EP2041686A1 - Serveur de gestion de donnees confidentielles anonymes - Google Patents

Serveur de gestion de donnees confidentielles anonymes

Info

Publication number
EP2041686A1
EP2041686A1 EP07787274A EP07787274A EP2041686A1 EP 2041686 A1 EP2041686 A1 EP 2041686A1 EP 07787274 A EP07787274 A EP 07787274A EP 07787274 A EP07787274 A EP 07787274A EP 2041686 A1 EP2041686 A1 EP 2041686A1
Authority
EP
European Patent Office
Prior art keywords
data
coded
user
confidential
confidential data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP07787274A
Other languages
German (de)
English (en)
Inventor
Frédéric Faure
Gary Chew
Lionel Martin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales DIS France SA
Original Assignee
Gemalto SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gemalto SA filed Critical Gemalto SA
Publication of EP2041686A1 publication Critical patent/EP2041686A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification

Definitions

  • the present invention relates to an anonymous confidential data management server.
  • the user terminals store their personal data locally and exchange them directly with other terminals in point-to-point communication.
  • a first terminal wishing to communicate with a second terminal of the network must first perform a search for information characterizing the second terminal to obtain a contact identifier of the second terminal such as a telephone number or an Internet address. During this search, the first terminal must address many network terminals before obtaining a first contact with the second terminal, which leads to a long search time and a significant occupation of the network.
  • a solution to the drawbacks mentioned above is recommended in the US patent application US 2004/0139025 filed November 10, 2003 concerning a method of protecting personal information.
  • This process guarantees the control and confidentiality of the personal information of individuals, prevents unauthorized use thereof and allows limited use by access rights.
  • Individual data is collected and maintained in a secure database of confidential data.
  • the rights of access to an individual's confidential data are included in notifications transmitted from the database managing entity to other parties involved in the confidential data transactions of the individual.
  • each party involved in a transaction knows the identity of the individual and can then communicate directly with it.
  • the invention aims to find a contact of a user based on his private personal information without disclosing them. Thus an entity having made such a search is put in relation with the user without knowing the personal data of the user.
  • a method for managing confidential data of users of communicating objects stored in a server medium, the communicating objects and the server medium communicating through a telecommunications network comprises the steps following: storing encoded confidential data and a user reference transmitted from a first communicating object in the server medium, and searching for a reference of a user from stored encoded confidential data associated with other user references in the server means as a function of at least one coded search data transmitted from a second communicating object, and transmission of at least one user reference associated with a coded confidential data item corresponding to the search data coded by the server means to the second communicating object.
  • the coded confidential data record may comprise an input of the confidential data of the user from the first communicating object, a coding of said confidential data and a transmission of the coded confidential data and the reference of the user to the means.
  • server in order to record the coded confidential data in association with the reference of the user in the server medium among coded confidential data associated with references of other users.
  • the reference search can comprise an input of at least one search data from the second communicating object, a coding of the search data into the coded search data, a transmission of the coded search data to the server means so that the one it compares the coded search data transmitted to all the coded confidential data stored in the server means, and transmits to the second communicating object at least the reference associated with the coded confidential data item corresponding to the coded search data item.
  • the server means does not contain personal user data but encrypted confidential data undecipherable by a malicious entity attempting to access the data in the server medium.
  • the method of the invention has the advantage of obtaining a reference from a user of the network from search data characterizing the user in order, for example, to relate to the latter, without the latter disclosing his information. confidential personal data.
  • the method comprises an update of at least a first confidential data of the user into a modified confidential data item from the first communicating object, a coding of said modified confidential data item and a transmission of the first coded confidential data item.
  • coded modified confidential data and the reference of the user to the server means, a deletion of coded confidential data associated with the reference of the user in the server means and identical to the first coded confidential data transmitted, and a record of the modified confidential data encoded in association with the reference of the user in the server medium.
  • each confidential data item is associated with a category that characterizes it and is recorded coded in the server medium in association with said category and the reference, and during the search, the reference and category associated in the server medium with a coded confidential data corresponding to the data coded search are transmitted to the second communicating object.
  • the confidential data entered by the user in the first communicating object is declined in at least one confidential version which is also coded, transmitted to the server means and recorded in the server medium in association with the reference of the user of the first communicating object; and during the search, the search data in the second communicating object is divided into at least one search variation which is coded, transmitted to the server means and compared with the confidential coded data and associated associated coded confidential declensions in the server medium.
  • the invention also relates to a server means for managing confidential data of users of communicating objects through a telecommunications network.
  • the server means is characterized in that it comprises: means for storing coded confidential data and a reference of a user transmitted from a first communicating object, means for searching a reference of a user among registered coded confidential data associated with other user references as a function of at least one coded search data transmitted from a second communicating object, and means for transmitting at least one user reference associated with a coded confidential data corresponding to the data of coded search to the second communicating object.
  • the invention also relates to a communicating object, communicating through a telecommunications network with a server means for managing confidential data of users.
  • the communicating object is characterized in that it comprises during a recording of confidential data of the user of the communicating object: a means for entering said confidential data; means for encoding said confidential data; and means for transmitting the encrypted confidential data and a reference of the user to the server means for storing the encoded confidential data in association with the user reference in the server medium among coded confidential data associated with references unique to other users.
  • the invention also relates to a communicating object, communicating through a telecommunications network with a server means for managing confidential data of users.
  • the communicating object is characterized in that it comprises, when searching for a reference of a user of another communicating object: a means for entering at least one search data item; means for encoding the search data into coded search data; and means for transmitting the coded search data to the server means for the server to compare the transmitted coded search data with all coded confidential data stored in the server. medium server, and transmits to the communicating object at least one user reference associated with an encoded confidential data corresponding to the coded search data.
  • a communicating object according to the invention may comprise both the means stated in the two preceding paragraphs.
  • the invention relates to a computer program adapted to be implemented in a server means communicating with communicating objects through a telecommunications network for managing confidential data of users of communicating objects.
  • the program includes instructions which, when the program is executed in said server means, perform the steps according to the method of the invention.
  • FIG. a schematic block diagram of an anonymous confidential data management system implementing an anonymous confidential data management method according to the invention
  • Figure 2 is a more detailed block diagram of the system of Figure 1;
  • FIG. 3 is an algorithm representative of a first main step of the method for storing confidential user data according to the invention
  • FIG. 4 is an algorithm representative of a second main step of the method according to the invention for searching a reference relating to anonymous confidential data of a user.
  • FIG. 1 represents an anonymous confidential data management system comprising an anonymous confidential data management server ADS and communicating objects such as a mobile radio terminal TA, a personal computer TB or any other personal communication device, through a network.
  • RR-RPQ telecommunications network telecommunications network.
  • the telecommunications network comprises a GSM type cellular radio network with mobility management and GPRS radio access, or third generation Coded Division Multiple Access (3GPP) type multiple access type.
  • GSM Global System for Mobile communications
  • 3GPP Third Generation Coded Division Multiple Access
  • UMTS Universal Mobile Telecommunications System
  • UTRAN UMTS
  • the network RT can also be a WiFi type local network (Wireless Fidelity), WiMax
  • Wibro Wireless Broadband
  • NFC Near-Fi Protected Fidelity
  • the anonymous confidential data management server ADS is connected to or comprises a database BD which contains confidential data coded DC1 to DCN respectively associated with unique references RU1 to RUN.
  • Datas confidential DCA, DCB, with l ⁇ A ⁇ N, l ⁇ B ⁇ N, are for example personal data of a user of a communicating object TA, TB, and correspond for example to the name of the user, his first name, date of birth, home address, phone number (s), occupation, business address.
  • the unique reference RUA, RUB of the user can be his phone number. However, it is preferable that this unique reference remains anonymous and characterizes the user and / or his terminal without allowing the user to be directly identified and to allow direct communication with him.
  • a user who wishes to communicate with another user without necessarily disclosing his personal data uses the management server 1 of the invention.
  • the management server implements an anonymous confidential data management method comprising two main steps respectively represented in FIGS. 3 and 4. These main steps are a record of confidential anonymous coded data of a user associated with a unique reference of the user in the database BD, and a search for a unique reference of a user based on a coded search data among anonymous confidential coded user data stored in the database BD.
  • the terminal TA When recording confidential data of a user of a first communicating object, for example the mobile radio terminal TA, the terminal TA transmits the confidential data in DCA encoded form and a single reference RUA characterizing the terminal user to the ADS server via the RR radio networks and RPQ packets.
  • the ADS server stores the DCA data in association with the reference RUA in the database BD.
  • the computer TB transmits to the server ADS via the packet network RPQ a request RQ containing search data encoded DRC.
  • the server sends him one or RUn user references relating to confidential data DCn stored in the database BD and corresponding to the search data DRC, with 1 ⁇ n ⁇ N.
  • the communication gateway may include an access gateway for communicating with the ADS server through the network of high-speed RPQ packets.
  • Another access gateway of the communication gateway communicates with at least one switch of the RR radio network, often through an access network such as an X.25 type packet network or an ISDN network (network Digital to Service Integration) or ATM (Asynchronous Transfer Mode).
  • the communication gateway exchanges with the mobile radio terminal TA through the RR network messages that encapsulate IP packets (Internet Protocol) forwarded to and through the ADS server through the RPQ network.
  • IP packets Internet Protocol
  • the anonymous confidential data management server ADS and the communicating object TA are represented in the form of functional blocks, most of which provide functions relating to the invention and can correspond to software modules and / or or materials.
  • the communicating object TB is not shown.
  • the anonymous confidential data management server ADS comprises a data manager GD which manages various operations in the database BD, and a communication interface IC for transmitting and receiving IP packets through the packet network RPQ.
  • the operations managed by the manager GD include the recording of confidential coded data of a user transmitted by the communicating object of the user in association with a unique reference of the user, the search for confidential data encoded in the database BD compared to search data transmitted by another communicating object, and the establishment of a response RP containing one or references to the confidential data encoded in the database corresponding to the search data.
  • the communicating object TA illustrated in FIG. 2 is a mobile radio terminal associated by or without contact with a CA smart card.
  • the mobile radio terminal TA comprises an IRT radio interface, a PT processor, an HMI human-machine interface, MT memories and an LT card reader.
  • the various elements of the terminal are interconnected by a bidirectional bus BT.
  • the interface HMI controls the interaction between the terminal TA and the user of the terminal, and comprises a keyboard associated with a display and / or a touch screen and optionally a voice recognition device.
  • the CA smart card is a multi-media card (MMC), or SD (Secure Digital) or USB (Universal Serial Bus) or UICC (Universal Integrated Circuit (s) Card).
  • MMC multi-media card
  • SD Secure Digital
  • USB Universal Serial Bus
  • UICC Universal Integrated Circuit
  • the UICC smart card is for example a card provided with a Subscriber Identity Module (SIM) application when the terminal hosting the card is a mobile connected to a GSM / GPRS type network (Global System for Mobile Communications / General Packet Radio Service). ), or a Universal Subscriber Identity (USIM) application
  • SIM Subscriber Identity Module
  • GSM Global System for Mobile Communications / General Packet Radio Service
  • USB Universal Subscriber Identity
  • ISIM Removable User Identity Module
  • ISIM Removable User Identity Module
  • IP Subscriber Identity Module or EAP-SIM
  • the CA chip card mainly comprises a PC processor, or several processors, and three memory blocks M1 to M3.
  • the card exchanges commands, or requests, and responses with the TA terminal through a PES input / output port and the LT reader with or without contact.
  • the different elements of the card are connected to each other by a bidirectional bus BC.
  • the memory Ml is of the ROM or Flash type and includes the operating system of the card.
  • the memory M2 is a non-volatile memory, for example EEPROM or Flash, in particular for storing keys, identity numbers and other parameters of the profile of the user having the card, such as personal data, a PIN code and other data. of security.
  • the memory M2 also includes the unique reference RUA of the user and an AC coding algorithm.
  • the AC coding algorithm has the particularity of carrying out a one-way coding on a datum that does not then make it possible to retrieve the datum by applying an inverse algorithm.
  • the coding algorithm is for example an asymmetric encryption algorithm or a generator of a graphical representation representing the data once coded.
  • the memory M3 is a RAM or SRAM memory used more particularly for data processing.
  • the CA smart card further comprises, in relation to the invention, an AE recording application, an AR search application and a software module called an AgC coding agent (applet), distributed in the memories M1 and M2.
  • the applications AE and AR relate to the two distinct main steps of the method of the invention and are activated from the human-machine interface HMI under the control of the user of the terminal.
  • the AE recording application displays on the HMI interface fields for entering and validating confidential data by the user of the terminal when he wishes to record personal data in the ADS server.
  • the search application AR displays on the interface HMI fields to enter and validate search data by the user when it wishes to obtain a unique reference from another user of a terminal of the telecommunications network that has already registered his personal data with the ADS server.
  • the search application also displays the unique reference (s) obtained from the ADS server or a result derived from these references.
  • the two applications AE and AR are one and the same application.
  • the main function of the AgC coding agent is to memorize in the memory M2 and to code the data entered and validated on the human-machine interface HMI in order to transmit them in coded form to the ADS server.
  • the MT memories of the terminal TA comprise the two applications AE and AR and optionally the coding agent AgC.
  • the communicating object of a user such as the terminal TA associated with the smart card CA, includes only one of the two applications AE and AR for either saving personal data or performing a search to obtain one or more references from other users.
  • the invention is not limited to a mobile radio terminal associated with a smart card.
  • the map to chip can also be a card included in a portable computer for example connected to a mobile terminal or directly connected to the Internet, a credit card, an electronic purse card, a health card, an electronic passport, or any other additional card linked to a mobile terminal.
  • the invention applies to other portable communicating electronic objects, such as personal computers or PDA communicating personal digital assistants.
  • the main step of recording confidential data of the anonymous confidential data management method comprises steps E1 to E7.
  • step E1 the user of the mobile radio terminal TA activates the recording application AE by means of the interface HMI. It displays personal data entry fields such as a name field, a first name field, a date field, an address field, a phone number field and a profession field.
  • the user enters personal data DA in step E2.
  • the user selects from the personal data entered those DPA he wishes to register anonymously and confidentially in the ADS server to allow a subsequent search of its reference by another user.
  • step E3 Upon validation of the recording, after selecting a validation icon for example on the HMI interface, in step E3, the recording application AE transfers the data entered to the AgC coding agent. This one memorizes all the personal data DA transferred to the memory M2 of the card, in step E4. Then, in step E5, the AgC agent applies the AC one-way coding algorithm to the selected DPA data in order to encode them into DCA-encoded personal data.
  • step E6 the agent AgC establishes a registration message MR comprising the personal data encoded DCA and the reference RUA of the user read in the memory M2.
  • the message MR is transmitted by the radio interface IRT of the terminal TA to the server ADS.
  • the data manager GD of the ADS server On receipt of the message MR by the communication interface IC in the ADS server, in step E7, the data manager GD of the ADS server stores the confidential data encoded DCA in association with the reference RUA in the database BD .
  • the message MR also includes for each personal coded data transmitted the category, or an identifier of the category, of the associated input field transmitted in clear, such as "name”, “first name”, “date”, “address” ",” phone number "or” profession ".
  • each coded personal data is registered in association with its category or the category identifier, and the set of DCA data and their categories is registered in association with the unique reference RUA of the user.
  • the recording application AE optionally displays all the confidential data stored in the memory M2 by means of the interface HMI of the terminal.
  • the user modifies one or more confidential data some of which have been previously selected or are newly selected by the user to be recorded anonymously in the ADS database BD.
  • the application AE transfers the modified data to the coding agent. It updates them in memory M2 by overwriting the corresponding initial data, and encodes the selected modified data. Then the encoding agent transmits a message containing the encoded modified confidential data, the initial encoded confidential data and the reference of the user to the ADS server.
  • the data manager GD of the ADS server deletes from the database BD the confidential coded data associated with the reference of the user extracted from the message and which are identical to the initial confidential coded data also extracted from the message. message.
  • the manager GD stores, in the database BD, the coded modified confidential data extracted from the transmitted message, in association with the reference of the user.
  • the main step of searching for confidential data of the management method of FIG. anonymous confidential data includes steps R1 through R8.
  • step R1 the user of the personal computer TB wishing to obtain the reference RUA of the user of the terminal TA activates the search application AR by means of the interface HMI. It displays search fields for confidential data such as a name field, a first name field, a date field, an address field, a phone number field and a profession field.
  • step R2 the user of the computer TB enters in the search field or fields at least one DR search data or often DR search data characterizing the user of the terminal TA with which the user of the computer TB wishes to be connected, for example.
  • the search application AR transfers the data or search data DR input to the agent AgC coding of the TB computer.
  • the agent applies the one-way coding algorithm AC, identical to that used by the coder of the terminal TA, to the search data item DR in order to code it into coded search data. DRC.
  • the DR data is thus coded in a manner similar to the personal data stored in coded form in the database BD.
  • the AgC agent of the computer TB makes a request RQ including the search data encoded DRC.
  • the request RQ is transmitted to the server ADS by a communication interface of the computer TB to the server ADS.
  • the data manager GD of the server ADS compares the confidential coded data DCn associated with each reference RUn with the transmitted coded search data. DRC extracted from the RQ request. If one or more confidential data are respectively identical to one or more DRC encoded search data, then the reference associated with the encoded confidential data is copied into a response RP established by the manager GD.
  • the manager GD performs the same operation for each reference recorded in the database BD, the DRC encoded search data extracted from the request RQ can be identical to certain confidential coded data associated with two or more different references RUl to RUN.
  • the response RP including one or more references RUn associated with confidential data identical to the search data encoded DRC is transmitted to the computer TB.
  • the response RP is processed by the AgC coding agent of the computer TB which instructs the search application AR to display the transmitted references RUn by means of the human-machine interface HMI, in step R8.
  • the request RQ also includes for each coded search data transmitted the category, or an identifier of the category, the associated search field, transmitted in clear, such as "name”, “first name”, “date”, “ address ",” number of telephone "or” profession. "Thus the ADS GD data manager compares the DCn encoded confidential data associated with each RUn reference and the categories associated with these data with respectively the DRC encoded search data and the associated associated categories extracted from the request. This makes it possible to establish a response containing the references corresponding to the coded confidential data which are identical to the coded search data and whose associated categories are identical to the categories associated with said coded search data.
  • the data manager GD includes in the response RP one or more references RUn in association with the coded search data identical to the confidential coded data associated with said references in the database BD.
  • the search application AR of the computer TB displays, by means of the human-machine interface HMI, the transmitted references RUn together with the corresponding search data entered by the user. in step R1 and relating to the coded search data extracted from the RP response.
  • the category associated with the confidential data item is included in the response RP in association with the reference relating to said confidential data item.
  • the response RP therefore includes one or more references associated with categories of encrypted confidential data corresponding to the coded search data.
  • the transmitted categories are displayed on the HMI interface together with the references to which they are associated.
  • the user of the computer TB wishes to be put in contact with the user of the terminal TA.
  • the user of the computer TB activates the search application AR by means of the interface HMI, and enters in the search field "name", the name of the user of the terminal TA as search data.
  • the AgC agent of the computer TB encodes the search data and transmits it in a request RQ to the ADS server.
  • the server ADS Upon receiving the request, the server ADS searches the database BD as described in step R6, and obtains two identical confidential data corresponding to the transmitted search data.
  • the categories and references associated with the two confidential data obtained are respectively different.
  • the first confidential data associated with a first reference corresponds to a first name while the second confidential data associated with a second reference corresponds to a name.
  • the ADS server transmits an RP response including the two references and the two categories respectively associated with the computer TB.
  • each category is displayed on the HMI interface together with the reference with which it is associated, indicating for example that a first reference is relative to a first name and that the second reference relates to a name.
  • the user selects the second reference relating to the category "name" and further characterizes the user of the terminal TA in order, for example, to communicate with the latter using the reference selected. .
  • the one-way coding algorithm AC may comprise two different coding functions.
  • Each personal data item to be encoded is applied to each of the two functions in order to obtain from the same personal data two separate coded data concatenated into a pair registered in association with the same category in the database BD.
  • the entered search data is also encoded to obtain two distinct concatenated search data to compare with all pairs of concatenated coded confidential data stored in the database.
  • each personal data input by means of the interface HMI and transmitted to the coding agent in the terminal TA is declined by the agent in one or more generally several declensions which can be parts of the personal data entered and / or data substantially similar to the personal data entered or parts of it, for example distinct by their spelling and / or pronunciation.
  • declensions which can be parts of the personal data entered and / or data substantially similar to the personal data entered or parts of it, for example distinct by their spelling and / or pronunciation.
  • each search data input by means of the HMI interface and transmitted to the coding agent is declined by the agent in one or more generally several variations of the entered search data.
  • This search data and their variations are coded by the coding agent and transmitted to the ADS server which compares them with the coded confidential data and their coded declensions recorded in the database BD.
  • the references of the coded confidential data and / or their coded versions corresponding to the coded search data and / or their coded declensions are transmitted to the terminal requiring a search, and are displayed in order of similarity of the variations of the search data entered with the research data.
  • the invention described here relates to a confidential data management method.
  • the steps of the method of the invention are determined by the instructions of a computer program incorporated in an ADS server means communicating with communicating objects TA, TB through an RR-RPQ telecommunications network to manage confidential data of users of communicating objects.
  • the program comprises program instructions which, when said program is executed in a processor of the server means, perform the steps of the method according to the invention.
  • the program can also be executed partly in communicating objects TA, TB.
  • the invention also applies to a computer program, in particular a computer program recorded on or in a computer readable information medium and any data processing device, adapted to implement the computer program. 'invention.
  • This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code such as in a partially compiled form, or in any other form desirable to implement the method according to the invention.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

Lors d'un enregistrement de données confidentielles d'un usager dans un objet communicant, l'usager saisit les données confidentielles qui sont codées et transmises avec une référence de l'usager vers un serveur (ADS) afin d'y enregistrer les données confidentielles codées en association à la référence. Lors d'une recherche d'une référence d'un autre usager d'un objet communicant dans l'objet communicant, l'usager saisit une donnée de recherche qui est codée et transmise au serveur pour y comparer la donnée de recherche codée transmise à toutes les données confidentielles codées enregistrées dans le serveur. Le serveur transmet à l'objet communicant une référence associée à une donnée confidentielle codée correspondant à la donnée de recherche codée. Ainsi l 'usager de l'objet communicant est mis en relation avec l'autre usager sans connaître les données personnelles de celui-ci.

Description

Serveur de gestion de données confidentielles anonymes
La présente invention concerne un serveur de gestion de données confidentielles anonymes.
Dans des serveurs de gestion de répertoire de données personnelles mis en œuvre dans des réseaux avec infrastructure de type Internet, tels qu'un serveur de courrier électronique dans lequel sont stockées des adresses mails, les usagers doivent fournir au serveur des informations qui les caractérisent. Un tel serveur de gestion peut être attaqué par une entité malveillante qui accède dans la base de données du serveur à toutes les informations personnelles des usagers pour les utiliser frauduleusement.
Dans le cas des réseaux décentralisés de type ad-hoc, les terminaux d'usager gardent localement en mémoire leurs données personnelles et les échangent directement avec d'autres terminaux en communication point à point . Un premier terminal souhaitant communiquer avec un deuxième terminal du réseau doit d'abord effectuer une recherche relative à une information caractérisant le deuxième terminal afin d'obtenir un identificateur de contact du deuxième terminal tel qu'un numéro de téléphone ou une adresse internet. Lors de cette recherche, le premier terminal doit s'adresser à de nombreux terminaux du réseau avant d'obtenir un premier contact avec le deuxième terminal, ce qui conduit à un temps de recherche long et une occupation importante du réseau . Une solution aux inconvénients cités précédemment est préconisée dans la demande de brevet américain US 2004/0139025 déposée le 10 novembre 2003 concernant un procédé de protection d'informations personnelles. Ce procédé garantit le contrôle et la confidentialité des informations personnelles d'individus, empêche une utilisation non autorisée de celles-ci et en permet une utilisation limitée par des droits d'accès. Les données propres aux individus sont collectées et maintenues dans une base sécurisée de données confidentielles. Les droits d'accès aux données confidentielles d'un individu sont inclus dans des notifications transmises depuis l'entité gérant la base de données vers d'autres parties impliquées dans des transactions de données confidentielles de l'individu. Ainsi chaque partie impliquée dans une transaction connaît l'identité de 1 ' individu et peut ensuite communiquer directement avec celui-ci.
L'invention a pour objectif une recherche de contact d'un usager basée sur ses informations personnelles privées sans pour autant les divulguer. Ainsi une entité ayant effectuée une telle recherche est mise en relation avec l'usager sans connaître les données personnelles de l'usager.
Pour atteindre cet objectif, un procédé de gestion de données confidentielles d'usagers d'objets communicants enregistrées dans un moyen serveur, les objets communicants et le moyen serveur communiquant à travers un réseau de télécommunications, est caractérisé en ce qu'il comprend les étapes suivantes : enregistrement de données confidentielles codées et d'une référence d'un usager transmises depuis un premier objet communicant dans le moyen serveur, et recherche d'une référence d'un usager parmi des données confidentielles codées enregistrées associées à d'autres références d'usagers dans le moyen serveur en fonction d'au moins une donnée de recherche codée transmise depuis un deuxième objet communicant, et transmission d'au moins une référence d'usager associée à une donnée confidentielle codée correspondant à la donnée de recherche codée par le moyen serveur au deuxième objet communicant.
Plus particulièrement, l'enregistrement de données confidentielles codées peut comporter une saisie des données confidentielles de l'usager depuis le premier objet communicant, un codage desdites données confidentielles et une transmission des données confidentielles codées et de la référence de l'usager vers le moyen serveur afin d'enregistrer les données confidentielles codées en association à la référence de l'usager dans le moyen serveur parmi des données confidentielles codées associées à des références d'autres d'usagers. La recherche de référence peut comporter une saisie d'au moins une donnée de recherche depuis le deuxième objet communicant, un codage de la donnée de recherche en la donnée de recherche codée, une transmission de la donnée de recherche codée au moyen serveur afin que celui-ci compare la donnée de recherche codée transmise à toutes les données confidentielles codées enregistrées dans le moyen serveur, et transmette au deuxième objet communicant au moins la référence associée à la donnée confidentielle codée correspondant à la donnée de recherche codée. Selon 1 ' invention, le moyen serveur ne contient pas de données personnelles d'usager mais des données confidentielles codées indéchiffrables par une entité mal intentionnée tentant d'accéder aux données dans le moyen serveur. Ainsi le procédé de l'invention a pour avantage d'obtenir une référence d'un usager du réseau à partir de données de recherche caractérisant l'usager afin par exemple d'entrer en relation avec celui-ci, sans que ce dernier divulgue ses données personnelles confidentielles.
Selon une caractéristique, le procédé comprend une mise à jour d'au moins une première donnée confidentielle de l'usager en une donnée confidentielle modifiée depuis le premier objet communicant, un codage de ladite donnée confidentielle modifiée et une transmission de la première donnée confidentielle codée, de la donnée confidentielle modifiée codée et de la référence de l'usager vers le moyen serveur, une suppression d'une donnée confidentielle codée associée à la référence de l'usager dans le moyen serveur et identique à la première donnée confidentielle codée transmise, et un enregistrement de la donnée confidentielle modifiée codée en association à la référence de l'usager dans le moyen serveur.
Selon une autre caractéristique de 1 ' invention, lors de l'enregistrement, chaque donnée confidentielle est associée à une catégorie qui la caractérise et est enregistrée codée dans le moyen serveur en association à ladite catégorie et à la référence, et lors de la recherche, la référence et la catégorie associées dans le moyen serveur à une donnée confidentielle codée correspondant à la donnée de recherche codée sont transmises au deuxième objet communicant .
Selon encore une autre caractéristique de l'invention, lors de l'enregistrement, la donnée confidentielle saisie par l'usager dans le premier objet communicant est déclinée en au moins une déclinaison confidentielle qui est également codée, transmise au moyen serveur et enregistrée dans le moyen serveur en association à la référence de l'usager du premier objet communicant; et lors de la recherche, la donnée de recherche dans le deuxième objet communicant est déclinée en au moins une déclinaison de recherche qui est codée, transmise au moyen serveur et comparée aux données confidentielles codées et aux déclinaisons confidentielles codées associées enregistrées dans le moyen serveur.
L'invention a aussi pour objet un moyen serveur pour gérer des données confidentielles d'usagers d'objets communicants à travers un réseau de télécommunications. Le moyen serveur est caractérisé en ce qu'il comprend : un moyen pour enregistrer des données confidentielles codées et une référence d'un usager transmises depuis un premier objet communicant, un moyen pour rechercher une référence d'un usager parmi des données confidentielles codées enregistrées associées à d'autres références d'usagers en fonction d'au moins une donnée de recherche codée transmise depuis un deuxième objet communicant, et un moyen pour transmettre au moins une référence d'usager associée à une donnée confidentielle codée correspondant à la donnée de recherche codée au deuxième objet communicant. L'invention concerne aussi un objet communicant, communiquant à travers un réseau de télécommunications avec un moyen serveur pour gérer des données confidentielles d'usagers. L'objet communicant est caractérisé en ce qu'il comprend lors d'un enregistrement de données confidentielles de l'usager de l'objet communicant : un moyen pour saisir lesdites données confidentielles ; un moyen pour coder lesdites données confidentielles; et un moyen pour transmettre les données confidentielles codées et une référence de l'usager vers le moyen serveur afin d'enregistrer les données confidentielles codées en association à la référence de l'usager dans le moyen serveur parmi des données confidentielles codées associées à des références uniques d'autres usagers.
L'invention concerne également un objet communicant, communiquant à travers un réseau de télécommunications avec un moyen serveur pour gérer des données confidentielles d'usagers. L'objet communicant est caractérisé en ce qu'il comprend lors d'une recherche d'une référence d'un usager d'un autre objet communicant : un moyen pour saisir au moins une donnée de recherche ; un moyen pour coder la donnée de recherche en une donnée de recherche codée ; et un moyen pour transmettre la donnée de recherche codée au moyen serveur afin que celui-ci compare la donnée de recherche codée transmise à toutes les données confidentielles codées enregistrées dans le moyen serveur, et transmette à l'objet communicant au moins une référence d'usager associée à une donnée confidentielle codée correspondant à la donnée de recherche codée . Plus généralement un objet communiquant selon 1 ' invention peut comprendre à la fois les moyens énoncés dans les deux paragraphes précédents.
Enfin, l'invention se rapporte à un programme d'ordinateur apte à être mis en œuvre dans un moyen serveur communiquant avec des objets communicants à travers un réseau de télécommunications pour gérer des données confidentielles d'usagers des objets communicants. Le programme comprend des instructions qui, lorsque le programme est exécuté dans ledit moyen serveur, réalisent les étapes selon le procédé de l'invention.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante de plusieurs réalisations de l'invention données à titre d'exemples non limitatifs, en référence aux dessins annexés correspondants dans lesquels : - la figure 1 est un bloc-diagramme schématique d'un système de gestion de données confidentielles anonymes mettant en œuvre un procédé de gestion de données confidentielles anonymes selon l'invention ; la figure 2 est un bloc-diagramme plus détaillé du système de la figure 1 ;
- la figure 3 est un algorithme représentatif d'une première étape principale du procédé pour enregistrer des données confidentielles d'usager selon 1 ' invention ; et - la figure 4 est un algorithme représentatif d'une deuxième étape principale du procédé selon 1 ' invention pour rechercher une référence relative à des données confidentielles anonymes d'un usager.
La figure 1 représente un système de gestion de données confidentielles anonymes comprenant un serveur de gestion de données confidentielles anonymes ADS et des objets communicants tels qu'un terminal radio mobile TA, un ordinateur personnel TB ou tout autre dispositif de communication personnelle, à travers un réseau de télécommunications RR-RPQ.
Le réseau de télécommunications comprend un réseau de radiocommunications cellulaire RR du type GSM avec gestion de la mobilité et accès par voie radio GPRS, ou du type à accès multiple à répartition par codes CDMA (Coded Division Multiple Access) de la troisième génération (3GPP) du type UMTS (Universal Mobile Télécommunications System) ou UTRAN (UMTS
Terrestrial Radio Access Network) , ou de la troisième génération (3GPP2) du type CDMA 2000, adossé à un réseau à commutation par paquets RPQ de type internet . Le réseau RT peut également être un réseau local du type WiFi (Wireless Fidelity) , WiMax
(Worlwide Interoperability for Microwave Access) ou
Wibro (Wireless Broadband) , ou encore un réseau de proximité du type infrarouge, Bluetooth ou NFC (Near
Field Communication) .
Le serveur de gestion de données confidentielles anonymes ADS est relié ou comprend une base de données BD qui contient des données confidentielles codées DCl à DCN respectivement associées à des références uniques RUl à RUN. Des données confidentielles DCA, DCB, avec l ≤ A ≤ N, l ≤ B ≤ N, sont par exemple des données personnelles d'un usager d'un objet communicant TA, TB, et correspondent par exemple au nom de l'usager, à son prénom, sa date de naissance, son adresse personnelle, son ou ses numéros de téléphone, sa profession, son adresse professionnelle. La référence unique RUA, RUB de l'usager peut être son numéro de téléphone. Il est toutefois préférable que cette référence unique reste anonyme et caractérise l'usager et/ou son terminal sans pour autant permettre d' identifier directement l'usager et permettre une communication directe avec lui.
Un usager qui souhaite communiquer avec un autre usager sans nécessairement divulguer ses données personnelles utilise le serveur de gestion de 1 ' invention.
Le serveur de gestion met en œuvre un procédé de gestion de données confidentielles anonymes comportant deux étapes principales respectivement représentées aux figures 3 et 4. Ces étapes principales sont un enregistrement de données confidentielles anonymes codées d'un usager associées à une référence unique de l'usager dans la base de données BD, et une recherche d'une référence unique d'un usager en fonction d'une donnée de recherche codée parmi des données confidentielles anonymes codées d'usagers enregistrées dans la base de données BD.
Lors d'un enregistrement de données confidentielles d'un usager d'un premier objet communicant, par exemple le terminal radio mobile TA, le terminal TA transmet les données confidentielles sous forme codées DCA et une référence unique RUA caractérisant l'usager du terminal au serveur ADS via les réseaux de radiocommunications RR et de paquets RPQ. Le serveur ADS enregistre les données DCA en association à la référence RUA dans la base de données BD.
Lors d'une recherche de données confidentielles par un usager d'un deuxième objet communicant par exemple l'ordinateur personnel TB, l'ordinateur TB transmet au serveur ADS via le réseau de paquets RPQ une requête RQ contenant des données de recherche codées DRC. En réponse, le serveur lui transmet une ou des références d'usager RUn relatives à des données confidentielles DCn enregistrées dans la base de données BD et correspondant aux données de recherche DRC, avec 1 < n ≤ N.
Lorsque l'objet communicant est un terminal mobile TA, l'échange de données entre le terminal TA et le serveur ADS s'effectue entre le réseau de radiocommunications RR et le réseau de paquets RPQ par l'intermédiaire par exemple d'une passerelle de communication non représentée sur la figure 1. La passerelle de communication peut comporter une passerelle d'accès pour communiquer avec le serveur ADS à travers le réseau de paquets RPQ à haut débit. Une autre passerelle d'accès de la passerelle de communication communique avec au moins un commutateur du réseau de radiocommunications RR, à travers bien souvent un réseau d'accès tel qu'un réseau de paquets de type X.25 ou un réseau RNIS (Réseau Numérique à Intégration de Service) ou ATM (Asynchronous Transfer Mode) .
La passerelle de communication échange avec le terminal radio mobile TA à travers le réseau RR des messages qui encapsulent des paquets IP (Internet Protocol) transmis vers et par le serveur ADS à travers le réseau RPQ.
Dans la figure 2, on a représenté le serveur de gestion de données confidentielles anonymes ADS et l'objet communicant TA sous forme de blocs fonctionnels dont la plupart assurent des fonctions ayant un lien avec l'invention et peuvent correspondre à des modules logiciels et/ou matériels. Afin de ne pas surcharger la figure 2, l'objet communicant TB n'est pas représenté.
Le serveur de gestion de données confidentielles anonymes ADS comprend un gestionnaire de données GD qui gère diverses opérations dans la base de données BD, et une interface de communication IC pour transmettre et recevoir des paquets IP à travers le réseau de paquets RPQ.
Les opérations gérées par le gestionnaire GD sont notamment l'enregistrement de données confidentielles codées d'un usager transmises par l'objet communicant de l'usager en association à une référence unique de l'usager, la recherche de données confidentielles codées dans la base BD comparativement à des données de recherche transmises par un autre objet communicant, et l'établissement d'une réponse RP contenant une ou des références relatives aux données confidentielles codées dans la base de données correspondant aux données de recherche.
L'objet communicant TA illustré à la figure 2 est un terminal radio mobile associé par ou sans contact à une carte à puce CA. Le terminal radio mobile TA comprend une interface radio IRT, un processeur PT, une interface homme-machine IHM, des mémoires MT et un lecteur de carte LT. Les différents éléments du terminal sont reliés entre eux par un bus bidirectionnel BT.
L'interface IHM contrôle l'interaction entre le terminal TA et l'usager du terminal, et comporte un clavier associé à un afficheur et/ou un écran tactile et le cas échéant un dispositif de reconnaissance vocale.
La carte à puce CA est une carte à puce MMC (Multi-Media Card) , ou SD (Secure Digital) ou USB (Universal Sériai Bus) ou UICC (Universal Integrated Circuit (s) Card) . La carte à puce UICC est par exemple une carte munie d'une application SIM (Subscriber Identity Module) lorsque le terminal accueillant la carte est un mobile relié à un réseau du type GSM/GPRS (Global System for Mobile communications / General Packet Radio Service) , ou d'une application USIM (Universal Subscriber Identity
Module) , RUIM (Removable User Identity Module) , ISIM
(IP Subscriber Identity Module) ou EAP-SIM
(Extensible Authentication Protocol) , lorsque le terminal accueillant la carte est un mobile fonctionnant en accès multiple à répartition par codes CDMA de la troisième génération (3GPP) du type UMTS ou UTRAN, ou de la troisième génération (3GPP2) du type CDMA 2000.
La carte à puce CA comprend principalement un processeur PC, ou plusieurs processeurs, et trois blocs mémoires Ml à M3. La carte échange des commandes, ou requêtes, et des réponses avec le terminal TA à travers un port d'entrée/sortie PES et le lecteur LT avec ou sans contact. Les différents éléments de la carte sont reliés entre eux par un bus bidirectionnel BC.
La mémoire Ml est du type ROM ou Flash et inclut le système d'exploitation de la carte.
La mémoire M2 est une mémoire non volatile par exemple EEPROM ou Flash pour notamment mémoriser des clés, des numéros d'identité et d'autres paramètres du profil de l'usager possédant la carte, comme des données personnelles, un code PIN et autres données de sécurité. La mémoire M2 comprend également la référence unique RUA de l'usager et un algorithme de codage AC. L'algorithme de codage AC a pour particularité d'effectuer un codage à sens unique sur une donnée ne permettant pas, ensuite, de retrouver la donnée par application d'un algorithme inverse. L'algorithme de codage est par exemple un algorithme de chiffrement asymétrique ou un générateur d'une représentation graphique représentant la donnée une fois codée.
La mémoire M3 est une mémoire RAM ou SRAM servant plus particulièrement au traitement de données .
La carte à puce CA comprend, en outre relativement à l'invention, une application d'enregistrement AE, une application de recherche AR et un module logiciel appelé agent (applet) de codage AgC, répartis dans les mémoires Ml et M2.
Les applications AE et AR sont relatives aux deux étapes principales distinctes du procédé de l'invention et sont activées depuis l'interface homme-machine IHM sous la commande de l'usager du terminal .
L'application d'enregistrement AE affiche sur l'interface IHM des champs pour saisir et valider des données confidentielles par l'usager du terminal lorsque celui-ci souhaite enregistrer des données personnelles dans le serveur ADS.
L'application de recherche AR affiche sur l'interface IHM des champs pour saisir et valider des données de recherche par l'usager lorsque celui-ci souhaite obtenir une référence unique d'un autre usager d'un terminal du réseau de télécommunications qui a déjà enregistré ses données personnelles auprès du serveur ADS. L'application de recherche affiche également la ou les références uniques obtenues depuis le serveur ADS ou un résultat déduit de ces références .
Selon une variante, les deux applications AE et AR sont une même et unique application.
L'agent de codage AgC a pour principales fonctions de mémoriser dans la mémoire M2 et de coder les données saisies et validées sur l'interface homme-machine IHM afin de les transmettre sous forme codée au serveur ADS.
Le rôle de 1 ' agent de codage AgC et des deux applications est décrit plus en détail en référence aux figures 3 et 4.
Selon une variante, les mémoires MT du terminal TA comprennent les deux applications AE et AR et optionnellement l'agent de codage AgC.
Selon une autre variante, l'objet communicant d'un usager, tel que le terminal TA associé à la carte à puce CA, comprend uniquement l'une des deux applications AE et AR pour soit enregistrer des données personnelles, soit effectuer une recherche afin d'obtenir une ou des références d'autres usagers .
L'invention n'est pas limitée à un terminal radio mobile associé à une carte à puce. La carte à puce peut être également une carte incluse dans un ordinateur portable par exemple relié à un terminal mobile ou directement connecté au réseau internet, une carte de paiement, une carte de porte-monnaie électronique, une carte de santé, un passeport électronique, ou toute autre carte additionnelle liée à un terminal mobile.
Selon d'autres variantes, l'invention s'applique à d'autres objets électroniques communicants portables, tels que des ordinateurs personnels ou des assistants numériques personnels communicants PDA.
En référence à la figure 3 et relativement aux objets communicants TA et TB des figures 1 et 2, l'étape principale d'enregistrement de données confidentielles du procédé de gestion de données confidentielles anonymes comprend des étapes El a E7. A l'étape El, l'usager du terminal radio mobile TA active l'application d'enregistrement AE au moyen de l'interface IHM. Celle-ci affiche des champs de saisie de données personnelles tels qu'un champ nom, un champ prénom, un champ date, un champ adresse, un champ numéro de téléphone et un champ profession.
L'usager saisit des données personnelles DA à l'étape E2. Optionnellement , l'usager sélectionne parmi les données personnelles saisies celles DPA qu'il souhaite enregistrer de manière anonyme et confidentielle dans le serveur ADS afin de permettre une recherche ultérieure de sa référence par un autre usager.
A la validation de l'enregistrement, après sélection d'un icône de validation par exemple sur l'interface IHM, à l'étape E3 , l'application d'enregistrement AE transfère les données saisies à l'agent de codage AgC. Celui-ci mémorise toutes les données personnelles DA transférées dans la mémoire M2 de la carte, à l'étape E4. Puis à l'étape E5, l'agent AgC applique l'algorithme de codage à sens unique AC aux données sélectionnées DPA afin de les coder en des données personnelles codées DCA.
A l'étape E6, l'agent AgC établit un message d'enregistrement MR comprenant les données personnelles codées DCA et la référence RUA de l'usager lues dans la mémoire M2. Le message MR est transmis par 1 ' interface radio IRT du terminal TA au serveur ADS .
A la réception du message MR par l'interface de communication IC dans le serveur ADS, à l'étape E7, le gestionnaire de données GD du serveur ADS enregistre les données confidentielles codées DCA en association à la référence RUA dans la base de données BD.
Selon une variante, le message MR comprend également pour chaque donnée personnelle codée transmise la catégorie, ou un identificateur de la catégorie, du champ de saisie associé transmis en clair, tel que "nom", "prénom", "date", "adresse", "numéro de téléphone" ou "profession". Ainsi dans la base de données, chaque donnée personnelle codée est enregistrée en association à sa catégorie ou à l'identificateur de la catégorie, et l'ensemble des données DCA et de leurs catégories est enregistré en association à la référence unique RUA de l'usager.
Après l'enregistrement de données confidentielles codées de l'usager dans le serveur ADS, l'usager peut modifier certaines de ces données confidentielles et ainsi les mettre à jour dans le moyen serveur . Pour mettre à jour des données confidentielles de l'usager, l'application d'enregistrement AE affiche optionnellement toutes les données confidentielles mémorisées dans la mémoire M2 au moyen de l'interface IHM du terminal. L'usager modifie une ou plusieurs données confidentielles dont certaines ont été sélectionnées préalablement ou sont nouvellement sélectionnées par l'usager pour être enregistrées de manière anonyme dans la base de données BD du serveur ADS. A la validation de la mise à jour, après sélection d'un icône de validation par exemple sur l'interface IHM, l'application AE transfert les données modifiées à l'agent de codage. Celui-ci les met à jour dans la mémoire M2 par écrasement des données initiales correspondantes, et code les données modifiées sélectionnées. Puis l'agent de codage transmet un message contenant les données confidentielles modifiées codées, les données confidentielles initiales codées et la référence de l'usager au serveur ADS.
A la réception du message, le gestionnaire de données GD du serveur ADS supprime dans la base de données BD les données confidentielles codées qui sont associées à la référence de l'usager extraite du message et qui sont identiques aux données confidentielles initiales codées également extraites du message. Le gestionnaire GD enregistre, dans la base de données BD, les données confidentielles modifiées codées extraites du message transmis, en association à la référence de l'usager.
En se référant maintenant à la figure 4 et relativement aux objets communicants TA et TB des figures 1 et 2, l'étape principale de recherche de données confidentielles du procédé de gestion de données confidentielles anonymes comprend des étapes Rl à R8.
A l'étape Rl, l'usager de l'ordinateur personnel TB souhaitant obtenir la référence RUA de l'usager du terminal TA active l'application de recherche AR au moyen de l'interface IHM. Celle-ci affiche des champs de recherche de données confidentielles tels qu'un champ nom, un champ prénom, un champ date, un champ adresse, un champ numéro de téléphone et un champ profession.
A l'étape R2 , l'usager de l'ordinateur TB saisit dans le ou les champs de recherche au moins une donnée de recherche DR ou bien souvent des données de recherche DR caractérisant l'usager du terminal TA avec lequel l'usager de l'ordinateur TB souhaite être mis en relation, par exemple.
A la validation de la recherche, après la sélection d'un icône de validation par exemple sur l'interface IHM, à l'étape R3 , l'application de recherche AR transfère la ou les données de recherche DR saisie à l'agent de codage AgC de l'ordinateur TB. A l'étape R4 , l'agent applique l'algorithme de codage à sens unique AC, identique à celui utilisé par 1 ' agent de codage du terminal TA, à la donnée de recherche DR afin de la coder en une donnée de recherche codée DRC. Les données DR sont ainsi codées de manière similaire aux données personnelles enregistrées sous forme codées dans la base de données BD. A l'étape R5 , l'agent AgC de l'ordinateur TB établit une requête RQ comprenant les données de recherche codée DRC. La requête RQ est transmise au serveur ADS par une interface de communication de l'ordinateur TB au serveur ADS. A la réception de la requête RQ par 1 ' interface de communication IC dans le serveur ADS, à l'étape R6 , le gestionnaire de données GD du serveur ADS compare les données confidentielles codées DCn associées à chaque référence RUn aux données de recherche codées transmises DRC extraites de la requête RQ. Si une ou plusieurs données confidentielles sont identiques respectivement à une ou plusieurs données de recherche codées DRC, alors la référence associée aux données confidentielles codées est copiée dans une réponse RP établie par le gestionnaire GD.
Le gestionnaire GD effectue la même opération pour chaque référence enregistrée dans la base de données BD, les données de recherche codées DRC extraites de la requête RQ pouvant être identiques à certaines données confidentielles codées associées à deux ou plus références différentes RUl à RUN.
Dès que toutes les données confidentielles associées à toutes les références dans la base de données ont été comparées, la réponse RP incluant une ou plusieurs références RUn associées à des données confidentielles identiques aux données de recherche codées DRC est transmise à l'ordinateur TB. A l'étape R7 , la réponse RP est traitée par 1 ' agent de codage AgC de 1 ' ordinateur TB qui commande à l'application de recherche AR d'afficher les références transmises RUn au moyen de 1 ' interface homme-machine IHM, à l'étape R8.
En variante, la requête RQ comprend également pour chaque donnée de recherche codée transmise la catégorie, ou un identificateur de la catégorie, du champ de recherche associé, transmis en clair, tel que "nom", "prénom", "date", "adresse", "numéro de téléphone" ou "profession". Ainsi le gestionnaire de données GD du serveur ADS compare les données confidentielles codées DCn associées à chaque référence RUn et les catégories associées à ces données respectivement aux données de recherche codées DRC et aux catégories associées transmises extraites de la requête RQ. Ceci permet d'établir une réponse contenant les références correspondant aux données confidentielles codées qui sont identiques aux données de recherche codées et dont les catégories associées sont identiques aux catégories associées auxdites données de recherche codées.
Selon une deuxième variante, le gestionnaire de données GD inclut dans la réponse RP une ou plusieurs références RUn en association aux données de recherche codées identiques aux données confidentielles codées associées auxdites références dans la base de données BD. A la réception de la réponse RP dans l'ordinateur TB, l'application de recherche AR de l'ordinateur TB affiche au moyen de 1 ' interface homme-machine IHM les références transmises RUn conjointement aux données de recherche correspondantes saisies par l'usager à l'étape Rl et relatives aux données de recherche codées extraites de la réponse RP.
Selon une troisième variante, pour chaque donnée confidentielle codée correspondant à une donnée de recherche codée, la catégorie associée à la donnée confidentielle est incluse dans la réponse RP en association à la référence relative à ladite donnée confidentielle. La réponse RP comprend donc une ou plusieurs références associées à des catégories de données confidentielles codées correspondant aux données de recherche codées .
Les catégories transmises sont affichées sur l'interface IHM conjointement aux références auxquelles elles sont associées.
Selon un exemple d'utilisation relatif à la variante précédente, l'usager de l'ordinateur TB souhaite être mis en relation avec l'usager du terminal TA. L'usager de l'ordinateur TB active l'application de recherche AR au moyen de l'interface IHM, et saisit dans le champ de recherche "nom", le nom de l'usager du terminal TA en tant que donnée de recherche. L'agent AgC de l'ordinateur TB code la donnée de recherche et la transmet dans une requête RQ au serveur ADS .
A la réception de la requête, le serveur ADS effectue une recherche dans la base de données BD comme décrite à l'étape R6 , et obtient deux données confidentielles identiques correspondant à la donnée de recherche transmise. Les catégories et les références associées aux deux données confidentielles obtenues sont respectivement différentes. La première donnée confidentielle associée à une première référence correspond à un prénom tandis que la deuxième donnée confidentielle associée à une deuxième référence correspond à un nom. Le serveur ADS transmet une réponse RP incluant les deux références et les deux catégories respectivement associées, a l'ordinateur TB.
A l'étape R8 , chaque catégorie est affichée sur l'interface IHM conjointement à la référence à laquelle elle est associée, indiquant par exemple qu'une première référence est relative à un prénom et que la deuxième référence est relative à un nom. A la lecture des catégories transmises et affichées, l'usager sélectionne la deuxième référence relative à la catégorie "nom" et caractérisant davantage l'usager du terminal TA afin, par exemple, de communiquer avec ce dernier à l'aide de la référence sélectionnée.
Afin d'éviter des collisions relatives au codage séparé de deux données personnelles distinctes en une même donnée codée, l'algorithme de codage à sens unique AC peut comprendre deux fonctions de codage différentes. A chaque donnée personnelle saisie à coder est appliquée chacune des deux fonctions afin d'obtenir à partir d'une même donnée personnelle deux données codées distinctes concaténées en un couple enregistré en association à la même catégorie dans la base de données BD. Lors de la recherche d'une référence d'un usager, la donnée de recherche saisie est également codée afin d'obtenir deux données de recherche distinctes concaténées à comparer à tous les couples de données confidentielles codées concaténées enregistrés dans la base de données.
Selon une autre variante, lors de l'enregistrement, chaque donnée personnelle saisie au moyen de l'interface IHM et transmise à l'agent de codage dans le terminal TA est déclinée par l'agent en une ou plus généralement plusieurs déclinaisons qui peuvent être des parties de la donnée personnelle saisie et/ou des données sensiblement similaires à la donnée personnelle saisie ou à des parties de celle- ci, par exemple distinctes par leur orthographe et/ou prononciation. Ces données personnelles et leurs déclinaisons sont codées par l'agent de codage et transmises avec leurs références associées au serveur ADS qui les enregistre.
Lors de la recherche d'une référence, chaque donnée de recherche saisie au moyen de 1 ' interface IHM et transmise à l'agent de codage est déclinée par l'agent en une ou plus généralement plusieurs déclinaisons de la donnée de recherche saisie. Ces données de recherche et leurs déclinaisons sont codées par l'agent de codage et transmises au serveur ADS qui les compare aux données confidentielles codées et leurs déclinaisons codées enregistrées dans la base de données BD.
Les références des données confidentielles codées et/ou de leurs déclinaisons codées correspondant aux données de recherche codées et/ou à leurs déclinaisons codées sont transmises au terminal requérant une recherche, et sont affichées par ordre de similarité des déclinaisons de la donnée de recherche saisie avec la donnée de recherche.
L'invention décrite ici concerne un procédé de gestion de données confidentielles. Selon une implémentation, les étapes du procédé de 1 ' invention sont déterminées par les instructions d'un programme d'ordinateur incorporé dans un moyen serveur ADS communiquant avec des objets communicants TA, TB à travers un réseau de télécommunications RR-RPQ pour gérer des données confidentielles d'usagers des objets communicants. Le programme comporte des instructions de programme qui, lorsque ledit programme est exécuté dans un processeur du moyen serveur, réalisent les étapes du procédé selon l'invention. Le programme peut être également exécuté en partie dans les objets communicants TA, TB. En conséquence, l'invention s'applique également à un programme d'ordinateur, notamment un programme d'ordinateur enregistré sur ou dans un support d'informations lisible par un ordinateur et tout dispositif de traitements de données, adapté à mettre en œuvre l'invention. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable pour implémenter le procédé selon l'invention.

Claims
REVENDICATIONS
1 - Procédé de gestion de données confidentielles d'usagers d'objets communicants (TA- TB) enregistrées dans un moyen serveur (ADS) , les objets communicants et le moyen serveur communiquant à travers un réseau de télécommunications (RR-RPQ) , caractérisé en ce qu'il comprend les étapes suivantes : enregistrement (E2 - E7) de données confidentielles codées (DCA) et d'une référence (RUA) d'un usager transmises depuis un premier objet communicant (TA) dans le moyen serveur, recherche (R2 - R6) d'une référence d'un usager parmi des données confidentielles codées enregistrées associées à d'autres références d'usagers (RUl-RUN) dans le moyen serveur en fonction d'au moins une donnée de recherche codée (DRC) transmise depuis un deuxième objet communicant (TB), et transmission (R7) d'au moins une référence d'usager associée à une donnée confidentielle codée correspondant à la donnée de recherche codée par le moyen serveur au deuxième objet communicant.
2 - Procédé conforme à la revendication 1, selon lequel l'enregistrement de données confidentielles codées (DA) comporte une saisie (E2) des données confidentielles de l'usager depuis le premier objet communicant (TA) , un codage
(E5) desdites données confidentielles et une transmission
(E6) des données confidentielles codées (DCA) et de la référence (RUA) de l'usager vers le moyen serveur afin d'enregistrer
(E7) les données confidentielles codées en association à la référence de l'usager dans le moyen serveur parmi des données confidentielles codées (DCl-DCN) associées à des références (RUl-RUN) d'autres d'usagers.
3 - Procédé conforme à la revendication 1 ou 2, comprenant une mise à jour d'au moins une première donnée confidentielle (DA) de l'usager en une donnée confidentielle modifiée depuis le premier objet communicant (TA) , un codage de ladite donnée confidentielle modifiée et une transmission (E6) de la première donnée confidentielle codée (DCA) , de la donnée confidentielle modifiée codée et de la référence (RUA) de l'usager vers le moyen serveur, une suppression d'une donnée confidentielle codée associée à la référence de l'usager dans le moyen serveur et identique à la première donnée confidentielle codée transmise, et un enregistrement de la donnée confidentielle modifiée codée en association à la référence de l'usager dans le moyen serveur .
4 - Procédé conforme à l'une quelconque des revendications 1 à 3, selon lequel la recherche de référence comporte une saisie (R2) d'au moins une donnée de recherche (DR) depuis le deuxième objet communicant (TB) , un codage (R4) de la donnée de recherche en la donnée de recherche codée (DRC) , une transmission (R5) de la donnée de recherche codée au moyen serveur afin que celui-ci compare (R6) la donnée de recherche codée transmise à toutes les données confidentielles codées enregistrées dans le moyen serveur, et transmette (R7) au deuxième objet communicant au moins la référence associée à la donnée confidentielle codée correspondant à la donnée de recherche codée . 5 - Procédé conforme à l'une quelconque des revendications 1 à 4, selon lequel lors de l'enregistrement, chaque donnée confidentielle (DPA) est associée à une catégorie qui la caractérise et est enregistrée codée dans le moyen serveur (ADS) en association à ladite catégorie et à la référence (RUA) , et lors de la recherche, la référence et la catégorie associées dans le moyen serveur à une donnée confidentielle codée correspondant à la donnée de recherche codée (DRC) sont transmises au deuxième objet communicant (TB) .
6 - Procédé conforme à l'une quelconque des revendications 1 à 5, selon lequel les données confidentielles (DPA) et des données de recherche (DR) sont codées par application d'un algorithme de codage à sens unique (AC) auxdites données.
7 - Procédé conforme à l'une quelconque des revendications 1 à 6, selon lequel lors de l'enregistrement, une donnée confidentielle (DPA) dans le premier objet communicant (TA) est déclinée en au moins une déclinaison confidentielle qui est également codée, transmise au moyen serveur (ADS) et enregistrée dans le moyen serveur en association à la référence (RUA) de l'usager du premier objet communicant, et lors de la recherche, la donnée de recherche (DR) dans le deuxième objet communicant (TB) est déclinée en au moins une déclinaison de recherche qui est codée, transmise au moyen serveur et comparée aux données confidentielles codées et aux déclinaisons confidentielles codées associées enregistrées dans le moyen serveur. 8 - Moyen serveur (ADS) pour gérer des données confidentielles d'usagers d'objets communicants (TA, TB) à travers un réseau de télécommunications (RR- RPQ) , caractérisé en ce qu'il comprend : un moyen (GD, BD) pour enregistrer des données confidentielles codées (DCA) et une référence (RUA) d'un usager transmises depuis un premier objet communicant (TA) , un moyen (GD) pour rechercher une référence d'un usager parmi des données confidentielles codées enregistrées associées à d'autres références d'usagers (RUl-RUN) en fonction d'au moins une donnée de recherche codée (DRC) transmise depuis un deuxième objet communicant (TB), et un moyen (IC) pour transmettre au moins une référence d'usager associée a une donnée confidentielle codée correspondant a la donnée de recherche codée au deuxième objet communicant.
9 - Objet communicant (TA) , communiquant à travers un réseau de télécommunications (RR-RPQ) avec un moyen serveur (ADS) pour gérer des données confidentielles d'usagers, caractérisé en ce qu'il comprend lors d'un enregistrement de données confidentielles de l'usager de l'objet communicant : un moyen pour saisir (IHM-AE) lesdites données confidentielles ; un moyen (AgC) pour coder lesdites données confidentielles; et un moyen (IRT) pour transmettre les données confidentielles codées (DCA) et une référence de l'usager (RUA) vers le moyen serveur afin d'enregistrer les données confidentielles codées en association à la référence de l'usager dans le moyen serveur parmi des données confidentielles codées (DCl-DCN) associées à des références (RUl- RUN) d'autres usagers.
10 - Objet communicant (TB), communiquant à travers un réseau de télécommunications (RR) avec un moyen serveur (ADS) pour gérer des données confidentielles d'usagers, caractérisé en ce qu'il comprend lors d'une recherche d'une référence d'un usager d'un autre objet communicant : un moyen (IHM-AR) pour saisir au moins une donnée de recherche (DR) ; un moyen (AgC) pour coder la donnée de recherche en une donnée de recherche codée (DRC) ; et un moyen (IRT) pour transmettre la donnée de recherche codée au moyen serveur afin que celui-ci compare la donnée de recherche codée transmise à toutes les données confidentielles codées enregistrées dans le moyen serveur, et transmette à l'objet communicant au moins une référence d'usager associée à une donnée confidentielle codée correspondant à la donnée de recherche codée.
11 - Programme d'ordinateur apte à être mis en œuvre dans un moyen serveur (ADS) communiquant avec des objets communicants (TA, TB) à travers un réseau de télécommunications (RR-RPQ) pour gérer des données confidentielles d'usagers des objets communicants, ledit programme étant caractérisé en ce qu'il comprend des instructions qui, lorsque le programme est exécuté dans ledit moyen serveur, réalisent les étapes suivantes : enregistrement (E2 - E7) de données confidentielles codées (DCA) et d'une référence (RUA) d'un usager transmises depuis un premier objet communicant (TA) dans le moyen serveur, et recherche (R2 - R6) d'une référence d'un usager parmi des données confidentielles codées enregistrées associées à d'autres références d'usagers (RUl-RUN) dans le moyen serveur en fonction d'au moins une donnée de recherche codée (DRC) transmise depuis un deuxième objet communicant (TB), et transmission (R7) d'au moins une référence d'usager associée à une donnée confidentielle codée correspondant à la donnée de recherche codée par le moyen serveur au deuxième objet communicant.
EP07787274A 2006-07-10 2007-07-09 Serveur de gestion de donnees confidentielles anonymes Withdrawn EP2041686A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0652896 2006-07-10
PCT/EP2007/056998 WO2008006811A1 (fr) 2006-07-10 2007-07-09 Serveur de gestion de donnees confidentielles anonymes

Publications (1)

Publication Number Publication Date
EP2041686A1 true EP2041686A1 (fr) 2009-04-01

Family

ID=37907453

Family Applications (1)

Application Number Title Priority Date Filing Date
EP07787274A Withdrawn EP2041686A1 (fr) 2006-07-10 2007-07-09 Serveur de gestion de donnees confidentielles anonymes

Country Status (4)

Country Link
US (1) US8386518B2 (fr)
EP (1) EP2041686A1 (fr)
JP (1) JP2009543489A (fr)
WO (1) WO2008006811A1 (fr)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8249630B1 (en) * 2009-03-25 2012-08-21 Sprint Communications Company L.P. Messaging session enhancement with user data
EP2506177A1 (fr) * 2011-04-01 2012-10-03 Palio AG Procédé et dispositif destinés à la comparaison de données d'identification
CN105528537A (zh) * 2014-09-29 2016-04-27 联芯科技有限公司 便携式无线宽带装置及其安全防护方法
WO2017047172A1 (fr) 2015-09-17 2017-03-23 ソニー株式会社 Dispositif de traitement d'informations, procédé de traitement d'informations et programme et serveur de mappage
CN106096947B (zh) * 2016-06-08 2019-10-29 广东工业大学 基于nfc的半离线匿名支付方法
CN106991337B (zh) * 2017-04-06 2019-10-22 北京数聚世界信息技术有限公司 一种出生日期数据的脱敏方法及装置
JP6372813B1 (ja) * 2017-12-20 2018-08-15 株式会社イスプリ データ管理システム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NZ332952A (en) * 1996-05-24 2000-04-28 Christopher John Stanford System with and method of cryptographically protecting communications
AU1413901A (en) * 1999-11-19 2001-06-04 Institute Of Medicinal Molecular Design. Inc. Id symbol unique to structural formula of compound
JP2001256395A (ja) * 2000-03-10 2001-09-21 Aip:Kk 情報送受信システム及び情報送受信方法
JP3859450B2 (ja) * 2001-02-07 2006-12-20 富士通株式会社 秘密情報管理システムおよび情報端末
WO2002091186A1 (fr) * 2001-05-08 2002-11-14 Ipool Corporation Systeme et procede de protection de conservation du secret
US20030079136A1 (en) * 2001-08-21 2003-04-24 Emmanuel Ericta Security framework
BR0307891A (pt) * 2002-02-19 2004-12-28 Pureprofile Com Inc Método para troca de informações baseada em permissão, método para efetuar transação e sistema para comunicação baseada em permissão e troca de informações
US20020184530A1 (en) * 2002-05-29 2002-12-05 Ira Spector Apparatus and method of uploading and downloading anonymous data to and from a central database by use of a key file
US7159119B2 (en) * 2002-09-06 2007-01-02 United States Postal Service Method and system for efficiently retrieving secured data by securely pre-processing provided access information
JP2006520493A (ja) * 2002-09-06 2006-09-07 ユナイテッド ステイツ ポスタル サービス 安全な事前処理が施されたアクセス情報により、保護されているデータを効率的に検索する方法及びシステム
JP4429619B2 (ja) * 2003-04-15 2010-03-10 三菱電機株式会社 情報提供装置
JP2005025561A (ja) * 2003-07-03 2005-01-27 Ntt Docomo Inc 検索システム及び検索方法
US7606788B2 (en) * 2003-08-22 2009-10-20 Oracle International Corporation Method and apparatus for protecting private information within a database
US7593548B2 (en) * 2005-12-15 2009-09-22 Microsoft Corporation Secure and anonymous storage and accessibility for sensitive data

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2008006811A1 *

Also Published As

Publication number Publication date
US20090319488A1 (en) 2009-12-24
US8386518B2 (en) 2013-02-26
JP2009543489A (ja) 2009-12-03
WO2008006811A1 (fr) 2008-01-17

Similar Documents

Publication Publication Date Title
EP1994780B1 (fr) Acces a distance a une memoire de masse et une memoire de securite dans un objet communicant portable
RU2415470C2 (ru) Способ создания безопасного кода, способы его использования и программируемое устройство для осуществления способа
US8832795B2 (en) Using a communications network to verify a user searching data
EP2041686A1 (fr) Serveur de gestion de donnees confidentielles anonymes
US20100316219A1 (en) Systems and methods for simultaneous integrated multiencrypted rotating key communication
US11921883B2 (en) Contact discovery service with privacy aspect
US20140362992A1 (en) Systems and Methods for Conducting Secure Wired and Wireless Networked Telephony
FR2977418A1 (fr) Systeme d&#39;authentification via deux dispositifs de communication
EP2041942B1 (fr) Partage contrôlé de données personnelles
EP2619941A1 (fr) Procede, serveur et systeme d&#39;authentification d&#39;une personne
JP4897971B2 (ja) ユーザのid処理方法および処理システム
EP2047697B1 (fr) Personnalisation d&#39;un terminal de radiocommunication comprenant une carte sim
US20080044030A1 (en) Protected contact data in an electronic directory
CN106203141A (zh) 一种应用的数据处理方法和装置
JP2013508837A (ja) 電気通信ネットワークにおける共用マルチメディア・オブジェクトに関連したタグの管理
CN106254226A (zh) 一种信息同步方法及装置
FR2821188A1 (fr) Procede de stockage securise de donnees personnelles et de consultation, carte a puce, terminal et serveur pour la mise en oeuvre du procede
Chowdhury et al. Distributed identity for secure service interaction
WO2003046730A9 (fr) Procede de securisation d&#39;un acces a une ressource numerique
EP0172047B1 (fr) Procédé et système pour chiffrer et déchiffrer des informations transmises entre un dispositif émetteur et un dispositif récepteur
FR2844943A1 (fr) Procede de production d&#39;un premier identifiant isolant un utilisateur se connectant a un reseau telematique
WO2003079714A1 (fr) Procede d&#39;echange d&#39;informations d&#39;authentification entre une entite de communciation et un serveur-operateur
CN100420323C (zh) 保护智能型移动电话中私密档案的方法
WO2006084800A1 (fr) Administration d&#39;application de service dans une carte a microcontroleur depuis un terminal
EP2660748A1 (fr) Procédé et système pour la gestion de mots de passe

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20090210

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR MK RS

DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20141007