JP2018165951A - Security gateway device, method, and program - Google Patents
Security gateway device, method, and program Download PDFInfo
- Publication number
- JP2018165951A JP2018165951A JP2017063686A JP2017063686A JP2018165951A JP 2018165951 A JP2018165951 A JP 2018165951A JP 2017063686 A JP2017063686 A JP 2017063686A JP 2017063686 A JP2017063686 A JP 2017063686A JP 2018165951 A JP2018165951 A JP 2018165951A
- Authority
- JP
- Japan
- Prior art keywords
- data
- privacy
- control unit
- application
- security gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 29
- 238000012795 verification Methods 0.000 claims abstract description 41
- 230000005540 biological transmission Effects 0.000 claims abstract description 9
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 238000003908 quality control method Methods 0.000 description 18
- 230000006870 function Effects 0.000 description 14
- 238000009434 installation Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 239000000284 extract Substances 0.000 description 5
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000013075 data extraction Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000000546 chi-square test Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000000275 quality assurance Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000013441 quality evaluation Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Abstract
Description
本発明の実施形態は、セキュリティゲートウェイ装置、方法、及びプログラムに関する。 Embodiments described herein relate generally to a security gateway device, a method, and a program.
IoT(Internet of Things)デバイスから集積されるデータには、個人のプライバシに関わる機微なデータが含まれる場合がある。このため、IoTデバイスから集積されるデータを利活用する場合には、セキュリティ及びプライバシの両観点からアーキテクチャを設計することが求められる。また、IoTデバイスの故障等により、不正なデータが送出されるケースがあるため、データの品質保証も重要となる。 Data collected from an IoT (Internet of Things) device may include sensitive data related to personal privacy. For this reason, when utilizing data accumulated from an IoT device, it is required to design an architecture from both security and privacy viewpoints. In addition, since there is a case where illegal data is transmitted due to a failure of the IoT device or the like, data quality assurance is also important.
IoTデバイスから集積されるデータに関して、データを利活用するユースケース毎に、セキュリティ及びプライバシに関して抽出される要件と、欧州のプライバシ関連の法律やガイドラインに記載されている事項に基づいて抽出されるプラットフォーム上に実装すべき機能とが知られている(例えば、非特許文献1参照)。 For data collected from IoT devices, for each use case that uses the data, a platform that is extracted based on requirements extracted for security and privacy, and items described in European privacy laws and guidelines The functions to be mounted on top are known (for example, see Non-Patent Document 1).
前述した非特許文献1には、プラットフォーム上に実装すべき機能の技術的な解決方法や、データの品質保証については記載されていない。
本発明は、上記課題を解決すべくなされたもので、IoTデバイスから収集されるデータを、セキュリティ及びプライバシに配慮して利活用することを目的とする。
Non-Patent
The present invention has been made to solve the above-described problems, and an object thereof is to utilize data collected from an IoT device in consideration of security and privacy.
(1)本発明の一態様は、第1のドメインと第2のドメインとの間に設置されるセキュリティゲートウェイ装置であって、サーバに記憶されたアプリケーションによって、第1ドメインを経由して、第2ドメインに記憶されているデータへのアクセス要求があった場合に、前記アクセス要求の正当性を検証するアクセス制御部と、前記正当性の検証の結果が成功であった場合に、前記データの所有者のプライバシポリシーに基づいて、前記データを取得するプライバシ制御部と、前記プライバシ制御部が取得した前記データの品質を検証する検証部と、前記データの品質の検証結果と前記データとを、前記アプリケーションへ送信する送信部とを備える、セキュリティゲートウェイ装置である。
(2)本発明の一態様は、上記(1)に記載のセキュリティゲートウェイ装置において、前記プライバシ制御部は、前記プライバシポリシーに基づいて、前記所有者のプライバシに関わらないデータを取得する。
(3)本発明の一態様は、上記(1)又は上記(2)に記載のセキュリティゲートウェイ装置において、前記検証部は、前記データが偽造されたものであるか否かを検証する。
(4)本発明の一態様は、上記(1)から上記(3)のいずれか一項に記載のセキュリティゲートウェイ装置において、前記検証部は、前記データが異常値であるか否かを検証する。
(5)本発明の一態様は、上記(1)から上記(4)のいずれか一項に記載のセキュリティゲートウェイ装置において、前記検証部は、前記データの取得元が不正であるか否かを検証する。
(6)本発明の一態様は、上記(1)から上記(5)のいずれか一項に記載のセキュリティゲートウェイ装置において、前記送信部は、前記データの品質の検証結果と前記データとに基づいて生成した電子署名とを、前記データに付して送信する。
(7)本発明の一態様は、第1のドメインと第2のドメインとの間に設置されるセキュリティゲートウェイ装置が実行する方法であって、サーバに記憶されたアプリケーションによって、第1ドメインを経由して、第2ドメインに記憶されているデータへのアクセス要求があった場合に、前記アクセス要求の正当性を検証するステップと、前記正当性の検証の結果が成功であった場合に、前記データの所有者のプライバシポリシーに基づいて、前記データを取得するステップと、取得した前記データの品質を検証するステップと、前記データの品質の検証結果と前記データとを、前記アプリケーションへ送信するステップとを有する、方法である。
(8)本発明の一態様は、第1のドメインと第2のドメインとの間に設置されるセキュリティゲートウェイ装置のコンピュータに、サーバに記憶されたアプリケーションによって、第1ドメインを経由して、第2ドメインに記憶されているデータへのアクセス要求があった場合に、前記アクセス要求の正当性を検証するステップと、前記正当性の検証の結果が成功であった場合に、前記データの所有者のプライバシポリシーに基づいて、前記データを取得するステップと、取得した前記データの品質を検証するステップと、前記データの品質の検証結果と前記データとを、前記アプリケーションへ送信するステップとを実行させる、プログラムである。
(1) One aspect of the present invention is a security gateway device installed between a first domain and a second domain, and the first gateway is connected to the first domain by an application stored in the server. When there is an access request to data stored in two domains, an access control unit for verifying the validity of the access request, and when the result of the validity verification is successful, Based on the privacy policy of the owner, a privacy control unit that acquires the data, a verification unit that verifies the quality of the data acquired by the privacy control unit, a verification result of the quality of the data, and the data, A security gateway apparatus comprising: a transmission unit that transmits to the application.
(2) According to one aspect of the present invention, in the security gateway device according to (1), the privacy control unit acquires data that is not related to the privacy of the owner based on the privacy policy.
(3) According to one aspect of the present invention, in the security gateway device according to (1) or (2), the verification unit verifies whether the data is forged.
(4) According to one aspect of the present invention, in the security gateway device according to any one of (1) to (3), the verification unit verifies whether the data is an abnormal value. .
(5) According to one aspect of the present invention, in the security gateway device according to any one of (1) to (4), the verification unit determines whether or not the data acquisition source is illegal. Validate.
(6) One aspect of the present invention is the security gateway apparatus according to any one of (1) to (5), wherein the transmission unit is based on a verification result of the quality of the data and the data. The electronic signature generated in this way is attached to the data and transmitted.
(7) One aspect of the present invention is a method executed by the security gateway device installed between the first domain and the second domain, and passes through the first domain by an application stored in the server. Then, when there is an access request to the data stored in the second domain, the step of verifying the validity of the access request, and when the result of the validity verification is successful, Acquiring the data, verifying the quality of the acquired data, and transmitting the verification result of the data quality and the data to the application based on a privacy policy of the owner of the data And a method.
(8) According to one aspect of the present invention, a computer of a security gateway device installed between the first domain and the second domain can be connected to the first domain via the first domain by an application stored in the server. When there is an access request to data stored in two domains, the step of verifying the validity of the access request and the owner of the data when the result of the validity verification is successful And a step of acquiring the data, a step of verifying the quality of the acquired data, and a step of transmitting the verification result of the data quality and the data to the application based on the privacy policy Is a program.
本発明の実施形態によれば、IoTデバイスから収集されるデータを、セキュリティ及びプライバシに配慮して利活用することができる。 According to the embodiment of the present invention, data collected from an IoT device can be utilized in consideration of security and privacy.
(実施形態)
(クラウド環境)
実施形態に係るセキュリティゲートウェイ装置が使用されるクラウド環境の一例について説明する。
セキュリティゲートウェイ装置が使用されるクラウド環境の一例は、KaaS(Knowledge−as−a−Service)と呼ばれる効率的な知識共有や、活用を実現するプラットフォームを発展させて、複数のローカルクラウドを有機的に結合したグローバルクラウドである。ここで、ローカルクラウドは、ある地域に構築されたローカルシステムである。換言すれば、ローカルクラウドは、IoTデバイスから送られたデータが蓄積される一次データベースである。また、グローバルクラウドは、アプリケーションが動作する実行環境である。換言すれば、グローバルクラウドは、アプリケーションが動作するクラウドサービスである。
実施形態に係るセキュリティゲートウェイ装置は、グローバルクラウド上において、IoTデバイスから収集されるデータをセキュリティ及びプライバシに配慮して利活用するために、グローバルクラウドとローカルクラウドとの接点に設置される。
(Embodiment)
(Cloud environment)
An example of a cloud environment in which the security gateway device according to the embodiment is used will be described.
An example of a cloud environment in which a security gateway device is used is to develop a platform that realizes efficient knowledge sharing and utilization called Kaas (Knowledge-as-a-Service) to organically create multiple local clouds. It is a combined global cloud. Here, the local cloud is a local system built in a certain region. In other words, the local cloud is a primary database in which data sent from the IoT device is accumulated. The global cloud is an execution environment in which applications operate. In other words, the global cloud is a cloud service on which an application operates.
The security gateway device according to the embodiment is installed at the contact point between the global cloud and the local cloud in order to use data collected from the IoT device in consideration of security and privacy on the global cloud.
アプリケーションサーバに記憶されたアプリケーションからグローバルクラウドを経由して、ローカルクラウド上のデータに対してアクセス要求があった場合の処理について説明する。アプリケーションは、クロスボーダでローカルクラウドにアクセスする場合がある。つまり、アプリケーションは、国境を越えてローカルクラウドにアクセスする場合がある。
セキュリティゲートウェイ装置は、セキュリティの観点から、ローカルクラウド上のデータの管理者の定める条件に応じて、ローカルクラウド上のデータに対して、アクセス制御を実施する。データの管理者は、ローカルクラウド毎に複数存在することが想定される。データの管理者は、データの提供先の国に応じて、アクセス制御に関して、異なる条件を設定することが想定される。
セキュリティゲートウェイ装置は、アプリケーションサーバが設置された国の法律やガイドラインに応じて、アクセス制御を実施する。ローカルクラウド上のデータの所有者は、プライバシの観点から、アプリケーションの種別に応じてデータを提供するか否かを自身の意思で選択できる。セキュリティゲートウェイ装置は、データの所有者毎の認可状況に応じて、データを提供する。セキュリティゲートウェイ装置は、提供するデータの品質を検証する。セキュリティゲートウェイ装置は、データの品質を検証した結果を第三者が確認できるように、データの品質を検証した結果に基づいて電子署名作成する。セキュリティゲートウェイ装置は、作成した電子署名をデータに付与して送出する。以下、セキュリティゲートウェイ装置の詳細について説明を続ける。
A process when there is an access request for data on the local cloud from the application stored in the application server via the global cloud will be described. An application may access a local cloud with a cross border. In other words, the application may access the local cloud across borders.
From the viewpoint of security, the security gateway device performs access control on data on the local cloud in accordance with conditions determined by the manager of data on the local cloud. It is assumed that there are a plurality of data managers for each local cloud. It is assumed that the data manager sets different conditions regarding access control depending on the country of the data providing destination.
The security gateway device performs access control according to the laws and guidelines of the country where the application server is installed. From the viewpoint of privacy, the owner of data on the local cloud can select whether or not to provide data according to the type of application. The security gateway device provides data according to the authorization status for each data owner. The security gateway device verifies the quality of the provided data. The security gateway device creates an electronic signature based on the result of verifying the quality of the data so that a third party can confirm the result of verifying the quality of the data. The security gateway device adds the created electronic signature to the data and sends it out. The details of the security gateway device will be described below.
<セキュリティゲートウェイ装置>
図1は、実施形態に係るセキュリティゲートウェイ装置の一例を示す図である。
実施形態に係るセキュリティゲートウェイ装置100は、前述したように、グローバルクラウドとローカルクラウドとの接点に設置される。
セキュリティゲートウェイ装置100は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置等を備え、セキュリティゲートウェイ装置プログラムを実行する。セキュリティゲートウェイ装置100は、セキュリティゲートウェイ装置プログラムの実行によって、データ品質制御部102、アクセス制御部104、プライバシ制御部106、セキュリティポリシー管理部108、トークンDB110、ユーザDB112、及びセキュリティポリシーDB114を備える装置として機能する。
なお、セキュリティゲートウェイ装置100の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されてもよい。セキュリティゲートウェイ装置プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。セキュリティゲートウェイ装置プログラムは、電気通信回線を介して送信されてもよい。
以下、セキュリティゲートウェイ装置100の各機能ブロックを説明するに当たり、セキュリティゲートウェイ装置100が、主に実行するトークンの発行処理とデータの抽出処理に関連付けて説明する。
<Security gateway device>
FIG. 1 is a diagram illustrating an example of a security gateway device according to the embodiment.
As described above, the
The
Note that all or part of each function of the
Hereinafter, in describing each functional block of the
(トークンの発行処理)
トークンの発行処理について説明する。アクセス制御部104は、アプリケーションから、グローバルクラウドを経由して、ローカルクラウド上に記憶されているデータに対してアクセス要求があった場合に、セキュリティポリシーと、アプリケーションが有するプライバシ証明書とに基づいて、トークンを発行する。ここで、アプリケーションは、REST(Representational State Transfer)ベースで、SSL(Secure Sockets Layer)を利用してアクセス要求を行う。セキュリティポリシーは、セキュリティポリシーDB114から取得される。セキュリティポリシーDB114には、アプリケーションの種別毎に、異なるレベルの管理者と、DBの種別毎に、アプリケーションの設置国別のトークンの有効期間とプライバシデータか非プライバシデータかを示すプライバシ情報とが関連付けられている。各セキュリティポリシーは、データの管理者により階層的に定められている。プライバシ証明書は、各国の認証局によって発行され、且つアプリケーションの挙動を規定する。プライバシ証明書は、アプリケーションに追加され、該アプリケーションが取得できるデータを規定する。データは、DBに含まれる。トークンは、アプリケーションがデータへアクセスするために必要となる。本実施形態では、トークンはメッセージ認証コードを作成するための共通鍵である。例えば、トークンの一例は、HMAC−SHA256用の共通鍵である。
(Token issue processing)
The token issuing process will be described. When there is an access request from an application to the data stored on the local cloud via the global cloud, the
セキュリティポリシーDB114は、アプリケーションの種別及びデータの種別に対応付けて、第1ドメイン(例えば、アプリケーションサーバの設置国)ごとのデータの提供期間を規定するセキュリティポリシーを記憶する。
アプリケーションの種別は、例えば、医療に関するアプリケーション、位置情報の提供に関するアプリケーション等のアプリケーションの種類である。データの種別は、例えば、医療に関するデータ、位置に関するデータ等のデータの種類である。データは、プライバシに関わるデータとプライバシに関わらないデータとに分類される。以下、プライバシに関わるデータを含むデータベースを、「プライバシデータベース」といい、プライバシに関わるデータを含まないデータベースを、「非プライバシデータベース」という。つまり、非プライバシデータベースは、プライバシに関わらないデータを含む。DBに関して、プライバシデータベースと非プライバシデータベースとを区分しない場合について説明を続ける。この場合、プライバシデータベース、及び非プライバシデータベースに対して、DBのIDとして、通し番号が付される。
セキュリティポリシーは、データの種別ごとにプライバシの有無(すなわち、プライバシデータか非プライバシデータかを示すプライバシ情報)を規定する。セキュリティポリシーは、複数の管理者の各々について設定される。
The
The application type is, for example, a type of application such as an application related to medical care or an application related to provision of position information. The data type is, for example, a data type such as data related to medical care or data related to position. Data is classified into data related to privacy and data not related to privacy. Hereinafter, a database including data related to privacy is referred to as “privacy database”, and a database not including data related to privacy is referred to as “non-privacy database”. That is, the non-privacy database includes data not related to privacy. Regarding the DB, the case where the privacy database and the non-privacy database are not distinguished will be continued. In this case, serial numbers are assigned as DB IDs to the privacy database and the non-privacy database.
The security policy defines the presence or absence of privacy (that is, privacy information indicating privacy data or non-privacy data) for each data type. A security policy is set for each of a plurality of administrators.
図2は、セキュリティポリシーDBの一例を示す図である。前述したように、セキュリティポリシーDBは、セキュリティポリシーを記憶する。
セキュリティポリシーは、アプリケーションの識別情報等のアプリケーションの種別(Application ID)ごとに、複数の管理者に対して、データが含まれる複数のDBの各々について、第1ドメインへのデータの提供期間と、プライバシ情報とを規定する。
図2において、「UK」及び「JP」は、アプリケーションサーバが設置されている国名を表し、「h」、「d」及び「m」はそれぞれ提供期間の単位である時間、日及び月を表し、「プライバシ」及び「非プライバシ」はそれぞれ「プライバシ有り」及び「プライバシ無し」を表している。数値「0」は、トークンが発行されないことを表している。例えば、「UK:1h、JP:2m、非プライバシ」は、UK国のアプリケーションに発行するトークンの有効期間が1時間、JP国のアプリケーションに発行するトークンの有効期間が2か月、プライバシ情報が「プライバシ無し」を表す。
FIG. 2 is a diagram illustrating an example of the security policy DB. As described above, the security policy DB stores the security policy.
The security policy includes, for each application type (Application ID) such as application identification information, for a plurality of administrators, for each of a plurality of DBs containing data, a data provision period to the first domain, Specifies privacy information.
In FIG. 2, “UK” and “JP” represent the country name where the application server is installed, and “h”, “d”, and “m” represent time, day, and month, which are units of the provision period, respectively. , “Privacy” and “Non-privacy” represent “Privacy” and “No privacy”, respectively. The numerical value “0” indicates that no token is issued. For example, "UK: 1h, JP: 2m, non-privacy" means that the validity period of the token issued to the UK country application is 1 hour, the validity period of the token issued to the JP country application is 2 months, and the privacy information is Indicates “no privacy”.
プライバシ証明書は、アプリケーションがデータを取得可能なドメイン(例えば、提供国)と、データの種別とを保証する。具体的には、プライバシ証明書は、プライバシ証明書の発行国(CA Nationality)と、アプリケーションIP(Application IP)と、アプリケーションの種別(Application ID)と、DBサーバの設置国(DB Nationality)と、データベースの種別(DB ID)と、有効期限とを含む。ただし、プライバシ証明書の発行国は、プライバシ証明書を発行する認証局が設置された国であり、アプリケーションサーバの設置国と同じである。アプリケーションIPは、アプリケーションサーバのIPアドレスである。DBサーバの設置国は、アプリケーションが取得可能なデータを提供するDBサーバが設置されている提供国である。データベースの種別は、ローカルクラウド上のDBの種別を示す。 The privacy certificate guarantees a domain (for example, a providing country) from which the application can acquire data, and a data type. Specifically, the privacy certificate includes a privacy certificate issuing country (CA Nationality), an application IP (Application IP), an application type (Application ID), a DB server installation country (DB Nationality), Includes database type (DB ID) and expiration date. However, the country where the privacy certificate is issued is the country where the certificate authority issuing the privacy certificate is installed, and is the same as the country where the application server is installed. Application IP is the IP address of the application server. The installation country of the DB server is a providing country in which a DB server that provides data that can be acquired by an application is installed. The type of database indicates the type of DB on the local cloud.
アクセス制御部104は、アプリケーションからトークンの発行の要求を受信すると、アプリケーションが有するプライバシ証明書を検証する。
セキュリティポリシー管理部108は、アプリケーションからトークン発行の要求を受信すると、セキュリティポリシーDB114から、トークンの発行を要求するアプリケーションの種別に対応するセキュリティポリシーを取得する。次に、セキュリティポリシー管理部108は、取得したセキュリティポリシーに基づいて、プライバシ証明書に規定されたデータベースの種別に関連付けられた、アプリケーションサーバの設置国への提供期間であって、複数の管理者に関連付けられたそれぞれの提供期間を含むトークンの有効期限のリストを取得する。
例えば、図2に示されるセキュリティポリシーDB114の場合、セキュリティポリシー管理部108は、アプリケーションAについてのセキュリティポリシーにおいて、データベースの種別に合致するのがDB1で、アプリケーションサーバの設置国がJPとすると、セキュリティポリシー管理部108は、管理者1が設定したJPへの提供期間である2か月と、管理者2が設定したJPへの提供期間である2時間と、・・・、管理者Mが設定したJPへの提供期間である5時間とを含むトークンの有効期限のリストを取得する。
また、セキュリティポリシー管理部108は、取得したセキュリティポリシーに基づいて、プライバシ証明書に規定されたデータベースの種別に関連付けられた、プライバシデータか非プライバシデータかを示すプライバシ情報を含むプライバシ情報のリストを取得する。
When the
Upon receiving a token issuance request from the application, the security
For example, in the case of the
Further, the security
次に、セキュリティポリシー管理部108は、複数の管理者に対応付けられたデータの提供期間のうち最も短い期間に基づいて、有効期限を算出する。前述の場合、セキュリティポリシー管理部108は、取得した最短の提供期間である2時間に基づき、現在時刻に2時間を加えた有効期限を算出する。
次に、アクセス制御部104は、トークンを生成し、生成したトークンに、算出した有効期限を対応付けてトークンDB110に記憶する。アクセス制御部104は、有効期限が設定されたトークンをアプリケーションに発行する。トークンは、メッセージ認証コードの共通鍵として生成される。アクセス制御部104は、生成したトークンをトークンDB110に保管する。
図3は、トークンDBの一例を示す図である。トークンDB110は、図3に示すように、トークンと、アプリケーションサーバの設置国と、アプリケーションIPと、アプリケーションの種別と、データの種別と、プライバシ情報と、トークンの有効期限とを関連付けて記憶する。アプリケーションは、セキュリティゲートウェイ装置100が発行したトークンを取得する。
Next, the security
Next, the
FIG. 3 is a diagram illustrating an example of the token DB. As illustrated in FIG. 3, the
(データの抽出処理)
データの抽出処理について説明する。トークンを取得したアプリケーションは、グローバルクラウドを経由してローカルクラウド上のデータへアクセス要求を実行する。アプリケーションは、ローカルクラウド上のデータへアクセス要求を実行する際に、アプリケーションサーバの設置国、アプリケーションの種別、データ種別、ユーザの所有者の属性、クエリ、タイムスタンプ、メッセージ認証コードを送信する。メッセージ認証コードは、アプリケーションサーバの設置国、アプリケーションの種別、データ種別、ユーザの所有者の属性、クエリ、タイムスタンプ等のパラメータを連結したものに対して、トークンを共通鍵とするハッシュ関数を施すことにより作成される。
(Data extraction process)
Data extraction processing will be described. The application that acquired the token executes an access request to the data on the local cloud via the global cloud. When executing an access request to data on the local cloud, the application transmits an application server installation country, an application type, a data type, an attribute of a user owner, a query, a time stamp, and a message authentication code. The message authentication code performs a hash function using a token as a common key for the concatenation of parameters such as the application server installation country, application type, data type, user owner attribute, query, and timestamp. It is created by.
アクセス制御部104は、トークンを有するアプリケーションから、グローバルクラウド経由で、ローカルクラウド上のデータへアクセス要求があった場合に、トークンの正当性を検証する。トークンの正当性の検証結果が成功であった場合、アクセス制御部104は、アクセス要求の対象のデータが、該データの所有者のプライバシに関わるデータであるか否かを判定する。
具体的には、アクセス制御部104は、アプリケーションサーバの設置国、アプリケーションの種別、データ種別、ユーザの所有者の属性、クエリ、タイムスタンプ等のパラメータの連結に対して、トークンを共通鍵とするハッシュ関数を施すことによって、ハッシュ値を算出する。例えば、アクセス制御部104は、ハッシュ関数としてSHA256と使用するHMAC−SHA256(HMAC: Hash−based Message Authentication Code)を用いて、ハッシュ値を算出してもよい。次に、アクセス制御部104は、算出したハッシュ値とメッセージ認証コードとが一致するか否かを判定し、一致する場合に発行したトークンを用いてメッセージ認証コードが生成されたものであると判定する。
The
Specifically, the
また、アクセス制御部104は、プライバシ証明書に記載されているアプリケーションの種別、データの種別に関する情報を用いて、セキュリティポリシーを参照し、セキュリティポリシーに記載されている内容からトークンの有効期限と、プライバシ証明書に記載されているデータの種別がプライバシに関わるものか否かを判断する。アクセス制御部104は、管理者のレベルの値が最も小さい管理者のセキュリティポリシーから順に、セキュリティポリシーに記載されている有効期間を確認し、前の期間より短い期間があれば、その値を有効期間として設定する。アクセス制御部104は、この操作を、管理者のレベルの値が最も大きい管理者まで繰り返し、操作が終了したときの有効期間の値と現在時刻を足し合わせて、有効期限を算出する。
アクセス制御部104は、アクセス要求を受信した時刻が、取得したトークンに対応付けられた有効期限より早い時刻である場合に、トークンの有効期限内であると判定する。
アクセス制御部104は、データ取得の要求の受信時刻が、パラメータに含まれるタイムスタンプ(例えば、データ取得の要求の送信時刻)から一定期間内である場合、データ取得の要求が一定期間内のものであると判定する。
In addition, the
The
When the reception time of the data acquisition request is within a certain period from the time stamp included in the parameter (for example, the transmission time of the data acquisition request), the
アクセス制御部104は、プライバシ証明書に記載されているデータの種別がプライバシに関わるか否かについて、管理者のレベルの全てについて、セキュリティポリシーにプライバシに関わらないと記載されている場合にプライバシに関わらないと判断する。アクセス制御部104は、それ以外、つまり一つでもプライバシに関わると記載されている場合、データの所有者のプライバシに関わるデータと判断する。
アクセス対象のデータが、該データの所有者のプライバシに関わるデータである場合、アクセス制御部104は、ローカルクラウド上のデータベースから、アクセス対象のデータを抽出し、抽出したデータに対してプライバシ保護手法を適用し、プライバシ保護手法を適用したデータを、グローバルクラウドを経由して、アプリケーションへ返信する。
The
When the data to be accessed is data related to the privacy of the owner of the data, the
一方、アクセス対象のデータが、該データの所有者のプライバシに関わるデータでない場合、アクセス制御部104は、アクセス要求を、プライバシ制御部106へ出力する。プライバシ制御部106は、アクセス制御部104が出力したアクセス要求を取得する。プライバシ制御部106は、アクセス対象のデータの所有者のプライバシポリシーに基づいて、ローカルクラウド上のデータベースから、アクセス対象のデータのうち、提供を許可する所有者のデータを抽出する。プライバシ制御部106は、抽出したデータを、データ品質制御部102へ出力する。
具体的には、プライバシ制御部106は、アクセス制御部104が出力したアクセス要求に基づいて、アクセス対象のデータの所有者の属性を用いて、ユーザDB112から、データの所有者の識別子を読み出す。
図4は、ユーザDBの一例を示す図である。ユーザDB112は、DBの識別子等のDBの種別と所有者の識別子と属性とを対応付ける。図4に示される例では、種別の異なる複数のデータベースの各々について、データの所有者の識別子と該所有者の属性とを関連付けて記憶する。所有者の属性は、データベースに含まれる、男性、20代等のデータの所有者の属性である。プライバシ制御部106が、アプリケーションが送信するデータの所有者の属性情報とユーザDB112から読み出したデータの所有者の識別子とを利用することにより、クエリの中身を解釈する機能を有することなく、いかなる文法のクエリ言語にも対応することができる。
On the other hand, when the data to be accessed is not data related to the privacy of the owner of the data, the
Specifically, the
FIG. 4 is a diagram illustrating an example of the user DB. The
プライバシ制御部106は、読み出したデータの所有者の識別子を用いて、プライバシポリシーDB210からプライバシポリシーを読み出す。
図5は、プライバシポリシーDBの一例を示す図である。プライバシポリシーDBには、複数のアプリケーションの種別の各々について、ユーザ識別情報などのデータの所有者とプライバシポリシーとを関連付けて記憶する。プライバシポリシーは、アプリケーションの種別に対応付けて、データの種別ごとにデータの所有者がデータの提供を認可するか否かを規定する。図5に示される例では、データの提供を認可する場合には「○」が記載され、許可しない場合には「×」が記載される。プライバシポリシーは、第2ドメインに設置されたローカルクラウドのプライバシポリシーDB210から取得される。
The
FIG. 5 is a diagram illustrating an example of the privacy policy DB. In the privacy policy DB, the owner of data such as user identification information and the privacy policy are stored in association with each other for each of the plurality of application types. The privacy policy defines whether or not the data owner authorizes provision of data for each data type in association with the type of application. In the example shown in FIG. 5, “◯” is described when the data provision is permitted, and “X” is described when the data provision is not permitted. The privacy policy is acquired from the
プライバシ制御部106は、プライバシポリシーDB210から読み出したプライバシポリシーからデータの提供を許可するデータの所有者の一覧を作成する。プライバシ制御部106は、クエリを用いてローカルクラウド上のデータベースからデータを取得する。プライバシ制御部106は、作成したデータの所有者の一覧に含まれる識別子と関連付けられているデータを抽出することによって、データをフィルタリングする。これにより、データの所有者毎のプライバシに配慮して、情報を利活用できる。プライバシ制御部106は、フィルタリングすることによって得られるデータを、データ品質制御部102へ出力する。
The
データ品質制御部102は、アクセス制御部104が出力したデータの品質を検証する。データの品質を検証するアルゴリズムについては、後述する。データ品質制御部102は、データの品質の検証結果をデータに付与し、データの品質の検証結果を付与したデータのダイジェスト値(認証コード)を演算し、ダイジェスト値の演算結果をセキュリティゲートウェイ装置100が備える私有鍵(秘密鍵)で暗号化することによって、電子署名を生成する。データ品質制御部102は、データに、品質の検証結果と電子署名とを付与し、グローバルクラウドを経由して、アプリケーションへ送信する。例えば、データ品質制御部102は、JSON(JavaScript Object Notation)形式で、データに、品質の検証結果と電子署名とを付与して送信する。これにより、データのセキュリティに配慮して、情報を利活用できる。
The data
データの品質を検証するアルゴリズムについて説明する。データ品質制御部102は、乱数検定を実施し、偽造等、人工的に生成されたデータでないことを確認する。また、データ品質制御部102は、カイ2乗検定等を用いて正規分布等に従った分布において5%棄却域に入るか否かを検定し、データが異常値でないことを検証する。また、データ品質制御部102は、他の同種のセンサーのデータとの類似性を検証し、類似度が閾値以上であることを検証する。これによって、不正なセンサーからのデータ混入があるか否か、つまり、データの取得元が不正であるか否かを検証できる。
An algorithm for verifying data quality will be described. The data
(マルチクラウド環境における実施例)
図6は、実施形態に係るグローバルクラウド環境におけるセキュリティゲートウェイ装置を示す図である。
セキュリティゲートウェイ装置100は、マルチクラウド環境において、グローバルクラウド300とローカルクラウド200との接点に設置される。図6に示される例では、セキュリティゲートウェイ装置100が、ローカルクラウド200に含まれる。
セキュリティゲートウェイ装置100の機能は、Web APIとして提供される。Web APIは、HTTPプロトコルを用いてネットワーク越しに呼び出すアプリケーション間、システム間のインタフェースである。
セキュリティゲートウェイ装置100は、第1ドメインに設置されたサーバに記憶されているアプリケーション400からグローバルクラウド300を介して要求されたデータを、第2ドメインに設置されたローカルクラウド200から抽出して、グローバルクラウド300を介してアプリケーション400に返す。
(Example in a multi-cloud environment)
FIG. 6 is a diagram illustrating the security gateway device in the global cloud environment according to the embodiment.
The
The function of the
The
アプリケーション400は、グローバルクエリー制御部302を経由して、セキュリティゲートウェイ装置100が提供するAPIを利用する外部サーバに記憶される。
アプリケーション400は、グローバルクラウド300のグローバルクエリー制御部302を経由して、プライバシ証明書をパラメータとして、トークン発行を要求する。
セキュリティゲートウェイ装置100のアクセス制御部104は、プライバシ証明書とセキュリティポリシーDB114の有効期間とに基づいて、トークンの有効期限を設定し、トークンをトークンDB110に保管する。アクセス制御部104は、グローバルクエリー制御部302を経由してアプリケーション400にトークンを発行する。
トークンを有するアプリケーション400は、グローバルクラウド300のグローバルクエリー制御部302を経由して、アプリケーションサーバの設置国、アプリケーションの種別、データの種別、データの所有者の属性、クエリ(DBへの要求)、タイムスタンプ(例えば、当該データ取得の要求の送信時刻)、及びMAC等のメッセージ認証コードをパラメータとして、データ取得の要求をする。グローバルクエリー制御部302は、アプリケーション400からのクエリの内容に応じてクエリを振り分けるローカルクラウド200を決定する。
The
The
The
The
セキュリティゲートウェイ装置100のアクセス制御部104は、トークンの正当性を検証し、プライバシ制御部106は、アプリケーションのクエリをローカルクラウド200のローカルクエリー制御部202に渡す。
ローカルクエリー制御部202及びプライバシポリシー管理部204は、セキュリティゲートウェイ装置100が提供するAPIの機能を実現する上で必要となる外部サーバである。
ローカルクエリー制御部202は、プライバシ制御部106が出力したクエリの内容に応じて、クエリを振り分けるデータベースを決定し、クエリに基づくデータを抽出する。
プライバシポリシー管理部204は、プライバシポリシーDB210からプライバシポリシーを取得するために必要なインタフェースである。
セキュリティゲートウェイ装置100のプライバシ制御部106は、ローカルクエリー制御部202が抽出したデータからプライバシポリシーDB210に基づいてデータを選別する。プライバシ制御部106は、選別したデータが非プライバシデータである場合には、選別したデータに対してプライバシ保護手法を適用し、グローバルクエリー制御部302を経由してアプリケーションに返す。データ品質制御部102は、選別したデータが非プライバシデータである場合には、データの品質を検証し、検証した結果を、データに付与して、グローバルクエリー制御部302を経由してアプリケーションに返す。
アプリケーションは受信したデータに付与されている電子署名を、事前に取得していたセキュリティゲートウェイ装置100の公開鍵で検証する。セキュリティゲートウェイ装置100は、データの品質評価結果を確認する。そして、問題なければデータを活用する。
The
The local
The local
The privacy
The
The application verifies the electronic signature attached to the received data with the public key of the
(セキュリティゲートウェイ装置の動作(その1))
図7は、実施形態に係るセキュリティゲートウェイ装置の動作(その1)の一例を示すフローチャートである。図7は、セキュリティゲートウェイ装置100が、アプリケーションがローカルクラウド上のDBにアクセスするためのトークンを発行する処理を示す。
(ステップS102)アクセス制御部104は、アプリケーション400からプライバシ証明書をパラメータとして含むトークン発行の要求を取得する。アクセス制御部104は、プライバシ証明書に記載されている内容の正当性を検証する。
具体的には、アクセス制御部104は、プライバシ証明書の発行国が、リクエストヘッダのIPアドレス情報と同一国であるか否かを判断する。ここで、プライバシ証明書の発行国は、アプリケーションサーバの設置国と同一である。さらに、アクセス制御部104は、アプリケーションIPがリクエストヘッダのIPアドレス情報と同一であるか否かを判断する。ここで、アプリケーションIPは、アプリケーションサーバのIPアドレスを示す。さらに、アクセス制御部104は、DBサーバの設置国が、セキュリティゲートウェイ装置100が設置されている国と同一か否かを判断する。さらに、アクセス制御部104は、現在時刻が有効期限よりも早い時刻であるか否かを判断する。全ての判断がYESの場合、アクセス制御部104は、処理をステップS104に移し、いずれかの判断がNOの場合、アクセス制御部104は、所定のエラー処理を実行する。例えば、アクセス制御部104は、トークン発行の要求が、正常でないことを表すエラー情報を送信する。
(Operation of security gateway device (part 1))
FIG. 7 is a flowchart illustrating an example of the operation (part 1) of the security gateway device according to the embodiment. FIG. 7 shows a process in which the
(Step S102) The
Specifically, the
(ステップS104)セキュリティポリシー管理部108は、プライバシ証明書に記載されているプライバシ証明書の発行国(アプリケーションサーバの設置国)と、アプリケーションの種別と、データの種別とを用いて、セキュリティポリシーDB114を検索する。セキュリティポリシー管理部108は、管理者ごとに規定されるアプリケーションサーバの設置国におけるトークンの有効期間のリストと、プライバシ情報のリストとを取得する。
(ステップS106)セキュリティポリシー管理部108は、プライバシ情報のリストからプライバシ証明書に記載されているデータの種別で指定されたデータベースが、非プライバシDBかプライバシDBかを決定する。セキュリティポリシー管理部108は、全ての管理者が非プライバシDBと設定している場合には非プライバシDBと決定し、それ以外の場合にはプライバシDBと決定する。
(Step S104) The security
(Step S106) The security
(ステップS108)セキュリティポリシー管理部108は、トークンの有効期間のリストからトークンの有効期間を決定する。具体的には、セキュリティポリシー管理部108は、管理者のレベルの値が最も小さい管理者から順に有効期間を確認し、確認した期間より短い期間があれば、その短い期間の値を有効期間として設定する。セキュリティポリシー管理部108は、管理者のレベルの値が最も大きい管理者まで上記の操作を繰り返し、操作が終了したときの有効期間の値と現在時刻を加算して有効期限を算出する。つまり、セキュリティポリシー管理部108は、複数の管理者により設定された有効期間のうち最も短い期間をトークンの有効期間として決定し、決定した有効期間の値と、現在時刻とを加算して有効期限を算出する。
(ステップS110)アクセス制御部104は、トークンを生成する。
(ステップS112)アクセス制御部104は、ステップS110で生成したトークンと、プライバシ証明書に記載されているアプリケーションサーバの設置国、アプリケーションIP、アプリケーションの種別、データの種別、ステップS106で決定したプライバシ情報、及びステップS108で算出したトークンの有効期限とを関連付けて、トークンDB110に保管する。
(ステップS114)アクセス制御部104は、有効期限が設定されたトークンをアプリケーションに返す。その後、アクセス制御部104は、処理を終了する。
(Step S108) The security
(Step S110) The
(Step S112) The
(Step S114) The
(セキュリティゲートウェイ装置の動作(その2))
図8は、実施形態に係るセキュリティゲートウェイ装置の動作(その2)の一例を示すフローチャートである。図8は、セキュリティゲートウェイ装置100が発行したトークンを取得したアプリケーションが送信したデータ取得の要求に対して、ローカルクラウド200上のDBのデータを提供する処理を示す。また、図8は、データ取得の要求によって要求されたデータが、プライバシDBに含まれるときに、データの所有者のプライバシを保護する処理を示す。
(ステップS202)アクセス制御部104は、アプリケーションからデータ取得の要求を受信し、受信したデータ取得の要求に含まれるアプリケーションサーバの設置国、リクエストヘッダのIPアドレス情報(アプリケーションIP)、アプリケーションの種別、データの種別等のパラメータを用いて、トークンDB110を検索し、これらの情報に対応付けられているトークン及びトークンの有効期限を取得する。
(ステップS204)アクセス制御部104は、データ取得の要求を受信した時刻がトークンの有効期限より早い時刻か否かを判断する。データ取得の要求を受信した時刻がトークンの有効期限より早い時刻である場合、アクセス制御部104は、ステップS206の処理へ移行する。データ取得の要求を受信した時刻がトークンの有効期限より早い時刻でない場合、アクセス制御部104は、所定のエラー処理を実行する。例えば、アクセス制御部104は、データ取得の要求が正常でないことを表すエラー情報をアプリケーションに返す。その後、アクセス制御部104は、処理を終了する。データ取得の要求を受信した時刻がトークンの有効期限より早い時刻である場合について説明を続ける。
(Operation of security gateway device (part 2))
FIG. 8 is a flowchart illustrating an example of the operation (part 2) of the security gateway device according to the embodiment. FIG. 8 shows a process of providing DB data on the
(Step S202) The
(Step S204) The
(ステップS206)アクセス制御部104は、アプリケーションサーバの設置国、アプリケーションの種別、データの種別、データの所有者の属性、クエリ、タイムスタンプ等のパラメータの連結を、ステップS202で取得したトークンを鍵とする鍵付きハッシュ関数に入力し、ハッシュ値を算出し、算出したハッシュ値とメッセージ認証コードとが一致するか否かを判断する。
一致する場合、アクセス制御部104は、ステップS208の処理を実行する。一致しない場合、アクセス制御部104は、所定のエラー処理を実行する。例えば、アクセス制御部104は、データ取得の要求が正常でないことを表すエラー情報をアプリケーションに返す。その後、アクセス制御部104は、処理を終了する。一致する場合について説明を続ける。
(ステップS208)アクセス制御部104は、パラメータのタイムスタンプを用いて、データ取得の要求の受信時刻がタイムスタンプから一定期間内か否かを判断する。一定期間内である場合、アクセス制御部104は、ステップS210の処理を実行する。一定期間内でない場合、アクセス制御部104は、所定のエラー処理を実行する。例えば、アクセス制御部104は、データ取得の要求が正常でないことを表すエラー情報をアプリケーションに返す。その後、アクセス制御部104は、処理を終了する。一定期間内である場合について説明を続ける。
(Step S206) The
If they match, the
(Step S208) The
(ステップS210)アクセス制御部104は、パラメータのデータの種別で指定されたデータベースがプライバシに関するデータか否かを判断する。アクセス制御部104は、プライバシに関するデータである場合にはステップS212の処理を実行し、プライバシに関するデータでない場合にはステップS216の処理を実行する。プライバシに関するデータである場合について説明を続ける。
(ステップS212)アクセス制御部104は、クエリパラメータで指定されたクエリを用いて、ローカルクエリー制御部202が提供するWeb APIを経由してプライバシDB208からデータを抽出する。
(ステップS214)アクセス制御部104は、抽出したデータに対してプライバシ保護手法を適用し、グローバルクラウド経由で、アプリケーションに返す。その後、アクセス制御部104は、処理を終了する。
(ステップS216)ステップS210で、プライバシに関するデータでない場合、プライバシ制御部106は、ユーザ属性パラメータで指定されたデータの所有者の属性を用いて、ユーザDB112を検索し、該当するデータの所有者のリストを取得する。
(ステップS218)プライバシ制御部106は、アプリケーションの種別とステップS216で取得した所有者のリストとを用いて、セキュリティポリシー管理部108が提供するWeb APIを経由して、プライバシポリシーDB210から、該当するデータの所有者のプライバシポリシーを取得する。
(Step S210) The
(Step S212) The
(Step S214) The
(Step S216) If the data is not privacy-related in step S210, the
(Step S218) The
(ステップS220)プライバシ制御部106は、ステップS218で取得したプライバシポリシーを参照し、データの種別パラメータで指定されたDBのデータのうち、データの提供を許可する所有者のリスト(以下、「データの提供者のリスト」という。)を作成する。
(ステップS222)プライバシ制御部106は、クエリパラメータで指定されたクエリを用いて、ローカルクエリー制御部202が提供するWeb APIを経由して、非プライバシDB206からデータを取得する。
(ステップS224)プライバシ制御部106は、ステップ216で作成したデータの提供者のリストを用いて、ステップS222で取得したデータのうち、提供者のリストに存在する所有者のデータを抽出することによってフィルタリングする。プライバシ制御部106は、フィルタリングすることによって得られたデータを、データ品質制御部102へ出力する。
(Step S220) The
(Step S222) The
(Step S224) The
(セキュリティゲートウェイ装置の動作(その3))
図9は、実施形態に係るセキュリティゲートウェイ装置の動作(その2)の一例を示すフローチャートである。図9は、データ取得の要求によって要求されたデータが、非プライバシDB206に含まれるときに、データの品質を検証し、検証した結果を、データに付与して送信する処理を示す。
(ステップS302)データ品質制御部102は、プライバシ制御部106が出力したデータの品質を検証する。データ品質制御部102は、乱数検定を実施したり、カイ2乗検定等を用いて正規分布等に従った分布において5%棄却域に入るか否かを検定したり、他の同種のセンサーのデータとの類似性を検証したりする。
(ステップS304)データ品質制御部102は、ステップS302で実行された検証の結果をデータに付与し、検証の結果を付与したデータの認証コードを演算し、認証コードの演算結果を、私有鍵で暗号化することによって、電子署名を作成する。
(ステップS306)データ品質制御部102は、電子署名を付与したデータと検証の結果とを、アプリケーションへ返信する。
(Operation of the security gateway device (part 3))
FIG. 9 is a flowchart illustrating an example of the operation (part 2) of the security gateway device according to the embodiment. FIG. 9 shows processing for verifying the quality of data when the data requested by the data acquisition request is included in the
(Step S302) The data
(Step S304) The data
(Step S306) The data
前述した実施形態では、ローカルクラウド毎に、一台のセキュリティゲートウェイ装置が含まれる場合について説明したが、この限りでない。例えば、ローカルクラウド毎に、複数のセキュリティゲートウェイ装置が含まれてもよい。この場合、複数のプライバシ保護装置は、同じ機能を有していてもよいし、異なる機能を有していてもよい。
前述した実施形態では、プライバシデータベースと非プライバシデータベースとを区分しない場合について説明したが、この例に限られない。例えば、プライバシデータベースと非プライバシデータベースとを区分してもよい。この場合、プライバシデータベース、及び非プライバシデータベースの各々に対して、DBのIDとして、通し番号が付される。
前述した実施形態では、セキュリティゲートウェイ装置100が検証結果にかかわらず、検証結果をアプリケーションに送信する場合ついて説明したが、この限りでない。例えば、検証結果の閾値を設定し、該閾値に基づいて、品質がよくない場合には、セキュリティゲートウェイ装置100は、アプリケーションへ、データを送信しないようにしてもよい。
前述した実施形態では、セキュリティゲートウェイ装置100が、データに品質の検証結果と電子署名とを付与して、送信する場合について説明したが、この限りでない。例えば、セキュリティゲートウェイ装置100は、トークンを介してアプリケーションと共有した秘密鍵を用いて、メッセージ認証コード(MAC(Message Authentication Code))を計算し、電子署名の代わりに使用してもよい。
前述した実施形態では、アプリケーションが、事前に取得していたセキュリティゲートウェイ装置100の公開鍵で、受信したデータに付与されている電子署名を検証する場合について説明したが、この例に限られない。例えば、アプリケーションは、データを受信した後に、そのデータに付与されている電子署名を検証するために、セキュリティゲートウェイ装置100の公開鍵を取得するようにしてもよい。
In the above-described embodiment, the case where one security gateway device is included for each local cloud has been described, but this is not restrictive. For example, a plurality of security gateway devices may be included for each local cloud. In this case, the plurality of privacy protection devices may have the same function or different functions.
In the above-described embodiment, the case where the privacy database and the non-privacy database are not distinguished has been described, but the present invention is not limited to this example. For example, a privacy database and a non-privacy database may be distinguished. In this case, a serial number is assigned to each of the privacy database and the non-privacy database as the DB ID.
In the above-described embodiment, the case has been described in which the
In the above-described embodiment, the case has been described in which the
In the above-described embodiment, the case where the application verifies the electronic signature attached to the received data with the public key of the
本実施形態によれば、セキュリティゲートウェイ装置は、第1のドメインと第2のドメインとの間に設置される。セキュリティゲートウェイ装置は、サーバに記憶されたアプリケーションによって、第1ドメインを経由して、第2ドメインに記憶されているデータへのアクセス要求があった場合に、アクセス要求の正当性を検証し、正当性の検証の結果が成功であった場合に、データの所有者のプライバシポリシーに基づいて、データを取得する。これにより、データの所有者毎のプライバシに配慮して、情報を利活用できる。また、セキュリティゲートウェイ装置は、取得したデータの品質を検証し、データの品質の検証結果とデータとを、アプリケーションへ送信する。これにより、データのセキュリティに配慮して、情報を利活用できる。
つまり、セキュリティゲートウェイ装置は、各国の認証局により発行されたアプリケーションの挙動を規定する証明書と、データの管理者および所有者により階層的に定められたポリシー群とを用いてアクセス制御を行うことができるとともに、アクセス要求の対象であるデータを、アプリケーションに送信する際に、データの品質を検証し、検証結果に基づいて作成される電子署名を付与して送信することができる。
これによって、アプリケーションは、データの品質が保証されたデータを取得することができるため、ユーザは、アプリケーションによって取得されたデータを、安心して使用できる。
また、複数のローカルクラウドを有機的に結合したグローバルクラウド上において、アプリケーションは、IoTデバイスから収集された個人のプライバシに関わるデータをセキュリティおよびプライバシに配慮した形で利活用することができる。
また、セキュリティゲートウェイ装置は、ローカルクラウド上のデータベースの形式およびアプリケーションからのクエリの形式を問わないため、単一クラウドにおけるアーキテクチャを拡張する形で構築できる。
According to the present embodiment, the security gateway device is installed between the first domain and the second domain. The security gateway device verifies the validity of the access request when there is an access request to the data stored in the second domain via the first domain by the application stored in the server. If the result of the verification of the sex is successful, the data is acquired based on the privacy policy of the data owner. As a result, the information can be utilized in consideration of the privacy of each data owner. Also, the security gateway device verifies the quality of the acquired data, and transmits the data quality verification result and the data to the application. As a result, it is possible to use information in consideration of data security.
In other words, the security gateway device performs access control using a certificate that defines the behavior of an application issued by a certificate authority in each country and a policy group that is hierarchically defined by the data manager and owner. In addition, when the data that is the target of the access request is transmitted to the application, the quality of the data can be verified, and an electronic signature created based on the verification result can be attached and transmitted.
As a result, the application can acquire data whose data quality is guaranteed, so that the user can use the data acquired by the application with peace of mind.
In addition, on a global cloud in which a plurality of local clouds are organically combined, an application can use data related to personal privacy collected from an IoT device in a form that considers security and privacy.
In addition, the security gateway device can be constructed by extending the architecture in a single cloud because the format of the database on the local cloud and the format of the query from the application are not questioned.
以上、本発明の実施形態及びその変形例を説明したが、これらの実施形態及びその変形例は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態及びその変形例は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更、組合せを行うことができる。これら実施形態及びその変形例は、発明の範囲や要旨に含まれると同時に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。例えば、プライバシ保護装置が実行するプライバシ保護方法としても実現できる。 As mentioned above, although embodiment of this invention and its modification were demonstrated, these embodiment and its modification are shown as an example, and are not intending limiting the range of invention. These embodiments and modifications thereof can be implemented in various other forms, and various omissions, replacements, changes, and combinations can be made without departing from the spirit of the invention. These embodiments and modifications thereof are included in the scope and gist of the invention, and at the same time, are included in the invention described in the claims and the equivalents thereof. For example, it can be realized as a privacy protection method executed by the privacy protection device.
なお、上述の各装置は内部にコンピュータを有している。そして、上述した各装置の各処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしてもよい。
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。
さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
Each of the above devices has a computer inside. The process of each device described above is stored in a computer-readable recording medium in the form of a program, and the above-described processing is performed by the computer reading and executing the program. Here, the computer-readable recording medium means a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD-ROM, a semiconductor memory, or the like. Alternatively, the computer program may be distributed to the computer via a communication line, and the computer that has received the distribution may execute the program.
The program may be for realizing a part of the functions described above.
Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, what is called a difference file (difference program) may be sufficient.
上述した実施形態において、セキュリティゲートウェイ装置100はセキュリティゲートウェイ装置の一例であり、第1のドメインはグローバルクラウドの一例であり、第2のドメインはローカルクラウドの一例であり、アクセス制御部104はアクセス制御部の一例であり、プライバシ制御部106はプライバシ制御部の一例であり、データ品質制御部は検証部、及び送信部の一例である。
In the above-described embodiment, the
100…セキュリティゲートウェイ装置、102…データ品質制御部、104…アクセス制御部、106…プライバシ制御部、108…セキュリティポリシー管理部、110…トークンDB、112…ユーザDB、114…セキュリティポリシーDB、200…ローカルクラウド、202…ローカルクエリー制御部、204…プライバシポリシー管理部、206…非プライバシDB、208…プライバシDB、210…プライバシポリシーDB、300…グローバルクラウド、302…グローバルクエリー制御部、400…アプリケーション、500…プライバシ証明書DB
DESCRIPTION OF
Claims (8)
サーバに記憶されたアプリケーションによって、第1ドメインを経由して、第2ドメインに記憶されているデータへのアクセス要求があった場合に、前記アクセス要求の正当性を検証するアクセス制御部と、
前記正当性の検証の結果が成功であった場合に、前記データの所有者のプライバシポリシーに基づいて、前記データを取得するプライバシ制御部と、
前記プライバシ制御部が取得した前記データの品質を検証する検証部と、
前記データの品質の検証結果と前記データとを、前記アプリケーションへ送信する送信部と
を備える、セキュリティゲートウェイ装置。 A security gateway device installed between a first domain and a second domain,
An access control unit that verifies the legitimacy of the access request when there is an access request to the data stored in the second domain via the first domain by the application stored in the server;
A privacy control unit that acquires the data based on a privacy policy of the owner of the data when the result of the verification of the validity is successful;
A verification unit that verifies the quality of the data acquired by the privacy control unit;
A security gateway device comprising: a transmission unit that transmits a verification result of the data quality and the data to the application.
サーバに記憶されたアプリケーションによって、第1ドメインを経由して、第2ドメインに記憶されているデータへのアクセス要求があった場合に、前記アクセス要求の正当性を検証するステップと、
前記正当性の検証の結果が成功であった場合に、前記データの所有者のプライバシポリシーに基づいて、前記データを取得するステップと、
取得した前記データの品質を検証するステップと、
前記データの品質の検証結果と前記データとを、前記アプリケーションへ送信するステップと
を有する、方法。 A method executed by a security gateway device installed between a first domain and a second domain,
Verifying the legitimacy of the access request when there is an access request to the data stored in the second domain via the first domain by the application stored in the server;
Obtaining the data based on the privacy policy of the owner of the data if the result of the validity verification is successful;
Verifying the quality of the acquired data;
Transmitting the verification result of the data quality and the data to the application.
サーバに記憶されたアプリケーションによって、第1ドメインを経由して、第2ドメインに記憶されているデータへのアクセス要求があった場合に、前記アクセス要求の正当性を検証するステップと、
前記正当性の検証の結果が成功であった場合に、前記データの所有者のプライバシポリシーに基づいて、前記データを取得するステップと、
取得した前記データの品質を検証するステップと、
前記データの品質の検証結果と前記データとを、前記アプリケーションへ送信するステップと
を実行させる、プログラム。 In the computer of the security gateway device installed between the first domain and the second domain,
Verifying the legitimacy of the access request when there is an access request to the data stored in the second domain via the first domain by the application stored in the server;
Obtaining the data based on the privacy policy of the owner of the data if the result of the validity verification is successful;
Verifying the quality of the acquired data;
A program for executing a verification result of the data quality and the step of transmitting the data to the application.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017063686A JP6719413B2 (en) | 2017-03-28 | 2017-03-28 | Security gateway device, method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017063686A JP6719413B2 (en) | 2017-03-28 | 2017-03-28 | Security gateway device, method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018165951A true JP2018165951A (en) | 2018-10-25 |
| JP6719413B2 JP6719413B2 (en) | 2020-07-08 |
Family
ID=63922932
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017063686A Active JP6719413B2 (en) | 2017-03-28 | 2017-03-28 | Security gateway device, method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6719413B2 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3792806A1 (en) * | 2019-09-13 | 2021-03-17 | Fujitsu Limited | Information processing apparatus, control program, and control method |
| JPWO2020130082A1 (en) * | 2018-12-20 | 2021-10-14 | 日本電信電話株式会社 | Analysis query response system, analysis query execution device, analysis query verification device, analysis query response method and program |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001265771A (en) * | 2000-03-22 | 2001-09-28 | Nippon Telegr & Teleph Corp <Ntt> | Personal information management device, personal information management method, and recording medium recording program for executing personal information management device or method |
| WO2005122034A1 (en) * | 2004-06-14 | 2005-12-22 | Olympus Corporation | Data management system |
| JP2007122745A (en) * | 2006-12-20 | 2007-05-17 | Trend Micro Inc | Ensuring security on the transmission path for programs provided to communication terminals via the network |
| US20120084831A1 (en) * | 2011-12-13 | 2012-04-05 | At&T Intellectual Property I, L.P. | Method and apparatus for providing privacy management in machine-to-machine communications |
| US20120185911A1 (en) * | 2010-09-30 | 2012-07-19 | Khandys Polite | Mlweb: a multilevel web application framework |
| JP2013219710A (en) * | 2012-04-12 | 2013-10-24 | Toyota Motor Corp | Authentication system of on-vehicle control device and authentication method of on-vehicle control device |
| US20150271666A1 (en) * | 2014-03-20 | 2015-09-24 | International Business Machines Corporation | Mobile Privacy Information Proxy |
| JP2016063356A (en) * | 2014-09-17 | 2016-04-25 | 株式会社日立ソリューションズ | Gateway device, data processing system and data processing method |
| WO2017004391A1 (en) * | 2015-07-02 | 2017-01-05 | Convida Wireless, Llc | Content security at service layer |
| JP2017028345A (en) * | 2015-07-15 | 2017-02-02 | 日立オートモティブシステムズ株式会社 | Gateway device and control method thereof |
| JP2017046338A (en) * | 2015-08-26 | 2017-03-02 | 大同股▲ふん▼有限公司 | Identity confirmation method, IoT gateway device using the same method, and verification gateway device |
-
2017
- 2017-03-28 JP JP2017063686A patent/JP6719413B2/en active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001265771A (en) * | 2000-03-22 | 2001-09-28 | Nippon Telegr & Teleph Corp <Ntt> | Personal information management device, personal information management method, and recording medium recording program for executing personal information management device or method |
| WO2005122034A1 (en) * | 2004-06-14 | 2005-12-22 | Olympus Corporation | Data management system |
| JP2007122745A (en) * | 2006-12-20 | 2007-05-17 | Trend Micro Inc | Ensuring security on the transmission path for programs provided to communication terminals via the network |
| US20120185911A1 (en) * | 2010-09-30 | 2012-07-19 | Khandys Polite | Mlweb: a multilevel web application framework |
| US20120084831A1 (en) * | 2011-12-13 | 2012-04-05 | At&T Intellectual Property I, L.P. | Method and apparatus for providing privacy management in machine-to-machine communications |
| JP2013219710A (en) * | 2012-04-12 | 2013-10-24 | Toyota Motor Corp | Authentication system of on-vehicle control device and authentication method of on-vehicle control device |
| US20150271666A1 (en) * | 2014-03-20 | 2015-09-24 | International Business Machines Corporation | Mobile Privacy Information Proxy |
| JP2016063356A (en) * | 2014-09-17 | 2016-04-25 | 株式会社日立ソリューションズ | Gateway device, data processing system and data processing method |
| WO2017004391A1 (en) * | 2015-07-02 | 2017-01-05 | Convida Wireless, Llc | Content security at service layer |
| JP2017028345A (en) * | 2015-07-15 | 2017-02-02 | 日立オートモティブシステムズ株式会社 | Gateway device and control method thereof |
| JP2017046338A (en) * | 2015-08-26 | 2017-03-02 | 大同股▲ふん▼有限公司 | Identity confirmation method, IoT gateway device using the same method, and verification gateway device |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2020130082A1 (en) * | 2018-12-20 | 2021-10-14 | 日本電信電話株式会社 | Analysis query response system, analysis query execution device, analysis query verification device, analysis query response method and program |
| JP7364595B2 (en) | 2018-12-20 | 2023-10-18 | 日本電信電話株式会社 | Analytical query response system, analytical query execution device, analytical query verification device, analytical query response method and program |
| EP3792806A1 (en) * | 2019-09-13 | 2021-03-17 | Fujitsu Limited | Information processing apparatus, control program, and control method |
| US11599674B2 (en) | 2019-09-13 | 2023-03-07 | Fujitsu Limited | Information processing apparatus for processing data using processing program based on agreement information on processing method for personal data. computer-readable recording medium recording control program for processing data using processing program based on agreement information on processing method for personal data, and control method for processing data using processing program based on agreement information on processing method for personal data |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6719413B2 (en) | 2020-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12169571B2 (en) | Systems and methods for privacy management using a digital ledger | |
| US11093643B2 (en) | Method and system for accessing anonymized data | |
| CN109687959B (en) | Key security management system, key security management method, key security management medium, and computer program | |
| RU2765567C2 (en) | Provider of access to base network | |
| US11791990B2 (en) | Apparatus and method for managing personal information | |
| CN111416822B (en) | Method for access control, electronic device and storage medium | |
| CN108259438B (en) | Authentication method and device based on block chain technology | |
| US20180020008A1 (en) | Secure asynchronous communications | |
| US10305913B2 (en) | Authentication control device and authentication control method | |
| CN112291375B (en) | Internet of things equipment security access control method, Internet of things equipment and Internet of things system | |
| US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
| JP6688266B2 (en) | Identity verification information provision method and identity verification information provision server | |
| CN112307116A (en) | Blockchain-based data access control method, device and device | |
| JP6719413B2 (en) | Security gateway device, method, and program | |
| KR20150089116A (en) | Personal data management center and personal data management system having the same | |
| KR20090054774A (en) | Integrated Security Management Method in Distributed Network Environment | |
| KR102496829B1 (en) | Apparatus and method for managing identity based on blockchain | |
| KR101068558B1 (en) | Information management method | |
| EP2983143A1 (en) | Security management system for revoking a token from at least one service provider terminal of a service provider system | |
| CN120474845B (en) | Domain name authority management method, device, computer equipment and readable storage medium | |
| US11652645B2 (en) | Storage medium, communication method, and communication device | |
| Hörbe | A model for privacy-enhanced federated identity management | |
| KR101650648B1 (en) | Security system and method for personal information using indirect key | |
| CN121030773A (en) | Data processing method and program product | |
| CN120880750A (en) | Unidirectional data security sharing method based on private cloud DMZ zone |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170329 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190305 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200128 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200212 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200403 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200602 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200616 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6719413 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |