FR3124341A1 - Procédé et ensemble permettant à des terminaux utilisateurs d’échanger en toute confidentialité des données personnelles avec une plateforme de serveurs - Google Patents

Procédé et ensemble permettant à des terminaux utilisateurs d’échanger en toute confidentialité des données personnelles avec une plateforme de serveurs Download PDF

Info

Publication number
FR3124341A1
FR3124341A1 FR2106588A FR2106588A FR3124341A1 FR 3124341 A1 FR3124341 A1 FR 3124341A1 FR 2106588 A FR2106588 A FR 2106588A FR 2106588 A FR2106588 A FR 2106588A FR 3124341 A1 FR3124341 A1 FR 3124341A1
Authority
FR
France
Prior art keywords
identity
data
server
key
user terminals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR2106588A
Other languages
English (en)
Other versions
FR3124341B1 (fr
Inventor
William Godin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
G5 Digital Fr
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to FR2106588A priority Critical patent/FR3124341B1/fr
Priority to PCT/EP2022/066766 priority patent/WO2022268741A1/fr
Publication of FR3124341A1 publication Critical patent/FR3124341A1/fr
Application granted granted Critical
Publication of FR3124341B1 publication Critical patent/FR3124341B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

La présente invention est relative à un procédé et à un ensemble permettant à des terminaux utilisateurs d’échanger des données personnelles avec une plateforme de serveurs dont l’architecture garantit qu’aucun des serveurs qui la composent ne stocke la totalité des données. L’ensemble de serveurs comporte au moins un serveur d’identités, un serveur de clés et un serveur de données. Le procédé comprend les étapes de : Stockage d’informations d’identitésGénération d’une paire de clés associées : clé d’identité et clé de donnéesRecherche des informations d’identités à partir de la clé d’identitéRecherche des données à partir de la clé de données Le procédé et l’ensemble selon l’invention sont particulièrement destinés à la gestion des données de santé, sans toutefois y être limités. Figure pour l’abrégé : [Fig1]

Description

Procédé et ensemble permettant à des terminaux utilisateurs d’échanger en toute confidentialité des données personnelles avec une plateforme de serveurs
La présente invention est relative à un procédé et à un ensemble permettant à des terminaux utilisateurs d’échanger des données personnelles avec une plateforme de serveurs dont l’architecture garantit qu’aucun des serveurs qui la composent ne stocke la totalité des données.
Ils trouvent avantageusement application pour des échanges de données personnelles sensibles, par exemple, mais non limitativement, dans le domaine de la santé (la séparation offerte par l’invention des données d’identité d’une part, et des données médicales d’autre part, garantit la confidentialité du dossier médical).
Classiquement, les applications traitant des données personnelles sont hébergées dans des ressources à distance : le « Cloud » (terminologie anglo-saxonne utilisée dans ce qui suit) – dédié ou public. Ceci permet d’offrir un accès fluide et sans faille à des ressources informatiques externes (capacité de stockage, puissance de traitement, etc.).
Toutefois, ces architectures présentent un défaut majeur : les informations d’identité (nom, prénom, date de naissance, lieu de naissance, etc) auxquelles sont rattachées les données « utiles » de l’application sont directement reliées entre elles au sein de la base de données hébergées. De ce fait, une fuite de données, que celle-ci soit due par exemple à un incident de cyber sécurité, présente un risque majeur immédiat pour la confidentialité des informations les utilisateurs.
Alors qu’il existe des moyens pour chiffrer au repos les données stockées, le risque résiduel lié à la perte de données confidentielles reste élevé dans la mesure ou aucune mesure d’anonymisation de ces données n’est mise en œuvre.
L’invention propose un procédé et un système de communication qui s’inscrit dans une stratégie d’élimination de ce risque résiduel en cloisonnant les données entre différents serveurs, chacun d’eux n’ayant accès qu’à un sous-ensemble de la donnée personnelle ne permettant pas de reconstituer le tout.
Un but de l’invention est de permettre l’utilisation de ressources « Cloud » dédié ou public, en tirant partie de la richesse fonctionnelle et technologiques des services qu’ils proposent, tout en préservant la confidentialité des données personnelles stockées du point de vue de l’hébergeur de chacun des serveurs.
Un autre but de l’invention est d’augmenter son niveau de sécurité global en réduisant la surface d’attaque de chaque serveur et en augmentant significativement la complexité d’une attaque de la plateforme de services implémentant le procédé.
Dans ce procédé, les terminaux utilisateurs peuvent être n’importe quel type de terminal fixe ou mobile, fixe (ordinateur) ou mobile (tablette, smartphone, montre connectée, objet connecté, etc.) utilisé par un opérateur humain.
Ainsi, plus particulièrement, l’invention propose un procédé de communication de données personnelles entre un système externe fournisseur d’identités, des terminaux utilisateurs, et un ensemble de serveurs, dans lequel l’ensemble de serveurs comprend au moins un serveur de gestion des identités, un serveur de gestion de clés et un serveur de gestion de données,
Ce procédé comprend les étapes suivantes :
1) le fournisseur d’identités envoie au serveur d’identités une demande de stockage d’informations d’identités,
2) le serveur d’identités envoie au serveur de clés une demande de génération d’une paire de clés uniques associées : une clé d’identité et une clé de données
3) le serveur de clés renvoie au serveur d’identités la clé unique d’identité, et celui-ci l’enregistre en l’associant aux informations d’identités concernées,
4) le terminal utilisateur effectue une recherche auprès du serveur d’identités
5)le serveur d’identité renvoie au terminal utilisateur les informations d’identité trouvées et la clé unique d’identité associée
6) le terminal utilisateur envoie au serveur de clés une demande de récupération de la clé unique de données associée à la clé unique d’identité
7) le terminal utilisateur réceptionne la clé unique de données renvoyée par le serveur de clés
8) le terminal utilisateur envoie une demande au serveur de données avec la clé unique de données
9) le serveur de données renvoie au terminal utilisateur les données associées à la clé unique de données
À l’étape 1), le serveur de gestion des identités peut mettre en œuvre son traitement par la création d’un nouvel enregistrement d’identité ou par la mise à jour d’un enregistrement existant. Les informations d’identités peuvent comporter l’un ou plusieurs des éléments suivants :
• Nom de naissance
• Nom d’usage
• Prénoms
• Date de naissance
• Lieu de naissance
• Nationalités
• Sexe
• Adresses
• Numéros de téléphone
• Des numéros d’identifiants existants provenant de référentiels d’identité tiers
Il stocke ces informations d’identités dans sa base de données attachée.
À l’étape 2), lorsque le serveur de clés reçoit une demande, il génère une paire de clés uniques à l’aide d’un algorithme adhoc, par exemple, mais non limitativement basé sur le marquage temporel (« timestamp ») et une fonction de hachage de type SHA-256. Il stocke ces 2 clés associées dans sa base de données attachée. Dans ce qui suit, le vocabulaire suivant sera utilisé :
- H(id) désigne la clé d’identité générée par le serveur de clés, et envoyée au serveur d’identités
- Δ désigne la clé de données générée par le serveur de clés, associée à H(id)
À l’étape 3), le serveur d’identité reçoit H(id) de la part du serveur de clés et l’ajoute à l’enregistrement d’informations d’identités concerné.
À l’issue de ces trois premières étapes, le procédé permet au serveur d’identité de ne stocker que les informations d’identité et H(id) ; il ne stocke aucune autre donnée personnelle. Similairement, le serveur de clés stocke uniquement les couples de clés { H(id), Δ } ; il ne stocke aucune donnée d’identité ni aucune autre donnée personnelle.
À l’étape 4, le terminal utilisateur s’adresse au serveur d’identité pour y effectuer une recherche, éventuellement à l’aide d’un paramètre pouvant être l’une des informations partielles d’identité.
À l’étape 5, le serveur d’identité effectue la recherche demandée et renvoie un ou plusieurs résultats, en fonction de ses règles d’habilitation internes. Pour chaque résultat obtenu, la réponse renvoyée au terminal par le serveur d’identité se compose :
- Des informations d’identités trouvées,
- De la clé H(id) associée
À l’étape 6, le terminal utilisateur interroge le serveur de clés en lui demandant de lui fournir la clé Δ associée à H(id) ; si la demande est valide au regard de ses règles d’habilitations internes, le serveur de clés renvoie la clé Δ au terminal utilisateur.
À l’étape 7, le terminal utilisateur réceptionne la clé Δ renvoyée par le serveur de clés.
À l’étape 8, le terminal utilisateur effectue une demande auprès du serveur de données à l’aide de la clé Δ.
À l’étape 9, le serveur de données renvoie au terminal utilisateur les données associées à la clé Δ.
À l’issue de ces dernières étapes, le procédé permet de garantir l’isolation des données échangées. En effet, selon une caractéristique particulière le serveur d’identité ne stocke que des informations d’identités et des clés d’identités H(id). Selon une autre caractéristique particulière de l’invention, le serveur de clés ne stocke que des clés H(id) et Δ.
Enfin, selon encore une autre caractéristique, le serveur de données ne stocke que des données rattachées uniquement à des clés Δ et non à des informations d’identité.
Avantageusement, dans l’application du procédé à un hébergement « Cloud » dans lequel le serveur d’identités, le serveur de clés et le serveur de données sont hébergés par trois fournisseurs de services distincts, aucun de ces fournisseurs ne peut avoir accès à une donnée personnelle reliée à une identité.
Dans l’application du procédé au domaine de la santé, les informations d’identité sont composées des traits d’identité d’une personne physique, définis comme l’ensemble des caractéristiques qui permettent de reconnaître une personne physique et d'établir son individualité au regard de la loi (date et lieu de naissance, nom, prénom, filiation, etc.). Ces éléments sont attestés par des documents officiels d’état civil. L’identité numérique correspond à la représentation d’un individu physique dans un système d’information.
Lorsque le fournisseur d’identité tiers est un établissement de santé (ou un groupement d’établissements de santé), il transmet en outre au moins un identifiant numérique issu de son référentiel, notamment par exemple, mais non limitativement, l’IPP (Identifiant Permanent du Patient) ou INS (Identité Nationale de Santé).
De préférence, le procédé comporte en outre au moins une étape d’authentification sécurisée de l’utilisateur sur son terminal auprès d’un référentiel tiers d’authentification. Dans ce cas, de préférence, le procédé comprend également la validation auprès du système d’authentification externe, par au moins l’un des serveurs, des demandes qu’il reçoit.
L’invention porte également sur un produit programme d’ordinateur téléchargeable depuis un réseau de communication, et/ou stocké sur un support lisible par ordinateur, tablette ou smartphone, et/ou exécutable par un microprocesseur, et caractérisé par en ce qu’il comprend des instructions de code de programme pour la mise en œuvre du procédé de l’invention.
La présente invention trouvera avantageusement application industrielle en recourant à trois hébergeurs « Cloud » distincts pour chacun des trois serveurs de l’ensemble, objet de l’invention : ainsi la protection des données conférée par la stricte séparation rendue possible par le procédé sera maximale.
La présente invention n'est nullement limitée aux modes de réalisation décrits et représentés mais l'homme du métier saura y apporter toute variante conforme à son esprit.
La figure illustre l’architecture générale d’un système de communication conforme à un mode de réalisation possible.
La figure est un diagramme de séquence adapté à l’implémentation des aspects de la présente invention.
La figure illustre un exemple d’enregistrement de données dans le serveur d’identités avant et après l’association de la clé d’identité H(id).
La figure illustre un exemple d’enregistrement de données dans le serveur de clés, associant les clés H(id) et Δ.
La figure illustre un exemple d’enregistrement de données dans le serveur de données associées à la clé de données

Claims (9)

  1. Procédé de communication de données personnelles entre un système fournisseur d'identités, des terminaux utilisateurs, et un ensemble de serveurs, dans lequel :
    • a) l'ensemble de serveurs comprend au moins un serveur de gestion des identités, un serveur de gestion de clés et un serveur de gestion de données,
    • b) les terminaux utilisateurs peuvent être des ordinateurs, tablettes ou smartphones, ou tout autre type de terminal fixe ou mobile,
    Caractérisé en ce qu’il comporte les étapes suivantes :
    • le fournisseur d'identités envoie au serveur d'identités une demande de stockage d'informations d'identités,
    • le serveur d'identités envoie au serveur de clés une demande de génération d'une paire de clés uniques associées : une clé d'identité et une clé de données,
    • le serveur d'identités enregistre la clé unique d'identité en l'associant aux informations d'identités concernées,
    • le terminal utilisateur effectue une recherche auprès du serveur d'identités
    • le serveur d'identités renvoie au terminal utilisateur les informations d'identité trouvées et la clé unique d'identité associée
    • le terminal utilisateur envoie au serveur de clés une demande de récupération de la clé unique de données associée et la clé unique d'identité
    • le terminal utilisateur réceptionne la clés unique de données renvoyée par le serveur de clés
    • le terminal utilisateur envoie une demande au serveur de données avec la clé unique de données
    • le serveur de données renvoie au terminal utilisateur les données associées et la clé unique de données
  2. Procédé selon la revendication 1, caractérisé en ce que ledit serveur de données gère des données de santé.
  3. Procédé selon l’une quelconque des revendications précédentes, caractérisé en ce que les informations gérées par le serveur d’identité comportent au moins l’un des éléments suivants
    • Nom de naissance
    • Nom d’usage
    • Prénoms
    • Date de naissance
    • Lieu de naissance
    • Nationalités
    • Sexe
    • Adresses
    • Numéros de téléphone
  4. Procédé selon l’une quelconque des revendications précédentes, caractérisé en ce que les informations d’identité stockées comprennent le numéro d’identifiant national santé (INS).
  5. Procédé selon l’une quelconque des revendications précédentes, caractérisé en ce qu’il comporte en outre une étape d’authentification de l’utilisateur.
  6. Procédé selon l’une quelconque des revendications précédentes, caractérisé en ce qu’il comprend la validation auprès d’un système d’authentification externe, par au moins l’un des serveurs, des demandes qu’il reçoit.
  7. Procédé selon l’une quelconque des revendications précédentes, caractérisé en ce que au moins l’un desdits serveurs est accessible par un réseau de type « Cloud Computing ».
  8. Ensemble comprenant des terminaux utilisateurs fixes ou mobiles, ainsi qu’au moins un serveur de gestion d’identités, un serveur de gestion de clés et un serveur de données, ensemble dans lequel les terminaux utilisateurs communiquent avec les serveurs comme suit :
    • Les terminaux utilisateurs communiquent avec le serveur de gestion d’identité en échangeant uniquement des informations d’identité et des clés d’identité ;
    • Les terminaux utilisateurs communiquent avec le serveur de gestion de clés en échangeant uniquement des clés d’identité et des clés de données
    • Les terminaux utilisateurs communiquent avec le serveur de données en échangeant tous type des données à l’exception d’informations d’identité et de clés d’identités.
  9. Produit programme d’ordinateur téléchargeable depuis un réseau de communication et/ou stocké sur un support lisible par ordinateur, tablette ou smartphone, et/ou exécutable par un microprocesseur, caractérisé en ce qu’il comprend des instructions de code de programme pour la mise en œuvre du procédé selon l’une quelconque des revendications précédentes.
FR2106588A 2021-06-21 2021-06-21 Procédé et ensemble permettant à des terminaux utilisateurs d’échanger en toute confidentialité des données personnelles avec une plateforme de serveurs Active FR3124341B1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR2106588A FR3124341B1 (fr) 2021-06-21 2021-06-21 Procédé et ensemble permettant à des terminaux utilisateurs d’échanger en toute confidentialité des données personnelles avec une plateforme de serveurs
PCT/EP2022/066766 WO2022268741A1 (fr) 2021-06-21 2022-06-20 Procede et ensemble permettant a des terminaux utilisateurs d'echanger en toute confidentialite des donnees personnelles avec une plateforme de serveur

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2106588A FR3124341B1 (fr) 2021-06-21 2021-06-21 Procédé et ensemble permettant à des terminaux utilisateurs d’échanger en toute confidentialité des données personnelles avec une plateforme de serveurs
FR2106588 2021-06-21

Publications (2)

Publication Number Publication Date
FR3124341A1 true FR3124341A1 (fr) 2022-12-23
FR3124341B1 FR3124341B1 (fr) 2023-10-27

Family

ID=78212165

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2106588A Active FR3124341B1 (fr) 2021-06-21 2021-06-21 Procédé et ensemble permettant à des terminaux utilisateurs d’échanger en toute confidentialité des données personnelles avec une plateforme de serveurs

Country Status (2)

Country Link
FR (1) FR3124341B1 (fr)
WO (1) WO2022268741A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050283620A1 (en) * 2004-06-17 2005-12-22 Bassam Khulusi System and method for dis-identifying sensitive information and associated records
WO2010115607A1 (fr) * 2009-04-03 2010-10-14 Digidentity B.V. Système de données sécurisé
US11003789B1 (en) * 2020-05-15 2021-05-11 Epsilon Data Management, LLC Data isolation and security system and method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050283620A1 (en) * 2004-06-17 2005-12-22 Bassam Khulusi System and method for dis-identifying sensitive information and associated records
WO2010115607A1 (fr) * 2009-04-03 2010-10-14 Digidentity B.V. Système de données sécurisé
US11003789B1 (en) * 2020-05-15 2021-05-11 Epsilon Data Management, LLC Data isolation and security system and method

Also Published As

Publication number Publication date
FR3124341B1 (fr) 2023-10-27
WO2022268741A1 (fr) 2022-12-29

Similar Documents

Publication Publication Date Title
US20190354964A1 (en) Private Blockchain Services
US20120109830A1 (en) Apparatus, system and method for a decentralized social network system and decentralized payment network system
US10805458B1 (en) Method and system for automatically blocking recorded robocalls
US11917088B2 (en) Integrating device identity into a permissioning framework of a blockchain
CA2778847C (fr) Identification par controle de donnees biometriques d'utilisateur
EP3025481A2 (fr) Procédé de traitement de données de géolocalisation
US20230370245A1 (en) Privacy-Preserving Domain Name Services (DNS)
CN104506487A (zh) 云环境下隐私策略的可信执行方法
CN113052721B (zh) 电力数据的处理方法及装置
FR3082023A1 (fr) Une application logicielle et un serveur informatique pour authentifier l’identite d’un createur de contenu numerique et l’integrite du contenu du createur publie
FR3112626A1 (fr) Procédé et système de collecte de preuves de contrat électronique sur la base du mode de transaction
Fu et al. Searchable encryption scheme for multiple cloud storage using double‐layer blockchain
JP4594078B2 (ja) 個人情報管理システムおよび個人情報管理プログラム
Nwebonyi et al. Reputation-based security system for edge computing
FR3112624A1 (fr) Procédé et système de collecte de preuves de contrat électronique sur la base du contrat intelligent
FR3124341A1 (fr) Procédé et ensemble permettant à des terminaux utilisateurs d’échanger en toute confidentialité des données personnelles avec une plateforme de serveurs
CN115514470B (zh) 一种社区矫正数据安全性的存储方法及***
KR20200141124A (ko) 특정 정보를 문서에서 분리 저장하는 방법 및 선택적으로 정보 공개범위를 결정하여 제공하는 방법 및 이를 이용한 서버
Wang et al. Fine‐Grained Task Access Control System for Mobile Crowdsensing
EP4315741A1 (fr) Gestion de droits d'accès à des fichiers numériques avec possible délégation des droits
EP4078893A1 (fr) Procédé et dispositif de contrôle d'accès anonyme à une plateforme collaborative d'anonymisation
Trueman et al. Ensuring privacy and data freshness for public auditing of shared data in cloud
CN113962832B (zh) 一种面向多能源市场的证书生成、转化方法及***
US20150348050A1 (en) Hybrid cloud encryption method
US20230334175A1 (en) Distributed Ledger Network for Data Portability

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20221223

TP Transmission of property

Owner name: G5 DIGITAL, FR

Effective date: 20230223

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4