JPH07200447A - インフラストラクチュア - Google Patents
インフラストラクチュアInfo
- Publication number
- JPH07200447A JPH07200447A JP6291052A JP29105294A JPH07200447A JP H07200447 A JPH07200447 A JP H07200447A JP 6291052 A JP6291052 A JP 6291052A JP 29105294 A JP29105294 A JP 29105294A JP H07200447 A JPH07200447 A JP H07200447A
- Authority
- JP
- Japan
- Prior art keywords
- user
- location
- agent
- information
- user agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【目的】 個人的な情報に関する範囲及び配布の制御を
より高めるプライバシーインストラクチュアを提供する
こと。 【構成】 「友好環境」においてその正当なメンバが
「正直に」行動し、これにより機密保護モデルが作成さ
れる。そのプログラムは「確実に」ランし、実行可能な
バイナリもランしている画像も無許可のエンティティに
より読み取られたり、変更されたりしない。個人的な通
信はモニタが不可能であり、受信者はその情報を発信者
が明かさなければ、メッセージの発信者を決定できな
い。発信者は、受信者に識別を判明されずに応答する方
法が提供できる。ユーザはプライバシーインストラクチ
ュアを用いるプログラムを実行できるが、このプログラ
ムを悪影響を与えることはない。位置質問サービス(L
QS)23登録人数のカウントや識別又は位置を推定す
るためにその数の変化をチェックするようなトラフィッ
ク解析のリスクがない。
より高めるプライバシーインストラクチュアを提供する
こと。 【構成】 「友好環境」においてその正当なメンバが
「正直に」行動し、これにより機密保護モデルが作成さ
れる。そのプログラムは「確実に」ランし、実行可能な
バイナリもランしている画像も無許可のエンティティに
より読み取られたり、変更されたりしない。個人的な通
信はモニタが不可能であり、受信者はその情報を発信者
が明かさなければ、メッセージの発信者を決定できな
い。発信者は、受信者に識別を判明されずに応答する方
法が提供できる。ユーザはプライバシーインストラクチ
ュアを用いるプログラムを実行できるが、このプログラ
ムを悪影響を与えることはない。位置質問サービス(L
QS)23登録人数のカウントや識別又は位置を推定す
るためにその数の変化をチェックするようなトラフィッ
ク解析のリスクがない。
Description
【0001】
【産業上の利用分野】本発明は、分散形計算環境におい
てランし及び/又は位置感知型アプリケーションによっ
てターゲットとされ得るユーザに対する個人的私的権利
(プライパシー)に係り、特に、ユーザが異種型分散形
計算環境内で移動する時に、移動ユーザに代わってユー
ザ個別化の位置依存機密保護方策を動的に実行するため
のスケーラブル・アーキテクチュアに関する。
てランし及び/又は位置感知型アプリケーションによっ
てターゲットとされ得るユーザに対する個人的私的権利
(プライパシー)に係り、特に、ユーザが異種型分散形
計算環境内で移動する時に、移動ユーザに代わってユー
ザ個別化の位置依存機密保護方策を動的に実行するため
のスケーラブル・アーキテクチュアに関する。
【0002】
【従来の技術】分散形計算環境においては「遍在計算環
境」に対して強い傾向が見られ、この遍在計算環境にお
いて、移動型と固定型両方のネットワーク化された計算
資源は、使用するのが当然過ぎて且つ余りも簡単で且つ
便利すぎるので、これらはミックスされて、通常のイン
フラストラクチュア(下部構造)の統合部分となってい
る。このように豊かで且つ多様な計算環境においては、
個々のユーザ及び/又は制御関数(機能)とパーマネン
トに対応し得るコンピュータもあれば、「必要とされた
時」を基本に、特定のユーザ及び/又は制御関数に一時
的に割り当てられ得るコンピュータもあれば、さらに、
「オン−ライン」ではあるが、現在は割り当てられてい
ないコンピュータもある。
境」に対して強い傾向が見られ、この遍在計算環境にお
いて、移動型と固定型両方のネットワーク化された計算
資源は、使用するのが当然過ぎて且つ余りも簡単で且つ
便利すぎるので、これらはミックスされて、通常のイン
フラストラクチュア(下部構造)の統合部分となってい
る。このように豊かで且つ多様な計算環境においては、
個々のユーザ及び/又は制御関数(機能)とパーマネン
トに対応し得るコンピュータもあれば、「必要とされた
時」を基本に、特定のユーザ及び/又は制御関数に一時
的に割り当てられ得るコンピュータもあれば、さらに、
「オン−ライン」ではあるが、現在は割り当てられてい
ないコンピュータもある。
【0003】この遍在計算の展望は、ワイヤレス及び/
又はハードワイヤード通信メディアの使用を介して、ネ
ットワーク化されている計算及び非計算ツールの多様な
セットを許容する。ネットワーク化は、ユーザがその環
境内で自由に動き回ることができるのを確実とするため
に充分に広範囲であり且つシームレス(完全統一)であ
るという利点を有する。
又はハードワイヤード通信メディアの使用を介して、ネ
ットワーク化されている計算及び非計算ツールの多様な
セットを許容する。ネットワーク化は、ユーザがその環
境内で自由に動き回ることができるのを確実とするため
に充分に広範囲であり且つシームレス(完全統一)であ
るという利点を有する。
【0004】移動ユーザ(本明細書中に使用されている
ように、用語「ユーザ」はコンテクストによって必要と
されない場合、ロボット工学的エンティティを含む)
は、所望されれば、その時に、遠隔地の人や遠隔オブジ
ェクトと「連絡を取った」ままで、遍在計算環境全体に
わたって移動してもよい。このため、明確なユーザ位置
のトラッキング(追跡)が提供される。
ように、用語「ユーザ」はコンテクストによって必要と
されない場合、ロボット工学的エンティティを含む)
は、所望されれば、その時に、遠隔地の人や遠隔オブジ
ェクトと「連絡を取った」ままで、遍在計算環境全体に
わたって移動してもよい。このため、明確なユーザ位置
のトラッキング(追跡)が提供される。
【0005】確実なユーザ位置情報は、効率的且つ信頼
できるセルラー通信のためだけでなく、遍在計算環境の
動的変数相対属性を利用するために設計されたアプリケ
ーションによって用いられる「近似」関数及び空間/時
間関係を計算するためにも必要とされる。提供され得る
本質的に無限であり且つ多様なタイプのアプリケーショ
ンがある。従って、以下に示すのは代表的な例にすぎな
い。
できるセルラー通信のためだけでなく、遍在計算環境の
動的変数相対属性を利用するために設計されたアプリケ
ーションによって用いられる「近似」関数及び空間/時
間関係を計算するためにも必要とされる。提供され得る
本質的に無限であり且つ多様なタイプのアプリケーショ
ンがある。従って、以下に示すのは代表的な例にすぎな
い。
【0006】Urgent Message Delivery (緊急メッセー
ジ配布)−該当する時間にその特定の端末を介してアド
レッシー(アドレスされるもの)へ所与のタイプのメッ
セージを配布するために「適している」とすれば、アド
レッシーの現在位置に「近い」端末への「緊急配布」す
るために提供されるメッセージをルーチング(経路指
定)する。「適切さ(appropriateness ) 」は、アド
レッシーの事前指定された「ポリシープロフィール(po
licy profile)」を、以下に具体的に示すように見るこ
とによって解決される問題(ある。
ジ配布)−該当する時間にその特定の端末を介してアド
レッシー(アドレスされるもの)へ所与のタイプのメッ
セージを配布するために「適している」とすれば、アド
レッシーの現在位置に「近い」端末への「緊急配布」す
るために提供されるメッセージをルーチング(経路指
定)する。「適切さ(appropriateness ) 」は、アド
レッシーの事前指定された「ポリシープロフィール(po
licy profile)」を、以下に具体的に示すように見るこ
とによって解決される問題(ある。
【0007】Scoreboard(スコアボード)−さもなけれ
ばアイドル状態であるディスプレイによって、それぞれ
のポリシープロフィールによって一人又はそれより多く
の近くの人間について一般的な関心を示す情報をディス
プレイさせること。
ばアイドル状態であるディスプレイによって、それぞれ
のポリシープロフィールによって一人又はそれより多く
の近くの人間について一般的な関心を示す情報をディス
プレイさせること。
【0008】Find−所与の仕様を満たす最も近い資源又
は人を識別する。
は人を識別する。
【0009】Birddog −位置の指定されたリストにおい
て人又は全ての人のネームの指定されたリストの現在位
置をディスプレイする。
て人又は全ての人のネームの指定されたリストの現在位
置をディスプレイする。
【0010】
【発明が解決しようとする課題】明確な機能的な利点
は、一般に、移動計算システムのみならず、遍在計算環
境におけるユーザの位置のトラッキング(追跡)から生
じるが、何人かユーザに彼らの個人的な私的権利(プラ
イバシー)の容認できない侵害を恐れさせる程、情報の
濫用のリスクは大きい。従って、ユーザが様々な位置に
あり且つ/又は異なるコンテクストにおいて動作してい
る間、彼らに関して漏洩される個人的な情報(例えば、
位置や識別)の範囲及び配布に対するより高められた制
御を提供することが望まれる。
は、一般に、移動計算システムのみならず、遍在計算環
境におけるユーザの位置のトラッキング(追跡)から生
じるが、何人かユーザに彼らの個人的な私的権利(プラ
イバシー)の容認できない侵害を恐れさせる程、情報の
濫用のリスクは大きい。従って、ユーザが様々な位置に
あり且つ/又は異なるコンテクストにおいて動作してい
る間、彼らに関して漏洩される個人的な情報(例えば、
位置や識別)の範囲及び配布に対するより高められた制
御を提供することが望まれる。
【0011】さらに、一般に、一方では個人的なプライ
バシーと、他方では機能的能力や計算コストのトレード
オフ(交換)がある。従って、容認できるレベルのプラ
イバシーを達成するためにユーザが支払うべきあらゆる
パフォーマンス及びコストペナルティを制限することは
明確に知覚される。さらに、これらのパフォーマンス及
びコストペナルティを提供されるプライバシーのレベル
によって良好にスケーリングさせ、これによってあまり
精通していないユーザでも合理的なトレードオフの決定
を行うことができることが望ましい。
バシーと、他方では機能的能力や計算コストのトレード
オフ(交換)がある。従って、容認できるレベルのプラ
イバシーを達成するためにユーザが支払うべきあらゆる
パフォーマンス及びコストペナルティを制限することは
明確に知覚される。さらに、これらのパフォーマンス及
びコストペナルティを提供されるプライバシーのレベル
によって良好にスケーリングさせ、これによってあまり
精通していないユーザでも合理的なトレードオフの決定
を行うことができることが望ましい。
【0012】
【課題を解決するための手段】従って、本発明によれ
ば、ユーザの識別からユーザ位置情報を非干渉化(デカ
プリング)することが分散形計算環境において提案さ
れ、ユーザの個々の位置と識別の対応が明かされる状況
下においてだけでなく、その範囲に渡って、ユーザへ離
散的な制御を提供する。
ば、ユーザの識別からユーザ位置情報を非干渉化(デカ
プリング)することが分散形計算環境において提案さ
れ、ユーザの個々の位置と識別の対応が明かされる状況
下においてだけでなく、その範囲に渡って、ユーザへ離
散的な制御を提供する。
【0013】所望されれば、位置サービスは、マルチキ
ャスト(同報通信)グループによって、全体的又は部分
的に実行され得る。例えば、このようなグループは、所
与の領域内にあると現在は信じられている全てのユーザ
に対するエージェントから構成されているかもしれな
い。このようなマルチキャストグループのメンバは、マ
ルチキャスト位置質問をモニタし、且つ位置質問が好適
な識別子とたまたま符合した質問に応答する。
ャスト(同報通信)グループによって、全体的又は部分
的に実行され得る。例えば、このようなグループは、所
与の領域内にあると現在は信じられている全てのユーザ
に対するエージェントから構成されているかもしれな
い。このようなマルチキャストグループのメンバは、マ
ルチキャスト位置質問をモニタし、且つ位置質問が好適
な識別子とたまたま符合した質問に応答する。
【0014】本発明は、分散形計算環境において少なく
とも一つの位置ベースのシステムサービスを利用するこ
とを選択する移動ユーザを含むユーザの代わりに、ユー
ザ指定機密保護ポリシーを実行するためのインフラスト
ラクチュアであって、サーバを有し、位置質問サービス
によって登録されたオブジェクトに対して位置ベースの
質問を実行するために前記サーバ上でランする前記位置
質問サービスを有し、前記ユーザに対するそれぞれのユ
ーザエージェントを有し、前記ユーザエージェントの各
々が、前記ユーザエージェントのそれぞれのユーザによ
って指定されたポリシーに従って実行するように構成さ
れており、前記ユーザエージェントのそれぞれのユーザ
を指定時間で指定位置と相関させようと意図する、前記
ユーザエージェントへデータを渡すための、少なくとも
一つの位置データのソースを有し、前記ユーザエージェ
ントの各々が、前記ユーザエージェントのそれぞれのユ
ーザの前記ポリシーの下で、且つ前記ユーザエージェン
トのユーザの前記ポリシーによって指令された形態で、
前記位置質問サービスによって自らを登録することが許
可されると、前記位置質問サービスによって自らを登録
し、各ユーザエージェント登録が前記登録されたユーザ
エージェントへメッセージを渡すための通信経路の位置
及び定義を含み、これにより、登録されたユーザエージ
ェントの位置に符合する前記位置質問サービス上で質問
をランするリクエスタが、前記登録されたユーザエージ
ェントと連絡を取るために前記通信経路を利用するのを
可能にする、インフラストラクチュアである。
とも一つの位置ベースのシステムサービスを利用するこ
とを選択する移動ユーザを含むユーザの代わりに、ユー
ザ指定機密保護ポリシーを実行するためのインフラスト
ラクチュアであって、サーバを有し、位置質問サービス
によって登録されたオブジェクトに対して位置ベースの
質問を実行するために前記サーバ上でランする前記位置
質問サービスを有し、前記ユーザに対するそれぞれのユ
ーザエージェントを有し、前記ユーザエージェントの各
々が、前記ユーザエージェントのそれぞれのユーザによ
って指定されたポリシーに従って実行するように構成さ
れており、前記ユーザエージェントのそれぞれのユーザ
を指定時間で指定位置と相関させようと意図する、前記
ユーザエージェントへデータを渡すための、少なくとも
一つの位置データのソースを有し、前記ユーザエージェ
ントの各々が、前記ユーザエージェントのそれぞれのユ
ーザの前記ポリシーの下で、且つ前記ユーザエージェン
トのユーザの前記ポリシーによって指令された形態で、
前記位置質問サービスによって自らを登録することが許
可されると、前記位置質問サービスによって自らを登録
し、各ユーザエージェント登録が前記登録されたユーザ
エージェントへメッセージを渡すための通信経路の位置
及び定義を含み、これにより、登録されたユーザエージ
ェントの位置に符合する前記位置質問サービス上で質問
をランするリクエスタが、前記登録されたユーザエージ
ェントと連絡を取るために前記通信経路を利用するのを
可能にする、インフラストラクチュアである。
【0015】
【実施例】図面を参照すると、特に、図1に関して参照
すると、'Locations(位置)' アプリケーション21
と'SendMsg(メッセージを送れ)' アプリケーション2
2のような位置ベースのアプリケーションをラン(実
行)するための好適なインフラストラクチュアは、位置
質問サービス(LQS23)が作動する領域内で「検出
された」オブジェクトに対して位置質問を実行するため
の位置質問サービス(LQS)23を備える。以下にさ
らに詳細に説明するように、これらの「検出されたオブ
ジェクト」は、一般に、デバイスエージェント28及び
29だけでなく、ユーザエージェント25及び26を含
んでいる。ユーザエージェント25及び26は異なるユ
ーザを表示するが、デバイスエージェント28及び29
は、異なるコンピュータ制御の物理的なデバイス又はこ
のようなデバイスの組み合わせを表示する(物理的デバ
イスの組み合わせは、その組み合わせが全ての可能性の
あるクライアントに対して一貫した外観を有する場合に
単一エージェントによって表示され得る)。エージェン
トの使用によって、ユーザ、コンピュータ制御デバイ
ス、並びに位置ベースアプリケーション21及び22の
間の通信が簡単になる一方で、「検出されたデバイス」
の概念は、システムの管理者によってLQS23へロー
ドされるか、或いは、システムの初期化の時にLQS2
3へ明かされる記述的情報によって特徴付けられる物理
的デバイスを含むほど充分に広範囲である。
すると、'Locations(位置)' アプリケーション21
と'SendMsg(メッセージを送れ)' アプリケーション2
2のような位置ベースのアプリケーションをラン(実
行)するための好適なインフラストラクチュアは、位置
質問サービス(LQS23)が作動する領域内で「検出
された」オブジェクトに対して位置質問を実行するため
の位置質問サービス(LQS)23を備える。以下にさ
らに詳細に説明するように、これらの「検出されたオブ
ジェクト」は、一般に、デバイスエージェント28及び
29だけでなく、ユーザエージェント25及び26を含
んでいる。ユーザエージェント25及び26は異なるユ
ーザを表示するが、デバイスエージェント28及び29
は、異なるコンピュータ制御の物理的なデバイス又はこ
のようなデバイスの組み合わせを表示する(物理的デバ
イスの組み合わせは、その組み合わせが全ての可能性の
あるクライアントに対して一貫した外観を有する場合に
単一エージェントによって表示され得る)。エージェン
トの使用によって、ユーザ、コンピュータ制御デバイ
ス、並びに位置ベースアプリケーション21及び22の
間の通信が簡単になる一方で、「検出されたデバイス」
の概念は、システムの管理者によってLQS23へロー
ドされるか、或いは、システムの初期化の時にLQS2
3へ明かされる記述的情報によって特徴付けられる物理
的デバイスを含むほど充分に広範囲である。
【0016】実施上、アプリケーション21及び22、
LQS23、ユーザエージェント25及び26、並びに
デバイスエージェント28及び29は、一般に、RPC
(リモート・プロシージャ・コール)の使用を介して通
信するコンピュータのネットワーク上でランするプログ
ラムである。これらのコンピュータのうち、いくつかは
ワイヤリングされたネットワークによって相互接続され
てもよいし、いくつかはワイヤレスで通信する携帯用で
あってもよい。例えば、図2は、各々がネットワーキン
グワークステーション14、サーバ15、及び移動計算
ユニット17のためのベースステーション16に対する
ローカル・エリア・ネットワーク(LAN)13を有す
る複数の定義域(ドメイン)11と12からなる分散計
算システムを概略的に示している。これらのLAN13
は、ゲートウェイ18を介して、インターネット(Inte
rnet)のような拡張されたネットワーク19と接続され
ており、これにより定義域11及び12がネットワーク
化されている。一般に、図1に示したインフラストラク
チュアは、計算環境の定義域11及び12の各々におい
て複製される。
LQS23、ユーザエージェント25及び26、並びに
デバイスエージェント28及び29は、一般に、RPC
(リモート・プロシージャ・コール)の使用を介して通
信するコンピュータのネットワーク上でランするプログ
ラムである。これらのコンピュータのうち、いくつかは
ワイヤリングされたネットワークによって相互接続され
てもよいし、いくつかはワイヤレスで通信する携帯用で
あってもよい。例えば、図2は、各々がネットワーキン
グワークステーション14、サーバ15、及び移動計算
ユニット17のためのベースステーション16に対する
ローカル・エリア・ネットワーク(LAN)13を有す
る複数の定義域(ドメイン)11と12からなる分散計
算システムを概略的に示している。これらのLAN13
は、ゲートウェイ18を介して、インターネット(Inte
rnet)のような拡張されたネットワーク19と接続され
ており、これにより定義域11及び12がネットワーク
化されている。一般に、図1に示したインフラストラク
チュアは、計算環境の定義域11及び12の各々におい
て複製される。
【0017】図1に戻って、LQS23がデータベース
の実行及び/又はマルチキャストの実行を許容すること
が示されている。しかしながら、両実行において、LQ
S23は、「検出されたオブジェクト」がそれを明かす
ために選択した特徴付け情報へのアクセスを有するにす
ぎない。この特徴付け情報は、一般に、キー及び値の対
(ペア)の順序付けされないタプル(組)内に配列され
る。とりわけ、エージェントによって表示される検出さ
れたオブジェクトの各々に対する特徴付け情報は、一般
に、オブジェクトの位置と、オブジェクトのエージェン
トのためのRPCハンドルと、オブジェクトのタイプと
汎用分散に利用するためにオブジェクトが選択した更な
る属性の全てを記述する対応リストと、を含んでいる。
オブジェクトタイプは、通常、このクラスのデバイスに
対する特徴付け情報の上位レベルに含まれ、指定質問タ
イプが、検出されたオブジェクトに対して実行され且つ
どのRPCインタフェースをRPCハンドルによって使
用すべきかを示すのを可能にする(オブジェクトタイプ
記述はまた、概してRPCハンドル自体に含まれ、これ
により、一般に、RPCインタフェースの冗長識別が存
在し得る)。しかしながら、オブジェクトタイプは、R
PCプロトコルが明示的オブジェクトタイプ宣言がない
ためにデフォルト・インタフェースを用いるように設計
され得るので、準固定宣言ではない。エージェントによ
って表示されない検出されたオブジェクトは、通常、一
つ又はそれより多くのアプリケーション21及び22に
有用であるかもしれないあらゆる更なる情報と共に、そ
れらの位置とそれらのデバイスタイプによって特徴付け
られる。システムデザイナによって所望されれば、全て
の検出されたオブジェクトは、ある特徴付け情報を明か
すように要求されるかもしれない。次いで、検出された
オブジェクトの特徴づけは、この準固定情報を値の順序
付けされたリスト内に組み立てることにより多少圧縮さ
れてもよい。
の実行及び/又はマルチキャストの実行を許容すること
が示されている。しかしながら、両実行において、LQ
S23は、「検出されたオブジェクト」がそれを明かす
ために選択した特徴付け情報へのアクセスを有するにす
ぎない。この特徴付け情報は、一般に、キー及び値の対
(ペア)の順序付けされないタプル(組)内に配列され
る。とりわけ、エージェントによって表示される検出さ
れたオブジェクトの各々に対する特徴付け情報は、一般
に、オブジェクトの位置と、オブジェクトのエージェン
トのためのRPCハンドルと、オブジェクトのタイプと
汎用分散に利用するためにオブジェクトが選択した更な
る属性の全てを記述する対応リストと、を含んでいる。
オブジェクトタイプは、通常、このクラスのデバイスに
対する特徴付け情報の上位レベルに含まれ、指定質問タ
イプが、検出されたオブジェクトに対して実行され且つ
どのRPCインタフェースをRPCハンドルによって使
用すべきかを示すのを可能にする(オブジェクトタイプ
記述はまた、概してRPCハンドル自体に含まれ、これ
により、一般に、RPCインタフェースの冗長識別が存
在し得る)。しかしながら、オブジェクトタイプは、R
PCプロトコルが明示的オブジェクトタイプ宣言がない
ためにデフォルト・インタフェースを用いるように設計
され得るので、準固定宣言ではない。エージェントによ
って表示されない検出されたオブジェクトは、通常、一
つ又はそれより多くのアプリケーション21及び22に
有用であるかもしれないあらゆる更なる情報と共に、そ
れらの位置とそれらのデバイスタイプによって特徴付け
られる。システムデザイナによって所望されれば、全て
の検出されたオブジェクトは、ある特徴付け情報を明か
すように要求されるかもしれない。次いで、検出された
オブジェクトの特徴づけは、この準固定情報を値の順序
付けされたリスト内に組み立てることにより多少圧縮さ
れてもよい。
【0018】LQS23は領域又は「定義域」によって
編成される。LQS23のデータベース実行に関して
は、各定義域内でランする'LocationBroker (ロケーシ
ョン・ブローカー)' と呼ばれる中央サーバがある。こ
れはサーバ15(図2)のうちのいづれであってもよ
い。マルチキャスト実行に関しては、位置ベースアプリ
ケーション21及び22のようなLQS23のクライア
ントは、定義域のマルチキャストグループの全てのメン
バに対する位置質問をマルチキャスト(グループ同報通
信)する。エージェント25及び26のようなこれらの
マルチキャストグループメンバは、匿名で、すべてのマ
ルチキャストされた位置質問を聞こうとするが、これら
のメンバがこの質問に符合した場合のみ、及びメンバの
現在プライバシーポリシー(方策)(このトピックは以
下に詳細に説明される)がこれらのメンバが応答するの
を許容する場合のみ、これらのメンバはこのような質問
に応答する。
編成される。LQS23のデータベース実行に関して
は、各定義域内でランする'LocationBroker (ロケーシ
ョン・ブローカー)' と呼ばれる中央サーバがある。こ
れはサーバ15(図2)のうちのいづれであってもよ
い。マルチキャスト実行に関しては、位置ベースアプリ
ケーション21及び22のようなLQS23のクライア
ントは、定義域のマルチキャストグループの全てのメン
バに対する位置質問をマルチキャスト(グループ同報通
信)する。エージェント25及び26のようなこれらの
マルチキャストグループメンバは、匿名で、すべてのマ
ルチキャストされた位置質問を聞こうとするが、これら
のメンバがこの質問に符合した場合のみ、及びメンバの
現在プライバシーポリシー(方策)(このトピックは以
下に詳細に説明される)がこれらのメンバが応答するの
を許容する場合のみ、これらのメンバはこのような質問
に応答する。
【0019】マルチキャスト実行の利点は、それがRP
Cハンドルとマルチキャストグループがある定義域の対
応を明かすにすぎないことである。さらに、その対応
は、(図示していないが、標準的マルチキャスト・ルー
チング技術が用いられてもよい)マルチキャスト・ルー
チング・インフラストラクチュアに対してのみ明かされ
る。これとは対照的に、データベース実行を支援するた
めに要求されるLocationBrokerは、RPCハンドルと特
定位置の対応を明かす。しかしながら、マルチキャスト
実行の欠点は、マルチキャスト実行が、単にそのLocati
onBroker31にとどまらず、むしろ、質問される定義域
に対するマルチキャストグループの全てのメンバが位置
質問を受け、且つこれらの位置質問がこれらの全てのメ
ンバによって処理されなければならないので、より多く
の計算と通信を必要とすることにある。実際、例えば、
インターネット上の殆どあらゆる場所で物理的に検出さ
れ得るユーザエージェント25及び26へのマルチキャ
スティングのコストは、いくつかのケースにおいて、重
要な問題の原因となり得る。さらに、必要とされるマル
チキャストの信頼性が、マルチキャスト実行のコストを
さらに一層増大させる恐れがある。
Cハンドルとマルチキャストグループがある定義域の対
応を明かすにすぎないことである。さらに、その対応
は、(図示していないが、標準的マルチキャスト・ルー
チング技術が用いられてもよい)マルチキャスト・ルー
チング・インフラストラクチュアに対してのみ明かされ
る。これとは対照的に、データベース実行を支援するた
めに要求されるLocationBrokerは、RPCハンドルと特
定位置の対応を明かす。しかしながら、マルチキャスト
実行の欠点は、マルチキャスト実行が、単にそのLocati
onBroker31にとどまらず、むしろ、質問される定義域
に対するマルチキャストグループの全てのメンバが位置
質問を受け、且つこれらの位置質問がこれらの全てのメ
ンバによって処理されなければならないので、より多く
の計算と通信を必要とすることにある。実際、例えば、
インターネット上の殆どあらゆる場所で物理的に検出さ
れ得るユーザエージェント25及び26へのマルチキャ
スティングのコストは、いくつかのケースにおいて、重
要な問題の原因となり得る。さらに、必要とされるマル
チキャストの信頼性が、マルチキャスト実行のコストを
さらに一層増大させる恐れがある。
【0020】マルチキャスト実行の相対的な非効率性
は、データベース実行の代わりに選択できるマルチキャ
ストを提供することによって大部分が緩和されるかもし
れない。次いで、定義域ごとのLQS23は、マルチキ
ャストグループとLocationBrokerの両方を保持して、且
つ該LocationBrokerはその領域のマルチキャストグルー
プを問い合わせ且つそのグループに登録されたオブジェ
クトに対する全ての位置質問を処理する。従って、ユー
ザエージェント25及び26は、より大きなプライバシ
ーのために定義域のマルチキャストグループを問い合わ
せるか、又はより効果を高めるために定義域のLocation
Brokerによって登録するかのいづれかを選択する。
は、データベース実行の代わりに選択できるマルチキャ
ストを提供することによって大部分が緩和されるかもし
れない。次いで、定義域ごとのLQS23は、マルチキ
ャストグループとLocationBrokerの両方を保持して、且
つ該LocationBrokerはその領域のマルチキャストグルー
プを問い合わせ且つそのグループに登録されたオブジェ
クトに対する全ての位置質問を処理する。従って、ユー
ザエージェント25及び26は、より大きなプライバシ
ーのために定義域のマルチキャストグループを問い合わ
せるか、又はより効果を高めるために定義域のLocation
Brokerによって登録するかのいづれかを選択する。
【0021】本発明を実行するために、ユーザごとに一
つのユーザエージェント25又は26がある。個人的情
報に対するアクセス制御は主にこれらのユーザエージェ
ント25及び26によって実行される。このために、ユ
ーザエージェント25及び26の各々は、それぞれのユ
ーザに関連する個人的情報の全てを収集し且つ制御す
る。さらに、アプリケーションは、そのユーザに対する
エージェントから特定のユーザに関する個人的情報を得
られるにすぎず、しかもそのエージェントが要求された
情報を漏らすことに同意した場合に限られる。実際、ユ
ーザのエージェントは、この情報の消費者がその情報を
得るために他の有力な方法を全く持ってないため、ユー
ザの個人的情報について嘘をついてもよい(示されるよ
うに、嘘をつくことや「騙すこと」は、トラフィック解
析のようないくつかのタイプのプライバシーの脅威に対
する対策として呼び出し得るプライバシー戦略であ
る)。ユーザのエージェントは、一般に、ユーザの排他
的(独占的)制御下にあり、これにより、ユーザは、エ
ージェントが呼び出し、どのエージェントの実行をラン
すべきかを選択し(即ち彼/彼女自身のエージェントプ
ログラムを書き込み)、且つユーザが信頼できると推定
する一つ又はそれより多くのコンピュータ上でエージェ
ント実行をランしようとする、プライバシーポリシーを
指定するディスクリート(離散的)自由を有することが
できる。
つのユーザエージェント25又は26がある。個人的情
報に対するアクセス制御は主にこれらのユーザエージェ
ント25及び26によって実行される。このために、ユ
ーザエージェント25及び26の各々は、それぞれのユ
ーザに関連する個人的情報の全てを収集し且つ制御す
る。さらに、アプリケーションは、そのユーザに対する
エージェントから特定のユーザに関する個人的情報を得
られるにすぎず、しかもそのエージェントが要求された
情報を漏らすことに同意した場合に限られる。実際、ユ
ーザのエージェントは、この情報の消費者がその情報を
得るために他の有力な方法を全く持ってないため、ユー
ザの個人的情報について嘘をついてもよい(示されるよ
うに、嘘をつくことや「騙すこと」は、トラフィック解
析のようないくつかのタイプのプライバシーの脅威に対
する対策として呼び出し得るプライバシー戦略であ
る)。ユーザのエージェントは、一般に、ユーザの排他
的(独占的)制御下にあり、これにより、ユーザは、エ
ージェントが呼び出し、どのエージェントの実行をラン
すべきかを選択し(即ち彼/彼女自身のエージェントプ
ログラムを書き込み)、且つユーザが信頼できると推定
する一つ又はそれより多くのコンピュータ上でエージェ
ント実行をランしようとする、プライバシーポリシーを
指定するディスクリート(離散的)自由を有することが
できる。
【0022】一般規則として、各ユーザエージェントは
いくつかのモジュールを備え、そのモジュールのうちの
いくつかはシステム・インフラストラクチュア機能を実
行し、且ついくつかは特定のアプリケーションのための
エージェントの義務の遂行を担当する。従って、ユーザ
エージェント25及び26が、これらが専用となる個々
のユーザのプライバシー問題及び文脈依存カスタマイゼ
ーション問題の両方に対する一般的なポリシーコーディ
ネータ(方策の調整役)として作用することが明らかで
ある。
いくつかのモジュールを備え、そのモジュールのうちの
いくつかはシステム・インフラストラクチュア機能を実
行し、且ついくつかは特定のアプリケーションのための
エージェントの義務の遂行を担当する。従って、ユーザ
エージェント25及び26が、これらが専用となる個々
のユーザのプライバシー問題及び文脈依存カスタマイゼ
ーション問題の両方に対する一般的なポリシーコーディ
ネータ(方策の調整役)として作用することが明らかで
ある。
【0023】ユーザ位置は、ユーザがコンピュータ間を
移動できる、又はより一般的には、一つのコンピュータ
の保守領域から他のコンピュータの保守領域へ移動でき
るような分散計算システムだけでなく、移動計算システ
ムにおいても、キー変数である。例えば、位置ベースの
アプリケーション21及び22は、ユーザ位置情報にそ
れらの機能を実行するように要求する。ユーザ位置情報
は、赤外線ベースのアクティブ(活動)バッジ41、
(ユニックス策略者(UNIX ruser)デーモンのような)
種々のコンピュータからのデバイス入力活動モニタ4
3、ユーザによって供給される明示的位置情報45、モ
ニタセンサ及びカメラ(図示しない)、並びに広域位置
決めシステム(GPS)(やはり図示しない)を含む、
種々のソースからユーザエージェント25及び26のた
めに収集され得る。
移動できる、又はより一般的には、一つのコンピュータ
の保守領域から他のコンピュータの保守領域へ移動でき
るような分散計算システムだけでなく、移動計算システ
ムにおいても、キー変数である。例えば、位置ベースの
アプリケーション21及び22は、ユーザ位置情報にそ
れらの機能を実行するように要求する。ユーザ位置情報
は、赤外線ベースのアクティブ(活動)バッジ41、
(ユニックス策略者(UNIX ruser)デーモンのような)
種々のコンピュータからのデバイス入力活動モニタ4
3、ユーザによって供給される明示的位置情報45、モ
ニタセンサ及びカメラ(図示しない)、並びに広域位置
決めシステム(GPS)(やはり図示しない)を含む、
種々のソースからユーザエージェント25及び26のた
めに収集され得る。
【0024】この位置データのうちのいくつかは、ユー
ザによって、そのデータの他の要素より信頼できると判
断され得る。例えば、ユーザは、匿名ソースから受け取
られた照準合わせ報告や懐疑的又は不規則な状況下で受
け取られた報告よりも、ソースによってディジタル式に
符号付けされたり又は認証されたソースから受け取られ
る照準合わせ報告により大きな信頼を置くかもしれな
い。ユーザが異なるタイプの照準合わせに割り当てたい
とするあらゆる真偽(credibility )の重み付けは、ユ
ーザエージェント内へ組み立てられ得て、これによりユ
ーザエージェントが信頼度をユーザの現在位置のその特
徴付けに割り当てるのを可能にする。この信頼度は、そ
のユーザの位置でユーザエージェントが所有する情報の
正確さに関するそのエージェントの信頼性に依存して、
又はユーザエージェントがそのユーザの位置での意見を
もっと完全に確立した場合、エージェントが行うことが
できたさらに一層複雑な決定に依存して、特定のセット
の状況下で、ユーザが、彼/彼女のエージェントが別々
に振る舞うようにプログラムした場合に活動し始める。
ザによって、そのデータの他の要素より信頼できると判
断され得る。例えば、ユーザは、匿名ソースから受け取
られた照準合わせ報告や懐疑的又は不規則な状況下で受
け取られた報告よりも、ソースによってディジタル式に
符号付けされたり又は認証されたソースから受け取られ
る照準合わせ報告により大きな信頼を置くかもしれな
い。ユーザが異なるタイプの照準合わせに割り当てたい
とするあらゆる真偽(credibility )の重み付けは、ユ
ーザエージェント内へ組み立てられ得て、これによりユ
ーザエージェントが信頼度をユーザの現在位置のその特
徴付けに割り当てるのを可能にする。この信頼度は、そ
のユーザの位置でユーザエージェントが所有する情報の
正確さに関するそのエージェントの信頼性に依存して、
又はユーザエージェントがそのユーザの位置での意見を
もっと完全に確立した場合、エージェントが行うことが
できたさらに一層複雑な決定に依存して、特定のセット
の状況下で、ユーザが、彼/彼女のエージェントが別々
に振る舞うようにプログラムした場合に活動し始める。
【0025】位置情報の空間的及び時間的な決定もまた
重要な考えである。というのは、これらの考えがユーザ
エージェント25及び26がそれらのユーザの位置を指
定し得る精度を決定するからであり、且つこの精度によ
って、支援され得る位置ベースアプリケーションの機能
性が制約される。一つの実行のアクティブバッジは、1
5秒おきにスペクトルの赤外線部分内に独特のid(識
別子)を発し、且つバッジサーバ41はこのデータを収
集し且つそれを受け取るように登録されたユーザエージ
ェントへそのデータを渡す。従って、ユーザエージェン
ト25及び26の各々は、その特定ユーザを表示するバ
ッジidの報告内容をバッジサーバ41によって登録す
る。バッジは赤外線において発するので、バッジシステ
ムの空間的決定又は「セルサイズ」は、単一ルーム又は
オフィスに似通っている。照準合わせの方向線は、トラ
ンスミッタとレシーバの間で必要とされる。バッジid
とユーザの識別の合致が、ユーザのエージェントによっ
てのみ知られるので、プライバシーは直接的なアタック
に対して保護される。同様の方法において、入力モニタ
43はこの実行のUNIXワークステーション(図示しな
い)上の策略者デーモンに投票し、且つ各ユーザに関す
るデータを彼/彼女のユーザエージェントへ渡す。ユー
ザはまた、AtLocationプログラム43をランすることに
よって彼らの現在位置を彼らのユーザエージェントへ明
示的に知らせてもよい。各ユーザエージェントは、それ
が種々のソースから受け取る位置ヒントを、そのユーザ
の位置に関する意見へ統合する。これは、信頼度によっ
てさらに確立されるかもしれないし又はそうでないかも
しれない一つの首尾一貫した意見となり得る。或いは、
これは、ユーザのあらゆる可能性のある位置(又は少な
くとも利用可能な証拠によって提示される全ての位置)
に対して、ユーザがその位置にいる確率を計算すること
によって、もっと広範囲に確立された意見となり得る。
理解されるように、ユーザ位置においてより高く確立さ
れた意見が形成された場合、より洗練されたプライバシ
ーポリシー(機密保護方策)が実行され得るが、特定の
ユーザに適したレベルの確立を選択する時に活動し始め
るコスト/利益のトレードオフ(交換)が明らかに存在
する。
重要な考えである。というのは、これらの考えがユーザ
エージェント25及び26がそれらのユーザの位置を指
定し得る精度を決定するからであり、且つこの精度によ
って、支援され得る位置ベースアプリケーションの機能
