CN1568475A - 有关用户档案接入控制的系统及一种方法 - Google Patents
有关用户档案接入控制的系统及一种方法 Download PDFInfo
- Publication number
- CN1568475A CN1568475A CNA028201337A CN02820133A CN1568475A CN 1568475 A CN1568475 A CN 1568475A CN A028201337 A CNA028201337 A CN A028201337A CN 02820133 A CN02820133 A CN 02820133A CN 1568475 A CN1568475 A CN 1568475A
- Authority
- CN
- China
- Prior art keywords
- request
- information
- application
- access means
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/10015—Access to distributed or replicated servers, e.g. using brokers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1038—Load balancing arrangements to avoid a single path through a load balancer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Lock And Its Accessories (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
在包含服务/信息/内容提供者或存储最终用户个人档案数据的存储装置(DB)及/或与之通信的的应用之间提供通信的数据通信系统中,一种最终用户控制最终用户个人档案数据的分发以及维护的系统。该系统包括个人档案保护网络,带有至少一个中心保护服务器装置以及多个诸如软件模块这样的分布式访问装置,中心保护服务器装置包括存储个人保护档案信息的信息存储装置或者可与之通信。为所述的每个应用至少提供了一个访问装置,而且中心保护服务器通过与请求应用及/或与信息提供应用通信,来决定同意还是拒绝请求应用对最终用户个人档案数据的访问请求。提供了转换装置用于标识转换,而且请求应用的标识对于信息提供应用来说是隐藏的,反之亦然。
Description
发明领域
本发明涉及一种系统,在包括或与存储最终用户个人档案数据的服务/信息/内容提供者通信的应用之间提供通信的数据通信系统中,允许最终用户控制最终用户个人档案数据(即个人档案中的数据)的分发以及维护。本发明也涉及一种方法,在运行多个应用、包括或与信息/内容/服务提供者通信的数据通信系统中,控制对个人最终用户档案中的个人档案数据的访问。该数据通信系统可以被第三方控制,也可以不被第三方控制。
本发明还涉及一种个人档案数据控制网络,用于控制对个人档案数据的访问。
现有技术
在现在的信息社会中,最终用户的个人档案数据会越来越多地分散到各个不同的地方,例如存在互联网上,而且随着全球数据通信网的快速发展,使通过固定和无线应用分发数据成为可能。数据也会分散到比现在更加广泛的领域,例如,不只限于从一些公司分散到另外一些公司。对保护隐私装置的需求因此就增加了。对于个人最终用户来说,至关重要的是确保他的个人数据不会无控制地在最终用户、公司等之间分发。随着通过诸如互联网可以提供给最终用户的诸如服务数量的增加,人们越来越关注服务及信息提供者能够获得用户的详细信息。这可能会与最终用户的隐私问题产生冲突,当然也可能会很吸引最终用户,因为他们可以利用个人信息的传播,并且藉此得到其它有用或所需的信息,等等。
就统计而言其引人之处在于,例如公司可以得到信息以便熟悉服务、产品需求等。现在的最终用户可能会将不同类型的个人档案数据存储在不同的地方,其中包括该用户的各种不同信息,例如姓名、地址、特殊习惯、业余爱好、账号、财务状况等。因此,对于服务/内容提供者来说至关重要的是了解现有以及潜在客户的特征以便考虑有针对性的广告等等,同时对最终用户来说至关重要的是能够保护个人档案数据。
可见在不同的利益之间存在固有的冲突。因此在越来越多的国家之间,例如在欧共体内部,已经制定了法律和法规限制隐私信息的访问。这些法律和法规通常因国家而异,但是一般来说它们的共同之处是消费者或者最终用户应该能够控制他或她的档案,包括发放的条件。
针对作为某种安全措施保护用户个人档案数据或者用做档案库的系统,已经提出了很多解决方案。通过一种代码替换诸如移动电话号码这样的用户标识,可以在整个网络上存储与用户标识无关联的档案。这种用户档案库或存储装置可以设置在网络的不同节点中。图1说明了一个例子,在门户和广告节点之间提供了一个档案存储装置。在图1中,个人档案应该已经传递到了广告节点,其中移动电话号码(MSISDN)形式的用户标识用一种与电话号码完全无关的代码替换。随后的过程是门户用诸如电话号码来请求用户广告,1.档案存储装置则将请求转发到广告节点,其中的移动电话号码被转换成相应的代码,2.广告节点随后将广告返回到个人档案存储装置,3.档案存储装置随后将广告返回门户,4.例如,已经知道有带RepectTM商标的这样的系统,这是一种能够进行隐私控制、标识管理以及在线交易即时个人化的电子商务系统。档案存储装置则由RespectTM服务器代表,实际上是一个处于移动互联网提供端的虚拟基础设施。
但是,上述这类系统存在几个问题。一个主要问题是档案保护装置的处理能力。通常可以处理的用户数是有限的,导致实时应用会出现严重问题。参考上面给出的例子,当最终用户实际访问一个特定主页、或获取一项特定服务时,必须提供广告,而且很多操作是要保证时间的。确保时间在无线环境中特别重要。
另一个问题涉及处理来自几个请求节点以及来自几个信息存储节点的流时缺乏一般性。另一个不能用一般方法处理的问题与之非常有关,而且它涉及允许哪些节点从其它节点请求数据的问题。例如广告节点已知的代码与门户已知的电话号码之间的映射实际上是在档案存储装置、也称为档案库中进行的。例如,请求门户向档案库询问相应的代码、然后请求这个代码的广告是不能接受的,因为这样电话号码和代码就同时可见了。
发明概述
为了解决这些以及其它的问题,需要一种系统,通过它最终用户可以控制个人档案中哪些信息可以被其它人通过诸如应用等来访问,也就是能够在保护他们的隐私信息的同时,实际上通过自动的方式有机会/有可能利用允许其它人访问而得到特定最终用户所关心的信息等,并且不必显式地请求这些信息。
发明的另一个目的是提供一种系统,使大量不同的信息应用以及服务授予者或服务/内容/信息提供者之间可以互联,同时保护隐私并保证动态信息路由选择。另一个目的也是提供一种系统,通过它应用可以连接到恰当的信息/服务/内容提供者或者信息存储器,而且这些应用不必知道实际的信息存储器或信息提供者的地址。另一个目的也是提供一种系统,有助于应用在网络内找到所需的信息,同时仍然及时地考虑到隐私要求及限制。
此外的一个目的是尽可能地简化到应用的连接,并且对于不同类型的提供者、最终用户等不需要不同的接口解决方案。另一个目的是找到一种解决方案可以对隐私或个人信息加锁/解锁,特别是对于快速而且简便的方式,此外要提供在个人档案的数据保护方面能够高度可升级的系统。
还有一个目的是在固定以及移动数据通信网络中提供隐私或个人信息的简便而灵活的控制,这样的网络诸如互联网、移动互联网或专用基于IP的广域网,并且在设备和网络方面允许高度的可升级性,也能够支持网络级上的负载共享和冗余解决方案。
发明的一个主要目的是允许匿名IP寻址以及匿名信息提供。其它目的则是关于提供简便的操作以及维护,同时要考虑隐私保护设施,并且在隐私保护方面尽可能地减少管理需求。另一个目的是建议一种解决方案,可以在最终用户方面以及经营者和应用提供者方面允许、优化并促进个人信息的保护。特别是需要这样一种解决方案,通过它也可以考虑与非连续协议或应用编程接口(“ApplicationProgramming Interface”API)关联的问题,例如HTTP(“HypertextTransfer Protocol”超文本传输协议),对照的例子是使用SMTP(“Simple Mail Transfer Protocol”简单邮件传输协议)类连续协议的电子邮件服务。
此外发明的一个目的是提供一种解决方案,使最终用户可以很容易地在例如不同公司之间控制个人信息的流动,并且使诸如公司或者处理个人、隐私信息的应用提供者可以满足尊重隐私法律和法规的要求,同时能够基于诸如位置数据这样的个人信息提供服务。另一个目的是使例如应用提供者能够以数字方式直接地得到最终用户(间接地)的允许,以便使用所请求的信息。
同样也分别需要一个个人档案数据控制网络以及方法,控制个人最终用户档案内个人数据的访问,通过它们可以满足上述这些目的。
因此提供了一个最初提到的系统,包括个人档案数据保护网络,带有至少一个中心保护服务器装置,包括或者与诸如数据库之类的信息存储装置通信、存储个人保护档案信息,并且带有多个分布式访问装置,例如包括一些软件模块。对每个所述的应用至少提供一个访问装置,允许/拒绝请求应用对档案内最终用户个人档案数据的访问请求,是通过中心保护服务器与请求应用及/或信息提供应用通信、或者更具体地与其中相应的访问装置通信来决定的。提供了包括诸如加密设备的转换装置,用于标识转换和验证,而且请求应用的标识对信息提供应用来说是隐藏的,反之亦然。举例而言,这就意味着应用提供者不知道所请求的那段信息存于何处,而且这种个人档案数据控制网络或者隐私信息网络的经营者也不必在应用提供者或信息提供者以及请求者之间暴露这些地址。具体而言每个应用有一个访问装置。也可以有多个或一组访问装置,用于至少一个应用或所有应用,例如为了冗余的原因及/或在应用处保证负载共享。
一个站点的服务器装置、具体而言是与之关联的档案保护存储装置,也可以是冗余的。
可以在一个站点提供冗余的服务器装置(服务器及/或档案存储装置),也可以分布式地提供。
具体地,中心服务器装置只包括个人档案保护数据。这就意味着它并不包含任何个人档案数据本身,这些数据是分散在系统中的。对系统的每个最终用户而言,个人档案保护数据包括如下有关信息:最终用户个人档案内的哪些个人数据可以被哪些应用访问,以及/或反之亦然,哪些数据不应该被访问等。在一个具体实现中,为个人保护档案指定了给定的多个安全级别中的一个,例如最低级别表示所有个人档案数据对每个应用来说都是不能访问的,而例如最高级别表示所有个人档案数据都可以自由提供,具体来说就是适当考虑了可适用的法律和法规之后。当然表示哪些数据可以被哪些人等等访问可以有很多替代的方式,主要问题在于它是最终用户能够控制的而且很容易地被最终用户本人设置并可升级,这样最终用户就能够用不复杂的方式控制谁能访问哪些个人数据。
