JP4995995B2 - Method for privacy management in an identity network, physical entity and computer program therefor - Google Patents

Method for privacy management in an identity network, physical entity and computer program therefor Download PDF

Info

Publication number
JP4995995B2
JP4995995B2 JP2012049671A JP2012049671A JP4995995B2 JP 4995995 B2 JP4995995 B2 JP 4995995B2 JP 2012049671 A JP2012049671 A JP 2012049671A JP 2012049671 A JP2012049671 A JP 2012049671A JP 4995995 B2 JP4995995 B2 JP 4995995B2
Authority
JP
Japan
Prior art keywords
identity
subject
resource
service provider
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012049671A
Other languages
Japanese (ja)
Other versions
JP2012142008A (en
Inventor
ジョレンテ, ミゲル, アンヘル モンハス
アラモ ラミロ, ホセ, マリア デル
ミゲル ゴンザレス, ベアトリス サン
ガルシア, ファン, カルロス イェルモ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Universidad Politecnica de Madrid
Original Assignee
Universidad Politecnica de Madrid
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Universidad Politecnica de Madrid filed Critical Universidad Politecnica de Madrid
Priority to JP2012049671A priority Critical patent/JP4995995B2/en
Publication of JP2012142008A publication Critical patent/JP2012142008A/en
Application granted granted Critical
Publication of JP4995995B2 publication Critical patent/JP4995995B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明はアイデンティティネットワークにおけるプライバシー管理に関する。特に、本発明はアイデンティティネットワークにおいてプライバシー管理を実行するための方法、そのために構成された物理エンティティ、およびコンピュータ上で実行された場合に上述の方法をコンピュータに実行させるように構成された命令を有するコンピュータプログラムに関する。本発明はとりわけコンピュータネットワーク内で提供されるサービスを用いるユーザまたはシステムのアイデンティティおよびそれに関連する属性を管理するために用いられてもよい。   The present invention relates to privacy management in identity networks. In particular, the present invention comprises a method for performing privacy management in an identity network, a physical entity configured therefor, and instructions configured to cause a computer to perform the method described above when executed on the computer. It relates to a computer program. The present invention may be used, among other things, to manage user or system identities and associated attributes using services provided within a computer network.

電気通信ネットワークおよびコンピュータネットワークにおいて、アイデンティティネットワークは複数のサービスプロバイダと1つのアイデンティティプロバイダとを含み、いわゆるトラストサークルを形成する。ユーザを表すより汎用的な用語である主体者(principal)はアイデンティティが認証されうるシステムエンティティである。主体者は例えば個人ユーザであってもよいし、個人のグループであってもよいし、企業のような組織エンティティであってもよいし、ネットワークコンポーネントであってもよい。アイデンティティプロバイダは主体者に代わってアイデンティティ情報を管理するように構成されたシステムエンティティである。アイデンティティプロバイダは主体者認証のアサーションをサービスプロバイダに提供できる。よって、主体者が例えばサービスプロバイダにより提供されるサービスにアクセスしたい場合に、サービスプロバイダは、サービスプロバイダにより提供されるサービスが当該主体者により用いられることを可能にする前に、主体者の認証のためにアイデンティティネットワークのアイデンティティプロバイダを参照できる。   In telecommunication networks and computer networks, an identity network includes a plurality of service providers and an identity provider, forming a so-called trust circle. A more general term for a user, principal, is a system entity whose identity can be authenticated. The subject may be, for example, an individual user, a group of individuals, an organizational entity such as a company, or a network component. An identity provider is a system entity configured to manage identity information on behalf of a subject. The identity provider can provide subject authentication assertions to the service provider. Thus, if the subject wants to access a service provided by a service provider, for example, the service provider must authenticate the subject before allowing the service provided by the service provider to be used by the subject. You can refer to the identity provider of the identity network for.

例えば、リバティーアライアンス(http://www.projectliberty.org/、または米国ニュージャージー州ピスカタウェイ、IEEE−ISTO宛てリバティーアライアンスプロジェクト)はアイデンティティ管理に基づいて電気通信ネットワークおよびコンピュータネットワークにおいてサービスを提供するためのフレームワークを開示する仕様の集合をリリースした。3つの仕様のうちの1つは、複数のサービスプロバイダにまたがる主体者についてのシングルサインオン認証のための方法を規定するアイデンティティ連携フレームワーク(ID−FF)である。言い換えると、このようなフレームワークにより、複数のウェブサイトで提供されるサービスにアクセスする前に一度だけ認証することによって、インターネットのようなコンピュータネットワークにわたって提供されるサービスにユーザがアクセスすることができる。   For example, the Liberty Alliance (http://www.projectliberty.org/ or the Liberty Alliance Project for Piscataway, IEEE, USA-IEEE-ISTO) is a frame for providing services in telecommunications and computer networks based on identity management. Released a set of specifications that disclose work. One of the three specifications is an identity federation framework (ID-FF) that defines a method for single sign-on authentication for a subject across multiple service providers. In other words, such a framework allows users to access services provided across computer networks such as the Internet by authenticating only once before accessing services provided by multiple websites. .

リバティーアライアンスによりリリースされた別の仕様またはフレームワークはリバティーアイデンティティウェブサービスフレームワーク、略してID−WSFの仕様の集合である。ID−FFのシングルサインオンサービスに加えて、ID−WSFによって複数のサービスプロバイダが、主体者のアイデンティティに関係する主体者の属性を記憶でき、さらに消費者またはウェブサービス消費者(WSC)とも呼ばれる他のサービスプロバイダによってこれらの属性の一部を読み出すことができる。   Another specification or framework released by the Liberty Alliance is a set of specifications for the Liberty Identity Web Service Framework, or ID-WSF for short. In addition to the ID-FF single sign-on service, ID-WSF allows multiple service providers to store the subject's attributes related to the identity of the subject, and is also referred to as the consumer or web service consumer (WSC) Some of these attributes can be read by other service providers.

ID−WSF仕様に準拠するアイデンティティネットワークでは、サービスプロバイダが主体者に関連する何らかの情報またはリソースを有する場合に、情報またはリソースは、場合によっては、主体者の同意の下で他のサービスプロバイダと共有されうる。この例示のアイデンティティネットワークの実施では、主体者に関連するアイデンティティリソースを登録し、その結果、他のサービスプロバイダ、すなわちWSCはこれらをディスカバリして使用できるようにするためにサービスプロバイダによってディスカバリサービスが用いられてもよい。   In an identity network that conforms to the ID-WSF specification, if a service provider has some information or resource associated with a principal, the information or resource may be shared with other service providers, possibly under the consent of the principal Can be done. In this example identity network implementation, the discovery service uses a service provider to register identity resources associated with a principal so that other service providers, i.e., WSC, can discover and use them. May be.

この文脈では、サービスプロバイダに記憶されるかサービスプロバイダによって提供され、且つ主体者に関連するどのリソースを他のサービスプロバイダが共有して用いることができるかできないかを主体者が制御できるべきである。このような制御作業は主体者の観点から総括的にプライバシー管理と称される。言い換えると、プライバシーとは、ユーザの嗜好に合致するように主体者の情報を適切に扱うことである。サービスプロバイダは主体者のプライバシー設定および嗜好を満たす責任を有する。   In this context, a principal should be able to control which resources that are stored or provided by the service provider and that are associated with the principal can or cannot be used by other service providers. . Such control work is generally referred to as privacy management from the perspective of the subject. In other words, privacy is to appropriately handle the subject's information so as to match the user's preference. The service provider is responsible for meeting the subject's privacy settings and preferences.

「ID統治フレームワークの概要、バージョン1.0」リバティーアライアンスプロジェクト、2007年、URL http://www.projectliberty.org/、ファイル名 overview-id-governance-framework-v1.0.pdf“Overview of ID Governance Framework, Version 1.0” Liberty Alliance Project, 2007, URL http://www.projectliberty.org/, filename overview-id-governance-framework-v1.0.pdf 「リバティーID−WSFディスカバリサービス仕様、バージョン2.0」、ホッジス.J、キャヒル.C(著者)、リバティーアライアンスプロジェクト、2006年7月、URL http://www.projectliberty.org/、ファイル名 liberty-idwsf-disco-svc-v2.0.pdf“Liberty ID-WSF Discovery Service Specification, Version 2.0”, Hodges. J, Cahill. C (Author), Liberty Alliance Project, July 2006, URL http://www.projectliberty.org/, filename liberty-idwsf-disco-svc-v2.0.pdf 「リバティーID−WSFデータサービステンプレート、バージョン2.1」、ケロマキ.S、カイルライネン.J(著者)、リバティーアライアンスプロジェクト、2006年7月、URL http://www.projectliberty.org/、ファイル名 liberty-idwsf-dst-v2.1.pdf“Liberty ID-WSF Data Service Template, Version 2.1”, Keromaki. S, Kyleinen. J (author), Liberty Alliance Project, July 2006, URL http://www.projectliberty.org/, filename liberty-idwsf-dst-v2.1.pdf 「リバティーID−WSFアカウンティングサービス、バージョン1.0−03、リビジョン5」、レ・ヴァン・ゴン.H(著者)、リバティーアライアンスプロジェクト、2007年10月、URL http://www.projectliberty.org/、ファイル名 draft-liberty-idwsf-acct-v1.0-03.pdf“Liberty ID-WSF Accounting Service, Version 1.0-03, Revision 5”, Les Van Gons. H (Author), Liberty Alliance Project, October 2007, URL http://www.projectliberty.org/, file name draft-liberty-idwsf-acct-v1.0-03.pdf 「リバティーID−WSFサブスクリプションおよびノーティフィケイション、バージョン1.0」、サンポ・ケロマキ、リバティーアライアンスプロジェクト、URL http://www.projectliberty.org/、ファイル名 draft-liberty-idwsf-subs-v1.0.pdf“Liberty ID-WSF Subscription and Notification, Version 1.0”, Sampo Keromaki, Liberty Alliance Project, URL http://www.projectliberty.org/, filename draft-liberty-idwsf-subs-v1 .0.pdf 「リバティーID−WSFインタラクションサービス仕様、バージョン2.0−04」、アアルツ.R、マドセン.P(著者)、リバティーアライアンスプロジェクト、2005年9月“Liberty ID-WSF Interaction Service Specification, Version 2.0-04”, Aartz. R, Madsen. P (author), Liberty Alliance Project, September 2005 「ポリシーベースのアドミッション制御のためのフレームワーク」、ヤヴァトカーら、IETF RFC2753、2000年1月“Framework for Policy-Based Admission Control”, Yavatoka et al., IETF RFC2753, January 2000

主体者の動作負担を軽減する必要性を考慮しつつ、ユーザ、すなわち主体者がアイデンティティネットワーク内の自身のプライバシー設定を適切に管理することを可能にする方法、物理エンティティ、およびコンピュータプログラムを提供することが望ましい。   Provide methods, physical entities, and computer programs that allow a user, i.e., a subject, to properly manage their privacy settings within an identity network, while considering the need to reduce the subject's operational burden It is desirable.

これらの目的を少なくとも満たすか少なくとも部分的に満たすために、制御装置、方法、およびコンピュータプログラムが独立請求項に規定される。有利な実施形態が従属請求項に規定される。   In order to at least meet or at least partially meet these objectives, control devices, methods and computer programs are defined in the independent claims. Advantageous embodiments are defined in the dependent claims.

1つの実施系地アでは、少なくとも1つの主体者に対するアイデンティティネットワークにおけるプライバシー管理のために制御装置が用いられる。この文脈では、アイデンティティネットワークは、少なくともアイデンティティプロバイダと、ディスカバリサービスプロバイダと、前記主体者がトランザクションを行うことが可能なサービスプロバイダとを含むコンピュータネットワークである。主体者は当該主体者のアイデンティティが認証されることが可能なシステムエンティティである。アイデンティティリソースは、アイデンティティ又はアイデンティティのグループに関係するデータであるか、アイデンティティ又はアイデンティティのグループに関連するサービスであるかの何れかである。前記制御装置は、前記アイデンティティネットワークで利用可能であり且つ前記主体者のアイデンティティに関連するアイデンティティリソースに関する情報を取得するために前記アイデンティティネットワークのディスカバリサービスプロバイダに問い合わせるように構成される。前記制御装置はさらに、前記アイデンティティネットワークで利用可能であり且つ前記主体者のアイデンティティに関連する前記アイデンティティリソースのアドレス属性について利用可能な情報であるアドレス情報を前記ディスカバリサービスプロバイダから受信するように構成される。前記制御装置はさらに、前記アイデンティティネットワークで利用可能であり且つ前記主体者のアイデンティティに関連する前記アイデンティティリソースの使用を統治する属性であるプライバシー属性を作成し、読み込み、変更し又は削除するために前記アドレス情報に基づいてサービスプロバイダと相互作用するように構成される。   In one implementation site, a control device is used for privacy management in an identity network for at least one subject. In this context, an identity network is a computer network that includes at least an identity provider, a discovery service provider, and a service provider with which the subject can conduct transactions. A subject is a system entity whose identity can be authenticated. An identity resource is either data related to an identity or group of identities, or a service associated with an identity or group of identities. The controller is configured to query a discovery service provider of the identity network to obtain information about identity resources available in the identity network and associated with the subject's identity. The controller is further configured to receive address information from the discovery service provider that is available in the identity network and is information available about an address attribute of the identity resource associated with the identity of the subject. The The controller is further configured to create, read, modify, or delete privacy attributes that are available in the identity network and that govern the use of the identity resources associated with the subject identity. It is configured to interact with the service provider based on the address information.

