CN108027799A - 用于在未受管理的并且未受防护的设备上的资源访问和安置的安全容器平台 - Google Patents
用于在未受管理的并且未受防护的设备上的资源访问和安置的安全容器平台 Download PDFInfo
- Publication number
- CN108027799A CN108027799A CN201680039856.7A CN201680039856A CN108027799A CN 108027799 A CN108027799 A CN 108027799A CN 201680039856 A CN201680039856 A CN 201680039856A CN 108027799 A CN108027799 A CN 108027799A
- Authority
- CN
- China
- Prior art keywords
- computing device
- user interface
- user
- access
- services
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
- G06F9/452—Remote windowing, e.g. X-Window System, desktop virtualisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Human Computer Interaction (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
第一计算设备接收对访问由另一个计算设备提供的服务的服务访问请求,请求包括用户的用户认证特征。第一计算设备向另一个计算设备传送服务访问请求。第一计算设备接收来自另一个计算设备的用户界面配置文件,当被第二计算设备执行时该用户界面配置文件使第二计算设备能够显示提供对服务的访问的用户界面。第一计算设备基于用户认证特征来修改用户界面配置文件以提供对服务的选择性的访问。第一计算设备向第二计算设备传输经修改的用户界面配置文件,当被第二计算设备执行时该经修改的用户界面配置文件使第二计算设备能够显示提供对服务的选择性的访问的经修改的用户界面。
Description
对相关申请的交叉引用
本申请要求递交于2015年5月7日的标题为“MULTI FORM FACTOR CONTROL PLANE”的美国临时专利申请No.62/158,337的权益,该美国临时专利申请被在其整体上通过引用合并于此。
背景技术
本发明一般地涉及经由计算机网络对资源的远程访问,并且更特别地涉及用于经由计算机网络提供对资源的远程访问的方法和系统。
大多数——如果不是全部的话——公司如今都实现计算机网络以提供对它的计算服务的访问。为了连接到这些服务,公司的雇员一般地被要求连接在计算机网络内,或者如果外部地连接,则被要求创建虚拟专用网络。另外,公司的雇员一般地被要求使用执行与托管计算服务的公司的服务器相同的操作系统的设备。
公司的雇员要求取得从处于未受信任的并且未受防护的环境中的未受信任的并且未受防护的设备对通常仅仅在公司网络内可获得的应用程序和商业数据的访问。例如,公司的雇员可能想要在个人膝上计算机、平板计算机或智能电话上进行操作并且取得对公司邮件或文档管理系统的访问。随着时间的推移,许多类型的终端用户计算和通信已经成为消费者生态系统和市场的部分。存在涵盖宽范围的变化的许多用户设备类型,该变化包括在操作系统、采用多种形式因素的硬件方面的不同,其包含不相干的硬件和/或软件设施等。这提供了宽范围的目标设备,新的类型的能力被要求用于该目标设备。在常规的企业中,由许多组织使用的广泛混合的传统应用程序(例如CRM、管理系统、邮件、基于网络的web,特定设备的应用程序和其它)不能基于终端用户偏好的设备而被针对终端用户部署或优化,该终端用户偏好的设备一般地被称为“携带你自己的设备(BYOD)”。
这创建了其中这些设备的拥有者具有受损的在他们的设备上使用这些应用程序的能力的场景。另外,这些用户需要访问以执行他们的工作职责的应用程序不能够按上下文地共同操作以增强用以有效果地并且有效率地执行他们的工作的用户能力。他们需要具有用以在任何设备上实时地共享应用程序和组织数据以及处理的能力。
发明内容
在一个实施例中存在一种选择性地提供定制的图形用户界面的方法,方法包括:在第一计算设备处:接收来自第二计算设备的对访问由第三计算设备提供的一个或多个服务的服务访问请求,请求包括第二计算设备的用户的认证特征;将服务访问请求转发到第三计算设备;接收来自第三计算设备的用户界面配置文件,其中用户界面配置文件被配置为由第二计算设备执行以使第二计算设备能够显示提供对所述一个或多个服务的访问的用户界面;基于用户认证特征修改用户界面配置文件以提供对所述一个或多个服务的选择性的访问;向第二计算设备传输经修改的用户界面配置文件,其中经修改的用户界面配置文件被配置为由第二计算设备执行以使第二计算设备能够显示提供对所述一个或多个服务的选择性的访问的经修改的用户界面。
在进一步的实施例中,第二计算设备是客户端设备并且第三计算设备是虚拟桌面基础架构服务器。
在进一步的实施例中,请求包括第二计算设备的计算设备特征,方法进一步包括:基于第二计算设备的计算设备特征修改用户界面配置文件。
在进一步的实施例中,计算设备特征包括如下中的至少一个:i)第二计算设备的操作系统和ii)第二计算设备的显示屏幕形式因素特征。
在进一步的实施例中,第一计算设备接收服务访问请求并且传输使用安全超文本传输协议(HTTPS)提交到第二计算设备的经修改的用户界面配置。
在进一步的实施例中,方法进一步包括:使用安全容器在第二计算设备处显示提供对所述一个或多个服务的选择性的访问的经修改的用户界面。
在进一步的实施例中,方法进一步包括:在第二计算设备的本地存储处存储由用户经由经修改的用户界面提供的数据;和在第二计算设备的本地存储处访问由用户经由经修改的用户界面所请求的数据,其中本地存储是加密的。
在进一步的实施例中,方法进一步包括:执行在第二计算设备处显示本地应用程序用户界面的应用程序;和使用安全容器在第二计算设备处显示本地应用程序用户界面。
在进一步的实施例中,方法进一步包括:在第二计算设备的本地存储处存储由用户经由本地应用程序用户界面提供的数据;和在第二计算设备的本地存储处访问由用户经由本地应用程序用户界面所请求的数据,其中本地存储是加密的。
在进一步的实施例中,提供对所述一个或多个服务的选择性的访问包括如下中的至少一个:i)约束对所述一个或多个服务的特性的访问和ii)约束对所述一个或多个服务中的至少一个服务的访问。
在进一步的实施例中,方法进一步包括:通过向第二计算设备提供加密的会话密钥来调用在第一计算设备和第二计算设备之间的加密的会话,其中加密的会话密钥对于加密的会话来说是独特的。
在进一步的实施例中,方法进一步包括:使用加密的会话密钥在第二计算设备的本地存储处存储由用户经由经修改的用户界面提供的数据;和使用加密的会话密钥在第二计算设备的本地存储处访问由用户经由经修改的用户界面所请求的数据。
在进一步的实施例中,方法进一步包括:当加密的会话中断时删除加密的会话密钥。
在一个实施例中,提供了一种在其上已经存储了计算机可执行的指令的非暂时性计算机可读存储介质,当被处理器在第一计算设备处执行时该计算机可执行的指令执行任何的前述的实施例中的步骤。
在一个实施例中,提供了一种系统,该系统包括:在第一计算设备处:一个或多个存储器单元,每个存储器单元可操作以存储至少一个程序;和可通信地耦合到所述一个或多个存储器单元的至少一个处理器,在所述一个或多个存储器单元中,当被所述至少一个处理器执行时所述至少一个程序引起所述至少一个处理器执行任何的前述实施例中的步骤。
附图说明
当与示例性实施例的所附的附图结合地阅读时,前述的概要和随后详述的本发明的实施例的描述将被更好地理解。然而应当理解的是,本发明并不限制于示出的精确的布设和手段。
在附图中:
图1是依照一个或多个实施例的被配置为促进在未受防护的并且未受信任的用户设备处的基于容器的管理的示例性系统的框图。
图2是根据本发明的至少一些实施例的被配置为防护在内部的网络(例如内联网)内的用户设备(例如边缘设备)的示例性系统的框图。
图3是依照本发明的一个或多个实施例的用于示例性处理的流程图,该示例性处理用于基于从网络服务获得的会话密钥来促进在用户设备处的针对基于容器的管理的供给。
图4是依照本发明的至少一个实施例的用于供给用户设备的处理的流程图。
图5是依照本发明的一个或多个实施例的在示例性用户设备(例如未受防护的并且未受信任的设备)上的数据存储架构的示意图。
图6是依照本发明的一个或多个实施例的在示例性用户设备上的网络安全性架构的示意图。
图7是依照本发明的一个或多个实施例的设备存储安全性以及如何在未受信任的未受防护的边缘设备上管理安全网络资源的认证的示意图。
图8A至图8H图解了依照本发明的至少一些实施例的容器的示例性屏幕截图。
图9是依照本发明的一个或多个实施例的向用户设备选择性地提供定制的图形用户界面的方法的流程图。
具体实施方式
本发明的至少一些实施例的目标是为用户(例如公司的雇员)提供用于他们的个人设备的用户友好的操作环境,同时还提供与存在的应用程序或公司企业系统的非入侵性的集成。在这些实施例中,企业(例如保险公司、银行、经纪公司、医院、零售商、和/或其它企业)可以通过经一定数量的不同的通道向所有的它们的订户(例如雇员、承包人、独立代理人、顾客、雇员、和不同的中介人等)提供它们的应用程序、数据、服务和功能性来建立有竞争力的技术优势,不同的通道的数量常常是通过它们对于防护和保卫在覆盖PCI、HIPPA和其它数据安全性标准的范畴中的高度机密的顾客和财务数据的责任而最小化的。通过允许用户使用他们的个人设备,可以改善生产率和用户满意度。在这些实施例中,是企业维持安全性的级别的责任确保即使在设备可能被丢失,盗窃或损坏的情况下设备也具有保护机密信息的能力。
详细地参考附图,其中相同的参考标号自始至终指示相同的元件,在图1至图9中示出了依照本发明的一些实施例的在未受防护的设备上提供对远程应用程序的访问的系统和方法。
系统功能性
图1是依照一个或多个实施例的被配置为促进在未受防护的并且未受信任的用户设备处的基于容器的管理的示例性系统的框图。
在一些实施例中,系统100包括一个或多个企业服务1.20至1.80。每个企业服务1.20至1.80执行计算机应用程序以实现向其它设备(例如用户设备1.1)提供的一个或多个服务。在一些实施例中,企业服务1.20至1.80向其它设备提供图形用户界面(GUI)配置文件。当被执行时GUI配置文件在其它设备上显示GUI。
企业服务的一个示例是虚拟桌面基础架构(VDI)服务器1.20。VDI服务器1.20为其它设备提供对在VDI服务器1.20上托管的虚拟桌面的远程访问。在这些实施例中,VDI服务器1.20生成GUI配置文件用于作为虚拟桌面的在其它设备上的显示。在一些实施例中,虚拟桌面可以提供对由一个或多个企业服务1.30至1.60提供的一个或多个服务的访问。在一些实施例中,VDI服务器1.20包括管理对所有活跃的用户设备的VDI会话指派的VDI池管理器以确保在登录时的最好的性能以及向其它设备递送企业应用程序。
企业服务的其它示例包括用户目录1.30、邮件服务1.40、第二因素服务器1.50、SHAREPOINT®服务器1.60、文件服务器1.70和应用程序服务器1.80。用户目录1.30存储用于企业服务的不同用户的目录数据并且管理包括用户登录处理、认证和目录搜索的在用户和服务之间的通信。邮件服务1.40接收和处理来自用户的到来的和发出的电子邮件。第二因素服务器1.50执行认证。SHAREPOINT®服务器1.60托管配置管理应用程序。文件服务器1.70提供存储位置用于由其它设备所共享的存储访问。应用程序服务器1.80提供服务器环境以执行基于互联网的应用程序。
在一些实施例中,系统100包括一个或多个用户设备11(例如边缘设备)。在一些实施例中,用户设备1.1访问由VDI服务器1.20提供的虚拟桌面和/或访问由企业服务(例如企业服务1.30至1.60)提供的一个或多个服务或数据(例如流式视频、图像、多媒体)。用户设备1.1包括向用户显示来自一个或多个企业服务(1.20至1.80)(例如虚拟桌面)的数据的显示器。用户设备11的示例包括膝上式计算机、平板计算机、智能电话、和个人计算机。在一些实施例中,用户设备11中的至少一些执行相同的操作系统(例如WINDOWS、iOS)或不同的操作系统。
在一些实施例中,用户设备1.1包括在用户设备1.1上本地执行的容器以访问和显示虚拟桌面。如在此使用的那样,容器可以是应用程序,当被用户设备1.1执行时该应用程序处理GUI配置文件(例如XML文件)以在用户设备1.1的显示器上呈现用户界面。
存在用户如何可以使用容器的功能性的许多示例。在一个示例中,公司的雇员可能需要从个人设备(即用户设备1.1)访问公司资源,该公司资源包括电子邮件、日历、联系人、文档、内联网站点、培训材料,该个人设备包括但不限制于IPAD®,WINDOWS®膝上式计算机、ANDROID®智能电话、或MAC®笔记本计算机。在一个实现中,这样的雇员将在用户设备1.1的任何的所以支持的平台上下载和安装容器,并且然后将通过提供适当的公司凭证来取得对授权的公司资源的访问。一旦被安装,在用户设备1.1上的容器就管理所有安全性和策略施行功能和由公司策略服务器配置的安置和互动模型。容器还可以实现在运行在容器内部的所有公司应用程序和用户设备1.1之间施行的安全性隔离层。隔离是对所有存储访问施行的,以便把来自公司应用程序的所有请求截获和重定向到由容器提供的安全的加密的存储,并且把由这样的应用程序做出的所有网络请求截获和重定向到由容器提供的安全加密的存储,以便防护和加密在公司应用程序和适当的公司服务器之间的所有网络通信,无论其处于公司防火墙的内部还是外部。
容器进一步包括导航功能性和支持可能由公司的雇员要求的多个应用程序的多个应用程序查看器原型。原型的示例包括:安全和受管理的web浏览器、虚拟化的WINDOWS®应用程序、安全RSS阅读器、具有离线能力的安全文档查看器、和用于被创建以在用户设备1.1上运行的设备原生的应用程序的控制器。导航功能性和查看器原型允许用户在由不同的企业服务1.20至1.80和其它第三方内容提供者(例如公开地可获得的网站)提供的不同类型的应用程序之间无缝地访问和导航。
在一些实施例中,系统100包括安全网关1.8。安全网关1.8验证和认证访问一个或多个服务1.20至1.80的用户。在图3至图4中进一步图解了该功能性。
在一些实施例中,系统100包括平台服务部件1.12。平台服务部件1.12在用户设备1.1上修改一个或多个服务1.20至1.80的功能性从而一个或多个服务1.20至1.80可以被提供给更多的设备并且被更多的用户访问。在这些实施例中,平台服务部件1.12修改在图形用户界面(GUI)配置文件中指定的GUI特征以改善图形用户界面在用户设备1.1上的显示。
存在通过实施在此描述的平台服务部件1.12的任何的实施例而实现的许多不同的益处。例如,通过修改GUI配置文件,为企业编写的用于第一设备类型的定制应用程序可以被“包裹”在第二设备类型(不同于第一设备类型)的容器的内部以显示定制应用程序的GUI。
平台服务部件1.12可以针对包括用户的用户认证特征和设备特征的许多不同的因素来修改GUI配置文件。
关于用户认证特征,在一些实施例中平台服务部件1.12可以基于用户认证特征约束对一个或多个服务1.20至1.80或一个或多个服务1.20至1.80的一个或多个特性的访问。例如,第一用户可能具有访问所有的一个或多个服务1.20至1.80的完全权限,而第二用户可能仅仅具有访问服务1.20的权限。在这些实施例中,平台服务部件1.12评估第一用户和第二用户的用户认证特征。平台服务部件1.12于是可以提供由第一用户对一个或多个服务1.20至1.80的完全的访问,同时基于评估结果约束由第二用户对一个或多个服务1.30至1.80的访问。
关于设备特征,在一些实施例中,用户设备1.1可以具有与在由一个或多个企业服务1.20至1.80(例如VDI服务器1.20)提供的GUI配置文件中指定的GUI特征相比不同的图形用户界面特征(例如显示器形式因素)。在这些实施例中,平台服务部件1.12基于设备特征修改在来自一个或多个服务1.20至1.80的GUI配置文件中指定的GUI特征以促进在用户设备1.1上呈现更好的GUI。
在一些实施例中,系统100可以包括一个或多个防火墙。例如系统100可以包括:定位在用户设备1.1和安全网关1.8之间的防火墙1.4;定位在安全网关1.8和平台服务部件1.12之间的防火墙1.10;和定位在平台服务部件1.12和企业服务1.20至1.80之间的防火墙1.16。防火墙1.4,防火墙1.10和防火墙1.16中的每个表示对公司的网络的访问的不同的层。例如,防火墙1.4表示来自外部公司网络的对内部公司网络的不设防区域(DMZ)的访问。防火墙1.10表示来自不设防区域(DMZ)的对内部公司网络的访问。防火墙1.16表示来自内部公司网络的对企业服务1.20至1.80的访问。
在一些实施例中,系统100的部件使用安全超文本传输协议(HTTPS)隧道相互传输和接收数据。安全隧道借用企业认证和权限系统来建立通信通道。在一些实施例中,系统100使用客户端侧证书和服务器侧证书锁定以消除流量截获和“在中间的人”攻击的风险。在一些实施例中,来自在用户设备1.1处的容器内部运行的基于web的和原生的应用程序的安全和不安全的请求是通过安全HTTPS隧道而截获和路由的。在一些实施例中,用户设备1.1把密码认证令牌(OAuth2)附接到每个数据请求以验证请求真实性。当系统100的部件企图访问系统100的内部和外部资源或者在系统100的内部和外部部件之间传输数据时,安全网关1.8施行企业规则和约束。在一些实施例中,系统100通过使用资源白名单来提供附加的级别的控制。在一些实施例中,安全网关1.8调用应用程序和数据通道空闲超时以确保在用户设备1.1和企业服务1.20至1.80之间的无人参与的会话将被自动地终止。
在一些实施例中,系统100在公司网络内提供安全支持基础架构,该公司网络是经由安装在多个用户设备1.1上的一组安全的集中管理的容器应用程序而可访问的。在这些实施例中,用户在没有数据泄露或信息丢失的风险的情况下从任何有可能不受信任的设备访问和使用公司资源(例如公司数据和应用程序)。在这些实施例中,公司网络服务器管理资源的安置并且施行各种公司策略。公司策略的示例除了其它方面之外还包括权限、认证、会话管理、工作流程集成、数据保护、和资源许可。在一些实施例中,系统100通过使用存在的公司凭证系统向公司网络认证用户设备1.1的用户来应用公司策略。在这些实施例中,用户凭证被收集并且安全地传给公司认证系统。如果用户认证是成功的,则系统100为先前未受信任的用户设备1.1提供对公司内联网资源的访问。在认证之后,安全网关1.8和平台服务部件1.12取回策略和安置配置以通过容器策略施行系统来施行配置策略,该策略和安置配置特定于用户设备1.1的经认证的并且连接的用户。
在一些实施例中,系统100通过代表用户建立与公司企业服务服务器1.20至1.80(例如邮件服务器1.40)的连接来提供用于来自未受信任的用户设备1.1的对公司资源的安全访问,该公司资源包括公司电子邮件、日历、联系人、文件共享和文档管理资源。在一些实施例中,在用户设备1.1上的容器施行用于从公司网络取回的全部的公司信息的加密和安全性。在一些实施例中,在用户设备1.1上的容器还提供自动化管理系统以用于在用户设备1.1受损(例如丢失或雇员终止或权限丧失)的情况下从用户设备1.1远程擦除这样的信息。
在一些实施例中,用户设备1.1如随后那样与企业服务1.20至1.80交换数据。初始地,用户设备1.1通过公共网络防火墙1.4向安全网关1.8发送请求。安全网关1.8通过面向内部的防火墙1.10向平台服务部件1.12转发服务请求。请求于是通过隔离的防火墙1.16(可选的)被转发到存在的企业服务1.20至1.80。在一些实施例中,不管被请求的企业服务是什么请求的流程都是相同的。该示例表示到企业的绿色区域中的公共的访问。在这些实施例中,用户设备1.1使用商业宽带提供商连接到互联网。用户设备1.1通过安全https会话连接到企业的DMZ中以发送请求。请求然后通过安全网关1.8被转发到绿色区域中,使用另一个安全https会话通过防火墙1.10到达平台服务部件1.12。平台服务部件1.12的连接器把在绿色区域中的存在的企业服务1.20至1.80的功能性连接到平台服务部件1.12。该连接包括对应用程序服务器1.80、文件服务器1.70、文档服务器1.60、第二因素认证服务器1.50、邮件服务器1.40和活动目录1.30等以及虚拟Windows会话1.20的访问。
图2是根据本发明的至少一些实施例的被配置为防护在内部的网络(例如内联网)内的用户设备(例如边缘设备)的示例性系统的框图。在这些实施例中,系统100允许防护例如在公司内的设备。在这些实施例中,用户经内部用户设备1.1通过可选的隔离防火墙1.4通过内联网进行连接。用户设备1.1向平台服务部件2.12传输来自用户的请求。在这些实施例中,平台服务部件2.12还在一个设备上合并了安全网关(在图1中所示出的)和平台服务部件(在图1中所示出的)。平台服务部件2.12跨防火墙1.16把在绿色区域中的存在的企业服务1.20至1.80的功能性连接到用户设备2.1。一旦被连接,用户设备2.1就可以访问应用程序服务器1.80、文件服务器1.70、文档服务器1.60、第二因素认证服务器1.50、邮件服务器1.40和活动目录1.30等以及虚拟Windows会话1.20。
认证和供给功能性
图3是依照本发明的一个或多个实施例的用于示例性处理的流程图,该示例性处理用于促进基于从网络服务获得的会话密钥针对在用户设备处的基于容器的管理进行供给。
在步骤3.10,用户在用户设备1.1处启动容器。
在步骤3.12,容器连接到安全网关1.8。安全网关1.8于是与容器建立低级连接。容器向安全网关1.8传输安全网关证书。
在步骤3.14,安全网关1.8验证容器的安全网关证书。
如果验证失败,则在步骤3.17安全网关1.8拒绝对容器的访问并且登录停止。
如果安全网关证书的验证成功,则在步骤3.16设备向安全网关1.8出示客户端证书。
在步骤3.18,安全网关1.8执行关于客户端是否是已知的并且受信任的的客户端证书的验证。
如果验证失败,则在步骤3.17安全网关1.8拒绝对容器的访问并且登录停止。
如果证书的认证成功,则在步骤3.20容器确定设备是否被供给。
如果设备没有被供给,则在步骤3.21用户设备1.1执行设备供给。在图4中更详细地描述了设备供给。
如果设备被供给,则在步骤3.22容器向安全网关1.8提交设备标识符(设备ID)和用户凭证(例如用户名和密码)。
在步骤3.24,安全网关1.8执行设备ID的验证(例如通过咨询平台服务部件1.12)以确定设备是否被许可访问企业服务1.20至1.80。
如果验证失败,则在步骤3.17安全网关1.8拒绝对容器的访问并且登录停止。
如果设备ID的验证成功,则在步骤3.30安全网关1.8利用用户凭证咨询平台服务部件1.12。
如果用户凭证的验证失败,则在步骤3.17安全网关1.8拒绝对容器的访问并且登录停止。
如果用户凭证是有效的,则在步骤3.32安全网关1.8确定用户被授权访问服务1.20至1.80并且分配授权令牌。在随后的数据请求中,用户设备1.1或容器把授权令牌附接于对企业服务1.20至1.80的每个数据请求以验证请求真实性。
图4是依照本发明的至少一个实施例的用于供给用户设备的处理的流程图。
在步骤4.1,用户设备1.1在安装的时间生成对应于设备的独特的安装标识符(安装ID)。如果用户卸载容器并且再次重新安装容器,则重复供给处理并且用户设备1.1被作为具有不同的安装ID的新的设备处置。
在步骤4.2,用户设备1.1连接到供给服务(例如安全网关1.8)以发起安装ID的生成。
在步骤4.3,用户设备1.1向供给服务出示供给证书。
如果供给证书不是有效的,则处理跳到步骤4.22并且供给处理结束。
如果供给证书是有效的,则在步骤4.4用户设备1.1向供给服务出示客户端证书。
如果客户端证书不是有效的,则处理跳到步骤4.22并且供给处理结束。
如果客户端证书被接受,则在步骤4.6用户设备1.1向供给服务出示用户凭证。
在步骤4.7,供给服务咨询平台服务部件1.12以确定用户凭证是否是有效的。
如果用户凭证不是有效的,则处理跳到步骤4.22并且供给处理结束。
如果用户凭证被接受,则在步骤4.8供给服务平台服务部件1.12确定用户是否被授权使用容器。
如果用户未被授权,则处理跳到步骤4.22并且供给处理结束。
如果用户被授权,则在步骤4.9供给服务发送针对带外认证的请求。
如果带外验证不是有效的,则处理跳到步骤4.22并且供给处理结束。
如果带外验证被接受,则在步骤4.14平台服务部件1.12把独特的安装ID注册为已知的并且受信任的设备。
在步骤4.18,供给服务向容器发送供给配置。在步骤4.18之后,供给处理完成。
容器功能性
图5是依照本发明的一个或多个实施例的在示例性用户设备(例如未受防护的并且未受信任的设备)上的数据存储架构的示意图。
在一些实施例中,用户设备1.1包括安装的应用程序5.1和web浏览器5.2。web浏览器5.2包括浏览器缓存5.21,统一资源定位符(URL)缓存5.22和信息记录文件(cookies)5.23。
在一些实施例中,用户设备1.1包括安全容器5.3。安全容器5.3包括安全浏览器5.4;安全原生部件5.5;安全RSS查看器5.6;和安全文档查看器5.8。由用户或企业服务1.20至1.80提供的数据被安置在加密的存储5.9中,该加密的存储然后被存储在本地设备存储5.7中。在一些实施例中,加密的存储5.9包括一组部件部分,该组部件部分包括加密的文件存储、加密的数据库、安全存储加密。加密的数据库基于SQL Cypher并且是在用户登录时创建的。可以使用AES-256 CBC来完成加密,该AES-256 CBC使用与128位随机加盐组合的基于用户id和密码的导出的256位密钥,该128位随机加盐是利用SHA512 HMAC的10000(可配置的)次PBKDF-2迭代而导出的。
在一些实施例中,原生和web应用程序仅仅在安全存储内存储相应的数据。浏览器缓存被存储在加密的文件存储中。所有下载的附件和文件被存储在加密的文件存储中。
通过实现任何的这些实施例,当数据是在运动中和处于静止时,用户设备1.1可以防护数据处置的所有方面。
图6是依照本发明的一个或多个实施例的在示例性用户设备上的网络安全性架构的示意图。在图6中,用户设备1.1是不受信任的设备。为了提供数据的安全性,用户设备1.1管理关于网络接口的安全网络资源的认证。在一些实施例中,用户设备1.1包括安装的应用程序6.1和web浏览器部件6.2。安装的应用程序6.1和web浏览器部件6.2使用设备网络接口6.3以与任何的企业服务1.20至1.80交换数据。
在一些实施例中,用户设备1.1包括安全容器6.10,该安全容器6.10管理通过应用SSL证书的代理隧道6.9加密的安全浏览器6.4;原生部件6.5;安全RSS 6.6;虚拟App查看器6.7和安全文档6.8。从容器传输的任何数据是通过代理隧道6.9加密的并且然后被绑定到网络接口6.3以用于路由到系统100的任何的其它部件。
图7是依照本发明的一个或多个实施例的设备存储安全性以及如何在未受信任的未受防护的边缘设备上管理安全网络资源的认证的示意图。
容器用户界面
图8A至图8H图解了依照本发明的至少一些实施例的容器示例性的屏幕截图。图8A是使用用户设备1.1的容器而执行的MICROSOFT ®Outlook客户端端的示例性屏幕截图。图8B是使用用户设备1.1的容器而执行的SaaS应用程序的示例性屏幕截图。图8C是使用用户设备1.1的容器而执行的PDF查看器的示例性屏幕截图。图8D是使用用户设备1.1(其中用户设备1.1是运行iOS的IPAD®)的容器而执行的定制WINDOWS®应用程序的示例性屏幕截图。图8E是使用用户设备1.1的容器而执行的安全RSS Feed查看器的示例性屏幕截图。图8F是使用用户设备1.1的容器而执行的大型机查看器的示例性屏幕截图。图8G是使用用户设备1.1的容器而执行的安全文档查看器的示例性屏幕截图。图8H是使用用户设备1.1的容器而执行的第三方web应用程序查看器的示例性屏幕截图。
示例性实施方式
图9是依照本发明的一个或多个实施例的向用户设备1.1选择性地提供定制的图形用户界面的方法的流程图。
在步骤901,平台服务部件1.12接收来自用户设备1.1的对访问由VDI服务器1.20提供的一个或多个服务的服务访问请求。在一些实施例中,请求包括i)第二计算设备的用户的(多个)用户认证特征(例如角色类型或角色级别)和/或ii)如在此描述的用户设备1.1(例如,显示器形式因素,操作系统)的(多个)设备特征。
在步骤902,平台服务部件1.12向VDI服务器1.20转发服务访问请求。
在步骤903,平台服务部件1.12接收来自VDI服务器1.20的用户界面配置文件。
在步骤904,平台服务部件1.12基于用户认证特征和/或设备特征修改用户界面配置文件以提供对一个或多个服务的选择性的访问。
在步骤905,平台服务部件1.12向用户设备1.1传输经修改的用户界面配置文件,其中经修改的用户界面配置文件被配置为由用户设备1.1执行以使用户设备1.1能够显示提供对一个或多个服务的选择性的访问的经修改的用户界面。
附加的实施例
在一些实施例中,容器包括用于配置、设置、管理和故障排除的综合管理入口(Portal)。在一些实施例中,报告和详细的审计工具也被创建到Portal中。审计工具包括追踪来自容器和平台服务部件1.12的所有活动的一组数据,该平台服务部件1.12同时地跨用于所有用户的所有设备实时地追踪该活动。该信息然后被提供给企业以驱动在产品内体现的企业应用程序内的进一步的数据调解(mediation)和情境化。该数据被写入企业选择的数据存储以在分析和追踪围绕欺诈、调解、处理改善、生产率提高和对企业有价值的其它功能的活动中使用。
通过防护任何未受信任的未受防护的和未受管理的设备,系统100还提供了对在公司网络内的管理和安全性挑战的解决方案。在大公司内部的典型的桌面由操作系统、浏览器、和众多受防护的和未受防护的、定制的和现成的应用程序组成。用于这样的桌面的管理处理是极度复杂和昂贵的。迁移到浏览器和O/S的新版本可能要求重新测试并且重新编写数百个复杂的业务范围应用程序。这样的桌面的安全性是未受保证的,并且每个应用程序和应用程序销售商做一些不同的事情以用于防护数据或网络流量,然而有些事情则不防护数据或网络流量中的任何一个。在一些实施例中,系统100在由双向证书锁定防护的单个HTTPS通道上加密用于存在的桌面应用程序的所有通信的同时,使IT部门能够集中需要在数据中心内被防护的所有的数据和资源并且能够减少对更新、管理、和维持地理上分布的桌面的需求。这允许IT部门也使用数据安全性标准(例如NIST)以对特定的应用程序数据字段或页面应用策略,其允许所述安全性标准的普遍的应用——即使针对于在从未考虑那些标准的情况下而开发的应用程序。
一个实施例确保存在在应用程序级别可获得的访问控制功能用于一组丰富的细粒度的对象—甚至更多从而可能已经被初始地在应用程序中实现。需要察看的文档被安全地作成,并且除非被授权否则不把文档留在设备上。
在一些实施例中,可以取决于情境和安全性要求而提供定制的应用程序视图—可能的是利用系统100来实现与在原始的应用程序中所提供的相比更细粒度的对象访问控制。
在一些实施例中,情境的多因素升级是独特的特性—它使得能够进行容器内的在精细粒度的特性和功能的顶层的访问控制。例如为了取得对客户端数据的访问,可能针对附加的认证对用户进行提示。其全部都可以在不对应用程序本身进行改变的情况下被配置在管理入口中。
一个实施例提供了一种用于防护对公司资源的访问的系统,该系统包括:安装在至少一个用户的设备上的容器应用程序;使用存在的公司凭证系统向公司网络进行认证;提供来自不受信任的设备的对公司内联网资源的访问;使用双向证书锁定来建立在设备和公司网络服务器之间的安全HTTPS连接;收集用户凭证并且把用户凭证安全地传给公司认证系统;取回特定于登录的用户的策略和安置配置;通过容器策略施行系统来施行配置的策略。
在至少一个实施例中,包括了具有一个或多个处理器和存储器(例如一个或多个非易失性存储设备)的一个或多个计算机。在一些实施例中,存储器或存储器的计算机可读存储介质存储程序、模块和数据结构,或者其子集用于处理器以控制和运行在此公开的各种系统和方法。在一个实施例中,一种在其上已经存储了计算机可执行的指令的非暂时性计算机可读存储介质,当被处理器执行时该计算机可执行的指令执行在此公开的方法中的一个或多个。
将由本领域技术人员领会的是,在不脱离其宽泛的创新的概念的情况下可以对以上示出和描述的示例性实施例做出改变。因此被理解的是,本发明并不限制于所示出和描述的示例性实施例,而是意图覆盖在如由权利要求所限定的本发明的精神和范围内的修改。例如,示例性实施例的特定的特性可以是或者可以不是要求保护的发明的部分,并且可以组合所公开的实施例中的特性。除非在此具体地阐述,否则术语“一”、“一个”和“该”并不限制于一个元件而是相反应当被解读为意指“至少一个”。
要理解的是,本发明的各图和描述中的至少一些已经被简化以聚焦在对于本发明的清楚理解而言相关的元件上,然而为了清楚的目的而消除了本领域普通技术人员将领会的其它的元件,该其它的元件也可以包括本发明的部分。然而,因为这样的元件在本领域是熟知的,并且因为它们不一定促进对本发明的更好的理解,所以在此没有提供这样的元件的描述。
进一步地,在方法不依赖在此阐述的步骤的特定的顺序的程度上,步骤的特定的顺序不应当被解释为对权利要求的限制。指向本发明的方法的权利要求不应当被限制于以写出的顺序执行它们的步骤,并且本领域技术人员可以容易地领会可以使步骤变化并且仍旧依然在本发明的精神和范围内。
Claims (15)
1.一种选择性地提供定制的图形用户界面的方法,所述方法包括:
在第一计算设备处:
接收来自第二计算设备的对访问由第三计算设备提供的一个或多个服务的服务访问请求,请求包括第二计算设备的用户的认证特征;
向第三计算设备传送服务访问请求;
接收来自第三计算设备的用户界面配置文件,其中用户界面配置文件被配置为由第二计算设备执行以使第二计算设备能够显示提供对所述一个或多个服务的访问的用户界面;
基于用户认证特征修改用户界面配置文件以提供对所述一个或多个服务的选择性的访问;
向第二计算设备传输经修改的用户界面配置文件,其中经修改的用户界面配置文件被配置为由第二计算设备执行以使第二计算设备能够显示提供对所述一个或多个服务的选择性的访问的经修改的用户界面。
2.根据权利要求1所述的方法,其中第二计算设备是客户端设备并且第三计算设备是虚拟桌面基础架构服务器。
3.根据权利要求1所述的方法,其中请求包括第二计算设备的计算设备特征,所述方法进一步包括:
基于第二计算设备的计算设备特征修改用户界面配置文件。
4.根据权利要求3所述的方法,其中计算设备特征包括如下中的至少一个:i)第二计算设备的操作系统和ii)第二计算设备的显示屏幕外型因素特征。
5.根据权利要求1所述的方法,其中第一计算设备接收服务访问请求并且使用安全超文本传输协议(HTTPS)向第二计算设备传输经修改的用户界面配置文件。
6.根据权利要求1所述的方法,进一步包括:
使用安全容器在第二计算设备处显示提供对所述一个或多个服务的选择性的访问的经修改的用户界面。
7.根据权利要求6所述的方法,进一步包括:
在第二计算设备的本地存储处存储由用户经由经修改的用户界面提供的数据;和
在第二计算设备的本地存储处访问由用户经由经修改的用户界面所请求的数据,
其中本地存储是加密的。
8.根据权利要求6所述的方法,进一步包括:
执行在第二计算设备处显示本地应用程序用户界面的应用程序;和
使用安全容器在第二计算设备处显示本地应用程序用户界面。
9.根据权利要求8所述的方法,进一步包括:
在第二计算设备的本地存储处存储由用户经由本地应用程序用户界面提供的数据;和
在第二计算设备的本地存储处访问由用户经由本地应用程序用户界面所请求的数据,
其中本地存储是加密的。
10.根据权利要求1所述的方法,其中提供对所述一个或多个服务的选择性的访问包括如下中的至少一个:i)约束对所述一个或多个服务的特性的访问和ii)约束对所述一个或多个服务中的至少一个服务的访问。
11.根据权利要求1所述的方法,进一步包括:
通过向第二计算设备提供加密的会话密钥来调用在第一计算设备和第二计算设备之间的加密的会话,其中加密的会话密钥对于加密的会话来说是独特的。
12.根据权利要求11所述的方法,
使用加密的会话密钥在第二计算设备的本地存储处存储由用户经由经修改的用户界面提供的数据;和
使用加密的会话密钥在第二计算设备的本地存储处访问由用户经由经修改的用户界面所请求的数据。
13.根据权利要求11所述的方法,进一步包括:
当加密的会话中止时删除加密的会话密钥。
14.一种在其上已经存储了计算机可执行的指令的非暂时性计算机可读存储介质,当被处理器在第一计算设备处执行时该计算机可执行的指令执行权利要求1至13中的任何一个中的步骤。
15.一种系统包括:
在第一计算设备处:
一个或多个存储器单元,每个存储器单元可操作以存储至少一个程序;和
可通信地耦合到所述一个或多个存储器单元的至少一个处理器,在所述一个或多个存储器单元中,当被所述至少一个处理器执行时所述至少一个程序引起所述至少一个处理器执行权利要求1至13中的任何一个中的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562158337P | 2015-05-07 | 2015-05-07 | |
| US62/158337 | 2015-05-07 | ||
| PCT/US2016/031300 WO2016179536A1 (en) | 2015-05-07 | 2016-05-06 | Secure container platform for resource access and placement on unmanaged and unsecured devices |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108027799A true CN108027799A (zh) | 2018-05-11 |
Family
ID=57217822
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680039856.7A Pending CN108027799A (zh) | 2015-05-07 | 2016-05-06 | 用于在未受管理的并且未受防护的设备上的资源访问和安置的安全容器平台 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US11115211B2 (zh) |
| EP (2) | EP3828718A1 (zh) |
| JP (1) | JP2018521431A (zh) |
| KR (1) | KR20180002841A (zh) |
| CN (1) | CN108027799A (zh) |
| AU (1) | AU2016258176A1 (zh) |
| CA (1) | CA2985173A1 (zh) |
| HK (1) | HK1253010A1 (zh) |
| WO (1) | WO2016179536A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213274A (zh) * | 2019-05-31 | 2019-09-06 | 深信服科技股份有限公司 | 文件传输方法、装置、设备及计算机可读存储介质 |
| CN113767609A (zh) * | 2019-05-03 | 2021-12-07 | 微软技术许可有限责任公司 | 控制对边缘设备的资源的访问 |
| CN114511970A (zh) * | 2022-01-07 | 2022-05-17 | 湖南省烟草公司怀化市公司 | 一种智助烟仓 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2542175B (en) * | 2015-09-10 | 2019-12-04 | Openwave Mobility Inc | Intermediate network entity |
| US10516653B2 (en) | 2016-06-29 | 2019-12-24 | Airwatch, Llc | Public key pinning for private networks |
| US11605037B2 (en) * | 2016-07-20 | 2023-03-14 | Fisher-Rosemount Systems, Inc. | Fleet management system for portable maintenance tools |
| US10438019B2 (en) | 2017-05-04 | 2019-10-08 | Microsoft Technology Licensing, Llc | Cross container user model |
| US10587582B2 (en) * | 2017-05-15 | 2020-03-10 | Vmware, Inc | Certificate pinning by a tunnel endpoint |
| US11177963B2 (en) * | 2017-12-12 | 2021-11-16 | Thales Dis France Sa | Method for authenticating a user based on an image relation rule and corresponding first user device, server and system |
| US11546334B2 (en) * | 2019-07-29 | 2023-01-03 | Citrix Systems, Inc. | Client device configuration for remote digital workspace access |
| US11182995B1 (en) * | 2019-11-25 | 2021-11-23 | Wells Fargo Bank, N.A. | Systems and methods for remotely accessing secured spaces |
| US11449625B2 (en) * | 2021-01-18 | 2022-09-20 | Vmware, Inc. | Optimized directory enumeration and data copy for client drive redirection in virtual desktops |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060106897A1 (en) * | 2004-11-15 | 2006-05-18 | Alexey Sapozhnikov | System and method for dynamically constructing synchronized business information user interfaces |
| CN101772895A (zh) * | 2007-05-03 | 2010-07-07 | 三维实验室公司 | 远程配置便携式设备的用户界面的方法 |
| US20100275200A1 (en) * | 2009-04-22 | 2010-10-28 | Dell Products, Lp | Interface for Virtual Machine Administration in Virtual Desktop Infrastructure |
| US20120005334A1 (en) * | 2007-10-05 | 2012-01-05 | Murali Raja | Systems and methods for monitoring components of a remote access server farm |
| CN102438216A (zh) * | 2011-12-26 | 2012-05-02 | 郑州信大捷安信息技术股份有限公司 | 增强智能手机短消息、电子邮件和语音通信安全性的方法 |
| US20140122875A1 (en) * | 2012-10-31 | 2014-05-01 | Ubs Ag | Container-based management at a user device |
| CN103810021A (zh) * | 2014-02-19 | 2014-05-21 | 福建升腾资讯有限公司 | 一种vdi下基于宿主机的虚拟桌面显示方法及其系统 |
| CN103812829A (zh) * | 2012-11-08 | 2014-05-21 | 华为技术有限公司 | 一种提高远程桌面安全性的方法、远程桌面服务器及系统 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5878258A (en) | 1996-05-06 | 1999-03-02 | Merrill Lynch, Pierce, Fenner & Smith | Seamless application interface manager |
| US6327628B1 (en) * | 2000-05-19 | 2001-12-04 | Epicentric, Inc. | Portal server that provides a customizable user Interface for access to computer networks |
| JP2003069547A (ja) | 2001-08-29 | 2003-03-07 | Fujitsu Ltd | マルチキャスト通信システム |
| US7062502B1 (en) | 2001-12-28 | 2006-06-13 | Kesler John N | Automated generation of dynamic data entry user interface for relational database management systems |
| US8364845B2 (en) * | 2005-05-19 | 2013-01-29 | Wyse Technology Inc. | Method and system for thin client configuration |
| US20070078705A1 (en) * | 2005-09-30 | 2007-04-05 | Timothy Abels | Virtualizing portals for electronic commerce |
| US8850525B1 (en) * | 2008-09-17 | 2014-09-30 | United Services Automobile Association (Usaa) | Access control center auto configuration |
| US8370509B2 (en) | 2009-04-09 | 2013-02-05 | Alcatel Lucent | Identity management services provided by network operator |
| US8468455B2 (en) * | 2010-02-24 | 2013-06-18 | Novell, Inc. | System and method for providing virtual desktop extensions on a client desktop |
| EP2548200A4 (en) | 2010-03-19 | 2014-01-22 | Siemens Healthcare Diagnostics | SYSTEM AND METHOD FOR MODEL WINDOW MODEL WINDOWS |
| US9189228B2 (en) | 2011-07-01 | 2015-11-17 | Adobe Systems Incorporated | Systems and methods for developing and testing electronic content using multiple devices |
| US9378359B2 (en) * | 2011-10-11 | 2016-06-28 | Citrix Systems, Inc. | Gateway for controlling mobile device access to enterprise resources |
| US20140108793A1 (en) | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
| US9355223B2 (en) | 2013-03-29 | 2016-05-31 | Citrix Systems, Inc. | Providing a managed browser |
-
2016
- 2016-05-06 CA CA2985173A patent/CA2985173A1/en not_active Abandoned
- 2016-05-06 JP JP2018510327A patent/JP2018521431A/ja active Pending
- 2016-05-06 EP EP20184042.8A patent/EP3828718A1/en not_active Withdrawn
- 2016-05-06 EP EP16790189.1A patent/EP3292475B1/en active Active
- 2016-05-06 AU AU2016258176A patent/AU2016258176A1/en not_active Abandoned
- 2016-05-06 CN CN201680039856.7A patent/CN108027799A/zh active Pending
- 2016-05-06 US US15/572,236 patent/US11115211B2/en active Active
- 2016-05-06 WO PCT/US2016/031300 patent/WO2016179536A1/en unknown
- 2016-05-06 KR KR1020177035263A patent/KR20180002841A/ko unknown
-
2018
- 2018-09-27 HK HK18112376.9A patent/HK1253010A1/zh unknown
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060106897A1 (en) * | 2004-11-15 | 2006-05-18 | Alexey Sapozhnikov | System and method for dynamically constructing synchronized business information user interfaces |
| CN101772895A (zh) * | 2007-05-03 | 2010-07-07 | 三维实验室公司 | 远程配置便携式设备的用户界面的方法 |
| US20120005334A1 (en) * | 2007-10-05 | 2012-01-05 | Murali Raja | Systems and methods for monitoring components of a remote access server farm |
| US20100275200A1 (en) * | 2009-04-22 | 2010-10-28 | Dell Products, Lp | Interface for Virtual Machine Administration in Virtual Desktop Infrastructure |
| CN102438216A (zh) * | 2011-12-26 | 2012-05-02 | 郑州信大捷安信息技术股份有限公司 | 增强智能手机短消息、电子邮件和语音通信安全性的方法 |
| US20140122875A1 (en) * | 2012-10-31 | 2014-05-01 | Ubs Ag | Container-based management at a user device |
| CN103812829A (zh) * | 2012-11-08 | 2014-05-21 | 华为技术有限公司 | 一种提高远程桌面安全性的方法、远程桌面服务器及系统 |
| CN103810021A (zh) * | 2014-02-19 | 2014-05-21 | 福建升腾资讯有限公司 | 一种vdi下基于宿主机的虚拟桌面显示方法及其系统 |
Non-Patent Citations (2)
| Title |
|---|
| S. RADOVANOVIĆ等: "Device Cloud platform with customizable Remote User Interfaces", 《2014 IEEE FOURTH INTERNATIONAL CONFERENCE ON CONSUMER ELECTRONICS BERLIN (ICCE-BERLIN)》 * |
| 常军等: "虚拟桌面基础架构(VDI)安全研究", 《计算机光盘软件与应用》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113767609A (zh) * | 2019-05-03 | 2021-12-07 | 微软技术许可有限责任公司 | 控制对边缘设备的资源的访问 |
| CN113767609B (zh) * | 2019-05-03 | 2023-04-04 | 微软技术许可有限责任公司 | 控制对边缘设备的资源的访问 |
| CN110213274A (zh) * | 2019-05-31 | 2019-09-06 | 深信服科技股份有限公司 | 文件传输方法、装置、设备及计算机可读存储介质 |
| CN114511970A (zh) * | 2022-01-07 | 2022-05-17 | 湖南省烟草公司怀化市公司 | 一种智助烟仓 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018521431A (ja) | 2018-08-02 |
| EP3292475A4 (en) | 2018-10-31 |
| AU2016258176A1 (en) | 2017-11-30 |
| US11115211B2 (en) | 2021-09-07 |
| HK1253010A1 (zh) | 2019-06-06 |
| KR20180002841A (ko) | 2018-01-08 |
| US20180123795A1 (en) | 2018-05-03 |
| WO2016179536A1 (en) | 2016-11-10 |
| CA2985173A1 (en) | 2016-11-10 |
| EP3292475A1 (en) | 2018-03-14 |
| EP3828718A1 (en) | 2021-06-02 |
| EP3292475B1 (en) | 2020-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108027799A (zh) | 用于在未受管理的并且未受防护的设备上的资源访问和安置的安全容器平台 | |
| US11750609B2 (en) | Dynamic computing resource access authorization | |
| US11323480B2 (en) | Policy enforcement and introspection on an authentication system | |
| CN106471783B (zh) | 经由网关的企业系统认证和授权 | |
| CN104838630B (zh) | 基于策略的应用程序管理 | |
| CN105378744B (zh) | 在企业系统中的用户和设备认证 | |
| CN105308923B (zh) | 对具有多操作模式的应用的数据管理 | |
| EP3138035B1 (en) | Method and apparatus for multi-tenancy secrets management | |
| US20150381580A1 (en) | System and method to use a cloud-based platform supported by an api to authenticate remote users and to provide pki- and pmi- based distributed locking of content and distributed unlocking of protected content | |
| US11212347B2 (en) | Private content storage with public blockchain metadata | |
| CN113316783A (zh) | 使用活动目录和一次性口令令牌组合的双因素身份认证 | |
| US20140245377A1 (en) | Secure mobile framework | |
| US20130061335A1 (en) | Method, Apparatus, Computer Readable Media for a Storage Virtualization Middleware System | |
| CN108011862A (zh) | 镜像仓库授权、访问、管理方法及服务器和客户端 | |
| CN112913213A (zh) | 用于为经由客户机应用的嵌入式浏览器访问的网络应用呈现附加内容的系统和方法 | |
| US10630662B1 (en) | Key rotation with external workflows | |
| CN106031128B (zh) | 移动设备管理的方法和装置 | |
| CN107924431B (zh) | 匿名应用程序包装 | |
| CN111274569A (zh) | 统一登录认证的研发运维集成系统及其登录认证方法 | |
| WO2022262322A1 (zh) | 认证方法、装置、系统、电子设备及存储介质 | |
| US11874916B2 (en) | User device authentication gateway module | |
| CN103793658B (zh) | 一种基于vpn的离线文件的保护系统及方法 | |
| TWM617427U (zh) | 具隱私保護的風險資訊交換系統 | |
| CN113724041A (zh) | 一种电力数据在线交易系统及交易更新方法 | |
| EP2790123A1 (en) | Generating A Data Audit Trail For Cross Perimeter Data Transfer |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1253010 Country of ref document: HK |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20210125 Address after: Massachusetts, USA Applicant after: BA Shencha Co.,Ltd. Address before: new jersey Applicant before: AppBus, Inc. |
|
| TA01 | Transfer of patent application right | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180511 |
|
| WD01 | Invention patent application deemed withdrawn after publication |