JP2013525871A - アクセス管理システム - Google Patents

アクセス管理システム Download PDF

Info

Publication number
JP2013525871A
JP2013525871A JP2012549175A JP2012549175A JP2013525871A JP 2013525871 A JP2013525871 A JP 2013525871A JP 2012549175 A JP2012549175 A JP 2012549175A JP 2012549175 A JP2012549175 A JP 2012549175A JP 2013525871 A JP2013525871 A JP 2013525871A
Authority
JP
Japan
Prior art keywords
mobile communication
data
communication device
access rights
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012549175A
Other languages
English (en)
Other versions
JP5791633B2 (ja
Inventor
アー シュアン フレデリック フォック
ベノア レクロアール
オリビエール ペロン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JP2013525871A publication Critical patent/JP2013525871A/ja
Application granted granted Critical
Publication of JP5791633B2 publication Critical patent/JP5791633B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)

Abstract

アクセス権利管理システムは、移動通信装置が柔軟な方法を用いて企業に保持されているデータに対してアクセスすることが許可され、しかし、その一方で、データの安全性(security)とデータの完全な状態(integrity)は、維持されるとして提示されている。移動通信装置は、企業サーバに対して、移動装置が接続されているかの接続性に応じて、ローカルに格納されている企業データに対するアクセス権を修正する、権利調整モジュールを備えている。
【選択図】図1

Description

本発明はデータアクセス権を管理するシステム、方法及び関連装置に関し、特に移動通信装置のメモリ又は移動通信装置への接続に適したポータブルストレージに格納されるデータのアクセス権の管理に関するが、これらに制限されない。
現在の開発傾向に基づくと、それぞれの新しい世代の移動装置は、前の世代と比較してメモリ記憶容量が向上することは必然であると考えられる。この向上したメモリ記憶容量は、例えば、ローカルの内部メモリ容量の増加とuniversal serial bus(USB)キー、secure digital(SD)カード、フラッシュメモリが組み込まれた他の装置等(これらのポータブルストレージ装置の開発もまた記憶容量を増加させる)のように接続されるポータブルストレージ装置の容量の増加を達成するかもしれない。
これと並行して、クラウドコンピューティングと呼ばれるより大きなエンファシスが到来するかもしれない。クラウドコンピューティングにおいては、オンデマンドアクセスが、インターネット上に共有された設定可能なコンピュータリソースに対して提供される。このやがて来るクラウドコンピューティング時代において、安全に企業データ(例えば、ユーザの雇用者によって所有されるデータ)を管理するという重要な問題を解決することが必要になるだろう。さらに、大容量の企業データが潜在的に局所的に端末装置に格納されている時に特に、安全とデータアクセスの柔軟性との間の正しいバランスを提供するという重要な問題を解決することがさらに必要になるだろう。
例えば、会社が内部において発生した情報を保存し、そのような情報が内部ネットワークの外において開示され、コピーされ、移動され、変更されることを防止したいと願うことは一般的である。しかしながら、クラウドコンピューティングの場合、格納された企業データの内容が変化する可能性があることは、有効なデータ権利管理に関する課題を生じさせる結果となる。例えば、データを内部ネットワークに残したままにすることは可能であるが、移動装置がネットワークと接続されていない場合、ユーザに対して柔軟に情報へのアクセスを許可するために、大容量のデータは、移動装置のローカルメモリ(かつ/または、接続されたポータブルストレージ装置)に存在することも可能である。このような状態は、例えば、移動状態(例えば、ユーザが会社の外に移動した場合又はユーザがバッテリーを保存するためにネットワークから移動装置を手動で切断する場合)の場合に生じるかもしれない。
企業データの内容が変化する可能性がある結果、データセキュリティとデータ完全性を著しく損なわせずにデータの効果的な制御を維持する柔軟なデータアクセス権管理(例えば、読み出し許可、書き込み許可、実行許可等の管理)を提供する必要がある。
これより、本発明は改善されたアクセス権管理を提供することを試みる。
本発明の一つの側面によると、移動通信装置とネットワークとの接続性を判定し、前記接続性に応じてデータに対するアクセス権を付与することを特徴とする、データに対するアクセス権管理方法を提供する。
本発明の他の側面によると、移動装置において、ネットワークとの移動通信装置との接続性に応じてアクセス権が変化するデータに対するアクセス権を定義するコンフィギュレーションパラメータを受け取ることを特徴とする、移動通信装置に関してローカルに保持されているデータのアクセス権を管理することを移動装置に提供する方法を提供する。
本発明の他の側面によると、移動通信装置とネットワークとの接続性に応じてアクセス権が変化するデータに対するアクセス権を定義するコンフィギュレーションパラメータを移動装置に提供することを特徴とする、データに対するアクセス権を管理することを移動装置に提供する方法を提供する。
本発明の他の側面によると、移動通信装置に関してローカルに保持されるデータに対するアクセス権を管理する方法を提供し、その方法は、移動通信装置とネットワークとの接続性を判定し、移動通信装置がネットワークと接続されている時にデータに対する第1セットのアクセス権を付与し、移動通信装置がネットワークと接続されていない時にデータに対する第2セットのアクセス権を付与することを含み、第1セットのアクセス権と第2セットのアクセス権は異なる。
移動通信装置がネットワークに接続されている時データに対する第1セットのアクセス権を付与するステップは、移動通信装置もしくはサーバ装置において実行されることを理解されたい。
第2セットのアクセス権は、第1セットのアクセス権の通信アクセス権よりも制限される少なくとも一つのアクセス権を含む。第1及び第2セットのアクセス権は、それぞれ読み出し許可、書き込み許可及び実行許可のうち少なくとも一つを含む。
前記第1かつ/又は第2セットのアクセス権は、さらに、前記データを有するファイルの識別子、前記データを有するファイルのファイルタイプ、前記データを有するファイルに対して割り当てられる権利アクセスレベル、予め定められたグループにおいて前記データを有するファイルのメンバーシップ及び前記データを有するファイルが配置されているディレクトリの識別子のうち少なくとも一つに応じて変化するアクセス権利を付与することを含む。
前記第1かつ/又は前記第2セットのアクセス権を付与することは、さらに、移動装置のユーザの識別子かつ/又は予め定められたユーザグループにおける移動装置のユーザのメンバーシップに応じて変化するアクセス権を付与することを含む。
移動通信装置とネットワークとの接続性を判定することは、予め定められたサーバ装置と前記移動装置との接続性を判定することを含み、前記第1及び第2セットのアクセス権は、前記予め定められたサーバ装置に対する前記接続性に応じて付与される。
前記予め定められたサーバ装置に対する接続性を判定することは、前記移動通信装置がサーバ装置と接続されていることを判定し、前記移動装置が接続されている前記サーバ装置の識別子を示す情報を取得し、前記予め定められたサーバ装置の識別子を示す情報を取得し、前記移動装置が接続されているサーバ装置の識別子と前記予め定められたサーバ装置の識別子を比較することをさらに備え、前記移動装置と前記予め定められたサーバ装置の接続性を判定することを含む。前記方法は、前記移動装置において動作する権利管理モジュールによって実行され、前記予め定められたサーバ装置の前記識別子を示す前記情報は、前記権利管理モジュールに備えられるコンフィギュレーションパラメータから取得される。前記予め定められたサーバ装置の前記識別子を示す前記情報は、前記移動通信装置に関してローカルに保持されている前記データから抽出することによって取得される。前記予め定められたサーバ装置の前記識別子を示す前記情報は、前記移動通信装置に関してローカルに保持されている前記データから抽出することによって取得される。
前記データは、暗号化され、前記方法は、前記移動通信装置が前記ネットワークに接続されていない時に前記移動通信装置に対して前記アクセス権が付与されるデータを解読することを含む。前記データは、暗号化され、前記方法は、前記移動通信装置が前記ネットワークに接続されている時に、サーバ装置から前記アクセス権が付与された解読された形式のデータを受け取ることを含む。
前記方法は、前記データが前記移動通信装置に格納されているポータブルストレージ装置をマウントする試みを検出し、前記移動通信装置のユーザから安全な入力情報の登録を要求し、前記ユーザから安全な入力情報を受け取り、前記受け取った安全な入力情報を確認し、前記安全な入力情報の確認が成功した場合に前記ポータブルストレージ装置をマウントすることを許可し、前記安全な入力情報の確認が成功しない場合に前記ポータブルストレージ装置をマウントすることを禁止する。
前記方法は、ネットワークに対する前記移動通信装置の接続性が、接続から切断へ変化することを検出し、前記変化を検出した場合前記第1セットのアクセス権から前記第2セットのアクセス権へ前記アクセス権を調整することを含む。
前記方法は、ネットワークに対する前記移動通信装置の接続性が、切断から接続へ変化することを検出し、前記変化を検出した場合前記第2セットのアクセス権から前記第1セットのアクセス権へ前記アクセス権を調整することを含む。
前記方法は、第1及び第2セットのアクセス権利間の差異を判定し、アクセス権調整においてアクセス権調整処理を促進するためにこの結果を用いることを含む。
本発明の他の側面によると、移動通信装置に関してローカルに保持されているデータのアクセス権の管理を移動通信装置に提供する方法を提供し、前記方法は、前記移動通信装置において、前記移動通信装置がネットワークに接続されている時にユーザに対する前記データの第1セットのアクセス権を定義するコンフィギュレーションパラメータを受け取り、前記移動通信装置において、前記移動通信装置が前記ネットワークに接続されていない時にユーザに対する前記データの第2セットのアクセス権を定義するコンフィギュレーションパラメータを受け取り、前記移動通信装置に関してローカルに保持されているデータの前記アクセス権を管理するユーザのために前記コンフィギュレーションパラメータを格納し、前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる。
本発明の他の側面によると、移動通信装置に関してローカルに保持されているデータのアクセス権の管理を移動通信装置に提供する方法(例えばサーバによって実行される)を提供し、前記方法は、前記移動通信装置がネットワークに接続されている時にユーザに対する前記データの第1セットのアクセス権を定義するコンフィギュレーションパラメータを前記移動通信装置に提供し、前記移動通信装置が前記ネットワークに接続されていない時にユーザに対する前記データの第2セットのアクセス権を定義するコンフィギュレーションパラメータを前記移動通信装置に提供し、前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる。
前記方法は、更新されたコンフィギュレーションパラメータが利用できることを判定し、前記判定に応じて前記移動通信装置へ前記更新されたコンフィギュレーションパラメータを提供することを含む。
前記コンフィギュレーションパラメータを提供することは、前記データを有するファイルの識別子、前記データを有するファイルのファイルタイプ、前記データを有するファイルに対して割り当てられる権利アクセスレベル、予め定められたグループにおいて前記データを有するファイルのメンバーシップ及び前記データを有するファイルが配置されているディレクトリの識別子、又は、前記データを有するファイルの識別子、前記データを有するファイルのファイルタイプ、前記データを有するファイルに対して割り当てられる権利アクセスレベル、予め定められたグループにおいて前記データを有するファイルのメンバーシップもしくは前記データを有するファイルが配置されているディレクトリの識別子、のうち少なくとも一つに応じて変化するアクセス権を定義するコンフィギュレーションパラメータを提供することを含む。
サーバにおいて実行される前記方法は、前記データが前記移動通信装置に格納されているポータブルストレージ装置をマウントする試みを検出し、前記移動通信装置のユーザから安全な入力情報の登録要求を送信し、前記移動通信装置から安全な入力情報を受け取り、前記受け取った安全な入力情報を確認し、前記安全な入力情報の確認が成功した場合に前記ポータブルストレージ装置をマウントすることを許可し、前記安全な入力情報の確認が成功しない場合に前記ポータブルストレージ装置をマウントすることを禁止することを含む。
前記データは暗号化され、サーバにおいて実行される前記方法は、前記移動通信装置から暗号化されたデータを受け取り、前記暗号化されたデータを解読し、前記移動通信装置に対して解読したデータを送信することを含む。
前記データは暗号化され、サーバにおいて実行される前記方法は、前記移動通信装置から暗号化されたデータを受け取り、前記暗号化されたデータを解読し、前記移動通信装置に対して解読したデータをリモートアクセスにより提供することを含む。本発明の他の側面によると、移動通信装置に関してローカルに保持されているデータのアクセス権を管理する手段を有する移動通信装置を提供し、前記アクセス権管理手段は、前記移動通信装置とネットワークとの接続性を判定する手段と、前記移動通信装置が前記ネットワークに接続されている時前記データに対する第1セットのアクセス権を付与する手段と、前記移動通信装置が前記ネットワークに接続されていない時前記データに対する第2セットのアクセス権を付与する手段とを備え、前記第1セットのアクセス権は前記第2セットのアクセス権と異なる。
本発明の他の側面によると、移動通信装置に関してローカルに保持されているデータのアクセス権を管理する手段を有する移動通信装置を提供し、前記アクセス権管理手段は、前記移動通信装置において、前記移動通信装置がネットワークに接続されている時にユーザに対する前記データの第1セットのアクセス権を定義するコンフィギュレーションパラメータを受け取る手段と、前記移動通信装置において、前記移動通信装置が前記ネットワークに接続されていない時にユーザに対する前記データの第2セットのアクセス権を定義するコンフィギュレーションパラメータを受け取る手段と、前記移動通信装置に関してローカルに保持されているデータの前記アクセス権を管理するユーザのために前記コンフィギュレーションパラメータを格納する手段と、を備え、前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる。
前記権利管理手段は、前記移動通信装置において動作することができる権利管理モジュールを含む。前記権利管理モジュールは、前記移動装置の起動時に、起動される。
本発明の他の側面によると、移動通信装置に関してローカルに保持されているデータのアクセス権を移動通信装置へ提供する手段を有するサーバ装置を提供し、前記提供手段は、前記移動通信装置がネットワークに接続されている時にユーザに対する前記データの第1セットのアクセス権を定義するコンフィギュレーションパラメータを前記移動通信装置に提供する手段と、前記移動通信装置が前記ネットワークに接続されていない時にユーザに対する前記データの第2セットのアクセス権を定義するコンフィギュレーションパラメータを前記移動通信装置に提供する手段と、を備え、前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる。
本発明の他の側面によると、前記方法のいずれかを実行するための指示を含むコンピュータプログラム、コンピュータプログラム製品もしくはコンピュータ可読媒体を提供する。
本発明の他の側面によると、移動通信装置に関してローカルに保持されているデータのアクセス権を管理するモジュールを有する移動通信装置を提供し、前記アクセス権管理モジュールは、(i)ネットワークに対する前記移動通信装置の接続性を判定し、(ii)前記移動通信装置が前記ネットワークに接続されている時、前記データに対する第1セットのアクセス権を付与し、(iii)前記移動通信装置が前記ネットワークへ接続されていない時に前記データに対する第2セットのアクセス権を付与し、前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる。
本発明の他の側面によると、移動通信装置に関してローカルに保持されているデータのアクセス権を管理するモジュールを有する移動通信装置を提供し、前記アクセス権管理モジュールは、(i)前記移動通信装置がネットワークに接続されている時にユーザに対する前記データの第1セットのアクセス権を定義するコンフィギュレーションパラメータを受け取り、(ii)前記移動通信装置が前記ネットワークに接続されていない時にユーザに対する前記データの第2セットのアクセス権を定義するコンフィギュレーションパラメータを受け取り、(iii)前記移動通信装置に関してローカルに保持されているデータの前記アクセス権を管理するユーザのために前記コンフィギュレーションパラメータを格納し、前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる。本発明の他の側面によると、移動通信装置に関してローカルに保持されているデータのアクセス権の管理を移動通信装置に提供するための提供モジュールを有するサーバ装置を提供し、提供モジュールは、前記移動通信装置がネットワークに接続されている時にユーザに対する前記データの第1セットのアクセス権を定義するコンフィギュレーションパラメータと、(ii)前記移動通信装置が前記ネットワークに接続されていない時にユーザに対する前記データの第2セットのアクセス権を定義するコンフィギュレーションパラメータと、を移動通信装置に供給し、前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる。
本発明は、改善されたアクセス権管理を有利に提供することができる。
図1は、企業データが複数の異なるコンテキストにおいてアクセスされる通信システムの概要を示している。 図2は、改良されたアクセス権管理を有する通信システムの概要を示している。 図3は、図2の通信システムにおける使用に適した移動装置に実装された機能ブロック構成を示している。 図4は、図2の通信システムにおける使用に適したクラウドサーバに実装された機能ブロック構成を示している。 図5は、図2の通信システムにおけるアクセス権管理処理を示すフローチャートである。
図1は、110において一般的な通信システムの概要を示している。通信システムは、インターネットのようなコンピュータネットワーク116を介してクラウドサーバ114と接続することができる移動通信装置112を含む。図1に示されるように、移動通信装置112は、例えば移動電話ネットワークの基地局118を介してかつ/または無線ルータ120を介して、無線によりコンピュータネットワーク116と接続される。
クラウドサーバ114は、ソフトウェアアプリケーション122(リモートアプリケーションと称される)と企業データ124とが記憶される記憶装置を備えている。これらのアプリケーション122と企業データ124は、コンピュータネットワーク116を介して移動通信装置112のユーザによって遠隔でアクセスされる。そのようなアクセスは、広い範囲の技術(ファイルトランスファープロトコルセッション、HTTPウェブセッション、シンクライアント接続、セキュアシェル接続等)を用いて行われる。企業データ124は、企業ポリシーに応じて企業データ124へのアクセスを管理することを希望する第三者によって所有される情報を含む。第三者は、例えば、ユーザの雇用者又はユーザが加入するサービスのプロバイダーである。
移動通信装置112は、ローカルソフトウェアアプリケーション126が格納されている内部メモリを備える。ローカルアプリケーション126は、クラウドサーバに備えられているリモートアプリケーション122と企業データ124とに対して仮想的なアクセス128を提供するアプリケーションを含む。移動通信装置112はさらに、適切なインタフェース(USB、SD等)を介して移動装置112にマウントされている外部ポータブルストレージ装置130も備えている。ポータブルストレージ装置130は、移動装置112がもはやクラウドサーバ114に接続されていない状態の時にアクセスされるための、企業データ131(または企業データのコピー)がローカルに格納されているセキュアメモリ領域132を含む。企業データ131(または企業データのコピー)のいくつかは、その代わりにもしくはそれに加えて移動通信装置112の内部メモリに蓄積されてもよい。
通信システムのクラウドサーバ114は、ストレージ装置130に格納された企業データ131に対して適切なアクセス制御手順を適用するようにかつ/またはリモートアプリケーション122と相互接続する方法を制限し、ポータブルストレージ装置130へのアクセスを許可し、かつ/または、企業データ124及び131を扱うために移動装置112に対してポリシーに基づいたルールを課すように構成される。
動作において、企業データ124及び131は、移動装置112がコンピュータネットワーク116を介してクラウドサーバ114に接続されている時に、リモートアプリケーション122に対する仮想インタフェースアクセス128を介して移動装置112のユーザによってアクセスされる。実際に、クラウドサーバ114においてローカルに利用することができるかのように、リモートアプリケーション122が企業データ131へアクセスすることができるように、セキュアメモリ領域132は、クラウドサーバ114にマウントされる。しかしながらローカルに格納された企業データ131はまた、ローカルアプリケーション126を使用して直接アクセスされる。このことは、例えば、移動装置112が、意図せず電波受信範囲外に移動した結果または、意図的に、バッテリー寿命を浪費させないためにクラウドサーバ114から切断された時に、ユーザがローカルに格納された企業データ131へアクセスすることを許可する。しかしながら、クラウドサーバ114によって課されたポリシーに基づくどんなアクセス制御手順かつ/またはルールにもかかわらず、このローカルアクセスは、効果的に企業データ124及び131を管理する、特に、企業データ124及び131の適切なセキュリティかつ/または完全性を保証するためのクラウドサーバ114の能力における潜在的な弱点となることを意味する。仮想的なアクセスを介したリモートアプリケーション122へのアクセスのみに制限する、もしくは移動装置112のローカルに、企業データ124及び131のコピーを保持することを防止することが行われるが、そのような制限は、柔軟ではなく、リモートユーザにとっては一部不便であり、オフィスの外にいる時に効果的に仕事を行う従業者の能力を制限することになる。
実施の形態にかかる通信システムは、改善されたアクセス権管理が上述した課題の少なくとも1つを解決することを提供することを示す。
図2は、210全体において、エンドユーザに対して柔軟性を提供することとデータセキュリティ及びデータ完全性を維持することとの間のバランスがより効果的に達成される多目的なシステムを提供することを目的とする発明の実施の形態を含む通信システムを示している。
通信システム210は、図1に示さる通信システム110と同様である(参照番号が、同じ最後の2つの数字を有している点において)。
通信システムは、インターネットや、一般的に前述したようなコンピュータネットワーク216を介して企業ネットワークの複数のクラウドサーバ214のいずれかに接続することができる移動通信装置212を含む。移動通信装置212は、例えば、VPN接続又は安全性が確保されたシンクライアント接続(例えば、リモートデスクトッププロトコル、インディペンデントコンピューティングアーキテクチャ等)のような既知の技術を使いこの接続性を達成するように構成される。
それぞれのクラウドサーバ214は、ソフトウェアアプリケーション222(リモートアプリケーションと称される)及び企業データ224が格納されるクラウドサーバ214にローカルストレージを備えている。これらのアプリケーション222及び企業データ224は、コンピュータネットワーク216を介して、移動通信装置212のユーザによって遠隔でアクセスされる。企業データ224は、企業ポリシーに応じて企業データ224へのアクセスを管理することを希望する第三者によって所有される情報を含む。第三者は、例えば、ユーザの雇用者又はユーザが加入するサービスのプロバイダーである。
移動通信装置212は、ローカルソフトウェアアプリケーション226が格納されている内部メモリを備えている。移動通信装置212はまた、複数のポータブルストレージ装置230のいずれかと移動通信装置212を接続するためのインタフェースを備えている。それぞれのポータブルストレージ装置230は、企業データ231(もしくはそのコピー)の一部又は全てがローカルに格納されるセキュアメモリ領域232及び個人データを格納するノンセキュアメモリ領域233を含む。同様に、移動装置212の内部メモリは、企業データ231の一部又は全てが格納されるセキュアメモリ領域227及び個人データを格納するノンセキュアメモリ領域229を有するローカルファイルシステム225を含む。
ポータブルストレージ装置230及びローカルファイルシステム225のセキュアメモリ領域232及び227における企業データは、ローカルに移動装置212にアクセスされ解読される(ローカルにマウントされると称される)。ポータブルストレージ装置230のセキュアメモリ領域232及び227における企業データはまた、移動装置212がサーバ214(仮想的にまたは遠隔によりマウントされると称する)に接続されている時に、サーバ214によって遠隔にアクセスされ解読される。
移動通信装置212及びサーバ214はまた、それぞれ権利調整モジュール236および権利提供モジュール462を備えている。権利調整モジュール236は、移動装置212が一以上のリモートサーバ214に接続されているか否かを判定し、この判定された接続性によって、ローカルに格納されているいずれかの企業データ231(例えば、メモリ領域227又はメモリ領域232に格納されている企業データ)に対するデータアクセス権利を調整する。権利提供モジュール462は、内部の企業ネットワークポリシーに基づいて、アクセス権利を広く管理するように構成され、移動装置212の権利調整モジュール236を設定するために(遠隔で設定する場合)必要となる構成パラメータを提供するように構成される。移動装置212が企業ネットワークのリモートサーバ214に接続する時、権利調整モジュール236は、その接続を検出する。企業データがローカルにマウントされ解読される場合、権利調整モジュール236はその時、内部の企業ネットワークポリシーに応じて移動装置212のユーザに対してデータアクセス権利を付与するために、外部ストレージ装置230のセキュア領域232かつ/またはローカルファイルシステム225のセキュア領域227に存在する企業データ231に対するアクセス権利を変更する。例えば、ユーザは、データの読み出し及び変更かつ/または移動装置212がサーバ214に接続されている場合に実行可能なファイルを形成するデータを実行するための権利を含むフルアクセス権利を付与される。
移動装置212が企業ネットワークのリモートサーバ214に接続されるとき、権利提供モジュール462もその接続を検出する。企業データが仮想的にマウントされリモートサーバ214において遠隔で解読される場合、権利提供モジュール462はその時、内部の企業ネットワークポリシーに応じて移動装置212のユーザに対してデータアクセス権利を付与するために、外部ストレージ装置230のセキュア領域232かつ/または移動装置212のローカルファイルシステム225のセキュア領域227に存在する企業データ231を仮想的にマウントするためのアクセス権利を変更する。移動装置212が企業ネットワークから切り離された時、権利調整モジュール236は、接続性のこの変化を検出し、企業ポリシーによってアクセス権利を制限するために、セキュアメモリ領域227及び232にローカルに存在する企業データ231に対するアクセス権利を調整する。例えば、アクセス権利は、ユーザにデータを変更することは許可せずデータを読み出すことを許可するように変更される。
移動装置212の権利調整モジュール236は、企業データ231の所有者が効率的にアクセス権利を管理することを許可するためにサーバ214の制御の下に動作する。このように、権利調整モジュール236は、例えば、セキュア領域227及び232に対するアクセス制御ポリシーを更新するためかつ/または必要とされる時に新しいローカルアクセス許可を提供するために、動的に提供される。
従って、システムは、ローカルに保持されている企業データ231に対するアクセス権利が動的に調整され、移動装置が企業サーバ214に接続されているか否かに応じてデータ所有者の制御の元に管理される方法及び装置を有利に提供する。このことは、企業データ224、231の所有者に対して、企業データ231が実際に企業ネットワークの外部に格納されている時にエンドユーザに対する柔軟性と企業データ224、231のセキュリティ及び完全性を維持するための必要性との間の適切なバランスを提供している。
移動装置
図3は、図2に示される移動通信装置212の主な要素を模式的に示している。この形態において、移動装置212は、ユーザセッションを介してサーバ214において動作する仮想マシンに接続しているシンクライアント装置として動作する。この形態において、移動装置212は、基地局インタフェース373を介して一般的な移動電話ネットワークの基地局と信号を送受信することを可能とするトランシーバ回路371を有する移動電話を構成している。トランシーバ回路371はまた、ネットワークインタフェース372を経由しアクセスポイントを通過するかもしくは基地局インタフェース373を経由して移動電話ネットワークを通過してコンピュータネットワーク216(例えばインターネット)上のサーバ214と信号の送受信することを可能とする。図に示されるように、移動装置212はまた、移動装置212の動作を制御し、トランシーバ回路371、ラウドスピーカー377、マイク379、ディスプレイ381及びキーパッド383と接続されているプロセッサを有する少なくとも一つのコントローラ375を含む。プロセッサ375は、メモリ385に格納されているソフトウェア命令に従って動作する。図に示すように、これらのソフトウェア命令は、特にオペレーティングシステム387、ローカルアプリケーション226、権利調整モジュール236及び接続/通信制御モジュール391を備えている。前に述べたように、権利調整モジュール236は、ローカルに格納された企業データ231に対するアクセス権利を制御することを可能とする。接続/通信制御モジュール391は、トランシーバ回路371を介して設定される通信を制御し、ネットワークインタフェース372もしくは移動ネットワークを介するリモートサーバ214とのネットワークコネクションを管理することを可能とする。
移動装置212は、メモリ385内のローカルファイルシステム225の形態において内部及び外部データストレージ能力を備え、さらに複数のポータブルストレージ装置230(例えば、USBキーかつ/またはSDカード)のいずれかを経由するストレージインタフェース389を備えている。ローカルファイルシステム225及びポータブルストレージ装置230は、パーソナルデータを格納するための個人メモリ領域229、233と、企業データ224、231を格納するためのセキュアメモリ領域227、232から構成されている。セキュアメモリ領域227、232に格納されている全てのデータは、暗号/解読キー、パスワードかつ/またはキーファイルを使用することなく読み出され変更されることを有効に防止するために暗号化されている。
権利調整モジュール236は、ローカルファイルシステム225もしくはマウントされたポータブルストレージ装置230のセキュア領域のいずれかにローカルに格納されている企業データの権利を管理する。権利調整モジュール236はまた、移動装置がサーバ214から切り離された時、暗号化された企業データを解読する。
権利調整モジュール236は、一般的には移動装置212に搭載されたオペレーティングシステム387上で動作するソフトウェアサービスの形態で導入されている。この形態において、権利調整モジュール236は、デーモンとして動作し、移動装置212がリモートサーバ214に接続されているかどうかを分析し、接続性の変化を監視しさらに企業データ231を保持するポータブルストレージ装置230がインタフェース389を介してマウントされているかどうかを判定した後に移動装置212の起動の間に起動される。
この形態において、権利調整モジュール236は、接続性に関するアクセス権管理が適用されている(例えば、企業ネットワークに属するサーバ)それぞれのリモートサーバ214を識別するためのコンフィグレーションパラメータを備えている。リモートサーバ214に対する接続が検出された時、権利調整モジュール236は、コンフィグレーションパラメータによって識別されるサーバの識別子と接続が検出されたリモートサーバ214から受信した識別データとを比較する。リモートサーバから受信した識別データが、コンフィグレーションパラメータによってしめされているサーバである場合、さらに、企業データ231がローカルにマウントされている場合、接続状態に関するアクセス権管理が適用される。一方、リモートサーバから受信した識別データが、コンフィグレーションパラメータによって示されたサーバではない場合、切断状態のアクセス権管理の適用を継続する。
前に説明したように、権利調整モジュール236は、移動装置212が、接続性に関するアクセス権管理が実施されている企業ネットワークのリモートサーバ214と接続されたことを検出すると、関連する企業ネットワークポリシーに応じて移動装置212のユーザに対してデータアクセス権利を付与するために、ポータブルストレージ装置230のセキュア領域232かつ/またはローカルファイルシステム225のセキュア領域227に配置されている企業データ231のアクセス権利を修正する。しかし、権利調整モジュール236は、移動装置212が接続状態から切断状態へ変化したことを検出した場合、データ安全性及び完全性を保証するためにこれらのアクセス権利を修正する。
権利調整モジュール236はまた、インタフェース389を介してセキュア領域232を有するポータブルストレージ装置230をマウントするかまたはローカルファイルシステム225のセキュア領域227と接続するという試行がいつ行われているかを検出する。そのような試行の検出において、移動装置212が企業ネットワークに接続されていない場合、権利調整モジュールは、秘密キー、パスワード等のような秘密入力情報の登録を要求する。登録された秘密入力情報は、検証処理を前提としており、もし成功(例えば、パスワード又は他の秘密情報が正しく登録された)であれば、権利調整モジュール236は、マウントされているポータブルストレージ装置230またはローカルファイルシステム225のセキュア領域227にアクセスすることを許可する。成功していなければ、ポータブルストレージ装置230のマウントまたはセキュアエリア227、232に対するアクセスは妨げられる。ポータブルストレージ装置230がうまくマウントされた時もしくはローカルファイルシステム225のセキュア領域227へのアクセスが許可された時、権利調整モジュール236は、ストレージ装置230に格納されている企業データ231に対するもしくはローカルファイルシステム225に格納されている企業データ231に対する適切なデータアクセス権利を付与する。たとえば、移動装置212は、クラウドサーバ214に接続されてなく、ユーザ(もしくはローカルアプリケーション)が企業データ231が格納されている暗号化されたボリュームをマウントする時、権利調整モジュール236は、企業ネットワークポリシーに応じて企業データ231に対するアクセス権利を調整する。
権利調整モジュール236は、ローカルに格納された企業データ231を解読するために必要とされるセキュリティ証明書(キー、パスワードかつ/又はキーファイル)を保持する。従って、移動装置212が企業ネットワークから切り離された場合、権利調整モジュール236の管理のもとに、セキュア領域227、232のいずれかに格納された企業データ224、231の解読がローカルメモリ385において実行される。同様に、移動装置212がサーバ214に接続される時、さらに企業データがローカルにマウントされるとき、セキュア領域227、232のいずれかに格納される企業データ224、231の解読は、権利調整モジュール236の管理のもとにローカルメモリ385において実行される。
企業ネットワークポリシーは権利調整モジュール236のためにコンフィグレーションパラメータをセットする。コンフィグレーションパラメータは、どのような状況において権利調整モジュール236がアクセス権利、この形態においては接続性に関するアクセス権管理が適用されるクラウドサーバ214の識別子、を調整するかを規定している。例えば、企業ネットワークポリシーは、様々なファイル、ファイルタイプ、ファイルが属するグループかつ/またはディレクトリに様々な機密性レベル又は権利アクセスレベルを規定してもよい。さらに、これらの様々な権利アクセスレベルに基づいて様々なアクセスポリシーが権利調整モジュール236によって適用されてもよい。企業ネットワークポリシーはまた、権利調整モジュール236の管理下においてローカルに格納された企業データ231の暗号/解読に必要となる最新のキー、パスワードかつ/またはキーファイルを規定する。移動装置212が企業データ224、231の所有者に実際にアクセス権利の管理を許可するために接続されている時、権利調整モジュール236は、時々サーバ214から最新の企業ポリシーを受信することを可能とする。このように権利調整モジュール236は、サーバによって動的にプロビジュニングされる。
企業ポリシーに応じて、例えば、接続されている時、ユーザは企業データ231に対してフルアクセス権利を付与されるかもしれない。もしくは切り離されている時、より制限されたもしくは部分的なアクセス権利(例えば読み出しのみ)が付与されるかもしれない。これらのアクセス権利は、全てのセキュアボリューム、個別のファイル、ファイルタイプもしくはそのボリュームに格納されたディレクトリにおいてこのように調整される。移動装置が切り離された場合、ファイルは読み出しのみが許可されるように、つまりユーザにファイルを読み出すための能力を付与すること、もしくはディレクトリ内のファイルの名前を読み出すことが規定される。一方、移動装置が接続されている時、同じファイルは、ファイルの変更及びディレクトリに登録することを許可するために読み出し及び書き込みが許可される。
要するに、図3に示される移動装置212は、SDカードやUSBスティック等のような外部ポータブルストレージ装置230と接続することができる。移動装置212はまた、ファイルシステム225が装置212を起動している間に保存されるローカルランダムアクセスメモリ385内の内部ファイルシステム225にアクセスすることもできる。移動装置212は、ユーザの推奨されたアプリケーションが動作するように構成された仮想マシン上のユーザセッションを介してクラウドサーバ214に接続することができる。移動装置212は、権利調整モジュール236を動作させる。権利調整モジュール236は、サーバ214上において動作する権利提供モジュール462によって提供され、暗号化されたボリュームがローカルにマウントされて移動装置212がクラウドサーバ214と切り離された時、暗号化されたボリューム227、232にローカルに格納されている企業データ231に対するアクセス許可を調整するように構成される。
サーバ
図4において、図2に示されるクラウドサーバ214の一つの主な要素が模式的に示されている。この形態において、クラウドサーバ214は、移動装置212からユーザ接続要求を受け入れることができるシンクライアントマネジメントサーバ装置として動作し、その要求に対する応答においてサーバ上で動作する仮想マシンのユーザセッションを設定する。
図4に示されるように、サーバ214は、ネットワークインタフェース451及びインターネットのようなコンピュータネットワークを介して移動装置212と信号を送受信することができるトランシーバ回路453を含んでいる。図に示すように、サーバ214は、クラウドサーバ214の動作を制御し、トランシーバ回路453と接続されるコントローラ450を含む。コントローラ450は、メモリ457に格納されているソフトウェア命令に応じて動作する。図に示すように、これらのソフトウェア命令は、特にオペレーティングシステム459、通信/接続モジュール460、権利提供モジュール462及び企業データ224が配置される暗号化ボリューム464を含む。上述したように、サーバ214が移動装置212の代わりに搭載されているリモートソフトウェアアプリケーション222がメモリに格納されている。
通信/接続モジュール460は、移動装置からの通信要求を受け入れ/拒絶するために、要求が受け入れた時に移動装置212との接続を設定するために、さらに一旦設定された通信を管理するために、トランシーバ回路453を経由して設定された通信を制御することを可能とする。
権利提供モジュール462は、企業ネットワークポリシーに基づいて、移動装置212の権利調整モジュール236を設定するために(もしくは遠隔で設定するために)必要なコンフィグレーションパラメータを提供する。権利提供モジュール462はまた、時々、権利調整モジュール236によって適用される権利調整ポリシーが最新であることを保持することを保証するために、権利調整モジュール236に対してこれらのコンフィグレーションパラメータの最新情報を供給する。この形態において、権利提供モジュール462はまた、移動装置がサーバ214と接続された時の暗号化された企業データの解読を制御する。
移動装置212が接続されている時、権利提供モジュール462はまた、複数のタスクを実行する。これは移動装置212が接続されていない時、権利調整モジュール236によって実行されることと同様である。たとえば、移動装置212が接続されている時、権利提供モジュール462は、仮想的に移動装置212のインタフェース389を介してセキュア領域232を有するポータブルストレージ装置230をマウントすること、仮想的にローカルファイルシステム225のセキュア領域227にアクセスすること、もしくはサーバ214の暗号化されたボリューム464をマウントすることといった試みがいつ行われたかを検出する。このような試みを検出すると、仮想的なマウントの場合、移動装置212の権利調整モジュールよりもむしろ、権利提供モジュール462が、セキュア領域227、232に対するアクセスを許可する前に秘密キー、パスワード等の登録を要求する。
権利提供モジュール462はまた、格納された企業データ224をローカル及び遠隔で解読するために必要となるセキュリティ証明書(キー、パスワードかつ/またはキーファイル)を保持する。従って、移動装置212がサーバ214に接続される時、さらに移動装置212にローカルに物理的に格納された企業データが仮想的にマウントされる時、ユーザがアクセスするためにローカルもしくは遠隔でセキュア及び暗号化領域227、232、464のいずれかに格納された企業データ224、231の解読がその都度サーバによって実行される。このように、暗号化された企業データ231がローカルにマウントされた場合に移動装置212において解読が実行される。さらに、移動装置212が仮想的に遠隔でマウントされた時にリモートサーバ224において解読が実行される。
要するに、クラウドサーバ214は、ユーザ接続要求を受け入れることができ、リモートユーザに対して仮想マシン上にユーザセッションを設定することができる。サーバ214はまた、移動装置に取り付けられたメモリ(ローカルファイルシステム225もしくは外部ポータブルストレージデバイス230)に格納された企業データ231にアクセスすることができる。サーバ214は、ユーザもしくはボリュームの所有者によって選択された正しい秘密キーの登録に応じて暗号化されたボリュームがリモートユーザによってマウントされることを許可する。暗号化されたボリュームは、移動装置が利用することができるファイルシステム225の一部となり、外部ポータブルストレージ装置230(SDカード、SIM、USBキー)に設定されるセキュアメモリ領域232(もしくはコンテナ)となり、もしくは、サーバ214に配置された遠隔でアクセス可能なセキュアメモリ領域464となる。サーバ214は、移動装置212のローカルアプリケーション226かつ/またはサーバ214のリモートアプリケーション222によってユーザのために暗号化されたデータをその都度解読する。サーバ214はまた、移動装置212の権利調整モジュール236を設定し、企業ポリシーかつ/または存在するポリシー、もしくは最新化された新しい企業データ224、231を変更することを許可するために動的に権利調整モジュール236を提供する。
権利調整手順
移動装置212の権利調整モジュール236によって実行される代表的な権利調整手続きが、図5のフローチャートに示されている。
図5に示されるように、権利調整モジュール236が企業ネットワークのサーバ214とのネットワーク接続を検出した場合(S1)、移動装置212においてローカルにマウントされ解読された企業データに対して、第1レベルのデータアクセス権利が企業ポリシーに応じて付与される(S2)。同様に、権利提供モジュール462が企業ネットワークの移動装置212とのネットワーク接続を検出した場合、サーバ214において仮想的にマウントされ解読された企業データ231に対して、第1レベルのデータアクセス権利が企業ポリシーに応じて付与される。
権利調整モジュール236は、移動装置が企業ネットワークから切り離されるまで接続を監視し続ける(S3)。移動装置が企業ネットワークから切り離された場合、権利調整モジュール236は、ローカルに格納されている企業データ231に対するアクセス権利を第2レベルに修正する。第2レベルは、第1レベルよりも制限されるが、それでも制限付きのアクセスは許可される(S4)。たとえば、アクセス権利の第1レベルは、データに対する読み出し及び書き込みを許可する。一方、第2レベルは、アクセス権利の読み出しのみ許可される。権利調整モジュール236と権利提供モジュール462はそれから接続が再び検出されるまで接続の監視に戻る(S5)。接続されると、企業データ231に対するアクセス権利は、企業ポリシーに応じて再び第1レベルに戻るように調整される。
従って、上述した通信システムは、装置が企業ネットワークから切り離された場合、ローカルに格納された企業データ231のためにデータ権利の管理をすることができる。権利管理に対するこのアプローチは、接続性に応じてデータに対してアクセス権利/許可の調整を許可することによって、より大きな柔軟性を提供する。このようにしてユーザは、企業セキュリティポリシーに基づいて、たとえ、企業ネットワークに接続された時よりも制限されていたとしても、切断された時に依然としてデータにアクセスするための能力を備えている。
修正及び変更
詳細な実施の形態について説明する。当業者であれば認識するように、複数の修正及び変更が上述した実施の形態においてなされている一方で、発明の効果が具体化されている。複数の変更及び修正について説明する。
上述した実施の形態においては、移動装置212及びサーバ214のそれぞれは、トランシーバ回路を含む。一般的にこの回路は、専用のハードウェア回路によって形成される。しかしながら、ある実施の形態においては、トランシーバ回路の一部が、通信コントローラによって動作されるソフトウェアとして実行されてもよい。
上述の実施の形態においては、複数のソフトウェアモジュールが説明されている。当業者であれば認識するように、ソフトウェアモジュールは、コンパイルされもしくはコンパイルされないで供給されてもよい。さらに、ソフトウェアモジュールは、コンピュータネットワークもしくは記録媒体を介して信号としてサーバもしくは移動装置に供給されてもよい。さらに、このソフトウェアの一部もしくは全てによって実行される機能は、ひとつもしくは一つより多くの専用のハードウェア回路を用いて実現されてもよい。しかしながら、ソフトウェアモジュールの使用は、機能を更新するためにサーバ及び移動装置の更新を容易にすることが好ましい。さらに、上述したモジュールは、独立したモジュールとして定義されておらず、代わりにサーバかつ/または移動電話のオペレーティングシステムに組み込まれていてもよい。
上述した説明において、サーバ214は及び移動装置212は、理解を容易とするために、複数の別々のモジュール(接続/通信制御及び権利割当モジュール391、236のように)を有するとして説明されている。一方、これらのモジュールは、あるアプリケーション、例えば既存のシステムが発明を実行するために修正されるアプリケーションのように提供されてもよく、他のアプリケーション、例えば、はじめから発明の特徴を用いて設計されたシステムのように提供されてもよく、これらのモジュールは、全てのオペレーティングシステムもしくはコードに組み込まれてもよく、これらのモジュールは、別々の要素として認識されなくてもよい。別々のモジュールが提供されると、上述のモジュールの一つ又はそれより多くの機能は、ひとつのモジュールによって実行されてもよい。
実施の形態において、ひとつの移動装置212及び一つのサーバ214に関して主に説明しているが、複数の移動装置が企業ネットワークに接続し、切り離され、それらの調整された権利を有してもよい。同様に、移動装置212は、企業ネットワーク(もしくは、様々なデータ所有者を有する様々なネットワーク)の任意の数のサーバ214に接続されてもよい。
さらに、移動装置212とコンピュータネットワーク214との間の通信は、無線もしくは有線通信プロトコル、さらには関連する技術が用いられてもよい。たとえば、移動装置は、無線通信におけるブルートゥースかつ/またはWiFiプロトコルを用いて通信を設定してもよく、赤外線通信におけるIrDA(Infrared Data Association)プロトコルを用いて通信を設定してもよく、かつ/または有線通信においてはUniversal Serial Bus(USB)プロトコルを用いて通信を設定してもよい。移動装置212及びサーバ214はまた、サーバ214に対する長距離通信を許可するために移動電話ネットワーク(例えば、基地局、無線ネットワークコントローラ、コアネットワーク等)を介して長距離通信を設定してもよい。
移動装置212は、移動電話もしくはセルラーフォン(例えばスマートフォン)として説明されているが、例えばPersonal digital assistant(PDA)、パームトップもしくはノートブックコンピュータのように適した装置であってもよい。
接続性に関するアクセス権管理が適用されるサーバの識別子は、その代りにまたはそれに加えて、クラウドサーバ214との接続設定が成功した場合にリモートユーザに対してアクセスを提供するローカルアプリケーション226によって権利調整モジュール236に提供されてもよい。さらに、接続性に関する権利管理をおこなうサーバを識別するデータは、外部ストレージデバイス230(例えば、USBデバイスのセキュア領域232等)かつ/またはローカルファイルシステム225のセキュアエリア227に格納される。
権利調整モジュール236は、企業ポリシーに応じて企業データに対するフルアクセスもしくは制限付きアクセスを付与するための管理の役割を実際に与えられたローカルエージェントとして動作する。しかしながら、個別のプログラムが、その代りに又はそれに加えて権利調整モジュールの制御の下に権利を調整する役割を与えられてもよい。
どのような状況において権利調整モジュール236がアクセス権利を調整するかを定義するためのコンフィグレーションパラメータの提供は、いずれかの適切なメカニズム、例えば、Over−the−Airメカニズム、SMS Pushメカニズムかつ/またはOMA Device Managementメカニズム、を用いて実行される。しかし、最初の提供は、その代りに又はそれに加えて、ローカルファイルシステム225(またはポータブルストレージデバイス230)のセキュアメモリ領域227における最初のかつ/またはデフォルトのコンフィグレーションパラメータを格納することによって権利調整モジュール236の最初のインストールかつ/または起動の間に提供されてもよい。
アクセス権利は、たとえば、ドキュメントに与えられたセキュリティレベルかつ/または特定ユーザの識別子または特定グループのユーザのメンバーシップに基づいてファイルもしくはドキュメントに定義されてもよい。さらに、ローカルかつ/または遠隔に格納されたデータ(企業または個人)は、明確にアクセス権利を付与されていないユーザがデータにアクセスすることができないように暗号化されている。
様々な譲渡可能なアクセス権利は、格納されているデータの単純な読み出しかつ書き込みを超えて拡張されてもよい。様々な譲渡可能なアクセス権利は、ドキュメントのコピーかつ/またはドキュメントを異なる場所に移動するための権利、データを印刷またはe-mailにファイルを添付するための権利、あるローカルアプリケーション(例えば、word processors、spreadsheets、document viewers)を使用しているデータにアクセスするための権利、ローカルアプリケーションの通信機能を用いる特定の方法においてデータを操作するための権利等を含んでもよい。それゆえ、アクセス権利は、読み出し許可、書き込み許可、印刷許可、コピー許可、共有許可、送信許可、トラッキング変化を伴う(もしくは伴わない)編集許可、実行許可等を含んでもよい。
接続されている時よりも企業ネットワークと切断されている時により制限されたアクセス権利を付与されることがユーザにとって効果がある一方で、権利調整モジュールは、移動装置が切り離されている時により少なく制限されたアクセス権利を付与するように設定される(例えば、接続されている時ではなく切断されている時にユーザがローカル編集を行うためにコピーすることを許可する)。さらに、切断されている時に、他のアクセス権利はほとんど制限されない(例えば、編集するためにコピーをすること)一方で、いくつかのアクセス権利はより制限される(例えば、マスターコピーへの書き込みを防止する)。より多くの制限された権利はまた、ユーザの移動装置に感染するウィルスによって企業ネットワークの感染のリスクを減らすために接続状態において用いられる(例えば、移動装置にローカルに格納された実行ファイルの実行を防止する)。
アクセス権利の二つの異なるレベルが説明される一方で、異なる要因及び企業ネットワークとの接続性に基づいて割り当てられたいくつかのレベル(または組み合わせ)のアクセス権利があってもよい。アクセス権利の組み合わせはまた、ユーザ装置が接続されていない複数の異なるサーバのアクセス権利に基づいて保障されてもよい。さらに、異なるアクセス権利は、移動装置がインターネットを介して特定のクラウドサーバに接続されているか否かに関係なく、移動装置がインターネットに接続されているか否かに単純に基づいて付与されてもよい。これは、機密ファイルが故意にもしくは故意でなく共有されることまたはインターネットを介して公に開示されることを防止することに特に有益である。
権利調整モジュール236かつ/または権利提供モジュール462は、移動装置がサーバに接続されている時にどのアクセス権利が適用されているか、さらに、移動装置が切断されている時にどのアクセス権利が適用されているかを知っているため、アクセス権利を調整(または再調整)する時にそれぞれのアクセス権利のセットの間で差分のみ適用するように設定することができる。このことは、第1及び第2レベルの間の差分のみが適用されるためにデータに対してより速いアクセスを提供することができる。様々な他の変更は、当業者にとって明らかであり、ここでは詳細については省略する。
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
この出願は、2010年4月29日に出願された英国出願番号1007151.2を基礎とする優先権を主張し、その開示の全てをここに取り込む。
(産業上利用性)
この発明は、データアクセス権利を管理するシステム、方法及びこれらに用いられる装置に関する。特に、移動通信装置のメモリまたは移動通信装置に接続されたポータブルストレージデバイスに格納されたデータのアクセス権利の管理に関するが、これに制限されない。
110、210 通信システム
112、212 移動装置
114 クラウドサーバ
116 コンピュータネットワーク
118 基地局
120 無線ルータ
122 アプリケーション
124、131、224、231 企業データ
126、226 アプリケーション
128 仮想アクセス
130 ポータブルストレージ装置
132、227、232 セキュアメモリ領域
214 クラウドサーバ
216 IPネットワーク
222 アプリケーション
225 ローカルファイルシステム
229、233 個人領域
230 ポータブルストレージ装置
236 権利調整モジュール
371、453 トランシーバ回路
372、451 ネットワークインタフェース
373 基地局インタフェース
375、450 コントローラ
377 ラウドスピーカー
379 マイク
381 ディスプレイ
383 キーパッド
385、457 メモリ
387、459 オペレーティングシステム
389 ストレージユニットインタフェース
391、460 接続/通信コントロール
462 権利提供
464 暗号化ボリューム

Claims (27)

  1. ネットワークに接続されている移動通信装置に関してローカルに保持されているデータのアクセス権を管理する方法であって、
    前記データは、第1セットのアクセス権を有しており、
    前記移動通信装置が前記ネットワークから切断されたことを検出し、
    前記切断を検出した場合に、前記データに対する前記第1セットのアクセス権を第2セットのアクセス権へ前記アクセス権を調整し、
    前記第1セットのアクセス権は、前記第2のアクセス権とは異なる、方法
  2. 前記第2セットのアクセス権は、前記第1セットのアクセス権の通信アクセス権よりも制限されている少なくとも一つのアクセス権を有する、請求項1に記載の方法。
  3. 前記第1及び第2セットのアクセス権はそれぞれ読み出し許可、書き込み許可及び実行許可のうち少なくとも一つを含む、請求項1又は2に記載の方法
  4. 前記第2セットのアクセス権へ前記アクセス権を調整することは、前記データを有するファイルの識別子、前記データを有するファイルのファイルタイプ、前記データを有するファイルに対して割り当てられる権利アクセスレベル、予め定められたグループにおいて前記データを有するファイルのメンバーシップ及び前記データを有するファイルが配置されているディレクトリの識別子のうち少なくとも一つに応じて変化するアクセス権利を付与する、請求項1乃至3のいずれか1項に記載の方法。
  5. 前記第2セットのアクセス権へ前記アクセス権を調整することは、前記移動装置のユーザの識別子かつ予め定められたユーザグループにおける前記移動装置のユーザのメンバーシップ、又は、前記移動装置のユーザの識別子もしくは予め定められたユーザグループにおける前記移動装置のユーザのメンバーシップに応じて変化するアクセス権利を付与することを含む、請求項1乃至4のいずれか1項に記載の方法。
  6. 前記前記移動装置が前記ネットワークから切断されたことを検出することは、前記移動装置が予め定められたサーバ装置から切断されたことを検出することを含む、請求項1乃至5のいずれか1項に記載の方法。
  7. 前記移動通信装置がサーバ装置と接続されていることを判定し、
    前記移動装置が接続されている前記サーバ装置の識別子を示す情報を取得し、
    前記予め定められたサーバ装置の識別子を示す情報を取得し、
    前記移動装置が接続されているサーバ装置の識別子と前記予め定められたサーバ装置の識別子を比較することをさらに備え、
    前記移動装置と前記予め定められたサーバ装置の接続性を判定する、請求項6に記載の方法。
  8. 前記方法は、前記移動装置において動作する権利管理モジュールによって実行され、
    前記予め定められたサーバ装置の前記識別子を示す前記情報は、前記権利管理モジュールに備えられるコンフィギュレーションパラメータから取得される、請求項7に記載の方法。
  9. 前記予め定められたサーバ装置の前記識別子を示す前記情報は、前記移動通信装置に関してローカルに保持されている前記データから抽出することによって取得される、請求項7に記載の方法。
  10. 前記予め定められたサーバ装置の前記識別子を示す前記情報は、前記移動通信装置においてローカルに動作するアプリケーションから抽出することによって取得される、請求項7に記載の方法
  11. 前記データは、暗号化され、
    前記方法は、前記移動通信装置が前記ネットワークに接続されていない時に前記移動通信装置に対して前記アクセス権が付与されるデータを解読することを含む、請求項1乃至10のいずれか1項に記載の方法。
  12. 前記データは、暗号化され、
    前記方法は、前記移動通信装置が前記ネットワークに接続されている時に、サーバ装置から前記アクセス権が付与された解読された形式のデータを受け取ることを含む、請求項1乃至11のいずれか1項に記載の方法。
  13. 前記方法は、前記データが前記移動通信装置に格納されているポータブルストレージ装置をマウントする試みを検出し、前記移動通信装置のユーザから安全な入力情報の登録を要求し、前記ユーザから安全な入力情報を受け取り、前記受け取った安全な入力情報を確認し、前記安全な入力情報の確認が成功した場合に前記ポータブルストレージ装置をマウントすることを許可し、前記安全な入力情報の確認が成功しない場合に前記ポータブルストレージ装置をマウントすることを禁止する、請求項1乃至12のいずれか1項に記載の方法。
  14. 前記方法は、ネットワークに対する前記移動通信装置の接続性が、切断から接続へ変化することを検出し、前記変化を検出した場合前記第2セットのアクセス権から前記第1セットのアクセス権へ前記アクセス権を調整することを含む、請求項1乃至13のいずれか1項に記載の方法。
  15. 移動通信装置に関してローカルに保持されているデータのアクセス権の管理を移動通信装置に提供する方法であって、
    前記移動通信装置において、前記移動通信装置がネットワークに接続されている時にユーザに対する前記データの第1セットのアクセス権を定義するコンフィギュレーションパラメータを受け取り、
    前記移動通信装置において、前記移動通信装置が前記ネットワークに接続されていない時にユーザに対する前記データの第2セットのアクセス権を定義するコンフィギュレーションパラメータを受け取り、
    前記移動通信装置に関してローカルに保持されているデータの前記アクセス権を管理するユーザのために前記コンフィギュレーションパラメータを格納し、
    前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる、方法。
  16. 移動通信装置に関してローカルに保持されているデータのアクセス権の管理を移動通信装置に提供する方法であって、
    前記移動通信装置がネットワークに接続されている時にユーザに対する前記データの第1セットのアクセス権を定義するコンフィギュレーションパラメータを前記移動通信装置に提供し、
    前記移動通信装置が前記ネットワークに接続されていない時にユーザに対する前記データの第2セットのアクセス権を定義するコンフィギュレーションパラメータを前記移動通信装置に提供し、
    前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる、方法。
  17. 前記方法は、更新されたコンフィギュレーションパラメータが利用できることを判定し、前記判定に応じて前記移動通信装置へ前記更新されたコンフィギュレーションパラメータを提供する、請求項16に記載の方法。
  18. 前記コンフィギュレーションパラメータを提供することは、前記データを有するファイルの識別子、前記データを有するファイルのファイルタイプ、前記データを有するファイルに対して割り当てられる権利アクセスレベル、予め定められたグループにおいて前記データを有するファイルのメンバーシップ及び前記データを有するファイルが配置されているディレクトリの識別子、又は、前記データを有するファイルの識別子、前記データを有するファイルのファイルタイプ、前記データを有するファイルに対して割り当てられる権利アクセスレベル、予め定められたグループにおいて前記データを有するファイルのメンバーシップもしくは前記データを有するファイルが配置されているディレクトリの識別子、のうち少なくとも一つに応じて変化するアクセス権を定義するコンフィギュレーションパラメータを提供することを含む、請求項16又は17に記載の方法。
  19. 移動通信装置に関してローカルに保持されているデータのアクセス権を管理する手段を有する移動通信装置であって、前記アクセス権管理手段は、
    ネットワークへ接続するための手段と、前記移動装置がネットワークに接続されている時に、前記データは、第1セットのアクセス権を有し、前記移動通信装置が前記ネットワークと切断されたことを検出する手段と、前記切断を検出した場合に前記データの前記第1セットのアクセス権を第2セットのアクセス権へアクセス権を調整する手段と、を備え、前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる、移動通信装置。
  20. 移動通信装置に関してローカルに保持されているデータのアクセス権を管理する手段を有する移動通信装置であって、前記アクセス権管理手段は、
    前記移動通信装置において、前記移動通信装置がネットワークに接続されている時にユーザに対する前記データの第1セットのアクセス権を定義するコンフィギュレーションパラメータを受け取る手段と、
    前記移動通信装置において、前記移動通信装置が前記ネットワークに接続されていない時にユーザに対する前記データの第2セットのアクセス権を定義するコンフィギュレーションパラメータを受け取る手段と、
    前記移動通信装置に関してローカルに保持されているデータの前記アクセス権を管理するユーザのために前記コンフィギュレーションパラメータを格納する手段と、を備え、
    前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる、移動通信装置。
  21. 前記権利管理手段は、前記移動通信装置において動作することができる権利管理モジュールを含む、請求項19に記載の移動通信装置。
  22. 前記権利管理モジュールは、前記移動装置の起動時に、起動される、請求項21に記載の移動通信装置。
  23. 移動通信装置に関してローカルに保持されているデータのアクセス権を移動通信装置へ提供する手段を有するサーバ装置であって、前記提供手段は、
    前記移動通信装置がネットワークに接続されている時にユーザに対する前記データの第1セットのアクセス権を定義するコンフィギュレーションパラメータを前記移動通信装置に提供する手段と、
    前記移動通信装置が前記ネットワークに接続されていない時にユーザに対する前記データの第2セットのアクセス権を定義するコンフィギュレーションパラメータを前記移動通信装置に提供する手段と、を備え、
    前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる、方法。
  24. 請求項1乃至17のいずれか1項にかかる方法をコンピュータに実行させるプログラムを格納する非一時的なコンピュータ可読媒体。
  25. 移動通信装置に関してローカルに保持されているデータのアクセス権を管理するモジュールを有する移動通信装置であって、前記アクセス権管理モジュールは、(i)ネットワークに対する前記移動通信装置の接続性を判定し、(ii)前記移動通信装置が前記ネットワークに接続されている時、前記データに対する第1セットのアクセス権を付与し、(iii)前記移動通信装置が前記ネットワークへ接続されていない時に前記データに対する第2セットのアクセス権を付与し、
    前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる、移動通信装置。
  26. 移動通信装置に関してローカルに保持されているデータのアクセス権を管理するモジュールを有する移動通信装置であって、前記アクセス権管理モジュールは、(i)前記移動通信装置がネットワークに接続されている時にユーザに対する前記データの第1セットのアクセス権を定義するコンフィギュレーションパラメータを受け取り、(ii)前記移動通信装置が前記ネットワークに接続されていない時にユーザに対する前記データの第2セットのアクセス権を定義するコンフィギュレーションパラメータを受け取り、(iii)前記移動通信装置に関してローカルに保持されているデータの前記アクセス権を管理するユーザのために前記コンフィギュレーションパラメータを格納し、
    前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる、移動通信装置。
  27. 移動通信装置に関してローカルに保持されているデータのアクセス権の管理を移動通信装置に提供するための提供モジュールを有するサーバ装置であって、提供モジュールは、
    前記移動通信装置がネットワークに接続されている時にユーザに対する前記データの第1セットのアクセス権を定義するコンフィギュレーションパラメータと、(ii)前記移動通信装置が前記ネットワークに接続されていない時にユーザに対する前記データの第2セットのアクセス権を定義するコンフィギュレーションパラメータと、を移動通信装置に供給し、
    前記第1セットのアクセス権は、前記第2セットのアクセス権と異なる、サーバ装置。
JP2012549175A 2010-04-29 2011-04-18 通信システム、クラウドサーバ、移動通信装置、通信システムの制御方法、及びプログラム Expired - Fee Related JP5791633B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB1007151A GB2479916A (en) 2010-04-29 2010-04-29 Access rights management of locally held data based on network connection status of mobile device
GB1007151.2 2010-04-29
PCT/JP2011/059994 WO2011136150A1 (en) 2010-04-29 2011-04-18 Access management system

Publications (2)

Publication Number Publication Date
JP2013525871A true JP2013525871A (ja) 2013-06-20
JP5791633B2 JP5791633B2 (ja) 2015-10-07

Family

ID=42271017

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012549175A Expired - Fee Related JP5791633B2 (ja) 2010-04-29 2011-04-18 通信システム、クラウドサーバ、移動通信装置、通信システムの制御方法、及びプログラム

Country Status (6)

Country Link
US (1) US9043898B2 (ja)
EP (1) EP2564347A4 (ja)
JP (1) JP5791633B2 (ja)
CN (1) CN102906758A (ja)
GB (1) GB2479916A (ja)
WO (1) WO2011136150A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016525313A (ja) * 2013-07-18 2016-08-22 アルカテル−ルーセント プライベートデータを保護するための方法およびデバイス
US10686727B2 (en) 2015-12-24 2020-06-16 Ricoh Company, Ltd. Operation device and method for managing use right of communication channel

Families Citing this family (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9361243B2 (en) 1998-07-31 2016-06-07 Kom Networks Inc. Method and system for providing restricted access to a storage medium
US9496620B2 (en) 2013-02-04 2016-11-15 Ubiquiti Networks, Inc. Radio system for long-range high-speed wireless communication
US8836601B2 (en) 2013-02-04 2014-09-16 Ubiquiti Networks, Inc. Dual receiver/transmitter radio devices with choke
US8552833B2 (en) 2010-06-10 2013-10-08 Ricoh Company, Ltd. Security system for managing information on mobile wireless devices
US9165289B2 (en) 2011-02-28 2015-10-20 Ricoh Company, Ltd. Electronic meeting management for mobile wireless devices with post meeting processing
US20130347054A1 (en) * 2012-06-20 2013-12-26 Tetsuro Motoyama Approach For Managing Access To Data On Client Devices
US9378359B2 (en) * 2011-10-11 2016-06-28 Citrix Systems, Inc. Gateway for controlling mobile device access to enterprise resources
US10291658B2 (en) * 2011-11-09 2019-05-14 Microsoft Technology Licensing, Llc Techniques to apply and share remote policies on mobile devices
JP5860762B2 (ja) * 2012-05-10 2016-02-16 株式会社日立ソリューションズ 携帯端末及び携帯端末用ファイル管理プログラム
US9306810B2 (en) * 2012-06-11 2016-04-05 WiFiZapper, Inc. WiFi zapper smart phone application
US8732792B2 (en) 2012-06-20 2014-05-20 Ricoh Company, Ltd. Approach for managing access to data on client devices
US9213805B2 (en) 2012-06-20 2015-12-15 Ricoh Company, Ltd. Approach for managing access to data on client devices
US8438654B1 (en) * 2012-09-14 2013-05-07 Rightscale, Inc. Systems and methods for associating a virtual machine with an access control right
FR2996018A1 (fr) * 2012-09-27 2014-03-28 France Telecom Dispositif et procede de gestion de l'acces a un ensemble de ressources informatiques et reseaux mis a la disposition d'une entite par un systeme informatique en nuage
TWM456595U (zh) * 2012-12-07 2013-07-01 Feng-Yu Ye 網路連接裝置與無線電話相互結合以連接線連接視訊顯示裝置的控制系統結構
US9397820B2 (en) 2013-02-04 2016-07-19 Ubiquiti Networks, Inc. Agile duplexing wireless radio devices
US9531067B2 (en) 2013-02-08 2016-12-27 Ubiquiti Networks, Inc. Adjustable-tilt housing with flattened dome shape, array antenna, and bracket mount
JP5853996B2 (ja) * 2013-06-10 2016-02-09 コニカミノルタ株式会社 情報システム、情報機器およびコンピュータプログラム
DE102013106119A1 (de) 2013-06-12 2014-12-18 Deutsche Telekom Ag Hierarchisches Authentifizierungs- und Autorisierungssystem
WO2015054567A1 (en) 2013-10-11 2015-04-16 Ubiquiti Networks, Inc. Wireless radio system optimization by persistent spectrum analysis
PL3114884T3 (pl) * 2014-03-07 2020-05-18 Ubiquiti Inc. Uwierzytelnianie i identyfikacja urządzenia w chmurze
US9843096B2 (en) 2014-03-17 2017-12-12 Ubiquiti Networks, Inc. Compact radio frequency lenses
WO2015153684A1 (en) 2014-03-31 2015-10-08 Mobile Iron, Inc. Mobile device management broker
US9912034B2 (en) 2014-04-01 2018-03-06 Ubiquiti Networks, Inc. Antenna assembly
US9875110B2 (en) 2014-04-08 2018-01-23 Vmware, Inc. Dynamic application overlay for remote desktop servers
CN103927170A (zh) * 2014-04-09 2014-07-16 可牛网络技术(北京)有限公司 获取和提供软件服务的方法、装置及系统
US11751068B2 (en) 2014-06-30 2023-09-05 Ubiquiti Inc. Methods and tools for assisting in the configuration of a wireless radio network
EP3187002B1 (en) 2014-08-31 2021-04-07 Ubiquiti Inc. Methods and apparatuses for monitoring and improving wireless network health
US10021137B2 (en) * 2014-12-27 2018-07-10 Mcafee, Llc Real-time mobile security posture
CN106161384A (zh) * 2015-04-15 2016-11-23 伊姆西公司 用于在移动设备中提供对数据的安全访问的方法和系统
US9680704B2 (en) 2015-09-25 2017-06-13 Ubiquiti Networks, Inc. Compact and integrated key controller apparatus for monitoring networks
US10318721B2 (en) * 2015-09-30 2019-06-11 Apple Inc. System and method for person reidentification
CN105897682A (zh) * 2015-12-11 2016-08-24 乐视云计算有限公司 一种在线鉴权方法及装置
US10013570B2 (en) * 2016-05-09 2018-07-03 International Business Machines Corporation Data management for a mass storage device
US9589397B1 (en) * 2016-06-06 2017-03-07 American Megatrends, Inc. Securing internet of things (IoT) based entrance/exit with multi-factor authentication
CN107786518B (zh) * 2016-08-30 2020-08-04 福建福昕软件开发股份有限公司 一种动态配置文档访问权限的方法
JP6745174B2 (ja) * 2016-09-09 2020-08-26 株式会社日立産機システム コントローラ及びコントロール管理システム
US10956415B2 (en) 2016-09-26 2021-03-23 Splunk Inc. Generating a subquery for an external data system using a configuration file
US11604795B2 (en) 2016-09-26 2023-03-14 Splunk Inc. Distributing partial results from an external data system between worker nodes
US12013895B2 (en) 2016-09-26 2024-06-18 Splunk Inc. Processing data using containerized nodes in a containerized scalable environment
CN106407839B (zh) * 2016-09-26 2020-05-19 东莞市诺盛信息科技有限公司 移动终端的文件存储方法及存储装置
US11860940B1 (en) 2016-09-26 2024-01-02 Splunk Inc. Identifying buckets for query execution using a catalog of buckets
US10353965B2 (en) 2016-09-26 2019-07-16 Splunk Inc. Data fabric service system architecture
CN107038382B (zh) * 2017-04-24 2020-05-22 深信服科技股份有限公司 一种基于文件描述符和会话的权限控制方法和系统
CN109165532A (zh) * 2017-06-27 2019-01-08 慧荣科技股份有限公司 存储装置管理方法以及存储装置管理系统
US11989194B2 (en) 2017-07-31 2024-05-21 Splunk Inc. Addressing memory limits for partition tracking among worker nodes
US11921672B2 (en) * 2017-07-31 2024-03-05 Splunk Inc. Query execution at a remote heterogeneous data store of a data fabric service
CN111125642B (zh) * 2018-10-31 2022-06-03 北京数聚鑫云信息技术有限公司 一种管理api的方法、装置、存储介质及计算机设备
DE102019204077B4 (de) * 2019-03-25 2022-11-17 Vega Grieshaber Kg Berechtigungsvergabe an Feldgeräte
US11693980B2 (en) * 2019-04-19 2023-07-04 Datalocker Inc. Offline data storage device
US11494380B2 (en) 2019-10-18 2022-11-08 Splunk Inc. Management of distributed computing framework components in a data fabric service system
US11681826B2 (en) * 2019-12-05 2023-06-20 Jpmorgan Chase Bank, N.A. Systems and methods for protection of data across multiple users and devices
CN111222153B (zh) * 2020-01-07 2023-04-07 腾讯科技(深圳)有限公司 应用程序权限管理方法、装置和存储介质
US11922222B1 (en) 2020-01-30 2024-03-05 Splunk Inc. Generating a modified component for a data intake and query system using an isolated execution environment image
EP3975025A1 (en) * 2020-09-24 2022-03-30 AO Kaspersky Lab System and method of granting access to data of a user
US12072939B1 (en) 2021-07-30 2024-08-27 Splunk Inc. Federated data enrichment objects
US12093272B1 (en) 2022-04-29 2024-09-17 Splunk Inc. Retrieving data identifiers from queue for search of external data system

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5025A (en) * 1847-03-20 Horatio allen
JP2006502678A (ja) * 2002-10-02 2006-01-19 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 携帯用装置のスマート接続の管理
JP2006511893A (ja) * 2002-12-18 2006-04-06 エム−システムズ フラッシュ ディスク パイオニアーズ リミテッド ポータブル・データを保護するためのシステム及び方法
JP2007207171A (ja) * 2006-02-06 2007-08-16 Ricoh Co Ltd 文書アクセス制御システム
JP2007257057A (ja) * 2006-03-20 2007-10-04 Ricoh Co Ltd 文書管理システム、情報処理装置及び情報処理プログラム
JP2007304861A (ja) * 2006-05-11 2007-11-22 Canon Inc 画像出力装置、履歴管理方法、および履歴管理プログラム
JP2008033855A (ja) * 2006-08-01 2008-02-14 Hitachi Software Eng Co Ltd クライアントサーバシステム
JP2008527475A (ja) * 2004-12-30 2008-07-24 ノキア コーポレイション 複数のコンフィギュレーションを有する装置内におけるコンフィギュレーションの使用法

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8234477B2 (en) * 1998-07-31 2012-07-31 Kom Networks, Inc. Method and system for providing restricted access to a storage medium
US6574657B1 (en) * 1999-05-03 2003-06-03 Symantec Corporation Methods and apparatuses for file synchronization and updating using a signature list
US7392391B2 (en) * 2001-11-01 2008-06-24 International Business Machines Corporation System and method for secure configuration of sensitive web services
TWI303764B (en) * 2002-10-25 2008-12-01 Digital information protecting method and system
US20080177994A1 (en) * 2003-01-12 2008-07-24 Yaron Mayer System and method for improving the efficiency, comfort, and/or reliability in Operating Systems, such as for example Windows
US9197668B2 (en) * 2003-02-28 2015-11-24 Novell, Inc. Access control to files based on source information
JP2005122474A (ja) * 2003-10-16 2005-05-12 Fujitsu Ltd 情報漏洩防止プログラムおよびその記録媒体並びに情報漏洩防止装置
US8146148B2 (en) * 2003-11-19 2012-03-27 Cisco Technology, Inc. Tunneled security groups
US8234374B2 (en) 2004-04-26 2012-07-31 Microsoft Corporation Privacy model that grants access rights and provides security to shared content
WO2005117466A2 (en) * 2004-05-24 2005-12-08 Computer Associates Think, Inc. Wireless manager and method for managing wireless devices
EP2549442A3 (en) * 2004-09-16 2013-05-29 Fortress GB Ltd. A method for communication of information and data between a user and the operator of a venue attended by the user via a poster
US7950044B2 (en) * 2004-09-28 2011-05-24 Rockwell Automation Technologies, Inc. Centrally managed proxy-based security for legacy automation systems
US7716489B1 (en) * 2004-09-29 2010-05-11 Rockwell Automation Technologies, Inc. Access control method for disconnected automation systems
US8613048B2 (en) * 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
US7793333B2 (en) * 2005-06-13 2010-09-07 International Business Machines Corporation Mobile authorization using policy based access control
US8082451B2 (en) * 2005-09-12 2011-12-20 Nokia Corporation Data access control
US7623548B2 (en) * 2005-12-22 2009-11-24 At&T Intellectual Property, I,L.P. Methods, systems, and computer program products for managing access resources in an internet protocol network
CN100580642C (zh) * 2006-02-28 2010-01-13 国际商业机器公司 通用串行总线存储设备及其访问控制方法
EP1833222A1 (en) * 2006-03-10 2007-09-12 Abb Research Ltd. Access control protocol for embedded devices
US8528102B2 (en) * 2006-10-06 2013-09-03 Broadcom Corporation Method and system for protection of customer secrets in a secure reprogrammable system
US8024806B2 (en) * 2006-10-17 2011-09-20 Intel Corporation Method, apparatus and system for enabling a secure location-aware platform
DE102006050639A1 (de) * 2006-10-26 2008-04-30 Philip Behrens Methode und Gerät zur Kontrolle und/oder Begrenzung von elektronischen Medieninhalten
GB0623842D0 (en) * 2006-11-29 2007-01-10 British Telecomm Secure access
US9286481B2 (en) * 2007-01-18 2016-03-15 Honeywell International Inc. System and method for secure and distributed physical access control using smart cards
US8438619B2 (en) * 2007-09-21 2013-05-07 Netmotion Wireless Holdings, Inc. Network access control
US8782759B2 (en) 2008-02-11 2014-07-15 International Business Machines Corporation Identification and access control of users in a disconnected mode environment
US8743776B2 (en) * 2008-06-12 2014-06-03 At&T Mobility Ii Llc Point of sales and customer support for femtocell service and equipment
WO2010037201A1 (en) * 2008-09-30 2010-04-08 Wicksoft Corporation System and method for secure management of mobile user access to enterprise network resources
US8504847B2 (en) * 2009-04-20 2013-08-06 Cleversafe, Inc. Securing data in a dispersed storage network using shared secret slices
US20100332401A1 (en) * 2009-06-30 2010-12-30 Anand Prahlad Performing data storage operations with a cloud storage environment, including automatically selecting among multiple cloud storage sites
US20110047614A1 (en) * 2009-08-19 2011-02-24 Chi-Feng Huang Permission management system for data accessing and method thereof
US8381264B1 (en) * 2009-09-10 2013-02-19 Amazon Technologies, Inc. Managing hardware reboot and reset in shared environments
US20110087603A1 (en) * 2009-10-13 2011-04-14 Google Inc. Cloud based media player and offline media access
US9274821B2 (en) * 2010-01-27 2016-03-01 Vmware, Inc. Independent access to virtual machine desktop content
US8412945B2 (en) * 2011-08-09 2013-04-02 CloudPassage, Inc. Systems and methods for implementing security in a cloud computing environment
US20130268582A1 (en) * 2012-04-05 2013-10-10 Nokia Corporation Method And Apparatus for Distributing Content Among Multiple Devices While In An Offline Mode

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5025A (en) * 1847-03-20 Horatio allen
JP2006502678A (ja) * 2002-10-02 2006-01-19 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 携帯用装置のスマート接続の管理
JP2006511893A (ja) * 2002-12-18 2006-04-06 エム−システムズ フラッシュ ディスク パイオニアーズ リミテッド ポータブル・データを保護するためのシステム及び方法
JP2008527475A (ja) * 2004-12-30 2008-07-24 ノキア コーポレイション 複数のコンフィギュレーションを有する装置内におけるコンフィギュレーションの使用法
JP2007207171A (ja) * 2006-02-06 2007-08-16 Ricoh Co Ltd 文書アクセス制御システム
JP2007257057A (ja) * 2006-03-20 2007-10-04 Ricoh Co Ltd 文書管理システム、情報処理装置及び情報処理プログラム
JP2007304861A (ja) * 2006-05-11 2007-11-22 Canon Inc 画像出力装置、履歴管理方法、および履歴管理プログラム
JP2008033855A (ja) * 2006-08-01 2008-02-14 Hitachi Software Eng Co Ltd クライアントサーバシステム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSND199700052005; Peter Wayner: '"インターネットの安全性を高めるディジタル署名の技術"' 日経バイト 第167号, 19970722, p.333-343, 日経BP社 *
JPN6014048765; Peter Wayner: '"インターネットの安全性を高めるディジタル署名の技術"' 日経バイト 第167号, 19970722, p.333-343, 日経BP社 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016525313A (ja) * 2013-07-18 2016-08-22 アルカテル−ルーセント プライベートデータを保護するための方法およびデバイス
US10686727B2 (en) 2015-12-24 2020-06-16 Ricoh Company, Ltd. Operation device and method for managing use right of communication channel

Also Published As

Publication number Publication date
GB2479916A (en) 2011-11-02
JP5791633B2 (ja) 2015-10-07
US9043898B2 (en) 2015-05-26
GB201007151D0 (en) 2010-06-09
CN102906758A (zh) 2013-01-30
WO2011136150A1 (en) 2011-11-03
EP2564347A1 (en) 2013-03-06
EP2564347A4 (en) 2016-12-21
US20130067564A1 (en) 2013-03-14

Similar Documents

Publication Publication Date Title
JP5791633B2 (ja) 通信システム、クラウドサーバ、移動通信装置、通信システムの制御方法、及びプログラム
US10362485B2 (en) Delegated profile and policy management
JP6348624B2 (ja) セキュア要素内のデータを管理するための方法及び装置
EP3590065B1 (en) Delegating security policy management authority to managed accounts
US9300476B2 (en) Management of certificates for mobile devices
US8839354B2 (en) Mobile enterprise server and client device interaction
TWI582638B (zh) 電子器件、用於建立及強制實行與一存取控制元件相關聯之一安全性原則之方法及安全元件
JP5361894B2 (ja) マルチファクタコンテンツの保護
US9053337B2 (en) Methods and devices for controlling access to a computing resource by applications executable on a computing device
US9298930B2 (en) Generating a data audit trail for cross perimeter data transfer
US20120167167A1 (en) Enabling granular discretionary access control for data stored in a cloud computing environment
US20130055347A1 (en) Hardware interface access control for mobile applications
US20110131421A1 (en) Method for installing an application on a sim card
JP2003228520A (ja) 保護電子データにオフラインでアクセスする方法及び装置
KR20150093737A (ko) 인가 토큰을 이용하는 네트워크 디바이스들의 관리
CN103959857A (zh) 管理无线网络中的移动设备应用
WO2012154600A1 (en) Methods and apparatus for providing management capabilities for access control clients
US10511574B2 (en) Methods and apparatuses for utilizing a gateway integration server to enhance application security
KR20140071744A (ko) 스마트 통신단말을 위한 보안정책 협상 기반의 차등화된 보안제어 방법
US10756899B2 (en) Access to software applications
CN111418181A (zh) 共享数据处理方法、通信装置及通信设备
EP2790123B1 (en) Generating A Data Audit Trail For Cross Perimeter Data Transfer
US20200244646A1 (en) Remote access computer security
EP4142256A1 (en) System and method for providing dual endpoint access control of remote cloud-stored resources
KR20180021592A (ko) 전용망의 파일 보호 시스템, 디바이스의 동작 방법 및 디바이스

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140312

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20140917

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150721

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150804

R150 Certificate of patent or registration of utility model

Ref document number: 5791633

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees