KR20070023710A - Privacy-preserving information distributing system - Google Patents
Privacy-preserving information distributing system Download PDFInfo
- Publication number
- KR20070023710A KR20070023710A KR1020067024926A KR20067024926A KR20070023710A KR 20070023710 A KR20070023710 A KR 20070023710A KR 1020067024926 A KR1020067024926 A KR 1020067024926A KR 20067024926 A KR20067024926 A KR 20067024926A KR 20070023710 A KR20070023710 A KR 20070023710A
- Authority
- KR
- South Korea
- Prior art keywords
- information
- user
- anonymity
- temporary
- anonymous
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
정보 배포 시스템에서, 정보를 위한 요청을 관리하면서, 사용자의 신원을 비밀로 유지하는 시스템, 디바이스 및 방법이 개시된다. 사용자 신원 디바이스와 관계된 사용자의 신원은 지속적인 익명 및 임시 익명의 사용에 의해 비밀로 유지된다. 정보 배포의 프로세스는 라이센스 및 인증서의 사용에 의해 향상되며, 사용자는 영구적인 익명으로 자기 자신을 나타냄으로써 라이센스 및 인증서를 획득한다. 요청된 정보를 액세스하는 경우, 사용자는 임시 익명에 의해 나타내지게 된다. In an information distribution system, a system, device, and method are disclosed that maintain the identity of a user while managing a request for information. User Identity The identity of a user associated with a device is kept secret by the continued use of anonymous and temporary anonymous. The process of disseminating information is enhanced by the use of licenses and certificates, and users acquire licenses and certificates by representing themselves permanently and anonymously. When accessing the requested information, the user is represented by temporary anonymity.
프라이버시, 익명, 시스템, 공인키, 스마트카드 Privacy, Anonymous, System, Public Key, Smart Card
Description
본 발명은 사용자가 디지털 정보를 요청할 수 있는 정보 배포 시스템에 관한 것으로, 더 상세하게는 사용자 정보를 보호하는 정보 배포 시스템에 대한 것이다. The present invention relates to an information distribution system that allows a user to request digital information, and more particularly, to an information distribution system that protects user information.
현재, 개인은 넓은 활동 범위에 관계되어 있는 경우 그의 신원 증을 보이도록 요구받는다. 일반적으로, 개인이 신용카드를 사용하고, 전화를 걸고, 세금을 납부하고 잡지구독신청하거나 신용 또는 직불 카드를 이용하여 인터넷상으로 무엇을 구매하는 경우, 각 트랜잭션의 식별 가능한 기록이 생성되고 컴퓨터 데이터베이스의 어딘가에 기록된다. 현금이외의 다른 것을 사용하여 서비스를 획득하거나 구매하기 위해서는, 기관은 개인이 그 개인인지를 확인할 것을 요구한다. Currently, an individual is required to show his identity if it is related to a wide range of activities. Generally, when an individual uses a credit card, makes a phone call, pays taxes, subscribes to a magazine, or purchases something over the Internet using a credit or debit card, an identifiable record of each transaction is generated and a computer database Is written somewhere. In order to obtain or purchase a service using anything other than cash, the agency requires that the individual be identified as the individual.
소비자 여론조사는 개인이 그의 프라이버시에 가치를 두고 있으며, 개인 정보가 통제할 수 없는 컴퓨터 데이터베이스에 통상적으로 저장되는 사실을 우려하고 있음을 반복적으로 보여주고 있다. 개인의 신원을 보호하는 것은 프라이버시의 핵심인 익명성을 유지하도록 하는 옵션과 양립한다. 반면에, 정보 및 통신 기술에서 의 진보는 기관이 막대한 양의 개인 정보를 저장할 수 있는 능력에 촉진하고 있지만, 이는 점점 정보가 수집되어 버린 개인의 프라이버시를 위협하고 있다. 점점 프라이버시를 경계하는 세상에서, 개인 정보의 누출 및 사용자 추적의 가능성은 사용자 측에 관한 수많은 프라이버시 우려를 생성할 수 있다. 결과적으로, 아마, 이들 사용자 측에 관한 증대된 증오는 프라이버시 침해가 되는 신기술로 향하게 된다. Consumer polls repeatedly show that an individual values his privacy and is concerned about the fact that personal information is typically stored in computer databases out of control. Protecting an individual's identity is compatible with the option to maintain anonymity, the core of privacy. On the other hand, advances in information and communication technologies are promoting the ability of institutions to store enormous amounts of personal information, but this is increasingly threatening the privacy of individuals from whom information has been collected. In an increasingly privacy world, the leakage of personal information and the possibility of user tracking can create numerous privacy concerns on the user side. As a result, perhaps, increased hatred on these users' side is directed to new technologies that are a privacy violation.
이는 서비스 제공자 또는 정보 배포자의 이익과는 배치되어 뚜렷하게 나타나게 된다. 왜냐하면, 서비스 제공자 또는 정보 배포자는 사기 등에 대해 그들을 보호하기 위해, 가능한 직접적인 마케팅 촉진을 실행하기 위해, 또는 기타 등등, 가능한 한 사용자에 대해 더 많은 것을 알고 싶어 하기 때문이다. 사전예방 조치로서, 시스템을 남용하는 사용자는 장래의 시스템으로부터 제외되어야 한다.This is clearly seen as opposed to the benefit of the service provider or information distributor. This is because the service provider or information distributor wants to know more about the user as much as possible to protect them against fraud, etc., to carry out direct marketing promotion as much as possible, or the like. As a precaution, users who abuse the system should be excluded from future systems.
많은 정보 배포 시스템에 있어서, 예를 들면, 시스템 내의 통신을 도청함으로써 서로 다른 사용자의 습관을 습득하는 것은 비교적 용이하다. 이러한 정보는 예를 들면 스팸을 위해 후에 남용될 수 있다. 오늘날, 이러한 문제점은 예를 들면, 사용자가 시스템에서 사용된 예를 들면 비밀 코드를 어떻게 저장할 지에 각별한 주의를 기울이도록 강제함으로써, 또는 높은 정도의 보안에 의해 귀중한 정보를 보호함으로써 부분적으로는 해소되었다. 미국특허출원공보(US) 제2003/0200468호는 신뢰하는 웹사이트에서 사용자의 신원을 저장함으로써 온라인 트랜잭션으로 고객 신원을 보호하는 방법에 대해 기술하고 있다.In many information distribution systems, it is relatively easy to learn the habits of different users, for example by eavesdropping on communication within the system. This information may later be abused for spam. Today, this problem is partially solved, for example, by forcing users to pay special attention to how to store, for example, secret codes used in the system, or by protecting valuable information with a high degree of security. US 2003/0200468 describes a method of protecting a customer's identity with an online transaction by storing the user's identity on a trusted website.
그러나, 위에 언급된 시스템에서, 안전한 웹사이트의 사용은 침범당하기 쉽다. 신뢰하는 웹사이트를 공격하는데 성공한 사람이라면, 어느 키가 어느 사용자 신원에 대응하는지에 대한 지식을 소유하기 때문이다. 따라서, 공격자는 덜 방어적인 정보 배포 시스템에서, 임의 사용자의 습관을 매핑하기 위해 이러한 정보를 사용할 수 있다. However, in the systems mentioned above, the use of secure websites is likely to be compromised. If you succeed in attacking a website you trust, you have the knowledge of which key corresponds to which user identity. Thus, an attacker can use this information to map any user's habits in a less defensive information distribution system.
본 발명의 목적은 정보 배포 시스템의 사용자를 위한 프라이버시를 제공하는 것에 대한 기술된 문제를 제거하거나 또는 적어도 경감하기 위한 것이다. 이러한 목적은 첨부된 청구항 1, 10 및 17에 따른 방법 및 디바이스에 의해 달성된다. 바람직한 실시예는 종속항에서 한정된다. It is an object of the present invention to obviate or at least alleviate the described problem of providing privacy for a user of an information distribution system. This object is achieved by the method and the device according to the attached
본 발명은 2개의 익명을 사용자에 제공하고 연속적으로 이 익명중의 하나를 연속적으로 갱신함으로써, 정보 배포 시스템을 획득하는 것이 가능하며, 여기서 상기 사용자에 의해 요청된 정보와 사용자의 실제 신원 사이에 관계가 없다는 통찰에 기반을 두고 있다. 더욱이, 이러한 정보 배포 시스템은 예를 들면, DRM규칙에 따라 작동하는 보통의 정보 배포 시스템과 같이 안전할 수 있다. 여기서 사용된 용어 "사용자의 실제 신원"은 전화번호, 주소, 사회보장번호 또는 보험 번호, 은행 계좌 번호, 신용 카드 번호, 단체번호 등과 같은 물리적 사용자에 연계될 수 있는 사용자 또는 데이터의 물리적 신원을 참조한다. 더욱이, 여기서 사용된 "익명" 또는 추가 신원은 개인의 실제 신원에 연결되는 것을 방지하기 위해 충분히 익명성이 있는 임의 데이터가 된다. 데이터 패킷과 승인을 결합시키는 경우 모호성을 피하는데 있다. 즉, 이는 상기 사용자에 의해 요청된 사용자의 실제 신원과 정보 간에 연계가 없으며, 어느 실제 사용자가 무슨 정보를 요청하는 지를 재구성할 명확한 방식이 없음을 의미한다. 왜냐하면, 예를 들면 이러한 재구성을 가능하게 하는 정보를 저장하는 데이터베이스가 없기 때문이다. The present invention makes it possible to obtain an information distribution system by providing two anonyms to a user and continuously updating one of these anonyms, where a relationship between the information requested by the user and the actual identity of the user is obtained. Based on the lack of insight. Moreover, such an information distribution system may be secure, for example, as a normal information distribution system operating in accordance with DRM rules. The term "user's real identity" as used herein refers to the physical identity of a user or data that may be associated with a physical user, such as a telephone number, address, social security or insurance number, bank account number, credit card number, organization number, etc. do. Moreover, "anonymous" or additional identity as used herein is any data that is sufficiently anonymous to prevent linking to the actual identity of the individual. The combination of data packets and acknowledgments avoids ambiguity. In other words, this means that there is no association between the user's actual identity and the information requested by the user, and there is no clear way to reconstruct which information the actual user requests. This is because, for example, there is no database that stores the information that enables this reconstruction.
따라서, 본 발명의 제 1 측면에 따르면, 본 발명은 지속성 익명에 의해 나타내지면, 사용자가 정보 배포 디바이스로부터 정보를 요청한 방법을 제공한다. 이 지속성 익명이 관계된 사용자 신원 디바이스를 사용하여, 사용자는 자기 자신을 정보 배포 시스템에 제공한다. 정보 배포 시스템은 신원 관리 디바이스에서, 지속성 익명이 신뢰됨을 증명한다. 이후, 만일 증명이 성공하면, 임시 익명은 상기 사용자 신원 디바이스와 관련된다. 마지막으로, 상기 정보 배포 디바이스로부터 획득된 상기 요청된 정보에 액세스하는 경우, 사용자는 상기 임시 익명에 의해 나타내진다. Thus, according to a first aspect of the present invention, the present invention provides a method in which a user requests information from an information distributing device, when represented by persistent anonymity. Using this persistent anonymous user identity device, the user presents himself to the information distribution system. The information distribution system at the identity management device proves that persistent anonymity is trusted. Then, if the proof succeeds, temporary anonymity is associated with the user identity device. Finally, when accessing the requested information obtained from the information distributing device, the user is represented by the temporary anonymity.
본 발명의 제 2 측면에 따르면, 본 발명은 사용자의 신원이 비밀로 유지되는 정보 배포 시스템에서 사용되기 위한 사용자 신원 디바이스를 제공한다. 상기 디바이스는 지속성 익명 및 상기 정보 배포 시스템에 속하고 상기 지속성 익명을 신원 관리 디바이스에 전송하기 위해 배열되는 수단을 포함한다. 더욱이, 상기 디바이스는 상기 정보 배포 시스템에 속하면서, 액세스하는 디바이스에 상기 임시 익명을 전송하기 위해 배열되는 수단을 포함한다. According to a second aspect of the present invention, the present invention provides a user identity device for use in an information distribution system in which a user's identity is kept secret. The device includes means for belonging to the persistent anonymity and the information distribution system and arranged for transmitting the persistent anonymity to an identity management device. Moreover, the device belongs to the information distribution system and includes means arranged for transmitting the temporary anonymity to the accessing device.
본 발명의 제 3 측면에 따르면, 본 발명은 사용자의 신원을 비밀로 유지시키는 정보 배포 시스템을 제공한다. 이 시스템은 본 발명의 상기 제 2 측면에 관련하여 기술된 바와 같이 배열되는 정보 배포 디바이스를 포함한다. 더욱이, 시스템은 지속성 익명을 나타내는 데이터를 수신하도록 배열되고, 사용자 신원 디바이스와 관련된 신원 관리 디바이스를 포함한다. 신원 디바이스는 지속성 익명이 신뢰성이 있음을 증명하기 위해 더 배열되고, 그리고 마침내 상기 증명이 성공적이라면 임시 익명을 생성하기 위해 배열된다. According to a third aspect of the invention, the invention provides an information distribution system that keeps a user's identity confidential. The system includes an information distributing device arranged as described in relation to the second aspect of the present invention. Moreover, the system is arranged to receive data indicative of persistent anonymity and includes an identity management device associated with the user identity device. The identity device is further arranged to prove that persistent anonymity is reliable, and finally to generate temporary anonymity if the proof is successful.
정보 배포 시스템은 상기 임시 익명을 나타내는 데이터와 상기 사용자 신원 디바이스를 관련시키는 수단을 더 포함한다. 마지막으로, 이 시스템은 상기 임시 익명을 나타내는 상기 데이터를 수신하기 위해 배열되고, 상기 증명이 성공적이라면 상기 요청된 정보에 대한 액세스권을 상기 사용자에게 제공하기 위해 배열되는 액세스하는 디바이스를 포함한다. The information distribution system further includes means for associating the user identity device with data indicative of the temporary anonymity. Finally, the system comprises an accessing device arranged to receive the data indicative of the temporary anonymity, and to provide the user with access to the requested information if the proof is successful.
위에 언급된 3가지 측면의 한 가지 이점은 사용자가 시스템의 일부에라도 자기 자신에 관한 어떠한 개인 정보도 누설할 필요가 없다는 점이다. 대신, 사용자는 본 발명에 따라, 사용자가 시스템과 접촉하고 있는 동안 그의 지속성 또는 임시 익명을 사용한다. 이는 시스템이 공격받더라도, 이러한 정보가 시스템 내에 저장되지 않으므로, 중요한 사용자 정보가 남용되지 않을 수 있음을 보장한다. 다른 이점은 사용자가 요청하는 실제 사용자 및 정보 사이에 연계가 없다는 점이다. 따라서, 사용자의 프라이버시는 상기 사용자의 실제 신원이 시스템내의 식별자와 연결되지 않으므로 유지되게 된다. 결과적으로, 정보 배포 시스템에서 사용자의 행동에 대한 모니터링이 방지된다. 세 번째 이점은 정보 시스템이 사용자의 프라이버시를 보호하므로, 정보 시스템이 잠재적인 사용자에 의해 더 쉽게 수용된다는 점이다. 다른 이점은 사용자의 실제 신원에 관련된 저장된 정보를 보호하기 위해, 종래의 정보 배포 시스템에 취해진 보안 조치가 본 발명에 따라 완화될 수 있다는 점이다. 왜냐하면, 사용자에 관한 중요한 정보를 저장할 데이터베이스가 없기 때문이다. One advantage of the three aspects mentioned above is that the user does not need to disclose any personal information about himself or herself to any part of the system. Instead, the user uses his persistence or temporary anonymity while the user is in contact with the system, in accordance with the present invention. This ensures that even if the system is attacked, such information is not stored in the system, so that important user information may not be abused. Another advantage is that there is no link between the actual user and the information the user requests. Thus, the user's privacy is maintained since the user's actual identity is not associated with an identifier in the system. As a result, monitoring of user behavior in the information distribution system is prevented. The third advantage is that the information system protects the privacy of the user, making the information system easier to accommodate by potential users. Another advantage is that in order to protect the stored information relating to the user's actual identity, the security measures taken in conventional information distribution systems can be mitigated in accordance with the present invention. This is because there is no database to store important information about users.
본 발명의 다른 실시예에 관련된 다수의 이점이 아래에 열거된다. 이들 이점에 대하여 공통점은 기술된 방법이 사용자의 신원이 시스템에서 비밀로 유지된다는 점이다. A number of advantages associated with other embodiments of the present invention are listed below. Common to these advantages is that the described method keeps the user's identity secret in the system.
청구항 2에 한정된 바와 같이, 인증서로서 상기 임시 익명을 전송하는 방법은 액세스하는 디바이스에 비복제이고 시스템에 보안을 제공하는 이점을 갖는다. 왜냐하면, 액세스하는 디바이스가 인증서가 신뢰하는 당사자에 의해 서명된 것인지를 체킹할 것이다. As defined in claim 2, the method of sending the temporary anonymous as a certificate has the advantage of non-replicating to the accessing device and providing security to the system. Because the accessing device will check whether the certificate is signed by a trusted party.
청구항 3에 한정된 바와 같이, 상기 임시 익명을 사용하여, 증명 데이터를 생성하고, 상기 지속성 익명으로 상기 임시 익명을 암호화하는 방법은 상기 액세스하는 디바이스가 상기 임시 익명의 인증을 증명하게 하는 이점을 갖는다. 암호화 및 증명 데이터는 또한 사용자에게 무결성과 기밀성을 제공한다. As defined in
청구항 4 내지 9에 한정된 바와 같이, 상기 요청된 정보에 대한 액세스권을 획득하기 위해 사용 가능한 라이센스를 발생하는 방법은, 시스템에 사용자의 신원을 누설함 없이 정보 제공자에게 보안을 제공한다. As defined in claims 4-9, a method of generating a license available for obtaining access to the requested information provides security to the information provider without revealing the user's identity to the system.
상기 사용자 신원 디바이스와 상기 액세스하는 디바이스 간에 인증서를 교환하는 방법은 정보 제공자에게 보안을 제공하는 이점을 갖는다. The method of exchanging a certificate between the user identity device and the accessing device has the advantage of providing security to an information provider.
청구항 7 및 9에 한정된 바와 같이, 라이센스를 관리함으로써, 사용자 신원 디바이스는 액세스하는 디바이스와 신원 디바이스에 의해 전송된 데이터가 정확한 지를 증명할 수 있다.As defined in
상기 방법의 실시예에 의해 획득된 일부 이점이 위에 기술되었다. 각기 시스템 및 디바이스에 대한 종속 청구항에 한정된 바와 같이, 유사한 이점이 또한 상기 정보 배포 시스템의 대응하는 실시예에 의해 달성될 수 있다. Some of the advantages obtained by the embodiment of the method have been described above. As defined in the dependent claims for the respective systems and devices, similar advantages may also be achieved by corresponding embodiments of the information distribution system.
더욱이, 유리하게는, 청구항 8에 한정된 바와 같이, 만일 상기 임시 익명이 랜덤하게 발생된다면, 익명은 정보 배포 시스템에 독립적으로 발생된다. 결과적으로, 정보 배포 시스템 내에서 랜덤하게 발생한 익명을 임의의 다른 행위에 연계하는 것이 가능하지 않다. Furthermore, advantageously, as defined in
유리하게는, 지속성 익명은 상기 지속성 익명을 사용하여, 정보 배포 시스템이 사용자 신원 디바이스를 위한 정보를 암호화를 허용하는 공인키가 된다. 따라서, 기밀성이 시스템에 제공된다. Advantageously, persistent anonymity is a public key that allows the information distribution system to encrypt information for a user identity device, using the persistent anonymity. Thus, confidentiality is provided to the system.
더욱이, 유리하게는, 사용자 신원 디바이스는 사용자 신원 디바이스에 데이터의 결합을 돕는 스마트카드이다. Moreover, advantageously, the user identity device is a smart card that aids in the coupling of data to the user identity device.
더욱더, 유리하게는, 데이터의 액세스는 DRM(Digital Right Management:디지털 저작권 관리)규칙에 따라 수행되며, 이는 정보 배포를 위한 프로토콜을 제공한다. Even more advantageously, access of the data is performed in accordance with Digital Right Management (DRM) rules, which provide a protocol for distributing information.
본 발명의 배경에 있는 기본적인 사상은 정보가 저장된 장치 주변에 보안을 향상시킴으로써 사용자 정보의 남용을 방지하는 대신에, 사용자의 프라이버시가 제 1 위치에 정보를 저장하거나 또는 결코 사용되지 않도록 제공된 다라는 점이다. 따라서, 정보 배포 시스템이 공격당하더라도, 공격자가 사용자에 의해 액세스된 모든 정보의 완전한 리스트를 획득할 수 없도록 하는 것이다. 위에서 언급된 바와 같이, 사용자는 예를 들면, 정보 및 임시 익명을 요청하는 경우, 이 요청된 정보를 후에 액세스하는 때, 영구적인 익명을 사용할 수 있다. The basic idea behind the present invention is that instead of preventing abuse of user information by improving security around the device where the information is stored, the user's privacy is provided so that the information is stored in the first location or never used. to be. Thus, even if the information distribution system is attacked, the attacker cannot obtain a complete list of all the information accessed by the user. As mentioned above, a user may use permanent anonymity, for example when requesting information and temporary anonymity, when later accessing this requested information.
본 발명의 위 측면 및 다른 측면은 이후 기술되는 실시예를 참조하여 명백하고 명료해 질 것이다. The above and other aspects of the invention will be apparent from and elucidated with reference to the embodiments described hereinafter.
도 1은 본 발명의 실시예를 도식적으로 도시한 도면.1 diagrammatically illustrates an embodiment of the invention.
도 1은 본 발명의 실시예를 도식적으로 도시한 것이다. 예들 들면, 인터넷에 연결된 데이터베이스와 같은 콘텐츠 제공자(CP;120)에 속하는 정보를 액세스하기를 원하는 사용자는 정보 시스템(100)에 자신의 실제 신원을 누설할 필요 없이, 스마트카드(SC;110)를 사용함으로써 액세스가 가능하다. 이 스마트카드는 본 발명에 따라 정해진다. 사용자가 어떤 콘텐츠에 액세스하기 위해 권리를 구매하길 원하는 경우, 그는 권리를 요청하는 익명성 채널에 의해 콘텐츠 제공자(120)와 접촉한다. 익명성 지불 방식이 행해진 후, 사용자는 그의 공인키(PP;112)를 콘텐츠 제공자(120)에 전송한다(1). 이때, 이 콘텐츠를 위한 권리, 즉 라이센스(121)가 생성된다(2). 바람직한 실시예에서, 콘텐츠는 대칭키(SYM)로 콘텐츠 제공자에 의해 암호화되며 라이센스(121)와 함께 전송된다. 바람직하게는, 라이센스의 포맷은 {PP[SYM//Right//contentID]}signCP, 또는 {PP[SYM//Right/contentID], H(Rights), H(contentID)}signCP이 되며, 여기서, PP는 혼합값[SYM//Right/contentID]를 암호화한다. Rights는 사용자에 의해 획득된 권리를 나타낸다. 예를 들면, 권리는 사용자가 전체 곡 또는 단지 도입부만, 또는 사용자 곡을 몇 회 청취할 자격이 있는 지를 나타낸다. contentID는 상기 권리에 관련된 콘텐츠를 식별하며, signCP는 라이센스(121)상의 콘텐츠 제공자(120)의 서명이 된다. 이러한 실시예에서, H()는 단방향 해쉬(hash)함수가 된다. 검사되는 경우, 라이센스(121)는 공인키(PP;112) 또는 콘텐츠 식별자 또는 권리를 누설하지 않는다. 따라서, 이는 콘텐츠 및 권리 소유권에 관해 사용자의 프라이버시를 보호하게 된다. 그러므로, 만일 라이센스(121)가 사용자의 저장 디바이스 내에서 발견된다면, 이는 사용자의 프라이버시를 손상시키지 않는다. 이러한 구매 절차동안, 위에서 기술된 콘텐츠 제공자(120)는 공인키(PP;112)와 contentID, 권리와 대칭키 사이의 관계를 알게 되나, 익명성 채널로 인해 실제 사용자의 신원을 알지는 못하게 된다. 1 diagrammatically illustrates an embodiment of the invention. For example, a user who wants to access information belonging to a content provider (CP) 120, such as a database connected to the Internet, may not be able to reveal his or her real identity to the
일반적으로, 사용자가 액세스하는 디바이스(AD;140) 상의 콘텐츠를 안전하게 액세스하도록 하기 위해, 스마트카드(110)를 위한 컴플라이언스 인증서(132)는 액세스하는 디바이스(140)에 제시되어야 한다. 그러나, 이러한 컴플라이언스 인증서(132)는 공인키(PP;112)를 포함하지 않으나, 변경 가능한 SC 익명 또는 임시 익명(131)으로 발행된다. SC(110)를 위한 컴플라이언스 인증서(132)를 획득하기 위해, 사용자/SC는 익명성으로 스마트카드(CA-SC)를 위한 컴플라이언스 인증서 발행자와 접촉하게 되며, 자신의 공인키(PP;112)를 전송하고 인증서(132)를 요청한다(4). 스마트카드 발행자는 해킹된 스마트카드(110)의 공인키로 철회 리스트에 의해 스마트카드의 행동을 추적하게 됨을 가정한다. 스마트카드(CA-SC;130))를 위한 컴플라이언스 인증서 발행자는 사설키(PP;112)가 철회 리스트에 속하는 지 않는 지를 스마트카드 발행자로 체킹한다. 만일 철회리스트에 속하지 않으면, 스마트카드(CA-SC;130), 예를 들면 랜덤숫자(RAN)를 위한 임시 익명(131)을 발생하고 다음 컴플라이언스 인증서(132)를 발행하면, 이 인증서는 스마트카드(110)에 전송된다(6): 즉 {H(RAN),PP[RAN]}signCA-SC. 본 발명의 실시예에서, H()는 단방향 해쉬함수이고, PP(112)는 RAN을 암호화하고, signCA-SC는 인증서에 관한 CA-SC의 서명이 된다. In general, in order for a user to securely access content on a device (AD) 140 that is being accessed, a
검시되는 경우, 인증서(132)는 공인키(PP;112) 및 스마트카드(110)의 임시 익명(RAN;131)도 누설하지 않는다. 게다가, 인증서(132)로부터 RAN(131)을 획득할 수 있는 유일한 개체는 스마트카드(110)가 된다. 이는 사설키(PK;113)로 해독을 통하여 달성된다. 따라서, 값 RAN(131)은 인증서에서 해쉬값을 통하여 증명기에 의해 체킹될 수 있다. 익명(RAN;131)의 사용은 증명기가 카드의 공인키(PP;112)를 알 필요 없이 스마트카드(110)의 검증을 체킹하도록 한다. 더욱이, 익명(RAN;131)은 요구된바와 같이 종종 변경될 수 있으므로(매시간 스마트카드(SC;110)는 새로운 컴플라이언스 인증서(132)를 획득한다), 주어진 스마트카드(110)에 컴플라이언스 인증서를 연계하기 위한 증명기의 가능성은 최소화될 수 있다. 위에서 기술된 절차동안, 스마트카드(CA-SC;130)를 위한 컴플라이언스 인증서 발행자는 공인키(112) 및 RAN(131) 사이의 관련을 알게 되나, 익명성 채널로 인해 실제 사용자의 신원을 알지는 못한다.When examined, the
이제, 사용자는 그가 갖고 있는 라이센스에 해당하는 콘텐츠에 액세스할 수 있으며, 이는 단지 액세스하는 디바이스(AD;140)상에 수행될 수 있다. 일반적으로, 액세스하는 디바이스(140)는 DRM 규칙에 따라 행동하게 된다. 콘텐츠를 액세스하기 위해, 사용자는 사용하는 콘텐츠와 라이센스를 자신이 직접 가지고 다니거나(예를 들면 광디스크 형태로), 콘텐츠와 라이센스를 네트워크상의 임의 위치에 저장해야 한다. 어느 경우에나, 콘텐츠 + 라이센스는 먼저 액세스하는 디바이스(AD;140)에 전달되어야만 한다. 게다가, 사용자가 이때 물리적으로 액세스하는 디바이스(AD;140)의 정면에 있게 되므로, 그의 실제 신원은 AD(140)에 "공개"될 수 있다. 액세스하는 디바이스(AD;140)는 예를 들면, 사용자의 사진을 찍는 카메라가 구비될 수 있어, 이후 사용자의 신원을 추적하기 위해 사용될 수 있다. 따라서, 사용자의 실제 신원과 공인키(PP) 사이의 관계에 대한 공개를 방지하기 위해, 사용자 이외의 누구에게도, 공인키(PP;112)는 콘텐츠 액세스 시에 액세스하는 디바이스에 누설되지 않아야 한다. 이는 스마트카드(SC;110)를 위한 컴플라이언스 인증서(132)는 변경 가능한 익명(RAN;131)으로 발행되는지에 대한 이유가 된다. 이 인증서(131)의 체킹시, 액세스하는 디바이스(140)는 RAN을 알게 되나, 공인키(PP;112)를 알지는 못한다. 콘텐츠 액세스 절차가 이하 기술된다. Now, the user can access the content corresponding to the license he has, which can only be performed on the accessing
스마트카드(110)와 액세스하는 디바이스(140)가 서로에 대해 상호 반응하기 전에, 이들은 상호 컴플라이언스 체킹을 한다. 액세스하는 디바이스(140)의 컴플라 이언스는 액세스하는 디바이스의 컴플라이언스 인증서(151)에 의해 증명되고, 이 인증서는 액세스하는 디바이스(CA-AD;150)를 위한 컴플라이언스 인증서 발행자에 의해 발행되며, 스마트카드(110)에 제시된다(10). 액세스하는 디바이스의 컴플라이언스 인증서(151)를 증명할 수 있기 위해, 스마트카드(110)는 CA-AD의 공인키로 제공된다. 만일 이러한 키가 정기적으로 변경된다면, 이 키는 AD가 그의 컴플라이언스 인증서를 정기적으로 갱신하도록 해야 한다. 또한, 이는 스마트카드(SC;110)가 그 키를 정기적으로 갱신함을 의미하며, 동시에 달성될 수 있는 것은 스마트카드(SC;110)가 CA-SC로부터 자신의 컴플라이언스 인증서를 획득하는 것이다. Before the
스마트카드(110)의 호화성은 익명 컴플라이언스 인증서(132)에 의해 제공되며, 이 인증서는 액세스하는 디바이스에 제시된다(10). 상기된 바와 같이, 스마트카드(110)는 사설키(PK;113)로 인증서를 해독함으로써, 인증서(132)로부터 값 RAN을 획득하고, 액세스하는 디바이스(140)에 이 값을 전송한다. 액세스 디바이스(140)는 인증서 내에 있는 함수 H(RAN)를 통하여 이러한 값을 체킹한다. 액세스하는 디바이스가 클럭을 제공받을 수 있으므로, 스마트카드의 컴플라이언스 인증서(132)는 인증서에 첨부된 발행시간을 가질 수 있으며, 이는 스마트카드(110)가 정기적으로 인증서가 오래되었을 때 갱신하도록 한다. 또한, 위에 기술된 연계성을 최소화하기 위해, 스마트카드가 자신의 컴플라이언스 인증서를 너무 종종 갱신하게 하는 것은 관심의 대상이 된다. The luxury of the
상술된 이러한 상호 컴플라이언스 체크후, 액세스하는 디바이스(140)는 라이센스로부터 스마트카드(110)로 함수 PP[SYM//Right/contentID]를 전송하며, 스마트 카드는 이 함수를 해독하여 액세스하는 디바이스(140)에 값(123)인 SYM, Right 및 contentID를 다시 전송하게 된다(13). 따라서, 액세스하는 디바이스(140)는 콘텐츠를 해독하여 Right에 따라, 이 콘텐츠에 대한 액세스권을 사용자에게 제공하기 위해 SYM을 사용할 수 있다. After this mutual compliance check described above, the accessing
상술된 절차동안, 액세스하는 디바이스는 RAN 및 콘텐츠, 권리 및 SYM 사이의 관계를 각각 알게 되며, 실제 사용자의 신원을 알 수 있게 된다. 따라서, 액세스하는 디바이스의 제어 하에 공격자는 실제 사용자의 신원(예들 들면 사용자의 포토), 그의 SC의 임시 익명(RAN) 뿐만 아니라 이 트랜잭션 동안 사용자에 의해 액세스되는 특정 콘텐츠 및 동반된 권리를 획득할 수 있다. 그러나, 이러한 사실은 이 트랜잭션에 관련된 단지 특정 콘텐츠 및 권리에 관한 사용자의 프라이버시를 손상시킨다. 이러한 유형의 공격은 실제로 피하기 어렵다. 종종 변경된 거와 같이, 값 RAN에 관련하여, 사용자는 제한된 수의 트랜잭션만을 단지 추적될 수 있다. During the procedure described above, the accessing device knows the relationship between the RAN and content, rights and SYM, respectively, and can know the identity of the actual user. Thus, under the control of the accessing device, an attacker can gain the identity of the actual user (e.g., the user's photo), the temporary anonymous (RAN) of his SC, as well as the specific content and accompanying rights accessed by the user during this transaction. have. However, this fact only compromises the privacy of the user regarding the specific content and rights involved in this transaction. This type of attack is really hard to avoid. As often changed, with respect to the value RAN, the user can only track a limited number of transactions.
제 2 실시예에서, 이 실시예는 몇 개의 단계를 제외하고 상술된 실시예와 동일하다. 이중 하나는 라이센스가 상기 Rights 및 contentID를 위하여 증명 데이터를 더 포함하는 것이고, 다른 하나는 이러한 증명 데이터에 의해 사용자 신원 디바이스가 수신된 데이터가 함부로 고칠 수 없는 것임을 증명할 수 있는 것이다. 이러한 제 2 실시예에서, 액세스하는 디바이스(140)는 라이센스로부터 스마트카드(110)로 H(Right) 및 H(contentID)와 함께 함수 PP[PSM//Right/contentID]를 전송하며, 스마트카드는 항 PP[PSM//Right/contentID]에서 값을 해독하고, 단방향 해쉬함수 H()를 갖는 Right 및 contentID의 해독값을 H(contentID)' 및 H(Right)'로 암호화 하며, H(contentID)' 및 H(Right)'가 각기 수신된 H(Right) 및 H(contentID)와 동일함을 증명하고, 값(123)인 SYM, Right 및 contentID(13) 값(123)인 SYM, Right 및 contentID를 액세스하는 디바이스(140)에 다시 전송한다. 증명은 함수 PP[SYM//Right/contentID]내에 값을 보장한다. In the second embodiment, this embodiment is the same as the above-described embodiment except for a few steps. One of which is that the license further includes attestation data for the Rights and contentID, and the other is that the user identity device can prove that the data received by the user identification device cannot be tampered with. In this second embodiment, the accessing
DRM 시스템의 보안 요구조건에 대하여, 해소방식은 여전히 SC의 익명에 의해 사용자의 프라이버시를 보호하는 콘텐츠 액세스의 트랜잭션시 스마트카드와 액세스하는 디바이스 사이에 강제적인 컴플라이언스 체킹을 제안한다. With respect to the security requirements of the DRM system, the resolution scheme still suggests compulsory compliance checking between the smart card and the accessing device in the transaction of content access, which protects the user's privacy by anonymity of the SC.
본 발명의 배경이 되는 사상은 정보 배포 시스템이 사용자가 누구 인지를 추적할 수 없는 방식으로 사용자가 스마트카드를 획득한다는 점이다. 이는 예들 들면, 사용자가 동일하게 "보이는"카드 더미로부터 그의 스마트카드를 뽑도록 함으로써 달성될 수 있다. 일실시예에서, 각 스마트카드는 카드 내에 서로 다른 비밀 공인/사설키 쌍인 PP/PK 및 세팅되지 않는 PIN을 갖는다(일반적으로, 모든 PIN은 초기에 0000으로 세팅된다). SCI는 사용자 또는 그 밖에 다른 사람이 처음으로 카드와 서로 대화할 때까지 이 특정 카드의 공인키가 임의 당사자에게 누설되지 않으며, PIN 세트도 아님을 보증한다. 따라서, 제 1 상호 반응하는 당사자로서, 사용자는 공인키를 알 수 있어, 따라서 실제 사용자와 공공의 익명 사이의 관계를 알게 되는 유일한 개체가 된다. 또한, 사용자는 이 카드를 활성화하기 위해 사용된 PIN을 세팅하는 사람이 된다. The idea behind the present invention is that a user acquires a smart card in such a way that the information distribution system cannot track who the user is. This can be accomplished, for example, by having the user pull out his smartcard from the same "visible" card pile. In one embodiment, each smart card has a different secret public / private key pair PP / PK and an unset PIN in the card (generally, all PINs are initially set to 0000). SCI ensures that the public key of this particular card is not leaked to any party and is not a set of PINs until the user or someone else interacts with the card for the first time. Thus, as the first mutually responsive party, the user may know the public key, thus becoming the only entity that knows the relationship between the real user and the public anonymous. The user also becomes the person who sets the PIN used to activate this card.
시스템의 다른 일부에 알려지는 것에 대한 간략한 개요가 아래에 기술된다. A brief overview of what is known to other parts of the system is described below.
- 스마트카드의 발행자는 사용자의 신원 및 콘텐츠/권리의 어떠한 관계도 알지 못하고, CP(콘텐츠 제공자)는 공인키(PP;112) 및 콘텐츠, 권리 및 SYM 사이의 관계를 안다. The issuer of the smart card does not know any relationship between the identity of the user and the content / rights, and the CP (content provider) knows the relationship between the public key (PP) 112 and the content, rights and SYM.
- CA-SC는 공인키(PP;112) 및 임시키(RAN;131) 사이의 관계를 안다.The CA-SC knows the relationship between the public key (PP) 112 and the temporary key (RAN) 131.
- 액세스하는 디바이스(140)는 임시 익명(RAN;131) 및 콘텐츠, 권리 및 SYM 사이의 관계를 안다. The accessing
그러므로, 콘텐츠 제공자(CP;120), CA-SC(130) 및 액세스하는 디바이스(140)의 충돌에 의해서조차, 사용자의 실제 신원은 누설되지 않게 된다. 왜냐하면, 단지 사용자만이 사용자의 실제 신원 및 공인키(PP;112) 사이의 관계를 알기 때문이다. 더욱이, 만일 공격자가 액세스하는 디바이스(140)로부터 관련된 정보를 획득할 수 있다면, 콘텐츠 액세스 트랜잭션이 발생한 후, 사용자의 실제 신원과 임시 익명 사이의 관계뿐만 아니라, 사용자의 실제 신원과 콘텐츠, Rights 및 SYM 각각의 사이에서의 관계가 공격자에게 알려지게 된다. 그러나, 임시 익명(RAN;131)이 정기적으로 변경되고 콘텐츠의 단지 한 부분만이 사용자의 실제 신원과 관련되므로, 프라이버시 손상은 최소가 된다. 공격자가 액세스하는 디바이스로부터 사용자의 공인키(PP;112)를 알 수 없으므로, 공격자는 콘텐츠의 사용자 소유권의 완전한 로그와 콘텐츠 사용의 패턴을 생성할 수 없다. Therefore, even by the collision of the content provider (CP) 120, the CA-
결과적으로, 상술된 바와 같이, 본 발명은 시스템에서 개별 당사자 아무도 사용자의 실제 신원을 개별적으로 또는 함께 알 수 없는 방식으로, 콘텐츠와 권리의 익명성 구매뿐만 아니라 콘텐츠에 대한 익명성 액세스 및 체킹권리를 제공한다. 이러한 응용을 위하여, 특히 첨부된 청구범위에 관해, 용어"포함하는"은 다른 구성 요소 또는 단계를 배제하지 않으며, 단수 구성요소는 복수 구성요소를 배제하지 않으며, 단일 프로세서 또는 유닛은 수개 수단의 기능을 수행할 수 있으며, 수단의 적어도 일부는 하드웨어 또는 소프트웨어로 구현될 수 있으며, 이것은 본질적으로 당업자라면 명백함을 주목해야 한다. As a result, as described above, the present invention provides anonymity access and checking rights to content as well as anonymity purchases of content and rights in such a way that no individual party in the system knows the user's actual identity individually or together. to provide. For this application, in particular with respect to the appended claims, the term "comprising" does not exclude other components or steps, singular components do not exclude multiple components, and a single processor or unit is a function of several means. It should be noted that at least some of the means may be implemented in hardware or software, which will be apparent to those of ordinary skill in the art.
전술한 바와 같이, 본 발명은 사용자가 디지털 정보를 요청할 수 있는 정보 배포 시스템에 관한 것으로, 사용자 정보를 보호하는 정보 배포 시스템에 이용 가능하다. As described above, the present invention relates to an information distribution system in which a user can request digital information, and can be used for an information distribution system that protects user information.
Claims (26)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020067024926A KR20070023710A (en) | 2004-05-28 | 2005-05-24 | Privacy-preserving information distributing system |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP04102378.9 | 2004-05-28 | ||
KR1020067024926A KR20070023710A (en) | 2004-05-28 | 2005-05-24 | Privacy-preserving information distributing system |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20070023710A true KR20070023710A (en) | 2007-02-28 |
Family
ID=43654940
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020067024926A KR20070023710A (en) | 2004-05-28 | 2005-05-24 | Privacy-preserving information distributing system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20070023710A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114900313A (en) * | 2022-04-18 | 2022-08-12 | 中国科学院大学 | Anonymous work certificate generation and verification method capable of protecting privacy |
-
2005
- 2005-05-24 KR KR1020067024926A patent/KR20070023710A/en not_active Application Discontinuation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114900313A (en) * | 2022-04-18 | 2022-08-12 | 中国科学院大学 | Anonymous work certificate generation and verification method capable of protecting privacy |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20090193249A1 (en) | Privacy-preserving information distribution system | |
US20180359092A1 (en) | Method for managing a trusted identity | |
US20080209575A1 (en) | License Management in a Privacy Preserving Information Distribution System | |
US8843415B2 (en) | Secure software service systems and methods | |
JP4274421B2 (en) | Pseudo-anonymous user and group authentication method and system on a network | |
CA2551113C (en) | Authentication system for networked computer applications | |
EP1253741B1 (en) | Method and system for generation and management of secret key of public key cryptosystem | |
EP2143028B1 (en) | Secure pin management | |
CN1689297B (en) | Method of preventing unauthorized distribution and use of electronic keys using a key seed | |
US6934838B1 (en) | Method and apparatus for a service provider to provide secure services to a user | |
US7526652B2 (en) | Secure PIN management | |
KR20080058833A (en) | Apparatus and method for personal information protect | |
CN109361668A (en) | A kind of data trusted transmission method | |
CN106537432A (en) | Method and device for securing access to wallets in which cryptocurrencies are stored | |
RU2584500C2 (en) | Cryptographic authentication and identification method with real-time encryption | |
JP2005328574A (en) | Cryptographic system and method with key escrow feature | |
KR100502580B1 (en) | Method for distrubution of copyright protected digital contents | |
WO2004084050A1 (en) | User identity privacy in authorization certificates | |
KR101923943B1 (en) | System and method for remitting crypto currency with enhanced security | |
TW200427284A (en) | Personal authentication device and system and method thereof | |
JP2003338816A (en) | Service providing system for verifying personal information | |
Yee et al. | Ensuring privacy for e-health services | |
JP2008502045A5 (en) | ||
WO2021073383A1 (en) | User registration method, user login method and corresponding device | |
KR102475434B1 (en) | Security method and system for crypto currency |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Withdrawal due to no request for examination |