JP2013529822A - 委託型認証方法 - Google Patents

委託型認証方法 Download PDF

Info

Publication number
JP2013529822A
JP2013529822A JP2013517566A JP2013517566A JP2013529822A JP 2013529822 A JP2013529822 A JP 2013529822A JP 2013517566 A JP2013517566 A JP 2013517566A JP 2013517566 A JP2013517566 A JP 2013517566A JP 2013529822 A JP2013529822 A JP 2013529822A
Authority
JP
Japan
Prior art keywords
client
content
request
clients
integrity information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013517566A
Other languages
English (en)
Other versions
JP5614500B2 (ja
Inventor
誠剛 小谷
正昭 松口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JP2013529822A publication Critical patent/JP2013529822A/ja
Application granted granted Critical
Publication of JP5614500B2 publication Critical patent/JP5614500B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Biomedical Technology (AREA)
  • Power Engineering (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

ポリシーに基づく管理を実現するネットワークに関連する信頼の階層において共通の信頼レベルにあるクライアント間でコンテンツを共有する方法は、コンテンツの伝達について第一の要求を行う段階、要求された電子コンテンツを受信する段階、電子コンテンツの伝達について第二の要求を受信する段階、第二の要求を伝達する段階、判定を受信する段階、第二の要求が許可された場合に電子コンテンツを伝達する段階を含む。第一の要求は、第一のクライアントへのコンテンツの伝達について、ネットワークにおけるポリシーエンフォースメントポイントに対して行われ、第二のクライアントに関するインテグリティ情報を含み、ポリシーデシジョンポイントに伝達される。第二の要求が許可された場合、第一のクライアントから第二のクライアントにコンテンツが伝達される。

Description

本発明は、分散通信ネットワークにおける委託型認証方法に関し、より詳細には、信頼の階層において類似の信頼レベルにあるエンティティ間でコンテンツを共有する方法及びシステムに関する。
分散通信ネットワークは、私的なIntranetから安全対策が施されていないInternetまで、広範囲のシステムを含む。通信ネットワークにおいて、電子コンテンツは、ネットワークにおけるある地点から別の地点に流れる。この文脈において、電子コンテンツは、電子的な文書、実行ファイル、データファイル等を含む。通信ネットワークの中には、電子コンテンツへのアクセスは、特定のユーザ及び/又はクライアントに制限及び/又は限定されるものがある。ユーザ名とパスワードとの組み合わせ、公開/秘密鍵の組み合わせ、及び/又はバイオメトリクスのような、電子コンテンツへのアクセスを得ることを試みるユーザの同一性を確認するための幾つかの方法が存在する。ネットワークの中には、要求しているユーザ及び/又はクライアントに中央のサーバが電子コンテンツを配信する前に、係る方法を採用するものがある。
WO 03/040898 WO 2009/021200
検証スキームがどんなにロバストなものであろうと、電子コンテンツがひとたびユーザに渡ると、中央のサーバは、更なる伝達を通して制御を有さない場合がある。電子コンテンツが益々遠隔的に記憶され、様々なサービスを通してそのデータへのアクセスが益々重要になると、これに応じて、コンテンツへのアクセスを保護することが重要になる。サーバを離れた後にコンテンツの伝達をチェック、認証、追跡及び/又は探知する方法及びシステムが益々重要になる。
本発明の開示は、従来の方法及びシステムに関連する問題点及び課題の少なくとも幾つかを大幅に解消又は低減する電子コンテンツを配信する方法及びシステムを提供する。
1実施の形態によれば、ポリシーに基づく管理を実現するネットワークと関連される信頼の階層において共通の信頼レベルにあるクライアント間でコンテンツを共有する方法は、電子コンテンツの伝達について、第一の要求を受信する段階、電子コンテンツの伝達を承認する段階、電子コンテンツを伝達する段階、電子コンテンツの伝達について、第二の要求を受信する段階、第二の要求を許可すべきかを判定する段階、判定を伝達する段階を含む。第一の要求は、第一のクライアントから受信され、信頼の階層において第一の信頼レベルにある第一のクライアントへの電子コンテンツの伝達のための要求である。第一のクライアントへのコンテンツの伝達についての承認は、信頼の階層における第一の信頼レベルに少なくとも部分的に基づいて、ネットワークにおけるポリシーエンフォースメントポイントで行われる。第二の要求は、信頼の階層において第一の信頼レベルにある第二のクライアントに電子コンテンツを第一のクライアントが伝達することの許可を尋ねるものであり、第一のクライアントから受信される。第二の要求は、第二のクライアントに関するインテグリティ情報を含む。第一のクライアントが第二のクライアントにコンテンツを伝達することを許可すべきかに関する判定は、第二のクライアントに関するインテグリティ情報に少なくとも部分的に基づいている。判定を伝達する段階は、第二のクライアントに電子コンテンツを伝達することの許可を第一のクライアントに与えるこを含む。
別の実施の形態によれば、ポリシーに基づく管理を実現するネットワークに関連する信頼の階層において共通の信頼レベルにあるクライアント間でコンテンツを共有する方法は、コンテンツの伝達について、第一の要求を行う段階、要求された電子コンテンツを受信する段階、電子コンテンツの伝達について、第二の要求を受信する段階、第二の要求を伝達する段階、第二の要求に関する判定を受信する段階、第二の要求が与えられた場合に電子コンテンツを伝達する段階を含む。第一の要求は、第一のクライアントへのコンテンツの伝達のため、ネットワークにおけるポリシーエンフォースメントポイントに対して行われる。第一の要求は、第一のクライアントの信頼レベルを含む。要求されたコンテンツは、ポリシーエンフォースメントポイントから受信される。第二の要求は、第一のクライアントの信頼レベルにある第二のクライアントへのコンテンツの伝達のための要求であり、第二のクライアントに関するインテグリティ情報を含む。第二の要求は、ポリシーエンフォースメントポイントに伝達される。第二の要求が与えられた場合、コンテンツは、第一のクライアントから第二のクライアントに伝達される。
別の実施の形態によれば、信頼の階層において共通の信頼レベルにあるクライアント間で電子コンテンツを共有するネットワークシステムであって、ポリシーに基づいた管理を実現するネットワークシステムは、複数のクライアント、ストレージユニット、ポリシーエンフォースメントポイント、及びポリシーデシジョンポイントを含む。それぞれのクライアントは、信頼の階層においてそれぞれの信頼レベルを有する。ストレージユニットは、複数のクライアントに電子コンテンツを伝達する。ポリシーエンフォースメントポイントは、ストレージユニットと、複数のクライアントのうちの第一のクライアントと通信する。ポリシーエンフォースメントポイントは、ストレージユニットからの電子コンテンツの伝達について、複数のクライアントのうちの第一のクライアントから第一の要求を受信する。ポリシーデシジョンポイントは、ポリシーエンフォースメントポイントと通信する。ポリシーデシジョンポイントは、複数のクライアントのうちの第一のクライアントの信頼レベルを少なくとも評価することを含めて、複数のクライアントのうちの第一のクライアントを評価し、ストレージユニットから複数のクライアントのうちの第一のクライアントにコンテンツを伝達することの許可をポリシーエンフォースメントポイントに与える。ポリシーエンフォースメントポイントは、複数のクライアントのうちの第二のクライアントに電子コンテンツを伝達することの許可についての第二の要求を、複数のクライアントのうちの第一のクライアントから受信し、第二の要求は、複数のクライアントのうちの第一のクライアントに関連するインテグリティ情報を少なくとも含む。ポリシーデシジョンポイントは、複数のクライアントのうちの第一のクライアントが、複数のクライアントのうちの第二のクライアントに電子コンテンツを伝達するのを許可すべきかについて、複数のクライアントのうちの第一のクライアントに関連するインテグリティ情報に少なくとも部分的に基づいて、ポリシーに基づく判定を行う。
本明細書の開示の所定の実施の形態の技術的な利点は、両方のクライアントをサーバに接続することなしに、クライアント間で電子コンテンツのダイレクトな伝送を可能にする方法を提供することにある。本方法は、それぞれのクライアントの特性に基づいて伝送をチェック及び/又は許可することを含む。本方法は、サーバに伝達された後の電子コンテンツの追跡及び/又は探知することを含む。他の技術的な利点は、以下の図面、詳細な説明及び特許請求の範囲から当業者にとって容易に明らかとなるであろう。さらに、特定の利点が先に列挙されたが、様々な実施の形態は、列挙された利点の全部又は一部を含むか、列挙された利点を含まない場合がある。
本発明及び本発明の利点の更に完全な理解について、添付図面と共に行われる以下の詳細な説明が参照される。
本発明の教示に係る、クライアントとサーバとを含む例示的な通信ネットワークを示す図である。 本発明の教示に係る、情報及び電子コンテンツの流れを含む、例示的な通信ネットワークを示す図である。 本発明の教示に係る、情報及び電子コンテンツの流れを含む、例示的な通信ネットワークを示す図である。 本発明の所定の実施の形態に係る、通信ネットワークにおけるクライアント間でコンテンツを共有する例示的な方法のフローチャートである。 本発明の所定の実施の形態に係る、通信ネットワークにおけるクライアント間でコンテンツを共有する例示的な方法のフローチャートである。 本発明の所定の実施の形態に係る、通信ネットワークにおけるクライアント間でコンテンツを共有する例示的な方法のフローチャートである。 本発明の所定の実施の形態に係る、通信ネットワークにおけるクライアント間でコンテンツを共有する例示的な方法のフローチャートである。
図1から図7を参照して、好適な実施の形態及び好適な実施の形態の利点が最良に理解される。ここで同じ参照符号は、同一及び対応する構成要素等を示すために使用される。図1は、本発明の教示に係る、例示的な通信ネットワーク1の簡略化された表現を示す。通信ネットワーク1は、ネットワーク10、サーバ12、ストレージユニット14、並びにクライアント16及び18を含む。クライアント16及び18は、サーバ12によりアクセス可能な電子コンテンツ及び/又はストレージユニット14に記憶されている電子コンテンツへのアクセスを要求する様々なユーザを含む。
この開示のため、「電子コンテンツ」又は「コンテンツ」は、任意のファイル、複数のファイル、オブジェクトコード、実行コード、データレコード、又は、通信ネットワークのクライアントがアクセスするのを望む何れか他の電子的に記録されたデータ構造を含む。説明に役立つ例は、テキストファイル、スプレッドシート、電子メール、医療記録、画像、及び他の電子データ、並びにウェブページ、プライベートネットワーク、ワードプロセッシングプログラム、ファイルマネージメントシステム、及び他のプログラムを含む。さらに、「クライアント」は、エンドユーザとして操作する人物を示すか、又は、パーソナルコンピュータ、キオスク又はモバイルコンピュうーティングデバイスのような、通信ネットワークにアクセスするために、係る人物により使用される装置又は複数の装置を示す。
例示されるように、ネットワーク10は、音声及び/又は映像の電気通信信号、データ、及び/又はメッセージを送信可能なネットワークを含む。幾つかの例は、無線アクセスネットワーク、公衆交換電話網(PSTN)、公衆又は私的データネットワーク、ローカルエリアネットワーク(LAN)、或いは、Internetのようなグローバルコミュニケーション又はコンピュータネットワーク、有線又は無線ネットワーク、企業イントラネット、又は上記の何れかの組み合わせを含む。
動作において、ネットワーク10は、適切な通信プロトコルを使用して、ネットワーク10に結合されたコンポーネント間の接続を提供する。所望の通信機能を容易にするため、ネットワーク10は、ルータ、ハブ、スイッチ、ゲートウェイ、コールコントローラ、及び/又は何れか適切なフォーム又はアレンジメントでの任意の他の適切なコンポーネントを含む。さらに、ネットワーク10は、パケット、セル、フレーム、セグメント又は他のデータの部分の形式で、情報を伝達する何れかのハードウェア及び/ソフトウェアを含む。ネットワーク10は単一のネットワークとして図示されているが、通信ネットワーク10は、任意の数のネットワーク又は任意の構成のネットワークを含む。さらに、通信ネットワーク1の所定の実施の形態は、任意の数のネットワーク10又は任意の構成のネットワーク10を含む。
幾つかの実施の形態では、ネットワーク10は、仮想プライベートネットワーク(VPN)を含む。VPNは、オープンネットワーク及び/又はパブリックネットワークを通して増加されたセキュリティを提供する。一般に、VPNは、介在するネットワーク(例えばLAN又はWAN)を共有する他の装置からデータが非公開(private)及び/又は安全(secure)であることが保持されるように、データ伝送を分離及び/又はカプセル化する。動作において、VPNは、あたかもダイレクト及び/又は非公開で接続されているかのように、複数のクライアント16,18がサーバ12と対話するのを可能にする。
クライアント16及び18は、通信サービスをユーザに提供するため、ハードウェア、ソフトウェア、及び/又はエンコードされたロジックの任意の適切な組み合わせを表す。特に、クライアント16,18は、情報キオスク、電話、携帯電話、パーソナルデジタルアシスタント(PDA)、電話による通信、電子メール、メッセージ及び/又は通信ソフトウェアの他の形式を実行するコンピュータ、或いは、任意の他の通信ハードウェア、ソフトウェア、及び/又は通信ネットワーク1の同一性を使用して音声、映像、テキスト又は他の形式のデータの通信をサポートするエンコードされたロジックを表す。
サーバ12は、信頼された、専用のサーバを表しており、セキュリティポリシーを管理し、属性を認証する。サーバ12は、クライアント16,18がストレージユニット14のリソース(例えば電子コンテンツ)にアクセスする許可が与えられる前に、適合する必要がある属性値のセットを定義する多数のポリシーを含むデータベースを含む。サーバ12は、クライアント16,18に関連する1以上の属性を識別するクライアント16,18から属性の報告を受信する。属性を認証した後、サーバ12は、ストレージユニット14が要求されたサービスをクライアント16,18い提供すべきかをストレージユニット14に通知する。係る属性値の報告及び認証の適用は、「ポリシーに基づく管理“policy-based management”」とも呼ばれる場合がある。幾つかの実施の形態では、サーバ12及び/又は関連するPDPは、クライアント16,18にとって固有のコンテクストデータに少なくとも基づいて、この判定を行う。コンテクストデータは、物理的な位置(例えばIPアドレス)、要求しているコンピュータでインストールされる所定のソフトウェア(例えば厳格なアンチウィルスソフトウェア)、生体認証の識別子、又はクライアント16,18の任意の他の適切なコンテクストの属性のような、クライアント16,18を表すデータを含む。
幾つかの実施の形態では、サーバ12により考慮される属性は、信頼階層におけるクライアント16,18の相対的な信頼性を示す信頼レベルを含む。「信頼階層“trust hierarchy”」は、誤った操作及び悪意のある操作の両者からネットワークリソースのデータ及び機能を保護するためのプロテクションスキームを示す。信頼階層の1例は、「プロテクションリング“protection rings”」と呼ばれる。信頼階層において、サーバ12は、それぞれのクライアント16,18に割り当てられた信頼レベルに依存して、様々なクライアント16,18へのアクセスの変動するレベルを提供する。例えば高い信頼レベルは、電子コンテンツへの多くのアクセスを可能にし、通信ネットワーク1の電子コンテンツ及び/又はコンポーネントをアップロード、編集及び/又は制御する特権を与える。サーバ12は、クライアント16,18がポリシーデシジョンポイント(PDP)で特定の電子コンテンツにアクセスするのを可能にすべきかに関する判定を評価及び/又は発する。サーバ12は、クライアントのアクセス要求を受け、PDPにより行われた判定を実行するポリシーエンフォースメントポイント(PEP)を含む。
ストレージユニット14は、1以上の電子コンテンツへのアクセスをクライアント16,18に提供するため、制御ロジックを含めて、ハードウェアとソフトウェアとの組み合わせを含む。例えば、ストレージユニット14は、医療記録のような文書の集中型のリポジトリを含む。別の例として、ストレージユニット14は、アプリケーションサービスプロバイダを要求し、このプロバイダは、特定のアプリケーション、ソフトウェア又は他のメディアへのネットワークを通したアクセスを提供する。係るアプリケーション、ソフトウェア、又はメディアは、特に、ドキュメントリーダ、ウェブブラウザ、又はドキュメントエディティングソフトウェアを含む。別の例として、ストレージユニット14は、オンラインネットワーキングウェブサイト又は電子メールプロバイダに接続される。
説明の明確さのため、図1は、サーバ12とストレージユニット14を個別のコンポーネントとして示している。幾つかの実施の形態では、サーバ12及びストレージユニット14は、コンピュータ読み取り可能な媒体に記憶され、1以上のコンピュータ及び/又はサーバに関連される1以上のプロセッサにより実行可能なスタンドアロン型のソフトウェアプログラムを含む。しかし、サーバ12及びストレージユニット14は、コンピュータ読み取り可能な媒体にハードコードされた、大規模ソフトウェアプログラムのコンポーネント又はサブルーチン、及び/又は、所望の機能を実行するために構成されるハードウェア又はソフトエアルーチンを含む。
図2は、本発明の教示に係る、情報及び電子コンテンツのフローを含む、例示的な通信ネットワーク2を示す。通信ネットワーク2は、サーバ20、クライアント30及びネットワークコネクション40を含む。サーバ20は、ポリシーデシジョンポイント(PDP)22及びポリシーエンフォースメントポイント(PEP)23を含む。
サーバ20は、1以上のクライアント30にサービスを提供するために構成される通信ネットワーク2の何れかのデバイス、特徴及び/又はコンポーネントを含む。例えば、サーバ20は、1以上のクライアント30と通信し、電子コンテンツを記憶し、及び/又は1以上のクライアント30に電子コンテンツを配信する。サーバ20は、(例えばプロセッサ、メモリ、及び/又は他のコンピューティングリソースといった)ハードウェア及び/又はソフトウェアの任意の組み合わせを含む。
PDP22は、特定の電子コンテンツにクライアント30がアクセスするのを可能にすべきかに関する判定を評価及び/又は発するために構成されるサーバ20のデバイス、特性、及び/又はコンポーネントを含む。PDP22は、判定を評価するために予め定義された基準のセットをクライアント30に適用する。PDP22は、ハードウェア及び/又はソフトウェアの組み合わせを含む。
PEP23は、クライアント30のアクセス要求を受信し、PDPにより行われた判定を実行するように構成されるサーバ20のデバイス、特性、及び/又はコンポーネントを含む。PEP23は、ハードウェア及び/又はソフトウェアの組み合わせを含む。例えば、図2に示されるように、PEP23は、ファイアウォール24、VPN26及び/又はノード28を含む。
ファイアウォール24は、許可されていないアクセスを阻止し、許可された通信及び/又はアクセスを許容するように構成されるサーバ20のデバイス、コンポーネント、及び特性を含む。ファイアウォール24は、認証スキームを実現するため。適切なルール及び/又は基準のセットを適用する。ファイアウォール24は、ハードウェア、ソフトウェア、及び/又は両者の組み合わせで実現される。例えばファイアウォール24は、Internetに接続されたプライベートネットワークに、Internetの許可されていないユーザがアクセスするのを防止する。幾つかの実施の形態では、ファイアウォール24は、PDP22により行われる判定を適用する。
ノード28は、サーバ20と1以上のクライアント30との間の接続を提供するように構成されるPEP23のデバイス、コンポーネント、及び/又は特性を含む。ノード28は、サーバ20と1以上のクライアント30との間でデータを送出、受信、及び/又は転送するように構成される。例えば、ノード28は、モデム、ハブ、ブリッジ、スイッチ、ホストコンピュータ、WLANアクセスポイント等を含む。ノード28は、ネットワークコネクション40を通して1以上のクライアント30と通信するために構成される場合がある。
クライアント30は、通信サービスをユーザに提供するためのハードウェア、ソフトウェア、及び/又はエンコードされたロジックの任意の適切な組み合わせである。例えば、クライアント30は、情報キオスク、電話、携帯電話、パーソナルデジタルアシスタント(PDA)、電話による通信、電子メール、或いは、メッセージ及び/又は通信ソフトウェアの他の形式を実行するコンピュータ、或いは、通信ネットワーク2を使用した音声、映像、テキスト又は他の形式のデータの通信をサポートするエンコードされたロジックを含む。幾つかの実施の形態では、クライアント30は、デスクトップコンピュータ、ポータブルコンピュータ、ノートブックコンピュータ、及び/又は端末を含む。
動作において、第一のクライアント30aは、矢印42で示されるように、サーバ20からダイレクトに電子コンテンツのデリバリを要求、購入及び/又は受信する。第二のクライアント30bは、第一のクライアント30aに前に伝達されたのと同じ電子コンテンツを要求及び/又は所望する。第一のクライアント30aが要求された電子コンテンツをひとたび受信すると、サーバ20からダイレクトに要求された電子コンテンツを再送出することなしに、第一のクライアント30aから第二のクライアント30bにダイレクトに要求された電子コンテンツを配信することは、安価であり、迅速であり、及び/又は好ましい場合がある。しかし、様々なクライアント20間で要求された電子コンテンツの送信を可能にすることは、電子コンテンツのセキュリティを低減し、電子コンテンツ著作権侵害のアクセス及び/又は許可されていないアクセスを許容し、及び/又は電子コンテンツのインテグリティを妥協させる場合がある。要求された電子コンテンツのダイレクトな伝送は、本明細書で教示される方法及びシステムを使用してチェック、認証、追跡、及び/又は探知される。
図2に示されるように、第二のクライアント30bは、矢印44で示されるように、第一のクライアント30aから電子コンテンツを要求する。第一のクライアント30aは、サーバ20から許可を受信して、要求された電子コンテンツを第二のクライアント30bに送出することが要求される。第一のクライアント30aは、第一のクライアント30a、第二のクライアント30b又はそれらの両者に関する情報を含む要求をPEP23に送出する。PDP22は、第一のクライアント30aが要求された電子コンテンツを第二のクライアント30bに伝送するのを可能にすべきかを判定する。PDP22は、第二のクライアント30bに関連する各種情報(例えばインテグリティ情報、信頼レベル等)を考慮する。第一のクライアント30aが電子コンテンツを第二のクライアント30bにダイレクトに伝送することが許可されたとPDP22が判定した場合、PEP23は、その許可を第一のクライアント30aに伝達する。次いで、第一のクライアント30aは、要求される電子コンテンツを第二のクライアント30bに伝達する。
本明細書の教示を実現する別の実施の形態では、第三のクライアント30cは、矢印46で示すように、第二のクライアント30bから電子コンテンツを要求する。第二のクライアント30bは、矢印47により示されるように、第一のクライアント30a、第二のクライアント30b、第三のクライアント30c、又はこれら3者の任意の組み合わせに関する関連情報を含む許可をPEP23から要求する。PDP22は、第二のクライアント30bが要求された電子コンテンツを第三のクライアント30cに伝送するのを許可すべきかを判定する。PDP22は、第三のクライアント30cに関連する各種情報(例えばインテグリティ情報、信頼レベル等)を考慮する。第二のクライアント30cが電子コンテンツを第三のクライアント30cにダイレクトに伝送することが許可されたとPDP22が判定した場合、PEP23は、その許可を第二のクライアント30bに伝達する。第二のクライアント30bは、要求された電子コンテンツを第三のクライアント30cに伝達する。この方法は、必要に応じて、多数のクライアント30について全体的に又は部分的に再現される。
第一のクライアント30aは、本明細書で記載されたプロセスにおける任意のポイントで、第二のクライアント30bに関連するインテグリティ情報を取得及び/又は検証する。1つの例示的な実施の形態では、第一のクライアント30aは、任意の電子コンテンツ及び/又は他のデータを通信及び/又は伝達する前に、第二のクライアント30bに関連するインテグリティ情報を取得及び/又は検証する。第一のクライアント30aは、取得及び/又は検証されたインテグリティ情報のレコードを保持する。インテグリティ情報は、タイムスタンプ、第一のクライアント30a及び/又は第二のクライアント30b等の識別子を含むことで識別される。インテグリティ情報は、様々な目的のため、第一のクライアント30a及び/又はサーバ20により参照される。例えば、サーバ20は、第二のクライアント30bが電子コンテンツの適切な受信であったことを第一のクライアント30aが検証することを要求し、電子コンテンツ等を受信した全てのクライアント30のリストをコンパイルする。
図3は、本発明の教示に係る、通信ネットワーク2における別の例示的なフローを示す。第二のクライアント30bは、矢印48で示されるように、サーバ20のPEP23から電子コンテンツを要求する。サーバ20のPDP22は、サーバ20からではなく、第一のクライアント30aからダイレクトに要求された電子コンテンツを受信する許可を第二のクライアント30bに与える。46で送出された要求は、第一のクライアント30a、第二のクライアント30b又はその両者に関連する様々なデータを含む。PDP22は、第一のクライアント30aが要求された電子コンテンツを第二のクライアント30bに伝達するのを可能にすべきかを判定する。PDP22は、第二のクライアント30bに関連する様々な情報(例えばインテグリティ情報、信頼レベル等)を考慮する。第一のクライアント30aが第二のクライアント30bにダイレクトに電子コンテンツを伝達することが許可されるとPDP22が判定した場合、PEP23は、その許可を第一のクライアント30aに伝達する。第一のクライアント30aは、要求された電子コンテンツを第二のクライアント30bに伝達する。
図2及び図3に示されるスキームでは、PDP22は、クライアント30aと30bとの間の要求された電子コンテンツのダイレクトな伝達に関する判定を行うため、適切なロジック、アルゴリズム、及び/又はルーチンを使用する。PDP22は、エンティティ(例えば顧客)、物理的な位置(例えばIPアドレス)、要求しているコンピュータでインストールされる所定のソフトウェア(例えば要求されたアンチウィルスソフトウェア)、生体認証の識別子、又は他の適切なクライアント30の属性との関連のようなクライアント30a及び30bを表すデータを考慮する。矢印44及び/又は46で送出された要求は、第一のクライアント30a、第二のクライアント30b又はこれらの両者に関連するこのデータの一部又は全部を含む。幾つかの実施の形態では、第一のクライアント30a及び第二のクライアント30bには、PDP22により採用される信頼階層における同じ信頼レベルが割り当てられる。
図2及び図3に示されるスキームでは、PDP22は、適切なロジック、アルゴリズム及び/又はルーチンを使用して、クライアント30aと30bとの間での要求された電子コンテンツのダイレクト転送に関する判定を行う。PDP22は、エンティティ(例えば顧客)、物理的な位置(例えばIPアドレス)、要求しているコンピュータでインストールされた所定のソフトウェア(例えば要求されたアンチウィルスソフトウェア)、生体認証の識別子、又は他の適切なクライアント30の属性との関連のような、クライアント30a及び30bを表すデータを考慮する。矢印44及び/又は46で送出された要求は、第一のクライアント30a、第二のクライアント30b又はこれらの両者に関連するこのデータの一部又は全部を含む。幾つかの実施の形態では、第一のクライアント30a及び第二のクライアント30bは、PDP22により採用された信頼階層の同じ信頼レベルが割り当てられる。
図4は、本発明の所定の実施の形態に係る、通信ネットワーク2におけるクライアント30間でコンテンツを共有する例示的な方法50のフローチャートである。方法50は、サーバ20、サーバ20と関連されるPEP23、サーバ20と関連されるPDP22、及び/又は別のコンポーネント装置、及び/又は通信ネットワーク2の機能により実行される。以下のセクションでは、本方法50は、サーバ20と関連されるPEP23及び/又は22により実行されるかのように記載されるが、この記載は、本発明の教示の適用を制限するものではない。
ステップ52では、PEP23は、第一のクライアント30aへの電子コンテンツの転送について、第一のクライアント30aから第一の要求を受信する。PEP23は、VPN、Internet、電子メール、及び/又は第一のクライアント30aとの他の適切な通信リンクを通して、第一の要求を受信する。
ステップ54で、PDP22は、第一のクライアント30aと関連される信頼レベルに少なくとも部分的に基づいて、第一のクライアント30aに電子コンテンツの伝送を承認すべきかを判定する。上述されたように、通信ネットワーク2は、様々な信頼レベルをクライアント30、内部ユーザ、及び/又は通信ネットワーク2の他のコンポーネント及び/又はユーザに割り当てる信頼に基づく階層を含む。第一のクライアント30aが承認されないとPDP22が判定した場合、本方法50は終了する。
ステップ56で、PEP23は、PDP22により与えられた許可に基づいて、第一のクライアント30aに電子コンテンツを伝送する。電子コンテンツは、適切な方法により伝達される。
ステップ58で、PEP23は、第一のクライアント30aから第二のクライアント30bに電子コンテンツをダイレクトに伝達する許可を要求する第二の要求を第一のクライアント30aから受信する。第二の要求は、第一のクライアント30a、第二のクライアント30b又はその両者に適切及び/又は要求されたデータを含む。上述されたように、データは、何れか又は両者に関連するそれぞれのクライアントの信頼レベル、インテグリティ情報を含む。
ステップ60で、PDP22は、第二のクライアント30bに要求された電子コンテンツをダイレクトに伝達するため、第一のクライアント30aについて許可を与えるべきかを判定する。判定は、第二のフォーマットに含まれるデータに少なくとも部分的に基づいている。例えば、PDP22は、第二のクライアント30bの信頼レベル及び/又は第二のクライアント30bに関連するインテグリティ情報に少なくとも部分的に基づいて判定を行う。第二の要求が承認されないとPDP22が判定した場合、本方法50は終了する。
ステップ62で、PEP23は、第二のクライアント30bに要求された電子コンテンツを伝達する許可を第一のクライアント30aが有することを第一のクライアント30aに伝達する。同時に、PEP23及び/又はPDP22は、要求された電子コンテンツの伝達に1以上の条件を課す。例えば、第二のクライアント30bによる電子コンテンツの使用が制限される。別の例として、第二のクライアント30bには、電子コンテンツがアクセスされる特定の及び/又は制限された回数が与えられる。別の例として、第二のクライアント30bには、予め定義された期間の間にのみ、要求された電子コンテンツにアクセスする許可が与えられる。別の例として、第二のクライアント30bは、他のクライアントに要求された電子コンテンツを伝達することが制限されるか、及び/又は禁止される。
図5は、本発明の所定の実施の形態に係る、通信ネットワーク2におけるクライアント間30でコンテンツを共有する例示的な方法70のフローチャートを示す。本方法70は、クライアント30、サーバ20、及び/又は通信ネットワーク2の別のコンポーネント、装置、及び/又は機能により実行される。以下のセクションでは、本方法70は、通信ネットワーク2に関連する第一のクライアント30aにより実行されるかのように記載されるが、この記載は、本発明の教示の適用を制限するものではない。
ステップ72で、第一のクライアント30aは、第一のクライアント30aへの電子コンテンツの伝達について、サーバ20に関連されるPEP23に第一の要求を行う。第一のクライアント30aは、VPN、Internet、電子メール、及び/又はPEP23との他の適切な通信リンクを通して第一の要求を送出する。第一の要求は、第一のクライアント30aに関連する適切なデータ及び/又は要求されたデータを含む。上述されたように、データは、第一のクライアント30aの信頼レベル、第一のクライアント30a等に関連するインテグリティ情報を含む。
ステップ74で、第一のクライアント30aは、PEP23及び/又はサーバ20から要求された電子コンテンツを受信する。要求された電子コンテンツは、適切な方法及び/又はシステムにより伝達される。
ステップ76で、第一のクライアント30aは、第一のクライアント30aから電子コンテンツをダイレクトで伝達することを要求する第二の要求を第二のクライアント30bから受信する。第二の要求は、第二のクライアント30bに関連する適切なデータ及び/又は要求されたデータを含む。上述されたように、データは、第二のクライアント30bの信頼レベル、第二のクライアント30aに関連するインテグリティ情報等を含む。
ステップ78で、第一のクライアント30aは、サーバ20に関連するPEP23に第二の要求を伝達する。第一のクライアント30aは、第二の要求に情報を追加する。例えば第二の要求は、第一のクライアント30aに関連する適切なデータ及び/又は要求されたデータを含む。上述されたように、データは、第一のクライアント30aの信頼レベル、第一のクライアント30aに関連するインテグリティ情報等を含む。
ステップ80で、第一のクライアント30aは、第二の要求に関する判定をPEP23から受信する。判定がNoである場合、本方法70は終了する。判定がYesであるバイ、本方法70は、ステップ82に進む。
ステップ82で、第一のクライアント30aは、第二のクライアント30bに要求された電子コンテンツを伝達する。要求された電子コンテンツは、適切な方法及び/又はシステムにより伝達される。同時に、PEP23及び/又はPDP22は、要求された電子コンテンツの伝達に関して1以上の条件を課す。例えば、第二のクライアント30bによる電子コンテンツの使用が制限される場合がある。別の例として、第二のクライアント30bには、電子コンテンツがアクセスされる特定の及び/又は制限された回数が与えられる。別の例として、第二のクライアント30bには、予め定義された期間の間にのみ、要求された電子コンテンツにアクセスする許可は与えられる。別の例として、第二のクライアント30bは、要求された電子コンテンツを他のコンテンツに伝達することが制限及び/又は禁止される。
図6は、本発明の所定の実施の形態に係る、通信ネットワーク2におけるクライアント30間でコンテンツを共有する例示的な方法90のフローチャートである。本方法90は、サーバ20、サーバ20と関連するPEP23、サーバ20と関連するPDP22、及び/又は通信ネットワーク2の別のコンポーネント、装置及び/又は他の機能により実行される。以下のセクションでは、本方法90は、サーバ20と関連されるPEP23及び/又はPDP22によりあたかも実行されるかのように記載されるが、この記載は、本発明の教示の適用を制限するものではない。
ステップ92で、PEP23は、第一のクライアント30aへの電子コンテンツのデン多雨について、第一のクライアント30aから第一の要求を受信する。PEP23は、VPN、Internet、電子メール、及び/又は第一のクライアント30aとの他の適切な通信リンクを通して第一の要求を受信する。
ステップ94で、PDP22は、第一のクライアント30aと関連する信頼レベルに少なくとも部分的に基づいて、第一のクライアント30aに電子コンテンツの伝達を承認すべきかを判定する。上述されたように、通信ネットワーク2は、クライアント30、内部ユーザ、及び/又は通信ネットワーク2の他のコンポーネント及び/又はユーザに様々な信頼レベルを割り当てる信頼に基づく階層を含む。第一のクライアント30aが承認されないことをPDP22が判定した場合、本方法50が終了する。
ステップ96で、PEP23は、PDP22により与えられた許可に基づいて、第一のクライアント30aに電子コンテンツを伝達する。電子コンテンツは、適切な方法により伝達される。
ステップ98で、第一のクライアント30aから電子コンテンツをダイレクトに受信する許可を要求する第二の要求を第二のクライアント30bから受信する。第二の要求は、第一のクライアント30a、第二のクライアント30b又はこれら両者に関連する適切なデータ及び/又は要求されたデータを含む。上述されたように、データは、それぞれのクライアントの信頼レベル、何れか又は両者に関連するインテグリティ情報を含む。
ステップ100で、PDP22は、第一のクライアント30aから電子コンテンツをダイレクトに受信するため、第二のクライアント30bについて許可を与えるべきかを判定する。判定は、第二の要求に含まれるデータに少なくとも部分的に基づく。例えば、PDP22は、第一のクライアント30aの信頼レベル、第二のクライアント30bの信頼レベル、及び/又は何れかのクライアント30a又は30bに関連するインテグリティ情報に少なくとも部分的に基づいて判定を行う。第二の要求が承認されないとPDP22が判定した場合、本方法は、ステップ104に進む。
ステップ102で、PEP23は、第一のクライアント30aから要求された電子コンテンツを受信する許可を第二のクライアント30bが有することを第二のクライアント30bに伝達する。同時に、PEP23及び/又はPDP22は、要求された電子コンテンツの伝達に関して1以上の条件を課す。例えば、第二のクライアント30bにより電子コンテンツの使用が制限される。別の例として、第二のクライアント30bには、電子コンテンツがアクセスされる特定の及び/又は制限された回数が与えられる。別の例として、第二のクライアント30bは、予め定義された期間の間にのみ、要求された電子コンテンツにアクセスする許可が与えられる。別の例として、第二のクライアント30bは、他のクライアントに要求された電子コンテンツを伝達することが制限及び/又は禁止される。
ステップ104で、PEP23は、第一のクライアント30aから電子コンテンツをダイレクトに受信する許可を有さないことを第二のクライアント30bに伝達する。拒否することは、要求された電子コンテンツの伝達について代替的なソースを含む。例えば、PEP23は、代替的なソースを指摘すること及び/又は第二のクライアント30bがサーバ20から要求された電子コンテンツをダイレクトに受信することを提案する。
図7は、本発明の所定の実施の形態に係る、通信ネットワーク2におけるクライアント30間でコンテンツを共有する例示的な方法110のフローチャートである。本方法110は、クライアント30、サーバ20、通信ネットワーク2の別のコンポーネント、装置、及び/又は機能により実行される。以下のセクションでは、本方法110は、通信ネットワーク2と関連する第二のクライアント30bにより実行されるかのように記載されるが、この記載は、本発明の教示の適用を制限するものではない。
ステップ112で、第二のクライアント30bは、第一のクライアント30aからインテグリティ情報を受信する。第一のクライアント30aは、サーバ20及び/又は第二のクライアント30bからの要求に応答して、インテグリティ情報を提供する。第二のクライアント30bは、VPN、Internet、電子メール、及び/又はPEP23との他の適切な通信リンクを通して情報を受信する。上述したように、インテグリティ情報は、第一のクライアント30aの信頼レベルを含む。別の例として、第二のクライアント30bは、サーバ20から第一のクライアント30aに伝達された電子コンテンツに関連する情報を受信する。
ステップ114で、第二のクライアント30bは、第一のクライアント30aから電子コンテンツをダイレクトに受信する許可を、サーバ20に関連されるPEP23から要求する。要求は、第一のクライアント30a及び/又は第二のクライアント30bに関連する適切なデータ及び/又は要求されたデータを含む。上述されたように、データは、第一のクライアント30aの信頼レベル、第二のクライアント30bの信頼レベル、第一のクライアント30aに関連するインテグリティ情報、第二のクライアント30bに関連するインテグリティ情報等を含む。
ステップ116で、第二のクライアント30bは、第二の要求に関する判定をPEP23から受信する。判定がNoである場合、本方法110は終了する。判定がYesである場合、本方法110は、ステップ118に進む。同時に、PEP23及び/PDP22は、要求された電子コンテンツの伝達に関して1以上の条件を課す。例えば、第二のクライアント30bによる電子コンテンツの使用が制限される。別の例では、第二のクライアント30bには、電子コンテンツがアクセスされる特定の及び/又は制限される回数が与えられる。別の例として、第二のクライアント30は、予め定義された期間の間のみ、要求された電子コンテンツにアクセスする許可が与えられる。別の例として、第二のクライアント30bは、他のクライアントに要求された電子コンテンツを伝達することが制限及び/又は禁止される。
ステップ118で、第二のクライアント30bは、第一のクライアント30aに判定を伝達する。
ステップ120で、第二のクライアント30bは、第一のクライアント30aから要求された電子コンテンツを受信する。要求された電子コンテンツは、適切な方法及び/又はシステムにより伝達される。
図4〜図7は本方法50,70,90及び110に関して特定のステップ数を表しているが、本方法50、70、90及び/又は110は、図示されるよりも多くのステップ又は少ないステップで実行される場合がある。本明細書で開示された方法及びシステムを使用して、電子コンテンツへのセキュアなアクセスを維持することに関連する所定の問題が改善されるか、低減されるか、又は解消される場合がある。例えば本明細書で開示される方法及びシステムは、サーバ20及び/又はストレージユニット14へのネットワーク接続の使用を繰り返すことなしに、電子コンテンツの配信を可能にする。
本発明は幾つかの実施の形態と共に記載されたが、様々な変形及び変更が当業者に指摘される。特許請求の範囲に含まれるように、本発明は係る変形及び変更を包含することが意図される。

Claims (22)

  1. ポリシーに基づく管理を実現するネットワークに関連する信頼の階層において共通の信頼レベルにあるクライアント間でコンテンツを共有する方法であって、
    前記信頼の階層において第一の信頼レベルにある第一のクライアントへのコンテンツの伝達について、前記第一のクライアントから第一の要求を受信する段階と、
    前記信頼の階層における前記第一の信頼レベルに少なくとも部分的に基づいて、前記ネットワークにおけるポリシーエンフォースメントポイントで前記第一のクライアントへのコンテンツの伝達を承認する段階と、
    前記第一のクライアントに前記コンテンツを伝達する段階と、
    前記信頼の階層において前記第一の信頼レベルにある第二のクライアントに前記第一のクライアントが前記コンテンツを伝達することの許可について、前記第一のクライアントから第二の要求を受信する段階と、前記第二の要求は、前記第二のクライアントに関するインテグリティ情報を含み、
    前記第二のクライアントに関する前記インテグリティ情報に少なくとも部分的に基づいて、前記第一のクライアントが前記第二のクライアントに前記コンテンツを伝達するのを許可するかを判定する段階と、
    前記第一のクライアントが前記第二のクライアントに前記コンテンツを伝達するかに関する判定を前記第一のクライアントに伝達する段階と、
    を含む方法。
  2. 前記第二のクライアントが、前記第一のクライアントからの前記コンテンツの伝達について、前記第一のクライアントに第三の要求を送出する段階を更に含む、
    請求項1記載の方法。
  3. 前記第二のクライアントが、前記第一のクライアントからの前記コンテンツの伝達について、前記第一のクライアントに第三の要求を送出する段階を更に含み、
    前記第三の要求は、前記第二のクライアントに関するインテグリティ情報を含む、
    請求項1記載の方法。
  4. 前記第一のクライアントが、前記第二のクライアントに前記コンテンツを伝達することの許可について、前記ポリシーエンフォースメントポイントと交渉する段階を更に含む、
    請求項1記載の方法。
  5. 前記第一のクライアントから前記第二のクライアントに前記コンテンツを伝達する段階を更に含む、
    請求項1記載の方法。
  6. 前記第二のクライアントが、前記第一のクライアントから前記コンテンツを要求する段階を更に含む、
    請求項1記載の方法。
  7. 前記第二のクライアントが、前記第一のクライアントに関するインテグリティ情報を取得する段階と、
    前記第二のクライアントが、前記第一のクライアントから前記コンテンツを要求する段階と、
    を更に含む請求項1記載の方法。
  8. 前記第二のクライアントが、前記第一のクライアントに関するインテグリティ情報を取得する段階と、
    前記第二のクライアントが、前記第一のクライアントに関する前記インテグリティ情報を検証する段階と、
    前記第二のクライアントが、前記第一のクライアントに関する前記インテグリティ情報を検証した後にのみ、前記第一のクライアントから前記コンテンツを要求する段階と、
    を更に含む請求項1記載の方法。
  9. 前記第一のクライアントが、前記第二のクライアントに関する前記インテグリティ情報を取得する段階を更に含む、
    請求項1記載の方法。
  10. 前記第一のクライアントが、前記第二のクライアントに関する前記インテグリティ情報を取得する段階と、
    前記第一のクライアントが、前記第二のクライアントに関する前記インテグリティ情報を検証する段階とを更に含み、
    前記第一のクライアントは、前記第二のクライアントに関する前記インテグリティ情報を検証した後にのみ、許可についての前記第二の要求を送出する、
    請求項1記載の方法。
  11. 前記第二のクライアントによる前記コンテンツの使用に関する少なくとも1つの制限を決定する段階を更に含む、
    請求項1記載の方法。
  12. 前記第一のクライアントは第一のエンティティに関連しており、前記第二のクライアントは第二のエンティティと関連される、
    請求項1記載の方法。
  13. 前記信頼の階層において前記第一の信頼レベルにある第三のクライアントに前記第二のクライアントが前記電子コンテンツを伝達することの許可について、前記第二のクライアントから第三の要求を受信する段階と、前記第三の要求は、前記第三のクライアントに関するインテグリティ情報を含み、
    前記第三のクライアントに関する前記インテグリティ情報に少なくとも部分的に基づいて、前記第二のクライアントが前記第三のクライアントに前記電子コンテンツを伝達するのを許可すべきかを判定する段階と、
    前記第二のクライアントが前記第三のクライアントに前記電子コンテンツを伝達するかに関する判定を前記第二のクライアントに伝達する段階と、
    を更に含む請求項1記載の方法。
  14. ポリシーに基づく管理を実現するネットワークに関連する信頼の階層において共通の信頼レベルにあるクライアント間でコンテンツを共有する方法であって、
    第一のクライアントへのコンテンツの伝達について、前記ネットワークにおけるポリシーエンフォースメントポイントに第一の要求を行う段階と、前記第一の要求は、前記第一のクライアントの信頼レベルを含み、
    前記ポリシーエンフォースメントポイントから、要求されたコンテンツを受信する段階と、
    前記第一のクライアントの信頼レベルにある第二のクライアントへの前記コンテンツの伝達について、第二の要求を受信する段階と、前記第二の要求は、前記第二のクライアントに関するインテグリティ情報を含み、
    前記ポリシーエンフォースメントポイントに前記第二の要求を伝達する段階と、
    前記第二の要求に関する判定を前記ポリシーエンフォースメントポイントから受信する段階と、
    前記第二の要求が与えられた場合、前記第二のクライアントに前記コンテンツを伝達する段階と、
    を含む方法。
  15. 前記第二のクライアントが、前記第一のクライアントに前記第二の要求を送出する段階を更に含む、
    請求項14記載の方法。
  16. 前記第一のクライアントは第一のエンティティと関連され、前記第二のクライアントは第二のエンティティと関連される、
    請求項14記載の方法。
  17. 前記第二のクライアントに前記コンテンツを伝達することの許可について、前記ポリシーエンフォースメントポイントと交渉する段階を更に含む、
    請求項14記載の方法。
  18. 前記第二のクライアントが、前記第一のクライアントに関するインテグリティ情報を取得する段階と、
    前記第二のクライアントが、前記第一のクライアントから前記コンテンツを要求する段階と、
    を更に含む請求項14記載の方法。
  19. 前記第二のクライアントが、前記第一のクライアントに関するインテグリティ情報を取得する段階と、
    前記第二のクライアントが、前記第一のクライアントに関する前記インテグリティ情報を検証する段階と、
    前記第二のクライアントが、前記第一のクライアントに関する前記インテグリティ情報を検証した後にのみ、前記第一のクライアントから前記コンテンツを要求する段階と、
    を更に含む請求項14記載の方法。
  20. 前記第一のクライアントが、前記第二のクライアントに関する前記インテグリティ情報を取得する段階と、
    前記第一のクライアントが、前記第二のクライアントに関する前記インテグリティ情報を検証する段階とを更に含み、
    前記第一のクライアントは、前記第二のクライアントに関する前記インテグリティ情報を検証した後にのみ、前記第二の要求を伝達する、
    請求項14記載の方法。
  21. 前記ポリシーエンフォースメントポイントからの判定は、前記第二のクライアントによる前記コンテンツの使用に関する少なくとも1つの制限を含む、
    請求項14記載の方法。
  22. 信頼の階層において共通の信頼レベルにあるクライアント間で電子コンテンツを共有するネットワークシステムであって、前記ネットワークシステムは、ポリシーに基づく管理を実現し、
    それぞれのクライアントが前記信頼の階層においてそれぞれの信頼レベルを有する複数のクライアントと、
    前記複数のクライアントに電子コンテンツを伝達する記憶手段と、
    前記記憶手段と前記複数のクライアントのうちの第一のクライアントとに接続されるポリシーエンフォースメントポイントであって、前記記憶手段からの電子コンテンツの伝達について、前記複数のクライアントのうちの第一のクライアントから第一の要求を受信するポリシーエンフォースメントポイントと、
    前記ポリシーエンフォースメントポイントに接続されるポリシーデシジョンポイントであって、前記複数のクライアントのうちの第一のクライアントの少なくとも信頼レベルを評価することを含めて、前記複数のクライアントのうちの第一のクライアントを評価し、前記記憶手段から前記複数のクライアントのうちの第一のクライアントに前記コンテンツを伝達することの許可を前記ポリシーエンフォースメントポイントに与えるポリシーデシジョンポイントとを備え、
    前記ポリシーエンフォースメントポイントは、さらに、前記複数のクライアントのうちの第二のクライアントに前記電子コンテンツを伝達することの許可について、前記複数のクライアントのうちの第一のクライアントから第二の要求を受信し、前記第二の要求は、前記複数のクライアントのうちの第一のクライアントに関連する少なくともインテグリティ情報を含み、
    前記ポリシーデシジョンポイントは、前記複数のクライアントのうちの第一のクライアントに関連する前記インテグリティ情報に少なくとも部分的に基づいて、前記複数のクライアントのうちの第二のクライアントに前記複数のクライアントのうちの第一のクライアントが前記電子コンテンツを伝達するのを許可すべきかについてポリシーに基づく判定を行う、
    ネットワークシステム。
JP2013517566A 2010-06-28 2011-05-17 委託型認証方法 Expired - Fee Related JP5614500B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/824,275 US8726335B2 (en) 2010-06-28 2010-06-28 Consigning authentication method
US12/824,275 2010-06-28
PCT/IB2011/001432 WO2012001476A2 (en) 2010-06-28 2011-05-17 Consigning authentication method

Publications (2)

Publication Number Publication Date
JP2013529822A true JP2013529822A (ja) 2013-07-22
JP5614500B2 JP5614500B2 (ja) 2014-10-29

Family

ID=44514833

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013517566A Expired - Fee Related JP5614500B2 (ja) 2010-06-28 2011-05-17 委託型認証方法

Country Status (5)

Country Link
US (1) US8726335B2 (ja)
EP (1) EP2585968A2 (ja)
JP (1) JP5614500B2 (ja)
CN (1) CN103069767B (ja)
WO (1) WO2012001476A2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101909058B (zh) * 2010-07-30 2013-01-16 天维讯达无线电设备检测(北京)有限责任公司 一种适合可信连接架构的平台鉴别策略管理方法及系统
US9294308B2 (en) 2011-03-10 2016-03-22 Mimecast North America Inc. Enhancing communication
US20150381614A1 (en) * 2014-06-25 2015-12-31 Qualcomm Incorporated Method and apparatus for utilizing biometrics for content sharing
US10681031B2 (en) * 2015-11-02 2020-06-09 International Business Machines Corporation Federating devices to improve user experience with adaptive security
CN106293733B (zh) * 2016-08-08 2019-11-19 网易传媒科技(北京)有限公司 一种控制页面显示的方法和装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003085084A (ja) * 2001-09-12 2003-03-20 Sony Corp コンテンツ配信システム及びコンテンツ配信方法、携帯端末、配信サーバ、並びに記憶媒体
JP2003132232A (ja) * 2001-10-25 2003-05-09 Matsushita Electric Ind Co Ltd ディジタルコンテンツ配信システム
WO2003040898A1 (en) * 2001-11-08 2003-05-15 Beep Science As An arrangement and a method for content policy control with a trusted environment in a multimedia messaging system
JP2005294918A (ja) * 2004-03-31 2005-10-20 Fujitsu Ltd 有料コンテンツの配信方法、無線端末、およびキャリア
US20060005036A1 (en) * 2004-07-02 2006-01-05 Limin Hu Enterprise security management system using hierarchical organization and multiple ownership structure
JP2007004650A (ja) * 2005-06-27 2007-01-11 Nec Corp ライセンス管理システム、ホストデバイス、ライセンス管理方法及びプログラム
JP2008123290A (ja) * 2006-11-13 2008-05-29 Ntt Docomo Inc コミュニティ管理サーバ、通信端末、コンテンツ伝達システム及びコンテンツ伝達方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8387106B2 (en) * 2002-12-11 2013-02-26 Broadcom Corporation Method and system for secure linking with authentication and authorization in a media exchange network
WO2006006310A1 (ja) * 2004-07-09 2006-01-19 Shokei Suda バイヤー端末、買付代行方法、委託買付システムおよび委託買付方法
US7461071B2 (en) * 2005-04-04 2008-12-02 Younite, Inc. Distributed management framework for personal attributes
US8019871B2 (en) * 2006-07-27 2011-09-13 Hewlett-Packard Development Company, L.P. Federation of grids using rings of trust
US20080109910A1 (en) * 2006-11-07 2008-05-08 Neil Day Content borrowing system and method
KR101391151B1 (ko) * 2007-06-01 2014-05-02 삼성전자주식회사 세션 키를 이용한 인증 방법 및 이를 위한 장치
EP2188730A4 (en) 2007-08-08 2014-09-17 Innopath Software Inc PROCEDURE AND ENFORCEMENT OF GUIDELINES ON MOBILE DEVICES

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003085084A (ja) * 2001-09-12 2003-03-20 Sony Corp コンテンツ配信システム及びコンテンツ配信方法、携帯端末、配信サーバ、並びに記憶媒体
JP2003132232A (ja) * 2001-10-25 2003-05-09 Matsushita Electric Ind Co Ltd ディジタルコンテンツ配信システム
WO2003040898A1 (en) * 2001-11-08 2003-05-15 Beep Science As An arrangement and a method for content policy control with a trusted environment in a multimedia messaging system
JP2005294918A (ja) * 2004-03-31 2005-10-20 Fujitsu Ltd 有料コンテンツの配信方法、無線端末、およびキャリア
US20060005036A1 (en) * 2004-07-02 2006-01-05 Limin Hu Enterprise security management system using hierarchical organization and multiple ownership structure
JP2007004650A (ja) * 2005-06-27 2007-01-11 Nec Corp ライセンス管理システム、ホストデバイス、ライセンス管理方法及びプログラム
JP2008123290A (ja) * 2006-11-13 2008-05-29 Ntt Docomo Inc コミュニティ管理サーバ、通信端末、コンテンツ伝達システム及びコンテンツ伝達方法

Also Published As

Publication number Publication date
EP2585968A2 (en) 2013-05-01
CN103069767B (zh) 2015-07-22
WO2012001476A2 (en) 2012-01-05
US8726335B2 (en) 2014-05-13
CN103069767A (zh) 2013-04-24
JP5614500B2 (ja) 2014-10-29
US20110321119A1 (en) 2011-12-29
WO2012001476A3 (en) 2012-03-01

Similar Documents

Publication Publication Date Title
AU2019206006B2 (en) System and method for biometric protocol standards
Megouache et al. Ensuring user authentication and data integrity in multi-cloud environment
US9325705B2 (en) Trusted internet identity
US11122047B2 (en) Invitation links with enhanced protection
US8424072B2 (en) Behavior-based security system
CN109688119B (zh) 一种云计算中的可匿名追踪性身份认证方法
JP5539335B2 (ja) 分散セキュアコンテンツ管理システムに対する認証
US20070143408A1 (en) Enterprise to enterprise instant messaging
JP2024515214A (ja) サイバーセキュリティシステム
US9787635B1 (en) Identifying external user names and enforcing policies
US20100132019A1 (en) Redundant multifactor authentication in an identity management system
JP5598604B2 (ja) 委託型認証方法
US8272043B2 (en) Firewall control system
JP5614500B2 (ja) 委託型認証方法
US20220343095A1 (en) Fingerprint-Based Device Authentication
US20220311777A1 (en) Hardening remote administrator access
Olsson et al. 5G zero trust–A Zero-Trust Architecture for Telecom
Kuzminykh et al. Mechanisms of ensuring security in Keystone service
US20190068573A1 (en) Detection of the network logon protocol used in pass-through authentication
US20230237171A1 (en) Securing web browsing on a managed user device
Gehlot et al. Enhancing security on cloud using additional encrypted parameter for public authentication
US20230239324A1 (en) Securing web browsing on a managed user device
US20230275927A1 (en) Securing web browsing on a managed user device
US20240205225A1 (en) Open id connect electronic access control system
CN117560134A (zh) 一种基于区块链的分布式可信网络接入方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130326

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140114

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140314

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140527

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140717

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140812

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140825

R150 Certificate of patent or registration of utility model

Ref document number: 5614500

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees