CN104718526B - 安全移动框架 - Google Patents
安全移动框架 Download PDFInfo
- Publication number
- CN104718526B CN104718526B CN201380028861.4A CN201380028861A CN104718526B CN 104718526 B CN104718526 B CN 104718526B CN 201380028861 A CN201380028861 A CN 201380028861A CN 104718526 B CN104718526 B CN 104718526B
- Authority
- CN
- China
- Prior art keywords
- service
- user equipment
- remote user
- enterprise
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
Abstract
能够安全地连接运行在移动设备上的应用至企业内的服务的安全移动框架的系统和方法被描述。多个实施例提供安全化数据以及在移动设备与来自可靠授权的网关访问的端点服务之间的通信以用于认证、异常检测、欺诈检测和策略管理的机制。一些实施例提供了用于服务器和客户端安全机制的整合,将用户/应用/设备与多个加密机制和加密服务一起绑定。例如,安全移动框架提供了移动设备上的安全容器、安全文件、虚拟文件系统分区、多级的认证方法(例如,访问移动设备上的安全容器,并访问企业服务),以及在服务器端的欺诈检测系统。
Description
相关申请交叉引用
本申请要求于2012年3月30日提交的美国临时申请61/618,511以及于2013年3月29日提交的美国临时申请61/806,763的优先权,两者的全部内容通过引用在此并入用于所有目的。
技术领域
本发明的各种实施例总体上涉及移动设备。更具体地,本发明的一些实施例涉及一种安全移动框架,用于将运行在移动设备上的应用与企业内的服务安全地连接。
背景技术
许多公司或企业要么给雇员提供移动设备(如,智能手机、平板电脑等)或允许雇员携带自己的移动设备。然而,允许雇员通过移动设备访问公司内的服务增加了公司所面临的潜在安全漏洞。例如,如果一个雇员丢失了他/她的移动设备,未授权方可以检索该电话上的任何未受保护的数据,并可以有可能访问该公司内的服务。作为另一个实例,如果该雇员离开公司,并且不交回移动设备,前雇员仍然可以有可能访问存储在设备上或者在公司内的敏感数据。
为了减少这种类型的未经授权的访问,许多公司都使用移动设备管理(MDM)策略来限制移动设备的控制,从而降低能够与企业内的服务建立连接的移动设备的潜在的安全风险。由企业建立的MDM策略通过对移动设备的配置设置的管理以控制和保护数据。为了管理配置设置,隔空编程(OTA)的功能经常被使用。OTA的使用允许企业远程配置单个移动设备或移动设备的整个机群,以发送软件和操作系统(OS)更新,并且当它发生丢失或被盗等情况时,远程锁定和清空设备以保护存储在设备上的数据。
然而,通过MDM策略所施加的限制对于以个人身份使用该设备的用户可能是不方便的。例如,MDM策略可能要求移动设备自动锁定,并在移动设备被解锁之前提示用户提供具有特定的一组特性的密码。用户可能会认为这些限制是讨厌的。正因为如此,传统的移动设备管理造成了许多挑战和低效率。
发明内容
能够安全地连接运行在移动设备上的应用至企业内的服务(例如,电子邮件服务、交易服务或预约服务)的安全移动框架的系统和方法被描述。在一些实施例中,在与企业相关联的网关接收来自远程设备的认证请求,以访问由该企业提供的服务。该请求可来自在所述远程设备上运行的企业管理的应用。框架认证令牌和安全策略(例如,用于应用和/或数据的安全容器的密码结构、密码期限、访问控制等)可以被生成。
该安全策略可以是基于由企业提供的远程设备请求访问的服务。接着该框架认证令牌和安全策略可以被发送至所述远程设备,以在生成连接请求以连接到企业内的服务之前,该远程设备确保符合该安全策略。该连接请求可以是基于该框架认证令牌和安全策略。服务认证器确定是否在远程设备上运行的应用被授权访问服务。一些实施例监控企业管理的应用和服务之间的交互。当检测到在移动设备和/或网关上违反一个或多个欺诈策略,提高的认证请求可被生成。
在一些实施例中,接收的请求可以是来自启动设备以建立在该启动设备上运行的企业管理的应用和企业服务之间的服务连接。该请求包括与终端用户相关联的认证证书。框架认证令牌可被生成并发送到该启动设备,其中当收到时该启动设备基于该认证令牌而启动服务连接请求。在服务连接请求的成功验证(例如,授权和认证)后,安全连接可以在企业服务和启动设备之间被创建。任何使用所存储的连接发送至启动设备的数据可被存储在安全容器内,该安全容器仅可由企业管理的应用访问。
本发明的实施例还包括包含指令集合的计算机可读存储介质,以引起一个或多个处理器执行本文所描述的方法、该方法的变形,以及其它操作。
在各个实施例中,系统可以包括网关、认证器、令牌产生器、通信模块、发现服务,和/或欺诈检测模块。该网关可以被配置为提供远程设备访问到企业的服务。在一些实施例中,该网关可以包括多个级别,其中每一个提供分离的认证协议和活动记录。该远程设备可以具有存储在其上由企业管理的一个或多个应用。该认证器可以被配置为确定用户是否被授权访问企业以及构建关于一个或多个应用的管理的策略。
该令牌生成器可以被配置为生成一个或多个令牌(例如,认证令牌、用户绑定令牌,和/或框架认证令牌),用于创建由企业管理的一个或多个应用和服务器之间的安全连接。该令牌可以是基于各种标识符,例如但不限于以下内容:用户标识符、设备标识符、设备类型标识符、应用族标识符等。一些令牌可能包括其它的令牌的绑定。例如,在一个实施例中,框架认证令牌可以是基于企业认证令牌、用户绑定令牌,和/或框架认证令牌到期日期。在一些实施例中,一个或多个令牌可以用密码被保护(如,数字签名),其允许该系统检测令牌是否被篡改或改变。
该通信模块可以被配置成将使该策略发送至该远程设备。发现服务可以被配置为确定企业的哪个服务与一个或多个应用进行连接。异常检测器可以被配置为监控远程设备和服务器之间的活动并生成在活动中的异常指标。例如,异常检测器可以监控用户的IP速度、失败登录尝试次数等。
尽管公开了多个实施例,本发明的其它实施例从下面详细描述中对于本领域技术人员而言仍将变得明显,其示出并描述了本发明的示例性实施例。如将要认识到,本发明能够在各个方面进行修改,所有这些都不脱离本发明的范围。因此,附图和详细描述应被视为示例性的而非限制性的。
附图说明
本发明的实施例将通过使用附图被描述和解释,其中:
图1所示是本发明的一些实施例可以被利用的基于网络的环境的示例;
图2所示是根据本发明的一个或多个实施例用于在企业管理的应用和企业服务之间创建绑定的一组示例性操作的流程图;
图3所示是可以被使用的根据本发明各个实施例的安全移动框架的一般体系结构;
图4所示是根据本发明的一些实施例的用于授权企业管理的应用的一组示例性操作的流程图;
图5所示是根据本发明的一个或多个实施例的在企业服务和在远程设备上运行的企业管理的应用之间创建安全通道的一组示例性操作的流程图;
图6所示是与本发明的多个实施例一起使用的建立在安全移动框架上的应用的示例;
图7所示是根据本发明的一些实施例的访问企业内的服务的远程设备;
图8所示是根据本发明的一个或多个实施例的在设备应用和企业之间的初始认证流程的时序图;
图9所示是根据本发明的多个实施例的在设备应用和企业之间的连续的认证流程的时序图;以及
图10所示是本发明的实施例可以利用的计算机系统的示例。
附图未必按比例绘制。例如,图中的一些元件的尺寸可以被扩大或者缩小以提高对本发明的实施例的理解。类似地,出于本发明的某些实施例的讨论的目的一些组件和/或操作可以被分成不同的块或者组合成单块。而且,虽然本发明服从各种修改和替代形式,已经在附图中通过示例的方式示出并且在下面详细的描述了特定实施例。然而,不将本发明限于所描述的特定实施方式。相反,本发明旨在覆盖落入由所附权利要求所限定的本发明的范围内的所有修改、等同物以及替代方案。
具体实施方式
本发明的各种实施例总体上涉及一种安全移动框架,能够将运行在移动设备上的应用与企业内的服务建立安全连接。由企业提供的服务的一些例子包括,但不限于,电子邮件服务、交易服务、支付处理服务、客户关系管理服务、库存系统服务、商业智能服务、医疗保健服务、学生信息服务、预订服务、安全服务,和/或包含敏感信息的其它服务。根据一些实施例,安全移动框架提供软件库和服务组件的集合,这向软件开发者提供了在非企业移动设备上建立安全应用的能力。安全移动框架可以通过隔离区(DMZ,demilitarized zone)类型的构架的手段,与具有与公共网络具有防火墙内容、服务和网络的企业联合使用。因此,许多企业的现有的认证和授权系统可以被利用。客户端和服务器库可以被利用或扩展以在客户端和服务器应用内提供安全存储和通信。
还有一些企业通过其内部策略或法规需要确保企业内容和通信受到保护、管理和监控。通常用于由企业管理的设备,上述控制要求是直接通过设备和操作系统(OS)管理来实现的。然而,对于不是由企业管理的、不能直接连接到企业网络的设备,有必要确保相同的控制被应用到在这些未被管理的设备上运行的企业应用。
根据各种实施例,安全移动框架可以提供一个或多个以下特征以连接和利用企业内的服务:1)以受保护的方式在设备上存储企业内容的机制,从而该企业内容仅能由被授权的用户访问,可能是离线的,并通过企业策略被管理;2)提供对网关(即框架认证)和对企业服务(即企业认证)的多种认证的机制,向那些授权的企业服务提供安全连接,并通过企业的策略管理每个服务访问;3)管理和支持连接的应用及其从属服务的机制;以及4)动态地检测不期望的或不安全的操作系统环境并通过多步骤的过程进行管理的机制(例如,评估策略、程序的询问、OS的询问,和/或在客户端和/或服务器环境内执行其它检查)。
网关可以生成可被用于认证的一个或多个令牌。例如,在一些实施例中,企业认证令牌(EAT)可以被生成以表示单个或多因素证书,在一有限的时段内,如同已提供单个或多个因素证书,可用于与给定的公司进行认证。用户绑定令牌(UBT)也可以被用于一个或多个实施例中。该UBT可以是用户(身份)、设备(身份)、设备的类型,以及应用族的合并的、唯一的表示。此外,框架认证令牌(FAT)可以在各种实施例中被使用。该FAT可以通过绑定EAT、UBT和到期日期被创建以用于与框架进行认证。FAT这种结构的一个优点是,细节不会被未授权方篡改。
在一些实施例中,安全移动框架的客户端和服务器组件可以被用于检测客户端应用的操作环境的完整性。考虑到客户端应用正在未受管理的操作系统环境中执行,可能需要确定,尽其所能地,确定该环境是否被认为是不安全的。
在下面的描述中,出于解释的目的,对许多特定细节进行了阐述,以便彻底理解本发明的实施例。然而,本发明的实施例可以在没有某些这些具体细节的情况下实施,这对于本领域技术人员而言将是明显的。
尽管,为了方便起见,本发明的实施例参照专用的基于企业的设置被描述,本发明的实施例同样适用于各种其它的操作模式,如基于云的模型。此外,在此介绍的技术可以被表现为专用硬件(例如,电路)、具有通过软件和/或固件适当编程的可编程电路,或专用和可编程电路的组合。因此,实施例可以包括具有存储于其上的指令的机器可读介质,所述指令可用于对计算机(或其它电子设备)进行编程以执行过程。机器可读介质可以包括,但不限于,软盘、光盘、光盘只读存储器(CD-ROM)、磁光盘、ROM、随机访问存储器(RAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM),专用集成电路(ASIC)、磁或光卡、闪存,或其它类型的适于存储电子指令的介质/机器可读介质。
术语
以下给出了贯穿本申请所用的术语、缩写词以及短语的简要定义。
术语“连接”或“耦合”和相关术语在操作意义上被使用,并且未必限于直接的物理连接或耦合。因此,例如,两个设备可以直接地或者经由一个或多个中间媒体或设备来耦合。作为另一示例,设备(例如移动设备、服务器机器)能够以在其间传递信息同时不与彼此共享任何物理连接的这样一种方式来耦合设备。基于本文所提供的公开内容,本领域普通技术人员将了解根据前述定义存在的连接或耦合的各种方式。
短语“在某些实施例中”、“根据各种实施例”、“在所示出的实施例中”、“在其它实施例中”等类似的短语一般意味着跟随该短语之后的特定特征、结构或特性被包括在本发明的至少一个实施例中,且可能被包括在多于一个实施例中。此外,这样的短语未必指的是相同的实施例或者指的是不同的实施例。
如果本说明陈述组件或特征“可以”、“能够”、“可能”或“也许”被包括或者具有特性,则不要求该特定组件或特征被包括或者具有该特性。
术语“模块”是泛指软件、硬件、固件或服务(或其任何组合)组件。模块通常是功能性组件,通过使用特定输入可以生成有用的数据或其它输出。模块可以是或可以不是独立的。应用程序(也称为“应用”),可以包括一个或多个模块,或者一个模块可以包括一个或多个应用程序。
概述
图1示出了本发明的一些实施例可以被利用的基于网络的环境100的示例。如图1所示,各种企业管理的应用110A-110N可以被运行在用户设备120A-120N上。根据本发明的各种实施例,用户设备120A-120N可以是或不是由企业管理。用户设备120A-120N可以包括可被用来访问在企业内的服务和数据的企业管理的应用110A-110N。用户设备120A-120N可以使用网络140从企业内的服务提交和检索信息。用户设备120A-120N可以通过运行在设备的本地操作系统,如或ANDROIDTM上的应用程序接口(API),与各种企业服务交互。
网关130管理对企业管理的应用110A-110N和用户设备120A-120N的访问。网关130可以被用来核实并建立企业管理应用110A-110N和由企业提供的业务特定的服务之间的信任关系。例如,在一些实施例中,由企业管理的应用110A-110N最初提交的数据和请求通过网络140在该设备和网关130之间传送。一旦网关130对设备的安全性是满意的,则网关130可打开一通道至应用管理平台150和企业服务160内的一些业务特定的服务。网关130和应用管理平台150内的服务可以具有安全和检查的多个独立的层。
用户设备120A-120N可以是任何能够接收用户输入,以及通过网络140发送和/接收数据的计算设备。在一个实施例中,用户设备120A-120N可以是任何具有计算机功能的设备,例如个人数字助理(PDA)、移动电话、智能电话、平板电脑、可穿戴式移动计算机、体搭载的计算机或类似设备。用户设备120A-120N可以被配置为通过网络140通信,其可以包括通过使用有线和/或无线通信系统的局域网和/或广域网的任何组合。在一个实施例中,网络140使用标准通信技术和/或协议。因此,网络140可以包括链路,通过使用例如以太网、802.11、全球微波互联接入(WiMAX)、3G、4G、CDMA、数字用户线路(DSL)等技术。
类似地,网络140的各个层中使用的网络协议可包括多协议标签交换(MPLS)、传输控制协议/因特网协议(TCP/IP)、用户数据报协议(UDP)、超文本传输协议(HTTP)、超文本传输协议安全(HTTPs),简单邮件传输协议(SMTP)、文件传输协议(FTP)、安全文件传输协议(SFTP),和/或其它网络协议。在网络140上进行数据交换可以通过使用技术和/或格式,包括超文本标记语言(HTML)或可扩展标记语言(XML)来表示。此外,所有或某些链路可以使用常规的加密技术,如安全套接层(SSL)、传输层安全性(TLS)和因特网协议安全(IPsec)进行加密。
图2所示是根据本发明的一个或多个实施例用于在企业管理的应用和企业服务之间创建绑定的一组示例性操作200的流程图。如图2所示,安装操作210在一远程设备上安装企业控制的应用。该应用可以通过该装置的终端用户、企业的个人或其它来源来安装。例如,在一些实施例中,该应用可以被远程地安装或从应用商店下载。一旦应用被安装,认证操作220可以提示远程设备的用户提供一组可对框架进行认证的证书。各种安全协议和标准(例如,密码、通行码、基于时间的令牌、加密的数据、自动锁定等)可以被用作远程设备和应用安全性和认证过程的一部分。
各种认证和安全检查是在认证操作230的过程中在企业被执行。在一些实施例中,例如,一旦来自用户的一组证书被接收,授权请求可以从远程设备(即客户端)被发送至网关服务器。网关服务器可以确定目前应该在远程设备被应用的策略并且从网关服务器发送策略信息至远程设备。然后,该设备的特性可以被检查且新的容器证书可以在需要时被获取。如果网关确定该应用应能够访问企业内的一个或多个服务器,创建操作240可以被用来创建应用和企业服务之间的绑定。
图3示出了根据本发明各个实施例的安全移动框架的一般体系结构300。安全移动框架组件可以被用来管理和保护存储在移动设备305上的企业内容。在一些实施例中,移动设备305可以包括安全存储310、策略320,和/或用于移动应用315的认证存储325。移动应用315可以具有位于应用下的虚拟文件系统。在一些实施例中,移动应用315可以使用或生成一个或多个临时密钥,其可以具有多个组成组件。临时密钥可以被分配到虚拟文件系统的每个分区,以用其自己的密钥对每一个文件进行加密。
安全存储310可以在移动设备305上安全地在本地存储企业数据。安全存储310可以包括一组被保护的文件,该组文件被作为单一的单元通过策略320来管理。在一些实施例中,企业内容可以被存储在加密文件中,并通过随机访问的方法被访问。此外,各种机制可用于设置以每个文件的基础上的加密块大小,同时维持用于辅助客户端和服务之间的同步内容的边车索引文件(sidecar index file,连接索引文件)。受保护的文件被保存在安全分区内,其使用一单独的加密主文件来保存每个文件的加密密钥和应用文件名与模糊文件名之间的转换。这种安全文件分区机制不仅可被用于直接安全化应用内容,而且可被用作设备上承载的数据库服务器的虚拟文件系统,用于客户支持的记录和遥测数据。
策略320可以是由应用315应当符合的由企业所建立的应用(或应用族)专用的安全策略。应用族一般指通过一公共策略管理的一组应用,该共同策略是用于给定的用户在给定的设备上共享授权访问和认证信息。策略310可包括用于授权、认证和安全化在设备上的数据的安全变量的值。例如,策略320可以包括密码结构,设备可保持与网关断开多长时间,用户可以输错密码的次数,以及其它安全变量。
安全文件分区的进一步实例是认证存储325,其可以包含认证证书(例如,令牌和断言)、策略的详细信息,以及用于加密所有其它安全文件分区主文件的主加密密钥。认证存储主文件存储可以由根据用户的密码或短语生成的临时密钥进行加密。此外,认证存储325可以在设备上的多个应用之间共享,以形成用于企业访问和共享加密内容的公共存储。
一旦应用315和相应的组件被安装在移动设备305上,应用315可以在通过一个或多个设备的安全检查后,请求访问在服务器330上或虚拟机器335上运行的企业内的一个或多个内部服务。来自应用315的请求第一次在外围网关340被接收,在那里在允许应用访问中间层345之前,第一轮认证被建立。中间层345对用户进行认证且确保通过应用315被执行的策略是最新的。此外,移动设备的遥测和配置设置可以在数据库350中被集中、处理、分析、评估和/或记录。该信息可以是在创建(例如,在实时或接近实时)各项欺诈的指标或异常检测中有用的。中间层345也允许应用315登录到移动应用存储350。此外,代理355可被用作应用315和服务器330之间的中介。
图4示出根据本发明的一些实施例的用于授权企业管理的应用的一组示例性操作400的流程图。在接收操作410的过程中,来自企业管理的应用的请求可以被接收。该请求可以识别应用将要连接的企业内的指定的服务。初始化操作420启动与外围网关的安全连接。然后外围网关可以通过使用策略核实操作430确保在该设备上操作的策略是最新的,且通过用户核实操作440确保用户仍被授权访问企业服务。
如果策略和用户被验证成功,则验证操作450在网关验证用户的认证证书。企业的证书接着在提交操作460的过程中被传递到目标服务,在提交操作460的过程中认证和授权在核实操作470的过程中发生。基于成功的认证,绑定操作480在应用和指定的服务之间创建绑定。
图5所示是根据本发明的一个或多个实施例的在企业服务和在远程设备上运行的企业管理的应用之间创建安全通道的一组示例性操作500的流程图。如图5所示,在启动操作510的过程中,用户使运行在客户端设备上的企业管理的应用启动。应用提示用户一组容器证书。一旦从用户处接收该证书,客户端设备使用加密操作520以加密数据和与企业的服务器网关的通信。
企业管理的应用可以使用框架认证令牌(FAT)与网关进行认证,以及企业认证令牌(EAT)与服务进行认证。验证操作530确定(例如,使用框架认证系统)FAT的有效性。然后,服务器授权方然后可以构建一个或多个令牌,用于创建与企业服务的安全连接。例如,在一些实施例中,服务器授权方可以创建用户绑定令牌(UBT)由用户ID、应用ID和设备ID组成。另外,FAT可以通过绑定UBT、EAT和到期日期被创建。此外,该服务器授权方可以确定用户是否被授权访问该企业。安全移动架构服务器可以基于用户可交互的企业服务而构建策略。策略中的信息可以包括FAT到期日期,用户必须在FAT到期时执行的企业认证的类型,和其它被用于保护在移动设备上的数据安全的策略信息。接着安全移动框架服务器网关可以响应具有FAT和策略的移动设备。
调用客户端(如移动设备)可以使用认证存储以保存FAT和策略内容。然后,应用可以使用生成操作540以在策略实施核实后生成连接请求。然后创建操作550创建在企业管理的应用和企业服务之间安全通道。例如,应用可以要求客户端安全移动框架通过使用某个规范名称与一特定的企业服务连接。然后,该框架可在相同连接上将服务名称同UBT一起发送到安全移动框架服务器服务认证器。该服务认证器确定UBT是否被允许连接到该目标。
接着安全移动框架服务器服务路由器可以将规范名称映射到服务的真实地址,并建立连接。一旦企业认证被成功完成,该移动应用现在可以自由地在安全的通道上通信。对随后的连接请求,应用可能会要求安全移动框架使用某些规范名称以连接到一特定的服务。然后,安全移动框架可以将UBT和EAT与服务名称一起发送至安全移动框架网关。在一些实施例中,下一次该应用尝试与该服务建立连接时,可以使用该信息,而不是用户输入企业证书,至少到该FAT到期。
图6所示与本发明的多个实施例一起使用的建立在安全移动框架上的应用的示例。如图6所示,网络浏览器605表示能够生成可被封装在一自定义协议内的标准HTTP/S请求的网络浏览器的一个实现。网络浏览器605可以使用通信API 610以建立与该网关的连接。在一些实施例中,通信API 610可以被建立在安全套接层(SSL)之上以访问安全工厂API615用于认证用户。典型的基于网络的应用要求数据的存储,如与服务器共享的信息记录程序和历史的URL。如图6所示的网络浏览器实现使用存储API 620和安全文件分区管理器以在利用操作系统底层文件系统625之前加密数据。
通信API 610获得用户的原始证书或保存的令牌(FAT)以通过使用安全密钥存储630与企业网关建立连接。例如,在接收用户证书后,安全密钥可以从安全密钥存储630中被检索。该密钥可以被用来访问密钥链630,之后框架的子组件可被初始化。系统管理635可以检索来自设备/应用的与该应用相关联的当前策略的标识。通过使用策略管理640,可以确定与该应用相关联的策略是否是最新的或需要被更新。系统管理635可以确保适当的记录、虚拟文件系统管理,和页面缓存的发生。
当成功授权和认证后,网关请求来自通信API 610的策略和设备信息。在成功的验证后,网关可以绑定至网络浏览器代理服务的连接,能够在企业内进行HTTP/S调用。然后网络浏览器605可以通过这个通道发送封装的HTTP/S请求。
