JP2016192126A - Security gateway device, method, and program - Google Patents

Security gateway device, method, and program Download PDF

Info

Publication number
JP2016192126A
JP2016192126A JP2015072441A JP2015072441A JP2016192126A JP 2016192126 A JP2016192126 A JP 2016192126A JP 2015072441 A JP2015072441 A JP 2015072441A JP 2015072441 A JP2015072441 A JP 2015072441A JP 2016192126 A JP2016192126 A JP 2016192126A
Authority
JP
Japan
Prior art keywords
data
privacy
application
control unit
gateway device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015072441A
Other languages
Japanese (ja)
Other versions
JP6548936B2 (en
Inventor
清良 披田野
Seira Hidano
清良 披田野
清本 晋作
Shinsaku Kiyomoto
晋作 清本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Research Inc
Original Assignee
KDDI R&D Laboratories Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI R&D Laboratories Inc filed Critical KDDI R&D Laboratories Inc
Priority to JP2015072441A priority Critical patent/JP6548936B2/en
Publication of JP2016192126A publication Critical patent/JP2016192126A/en
Application granted granted Critical
Publication of JP6548936B2 publication Critical patent/JP6548936B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a security gateway device, method, and program that make it possible to utilize the data accessed by an application by satisfying by-country security conditions.SOLUTION: A security gateway device 10, provided with a security policy database 31 for storing a security policy stipulating a data provision period for each of first domains in correlation to the type of application and the type of data, issues a token in which an effective period for accessing data is set to an application in a first domain on the basis of a privacy certificate 21 and the stipulation of a security policy in a second domain for the first domain. The security gateway device 10 selects data in response to a data acquisition request from an application having a token on the basis of a privacy policy for each of data owners.SELECTED DRAWING: Figure 1

Description

本発明は、セキュリティゲートウェイ装置、方法及びプログラムに関する。   The present invention relates to a security gateway apparatus, method, and program.

従来より、インターネットには、パソコンやサーバ等のIT(Information Technology)関連機器が接続されている。さらに、テレビやデジタルカメラ等のデジタル情報家電又は各種センサデバイス等もインターネットに直接接続されるようになり、このような機器はIoT(Internet of Things)デバイスと呼ばれる。IoTデバイスから収集されるデータには個人のプライバシに関わる機微なデータが含まれる場合がある。このため、これらのデータを利活用する際には、セキュリティ及びプライバシの両観点からアーキテクチャを設計することが求められる。   Conventionally, IT (Information Technology) -related devices such as personal computers and servers are connected to the Internet. In addition, digital information home appliances such as televisions and digital cameras, various sensor devices, and the like are directly connected to the Internet, and such devices are called IoT (Internet of Things) devices. The data collected from the IoT device may include sensitive data related to personal privacy. For this reason, when utilizing these data, it is required to design an architecture from the viewpoint of both security and privacy.

このようなデータを利活用するための要件や機能を開示する非特許文献1が知られている。非特許文献1では、上述のようなデータを利活用するユースケースを明らかにした上でユースケースごとにセキュリティ及びプライバシに関する要件を抽出すると共に、欧州のプライバシ関連の法律やガイドラインに記載されている事項を整理し、プラットフォーム上に実装すべき機能を抽出している。   Non-Patent Document 1 that discloses requirements and functions for utilizing such data is known. In Non-Patent Document 1, requirements for security and privacy are extracted for each use case after clarifying the use cases that utilize the data as described above, and are described in European privacy-related laws and guidelines. Items are organized and functions to be implemented on the platform are extracted.

EU FP7 project iCore,“D2.2 Security requirements for the iCore cognitive management and control framework”,[online],インターネット<URL:http://www.iot−icore.eu/attachments/article/89/20120607_iCore%20D2.2%20FINAL.pdf>EU FP7 project iCore, “D2.2 Security requirements for the iCore cognitive management and control framework”, [online], Internet <URL: http: // www. iot-icore. eu / attachments / article / 89 / 20120607_iCore% 20D2.2% 20FINAL. pdf>

しかしながら、非特許文献1では、セキュリティ及びプライバシに関する要件を満たすための技術的な解決方法については言及されていない。また、非特許文献1の中では、データの管理者及び所有者並びに法律及びガイドラインにより規定された複雑な条件を解釈する方法や、アプリケーションが国境を越えてアクセスすることについても言及されていない。   However, Non-Patent Document 1 does not mention a technical solution for satisfying the requirements regarding security and privacy. Also, Non-Patent Document 1 does not mention a method for interpreting complicated conditions defined by data managers and owners, laws and guidelines, and access by applications across borders.

本発明は、アプリケーションがアクセスするデータを、国ごとのセキュリティ条件を満たして利活用することを可能とするセキュリティゲートウェイ装置、方法及びプログラムを提供することを目的とする。   An object of the present invention is to provide a security gateway device, method, and program that make it possible to use data accessed by an application while satisfying the security conditions of each country.

具体的には、以下のような解決手段を提供する。
(1) 第1ドメインに設置されたサーバにより提供されるアプリケーションから要求されたデータを、第2ドメインに設置されたサーバから抽出して、前記アプリケーションに返すセキュリティゲートウェイ装置であって、前記アプリケーションの種別及び前記データの種別に対応付けて、前記第1ドメインごとの前記データの提供期間を規定するセキュリティポリシーを記憶するセキュリティポリシー記憶部と、前記アプリケーションによる前記データの取得を許可する、前記第1ドメインの認証局により発行されたプライバシ証明書と、前記セキュリティポリシーで規定された提供期間とに基づいて、前記データにアクセスするための有効期限が設定されたトークンを前記アプリケーションに対し発行するアクセス制御部と、を備えるセキュリティゲートウェイ装置。 Specifically, the following solutions are provided.
(1) A security gateway device that extracts data requested from an application provided by a server installed in the first domain from a server installed in the second domain and returns the data to the application. A security policy storage unit that stores a security policy that defines a provision period of the data for each of the first domains in association with a type and a type of the data; and permits the acquisition of the data by the application. Access control for issuing, to the application, a token set with an expiration date for accessing the data, based on a privacy certificate issued by a certificate authority of the domain and a provision period specified in the security policy And a Security gateway device.

(1)のセキュリティゲートウェイ装置は、第1ドメインのアプリケーションに対し、プライバシ証明書と、第2ドメインにおける第1ドメインに対するセキュリティポリシーの規定とに基づいて、データにアクセスするための有効期限が設定されたトークンを発行する。
すなわち、セキュリティゲートウェイ装置は、プライバシ証明書によって第1ドメインでの第2ドメインからのデータの受け入れ許可を確認すると共に、データ提供元である第2ドメイン側で、第1ドメインのアプリケーションに対するセキュリティのポリシーに基づいてデータの提供を許可し、データを取得するためのトークンを発行する。トークンを有するアプリケーションは、トークンの有効期限内でデータを利用することができる。
したがって、セキュリティゲートウェイ装置は、アプリケーションがアクセスするデータを、国ごとのセキュリティ条件を満たして利活用することを可能とする。 In the security gateway device of (1), an expiration date for accessing data is set for an application in the first domain based on a privacy certificate and a security policy rule for the first domain in the second domain. Issue a token.
That is, the security gateway device confirms the permission of accepting data from the second domain in the first domain by the privacy certificate, and at the second domain side that is the data provider, the security policy for the application in the first domain Permits the provision of data based on, and issues a token to obtain the data. An application having a token can use the data within the validity period of the token.
Therefore, the security gateway device can use the data accessed by the application by satisfying the security condition of each country.

(2) 前記セキュリティポリシーは、前記アプリケーションの種別及び前記データの種別ごとにプライバシの有無を規定し、前記トークンを有する前記アプリケーションからの要求に対し、前記プライバシの有無に基づいて前記データを加工するプライバシ制御部を備える、(1)に記載のセキュリティゲートウェイ装置。   (2) The security policy defines the presence / absence of privacy for each type of the application and the type of data, and processes the data based on the presence / absence of the privacy in response to a request from the application having the token. The security gateway device according to (1), comprising a privacy control unit.

(2)のセキュリティゲートウェイ装置は、アプリケーションからの要求に対し、アプリケーションの種別及びデータの種別ごとに規定されたプライバシの有無に基づいてデータを加工するので、データ受信側のポリシーに関わらず、データを提供する側のプライバシに関わるデータを秘匿できる。   The security gateway device of (2) processes data based on the presence or absence of privacy defined for each application type and data type in response to a request from the application. Data related to privacy on the side of providing data can be concealed.

(3) 前記プライバシ制御部は、前記トークンを有する前記アプリケーションからの要求に対し、前記データの所有者ごとのプライバシポリシーに基づいて、前記データを選別する、(2)に記載のセキュリティゲートウェイ装置。   (3) The security gateway device according to (2), wherein the privacy control unit selects the data based on a privacy policy for each owner of the data in response to a request from the application having the token.

(3)のセキュリティゲートウェイ装置は、アプリケーションからの要求に対し、データの所有者ごとのプライバシポリシーに基づいてデータを選別するので、所有者ごとの許可を得たデータのみを提供できる。   Since the security gateway device of (3) selects data based on the privacy policy for each owner of data in response to a request from the application, only the data for which permission for each owner has been obtained can be provided.

(4) 前記プライバシポリシーは、前記アプリケーションの種別及び前記データの種別に対応付けて、前記所有者ごとに、前記データの提供を許可するか否かを規定し、前記プライバシ制御部は、前記プライバシポリシーに基づいて、前記所有者が許可したデータを抽出する、(3)に記載のセキュリティゲートウェイ装置。   (4) The privacy policy defines whether to allow the provision of the data for each owner in association with the type of the application and the type of the data, and the privacy control unit includes the privacy control unit. The security gateway device according to (3), wherein data permitted by the owner is extracted based on a policy.

(4)のセキュリティゲートウェイ装置は、データを要求するアプリケーションの種別及びデータの種別に応じた、データの所有者ごとのプライバシポリシーに基づいて、データを抽出するので、データの所有者ごとのきめ細かい設定に従って個々のデータの提供の可否を制御できる。   The security gateway device of (4) extracts data based on the privacy policy for each data owner according to the type of application that requests the data and the type of data, so fine-grained settings for each data owner According to the above, it is possible to control whether or not to provide individual data.

(5) 前記所有者の識別子と属性とが対応付けられているユーザデータベースを備え、前記プライバシ制御部は、前記アプリケーションから抽出対象の前記属性に関する条件を受信した場合、前記ユーザデータベースにより前記条件を満たす所有者を特定し、当該所有者に関するデータを抽出する、(3)又は(4)に記載のセキュリティゲートウェイ装置。   (5) A user database in which the identifier and attribute of the owner are associated with each other, and when the privacy control unit receives a condition regarding the attribute to be extracted from the application, the condition is determined by the user database. The security gateway device according to (3) or (4), wherein a satisfying owner is specified and data relating to the owner is extracted.

(5)のセキュリティゲートウェイ装置は、データの所有者の属性に関する条件をデータ抽出クエリとは別に受信した場合に、ユーザデータベースを参照することにより条件を満たす所有者を特定できるので、クエリ自体を解釈することなく対象のデータを選別できる。   When the security gateway device of (5) receives a condition relating to the attribute of the data owner separately from the data extraction query, the owner can be identified by referring to the user database, so the query itself is interpreted. The target data can be selected without doing so.

(6) 前記セキュリティポリシーは、複数の管理者ごとに設定され、前記アクセス制御部は、前記複数の管理者に対応付けられた前記データの提供期間のうち最も短い期間に基づいて、前記トークンの有効期限を設定する、(2)から(5)のいずれか一に記載のセキュリティゲートウェイ装置。   (6) The security policy is set for each of a plurality of managers, and the access control unit determines whether the token is stored based on a shortest period among the data provision periods associated with the plurality of managers. The security gateway device according to any one of (2) to (5), wherein an expiration date is set.

(6)のセキュリティゲートウェイ装置は、複数の管理者によって管理される提供期間のなかで最短期間に基づいてデータを提供するので、複数の管理者の条件のうち最も厳しい提供期間の条件でデータを保護できる。   Since the security gateway device of (6) provides data based on the shortest period among the provision periods managed by a plurality of administrators, the data is provided under the conditions of the strictest provision period among the conditions of the plurality of administrators. Can protect.

(7) 前記セキュリティポリシーは、複数の管理者ごとに設定され、前記プライバシ制御部は、前記セキュリティポリシーにおいて前記複数の管理者のいずれかにより前記データがプライバシに関わると規定されている場合に、前記データがプライバシに関わると判断する、(2)から(6)のいずれか一に記載のセキュリティゲートウェイ装置。   (7) The security policy is set for each of a plurality of administrators, and the privacy control unit, when the security policy defines that the data is related to privacy by any of the plurality of administrators, The security gateway device according to any one of (2) to (6), wherein the data is determined to be related to privacy.

(7)のセキュリティゲートウェイ装置は、複数の管理者のいずれかによりデータがプライバシに関わると規定されている場合に、データがプライバシに関わると判断するので、複数の管理者の条件のうち、プライバシに関するできるだけ安全な条件でデータを保護できる。   The security gateway device (7) determines that data is related to privacy when data is specified to be related to privacy by any of a plurality of administrators. You can protect your data in as safe a condition as possible.

(8) 前記アクセス制御部は、前記トークンを共通鍵とするメッセージ認証コードにより、前記アプリケーションからの前記データの要求の正当性を検証する、(1)から(7)のいずれか一に記載のセキュリティゲートウェイ装置。   (8) The access control unit verifies validity of the request for the data from the application using a message authentication code using the token as a common key, according to any one of (1) to (7) Security gateway device.

(8)のセキュリティゲートウェイ装置は、共通鍵によりデータの要求の正当性を検証するので、偽装や改竄等を防止して安全性を向上できる。   Since the security gateway device of (8) verifies the validity of the data request using the common key, it is possible to improve security by preventing impersonation and tampering.

(9) (1)に記載のセキュリティゲートウェイ装置が実行する方法であって、前記アクセス制御部が、前記アプリケーションによる前記データの取得を許可する、前記第1ドメインの認証局により発行されたプライバシ証明書と、前記セキュリティポリシーで規定された提供期間とに基づいて、前記データにアクセスするための有効期限が設定されたトークンを前記アプリケーションに対し発行するアクセスステップ、を備える方法。   (9) A method executed by the security gateway device according to (1), wherein the access control unit permits acquisition of the data by the application, and a privacy certificate issued by a certificate authority of the first domain And an access step of issuing to the application a token set with an expiration date for accessing the data based on a certificate and a provision period defined in the security policy.

(9)の方法は、(1)と同様に、アプリケーションがアクセスするデータを、国ごとのセキュリティ条件を満たして利活用することを可能とする。   The method (9) enables the data accessed by the application to be used by satisfying the security conditions for each country, as in (1).

(10) コンピュータに、(9)に記載の方法のステップを実行させるためのプログラム。   (10) A program for causing a computer to execute the steps of the method according to (9).

(10)のプログラムは、アプリケーションがアクセスするデータを、国ごとのセキュリティ条件を満たして利活用できるように、コンピュータに機能させることができる。   The program of (10) can make a computer function so that the data accessed by the application can be utilized by satisfying the security conditions of each country.

本発明によれば、アプリケーションがアクセスするデータを、国ごとのセキュリティ条件を満たして利活用することを可能とする。   ADVANTAGE OF THE INVENTION According to this invention, it becomes possible to use the data which an application accesses satisfy | fills the security conditions for every country.

本発明の一実施形態に係るセキュリティゲートウェイ装置の構成を示すブロック図である。It is a block diagram which shows the structure of the security gateway apparatus which concerns on one Embodiment of this invention. 本発明の一実施形態に係るセキュリティポリシーDBの例を示す図である。It is a figure which shows the example of security policy DB which concerns on one Embodiment of this invention. 本発明の一実施形態に係るトークンDBの例を示す図である。It is a figure which shows the example of token DB which concerns on one Embodiment of this invention. 本発明の一実施形態に係るプライバシポリシーの例を示す図である。It is a figure which shows the example of the privacy policy which concerns on one Embodiment of this invention. 本発明の一実施形態に係るユーザDBの例を示す図である。It is a figure which shows the example of user DB which concerns on one Embodiment of this invention. 本発明の一実施形態に係るセキュリティゲートウェイ装置によるトークン発行処理及びデータ抽出処理を示すシーケンス図である。It is a sequence diagram which shows the token issuing process and data extraction process by the security gateway apparatus which concerns on one Embodiment of this invention. 本発明の一実施形態に係る、マルチクラウド環境におけるセキュリティゲートウェイ装置の構成を示すブロック図である。It is a block diagram which shows the structure of the security gateway apparatus in the multi cloud environment based on one Embodiment of this invention. 本発明の一実施形態に係る、マルチクラウド環境におけるセキュリティゲートウェイ装置のトークンの発行処理の例を示すフローチャートである。It is a flowchart which shows the example of the issuing process of the token of the security gateway apparatus in a multi cloud environment based on one Embodiment of this invention. 本発明の一実施形態に係る、マルチクラウド環境におけるセキュリティゲートウェイ装置のデータ抽出処理の例を示すフローチャートである。It is a flowchart which shows the example of the data extraction process of the security gateway apparatus in a multi cloud environment based on one Embodiment of this invention. 図9に続くフローチャートである。It is a flowchart following FIG.

以下、本発明の実施形態について、図を参照しながら説明する。
図1は、本発明の一実施形態に係るセキュリティゲートウェイ装置10の構成を示すブロック図である。
セキュリティゲートウェイ装置10は、第1ドメインに設置されたサーバ(すなわち、アプリケーションを提供するアプリケーションサーバ)により提供されるアプリケーションからの要求に対しセキュリティポリシーに基づいてトークンを発行する。そして、セキュリティゲートウェイ装置10は、トークンを有するアプリケーションから要求されたデータを、第2ドメインに設置されたデータベースサーバ(DBサーバと言う。)からプライバシポリシーに基づいて抽出して、アプリケーションに返す。
ドメインとは、セキュリティ又はプライバシのポリシーを共有しないそれぞれの地域を言い、例えば、国を言う。
セキュリティゲートウェイ装置10は、アクセス制御部11と、プライバシ制御部12と、セキュリティポリシー記憶部(セキュリティポリシーDB31と言う。)と、ユーザデータベース(ユーザDB32と言う。)とを備える。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a block diagram showing a configuration of a security gateway device 10 according to an embodiment of the present invention.
The security gateway device 10 issues a token based on a security policy in response to a request from an application provided by a server (that is, an application server that provides an application) installed in the first domain. Then, the security gateway device 10 extracts data requested from the application having the token from the database server (referred to as a DB server) installed in the second domain based on the privacy policy, and returns it to the application.
A domain refers to each region that does not share security or privacy policies, such as a country.
The security gateway device 10 includes an access control unit 11, a privacy control unit 12, a security policy storage unit (referred to as security policy DB 31), and a user database (referred to as user DB 32).

<トークンの発行>
アクセス制御部11は、アプリケーションによるデータの取得を許可する、第1ドメインの認証局により発行されたプライバシ証明書21と、セキュリティポリシーで規定された提供期間とに基づいて、データにアクセスするための有効期限が設定されたトークンをアプリケーションに対し発行する。 <Issuance of tokens>
The access control unit 11 allows data to be accessed based on the privacy certificate 21 issued by the certificate authority of the first domain that allows the application to acquire data and the provision period specified in the security policy. Issue a token with an expiration date to the application.

セキュリティポリシーDB31は、アプリケーションの種別及びデータの種別に対応付けて、第1ドメイン(例えば、アプリケーションサーバの設置国)ごとのデータの提供期間を規定するセキュリティポリシーを記憶する。
アプリケーションの種別とは、例えば、医療に関するアプリケーションや、位置情報の提供に関するアプリケーション等の種別を言う。
データの種別とは、例えば、医療に関するデータや、位置に関するデータ等の種別を言う。データの種別は、プライバシを有するデータベース(プライバシデータベースと言う。)や、プライバシを有しないデータベース(非プライバシデータベースと言う。)を区分しないでデータベースの通し番号としてもよい。また、データの種別は、プライバシデータベースや非プライバシデータベースを区分してそれぞれのデータベースの通し番号としてもよい。
さらに、セキュリティポリシーは、データの種別ごとにプライバシの有無(すなわち、プライバシデータか非プライバシデータかのプライバシ情報)を規定する。セキュリティポリシーは、複数の管理者ごとに設定される。 The security policy DB 31 stores a security policy that defines the data provision period for each first domain (for example, the country where the application server is installed) in association with the application type and the data type.
The application type refers to a type such as an application related to medical care or an application related to provision of position information.
The type of data refers to a type of data related to medical care or data related to position, for example. The data type may be a database serial number without distinguishing a database having privacy (referred to as a privacy database) or a database having no privacy (referred to as a non-privacy database). Further, the data type may be classified into a privacy database or a non-privacy database and used as a serial number of each database.
Further, the security policy defines the presence / absence of privacy (that is, privacy information regarding privacy data or non-privacy data) for each data type. A security policy is set for each of a plurality of administrators.

具体的には、セキュリティポリシーDB31は、図2が示すように、セキュリティポリシーを記憶する。図2は、本発明の一実施形態に係るセキュリティポリシーDB31の例を示す図である。
セキュリティポリシーは、アプリケーションの種別ごとに設定された複数の管理者に対して、データの種別ごとの第1ドメイン(例えば、アプリケーションサーバの設置国)へのデータの提供期間と、プライバシ情報とを規定する。
図2において、「UK」及び「JP」は、アプリケーションサーバが設置されている国名を表し、「h」、「d」及び「m」はそれぞれ提供期間の単位である時間、日及び月を表し、「プライバシ」及び「非プライバシ」はそれぞれ「プライバシ有り」及び「プライバシ無し」のプライバシ情報を表している。数値0は、トークンが発行されないことを表している。例えば、「UK:1h、JP:2m、非プライバシ」は、UK国のアプリケーションに発行するトークンの有効期間が1時間、JP国のアプリケーションに発行するトークンの有効期間が2か月、プライバシ情報が「プライバシ無し」を表している。 Specifically, the security policy DB 31 stores a security policy as shown in FIG. FIG. 2 is a diagram showing an example of the security policy DB 31 according to the embodiment of the present invention.
The security policy specifies the data provision period and privacy information for the first domain (for example, the country where the application server is installed) for each data type for a plurality of administrators set for each type of application. To do.
In FIG. 2, “UK” and “JP” represent the country name where the application server is installed, and “h”, “d”, and “m” represent time, day, and month, which are units of the provision period, respectively. , “Privacy” and “Non-privacy” represent privacy information of “with privacy” and “without privacy”, respectively. The numerical value 0 represents that no token is issued. For example, "UK: 1h, JP: 2m, non-privacy" means that the validity period of the token issued to the UK country application is 1 hour, the validity period of the token issued to the JP country application is 2 months, and the privacy information is It represents “no privacy”.

プライバシ証明書21は、アプリケーションがデータを取得可能なドメイン(例えば、提供国)と、データの種別とを保証する。
具体的には、プライバシ証明書21は、プライバシ証明書21の発行国と、アプリケーションIPと、アプリケーションの種別と、DBサーバの設置国と、データの種別と、有効期限とを含む。
ここで、プライバシ証明書21の発行国とは、プライバシ証明書21を発行する認証局が設置された国を言い、アプリケーションサーバの設置国と同じである。
アプリケーションIPとは、アプリケーションサーバのIPアドレスを言う。
DBサーバの設置国とは、アプリケーションが取得可能なデータを提供するDBサーバが設置されている提供国を言う。 The privacy certificate 21 guarantees a domain (for example, a providing country) from which the application can acquire data and a data type.
Specifically, the privacy certificate 21 includes the issuing country of the privacy certificate 21, the application IP, the application type, the DB server installation country, the data type, and the expiration date.
Here, the issuing country of the privacy certificate 21 refers to the country in which the certificate authority that issues the privacy certificate 21 is installed, and is the same as the country in which the application server is installed.
Application IP refers to the IP address of the application server.
The country where the DB server is installed refers to the country where the DB server that provides data that can be acquired by the application is installed.

アプリケーションからトークン発行の要求を受信すると、アクセス制御部11は、セキュリティポリシーDB31から、トークン発行を要求するアプリケーションの種別に対応するセキュリティポリシーを取得する。
次に、アクセス制御部11は、取得したセキュリティポリシーに基づいて、プライバシ証明書21に規定されたデータの種別に対応付けられた、アプリケーションの国(アプリケーションサーバの設置国)への提供期間であって、複数の管理者に対応付けられたそれぞれの提供期間を取得する。
例えば、図2の場合、アプリケーションAについてのセキュリティポリシーにおいてデータの種別に合致するのがDB1、アプリケーションの国(アプリケーションサーバの設置国)がJPとすると、アクセス制御部11は、管理者1が設定したJPへの提供期間である2か月と、管理者2が設定したJPへの提供期間である2時間と、・・・、管理者Mが設定したJPへの提供期間である5時間と、を取得する。
次に、アクセス制御部11は、複数の管理者に対応付けられたデータの提供期間のうち最も短い期間に基づいて、有効期限を算出する。上述の場合、アクセス制御部11は、取得した最短の提供期間である2時間に基づき、現在時刻に2時間を加えた有効期限を算出する。
次に、アクセス制御部11は、トークンを生成し、生成したトークンに、算出した有効期限を対応付けてトークンDB33に記憶する。
アクセス制御部11は、有効期限が設定されたトークンをアプリケーションに発行する。
トークンは、メッセージ認証コードの共通鍵として生成される。 When receiving a token issuance request from the application, the access control unit 11 acquires a security policy corresponding to the type of application that requests token issuance from the security policy DB 31.
Next, the access control unit 11 is a provision period to the country of the application (the country where the application server is installed) that is associated with the type of data defined in the privacy certificate 21 based on the acquired security policy. Thus, the respective provision periods associated with the plurality of managers are acquired.
For example, in the case of FIG. 2, if the security policy for application A matches DB1 and the application country (application server installation country) is JP, the access control unit 11 is set by the administrator 1. 2 months, which is the provision period for the JP, 2 hours, which is the provision period for the JP set by the administrator 2, ..., 5 hours, which is the provision period for the JP set by the administrator M , Get.
Next, the access control unit 11 calculates an expiration date based on the shortest period of data provision periods associated with a plurality of managers. In the above case, the access control unit 11 calculates an expiration date obtained by adding 2 hours to the current time based on the acquired shortest providing period of 2 hours.
Next, the access control unit 11 generates a token, associates the calculated expiration date with the generated token, and stores it in the token DB 33.
The access control unit 11 issues a token with an expiration date set to the application.
The token is generated as a common key for the message authentication code.

図3は、本発明の一実施形態に係るトークンDB33の例を示す図である。トークンDB33は、図3に示すように、トークンと、所定の情報(すなわち、アプリケーションサーバの設置国と、アプリケーションIPと、アプリケーションの種別と、データの種別と、プライバシ情報と、トークンの有効期限)とを対応付けて記憶する。   FIG. 3 is a diagram illustrating an example of the token DB 33 according to an embodiment of the present invention. As shown in FIG. 3, the token DB 33 stores tokens and predetermined information (that is, application server installation country, application IP, application type, data type, privacy information, and token expiration date). Are stored in association with each other.

<データの抽出>
トークンを有するアプリケーションからデータ取得の要求を受信すると、アクセス制御部11は、アプリケーションからの要求に対し、要求の正当性を検証する。
具体的には、アクセス制御部11は、アプリケーションからのデータ取得の要求を構成するパラメータによりトークンDB33に基づいてトークンを取得する。
次に、アクセス制御部11は、メッセージ認証コードを除くパラメータの連結を、トークンを鍵とする鍵付きハッシュ関数に入力し、ハッシュ値を算出する。メッセージ認証コードは、例えば、ハッシュ関数としてSHA256を使用するHMAC−SHA256(HMAC:Hash−based Message Authentication Code)を用いて生成されるとしてもよい。
次に、アクセス制御部11は、算出したハッシュ値が、メッセージ認証コードと同一であることにより、発行したトークンを用いてメッセージ認証コードが生成されたものであると判定する。 <Data extraction>
When receiving a data acquisition request from an application having a token, the access control unit 11 verifies the validity of the request with respect to the request from the application.
Specifically, the access control unit 11 acquires a token based on the token DB 33 by using parameters that constitute a data acquisition request from the application.
Next, the access control unit 11 inputs the concatenation of parameters excluding the message authentication code to a keyed hash function using a token as a key, and calculates a hash value. The message authentication code may be generated using, for example, HMAC-SHA256 (HMAC: Hash-based Message Authentication Code) that uses SHA256 as a hash function.
Next, the access control unit 11 determines that the message authentication code is generated using the issued token because the calculated hash value is the same as the message authentication code.

アクセス制御部11は、データ取得の要求を受信した時刻が、取得したトークンに対応付けられた有効期限より早い時刻である場合に、トークンの有効期限内であると判定する。
アクセス制御部11は、データ取得の要求の受信時刻が、パラメータに含まれるタイムスタンプ(例えば、データ取得の要求の送信時刻)から一定期間内である場合、データ取得の要求が一定期間内のものであると判定する。
アクセス制御部11は、判定に基づいて、データ取得の要求の正当性を検証する。 When the time when the data acquisition request is received is earlier than the expiration date associated with the acquired token, the access control unit 11 determines that the token is within the expiration date.
When the reception time of the data acquisition request is within a certain period from the time stamp included in the parameter (for example, the transmission time of the data acquisition request), the access control unit 11 has the data acquisition request within the certain period. It is determined that
The access control unit 11 verifies the validity of the data acquisition request based on the determination.

プライバシ制御部12は、トークンを有するアプリケーションからのデータ取得の要求に対し、プライバシの有無に基づいてデータを加工する。
具体的には、プライバシ制御部12は、プライバシポリシーに基づいて、トークンを有するアプリケーションの種別及びデータの種別に対応付けられたプライバシ情報が「プライバシ有り」の場合、データを加工(例えば、データを匿名化)する。プライバシ制御部12は、プライバシ情報が「プライバシ無し」の場合、データを加工しない。 In response to a data acquisition request from an application having a token, the privacy control unit 12 processes data based on the presence or absence of privacy.
Specifically, the privacy control unit 12 processes data based on the privacy policy when the privacy information associated with the type of application having the token and the type of data is “with privacy” (for example, Anonymize). The privacy control unit 12 does not process data when the privacy information is “no privacy”.

プライバシ制御部12は、セキュリティポリシーにおいて複数の管理者のいずれかによりデータがプライバシに関わると規定されている場合に、データがプライバシに関わると判断する。言い換えると、プライバシ制御部12は、セキュリティポリシーにおいて複数の管理者の全員によってプライバシに関わらないと規定されている場合に、データがプライバシに関わらないと判断する。   The privacy control unit 12 determines that the data is related to the privacy when the security policy defines that the data is related to the privacy by any of the plurality of administrators. In other words, the privacy control unit 12 determines that the data is not related to privacy when all of a plurality of managers are defined as not related to privacy in the security policy.

プライバシ制御部12は、トークンを有するアプリケーションからのデータ取得の要求に対し、データの所有者ごとのプライバシポリシーに基づいて、データを選別する。   In response to a data acquisition request from an application having a token, the privacy control unit 12 selects data based on a privacy policy for each data owner.

図4は、本発明の一実施形態に係るプライバシポリシーの例を示す図である。プライバシポリシーは、図4が示すように、アプリケーションの種別ごとに、データの所有者ごとのプライバシポリシーを規定する。具体的には、プライバシポリシーは、アプリケーションの種別に対応付けて、データの種別ごとにデータの所有者がデータの提供を認可する(図4において○印)か、しない(図4において×印)かを規定する。プライバシポリシーは、第2ドメインに設置されたサーバ(後述するローカルクラウド60のプライバシポリシーDB62)から取得される。   FIG. 4 is a diagram illustrating an example of a privacy policy according to an embodiment of the present invention. As shown in FIG. 4, the privacy policy defines a privacy policy for each data owner for each type of application. Specifically, the privacy policy is associated with the application type, and the data owner authorizes the provision of data for each data type (marked with a circle in FIG. 4) or not (marked with a cross in FIG. 4). It prescribes. The privacy policy is acquired from a server (privacy policy DB 62 of the local cloud 60 described later) installed in the second domain.

プライバシ制御部12は、抽出対象のデータの所有者の属性に関する条件をアプリケーションから受信した場合、ユーザDB32により条件を満たす所有者を特定し、特定した所有者のプライバシポリシーに基づいて、所有者が許可したデータを抽出する。   When the privacy control unit 12 receives a condition related to the attribute of the owner of the data to be extracted from the application, the privacy control unit 12 specifies the owner satisfying the condition by the user DB 32, and the owner is determined based on the privacy policy of the specified owner. Extract permitted data.

ユーザDB32は、所有者の識別子と属性とを対応付ける。図5は、本発明の一実施形態に係るユーザDB32の例を示す図である。ユーザDB32は、図5が示すように、データの種別(例えば、種別の異なるデータベース)ごとに、データの所有者の識別子とその所有者の属性とを対応付けて保管する。
所有者の属性は、データベースに含まれるデータの所有者の属性であり、例えば、男性、20代等の属性を言う。 The user DB 32 associates the owner identifier with the attribute. FIG. 5 is a diagram showing an example of the user DB 32 according to an embodiment of the present invention. As shown in FIG. 5, the user DB 32 stores an identifier of a data owner and an attribute of the owner in association with each data type (for example, databases having different types).
The attribute of the owner is an attribute of the owner of data included in the database, and refers to, for example, an attribute such as male or twenties.

具体的には、プライバシ制御部12は、アプリケーションから指定された抽出対象の属性により、ユーザDB32に基づいて、アプリケーションが要求するデータベースに保管されている所有者の識別子を取得する。次に、プライバシ制御部12は、取得した所有者の識別子により、アプリケーションの種別及びデータの種別に対応するプライバシポリシーに基づいて、提供が許可されているか否かを判断する。プライバシ制御部12は、属性の条件を満たし、かつ、データ提供を許可している所有者のデータのみを抽出して、アプリケーションに返す。   Specifically, the privacy control unit 12 acquires the identifier of the owner stored in the database requested by the application based on the user DB 32 based on the extraction target attribute specified from the application. Next, the privacy control unit 12 determines whether or not provision is permitted based on the privacy policy corresponding to the type of application and the type of data based on the acquired identifier of the owner. The privacy control unit 12 extracts only the data of the owner that satisfies the attribute condition and permits the data provision, and returns the extracted data to the application.

図6は、本発明の一実施形態に係るセキュリティゲートウェイ装置10によるトークン発行及びデータ抽出処理を示すシーケンス図である。   FIG. 6 is a sequence diagram showing token issuance and data extraction processing by the security gateway device 10 according to an embodiment of the present invention.

ステップS11において、アクセス制御部11は、アプリケーションからプライバシ証明書21を受信する。   In step S11, the access control unit 11 receives the privacy certificate 21 from the application.

ステップS12において、アクセス制御部11は、プライバシ証明書21に記載されているアプリケーションの種別及びデータの種別に対応する、セキュリティポリシーで規定された提供期間に基づいて、アプリケーションがデータにアクセスするための有効期限が設定されたトークンを生成する。   In step S12, the access control unit 11 allows the application to access data based on the provision period defined in the security policy corresponding to the application type and the data type described in the privacy certificate 21. Generate a token with an expiration date.

ステップS13において、アクセス制御部11は、生成したトークンをアプリケーションに対し発行する。   In step S13, the access control unit 11 issues the generated token to the application.

ステップS14において、アクセス制御部11は、トークンを有するアプリケーションからデータ取得の要求を受信する。   In step S14, the access control unit 11 receives a data acquisition request from an application having a token.

ステップS15において、アクセス制御部11は、アプリケーションからのデータの要求の正当性を検証する。   In step S15, the access control unit 11 verifies the validity of the data request from the application.

ステップS16において、アクセス制御部11は、ステップS15で正当であることが検証された場合、データ取得の要求を第2ドメインのサーバに送信する。   In step S <b> 16, when it is verified that the access control unit 11 is valid in step S <b> 15, the access control unit 11 transmits a data acquisition request to the second domain server.

ステップS17において、プライバシ制御部12は、第2ドメインのサーバからデータを受信する。   In step S17, the privacy control unit 12 receives data from the server in the second domain.

ステップS18において、プライバシ制御部12は、プライバシポリシーに基づいて、提供が許可されているデータを抽出する。   In step S18, the privacy control unit 12 extracts data that is permitted to be provided based on the privacy policy.

ステップS19において、プライバシ制御部12は、抽出したデータをアプリケーションに返す。   In step S19, the privacy control unit 12 returns the extracted data to the application.

[マルチクラウド環境における実施例]
図7は、本発明の一実施形態に係る、マルチクラウド環境におけるセキュリティゲートウェイ装置10の構成を示すブロック図である。
セキュリティゲートウェイ装置10は、マルチクラウド環境において、グローバルクラウド50とローカルクラウド60との接点に設置される。
セキュリティゲートウェイ装置10は、第1ドメインに設置されたサーバにより提供されるアプリケーションからグローバルクラウド50を介して要求されたデータを、第2ドメインに設置されたローカルクラウド60から抽出して、グローバルクラウド50を介してアプリケーションに返す。 [Examples in a multi-cloud environment]
FIG. 7 is a block diagram showing a configuration of the security gateway device 10 in a multi-cloud environment according to an embodiment of the present invention.
The security gateway device 10 is installed at the contact point between the global cloud 50 and the local cloud 60 in a multi-cloud environment.
The security gateway device 10 extracts the data requested from the application provided by the server installed in the first domain via the global cloud 50 from the local cloud 60 installed in the second domain, and the global cloud 50 Return to the application via

アプリケーションは、グローバルクラウド50のグローバルクエリコントローラ51経由で、プライバシ証明書21をパラメータとして、トークン発行の要求をする。
セキュリティゲートウェイ装置10のアクセス制御部11は、プライバシ証明書21とセキュリティポリシーDB31の有効期間とに基づいて、トークンの有効期限を設定し、トークンをトークンDB33に保管する。アクセス制御部11は、グローバルクエリコントローラ51経由でアプリケーションにトークンを発行する。 The application requests token issuance via the global query controller 51 of the global cloud 50 using the privacy certificate 21 as a parameter.
The access control unit 11 of the security gateway apparatus 10 sets the expiration date of the token based on the privacy certificate 21 and the validity period of the security policy DB 31, and stores the token in the token DB 33. The access control unit 11 issues a token to the application via the global query controller 51.

トークンを有するアプリケーションは、グローバルクラウド50のグローバルクエリコントローラ51経由で、アプリケーションサーバの設置国、アプリケーションの種別、データの種別、データの所有者の属性、クエリ(DBサーバへの要求)、タイムスタンプ(例えば、当該データ取得の要求の送信時刻)、及びメッセージ認証コードをパラメータとして、データ取得の要求をする。グローバルクエリコントローラ51は、アプリケーションからのクエリの内容に応じてクエリを振り分けるローカルクラウド60を決定する。   An application having a token is connected via the global query controller 51 of the global cloud 50 to the country where the application server is installed, the application type, the data type, the data owner attribute, the query (request to the DB server), the time stamp ( For example, a data acquisition request is made using the data acquisition request transmission time) and the message authentication code as parameters. The global query controller 51 determines the local cloud 60 that distributes the query according to the content of the query from the application.

セキュリティゲートウェイ装置10のアクセス制御部11は、トークンの正当性を検証し、プライバシ制御部12は、アプリケーションのクエリをローカルクラウド60のローカルクエリコントローラ61に渡す。
ローカルクエリコントローラ61は、プライバシ制御部12から渡されたクエリの内容に応じて、クエリを振り分けるデータベースを決定し、クエリに基づくデータを抽出する。
セキュリティゲートウェイ装置10のプライバシ制御部12は、ローカルクエリコントローラ61によって抽出されたデータからプライバシポリシーDB62に基づいてデータを選別し、グローバルクエリコントローラ51経由でアプリケーションに返す。 The access control unit 11 of the security gateway apparatus 10 verifies the validity of the token, and the privacy control unit 12 passes the application query to the local query controller 61 of the local cloud 60.
The local query controller 61 determines a database to which the query is distributed according to the content of the query passed from the privacy control unit 12, and extracts data based on the query.
The privacy control unit 12 of the security gateway device 10 selects data based on the privacy policy DB 62 from the data extracted by the local query controller 61 and returns the data to the application via the global query controller 51.

図8は、本発明の一実施形態に係る、マルチクラウド環境におけるセキュリティゲートウェイ装置10のトークンの発行処理の例を示すフローチャートである。   FIG. 8 is a flowchart illustrating an example of token issuing processing of the security gateway apparatus 10 in a multi-cloud environment according to an embodiment of the present invention.

ステップS101において、アクセス制御部11は、アプリケーションからプライバシ証明書21をパラメータとして含む、トークン発行の要求を受信する。   In step S101, the access control unit 11 receives a token issuance request including the privacy certificate 21 as a parameter from the application.

ステップS102において、アクセス制御部11は、プライバシ証明書21に記載されている内容の正当性を検証する。より具体的には、アクセス制御部11は、プライバシ証明書21の発行国(アプリケーションサーバの設置国と同一)が、リクエストヘッダのIPアドレス情報と同一国であるか否かを判断する。さらに、アクセス制御部11は、アプリケーションIP(アプリケーションサーバのIPアドレス)がリクエストヘッダのIPアドレス情報と同一であるか否かを判断する。さらに、アクセス制御部11は、DBサーバの設置国がセキュリティゲートウェイ装置10が設置されている国と同一か否かを判断する。さらに、アクセス制御部11は、現在時刻が有効期限よりも早い時刻であるか否かを判断する。全ての判断がYESの場合、アクセス制御部11は、処理をステップS103に移し、いずれかの判断がNOの場合、アクセス制御部11は、処理をステップS109に移す。   In step S <b> 102, the access control unit 11 verifies the validity of the contents described in the privacy certificate 21. More specifically, the access control unit 11 determines whether the issuing country of the privacy certificate 21 (same as the country where the application server is installed) is the same country as the IP address information in the request header. Further, the access control unit 11 determines whether or not the application IP (the IP address of the application server) is the same as the IP address information in the request header. Furthermore, the access control unit 11 determines whether or not the country where the DB server is installed is the same as the country where the security gateway device 10 is installed. Furthermore, the access control unit 11 determines whether or not the current time is earlier than the expiration date. If all the determinations are YES, the access control unit 11 moves the process to step S103, and if any determination is NO, the access control unit 11 moves the process to step S109.

ステップS103において、アクセス制御部11は、プライバシ証明書21に記載のプライバシ証明書21の発行国(アプリケーションサーバの設置国)と、アプリケーションの種別と、データの種別とを用いて、セキュリティポリシーDB31を検索する。アクセス制御部11は、管理者ごとに規定されるアプリケーションサーバの設置国におけるトークンの有効期間のリストと、プライバシ情報のリストとを取得する。   In step S <b> 103, the access control unit 11 stores the security policy DB 31 using the issuing country of the privacy certificate 21 described in the privacy certificate 21 (the country where the application server is installed), the application type, and the data type. Search for. The access control unit 11 acquires a list of valid periods of tokens and a list of privacy information in the country where the application server is installed, which is defined for each administrator.

ステップS104において、アクセス制御部11は、プライバシ情報のリストからプライバシ証明書21に記載のデータの種別で指定されたデータベースが、非プライバシDB63かプライバシDB64かを決定する。アクセス制御部11は、全ての管理者が非プライバシDB63と設定している場合、非プライバシDB63と決定し、それ以外の場合、プライバシDB64と決定する。   In step S104, the access control unit 11 determines whether the database specified by the data type described in the privacy certificate 21 is the non-privacy DB 63 or the privacy DB 64 from the privacy information list. The access control unit 11 determines the non-privacy DB 63 when all the managers set the non-privacy DB 63, and determines the privacy DB 64 otherwise.

ステップS105において、アクセス制御部11は、有効期間のリストから複数の管理者により設定された有効期間のうち最も短い期間をトークンの有効期間として決定する。アクセス制御部11は、決定した有効期間の値と、現在時刻とを足し合わせて有効期限を算出する。   In step S105, the access control unit 11 determines the shortest period among valid periods set by a plurality of administrators from the valid period list as the valid period of the token. The access control unit 11 calculates the expiration date by adding the determined value of the validity period and the current time.

ステップS106において、アクセス制御部11は、トークンを生成する。   In step S106, the access control unit 11 generates a token.

ステップS107において、アクセス制御部11は、ステップS106で生成したトークンと、プライバシ証明書21に記載のアプリケーションサーバの設置国、アプリケーションIP、アプリケーションの種別、データの種別、ステップS104で決定したプライバシ情報、及びステップS105で算出したトークンの有効期限とを対応付け、トークンDB33に保管する。   In step S107, the access control unit 11 includes the token generated in step S106, the application server installation country described in the privacy certificate 21, the application IP, the application type, the data type, the privacy information determined in step S104, And the expiration date of the token calculated in step S105 is associated and stored in the token DB 33.

ステップS108において、アクセス制御部11は、有効期限が設定されたトークンをアプリケーションに返す。その後、アクセス制御部11は、処理を終了する。   In step S108, the access control unit 11 returns a token with an expiration date set to the application. Thereafter, the access control unit 11 ends the process.

ステップS109において、アクセス制御部11は、トークン発行の要求が正常でないことを表すエラー情報をアプリケーションに返す。その後、アクセス制御部11は、処理を終了する。   In step S109, the access control unit 11 returns error information indicating that the token issuance request is not normal to the application. Thereafter, the access control unit 11 ends the process.

図9及び図10は、本発明の一実施形態に係る、マルチクラウド環境におけるセキュリティゲートウェイ装置10のデータ抽出処理の例を示すフローチャートである。   9 and 10 are flowcharts illustrating an example of data extraction processing of the security gateway device 10 in a multi-cloud environment according to an embodiment of the present invention.

ステップS201において、アクセス制御部11は、アプリケーションからデータ取得の要求を受信し、パラメータのアプリケーションサーバの設置国、リクエストヘッダのIPアドレス情報(アプリケーションIP)、アプリケーションの種別、データの種別を用いて、トークンDB33を検索し、これらの情報に対応付けられているトークン及びトークンの有効期限を取得する。   In step S201, the access control unit 11 receives a data acquisition request from the application, and uses the parameter application server installation country, the request header IP address information (application IP), the application type, and the data type, The token DB 33 is searched, and the token associated with the information and the expiration date of the token are acquired.

ステップS202において、アクセス制御部11は、データ取得の要求を受信した時刻がトークンの有効期限より早い時刻か否かを判断する。この判断がYESの場合、アクセス制御部11は、処理をステップS203に移し、この判断がNOの場合、アクセス制御部11は、処理をステップS213に移す。   In step S202, the access control unit 11 determines whether or not the time when the data acquisition request is received is earlier than the token expiration date. If this determination is YES, the access control unit 11 moves the process to step S203, and if this determination is NO, the access control unit 11 moves the process to step S213.

ステップS203において、アクセス制御部11は、メッセージ認証コード以外のパラメータ(アプリケーションサーバの設置国、アプリケーションの種別、データの種別、データの所有者の属性、クエリ、タイムスタンプ)の連結を、ステップS201で取得したトークンを鍵とする鍵付きハッシュ関数に入力し、ハッシュ値を算出し、算出したハッシュ値とメッセージ認証コードとが一致するか否かを判断する。この判断がYESの場合、アクセス制御部11は、処理をステップS204に移し、この判断がNOの場合、アクセス制御部11は、処理をステップS213に移す。   In step S203, the access control unit 11 links parameters other than the message authentication code (application server installation country, application type, data type, data owner attribute, query, time stamp) in step S201. The obtained token is input to a keyed hash function, and a hash value is calculated. It is determined whether or not the calculated hash value matches the message authentication code. If this determination is YES, the access control unit 11 moves the process to step S204, and if this determination is NO, the access control unit 11 moves the process to step S213.

ステップS204において、アクセス制御部11は、パラメータのタイムスタンプを用いて、データ取得の要求の受信時刻がタイムスタンプから一定期間内か否かを判断する。この判断がYESの場合、アクセス制御部11は、処理をステップS205に移し、この判断がNOの場合、アクセス制御部11は、処理をステップS213に移す。   In step S204, the access control unit 11 determines whether the reception time of the data acquisition request is within a certain period from the time stamp, using the parameter time stamp. If this determination is YES, the access control unit 11 moves the process to step S205, and if this determination is NO, the access control unit 11 moves the process to step S213.

ステップS205において、アクセス制御部11は、パラメータのデータの種別で指定されたデータベースがプライバシか否かを判断する。この判断がYESの場合、アクセス制御部11は、処理をステップ207に移し、この判断がNOの場合、アクセス制御部11は、処理をステップS206に移す。   In step S205, the access control unit 11 determines whether or not the database designated by the parameter data type is privacy. If this determination is YES, the access control unit 11 moves the process to step 207, and if this determination is NO, the access control unit 11 moves the process to step S206.

ステップS206において、アクセス制御部11は、パラメータのクエリを用いて、ローカルクエリコントローラ61経由で非プライバシDB63から非プライバシデータを取得し、取得したデータをアプリケーションに返す。その後、アクセス制御部11は、処理を終了する。   In step S206, the access control unit 11 acquires non-privacy data from the non-privacy DB 63 via the local query controller 61 using a parameter query, and returns the acquired data to the application. Thereafter, the access control unit 11 ends the process.

ステップS207において、プライバシ制御部12は、パラメータのデータの所有者の属性を用いて、ユーザDB32を検索し、該当するデータの所有者のリストを取得する。   In step S207, the privacy control unit 12 searches the user DB 32 using the attribute of the parameter data owner, and acquires a list of the owners of the corresponding data.

ステップS208において、プライバシ制御部12は、アプリケーションの種別と、ステップS207で取得した所有者のリストとを用いて、プライバシポリシーDB62から該当するデータの所有者のプライバシポリシーを取得する。   In step S208, the privacy control unit 12 acquires the privacy policy of the owner of the corresponding data from the privacy policy DB 62 using the application type and the list of owners acquired in step S207.

ステップS209において、プライバシ制御部12は、ステップS208で取得したプライバシポリシーを参照し、データの種別で指定されたデータのうちデータの提供を許可する所有者のリスト(以下、データの提供者のリスト)を作成する。   In step S209, the privacy control unit 12 refers to the privacy policy acquired in step S208, and among the data specified by the data type, a list of owners permitted to provide data (hereinafter, a list of data providers) ).

ステップS210において、プライバシ制御部12は、パラメータのクエリを用いて、ローカルクエリコントローラ61を介してプライバシDB64からプライバシデータを取得する。   In step S210, the privacy control unit 12 acquires privacy data from the privacy DB 64 via the local query controller 61 using a parameter query.

ステップS211において、プライバシ制御部12は、ステップ209で作成したデータの提供者のリストを用いて、ステップS210で取得したデータのうち提供者のリストに存在する所有者のデータのみを抽出する。   In step S211, the privacy control unit 12 uses the data provider list created in step 209 to extract only the owner data existing in the provider list from the data acquired in step S210.

ステップS212において、プライバシ制御部12は、ステップ211で抽出したデータをアプリケーションに返す。その後、アクセス制御部11は、処理を終了する。   In step S212, the privacy control unit 12 returns the data extracted in step 211 to the application. Thereafter, the access control unit 11 ends the process.

ステップS213において、アクセス制御部11は、データ取得の要求が正常でないことを表すエラー情報をアプリケーションに返す。その後、アクセス制御部11は、処理を終了する。   In step S213, the access control unit 11 returns error information indicating that the data acquisition request is not normal to the application. Thereafter, the access control unit 11 ends the process.

本実施形態によれば、セキュリティゲートウェイ装置10は、プライバシ証明書21によって第1ドメインでの第2ドメインからのデータの受け入れ許可を確認すると共に、データ提供元である第2ドメイン側で、第1ドメインのアプリケーションに対するセキュリティのポリシーに基づいてデータの提供を許可し、データを取得するためのトークンを発行する。トークンを有するアプリケーションは、トークンの有効期限内でデータを利用することができる。したがって、セキュリティゲートウェイ装置は、アプリケーションがアクセスするデータを、国ごとのセキュリティ条件を満たして利活用することを可能とする。
さらに、セキュリティゲートウェイ装置10は、アプリケーションからの要求に対し、アプリケーションの種別及びデータの種別ごとに規定されたプライバシの有無に基づいてデータを加工するので、データ受信側のポリシーに関わらず、データを提供する側のプライバシに関わるデータを秘匿できる。
さらに、セキュリティゲートウェイ装置10は、アプリケーションからの要求に対し、データの所有者ごとのプライバシポリシーに基づいてデータを選別するので、所有者ごとの許可を得たデータのみを提供できる。
さらに、セキュリティゲートウェイ装置10は、データを要求するアプリケーションの種別及びデータの種別に応じた、データの所有者ごとのプライバシポリシーに基づいて、データを抽出するので、データの所有者ごとのきめ細かい設定に従って個々のデータの提供の可否を制御できる。
さらに、セキュリティゲートウェイ装置10は、データの所有者の属性に関する条件をデータ抽出クエリとは別に受信した場合に、ユーザデータベースを参照することにより条件を満たす所有者を特定できるので、クエリ自体を解釈することなく対象のデータを選別できる。
さらに、セキュリティゲートウェイ装置10は、複数の管理者によって管理される提供期間のなかで最短期間に基づいてデータを提供するので、複数の管理者の条件のうち最も厳しい提供期間の条件でデータを保護できる。
さらに、セキュリティゲートウェイ装置10は、複数の管理者のいずれかによりデータがプライバシに関わると規定されている場合に、データがプライバシに関わると判断するので、複数の管理者の条件のうち、プライバシに関するできるだけ安全な条件でデータを保護できる。
さらに、セキュリティゲートウェイ装置10は、共通鍵によりデータの要求の正当性を検証するので、偽装や改竄等を防止して安全性を向上できる。 According to the present embodiment, the security gateway device 10 confirms the permission of accepting data from the second domain in the first domain by the privacy certificate 21, and at the second domain side that is the data providing source, Permits the provision of data based on the security policy for the domain application, and issues a token to obtain the data. An application having a token can use the data within the validity period of the token. Therefore, the security gateway device can use the data accessed by the application by satisfying the security condition of each country.
Furthermore, since the security gateway device 10 processes data based on the presence of privacy defined for each application type and each data type in response to a request from the application, the data is processed regardless of the policy on the data receiving side. Data related to the privacy of the provider can be concealed.
Furthermore, since the security gateway device 10 selects data based on a privacy policy for each data owner in response to a request from an application, only the data for which permission for each owner is obtained can be provided.
Furthermore, since the security gateway device 10 extracts data based on the privacy policy for each data owner corresponding to the type of application that requests data and the type of data, the security gateway device 10 follows detailed settings for each data owner. Whether to provide individual data can be controlled.
Furthermore, when the condition regarding the attribute of the data owner is received separately from the data extraction query, the security gateway device 10 can identify the owner who satisfies the condition by referring to the user database, and therefore interprets the query itself. The target data can be selected without any problem.
Furthermore, since the security gateway device 10 provides data based on the shortest period among the provision periods managed by a plurality of administrators, the data is protected under the conditions of the strictest provision period among the conditions of the plurality of administrators. it can.
Furthermore, the security gateway device 10 determines that the data is related to privacy when any of the plurality of administrators defines that the data is related to privacy. You can protect your data in as secure a condition as possible.
Furthermore, since the security gateway device 10 verifies the validity of the data request using the common key, it is possible to improve security by preventing impersonation and tampering.

以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。   As mentioned above, although embodiment of this invention was described, this invention is not restricted to embodiment mentioned above. The effects described in the embodiments of the present invention are only the most preferable effects resulting from the present invention, and the effects of the present invention are limited to those described in the embodiments of the present invention. is not.

例えば、本実施形態では、セキュリティゲートウェイ装置10は、データを取得した後に、データの提供者のリストを用いて、取得したデータから提供可能なデータを抽出するとしたが、これに限られない。セキュリティゲートウェイ装置10は、所有者の属性の条件をクエリに組み入れてローカルクエリコントローラ61に送り、ローカルクエリコントローラ61に提供可能なデータを抽出させてもよい。   For example, in the present embodiment, the security gateway device 10 extracts data that can be provided from the acquired data using the list of data providers after acquiring the data, but is not limited thereto. The security gateway device 10 may incorporate the attribute condition of the owner into the query and send it to the local query controller 61 to cause the local query controller 61 to extract data that can be provided.

セキュリティゲートウェイ装置10による一連の処理は、ソフトウェアにより行うこともできる。一連の処理をソフトウェアによって行う場合には、そのソフトウェアを構成するプログラムが、汎用のコンピュータ等にインストールされる。また、当該プログラムは、コンピュータ読み取り可能な記録媒体(例えば、CD−ROMのようなリムーバブルメディア等)に記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。   A series of processing by the security gateway device 10 can also be performed by software. When a series of processing is performed by software, a program constituting the software is installed in a general-purpose computer or the like. The program may be recorded on a computer-readable recording medium (for example, a removable medium such as a CD-ROM) and distributed to the user, or may be downloaded to the user's computer via a network. May be distributed.

10 セキュリティゲートウェイ装置
11 アクセス制御部
12 プライバシ制御部
21 プライバシ証明書
31 セキュリティポリシーDB
32 ユーザDB
33 トークンDB
50 グローバルクラウド
51 グローバルクエリコントローラ
60 ローカルクラウド
61 ローカルクエリコントローラ
62 プライバシポリシーDB
63 非プライバシDB
64 プライバシDB

DESCRIPTION OF SYMBOLS 10 Security gateway apparatus 11 Access control part 12 Privacy control part 21 Privacy certificate 31 Security policy DB
32 User DB
33 Token DB
50 Global Cloud 51 Global Query Controller 60 Local Cloud 61 Local Query Controller 62 Privacy Policy DB
63 Non-privacy DB
64 Privacy DB

Claims (10)

第1ドメインに設置されたサーバにより提供されるアプリケーションから要求されたデータを、第2ドメインに設置されたサーバから抽出して、前記アプリケーションに返すセキュリティゲートウェイ装置であって、
前記アプリケーションの種別及び前記データの種別に対応付けて、前記第1ドメインごとの前記データの提供期間を規定するセキュリティポリシーを記憶するセキュリティポリシー記憶部と、
前記アプリケーションによる前記データの取得を許可する、前記第1ドメインの認証局により発行されたプライバシ証明書と、前記セキュリティポリシーで規定された提供期間とに基づいて、前記データにアクセスするための有効期限が設定されたトークンを前記アプリケーションに対し発行するアクセス制御部と、
を備えるセキュリティゲートウェイ装置。 A security gateway device that extracts data requested from an application provided by a server installed in a first domain from a server installed in a second domain and returns the data to the application,
A security policy storage unit that stores a security policy that defines a provision period of the data for each first domain in association with the type of application and the type of data;
An expiration date for accessing the data based on a privacy certificate issued by the certificate authority of the first domain that permits the application to acquire the data and a provision period specified in the security policy An access control unit that issues a token set to the application,
A security gateway device comprising: 前記セキュリティポリシーは、前記アプリケーションの種別及び前記データの種別ごとにプライバシの有無を規定し、
前記トークンを有する前記アプリケーションからの要求に対し、前記プライバシの有無に基づいて前記データを加工するプライバシ制御部を備える、請求項1に記載のセキュリティゲートウェイ装置。 The security policy defines the presence or absence of privacy for each type of application and type of data,
The security gateway device according to claim 1, further comprising: a privacy control unit that processes the data based on presence / absence of the privacy in response to a request from the application having the token. 前記プライバシ制御部は、前記トークンを有する前記アプリケーションからの要求に対し、前記データの所有者ごとのプライバシポリシーに基づいて、前記データを選別する、請求項2に記載のセキュリティゲートウェイ装置。   The security gateway device according to claim 2, wherein the privacy control unit selects the data based on a privacy policy for each owner of the data in response to a request from the application having the token. 前記プライバシポリシーは、前記アプリケーションの種別及び前記データの種別に対応付けて、前記データの所有者ごとに、前記データの提供を許可するか否かを規定し、
前記プライバシ制御部は、前記プライバシポリシーに基づいて、前記データの所有者が許可したデータを抽出する、請求項3に記載のセキュリティゲートウェイ装置。 The privacy policy specifies whether to permit the provision of the data for each owner of the data in association with the type of the application and the type of the data,
The security gateway device according to claim 3, wherein the privacy control unit extracts data permitted by an owner of the data based on the privacy policy. 前記データの所有者の識別子と属性とが対応付けられているユーザデータベースを備え、
前記プライバシ制御部は、前記アプリケーションから抽出対象の前記属性に関する条件を受信した場合、前記ユーザデータベースにより前記条件を満たす所有者を特定し、当該所有者に関するデータを抽出する、請求項2から4のいずれか一項に記載のセキュリティゲートウェイ装置。 A user database in which an identifier and an attribute of an owner of the data are associated with each other;
The privacy control unit, when receiving a condition regarding the attribute to be extracted from the application, specifies an owner that satisfies the condition by the user database, and extracts data regarding the owner. The security gateway device according to any one of the above. 前記セキュリティポリシーは、複数の管理者ごとに設定され、
前記プライバシ制御部は、前記セキュリティポリシーにおいて前記複数の管理者のいずれかにより前記データがプライバシに関わると規定されている場合に、前記データがプライバシに関わると判断する、請求項2から5のいずれか一項に記載のセキュリティゲートウェイ装置。 The security policy is set for each of a plurality of administrators,
6. The privacy control unit according to claim 2, wherein the privacy control unit determines that the data is related to privacy when the security policy defines that the data is related to privacy by any of the plurality of administrators. The security gateway device according to claim 1. 前記セキュリティポリシーは、複数の管理者ごとに設定され、
前記アクセス制御部は、前記複数の管理者に対応付けられた前記データの提供期間のうち最も短い期間に基づいて、前記トークンの有効期限を設定する、請求項1から6のいずれか一項に記載のセキュリティゲートウェイ装置。 The security policy is set for each of a plurality of administrators,
The access control unit according to any one of claims 1 to 6, wherein the access control unit sets an expiration date of the token based on a shortest period among the provision periods of the data associated with the plurality of administrators. The security gateway device described. 前記アクセス制御部は、前記トークンを共通鍵とするメッセージ認証コードにより、前記アプリケーションからの前記データの要求の正当性を検証する、請求項1から7のいずれか一項に記載のセキュリティゲートウェイ装置。   The security gateway device according to any one of claims 1 to 7, wherein the access control unit verifies validity of the request for the data from the application by using a message authentication code having the token as a common key. 請求項1に記載のセキュリティゲートウェイ装置が実行する方法であって、
前記アクセス制御部が、前記アプリケーションによる前記データの取得を許可する、前記第1ドメインの認証局により発行されたプライバシ証明書と、前記セキュリティポリシーで規定された提供期間とに基づいて、前記データにアクセスするための有効期限が設定されたトークンを前記アプリケーションに対し発行するアクセスステップ、
を備える方法。 A method performed by the security gateway device according to claim 1,
The access control unit allows the data to be acquired based on a privacy certificate issued by a certificate authority of the first domain that permits the application to acquire the data and a provision period specified in the security policy. An access step for issuing to the application a token set with an expiration date for access;
A method comprising: コンピュータに、請求項9に記載の方法のステップを実行させるためのプログラム。
A program for causing a computer to execute the steps of the method according to claim 9.
JP2015072441A 2015-03-31 2015-03-31 Security gateway device, method and program Active JP6548936B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015072441A JP6548936B2 (en) 2015-03-31 2015-03-31 Security gateway device, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015072441A JP6548936B2 (en) 2015-03-31 2015-03-31 Security gateway device, method and program

Publications (2)

Publication Number Publication Date
JP2016192126A true JP2016192126A (en) 2016-11-10
JP6548936B2 JP6548936B2 (en) 2019-07-24

Family

ID=57245616

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015072441A Active JP6548936B2 (en) 2015-03-31 2015-03-31 Security gateway device, method and program

Country Status (1)

Country Link
JP (1) JP6548936B2 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018195154A (en) * 2017-05-19 2018-12-06 Kddi株式会社 Data provision system and data provision method
WO2019164886A1 (en) * 2018-02-21 2019-08-29 Mastercard International Incorporated Systems and methods for managing digital identities associated with users
JP2019153060A (en) * 2018-03-02 2019-09-12 株式会社日立製作所 System, method and apparatus for information management
JP2020016989A (en) * 2018-07-24 2020-01-30 横河電機株式会社 Device, method, program, and recording medium
US10848495B2 (en) 2018-02-18 2020-11-24 Cisco Technology, Inc. Internet of things security system
KR20210043523A (en) * 2020-04-26 2021-04-21 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. Data mining system, method, apparatus, electronic device and storage medium
JPWO2021084572A1 (en) * 2019-10-28 2021-05-06

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282804A (en) * 1998-03-31 1999-10-15 Secom Joho System Kk Communication system having user authentication function and user authentication method
JP2007221324A (en) * 2006-02-15 2007-08-30 Kddi R & D Laboratories Inc Content reproducer, content reproducing system, and program
JP2015005222A (en) * 2013-06-21 2015-01-08 キヤノン株式会社 Authorization server system, its control method and program
JP2015005202A (en) * 2013-06-21 2015-01-08 キヤノン株式会社 Authority transfer system, approval server system, control method and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282804A (en) * 1998-03-31 1999-10-15 Secom Joho System Kk Communication system having user authentication function and user authentication method
JP2007221324A (en) * 2006-02-15 2007-08-30 Kddi R & D Laboratories Inc Content reproducer, content reproducing system, and program
JP2015005222A (en) * 2013-06-21 2015-01-08 キヤノン株式会社 Authorization server system, its control method and program
JP2015005202A (en) * 2013-06-21 2015-01-08 キヤノン株式会社 Authority transfer system, approval server system, control method and program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
披田野 清良 外2名: "越境データのプライバシ問題に配慮したiKaaSアーキテクチャの提案", コンピュータセキュリティシンポジウム2015 論文集, vol. 2015, no. 3, JPN6019022385, 14 October 2015 (2015-10-14), JP, pages 56 - 63, ISSN: 0004057313 *

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018195154A (en) * 2017-05-19 2018-12-06 Kddi株式会社 Data provision system and data provision method
US10848495B2 (en) 2018-02-18 2020-11-24 Cisco Technology, Inc. Internet of things security system
US11658977B2 (en) 2018-02-18 2023-05-23 Cisco Technology, Inc. Internet of Things security system
WO2019164886A1 (en) * 2018-02-21 2019-08-29 Mastercard International Incorporated Systems and methods for managing digital identities associated with users
US10873853B2 (en) 2018-02-21 2020-12-22 Mastercard International Incorporated Systems and methods for managing digital identities associated with users
JP6995667B2 (en) 2018-03-02 2022-01-14 株式会社日立製作所 Information management system, information management method and information management device
JP2019153060A (en) * 2018-03-02 2019-09-12 株式会社日立製作所 System, method and apparatus for information management
JP2020016989A (en) * 2018-07-24 2020-01-30 横河電機株式会社 Device, method, program, and recording medium
JPWO2021084572A1 (en) * 2019-10-28 2021-05-06
JP7323825B2 (en) 2019-10-28 2023-08-09 日本電信電話株式会社 Database system, distributed processing device, database device, distributed processing method, and distributed processing program
JP2021103563A (en) * 2020-04-26 2021-07-15 ベイジン バイドゥ ネットコム サイエンス アンド テクノロジー カンパニー リミテッド Data mining system, method, device, electronic apparatus, and storage medium
KR20210043523A (en) * 2020-04-26 2021-04-21 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. Data mining system, method, apparatus, electronic device and storage medium
KR102586892B1 (en) * 2020-04-26 2023-10-10 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. Data mining system, method, apparatus, electronic device and storage medium

Also Published As

Publication number Publication date
JP6548936B2 (en) 2019-07-24

Similar Documents

Publication Publication Date Title
JP6548936B2 (en) Security gateway device, method and program
US10853805B2 (en) Data processing system utilising distributed ledger technology
EP3522446B1 (en) System and method for credentialed access to a remote server
JP4395178B2 (en) Content processing system, method and program
US9332019B2 (en) Establishment of a trust index to enable connections from unknown devices
CN111416822B (en) Method for access control, electronic device and storage medium
US8464350B2 (en) System and method for in-private browsing
US11386202B2 (en) Apparatus and method for social account access control
JP2019511048A (en) Identity security and containment based on detected threat events
KR101401794B1 (en) Method and apparatus for providing data sharing
JP2005310125A (en) Method and system for displaying and managing security information
US11809592B2 (en) Data processing apparatus and methods
Kubovy et al. A secure token-based communication for authentication and authorization servers
WO2014127653A1 (en) Method, device and system for visiting malicious website
JP6576932B2 (en) How to redirect search requests from an untrusted search engine to a trusted search engine
KR101086452B1 (en) System for identity management with privacy policy using number and method thereof
JP2016189138A (en) Cache management device, method, and program
JP6719413B2 (en) Security gateway device, method, and program
Drogkaris et al. Employing privacy policies and preferences in modern e–government environments
WO2009066858A1 (en) Personal information management apparatus and personal information management method
Gabillon et al. A security model for IoT networks
JP6413540B2 (en) Relay device, data processing system, and program
JP6162056B2 (en) Advertisement content delivery system and advertisement content delivery method
JP2005339008A (en) Access control method and program, and recording medium
Field et al. Resource-oriented lightweight information exchange (ROLIE)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170901

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180605

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190626

R150 Certificate of patent or registration of utility model

Ref document number: 6548936

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150