性が制約される。一つの実行のアクティブバッジは、1
5秒おきにスペクトルの赤外線部分内に独特のid(識
別子)を発し、且つバッジサーバ41はこのデータを収
集し且つそれを受け取るように登録されたユーザエージ
ェントへそのデータを渡す。従って、ユーザエージェン
ト25及び26の各々は、その特定ユーザを表示するバ
ッジidの報告内容をバッジサーバ41によって登録す
る。バッジは赤外線において発するので、バッジシステ
ムの空間的決定又は「セルサイズ」は、単一ルーム又は
オフィスに似通っている。照準合わせの方向線は、トラ
ンスミッタとレシーバの間で必要とされる。バッジid
とユーザの識別の合致が、ユーザのエージェントによっ
てのみ知られるので、プライバシーは直接的なアタック
に対して保護される。同様の方法において、入力モニタ
43はこの実行のUNIXワークステーション(図示しな
い)上の策略者デーモンに投票し、且つ各ユーザに関す
るデータを彼/彼女のユーザエージェントへ渡す。ユー
ザはまた、AtLocationプログラム43をランすることに
よって彼らの現在位置を彼らのユーザエージェントへ明
示的に知らせてもよい。各ユーザエージェントは、それ
が種々のソースから受け取る位置ヒントを、そのユーザ
の位置に関する意見へ統合する。これは、信頼度によっ
てさらに確立されるかもしれないし又はそうでないかも
しれない一つの首尾一貫した意見となり得る。或いは、
これは、ユーザのあらゆる可能性のある位置(又は少な
くとも利用可能な証拠によって提示される全ての位置)
に対して、ユーザがその位置にいる確率を計算すること
によって、もっと広範囲に確立された意見となり得る。
理解されるように、ユーザ位置においてより高く確立さ
れた意見が形成された場合、より洗練されたプライバシ
ーポリシー(機密保護方策)が実行され得るが、特定の
ユーザに適したレベルの確立を選択する時に活動し始め
るコスト/利益のトレードオフ(交換)が明らかに存在
する。
【0026】ユーザエージェントのユーザが、一つの定
義域11から他の定義域12(図2)へ移動したことを
発見した時、良好に作用したユーザエージェントは、そ
のユーザが終了した定義域に対するLQS23から登録
抹消され、且つそのユーザが渡した定義域に対するLQ
S23へ登録される。この作用は、好ましくは、ユーザ
のエージェントが「外部」定義域(即ち、この照準合わ
せ報告を受け取る直前にそのユーザが発見されるだろう
とユーザエージェントが信じていた定義域以外のあらゆ
る定義域のこと)内のソースから照準合わせ報告を受け
取ることによってトリガされる。
義域11から他の定義域12(図2)へ移動したことを
発見した時、良好に作用したユーザエージェントは、そ
のユーザが終了した定義域に対するLQS23から登録
抹消され、且つそのユーザが渡した定義域に対するLQ
S23へ登録される。この作用は、好ましくは、ユーザ
のエージェントが「外部」定義域(即ち、この照準合わ
せ報告を受け取る直前にそのユーザが発見されるだろう
とユーザエージェントが信じていた定義域以外のあらゆ
る定義域のこと)内のソースから照準合わせ報告を受け
取ることによってトリガされる。
【0027】データベースの実行に関しては、このユー
ザエージェント登録/登録抹消処理が、(1)ユーザの
現在定義域に対する位置サーバ15(図2)によって保
守される位置データベースへ特徴付け情報(位置、RP
Cハンドル等)を書き込み、(2)空になった定義域に
対する位置サーバによって保守されたデータベース内の
登録入力を消去するか又は無効にする。全ての照準合わ
せ報告は照準合わせが発生した定義域を含む。従って、
定義域変更が発生した時、ネットワークのあらゆる所与
の定義域に対して位置サーバ15をアドレスするための
ネットワークネーム(名)は、広域ネームサービス58
によって保守される位置サーバネームのルックアップ
(参照)テーブルへインデックス付けするために定義域
ネームを使うことによって得られる。
ザエージェント登録/登録抹消処理が、(1)ユーザの
現在定義域に対する位置サーバ15(図2)によって保
守される位置データベースへ特徴付け情報(位置、RP
Cハンドル等)を書き込み、(2)空になった定義域に
対する位置サーバによって保守されたデータベース内の
登録入力を消去するか又は無効にする。全ての照準合わ
せ報告は照準合わせが発生した定義域を含む。従って、
定義域変更が発生した時、ネットワークのあらゆる所与
の定義域に対して位置サーバ15をアドレスするための
ネットワークネーム(名)は、広域ネームサービス58
によって保守される位置サーバネームのルックアップ
(参照)テーブルへインデックス付けするために定義域
ネームを使うことによって得られる。
【0028】これに対して、マルチキャスト実行に関し
ては、登録/登録抹消処理が、ユーザエージェントに、
(1)そのユーザが空にした定義域へのマルチキャスト
グループから自らを登録抹消すること、及び(2)その
ユーザが移動していった定義域へのマルチキャストグル
ープのメンバとして自らを登録することを要求する。外
部定義域内のアドレスからこのマルチキャストグループ
登録を実行することは技術的には容易であるが、Intern
et(インターネット)のようないくつかのネットワーク
は、外部定義域からのマルチキャストグループメンバと
しての登録を許容しないので、実践が幾分複雑であるか
もしれない。
ては、登録/登録抹消処理が、ユーザエージェントに、
(1)そのユーザが空にした定義域へのマルチキャスト
グループから自らを登録抹消すること、及び(2)その
ユーザが移動していった定義域へのマルチキャストグル
ープのメンバとして自らを登録することを要求する。外
部定義域内のアドレスからこのマルチキャストグループ
登録を実行することは技術的には容易であるが、Intern
et(インターネット)のようないくつかのネットワーク
は、外部定義域からのマルチキャストグループメンバと
しての登録を許容しないので、実践が幾分複雑であるか
もしれない。
【0029】ユーザエージェント25及び26は、それ
らのユーザへ、ユーザの個々のアイデンディディと各ユ
ーザ位置の対応のすべての明示的な公開に対して個人的
な制御を提供する。いくつかの位置ベースアプリケーシ
ョンは、ユーザエージェント25及び26と対話するに
すぎない。例えば、遍在的デリバリ(配布)のためにメ
ッセージを送るには、各エージェントがその時にそのユ
ーザへメッセージを得る処理を行うので、メッセージを
受けるユーザエージェントへ転送することを含むにすぎ
ない。Scoreboard(スコアボード)、Responsive Envir
onment(応答環境)、及びFindNearest (最近似を見つ
けよ)のような他のアプリケーションは、所与の位置に
位置(焦点)合わせされ、これにより、これらのアプリ
ケーションはLQS(位置質問サービス)23を質問し
て、指定された位置で又は指定された位置の近くで、ユ
ーザのユーザエージェントを見つける。ユーザエージェ
ントは、時折、例えば、遍在するデリバリのためにメッ
セージを提供する近隣のターミタルを見つけるため、自
らが位置ベースの質問を実行する理由を有する。
らのユーザへ、ユーザの個々のアイデンディディと各ユ
ーザ位置の対応のすべての明示的な公開に対して個人的
な制御を提供する。いくつかの位置ベースアプリケーシ
ョンは、ユーザエージェント25及び26と対話するに
すぎない。例えば、遍在的デリバリ(配布)のためにメ
ッセージを送るには、各エージェントがその時にそのユ
ーザへメッセージを得る処理を行うので、メッセージを
受けるユーザエージェントへ転送することを含むにすぎ
ない。Scoreboard(スコアボード)、Responsive Envir
onment(応答環境)、及びFindNearest (最近似を見つ
けよ)のような他のアプリケーションは、所与の位置に
位置(焦点)合わせされ、これにより、これらのアプリ
ケーションはLQS(位置質問サービス)23を質問し
て、指定された位置で又は指定された位置の近くで、ユ
ーザのユーザエージェントを見つける。ユーザエージェ
ントは、時折、例えば、遍在するデリバリのためにメッ
セージを提供する近隣のターミタルを見つけるため、自
らが位置ベースの質問を実行する理由を有する。
【0030】LQS23は、これらの位置質問を実行す
るための支援を提供すると共に、効率からプライバシー
に及ぶ広範囲の様々なトレードオフから選択する自由を
ユーザへ提供する。LQS23の重要な特徴は、それが
サーバ保守データベースとして又はマルチキャストグル
ープとして実行されるか否かにかかわらず、検出された
オブジェクトが匿名であってよいことである。その場
合、タプル(組)の対応リストはそのタイプのみを明か
すかもしれないし、且つそのRPCハンドルはこのハン
ドルの背後のオブジェクト/サーバの真の識別を隠蔽す
るために(以下に詳細が追加されている)信頼できる媒
体を介して間接法のような技術を用いてもよい。匿名の
RPCハンドルによってタプルをリストして質問の応答
を得ようとし、且つその対応リスト内に識別をみないク
ライアント(利用者)は、オブジェクトにその識別を問
うためにRPCハンドルを使用しなければならない。従
って、このオブジェクト(例えば、ユーザエージェン
ト)は、そのポリシー(このポリシーは、例えば、コー
ラー(呼出者)を認証することを必要とするかもしれな
い)に依存して、真に応答することができ、偽に応答す
ることができ、又は全然応答することができない。同様
に、クライアント・リクエスタ(要求者)は、匿名のR
PCハンドルからその質問を発行することによりその識
別を隠蔽することができる。
るための支援を提供すると共に、効率からプライバシー
に及ぶ広範囲の様々なトレードオフから選択する自由を
ユーザへ提供する。LQS23の重要な特徴は、それが
サーバ保守データベースとして又はマルチキャストグル
ープとして実行されるか否かにかかわらず、検出された
オブジェクトが匿名であってよいことである。その場
合、タプル(組)の対応リストはそのタイプのみを明か
すかもしれないし、且つそのRPCハンドルはこのハン
ドルの背後のオブジェクト/サーバの真の識別を隠蔽す
るために(以下に詳細が追加されている)信頼できる媒
体を介して間接法のような技術を用いてもよい。匿名の
RPCハンドルによってタプルをリストして質問の応答
を得ようとし、且つその対応リスト内に識別をみないク
ライアント(利用者)は、オブジェクトにその識別を問
うためにRPCハンドルを使用しなければならない。従
って、このオブジェクト(例えば、ユーザエージェン
ト)は、そのポリシー(このポリシーは、例えば、コー
ラー(呼出者)を認証することを必要とするかもしれな
い)に依存して、真に応答することができ、偽に応答す
ることができ、又は全然応答することができない。同様
に、クライアント・リクエスタ(要求者)は、匿名のR
PCハンドルからその質問を発行することによりその識
別を隠蔽することができる。
【0031】本発明の基本的な目的は、以下の概念の
「プライバシー」のための支援を提供することにある。
「プライバシー」のための支援を提供することにある。
【0032】・移動計算は、本質的に秘密の位置情報を
保守する方法で実行されるのが可能でなければならな
い。
保守する方法で実行されるのが可能でなければならな
い。
【0033】・ユーザは、彼らの現在と過去の位置に関
する情報の判明に対して制御を有するべきである。
する情報の判明に対して制御を有するべきである。
【0034】お分かりのように、プライバシー(機密保
護)は絶対的な意味で達成することはできないかもしれ
ない。例えば、暗号化された通信パケットのトラフィッ
ク解析でさえもその位置が明かされやすいのである。従
って、以下の説明は、機密保護モデルの発達に集中して
いる。この説明は、達成が容易なプライバシーを提供す
る「友好な(フレンドリー)」環境の仮説によって開始
するが、環境の友好性に関するこれらの環境的友好性の
仮説の内のいくつかを段階的に緩和していくプライバシ
ー・インフラストラクチュアへ与えるコスト及びパフォ
ーマンス(性能)上の影響についても考察している。
護)は絶対的な意味で達成することはできないかもしれ
ない。例えば、暗号化された通信パケットのトラフィッ
ク解析でさえもその位置が明かされやすいのである。従
って、以下の説明は、機密保護モデルの発達に集中して
いる。この説明は、達成が容易なプライバシーを提供す
る「友好な(フレンドリー)」環境の仮説によって開始
するが、環境の友好性に関するこれらの環境的友好性の
仮説の内のいくつかを段階的に緩和していくプライバシ
ー・インフラストラクチュアへ与えるコスト及びパフォ
ーマンス(性能)上の影響についても考察している。
【0035】広範囲の種々の選択を提供することによっ
て、本発明は、デザイナへ、彼らがほしがる「プライバ
シーの補強」のみに「支払う」選択を提供する。この広
範囲の選択はまた、移動ユーザへ種々の定義域における
種々のレベルのプライバシー保護を提供するための「異
種型」システムの創成を可能にする。この問題に対する
異種型のアプローチは、友好環境では位置ベースのアプ
リケーションを無防備であるが多かれ少なかれ利用する
が、他の環境ではこのようなアプリケーションをほんの
わずか厳守された中で利用すること(又は全く利用しな
いこと)をユーザが選択できるような機会を、「モード
化された(moded )」動作に対して、提供する。
て、本発明は、デザイナへ、彼らがほしがる「プライバ
シーの補強」のみに「支払う」選択を提供する。この広
範囲の選択はまた、移動ユーザへ種々の定義域における
種々のレベルのプライバシー保護を提供するための「異
種型」システムの創成を可能にする。この問題に対する
異種型のアプローチは、友好環境では位置ベースのアプ
リケーションを無防備であるが多かれ少なかれ利用する
が、他の環境ではこのようなアプリケーションをほんの
わずか厳守された中で利用すること(又は全く利用しな
いこと)をユーザが選択できるような機会を、「モード
化された(moded )」動作に対して、提供する。
【0036】本発明のプライバシーゴール(目標)のよ
り明示的な説明が以下に示される。
り明示的な説明が以下に示される。
【0037】1.移動計算は本質的に秘密である位置情
報を保守する方法で生じ得る。
報を保守する方法で生じ得る。
【0038】2.ユーザはその情報のリクエスタの識別
と位置の関数として、彼らの現在と過去の位置における
情報だけでなく、彼らの識別に関する情報の判明を制御
することができる。この制御関数はまた、ユーザのユー
ザエージェントが利用可能な状態変数の値に依存しても
よい。
と位置の関数として、彼らの現在と過去の位置における
情報だけでなく、彼らの識別に関する情報の判明を制御
することができる。この制御関数はまた、ユーザのユー
ザエージェントが利用可能な状態変数の値に依存しても
よい。
【0039】3.リクエスタは、彼ら自身の識別と位置
を明かさないように選択してもよい。この場合、ユーザ
がその要求に応答することを拒否することは自由であ
る。
を明かさないように選択してもよい。この場合、ユーザ
がその要求に応答することを拒否することは自由であ
る。
【0040】4.全ての場合において、識別情報は、
「グループ」識別のリストと選択的に置き換えられる。
本明細書中に使用されているように、「グループ」は、
一組の人間を表現する公知のエンティティであると定義
される。グループにおけるメンバシップの知識(情報)
は公的に知られていても知られてなくてもよい。
「グループ」識別のリストと選択的に置き換えられる。
本明細書中に使用されているように、「グループ」は、
一組の人間を表現する公知のエンティティであると定義
される。グループにおけるメンバシップの知識(情報)
は公的に知られていても知られてなくてもよい。
【0041】5.ユーザが誰かを明かさずに、誰かが所
与の位置に存在していることを明らかにできる。
与の位置に存在していることを明らかにできる。
【0042】このプライバシーゴール(目的)のより明
示的な説明は、情報の判明を制御するために必要とされ
るパラメータの正確なセットを指定するための基礎を提
供する。それはまた、人々が様々なグループに属し、且
つ人々が必ずしも彼らの個人的な識別を明かさずに、グ
ループにおける彼らのメンバシップを明かしたいという
概念を明示的に紹介する。
示的な説明は、情報の判明を制御するために必要とされ
るパラメータの正確なセットを指定するための基礎を提
供する。それはまた、人々が様々なグループに属し、且
つ人々が必ずしも彼らの個人的な識別を明かさずに、グ
ループにおける彼らのメンバシップを明かしたいという
概念を明示的に紹介する。
【0043】「友好環境」は敵の侵入者及びモニタから
保護される環境であり、且つ環境の(正当な)メンバが
「正直」なやり方で行動する環境であると考えられる。
これによって、以下の機密保護モデルが作りだされる。
保護される環境であり、且つ環境の(正当な)メンバが
「正直」なやり方で行動する環境であると考えられる。
これによって、以下の機密保護モデルが作りだされる。
【0044】1.プログラムは「安全に」ランする。要
するに、実行可能なバイナリもランしている画像も無許
可のエンティティによって読み取られたり又は変更され
たりしない。
するに、実行可能なバイナリもランしている画像も無許
可のエンティティによって読み取られたり又は変更され
たりしない。
【0045】2.プライベートな通信はどんな方法でも
モニタされない。さらに、送信者はその情報を送信者に
よって明かされない限り、誰がメッセージを送ったかを
決定することができないし、且つ送信者は、受信者が送
信者の識別を発見することができずに応答する方法を提
供し得る。
モニタされない。さらに、送信者はその情報を送信者に
よって明かされない限り、誰がメッセージを送ったかを
決定することができないし、且つ送信者は、受信者が送
信者の識別を発見することができずに応答する方法を提
供し得る。
【0046】3.ユーザは本発明のプライバシー・イン
フラストラクチュアを用いるプログラムをランすること
ができるが、彼らは「騙す(プライバシー・インフラス
トラクチュアに影響を与えるような嘘をつく)」ことは
ない。
フラストラクチュアを用いるプログラムをランすること
ができるが、彼らは「騙す(プライバシー・インフラス
トラクチュアに影響を与えるような嘘をつく)」ことは
ない。
【0047】4.LQS23におけるあらゆる解決でき
る位置で登録された人の数を数えたり、且つこれらのユ
ーザの識別や位置を推定するためにこれらの数がどのよ
うに変化するかを見るようなトラフィック解析のリスク
がない。
る位置で登録された人の数を数えたり、且つこれらのユ
ーザの識別や位置を推定するためにこれらの数がどのよ
うに変化するかを見るようなトラフィック解析のリスク
がない。
【0048】友好環境の一例は、社員と管理職の間に相
互信頼関係があるような物理的に安全なオフィス環境で
あるかもしれない。
互信頼関係があるような物理的に安全なオフィス環境で
あるかもしれない。
【0049】上記に述べられたプライバシーゴールに伴
う様々な含意(implication )がある。一つは、ユーザ
が「モード化」された方法で現在動作してもよいことで
ある。要するに、彼らは他のパーティー(相手)から自
分たちが見えなくなるように選択してもよい。結果とし
て、この環境においてランするかもしれない位置ベース
のアプリケーションのクライアントは、LQS23が所
与の位置で全てのパーティーに関する完全な情報を含ん
でないかもしれないことを認識すべきである。例えば、
AIRアプリケーションは、それがすべての通過した人
間を記録することができたとはもう仮定できない。もっ
と重要なことは、恐らく、AIRの質問が、AIRアプ
リケーションのバージョンのヒストリが(ユーザの位置
を電子的に明かさないことを選択した誰かを見た覚えが
あるかもしれない)一人又はそれより多くのユーザのメ
モリと首尾一貫していないように見えるかもしれないこ
とを踏まえることによって、行われなければならない。
う様々な含意(implication )がある。一つは、ユーザ
が「モード化」された方法で現在動作してもよいことで
ある。要するに、彼らは他のパーティー(相手)から自
分たちが見えなくなるように選択してもよい。結果とし
て、この環境においてランするかもしれない位置ベース
のアプリケーションのクライアントは、LQS23が所
与の位置で全てのパーティーに関する完全な情報を含ん
でないかもしれないことを認識すべきである。例えば、
AIRアプリケーションは、それがすべての通過した人
間を記録することができたとはもう仮定できない。もっ
と重要なことは、恐らく、AIRの質問が、AIRアプ
リケーションのバージョンのヒストリが(ユーザの位置
を電子的に明かさないことを選択した誰かを見た覚えが
あるかもしれない)一人又はそれより多くのユーザのメ
モリと首尾一貫していないように見えるかもしれないこ
とを踏まえることによって、行われなければならない。
【0050】他の含意は、Birddog とFindのようなアプ
リケーションがそれらの機能性が変更されることを発見
することである。特に、それらのアプリケーションの機
能的仕様は、自らを適切な方法で進んで明かそうとする
人に関する情報だけがそれらのアプリケーションから得
られることを述べるために改善されるべきである。
リケーションがそれらの機能性が変更されることを発見
することである。特に、それらのアプリケーションの機
能的仕様は、自らを適切な方法で進んで明かそうとする
人に関する情報だけがそれらのアプリケーションから得
られることを述べるために改善されるべきである。
【0051】前に述べたように、ユーザは彼らのそれぞ
れのユーザエージェント25及び26によってLQS2
3において表示され、且つこれらのエージェントはそれ
らのユーザによって確立されたポリシーに従って、それ
らのユーザエージェントの各ユーザの位置に関する全て
の質問に対して回答する。このため、ユーザエージェン
ト25及び26は、これらのユーザの位置及び/又は識
別に関する情報に関してこれらのユーザエージェントが
受け取る全てのリクエストを、これらのユーザがこの種
の情報を進んで漏らそうとする状況と範囲に関してこれ
らのユーザエージェントへプログラミングされたポリシ
ーへマッピングする。
れのユーザエージェント25及び26によってLQS2
3において表示され、且つこれらのエージェントはそれ
らのユーザによって確立されたポリシーに従って、それ
らのユーザエージェントの各ユーザの位置に関する全て
の質問に対して回答する。このため、ユーザエージェン
ト25及び26は、これらのユーザの位置及び/又は識
別に関する情報に関してこれらのユーザエージェントが
受け取る全てのリクエストを、これらのユーザがこの種
の情報を進んで漏らそうとする状況と範囲に関してこれ
らのユーザエージェントへプログラミングされたポリシ
ーへマッピングする。
【0052】LQS23における位置に対する質問によ
って人を見つけるために動作する位置ベースアプリケー
ションは、必ずしもこのような人間とそれらの位置の対
応を明かさずに支援され得る。これは、LQS23にお
ける「匿名」登録を用いることによって行われ得る。
って人を見つけるために動作する位置ベースアプリケー
ションは、必ずしもこのような人間とそれらの位置の対
応を明かさずに支援され得る。これは、LQS23にお
ける「匿名」登録を用いることによって行われ得る。
【0053】プライバシーゴールの有用な拡張は、「皆
無又は両方有り(neither or both)」の方法で識別/
位置情報の判明を可能とする。要するに、識別/位置情
報のリクエスタが、それ自体の識別及び/又は位置がそ
の質問が回答された場合、及びその場合だけに限り要求
された情報の「オーナー(所有者)」へ明かされようと
するのを可能にする。
無又は両方有り(neither or both)」の方法で識別/
位置情報の判明を可能とする。要するに、識別/位置情
報のリクエスタが、それ自体の識別及び/又は位置がそ
の質問が回答された場合、及びその場合だけに限り要求
された情報の「オーナー(所有者)」へ明かされようと
するのを可能にする。
【0054】この拡張は、位置又はアイデンディティの
質問の両パーティーが、それらが明かす情報に対する制
御を保守するのを可能にする。
質問の両パーティーが、それらが明かす情報に対する制
御を保守するのを可能にする。
【0055】この拡張を実行するための一つの方法は、
(a)この取引に対する両パーティーのユーザーエージ
ェントに代わってアクセス制御関数を計算するため、及
び(b)両エージェントに対するアクセス制御関数が満
たされているか否かに依存して各パーティーが他から要
求している情報を明かすか又は明かさないかを決定する
ために、中立の、相互に信頼された「エスクローサービ
ス(escrow service)」51を利用することである。こ
のエスクローサービス51は、あらゆるファイルサーバ
15(図2)上又は他の適切なプラットフォーム上でラ
ンしていもよい。それは以下のように利用される。
(a)この取引に対する両パーティーのユーザーエージ
ェントに代わってアクセス制御関数を計算するため、及
び(b)両エージェントに対するアクセス制御関数が満
たされているか否かに依存して各パーティーが他から要
求している情報を明かすか又は明かさないかを決定する
ために、中立の、相互に信頼された「エスクローサービ
ス(escrow service)」51を利用することである。こ
のエスクローサービス51は、あらゆるファイルサーバ
15(図2)上又は他の適切なプラットフォーム上でラ
ンしていもよい。それは以下のように利用される。
【0056】1.要求しているクライアントは、他のパ
ーティーのためのユーザエージェント(即ち「オーナ
ー」である)へそのクライアントが必要とする情報を指
定するメッセージを送る。さらに、クライアントは、何
の情報(位置、識別、その両方か皆無)を彼が進んで明
かしたいとするかについての仕様のみならず、彼の位置
と識別をエスクローサービス51へ送る。
ーティーのためのユーザエージェント(即ち「オーナ
ー」である)へそのクライアントが必要とする情報を指
定するメッセージを送る。さらに、クライアントは、何
の情報(位置、識別、その両方か皆無)を彼が進んで明
かしたいとするかについての仕様のみならず、彼の位置
と識別をエスクローサービス51へ送る。
【0057】2.そのオーナーに対するユーザエージェ
ントは、彼がエスクローサービス51へ適用したいとす
るアクセス制御関数に対する仕様を送る。
ントは、彼がエスクローサービス51へ適用したいとす
るアクセス制御関数に対する仕様を送る。
【0058】3.エスクローサービス51は、クライア
ントから受け取られたパラメータを用いてそのオーナー
に対するユーザエージェントから受け取られたアクセス
制御仕様を実行する。
ントから受け取られたパラメータを用いてそのオーナー
に対するユーザエージェントから受け取られたアクセス
制御仕様を実行する。
【0059】4.オーナーのユーザエージェントのアク
セス制御関数がクライアントのリクエスト(要求)が回
答されるべきであることを示す場合、エスクローサービ
