JP2005099944A - Privacy information protection system and its method - Google Patents

Privacy information protection system and its method Download PDF

Info

Publication number
JP2005099944A
JP2005099944A JP2003330512A JP2003330512A JP2005099944A JP 2005099944 A JP2005099944 A JP 2005099944A JP 2003330512 A JP2003330512 A JP 2003330512A JP 2003330512 A JP2003330512 A JP 2003330512A JP 2005099944 A JP2005099944 A JP 2005099944A
Authority
JP
Japan
Prior art keywords
privacy
information
capsule
service
proxy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003330512A
Other languages
Japanese (ja)
Other versions
JP2005099944A5 (en
Inventor
Shigeki Yamada
茂樹 山田
Takako Hori
貴子 堀
Hidefumi Kamioka
英史 上岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NAT INST OF INFORMATICS
NATIONAL INSTITUTE OF INFORMATICS
Original Assignee
NAT INST OF INFORMATICS
NATIONAL INSTITUTE OF INFORMATICS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NAT INST OF INFORMATICS, NATIONAL INSTITUTE OF INFORMATICS filed Critical NAT INST OF INFORMATICS
Priority to JP2003330512A priority Critical patent/JP2005099944A/en
Publication of JP2005099944A publication Critical patent/JP2005099944A/en
Publication of JP2005099944A5 publication Critical patent/JP2005099944A5/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To solve the problem wherein once privacy information is outputted to the outside, the management of a privacy owner is beyond its power, and it is impossible to prevent such danger that privacy information transferred to a service proxy is abused. <P>SOLUTION: Privacy information and a privacy reference describing conditions that the privacy information can be disclosed are integrally managed as "privacy capsule", and a privacy policy describing the use conditions of the user of the privacy information is compared with the privacy reference, and when the conditions are satisfied, the use of the privacy information in the privacy capsule is permitted, and a "mobile agent" including a program to execute a service is conveyed to the privacy capsule, and a service is executed by a mobile agent in the privacy capsule by using the privacy information, and only the execution result is ouptutted to the outside of a personal computer. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、プライバシー情報保護システム及びその方法に関するものであり、より詳細には、情報システムにおいて個人のプライバシー情報を不当に悪用されないように保護するためのセキュリティ技術に関するものである。   The present invention relates to a privacy information protection system and method, and more particularly to a security technique for protecting personal privacy information from being unfairly abused in an information system.

個人のプライバシー情報を保護する代表的な技術として、WWW(World−Wide-Web)の関連技術の標準化を進めている業界団体であるW3C(World Wide Web Consortium)が仕様策定を進めてきたP3P(Platform for Privacy preferences Project:プライバシー情報取扱いに対する個人の選好を指示する技術基盤)がある(非特許文献1を参照されたい)。P3Pはインターネット上のプライバシー保護を目的とした技術基準で、サービス提供者等データを収集する者(データ収集者)がどのような目的でどのようなデータを必要とするか等、プライバシーを記述したプライバシーポリシの掲載項目等を標準化し、かつ、コンピュータが読み取り可能なXML(eXtensible Markup Language)形式で記述することによって、プライバシーポリシを自動処理できるようにしたものである。掲載項目の例としては、データ収集を要求する側が自分の名前、データ保持期間、受信するデータの種類、データの使用目的などが挙げられる。   P3P (World Wide Web Consortium), an industry group that is promoting the standardization of WWW (World-Wide-Web) related technologies, is a representative technology for protecting personal privacy information. (Platform for Privacy preferences Project) (Technical infrastructure for instructing personal preferences for privacy information handling) (see Non-Patent Document 1). P3P is a technical standard for protecting privacy on the Internet, and describes privacy, such as what kind of data a service provider or other data collector (data collector) needs. Privacy policy posting items and the like are standardized and described in a computer-readable XML (eXtensible Markup Language) format so that the privacy policy can be automatically processed. Examples of listed items include the name of the person requesting data collection, the data holding period, the type of data received, the purpose of use of the data, and the like.

従来技術の例としてP3Pを具体的に実現するシステムであるpawSを図1に示す(非特許文献2を参照されたい。)。図1において、1はプライバシービーコンで、例えば、ユーザの位置情報を取得して、ユーザの携帯情報機器にユーザの周辺の地図情報を送り届ける位置追跡サービス等のように、各サービス毎にそのサービスが必要とするプライバシー情報に関するプライバシーポリシの所在場所(例えばURI:Uniform Resource Identifier:ネットワーク上のWebリソースであるURLなどを一意に識別するための識別子)を無線ビーコンで近隣に周知するデバイスである。   As an example of the prior art, pawS, which is a system that specifically realizes P3P, is shown in FIG. 1 (see Non-Patent Document 2). In FIG. 1, reference numeral 1 denotes a privacy beacon. For example, a location beacon service that acquires user location information and sends map information around the user to the user's portable information device is provided for each service. This is a device that informs neighbors of the location of a privacy policy related to required privacy information (for example, URI: Uniform Resource Identifier: an identifier for uniquely identifying a URL that is a Web resource on a network) by a wireless beacon.

2は位置追跡サービスを受けるユーザが保持する携帯情報機器で、GPS機器や携帯電話のように、プライバシー情報の一つである「ユーザの位置情報」をセンシングする機能と、プライバシービーコン1が発信するプライバシーポリシの所在場所情報を無線経由で受信する機能を持つ。3はパーソナルプライバシープロキシで、ユーザの「プライバシー情報4」と、ユーザがプライバシー情報を外部に公開できる条件を記述した「プライバシープリファレンス5」と、プライバシー情報へのアクセス可否を判断する「ポリシチェック手段6」を含んだサーバである。ここで、プライバシー情報4はプライバシー保護対象となるデータの集合である。プライバシープリファレンス5はサービスを受けるユーザが、プライバシーポリシに対する自分の好みを宣言したファイルであり、ポリシチェック手段6は後述するプライバシーポリシ8とプライバシープリファレンス5とを比較することにより、最終的にユーザがサービスの提供を受けるかどうかを判断するプログラムである。   2 is a portable information device held by a user who receives a location tracking service. Like a GPS device or a mobile phone, the privacy beacon 1 transmits a function for sensing "user location information" which is one of privacy information. It has a function to receive location information of privacy policy via wireless. 3 is a personal privacy proxy, "Privacy Information 4" of the user, "Privacy Preference 5" that describes the conditions under which the user can disclose the privacy information to the outside, and "Policy Check Method" that determines whether or not the privacy information can be accessed 6 ”. Here, the privacy information 4 is a set of data that is subject to privacy protection. The privacy preference 5 is a file in which the user who receives the service declares his / her preference for the privacy policy, and the policy checking means 6 finally compares the privacy policy 8 and the privacy preference 5 described later to finally determine the user. Is a program that determines whether or not to receive service.

7はサービスプロキシで、例えばユーザの位置情報を取得して、ユーザの携帯情報機器にユーザの周辺の地図情報を送り届ける位置追跡サービスを実行するためのサーバで、位置追跡サービスを提供するサービスプロバイダがユーザのプライバシー情報に関する利用条件を記述した「プライバシーポリシ8」と、位置追跡サービスを実行するための「サービスプログラム9」とを含む。ここでプライバシーポリシ8はサービスを受けるユーザに対して、ユーザに関わるパーソナルデータを取得するためのポリシ(使用目的、使用期間、使用者等の情報)を決められた組織にしたがって記載したファイルである。   7 is a service proxy, for example, a server for executing a location tracking service that acquires location information of the user and delivers map information around the user to the user's portable information device. A service provider that provides the location tracking service It includes “Privacy Policy 8” that describes the usage conditions regarding the user's privacy information, and “Service Program 9” for executing the location tracking service. Here, the privacy policy 8 is a file in which a policy (information on purpose of use, usage period, user, etc.) for acquiring personal data related to the user is described according to the determined organization for the user who receives the service. .

10〜14は各機器類の間の通信を司る通信チャネルである。図1において、プライバシービーコン1の近くにユーザが来た場合に、ユーザの携帯情報機器2はプライバシービーコン1が発信している位置追跡サービスのプライバシーポリシの所在場所(URI)を通信チャネル10経由で取得する。そこでユーザの携帯情報機器2は通信チャネル11経由でユーザのプライバシー情報(現在位置の情報)とプライバシーポリシのURIをパーソナルプライバシープロキシ3に伝える。パーソナルプライバシープロキシ3ではユーザのプライバシー情報を記憶するとともに、URIに基づきサービスプロキシ7にアクセスしてプライバシーポリシ8を通信チヤネル12経由でダウンロードする。次に、パーソナルプライバシープロキシ3内のポリシチェック手段6が、ダウンロードしたプライバシーポリシと、あらかじめユーザによって設定されているプライバシープリファレンス5とを比較し、もし、条件が満たされなければ、プライバシー情報の提供を拒絶することを通信チャネル13経由でサービスプロキシ7に伝える。   10 to 14 are communication channels for controlling communication between the devices. In FIG. 1, when a user comes near the privacy beacon 1, the mobile information device 2 of the user transmits the location policy URI (URI) of the location tracking service transmitted by the privacy beacon 1 via the communication channel 10. get. Therefore, the user's portable information device 2 transmits the user's privacy information (current position information) and the privacy policy URI to the personal privacy proxy 3 via the communication channel 11. The personal privacy proxy 3 stores the privacy information of the user and accesses the service proxy 7 based on the URI to download the privacy policy 8 via the communication channel 12. Next, the policy checking means 6 in the personal privacy proxy 3 compares the downloaded privacy policy with the privacy preference 5 set in advance by the user. If the conditions are not met, provision of privacy information is performed. Is notified to the service proxy 7 via the communication channel 13.

条件が満たされた場合には、パーソナルプライバシープロキシ3はサービスプロキシ6に通信チャネル13経由でプライバシー情報4を送る。サービプロキシ6では、プライバシー情報、即ちユーザの位置情報をもとにサービスプログラム9を実行し、例えばユーザの周辺の地図情報を通信チヤネル14経由でユーザの携帯情報機器2に送り込む。このように、自分のプライバシー情報を提供しても良いと宣言したユーザに位置追跡サービスが提供されるようになる。
Platform for Privacy Preferences (P3P) Project、 http://www.w3.orgn/3P/detai M. Langheinrich: A Privacy Awareness System for Ubiquitous Computing Environments International Conference on Ubiquitous Computing 2002 (UbiComp 2002), pp. 237-245, LNCS2498 (September 2002) If the condition is met, the personal privacy proxy 3 sends the privacy information 4 to the service proxy 6 via the communication channel 13. The service proxy 6 executes a service program 9 based on the privacy information, that is, the user's location information, and sends, for example, map information around the user to the user's portable information device 2 via the communication channel 14. As described above, the location tracking service is provided to a user who has declared that his / her privacy information may be provided.
Platform for Privacy Preferences (P3P) Project, http: //www.w3.orgn/3P/detai M. Langheinrich: A Privacy Awareness System for Ubiquitous Computing Environments International Conference on Ubiquitous Computing 2002 (UbiComp 2002), pp. 237-245, LNCS2498 (September 2002)

しかしながら、PawSのようなシステムにおいては、一旦、ユーザがサービスを受けることを承諾した場合にプライバシー情報が外部に流出するので、プライバシー情報が外部に送られる途中(通信経路、ルータ、中継サーバ、キャッシュサーバなど)で盗聴や改鼠が行われたり、そのデータの使用期間が終了した後にも、消去されずに他の目的に不正に使用される心配がある。例えば、図1においては、プライバシープロキシ3はサービスを開始する時点でのみ、相手にプライバシー情報を渡すべきかどうかのチェックを行っているので、一旦、条件が満たされてプライバシー情報4をサービスプロキシ7に渡してしまえば、たとえ、ユーザ(即ちプライバシー情報の所有者)がプライバシー情報4の不正利用を例え禁止しても、他人による不正利用を完璧に食い止めることが難しい。また、サービプロキシ7には、受信したプライバシー情報を記憶保存することができるので、プライバシー情報を使って本来のサービスプログラム9を実行した後に、プライバシー情報を他のサービスプログラムに使用させたり、プライバシー情報を無許可でコピーし、それがサービプロキシ7の外部に流出して他人が、ユーザの意図しない所で不正利用し、それらを検出したり、禁止したりすることが難しいという問題がある。
そのような問題が発生する根本原因は、パーソナルプライバシープロキシがプライバシー情報の所有者によって責任を持ってセキュアに運用管理されているサーバであるのに対して、サービスプロキシはサービス提供者等が運用管理するサーバなので、プライバシー情報の所有者の管理が及ばず、したがって一旦サービスプロキシに渡したプライバシー情報が悪用されてしまう危険性を回避できないということにある。 However, in a system such as PawS, privacy information is leaked to the outside once the user consents to receive the service, so the privacy information is being sent to the outside (communication path, router, relay server, cache Even after eavesdropping or tampering with a server, etc., or after the period of use of the data ends, there is a concern that the data will not be erased and used illegally for other purposes. For example, in FIG. 1, the privacy proxy 3 checks whether or not the privacy information should be given to the other party only at the time of starting the service. Therefore, once the conditions are satisfied, the privacy information 4 is transferred to the service proxy 7 Even if the user (that is, the owner of the privacy information) prohibits unauthorized use of the privacy information 4, it is difficult to completely prevent unauthorized use by others. In addition, since the service proxy 7 can store and save received privacy information, after executing the original service program 9 using the privacy information, the privacy information can be used by other service programs, There is a problem that it is difficult to detect and prohibit other users from unauthorized use by copying them without authorization and leaking them out of the service proxy 7 for unauthorized use by other users.
The root cause of such a problem is that the personal privacy proxy is a server that is securely operated and managed by the owner of the privacy information, whereas the service proxy is operated and managed by the service provider. This is because the server does not manage the privacy information owner, and therefore the risk that the privacy information once passed to the service proxy is misused cannot be avoided.

上述した諸課題を解決すべく、本発明によるプライバシー情報保護方法は、
プライバシー情報と、それを外部に公開できる条件を記述したプライバシープリファレンスと、を「プライバシーカプセル」として一体で管理し、プライバシー情報の利用者の利用条件を記述したプライバシーポリシと、プライバシープリファレンスと比較して条件を満足する場合に、プライバシー情報をプライバシーカプセル内で使用することを許可するとともに、サービスを実行するためのプログラムを含んだ「モバイルエージェント」を外部からプライバシーカプセルに送り込み、プライバシーカプセル内でモバイルエージェントがプライバシー情報を用いてサービスを実行し、実行結果のみをパーソナルサーバ外部に出力する。
また、本発明によるプライバシー情報保護方法は、
プライバシーカプセルに複数のモバイルエージェントを送り込み、各モバイル−エジェントがプライバシー情報を他のモバイルエージェントに対して隠蔽したまま、互いに連携して処理を実行し、最終的にひとつのサービスを実行する。
本発明によれば、プライバシー情報をサービスサーバに渡すのではなく、逆にサービスを実行するプログラムをエージェントとしてプライバシーカプセルに渡すものなので、プライバシー情報がサービスサーバに送る途中で盗聴、改ざんされることはない。また、サービスプロキシ側がサービス終了後に、プライバシー情報が不正に利用されたり、サービスプロキシにアクセス可能な第三者によってプライバシー情報が不正に利用されたり、コピーされたりすることも無い。 In order to solve the above-described problems, a privacy information protection method according to the present invention is as follows.
A privacy policy that describes privacy information and the privacy preferences that describe the conditions under which it can be disclosed to the outside as a "privacy capsule", and is compared with a privacy policy that describes the usage conditions of users of privacy information and privacy preferences If the conditions are satisfied, the privacy information is allowed to be used in the privacy capsule, and a “mobile agent” including a program for executing the service is sent from the outside to the privacy capsule. The mobile agent executes the service using the privacy information, and outputs only the execution result to the outside of the personal server.
In addition, the privacy information protection method according to the present invention includes:
A plurality of mobile agents are sent to the privacy capsule, and each mobile-agent performs processing in cooperation with each other while concealing privacy information from other mobile agents, and finally executes one service.
According to the present invention, instead of passing privacy information to the service server, a program for executing the service is passed to the privacy capsule as an agent, so that the privacy information is intercepted and tampered while being sent to the service server. Absent. In addition, after the service proxy ends, the privacy information is not illegally used, and the privacy information is not illegally used or copied by a third party who can access the service proxy.

カプセル化
本発明によるプライバシー情報保護方法は、
利用者個人のプライバシーに関わるデータを含んだ「プライバシー情報」を用いて利用者に各種のサービスを提供する際に、「プライバシー情報」と、それを外部に公開できる条件を記述した「プライバシープリファレンス」とを「プライバシーカプセル」として一体で管理し、プライバシー情報の利用者の利用条件を記述した「プライバシーポリシ」と、プライバシープリファレンスと比較して条件を満足する場合に、プライバシー情報をプライバシーカプセル内で使用することを許可するとともに、プライバシー情報をプライバシーカプセル外に流出するのを防止することにより、プライバシーカプセル外部からプライバシー情報を隠蔽するプライバシー情報保護方法である。 Encapsulation Privacy information protection method according to the present invention includes:
"Privacy preferences" that describe "privacy information" and the conditions under which it can be disclosed to the outside when providing various services to users using "privacy information" that includes data related to the privacy of individual users ”As a“ privacy capsule ”, and the privacy policy that describes the usage conditions of the privacy information user and the privacy information in the privacy capsule It is a privacy information protection method that conceals privacy information from the outside of the privacy capsule by preventing the privacy information from leaking out of the privacy capsule.

モバイルエージェントの注入
また、本発明によるプライバシー情報保護方法は、
プライバシーポリシとプライバシープリファレンスとを比較して条件に合った場合に、サービスを実行するためのプログラムを含んだ「モバイルエージェント」を外部からプライバシーカプセルに送り込み、プライバシーカプセル内でモバイルエージェントがプライバシー情報を用いてサービスを実行し、実行結果のみをパーソナルサーバ(即ちプライバシーカプセル)外部に出力することにより、プライバシーカプセル外部からプライバシー情報を隠蔽するプライバシー情報保護方法である。 Mobile agent injection Also, the privacy information protection method according to the present invention includes:
If the privacy policy and privacy preferences are compared and the conditions are met, a “mobile agent” containing a program to execute the service is sent from the outside to the privacy capsule, and the mobile agent sends the privacy information in the privacy capsule. This is a privacy information protection method for hiding privacy information from the outside of the privacy capsule by executing the service using it and outputting only the execution result to the outside of the personal server (ie, privacy capsule).

複数のモバイルエージェントの連携
さらにまた、本発明によるプライバシー情報保護方法は、
ひとつのサービスを実行する際に、複数のプライバシーカプセルの各々にモバイルエージェントを送り込み、各プライバシーカプセル内のモバイルエージェントが自プライバシーカプセル内のプライバシー情報を使用して必要な処理を実行するとともに、自プライバシーカプセル内のプライバシー情報を他のプライバシーカプセルに対して隠蔽したまま、互いに連携して処理を実行し、最終的にひとつのサービスを実行するプライバシー情報保護方法である。 Cooperation of a plurality of mobile agents Furthermore, the privacy information protection method according to the present invention includes:
When executing one service, a mobile agent is sent to each of a plurality of privacy capsules, and the mobile agent in each privacy capsule performs necessary processing using the privacy information in the own privacy capsule, This is a privacy information protection method in which privacy information in a capsule is concealed from other privacy capsules while processing is performed in cooperation with each other, and finally one service is executed.

総合システム
本発明によるプライバシー情報保護システムは、
プライバシーポリシーの所在情報を送信するプライバシービーコンと、携帯情報機器と、ユーザのプライバシープリファレンスおよびプライバシー情報を含むプライバシーカプセルを収容するパーソナルプライバシープロキシーと、プライバシーポリシー及びモバイルエージェントを収容するサービスプロキシーと、を含むプライバシー情報保護システムであって、
前記携帯情報機器は、
ユーザのプライバシー情報を取得或いは検出する手段と、
前記プライバシービーコンから送信された前記所在情報を受信し、この受信した前記所在情報および取得或いは検出したプライバシー情報を前記パーソナルプライバシープロキシーに送信する手段を具え、
前記パーソナルプライバシープロキシーは、
前記携帯情報機器から、前記プライバシーポリシーの所在情報と前記プライバシー情報とを受信する手段と、
前記プライバシーポリシーの所在情報に基づき、前記サービスプロキシから前記プライバシーポリシを受信する手段と、
前記プライバシーポリシと前記プライバシープリファレンスとを比較して条件を満足する場合に、前記サービスプロキシにモバイルエージェントを要求するポリシチェック手段と、
前記要求を受けて前記サービスプロキシから送信された前記モバイルーエージェントを受信し、それを前記プライバシーカプセルに組み込み、前記プライバシーカプセル内で前記モバイルエージェントに、プライバシー情報を用いてサービスを実行させ、実行結果のみを前記プライバシーカプセル(即ちパーソナルプライバシープロキシ)外部に出力させるように制御するモバイルエージェント制御手段と、を具える、
ことを特徴とするプライバシー情報保護システムである。
本発明によれば、携帯情報機器(例えばPDA,PC,携帯電話など)を持ったユーザが、ビーコンから発信される無線が届くエリア(例えば、地下街、ショッピングモール、テーマパークなど)に入ったときに、自動的にビーコンを受信しそのビーコンに含まれる情報(例えばプライバシーポリシーの所在情報、当該ビーコンの設置場所(即ちこれはユーザの簡易的な位置情報にも相当し、プライバシー情報の一部となり得る。)、タイムスタンプなど)をもとに、自己の管理するプロキシを用いてプライバシー情報を外部に出すことなく安全に何らかのサービス(例えば、当該エリアの地図、さらには、ユーザが開示してあるプライバシー情報(例えば年齢、性別、趣味、嗜好、年収、職業などの属性)に基づく付加情報など)を受けることが可能となる。 Comprehensive system Privacy information protection system according to the present invention
A privacy beacon that transmits the location information of the privacy policy, a portable information device, a personal privacy proxy that accommodates a privacy capsule that includes the user's privacy preferences and privacy information, and a service proxy that accommodates the privacy policy and mobile agent A privacy information protection system including
The portable information device is
Means for obtaining or detecting user privacy information;
Means for receiving the location information transmitted from the privacy beacon, and transmitting the received location information and the acquired or detected privacy information to the personal privacy proxy;
The personal privacy proxy is
Means for receiving the location information of the privacy policy and the privacy information from the portable information device;
Means for receiving the privacy policy from the service proxy based on location information of the privacy policy;
Policy checking means for requesting a mobile agent from the service proxy when the privacy policy is compared with the privacy preference and the condition is satisfied;
The mobile agent transmitted from the service proxy in response to the request is received, embedded in the privacy capsule, and the mobile agent executes the service using privacy information in the privacy capsule, and the execution result Mobile agent control means for controlling to output only the privacy capsule (i.e. personal privacy proxy) to the outside.
It is a privacy information protection system characterized by this.
According to the present invention, when a user who has a portable information device (for example, a PDA, a PC, a cellular phone, etc.) enters an area (for example, an underground mall, a shopping mall, a theme park, etc.) that can receive radio waves transmitted from a beacon. The beacon is automatically received and the information contained in the beacon (for example, the location information of the privacy policy, the location of the beacon (that is, this corresponds to the user's simple location information, and becomes part of the privacy information). ), Time stamps, etc.), using a proxy managed by the user, without any disclosure of privacy information, any service (for example, a map of the area, or even a user discloses it) Receive additional privacy information (for example, additional information based on attributes such as age, gender, hobbies, preferences, annual income, occupation, etc.) Theft is possible.

複数のモバイルエージェントの連携
さらにまた、本発明によるプライバシー情報保護システムは、
ひとつのサービスを実行する際に、前記サービスプロキシは前記モバイルエージェントを複数の前記パーソナルプライバシープロキシの前記プライバシーカプセルの各々に送り込み、各プライバシーカプセル内のモバイルエージェントが自プライバシーカプセル内の前記プライバシー情報を使用して必要な処理を実行するとともに、自プライバシーカプセル内の前記プライバシー情報を他のパーソナルプライバシープロキシ内の前記プライバシーカプセルに対して隠蔽したまま、互いに連携して処理を実行し、最終的にひとつのサービスを実行するプライバシー情報保護システムである。 Cooperation of a plurality of mobile agents Furthermore, the privacy information protection system according to the present invention is:
In executing one service, the service proxy sends the mobile agent to each of the privacy capsules of the plurality of personal privacy proxies, and the mobile agent in each privacy capsule uses the privacy information in its own privacy capsule. In addition to executing necessary processing, the privacy information in its own privacy capsule is concealed from the privacy capsule in another personal privacy proxy, and the processing is performed in cooperation with each other. It is a privacy information protection system that executes services.

携帯情報機器とパーソナルプライバシープロキシの統合
さらにまた、本発明によるプライバシー情報保護方法及びシステムは、
携帯情報機器とパーソナルプライバシープロキシが統合され、各ユーザのプライバシー情報がユーザの携帯情報機器で一元管理されることを特徴とするプライバシー情報保護方法及びシステムである。 Integration of portable information device and personal privacy proxy Furthermore, the privacy information protection method and system according to the present invention includes:
A privacy information protection method and system in which a portable information device and a personal privacy proxy are integrated, and privacy information of each user is centrally managed by the user's portable information device.

図2は、本発明プライバシー情報保護方式を含んだシステムの第一の実施例を説明する全体構成図である。図2において、21はプライバシービーコンで、プライバシーポリシの所在場所(URI)を無線ビーコンで近隣に周知するデバイスである。22は、位置追跡サービスを受けるユーザが保持する携帯情報機器で、ユーザの物理的な位置情報をセンシングする機能と、プライバシービーコン21が発信するプライバシーポリシの所在場所(URI)を無線で受信する機能を持つ。23はパーソナルプライバシープロキシである。パーソナルプライバシープロキシ23は論理的なサーバであり、ユーザ機器、例えば携帯情報端末22や他のサーバと物理的に同居しても良い。24はユーザに関するプライバシー情報、即ちユーザの位置情報で、25は、そのプライバシー情報に対応するプライバシープリファレンスである。26は、プライバシー情報24とプライバシープリファレンス25を一まとめにしたカプセルで、外部からプライバシー情報を隠蔽し、後述するチェックを経ないとプライバシー情報にアクセスできない構造としている。27は、プライバシーポリシとプライバシープリファレンスとを比較し、プライバシー情報へのアクセス可否を判断するポリシチェック手段(プログラム)である。28は、パーソナルプライバシープロキシ23の外部から送られてくるモバイルエージェントを受け付けてそれを実行させるためのエージェント制御手段であり、詳細は図3を参照して後述する。29は位置追跡サービスを実行するモバイルエージェントで、後述するサービスプロキシから送り込まれる。   FIG. 2 is an overall configuration diagram for explaining a first embodiment of a system including the privacy information protection system of the present invention. In FIG. 2, 21 is a privacy beacon, which is a device that informs the neighbors of the location (URI) of the privacy policy by a wireless beacon. 22 is a portable information device held by the user who receives the location tracking service, a function that senses the physical location information of the user, and a function that wirelessly receives the location (URI) of the privacy policy transmitted by the privacy beacon 21 have. 23 is a personal privacy proxy. The personal privacy proxy 23 is a logical server and may physically coexist with user equipment such as the portable information terminal 22 or another server. Reference numeral 24 denotes privacy information about the user, that is, user position information, and reference numeral 25 denotes a privacy preference corresponding to the privacy information. 26 is a capsule in which the privacy information 24 and the privacy preference 25 are combined, and has a structure in which the privacy information is concealed from the outside and the privacy information cannot be accessed unless a check described later is performed. 27 is a policy check means (program) that compares the privacy policy with the privacy preference and determines whether or not to access the privacy information. 28 is an agent control means for receiving and executing a mobile agent sent from the outside of the personal privacy proxy 23, and details will be described later with reference to FIG. 29 is a mobile agent that executes a location tracking service, and is sent from a service proxy described later.

30はサービスプロキシで、ユーザの位置情報を取得して、ユーザの携帯情報機器22にユーザの周辺の地図情報を送り届ける位置追跡サービスを実行するためのサーバである。サービスプロキシ30は、位置追跡サービスを提供するサービスプロバイダがユーザのプライバシー情報に関する利用条件を記述した「プライバシーポリシ31」と、位置追跡サービスを実行するためのプログラムを含んだ「モバイルエージェント32」とが記憶されている。サービスプロキシ30は論理的なサーバであり、他のサーバやユーザ機器と物理的に同居しても良いし、ネットワーク上に分散されていても良い。モバイルエージェント32は単にサービスを実行するだけでなく、自分自身が他のサーバやノードに移動して、移動先で例えばモバイルエージェント29としてサービスを実行する機能を持つ点で図1のサービスプログラム9と異なる。40〜45は各機器類の間の通信を司る通信チャネルである。   Reference numeral 30 denotes a service proxy, which is a server for acquiring a user's location information and executing a location tracking service that delivers map information around the user to the user's portable information device 22. The service proxy 30 includes a “privacy policy 31” in which a service provider that provides a location tracking service describes usage conditions regarding user privacy information, and a “mobile agent 32” that includes a program for executing the location tracking service. It is remembered. The service proxy 30 is a logical server, and may physically coexist with other servers and user devices, or may be distributed on a network. The mobile agent 32 not only simply executes the service, but also has the function of moving to another server or node and executing the service as the mobile agent 29 at the destination, for example, with the service program 9 of FIG. Different. 40 to 45 are communication channels for controlling communication between the devices.

図3は、図2で示したエージェント制御手段28の詳細を説明するブロック図である。エージェント制御手段28は、安全性が100%確認されていないモバイルエージェントを安全に実行させるとともに、プライバシー情報をプライバシーカプセル外に流出するのを防止する機能をもつ。エージェント制御手段28はSafe−Tclのセーフインタプリタ技術(John K. Ousterhout, Jacob Y. Levy, and Brent B. Welch: The Safe-Tcl Security Model,TR-97-60, Sun Micrcosystcms, (March 1997),http://research.sun.com/research/techrep/1997/abstract-60.htm1)を活用している。この実施例ではサービスを実行するためのモバイルエージェント29は、Tclと言うインタプリタ型スクリプト言語(B. Welch, Practical Programming in Tcl and Tk, Prentice-Hall, ISBN 0-13-182007-9, 1995)でサービス処理内容(スクリプト)が記述されている。46はセーフインタプリタと呼ばれるシステムソフトウェアで、安全な動作が保障されないモバイルエージェントのスクリプトを解釈実行するためのものである。セーフインタプリタ46はTcl言語のコマンドの中で、安全でないものをモバイルエージェント29から隠蔽してモバイルエージェント29が使えないようにしている。安全でないコマンドの例としては、ファイルシステムへのアクセス関連のコマンド(file,glob)、サブプロセス実行関係のコマンド(exec)、ファイルオープンやネットワーク接続関係のコマンド(open,socket)などがある。47は、マスターインタプリタと呼ばれるソフトウェアで、上述の安全でないコマンドも含めてTcl言語のすべてのコマンドと機能を解釈実行することができる。マスタインタプリタ47はセーフインタプリタ46内にある変数の読み書き、セーフインタプリタ46内のスクリプトの実行起動ができる他、さらにセーフインタプリタ46内の隠されたコマンドも呼び出すことができるエイリアス機能48も有している。   FIG. 3 is a block diagram for explaining the details of the agent control means 28 shown in FIG. The agent control means 28 has a function of safely executing a mobile agent whose safety is not 100% confirmed and preventing leakage of privacy information outside the privacy capsule. Agent control means 28 is Safe-Tcl's safe interpreter technology (John K. Ousterhout, Jacob Y. Levy, and Brent B. Welch: The Safe-Tcl Security Model, TR-97-60, Sun Micrcosystcms, (March 1997), http://research.sun.com/research/techrep/1997/abstract-60.htm1). In this embodiment, the mobile agent 29 for executing the service is an interpreted script language called Tcl (B. Welch, Practical Programming in Tcl and Tk, Prentice-Hall, ISBN 0-13-182007-9, 1995). Service processing contents (script) are described. 46 is system software called a safe interpreter for interpreting and executing a mobile agent script whose safe operation is not guaranteed. The safe interpreter 46 hides unsafe commands in the Tcl language from the mobile agent 29 so that the mobile agent 29 cannot be used. Examples of insecure commands include commands related to file system access (file, glob), commands related to subprocess execution (exec), and commands related to file opening and network connection (open, socket). 47 is software called a master interpreter, which can interpret and execute all commands and functions of the Tcl language including the above-mentioned unsafe commands. The master interpreter 47 can read and write variables in the safe interpreter 46, execute execution of scripts in the safe interpreter 46, and also has an alias function 48 that can call hidden commands in the safe interpreter 46. .

エイリアス48の具体例としては、ある特定のホストとポートにのみソケットをオープンしたい場合、ネットワーク接続をするために使うsocketコマンドは、安全でないので、セーフインタプリタ46内に隠されている。そこで、モバイルエージェント29からは、新しい種類のsocketコマンド(これをエイリアスコマンドと呼ぶ)を呼び出すと、セーフインタブリタからマスタインタプリタに制御がわたってホストとポート番号を確認してサーフィンタプリタ内に隠された本当のsocketコマンドを呼び出す。これによってモバイルエージェント29はセーフインタプリタ46内に隔離された実行環境で処理を進め、安全でない操作を行わなければならない場合はマスタインタプリタ47の制御のもとで、安全49はセキュリティポリシで、具体的には、安全で、どのモバイルエージェントでも使用可能なコマンドと、そのモバイルエージェントにとって使用が許されたエイリアスコマンドとのセットを言う。そこで、セキュリティポリシとしてプライバシー情報24について書き込みは許さず、読み出しのみを可能とするようにエイリアスを設定することによって、モバイルエージェント29が不正にプライバシー情報24を書き換える操作を防止することができる。また、プライバシー情報24をソケットを通して外部のネットワークへ転送することを不可能にするようにエイリアス48を設定することによって、モバイルエージェントがプライバシー情報を外部に不正に流出することを防止することもできる。   As a specific example of the alias 48, when it is desired to open a socket only for a specific host and port, the socket command used to connect to the network is not secure and is hidden in the safe interpreter 46. Therefore, when a new type of socket command (called an alias command) is called from the mobile agent 29, control is passed from the safe interpreter to the master interpreter, and the host and port number are confirmed and hidden in the surfing interpreter. Call the real socket command. As a result, the mobile agent 29 proceeds in an execution environment isolated within the safe interpreter 46, and when an unsafe operation is to be performed, the safety 49 is a security policy. Is a set of commands that are safe and usable by any mobile agent and alias commands that are allowed for that mobile agent. Therefore, as a security policy, the privacy information 24 is not allowed to be written, and an alias is set so that only the reading is possible, thereby preventing the mobile agent 29 from illegally rewriting the privacy information 24. Further, by setting the alias 48 so as to make it impossible to transfer the privacy information 24 to the external network through the socket, it is possible to prevent the mobile agent from illegally leaking the privacy information to the outside.

図4は図2のシステムの主要部における動作フローを示したもので、以下、図2と図4を参照しながら説明する。図2において、プライバシービーコン21の近くにユーザが来た場合に、ユーザの携帯情報機器22はプライバシービーコン21が発信している位置追跡サービスのプライバシーポリシ所在場所(URI)を通信チャネル40経由で取得する。次にユーザの携帯情報機器22は通信チャネル41経由でユーザのプライバシー情報(現在位置の情報)とプライバシーポリシのURIをパーソナルプライバシープロキシ23に伝える。パーソナルプライバシープロキシ23ではユーザのプライバシー情報を記憶するとともに(図4のステップ50に対応する。)、URIをもとにサービスプロキシ30にアクセスしてプライバシーポリシを通信チヤネル43経由でダウンロードする(ステップ51)。ここまでは、図1における処理手順と同じである。   FIG. 4 shows an operation flow in the main part of the system shown in FIG. 2, which will be described below with reference to FIGS. In FIG. 2, when a user comes near the privacy beacon 21, the portable information device 22 of the user obtains the location policy (URI) of the location tracking service transmitted by the privacy beacon 21 via the communication channel 40. To do. Next, the user's portable information device 22 transmits the user's privacy information (current position information) and the privacy policy URI to the personal privacy proxy 23 via the communication channel 41. The personal privacy proxy 23 stores the user's privacy information (corresponding to step 50 in FIG. 4), accesses the service proxy 30 based on the URI, and downloads the privacy policy via the communication channel 43 (step 51). ). Up to this point, the processing procedure in FIG. 1 is the same.

次に、パーソナルプライバシープロキシ23内のポリシチェック手段27が、ダウンロードしてきたプライバシーポリシと、あらかじめユーザによって設定されているプライバシープリファレンス25と比較し(ステップ52)、もし、条件が満たされなければ、通信チヤネル43経由でサービスプロキシ30にプライバシー情報の利用を拒絶することを通知する(ステップ53)。もし、条件が満たされればプライバシープロキシ23は通信チャネル44経由でサービスプロキシ30にプライバシー情報の利用許可を通知する。そこでサービプロキシ30は、モバイルエージェント32を通信チャネル43経由でパーソナルプライバシープロキシ23に送り込む(ステップ54)。パーソナルプライバシープロキシ23では、エージェント制御手段28の制御のもとでモバイルエージェント29がプライバシー情報24内にあるユーザの物理的位置情報を入力としてユーザの周辺の地図情報を出力する(ステップ60)。出力結果は通信チャネル44経由でサービスプロキシ30に送られ(ステップ61)、サービスプロキシ30から通信チャネル45経由でユーザの携帯情報機器22に送り込む。あるいは出力結果を通信チヤネル42経由で直接、ユーザの携帯情報機器22に送り込んでもよい。以上により、「個人の現在位置情報」というプライバシー情報をパーソナルプライバシープロキシの外部に直接見せずに、位置追跡サービスを実行することができる。   Next, the policy checking means 27 in the personal privacy proxy 23 compares the downloaded privacy policy with the privacy preference 25 set in advance by the user (step 52), and if the condition is not satisfied, The service proxy 30 is notified via the communication channel 43 that the use of privacy information is rejected (step 53). If the condition is satisfied, the privacy proxy 23 notifies the service proxy 30 of permission to use privacy information via the communication channel 44. Accordingly, the service proxy 30 sends the mobile agent 32 to the personal privacy proxy 23 via the communication channel 43 (step 54). In the personal privacy proxy 23, under the control of the agent control means 28, the mobile agent 29 inputs the physical location information of the user in the privacy information 24 and outputs map information around the user (step 60). The output result is sent to the service proxy 30 via the communication channel 44 (step 61), and sent from the service proxy 30 to the user's portable information device 22 via the communication channel 45. Alternatively, the output result may be sent directly to the user's portable information device 22 via the communication channel 42. As described above, the location tracking service can be executed without directly displaying the privacy information “personal current location information” to the outside of the personal privacy proxy.

次に、もう少し複雑な実施例として、複数のパーソナルプロキシが連携しながら、互いに他のパーソナルプライバシープロキシに、自分のプライバシー情報を見せることなく、ひとつのサービスを実行する方法を第2の実施例として説明する。例えば、ユーザA(夫)とユーザB(妻)が両方とも自宅から外出したら留守番電話の録音機能をセットするという留守番電話アプリケーションを想定する。図5は本発明の第2の実施例の構成図である。図5において、71は留守番電話機で、通信チヤネルを介して録音機能を設定したり解除したりできる機能を有する。72A,72Bはそれぞれ夫と妻の携帯情報機器で、ユーザの物理的な位置情報をセンシングする機能を有する。73A,73Bはそれぞれ夫と妻のパーソナルプライバシープロキシである。74A,74Bはそれぞれ夫と妻のプライバシー情報(現在位置の情報)で、75A,75Bは、それぞれのプライバシー情報に対応するプライバシープリファレンスである。76A,76Bは、それぞれ、プライバシー情報74A,74Bとプライバシープリファレンス75A,75Bを一体で管理しているカプセルである。77A,77Bは、それぞれ夫と妻のポリシチェック手段である。78A,78Bは、それぞれ夫と妻のエージェント制御手段である。79A,79Bは、それぞれ夫と妻のモバイルエージェントで、後述するサービスプロキシから送り込まれる。80はサービスプロキシで留守番電話サービスの利用条件を記述した「プライバシーポリシ81」と、留守番電話サービスを実行するための「モバイルエージェント82」とを含む。モバイルエージェント82が2つのパーソナルプライバシープロキシ53A,53Bに移動して、それぞれモバイルエージェント79A,79Bとして動作する。90〜101は各サーバや機器類の間の通信を司る通信チヤネルである。留守番電話サービスは、夫と妻という複数のユーザが関わるサービスであるので、サービスプロキシ80に、あらかじめ夫と妻が留守番電話サービスへの加入登録を行っているものとする。   Next, as a slightly more complicated embodiment, a second embodiment is a method in which a plurality of personal proxies cooperate to execute one service without showing each other's privacy information to other personal privacy proxies. explain. For example, assume an answering machine application in which the recording function of an answering machine is set when both of user A (husband) and user B (wife) are away from home. FIG. 5 is a configuration diagram of the second embodiment of the present invention. In FIG. 5, reference numeral 71 denotes an answering machine having a function for setting and canceling a recording function via a communication channel. 72A and 72B are portable information devices of husband and wife, respectively, and have a function of sensing physical location information of the user. 73A and 73B are personal privacy proxies for husband and wife, respectively. 74A and 74B are privacy information (current position information) of husband and wife, respectively, and 75A and 75B are privacy preferences corresponding to each privacy information. 76A and 76B are capsules that integrally manage privacy information 74A and 74B and privacy preferences 75A and 75B, respectively. 77A and 77B are husband and wife policy checking means, respectively. 78A and 78B are husband and wife agent control means, respectively. 79A and 79B are husband and wife mobile agents, which are sent from a service proxy, which will be described later. 80 includes a “privacy policy 81” that describes the usage conditions of the answering machine service by a service proxy, and a “mobile agent 82” for executing the answering machine service. The mobile agent 82 moves to the two personal privacy proxies 53A and 53B and operates as mobile agents 79A and 79B, respectively. Reference numerals 90 to 101 denote communication channels that manage communication between servers and devices. Since the answering machine service is a service involving a plurality of users, husband and wife, it is assumed that the husband and wife have registered in advance with the service proxy 80 for the answering machine service.

図6は図5のシステムの主要部における動作フローを示したもので、以下、図5と図6を参照しながら説明する。図5において、ユーザA(夫)が外出先にいて、妻が外出したら自宅の電話機を留守番電話モードに設定したいと考えて、自分の携帯情報機器72Aに表示されている留守番電話サービスのメニューを選択する。その結果、ユーザA(夫)の現在位置と留守番電話サービスのプライバシーポリシを示すURIが携帯情報機器72Aからパーソナルプライバシープロキシ73Aに送られる。パーソナルプライバシープロキシ73Aは、指定されたURIをもとにサービスプロキシ80からプライバシーポリシ81を通信チャネル93経由でダウンロードする。それとともに、サービスプロキシ80は、妻のサービス加入登録情報をもとにパーソナルプライバシープロキシ73Bのアドレスを入手し、妻のパーソナルプライバシープロキシ73Bに通信チャネル95経由で留守番電話サービスのプライバシーポリシのURIを知らせる。これにより、妻のパーソナルプライバシープロキシ73Bも、サービスプロキシ80からプライバシーポリシ81を通信チャネル95経由でダウンロードすることができる。   FIG. 6 shows an operation flow in the main part of the system of FIG. 5, which will be described below with reference to FIGS. In FIG. 5, when user A (husband) is away from home and his wife goes out, he wants to set his home phone to the answering machine mode, and the menu of the answering machine service displayed on his portable information device 72A is displayed. select. As a result, a URI indicating the current position of the user A (husband) and the privacy policy of the answering service is sent from the portable information device 72A to the personal privacy proxy 73A. The personal privacy proxy 73A downloads the privacy policy 81 from the service proxy 80 via the communication channel 93 based on the designated URI. At the same time, the service proxy 80 obtains the address of the personal privacy proxy 73B based on the wife's service subscription registration information, and informs the wife's personal privacy proxy 73B of the privacy policy URI of the answering machine service via the communication channel 95. . Thus, the wife's personal privacy proxy 73B can also download the privacy policy 81 from the service proxy 80 via the communication channel 95.

パーソナルプライバシープロキシ73A、73Bは、それぞれ、ポリシチェック手段77A,77Bで、ダウンロードしてきたプライバシーポリシと,プライバシープリファレンス75A,75Bと比較し、条件が満たされれば、それそれ通信チヤネル92,94経由でサービスプロキシ80にモバイルエージェント82を送り込むよう要請する。サービスプロキシ80は通信チヤネル93、95経由でパーソナルプライバシープロキシ73A,73Bに、それぞれ必要なモバイルエージェント82を送り込み、エージェント制御手段78A,78Bのもとでモバイルエージェント79A,79Bとしてそれらの実行を開始させる。この場合、モバイルエージェント79A,79Bの動作は図6に示すように多少異なる。その理由は、夫がサービス提供を要求したので、夫のモバイルエージェント79Aがマスタとなってサービス実行全体の取りまとめを行い、妻のモバイルエージェント79Bはスレーブとして動作し、実行結果をマスタに渡すまでの処理を行うためである。   The personal privacy proxies 73A and 73B are compared with the downloaded privacy policy and the privacy preferences 75A and 75B by the policy check means 77A and 77B, respectively. Request the service proxy 80 to send the mobile agent 82. The service proxy 80 sends the necessary mobile agents 82 to the personal privacy proxies 73A and 73B via the communication channels 93 and 95, respectively, and starts executing them as mobile agents 79A and 79B under the agent control means 78A and 78B. . In this case, the operations of the mobile agents 79A and 79B are slightly different as shown in FIG. The reason is that since the husband requested service provision, the husband's mobile agent 79A became the master to coordinate the entire service execution, and the wife's mobile agent 79B acted as a slave until the execution result was passed to the master. This is for processing.

具体的動作を以下に説明する。パーソナルプライバシープロキシ73A、73Bには、それぞれ携帯情報機器72A,72Bから定期的に位置情報が送られてきて、それらがプライバシー情報74A,74Bとして記憶されているので、各モバイルエージェント79A、79Bは家の物理的な位置情報とプライバシー情報(ユーザの現在位置情報)74A,74Bとを定期的に比較して「外出したかどうか」を判断する((図6のステップ110と120以下、カッコ内は図6の番号を示す)。例えば妻のモバイルエージェント79Bは妻の現在位置をモニタリングして、最終的に「妻は外出中」と判断すると(ステップ121)、通信チヤネル98経由で夫のモバイルエージェント79Aに「妻は、サービス条件を満足した」ことを伝える(ステップ122)。この際、妻のパーソナルプライバシープロキシ73Bは、妻のプライバシー情報である妻の現在の位置情報を妻のパーソナルプライバシープロキシ73Bの外に出さずに,単に実行結果のみを夫のパーソナルプライバシープロキシ73Aに提供しており、妻のプライバシー情報を十分に保護している。
次に夫のモバイルエージェント79Aも、夫の位置情報をモニタリングし(ステップ110)、「夫が外出した」と判断すると(ステップ111)、妻のモバイルエージェントの出力情報が来るまで待つ(ステップ112)。それが来ると、夫、妻とも「サービス条件を満足した」と判断して、モバイルエージェント79Aは、通信回線93を介して留守番電話機の録音スイッチをONにする(ステップ113)。これによって、留守番電話にかかってきた電話に関して相手の音声を録音することができるようになる。 Specific operations will be described below. The personal privacy proxies 73A and 73B are regularly sent location information from the portable information devices 72A and 72B, respectively, and stored as privacy information 74A and 74B. The physical location information and privacy information (user's current location information) 74A and 74B are periodically compared to determine whether they have gone out (steps 110 and 120 in FIG. 6; 6) For example, when the wife's mobile agent 79B monitors the wife's current position and finally determines that the wife is out (step 121), the husband's mobile agent via the communication channel 98. Tell 79A that his wife has satisfied the service conditions (step 122), where his personal privacy proxy 73B Without presenting the current position information outside the wife's personal privacy proxy 73B, only the execution result is provided to the husband's personal privacy proxy 73A, thereby sufficiently protecting the wife's privacy information.
Next, the husband's mobile agent 79A also monitors the husband's location information (step 110), and determines that “the husband has gone out” (step 111), and waits until the output information of the wife's mobile agent comes (step 112). . When it comes, both the husband and wife determine that “service conditions have been satisfied”, and the mobile agent 79A turns on the recording switch of the answering machine via the communication line 93 (step 113). As a result, the voice of the other party can be recorded with respect to the incoming call to the answering machine.

このように、ひとつのサービスを実行する際に、サービスプロキシから複数のパーソナルプライバシープロキシの各々にモバイルエージェントを送り込み、各パーソナルプライバシープロキシ内のモバイルエージェントが自パーソナルプライバシープロキシ内のプライバシー情報を使用して必要な処理を実行するとともに、自パーソナルプライバシープロキシ内のプライバシー情報を他のモバイルエージェントに対して隠蔽したまま、互いに連携して処理を実行し、最終的にひとつのサービスを実行することができる。なお、本実施例の図2及び図5においては、携帯情報機器とパーソナルプライバシープロキシとを分離した構成で説明したが、両者を統合してシステムを構成することが可能である。この場合には、各ユーザのすべてのプライバシー情報を管理するパーソナルプライバシープロキシがユーザの携帯情報機器としてユーザに携行されるので、ユーザにプライバシー管理の面で安心感を与えると言う利点が生ずる。   In this way, when executing one service, a mobile agent is sent from the service proxy to each of a plurality of personal privacy proxies, and the mobile agent in each personal privacy proxy uses the privacy information in its own personal privacy proxy. While executing necessary processing, the privacy information in the personal privacy proxy is concealed from other mobile agents, processing is performed in cooperation with each other, and finally one service can be executed. 2 and 5 of the present embodiment have been described with the configuration in which the portable information device and the personal privacy proxy are separated, the system can be configured by integrating both. In this case, since the personal privacy proxy that manages all the privacy information of each user is carried by the user as the user's portable information device, there is an advantage that the user is given a sense of security in terms of privacy management.

また、各通信チャネルを介して携帯情報機器、パーソナルプライバシープロキシ、サービスプロキシ等で各種情報を送受する場合は、互いに正しい相手と、改窟、盗聴されていない、正しい情報のやり取りができることを保障することが信頼性向上の点で望ましいが、これはPKI(Public Key Infrastructure)技術を用いて、互いに認証局より証明書を発行してもらい、かつ、SSLプロトコルうにより、互いにサーバ認証、クライアント認証を行った後、暗号化された情報をやりとりするという公知の技術で実現できる。
本実施例では、プライバシー情報のアクセス可否を判断する際にP3Pのようにポリシとプレファレンスの照合によるチェック方法の例を用いて説明したが、本発明は、それに拘束されるものでなく、パスワードやチャレンジレスボンス方式のような公知の認証技術と組み合わせて実現することも勿論、可能である。 In addition, when sending and receiving various types of information via mobile communication devices, personal privacy proxies, service proxies, etc. via each communication channel, it is guaranteed that correct information can be exchanged with each other and without being excavated or wiretapped. This is desirable in terms of improving reliability, but this is because PKI (Public Key Infrastructure) technology is used to have each certificate issued by a certificate authority, and server authentication and client authentication can be performed using the SSL protocol. Then, it can be realized by a known technique of exchanging encrypted information.
In the present embodiment, when determining whether or not privacy information can be accessed, an example of a check method based on a policy and preference comparison as in P3P has been described. However, the present invention is not limited thereto, and the password is not limited thereto. Of course, it can be realized in combination with a well-known authentication technique such as a challengeless bond system.

なお、通常はプライバシー情報がパーソナルプライバシープロキシの外部に出ないが、例えばデータ所有者の要望や警察からの要請により、パーソナルプライバシープロキシ内のプライバシー情報をどうしても外部に取り出したいケースもありうる。その場合には、パスワードあるいはスーパーユーザなどの公知のセキュリティ技術を組み合わせることによってプライバシー情報を例外的に取り出せるようにできる。以上に述べた方法によれば、プライバシー情報をパーソナルプライバシープロキシの外部に出さずに、サービスを実行できるので、強国なセキュリティを有するパーソナルプライバシープロキシさえ用意しておけば、プライバシーが十分保護されたシステムを容易に構築することができる。
本明細書では、様々な実施態様で本発明の原理を説明してきたが、本発明は上述した実施例に限定されず幾多の変形および修正を施すことが可能であり、これら変形および修正されたものも本発明に含まれることを理解されたい。例えば、ビーコンは、PHSや携帯電話などの移動電話の基地局、携帯情報機器は移動電話に置き換えることは、当業者であれば容易である。また、モバイルエージェントは、JAVA(登録商標)のアプレットなどでも実現され得る。また、プロキシ間を結ぶ通信チャネルなどは、専用の回線でもよいが、インターネットなどのネットワークを利用することが好適である。 Normally, privacy information does not go out of the personal privacy proxy, but there may be a case where the privacy information in the personal privacy proxy is inevitably taken out by the request of the data owner or a request from the police. In that case, privacy information can be taken out exceptionally by combining known security techniques such as a password or superuser. According to the method described above, since the service can be executed without releasing the privacy information outside the personal privacy proxy, a system with sufficiently protected privacy can be obtained as long as a personal privacy proxy having strong security is prepared. Can be easily constructed.
In the present specification, the principle of the present invention has been described in various embodiments. However, the present invention is not limited to the above-described embodiments, and many variations and modifications can be made. It should be understood that these are also included in the present invention. For example, those skilled in the art can easily replace a beacon with a mobile phone base station such as a PHS or a mobile phone, and a mobile information device with a mobile phone. The mobile agent can also be realized by a JAVA (registered trademark) applet or the like. The communication channel connecting the proxies may be a dedicated line, but it is preferable to use a network such as the Internet.

従来のプライバシー保護方式を組み込んだシステムの構成図である。It is a block diagram of the system incorporating the conventional privacy protection system. 本発明のプライバシー保護方式を組み込んだシステムの構成図である。It is a block diagram of the system incorporating the privacy protection system of this invention. エージェント制御手段の構成図である。It is a block diagram of an agent control means. 実施例1の主要部の動作フロー示すフローチャートである。3 is a flowchart illustrating an operation flow of a main part of the first embodiment. 本発明のプライバシー保護方式を組み込んで複数のモバイルエージェントを連携させてサービスを実行するシステムの構成図である。1 is a configuration diagram of a system that incorporates a privacy protection system of the present invention and executes a service by linking a plurality of mobile agents. FIG. 実施例2の主要部の動作フローを示すフローチャートである。10 is a flowchart showing an operation flow of a main part of the second embodiment.

符号の説明Explanation of symbols

21 プライバシービーコン
22 携帯情報機器
23 パーソナルプライバシープロキシ
24 プライバシー情報
25 プライバシープリファレンス
26 カプセル
27 ポリシチェック手段(プログラム)
28 エージェント制御手段
29 モバイルエージェント
30 サービスプロキシ
31 プライバシーポリシ
32 モバイルエージェント
40〜45 通信チャネル 21 Privacy Beacon 22 Mobile Information Device 23 Personal Privacy Proxy 24 Privacy Information 25 Privacy Preferences 26 Capsule 27 Policy Check Means (Program)
28 Agent control means 29 Mobile agent 30 Service proxy 31 Privacy policy 32 Mobile agent 40-45 Communication channel

Claims (7)

利用者個人のプライバシーに関わるデータを含んだプライバシー情報を用いて利用者に各種のサービスを提供する際に、このプライバシー情報と、それを外部に公開できる条件を記述したプライバシープリファレンスと、をプライバシーカプセルとして一体で管理し、前記プライバシー情報の利用者の利用条件を記述したプライバシーポリシと、前記プライバシープリファレンスと比較して条件を満足する場合に、前記プライバシー情報を前記プライバシーカプセル内で使用することを許可するとともに、前記プライバシー情報を前記プライバシーカプセル外に流出するのを防止することにより、前記プライバシーカプセル外部から前記プライバシー情報を隠蔽するプライバシー情報保護方法。   When providing various services to users using privacy information that includes data related to the privacy of individual users, this privacy information and privacy preferences that describe the conditions under which it can be disclosed to the outside The privacy information is managed as a capsule and used in the privacy capsule when the privacy policy that describes the usage conditions of the user of the privacy information is satisfied and the conditions are satisfied in comparison with the privacy preference. A privacy information protection method for concealing the privacy information from the outside of the privacy capsule by allowing the privacy information to flow out of the privacy capsule. 請求項1に記載のプライバシー情報保護方法において、
前記プライバシーポリシと前記プライバシープリファレンスとを比較して条件に合った場合に、サービスを実行するためのプログラムを含んだモバイルエージェントを外部から前記プライバシーカプセルに送り込み、プライバシーカプセル内で前記モバイルエージェントが前記プライバシー情報を用いて前記サービスを実行し、実行結果のみを前記プライバシーカプセル外部に出力する、
ことを特徴とするプライバシー情報保護方法。 The privacy information protection method according to claim 1,
When the privacy policy and the privacy preference are compared and a condition is met, a mobile agent including a program for executing a service is sent from the outside to the privacy capsule, and the mobile agent is in the privacy capsule Execute the service using privacy information and output only the execution result to the outside of the privacy capsule.
The privacy information protection method characterized by this. 請求項1または2に記載のプライバシー情報保護方法において、
ひとつのサービスを実行する際に、複数の前記プライバシーカプセルの各々に前記モバイルエージェントを送り込み、前記プライバシーカプセルのぞれぞれのなかの前記モバイルエージェントが自プライバシーカプセル内の前記プライバシー情報を使用して必要な処理を実行するとともに、自プライバシーカプセル内の前記プライバシー情報を他の前記プライバシーカプセルに対して隠蔽したまま、互いに連携して処理を実行し、最終的に前記ひとつのサービスを実行する、
ことを特徴とするプライバシー情報保護方法。 In the privacy information protection method according to claim 1 or 2,
When executing one service, the mobile agent is sent to each of the plurality of privacy capsules, and the mobile agent in each of the privacy capsules uses the privacy information in its own privacy capsule. Perform necessary processing, execute the processing in cooperation with each other while concealing the privacy information in the own privacy capsule from the other privacy capsule, and finally execute the one service,
The privacy information protection method characterized by this. プライバシーポリシーの所在情報を送信するプライバシービーコンと、携帯情報機器と、ユーザのプライバシープリファレンスおよびプライバシー情報を含むプライバシーカプセルを収容するパーソナルプライバシープロキシーと、プライバシーポリシー及びモバイルエージェントを収容するサービスプロキシーと、を含むプライバシー情報保護システムであって、
前記携帯情報機器は、
前記プライバシービーコンから送信された前記所在情報を受信し、この受信した前記所在情報を前記パーソナルプライバシープロキシーに送信する手段を具え、
前記パーソナルプライバシープロキシーは、
前記携帯情報機器から、前記プライバシーポリシーの所在情報と前記プライバシー情報とを受信する手段と、
前記プライバシーポリシーの所在情報に基づき、前記サービスプロキシから前記プライバシーポリシを受信する手段と、
前記プライバシーポリシと前記プライバシープリファレンスとを比較して条件を満足する場合に、前記サービスプロキシにモバイルエージェントを要求するポリシチェック手段と、
前記要求を受けて前記サービスプロキシから送信された前記モバイルーエージェントを受信し、それを前記プライバシーカプセルに組み込み、前記プライバシーカプセル内で前記モバイルエージェントに、プライバシー情報を用いてサービスを実行させ、実行結果のみを前記プライバシーカプセル外部に出力させるように制御するモバイルエージェント制御手段と、を具える、
ことを特徴とするプライバシー情報保護システム。 A privacy beacon that transmits the location information of the privacy policy, a portable information device, a personal privacy proxy that accommodates a privacy capsule that includes the user's privacy preferences and privacy information, and a service proxy that accommodates the privacy policy and mobile agent A privacy information protection system including
The portable information device is
Means for receiving the location information transmitted from the privacy beacon and transmitting the received location information to the personal privacy proxy;
The personal privacy proxy is
Means for receiving the location information of the privacy policy and the privacy information from the portable information device;
Means for receiving the privacy policy from the service proxy based on location information of the privacy policy;
Policy check means for requesting a mobile agent from the service proxy when the privacy policy is compared with the privacy preference and a condition is satisfied;
The mobile agent sent from the service proxy in response to the request is received, embedded in the privacy capsule, and the mobile agent executes the service using privacy information in the privacy capsule, and the execution result Mobile agent control means for controlling to output only to the outside of the privacy capsule,
A privacy information protection system characterized by this. 請求項4に記載のプライバシー情報保護システムにおいて、
前記携帯情報機器は、
さらに、前記ユーザのプライバシー情報を取得或いは検出する手段と、
この取得或いは検出したプライバシー情報を前記所在情報と共に前記前記パーソナルプライバシープロキシーに送信する手段とをも具える、
ことを特徴とするプライバシー情報保護システム。 In the privacy information protection system according to claim 4,
The portable information device is
Means for acquiring or detecting the privacy information of the user;
Means for transmitting the acquired or detected privacy information together with the location information to the personal privacy proxy,
A privacy information protection system characterized by this. 請求項4または5に記載のプライバシー情報保護システムにおいて、
ひとつのサービスを実行する際に、前記サービスプロキシは前記モバイルエージェントを複数の前記パーソナルプライバシープロキシの前記プライバシーカプセルの各々に送り込み、各プライバシーカプセル内の前記モバイルエージェントが自プライバシーカプセル内の前記プライバシー情報を使用して必要な処理を実行するとともに、自プライバシーカプセル内の前記プライバシー情報を他の前記パーソナルプライバシープロキシ内の前記プライバシーカプセルに対して隠蔽したまま、互いに連携して処理を実行し、最終的にひとつのサービスを実行する、
ことを特徴とするプライバシー情報保護システム。 In the privacy information protection system according to claim 4 or 5,
In executing one service, the service proxy sends the mobile agent to each of the privacy capsules of the plurality of personal privacy proxies, and the mobile agent in each privacy capsule sends the privacy information in its own privacy capsule. To perform necessary processing and execute the processing in cooperation with each other while concealing the privacy information in its own privacy capsule from the privacy capsule in the other personal privacy proxy. Run one service,
A privacy information protection system characterized by this. 請求項4〜6のいずれか1項に記載のプライバシー情報保護システムにおいて、
前記携帯情報機器と前記パーソナルプライバシープロキシが統合され、各ユーザの前記プライバシー情報が各ユーザの前記携帯情報機器で一元管理される、
ことを特徴とするプライバシー情報保護システム。 In the privacy information protection system according to any one of claims 4 to 6,
The portable information device and the personal privacy proxy are integrated, and the privacy information of each user is centrally managed by the portable information device of each user.
A privacy information protection system characterized by this.
JP2003330512A 2003-09-22 2003-09-22 Privacy information protection system and its method Pending JP2005099944A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003330512A JP2005099944A (en) 2003-09-22 2003-09-22 Privacy information protection system and its method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003330512A JP2005099944A (en) 2003-09-22 2003-09-22 Privacy information protection system and its method

