JP6719413B2 - セキュリティゲートウェイ装置、方法、及びプログラム - Google Patents
セキュリティゲートウェイ装置、方法、及びプログラム Download PDFInfo
- Publication number
- JP6719413B2 JP6719413B2 JP2017063686A JP2017063686A JP6719413B2 JP 6719413 B2 JP6719413 B2 JP 6719413B2 JP 2017063686 A JP2017063686 A JP 2017063686A JP 2017063686 A JP2017063686 A JP 2017063686A JP 6719413 B2 JP6719413 B2 JP 6719413B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- privacy
- application
- control unit
- gateway device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、上記課題を解決すべくなされたもので、IoTデバイスから収集されるデータを、セキュリティ及びプライバシに配慮して利活用することを目的とする。
(2)本発明の一態様は、上記(1)に記載のセキュリティゲートウェイ装置において、前記プライバシ制御部は、前記プライバシポリシーに基づいて、データの前記所有者のプライバシに関わらないデータを取得する。
(3)本発明の一態様は、上記(1)又は上記(2)に記載のセキュリティゲートウェイ装置において、前記検証部は、前記データが偽造されたものであるか否かを検証する。
(4)本発明の一態様は、上記(1)から上記(3)のいずれか一項に記載のセキュリティゲートウェイ装置において、前記検証部は、前記データが異常値であるか否かを検証する。
(5)本発明の一態様は、上記(1)から上記(4)のいずれか一項に記載のセキュリティゲートウェイ装置において、前記検証部は、前記データの取得元が不正であるか否かを検証する。
(6)本発明の一態様は、上記(1)から上記(5)のいずれか一項に記載のセキュリティゲートウェイ装置において、前記送信部は、前記データの品質の検証結果と前記データとに基づいて生成した電子署名とを、前記データに付して送信する。
(7)本発明の一態様は、グローバルクラウドとローカルクラウドとの接点に設置されるセキュリティゲートウェイ装置が実行する方法であって、アプリケーションサーバに記憶されたアプリケーションによって、前記グローバルクラウドを経由して、前記ローカルクラウドに記憶されているIoTデバイスから収集されるデータへのアクセス要求があった場合に、前記アプリケーションサーバが設置された国の法律にまたはガイドライン応じて、前記アクセス要求の正当性を検証するステップと、前記正当性の検証の結果が成功であった場合に、前記データの所有者のプライバシポリシーに基づいて、前記データを取得するステップと、取得した前記データの品質を検証するステップと、前記データの品質の検証結果と前記データとを、前記アプリケーションへ送信するステップとを有し、前記プライバシポリシーは、アプリケーションの種別に対応付けて、データの種別ごとにデータの所有者がデータの提供を認可するか否かを規定する、方法である。
(8)本発明の一態様は、ローバルクラウドとローカルクラウドとの接点に設置されるセキュリティゲートウェイ装置のコンピュータに、アプリケーションサーバに記憶されたアプリケーションによって、前記グローバルクラウドを経由して、前記ローカルクラウドに記憶されているIoTデバイスから収集されるデータへのアクセス要求があった場合に、前記アプリケーションサーバが設置された国の法律またはガイドラインに応じて、前記アクセス要求の正当性を検証するステップと、前記正当性の検証の結果が成功であった場合に、前記データの所有者のプライバシポリシーに基づいて、前記データを取得するステップと、取得した前記データの品質を検証するステップと、前記データの品質の検証結果と前記データとを、前記アプリケーションへ送信するステップとを実行させ、前記プライバシポリシーは、アプリケーションの種別に対応付けて、データの種別ごとにデータの所有者がデータの提供を認可するか否かを規定する、プログラムである。
(クラウド環境)
実施形態に係るセキュリティゲートウェイ装置が使用されるクラウド環境の一例について説明する。
セキュリティゲートウェイ装置が使用されるクラウド環境の一例は、KaaS(Knowledge−as−a−Service)と呼ばれる効率的な知識共有や、活用を実現するプラットフォームを発展させて、複数のローカルクラウドを有機的に結合したグローバルクラウドである。ここで、ローカルクラウドは、ある地域に構築されたローカルシステムである。換言すれば、ローカルクラウドは、IoTデバイスから送られたデータが蓄積される一次データベースである。また、グローバルクラウドは、アプリケーションが動作する実行環境である。換言すれば、グローバルクラウドは、アプリケーションが動作するクラウドサービスである。
実施形態に係るセキュリティゲートウェイ装置は、グローバルクラウド上において、IoTデバイスから収集されるデータをセキュリティ及びプライバシに配慮して利活用するために、グローバルクラウドとローカルクラウドとの接点に設置される。
セキュリティゲートウェイ装置は、セキュリティの観点から、ローカルクラウド上のデータの管理者の定める条件に応じて、ローカルクラウド上のデータに対して、アクセス制御を実施する。データの管理者は、ローカルクラウド毎に複数存在することが想定される。データの管理者は、データの提供先の国に応じて、アクセス制御に関して、異なる条件を設定することが想定される。
セキュリティゲートウェイ装置は、アプリケーションサーバが設置された国の法律やガイドラインに応じて、アクセス制御を実施する。ローカルクラウド上のデータの所有者は、プライバシの観点から、アプリケーションの種別に応じてデータを提供するか否かを自身の意思で選択できる。セキュリティゲートウェイ装置は、データの所有者毎の認可状況に応じて、データを提供する。セキュリティゲートウェイ装置は、提供するデータの品質を検証する。セキュリティゲートウェイ装置は、データの品質を検証した結果を第三者が確認できるように、データの品質を検証した結果に基づいて電子署名作成する。セキュリティゲートウェイ装置は、作成した電子署名をデータに付与して送出する。以下、セキュリティゲートウェイ装置の詳細について説明を続ける。
図1は、実施形態に係るセキュリティゲートウェイ装置の一例を示す図である。
実施形態に係るセキュリティゲートウェイ装置100は、前述したように、グローバルクラウドとローカルクラウドとの接点に設置される。
セキュリティゲートウェイ装置100は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置等を備え、セキュリティゲートウェイ装置プログラムを実行する。セキュリティゲートウェイ装置100は、セキュリティゲートウェイ装置プログラムの実行によって、データ品質制御部102、アクセス制御部104、プライバシ制御部106、セキュリティポリシー管理部108、トークンDB110、ユーザDB112、及びセキュリティポリシーDB114を備える装置として機能する。
なお、セキュリティゲートウェイ装置100の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されてもよい。セキュリティゲートウェイ装置プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。セキュリティゲートウェイ装置プログラムは、電気通信回線を介して送信されてもよい。
以下、セキュリティゲートウェイ装置100の各機能ブロックを説明するに当たり、セキュリティゲートウェイ装置100が、主に実行するトークンの発行処理とデータの抽出処理に関連付けて説明する。
トークンの発行処理について説明する。アクセス制御部104は、アプリケーションから、グローバルクラウドを経由して、ローカルクラウド上に記憶されているデータに対してアクセス要求があった場合に、セキュリティポリシーと、アプリケーションが有するプライバシ証明書とに基づいて、トークンを発行する。ここで、アプリケーションは、REST(Representational State Transfer)ベースで、SSL(Secure Sockets Layer)を利用してアクセス要求を行う。セキュリティポリシーは、セキュリティポリシーDB114から取得される。セキュリティポリシーDB114には、アプリケーションの種別毎に、異なるレベルの管理者と、DBの種別毎に、アプリケーションの設置国別のトークンの有効期間とプライバシデータか非プライバシデータかを示すプライバシ情報とが関連付けられている。各セキュリティポリシーは、データの管理者により階層的に定められている。プライバシ証明書は、各国の認証局によって発行され、且つアプリケーションの挙動を規定する。プライバシ証明書は、アプリケーションに追加され、該アプリケーションが取得できるデータを規定する。データは、DBに含まれる。トークンは、アプリケーションがデータへアクセスするために必要となる。本実施形態では、トークンはメッセージ認証コードを作成するための共通鍵である。例えば、トークンの一例は、HMAC−SHA256用の共通鍵である。
アプリケーションの種別は、例えば、医療に関するアプリケーション、位置情報の提供に関するアプリケーション等のアプリケーションの種類である。データの種別は、例えば、医療に関するデータ、位置に関するデータ等のデータの種類である。データは、プライバシに関わるデータとプライバシに関わらないデータとに分類される。以下、プライバシに関わるデータを含むデータベースを、「プライバシデータベース」といい、プライバシに関わるデータを含まないデータベースを、「非プライバシデータベース」という。つまり、非プライバシデータベースは、プライバシに関わらないデータを含む。DBに関して、プライバシデータベースと非プライバシデータベースとを区分しない場合について説明を続ける。この場合、プライバシデータベース、及び非プライバシデータベースに対して、DBのIDとして、通し番号が付される。
セキュリティポリシーは、データの種別ごとにプライバシの有無(すなわち、プライバシデータか非プライバシデータかを示すプライバシ情報)を規定する。セキュリティポリシーは、複数の管理者の各々について設定される。
セキュリティポリシーは、アプリケーションの識別情報等のアプリケーションの種別(Application ID)ごとに、複数の管理者に対して、データが含まれる複数のDBの各々について、第1ドメインへのデータの提供期間と、プライバシ情報とを規定する。
図2において、「UK」及び「JP」は、アプリケーションサーバが設置されている国名を表し、「h」、「d」及び「m」はそれぞれ提供期間の単位である時間、日及び月を表し、「プライバシ」及び「非プライバシ」はそれぞれ「プライバシ有り」及び「プライバシ無し」を表している。数値「0」は、トークンが発行されないことを表している。例えば、「UK:1h、JP:2m、非プライバシ」は、UK国のアプリケーションに発行するトークンの有効期間が1時間、JP国のアプリケーションに発行するトークンの有効期間が2か月、プライバシ情報が「プライバシ無し」を表す。
セキュリティポリシー管理部108は、アプリケーションからトークン発行の要求を受信すると、セキュリティポリシーDB114から、トークンの発行を要求するアプリケーションの種別に対応するセキュリティポリシーを取得する。次に、セキュリティポリシー管理部108は、取得したセキュリティポリシーに基づいて、プライバシ証明書に規定されたデータベースの種別に関連付けられた、アプリケーションサーバの設置国への提供期間であって、複数の管理者に関連付けられたそれぞれの提供期間を含むトークンの有効期限のリストを取得する。
例えば、図2に示されるセキュリティポリシーDB114の場合、セキュリティポリシー管理部108は、アプリケーションAについてのセキュリティポリシーにおいて、データベースの種別に合致するのがDB1で、アプリケーションサーバの設置国がJPとすると、セキュリティポリシー管理部108は、管理者1が設定したJPへの提供期間である2か月と、管理者2が設定したJPへの提供期間である2時間と、・・・、管理者Mが設定したJPへの提供期間である5時間とを含むトークンの有効期限のリストを取得する。
また、セキュリティポリシー管理部108は、取得したセキュリティポリシーに基づいて、プライバシ証明書に規定されたデータベースの種別に関連付けられた、プライバシデータか非プライバシデータかを示すプライバシ情報を含むプライバシ情報のリストを取得する。
次に、アクセス制御部104は、トークンを生成し、生成したトークンに、算出した有効期限を対応付けてトークンDB110に記憶する。アクセス制御部104は、有効期限が設定されたトークンをアプリケーションに発行する。トークンは、メッセージ認証コードの共通鍵として生成される。アクセス制御部104は、生成したトークンをトークンDB110に保管する。
図3は、トークンDBの一例を示す図である。トークンDB110は、図3に示すように、トークンと、アプリケーションサーバの設置国と、アプリケーションIPと、アプリケーションの種別と、データの種別と、プライバシ情報と、トークンの有効期限とを関連付けて記憶する。アプリケーションは、セキュリティゲートウェイ装置100が発行したトークンを取得する。
データの抽出処理について説明する。トークンを取得したアプリケーションは、グローバルクラウドを経由してローカルクラウド上のデータへアクセス要求を実行する。アプリケーションは、ローカルクラウド上のデータへアクセス要求を実行する際に、アプリケーションサーバの設置国、アプリケーションの種別、データ種別、ユーザの所有者の属性、クエリ、タイムスタンプ、メッセージ認証コードを送信する。メッセージ認証コードは、アプリケーションサーバの設置国、アプリケーションの種別、データ種別、ユーザの所有者の属性、クエリ、タイムスタンプ等のパラメータを連結したものに対して、トークンを共通鍵とするハッシュ関数を施すことにより作成される。
具体的には、アクセス制御部104は、アプリケーションサーバの設置国、アプリケーションの種別、データ種別、ユーザの所有者の属性、クエリ、タイムスタンプ等のパラメータの連結に対して、トークンを共通鍵とするハッシュ関数を施すことによって、ハッシュ値を算出する。例えば、アクセス制御部104は、ハッシュ関数としてSHA256と使用するHMAC−SHA256(HMAC: Hash−based Message Authentication Code)を用いて、ハッシュ値を算出してもよい。次に、アクセス制御部104は、算出したハッシュ値とメッセージ認証コードとが一致するか否かを判定し、一致する場合に発行したトークンを用いてメッセージ認証コードが生成されたものであると判定する。
アクセス制御部104は、アクセス要求を受信した時刻が、取得したトークンに対応付けられた有効期限より早い時刻である場合に、トークンの有効期限内であると判定する。
アクセス制御部104は、データ取得の要求の受信時刻が、パラメータに含まれるタイムスタンプ(例えば、データ取得の要求の送信時刻)から一定期間内である場合、データ取得の要求が一定期間内のものであると判定する。
アクセス対象のデータが、該データの所有者のプライバシに関わるデータである場合、アクセス制御部104は、ローカルクラウド上のデータベースから、アクセス対象のデータを抽出し、抽出したデータに対してプライバシ保護手法を適用し、プライバシ保護手法を適用したデータを、グローバルクラウドを経由して、アプリケーションへ返信する。
具体的には、プライバシ制御部106は、アクセス制御部104が出力したアクセス要求に基づいて、アクセス対象のデータの所有者の属性を用いて、ユーザDB112から、データの所有者の識別子を読み出す。
図4は、ユーザDBの一例を示す図である。ユーザDB112は、DBの識別子等のDBの種別と所有者の識別子と属性とを対応付ける。図4に示される例では、種別の異なる複数のデータベースの各々について、データの所有者の識別子と該所有者の属性とを関連付けて記憶する。所有者の属性は、データベースに含まれる、男性、20代等のデータの所有者の属性である。プライバシ制御部106が、アプリケーションが送信するデータの所有者の属性情報とユーザDB112から読み出したデータの所有者の識別子とを利用することにより、クエリの中身を解釈する機能を有することなく、いかなる文法のクエリ言語にも対応することができる。
