DE60202154T2 - Verfahren zum schutz persönlicher daten, die in einer endstation durch einen server gelesen werden - Google Patents

Verfahren zum schutz persönlicher daten, die in einer endstation durch einen server gelesen werden Download PDF

Info

Publication number
DE60202154T2
DE60202154T2 DE60202154T DE60202154T DE60202154T2 DE 60202154 T2 DE60202154 T2 DE 60202154T2 DE 60202154 T DE60202154 T DE 60202154T DE 60202154 T DE60202154 T DE 60202154T DE 60202154 T2 DE60202154 T2 DE 60202154T2
Authority
DE
Germany
Prior art keywords
data
server
policy data
station
terminal station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60202154T
Other languages
English (en)
Other versions
DE60202154D1 (de
Inventor
Jean-Luc Giraud
Pierre Girard
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gemplus SA
Original Assignee
Gemplus SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemplus SA filed Critical Gemplus SA
Publication of DE60202154D1 publication Critical patent/DE60202154D1/de
Application granted granted Critical
Publication of DE60202154T2 publication Critical patent/DE60202154T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Telephone Function (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Chair Legs, Seat Parts, And Backrests (AREA)

Description

  • Die vorliegende Erfindung betrifft allgemein die automatisierte Verarbeitung persönlicher Daten und ganz besonders den Schutz in einer Benutzer-Terminalstation durch einen Server, insbesondere Websiteserver, gelesener persönlicher Daten.
  • Zur Befriedigung der immer stärkeren Nachfrage der Verbraucher nach dem Schutz ihrer persönlichen Daten, insbesondere der Identität und der Adresse, in den Beziehungen zwischen ihren Terminalstationen und den Servern sind von den Benutzern verwaltete private Politiken in den Terminalstationen vorgesehen.
  • Nach der Herstellung einer Kommunikation zwischen einem Server und einer derartigen Terminalstation kommuniziert der Server insbesondere der Terminalstation die unterschiedlichen Nutzungen der persönlichen Daten des Benutzers der Terminalstation angebende Serverpolitikdaten, die der Verwalter des Servers in der Terminalstation entnehmen möchte, insbesondere zur Weitergabe dieser persönlichen Daten auf andere Sites oder Wirtschaftsakteure. Zur Filterung dieser Nutzungen vergleicht die Terminalstation die empfangenen Serverpolitikdaten mit den in der Terminalstation vorgespeicherten privaten Politikdaten, so dass vom Server verlangte persönliche Daten nur übertragen werden, wenn die Politiken kompatibel sind.
  • Die Politik des Servers ist jedoch nur eine Erklärung, und der Verwalter des Servers ist später nicht in der Lage, bei einem Audit oder der Wahrnehmung des Widerspruchsrechts durch den Benutzer, nachzuweisen, dass der Benutzer den Verwalter des Servers zur Weitergabe bestimmter Daten ermächtigt hat.
  • Aufgabe der Erfindung ist es, diesen Nachteil zu beheben, damit der Verwalter des Servers später jede Leseermächtigung persönlicher Daten in der Terminalstation sowie jede Zustimmung des Benutzers der Terminalstation zur Weitergabe der vorbestimmten persönlichen Daten nachweisen kann.
  • Die folgenden Patentschriften gelten als der am nächsten liegende Stand der Technik:
    • – WO0150400A legt ein auf den Schutz der in einer Terminalstation durch einen Mitgliedsserver gelesenen persönlichen Daten abzielendes Verfahren offen. Dieses Verfahren umfasst die Übertragung von Serverpolitikdaten von einem Zentralserver auf die Station, die Genehmigung oder die Verweigerung dieser Serverpolitikdaten durch den Benutzer der Station und die Übertragung von (einen Bezug zu den Serverpolitikdaten enthaltenen) Genehmigungs- oder Verweigerungsdaten von der Station zum Zentralserver. Diese Genehmigungs- oder Verweigerungsdaten werden anschließend vom Zentralserver unterzeichnet, dann an den Mitgliedsserver geschickt. Dieser kann somit im Falle der Genehmigung auf die persönlichen Daten der Terminalstation zugreifen.
    • – US-B1-6192380 legt ein das automatische Ausfüllen der Felder eines von einem Server an eine Station geschickten elektronischen Formulars zulassendes Verfahren offen. Dieses Verfahren umfasst eine Überprüfungsstufe der vom elektronischen Formular verlangten Felder, in deren Verlauf diese Felder mit Weitergaberegeln in der Station vorgespeicherter persönlicher Daten verglichen werden.
  • Zwecks Abhilfe des oben beschriebenen Nachteils ist ein Schutzverfahren für in einer Benutzer-Terminalstation durch einen Server gelesene persönliche Daten mit einer Datenübertragung einer Serverpolitik ab dem Server auf die Station und einem Vergleich der Serverpolitikdaten mit in der Station vorgespeicherten privaten Politikdaten durch eine Bestimmung einer Unterschrift der in der Station empfangenen Serverpolitikdaten und einer Übertragung der Unterschrift mit den in der Station gelesenen persönlichen Daten von der Station auf den Server gekennzeichnet, wenn die Serverpolitikdaten mit den privaten Politikdaten kompatibel sind.
