JP6590807B2 - プライバシー機密情報の交換を制御するための方法およびシステム - Google Patents

プライバシー機密情報の交換を制御するための方法およびシステム Download PDF

Info

Publication number
JP6590807B2
JP6590807B2 JP2016541835A JP2016541835A JP6590807B2 JP 6590807 B2 JP6590807 B2 JP 6590807B2 JP 2016541835 A JP2016541835 A JP 2016541835A JP 2016541835 A JP2016541835 A JP 2016541835A JP 6590807 B2 JP6590807 B2 JP 6590807B2
Authority
JP
Japan
Prior art keywords
application
private data
data
service
information manager
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016541835A
Other languages
English (en)
Other versions
JP2016531528A (ja
Inventor
クチノッタ,トンマーゾ
ベッジュ−ブルゼッツ,ステファンヌ
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2016531528A publication Critical patent/JP2016531528A/ja
Application granted granted Critical
Publication of JP6590807B2 publication Critical patent/JP6590807B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)
  • Exchange Systems With Centralized Control (AREA)

Description

本発明は、概してプライバシー機密情報の交換に関し、より詳細には分散コンピューティング環境でのそのような交換に関する。
情報通信技術(ICT:Information and Communications Technology)領域は、益々、通常はデータ、コンテンツ、およびアプリケーションが、クラウドで管理、格納、アクセスされる分散コンピューティングパラダイムに向かって進化を続けている。仮想デスクトップ、および他のタイプの遠隔管理仮想化ITアプライアンスの使用が増え、また継続的接続性に依存し、大量の他のオンラインサービスやデータソースと相互作用できる、分散コンピューティングパラダイムに従って設計されたアプリケーションの使用が増えている。
クライアント装置上で実行されるローカルサービスおよびアプリケーションと、遠隔位置から提供されているそれらとの間の仕切りは、どんどん曖昧になってきており、またウェブベースの技術の台頭、および、ウェブベースのアプリケーションの設計と概念的な「ローカル」のそれとの視覚的類似性は、混同の可能性を高め、時にユーザを、彼または彼女のしている動作が、実際にローカルに起こっているのか、またはすべて「ウェブ上」もしくは「クラウドで」起こっているのかどうか、と頭を悩ませる状態にする場合がある。
この新規のコンピューティング領域は、新しくより共同的なコンピューティングシナリオを可能にし、同時に、特にローカルと分散コンピューティングとの間の境界がぼやけて混乱が生じている場合はいつでも、ユーザのプライバシーに対する脅威を与える可能性がある。例えば、電子メールアクセスクレデンシャル(例えば、ユーザ名、パスワード)などの機密情報が、ローカルコンピューティング装置に配信されているのか、またはユーザに代わってこのような情報を使用する何らかのオンラインサードパーティのサービスに配信されているのかどうかを見分けることがますます難しくなってきている。
そのため、新たに台頭したコンピューティング領域では、アクセスクレデンシャルやパスワードなどのユーザのプライバシーおよびプライバシー機密情報だけではなく、ユーザが、彼または彼女自身の装置のプライベートな状況で集めて使用するのに慣れているプライバシーセンティブ情報の全セットも保護するように設計された、信頼された、信頼できる機構が望まれる。
一例によれば、データネットワークにおいて、装置上で、または装置用に実行するアプリケーションと、サービングノードとの間での、クライアント装置に関連するプライベートデータの交換を制御するための方法が提供され、この方法は、リクエストを、プライベートデータの使用を要求するサービスへのアクセス用のアプリケーションから、サービングノードへ送信することと、サービングノードからのチャレンジデータをアプリケーションで受信することと、チャレンジデータに基づいて、クライアント装置のセキュアユーザインタフェースを使用して、プライベートデータの使用に対する認可を、信頼された情報マネージャに要求することと、アプリケーションがプライベートデータの知識を得ることができないように、認可に基づいて、サービスで使用するプライベートデータの難読化バージョンを、信頼された情報マネージャからアプリケーションに送信することと、を含む。
チャレンジデータは、暗号学的に安全な乱数、または公開鍵、またはシーケンス番号を含むことができる。プライベートデータの難読化バージョンは、プライベートデータの暗号ハッシュまたは暗号化バージョンを含むことができる。プライベートデータの難読化バージョンは、暗号学的に安全な乱数、または公開鍵、またはシーケンス番号との組合せで生成され得る。信頼された情報マネージャは、アプリケーションから動作上隔離されてよい。チャレンジデータは、サービスに対する識別子、ならびに/または、サービスおよび/もしくはアプリケーション上で実行される意図された動作との組合せで、アプリケーションから信頼された情報マネージャに送信され得る。
一例によれば、装置上で、または装置用にプログラムが実行するアプリケーションによる、クライアント装置に関連するプライベートデータへの直接のアクセスを防ぐための方法が提供され、方法は、リモートサービスからのリクエストに基づき、また、アプリケーションとリモートサービスとの間で使用するために、装置の信頼された情報マネージャを使用して、プライベートデータの難読化バージョンを、アプリケーションに提供すること、を含む。
装置と信頼された情報マネージャとの各相互作用では、ユーザ認可を要求することができる。
一例によれば、プライベートデータの使用を要求するサービスへのアクセス用のアプリケーションからリクエストを受信するように、かつチャレンジデータをアプリケーションに送信するように、動作可能なデータネットワークにおいて、装置上で、または装置用に実行するアプリケーションと、サービングノードとの間での、クライアント装置に関連するプライベートデータの交換を制御するためのシステムが提供され、このシステムは、チャレンジデータに基づき、プライベートデータの使用に対する認証のリクエストを受信するための、クライアント装置のセキュアユーザインタフェースと、認可に基づき、サービスで使用するプライベートデータの難読化バージョンを、アプリケーションに送信するための、信頼された情報マネージャと、を備える。信頼された情報マネージャは、アプリケーションから動作上隔離されてよい。信頼された情報マネージャは、サービスに対する識別子、ならびに/または、サービスおよび/もしくはアプリケーション上で実行される意図された動作との組合せでアプリケーションから送信されたチャレンジデータを受信することができる。
一例によれば、プライベートデータの使用のために、リモートサービスから信頼されていないアプリケーションに送信されたリクエストに基づいて、プライベートデータが関連付けられる装置上で、または装置用にプログラムが実行する信頼されていないアプリケーションに、プライベートデータの難読化バージョンを送信するための、信頼された情報マネージャが提供され、難読化バージョンは、信頼されていないアプリケーションとリモートサービスとの間で使用するためのもので、それによって、信頼されていないアプリケーションは、プライベートデータの知識を得ることができない。
一例によれば、コンピュータプログラム製品が提供され、このコンピュータプログラム製品は、それに組み込まれたコンピュータ可読プログラムコードを有するコンピュータ使用可能媒体を備え、前記コンピュータ可読プログラムコードは、上記のデータネットワークにおいて、装置上で、または装置用に実行するアプリケーションと、サービングノードとの間での、クライアント装置に関連するプライベートデータの交換を制御するための方法を実施するために、実行されるように構成される。
次に実施形態が、単なる例示として、以下の添付図面を参照して説明される。
一例による、データネットワークにおいて、装置上で、または装置用に実行するアプリケーションと、サービングノードとの間での、クライアント装置に関連するプライベートデータの交換を制御するための方法の概略図である。 一例による、データネットワークにおいて、装置上で、または装置用に実行するアプリケーションと、サービングノードとの間での、クライアント装置に関連するプライベートデータの交換を制御するための方法のさらなる概略図である。
当業者が、本明細書に記載されているシステムおよびプロセスを具体化し実施できるように、以下に例示的実施形態が十分詳細に説明される。実施形態は、多くの代替え形式で提供されてよく、本明細書で示される例に限定されるものと解釈されるべきではないことを理解することが重要である。
従って、実施形態は様々に変更可能であり、様々な代替え形式をとることができ、またそのうちの特定の実施形態は、例として以下に図面で示され、詳細に説明される。開示された具体的な形式に限定することを意図したものではない。むしろ、添付の特許請求の範囲内でのあらゆる変更、等価物、代替えが含まれるべきである。例示的実施形態の要素は、必要に応じて、図面および発明を実施するための形態の全体を通して、一貫して同じ参照番号で示される。
実施形態を説明するために本明細書で使用される専門用語は、範囲を限定するよう意図されたものではない。冠詞「a」、「an」、および「the」は単数形であって単数の対象を有するが、本明細書における単数形の使用は、1つよりも多い対象の存在を排除するものではない。すなわち、文脈が別途明確に示していない限り、単数形で示される要素は、1つまたは複数を数に含むことができる。用語「備える(comprises)」、「備えている(comprising)」、「含む(includes)」、および/または「含んでいる(including)」は、本明細書で使用される場合、述べられた特徴、項目、ステップ、動作、要素、および/またはコンポーネントの存在を明示するが、1つまたは複数の他の特徴、項目、ステップ、動作、要素、コンポーネント、および/またはそれらのグループの存在または追加を排除するものではないことをさらに理解されたい。
別段の規定がない限り、本明細書で使用されるすべての用語(技術用語および科学用語を含む)は、当技術分野における慣用的な意味で解釈されるべきである。一般的に使用される用語もまた、関連技術分野における慣用的な意味で解釈されるべきであり、本明細書でそのように明確に規定されない限り、理想化されたまたは過度に形式的な意味合いで解釈されるべきではないことをさらに理解されたい。
クライアント装置上で、またはクライアント装置用にプログラムが実行する例えばブラウザまたは電子メールクライアントなどのアプリケーションは、通常、ユーザが正しくリモートサービスにアクセスできるようにするものと信頼されている。しかしながら、同時にそれは、自発的に/悪意をもって(例えば、スパイロジックを組み込んだ無料アプリケーション)、または非自発的に(例えば、マルウェアに感染しただけのシステム)、プライバシー機密情報をリモートパーティに開示する可能性がある。
一例によれば、信頼されたエンティティは、セキュアチャネルをクライアントGUIに提供し、また、アプリケーションが情報そのものをクリアテキストで見ることができないように、要求するサービスにプライバシー機密情報を、アプリケーションを介して、提供するために使用される。
一例によれば、信頼された情報マネージャは、アクセスクレデンシャル、クレジットカード番号、電話およびアドレス帳登録などを含むユーザのプライバシー機密情報を、そのような情報を要求するアプリケーションに、それがレギュラーローカルアプリケーションであっても、または例えばクラウド内のリモートサーバにおいて実行されるものなどのリモートアプリケーションであっても、開示することなく管理する。
ユーザは、ローカルアプリケーション(または、それは、例えばローカルGUIコンポーネントを備えた、ユーザの近くのリモートアプリケーションとすることができる)を介して、リモートサービスと相互作用することができる。アプリケーションは、通常リモートサービスと相互作用することでは、ユーザから信用されるが、同時にユーザのプライバシーの確保に関する事柄については、ユーザから見れば信用できない場合がある。すなわち、信頼されていないアプリケーションは、(非明示的に認可された)リモート(意図されない、および/または信頼されていない)サービスに、それがユーザに代わって取り扱っているプライベート情報(例えば、電子メールアクセスクレデンシャル、電話番号、住所、および電子メールアドレスなど)を、ユーザがその開示を気づくまたは検出することもなければ、その開示を承認または同意する可能性もなく、開示し得る。
信頼された情報マネージャ(TIM:trusted information manager)は、ユーザに代わってリモート(信頼された)サービスと相互作用している場合、ローカル装置上で実行している他の信頼されていないと考えられるコンポーネントやアプリケーションによって実行されるセキュアPSI交換プロトコルのコンテキストで、プライバシー機密情報を管理し、必要であればそれを提供することをその責任とする、信頼されたコンポーネントである。
図1は、一例による、データネットワークにおいて、装置上で、または装置用に実行するアプリケーションと、サービングノードとの間での、クライアント装置に関連するプライベートデータの交換を制御するための方法の概略図である。
ユーザ101は、その後意図された(信頼された)リモート/クラウドサービス105と交信する、ローカルアプリケーション(アプリ)103を開始する。リモートサービス105は、ユーザの装置100とリモートサービス自体との間でやり取りされる情報のセキュア転送のために使用されるチャレンジデータ107を、固有素材の形式で、アプリ103に送信する。例えば、これは、悪意があると考えられるアタッカーによる反射攻撃を防ぐために使用される暗号学的に安全なランダムに生成された数とすることができ、または、さらなる鍵(複数可)もしくは機密情報の直接の秘密交換に使用される、公開鍵(もしくは、同等の公開鍵証明書)とすることができる。
アプリ103は、受信された素材107を、意図された使用のための機密情報/データ(の特定の部分)を使用するためにユーザ認可を要求し、また意図されたリモートサービスと相互作用する、TIM109に転送する。一例では、ユーザ101は、セキュアUIまたはGUI111を通して、TIMと相互作用し、情報をチェックして、全プロセスを承認するかまたは停止する。
TIM109は、ローカル(信頼されていないと考えられる)アプリ103に、意図された最終的な受信者によってのみ使用されるための、そのプライバシーおよび機密性を保持する要求された機密情報の処理済みバージョン113を戻す。例えば、簡単なパスワードの場合、TIMは、パスワードを開示せず、むしろ追加の素材(乱数/ノンス、セッションID、例えばリモートサービスによって提供される標準PKIを通して鍵検証が必要とされる場合の暗号鍵など)を使用して処理されたそのバージョンを提供する。処理済みバージョンは、サービスで使用される難読化プライベートデータであり、ユーザのプライベートデータの使用の認可へのリクエストに応じて、装置のユーザによって提供される認可に基づいて、信頼された情報マネージャからアプリケーションに送信される。
アプリ103は、TIMからの情報113を、必要に応じて追加の必要な情報といっしょに、リモートサーバ105に転送するが、アプリ103は、概してTIM109とリモートサービス105との間で交換されているプライバシー機密情報/データ113の知識を得ることができない、ということに留意されたい。
ユーザ101は、例えばローカルアプリ103ユーザインタフェースを通して、リモートサービス105を使用し、PSIデータに対して特別な動作を行うことが必要となる場合はいつでもセキュアUI111に戻る可能性があり、例えば、リモートサービスパスワードの変更/更新の場合には、このようなユーザのTIM109との直接相互作用を必要とし、アドレス帳登録の表示、変更、更新の場合は、セキュアUI111を通したこのような相互作用が必要となる、などである。
図1に関連して説明されたプロトコルに参加する様々なパーティによって行われる機能は、一例による、データネットワークにおいて、装置上で、または装置用に実行するアプリケーションと、サービングノードとの間での、クライアント装置に関連するプライベートデータの交換を制御するための方法のさらなる概略図である図2において、また明らかにされる。
図2に関して、ユーザ201は、例えばインターネットまたはクラウドベースネットワークなどのデータネットワーク(図示せず)の一部としてのサービングノード上で、またはサービングノードとして実行するリモートサービス205を利用するアプリケーション203を使用するために、クライアント装置200と相互作用する。アプリケーション203は、メモリや処理ユニットなどの、それの典型的なコンポーネントを使用して、クライアント装置201上で実行され得るか、または、ユーザ201が、アプリケーション203との使用に関連する、もしくはそれ向けの装置200上のインタフェースを使用して、アプリケーション203と相互作用するように、クライアント装置に対して遠隔で実行され得る。例えば、アプリケーション203は、装置200から遠隔であるサーバ上で実行されてよく、この装置は、ユーザ201がアプリケーション203と相互作用することを可能にするユーザインタフェースを含むことができる。
信頼された情報マネージャ207は、装置200用に、またはそれの一部として提供される。例えば、マネージャ207は、システムのその他から、具体的にはアプリケーション203から隔離される装置200内のハードウェアまたはソフトウェアモジュールとすることができる。それは、ソフトウェアのみ、標準的OSレベル保護隔離から、信頼されたブート隔離などのハードウェア補助式隔離などにわたる多くの技術を使用して隔離され得る。信頼された情報マネージャ207は、リモートサービス205からのリクエストに基づき、またアプリケーションとリモートサービスとの間での使用のために、プライベートデータ209の難読化バージョンを、アプリケーション203に提供することによって、装置200上で、または装置200用にプログラムが実行するアプリケーション203による、クライアント装置200に関連する(また、場合によってはユーザ201との関連による)プライベートデータへの直接のアクセスを防ぐ。このため、アプリケーション203にリンクされ得る意図されないリモートサービス211は、プライベートデータ209を使用することができなくなる。
信頼された情報マネージャ207とユーザ201との間のセキュアユーザインタフェース213は、意図されたリモートサービングノード205用のアプリケーション203を用いた、プライベートデータ209を使用できるようにするための認可に対するユーザ201へのリクエスト用に使用される。セキュアUI213は、ユーザ201が、間違って信頼されていない相互作用を信頼された相互作用と見なし得ないように、ユーザの装置200の設計に組み入れられてよい。
ステップ1で、ユーザ201は、アプリケーション203またはサービス205を開始する。ステップ2で、アプリケーション203は、サービス205へのアクセスを要求する。ステップ2’で、装置200および/またはユーザ201に関連するユーザIDを含むことができる乱数215が生成される。ステップ3で、この乱数215は、アプリケーション203に送られる。アプリケーション203は、このデータをサービス205IDで増強し、組み合わせられたものは、ステップ4でTIM207に送られる。ステップ5で、プライベートデータ209を使用するために、UI213を使用して、ユーザ201に認可が要求される。暗証番号、パスワード、または、例えば生体認可を含む何らかの他の形式による適切な認可が提供され得る。
ステップ5’で、データ209のハッシュ化または暗号化バージョンが生成され、ステップ6で、これはアプリケーション203に送られる。ステップ6’で、データ209のハッシュ化または暗号化バージョンは、アプリケーション203からサービス205に送られ(ステップ7)、ステップ7’で、その真正性を決定するために、データがサービス205によってチェックされる。データが改ざんされている場合、または別の理由で予想と違う場合、プロセスを終了することができる。それ以外の場合、ステップ8で、サービス205は、アプリケーションによる使用のために、サービスコンテンツデータを、アプリケーション203に送信し、ステップ8’で、ユーザ201、装置200、およびアプリケーション203に、またそれらから送信される。
プライバシー機密データのセキュリティと機密性を危うくする可能性のあるローカルアプリケーションとのユーザの直接の相互作用のない方法が提供される。
TIMとの各相互作用では、信頼されたGUI要素を使用した、一例によるユーザ認可を必要とするため、信頼されていないと考えられるコンポーネント/アプリケーションが、例えばユーザとして、正当なユーザのリモートサービスに対する認可を望んで、TIMの機能を使用することによって、リモート信頼されていないリモートサービスとの間のゲートウェイとして振る舞おうとするアタックは不可能になることに留意されたい。実際には、ユーザは、彼等がリモートサービスを使用していない時に、PSIの使用を認可するよう求められていれば、直ちにそれを検出するであろう。
一例では、TIMは、同じ装置上で実行している他の信頼されていないアプリケーションから隔離される。これは、最も単純な場合は、典型的なOSレベル保護隔離手段を使用して、最もプライバシーを必要とする場合は信頼されたハードウェアを使用して、実現され得る。
一例によれば、記載されたシステムは、モバイルプラットフォームOS内で使用可能にされる、アプリケーション開発者用のソフトウェアコンポーネントおよびAPIのセットとして実現され得る。例えば、TIMは、OS内のコンポーネントとして実現され得る。モバイルプラットフォームにおけるセキュアUIのユーザとの相互作用は、プラットフォーム内に、GUIサブシステムの不可欠な部分としてTIMを備えることによって、また、例えばその間はTIMなどの信頼されたGUI要素の視覚化のみが許可されるような信頼された相互作用が起こっていることを示す、装置の特別な「信頼された」ボタンを押す、または装置上の特別な「信頼された」LEDを点灯させる、などのユーザとの特別な相互作用を有することによって、提供され得る。例えば、特定のオンラインサービス用の特定のパスワードの使用に対してユーザ認可を要求すること、および/またはユーザに、パスワードデータベースを復号するために必要とされるPINもしくはパスワードもしくはパスフレーズを提供するよう求めること、などである。相互作用と物理設計は、悪意あるコンポーネント/アプリケーションが、TIMの信頼された相互作用および信頼されたGUIをエミュレートできないようにするものにできる。このような相互作用は、例えば、オンラインサービス用のパスワードを変更するようユーザを促すかもしれないが、ユーザは、新しいパスワードを、TIMではなく悪意あるコンポーネントに配信するだろう。しかしながら、TIMと何らかの信頼された相互作用モデルとの結合は、この種のアタックを防ぐのに十分とすることができる。セキュアユーザインタフェースは、例えばグローバルプラットフォームからの信頼された実行環境(TEE:Trusted Execution Environment)規格を使用して実装することができる。
信頼された情報マネージャは、システムのその他、具体的にはプライバシー機密情報を要求するアプリケーションから隔離される。ソフトウェアのみ 標準的OSレベル保護隔離から、信頼されたブートや上記TEE仕様などのハードウェア補助式隔離にわたるこのような隔離を実現するために、多くの技術が活用され得る。
従って、一例によれば、データネットワークにおいて、装置上で、または装置用に実行するアプリケーションと、サービングノードとの間での、クライアント装置に関連するプライベートデータの交換を制御するための方法およびシステムが提供される。すなわち、(ローカルまたはリモートいずれかの)サービス用のユーザのプライバシー機密情報を、PSIデータ(パスワード、電話帳登録など)の知識を、信頼されたコンポーネント、すなわちTIMの境界内に閉じ込めるやり方で、管理するための方法およびシステムが提供される。これは、要求されたデータ交換プロトコルのコンテキスト内で必要とされるPSIデータを処理することができるので、PSIデータは、ローカル装置に追加でインストールされた悪意があると見られるソフトウェアアプリケーションまたはコンポーネントと、ユーザによって正当な/意図されたリモートサービスと相互作用するために使用される主要なアプリケーションそのものとの両方を含む、外部の世界に決して開示されない。これによって、悪意あるサードパーティエンティティが、機密データのコピーを取得することや、その後の相互作用で、ユーザ認可なしにそのコピーを使用することが確実に不可能になる。例えば、提案された機構は、リモート電子メールへのアクセスのために、アプリケーションが装置内でローカルに使用または実行されるか否かに関わらず、オンライン電子メールシステムへのアクセスに使用される<ユーザ名、パスワード>ペアがローカル装置のみに知られていて、信頼されていないサードパーティには決して送信されないことを確実にするために、使用され得る(すなわち、例では、電子メールクライアントは、パスワードをクリアテキストで決して見ることはできない)。
本発明は、他の特定の装置および/または方法で具体化されてよい。前述の実施形態は、あらゆる点で、例示的であって限定的ではないと考えられるものである。より詳細には、本発明の範囲は、本明細書の記述および図面によってではなく、むしろ添付の特許請求の範囲によって示される。特許請求の範囲と均等な趣旨および範囲に属する変更は、すべて本発明の範囲内に包含されるものである。

Claims (15)

  1. データネットワークにおいて、装置(100;200)上で、または装置(100;200)用に実行するアプリケーション(103;203)とサービングノードとの間での、クライアント装置(100;200)に関連するプライベートデータの交換を制御するための方法であって、
    プライベートデータの使用を要求するサービス(105;205)へのアクセスのためのリクエストを、アプリケーション(103;203)から、サービングノードに送信するステップ(1)と、
    サービングノードからのチャレンジデータ(107)を、アプリケーション(103;203)で受信するステップ(3)と、
    チャレンジデータ(107)に基づき、クライアント装置(100;200)のセキュアユーザインタフェース(111;213)を使用して、信頼された情報マネージャ(109;207)に、プライベートデータの使用に対する認可を要求するステップ(5)と、
    アプリケーション(103;203)が、プライベートデータの知識を得ることができないように、認可に基づいて、サービス(105;205)で使用されるプライベートデータの難読化バージョン(113)を、信頼された情報マネージャ(109;207)からアプリケーション(103;203)を介して、サービングノードに送信するステップ(6)と
    を含む、方法。
  2. チャレンジデータ(107)が、暗号学的に安全な乱数、または公開鍵、またはシーケンス番号を含む、請求項1に記載の方法。
  3. プライベートデータの難読化バージョン(113)が、プライベートデータの暗号学的ハッシュまたは暗号化バージョンを含む、請求項1または2に記載の方法。
  4. プライベートデータの難読化バージョン(113)が、チャレンジデータ(107)と組み合わせて生成される、請求項3に記載の方法。
  5. 信頼された情報マネージャ(109;207)が、アプリケーション(103;203)から動作上隔離される、請求項1から4のいずれか一項に記載の方法。
  6. チャレンジデータが、サービス(105;205)に対する識別子、ならびに/または、サービス(105;205)および/もしくはアプリケーション(103;203)上で実行される意図された動作との組合せで、アプリケーション(103;203)から、信頼された情報マネージャ(109;207)に送信される、請求項1から5のいずれか一項に記載の方法。
  7. 装置(100;200)上で、または装置(100;200)用にプログラムが実行する信頼されていないアプリケーション(103;203)による、クライアント装置(100;200)に関連するプライベートデータへの直接のアクセスを防ぐための方法であって、
    信頼されていないアプリケーション(103;203)がプライベートデータの知識を得ることができないように、リモートサービス(105;205)からのリクエストに基づき、また信頼されていないアプリケーション(103;203)とリモートサービス(105;205)との間で使用するために、プライベートデータの難読化バージョン(113)を、信頼されていないアプリケーション(103;203)に送信するための、装置の信頼された情報マネージャ(109;207)を使用するステップ
    を含む、方法。
  8. 装置(100;200)と信頼された情報マネージャ(109;207)との各相互作用が、ユーザ認可を要求する、請求項1から7のいずれか一項に記載の方法。
  9. 装置(100;200)上で、または装置(100;200)用に実行するアプリケーション(103;203)と、アプリケーション(103;203)から、プライベートデータの使用を要求するサービス(105;205)へのアクセスのためのリクエスト(2)を受信するように、かつチャレンジデータ(107)をアプリケーション(103;203)に送信する(3)ように動作可能な、データネットワークにおけるサービングノードとの間での、クライアント装置(100;200)に関連するプライベートデータの交換を制御するためのシステムであって、
    チャレンジデータ(107)に基づいて、プライベートデータの使用に対する認可のリクエストを受信する(5)ための、クライアント装置(100;200)のセキュアユーザインタフェース(111;213)と、
    アプリケーション(103;203)が、プライベートデータの知識を得ることができないように、認可に基づいて、サービス(105;205)で使用されるプライベートデータの難読化バージョン(113)を、アプリケーション(103;203)を介して、サービングノードに送信するための、信頼された情報マネージャ(109;207)と
    を備える、システム。
  10. 信頼された情報マネージャ(109;207)が、アプリケーションから動作上隔離される、請求項9に記載のシステム。
  11. 信頼された情報マネージャ(109;207)が、サービス(105;205)に対する識別子、ならびに/または、サービス(105;205)および/もしくはアプリケーション(103;203)上で実行される意図された動作との組合せで、アプリケーション(103;203)から送信された(4)チャレンジデータ(107)を受信する、請求項9または10に記載のシステム。
  12. プライベートデータの使用のために、リモートサービス(105;205)から、信頼されていないアプリケーション(103;203)に送信されたリクエストに基づき、プライベートデータが関連付けられる装置(100;200)上で、または装置(100;200)用にプログラムが実行する信頼されていないアプリケーション(103;203)に、プライベートデータの難読化バージョン(113)を送信する信頼された情報マネージャ(109;207)であって、難読化バージョン(113)が、信頼されていないアプリケーション(103;203)とリモートサービス(105;205)との間で使用されるものであり、それによって、信頼されていないアプリケーション(103;203)は、プライベートデータの知識を得ることができない、信頼された情報マネージャ(109;207)。
  13. プライベートデータの暗号学的ハッシュまたは暗号化バージョンを生成することによって、プライベートデータを難読化する(6)ように動作可能な、請求項12に記載の信頼された情報マネージャ。
  14. アプリケーション(103;203)から動作上隔離される、請求項12または13に記載の信頼された情報マネージャ。
  15. コンピュータ可読プログラムコードを備えたコンピュータプログラムであって、前記コンピュータ可読プログラムコードが、請求項1から8のいずれか一項に記載されるように、データネットワークにおいて、装置(100;200)上で、または装置(100;200)用に実行するアプリケーションとサービングノードとの間での、クライアント装置(100;200)に関連するプライベートデータの交換を制御するための方法を実施するために、実行されるように構成される、コンピュータプログラム。
JP2016541835A 2013-09-13 2014-08-18 プライバシー機密情報の交換を制御するための方法およびシステム Active JP6590807B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP13360029.6A EP2849403B1 (en) 2013-09-13 2013-09-13 Method and system for controlling the exchange of privacy-sensitive information
EP13360029.6 2013-09-13
PCT/EP2014/002263 WO2015036087A1 (en) 2013-09-13 2014-08-18 Method and system for controlling the exchange of privacy-sensitive information

Publications (2)

Publication Number Publication Date
JP2016531528A JP2016531528A (ja) 2016-10-06
JP6590807B2 true JP6590807B2 (ja) 2019-10-16

Family

ID=49356371

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016541835A Active JP6590807B2 (ja) 2013-09-13 2014-08-18 プライバシー機密情報の交換を制御するための方法およびシステム

Country Status (5)

Country Link
US (1) US10237057B2 (ja)
EP (2) EP4246892A3 (ja)
JP (1) JP6590807B2 (ja)
ES (1) ES2947562T3 (ja)
WO (1) WO2015036087A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10701039B2 (en) * 2015-09-25 2020-06-30 Intel Corporation Mutual approval for privacy-preserving computing
US10057255B2 (en) 2016-07-20 2018-08-21 Bank Of America Corporation Preventing unauthorized access to secured information systems using multi-device authentication techniques
US10057249B2 (en) 2016-07-20 2018-08-21 Bank Of America Corporation Preventing unauthorized access to secured information systems using tokenized authentication techniques
US10148646B2 (en) 2016-07-20 2018-12-04 Bank Of America Corporation Preventing unauthorized access to secured information systems using tokenized authentication techniques
JP6904183B2 (ja) 2017-09-12 2021-07-14 富士通株式会社 情報処理装置、プログラム及び情報処理方法
US10715471B2 (en) * 2018-08-22 2020-07-14 Synchronoss Technologies, Inc. System and method for proof-of-work based on hash mining for reducing spam attacks
US10826855B2 (en) * 2018-10-19 2020-11-03 Citrix Systems, Inc. Computing system with an email privacy filter and related methods
CN113014386B (zh) * 2021-03-30 2023-06-02 宋煜 基于多方协同计算的密码系统
GB2609438B (en) * 2021-07-30 2023-10-18 Trustonic Ltd Secure user interface side-channel attack protection
EP4145762B1 (en) * 2021-09-06 2023-10-25 Axis AB Method and system for enabling secure processing of data using a processing application
CN115438734B (zh) * 2022-09-09 2024-09-06 中国电信股份有限公司 模型训练方法及系统、计算机可读存储介质和电子设备

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6694431B1 (en) * 1999-10-12 2004-02-17 International Business Machines Corporation Piggy-backed key exchange protocol for providing secure, low-overhead browser connections when a server will not use a message encoding scheme proposed by a client
WO2002019593A2 (en) * 2000-08-30 2002-03-07 Telefonaktiebolaget Lm Ericsson (Publ) End-user authentication independent of network service provider
US7444513B2 (en) * 2001-05-14 2008-10-28 Nokia Corporiation Authentication in data communication
FI20031860A0 (fi) * 2003-12-18 2003-12-18 Nokia Corp Päätelaitteen sovellusten valvonta verkkoympäristössä
US7607164B2 (en) * 2004-12-23 2009-10-20 Microsoft Corporation Systems and processes for managing policy change in a distributed enterprise
EP1705941A1 (en) * 2005-03-24 2006-09-27 BRITISH TELECOMMUNICATIONS public limited company Secure communication of password information in a network
US20070028098A1 (en) * 2005-07-28 2007-02-01 International Business Machines Corporation Encrypting units of work based on a trust level
EP1862948A1 (en) * 2006-06-01 2007-12-05 Axalto SA IC card with OTP client
TWI435272B (zh) 2007-12-07 2014-04-21 Ibm 基於行動智慧卡之鑑認
US20100313019A1 (en) * 2007-12-10 2010-12-09 Francois Malan Joubert Method and system for managing a software application on a mobile computing device
US20100037050A1 (en) * 2008-08-06 2010-02-11 Cuneyt Karul Method and apparatus for an encrypted message exchange
US20100122082A1 (en) * 2008-10-08 2010-05-13 Leiwen Deng User identity validation system and method
US8644800B2 (en) * 2011-02-15 2014-02-04 Blackberry Limited System and method for identity management for mobile devices
FI20115945A0 (fi) * 2011-09-28 2011-09-28 Onsun Oy Maksujärjestelmä

Also Published As

Publication number Publication date
EP2849403C0 (en) 2023-06-07
EP4246892A3 (en) 2023-11-08
EP4246892A2 (en) 2023-09-20
WO2015036087A1 (en) 2015-03-19
US10237057B2 (en) 2019-03-19
US20160182221A1 (en) 2016-06-23
EP2849403B1 (en) 2023-06-07
EP2849403A1 (en) 2015-03-18
JP2016531528A (ja) 2016-10-06
ES2947562T3 (es) 2023-08-11

Similar Documents

Publication Publication Date Title
JP6590807B2 (ja) プライバシー機密情報の交換を制御するための方法およびシステム
US9875368B1 (en) Remote authorization of usage of protected data in trusted execution environments
KR102443857B1 (ko) 암호화키를 사용한 신뢰 실행 환경의 어드레싱 기법
US10666642B2 (en) System and method for service assisted mobile pairing of password-less computer login
US9998438B2 (en) Verifying the security of a remote server
CA3035817A1 (en) System and method for decentralized authentication using a distributed transaction-based state machine
WO2017036310A1 (zh) 验证信息的更新方法及装置
JP2017521934A (ja) クライアントとサーバとの間の相互検証の方法
JP2019530265A (ja) グラフィックコード情報を提供及び取得する方法及び装置並びに端末
JP2016506107A (ja) 仮想マシンのための管理制御方法、装置及びシステム
GB2554082B (en) User sign-in and authentication without passwords
Krawiecka et al. Safekeeper: Protecting web passwords using trusted execution environments
Bui et al. {Man-in-the-Machine}: Exploiting {Ill-Secured} Communication Inside the Computer
US10764294B1 (en) Data exfiltration control
Panos et al. A security evaluation of FIDO’s UAF protocol in mobile and embedded devices
CN114270386A (zh) 用于同意架构的认证器应用
Singh et al. OAuth 2.0: Architectural design augmentation for mitigation of common security vulnerabilities
KR20090054774A (ko) 분산 네트워크 환경에서의 통합 보안 관리 방법
Binu et al. A mobile based remote user authentication scheme without verifier table for cloud based services
KR101619928B1 (ko) 이동단말기의 원격제어시스템
Grassi et al. Draft nist special publication 800-63b digital identity guidelines
Kim et al. Secure user authentication based on the trusted platform for mobile devices
Akama et al. Scrappy: SeCure Rate Assuring Protocol with PrivacY
Balisane et al. Trusted execution environment-based authentication gauge (TEEBAG)
US11977647B2 (en) Method, server and system for securing an access to data managed by at least one virtual payload

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160414

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170509

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170712

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190917

R150 Certificate of patent or registration of utility model

Ref document number: 6590807

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250