具体而言每个应用以及属于它的相应的访问装置是通过一个接口互连的,这种接口是基于通用标记语言的应用编程接口(API)。在大多数较好的具体实现中,通用标记语言是XML(“Extension MarkupLanguage”扩展标记语言)。
在优选的具体实现中,对所请求的最终用户个人档案数据、也就是最终用户个人档案中的数据的访问是由与请求应用通信的中心服务器授权/拒绝的。在替代的具体实现中,对所请求的最终用户个人档案数据的访问是由与信息提供应用通信的中心服务器授权/拒绝的。在另一种具体实现中,例如在请求应用的访问装置不受信任情况下,对所请求数据的访问可以由与请求应用和信息提供应用共同通信的中心服务器装置授权/拒绝。但是在某种程度上这样做还不够,因为需要附加的加密/解密步骤,而且附加的传输也是必需的。在一个具体实现中(第一),用户标识转换装置或加密装置也可以在至少一个中央服务器装置中提供。其它的(第二)标识转换装置也可以在请求应用及/或信息提供应用的访问装置中提供。根据最优选的实施例,其中只有请求应用的访问装置与中心服务器装置通信,请求的首次验证是在请求应用的访问装置中进行的。但是,进一步的验证也可以在信息提供应用的访问装置与作为请求对象的信息所存储的数据库通信时进行。
根据本发明,具体而言,系统对请求信息应用提供的每项服务都被指定了一个唯一的DTD(“Document Type Definition”文件类型定义)。可以认为,通过定义允许哪些数据在——诸如请求方和提供方——之间传递,DTD包括控制两方通信的规则以及要传递的有关数据。
每个信息提供应用在“通用DTD”上与中心服务器装置达成一致。它将包括信息提供方会发出的最大数目的数据域。
特定的最终用户可以通过与中心服务器装置交互而产生用户特定的DTDs,并藉此减少与他们的IDs有关数据的发放。此外,中心服务器装置对信息请求应用提供“通用DTDs”,用于在任何最终用户规定的减缩数据发放之前,描述可以提供何种特定服务。
在大多数优选的具体实现中,对最终用户档案数据的访问请求利用RMI(“Remote Method Invocation”远程方法调用)从请求应用传递到它的访问装置,藉此请求可以作为标记了有关所请求的最终用户个人档案数据的信息的XML传输对象(在XML节点树容器中)来传递。访问装置和应用之间的信息也可以作为XML串发送。或者可以使用例如CORBA或SOAP代替RMI。对于请求/信息提供应用的访问装置与中心服务器装置之间的通信,具体地可以使用HTTPS协议(安全超文本传输协议)。或者也可以使用XML、SOAP、CORBATM等。
在优选具体实现中,请求是由请求应用的访问装置(用访问装置的密钥)以及/或信息提供应用的访问装置(它的密钥)做数字签名的。优选地,也可以由中心服务器装置使用它的密钥来签名。在最优选的具体实现中,当被传送到中心服务器之后,与最终用户规定的DTD对应的请求由信息提供应用的访问装置来验证。在可替代的具体实现中,是由信息请求应用的访问装置来验证的。(验证请求的优选位置与商业环境有关。例如,如果信息提供应用要求对与访问装置的通信付费,那么信息请求应用可能就会优选在与信息提供方通信之前验证请求。此外,强调在信息提供应用的访问装置中验证的一个原因是可以消除属于信息请求应用的“黑客”访问装置非法释放数据而带来的危险。)
访问装置(以及中心服务器装置)的数字签名是可选的,例如,如果信息的通信或交换是在一个而且是同一个经营者所控制的网络内进行的,那么安全性就已经足够了,或者如果数据根本不需要保护。数字签名程序是受中心服务器装置控制的,这样最终用户就可以控制在多大范围内以及在何处实施数字签名。
具体而言,中心服务器装置对信息提供应用所用请求信息的用户标识加密。在其它的优选具体实现中,附加地/替代地对请求应用所用的用户标识加密。
在较好的具体实现中,系统包括与每个应用分别关联的高速缓存,暂时存储与访问请求有关的信息,这样至少在一段给定的时间内可以复用以前所用的会话。应该清楚的是每个访问装置都与一个数据库或类似的东西关联,具体而言,例如存储通用DTD信息和地址信息的专有数据库。信息提供应用通常不存储信息,而是从信息存储器中选取,这样的存储器例如服务/内容/信息提供者或一个数据库。
为了解决前面提到的一个或多个问题,本发明也建议了一种能够控制对个人档案数据访问的个人档案数据访问控制网络。该网络包括至少一个中心保护服务器装置,该装置包括存储个人保护档案信息的信息存储装置或者与之通信,该网络也包括多个诸如软件模块这样的分布式访问装置,至少一个访问装置与多个应用中的每一个分别接口。中心保护服务器装置包括标识转换及验证装置。请求应用对个人档案数据的访问请求被传递到请求应用的访问装置,并由与请求应用及/或所确定的信息提供应用的访问装置通信的中心服务器装置允许/拒绝该访问请求。请求应用的标识对信息提供应用来说是隐藏的,反之亦然。应用以及相应的访问装置之间的接口基于通用标记语言,最好是XML。具体而言,与中心服务器装置有关的信息存储装置包含向该系统注册的每个最终用户的个人保护档案,而且个人保护文件是受最终用户控制的。优选地,中心服务器装置以及请求/信息提供应用的访问装置用它们各自的密钥对个人档案数据请求进行数字签名,而且该数字签名要受中心服务器装置和访问装置的控制逻辑分别利用各自对应的公开密钥进行确认。
本发明也建议了一种方法,在运行多个应用并包括信息/内容/服务提供者或与之通信的数据通信网中,对个人最终用户档案中的个人数据进行访问控制。所发明的方法包括如下步骤:从请求应用使用诸如XML这样的通用标记语言向请求应用所关联的访问装置提供访问请求;将请求从所述的访问装置转发到中心服务器装置,中心服务器装置带有存储系统最终用户的个人保护档案的信息存储装置;进行用户标识转换/加密,以便对信息提供应用隐藏请求应用的用户标识,反之亦然;利用请求以及个人保护档案,确定允许还是拒绝访问;如果允许访问所请求的个人档案数据:则向访问装置确认允许访问;验证发往中心服务器装置的请求响应;向信息提供应用的访问装置发送转换的(加密的)、优选是数字签名的请求。
请求应用的请求具体地涉及对个人档案中的数据获取访问权(从中得到数据或者设置数据),而且该方法也可以具体地包括如下步骤:使用第三方控制的数据通信网、例如互联网或另一个基于IP的网络,在请求应用和信息提供应用之间通信,特别是使用例如HTTPS协议。
优选地,该方法包括如下步骤:在请求应用的访问装置中,对请求进行数字签名,然后发送到中心服务器装置;在中心服务器装置中,对信息提供应用所用的用户标识进行加密,在中心服务器装置中对请求签名;在请求应用的访问装置中验证对请求的响应;在访问装置中对请求进行数字签名;在信息提供应用的访问装置中对信息提供应用所用的用户标识解密,并且对请求进行数字签名,将请求传递到信息提供应用;访问所请求的数据并在信息提供应用中对响应签名;如果所请求数据存在的话,将其发送到信息提供应用的访问装置;对请求的信息数字签名;使用诸如HTTPS,将允许访问的信息通过第三方控制的数据通信网发送到请求应用的访问装置;在请求应用中对信息消息数字签名;将所请求的信息数据发送到请求应用(例如使用RMI)。如果要在个人档案中设置数据,则是将请求的响应返回到请求应用。
附图的简要描述
下面将更全面地、用非限定的方式、并参考所附的图描述本发明,其中:
图1是描述现有技术系统的示意性框图,
图2非常示意性地说明了与应用、提供者等通信的个人档案数据保护网络,
图3是根据本发明最终用户可以保护个人档案数据的系统示意图,
图4示意性地说明图3系统的一个特定具体实现,
图5示意性地说明实现高速缓存功能的另一个实施例,
图6示意性地说明根据本发明系统的另一个替代具体实现,
图7是一个流程图,描述通过请求应用请求个人档案中数据的概念的一种具体实现,
图8是一个简化的流程图,说明如图5所描述的带有高速缓存的一个具体实现,
图9的流程图说明一个具体实施例,借助它用户标识不会被请求应用识别,
图10描述用户标识不会被请求应用识别的另一个具体实现的流程图,
图11是示意性地说明更新分布式访问装置的中心服务器装置的流程图,
图12则是描述中心服务器装置中最终用户设置个人保护档案的流程图。
发明的详细描述
图1示意性表示的现有技术解决方案已经在本申请前面“现有技术”一节中讨论过了,因此不再进一步地描述。
图2示意性地说明个人档案保护网络或隐私信息网络。根据本发明,不同的信息应用可以与多个包括隐私保护和动态信息路由选择的服务/信息/内容提供者连接。通过个人档案保护网络应用,应用、信息提供者、服务提供者、内容提供者以及其它隐私信息网络可以互连起来,使利用任何恰当的方式将请求应用与信息提供应用或提供者连接起来、而应用之间又不必知道彼此地址成为可能。较大的个人档案保护网络可以建在例如互联网、移动互联网或任何专用的基于IP的WAN(广域网)上。
图3表示根据本发明的系统的一个例子。
该系统包括带有访问装置A11的应用A10、以及带有访问装置B21是应用B20。每个访问装置11、21都与数据库DBA 12和DBB 22分别通信。访问装置11、21构成个人档案数据保护网络的一部分,并与包括中心服务器31的中心服务器装置30以及存储个人保护档案信息的数据库32通信。
与应用接口的访问装置包括单个、或两个、或多个访问装置,甚至一组访问装置,例如可以根据应用一侧的冗余度以及负载共享的要求而确定。
中心服务器装置处理或控制信息的路由选择以及个人档案的数据加锁/解锁。当然个人档案数据控制网络可以包括一个以上的中心服务器装置以及若干(单个或多个)访问装置,但是为了清楚起见,图中只画出了一个中心服务器装置和两个访问装置,每个应用一个。为了实现冗余,作为替代的方式、或者也可以在一个站点或多个站点有一个以上的中心服务器。一个中心服务器也可以关联至少两个同样的信息存储装置。
这里假定应用A10是请求应用,此时与最终用户EU 1通信,而且举例来说,它可以请求访问处于网络内任意地方的个人档案数据,其目的或者是获取数据,或者是在个人档案中设置新数据。数据的获取和设置(“pull and push”拉及推)是本发明概念范围之内的,而且其功能性基本上是类似的。
这里又认为应用B20是在信息存储数据库23中寻找数据的信息提供应用。
在访问装置11、21的数据库12、22中包含的信息有关哪个中心服务器处理信息请求和信息提供应用之间通信所需的DTDs,而且数据库12、22也包含该(恰当的)中心服务器装置的地址,例如基于IP号码的URL:s(“Uniform Resource Locator”一致资源定位器)。
访问装置A11不知道向哪里发送从应用A10接收的请求。访问装置A11通过基于API(“Application Programming Interface”应用编程接口)的XML对象与应用A10接口。优选地每个应用都使用RMI(“Remote Method Invocation”远程方法调用)与各自的访问装置通信。访问装置和中心服务器装置之间的通信使用诸如HTTPS。属于不同应用的访问装置也使用HTTPS通信,例如通过互联网或另一个基于IP的通信网。
这张图没有详细表示通信是如何实现的,但是它说明了可以用不同方式使用的通用系统。然而在一个具体实现中,(也参考图4),应用A10使用XML对象或文本向它的访问装置发送个人档案数据请求。访问装置11不知道怎样处理该请求,于是询问它的数据库DBA12,以便找到应该向哪个中心服务器装置转发该请求。通过HTTPS,请求被转发到中心服务器31,后者使用包含个人保护档案的数据库32确定是否应该允许或不允许该访问请求,也就是说特定的请求应用是否可以访问该数据。
将访问拒绝或允许的指示返回访问装置A11,在允许情况下,A11使用HTTPS与访问装置B21通信,B21随后验证该请求,如果验证成功,就请求应用B20访问该数据,B20则随后访问信息存储器23中的数据。然后通过应用B20的访问装置B21将信息通过连接访问装置A11的互联网返回应用A10。在访问装置B21中,可以对应用B20返回的数据进行操作或修改。
也可以唯一地通过访问装置B21完成与中心服务器装置的通信。应该明确的是,可以用类似的方式使用每个访问装置,而不用考虑所接口的应用是作为信息请求应用还是作为信息提供应用。
所使用的基于API的XML对象可以在不需要协议转换的条件下很容易地接口,这是基于信息级的通信,不会暴露参与单元之间的实现细节。对于每个所需要的新信息服务类型,只需要该信息必需传递的新DTD即可,这样就提供了一种实现信息产品之间集成的标准方式,因此不同应用不必对所传递的不同类型或格式的信息实施新的API,只需改变或替换DTD即可。
根据本发明的系统的基本特征是,个人信息的访问权限是由中心位置即中心服务器装置处的最终用户管理的,而个人档案数据、即诸如此类的信息则是分布在通信系统或通信网中的不同来源。因此一个原因是将所有个人信息保存在一个而且是同一个位置并不十分可靠。另一个原因是个人数据可能是高度动态的,例如一个用户在移动网中的位置。另一个例子与用户支票账号的余额有关,它可能是变化很快的。
它也有利于最终用户在存在大量信息请求者和大量信息提供者的环境中保护个人数据,因此已经发现向最终用户提供中心设施,使他们能够在那里进行加锁/解锁,也就是针对不同提供者和不同信息请求者定制访问权限是非常有利的。
根据本发明,信息请求应用并不知道信息提供应用或者信息存储装置的标识,反之亦然。从信息存储侧向信息请求侧发送个人档案数据的唯一方式是转换标识,优选地在中心服务器中进行。这就意味着,如果不通过用户控制的中心服务器装置,来自不同位置的个人信息之间就没有关联。将个人档案数据或信息分散到不同位置或者在相同位置但并不关联而且带有不同的用户标识,其结果就是想探究最终用户的隐私是不可能的。中心服务器装置只保存哪些个人数据分别加锁和不加锁的信息,并不“拥有”实际的信息。
参考图4,下面更全面地描述一个有利的具体实现。假定信息请求应用101需要从信息提供应用201拉(获取)信息,但它并不知道向哪里找这些信息。在这个具体实现中,假设与中心服务器装置的通信是由与请求应用101接口的访问装置111提供的。
这种具体实现的好处是,可以从专用网络、也就是中心服务器装置301得到有关所请求的处理的快速初步的响应,甚至不需要信息提供应用201的访问装置211(或信息提供应用本身)的参与。因此与提供侧过早地卷入相比,大大降低了从信息提供一侧的访问装置211拒绝处理而带来的负担。
因此,当信息请求应用101需要在信息提供者或存储者那里设置信息或获取信息时,请求应用101就向“它的”访问装置111发出请求。请求应用并不知道信息提供者的地址。进一步假设访问装置111保存了公开密钥和专用密钥。一个节点的专用密钥PKI(“Private KeyInfrastructure”专用密钥基础设施)可以(例如)作为密钥对象(例如安全对象文件)存储。
在一个特别具体的实现中,请求是通过RMI发送的,而且优选地包括:
—与请求关联并由请求应用使用的用户标识(ID),
—DTD ID(等效于服务ID),
—处理ID,
—请求应用的ID,
—网关ID,
—XML节点树容器。
XML节点树容器包含了一个XML节点树,标记了请求应用需要获取哪些信息或者需要向哪些个人数据域设置数据、更新数据等。
所标记的XML节点树可以,例如按照XML节点树据形式描述。
XML节点树容器是为了在请求应用和它的访问装置111之间传递XML节点树的对象。I表示从请求应用101到访问装置111的请求。访问装置111找到通用DTD——即还没有为传递个人数据而改为适合特定最终用户首选项的DTD,找到通用XSLT文件、中心服务器装置的公开密钥、DNS(“Domain Name Server”域名服务器)名称以及IP地址(基于URLs的一个或多个IP号码,按照以DTD ID的主中心服务器装置开始的顺序,因为有可能会存在一个以上的中心服务器装置)。
在一个具体实现中,如果在数据库(DB-A12)中用一个特定的中心服务器装置公开密钥规定了一个特定的中心服务器装置ID,那么可以选择寻找这个ID。当中心服务器装置不是公开密钥相同的一组中的一个、而是使用相同域名的一组中的一个时可以使用这种方式。
访问装置111从有关的数据库121中得到中心服务器装置ID有关的信息、DTD信息等。
然后请求应用101的访问装置111将请求(II)发送到中心服务器装置301,以便找到这个特定服务的特殊DTD以及最终用户ID。
具体地使用HTTPS,而且请求具体地包括:
—请求应用访问装置111的标识,
—请求应用访问装置用其专用密钥做的数字签名,
—请求应用101所用的最终用户ID,
—DTD ID(等效于服务ID),
—处理ID,
—网关ID,
—请求应用ID。
等待并预计将从中心服务器装置301获得响应。在等待响应的同时,请求应用访问装置111可选地用DTD ID(服务ID)的通用DTD验证XML节点树。
这样构成了一次基本确认,从服务器启动并运行开始,第一次使用DTD ID时进行,以便限制请求应用访问装置111的负荷。
中心服务器311包括控制逻辑,鉴别带有访问装置标识、IP地址(可选的)以及数字签名的请求是否与访问装置111的公开密钥一致。请求应用用户ID以及DTD ID则被映射为信息提供应用用户ID。应该注意的是,请求应用使用的用户标识可以、或者通常与信息提供应用所用的用户标识不同。此外,应用所用的用户标识不是应用的标识。
使用信息提供应用访问装置211的公开密钥,用日期/时间对信息提供应用201用户ID加密,使之只能被信息提供应用访问装置213读出并理解。每次请求应用101的访问装置111进行请求时。加密模式应该都不相同。中心服务器311从存储保护档案信息的数据库321中得到最终用户特定DTD的数字签名,用中心服务器装置311的专用密钥签名。为了得到较好的性能,DTDs可以事先签名。“带外”信息单元也可以签名。(这里“带外”信息意味着系统级通信层,例如包括访问装置的控制信息。例如,可以在前向上用HTTP POST实现,在反向上用cookie实现。)然后,中心服务器装置311将消息(III)返回请求应用访问装置11,作为“带内”信息其中包含最终用户特定的DTD。(这里的“带内”意味着应用数据通信层的信息,例如XML文件层。)中心服务器装置311也返回“带外”信息,例如:
—最终用户特定DTD的数字签名,
—中心服务器装置“带外”信息的数字签名,
—中心服务器装置的标识,
—加密的最终用户ID、即信息提供应用最终用户ID,
—生存周期,
—不活动时间,
—响应时间,
—信息提供应用201的访问装置211的域名,
—它的IP地址,
—各自的访问装置111、211的公开密钥。
来自请求应用101的处理ID(通过它的访问装置111)、请求应用的用户ID、以及信息提供应用的加密用户ID都将记录在中心服务器装置301内。
在请求应用101的访问装置111中,用公开密钥对中心服务器装置311的数字签名进行鉴权。请求访问装置111将利用通用XSLT文件(那个特定DTD ID的XSLT文件)执行XML节点树到XML传输文件的转换(XSL转换;例如以下文件描述了XSL:1999年11月10日发布的XSL转换(XSLT)1.0版本、W3C建议,以及2000年12月12日发布的XSL转换(XSLT)1.1版本、W3C工作草案,这些文件在这里结合作为参考。)
请求应用访问装置111可选地将所接收的最终用户特定的DTD与XML传输文件进行验证。
然后,对XML-文件签名。如果通过XML属性对某个东西的请求是不被允许的,访问装置之一就向请求应用101返回一个错误消息。
但是,如果验证无误地完成了,请求应用访问装置111就向信息提供应用的访问装置21发送(IV):
—XML传输文件(作为带内信息)以及例如Cookie形式的带外信息,即用访问装置111的专用密钥对XML传输文件的数字签名,
—来自中心服务器装置301的带外信息的数字签名,表示服务器ID,
—加密的最终用户ID(信息提供应用的用户ID),
—生存周期,
—不活动时间,
—响应时间,
—信息提供侧的验证,
—DTD ID,以及
—各个访问装置111、211的公开密钥。
在特别地参考图5讨论的一个具体实现中,各个访问装置都关联了高速缓存器,信息提供侧的会话ID也可以包括进来。但是如果没有会话,会话ID将是零。
这里的请求应用访问装置111使用HTTPS与信息提供侧的访问装置通信(IV)。然后,请求应用访问装置111将最终用户特定的DTD加入XML传输文件中。
如果请求应用访问装置111没有在预定时间间隔内从信息提供应用的访问装置211收到任何响应、没有从中心服务器收到带外信息,那么请求应用访问装置将断开连接(TCP:“Transmission ControlProtocol”传输控制协议)。向信息提供侧的一个而且是同一个访问装置要求响应的尝试失败了预定次数之后,也将清空会话数据。这个过程可能会在向信息提供应用的其它访问装置尝试一次或多次之后再进行,例如以防存在一组、多个访问装置或双访问装置或类似的东西。
当信息提供应用访问装置21收到请求时(IV),它用DTD ID获取:
—中心服务器的公开密钥,
—中心服务器ID和通用DTD,以及
—来自它的数据库221的特定DTD ID的通用XSLT文件。
XML传输文件的请求侧访问装置11i的数据签名与来自带外信息的请求侧访问装置的公开密钥相验证,DTD ID、中心服务器ID以及带外信息中的中心服务器311签名与数据库211验证。XML请求与来自中心服务器311的最终用户特定的DTD相验证。如果请求无效,就将错误消息返回访问装置111。如果请求有效,信息提供侧用户ID就被解密。如果提供侧的会话仍然起作用,或者如带外信息所提供的正在进行之中,那么就不必对信息提供侧的用户ID解码,因为会话仍以解码后的形式活动着。然后将XML文件分解为XML节点树,并在这里通过RMI发送XML节点树容器、生成的处理ID、DTD的ID,从而激活信息提供应用20z。每次服务器启动时,信息提供侧访问装置21i可以将每个新的DTD ID可以与通用DTD相验证。这种通用DTD代表信息提供应用准备放出——或者在“推”的情况下为已经修改的最大数据单元。
对于具体的会话而言,而且在与信息提供应用201的通信中,访问装置211将使用带外参数生存时间(或者不活动时间)(V)。
信息提供应用201则检查应该从XML节点树格式得到或设置什么信息并发送响应(VII)到相应的包含填充了请求信息以及完成状态信息的XML节点树的访问装置21。在从信息存储器23获取信息(VI)之后,XML节点树则从信息提供应用201返回到XML节点树容器中各自的访问装置211。
信息提供应用访问装置211则将从应用201接收的XML节点树转换成带有那个DTD ID的通用XSLT文件的XML传输文件。
然后通过HTTPS发送带有新XML传输返回文件的响应到请求应用101的访问装置111(VIII)。
但是,如果信息提供应用没有响应,也就是说应该能够提供响应的限定时间已经超过,那么对应于来自中心服务器的带外信息,信息提供侧的访问装置211向请求侧的访问装置111发回一个合理的通知。合理的通知或错误消息,或者来自提供侧的访问装置或者来自信息提供应用,应该以带外信息的形式作为cookie发送到请求应用的访问装置,cookie中应带有来自信息提供侧的访问装置的数据。如果是成功的请求,cookie中没有错误消息。
如果请求侧访问装置111断开与信息提供侧访问装置211的TCP连接,那么提供侧访问装置211会以受控的方式断开与信息提供应用201的连接。
请求侧访问装置111收到XML传输文件后,将文件分解为XML节点树。它将带有会话ID和可能的错误信息(如果有的话)的XML节点树容器中的XML节点树返回给请求应用101(1X)。如果如图5所示地提供了高速缓存,那么会话或对象数据可以在所述的高速缓存中存储一段给定的时间,而且带有会话ID的XML节点树容器可以复用于同一会话的随后请求中,只要有关的信息仍然存储在高速缓存之中。
上面已经指出,对于带内信息来说,在各个访问装置之间使用XML文件,DTDs是通过带有SSL(“Socket Secure Layer”套接字安全层)的HTTP从中心服务器装置发送到各个访问装置的。
对于带外信息来说,从各个访问装置到中心服务器装置311优选地使用HTTP(SSL)body,中心服务器装置的带外信息响应优选地使用cookie或一些其它信息域。
在一个特定的具体实现中,来自请求应用、带有提供侧用户ID的所有处理ID:s都记录在请求侧访问装置的日志文件中。优选可以打开或关闭日志。类似地,提供侧访问装置产生的带有提供侧加密用户ID的所有处理ID:s可以记录在提供侧访问装置中。优选地也可以打开或关闭这个日志。
根据本发明的访问装置能够既作为请求侧也作为信息提供侧的访问装置,也就是说,这些访问装置是类似的而且在请求过程和提供过程中起相关的作用。
在一个特定实施例中,所请求的信息可以包括一个或多个二进制附件。
在一个具体实现中,可以可选地包括一个附加密码,该密码与提供侧用户标识一起使用,允许提供这个密码的任何用户进行访问。
图5说明可以高速缓存会话的具体实现。其功能主要类似于参考图4所做的描述。说明请求应用102如何与请求侧访问装置通信,同上所述访问装置从有关的数据库122中获取信息或者访问其中的信息,并访问高速缓存142中的会话信息。信息提供侧的应用202以类似方式与关联于数据库222和高速缓存242的访问装置212通信。该图也表示了中心服务器装置302,即中心服务器312和保护档案存储数据库322。
这里假设请求应用102用非超时会话的方式请求一个用户。因此步骤II、III(参考图4)就可以忽略了,而且提供侧访问装置212连续从信息提供应用202请求信息。在请求一侧,从访问装置112返回的XML节点树容器可以在同一会话的随后请求中复用。由于XML节点树容器包含会话ID,请求侧访问装置112将复用同一会话。返回的XML节点树容器最好也包括状态信息和返回的XML节点树。如果存在一个以上的访问装置,例如出于冗余性考虑,而且应用需要复用以前调用的已有会话数据,那么应用通常必须使用以前调用所用的同一会话ID访问组内的同一访问装置。
参考图6所示的另一个具体实现,其中的信息提供侧通过它的访问装置213处理与中心服务器装置、即中心服务器313的通信。但是这样的具体实现相比上面讨论的实施例,在请求被拒绝情况下,可能会对信息提供侧产生更多的负担。(这里当然也可以实现会话ID的复用。)假定请求应用103向它的访问装置113请求用户信息(I’)。访问装置113用中心服务器313的专用密钥将请求应用所用的用户ID和一个随机数一起加密,以确保只有中心服务器313才能读出。然后请求侧访问装置113用访问装置的专用密钥对用户ID和XML节点树签名,如上面参考图4所讨论的。然后该请求通过互联网(或其他IP网络)、HTTPS被发送到提供侧的访问装置213(II’,III’)。随后在提供侧访问装置213上收到该请求,213对该请求签名并将其发送到中心服务器313(IV’)以便解码。
中心服务器313与存储个人保护档案323的数据库通信,检查各个访问装置的签名并对用户ID解码。查找提供侧用户ID并确定在何种程度上允许所请求的访问,也就是说,根据存储在数据库中的用户个人保护档案确定请求应用可以访问的用户信息。用访问权限更新该请求,例如授权请求(例如,在一定程度上)或者拒绝请求等等,使用HTTPS将响应返回到提供侧访问装置213(V’)。但是这里先假定请求被授权了。
于是提供侧访问装置213向信息提供应用203发出一个查询(VI’),查找中心服务器313授权的信息。在与数据库信息存储器通信(VII’)后,信息提供应用203将信息返回给访问装置213(VIII’)。提供侧访问装置213则使用HTTPS会话将授权的信息返回到请求一侧(IX’,X’)。授权的信息被请求侧访问装置113收到,113将授权的请求应用请求的信息返回(XI’)。除了象例子中那样从数据库或信息存储器233中获取信息,也可以(例如)在DB233中设置数据,运行机制基本上是相同的,但是后者则是将信息提供给“提供”应用而不是向其请求。
图7在某种程度上是个通用的流程图,描述参考图4框图所示过程中的步骤。这里的请求应用被标为A1,信息提供应用被标为B1。
假定带有A1用户ID、XML传输对象、DTD信息等的推/拉请求(即设置或获取数据的请求)从请求应用A1发送到A1访问装置(100)。A1不知道接收者是谁,只知道有关的DTD。具体地可利用RMI,而且该请求中包括容器中传输的XML节点树。
访问装置A1使用所接收的有关DTD的信息,在它所关联的数据库中找到中心服务器装置的地址,这就意味着它在数据库中找到了到恰当中心服务器装置的URL。在数据库中包含所有有关的DTDs。A1访问装置随后对带内和带外数据签名,并使用诸如HTTPS将其发送到中心服务器装置(102)。然后中心服务器装置找到信息提供应用B1的用户ID,对B1用户ID加密,并使用有关数据库中签名的保护档案信息检查是否应该允许该请求,(如果允许的话)对请求数字签名(103)。
因此可以确定是否允许访问(104)。如果不允许,将错误消息返回到A1访问装置(105)。但是如果允许访问所有请求数据、或一部分请求数据,那么就将请求返回到A1访问装置,A1访问装置对中心服务器的数字签名鉴权并可选地验证该请求(106)。如果所选的验证(107)不成功,那么将错误消息返回到应用A1(108)。
另一方面,如果所选的验证成功了,那么在A1访问装置中对请求数字签名并使用诸如HTTPS发送到应用B1(109)。
在B1访问装置中,对用户ID解码,访问装置A1和中心服务器装置的数字签名被验证,确认该请求。然后B1访问装置对请求签名并将确认证实提供给访问装置A1(110)。然后使用XML传输对象通过RMI将签名的请求从B1访问装置转发到应用B1(111)。应用B1访问所请求的数据并将请求的信息置于XML传输对象中返回B1访问装置(112)。(在另外的具体实现中,也可以在请求的个人档案中设置数据。)(如果没有及时地从存储所请求的个人档案数据的信息存储装置得到响应,相反就返回一个错误消息。)然后B1访问装置确认XML传输文件并对从应用B1接收的信息签名(113)。应用B1访问所请求的数据,例如可以通过将请求转换成数据库调用并且(例如)检查一个填好的记录或表格,或者联系另一个节点/应用获取信息。
B1访问装置在及时地对信息数字签名之后,使用HTTPS将其发送到A1访问装置(114)。然后该对象被转换成XML传输文件,并且在A1访问装置转换成对象树,使用XML传输对象(XML节点树容器)通过RMI发送到应用A1(115)。
图8是一个非常简单的流程图,说明存储与会话有关信息的高速缓存是如何关联于各个访问装置而实现的。第一步200对应于图7的步骤100。然后确定请求会话和请求会话的会话ID是否由于以前用过而存储在高速缓存中(201),实际上这就意味着B1的访问装置已经缓存了应用A1的加密用户ID。如果是,就复用返回的XML传输对象,换句话说,就复用该会话(202)。然后前进到图7的步骤109,参考随后步骤(204)。但是如果高速缓存中没有存储会话,那么就前进到图7等的步骤101(203)。
图9是示意性说明一个实施例的流程图,这里标为A2的请求应用是不可信任的,即用户ID不应该被应用A2识别。应用A2的网关则使用加密用户ID。在第一步中,加密用户ID从网关发送到应用A2(300)。用户ID可选地包含一个时间标记,确保网关每次联系A2时所用的加密ID不同。应用A2将加密用户ID和网关ID发送到应用A2的访问装置(301)。A2访问装置随后将加密用户ID和网关ID发送到中心服务器装置(302)。中心服务器装置基于网关ID选择解密密钥并对用户ID解密(303)。然后进行到图7的步骤103到115(304) 。
在图10中对请求应用A3不被信任、用户ID不应该被A3识别的情况说明了另一个具体实现。在这个具体实现中,应用A3的网关使用了一个临时用户ID。因此,将临时用户ID从网关发往应用A3(401) 。
网关也将真实用户ID发往LDAP(“Lightweight DirectoryAccess Protocol”轻量目录存取协议)服务器(402),带有可以映射到临时用户ID的可能性。应用A3将临时用户ID和网关ID发送到A3访问装置(403),(参考图7的步骤100、101、102)。A3访问装置将临时用户ID和网关ID发送到中心服务器装置(404)。因此中心服务器装置通过LDAP协议调用LDAP数据库,基于网关ID获取真实用户ID并临时地将真实用户ID映射到临时用户ID(405)。
然后不加修改地执行图4的步骤III-IX,实际上对应于图7的103等随后步骤(406)。
通过这些具体实现可以支持不受信任的应用,例如对于移动互联网应用来说使用来自WAP(“Wireless Application Protocol”无线应用协议)网关的加密用户ID,或者也是针对移动互联网应用从WAP网关到应用之间使用临时用户ID。
图11说明中心服务器更新访问装置的过程。具体地涉及对DTD的修改。这里假定中心服务器装置为一个DTD ID更新了新的通用DTD(500)。中心服务器装置更新了存储个人保护档案数据等的数据库。然后中心服务器针对给定ID的DTD(即服务)改变所有最终用户特定的DTDs(501)。中心服务器使用诸如HTTPS将新的通用DTD文件(签名的)发布到所有有关的访问装置(502)。包含在DTD文件中的信息包括通用DTD版本、DTD ID以及DTD生效时间,都经过了中心服务器装置的专用密钥签名。然后确定发布的文件是否都被访问装置i应答(503)。如果是,访问装置i就被记录为已更新(504)。以前的DTD版本和文件信息存储在访问装置i中(505)以便提供向后兼容性。然后访问装置i将已更新的事实通知相应的应用(506)。
假定允许给定次数x的推尝试,那么如果第j次推没有得到访问装置i的应答,那么检查推尝试次数j是否小于x(507、508)。如果j<x,就从步骤502等开始进行新的推尝试。但是如果j等于x,访问装置将在随后的步骤中更新,例如通过与其它访问装置通信时进行检测,或者通过来自中心服务器的响应(509)。然后前进到步骤505。
最终用户注册可以以任何恰当的方式进行。
图12是说明最终用户如何控制对个人信息访问的授权/拒绝的流程图,即最终用户如何控制哪些应用可以访问,哪些不能,以及访问哪些数据等。
在图12的流程图中,示意性地说明了应该执行的最终用户动作的一个例子,目的是设置个人保护档案以便针对不同请求者分别对个人信息加锁/解锁。首先假定最终用户通过诸如HTTPS连接到中心服务器时(假定最终用户已经在中心服务器中注册)登录进了中心服务器装置(600)。随后最终用户通过对不同数据单元加锁/解锁而进行修改或建立保护档案。这可以用很多不同的方式完成,考虑到合法性要求,可以预先定义不同的保护档案或保护级别,或者可以用更手工的方式等选择加锁和解锁数据单元等,最好应该自动提供这些方式。(新的)“保护档案”则被保存起来(602)。作为确认、而且如果最终用户选择了修改通知的选项,中心服务器则通过诸如SMS(“Short Message Service”短消息服务)或电子邮件向用户发一个通知。正如上面简单提到的,也可以对整个DTD加锁或解锁。
应该清楚的是本发明当然不限于特别说明的实施例,而是可以在不背离所附权利要求范围的条件下用很多方式加以改变。
Claims (34)
1.在包含服务/信息/内容提供者或存储最终用户个人档案数据的存储装置(DB)及/或与之通信的应用之间提供通信的数据通信系统中,一种最终用户控制最终用户个人档案数据的分发以及维护的系统,其中,它包括个人档案保护网络,带有至少一个中心保护服务器装置以及多个诸如软件模块这样的分布式访问装置,中心保护服务器装置包括存储个人保护档案信息的信息存储装置或者可与之通信,藉此为所述的每个应用至少提供了一个访问装置,而且其中中心保护服务器通过与请求应用及/或与信息提供应用通信,来决定同意还是拒绝请求应用对最终用户个人档案数据的访问请求,其中提供了转换装置用于标识转换,而且请求应用的标识对于信息提供应用来说是隐藏的,反之亦然。
2.根据权利要求1的系统,其特征在于每个应用带有一个访问装置。
3.根据权利要求1或2的系统,其特征在于,对至少一个应用来说,存在多个、例如一组访问装置。
4.根据权利要求1、2或3的系统,其特征在于,中心服务器装置只包含个人保护档案数据,个人档案数据分布于整个系统。
5.根据权利要求4的系统,其特征在于,对于系统的每个最终用户来说,个人保护档案数据包括该最终用户个人档案数据中哪些可以被哪个(哪些)应用访问的信息。
6.根据权利要求4的系统,其特征在于,对个人保护档案指定了给定多个安全级别中的一个,最低级别——例如——表示所有个人档案数据的访问对每个应用来说都是禁止的,最高——例如——表示所有个人档案数据都是自由提供的。
7.根据前面任何一个权利要求的系统,其特征在于,应用与各自的访问装置之间的接口包括基于(使用)通用标记语言的应用编程接口(API)。
8.根据权利要求7的系统,其特征在于通用标记语言是XML。
9.根据权利要求7或8的系统,其特征在于,对所请求的最终用户个人档案数据的请求是由与请求应用通信的中心服务器授权/拒绝的。
10.根据权利要求7或8的系统,其特征在于,对所请求的最终用户个人档案数据的访问是由与信息提供应用通信的中心服务器授权/拒绝的。
11.根据权利要求7或8的系统,其特征在于,访问所请求的最终用户个人档案数据是由与请求应用和信息提供应用通信的中心服务器授权/拒绝的。
12.根据权利要求9、10或11的系统,其特征在于,至少在中心服务器装置中提供第一用户标识转换装置(例如加密装置)。
13.根据权利要求10、11或12的系统,其特征在于,在请求应用的访问装置中提供第二用户标识转换装置。
14.根据权利要求7-13中任意一个的系统,其特征在于,对于作为系统一部分的应用来说,给定了一个通用DTD(“Document TypeDefinition”文件类型定义)以便定义最大允许的个人数据流。
15.根据权利要求14的系统,其特征在于,对于每个用户来说,给定了一个特殊的用户DTD,以便定义这个特定用户允许的个人数据流。
16.根据权利要求7-15中任意一个的系统,其特征在于,对最终用户档案数据的访问请求从请求应用传输到它的访问装置,例如通过使用RMI,而且其中访问请求包括与所请求的个人最终用户档案关联的用户标识。
17.根据权利要求16的系统,其特征在于请求是作为标记了有关所请求最终用户个人档案数据的信息的XML传输对象(XML节点树容器)传递的。
18.根据权利要求16或17的系统,其特征在于HTTPS协议用于请求/信息提供应用的访问装置与中心服务器装置之间的通信。
19.根据前面任一权利要求的系统,其特征在于,信息请求及/或提供应用(单或多个)的访问装置包括对关联于所请求最终用户档案的用户标识加密的装置。
20.根据前面任一权利要求的系统,其特征在于,用请求应用的访问装置的专用密钥及/或信息提供应用的访问装置的专用密钥对请求进行数字签名。
21.根据权利要求20的系统,其特征在于,用中心服务器装置的专用密钥对请求进行数字签名,而且其中,访问装置的数字签名(单或多个)在中心服务器装置中验证。
22.根据权利要求21的系统,其特征在于,中心服务器装置包括至少对与信息提供信息所用的请求信息关联的用户标识加密的装置。
23.根据前面任一权利要求的系统,其特征在于至少一些应用分别包括高速缓存存储器,用于临时存储有关访问请求的信息,使得至少在给定的一段时间内,可以复用前面用过的会话。
24.控制对个人档案数据访问的个人档案(隐私)控制网络,其特征在于,它包括至少一个中心保护服务器装置以及多个诸如软件模块这样的分布式访问装置,中心保护服务器装置包括存储个人保护档案信息的信息存储装置或与之通信,至少一个访问装置分别与多个应用中的每一个接口,中心保护服务器装置包括转换和验证标识的装置,而且其中,请求应用对个人档案数据的访问请求被传递到请求应用访问装置,而且中心服务器装置通过与请求应用及/或与信息提供应用的访问装置通信来决定同意还是拒绝该请求,而且其中请求应用所用的用户标识对于信息提供应用来说是隐藏的,反之亦然。
25.根据权利要求24的个人档案控制网络,其特征在于,应用与各自的访问装置之间的接口基于通用标记语言。
26.根据权利要求25的个人档案控制网络,其特征在于,通用标记语言是XML。
27.根据权利要求24-26中任一个的个人档案控制网络,其特征在于中心服务器装置的信息存储装置,为系统的每个用户包括了个人保护档案,而且其特征在于个人保护档案是受最终用户控制的。
28.根据权利要求27的个人档案控制网络,其特征在于中心服务器装置和至少一个信息请求/提供访问装置用各自的专用密钥对个人档案数据的请求进行数字签名,而且其中数字签名由中心服务器装置验证。
29.在运行多个包括信息存储装置或与之通信的应用的数据通信网中,对个人最终用户档案中的个人数据进行访问控制的方法,其特征在于包括如下步骤:从请求应用使用诸如XML这样的通用标记语言向请求应用所关联的访问装置提供访问请求,
—将请求从访问装置转发到中心服务器装置,中心服务器装置带有存储系统中最终用户的个人保护档案的信息存储装置,
—进行用户标识加密,以便对信息提供应用隐藏请求应用的用户标识,反之亦然,
—通过使用请求以及允许或拒绝访问的个人保护档案确定是否允许访问所请求的个人档案,
—优选地在对请求数字签名之后,向请求应用的访问装置确认是否允许访问,
—允许向信息提供应用发送加密的而且优选是数字签名的请求。
30.根据权利要求29的方法,其特征在于,请求应用的请求涉及访问/获取个人档案中的数据,而且其中,对于授权的请求该方法包括如下步骤:—通过诸如互联网这样的数据通信网、经由信息提供应用的访问装置向请求应用的访问装置传递所请求的数据。
31.根据权利要求29的方法,其特征在于,请求应用的请求涉及在个人档案中设置/更新数据,而且其中,对于授权的请求该方法还包括如下步骤:—通过数据通信网向信息提供应用传递要设置/更新的数据。
32.在运行多个包括信息存储装置或与之通信的应用的数据通信网中,对个人最终用户档案中的个人数据进行访问控制的方法,其特征在于包括如下步骤:
—通过至少一个分布式访问装置向中心服务器装置转发个人档案内数据的访问请求;
—在中心服务器装置中,通过将请求与最终用户控制的个人保护档案比较,确定是否应该允许访问所请求的数据;
—向至少一个分布式访问装置提供是否允许访问的信息,如果允许访问,那么就可以使用该数据通信网向请求应用提供对所请求数据的访问,而不需要请求应用的标识对能够提供请求数据访问的应用可见,反之亦然。
33.根据权利要求32的方法,其特征在于它还包括如下步骤:在中心服务器装置或与请求应用关联的访问装置中,将关联于所请求的最终用户档案的用户标识加密到请求之中;在信息提供应用关联的访问装置中,对该用户标识解密。
34.根据权利要求32或33的方法,其特征在于它包括如下步骤:—在信息请求应用所关联的一个或多个访问装置、信息提供应用所关联的访问装置以及中心服务器装置中,对请求进行数字签名,所述的访问装置和中心服务器装置组成了个人档案数据保护网络。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/976,500 | 2001-10-12 | ||
| US09/976,500 US20030074456A1 (en) | 2001-10-12 | 2001-10-12 | System and a method relating to access control |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1568475A true CN1568475A (zh) | 2005-01-19 |
Family
ID=25524162
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA028201337A Pending CN1568475A (zh) | 2001-10-12 | 2002-10-09 | 有关用户档案接入控制的系统及一种方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20030074456A1 (zh) |
| EP (1) | EP1444633B1 (zh) |
| CN (1) | CN1568475A (zh) |
| AT (1) | ATE438250T1 (zh) |
| DE (1) | DE60233154D1 (zh) |
| WO (1) | WO2003032222A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102067509A (zh) * | 2008-04-23 | 2011-05-18 | 人性化基本输入输出系统有限责任公司 | 分布式数据存储设备 |
| CN101448132B (zh) * | 2007-11-30 | 2011-06-08 | 株式会社日立制作所 | 内容分发系统 |
| CN103108005A (zh) * | 2011-11-11 | 2013-05-15 | 上海聚力传媒技术有限公司 | 在分布式存储系统中实现数据共享的方法、设备与系统 |
| CN113302566A (zh) * | 2019-01-18 | 2021-08-24 | 西门子股份公司 | 技术系统的上下文敏感的审计追踪 |
Families Citing this family (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8458754B2 (en) | 2001-01-22 | 2013-06-04 | Sony Computer Entertainment Inc. | Method and system for providing instant start multimedia content |
| US7054648B2 (en) * | 2001-10-22 | 2006-05-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Location privacy proxy server and method in a telecommunication network |
| US7254614B2 (en) | 2001-11-20 | 2007-08-07 | Nokia Corporation | Web services push gateway |
| WO2003047297A1 (en) * | 2001-11-21 | 2003-06-05 | Nokia Corporation | A telecommunications system and method for controlling privacy |
| US20030142661A1 (en) * | 2002-01-28 | 2003-07-31 | Masayuki Chatani | System and method for distributing data between a telephone network and an entertainment network |
| US8375113B2 (en) * | 2002-07-11 | 2013-02-12 | Oracle International Corporation | Employing wrapper profiles |
| US8112295B1 (en) | 2002-11-26 | 2012-02-07 | Embarq Holdings Company Llc | Personalized hospitality management system |
| US7949937B2 (en) | 2002-12-31 | 2011-05-24 | Business Objects Software Ltd | Apparatus and method for delivering portions of reports |
| US20050262047A1 (en) * | 2002-12-31 | 2005-11-24 | Ju Wu | Apparatus and method for inserting portions of reports into electronic documents |
| SE0300368D0 (sv) * | 2003-02-11 | 2003-02-11 | Ericsson Telefon Ab L M | System for internet privacy |
| US7418485B2 (en) * | 2003-04-24 | 2008-08-26 | Nokia Corporation | System and method for addressing networked terminals via pseudonym translation |
| US20070130132A1 (en) * | 2003-06-30 | 2007-06-07 | Business Objects | Apparatus and method for personalized data delivery |
| CN1820478A (zh) * | 2003-08-26 | 2006-08-16 | 瑞士再保险公司 | 用于自动产生访问受控的个性化数据和/或程序的方法 |
| US20050071423A1 (en) * | 2003-09-26 | 2005-03-31 | Jaakko Rajaniemi | System, apparatus, and method for providing Web services on mobile devices |
| US20050071419A1 (en) * | 2003-09-26 | 2005-03-31 | Lewontin Stephen Paul | System, apparatus, and method for providing Web services using wireless push |
| US7930412B2 (en) * | 2003-09-30 | 2011-04-19 | Bce Inc. | System and method for secure access |
| EP1695235A4 (en) * | 2003-12-19 | 2009-08-26 | Business Objects Sa | APPARATUS AND METHOD FOR USING DATA FILTERS FOR DISTRIBUTING PERSONALIZED DATA FROM A SHARED DOCUMENT |
| US20060047725A1 (en) * | 2004-08-26 | 2006-03-02 | Bramson Steven J | Opt-in directory of verified individual profiles |
| KR100599174B1 (ko) * | 2004-12-16 | 2006-07-12 | 삼성전자주식회사 | 프로파일 정보를 이용한 서비스 제공방법 및 서비스제공시스템 |
| ATE514267T1 (de) | 2004-12-22 | 2011-07-15 | Ericsson Telefon Ab L M | Mittel und verfahren zur steuerung persönlicher daten |
| WO2006069428A1 (en) * | 2004-12-30 | 2006-07-06 | Bce Inc. | System and method for secure access |
| US20060271509A1 (en) * | 2005-05-24 | 2006-11-30 | Ju Wu | Apparatus and method for augmenting a report with parameter binding metadata |
| US8527540B2 (en) * | 2005-05-24 | 2013-09-03 | Business Objects Software Ltd. | Augmenting a report with metadata for export to a non-report document |
| US7483896B2 (en) * | 2005-06-06 | 2009-01-27 | Oracle International Corporation | Architecture for computer-implemented authentication and authorization |
| US20070016767A1 (en) * | 2005-07-05 | 2007-01-18 | Netdevices, Inc. | Switching Devices Avoiding Degradation of Forwarding Throughput Performance When Downloading Signature Data Related to Security Applications |
| GB2430281A (en) * | 2005-09-15 | 2007-03-21 | Motorola Inc | Distributed user profile |
| CN101123644A (zh) * | 2006-08-11 | 2008-02-13 | 华为技术有限公司 | 一种授权管理系统和方法及授权管理服务器 |
| US20080051081A1 (en) * | 2006-08-24 | 2008-02-28 | Sony Ericsson Mobile Communications | Profile tracker for portable communication device |
| US8433726B2 (en) | 2006-09-01 | 2013-04-30 | At&T Mobility Ii Llc | Personal profile data repository |
| US9483405B2 (en) | 2007-09-20 | 2016-11-01 | Sony Interactive Entertainment Inc. | Simplified run-time program translation for emulating complex processor pipelines |
| US20090106058A1 (en) * | 2007-10-17 | 2009-04-23 | Yahoo! Inc. | Assessing ad value |
| US8621641B2 (en) * | 2008-02-29 | 2013-12-31 | Vicki L. James | Systems and methods for authorization of information access |
| US7877461B1 (en) * | 2008-06-30 | 2011-01-25 | Google Inc. | System and method for adding dynamic information to digitally signed mobile applications |
| US8559637B2 (en) | 2008-09-10 | 2013-10-15 | Verizon Patent And Licensing Inc. | Securing information exchanged via a network |
| TW201015912A (en) * | 2008-10-01 | 2010-04-16 | Avermedia Tech Inc | Network communication method, dispatch server and server |
| US8204523B1 (en) * | 2008-11-07 | 2012-06-19 | Cellco Partnership | Cost effective notifications with delivery guarantee |
| CN101990183B (zh) * | 2009-07-31 | 2013-10-02 | 国际商业机器公司 | 保护用户信息的方法、装置及系统 |
| CN102098271B (zh) | 2009-12-10 | 2015-01-07 | 华为技术有限公司 | 用户信息的获取方法、装置和系统 |
| US20120042360A1 (en) * | 2010-08-16 | 2012-02-16 | Bakeir Rania Abdelqader Massad | Mobile services tailored to user need |
| US9294479B1 (en) * | 2010-12-01 | 2016-03-22 | Google Inc. | Client-side authentication |
| GB2524958A (en) * | 2014-04-03 | 2015-10-14 | Orbital Multi Media Holdings Corp | Data flow control method |
| US10467224B2 (en) * | 2015-11-19 | 2019-11-05 | Paypal, Inc. | Centralized data management platform |
| US20170272435A1 (en) * | 2016-03-15 | 2017-09-21 | Global Tel*Link Corp. | Controlled environment secure media streaming system |
| US11277439B2 (en) | 2016-05-05 | 2022-03-15 | Neustar, Inc. | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks |
| US10958725B2 (en) * | 2016-05-05 | 2021-03-23 | Neustar, Inc. | Systems and methods for distributing partial data to subnetworks |
| US11816425B2 (en) * | 2021-03-19 | 2023-11-14 | LockDocks Inc. | Computer system and method for processing digital forms |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0718784B1 (en) * | 1994-12-20 | 2003-08-27 | Sun Microsystems, Inc. | Method and system for the retrieval of personalized information |
| US5933811A (en) * | 1996-08-20 | 1999-08-03 | Paul D. Angles | System and method for delivering customized advertisements within interactive communication systems |
| US6321334B1 (en) * | 1998-07-15 | 2001-11-20 | Microsoft Corporation | Administering permissions associated with a security zone in a computer system security model |
| US6141010A (en) * | 1998-07-17 | 2000-10-31 | B. E. Technology, Llc | Computer interface method and apparatus with targeted advertising |
| US20020004900A1 (en) * | 1998-09-04 | 2002-01-10 | Baiju V. Patel | Method for secure anonymous communication |
| US6253202B1 (en) * | 1998-09-18 | 2001-06-26 | Tacit Knowledge Systems, Inc. | Method, system and apparatus for authorizing access by a first user to a knowledge profile of a second user responsive to an access request from the first user |
| US6275824B1 (en) * | 1998-10-02 | 2001-08-14 | Ncr Corporation | System and method for managing data privacy in a database management system |
| US6253203B1 (en) * | 1998-10-02 | 2001-06-26 | Ncr Corporation | Privacy-enhanced database |
| US7003546B1 (en) * | 1998-10-13 | 2006-02-21 | Chris Cheah | Method and system for controlled distribution of contact information over a network |
| US6285983B1 (en) * | 1998-10-21 | 2001-09-04 | Lend Lease Corporation Ltd. | Marketing systems and methods that preserve consumer privacy |
| US6199099B1 (en) * | 1999-03-05 | 2001-03-06 | Ac Properties B.V. | System, method and article of manufacture for a mobile communication network utilizing a distributed communication network |
| US6820204B1 (en) * | 1999-03-31 | 2004-11-16 | Nimesh Desai | System and method for selective information exchange |
| US6801949B1 (en) * | 1999-04-12 | 2004-10-05 | Rainfinity, Inc. | Distributed server cluster with graphical user interface |
| US6757720B1 (en) * | 1999-05-19 | 2004-06-29 | Sun Microsystems, Inc. | Profile service architecture |
| US6829642B1 (en) * | 1999-07-01 | 2004-12-07 | International Business Machines Corporation | Method and system for automatically and optimally selecting a TN3270 server in an internet protocol network |
| US6944669B1 (en) * | 1999-10-22 | 2005-09-13 | America Online, Inc. | Sharing the personal information of a network user with the resources accessed by that network user |
| US6826690B1 (en) * | 1999-11-08 | 2004-11-30 | International Business Machines Corporation | Using device certificates for automated authentication of communicating devices |
| AU1882501A (en) * | 1999-12-29 | 2001-07-16 | Pango Systems B.V. | System and method for incremental disclosure of personal information to content providers |
| US6658415B1 (en) * | 2000-04-28 | 2003-12-02 | International Business Machines Corporation | Monitoring and managing user access to content via a universally accessible database |
| US20020143961A1 (en) * | 2001-03-14 | 2002-10-03 | Siegel Eric Victor | Access control protocol for user profile management |
| US7953853B2 (en) * | 2001-07-09 | 2011-05-31 | International Business Machines Corporation | System and method for providing access and utilization of context information |
| US6789079B2 (en) * | 2001-10-05 | 2004-09-07 | Macronix International Co., Ltd. | Integrated service platform |
-
2001
- 2001-10-12 US US09/976,500 patent/US20030074456A1/en not_active Abandoned
-
2002
- 2002-10-09 CN CNA028201337A patent/CN1568475A/zh active Pending
- 2002-10-09 EP EP02800815A patent/EP1444633B1/en not_active Expired - Lifetime
- 2002-10-09 DE DE60233154T patent/DE60233154D1/de not_active Expired - Lifetime
- 2002-10-09 AT AT02800815T patent/ATE438250T1/de not_active IP Right Cessation
- 2002-10-09 WO PCT/SE2002/001832 patent/WO2003032222A1/en not_active Application Discontinuation
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101448132B (zh) * | 2007-11-30 | 2011-06-08 | 株式会社日立制作所 | 内容分发系统 |
| CN102067509A (zh) * | 2008-04-23 | 2011-05-18 | 人性化基本输入输出系统有限责任公司 | 分布式数据存储设备 |
| CN102067509B (zh) * | 2008-04-23 | 2014-12-17 | 人性化基本输入输出系统有限责任公司 | 分布式数据存储设备 |
| CN103108005A (zh) * | 2011-11-11 | 2013-05-15 | 上海聚力传媒技术有限公司 | 在分布式存储系统中实现数据共享的方法、设备与系统 |
| CN113302566A (zh) * | 2019-01-18 | 2021-08-24 | 西门子股份公司 | 技术系统的上下文敏感的审计追踪 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE60233154D1 (de) | 2009-09-10 |
| ATE438250T1 (de) | 2009-08-15 |
| WO2003032222A1 (en) | 2003-04-17 |
| EP1444633B1 (en) | 2009-07-29 |
| EP1444633A1 (en) | 2004-08-11 |
| US20030074456A1 (en) | 2003-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1568475A (zh) | 有关用户档案接入控制的系统及一种方法 | |
| CN1284088C (zh) | 访问控制系统 | |
| US8255970B2 (en) | Personal information distribution management system, personal information distribution management method, personal information service program, and personal information utilization program | |
| CN1946023A (zh) | 用于接入网关的认证和授权体系结构 | |
| US8977853B2 (en) | System and method establishing trusted relationships to enable secure exchange of private information | |
| CN1647442A (zh) | 为获得解密密钥请求密钥检索的安全电子消息系统 | |
| US20070204168A1 (en) | Identity providers in digital identity system | |
| CN100342347C (zh) | 为消息在服务之间的交换动态地确定安全选项的方法 | |
| US8117459B2 (en) | Personal identification information schemas | |
| CN1745356A (zh) | 单一签名安全服务访问 | |
| CN100339781C (zh) | 向请求实体传送身份相关信息的方法和系统 | |
| CN1839608A (zh) | 用于产生在不同域间使用的唯一用户身份的装置和方法 | |
| CN1602601A (zh) | 用于自动鉴定,处理和发布数字证书的方法和系统 | |
| CN1669265A (zh) | 在计算机系统中使用的隐藏的链接动态密钥管理器 | |
| CN1631000A (zh) | 因特网上用于安全内容递送的密钥管理协议与认证系统 | |
| CN1514569A (zh) | 在不同类联合环境中用于验证的方法和系统 | |
| CN1656772A (zh) | 用于相关流协议集合的保密参数关联 | |
| CN1726690A (zh) | 用于异构型联合环境中的本机认证协议的方法和系统 | |
| CN1502186A (zh) | 在计算机网络中有控制地分发应用程序代码和内容数据 | |
| CN1484926A (zh) | 一种调用隐私的方法 | |
| EP1353470B1 (en) | Method for deployment of a workable public key infrastructure | |
| JP2003067326A (ja) | ネットワーク上の資源流通システム、及び相互認証システム | |
| CN1759585A (zh) | 用于提供访问的方法 | |
| CN1178428C (zh) | 家庭网络中实现资源共享时的服务租用与授权方法 | |
| JP4751296B2 (ja) | 電子メール送受信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20050119 |