WO2017114613A1 - Verfahren und vorrichtungen zum schutz von vertraulichen elektronischen daten - Google Patents

Verfahren und vorrichtungen zum schutz von vertraulichen elektronischen daten Download PDF

Info

Publication number
WO2017114613A1
WO2017114613A1 PCT/EP2016/077939 EP2016077939W WO2017114613A1 WO 2017114613 A1 WO2017114613 A1 WO 2017114613A1 EP 2016077939 W EP2016077939 W EP 2016077939W WO 2017114613 A1 WO2017114613 A1 WO 2017114613A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
cryptographic key
home automation
automation system
key
Prior art date
Application number
PCT/EP2016/077939
Other languages
English (en)
French (fr)
Inventor
Thomas UNTERSCHÜTZ
Kurt Huwig
Original Assignee
Deutsche Telekom Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from EP15203183.7A external-priority patent/EP3188070A1/de
Priority claimed from DE102015122990.0A external-priority patent/DE102015122990A1/de
Application filed by Deutsche Telekom Ag filed Critical Deutsche Telekom Ag
Publication of WO2017114613A1 publication Critical patent/WO2017114613A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Definitions

  • the invention relates to methods and devices for the protection of confidential electronic data, in particular confidential electronic data generated in a home automation system.
  • home automation and related terms such as “smart home”, “smart living” and the like, in particular, the networking and remote control of networking devices in the private living area is understood.
  • Such devices which are referred to as home automation devices, may be, for example, home appliances (eg, lighting control, alarm, heating and blinds control), smart metering devices (eg, electrical energy meters, water meters, gas meters ), smart household appliances (eg, stove, refrigerator, washing machine), multimedia devices (eg, TV, VCR, stereo), and the like.
  • home automation devices form together with a central control unit, which is usually designed as a home gateway or implemented as a component of such a home gateway
  • the home gateway is in turn
  • the home gateway of a home automation system is usually formed over a variety
  • the communication between the home gateway and a home automation device can be wired or via a
  • Radio connection done examples of wired connections known to those skilled in the art include Ethernet, Powerline, M-Bus and the like.
  • a wireless connection in particular WLAN or WiFi, Bluetooth, ZigBee and the like are used.
  • the connection of the home gateway to an external one Communication network, especially the Internet, can be done in particular via DSL, ISDN, cable, fiber, mobile and the like.
  • large amounts of usage data may be incurred.
  • the user data the time of operation of a light switch by the user, the temperature measured by a temperature sensor at a time, or state or event information of
  • Smoke detectors or alarm systems are understood. Such usage data may be of interest to a variety of secondary business models in which these usage data are evaluated from different perspectives. Thus, on the basis of in the context of home automation usage data
  • Washing temperature can be started, and with the help of other data, such as the water hardness, after how many washes washing machines depending on the water hardness and the washing temperature suffer a defect.
  • Usage data can then be transferred by the trustee to one or more data processors, from which the anonymized or pseudonymized usage data can be evaluated.
  • the data processor can also be the user or the operator of the home automation system.
  • the invention relates to a method for protecting electronic data that arise in a home automation system, ie
  • the method comprises the following steps: the determination of data of the electronic data that is to be used by a user of the electronic data
  • Home automation system are associable; obscuring the data of the electronic data associable with the user of the home automation system by means of a first cryptographic key; communicating the electronic data with the data veiled by the first cryptographic key from the home automation system to a data management entity; and obfuscating the data obscured by the first cryptographic key by means of a second cryptographic key by the data management entity.
  • the method according to the first aspect of the invention allows the pseudonymization of usage data already in the home automation system of the user. This now only provides the trustee with his usage data in veiled form, in particular pseudonymised or anonymised.
  • the healthy mistrust of the user of the home automation system against misuse of the user data collected in his home automation system can thus be significantly counteracted.
  • the necessary relationship of trust is maintained. Furthermore, for example, within the framework of a sovereign demanded insight into the
  • Home automation system are referred back, i. be personalized.
  • an identifier of the first cryptographic key is further added to
  • Obscuring the associable with the user of the home automation system Data of the electronic data by means of the first cryptographic key performed by the home automation system.
  • the first aspect of the invention in an embodiment of the first aspect of the invention, the first
  • the first aspect of the invention in an embodiment of the first aspect of the invention, the first
  • the first aspect of the invention in an embodiment of the first aspect of the invention, the first
  • the method comprises the further step of the home automation system inserting the identifier of the first cryptographic key as an integral part in the electronic data that is transmitted to the data management entity.
  • the method comprises the further step of storing the electronic data with the data concealed by the second cryptographic key in a memory of the data management entity.
  • the home automation system in the step of communicating the electronic data with the data concealed by the first cryptographic key, sends the data to the
  • Data management entity the electronic data with the means of the first
  • the proxy entity is designed to disguise at least one identifier, in particular an IP address, the home automation system in the electronic data.
  • the step of obscuring the determined data associated with the user of the proxy entity is designed to disguise at least one identifier, in particular an IP address, the home automation system in the electronic data.
  • Home automation system are associated, by means of the first cryptographic key, a step of closing the determined data, which are associated with the user of the home automation system, by means of the first
  • a step of Closing the masked by means of the first cryptographic key data using the second cryptographic key in particular, in the step of veiling the determined data, which are associable with the user of the home automation system, by means of the first cryptographic key or in the step of veiling the masked by means of the first cryptographic key data by means of the second
  • the data is anonymized or pseudonymized.
  • the method before the step of concealing the data concealed by the first cryptographic key by means of the second cryptographic key, the method comprises a further step of determining the data of the electronic data concealed by the first cryptographic key.
  • the invention relates to a home automation system having a processor and a communication interface, wherein in the
  • Home automation system incurred electronic data, wherein the processor is formed, data of the electronic data associated with a user of the
  • Home automation system are associative to determine and disguise the associate with the user of the home automation system data of the electronic data using a first cryptographic key, and wherein the
  • Communication interface is formed, the electronic data with the masked by means of the first cryptographic key data to a
  • the invention relates to a data management entity having a processor and a communication interface, wherein the communication interface is embodied, electronic data by means of a first cryptographic key to receive obfuscated data and those by means of the first cryptographic
  • the invention relates to a key management entity having a processor and a communication interface, wherein the processor is configured to generate at least one first cryptographic key and at least one second cryptographic key, and wherein the communication interface is embodied, to connect the first cryptographic key to
  • Home automation system associate associable data using the first cryptographic key, and wherein the communication interface is adapted to transmit the second cryptographic key to a data management entity to disguise the information masked by the first cryptographic key using the second cryptographic key.
  • the invention relates to a system for the protection of
  • FIG. 1 is a schematic representation of a method for protecting confidential electronic data generated in a home automation system, according to one embodiment
  • Fig. 2 is a schematic representation of a system for the protection of confidential
  • Fig. 3 is a schematic representation of a system for the protection of confidential
  • FIG. 4 is a schematic illustration of the flow of an aspect of the communication in a system for protecting confidential electronic data generated in a home automation system, according to an embodiment
  • FIG. 5 is a schematic representation of the flow of an aspect of the communication in a system for protecting sensitive electronic data generated in a home automation system, according to an embodiment
  • FIG. 6 is a schematic illustration of the flow of an aspect of the communication in a system for protecting confidential electronic data generated in a home automation system, according to an embodiment
  • FIG. 7 is a schematic illustration of the flow of an aspect of the communication in a system for protecting sensitive electronic data generated in a home automation system, according to one embodiment.
  • Figure 1 shows a schematic representation of a method 100 for protecting electronic data generated in a home automation system and personal, i. with a person, in particular a user of the
  • Home automation system associable data include, according to a
  • the system 200 essentially comprises a home automation system 210, a data management entity 230, in particular a data management server 230, and a key management entity 240, in particular a key management server 240, wherein the individual elements can communicate with one another via a communication network 220, in particular the Internet.
  • the home automation system 200 comprises a central control unit in the form of a home gateway 212, which is in unidirectional or bidirectional communication with at least one home automation device 214, for example in the form of a washing machine, so that the home gateway 212 can, for example, send control instructions to the home automation device 214 and Usage data, for example in the form of state information can receive from this.
  • the home gateway can be wired or wireless with fixed or mobile
  • the method 100 illustrated in FIG. 1 comprises a step 101 of obtaining data of the electronic data that is associable with the user of the home automation system 210, which can be determined, for example, by means of suitable search and / or Filter algorithms can be performed.
  • the data associable with the user of the home automation system 210 may be, for example, a name, an identification number, a telephone number, an e-mail address, a customer number of the user and / or another data element used to identify the user of the home automation system 210 is suitable.
  • the electronic data may for example be in the form of a plurality of electronic documents, ie files, and / or a continuous data stream
  • the method 100 further comprises a step 103 of concealing the data of the electronic data that can be associated with the user of the home automation system 210 by means of a first cryptographic key.
  • obfuscation may be encrypted with the user of the
  • Home automation system 210 associative data of the electronic data by means of the first cryptographic key, whereby the associate with the user of the home automation system 210 data of the electronic data can be anonymized or pseudonymized.
  • the method 100 further comprises a step 105 of communicating the electronic data with the data veiled by the first cryptographic key from the home automation system 210 to the data management entity 230.
  • the method 100 further includes a step 107 of veiling the data veiled by the first cryptographic key by the data management entity 230 using a second cryptographic key.
  • the veiling may be encrypted by encrypting the data veiled by the first cryptographic key using the second cryptographic key by the data management entity 230.
  • the data when communicating the electronic data with the data concealed by the first cryptographic key, the data may be transmitted to the
  • Data management entity 230 further includes an identifier of the first cryptographic
  • Key such as a key ID of the first cryptographic key, to which data management entity 230 is communicated.
  • Home automation system 210 associative data of the electronic data using the first cryptographic key by the home automation system 210, in particular the home gateway 212, performed.
  • the home gateway 212 may have a suitably designed processor and / or a correspondingly designed software module.
  • the first cryptographic key and / or the second cryptographic key may be provided by the key management entity 240.
  • Key management entity 240 the home automation system 210, in particular the home gateway 212, are provided.
  • the first cryptographic key may be provided by the key management entity 240 to the home automation system 210, in particular the home gateway 212, together with the identifier of the first cryptographic key.
  • the home automation system 210 the home automation system 210
  • the home gateway 212 may be configured to insert the identifier of the first cryptographic key as an integral component in the electronic data that is transmitted to the data management entity 230.
  • the electronic data with the data concealed by means of the second cryptographic key can be stored in a memory 232, in particular a database 232, of the data management entity 230.
  • the electronic data may be concealed with the data concealed by the first cryptographic key from the
  • Home automation system 210 in particular the home gateway 212, via a Proxyentmaschine not shown in Figure 2, in particular a proxy server to the
  • Data management entity 230 are transmitted, wherein the proxy entity is formed, at least one identifier, in particular an IP address, the
  • the data of the electronic data veiled by the first cryptographic key may be determined by the data management entity 230.
  • FIG. 3 shows a schematic representation of another embodiment of the system 200 for the protection of confidential electronic data.
  • the home gateway 212 of the home automation system 210 includes a data first pseudonymization subsystem 212a and a data provision subsystem 212b. This may be, for example, software modules running on the home gateway 212 or even standalone hardware modules.
  • the home automation system 210 is part of an advanced home automation system 350 that is adjacent to the home automation system
  • Home automation system 210 may also include the key management entity 240, which in the embodiment shown in Figure 3 as a subsystem to
  • Pseudonymization management 240 is formed.
  • Pseudonymization management 240 is implemented in addition to a sub-system for data evaluation 344 on a server infrastructure or a data center 342 of the operator of the home automation system 210.
  • the advanced home automation system 350 may be split into two locations, namely the home automation system 210 of the user and the data center 342 of the home automation operator. While there may be exactly one home automation operator's central data center 342, there may be many home automation systems 210, one in each user's home.
  • the trustee 230 pseudonymizes the already pseudonymized data a second time.
  • the data can now also be regarded as pseudonymized for the operator of the home automation system 210.
  • the operator of the home automation system can no longer restore the reference to a person alone.
  • the methods and systems according to the invention meet the requirement of the user for the pseudonymity of his data with the operator of the home automation system.
  • the personal data are shot back.
  • the methods and systems according to the invention thus also meet the requirement for a possibly necessary restoration of the reference to a person.
  • Recipients in the data can restore the reference to a person, this is no longer possible alone using the inventive methods and systems trustee 230 alone.
  • the methods and systems according to the invention particularly meet the customer's claim to the pseudonymity of his data.
  • the data sources 214 shown in FIG. 3 may be, for example, sensors or actuators.
  • An example of a sensor is e.g. a thermometer. It can measure the current temperature and feed it into the home automation system 210.
  • Actuators can also be accessed by users without the help of home automation system 210 e.g. be switched. An example of this is the operation of a light switch.
  • An actor is also a data source 214 in that it can report when which switch was turned on.
  • the data from the data sources 214 are processed by the home automation system 210. For example, they are incorporated into regulations to derive further measures in accordance with the rules, such as the automatic switching of further actuators.
  • a heater divider then provides, for example, as actuator on instruction by the home automation system 210, a desired temperature on the radiator one.
  • the data from the data sources 214, such as sensors or actuators, are considered personal.
  • the sub-system for data-first pseudonymization 212a takes the data originating from the data sources 214,
  • the first data pseudonymization subsystem 212a recognizes and pseudonymizes the personal components in the data records provided by the data sources 214
  • the sub-system for data-first pseudonymization 212a passes the first-pseudonymized data to the sub-system for data provision 212b (see action 23).
  • the sub-system pseudonymization may be used for data-first pseudonymization 212a using a
  • Encryption method is immaterial to the present invention.
  • encryption methods are, for example, symmetrical or asymmetrical encryption methods.
  • the pseudonymization management subsystem 240 which is an embodiment of the key management entity 240 of FIG. 2, is configured to include a new key and an identifier associated therewith, in particular one Key ID, to generate and save. Furthermore, it can be designed to deliver the corresponding key upon presentation of a key ID. According to one embodiment, the subsystem implements the
  • Pseudonymization management 240 thus in particular the function of a "key escrow" agent.
  • Method 100 for the protection of confidential electronic data described on the embodiment of the system 200 shown in Figure 3 is based.
  • the method may essentially include the following sections: a first portion of the initial pseudonymizing of data; a second portion of re-pseudonymizing and using the data and a third portion of restoring the reference to a person in the data.
  • the distributed pseudonymization system 200 Prior to the first section, the distributed pseudonymization system 200 is in the normal operating state.
  • the data source 214 provides personal data which is first pseudonymized by the sub-system for data-first pseudonymization 212a in the first section. The data can after passing through this first
  • FIG. 4 shows a first section 400 of the method 100 according to FIG.
  • the first section 400 of the method 100 includes the following steps in more detail.
  • the data source 214 sends personal data to the sub-system for data first pseudonymization 212a.
  • the data first pseudonymization subsystem 212a requests a new key from the pseudonymization management subsystem 240.
  • Changing the key may e.g. make the pseudonym that holds the data of a pseudonymous user unusable. Also, generating each key is a "costly" operation that should be avoided for too many calls.
  • Embodiments of the invention provide a key change every single call. 405: getNewKey.res (key, keyld)
  • the sub-system for pseudonymization management 240 provides the sub-system for data-initial pseudonymization 212a with a key for the first pseudonymization of the personal data and an associated key ID.
  • the first data pseudonymization subsystem 212a first pseudonymizes the data with the key.
  • parts of a data record are pseudonymized with usage data.
  • Parts of a data set that can be pseudonymized are e.g. Name of the user, place of use, time of use, the device used and the way of using the device used. According to embodiments of the invention, names can always be pseudonymized depending on a use case, whereas location indications depend on a
  • Partial pseudonymization could e.g. can be realized by "cutting off” the back of the geo-coordinates.
  • information such as time, device used, and how the device is used, may be retained in the electronic data, possibly unchanged.
  • the first-pseudonymized data is supplied to the sub-system for providing data 212b together with the key-ID.
  • FIG. 5 shows a second section 500 of the method 100 according to FIG.
  • the data subdivision subsystem 212b of the home automation system 210 provides first pseudonymized data together with the key ID of the key with which the first pseudonymized data was first pseudonymized to the data pseudonymization system 230a described in FIG 3 as part of the data management entity in the form of a system within a data center of a trustee 230.
  • the first-pseudonymized data are pseudonymized a second time.
  • the data may be after going through this step within the second section for all data sinks, and in particular for the data evaluation subsystem 344 of the home automation system 350, are also considered pseudonymized.
  • the key ID can be persisted together with the pseudonymized data.
  • the second time pseudonymized data can be transmitted to data sink 360, for example, a recycler 360 that wants to evaluate the pseudonymized data.
  • the same encryption methods may be used in the initial pseudonymization by the sub-system for the first pseudonymization 212a and in the pseudonymization by the system for data pseudonymization 230a.
  • both systems i. E. the data first pseudonymization subsystem 212a and the data pseudonymization system 230a have different keys.
  • the data pseudonymization system 230a thus does not at any time have knowledge of the key used by the sub-system for data initial pseudonymization 212a. The same applies vice versa, i. sub-system for data pseudonymization 212a at no time has knowledge of the key used by the data pseudonymization system 230a.
  • the second section 500 of the method 100 includes in more detail the following
  • the first-pseudonymized data is communicated together with the key-ID from the sub-system for providing data 212b to the system for data pseudonymization 230a.
  • the first-pseudonymized data is pseudonymized a second time by the data pseudonymization system 230a.
  • the pseudonymized data a second time are persisted together with the key ID by the system for data pseudonymization 230a, for example, stored in a database.
  • sendData (pseudonymizedData)
  • the data that has been pseudonymized a second time are transmitted to the data sink 360 by the system for data pseudonymization 230a.
  • the data evaluation subsystem 344 of the home automation system 350 may be one of these data sinks.
  • FIG. 6 shows a third section 600 of the method 100 according to FIG.
  • a data processor 360 would like, for reasons given by the data pseudonymization system 230a, to put second-pseudonymized data back into one
  • the data processor 360 transmits the second pseudonymized data to the subsystem for pseudonymization management 240.
  • the pseudonymization management 240 authorizes the request of the
  • Data processor 360 on a back-personalization of the data may take place system wide for the enhanced home automation system 350 at this point.
  • Conceivable here is e.g. an automated decision based on a set of rules. It is also conceivable, e.g. the generation of a decision template in the form of a man-machine dialog (GUI), which is passed to a natural person for decision. The natural person in turn feeds the decision into the electronic process.
  • the pseudonymization management subsystem 240 then transmits the pseudonymized data to the data pseudonymization system 230a in the event of authorization. Also, the data pseudonymization system 230a first authorizes the re-personalization of the data. Upon successful authorization, the key ID belonging to the pseudonymized data and deposited in the pseudonymization is read from the database 232. After that, the
  • pseudonymized data back-personalized in the first-pseudonymized data.
  • the data back-personalized by the data pseudonymization system 230a corresponding to the first pseudonymized data and the key ID are returned to the pseudonymization management subsystem 240.
  • the pseudonymization management subsystem 240 determines the key from the key ID obtained from the data pseudonymization subsystem 230a.
  • the determined key and the back-personalized data obtained from the sub-system for data pseudonymization 230a corresponding to the first-pseudonymized data are transmitted to the sub-system for data-first pseudonymization 212a.
  • the sub-system for data-initial pseudonymization 212a back-personalizes with the help of the key the personal data.
  • Personalization management 240 finally transfers the data to the data processor 360.
  • the third section 600 of the method 100 includes the following steps in more detail. 601: rePersonalizeData (personalizedData)
  • the pseudonymized data is passed from the data processor 360 to the subsystem for pseudonymization management 240.
  • Pseudonymization management 240 is authorized.
  • the data pseudonymization system 230a is tasked with re-personalizing the pseudonymized data.
  • the re-personalization of the data by the data pseudonymization system 230a is authorized.
  • the key ID stored in the pseudonymization of the original, first-pseudonymized data is retrieved.
  • rePersonalizeData pseudonymizedData
  • the data pseudonymization system 230a back-personalizes the pseudonymized data.
  • the data pseudonymization system 230a transmits the key ID and the back-personalized data corresponding to the first pseudonymized data to the pseudonymization management subsystem 240.
  • the sub-system for pseudonymization management 240 determines the to the
  • the sub-system for pseudonymization management 240 transmits the key and the first-pseudonymized data back-personalized by the data pseudonymization system 230a, which correspond to the first-pseudonymized data, to the sub-system for data-first pseudonymization 212a.
  • the sub-system for data-initial pseudonymization 212a re-pseudonymizes by means of the key the data personalized back by the system for data pseudonymization 230a, which correspond to the first-pseudonymized data, back to the original personalized data.
  • the sub-system for data-initial pseudonymization 212a transmits the personalized data to the sub-system for pseudonymization management 240.
  • the pseudonymization management subsystem 240 transmits the
  • the back pseudonymization by the subsystem becomes the
  • Pseudonymization management 240 triggered.
  • the impetus for the return may be provided.
  • a corresponding variant is shown in FIG. 7, wherein the steps 601 'to 625' shown in FIG. 7 essentially correspond to the steps 601 to 623 shown in FIG. 6 and described in detail above.
  • the variant illustrated in FIG. 7 has the particular advantage that the subsystem for pseudonymization management 240 at no time comes into contact with usage data, be it in pseudonymized or non-pseudonymised form.
  • Embodiments of the method 100 and the system 200 become the
  • the personal data may also be obfuscated in some other way, e.g.
  • Embodiments of the method 100 and the system 200 each time the sub-system for data-first pseudonymization 212a requests a new key.
  • the data first pseudonymization subsystem 212a may dispense with requesting a new key, and instead dispense with an already requested, advantageously the last, requested key with the associated key ID reuse.
  • Pseudonymmaschinesmanagement 240 respond to the request to generate a new key with the return of an already requested, advantageously the last, requested key with the associated key ID.
  • Embodiments of method 100 and system 200 pseudonymize all parts of a data set. However, this only represents special embodiments. In another embodiment, different partial data of a data record with usage data can be appropriately pseudonymised, partially pseudonymized or left unchanged, depending on the application. In the above described in connection with Figures 3 to 7
  • Embodiments of the method 100 and the system 200 will describe the data center 342 of the home automation system 210 operator as a central system. However, this only represents special embodiments. In another embodiment, the data center 342 may also be distributed over many locations distributed.
  • Embodiments of method 100 and system 200 describe sensors and actuators 214 as having to be in the user's home. However, this only represents special embodiments. In another embodiment, sensors and actuators 214 may also be located at other locations. Other places may e.g. Garden and the surrounding area of the house. Other places, such as A holiday home can also be removed. Other locations, such as a car can be at a variable distance from the user's home. In the context of the present invention, it is merely essential that the data is personal data.
  • Embodiments of method 100 and system 200 are called sensors and actuators 214 as the only data sources. However, this is merely a specific embodiment. In another embodiment, data sources may be of a different nature. For the procedure it is only relevant that the data is personal data.
  • Embodiments of the method 100 and the system 200 immediately provide the data from the data sources 214, such as sensors or actuators, to other systems for processing. However, this only represents special embodiments. In another embodiment, these data can also be timely or delayed
  • the data can be cached.
  • Embodiments of the method 100 and the system 200 use the Internet for data transmission between spatially separated systems. However, this is merely a special embodiment. In another embodiment This data is also transmitted via other suitable communication channels, such as intranet, point-to-point connections, leased lines, etc.
  • Embodiments of the method 100 and the system 200 store the key and the associated key ID from the subsystem to the pseudonymization management 240. However, this only represents specific embodiments. In another embodiment, the key and the key ID may be in a separate
  • the key repository can be expired.
  • Embodiments of the method 100 and the system 200 are each "the one" system that actively delivers the data to "the other" system. Proactive delivery of data is often referred to as a “push” process. However, this only represents specific embodiments. In another embodiment, these data may also be requested from “the other” in “the one” system. Requesting data is often referred to as a "push” operation. In the above described in connection with Figures 3 to 7
  • the key ID is transmitted in each case as a separate parameter from the subsystem for data initial pseudonymization 212a via the data forwarding explicitly next to the first-pseudonymized data to the system for data pseudonymization 230a. It is then up to the data pseudonymization system 230a to establish and maintain the relation between the first-pseudonymized data and the key-ID.
  • the key ID may also be incorporated by the data first pseudonymization subsystem 212a into the first-pseudonymized data.
  • the key ID is a date that is considered non-personal and therefore not pseudonymized. Instead, it remains in plain text as part of the first-pseudonymized data.
  • Embodiments of the method 100 and the system 200 will be subclassified by the first data pseudonymization 212a subsystem for each new pseudonymizer
  • Sub-System to Pseudonymization Management 240 a new one Keys requested.
  • a key and associated key ID may also be used for a longer, appropriate amount of time from sub-system to data-first pseudonymization 212a for pseudonymizing data.
  • the respectively new key is generated by the subsystem for pseudonymization management 240.
  • the key may also be represented by another illustrated or not shown
  • Element are generated and provided to the sub-system for pseudonymization management 240 for further distribution.
  • Embodiments of the method 100 and the system 200 each individual individual data sets are transmitted between all components of the system. However, this is merely special embodiments. In another embodiment, data may also be transmitted in the form of a continuous stream of data. In the above described in connection with Figures 3 to 7
  • Embodiments of method 100 and system 200 are data in FIG.
  • Databases persisted. However, this only represents specific embodiments. In another embodiment, data may also be persisted in other suitable form. Other suitable forms may e.g. Be files of a file system.
  • Embodiments of method 100 and system 200 persist the second pseudonymized data together with the key ID. However, this only represents specific embodiments. In another embodiment, e.g. a hash value or other suitable reference to the second pseudonymized data is persisted.
  • Embodiments of the method 100 and of the system 200 are converted back into first-personal data in the case of the request with which the second pseudonymized data is transferred should be provided, the second-pseudonymized data as a parameter.
  • a hash value or another suitable reference to the second pseudonymized data can also be supplied at this point.
  • Embodiments of the method 100 and the system 200 communicate the data sources 214 exclusively with the subsystems in the user's home, namely the sub-system for data first pseudonymization 212a and the sub-system for data provision 212b, both in the home of the Users are and
  • the home gateway 212 may be implemented on the home gateway 212.
  • one or both of these subsystems may also reside in the computer center 342 of the home automation system operator.
  • Embodiments of the method 100 and the system 200 provide data from the subsystem for providing data 212b in the user's home directly to the data pseudonymization system 230a in the data center of the trustee 230.
  • this is merely a specific embodiment.
  • this may also be done via another system, e.g. a proxy server, a "reverse proxy" or a mixer, which provides for a prior anonymization in particular of the technical address of the data provisioning system 212b, e.g. makes a change in the IP address of the data provision system 212b.
  • a server may e.g. another sub-system of home automation system 210.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Bioethics (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Schutz von elektronischen Daten, die in einem Hausautomatisierungssystem (210) anfallen, umfassend: Ermitteln von Daten der elektronischen Daten, die mit einem Nutzer des Heimautomatisierungssystems (210) assoziierbar sind; Verschleiern der mit dem Nutzer des Heimautomatisierungssystems (210) assoziierbaren Daten der elektronischen Daten mittels eines ersten kryptographischen Schlüssels; Übermitteln der elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten von dem Heimautomatisierungssystem (210) an eine Datenverwaltungsentität (230); und Verschleiern der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels eines zweiten kryptographischen Schlüssels durch die Datenverwaltungsentität (230). Das Verfahren erlaubt die Rückpersonalisierung der mittels des ersten und des zweiten kryptographischen Schlüssels verschleierten Daten. Ferner betrifft die Erfindung ein entsprechendes Heimautomatisierungssystem (210), eine entsprechende Datenverwaltungsentität (220), eine entsprechende Schlüsselverwaltungsentität (230) und ein aus diesen Elementen bestehendes System (200).

Description

Verfahren und Vorrichtungen zum Schutz
von vertraulichen elektronischen Daten
Die Erfindung betrifft Verfahren und Vorrichtungen zum Schutz von vertraulichen elektronischen Daten, insbesondere von vertraulichen elektronischen Daten, die in einem Hausautomatisierungssystem anfallen.
Unter dem Begriff Hausautomatisierung und verwandten Begriffen, wie "Smart Home", "Smart Living" und dergleichen, wird insbesondere die Vernetzung und Fernsteuerung von vernetzungsfähigen Geräten im privaten Wohnbereich verstanden. Bei derartigen Geräten, die als Hausautomatisierungsgeräte bezeichnet werden, kann es sich beispielsweise um Geräte der Haustechnik (z. B. Lichtsteuerung, Alarmanlage, Heizungsund Jalousien-Steuerung), "Smart Metering"-Geräte (z. B. elektrischer Energiezähler, Wasserzähler, Gaszähler), intelligente Elektrohaushaltsgeräte (z. B. Herd, Kühlschrank, Waschmaschine), Multimedia-Geräte (z. B. Fernseher, Videorekorder, Stereoanlage) und dergleichen handeln. Derartige Hausautomatisierungsgeräte bilden zusammen mit einer zentralen Steuereinheit, die üblicherweise als ein Home-Gateway ausgestaltet ist oder als Komponente eines solchen Home-Gateways implementiert ist, ein
Hausautomatisierungssystem aus. Dabei steht das Home-Gateway wiederum in
Kommunikation mit dem Internet oder einem anderen externen Kommunikationsnetz, was es ermöglicht, zum einen das Hausautomatisierungssystem von extern, beispielsweise über ein Mobilfunkendgerät des Hausbesitzers, anzusteuern und zum anderen
Statusinformationen des Hausautomatisierungssystems, beispielsweise an das
Mobilfunkendgerät des Hausbesitzers, zu versenden.
Aufgrund der großen Vielfalt an unterschiedlichen Hausautomatisierungsgeräten, die mit unterschiedlichen Kommunikationsprotokollen arbeiten, ist das Home-Gateway eines Hausautomatisierungssystems in der Regel ausgebildet, über eine Vielzahl
unterschiedlicher Kommunikationskanäle mit den einzelnen Hausautomatisierungsgeräten zu kommunizieren. Beispielsweise kann die Kommunikation zwischen dem Home- Gateway und einem Hausautomatisierungsgerät kabelgebunden oder über eine
Funkverbindung erfolgen. Dem Fachmann bekannte Beispiele für kabelgebundene Verbindungen sind unter anderem Ethernet, Powerline, M-Bus und dergleichen. Als Funkverbindung kommen insbesondere WLAN bzw. WiFi, Bluetooth, ZigBee und dergleichen zum Einsatz. Die Anbindung des Home-Gateways an ein externes Kommunikationsnetz, insbesondere das Internet, kann insbesondere über DSL, ISDN, Kabel, Glasfaser, Mobilfunk und dergleichen erfolgen.
Im Rahmen der Hausautomatisierung können große Mengen an Nutzungsdaten anfallen. Dabei können unter Nutzungsdaten beispielsweise der Zeitpunkt des Betätigens eines Lichtschalters durch den Nutzer, die von einem Temperatursensor zu einem Zeitpunkt gemessene Temperatur oder auch Zustands- oder Ereignisinformationen von
Rauchmeldern oder Alarmanlagen verstanden werden. Derartige Nutzungsdaten können für eine Vielzahl von sekundären Geschäftsmodellen interessant sein, bei denen diese Nutzungsdaten unter unterschiedlichen Gesichtspunkten ausgewertet werden. So kann anhand von im Rahmen der Hausautomatisierung anfallenden Nutzungsdaten
beispielsweise ausgewertet werden, wie oft Waschmaschinen bei welcher
Waschtemperatur gestartet werden, und unter Zuhilfenahme von weiteren Daten, wie beispielsweise der Wasserhärte, nach wie vielen Waschvorgängen Waschmaschinen in Abhängigkeit der Wasserhärte und der Waschtemperatur einen Defekt erleiden.
Da es sich bei den bei der Hausautomatisierung anfallenden Nutzungsdaten in der Regel um personenbezogene Daten handelt, d.h. Daten, die mit einer Person, in der Regel dem Nutzer des Hausautomatisierungssystems, assoziiert werden können, müssen aus Gründen des Datenschutzes die Daten herkömmlicherweise einer
Datenverwaltungsentität in Form eines Treuhänders übergeben und von dieser insbesondere mittels einer Verschleierung anonymisiert oder pseudonymisiert werden. Im Kontext der Hausautomatisierung werden personenbezogene Daten in der Regel nicht nur verschleiert, sondern vielmehr hart, das heißt für einen Angreifer nicht
zurückrechenbar verschlüsselt. Für das hier beschriebene Verfahren spielt die Härte der Verschlüsselung allerdings keine Rolle. Die Anonymisierung hat dabei das Ziel einen Rückschluss von den anonymisierten personenbezogenen Daten auf die Person vollständig zu verhindern. Die Pseudonymisierung ersetzt die
Wiedererkennungsmerkmale einer Person mit einem Pseudonym, um die
Wiedererkennung auszuschließen oder wesentlich zu erschweren. Der entscheidende Unterschied zwischen Anonymisierung und Pseudonymisierung ist bei der
Anonymisierung das Auflösen bzw. bei der Pseudonymisierung das Erhalten von
Bezügen, die zwischen verschiedenen personenbezogenen Daten einer Person ursprünglich bestanden. Die verschleierten, d.h. insbesondere anonymisierten oder pseudonymisierten,
Nutzungsdaten können von dem Treuhänder dann an einen oder mehrere Daten verwerter übergeben werden, von dem die anonymisierten oder pseudonymisierten Nutzungsdaten ausgewertet werden können. Bei dem Datenverwerter kann es sich neben einer dritten Person auch um den Nutzer oder den Betreiber des Hausautomatisierungssystems handeln.
Voraussetzung dafür, dass dies so funktioniert, ist insbesondere, dass sowohl der Nutzer des Hausautomatisierungssystems, in dem die Nutzungsdaten anfallen, als auch der Datenverwerter, der die Nutzungsdaten auswerten möchte, dem Treuhänder vollständig vertrauen können. Dieses Vertrauen ist bei Nutzern von Hausautomatisierungssystemen wegen der besonderen Sensibilität der Nutzungsdaten oftmals nicht vorhanden. Folglich werden Nutzungsdaten von den Nutzern von Hausautomatisierungssystemen, wenn überhaupt nur ungern zur weiteren Auswertung zur Verfügung gestellt. Überdies ist die Gesetzeslage in vielen Ländern derart, dass der Nutzer eines
Hausautomatisierungssystems der Weitergabe und damit der Verwertung der in seinem Hausautomatisierungssystem anfallenden Nutzungsdaten aktiv zustimmen muss. In diesem Zusammenhang wird von Nutzern von Hausautomatisierungssystemen die Zustimmung zur Weiterverwertung ihrer Nutzungsdaten häufig gar nicht erst erteilt.
Ferner gibt es mehrere Gründe dafür, dass es möglich sein muss, dass ein Anfragender "punktuell" auf die ursprünglichen, personenbezogenen Daten zugreifen muss. Das dazu notwendige Zurückschließen erfolgt herkömmlicherweise durch den Treuhänder, der alleine dazu in der Lage ist, die pseudonymisierten Daten wieder in ihre ursprüngliche, mit der Person assoziierbare Form zurückzuführen. Für einen Anfragenden können die Gründe für das Zurückführen im Rahmen eines hoheitlich geforderten Einblicks in die Nutzungsdaten ("legal interception"), aber auch im Rahmen einer "punktuellen" Analyse eines erfolgten Angriffs z.B. auf das Hausautomatisierungssystem liegen. Vor diesem Hintergrund ist es die Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren und ein verbessertes System zum Schutz von vertraulichen, elektronischen Daten bereitzustellen, insbesondere von elektronischen Daten, die im Zusammenhang mit einem Hausautomatisierungssystem anfallen . Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungsformen sind Gegenstand der abhängigen Ansprüche. Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfahren zum Schutz von elektronischen Daten, die in einem Hausautomatisierungssystem anfallen, d.h.
aufgezeichnet werden. Dabei umfasst das Verfahren die folgenden Schritte: das Ermitteln von Daten der elektronischen Daten, die mit einem Nutzer des
Heimautomatisierungssystems assoziierbar sind; das Verschleiern der mit dem Nutzer des Heimautomatisierungssystems assoziierbaren Daten der elektronischen Daten mittels eines ersten kryptographischen Schlüssels; das Übermitteln der elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten von dem Heimautomatisierungssystem an eine Datenverwaltungsentität; und das Verschleiern der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels eines zweiten kryptographischen Schlüssels durch die Datenverwaltungsentität.
Das Verfahren gemäß dem ersten Aspekt der Erfindung erlaubt die Pseudonymisierung von Nutzungsdaten bereits im Hausautomatisierungssystem des Nutzers. Dieser stellt dem Treuhänder nunmehr seine Nutzungsdaten nur noch verschleiert, insbesondere pseudonymisiert oder anonymisiert, zur Verfügung. Dem gesunden Misstrauen des Nutzers des Hausautomatisierungssystems gegen einen Missbrauch der in seinem Hausautomatisierungssystem gesammelten Nutzungsdaten kann somit maßgeblich entgegengewirkt werden. Das notwendige Vertrauensverhältnis wird beibehalten. Ferner können beispielsweise im Rahmen eines hoheitlich geforderten Einblicks in die
Nutzungsdaten, aber auch im Rahmen einer "punktuellen" Analyse, beispielsweise in Reaktion auf einen auf das Hausautomatisierungssystem erfolgten Angriff, die
verschleierten, insbesondere pseudonymisierten oder anonymisierten, Daten mittels des ersten und des zweiten kryptographischen Schlüssels wieder auf den Nutzer des
Hausautomatisierungssystems zurück bezogen werden , d.h. rückpersonalisiert werden.
In einer Ausführungsform des ersten Aspekts der Erfindung wird beim Schritt des Übermitteins der elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten an die Datenverwaltungsentität ferner ein Identifier des ersten kryptographischen Schlüssels, beispielsweise eine Schlüssel-ID, an die
Datenveraltungsentität übermittelt.
In einer Ausführungsform des ersten Aspekts der Erfindung wird der Schritt des
Verschleierns der mit dem Nutzer des Heimautomatisierungssystems assoziierbaren Daten der elektronischen Daten mittels des ersten kryptographischen Schlüssels durch das Hausautomatisierungssystem durchgeführt.
In einer Ausführungsform des ersten Aspekts der Erfindung wird der erste
kryptographische Schlüssel und/oder der zweite kryptographische Schlüssel von einer Schlüsselverwaltungsentität bereitgestellt.
In einer Ausführungsform des ersten Aspekts der Erfindung wird der erste
kryptographische Schlüssel von der Schlüsselverwaltungsentität dem
Hausautomatisierungssystem bereitgestellt.
In einer Ausführungsform des ersten Aspekts der Erfindung wird der erste
kryptographische Schlüssel von der Schlüsselverwaltungsentität dem
Hausautomatisierungssystem zusammen mit dem Identifier des ersten kryptographischen Schlüssels bereitgestellt.
In einer Ausführungsform des ersten Aspekts der Erfindung umfasst das Verfahren den weiteren Schritt, dass das Hausautomatisierungssystem den Identifier des ersten kryptographischen Schlüssels als integralen Bestandteil in die elektronischen Daten einfügt, die an die Daten verwaltungsentität übermittelt werden.
In einer Ausführungsform des ersten Aspekts der Erfindung umfasst das Verfahren den weiteren Schritt, die elektronischen Daten mit den mittels des zweiten kryptographischen Schlüssels verschleierten Daten in einem Speicher der Datenverwaltungsentität zu speichern.
In einer Ausführungsform des ersten Aspekts der Erfindung werden beim Schritt des Übermitteins der elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten von dem Heimautomatisierungssystem an die
Datenverwaltungsentität die elektronischen Daten mit den mittels des ersten
kryptographischen Schlüssels verschleierten Daten über eine Proxyentität an die
Datenverwaltungsentität übermittelt, wobei die Proxyentität ausgebildet ist, wenigstens einen Identifier, insbesondere eine IP-Adresse, des Hausautomatisierungssystems in den elektronischen Daten zu verschleiern. ln einer Ausführungsform des ersten Aspekts der Erfindung umfasst der Schritt des Verschleierns der ermittelten Daten, die mit dem Nutzer des
Hausautomatisierungssystems assoziierbar sind, mittels des ersten kryptographischen Schlüssels einen Schritt des Verschlüsseins der ermittelten Daten, die mit dem Nutzer des Hausautomatisierungssystems assoziierbar sind, mittels des ersten
kryptographischen Schlüssels und/oder der Schritt des Verschleierns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten
kryptographischen Schlüssels einen Schritt des Verschlüsseins der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels. Insbesondere können beim Schritt des Verschleierns der ermittelten Daten, die mit dem Nutzer des Hausautomatisierungssystems assoziierbar sind, mittels des ersten kryptographischen Schlüssels oder beim Schritt des Verschleierns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten
kryptographischen Schlüssels die Daten jeweils anonymisiert oder pseudonymisiert werden.
In einer Ausführungsform des ersten Aspekts der Erfindung umfasst das Verfahren vor dem Schritt des Verschleierns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels einen weiteren Schritt des Ermitteins der mittels des ersten kryptographischen Schlüssels verschleierten Daten der elektronischen Daten.
Gemäß einem zweiten Aspekt betrifft die Erfindung ein Hausautomatisierungssystem mit einem Prozessor und einer Kommunikationsschnittelle, wobei in dem
Hausautomatisierungssystem elektronische Daten anfallen, wobei der Prozessor ausgebildet ist, Daten der elektronischen Daten, die mit einem Nutzer des
Heimautomatisierungssystems assoziierbar sind, zu ermitteln und die mit dem Nutzer des Heimautomatisierungssystems assoziierbaren Daten der elektronischen Daten mittels eines ersten kryptographischen Schlüssels zu verschleiern, und wobei die
Kommunikationsschnittstelle ausgebildet ist, die elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten an eine
Datenverwaltungsentität zu übermitteln.
Gemäß einem dritten Aspekt betrifft die Erfindung eine Datenverwaltungsentität mit einem Prozessor und einer Kommunikationsschnittstelle, wobei die Kommunikationsschnittstelle ausgebildet ist, elektronische Daten mit mittels eines ersten kryptographischen Schlüssels verschleierten Daten zu empfangen und die mittels des ersten kryptographischen
Schlüssels verschleierten Daten mittels eines zweiten kryptographischen Schlüssels zu verschleiern. Gemäß einem vierten Aspekt betrifft die Erfindung eine Schlüsselverwaltungsentität mit einem Prozessor und einer Kommunikationsschnittstelle, wobei der Prozessor ausgebildet ist, wenigstens einen ersten kryptographischen Schlüssel und wenigstens einen zweiten kryptographischen Schüssel zu generieren, und wobei die Kommunikationsschnittstelle ausgebildet ist, den ersten kryptographischen Schlüssel an ein
Hausautomatisierungssystem zu übermitteln, um mit dem Nutzer des
Heimautomatisierungssystems assoziierbaren Daten mittels des ersten kryptographischen Schlüssels zu verschleiern, und wobei die Kommunikationsschnittstelle ausgebildet ist, den zweiten kryptographischen Schlüssel an eine Datenverwaltungsentität zu übermitteln, um die mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels zu verschleiern.
Gemäß einem fünften Aspekt betrifft die Erfindung ein System zum Schutz von
elektronischen Daten mit einem Heimautomatisierungssystem gemäß dem zweiten Aspekt der Erfindung, einer Datenverwaltungsentität gemäß dem dritten Aspekt der Erfindung und einer Schlüsselverwaltungsentität gemäß dem vierten Aspekt der
Erfindung.
Weitere Ausführungsbeispiele werden Bezug nehmend auf die beiliegenden Zeichnungen erläutert. Es zeigen:
Fig. 1 eine schematische Darstellung eines Verfahrens zum Schutz von vertraulichen elektronischen Daten, die in einem Hausautomatisierungssystem anfallen, gemäß einer Ausführungsform; Fig. 2 eine schematische Darstellung eines Systems zum Schutz von vertraulichen
elektronischen Daten, die in einem Hausautomatisierungssystem anfallen, gemäß einer Ausführungsform;
Fig. 3 eine schematische Darstellung eines Systems zum Schutz von vertraulichen
elektronischen Daten, die in einem Hausautomatisierungssystem anfallen, gemäß einer Ausführungsform; Fig. 4 eine schematische Darstellung des Ablaufs eines Aspekts der Kommunikation in einem System zum Schutz von vertraulichen elektronischen Daten, die in einem Hausautomatisierungssystem anfallen, gemäß einer Ausführungsform;
Fig. 5 eine schematische Darstellung des Ablaufs eines Aspekts der Kommunikation in einem System zum Schutz von vertraulichen elektronischen Daten, die in einem Hausautomatisierungssystem anfallen, gemäß einer Ausführungsform;
Fig. 6 eine schematische Darstellung des Ablaufs eines Aspekts der Kommunikation in einem System zum Schutz von vertraulichen elektronischen Daten, die in einem Hausautomatisierungssystem anfallen, gemäß einer Ausführungsform; und
Fig. 7 eine schematische Darstellung des Ablaufs eines Aspekts der Kommunikation in einem System zum Schutz von vertraulichen elektronischen Daten, die in einem Hausautomatisierungssystem anfallen, gemäß einer Ausführungsform.
In der folgenden ausführlichen Beschreibung wird auf die beiliegenden Zeichnungen Bezug genommen, die einen Teil hiervon bilden und in denen als Veranschaulichung spezifische Ausführungsformen gezeigt sind, in denen die Erfindung ausgeführt werden kann. Es versteht sich, dass auch andere Ausführungsformen genutzt und strukturelle oder logische Änderungen vorgenommen werden können, ohne vom Konzept der vorliegenden Erfindung abzuweichen. Die folgende ausführliche Beschreibung ist deshalb nicht in einem beschränkenden Sinne zu verstehen. Ferner versteht es sich, dass die Merkmale der verschiedenen hierin beschriebenen Ausführungsbeispiele miteinander kombiniert werden können, sofern nicht spezifisch etwas anderes angegeben ist.
Die Aspekte und Ausführungsformen werden unter Bezugnahme auf die Zeichnungen beschrieben, wobei gleiche Bezugszeichen sich im Allgemeinen auf gleiche Elemente beziehen. In der folgenden Beschreibung werden zu Erläuterungszwecken zahlreiche spezifische Details dargelegt, um ein eingehendes Verständnis von einem oder mehreren Aspekten der Erfindung zu vermitteln. Für einen Fachmann kann es jedoch offensichtlich sein, dass ein oder mehrere Aspekte oder Ausführungsformen mit einem geringeren Grad der spezifischen Details ausgeführt werden können. In anderen Fällen werden bekannte Strukturen und Elemente in schematischer Form dargestellt, um das Beschreiben von einem oder mehreren Aspekten oder Ausführungsformen zu erleichtern. Es versteht sich, dass andere Ausführungsformen genutzt und strukturelle oder logische Änderungen vorgenommen werden können, ohne von dem Konzept der vorliegenden Erfindung abzuweichen.
Es werden Vorrichtungen beschrieben, und es werden Verfahren beschrieben. Es versteht sich, dass Grundeigenschaften der Vorrichtungen auch für die Verfahren gelten und umgekehrt. Deshalb wird der Kürze halber gegebenenfalls auf eine doppelte
Beschreibung solcher Eigenschaften verzichtet.
Figur 1 zeigt eine schematische Darstellung eines Verfahrens 100 zum Schutz von elektronischen Daten, die in einem Hausautomatisierungssystem anfallen, und personenbezogene, d.h. mit einer Person, insbesondere einem Nutzer des
Hausautomatisierungssystems, assoziierbare Daten umfassen, gemäß einer
Ausführungsform. Das Verfahren 100 sowie bevorzugte Ausführungsformen davon werden nachstehend unter Bezugnahme auf das in Figur 2 dargestellte System 200 zum Schutz von vertraulichen elektronischen Daten, die in einem
Hausautomatisierungssystem anfallen, beschrieben.
Das System 200 umfasst im Wesentlichen ein Heimautomatisierungssystem 210, eine Datenverwaltungsentität 230, insbesondere einem Datenverwaltungsserver 230, und eine Schlüsselverwaltungsentität 240, insbesondere einem Schlüsselverwaltungsserver 240, wobei die einzelnen Elemente über ein Kommunikationsnetz 220, insbesondere das Internet, miteinander kommunizieren können.
Das Hausautomatisierungssystem 200 umfasst eine zentrale Steuereinheit in Form eines Home-Gateways 212, das in uni- oder bidirektionaler Kommunikation mit wenigstens einem Hausautomatisierungsgerät 214 beispielsweise in Form einer Waschmaschine steht, so dass das Home-Gateway 212 beispielsweise Steueranweisungen an das Hausautomatisierungsgerät 214 schicken kann und Nutzungsdaten beispielsweise in Form von Zustandsinformationen von diesem empfangen kann. Ferner kann das Home- Gateway kabelgebunden oder kabellos mit fest installierten oder mobilen
Kommunikationsendgeräten 216, 218 des Nutzers des Hausautomatisierungssystems 210 kommunizieren.
Das in Figur 1 dargestellte Verfahren 100 umfasst einen Schritt 101 des Ermitteins von Daten der elektronischen Daten, die mit dem Nutzer des Heimautomatisierungssystems 210 assoziierbar sind, was beispielsweise mittels geeigneter Such- und/oder Filteralgorithmen durchgeführt werden kann. Bei den mit dem Nutzer des Hausautomatisierungssystems 210 assoziierbaren Daten kann es sich beispielsweise um einen Namen, eine Identifikationsnummer, eine Telefonnummer, eine E-Mail-Adresse, eine Kundennummer des Nutzers und/oder ein anderes Datenelement handeln, das zur Identifizierung des Nutzers des Hausautomatisierungssystems 210 geeignet ist. Die elektronischen Daten können beispielsweise in Form einer Vielzahl von elektronischen Dokumenten, d.h. Files, vorliegen und/oder einem kontinuierlichen Datenstrom
entstammen. Das Verfahren 100 umfasst ferner einen Schritt 103 des Verschleierns der mit dem Nutzer des Heimautomatisierungssystems 210 assoziierbaren Daten der elektronischen Daten mittels eines ersten kryptographischen Schlüssels. Gemäß einer Ausführungsform kann das Verschleiern durch ein Verschlüsseln der mit dem Nutzer des
Heimautomatisierungssystems 210 assoziierbaren Daten der elektronischen Daten mittels des ersten kryptographischen Schlüssels erfolgen, wodurch die mit dem Nutzer des Heimautomatisierungssystems 210 assoziierbaren Daten der elektronischen Daten anonymisiert oder pseudonymisiert werden können.
Das Verfahren 100 umfasst ferner einen Schritt 105 des Übermitteins der elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten von dem Heimautomatisierungssystem 210 an die Datenverwaltungsentität 230.
Das Verfahren 100 umfasst ferner einen Schritt 107 des Verschleierns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels eines zweiten kryptographischen Schlüssels durch die Datenverwaltungsentität 230. Gemäß einer Ausführungsform kann das Verschleiern durch ein Verschlüsseln der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels durch die Datenverwaltungsentität 230 erfolgen. Gemäß einer Ausführungsform kann beim Übermitteln der elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten an die
Datenverwaltungsentität 230 ferner ein Identifier des ersten kryptographischen
Schlüssels, beispielsweise eine Schlüssel-ID des ersten kryptographischen Schlüssels, an die Datenveraltungsentität 230 übermittelt werden . Gemäß einer Ausführungsform kann das Verschleiern der mit dem Nutzer des
Heimautomatisierungssystems 210 assoziierbaren Daten der elektronischen Daten mittels des ersten kryptographischen Schlüssels durch das Hausautomatisierungssystem 210, insbesondere das Home-Gateway 212, durchgeführt werden. Hierzu kann das Home- Gateway 212 einen entsprechend ausgebildeten Prozessor und/oder ein entsprechend ausgebildetes Software-Modul aufweisen.
Gemäß einer Ausführungsform können der erste kryptographische Schlüssel und/oder der zweite kryptographische Schlüssel von der Schlüsselverwaltungsentität 240 bereitgestellt werden. Dabei kann der erste kryptographische Schlüssel von der
Schlüsselverwaltungsentität 240 dem Hausautomatisierungssystem 210, insbesondere dem Home-Gateway 212, bereitgestellt werden.
Gemäß einer Ausführungsform kann der erste kryptographische Schlüssel von der Schlüsselverwaltungsentität 240 dem Hausautomatisierungssystem 210, insbesondere dem Home-Gateway 212, zusammen mit dem Identifier des ersten kryptographischen Schlüssels bereitgestellt werden.
Gemäß einer Ausführungsform kann das Hausautomatisierungssystem 210,
insbesondere das Home-Gateway 212, ausgebildet sein, den Identifier des ersten kryptographischen Schlüssels als integralen Bestandteil in die elektronischen Daten einzufügen, die an die Datenverwaltungsentität 230 übermittelt werden.
Gemäß einer Ausführungsform können die elektronischen Daten mit den mittels des zweiten kryptographischen Schlüssels verschleierten Daten in einem Speicher 232, insbesondere einer Datenbank 232, der Datenverwaltungsentität 230 gespeichert werden.
Gemäß einer Ausführungsform können die elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten von dem
Hausautomatisierungssystem 210, insbesondere dem Home-Gateway 212, über eine in Figur 2 nicht dargestellte Proxyentität, insbesondere einen Proxy-Server an die
Datenverwaltungsentität 230 übermittelt werden, wobei die Proxyentität ausgebildet ist, wenigstens einen Identifier, insbesondere eine IP-Adresse, des
Hausautomatisierungssystems 210 in den elektronischen Daten zu verschleiern. Gemäß einer Ausführungsform können vor dem Verschleiern der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels die mittels des ersten kryptographischen Schlüssels verschleierten Daten der elektronischen Daten von der Datenverwaltungsentität 230 ermittelt werden.
Nachstehend werden weitere Ausführungsformen des Verfahrens 100 und des Systems 200 beschrieben.
Figur 3 zeigt eine schematische Darstellung einer weiteren Ausführungsform des Systems 200 zum Schutz von vertraulichen elektronischen Daten. Bei dieser Ausführungsform umfasst das Home-Gateway 212 des Hausautomatisierungssystems 210 ein Sub-System zur Daten-Erst-Pseudonymisierung 212a und ein Sub-System zur Daten-Bereitstellung 212b. Hierbei kann es sich beispielsweise um auf dem Home-Gateway 212 ablaufende Software-Module oder auch um eigenständige Hardware-Module handeln.
Bei der in Figur 3 gezeigten Ausführungsform ist das Hausautomatisierungssystem 210 Teil eines erweiterten Systems zur Hausautomatisierung 350, das neben dem
Hausautomatisierungssystem 210 auch die Schlüsselverwaltungsentität 240 umfassen kann, die bei der in Figur 3 dargestellten Ausführungsform als Sub-System zum
Pseudonymisierungsmanagement 240 ausgebildet ist. Das Sub-System zum
Pseudonymisierungsmanagement 240 ist neben einem Sub-System zur Datenauswertung 344 auf einer Serverinfrastruktur bzw. einem Rechenzentrum 342 des Betreibers des Hausautomatisierungssystems 210 implementiert. Mit anderen Worten: gemäß einer Ausführungsform kann sich das erweiterte System zur Hausautomatisierung 350 auf zwei Standorte verteilen, nämlich auf das Hausautomatisierungssystem 210 des Nutzers und auf das Rechenzentrum 342 des Hausautomatisierungsbetreibers. Während es genau ein zentrales Rechenzentrum 342 des Hausautomatisierungsbetreibers geben kann, kann es viele Hausautomatisierungssysteme 210 geben, nämlich jeweils eines in jedem Haus eines Nutzers.
Wie vorstehend bereits beschrieben, erfolgt bei den erfindungsgemäßen Verfahren und Systemen die (erste) Pseudonymisierung von Daten bereits im
Hausautomatisierungssystem 210 des Nutzers. Damit kommt schon der Treuhänder 230 nicht mehr mit den ursprünglichen, personenbezogenen Daten in Berührung. Er kann den Bezug auf eine Person nicht mehr alleine wiederherstellen. Die erfindungsgemäßen Verfahren und Systeme werden somit dem Anspruch des Nutzers auf die Pseudonymität seiner Daten beim Datentreuhänder 230 gerecht.
Danach pseudonymisiert, wie vorstehend bereits beschrieben, der Treuhänder 230 die bereits erst-pseudonymisierten Daten ein zweites Mal. Damit können die Daten nun auch für den Betreiber des Hausautomatisierungssystems 210 als pseudonymisiert betrachtet werden. Der Betreiber des Hausautomatisierungssystems kann den Bezug auf eine Person nicht mehr alleine wiederherstellen. Die erfindungsgemäßen Verfahren und Systeme werden dem Anspruch des Nutzers auf die Pseudonymität seiner Daten beim Betreiber des Hausautomatisierungssystems gerecht.
Dennoch kann im Rahmen der erfindungsgemäßen Verfahren und Systeme
gegebenenfalls auf die personenbezogenen Daten zurückgeschossen werden. Die erfindungsgemäßen Verfahren und Systeme werden damit auch dem Anspruch auf ein ggf. notwendiges Wiederherstellen des Bezugs auf eine Person gerecht.
Während es herkömmlicherweise der Treuhänder 230 ist, der alleine für einen
Anfragenden in den Daten den Bezug auf eine Person wiederherstellen kann, ist dies unter Verwendung der erfindungsgemäßen Verfahren und Systeme dem Treuhänder 230 alleine nicht mehr alleine möglich. Die erfindungsgemäßen Verfahren und Systeme werden dem Anspruch des Kunden auf die Pseudonymität seiner Daten in besonderem Maße gerecht.
Bei den in Figur 3 gezeigten Datenquellen 214 kann es sich beispielsweise um Sensoren oder Aktoren handeln. Ein Beispiel für einen Sensor ist z.B. ein Thermometer. Es kann die aktuelle Temperatur messen und in das Hausautomatisierungssystem 210 einspeisen. Aktoren können von Nutzern auch ohne Zutun des Hausautomatisierungssystems 210 z.B. geschaltet werden. Ein Beispiel dafür ist das Betätigen eines Lichtschalters. Ein Aktor ist insofern ebenfalls eine Datenquelle 214, als dass sie melden kann, wann, welcher Schalter wie geschaltet wurde.
Die Daten aus den Datenquellen 214, wie Sensoren oder Aktoren, werden von dem Hausautomatisierungssystem 210 verarbeitet. Sie fließen z.B. in Regelwerke ein um, gemäß den Regeln weitere Maßnahmen, wie z.B. das automatische Schalten von weiteren Aktoren abzuleiten. Ein Heizungssteiler stellt dann z.B. als Aktor auf Anweisung durch das Hausautomatisierungssystem 210 eine gewünschte Temperatur am Heizkörper ein. Die Daten aus den Datenquellen 214, wie Sensoren oder Aktoren, werden als personenbezogen betrachtet.
Bei der in Figur 3 dargestellten Ausführungsform geschieht die Bereitstellung der im Hausautomatisierungssystem 210 anfallenden Daten an Systeme au ßerhalb des
Hausautomatisierungssystems 210 über das Sub-System zur Daten Bereitstellung 212b. Bei der in Figur 3 dargestellten Ausführungsform nimmt das Sub-System zur Daten-Erst- Pseudonymisierung 212a die von den Datenquellen 214 stammenden,
personenbezogenen Daten entgegen (siehe Aktion 21 ). Das Sub-System zur Daten-Erst- Pseudonymisierung 212a erkennt die personenbezogenen Bestandteile in den von den Datenquellen 214 gelieferten Datensätzen und pseudonymisiert diese
personenbezogenen Bestandteile. Nicht personenbezogene Bestandteile in den gelieferten Datensätzen bleiben unverändert. Schließlich reicht das Sub-System zur Daten-Erst-Pseudonymisierung 212a die erst-pseudonymisierten Daten an das Sub- System zur Daten-Bereitstellung 212b weiter (siehe Aktion 23).
Wie bereits vorstehend beschrieben, kann die Pseudonymisierung im Sub-System zur Daten-Erst-Pseudonymisierung 212a unter Verwendung eines
Verschlüsselungsverfahrens erfolgen. Die genaue Ausprägung des verwendeten
Verschlüsselungsverfahrens ist für die vorliegende Erfindung unwesentlich.
Verschlüsselungsverfahren im Sinne dieser Erfindung sind zum Beispiel symmetrische oder asymmetrische Verschlüsselungsverfahren.
Wie bereits vorstehend im Zusammenhang mit der Schlüsselverwaltungsentität 240 beschrieben, ist das Sub-System zum Pseudonymisierungsmanagement 240, bei dem es sich um eine Ausführungsform der Schlüsselverwaltungsentität 240 von Figur 2 handelt, ausgebildet, einen neuen Schlüssel sowie einen zu diesem Schlüssel dazugehörigen Identifier, insbesondere eine Schlüssel-ID, zu generieren und zu speichern. Ferner kann es dazu ausgebildet sein, gegen Vorlage einer Schlüssel-ID den dazugehörigen Schlüssel ausliefern. Gemäß einer Ausführungsform realisiert das Sub-System zum
Pseudonymisierungsmanagement 240 somit insbesondere die Funktion eines "Key Escrow"-Agenten.
Unter weiterer Bezugnahme auf die Figuren 4 bis 7 werden nachstehend die
Funktionsweise der in Figur 3 dargestellten Elemente und eine Ausführungsform des
Verfahrens 100 zum Schutz von vertraulichen elektronischen Daten beschrieben, die auf der in Figur 3 dargestellten Ausführungsform des Systems 200 basiert. Gemäß einer Ausführungsform kann das Verfahren im Wesentlichen die folgenden Abschnitte umfassen: einem ersten Abschnitt des Erst-Pseudonymisierens von Daten; einem zweiten Abschnitt des erneuten Pseudonymisierens und Verwendens der Daten und einem dritten Abschnitt des Wiederherstellens des Bezugs auf eine Person in den Daten.
Vor dem ersten Abschnitt befindet sich das System 200 zur verteilten Pseudonymisierung im normalen Betriebszustand. Die Datenquelle 214 liefert personenbezogene Daten, die vom Sub-System zur Daten-Erst-Pseudonymisierung 212a im ersten Abschnitt erst- pseudonymisiert werden. Die Daten können nach dem Durchlaufen dieses ersten
Abschnitts für alle Datensenken, mit Ausnahme des Sub-Systems zur Datenauswertung 344 als einem Sub-System des Erweiterten Systems zur Hausautomatisierung 350 als pseudonymisiert betrachtet werden. Die Figur 4 zeigt einen ersten Abschnitt 400 des Verfahrens 100 gemäß einer
Ausführungsform. Der erste Abschnitt 400 des Verfahrens 100 umfasst im Einzelnen die folgenden Schritte.
401 : sendData (personalizedData)
Die Datenquelle 214 sendet personenbezogene Daten an das Sub-System zur Daten- Erst-Pseudonymisierung 212a.
403: getNewKey.req ()
Das Sub-System zur Daten-Erst-Pseudonymisierung 212a erfragt beim Sub-System zum Pseudonymisierungsmanagement 240 einen neuen Schlüssel.
Für die spätere Verwertung der Daten kann es wichtig sein, wie oft die bei der
Pseudonymisierung verwendeten Schlüssel gewechselt werden. Ein zu häufiges
Wechseln des Schlüssels kann z.B. das Pseudonym, das die Daten eines Pseudonymen Nutzers zusammenhält, unbrauchbar machen. Auch handelt es sich bei der Generierung eines jeden Schlüssels um eine "kostspielige" Operation, deren zu häufiges Aufrufen vermieden werden sollte.
Für das hier beschriebene Verfahren als solches spielt die Häufigkeit des
Schlüsselwechsels aber keine Rolle. Ausführungsformen der Erfindung sehen einen Schlüsselwechsel bei jedem einzelnen Aufruf vor. 405: getNewKey.res (key, keyld)
Das Sub-System zum Pseudonymisierungsmanagement 240 liefert dem Sub-System zur Daten-Erst-Pseudonymisierung 212a einen Schlüssel zum Erst-Pseudonymisieren der personenbezogenen Daten sowie eine dazugehörige Schlüssel-ID.
407: firstPseudonymize (personalizedData, key)
Das Sub-System zur Daten-Erst-Pseudonymisierung 212a erst-pseudonymisiert die Daten mit dem Schlüssel.
Für das hier beschriebene Verfahren als solches spielt es keine Rolle, welche Teile eines Datensatzes mit Nutzungsdaten pseudonymisiert werden . Teile eines Datensatzes, die pseudonymisiert werden können, sind z.B. Name des Nutzers, Ort der Nutzung, Zeit der Nutzung, das genutzte Gerät und die Art der Nutzung des genutzten Geräts. Gemäß Ausführungsformen der Erfindung können Namen in Abhängigkeit eines Anwendungsfalls stets pseudonymisiert werden, wohingegen Ortsangaben in Abhängigkeit eines
Anwendungsfalls nur teil-pseudonymisiert werden können. Eine Teilpseudonymisierung könnte z.B. durch das "Abschneiden" von hinteren Stellen der Geo-Koordinaten verwirklicht werden. In Abhängigkeit eines Anwendungsfalls können Informationen, wie Uhrzeit, genutztes Gerät und die Art der Nutzung des Geräts, unter Umständen unverändert in den elektronischen Daten beibehalten werden.
409: sendData (firstPseudonymizedData, keyld)
Die erst-pseudonymisierten Daten werden gemeinsam mit der Schlüssel-ID an das Sub- System zur Datenbereitstellung 212b geliefert.
Die Figur 5 zeigt einen zweiten Abschnitt 500 des Verfahrens 100 gemäß einer
Ausführungsform. Das Sub-System zur Datenbreisteilung 212b des Hausautomatisierungssystems 210 liefert erst-pseudonymisierte Daten zusammen mit der Schlüssel-ID des Schlüssels, mit dem die erst-pseudonymisierten Daten erst-pseudonymisiert wurden, an das System zur Daten-Pseudonymisierung 230a, das bei der in Figur 3 dargestellten Ausführungsform als Teil der Datenverwaltungsentität in Form eines Systems innerhalb eines Rechenzentrums eines Treuhänders 230 ausgebildet ist. Dort werden die erst-pseudonymisierten Daten ein zweites Mal pseudonymisiert. Die Daten können nach dem Durchlaufen dieses Schrittes innerhalb des zweiten Abschnitts für alle Datensenken, und insbesondere auch für das Sub-System zur Datenauswertung 344 des Erweiterten Systems zur Hausautomatisierung 350 als pseudonymisiert betrachtet werden. Die Schlüssel-ID kann zusammen mit den pseudonymisierten Daten persistiert werden. Die ein zweites Mal pseudonymisierten Daten können an Datensenken 360 übermittelt werden, beispielsweise einen Verwerter 360, der die pseudonymisierten Daten auswerten möchte.
Gemäß einer Ausführungsform können bei der Erst-Pseudonymisierung durch das Sub- System zur Erst-Pseudonymisierung 212a und bei der Pseudonymisierung durch das System zur Daten Pseudonymisierung 230a die gleichen Verschlüsselungsverfahren angewendet werden. Gemäß Ausführungsformen der Erfindung verwenden dabei beide Systeme, d.h. das Sub-System zur Daten-Erst-Pseudonymisierung 212a und das System zur Daten-Pseudonymisierung 230a unterschiedliche Schlüssel. Das System zur Daten- Pseudonymisierung 230a hat somit zu keinem Zeitpunkt Kenntnis über den Schlüssel, der vom Sub-System zur Daten-Erst-Pseudonymisierung 212a verwendet wird. Das gleiche gilt umgekehrt, d.h. das Sub-System zur Daten-Erst-Pseudonymisierung 212a hat zu keinem Zeitpunkt Kenntnis über den Schlüssel, der vom System zur Daten- Pseudonymisierung 230a verwendet wird.
Der zweite Abschnitt 500 des Verfahrens 100 umfasst im Einzelnen die folgenden
Schritte.
501 : sendData (firstPseudonymizedData, keyld)
Die erst-pseudonymisierten Daten werden gemeinsam mit der Schlüssel-ID von dem Sub- System zur Datenbereitstellung 212b an das System zur Daten-Pseudonymisierung 230a übermittelt.
503: pseudonymize ()
Die erst-pseudonymisierten Daten werden vom System zur Daten-Pseudonymisierung 230a ein zweites Mal pseudonymisiert.
505: storeKeyld (pseudonymizedData, keyld)
Die ein zweites Mal pseudonymisierten Daten werden zusammen mit der Schlüssel-ID vom System zur Daten-Pseudonymisierung 230a persistiert, beispielsweise in einer Datenbank hinterlegt.
507: sendData (pseudonymizedData) Die ein zweites Mal pseudonymisierten Daten werden vom System zur Daten- Pseudonymisierung 230a an die Datensenken 360 übermittelt. Insbesondere kann das Sub-System zur Datenauswertung 344 des Erweiterten Systems zur Hausautomatisierung 350 eine dieser Datensenken sein.
Die Figur 6 zeigt einen dritten Abschnitt 600 des Verfahrens 100 gemäß einer
Ausführungsform.
Ein Datenverwerter 360 möchte aus gegeben Gründen, dass durch das System zur Daten-Pseudonymisierung 230a zweit-pseudonymisierte Daten wieder in eine
personenbezogene Form überführt werden, d.h. in eine Form, in der sich der Bezug zum Nutzer des Hausautomatisierungssystems 210 wiederherstellen lässt. Dazu übermittelt der Datenverwerter 360 die zweit-pseudonymisierten Daten an das Sub-System zum Pseudonymisierungsmanagement 240.
Das Pseudonymisierungsmanagement 240 autorisiert die Anforderung des
Datenverwerters 360 auf eine Rück-Personalisierung der Daten. Die Autorisierung kann an dieser Stelle systemweit für das erweiterte System zur Hausautomatisierung 350 stattfinden. Denkbar ist hier z.B. eine automatisierte Entscheidung auf Basis eines Regelwerks. Denkbar ist auch z.B. die Erzeugung einer Entscheidungsvorlage in Form eines Mensch-Maschinen Dialogs (GUI), die einer natürlichen Person zur Entscheidung übergeben wird. Die natürliche Person speist die Entscheidung wiederum in den elektronischen Prozess ein. Das Sub-System zum Pseudonymisierungsmanagement 240 übermittelt dann im Falle der erfolgten Autorisierung die pseudonymisierten Daten an das System zur Daten- Pseudonymisierung 230a. Auch das System zur Daten-Pseudonymisierung 230a autorisiert zunächst die Rück-Personalisierung der Daten. Bei erfolgter Autorisierung wird die zu den pseudonymisierten Daten gehörige und bei der Pseudonymisierung hinterlegte Schlüssel-ID aus der Datenbank 232 herausgelesen. Danach werden die
pseudonymisierten Daten in die erst-pseudonymisierten Daten rück-personalisiert. Die vom System zur Daten-Pseudonymisierung 230a rück-personalisierten Daten, die den erst-pseudonymisierten Daten entsprechen, sowie die Schlüssel-ID werden an das Sub- System zum Pseudonymisierungsmanagement 240 zurückgeliefert. Das Sub-System zum Pseudonymisierungsmanagement 240 ermittelt dann aus der vom Sub-System zur Daten-Pseudonymisierung 230a erhaltenen Schlüssel-ID den Schlüssel. Der ermittelte Schlüssel und die vom Sub-System zur Daten-Pseudonymisierung 230a erhaltenen rück-personalisierten Daten, die den erst-pseudonymisierten Daten entsprechen, werden an das Sub-System zur Daten-Erst-Pseudonymisierung 212a übermittelt. Das Sub-System zur Daten-Erst-Pseudonymisierung 212a rück-personalisiert unter Zuhilfenahme des Schlüssels die personenbezogenen Daten. Die
personenbezogenen Daten werden an das Sub-System zum
Personalisierungsmanagement 240 zurückgegeben. Das Sub-System zum
Personalisierungsmanagement 240 übergibt die Daten schließlich an den Datenverwerter 360.
Der dritte Abschnitt 600 des Verfahrens 100 umfasst im Einzelnen die folgenden Schritte. 601 : rePersonalizeData (personalizedData)
Die pseudonymisierten Daten werden vom Datenverwerter 360an das Sub-System zum Pseudonymisierungsmanagement 240 übergeben.
603: authorizeRePersonalization ()
Die Rück-Personalisierung der Daten durch das Sub-System zum
Pseudonymisierungsmanagement 240 wird autorisiert.
605: rePersonalizeData.req (pseudonymizedData)
Das System zur Daten-Pseudonymisierung 230a wird mit der Rück-Personalisierung der pseudonymisierten Daten beauftragt.
607: authorizeRePersonalization ()
Die Rück-Personalisierung der Daten durch das System zur Daten-Pseudonymisierung 230a wird autorisiert.
609: retrieveKeyld (pseudonymizedData)
Die bei der Pseudonymisierung der ursprünglichen, erst-pseudonymisierten Daten abgespeicherte Schlüssel-ID wird herausgesucht. rePersonalizeData (pseudonymizedData) Das System zur Daten-Pseudonymisierung 230a rück-personalisiert die pseudonymisierten Daten.
613: rePersonalizeData.res (firstPseudonymizedData, keyld)
Das System zur Daten-Pseudonymisierung 230a übermittelt die Schlüssel-ID und die rück-personalisierten Daten, die den erst-pseudonymisierten Daten entsprechen, an das Sub-System zum Pseudonymisierungsmanagement 240.
615: retrieveKey (keyld)
Das Sub-System zum Pseudonymisierungsmanagement 240 ermittelt den zu der
Schlüssel-ID passenden Schlüssel.
617: rePersonalizeDate.req (firstPseudonymizedData, key)
Das Sub-System zum Pseudonymisierungsmanagement 240 übermittelt den Schlüssel und die durch das System zur Daten-Pseudonymisierung 230a rück-personalisierten erst- pseudonymisierten Daten, die den erst-pseudonymisierten Daten entsprechen, an das Sub-System zur Daten-Erst-Pseudonymisierung 212a.
619: rePersonalizeData (firstPseudonymizedData, key)
Das Sub-System zur Daten-Erst-Pseudonymisierung 212a rück-pseudonymisiert mittels des Schlüssels die durch das System zur Daten-Pseudonymisierung 230a rück- personalisierten Daten, die den erst-pseudonymisierten Daten entsprechen, zurück zu den ursprünglichen personalisierten Daten.
621 : rePersonalizeDate.res (personalizedData)
Das Sub-System zur Daten-Erst-Pseudonymisierung 212a übermittelt die personalisierten Daten an das Sub-System zum Pseudonymisierungsmanagement 240.
623: rePersonalizeDate.res (personalizedData)
Das Sub-System zum Pseudonymisierungsmanagement 240 übermittelt die
personalisierten Daten an den Datenverwerter 360.
Bei dem in Figur 6 dargestellten dritten Abschnitt 600 des Verfahrens 100 gemäß einer Ausführungsform wird die Rück-Pseudonymisierung durch das Sub-System zum
Pseudonymisierungsmanagement 240 angestoßen. Dies stellt lediglich eine spezielle Ausführungsform des Systems 200 und des Verfahrens 100 dar. In anderen vorteilhaften Ausführungsformen des Systems 200 und des Verfahrens 100 kann der Anstoß zur Rück- Pseudonymisierung durch das Sub-System zur Daten-Erst-Pseudonymisierung 212a, also durch das Home-Gateway 212, erfolgen. Eine entsprechende Variante ist in Figur 7 dargestellt, wobei die in Figur 7 dargestellten Schritte 601 ' bis 625' im Wesentlichen den in Figur 6 dargestellten und vorstehend im Detail beschriebenen Schritten 601 bis 623 entsprechen Die in Figur 7 dargestellte Variante hat insbesondere den Vorteil, dass das Sub-System zum Pseudonymisierungsmanagement 240 zu keinem Zeitpunkt mit Nutzungsdaten, sei es in pseudonymisierter oder in nicht pseudonymisierter Form, in Berührung kommt.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 werden die
personenbezogenen Daten pseudonymisiert. Dies stellt jedoch lediglich eine spezielle Ausführungsform von System und Verfahren dar. In anderen Ausführungsformen können die personenbezogenen Daten auch auf andere Art und Weise verschleiert, z.B.
anonymisiert, werden.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 fordert das Sub-System zur Daten-Erst-Pseudonymisierung 212a jedes Mal einen neuen Schlüssel an. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform kann das Sub-System zur Daten-Erst-Pseudonymisierung 212a auf das Anfordern eines neuen Schlüssels verzichten und stattdessen einen bereits angefragten, vorteilhafter Weise den letzten, angefragten Schlüssel mit der dazugehörenden Schlüssel-ID wiederverwenden. Gemäß einer weiteren Alternative kann das Sub-System zum
Pseudonymisierungsmanagement 240 auf die Anfrage zur Generierung eines neuen Schlüssels mit dem Rücksenden eines bereits angefragten, vorteilhafter Weise dem letzten, angefragten Schlüssel mit der dazugehörenden Schlüssel-ID antworten. Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 werden alle Teile eines Datensatzes pseudonymisiert. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform können verschiedene Teildaten eines Datensatzes mit Nutzungsdaten dem Anwendungsfall angemessen jeweils pseudonymisiert, teil- pseudonymisiert oder unverändert belassen werden. Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 wird das Rechenzentrum 342 des Betreibers des Hausautomatisierungssystems 210 als ein zentrales System beschrieben. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform kann das Rechenzentrum 342 auch dezentral über viele Standorte verteilt vorliegen.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 werden Sensoren und Aktoren 214 so beschrieben, dass sie sich im Haus des Nutzers befinden müssen. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsfo rm können sich Sensoren und Aktoren 214 auch an anderen Orten befinden. Andere Orte können z.B. Garten und nähere Umgebung des Hauses sein. Andere Orte, wie z.B. ein Ferienhaus können aber auch entfernt sein. Weitere Orte, wie z.B. ein Auto können in variabler Entfernung zum Haus des Nutzers sein. Im Rahmen der vorliegenden Erfindung ist es dabei lediglich wesentlich, dass es sich bei den Daten um personenbezogene Daten handelt.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 werden Sensoren und Aktoren 214 als die einzigen Datenquellen genannt. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform können Datenquellen auch von anderer Natur sein. Für das Verfahren ist es dabei lediglich von Relevanz, dass es sich bei den Daten um personenbezogene Daten handelt.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 werden die Daten aus den Datenquellen 214, wie Sensoren oder Aktoren, anderen Systemen sofort zur Verarbeitung bereitgestellt. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform können diese Daten auch zeitnah oder zeitversetzt zur
Verfügung gestellt werden. In diesem Fall können die Daten zwischengespeichert werden.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 wird das Internet zur Datenübertragung zwischen räumlich getrennten Systemen verwendet. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform können diese Daten auch über andere geeignete Kommunikationswege z.B. Intranet, Punkt-zuPunkt Verbindungen, Standleitungen etc. übermittelt werden.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 wird der Schlüssel und die dazugehörige Schlüssel-ID vom Sub-System zum Pseudonymisierungsmanagement 240 aufbewahrt. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform können der Schlüssel und die Schlüssel-ID in einem separaten
Schlüssel-Repository aufbewahrt werden. Das Schlüssel-Repository kann
weiterreichende Sicherheitsanforderungen erfüllen.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 ist es jeweils "das eine" System, dass die Daten "dem anderen" System pro aktiv anliefert. Das proaktive Anliefern von Daten wird häufig als ein "Push"-Vorgang bezeichnet. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform können diese Daten auch von "dem anderen" bei "dem einen" System angefordert werden. Das Anfordern von Daten wird häufig als ein "Push"-Vorgang bezeichnet. Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 wird die Schlüssel-ID jeweils als separater Parameter vom Subsystem zur Daten-Erst-Pseudonymisierung 212a über die Daten-Breitstellung explizit neben den erst-pseudonymisierten Daten an das System zur Daten-Pseudonymisierung 230a übermittelt. Es obliegt dann dem System zur Daten-Pseudonymisierung 230a die Relation zwischen den erst-pseudonymisierten Daten und der Schlüssel-ID herzustellen und beizubehalten. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform kann die Schlüssel-ID auch vom Subsystem zur Daten-Erst-Pseudonymisierung 212a in die erst-pseudonymisierten Daten eingearbeitet werden. Die Schlüssel-ID ist dabei ein Datum, das als nicht personenbezogen betrachtet wird und folglich auch nicht pseudonymisiert wird. Es bleibt stattdessen im Klartext als Teil der erst-pseudonymisierten Daten vorhanden.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 wird vom Sub-System zur Daten-Erst-Pseudonymisierung 212a für jeden neuen, zu pseudonymisierenden
Datensatz vom Sub-System zum Pseudonymisierungsmanagement 240 ein neuer Schlüssel angefragt. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform kann ein Schlüssel und die dazugehörige Schlüssel-ID auch für eine längere, geeignete Zeitspanne vom Sub-System zur Daten-Erst-Pseudonymisierung 212a zum Pseudonymisieren von Daten verwendet werden.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 wird der jeweils neue Schlüssel vom Sub-System zum Pseudonymisierungsmanagement 240 generiert. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform kann der Schlüssel auch von einem anderen dargestellten oder nicht dargestellten
Element generiert werden und dem Sub-System zum Pseudonymisierungsmanagement 240 zur weiteren Verteilung bereitgestellt werden.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 werden zwischen allen Komponenten des Systems jeweils einzelne, individuelle Datensätze übertragen. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform können Daten auch in Form eines kontinuierlichen Datenstroms übertragen werden. Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 werden Daten in
Datenbanken persistiert. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform können Daten auch in anderer geeigneter Form persistiert werden. Andere geeignete Formen können z.B. Dateien eines Dateisystems sein.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 werden die zweit- pseudonymisierten Daten gemeinsam mit der Schlüssel-ID persistiert. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform kann an dieser Stelle auch z.B. ein Hashwert oder eine andere geeignete Referenz auf die zweit- pseudonymisierten Daten persistiert werden.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 werden bei der Anfrage, mit der zweit-pseudonymisierte Daten wieder in erst-personenbezogene Daten überführt werden sollen, die zweit-pseudonymisierten Daten als Parameter mitgeliefert. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform kann an dieser Stelle auch z.B. ein Hashwert oder eine andere geeignete Referenz auf die zweit-pseudonymisierten Daten geliefert werden.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 kommunizieren die Datenquellen 214 ausschließlich mit den Sub-Systemen im Haus des Nutzers, nämlich dem Sub-System zur Daten-Erst-Pseudonymisierung 212a und dem Sub-System zur Datenbereitstellung 212b, die sich beide im Hause des Nutzers befinden und
beispielsweise auf dem Home-Gateway 212 implementiert sein können . Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform können sich eines oder beide dieser Sub-Systeme auch im Rechenzentrum 342 des Betreibers des Hausautomatisierungssystems befinden.
Bei den vorstehend im Zusammenhang mit den Figuren 3 bis 7 beschriebenen
Ausführungsformen des Verfahrens 100 und des Systems 200 werden Daten vom Sub- System zur Datenbereitstellung 212b im Haus des Nutzers direkt dem System zur Daten- Pseudonymisierung 230a im Rechenzentrum des Treuhänders 230 zur Verfügung gestellt. Dies stellt jedoch lediglich spezielle Ausführungsformen dar. In einer anderen Ausführungsform kann dies auch über ein weiteres System, z.B. einen Proxy-Server, einen "Reverse Proxy" oder einen Mixer geschehen, der eine Voranonymisierung insbesondere der technischen Adresse des Systems zur Datenbereitstellung 212b, z.B. eine Veränderung der IP Adresse des Systems zur Datenbereitstellung 212b vornimmt. Ein solcher Server kann z.B. ein weiteres Sub-System des Hausautomatisierungssystems 210 sein.

Claims

PATENTANSPRÜCHE
1 . Verfahren (100) zum Schutz von elektronischen Daten, die in einem
Hausautomatisierungssystem (210) anfallen, umfassend:
Ermitteln (101 ) von Daten der elektronischen Daten, die mit einem Nutzer des
Heimautomatisierungssystems (210) assoziierbar sind;
Verschleiern (103) der mit dem Nutzer des Heimautomatisierungssystems (210) assoziierbaren Daten der elektronischen Daten mittels eines ersten kryptographischen Schlüssels;
Übermitteln (105) der elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten von dem Heimautomatisierungssystem (210) an eine Datenverwaltungsentität (230); und
Verschleiern (107) der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels eines zweiten kryptographischen Schlüssels durch die
Datenverwaltungsentität (230).
2. Verfahren (100) nach Anspruch 1 , wobei beim Schritt (105) des Übermitteins der elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten an die Datenverwaltungsentität (230) ferner ein Identifier des ersten kryptographischen Schlüssels an die Datenveraltungsentität (230) übermittelt wird.
3. Verfahren (100) nach Anspruch 2, wobei der Schritt (103) des Verschleierns (103) der mit dem Nutzer des Heimautomatisierungssystems (210) assoziierbaren Daten der elektronischen Daten mittels des ersten kryptographischen Schlüssels durch das
Hausautomatisierungssystem (210) durchgeführt wird.
4. Verfahren (100) nach Anspruch 3, wobei der erste kryptographische Schlüssel und/oder der zweite kryptographische Schlüssel von einer Schlüsselverwaltungsentität (240) bereitgestellt wird.
5. Verfahren (100) nach Anspruch 4, wobei der erste kryptographische Schlüssel von der Schlüsselverwaltungsentität (240) dem Hausautomatisierungssystem (210) bereitgestellt wird.
6. Verfahren (100) nach Anspruch 5, wobei der erste kryptographische Schlüssel von der Schlüsselverwaltungsentität (240) dem Hausautomatisierungssystem (210) zusammen mit dem Identifier des ersten kryptographischen Schlüssels bereitgestellt wird.
7. Verfahren (100) nach Anspruch 6, wobei das Verfahren (100) den weiteren Schritt umfasst, dass das Hausautomatisierungssystem (210) den Identifier des ersten kryptographischen Schlüssels als integralen Bestandteil in die elektronischen Daten einfügt, die an die Daten verwaltungsentität (230) übermittelt werden.
8. Verfahren (100) nach einem der vorstehenden Ansprüche, wobei das Verfahren (100) den weiteren Schritt umfasst, die elektronischen Daten mit den mittels des zweiten kryptographischen Schlüssels verschleierten Daten in einem Speicher (232) der
Datenverwaltungsentität (230) zu speichern.
9. Verfahren (100) nach einem der vorstehenden Ansprüche, wobei beim Schritt (105) des Übermitteins der elektronischen Daten mit den mittels des ersten
kryptographischen Schlüssels verschleierten Daten von dem
Heimautomatisierungssystem (210) an die Datenverwaltungsentität (230) die
elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels
verschleierten Daten über eine Proxyentität an die Datenverwaltungsentität (230) übermittelt werden, wobei die Proxyentität ausgebildet ist, wenigstens einen Identifier, insbesondere eine IP-Adresse, des Hausautomatisierungssystems (210) zu verschleiern.
10. Verfahren (100) nach einem der vorstehenden Ansprüche, wobei der Schritt des Verschleierns (103) der ermittelten Daten, die mit dem Nutzer des
Hausautomatisierungssystems (210) assoziierbar sind, mittels des ersten
kryptographischen Schlüssels einen Schritt des Verschlüsseins der ermittelten Daten, die mit dem Nutzer des Hausautomatisierungssystems (210) assoziierbar sind, mittels des ersten kryptographischen Schlüssels umfasst und/oder der Schritt des Verschleierns (107) der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels einen Schritt des Verschlüsseins der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels umfasst.
1 1 . Verfahren (100) nach einem der vorstehenden Ansprüche, wobei das Verfahren (100) vor dem Schritt des Verschleierns (107) der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels einen weiteren Schritt des Ermitteins der mittels des ersten kryptographischen Schlüssels verschleierten Daten der elektronischen Daten umfasst.
12. Hausautomatisierungssystem (210) mit einem Prozessor und einer
Kommunikationsschnittelle, wobei in dem Hausautomatisierungssystem (210)
elektronische Daten anfallen, wobei der Prozessor ausgebildet ist, Daten der
elektronischen Daten, die mit einem Nutzer des Heimautomatisierungssystems (210) assoziierbar sind, zu ermitteln und die mit dem Nutzer des Heimautomatisierungssystems (210) assoziierbaren Daten der elektronischen Daten mittels eines ersten
kryptographischen Schlüssels zu verschleiern, und wobei die Kommunikationsschnittstelle ausgebildet ist, die elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten an eine Datenverwaltungsentität (230) zu übermitteln.
13. Datenverwaltungsentität (230) mit einem Prozessor und einer
Kommunikationsschnittstelle, wobei die Kommunikationsschnittstelle ausgebildet ist, elektronische Daten mit mittels eines ersten kryptographischen Schlüssels verschleierten Daten zu empfangen und die mittels des ersten kryptographischen Schlüssels
verschleierten Daten mittels eines zweiten kryptographischen Schlüssels zu verschleiern .
14. Schlüsselverwaltungsentität (240) mit einem Prozessor und einer
Kommunikationsschnittstelle, wobei der Prozessor ausgebildet ist, wenigstens einen ersten kryptographischen Schlüssel und wenigstens einen zweiten kryptographischen Schüssel zu generieren, und wobei die Kommunikationsschnittstelle ausgebildet ist, den ersten kryptographischen Schlüssel an ein Hausautomatisierungssystem (210) zu übermitteln, um mit dem Nutzer des Heimautomatisierungssystems (210) assoziierbaren Daten mittels des ersten kryptographischen Schlüssels zu verschleiern, und wobei die Kommunikationsschnittstelle ausgebildet ist, den zweiten kryptographischen Schlüssel an eine Datenverwaltungsentität (230) zu übermitteln, um die mittels des ersten
kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels zu verschleiern.
15. System (200) zum Schutz von elektronischen Daten, ein Heimautomatisierungssystem (210) nach Anspruch 12; eine Datenverwaltungsentität (230) nach Anspruch 13; und eine Schlüsselverwaltungsentität (240) nach Anspruch 14.
PCT/EP2016/077939 2015-12-30 2016-11-17 Verfahren und vorrichtungen zum schutz von vertraulichen elektronischen daten WO2017114613A1 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
EP15203183.7A EP3188070A1 (de) 2015-12-30 2015-12-30 Verfahren und vorrichtungen zum schutz von vertraulichen elektronischen daten
DE102015122990.0 2015-12-30
EP15203183.7 2015-12-30
DE102015122990.0A DE102015122990A1 (de) 2015-12-30 2015-12-30 Verfahren und Vorrichtungen zum Schutz von vertraulichen elektronischen Daten

Publications (1)

Publication Number Publication Date
WO2017114613A1 true WO2017114613A1 (de) 2017-07-06

Family

ID=57326413

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2016/077939 WO2017114613A1 (de) 2015-12-30 2016-11-17 Verfahren und vorrichtungen zum schutz von vertraulichen elektronischen daten

Country Status (1)

Country Link
WO (1) WO2017114613A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018003061A1 (de) * 2018-02-03 2019-08-08 Diehl Metering Systems Gmbh Verfahren zum gesicherten Betrieb eines elektronischen Verbrauchsdaten-Moduls und Verbrauchsdaten-Modul

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090265788A1 (en) * 2006-03-17 2009-10-22 Deutsche Telekom Ag Method and device for the pseudonymization of digital data
US20110270453A1 (en) * 2010-04-28 2011-11-03 Kabushiki Kaisha Toshiba Apparatus and method for privacy-driven moderation of metering data
US20110267202A1 (en) * 2010-04-29 2011-11-03 Kabushiki Kaisha Toshiba Data transmission apparatus and method
US20120216034A1 (en) * 2011-02-23 2012-08-23 Xuemin Chen Method and system for securing communication on a home gateway in an ip content streaming system
US20130287204A1 (en) * 2011-09-07 2013-10-31 Elwha Llc Computational systems and methods for double-encrypting data for subsequent anonymous storage
US20150271153A1 (en) * 2012-07-10 2015-09-24 Kurt Ryan Rohloff Information management using proxy re-encryption

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090265788A1 (en) * 2006-03-17 2009-10-22 Deutsche Telekom Ag Method and device for the pseudonymization of digital data
US20110270453A1 (en) * 2010-04-28 2011-11-03 Kabushiki Kaisha Toshiba Apparatus and method for privacy-driven moderation of metering data
US20110267202A1 (en) * 2010-04-29 2011-11-03 Kabushiki Kaisha Toshiba Data transmission apparatus and method
US20120216034A1 (en) * 2011-02-23 2012-08-23 Xuemin Chen Method and system for securing communication on a home gateway in an ip content streaming system
US20130287204A1 (en) * 2011-09-07 2013-10-31 Elwha Llc Computational systems and methods for double-encrypting data for subsequent anonymous storage
US20150271153A1 (en) * 2012-07-10 2015-09-24 Kurt Ryan Rohloff Information management using proxy re-encryption

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018003061A1 (de) * 2018-02-03 2019-08-08 Diehl Metering Systems Gmbh Verfahren zum gesicherten Betrieb eines elektronischen Verbrauchsdaten-Moduls und Verbrauchsdaten-Modul
US10900807B2 (en) 2018-02-03 2021-01-26 Diehl Metering Systems Gmbh Method for the secure operation of an electronic consumption data module and consumption data module

Similar Documents

Publication Publication Date Title
EP3033855B1 (de) Unterstützung einer entschlüsselung von verschlüsselten daten
DE112010003464B4 (de) Modifikation von Zugangskontrolllisten
DE112017007393T5 (de) System und verfahren für netzwerkvorrichtungssicherheits- und vertrauenswertbestimmung
WO2016041928A1 (de) Verteilte datenspeicherung mittels berechtigungstoken
EP3452941B1 (de) Verfahren zur elektronischen dokumentation von lizenzinformationen
DE102006012311A1 (de) Verfahren und Vorrichtung zur Pseudonymisierung von digitalen Daten
EP2812839B1 (de) Verfahren zur kommunikation von energieverbrauchsspezifischen messdatenelementen von einer smart meter vorrichtung an ein computersystem eines energieversorgers und/oder messstellenbetreibers
DE102012218576B4 (de) Verschlüsseln von Daten und Charakterisierungsdaten, die den gültigen Inhalt einer Spalte beschreiben
DE102012019214A1 (de) Gekapselter Kernel-Verbund für die Suche im Web
EP3876127A1 (de) Gerätefernwartung auf basis verteilter datenspeicherung
DE112012002991T5 (de) Schützen von Daten einer Netzentität bei gleichzeitigem Beibehalten von Netzwerkeigenschaften
WO2010060985A2 (de) Verfahren, system und simulations- bzw. analysemodell zur datenverarbeitung
DE102011077512A1 (de) Verfahren zur sicheren Verarbeitung von in einem elektronischen Safe gespeicherten Daten
EP3188070A1 (de) Verfahren und vorrichtungen zum schutz von vertraulichen elektronischen daten
WO2017114613A1 (de) Verfahren und vorrichtungen zum schutz von vertraulichen elektronischen daten
WO2015121060A1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
DE102015122990A1 (de) Verfahren und Vorrichtungen zum Schutz von vertraulichen elektronischen Daten
DE102017000167A1 (de) Anonymisierung einer Blockkette
DE112021001385T5 (de) Verfahren und system zum sammeln und verwalten von fahrzeugdaten
EP3339994A1 (de) Verfahren zum überprüfen einer mandantenzuordnung, computerprogrammprodukt und vorrichtung
WO2019180152A1 (de) Automatisiertes verfahren zum schutz von elektronischen daten zum zwecke der datenverarbeitung durch dritte unter einbezug transparenter und unterbrechungssicherer vergütung
DE102023109178B3 (de) System und Verfahren zur Speicherung von Daten, insbesondere von personenbezogenen Daten
DE102010021655A1 (de) Verfahren zum Bereitstellen von EDRM (Enterprise Digital Rights Management) geschützten Datenobjekten
DE102018109240A1 (de) Multi-Chain basiertes Verfahren und System zum dauerhaften, anonymen und manipulationssicheren Verwalten und Nachweisen von Einwilligungen zur Versendung elektronischer Nachrichten
EP2899920B1 (de) System und Verfahren zur Filterung und Speicherung von Daten

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16797559

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16797559

Country of ref document: EP

Kind code of ref document: A1