[go: up one dir, main page]

WO2013060539A1 - Procede et systeme de mise en relation entre eux d'ensembles d'informations relatifs a une meme personne - Google Patents

Procede et systeme de mise en relation entre eux d'ensembles d'informations relatifs a une meme personne Download PDF

Info

Publication number
WO2013060539A1
WO2013060539A1 PCT/EP2012/068789 EP2012068789W WO2013060539A1 WO 2013060539 A1 WO2013060539 A1 WO 2013060539A1 EP 2012068789 W EP2012068789 W EP 2012068789W WO 2013060539 A1 WO2013060539 A1 WO 2013060539A1
Authority
WO
WIPO (PCT)
Prior art keywords
key
information
lki
nipj
sets
Prior art date
Application number
PCT/EP2012/068789
Other languages
English (en)
Inventor
Patrick Guerin
Original Assignee
Celtipharm
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Celtipharm filed Critical Celtipharm
Priority to EP12761637.3A priority Critical patent/EP2772003A1/fr
Publication of WO2013060539A1 publication Critical patent/WO2013060539A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics

Definitions

  • the present invention relates to a method of linking together sets of information relating to the same person. It also relates to information and central equipment provided for the implementation of this method and a system for chaining together sets of information stored in databases that uses this linking method and a computer program.
  • the person identifier number (PIN or PIN for Personal Identification Number) is usually used for this purpose.
  • PIN Personal Identification Number
  • the person identifier numbers associated with the sets of information collected by the different remote devices are compared with each other and, as soon as two numbers are identical, the associated sets are related because they are related to the same person.
  • This type of method of linking sets of information can not be implemented as simply in practice because it is not possible to leave any equipment the possibility, on the one hand, to be able to put in relation confidential information relating to the same person and, secondly, to go back to the identity of that person.
  • the problem solved by the present invention is to define a method which makes it possible to relate together sets of confidential information of a person, in particular for purposes of statistical exploitation while preserving the anonymity of these people.
  • the hash function transforms the person ID number into a single, reduced-length hash value called a fingerprint.
  • This fingerprint serves to quickly identify a person without being able to go back to his ID number and thus to his identity.
  • This fingerprint is often also called anonymous ID number.
  • a hash function is defined so that the probability that two person ID numbers have the same fingerprint is very small.
  • the hash function is not applied directly to the person identifier number but to a code formed by the concatenation of a prefix (sometimes called a hash key) and this identifier number. belongs to nobody.
  • This solution avoids any so-called dictionary attack.
  • a first piece of equipment which has collected sets of information relating to a person, obtains, from a prefix, a particular code for each person whose sets of information have been collected.
  • a second device which is not aware of this prefix, can not regenerate this code from the identifier number of this person because he does not know this prefix. This second equipment can not therefore obtain a fingerprint relative to an ID number of a person that is identical to that generated by the first equipment and can not go back to the identity of this person.
  • This type of method therefore imposes the use by the information equipment of the same prefix each time the sets of information collected by these information equipment must be put in relation to each other.
  • This constraint goes against the limitation of fraudulent access by remote information equipment to the collection of information sets because it is sufficient for this information equipment to know this prefix to access (by dictionary attack) sets of information collected by all information facilities that use this prefix.
  • This encryption function allows equipment that has collected sets of information to be able to protect their access to any other remote device by keeping the encryption key secret. Access is thus restricted even to equipment that uses the same encryption key.
  • This encryption function can also be used to secure the transmissions between equipments since, for example, a person identification number must be transmitted by a device, for example a collector, to another equipment, for example central. Again access to fingerprints of person ID numbers is limited to equipment that knows the encryption key used.
  • the present invention relates to a method of relating together sets of information relating to the same person among a plurality of sets of information relating to several persons, each set of information associated with a person ID number imprint from a person ID number.
  • this method comprises the following steps performed in the or each piece of information equipment hosting the databases in which the said sets of information are stored:
  • the first key which depends on the person identification number from which the fingerprint is issued, in order to obtain an encrypted fingerprint
  • Double encryption (of the fingerprint and the first key) makes it possible to increase the robustness of the process against possible dictionary attacks because only the knowledge of these two keys (first and second) makes it possible to go back to the fingerprint of person ID number. This means that only duly authorized equipment can access the fingerprint used to link sets of information. Thus, from the knowledge of these two keys, the process finds fingerprints and uses them to link sets of information, for example for statistical purposes.
  • the first key is the result of the application of a hash function on a person identifier number fingerprint.
  • This embodiment further increases the security of access to the person ID numbers because it introduces a second hashing step in the method that is related to the person ID number.
  • the hash function used for these two hash functions is preferably the same which facilitates the implementation of the method compared to the use of different hashing methods, on the one hand, to "anonymize” the number of person identifier and, secondly, to "obtain the first key from a person ID number.
  • a fingerprint associated with a set of information is the result of the application of a hash function on a code obtained by concatenation of a prefix followed by a person identifier number.
  • the first key is a public key of an asymmetric encryption method.
  • This embodiment makes it possible to have different keys for encryption and decryption, which increases the communication security of the encryption keys between devices.
  • the invention also relates to a computer program, which can be stored on a medium and / or downloaded from a communication network, in order to be read by a computer system or a processor.
  • This computer program includes instructions for implementing either the steps of the aforementioned method that are implemented in information equipment, or the process steps that are implemented in a central equipment, when said program is executed by the computer system or the processor.
  • the invention also relates to storage means comprising such a computer program.
  • the present invention relates to information equipment which comprises means for implementing the steps of encryption and transmission of the method and a center equipment which comprises means for implementing the steps of decryption and linking the process.
  • Fig. 1 is a diagram of the steps of the method of relating together sets of information relating to the same person according to the present invention.
  • Fig. 2 is a diagram illustrating a system for chaining sets of information relating to persons using the method of FIG. 1.
  • FIG. 3 schematically illustrates the architecture of the communications equipment implementing the method of FIG. 1.
  • FIG. 1 is schematically represented a diagram of the steps of the method according to the invention of linking together sets of information relating to the same person among a plurality of sets of information relating to several people. These steps are implemented, on the one hand, in an information equipment Ei and, on the other hand, in a central equipment Ec. Each information device is intended to store a set of information that is associated with a fingerprint issued from a PIN number. Two sets of information are related, according to the method, when the fingerprints associated with them correspond or even are identical. This association is performed in the central equipment Ec after the one has received from at least one equipment Ei an encrypted associated fingerprint and a first key encrypted by a second key, as explained below.
  • a fingerprint of person ID numbers also called simply fingerprint, associated with a set information, and noted DH (NIP) is the result of applying a hash function on a PIN person ID number.
  • a DH (NIP) fingerprint is the result of the application of a hash function on a code obtained by concatenation of a prefix followed by a PIN number.
  • a fingerprint denoted DH (NIP)
  • NIP DH
  • NIP hash function
  • This variant is particularly effective in limiting the possibility for equipment involved during a statistical analysis of the information collected by different equipment to be able to go up to the anonymized person identification number because only a limited number of equipment can know the first prefix and an even more limited number can know both prefixes.
  • the hash function used implements an algorithm of the SHA (Secure Hash Algorithm) family that can be found for example on the site (http // en.wikipedia.org / wiki / SHA_hash unctions).
  • SHA Secure Hash Algorithm
  • the method further includes a step 3 of encrypting each DH (NIP) fingerprint with a key lk.
  • This key lk called the first key, is obtained in step 2 of the method from the PIN person identifier number from which the DH (NIP) fingerprint is issued or directly from the DH fingerprint (PIN ) as shown in FIG. 1, for example, by applying a hash function.
  • the method further comprises a step 4 of encrypting the first key lk with another key Pw, said second key.
  • Steps 3 and 4 are implemented in an information equipment Ei.
  • the method further comprises, implemented in a central equipment Ec, a decryption step 5, from the encrypted key C (Pw, lk) transmitted by an information device Ei, of the first key with the second key Pw and a decryption step 6, from the transmitted encrypted footprint C (lk; DH (NIP)) by the same information equipment Ei, the identifier number DH (NIP) with the first key lk obtained after decryption in step 5.
  • Fig. 2 is a diagram illustrating a system for chaining sets of information relating to persons using the method of FIG. 1.
  • each information equipment E i has collected sets of information relating to J persons identified by their personal identifier numbers NIPj and therefore by their fingerprints DH (NIPj).
  • the equipment El respectively E2, knows, beforehand, a first encryption key denoted 1k1, respectively lk2, and a second key Pw1, respectively Pw2.
  • the central equipment EC knows, beforehand, the two keys Pwl and Pw2.
  • the equipment El does not know the key lk2 nor the key Pw2 and in the same way the equipment E2 does not know either the key 1k1 or the key PW1 and this in order to secure the system against dictionary attacks .
  • Two pieces of information Ei can know and use the same key PWi. This is the case, for example in the field of health, where the sets of information of people are collected by two pieces of information for the same epidemiological study for example which is associated with a single specific PWi key. However, even in this case, two devices Ei can never know the encryption key lki used by another remote device.
  • an information equipment Ei Once an information equipment Ei has collected its information sets Ei, it transmits to the central equipment EC the associated encrypted footprint C (lki; DH (NIPj)) to each of these sets of information.
  • This encrypted footprint is thus obtained, according to an embodiment of the method explained above, by hashing the PIN number and then encrypting by means of the key lki. Other methods for obtaining the impression are of course possible without departing from the scope of the present application.
  • the sets of information remain, in turn, stored by the information equipment Ei who collected them.
  • the central equipment EC is then able, for each of these sets of information to decrypt each first key lki received from a second key Pwi, known beforehand, and then decrypt each encrypted footprint C (lki; NIPj)) received from a first key lki thus decrypted and thus obtain the fingerprint DH (NIPj).
  • the central equipment EC is then able to retrieve the fingerprints of person identifier numbers DH (NIPj) which are associated with the different sets of information transmitted by the equipment Ei, to compare these number fingerprints with each other. identifying a person and connecting two sets of information to each other when their associated DH ID (NIPj) fingerprints match or are identical.
  • the advantage of this method is to allow the chaining of sets of information that are stored in information equipment comprising remote databases and which are related to the same person while ensuring the confidentiality of this information.
  • Each piece of information equipment Ei will store the information sets of each person with a PIN person identifier number and create an associated encrypted fingerprint C (lki; DH (NIPj)) of its own. It is therefore impossible for equipment to decrypt and thus find the person ID numbers and thus find the person who is associated with this information dictionary attack.
  • the EC central equipment that knows the decryption keys could go back to the identities of the people from the encrypted person ID number fingerprints but could not make the link between these people and the sets of information collected because these Sets of information remain stored on the information equipment Ei which collected them and are therefore not accessible to this central equipment EC.
  • the first key lki is a public key of an asymmetric encryption method.
  • This embodiment makes it possible to have different keys for encryption and decryption, which increases the security of the encryption method because the public key (corresponding to a key Pwi) is then known only equipment Ei which in need to encrypt their fingerprints of person ID numbers.
  • the decryption of the collected information sets that are stored by the different information equipment Ei is then possible only if these devices know the private key that corresponds to the public key Pwi and encrypted person identifier numbers fingerprints received by the EC equipment are then decrypted by this equipment only if he knows this private key.
  • This embodiment therefore prevents information equipment Ei from being able to exchange decryption keys and thus facilitates access control to these decryption keys compared to the use of secret keys.
  • the time to encrypt the person ID numbers is relatively small and the encryption / decryption of these numbers is not a predominant criterion, it is preferable to use this embodiment rather than a symmetric key encryption method.
  • Fig. 3 schematically illustrates the architecture of information equipment Ei or central equipment implementing the method of FIG. 1.
  • the communication equipment 300 comprises, connected by a communication bus 306:
  • processors a processor, micro-processor, microcontroller (denoted ⁇ ) or CPU (Central Processing Unit in English or Central Processing Unit in French) 301;
  • Random Access Memory in English or Random Access Memory in French
  • a 305 medium storage drive such as a SD card reader (Secure Digital Card in English or Secured Digital Card in French);
  • interface means 303 with a communication network, such as for example an Internet-type network;
  • human-machine interface means 304 allowing, for example, to manage a touch screen and / or a set of keys.
  • the microcontroller 301 is capable of executing instructions loaded into the RAM 307 from the ROM 302, an external memory (not shown), a storage medium, such as an SD card or the like, or a communication network. When the device 300 is turned on, the microcontroller 300 is able to read instructions from RAM 307 and execute them. These instructions form a computer program that causes the implementation by the microcontroller 301 of all or part of the methods described below in relation to FIGS. 1 and 2. All or part of the methods described above in relation to FIGS.
  • 1 and 2 may be implemented in software form by executing a set of instructions by a programmable machine, such as a DSP (Digital Signal Processor in English or Digital Signal Processing Unit in French) or a microcontroller, such as the microcontroller 301, or be implemented in hardware form by a machine or a dedicated component, such as an FPGA (Field-Programmable Gate Array in English or Programmable Gate Matrix on Field in French) or an ASIC (Application-Specific Integrated Circuit in English or Integrated Circuit Specific to an Application in French).
  • a programmable machine such as a DSP (Digital Signal Processor in English or Digital Signal Processing Unit in French) or a microcontroller, such as the microcontroller 301, or be implemented in hardware form by a machine or a dedicated component, such as an FPGA (Field-Programmable Gate Array in English or Programmable Gate Matrix on Field in French) or an ASIC (Application-Specific Integrated Circuit in English or Integrated Circuit Specific to an Application in French).
  • the microcontrollers 301 and the RAMs 307 and ROM 302 cooperate with each other to form encryption means of a fingerprint ID of a person identifier DH (NIP) with a key lk, and to form encryption means of the first key lk with another key Pw.
  • NIP person identifier DH
  • the microcontrollers 301 and the RAMs 307 and ROM 302 cooperate with each other to form means for decrypting a first key which depends on a fingerprint of the person identification number with another key, and to form means for decrypting an identifier number fingerprint with the first key thus decrypted.
  • These encryption means are required for the implementation of the method by the communication equipment 300.
  • the microcontrollers 301 and the RAMs 307 and ROMs 302 also cooperate with each other to form means for connecting sets of information relating to the same person when the associated person ID numbers are associated. to each of these sets are identical.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

La présente invention concerne un procédé de mise en relation entre eux d'ensembles d'informations relatifs à une même personne parmi une pluralité d'ensembles d'informations relatifs à plusieurs personnes, chaque ensemble d'informations étant associé à une empreinte de numéro d'identifiant de personne (DH(NIP)) issue d'un numéro d'identifiant de personne (NIP), caractérisé en ce qu'il comporte les étapes suivantes effectuées dans le ou chaque équipement d'informations (Ei) hébergeant les bases de données dans lesquelles sont stockés lesdits ensembles d'informations : -chiffrement (3) de chaque empreinte (DH(NIPj)) avec une clé (lki), dite première clé, qui dépend du numéro d'identifiant de personne (NIPj) à partir duquel l'empreinte est issue, afin d'obtenir une empreinte chiffrée (C(lki;DH(NIPj)), -chiffrement (4) de la première clé (lki) avec une autre clé (Pwi), dite seconde clé, afin d'obtenir une clé chiffrée (C(PWi, lki)), -transmission audit équipement central (Ec) d'une part, de l'empreinte chiffrée (C(lki;DH(NIPj)) et, d'autrepart, de la clé chiffrée (C(PWi, lki)), ainsi que les étapes suivantes effectuées dans ledit équipement central (Ec) dédié à la mise en relation : -déchiffrement (5) de chacune des clés chiffrées (C(PWi, lki)) au moyen de la seconde clé (PWi) afin d'obtenir la première clé (lki), et -déchiffrement (6) de chaque empreinte chiffrée (C(lki;DH(NIPj)) au moyen de la première clé (lki) ainsi déchiffrée afin d'obtenir ladite empreinte (DH(NIPj) de chaque ensemble d'informations, -mise en relation de deux ensembles d'informations lorsque les empreintes (DH(NIPj) qui leur sont associées correspondent.

Description

Procédé et système de mise en relation entre eux d'ensembles d'informations relatifs à une même personne
La présente invention concerne un procédé de mise en relation entre eux d'ensembles d'informations relatifs à une même personne. Elle concerne aussi des équipements d'informations et central prévus pour la mise en œuvre de ce procédé ainsi qu'un système de chaînage entre eux d'ensembles d'informations mémorisés dans des bases de données qui utilise ce procédé de mise en relation et un programme d'ordinateur.
Il est de plus en plus fréquent de vouloir mettre en relation (croiser) entre elles des informations relatives à une même personne afin de dégager des tendances de consommation ou d'usage et autres statistiques et ce, notamment, dans le domaine social ou de la santé.
Il n'est pas rare, en particulier dans le domaine de la santé, que des ensembles d'informations relatifs à un patient soient collectés et mémorisés dans des bases de données hébergées par plusieurs équipements d'informations distants et que l'on veuille mettre en relation ces ensembles d'informations relatifs à une même personne pour connaître, par exemple, ses habitudes de consommation, faire des suivis de traitements, ou encore calculer des statistiques concernant une étude épidémio logique réalisée par plusieurs établissements etc. La mise en relation de ces ensembles d'informations permet le chaînage de bases de données qui permet de questionner ces bases de données pour récupérer toutes les informations relatives à une même personne.
Mettre en relation entre eux ces ensembles d'informations nécessite que ces ensembles soient identifiés comme étant relatifs à une même personne. Le numéro d'identifiant de personne (NIP ou encore PIN en anglais pour Personal Identification Number) est habituellement utilisé à cet effet. Ainsi, les numéros d'identifiant de personne associés aux ensembles d'informations collectés par les différents équipements distants sont comparés entre eux et, dès que deux numéros sont identiques, les ensembles associés sont mis en relation car ils sont relatifs à une même personne.
Ce type de procédé de mise en relation d'ensembles d'informations ne peut être mis en œuvre aussi simplement en pratique car il n'est pas envisageable de laisser à un quelconque équipement la possibilité, d'une part, de pouvoir mettre en relation des informations confidentielles relatives à une même personne et, d'autre part, de pouvoir remonter jusqu'à l'identité de cette personne.
En d'autres termes, le problème résolu par la présente invention est de définir un procédé qui permette de mettre en relation entre eux des ensembles d'informations confidentielles d'une personne, notamment à des fins d'exploitation statistique tout en préservant l'anonymat de ces personnes.
A cet effet, il est connu des procédés qui combinent des fonctions de hachage et de chiffrement par clé pour des applications à caractère médical (Quantin C, Bouzelat H., Allaert FA., Benhamiche AM., Faivre J., Dusserre L. Automatic record hash coding and linkage for epidemiological follow-up data confidentiality. Methods Inf
Med 1998;37:271-7) ou encore (Blakely T., Woodward A., Salmond C. Anonymous linkage of New Zealand mortality and Census data. Aust N Z J Public Health
2000;24:92-5) ou encore (Churches T., Christen P. Some methods for blindfolded record linkage. BMC Med Inform Decis Mak. 2004;28:4-9). Par la suite, le terme de chiffrement est synonyme du terme cryptage aussi utilisé dans la littérature.
Dans ces procédés, la fonction de hachage transforme le numéro d'identifiant de personne en une valeur de hachage unique de longueur réduite appelée empreinte.
Cette empreinte sert à identifier rapidement une personne sans pour autant pouvoir remonter jusqu'à son numéro d'identifiant et donc jusqu'à son identité. Cette empreinte est souvent aussi appelée numéro d'identifiant de personne anonymisé. Une fonction de hachage est définie pour que la probabilité que deux numéros d'identifiant de personne aient la même empreinte soit très faible.
Dans certains de ces procédés, la fonction de hachage n'est pas appliquée directement sur le numéro d'identifiant de personne mais sur un code formé par la concaténation d'un préfixe (parfois appelé clé de hachage) et de ce numéro d'identifiant de personne. Cette solution évite toute attaque dite par dictionnaire. En effet, un premier équipement, qui a collecté des ensembles d'informations relatifs à une personne, obtient, à partir d'un préfixe, un code particulier pour chaque personne dont des ensembles d'informations ont été collectés. Par contre, un second équipement, qui n'a pas connaissance de ce préfixe, ne peut régénérer ce code à partir du numéro d'identifiant de cette personne car il ne connaît pas ce préfixe. Ce second équipement ne peut donc obtenir une empreinte relative à un numéro d'identifiant d'une personne qui soit identique à celle générée par le premier équipement et ne peut donc remonter jusqu'à l'identité de cette personne.
Ce type de procédé impose donc l'utilisation par les équipements d'informations d'un même préfixe chaque fois que les ensembles d'informations collectés par ces équipements d'informations doivent être mis en relation entre eux. Cette contrainte va à l'encontre de la limitation de l'accès frauduleux par un équipement d'informations distant aux ensembles d'informations collectés car il suffit à cet équipement d'informations de connaître ce préfixe pour accéder (par attaque de dictionnaire) aux ensembles d'informations collectés par tous les équipements d'informations qui utilisent ce préfixe.
D'où l'utilisation dans ces procédés d'une fonction de chiffrement par clé qui permet de limiter l'accès aux numéros d'identifiant de personne ainsi anonymisés par hachage. Cette fonction de chiffrement permet à un équipement qui aurait collecté des ensembles d'informations de pouvoir protéger leurs accès à tout autre équipement distant en gardant secret la clé de chiffrement. L'accès est ainsi restreint même aux équipements qui utilisent une même clé de chiffrage. Cette fonction de chiffrement peut également être utilisée pour sécuriser les transmissions entre équipements dès lors, par exemple, qu'un numéro d'identifiant de personne doit être émis par un équipement, par exemple collecteur, à destination d'un autre équipement, par exemple central. Là encore l'accès aux empreintes de numéros d'identifiant de personne est limité aux équipements qui connaissent la clé de chiffrement utilisée.
Ces procédés de mise en relation d'ensembles d'informations utilisent, le plus souvent, un équipement central qui demande aux équipements d'informations qui ont collecté ces ensembles d'informations, de lui envoyer les empreintes chiffrées des personnes pour lesquelles ils mémorisent des ensembles d'informations. Chaque équipement d'informations utilise une clé de chiffrement particulière qui permet à cet équipement de limiter l'accès aux ensembles d'informations qu'il mémorise. L'équipement central est alors en capacité de déchiffrer les empreintes chiffrées qui sont émises par les équipements d'informations car il connaît les clés de déchiffrement relatives à chacun de ces équipements collecteurs. L'équipement central peut alors mettre en relation des empreintes déchiffrées mais est le seul à pouvoir le faire car les équipements d'informations ne connaissent que ces clés de déchiffrement.
Pour résoudre le problème technique ci-dessus, la présente invention concerne un procédé de mise en relation entre eux d'ensembles d'informations relatifs à une même personne parmi une pluralité d'ensembles d'informations relatifs à plusieurs personnes, chaque ensemble d'informations étant associé à une empreinte de numéro d'identifiant de personne issue d'un numéro d'identifiant de personne.
Selon l'invention, ce procédé comporte les étapes suivantes effectuées dans le ou chaque équipement d'informations hébergeant les bases de données dans lesquelles sont stockés lesdits ensembles d'informations :
- chiffrement de chaque empreinte avec une clé, dite première clé, qui dépend du numéro d'identifiant de personne à partir duquel l'empreinte est issue, afin d'obtenir une empreinte chiffrée,
- chiffrement de la première clé avec une autre clé, dite seconde clé, afin d'obtenir une clé chiffrée,
- transmission audit équipement central d'une part, de l'empreinte chiffrée et, d'autre part, de la clé chiffrée,
ainsi que les étapes suivantes effectuées dans ledit équipement central dédié à la mise en relation :
- déchiffrement de chacune des clés chiffrées au moyen de la seconde clé afin d'obtenir la première clé, et
- déchiffrement de chaque empreinte chiffrée au moyen de la première clé ainsi déchiffrée afin d'obtenir ladite empreinte de chaque ensemble d'informations, - mise en relation de deux ensembles d'informations lorsque les empreintes qui leur sont associées correspondent.
Le double chiffrement (de l'empreinte et de la première clé) permet d'augmenter la robustesse du procédé contre d'éventuelles attaques de dictionnaire car seule la connaissance de ces deux clés (première et seconde) permet de remonter à l'empreient de numéro d'identifiant de personne. Cela signifie que seuls les équipements dûment autorisés peuvent accéder à l'empreinte qui sert à la mise en relation des ensembles d'informations. Ainsi, à partir de la connaissance de ces deux clés, le procédé retrouve les empreintes et les utilise pour mettre en relation des ensembles d'informations, par exemple à des fins d'exploitation statistique.
Selon un mode de réalisation, la première clé est le résultat de l'application d'une fonction de hachage sur une empreinte de numéro d'identifiant de personne.
Ce mode de réalisation permet d'augmenter encore la sécurité d'accès aux numéros d'identifiant de personne car il introduit une seconde étape de hachage dans le procédé qui est relatif au numéro d'identifiant de personne.
De plus, la fonction de hachage utilisée pour ces deux fonctions de hachage est de préférence la même ce qui facilite la mise en œuvre du procédé comparé à l'utilisation de méthodes de hachage différentes, d'une part, pour "anonymiser" le numéro d'identifiant de personne et, d'autre part, pour "obtenir la première clé à partir d'un numéro d'identifiant de personne.
Selon un mode de réalisation, une empreinte associée à un ensemble d'informations est le résultat de l'application d'une fonction de hachage sur un code obtenu par concaténation d'un préfixe suivi d'un numéro d'identifiant de personne.
Selon un mode de réalisation, la première clé est une clé publique d'une méthode de chiffrement asymétrique.
Ce mode de réalisation permet d'avoir des clés différentes pour le chiffrement et le déchiffrement, ce qui augmente la sécurité de communication des clés de chiffrement entre équipements.
L'invention concerne également un programme d'ordinateur, qui peut être stocké sur un support et/ou téléchargé d'un réseau de communication, afin d'être lu par un système informatique ou un processeur. Ce programme d'ordinateur comprend des instructions pour implémenter, soit les étapes du procédé mentionné ci-dessus qui sont mises en œuvre dans un équipement d'informations, soit les étapes du procédé qui sont mises en œuvre dans un équipement centrale, lorsque ledit programme est exécuté par le système informatique ou le processeur. L'invention concerne également des moyens de stockage comprenant un tel programme d'ordinateur.
Selon ses aspects matériels, la présente invention concerne des équipements d'informations qui comportent des moyens pour la mise en œuvre des étapes de chiffrement et de transmission du procédé ainsi qu'un équipement centre qui comporte des moyens pour la mise en œuvre des étapes de déchiffrement et de mise en relation du procédé.
Enfin, il concerne également un système de chaînage d'ensembles d'informations qui comportent ces différents équipements.
Les caractéristiques de l'invention mentionnées ci-dessus, ainsi que d'autres, apparaîtront plus clairement à la lecture de la description suivante d'un exemple de réalisation, ladite description étant faite en relation avec les dessins joints, parmi lesquels:
La Fig. 1 représente un diagramme des étapes du procédé de mise en relation entre eux d'ensembles d'informations relatifs à une même personne selon la présente invention.
La Fig. 2 représente un schéma illustrant un système de chaînage d'ensembles d'informations relatifs à des personnes qui utilisent le procédé de la Fig. 1.
La Fig. 3 illustre schématiquement l'architecture des équipements de communications mettant en œuvre le procédé de la Fig. 1.
A la Fig. 1 est représenté schématiquement un diagramme des étapes du procédé selon l'invention de mise en relation entre eux d'ensembles d'informations relatifs à une même personne parmi une pluralité d'ensembles d'informations relatifs à plusieurs personnes. Ces étapes sont mises en œuvre, d'une part, dans un équipement d'informations Ei et, d'autre part, dans un équipement central Ec. Chaque équipement d'informations est destiné à stocker un ensemble d'informations qui est associé à une empreinte issue d'un numéro d'identifiant de personne NIP. Deux ensembles d'informations sont mis en relation, selon le procédé, lorsque les empreintes qui leur sont associées correspondent, voire sont identiques. Cette association est réalisée dans l'équipement central Ec après que celui a reçu d'au moins un équipement Ei une empreinte associée chiffrée ainsi que une première clé chiffrée par une seconde clé, comme cela est expliqué ci-dessous.
Selon un mode de réalisation, une empreinte de numéros d'identifiant de personne, encore appelée simplement empreinte, associée à un ensemble d'informations, et notée DH(NIP), est le résultat de l'application d'une fonction de hachage sur un numéro d'identifiant de personne NIP.
Selon un autre mode de réalisation, une empreinte DH(NIP) est le résultat de l'application d'une fonction de hachage sur un code obtenu par concaténation d'un préfixe suivi d'un numéro d'identifiant de personne NIP.
Selon une variante de ce mode de réalisation, une empreinte, notée DH(DH(NIP)), est le résultat de l'application d'une fonction de hachage sur un nouveau code obtenu par la concaténation d'un nouveau préfixe suivie de la précédente empreinte DH(NIP).
Cette variante est particulièrement efficace pour limiter la possibilité à des équipements intervenant au cours d'une analyse statistique des informations collectées par des équipements différents de pouvoir remonter jusqu'au numéro d'identifiant de personne anonymisé car seul un nombre restreint d'équipements peut connaître le premier préfixe et un nombre encore plus limité peut connaître les deux préfixes.
Selon un mode de réalisation, la fonction de hachage utilisée met en œuvre un algorithme de la famille SHA (Secure Hash Algorithm en anglais) que l'on peut trouver par exemple sur le site (http//en.wikipedia.org/wiki/SHA_hash unctions).
Le procédé comporte, de plus, une étape 3 de chiffrement de chaque empreinte DH(NIP) avec une clé lk. Cette clé lk, dite première clé, est obtenue à l'étape 2 du procédé à partir du numéro d'identifiant de personne NIP à partir duquel l'empreinte DH(NIP) est issue ou directement à partir de l'empreinte DH(NIP) comme cela est illustré à la Fig. 1, par exemple, par l'application d'une fonction de hachage.
Le procédé comporte, de plus, une étape 4 de chiffrement de la première clé lk avec une autre clé Pw, dite seconde clé.
Les étapes 3 et 4 sont mises en œuvre dans un équipement d'informations Ei.
Le procédé comporte encore, mises en œuvre dans un équipement central Ec, une étape 5 de déchiffrement, à partir de la clé chiffrée C(Pw,lk) transmise par un équipement d'informations Ei, de la première clé avec la seconde clé Pw et une étape 6 de déchiffrement, à partir de l'empreinte chiffrée transmise C(lk;DH(NIP)) par le même équipement d'informations Ei, du numéro d'identifiant DH(NIP) avec la première clé lk obtenue après déchiffrement à l'étape 5.
L'équipement central Ec est quant à lui prévu pour mettre en œuvre une étape de mise en relation de deux ensembles d'informations lorsque les empreintes qui leur sont associées correspondent, voire sont identiques. La Fig. 2 représente un schéma illustrant un système de chaînage d'ensembles d'informations relatifs à des personnes qui utilisent le procédé de la Fig. 1.
Ici, deux équipements d'informations El et E2, par exemple distants, sont reliés à un même équipement central EC. Les équipements El, E2 et EC sont pourvus de moyens leur permettant d'échanger de manière bidirectionnelle des signaux porteurs d'informations via un réseau de communication filaire ou pas, par exemple Internet. Supposons que chaque équipement d'informations Ei ait collecté des ensembles d'informations relatifs à J personnes identifiées par leurs numéros d'identifiants personnalisés NIPj et donc, par leurs empreintes DH(NIPj).
L'équipement El, respectivement E2, connaît, au préalable, une première clé de chiffrement notée 1kl, respectivement lk2, et une seconde clé Pwl, respectivement Pw2. L'équipement central EC connaît quant à lui, au préalable, les deux clés Pwl et Pw2. Par contre, l'équipement El ne connaît pas ni la clé lk2 ni la clé Pw2 et de la même manière l'équipement E2 ne connaît pas ni la clé 1kl ni la clé PWl et ce afin de sécuriser le système contre les attaques de dictionnaire. Deux équipements d'informations Ei peuvent connaître et utiliser la même clé PWi. C'est le cas, par exemple dans le domaine de la santé, où les ensembles d'informations de personnes sont collectés par deux équipements d'informations pour une même étude par exemple épidémiologique à laquelle est associée une seule clé PWi spécifique. Cependant, même dans ce cas, deux équipements Ei ne peuvent jamais connaître la clé de chiffrement lki utilisée par un autre équipement distant.
Une fois qu'un équipement d'informations Ei a collecté ses ensembles d'informations Ei, il transmet à l'équipement central EC l'empreinte associée chiffrée C(lki;DH(NIPj)) à chacun de ces ensembles d'informations. Cette empreinte chiffrée est ainsi obtenue, selon un mode de réalisation du procédé exposé ci-dessus, par hachage du numéro d'identifiant de personne NIP puis par chiffrage au moyen de la clé lki. D'autres méthodes pour obtenir l'empreinte sont bien évidemment possibles sans pour autant sortir de la portée de la présente demande.
Les ensembles d'informations restent, quant à eux, mémorisés par les équipements d'informations Ei qui les ont collectés. L'équipement central EC est alors en mesure, pour chacun de ces ensembles d'informations de déchiffrer chaque première clé lki reçue à partir d'une seconde clé Pwi, connue au préalable, puis de déchiffrer chaque empreinte chiffrée C(lki;DH(NIPj)) reçu à partir d'une première clé lki ainsi déchiffrée et ainsi obtenir l'empreinte DH(NIPj). L'équipement central EC est donc alors en mesure de récupérer les empreintes de numéros d'identifiant de personne DH(NIPj) qui sont associés aux différents ensembles d'informations émis par les équipements Ei, de comparer entre eux ces empreintes de numéro d'identifiant de personne et de mettre en relation entre eux deux ensembles d'informations lorsque les empreintes de numéro d'identifiant de personne DH(NIPj) qui leur sont associées correspondent, voire sont identiques.
L'intérêt de ce procédé est de permettre le chaînage d'ensembles d'informations qui sont mémorisées dans des équipements d'informations comprenant des bases de données distantes et qui sont relatives à une même personne tout en assurant la confidentialité de ces informations. Chaque équipement d'informations Ei va, en effet, stocker les ensembles d'informations de chaque personne avec un numéro d'identifiant de personne NIP et créer une empreinte associée chiffrée C(lki;DH(NIPj)) qui lui est propre. Il est donc impossible à un équipement de déchiffrer et donc de retrouver les numéros d'identifiant de personne et ainsi retrouver la personne à qui sont associées ces informations par attaque de dictionnaire. De plus, l'équipement central EC qui connaît les clés de déchiffrement pourrait remonter aux identités des personnes à partir des empreintes de numéro d'identifiant de personne chiffrées mais ne pourraient faire le lien entre ces personnes et les ensembles d'informations collectées car ces ensembles d'informations restent mémorisés sur les équipements d'informations Ei qui les ont collectés et ne sont donc pas accessibles à cet équipement central EC.
Les procédés et systèmes ont été décrits ci-dessus en utilisant des méthodes de chiffrement par clés symétriques, c'est-à-dire que la même clé est utilisée pour le chiffrement et le déchiffrement. Ces méthodes permettent de chiffrer rapidement les empreintes de numéro d'identifiant de personne comparé au temps mis par des méthodes de chiffrement par clés asymétriques, c'est-à-dire que la clé de chiffrement, dite privée, est différente de la clé de déchiffrement, dite publique.
Selon un mode de réalisation, la première clé lki est une clé publique d'une méthode de chiffrement asymétrique.
Ce mode de réalisation permet d'avoir des clés différentes pour le chiffrement et le déchiffrement, ce qui augmente la sécurité de la méthode de chiffrement car la clé publique (correspondant à une clé Pwi) n'est alors connue que des équipements Ei qui en ont besoin pour chiffrer leurs empreintes de numéros d'identifiant de personne. Le déchiffrement des ensembles d'informations collectés qui sont mémorisés par les différents équipements d'information Ei n'est alors possible que si ces équipements connaissent la clé privée qui correspond à la clé publique Pwi et les empreientes de numéro d'identifiant de personne chiffrées reçues par l'équipement EC sont alors déchiffrées par cet équipement uniquement s'il connaît cette clé privée.
Ce mode de réalisation évite donc aux équipements d'informations Ei de pouvoir s'échanger des clés de déchiffrement et facilite ainsi le contrôle d'accès à ces clés de déchiffrement comparé à l'utilisation de clés secrètes. De plus, étant donné que le temps pour chiffrer les numéros d'identifiant de personne est relativement faible et que le chiffrement/déchiffrement de ces numéros n'est pas un critère prépondérant, il est préférable d'utiliser ce mode de réalisation plutôt qu'une méthode de chiffrement par clés symétriques.
La Fig. 3 illustre schématiquement l'architecture soit d'équipements d'information Ei, soit d'équipement central mettant en œuvre le procédé de la Fig. 1.
L'équipement de communication 300 comporte, reliés par un bus de communication 306:
- un processeur, micro -processeur, micro contrôleur (noté μο) ou CPU (Central Processing Unit en anglais ou Unité Centrale de Traitement en français) 301;
- une mémoire vive RAM (Random Access Memory en anglais ou Mémoire à Accès Aléatoire en français) 307;
- une mémoire morte ROM (Read Only Memory en anglais ou Mémoire à
Lecture Seule en français) 302;
- éventuellement, un lecteur 305 de médium de stockage, tel qu'un lecteur de carte SD (Secure Digital Card en anglais ou Carte Numérique Sécurisée en français) ;
- des moyens d'interface 303 avec un réseau de communication, comme par exemple un réseau de type Internet ; et
- éventuellement, des moyens d'interface homme-machine 304, permettant, par exemple, de gérer un écran tactile et/ou un ensemble de touches.
Le micro contrôleur 301 est capable d'exécuter des instructions chargées dans la RAM 307 à partir de la ROM 302, d'une mémoire externe (non représentée), d'un support de stockage, tel qu'une carte SD ou autre, ou d'un réseau de communication. Lorsque le dispositif 300 est mis sous tension, le micro contrôleur 300 est capable de lire de la RAM 307 des instructions et de les exécuter. Ces instructions forment un programme d'ordinateur qui cause la mise en œuvre, par le micro contrôleur 301, de tout ou partie des procédés décrits ci-après en relation avec les Figs. 1 et 2. Tout ou partie des procédés décrits ci-dessus en relation avec les Figs. 1 et 2 peut être implémenté sous forme logicielle par exécution d'un ensemble d'instructions par une machine programmable, tel qu'un DSP {Digital Signal Processor en anglais ou Unité de Traitement de Signal Numérique en français) ou un micro contrôleur, tel que le micro contrôleur 301, ou être implémenté sous forme matérielle par une machine ou un composant dédié, tel qu'un FPGA {Field-Programmable Gâte Array en anglais ou Matrice de Portes Programmable sur Champ en français) ou un ASIC {Application-Specific Integrated Circuit en anglais ou Circuit Intégré Spécifique à une Application en français).
Implémentés dans un équipement d'informations Ei, les micro contrôleurs 301 et les RAM 307 et ROM 302 coopèrent entre eux pour former des moyens de chiffrement d'une empreinte de numéro d'identifiant de personne DH(NIP) avec une clé lk, et pour former des moyens de chiffrement de la première clé lk avec une autre clé Pw. Ces moyens de chiffrement sont requis pour la mise en œuvre du procédé par l'équipement de communication 300.
Implémentés dans un équipement central Ec, les micro contrôleurs 301 et les RAM 307 et ROM 302 coopèrent entre eux pour former des moyens de déchiffrement d'une première clé qui dépend d'une empreinte de numéro d'identifiant de personne avec une autre clé, et pour former des moyens de déchiffrement d'un empreinte de numéro d'identifiant avec la première clé ainsi déchiffrée. Ces moyens de chiffrement sont requis pour la mise en œuvre du procédé par l'équipement de communication 300.
Selon un mode de réalisation, les micro contrôleurs 301 et les RAM 307 et ROM 302 coopèrent également entre eux pour former des moyens pour mettre en relation des ensembles d'informations relatifs à une même personne lorsque les numéros d'identifiant de personne qui sont associés à chacun de ces ensembles sont identiques.

Claims

REVENDICATIONS
1) Procédé de mise en relation entre eux d'ensembles d'informations relatifs à une même personne parmi une pluralité d'ensembles d'informations relatifs à plusieurs personnes, chaque ensemble d'informations étant associé à une empreinte de numéro d'identifiant de personne (DH(NIP))) issue d'un numéro d'identifiant de personne (NIP), caractérisé en ce qu'il comporte
les étapes suivantes effectuées dans le ou chaque équipement d'informations (Ei) hébergeant les bases de données dans lesquelles sont stockés lesdits ensembles d'informations :
- chiffrement (3) de chaque empreinte (DH(NIPj)) avec une clé (lki), dite première clé, qui dépend du numéro d'identifiant de personne (NIPj) à partir duquel l'empreinte est issue, afin d'obtenir une empreinte chiffrée (C(lki;DH(NIPj)),
- chiffrement (4) de la première clé (lki) avec une autre clé (Pwi), dite seconde clé, afin d'obtenir une clé chiffrée (C(PWi, lki)),
- transmission audit équipement central (Ec) d'une part, de l'empreinte chiffrée (C(lki;DH(NIPj)) et, d'autre part, de la clé chiffrée (C(PWi, lki)),
ainsi que les étapes suivantes effectuées dans ledit équipement central (Ec) dédié à la mise en relation :
- déchiffrement (5) de chacune des clés chiffrées (C(PWi, lki)) au moyen de la seconde clé (PWi) afin d'obtenir la première clé (lki), et
- déchiffrement (6) de chaque empreinte chiffrée (C(lki;DH(NIPj)) au moyen de la première clé (lki) ainsi déchiffrée afin d'obtenir ladite empreinte (DH(NIPj) de chaque ensemble d'informations,
- mise en relation de deux ensembles d'informations lorsque les empreintes (DH(NIPj) qui leur sont associées correspondent.
2) Procédé selon la revendication 1, dans lequel chaque empreinte (DH(NIPj)) est le résultat de l'application d'une fonction de hachage sur un numéro d'identifiant de personne (NIP). 3) Procédé selon la revendication 1, dans lequel chaque empreinte (DH(NIP)) associée à un ensemble d'informations est le résultat de l'application d'une fonction de hachage sur un code obtenu par concaténation d'un préfixe suivi d'un numéro d'identifiant de personne (NIP).
4) Procédé selon la revendication 1, dans lequel chaque empreinte (DH(DH(NIP))) est le résultat d'une fonction de hachage sur un premier code obtenu par concaténation d'un premier préfixe et d'une autre empreinte (DH(NIP)), elle-même résultat de l'application d'une fonction de hachage sur un second code obtenu par concaténation d'un second préfixe suivi d'un numéro d'identifiant de personne (NIP). 5) Procédé selon une des revendications précédentes, dans lequel ladite première clé (lk) est le résultat de l'application d'une fonction de hachage sur une empreinte de numéro d'identifiant de personne (DH(NIP)).
6) Procédé selon l'une des revendications précédentes, dans lequel la première clé (lk) est une clé publique d'une méthode de chiffrement asymétrique.
7) Equipement d'informations (Ei) hébergeant au moins une base de données dans laquelle est stocké au moins un ensemble d'informations relatif à une personne à laquelle est associée un numéro d'identifiant de personne (NIPj) et une empreinte (DH(NIPj)) qui dépend du numéro d'identifiant de personne (NIPj), caractérisé en ce qu'il comporte
- des moyens de chiffrement de chaque empreinte (DH(NIPj)) avec une clé (lki), dite première clé, qui dépend du numéro d'identifiant de personne (NIPj) à partir duquel ladite empreinte est issue, afin d'obtenir une empreinte chiffrée (C(lki;DH(NIPj)),
- des moyens de chiffrement de la première clé (lki) avec une autre clé (Pwi), dite seconde clé, afin d'obtenir une clé chiffrée (C(PWi, lki)),
- des moyens de transmission à un équipement central (Ec) dédié à la mise en relation entre eux d'ensembles d'informations d'une part, de l'empreinte chiffrée (C(lki;DH(NIPj)) et, d'autre part, de la clé chiffrée (C(PWi, lki)).
8) Equipement central (Ec) dédié à la mise en relation entre eux d'ensembles d'informations mémorisés dans des bases de données hébergées dans au moins un équipement d'informations (Ei) conforme à la revendication 8, une seconde clé (PWi) étant stockée dans ledit équipement central (Ec), caractérisé en ce qu'il comporte
- des moyens de déchiffrement de chacune des clés chiffrées (C(PWi, lki)) transmises par ledit au moins équipement de communication hébergeur au moyen de ladite seconde clé (PWi) afin d'obtenir la première clé (lki), et
- des moyens de déchiffrement de chaque empreinte chiffrée (C(lki;DH(NIPj)) transmises par ledit au moins équipement d'informations (Ei) au moyen de la première clé (lki) ainsi déchiffrée afin d'obtenir ladite empreinte (DH(NIPj) de chaque ensemble d'informations,
- des moyens de mise en relation de deux ensembles d'informations lorsque les empreintes (DH(NIPj) qui leur sont associées correspondent.
9) Système de chaînage d'ensembles d'informations relatifs à des personnes et mémorisés dans des bases de données hébergées par au moins une équipement de communication, caractérisé en ce que ledit au moins équipement de communication est conforme à la revendication 7 et en ce qu'il comporte en outre un équipement dédié à la mise en relation d'ensembles d'informations conforme à la revendication 9.
PCT/EP2012/068789 2011-10-28 2012-09-24 Procede et systeme de mise en relation entre eux d'ensembles d'informations relatifs a une meme personne WO2013060539A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP12761637.3A EP2772003A1 (fr) 2011-10-28 2012-09-24 Procede et systeme de mise en relation entre eux d'ensembles d'informations relatifs a une meme personne

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1159836A FR2982104B1 (fr) 2011-10-28 2011-10-28 Procede et systeme de mise en relation entre eux d'ensembles d'informations relatifs a une meme personne
FR11/59836 2011-10-28

Publications (1)

Publication Number Publication Date
WO2013060539A1 true WO2013060539A1 (fr) 2013-05-02

Family

ID=46880739

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2012/068789 WO2013060539A1 (fr) 2011-10-28 2012-09-24 Procede et systeme de mise en relation entre eux d'ensembles d'informations relatifs a une meme personne

Country Status (3)

Country Link
EP (1) EP2772003A1 (fr)
FR (1) FR2982104B1 (fr)
WO (1) WO2013060539A1 (fr)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002185443A (ja) * 2000-12-11 2002-06-28 Hitachi Ltd 秘密鍵管理方法
US20070185814A1 (en) * 2005-10-18 2007-08-09 Intertrust Technologies Corporation Digital rights management engine systems and methods
WO2008033554A2 (fr) * 2006-09-14 2008-03-20 Highley Robert D Système de sécurité à double accès pour dossiers médicaux
US20100169646A1 (en) * 2008-12-29 2010-07-01 General Instrument Corporation Secure and efficient domain key distribution for device registration

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002185443A (ja) * 2000-12-11 2002-06-28 Hitachi Ltd 秘密鍵管理方法
US20070185814A1 (en) * 2005-10-18 2007-08-09 Intertrust Technologies Corporation Digital rights management engine systems and methods
WO2008033554A2 (fr) * 2006-09-14 2008-03-20 Highley Robert D Système de sécurité à double accès pour dossiers médicaux
US20100169646A1 (en) * 2008-12-29 2010-07-01 General Instrument Corporation Secure and efficient domain key distribution for device registration

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
BLAKELY T.; WOODWARD A.; SALMOND C.: "Anonymous linkage of New Zealand mortality and Census data", AUST N Z J PUBLIC HEALTH, vol. 24, 2000, pages 92 - 5
C. QUANTIN ET AL: "Automatic Record Hash Coding and Linkage for Epidemiological Follow-up Data Confidentiality", METHODS OF INFORMATION IN MEDICINE, vol. 37, 1 January 1998 (1998-01-01), DE, pages 271 - 277, XP009143243, ISSN: 0026-1270 *
CHURCHES T.: "Christen P. Some methods for blindfolded record linkage", BMC MED INFORM DECIS MAK, vol. 28, 2004, pages 4 - 9
QUANTIN C.; BOUZELAT H.; ALLAERT FA.; BENHAMICHE AM.; FAIVRE J.; DUSSERRE L.: "Automatic record hash coding and linkage for epidemiological follow-up data confidentiality", METHODS INF MED, vol. 37, 1998, pages 271 - 7, XP009143243

Also Published As

Publication number Publication date
FR2982104B1 (fr) 2014-06-20
FR2982104A1 (fr) 2013-05-03
EP2772003A1 (fr) 2014-09-03

Similar Documents

Publication Publication Date Title
US9485096B2 (en) Encryption / decryption of data with non-persistent, non-shared passkey
EP3446436B1 (fr) Procédé d'obtention par un terminal mobile d'un jeton de sécurité
EP2614458B1 (fr) Procede d'authentification pour l'acces a un site web
US20030210791A1 (en) Key management
FR2919974A1 (fr) Systeme d'information et procede d'identification par un serveur d'application d'un utilisateur
EP1293062B1 (fr) Procede d'authentification / identification biometrique securise , module de saisie et module de verification de donnees biometriques
CA2895189C (fr) Signature de groupe utilisant un pseudonyme
WO2019129842A1 (fr) Procédé et système d'activation cryptographique d'une pluralité d'équipements
FR3027753A1 (fr) Procede d'authentification d'un utilisateur detenant un certificat biometrique
WO2018211026A1 (fr) Procede de securisation d'une communication sans gestion d'etats
CA3142763A1 (fr) Procede de chiffrement et de stockage de fichiers informatiques et dispositif de chiffrement et de stockage associe.
EP3732849B1 (fr) Procédé et système d'identification de terminal d'utilisateur pour la réception de contenus multimédia protégés et fournis en continu
FR2951842A1 (fr) Identification par controle de donnees d'utilisateur
FR3075423A1 (fr) Technique de protection d'une cle cryptographique au moyen d'un mot de passe utilisateur
EP3758322A1 (fr) Procédé et système de génération de clés de chiffrement pour données de transaction ou de connexion
EP2919412B1 (fr) Procédé et système de chiffrement/déchiffrement de données à clé distante et vérification préalable de jeton
EP1538508A1 (fr) Procédé et dispositif de chiffrement et dechiffrement à la volée
FR3057122A1 (fr) Procede et dispositif de detection d'intrusions sur un reseau utilisant un algorithme de chiffrement homomorphe
EP2772003A1 (fr) Procede et systeme de mise en relation entre eux d'ensembles d'informations relatifs a une meme personne
FR3079989A1 (fr) Procédés, dispositifs et programmes d'ordinateur pour le chiffrement et le déchiffrement de données pour la transmission ou le stockage de données
EP2149220A2 (fr) Protection d'execution d'un calcul cryptographique
EP3863219A1 (fr) Procédé et dispositif d'évaluation de correspondance d'ensembles de données structurées protégées par le chiffrement
EP3266148B1 (fr) Dispositif et procédé d'administration d'un serveur de séquestres numériques
CN108173828B (zh) 数据传输方法、装置及存储介质
EP2807793A1 (fr) Procede d'authentification d'un dispositif comprenant un processeur et une carte a puce par generation d'un motif

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12761637

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2012761637

Country of ref document: EP