图7所示是根据本发明的一些实施例的访问企业内的服务器710的远程设备705。如图7所示,本发明的各种实施例允许远程设备705通过多级认证过程来访问企业。例如,为了连接到在企业内的服务器710上运行的端点服务,容器认证、框架认证和企业认证在一些实施例中应该都被成功地完成。许多传统的认证系统将要求为了在移动设备上使用应用,用户通常输入密码来解锁该设备,然后提供用户名和密码来对远程服务进行认证。与此相反的是,各种本发明的实施例在允许对在设备上的数据进行访问或与远程服务进行连接之前使用多个安全层。
在启动应用715后,请求被发送到远端移动内容网关720。远端移动内容网关720的主堆栈725内用户及设备的验证和授权可以被确认。例如,在一些实施例中,企业认证系统730(例如,或KerberosTM)都可以被使用。在一些实施例中,认证过程可以包括用户名、白名单检查、策略检查,和/或目标检查。此外,设备的遥测和配置都可以被监控,并发送到第二中间认证层。这些允许用户、设备和应用被认证。
一旦用户、设备和应用已被认证,可以与服务器710建立连接。许多实施例使用各种令牌,该令牌在用于与服务器710建立连接的用户、设备和应用的认证过程中被创建。远端移动内容网关720可以与移动网关服务735建立连接用于在企业内的服务器访问的附加认证服务。例如,在一些实施例中,用户可以输入密码或在应用715内的其它认证证书,用于解密本地存储在设备上的数据。然后,用户可以向运行在远程环境上的网关过程提交FAT。该网关过程使用FAT以授权和认证用户和设备。然后,为了访问任何特定的服务,用户会向远程服务呈现EAT。在一些实施例中,在执行一个或多个认证的可插入的形式之后(例如,时间码+个人识别码、生物识别、密码等),FAT和EAT可以被本地存储在设备上。
在一些实施例中,认证的形式可以在预定义的时间表上(例如,周期的),或基于一个或多个事件的检测进行轮换。例如,网关可以安全地发送当前认证表格至移动设备以存储在安全存储中。而图7示出的例子,例如可以被使用的安全连接HTTPS和TLS,本发明的其它实施例可以使用不同的协议,用于在系统组件之间创建传送消息和数据的连接。
图8所示是根据本发明的一个或多个实施例的在设备应用和企业之间的初始认证流程的时序图。如图8所示,用户启动一设备应用。完整性检测过程被用于确定所期望的操作系统完整性是否存在。例如,完整性检测过程可确定该设备是否是在提高的未经授权的特权(例如,底层操作(rooting)或越狱)模式中操作。该设备应用请求节点标识符(如KerberosTM ID)和认证密码。在某点获得来自设备的设备标识符。然后初始的认证请求可以被提交(例如,使用安全连接)至远端内容网关。该初始认证请求可以包含认证密码、设备标识符、应用族、设备类型,和/或其它信息。接着远端内容网关可以发送认证请求至认证服务。一旦认证服务对用户进行认证,UBT通过移动授权服务被登记。
移动授权服务可以授权访问、生成UBT,并存储设备的标识符、用户名、应用族和UBT。在返回策略、UBT和数字签名至远端内容网关之前,移动授权服务签署UBT和认证令牌。然后远端内容网关生成一个FAT,该FAT与策略、UBT和数字签名一起被返回到设备应用。在某些情况下,策略可能需要设备的应用请求用于安全容器的新密码。然后FAT,UBT和数字签名可以被存储在可用密码锁定的安全容器内。
图9所示是根据本发明的多个实施例的在设备应用和企业之间的连续的认证流程的时序图。在图9所示的实施例中,一用户启动设备的应用。然后操作系统完整性检查(例如,越狱检测过程)可以被用于确定操作系统的完整性是否受到损害。如果操作系统完整性检查确定该操作系统并不如预期,那么应用将不会被允许与网关连接。如果操作系统的完整性是如预期,设备应用检索来自用户的安全容器密码并解锁安全容器以检索当前的策略。该设备应用检查策略的实施,并连接到远端内容网关。远端内容网关检查UBT和认证令牌的数字签名。远端内容网关还可以检查目录以确定用户名的状态以及UBT是否是在白名单上。
设备的应用提交企业服务的规范名称至该设备想要连接的设备。远端内容网关使用目标服务模块,以确定是否UBT被允许连接到该服务。如果UBT被允许连接,远端内容网关绑定连接至企业服务,或者服务的代理。成功的代码是与最新的策略版本一起被从远端内容网关返回至设备应用。该设备应用检查刚返回的策略版本是否高于从安全容器检索的策略。如果策略版本较高,那么新的策略被应用。然后FAT可以从安全容器被检索,且与远端内容网关的会话可以被启动。
示例性计算机系统概述
本发明的具体实施例包括各种步骤和操作,这在上面已经描述。各种这些步骤和操作可以由硬件组件来执行,该硬件组件是指在本发明的实施例中使用的移动设备、服务器或其它计算机系统的部分。在一些实施例中,这些步骤和操作可以被表现为机器可执行指令,其可以被用于引起由指令编程的通用或专用处理器来执行步骤。可替换地,这些步骤可以由硬件、软件和/或固件的组合来执行。像这样,图10所示是本发明的实施例可以利用的可能被用于作为计算机系统1000的部分的一些组件。如图10所示,该计算机系统包括:总线1010、至少一个处理器1020、至少一个通信端口1030、一个主存储器1040、可移动存储介质1050、只读存储器1060和大容量存储器1070。在一些情况中,计算机系统1000可能不会包括任何本地存储器,例如可移动存储介质1050、大容量存储器1070,或者类似的组件。
处理器1020可以是任何已知的处理器,比如,但不限于, 或处理器,或或处理器,基于ARM的处理器或处理器的线路。通信端口1030可以是任何一个用于与调制解调器的拨号连接的RS-232端口、10/100以太网端口,或使用铜缆或光纤的千兆位端口。通信端口1030可以根据网络例如局域网(LAN)、广域网(WAN)或者任何与计算机系统1000连接的网络进行选择。
主存储器1040可以是随机访问存储器(RAM),或任何其它在本领域中公知的动态存储设备。只读存储器1060可以是任何静态存储设备,例如可编程只读存储器(PROM)芯片,用于存储静态信息诸如用于处理器1020的指令。
大容量存储器1070可以被用于存储信息和指令。例如,也可以使用硬盘例如家族的SCSI驱动器、光盘、磁盘阵列如RAID,如Adaptec家族的RAID驱动器,或者任何其它的大容量存储设备。
总线1010将处理器1020与其它存储器、存储设备和通信模块通信耦合。总线1010可以是基于PCI/PCI-X或基于SCSI的系统总线,取决于所使用的存储设备。
可移动存储介质1050可以是任何类型的外部硬盘驱动器、软盘驱动器、Zip驱动器,只读光盘存储器器(CD-ROM)、可复写式光盘(CD-RW),或数字只读光盘存储器(DVD-ROM)。
以上描述的部件意在举例说明某些类型的可能性。上述实施例决不应当限制本发明的范围,因为它们仅是示例性实施例。此外,一些通过本发明的实施例设想的计算机系统(例如,服务器、客户端、移动设备等)可以不包括所有这些组件。此外,一些计算机系统可以包括不同于图10中所示那些的配置和/或附加组件。例如,一些计算机系统(例如,移动设备)可以包括GPS单元和各种类型的I/O设备(例如,触摸屏、眼睛跟踪模块、自然语言处理器、液晶显示器(LCD)、键盘等)。
综上所述,本发明提供了新颖的系统、方法和安排用于企业管理的应用的安全移动架构。尽管本发明的一个或多个实施例的详细描述已经在上面给出,各种替换、修改和等同物对于本领域技术人员而言将是明显的,而不脱离本发明的精神。例如,尽管上面描述的实施例涉及特定的特征,本发明的范围还包括具有特征的不同组合的实施例,和没有包括所有已描述的特征的实施例。
Claims (25)
1.一种能够安全地连接运行在移动设备上的应用至企业内的服务的安全移动框架的方法包括:
在与企业相关联的网关接收来自远程用户设备的认证请求,以访问由所述企业提供的服务,其中所述认证请求来自在所述远程用户设备上运行的由企业管理的应用,
其中所述认证请求包括密码、远程用户设备标识符、应用族以及设备类型;
使用接收的密码、远程用户设备标识符、应用族和设备类型生成框架认证令牌,以及基于由所述企业提供的所述远程用户设备请求访问的服务生成安全策略;
发送所述框架认证令牌和所述安全策略至所述远程用户设备,其中在生成连接请求以连接到所述服务之前,所述远程用户设备确保符合所述安全策略;以及
基于所述框架认证令牌和所述安全策略,从所述远程用户设备接收所述连接请求,其中服务认证器确定所述远程用户设备是否被授权以访问所述服务。
2.根据权利要求1所述的方法,进一步包括基于用户标识符和应用标识符生成用户绑定令牌。
3.根据权利要求2所述的方法,其中生成所述框架认证令牌包括绑定企业认证令牌、所述用户绑定令牌和框架认证令牌到期日期。
4.根据权利要求3所述的方法,进一步包括对所述框架认证令牌进行数字签名。
5.根据权利要求1所述的方法,进一步包括:
执行操作系统完整性检查,以确定期望的操作系统完整性是否存在;以及
如果所述期望的操作系统完整性不存在,拒绝所述远程用户设备访问所述网关。
6.根据权利要求1所述的方法,其中所述远程用户设备包括用于存储与所述服务相关的数据的安全容器,以及所述安全策略提供一组指示用于所述应用和安全容器的访问控制的要求。
7.根据权利要求6所述的方法,其中所述框架认证令牌被存储在所述安全容器内。
8.根据权利要求6所述的方法,其中对所述安全容器的访问取决于用户证书的成功验证和成功的操作系统完整性检查。
9.根据权利要求1所述的方法,其中所述安全策略基于所述服务识别密码结构和密码期限。
10.根据权利要求1所述的方法,进一步包括:
监控在所述企业管理的应用和所述服务之间的交互;以及
基于违反一个或多个欺诈策略,生成提高的认证请求或对所述网关和所述服务访问的终止。
11.根据权利要求1所述的方法,其中所述服务包括电子邮件服务、交易服务、支付处理服务、客户关系管理服务、库存系统服务、商业智能服务、医疗保健服务、学生信息服务,或预订服务。
12.根据权利要求1所述的方法,其中所述服务包括安全服务或包含敏感信息的服务。
13.一种能够安全地连接运行在移动设备上的应用至企业内的服务的安全移动框架的系统,包括:
接收模块,用来接收来自远程用户设备的认证请求,以访问由企业提供的服务,其中所述认证请求来自在所述远程用户设备上运行的由企业管理的应用,所述认证请求包括密码、远程用户设备标识符、应用族以及设备类型;
生成模块,用来使用接收的密码、远程用户设备标识符、应用族和设备类型生成框架认证令牌以及基于由所述企业提供的所述远程用户设备请求访问的服务生成安全策略;
发送模块,用来发送所述框架认证令牌和所述安全策略至所述远程用户设备,其中在生成连接请求以连接到所述服务之前,所述远程用户设备确保符合所述安全策略;以及
所述接收模块还用于基于所述框架认证令牌和所述安全策略接收所述连接请求,其中服务认证器确定所述远程用户设备是否被授权以访问所述服务。
14.根据权利要求13所述的系统,所述生成模块还用于基于用户标识符和应用标识符生成用户绑定令牌。
15.根据权利要求14所述的系统,其中所述生成模块还包括,生成所述框架认证令牌时绑定企业认证令牌、所述用户绑定令牌和框架认证令牌到期日期。
16.根据权利要求15所述的系统,还包括数字签名模块,用于对所述框架认证令牌进行数字签名。
17.根据权利要求13所述的系统,还包括完整性检查模块,用于执行操作系统完整性检查,以确定期望的操作系统完整性是否存在;以及如果所述期望的操作系统完整性不存在,拒绝所述远程用户设备访问。
18.根据权利要求13所述的系统,其中所述远程用户设备包括用于存储与所述服务相关的数据的安全容器,所述安全策略提供一组指示用于所述应用和安全容器的访问控制的要求。
19.根据权利要求18所述的系统,其中所述框架认证令牌被存储在所述安全容器内。
20.根据权利要求18所述的系统,其中对所述安全容器的访问取决于用户证书的成功验证和成功的操作系统完整性检查。
21.根据权利要求13所述的系统,其中所述安全策略基于所述服务识别密码结构和密码期限。
22.根据权利要求13所述的系统,还包括监控模块,用于:
监控在所述企业管理的应用和所述服务之间的交互;以及
基于违反一个或多个欺诈策略,生成提高的认证请求或对网关和所述服务访问的终止。
23.根据权利要求13所述的系统,其中所述服务包括电子邮件服务、交易服务、支付处理服务、客户关系管理服务、库存系统服务、商业智能服务、医疗保健服务、学生信息服务,或预订服务。
24.根据权利要求13所述的系统,其中所述服务包括安全服务或包含敏感信息的服务。
25.一种能够安全地连接运行在移动设备上的应用至企业内的服务的安全移动框架的系统,包括:
处理器;
通信端口,用于接收来自远程用户设备的认证请求,以访问由企业提供的服务,其中所述认证请求来自在所述远程用户设备上运行的由企业管理的应用,所述认证请求包括密码、远程用户设备标识符、应用族以及设备类型;
框架认证系统,由所述处理器控制,用于使用接收的密码、远程用户设备标识符、应用族和设备类型生成框架认证令牌,以及基于由所述企业提供的所述远程用户设备请求访问的服务生成安全策略,其中所述框架认证系统使用所述通信端口以发送所述框架认证令牌和所述安全策略至所述远程用户设备,其中在生成连接请求以连接到所述服务之前,所述远程用户设备确保符合所述安全策略;以及
服务认证器,在收到基于所述框架认证令牌和所述安全策略的连接请求时,用于确定所述远程用户设备是否被授权以访问所述服务。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261618511P | 2012-03-30 | 2012-03-30 | |
| US61/618,511 | 2012-03-30 | ||
| US201361806763P | 2013-03-29 | 2013-03-29 | |
| US61/806,763 | 2013-03-29 | ||
| PCT/US2013/034853 WO2013149257A1 (en) | 2012-03-30 | 2013-04-01 | Secure mobile framework |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104718526A CN104718526A (zh) | 2015-06-17 |
| CN104718526B true CN104718526B (zh) | 2018-04-17 |
Family
ID=49236902
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380028861.4A Active CN104718526B (zh) | 2012-03-30 | 2013-04-01 | 安全移动框架 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US9565212B2 (zh) |
| EP (1) | EP2831718A4 (zh) |
| JP (3) | JP6004408B2 (zh) |
| CN (1) | CN104718526B (zh) |
| CA (1) | CA2868896C (zh) |
| WO (1) | WO2013149257A1 (zh) |
Families Citing this family (103)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8989705B1 (en) | 2009-06-18 | 2015-03-24 | Sprint Communications Company L.P. | Secure placement of centralized media controller application in mobile access terminal |
| JP5687152B2 (ja) | 2011-08-01 | 2015-03-18 | 三桜工業株式会社 | 配管継手 |
| US9692732B2 (en) * | 2011-11-29 | 2017-06-27 | Amazon Technologies, Inc. | Network connection automation |
| US9027102B2 (en) | 2012-05-11 | 2015-05-05 | Sprint Communications Company L.P. | Web server bypass of backend process on near field communications and secure element chips |
| US8862181B1 (en) | 2012-05-29 | 2014-10-14 | Sprint Communications Company L.P. | Electronic purchase transaction trust infrastructure |
| US9282898B2 (en) | 2012-06-25 | 2016-03-15 | Sprint Communications Company L.P. | End-to-end trusted communications infrastructure |
| US9066230B1 (en) | 2012-06-27 | 2015-06-23 | Sprint Communications Company L.P. | Trusted policy and charging enforcement function |
| US8649770B1 (en) | 2012-07-02 | 2014-02-11 | Sprint Communications Company, L.P. | Extended trusted security zone radio modem |
| KR102059643B1 (ko) * | 2012-07-06 | 2019-12-26 | 삼성전자주식회사 | 디바이스 관리 방법과 서버, 시스템 및 모바일 장치 |
| US8667607B2 (en) | 2012-07-24 | 2014-03-04 | Sprint Communications Company L.P. | Trusted security zone access to peripheral devices |
| US8863252B1 (en) | 2012-07-25 | 2014-10-14 | Sprint Communications Company L.P. | Trusted access to third party applications systems and methods |
| US9183412B2 (en) | 2012-08-10 | 2015-11-10 | Sprint Communications Company L.P. | Systems and methods for provisioning and using multiple trusted security zones on an electronic device |
| US9015068B1 (en) | 2012-08-25 | 2015-04-21 | Sprint Communications Company L.P. | Framework for real-time brokering of digital content delivery |
| US9215180B1 (en) | 2012-08-25 | 2015-12-15 | Sprint Communications Company L.P. | File retrieval in real-time brokering of digital content |
| US8954588B1 (en) | 2012-08-25 | 2015-02-10 | Sprint Communications Company L.P. | Reservations in real-time brokering of digital content delivery |
| GB2525742A (en) * | 2012-09-18 | 2015-11-04 | Cryptomathic Ltd | CRM Security core |
| US9767854B2 (en) | 2013-01-23 | 2017-09-19 | Steven Schoenwald | Video content distribution package |
| US9380324B2 (en) | 2013-01-23 | 2016-06-28 | Steven Schoenwald | Video content distribution package |
| US9578664B1 (en) | 2013-02-07 | 2017-02-21 | Sprint Communications Company L.P. | Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system |
| US9161227B1 (en) | 2013-02-07 | 2015-10-13 | Sprint Communications Company L.P. | Trusted signaling in long term evolution (LTE) 4G wireless communication |
| US9104840B1 (en) | 2013-03-05 | 2015-08-11 | Sprint Communications Company L.P. | Trusted security zone watermark |
| US9613208B1 (en) | 2013-03-13 | 2017-04-04 | Sprint Communications Company L.P. | Trusted security zone enhanced with trusted hardware drivers |
| US8881977B1 (en) | 2013-03-13 | 2014-11-11 | Sprint Communications Company L.P. | Point-of-sale and automated teller machine transactions using trusted mobile access device |
| US9049013B2 (en) * | 2013-03-14 | 2015-06-02 | Sprint Communications Company L.P. | Trusted security zone containers for the protection and confidentiality of trusted service manager data |
| US9049186B1 (en) | 2013-03-14 | 2015-06-02 | Sprint Communications Company L.P. | Trusted security zone re-provisioning and re-use capability for refurbished mobile devices |
| US9021585B1 (en) | 2013-03-15 | 2015-04-28 | Sprint Communications Company L.P. | JTAG fuse vulnerability determination and protection using a trusted execution environment |
| US9374363B1 (en) | 2013-03-15 | 2016-06-21 | Sprint Communications Company L.P. | Restricting access of a portable communication device to confidential data or applications via a remote network based on event triggers generated by the portable communication device |
| US9191388B1 (en) | 2013-03-15 | 2015-11-17 | Sprint Communications Company L.P. | Trusted security zone communication addressing on an electronic device |
| US8984592B1 (en) | 2013-03-15 | 2015-03-17 | Sprint Communications Company L.P. | Enablement of a trusted security zone authentication for remote mobile device management systems and methods |
| US9324016B1 (en) | 2013-04-04 | 2016-04-26 | Sprint Communications Company L.P. | Digest of biographical information for an electronic device with static and dynamic portions |
| US9454723B1 (en) | 2013-04-04 | 2016-09-27 | Sprint Communications Company L.P. | Radio frequency identity (RFID) chip electrically and communicatively coupled to motherboard of mobile communication device |
| US9171243B1 (en) | 2013-04-04 | 2015-10-27 | Sprint Communications Company L.P. | System for managing a digest of biographical information stored in a radio frequency identity chip coupled to a mobile communication device |
| US9838869B1 (en) | 2013-04-10 | 2017-12-05 | Sprint Communications Company L.P. | Delivering digital content to a mobile device via a digital rights clearing house |
| US9443088B1 (en) | 2013-04-15 | 2016-09-13 | Sprint Communications Company L.P. | Protection for multimedia files pre-downloaded to a mobile device |
| US9058503B2 (en) | 2013-05-10 | 2015-06-16 | Successfactors, Inc. | Systems and methods for secure storage on a mobile device |
| US9344426B2 (en) * | 2013-05-14 | 2016-05-17 | Citrix Systems, Inc. | Accessing enterprise resources while providing denial-of-service attack protection |
| US9069952B1 (en) | 2013-05-20 | 2015-06-30 | Sprint Communications Company L.P. | Method for enabling hardware assisted operating system region for safe execution of untrusted code using trusted transitional memory |
| US9560519B1 (en) | 2013-06-06 | 2017-01-31 | Sprint Communications Company L.P. | Mobile communication device profound identity brokering framework |
| US10489852B2 (en) * | 2013-07-02 | 2019-11-26 | Yodlee, Inc. | Financial account authentication |
| US9183606B1 (en) | 2013-07-10 | 2015-11-10 | Sprint Communications Company L.P. | Trusted processing location within a graphics processing unit |
| US9161156B2 (en) | 2013-07-31 | 2015-10-13 | Sap Se | Tiles in a mobile application framework |
| US9208339B1 (en) | 2013-08-12 | 2015-12-08 | Sprint Communications Company L.P. | Verifying Applications in Virtual Environments Using a Trusted Security Zone |
| JP2015052996A (ja) * | 2013-09-09 | 2015-03-19 | キヤノン株式会社 | 画像形成装置、及び画像形成装置の制御方法 |
| US10171501B2 (en) | 2013-09-20 | 2019-01-01 | Open Text Sa Ulc | System and method for remote wipe |
| EP2851833B1 (en) * | 2013-09-20 | 2017-07-12 | Open Text S.A. | Application Gateway Architecture with Multi-Level Security Policy and Rule Promulgations |
| US10824756B2 (en) | 2013-09-20 | 2020-11-03 | Open Text Sa Ulc | Hosted application gateway architecture with multi-level security policy and rule promulgations |
| JP6354132B2 (ja) * | 2013-10-09 | 2018-07-11 | 富士ゼロックス株式会社 | 中継装置、中継システム及びプログラム |
| CA2927547C (en) * | 2013-10-14 | 2021-01-26 | Mike Bond | Crm security core |
| US9218494B2 (en) * | 2013-10-16 | 2015-12-22 | Citrix Systems, Inc. | Secure client drive mapping and file storage system for mobile device management type security |
| US9756047B1 (en) * | 2013-10-17 | 2017-09-05 | Mobile Iron, Inc. | Embedding security posture in network traffic |
| US9185626B1 (en) | 2013-10-29 | 2015-11-10 | Sprint Communications Company L.P. | Secure peer-to-peer call forking facilitated by trusted 3rd party voice server provisioning |
| US9191522B1 (en) | 2013-11-08 | 2015-11-17 | Sprint Communications Company L.P. | Billing varied service based on tier |
| US9161325B1 (en) | 2013-11-20 | 2015-10-13 | Sprint Communications Company L.P. | Subscriber identity module virtualization |
| RU2653984C2 (ru) | 2013-12-05 | 2018-05-15 | Закрытое акционерное общество "Лаборатория Касперского" | Способ и система ассоциирования агентов управления устройством с пользователем устройства |
| US9213830B2 (en) | 2013-12-12 | 2015-12-15 | Microsoft Technology Licensing, Llc | Managing applications in non-cooperative environments |
| US9661024B2 (en) | 2013-12-12 | 2017-05-23 | Microsoft Technology Licensing, Llc | Configuring applications and policies in non-cooperative environments |
| US20150188949A1 (en) * | 2013-12-31 | 2015-07-02 | Lookout, Inc. | Cloud-based network security |
| US9118655B1 (en) | 2014-01-24 | 2015-08-25 | Sprint Communications Company L.P. | Trusted display and transmission of digital ticket documentation |
| US10104538B2 (en) * | 2014-01-27 | 2018-10-16 | Samsung Electronics Co., Ltd. | Apparatus and method for providing a mobile device management service |
| US9510204B2 (en) | 2014-02-28 | 2016-11-29 | Life360, Inc. | Apparatus and method of determining fraudulent use of a mobile device based on behavioral abnormality |
| JP2015177351A (ja) * | 2014-03-14 | 2015-10-05 | 日本電気株式会社 | 通信接続先決定装置、通信接続装置、および、通信接続先決定方法 |
| US9226145B1 (en) | 2014-03-28 | 2015-12-29 | Sprint Communications Company L.P. | Verification of mobile device integrity during activation |
| EP3149882A4 (en) * | 2014-06-02 | 2017-12-13 | Sncr, Llc | Secure mobile framework with operating system integrity checking |
| US9413740B2 (en) * | 2014-07-22 | 2016-08-09 | Microsoft Technology Licensing, Llc | Establishing secure computing devices for virtualization and administration |
| US9230085B1 (en) | 2014-07-29 | 2016-01-05 | Sprint Communications Company L.P. | Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services |
| US9736126B2 (en) * | 2014-12-04 | 2017-08-15 | International Business Machines Corporation | Authenticating mobile applications using policy files |
| US9779232B1 (en) | 2015-01-14 | 2017-10-03 | Sprint Communications Company L.P. | Trusted code generation and verification to prevent fraud from maleficent external devices that capture data |
| SG10201500276VA (en) * | 2015-01-14 | 2016-08-30 | Mastercard Asia Pacific Pte Ltd | Method and system for making a secure payment transaction |
| US9838868B1 (en) | 2015-01-26 | 2017-12-05 | Sprint Communications Company L.P. | Mated universal serial bus (USB) wireless dongles configured with destination addresses |
| US9473945B1 (en) | 2015-04-07 | 2016-10-18 | Sprint Communications Company L.P. | Infrastructure for secure short message transmission |
| US9819679B1 (en) | 2015-09-14 | 2017-11-14 | Sprint Communications Company L.P. | Hardware assisted provenance proof of named data networking associated to device data, addresses, services, and servers |
| US11593075B2 (en) | 2015-11-03 | 2023-02-28 | Open Text Sa Ulc | Streamlined fast and efficient application building and customization systems and methods |
| US10282719B1 (en) | 2015-11-12 | 2019-05-07 | Sprint Communications Company L.P. | Secure and trusted device-based billing and charging process using privilege for network proxy authentication and audit |
| US9817992B1 (en) | 2015-11-20 | 2017-11-14 | Sprint Communications Company Lp. | System and method for secure USIM wireless network access |
| US9843474B2 (en) | 2015-12-23 | 2017-12-12 | Intel Corporation | Telemetry adaptation |
| US10778435B1 (en) * | 2015-12-30 | 2020-09-15 | Jpmorgan Chase Bank, N.A. | Systems and methods for enhanced mobile device authentication |
| US11388037B2 (en) | 2016-02-25 | 2022-07-12 | Open Text Sa Ulc | Systems and methods for providing managed services |
| US10187413B2 (en) | 2016-03-25 | 2019-01-22 | Cisco Technology, Inc. | Network-based approach for training supervised learning classifiers |
| JP6235677B2 (ja) * | 2016-03-28 | 2017-11-22 | 住友化学株式会社 | 偏光フィルムの製造方法 |
| US10284554B2 (en) | 2016-05-05 | 2019-05-07 | Airwatch, Llc | Systems for providing device-specific access to an e-mail server |
| WO2018004600A1 (en) | 2016-06-30 | 2018-01-04 | Sophos Limited | Proactive network security using a health heartbeat |
| GB2553427B (en) * | 2016-08-02 | 2021-09-15 | Sophos Ltd | Identifying and remediating phishing security weaknesses |
| KR101719511B1 (ko) * | 2016-08-04 | 2017-04-05 | 주식회사 에어큐브 | 네트워크를 사용하여 게이트에 대한 액세스 허용 여부를 결정하는 방법, 서버 및 컴퓨터 판독 가능한 기록 매체 |
| US10447738B2 (en) | 2016-09-16 | 2019-10-15 | Oracle International Corporation | Dynamic policy injection and access visualization for threat detection |
| US10721239B2 (en) | 2017-03-31 | 2020-07-21 | Oracle International Corporation | Mechanisms for anomaly detection and access management |
| US11777926B2 (en) | 2017-06-16 | 2023-10-03 | Cryptography Research, Inc. | Internet of things (IoT) device management |
| US10499249B1 (en) | 2017-07-11 | 2019-12-03 | Sprint Communications Company L.P. | Data link layer trust signaling in communication network |
| US10909228B2 (en) | 2017-07-19 | 2021-02-02 | Box, Inc. | Server-side authentication policy determination for mobile applications |
| US10326771B2 (en) | 2017-10-19 | 2019-06-18 | Sherpas Cyber Security Group, Inc. | Secure file transaction system |
| CN109858238A (zh) * | 2017-11-30 | 2019-06-07 | 北京神州泰岳软件股份有限公司 | 一种连接容器的方法、装置、系统和计算机可读存储介质 |
| US10924517B2 (en) | 2018-02-07 | 2021-02-16 | Sophos Limited | Processing network traffic based on assessed security weaknesses |
| US11277421B2 (en) * | 2018-02-20 | 2022-03-15 | Citrix Systems, Inc. | Systems and methods for detecting and thwarting attacks on an IT environment |
| US11403900B2 (en) * | 2018-04-11 | 2022-08-02 | Assa Abloy Ab | Transmitting service provider access data to a service provider server |
| KR20200034020A (ko) | 2018-09-12 | 2020-03-31 | 삼성전자주식회사 | 전자 장치 및 그의 제어 방법 |
| US10467435B1 (en) * | 2018-10-24 | 2019-11-05 | Palantir Technologies Inc. | Approaches for managing restrictions for middleware applications |
| US10992670B1 (en) * | 2018-11-12 | 2021-04-27 | Amazon Technologies, Inc. | Authenticating identities for establishing secure network tunnels |
| CA3135414A1 (en) * | 2019-04-02 | 2020-10-08 | Trinomial Global Ltd | Remote management of a user device |
| US11290439B1 (en) | 2019-04-03 | 2022-03-29 | Snap Inc. | Multiple application list prioritization |
| EP3761689A1 (en) * | 2019-07-01 | 2021-01-06 | Gemalto Sa | Method for securing an execution of a local application and corresponding first and second user device and system |
| US11095637B2 (en) * | 2019-08-16 | 2021-08-17 | T-Mobile Usa, Inc. | Interface for telecommunications by desktop native applications |
| CN110620815A (zh) * | 2019-09-12 | 2019-12-27 | 北京笔新互联网科技有限公司 | 一种基于边车模式的分布式微服务系统 |
| US11546358B1 (en) * | 2021-10-01 | 2023-01-03 | Netskope, Inc. | Authorization token confidence system |
| CN117440377A (zh) * | 2022-07-21 | 2024-01-23 | 荣耀终端有限公司 | 通信系统、方法及电子设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102047262A (zh) * | 2008-05-27 | 2011-05-04 | 微软公司 | 用于分布式安全内容管理系统的认证 |
Family Cites Families (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5857201A (en) | 1996-06-18 | 1999-01-05 | Wright Strategies, Inc. | Enterprise connectivity to handheld devices |
| US6085192A (en) | 1997-04-11 | 2000-07-04 | Roampage, Inc. | System and method for securely synchronizing multiple copies of a workspace element in a network |
| US6023708A (en) | 1997-05-29 | 2000-02-08 | Visto Corporation | System and method for using a global translator to synchronize workspace elements across a network |
| US6131116A (en) | 1996-12-13 | 2000-10-10 | Visto Corporation | System and method for globally accessing computer services |
| US6708221B1 (en) | 1996-12-13 | 2004-03-16 | Visto Corporation | System and method for globally and securely accessing unified information in a computer network |
| US7287271B1 (en) | 1997-04-08 | 2007-10-23 | Visto Corporation | System and method for enabling secure access to services in a computer network |
| US6766454B1 (en) | 1997-04-08 | 2004-07-20 | Visto Corporation | System and method for using an authentication applet to identify and authenticate a user in a computer network |
| US5961590A (en) | 1997-04-11 | 1999-10-05 | Roampage, Inc. | System and method for synchronizing electronic mail between a client site and a central site |
| US6151606A (en) | 1998-01-16 | 2000-11-21 | Visto Corporation | System and method for using a workspace data manager to access, manipulate and synchronize network data |
| US6233341B1 (en) | 1998-05-19 | 2001-05-15 | Visto Corporation | System and method for installing and using a temporary certificate at a remote site |
| US6298073B1 (en) | 1998-06-26 | 2001-10-02 | Lefever Ronald Stanton | Method using elastic buffering for equalizing transmission delays in a non-earth-synchronous multiple satellite data transmission system |
| US6131096A (en) | 1998-10-05 | 2000-10-10 | Visto Corporation | System and method for updating a remote database in a network |
| US6609198B1 (en) * | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| US7373517B1 (en) | 1999-08-19 | 2008-05-13 | Visto Corporation | System and method for encrypting and decrypting files |
| US7225231B2 (en) | 2000-09-20 | 2007-05-29 | Visto Corporation | System and method for transmitting workspace elements across a network |
| US20030074206A1 (en) * | 2001-03-23 | 2003-04-17 | Restaurant Services, Inc. | System, method and computer program product for utilizing market demand information for generating revenue |
| US7284045B1 (en) | 2001-06-01 | 2007-10-16 | Visto Corporation | Method and system for determining information to access an electronic mail account |
| US7228383B2 (en) | 2001-06-01 | 2007-06-05 | Visto Corporation | System and method for progressive and hierarchical caching |
| US7325143B2 (en) * | 2001-10-15 | 2008-01-29 | Linux Foundation | Digital identity creation and coalescence for service authorization |
| JP2004062417A (ja) * | 2002-07-26 | 2004-02-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 |
| CA2495083A1 (en) | 2002-08-09 | 2004-02-19 | Visto Corporation | System and method for preventing access to data on a compromised remote device |
| WO2004070568A2 (en) | 2003-01-31 | 2004-08-19 | Viair, Inc. | Asynchronous real-time retrieval of data |
| US7673001B1 (en) | 2003-11-21 | 2010-03-02 | Microsoft Corporation | Enterprise management of public instant message communications |
| JP4064914B2 (ja) * | 2003-12-02 | 2008-03-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム |
| US8321498B2 (en) * | 2005-03-01 | 2012-11-27 | Oracle International Corporation | Policy interface description framework |
| US20060274695A1 (en) * | 2005-06-03 | 2006-12-07 | Nokia Corporation | System and method for effectuating a connection to a network |
| US7970386B2 (en) | 2005-06-03 | 2011-06-28 | Good Technology, Inc. | System and method for monitoring and maintaining a wireless device |
| US7702322B1 (en) | 2006-02-27 | 2010-04-20 | Good Technology, Llc | Method and system for distributing and updating software in wireless devices |
| US8161164B2 (en) * | 2006-04-28 | 2012-04-17 | Microsoft Corporation | Authorizing service requests in multi-tiered applications |
| US8424061B2 (en) * | 2006-09-12 | 2013-04-16 | International Business Machines Corporation | Method, system and program product for authenticating a user seeking to perform an electronic service request |
| US8091137B2 (en) | 2006-10-31 | 2012-01-03 | Hewlett-Packard Development Company, L.P. | Transferring a data object between devices |
| JP2008219266A (ja) * | 2007-03-01 | 2008-09-18 | Ntt Docomo Inc | ネットワークアクセス認証システム、認証鍵生成サーバ、認証鍵配布サーバ、端末装置及びアクセス管理サーバ |
| US8185740B2 (en) * | 2007-03-26 | 2012-05-22 | Microsoft Corporation | Consumer computer health validation |
| US8032932B2 (en) | 2008-08-22 | 2011-10-04 | Citibank, N.A. | Systems and methods for providing security token authentication |
| US20100125891A1 (en) * | 2008-11-17 | 2010-05-20 | Prakash Baskaran | Activity Monitoring And Information Protection |
| US8898748B2 (en) * | 2009-05-21 | 2014-11-25 | Mobile Iron, Inc. | Remote verification for configuration updates |
| US8527774B2 (en) | 2009-05-28 | 2013-09-03 | Kaazing Corporation | System and methods for providing stateless security management for web applications using non-HTTP communications protocols |
| US8683196B2 (en) * | 2009-11-24 | 2014-03-25 | Red Hat, Inc. | Token renewal |
| US8473743B2 (en) * | 2010-04-07 | 2013-06-25 | Apple Inc. | Mobile device management |
| US8997196B2 (en) * | 2010-06-14 | 2015-03-31 | Microsoft Corporation | Flexible end-point compliance and strong authentication for distributed hybrid enterprises |
| US8886773B2 (en) | 2010-08-14 | 2014-11-11 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
| US8869307B2 (en) * | 2010-11-19 | 2014-10-21 | Mobile Iron, Inc. | Mobile posture-based policy, remediation and access control for enterprise resources |
| US20130061302A1 (en) * | 2011-02-28 | 2013-03-07 | Gregory Alan Colla | Method and Apparatus for the Protection of Computer System Account Credentials |
| US8412945B2 (en) * | 2011-08-09 | 2013-04-02 | CloudPassage, Inc. | Systems and methods for implementing security in a cloud computing environment |
| US8966572B2 (en) * | 2011-09-30 | 2015-02-24 | Oracle International Corporation | Dynamic identity context propagation |
| US20130091557A1 (en) * | 2011-10-11 | 2013-04-11 | Wheel Innovationz, Inc. | System and method for providing cloud-based cross-platform application stores for mobile computing devices |
| US9286455B2 (en) * | 2012-10-04 | 2016-03-15 | Msi Security, Ltd. | Real identity authentication |
-
2013
- 2013-04-01 WO PCT/US2013/034853 patent/WO2013149257A1/en active Application Filing
- 2013-04-01 CA CA2868896A patent/CA2868896C/en active Active
- 2013-04-01 JP JP2015503684A patent/JP6004408B2/ja active Active
- 2013-04-01 EP EP13769551.6A patent/EP2831718A4/en not_active Withdrawn
- 2013-04-01 US US13/854,837 patent/US9565212B2/en active Active
- 2013-04-01 CN CN201380028861.4A patent/CN104718526B/zh active Active
-
2014
- 2014-05-01 US US14/267,399 patent/US9473533B2/en active Active
- 2014-05-01 US US14/267,346 patent/US9467475B2/en active Active
-
2016
- 2016-08-30 JP JP2016167495A patent/JP6207696B2/ja active Active
- 2016-08-30 JP JP2016167496A patent/JP6207697B2/ja active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102047262A (zh) * | 2008-05-27 | 2011-05-04 | 微软公司 | 用于分布式安全内容管理系统的认证 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2868896A1 (en) | 2013-10-03 |
| JP6207697B2 (ja) | 2017-10-04 |
| US20140245377A1 (en) | 2014-08-28 |
| US9473533B2 (en) | 2016-10-18 |
| JP2015520880A (ja) | 2015-07-23 |
| US20130263212A1 (en) | 2013-10-03 |
| US20140245378A1 (en) | 2014-08-28 |
| EP2831718A4 (en) | 2015-12-02 |
| US9467475B2 (en) | 2016-10-11 |
| JP2016201149A (ja) | 2016-12-01 |
| CN104718526A (zh) | 2015-06-17 |
| JP2016201150A (ja) | 2016-12-01 |
| WO2013149257A1 (en) | 2013-10-03 |
| JP6004408B2 (ja) | 2016-10-05 |
| US9565212B2 (en) | 2017-02-07 |
| CA2868896C (en) | 2018-01-02 |
| EP2831718A1 (en) | 2015-02-04 |
| JP6207696B2 (ja) | 2017-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104718526B (zh) | 安全移动框架 | |
| US11392947B1 (en) | Distributed ledger for device management | |
| CN106471783B (zh) | 经由网关的企业系统认证和授权 | |
| CN102281286B (zh) | 分布式混合企业的灵活端点顺从和强认证的方法和系统 | |
| CN105379223B (zh) | 管理对企业资源的访问的方法和装置 | |
| CN101911585B (zh) | 基于认证输入属性的选择性授权 | |
| CN104247329B (zh) | 请求云服务的装置的安全补救 | |
| CN109257209A (zh) | 一种数据中心服务器集中管理系统及方法 | |
| CN107682331A (zh) | 基于区块链的物联网身份认证方法 | |
| CN111316278A (zh) | 安全身份和档案管理系统 | |
| CN108011862A (zh) | 镜像仓库授权、访问、管理方法及服务器和客户端 | |
| US20140281539A1 (en) | Secure Mobile Framework With Operating System Integrity Checking | |
| CN107948201A (zh) | Docker镜像仓库的权限认证方法和系统 | |
| CN107634951A (zh) | Docker容器安全管理方法、系统、设备及存储介质 | |
| CN109787988A (zh) | 一种身份加强认证和鉴权方法及装置 | |
| EP2894891A2 (en) | Mobile token | |
| CN103152319B (zh) | 访问授权方法及其系统 | |
| CN106529216B (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 | |
| CN103793658B (zh) | 一种基于vpn的离线文件的保护系统及方法 | |
| US20200074466A1 (en) | Intelligent Dynamic Authentication and Event Processing System | |
| CN108881238A (zh) | 一种运行在移动设备上的安全移动框架的方法 | |
| Wilson et al. | Looking into the Crystal Ball | |
| CN116961937A (zh) | 区块链程序的访问方法、相关设备及存储介质 | |
| Kakkar et al. | Role of Access Control Mechanism for Blockchain-Enabled IoMT in Personalized Healthcare | |
| KR101551065B1 (ko) | 직원 인증 관리 시스템 및 직원 인증 관리 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160817 Address after: new jersey Applicant after: SNCR limited liability company Address before: American New York Applicant before: Goldman Sachs |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |