JP6548936B2 - Security gateway device, method and program - Google Patents

Security gateway device, method and program Download PDF

Info

Publication number
JP6548936B2
JP6548936B2 JP2015072441A JP2015072441A JP6548936B2 JP 6548936 B2 JP6548936 B2 JP 6548936B2 JP 2015072441 A JP2015072441 A JP 2015072441A JP 2015072441 A JP2015072441 A JP 2015072441A JP 6548936 B2 JP6548936 B2 JP 6548936B2
Authority
JP
Japan
Prior art keywords
data
privacy
application
type
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015072441A
Other languages
Japanese (ja)
Other versions
JP2016192126A (en
Inventor
清良 披田野
清良 披田野
清本 晋作
晋作 清本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Research Inc
Original Assignee
KDDI Research Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Research Inc filed Critical KDDI Research Inc
Priority to JP2015072441A priority Critical patent/JP6548936B2/en
Publication of JP2016192126A publication Critical patent/JP2016192126A/en
Application granted granted Critical
Publication of JP6548936B2 publication Critical patent/JP6548936B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、セキュリティゲートウェイ装置、方法及びプログラムに関する。   The present invention relates to a security gateway device, method and program.

従来より、インターネットには、パソコンやサーバ等のIT(Information Technology)関連機器が接続されている。さらに、テレビやデジタルカメラ等のデジタル情報家電又は各種センサデバイス等もインターネットに直接接続されるようになり、このような機器はIoT(Internet of Things)デバイスと呼ばれる。IoTデバイスから収集されるデータには個人のプライバシに関わる機微なデータが含まれる場合がある。このため、これらのデータを利活用する際には、セキュリティ及びプライバシの両観点からアーキテクチャを設計することが求められる。   BACKGROUND Conventionally, IT (Information Technology) related equipment such as personal computers and servers are connected to the Internet. Furthermore, digital information home appliances such as televisions and digital cameras or various sensor devices are also directly connected to the Internet, and such devices are called IoT (Internet of Things) devices. Data collected from IoT devices may include sensitive data related to personal privacy. For this reason, when utilizing these data, it is required to design an architecture from both the security and privacy viewpoints.

このようなデータを利活用するための要件や機能を開示する非特許文献1が知られている。非特許文献1では、上述のようなデータを利活用するユースケースを明らかにした上でユースケースごとにセキュリティ及びプライバシに関する要件を抽出すると共に、欧州のプライバシ関連の法律やガイドラインに記載されている事項を整理し、プラットフォーム上に実装すべき機能を抽出している。   Non-Patent Document 1 is known that discloses requirements and functions for utilizing such data. Non-Patent Document 1 identifies security and privacy requirements for each use case after clarifying the use cases that utilize data as described above, and is described in European privacy laws and guidelines. Organize matters and extract functions to be implemented on the platform.

EU FP7 project iCore,“D2.2 Security requirements for the iCore cognitive management and control framework”,[online],インターネット<URL:http://www.iot−icore.eu/attachments/article/89/20120607_iCore%20D2.2%20FINAL.pdf>EU FP7 project iCore, "D2.2 Security requirements for the iCore cognitive management and control framework", [online], Internet <URL: http: // www. iot-icore. eu / attachments / article / 89 / 20120607_iCore% 20D2.2% 20FINAL. pdf>

しかしながら、非特許文献1では、セキュリティ及びプライバシに関する要件を満たすための技術的な解決方法については言及されていない。また、非特許文献1の中では、データの管理者及び所有者並びに法律及びガイドラインにより規定された複雑な条件を解釈する方法や、アプリケーションが国境を越えてアクセスすることについても言及されていない。   However, Non-Patent Document 1 does not mention a technical solution for meeting security and privacy requirements. In addition, Non-Patent Document 1 does not mention how to interpret the complex conditions defined by the data manager and owner and the laws and guidelines, and that the application accesses across borders.

本発明は、アプリケーションがアクセスするデータを、国ごとのセキュリティ条件を満たして利活用することを可能とするセキュリティゲートウェイ装置、方法及びプログラムを提供することを目的とする。   An object of the present invention is to provide a security gateway apparatus, method, and program that make it possible to use data accessed by an application while satisfying security conditions for each country.

具体的には、以下のような解決手段を提供する。
(1) 第1ドメインに設置されたサーバにより提供されるアプリケーションから要求されたデータを、第2ドメインに設置されたサーバから抽出して、前記アプリケーションに返すセキュリティゲートウェイ装置であって、前記アプリケーションの種別及び前記データの種別に対応付けて、前記第1ドメインごとの前記データの提供期間を規定するセキュリティポリシーを記憶するセキュリティポリシー記憶部と、前記アプリケーションによる前記データの取得を許可する、前記第1ドメインの認証局により発行されたプライバシ証明書と、前記セキュリティポリシーで規定された提供期間とに基づいて、前記データにアクセスするための有効期限が設定されたトークンを前記アプリケーションに対し発行するアクセス制御部と、を備えるセキュリティゲートウェイ装置。 Specifically, the following solutions are provided.
(1) A security gateway device for extracting data requested from an application provided by a server installed in a first domain from a server installed in a second domain and returning the data to the application, wherein A security policy storage unit storing a security policy defining a provision period of the data for each of the first domains in association with a type and a type of the data; and allowing acquisition of the data by the application, An access control that issues, to the application, a token with an expiration date set for accessing the data based on a privacy certificate issued by a certificate authority of a domain and a provision period defined in the security policy. With the Security gateway device.

(1)のセキュリティゲートウェイ装置は、第1ドメインのアプリケーションに対し、プライバシ証明書と、第2ドメインにおける第1ドメインに対するセキュリティポリシーの規定とに基づいて、データにアクセスするための有効期限が設定されたトークンを発行する。
すなわち、セキュリティゲートウェイ装置は、プライバシ証明書によって第1ドメインでの第2ドメインからのデータの受け入れ許可を確認すると共に、データ提供元である第2ドメイン側で、第1ドメインのアプリケーションに対するセキュリティのポリシーに基づいてデータの提供を許可し、データを取得するためのトークンを発行する。トークンを有するアプリケーションは、トークンの有効期限内でデータを利用することができる。
したがって、セキュリティゲートウェイ装置は、アプリケーションがアクセスするデータを、国ごとのセキュリティ条件を満たして利活用することを可能とする。 The security gateway device of (1) sets an expiration date for accessing data to the application of the first domain based on the privacy certificate and the definition of the security policy for the first domain in the second domain. Issue a token.
That is, the security gateway device confirms permission to accept data from the second domain in the first domain by using the privacy certificate, and the security policy for the application of the first domain on the side of the second domain that is the data provider. Allow the provision of data based on and issue a token to obtain data. An application having a token can use the data within the token's expiration date.
Therefore, the security gateway device can utilize the data accessed by the application, meeting the security conditions of each country.

(2) 前記セキュリティポリシーは、前記アプリケーションの種別及び前記データの種別ごとにプライバシの有無を規定し、前記トークンを有する前記アプリケーションからの要求に対し、前記プライバシの有無に基づいて前記データを加工するプライバシ制御部を備える、(1)に記載のセキュリティゲートウェイ装置。   (2) The security policy defines the presence or absence of privacy for each type of the application and the type of the data, and processes the data based on the presence or absence of the privacy in response to a request from the application having the token. The security gateway device according to (1), comprising a privacy control unit.

(2)のセキュリティゲートウェイ装置は、アプリケーションからの要求に対し、アプリケーションの種別及びデータの種別ごとに規定されたプライバシの有無に基づいてデータを加工するので、データ受信側のポリシーに関わらず、データを提供する側のプライバシに関わるデータを秘匿できる。   Since the security gateway device of (2) processes data based on the presence of privacy defined for each type of application and each type of data in response to a request from an application, the data is received regardless of the policy on the data receiving side. Data related to the privacy of the providing side can be concealed.

(3) 前記プライバシ制御部は、前記トークンを有する前記アプリケーションからの要求に対し、前記データの所有者ごとのプライバシポリシーに基づいて、前記データを選別する、(2)に記載のセキュリティゲートウェイ装置。   (3) The security gateway device according to (2), wherein the privacy control unit sorts the data in response to a request from the application having the token based on a privacy policy for each owner of the data.

(3)のセキュリティゲートウェイ装置は、アプリケーションからの要求に対し、データの所有者ごとのプライバシポリシーに基づいてデータを選別するので、所有者ごとの許可を得たデータのみを提供できる。   Since the security gateway device of (3) sorts the data based on the privacy policy for each data owner in response to the request from the application, it can provide only the data for which each owner has been authorized.

(4) 前記プライバシポリシーは、前記アプリケーションの種別及び前記データの種別に対応付けて、前記所有者ごとに、前記データの提供を許可するか否かを規定し、前記プライバシ制御部は、前記プライバシポリシーに基づいて、前記所有者が許可したデータを抽出する、(3)に記載のセキュリティゲートウェイ装置。   (4) The privacy policy defines whether to permit the provision of the data for each owner in association with the type of the application and the type of the data, and the privacy control unit is configured to The security gateway device according to (3), wherein the data authorized by the owner is extracted based on a policy.

(4)のセキュリティゲートウェイ装置は、データを要求するアプリケーションの種別及びデータの種別に応じた、データの所有者ごとのプライバシポリシーに基づいて、データを抽出するので、データの所有者ごとのきめ細かい設定に従って個々のデータの提供の可否を制御できる。   (4) The security gateway device extracts data based on the privacy policy for each data owner according to the type of application requesting the data and the data type, so that detailed settings for each data owner can be made. Control the provision of individual data according to

(5) 前記所有者の識別子と属性とが対応付けられているユーザデータベースを備え、前記プライバシ制御部は、前記アプリケーションから抽出対象の前記属性に関する条件を受信した場合、前記ユーザデータベースにより前記条件を満たす所有者を特定し、当該所有者に関するデータを抽出する、(3)又は(4)に記載のセキュリティゲートウェイ装置。   (5) A user database is provided in which the identifier of the owner and the attribute are associated, and the privacy control unit receives the condition based on the user database when the condition related to the attribute to be extracted is received from the application. The security gateway device according to (3) or (4), which identifies an owner who satisfies and extracts data about the owner.

(5)のセキュリティゲートウェイ装置は、データの所有者の属性に関する条件をデータ抽出クエリとは別に受信した場合に、ユーザデータベースを参照することにより条件を満たす所有者を特定できるので、クエリ自体を解釈することなく対象のデータを選別できる。   The security gateway device of (5) interprets the query itself because the owner who satisfies the condition can be identified by referring to the user database when the condition regarding the attribute of the data owner is received separately from the data extraction query. You can sort out the data of interest without doing it.

(6) 前記セキュリティポリシーは、複数の管理者ごとに設定され、前記アクセス制御部は、前記複数の管理者に対応付けられた前記データの提供期間のうち最も短い期間に基づいて、前記トークンの有効期限を設定する、(2)から(5)のいずれか一に記載のセキュリティゲートウェイ装置。   (6) The security policy is set for each of a plurality of administrators, and the access control unit is configured to set the token based on the shortest period among the provision periods of the data associated with the plurality of administrators. The security gateway device according to any one of (2) to (5), wherein an expiration date is set.

(6)のセキュリティゲートウェイ装置は、複数の管理者によって管理される提供期間のなかで最短期間に基づいてデータを提供するので、複数の管理者の条件のうち最も厳しい提供期間の条件でデータを保護できる。   Since the security gateway device of (6) provides data based on the shortest period among the provision periods managed by a plurality of administrators, the data is provided under the condition of the strictest provision period among the conditions of the plurality of administrators. It can protect.

(7) 前記セキュリティポリシーは、複数の管理者ごとに設定され、前記プライバシ制御部は、前記セキュリティポリシーにおいて前記複数の管理者のいずれかにより前記データがプライバシに関わると規定されている場合に、前記データがプライバシに関わると判断する、(2)から(6)のいずれか一に記載のセキュリティゲートウェイ装置。   (7) The security policy is set for each of a plurality of administrators, and the privacy control unit determines that the data is related to privacy by any of the plurality of administrators in the security policy. The security gateway device according to any one of (2) to (6), which determines that the data relates to privacy.

(7)のセキュリティゲートウェイ装置は、複数の管理者のいずれかによりデータがプライバシに関わると規定されている場合に、データがプライバシに関わると判断するので、複数の管理者の条件のうち、プライバシに関するできるだけ安全な条件でデータを保護できる。   The security gateway device of (7) determines that the data relates to privacy when any of the plurality of administrators specifies that the data relates to privacy, and therefore the privacy of the conditions of the plurality of administrators You can protect your data under as safe conditions as possible.

(8) 前記アクセス制御部は、前記トークンを共通鍵とするメッセージ認証コードにより、前記アプリケーションからの前記データの要求の正当性を検証する、(1)から(7)のいずれか一に記載のセキュリティゲートウェイ装置。   (8) The access control unit according to any one of (1) to (7), wherein the access control unit verifies the legitimacy of the request for the data from the application by a message authentication code using the token as a common key. Security gateway device.

(8)のセキュリティゲートウェイ装置は、共通鍵によりデータの要求の正当性を検証するので、偽装や改竄等を防止して安全性を向上できる。   Since the security gateway device of (8) verifies the legitimacy of the request for data by the common key, it is possible to improve security by preventing falsification, tampering and the like.

(9) (1)に記載のセキュリティゲートウェイ装置が実行する方法であって、前記アクセス制御部が、前記アプリケーションによる前記データの取得を許可する、前記第1ドメインの認証局により発行されたプライバシ証明書と、前記セキュリティポリシーで規定された提供期間とに基づいて、前記データにアクセスするための有効期限が設定されたトークンを前記アプリケーションに対し発行するアクセスステップ、を備える方法。   (9) A method executed by the security gateway device according to (1), wherein the access control unit permits acquisition of the data by the application, and the privacy proof issued by the certificate authority of the first domain. And v. An access step of issuing, to the application, a token having an expiration date for accessing the data based on a document and a provision period defined in the security policy.

(9)の方法は、(1)と同様に、アプリケーションがアクセスするデータを、国ごとのセキュリティ条件を満たして利活用することを可能とする。   The method of (9) makes it possible to use data accessed by an application, meeting the security conditions of each country, as in (1).

(10) コンピュータに、(9)に記載の方法のステップを実行させるためのプログラム。   (10) A program for causing a computer to execute the steps of the method described in (9).

(10)のプログラムは、アプリケーションがアクセスするデータを、国ごとのセキュリティ条件を満たして利活用できるように、コンピュータに機能させることができる。   The program of (10) can cause a computer to function so that the data accessed by the application can be used while satisfying the security conditions for each country.

本発明によれば、アプリケーションがアクセスするデータを、国ごとのセキュリティ条件を満たして利活用することを可能とする。   According to the present invention, it is possible to use data accessed by an application while satisfying security conditions for each country.

本発明の一実施形態に係るセキュリティゲートウェイ装置の構成を示すブロック図である。It is a block diagram showing composition of a security gateway device concerning one embodiment of the present invention. 本発明の一実施形態に係るセキュリティポリシーDBの例を示す図である。It is a figure which shows the example of security policy DB which concerns on one Embodiment of this invention. 本発明の一実施形態に係るトークンDBの例を示す図である。It is a figure which shows the example of token DB which concerns on one Embodiment of this invention. 本発明の一実施形態に係るプライバシポリシーの例を示す図である。It is a figure which shows the example of the privacy policy which concerns on one Embodiment of this invention. 本発明の一実施形態に係るユーザDBの例を示す図である。It is a figure showing an example of user DB concerning one embodiment of the present invention. 本発明の一実施形態に係るセキュリティゲートウェイ装置によるトークン発行処理及びデータ抽出処理を示すシーケンス図である。It is a sequence diagram which shows the token issuing process by the security gateway apparatus which concerns on one Embodiment of this invention, and a data extraction process. 本発明の一実施形態に係る、マルチクラウド環境におけるセキュリティゲートウェイ装置の構成を示すブロック図である。It is a block diagram showing composition of a security gateway device in a multi cloud environment concerning one embodiment of the present invention. 本発明の一実施形態に係る、マルチクラウド環境におけるセキュリティゲートウェイ装置のトークンの発行処理の例を示すフローチャートである。It is a flowchart which shows the example of the issuing process of the token of the security gateway apparatus in a multi-cloud environment based on one Embodiment of this invention. 本発明の一実施形態に係る、マルチクラウド環境におけるセキュリティゲートウェイ装置のデータ抽出処理の例を示すフローチャートである。It is a flowchart which shows the example of the data extraction process of the security gateway apparatus in the multi cloud environment based on one Embodiment of this invention. 図9に続くフローチャートである。It is a flowchart following FIG.

以下、本発明の実施形態について、図を参照しながら説明する。
図1は、本発明の一実施形態に係るセキュリティゲートウェイ装置10の構成を示すブロック図である。
セキュリティゲートウェイ装置10は、第1ドメインに設置されたサーバ(すなわち、アプリケーションを提供するアプリケーションサーバ)により提供されるアプリケーションからの要求に対しセキュリティポリシーに基づいてトークンを発行する。そして、セキュリティゲートウェイ装置10は、トークンを有するアプリケーションから要求されたデータを、第2ドメインに設置されたデータベースサーバ(DBサーバと言う。)からプライバシポリシーに基づいて抽出して、アプリケーションに返す。
ドメインとは、セキュリティ又はプライバシのポリシーを共有しないそれぞれの地域を言い、例えば、国を言う。
セキュリティゲートウェイ装置10は、アクセス制御部11と、プライバシ制御部12と、セキュリティポリシー記憶部(セキュリティポリシーDB31と言う。)と、ユーザデータベース(ユーザDB32と言う。)とを備える。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a block diagram showing the configuration of a security gateway device 10 according to an embodiment of the present invention.
The security gateway device 10 issues a token based on a security policy in response to a request from an application provided by a server installed in a first domain (ie, an application server providing an application). Then, the security gateway device 10 extracts data requested from the application having the token from the database server (referred to as a DB server) installed in the second domain based on the privacy policy, and returns it to the application.
Domains refer to regions that do not share security or privacy policies, for example, countries.
The security gateway device 10 includes an access control unit 11, a privacy control unit 12, a security policy storage unit (referred to as a security policy DB 31), and a user database (referred to as a user DB 32).

<トークンの発行>
アクセス制御部11は、アプリケーションによるデータの取得を許可する、第1ドメインの認証局により発行されたプライバシ証明書21と、セキュリティポリシーで規定された提供期間とに基づいて、データにアクセスするための有効期限が設定されたトークンをアプリケーションに対し発行する。 <Issuing Token>
The access control unit 11 is for accessing data based on the privacy certificate 21 issued by the certificate authority of the first domain, which permits the acquisition of data by the application, and the provision period defined by the security policy. Issue a token with an expiration date to the application.

セキュリティポリシーDB31は、アプリケーションの種別及びデータの種別に対応付けて、第1ドメイン(例えば、アプリケーションサーバの設置国)ごとのデータの提供期間を規定するセキュリティポリシーを記憶する。
アプリケーションの種別とは、例えば、医療に関するアプリケーションや、位置情報の提供に関するアプリケーション等の種別を言う。
データの種別とは、例えば、医療に関するデータや、位置に関するデータ等の種別を言う。データの種別は、プライバシを有するデータベース(プライバシデータベースと言う。)や、プライバシを有しないデータベース(非プライバシデータベースと言う。)を区分しないでデータベースの通し番号としてもよい。また、データの種別は、プライバシデータベースや非プライバシデータベースを区分してそれぞれのデータベースの通し番号としてもよい。
さらに、セキュリティポリシーは、データの種別ごとにプライバシの有無(すなわち、プライバシデータか非プライバシデータかのプライバシ情報)を規定する。セキュリティポリシーは、複数の管理者ごとに設定される。 The security policy DB 31 stores a security policy that defines the provision period of data for each first domain (for example, the installation country of the application server) in association with the type of application and the type of data.
The application type refers to, for example, an application related to medical care, an application related to provision of location information, and the like.
The type of data means, for example, types of data on medical care, data on location, and the like. The type of data may be a serial number of a database without dividing a database having privacy (referred to as a privacy database) or a database having no privacy (referred to as a non-privacy database). Also, the type of data may be a privacy database or a non-privacy database divided into serial numbers of the respective databases.
Furthermore, the security policy defines the presence or absence of privacy (that is, privacy information as to whether privacy data or non-privacy data) for each type of data. A security policy is set for each of a plurality of administrators.

具体的には、セキュリティポリシーDB31は、図2が示すように、セキュリティポリシーを記憶する。図2は、本発明の一実施形態に係るセキュリティポリシーDB31の例を示す図である。
セキュリティポリシーは、アプリケーションの種別ごとに設定された複数の管理者に対して、データの種別ごとの第1ドメイン(例えば、アプリケーションサーバの設置国)へのデータの提供期間と、プライバシ情報とを規定する。
図2において、「UK」及び「JP」は、アプリケーションサーバが設置されている国名を表し、「h」、「d」及び「m」はそれぞれ提供期間の単位である時間、日及び月を表し、「プライバシ」及び「非プライバシ」はそれぞれ「プライバシ有り」及び「プライバシ無し」のプライバシ情報を表している。数値0は、トークンが発行されないことを表している。例えば、「UK:1h、JP:2m、非プライバシ」は、UK国のアプリケーションに発行するトークンの有効期間が1時間、JP国のアプリケーションに発行するトークンの有効期間が2か月、プライバシ情報が「プライバシ無し」を表している。 Specifically, the security policy DB 31 stores a security policy as shown in FIG. FIG. 2 is a diagram showing an example of the security policy DB 31 according to an embodiment of the present invention.
The security policy defines the provision period of data to the first domain (for example, the installation country of the application server) for each type of data and privacy information for a plurality of administrators set for each type of application. Do.
In FIG. 2, "UK" and "JP" represent the name of the country where the application server is installed, and "h", "d" and "m" represent time, day and month, which are the units of the provision period, respectively. , “Privacy” and “non-privacy” indicate privacy information “with privacy” and “without privacy”, respectively. The number 0 represents that no token is issued. For example, "UK: 1h, JP: 2m, non-privacy": token lifetime issued to UK country application is 1 hour, token lifetime issued to JP country application is 2 months, privacy information is It represents "no privacy".

プライバシ証明書21は、アプリケーションがデータを取得可能なドメイン(例えば、提供国)と、データの種別とを保証する。
具体的には、プライバシ証明書21は、プライバシ証明書21の発行国と、アプリケーションIPと、アプリケーションの種別と、DBサーバの設置国と、データの種別と、有効期限とを含む。
ここで、プライバシ証明書21の発行国とは、プライバシ証明書21を発行する認証局が設置された国を言い、アプリケーションサーバの設置国と同じである。
アプリケーションIPとは、アプリケーションサーバのIPアドレスを言う。
DBサーバの設置国とは、アプリケーションが取得可能なデータを提供するDBサーバが設置されている提供国を言う。 The privacy certificate 21 guarantees the domain (for example, providing country) in which the application can acquire data and the type of data.
Specifically, the privacy certificate 21 includes the issuing country of the privacy certificate 21, the application IP, the type of application, the installation country of the DB server, the type of data, and the expiration date.
Here, the issue country of the privacy certificate 21 refers to a country in which a certificate authority that issues the privacy certificate 21 is installed, and is the same as the installation country of the application server.
Application IP refers to the IP address of the application server.
The installation country of the DB server refers to a provision country where a DB server providing data that can be acquired by an application is installed.

アプリケーションからトークン発行の要求を受信すると、アクセス制御部11は、セキュリティポリシーDB31から、トークン発行を要求するアプリケーションの種別に対応するセキュリティポリシーを取得する。
次に、アクセス制御部11は、取得したセキュリティポリシーに基づいて、プライバシ証明書21に規定されたデータの種別に対応付けられた、アプリケーションの国(アプリケーションサーバの設置国)への提供期間であって、複数の管理者に対応付けられたそれぞれの提供期間を取得する。
例えば、図2の場合、アプリケーションAについてのセキュリティポリシーにおいてデータの種別に合致するのがDB1、アプリケーションの国(アプリケーションサーバの設置国)がJPとすると、アクセス制御部11は、管理者1が設定したJPへの提供期間である2か月と、管理者2が設定したJPへの提供期間である2時間と、・・・、管理者Mが設定したJPへの提供期間である5時間と、を取得する。
次に、アクセス制御部11は、複数の管理者に対応付けられたデータの提供期間のうち最も短い期間に基づいて、有効期限を算出する。上述の場合、アクセス制御部11は、取得した最短の提供期間である2時間に基づき、現在時刻に2時間を加えた有効期限を算出する。
次に、アクセス制御部11は、トークンを生成し、生成したトークンに、算出した有効期限を対応付けてトークンDB33に記憶する。
アクセス制御部11は、有効期限が設定されたトークンをアプリケーションに発行する。
トークンは、メッセージ認証コードの共通鍵として生成される。 Upon receiving a request for token issuance from an application, the access control unit 11 acquires, from the security policy DB 31, a security policy corresponding to the type of application for which token issuance is requested.
Next, the access control unit 11 is a provision period to the country of the application (the country where the application server is installed) associated with the type of data defined in the privacy certificate 21 based on the acquired security policy. And each provision period associated with a plurality of administrators is acquired.
For example, in the case of FIG. 2, assuming that DB1 matches the data type in the security policy for application A, and JP is the country of the application (country where the application server is installed), the access control unit 11 is set by the administrator 1 Two months being the provision period to JP, two hours being the provision period to JP set by administrator 2, ..., 5 hours being the provision period to JP set by administrator M To get.
Next, the access control unit 11 calculates the expiration date based on the shortest one of the data provision periods associated with the plurality of administrators. In the case described above, the access control unit 11 calculates an expiration date obtained by adding 2 hours to the current time, based on 2 hours which is the acquired shortest provision period.
Next, the access control unit 11 generates a token, and stores the generated token in the token DB 33 in association with the calculated expiration date.
The access control unit 11 issues, to the application, a token whose expiration date is set.
The token is generated as a common key of the message authentication code.

図3は、本発明の一実施形態に係るトークンDB33の例を示す図である。トークンDB33は、図3に示すように、トークンと、所定の情報(すなわち、アプリケーションサーバの設置国と、アプリケーションIPと、アプリケーションの種別と、データの種別と、プライバシ情報と、トークンの有効期限)とを対応付けて記憶する。   FIG. 3 is a diagram showing an example of the token DB 33 according to the embodiment of the present invention. The token DB 33, as shown in FIG. 3, is a token and predetermined information (that is, an application server installation country, an application IP, an application type, data type, privacy information, and an expiration date of the token). And are stored in association with each other.

<データの抽出>
トークンを有するアプリケーションからデータ取得の要求を受信すると、アクセス制御部11は、アプリケーションからの要求に対し、要求の正当性を検証する。
具体的には、アクセス制御部11は、アプリケーションからのデータ取得の要求を構成するパラメータによりトークンDB33に基づいてトークンを取得する。
次に、アクセス制御部11は、メッセージ認証コードを除くパラメータの連結を、トークンを鍵とする鍵付きハッシュ関数に入力し、ハッシュ値を算出する。メッセージ認証コードは、例えば、ハッシュ関数としてSHA256を使用するHMAC−SHA256(HMAC:Hash−based Message Authentication Code)を用いて生成されるとしてもよい。
次に、アクセス制御部11は、算出したハッシュ値が、メッセージ認証コードと同一であることにより、発行したトークンを用いてメッセージ認証コードが生成されたものであると判定する。 <Extraction of data>
When a request for data acquisition is received from an application having a token, the access control unit 11 verifies the validity of the request in response to the request from the application.
Specifically, the access control unit 11 acquires a token based on the token DB 33 based on parameters that constitute a request for data acquisition from an application.
Next, the access control unit 11 inputs the concatenation of the parameters excluding the message authentication code into a keyed hash function using a token as a key to calculate a hash value. The message authentication code may be generated, for example, using HMAC-SHA 256 (HMAC: Hash-based Message Authentication Code) using SHA 256 as a hash function.
Next, because the calculated hash value is the same as the message authentication code, the access control unit 11 determines that the message authentication code is generated using the issued token.

アクセス制御部11は、データ取得の要求を受信した時刻が、取得したトークンに対応付けられた有効期限より早い時刻である場合に、トークンの有効期限内であると判定する。
アクセス制御部11は、データ取得の要求の受信時刻が、パラメータに含まれるタイムスタンプ(例えば、データ取得の要求の送信時刻)から一定期間内である場合、データ取得の要求が一定期間内のものであると判定する。
アクセス制御部11は、判定に基づいて、データ取得の要求の正当性を検証する。 The access control unit 11 determines that the token is within the expiration date if the time when the request for data acquisition is received is earlier than the expiration date associated with the acquired token.
If the reception time of the data acquisition request is within a predetermined period from the time stamp (for example, the transmission time of the data acquisition request) included in the parameter, the access control unit 11 determines that the data acquisition request is within the predetermined period It is determined that
The access control unit 11 verifies the legitimacy of the data acquisition request based on the determination.

プライバシ制御部12は、トークンを有するアプリケーションからのデータ取得の要求に対し、プライバシの有無に基づいてデータを加工する。
具体的には、プライバシ制御部12は、プライバシポリシーに基づいて、トークンを有するアプリケーションの種別及びデータの種別に対応付けられたプライバシ情報が「プライバシ有り」の場合、データを加工(例えば、データを匿名化)する。プライバシ制御部12は、プライバシ情報が「プライバシ無し」の場合、データを加工しない。 The privacy control unit 12 processes data in response to a request for data acquisition from an application having a token based on the presence or absence of privacy.
Specifically, based on the privacy policy, if the privacy information associated with the type of application having a token and the type of data is "privacy presence", the privacy control unit 12 processes the data (for example, data is Anonymize. The privacy control unit 12 does not process the data when the privacy information is “no privacy”.

プライバシ制御部12は、セキュリティポリシーにおいて複数の管理者のいずれかによりデータがプライバシに関わると規定されている場合に、データがプライバシに関わると判断する。言い換えると、プライバシ制御部12は、セキュリティポリシーにおいて複数の管理者の全員によってプライバシに関わらないと規定されている場合に、データがプライバシに関わらないと判断する。   The privacy control unit 12 determines that the data is related to privacy when any of a plurality of administrators defines that the data is related to privacy in the security policy. In other words, the privacy control unit 12 determines that the data is not related to privacy when it is specified in the security policy not to be related to privacy by all of the plurality of administrators.

プライバシ制御部12は、トークンを有するアプリケーションからのデータ取得の要求に対し、データの所有者ごとのプライバシポリシーに基づいて、データを選別する。   The privacy control unit 12 sorts data based on a privacy policy for each data owner in response to a request for data acquisition from an application having a token.

図4は、本発明の一実施形態に係るプライバシポリシーの例を示す図である。プライバシポリシーは、図4が示すように、アプリケーションの種別ごとに、データの所有者ごとのプライバシポリシーを規定する。具体的には、プライバシポリシーは、アプリケーションの種別に対応付けて、データの種別ごとにデータの所有者がデータの提供を認可する(図4において○印)か、しない(図4において×印)かを規定する。プライバシポリシーは、第2ドメインに設置されたサーバ(後述するローカルクラウド60のプライバシポリシーDB62)から取得される。   FIG. 4 is a diagram illustrating an example of a privacy policy according to an embodiment of the present invention. The privacy policy defines a privacy policy for each data owner, for each type of application, as shown in FIG. Specifically, the privacy policy is associated with the type of application, and the owner of the data authorizes provision of the data for each type of data (circled in FIG. 4) or not (× in FIG. 4) To define. The privacy policy is acquired from the server (privacy policy DB 62 of the local cloud 60 described later) installed in the second domain.

プライバシ制御部12は、抽出対象のデータの所有者の属性に関する条件をアプリケーションから受信した場合、ユーザDB32により条件を満たす所有者を特定し、特定した所有者のプライバシポリシーに基づいて、所有者が許可したデータを抽出する。   When the privacy control unit 12 receives the condition regarding the attribute of the owner of the data to be extracted from the application, the privacy control unit 12 identifies the owner who satisfies the condition by the user DB 32, and the owner determines the owner based on the privacy policy of the identified owner. Extract authorized data.

ユーザDB32は、所有者の識別子と属性とを対応付ける。図5は、本発明の一実施形態に係るユーザDB32の例を示す図である。ユーザDB32は、図5が示すように、データの種別(例えば、種別の異なるデータベース)ごとに、データの所有者の識別子とその所有者の属性とを対応付けて保管する。
所有者の属性は、データベースに含まれるデータの所有者の属性であり、例えば、男性、20代等の属性を言う。 The user DB 32 associates the identifier of the owner with the attribute. FIG. 5 is a diagram showing an example of the user DB 32 according to an embodiment of the present invention. As shown in FIG. 5, the user DB 32 stores the identifier of the data owner and the attribute of the owner in association with each data type (for example, different types of databases).
The owner attribute is an attribute of the owner of data included in the database, and refers to, for example, an attribute such as male, 20's, etc.

具体的には、プライバシ制御部12は、アプリケーションから指定された抽出対象の属性により、ユーザDB32に基づいて、アプリケーションが要求するデータベースに保管されている所有者の識別子を取得する。次に、プライバシ制御部12は、取得した所有者の識別子により、アプリケーションの種別及びデータの種別に対応するプライバシポリシーに基づいて、提供が許可されているか否かを判断する。プライバシ制御部12は、属性の条件を満たし、かつ、データ提供を許可している所有者のデータのみを抽出して、アプリケーションに返す。   Specifically, the privacy control unit 12 acquires the identifier of the owner stored in the database requested by the application based on the user DB 32 according to the extraction target attribute specified by the application. Next, the privacy control unit 12 determines whether provision is permitted based on the type of application and the privacy policy corresponding to the type of data, based on the acquired identifier of the owner. The privacy control unit 12 extracts only data of the owner who satisfies the condition of the attribute and permits data provision, and returns it to the application.

図6は、本発明の一実施形態に係るセキュリティゲートウェイ装置10によるトークン発行及びデータ抽出処理を示すシーケンス図である。   FIG. 6 is a sequence diagram showing a token issuing and data extraction process by the security gateway device 10 according to an embodiment of the present invention.

ステップS11において、アクセス制御部11は、アプリケーションからプライバシ証明書21を受信する。   In step S11, the access control unit 11 receives the privacy certificate 21 from the application.

ステップS12において、アクセス制御部11は、プライバシ証明書21に記載されているアプリケーションの種別及びデータの種別に対応する、セキュリティポリシーで規定された提供期間に基づいて、アプリケーションがデータにアクセスするための有効期限が設定されたトークンを生成する。   In step S12, the access control unit 11 allows the application to access data based on the provision period defined by the security policy, which corresponds to the type of application and the type of data described in the privacy certificate 21. Generate a token with an expiration date.

ステップS13において、アクセス制御部11は、生成したトークンをアプリケーションに対し発行する。   In step S13, the access control unit 11 issues the generated token to the application.

ステップS14において、アクセス制御部11は、トークンを有するアプリケーションからデータ取得の要求を受信する。   In step S14, the access control unit 11 receives a request for data acquisition from an application having a token.

ステップS15において、アクセス制御部11は、アプリケーションからのデータの要求の正当性を検証する。   In step S15, the access control unit 11 verifies the legitimacy of the data request from the application.

ステップS16において、アクセス制御部11は、ステップS15で正当であることが検証された場合、データ取得の要求を第2ドメインのサーバに送信する。   In step S16, when the access control unit 11 is verified as valid in step S15, the access control unit 11 transmits a request for data acquisition to the server in the second domain.

ステップS17において、プライバシ制御部12は、第2ドメインのサーバからデータを受信する。   In step S17, the privacy control unit 12 receives data from the server of the second domain.

ステップS18において、プライバシ制御部12は、プライバシポリシーに基づいて、提供が許可されているデータを抽出する。   In step S18, the privacy control unit 12 extracts data for which provision is permitted based on the privacy policy.

ステップS19において、プライバシ制御部12は、抽出したデータをアプリケーションに返す。   In step S19, the privacy control unit 12 returns the extracted data to the application.

[マルチクラウド環境における実施例]
図7は、本発明の一実施形態に係る、マルチクラウド環境におけるセキュリティゲートウェイ装置10の構成を示すブロック図である。
セキュリティゲートウェイ装置10は、マルチクラウド環境において、グローバルクラウド50とローカルクラウド60との接点に設置される。
セキュリティゲートウェイ装置10は、第1ドメインに設置されたサーバにより提供されるアプリケーションからグローバルクラウド50を介して要求されたデータを、第2ドメインに設置されたローカルクラウド60から抽出して、グローバルクラウド50を介してアプリケーションに返す。 [Example in a multi-cloud environment]
FIG. 7 is a block diagram showing the configuration of the security gateway device 10 in a multi-cloud environment according to an embodiment of the present invention.
The security gateway device 10 is installed at the contact point between the global cloud 50 and the local cloud 60 in a multi-cloud environment.
The security gateway device 10 extracts, from the local cloud 60 installed in the second domain, data requested via the global cloud 50 from an application provided by a server installed in the first domain, Return to the application through

アプリケーションは、グローバルクラウド50のグローバルクエリコントローラ51経由で、プライバシ証明書21をパラメータとして、トークン発行の要求をする。
セキュリティゲートウェイ装置10のアクセス制御部11は、プライバシ証明書21とセキュリティポリシーDB31の有効期間とに基づいて、トークンの有効期限を設定し、トークンをトークンDB33に保管する。アクセス制御部11は、グローバルクエリコントローラ51経由でアプリケーションにトークンを発行する。 The application makes a request for token issuance via the global query controller 51 of the global cloud 50 with the privacy certificate 21 as a parameter.
The access control unit 11 of the security gateway device 10 sets the expiration date of the token based on the privacy certificate 21 and the validity period of the security policy DB 31, and stores the token in the token DB 33. The access control unit 11 issues a token to the application via the global query controller 51.

トークンを有するアプリケーションは、グローバルクラウド50のグローバルクエリコントローラ51経由で、アプリケーションサーバの設置国、アプリケーションの種別、データの種別、データの所有者の属性、クエリ(DBサーバへの要求)、タイムスタンプ(例えば、当該データ取得の要求の送信時刻)、及びメッセージ認証コードをパラメータとして、データ取得の要求をする。グローバルクエリコントローラ51は、アプリケーションからのクエリの内容に応じてクエリを振り分けるローカルクラウド60を決定する。   The application having the token is via the global query controller 51 of the global cloud 50, the installation country of the application server, the application type, the data type, the data owner attribute, the query (request to the DB server), the time stamp ( For example, the data acquisition request is made using the transmission time of the data acquisition request and the message authentication code as parameters. The global query controller 51 determines the local cloud 60 to which the query is distributed according to the content of the query from the application.

セキュリティゲートウェイ装置10のアクセス制御部11は、トークンの正当性を検証し、プライバシ制御部12は、アプリケーションのクエリをローカルクラウド60のローカルクエリコントローラ61に渡す。
ローカルクエリコントローラ61は、プライバシ制御部12から渡されたクエリの内容に応じて、クエリを振り分けるデータベースを決定し、クエリに基づくデータを抽出する。
セキュリティゲートウェイ装置10のプライバシ制御部12は、ローカルクエリコントローラ61によって抽出されたデータからプライバシポリシーDB62に基づいてデータを選別し、グローバルクエリコントローラ51経由でアプリケーションに返す。 The access control unit 11 of the security gateway device 10 verifies the legitimacy of the token, and the privacy control unit 12 passes the query of the application to the local query controller 61 of the local cloud 60.
The local query controller 61 determines a database to which the query is distributed according to the content of the query passed from the privacy control unit 12 and extracts data based on the query.
The privacy control unit 12 of the security gateway device 10 sorts data from the data extracted by the local query controller 61 based on the privacy policy DB 62, and returns the data to the application via the global query controller 51.

図8は、本発明の一実施形態に係る、マルチクラウド環境におけるセキュリティゲートウェイ装置10のトークンの発行処理の例を示すフローチャートである。   FIG. 8 is a flowchart showing an example of token issuance processing of the security gateway device 10 in a multi-cloud environment according to an embodiment of the present invention.

ステップS101において、アクセス制御部11は、アプリケーションからプライバシ証明書21をパラメータとして含む、トークン発行の要求を受信する。   In step S101, the access control unit 11 receives, from the application, a request for token issuance that includes the privacy certificate 21 as a parameter.

ステップS102において、アクセス制御部11は、プライバシ証明書21に記載されている内容の正当性を検証する。より具体的には、アクセス制御部11は、プライバシ証明書21の発行国(アプリケーションサーバの設置国と同一)が、リクエストヘッダのIPアドレス情報と同一国であるか否かを判断する。さらに、アクセス制御部11は、アプリケーションIP(アプリケーションサーバのIPアドレス)がリクエストヘッダのIPアドレス情報と同一であるか否かを判断する。さらに、アクセス制御部11は、DBサーバの設置国がセキュリティゲートウェイ装置10が設置されている国と同一か否かを判断する。さらに、アクセス制御部11は、現在時刻が有効期限よりも早い時刻であるか否かを判断する。全ての判断がYESの場合、アクセス制御部11は、処理をステップS103に移し、いずれかの判断がNOの場合、アクセス制御部11は、処理をステップS109に移す。   In step S102, the access control unit 11 verifies the legitimacy of the content described in the privacy certificate 21. More specifically, the access control unit 11 determines whether the issuance country (the same as the installation country of the application server) of the privacy certificate 21 is the same as the IP address information of the request header. Furthermore, the access control unit 11 determines whether the application IP (the IP address of the application server) is identical to the IP address information of the request header. Furthermore, the access control unit 11 determines whether the installation country of the DB server is the same as the country in which the security gateway device 10 is installed. Furthermore, the access control unit 11 determines whether the current time is earlier than the expiration date. If all the determinations are YES, the access control unit 11 moves the process to step S103. If any determination is NO, the access control unit 11 moves the process to step S109.

ステップS103において、アクセス制御部11は、プライバシ証明書21に記載のプライバシ証明書21の発行国(アプリケーションサーバの設置国)と、アプリケーションの種別と、データの種別とを用いて、セキュリティポリシーDB31を検索する。アクセス制御部11は、管理者ごとに規定されるアプリケーションサーバの設置国におけるトークンの有効期間のリストと、プライバシ情報のリストとを取得する。   In step S103, the access control unit 11 uses the issuing country of the privacy certificate 21 described in the privacy certificate 21 (the installing country of the application server), the application type, and the data type to use the security policy DB 31. Search for. The access control unit 11 acquires a list of validity periods of tokens in the installation country of the application server defined for each administrator and a list of privacy information.

ステップS104において、アクセス制御部11は、プライバシ情報のリストからプライバシ証明書21に記載のデータの種別で指定されたデータベースが、非プライバシDB63かプライバシDB64かを決定する。アクセス制御部11は、全ての管理者が非プライバシDB63と設定している場合、非プライバシDB63と決定し、それ以外の場合、プライバシDB64と決定する。   In step S104, the access control unit 11 determines whether the database designated by the type of data described in the privacy certificate 21 is a non-privacy DB 63 or a privacy DB 64 from the list of privacy information. The access control unit 11 determines the non-privacy DB 63 as the non-privacy DB 63 when all the administrators set the non-privacy DB 63, and determines the privacy DB 64 in other cases.

ステップS105において、アクセス制御部11は、有効期間のリストから複数の管理者により設定された有効期間のうち最も短い期間をトークンの有効期間として決定する。アクセス制御部11は、決定した有効期間の値と、現在時刻とを足し合わせて有効期限を算出する。   In step S105, the access control unit 11 determines the shortest period among the effective periods set by the plurality of administrators from the list of effective periods as the effective period of the token. The access control unit 11 adds up the value of the determined effective period and the current time to calculate the effective period.

ステップS106において、アクセス制御部11は、トークンを生成する。   In step S106, the access control unit 11 generates a token.

ステップS107において、アクセス制御部11は、ステップS106で生成したトークンと、プライバシ証明書21に記載のアプリケーションサーバの設置国、アプリケーションIP、アプリケーションの種別、データの種別、ステップS104で決定したプライバシ情報、及びステップS105で算出したトークンの有効期限とを対応付け、トークンDB33に保管する。   In step S107, the access control unit 11 determines the token generated in step S106, the installation country of the application server described in the privacy certificate 21, the application IP, the type of application, the type of data, and the privacy information determined in step S104. And the expiration date of the token calculated in step S105 is associated and stored in the token DB 33.

ステップS108において、アクセス制御部11は、有効期限が設定されたトークンをアプリケーションに返す。その後、アクセス制御部11は、処理を終了する。   In step S108, the access control unit 11 returns the token for which the expiration date is set to the application. Thereafter, the access control unit 11 ends the process.

ステップS109において、アクセス制御部11は、トークン発行の要求が正常でないことを表すエラー情報をアプリケーションに返す。その後、アクセス制御部11は、処理を終了する。   In step S109, the access control unit 11 returns, to the application, error information indicating that the request for token issuance is not normal. Thereafter, the access control unit 11 ends the process.

図9及び図10は、本発明の一実施形態に係る、マルチクラウド環境におけるセキュリティゲートウェイ装置10のデータ抽出処理の例を示すフローチャートである。   9 and 10 are flowcharts showing an example of data extraction processing of the security gateway device 10 in a multicloud environment according to an embodiment of the present invention.

ステップS201において、アクセス制御部11は、アプリケーションからデータ取得の要求を受信し、パラメータのアプリケーションサーバの設置国、リクエストヘッダのIPアドレス情報(アプリケーションIP)、アプリケーションの種別、データの種別を用いて、トークンDB33を検索し、これらの情報に対応付けられているトークン及びトークンの有効期限を取得する。   In step S201, the access control unit 11 receives a request for data acquisition from the application, and uses the installation country of the application server of the parameter, the IP address information (application IP) of the request header, the application type, and the data type. The token DB 33 is searched to obtain tokens and token expiration dates associated with these pieces of information.

ステップS202において、アクセス制御部11は、データ取得の要求を受信した時刻がトークンの有効期限より早い時刻か否かを判断する。この判断がYESの場合、アクセス制御部11は、処理をステップS203に移し、この判断がNOの場合、アクセス制御部11は、処理をステップS213に移す。   In step S202, the access control unit 11 determines whether the time when the request for data acquisition is received is earlier than the expiration date of the token. If this determination is YES, the access control unit 11 moves the process to step S203, and if this determination is NO, the access control unit 11 moves the process to step S213.

ステップS203において、アクセス制御部11は、メッセージ認証コード以外のパラメータ(アプリケーションサーバの設置国、アプリケーションの種別、データの種別、データの所有者の属性、クエリ、タイムスタンプ)の連結を、ステップS201で取得したトークンを鍵とする鍵付きハッシュ関数に入力し、ハッシュ値を算出し、算出したハッシュ値とメッセージ認証コードとが一致するか否かを判断する。この判断がYESの場合、アクセス制御部11は、処理をステップS204に移し、この判断がNOの場合、アクセス制御部11は、処理をステップS213に移す。   In step S203, the access control unit 11 connects parameters other than the message authentication code (the installation country of the application server, the type of application, the type of data, the type of data, the attribute of the owner of data, the query, and the time stamp) in step S201. A keyed hash function having the acquired token as a key is input, a hash value is calculated, and it is determined whether the calculated hash value matches the message authentication code. If this determination is YES, the access control unit 11 moves the process to step S204, and if this determination is NO, the access control unit 11 moves the process to step S213.

ステップS204において、アクセス制御部11は、パラメータのタイムスタンプを用いて、データ取得の要求の受信時刻がタイムスタンプから一定期間内か否かを判断する。この判断がYESの場合、アクセス制御部11は、処理をステップS205に移し、この判断がNOの場合、アクセス制御部11は、処理をステップS213に移す。   In step S204, the access control unit 11 uses the parameter time stamp to determine whether the reception time of the data acquisition request is within a certain period from the time stamp. If this determination is YES, the access control unit 11 moves the process to step S205, and if this determination is NO, the access control unit 11 moves the process to step S213.

ステップS205において、アクセス制御部11は、パラメータのデータの種別で指定されたデータベースがプライバシか否かを判断する。この判断がYESの場合、アクセス制御部11は、処理をステップ207に移し、この判断がNOの場合、アクセス制御部11は、処理をステップS206に移す。   In step S205, the access control unit 11 determines whether the database designated by the parameter data type is privacy. If this determination is YES, the access control unit 11 moves the process to step 207, and if this determination is NO, the access control unit 11 moves the process to step S206.

ステップS206において、アクセス制御部11は、パラメータのクエリを用いて、ローカルクエリコントローラ61経由で非プライバシDB63から非プライバシデータを取得し、取得したデータをアプリケーションに返す。その後、アクセス制御部11は、処理を終了する。   In step S206, the access control unit 11 acquires non-privacy data from the non-privacy DB 63 via the local query controller 61 using the parameter query, and returns the acquired data to the application. Thereafter, the access control unit 11 ends the process.

ステップS207において、プライバシ制御部12は、パラメータのデータの所有者の属性を用いて、ユーザDB32を検索し、該当するデータの所有者のリストを取得する。   In step S207, the privacy control unit 12 searches the user DB 32 using the attribute of the owner of the parameter data, and acquires a list of the owners of the corresponding data.

ステップS208において、プライバシ制御部12は、アプリケーションの種別と、ステップS207で取得した所有者のリストとを用いて、プライバシポリシーDB62から該当するデータの所有者のプライバシポリシーを取得する。   In step S208, the privacy control unit 12 acquires the privacy policy of the owner of the corresponding data from the privacy policy DB 62, using the type of application and the list of the owners acquired in step S207.

ステップS209において、プライバシ制御部12は、ステップS208で取得したプライバシポリシーを参照し、データの種別で指定されたデータのうちデータの提供を許可する所有者のリスト(以下、データの提供者のリスト)を作成する。   In step S209, the privacy control unit 12 refers to the privacy policy acquired in step S208, and among the data designated by the data type, a list of owners who are permitted to provide the data (hereinafter, a list of data providers Create).

ステップS210において、プライバシ制御部12は、パラメータのクエリを用いて、ローカルクエリコントローラ61を介してプライバシDB64からプライバシデータを取得する。   In step S210, the privacy control unit 12 acquires privacy data from the privacy DB 64 via the local query controller 61 using the parameter query.

ステップS211において、プライバシ制御部12は、ステップ209で作成したデータの提供者のリストを用いて、ステップS210で取得したデータのうち提供者のリストに存在する所有者のデータのみを抽出する。   In step S211, the privacy control unit 12 extracts only the owner's data existing in the provider list from the data acquired in step S210, using the data provider list generated in step S209.

ステップS212において、プライバシ制御部12は、ステップ211で抽出したデータをアプリケーションに返す。その後、アクセス制御部11は、処理を終了する。   In step S212, the privacy control unit 12 returns the data extracted in step 211 to the application. Thereafter, the access control unit 11 ends the process.

ステップS213において、アクセス制御部11は、データ取得の要求が正常でないことを表すエラー情報をアプリケーションに返す。その後、アクセス制御部11は、処理を終了する。   In step S213, the access control unit 11 returns, to the application, error information indicating that the data acquisition request is not normal. Thereafter, the access control unit 11 ends the process.

本実施形態によれば、セキュリティゲートウェイ装置10は、プライバシ証明書21によって第1ドメインでの第2ドメインからのデータの受け入れ許可を確認すると共に、データ提供元である第2ドメイン側で、第1ドメインのアプリケーションに対するセキュリティのポリシーに基づいてデータの提供を許可し、データを取得するためのトークンを発行する。トークンを有するアプリケーションは、トークンの有効期限内でデータを利用することができる。したがって、セキュリティゲートウェイ装置は、アプリケーションがアクセスするデータを、国ごとのセキュリティ条件を満たして利活用することを可能とする。
さらに、セキュリティゲートウェイ装置10は、アプリケーションからの要求に対し、アプリケーションの種別及びデータの種別ごとに規定されたプライバシの有無に基づいてデータを加工するので、データ受信側のポリシーに関わらず、データを提供する側のプライバシに関わるデータを秘匿できる。
さらに、セキュリティゲートウェイ装置10は、アプリケーションからの要求に対し、データの所有者ごとのプライバシポリシーに基づいてデータを選別するので、所有者ごとの許可を得たデータのみを提供できる。
さらに、セキュリティゲートウェイ装置10は、データを要求するアプリケーションの種別及びデータの種別に応じた、データの所有者ごとのプライバシポリシーに基づいて、データを抽出するので、データの所有者ごとのきめ細かい設定に従って個々のデータの提供の可否を制御できる。
さらに、セキュリティゲートウェイ装置10は、データの所有者の属性に関する条件をデータ抽出クエリとは別に受信した場合に、ユーザデータベースを参照することにより条件を満たす所有者を特定できるので、クエリ自体を解釈することなく対象のデータを選別できる。
さらに、セキュリティゲートウェイ装置10は、複数の管理者によって管理される提供期間のなかで最短期間に基づいてデータを提供するので、複数の管理者の条件のうち最も厳しい提供期間の条件でデータを保護できる。
さらに、セキュリティゲートウェイ装置10は、複数の管理者のいずれかによりデータがプライバシに関わると規定されている場合に、データがプライバシに関わると判断するので、複数の管理者の条件のうち、プライバシに関するできるだけ安全な条件でデータを保護できる。
さらに、セキュリティゲートウェイ装置10は、共通鍵によりデータの要求の正当性を検証するので、偽装や改竄等を防止して安全性を向上できる。 According to the present embodiment, the security gateway device 10 confirms the acceptance permission of the data from the second domain in the first domain by the privacy certificate 21 and, at the second domain side that is the data providing source, Permit the provision of data based on the security policy for the domain application, and issue a token for acquiring data. An application having a token can use the data within the token's expiration date. Therefore, the security gateway device can utilize the data accessed by the application, meeting the security conditions of each country.
Furthermore, the security gateway device 10 processes the data in response to the request from the application based on the type of application and the presence or absence of privacy defined for each type of data, so the data is processed regardless of the policy on the data receiving side. It can conceal data related to the privacy of the provider.
Furthermore, since the security gateway device 10 sorts data based on the privacy policy for each data owner in response to a request from an application, it can provide only data for which each owner has been authorized.
Furthermore, security gateway device 10 extracts data based on the privacy policy for each data owner according to the type of data requesting application and the data type, so according to the detailed setting for each data owner It can control the availability of individual data.
Furthermore, the security gateway device 10 interprets the query itself because the owner who satisfies the condition can be identified by referring to the user database when the condition regarding the attribute of the owner of the data is received separately from the data extraction query. You can sort out the data of interest without
Furthermore, since the security gateway device 10 provides data based on the shortest period among the provision periods managed by a plurality of administrators, data is protected under the conditions of the strictest provision period among the conditions of a plurality of administrators. it can.
Furthermore, when the security gateway device 10 determines that the data relates to privacy when any of the plurality of administrators specifies that the data relates to privacy, the security gateway device 10 relates to privacy among the conditions of the plurality of administrators. Protect your data under as safe conditions as possible.
Furthermore, since the security gateway device 10 verifies the legitimacy of the request for data by using the common key, the security gateway device 10 can improve security by preventing falsification, tampering, and the like.

以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。   As mentioned above, although embodiment of this invention was described, this invention is not limited to embodiment mentioned above. Further, the effects described in the embodiments of the present invention only list the most preferable effects resulting from the present invention, and the effects according to the present invention are limited to those described in the embodiments of the present invention is not.

例えば、本実施形態では、セキュリティゲートウェイ装置10は、データを取得した後に、データの提供者のリストを用いて、取得したデータから提供可能なデータを抽出するとしたが、これに限られない。セキュリティゲートウェイ装置10は、所有者の属性の条件をクエリに組み入れてローカルクエリコントローラ61に送り、ローカルクエリコントローラ61に提供可能なデータを抽出させてもよい。   For example, in the present embodiment, after acquiring the data, the security gateway device 10 extracts the providable data from the acquired data using the list of data providers, but the present invention is not limited thereto. The security gateway device 10 may incorporate the condition of the attribute of the owner into a query and send it to the local query controller 61 to extract data that can be provided to the local query controller 61.

セキュリティゲートウェイ装置10による一連の処理は、ソフトウェアにより行うこともできる。一連の処理をソフトウェアによって行う場合には、そのソフトウェアを構成するプログラムが、汎用のコンピュータ等にインストールされる。また、当該プログラムは、コンピュータ読み取り可能な記録媒体(例えば、CD−ROMのようなリムーバブルメディア等)に記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。   The series of processes by the security gateway device 10 can also be performed by software. When the series of processes are performed by software, a program constituting the software is installed in a general-purpose computer or the like. In addition, the program may be recorded in a computer readable recording medium (for example, a removable medium such as a CD-ROM) and distributed to the user, or downloaded to the user's computer via the network. May be distributed by

10 セキュリティゲートウェイ装置
11 アクセス制御部
12 プライバシ制御部
21 プライバシ証明書
31 セキュリティポリシーDB
32 ユーザDB
33 トークンDB
50 グローバルクラウド
51 グローバルクエリコントローラ
60 ローカルクラウド
61 ローカルクエリコントローラ
62 プライバシポリシーDB
63 非プライバシDB
64 プライバシDB

10 Security Gateway Device 11 Access Control Unit 12 Privacy Control Unit 21 Privacy Certificate 31 Security Policy DB
32 User DB
33 Token DB
50 Global Cloud 51 Global Query Controller 60 Local Cloud 61 Local Query Controller 62 Privacy Policy DB
63 Non-privacy DB
64 Privacy DB

Claims (10)

セキュリティ又はプライバシのポリシーを共有しないそれぞれの国のうち1つの国である第1ドメインに設置されたサーバにより提供されるアプリケーションから要求されたデータを、前記第1ドメインと異なる国の第2ドメインに設置されたサーバから抽出して、前記アプリケーションに返す、前記第1ドメイン以外のドメインに設置されるセキュリティゲートウェイ装置であって、
前記アプリケーションの種別及び前記データの種別で指定されたデータベースに対応付けて、前記第1ドメインごとの前記データの提供期間を規定するセキュリティポリシーを記憶するセキュリティポリシー記憶部と、
前記第1ドメインの認証局により発行されたプライバシ証明書であって、当該プライバシ証明書の発行国と、前記アプリケーションのIPアドレスと、前記アプリケーションの種別と、前記アプリケーションが取得可能なデータを提供するDBサーバの設置国と、前記データの種別と含む前記プライバシ証明書が示す前記プライバシ証明書の発行国である前記第1ドメインと、前記セキュリティポリシーで前記第1ドメインに規定された、前記アプリケーションの種別及び前記データの種別で指定されたデータベースに対応付けられた提供期間と、前記提供期間を決定する時の時刻と、に基づいて算出した前記アプリケーションが前記データにアクセスするための有効期限が設定された、前記アプリケーションにより前記データを取得するためのトークンを生成し、生成された前記トークンを前記アプリケーションに返すアクセス制御部と、
を備えるセキュリティゲートウェイ装置。 Data requested from an application provided by a server installed in a first domain, which is one country of each country that does not share security or privacy policies, in a second domain of a country different from the first domain A security gateway device installed in a domain other than the first domain, which is extracted from an installed server and returned to the application,
A security policy storage unit storing a security policy that defines the provision period of the data for each of the first domains in association with a database specified by the type of application and the type of data;
A privacy certificate issued by a certificate authority of the first domain, which provides the country of issue of the privacy certificate, the IP address of the application, the type of the application, and data that can be acquired by the application. DB and server installation countries, and the first domain is the privacy certificate nations said indicating privacy certificate including the type of the data, as defined in the first domain in the security policy, the application The period of time for the application to access the data calculated based on the provision period associated with the type of data and the database designated by the type of data, and the time when the provision period is determined Acquiring the data by the set application An access control unit which generates because of tokens, and returns the generated the token to the application,
Security gateway device comprising: 前記セキュリティポリシーは、前記アプリケーションの種別及び前記データの種別で指定されたデータベースごとにプライバシの有無を規定し、
前記トークンを有する前記アプリケーションからの要求に対し、前記トークンを有するアプリケーションの種別及び前記データの種別で指定されたデータベースに対応付けられたプライバシ情報における前記プライバシの有無に基づいて前記データを加工するか否かを制御するプライバシ制御部を備える、請求項1に記載のセキュリティゲートウェイ装置。 The security policy defines the presence or absence of privacy for each database specified by the type of the application and the type of the data,
In response to a request from the application having the token, whether the data is processed based on the type of the application having the token and the privacy information in the privacy information associated with the database specified by the data type The security gateway device according to claim 1, further comprising: a privacy control unit that controls whether or not the security gateway device is configured. 前記プライバシ制御部は、前記トークンを有する前記アプリケーションからの要求に対し、前記データの所有者ごとのプライバシポリシーに基づいて、前記データを選別する、請求項2に記載のセキュリティゲートウェイ装置。   The security gateway device according to claim 2, wherein the privacy control unit sorts the data based on a privacy policy for each owner of the data, in response to a request from the application having the token. 前記プライバシポリシーは、前記アプリケーションの種別及び前記データの種別で指定されたデータベースに対応付けて、前記データの所有者ごとに、前記データの提供を許可するか否かを規定し、
前記プライバシ制御部は、前記プライバシポリシーに基づいて、前記データの所有者が許可したデータを抽出する、請求項3に記載のセキュリティゲートウェイ装置。 The privacy policy defines whether to permit provision of the data for each owner of the data, in association with a database specified by the type of the application and the type of the data;
The security gateway device according to claim 3, wherein the privacy control unit extracts data authorized by the owner of the data based on the privacy policy. 前記データの所有者の識別子と属性とが対応付けられているユーザデータベースを備え、
前記プライバシ制御部は、前記アプリケーションから抽出対象の前記属性に関する条件を受信した場合、前記ユーザデータベースにより前記条件を満たす所有者を特定し、当該所有者に関するデータを抽出する、請求項2から4のいずれか一項に記載のセキュリティゲートウェイ装置。 A user database in which an identifier of the owner of the data is associated with an attribute;
The said privacy control part specifies the owner who satisfy | fills the said conditions with the said user database, when the conditions regarding the said attribute of extraction object are received from the said application, The data regarding the said owner are extracted. The security gateway device according to any one of the preceding claims. 前記セキュリティポリシーは、複数の管理者ごとに設定され、
前記プライバシ制御部は、前記セキュリティポリシーにおいて前記複数の管理者のいずれかにより前記データがプライバシに関わると規定されている場合に、前記データがプライバシに関わると判断する、請求項2から5のいずれか一項に記載のセキュリティゲートウェイ装置。 The security policy is set for each of a plurality of administrators.
6. The privacy control unit according to any one of claims 2 to 5, wherein the privacy control unit determines that the data relates to privacy when any of the plurality of administrators defines that the data relates to privacy in the security policy. The security gateway device according to any one of the preceding claims. 前記セキュリティポリシーは、複数の管理者ごとに設定され、
前記アクセス制御部は、前記複数の管理者に対応付けられた前記データの提供期間のうち最も短い期間に基づいて、前記トークンの有効期限を設定する、請求項1から6のいずれか一項に記載のセキュリティゲートウェイ装置。 The security policy is set for each of a plurality of administrators.
The said access control part sets the expiration date of the said token based on the shortest period among the provision periods of the said data matched with these managements in any one of Claim 1 to 6 Security gateway device as described. 前記アクセス制御部は、前記トークンを共通鍵とするメッセージ認証コードにより、前記アプリケーションからの前記データの要求の正当性を検証する、請求項1から7のいずれか一項に記載のセキュリティゲートウェイ装置。   The security gateway device according to any one of claims 1 to 7, wherein the access control unit verifies the legitimacy of the request for the data from the application by a message authentication code using the token as a common key. 請求項1に記載のセキュリティゲートウェイ装置が実行する方法であって、
前記アクセス制御部が
前記第1ドメインの認証局により発行されたプライバシ証明書であって、当該プライバシ証明書の発行国と、前記アプリケーションのIPアドレスと、前記アプリケーションの種別と、前記アプリケーションが取得可能なデータを提供するDBサーバの設置国と、前記データの種別とを含む前記プライバシ証明書が示す前記プライバシ証明書の発行国である前記第1ドメインと、前記セキュリティポリシーで前記第1ドメインに規定された、前記アプリケーションの種別及び前記データの種別で指定されたデータベースに対応付けられた提供期間と、前記提供期間を決定する時の時刻と、に基づいて算出した前記アプリケーションが前記データにアクセスするための有効期限が設定された、前記アプリケーションにより前記データを取得するためのトークンを生成し、生成された前記トークンを前記アプリケーションに返すアクセスステップを備える方法。 A method performed by the security gateway device according to claim 1, wherein
Said access control unit,
A privacy certificate issued by a certificate authority of the first domain , which provides the country of issue of the privacy certificate, the IP address of the application, the type of the application, and data that can be acquired by the application. The first domain that is the country of issue of the privacy certificate indicated by the privacy certificate including the installation country of the DB server and the type of the data, and the application specified in the first domain by the security policy The period of time for the application to access the data calculated based on the provision period associated with the type of data and the database designated by the type of data, and the time when the provision period is determined Acquiring the data by the set application It generates because of tokens, the method comprising the access step of returning the generated the token to the application. コンピュータに、請求項9に記載の方法のステップを実行させるためのプログラム。   A program for causing a computer to execute the steps of the method according to claim 9.
JP2015072441A 2015-03-31 2015-03-31 Security gateway device, method and program Active JP6548936B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015072441A JP6548936B2 (en) 2015-03-31 2015-03-31 Security gateway device, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015072441A JP6548936B2 (en) 2015-03-31 2015-03-31 Security gateway device, method and program

Publications (2)

Publication Number Publication Date
JP2016192126A JP2016192126A (en) 2016-11-10
JP6548936B2 true JP6548936B2 (en) 2019-07-24

Family

ID=57245616

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015072441A Active JP6548936B2 (en) 2015-03-31 2015-03-31 Security gateway device, method and program

Country Status (1)

Country Link
JP (1) JP6548936B2 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6751050B2 (en) * 2017-05-19 2020-09-02 Kddi株式会社 Data providing system and data providing method
US10848495B2 (en) 2018-02-18 2020-11-24 Cisco Technology, Inc. Internet of things security system
AU2019223980B2 (en) 2018-02-21 2024-02-08 Mastercard International Incorporated Systems and methods for managing digital identities associated with users
JP6995667B2 (en) * 2018-03-02 2022-01-14 株式会社日立製作所 Information management system, information management method and information management device
JP6724951B2 (en) * 2018-07-24 2020-07-15 横河電機株式会社 Device, method, program and recording medium
US20220374541A1 (en) * 2019-10-28 2022-11-24 Nippon Telegraph And Telephone Corporation Database system, distributed processing apparatus, database apparatus, distributed processing method and distributed processing program
CN111597226B (en) * 2020-04-26 2023-06-16 北京百度网讯科技有限公司 Data mining system, method, device, electronic equipment and storage medium

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282804A (en) * 1998-03-31 1999-10-15 Secom Joho System Kk Communication system having user authentication function and user authentication method
JP4813203B2 (en) * 2006-02-15 2011-11-09 株式会社Kddi研究所 Content playback device, content playback system, and program
JP6166596B2 (en) * 2013-06-21 2017-07-19 キヤノン株式会社 Authorization server system, control method therefor, and program
JP6198477B2 (en) * 2013-06-21 2017-09-20 キヤノン株式会社 Authority transfer system, authorization server system, control method, and program

Also Published As

Publication number Publication date
JP2016192126A (en) 2016-11-10

Similar Documents

Publication Publication Date Title
JP6548936B2 (en) Security gateway device, method and program
JP7222036B2 (en) Model training system and method and storage medium
US20210073806A1 (en) Data processing system utilising distributed ledger technology
US11126743B2 (en) Sensitive data service access
CN101251881B (en) Device, system and method for recognizing content
JP2019523494A (en) Method and system realized by blockchain
US20210203503A1 (en) Permissions from entities to access information
KR101401794B1 (en) Method and apparatus for providing data sharing
Rantos et al. A Blockchain‐Based Platform for Consent Management of Personal Data Processing in the IoT Ecosystem
US20140215575A1 (en) Establishment of a trust index to enable connections from unknown devices
Alboaie et al. Private data system enabling self-sovereign storage managed by executable choreographies
US20240220652A1 (en) Data processing apparatus and methods
JP5857796B2 (en) Device management device, device management method, device management program
CN100586123C (en) A safe audit method based on role management and system thereof
EP3479274B1 (en) Sensitive data service storage
RU2724713C1 (en) System and method of changing account password in case of threatening unauthorized access to user data
JP6618267B2 (en) Multi-cloud system and method
KR101086452B1 (en) System for identity management with privacy policy using number and method thereof
JP6719413B2 (en) Security gateway device, method, and program
KR102496829B1 (en) Apparatus and method for managing identity based on blockchain
JP2005339008A (en) Access control method and program, and recording medium
Friedman et al. The need for digital identity in cyberspace operations
Field et al. Resource-oriented lightweight information exchange (ROLIE)
JP2004110806A (en) Information filtering device, information filtering method, method execution program and program storage medium
JP2015156157A (en) Advertisement content distribution system and advertisement content distribution method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170901

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180605

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181204

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190626

R150 Certificate of patent or registration of utility model

Ref document number: 6548936

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150