JP2016513851A - ネットワーク接続時に安全なアプリケーションを識別するためのシステム及び方法 - Google Patents
ネットワーク接続時に安全なアプリケーションを識別するためのシステム及び方法 Download PDFInfo
- Publication number
- JP2016513851A JP2016513851A JP2016503018A JP2016503018A JP2016513851A JP 2016513851 A JP2016513851 A JP 2016513851A JP 2016503018 A JP2016503018 A JP 2016503018A JP 2016503018 A JP2016503018 A JP 2016503018A JP 2016513851 A JP2016513851 A JP 2016513851A
- Authority
- JP
- Japan
- Prior art keywords
- application
- access
- identifier
- user
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 35
- 230000008520 organization Effects 0.000 claims abstract description 21
- 230000004044 response Effects 0.000 claims description 9
- 239000000284 extract Substances 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 10
- 238000012795 verification Methods 0.000 description 10
- 238000012797 qualification Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 238000013500 data storage Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007274 generation of a signal involved in cell-cell signaling Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
コンピュータシステムは、組織のネットワーク内リソースへのアクセス要求をユーザ機器から受信し、アプリケーション、ユーザ、及びユーザ機器に関連付けられたアクセス資格情報を受信する。コンピュータシステムは、アプリケーション識別子、ユーザ識別子、及び機器識別子を識別し、これらの識別子の組み合わせがアクセスポリシを満たすかどうかを判定する。アプリケーション識別子、ユーザ識別子、及び機器識別子の組み合わせがアクセスポリシを満たす場合、コンピュータシステムは、組織のネットワーク内リソースへのアプリケーションアクセスを許可する。
Description
本発明の実施形態は、アプリケーションの認証、具体的には、ネットワーク接続時の安全なアプリケーションの識別に関する。
モバイル機器のユーザは、ファイアウォール内の制御されたネットワーク又は企業ネットワークなど安全なネットワークに存在する情報へのアクセスを所望することが多い。ファイアウォールは、安全なネットワークへのアクセスをユーザに提供できる、ゲートウェイなどアクセスプロキシを有し得る。組織は、ネットワーク(例えば、インターネット)上で1つ以上のクラウドサービスをユーザに提供してよい。クラウドサービスとしては、ユーザが企業所有のコンピュータからアクセスできる他の場所(例えば、別のコンピュータ又は組織のデータセンター)に物理的に存在し、IP制限などによって保護されていても、保護されなくてもよい、計算、ソフトウェア、データアクセス、ストレージサービス、契約サービスなどが挙げられてよい。従業員が個人所有の機器を持ち込んで(「BYOD」)企業ネットワークにアクセスする企業ネットワークの実施例では、従業員の機器は、通常、企業ネットワークにアクセスできない。
クラウドリソースにアクセスするためのシステムについて説明する。一実施形態では、アクセスプロキシは、組織のネットワーク内リソースへのアクセスを求めるアプリケーションの要求を受信する。このアプリケーションは、組織のネットワーク外のユーザ機器で実行している。アクセスプロキシは、アプリケーションのユーザのユーザ識別子、ユーザ機器の機器識別子、及びアプリケーションのアプリケーション識別子を更に識別する。アクセスプロキシはまた、ユーザ識別子、機器識別子、及びアプリケーション識別子の組み合わせがアクセスポリシを満たすかどうかを判定する。ユーザ識別子、機器識別子、及びアプリケーション識別子の組み合わせがアクセスポリシを満たす場合、アクセスプロキシは、組織のネットワーク内リソースへのアプリケーションアクセスを許可する。
一実施形態では、リソースは、プライベートクラウドリソース又はパブリッククラウドリソースのうちの少なくとも1つである。一実施形態では、アプリケーションの要求は、ユーザ識別子、機器識別子、及びアプリケーションの秘密鍵によって署名されたアサーションに含まれるアプリケーション識別子を含む。アクセスプロキシは、アプリケーションプロビジョニングサービスからのアプリケーション公開鍵を使用して、ユーザ識別子、機器識別子、及びアプリケーション識別子を要求から更に抽出することができる。一実施形態では、組織のネットワーク内リソースへのアプリケーションアクセスを許可することは、ユーザ機器で使用可能にするクラウドリソースを判定することを含む。
別の実施形態では、システムは、ユーザ要求を受信して、クラウドリソースにアクセスするアプリケーションを起動させるユーザ機器を更に含む。このユーザ機器はまた、アプリケーションのアクセス資格情報を取得でき、アクセス資格情報はユーザ識別子、機器識別子、及びアプリケーション識別子を含む。ユーザ機器は、アクセス資格情報及びクラウドリソースの識別子を含むアクセス要求を、ネットワークを介してアクセスプロキシに更に送信できる。ユーザ機器は、アクセス要求に対する応答をアクセスプロキシから受信でき、この応答は、アクセス要求が許可されたか、拒否されたかを示す。
一実施形態では、ユーザ識別子、機器識別子、及びアプリケーション識別子の組み合わせがアクセスポリシを満たすかどうかを判定することは、要求に関連付けられたユーザ識別子、機器識別子、及びアプリケーション識別子の組み合わせを、ユーザ識別子、機器識別子、及びアプリケーション識別子の有効な組み合わせのリストと比較することを含む。アクセス資格情報を取得することは、ユーザインターフェースを提供して、ユーザ識別子、機器識別子、及びアプリケーション識別子のうちの少なくとも1つであるユーザ入力を容易にすることを含み得る。
クラウドリソースにアクセスするための方法について説明する。一実施形態では、アクセスプロキシなどコンピュータシステムは、組織のネットワーク内リソースへのアクセスを求めるアプリケーションの要求を受信する。このアプリケーションは、組織のネットワーク外のユーザ機器で実行している。アクセスプロキシは、アプリケーションのユーザのユーザ識別子、ユーザ機器の機器識別子、及びアプリケーションのアプリケーション識別子を識別できる。アクセスプロキシは、ユーザ識別子、機器識別子、及びアプリケーション識別子の組み合わせがアクセスポリシを満たすかどうかを更に判定できる。ユーザ識別子、機器識別子、及びアプリケーション識別子の組み合わせがアクセスポリシを満たす場合、アクセスプロキシはまた、組織のネットワーク内リソースへのアプリケーションアクセスを許可できる。
更に、クラウドリソースにアクセスするための、非一時的なコンピュータ可読記憶媒体ネットワークについて説明する。例示的コンピュータ可読記憶媒体は、プロセッサによる実行時に、上記の例示的方法など方法をプロセッサに実行させる、命令を提供する。
本発明は、以下の「発明を実施するための形態」及び本発明の様々な実施形態の添付図面からより完全に理解されるであろうが、これらは、本発明を特定の実施形態に限定すると見なされるべきではなく、説明及び理解のみを目的とする。
本発明の実施形態が動作し得る、サンプルネットワークアーキテクチャのブロック図である。
ある実施形態による、アクセス制御モジュールを示すブロック図である。
ある実施形態による、認証モジュールを示すブロック図である。
ある実施形態による、クラウドリソースのアクセス制御法を示すフロー図である。
別の実施形態による、クラウドリソースのアクセス制御法を示すフロー図である。
ある実施形態による、コンピュータシステムの一実施形態を示すブロック図である。
ネットワークに接続して、クラウドサービス又はリソースにアクセスするときに安全なアプリケーションを識別するための方法及び装置の実施形態について説明する。特定の実施形態では、アクセスプロキシは、ユーザ識別子、機器識別子、及びアプリケーション識別子の組み合わせを使用して、アクセス管理及び識別子認証を統合する。アクセスプロキシは、ユーザの個人用機器上の一部のアプリケーションがクラウドリソースにアクセスできないようにし、一方では、ユーザの個人用機器上の別のアプリケーションからの同一クラウドリソースへのアクセスを許可する。
図1は、本明細書に記載の本発明の実施形態が動作し得る、サンプルネットワークアーキテクチャ100のブロック図である。ネットワークアーキテクチャ100は、企業ネットワーク(プライベートクラウド)130と、パブリッククラウド140(企業によって管理されない、プライベートクラウド130に含まれないサービスを含む)と、ネットワーク106を介して企業ネットワーク130及びパブリッククラウド140と通信できるユーザ機器102と、を含んでよい。ネットワーク106は、例えば、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)などプライベートネットワーク、インターネットなどグローバルエリアネットワーク(GAN)、又はかかるネットワークの組み合わせを含んでよく、有線又は無線ネットワークを含んでよい。
クラウドコンピューティング(「クラウド」)は、コンピュータネットワーク上のコンピューティングリソースへのアクセスを指してよい。クラウドコンピューティングにより、使用されるコンピューティングリソースとユーザが作業を行っている物理的マシンとの機能分離が可能となる。ユーザは、ユーザ機器を使用して、クラウド(例えば、企業ネットワーク130又はパブリッククラウド140)内のリソースにアクセスしてよい。ユーザ機器には、管理対象のユーザ機器及び非管理対象のユーザ機器が挙げられてよい。管理対象のユーザ機器は、企業がある程度制御できるユーザ機器(企業又はユーザの所有)を指す。具体的には、企業は、管理対象のユーザ機器にインストールし、実行できるアプリケーション又はプログラムを制御する。非管理対象のユーザ機器は、従業員の自宅コンピュータ又はプライベート用の携帯電話など企業によって制御されない、ユーザが所有するユーザ機器である。図1に示すユーザ機器102は、タブレットコンピュータ、スマートフォン、携帯情報端末(PDA)、ポータブルメディアプレーヤ、ネットブックなどは、非管理対象であるユーザのポータブル機器を示す。
ユーザは、1つ以上のアプリケーションストア110からユーザ機器102に様々なアプリケーションをダウンロードできる。アプリケーションストア110は、企業ネットワーク130若しくはパブリッククラウド140の一部、又は任意の他のネットワーク若しくはエンティであってよい、アプリケーションプロビジョニングサービスによって管理され得る。アプリケーションストア110は、ダウンロード用にラップされたアプリケーションを含むことができる。ユーザは、アプリケーションストア110からユーザ機器102にラップされたアプリケーション107をダウンロードできる。ラップされたアプリケーション107は、ポリシ、認証、及び暗号化を施行できるセキュリティ層でラップされたアプリケーション(「app」)108を含む。アプリケーション108は、任意の種類のアプリケーション、実行可能ファイル、プログラムなどであってよい。例としては、ネイティブアプリケーション(サードパーティのフレームワークを使用してコード化され得る)、ウェブクリップ、又はショートカット、安全なウェブアプリケーション(あるURLに関係付けられた、「ラップされた」クロムレスブラウザ)、「ストアポインタ」(配布されるオブジェクトが商用アプリケーションストアクライアントへのディープリンクである)などが挙げられる。アプリケーションラッピングは、アプリケーション108の配布前に、アプリケーション108にポリシ施行「ラップコード」を追加するものである。
アプリケーションのラッピングは、例えば、認証など多数の用途を有する。非アクティブタイムアウトが設定可能であり、アプリケーションごとにオフライン認証を許可することができる。オンラインでのアプリケーション内認証は、特定のプロトコルに左右されないが、ローカルユーザ/グループストア(例えば、ローカルIDプロバイダ(IdP)、IDアサーションプロバイダなど)を使用できるか、ライトウェイトディレクトリアクセスプロトコル(LDAP)を使用してActive Directoryに接続することにより実行できる。例えば、ラップされたアプリケーション107は、ユーザにアプリケーション108へのアクセスを許可する前にオンライン認証を要求できる。別の例では、認証は、機器のオペレーティングシステムが、(例えば、「ルーティング」法又は「ジェイルブレイク」法によって)この機器又はネットワーク上の他の機器にセキュリティ上の脅威を引き起こし得る方法で変更されたか、改ざんされたかどうかを確認し、変更されたか、改ざんされた機器の認証を拒否することを含む。
アプリケーションストア110を管理するアプリケーションプロビジョニングサービスは、認証ユーザのみに使用可能なアプリケーション107へのアクセス及び閲覧を許可できる。かかる構成では、アプリケーションストア110は、ユーザが自身のユーザ資格情報を入力するログイン画面をユーザに示す。アプリケーションプロビジョニングサービスは、資格情報を認証できるか、別のシステム又はモジュールを使用して資格情報を認証できる。ユーザが有効な資格情報を提供すると、アプリケーションストア110は、そのラップされたアプリケーションライブラリへのアクセスを許可する。別の実施形態では、アプリケーションプロビジョニングサービスは、認証された機器にのみアプリケーションストアへのアクセスを許可する。この構成では、アプリケーションストア110へのアクセス要求は、機器から発信される。ユーザは機器識別子を入力してよいか、又はアプリケーションストア110へのアクセスを求めるユーザ要求に機器識別子が自動的に追加され得る。ユーザ資格情報の認証と同様に、機器が認証されると、アプリケーションストア110にアクセスできる。
一実施形態では、アプリケーションストア110は、ユーザ機器102にインストールされている、ダウンロード可能なクライアントを使用してアクセスされる。このダウンロード可能なアプリケーションストアクライアントを使用すると、ユーザは、アクセスできるアプリケーションセットからラップされたアプリケーション107を閲覧し、選択できる。アプリケーション107が選択されると、アプリケーションストアクライアントはアプリケーションストア110に関連付けられたサーバと連携して、機器102にアプリケーション107をインストールする。アプリケーションストア110に関連付けられたサーバは、機器にインストールされているアプリケーション107のデータベースを保持し、機器とユーザとの関連付けも保持する。
企業ネットワーク130及びパブリッククラウド140は、ネットワーク106を介して認証されたユーザ機器にアクセス可能である、一群のクラウドリソース及び/又はサービス132、142をそれぞれ含んでよい。プライベートクラウドリソース132は、例えば、電子メールサービス、ドキュメント管理サービス、顧客関係管理(CRM)サービス、ビデオ通信サービス、又は一部の他のクラウドサービスを含んでよい。選ばれたユーザ(Select users)は、ネットワーク106でユーザ機器102を使用して、企業ネットワーク130内のプライベートクラウドリソース132にアクセスする権利が付与されてよい。プライベートクラウドリソース132は、暗号化され得る。
ネットワークアーキテクチャ100はまた、セキュリティ機能を備えるように設計されて、プライベートリソース及びサービス、並びに組織によって保持されている機密情報へのアクセスを保護してよい。一実施形態では、セキュリティは、一連の1つ以上のアクセスプロキシ(例えば、クラウドサービスアクセス及び情報ゲートウェイ)112、134、144、146によって実施されてよく、これらは、様々な位置(例えば、企業ネットワーク130内、パブリッククラウド140内、又は企業ネットワーク130及びパブリッククラウド140外)に配置され得る。例えば、アクセスプロキシは、クラウド内又は安全なネットワークへの入り口部分に配置されてよい。
アクセスプロキシ112、134、144、146は認証モジュール116を使用して、ユーザ、機器、及びアプリケーションに基づいてアクセスポリシを施行する、アクセス施行点として機能してよい。認証モジュール116は、示すように、アクセスプロキシ112、134、144、146のうちの少なくとも1つの一部であってよいか、アクセスプロキシ112、134、144、146外で動作してよい。認証モジュール116は、ネットワーク内クラウドリソースへのアクセスを要求しているユーザ、ユーザ機器、及びユーザ機器上の特定のアプリケーションを識別してよく、この特定のアプリケーションへのアクセスを許可できるか、制限できる。同一機器上の他のアプリケーションは、インターネットアクセスプロキシ又はネットワーク内のクラウドリソースにアクセスできない。
ラップされたアプリケーション107のラッピングは、アクセス資格情報を使用して、アクセスプロキシ112、134、144、146で認証済みセッションを開始する、アクセス資格情報モジュール109を含み得る。アクセス資格情報モジュール109は、ユーザから、機器から、アプリケーションなどからアクセス資格情報を受信できる。アクセス資格情報は、ユーザ、機器、及びアプリケーションなどの認証に使用可能なデータを含み得る。図2に関連してアクセス資格情報モジュール109の一実施例について詳述する。
ラップされたアプリケーション107は、ソフトウェア開発キット(SDK)を使用して、安全な通信(例えば、Cookie又は他のプロトコル非依存法)により自身を識別して、ユーザ、機器、及びアプリケーション情報を暗号化できる。モバイルアプリケーションラッパーを使用する場合、ソフトウェアSDKは、アクセスプロキシとの通信時に安全な通信層を追加する。SDKは、ユーザ、機器、及びアプリケーション識別子の安全かつ暗号化された組み合わせを追加し、アクセスプロキシに渡して認証を受ける。
一例では、プライベートクラウドリソース132又はパブリッククラウドリソース142などクラウドリソースへのアクセス要求は、アクセスプロキシのうちの1つを通過してよい。認証モジュール116は、要求に関連付けられたアクセス資格情報の組み合わせを許可されるユーザ、機器、及びアプリケーションのリスト又はデータベースと比較し、この比較結果に基づいて動作を施行してよい。動作としては、例えば、要求を許可する、要求を拒否する、要求を認証する、要求を変更する、又は他の動作が挙げられてよい。この動作は、ユーザがアプリケーションにアクセスする権限を有すること、機器がアプリケーションをインストールする許可を有すること、及びアプリケーション自体が安全であることが検証されること、を確認することであり得る。認証モジュール116は、このアプリケーションに関するネットワークアクセスを許可する前に、これらのアクセス資格情報のそれぞれを検証できる。認証モジュール116は、組織のネットワーク内リソースへのアプリケーションアクセスの許可、認証、拒否、又は制限に関する命令を提供できる。
別の例では、クラウドリソースへのアクセス要求は、階層化アクセス施行スキームを形成する、多数のアクセスプロキシを通過してよい。この階層化アプローチ内の各アクセスプロキシは、異なる認証又は承認タスクを実行できる。第1アクセスプロキシは、クラウドリソースへのアクセス要求の第1検証を実行できる。次いで、第2アクセスプロキシは、要求の第2検証を実行できる。一実施例では、第2アクセスプロキシは、追加基準に従って、要求の第2検証を実行する。この追加基準は、所定の期間内で許可される要求の数、要求が許可される期間(例えば、通常の業務時間中)、ユーザ機器102の地理的位置、及び不規則挙動又は信頼できない挙動の他の形態に関する規則であってよい。
すべての伝達された要求、情報、及びデータは、例えば、256ビット鍵の暗号ブロックチェーン(CBC)モードでの高等暗号化標準(AES)を使用して暗号化できる。データは、例えば、それぞれがランダムな初期化ベクトル(IV)を有する、512ブロックで暗号化できる。暗号化鍵は、各ユーザ機器102上のラップされたアプリケーション107ごとに異なり得る。一実施形態では、ファイル及びディレクトリデータの暗号化に使用される鍵は、ラップコード内で生成され、ユーザ機器102から外に出ることはない。存続する場合、暗号化鍵は、AES−CBC及び1つ以上の256ビット鍵(「KEK」、つまり鍵暗号鍵として知られる)を使用して暗号化される。クラウドリソースも暗号化され得る。暗号化されたクラウドリソースにアクセスするために、ユーザ機器102は、アクセスプロキシ112、134、144、146から暗号化鍵を受信できる。ユーザ機器102は、暗号化鍵を復号し、この鍵を使用して暗号化されたクラウドリソースにアクセスする。