ス51は、そのクライアントについて明かされた情報を
有するオーナーのユーザエージェントへメッセージを送
り、且つ明かされたオーナーのユーザエージェントの位
置及び/又は識別によってクライアントへメッセージを
送る。
セス制御関数がクライアントのリクエスト(要求)が回
答されるべきであることを示す場合、エスクローサービ
ス51は、そのクライアントについて明かされた情報を
有するオーナーのユーザエージェントへメッセージを送
り、且つ明かされたオーナーのユーザエージェントの位
置及び/又は識別によってクライアントへメッセージを
送る。
【0060】「エスクローサービス」に対する必要性
は、なんらかのより限定的なプライバシーゴールが採用
された場合には回避され得る。例えば、
は、なんらかのより限定的なプライバシーゴールが採用
された場合には回避され得る。例えば、
【0061】・ユーザが、単に、(1)リクエスタが進
んでメンバシップであることを認めようとするグループ
のセットと(2)ユーザのユーザエージェントが利用で
きる状態変数の値をベースとする彼らの識別と位置に関
する情報の判明を進んで制御しようとする場合。
んでメンバシップであることを認めようとするグループ
のセットと(2)ユーザのユーザエージェントが利用で
きる状態変数の値をベースとする彼らの識別と位置に関
する情報の判明を進んで制御しようとする場合。
【0062】・リクエスタが彼らの質問が回答されるか
否かにかかわらず、彼らのグループメンバシップの選択
されたリストを進んで知らせようとする場合。
否かにかかわらず、彼らのグループメンバシップの選択
されたリストを進んで知らせようとする場合。
【0063】この変更されたプライバシーゴールに合う
シナリオは一つで、このシナリオにおいて、ユーザはそ
のメンバシップをそのメンバだけが知っている「シーク
レット(秘密)」グループを創成してもよい。ユーザ
は、彼らが創成したグループ内のメンバシップを制御す
ることによって彼らを「認識」できる人を制御すること
ができる。
シナリオは一つで、このシナリオにおいて、ユーザはそ
のメンバシップをそのメンバだけが知っている「シーク
レット(秘密)」グループを創成してもよい。ユーザ
は、彼らが創成したグループ内のメンバシップを制御す
ることによって彼らを「認識」できる人を制御すること
ができる。
【0064】人々と彼らのプログラムが嘘をついている
かもしれないと仮定された場合、機密保護モデルは以下
の理由によって変更されなければならない。
かもしれないと仮定された場合、機密保護モデルは以下
の理由によって変更されなければならない。
【0065】・人々と彼らがランしているプログラムに
よって要求される識別は不正確であるかもしれない。人
々とプログラムの両方が他人に成りすまそうとしている
かもしれない。
よって要求される識別は不正確であるかもしれない。人
々とプログラムの両方が他人に成りすまそうとしている
かもしれない。
【0066】・ユーザエージェントからリターンされた
時と位置サービス(LQS)23に記憶された時の両方
において位置情報は不正確であるかもしれない。
時と位置サービス(LQS)23に記憶された時の両方
において位置情報は不正確であるかもしれない。
【0067】人間、プログラム、及びサービスが、彼ら
が誰なのかについて嘘をつくのを回避するために認証が
用いられ得る。標準的認証サービスが使用された場合、
ユーザエージェントにその位置又は識別情報について質
問したいとするアプリケーションは、各リクエストに対
するパラメータとして適切な認証信任状を提供する用意
をすべきである。同様に、質問が識別をリターンする
時、それが認証すべきものであることを証明する適切な
信任状を有するべきである。実際、LQS23が情報を
提供している場合、ユーザエージェント認証が登録時に
都合よく発生するかもしれず、これによってLQS23
上で質問を実行するコストが削減される。
が誰なのかについて嘘をつくのを回避するために認証が
用いられ得る。標準的認証サービスが使用された場合、
ユーザエージェントにその位置又は識別情報について質
問したいとするアプリケーションは、各リクエストに対
するパラメータとして適切な認証信任状を提供する用意
をすべきである。同様に、質問が識別をリターンする
時、それが認証すべきものであることを証明する適切な
信任状を有するべきである。実際、LQS23が情報を
提供している場合、ユーザエージェント認証が登録時に
都合よく発生するかもしれず、これによってLQS23
上で質問を実行するコストが削減される。
【0068】プログラムが端末エージェントのような種
々のサービスの信頼できる用例を取り扱っていることを
確実するためには、いくらかより複雑な形態の認証が必
要とされる。問題なのは、クライアントが個別を基本と
する全ての外部定義域における全てのサービス供給者の
信頼性を事前に認識していないので、識別認証がサービ
ス供給者の信頼性を確認するのに充分ではないことであ
る。この理由から、本発明のプライバシーインフラスト
ラクチュアは、グループの認証サービスを含むように有
利に拡張され得る。このグループの認証サービスは、本
明細書中において、'Better Business Bureau (ベター
ビジネスビューロー)(BBB)' と呼ばれる。このイ
ンフラストラクチュアへの追加を利用するため、デバイ
スエージェント28及び29のような種々の分散サービ
スは、メンバーシップがBBBサービス52を介して認
証され得るグループに属している。
々のサービスの信頼できる用例を取り扱っていることを
確実するためには、いくらかより複雑な形態の認証が必
要とされる。問題なのは、クライアントが個別を基本と
する全ての外部定義域における全てのサービス供給者の
信頼性を事前に認識していないので、識別認証がサービ
ス供給者の信頼性を確認するのに充分ではないことであ
る。この理由から、本発明のプライバシーインフラスト
ラクチュアは、グループの認証サービスを含むように有
利に拡張され得る。このグループの認証サービスは、本
明細書中において、'Better Business Bureau (ベター
ビジネスビューロー)(BBB)' と呼ばれる。このイ
ンフラストラクチュアへの追加を利用するため、デバイ
スエージェント28及び29のような種々の分散サービ
スは、メンバーシップがBBBサービス52を介して認
証され得るグループに属している。
【0069】仮説はBBBサービス52が各グループの
有効メンバシップが何であるかを決定することができる
ことである。実際に、デバイスエージェントのような事
に対しては、信頼の種々のレベルを区別することが有用
である。例えば、BBBサービス52は、物理的に安全
で且つ信頼できる装置上でランしている全てのデバイス
エージェント28及び29に対して上位レベルの信頼を
証明することが可能であるかもしれないが、全ての他の
エージェントに対して相当に下位レベルの信頼を証明し
得るにすぎないかもしれない。緊急メッセージ配布(Ur
gent Message Delivery )は、BBBサービス52が所
与の端末エージェントを証明するために用意されるとい
う信頼レベルにおける違いをベースにして、異なるよう
に、動作するために設計されてもよいアプリケーション
である。
有効メンバシップが何であるかを決定することができる
ことである。実際に、デバイスエージェントのような事
に対しては、信頼の種々のレベルを区別することが有用
である。例えば、BBBサービス52は、物理的に安全
で且つ信頼できる装置上でランしている全てのデバイス
エージェント28及び29に対して上位レベルの信頼を
証明することが可能であるかもしれないが、全ての他の
エージェントに対して相当に下位レベルの信頼を証明し
得るにすぎないかもしれない。緊急メッセージ配布(Ur
gent Message Delivery )は、BBBサービス52が所
与の端末エージェントを証明するために用意されるとい
う信頼レベルにおける違いをベースにして、異なるよう
に、動作するために設計されてもよいアプリケーション
である。
【0070】BBBサービス52は、これらのサービス
の消費者から、それによって登録されたサービスに対す
るパフォーマンス報告/苦情を受け取り、且つこれらの
報告の要約(又はそれらを基にした信頼意見)をそれら
を要求するかもしれないユーザエージェントへ提供する
ための提示をさらに有し得る。
の消費者から、それによって登録されたサービスに対す
るパフォーマンス報告/苦情を受け取り、且つこれらの
報告の要約(又はそれらを基にした信頼意見)をそれら
を要求するかもしれないユーザエージェントへ提供する
ための提示をさらに有し得る。
【0071】人とプログラムが嘘をつくことができると
仮定すると、彼らがグループ内のメンバシップであると
偽って主張するのを避けるための段階が必要とされる。
一つのアプローチは、一般的に、メンバシップをベリフ
ァイ(検証)するために認証サービスを用いることを示
唆する従来の認証技術を用いることである。しかしなが
ら、これは、メッセージ外のラウンドトリップ(周遊移
動)のオーバーヘッドを回避することを主な目的とする
シークレットグループにはあまりにも高価であるかもし
れない。従って、他のアプローチを以下に示す。
仮定すると、彼らがグループ内のメンバシップであると
偽って主張するのを避けるための段階が必要とされる。
一つのアプローチは、一般的に、メンバシップをベリフ
ァイ(検証)するために認証サービスを用いることを示
唆する従来の認証技術を用いることである。しかしなが
ら、これは、メッセージ外のラウンドトリップ(周遊移
動)のオーバーヘッドを回避することを主な目的とする
シークレットグループにはあまりにも高価であるかもし
れない。従って、他のアプローチを以下に示す。
【0072】・グループの全てのメンバにそのグループ
に対する暗号キーを与える。
に対する暗号キーを与える。
【0073】・情報リクエスタは、彼らがメンバシップ
であると主張したいとするシークレットグループごとに
以下の二つのことを有する。即ち、グループのid(識
別)と、グループのキーによって暗号化された既知の
値。
であると主張したいとするシークレットグループごとに
以下の二つのことを有する。即ち、グループのid(識
別)と、グループのキーによって暗号化された既知の
値。
【0074】・リクエストの受信者がグループのメンバ
である場合、その受信者は暗号キーを知るであろうし、
且つ暗号化された値が実際に予測された既知の値である
か否かをチェックすることができる。
である場合、その受信者は暗号キーを知るであろうし、
且つ暗号化された値が実際に予測された既知の値である
か否かをチェックすることができる。
【0075】・リクエスタへリターンされるシークレッ
トグループ識別情報は同じ方法でベリファイされ得る。
トグループ識別情報は同じ方法でベリファイされ得る。
【0076】この認証スキームへの再生攻撃を防ぐた
め、暗号化するための既知の値は使用される度に変更さ
れなければならない。広域に同期化された時間が使用可
能である場合、それは値として使用できる。そうでない
場合、新しい値の仕様を暗号化するのを可能とするため
に追加メッセージ交換が必要とされるかもしれない。
め、暗号化するための既知の値は使用される度に変更さ
れなければならない。広域に同期化された時間が使用可
能である場合、それは値として使用できる。そうでない
場合、新しい値の仕様を暗号化するのを可能とするため
に追加メッセージ交換が必要とされるかもしれない。
【0077】人とプログラムは、彼らの位置について騙
すこともできる。当分の間、位置インフラストラクチュ
ア(センサ、位置標識、他)が信頼できると仮定される
が、これは常に有効な仮説ではないと理解されよう。
すこともできる。当分の間、位置インフラストラクチュ
ア(センサ、位置標識、他)が信頼できると仮定される
が、これは常に有効な仮説ではないと理解されよう。
【0078】誰か又は何かが空間と時間における所与の
位置にあることを認証するには以下のことが必要とされ
る。
位置にあることを認証するには以下のことが必要とされ
る。
【0079】・存在が認証されるべきオブジェクトは、
いくつかの独特な区別特徴を所有すべきである。
いくつかの独特な区別特徴を所有すべきである。
【0080】・指定された位置においてこの独特な特徴
の存在を確実に区別することができるセンサが提供され
るべきである。
の存在を確実に区別することができるセンサが提供され
るべきである。
【0081】・センサーの出力はそれを使用するクライ
アントにより信頼できると推定されるべきであり、且つ
その出力をあらゆる他のソースの出力から確実に区別す
るための方法が提供されるべきである。
アントにより信頼できると推定されるべきであり、且つ
その出力をあらゆる他のソースの出力から確実に区別す
るための方法が提供されるべきである。
【0082】人や物の位置を識別するために利用可能な
システム及びサービスは残念ながら本質的に信頼できな
い。例えば、信頼されたセンサはワイヤレスの通信デバ
イスの存在又はアクティブバッジの存在を検出すること
ができる。しかしながら、これらのデバイスはそれらが
表面上は対応している人間から分離され得る。これによ
って、そのタイプのセンサシステムによって提供される
照準合わせは、デバイスの位置を認証できるだけであ
り、それらに対応する人間の位置を認証することはでき
ない。理解されるように、これは、それが上記のプライ
バシーゴールが完全に達成され得ず、且つ位置ベースア
プリケーションの内のいくつかが完全には実行され得な
いことを意味するので、重要なシステムの含意を有して
いる。従って、適切な識別又は位置の相関部分が見つか
らなかったので、ユーザエージェントはリクエストに敬
意を表するか否かを決定する時、リクエスタの識別(識
別と位置の両方ではない)を信頼できるだけである。さ
らに、位置ベースアプリケーションに対するパフォーマ
ンス仕様は、以下の明確化を条件とする。
システム及びサービスは残念ながら本質的に信頼できな
い。例えば、信頼されたセンサはワイヤレスの通信デバ
イスの存在又はアクティブバッジの存在を検出すること
ができる。しかしながら、これらのデバイスはそれらが
表面上は対応している人間から分離され得る。これによ
って、そのタイプのセンサシステムによって提供される
照準合わせは、デバイスの位置を認証できるだけであ
り、それらに対応する人間の位置を認証することはでき
ない。理解されるように、これは、それが上記のプライ
バシーゴールが完全に達成され得ず、且つ位置ベースア
プリケーションの内のいくつかが完全には実行され得な
いことを意味するので、重要なシステムの含意を有して
いる。従って、適切な識別又は位置の相関部分が見つか
らなかったので、ユーザエージェントはリクエストに敬
意を表するか否かを決定する時、リクエスタの識別(識
別と位置の両方ではない)を信頼できるだけである。さ
らに、位置ベースアプリケーションに対するパフォーマ
ンス仕様は、以下の明確化を条件とする。
【0083】・Findはその結果を事実としてよりもヒン
トとして処理し得るにすぎないこと。
トとして処理し得るにすぎないこと。
【0084】デバイスの認証された照準合わせはそれ自
体のユーティリティ(利用性)を有することに注目され
たい。例えば、
体のユーティリティ(利用性)を有することに注目され
たい。例えば、
【0085】・一度に多くの位置をモニタしているエン
ティティに対する保護は、それらの位置で存在すること
を同時に主張することによって提供され得る。
ティティに対する保護は、それらの位置で存在すること
を同時に主張することによって提供され得る。
【0086】通信ファシリティの機密保護が疑わしい場
合、通信トラフィックが権限のないパーティーによって
モニタされたり変更されたりするかもしれないリスクが
ある。暫くの間、(人が複数のパケットのパターンから
情報を推定しようとするような)トラフィック解析のリ
スクは、個々の通信パケットの検査を含む攻撃のリスク
を緩和するために取られるプライバシー警告の方に集中
することにより無視される。
合、通信トラフィックが権限のないパーティーによって
モニタされたり変更されたりするかもしれないリスクが
ある。暫くの間、(人が複数のパケットのパターンから
情報を推定しようとするような)トラフィック解析のリ
スクは、個々の通信パケットの検査を含む攻撃のリスク
を緩和するために取られるプライバシー警告の方に集中
することにより無視される。
【0087】標準的暗号化技術は通信されているデータ
の不要な検査を避けるために用いられ得る。しかしなが
ら、メッセージが経路指定(ルーチング)されるべきア
ドレスは、それが適切なルーチングを回避するので暗号
化できない。これは、残念ながら、ネットワーク・モニ
タ(又は認定されたメッセージの受信者でもよい)が、
関連するソース及び宛て先アドレスを検査することによ
って位置/識別情報を推定することができるかもしれな
いことを意味する。例えば、ソースはワイヤレス通信セ
ルを識別してもよいし、且つ宛て先は特定ユーザの識別
を明かしてもよい(又はその逆)。
の不要な検査を避けるために用いられ得る。しかしなが
ら、メッセージが経路指定(ルーチング)されるべきア
ドレスは、それが適切なルーチングを回避するので暗号
化できない。これは、残念ながら、ネットワーク・モニ
タ(又は認定されたメッセージの受信者でもよい)が、
関連するソース及び宛て先アドレスを検査することによ
って位置/識別情報を推定することができるかもしれな
いことを意味する。例えば、ソースはワイヤレス通信セ
ルを識別してもよいし、且つ宛て先は特定ユーザの識別
を明かしてもよい(又はその逆)。
【0088】情報がこのようにして「漏洩」されるのを
回避するために、ソースと宛て先のアドレスを互いに非
干渉化するための中間サービスが必要とされる。従っ
て、本発明のプライバシー・インフラストラクチュア
は、以下に定義され得る信頼されるソース/宛て先非干
渉化サービス53を含むためにさらに拡張される。
回避するために、ソースと宛て先のアドレスを互いに非
干渉化するための中間サービスが必要とされる。従っ
て、本発明のプライバシー・インフラストラクチュア
は、以下に定義され得る信頼されるソース/宛て先非干
渉化サービス53を含むためにさらに拡張される。
【0089】・公的鍵暗号法のような暗号法のいくつか
の形態を用いる信頼できるサーバ15(図2)は、任意
のクライアントが安全な暗号化された方法でそのメッセ
ージをサーバへ送る。
の形態を用いる信頼できるサーバ15(図2)は、任意
のクライアントが安全な暗号化された方法でそのメッセ
ージをサーバへ送る。
【0090】・サーバ15へ送られた各メッセージはメ
ッセージの残りが送られる暗号化されたネットワークア
ドレスを含む。
ッセージの残りが送られる暗号化されたネットワークア
ドレスを含む。
【0091】・サーバ15は送られるあらゆるメッセー
ジを取り、それらを暗号解読し、且つそれらを当該メッ
セージの中で指定されたネットワークのアドレスへ送
る。
ジを取り、それらを暗号解読し、且つそれらを当該メッ
セージの中で指定されたネットワークのアドレスへ送
る。
【0092】さらに、移動デバイスを指定するために既
知のアドレス又は識別子を用いて回避することが、当
然、懸命である。
知のアドレス又は識別子を用いて回避することが、当
然、懸命である。
【0093】アタック(攻撃)をモニタする戦闘(comb
at monitoring attacks )に対しての暗号化の使用は、
データの認可されない注入又は変更に対するいくつかの
保護を提供する。再生スタイルのデータ注入は可能だ
が、そのタイプの攻撃を避けるために実行され得る暗号
化されたデータの再生を避けるために周知の技術があ
る。
at monitoring attacks )に対しての暗号化の使用は、
データの認可されない注入又は変更に対するいくつかの
保護を提供する。再生スタイルのデータ注入は可能だ
が、そのタイプの攻撃を避けるために実行され得る暗号
化されたデータの再生を避けるために周知の技術があ
る。
【0094】いくつかの状況において、ユーザはインフ
ラストラクチュアの全ての構成素子が信頼できるという
リスクを積極的には受け取らないかもしれない。この状
況が発生する最も自然な設定は、複数の管理的定義域1
1及び12(図2)の設定である。人は、外部管理定義
域のサーバ及びサービスが、ある人固有の管理的定義域
のサーバ及びサービスよりも信頼すべきでないとほぼ定
義することによって仮定することができる。
ラストラクチュアの全ての構成素子が信頼できるという
リスクを積極的には受け取らないかもしれない。この状
況が発生する最も自然な設定は、複数の管理的定義域1
1及び12(図2)の設定である。人は、外部管理定義
域のサーバ及びサービスが、ある人固有の管理的定義域
のサーバ及びサービスよりも信頼すべきでないとほぼ定
義することによって仮定することができる。
【0095】LQS23(図1)の信頼できない場合、
個人的な情報の信頼されるリポジトリ(計算システムの
ための情報の集合)として処理されることができない。
しかしながら、それは、ユーザエージェント−集中アー
キテクチュアが用いられた時はあまり重要でない。これ
は、実際に、本発明のユーザエージェントと集中アーキ
テクチュアが大きなシステムへ適切に拡大するための主
な理由である。
個人的な情報の信頼されるリポジトリ(計算システムの
ための情報の集合)として処理されることができない。
しかしながら、それは、ユーザエージェント−集中アー
キテクチュアが用いられた時はあまり重要でない。これ
は、実際に、本発明のユーザエージェントと集中アーキ
テクチュアが大きなシステムへ適切に拡大するための主
な理由である。
【0096】位置データのいくつかのソースが改ざんで
あるかもしれない場合、
あるかもしれない場合、
【0097】・ユーザエージェントはそれらがそれらの
ソースから受け取る全ての位置データを信頼できない
し、且つ従ってこれに応じてそのデータを判断しなけれ
ばならない。
ソースから受け取る全ての位置データを信頼できない
し、且つ従ってこれに応じてそのデータを判断しなけれ
ばならない。
【0098】・関連するセンサの信頼性をベリファイす
るいくつかの外的手段が提供されない場合、認証された
位置情報は信頼され得ない。
るいくつかの外的手段が提供されない場合、認証された
位置情報は信頼され得ない。
【0099】その改ざんが緊急の問題ではないインフラ
ストラクチュアサービスの一つの素子は、「エスクロ
ー」サービス51である。これはユーザが彼らが望むい
づれのサービスをもユーザが自由に使用できる複数のエ
スクローサービスであり得るからである。理解されるよ
うに、この引数に対するキーは、あらゆるペアの可能性
のあるクライアントが容認できるな使用すべきサービス
であると同意できるほどに信頼できる第3者のエスクロ
ー・サービス51が提供されるという仮説である。そう
でない場合、クライアントはサービスの拒否に会う。
ストラクチュアサービスの一つの素子は、「エスクロ
ー」サービス51である。これはユーザが彼らが望むい
づれのサービスをもユーザが自由に使用できる複数のエ
スクローサービスであり得るからである。理解されるよ
うに、この引数に対するキーは、あらゆるペアの可能性
のあるクライアントが容認できるな使用すべきサービス
であると同意できるほどに信頼できる第3者のエスクロ
ー・サービス51が提供されるという仮説である。そう
でない場合、クライアントはサービスの拒否に会う。
【0100】同様の引数が信頼できるソース/宛て先の
非干渉化サービス53を処理するために固守する。さら
に、いくつかの異なる非干渉化サーバを通過する通信ル
ートを得るためにこれらのデカプラー(非干渉子)を
「構成する」ことができることは注目されるべきであ
る。その場合、単一サーバは完全なルートを知らない。
例えば、図3に示したように、宛て先(Dst)62に
対して、式[Rtr1,{Rtr2,{...{Dst
2}kn}k2}k1]のRPCハンドル61を経路指定する
ために連鎖状のデカプラRtr1...Rtr2が提供
されており、且つここでkは公的暗号キーである。
非干渉化サービス53を処理するために固守する。さら
に、いくつかの異なる非干渉化サーバを通過する通信ル
ートを得るためにこれらのデカプラー(非干渉子)を
「構成する」ことができることは注目されるべきであ
る。その場合、単一サーバは完全なルートを知らない。
例えば、図3に示したように、宛て先(Dst)62に
対して、式[Rtr1,{Rtr2,{...{Dst
2}kn}k2}k1]のRPCハンドル61を経路指定する
ために連鎖状のデカプラRtr1...Rtr2が提供
されており、且つここでkは公的暗号キーである。
【0101】エスクロー及びソース/宛て先・非干渉化
サービスのようなBBBサービス52は複数の用例を有
することができ、且つクライアントは、彼らが信頼する
どの例示でも自由に選択できる。BBBサービスと上記
の他の2種類のサービスの違いは、BBBサービスは、
これらの定義域によって登録されたサービス(即ち、デ
バイスエージェント28及び29、その他)を認証する
ことできるように特定の管理的定義域に拘束されなけれ
ばならないことである。これに対して、エスクローサー
ビス51と非干渉化サービス52は定義域が別々であ
り、且つこれらのクライアントは彼らが信頼するどの定
義域からでもサービスを選択することができる。
サービスのようなBBBサービス52は複数の用例を有
することができ、且つクライアントは、彼らが信頼する
どの例示でも自由に選択できる。BBBサービスと上記
の他の2種類のサービスの違いは、BBBサービスは、
これらの定義域によって登録されたサービス(即ち、デ
バイスエージェント28及び29、その他)を認証する
ことできるように特定の管理的定義域に拘束されなけれ
ばならないことである。これに対して、エスクローサー
ビス51と非干渉化サービス52は定義域が別々であ
り、且つこれらのクライアントは彼らが信頼するどの定
義域からでもサービスを選択することができる。
【0102】前に述べた説明は、アタッカーが、通信に
おける行動のパターンとより高いレベルを解析すること
ができない(又は解析するのに必要とされる資源を進呈
しない)と仮定していた。通信パケットが通信する相手
(パーティー)を直ぐに識別するソース又は宛て先アド
レスを含まない時でも、システムにおける全ての通信を
観察することができ且つ伝送のタイミングを注意深く解
析する用意ができているアタッカーは、いくつかのプラ
イベートな情報に関する彼の不安を大きく減少すること
ができる。LQS23が所与の位置における人間の数を
カウントすることだけを有する場合も、全ての位置に対
するカウントを常時モニタするアタッカーは、カウント
変化の行方を見ることにより誰が何処にいるかの名案を
得ることができる。
おける行動のパターンとより高いレベルを解析すること
ができない(又は解析するのに必要とされる資源を進呈
しない)と仮定していた。通信パケットが通信する相手
(パーティー)を直ぐに識別するソース又は宛て先アド
レスを含まない時でも、システムにおける全ての通信を
観察することができ且つ伝送のタイミングを注意深く解
析する用意ができているアタッカーは、いくつかのプラ
イベートな情報に関する彼の不安を大きく減少すること
ができる。LQS23が所与の位置における人間の数を
カウントすることだけを有する場合も、全ての位置に対
するカウントを常時モニタするアタッカーは、カウント
変化の行方を見ることにより誰が何処にいるかの名案を
得ることができる。
【0103】アタッカーがトラフィック解析から導出で
きる情報の正確な量は、解析されるトラフィックの量、
ユーザが彼らの行動を進んで制限しようとする度合、及
びトラフィック解析をより複雑にする技術に対してユー
ザが払おうとする金額に依存する。このテーマの徹底的
な説明は本発明の開示の範囲ではない。
きる情報の正確な量は、解析されるトラフィックの量、
ユーザが彼らの行動を進んで制限しようとする度合、及
びトラフィック解析をより複雑にする技術に対してユー
ザが払おうとする金額に依存する。このテーマの徹底的
な説明は本発明の開示の範囲ではない。
【0104】しかしながら、上記に説明した機密保護モ
デルがアタッカーが全てのトラフィックを観察し、且つ
それに対して任意計算を実行するのを許容することが理
解される。従って、機密保護のゴールはユーザが彼らの
位置を全ての人から隠したり、誰からも隠さないのを可
能にする。さらに、ユーザは、自由に彼らの移動ユニッ
トからの伝送を不可能にすることができる。
デルがアタッカーが全てのトラフィックを観察し、且つ
それに対して任意計算を実行するのを許容することが理
解される。従って、機密保護のゴールはユーザが彼らの
位置を全ての人から隠したり、誰からも隠さないのを可
能にする。さらに、ユーザは、自由に彼らの移動ユニッ
トからの伝送を不可能にすることができる。
【0105】
【発明の効果】最高ではないが注目に値する設計のポイ
ントは、同様の機密保護モデルとゴールをベースにして
いるが、ユーザが位置の判明のリスクをめったに冒さな
いことを提案する。これによって、インプリメンテーシ
ョン(実施)は、ユーザの移動通信デバイスからの時折
のヒントによって同報通信(ブロードキャスト)が指定
されるセルラー・セル・システムを選択するのが可能と
なる。
ントは、同様の機密保護モデルとゴールをベースにして
いるが、ユーザが位置の判明のリスクをめったに冒さな
いことを提案する。これによって、インプリメンテーシ
ョン(実施)は、ユーザの移動通信デバイスからの時折
のヒントによって同報通信(ブロードキャスト)が指定
されるセルラー・セル・システムを選択するのが可能と
なる。
【0106】本発明は、ユーザが様々な位置にあり且つ
/又は異なるコンテクストにおいて動作している間、彼
らに関して漏洩される個人的な情報の範囲及び配布に対
して改善された制御を提供する。
/又は異なるコンテクストにおいて動作している間、彼
らに関して漏洩される個人的な情報の範囲及び配布に対
して改善された制御を提供する。
【図1】一つの定義域に対する本発明のシステムアーキ
テクチュアを示す図である。
テクチュアを示す図である。
【図2】定常及び移動計算に対する複数の定義域分散形
計算環境を概略的に示す図である。
計算環境を概略的に示す図である。
【図3】入れ子にされた暗号化された値を暗号解読する
ために入れ子にされた暗号解読システムを概略的に示す
図である。
ために入れ子にされた暗号解読システムを概略的に示す
図である。
21、22 アプリケーション 25、26 ユーザエージェント 28、29 デバイスエージェント
───────────────────────────────────────────────────── フロントページの続き (72)発明者 マイケル ジェイ.スプレイツァー アメリカ合衆国 カリフォルニア州 95376 トレイシー ブリッスルコーン ドライヴ 1941 (72)発明者 ディビッド エイ.ニコルス アメリカ合衆国 カリフォルニア州 94043 マウンテン ビュー デル アヴ ェニュー 2555 (72)発明者 マーク ディー.ウェイサー アメリカ合衆国 カリフォルニア州 94301 パロ アルト グリーンウッド アヴェニュー 1144
Claims (1)
- 【請求項1】 分散形計算環境において少なくとも一つ
の位置ベースのシステムサービスを利用することを選択
する移動ユーザを含むユーザの代わりに、ユーザ指定機
密保護ポリシーを実行するためのインフラストラクチュ
アであって、 サーバを有し、 位置質問サービスによって登録されたオブジェクトに対
して位置ベースの質問を実行するために前記サーバ上で
ランする前記位置質問サービスを有し、 前記ユーザに対するそれぞれのユーザエージェントを有
し、 前記ユーザエージェントの各々が、前記ユーザエージェ
ントのそれぞれのユーザによって指定されたポリシーに
従って実行するように構成されており、 前記ユーザエージェントのそれぞれのユーザを指定時間
で指定位置と相関させようと意図する、前記ユーザエー
ジェントへデータを渡すための、少なくとも一つの位置
データのソースを有し、 前記ユーザエージェントの各々が、前記ユーザエージェ
ントのそれぞれのユーザの前記ポリシーの下で、且つ前
記ユーザエージェントのユーザの前記ポリシーによって
指令された形態で、前記位置質問サービスによって自ら
を登録することが許可されると、前記位置質問サービス
によって自らを登録し、各ユーザエージェント登録が前
記登録されたユーザエージェントへメッセージを渡すた
めの通信経路の位置及び定義を含み、これにより、登録
されたユーザエージェントの位置に符合する前記位置質
問サービス上で質問をランするリクエスタが、前記登録
されたユーザエージェントと連絡を取るために前記通信
経路を利用するのを可能にする、 インフラストラクチュア。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16252293A | 1993-12-03 | 1993-12-03 | |
| US162522 | 1993-12-03 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH07200447A true JPH07200447A (ja) | 1995-08-04 |
Family
ID=22585986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP6291052A Withdrawn JPH07200447A (ja) | 1993-12-03 | 1994-11-25 | インフラストラクチュア |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH07200447A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10126405A (ja) * | 1996-10-16 | 1998-05-15 | Toshiba Corp | 移動計算機装置及びパケット暗号化認証方法 |
| JP2015043623A (ja) * | 1998-06-30 | 2015-03-05 | 鯨田 雅信 | 出会い・連絡支援システム |
-
1994
- 1994-11-25 JP JP6291052A patent/JPH07200447A/ja not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10126405A (ja) * | 1996-10-16 | 1998-05-15 | Toshiba Corp | 移動計算機装置及びパケット暗号化認証方法 |
| JP2015043623A (ja) * | 1998-06-30 | 2015-03-05 | 鯨田 雅信 | 出会い・連絡支援システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Liu et al. | A survey on secure data analytics in edge computing | |
| Wu et al. | Privacy-aware task allocation and data aggregation in fog-assisted spatial crowdsourcing | |
| Xiong et al. | A personalized privacy protection framework for mobile crowdsensing in IIoT | |
| Hamad et al. | Realizing an internet of secure things: A survey on issues and enabling technologies | |
| Wang et al. | STAMP: Enabling privacy-preserving location proofs for mobile users | |
| Kapadia et al. | Opportunistic sensing: Security challenges for the new paradigm | |
| Ghaffari et al. | $ P^ 4QS $: A peer-to-peer privacy preserving query service for location-based mobile applications | |
| Xia et al. | Adaptive multimedia data forwarding for privacy preservation in vehicular ad-hoc networks | |
| Vergara-Laurens et al. | Privacy-preserving mechanisms for crowdsensing: Survey and research challenges | |
| Wang et al. | Enabling reputation and trust in privacy-preserving mobile sensing | |
| Khaliq et al. | A secure and privacy preserved parking recommender system using elliptic curve cryptography and local differential privacy | |
| Krontiris et al. | Location privacy in urban sensing networks: research challenges and directions [security and privacy in emerging wireless networks] | |
| Dargahi et al. | ABAKA: A novel attribute-based k-anonymous collaborative solution for LBSs | |
| Natgunanathan et al. | Location privacy protection in smart health care system | |
| Sicari et al. | Insights into security and privacy towards fog computing evolution | |
| Ni et al. | Privacy-preserving mobile crowdsensing for located-based applications | |
| Loukas et al. | MILC: A secure and privacy-preserving mobile instant locator with chatting | |
| He et al. | User location privacy protection mechanism for location-based services | |
| Lin et al. | A trustworthy access control model for mobile cloud computing based on reputation and mechanism design | |
| Duguma et al. | A lightweight D2D security protocol with request-forecasting for next-generation mobile networks | |
| Huang et al. | Secure pervasive social communications based on trust in a distributed way | |
| Li et al. | How to protect query and report privacy without sacrificing service quality in participatory sensing | |
| Rathod et al. | Investigation of privacy issues in location-based services | |
| Mengjun et al. | Privacy-preserving distributed location proof generating system | |
| JPH07200447A (ja) | インフラストラクチュア |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20020205 |