专利名称:服务器从终端站中读取的个人数据的保护的制作方法
技术领域:
本发明一般涉及个人数据的自动处理,尤其是涉及保护服务器特别是互联网站点服务器从用户终端站读取的个人数据。
为了满足用户保护他们个人数据(特别是他们的身份和地址细节)的逐渐迫切的要求,在他们的终端站和服务器之间的关系中,由用户产生的专用策略正被提供于终端站中。
在服务器和这样一个终端站之间已经建立一个呼叫之后,服务器把服务器策略数据传送到终端站,该服务器策略数据表示服务器管理器希望从终端站获得的终端站用户的个人数据的各种使用—特别是为了把这样的个人数据传播给其它站点或节省的参与者。为了过滤或者屏蔽此类使用,终端站把收到的服务器策略数据与预先储存在终端站中的专用策略数据进行比较使得只有当这两个策略一致时才发送服务器请求的个人数据。
然而,服务器的策略只是一个声明并且服务器管理器随后在核查期间或者在用户行使他们的反对权利时不能证明用户真的授权服务器管理器来传播某些数据。
本发明的一个目的是修正该缺点以使服务器管理器可以随后证明任何授权以便读取来自终端站的个人数据并且因此同意终端站用户传送预确定个人数据。
为此目的,一种保护由服务器从用户终端站读取的个人数据的方法,所述方法包括把服务器策略数据从服务器发送到该用户终端站,并且把服务器策略数据与预先储存在该用户终端站中的专用策略数据进行比较,所述方法其特征在于确定一个特征标记,该特征标记用于标记在该站中接收到的服务器策略数据并且当服务器策略数据与专用策略数据一致时从该站中发送该特征标记与从该站中读取的个人数据给服务器。
利用发送给服务器的特征标记,此特征标记被存储于所述服务器,服务器的管理器通过预先储存在终端站中的专用策略能够核实用户已经真正授权读取作为服务器策略函数的预确定个人数据。
另外,如果多个策略被建议或者已经被协商,或者如果服务器策略随后已经被修改,则服务器的管理器能够核实在连续的会话期间所述策略已经被用户接受。
为了避免终端站用户关于安全策略数据的可反对性,该方法还可以包括从服务器发送服务器策略数据的一个特征标记与服务器策略数据给终端站,并且把所述特征标记存储在终端站中,优选地和服务器发送的时戳数据一起存储。这个第二特征标记然后作为核实用户的确在一个给定瞬时接收到一个确定的服务器策略。
为了提供专用策略数据特别是主要提名的个人数据的便携性,终端站包括一个中央处理器和与中央处理器联系的一张聪慧卡并且聪慧卡具有预先储存的所述专用策略数据和个人数据。优选地,聪慧卡包含一种用于标记接收服务器策略数据的算法。
在参考相应附图阅读本发明优选实施例的下列说明后,本发明的其它特性和优点将更清楚地显现,附图中
图1是具有用于执行本发明方法的用于保护个人数据的服务器和终端站的电信系统框图;图2是示出在终端站中执行的保护个人数据的方法的算法流程图;和图3和4是示出装备有用于读取附加聪慧卡的阅读器的终端站第二实施例的两种变型的各自操作框图。
图1图示了构成网站的一个服务器SE和特别经由包括互联网在内的电信网络NE互连的用户终端站TS。
在第一实施中,终端站TS是一台个人计算机PC,它在附图1中被图示为中央处理器CPU,它的外围设备,比如键盘、屏幕、打印机、调制解调器等等未被示出。
在一个变型中,终端站TS基于一个平台,该平台可以包括一个个人数据助理(PDA)和/或一个移动无线电话终端;在后一种变型中,网络NE包含移动终端起源的蜂窝无线电话网。
如图1所示,终端站TS的中央处理器CPU(与本发明特别有关)包括诸如硬盘之类的存储器ME,它包含定义专用策略和个人数据PD的预存储数据PP;和一个浏览器BR,它相对于Web服务器SE担当用户,并且管理与终端站用户的图形接口以及用于以特定的形式访问服务器发送的文档的链路。
站TS的用户个人数据PD特别是指名的,并且,它可以包括下列数据项的至少一个由用户的姓组成的用户身份,至少一个他们的名,以及可选择的他们的出生日期;可以自动确定的终端站的位置,特别是当终端站是一个移动无线电话终端时;一个电子邮件(email)地址;用户的家庭住址和/或工作地址;电话号码;最近访问的网站列表等等。储存在中央处理器CPU中的每一项个人数据PD由一个个人数据标识符PDI指定以使个人数据项可以在来自服务器SE的控制之下被读取,如下所述。
专用策略数据PP定义终端站TS用户相对于他们与中央处理器外部特别是与任何Web服务器SE的关系的个人数据DP的管理。特别地,专用策略数据PP按照用户期望包括每项个人数据PD的一个或多个个人数据使用PDU。反过来,一项个人数据使用数据PDU还可以与多项个人数据PD相关。就像由服务器SE产生并发送给站TS中的浏览器BR的那些服务器策略SP数据项一样,数据项PD和PDU最好遵守隐私选择平台计划(P3P)格式的标准平台。P3P格式的所有文档和数据项以扩展标识语言(XML)来书写,或者在一种变型中,当终端站是移动无线电话终端时,以把XML适应无线接入协议(WAP)显示标准的无线标识语言(WML)来书写。
PDU数据项表示由终端站用户建立的专用规则使得授权某些项个人数据PD被服务器SE从存储器ME中被读出。专用规则由用户编程在浏览器BR中并且可以特别取决于·服务器SE的管理器对由终端站TS传送给服务器SE的个人数据PD的后续使用,例如为了直接买卖、统计、转售等等的目的用于自动处理;·终端站的位置,它可以在用户的家里或者在办公室,或者它可以正在参加一个电话会议;例如,只有当终端站在用户家里时用户才同意接收增进的提议;·由服务器SE提供的服务费用;例如,如果服务费用高于一个预确定数量,则用户拒绝某些个人数据项PD,反过来,如果用户决定现金支付它们,则服务器拒绝提供某些服务;·时间数据;例如用户同意只有在办公时间期间接收电子邮件;·预先储存网站地址的通用资源定位器(URL);如果一个服务器的地址不被包含在站点地址列表中,则站TS拒绝把任何个人数据传送给所述服务器;和·个人数据被传送的目的地;例如当服务器SE希望把个人数据传送到预确定个人或预确定法人团体或者传送给没有制定有关数据处理、文件和公民自由特别是有关个人数据保护的法律的那些国家时,用户拒绝传送之。
为了从终端站TS中的存储器ME中获得某些个人数据项PD,服务器SE包括可以被浏览器BR识别并且因此也按照P3P标准以XML的形式表示的服务器策略数据SP。一般来说,服务器SE发送给终端站TS的策略数据SP是这样一种形式该形式包括与使用数据PDU相似的问题和注释QC并且其答案与标识符PDI识别的个人数据PD对应。因此,服务器SE发送的一则消息包含一个形式,该形式定义具有数据QC的服务器策略SP以及相应标识符PDI。
参考图2,用于保护数据的本发明方法主要包括步骤S1到S7。这些主要步骤从初始步骤SO连续执行,初始步骤SO中,在服务器SE的URL地址已经被用户选择之后照惯例在终端站TS和服务器SE之间建立一个连接以便打开一个服务器访问会话(此中访问是针对该服务器),该会话以个人数据保护会话开始。步骤S1到S8[S7???]的算法例如本质上以JAVA语言的小应用程序的形式被安装在终端站TS的中央处理器CPU中,该小应用程序可被浏览器BR下载并执行。
在步骤S1,站TS接收例如以XML的形式形成的P3P形式的服务器策略数据SP,特别包括个人数据标识符PDI和服务器策略SP数据QC。然后在步骤S2,浏览器BR把定义服务器策略SP的接收数据QC、PDI与从存储器ME中读出的专用策略PP的数据PDU进行比较。验证服务器策略与专用策略是否一致的步骤大体上包括为由服务器SB传送的每个个人数据标识符PDI检查接收到的相应数据QC属于由用户定义并被储存在终端站中的存储器中的专用策略PP或者以相等的形式被表达在该专用策略PP中。如果接收到的服务器策略数据与预先储存的专用策略数据一致,则在步骤S4,浏览器BR授权存储器ME中那些被各个接收标识符PDI编址的个人数据项PD从所述存储器中被读出。
反过来,如果服务器策略SP和专用策略PP不一致,即,如果对至少一个接收数据项的回答QC与和接收标识符PDI相应的专用策略使用数据PDU不一致,则服务器SE在终端站发送的一个临时拒绝之后在步骤S3建议一个协商。
例如,如果服务器SE在数据QC中规定它希望含有终端站TS的电子邮件地址用于直接买卖目的,并且如果用户拒绝传送那个信息,那么服务器与用户对话以便找到一个折衷。如果用户在服务器中与″优良用户″特性关联时,其中,″优良用户″产生大于从服务器SE的站点直接购买的预确定极限的转折,则服务器SE同意继续会话而不用终端站传送电子邮件地址。反过来,对于所有新的顾客,如果新用户的电子邮件地址未被传送,则服务器拒绝继续会话,并且然后算法从步骤S3运行到步骤S31来终止该会话。
在一种变型中,如果在步骤S3,一个协商被设想,则浏览器BR在终端站TS的屏幕上显示一个窗口以便询问用户他们是否希望放弃产生该协商的有关个人数据通信的禁令。因此,在步骤S32,用户通过例外决定为服务器策略SP自动强迫读取可能未被正常传送给服务器的一项或多项个人数据PD。
在步骤S2之后,当一致性被建立时,或者在S31之后,当强迫读取时,在步骤S4,浏览器BR授权读取与各个接收标识符PDI相应的个人数据DP。优选地,接收到的服务器策略数据项SP被转换成终端站TS中查看的形式,并且以已经被读出的个人数据PD自动填充之。
然后,按照本发明,浏览器BR在步骤S5决定使用预确定算法ALT(作为选择,包括一个预确定密钥)来标记接收到的服务器策略数据SP(QC,PDI)以便产生一个服务器策略数据特征标记SGTS。例如,算法ALT由散列接收数据引起,导致比接收数据尺寸更下尺寸的一个散列,此散列然后被一种非对称加密算法加密,比如具有公共和专用密钥的Rivest Shamir Adleman(RSA)加密算法。
优选地,诸如现在日期和时间之类的发送时戳数据TSDT被附加到接收到的策略服务器数据以使它以特征标记SGTS=ALT[SP(QC,PDI)和TSDT]来标记。
在一个变型中,代替从在步骤S4读出个人数据PD自动去到步骤E5的标记步骤,在E4和E5之间提供一个中间步骤S42,通过一个显示已读出数据的特定查看窗口,为下一步骤S6邀请用户核实读取数据PD的特征标记及其发送。
在步骤S5之后,终端站TS发送服务器策略数据特征标记SGTS和在步骤S4从存储器ME中读取的个人数据PD。优选地,站TS的存储器ME保持发送数据以及特征标记SGTS和具有服务器地址的发送时戳数据TSDT。然后在步骤S7继续与服务器SE的会话。服务器SE因此接收特征标记SGTS,服务器存储该特征标记以及所述特征标记被接收时的日期和时间,至少与终端站TS的地址对应以便在必要时将随后调整,用户已经授权在步骤S4被数据TSDT指示的瞬时被读出的个人数据PD的传递,并且在步骤S6被发送。如果用户已经把特征标记SGTS和发送数据保持在存储器ME中,则把所述发送数据与服务器接收到的数据相比较,这将结束任何争论。
最后,为了改善随后核实的个人数据通信的核实,服务器策略数据SP(QC,PDI)被服务器SE预先标记为一个特征标记SGSE并且被所述服务器用现在时戳数据来保持。特征标记SGSE与策略数据SP一起被服务器SE发送并且在步骤S1还被终端站TS接收。特征标记SGSE和与特征标记接收有关的时戳数据项TSDR被写入站TS的存储器ME中。特征标记SGSE提供假定用户已经接收服务器策略数据SP的附加手段。优选地,安装在服务器中用于标记数据SP的算法ALR不同于算法ALT。
在如图3和4所示的其它实施中,终端站TS1、TS2包括中央处理器CPU1、CPU2,它们装备有用于读取附加聪慧卡SC1、SC2的一个阅读器,聪慧卡也被称为″微控制器卡″或者″集成电路卡片″。中央处理器CPU1、CPU2可以是inter alia、移动电话终端,其中用户识别模块(SIM)不同于附加聪慧卡SC1、SC2。在聪慧卡SC1、SC2与中央处理器CPU1、CPU2之间的链路是常规的并且可以是经由电接点的一条链路,或者是一条″无触点″链路,或者是一条蓝牙类型的本地无线电链路,它不需要在中央处理器和卡之间有任何物理接触。
在如图3所示的实施中,聪慧卡SC1通过一个软件模块或者通过担当接口的″插座″IN来与浏览器BR1通信以使聪慧卡SC1中的微控制器能访问浏览器BR1中的信息。
在如图4所示的实施中,浏览器BR2不能通过网络NE直接接入与服务器SE的对话。终端站TS2然后包括一个位于浏览器BR2、聪慧卡SC2和网络NE之间的中间代理模块PR以使代理PR相对于浏览器BR2充当服务器并且相对于服务器SB充当用户,并且可以从聪慧卡SC2中重现数据,特别是个人数据PD。
对于如图3和4所示的两个实施中,提供三种变型。
优选地,对于所有三种变型,聪慧卡SC1、SC2本身把服务器策略数据SP与在步骤S2预先储存在站中的专用策略数据PP进行比较。
在第一变型中,只有专用策略数据PP(PDU,PD)被预先储存在聪慧卡SC1、SC2中,而是、不是预先储存在中央处理器CPU的存储器ME中。浏览器BR1、BR2具有特征标记算法ALT。
在第二变型中,聪慧卡SC1、SC2存储并管理所有与专用策略PP有关的数据。在这个变型中,聪慧卡的电可擦可编程只读存储器(EEPROM)类型的非易失存储器已经预先储存个人数据PD、个人数据使用数据PDU以及特征标记算法ALT以便在卡SC1、SC2本身中确定特征标记SGTS为服务器策略数据SP和时戳数据TSDT的函数。
用户特定的并且预先储存在聪慧卡SC1、SC2中的专用策略特别地是个人数据因此在装备有用于读取附加聪慧卡的阅读器的任何平台上都是便携的,从而增加访问用户个人数据的安全性。
在一次会话期间,至少特征标记SGTS和SGSE以及具有服务器SE地址的相应时戳数据项TSDR和TSDT也被记录在聪慧卡中。
在第三变型中,终端站TS1、TS2的中央处理器CPU1、CPU2已经预先储存专用策略数据PP和个人数据PD,并且聪慧卡SC1、SC2包含用于标记接收到的服务器策略数据以及时戳数据的算法ALT。
同样如图3和4所示,终端站TS1、TS2的中央处理器CPU1、CPU2包括一个软件模块MD1、MD2,用于使专用策略PP的数据PDU、PDI、PD能够被用户修改。
在另一变型中,聪慧卡被直接连接到浏览器。
权利要求
1.一种保护服务器(SB)从用户终端站(TS)读取的个人数据的方法,所述方法包括把服务器策略数据(SP)从服务器发送到该用户终端站(S1),并且把服务器策略数据(SP)与预先储存在该用户终端站中的专用策略数据(PP)进行比较(S2),所述方法其特征在于确定一个特征标记(SGTS),该特征标记(SGTS)用于标记在该站中接收到的服务器策略数据(S5);并且当服务器策略数据(SP)与专用策略数据(PP)一致时从该站中发送该特征标记(SGTS)与从该站中读取的个人数据(PD)给服务器(S6)。
2.根据权利要求1的方法,其中用于标记服务器策略数据(SP)的特征标记(SGTS)的比较(S2)、确定(S5)以及个人数据(PD)和特征标记(SGTS)的发送(S6)在终端站(TS)中是自动的(S41)而不必用户干预。
3.根据权利要求2的方法,其中接收到的服务器策略数据(SP)被转换成终端站(TS)中可查看的形式并且用读取的个人数据(PD)自动填充之。
4.根据权利要求1到3一个的方法,其中终端站(TS)确定(S5)特征标记(SGTS)还是时戳数据(TSDT)的函数。
5.根据权利要求4的方法,其中终端站(TS)存储特征标记(SGTS)以及优选地存储时戳数据(TSDT)。
6.根据权利要求1到5任何一个的方法,包括把服务器策略数据(SP)的特征标记(SGSE)与服务器策略数据一起从服务器(SE)发送(S1)到终端站(TS),并且把所述特征标记(SGSE)存储(S1)在终端站中,优选地与时戳数据(TSDT)一起存储。
7.根据权利要求1到6任何一个的方法,包括在终端站(TS)中提供装置(MD)用于修改专用策略数据(PP)。
8.根据权利要求1到7任何一个的方法,其中终端站(TS1,TS2)包括一个中央处理器(CPU1,CPU2)以及一个聪慧卡(SC1,SC2),聪慧卡(SC1,SC2)与中央处理器通信并且已经预先储存所述专用策略数据(PP)和个人数据(PD)。
9.根据权利要求8的方法,其中聪慧卡(SC1,SC2)包含一种用于标记接收到的服务器策略数据(SP)以及优选地标记时戳数据的算法(ALT)。
10.根据权利要求6和权利要求8或9的方法,其中聪慧卡(SC1,SC2)记录由服务器发送的服务器策略数据(SP)的特征标记(SGSE),优选地与时戳数据一起记录。
11.根据权利要求1到7任何一个的方法,其中终端站(TS1,TS2)包括一个中央处理器(CPU1,CPU2)和聪慧卡(SC1,SC2),中央处理器(CPU1,CPU2)已经预先储存所述专用策略数据(PP)和个人数据(PD);聪慧卡(SC1,SC2)与中央处理器通信,并且包含一种用于标记接收到的服务器策略数据(SP)以及优选地标记时戳数据的算法(ALT)。
12.根据权利要求8到11任何一个的方法,其中聪慧卡(SC1,SC2)本身比较服务器策略数据(SP)与专用策略数据(PP)。
全文摘要
本发明涉及一种使服务器管理器能够随后核实服务器被授权读取终端站(ST)中的用户个人数据的方法,包括把服务器策略数据(SP)发送到所述站;把服务器策略数据与预先储存在该站中的专用策略数据(PP)进行比较;确定在该站接收到的服务器策略数据的一个特征标记(SGST);并且当比较策略数据(SP,PP)匹配时把特征标记与所述站中读取的个人数据(PD)一起发送。
文档编号G06F21/62GK1559027SQ02818685
公开日2004年12月29日 申请日期2002年7月22日 优先权日2001年7月25日
发明者J·-L·吉罗, J -L 吉罗, P·吉拉尔 申请人:格姆普拉斯公司