  • Dank der auf den Server übertragenen Unterschrift, die durch diesen gespeichert wird, ist der Verwalter des Servers in der Lage, über die in der Terminalstation vorgespeicherte private Politik zu bescheinigen, dass der Benutzer das Lesen vorgespeicherter Daten in Abhängigkeit von der Serverpolitik genehmigt hat.
  • Wenn mehrere Politiken vorgeschlagen werden oder verhandelt worden sind oder wenn die Serverpolitik später abgeändert wurde, wird der Verwalter des Servers darüber hinaus in der Lage sein zu beweisen, dass diese Politiken durch den Benutzer im Verlauf der aufeinander folgenden Sitzungen akzeptiert worden sind.
  • Zur weiteren Verhinderung einer Einwendbarkeit des Benutzers der Terminalstation hinsichtlich der Daten der Sicherheitspolitik kann das Verfahren darüber hinaus eine Übertragung einer Unterschrift der Serverpolitikdaten mit den Serverpolitikdaten ab dem Server zur Terminalstation und eine Speicherung dieser Unterschrift durch die Terminalstation, bevorzugt mit den vom Server übertragenen Tageszeitgebungsdaten umfassen. Diese zweite Unterschrift wird dann als Beweis dafür dienen, dass der Benutzer eine bestimmte Serverpolitik an einem bestimmten entfernten Punkt empfangen hat.
  • Zwecks Ermöglichung einer Portabilität der privaten Politikdaten und insbesondere der persönlichen, meistens namentlichen Daten umfasst die Terminalstation eine Zentraleinheit und eine mit der Zentraleinheit in Verbindung stehende Chipkarte, die die genannten privaten Politikdaten und persönlichen Daten vorgespeichert hat. Die Chipkarte umfasst bevorzugt einen Algorithmus zur Unterzeichnung der empfangenen Serverpolitikdaten.
  • Weitere Merkmale und Vorteile der vorliegenden Erfindung werden bei der Lektüre der nachstehenden Beschreibung mehrerer bevorzugter Ausführungsarten der Erfindung unter Bezugnahme auf die entsprechenden beigefügten Zeichnungen deutlicher, in denen:
  • 1 ein schematisches Blockdiagramm eines Telekommunikationssystems mit Server und Terminalstation für die Umsetzung des erfindungsgemäßen Schutzverfahrens für persönliche Daten ist;
  • 2 ein Algorithmus des in der Terminalstation implementierten Schutzverfahrens für persönliche Daten ist; und
  • die 3 und 4 funktionale schematische Blockdiagramme jeweils von zwei Varianten einer zweiten Realisierung der mit einem Lesegerät für eine zusätzliche Chipkarte ausgerüsteten Terminalstation sind.
  • In 1 sind schematisch ein eine Site WEB und eine insbesondere über ein das Internet einschließendes Telekommunikationsnetz durch Pakete RE verbundene Benutzer-Terminalstation ST bildender Server SE dargestellt.
  • Gemäß einer ersten Realisierung ist die Terminalstation ST ein Personalcomputer PC, der in 1 durch seine Zentraleinheit UC schematisch dargestellt wird, wobei seine Peripheriegeräte, wie zum Beispiel die Tastatur, der Bildschirm, der Drucker, das Modem, usw. nicht dargestellt sind.
  • Als Variante ruht die Terminalstation ST auf einer Plattform, die einen persönlichen digitalen Assistenten (PDA) und/oder ein mobiles Funktelefon-Terminal umfassen kann; bei dieser letzte Variante umfasst das Netz RE das zellulare Funktelefonnetz, an das das Mobilterminal angeschlossen ist.
  • Wie schematisch in 1 dargestellt, umfasst die Zentraleinheit UC der Terminalstation ST insbesondere im Zusammenhang mit der Erfindung einen Speicher ME, wie zum Beispiel eine Festplatte, der eine private Politik definierende Daten PP sowie persönliche Daten DP vorgespeichert hat, und einen im Verhältnis zum Webserver SE die Clientrolle spielenden und die graphische Schnittstelle mit dem Benutzer der Terminalstation und Links zum Zugang zu Dokumenten, insbesondere von durch den Server übertragenen Formularen spielenden Navigator BR („Browser").
  • Die persönlichen Daten DP des Benutzers der Station ST sind insbesondere namentlich und können wenigstens eine der folgenden Angaben umfassen: die durch seinen Familiennamen, wenigsten einen seiner Vornamen und eventuell sein Geburtsdatum gebildete Identität des Benutzers; die Lokalisierung der Terminalstation, die automatisch bestimmt werden kann, insbesondere wenn die Terminalstation ein mobiles Funktelefonterminal ist; eine Adresse für elektronische Post (E-Mail); die Wohnadresse und/oder Büroadresse des Benutzers; eine Telefonnummer; eine Liste der letzten besuchten Websites, usw. Jede der in der Zentraleinheit UC gespeicherten persönlichen Angaben DP wird durch einen Identifikator IDP bezeichnet, damit die persönlichen Daten unter dem Befehl des Servers SE gelesen werden können, wie wir später sehen werden.
  • Die privaten Politikdaten PP definieren eine Verwaltung der persönlichen Daten DP des Benutzers der Terminalstation ST relativ zu seinen Beziehungen mit der Außenwelt der Zentraleinheit und insbesondere mit jedem Webserver SE. Die privaten Politikdaten PP umfassen insbesondere eine oder mehrere Nutzungen UDP jeder persönlichen Angabe DP, die der Benutzer wünscht. Umgekehrt kann eine Nutzungsangabe persönlicher Daten UDP ebenfalls mehreren persönlichen Daten DP zugeordnet werden. Die Daten DP und UDP entsprechen bevorzugt dem Standardformat P3P (Plateform for Privacy Protection), ebenso wie Politikdaten PS, die vom Server SE produziert und auf den Navigator BR in der Station ST übertragen werden. Alle Dokumente und Daten im Format P3P werden in der Sprache XML (eXtended Markup Language) oder als Variante in der die Sprache XML an die Anzeigenorm WAP (Wireless Access Protocol) anpassende Sprache WML geschrieben, wenn die Terminalstation ein mobiles Funktelefonterminal ist.
  • Die Daten UP stellen die vom Benutzer der Terminalstation derart ausgearbeiteten privaten Regeln dar, dass das Lesen bestimmter persönlicher Daten DP im Speicher ME durch den Server SE zugelassen wird. Die privaten Regeln werden durch den Benutzer im Navigator BR programmiert und können insbesondere von Folgenden abhängen:
    • – von der späteren Nutzung durch den Verwalter des Servers SE der durch die Terminalstation ST dem Server SE zum Beispiel für automatisierte Verarbeitungen mit dem Zweck des Direktmarketing, Statistiken, des Wiederverkaufs, usw. kommunizierten persönlichen Daten DP;
    • – von der Lokalisierung der Terminalstation, die an der Wohnadresse oder im Büro des Benutzers sein kann, oder die an einer Telekonferenz teilnehmen kann; zum Beispiel akzeptiert der Benutzer, Werbeangebote nur zu empfangen, wenn die Terminalstation an seiner Wohnadresse ist;
    • – von den Kosten der vom Server SE angebotenen Leistungen; zum Beispiel verweigert der Benutzer die Weitergabe bestimmter persönlicher Daten DP, wenn die Leistungen einen vorbestimmten Betrag übersteigen oder der Server verweigert umgekehrt das Anbieten bestimmter Leistungen, wenn der Benutzer beschließt, diese in bar zu begleichen;
    • – von temporären Daten; zum Beispiel akzeptiert der Benutzer den Erhalt von E-Mails nur während der Bürozeiten;
    • – von vorgespeicherten Websiteadressen URL (Universal Resource Locator); die Station ST verweigert jede Weitergabe persönlicher Daten an einen Server, wenn die Adresse desselben nicht in der Site-Adressliste enthalten ist;
    • – von der Bestimmung der zu kommunizierenden persönlichen Daten; zum Beispiel verweigert der Benutzer die Kommunikation von persönlichen Daten, wenn der Server SE diese an vorbestimmte natürliche oder juristische Personen oder in Länder weitergeben möchte, deren Staaten im Bereich Informatik, Dateien und Freiheit und insbesondere über den Datenschutz keinerlei Gesetzgebung haben.
  • Zur Erhebung bestimmter persönlicher Daten DP des Speichers ME in der Terminalstation ST enthält der Server SE Serverpolitikdaten PS, die vom Navigator BR erkannt werden können und die damit ebenfalls gemäß dem Standard P3P in der Sprache XML ausgedrückt werden. Im Allgemeinen weisen die vom Server SE auf die Terminalstation ST übertragenen Politikdaten PS die Form eines Formulars auf, das zu den Nutzungsdaten UDP analoge Fragen und Kommentare QC enthält und dessen Antworten durch Identifikatoren IDP identifizierte persönlichen Daten DP entsprechen. Somit enthält eine vom Server SE übertragene Meldung ein eine Serverpolitik PS definierendes Formular mit den Daten QC und den entsprechenden Identifikatoren IDP.
  • Unter Bezugnahme auf 2 umfasst das erfindungsgemäße Schutzverfahren für persönliche Daten nunmehr im Wesentlichen die Stufen E1 bis E7. Diese Hauptstufen folgen auf eine Anfangsstufe E0, in deren Verlauf herkömmlicherweise eine Verbindung zwischen der Terminalstation ST und dem Server SE nach Auswahl der Adresse URL des Servers SE durch den Benutzer hergestellt wird, um eine durch eine Schutzsitzung persönlicher Daten beginnende Zugangssitzung zum Server zu eröffnen. Der Algorithmus der Stufen E1 bis E8 ist im Wesentlichen in der Zentraleinheit UC der Terminalstation ST implantiert, zum Beispiel in Form eines herunterladbaren und durch den Navigator BR ausgeführten Applets in der Sprache JAVA.
  • In der Stufe E1 empfängt die Station ST Serverpolitikdaten PS insbesondere mit Identifikatoren persönlicher Daten IDP und Daten QC der Serverpolitik PS, zum Beispiel in Form eines Formulars P3P in der Sprache XML. Dann vergleicht der Navigator BR in der Stufe E2 die die Serverpolitik PS definierenden empfangenen Daten QC, IDP mit den Daten UDP der privaten Politik PP, die im Speicher ME gelesen werden. Die Überprüfung der Buchhaltung der Serverpolitik mit der privaten Politik läuft deutlich auf die Kontrolle hinaus, dass für jede vom Server SE kommunizierte persönliche Datenkennziffer IDP die entsprechenden empfangenen Daten QC zur privaten Politik PP gehören oder in einer äquivalenten Form in der privaten Politik PP ausgedrückt werden, die vom Benutzer definiert und im Speicher ME in der Terminalstation vorgespeichert wird. Wenn die empfangenen Serverpolitikdaten mit den vorgespeicherten privaten Politikdaten kompatibel sind, lässt der Navigator BR das Lesen der von den jeweils in der Stufe E4 empfangenen Identifikatoren IDP adressierten persönlichen Daten DP im Speicher ME zu.
  • Wenn jedoch zwischen der Serverpolitik PS und der privaten Politik PP eine Inkompatibilität besteht, das heißt, wenn die Antwort auf wenigstens eine der empfangenen Daten QC mit den einem empfangenen Identifikator IDP entsprechenden privaten Politikdaten UDP inkompatibel ist, schlägt der Server SE in einer Stufe E3 im Anschluss an eine durch die Terminalstation übertragene temporäre Ablehnung eine Verhandlung vor.
  • Wenn der Server SE zum Beispiel in den Daten QC angegeben hat, dass er die E-Mail-Adresse der Station ST zu Direktmarketingzwecken haben möchte, obwohl der Benutzer eine derartige Weiterleitung verweigert, tritt der Server mit dem Benutzer in einen Dialog, um einen Kompromiss zu finden. Wenn der Benutzer im Server Merkmalen eines guten Kunden zugeordnet ist, der einen höheren Umsatz erzielt hat als ein für Einkäufe direkt auf der Site des Servers SE vorbestimmter Grenzwert, akzeptiert der Server SE die Weiterführung der Sitzung, ohne dass die Terminalstation die E-Mail-Adresse weitergibt. Bei jedem neuen Kunden jedoch verweigert der Server die Fortführung der Sitzung, wenn die E-Mail-Adresse dieses neuen Kunden nicht kommuniziert wird, und der Algorithmus geht dann von der Stufe E3 in eine Stufe E31 über, um die Sitzung zu beenden.
  • Wenn eine Verhandlung in der Stufe E3 in Betracht gezogen wird, zeigt der Navigator BR als Variante ein Fenster am Bildschirm der Terminalstation ST an, um den Benutzer zu fragen, ob er auf das oder die Kommunikationsverbot(e) persönlicher Daten verzichten möchte, das die Verhandlung generiert hat. Somit entscheidet der Benutzer in einer Stufe E32 durch Ausnahme automatisch das Lesen einer oder mehrerer persönlicher Daten DP zu erzwingen, deren Kommunikation an den Server unter der Serverpolitik PS normalerweise verboten ist.
  • Nach der Stufe E2 – im Falle der Kompatibilität – oder nach der Stufe E31 – im Falle des erzwungenen Lesens – lässt der Navigator BR das Lesen der jeweils den empfangenen Identifikatoren IDP entsprechenden persönlichen Daten DP in der Stufe E4 zu. Die empfangenen Serverpolitikdaten PS werden bevorzugt in die Form eines in der Terminalstation ST angezeigten und durch die gelesenen persönlichen Daten DP automatisch ausgefüllten Formulars konvertiert.
  • Dann entscheidet der Navigator BR erfindungsgemäß in der Stufe E5 die Unterzeichnung der empfangenen Serverpolitikdaten PS (QC, IDP) gemäß einem vorbestimmten Algorithmus ALE, eventuell unter Einschluss eines vorbestimmten Schlüssels, um eine Serverpolitikdatenunterschrift SGST zu produzieren. Zum Beispiel resultiert der Algorithmus ALE aus einem Zerhacken der empfangenen Daten, deren Ergebnis ein Kondensat geringerer Größe als die empfangenen Daten ist und anschließend durch einen asymmetrischen Chiffrierungsalgorithmus, wie zum Beispiel den Chiffrierungsalgorithmus RSA (Rivest Shamir Adleman) mit öffentlichem und privatem Schlüssel chiffriert wird.
  • Ausgabetageszeitgebungsdaten DHE, wie zum Beispiel das laufende Datum und die laufende Uhrzeit, werden den empfangenen Serverpolitikdaten hinzugefügt, damit sie mit diesen in einer Unterschrift SGST = ALE [PS (QC, IDP) und DHE] unterschrieben werden.
  • Anstatt eines automatischen Übergangs E41 vom Lesen persönlicher Daten DP in der Stufe E4 zur Unterschrift in der Stufe E5, ist als Variante eine Zwischenstufe E42 zwischen den Stufen E4 und E5 vorgesehen, die mittels eines besonderen, die gelesenen Daten DP anzeigenden Ansichtsfensters den Benutzer zur Validierung der Unterschrift der gelesenen Daten DP und zur Übertragung derselben für die folgende Stufe E6 auffordert.
  • Nach der Stufe E5 überträgt die Terminalstation ST die Unterschrift der Serverpolitikdaten SGST und die im Speicher ME in der Stufe E4 gelesenen persönlichen Daten DP. Der Speicher ME der Station ST bewahrt bevorzugt die übertragenen Daten und insbesondere die Unterschrift SGST und die Tageszeitgeberdaten DHE mit der Adresse des Servers auf. Dann wird die Sitzung mit dem Server SE in der Stufe E7 fortgeführt. Der Server SE empfängt somit die Unterschrift SGST, die er mit dem Datum und der Uhrzeit des Empfangs derselben speichert, die wenigstens der Adresse der Terminalstation ST entspricht, um ggf. später nachzuweisen, dass der Benutzer die Kommunikation der zum von den Daten DHE in der Stufe E4 angegebenen Zeitpunkt gelesenen und auf die Stufe E6 übertragenen persönlichen Daten DP genehmigt hat. Wenn der Benutzer die Unterschrift SGST und die übertragenen Daten im Speicher ME aufbewahrt hat, werden sie mit den vom Server empfangenen Daten verglichen, was jeglichem Widerspruch ein Ende setzen dürfte.
  • Zur weiteren Verbesserung des später zu erbringenden Nachweises einer Kommunikation persönlicher Daten werden die Serverpolitikdaten PS (QC, IDP) zuvor in einer Unterschrift SGSE durch den Server SE unterzeichnet und durch diesen mit den laufenden Tageszeitgebungsdaten aufbewahrt. Die Unterschrift SGSE wird mit den Politikdaten PS durch den Server SE übertragen und wird ebenfalls durch die Terminalstation ST in der Stufe E1 empfangen. Die Unterschrift SGSE und die Tageszeitgebungsdaten DHR hinsichtlich des Empfangs der Unterschrift werden in den Speicher ME der Station ST eingeschrieben. Die Unterschrift SGSE bietet ein zusätzliches Präsumptionsmittel, dass der Benutzer die Serverpolitikdaten PS erhalten hat. Der im Server zum Unterzeichnen der Daten PS implantierte Algorithmus ALR unterscheidet sich vom Algorithmus ALE.
  • Gemäß anderen, in den 3 und 4 gezeigten Figuren, umfasst die Terminalstation ST1, ST2 eine Zentraleinheit UC1, UC2, die mit einem Lesegerät für eine ebenfalls als Karte mit Mikrocontroller oder Karte mit integriertem Schaltkreis bezeichnete zusätzliche Chipkarte CP1, CP2 ausgerüstet ist. Die Zentraleinheit UC1, UC2 kann u. a. ein mobiles Funktelefonterminal sein, in dem die Benutzeridentitätskarte SIM (Subscriber Identity Module) unterschiedlich von der zusätzlichen Chipkarte CP1, CP2 ist. Die Verbindung zwischen der Chipkarte CP1, CP2 und der Zentraleinheit UC1, UC2 ist klassisch und kann eine Verbindung mit elektrischem Kontakt oder eine so genannte Verbindung ohne Kontakt oder eine funkelektrische Nahverbindung vom Typ Bluetooth sein, die keinerlei physischen Kontakt zwischen der Zentraleinheit und der Karte erfordert.
  • Gemäß der in 3 gezeigten Realisierung steht die Chipkarte CP1 über ein als Schnittstelle dienendes Softwaremodul (Plugin) IN in Verbindung mit dem Navigator BR1, damit der Mikrocontroller in der Chipkarte CP1 auf die Informationen im Navigator BR1 zugreift.
  • Gemäß der in 4 gezeigten Realisierung kann der Navigator BR2 nicht direkt auf einen Dialog mit dem Server SE über das Netz RE zugreifen. Dann umfasst die Terminalstation ST2 ein intermediäres Proxy-Modul PR zwischen dem Navigator BR2, der Chipkarte CP2 und dem Netz RE, damit der Proxy PR im Verhältnis zum Navigator BR2 die Serverrolle und im Verhältnis zum Server SE die Clientrolle spielt und die Daten, insbesondere die persönlichen Daten DP, in Chipkarte CP2 wiedergewinnen kann.
  • Für die beiden in den 3 und 4 dargestellten Realisierungen sind drei Varianten vorgesehen.
  • Bei diesen drei Varianten führt die Chipkarte CP1, CP2 bevorzugt den Vergleich der Serverpolitikdaten PS mit den in der Station gemäß Stufe E2 vorgespeicherten privaten Politikdaten PP selbst aus.
  • Gemäß einer ersten Variante werden nur die privaten Politikdaten PP (UDP, DP) in der Chipkarte CP1, CP2 anstelle des Speichers ME der Zentraleinheit UC gespeichert. Der Navigator BR1, BR2 besitzt den Unterschriftsalgorithmus ALE.
  • Gemäß einer zweiten Variante speichert die Chipkarte CP1, CP2 und verwaltet alle Daten zur privaten Politik PP. In dieser Variante hat der nicht flüchtige Speicher vom Typ EEPROM der Chipkarte die persönlichen Daten DP, die Nutzungsdaten persönlicher Daten UDP sowie den Unterschriftsalgorithmus ALE vorgespeichert, um in der Karte CP1, CP2 selbst die Unterschrift SGSTS in Abhängigkeit von den Serverpolitikdaten PS und den Tageszeitgebungsdaten DHR zu bestimmen.
  • Die private Politik und insbesondere die dem Benutzer eigenen in der Chipkarte CP1, CP2 vorgespeicherten persönlichen Daten sind somit auf jede beliebige, mit einem Lesegerät für zusätzliche Chipkarten ausgerüstete Plattform portierbar, was die Sicherheit des Zugriffs auf die persönlichen Daten des Benutzers erhöht.
  • Im Verlauf einer Sitzung werden wenigstens die Unterschriften SGST und SGSB und die entsprechenden Tageszeitgebungsdaten DHR und DHE mit der Adresse des Servers SE ebenfalls in der Chipkarte gespeichert.
  • Gemäß einer dritten Variante hat die Zentralstation UC1, UC2 der Terminalstation ST1, ST2 die genannten privaten Politikdaten PP und die persönlichen Daten DP vorgespeichert, und die Chipkarte CP1, CP2 enthält den Algorithmus ALE, um die empfangenen Serverpolitikdaten PS und bevorzugt Tageszeitgebungsdaten zu unterzeichnen.
  • Wie ebenfalls in den 3 und 4 gezeigt, umfasst die Zentraleinheit UC1, UC2 der Terminalstation ST1, ST2 ein Softwaremodul MD1, MD2 zur Abänderung der Daten UDP, IDP, DP der privaten Politik PP durch den Benutzer.
  • Gemäß einer weiteren Variante steht die Chipkarte in direkter Verbindung mit dem Navigator.

Claims (12)

  1. Schutzverfahren für in einer Benutzer-Terminalstation (ST) durch einen Server (SE) gelesene persönliche Daten mit einer Datenübertragung (E1) einer Serverpolitik (PS) ab dem Server auf die Station und einem Vergleich (E2) der Serverpolitikdaten (PS) mit in der Station vorgespeicherten privaten Politikdaten (PP), gekennzeichnet durch eine Bestimmung (E5) einer Unterschrift (SGST) der in der Station (ST) empfangenen Serverpolitikdaten (PS) und einer Übertragung (E6) der Unterschrift (SGST) mit den in der Station gelesenen persönlichen Daten (DP) von der Station auf dem Server, wenn die Serverpolitikdaten (PS) mit den privaten Politikdaten (PP) kompatibel sind.
  2. Verfahren gemäß Anspruch 1, nach dem der Vergleich (E2), die Bestimmung (E5) der Unterschrift (SGST) der Serverpolitikdaten (PS) und die Übertragung (E6) der persönlichen Daten (DP) und der Unterschrift (SGST) in der Terminalstation (ST) ohne Benutzereingriff automatisch (E41) sind.
  3. Verfahren gemäß Anspruch 2, nach dem die empfangenen Serverpolitikdaten (PS) in Form eines in der Terminalstation (ST) angezeigten und automatisch durch die gelesenen persönlichen Daten (DP) ausgefüllten Formulars konvertiert werden.
  4. Verfahren gemäß Anspruch 1 bis 3, nach dem die Terminalstation (ST) die Unterschrift (SGST) ebenfalls in Abhängigkeit von Tageszeitgebungsdaten (DHE) bestimmt (E5).
  5. Verfahren gemäß Anspruch 4, nach dem die Terminalstation (ST) die Unterschrift (SGST) und bevorzugt die Tageszeitgebungsdaten (DHE) speichert.
  6. Verfahren gemäß Anspruch 1 bis 5, mit einer Übertragung (E1) einer Unterschrift (SGSE) der Serverpolitikdaten (PS) mit den Serverpolitikdaten von dem Server (SE) auf die Terminalstation (ST) und einer Speicherung (E1) dieser Unterschrift (SGSE) durch die Terminalstation, bevorzugt mit Tageszeitgebungsdaten (DHR).
  7. Verfahren gemäß Anspruch 1 bis 6, mit einer Lieferung eines Mittels (MP) in der Terminalstation (ST) zur Abänderung der privaten Politikdaten (PP).
  8. Verfahren gemäß Anspruch 1 bis 7, nach dem die Terminalstation (ST1, ST2) eine mit der Zentraleinheit stehende Zentraleinheit (UC1, UC2) und eine Chipkarte (CP1, CP2), die die genannten privaten Politikdaten (PP) und die persönlichen Daten (DP) vorgespeichert hat, umfasst.
  9. Verfahren gemäß Anspruch 8, nach dem die Chipkarte (CP1, CP2) einen Algorithmus (ALE) zur Unterzeichnung der empfangenen Serverpolitikdaten (PS) und bevorzugt von Tageszeitgebungsdaten enthält.
  10. Verfahren gemäß Anspruch 6 und gemäß Anspruch 8 oder 9, nach dem die Chipkarte (CP1, CP2) die vom Server übertragene Unterschrift (SGSE) der Serverpolitikdaten (PS) bevorzugt mit den Tageszeitgebungsdaten speichert.
  11. Verfahren gemäß Anspruch 1 bis 7, nach dem die Terminalstation (ST1, ST2) eine Zentraleinheit (UC1, UC2) umfasst, die die genannten privaten Politikdaten (PP) und die persönlichen Daten (DP) gespeichert hat, und eine mit der Zentraleinheit in Verbindung stehende und einen Algorithmus (ALE) zur Unterzeichnung der empfangenen Serverpolitikdaten (PS) und bevorzugt der Tageszeitgebungsdaten enthaltene Chipkarte (CP1, CP2).
  12. Verfahren gemäß Anspruch 8 bis 11, nach dem die Chipkarte (CP1, CP2) selbst den Vergleich der Serverpolitikdaten (PS) mit den privaten Politikdaten (PP) durchführt.
DE60202154T 2001-07-25 2002-07-22 Verfahren zum schutz persönlicher daten, die in einer endstation durch einen server gelesen werden Expired - Lifetime DE60202154T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0109969A FR2827976B1 (fr) 2001-07-25 2001-07-25 Protection de donnees personnelles lues dans une station terminale par un serveur
FR0109969 2001-07-25
PCT/FR2002/002614 WO2003010639A1 (fr) 2001-07-25 2002-07-22 Protection de donnees personnelles lues dans une station terminale par un serveur

Publications (2)

Publication Number Publication Date
DE60202154D1 DE60202154D1 (de) 2005-01-05
DE60202154T2 true DE60202154T2 (de) 2005-12-15

Family

ID=8865914

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60202154T Expired - Lifetime DE60202154T2 (de) 2001-07-25 2002-07-22 Verfahren zum schutz persönlicher daten, die in einer endstation durch einen server gelesen werden

Country Status (8)

Country Link
US (1) US8464328B2 (de)
EP (1) EP1419429B1 (de)
CN (1) CN1285986C (de)
AT (1) ATE284057T1 (de)
DE (1) DE60202154T2 (de)
ES (1) ES2233874T3 (de)
FR (1) FR2827976B1 (de)
WO (1) WO2003010639A1 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040127256A1 (en) * 2002-07-30 2004-07-01 Scott Goldthwaite Mobile device equipped with a contactless smart card reader/writer
FR2855344A1 (fr) * 2003-05-22 2004-11-26 France Telecom Systeme de gestion de contexte pour un reseau comportant un ensemble heterogene de terminaux
GB2405232B (en) * 2003-08-21 2007-01-03 Hewlett Packard Development Co A method of and apparatus for controlling access to data
EP1997052B1 (de) * 2006-03-22 2012-06-27 BRITISH TELECOMMUNICATIONS public limited company Kommunikationseinrichtungsüberwachung
EP2405374A1 (de) * 2010-07-06 2012-01-11 Gemalto SA Tragbare Vorrichtung zum Zugreifen auf einen Server, entsprechendes System, entsprechender Server und entsprechendes Verfahren
US8347349B1 (en) 2011-10-28 2013-01-01 Google Inc. Configuring browser policy settings on client computing devices

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5544322A (en) * 1994-05-09 1996-08-06 International Business Machines Corporation System and method for policy-based inter-realm authentication within a distributed processing system
US6216231B1 (en) * 1996-04-30 2001-04-10 At & T Corp. Specifying security protocols and policy constraints in distributed systems
US6178505B1 (en) * 1997-03-10 2001-01-23 Internet Dynamics, Inc. Secure delivery of information in a network
US6105027A (en) * 1997-03-10 2000-08-15 Internet Dynamics, Inc. Techniques for eliminating redundant access checking by access filters
US6408336B1 (en) * 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
GB9709135D0 (en) * 1997-05-02 1997-06-25 Certicom Corp Two way authentication protocol
US6026166A (en) * 1997-10-20 2000-02-15 Cryptoworx Corporation Digitally certifying a user identity and a computer system in combination
US6339827B1 (en) * 1997-11-12 2002-01-15 International Business Machines Corporation Method for securing sensitive data in a LDAP directory service utilizing a client and/or server control
US6073242A (en) * 1998-03-19 2000-06-06 Agorics, Inc. Electronic authority server
US6192380B1 (en) * 1998-03-31 2001-02-20 Intel Corporation Automatic web based form fill-in
US6467040B1 (en) * 1998-12-11 2002-10-15 International Business Machines Corporation Client authentication by server not known at request time
US6799177B1 (en) * 1999-05-05 2004-09-28 Verizon Corporate Services Group Inc. Systems and methods for securing extranet transactions
US6519627B1 (en) * 1999-09-27 2003-02-11 International Business Machines Corporation System and method for conducting disconnected transactions with service contracts for pervasive computing devices
US6442696B1 (en) * 1999-10-05 2002-08-27 Authoriszor, Inc. System and method for extensible positive client identification
US6751731B1 (en) * 1999-10-12 2004-06-15 International Business Machines Corporation Piggy-backed key exchange protocol for providing secure, low-overhead browser connections to a server with which a client shares a message encoding scheme
US6751657B1 (en) * 1999-12-21 2004-06-15 Worldcom, Inc. System and method for notification subscription filtering based on user role
US6904417B2 (en) * 2000-01-06 2005-06-07 Jefferson Data Strategies, Llc Policy notice method and system
US6941355B1 (en) * 2000-09-08 2005-09-06 Bbnt Solutions Llc System for selecting and disseminating active policies to peer device and discarding policy that is not being requested
US6978376B2 (en) * 2000-12-15 2005-12-20 Authentica, Inc. Information security architecture for encrypting documents for remote access while maintaining access control
US7073055B1 (en) * 2001-02-22 2006-07-04 3Com Corporation System and method for providing distributed and dynamic network services for remote access server users

Also Published As

Publication number Publication date
CN1559027A (zh) 2004-12-29
DE60202154D1 (de) 2005-01-05
US8464328B2 (en) 2013-06-11
EP1419429B1 (de) 2004-12-01
FR2827976B1 (fr) 2004-01-23
ATE284057T1 (de) 2004-12-15
FR2827976A1 (fr) 2003-01-31
WO2003010639A1 (fr) 2003-02-06
ES2233874T3 (es) 2005-06-16
US20050050437A1 (en) 2005-03-03
EP1419429A1 (de) 2004-05-19
CN1285986C (zh) 2006-11-22

Similar Documents

Publication Publication Date Title
DE60015748T2 (de) Speichermedien
DE69904570T3 (de) Verfahren, anordnung und einrichtung zur authentifizierung durch ein kommunikationsnetz
DE69934911T2 (de) Mobiltelefon auto-pc-logon
DE69838769T2 (de) System und Verfahren zum anonymen, personalisierten Browsen in einem Netzwerk
EP1044554B1 (de) Verfahren und system, um benutzern eines telekommunikationsnetzes objekte zur verfügung zu stellen
DE602004012602T2 (de) Verfahren und vorrichtung zur personalisierung und identitätsverwaltung
DE60218873T2 (de) Verkaufsstellentransaktionssystem mit sprach-authentifizierung
DE69834410T2 (de) Verfahren und vorrichtung zur erzeugung physischer sicherheit eines benutzerkontos und zugangsermöglichung zur umgebung und zu den präferenzen eines benutzers
DE60221880T2 (de) System und verfahren zur erzeugung eines gesicherten netzes unter verwendung von beglaubigungen von verfahrensgruppen
WO2009003605A9 (de) Virtuelle prepaid- oder kreditkarte und verfahren und system zur bereitstellung einer solchen und zum elektronischen zahlungsverkehr
DE60222810T2 (de) Verfahren, system und einrichtung zur dienstauswahl über ein drahtloses lokales netzwerk
DE60202154T2 (de) Verfahren zum schutz persönlicher daten, die in einer endstation durch einen server gelesen werden
DE60311146T2 (de) Verfahren zur vertrauenswürdigen Kommunikation zwischen zwei Einheiten
DE102011115154B3 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos
EP1034670B1 (de) Verfahren zur verwaltung von informationen auf identifikationskarten
DE60206592T2 (de) Offset Sicherheitsverfahren zum Datenaustausch
WO1999027721A1 (de) Verfahren und vorrichtungen zur verwaltung von informationen auf identifikationskarten
EP1337119A1 (de) Netzwerkserver zur Speicherung von SIM-Daten
DE102009027268B3 (de) Verfahren zur Erzeugung eines Identifikators
WO1999045690A1 (de) Verfahren und vorrichtung zum universellen und gesicherten zugang zu telefonnetzen
EP2434719B1 (de) Verfahren und Server zum Bereitstellen von Nutzerinformationen
DE60310872T2 (de) Verfahren zur Verwaltung einer Einstellung eines Gateways von einem Benutzer des Gateways
EP1860595B1 (de) Chipkarte mit wenigstens zwei Identitäten
EP1419638A2 (de) Computersystem und verfahren zur datenzugriffskontrolle
DE102010028217A1 (de) Elektronisches Gerät, Telekommunikationssystem und Verfahren zum Lesen von Daten aus einem elekronischen Gerät

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R082 Change of representative

Ref document number: 1419429

Country of ref document: EP

Representative=s name: HOFFMANN - EITLE, DE