パケッ
ト303を受信するように各トランザクションを設定するので、データ・パケッ
ト303を持つファイル301の内容を格納する必要性はほとんどない。しかし
、システム175が、プッシュ−プル・モードで動作している場合、レシーバ1
10およびセンダ109は同期化されない。センダ109が、全データ・パケッ
ト303を送信するトランザクションを完了後に、レシーバ110がこのデータ
を要求する。したがって、システム175は、データ・パケット303の一時的
なコピーを格納する必要がある。データ・パケット303の内容が、検出可能な
データを含んでいる場合、システム175は、そのデータを暗号化し、その後そ
のデータを永久記憶装置104に保存する。
【0042】 本発明を好ましい実施形態により詳細に図示し、説明してきたが、当業者には
、添付の特許請求項に含まれる本発明の範囲から逸脱することなく、形状または
細部に各種の変更を加えることが可能であることは理解されるであろう。
【図面の簡単な説明】
【図1】 本発明の好ましい実施形態を実現するのに必要な代表的構成を示すブロック図
である。
【図2】 本発明のセキュア(秘密保持)構成を示す。
【図3】 ヘッダ、識別名および個人データを有するデータ・パケットを含むファイルの
代表例を図示する。
【図4】 秘密共有モジュールに格納された情報の代表的構成、すなわち秘密共有エンベ
ローブのデータ構造を示す。
【図5】 システムが、2つ以上の領域で動作するように構成された場合の、異なるセキ
ュリティ領域間のマッピング関係を示す。
【図6】 秘密共有アクセスを持つセキュア・ルックアップ・テーブルを使用して実行さ
れる2つの領域間でマッピングを格納するデータ構造を示す。
【図7】 本発明の1実施形態におけるデータ改ざん防止形態を示す。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 AE,AG,AL,AM,AT, AU,AZ,BA,BB,BG,BR,BY,BZ,C A,CH,CN,CR,CU,CZ,DE,DK,DM ,DZ,EE,ES,FI,GB,GD,GE,GH, GM,HR,HU,ID,IL,IN,IS,JP,K E,KG,KP,KR,KZ,LC,LK,LR,LS ,LT,LU,LV,MA,MD,MG,MK,MN, MW,MX,MZ,NO,NZ,PL,PT,RO,R U,SD,SE,SG,SI,SK,SL,TJ,TM ,TR,TT,TZ,UA,UG,US,UZ,VN, YU,ZA,ZW (72)発明者 トーマー・スケッギ アイスランド国,アイエス 109 レイキ ャビック,ヘイオアーセリ 4 Fターム(参考) 5J104 AA01 AA07 AA09 AA12 AA16 EA02 EA25 JA03 KA02 KA04 KA06 LA02 LA05 LA06 NA02 NA10 NA20 NA42 PA07

Claims (39)

    【特許請求の範囲】
  1. 【請求項1】 コンピュータ・ネットワークにおいて、異なる領域(domain
    )の間でデータをマッピングする装置であって、 一の領域のセンダ(sender)と他の領域のレシーバとの間に通信コネクション
    を確立する通信モジュールと、 前記通信モジュールに接続されており、前記一の領域の作業データを前記他の
    領域の作業データにマッピングするマッピング・モジュールとを備え、 前記作業データは、識別名部分と調査データ部分とを有し、前記マッピング・
    モジュールは、前記一の領域内の前記作業データの前記識別名部分と、前記他の
    領域内の前記作業データの前記識別名部分との間でマッピングする装置。
  2. 【請求項2】 請求項1において、前記作業データの前記調査データ部分が
    個人の個人データを含む装置。
  3. 【請求項3】 請求項1において、前記通信コネクションが前記通信モジュ
    ールにより形成されるセキュア通信チャネルであり、(i)前記センダとレシー
    バを認証して、認証されたセンダとレシーバとを作成し、(ii)前記チャネル
    を介して伝送される作業データを暗号化する装置。
  4. 【請求項4】 請求項3において、前記マッピング・モジュールが暗号化を
    使用して、前記一の領域内の作業データを前記他の領域内の作業データにマッピ
    ングし、それにより、前記認証されたレシーバに伝送する前記作業データを暗号
    化データにする装置。
  5. 【請求項5】 請求項1において、さらに、前記装置ヘのアクセスを制御す
    る秘密共有モジュールを備えている装置。
  6. 【請求項6】 請求項5において、前記秘密共有モジュールが前記マッピン
    グ・モジュールへのアクセスを制御する装置。
  7. 【請求項7】 請求項5において、さらに、改ざん防止方式でデータを格納
    する永久記憶手段を備えている装置。
  8. 【請求項8】 請求項7において、前記永久記憶手段が、前記データの非照
    会部分を暗号化し、その暗号化が暗号化キーを使用し、 前記秘密モジュールが前記暗号化キーを格納している装置。
  9. 【請求項9】 請求項8において、前記永久記憶手段が、前記データの照会
    部分上でディジタル署名を使用して、データの変更を検出し、それにより改ざん
    を防止する装置。
  10. 【請求項10】 請求項9において、前記各ディジタル署名が、前記暗号化
    キーと前記データとの連結のメッセージ要約から形成されている装置。
  11. 【請求項11】 請求項9において、前記永久記憶手段が、格納されたデー
    タの集計手段を維持する装置。
  12. 【請求項12】 請求項11において、前記集計手段が、それぞれのディジ
    タル署名を有する装置。
  13. 【請求項13】 請求項1において、前記マッピング・モジュールが、任意
    の2つの領域の作業データの識別名部分間で相互参照を有するマッピング・テー
    ブルを格納することにより、前記2つの領域間のマッピングを定義している装置
  14. 【請求項14】 請求項13において、前記マッピング・モジュールが複数
    の領域のマッピング・テーブルを格納し、 前記マッピング・テーブルが、(i)インデックス・セクションと、(ii)
    作業参照セクションとから形成され、前記インデックス・セクションが、第1対
    象領域内の作業データの識別名部分を示し、前記作業参照セクションが、第2対
    象領域内の対応する識別名部分を示し、前記作業参照が暗号化され、それにより
    前記マッピング・モジュールが、前記マッピング・テーブルの一部分で復号化を
    実行して、前記作業データの有効な相互参照を決定する装置。
  15. 【請求項15】 請求項1において、前記マッピング・モジュールが複数の
    領域間で作業データをマッピングする装置。
  16. 【請求項16】 請求項1において、前記センダおよびレシーバがそれぞれ
    、ソフトウェアおよび人のいずれかである装置。
  17. 【請求項17】 請求項1において、前記センダとレシーバとのコネクショ
    ンがそれぞれ異なるセッションである装置。
  18. 【請求項18】 請求項1において、前記通信モジュールがさらに、前記セ
    ンダとレシーバに加えてスーパバイザによる通信コネクションを可能にしている
    装置。
  19. 【請求項19】 請求項18において、前記スーパバイザによる前記通信コ
    ネクションが、このスーパバイザによる前記装置の遠隔操作を可能にしている装
    置。
  20. 【請求項20】 コンピュータ・ネットワークの他の領域間でデータを転送
    およびマッピングする方法であって、 一の領域内のセンダから他の領域内のレシーバに識別名部分と調査データ部分
    とを有する作業データを伝送するステップと、 前記一の領域の前記作業データの前記識別名部分と前記他の領域の前記作業デ
    ータの前記識別名部分との間でマッピングすることにより、前記一の領域の前記
    作業データを前記他の領域の作業データにマッピングするステップとを含む方法
  21. 【請求項21】 請求項20において、前記伝送ステップが、前記調査デー
    タ部分内に個人の個人データを含む方法。
  22. 【請求項22】 請求項20において、さらに、前記センダとレシーバとの
    間にセキュア通信コネクションを確立するステップを含み、前記セキュア通信コ
    ネクションが、(i)前記センダとレシーバとを認証して、認証されたセンダと
    レシーバとを作成し、(ii)前記伝送された作業データの暗号化を含む方法。
  23. 【請求項23】 請求項22において、前記マッピングのステップが暗号化
    を含み、それにより前記認証されたレシーバにより受け取られた前記作業データ
    が暗号化データとなる方法。
  24. 【請求項24】 請求項20において、さらに、前記コンピュータ・ネット
    ワーク内でのアクセスを制御するステップを含む方法。
  25. 【請求項25】 請求項20において、さらに、改ざん防止方式で永久記憶
    装置にデータを格納するステップを含む方法。
  26. 【請求項26】 請求項25において、前記格納ステップが、前記データの
    非照会部分の暗号化を含む方法。
  27. 【請求項27】 請求項26において、前記格納ステップがさらに、前記デ
    ータの前記各照会部分にそれぞれのディジタル署名を割当てて、前記データの変
    更を検出可能にし、それにより改ざんを防止することを含む方法。
  28. 【請求項28】 請求項27において、前記暗号化ステップが、暗号化キー
    を使用し、 前記割当てステップが、データと前記暗号化キーとの連結のメッセージ要約か
    らディジタル署名を形成することを含む方法。
  29. 【請求項29】 請求項27において、作業データを格納する前記ステップ
    が、格納されるデータの集計手段を維持することを含む方法。
  30. 【請求項30】 請求項29において、集計手段を維持する前記ステップが
    、前記集計手段にディジタル署名を割当てることを含む方法。
  31. 【請求項31】 請求項20において、マッピングの前記ステップが、前記
    2つの領域の作業データの前記識別名部分の間で相互参照を有するマッピング・
    テーブルを格納することを含む方法。
  32. 【請求項32】 請求項31において、マッピング・テーブルを格納する前
    記ステップが、各領域にそれぞれのマッピング・テーブルを格納することを含み
    、各マッピング・テーブルが、(i)インデックス・セクションと、(ii)作
    業参照セクションとから形成され、前記インデックス・セクションが第1対象領
    域内の作業データの識別名部分を示し、前記作業参照セクションが第2対象領域
    内の対応する識別名部分を示し、前記作業参照は暗号化されており、さらに、 前記マッピング・テーブルの一部を復号化して、前記作業データの有効な相互参
    照を決定することを含む方法。
  33. 【請求項33】 請求項20において、前記マッピングステップが、複数の
    領域間で作業データをマッピングすることを含む方法。
  34. 【請求項34】 請求項20において、前記センダおよびレシーバがそれぞ
    れ、ソフトウェアおよび人のいずれかである方法。
  35. 【請求項35】 請求項20において、さらに、前記センダとレシーバとの
    間の通信コネクションを確立するステップを含み、前記センダが、一のセッショ
    ンにおいて接続され、前記レシーバが他のセッションにおいて接続されている方
    法。
  36. 【請求項36】 請求項20において、さらに、スーパバイザを前記コンピ
    ュータ・ネットワークに接続するステップを含む方法。
  37. 【請求項37】 請求項36において、さらに、前記スーパバイザによる遠
    隔操作を可能にするステップを含む方法。
  38. 【請求項38】 請求項1において、前記作業データの前記識別名部分が、
    複数の領域からの識別名を含み、前記マッピング・モジュールが、前記作業デー
    タの各調査部分の複数の領域間で複数の識別名をマッピングする装置。
  39. 【請求項39】 請求項1において、さらに、 秘密保護されたコンテナと、 前記通信モジュールと前記マッピング・モジュールとを実行するコンピュータ
    ・システムと、 前記コンピュータ・システムに接続されたファイアウォールとを備え、 前記コンピュータ・システムとファイアウォールとが前記秘密保護コンテナに
    収納されて、改ざん防止ハードウェアを実現している装置。
JP2001567171A 2000-03-17 2001-03-13 遠隔の第三者監視を有する自動識別保護システム Pending JP2003527035A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US19026200P 2000-03-17 2000-03-17
US60/190,262 2000-03-17
PCT/IB2001/000358 WO2001069839A2 (en) 2000-03-17 2001-03-13 Automatic identity protection system with remote third party monitoring

Publications (2)

Publication Number Publication Date
JP2003527035A true JP2003527035A (ja) 2003-09-09
JP2003527035A5 JP2003527035A5 (ja) 2008-04-10

Family

ID=22700614

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001567171A Pending JP2003527035A (ja) 2000-03-17 2001-03-13 遠隔の第三者監視を有する自動識別保護システム

Country Status (10)

Country Link
US (1) US7404079B2 (ja)
JP (1) JP2003527035A (ja)
AU (2) AU2001244426B2 (ja)
CA (1) CA2403488C (ja)
DE (1) DE10195924T1 (ja)
GB (1) GB2375697B (ja)
IS (1) IS2078B (ja)
MX (1) MXPA02008919A (ja)
SE (1) SE520078C2 (ja)
WO (1) WO2001069839A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020184249A (ja) * 2019-05-09 2020-11-12 大日本印刷株式会社 情報処理装置、制御方法及びプログラム

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7457948B1 (en) * 2000-09-29 2008-11-25 Lucent Technologies Inc. Automated authentication handling system
FR2847401A1 (fr) * 2002-11-14 2004-05-21 France Telecom Procede d'acces a un service avec authentification rapide et anonymat revocable et systeme d'ouverture et de maintien de session
US8321946B2 (en) * 2003-12-05 2012-11-27 Hewlett-Packard Development Company, L.P. Method and system for preventing identity theft in electronic communications
US8146141B1 (en) * 2003-12-16 2012-03-27 Citibank Development Center, Inc. Method and system for secure authentication of a user by a host system
US7640594B2 (en) * 2004-01-21 2009-12-29 Sap Ag Secure storage in a file system
WO2009113444A1 (ja) * 2008-03-10 2009-09-17 三菱電機株式会社 秘密情報管理装置及び情報処理装置及び秘密情報管理システム
US9425960B2 (en) * 2008-10-17 2016-08-23 Sap Se Searchable encryption for outsourcing data analytics
US8782151B2 (en) * 2008-12-19 2014-07-15 PrivateTree, LLC Systems and methods for facilitating relationship management
US20100262836A1 (en) * 2009-04-13 2010-10-14 Eric Peukert Privacy and confidentiality preserving mapping repository for mapping reuse
US20100313009A1 (en) * 2009-06-09 2010-12-09 Jacques Combet System and method to enable tracking of consumer behavior and activity
US9621584B1 (en) * 2009-09-30 2017-04-11 Amazon Technologies, Inc. Standards compliance for computing data
US8799022B1 (en) * 2011-05-04 2014-08-05 Strat ID GIC, Inc. Method and network for secure transactions
KR101575282B1 (ko) * 2011-11-28 2015-12-09 한국전자통신연구원 보안관리 도메인들 간에 익명 식별자 기반의 보안정보를 공유하기 위한 에이전트 장치 및 방법
US8793805B1 (en) 2012-07-30 2014-07-29 Amazon Technologies, Inc. Automatic application dependent anonymization
US8955075B2 (en) 2012-12-23 2015-02-10 Mcafee Inc Hardware-based device authentication
US9419953B2 (en) 2012-12-23 2016-08-16 Mcafee, Inc. Trusted container
US8850543B2 (en) 2012-12-23 2014-09-30 Mcafee, Inc. Hardware-based device authentication
US11403711B1 (en) 2013-12-23 2022-08-02 Massachusetts Mutual Life Insurance Company Method of evaluating heuristics outcome in the underwriting process
US10489861B1 (en) 2013-12-23 2019-11-26 Massachusetts Mutual Life Insurance Company Methods and systems for improving the underwriting process
US9633209B1 (en) 2014-02-21 2017-04-25 Amazon Technologies, Inc. Chaining of use case-specific entity identifiers
US9344409B2 (en) * 2014-07-18 2016-05-17 Bank Of America Corporation Method and apparatus for masking non-public data elements in uniform resource indentifiers (“URI”)
US10320574B2 (en) 2017-05-05 2019-06-11 International Business Machines Corporation Blockchain for open scientific research

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998010558A1 (en) * 1996-09-06 1998-03-12 Walker Asset Management, Limited Partnership Method and system for establishing and maintaining user-controlled anonymous communications
JPH10254807A (ja) * 1997-01-22 1998-09-25 Lucent Technol Inc 匿名的にサーバサイトを閲覧する方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3962539A (en) * 1975-02-24 1976-06-08 International Business Machines Corporation Product block cipher system for data security
US4405829A (en) * 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
US5657390A (en) * 1995-08-25 1997-08-12 Netscape Communications Corporation Secure socket layer application program apparatus and method
US5638445A (en) * 1995-09-19 1997-06-10 Microsoft Corporation Blind encryption
US5907677A (en) * 1996-08-23 1999-05-25 Ecall Inc. Method for establishing anonymous communication links
US5903652A (en) * 1996-11-25 1999-05-11 Microsoft Corporation System and apparatus for monitoring secure information in a computer network
US5923842A (en) * 1997-03-06 1999-07-13 Citrix Systems, Inc. Method and apparatus for simultaneously providing anonymous user login for multiple users
US6591291B1 (en) * 1997-08-28 2003-07-08 Lucent Technologies Inc. System and method for providing anonymous remailing and filtering of electronic mail
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6023510A (en) * 1997-12-24 2000-02-08 Philips Electronics North America Corporation Method of secure anonymous query by electronic messages transported via a public network and method of response
US6081793A (en) * 1997-12-30 2000-06-27 International Business Machines Corporation Method and system for secure computer moderated voting
US6151631A (en) * 1998-10-15 2000-11-21 Liquid Audio Inc. Territorial determination of remote computer location in a wide area network for conditional delivery of digitized products
DE19914631A1 (de) * 1999-03-31 2000-10-12 Bosch Gmbh Robert Eingabeverfahren in ein Fahrerinformationssystem

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998010558A1 (en) * 1996-09-06 1998-03-12 Walker Asset Management, Limited Partnership Method and system for establishing and maintaining user-controlled anonymous communications
JPH10254807A (ja) * 1997-01-22 1998-09-25 Lucent Technol Inc 匿名的にサーバサイトを閲覧する方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020184249A (ja) * 2019-05-09 2020-11-12 大日本印刷株式会社 情報処理装置、制御方法及びプログラム
JP7287096B2 (ja) 2019-05-09 2023-06-06 大日本印刷株式会社 情報処理装置、制御方法及びプログラム

Also Published As

Publication number Publication date
CA2403488C (en) 2011-10-18
US20010027519A1 (en) 2001-10-04
AU2001244426B2 (en) 2006-06-08
AU4442601A (en) 2001-09-24
SE0202712L (sv) 2002-10-29
GB0221138D0 (en) 2002-10-23
CA2403488A1 (en) 2001-09-20
DE10195924T1 (de) 2003-04-24
GB2375697B (en) 2004-03-24
US7404079B2 (en) 2008-07-22
WO2001069839A3 (en) 2002-03-07
SE520078C2 (sv) 2003-05-20
WO2001069839A2 (en) 2001-09-20
SE0202712D0 (sv) 2002-09-13
IS2078B (is) 2006-02-15
IS6547A (is) 2002-09-13
MXPA02008919A (es) 2003-02-12
GB2375697A (en) 2002-11-20

Similar Documents

Publication Publication Date Title
CN109033855B (zh) 一种基于区块链的数据传输方法、装置及存储介质
JP2003527035A (ja) 遠隔の第三者監視を有する自動識別保護システム
CN1175358C (zh) 用加密标识和访问请求的机密记录的安全数据库管理系统
CN105103488B (zh) 借助相关联的数据的策略施行
Tardo et al. SPX: Global authentication using public key certificates
US7362868B2 (en) Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US5557765A (en) System and method for data recovery
US8788803B2 (en) Self-encryption process
US6339824B1 (en) Method and apparatus for providing public key security control for a cryptographic processor
EP2731040A1 (en) Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method
AU2001244426A1 (en) Automatic identity protection system with remote third party monitoring
EP3395004B1 (en) A method for encrypting data and a method for decrypting data
JPH07325785A (ja) ネットワーク利用者認証方法および暗号化通信方法とアプリケーションクライアントおよびサーバ
JP2002111659A (ja) ファイル暗号化システム、ファイル暗号化用プログラムおよびデータを記録した記録媒体
US7917748B2 (en) Secure group secret distribution
KR100286904B1 (ko) 분산 pc 보안관리 시스템 및 방법
US20060129815A1 (en) Generation of identities and authentication thereof
KR20080028198A (ko) 디지털 개인 정보의 안전한 관리 방법 및 그 시스템
JPH09139735A (ja) 暗号化データ通信システム
JP2001312466A (ja) 携帯コンピューター情報管理システム
JPH07162408A (ja) データ配送方法
JP3568832B2 (ja) 遠隔操作認証方法及び遠隔操作認証プログラムを記録した記録媒体
CN116506180A (zh) 基于加密授权的招聘软件隐私保护方法及系统
CN115396085A (zh) 基于生物特征和第三密钥的协商认证方法及设备
Ethier et al. The MIT Smart Card: A Pseudo-Anonymous, Token-Based Authentication System

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080225

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110412

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111018