JP6963609B2 - 透過性多要素認証およびセキュリティ取り組み姿勢チェックのためのシステムおよび方法 - Google Patents
透過性多要素認証およびセキュリティ取り組み姿勢チェックのためのシステムおよび方法 Download PDFInfo
- Publication number
- JP6963609B2 JP6963609B2 JP2019525850A JP2019525850A JP6963609B2 JP 6963609 B2 JP6963609 B2 JP 6963609B2 JP 2019525850 A JP2019525850 A JP 2019525850A JP 2019525850 A JP2019525850 A JP 2019525850A JP 6963609 B2 JP6963609 B2 JP 6963609B2
- Authority
- JP
- Japan
- Prior art keywords
- client computing
- computing device
- request
- access
- query
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 79
- 230000004044 response Effects 0.000 claims description 47
- 238000005352 clarification Methods 0.000 claims description 39
- 238000010200 validation analysis Methods 0.000 claims description 34
- 230000008569 process Effects 0.000 claims description 30
- 238000004891 communication Methods 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 9
- 230000015572 biosynthetic process Effects 0.000 claims 2
- 238000011156 evaluation Methods 0.000 description 10
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 238000013459 approach Methods 0.000 description 3
- 230000006835 compression Effects 0.000 description 3
- 238000007906 compression Methods 0.000 description 3
- 230000006837 decompression Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000036544 posture Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Description
[0001] 企業は、正規従業員、販売業者、および他の関係者に、公衆通信ネットワーク(例えば、インターネット)を通じて企業のネットワーク、データ・システム、ウェブサイト、プラットフォーム等へのアクセスを付与するために、リモート・アクセス・サービスに投資する。リモート・アクセスは、管理され安全でなければならない。しかしながら、共有される公衆ネットワークを介したアクセスは、様々な危険性に満ちている可能性がある(例えば、不正アクセス、盗聴/配線傍受、マルウェア、キーロギングおよび資格証明書の不正使用、データ漏洩、すり替え/盗品デバイス(1つまたは複数)等)。
[0002] リモート・アクセス・リソースは、ハッカーによってネットワーク・セキュリティを侵害するために悪用される可能性がある。全ての不正侵入による漏洩(hacking breach)の内圧倒的な割合が、リモート・アクセス・サービス・ポイントから企業のコンピューティング・システムにアクセスするハッカーによって起こっている。これらの不正侵入による漏洩は、ワーム、ウィルス、スパイ・ウェイ、データ盗難、アプリケーション悪用等のような脅威に至る可能性がある。
[0003] 従来の手法では、ユーザ名/パスワード認証規範(paradigm)を実施することによって、リモート・アクセスを付与する。当技術分野において欠如しているのは、セキュリティ・チェックを繰り返し行うリモート・アクセス認証のための、使いやすく、費用効率的であり、透過性である改良セキュリティ・レイヤを提供する解決策である。
[0009] 具体化するシステムおよび方法は、リモート・アクセスを求める要求に、企業アセットを付与するか否か判定する。要求評価は、ユーザ名/パスワード認証プロセスを含み、更に1つ以上の判断基準、例えば、発行されて要求元リモート・デバイスに存在する暗号証明書、要求元のリモート・デバイス自体の構成、このデバイスのセキュリティ取り組み姿勢(security posture)、およびその他の要素の検査を補足することができる。実施形態によれば、1つ以上の判断基準の検査は、リモート・デバイスのユーザには透過的な方法で実行される。
[0010] 具体化するシステムおよび方法は、暗号化された問い合わせおよび応答プロトコルを利用して、ユーザにはアクセスできないように格納されているポリシーおよびデバイス・プロファイル情報と突き合わせて、要求元デバイスを評価する。アクセス判断の再評価を繰り返し実行することができ、循環質問(rotating questions)を使用して要求元クライアントの認証を評価することができる。繰り返し再評価間の間隔は、ポリシーに設定される値に基づいて、変更することができる。ポリシー違反が検出された場合、種々の措置を講ずることができる。例えば、アクセスの拒否および/または無効(一時的または永続的)のように、既定のポリシーにおいて詳細に決められる。
[0011] 図1は、実施形態によるリモート・アクセス認証、妥当性確認(validation)、およびセキュリティ取り組み姿勢チェックのためのシステム100を示す。具体化するシステムは、1つ以上のクライアント・コンピューティング・デバイス110を含むことができる。クライアント・コンピューティング・デバイスは、エンド・ユーザの目的を遂行するときにエンド・ユーザによる使用に適したコンピューティング・デバイス(例えば、パーソナル・コンピュータ、ワークステーション、薄いクライアント、ネットブック、ノートブック、タブレット・コンピュータ、移動体デバイス等)とすることができる。
[0012] クライアント・コンピューティング・デバイス110は、このクライアント・コンピューティング・デバイスの他のコンポーネントと通信するクライアント制御プロセッサ111を含むことができる。制御プロセッサ111は、コンピュータ実行可能命令113にアクセスする。コンピュータ実行可能命令113はオペレーティング・システム113を含むことができる。メッセージ組み立てモジュール114は、セキュリティ/認証クエリに対する応答を組み立てることができる。暗号化/解読モジュール115は、AESおよび/またはRSAのような、しかしこれらには限定されない対称および非対称アルゴリズム、ならびに圧縮/解凍を使用して、クライアント・コンピューティング・デバイスからのメッセージ/クライアント・コンピューティング・デバイスへのメッセージに対して暗号化/解読を実行することができる。コンフィギュレーション・ファイル116は、特定のクライアント・コンピューティング・デバイスのハードウェアおよび/またはソフトウェア・コンテンツに関するデータ、例えば、ウィルス対策ソフトウェアのインストールおよび/または改訂識別子、文書作成ソフトウェア、マザーボード連番、処理ユニット識別子等を含むことができる。画像ファイル117は、妥当性確認/認証/セキュリティ・チェック動作の間アクセス可能なファイルを含むことができる。実施形態によれば、コンフィギュレーション・データ・ファイルおよびイメージ・ファイル・コンテンツは、既定のポリシーとの順守についてチェックされ、クライアント・コンピューティング・デバイスの真正性を検証することができる。
[0013] 企業サーバ120は、少なくとも1つのサーバ制御プロセッサ121を含むことができる。サーバ制御プロセッサ121は、この制御プロセッサによってアクセス可能な実行可能命令122を実行することにより、具体化する検証/認証/セキュリティ・チェック動作をサポートするように構成されている。専用ハードウェア、ソフトウェア・モジュール、および/またはファームウェアが、本明細書において開示する、具体化するリモート・アクセス検証/認証/セキュリティ・サービスを実施することができる。
[0014] サーバ・メッセージ組み立てモジュール125は、具体化する方法にしたがって、セキュリティ/認証クエリを組み立てることができる。これらのクエリは、企業アセットへのアクセスを要求するクライアント・コンピューティング・デバイスに送ることができる。サーバ暗号化/解読モジュール123は、クライアント・コンピューティング・デバイスからのメッセージ/クライアント・コンピューティング・デバイスへのメッセージに対して、対称および非対称暗号化/解読ならびに圧縮/解凍を実行することができる。検証モジュール127は、具体化する動作にしたがって、規則および/または1つ以上のポリシーを適用し、サーバ120に送られたクエリに対する要求元クライアント・コンピューティング・デバイスの応答の順守を判定することができる。
[0015] サーバ120は、データ・ストア140と通信する。サーバ側のメッセージ組み立てモジュール125は、セキュリティ/認証動作のためのクエリを組み立てることができる。これらのクエリは、要求元クライアント・コンピューティング・デバイスから予期される、既定の条件に基づく。これらのクエリは、クライアント・コンピューティング・デバイスから予め収集されているデバイス・レコード143に格納されている一意のコンフィギュレーション・データに対する参照を含むことができる。サーバ側暗号化/解読モジュール123は、要求元クライアント・コンピューティング・デバイスからのメッセージ/要求元クライアント・コンピューティング・デバイスへのメッセージに対して対称および非対称暗号化/解読ならびに圧縮/解凍を実行することができる。
[0016] データ・ストア内のエレメントは、企業アセット・プラットフォーム130へのアクセスを要求するクライアント・コンピューティング・デバイスに送られるクエリを作る(develop)ときに使用することができる。これらのエレメントは、ユーザ・ブラックリスト146(例えば、不正クライアント・コンピューティング・デバイスの識別子およびユーザidのリスト)、デバイス・レコード143(例えば、クライアント・コンピューティング・デバイスから以前に収集された一意のコンフィギュレーション・データであり、ポリシー連携(policy association)を含む)、プラットフォーム・ポリシー145(例えば、所与のクライアント・デバイスの標準ソフトウェアのロードに関連する規則を集計したポリシー)、明確化ポリシー152(例えば、関連するポリシーに対する明確化質問を重み付けポイント値と関連付けるマッピング・データ)、明確化質問148(例えば、既定の尋問(interrogatories))、規則150(例えば、クエリを作成するために使用される1組以上の既定の尋問)、および評価判断基準154(応答が合格であると決定するために使用される情報、および不合格の応答に対して講ずるべき措置)を含むことができる。
[0017] システム100は、1つ以上の企業アセット・プラットフォーム130を含む。各企業アセット・プラットフォームは、電子通信ネットワーク160を介して、離れてアクセス可能である。企業アセット・プラットフォームは、例えば、企業のネットワークにおけるノード、データ・システム、ウェブサイト、および/または離れてアクセスすることができる他のプラットフォームの内1つとすることができる。ある実現例では、アセット・プラットフォームは、保護された企業リソースのネットワークへのアクセスを付与するゲートウェイとして機能することもできる。実施形態によれば、企業アセット・プラットフォームを企業サーバ120内に含むことができる。
[0018] システム100のコンポーネントの各々は、電子通信ネットワーク160を介して通信することができる。電子通信ネットワークは、私設インターネット・プロトコル(IP)ネットワーク、インターネット、統合ディジタル・サービス・ネットワーク(ISDN)、フレーム中継接続、電話回線に接続されたモデム、公衆電話交換網(PSTN)、公衆または私設データ・ネットワーク、ローカル・エリア・ネットワーク(LAN)、都市エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、有線またはワイヤレス・ネットワーク、地域限定、域内、または地球規模の通信ネットワーク、企業イントラネット、以上のものの任意の組み合わせ、および/または任意の他の適した通信手段であることができ、含むことができ、あるいはその一部であることができる。尚、本明細書において開示する技法およびシステムは、ネットワーク160の性質によって限定されないことは、認められてしかるべきである。
[0019] 具体化する方法は、暗号化クエリ/応答プロトコルを適用して、資格証明書を検証し、企業のリモート・アセットの1つへのアクセスを要求するクライアント・コンピューティング・デバイスにおけるエンドポイント・セキュリティを評価する。データ・ストア140は、エンドポイント質問と、質問をどのように評価することができるかについて記述する判断基準とを有するポリシー・ストアを含む。これらの質問および判断基準は、企業の職員、例えば、ITの職業人(professional)、ネットワーク・セキュリティの専門家(expert)によって設けられる既定の規範に基づく。
[0020] 実現例によれば、クライアント・コンピューティング・デバイスが実行しているプログラム/アプリケーション(そして、場合によっては、バージョン識別子も)の一部または全部のリストを尋ねるクエリをクライアント・コンピューティング・デバイスに送ることができる。クライアント・コンピューティング・デバイスは、コンフィギュレーション・ファイル116を調べることによって、詳細な応答のために、応答を組み立てることができる。特定のポリシーに特定的な規則150は、種々の方法でチェックすることによって応答を評価することができる。非限定的な例として、規則は、認可されたウィルス対策ソフトウェアが実行していることを確認するためにチェックすることができ、または禁止されているソフトウェアがクライアント・コンピューティング・デバイスにインストールされていないことを確認するためにチェックすることができる。評価は、クライアント・コンピューティング・デバイスから離れている企業サーバ120において行われるので、クライアントは、使用されている評価判断基準も、ポリシーも、規則も見ることはできない。
[0021] アセット・プラットフォームへのリモート・アクセスを認可する従来の手法は、暗号証明書をコピーできるという重大な欠点に直面している。つまり、コンピューティング・デバイスおよび/またはローカル・ユーザのなりすましを可能にする。具体化するシステムおよび方法は、クライアント・コンピューティング・デバイスおよびそのローカル・ユーザに透過的な方法でセキュリティ検証を実行する。したがって、実施形態は、暗号証明書が発行されたクライアント・コンピューティング・デバイスにおいてのみこの暗号証明書を使用できることを確保し、認証が行われるとき、クライアント・コンピューティング・デバイスのセキュリティ取り組み姿勢を試験することによって、この問題を解決する。つまり、実施形態は、証明書盗難からの危険性を極力抑えつつ、クライアント・コンピューティング・デバイスがポリシーに従っていることを確認する。
[0022] 実施形態によれば、ユーザ識別/証明書/デバイス識別子間の関連を、データ・ストア・エレメント140のエレメント内で維持する。アセット・プラットフォームへのアクセスを要求するクライアント・コンピューティング・デバイスから受けたクエリ応答(1つまたは複数)を、データ・ストア内に格納されている情報と突き合わせて、サーバにおいてチェックする。ある実現例では、デバイス識別子を個々のクライアント・コンピューティング・デバイスから「学習し」、データ・ストアに格納し、次いで後に検証/チェック比較の間に使用することができる。
[0023] 実施形態によれば、既定のポリシーおよび/または規範を周期的または非周期的に更新または変更することができる。ポリシーおよび規範は、改竄の試行を防止し、進行中のアクティブなセッションに対する攻撃を識別し、検出された攻撃者に対する対策を実施する(enact)ように構成することができる。既定のポリシーおよび規則を実施することによって、具体化するシステムおよび方法は、信頼できるコンテキストで認証が行われていること、例えば、必要なソフトウェアが実行しているか?、デバイスの改竄が検出されたか?、確認する。
[0024] 具体化するシステムおよび方法は、クライアント・コンピューティング・デバイスにアーキテクチャの詳細を問い合わせ、次いでクライアント・コンピューティング・デバイスから離れてクエリ応答を分析することによって、クライアント・コンピューティング・デバイス(1つまたは複数)のセキュリティ分析を実行する。実施形態によれば、異なるレベルのアクセスを付与し、異なる企業アセット・プラットフォームへのアクセスを付与することができる。クライアント・コンピューティング・デバイスに送られるクエリは、デバイス認証において使用される複数の要素、例えば、ユーザSSO/パスワード、企業が発行するユーザ/デバイス証明書、一意のデバイス属性(コンフィギュレーション・データ、イメージ・ファイル・コンテンツ等)を透過的に要求することができる。
[0025] 実施形態によれば、方法は、反復エンドポイント妥当性確認技法を含むことができる。これらの技法は、クライアント・コンピューティング・デバイスが既定のポリシーおよび/または判断基準に従うことを要求するために、ポリシーに基づく手法を実施することができる。従わない場合、企業アセット・プラットフォームへのアクセスは拒否されるか、または進行中のアクセスが終了する結果となる。ある実現例では、デバイスを完全にまたは部分的に識別するために、個々のデバイスの指紋を使用することができる。
[0026] 実施形態によれば、システムおよび方法は、企業アセット・プラットフォームへのアクセスを要求しているリモート・クライアント・コンピューティング・デバイスを明確化し、妥当性確認し、登録するために三段階手法を実行することができる。一旦クライアント・コンピューティング・デバイスが登録されたなら、システムは、透過的にユーザおよびクライアント・コンピューティング・デバイスを妥当性確認し、安全を確保したアクセスを付与する。この透過性の妥当性確認は、ユーザ・セッションの間反復セキュリティ・チェックを使用することができる。動作は、クライアント・コンピューティング・デバイスのローカル・ユーザに対して透過的に実行することができる。
[0027] 図2は、実施形態によるデバイス明確化プロセス200のフローチャートを示す。明確化プロセス200は、データ・ストア140内に存在する既定の所定の明確化質問を使用して、クライアント・コンピューティング・デバイスを、クライアント・コンピューティング・デバイスの構成に該当するプラットフォーム・ポリシー145と関連付けるために、クライアント・コンピューティング・デバイスに問い合わせる。具体化するシステムおよび方法を採用することによって、企業は異なるクライアント・デバイス・ソフトウェア構成を、これらの構成に適したポリシーと突き合わせて試験することができる(例えば、企業は、異なるが容認可能なウィルス対策ソフトウェアを有する2つのクライアント・デバイス・プラットフォームを維持することができる)。サーバ120において、登録サーバ企業アセット・プラットフォーム・リソース130にアクセスすることの認可(clearance)のための登録要求を、クライアント・コンピューティング・デバイス110から受けることができる(ステップ205)。登録要求は、サーバの公開鍵によって、非対称的に暗号化することができる。
[0028] サーバは登録要求を解読する。サーバは、クライアント・コンピューティング・デバイスの識別および/またはローカル・ユーザの識別を、ユーザ・ブラックリスト146に維持されている使用ブロック識別(blocked identities)のリストと比較する(ステップ210)。ユーザまたはデバイスがリモート・アセットにアクセスするのをブロックされたことがある場合、このプロセスは終了する。
[0029] ユーザまたはデバイスの識別が使用ブロック・リスト上に現れない場合、明確化クエリを生成する(ステップ215)。明確化クエリは、既定のポリシー、要求のタイプに割り当てられる規則に基づいて、クライアント・コンピューティング・デバイスに、特定のコンフィギュレーション情報について問い合わせる。明確化クエリは、タイムスタンプを含むことができる。
[0030] サーバは、明確化クエリを要求元クライアント・コンピューティング・デバイスに送信する(ステップ220)。明確化クエリは、サーバ側で、暗号化および/または圧縮することができる。クライアント・メッセージ組み立てモジュール114は、この明確化クエリに対する応答を組み立てることができる。クエリの性質に基づいて、応答は、ウィルス対策ソフトウェアのソフトウェア・コンフィギュレーション・インストール改訂識別子(software configuration installation revision identifiers)の詳細、文書作成ソフトウェア、マザーボード連番、処理ユニットの識別子、クライアント・コンピューティング・デバイスのハードウェアに関するデータ、イメージ・ファイルのコンテンツ、および既定の明確化ポリシーに応じた他の詳細を含むことができる。
[0031] サーバは、明確化クエリに対する応答を、クライアント・コンピューティング・デバイスから受ける(ステップ225)。応答自体を暗号化および/または圧縮することができる。応答の内容に基づいて、クライアント・コンピューティング・デバイスをプラットフォーム・ポリシー145に割り当てることができる。クエリ応答の各部分にポイント(point)を割り当てることによって、応答を評価する(ステップ230)。入ったポイントが特定のポリシーに対して大きい場合、クライアント・コンピューティング・デバイスはそのポリシーと関連付けられる(ステップ235)。応答が評価に失敗した場合、このプロセスは終了する。ある実現例では、例えば、ポリシー間の結び付き、構成設定されたシステムのデフォルト・ポリシーに基づいて、クライアント・コンピューティング・デバイスを評価することができる。最初の登録の間に、一旦クライアント・コンピューティング・デバイスがポリシーと関連付けられたなら、プロセス300(図3)を使用して、クライアント・コンピューティング・デバイスを妥当性確認する。
[0032] 図3は、実施形態によるデバイス妥当性確認プロセス300のフローチャートを示す。妥当性確認プロセス300は、企業アセット・プラットフォームへのアクセスを要求するクライアント・コンピューティング・デバイスに問い合わせ、明確化プロセス200の間に割り当てられたポリシーと、データ・ストア140に存在する既定の所定の質問との組み合わせに基づいて、その真正性を判定する。企業アセット・プラットフォーム・リソース130にアクセスする要求は、サーバ120においてクライアント・コンピューティング・デバイス110から受けることができる(ステップ305)。
[0033] サーバは、アクセスを要求する特定のクライアント・コンピューティング・デバイスに割り当てられたポリシーを決定する(ステップ310)。この判定は、明確化プロセス200の結果としてデバイス・レコード142に格納されたポリシーに基づく。この特定のクライアント・コンピューティング・デバイスに未だポリシーが割り当てられていない場合、プロセス300は終了し、サーバ120は、先に説明した明確化プロセス200を実行する。
[0034] 割り当てられたポリシーおよび規則150からの質問を使用して、妥当性確認クエリを組み立てる(ステップ315)。妥当性確認クエリの目的は、実際の要求元クライアント・コンピューティング・デバイスが、ポリシーに従っているか否か、そして信頼してアセット・プラットフォームへのリモート・アクセスを付与できるか否か評価することである。定められた規則150に基づいて、クエリは、クエリ・インスタンス毎に変化する循環質問を含むことができる。クエリは、要求された企業アセット・プラットフォームに関連する質問を含むことができる(例えば、登録アクセスを要求するデバイスに対して尋ねられる質問が、ネットワーク・アクセスを要求するデバイスに対して尋ねられる質問とは異なるのはもっともである)。サーバは、妥当性確認クエリを要求元クライアント・コンピューティング・デバイスに送信する(ステップ320)。ある実現例では、クエリにタイムスタンプを付けることができる。妥当性確認クエリをサーバ側において暗号化および/または圧縮することができる。クライアント・メッセージ組み立てモジュール114は、妥当性確認クエリに対する応答を組み立てることができる。クエリの性質に基づいて、応答は、ウィルス対策ソフトウェアのソフトウェア・コンフィギュレーション・インストール改訂識別子(software configuration installation revision identifiers)の詳細、文書作成ソフトウェア、マザーボード連番、処理ユニットの識別子、クライアント・コンピューティング・デバイスのハードウェアに関するデータ、イメージ・ファイルのコンテンツ、および既定のポリシーに応じた他の詳細を含むことができる。
[0035] サーバは、クライアント・コンピューティング・デバイスから、妥当性確認クエリに対する応答を受ける(ステップ325)。応答自体を暗号化および/または圧縮することができる。データ・ストア140内に存在する評価判断基準154と突き合わせてクエリ回答をチェックすることによって、応答を評価する。評価判断基準はシステム100のサーバ側に存在し、クエリ応答の評価は、システムのサーバ側で実行される。クライアント・コンピューティング・デバイスは判断基準に露出されず、応答評価にも露出されず、このプロセスをクライアント・コンピューティング・デバイスおよびそのローカル・ユーザに対して透過性にする。
[0036] 妥当性確認クエリ応答の評価が、この応答が正しくないと判定した場合(ステップ330)、妥当性確認プロセス300は終了する。妥当性確認が成功した場合、プロセス300は、アセット・プラットフォームへのアクセスを要求する特定のクライアント・コンピューティング・デバイスのためにアクセス・トークンを作成する(ステップ335)。アクセス・トークンには、RSAのようなアルゴリズムを使用して、非対称的に署名することができるので、クライアント・コンピューティング・デバイスによって要求された特定のアセット・プラットフォームでなければそれを読むことができない。このアクセス・トークンは、妥当性確認クロスチェックについての詳細を含むことができる。加えて、アクセス・トークンにタイムスタンプを付け、更に、セキュリティ強化のために、所定の有効期限(expiration deadline)と関連付けることができる。アクセス・トークンをクライアント・コンピューティング・デバイスに供給する(ステップ340)。このトークンを使用して、受けた要求において識別された企業アセット・プラットフォームとの接続を行うときに、クライアント・コンピューティング・デバイスを検証することができる(ステップ305)。トークンが最初の登録において使用されなければならない場合、登録プロセス400(図4)において以下で説明するように、登録企業リソース・プラットフォームにトークンを渡すことができる。保護された企業リソース・プラットフォームへの登録後アクセスのためにトークンが使用されなければならない場合、セキュリティ取り組み姿勢再チェック/認証プロセス500(図5)において説明するように、トークンを使用することができる。
[0037] 図4は、実施形態によるデバイス登録プロセス400のフローチャートを示す。登録プロセス400は、登録アクセス・トークンを検証し、登録後の妥当性確認において使用することができるユーザ/デバイス証明書を生成するタスクを実行する。アクセス・トークンを有する登録要求(クライアント証明書署名要求を含む)をクライアント・コンピューティング・デバイスから受ける(ステップ405)。この要求は、登録アセット・プラットフォームまたはサーバにおいて受けることができる。
[0038] 実現例によれば、登録プロセス400は、サーバにおいて、サーバ・プラットフォームにおいて、および/または一緒に動作するサーバとアセット・プラットフォームにおいて実行することができる。アセット・プラットフォームは、クライアント・ユーザ/デバイス証明書を生成する認証局機能を含むことができる。また、アセット・プラットフォームは、ユーザ・パスワード・チェックまたはワンタイム・パスワード・チェックのような、登録に必要とされる追加のセキュリティ・チェックを実行するアプリケーションを含むこともできる。
[0039] トークンを解読する(ステップ410)。解読したアクセス・トークンを検証する(ステップ415)。検証は、トークンの署名をチェックすること(signature checking the token)、デバイス明確化プロセス200および/またはデバイス妥当性確認プロセス300の間に得られデータ・ストア140内に存在するクライアント・コンピューティング・デバイスの詳細をチェックすること、トークン・ユーザがユーザ認証および許可情報と一致するか否かチェックすること、およびトークンが未だ有効であることをチェックすることを含むことができる。
[0040] トークンが検証されない場合、アセット・プラットフォームへのアクセスを拒否し、このプロセスを終了する。トークンが検証された場合、クライアント・コンピューティング・デバイスおよびユーザに対して証明書を生成する(ステップ420)。次いで、アクセス証明書をクライアント・コンピューティング・デバイスに送信する(ステップ425)。証明書は、一旦受領されたなら、クライアント・コンピューティング・デバイスにおいて安全に格納される(ステップ425)。ある実現例では、証明書をクライアント暗号API(CAPI)証明書ストアに入れることができる。
[0041] 図5は、実施形態による、クライアント企業アセット・アクセスのためのセキュリティ取り組み姿勢再チェック/認証プロセス500のフローチャートを示す。企業アセット・プラットフォームへのアクセスは、ウェブ・ブラウザを使用して、あるいはリソース代理(resource proxying)またはネットワーク・トンネリングを含む方法によって、保護されているネットワーク・セグメントへのアクセスを許可する、企業アセットアクセス・プラットフォームのためのトランスポート・レイヤ・セキュリティ(TLS)レイヤを通じて遂行することができる。TLSトンネリングを使用する場合、登録プロセス400の間に得られたクライアント証明書を、認証の目的で透過的に提示することができ、傍受を防止するために接続を固定する(pin)(企業アセットTLS接続についての静的詳細(static details)をクライアントにチェックさせることによって)ことができる。
[0042] クライアント・コンピューティング・デバイス110は、企業アセット・プラットフォームと共に使用されるセッション・クロスチェック情報を作ることができる。実現例によれば、クロスチェック情報は、ローカルに導き出すことができ、またはアクセスの前にアセット・プラットフォームによって供給することができる。このクロスチェック情報は、デバイス妥当性確認プロセス300を使用して妥当性確認を要求する(ステップ505)ために使用される。妥当性が確認された場合、有効期限情報と共に、アクセス・トークンが供給される。有効期限を暗号化することができる。
[0043] クライアント・コンピューティング・デバイスは、供給されたトークンの有効期限を追跡することができる(ステップ510)。期限の前に、プロセス300を利用して更新要求を行うことができる(ステップ515)。アクセスを認証するときに使用するために、トークンを企業アセット・プラットフォームに提示する。トークンを渡すことによって、クライアント・コンピューティング・デバイスとアセット・プラットフォームとの間に、アクティブなセッションを形成する(ステップ520)。
[0044] トークンを解読する(ステップ525)。解読されたアクセス・トークンは、要求されたアセット・プラットフォームに対して有効か、そして要求元のクライアント・コンピューティング・デバイスに対して有効かについて検証する(ステップ530)。検証は、トークンの署名をチェックすること、トークン内に含まれるクロスチェックの詳細をチェックすること、保護されているリソースに対してトークンが発行されたか否かチェックすること、トークン・ユーザが、提示されたクライアントTLS証明書および/または他の認証の詳細と一致するか否かチェックすること、そしてトークンが未だ有効であることをチェックすることを含むことができる。
[0045] トークンが無効であるまたは期限切れである場合、有効なトークンが必要であることを示す信号を、クライアント・コンピューティング・デバイスに送る(ステップ535)。次いで、プロセス500はステップ505に戻り、クライアント・コンピューティング・デバイスは、プロセス400を使用して、新たな、有効なトークンを要求する。提示されたトークンが有効である場合、要求された企業アセット・プラットフォームに対してアクセスが付与される(ステップ540)。実施形態によれば、プロセス500は、関連するポリシーによって設定される間隔で、ループ反復トークン検証ステップ530に入ることができる。
[0046] 表1は、この表において識別される特定の危険性に対処するために、具体化するシステムおよび方法によって実施される制御の全体像を詳細に記述する行列を示す。これらの危険性には、不正アクセス、盗聴および通信傍受、マルウェア、キーロギングおよび資格証明書盗難、クライアント・コンピューティング・デバイスの紛失または盗難、およびデータの盗難/漏洩が含まれる。
[0047] ある実施形態によれば、不揮発性メモリまたはコンピュータ読み取り可能媒体(例えば、レジスタ・メモリ、プロセッサ・キャッシュ、RAM、ROM、ハード・ドライブ、フラッシュ・メモリ、CD ROM、磁気媒体等)に格納されたコンピュータ・プログラム・アプリケーションが、コードまたは実行可能命令を含むことができ、これらが実行されると、以上で説明したようにセキュリティ取り組み姿勢再チェック/認証によって、アセット・プラットフォームへのリモート・アクセスを要求するクライアント・コンピューティング・デバイスの安全で、透過性の多要素妥当性確認、登録、認証を行う方法のような、本明細書において説明した方法を実行するように、コントローラまたはプロセッサに命令する、および/または実行させることができる。
[0048] コンピュータ読み取り可能媒体は、一時的な伝搬信号を除いて、全ての形態およびタイプのメモリ、ならびに全てのコンピュータ読み取り可能媒体を含む、非一時的コンピュータ読み取り可能媒体であってよい。1つの実現例では、不揮発性メモリまたはコンピュータ読み取り可能媒体は外部メモリであってもよい。
[0049] 以上、本明細書では具体的なハードウェアおよび方法について説明したが、本発明の実施形態にしたがって、任意の数の他の構成を設けてもよいことを注記しておく。つまり、本発明の基礎的な新規の特徴を示し、説明し、指摘したが、例示した実施形態、およびその動作における形態ならびに詳細において、種々の省略、交換、および変更も、本発明の趣旨および範囲から逸脱することなく、当業者によって行うことができることは理解されよう。また、実施形態間におけるエレメントの交換も、最大限意図され、想定されている。本発明は、添付する請求項、およびその中の記載の均等物に関してのみ定められることとする。
Claims (16)
- リモート・クライアント・コンピューティング・デバイスと企業のアセット・プラットフォームとの間に安全な接続を形成するための方法であって、
サーバにおいて、電子通信ネットワークを介して該サーバと通信するクライアント・コンピューティング・デバイスから要求を受けるステップであって、前記要求が、登録要求および前記アセット・プラットフォームにアクセスする要求の内1つであり、前記要求がクライアント・コンピューティング・デバイスの一意の識別子を含む、ステップと、
前記要求が前記アセット・プラットフォームにアクセスするものである場合、前記クライアント・コンピューティング・デバイスが以前に前記アセット・プラットフォームにアクセスするのをブロックされたことがあることの判定に基づいて、当該方法を終了するステップと、
前記要求が前記アセット・プラットフォームにアクセスするものである場合、前記クライアント・コンピューティング・デバイスが以前に前記アセット・プラットフォームにアクセスするのをブロックされていないことの判定に基づいて、妥当性確認クエリを前記クライアント・コンピューティング・デバイスに供給するステップであって、前記妥当性確認クエリが、前記クライアント・コンピューティング・デバイスに以前に割り当てられた特定のポリシーに基づく質問を含む、ステップと、
前記妥当性確認クエリへの応答が正しいとの判定に基づいて、前記アセット・プラットフォームにおいて妥当性検証が可能なアクセス・トークンを前記クライアント・コンピューティング・デバイスに供給するステップと、
前記要求が登録要求である場合、
前記サーバにおいて、既定のポリシーにしたがって明確化クエリを生成するステップと、
前記明確化クエリを前記クライアント・コンピューティング・デバイスに供給するステップと、
前記明確化の質問に対する応答を、前記クライアント・コンピューティング・デバイスから受けるステップと、
前記明確化クエリの応答の内容を、既定の判断基準に関して検証するステップであって、前記クライアント・コンピューティング・デバイスのユーザに対して透過的な方法で、前記クライアント・コンピューティング・デバイスから離れて行われる、ステップと、
前記明確化クエリの各部分の応答にポイントを割り当てることによって、前記明確化クエリの応答を評価するステップと、
前記割り当てられたポイントに基づいて、前記クライアント・コンピューティング・デバイスを前記特定のポリシーに関連付けるステップと、
前記明確化クエリの応答が前記既定のポリシーを満たす場合、前記クライアント・コンピューティング・デバイスを前記既定のポリシーに関連付けるステップと、
を含む、方法。 - 請求項1記載の方法において、前記クライアント・コンピューティング・デバイスが以前に前記アセット・プラットフォームにアクセスするのをブロックされたことがあることの前記判定が、前記クライアント・コンピューティング・デバイスの一意の識別子を、前記サーバと通信するデータ・ストアにおける使用ブロック・クライアント・コンピューティング・デバイスのリストと比較することを含む、方法。
- 請求項1記載の方法において、前記明確化クエリが、前記サーバと通信するデータ・ストア内に存在する既定の質問を含む、方法。
- 請求項3記載の方法において、前記既定の質問が、1つ以上のクライアント・コンピューティング・デバイスのコンフィギュレーションの詳細、インストールされているアプリケーションの改訂番号、インストールされているアプリケーションのリスト、ハードウェア識別子、および1つ以上のイメージ・ファイルからのコンテンツに基づく、方法。
- 請求項1記載の方法であって、累積ポイント・スコアが所定の閾値よりも低い場合、当該方法を終了すること、およびデフォルトのポリシーを割り当てることの内少なくとも1つを実行するステップを含む、方法。
- 請求項1記載の方法であって、
サーバと通信するデータ・ストアにおけるデバイス・テーブルおよびデバイス・レコードの少なくとも1つを検査し、クライアント・コンピューティング・デバイスの識別子と前記既定のポリシーとの間における関連を突き止めるステップと、
関連が突き止められない場合、当該方法を終了するステップと、
を含む、方法。 - 請求項6記載の方法であって、
タイムスタップを前記アクセス・トークンに挿入するステップと、
前記アクセス・トークンを所定の有効期限と関連付けるステップと、
を含む、方法。 - 請求項1記載の方法であって、
前記アセット・プラットフォームにおいて、前記アクセス要求を行った前記クライアント・コンピューティング・デバイスから前記アクセス・トークンを受けるステップと、
前記アクセス・トークンを解読するステップと、
前記解読したアクセス・トークンを検証するステップと、
前記解読したアクセス・トークンの検証に成功しなかった場合、当該方法を終了するステップと、
前記解読したアクセス・トークンの検証に成功した場合、前記クライアント・コンピューティング・デバイスおよび該クライアント・コンピューティング・デバイスのエンド・ユーザに対して証明書を生成するステップと、
前記生成した証明書を前記クライアント・コンピューティング・デバイスに送信するステップと、
を含む、方法。 - 請求項8記載の方法であって、前記クライアント・コンピューティング・デバイスと前記アセット・プラットフォームとの間にアクティブなセッションを形成するステップを含む、方法。
- 請求項9記載の方法であって、前記トークンに関連するタイムスタンプの期限切れの前に、前記トークンを更新するステップを含む、方法。
- 請求項9記載の方法であって、前記セッション中に、前記クライアント・コンピューティング・デバイスのトークン有効性のセキュリティ取り組み姿勢再チェックを実行するステップを含む、方法。
- リモート・クライアント・コンピューティング・デバイスと企業のアセット・プラットフォームとの間に安全な接続を形成するための方法を、制御プロセッサに実行させるためのコンピュータ読み取り可能命令を格納して含む非一時的コンピュータ読み取り可能媒体であって、前記方法が、
サーバにおいて、電子通信ネットワークを介して該サーバと通信するクライアント・コンピューティング・デバイスから要求を受けるステップであって、前記要求が、登録要求および前記アセット・プラットフォームにアクセスする要求の内1つであり、前記要求がクライアント・コンピューティング・デバイスの一意の識別子を含む、ステップと、
前記要求が前記アセット・プラットフォームにアクセスするものである場合、前記クライアント・コンピューティング・デバイスが以前に前記アセット・プラットフォームにアクセスするのをブロックされたことがあることの判定に基づいて、当該方法を終了するステップと、
前記要求が前記アセット・プラットフォームにアクセスするものである場合、前記クライアント・コンピューティング・デバイスが以前に前記アセット・プラットフォームにアクセスするのをブロックされていないことの判定に基づいて、妥当性確認クエリを前記クライアント・コンピューティング・デバイスに供給するステップであって、前記妥当性確認クエリが、前記クライアント・コンピューティング・デバイスに以前に割り当てられた特定のポリシーに基づく質問を含む、ステップと、
前記妥当性確認クエリへの応答が正しいとの判定に基づいて、前記アセット・プラットフォームにおいて妥当性検証が可能なアクセス・トークンを前記クライアント・コンピューティング・デバイスに供給するステップと、
前記要求が登録要求である場合、
前記サーバにおいて、既定のポリシーにしたがって明確化クエリを生成するステップと、
前記明確化クエリを前記クライアント・コンピューティング・デバイスに供給するステップと、
前記明確化の質問に対する応答を、前記クライアント・コンピューティング・デバイスから受けるステップと、
前記明確化クエリの応答の内容を、既定の判断基準に関して検証するステップであって、前記クライアント・コンピューティング・デバイスのユーザに対して透過的な方法で、前記クライアント・コンピューティング・デバイスから離れて行われる、ステップと、
前記明確化クエリの各部分の応答にポイントを割り当てることによって、前記明確化クエリの応答を評価するステップと、
前記割り当てられたポイントに基づいて、前記クライアント・コンピューティング・デバイスを前記特定のポリシーに関連付けるステップと、
前記明確化クエリの応答が前記既定のポリシーを満たす場合、前記クライアント・コンピューティング・デバイスを前記既定のポリシーに関連付けるステップと、
を含む、非一時的コンピュータ読み取り可能媒体。 - 請求項12記載の非一時的コンピュータ読み取り可能媒体であって、前記方法を前記制御プロセッサに実行させるためのコンピュータ読み取り可能命令を格納して含み、前記要求がアクセス要求である場合、前記方法が、
前記アセット・プラットフォームにおいて、前記アクセス要求を行った前記クライアント・コンピューティング・デバイスから前記アクセス・トークンを受けるステップと、
前記アクセス・トークンを解読するステップと、
前記解読したアクセス・トークンを検証するステップと、
前記解読したアクセス・トークンの検証に成功しなかった場合、この方法を終了するステップと、
前記解読したアクセス・トークンの検証に成功した場合、前記クライアント・コンピューティング・デバイスおよび該クライアント・コンピューティング・デバイスのエンド・ユーザに対して証明書を生成するステップと、
前記生成した証明書を前記クライアント・コンピューティング・デバイスに送信するステップと、
を含む、非一時的コンピュータ読み取り可能媒体。 - 請求項13記載の非一時的コンピュータ読み取り可能媒体であって、前記方法を前記制御プロセッサに実行させるためのコンピュータ読み取り可能命令を格納して含み、前記方法が、
前記クライアント・コンピューティング・デバイスと前記アセット・プラットフォームとの間にアクティブなセッションを形成するステップと、
前記トークンに関連するタイムスタンプの期限切れの前に、前記トークンを更新するステップと、
前記セッション中に、前記クライアント・コンピューティング・デバイスのトークン有効性のセキュリティ取り組み姿勢再チェックを実行するステップと、
を含む、非一時的コンピュータ読み取り可能媒体。 - リモート・クライアント・コンピューティング・デバイスと企業のアセット・プラットフォームとの間に安全な接続を形成するためのシステムであって、
電子通信ネットワークを介してクライアント・コンピューティング・デバイスと通信する制御プロセッサを含むサーバであって、前記電子通信ネットワークを介してデータ・ストアおよび少なくとも1つのアセット・プラットフォームと通信する、サーバを含み、
前記サーバが、登録要求および前記アセット・プラットフォームにアクセスする要求の内1つである要求を前記クライアント・コンピューティング・デバイスから受けるように構成された暗号化/解読モジュールを含み、前記要求がクライアント・コンピューティング・デバイスの一意の識別子を含み、
前記サーバ制御プロセッサが、実行可能プログラム命令にアクセスするように構成され、前記実行可能プログラム命令が前記サーバ制御プロセッサに、
前記要求が前記アセット・プラットフォームにアクセスするものである場合、デバイス・レコード・ストアおよびデバイス・テーブル・ストアの内少なくとも1つにアクセスすることによって、前記クライアント・コンピューティング・デバイスが以前に前記アセット・プラットフォームにアクセスするのをブロックされたことがあることの判定に基づいて、前記安全な接続の形成を終了すること、
前記要求が前記アセット・プラットフォームにアクセスするものである場合、前記クライアント・コンピューティング・デバイスが以前に前記アセット・プラットフォームにアクセスするのをブロックされていないことの判定に基づいて、妥当性確認クエリを前記クライアント・コンピューティング・デバイスに供給することであって、前記妥当性確認クエリが、前記クライアント・コンピューティング・デバイスに以前に割り当てられた特定のポリシーに基づく質問を含むこと、
前記妥当性確認クエリへの応答が正しいとの判定に基づいて、前記アセット・プラットフォームにおいて妥当性検証が可能なアクセス・トークンを前記クライアント・コンピューティング・デバイスに供給すること、
前記要求が登録要求である場合、
前記サーバにおいて、既定のポリシーにしたがって明確化クエリを生成すること、
前記明確化クエリを前記クライアント・コンピューティング・デバイスに供給すること、
前記明確化の質問に対する応答を、前記クライアント・コンピューティング・デバイスから受けること、
前記明確化クエリの応答の内容を、既定の判断基準に関して検証すること、
前記検証することが、前記クライアント・コンピューティング・デバイスのユーザに対して透過的な方法で、前記クライアント・コンピューティング・デバイスから離れて行われること、
前記明確化クエリの各部分の応答にポイントを割り当てることによって、前記明確化クエリの応答を評価すること、
前記割り当てられたポイントに基づいて、前記クライアント・コンピューティング・デバイスを前記特定のポリシーに関連付けること、
前記明確化クエリの応答が前記既定のポリシーを満たす場合、前記クライアント・コンピューティング・デバイスを前記既定のポリシーに関連付けること、
を実行させる、システム。 - 請求項15記載のシステムにおいて、前記サーバ制御プロセッサが、前記要求がアクセス要求である場合、前記サーバ制御プロセッサに、
前記アセット・プラットフォームにおいて、前記アクセス要求を行った前記クライアント・コンピューティング・デバイスから前記アクセス・トークンを受けること、
前記アクセス・トークンを解読すること、
前記解読したアクセス・トークンを検証すること、
前記解読したアクセス・トークンの検証に成功しなかった場合、前記安全な接続の形成を終了すること、
前記解読したアクセス・トークンの検証に成功した場合、
前記クライアント・コンピューティング・デバイスおよび該クライアント・コンピューティング・デバイスのエンド・ユーザに対して証明書を生成すること、
前記生成した証明書を前記クライアント・コンピューティング・デバイスに送信すること、
前記クライアント・コンピューティング・デバイスと前記アセット・プラットフォームとの間にアクティブなセッションを形成すること、
前記セッションの期限切れの前に、前記トークンを更新すること、
前記セッション中に、前記クライアント・コンピューティング・デバイスのトークン有効性のセキュリティ取り組み姿勢再チェックを実行すること、
を実行させる実行可能プログラム命令にアクセスするように構成される、システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/350,912 US10333930B2 (en) | 2016-11-14 | 2016-11-14 | System and method for transparent multi-factor authentication and security posture checking |
| US15/350,912 | 2016-11-14 | ||
| PCT/US2017/055103 WO2018089136A1 (en) | 2016-11-14 | 2017-10-04 | System and method for transparent multi-factor authentication and security posture checking |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019536157A JP2019536157A (ja) | 2019-12-12 |
| JP6963609B2 true JP6963609B2 (ja) | 2021-11-10 |
Family
ID=60164816
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019525850A Active JP6963609B2 (ja) | 2016-11-14 | 2017-10-04 | 透過性多要素認証およびセキュリティ取り組み姿勢チェックのためのシステムおよび方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10333930B2 (ja) |
| JP (1) | JP6963609B2 (ja) |
| BR (1) | BR112019009717A2 (ja) |
| IL (1) | IL266535B (ja) |
| WO (1) | WO2018089136A1 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150161579A1 (en) * | 2013-12-11 | 2015-06-11 | Verifone, Inc. | Point of sale system |
| US10395036B2 (en) * | 2017-03-16 | 2019-08-27 | Dell Products, L.P. | Continued runtime authentication of information handling system (IHS) applications |
| US11283612B2 (en) * | 2017-05-30 | 2022-03-22 | Nec Corporation | Information processing device, verification device, and information processing system |
| US11140169B1 (en) * | 2018-10-31 | 2021-10-05 | Workday, Inc. | Cloud platform access system |
| US11425158B2 (en) * | 2019-03-19 | 2022-08-23 | Fortinet, Inc. | Determination of a security rating of a network element |
| US11329990B2 (en) * | 2019-05-17 | 2022-05-10 | Imprivata, Inc. | Delayed and provisional user authentication for medical devices |
| US11595375B2 (en) * | 2020-04-14 | 2023-02-28 | Saudi Arabian Oil Company | Single sign-on for token-based and web-based applications |
| CN113032483B (zh) * | 2021-03-12 | 2023-08-08 | 北京百度网讯科技有限公司 | 跨平台的数据资产共享方法、装置及电子设备 |
| CN113271300B (zh) * | 2021-05-12 | 2022-10-21 | 北京天空卫士网络安全技术有限公司 | 一种认证的***和方法 |
| US20230171241A1 (en) * | 2021-11-30 | 2023-06-01 | Bmc Software Israel Ltd | Security profile management for multi-cloud agent registration with multi-tenant, multi-cell service |
| CN114090982A (zh) * | 2022-01-19 | 2022-02-25 | 深圳竹云科技股份有限公司 | 资源访问方法、装置、电子设备及计算机可读存储介质 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7499875B1 (en) * | 2000-03-17 | 2009-03-03 | Ebay Inc. | Method and apparatus for facilitating online payment transactions in a network-based transaction facility using multiple payment instruments |
| JP2006066982A (ja) * | 2004-08-24 | 2006-03-09 | Hitachi Ltd | ネットワーク接続制御システム |
| US20060085850A1 (en) * | 2004-10-14 | 2006-04-20 | Microsoft Corporation | System and methods for providing network quarantine using IPsec |
| JP4819542B2 (ja) * | 2006-03-24 | 2011-11-24 | 株式会社日立製作所 | 脆弱性検証付きのバイオメトリクス認証システムおよび方法 |
| US7759338B2 (en) * | 2006-04-27 | 2010-07-20 | The Regents Of The University Of Michigan | Soluble 1,4 benzodiazepine compounds and stable salts thereof |
| JP4891722B2 (ja) * | 2006-09-29 | 2012-03-07 | 株式会社日立製作所 | 検疫システムおよび検疫方法 |
| US8532303B2 (en) * | 2007-12-14 | 2013-09-10 | Intel Corporation | Symmetric key distribution framework for the internet |
| US8869252B2 (en) * | 2008-05-19 | 2014-10-21 | Nokia Corporation | Methods, apparatuses, and computer program products for bootstrapping device and user authentication |
| US9254940B2 (en) * | 2008-05-28 | 2016-02-09 | MaBelle Bray | Multi-compartment resealable storage bag and container |
| US8380091B2 (en) * | 2010-07-30 | 2013-02-19 | Eastman Kodak Company | Resonant-frequency measurement of electrophotographic developer density |
| US8607306B1 (en) * | 2010-11-10 | 2013-12-10 | Google Inc. | Background auto-submit of login credentials |
| JP5678751B2 (ja) * | 2011-03-18 | 2015-03-04 | 株式会社リコー | 検疫ネットワークシステム |
| US8458781B2 (en) * | 2011-08-15 | 2013-06-04 | Bank Of America Corporation | Method and apparatus for token-based attribute aggregation |
| US8959572B2 (en) * | 2011-10-28 | 2015-02-17 | Google Inc. | Policy enforcement of client devices |
| FR2996715A1 (fr) * | 2012-10-09 | 2014-04-11 | France Telecom | Heritage de parametres d'identifiant universel de ressource (uri) |
| JP5988245B2 (ja) * | 2012-12-18 | 2016-09-07 | 株式会社応用電子 | シンクライアントシステム |
| US9355223B2 (en) | 2013-03-29 | 2016-05-31 | Citrix Systems, Inc. | Providing a managed browser |
| US20150281278A1 (en) * | 2014-03-28 | 2015-10-01 | Southern California Edison | System For Securing Electric Power Grid Operations From Cyber-Attack |
| JP6618675B2 (ja) * | 2014-07-30 | 2019-12-11 | セイコーエプソン株式会社 | 振動デバイス、電子機器及び移動体 |
| US20160050210A1 (en) * | 2014-08-14 | 2016-02-18 | Realtaasa, Inc. | Method and system for maintaining privacy in a machine directed workflow for the purpose of creating a set of authorized users |
| EP3770781B1 (en) * | 2014-09-30 | 2022-06-08 | Citrix Systems, Inc. | Fast smart card logon and federated full domain logon |
| US10021137B2 (en) * | 2014-12-27 | 2018-07-10 | Mcafee, Llc | Real-time mobile security posture |
| US9680646B2 (en) * | 2015-02-05 | 2017-06-13 | Apple Inc. | Relay service for communication between controllers and accessories |
| US9537865B1 (en) * | 2015-12-03 | 2017-01-03 | International Business Machines Corporation | Access control using tokens and black lists |
-
2016
- 2016-11-14 US US15/350,912 patent/US10333930B2/en active Active
-
2017
- 2017-10-04 JP JP2019525850A patent/JP6963609B2/ja active Active
- 2017-10-04 BR BR112019009717A patent/BR112019009717A2/pt not_active Application Discontinuation
- 2017-10-04 WO PCT/US2017/055103 patent/WO2018089136A1/en active Application Filing
-
2019
- 2019-05-08 IL IL266535A patent/IL266535B/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019536157A (ja) | 2019-12-12 |
| IL266535A (en) | 2019-07-31 |
| US10333930B2 (en) | 2019-06-25 |
| BR112019009717A2 (pt) | 2019-08-13 |
| US20180139205A1 (en) | 2018-05-17 |
| IL266535B (en) | 2022-03-01 |
| WO2018089136A1 (en) | 2018-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6963609B2 (ja) | 透過性多要素認証およびセキュリティ取り組み姿勢チェックのためのシステムおよび方法 | |
| US11831642B2 (en) | Systems and methods for endpoint management | |
| EP1914658B1 (en) | Identity controlled data center | |
| US8997196B2 (en) | Flexible end-point compliance and strong authentication for distributed hybrid enterprises | |
| US9166966B2 (en) | Apparatus and method for handling transaction tokens | |
| US8572686B2 (en) | Method and apparatus for object transaction session validation | |
| US8806602B2 (en) | Apparatus and method for performing end-to-end encryption | |
| US8752157B2 (en) | Method and apparatus for third party session validation | |
| US8572690B2 (en) | Apparatus and method for performing session validation to access confidential resources | |
| US8572724B2 (en) | Method and apparatus for network session validation | |
| Song et al. | Trustcube: An infrastructure that builds trust in client | |
| US11177958B2 (en) | Protection of authentication tokens | |
| US8572688B2 (en) | Method and apparatus for session validation to access third party resources | |
| US8584201B2 (en) | Method and apparatus for session validation to access from uncontrolled devices | |
| Kim et al. | Security analysis and bypass user authentication bound to device of windows hello in the wild | |
| US20130047262A1 (en) | Method and Apparatus for Object Security Session Validation | |
| US8726340B2 (en) | Apparatus and method for expert decisioning | |
| US8601541B2 (en) | Method and apparatus for session validation to access mainframe resources | |
| US8572687B2 (en) | Apparatus and method for performing session validation | |
| CN114021094A (zh) | 远程服务器登录方法、电子设备及存储介质 | |
| Lee et al. | Builds Trust in Client |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190711 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201001 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20201222 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210401 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210915 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211015 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6963609 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |