JP6291013B2 - 匿名データの第三者の監視を実行するためのシステム及び方法 - Google Patents

匿名データの第三者の監視を実行するためのシステム及び方法 Download PDF

Info

Publication number
JP6291013B2
JP6291013B2 JP2016226796A JP2016226796A JP6291013B2 JP 6291013 B2 JP6291013 B2 JP 6291013B2 JP 2016226796 A JP2016226796 A JP 2016226796A JP 2016226796 A JP2016226796 A JP 2016226796A JP 6291013 B2 JP6291013 B2 JP 6291013B2
Authority
JP
Japan
Prior art keywords
manifest
server
authentication
checker
checker element
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016226796A
Other languages
English (en)
Other versions
JP2017050023A (ja
Inventor
ポール・フランシス
フェリックス・バウアー
セバスチャン・プロプスト・アイデ
マティアス・クレッチナー
クリスチャン・ダニエル・ベルネアヌ
Original Assignee
マックス プランク ゲゼルシャフト ツール フォーデルング デル ヴィッセンシャフテン エー ファオ
マックス プランク ゲゼルシャフト ツール フォーデルング デル ヴィッセンシャフテン エー ファオ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by マックス プランク ゲゼルシャフト ツール フォーデルング デル ヴィッセンシャフテン エー ファオ, マックス プランク ゲゼルシャフト ツール フォーデルング デル ヴィッセンシャフテン エー ファオ filed Critical マックス プランク ゲゼルシャフト ツール フォーデルング デル ヴィッセンシャフテン エー ファオ
Publication of JP2017050023A publication Critical patent/JP2017050023A/ja
Application granted granted Critical
Publication of JP6291013B2 publication Critical patent/JP6291013B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Description

本出願は、2013年9月25日に出願された米国仮出願第61/882321号に基づく優先権の利益を主張するものであり、当該仮出願の全体が参照として含められている。
本発明は、個人的なユーザデータを取り扱うサーバを信頼できる第三者機関(以下では単に「第三者」という)により監視するための方法及びシステムに関する。
ユーザがその個人的なデータを遠隔サーバに供給する(預ける)という機会が増えてきている。サーバの運営組織(サーバ組織)では、ユーザのデータを1または他の方法(例えば個人情報の保護方針について説明した文書による)で保護することを規定している。ユーザは、サーバの運営組織(サーバ組織)を全面的に信頼することはできず、サーバの運営組織(サーバ組織)による保護の規定に応えられるような信頼できる第三者の保証を欲している。しかし今日ではこれが脆弱な手法で行われているのが実情である。例えば、第三者は、サーバソフトウェアを調査して、ソフトウェアが保護の規定を忠実に遂行している旨を証明しなければならない。しかしながら、サーバの運営組織(サーバ組織)は、そのソフトウェアを事後的に簡単に改変して保護の規定に背くことが可能である。このため、信頼できる第三者がサーバソフトウェアを制御することにより、当該第三者の認証が無い限りにおいてサーバの運営組織(サーバ組織)がそのソフトウェアを改変することができないようにしたシステム及び方法が要求されている。さらに、ユーザは、サーバに対して個人的なデータを伝送する前に、このような制御が存在している(実行されている)ことについて保証(認証)を得なければならない。
本発明の一態様では、独立した複数の第三者が、当該複数の第三者のうちの一部または全部がソフトウェアを認証しない限りにおいて、特定のサーバアプリケーションソフトウェアの動作を停止する(無効にする)ことができる。サーバに対して個人的なデータを供給している(預けている)ユーザは、この個人的なデータを独立した第三者が監視している旨の暗号証明を得ることができる。加えて、サーバは、以前に起動したことがある全てのバージョンのソフトウェアの不正開封防止ログ(tamper-proof log)を生成することができる。これにより、いずれのユーザも、過去にサーバ内で起動したことがあるソフトウェアを正確に把握することができる。このモデルによれば、サーバにデータを送る前に、サーバアプリケーションソフトウェアが当該データを安全に取り扱うことについての保証(信頼)をクライアントに与えることができる。
上述した本発明の特徴および利点ならびに他の特徴および態様については、以下の説明および添付図面を参照することでより良く理解することができる。
保護されたユーザデータを取り扱うためのサーバを示す概略図である。 サーバソフトウェアの第三者認証を得るための方法を示す概略図である。 サーバソフトウェアの第三者認証を確認するための方法を示す概略図である。 サーバソフトウェアの認証を受けた第三者のリストを管理するための方法を示す概略図である。 図1のサーバを経由して保護されたユーザデータにアクセス(供給または問い合わせ)するための方法を示す概略図である。 本発明の一実施形態によるサーバとクライアントとの間における遠隔認証接続モードを示す概略図である。 本発明の別実施形態によるサーバとクライアントとの間における遠隔認証接続モードを示す概略図である。
添付図面を参照して、本発明の典型的な実施形態について詳細に説明する。添付図面においては、同一または類似の構成要素に同一の符号を使用する。
図1に示すように、サーバ100は、個人的なまたは保護されたユーザデータ10を取り扱うためのサーバアプリケーションソフトウェア110を起動および実行する。サーバ100は、その機能的な構成要素として、トラステッド・プラットフォーム・モジュール(Trusted Platform Module)(以下では「TPM」と呼ぶ)120を有している。以下ではTPM120による機能を「TPM機能」と呼ぶことにする。このTPM機能は、TPMハードウェアとこれに対応するマザーボードファームウェアにより実現され、またはサーバのCPUの内部に実装されている。TPM120は、シーリング/アンシーリング機能部(sealing and unsealing functionality)130と遠隔認証機能部(remote attestation functionality)140を有している。シーリング/アンシーリング機能部130と遠隔認証機能部140は、例えば、トラステッド・コンピュータ・グループ(Trusted Computing Group)によって定義されている。またサーバ100は、トラステッドブート機能部(Trusted Boot functionality)(以下では「ブート機能部」と呼ぶ)150を有している。
ブート機能部150は、サーバ内に設けられた各種のソフトウェアの起動時間(ブート時間)をモニタリングし、これらのソフトウェアの「測定値(測定結果)(measurements)」を記憶する。記憶される測定値は、例えば、ソフトウェアのハッシュ値やその他のファイル(例えばソフトウェアの構成ファイル)として実行可能である。測定値(ハッシュ値等)は、TPM120の内部に、プラットフォーム・コンフィギュレーション・レジスターズ(以下では「PCRs」と呼ぶ)として記憶される。ブート機能部150は、起動処理の全要素を測定するPCRsおよび選択的に追加されたソフトウェアのPCRsを把握する。ブート機能部150は、例えば、TrustedGRUBによって実装される。PCRsは、起動処理の各要素が選択的に追加されたソフトウェアと同様にサーバ上のソフトウェア動作として実現されることを保証する。
シーリング/アンシーリング機能部130は、TPM120内で、PCRsの値に従って、暗号化データと復号化データを参照することができる。特に、TPMがシーリング機能の一部としてデータを暗号化するとき、シーリング/アンシーリング機能部130は、特定のPCRsの値を記録する。TPMがデータを復号化(アンシーリング)するとき、シーリング/アンシーリング機能部130は、暗号化時(シーリング時)の特定のPCRsの値と同じ値のときにだけ、データの復号化(アンシーリング)が可能である。実際上、データを暗号化したソフトウェアだけがこの暗号化データを復号化することができる。
TPM120は、遠隔認証機能部140を認証して、遠隔操作デバイスに対して、PCRの測定値の暗号証明を実行する(させる)。この暗号証明は、TPMの製造業者によって署名された証明書に基づいて、当該製造業者がTPM120内にインストールした永久キーを認証することにより実行される。
本実施形態では、ブート機能部150により測定されて選択的に追加されたソフトウェアが、マニフェスト・チェッカー・ソフトウェア(以下では「MC」または「MCソフトウェア」と呼ぶ)160を含んでいる。ブート機能部150により把握されたPCRsのセットは、MCのPCRsを含んでおり、以下ではこれを「シーリングPCRs」と呼ぶ。これは、サーバ上におけるユーザデータのシーリングとアンシーリングがPCRsのセットが存在するときにだけ実行されるからである。
本実施形態では、ブート機能部150とは別の構成要素であるマニフェストチェッカー(MC)160が、サーバ100を動作不能状態とすることなくサーバアプリケーションソフトウェア(SA)110のアップデートを許容するために、サーバアプリケーションソフトウェア(SA)110を具体的に測定(監視)する。サーバアプリケーションソフトウェア(SA)110は、ユーザデータの保護を保証するためのソフトウェアの全構成要素、例えば、OS、環境設定ファイル(構成ファイル)、SELinuxポリシー、アプリケーションバイナリーを含んでいる。しかし、サーバアプリケーションソフトウェア(SA)110は、マニフェストチェッカー(MC)160の測定値を含んでいない。サーバアプリケーションソフトウェア(SA)110の現在測定値を含むPCRまたはPCRsは「SA PCRs」と呼ばれる。マニフェストチェッカー(MC)160は、「SA PCRs」と、1つまたはそれ以上のマニフェスト200の内部に記憶された測定値とを比較する。ここで、マニフェスト200とその内部に記憶された測定値は、図2を参照して詳述する信頼できる第三者により認証されたものである。
図2に示すように、サーバ100は、それぞれ異なる複数の第三者(A、B等)に由来する複数のマニフェスト(200A、200B等)を記憶している。それぞれの第三者は、自らのマニフェスト200(当該マニフェストを構成するソフトウェアの測定値)を認証する。この認証のための方法の1つとして、第三者が、証明書(certificate)240によって確認された署名(signature)230を用いて、マニフェスト200に署名することができる。例えば、第三者は、それぞれのプライベートキー230(230A、230B、230C)を用いて、それぞれのマニフェスト200(200A、200B、200C)に署名することができる。第三者は、それぞれのプライベートキー230(230A、230B、230C)を用いることで、それぞれのマニフェスト200(200A、200B、200C)を供給するための安全な通信プロトコル、例えばSSLやIPSECを確立および認証することができる。証明書240は、第三者のそれぞれのプライベートキー230(230A、230B、230C)に対応する公開キー240(240A、240B、240C)とすることができる。証明書240は、サーバ100の内部にマニフェストチェッカー(MC)160の一部として記憶されており、マニフェストチェッカー(MC)160の測定値の一部として含まれている。
図3に示すように、マニフェストチェッカー(MC)160は、サーバ100の一部であり、サーバ100の動作を制御するものである。マニフェストチェッカー(MC)160は、サーバ100の起動要求に応じて、サーバアプリケーションソフトウェア(SA)110の少なくとも1つの測定値(SA PCR)を取得し、次のような処理ステップを実行する。
『MCa1.(310)』
マニフェストチェッカー(MC)160は、記憶されたマニフェスト200を読み出す。
『MCa2.(320)』
マニフェストチェッカー(MC)160は、読み出したマニフェスト200を認証(確認)する。マニフェスト200を認証(確認)するために用いられる証明書240は、ブート機能部150(図1)により用いられるマニフェストチェッカー測定値に含まれている。マニフェスト・チェッカー・ソフトウェア(MC)160は、認証(確認)していない全てのマニフェスト200を無視する。
『MCa3.(330)』
マニフェストチェッカー(MC)160は、認証(確認)したマニフェスト200と、PCRsの現在測定値とを比較する。この比較は少なくとも、上述した「SA PCRs」を含んでいる。
『MCa4.(340)』
マニフェストチェッカー(MC)160は、マニフェスト200の大部分が「SA PCRs」の現在測定値と一致していれば、サーバアプリケーションソフトウェア(SA)110とのアクセスが可能になる。逆に、マニフェストチェッカー(MC)160は、マニフェスト200の大部分が「SA PCRs」の現在測定値と一致していなければ、サーバアプリケーションソフトウェア(SA)110とのアクセスが不能になる。例えば、マニフェストチェッカー(MC)160は、全てのマニフェスト200が一致していることをアクセス条件としてもよいし、全てよりも少ない(大部分の)マニフェスト200が一致していることをアクセス条件としてもよい。
図1を参照して前述したように、保護されたユーザデータ10は、シーリング/アンシーリング機能部130によりシーリング(暗号化)されて、サーバ100内の不揮発性メモリ(例えばディスクメモリやフラッシュメモリ)に記憶される。この処理は、全てのユーザデータを直接的にシーリング(暗号化)することで行ってもよいし、ユーザデータを暗号化および復号化するためのシーリングキーを使って効率的に行ってもよい。ユーザデータを暗号化および復号化するためのキーは、アンシーリングされてRAMシステムにて使用される。マニフェストチェッカー(MC)160とサーバアプリケーションソフトウェア(SA)110の少なくとも一方は、シーリング/アンシーリング機能部130により、保護されたユーザデータ10のシーリング/アンシーリングを行うか、TPM120によりこれらのデータのシーリング/アンシーリングを行うべき旨の要求を出す。あるいは、TPM120がCPUに埋め込まれている場合には、CPUの内部でキーがアンシーリングされて暗号化および復号化のために使用される。このようにキーがCPUから分離することはあり得ない。サーバアプリケーションソフトウェア(SA)110に代えて、マニフェストチェッカー(MC)160が、シーリング/アンシーリング機能部130によりデータのシーリング/アンシーリングを行ってもよい。
本実施形態ではシーリングPCRsのみによってデータがシーリングされる。これは、マニフェストチェッカー(MC)160またはブート機能部の何らかの構成要素が改変されたとしても、TPM、MCまたはSAは、もはや、保護されたユーザデータ10にアクセス(暗号化や復号化)するためのキーをアンシーリングできないことを意味している。これは、たとえマニフェストチェッカー(MC)160がシーリング/アンシーリング機能部130またはサーバアプリケーションソフトウェア(SA)110と繋がっていても同様である。
例えば、図2に示すように、第三者であるA、Bが、各自で生成したマニフェスト200A、200Bに署名するために用いるプライベートキー230A、230Bを保持している場合を考える。これらのマニフェスト200(200A、200B)は、サーバ100の内部に伝送されて記憶される。マニフェストチェッカー(MC)160は証明書240を含んでおり、この証明書240は、第三者であるA、Bのプライベートキー230(230A、230B)と対応する、第三者であるA、Bのための公開キー240(240A、240B)である。各マニフェスト200(200A、200B)は、上述の『MCa2.(320)』において、記憶された証明書としての公開キー240(240A、240B)に従ってこれに対応するプライベートキー230(230A、230B)による署名がなされたときに、これが認証される。つまり、証明書としての公開キー240(240A、240B)はシーリングPCRに含まれる構成要素である。
第三者がそのマニフェストに署名する方法とは別の方法について説明する。この別の方法では、マニフェストチェッカー(MC)160が、第三者(A、B等)のための公開キーを含む証明書240を使用して、SSLといった安全な通信チャンネルを経由して、第三者(A、B等)を認証する。証明書240は、保護されたユーザデータ10をシーリングするために用いるマニフェストチェッカー(MC)160の測定値220の一部である。
全ての第三者がマニフェストのマッチングを行うことを要求する方法(上述の『MCa4.(340)』)とは別の方法について説明する。この別の方法では、マニフェストチェッカー(MC)160が、第三者の一部だけがマニフェストのマッチングを行うことを要求する。例えば、3つの第三者が存在する場合を考えたとき、マニフェストチェッカー(MC)160は、そのうちの2つの第三者がマニフェストのマッチングを行うことを要求する。さらに別の方法では、マニフェストチェッカー(MC)160が、まず、第三者の一部だけがマニフェストのマッチングを行うことを要求し、その後、追加の第三者がマニフェストのマッチングを行うことを要求する。後者のタイミングまでに追加のマニフェストが供給不能な場合、マニフェストチェッカー(MC)160は、サーバアプリケーションソフトウェア(SA)110を停止(無効)にする。例えば、3つの第三者が存在する場合を考えたとき、マニフェストチェッカー(MC)160は、まず、そのうちの1つの第三者がマニフェストのマッチングを行うことを要求し、その後の一週間以内に、2番目の第三者がマニフェストのマッチングを行うことを要求する。マニフェストのマッチングを行う最小の人数、及び/又は、マッチングのスケジュールは、マニフェストチェッカー(MC)160の測定値の一部である。この場合、マニフェストのマッチングを行う最小の人数が以前と比べて改変されると、ユーザデータ10のアンシーリング(復号化)が不可能となる。
本実施形態では、マニフェスト200が以前のマニフェストの測定値を無視する(無効にする)。例えばマニフェスト200は、1またはそれ以上の測定値(無効測定値)を含むとともに、この測定値(無効測定値)のセットと一緒のソフトウェアは起動しない(無効である)ことを示す追加情報(文字列)を含んでいる。これは例えば、以前の測定値(無効測定値)と一緒のソフトウェアに安全性の欠陥が見つかったときに、そのソフトウェアを二度と起動できないようにすることを意味しており、有用な作用効果である。
以下では図1−図3を参照して、本実施形態のシステムと方法の1つの使用例について説明する。サーバ100は、該サーバ100がユーザデータ10をどのようにして保護するかという個人情報保護に関する方針を実行する。個人情報保護に関する方針では、その方針で規定されたデータ保護が行なわれていないシステムによってはユーザデータ10を絶対に取り扱わない旨の取り決めがなされている。第三者であるA、Bは、サーバアプリケーションソフトウェア(SA)110を調べて、これが個人情報保護に関する方針を満足していることを確認する。これらの第三者はそれぞれ署名キー230とこれに対応する証明書240を有している。これらの第三者は前もって証明書240をサーバ組織に提供しており、サーバ組織は、提供された証明書240をマニフェストチェッカー(MC)160にて一括管理する。サーバ100のソフトウェアが個人情報保護に関する方針に従っていることを第三者が確認したとき、第三者はそれぞれ、マニフェスト200に対応するキー230を生成してこれに署名する。マニフェスト200とこれに対応するキー230は、「シーリングPCRs」や「SA PCRs」を含んでいる。
本実施形態では、例えば図4に示すように、生成されたマニフェストによって認証された第三者のリストを改変することが望ましい。図3の実施形態では、マニフェストチェッカー(MC)160に証明書240を追加または削除することにより、サーバアプリケーションソフトウェア(SA)110によるユーザデータ10のアンシーリングを不能にすることができる。第三者認証のリストが改変されたときにユーザデータが無くなるのを防止するために、図4では、マニフェストの追加の種類または層を含む第三者リスト400を使用している。この第三者リスト400は、マニフェストを生成する認証された第三者(A、B、C)の証明書240を識別することができる。しかし、この第三者リスト400に含まれる証明書240は、TPM120により使用されるマニフェストチェッカーの測定値の一部ではない。むしろ、マニフェストチェッカーの測定値は、第三者リスト400の生成を許可された第三者のための証明書410のみを含むものである。
図4を参照して、第三者であるCとDが、それぞれ、プライベートキー420Cと420Dを使用して、第三者リスト400Cと400Dを生成してこれに署名する場合について説明する。第三者リスト400は、第三者であるA、B、Cのための証明書(公開キー)240を含んでいる。マニフェストチェッカー(MC)160は、第三者であるCとDのための証明書(公開キー)410を保持している。この証明書(公開キー)410は「シーリングPCR」の測定値の一部である。これに対し証明書(公開キー)240はもはや「シーリングPCR」の測定値の一部ではない。
マニフェストチェッカー(MC)160は、次のような処理ステップを実行する。
『MCb1.430』
マニフェストチェッカー(MC)160は、記憶された第三者リスト400を読み出す。
『MCb2.440』
マニフェストチェッカー(MC)160は、証明書410に対して第三者リスト400を認証する。マニフェストチェッカー(MC)160は、認証失敗した全ての第三者リストを無視(破棄)する。
『MCb3.』
マニフェストチェッカー(MC)160は、認証成功した第三者リスト400内の第三者A、Bに対応する証明書を使用して、上述した『MCa1.(310)』から『MCa4.(340)』の処理を実行する。
マニフェストチェッカー(MC)160は、第三者リスト400が高精度に一致しないときは、『MCb3.』の処理を実行しない。あるいは、マニフェストチェッカー(MC)160は、全ての第三者リスト400に共通する第三者により認証されたマニフェストだけを使用して、『MCb3.』の処理を実行してもよい。さらには、マニフェストチェッカー(MC)160は、いずれかの第三者リストに含まれる第三者により認証されたマニフェストを使用してもよい。マニフェストチェッカー(MC)160は、第三者リストに十分な数の第三者がリストアップされていないとき、『MCb3.』の処理を実行しない。第三者の最小数は、シーリング/アンシーリング機能部130のために認証されたコードベースの一部である。あるいは、マニフェストは安全性の高いセッション確立の間に認証されてもよい。
図5に示すように、評価者としての第三者C、Dは、マニフェスト生成者である第三者A、Bがサーバソフトウェアを調査する権限を有しているか否かを評価する(500)。評価者としての第三者C、Dは、それぞれ、署名キー420とこれに対応する証明書410を生成する(510)。評価者としての第三者C、Dは、その証明書410C、410Dをサーバ組織に提供する(520)。サーバ組織は、マニフェストチェッカー160内に証明書を含んでいる。評価者としての第三者C、Dは、それぞれの第三者リスト400C、400Dを提供することにより、マニフェスト生成者である第三者A、Bに対して権限を与える。第三者リスト400C、400Dは、第三者A、Bのための証明書を含んでいる。
本実施形態では、図1に示すように、サーバ100が、現在および過去にサーバにより動作されたソフトウェアによる全ての測定値の不正開封防止ログを記憶している。例えばマニフェストチェッカー160がログ170を生成することができる。これを実現するための構成として、サーバ100またはマニフェストチェッカー160は、そのPCRが時々刻々と変化するログ170へのエントリー権(PCR値の参照権)を生成することができる。ログエントリーは、過去のログエントリーのハッシュ値に沿ったPCRの測定値(次の過去のログエントリーとなるログエントリーのハッシュ値)を含んでいる。このログは、遠隔認証部250(図2)の一部として確立された安全性の高い経路を介して要求および伝送される。同様に、サーバ100(さらにはマニフェストチェッカー160)は、サーバが受け取るすべてのマニフェストの不正開封防止ログを生成する。
図6に示すように、遠隔システム(クライアント600)は、サーバ100との接続を確立し、クライアントは、第三者であるA、B、Cの少なくとも一部がサーバを認証したこと(第三者認証)を確認する。つまりクライアントがサーバのユーザとなり、クライアントがピアサーバとなり、サーバのセットがクラスターとして動作し、サーバからサーバへユーザデータ10を伝送することが可能になる。
本実施形態では、クライアント600が第三者のための公開キー(証明書)240を記憶している。サーバ100の遠隔認証部140が遠隔認証処理を行っている間、クライアントは、サーバのためのPCR値(「シーリングPCRs」と「SA PCRs」)を取得する。遠隔認証部140は、クライアント600に対して、サーバ100が有効なTPM120を有していること及びPCRsが適切に生成されていることについての確認を行う。クライアント600は、サーバからマニフェスト200を取得する。クライアントは、該クライアントが記憶した第三者の証明書240を使用してマニフェストを認証する(320)。またクライアントは、該クライアントが記憶した第三者の証明書240を使用して、マニフェストPCR値と、サーバの遠隔認証部140により提供されたPCR値とを比較する(330)。マニフェスト200が認証され、且つ、比較の結果として両PCR値が一致すると(320、330)、クライアントが適切に認証されたサーバと通信することができるようになる。比較処理においては、「シーリングPCRs」と「SA PCRs」の両方が比較の対象となる。クライアント(ユーザまたはピアサーバ)とサーバ100とが適切に認証された接続関係になると、ユーザデータの伝送が可能になる。
本実施形態では、遠隔認証部140による遠隔認証処理の間、クライアント600が第三者のマニフェスト200を取得する。この処理はサーバハッシュ602により安全性が確保された状態で実行される。サーバハッシュ602は、遠隔認証(トラステッドコンピュータグループによって特定される)を目的としてクライアントにより発行されるチャレンジ610を含んだマニフェスト200からなる。マニフェストのハッシュとチャレンジは、PCRsのような他の値と一緒に、TPM120が署名すべき新たなチャレンジ620を生成する。マニフェスト200は、新チャレンジのTPMの署名630およびその他の値と同様に(一緒に)クライアントに戻される。クライアントは、TPMにより署名された元のチャレンジとマニフェストのハッシュに基づいて、戻された新チャレンジと同じものを再生成する。そして、再生成した新チャレンジが適切に署名されると(新チャレンジ620と一致すると)、クライアントは、マニフェストがサーバによって伝送されたことを確認することができる。
図7は、別の実施形態を示している。この別の実施形態では、クライアント600が、公開キー630を使用して、サーバ100との間で安全性の高い接続経路640を確立する。公開キー630は、遠隔認証部140による遠隔認証処理の間にサーバから伝送される。公開キー630は、図6のマニフェスト200のときと同じ方法(すなわちTPMにより署名されたチャレンジで公開キーをハッシュする)により認証される。サーバ100は、安全性の高い接続経路640を介して、クライアントに対してマニフェスト200を伝送する。
本明細書は、ベストモードを含む幾つかの実施形態を例示的に開示しており、当業者であれば、本発明の実施形態に様々な装置やシステムや方法を組み込んでこれを実施することができる。本発明の技術的範囲は、クレームの記載及びこれに当業者が適宜の設計変更を付加した範囲にまで及ぶものとする。つまり、このような設計変更を付加した他の例は、これがクレームの文言から相違しない限りにおいて、あるいは、これがクレームの文言と実質的な相違がなく等価である限りにおいて、クレームの範囲に含まれるのである。
本明細書で使用する構成要素またはステップは、単数形で記載し、“a”または“an”の記載は、その構成要素またはステップが複数あることが発明の必須の構成要件として明示的に述べられない限りにおいて、その構成要素またはステップが複数あることを除外しないように理解するべきである。また、本発明の「一実施形態(one embodiment)」という記載は、これに付加的な特徴を組み込んだ実施形態を排除して解釈されることを意図するものではない。さらに、明確にそうではない旨の記載がない限りにおいて、“comprising”、“including”または“having”の記載は、たとえ本発明の1または複数の構成要素に付加的な特徴を組み込んだとしても、本発明の技術的範囲に含まれるという意味で使用する。
上述した方法およびシステムにおいては、本発明の思想および範囲から逸脱することなく、各種の変更を行うことができる。このため、本明細書と図面に示されているのは、本発明のコンセプトのほんの一例にすぎないと解釈するべきであり、本発明の範囲がこれに限定されるべきものと解釈してはならない。

Claims (28)

  1. ユーザデータのシーリングとアンシーリングを行うためのサーバであって、
    プロセッサと、
    メモリデバイスであって、前記メモリデバイスは、シーリングされた暗号キーと、暗号キーにより暗号化されたユーザデータと、それぞれがサーバの認証測定値を有する複数の認証マニフェストと、マニフェストチェッカー要素及びトラステッド・プラットフォーム・モジュールにアクセス可能なサーバアプリケーションとを有し、前記暗号キーは、前記マニフェストチェッカー要素の測定値を使用して第1のメモリデバイスの内部にシーリングされている、前記メモリデバイスと
    を備え、
    前記プロセッサは、前記サーバアプリケーションによって、前記マニフェストチェッカー要素を実行することで、サーバの認証測定値に対応するサーバの現在測定値を取得し、サーバの現在測定値と認証測定値とを比較し、ここで、サーバの測定値は、前記マニフェストチェッカー要素のいかなる測定値をも含んでおらず、
    前記プロセッサは、サーバの認証測定値と一致するサーバの現在測定値の数が規定された閾値を超えるときには、前記サーバアプリケーションによって、前記トラステッド・プラットフォーム・モジュールが前記マニフェストチェッカー要素の現在測定値を使用して前記暗号キーをアンシーリングし、前記暗号キーを使用してユーザデータにアクセスできるようにするか、又は
    前記プロセッサは、サーバの認証測定値と一致する現在測定値の数が前記規定された閾値を超えないときには、前記サーバアプリケーションによって、前記トラステッド・プラットフォーム・モジュールが前記暗号キーをアンシーリングできないようにする、サーバ。
  2. 請求項1記載のサーバにおいて、
    前記複数の認証マニフェストは、それぞれ、該複数の認証マニフェストを個々に認証する証明書とは別の独立した証明書によって認証される、サーバ。
  3. 請求項1記載のサーバにおいて、
    前記マニフェストチェッカー要素は、前記プロセッサに、前記メモリデバイスに記憶された複数の証明書に対して前記認証マニフェストを認証させる、サーバ。
  4. 請求項3記載のサーバにおいて、
    前記複数の証明書は、前記サーバアプリケーションの内部に符号化されている、サーバ。
  5. 請求項4記載のサーバにおいて、
    前記マニフェストチェッカー要素は、前記複数の証明書を含んでいる、サーバ。
  6. 請求項3記載のサーバにおいて、
    前記マニフェストチェッカー要素は、前記メモリデバイスに記憶された前記複数の証明書に対して前記認証マニフェストの全てが認証されたとき、及び、前記認証測定値の全てが前記現在測定値と一致しているときにのみ、前記プロセッサに、前記規定された閾値を超えていると判定させる、サーバ。
  7. 請求項3記載のサーバにおいて、
    前記マニフェストチェッカー要素は、前記メモリデバイスに記憶された前記複数の証明書に対して前記認証マニフェストの少なくとも一部を残した大部分が認証されたとき、及び、前記認証マニフェストの少なくとも一部を残した大部分が前記現在測定値と一致する前記認証測定値を含んでいるときにのみ、前記プロセッサに、前記規定された閾値を超えていると判定させる、サーバ。
  8. 請求項3記載のサーバにおいて、
    前記マニフェストチェッカー要素は、前記メモリデバイスに記憶された前記複数の証明書に対して前記認証マニフェストの少なくとも過半数が認証されたとき、及び、前記認証マニフェストの少なくとも過半数が前記現在測定値と一致する前記認証測定値を含んでいるときにのみ、前記プロセッサに、前記規定された閾値を超えていると判定させる、サーバ。
  9. 請求項3記載のサーバにおいて、
    前記マニフェストチェッカー要素は、前記認証マニフェストの少なくとも過半数が前記現在測定値と一致する前記認証測定値を含んでいるときにのみ、前記プロセッサに、前記規定された閾値を超えていると判定させる、サーバ。
  10. 請求項1記載のサーバにおいて、
    前記マニフェストチェッカー要素は、前記認証マニフェストの少なくとも1つが、前記現在測定値の1つと一致する無効測定値を含んでいるとき、前記プロセッサに、前記規定された閾値を超えていないと判定させる、サーバ。
  11. 請求項1記載のサーバにおいて、
    前記マニフェストチェッカー要素は、該マニフェストチェッカー要素の測定値の一部ではない第三者のリストを含んでおり、この第三者のリストは、前記認証マニフェストを認証した第三者の証明書を含んでいる、サーバ。
  12. 請求項11記載のサーバにおいて、
    前記マニフェストチェッカー要素は、前記第三者リストの改変を許容された評価者の証明書を含んでおり、この評価者の証明書は、前記マニフェストチェッカー要素の測定値の一部である、サーバ。
  13. 請求項1記載のサーバにおいて、
    前記マニフェストチェッカー要素は、当該サーバとは別のサーバの現在測定値と前記メモリデバイスに記憶されたマニフェストの認証測定値とを比較することにより、前記プロセッサに、前記別のサーバを遠隔認証させる、サーバ。
  14. 請求項1記載のサーバにおいて、
    前記マニフェストチェッカー要素は、前記プロセッサに、データ送信者の証明書に関して入力したユーザデータをチェックさせ、データ送信者のマニフェストがサーバアプリケーションの現在測定値と一致しているときにのみ、データ送信者により証明されたデータをアンシーリングさせる、サーバ。
  15. 請求項14記載のサーバにおいて、
    前記マニフェストチェッカー要素は、前記プロセッサに、認証マニフェストを提供することが許可された第三者のリストに対するデータ送信者の証明書をチェックさせる、サーバ。
  16. 請求項15記載のサーバにおいて、
    前記マニフェストチェッカー要素は、前記規定された閾値を超えているかどうかに関する基準を決めるために、前記プロセッサにデータ送信者の証明書をチェックさせる、サーバ。
  17. 改変可能なサーバを使用して、当該サーバの測定値に従って、データを信頼性高くシーリング及びアンシーリングするための方法であって、
    前記サーバに、データのシーリング及びアンシーリングのための改変可能なトラステッド・プラットフォーム・モジュールと、このトラステッド・プラットフォーム・モジュールの許可又は不許可を決める改変不能なチェッカー要素とを構築するステップと、
    前記チェッカー要素を介して、前記トラステッド・プラットフォーム・モジュールが予め定めた基準に適合しているか否かを判定するステップと、
    前記トラステッド・プラットフォーム・モジュールが予め定めた基準に適合していると前記チェッカー要素が判定したときに、前記トラステッド・プラットフォーム・モジュールがチェッカー要素の測定値を使用してデータをシーリング/アンシーリングできるようにするか、又は
    前記トラステッド・プラットフォーム・モジュールが予め定めた基準に適合していないと前記チェッカー要素が判定したときに、前記トラステッド・プラットフォーム・モジュールがデータをシーリング/アンシーリングできないようにするステップと
    を含む方法。
  18. 請求項17記載の方法において、
    前記チェッカー要素は、前記トラステッド・プラットフォーム・モジュールの現在測定値と、第三者により認証されたマニフェストに含まれる認証測定値とを比較することにより、前記トラステッド・プラットフォーム・モジュールが予め定めた基準に適合しているか否かを判定する、方法。
  19. 請求項18記載の方法において、
    前記チェッカー要素は、当該チェッカー要素内に記憶された複数の証明書に対してそれぞれのマニフェストを認証する、方法。
  20. 請求項19記載の方法において、
    前記チェッカー要素の測定値は、データのシーリングとアンシーリングのために使用されるものであり、且つ、前記複数の証明書を含んでいない、方法。
  21. 請求項19記載の方法において、
    前記チェッカー要素は、前記複数の証明書のうち、評価者により認証された第三者リスト内に含まれる証明書だけを受け入れる、方法。
  22. 請求項18記載の方法において、
    前記チェッカー要素は、メモリデバイスに記憶された複数の証明書に対して全ての認証マニフェストが認証されているか否か、及び、現在測定値と認証測定値が完全に一致しているか否かのみに基づいて、前記トラステッド・プラットフォーム・モジュールが予め定めた基準に適合しているか否かを判定する、方法。
  23. 請求項18記載の方法において、
    前記チェッカー要素は、メモリデバイスに記憶された複数の証明書に対して前記認証マニフェストの少なくとも一部を残した大部分が認証されているか否か、及び、前記認証マニフェストの少なくとも一部を残した大部分が認証測定値を含んでいるか否かのみに基づいて、前記トラステッド・プラットフォーム・モジュールが予め定めた基準に適合しているか否かを判定する、方法。
  24. 請求項18記載の方法において、
    前記チェッカー要素は、メモリデバイスに記憶された複数の証明書に対して前記認証マニフェストの少なくとも過半数が認証されているか否か、及び、前記認証マニフェストの少なくとも過半数が認証測定値を含んでいるか否かのみに基づいて、前記トラステッド・プラットフォーム・モジュールが予め定めた基準に適合しているか否かを判定する、方法。
  25. 請求項18記載の方法において、
    前記チェッカー要素は、前記認証マニフェストの少なくとも過半数が認証測定値を含んでいるか否かのみに基づいて、前記トラステッド・プラットフォーム・モジュールが予め定めた基準に適合しているか否かを判定する、方法。
  26. 請求項18記載の方法において、
    前記チェッカー要素は、前記認証マニフェストの少なくとも1つが前記現在測定値の1つと一致する無効測定値を含んでいるか否かに基づいて、前記トラステッド・プラットフォーム・モジュールが予め定めた基準に適合しているか否かを判定する、方法。
  27. 請求項17記載の方法において、
    前記チェッカー要素は、前記トラステッド・プラットフォーム・モジュールが、入力データに添付されたデータ送信者の証明書に対応する基準に適合しているか否かを判定する、方法。
  28. 請求項27記載の方法において、
    前記基準は、改変可能なトラステッド・プラットフォーム・モジュールの認証測定値として設定されており、前記チェッカー要素は、前記データ送信者の証明書により確認された1またはそれ以上の認証マニフェストから前記認証測定値を取得する、方法。
JP2016226796A 2013-09-25 2016-11-22 匿名データの第三者の監視を実行するためのシステム及び方法 Active JP6291013B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201361882321P 2013-09-25 2013-09-25
US61/882,321 2013-09-25
US14/283,383 2014-05-21
US14/283,383 US9542568B2 (en) 2013-09-25 2014-05-21 Systems and methods for enforcing third party oversight of data anonymization

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2014189808A Division JP2015072683A (ja) 2013-09-25 2014-09-18 匿名データの第三者の監視を実行するためのシステム及び方法

Publications (2)

Publication Number Publication Date
JP2017050023A JP2017050023A (ja) 2017-03-09
JP6291013B2 true JP6291013B2 (ja) 2018-03-14

Family

ID=52692093

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2014189808A Pending JP2015072683A (ja) 2013-09-25 2014-09-18 匿名データの第三者の監視を実行するためのシステム及び方法
JP2016226796A Active JP6291013B2 (ja) 2013-09-25 2016-11-22 匿名データの第三者の監視を実行するためのシステム及び方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2014189808A Pending JP2015072683A (ja) 2013-09-25 2014-09-18 匿名データの第三者の監視を実行するためのシステム及び方法

Country Status (3)

Country Link
US (1) US9542568B2 (ja)
EP (1) EP2866166B1 (ja)
JP (2) JP2015072683A (ja)

Families Citing this family (128)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9729583B1 (en) 2016-06-10 2017-08-08 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US10803175B2 (en) * 2015-03-06 2020-10-13 Microsoft Technology Licensing, Llc Device attestation through security hardened management agent
US11004125B2 (en) 2016-04-01 2021-05-11 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US20220164840A1 (en) 2016-04-01 2022-05-26 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US10706447B2 (en) 2016-04-01 2020-07-07 OneTrust, LLC Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments
US11244367B2 (en) 2016-04-01 2022-02-08 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US11520928B2 (en) 2016-06-10 2022-12-06 OneTrust, LLC Data processing systems for generating personal data receipts and related methods
US11295316B2 (en) 2016-06-10 2022-04-05 OneTrust, LLC Data processing systems for identity validation for consumer rights requests and related methods
US11238390B2 (en) 2016-06-10 2022-02-01 OneTrust, LLC Privacy management systems and methods
US11416109B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Automated data processing systems and methods for automatically processing data subject access requests using a chatbot
US11038925B2 (en) 2016-06-10 2021-06-15 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11294939B2 (en) 2016-06-10 2022-04-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US11277448B2 (en) 2016-06-10 2022-03-15 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11410106B2 (en) 2016-06-10 2022-08-09 OneTrust, LLC Privacy management systems and methods
US10607028B2 (en) 2016-06-10 2020-03-31 OneTrust, LLC Data processing systems for data testing to confirm data deletion and related methods
US11354435B2 (en) 2016-06-10 2022-06-07 OneTrust, LLC Data processing systems for data testing to confirm data deletion and related methods
US10503926B2 (en) 2016-06-10 2019-12-10 OneTrust, LLC Consent receipt management systems and related methods
US11341447B2 (en) 2016-06-10 2022-05-24 OneTrust, LLC Privacy management systems and methods
US11354434B2 (en) 2016-06-10 2022-06-07 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US11727141B2 (en) 2016-06-10 2023-08-15 OneTrust, LLC Data processing systems and methods for synching privacy-related user consent across multiple computing devices
US10848523B2 (en) 2016-06-10 2020-11-24 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11562097B2 (en) 2016-06-10 2023-01-24 OneTrust, LLC Data processing systems for central consent repository and related methods
US11625502B2 (en) 2016-06-10 2023-04-11 OneTrust, LLC Data processing systems for identifying and modifying processes that are subject to data subject access requests
US11138299B2 (en) 2016-06-10 2021-10-05 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11343284B2 (en) 2016-06-10 2022-05-24 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US10678945B2 (en) 2016-06-10 2020-06-09 OneTrust, LLC Consent receipt management systems and related methods
US10284604B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing and scanning systems for generating and populating a data inventory
US11403377B2 (en) 2016-06-10 2022-08-02 OneTrust, LLC Privacy management systems and methods
US10496846B1 (en) 2016-06-10 2019-12-03 OneTrust, LLC Data processing and communications systems and methods for the efficient implementation of privacy by design
US11328092B2 (en) 2016-06-10 2022-05-10 OneTrust, LLC Data processing systems for processing and managing data subject access in a distributed environment
US11144622B2 (en) 2016-06-10 2021-10-12 OneTrust, LLC Privacy management systems and methods
US11636171B2 (en) 2016-06-10 2023-04-25 OneTrust, LLC Data processing user interface monitoring systems and related methods
US11100444B2 (en) 2016-06-10 2021-08-24 OneTrust, LLC Data processing systems and methods for providing training in a vendor procurement process
US11222142B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems for validating authorization for personal data collection, storage, and processing
US11227247B2 (en) 2016-06-10 2022-01-18 OneTrust, LLC Data processing systems and methods for bundled privacy policies
US10467432B2 (en) 2016-06-10 2019-11-05 OneTrust, LLC Data processing systems for use in automatically generating, populating, and submitting data subject access requests
US11188615B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Data processing consent capture systems and related methods
US10944725B2 (en) 2016-06-10 2021-03-09 OneTrust, LLC Data processing systems and methods for using a data model to select a target data asset in a data migration
US10803200B2 (en) 2016-06-10 2020-10-13 OneTrust, LLC Data processing systems for processing and managing data subject access in a distributed environment
US10839102B2 (en) 2016-06-10 2020-11-17 OneTrust, LLC Data processing systems for identifying and modifying processes that are subject to data subject access requests
US11222309B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10878127B2 (en) 2016-06-10 2020-12-29 OneTrust, LLC Data subject access request processing systems and related methods
US11366909B2 (en) 2016-06-10 2022-06-21 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10565161B2 (en) 2016-06-10 2020-02-18 OneTrust, LLC Data processing systems for processing data subject access requests
US11157600B2 (en) 2016-06-10 2021-10-26 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11200341B2 (en) 2016-06-10 2021-12-14 OneTrust, LLC Consent receipt management systems and related methods
US10896394B2 (en) 2016-06-10 2021-01-19 OneTrust, LLC Privacy management systems and methods
US11151233B2 (en) 2016-06-10 2021-10-19 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10949170B2 (en) 2016-06-10 2021-03-16 OneTrust, LLC Data processing systems for integration of consumer feedback with data subject access requests and related methods
US10776514B2 (en) 2016-06-10 2020-09-15 OneTrust, LLC Data processing systems for the identification and deletion of personal data in computer systems
US10592692B2 (en) 2016-06-10 2020-03-17 OneTrust, LLC Data processing systems for central consent repository and related methods
US11228620B2 (en) 2016-06-10 2022-01-18 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11146566B2 (en) 2016-06-10 2021-10-12 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11134086B2 (en) 2016-06-10 2021-09-28 OneTrust, LLC Consent conversion optimization systems and related methods
US11025675B2 (en) 2016-06-10 2021-06-01 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US10798133B2 (en) 2016-06-10 2020-10-06 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10282700B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10853501B2 (en) 2016-06-10 2020-12-01 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10510031B2 (en) 2016-06-10 2019-12-17 OneTrust, LLC Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques
US11138242B2 (en) 2016-06-10 2021-10-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US11366786B2 (en) 2016-06-10 2022-06-21 OneTrust, LLC Data processing systems for processing data subject access requests
US10776517B2 (en) 2016-06-10 2020-09-15 OneTrust, LLC Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods
US11222139B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems and methods for automatic discovery and assessment of mobile software development kits
US10585968B2 (en) 2016-06-10 2020-03-10 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10796260B2 (en) 2016-06-10 2020-10-06 OneTrust, LLC Privacy management systems and methods
US10740487B2 (en) 2016-06-10 2020-08-11 OneTrust, LLC Data processing systems and methods for populating and maintaining a centralized database of personal data
US10846433B2 (en) 2016-06-10 2020-11-24 OneTrust, LLC Data processing consent management systems and related methods
US10318761B2 (en) 2016-06-10 2019-06-11 OneTrust, LLC Data processing systems and methods for auditing data request compliance
US11188862B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Privacy management systems and methods
US11416590B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10873606B2 (en) 2016-06-10 2020-12-22 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11301796B2 (en) 2016-06-10 2022-04-12 OneTrust, LLC Data processing systems and methods for customizing privacy training
US11475136B2 (en) 2016-06-10 2022-10-18 OneTrust, LLC Data processing systems for data transfer risk identification and related methods
US11481710B2 (en) 2016-06-10 2022-10-25 OneTrust, LLC Privacy management systems and methods
US10169609B1 (en) 2016-06-10 2019-01-01 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11416798B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing systems and methods for providing training in a vendor procurement process
US11416589B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10949565B2 (en) 2016-06-10 2021-03-16 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10769301B2 (en) 2016-06-10 2020-09-08 OneTrust, LLC Data processing systems for webform crawling to map processing activities and related methods
US10592648B2 (en) 2016-06-10 2020-03-17 OneTrust, LLC Consent receipt management systems and related methods
US11438386B2 (en) 2016-06-10 2022-09-06 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11057356B2 (en) 2016-06-10 2021-07-06 OneTrust, LLC Automated data processing systems and methods for automatically processing data subject access requests using a chatbot
US10783256B2 (en) 2016-06-10 2020-09-22 OneTrust, LLC Data processing systems for data transfer risk identification and related methods
US11544667B2 (en) 2016-06-10 2023-01-03 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10885485B2 (en) 2016-06-10 2021-01-05 OneTrust, LLC Privacy management systems and methods
US11074367B2 (en) 2016-06-10 2021-07-27 OneTrust, LLC Data processing systems for identity validation for consumer rights requests and related methods
US11210420B2 (en) 2016-06-10 2021-12-28 OneTrust, LLC Data subject access request processing systems and related methods
US11651104B2 (en) 2016-06-10 2023-05-16 OneTrust, LLC Consent receipt management systems and related methods
US11651106B2 (en) 2016-06-10 2023-05-16 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10242228B2 (en) 2016-06-10 2019-03-26 OneTrust, LLC Data processing systems for measuring privacy maturity within an organization
US10909488B2 (en) 2016-06-10 2021-02-02 OneTrust, LLC Data processing systems for assessing readiness for responding to privacy-related incidents
US10685140B2 (en) 2016-06-10 2020-06-16 OneTrust, LLC Consent receipt management systems and related methods
US10565236B1 (en) 2016-06-10 2020-02-18 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11336697B2 (en) 2016-06-10 2022-05-17 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11461500B2 (en) 2016-06-10 2022-10-04 OneTrust, LLC Data processing systems for cookie compliance testing with website scanning and related methods
US11586700B2 (en) 2016-06-10 2023-02-21 OneTrust, LLC Data processing systems and methods for automatically blocking the use of tracking tools
US10282559B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques
US10606916B2 (en) 2016-06-10 2020-03-31 OneTrust, LLC Data processing user interface monitoring systems and related methods
US11392720B2 (en) 2016-06-10 2022-07-19 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US11675929B2 (en) 2016-06-10 2023-06-13 OneTrust, LLC Data processing consent sharing systems and related methods
US10997318B2 (en) 2016-06-10 2021-05-04 OneTrust, LLC Data processing systems for generating and populating a data inventory for processing data access requests
US10997315B2 (en) 2016-06-10 2021-05-04 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11418492B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing systems and methods for using a data model to select a target data asset in a data migration
US11023842B2 (en) 2016-06-10 2021-06-01 OneTrust, LLC Data processing systems and methods for bundled privacy policies
US10572686B2 (en) 2016-06-10 2020-02-25 OneTrust, LLC Consent receipt management systems and related methods
US11087260B2 (en) 2016-06-10 2021-08-10 OneTrust, LLC Data processing systems and methods for customizing privacy training
US10909265B2 (en) 2016-06-10 2021-02-02 OneTrust, LLC Application privacy scanning systems and related methods
JP6545211B2 (ja) 2017-03-15 2019-07-17 日本特殊陶業株式会社 点火プラグの製造方法
US10013577B1 (en) 2017-06-16 2018-07-03 OneTrust, LLC Data processing systems for identifying whether cookies contain personally identifying information
CN108763949B (zh) * 2018-04-09 2021-07-27 上海大学 基于TPM的Linux文件系统访问控制方法
US10803202B2 (en) 2018-09-07 2020-10-13 OneTrust, LLC Data processing systems for orphaned data identification and deletion and related methods
US11544409B2 (en) 2018-09-07 2023-01-03 OneTrust, LLC Data processing systems and methods for automatically protecting sensitive data within privacy management systems
US11144675B2 (en) 2018-09-07 2021-10-12 OneTrust, LLC Data processing systems and methods for automatically protecting sensitive data within privacy management systems
EP4179435A1 (en) 2020-07-08 2023-05-17 OneTrust LLC Systems and methods for targeted data discovery
US11444976B2 (en) 2020-07-28 2022-09-13 OneTrust, LLC Systems and methods for automatically blocking the use of tracking tools
EP4193268A1 (en) 2020-08-06 2023-06-14 OneTrust LLC Data processing systems and methods for automatically redacting unstructured data from a data subject access request
WO2022060860A1 (en) 2020-09-15 2022-03-24 OneTrust, LLC Data processing systems and methods for detecting tools for the automatic blocking of consent requests
WO2022061270A1 (en) 2020-09-21 2022-03-24 OneTrust, LLC Data processing systems and methods for automatically detecting target data transfers and target data processing
US11397819B2 (en) 2020-11-06 2022-07-26 OneTrust, LLC Systems and methods for identifying data processing activities based on data discovery results
US11687528B2 (en) 2021-01-25 2023-06-27 OneTrust, LLC Systems and methods for discovery, classification, and indexing of data in a native computing system
US11442906B2 (en) 2021-02-04 2022-09-13 OneTrust, LLC Managing custom attributes for domain objects defined within microservices
US20240111899A1 (en) 2021-02-08 2024-04-04 OneTrust, LLC Data processing systems and methods for anonymizing data samples in classification analysis
US20240098109A1 (en) 2021-02-10 2024-03-21 OneTrust, LLC Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system
WO2022178089A1 (en) 2021-02-17 2022-08-25 OneTrust, LLC Managing custom workflows for domain objects defined within microservices
WO2022178219A1 (en) 2021-02-18 2022-08-25 OneTrust, LLC Selective redaction of media content
WO2022192269A1 (en) 2021-03-08 2022-09-15 OneTrust, LLC Data transfer discovery and analysis systems and related methods
US11562078B2 (en) 2021-04-16 2023-01-24 OneTrust, LLC Assessing and managing computational risk involved with integrating third party computing functionality within a computing system
US11620142B1 (en) 2022-06-03 2023-04-04 OneTrust, LLC Generating and customizing user interfaces for demonstrating functions of interactive user environments

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2371125A (en) * 2001-01-13 2002-07-17 Secr Defence Computer protection system
US7137004B2 (en) * 2001-11-16 2006-11-14 Microsoft Corporation Manifest-based trusted agent management in a trusted operating system environment
JP4064914B2 (ja) * 2003-12-02 2008-03-19 インターナショナル・ビジネス・マシーンズ・コーポレーション 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム
JP4144880B2 (ja) * 2004-04-09 2008-09-03 インターナショナル・ビジネス・マシーンズ・コーポレーション プラットフォーム構成測定装置、プログラム及び方法、プラットフォーム構成認証装置、プログラム及び方法、プラットフォーム構成証明装置、プログラム及び方法、並びに、プラットフォーム構成開示装置、プログラム及び方法
US20060095505A1 (en) * 2004-09-30 2006-05-04 Zimmer Vincent J Providing a trustworthy configuration server
US7360253B2 (en) * 2004-12-23 2008-04-15 Microsoft Corporation System and method to lock TPM always ‘on’ using a monitor
US7725703B2 (en) * 2005-01-07 2010-05-25 Microsoft Corporation Systems and methods for securely booting a computer with a trusted processing module
US8438658B2 (en) 2006-02-02 2013-05-07 International Business Machines Corporation Providing sealed storage in a data processing device
JP5038396B2 (ja) * 2006-04-21 2012-10-03 インターデイジタル テクノロジー コーポレーション トラステッドコンピューティングの完全性測定の通知を実行する装置および方法
US8108680B2 (en) 2007-07-23 2012-01-31 Murray Mark R Preventing unauthorized poaching of set top box assets
US20100082960A1 (en) * 2008-09-30 2010-04-01 Steve Grobman Protected network boot of operating system
MY181101A (en) 2010-11-11 2020-12-17 Mimos Berhad A system and method for providing access control
JP2012234580A (ja) * 2012-09-05 2012-11-29 Ricoh Co Ltd 情報処理装置、正当性検証方法および正当性検証プログラム

Also Published As

Publication number Publication date
EP2866166A1 (en) 2015-04-29
JP2015072683A (ja) 2015-04-16
US20150089219A1 (en) 2015-03-26
EP2866166B1 (en) 2022-03-30
JP2017050023A (ja) 2017-03-09
US9542568B2 (en) 2017-01-10

Similar Documents

Publication Publication Date Title
JP6291013B2 (ja) 匿名データの第三者の監視を実行するためのシステム及び方法
JP2015072683A5 (ja)
KR102443857B1 (ko) 암호화키를 사용한 신뢰 실행 환경의 어드레싱 기법
CN107820604B (zh) 具有联网设备的计算机驱动系统的半虚拟化安全威胁防护
CN110799941B (zh) 防盗和防篡改的数据保护
US11036869B2 (en) Data security with a security module
US10462114B2 (en) System and associated software for providing advanced data protections in a defense-in-depth system by integrating multi-factor authentication with cryptographic offloading
JP5860815B2 (ja) コンピューターポリシーを施行するためのシステムおよび方法
US10211977B1 (en) Secure management of information using a security module
AU2017396531B2 (en) Addressing a trusted execution environment using signing key
US10063375B2 (en) Isolation of trusted input/output devices
US20090292919A1 (en) Secure execution environment on external device
US8312518B1 (en) Island of trust in a service-oriented environment
US10164980B1 (en) Method and apparatus for sharing data from a secured environment
US11438161B2 (en) Implicit attestation for network access
Jang-Jaccard et al. Portable key management service for cloud storage
KR101508439B1 (ko) 데이터 기밀성 보장 방법, 이를 이용하는 데이터 공유 방법 및 시스템
US20240012933A1 (en) Integration of identity access management infrastructure with zero-knowledge services
Wiese Preliminary analysis of a trusted platform module (TPM) initialization process
Nepal et al. Portable Key Management Service for Cloud Storage
GB2506604A (en) Method of selectively decrypting encrypted files

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180208

R150 Certificate of patent or registration of utility model

Ref document number: 6291013

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250