図2は、ラップされたアプリケーション107に含まれるアクセス資格情報モジュール109の一実施形態のブロック図である。アクセス資格情報モジュール109は、アクセス資格情報(例えば、アプリケーション識別子、ユーザ識別子、機器識別子など)を管理する。アクセス資格情報モジュール109は、アクセス資格情報を受信し、これらを記憶し、要求するモジュール、機器、又はシステムにこれらを提供し、ユーザ機器102上のアプリケーション107のクラウドリソース(例えば、プライベートクラウドリソース(private could resources)132及び/又はパブリッククラウドリソース(public could resources)142)へのアクセスを容易にすることができる。アクセス資格情報は、例えば、ユーザ、システム管理者、機器、又は他の個人若しくはエンティティによって作製されるか、定められてよい。
一実施形態では、アクセス資格情報モジュール109は、ユーザインターフェース162、資格情報プロバイダ164、及びアクセスマネージャ166を含み得る。他の実施形態では、アクセス資格情報モジュール109は、より多い又はより少ないコンポーネントを含み得る。一実施形態では、アクセス資格情報モジュール109は、ファイルシステム、データベース、又はディスクドライブ、RAM、ROM、データベースなどデータ記憶装置上に存在する他のデータ管理層であってよいデータストア168に接続される。
ユーザインターフェース162は、機器102のユーザに提示されるグラフィカルユーザインターフェース(GUI)であり得、ユーザがラップされたアプリケーション107を起動すると提示され得る。ユーザインターフェース162は、ユーザからユーザ識別子(例えば、ユーザ名、パスワード)を受け取るログイン画面であってよい。一実施形態では、ユーザ名は事前に入力されていてよく、これは、アプリケーションストア110へのアクセス時に使用したユーザ名と同一であり得る。ユーザ識別子176は、クラウドサービス及び/又はクラウド情報へのアクセスを要求するユーザの識別子に関係する。一実施形態では、ユーザ識別子は、シングルサインオン(SSO)の一環として提供される。SSOは、関連するものの、独立した多数のソフトウェアシステム(例えば、プライベートクラウドリソース132及びパブリッククラウドリソース142)のアクセス制御プロパティである。SSOでは、ユーザが1回ログインすると、サービスごとに再ログインを求められることなく、すべて(又は特定のサブセット)のサービスにアクセスできる。
一実施形態では、ユーザによって提供されるログイン資格情報は、ユーザステータスに応じて異なってよい。例えば、ユーザが、企業ネットワーク130を管理する企業の従業員であるなど第1グループのメンバーである場合、ユーザは、特定のユーザ名又はログインを有してよい。ユーザが第1グループのメンバーではない場合、ユーザは、ユーザをそのように識別する、異なるログイン資格情報セットを有してよい。加えて、ログイン資格情報は、地位、職名、席次、又は他の情報などユーザに関する他の情報を提供してよい。
ユーザインターフェース162は、ユーザ識別子176を受け取り、これをデータストア168に記憶する。ユーザインターフェース162は、ユーザによるアプリケーション107の初回起動時に呼び出され得る。アプリケーション107の次回起動時には、ユーザ識別子176はデータストア168から取得され得るか、ユーザインターフェース162を介して再び要求され得る。
ユーザインターフェース162はまた、機器識別子180の入力をユーザに要求し得る。あるいは、資格情報プロバイダ164は、例えば、指定されたメモリ位置にある機器構成情報にアクセスすることにより、機器識別子180を判定できる。資格情報プロバイダ164は、アプリケーション107の初回起動時に機器識別子180を取得し、これをデータストア168に記憶してよい。
加えて、資格情報プロバイダ164は、アプリケーション107の起動時にアプリケーション識別子172を判定する。アプリケーション識別子172は、英数字及び記号の文字列であってよい。アプリケーション識別子172はまた、それが行うリソース要求の種類(例えば、読み取り、書き込み、削除)並びに関連サービスのサブドメイン(例えば、要求された情報の範囲)によって特徴付けられてよい。アプリケーション識別子172は、ラップされたアプリケーション107に埋め込まれ得る。資格情報プロバイダ164は、アプリケーション107の初回起動時にアプリケーション識別子172を取得し、これをデータストア168に記憶してよい。
資格情報プロバイダ164は、アクセス資格情報(ユーザ識別子176、機器識別子180、及びアプリケーション識別子172)をアクセスプロキシ112、134、144、146に送信し、要求と共にアクセス資格情報を送信して、クラウドリソースにアクセスできる。資格情報プロバイダ164は、ユーザがアプリケーション108の起動を要求したとき、又はアクセスプロキシからのアクセス資格情報要求に応じて、アクセスプロキシ112、134、144、146にアクセス資格情報を送信できる。資格情報プロバイダ164は、SDKを使用して、認証トークン(例えば、XMLベースの署名済みアサーション)を含むパッケージ内のアクセス資格情報を暗号化し、ラップして、アクセスプロキシ112、134、144、146に送信できる。認証機関は、認証トークンのデジタル署名に使用できるアプリケーション秘密鍵を提供できる。アプリケーション秘密鍵は、ラップされたアプリケーション107に埋め込まれ得る。次いで、資格情報プロバイダ164は、安全な通信(例えば、Cookie又は他のプロトコル非依存法)を使用して、アクセス資格情報を含むパッケージをアクセスプロキシ112、134、144、146に送信できる。
アクセスマネージャ166は、アクセスプロキシから応答を受信し、これをアプリケーション108に伝達する。次いで、特定リソースへのアクセス要求を進めてよいか、リソース要求を開始したユーザ、機器、及び/又はアプリケーションへのアクセスが拒否されたことをユーザに示すメッセージが表示されてよい。
図3は、本発明のある実施形態による認証モジュール116を示すブロック図である。一実施形態では、認証モジュール116は、ユーザ機器インターフェース302と、アクセス資格情報検証部304と、リソースアクセスプロバイダ306と、を含む。認証モジュール116は、より多い又はより少ないコンポーネントを含んでよい。認証モジュール116は、ファイルシステム、データベース、又はディスクドライブ、RAM、ROM、データベースなどデータ記憶装置上に存在する他のデータ管理層であってよい、有効な資格情報データストア310及び/又はポリシデータストア314に接続されてよい。
有効な資格情報データストア310は、特定ユーザの識別子(例えば、ユーザ名及びパスワード)及び/又はユーザカテゴリ(例えば、従業員、請負業者など)であってよい、有効なユーザ識別子を指定してよい。有効な資格情報データストア310はまた、有効な機器識別子のリスト及び対応する機器が管理対象の機器か、非管理対象の機器かに関する情報を含んでよい。加えて、有効な資格情報データストア310は、安全なアプリケーションの識別子のリストと、対応するアプリケーションが企業のアプリケーションストア又はサードパーティのアプリケーションストアで提供されたかに関する情報と、を含んでよい。有効な資格情報データストア310はまた、アプリケーションプロビジョニングサービスによって提供された安全なアプリケーションの公開鍵を記憶してよい。
ポリシデータストア314は、クラウドリソースに関するアクセス許可を定める様々なアクセスポリシを記憶してよい。例えば、アクセスポリシは、非管理対象の機器からのプライベートクラウドリソース及び/又はサードパーティのアプリケーションストアからのアプリケーションに関する要求が、対応のアプリケーションストアを管理するアプリケーションプロビジョニングサービスによる検証を受けて、ユーザがアプリケーションに対する権限を有すること、アプリケーションがアクセスを要求している有効な機器にインストールされていること、及びアプリケーション自体が安全であることを確認することを要求してよい。別の例では、アクセスポリシは、非管理対象の機器からのプライベートクラウドリソース及び/又はサードパーティのアプリケーションストアからのアプリケーションに関する要求が、ユーザ識別子、機器識別子、及びアプリケーション識別子の有効な組み合わせのリストに基づいた検証を受けることを要求してよく、かかる有効な組み合わせのリストは、ポリシデータストア314又は有効な資格情報データストア310に記憶され得る。
認証モジュール116は、アクセス要求を遮断する、あるいはその反対に要求を受信してよい。例えば、プライベートクラウドリソース132又はパブリッククラウドリソース142などクラウドリソースへのアクセス要求が、ユーザ機器102によって送信されてよい。一実施形態では、要求は、要求元に関する情報及び/又は要求を行っているユーザの識別子(例えば、ユーザ識別子)、要求に関連するアプリケーションの情報(例えば、アプリケーション識別子)、要求を行った機器に関する情報(例えば、機器識別子)など他のデータを含んでよい。認証モジュール116は、この情報を使用して、ポリシデータストア314に記憶されてよい、クラウドリソースセキュリティポリシなど1つ以上の該当するアクセスポリシに従ってアクセス判定を行ってよい。
ユーザ機器インターフェース302は、ユーザ機器102に対して通信を送受信する。一実施形態では、ユーザ機器インターフェース302は、クラウドリソースへのアクセス要求を受信し、この要求に関連付けられたアクセス資格情報を抽出できる。次いで、ユーザ機器インターフェース302は、アクセス資格情報をアクセス資格情報検証部304に中継できる。アクセス資格情報検証部304は、アクセス資格情報を分析し、要求されたクラウドリソースを判定し、1つ以上の該当するアクセスポリシを検索できる。一実施形態では、検証部304はアクセス資格情報を識別し、ポリシデータストア314内の該当するアクセスポリシに従って、所定のクラウドリソースについて要求が許可されるべきかどうかを判定してよい。例えば、アクセス資格情報検証部304は、企業の従業員からの要求が受信され、ユーザ機器102など有効なユーザ機器上の安全なアプリケーションと関連付けられていることを判定してよい。アクセスポリシは、特定の組み合わせのアクセス資格情報を有する要求は、プライベートクラウドリソース132又はパブリッククラウドリソース142について許可されるべきであることを指示してよい。一実施形態では、リソースセキュリティポリシは、リソースの区分のみではなく、アクセス可能又はアクセス不能である個々のクラウドリソースを指定してよい。
一部の実施形態では、アクセス資格情報検証部304はまた、アクセス要求がクラウドサービスに対して送信されている、又はクラウドサービスから要求されている、情報の種類を識別できる。この情報は、企業又は個人、機密又は公開、重要又は非重要など任意の数の異なる方法で分類されてよい。例えば、アクセス資格情報検証部304は、ユーザがプライベートクラウサービス132から企業の営業データをダウンロードしようとしていることを判定し、対応のアクセスポリシを使用して、この操作が許可されるべきか、拒否されるべきかを判定してよい。この判定に基づいて、リソースアクセスプロバイダ306は、要求されたクラウドリソースへのアクセスを許可する、拒否する、又は制限することができる。
図4は、本発明のある実施形態による、クラウドリソースのアクセス制御法を示すフロー図である。方法400は、ハードウェア(例えば、回路、専用ロジック、プログラマブルロジック、マイクロコードなど)、ソフトウェア(例えば、プロセッサで実行されてハードウェアシミュレーションを実行する命令)、又はこれらの組み合わせを含む処理ロジックによって実行されてよい。この処理ロジックは、ユーザ機器よって行われた、クラウドリソースへのアクセス要求を監視するように構成される。一実施形態では、方法400は、アクセスプロキシ(例えば、図1のアクセスプロキシ112、134、144、又は146)によって実行されてよい。
図4を参照すると、ブロック410において、アクセスプロキシは、ネットワーク内のクラウドリソース(cloud a resource)へのアクセス要求を受信する。一実施形態では、要求は、ユーザ機器102などユーザ機器によって送信されてよい。要求は、プライベートクラウドリソース132又はパブリッククラウドリソース142などクラウドリソースへのアクセスに関するものであってよい。
ブロック420において、アクセスプロキシは、アプリケーション識別子172、ユーザ識別子176、及び機器識別子180など要求に関連付けられたアクセス資格情報を識別してよい。アクセス資格情報は、認証トークン(例えば、アプリケーション秘密鍵によって署名された、XMLベースのアサーション)を含むパッケージ内にラップされ得る。アクセスプロキシはパッケージのラップを解除して、アプリケーションプロビジョニングサービスから受信したアプリケーション公開鍵を使用してアクセス資格情報を抽出する。ブロック425において、アクセスプロキシは、要求に該当するアクセスポリシを識別する。
ブロック430において、アクセスプロキシは、受信したアクセス資格情報及び該当するアクセスポリシに基づいて、要求が許可されるかどうかを判定する。アクセスプロキシは、認証トークンを使用して、要求に関連付けられたアプリケーションを認証できる。一実施形態では、アクセスプロキシはまた、対応するアプリケーションプロビジョニングサービスと通信して、ユーザ機器102上で以前にインストールされた、ラップされたアプリケーション102を検証できる。別の実施形態では、アクセスプロキシは、ユーザ識別子、機器識別子、及びアプリケーション識別子の組み合わせが有効であるかどうかを判定し、それをアクセスプロキシに報告する、サードパーティの検証サービスにアクセス資格情報を渡す。
ブロック430において、アクセスプロキシが、リソースセキュリティポリシに基づいて要求は許可されると判定する場合、アクセスプロキシは、ユーザ機器102に対して使用可能にするべきクラウドリソースを判定し、要求を許可する(ブロック440)。アクセスプロキシは、要求が許可されたという応答をユーザ機器102に伝達できる。この応答は、ラップされたアプリケーション107及びユーザ機器102のKEKなど一意の暗号化鍵を含み得る。要求を行うユーザ機器102は、クラウドリソース又は情報にアクセスできる。
ブロック440において要求を許可することは、受信したアクセス資格情報の組み合わせに基づいて、限定されたリソースセットにアクセスを制限すること(例えば、アクセスポリシを使用して)を含み得る。一実施形態では、受信したアクセス資格情報の組み合わせが特定のクラウドリソース(例えば、データベース、ドキュメントなど)に関連付けられて、アプリケーション、ユーザ機器、及びユーザの組み合わせのアクセスをこれら特定のクラウドリソースに限定する。例えば、ある企業に2人の従業員がいて、それぞれが同一アプリケーションを使用して、企業のクラウドリソースにアクセスする。第1従業員は人事部で働いており、人事関連クラウドリソースにアクセスできる。第2従業員は特許グループの一員であり、特許関連クラウドリソースにアクセスできる。アクセスプロキシは、人事部の従業員による特許関連クラウドリソースへのアクセスを許可し、特許グループの従業員による人事関連クラウドリソースへのアクセスを阻止するアクセスポリシを使用してよい。別の例では、ユーザ機器上でユーザが起動したアプリケーションは、人事部で働く従業員の名前を最初に要求し、プライベートクラウド内の従業員データベースに含まれる従業員の名前表へのアクセスを許可されてよい。次いで、このアプリケーションは、人事部で働く従業員の給料を要求し、プライベートクラウド内の従業員データベースに含まれる従業員の給料表へのアクセスを拒否されてよい。
要求が許可されない(例えば、アクセスポリシが、指定された組み合わせのアクセス資格情報を有する要求は、プライベートクラウドリソース132へのアクセスが許可されるべきではないと指定する)場合、アクセスプロキシは要求を拒否し、要求が拒否されたことを要求元に通知する(ブロック450)。
図5は、本発明のある実施形態による、クラウドサービスに関するクラウドリソースのアクセス制御法500を示すフロー図である。方法500は、ハードウェア(例えば、回路、専用ロジック、プログラマブルロジック、マイクロコードなど)、ソフトウェア(例えば、プロセッサで実行されてハードウェアシミュレーションを実行する命令)、又はこれらの組み合わせを含む処理ロジックによって実行されてよい。この処理ロジックは、ユーザ機器でクラウドリソースへのアクセスを監視し、制御するように構成される。一実施形態では、方法500は、図1のユーザ機器102によって実行されてよい。
図5を参照すると、ブロック510において、ユーザ機器は、操作にクラウドリソースへのアクセスが含まれる、アプリケーションの起動を求めるユーザ要求を受信する。それに対して、ユーザ機器は、ユーザ識別子、機器識別子、及びアプリケーション識別子を含み得る、アクセス資格情報を取得する。
ブロック520において、ユーザ機器は、ネットワークを介して、アクセス資格情報及びクラウドリソースの識別子を含むアクセス要求をクラウド又はアクセスプロキシに送信してよい。ブロック530において、ユーザ機器は、クラウドリソースへのアクセスが許可された、拒否された、又は限定されたリソースセットに限定されたことを示すメッセージをアクセスプロキシから受信でき、この情報をアプリケーションに伝達してよい。
図6は、本明細書に記載のいずれか1つ以上の方法をマシンに実行させる命令セットが実行され得る、コンピュータシステム600の例示形態のマシンの図表示を示す。システム600は、本明細書に記載の方法のいずれか1つ以上をマシンに実行させる命令セットが実行され得る、サーバコンピュータシステムなどコンピュータシステムの形態であってよい。別の実施形態では、マシンは、LAN、イントラネット、エクストラネット、又はインターネット内の他のマシンに接続されて(例えば、ネットワーク化されて)よい。マシンは、クライアントサーバネットワーク環境内のサーバマシンの容量内で動作してよい。マシンは、パーソナルコンピュータ(PC)、モバイル機器、タブレット、スマートフォン、TV、ラップトップコンピュータ、ネットブック、セットトップボックス(STB)、サーバ、ネットワークルータ、スイッチ若しくはブリッジ、又はそのマシンが取るべき動作を指定する(逐次的又は非逐次的)命令セットを実行できる任意のマシンであってよい。更に、単一のマシンのみが図示されているが、用語「マシン」は、個別に、又は連携して1つの命令セット(又は複数の命令セット)を実行して、本明細書に記載の方法のいずれか1つ以上を実行する、任意のマシン群を含むとも見なされるべきである。一実施形態では、コンピュータシステム600は、図1のアクセスプロキシ112、134、144、146、又は図1のユーザ機器102を示してよい。
例示のコンピュータシステム600は、処理システム(プロセッサ)602と、メインメモリ604(例えば、読み取り専用メモリ(ROM)、フラッシュメモリ、同期的DRAM(SDRAM)などダイナミックランダムアクセスメモリ(DRAM))と、スタティックメモリ606(例えば、フラッシュメモリ、スタティックランダムアクセスメモリ(SRAM))と、データ記憶装置618と、を含んでおり、これらは、バス630を介して互いに通信する。
プロセッサ602は、マイクロプロセッサ、中央演算処理装置など1つ以上の汎用処理装置を示す。より具体的には、プロセッサ602は、複合命令セットコンピューティング(CISC)マイクロプロセッサ、縮小命令セットコンピューティング(RISC)マイクロプロセッサ、超長命令語(VLIW)マイクロプロセッサ、又は他の命令セットを実行するプロセッサ、若しくは命令セットの組み合わせを実行するプロセッサであってよい。プロセッサ602はまた、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、デジタル信号プロセッサ(DSP)、ネットワークプロセッサなど1つ以上の専用処理装置であってよい。プロセッサ602は、本明細書に記載の操作及び工程を実行するためにアクセスプロキシ112、134、144、146を実行するように構成されてよい。
コンピュータシステム600は、ネットワークインターフェース機器608を更に含んでよい。コンピュータシステム600はまた、ビデオディスプレイユニット610(例えば、液晶ディスプレイ(LCD)又は陰極線管(CRT))、英数字入力装置612(例えば、キーボード)、カーソル制御装置614(例えば、マウス)、及び信号生成装置616(例えば、スピーカ)を含んでよい。
データ記憶装置618は、コンピュータ可読媒体628を含んでよく、ここには、本明細書に記載方法又は機能のうちのいずれか1つ以上を具現化する命令622の1つ以上のセット(例えば、アクセスプロキシ112、134、144、146の命令)が記憶される。命令622はまた、コンピュータシステム600によるその実行中にメインメモリ604内、及び/又はプロセッサ602の処理ロジック626内に完全に、又は少なくとも部分的に存在してよく、メインメモリ604及びプロセッサ602はまた、コンピュータ可読媒体を構成する。命令は更に、ネットワークインターフェース機器608を介してネットワーク620上で伝達されるか、受信されてよい。
コンピュータ可読記憶媒体628は、例示の実施形態において単一媒体として示されるが、用語「コンピュータ可読記憶媒体」は、1つ以上の命令セットを記憶する、単一媒体又は複数媒体(例えば、集中型若しくは分散型データベース、並びに/又は関連付けられたキャッシュ及びサーバ)を含むと見なされるべきである。用語「コンピュータ可読記憶媒体」はまた、マシンによって実行するための命令セットを記憶でき、暗号化でき、又は伝達でき、かつ本発明の方法のいずれか1つ以上をマシンに実行させる任意の媒体を含むと見なされるべきである。用語「コンピュータ可読記憶媒体には、したがって、ソリッドステートメモリ、光学媒体、及び磁気媒体が挙げられるが、これらに限定されないと見なされるべきである。
本説明は、具体的なシステム、コンポーネント、方法など多数の具体的詳細を示して、本発明のいくつかの実施形態を良く理解できるようにしてきた。しかしながら、当業者には、本発明の少なくとも一部の実施形態は、これらの具体的詳細がなくても実施され得ることが明らかであろう。他の例では、周知のコンポーネント又は方法は詳述されないか、本発明を不必要に曖昧にしないために単純なブロック図で示される。したがって、記載の具体的詳細は単なる例示である。特定の実施例はこれらの例示的詳細とは異なり得るが、それでもなお本発明の範囲内であることが想到される。
上記の説明では、多数の詳細が記載される。しかしながら、本開示の利益を有する当業者には、本発明の実施形態がこれらの具体的詳細がなくても実施され得ることが明らかであろう。一部の例では、周知の構造及び機器は、本発明を曖昧にしないために、詳細ではなく、ブロック図形態で示される。
「発明を実施するための形態」の一部は、コンピュータメモリ内のデータビットに関する操作のアルゴリズム及び象徴に関して示される。これらのアルゴリズム的記述及び表現は、データ処理分野の当業者によって、他の当業者に仕事の内容を最も効果的に伝達するために使用される手段である。アルゴリズムは本明細書で、概して、所望の結果をもたらす、自己無撞着工程の連続であると考えられる。工程は、物理量の物理的操作を必要とするものである。必ずしもそうとは限らないが、通常、これらの量は、記憶する、転送する、組み合わせる、比較する、及び他の方法で操作することが可能な、電気信号又は磁気信号の形態を取る。これらの信号をビット、値、要素、記号、文字、用語、数値などと称することが、主に一般的な用法の理由から時には好都合であることが判明している。
しかしながら、これら及び同様の用語のすべてが、適切な物理量と関連付けられるものであり、これらの量に適用される好都合なラベルにすぎないことに留意すべきある。上記の考察から明らかなように、特に記述されない限り、説明全体にわたって、「判定する」、「識別する」、「追加する」、「選択する」などの用語を使用した考察は、コンピュータシステムのレジスタ及びメモリ内の物理(例えば、電子)量として表されるデータを、同様にコンピュータシステムのメモリ若しくはレジスタ、又は他のかかる情報記憶装置、送信装置、又は表示装置内の物理量として表される他のデータに操作及び変換する、コンピュータシステム又は類似の電子コンピューティング装置の動作及びプロセスを指すことを理解されたい。
発明の実施形態はまた、本明細書に記載の操作を実行する装置に関する。この装置は、要求された目的のために特別に構築されてよく、又はコンピュータに記憶されるコンピュータプログラムによって選択的に作動若しくは再構成される汎用コンピュータを備えてよい。かかるコンピュータプログラムは、フロッピー(登録商標)ディスク、光ディスク、CD−ROM、及び光磁気ディスクを含む任意の種類のディスク、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、EPROM、EEPROM、磁気若しくは光カード、又は電子命令を記憶するのに好適な任意の種類の媒体などが挙げられるが、これらに限定されない、コンピュータ可読記憶媒体に記憶されてもよい。コンピュータ可読記憶媒体は、非一時的であり得る。
本明細書に記載のアルゴリズム及びディスプレイは、任意の特定のコンピュータ又は他の装置に本質的に関連しない。様々な汎用システムが、本明細書の教示に従ったプログラムと共に使用されてよいか、必要とされる方法工程を実行するように、より特化した装置を構築することが便利であると判明することがある。様々なこれらのシステムに必要とされる構造は、以下の説明から明らかとなる。加えて、本発明は、任意の特定のプログラミング言語に関して記載されていない。本明細書に記載されるように、本発明の教示を実行するために様々なプログラミング言語が使用され得ることを理解されたい。
上記の説明は制限的ではなく、例示的であることを目的とすることを理解されたい。多くの他の実施形態は、上記の説明を読み理解すると、当業者に明らかとなる。したがって、本発明の範囲は、添付の「特許請求の範囲」、及びかかる特許請求の範囲の権利が与えられる同等物の全範囲の参照により決定されるべきである。
Claims (15)
- 組織のネットワーク内リソースへのアクセスを求めるアプリケーションの要求を受信することであって、前記アプリケーションが前記組織の前記ネットワーク外のユーザ機器で実行していることと、
前記アプリケーションのユーザのユーザ識別子、前記ユーザ機器の機器識別子、及び前記アプリケーションのアプリケーション識別子を識別することと、
前記ユーザ識別子、前記機器識別子、及び前記アプリケーション識別子の組み合わせがアクセスポリシを満たすかどうかをプロセッサによって判定することと、
前記ユーザ識別子、前記機器識別子、及び前記アプリケーション識別子の組み合わせが前記アクセスポリシを満たす場合、前記組織の前記ネットワーク内の前記リソースへの前記アプリケーションアクセスを許可することと、を含む方法。 - 前記アプリケーションの前記要求が、アプリケーション秘密鍵によって署名されたアサーションに含まれる前記ユーザ識別子、前記機器識別子、及び前記アプリケーション識別子を含み、
前記方法が、アプリケーションプロビジョニングサービスからのアプリケーション公開鍵を使用して、前記要求から前記ユーザ識別子、前記機器識別子、及び前記アプリケーション識別子を抽出することを更に含む、請求項1に記載の方法。 - 前記組織の前記ネットワーク内の前記リソースへの前記アプリケーションアクセスを許可することが、
ユーザ機器に対して使用可能にするクラウドリソースを判定することと、
前記判定されたクラウドリソースに前記ユーザ機器のアクセスを制限することと、を含む、請求項1に記載の方法。 - 前記ユーザ識別子、前記機器識別子、及び前記アプリケーション識別子の前記組み合わせが前記アクセスポリシを満たすかどうかを判定することが、前記要求に関連付けられた前記ユーザ識別子、前記機器識別子、及び前記アプリケーション識別子の前記組み合わせをユーザ識別子、機器識別子、及びアプリケーション識別子の有効な組み合わせのリストと比較することを含む、請求項1に記載の方法。
- システムであって、
メモリと、前記メモリに接続されていて、
組織のネットワーク内リソースへのアクセスを求める、前記組織の前記ネットワーク外のユーザ機器で実行しているアプリケーションの要求を受信し、
前記アプリケーションのユーザのユーザ識別子、前記ユーザ機器の機器識別子、及び前記アプリケーションのアプリケーション識別子を識別し、
前記ユーザ識別子、前記機器識別子、及び前記アプリケーション識別子の組み合わせがアクセスポリシを満たすかどうかをプロセッサによって判定すし、
前記ユーザ識別子、前記機器識別子、及び前記アプリケーション識別子の組み合わせが前記アクセスポリシを満たす場合、前記組織の前記ネットワーク内の前記リソースへの前記アプリケーションアクセスを許可するプロセッサと、を含むシステム。 - 前記アプリケーションの前記要求が、アプリケーション秘密鍵によって署名されたアサーションに含まれる前記ユーザ識別子、前記機器識別子、及び前記アプリケーション識別子を含み、
前記プロセッサが、アプリケーションプロビジョニングサービスからのアプリケーション公開鍵を使用して、前記要求から前記ユーザ識別子、前記機器識別子、及び前記アプリケーション識別子を更に抽出する、請求項5に記載のシステム。 - 前記プロセッサが、
ユーザ機器に対して使用可能にするクラウドリソースを判定し、
前記判定されクラウドリソースに前記ユーザ機器のアクセスを制限することによって、前記組織の前記ネットワーク内の前記リソースへの前記アプリケーションアクセスを許可する、請求項5に記載のシステム。 - 前記ユーザ識別子、前記機器識別子、及び前記アプリケーション識別子の前記組み合わせが前記アクセスポリシを満たすかどうかを判定することが、前記要求に関連付けられた前記ユーザ識別子、前記機器識別子、及び前記アプリケーション識別子の組み合わせをユーザ識別子、機器識別子、及びアプリケーション識別子の有効な組み合わせのリストと比較することを含む、請求項5に記載のシステム。
- ユーザ要求を受信して、クラウドリソースにアクセスするアプリケーションを起動させ、
ユーザ識別子、機器識別子、及びアプリケーション識別子を含む、前記アプリケーションのアクセス資格情報を取得し、
ネットワークを介して、前記アクセス資格情報及び前記クラウドリソースの識別子を含むアクセス要求を前記アクセスプロキシに送信し、
前記アクセス要求が許可されたか、拒否されたかを示す、前記アクセス要求に対する応答を前記アクセスプロキシから受信する、ユーザ機器を更に含む、請求項5に記載のシステム。 - アクセス資格情報を取得することが、
ユーザインターフェースを提供して、前記ユーザ識別子、前記機器識別子、及び前記アプリケーション識別子のうちの少なくとも1つであるユーザ入力を容易にすることを含む、請求項9に記載のシステム。 - 前記アクセス要求が、アプリケーション秘密鍵によって署名されたアサーションである、請求項9に記載のシステム。
- プロセッサによる実行時に、前記プロセッサに、
ユーザ要求を受信して、クラウドリソースにアクセスするアプリケーションを起動させることと、
前記アプリケーションのアクセス資格情報を取得することであって、前記アクセス資格情報がユーザ識別子、機器識別子、及びアプリケーション識別子を含むことと、
ネットワークを介して、前記アクセス資格情報及び前記クラウドリソースの識別子を含むアクセス要求をアクセスプロキシに送信することと、
前記アクセス要求に対する応答を前記アクセスプロキシから受信することであって、前記応答は前記アクセス要求が許可されたか、拒否されたかを示すことと、を含む方法を実行させる命令を含む、非一時的なコンピュータ可読記憶媒体。 - アクセス資格情報を取得することが、ユーザインターフェースを提供して、前記ユーザ識別子、前記機器識別子、及び前記アプリケーション識別子の少なくとも1つであるユーザ入力を容易にすることを含む、請求項12に記載の非一時的なコンピュータ可読記憶媒体。
- 前記プロセッサが更に、
前記アクセスプロキシから暗号化鍵を受信し、
前記暗号化鍵を復号し、
前記鍵を使用して暗号化されたクラウドリソースにアクセスする、請求項12に記載の非一時的なコンピュータ可読記憶媒体。 - 前記アクセス要求が、アプリケーション秘密鍵によって署名されたアサーションである、請求項12に記載の非一時的なコンピュータ可読記憶媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/834,311 | 2013-03-15 | ||
| US13/834,311 US9313203B2 (en) | 2013-03-15 | 2013-03-15 | Systems and methods for identifying a secure application when connecting to a network |
| PCT/US2014/029222 WO2014144700A1 (en) | 2013-03-15 | 2014-03-14 | Systems and methods for identifying a secure application when connecting to a network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016513851A true JP2016513851A (ja) | 2016-05-16 |
| JP6431037B2 JP6431037B2 (ja) | 2018-11-28 |
Family
ID=50628998
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016503018A Active JP6431037B2 (ja) | 2013-03-15 | 2014-03-14 | ネットワーク接続時に安全なアプリケーションを識別するためのシステム及び方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9313203B2 (ja) |
| EP (1) | EP2973166B1 (ja) |
| JP (1) | JP6431037B2 (ja) |
| CN (1) | CN105074713A (ja) |
| CA (1) | CA2904748C (ja) |
| WO (1) | WO2014144700A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102018208731A1 (de) | 2017-07-19 | 2019-01-24 | Fanuc Corporation | Applikationsverkaufsverwaltungsserversystem |
| JP2020003897A (ja) * | 2018-06-26 | 2020-01-09 | Phcホールディングス株式会社 | データ管理システム及びノード装置 |
Families Citing this family (62)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9489647B2 (en) | 2008-06-19 | 2016-11-08 | Csc Agility Platform, Inc. | System and method for a cloud computing abstraction with self-service portal for publishing resources |
| US10192199B2 (en) | 2011-11-16 | 2019-01-29 | Microsoft Technology Licensing, Llc | Enabling service features within productivity applications |
| US9246839B2 (en) * | 2013-01-02 | 2016-01-26 | International Business Machines Corporation | Extending organizational boundaries throughout a cloud architecture |
| US20160132561A1 (en) * | 2013-06-28 | 2016-05-12 | Hewlett-Packard Development Company, L.P. | Expiration tag of data |
| FR3009915B1 (fr) * | 2013-08-22 | 2015-09-04 | Sagemcom Broadband Sas | Passerelle residentielle mettant a disposition au moins un espace memoire prive |
| US20150089632A1 (en) * | 2013-09-26 | 2015-03-26 | Aaron Robert Bartholomew | Application authentication checking system |
| US9544329B2 (en) | 2014-03-18 | 2017-01-10 | Shape Security, Inc. | Client/server security by an intermediary executing instructions received from a server and rendering client application instructions |
| US9692759B1 (en) * | 2014-04-14 | 2017-06-27 | Trend Micro Incorporated | Control of cloud application access for enterprise customers |
| EP3140952B1 (en) * | 2014-05-06 | 2019-02-27 | Okta, Inc. | Facilitating single sign-on to software applications |
| US10050935B2 (en) | 2014-07-09 | 2018-08-14 | Shape Security, Inc. | Using individualized APIs to block automated attacks on native apps and/or purposely exposed APIs with forced user interaction |
| US20160048688A1 (en) * | 2014-08-14 | 2016-02-18 | Google Inc. | Restricting System Calls using Protected Storage |
| US9729506B2 (en) | 2014-08-22 | 2017-08-08 | Shape Security, Inc. | Application programming interface wall |
| US20160080407A1 (en) * | 2014-09-11 | 2016-03-17 | International Business Machines Corporation | Managing operations in a cloud management system |
| US9998499B2 (en) * | 2014-09-29 | 2018-06-12 | Amazon Technologies, Inc. | Management of application access to directories by a hosted directory service |
| US9800602B2 (en) | 2014-09-30 | 2017-10-24 | Shape Security, Inc. | Automated hardening of web page content |
| US9967319B2 (en) * | 2014-10-07 | 2018-05-08 | Microsoft Technology Licensing, Llc | Security context management in multi-tenant environments |
| US20160127417A1 (en) * | 2014-10-29 | 2016-05-05 | SECaaS Inc. | Systems, methods, and devices for improved cybersecurity |
| US9893887B2 (en) * | 2015-01-30 | 2018-02-13 | Ciena Corporation | Dynamic licensing for applications and plugin framework for virtual network systems |
| CN106161350B (zh) * | 2015-03-31 | 2020-03-10 | 华为技术有限公司 | 一种管理应用标识的方法及装置 |
| US9930103B2 (en) * | 2015-04-08 | 2018-03-27 | Amazon Technologies, Inc. | Endpoint management system providing an application programming interface proxy service |
| JP6250166B2 (ja) | 2015-04-20 | 2017-12-20 | エスゼット ディージェイアイ テクノロジー カンパニー リミテッドSz Dji Technology Co.,Ltd | 可動物体のアプリケーション開発を支援する方法、システム及びコンピュータ読取り可能媒体 |
| US9756041B2 (en) * | 2015-04-30 | 2017-09-05 | Rockwell Automation Technologies, Inc. | Offline access control for an application |
| US10223526B2 (en) * | 2015-05-21 | 2019-03-05 | Airwatch Llc | Generating packages for managed applications |
| US10171502B2 (en) * | 2015-05-21 | 2019-01-01 | Airwatch Llc | Managed applications |
| US10339302B2 (en) | 2015-05-21 | 2019-07-02 | Airwatch Llc | Creating multiple workspaces in a device |
| JPWO2016190355A1 (ja) * | 2015-05-27 | 2018-03-15 | 藤原 健吾 | 認証システム |
| CN105630584A (zh) * | 2015-06-16 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 应用程序的运行控制方法、***和终端 |
| US10162767B2 (en) | 2015-06-27 | 2018-12-25 | Mcafee, Llc | Virtualized trusted storage |
| US9667657B2 (en) * | 2015-08-04 | 2017-05-30 | AO Kaspersky Lab | System and method of utilizing a dedicated computer security service |
| CN106603461A (zh) * | 2015-10-14 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种业务认证的方法、装置和*** |
| US10171322B2 (en) * | 2016-01-11 | 2019-01-01 | International Business Machines Corporation | Dynamic and secure cloud to on-premise interaction and connection management |
| WO2017161569A1 (zh) * | 2016-03-25 | 2017-09-28 | 深圳前海达闼云端智能科技有限公司 | 访问控制的方法、装置和*** |
| US10389705B2 (en) | 2016-03-30 | 2019-08-20 | Airwatch Llc | Associating user accounts with enterprise workspaces |
| US10637723B2 (en) | 2016-03-30 | 2020-04-28 | Airwatch Llc | Configuring enterprise workspaces |
| JP6672964B2 (ja) * | 2016-03-31 | 2020-03-25 | ブラザー工業株式会社 | 仲介サーバ |
| KR102319503B1 (ko) * | 2016-04-25 | 2021-10-29 | 주식회사 케이티 | Vnf 라이선스 관리 기능을 가진 nfvo 및 이를 이용한 vnf 라이선스 관리 방법 |
| US10310718B2 (en) * | 2016-06-22 | 2019-06-04 | Microsoft Technology Licensing, Llc | Enabling interaction with an external service feature |
| EP3479543B1 (en) | 2016-06-30 | 2022-04-06 | Shape Security, Inc. | Client-side security key generation |
| EP3291500B1 (en) * | 2016-08-30 | 2020-05-13 | Siemens Aktiengesellschaft | Data processing system |
| KR101875863B1 (ko) * | 2016-09-08 | 2018-07-06 | 주식회사 유플렉스소프트 | 암호화된 해시값에 기반하여 클라우드 접속 허가를 결정하는 클라우드 시스템, 및 클라우드 접속 방법과 클라우드 단말에 설치된 소켓 데몬 장치 |
| US11973758B2 (en) * | 2016-09-14 | 2024-04-30 | Microsoft Technology Licensing, Llc | Self-serve appliances for cloud services platform |
| US10810571B2 (en) * | 2016-10-13 | 2020-10-20 | Paypal, Inc. | Location-based device and authentication system |
| US10432407B2 (en) * | 2016-12-19 | 2019-10-01 | Arris Enterprises Llc | Secure provisioning of unique time-limited certificates to virtual application instances in dynamic and elastic systems |
| US10826703B1 (en) * | 2017-06-05 | 2020-11-03 | United Services Automobile Association (Usaa) | Distributed ledger system for identity data storage and access control |
| CN107295008A (zh) * | 2017-08-01 | 2017-10-24 | 广东云下汇金科技有限公司 | 一种企业混合云计算环境下的连接建立方法 |
| US10673831B2 (en) | 2017-08-11 | 2020-06-02 | Mastercard International Incorporated | Systems and methods for automating security controls between computer networks |
| US10470040B2 (en) | 2017-08-27 | 2019-11-05 | Okta, Inc. | Secure single sign-on to software applications |
| JP6644756B2 (ja) * | 2017-11-21 | 2020-02-12 | エスゼット ディージェイアイ テクノロジー カンパニー リミテッドSz Dji Technology Co.,Ltd | 可動物体のアプリケーション開発を支援する方法、システム及びコンピュータ読取り可能媒体 |
| US11102140B2 (en) * | 2018-05-07 | 2021-08-24 | Bank Of America Corporation | Abstraction layer to cloud services |
| EP3585026A1 (en) * | 2018-06-19 | 2019-12-25 | Siemens Aktiengesellschaft | Method and system of providing secure access to a cloud service in a cloud computing environment |
| US10693968B2 (en) * | 2018-09-12 | 2020-06-23 | Pivotal Software, Inc. | Secure binding workflow |
| EP3648429A1 (en) * | 2018-10-29 | 2020-05-06 | Siemens Aktiengesellschaft | Method and system for providing access to data stored in a security data zone of a cloud platform |
| US11469894B2 (en) * | 2019-05-20 | 2022-10-11 | Citrix Systems, Inc. | Computing system and methods providing session access based upon authentication token with different authentication credentials |
| US11552947B2 (en) | 2019-07-10 | 2023-01-10 | Microsoft Technology Licensing, Llc | Home realm discovery with flat-name usernames |
| US11057340B2 (en) * | 2019-07-19 | 2021-07-06 | Vmware, Inc. | Per-application split-tunneled UDP proxy |
| US11057381B1 (en) * | 2020-04-29 | 2021-07-06 | Snowflake Inc. | Using remotely stored credentials to access external resources |
| US11106825B1 (en) | 2020-11-10 | 2021-08-31 | Netskope, Inc. | Predetermined credential system for remote administrative operating system (OS) authorization and policy control |
| CN112491886A (zh) * | 2020-11-27 | 2021-03-12 | 北京明朝万达科技股份有限公司 | 基于网络***的安全控制方法、***、装置和存储介质 |
| US12034845B2 (en) | 2020-11-30 | 2024-07-09 | Citrix Systems, Inc. | Smart card and associated methods for initiating virtual sessions at kiosk device |
| US11928521B2 (en) * | 2021-04-17 | 2024-03-12 | UiPath, Inc. | Bring your own machine (BYOM) |
| US20230401332A1 (en) * | 2022-06-08 | 2023-12-14 | Microsoft Technology Licensing, Llc | Controlling application access to sensitive data |
| CN114885331B (zh) * | 2022-07-12 | 2023-07-18 | 中国电力科学研究院有限公司 | 基于通信模组的网络接入控制方法、***及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004021923A (ja) * | 2002-06-20 | 2004-01-22 | Matsushita Electric Ind Co Ltd | 情報処理装置と情報処理方法 |
| JP2007128349A (ja) * | 2005-11-04 | 2007-05-24 | Nec Corp | ネットワークシステム、プロキシサーバ、セッション管理方法、及びプログラム |
| US20090113527A1 (en) * | 2007-10-29 | 2009-04-30 | Yahoo! Inc. | Mobile authentication framework |
| US20090228967A1 (en) * | 2008-03-05 | 2009-09-10 | Microsoft Corporation | Flexible Scalable Application Authorization For Cloud Computing Environments |
| WO2011150204A2 (en) * | 2010-05-26 | 2011-12-01 | Google Inc. | Systems and methods for using a domain-specific security sandbox to facilitate secure transactions |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7162451B2 (en) * | 2001-11-30 | 2007-01-09 | International Business Machines Corporation | Information content distribution based on privacy and/or personal information |
| US8645511B2 (en) * | 2009-10-13 | 2014-02-04 | Google Inc. | Pre-configuration of a cloud-based computer |
| JP5454102B2 (ja) * | 2009-11-25 | 2014-03-26 | 株式会社リコー | ライセンス更新管理装置、ライセンス管理システム、ライセンス更新方法、およびプログラム |
| CN102421098A (zh) * | 2010-09-27 | 2012-04-18 | ***通信集团公司 | 一种用户认证方法、装置及*** |
| US9094400B2 (en) * | 2011-04-27 | 2015-07-28 | International Business Machines Corporation | Authentication in virtual private networks |
| DE102011080467A1 (de) | 2011-08-04 | 2013-02-07 | Siemens Aktiengesellschaft | Zugangsregelung für Daten oder Applikationen eines Netzwerks |
-
2013
- 2013-03-15 US US13/834,311 patent/US9313203B2/en active Active
-
2014
- 2014-03-14 CA CA2904748A patent/CA2904748C/en active Active
- 2014-03-14 WO PCT/US2014/029222 patent/WO2014144700A1/en active Application Filing
- 2014-03-14 JP JP2016503018A patent/JP6431037B2/ja active Active
- 2014-03-14 EP EP14720836.7A patent/EP2973166B1/en active Active
- 2014-03-14 CN CN201480011590.6A patent/CN105074713A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004021923A (ja) * | 2002-06-20 | 2004-01-22 | Matsushita Electric Ind Co Ltd | 情報処理装置と情報処理方法 |
| JP2007128349A (ja) * | 2005-11-04 | 2007-05-24 | Nec Corp | ネットワークシステム、プロキシサーバ、セッション管理方法、及びプログラム |
| US20090113527A1 (en) * | 2007-10-29 | 2009-04-30 | Yahoo! Inc. | Mobile authentication framework |
| US20090228967A1 (en) * | 2008-03-05 | 2009-09-10 | Microsoft Corporation | Flexible Scalable Application Authorization For Cloud Computing Environments |
| WO2011150204A2 (en) * | 2010-05-26 | 2011-12-01 | Google Inc. | Systems and methods for using a domain-specific security sandbox to facilitate secure transactions |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102018208731A1 (de) | 2017-07-19 | 2019-01-24 | Fanuc Corporation | Applikationsverkaufsverwaltungsserversystem |
| JP2020003897A (ja) * | 2018-06-26 | 2020-01-09 | Phcホールディングス株式会社 | データ管理システム及びノード装置 |
| JP7060463B2 (ja) | 2018-06-26 | 2022-04-26 | Phcホールディングス株式会社 | データ管理システム及びノード装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6431037B2 (ja) | 2018-11-28 |
| EP2973166B1 (en) | 2019-11-27 |
| CA2904748A1 (en) | 2014-09-18 |
| US9313203B2 (en) | 2016-04-12 |
| US20140282821A1 (en) | 2014-09-18 |
| CA2904748C (en) | 2021-01-19 |
| CN105074713A (zh) | 2015-11-18 |
| WO2014144700A1 (en) | 2014-09-18 |
| EP2973166A1 (en) | 2016-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6431037B2 (ja) | ネットワーク接続時に安全なアプリケーションを識別するためのシステム及び方法 | |
| JP6802233B2 (ja) | 複数の操作モードを有するアプリケーションのデータ管理 | |
| JP6731023B2 (ja) | クライアントアプリケーションのためのセキュアなシングルサインオン及び条件付きアクセス | |
| US9973489B2 (en) | Providing virtualized private network tunnels | |
| JP6625636B2 (ja) | サービスとしてのアイデンティティインフラストラクチャ | |
| JP6335280B2 (ja) | 企業システムにおけるユーザおよびデバイスの認証 | |
| US8931078B2 (en) | Providing virtualized private network tunnels | |
| JP2020502616A (ja) | フェデレーテッド・シングル・サインオン(sso)のための非侵入型セキュリティの実施 | |
| US11477188B2 (en) | Injection of tokens or client certificates for managed application communication | |
| US10992656B2 (en) | Distributed profile and key management | |
| CN112930670A (zh) | 用于网络应用的集成服务发现的***和方法 | |
| CN112805982B (zh) | 用于跨域应用的应用脚本 | |
| US10812272B1 (en) | Identifying computing processes on automation servers | |
| US11443023B2 (en) | Distributed profile and key management | |
| JP6994607B1 (ja) | Saasアプリケーションのためのインテリセンスのためのシステムおよび方法 | |
| Ferdous et al. | Portable personal identity provider in mobile phones | |
| WO2022144024A1 (en) | Attribute-based encryption keys as key material for key-hash message authentication code user authentication and authorization | |
| Thakore et al. | Scalable and Privacy-preserving Access Mechanism for Dynamic Clouds |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170303 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180417 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20180717 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180911 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181002 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181101 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6431037 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |