JP2011082983A - ネットワークリソースを保護するための装置及び方法 - Google Patents
ネットワークリソースを保護するための装置及び方法 Download PDFInfo
- Publication number
- JP2011082983A JP2011082983A JP2010226314A JP2010226314A JP2011082983A JP 2011082983 A JP2011082983 A JP 2011082983A JP 2010226314 A JP2010226314 A JP 2010226314A JP 2010226314 A JP2010226314 A JP 2010226314A JP 2011082983 A JP2011082983 A JP 2011082983A
- Authority
- JP
- Japan
- Prior art keywords
- organization
- certificate
- customer
- cde
- global
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
【課題】ネットワーク資源を不正アクセスから保護し、新しい顧客装置へのアクセスを可能とする装置及び方法の提供。
【解決手段】グローバルサーバが、グローバル及び組織ルート証明書によって構成され、AP(アクセスポイント)へグローバルサーバ/顧客証明書を発行し、次に、CDE(顧客装置イネーブラ)へグローバル顧客証明書を発行し、組織へ複数のAP及び/又はCDEが選択され、グローバルサーバのAP及びCDEの識別を記憶し引き渡し、APが展開され、組織証明書によってAPを構成し、新しい顧客装置を「提供」するためにCDEをダウンロード又は結合し、グローバルPKIを使ってAPとCDEが相互自己認証し、APへ新しい顧客への証明要求を発行し、APは組織PKI内の顧客へ顧客証明書を発行し、APは組織の顧客ホワイトリストへ新しい顧客を追加し、APの組織中間CA証明書とCDEのグローバル顧客証明書をロールオーバーする。
【選択図】図2
【解決手段】グローバルサーバが、グローバル及び組織ルート証明書によって構成され、AP(アクセスポイント)へグローバルサーバ/顧客証明書を発行し、次に、CDE(顧客装置イネーブラ)へグローバル顧客証明書を発行し、組織へ複数のAP及び/又はCDEが選択され、グローバルサーバのAP及びCDEの識別を記憶し引き渡し、APが展開され、組織証明書によってAPを構成し、新しい顧客装置を「提供」するためにCDEをダウンロード又は結合し、グローバルPKIを使ってAPとCDEが相互自己認証し、APへ新しい顧客への証明要求を発行し、APは組織PKI内の顧客へ顧客証明書を発行し、APは組織の顧客ホワイトリストへ新しい顧客を追加し、APの組織中間CA証明書とCDEのグローバル顧客証明書をロールオーバーする。
【選択図】図2
Description
本発明は、コンピュータシステム及びデータセキュリティ(安全性)の分野に係り、より詳細には、不正アクセスからネットワークリソースを保護すると共に、新しい顧客装置のネットワークリソースへのアクセスを可能とする装置及び方法を提供する。
ネットワーク上のコンピュータシステムを効率的に操作および設定するためには、高度な知識が必要とされる。大規模な組織は、通常、多数のITスタッフを維持することにより、新しい機器の設定、既存の機器の維持、ユーザの機器使用サポート、安全ポリシーの適用、およびネットワークセキュリティーの監視、などを行っている。しかし、特に小規模な組織は、同様の機能を果たすために十分な数の正規ITスタッフを賄うことができず、組織内におけるIT業務に携わる者は、多数の問題に対応することができない可能性がある。
特に、組織内におけるネットワークリソースを不正アクセスから保護する重要な仕事は、十分に効果的に果たされていない場合がある。問題の複雑性のため、ネットワークが違反行為にさらされて初めてシステムの有効性の欠落が組織に明かされる場合もある。電子的に格納されるデータ量は大量な域に達しており、日々増える傾向にあるため、ネットワークにおける安全性の維持は重要な課題である。
本発明のいくつかの実施の形態において、特に、組織内の新しい顧客装置の自動設定に関連して、組織のネットワークリソースを保護するための装置及び方法が提供されている。不正アクセスからリソースを保護する一方、全ての認証された担当者(ユーザ)のアクセスを完全に支援することは、リソースの使用を求める全てのエンティティ(集合体)を証明書に基づいて認証することを可能にする二つの協働するPKI(公開鍵基盤)スキームの使用に基づいている。
第1のグローバル(大域的)なPKIスキームは、大域的に利用可能な認証サーバ(例えば、インターネットを介して、利用可能なサーバ)に根ざしている。ネットワーク装置、クライアント(顧客)を認証し、組織のネットワークへのアクセスを承認するために使用される認証手段、及び、新しい顧客装置を設定するために使用される顧客装置イネーブラ(CDE)に対しては、グローバルPKI内で証明書が発行される。このスキームは、動作上の理由から望ましいか否かによって、ネットワーク装置、顧客装置、及び認証手段が、どの組織によって使用されるかを知る前に設定されることを可能とするために行われる。
特定の組織に結合されたネットワーク装置、認証手段、及びCDEの識別子(例えば、シリアル番号、顧客証明書など)は、ネットワークへのアクセスを許可されたユーザや装置に限定することを補助するために、記録され組織の認証手段の間で共有される。認証手段は、独立型ネットワークコンポーネントであってよいし、又は、アクセスポイント(例えば、無線アクセスポイント)、スイッチ、又は他の通信装置と共同配置されてもよい。
第2の組織別PKIスキームもまた、利用可能性が高い認証サーバ又は他のリソースに根差している。個別のルートCA(認証)は、組織別に管理される。組織の認証手段には、組織のサブルート(中間)CA証明書が発行され、このCA証明書によって、組織のPKI内で、新しい顧客装置へ顧客証明書を発行させる、これによって、ルートCAが一時的に使用不可能な場合、又はオフラインの場合でも、認証手段は、新しい証明書を発行することができる。
特定の組織に対して新しい顧客装置を設定するために、その組織と結合したCDEは、グローバルPKIのもとで発行された証明書を用いて、組織の認証手段の一つと相互認証を行う。認証の成功後、CDEは、組織のPKI内で、顧客装置への新しい組織の顧客証明書をリクエストし、認証手段は、顧客証明書を発行する。
顧客装置が設定された後、顧客装置は、組織証明書を使用して、認証手段に対して自己認証し、組織のネットワークへアクセスする。いくつかの実施の形態において、顧客の証明書(又はその指紋)は、組織の認証手段間で共有されるホワイトリストに追加される。このホワイトリストは、到達可能になった時、グローバル管理サーバと共有するか、又は、局所的(ローカル)手段を介して、共有することができる。
組織の認証手段及びCDEの識別子(例えば、証明書、証明指紋、他の識別子)も、ホワイトリストとして、広めることができる。このホワイトリストは、使用可能となった場合、グローバル管理サーバを介して、又は、他のローカル手段を介して、広めることができる。損失、盗難、又は紛失に遭ったコンポーネント又は装置は、ホワイトリストから外されるか、及び/又は、使用されように、ブラックリストに入れられる。
いくつかの実施形態においては、グローバルルートCAへの接続が使用可能になった場合に、新しい顧客が設定された後、現在設定中の認証手段の中間CA証明書(組織PKI内にある)及び現在設定中のCDEの顧客証明書(グローバルPKI内にある)は、交換されるか、使用後に更新される。例えば、カウンタ又は他の識別データフィールドを新しい証明書において変更することができる。これらの証明書を定期的に更新することによって、認証手段又はCDEが、損失、盗難、又はセキュリティ侵害に遭った場合でも、すぐに修正措置を取ることができる(即ち、該当する証明書がホワイトリストから外され、ブラックリストに加えられる)。使用後、可能であれば、いつでも、CDE顧客証明書及び認証手段の中間CA証明書をロールオーバーすることによって、各証明書の下で発行されている顧客証明書の数が削減され、これらを無効化したりブラックリストに入れたりすることによる影響が緩和される。更に、CDEのコピーの検出がより迅速に行われる。
本発明のいくつかの実施の形態において、組織側の実質的な専門知識や労力を必要とせずに、組織のネットワークリソースを不正アクセスから保護するための装置及び方法が提供されている。これらの実施例において、ネットワーク内での動作設定が行われた時、個々の装置(例えば、新しい顧客装置)は、セキュリティスキームに参加する。
多数のPKI(公開鍵基盤)が、ネットワーク装置を認証し、ネットワークの動作を許可するために使用されるが、組織は、PKIの管理及び動作に専用に用いるためのサーバを維持する必要はない。代わりに、サーバが使用不可能になった場合でも、継続して機能することができるクラウドベースの認証サーバが、インフラストラクチュアを管理する。PKIの指示に従って、証明書が発行され、コンポーネントは、組織のネットワークにアクセスする前に、証明書に基づく認証スキームに認められる必要がある。
より具体的には、グローバルPKIスキームは、組織の新しい顧客処理装置を設定するために動作する顧客装置イネーブラ(CDE)、及び、組織のネットワークへアクセス可能となる前にCDEと顧客装置を相互認証する組織の認証手段(例えば、無線アクセスポイント、スイッチ)へ、証明書を分配する。このように、CDEと認証手段の間の認証は、グローバルPKI証明書を用いて実行され、新しい顧客を認証する目的のために実行される。これによって、CDEは、動作上の望ましいかどうかの判断によって、CDEが使用される組織を知る前に、設定されることが可能となる。グローバル管理サーバにおいては、任意のCDEの所有権を追跡すべくテーブル(表)が維持される。
組織別のPKIスキームは、組織の認証手段へ、中間CA(認証局)証明書とサーバ証明書を配布し、組織の顧客へ顧客証明書を配布することができる。このように、組織のネットワークを定期的に使用するには、組織の証明書による相互認証が要求される。(ネットワーク装置には、さまざまな用途の組織証明書が発行される。例えば、顧客証明書を発行させる中間CA証明書、及び、ネットワークを顧客と相互認証させるためのサーバ証明など。)
図1は、本発明のいくつかの実施の形態が実行される処理環境を示すブロック図である。
これらの実施の形態において、グローバルサーバ110は、一つ以上の組織のためのPKIを管理し、ネットワーク140を介してアクセス可能であり、インターネット、組織的イントラネット及び/又は他の一般及び/又は個人のネットワークを含むことができる。以下に記載されているように、組織のネットワーク及びネットワークリソースは、(例えば、ネットワーク140の機能停止のため、)グローバルサーバが利用できない場合でも、保護することができ、認証されたユーザは、完全アクセスが可能である。
グローバルサーバ110は、認証サーバと見なすことができる。というのは、一つ以上のPKIのルートとしての働きをするからである。他の実施の形態において、サーバ110の機能(例えば、認証、PKI管理、装置登録)は、複数のエンティティ間で分割することができる。
グローバルサーバ110には、ネットワーク140によって、組織のアクセスポイント(AP)及び/又は他の通信装置及びネットワーク装置が結合されている。例えば、 無線アクセスポイント(WAP)130a−130mは、個々の組織(即ち、組織A)に代わって、ネットワークアクセスとリソース間の通信を提供するために動作する。組織のリソースも、ラップトップ型及びノート型パソコン、パーソナル携帯端末(PDA)、ネットブック、デスクトップコンピュータ、ワークステーションなどの任意の数及び任意の種類の顧客装置132を含む。
アクセスポイント(AP)130は、認証手段と見なすことができる。というのは、AP130は、相互認証スキームに参加して、ネットワークリソースへのアクセスを認証されたエンティティに限定するからである。
アクセスポイント130は、ネットワークリソースへのアクセスを提供し保護するために、組織が使用できる認証手段の例示的な形態にすぎない。ネットワークリソースへのアクセスを保護するために認証手段として作動することができる他の種類の装置の例としては、スイッチ、ルータ、VPN(仮想プライベートネットワーク)ゲートウェイなどがあげられる。
クライアント(顧客)装置イネーブラ(CDE)120は、設定論理122を実行することによって、組織内で動作するための新しい顧客装置の設定を補助するように構成される。本発明のいくつかの実施の形態において、CDE120は、USB(ユニバーサルシリアルバス)装置、コンパクトディスク、又は他の取外し可能な格納(記憶)媒体を含む。他の実施の形態において、CDE120は、ネットワークダウンロード、電子メール、インスタント・メッセージ、又は他の手段を介して、装置に配信できる論理の集合を含む。
新しい装置が構成される時、CDEは、装置に結合されるか又はインストールされる。次に、設定論理は、組織のネットワーク内で動作するための装置を構成することを実行し、一つ以上のディジタル証明書をインストールすることを含むことができる。
本発明のいくつかの実施の形態において、顧客装置イネーブラは、複数の顧客装置を設定するために、複数回、使用することができる。顧客装置イネーブラは、それが使用される度に、組織の認証手段のうちの1つによってそれ自体を相互認証する必要がある。認証手段は、CDEによって提供されるディジタル証明書を認証するだけでなく、CDE識別(例えば、証明書のシリアル番号)を、組織(例えば、ホワイトリスト)内で使用するために承認されたCDEのリストと、照合する。この認証及び確認は、CDEの証明書の指紋を、(グローバル管理サーバ又は他の局所的手段によって全ての組織の認証手段に予め送られている)許容可能な指紋リストと単に照合するだけでも、実行することができる。
いくつかの顧客装置イネーブラは、最大使用回数を限定することができる(例えば、1、5、10)。この種のCDEが顧客を設定するために使用される場合、カウンタは、(例えば、グローバルサーバ110上の)中央データベース及び/又は組織のAP130間で共有されるリストにおいて、増分することができる。承認回数分を使用された後のCDEは、それ以降に有効なCDEとして受け入れられないように、データベース及び/又は許容可能リストから取り除かれる。
本発明のいくつかの実施の形態において、組織のネットワーク内のアクセスポイントは、2つの動作モードを支持することができる。1つのモードは、許可され、認証された装置にネットワークリソースの完全使用を提供する。このモードは、組織のPKI内で発行された顧客ディジタル証明書によって、設定され、構成された顧客装置によって使用可能である。
第2のモードは、いくつかのネットワークリソースの限定使用を可能にする。この第2モードの動作において、「ゲスト」の顧客(例えば未だに設定されていない新しい顧客装置)は、電子メール、ネットワークダウンロード、又は他の伝送方法を介して、ソフトウェアベースのCDEを受信するために充分なアクセスを得ることが可能である。顧客装置を設定するために、CDEがダウンロードされ、実行された後、装置は、完全なネットワークアクセスのために、第1のモードの動作において、動作することが可能である。
ネットワーク及びネットワークリソースを保護するために、グローバルサーバ110は、データベース112及び様々なPKI証明書を含む。データベース112は、組織のネットワークに参加することを許可された機器又は装置の識別子を記憶する。アクセスポイント及び顧客装置イネーブラなどの新しいネットワークリソースが組織のネットワークで使用することが許可されると、それらの識別が組織に関連付けられて、データベースに記憶される。
グローバルサーバによって記憶されたPKI証明書には、グローバルCA(認証局)ルート証明書150が含まれ、グローバルサーバによって扱う各組織には、その組織に特有のCAルート証明書170がある。例えば、組織A〜Nに対しては、グローバルサーバは、組織CAルート証明書170a〜170nを記憶する。
このように、複数のPKIは、グローバルサーバに固定される。CAルート証明書150に根差したグローバルPKIは、グローバルセキュリティスキームを実施するためのディジタル証明書のフレームワーク全体を提供する。グローバルセキュリティスキームは、認証されていない装置がネットワークリソースを使用することを防止すると共に、CDE及び認証手段が組織内に新しい顧客装置を設定することを可能にする。これは、「グローバル」PKIと呼ばれる。
各組織に対して一つの更なるPKIは、それぞれのCAルート証明書に根差しており、対応する組織内で使用するためのディジタル証明書のフレームワークを構築するために使用される。組織別の証明書は、組織のネットワークへの定期的なアクセスを判定するための事後設定に使用される。これらのPKIは、「組織」PKIと呼ぶことができる。
グローバルサーバが維持するルート証明書ごとに、グローバルサーバも対応する個人鍵を所有している。これによって、サーバに、装置及び機器のための新しい証明書を発生させることができる。グローバルサーバにおけるグローバルPKI及び組織PKIを管理することによって、個々の組織がそれらのPKIを管理することに努力又はリソースを注ぐ必要がないことが分かる。
組織の認証手段(例えば、組織Aの無線アクセスポイント130m)も、様々なディジタル証明書を記憶する。これらの証明書は、CDEが新しい顧客装置を設定しようと試みる時、顧客装置イネーブラにそれ自体を認証させるために、グローバルルート証明書150によって署名されたサーバ証明書154を含むことができる。AP130mは、それ自体をグローバルサーバ110に認証させるために、やはり、グローバルルート証明書150によって署名されたグローバル顧客証明書156を更に含む。
組織AのPKIに関しては、AP130mは、(対応する公開鍵を組み込む)組織のルート証明書170aのコピーを含む。これらは、APによって、顧客を認証させることができる。顧客のためのホワイトリストが使用中の場合、APは、許容できる顧客証明書のリスト又は許容できる顧客証明書の指紋のリストのいずれかを含むことができる。接続が利用可能になった時毎にこのリストはグローバル管理サーバによって更新される。
AP130mは、組織CAルート証明書170aによって署名され、この証明書より下位である、組織A(証明書172a)のための中間CA証明書も含む。これは、APが、グローバルサーバを使わずに、組織PKI内に顧客ディジタル証明書を発行することを可能にする(そして、サーバがオフラインである時でも、新しい顧客を使用可能にすることができる)。最後に、APもルート証明書170aによって署名されたサーバ証明書174を有し、顧客装置に対してAPが自身を認証することができる。
図1において示された本発明の実施の形態において、CDEが新しい顧客装置を設定するため動作する時にアクセスポイントにそれ自体を認証させるために、顧客装置イネーブラ(CDE)120は、(グローバルルート証明書150によって署名された)グローバル顧客証明書158を所有する。組織PKIに関しては、CDE120は、ルート証明書170aと対応する公開鍵のコピーを有し、それによって、組織アクセスポイント130を認証することができる。
アクセスポイント130m及び/又はCDE120も、グローバルCAルート証明書150のコピーを記憶する。
図1において表わされる本発明の実施の形態において、個々の顧客132は、組織のPKI内で発行される証明書だけを所有する。特に、顧客は、組織AのルートCA証明書170aのコピーを有し、これによって、組織のネットワークに接続する時に、APを認証することができる。顧客も中間CA証明書172aによって(及び、拡張により、ルート証明書170aによって)署名された顧客証明書176aと、発行する認証手段の中間CA証明書172aと、を所有する。これらの証明書が装置によってそれ自体をAPに認証させる。
装置が顧客装置イネーブラによって設定される時、組織の顧客装置132の証明書の構成が、組み立てられる。設定の前に、顧客装置は、組織証明書を持っていない場合があり、(おそらく、限られた「ゲスト」モードを除いて)組織ネットワークにアクセスすることが不可能な場合もある。
しかしながら、本発明の他の実施の形態において、顧客装置は、グローバルCAルート証明書150によって署名されたグローバル顧客証明書を既に備えた組織によって受信することができる。この証明書は、認証手段を有する初期認証を可能とするために使用することができ、その後、顧客上にすでにインストールされるか、又は、認証手段又は他のネットワーク場所からダウンロードされるソフトウェアを使用して、設定することができる。
このように、本明細書中で記載されている本発明の実施の形態において、グローバルPKIは、新しい顧客装置の安全な設定を可能とするために、顧客装置イネーブラと組織の認証手段(例えば、アクセスポイント)の間の信頼できる通信を可能とするために使用される。また、グローバルPKIは、認証手段とグローバルサーバによって、それら自体を互いに対して、相互認証させる。
組織のPKIは、組織のネットワークリソースの使用を認証するために使用される。このように、CDEが新しい顧客装置を設定することが許可された後、顧客は、アクセスポイントにそれ自体を認証させるために、組織PKI内で発行された証明書を使用するように構成される。
本発明のいくつかの実施の形態において、組織の認証手段は、どのエンティティが組織のネットワークにアクセスできるか又はアクセスできないかを判断することを補助するために、一つ以上のホワイトリスト190及び/又はブラックリストを共有する。
例えば、新しい顧客が設定され、ネットワークに受け入れられた後、その顧客証明書及び/又は他の識別子が顧客ホワイトリストに追加される。ホワイトリストが全ての認証手段に配布されると、それらは、直接、(即ち、その証明書チェーンによってそれを認証せずに、)顧客を認証することができる。
例えば、顧客ホワイトリストは、承認された顧客の証明書の指紋(例えば、ハッシュ)を含むことができ、顧客が認証のためのその証明書を提出する時、認証手段は、単に提出された証明書から比較指紋を生成し、顧客の識別及び認証を検証するために、その指紋をホワイトリストの一つと比較することができる。
新しい顧客の設定と更新されたホワイトリストの配布との間の期間において、認証手段は、通常のやり方で、その証明書チェーンを介して、顧客を認証することができる。顧客が無効であるとみなされた場合、その証明書は、ホワイトリストから単純に除去することができ、及び/又は、それがネットワークにアクセスすることを防止するために、ブラックリストに追加することができる。
組織の認証手段の中で共有することができる他のホワイトリストは、認証手段の組織の中間CA証明書(又はその指紋)のリストである。顧客の証明書が顧客ホワイトリストに追加される前に、個々の認証手段が新しい顧客装置に発行された組織の顧客証明書を認証することを助ける。
共有することができる更に他のホワイトリストは、有効な顧客装置イネーブラのグローバル顧客証明書(又はその指紋)を含む。所定数の顧客を設定した後、CDEが無効になり、損失され、又は、盗難に遭った場合、そのCDEは、CDEホワイトリストから取り除くことができ、認証手段がそのCDEを承認し、そのCDEによって、他の装置を設定させることを防止する。
本発明のいくつかの実施の形態において、別々のCDE管理サーバ(又はCMS)は、組織のCDEを登録するために実施することができる。CMSは、組織のネットワーク内、又は、ネットワークの外部(例えば、図1のグローバルサーバ110によって)に配置することができる。組織に結合される各CDEは、CMSにおいて登録することが必要となり、及び/又は、CMSは、例えば、CDE論理をダウンロードするか又は電子メールを送信することによって、又は、ソフトウェアをUSBドライブ、コンパクトディスク、又は他の携帯用格納装置に記憶することによって、新しいCDEを生成するか又は発行するように構成することができる。
図2は、本発明のいくつかの実施の形態による、新しい顧客装置を設定すると共に、不正アクセスからネットワークリソースを保護する方法を示す流れ図である。
これらの実施の形態において、EAP-TLS(拡張認証プロトコル−トランスポート層セキュリティ)は、ネットワークエンティティ間の相互認証のために、証明書に基づいた安全なスキームを提供するために使用される。EAP-TLSセキュリティスキームのTLS部分は、組織のネットワーク内での顧客のデータ接続を暗号化するために使用されないが、寧ろ、顧客及びネットワークを認証するために使用され、顧客のデータ接続を暗号化するために使用される他の暗号化鍵の安全な交換を可能とする。
EAP-TLSは、上記の「組織」PKIを提供するか又はサポートする。即ち、「グローバル」PKIは、EAP-TLSスキームの外部で維持される。図2に関連して、記載した方法は、単一の組織PKIを使用しているが、EAP-TLS仕様に対して提供されるように、二重PKIの使用が、本発明の範囲を逸脱することなく、適用可能であることを当業者は理解するであろう。
動作200において、グローバル認証サーバは、グローバルPKIのCAルート証明書によって構成される。本明細書に記載されているように、組織がそれらのネットワークを保護させることを選択した時、グローバルサーバには、個々の組織のPKIのCAルート証明書が投入される。
有利なことには、認証サーバは、専ら、組織のネットワーク及びリソースを保護するために用いられるセキュリティのファシリテータ(まとめ役)又は他のエンティティ(集合体)によって、管理される。これは、組織を、それらのセキュリティに関する姿勢の一定した意識を維持し、ディジタル証明書の発行及び取り消しを管理し、CDEの構成する必要性から、解放することができる。
動作202において、認証サーバは、グローバルPKI内で選択された認証手段(例えば、無線アクセスポイント、スイッチ)へ適当なディジタル証明書を発行する。例えば、認証手段には、グローバルサーバに自己認証させるための顧客グローバル証明書、及び顧客装置を設定するために動作する顧客装置イネーブラなどの他の装置に対して自己認証させるためのサーバグローバル証明書が発行される。
図2に提供されている本発明の方法の動作を説明するために、認証手段の一例として、アクセスポイント(AP)が使用される。本発明の他の実施の形態は、他の種類の認証手段を使用することができる。
動作204において、認証サーバは、顧客装置イネーブラに適切なディジタル証明書を発行する。具体的には、これらの実施の形態において、CDEには、顧客グローバル証明書が発行され、これらの証明書によって、CDEは、展開されたアクセスポイントに対して自己認証することができる。いくつかの実施の形態において、アクセスポイント及び/又はCDEにも、認証サーバのグローバルルート証明書と対応する公開鍵のコピーを投入することができる。
動作202〜204において、グローバルディジタル証明書を受信するアクセスポイント及び顧客装置イネーブラがまだ使用されておらず、まだ組織と関連付けされておらず、組織ディジタル証明書もまだ発行されていないことが分かる。しかしながら、手短にいえば、アクセスポイントと顧客装置イネーブラが適切なグローバル証明書を有しているので、必要に応じて(例えば、組織によって要求された時など)、展開することができ、グローバルPKI内部で自己認証することができ、次に、必要な組織証明書を受信することができる。
動作206において、一つ以上のAP及びCDEは、組織へ又は組織内で展開するために選択される。例えばグローバル認証サーバを操作するエンティティは、組織によって必要とされるまで、この装置を維持することができる。組織が装置を注文する時、組織PKIを介して発行される証明書を受信する前であっても、APとCDEを直ちに送信することができる。
本発明のこれらの実施の形態において、CDEは、必要な設定論理及びデータを記憶するUSBサム(親指型)ドライブなどのハードウェアとソフトウェアの両方を含むものである。しかしながら、本発明の他の実施の形態において、CDEは、容易にコピーし、電子メールで送信し、ダウンロードし、又は、ネットワークエンティティ間へ送信することができるソフトウェアを含む。
本発明のいくつかの実施の形態において、一つ以上のCDEは、各アクセスポイントと共に出荷される。このように、本発明のこれらの実施の形態において、組織は、組織のネットワーク内で作動中の一つ以上の顧客装置を得るために必要とされる全ての装置を受領する。グローバル管理サーバは、引き渡されたCDEとAPのマッピングを記憶する。そこで、APが特定の組織に登録される時、そのAPと共に出荷されたCDEがその組織に自動登録される。
動作208において、選択されたAPとCDEの識別がグローバルサーバに記憶され、組織に結合される。例えば、それらのシリアル番号、IP(インターネットプロトコル)アドレス、MAC(媒体アクセスコントロール)アドレス、又は、他の識別用索引が記憶される。
その後、装置がサーバに接続される時(例えば、組織のネットワークに最初に接続された後)、グローバルサーバは、装置が適合組織に関連付けられ、接続され、及び装置が異なるアイテムに対して内密に切り替えられなかったことなどを検証することができる。
また更に、動作208において、組織のためのCDEホワイトリストは、選択されたCDEの顧客グローバル証明書、又はその指紋によって、初期化することができ、APホワイトリストは、APの証明書(又は証明用の指紋)によって、初期化することができる。これらのホワイトリスト(又は共にリストを組み立てるデータ)は、認証サーバにおいて管理することができる。また、動作208において、AP及びCDEは、組織に引き渡されるか又は配布される。
動作210において、組織は、選択されたアクセスポイントを受信し、展開する。組織のネットワークとの接続時、新しく展開されたAPは、グローバルサーバと接触しようと試みる。接続時、2つのエンティティは、それらのグローバル証明書を使用して、互いを自己認証する。APは、グローバル認証サーバに接続している間、任意の関連するホワイトリスト(又はその更新)のコピーを受信することができる。
それから、グローバルサーバは、APへ、組織のネットワークリソースを具体的に保護するために用いる一組の組織証明書を発行する。恐らく、CDEが新しい顧客装置を設定するために動作する以外は、組織PKI内部で発行された証明書を有する装置だけが、組織のネットワークを完全に使用することが可能である。
本発明のこれらの実施の形態において、APは、組織のCA(認証局)ルート証明書(及び対応する公開鍵)のコピー、APの名前で発行される新しい中間CA証明書(それによって顧客装置へ組織顧客証明書を発行する)、及び、それによって、組織ネットワークにアクセスしようと試みる顧客装置に対して自己認証する組織サーバ証明書を受信する。
動作212において、CDEは、ネットワークアクセスのために設定されるか、又は、ソフトウェアのみのCDEの場合、装置にロードされる(読み込まれる)顧客装置にプラグイン接続される。これらの実施の形態において、顧客装置は、主として、携帯用処理装置を含むが、更に、又は、代わりに、(例えば、デスクトップ、ワークステーションなどの)固定式コンピュータを含むことができる。CDEが接続される前に、顧客装置は、必要に応じて、物理的に構成される(例えば、無線ネットワークカード、一つ以上のUSBポート、データ記憶装置など)。
顧客の設定の一部として、CDEは、それが組織ネットワーク内部で安全に機能することを可能とするために必要な任意の方法において、顧客装置を構成することができる。例えば、CDEは、ネットワークドライバをロードし、ネットワーク接続を構成し、セキュリティパラメータを構築し、ウィルス防止や他の保護ソフトウェアなどをインストールすることができる。設定プロセスは、新しい顧客装置がアクセスポイントと通信することができる時に完了すると考えられ、又は、設定は、顧客装置が組織ネットワーク内で完全に参加するように構成されるまで、更なる動作(例えば、動作214〜218又は220)を介して継続されると考えられる。
動作214において、顧客装置を介して、CDEは、組織のアクセスポイントのうちの1つと接続され、CDE及びAPは、相互に自己認証する。本発明のこれらの実施の形態において、認証は、グローバルPKI(例えば、APのためのサーバ証明書及びCDEのための顧客証明書)内で発行されるそれらのディジタル証明書を使用して、実行される。相互認証によって、CDEとAPは、暗号化されたTLS通信セッションを開くことができる。
動作216において、APに顧客のための組織顧客ディジタル証明書をリクエストするために、CDEは、TLSセッション内で、標準鍵管理プロトコルを実行する。
動作218において、APは、(その組織中間CA証明書を使用して)顧客のために顧客証明書を作成し、署名し、それを、組織ルート証明書と対応する公開鍵のコピーとともに、顧客へ送信する。従って、新しい顧客証明書は、AP(その組織中間CA証明書)と(組織CAルート証明書として作動する)認証サーバを含む一連の署名を有する。
動作220において、APは、組織の顧客ホワイトリストに、顧客を追加する。いくつかの実施形態において、これは、グローバル認証サーバによって(例えば、グローバルPKIを使用して)、安全な通信セッションを開くことによって、又は、顧客の新しい証明書(又はその指紋)をホワイトリストのデータベース又は中心コピーに追加することによって、実行される。ホワイトリストは、新しい顧客のいくつかの識別(例えば、連続番号、ネットワークアドレス)を含むこともできる。
更新されたホワイトリストは、次に、組織のAP同士の間で配布される。このような更新は、ホワイトリストが変更される度に、又は、一定間隔で(例えば、10分、1時間おきに)、配布することができる。
APがグローバル認証サーバと通信できない間でも、新しい顧客装置を設定し、有効な組織顧客ディジタル証明書を付与することができることに注目されたい。このように、組織の外でネットワークとの接続がない場合でも、新しい組織顧客装置を構成し、稼動させることができる。
しかしながら、新しい顧客証明書が全てのAPへ広まるまで、その証明書を発行したAP以外のAPを介して、顧客が組織ネットワークに接続する場合、その証明書は、他のAPによって、完全に認証されなければならない。一旦、更新されたホワイトリストが配布されると、他のAPは、(認証プロセスの間に受信された)顧客の証明書の指紋を生成し、それをホワイトリストに記憶されている指紋と照合するだけでよい。
従って、動作220の後、新しい顧客装置は、組織アクセスポイントによって、安全な通信セッションを開き、その新しい組織顧客証明書を使用し、互いに認証し合い、組織のネットワークにアクセスすることが可能である。
任意の動作222において、一つ以上のエンティティに対するディジタル証明書は、更新されるか又はロールオーバーされる。例えば、本発明のいくつかの実施の形態において、APが新しい組織の顧客ディジタル証明書に署名する度ごとに、APは、グローバル認証サーバと接触して、新しい及び/又は更新された組織の中間CA証明書を要求する。更新された及び/又は差し替えられた証明書は、証明書が、APへ発行された他の組織中間CA証明書と区別させることができる更新されたカウンタ、新しいタイムスタンプ、又はいくつかの他のデータ値を含むことができる。例えば、これは、一つ以上のホワイトリストを更新することに並行して又はその一部として、実行することができる。
本発明のこれらの実施の形態において、APの組織中間CA証明書を定期的に(例えば、全ての新しい顧客が設定された後)更新することは、APが、損失や盗難にあったり、行方不明になった場合、消失後にそのAPが発行するいかなる顧客証明書も容易に識別できるということである。このように、APを損失した場合、そのAPは、組織のAPホワイトリストから外され(及び/又は、ブラックリストに入れられ)、それ以降に、そのAPによって発行され、有効な組織APに提示された顧客証明書は、無効とされる。
同様に、CDEのグローバル顧客証明書は、顧客装置を設定するために使用される度に、更新され、ロールオーバーされ、又は差し替えることができる。前述したように、本発明のいくつかの実施の形態において、CDEは、限定された使用回数においてのみ、有効である。その限定された使用回数が過ぎると(使用回数は、グローバルサーバ及び/又は他の場所において追跡することができる)、CDEは、新しい証明書を受信することができなくなり、組織のCDEのホワイトリストから、取り外すことができる(及び/又は、ブラックリストに入れられる)。
CDEのグローバル顧客証明書を定期的に更新するか又は差し替えることによって、損失又は盗難に遭った場合、CDEは、使用できなくなる。特に、あるCDEが行方不明であると判断された場合、そのCDEは、組織のCDEホワイトリストから外され(及び/又は、ブラックリストに入れられ)、どの組織APもそのCDEによって新しい顧客が設定されないようにする(つまり、CDEからのリクエストに応答して、新しい組織の顧客証明書を発行しない)。更に、CDE証明書の更新によって、CDEのセキュリティが侵害された後に、設定されていた可能性のある顧客はいずれも、識別して、切り離すことができる。
(例えば、組織のインターネットへの接続が中断された時など)グローバル認証サーバに到達できない場合も時にはあるので、AP、CDE及び/又は他の装置のためのディジタル証明書に対する更新は、サーバが使用可能になるまで、延期することができる。例えば、影響を受けた部品(例えば、AP、CDE)でも、当分の間は、今まで通り、継続して、使用することができる。
また、本発明のいくつかの実施の形態において、APは、新しい顧客証明書(又はその指紋)を、(例えば、グローバルサーバに到達できない場合などに、)他の組織APに直接配布することができる。
本発明のいくつかの実施の形態において、顧客装置イネーブラの認証情報は、顧客装置を設定するために使用される前に、グローバル認証サーバによって認証される必要があり、また、その時点で、更新されるか又はロールオーバーされる。これらの実施の形態において、CDEは認証手段に最初にそれ自体を認証する。これらの実施の形態において、CDEは、まず、認証手段に対して自己認証する。ここでは、CDEによって提示される証明書から生成された指紋をホワイトリストの指紋と照合する。この工程で、CDEが合格すれば、その認証情報が認証サーバに渡される。
認証サーバは、このCDEに対するCDE記録を検索し、CDEの認証情報を認証し、更新し、署名し、その組織のCDE記録を更新し、CDEへ戻すために、更新された証明書を認証手段へ戻す。認証サーバも全ての組織APへ更新された指紋を配布する。
図3は、本発明のいくつかの実施の形態による、組織のネットワークリソースへのアクセスを保護する装置を示すブロック線図である。
グローバル管理サーバ300は、通信メカニズム310、グローバルPKIルートメカニズム312、組織別PKIルートメカニズム314、認証メカニズム316、PKI管理メカニズム318、任意の装置登録メカニズム320、及びホワイトリストメカニズム322を含む。本発明の他の実施の形態において、これらのメカニズムのいずれか又は全ては、結合するか又は再分割することができる。
通信メカニズム310は、組織の認証手段(例えば、アクセスポイント、スイッチ)と交信させるように用いられる。通信メカニズムは、サーバの構成及び/又は動作を容易にするために、認証サーバのオペレータによって操作することができるユーザ・インターフェースに関連付けることができる。通信は、TLS又はHTTPSなどの相互認証及び暗号化によって保護される。
グローバルPKIルートメカニズム312は、顧客装置イネーブラ(CDE)及び認証手段が、新しい顧客装置を設定する前に、相互に自己認証することができるグローバルPKIのためのルートCA(認証局)として行動するように用いられる。
組織別PKIルート組織314は、個々の組織のためのルートCAとして行動するように用いられる。各メカニズム314は、対応する組織のネットワーク内で動作する機器及び装置へ、組織ディジタル証明書を出すためのルートとしての働きをする。
認証メカニズム316は、認証サーバ300との安全な通信セッションを開くことを試みる認証手段、CDE、又は他の外部装置を認証するように用いられる。セッションの性質又は目的に応じて、認証手段又は他のエンティティによって出されるディジタル証明書は、グローバルPKIルートメカニズム312又は組織別PKIルートメカニズム314を使用して、認証することができる。
PKI管理メカニズム318は、PKIルートメカニズム312及び/又はメカニズム314を管理するように用いられる。例えば、PKI管理メカニズムは、対応するPKIルートメカニズムの協力を得て、更新された又は代わりのディジタル証明書(例えば、認証手段の組織中間CA証明書、CDEのグローバル顧客証明書)の発行を容易にすることができる。
任意の装置登録メカニズム320は、グローバルPKI及び/又は組織別PKI内で動作するために、一種類以上の装置又は機器を登録するように用いられる。例えば、装置登録メカニズム320は、組織内で使用するためにCDE及び/又は認証手段を登録するか、又は、このような登録は、他のエンティティによって実行することができる。例えば、認証サーバ300にCDEが登録された場合、サーバは、ソフトウェアベースのCDEを認証手段及び/又は顧客装置へダウンロードするように構成することができる。
ホワイトリストメカニズム322は、組織のネットワーク内で動作するように認証された機器又は装置を識別するように用いられる。このように、所与の組織に対して、一つ以上のホワイトリストが、有効な認証手段、CDE、及び/又は、顧客装置を識別するために、維持されることができる。これらのコンポーネントは、ディジタル証明書(又は指紋や他のアーティファクト(人工生成物))、シリアル番号、又は他の索引によって、識別することができる。ホワイトリストメカニズム322は、組織のネットワークリソース間で配布するために、一つ以上の個別のホワイトリストを含むことができ、又は、このようなホワイトリストが作成されるデータの集合(例えば、データベース、表)を含むことができる。
本発明のいくつかの実施の形態において、一つ以上のブラックリストメカニズムも、一つ以上の組織のネットワーク内で動作することを特に禁じられている認証手段、CDE及び/又は他のエンティティを識別するために動作することができる。
図4は、本発明のいくつかの実施の形態による、認証サーバを示すブロック図である。
図4の認証サーバ400は、プロセッサ402、メモリ404、及び一つ以上の光学的及び/又は磁気的格納(外部記憶装置)コンポーネントを含む外部記憶装置406を含むことができる。認証サーバ400は、キーボード412、ポインティング装置414、及びディスプレイ416に(永久的又は一時的に)結合されることができる。
認証サーバの外部記憶装置406は、プロセッサ402によって実行するためにメモリ404へロードすることができる論理を記憶する。このような論理は、PKI論理422、認証論理424、及びコンポーネント識別論理426を含む。
PKI論理422は、証明書の発行、証明書の差替え、新しいPKIの作成を含む一つ以上の公開鍵基盤を動作するためのプロセッサ実行可能命令を含む。
認証論理424は、認証サーバ400に提供されるディジタル証明書を認証するためのプロセッサ実行可能命令を含む。
コンポーネント識別論理426は、これらのコンポーネントピアに対して、有効な組織コンポーネント(例えば、認証手段、顧客、顧客装置イネーブラ)を識別するためのプロセッサ実行可能命令を含む。このような情報は、例えば、ホワイトリスト及び/又はブラックリストの形態で広めることができる。
本発明の他の実施の形態において、認証サーバは、個々のコンポーネントを登録し、サーバの動作を管理し、認証サーバの他のインスタンスへサーバデータを複製するためなどの更なる論理を含むことができる。
110:グローバルサーバ
グローバルCAルート証明書150と個人鍵
組織A CAルート証明書170aと個人鍵
組織N CAルート証明書170nと個人鍵
140:ネットワーク
130a: 組織A AP
130m: 組織A AP
証明書150によって署名されたサーバ証明書154
証明書150によって署名された顧客証明書156
組織Aルート証明書170aのコピー
組織A中間CA証明書172aと個人鍵
証明書170aによって署名されたサーバ証明書174
132:組織A 装置
120:顧客装置イネーブラ
証明書150によって署名された顧客証明書158
証明書170aのコピー
122: 設定論理
組織A中間CA証明書172a
証明書172aによって署名された顧客証明書176a
グローバルCAルート証明書150と個人鍵
組織A CAルート証明書170aと個人鍵
組織N CAルート証明書170nと個人鍵
140:ネットワーク
130a: 組織A AP
130m: 組織A AP
証明書150によって署名されたサーバ証明書154
証明書150によって署名された顧客証明書156
組織Aルート証明書170aのコピー
組織A中間CA証明書172aと個人鍵
証明書170aによって署名されたサーバ証明書174
132:組織A 装置
120:顧客装置イネーブラ
証明書150によって署名された顧客証明書158
証明書170aのコピー
122: 設定論理
組織A中間CA証明書172a
証明書172aによって署名された顧客証明書176a
Claims (4)
- 組織のネットワークリソースを保護する方法であって、
第1の暗号基盤のルート証明書を維持し、
前記組織と関連している第2の暗号基盤のルート証明書を維持し、
前記組織によって動作されるネットワーク内の各認証手段へ、前記第2の暗号基盤内の最初の中間CA証明書を発行し、
所与の認証手段が新しい顧客処理装置へ前記第2の暗号基盤内の顧客証明書を発行した後、前記所与の認証手段へ代わりの中間CA証明書を発行する
ことを含む、方法。 - 前記組織ネットワーク内の顧客処理装置を設定するように構成された各顧客装置イネーブラへ、前記第1の暗号基盤内の最初の顧客証明書を発行することを更に含む、請求項1に記載の方法。
- 所与の顧客装置イネーブラが顧客処理装置を設定するように動作した後、前記所与の顧客装置イネーブラへ、前記第1の暗号基盤内の代わりの顧客証明書を発行することを更に含む、請求項2に記載の方法。
- 前記組織ネットワークにおいて動作するように認証された認証手段と顧客装置イネーブラの識別子を記録することを更に含む、請求項2に記載の方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/577,684 US8555054B2 (en) | 2009-10-12 | 2009-10-12 | Apparatus and methods for protecting network resources |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011082983A true JP2011082983A (ja) | 2011-04-21 |
Family
ID=43505145
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010226314A Pending JP2011082983A (ja) | 2009-10-12 | 2010-10-06 | ネットワークリソースを保護するための装置及び方法 |
Country Status (6)
Country | Link |
---|---|
US (2) | US8555054B2 (ja) |
EP (1) | EP2333689A3 (ja) |
JP (1) | JP2011082983A (ja) |
KR (1) | KR20110040690A (ja) |
CN (1) | CN102045342A (ja) |
TW (1) | TW201140366A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018014025A (ja) * | 2016-07-22 | 2018-01-25 | 富士ゼロックス株式会社 | 情報処理装置、セキュリティシステム及びプログラム |
JP2022541843A (ja) * | 2019-07-22 | 2022-09-27 | ホワイトスター コミュニケーションズ インコーポレイテッド | プライベート・オーバーレイ・ピア・ツー・ピア・ネットワークを使用して通信するためのサリュテーション・プロトコル・システム及び方法 |
Families Citing this family (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100313262A1 (en) * | 2009-06-03 | 2010-12-09 | Aruba Networks, Inc. | Provisioning remote access points |
US8707088B2 (en) * | 2010-05-19 | 2014-04-22 | Cleversafe, Inc. | Reconfiguring data storage in multiple dispersed storage networks |
EP2606605B1 (en) * | 2010-08-20 | 2017-06-28 | Nxp B.V. | Authentication device and system |
US20120066750A1 (en) * | 2010-09-13 | 2012-03-15 | Mcdorman Douglas | User authentication and provisioning method and system |
KR101091697B1 (ko) * | 2011-05-27 | 2011-12-08 | 주식회사 시큐클라우드 | 탐지되기 어려운 디도스 공격을 방어하는 방법 |
US9326313B2 (en) | 2011-08-01 | 2016-04-26 | Aruba Networks, Inc. | System, apparatus and method for managing client devices within a wireless network |
US9936441B2 (en) * | 2011-08-01 | 2018-04-03 | Aruba Networks, Inc. | Infrastructure-assisted client management using synthesized beacon reports |
US10848979B2 (en) | 2011-08-01 | 2020-11-24 | Hewlett Packard Enterprise Development Lp | System, apparatus and method for managing client devices within a wireless network |
KR20130048807A (ko) | 2011-11-03 | 2013-05-13 | 한국전자통신연구원 | 클라우드 컴퓨팅 시스템 및 이를 위한 클라우드 서버관리 방법 |
KR101286177B1 (ko) * | 2011-12-06 | 2013-07-30 | 한전케이디엔주식회사 | 모바일 오피스를 위한 보안 시스템 및 방법 |
US10484355B1 (en) | 2017-03-08 | 2019-11-19 | Amazon Technologies, Inc. | Detecting digital certificate expiration through request processing |
DE102013010171A1 (de) * | 2013-06-19 | 2014-12-24 | Airbus Defence and Space GmbH | Rechnernetz, Netzknoten und Verfahren zur Bereitstellung von Zertifizierungsinformationen |
KR101534476B1 (ko) * | 2013-10-29 | 2015-07-07 | 삼성에스디에스 주식회사 | 비인가 액세스 포인트 탐지 방법 및 장치 |
US9430649B2 (en) * | 2013-12-17 | 2016-08-30 | Microsoft Technology Licensing, Llc | Automatic strong identity generation for cluster nodes |
US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
US10218692B2 (en) * | 2014-08-21 | 2019-02-26 | International Business Machines Corporation | Management of digital certificates |
US20160105528A1 (en) * | 2014-10-08 | 2016-04-14 | Microsoft Corporation | Client-assisted fulfillment of a resource request |
US9923764B2 (en) * | 2014-11-19 | 2018-03-20 | Parallel Wireless, Inc. | HealthCheck access point |
US10270651B2 (en) * | 2014-11-19 | 2019-04-23 | Parallel Wireless, Inc. | HealthCheck access point |
US10298404B1 (en) * | 2014-12-12 | 2019-05-21 | Amazon Technologies, Inc. | Certificate echoing for session security |
US9780952B1 (en) | 2014-12-12 | 2017-10-03 | Amazon Technologies, Inc. | Binding digitally signed requests to sessions |
US10057067B2 (en) | 2015-05-27 | 2018-08-21 | International Business Machines Corporation | Automatic root key rollover during digital signature verification |
US10122689B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Load balancing with handshake offload |
US10122692B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
US9819653B2 (en) | 2015-09-25 | 2017-11-14 | International Business Machines Corporation | Protecting access to resources through use of a secure processor |
DE102016205203A1 (de) * | 2016-03-30 | 2017-10-05 | Siemens Aktiengesellschaft | Datenstruktur zur Verwendung als Positivliste in einem Gerät, Verfahren zur Aktualisierung einer Positivliste und Gerät |
EP3485658A1 (en) * | 2016-07-18 | 2019-05-22 | Telefonaktiebolaget LM Ericsson (PUBL) | Authorization of user equipment for mobile communications network that has previously been authorized by trusted traffic authority |
US10771261B1 (en) * | 2016-09-29 | 2020-09-08 | EMC IP Holding Company LLC | Extensible unified multi-service certificate and certificate revocation list management |
EP3337119B1 (en) * | 2016-12-13 | 2019-09-11 | Nxp B.V. | Updating and distributing secret keys in a distributed network |
CN106897631B (zh) * | 2017-02-03 | 2020-01-17 | Oppo广东移动通信有限公司 | 数据处理方法、装置及系统 |
US10516542B2 (en) * | 2017-03-08 | 2019-12-24 | Amazon Technologies, Inc. | Digital certificate issuance and monitoring |
US10615987B2 (en) * | 2017-03-08 | 2020-04-07 | Amazon Technologies, Inc. | Digital certificate usage monitoring systems |
US11487868B2 (en) * | 2017-08-01 | 2022-11-01 | Pc Matic, Inc. | System, method, and apparatus for computer security |
EP3782058B1 (en) * | 2018-04-20 | 2024-03-20 | Vishal Gupta | Decentralized document and entity verification engine |
TW202019189A (zh) * | 2018-11-05 | 2020-05-16 | 財團法人資訊工業策進會 | 用於裝置連線之雲端平台及裝置連線方法 |
KR20200082944A (ko) | 2018-12-31 | 2020-07-08 | 주식회사 에스씨솔루션 | 디바이스 인증 시스템 |
EP3681102B1 (de) * | 2019-01-10 | 2022-03-16 | Siemens Aktiengesellschaft | Verfahren zur validierung eines digitalen nutzerzertifikats |
CN112287313A (zh) * | 2019-07-24 | 2021-01-29 | 鸿富锦精密电子(天津)有限公司 | 设备验证系统和方法 |
US11601288B1 (en) * | 2019-08-21 | 2023-03-07 | Cox Communications, Inc. | On-demand security certificates for improved home router security |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006129490A (ja) * | 2004-10-29 | 2006-05-18 | Research In Motion Ltd | 証明書におけるデジタル署名を確証するためのシステムおよび方法 |
JP2008054290A (ja) * | 2006-07-24 | 2008-03-06 | Konica Minolta Holdings Inc | ネットワーク管理方法およびネットワーク管理システム |
Family Cites Families (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5491796A (en) | 1992-10-23 | 1996-02-13 | Net Labs, Inc. | Apparatus for remotely managing diverse information network resources |
US7761910B2 (en) * | 1994-12-30 | 2010-07-20 | Power Measurement Ltd. | System and method for assigning an identity to an intelligent electronic device |
US6212280B1 (en) | 1998-10-23 | 2001-04-03 | L3-Communications Corporation | Apparatus and methods for managing key material in heterogeneous cryptographic assets |
AU2001266739A1 (en) | 2000-06-06 | 2001-12-17 | Bex.Com Pte. Ltd. | Method and apparatus for establishing global trust bridge for multiple trust authorities |
JP4626033B2 (ja) | 2000-08-31 | 2011-02-02 | ソニー株式会社 | 公開鍵証明書利用システム、公開鍵証明書利用方法、および情報処理装置、並びにプログラム提供媒体 |
US20020073310A1 (en) * | 2000-12-11 | 2002-06-13 | Ibm Corporation | Method and system for a secure binding of a revoked X.509 certificate to its corresponding certificate revocation list |
US7325140B2 (en) | 2003-06-13 | 2008-01-29 | Engedi Technologies, Inc. | Secure management access control for computers, embedded and card embodiment |
JP2004102558A (ja) | 2002-09-09 | 2004-04-02 | Murata Mach Ltd | サーバ装置 |
US7366906B2 (en) * | 2003-03-19 | 2008-04-29 | Ricoh Company, Ltd. | Digital certificate management system, digital certificate management apparatus, digital certificate management method, program and computer readable information recording medium |
US7395428B2 (en) * | 2003-07-01 | 2008-07-01 | Microsoft Corporation | Delegating certificate validation |
US7698549B2 (en) * | 2003-08-15 | 2010-04-13 | Venafi, Inc. | Program product for unified certificate requests from certificate authorities |
US7500100B1 (en) * | 2003-09-10 | 2009-03-03 | Cisco Technology, Inc. | Method and apparatus for verifying revocation status of a digital certificate |
US20080010448A1 (en) * | 2003-09-29 | 2008-01-10 | Ayman Llc | Delegated Certificate Authority |
JP2005107707A (ja) | 2003-09-29 | 2005-04-21 | Canon Inc | 情報処理装置 |
JP4794560B2 (ja) | 2004-08-31 | 2011-10-19 | 株式会社エヌ・ティ・ティ・ドコモ | 暗号デジタル証明書の失効 |
US8181017B2 (en) * | 2004-10-22 | 2012-05-15 | Nds Limited | Certificate renewal |
US20060159269A1 (en) * | 2005-01-20 | 2006-07-20 | Matsushita Electric Industrial Co., Ltd. | Cryptographic system for resource starved CE device secure upgrade and re-configuration |
US8266424B2 (en) | 2005-03-30 | 2012-09-11 | Arris Group, Inc. | Method and system for in-field recovery of security when a certificate authority has been compromised |
JP4750515B2 (ja) | 2005-09-07 | 2011-08-17 | 株式会社エヌ・ティ・ティ・ドコモ | 安全なアドホックネットワークを構築するシステム |
US20070086449A1 (en) | 2005-10-18 | 2007-04-19 | Aten International Co., Ltd | System and method for remote management |
US8225313B2 (en) | 2005-10-19 | 2012-07-17 | Ca, Inc. | Object-based virtual infrastructure management |
US7929703B2 (en) * | 2005-12-28 | 2011-04-19 | Alcatel-Lucent Usa Inc. | Methods and system for managing security keys within a wireless network |
GB2435362B (en) | 2006-02-20 | 2008-11-26 | Cramer Systems Ltd | Method of configuring devices in a telecommunications network |
US7904909B1 (en) | 2006-03-31 | 2011-03-08 | Emc Corporation | Architecture for using a model-based approach for managing resources in a networked environment |
US7483978B2 (en) | 2006-05-15 | 2009-01-27 | Computer Associates Think, Inc. | Providing a unified user interface for managing a plurality of heterogeneous computing environments |
US7913084B2 (en) | 2006-05-26 | 2011-03-22 | Microsoft Corporation | Policy driven, credential delegation for single sign on and secure access to network resources |
JP4892008B2 (ja) | 2007-02-07 | 2012-03-07 | 日本電信電話株式会社 | 証明書認証方法、証明書発行装置及び認証装置 |
JP5078422B2 (ja) | 2007-05-07 | 2012-11-21 | 株式会社リコー | サーバ装置、情報処理装置、プログラムおよび記録媒体 |
JP2009048329A (ja) | 2007-08-16 | 2009-03-05 | Canon Inc | ネットワーク装置の制御方法及びそのシステムと、該システムを構成するネットワーク装置 |
US20090126001A1 (en) * | 2007-11-08 | 2009-05-14 | Microsoft Corporation | Techniques to manage security certificates |
US8407769B2 (en) | 2008-02-22 | 2013-03-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for wireless device registration |
US9479339B2 (en) | 2008-02-29 | 2016-10-25 | Blackberry Limited | Methods and apparatus for use in obtaining a digital certificate for a mobile communication device |
KR20100098124A (ko) | 2009-02-27 | 2010-09-06 | 삼성전자주식회사 | 디지털 영상 처리장치 및 그 제어방법 |
KR101552907B1 (ko) | 2009-02-27 | 2015-09-14 | 삼성전자주식회사 | 디지털 촬영장치, 그 제어방법 및 제어방법을 실행시키기 위한 프로그램을 저장한 기록매체 |
JP2010226314A (ja) | 2009-03-23 | 2010-10-07 | Casio Computer Co Ltd | 動画処理装置、動画処理方法及び動画処理プログラム |
JP2010229523A (ja) | 2009-03-27 | 2010-10-14 | Bridgestone Corp | 導電性透明化合物薄膜の成膜方法および導電性透明化合物薄膜 |
US8131850B2 (en) | 2009-10-12 | 2012-03-06 | Palo Alto Research Center Incorporated | Apparatus and methods for managing network resources |
US8954732B1 (en) * | 2012-06-27 | 2015-02-10 | Juniper Networks, Inc. | Authenticating third-party programs for platforms |
US9614833B1 (en) * | 2014-10-31 | 2017-04-04 | Symantec Corporation | Automated certificate management for a website associated with multiple certificates |
-
2009
- 2009-10-12 US US12/577,684 patent/US8555054B2/en active Active
-
2010
- 2010-10-04 EP EP10186372A patent/EP2333689A3/en not_active Ceased
- 2010-10-06 JP JP2010226314A patent/JP2011082983A/ja active Pending
- 2010-10-08 TW TW099134289A patent/TW201140366A/zh unknown
- 2010-10-08 KR KR1020100098123A patent/KR20110040690A/ko not_active Application Discontinuation
- 2010-10-12 CN CN2010105180587A patent/CN102045342A/zh active Pending
-
2015
- 2015-10-07 US US14/877,503 patent/USRE48821E1/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006129490A (ja) * | 2004-10-29 | 2006-05-18 | Research In Motion Ltd | 証明書におけるデジタル署名を確証するためのシステムおよび方法 |
JP2008054290A (ja) * | 2006-07-24 | 2008-03-06 | Konica Minolta Holdings Inc | ネットワーク管理方法およびネットワーク管理システム |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018014025A (ja) * | 2016-07-22 | 2018-01-25 | 富士ゼロックス株式会社 | 情報処理装置、セキュリティシステム及びプログラム |
JP2022541843A (ja) * | 2019-07-22 | 2022-09-27 | ホワイトスター コミュニケーションズ インコーポレイテッド | プライベート・オーバーレイ・ピア・ツー・ピア・ネットワークを使用して通信するためのサリュテーション・プロトコル・システム及び方法 |
JP7357141B2 (ja) | 2019-07-22 | 2023-10-05 | ホワイトスター コミュニケーションズ インコーポレイテッド | プライベート・オーバーレイ・ピア・ツー・ピア・ネットワークを使用して通信するためのサリュテーション・プロトコル・システム及び方法 |
Also Published As
Publication number | Publication date |
---|---|
US8555054B2 (en) | 2013-10-08 |
CN102045342A (zh) | 2011-05-04 |
USRE48821E1 (en) | 2021-11-16 |
TW201140366A (en) | 2011-11-16 |
EP2333689A2 (en) | 2011-06-15 |
EP2333689A3 (en) | 2011-08-31 |
KR20110040690A (ko) | 2011-04-20 |
US20110087882A1 (en) | 2011-04-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2011082983A (ja) | ネットワークリソースを保護するための装置及び方法 | |
JP4907718B2 (ja) | デジタル著作権管理のための多重証明書失効リストのサポート方法および装置 | |
US8627083B2 (en) | Online secure device provisioning with online device binding using whitelists | |
US8856530B2 (en) | Data storage incorporating cryptographically enhanced data protection | |
JP6826290B2 (ja) | 証明書配付システム、証明書配付方法、および証明書配付プログラム | |
US9088557B2 (en) | Encryption key management program, data management system | |
US8412927B2 (en) | Profile framework for token processing system | |
JP2021505097A (ja) | 接続されたエンドポイントデバイスのエンロールメント及び登録のためのデバイス識別のシステム及び方法、ならびにブロックチェーンサービス | |
JP2021505098A (ja) | トランザクションコネクタ及びブローカサービスを使用してブロックチェーンネットワークのバージョン化されたブロックとしてデバイスライフサイクルトランザクションを記録するためのシステム及び方法 | |
US7747851B1 (en) | Certificate distribution via license files | |
US20170147808A1 (en) | Tokens for multi-tenant transaction database identity, attribute and reputation management | |
EP2559219B1 (en) | Online secure device provisioning framework | |
US20110258434A1 (en) | Online secure device provisioning with updated offline identity data generation and offline device binding | |
US11334345B2 (en) | Differential firmware update generation | |
US20110138177A1 (en) | Online public key infrastructure (pki) system | |
JP2015171153A (ja) | ルート証明書の無効化 | |
US11626998B2 (en) | Validated payload execution | |
EP3042331B1 (en) | Software revocation infrastructure | |
US9160545B2 (en) | Systems and methods for A2A and A2DB security using program authentication factors | |
Fugkeaw | Achieving privacy and security in multi-owner data outsourcing | |
WO2022227799A1 (zh) | 设备注册方法及装置、计算机设备、存储介质 | |
Trias et al. | Enterprise level security | |
Krishnan et al. | Enforcement architecture and implementation model for group-centric information sharing | |
Kounga et al. | Enforcing sticky policies with TPM and virtualization |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131003 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20141031 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141118 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20150421 |