図5は、プライバシポリシーDBの一例を示す図である。プライバシポリシーDBには、複数のアプリケーションの種別の各々について、ユーザ識別情報などのデータの所有者とプライバシポリシーとを関連付けて記憶する。プライバシポリシーは、アプリケーションの種別に対応付けて、データの種別ごとにデータの所有者がデータの提供を認可するか否かを規定する。図5に示される例では、データの提供を認可する場合には「○」が記載され、許可しない場合には「×」が記載される。プライバシポリシーは、第2ドメインに設置されたローカルクラウドのプライバシポリシーDB210から取得される。
図6は、実施形態に係るグローバルクラウド環境におけるセキュリティゲートウェイ装置を示す図である。
セキュリティゲートウェイ装置100は、マルチクラウド環境において、グローバルクラウド300とローカルクラウド200との接点に設置される。図6に示される例では、セキュリティゲートウェイ装置100が、ローカルクラウド200に含まれる。
セキュリティゲートウェイ装置100の機能は、Web APIとして提供される。Web APIは、HTTPプロトコルを用いてネットワーク越しに呼び出すアプリケーション間、システム間のインタフェースである。
セキュリティゲートウェイ装置100は、第1ドメインに設置されたサーバに記憶されているアプリケーション400からグローバルクラウド300を介して要求されたデータを、第2ドメインに設置されたローカルクラウド200から抽出して、グローバルクラウド300を介してアプリケーション400に返す。
アプリケーション400は、グローバルクラウド300のグローバルクエリー制御部302を経由して、プライバシ証明書をパラメータとして、トークン発行を要求する。
セキュリティゲートウェイ装置100のアクセス制御部104は、プライバシ証明書とセキュリティポリシーDB114の有効期間とに基づいて、トークンの有効期限を設定し、トークンをトークンDB110に保管する。アクセス制御部104は、グローバルクエリー制御部302を経由してアプリケーション400にトークンを発行する。
トークンを有するアプリケーション400は、グローバルクラウド300のグローバルクエリー制御部302を経由して、アプリケーションサーバの設置国、アプリケーションの種別、データの種別、データの所有者の属性、クエリ(DBへの要求)、タイムスタンプ(例えば、当該データ取得の要求の送信時刻)、及びMAC等のメッセージ認証コードをパラメータとして、データ取得の要求をする。グローバルクエリー制御部302は、アプリケーション400からのクエリの内容に応じてクエリを振り分けるローカルクラウド200を決定する。
ローカルクエリー制御部202及びプライバシポリシー管理部204は、セキュリティゲートウェイ装置100が提供するAPIの機能を実現する上で必要となる外部サーバである。
ローカルクエリー制御部202は、プライバシ制御部106が出力したクエリの内容に応じて、クエリを振り分けるデータベースを決定し、クエリに基づくデータを抽出する。
プライバシポリシー管理部204は、プライバシポリシーDB210からプライバシポリシーを取得するために必要なインタフェースである。
セキュリティゲートウェイ装置100のプライバシ制御部106は、ローカルクエリー制御部202が抽出したデータからプライバシポリシーDB210に基づいてデータを選別する。プライバシ制御部106は、選別したデータが非プライバシデータである場合には、選別したデータに対してプライバシ保護手法を適用し、グローバルクエリー制御部302を経由してアプリケーションに返す。データ品質制御部102は、選別したデータが非プライバシデータである場合には、データの品質を検証し、検証した結果を、データに付与して、グローバルクエリー制御部302を経由してアプリケーションに返す。
アプリケーションは受信したデータに付与されている電子署名を、事前に取得していたセキュリティゲートウェイ装置100の公開鍵で検証する。セキュリティゲートウェイ装置100は、データの品質評価結果を確認する。そして、問題なければデータを活用する。
図7は、実施形態に係るセキュリティゲートウェイ装置の動作(その1)の一例を示すフローチャートである。図7は、セキュリティゲートウェイ装置100が、アプリケーションがローカルクラウド上のDBにアクセスするためのトークンを発行する処理を示す。
(ステップS102)アクセス制御部104は、アプリケーション400からプライバシ証明書をパラメータとして含むトークン発行の要求を取得する。アクセス制御部104は、プライバシ証明書に記載されている内容の正当性を検証する。
具体的には、アクセス制御部104は、プライバシ証明書の発行国が、リクエストヘッダのIPアドレス情報と同一国であるか否かを判断する。ここで、プライバシ証明書の発行国は、アプリケーションサーバの設置国と同一である。さらに、アクセス制御部104は、アプリケーションIPがリクエストヘッダのIPアドレス情報と同一であるか否かを判断する。ここで、アプリケーションIPは、アプリケーションサーバのIPアドレスを示す。さらに、アクセス制御部104は、DBサーバの設置国が、セキュリティゲートウェイ装置100が設置されている国と同一か否かを判断する。さらに、アクセス制御部104は、現在時刻が有効期限よりも早い時刻であるか否かを判断する。全ての判断がYESの場合、アクセス制御部104は、処理をステップS104に移し、いずれかの判断がNOの場合、アクセス制御部104は、所定のエラー処理を実行する。例えば、アクセス制御部104は、トークン発行の要求が、正常でないことを表すエラー情報を送信する。
(ステップS106)セキュリティポリシー管理部108は、プライバシ情報のリストからプライバシ証明書に記載されているデータの種別で指定されたデータベースが、非プライバシDBかプライバシDBかを決定する。セキュリティポリシー管理部108は、全ての管理者が非プライバシDBと設定している場合には非プライバシDBと決定し、それ以外の場合にはプライバシDBと決定する。
(ステップS110)アクセス制御部104は、トークンを生成する。
(ステップS112)アクセス制御部104は、ステップS110で生成したトークンと、プライバシ証明書に記載されているアプリケーションサーバの設置国、アプリケーションIP、アプリケーションの種別、データの種別、ステップS106で決定したプライバシ情報、及びステップS108で算出したトークンの有効期限とを関連付けて、トークンDB110に保管する。
(ステップS114)アクセス制御部104は、有効期限が設定されたトークンをアプリケーションに返す。その後、アクセス制御部104は、処理を終了する。
図8は、実施形態に係るセキュリティゲートウェイ装置の動作(その2)の一例を示すフローチャートである。図8は、セキュリティゲートウェイ装置100が発行したトークンを取得したアプリケーションが送信したデータ取得の要求に対して、ローカルクラウド200上のDBのデータを提供する処理を示す。また、図8は、データ取得の要求によって要求されたデータが、プライバシDBに含まれるときに、データの所有者のプライバシを保護する処理を示す。
(ステップS202)アクセス制御部104は、アプリケーションからデータ取得の要求を受信し、受信したデータ取得の要求に含まれるアプリケーションサーバの設置国、リクエストヘッダのIPアドレス情報(アプリケーションIP)、アプリケーションの種別、データの種別等のパラメータを用いて、トークンDB110を検索し、これらの情報に対応付けられているトークン及びトークンの有効期限を取得する。
(ステップS204)アクセス制御部104は、データ取得の要求を受信した時刻がトークンの有効期限より早い時刻か否かを判断する。データ取得の要求を受信した時刻がトークンの有効期限より早い時刻である場合、アクセス制御部104は、ステップS206の処理へ移行する。データ取得の要求を受信した時刻がトークンの有効期限より早い時刻でない場合、アクセス制御部104は、所定のエラー処理を実行する。例えば、アクセス制御部104は、データ取得の要求が正常でないことを表すエラー情報をアプリケーションに返す。その後、アクセス制御部104は、処理を終了する。データ取得の要求を受信した時刻がトークンの有効期限より早い時刻である場合について説明を続ける。
一致する場合、アクセス制御部104は、ステップS208の処理を実行する。一致しない場合、アクセス制御部104は、所定のエラー処理を実行する。例えば、アクセス制御部104は、データ取得の要求が正常でないことを表すエラー情報をアプリケーションに返す。その後、アクセス制御部104は、処理を終了する。一致する場合について説明を続ける。
(ステップS208)アクセス制御部104は、パラメータのタイムスタンプを用いて、データ取得の要求の受信時刻がタイムスタンプから一定期間内か否かを判断する。一定期間内である場合、アクセス制御部104は、ステップS210の処理を実行する。一定期間内でない場合、アクセス制御部104は、所定のエラー処理を実行する。例えば、アクセス制御部104は、データ取得の要求が正常でないことを表すエラー情報をアプリケーションに返す。その後、アクセス制御部104は、処理を終了する。一定期間内である場合について説明を続ける。
(ステップS212)アクセス制御部104は、クエリパラメータで指定されたクエリを用いて、ローカルクエリー制御部202が提供するWeb APIを経由してプライバシDB208からデータを抽出する。
(ステップS214)アクセス制御部104は、抽出したデータに対してプライバシ保護手法を適用し、グローバルクラウド経由で、アプリケーションに返す。その後、アクセス制御部104は、処理を終了する。
(ステップS216)ステップS210で、プライバシに関するデータでない場合、プライバシ制御部106は、ユーザ属性パラメータで指定されたデータの所有者の属性を用いて、ユーザDB112を検索し、該当するデータの所有者のリストを取得する。
(ステップS218)プライバシ制御部106は、アプリケーションの種別とステップS216で取得した所有者のリストとを用いて、セキュリティポリシー管理部108が提供するWeb APIを経由して、プライバシポリシーDB210から、該当するデータの所有者のプライバシポリシーを取得する。
(ステップS222)プライバシ制御部106は、クエリパラメータで指定されたクエリを用いて、ローカルクエリー制御部202が提供するWeb APIを経由して、非プライバシDB206からデータを取得する。
(ステップS224)プライバシ制御部106は、ステップ216で作成したデータの提供者のリストを用いて、ステップS222で取得したデータのうち、提供者のリストに存在する所有者のデータを抽出することによってフィルタリングする。プライバシ制御部106は、フィルタリングすることによって得られたデータを、データ品質制御部102へ出力する。
図9は、実施形態に係るセキュリティゲートウェイ装置の動作(その2)の一例を示すフローチャートである。図9は、データ取得の要求によって要求されたデータが、非プライバシDB206に含まれるときに、データの品質を検証し、検証した結果を、データに付与して送信する処理を示す。
(ステップS302)データ品質制御部102は、プライバシ制御部106が出力したデータの品質を検証する。データ品質制御部102は、乱数検定を実施したり、カイ2乗検定等を用いて正規分布等に従った分布において5%棄却域に入るか否かを検定したり、他の同種のセンサーのデータとの類似性を検証したりする。
(ステップS304)データ品質制御部102は、ステップS302で実行された検証の結果をデータに付与し、検証の結果を付与したデータの認証コードを演算し、認証コードの演算結果を、私有鍵で暗号化することによって、電子署名を作成する。
(ステップS306)データ品質制御部102は、電子署名を付与したデータと検証の結果とを、アプリケーションへ返信する。
前述した実施形態では、プライバシデータベースと非プライバシデータベースとを区分しない場合について説明したが、この例に限られない。例えば、プライバシデータベースと非プライバシデータベースとを区分してもよい。この場合、プライバシデータベース、及び非プライバシデータベースの各々に対して、DBのIDとして、通し番号が付される。
前述した実施形態では、セキュリティゲートウェイ装置100が検証結果にかかわらず、検証結果をアプリケーションに送信する場合ついて説明したが、この限りでない。例えば、検証結果の閾値を設定し、該閾値に基づいて、品質がよくない場合には、セキュリティゲートウェイ装置100は、アプリケーションへ、データを送信しないようにしてもよい。
前述した実施形態では、セキュリティゲートウェイ装置100が、データに品質の検証結果と電子署名とを付与して、送信する場合について説明したが、この限りでない。例えば、セキュリティゲートウェイ装置100は、トークンを介してアプリケーションと共有した秘密鍵を用いて、メッセージ認証コード(MAC(Message Authentication Code))を計算し、電子署名の代わりに使用してもよい。
前述した実施形態では、アプリケーションが、事前に取得していたセキュリティゲートウェイ装置100の公開鍵で、受信したデータに付与されている電子署名を検証する場合について説明したが、この例に限られない。例えば、アプリケーションは、データを受信した後に、そのデータに付与されている電子署名を検証するために、セキュリティゲートウェイ装置100の公開鍵を取得するようにしてもよい。
つまり、セキュリティゲートウェイ装置は、各国の認証局により発行されたアプリケーションの挙動を規定する証明書と、データの管理者および所有者により階層的に定められたポリシー群とを用いてアクセス制御を行うことができるとともに、アクセス要求の対象であるデータを、アプリケーションに送信する際に、データの品質を検証し、検証結果に基づいて作成される電子署名を付与して送信することができる。
これによって、アプリケーションは、データの品質が保証されたデータを取得することができるため、ユーザは、アプリケーションによって取得されたデータを、安心して使用できる。
また、複数のローカルクラウドを有機的に結合したグローバルクラウド上において、アプリケーションは、IoTデバイスから収集された個人のプライバシに関わるデータをセキュリティおよびプライバシに配慮した形で利活用することができる。
また、セキュリティゲートウェイ装置は、ローカルクラウド上のデータベースの形式およびアプリケーションからのクエリの形式を問わないため、単一クラウドにおけるアーキテクチャを拡張する形で構築できる。
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。
さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
Claims (8)
- グローバルクラウドとローカルクラウドとの接点に設置されるセキュリティゲートウェイ装置であって、
アプリケーションサーバに記憶されたアプリケーションによって、前記グローバルクラウドを経由して、前記ローカルクラウドに記憶されているIoTデバイスから収集されるデータへのアクセス要求があった場合に、前記アプリケーションサーバが設置された国の法律またはガイドラインに応じて、前記アクセス要求の正当性を検証するアクセス制御部と、
前記正当性の検証の結果が成功であった場合に、前記データの所有者のプライバシポリシーに基づいて、前記データを取得するプライバシ制御部と、
前記プライバシ制御部が取得した前記データの品質を検証する検証部と、
前記データの品質の検証結果と前記データとを、前記アプリケーションへ送信する送信部と
を備え、
前記プライバシポリシーは、アプリケーションの種別に対応付けて、データの種別ごとにデータの所有者がデータの提供を認可するか否かを規定する、セキュリティゲートウェイ装置。 - 前記プライバシ制御部は、前記プライバシポリシーに基づいて、データの前記所有者のプライバシに関わらないデータを取得する、請求項1に記載のセキュリティゲートウェイ装置。
- 前記検証部は、前記データが偽造されたものであるか否かを検証する、請求項1又は請求項2に記載のセキュリティゲートウェイ装置。
- 前記検証部は、前記データが異常値であるか否かを検証する、請求項1から請求項3のいずれか一項に記載のセキュリティゲートウェイ装置。
- 前記検証部は、前記データの取得元が不正であるか否かを検証する、請求項1から請求項4のいずれか一項に記載のセキュリティゲートウェイ装置。
- 前記送信部は、前記データの品質の検証結果と前記データとに基づいて生成した電子署名とを、前記データに付して送信する、請求項1から請求項5のいずれか一項に記載のセキュリティゲートウェイ装置。
- グローバルクラウドとローカルクラウドとの接点に設置されるセキュリティゲートウェイ装置が実行する方法であって、
アプリケーションサーバに記憶されたアプリケーションによって、前記グローバルクラウドを経由して、前記ローカルクラウドに記憶されているIoTデバイスから収集されるデータへのアクセス要求があった場合に、前記アプリケーションサーバが設置された国の法律またはガイドラインに応じて、前記アクセス要求の正当性を検証するステップと、
前記正当性の検証の結果が成功であった場合に、前記データの所有者のプライバシポリシーに基づいて、前記データを取得するステップと、
取得した前記データの品質を検証するステップと、
前記データの品質の検証結果と前記データとを、前記アプリケーションへ送信するステップと
を有し、
前記プライバシポリシーは、アプリケーションの種別に対応付けて、データの種別ごとにデータの所有者がデータの提供を認可するか否かを規定する、方法。 - グローバルクラウドとローカルクラウドとの接点に設置されるセキュリティゲートウェイ装置のコンピュータに、
アプリケーションサーバに記憶されたアプリケーションによって、前記グローバルクラウドを経由して、前記ローカルクラウドに記憶されているIoTデバイスから収集されるデータへのアクセス要求があった場合に、前記アプリケーションサーバが設置された国の法律またはガイドラインに応じて、前記アクセス要求の正当性を検証するステップと、
前記正当性の検証の結果が成功であった場合に、前記データの所有者のプライバシポリシーに基づいて、前記データを取得するステップと、
取得した前記データの品質を検証するステップと、
前記データの品質の検証結果と前記データとを、前記アプリケーションへ送信するステップと
を実行させ、
前記プライバシポリシーは、アプリケーションの種別に対応付けて、データの種別ごとにデータの所有者がデータの提供を認可するか否かを規定する、プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017063686A JP6719413B2 (ja) | 2017-03-28 | 2017-03-28 | セキュリティゲートウェイ装置、方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017063686A JP6719413B2 (ja) | 2017-03-28 | 2017-03-28 | セキュリティゲートウェイ装置、方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018165951A JP2018165951A (ja) | 2018-10-25 |
JP6719413B2 true JP6719413B2 (ja) | 2020-07-08 |
Family
ID=63922932
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017063686A Active JP6719413B2 (ja) | 2017-03-28 | 2017-03-28 | セキュリティゲートウェイ装置、方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6719413B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113228022B (zh) * | 2018-12-20 | 2024-01-26 | 日本电信电话株式会社 | 分析查询应答系统、分析查询应答方法以及记录介质 |
JP7287207B2 (ja) | 2019-09-13 | 2023-06-06 | 富士通株式会社 | 情報処理装置、制御プログラムおよび制御方法 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001265771A (ja) * | 2000-03-22 | 2001-09-28 | Nippon Telegr & Teleph Corp <Ntt> | 個人情報管理装置、個人情報管理方法、及び個人情報管理装置または方法を実行するプログラムを記録した記録媒体 |
WO2005122034A1 (ja) * | 2004-06-14 | 2005-12-22 | Olympus Corporation | データマネージメントシステム |
JP4512083B2 (ja) * | 2006-12-20 | 2010-07-28 | トレンドマイクロ株式会社 | ネットワークを介して通信端末に提供されるプログラムに対する伝送経路上でのセキュリティの確保 |
US20120185911A1 (en) * | 2010-09-30 | 2012-07-19 | Khandys Polite | Mlweb: a multilevel web application framework |
US9124632B2 (en) * | 2011-12-13 | 2015-09-01 | At&T Intellectual Property I, L.P. | Method and apparatus for providing privacy management in machine-to-machine communications |
JP5772692B2 (ja) * | 2012-04-12 | 2015-09-02 | トヨタ自動車株式会社 | 車載制御装置の認証システム及び車載制御装置の認証方法 |
US9271146B2 (en) * | 2014-03-20 | 2016-02-23 | International Business Machines Corporation | Mobile privacy information proxy |
JP6371177B2 (ja) * | 2014-09-17 | 2018-08-08 | 株式会社日立ソリューションズ | ゲートウェイ装置、データ処理システム及びデータ処理方法 |
CN107852405B (zh) * | 2015-07-02 | 2021-02-02 | 康维达无线有限责任公司 | 用于服务层的内容安全性的装置 |
JP6484519B2 (ja) * | 2015-07-15 | 2019-03-13 | 日立オートモティブシステムズ株式会社 | ゲートウェイ装置およびその制御方法 |
US10122685B2 (en) * | 2015-08-26 | 2018-11-06 | Tatung Company | Method for automatically establishing wireless connection, gateway device and client device for internet of things using the same |
-
2017
- 2017-03-28 JP JP2017063686A patent/JP6719413B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018165951A (ja) | 2018-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11093643B2 (en) | Method and system for accessing anonymized data | |
US11281779B2 (en) | Systems and methods for privacy management using a digital ledger | |
US20230091605A1 (en) | Accessing an internet of things device using blockchain metadata | |
US11438338B2 (en) | Core network access provider | |
CN109687959B (zh) | 密钥安全管理系统和方法、介质和计算机程序 | |
US11791990B2 (en) | Apparatus and method for managing personal information | |
US11126743B2 (en) | Sensitive data service access | |
EP2404258B1 (en) | Access control using identifiers in links | |
CN111416822B (zh) | 访问控制的方法、电子设备和存储介质 | |
US9037849B2 (en) | System and method for managing network access based on a history of a certificate | |
US11089028B1 (en) | Tokenization federation service | |
JP6572750B2 (ja) | 認証制御プログラム、認証制御装置、及び認証制御方法 | |
JP6548936B2 (ja) | セキュリティゲートウェイ装置、方法及びプログラム | |
JP6688266B2 (ja) | 本人確認情報提供方法および本人確認情報提供サーバ | |
EP3817320B1 (en) | Blockchain-based system for issuing and validating certificates | |
US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
JP6719413B2 (ja) | セキュリティゲートウェイ装置、方法、及びプログラム | |
Russo et al. | A system to access online services with minimal personal information disclosure | |
KR102496829B1 (ko) | 블록체인 기반 id 관리 장치 및 방법 | |
JP2023542578A (ja) | トークン償還による匿名認証 | |
US11954672B1 (en) | Systems and methods for cryptocurrency pool management | |
JP2007183736A (ja) | 認証システム及び認証方法 | |
Fernandez et al. | The secure and trustable distributed name system pattern | |
JP2005339120A (ja) | 属性情報出力装置、属性情報出力システム、および属性情報出力方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170329 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190305 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200128 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200212 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200403 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200602 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200616 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6719413 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |