EP2577909A1 - Procede de controle et de protection de donnees et d'identite notamment au sein de processus utilisant des technologies de l'information et de la communication - Google Patents

Procede de controle et de protection de donnees et d'identite notamment au sein de processus utilisant des technologies de l'information et de la communication

Info

Publication number
EP2577909A1
EP2577909A1 EP11723446.8A EP11723446A EP2577909A1 EP 2577909 A1 EP2577909 A1 EP 2577909A1 EP 11723446 A EP11723446 A EP 11723446A EP 2577909 A1 EP2577909 A1 EP 2577909A1
Authority
EP
European Patent Office
Prior art keywords
author
protocol
identity
identities
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP11723446.8A
Other languages
German (de)
English (en)
Inventor
Philippe Laurier
Michel Riguidel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institut Mines Telecom IMT
Original Assignee
Institut Mines Telecom IMT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institut Mines Telecom IMT filed Critical Institut Mines Telecom IMT
Publication of EP2577909A1 publication Critical patent/EP2577909A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Definitions

  • the present invention relates to a method for controlling, securing and protecting data within declarative, informative, administrative or productive processes using information and communication technologies.
  • This framework defines ways of knowing or not knowing, accessing or transmitting the data. It relates to a method of managing and demultiplication of digital identities by inserting intermediate markings forming screen or modification and by substitution of identity referents.
  • the invention aims, through these control and protection actions, to a better respect for the privacy of individuals and their "digital privacy".
  • the entity concerned may be a natural or legal person.
  • It may be objects, or groups of objects, or an object coupled to a person for example, and having endorsed identities, particularly in the context of so-called communicating objects, like a prosthesis with an electronic component.
  • data here encompasses a spectrum ranging from the analog signal to the structured formatting of digital data in the form of information or instructions.
  • the distinctive criterion of the present invention is that this data is conveyed or stored in a frame, considered as the container, which takes the form of a computer protocol or communication. It can be static data on their support, as long as their access, integrity or implementation depend in advance on a protocol.
  • file a document or a computer program, an executable, a software entity, a virtual entity such as a virtual application.
  • the use of data in the case of a communication can occur for example when an indication of presence at an electronic terminal located in a transport vehicle or automatically by telecommunications from a central office.
  • the term dialogue concerns as much an exchange on the conscious initiative of a person, as it is carried out by one of its equipments, with or without express consent or binding of property.
  • email a message, a sending file or documents, a phone call, a visit made by telecommunications, and more generally any form of flow, issue or any form of exchange by putting in relation or connection.
  • author the sender of this mail.
  • a passive component such as an RFID tag
  • the author will be the label and its carrier, not the terminal having created an electromagnetic field.
  • the author may for example be a sensor transmitting a signal, and its holder or holder.
  • the term author may include, in addition to the one who designed it, the one who is at the moment concerned the holder, the custodian or the manager.
  • the material support of the mail can be a communication network, in particular telecommunications or television broadcast, as well as physical mobile means such as a USB key, a smart card or magnetic, a disk, a badge, a ticket such as metro, a pass with or without contact as is a transport card.
  • a communication network in particular telecommunications or television broadcast
  • physical mobile means such as a USB key, a smart card or magnetic, a disk, a badge, a ticket such as metro, a pass with or without contact as is a transport card.
  • the receiving object may be a telecommunication or television broadcasting medium or terminal, and more generally any computer or electronic equipment capable of participating in an information distribution.
  • the recipient of a mobile mail carrier it may be a computer machine with sockets such as USB, a mobile phone, a wizard or diary, a card or disk drive, a vending machine such as banknotes, an airlock or an identification terminal, as examples.
  • the invention structures and supports a multi-actor game, among which are the author, the receivers, the so-called anonymisation authorities. Game that unfolds around a distinctive and characteristic sign inserted into the computer or communication protocol.
  • this marking by a characteristic sign said scratching, inserted for distinctive purposes, recognition, and transmission of instructions or information.
  • This multifunctional clawing placed at the level of the computer or communication protocols, will serve, for a receiver, information in itself or means for obtaining additional information from the anonymizing authority possibly supplemented by an adapted device acting as a cryptographic protocol for controlling access to instructions;
  • the third device is that the scratching takes the form of a variant cryptonyme, itself connectable on the one hand to an invariant and stable pseudonym, on the other hand to what will be called polynymes, in a particular sense.
  • the present invention modifies, recomposes and expands the devices expressed in the patent application FR 2 932 043 relating to a method of traceability and resurgence of pseudonymized flows on networks of communication, and information flow transmission method adapted to secure the data traffic and its recipients.
  • the invention relies in part on the distinctive and characteristic marking system, inserted at the protocol level, and provided with functional properties, as described in the patent application FR 2 932 043.
  • This characteristic sign is called scratching, by analogy with the affixing of a claw as a signature that personalizes but also as a mark that modifies, signals and serves as an external sign of referencing.
  • This term of marking which encompasses as much as possible encapsulation, covers a procedure consisting of an addition, an amputation or a characteristic modification, on a protocol, while respecting the standard of this protocol. For example, it may be the labeling or tattooing of an IP packet, a steganographic marking or the use of an additional protocol. This dogging endorses several statuses:
  • a third improvement is that the number of scratches in a given protocol is no longer considered as a mandatory singular.
  • These distinctive signs will be simultaneously possible in a mail or a file, either for uses or independent users, or to create between these signs links, respective bonds, or specific filiations. It is also conceivable that their presence as well as, for example, their respective spatial arrangement, may carry additional meaning, interpretable by all or only some receivers, assisted or not on this occasion by the anonymizing authority.
  • a fourth improvement over the scratching of the protocol is that not only are communication protocols but protocols assigned to static data.
  • the authority of anonymization serves as an interface with the author, granting him the systems of scratching, agreeing on the meaning and the equivalence of these scratches in instructions, information or values. She also agrees, with and for him, a stable pseudonym linked to the successive cryptonymes that are these clawings, and knowing it by its real identity. It will handle another real identity masking, by means of polynymes.
  • the present invention provides an evolution consisting of the existence of several anonymization entities instead of one, as well as the expression of preferences from their users.
  • the authority is named anonymisation in view of the fact that the scratching it grants acts as cryptonym.
  • the generally variant cryptonyme, attached to a generally invariant pseudonym will find an extension of its applications, in that, while relieving the central receiver of certain knowledge such as the real identity of the author, he nevertheless preserves in his favor an optional possibility of capitalizing an anonymised knowledge on the author, if the latter accepts it.
  • the invention intentionally causes partial or total ignorance, or inability to access, identity elements. This logic of partitioning radiates on the management of identities.
  • the present method can be described as a partitioning system of both entities and identities.
  • a physical extension would be material labeling, tattooing or any form of naming of a medium that could be objects, materials or real beings, for purposes of recognition, validation of rights or status, valuation, belonging or dependency, linking, identification or authentication without revealing a true identity and substituting it.
  • These postponements and labeling polynyme, pseudonym or cryptonyme can be content to retain only one of their subparts, or other derivatives resorting for example to a coding.
  • the method according to the invention may be the bedrock of an anonymization or a pseudonymisation of the emerging sphere of communicating objects.
  • an additional layer of anonymisation she concocts an original economic model by bringing to the user a an additional guarantee of confidentiality, the absence of which appears to be an obstacle to the commercial development of these communicating objects. It sets up a screen between, for example, a so-called naming authority, perceived as omnipotent and omniscient, and a holder of such objects concerned with its digital privacy.
  • naming authority perceived as omnipotent and omniscient
  • the fact of adding an additional layer where each actor will have one or more marks also allows him to open one or more dedicated registers of object addresses, which will increase the number of distributable addresses. The scarcity of such addresses is an obstacle to the development of communicating objects.
  • - a polynomial could be the same cryptonyme granted, simultaneously or later, to several authors, or communicating objects of these authors.
  • an author may have a plurality of cryptonymes which can be attached to different polynymes.
  • a first interest of such a device according to the invention is to create a blur zone that protects the digital space of the authors, spread over a multitude of hardware supports. While relying on scratching cryptonyme, inserted in computer or communication protocols, the present invention deploys a mechanism where a receiver can not know if such scratching covers a single author or if it is covered only by a single scratching. This results in a very limited possibility of traceability, historicization or profiling. This aspect is of great importance when too many of our communicating objects convey additional information about us, our purchases, our movements or our domestic habits.
  • a second interest is that the cryptonyme, which in the patent application FR 2 932 043 has the central function of substituting itself functionally for the telecommunications identity of the author, moreover assumes the role of a kind of prefix to the container that is the protocol, either to all or part of the content. In doing so, it lengthens the allowed length of the total message. Which length is sometimes constrained to a great brevity by the technical standards in use, and reduces by the same number the total number of variant expressions.
  • cryptonyme is here at the same time a multiplier of identities as much as an interferer of identity.
  • the remaining part of the protocol which indicates the real identity of the author may be if necessary be functionally prohibited access, as is the case in the patent application FR 2 932 043, is watered down or amputated by an entity intermediary, for example the anonymisation authority. The latter will then continue its journey to the mail to the naming authority or other receiver.
  • entity intermediary for example the anonymisation authority.
  • the usefulness of this intermediation is that the authority of anonymisation can benefit from greater trust on the part of users, or even be created by them, by groups of companies or individuals, or be placed under the control of elected officials who do not belong to other geographical jurisdictions.
  • a naming authority could concern any other final recipient, just as the illustration of the process by communicating objects merely designates the main potential market for this aspect of the invention.
  • Other applications or entities could be involved, such as electronic voting systems, online surveys, consumer testing, television audience measurement, census, inventory. Uses may arise in the archiving, indexing and classification of data, stock, since the principle of the polynomial refers to a tree structure that can be chosen not only according to criteria of intimacy and invisibility but to opposite of formalization of visible typologies. The addition of anonymization with a logical classification remaining possible.
  • the polynyme can be as random and masking as rational and indicative, or a mix of these items.
  • suffix about a cryptonyme inserted in a protocol
  • this first position refers to the content of the mail or file, but may vary in terms uniqueness, or spatially compared to the rest of the container, especially if the objective is not to anonymize an author. In the latter case, a notion of suffix or any form of characteristic marking may be appropriate. In an imaginative way, it can be to lengthen roots, trunk or branches of a tree that would be the protocol. Several simultaneous lengthening is an option.
  • This principle of elongation finds a variant not based on the addition of characters, but on modifications in the initial protocol that lead to the same result of increasing the possible variants, like a cryptonym that would swap characters previously present in the protocol for the benefit of previously unpublished characters.
  • the anonymizing authority may grant to one or more cryptonames-prefixes, who enter the protocols during the sending of some of its communicating objects. Simultaneously or later, it will grant this or these same prefix cryptonyms to other authors for various of their own objects. The constraint then being that these prefixes are not followed or surrounded by identical sequences of identification characters, which would lead in total to duplicates.
  • the number of polynymes is no longer linked to the number of authors, and being multiplied according to the nature, position and length allowed to cryptonymium, defines the number of fabricable virtual owners.
  • the anonymizing authority can advantageously serve as an intermediary between a naming authority and authors such as Internet users or communicating objects. This anonymizing authority multiplies the virtual owners, at the convenience of the authors and users, will interchange the objects of several real owners, redistribute their objects on several virtual owners, aggregate the objects of several real owners on a single virtual owner, while managing the obligation that this prefix is not surrounded twice in the same sequence of characters. It will be able to make permutations in time, where some object first attached to one virtual owner is then to another.
  • a polynomial can cover zero, one or more real people; a person may have zero, one or more polynymes. There may be fake people and fake objects.
  • the anonymizing authority would provide a response to recurring concerns arising from the practices, weight, nationality and even opacity of certain naming authorities. .
  • This opacity of operation would be opposed opacity of use and belonging.
  • An object which one day appears to be linked to a virtual owner, would find itself bound the next day to another, without being able to trace it, and without being able to know the exact outline of the patrimony of a given real owner.
  • the distinctive sign inserted in a protocol sees in the present invention the variety of these expanded uses.
  • the variant cryptonyme may remain associated with an invariant pseudonym vis-à-vis certain interlocutors, while it will assume a masking and multiplying polynomial function vis-à-vis other interlocutors such as a naming authority.
  • a reading step at least one receiver, said protocol by means of a reading system adapted to detect the presence of said dogging.
  • Scratching is, for example, a distinctive and recognizable sign, cryptonymic marking, identity matching or polynomial.
  • This polynyme is a cryptonyme tunable to one or more authors and their objects, each author simultaneously having a plurality of cryptonymes corresponding to different polynymes.
  • the method uses, for example, a mechanism that partitions, discriminates, parses and makes autonomous, masks, demarcates or blurs certain subjects, certain data and certain objects, identities or identity coupons related to the same process.
  • This same mechanism can also be used to channel and distribute, compose, create links, aggregate, unmask or re-mark, certain subjects, certain data and certain objects, identities or identity coupons related to the same process.
  • the scratching inserted in a protocol serves for example to extend or modify an arbitrary identity present in the protocol, and assigned to a physical entity such as an object, a computer entity such as a file, a communication flow, or a virtual entity such as an avatar, and possibly their author, holder or sender.
  • scratching making cryptonym inserted in a computer or communication protocol, can serve as a gateway to a pseudonym. It can also serve as a common root for various identities unified by it in a single polynomial register.
  • the clawing is inserted in a plurality of protocols belonging to one or more real identities, it serves for example as a common reference to create a unifying register of arbitrary identities. attributed to objects, streams, files or avatars belonging to said real identity or identities.
  • the anonymizing authority or the author assigns, removes and changes the corresponding polynomial claws, to operate permutations and redistributions within arbitrary identity unit registers.
  • the same author has, for example, a plurality of different scratches corresponding to as many polynymes, exclusively or shared with other authors.
  • the same author has several scratches simultaneously within the same computer or communication protocol.
  • the anonymizing authority transmits, for example, to the receiver the correspondence between such a scratch corresponding to a polynomial, received by the receiver, and functional instructions.
  • the functional instructions are, vis-à-vis a receiver, a prohibition of access, of reading, memorizing or processing towards parts of the protocol or the content of the marked flow of said dogging.
  • Clawing inserted in a computer or communication protocol generates, for example, the marking, on this protocol, of the true identity of its author or holder, either because of its functional role of prohibition of awareness, or via a public authority. anonymisation placed in the intermediary of the receiver and proceeding to the demarcation.
  • the anonymizing authority transmits or not the correspondence between such cryptonyme, such pseudonym or such entity referenced under a polynyme, and secondly information behavioral, situational or related to the past or profile of that author, for the purpose of characterizing it without necessarily transmitting either his true identity or any of his pseudonyms.
  • FIG. 2 an example of masking and demultiplication of identities by cryptonyms and polynymes
  • FIG. 3 an example of masking and demultiplication of identities with intermediation by an anonymizing authority
  • FIG. 1 illustrates the possible steps of a control and protection method, within a communication process, according to the invention.
  • an anonymizing authority assigns the same scratching to one or more different authors and their objects which may also have an arbitrary identity. This arbitrary identity could be attributed in particular by a naming authority. For example, each author simultaneously has several different cryptonymes;
  • a second step 2 for the author or for each author, the insertion of this dogging in the computer or communication protocol is carried out by means of a dogging system.
  • the protocol contains the identity of an object of the author. Scratching is a distinctive and recognizable sign, cryptonymic marking, identity matching or polynomial. These are managed by at least one anonymizing authority.
  • the polynyme is the same tunable cryptonyme, simultaneously or later, to one or more authors and their objects. Each author may have a plurality of cryptonymes corresponding to different polynymes.
  • a third step 3 the read, at least one receiver, the protocol by means of a reading system capable of detecting the presence of scratching.
  • FIG 2 illustrates an example of masking and demultiplication of identities by cryptonyms and polynymes.
  • a naming authority 151 grants identities to entities 152 such as objects, artifacts, materials, living matter, animals, persons, under the authority of an author, holder or guardian 150, 150 ', 150 ", here in a configuration where as an example, there are only six possibilities of different names
  • An anonymizing authority 4 grants, transmits and distributes claws 153 affixed in the computer or communication protocol of these entities.This scratching making 153 cryptonyme comes in prefix of the identity 152 previously granted by the naming authority, or in any other spatial position leading to particularize or lengthen it.
  • prefix cryptonyme later allows to swap the real identity of its holder by substituting functionally and assuming a role of substitution identity in the eyes of a receiver 155 such as can be including the authority of initial naming.
  • An intermediate level 154 operates the apparent membership transfer of named and scratch-bearing entities from their actual holder to an invented holder.
  • This level is based on a polynomial device, where each cryptonyme granted in several copies themselves distributed over several entities under several holders, is federated into a single polynomial. The latter therefore appears as the holder of the entities concerned.
  • a polynomial can group objects from various original owners, just as a real owner can see its features scattered over multiple polynymes. Lure objects and lure polynomials can be created to add screen and scrub patrimonies or affiliations for this purpose. Polynymes can vary in their content and be ephemeral.
  • FIG. 3 illustrates an example of masking and demultiplication of identities with intermediation by the anonymizing authority.
  • An objective of masking the real identities of the entities and their owner is articulated around an anonymizing authority 4 or several. This one can, in one of its configurations, be dedicated only to this function of anonymisation.
  • This authority can intervene at one or more stages. It grants or not, emits and distributes to interlocutors, so-called authors, the right and the means to affix cryptonyme scratches, in the protocol of a telecommunication sending or a computer file. These scratches have a functional prohibition of reading the actual identity of the author.
  • a receiver 161 will be equipped by the anonymizing authority with a reception system capable of detecting and interpreting the functional significance of these clawings. In the event that the receiver does not have this system or does not present the ethical or material guarantees ensuring its compliance with this functional procedure prohibiting the reading of identity, the anonymizing authority or a delegated third party may to be placed in intermediary. It will be responsible for removing or making unusable the part of the protocol capable of identifying a real identity, before allowing its delivery or its subsequent use for the benefit of the intended recipient.
  • Clawing, intermediation and real identity scrubbing can occur according to various sequences and in various places, depending in particular on the extent of the technical functions allowed to the dogging equipment installed on or downstream of the transmitting author, or those of the possible black box installed on or upstream of the receiver. It can also be a single entity and a single place, in case the anonymizing authority is a compulsory point of passage between these various sending and receiving actors.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Communication Control (AREA)

Abstract

La présente invention concerne un procédé de contrôle et de protection de données et d'identités au sein d'un processus de communication ou informatique entre au moins un auteur et au moins un réceptionnaire. Le procédé comporte au moins : - Une étape (1) d'attribution par une autorité d'anonymisation d'un même griffage faisant marquage cryptonymique, à un ou à plusieurs auteurs différents et à leurs objets; - Une étape (2) d'insertion dudit griffage dans le protocole de communication ou informatique associé au flux de données, au moyen d'un système de griffage, le protocole contenant l'identité dudit auteur ou dudit objet de l'auteur ou des auteurs, et chaque auteur pouvant par ailleurs disposer simultanément d'une pluralité de cryptonymes différents; - Une étape (3) de lecture, chez au moins un réceptionnaire, dudit protocole au moyen d'un système de lecture apte à détecter la présence dudit griffage.

Description

PROCEDE DE CONTROLE ET DE PROTECTION DE DONNEES ET D'IDENTITE NOTAMMENT AU SEIN DE PROCESSUS UTILISANT DES TECHNOLOGIES DE
L'INFORMATION ET DE LA COMMUNICATION
La présente invention concerne un procédé de contrôle, de sécurisation et de protection, de données au sein de processus déclaratifs, informatifs, administratifs ou productifs utilisant les technologies de l'information et de la communication. Cet encadrement définit des manières de pouvoir ou non connaître ces données, y accéder ou les transmettre. Elle concerne un procédé de gestion et de démultiplication d'identités numériques par l'insertion de marquages intermédiaires formant écran ou modification et par substitution de référents d'identité.
Elle s'applique à la gestion de données régies par des protocoles informatiques ou de communication, notamment pour faciliter conjointement la gestion et l'anonymisation des biens ou personnes dotés d'identités numériques, tels que les objets dits intelligents et communicants. L'invention vise, par ces actions de contrôle et de protection, à un meilleur respect de la vie privée des personnes et de leur « intimité numérique ». L'entité concernée peut être une personne physique ou morale.
Il pourra s'agir d'objets, ou de groupes d'objets, ou d'un objet couplé à une personne par exemple, et ayant endossé des identités, notamment dans le cadre des objets dits communicants, à l'instar d'une prothèse avec une composante électronique.
Le mot « données » englobe ici un spectre allant du signal analogique jusqu'à la mise en forme structurée de données numériques sous forme d'informations ou de consignes. Le critère distinctif de la présente invention, pour son fonctionnement, étant que cette donnée soit véhiculée ou conservée dans un cadre, considéré comme le contenant, qui prenne la forme d'un protocole informatique ou de communication. Il peut s'agir de données statiques sur leur support, pour autant que leur accès, leur intégrité ou leur mise en œuvre dépendent en préalable d'un protocole.
Par la suite sera nommé « fichier », un document ou un programme informatique, un exécutable, une entité logicielle, une entité virtuelle telle qu'une application virtuelle.
L'usage de données dans le cas d'une communication peut se produire par exemple lors d'une indication de lieu de présence auprès d'une borne électronique située dans un véhicule de transport ou automatiquement par voie de télécommunications auprès d'un central. Le terme dialogue concerne autant un échange sur l'initiative consciente d'une personne, qu'effectué par un de ses équipements, avec ou sans consentement express ni lien obligatoire de propriété.
Par la suite, sera nommé « courrier », un message, un envoi de fichier ou de documents, un appel téléphonique, une visite faite par voie de télécommunications, et plus généralement toute forme de flux, d'émission ou toute forme d'échange par mise en relation ou connexion.
Sera par la suite nommé « auteur », l'expéditeur de ce courrier. Dans le cas d'un composant passif tel qu'une étiquette RFID, l'auteur sera l'étiquette et son porteur, et non la borne ayant créé un champ électromagnétique. Dans le cas d'objets communicants dotés d'une identité, l'auteur pourra être par exemple un capteur transmettant un signal, ainsi que son détenteur ou son porteur. Dans le cas d'un fichier informatique statique, le terme auteur pourra englober, outre celui qui l'a conçu, celui qui en est à l'instant concerné le détenteur, le dépositaire ou le gestionnaire. Le support matériel du courrier peut être un réseau de communication, notamment de télécommunications ou de télédiffusion, ainsi que des moyens physiques mobiles tels qu'une clé USB, une carte à puce ou magnétique, un disque, un badge, un ticket tel que de métro, un passe avec ou sans contact comme l'est une carte de transport. La banalisation des objets communicants va élargir ce champ à une infinité de supports moins discernables dans leurs contours mais caractérisés par de mêmes fonctions et utilisant des protocoles informatiques ou de communication.
L'objet réceptionnaire peut être un support ou un terminal de télécommunications ou de télédiffusion, et plus généralement tout équipement informatique ou électronique apte à participer à une distribution d'information. S'agissant du réceptionnaire d'un support mobile de courrier, ce peut être une machine informatique dotée de prises telle qu'USB, un téléphone portable, un assistant ou agenda numérique, un lecteur de carte ou de disque, un distributeur automatique tel que de billets de banques, un sas d'accès ou encore une borne d'identification, à titre d'exemples.
L'invention structure et supporte un jeu à plusieurs acteurs, parmi lesquels se trouvent l'auteur, les réceptionnaires, des autorités dites d'anonymisation. Jeu qui se déploie autour d'un signe distinctif et caractéristique inséré dans le protocole informatique ou de communication.
Elle peut prendre la forme d'un triple dispositif :
- d'une part ce marquage par un signe caractéristique, dit griffage, inséré à des fins distinctives, de reconnaissance, ainsi que de transmission de consigne ou d'information. Ce griffage plurifonctionnel, placé au niveau des protocoles informatiques ou de communication, servira, pour un réceptionnaire, d'information en soi ou de moyen d'obtention d'informations complémentaires auprès de l'autorité d'anonymisation éventuellement complétée par un dispositif adapté agissant comme protocole cryptographique de contrôle d'accès à des instructions ;
- d'autre part de cloisonnement et de canalisation des données ou des acteurs ;
- Le troisième dispositif tient au fait que le griffage prend la forme d'un cryptonyme variant, lui-même raccordable d'une part à un pseudonyme invariant et stable, d'autre part à ce qui sera nommé polynymes, dans une acception particulière.
La présente invention modifie, recompose et élargit des dispositifs exprimés dans la demande de brevet FR 2 932 043 portant sur un procédé de traçabilité et de résurgence de flux pseudonymisés sur des réseaux de communication, et procédé d'émission de flux informatif apte à sécuriser le trafic de données et ses destinataires.
À cette fin, l'invention s'appuie notamment en partie sur le système de marquage distinctif et caractéristique, inséré au niveau du protocole, et doté de propriétés fonctionnelles, tel que décrit dans la demande de brevet FR 2 932 043.
Ce signe caractéristique est appelé griffage, par analogie avec l'apposition d'une griffe en tant que signature qui personnalise mais aussi en tant que marque qui modifie, signale et sert de signe extérieur de référencement. Ce terme de marquage, qui englobe tout autant une possible encapsulation, recouvre un mode opératoire consistant en un ajout, une amputation ou une modification caractéristique, sur un protocole, tout en respectant le standard de ce protocole. À titre d'exemples, il peut s'agir de l'étiquetage ou du tatouage d'un paquet IP, d'un marquage stéganographique ou encore de l'utilisation d'un protocole supplémentaire. Ce griffage endosse plusieurs statuts :
- signe distinctif, à sa réception ou son observation par un tiers ;
- signe de reconnaissance, lors d'échanges ultérieurs ou parallèles.
Ce double statut permet, via le jeu d'acteurs nécessaires pour manipuler et interpréter ces griffages, de leur attribuer des fonctionnalités.
Les propriétés générales qui en découlent pour ce système sont :
- fonctionnelle ;
- cryptonymique, en tant que griffe d'un auteur apposée dans un protocole, qui le désigne et l'identifie, si de besoin sans le nommer autrement que par une convention arbitraire.
Obtenir la connaissance des fonctions et de certains attributs d'identité concernés, nécessite de s'adresser à une autorité d'anonymisation, dont le rôle informateur rend ces deux propriétés opérantes. Le principal emploi conjoint des dispositions fonctionnelle et cryptonymique consiste en une interdiction de lecture de l'identité d'un auteur de courrier, telle qu'elle apparaît sinon dans le reste du protocole. Ce faisant, le dispositif aboutit à un griffage masquant de cette identité. Un deuxième perfectionnement par rapport au griffage du protocole consiste à varier ses effets, de plusieurs manières :
- Il peut s'agir de disposer simultanément, pour un même auteur, de plusieurs griffages, activables par choix ou selon des chartes d'emploi définies et actualisables si de besoin.
- Une autre voie pour varier les effets consistera à les prédéfinir en fonction de chaque interlocuteur recensé par avance.
Un troisième perfectionnement tient au fait que le nombre de griffage dans un protocole donné n'est plus envisagé comme un singulier obligatoire. Plusieurs de ces signes distinctifs seront simultanément possibles dans un courrier ou un fichier, soit pour des usages ou des usagers indépendants, soit pour créer entre ces signes des liaisons, des cautionnements respectifs, ou des filiations ponctuelles. Il devient également envisageable que leur présence autant que par exemple leur disposition spatiale respective, soient porteuses d'une signification supplémentaire, interprétable par tous les réceptionnaires ou seulement certains, assistés ou non en cette occasion par l'autorité d'anonymisation. Un quatrième perfectionnement par rapport au griffage du protocole tient au fait que soient concernés non plus seulement des protocoles de communication, mais des protocoles affectés à des données statiques.
L'autorité d'anonymisation sert d'interface avec l'auteur, en lui octroyant les systèmes de griffage, en convenant de la signification et de l'équivalence de ces griffages en consignes, informations ou valeurs. Elle convient aussi, avec et pour lui, d'un pseudonyme stable lié aux cryptonymes successifs que sont ces griffages, et en le connaissant par son identité réelle. Elle gérera un autre masquage d'identité réelle, par le moyen de polynymes.
Par rapport à l'autorité dite d'anonymisation, déjà mentionnée dans la demande de brevet FR 2 932 043, la présente invention apporte une évolution consistant en l'existence de plusieurs entités d'anonymisation au lieu d'une seule, ainsi que l'expression de préférences émanant de leurs usagers. L'autorité est nommée d'anonymisation eu égard au fait que le griffage qu'elle accorde fait fonction de cryptonyme. Dans une configuration particulière du procédé selon l'invention, le cryptonyme généralement variant, rattaché à un pseudonyme généralement invariant, trouvera un élargissement de ses applications, en ce que, tout en délestant le réceptionnaire central de certaines connaissances telle que l'identité réelle de l'auteur, il préserve néanmoins en sa faveur une possibilité optionnelle de capitaliser une connaissance anonymisée sur l'auteur, si ce dernier l'accepte. Connaissance via l'autorité d'anonymisation se portant garante de l'auteur et de ses particularités, et capitalisation rapportée soit au pseudonyme rattaché au cryptonyme inséré dans le protocole du flux, soit selon le même principe aux polynymes rattachés aux cryptonymes. En conséquence de ses perfectionnements en matière de cloisonnement et de canalisation, l'invention occasionne volontairement une ignorance partielle ou totale, ou une incapacité d'accès, envers des éléments d'identité. Cette logique de cloisonnement irradie sur la gestion des identités. Le présent procédé peut se décrire comme un système de cloisonnement à la fois d'entités et d'identités.
Un prolongement physique serait l'étiquetage matériel, le tatouage ou toute forme de nommage d'un support pouvant être des objets, des matières ou des êtres réels, à des fins de reconnaissance, de validation de droit ou de statut, de valorisation, d'appartenance ou de dépendance, de liaison, d'identification ou d'authentification sans révéler une identité véritable et en substitut de celle-ci. Ces reports et étiquetages de polynyme, de pseudonyme ou de cryptonyme peuvent se contenter de ne conserver qu'une de leurs sous-parties, ou d'autres dérivés recourant par exemple à un codage.
Le procédé selon l'invention pourra être le soubassement d'une anonymisation ou d'une pseudonymisation de la sphère naissante des objets communicants. Par l'ajout d'une couche supplémentaire d'anonymisation, elle concocte un modèle économique original en apportant à l'usager une garantie de confidentialité supplémentaire, dont l'absence apparaît être un obstacle à l'essor commercial de ces objets communicants. Elle met en place un écran entre par exemple une autorité dite de nommage, perçue comme omnipotente et omnisciente, et un détenteur de tels objets soucieux de son intimité numérique. Le fait d'ajouter une couche supplémentaire où chaque acteur disposera d'une ou plusieurs marques, permet aussi de lui ouvrir un ou plusieurs registres dédiés d'adresses d'objets, ce qui démultipliera d'autant le nombre d'adresses distribuables. La rareté de telles adresses constitue un obstacle à l'essor des objets communicants.
Pour ce faire, la dite couche supplémentaire d'anonymisation reposera sur ce qui sera nommé système de polynymes, dans une acception plus étendue que celle usuellement prêtée :
- un polynyme pourra être un même cryptonyme accordé, simultanément ou par la suite, à plusieurs auteurs, ou à des objets communicants de ces auteurs.
- En sens inverse, un auteur pourra disposer d'une pluralité de cryptonymes rattachables à des polynymes différents. Un premier intérêt d'un tel dispositif selon l'invention est de créer une zone de flou qui protège l'espace numérique des auteurs, réparti sur une multitude de supports matériels. Tout en s'appuyant sur le griffage faisant cryptonyme, inséré dans les protocoles informatiques ou de communication, la présente invention déploie un mécanisme où un réceptionnaire ne pourra plus savoir si tel griffage recouvre un seul auteur ni si ce dernier n'est recouvert que par un seul griffage. Il s'ensuit une possibilité très réduite de traçabilité, d'historicisation ou de profilage. Aspect qui revêt une grande importance lorsque trop de nos objets communicants transmettent des informations complémentaires à notre propos, sur nos achats, nos déplacements ou nos habitudes domestiques.
Un deuxième intérêt tient à ce que le cryptonyme, qui dans la demande de brevet FR 2 932 043 a pour fonction centrale de se substituer fonctionnellement à l'identité de télécommunications de l'auteur, endosse de surcroît le rôle d'une sorte de préfixe au contenant qu'est le protocole, soit à tout ou partie du contenu. Ce faisant, il allonge la longueur autorisée du message total. Laquelle longueur est parfois contrainte à une grande brièveté par les standards techniques en usage, et réduit d'autant le nombre total d'expressions variantes. Situation présente dans le débat sur la transition éventuelle des identifications et des adresses des paquets du protocole IP passant de IPv4 (adresses de 32 bits) à IPv6 (adresses de 128 bits), où l'argument de la rareté des identités IPv4 est récurrent. Venant surmonter ce dilemme, le cryptonyme est ici à la fois un multiplicateur d'identités autant qu'un brouilleur d'identité.
La partie restante du protocole qui indique l'identité réelle de l'auteur, pourra être si de besoin soit interdite fonctionnellement d'accès, comme cela est le cas dans la demande de brevet FR 2 932 043, soit édulcorée ou amputée par une entité intermédiaire, par exemple l'autorité d'anonymisation. Cette dernière fera ensuite poursuivre son cheminement au courrier jusqu'à l'autorité de nommage ou autre réceptionnaire. L'utilité de cette intermédiation tenant à ce que l'autorité d'anonymisation pourra bénéficier d'une plus grande confiance de la part des usagers, voire être créée par eux, par des groupements d'entreprises ou de particuliers, ou être placée sous le contrôle d'élus qui ne relèvent pas d'autres juridictions géographiques.
Ce qui est dit d'une autorité de nommage pourrait concerner tout autre destinataire final, de même que l'illustration du procédé par les objets communicants ne fait que désigner le principal marché potentiel de cet aspect de l'invention. D'autres applications ou entités pourraient ainsi être concernées, à l'exemple des systèmes de vote électronique, de sondages en ligne, de test consommateur, de mesure d'audience télévisée, de recensement, d'inventaire. Des usages pourront naître en matière d'archivage, d'indexation et de classification de données, de stock, puisque le principe du polynyme renvoie à une arborescence qui peut être choisie non pas seulement selon des critères d'intimité et d'invisibilité mais au contraire de formalisation de typologies visibles. L'addition de l'anonymisation avec une classification logique restant possible. Le polynyme peut être aussi bien aléatoire et masquant que rationnel et indicatif, ou un panachage de ces items. L'utilisation ci-avant du terme « préfixe », à propos d'un cryptonyme inséré dans un protocole, n'est pas une description universelle : cette position première se réfère au contenu du courrier ou du fichier, mais elle peut varier en termes d'unicité, ou spatialement par rapport au reste du contenant, notamment si l'objectif n'est pas d'anonymiser un auteur. Dans ce dernier cas, une notion de suffixe ou toute forme de marquage caractéristique peut convenir. De manière imagée, il peut s'agir d'allonger aussi bien des racines, le tronc ou les branchages d'un arbre que serait le protocole. Plusieurs allongements simultanés étant une option envisageable.
Ce principe d'allongement trouve une variante ne reposant pas sur l'ajout de caractères, mais sur des modifications dans le protocole initial qui aboutissent au même résultat d'accroissement des variantes possibles, à l'image d'un cryptonyme qui permuterait des caractères antérieurement présents dans le protocole au profit de caractères inédits jusqu'alors.
Dans un dispositif le plus simple, l'autorité d'anonymisation pourra accorder à tel auteur un ou plusieurs cryptonymes-préfixes, venant s'insérer dans les protocoles lors des envois de certains de ses objets communicants. Simultanément ou par la suite, elle accordera ce ou ces mêmes cryptonymes-préfixes à d'autres auteurs pour divers de leurs propres objets. La contrainte étant alors que ces préfixes ne soient pas suivis ou environnés par des suites identiques de caractères d'identification, qui aboutiraient au total à des doublons.
Il en résulte la création d'un propriétaire qualifié de virtuel, qui apparaîtra comme détenteur attitré et unique de ces divers objets.
Le nombre de polynymes n'étant plus lié au nombre avéré d'auteurs, et étant démultipliable selon la nature, la position et la longueur permise au cryptonyme, définit le nombre de propriétaires virtuels fabricables. En matière d'intimité, l'autorité d'anonymisation pourra avantageusement servir d'intermédiaire entre une autorité de nommage et des auteurs tels que le sont des internautes ou des objets communicants. Cette autorité d'anonymisation multipliant les propriétaires virtuels, à la convenance des auteurs et usagers, intervertira les objets de plusieurs propriétaires réels, redistribuera leurs objets sur plusieurs propriétaires virtuels, agrégera les objets de plusieurs propriétaires réels sur un seul propriétaire virtuel, tout en gérant l'obligation que ce préfixe ne soit pas environné deux fois de la même suite de caractères. Elle pourra procéder à des permutations dans le temps, où tel objet d'abord rattaché à tel propriétaire virtuel le soit ensuite à un autre. Elle pourra, dans sa mission de brouillage et selon une démarche de leurre ou de type placebo par analogie au domaine médical, créer des propriétaires virtuels ne correspondant qu'à des objets inventés pour la circonstance. Un polynyme pourra recouvrir zéro, une ou plusieurs vraies personnes ; une personne pourra avoir zéro, un ou plusieurs polynymes. Il pourra y avoir de fausses personnes et de faux objets.
Faisant office d'intermédiaire utilement opaque entre des utilisateurs et une autorité de nommage, l'autorité d'anonymisation apporterait une réponse aux inquiétudes récurrentes nées des pratiques, du poids, de la nationalité voire de l'opacité de fonctionnement de certaines autorités de nommage. À cette opacité de fonctionnement serait opposée une opacité d'emploi et d'appartenance. Tel objet qui un jour apparaîtrait lié à tel propriétaire virtuel, se retrouverait le lendemain lié à un autre, sans facilité de le tracer, et sans pouvoir connaître le contour exact du patrimoine d'un propriétaire réel donné. Le signe distinctif inséré dans un protocole voit dans la présente invention la variété de ces usages élargie. Le cryptonyme variant pourra rester associé à un pseudonyme invariant vis-à-vis de certains interlocuteurs, tandis qu'il endossera une fonction de polynyme masquant et multiplicateur vis-à-vis d'autres interlocuteurs telle qu'une autorité de nommage.
L'invention a donc pour objet un procédé de contrôle et de protection, de données et d'identités au sein d'un processus de communication ou informatique entre au moins un auteur et au moins un réceptionnaire, caractérisé en ce que ledit procédé comporte au moins :
- Une étape d'attribution par une autorité d'anonymisation (4) d'un même griffage faisant marquage cryptonymique, à un ou à plusieurs auteurs différents et à leurs objets dotés par ailleurs d'une identité arbitraire ; - Une étape d'insertion dudit griffage dans le protocole de communication ou informatique associé au flux de données, au moyen d'un système de griffage, le protocole contenant l'identité dudit auteur ou dudit objet de l'auteur ou des auteurs, et chaque auteur pouvant par ailleurs disposer simultanément d'une pluralité de cryptonymes différents ;
- Une étape de lecture, chez au moins un réceptionnaire, dudit protocole au moyen d'un système de lecture apte à détecter la présence dudit griffage.
Le griffage est par exemple signe distinctif et de reconnaissance, marquage cryptonymique, correspondance d'identités ou polynyme. Ce polynyme est un cryptonyme accordable à un ou à plusieurs auteurs et à leurs objets, chaque auteur disposant simultanément d'une pluralité de cryptonymes correspondant à des polynymes différents.
Le procédé utilise par exemple un mécanisme qui cloisonne, discrimine, parcellise et rend autonome, masque, démarque ou brouille certains sujets, certaines données et certains objets, certaines identités ou coupons d'identité relatifs à un même processus.
Ce même mécanisme peut aussi être utilisé pour canaliser et distribuer, composer, créer des liens, agréger, démasquer ou re-marquer, certains sujets, certaines données et certains objets, certaines identités ou coupons d'identité relatifs à un même processus.
Le griffage inséré dans un protocole sert par exemple d'allonge ou de modificateur à une identité arbitraire présente dans le protocole, et attribuée à une entité physique tel qu'un objet, une entité informatique tel qu'un fichier, un flux de communication, ou une entité virtuelle tel qu'un avatar, ainsi éventuellement qu'à leur auteur, détenteur ou expéditeur.
Dans un cas particulier, le griffage faisant cryptonyme, inséré dans un protocole informatique ou de communication, peut servir de passerelle vers un pseudonyme. Il peut aussi servir de racine commune à diverses identités unifiées par lui en un registre unique de type polynyme.
Dans un autre cas particulier où le griffage est inséré dans une pluralité de protocoles relevant d'une ou plusieurs identités véritables, il sert par exemple de réfèrent commun pour créer un registre unificateur d'identités arbitraires attribuées à des objets, flux, fichiers ou avatars relevant de ladite ou desdites identités véritables.
Dans une mise en œuvre particulière, l'autorité d'anonymisation ou l'auteur, attribuent, retirent et changent les griffages correspondant à des polynymes, pour opérer des permutations et redistributions au sein des registres unificateurs d'identités arbitraires.
Un même auteur dispose par exemple d'une pluralité de griffages différents correspondant à autant de polynymes, de manière exclusive ou partagée avec d'autres auteurs.
Plusieurs griffages, similaires ou différents, sont simultanément possibles dans un courrier ou un fichier, soit pour des usages ou des usagers indépendants, soit pour créer entre ces signes des liaisons, des cautionnements respectifs, ou des filiations ponctuelles.
Un même auteur dispose par exemple de plusieurs griffages simultanément au sein d'un même protocole informatique ou de communication.
L'autorité d'anonymisation transmet par exemple au réceptionnaire la correspondance entre tel griffage correspondant à un polynyme, reçu par le réceptionnaire, et des consignes fonctionnelles.
Dans un cas où le griffage correspond à un polynyme, permettant la délivrance de consignes fonctionnelles de la part de l'autorité d'anonymisation, les consignes fonctionnelles sont, vis-à-vis d'un réceptionnaire, une interdiction d'accès, de lecture, de mémorisation ou de traitement envers des parties du protocole ou du contenu du flux marqué dudit griffage.
Le griffage inséré dans un protocole informatique ou de communication engendre par exemple le démarquage, sur ce protocole, de l'identité véritable de son auteur ou détenteur, soit de par son rôle fonctionnel d'interdiction de prise de connaissance, soit via une autorité d'anonymisation placée en intermédiaire par rapport au réceptionnaire et procédant au démarquage.
Dans un mode de mise en œuvre particulier, l'autorité d'anonymisation, assistée ou supplée par un dispositif adapté, transmet ou non la correspondance entre tel cryptonyme, tel pseudonyme ou telle entité référencée sous un polynyme, et d'autre part des informations comportementales, situationnelles ou se rapportant au passé ou au profil de cet auteur, aux fins de le caractériser sans nécessairement transmettre ni son identité véritable ni un autre de ses pseudonymes. D'autres caractéristiques et avantages de l'invention apparaîtront à l'aide de la description qui suit, faite en regard de dessins annexés qui représentent :
- la figure 1 , les étapes possibles d'un procédé selon l'invention ;
- la figure 2, un exemple de masquage et démultiplication d'identités par cryptonymes et polynymes ;
- la figure 3, un exemple de masquage et de démultiplication d'identités avec intermédiation par une autorité d'anonymisation ;
La figure 1 illustre les étapes possibles d'un procédé de contrôle et de protection, au sein d'un processus de communication, selon l'invention.
Dans une première étape 1 , une autorité d'anonymisation attribue un même griffage à un ou plusieurs auteurs différents et à leurs objets qui peuvent être dotés par ailleurs d'une identité arbitraire. Cette identité arbitraire ayant pu être attribuée notamment par une autorité de nommage. Chaque auteur dispose par exemple simultanément de plusieurs cryptonymes différents ; Dans une deuxième étape 2, pour l'auteur ou pour chaque auteur, on effectue l'insertion de ce griffage dans le protocole informatique ou de communication au moyen d'un système de griffage.
Il est d'autre part possible d'insérer plusieurs griffages similaires ou différents dans un même protocole ;
Le protocole contient l'identité d'un objet de l'auteur. Le griffage est signe distinctif et de reconnaissance, marquage cryptonymique, correspondance d'identités ou polynyme. Ceux-ci sont gérés par au moins une autorité d'anonymisation. Le polynyme est un même cryptonyme accordable, simultanément ou par la suite, à un ou à plusieurs auteurs et à leurs objets. Chaque auteur peut disposer d'une pluralité de cryptonymes correspondant à des polynymes différents.
Dans une troisième étape 3, on effectue la lecture, chez au moins un réceptionnaire, du protocole au moyen d'un système de lecture apte à détecter la présence du griffage.
Les auteurs et les entités, ou objets, peuvent être réels ou factices. La figure 2, illustre un exemple de masquage et démultiplication d'identités par cryptonymes et polynymes. Une autorité de nommage 151 accorde des identités à des entités 152 tels que des objets, artefacts, matériaux, matières vivantes, animaux, personnes, relevant d'un auteur, détenteur ou tuteur 150, 150', 150", ici dans une configuration où à titre d'exemple n'existent que six possibilités de noms différents. Une autorité d'anonymisation 4 accorde, émet et distribue des griffages 153 apposés dans le protocole informatique ou de communication de ces entités. Ce griffage faisant cryptonyme 153 vient en préfixe de l'identité 152 préalablement accordée par l'autorité de nommage, ou en toute autre position spatiale aboutissant à la particulariser ou l'allonger.
Ce dit cryptonyme-préfixe permet ultérieurement de permuter l'identité réelle de son détenteur en s'y substituant fonctionnellement et en endossant un rôle d'identité de substitution aux yeux d'un réceptionnaire 155 tel que peut l'être notamment l'autorité de nommage initiale.
Un niveau intermédiaire 154 opère le transfert d'appartenance apparente des entités nommées et portant griffage, depuis leur détenteur réel vers un détenteur inventé. Ce niveau repose sur un dispositif en polynymes, où chaque cryptonyme accordé en plusieurs exemplaires eux-mêmes répartis sur plusieurs entités relevant de plusieurs détenteurs, se retrouve fédéré en un seul polynyme. Ce dernier apparaissant dès lors comme le détenteur des entités concernées. Un polynyme peut regrouper des objets de divers propriétaires originels, tout comme un propriétaire réel peut voir ses entités dispersées sur plusieurs polynymes. Des objets leurres et des polynymes leurres peuvent être créés pour ajouter à cet effet d'écran et de gommage des patrimoines ou des appartenances. Les polynymes peuvent varier dans leur contenu et être éphémères.
L'allongement ou la plus grande variété des identités résultant de l'apposition d'un cryptonyme dans un protocole permet par ailleurs la démultiplication de ces identités. Cette plus grande variété tient aussi à ce que le cryptonyme n'est pas réductible à un ajout de caractères, mais peut être un retrait ou toute modification caractéristique du protocole initial. La figure 3 illustre un exemple de masquage et démultiplication d'identités avec intermédiation par l'autorité d'anonymisation. Un objectif de masquage des identités réelles des entités et de leur propriétaire s'articule autour d'une autorité d'anonymisation 4 ou de plusieurs. Celle-ci peut, dans l'une de ses configurations, n'être dédiée qu'à cette fonction d'anonymisation.
Cette autorité peut intervenir à un ou plusieurs stades. Elle accorde ou non, émet et distribue à des interlocuteurs, dits auteurs, le droit et le moyen d'apposer des griffages faisant cryptonyme, dans le protocole d'un envoi de télécommunications ou d'un fichier informatique. Ces griffages sont dotés d'une capacité d'interdiction fonctionnelle de lecture de l'identité réelle de l'auteur.
Un réceptionnaire 161 sera équipé par l'autorité d'anonymisation d'un système de réception apte à détecter et interpréter la signification fonctionnelle de ces griffages. Au cas où le réceptionnaire ne soit pas doté de ce système ou ne présente pas les garanties déontologiques ou matérielles assurant de son bon respect de cette procédure fonctionnelle d'interdiction de lecture d'identité, l'autorité d'anonymisation ou un tiers délégué pourra se voir placée en intermédiaire. Elle sera chargée de supprimer ou rendre inutilisable la partie du protocole apte à identifier une identité réelle, avant de permettre son acheminement ou son usage ultérieur au profit du réceptionnaire prévu.
Griffages, intermédiation et gommage d'identité réelle peuvent intervenir selon divers enchaînements et en divers endroits, en fonction notamment de l'ampleur des fonctions techniques permises à l'équipement de griffage installé sur ou en aval de l'auteur émetteur, ou celles de l'éventuelle boîte noire installée sur ou en amont du réceptionnaire. Il peut également s'agir d'une seule entité et d'un seul lieu, au cas où l'autorité d'anonymisation soit un point de passage obligé entre ces divers acteurs émetteurs et récepteurs.

Claims

REVENDICATIONS
1 . Procédé de contrôle et de protection, de données et d'identités au sein d'un processus de communication ou informatique entre au moins un auteur (150, 150', 150") et au moins un réceptionnaire, caractérisé en ce que ledit procédé comporte au moins :
- Une étape (1 ) d'attribution par une autorité d'anonymisation (4) d'un même griffage (153) faisant marquage cryptonymique, à un ou à plusieurs auteurs différents (150, 150', 150") et à leurs objets (152) ;
- Une étape (2) d'insertion dudit griffage (153) dans le protocole de communication ou informatique associé au flux de données, au moyen d'un système de griffage, le protocole contenant l'identité dudit auteur ou dudit objet (152) de l'auteur ou des auteurs (150, 150', 150"), et chaque auteur (150, 150', 150") pouvant par ailleurs disposer simultanément d'une pluralité de cryptonymes différents ;
- Une étape (3) de lecture, chez au moins un réceptionnaire (155, 161 ), dudit protocole au moyen d'un système de lecture apte à détecter la présence dudit griffage (153).
2. Procédé selon la revendication 1 , caractérisé en ce que le griffage est signe distinctif et de reconnaissance, marquage cryptonymique, correspondance d'identités ou polynyme (154), ledit polynyme étant un cryptonyme accordable à un ou à plusieurs auteurs (150, 150', 150") et à leurs objets (152), chaque auteur disposant simultanément d'une pluralité de cryptonymes correspondant à des polynymes différents.
3. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il utilise un mécanisme pour cloisonner, discriminer, parcelliser et rendre autonome, masquer, démarquer ou brouiller certains sujets, certaines données et certains objets, certaines identités ou coupons d'identité relatifs à un même processus.
4. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il utilise un mécanisme pour canaliser et distribuer, composer, créer des liens, agréger, démasquer ou re-marquer, certains sujets, certaines données et certains objets, certaines identités ou coupons d'identité relatifs à un même processus.
5. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le griffage inséré dans un protocole sert d'allonge ou de modificateur à une identité arbitraire présente dans ledit protocole, et attribuée à une entité physique tel qu'un objet, une entité informatique tel qu'un fichier, un flux de communication, ou une entité virtuelle tel qu'un avatar, ainsi éventuellement qu'à leur auteur, détenteur ou expéditeur.
6. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le griffage faisant cryptonyme, inséré dans un protocole informatique ou de communication, sert de passerelle vers un pseudonyme et de racine commune à diverses identités unifiées par lui en un registre unique de type polynyme.
7. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'un même griffage inséré dans une pluralité de protocoles relevant d'une ou plusieurs identités véritables, sert de réfèrent commun pour créer un registre unificateur d'identités arbitraires attribuées à des objets, flux, fichiers ou avatars relevant de ladite ou desdites identités véritables.
8. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'autorité d'anonymisation ou l'auteur, attribuent, retirent et changent les griffages correspondant à des polynymes, pour opérer des permutations et redistributions au sein des registres unificateurs d'identités arbitraires.
9. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'un même auteur dispose d'une pluralité de griffages différents correspondant à autant de polynymes, de manière exclusive ou partagée avec d'autres auteurs.
10. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que plusieurs griffages, similaires ou différents, sont simultanément possibles dans un courrier ou un fichier, soit pour des usages ou des usagers indépendants, soit pour créer entre ces signes des liaisons, des cautionnements respectifs, ou des filiations ponctuelles.
1 1 . Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'un même auteur dispose de plusieurs griffages simultanément au sein d'un même protocole informatique ou de communication.
12. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'autorité d'anonymisation transmet au réceptionnaire la correspondance entre tel griffage correspondant à un polynyme, reçu par le réceptionnaire, et des consignes fonctionnelles.
13. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que, un griffage correspondant à un polynyme et permettant la délivrance de consignes fonctionnelles de la part de l'autorité d'anonymisation, lesdites consignes fonctionnelles sont, vis-à-vis d'un réceptionnaire, une interdiction d'accès, de lecture, de mémorisation ou de traitement envers des parties du protocole ou du contenu du flux marqué dudit griffage.
14. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le griffage, inséré dans un protocole informatique ou de communication, engendre le démarquage, sur ce protocole, de l'identité véritable de son auteur, soit de par son rôle fonctionnel d'interdiction de prise de connaissance, soit via une autorité d'anonymisation placée en intermédiaire par rapport au réceptionnaire et procédant au démarquage.
15. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'autorité d'anonymisation, assistée ou supplée par un dispositif adapté, transmet ou non la correspondance entre tel cryptonyme, tel pseudonyme ou telle entité référencée sous un polynyme, et d'autre part des informations comportementales, situationnelles ou se rapportant au passé ou au profil de cet auteur, aux fins de le caractériser sans nécessairement transmettre ni son identité véritable ni un autre de ses pseudonymes.
EP11723446.8A 2010-06-01 2011-06-01 Procede de controle et de protection de donnees et d'identite notamment au sein de processus utilisant des technologies de l'information et de la communication Withdrawn EP2577909A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1054272A FR2960671B1 (fr) 2010-06-01 2010-06-01 Procede de securisation de donnees numeriques et d'identites notamment au sein de processus utilisant des technologies de l'information et de la communication
PCT/EP2011/059068 WO2011151388A1 (fr) 2010-06-01 2011-06-01 Procede de controle et de protection de donnees et d'identite notamment au sein de processus utilisant des technologies de l'information et de la communication

Publications (1)

Publication Number Publication Date
EP2577909A1 true EP2577909A1 (fr) 2013-04-10

Family

ID=43558373

Family Applications (2)

Application Number Title Priority Date Filing Date
EP11725626.3A Withdrawn EP2577542A1 (fr) 2010-06-01 2011-06-01 Procede de securisation de donnees numeriques et d'identites notamment au sein de processus utilisant des technologies de l'information et de la communication
EP11723446.8A Withdrawn EP2577909A1 (fr) 2010-06-01 2011-06-01 Procede de controle et de protection de donnees et d'identite notamment au sein de processus utilisant des technologies de l'information et de la communication

Family Applications Before (1)

Application Number Title Priority Date Filing Date
EP11725626.3A Withdrawn EP2577542A1 (fr) 2010-06-01 2011-06-01 Procede de securisation de donnees numeriques et d'identites notamment au sein de processus utilisant des technologies de l'information et de la communication

Country Status (6)

Country Link
US (2) US8959592B2 (fr)
EP (2) EP2577542A1 (fr)
JP (2) JP2013534654A (fr)
CN (2) CN103229476A (fr)
FR (1) FR2960671B1 (fr)
WO (2) WO2011151388A1 (fr)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8924545B2 (en) * 2012-01-13 2014-12-30 Microsoft Corporation Cross-property identity management
US9202086B1 (en) * 2012-03-30 2015-12-01 Protegrity Corporation Tokenization in a centralized tokenization environment
US20150127593A1 (en) * 2013-11-06 2015-05-07 Forever Identity, Inc. Platform to Acquire and Represent Human Behavior and Physical Traits to Achieve Digital Eternity
WO2016082032A1 (fr) 2014-11-25 2016-06-02 Arhin Linda Système et procédé pour faciliter une communication anonyme entre un message publicitaire et des utilisateurs sociaux
CN117611331A (zh) * 2016-02-23 2024-02-27 区块链控股有限公司 用于使用区块链在点对点分布式账簿上有效转移实体的方法及系统
CN107707507A (zh) * 2016-08-08 2018-02-16 深圳中电长城信息安全系统有限公司 基于安全池网络数据传输的控制方法和系统
CN108537538A (zh) * 2018-03-07 2018-09-14 胡金钱 电子发票的开具方法及系统、计算机存储介质
KR102211360B1 (ko) * 2020-09-24 2021-02-03 주식회사 화난사람들 디지털 문서 내 위치 정보를 이용한 디지털 문서 인증 방법
CN114531302B (zh) * 2021-12-28 2024-09-13 中国电信股份有限公司 数据加密方法、装置及存储介质

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3589881B2 (ja) * 1998-12-10 2004-11-17 シャープ株式会社 電子メールサーバシステム
AU2001241609A1 (en) * 2000-02-23 2001-09-03 Capital One Financial Corporation Systems and methods for providing anonymous financial transactions
WO2002003219A1 (fr) * 2000-06-30 2002-01-10 Plurimus Corporation Procede et systeme pour le controle de comportement de reseau informatique en ligne et la creation de profils de comportement en ligne
US7472423B2 (en) * 2002-03-27 2008-12-30 Tvworks, Llc Method and apparatus for anonymously tracking TV and internet usage
JP2003316742A (ja) * 2002-04-24 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> シングルサインオン機能を有する匿名通信方法および装置
US7480935B2 (en) * 2002-10-10 2009-01-20 International Business Machines Corporation Method for protecting subscriber identification between service and content providers
FR2847401A1 (fr) * 2002-11-14 2004-05-21 France Telecom Procede d'acces a un service avec authentification rapide et anonymat revocable et systeme d'ouverture et de maintien de session
JP2004178486A (ja) * 2002-11-29 2004-06-24 Toshiba Corp 監視サーバおよび監視方法
DE60308733T2 (de) * 2003-02-21 2007-08-09 Telefonaktiebolaget Lm Ericsson (Publ) Dienstanbieteranonymisierung in einem single sign-on system
KR20050119133A (ko) * 2003-03-21 2005-12-20 코닌클리케 필립스 일렉트로닉스 엔.브이. 허가 증명서들내의 사용자 신분 프라이버시
US7814119B2 (en) * 2004-03-19 2010-10-12 Hitachi, Ltd. Control of data linkability
US20060098900A1 (en) * 2004-09-27 2006-05-11 King Martin T Secure data gathering from rendered documents
US7472277B2 (en) * 2004-06-17 2008-12-30 International Business Machines Corporation User controlled anonymity when evaluating into a role
US7614546B2 (en) * 2005-02-03 2009-11-10 Yottamark, Inc. Method and system for deterring product counterfeiting, diversion and piracy
US8468351B2 (en) * 2006-12-15 2013-06-18 Codesealer Aps Digital data authentication
WO2008112663A2 (fr) * 2007-03-10 2008-09-18 Feeva Technology, Inc. Procédé et appareil permettant l'étiquetage de trafic de réseau au moyen de champs extensibles dans des en-têtes de messages
US8281145B2 (en) * 2007-12-14 2012-10-02 Mehran Randall Rasti Doing business without SSN, EIN, and charge card numbers
CN101521569B (zh) * 2008-02-28 2013-04-24 华为技术有限公司 实现服务访问的方法、设备及系统
US20090228582A1 (en) * 2008-03-06 2009-09-10 At&T Knowledge Ventures, L.P. System and method in a communication system with concealed sources
FR2932043B1 (fr) * 2008-06-03 2010-07-30 Groupe Ecoles Telecomm Procede de tracabilite et de resurgence de flux pseudonymises sur des reseaux de communication, et procede d'emission de flux informatif apte a securiser le trafic de donnees et ses destinataires
ES2365887B1 (es) * 2009-05-05 2012-09-03 Scytl Secure Electronic Voting S.A. Metodo de verificacion de procesos de descifrado

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2011151388A1 *

Also Published As

Publication number Publication date
US8959592B2 (en) 2015-02-17
JP2013535045A (ja) 2013-09-09
FR2960671B1 (fr) 2020-01-10
EP2577542A1 (fr) 2013-04-10
US20130212375A1 (en) 2013-08-15
WO2011151388A1 (fr) 2011-12-08
US9003178B2 (en) 2015-04-07
FR2960671A1 (fr) 2011-12-02
CN103229476A (zh) 2013-07-31
WO2011151066A1 (fr) 2011-12-08
CN103124974A (zh) 2013-05-29
JP2013534654A (ja) 2013-09-05
US20130205371A1 (en) 2013-08-08

Similar Documents

Publication Publication Date Title
EP2577909A1 (fr) Procede de controle et de protection de donnees et d&#39;identite notamment au sein de processus utilisant des technologies de l&#39;information et de la communication
Barni et al. Data hiding for fighting piracy
WO2009147163A1 (fr) Procède de traçabilité et de résurgence de flux pseudonymises sur des réseaux de communication, et procède d&#39;émission de flux informatif apte a sécuriser le trafic de données et ses destinataires
EP0456553A1 (fr) Procédé d&#39;obtention d&#39;une attestation en clair sécurisée dans un environnement de système informatique distribué
EP3552129B1 (fr) Procédé d&#39;enregistrement d&#39;un contenu multimédia, procédé de détection d&#39;une marque au sein d&#39;un contenu multimédia, dispositifs et programme d&#39;ordinateurs correspondants
US10958665B2 (en) Consumer and business anti-counterfeiting services using identification tags
WO2006027495A1 (fr) Protection et controle de diffusion de contenus sur reseaux de telecommunications
FR2895611A1 (fr) Architecture et procede pour controler le transfert d&#39;informations entre utilisateurs
Singh et al. Digital image watermarking: concepts and applications
WO2008081113A2 (fr) Procede et systeme de distribution securisee de donnees audiovisuelles par marquage transactionel
FR3061582A1 (fr) Systeme et procede de tracabilite et d&#39;authentification d&#39;un produit
Nath et al. An overview of multimedia technologies in current era of internet of things (IoT)
FR3037173A1 (fr) Procede de chiffrement, procede de chiffrement, dispositifs et programmes correspondants
Leenes et al. 'Code'and Privacy-or How Technology is Slowly Eroding Privacy
CA2998780C (fr) Gestion d&#39;un affichage d&#39;une vue d&#39;une application sur un ecran d&#39;un dispositif electronique de saisie de donnees, procede, dispositif et produit programme d&#39;ordinateur correspondants
EP3938957B1 (fr) Procédé de réalisation d&#39;une étiquette comportant un code de sécurité cache, et procédé de mise en oeuvre de l&#39;étiquette obtenue
Angus et al. ADM+ S WORKING PAPER SERIES
Majumder et al. Watermarking of data using biometrics
WO2016189227A1 (fr) Marquage en filigrane de la photo d&#39;un document identitaire electronique lors de sa lecture
WO2003065181A1 (fr) Procede de controle de l&#39;exploitation de contenus numeriques par un module de securite ou une carte a puce comprenant ledit module
CN117708777A (zh) 水印嵌入方法、装置、电子设备及计算机可读介质
Trabelsi Services spontanés sécurisés pour l'informatique diffuse
FR2868570A1 (fr) Procede d&#39;identification numerique et/ou d&#39;authentification numerique par ou d&#39;une personne physique
FR2963131A1 (fr) Procede de protection des donnees privees sur un reseau
Dinant et al. Report for the Committee of the ministers (article20, paragraph 3 of Convention ETS, n° 108): consultative committee of the convention for the protection of individuals with regard to automatic processing of personal data

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20121207

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20170103