SE520078C2 - Auatomatiskt identifieringsskyddssystem med fjärrövervakning av tredje part - Google Patents

Auatomatiskt identifieringsskyddssystem med fjärrövervakning av tredje part

Info

Publication number
SE520078C2
SE520078C2 SE0202712A SE0202712A SE520078C2 SE 520078 C2 SE520078 C2 SE 520078C2 SE 0202712 A SE0202712 A SE 0202712A SE 0202712 A SE0202712 A SE 0202712A SE 520078 C2 SE520078 C2 SE 520078C2
Authority
SE
Sweden
Prior art keywords
data
domain
work
work data
receiver
Prior art date
Application number
SE0202712A
Other languages
English (en)
Other versions
SE0202712L (sv
SE0202712D0 (sv
Inventor
Sverrir Karlsson
Skeggi Thormar
Hakon Gudbjartsson
Original Assignee
Decode Genetics Ehf
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Decode Genetics Ehf filed Critical Decode Genetics Ehf
Publication of SE0202712D0 publication Critical patent/SE0202712D0/sv
Publication of SE0202712L publication Critical patent/SE0202712L/sv
Publication of SE520078C2 publication Critical patent/SE520078C2/sv

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/383Anonymous user system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding
    • H04L2209/043Masking or blinding of tables, e.g. lookup, substitution or mapping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

25 30 35 REDOGÖRELSE FÖR UPPFINNINGEN Föreliggande uppfinning utgörs av ett mjukvarusystem för automatisk fördelning av individuella identifierare i datapaket som innehåller personliga data. Systemet är baserat på tre huvudmoduler som arbetar i säker omgivning. De utgörs av en hemlig delnings- modul, en fördelningsmodul och en kommunikationsmodul. Systemet är också kopplat till ett primärminne.
Användarrollema uppdelas i fyra huvudkategorier; stamanvändare, övervakare, administratörer och kodinnehavare. Stamanvändare är antingen sändare eller mottagare eller båda delar och är associerade med olika säkerhetszoner eller -domäner. Vanligen finns det endast två säkerhetsdomäner, dvs. datainsamlare och dataanalyserare, men systemet kan utökas till flera än två säkerhetsdomäner. Tvåvägsautentisering med användning av elektroniska certifikat (såsom US-patentet nr 4,405,829, innehavare Rivest et al.) används när helst användare loggar in i systemet, och följaktligen verifierar systemet varje användare och hans roll, och på liknande sätt bekräftar användaren att han är inkopplad i rätt system.
När systemet väl är öppnat och körs, kan det betraktas som en ”svart låda” med säkra in- och utmatningskanaler för sändare, mottagare, övervakare och det egna primär- minnet. Om man antar att systemet körs i säker miljö, t ex säkert operationssystem som beskrivs av S. Castano et al. iDatabase Security, Addison-Wesley Publishing Co. (1994) på sid 218, eller en intrångsskyddad hårdvara, är det omöjligt att läsa eller skriva någon information lagrad i systemet utom via nämnda säkerhetskanaler. Följaktligen garanterar systemet att det inte finns någon olaglig åtkomst av användare utan de erforderliga privilegierna. På liknande sätt antingen krypteras, signeras digitalt (såsom medelst metoden enligt Bruce Schneier iApplied Cryptography, John Wiley & Sons, Inc. (1996), sid 483) eller både och alla dataöverföringar till primärminnet och kan därför endast modifieras och läsas av själva systemet. Därför kan primärminnet betraktas som en del av ett säkert minne som hänförts till systemet.
När systemet startas första gången, måste alla kodinnehavare vara närvarande, varvid deras antal är föremål för specifikation under uppstarten. I nämnda inledande uppstarts- process genererar systemet en hemlig krypteringskod som endast känns igen av själva systemet. Denna kod, känd som datakrypteringskod, förvaras i säkerhetsminnet och yppas aldrig för någon. Det lagras emellertid ständigt i kodad form med användning av en hemlig delningsteknik (såsom den som beskrivs av Schneier på sid 528 iApplied Cryptography, som nämnts ovan). När helst systemet behöver startas om, måste ett 10 15 20 25 30 35 520 078 s tillräckligt antal kodinnehavare närvara för att dechiffrera datakiypteringskoden. Under den inledande uppstarten generers också ett allmänt-privat kodpar för systemet (såsom i US-patentet nr 4,405,829, innehavare Rivest el al.). Privatkoden lagras krypterad som datakrypteringskod och används av systemet för att autentisiera sig självt för sina klienter.
Under den inledande startfasen måste övervakarrollerna tilldelas några användare som tillägg till kodinnehavarrollerna. Därefter kan alla användaroperationer utföras med fiärrmanövrering. Exempelvis kan andra användare skapas av övervakarna med fjärrmanövrering och deras roller och elektroniska certifikat registreras med systemet.
Alla datapaket som sänds till systemet bearbetas så att individuella identifierare för- delas, tex krypteras. Systemet kan antingen arbeta med push-push-teknik eller push- pull-teknik. I det förra fallet vidarebefordrar systemet automatiskt de krypterade uppgifiema till mottagarna, medan i det senare fallet mottagaren måste beställa datapaketen. Självklart kan systemet även användas for att dechiffrera datapaket, och därför kan samma användare verka som både mottagare och sändare.
Systemet kan konfigureras för att logga användaraktivitet med olika detaljnivåer.
Systemet kan exempelvis helt enkelt logga namnet på alla användare inbegripna i varje transaktion men det kan även logga allt innehåll i de data som överförs i transaktionen.
Alla sådana loggar sparas i primärminnet, antingen kiypterade eller med digitala signaturer, så att manipulering med loggar är omöjlig utan att detta upptäcks av systemet. I sådant fall kan en övervakare som bevakar loggama med tjärrmanövrering koppla ur systemet för att stoppa dess operation temporärt eller koppla ur en specifik användare.
KORT FIGURBESKRIVNING Ovannämnda och andra objekt, figurer och fördelar med uppfinningen kommer att framgå av följ ande mer detaljerade beskrivning av föredragna utföringsformer enligt uppfinningen, såsom visas i bifogade ritningar, i vilka lika hänvisningsbeteckningar genomgående hänför sig till samma delar i olika vyer. Ritningarna är nödvändigtvis inte skalenliga, utan tonvikten läggs istället på att visa uppfinningens principer.
Fig. 1 utgör ett blockdiagram som visar ett exempel på en utrustning som krävs för att implementera den föredragna utföringsformen enligt föreliggande uppfinning.
Fig. 2 visar en säker utrustning enligt föreliggande uppfinning. 10 15 20 25 30 35 520 078 4 F ig. 3 utgör ett exempel på en fil som innehåller datapaket med rubrik, identifierare och personliga data.
F ig. 4 visar ett exempel på en samling information som lagrats för den hemlig- stämplade delningsmodulen, dvs. datastrukturen för ett hemligstämplat delningskonvolut.
Fig. 5 visar fördelningsrelationer mellan olika säkerhetsdomäner, när systemet konfigureras att arbeta med mer än två domäner.
Fig. 6 visar en datastruktur för lagring av en fördelning mellan två implementerade domäner med användning av en säker uppslagstabell med hemlig delnings- åtkomst.
Fig. 7 utgör en illustration av en dataintrångsskyddande egenskap enligt en utföringsform av föreliggande uppfinning.
DETALJERAD BESKRIVING AV DEN FÖREDRAGNA UTFÖRINGSFORMEN Den följande beskrivningen av den föredragna utföringsformen skall endast betraktas som en av många möjliga utföringsformer som tillåts inom ramen för föreliggande uppfinning. Hänvisning görs till de bifogade figurema, vilka utgör del härav. Översikt Persondata måste ofta analyseras i stora mängder, tex i epidemiologisk forskning, men i de flesta fall krävs inte den verkliga personliga identiteten i dataregistren. Ändå är det vanligt att arbeta med sådana data med individuella identifierare, eftersom det idag inte finns några system tillgängliga som förenklar den administrativa uppgiften att göra sådana data anonyma.
Föreliggande uppfinning visar ett system för att förenkla processen att göra data anonyma. Systemet kräver minimal användarinblandning och tillåter att individuella identifierare av datapaket automatiskt fördelas, så att två användare med fjärr- manövrering från varandra, en datainsamlare och en dataanalyserare, kan utbyta data på lämpligt sätt.
Utrustning Fig. 1 utgör ett blockdiagram som visar ett exempel på en utrustning som krävs för att implementera den föredragna utföringsformen enligt föreliggande uppfinning med två säkerhetsdomäner, t ex en datainsamlare 109 och en dataanalyserare 110. Figuren visar de nödvändiga komponenterna för att iordningställa hela systemet 150, dvs. en dator 101 med en central bearbetningsenhet 102 och ett direktåtkomstminne (RAM-minne) 10 15 20 25 30 35 520 078 5 103 for applikationsprogram och data, primärminne 104 och ett vitt utbrett datanätverk 105 for sammankoppling av systemdatom 101 med dess klienter.
Hjärtat i systemet enligt uppfinningen kan implementeras som ett dataprogram 175 som körs i säker miljö. Detta program 175 utgörs av fyra huvudkomponenter: en fördel- ningsmodul 106, en säker kommunikationsmodul 107 och en hemligstämplad delnings- modul 108. Säkra kommunikationskanaler är etablerade med en sändare 109, en mottagare 110 och en övervakare 111. På liknande sätt kan systemet 150 ha tillgång ett permanent minne 104 for lagring av systeminformation utanför den säkra miljön. De typer av information som lagras av systemet 150 kan delas upp i fyra kategorier: användarinformation, dataloggar, fördelningssituationer och hemligstämplade delningsdata.
Enligt den föredragna utforingsformen implementeras systemet som en mjukvaru- applikation 175 som arbetar i ett säkert operativsystem med minnesskydd. Följaktligen är den säkra miljön adressminnet 112 som reserverats för den bearbetning som utförs av systemprogrammet. Inom nämnda adressminne 112 lagras en symmetrisk datakrypte- ringskod och en asymmetrisk privat kod vid 113 tillsammans med alla andra systemdata såsom för fordelningsmodulen 106. Dessa båda koder lämnar aldrig det säkra adress- minnet 112 i okrypterad form, och folj aktligen är de endast kända för själva mjukvaru- systemet 175 enligt uppfinningen.
Det permanenta minnet 104 utgörs av varje anordning som kan lagra digital information såsom en hårddisk eller en magnettejp. Mjukvaran 175 enligt uppfinningen använder kryptering och digitala signaturer for att garantera att data som lagrats i det permanenta minnet 104 inte obemärkt kan läsas eller bearbetas. Inget försök görs emellertid att förhindra ett ”misslyckat serverintrång”, eftersom systemet 150 som helhet alltid kan förstöras.
Systemet 150 kan också implementeras med en intrångsskyddad hårdvara eller någon annan utrustning där fysikalisk säkerhet används för att skydda det minne 103 som används av identitetsskyddssystemet 175. Fig. 2 visar ett exempel på en sådan utrustning uppbyggd av allmänt tillgängliga komponenter, såsom en vanlig dator 201 och en brandvägg 202 (såsom beskrivs av S. Garñnkel et al. i Practical Unix and Internet Security, 2nd ed., O'Reilly & Associates, Inc. (1996)) lagrade i ett kassaskåp 203. Dataskärmen 204 lagras utanför kassaskåpet 203, så att systemets 175 operation kan övervakas, men dess tangentbord lagras inuti kassaskåpet 203. Genom brandväggen 10 15 20 25 30 35 u- .H p n .u ,. | f» va 1 » a _, _. , - i va, i a , , -~ t. . . . . .I I. f . »~ I n. u | , f « y H -.v _.. _. 202 är datorn 201 i kassaskåpet förbunden med en andra dator 205, som styr ett permanent minne 206, antingen en filserver eller en relationsdatabasserver (t ex såsom konfigureras i R. Ramakrishnan och J. Gehrke iDatabase Management Systems, 2nd ed., McG/raw Hill (2000)). Minnesdatom 205 tillsammans med kassaskåpet 203 kan förvaras i ett säkert rum 207, till vilket endast de erforderliga individerna kan beviljas tillträde, såsom en Systemadministratör som skall göra säkerhetskopior av det permanenta minnet 206. Tillträde till kassaskåpet 203 bör emellertid inte behövas för en sådan operation och därför kan systemet 150 underhållas utan att man kompromissar på säkerheten enligt uppfinningens identitetsskyddssystem 175. Klienter 210, såsom datainsamlare och dataanalyserare, kopplas till krypteringssystemet 150 via ett vitt utbrett nätverk 220. Förutom en tvåvägskommunikation mellan säkerhetsdatom 201 och minnesdatom 205 måste brandväggen 202 följaktligen vara konfigurerad så att den tillåter tvåvägskommunikation i det vitt utbredda nätverket 220.
Allmän systemfimktion Med hänvisning till Fig. 3 är syftet med uppfinningens system 175 att automatiskt ta emot filer 301 med en rubrik 302 och många datapaket 303, som vart och ett består av individuella identifierare 304 och persondata 305. Systemet 175 tillämpar någon specifik fördelning för individuella identifierare och därefter antingen lagras data i en logg, tills den rätta mottagaren beställer dem, eller vidarebefordras direkt till den rätta mottagaren. Vanligen utgörs fördelningsfunktionen av en symmetrisk kryptering, men den kan även vara någon annan relation som implementerats som en uppslagstabell eller någon kombination av båda. I båda fallen lagras all information om fördelningen, t ex krypteringskoden eller uppslagstabellen, i ett krypterat format i det permanenta dataminnet 104.
Med rätt klientapplikation kopplas en användare 109 till systemet 175 och en säker förbindelse etableras med systemets kommunikationsmodul 107. Dessutom autentiserar systemservern 101 användaren och användaren autentiserar systemet 175. En typisk implementering av sådan tvåvägsautentisering och säker förbindelse är den SSL (secure socket layer) som beskrivs i US-patentet 5,825,890, innehavare Elgamal et al. för ”Secure Socket Layer Application Program Apparatus and Method”, men andra val är även lämpliga. Med SSL-sättet lagrar systemet 175 de elektroniska certifikaten för alla registrerade användare, dvsekvii/alenten för deras allmänna koder (se US-patentet nr 4,405,829, innehavare Rivest et al.). Systemet 175 förvarar också en privat kod (U S- patentet nr 4,405,829, innehavare Rivest et al.), som den använder för att styrka sig självt för användarna och användama har en lokal kopia av systemets certifikat. Genom 10 15 20 25 30 35 _* 2 i : att använda SSL-sättet kan man garantera att all kommunikation i systemet över nätverket endast blir känd för registrerade användare.
Det är således möjligt att garantera att en sändare endast kan sända data till en registrerad och accepterad mottagare. På liknande sätt kan endast användare med rätta roller logga på systemet som övervakare. Utformningen tillåter att all styrning av systemet 175 utförs med fjärrmanövrering, inte endast överföring och mottagning av data utan även alla administrativa arbetsuppgifter såsom skapandet av nya användare och inspektion av loggar. Så länge som datasystemet 101 inte går ner, kan följaktligen identitetsskyddssystemet 175 enligt uppfinningen helt köras med fjärrmanövrering.
Fördelningsinformationen och datakrypteringskoden ligger i det säkra minnet 112 och yppas aldrig till någon utan används av systemet 175 för att garantera en hemlig fördelning av individuella identifierare.
När systemet 175 enligt uppfinningen arbetar på ett push-pull-sätt sker följ ande steg när en datainsamlare 109 sänder data till en dataanalyserare 110: 1. Datainsamlingsanvändaren 109 kopplas till datoms nätverkssystem 150. 2. Det uppfinningsenliga mjukvarusystemet 175 frågar klienten efter ett användar- namn och laddar motsvarande användarinformation från primärminnet 104. 3. Med användning av användarens digitala certifikat (allmänkod) krypterar systemet 175 vissa data som klienten 109 behöver för dechiffrering med sin privatkod för att preparera sig själv för systemet 175. 4. På liknande sätt använder klienten 109 systemets 175 publicerade certifikatet för att autentisera det, t ex använder systemet 175 privatkoden för att dechiffrera data som sänds dit av klienten 109 för att autentisera sig självt för klienten 109. 5 Användaren 109 väljer en registrerad mottagare 110 från en lista med registrerade användare, till vilka han har tillåtelse att överföra data.
Användaren 109 initierar dataöverföringen och systemet 175 tar emot datafilen 301. 7. Filen 301 sparas krypterad med datakrypteringskoden i primärminnet 104 och nödvändig information om överföringen skrivs in i loggen. 8. Systemet 175 sänder ett e-mail till mottagaren 110 för att meddela honom om ifrågavarande data. 9. Användaren 109 loggar ut.
När dataanalyseraren (mottagaren) 110 hämtar data, upprepas ovannämnda steg 1-4 hos klienten 110 i stället för klienten 109. Följande steg äger rum: 1. Användaren 110 väljer den datafil 301 som skall hämtas. 10 15 20 25 30 35 520 078 8 _ 2. Fördelningsfimktionen appliceras för alla identifierare för varje datapaket 303 i datafilen. . 3. Användarklienten 110 tar emot filen 301 och lagrar den lokalt. 4. Mottagaren 1 10 loggar ut.
Alla andra användarfall har samma autentiseringsmönster. När systemet 175 väl accepterat användaren, tillåts han endast att utföra operationer enligt rollen som specificeras i informationen om hans användarprofil.
Hemlig delning och kodhantering Med hänvisning till Fig. 4 är en betydande egenskap hos det uppfinningsenliga systemet 175 att det tillåter utbrett ansvar för fördelning genom att det stöder många kodinne- havare. Således utför systemet 175 en tredj epartskrypering, varvid inte någon enstaka individ kan äventyra den hemliga fördelningen. I själva verket kan det specificeras hur många kodinnehavare som behövs för att äventyra koden.
Iden inledande uppstarten av identitetsskyddssystemet 175 måste alla deltagande kodinnehavare närvara, varvid deras nummer blir föremål för specificering. Om N kodinnehavare exempelvis krävs, begär systemet 175 N lösenord, ett för varje kod- innehavare, och även deras certifikat. Varje användare förväntas att inte yppa sitt lösenord utanför systemet 175. Enligt den föredragna utföringsformen kopplar systemet 175 ihop alla dessa N lösenord i ett enda kombinerat lösenord. Genom att använda en fördefinierad fianktion för meddelandesammandrag (såsom beskrivs av Bruce Schneier i Applied Cryptography, (1996) sid 43 5), MDQ, beträffande de kombinerade lösenorden genereras en krypteringskod K. Detta innebär att K = MD (pw1+pw2+. . . +pwN). Här betecknar pw1+pw2 sammanlänkning av de båda lösenorden, pwl och pwz. Koden K, som hänvisas till som datakrypteringskod, är okänd för varje grupp av kodinnehavare som är mindre än N, men K är känd för systemet 175 under dess körning.
Kravet på många kodinnehavare introducerar en viss typ av hanteringsutdelning, dvs. alla kodinnehavare kan inte vara tillgängliga under ett speciellt projekts varaktighet, som litar på systemets 175 funktionalitet. Om systemet 175 måste omstartas av något anledning, kan följaktligen kanske inte tillräckligt antal kodinnehavare närvara. Om en individ måste utgå som kodinnehavare, är det därför värdefiillt att kunna möjliggöra den operationen med fjärrmanövrering utan inblandning av alla kodinnehavama. Detta åstadkoms om systemet 175 lagrar lösenorden 401 för alla kodinnehavare krypterade med K. Systemet 175 eesätter lösenordet för den utgående kodinnehavaren med den nya 10 15 20 25 30 35 520 o7sg~@ytgf@ kodinnehavarens lösenord och byter dessutom ut deras certifikat. På liknande sätt kan samma forfarande användas, om en kodinnehavare tror att hans lösenord har äventyrats och vill fömya sitt lösenord.
Det är möjligt att konfigurera systemet 175 så att det totala antalet kodinnehavare är större än antalet kodinnehavare som behövs för att starta om systemet 175. Antag som exempel att det finns N kodinnehavare men endast M kodinnehavare krävs för att starta om systemet 175, och därför krävs endast M kodinnehavare för att avslöja fördelnings- funktionen. Enligt den föredragna utföringsformen lagrar systemet 175 den krypterade versionen av K för alla kombinationer 402 av M lösenord som existerar. Standard- mässig kombinatorisk uträkning visar att man behöver N!/lVI!(N-M)-versioner av krypteringskoder för kryptering av K. Om M kodinnehavare finns tillgängliga vid omstart, kan systemet 175 alltid bilda en av krypteringskodema för dechiffrering av K genom att kombinera deras M lösenord. Eftersom systemet 175 dessutom känner till alla lösenorden, kan det på liknande sätt alltid fömya alla dessa kombinationer, om en kodinnehavare ändrar sitt lösenord, såsom i det scenario som beskrivs ovan. Många andra hemliga delningsmetoder kan också användas för att tillåta denna funktionalitet.
Om inte annat anges används ett gemensamt allmänt mönster av systemet 175 för att kryptera klartextdata, dvs. CR(D,K), varvid CRO betecknar krypteringsalgoritmen, D inmatningsdata för klartext och K krypteringskoden. (Se ovan citerade B. Schneier, Applied Cryptography, sid 1). Taktiken är att i förväg förse klartexten med en sträng med fast längd som utgör en kombination av ett fördefinierat veriñkationsmönster och ett pseudoslumptal. Vidare används chifferblockslärikning (Schneier, sid 193) för att sprida slumpmässigheten till hela chiffertexten. Detta gör det svårare att observera mönster i chiffertexten och gör det också möjligt för systemet att upptäcka om en chitfertext dechitïreras till den korrekta klartexten, dvs. observera om antingen krypteringskoden är felaktig eller om uppgifterna har manipulerats.
När systemet 175 startas om, om det gått ner beroende av någon ospecificerad anled- ning, måste kodinnehavarna mata in sina lösenord. Systemet 175 förnyar K, på samma sätt som vid den inledande starten. Om verifikationsmönstret är felaktigt, vet systemet 175 att antingen några av lösenorden är felaktiga eller att någon har manipulerat med uppgifiema. För att tillåta systemet 175 att dra en gräns mellan de två antagandena, lagrar systemet 175 ett meddelandesammandrag 403 för varje kodinnehavares lösenord, en metod som används för standardmässiga lösenordstabeller. Detta tillåter systemet 10 15 20 25 30 35 52Û 078 10 ' " få " 175 att dra en gräns mellan de båda antagandena och också att ange vilka lösenord som är felaktiga.
Datastrukturema i 401-403 kan betraktas som ett konvolut med en hemlig kod, K, som endast kan öppnas med lämpligt antal kodinnehavare. Såsom den används häri görs hänvisning till detta som ett hemligt delningskonvolut (SSE) 400.
Fördelning av identifierare Huvudändamålet med det uppfinningsenliga systemet 175 är att omvandla individuella identifierare i datapaket 303, som erhålls från sändare 109/110, med användning av något slag av hemlig fördelning, så att de ursprungliga identifierarna inte blir kända för mottagaren 110/ 109. Som ett resultat betraktas de data i datapaketen 303 när de tas emot som anonyma. På liknande sätt kan scenariot vara det motsatta, en sändare sänder anonyma datapaket som omvänt fördelas för att förse mottagaren med identifierbara data.
All fördelning av individuella identifierare (PID) hanteras av fordelningsmodulen 106 (F ig. 1). Enligt en föredragen utföringsform är fördelningen antingen implementerad med användning av en symmetrisk kryptering, en uppslagstabell med en slump- generator, eller en kombination av båda, dvs. som fördelning en mot en. Oberoende av fördelningsfunlctionen behöver fordelningsmodulen spara ett rådande förhållande, t ex en PID-krypteringskod eller en uppslagstabell. Vilket format av information som än används av fordelningsmodulen 106 kan den använda datakrypteringskoden, K, för att kryptera informationen.
När kryptering används för fördelningen, är det valfritt vare sig PID-krypteringskoden inmatas av kodinnehavare eller om systemet 175 genererar den på samma sätt som K.
Det mest betydelsefulla är att i sitt rådande tillstånd utanför fordelningsmodulen 106 måste PlD-krypteringskoden alltid lagras krypterad.
Systemet 175 kan dessutom konfigureras för att åstadkomma hemlig fördelning mellan flera domäner. Exempelvis kan två domäner utgöra uppsättningen identifierare i två olika laboratorier som arbetar med anonyma data och den tredje domänen socialsäkra identifierare, Fig. 5 visar tre domäner, D;, 501, D, 502, och Dk, 503, som är relaterade genom två en-mot-en-fördelningsrelationer, DMij, 504, och DMJ-k, 505. Med dessa båda fördelningsrelationer 504, 505 kan systemet 175 även åstadkomma fördelning mellan D; 10 15 20 25 30 35 520 078 :š,_'f§j_'¿=.í_¿' ¿"¿-'_'=_ H . . . :. och Dk, t ex D¿k(x)=D,-k(D¿,-(x), under förutsättning att systemet kan konfigureras för att tillåta sådan fördelning.
På liknande sätt kan systemet 175 tillåta helt olikartade uppsättningar med identifierare av olika slag, t ex Di 501 och D; 506. Som ett exempel kan det vara möjligt att ha individuella identifierare och identifierare av läkare i samma dataregister. Dessa identifierare, som tillhör två separata domäner, fördelas samtidigt i två nya domäner med två oberoende fördelningsrelationer.
I det fall där systemet 175 använder sig av mer än en fördelningsrelation, kan det vara önskvärt att tillåta separat hemlig delningsåtkomst för varje fördelningsrelation i stället för att använda datakrypteringskoden, K, som mekanismen för att skydda ovannämnda tördelningsrelation. Varje fördelningsrelation kan följaktligen ha sitt eget hemliga delningskonvolut 400 (Fig. 4). Fig. 6 visar ett exempel på den fördelningsinformation som krävs för att lagra ett fördelningsrelation i form av en uppslagstabell. Ett hemligt delningskonvolut 601, SSE, används för att lagra en specifik krypteringskod för fördelningen, DM-kod, och uppslagstabellen 602 lagras med en del av relationen krypterad. Här betecknas krypteringen med CRX) för att skilja den från CRO, som beskrivits tidigare, eftersom den är en kryptering utan någon slumpmässighet. Formatet på uppslagstabellen 602 tillåter systemet 175 att lagra uppslagstabellen på ett säkert sätt i ett permanent minne 104. Dessutom tillåter det snabb undersökning med användning av databasindexet (se Ramakrishnan et al., Database Management Systems, 2nd Ed, (2000)), vilket minskar behovet att lagra uppslagstabellen i det säkra adressminnet 112 vilket skulle vara fallet om båda parter i relationen i uppslagstabellen 602 vore krypte- rade. I det exempel som visas i 602, när en identifierare fördelas från D; till Dj, är undersökningen baserad på den identiñerare som krypterats med DMü-kod. För motsatt fördelning är granskningen emellertid baserad på den identifierare som tillhör domän Dj och den utmatning som därefter krypterats med DMü-kod.
Användarprofiler och dataloggar Systemet 175 lagrar all information om användare i det permanenta minnet 104. Enligt en föredragen utföringsform av det permanenta minnet används en relationsdatabas med ett strukturerat frågespråksgränsnitt (SQL) (såsom beskrivs i tidigare citerade Ramakrishnan et al., sid 119). För att kunna använda databasens fiågespråk är det inte praktiskt att kryptera all information i databasen. Information såsom användarprofiler är inte heller knappast betraktad som känslig. Systemets 175 säkerhet kan emellertid äventyras, om det är möjligt att manipulera med användarprofilen. För att förhindra 10 15 20 25 30 35 520 078 IZ -s- .- detta används något slag av digitala signaturer. I synnerhet en extra kolumn som inne- håller ett kiypterat meddelandesammandrag över alla de andra kolumnema läggs till varje datatuple (data tuple) i valda tabeller, t ex CROVH)(tuple-data),K) eller helt enkelt MD(tuple-data+K), där CRQ och MDQ definieras som i ovannämnda beskrivning. Ett exempel på detta intrångsskydd av lagrade data visas i Fig. 7 och beskrivs nedan. Den andra möjligheten är att kryptera all användardata, men detta kräver att systemet laddar alla data i såkerhetsminnet för att använda det. Det tredje alternativet är att använda kombination av dessa båda metoder.
I Fig. 7, tabell A, uppvisar 701 tre rader med data och tabell B uppvisar fyra rader med data. För att förhindra olagligt och oauktoriserat avlägsnande av rader från tabellerna A701 och B702 är det inte tillräckligt att signera varje oberoende rad. För loggar där rader aldrig förväntas bli avlägsnade eller uppdaterade är det möjligt att använda länkning, dvs. att låta varje rad innehålla ett meddelandesammandrag av den tidigare raden, men detta tillvägagångssätt är omöjligt när rader behöver uppdateras. Ett bättre tillvägagångssätt är att låta systemet 175 utfärda en rad ID 703 till varje post (datarad) i tabellerna 701, 702 och inkludera den i den digitala signaturen 704. En separat summeringstabell 705 används därefter, vilken lagrar antalet rader i varje tabell 701, 702 som utnyttjas av systemet 175. Efter att ha infogat rader i en tabell 701, 702 måste systemet 175 uppdatera motsvarande rad i summeringstabellen 705. Därför kan systemet 175 alltid verifiera varje tabells 701, 702 integritet genom att kontrollera om det summerade antalet raderi varje tabell 701, 702 överensstämmer med motsvarande antal (slutsumman 706) lagrat i summeringstabellen 705. Alla poster som används fi'ån en tabell 701, 702 i en bestämd SQL-rapport kan också verifieras med användning av den digitala signaturen för motsvarande rader. Summeringstabellen 705 är alltid relativt mycket liten och lagras därför enkelt i det permanenta minnet och dess säkerhetskopia lagras företrädesvis i en säkert dataminne, såsom inuti ett kassaskåp 203, eller publiceras regelbundet, såsom när säkerhetskopior av dataminnet 206 görs.
Om systemet 175 körs på ett push-push sätt, finns det knappast något behov av att lagra innehållet i filen 301 med datapaketen 303, eftersom varje transaktion kan utföras på sådan sätt att mottagaren 110 måste ha fått alla datapaketen 303 innan sändarens 109 transaktion fullbordas. Om systemet 175 emellertid körs på ett push-pull-sätt, är mottagaren 110 och sändaren 109 inte längre syrikroniserade. Sändaren 109 kan ha fullbordat transaktionen att sända alla datapaketen 303 innan mottagaren 110 begär nämnda data. Därför måste systemet 175 lagra en temporär kopia av datapaketen 303. 520 Eftersom innehållet i datapaketen 303 kan innehålla känsliga data, krypterar systemet 175 dem innan det sparar dem i primärminnet. Även om denna uppfinning hâri speciellt visas och beskrivs med hänvisning till föredragna utfóringsformer därav, kan det inses av fackmän inom området att olika ändringar i form och detalj er kan göras utan att man avviker från ramen for upp- finningen som omfattas av bifogade krav.

Claims (17)

1. 0 15 20 25 30 35 520 078 /4 PATENTKRAV 1. Anordning (150) for användning i ett datanätverk (105) for fördelning av data mellan olika domäner, vilken anordning innefattar - en kommunikationsmodul (107 for att åstadkomma en kommunikationsforbindelse mellan en sändare i en domän som definierar en säkerhetszon for en grupp av regelbundna användare (109) och en mottagare i en annan domän som definierar en annan säkerhetszon for en annan grupp av regelbundna användare (110), - en fordelningsmodul (106) kopplad till kommunikationsmodulen (107) for fördelning av arbetsdata (301) for den ena domänen till arbetsdata (301) i den andra domänen, varvid nämnda arbetsdata (301) uppvisar ett identifierargrupp (3 04) och ett grupp for sökande av data inkluderande persondata (305) for individer, varvid fordelningsmodulen (106) fordelar mellan identifierargruppet (3 04) av arbetsdata (301) i den ena domänen till identifierargruppet (304) av arbetsdata (301) i den andra domänen.
2. Anordning enligt krav 1, varvid kommunikationsforbindelsen utgörs av en säker kommunikationskanal som bildas av kommunikationsmodulen (i) som autentiserar sändaren och mottagaren, vilket resulterar i en auktoriserad sändare och en auktoriserad mottagare, och (ii) krypterar arbetsdata som överförs via kanalen.
3. Anordning enligt krav 2, varvid fordelningsmodulen använder sig av kryptering vid fördelning av arbetsdata i domänen till arbetsdata i den andra domänen, så att arbetsdata som överförs till den auktoriserade mottagaren utgörs av anonyma data.
4. Anordning enligt krav 1, vilken dessutom innefattar en hemlig delningsmodul for styrning av åtkomst till anordningen.
5. Anordning enligt krav 4, varvid den hemliga delningsmodulen styr åtkomst till fordelningsmodulen.
6. Anordning enligt krav 4, vilken dessutom innefattar primärminnesorgan for lagring av data på ett intrångsskyddat sätt.
7. .Anordning enligt krav 6, varvid - primärminnesorganet kiypterar oundersökta delar av data, varvid nämnda kryptering använder sig av en krypteringskod, och - den hemliga delningsmodulen lagrar krypteringskoden. 10 15 20 25 30 35 52Û Û73 ,,,,,..»pnsyzm: 1
8. Anordning enligt krav 17, varvid kommunikationsanknytningen av övervakaren möjliggör operation med fjärrmanövrering av anordningen av övervakaren. 1
9. Anordning enligt krav 1, varvid identifierargruppen för arbetsdata innefattar identifierare från flera domäner, varvid fördelningsmodulen fördelar många identifierare mellan många domäner för varje sökgrupp av arbetsdata. 20. Anordning enligt krav 1, vilken dessutom innefattar - en låst behållare, - ett datasystem som utfärdar kommunikationsmodulen och fördelningsmodulen, och - en brandvägg kopplad till datasystemet, varvid datasystemet och brandväggen inryms i den låsta behållaren för att erbjuda intrångsskyddad hårdvara. 21. Sätt att överföra och fördela data mellan olika domäner i ett datanätverk (105), innefattande stegen att - överföra arbetsdata från en sändare i en domän som definierar en säkerhetszon för en grupp av regelbundna användare (109) till en mottagare i en annan domän som definierar en annan säkerhetszon för en annan grupp av regelbundna användare (110), varvid arbetsdata har ett identifierargrupp (3 04) och en sökdatagrupp inkluderande persondata (305) för individer, och - fördela arbetsdata i den ena domänen till arbetsdata i den andra domänen genom fördelning mellan identifierargiuppen (304) för arbetsdata i den ena domänen till identifierargruppen (304) för arbetsdata i den andra domänen. 22. Sätt enligt krav 21, vilket dessutom innefattar steget att etablera en säker kommunikatiönsförbindelse mellan sändaren och mottagaren, varvid nämnda säkra kommunikationsförbindelse innefattar (i) autentisering av sändaren och mottagaren, vilket resulterar i en auktoriserad sändare och auktoriserad mottagare, och (ii) kryptering av överförda arbetsdata. 23. Metod enligt krav 22, varvid fördelningssteget innefattar kryptering, så att arbetsdata som tas emot av den auktoriserade mottagaren utgör anonyma data. 24. Sätt enligt krav 21, vilket dessutom innefattar steget att styra åtkomsten inom datanätverket. 10 15 20 25 30 35 520 078 :_ 8. Anordning enligt krav 7, varvid primärminnesorganet använder digitala signaturer for att undersökta delar av data i syfie att upptäcka förändringar i data och därigenom förhindra intrång. 9. Anordning enligt krav 8, varvid varje digital signatur bildas av en meddelande- sammanställning for sammanlänkning av krypteringskoden och data.
10. Anordning enligt krav 8, varvid det permanenta minnesorganet bibehåller ett summeringssteg for lagrade data.
11. Anordning enligt krav 10, varvid nämnda summeringssteg har en motsvarande digital signatur.
12. Anordning enligt krav 1, varvid fordelningsmodulen definierar en fördelning mellan vilka två domäner som helst genom att lagra en fordelningstabell med korsreferenser mellan identifierargrupper for arbetsdata i det båda domänerna.
13. Anordning enligt krav 12, varvid fordelningsmodulen lagrar en fordelningstabell for flera domäner, fordelningstabellen bildas av (i) en indexsektion och (ii) en arbets- referenssektion, indexsektionen anger identifierargruppet for arbetsdata i en forsta ämnesmodul och arbetsreferenssektionen anger motsvarande identiñerargrupp i en andra domän, varvid arbetsreferens krypteras, så att fordelningsmodulen utfor dechiffrering av en del av fordelningstabellen for att fastställa användbara kors- referenser for arbetsdata.
14. Anordning enligt krav 1, varvid fordelningsmodulen fordelar arbetesdata bland flera domäner.
15. Anordning enligt krav 1, varvid sändaren och mottagaren var for sig är en av en mjukvaruimplementering och en människa.
16. Anordning enligt krav 1, varvid forbindelse mellan sändaren och mottagaren finns i respektive olika Sessioner.
17. Anordning enligt krav 1, varvid kommunikationsmodulen dessutom möjliggör kommunikationsanknytning av en övervakare forutom av sändaren och mottagaren. 10 15 20 25 30 35 5 0 0 8 "'.' ' . " '. I' h' ~= u u .e .- v- « 25. Sätt enligt krav 21, vilket dessutom innefattar steget att lagra data på ett intrångsskyddat sätt i ett permanent minne. 26. Sätt enligt krav 25, varvid lagringssteget innefattar kryptering av oundersökta delar av data. 27. Sätt enligt krav 26, varvid lagringssteget dessutom innefattar utdelning av var sin digital signatur till varje undersökt del av data for att möjliggöra upptäckt av ändringar i data och därigenom förhindra intrång. 28. Sätt enligt krav 27, varvid .- krypteringssteget använder en kiypteringskod, och - tilldelningssteget innefattar bildande av en digital signatur fiån en meddelande- sammanfattning for sammanlänkning av data och krypteringskoden. 29. Sätt enligt krav 27, varvid steget att lagra arbetsdata innefattar bibehållande av ett summeringssteg for lagrade data. 30. Sätt enligt krav 29, varvid steget att bibehålla en summeringssteget innefattar tilldelning av en digital signatur till summeringssteget. 31. Sätt enligt krav 21, varvid fordelningssteget innefattar lagring av en fördelnings- tabell med korsreferenser mellan identifierargrupperna för arbetsdata i de båda domänerna. 32. Sätt enligt krav 31, varvid steget att lagra en fördelningstabell innefattar - lagring av respektive fördelningstabell för varje domän, varvid varje fordelnings- tabell bildas av (i) en indexsektion och (ii) en arbetsreferenssektion, varvid index- sektionen anger identifierargruppen for arbetsdata i en forsta ämnesdomän och arbetsreferenssektionen anger motsvarande identifierargrupp i en andra ämnesmodul, varvid arbetsreferensen krypteras, och - dechiffrering av en del av fordelningstabellen for att fastställa lämpliga kors- referenser för arbetsdata. 33. Sätt enligt krav 21, varvid fördelningssteget innefattar fördelning av arbetsdata bland flera domäner. 10 520 078 ;,m,,,,,_¿;¿ 34. Sätt enligt krav 21, varvid sändaren och mottagaren vardera är en av en mjukvaru- implementering och en människa. 35. Sätt enligt krav 21, vilket dessutom innefattar steget att åstadkomma en kommunika- tionsförbindelse mellan sändaren och mottagaren, där sändaren är kopplad till en session och mottagaren är kopplad till en annan session. 36. Sätt enligt krav 21, vilket dessutom innefattar steget att koppla en övervakare till datanätverket. 37. Sätt enligt krav 36, vilket dessutom innefattar steget att möjliggöra styrning av övervakaren med íjärrmanövrering.
SE0202712A 2000-03-17 2002-09-13 Auatomatiskt identifieringsskyddssystem med fjärrövervakning av tredje part SE520078C2 (sv)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US19026200P 2000-03-17 2000-03-17
PCT/IB2001/000358 WO2001069839A2 (en) 2000-03-17 2001-03-13 Automatic identity protection system with remote third party monitoring

Publications (3)

Publication Number Publication Date
SE0202712D0 SE0202712D0 (sv) 2002-09-13
SE0202712L SE0202712L (sv) 2002-10-29
SE520078C2 true SE520078C2 (sv) 2003-05-20

Family

ID=22700614

Family Applications (1)

Application Number Title Priority Date Filing Date
SE0202712A SE520078C2 (sv) 2000-03-17 2002-09-13 Auatomatiskt identifieringsskyddssystem med fjärrövervakning av tredje part

Country Status (10)

Country Link
US (1) US7404079B2 (sv)
JP (1) JP2003527035A (sv)
AU (2) AU4442601A (sv)
CA (1) CA2403488C (sv)
DE (1) DE10195924T1 (sv)
GB (1) GB2375697B (sv)
IS (1) IS2078B (sv)
MX (1) MXPA02008919A (sv)
SE (1) SE520078C2 (sv)
WO (1) WO2001069839A2 (sv)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7457948B1 (en) * 2000-09-29 2008-11-25 Lucent Technologies Inc. Automated authentication handling system
FR2847401A1 (fr) * 2002-11-14 2004-05-21 France Telecom Procede d'acces a un service avec authentification rapide et anonymat revocable et systeme d'ouverture et de maintien de session
US8321946B2 (en) * 2003-12-05 2012-11-27 Hewlett-Packard Development Company, L.P. Method and system for preventing identity theft in electronic communications
US8146141B1 (en) * 2003-12-16 2012-03-27 Citibank Development Center, Inc. Method and system for secure authentication of a user by a host system
US7640594B2 (en) * 2004-01-21 2009-12-29 Sap Ag Secure storage in a file system
JP5063777B2 (ja) * 2008-03-10 2012-10-31 三菱電機株式会社 秘密情報管理装置及び情報処理装置及び秘密情報管理システム
US9425960B2 (en) * 2008-10-17 2016-08-23 Sap Se Searchable encryption for outsourcing data analytics
WO2010071843A1 (en) * 2008-12-19 2010-06-24 Privatetree, Llc. Systems and methods for facilitating relationship management
US20100262836A1 (en) * 2009-04-13 2010-10-14 Eric Peukert Privacy and confidentiality preserving mapping repository for mapping reuse
US20100312706A1 (en) * 2009-06-09 2010-12-09 Jacques Combet Network centric system and method to enable tracking of consumer behavior and activity
US9621584B1 (en) 2009-09-30 2017-04-11 Amazon Technologies, Inc. Standards compliance for computing data
US8799022B1 (en) * 2011-05-04 2014-08-05 Strat ID GIC, Inc. Method and network for secure transactions
KR101575282B1 (ko) * 2011-11-28 2015-12-09 한국전자통신연구원 보안관리 도메인들 간에 익명 식별자 기반의 보안정보를 공유하기 위한 에이전트 장치 및 방법
US8793805B1 (en) * 2012-07-30 2014-07-29 Amazon Technologies, Inc. Automatic application dependent anonymization
US8955075B2 (en) * 2012-12-23 2015-02-10 Mcafee Inc Hardware-based device authentication
US8850543B2 (en) 2012-12-23 2014-09-30 Mcafee, Inc. Hardware-based device authentication
US9419953B2 (en) 2012-12-23 2016-08-16 Mcafee, Inc. Trusted container
US10489861B1 (en) 2013-12-23 2019-11-26 Massachusetts Mutual Life Insurance Company Methods and systems for improving the underwriting process
US11403711B1 (en) 2013-12-23 2022-08-02 Massachusetts Mutual Life Insurance Company Method of evaluating heuristics outcome in the underwriting process
US9633209B1 (en) 2014-02-21 2017-04-25 Amazon Technologies, Inc. Chaining of use case-specific entity identifiers
US9344409B2 (en) * 2014-07-18 2016-05-17 Bank Of America Corporation Method and apparatus for masking non-public data elements in uniform resource indentifiers (“URI”)
US10320574B2 (en) 2017-05-05 2019-06-11 International Business Machines Corporation Blockchain for open scientific research
JP7287096B2 (ja) * 2019-05-09 2023-06-06 大日本印刷株式会社 情報処理装置、制御方法及びプログラム

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3962539A (en) * 1975-02-24 1976-06-08 International Business Machines Corporation Product block cipher system for data security
US4405829A (en) * 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
US5657390A (en) * 1995-08-25 1997-08-12 Netscape Communications Corporation Secure socket layer application program apparatus and method
US5638445A (en) * 1995-09-19 1997-06-10 Microsoft Corporation Blind encryption
US5907677A (en) * 1996-08-23 1999-05-25 Ecall Inc. Method for establishing anonymous communication links
WO1998010558A1 (en) * 1996-09-06 1998-03-12 Walker Asset Management, Limited Partnership Method and system for establishing and maintaining user-controlled anonymous communications
US5903652A (en) * 1996-11-25 1999-05-11 Microsoft Corporation System and apparatus for monitoring secure information in a computer network
US5961593A (en) * 1997-01-22 1999-10-05 Lucent Technologies, Inc. System and method for providing anonymous personalized browsing by a proxy system in a network
US5923842A (en) * 1997-03-06 1999-07-13 Citrix Systems, Inc. Method and apparatus for simultaneously providing anonymous user login for multiple users
US6591291B1 (en) * 1997-08-28 2003-07-08 Lucent Technologies Inc. System and method for providing anonymous remailing and filtering of electronic mail
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6023510A (en) * 1997-12-24 2000-02-08 Philips Electronics North America Corporation Method of secure anonymous query by electronic messages transported via a public network and method of response
US6081793A (en) * 1997-12-30 2000-06-27 International Business Machines Corporation Method and system for secure computer moderated voting
US6151631A (en) * 1998-10-15 2000-11-21 Liquid Audio Inc. Territorial determination of remote computer location in a wide area network for conditional delivery of digitized products
DE19914631A1 (de) * 1999-03-31 2000-10-12 Bosch Gmbh Robert Eingabeverfahren in ein Fahrerinformationssystem

Also Published As

Publication number Publication date
JP2003527035A (ja) 2003-09-09
GB0221138D0 (en) 2002-10-23
DE10195924T1 (de) 2003-04-24
US20010027519A1 (en) 2001-10-04
GB2375697A (en) 2002-11-20
WO2001069839A2 (en) 2001-09-20
IS2078B (is) 2006-02-15
WO2001069839A3 (en) 2002-03-07
CA2403488C (en) 2011-10-18
CA2403488A1 (en) 2001-09-20
GB2375697B (en) 2004-03-24
SE0202712L (sv) 2002-10-29
AU4442601A (en) 2001-09-24
AU2001244426B2 (en) 2006-06-08
US7404079B2 (en) 2008-07-22
MXPA02008919A (es) 2003-02-12
IS6547A (is) 2002-09-13
SE0202712D0 (sv) 2002-09-13

Similar Documents

Publication Publication Date Title
SE520078C2 (sv) Auatomatiskt identifieringsskyddssystem med fjärrövervakning av tredje part
Miao et al. Multi-authority attribute-based keyword search over encrypted cloud data
US11483143B2 (en) Enhanced monitoring and protection of enterprise data
CN110799941B (zh) 防盗和防篡改的数据保护
Li et al. A hybrid cloud approach for secure authorized deduplication
US9432346B2 (en) Protocol for controlling access to encryption keys
EP3063919B1 (en) A system and a method for management of confidential data
CN101605137B (zh) 安全分布式文件系统
US20090092252A1 (en) Method and System for Identifying and Managing Keys
AU2001244426A1 (en) Automatic identity protection system with remote third party monitoring
US20080044023A1 (en) Secure Data Transmission
JP2008250369A (ja) 機密データファイルの管理方法、管理システム及びプロキシサーバ
US20220200973A1 (en) Blockchain schema for secure data transmission
CN107733933A (zh) 一种基于生物识别技术的双因子身份认证的方法及系统
US20220045848A1 (en) Password security hardware module
Xu et al. Trustworthy and transparent third-party authority
KR101042234B1 (ko) 위치 인증을 통한 사용자 프로그램의 기밀문서 판독 방지방법
Kou Networking security and standards
CN112673591B (zh) 用于向经授权的第三方提供对秘密的公开分类账安全密钥托管访问的系统和方法
Albrecht et al. Share with Care: Breaking E2EE in Nextcloud
Shin et al. SEED: enabling serverless and efficient encrypted deduplication for cloud storage
US11804969B2 (en) Establishing trust between two devices for secure peer-to-peer communication
Vatchala et al. Auto Sec SDN-XTR: A Hybrid End to End Security Mechanism with Efficient Trace Representation on Open Stack Cloud.
KR20220108584A (ko) 블록체인을 기반으로 한 동적 암호키를 생성하는 저전력 무선 센서 네트워크 시스템 및 상기 시스템에서의 동적 암호키 생성 방법
Vidhya et al. Environment Based Secure Transfer of Data in Wireless Sensor Networks

Legal Events

Date Code Title Description
NUG Patent has lapsed