この文脈では、制御装置はサーバコンピュータであってもよいし、サーバコンピュータ上のホストであってもよい。アイデンティティプロバイダはアイデンティティネットワーク内のシステムエンティティに割り当てられた役割である。アイデンティティプロバイダは主体者に代わってアイデンティティ情報を記憶して管理し、サービスプロバイダのような他のプロバイダから要求された場合に主体者を認証するためのアサーションを提供する。システムエンティティはコンピュータシステムまたはネットワークシステムの要素であり、(役割に特有のプロセスのような)コンピュータで実施されるプロセスが要素上で動作し得るという点でアクティブでありうる。アイデンティティ、より具体的には主体者のアイデンティティは、主体者を識別するか、主体者を識別するために何らかの方法で主体者に対応付けられる主体者の特性のうちの1つである。   In this context, the control device may be a server computer or a host on the server computer. An identity provider is a role assigned to a system entity in an identity network. The identity provider stores and manages identity information on behalf of the subject and provides assertions to authenticate the subject when requested by other providers, such as service providers. A system entity is an element of a computer system or network system and can be active in that a computer-implemented process (such as a role-specific process) can operate on the element. The identity, more specifically the identity of the subject, is one of the characteristics of the subject that identifies the subject or is associated with the subject in some way to identify the subject.

ディスカバリサービスプロバイダはアイデンティティネットワーク内のシステムエンティティに割り当てられた役割である。ディスカバリサービスプロバイダは、アイデンティティネットワーク内のサービスプロバイダ上で、または当該サービスプロバイダから利用可能なサービス、またはより一般的にはアイデンティティリソースを識別、すなわち発見するための能力を有する。サービスは例えばサービスタイプ統一リソース識別子(URI)が割り当てられているので、発見可能でありうる。ディスカバリサービスプロバイダは、主体者のアイデンティティに関連するサービスおよびデータの両方を含むリソースを識別するために用いられる。   A discovery service provider is a role assigned to a system entity in an identity network. A discovery service provider has the ability to identify, i.e. discover, services available on or from a service provider in an identity network, or more generally identity resources. A service may be discoverable because, for example, a service type uniform resource identifier (URI) is assigned. The discovery service provider is used to identify resources that include both services and data related to the identity of the subject.

サービスプロバイダは、典型的に主体者に関係するか、主体者のためにサービスを提供することを伴うシステムエンティティに割り当てられた役割である。サービスの提供は技術的かつ経済的な活動であり、例えば結果として販売を通じた物理的な商品の所有、コンピュータ構成の技術的な特性の変更などを生じうる。サービスはウェブサービスであってもよい。   A service provider is a role that is typically associated with a subject or assigned to a system entity that involves providing services for the subject. Providing services is a technical and economic activity that can result, for example, in the possession of physical goods through sales, changes in the technical characteristics of computer configurations, and the like. The service may be a web service.

認証は指定または了解されたレベルの確かさで主体者のようなシステムエンティティのアサートされたアイデンティティを確認するプロセスである。アイデンティティリソースの使用を統治する属性はアイデンティティリソースに関連するパーミッション(群)、すなわちアイデンティティリソース上で、またはアイデンティティリソースに関係して実行されうる動作に関してシステムエンティティに付加された特権(群)を特定する属性である。   Authentication is the process of verifying the asserted identity of a system entity, such as a subject, with a specified or accepted level of certainty. The attributes that govern the use of the identity resource specify the permission (s) associated with the identity resource, ie, the privilege (s) attached to the system entity with respect to operations that can be performed on or in connection with the identity resource Attribute.

制御装置はアイデンティティネットワークで利用可能であり且つ主体者に関連するアイデンティティリソースに関連するプライバシー設定を集中的に管理するための制御ポイントを提供する。従って、アイデンティティネットワークのどのシステムエンティティにどの情報が記憶されるかを知りたいユーザ、またはより一般的に主体者は、アイデンティティネットワーク内のシステムエンティティまたはサービスプロバイダを1つずつすべて探索する必要はない。その代わりに、制御装置のおかげで、これらのアイデンティティリソースのビューが取得され、すなわち読み出されまたは読み込まれ、制御されうる。つまり、制御装置は主体者に関連するアイデンティティリソースのアドレスを指定するために使用可能なアドレス情報を収集するためにアイデンティティネットワークのディスカバリサービスプロバイダに問い合わせるように構成される。その後、アドレス情報に基づいて、すなわちアドレス情報を用いて、アイデンティティネットワーク内の主体者に関連するアイデンティティリソースのプライバシー属性または設定を管理するために、相互作用が行われうる。   The controller provides a control point for centrally managing privacy settings associated with identity resources available in the identity network and associated with the subject. Thus, a user or more generally a subject who wants to know what information is stored in which system entity in the identity network does not have to search every single system entity or service provider in the identity network. Instead, thanks to the control device, a view of these identity resources can be obtained, ie read or read and controlled. That is, the controller is configured to query the identity network discovery service provider to collect address information that can be used to specify the address of the identity resource associated with the subject. Thereafter, an interaction may be performed based on the address information, ie, using the address information, to manage the privacy attributes or settings of the identity resource associated with the subject in the identity network.

以下は本発明により対処され解決される問題を十分に理解するのに役立ちうる。例えば、リバティーアイデンティティ統治フレームワーク(IGF)(非特許文献1参照)に基づいて、主体者に関連するアイデンティティリソースに関してプライバシーポリシーを管理するソリューションは、属性のユーザがいくつかのプライバシー嗜好を確立することを可能にし、それ故プライバシーポリシーの開発を可能にするウェブポータルを提供するために所定の属性の監督を提供することでありうる。しかしながら、これは、サービスプロバイダ上で提供されるアイデンティティリソースに関係する自身のプライバシー嗜好を入力するためにサービスプロバイダのそれぞれを訪問することをユーザに要求するだろう。これはまた、ネットワーク内に点在する属性を管理するためにこれらの別々のウェブポータルのそれぞれに適応することをユーザに要求するだろう。さらに、一部のアイデンティティリソースに関連付けられ且つユーザが気づいていない一部の属性が首尾よく識別され制御されることが提要される保証がない。   The following may help to fully understand the problems addressed and solved by the present invention. For example, based on the Liberty Identity Governance Framework (IGF) (see Non-Patent Document 1), a solution that manages a privacy policy for identity resources associated with a subject is that attribute users establish several privacy preferences. Can provide a supervision of certain attributes to provide a web portal that enables the development of privacy policies. However, this will require the user to visit each of the service providers to enter their privacy preferences related to the identity resources provided on the service provider. This would also require the user to adapt to each of these separate web portals to manage the attributes scattered throughout the network. Furthermore, there is no guarantee that some attributes that are associated with some identity resources and that the user is not aware of will be required to be successfully identified and controlled.

本発明では、制御装置はアイデンティティネットワークで利用可能であり且つ主体者に関連するアイデンティティリソースの一貫性のあるビューを取得するための制御の集中管理ポイントを提供する。よって、アイデンティティネットワーク内の分散プライバシー管理のための制御ポイントがユーザ、またはより総括的に主体者に提供される。   In the present invention, the controller provides a centralized point of control for obtaining a consistent view of the identity resources available in the identity network and associated with the subject. Thus, control points for distributed privacy management within the identity network are provided to the user, or more generally the subject.

本発明はリバティーアライアンスフレームワークへの適用に限定されない。これはコンピュータで実施されるソーシャルネットワークのような他のアイデンティティネットワークや、いわゆるオープンIDまたはオープンソーシャルフレームワークのようなアイデンティティフレームワークに基づくアイデンティティネットワークに用いられ適用されてもよいがこれに限定されない。オープンIDはインターネット上のユーザ中心のアイデンティティのためのフレームワークであり、米国サンラモンを本拠地とするオープンIdファウンデーション(http://openid.netも参照)によって保守される。オープンソーシャルは自身のソーシャルデータを共有するためにウェブベースのソーシャルネットワークアプリケーションを支援するアプリケーションプログラミングインタフェース(API)の集合を提供し、米国サンフランシスコを本拠地とするオープンソーシャルファウンデーション(http://www.opensocial.org/も参照)により保守される。   The present invention is not limited to application to the Liberty Alliance framework. This may be used and applied to other identity networks, such as computer-implemented social networks, or identity networks based on identity frameworks such as so-called open ID or open social frameworks, but is not limited thereto. Open ID is a framework for user-centric identity on the Internet and is maintained by the Open Id Foundation (see also http://openid.net) based in San Ramon, USA. Open Social provides a collection of application programming interfaces (APIs) that support web-based social network applications to share their social data and is based in San Francisco, USA (http: //www.opensocial maintained by .org /).

1つの実施形態では、制御装置は、主体者に関連するプライバシー属性を管理するためにそれを行うことを命令する主体者からの個別のリクエストを受信することなく、ディスカバリサービスプロバイダに問い合わせ、アドレス情報を受信し、サービスプロバイダと相互作用するように構成される。この実施形態で、プライバシー管理のためのルールは、嗜好に基づく基準を規定するための主体者との以前の通信の結果としてか、制御装置内のデフォルト設定の結果としての何れかとして制御装置に記憶される。これにより、主体者の介在なしに、または少ない介在でプライバシー管理を実行できる。   In one embodiment, the control device queries the discovery service provider and receives address information without receiving a separate request from the principal instructing to do so to manage privacy attributes associated with the principal. Configured to receive and interact with the service provider. In this embodiment, the rules for privacy management are given to the control device either as a result of previous communication with the subject to define a preference-based criterion or as a result of a default setting in the control device. Remembered. As a result, privacy management can be executed with little or no subject intervention.

1つの実施形態では、制御装置は更に、問い合わせる前に、アイデンティティネットワークで利用可能であり且つ主体者のアイデンティティに関連するアイデンティティリソースに関する情報を読み出すことのリクエストを主体者から受信するように構成される。これにより、主体者の明確なリクエストへの応答において、制御装置がアドレス情報を収集し、主体者の要求で、主体者に代わってプライバシー属性を管理できる。   In one embodiment, the controller is further configured to receive from the subject a request to retrieve information about identity resources that are available in the identity network and associated with the subject's identity before querying. . As a result, in response to a clear request from the subject, the control device can collect address information and manage privacy attributes on behalf of the subject at the request of the subject.

1つの実施形態では、制御装置は更に、少なくとも1つのサービスプロバイダ内の主体者のアイデンティティに関連するアイデンティティリソースの使用に関する情報である使用情報をアイデンティティネットワークの少なくとも1つのサービスプロバイダから取得するように構成される。   In one embodiment, the controller is further configured to obtain usage information from at least one service provider of the identity network that is information related to the use of identity resources associated with the identity of the principal in the at least one service provider. Is done.

この実施形態により、主体者は自身のアイデンティティに関連するアイデンティティリソースの動的なビューを取得できる。どのサービスプロバイダによってアイデンティティリソースがどのように、いつ、すなわち少なくともいつの期間の間に使用されてきたかに関する情報を取得できるという点で、取得可能なビューは動的である。よって、主体者は使用かそれらに関連する限りにおいてアイデンティティリソースの使用に関する情報を収集できる。次いで、主体者はこれらの知識の結果としておよび/またはこれらの知識に基づいて、自身のプライバシー設定を変更する行動を起こすかどうかを決定してもよい。主体者からの明確なリクエストを制御装置が受信した際に使用履歴の読み出しが実行されてもよい。これに代えて、制御装置は主体者との最初の相互作用に基づくか、デフォルトの設定に基づいて、アイデンティティネットワーク内にあり且つ主体者に関連するアイデンティティリソースの使用履歴を事前に読み出すように構成されてもよい。   This embodiment allows a subject to obtain a dynamic view of identity resources associated with their identity. The view that can be obtained is dynamic in that it can obtain information about how and when the identity resource has been used by which service provider, ie at least during what period. Thus, the subject can collect information about the use of identity resources as long as they are used or related. The subject may then decide whether to take action to change his privacy settings as a result of and / or based on these knowledge. The use history may be read when the control device receives a clear request from the subject. Instead, the controller is configured to pre-read the usage history of identity resources that are in the identity network and associated with the subject based on the initial interaction with the subject or based on default settings. May be.

使用情報はとりわけ、アイデンティティリソースのタイプと、アイデンティティリソースの属性値と、アイデンティティリソースへのアクセスのタイムスタンプと、アイデンティティリソースにアクセスするか、アクセスしていたか、使用するか、使用していたか又は前記アイデンティティリソースを購読するか、購読していたサービスプロバイダの識別子とのうちの少なくとも1つに関する情報を含んでもよい。   The usage information includes, among other things, the type of the identity resource, the attribute value of the identity resource, the timestamp of access to the identity resource, and the access to, access to, use of, or use of the identity resource. It may include information about at least one of the identity of the service provider that subscribed to or subscribed to the identity resource.

本発明はまた、少なくとも1つの主体者に対するアイデンティティネットワークにおけるプライバシー管理のための制御装置によって実行される方法に関する。前記方法は、前記アイデンティティネットワークで利用可能であり且つ前記主体者のアイデンティティに関連するアイデンティティリソースに関する情報を取得するために前記アイデンティティネットワークのディスカバリサービスプロバイダに問い合わせる工程を有する。前記方法は更に、前記アイデンティティネットワークで利用可能であり且つ前記主体者のアイデンティティに関連する前記アイデンティティリソースのアドレス属性について利用可能な情報であるアドレス情報を前記ディスカバリサービスプロバイダから受信する工程を有する。前記方法は更に、前記アイデンティティネットワークで利用可能であり且つ前記主体者のアイデンティティに関連する前記アイデンティティリソースの使用を統治する属性であるプライバシー属性を作成し、読み込み、変更し又は削除するために前記アドレス情報に基づいてサービスプロバイダと相互作用する工程を有する。   The invention also relates to a method performed by a control device for privacy management in an identity network for at least one subject. The method includes querying a discovery service provider of the identity network to obtain information about identity resources available in the identity network and associated with the subject's identity. The method further comprises receiving address information from the discovery service provider that is available in the identity network and is available for the address attribute of the identity resource associated with the subject identity. The method further includes the address to create, read, modify, or delete a privacy attribute that is available in the identity network and governs the use of the identity resource associated with the subject's identity. Interacting with the service provider based on the information.

本発明はまた、コンピュータまたは上述の制御装置で実行される場合に、上述の方法をコンピュータまたは上述の制御装置にそれぞれ実行させるように構成された命令を有するコンピュータプログラムに関する。本発明はまた、このようなコンピュータプログラムを含むコンピュータプログラム製品又はコンピュータで読み取り可能な記憶媒体に関する。   The present invention also relates to a computer program having instructions configured to cause a computer or the above-described control device to execute the above-described method when executed by the computer or the above-described control device. The invention also relates to a computer program product comprising such a computer program or a computer readable storage medium.

本発明の1つの実施形態における制御装置を含むネットワーク構成を概略的に説明する図である。It is a figure which illustrates roughly the network structure containing the control apparatus in one Embodiment of this invention. 本発明の1つの実施形態による方法おける制御装置12により実行されるステップを説明するフローチャートである。6 is a flowchart illustrating steps performed by a controller 12 in a method according to one embodiment of the invention. とりわけ図2に説明される方法を実行するように構成された本発明の1つの実施形態における制御装置を概略的に説明する図である。FIG. 3 schematically illustrates a control device in one embodiment of the invention configured to perform the method described in FIG. 2 among others. 本発明の方法の1つの実施形態のフローチャートである。2 is a flowchart of one embodiment of the method of the present invention. とりわけ図4に説明される方法を実行するように構成された本発明の1つの実施形態における制御装置を概略的に説明する図である。FIG. 5 schematically illustrates a control device in one embodiment of the invention configured to perform the method described in FIG. 4 in particular. 本発明の方法の1つの実施形態のフローチャートである。2 is a flowchart of one embodiment of the method of the present invention. とりわけ図6に説明される方法を実行するように構成された本発明の1つの実施形態における制御装置を概略的に説明する図である。FIG. 7 schematically illustrates a control device in one embodiment of the invention configured to perform the method described in FIG. 主体者のアイデンティティに関連するアイデンティティリソースの使用に関する使用情報を取得するステップを有する本発明の方法の1つの実施形態のフローチャートである。FIG. 4 is a flow chart of one embodiment of the method of the present invention comprising obtaining usage information regarding the use of identity resources associated with the identity of the subject. とりわけ図8に説明される方法を実行するように構成された本発明の制御装置12の1つの実施形態を概略的に説明する図である。FIG. 9 schematically illustrates one embodiment of the controller 12 of the present invention configured to perform the method described in FIG. 8 among others. , それぞれ図4〜図6および図5〜図7を参照して記載される実施形態の組合せから生じうる本発明の1つの実施形態のシーケンス図である。FIG. 8 is a sequence diagram of one embodiment of the present invention that may result from a combination of embodiments described with reference to FIGS. 4-6 and FIGS. 5-7, respectively. アイデンティティリソース使用の読み出しを有する本発明の実施形態のシーケンス図である。FIG. 6 is a sequence diagram of an embodiment of the present invention with reading of identity resource usage. 本発明の1つの実施形態においてウェブサービスプロバイダ(WSP)として動作するサービスプロバイダへアイデンティティリソースを使用することを要求するウェブサービス消費者(WSC)として動作するサービスプロバイダを説明するシーケンス図である。FIG. 6 is a sequence diagram illustrating a service provider operating as a web service consumer (WSC) requesting use of an identity resource to a service provider operating as a web service provider (WSP) in one embodiment of the present invention. WSP上のアクセスされたアイデンティティリソース情報に関係するログの構造の例である。FIG. 4 is an example of a log structure related to accessed identity resource information on a WSP. 1つの実施形態におけるトレース動作を用いるアイデンティティリソースの使用履歴の読出しを示すシーケンス図である。FIG. 6 is a sequence diagram illustrating reading of an identity resource usage history using a trace operation in one embodiment. 1つの実施形態におけるプライバシー嗜好の設定を示すシーケンス図である。It is a sequence diagram which shows the setting of the privacy preference in one embodiment. 1つの実施形態におけるWSP内の制御装置によるプライバシー嗜好の設定を示すシーケンス図である。It is a sequence diagram which shows the setting of the privacy preference by the control apparatus in WSP in one embodiment. 1つの実施形態におけるアイデンティティリソースに関連するプライバシーポリシーを問い合わせる制御装置を示すシーケンス図である。FIG. 6 is a sequence diagram illustrating a controller that queries a privacy policy associated with an identity resource in one embodiment.

添付の図面と連携して本発明の実施形態が以下に記載される。   Embodiments of the present invention are described below in conjunction with the accompanying drawings.

個別の実施形態に連携して本発明が以下に記載される。これらの個別の実施形態は当業者によりよい理解を提供するのに役立つが、添付の特許請求の範囲によって規定される本発明の範囲をどのようにも制限しないことが意図されることに留意されうる。   The present invention is described below in conjunction with the individual embodiments. It should be noted that these individual embodiments serve to provide a better understanding to those skilled in the art, but are not intended to limit in any way the scope of the invention as defined by the appended claims. sell.

図1は本発明の実施形態による制御装置12を含むネットワーク構成を概略的に説明する。制御装置12はまた、プライバシー制御装置12とも称されうる。   FIG. 1 schematically illustrates a network configuration including a control device 12 according to an embodiment of the present invention. Controller 12 may also be referred to as privacy controller 12.

アイデンティティネットワーク10、すなわちトラストサークルは、制御装置12、アイデンティティプロバイダ14、ディスカバリサービス(DS)プロバイダ16、およびサービスプロバイダ18を含む。アイデンティティネットワーク10の各要素はサーバコンピュータの形式のネットワークノードを形成してもよい。上述のように、アイデンティティプロバイダ14は主体者20に代わってアイデンティティ情報を記憶して管理するように構成され、サービスプロバイダ18のような他のプロバイダにより要求された場合に主体者20を認証するためのアサーションを提供する。DSプロバイダ16はアイデンティティネットワーク10内のサービスプロバイダ18上で、または当該サービスプロバイダ18から利用可能なアイデンティティリソースを識別、すなわち発見できる。サービスプロバイダ18は主体者20に関係するサービスか、当該主体者20のためのサービスを提供する責任を有する。主体者20とサービスプロバイダ18との間の双方向矢印は主体者20とサービスプロバイダ18との間でトランザクションがなされうることを説明する。   The identity network 10, or trust circle, includes a controller 12, an identity provider 14, a discovery service (DS) provider 16, and a service provider 18. Each element of the identity network 10 may form a network node in the form of a server computer. As described above, the identity provider 14 is configured to store and manage identity information on behalf of the principal 20 to authenticate the principal 20 when requested by another provider, such as the service provider 18. Provide assertions for The DS provider 16 can identify, i.e., discover, identity resources available on or from the service provider 18 in the identity network 10. The service provider 18 is responsible for providing services related to or for the subject 20. A bi-directional arrow between the subject 20 and the service provider 18 illustrates that a transaction can be made between the subject 20 and the service provider 18.

図1には唯1つのサービスプロバイダ18が示されるものの、アイデンティティネットワーク10に2つ以上のサービスプロバイダ18が提供されてもよい。サービスプロバイダ18は例えばウェブサービスプロバイダであってもよい。同様に、アイデンティティネットワーク10のサービスプロバイダ18と相互作用するように唯1つの主体者20が説明されるものの、2つ以上の主体者20がアイデンティティネットワーク10のサービスプロバイダ18と相互作用してもよい。   Although only one service provider 18 is shown in FIG. 1, more than one service provider 18 may be provided to the identity network 10. The service provider 18 may be a web service provider, for example. Similarly, although only one subject 20 is described to interact with service provider 18 of identity network 10, more than one subject 20 may interact with service provider 18 of identity network 10. .

DSプロバイダ16は例えば電気通信事業者により管理されるネットワークノード内のホストであってもよい。1つの実施形態では、DSプロバイダ16はアイデンティティプロバイダ14と一緒に用いられる。   The DS provider 16 may be a host in a network node managed by a telecommunications carrier, for example. In one embodiment, DS provider 16 is used with identity provider 14.

制御装置12は、アイデンティティネットワーク10内で利用可能であり且つ主体者のアイデンティティに関連するアイデンティティリソースに関する情報を取得するためにDSプロバイダ16に問い合わせる(s2)ように構成される。応答として、DSプロバイダ16は、アイデンティティネットワーク10内で利用可能であり且つ主体者のアイデンティティに関連するアイデンティティリソースのアドレス属性として使用可能なアドレス情報を制御装置12へ送信する(s4)。次いで、制御装置12はアドレス情報を用いてサービスプロバイダ18と相互作用して、アイデンティティネットワーク10内で利用可能であり且つ主体者のアイデンティティに関連するアイデンティティリソースの使用を統治するプライバシー属性を作成し、読み込み、変更し、または削除できる。   The controller 12 is configured to query (s2) the DS provider 16 to obtain information about identity resources that are available in the identity network 10 and associated with the identity of the subject. In response, the DS provider 16 sends to the controller 12 address information that is available in the identity network 10 and can be used as an address attribute of an identity resource related to the identity of the subject (s4). The controller 12 then interacts with the service provider 18 using the address information to create privacy attributes that govern the use of identity resources that are available in the identity network 10 and associated with the identity of the subject, Can be read, modified or deleted.

図1には示されないものの、アイデンティティネットワーク10内で以下の交換またはインタラクション(i)〜(iv)が行われてもよい。   Although not shown in FIG. 1, the following exchanges or interactions (i)-(iv) may occur within the identity network 10.

(i)制御装置12が情報を主体者20に利用可能にしてもよいという点で主体者20と制御装置12とは通信してもよい。応答として、主体者20はDSプロバイダ16に問い合わせることやサービスプロバイダ18と相互作用することのような追加の動作を行うように制御装置12に命令してもよい。主体者がコンピュータと相互作用するユーザであるか当該ユーザに関連するならば、これはコンピュータディスプレイ上に生成されるグラフィカルユーザインタフェースの形式をとってもよい。   (I) The subject 20 and the control device 12 may communicate with each other in that the control device 12 may make the information available to the subject 20. In response, subject 20 may instruct controller 12 to perform additional actions, such as querying DS provider 16 or interacting with service provider 18. If the subject is a user interacting with or associated with a computer, this may take the form of a graphical user interface generated on a computer display.

(ii)ウェブサービスプロバイダ(WSP)のようなサービスプロバイダ18は自身が主体者20に関するアイデンティティ属性を記憶していることをDSプロバイダ16に通知してもよい。これは登録動作である。すなわち、アイデンティティネットワーク10のサービスプロバイダ18は自身のアイデンティティリソースをDSプロバイダ16に登録してもよく、1つの実施形態では登録しなければならない。   (Ii) A service provider 18 such as a web service provider (WSP) may notify the DS provider 16 that it has stored identity attributes for the subject 20. This is a registration operation. That is, the service provider 18 of the identity network 10 may register its identity resource with the DS provider 16, which in one embodiment must be registered.

(iii)ウェブサービス消費者(WSC)のようなサービスプロバイダ18は、主体者のアイデンティティに関するいくつかのアイデンティティリソースを記憶するサービスプロバイダ18を発見するためにDSプロバイダ16に問い合わせてもよい。WSCはまた、アイデンティティリソースにアクセスするためのクレデンシャルをDSプロバイダ16に依頼してもよい。これは発見動作である。   (Iii) A service provider 18, such as a web service consumer (WSC), may query the DS provider 16 to find a service provider 18 that stores several identity resources regarding the identity of the subject. The WSC may also ask the DS provider 16 for credentials to access the identity resource. This is a discovery operation.

(iv)ウェブサービス消費者(WSC)のようなサービスプロバイダ18はサービスプロバイダ18に記憶されるか、当該サービスプロバイダ18により提供されるアイデンティティリソース(またはその属性)にアクセスしようとするために、読み出したクレデンシャルを使用してもよい。これは問い合わせ動作である。   (Iv) A service provider 18 such as a web service consumer (WSC) is stored in a service provider 18 or read to attempt to access an identity resource (or its attributes) provided by the service provider 18 Credentials may be used. This is an inquiry operation.

1つの実施形態では、制御装置12は、アイデンティティネットワーク10、すなわちトラストサークル(CoT)10内のウェブサービスプロバイダ(WSP)のようなリバティー準拠のサービスプロバイダ18として動作する。よって、制御装置12はCoTエンティティへのアクセスを獲得するためにCoT10に対して主体者20の代わりに認証される必要がある。認証は例えば、リバティーID−FF(ウェブリダイレクション、SOAPプロファイルなど)またはリバティーID−WSF(認証サービスまたはシングルサインオンサービス)に記載された方法の任意の1つに従って実行されてもよい。その他の認証方法も用いられてもよい。結果として、制御装置12はDSプロバイダ16へのエンドポイント参照(EPR)とそれにアクセスするためのクレデンシャルとを取得する。このプロセスはDSブートストラップと称されることもある。   In one embodiment, the controller 12 operates as a Liberty compliant service provider 18 such as a web service provider (WSP) in the identity network 10, ie, a trust circle (CoT) 10. Thus, the control device 12 needs to be authenticated to the CoT 10 instead of the subject 20 in order to gain access to the CoT entity. Authentication may be performed, for example, according to any one of the methods described in Liberty ID-FF (web redirection, SOAP profile, etc.) or Liberty ID-WSF (authentication service or single sign-on service). Other authentication methods may also be used. As a result, the controller 12 obtains an endpoint reference (EPR) to the DS provider 16 and the credentials for accessing it. This process is sometimes referred to as DS bootstrap.

図2は本発明の方法の1つの実施形態における制御装置12により実行されるステップを説明するフローチャートである。制御装置12は、アイデンティティネットワーク10で利用可能であり且つ主体者のアイデンティティに関連するアイデンティティリソースに関する情報を取得するためにアイデンティティネットワーク10のDSプロバイダ16に問い合わせる(s2)。次いで、これは、アイデンティティネットワーク10で利用可能であり且つ主体者のアイデンティティに関連するアイデンティティリソースのアドレス属性について利用可能なアドレス情報をDSプロバイダ16から受信する(s4)。次いで、これは、プライバシー属性を作成し、読み込み、変更し、または削除するためにサービスプロバイダ18と相互作用してもよい。   FIG. 2 is a flowchart illustrating the steps performed by the controller 12 in one embodiment of the method of the present invention. The controller 12 queries the DS provider 16 of the identity network 10 to obtain information about identity resources that are available in the identity network 10 and associated with the identity of the subject (s2). It then receives from the DS provider 16 address information available on the identity network 10 and available for the address attribute of the identity resource associated with the subject's identity (s4). This may then interact with the service provider 18 to create, read, modify or delete privacy attributes.

図3は本発明の1つの実施形態における制御装置を概略的に説明する。制御装置12は、クエリ器12a、受信器12b、および相互作用器12cを備え、それぞれ図2に説明されたステップs2、ステップs4、およびステップs6を実行するように構成される。クエリ器12aから始まる矢印は、クエリ器12aがDSプロバイダ16へクエリを送信する(s2)ように構成されることを説明する。同様に、受信器12bへ到達する矢印は、受信器12bがクエリへの応答としてDSプロバイダ16からアドレス情報を受信する(s4)ように構成されることを説明する。受信器12bから相互作用器12cへの矢印は、相互作用器12cの右側の双方向矢印により説明されるように相互作用器12cがサービスプロバイダ18と相互作用する(s6)ためにアドレス情報を使用するように構成されることを説明する。   FIG. 3 schematically illustrates a control device in one embodiment of the present invention. The controller 12 includes a queryer 12a, a receiver 12b, and an interactor 12c, and is configured to execute steps s2, s4, and step s6 described in FIG. 2, respectively. The arrow starting from the queryer 12a illustrates that the queryer 12a is configured to send a query to the DS provider 16 (s2). Similarly, the arrow arriving at the receiver 12b illustrates that the receiver 12b is configured to receive address information from the DS provider 16 in response to the query (s4). The arrow from the receiver 12b to the interactor 12c uses the address information for the interactor 12c to interact with the service provider 18 (s6) as described by the double arrow on the right side of the interactor 12c. It is explained that it is configured to.

ステップs2およびステップs4の1つの実施形態では、制御装置12は主体者20についての空のクエリを用いてDSプロバイダ16に問い合わせを行う(s2)か、問い合わせる(s2)のように構成され、この結果、サービスプロバイダ18内の主体者20に関連するアイデンティティリソースの利用可能な属性をアドレス指定するために使用可能な情報を含む返答をDSプロバイダ16から得る。次いで、この情報は主体者20により用いられるように、制御装置12により利用可能にされ、提示され、または送信されてもよい。   In one embodiment of step s2 and step s4, the controller 12 is configured to query the DS provider 16 using an empty query for the subject 20 (s2) or to query (s2). As a result, a response is obtained from the DS provider 16 that includes information that can be used to address the available attributes of the identity resource associated with the principal 20 within the service provider 18. This information may then be made available, presented, or transmitted by the controller 12 for use by the subject 20.

これにより、複数のネットワークエンティティに点在するアイデンティティ関係情報のプライバシー面を管理するためのユーザフレンドリなソリューションがエンドユーザに提供され、それと同時に、実装への影響が最小化される。ユーザは、どんな情報が記憶されているかを知るために自身に関する情報を記憶するサービスプロバイダ18を1つずつすべて探索する必要がない。   This provides the end user with a user-friendly solution for managing the privacy aspects of identity related information scattered across multiple network entities, while minimizing the impact on implementation. The user does not have to search through all the service providers 18 that store information about themselves in order to know what information is stored.

1つの実施形態では、制御装置12は、ステップs2を実行できる前に、トラストサークル10内で認証される必要がある。これは、変更すべきところは変更して本発明のその他の実施形態に適用される。   In one embodiment, the controller 12 needs to be authenticated within the trust circle 10 before step s2 can be performed. This applies to other embodiments of the invention, with changes to be made.

図4は本発明による方法の1つの実施形態のフローチャートであり、DSプロバイダ16へ問い合わせるステップ(s2)の前に、制御装置12が主体者20からリクエストを受信する(s1)点で図2に説明されたものとは異なる。これは、アイデンティティネットワーク10内で利用可能であり且つ主体者のアイデンティティに関連するアイデンティティリソースに関する情報を読み出すことのリクエストである。   FIG. 4 is a flow chart of one embodiment of the method according to the present invention, which is illustrated in FIG. 2 in that the control device 12 receives a request from the subject 20 (s1) before the step of querying the DS provider 16 (s2). Different from what is described. This is a request to retrieve information about identity resources that are available in the identity network 10 and that are related to the identity of the subject.

図5は本発明の1つの実施形態における制御装置12を概略的に説明し、図4で説明された受信ステップs1を実行するために第1受信器12dがさらに提供される点で図3に説明された制御装置12とは異なる。図3の受信器12bは図5では第2受信器12bと称される。   FIG. 5 schematically illustrates the controller 12 in one embodiment of the present invention, and is further illustrated in FIG. 3 in that a first receiver 12d is further provided to perform the receiving step s1 described in FIG. Different from the control device 12 described. The receiver 12b of FIG. 3 is referred to as the second receiver 12b in FIG.

図4および図5に説明される実施形態により、主体者は、自身のアイデンティティリソースがアイデンティティネットワーク10内のどこに記憶されているか、すなわち主体者が自身のアイデンティティリソース(すなわち、自身のアイデンティティに関連するアイデンティティリソース)のスナップショットをどこで取得できるかを知ることができる。   According to the embodiments described in FIGS. 4 and 5, the subject can see where his identity resource is stored in the identity network 10, ie, the subject is associated with his identity resource (ie, his identity). You can find out where you can get a snapshot of (identity resource).

図6は本発明の方法の1つの実施形態のフローチャートであり、受信ステップs4と相互作用ステップs6との間に少なくとも2つの別のステップが提供される点で図2に説明された実施形態とは異なる。つまり、主体者20にアドレス情報を利用可能にするステップs5aと、プライバシー属性を作成し、読み込み、変更し、または削除することのリクエストを主体者20から受信するステップs5bとが実行される。次いで、サービスプロバイダと相互作用するステップs6がステップs5bで主体者20から受信されたリクエストに基づいて制御装置12によって実行される。   FIG. 6 is a flowchart of one embodiment of the method of the present invention, which differs from the embodiment described in FIG. 2 in that at least two additional steps are provided between the receiving step s4 and the interaction step s6. Is different. That is, step s5a for making the address information available to the subject 20 and step s5b for receiving a request to create, read, change, or delete a privacy attribute from the subject 20 are executed. Next, step s6 interacting with the service provider is performed by the controller 12 based on the request received from the subject 20 in step s5b.

図7は図6で説明された方法を実行するように構成された本発明の制御装置12の1つの実施形態を概略的に説明する。つまり、図6を参照して記載されたステップs5aおよびステップs5bを実行するために発行器12eおよび第3受信器12fが提供される。   FIG. 7 schematically illustrates one embodiment of the controller 12 of the present invention configured to perform the method described in FIG. That is, an issuer 12e and a third receiver 12f are provided to perform the steps s5a and s5b described with reference to FIG.

図4および図6を参照して記載された実施形態と図5および図7を参照して記載された実施形態とはそれぞれ組み合わされてもよい。すなわち、ステップs1、s2、s4、s5a、s5b、およびs6を含む実施形態と、第1受信器12d、クエリ器12a、第2受信器12b、発行器12e、第3受信器12f、および相互作用器12cを含む制御装置12の実施形態とは本発明の範囲内である。図10a、10bはこのような実施形態に関するシーケンス図を説明する。   The embodiments described with reference to FIGS. 4 and 6 may be combined with the embodiments described with reference to FIGS. 5 and 7, respectively. That is, the embodiment including steps s1, s2, s4, s5a, s5b, and s6, the first receiver 12d, the queryer 12a, the second receiver 12b, the issuer 12e, the third receiver 12f, and the interaction Embodiments of the control device 12 including the device 12c are within the scope of the present invention. Figures 10a and 10b illustrate a sequence diagram for such an embodiment.

主体者20は、当該主体者20に関連し且つアイデンティティネットワーク10、すなわちトラストサークル(CoT)10に記憶されたアイデンティティリソースの集合のビューを読み出すことのリクエストを制御装置12へ送信する(s1)(図10、「0 静的ビューの読み出し」)。次いで、制御装置12はCoT10内の主体者20に関連するすべてのアイデンティティリソースについてDSプロバイダ16に問い合わせる(s2)(図10a、「1 disco:クエリ」)。これはとりわけ空のクエリ要求メッセージを用いて実現されてもよい。以下では[LibertyDisco]と称される非特許文献2に記載されるように、「<クエリ>要求メッセージは最小の場合に空である。このようなリクエストは、要求者がセキュリティメカニズムまたはサービスタイプに関わらず、すべての利用可能なID−WSF EPRを要求していることを示す」(32ページ、「3.3.2 <クエリ>メッセージ」節)。   The subject 20 sends a request to the control device 12 to read a view of the set of identity resources associated with the subject 20 and stored in the identity network 10, that is, the trust circle (CoT) 10 (s1) ( FIG. 10, “0 Reading static view”). The controller 12 then queries the DS provider 16 for all identity resources associated with the principal 20 in the CoT 10 (s2) (FIG. 10a, “1 disco: query”). This may be achieved in particular using an empty query request message. As described in Non-Patent Document 2 referred to below as [Liberty Disco], “<query> request message is empty in the minimum case. Such a request is requested by the requester to a security mechanism or service type. Regardless, it indicates that all available ID-WSF EPRs are requested ”(page 32, section“ 3.3.2 <Query> Message ”).

リクエストを受信した後、DSプロバイダ16は主体者のアイデンティティに関連するアイデンティティリソースの場所を内部的に調べる(図10a、「リソースのルックアップ」)。結果として、DSプロバイダ16は、利用可能なアイデンティティリソースの属性の場所(EPR)(これは、アドレス情報の個別の実施形態である)と、それにアクセスするためのクレデンシャルとを含む応答を、WSPとして動作する制御装置12へ返送する(s4)(図10a、「3 disco:クエリ応答」)。制御装置12はこの情報を主体者に対して利用可能にする(s5a)(か、または情報を提示するか、1つの実施形態では情報を送信する)(図10a、「4 利用可能なアイデンティティ情報」)。従って、「1 disco:クエリ」、「2 リソースのルックアップ」、および「3 disco:クエリ応答」のステップは[LibertyDisco]に記載されたメカニズムによって構築されてもよい。   After receiving the request, the DS provider 16 internally looks for the location of the identity resource associated with the subject's identity (FIG. 10a, “Resource Lookup”). As a result, the DS provider 16 sends a response containing the location of the available identity resource attribute (EPR) (which is a separate embodiment of address information) and the credentials for accessing it as a WSP. Return to the operating control device 12 (s4) (FIG. 10a, "3 disco: query response"). The control device 12 makes this information available to the subject (s5a) (or presents information or sends information in one embodiment) (FIG. 10a, “4 Available Identity Information”). "). Accordingly, the steps of “1 disco: query”, “2 resource lookup”, and “3 disco: query response” may be constructed by the mechanism described in [Liberty Disco].

次いで、主体者20はアイデンティティリソースの個別の属性の現在の値のような追加の情報を要求してもよい。従って、主体者20はこのアイデンティティリソースを特定し、このアイデンティティリソースに関連する値を読み出すことを制御装置12に命令する(s5b)(図10b、「5 アイデンティティリソースに関する詳細を入手」)。WSCとして動作する制御装置12は以前のステップで読み出されたEPRおよびクレデンシャルを用いて、選択されたアイデンティティリソースを記憶するWSPに問い合わせる(s6)(図10b、「6 dst:クエリ」)。そうするために、以下では[LibertyDst]と称される非特許文献3に記載されるようなリバティーデータサービステンプレート(DST)プロトコルのクエリ動作が用いられてもよい。[LibertyDst]は、主体者20に代わって主体者のデータを問い合わせ、更新し、またはキャンセルするためにWSCがWSPにアクセスすることを可能にするリバティープロトコルである。   The subject 20 may then request additional information such as the current value of the individual attribute of the identity resource. Therefore, the subject 20 identifies this identity resource and instructs the control device 12 to read the value associated with this identity resource (s5b) (FIG. 10b, “5 Get details about identity resource”). The control device 12 operating as the WSC uses the EPR and credentials read in the previous step to inquire the WSP that stores the selected identity resource (s6) (FIG. 10b, “6 dst: query”). In order to do so, a query operation of the Liberty Data Service Template (DST) protocol as described in Non-Patent Document 3 referred to below as [LibertyDst] may be used. [LibertyDst] is a liberty protocol that allows the WSC to access the WSP to query, update, or cancel the subject's data on behalf of the subject 20.

WSPはリクエストが到達した場合にプライバシーポリシーを行使し、ポリシーにより許可されるならば要求された情報を開放する。言い換えると、WSPは、任意のアイデンティティリリースを開放する前にプライバシーポリシーを行使する(図10b、「7 プライバシー行使&リソース値開放」)。DSTプロトコルに従って制御装置12へ応答が返信される(「8 dst:クエリ応答」)。最後に、制御装置12は情報を主体者20に利用可能にする(か、情報を提示するか、1つの実施形態では情報を送信する)(「9 アイデンティティリソースに関する詳細」)。   The WSP enforces the privacy policy when a request arrives and releases the requested information if permitted by the policy. In other words, the WSP enforces the privacy policy before releasing any identity release (Fig. 10b, "7 Privacy Exercise & Resource Value Release"). A response is returned to the control device 12 in accordance with the DST protocol (“8 dst: query response”). Finally, the control device 12 makes the information available to the subject 20 (or presents the information or sends the information in one embodiment) (“9 Details on Identity Resources”).

次いで、主体者20は情報の更新(「11a dst:更新」)またはキャンセル(「11b dst:削除」)のような、アイデンティティリソースに関する追加の管理動作を実行してもよい(「10 アイデンティティリソースに関する管理」)。従って、これらの動作は[LibertyDST]に記載されたメカニズムによって構築されてもよい。   The subject 20 may then perform additional management operations on the identity resource, such as updating information (“11a dst: update”) or canceling (“11b dst: deletion”) (“10 on identity resource”). management"). Therefore, these operations may be constructed by the mechanism described in [LibertyDST].

上記の動作は[LibertyDisco]および[LibertyDST]に記載されたメカニズムに基づいてもよいので、本発明の一部の実施形態は既存のプロトコルに基づいて実施されてもよく、従って単純に実行される。   Since the above operations may be based on the mechanisms described in [Liberty Disco] and [Liberty DST], some embodiments of the present invention may be implemented based on existing protocols and are therefore simply implemented. .

図8は本発明の方法の1つの実施形態のフローチャートであり、相互作用ステップs6の後に使用情報を取得する追加のステップs7が提供される点で図2に説明された方法とは異なる。ステップs7はアイデンティティネットワーク10の少なくとも1つのサービスプロバイダ18から、当該少なくとも1つのサービスプロバイダ18内の主体者のアイデンティティに関するアイデンティティリソースの使用に関する使用情報を取得することからなる。このような使用情報、すなわち消費情報を取得することによって、サービスプロバイダ18が主体者に関連するアイデンティティリソースをどのように使用してきたかを主体者が知ることができる。どのサービスプロバイダ18との間でどのデータが交換されてきたかが主体者20により取得されうる。従って、ユーザは、どんな情報が記憶されてきたかを知り、さらにはどのエンティティが情報を要求して読み出してきたかを知るために、自身に関する情報を記憶するサービスプロバイダ18をそれぞれすべて探索する必要がない。   FIG. 8 is a flowchart of one embodiment of the method of the present invention, which differs from the method described in FIG. 2 in that an additional step s7 for obtaining usage information is provided after the interaction step s6. Step s7 consists of obtaining from the at least one service provider 18 of the identity network 10 usage information relating to the use of identity resources relating to the identity of the subject in the at least one service provider 18. By acquiring such usage information, that is, consumption information, the subject can know how the service provider 18 has used the identity resource associated with the subject. The subject 20 can acquire which data has been exchanged with which service provider 18. Thus, the user does not have to search every service provider 18 that stores information about itself in order to know what information has been stored, and in addition to know which entity has requested and read the information. .

図9は本発明の制御装置12の1つの実施形態を概略的に説明し、図8を参照して記載されたステップs7を実行するために取得器12gが提供される点で図3に説明された制御装置12とは異なる。   FIG. 9 schematically illustrates one embodiment of the controller 12 of the present invention and is illustrated in FIG. 3 in that an acquirer 12g is provided to perform step s7 described with reference to FIG. This is different from the control device 12.

図11は、アイデンティティリソース使用/消費の読み出し、すなわち動的ビューの読み出しを用いる図8および図9を参照して記載された本発明の実施形態の実施例を説明し、主体者20は自身のアイデンティティリソースの使用履歴を読み出す。   FIG. 11 illustrates an example of an embodiment of the invention described with reference to FIGS. 8 and 9 that uses identity resource usage / consumption readout, ie, dynamic view readout, where the subject 20 Read the usage history of the identity resource.

以下では、アイデンティティネットワーク10、すなわちCoT10内の主体者20に関連するアイデンティティリソースのアドレス属性を利用できるアドレス情報を制御装置12が取得していることを想定する。ここで、主体者20は当該主体者20に関連するアイデンティティリソースの1つの使用履歴を知ることを望み、この目的のために、アイデンティティリソースを特定し、この情報を制御装置12へ送信する(図11、「0 使用履歴の入手」)。次いで、制御装置12は要求された情報を読み出し(s7)(「1 使用履歴の読み出し」)、次いでこれが主体者20に利用可能にされ、提示され、または1つの実施形態では送信される(「2 使用履歴に関する詳細」)。利用可能にされ、提示され、または送信される情報は、アイデンティティリソースのタイプおよび値、アクセスのタイムスタンプ、ならびに過去にアイデンティティリソースを使用していたWSCに関する詳細を含んでもよい。(もしあれば)WSC18が代わりにアイデンティティリソースを使用した主体者20、WSC18によりなされたプライバシー契約、または当該情報を開放する際にWSP18により課された条件のような追加の情報が利用可能なら提示されてもよい。   In the following, it is assumed that the control device 12 has acquired address information that can use the address attribute of the identity resource related to the identity network 10, that is, the subject 20 in the CoT 10. Here, the subject 20 wishes to know the usage history of one of the identity resources associated with the subject 20, identifies the identity resource for this purpose, and transmits this information to the control device 12 (FIG. 11, “0 Get usage history”). The controller 12 then reads the requested information (s7) ("1 Read Usage History"), which is then made available to the subject 20, presented, or transmitted in one embodiment (" 2 Details about usage history ”). The information made available, presented or transmitted may include the type and value of the identity resource, the time stamp of the access, and details about the WSC that has used the identity resource in the past. Presented if additional information is available, such as subject 20 that WSC 18 used identity resources instead, privacy agreement made by WSC 18, or conditions imposed by WSP 18 when releasing that information (if any) May be.

制御装置12は、例えば以下のような(以降でアプローチとも称される)様々な手段によって使用履歴を読み出してもよい(図11、ステップ1)。   The control device 12 may read the use history by various means (hereinafter also referred to as an approach) as follows (FIG. 11, step 1).

(A)以下では[LibertyAccount]と称される非特許文献4に記載されるようなリバティーID−WSFアカウンティングサービスメカニズムを使用すること。情報を開放するWSP18はアカウンティングクライアントとして動作し、制御装置12はアカウンティングサーバとして動作する。[LibertyAccount]で規定される<イベント>複合タイプを拡張することによって新しいイベントタイプが規定されてもよい。この新しいイベントタイプはアイデンティティリソースの使用に関係する情報を含む。このソリューションはリバティーフレームワークに規定されるメカニズムを使用してもよく、それ故、拡張または適応は必要ない。   (A) Use a Liberty ID-WSF accounting service mechanism as described in Non-Patent Document 4 referred to below as [LibertyAccount]. The WSP 18 that releases information operates as an accounting client, and the control device 12 operates as an accounting server. New event types may be defined by extending the <Event> complex type defined in [LibertyAccount]. This new event type contains information related to the use of identity resources. This solution may use the mechanisms defined in the Liberty framework and therefore no extension or adaptation is required.

(B)以下では[LibertySubs]と称される非特許文献5に規定されるような、サブスクリプション/ノーティフィケイションメカニズムを使用すること。これらのメカニズムにより、WSP18に関する様々なイベントをWSC18が購読できる。通常これらのイベントは個人情報の更新に関係するが、他のイベントも排除されない。従って、制御装置12は主体者のアイデンティティリソースを監督する任意のWSPにおけるノーティフィケイションを購読してもよい。このように、WSP18がこれらのリソースのうちのいくつかを開放する場合に、WSP18は制御装置12へノーティフィケイションを送信する。このソリューションはまた、リバティーフレームワークに規定されるメカニズムを使用してもよく、それ故、拡張または適応は必要ない。   (B) Use a subscription / notification mechanism as defined in Non-Patent Document 5, referred to below as [LibertySubs]. These mechanisms allow the WSC 18 to subscribe to various events related to the WSP 18. These events are usually related to updating personal information, but other events are not excluded. Thus, the controller 12 may subscribe to notifications in any WSP that oversees the subject's identity resources. Thus, WSP 18 sends a notification to controller 12 when WSP 18 releases some of these resources. This solution may also use the mechanisms defined in the Liberty framework, so no extension or adaptation is necessary.

(C)(上述の)[LibertyDST]に記載されるDSTプロトコルメカニズムを拡張すること。ここで、アカウンティングサービスなどに見られるように、すべてのWSP18はアイデンティティリソースの開放をアカウンティングする。しかしながら、制御装置12はアカウンティング情報を要求できるべきである(プルモード)。アカウンティング情報は、リバティープロファイルが含む情報の拡張とみなされてもよい。ログは、アイデンティティ情報消費に関する関連情報を追加する。従って、このアプローチでは、アイデンティティリソースにアクセスするためにDSTプロトコルが用いられ、この目的のために、[LibertyDST]が新しいモードであるトレースで拡張されてもよい。この動作によって、主体者の何らかのアイデンティティリソースに関する使用情報を送信することをWSC18がWSP18に要求できる。   (C) Extend the DST protocol mechanism described in [Liberty DST] (above). Here, as seen in accounting services, etc., all WSPs 18 account for the release of identity resources. However, the controller 12 should be able to request accounting information (pull mode). The accounting information may be regarded as an extension of information included in the liberty profile. The log adds relevant information about identity information consumption. Thus, in this approach, the DST protocol is used to access identity resources and for this purpose [Liberty DST] may be extended with a new mode of tracing. This action allows the WSC 18 to request the WSP 18 to send usage information regarding some identity resource of the subject.

アプローチ(A)、(B)および(C)は以下で更に検討されうる。   Approaches (A), (B) and (C) can be further discussed below.

アプローチ(C)は、制御装置12によって開始されてもよい(プルモード)点で有利である。これは、制御装置12が望む場合はいつでも情報が読み出され、制御装置12が求めるものに情報が制限されることを意味する。よって、拡張性や性能の問題は生じない。しかしながら、リバティーアライアンスフレームワークに適用される場合に、当該フレームワークの適応を必要とする。   Approach (C) is advantageous in that it may be initiated by the controller 12 (pull mode). This means that the information is read whenever the control device 12 desires and the information is limited to what the control device 12 requires. Therefore, there is no problem of scalability or performance. However, when applied to the Liberty Alliance framework, adaptation of the framework is required.

アプローチ(B)は、リバティーアライアンスフレームワークに適用される場合に、フレームワークの適応を必要としない点で有利である。言い換えると、これはすでにリバティー準拠である。拡張性および性能に関して、このアプローチはWSP18がアクセスされる度に、アイデンティティリソースごとおよび主体者20ごとに1つのノーティフィケイションが送信される必要がある。   Approach (B) is advantageous in that it does not require adaptation of the framework when applied to the Liberty Alliance framework. In other words, this is already Liberty compliant. With regard to scalability and performance, this approach requires that one notification be sent per identity resource and per subject 20 each time the WSP 18 is accessed.

アプローチ(A)はリバティーアライアンスフレームワークへの適用およびその準拠に関してアプローチ(B)と同じ利点を有する。さらに、閾値を設定することによって生成されるメッセージ量を低減できるので、これにより性能も向上する。例えば、アクセスルールごとにノーティフィケイションが送信されてもよく、すなわちWSPはアクセスされるすべてのアイデンティティ情報に関する情報を有する1つのアカウントを送信し、それによってメッセージ量を低減する。制御装置側では、制御装置12は動作を代わる主体者20に関係するメッセージを受信するだけでもよいので、拡張性や性能の問題は生じない。   Approach (A) has the same advantages as approach (B) in terms of application to the Liberty Alliance framework and its compliance. Furthermore, since the amount of messages generated by setting a threshold can be reduced, this also improves performance. For example, a notification may be sent for each access rule, ie the WSP sends one account with information about all the identity information accessed, thereby reducing the message volume. On the control device side, the control device 12 only needs to receive a message related to the subject 20 instead of the operation, so that there is no problem in scalability and performance.

アプローチ(C)はプルモードを提供できるので、アプローチ(C)は機能的な観点からその他の2つのアプローチよりも有利である。しかしながら、上述のように、アプローチ(C)は、リバティーアライアンスフレームワークに適用される場合に、適応、当該フレームワークへの適応を必要とする。従って、以下にアプローチ(C)がさらに説明される。   Since approach (C) can provide a pull mode, approach (C) is advantageous over the other two approaches from a functional point of view. However, as mentioned above, approach (C) requires adaptation and adaptation to the framework when applied to the Liberty Alliance framework. Therefore, approach (C) is further described below.

アプローチ(C)は上述のようにアイデンティティリソースの使用履歴を読み出すために、[LibertyDST]に開示されるリバティーDST拡張を使用することからなる。   Approach (C) consists of using the Liberty DST extension disclosed in [LibertyDST] to retrieve the identity resource usage history as described above.

ここで、主体者20に関連するアイデンティティリソースのいくつかの属性がWSC18によってアクセスされる場合はいつも、アイデンティティリソースを記憶してこれへのアクセスを提供するWSP18はトランザクションのログをとることを想定する。このログ情報は例えば将来の監査のために用いられてもよい。図12はアイデンティティリソースを用いることをWSP18に要求するWSC18を説明する。ログ動作(図12、「2b ログトランザクション」)も説明される。ログ動作またはログトランザクションの間に、WSP18はトランザクションのログをとり、これにはアイデンティティリソースに関するどの情報が開放されてきたか、この情報がどの主体者20に関係するか、要求された当事者(WSC18とWSC18が代わりに動作している主体者20との両方)はどちらか、および将来の監査のための任意のその他の関連情報が含まれる。   Here, whenever any attribute of an identity resource associated with a principal 20 is accessed by the WSC 18, it is assumed that the WSP 18 that stores and provides access to the identity resource logs a transaction. . This log information may be used for future audits, for example. FIG. 12 illustrates a WSC 18 that requires the WSP 18 to use an identity resource. The log operation (FIG. 12, “2b log transaction”) is also described. During a logging operation or log transaction, WSP 18 logs the transaction, which information about the identity resource has been released, which subject 20 this information pertains to, the requested party (with WSC 18). Both, with the subject 20 on which the WSC 18 is operating instead), and any other relevant information for future audits.

ログが取られる情報はとりわけ以下を含んでもよい。
(i)用いられる情報がどの主体者20に関係するかを知るためのユーザID。これは、WSP18における主体者20の識別子またはエイリアスである。
(ii)どのアイデンティティ情報がアクセスされてきたか、すなわちアイデンティティリソースのどの属性が使用されてきたかを知るための情報タイプ。
(iii)どのWSCが情報を要求してきたかを知るためのWSC。
(iV)例えば、アクセス時刻のようなその他の情報。ログをとるために有用になりうるその他の情報は、読み出される情報の意図された使用法、WSC18が情報を第三者と共有することを意図するかどうか、および要求された将来の使用に関してWSC18を行う契約を含む。さらに、WSP18はまた、(もしあれば)WSC18が代わりにアイデンティティ情報を要求している主体者20のログをとってもよい。この情報は特にコンピュータで実施されるソーシャルネットワークアプリケーションの文脈に関連する。 Information to be logged may include, among others:
(I) A user ID for knowing to which subject 20 the information used is related. This is the identifier or alias of the subject 20 in the WSP 18.
(Ii) An information type for knowing which identity information has been accessed, that is, which attribute of the identity resource has been used.
(Iii) A WSC to know which WSC has requested information.
(IV) Other information such as access time, for example. Other information that may be useful for logging is the intended use of the information that is read, whether the WSC 18 intends to share the information with third parties, and the required future use of the WSC 18 Including contracts to In addition, WSP 18 may also log subject 20 for which WSC 18 (if any) is requesting identity information instead. This information is particularly relevant in the context of computer-implemented social network applications.

図13はWSP18上のアクセスされてきたアイデンティティリソース情報に関係するログのデータ構造の例である。   FIG. 13 shows an example of a log data structure related to identity resource information accessed on the WSP 18.

図13に説明されるように、ログがとられる情報はリバティープロファイルが含む情報の拡張であり、このログは情報消費に関する関連情報を追加する。従って、これらの両方へアクセスするために同じメカニズム、すなわち[LibertyDST]に記載されるメカニズムが用いられてもよい。このメカニズムによって、WSP18からの主体者のアイデンティティ情報を作成し、問い合わせ、変更し、または削除することができる。[LibertyDST]は新しい動作であるトレースで拡張されてもよい。この動作により、WSC18(本願の場合はWSCとして動作している制御装置12)は、図14を参照して説明されるように、主体者のアイデンティティリソースに関する使用情報を読み出せる。   As illustrated in FIG. 13, the information that is logged is an extension of the information that the Liberty profile contains, and this log adds relevant information about information consumption. Thus, the same mechanism may be used to access both of these, ie the mechanism described in [LibertyDST]. Through this mechanism, the identity information of the subject from the WSP 18 can be created, queried, changed, or deleted. [LibertyDST] may be extended with a new behavior trace. With this operation, the WSC 18 (the control device 12 operating as a WSC in the case of the present application) can read the usage information related to the identity resource of the subject as described with reference to FIG.

図14はトレース動作を用いてアイデンティティリソースの使用の履歴を読み出すシーケンス図を説明する。   FIG. 14 illustrates a sequence diagram for reading the history of identity resource usage using a trace operation.

既存のリバティエンティティへの影響が以下に説明されうる。これは選択されたアプローチに依存する。
‐アプローチ(B)はリバティー準拠のメカニズムに構築されてもよく、それ故、WSP18へ必ずしも如何なる影響をもたらさない。このソリューションは、プライバシーイベントに関する新しいサブスクリプションを規定することによって使用され、拡張されてもよい。
‐アプローチ(A)はリバティー準拠のメカニズムに構築されてもよく、それ故、WSP18へ必ずしも如何なる影響をもたらさない。
‐アプローチ(C)はリバティーのエンティティおよびプロトコルにいくつかの修正をもたらす。
○新しいトレース動作が追加される。よって、[LibertyDST]は拡張され、それに従ってXMLスキーマが変更される。
○WSPはアイデンティティ情報の使用および開放に関係するトランザクションのログを取る。このメカニズムは必ずしも既存のリバティー仕様に影響を与えず、この仕様を変更しない。
○WSPおよびWSCは新しいトレース動作をサポートする。これは、新しいDST動作を理解し、管理するために既存のWSP/WSC実装を拡張することを暗に示す。
○DS16は新しいトレース動作をサポートする。これは、新しいDST動作を理解し、管理するために既存のDS実装を拡張することを暗に示す。 The impact on existing Liberty entities may be described below. This depends on the approach chosen.
-Approach (B) may be built on a Liberty-compliant mechanism and therefore does not necessarily have any impact on WSP18. This solution may be used and extended by defining new subscriptions for privacy events.
-Approach (A) may be built on a Liberty-compliant mechanism and therefore does not necessarily have any impact on WSP18.
-Approach (C) brings some modifications to Liberty entities and protocols.
○ New trace behavior is added. Therefore, [LibertyDST] is expanded and the XML schema is changed accordingly.
O WSP logs transactions related to the use and release of identity information. This mechanism does not necessarily affect the existing liberty specification and does not change this specification.
O WSP and WSC support new trace operations. This implies extending the existing WSP / WSC implementation to understand and manage new DST operations.
O DS16 supports new trace operations. This implies extending the existing DS implementation to understand and manage new DST operations.

アドレス情報に基づいて、プライバシー属性を作成し、読み込み、変更し、または削除するためにサービスプロバイダ18と相互作用する(s6)のステップの別の実施形態がここでより詳細に記載される。このステップs6はプライバシー設定の管理に関する。   Another embodiment of the step of interacting with the service provider 18 to create, read, modify or delete privacy attributes based on the address information (s6) will now be described in more detail. This step s6 relates to management of privacy settings.

この時点で、制御装置12はアイデンティティネットワーク10、すなわちCoT10内の主体者20に関連するアイデンティティリソースのアドレス属性についてのアドレス情報を読み出していると想定する。ここで、主体者20は当該主体者20に関連し且つWSP18に記憶されたアイデンティティリソースの使用および開放を統治するようにプライバシー嗜好を設定することを望む。制御装置12は主体者20へ様々なオプションを示し、アイデンティティ情報が開放されうる条件のような様々なパラメータを主体者20が設定することを可能にする。行われる場合に、制御装置12は結果のプライバシーポリシーを、当該ポリシーを行使するだろう適切なWSP18に設定する。図15は1つの実施形態において関与するフローの概要を説明する。言い換えると、図15は主体者20が自身のアイデンティティ情報の使用および開放を統治するためにプライバシー嗜好をどのように設定するかを説明する。   At this point, it is assumed that the control device 12 has read address information about the address attribute of the identity resource associated with the identity network 10, that is, the subject 20 within the CoT 10. Here, the subject 20 wishes to set privacy preferences to govern the use and release of identity resources associated with the subject 20 and stored in the WSP 18. The controller 12 presents various options to the subject 20 and allows the subject 20 to set various parameters such as the conditions under which identity information can be released. If so, the controller 12 sets the resulting privacy policy to the appropriate WSP 18 that will enforce that policy. FIG. 15 outlines the flow involved in one embodiment. In other words, FIG. 15 illustrates how the subject 20 sets privacy preferences to govern the use and release of his identity information.

主体者20は自身に関連し且つCoT10に分配されたアイデンティティリソースの使用に関する自身の嗜好を設定できるべきである。   The subject 20 should be able to set his preferences regarding the use of identity resources related to him and distributed to the CoT 10.

プライバシー嗜好設定に参加する変数は、リクエスタ、リソース、動作、パーミッション、および主体者を含みうる。   Variables participating in privacy preference settings may include requesters, resources, actions, permissions, and subjects.

主体者20は、制御装置12のユーザであるので、明示的に記載される必要はない。リクエスタはCoT10からの任意のWSC18であってもよい。この情報はWSC18が代わってアイデンティティ情報を要求している主体者20に拡張されうる。   Since the subject 20 is a user of the control device 12, it does not need to be explicitly described. The requester may be any WSC 18 from CoT10. This information can be extended to the subject 20 requesting identity information on behalf of the WSC 18.

リソースは保護されるアイデンティティリソースの属性の識別子である。動作の値は任意のWSCが要求できるものであってもよい。例えば、リバティーアライアンスフレームワークの場合に、動作の値はDSTプロトコルに規定されるもの、すなわちクエリ、作成、削除、変更、および購読であってもよい。トレース動作(上述のアプローチ(C)参照)によるDSTプロトコルの拡張に基づく主体者のアイデンティティ情報履歴を収集するアプローチが用いられるならば、プライバシーポリシーは動作変数についてのトレース値を含んでもよい。このソリューションは必要に応じて新しい動作に拡張されてもよい。   A resource is an identifier of an attribute of an identity resource to be protected. The value of the action may be that which can be requested by any WSC. For example, in the case of the Liberty Alliance framework, the values of actions may be those specified in the DST protocol: query, create, delete, change, and subscribe. If an approach is used that collects a subject's identity information history based on an extension of the DST protocol with a trace action (see approach (C) above), the privacy policy may include trace values for the action variables. This solution may be extended to new operations as needed.

パーミッションは、許可、拒絶、または要確認(ask me)に設定されてもよい。いわゆる要確認パーミッションはユーザが嘆願ベースで決定することを好む場合に用いられうる。これは、以下では[LibertyInteract]と称される非特許文献6によって実装されうる。このソリューションの使いやすさを向上するために、一部のオプション(ワイルドカード)、すなわちすべての取りうる値、なし、または個別のユーザが選択したサブセットが導入されてもよい。   Permissions may be set to allow, reject, or ask me. So-called confirmation permission may be used when the user prefers to make a decision on a pleasant basis. This can be implemented by Non-Patent Document 6, referred to below as [LibertyInteract]. To improve the usability of this solution, some options (wildcards) may be introduced, ie all possible values, none, or a subset selected by an individual user.

これらの値は主体者20によって設定され、次いで制御装置12へ返信され(図15、ステップ0)、結果として、主体者20およびこのアイデンティティリソースのうちの1つを参照する新しいプライバシーポリシーが制御装置12内に作成される。この基本的なプライバシーポリシーは情報が開放されうる追加の条件の仕様で拡張されてもよい。   These values are set by the subject 20 and then returned to the controller 12 (FIG. 15, step 0), resulting in a new privacy policy referencing the subject 20 and one of this identity resources. 12 is created. This basic privacy policy may be extended with a specification of additional conditions where information can be released.

1つの実施形態でのプライバシーポリシーおよびアイデンティティリソースとのそれらの関連が以下により詳細に記載される。   Privacy policies and their association with identity resources in one embodiment are described in more detail below.

アイデンティティリソースに関するプライバシー嗜好を主体者20が設定すると、結果のプライバシーポリシーは当該アイデンティティリソースを記憶するWSP18へ送信されてもよい。これを行うために、WSP18は自身がプライバシー嗜好に関する情報を管理し、それ故対象のアイデンティティプロファイルへの拡張が必要となりうることを自身のインタフェースで宣言してもよい。このアプローチによって、アイデンティティリソースと、その使用および開放を統治するポリシー(定着したポリシー)とを一緒に保つことが可能になる。その上、これはリバティー仕様の既存の機能で構築される。拡張は1度だけ規定されてもよく、これは次いで任意のアイデンティティプロファイルに追加されてもよい。この拡張は標準LAP ID−SISアイデンティティサービスへの変更をもたらす。この拡張は個別のID−SIS WSPを問わず同一である。   When the subject 20 sets privacy preferences for an identity resource, the resulting privacy policy may be sent to the WSP 18 that stores the identity resource. To do this, WSP 18 may declare in its interface that it manages information about privacy preferences and therefore may need to be extended to the subject identity profile. This approach makes it possible to keep together identity resources and policies that govern their use and release. Moreover, this is built on the existing functionality of the Liberty specification. An extension may be defined only once, which may then be added to any identity profile. This extension results in a change to the standard LAP ID-SIS identity service. This extension is the same regardless of the individual ID-SIS WSP.

WSP18がプライバシー嗜好への動作を許可すると、制御装置12はWSP18内のプライバシーポリシーを問い合わせ、作成し、更新し、または削除するためにDSTプロトコルのメカニズムを利用してもよい。従って、制御装置12はリバティーDSTプロトコル(詳細な記載は図16および図17を参照する以下の記載を参照)に従ってWSP18へ主体者が作成したプライバシーポリシーを送信する。   If WSP 18 allows the privacy preference to operate, controller 12 may utilize the DST protocol mechanism to query, create, update, or delete privacy policies within WSP 18. Therefore, the control device 12 transmits the privacy policy created by the subject to the WSP 18 in accordance with the Liberty DST protocol (for details, see the following description referring to FIGS. 16 and 17).

主体者20がどのように自身のプライバシーポリシーを表現しうるかが以下により詳細に記載される。   How the subject 20 can express his privacy policy is described in more detail below.

主体者20は様々な手段を用いて自身のプライバシーポリシーを表現しうる。第1に、主体者20はいくつかの所定のプライバシーポリシーの中から1つを選び出し、それをアイデンティティリソースに関連付けることができる。これらの所定のプライバシーポリシーは、技術的なスキルを有さないユーザがこれらを理解できるように、自然言語で記述されてもよい。この自然言語による記述はプライバシーポリシー表現言語で記述された個別のポリシー実装に対応付けられる。これらのポリシーは、ユーザがこれらを比較し、自身のニーズに最もよく適合するものを選ぶことをより簡単にするために階層構造である。このアプローチは、ユーザがポリシーの詳細を扱う必要がないので、その単純さおよび使いやすさの利益を享受する。   The subject 20 can express his privacy policy using various means. First, subject 20 can pick one of several predetermined privacy policies and associate it with an identity resource. These predetermined privacy policies may be written in natural language so that users without technical skills can understand them. This description in natural language is associated with an individual policy implementation described in a privacy policy expression language. These policies are hierarchical in order to make it easier for users to compare them and choose the one that best fits their needs. This approach benefits from its simplicity and ease of use since the user does not have to deal with the details of the policy.

主体者20はまた、プライバシーポリシーの各詳細を規定することが許可されてもよい。このアプローチは嗜好の記述において大幅な柔軟性を提供し、高度なオプションとして提供されてもよい。   The subject 20 may also be allowed to specify each detail of the privacy policy. This approach offers great flexibility in describing preferences and may be offered as an advanced option.

1つの実施形態で制御装置12がどのようにプライバシー嗜好をWSP18に設定するかが以下により詳細に記載される。これは、図16のステップ1、すなわち制御装置12が、統治するアイデンティティリソースを記憶するWSP18にどのようにプライバシーポリシーを関連付け、これへ送信するかに対応する。制御装置12は主体者の嗜好を受信し、これらを適切なプライバシーポリシーに変換する。新しいプライバシーポリシーはDST作成/変更メッセージによってリソースを記憶するWSPへ送信される。   How the controller 12 sets privacy preferences in the WSP 18 in one embodiment is described in more detail below. This corresponds to step 1 of FIG. 16, ie how the controller 12 associates and sends a privacy policy to the WSP 18 that stores the identity resource it governs. The control device 12 receives the subject's preferences and converts them into an appropriate privacy policy. The new privacy policy is sent to the WSP storing the resource by a DST create / change message.

プライバシーポリシーはリバティーアイデンティティプロファイルの拡張を用いてアイデンティティリソースに関連付けられてもよい。[LibertyDST]はWSP18に記憶されたアイデンティティリソースを作成または更新するためのメカニズムを提供する。従って、[LibertyDST]への構築は、アイデンティティリソースに関連するプライバシーポリシーを制御装置12が設定することを可能にするために用いられてもよい。   A privacy policy may be associated with an identity resource using an extension of the Liberty identity profile. [LibertyDST] provides a mechanism for creating or updating identity resources stored in the WSP 18. Accordingly, the construction to [LibertyDST] may be used to allow the controller 12 to set a privacy policy associated with the identity resource.

このメカニズムを実施するために、制御装置12はリバティーWSC18の役割を果たしてもよく、[LibertyDST]の一部としてWSP18へ送信される作成要素または変更要素の一部としてプライバシーポリシーを含んでもよい。ポリシーはメッセージの本文内の任意の他の情報として搬送されてもよいので、このメカニズムは[LibertyDST]上に構築される。ポリシーが到着すると、すなわち作成/変更メッセージ(図16に説明される変更メッセージ、「1 dst:変更」)を受信すると、WSP18はプライバシー情報を読み出し、すなわち抽出し、それを記憶する。   To implement this mechanism, the controller 12 may act as a Liberty WSC 18 and may include a privacy policy as part of the creation or modification element sent to the WSP 18 as part of [LibertyDST]. Since the policy may be carried as any other information in the body of the message, this mechanism is built on [LibertyDST]. When the policy arrives, ie upon receipt of a create / change message (change message described in FIG. 16, “1 dst: change”), the WSP 18 reads, ie extracts, and stores the privacy information.

図17を参照して、1つの実施形態で制御装置12がどのようにサービスプロバイダ18からプライバシー嗜好を読み出すかが以下に記載される。   With reference to FIG. 17, it will be described below how the control device 12 retrieves privacy preferences from the service provider 18 in one embodiment.

制御装置12はアイデンティティリソースに関連するプライバシーポリシーを、これらの設定に用いられたものと同じメカニズムを用いて、つまりDSTプロトコルを用いて読み出してもよい。しかしながら、この場合に、制御装置12はクエリ動作を用いてもよい。プライバシーが読み出されると、制御装置12は主体者がそれを理解できるように、それをプライバシー嗜好に変換する。図17はアイデンティティリソースに関連するプライバシーポリシーを問い合わせる制御装置12を説明する。制御装置12は特定のアイデンティティリソースに関連するプライバシーポリシーを読み出す。   The controller 12 may retrieve the privacy policy associated with the identity resource using the same mechanism used for these settings, ie using the DST protocol. However, in this case, the control device 12 may use a query operation. When the privacy is read, the control device 12 converts it into a privacy preference so that the subject can understand it. FIG. 17 illustrates a controller 12 that queries a privacy policy associated with an identity resource. Controller 12 retrieves the privacy policy associated with a particular identity resource.

最終的に、プライバシーポリシー行使に関して、WSC18は主体者20により設定されたプライバシーポリシーによって統治されるアイデンティティリソースを要求する。当該アイデンティティリソースを提供するWSP18はポリシーを行使し、それ故アイデンティティリソースが開放されてもよいか否かを決定し、情報が開放されるとリクエスタに所定の条件を課す。プライバシーポリシーを行使するために従うステップに関する一般的なガイドラインは非特許文献7に見つけられうる。言い換えると、WSPはアイデンティティリソースに関連するプライバシーポリシーをルックアップし、それが開放されうるならばそれを返信する。   Finally, with respect to privacy policy enforcement, WSC 18 requests identity resources governed by the privacy policy set by subject 20. The WSP 18 providing the identity resource enforces the policy and therefore determines whether the identity resource may be released and imposes certain conditions on the requester when the information is released. General guidelines on the steps to follow to enforce a privacy policy can be found in [7]. In other words, the WSP looks up the privacy policy associated with the identity resource and returns it if it can be released.

1つの実施形態では、WSP18はプライバシーポリシーを記憶し、読み出す。これらの動作を実行するための手段はWSP実装に依存する。しかしながら、WSP18はこの情報をDST作成/変更メッセージとして受信してもよく、これらはそれをDSTクエリ応答メッセージとして開放してもよい。従って、WSPはこの情報をDSTメッセージから/DSTメッセージへ読み出す/含めることができるべきである。   In one embodiment, WSP 18 stores and retrieves the privacy policy. Means for performing these operations depend on the WSP implementation. However, WSP 18 may receive this information as a DST create / modify message, which may release it as a DST query response message. Therefore, the WSP should be able to read / include this information from / to the DST message.

1つの実施形態では、WSP18はプライバシーポリシー行使のためのポリシー行使ポイントを実装する。このポリシー行使ポイントはアイデンティティリソースへのリクエストを捕らえ、プライバシーポリシーの適用を決定する。1つの実施形態では、[LibertyDST]の4.4.5節に規定されるような処理ルールに従ってもよい。   In one embodiment, WSP 18 implements policy enforcement points for privacy policy enforcement. This policy enforcement point captures requests for identity resources and determines the application of the privacy policy. In one embodiment, processing rules as defined in Section 4.4.5 of [LibertyDST] may be followed.

1つの実施形態では、制御装置12はWSPにおいてプライバシーポリシーを作成/変更/問い合わせるために[LibertyDST]を使用できる。[LibertyDST]は必ずしも変更される必要はないが、制御装置12はプライバシーポリシーを作成/変更メッセージへ追加し、クエリ応答メッセージからプライバシーポリシーを読み出すことができるべきである。   In one embodiment, the controller 12 can use [LibertyDST] to create / modify / query a privacy policy at the WSP. [LibertyDST] does not necessarily have to be changed, but the controller 12 should be able to add a privacy policy to the create / change message and read the privacy policy from the query response message.

1つの実施形態では、リバティーID−SIS仕様で規定されるようなアイデンティティデータサービスへの拡張が提供される。この拡張はプロファイル内に含まれる情報の使用および開放を統治するプライバシーポリシーのためのコンテナを規定する。拡張は、プライバシーポリシー管理をサポートする任意のデータサービスに含まれる。   In one embodiment, an extension to the identity data service as provided in the Liberty ID-SIS specification is provided. This extension defines a container for privacy policies that govern the use and release of information contained within profiles. Extensions are included in any data service that supports privacy policy management.

制御装置、アイデンティティプロバイダ、ディスカバリサービスプロバイダ、およびサービスプロバイダを含む本発明による物理エンティティは、コンピュータプログラムが物理エンティティ上で実行される場合に、本発明の実施形態に従うステップおよび手順が実行されるような命令を含むコンピュータプログラムを有してもよいし、記憶してもよい。本発明はまた、本発明に従う方法を実行するコンピュータプログラムに関し、本発明に従う方法を実行するコンピュータプログラムを記憶するコンピュータで読み取り可能な任意の記憶媒体に関する。   A physical entity according to the present invention, including a controller, an identity provider, a discovery service provider, and a service provider, such that steps and procedures according to embodiments of the present invention are performed when a computer program is executed on the physical entity. You may have a computer program containing a command and may memorize it. The invention also relates to a computer program for carrying out the method according to the invention and to any computer readable storage medium storing a computer program for carrying out the method according to the invention.

「クエリ器」、「受信器」、「相互作用器」、「第1受信器」、「第2受信器」、「発行器」、「第3受信器」、および「取得器」という用語が本明細書で用いられる場合に、これらの要素がどのように分散されうるか、およびこれらの要素がどのように集約されうるかに関して何も制約はなされない。すなわち、これらの要素の構成部分は意図された機能をもたらすための様々なソフトウェアコンポーネント、ハードウェアコンポーネントまたは装置に分散されてもよい。また、複数の別個の要素が意図された機能を提供するために集約されてもよい。   The terms “queryer”, “receiver”, “interactor”, “first receiver”, “second receiver”, “issuer”, “third receiver”, and “acquirer” As used herein, there are no restrictions on how these elements can be distributed and how these elements can be aggregated. That is, the constituent parts of these elements may be distributed across various software components, hardware components or devices to provide the intended function. Also, multiple separate elements may be aggregated to provide the intended function.

制御装置の上述の要素の任意のものはハードウェア、ソフトウェア、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、ファームウェア、または同様のものに実装されてもよい。   Any of the above-described elements of the controller may be implemented in hardware, software, field programmable gate array (FPGA), application specific integrated circuit (ASIC), firmware, or the like.

本発明の別の実施形態では、上述のクエリ器、受信器、相互作用器、第1受信器、第2受信器、発行器、第3受信器、および取得器はそれぞれ、クエリ器、受信器、相互作用器、第1受信器、第2受信器、発行器、第3受信器、および取得器の機能を実行するためのクエリ手段、受信手段、相互作用手段、第1受信手段、第2受信手段、発行手段、第3受信手段、および取得手段や、クエリ部、受信部、相互作用部、第1受信部、第2受信部、発行部、第3受信部、および取得部に置き換わる。   In another embodiment of the invention, the above-described queryer, receiver, interactor, first receiver, second receiver, issuer, third receiver, and acquirer are respectively a queryer, receiver, , Interactor, first receiver, second receiver, issuer, third receiver, and querying means for performing the functions of the acquirer, receiving means, interaction means, first receiving means, second It replaces the receiving means, issuing means, third receiving means, and acquiring means, query part, receiving part, interaction part, first receiving part, second receiving part, issuing part, third receiving part, and acquiring part.

本発明の別の実施形態では、上述のステップの任意のものは、例えばコンピュータで解釈可能な手順、方法などの形式、任意の形式のコンピュータ言語、および/またはファームウェア、集積回路などにおける埋め込みソフトウェアの形式のコンピュータで読み取り可能な命令を用いて実装されてもよい。   In another embodiment of the present invention, any of the steps described above may include, for example, a form of computer interpretable procedure, method, etc., any form of computer language, and / or embedded software in firmware, integrated circuits, etc. It may be implemented using computer readable instructions in the form.

本発明は詳細な例に基づいて記載されてきたが、詳細な例は当業者によりよい理解を提供するためだけの役割をし、本発明の範囲を制限する意図はない。本発明の範囲は添付の特許請求の範囲で規定される。   Although the present invention has been described with reference to detailed examples, the detailed examples serve only to provide a better understanding to those skilled in the art and are not intended to limit the scope of the invention. The scope of the present invention is defined by the appended claims.

Claims (15)

少なくとも1つの主体者(20)に対するアイデンティティネットワーク(10)におけるプライバシー管理のための制御装置(12)であって、
アイデンティティネットワーク(10)は、少なくともアイデンティティプロバイダ(14)と、ディスカバリサービスプロバイダ(16)と、前記主体者(20)がトランザクションを行うことが可能なサービスプロバイダ(18)とを含むコンピュータネットワークであり、
主体者(20)は当該主体者(20)のアイデンティティが認証されることが可能なシステムエンティティであり、
アイデンティティリソースは、アイデンティティ又はアイデンティティのグループに関係するデータであるか、アイデンティティ又はアイデンティティのグループに関連するサービスであるかの何れかであり、
前記制御装置(12)は、
前記アイデンティティネットワーク(10)で利用可能であり且つ前記主体者(20)のアイデンティティに関連するアイデンティティリソースに関する情報を取得するために前記アイデンティティネットワーク(10)のディスカバリサービスプロバイダ(16)に問い合わせ(S2)、
前記アイデンティティネットワーク(10)で利用可能であり且つ前記主体者(20)のアイデンティティに関連する前記アイデンティティリソースのアドレス属性について利用可能な情報であるアドレス情報を前記ディスカバリサービスプロバイダ(16)から受信し(S4)、
前記アイデンティティネットワーク(10)で利用可能であり且つ前記主体者(20)のアイデンティティに関連する前記アイデンティティリソースの使用を統治する属性であるプライバシー属性を作成し、読み込み、変更し又は削除するために前記アドレス情報に基づいてサービスプロバイダ(18)と相互作用する(S6)
ように構成され
前記アイデンティティリソースの使用を統治する属性は、当該アイデンティティリソース上のシステムエンティティ又は当該アイデンティティリソースに関するシステムエンティティが実行可能な動作について当該アイデンティティリソースに関連するパーミッションを特定する
ことを特徴とする制御装置(12)。 A control device (12) for privacy management in an identity network (10) for at least one subject (20),
The identity network (10) is a computer network including at least an identity provider (14), a discovery service provider (16), and a service provider (18) with which the subject (20) can conduct transactions,
The subject (20) is a system entity with which the identity of the subject (20) can be authenticated,
An identity resource is either data related to an identity or group of identities or a service related to an identity or group of identities,
The control device (12)
Query (S2) the discovery service provider (16) of the identity network (10) to obtain information about identity resources available in the identity network (10) and related to the identity of the subject (20) ,
Receive address information from the discovery service provider (16) that is available in the identity network (10) and available for the address attribute of the identity resource associated with the identity of the subject (20) ( S4),
To create, read, modify, or delete privacy attributes that are available in the identity network (10) and that govern the use of the identity resources associated with the identity of the subject (20) Interact with the service provider (18) based on the address information (S6)
Is configured to,
The attribute governing the use of the identity resource specifies a permission associated with the identity resource for an operation that can be performed by a system entity on the identity resource or a system entity related to the identity resource. Control device (12). 前記問い合わせ(S2)の前に、前記アイデンティティネットワーク(10)で利用可能であり且つ前記主体者(20)のアイデンティティに関連する前記アイデンティティリソースに関する情報を読み出すことのリクエストを前記主体者(20)から受信する(s2)ように更に構成されることを特徴とする請求項1に記載の制御装置(12)。   Prior to the query (S2), a request to read information about the identity resource that is available in the identity network (10) and related to the identity of the subject (20) is sent from the subject (20). The controller (12) of claim 1, further configured to receive (s2). 前記受信(S4)の後で前記相互作用(S6)の前に、
前記主体者(20)に前記アドレス情報を利用可能にし(S5a)、
前記プライバシー属性を作成し、読み込み、変更し又は削除することのリクエストを前記主体者(20)から受信する(S5b)
ように更に構成され、
前記プライバシー属性を作成し、読み込み、変更し又は削除するための前記サービスプロバイダ(18)との相互作用(S6)は、前記プライバシー属性を作成し、読み込み、変更し又は削除することの前記主体者(20)から受信された前記リクエストに基づく
ことを特徴とする請求項1又は2に記載の制御装置(12)。 After the reception (S4) and before the interaction (S6),
Making the address information available to the subject (20) (S5a);
A request to create, read, change or delete the privacy attribute is received from the subject (20) (S5b).
Further configured as
Interaction (S6) with the service provider (18) to create, read, modify or delete the privacy attribute is the subject of creating, reading, modifying or deleting the privacy attribute. 3. The control device (12) according to claim 1 or 2, characterized in that it is based on the request received from (20). 前記相互作用(S6)は、データサービステンプレートプロトコルを用いて実行されることを特徴とする請求項1乃至3の何れか1項に記載の制御装置(12)。   4. The control device (12) according to any one of claims 1 to 3, wherein the interaction (S6) is performed using a data service template protocol. 前記アイデンティティネットワーク(10)の少なくとも1つのサービスプロバイダ(18)から、前記少なくとも1つのサービスプロバイダ(18)内の前記主体者(20)のアイデンティティに関連する前記アイデンティティリソースの前記使用に関する情報である使用情報を取得する(S7)ように更に構成されることを特徴とする請求項1乃至4の何れか1項に記載の制御装置(12)。   Use from the at least one service provider (18) of the identity network (10) to information about the use of the identity resource related to the identity of the subject (20) in the at least one service provider (18) 5. The control device (12) according to any one of claims 1 to 4, further configured to acquire information (S7). 前記使用情報は、アイデンティティリソースのタイプと、アイデンティティリソースの属性値と、前記アイデンティティリソースへのアクセスのタイムスタンプと、前記アイデンティティリソースにアクセスするか、アクセスしていたか、使用するか、使用していたか又は前記アイデンティティリソースを購読するか、購読していたサービスプロバイダ(18)の識別子とのうちの少なくとも1つに関する情報を含むことを特徴とする請求項5に記載の制御装置(12)。   The usage information includes the type of the identity resource, the attribute value of the identity resource, the time stamp of access to the identity resource, and whether the identity resource was accessed, accessed, used, or used. 6. A control device (12) according to claim 5, characterized in that it comprises information on at least one of or an identifier of a service provider (18) that subscribes to or subscribes to the identity resource. ウェブサービスプロバイダであることを特徴とする請求項1乃至6の何れか1項に記載の制御装置(12)。   The control device (12) according to any one of claims 1 to 6, characterized in that it is a web service provider. 少なくとも1つの主体者(20)に対するアイデンティティネットワーク(10)におけるプライバシー管理のための制御装置(12)によって実行される方法であって、
アイデンティティネットワーク(10)は、少なくともアイデンティティプロバイダ(14)と、ディスカバリサービスプロバイダ(16)と、前記主体者(20)がトランザクションを行うことが可能なサービスプロバイダ(18)とを含むコンピュータネットワークであり、
主体者(20)は当該主体者(20)のアイデンティティが認証されることが可能なシステムエンティティであり、
アイデンティティリソースは、アイデンティティ又はアイデンティティのグループに関係するデータであるか、アイデンティティ又はアイデンティティのグループに関連するサービスであるかの何れかであり、
前記方法は、
前記アイデンティティネットワーク(10)で利用可能であり且つ前記主体者(20)のアイデンティティに関連するアイデンティティリソースに関する情報を取得するために前記アイデンティティネットワーク(10)のディスカバリサービスプロバイダ(16)に問い合わせる工程(S2)と、
前記アイデンティティネットワーク(10)で利用可能であり且つ前記主体者(20)のアイデンティティに関連する前記アイデンティティリソースのアドレス属性について利用可能な情報であるアドレス情報を前記ディスカバリサービスプロバイダ(16)から受信する工程(S4)と、
前記アイデンティティネットワーク(10)で利用可能であり且つ前記主体者(20)のアイデンティティに関連する前記アイデンティティリソースの使用を統治する属性であるプライバシー属性を作成し、読み込み、変更し又は削除するために前記アドレス情報に基づいてサービスプロバイダ(18)と相互作用する工程(S6)と
を有し、
前記アイデンティティリソースの使用を統治する属性は、当該アイデンティティリソース上のシステムエンティティ又は当該アイデンティティリソースに関するシステムエンティティが実行可能な動作について当該アイデンティティリソースに関連するパーミッションを特定する
ことを特徴とする方法。 A method performed by a controller (12) for privacy management in an identity network (10) for at least one subject (20) comprising:
The identity network (10) is a computer network including at least an identity provider (14), a discovery service provider (16), and a service provider (18) with which the subject (20) can conduct transactions,
The subject (20) is a system entity with which the identity of the subject (20) can be authenticated,
An identity resource is either data related to an identity or group of identities or a service related to an identity or group of identities,
The method
Querying a discovery service provider (16) of the identity network (10) to obtain information about identity resources available in the identity network (10) and related to the identity of the subject (20) (S2) )When,
Receiving from the discovery service provider (16) address information, which is information available for the address attribute of the identity resource that is available in the identity network (10) and associated with the identity of the subject (20). (S4),
To create, read, modify, or delete privacy attributes that are available in the identity network (10) and that govern the use of the identity resources associated with the identity of the subject (20) possess the interacting step (S6) and service provider (18) based on the address information,
The attribute governing the use of the identity resource specifies a permission associated with the identity resource for an operation that can be performed by a system entity on the identity resource or a system entity related to the identity resource. Method. 前記問い合わせる工程(S2)の前に、前記アイデンティティネットワーク(10)で利用可能であり且つ前記主体者(20)のアイデンティティに関連する前記アイデンティティリソースに関する情報を読み出すことのリクエストを前記主体者(20)から受信する工程(s2)を有することを特徴とする請求項8に記載の方法。   Prior to the querying step (S2), the subject (20) makes a request to retrieve information about the identity resource available in the identity network (10) and related to the identity of the subject (20). 9. The method according to claim 8, comprising the step of receiving from (s2). 前記受信する工程(S4)の後で前記相互作用する工程(S6)の前に、
前記主体者(20)に前記アドレス情報を利用可能にする工程(S5a)と、
前記プライバシー属性を作成し、読み込み、変更し又は削除することのリクエストを前記主体者(20)から受信する工程(S5b)と
を有し、
前記プライバシー属性を作成し、読み込み、変更し又は削除するために前記サービスプロバイダ(18)と相互作用する工程(S6)は、前記プライバシー属性を作成し、読み込み、変更し又は削除することの前記主体者(20)から受信された前記リクエストに基づく
ことを特徴とする請求項8又は9に記載の方法。 After the receiving step (S4) and before the interacting step (S6),
Making the address information available to the subject (20) (S5a);
Receiving (S5b) a request to create, read, change or delete the privacy attribute from the subject (20);
The step (S6) of interacting with the service provider (18) to create, read, modify or delete the privacy attribute is the subject of creating, reading, modifying or deleting the privacy attribute. 10. Method according to claim 8 or 9, characterized in that it is based on the request received from a person (20). 前記相互作用する工程(S6)は、データサービステンプレートプロトコルを用いて実行されることを特徴とする請求項8乃至10の何れか1項に記載の方法。   The method according to any one of claims 8 to 10, wherein the interacting step (S6) is performed using a data service template protocol. 前記アイデンティティネットワーク(10)の少なくとも1つのサービスプロバイダ(18)から、前記少なくとも1つのサービスプロバイダ(18)内の前記主体者(20)のアイデンティティに関連する前記アイデンティティリソースの前記使用に関する情報である使用情報を取得する工程(S7)を更に有することを特徴とする請求項8乃至11の何れか1項に記載の方法。   Use from the at least one service provider (18) of the identity network (10) to information about the use of the identity resource related to the identity of the subject (20) in the at least one service provider (18) The method according to any one of claims 8 to 11, further comprising a step (S7) of acquiring information. 前記使用情報は、アイデンティティリソースのタイプと、アイデンティティリソースの属性値と、前記アイデンティティリソースへのアクセスのタイムスタンプと、前記アイデンティティリソースにアクセスするか、アクセスしていたか、使用するか、使用していたか又は前記アイデンティティリソースを購読するか、購読していたサービスプロバイダ(18)の識別子とのうちの少なくとも1つに関する情報を含むことを特徴とする請求項12に記載の方法。   The usage information includes the type of the identity resource, the attribute value of the identity resource, the time stamp of access to the identity resource, and whether the identity resource was accessed, accessed, used, or used. 13. Method according to claim 12, characterized in that it comprises information on at least one of or an identifier of a service provider (18) that subscribes to or subscribes to the identity resource. コンピュータで実行される場合に、請求項8乃至13の何れか1項に記載の方法を前記コンピュータに実行させるように構成された命令を有するコンピュータプログラム。   14. A computer program having instructions configured to cause a computer to execute the method of any one of claims 8 to 13 when executed on a computer. 請求項14のコンピュータプログラムを含むコンピュータで読み取り可能な記憶媒体。 Comprising computer program of claim 14, a computer readable storage medium.
JP2012049671A 2012-03-06 2012-03-06 Method for privacy management in an identity network, physical entity and computer program therefor Active JP4995995B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012049671A JP4995995B2 (en) 2012-03-06 2012-03-06 Method for privacy management in an identity network, physical entity and computer program therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012049671A JP4995995B2 (en) 2012-03-06 2012-03-06 Method for privacy management in an identity network, physical entity and computer program therefor

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2012503869A Division JP4950369B1 (en) 2009-04-08 2009-04-08 Method for privacy management in an identity network, physical entity and computer program therefor

Publications (2)

Publication Number Publication Date
JP2012142008A JP2012142008A (en) 2012-07-26
JP4995995B2 true JP4995995B2 (en) 2012-08-08

Family

ID=46678152

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012049671A Active JP4995995B2 (en) 2012-03-06 2012-03-06 Method for privacy management in an identity network, physical entity and computer program therefor

Country Status (1)

Country Link
JP (1) JP4995995B2 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
CA2473793C (en) * 2002-02-28 2014-08-26 Telefonaktiebolaget L M Ericsson (Publ) System, method and apparatus for federated single sign-on services
DE60222544T2 (en) * 2002-07-18 2008-06-19 Telefonaktiebolaget Lm Ericsson (Publ) Management system and method for the provision of subscription services

Also Published As

Publication number Publication date
JP2012142008A (en) 2012-07-26

Similar Documents

Publication Publication Date Title
JP5509334B2 (en) Method for managing access to protected resources in a computer network, and physical entity and computer program therefor
US10084823B2 (en) Configurable adaptive access manager callouts
US9450963B2 (en) Multiple resource servers interacting with single OAuth server
JP6263537B2 (en) LDAP-based multi-tenant in-cloud identity management system
US7216163B2 (en) Method and apparatus for provisioning tasks using a provisioning bridge server
US7840658B2 (en) Employing job code attributes in provisioning
US20140380428A1 (en) Authorization server system, control method thereof, and non-transitory computer-readable medium
JP5422753B1 (en) Policy management system, ID provider system, and policy evaluation apparatus
JP5342020B2 (en) Group definition management system
CN103370714B (en) Certification cooperative system, ID provider&#39;s device and its control method
JP4950369B1 (en) Method for privacy management in an identity network, physical entity and computer program therefor
Del Álamo et al. A privacy-considerate framework for identity management in mobile services
JP4995995B2 (en) Method for privacy management in an identity network, physical entity and computer program therefor
Xu et al. A user-centric privacy access control model
Gomez-Skarmeta et al. User-Centric Privacy Management in Future Network Infrastructure
Stihler et al. Managing distributed UCONabc policies with authorization assertions and policy templates
Folkeseth En semantisk fremgangsmåte for kontekst-baserte tilgang til foretaksbaserte systemer

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120420

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120510

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150518

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4995995

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250