Publications (2)

Publication Number Publication Date
JP2005099944A true JP2005099944A (en) 2005-04-14
JP2005099944A5 JP2005099944A5 (en) 2006-06-22

Family

ID=34459453

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003330512A Pending JP2005099944A (en) 2003-09-22 2003-09-22 Privacy information protection system and its method

Country Status (1)

Country Link
JP (1) JP2005099944A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100670826B1 (en) 2005-12-10 2007-01-19 한국전자통신연구원 Method for protection of internet privacy and apparatus thereof
JP2007094701A (en) * 2005-09-28 2007-04-12 Ntt Docomo Inc Information transmitting terminal and method, article information transmitting system, and article information transmitting method
US7801915B2 (en) 2005-09-27 2010-09-21 International Business Machines Corporation Apparatus for managing confidentiality of information, and method thereof
US8935268B2 (en) 2011-01-31 2015-01-13 International Business Machines Corporation Controlling disclosure of trace data related to moving object
CN104765323A (en) * 2014-01-03 2015-07-08 科沃斯机器人科技(苏州)有限公司 Terminal robot safety system and operation method
US10311446B2 (en) * 2008-12-05 2019-06-04 Nokia Technologies Oy Method and apparatus for obfuscating context information
KR20200076720A (en) * 2017-11-03 2020-06-29 구글 엘엘씨 Use a distributed state machine for automatic assistants and human-to-computer conversations to protect personal data

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7801915B2 (en) 2005-09-27 2010-09-21 International Business Machines Corporation Apparatus for managing confidentiality of information, and method thereof
JP2007094701A (en) * 2005-09-28 2007-04-12 Ntt Docomo Inc Information transmitting terminal and method, article information transmitting system, and article information transmitting method
JP4722651B2 (en) * 2005-09-28 2011-07-13 株式会社エヌ・ティ・ティ・ドコモ Information transmission terminal, information transmission method, article information transmission system, and article information transmission method
KR100670826B1 (en) 2005-12-10 2007-01-19 한국전자통신연구원 Method for protection of internet privacy and apparatus thereof
US10311446B2 (en) * 2008-12-05 2019-06-04 Nokia Technologies Oy Method and apparatus for obfuscating context information
US8935268B2 (en) 2011-01-31 2015-01-13 International Business Machines Corporation Controlling disclosure of trace data related to moving object
CN104765323A (en) * 2014-01-03 2015-07-08 科沃斯机器人科技(苏州)有限公司 Terminal robot safety system and operation method
KR20200076720A (en) * 2017-11-03 2020-06-29 구글 엘엘씨 Use a distributed state machine for automatic assistants and human-to-computer conversations to protect personal data
JP2021503647A (en) * 2017-11-03 2021-02-12 グーグル エルエルシーGoogle LLC Using a distributed state machine for human-computer dialogs with an automated assistant to protect private data
JP2021064386A (en) * 2017-11-03 2021-04-22 グーグル エルエルシーGoogle LLC Usage of distributed state machines for human-to-computer dialogs using automated assistants to protect private data
US11210345B2 (en) 2017-11-03 2021-12-28 Google Llc Using distributed state machines for human-to-computer dialogs with automated assistants to protect private data
KR102360925B1 (en) * 2017-11-03 2022-02-09 구글 엘엘씨 Use of distributed state machines for automated assistants and human-to-computer conversations to protect personal data
KR20220025118A (en) * 2017-11-03 2022-03-03 구글 엘엘씨 Using distributed state machines for human-to-computer dialogs with automated assistants to protect private data
JP7053777B2 (en) 2017-11-03 2022-04-12 グーグル エルエルシー Using a distributed state machine for human computer dialogs with an automated assistant to protect private data
KR102421663B1 (en) 2017-11-03 2022-07-14 구글 엘엘씨 Using distributed state machines for human-to-computer dialogs with automated assistants to protect private data

Similar Documents

Publication Publication Date Title
CN102404727B (en) The method of controlling security and device of mobile terminal
US9165139B2 (en) System and method for creating secure applications
US9537869B2 (en) Geographical restrictions for application usage on a mobile device
Tiburski et al. The importance of a standard securit y archit ecture for SOA-based iot middleware
US7669237B2 (en) Enterprise-wide security system for computer devices
US8990920B2 (en) Creating a virtual private network (VPN) for a single app on an internet-enabled device or system
US8577334B1 (en) Restricted testing access for electronic device
US10880736B2 (en) Method and apparatus for transmitting and receiving encrypted message between terminals
US20190268155A1 (en) Method for Ensuring Terminal Security and Device
CN105072255A (en) Mobile equipment privacy authority control method, mobile equipment privacy authority control device and corresponding mobile phone equipment
CN104798355A (en) Mobile device management and security
CN103686722A (en) Access control method and device
KR20130022846A (en) System and method for sharing content suing nfc in cloud circumstance
JP2006085718A (en) Granting license based on positional information
CN102859935A (en) System And Methods For Remote Maintenance Of Multiple Clients In An Electronic Network Using Virtual Machines
WO2018049564A1 (en) Anti-theft method and device for mobile terminal
US7818815B2 (en) Communication device
US20090030975A1 (en) Application generation system and method
KR101580425B1 (en) User Terminal for Interworking with the Peripherals and Method for Preventing Corporate Information Leakage Using the same
US9380040B1 (en) Method for downloading preauthorized applications to desktop computer using secure connection
JP2005099944A (en) Privacy information protection system and its method
Prabhavathy et al. Smart phone user assistance application for android
WO2004062248A1 (en) System and method for distributed authorization and deployment of over the air provisioning for a communications device
US20040030761A1 (en) Apparatus control system
CN104021076B (en) Application testing method and router

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20060404

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20060404

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060406

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20060404

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060921

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061003

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061204

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070904