JP2014041652A - 分散セキュアコンテンツ管理システムに対する認証 - Google Patents

分散セキュアコンテンツ管理システムに対する認証 Download PDF

Info

Publication number
JP2014041652A
JP2014041652A JP2013228511A JP2013228511A JP2014041652A JP 2014041652 A JP2014041652 A JP 2014041652A JP 2013228511 A JP2013228511 A JP 2013228511A JP 2013228511 A JP2013228511 A JP 2013228511A JP 2014041652 A JP2014041652 A JP 2014041652A
Authority
JP
Japan
Prior art keywords
entity
network
component
authentication
cookie
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013228511A
Other languages
English (en)
Other versions
JP5714078B2 (ja
Inventor
Nice Nir
ナイス ニル
Oleg Ananiev
アナニエフ オレグ
John F Wohlfert
エフ.ヴェールフェルト ジョン
Amit Finkelstein
フィンケルスタイン アミット
Alexander Teplitsky
テプリトスキー アレクサンダー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2014041652A publication Critical patent/JP2014041652A/ja
Application granted granted Critical
Publication of JP5714078B2 publication Critical patent/JP5714078B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】分散セキュアコンテンツ管理システムに対する認証を提供する。
【解決手段】いくつかの態様において、インターネットを介して利用可能なリソースにアクセスする要求が、セキュリティコンポーネントにルーティングされる。セキュリティコンポーネントは、インターネット全体に分散される複数のセキュリティコンポーネントのうちの1つであり、企業に関連するエンティティの認証に責任を負う。セキュリティコンポーネントは、エンティティに使用する認証プロトコルを判定し、次に、エンティティを認証する。エンティティが認証されると、エンティティは、フォワードプロキシを使用することが許可される。
【選択図】図2

Description

本発明は、分散セキュアコンテンツ管理システムに対する認証に関する。
従来、企業は、種々のセキュリティ製品およびセキュリティ電化製品に含まれる機能を使用して、会社の情報技術資産を保護してきた。そのような機能には、例えば、企業に出入りするネットワークトラフィックをマルウェア等の悪質なコードに対してフィルタリングすること、不適切な外部のコンテンツへのアクセスを制限すること、企業ネットワークへの攻撃および他の侵入を阻止すること、等が含まれる。
可動式、家庭用、および他のコンピュータデバイスの可用性の広がりに伴い、従業員は、社内ネットワークの外部に仕事を持ちだすようになった。企業ネットワークに対して与えられるものと同じ保護レベルを取得し、かつ、企業ネットワークに対して与えられるようなポリシーを強化するために、そのような従業員に対して、企業ネットワークにログオンまたはアクセスし、かつ、企業ネットワークを介して企業ネットワーク外のリソースにアクセスする、ことを要求する企業がある。種々の理由により、これは、ローミングユーザが企業ネットワークに近接していないときは、最適ではなくなる。
本明細書において請求される発明は、任意の不都合を解決する実施形態、または、上述のような実施形態においてのみ作動する実施形態、に限定されない。むしろ、本背景技術は、本明細書に記載されるいくつかの実施形態を実践できる一例の技術領域を例示するためにのみ与えられる。
本発明は、上述したような問題に鑑みてなされたものであり、その目的とするところは、分散セキュアコンテンツ管理システムに対する認証を提供することにある。
簡潔に説明すると、本発明のいくつかの態様は、分散セキュアコンテンツ管理システムに対する認証に関する。いくつかの態様において、インターネットを介して利用可能なリソースにアクセスする要求が、セキュリティコンポーネントにルーティングされる。セキュリティコンポーネントは、インターネット全体に分散される複数のセキュリティコンポーネントのうちの1つであり、企業に関連するエンティティの認証に責任を負う。セキュリティコンポーネントは、エンティティに使用する認証プロトコルを判定し、次に、エンティティを認証する。エンティティが認証されると、エンティティは、フォワードプロキシを使用することが許可される。
この説明は、以下の「発明を実施するための形態」でさらに述べる本発明のいくつかの態様を簡潔に確認するために提供するものである。この説明は、本発明の重要な特徴または主要な特徴を確認することを意図しておらず、本発明の範囲を制限するために使用されることを意図してもいない。
「本明細書に記載される発明」という表現は、特に明示しない限り、「発明を実施するための形態」において記載される発明に言及する。用語「態様」は、「少なくとも1つの態様」として解釈されるべきである。「発明を実施するための形態」に記載される発明の態様を確認することは、本発明の重要な特徴および主要な特徴を確認することを意図していない。
上述した態様および本明細書に記載される発明の他の態様は、例として示すものであり、添付の図面にも限定されない。なお、複数の図面において、同様の数字は同様の要素を示す。
本発明のいくつかの態様を組み込むことができる例示の汎用コンピュータ環境を表すブロック図である。 本発明のいくつかの態様を実装することができる例示の環境を概して表すブロック図である。 本発明のいくつかの態様に従って、セキュリティコンポーネントと共に構成される例示の装置を表すブロック図である。 本発明のいくつかの態様に従って、認証と連動して起こる動作を概して表すフロー図である。 本発明のいくつかの態様に従って、認証と連動して起こる動作を概して表すフロー図である。
(例示的動作環境)
図1は、本発明のいくつかの態様を実行することができる適切なコンピュータシステム環境100の例を示す。コンピュータシステム環境100は、適切なコンピュータ環境のほんの一例であり、本発明のいくつかの態様の使用または機能の範囲について任意の制限を示唆することは意図しない。また、コンピュータ環境100は、例示の動作環境100において示されるコンポーネントの任意の1つのまたは組み合わせに関する、任意の依存または要求を有するものとして解釈されるものでもない。
本発明のいくつかの態様は、多数の他の汎用のまたは専用のコンピュータシステム環境または構成で動作可能である。本発明のいくつかの態様での使用に適切な周知のコンピュータシステム、環境、および/または構成の例には、パーソナルコンピュータ、サーバコンピュータ、ハンドヘルドまたはラップトップのデバイス、マルチプロセッサシステム、マイクロコントローラベースのシステム、セットトップボックス、プログラム可能家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、任意の上記のシステムまたはデバイスを含む分散コンピュータ環境、等が含まれるがこれに限定されない。
本発明のいくつかの態様を、プログラムモジュール等の、コンピュータにより実行されているコンピュータ実行可能命令の一般的コンテキストにおいて記載することができる。
一般に、プログラムモジュールには、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造、等が含まれ、これらは、特定のタスクを実行し、または、特定の抽象データ型を実装する。本発明のいくつかの態様はまた、通信ネットワークを介してリンクされるリモート処理デバイスによりタスクが実行される、分散コンピュータ環境において実践することができる。分散コンピュータ環境において、プログラムモジュールは、メモリストレージデバイスを含む、ローカルおよびリモート両方のコンピュータ記憶媒体に置くことができる。
図1を参照すると、本発明のいくつかの態様を実装するための例示のシステムには、コンピュータ110の形式の汎用コンピュータデバイスが含まれる。コンピュータ110のコンポーネントには、プロセシングユニット120、システムメモリ130、および、システムメモリを含む種々のシステムコンポーネントをプロセシングユニット120に連結するシステムバス121を含むことができるが、これに限定されない。システムバス121は、メモリバスまたはメモリコントローラ、周辺機器用バス、および様々なバスアーキテクチャのうちの任意のものを使用するローカルバスを含む、いくつかのタイプのバス構造のうちの任意のものとすることができる。制限ではなく例として、そのようなアーキテクチャには、ISA(Industry Standard Architecture)バス、MCA(Micro Channel Architecture)バス、EISA(Enhanced ISA)バス、VESA(Video Electronics Standards Association)ローカルバス、メザニン(Mezzanine)バスとしても既知のPCI(Peripheral Component Interconnect)バス、PCI−X(Peripheral Component Interconnect Extended)バス、AGP(Advanced Graphics Port)、および、PCIe(PCI express)が含まれる。
コンピュータ110には典型的には、様々なコンピュータ可読媒体が含まれる。コンピュータ可読媒体は、コンピュータ110によりアクセス可能な、かつ、揮発性媒体および不揮発性媒体、ならびに、着脱可能媒体および着脱不可能媒体を含む、任意の利用可能な媒体とすることができる。制限ではなく例として、コンピュータ可読媒体には、コンピュータ記憶媒体および通信媒体を備えることができる。
コンピュータ記憶媒体には、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータ等の情報を記憶するための任意の方法または技術で実装される、揮発性および不揮発性の、着脱可能および着脱不可能な媒体が含まれる。コンピュータ記憶媒体には、RAM、ROM、EEPROM、フラッシュメモリもしくは他のメモリ技術、CD−ROM、DVD(digital versatile disc)もしくは他の光ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置もしくは他の磁気ストレージデバイス、または、所望の情報の記憶に使用可能で、かつ、コンピュータ110によりアクセス可能な、任意の他の媒体、が含まれるがこれに限定されない。
通信媒体は、典型的には、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータを、搬送波または他の転送機構等の変調データ信号で具現化し、かつ、任意の情報配信媒体を含む。「変調データ信号」という用語には、1つまたは複数のその特徴が信号における情報を符号化するような方法などで設定または変更される信号、という意味がある。制限ではなく例として、通信媒体には、有線ネットワークまたは直接線式接続等の有線媒体、および、音響、RF、赤外線、および、他の無線媒体等の無線媒体、が含まれる。上記の任意のものの組み合わせもまた、コンピュータ可読媒体の範囲内に含まれるべきある。
システムメモリ130には、ROM(read only memory)131およびRAM(random access memory)132等の、揮発性および/または不揮発性メモリの形式のコンピュータ記憶媒体が含まれる。基本入出力システム133(BIOS)は、起動時等にコンピュータ110内の要素間での情報の転送の支援をする基本ルーチンを含有し、典型的には、ROM131に記憶される。RAM132は典型的には、プロセシングユニット120により、直ちにアクセル可能である、および/または現在操作されている、データおよび/またはプログラムモジュールを含有する。制限ではなく例として、図1には、オペレーティングシステム134、アプリケーションプログラム135、他のプログラムモジュール136、およびプログラムデータ137を例示する。
コンピュータ110にはまた、他の着脱可能/着脱不可能、揮発性/不揮発性コンピュータ記憶媒体を含むことができる。単なる例として、図1には、着脱不可能、不揮発性磁気媒体に読み書きするハードディスクドライブ141、着脱可能、不揮発性磁気ディスク152に読み書きする磁気ディスクドライブ151、および、CD−ROMまたは他の光媒体等の、着脱可能、不揮発性光ディスク156に読み書きする光ディスクドライブ155を例示する。例示の動作環境で使用可能な他の着脱可能/着脱不可能、揮発性/不揮発性コンピュータ記憶媒体には、磁気テープカセット、フラッシュメモリカード、DVD(digital versatile disc)、他の光ディスク、デジタルビデオテープ、ソリッドステートRAM、ソリッドステートROM等、が含まれるがこれに限定されない。ハードディスクドライブ141は典型的には、インターフェース140等の着脱不可能メモリインターフェースを介してシステムバス121に接続され、磁気ディスクドライブ151および光ディスクドライブ155は典型的には、インターフェース150等の着脱可能メモリインターフェースによりシステムバス121に接続される。
上記で検討し図1において例示した、ドライブおよびその関連するコンピュータ記憶媒体は、コンピュータ可読命令、データ構造、プログラムモジュール、およびコンピュータ110の他のデータの記憶場所を提供する。図1において、例えば、ハードディスクドライブ141は、オペレーティングシステム144、アプリケーションプログラム145、他のプログラムモジュール146、およびプログラムデータ147を記憶するものとして例示される。なお、これらのコンポーネントは、オペレーティングシステム134、アプリケーションプログラム135、他のプログラムモジュール136、およびプログラムデータ137と同じでも異なっていても良い。オペレーティングシステム144、アプリケーションプログラム145、他のプログラムモジュール146、およびプログラムデータ147には、本明細書においては異なる番号が与えられ、それらが少なくとも異なる複製品であることを例示する。ユーザは、キーボード162、および、一般にはマウス、トラックボール、またはタッチパッドと称されるポインティングデバイス161等の入力デバイスを介して、コマンドおよび情報をコンピュータ20に入力することができる。他の入力デバイス(図示せず)には、マイク、ジョイスティック、ゲームパッド、パラボラアンテナ、スキャナ、タッチスクリーン、ライティングタブレット等を含むことができる。これらおよび他の入力デバイスは、システムバスに連結されるユーザ入力インターフェース160を介してプロセシングユニット120に接続されることが多いが、他のインターフェースおよびパラレルポート、ゲームポート、またはUSB(universal serial bus)等のバス構造により接続することができる。モニタ191または他のタイプのディスプレイデバイスもまた、ビデオインターフェース190等のインターフェースを介してシステムバス121に接続される。モニタに加えて、コンピュータにはまた、スピーカ197およびプリンタ196等の他の周辺出力デバイスを含むことができ、これらは、出力周辺インターフェース190を介して接続させることができる。
コンピュータ110は、リモートコンピュータ180等の1つまたは複数のリモートコンピュータへの論理接続を使用して、ネットワーク化環境において動作することができる。リモートコンピュータ180は、図1にはメモリストレージデバイス181のみが例示されるが、パーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ページャ、ピアデバイス、または他の共通ネットワークノードとすることができ、かつ、典型的には、コンピュータ110に関して上述される要素のうちの多くまたは全てを含む。図1に示す論理接続には、ローカルエリアネットワーク(LAN)171およびワイドエリアネットワーク(WAN)173が含まれるが、他のネットワークを含むこともできる。そのようなネットワーク環境は、事務所、企業規模のコンピュータネットワーク、イントラネット、およびインターネットにおいて一般的なものである。
LANネットワーク環境において使用されるとき、コンピュータ110は、ネットワークインターフェースまたはアダプタ170を介してLAN171に接続される。WANネットワーク環境において使用されるとき、コンピュータ110には、モデム172またはインターネット等のWAN173上の通信を確立する他の手段を含むことができる。モデム172は、内部のものでも外部のものでも良く、ユーザ入力インターフェース160または他の適切な機構を介してシステムバス121に接続することができる。ネットワーク化環境において、コンピュータ110に関して示されるプログラムモジュールまたはその一部を、リモートメモリストレージデバイスに記憶することができる。制限ではなく例として、図1にはメモリデバイス181上に存在するリモートアプリケーションプログラム185を例示する。図示のネットワーク接続は例示のものであり、コンピュータ間の通信リンクを確立する他の手段を使用することができることは理解されるであろう。
(認証)
先に述べたように、従業員は、ビジネスネットワークの外部で仕事をすることが多い。
しかし、同時に、会社は、同じ保護レベルの提供、ユーザの動作に基づく報告の提供が可能であること、かつ、ユーザがビジネスネットワーク使用してリモートネットワークのリソースにアクセスするときに適用されるものと同じポリシーを適用すること、を望んでいる。
本発明のいくつかの態様に従うと、クラウド内に配置される1つまたは複数のフォワードプロキシが提供される。論理的には、フォワードプロキシは、クライアントとクライアントがアクセスを試みているネットワークリソースとの間に位置する。フォワードプロキシは、クライアントからの要求を受け取り、クライアントへの接続性を要求されるリソースに提供し、必要に応じて、上記で確認された他の機能をこれらの要求に提供することができる。フォワードプロキシは、エンティティを認証しそれに関連する動作のログを取る、1つまたは複数のセキュリティコンポーネントと関連付けられることが可能である。これらのコンポーネントは、様々な認証プロトコルを使用してエンティティを認証することができ、かつ、企業に設置される識別システムと通信し、この認証を実行することができる。コンポーネントはまた、識別子を取得してエンティティの動作のログを取る際に使用することができる。
セキュリティコンポーネントと関連付けられるということは、フォワードプロキシがセキュリティコンポーネントの全てまたは一部を含むことができる、または、セキュリティコンポーネントの全てまたは一部をフォワードプロキシの外部に設置することができる、ということを意味する。
図2は、本発明のいくつかの態様が実装される例示の環境を概して表すブロック図である。図2に例示する環境には、ローミングデバイス205から206、家庭用デバイス207、企業デバイス208、ネットワークアクセスデバイス209、および識別システム210(以下、まとめてエンティティと称する場合がある)を含むことができ、かつ、他のエンティティ(図示せず)を含むことができる。種々のエンティティが、企業内ネットワークおよび社内ネットワークならびにネットワーク215を含む種々のネットワークを介して通信することができる。
一実施形態において、ネットワーク215は、インターネットを備えることができる。
一実施形態において、ネットワーク215には、1つまたは複数のローカルエリアネットワーク、ワイドエリアネットワーク、直接接続、上記のものの何らかの組み合わせ、等を備えることができる。
デバイス205から208には、1つまたは複数の汎用または専用のコンピュータデバイスを備えることができる。そのようなデバイスには、例えば、パーソナルコンピュータ、サーバコンピュータ、ハンドヘルドまたはラップトップのデバイス、マルチプロセッサシステム、マイクロコントローラベースのシステム、セットトップボックス、プログラム可能家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、PDA(personal digital assistant)、ゲームデバイス、プリンタ、セットトップ、メディアセンターを含む電化製品または他の電化製品、自動車に埋め込まれるまたは取り付けられるコンピュータデバイス、他のモバイルデバイス、任意の上記のシステムまたはデバイスを含む分散コンピュータ環境、等を含むことができる。1つまたは複数のデバイス205から208として動作するよう構成される例示のデバイスは、図1のコンピュータ110を備える。
ローミングデバイス205から206には、ある場所からある場所へ運ばれるコンピュータデバイスを備えることができる。例えば、従業員は、ノートブックコンピュータを出張に持っていくことができる。別の例として、従業員は、携帯電話、PDA,または従業員がほとんどどこででも使用できる何らかの他のハンドヘルドデバイスを持って移動することができる。
家庭用デバイス207には、例えば、従業員の家に設置されるパーソナルコンピュータまたは他の電子デバイスを含むことができる。
企業デバイス208には、1つまたは複数の会社の場所に設置され、かつビジネスネットワークに接続されるデバイスを含むことができる。例えば、企業デバイス208には、ワークステーション、サーバ、ルータ、モバイルデバイス、および、先に述べたものとは別の汎用および専用のコンピュータデバイスを含むことができる。
ネットワークアクセスデバイス209には、許可、拒否、プロキシ、伝送、キャッシュ、または、コンピュータトラフィック上の他の動作の実行、を行うよう構成される、1つまたは複数のデバイスおよび/またはソフトウェアコンポーネントを備えることができる。ファイアウォールとして構成されて、ネットワークアクセスデバイス209は、企業デバイス208および識別システム210、ならびにネットワークアクセスデバイス209に接続される他のデバイス(ある場合)、に対する保護を提供するよう動作することができる。ネットワークアクセスデバイス209は、仮想プライベートネットワークに対するエンドポイントとして構成することができる。そのような構成において、ネットワークアクセスデバイス209は、セキュアな通信チャネルを、1つまたは複数のフォワードプロキシ220から222に、同様に、ローカル識別システム230等のネットワーク215に属する他のコンポーネントに、提供することができる。ローカル識別システム230を有するセキュアな通信チャネルを使用して、識別システム210とローカル識別システム230との間の一方向または双方向の信頼関係を確立することができる。一実施形態において、ネットワークアクセスデバイス209には、例えば、適切なハードウェアおよびソフトウェアと共に構成される図1のコンピュータ110を備えることができる。別の実施形態において、ネットワークアクセスデバイス209には、特定用途の電化製品を備えることができる。
識別システム210には、上記で述べたデバイス等の1つまたは複数のデバイス上でホストされる1つまたは複数の処理を含むことができる。以下でさらに詳細に説明するように、識別システム210を利用して、ユーザおよび/またはデバイスを識別することができる。一実施形態において、識別システム210には、ワシントン州レドモンドのマイクロソフト社により製造されるアクティブディレクトリ(Active Directory)を備えることができる。識別システムの他の例には、ラディウス(RADIUS)系のIDシステム、LDAP系のIDシステム、一般的データベースIDシステム等が含まれる。
図2に例示するように、一実施形態において、識別システム210は、ネットワークアクセスデバイス209を介してアクセス可能な企業ネットワーク上に存在する。別の実施形態において、識別システム210は、企業のネットワークの外部のネットワーク上に存在しても良い。例えば、識別システム210は、ネットワーク215内の種々の場所に存在または分散させることができる。一実施形態において、識別システム210は、ネットワーク215に属するサーバによりホストされるサービスとすることができる。
フォワードプロキシ220から222は、ネットワークを介してアクセス可能な種々の場所に配置される。これらのフォワードプロキシは、接続性、アンチウィルス、スパイウェア、およびフィッシング保護、URLフィルタリング、ファイアウォール、侵入検出、情報漏洩防止(ILP)、ならびに、企業ネットワークにおけるデバイスにより提供されることもある同様の類、等の種々の機能を提供することができる。フォワードプロキシ220から222はまた、ネットワーク215に接続されるローミングデバイスに対して中央集中型の管理を提供することもできる。フォワードプロキシ220から222はまた、モバイルデバイスに対するレンダリング、ウェブページおよび他のコンテンツのキャッシュ、および、任意の他の接続性および/または企業により所望され得るセキュリティ機能、等の他の機能を種々のデバイスに提供することもできる。
デバイスが、ネットワーク215に接続されるリソースにアクセスを試みるとき、デバイスとの間のトラフィックがフォワードプロキシにルーティングされて、例えば、上述の1つまたは複数の機能を提供することができる。しかし、デバイスにこれらの機能が提供される前に、フォワードプロキシに関連するセキュリティコンポーネントが、デバイスおよび/またはそのデバイスを使用するユーザを認証する。認証というコンテキストにおいて、用語「エンティティ」を使用して、本明細書においては、デバイスおよび/またはそのデバイスを使用するユーザを示すことがある。
エンティティの認証は、種々の理由でなされ得る。例えば、登録されるエンティティのみがフォワードプロキシの使用が許可されることが所望されるかもしれない。これが起こることを確実にするために、認証を実行することができる。別の例として、エンティティの認証を、デバイスとの間でルーティングされるトラフィクにどのポリシーを適用するかを知るための識別に使用することができる。さらに別の例として、エンティティの認証を、報告、監査、他には、エンティティの動作の追跡に使用することができる。
上記で述べた、エンティティを認証する理由の例では、包括的であることも網羅的であることも意図されない。本発明のいくつかの態様を1つまたは複数の上記の例を含む実装に限定することも意図されない。実際、本明細書の教示に基づき、当業者は、本発明のいくつかの態様の精神または範囲から逸脱することなく本明細書に表される概念を適用することができる、多くの他の状況を認めることができる。
企業の認証情報に基づくエンティティの認証において、識別システム210からの情報を、エンティティの認証を試みているセキュリティコンポーネントに伝送することができる。一実施形態において、セキュリティコンポーネントは、フォワードプロキシの使用が許可されたエンティティの認証情報の、それ自身が所有するデータベースを保持しなくともよい。その代わり、認証情報を、識別システム210を介してアクセス可能な認証情報データベース上などの企業が制御する場所に記憶することができる。これは、種々の理由による。例えば、クラウド内に認証情報のデータベースがない場合、システムは、クラウド内に記憶される認証情報のデータベースと企業ネットワーク上に記憶される認証情報のデータベースとを保持することおよび同期させることを回避することが可能である。また、クラウドの認証情報のデータベースは、企業以外の団体により制御され得るため、認証情報のデータベースを企業ネットワーク上に記憶していることにより、セキュリティ上のリスクを小さくすることができる。別の効果として、企業ネットワーク上に最近作成された新しいエンティティが、同期されることを待つ必要がないため、直ちにフォワードプロキシにアクセスすることができる。加えて、もはやフォワードプロキシへのアクセスを許可されないエンティティは、それらの認証情報が認証情報のデータベースから削除されることより、フォワードプロキシへのアクセスが直ちに拒否される。さらに、エンティティのネットワーク動作に関して生成される報告は、エンティティがどの場所からフォワードプロキシにアクセスするのかに関係なくエンティティを追跡することが可能である。
本実施形態において、エンティティを認証するために、セキュリティコンポーネントは、必要に応じて、識別システム210と通信して、エンティティを認証するのに十分な情報を取得することができる。そのような情報には、例えば、エンティティの認証情報、チャレンジ/応答データ、証明関連の情報、または、エンティティの認証に使用可能な任意の他の情報を含むことができる。
別の実施形態において、セキュリティコンポーネントは、一方向または双方向の信頼関係を使用して識別システム210と同期されるローカル識別システム230にアクセスすることができる。一方向の信頼関係において、ローカル識別システム230に対して同期される企業の認証情報を使用して認証されるエンティティは、フォワードプロキシを介してリソースにアクセスすることが許可される。
セキュリティコンポーネントと識別システム210および230との間の通信は、様々な方法でなされ、これには例えば、仮想プライベートネットワーク(VPN)、マルチプロトコルラベルスイッチング(MPLS)、インターネットプロトコルセキュリティ(IPSec),インターネットプロトコル6(IPv6)グローバルアドレシング、他の通信プロトコル等が含まれる。
一実施形態において、特定の通信プロトコルにより必要とされるポート(複数可)のみを、識別システムとセキュリティコンポーネントとの間の仮想プライベートネットワークに関与させることができる。言い換えれば、通信プロトコルに関与するポートに対するメッセージを転送し、通信プロトコルに関与しないポートに対するメッセージを転送しないようにすることができる。これは、攻撃面(例えば、転送されるポートの数)を大幅に減らすことができるため、企業ネットワークのセキュリティ維持に役立つ。
フォワードプロキシおよび識別システムは、IPv6を介して通信するよう構成される。IPsecおよび構成されたポリシーと併せて、これを使用して、特定のフォワードプロキシのみが識別システムと通信することが許可されることを保証する。
エンティティを認証するために、フォワードプロキシに関連するセキュリティコンポーネントは、多くの異なる機構のうちの1つまたは複数を使用することができる。例えば、仮想プライベートネットワーク(VPN)を、セキュリティコンポーネントとデバイスの間で確立することができる。そのような構成において、VPNが成功裏に確立されたということが、エンティティの認証に役立つ。他の例として、統合Windows「登録商標」認証、IPSec、フォームベース認証、RADIUS、MPLS、基本アクセス認証、ケルベロス、クライアント証明書ベース認証、いくつかの他の認証プロトコル等、を使用して、エンティティを認証することができる。一実施形態において、認証はHTTPプロキシ認証の一部として起動される。
認証プロトコルのタイプは、セキュリティコンポーネントとデバイスとの間で取り決められる。例えば、デバイスが第1の組の認証プロトコルをサポートし、セキュリティコンポーネントが第2の組の認証プロトコルをサポートする場合、デバイスとセキュリティコンポーネントの双方がサポートする認証プロトコルが選択されて、エンティティを認証することができる。別の例として、デバイスが、デバイス自体、および/または、ユーザのインタラクション無しでユーザを、認証することを可能にする認証プロトコル(例えば、統合Windows「登録商標」認証など)を、デバイスがサポートする場合、このプロトコルが選択され得る。
エンティティを認証するための多くの方法がある。例えば、エンティティを認証するために、セキュリティコンポーネントは、エンティティの認証情報(例えば、ユーザ名およびパスワードまたはエンティティに関連する他の認証情報)を要求することができる。これらの認証情報を使用して、セキュリティコンポーネントは、識別システム210と通信して、認証情報を検証することができる。これを行うために、エンティティは、例えば、基本、フォーム、RADIUS、またはいくつかの他の認証プロトコルを使用することができる。
認証情報が有効である場合、識別システム210は、これをセキュリティコンポーネントに対して示し、かつ、エンティティに関連する識別子をセキュリティコンポーネントに送ることができる。この識別子には、エンティティの企業アイデンティティを含むことができる。この識別子は、エンティティによる後の動作のログを取る際に使用することができる。
エンティティを認証するための別の例として、セキュリティコンポーネントは、認証情報を受け取らずに、認証情報を認証することができる。例えば、セキュリティコンポーネントは、エンティティに対してチャレンジを提供し、そのチャレンジに対する応答を使用してエンティティを認証することができる。セキュリティコンポーネントは、チャレンジの判定、および/または、チャレンジに対する応答の実証に、識別システム210を関与させることができる。
別の例として、セキュリティコンポーネントは、一方向または双方向の信頼関係を使用して識別システム210と同期されるローカル識別システム230に関連することができる。セキュリティコンポーネントは、ローカル識別システム230を利用してエンティティを認証することができる。
別の例として、セキュアソケットレイヤ(SSL)および/またはトランスポートレイヤセキュリティ(TLS)の能力を、HTTPプロトコルにおいて定義されるプロキシの能力に追加することができる。HTTPプロキシのための現在のHTTPプロトコルは、HTTPプロキシにおいてSSLまたはTLSを使用することを規定していない。HTTPプロキシは、クライアントとの通信時にSSLおよび/またはTLSを使用するよう強化され得る。SSL/TLSはまた、相互の認証に使用することもできる。接続を確立する際の一部として、クライアントを、SSLまたはTLSを介して認証することができる。この認証方法において、セキュリティコンポーネントは、例えば、クライアント証明書が信頼できる認証機関により署名されていることを検証することにより、クライアントを認証することができる。SSL/TLSをHTTPプロキシに追加することにより、エンドポイントとフォワードプロキシとの間のセキュアな(例えば、暗号化された)通信を可能にすることもできる。
一実施形態において、クライアントとセキュリティコンポーネントとの間の最初の認証の後、後に続く要求と共に使用するために、クッキーをクライアントに提供することができる。現在のHTTPプロトコルは、対象のサーバがクライアントにクッキーを提供することを許可するが、HTTPプロキシが単独でクッキーを生成してクライアントに供給することは許可しない。さらに、現在のHTTPプロトコルにおいて、クライアントは、クライアントにクッキーを送った対象のサーバと通信するときのみ、クッキーを提供する。
フォワードプロキシがHTTPプロキシとして機能するとき、フォワードプロキシ(または、それに関連するセキュリティコンポーネント)は、クッキーを生成して、クライアントが認証されたあとにクライアントに送ることができる。そして、後に続く要求において、クライアントはこのクッキーを、クッキーをクライアントに提供したフォワードプロキシ(または、それに関連するセキュリティコンポーネント)、または、別のフォワードプロキシに、提供することができる。また、クライアントが異なる対象のサーバ上のリソースにアクセスしようとするときでも、クライアントはこのクッキーを送ることができる。
クライアントが、後に続く要求において、クッキーを送るとき、フォワードプロキシ(または、それに関連するセキュリティコンポーネント)は、クッキーを調べて、クライアントが既に認証されているかを判定することができる。これにより、クライアントから受け取る各要求に伴う再認証に関連するオーバヘッドを回避することができる。クッキーは、有効期限のパラメータと共に構成され、設定時間後は有効期限が切れる。
本明細書において使用されるクッキーには、エンティティが既に認証されていることを検証するために使用することができる任意のデータが含まれる。例えば、クッキーには、データベースのレコードにアクセスするためにセキュリティコンポーネントにより使用される識別子を含むことができる。レコードは、エンティティが既に認証されたかどうかを示すことができる。別の例として、クッキーには、エンティティが認証されたかどうかを判定するための、セキュリティコンポーネントが解読可能な暗号化された情報を含むことができる。
クッキーにはまた、エンティティに関する他のデータを含むことができる。例えば、クッキーには、エンティティに関連する識別子を含むことができる。この識別子は、エンティティが、例えば、企業ネットワークにアクセスするときに使用する識別子に対応することができる。この識別子を、エンティティの動作のログを取る時に使用することができる。別の例として、クッキーには、エンティティに関連するポリシー情報を含むことができる。例えば、クッキーには、どのサイトにエンティティがアクセスすることを許可されているかを示す情報を含むことができる。
エンティティの認証に使用することができる別の機構は、接続コンポーネント(例えば、接続コンポーネント125)を介する。接続コンポーネントは、デバイス上に存在し、かつ、デバイスからの接続を監視するコンポーネントである。例えば、接続コンポーネントは、デバイスとの間で送信されるTCPトラフィックを監視することができる。接続コンポーネントが、フォワードプロキシに対してルーティングされる接続要求を確認すると、接続コンポーネントは、フォワードプロキシに関連するセキュリティコンポーネントを一緒に認証し、かつ、その接続を暗号化することができる。これは、デバイスを使用するユーザに対して透過的であるような方法で行われる。ユーザが、フォワードプロキシを通してルーティングされる必要がある要求(例えば、URL要求)を入力すると、接続コンポーネントは、フォワードプロキシに関連するセキュリティコンポーネントを一緒に認証し、次に、セキュアなチャネル上でフォワードプロキシに要求を転送することができる。
一実施形態において、クッキーが、後に続く要求における認証に使用するために、エンティティに提供されると、接続コンポーネントは、クッキーを操作し、かつ、後に続く要求においてそれを提供することができる。別の実施形態において、クッキーが、後に続く要求において認証に使用するためにエンティティに提供されると、接続コンポーネントは、エンティティがクッキーを操作し、かつ、クッキーを後に続く要求において提供する、ことを可能にすることができる。
エンティティを認証するためのいくつかの機構の例が、上記において提供されたが、これらの例では、包括的であることも網羅的であることも意図されない。実際、本発明のいくつかの態様は、認証方法に限定されず、実質的に、既存または開発される任意の認証方法を、本発明のいくつかの態様の精神または範囲から逸脱することなく、採用することができる。
認証処理の結果、次にロギング、監査、ポリシーの適用等に使用するための識別子を取得することができる。この識別子は、本発明のいくつかの態様から逸脱することなく、識別システム210により、ローカル識別システム230により、または、いくつかの他のコンポーネントにより、提供することができる。識別子は、エンティティを、エンティティに関連する企業ネットワークに対して識別するために使用されるものと同じ識別子とすることができる。
上述の環境には、各エンティティおよび関連するインフラストラクチャが様々な数で含まれるが、より多くの、より少ない、または異なる組み合わせの、これらのエンティティおよびその他を、本発明のいくつかの態様の精神および範囲から逸脱することなく採用することができることが認識されるであろう。さらに、環境に含まれるエンティティおよび通信ネットワークは、本発明のいくつかの態様の精神および範囲から逸脱することなく、当業者が理解するであろう様々な方法で構成することができる。
図3は、本発明のいくつかの態様に従って、セキュリティコンポーネントと共に構成される例示の装置を表すブロック図である。図3において例示されるコンポーネントは例示のものであり、必要とされるかまたは含まれるコンポーネントが全て含まれる訳ではない。他の実施形態において、図3と併せて記載されるコンポーネントまたは機能を、本発明のいくつかの態様の精神および範囲から逸脱することなく、他のコンポーネントに含む、または、サブコンポーネントに配置することができる。いくつかの実施形態において、図3と併せて記載されるコンポーネントまたは機能は、装置305にアクセス可能な複数のデバイスに亘って分散させることができる。
図3を参照すると、装置305には、セキュリティコンポーネント310、記憶装置、および、通信機構345を含むことができる。セキュリティコンポーネント310には、プロトコルセレクタ315、クライアントコンポーネント320、アイデンティティバリデータ325、プロキシインフォーマ330、履歴トラッカ335、および報告コンポーネント337を含むことができる。セキュリティコンポーネント310は、図1と併せて記載されるフォワードプロキシに関連付けることができる。関連付けられるという文脈は、同じデバイスに含まれる、または、フォワードプロキシをホストしないがフォワードプロキシと通信することができる1つまたは複数のデバイスに配置される、等を意味する。
通信機構345により、装置305は図2に示すような他のエンティティとの通信が可能になる。通信機構345は、ネットワークインターフェースもしくはアダプタ170、モデム172、または図1と併せて記載されるような通信を確立するための任意の他の機構とすることができる。
記憶装置340は、エンティティにより行われる動作に関して履歴情報を記憶することができる任意の記憶媒体である。記憶装置340は、ファイルシステム、データベース、RAM等の揮発性メモリ、他の記憶装置、上記の何らかの組み合わせ等を備えることができ、かつ、複数のデバイスに渡って分散させることができる。記憶装置340は、装置305の外部または内部とすることができる。
プロトコルセレクタ315は、第1のネットワークを介して利用可能なリソースへのアクセスを獲得しようとするエンティティの認証と併せて利用するための認証プロトコルを判定するよう動作可能である。例えば、図2を参照すると、プロトコルセレクタは、デバイス205から208のうちの1つを、これらのデバイスがネットワーク215を介してアクセス可能なリソースにアクセスしようとするときに、認証するために使用する認証プロトコルを判定することができる。
クライアントコンポーネント320は、プロトコルセレクタ315により判定される認証プロトコルを使用してエンティティを認証するよう動作可能である。エンティティには、デバイスを使用するユーザおよび/またはデバイスを含むことができる。例えば、図2を参照すると、クライアントコンポーネントは、相互TLSプロトコルを使用してローミングデバイス205を使用するユーザを認証することができる。
アイデンティティバリデータ(identity validator)325は、エンティティに関連する識別子を識別システムから取得するよう動作可能である。識別システムは、先に示したように、ローカルネットワークまたはクライアントコンポーネント320の外部のネットワーク上に配置することができる。識別システムは、クライアントコンポーネント320の外部のこのネットワーク(例えば、企業ネットワーク)を制御する企業に関連するエンティティのための識別子を含む、データベースにアクセスすることができる。例えば、図2を参照すると、アイデンティティバリデータは、識別システム210と通信して識別子を取得することができる。
プロキシインフォーマ(proxy informer)330は、エンティティが、クライアントコンポーネント320から取得された結果に基づき認証されるかどうかを、フォワードプロキシ対して示すよう動作可能である。例えば、図2を参照すると、プロキシインフォーマは、エンティティが、フォワードプロキシにより提供されるセキュリティ機能の使用を認証されることを、フォワードプロキシ220から222のうちの1つに対して示すことができる。
履歴トラッカ(history tracker)335は、エンティティおよびエンティティによりアクセスされるリソースを識別する情報を記憶するよう動作可能である。例えば、図2を参照すると、履歴トラッカは、ローミングデバイス205を使用するユーザによりフォワードプロキシ220に送られる各URLと共にユーザ名を記憶することができる。履歴トラッカ335は、記憶装置340を利用して履歴情報を記憶することができる。
報告コンポーネント(reporting component)337は、エンティティおよびエンティティによりアクセスされるリソース(例えば、URL、ネットワークアドレス、等)を識別する形式で、履歴情報を提供するよう動作可能である。この形式には、ユーザ名、またはリソース識別子と共に他の識別子を含むことができる。情報には、企業のエンティティを識別するのに十分な情報が含まれるため、デバイスが(例えば、マルウェアを介して)汚染されても、ユーザがデバイスを企業ネットワークに持ち込むときに、デバイスが汚染され、社内ネットワークへのアクセスが許可される前に汚染を取り除く必要があることを、報告により示すことができる。
図4から5は、本発明のいくつかの態様に従う認証と併せて起こり得る動作を概略的に示すフロー図である。説明を簡略化するために、図4から5と併せて記載される方法論は、一連の動作として示され記載される。本発明のいくつかの態様が、例示される動作により、および/または、動作の順番により制限されないことを理解および認識すべきである。一実施形態において、動作は以下に記載する順番で起こる。しかし、他の実施形態においては、動作は、並行して、別の順番で、および/または、本明細書に表されないかつ記載されない他の動作と共に、起こり得る。さらに、全ての例示の動作が、本発明のいくつかの態様に従う方法論を実装することを要求されるわけではない。加えて、あるいは方法論を、状態図を介する一連の相互に関連する状態として、または事象として表すことができることを、当業者は理解および認識するであろう。
図4を参照すると、ブロック405にて、動作が開始される。ブロック407にて、信頼関係が確立される。例えば、図2を参照すると、ローカル識別システム230は、企業の識別システム210との信頼関係を確立することができる。ブロック410にて、デバイスは、デバイスの外部のネットワーク(例えば、インターネット)上のリソースへのアクセスを試みる。例えば、図2を参照すると、ローミングデバイス206は、ネットワーク215を介して利用可能なリソース(例えば、ウェブページ)へのアクセスを試みる。
ブロック415にて、フォワードプロキシに関連するセキュリティコンポーネントに、要求がルーティングされる。例えば、図2を参照すると、接続コンポーネント125が、フォワードプロキシ222に関連するセキュリティコンポーネントに、要求をルーティングする。
ブロック420にて、セキュリティコンポーネントは、デバイスからメッセージを受け取る。例えば、図3を参照すると、セキュリティコンポーネント310が、要求を受け取る。
ブロック425にて、デバイスに関連するエンティティを認証する認証プロトコルが判定される。例えば、図3を参照すると、プロトコルセレクタ315が、図2のローミングデバイス206に関連するユーザを認証する際に使用する認証プロトコルを判定する。
ブロック430にて、セキュリティコンポーネントは、デバイスに関連するエンティティを認証する。例えば、図2および3を参照すると、クライアントコンポーネント320が、ローミングデバイス206に関連するユーザを認証する。
ブロック435にて、クッキーが使用されると、クッキーはデバイスに送られて後に続く要求において使用される。例えば、図2を参照すると、フォワードプロキシ222に関連するセキュリティコンポーネントが、クッキーをローミングデバイス206に送る。
ブロック440にて、デバイスは後に続く要求においてクッキーを送る。例えば、図2を参照すると、ローミングデバイス206が、受け取ったクッキーを、ネットワーク215を介してアクセス可能なリソースを求める後に続く要求において、送る。
ブロック445にて、他の動作が、もしあれば、起こる。例えば、周期的に、エンティティを再認証することができる。
図5を参照すると、ブロック505にて、動作が開始される。ブロック510にて、第2のネットワーク上のリソースにアクセスする要求が、第1のネットワークに属するデバイスに関連するエンティティから送られる。例えば、図2を参照すると、ネットワーク215を介してアクセス可能なリソースにアクセスする要求が、デバイス206に関連するエンティティから送られる。
ブロック515にて、要求が通信コンポーネントで受け取られる。例えば、図2を参照すると、通信コンポーネント125が要求を受け取る。
ブロック520にて、エンティティは、通信コンポーネントを介して認証される。例えば、図2を参照すると、通信コンポーネント125が、フォワードプロキシ222に関連するセキュリティコンポーネントと通信して、デバイス206を使用するユーザを認証する。
ブロック525にて、要求は、フォワードプロキシに送られる。例えば、図2を参照すると、デバイス206からの要求が、フォワードプロキシ222に送られる。
ブロック530にて、クッキーを、デバイスで受け取ることができる。クッキーは、セキュリティコンポーネントによりエンティティが先に認証されたことを示す。これは、例えば、後に続く認証を促進するために起こる。
ブロック535にて、クッキーは、後に続く要求において送られる。例えば、図2を参照すると、通信コンポーネント125は、リソースを求める後に続く要求においてクッキーを送ることができる。
ブロック540にて、他の動作が、もしあれば起こる。
上述した詳細な説明から分かるように、本発明のいくつかの態様を、分散セキュリティコンテンツ管理システムにおける認証に関して記載した。本発明のいくつかの態様は、種々の修正および代替の構造に影響を受けやすいが、その特定の例示の実施形態を図面において示し、上記において詳細に記載した。しかし、本発明の態様を、開示される特定の形式に限定する意図はなく、逆に、本明細書に記載される発明の種々の態様の趣旨および範囲内にある全ての修正、代替の構造、および等価物を対象とすることが意図されることを理解すべきである。

Claims (9)

  1. コンピュータ実行可能命令を有するコンピュータ記憶媒体であって、前記命令は実行されるときに、
    第1のネットワークに属するデバイスに関連するエンティティから、第2のネットワークからのリソースにアクセスする要求を送信するステップ(510)と、
    前記デバイス上でホストされるコンポーネントにおいて前記要求を受け取るステップ(515)であって、前記コンポーネントは、前記デバイスと前記第2のネットワークとの間のトラフィックを監視する、ステップと、
    前記第2のネットワークに前記要求を送る前に、前記コンポーネントを介して前記エンティティを認証するステップ(520)と、
    フォワードプロキシに前記要求を送るステップ(525)と
    を含む動作を実行することを特徴とするコンピュータ記憶媒体。
  2. 前記コンポーネントを介して、前記デバイスに関連するエンティティを認証するステップが、前記第2のネットワークに属する前記フォワードプロキシに関連するセキュリティコンポーネントと通信するステップであって、前記フォワードプロキシが、前記デバイスと前記第2のネットワークとの間に論理的に存在するステップ、を含むことを特徴とする請求項1に記載のコンピュータ記憶媒体。
  3. 前記フォワードプロキシが、少なくともHTTPプロキシとして動作し、かつ、前記コンポーネントを介して、前記デバイスに関連するエンティティを認証するステップが、クライアント証明書を使用するステップを含む、ことを特徴とする請求項2に記載のコンピュータ記憶媒体。
  4. 前記フォワードプロキシからクッキーを受け取るステップであって、前記クッキーは、前記セキュリティコンポーネントにより前記エンティティが先に認証されたことを示すステップ、をさらに含むことを特徴とする請求項2に記載のコンピュータ記憶媒体。
  5. 前記コンポーネントを介して前記クッキーを操作するステップをさらに含み、前記クッキーを操作するステップが、前記クッキーを記憶するステップと、前記第2のネットワークを介してアクセス可能なリソースを求める後に続く要求において、前記クッキーを送るステップと、を含むことを特徴とする請求項4に記載のコンピュータ記憶媒体。
  6. 前記エンティティは、前記デバイスおよび/またはユーザを含むことを特徴とする請求項1に記載のコンピュータ記憶媒体。
  7. コンピュータ環境における装置であって、
    第1のネットワークを介して利用可能なリソースへのアクセスを獲得しようとするエンティティの認証と併せて利用するための、認証プロトコルを判定するよう動作可能なプロトコルセレクタ(315)と、
    前記エンティティに関連するデバイスを介して、前記認証プロトコルを使用して前記エンティティを認証するよう動作可能なクライアントコンポーネント(320)と、
    第2の識別システムとの信頼関係を有する第1の識別システムから、前記エンティティの識別子を取得するよう動作可能なアイデンティティバリデータ(325)であって、前記第1の識別システムは前記第1のネットワーク上に存在し、前記第2の識別システムは第2のネットワーク上に存在する、アイデンティティバリデータと、
    前記エンティティが認証されるかどうかをフォワードプロキシに対して示すよう動作可能なプロキシインフォーマ(330)であって、前記フォワードプロキシは、1つまたは複数のネットワークに亘って分散される複数のフォワードプロキシのうちの1つであり、前記フォワードプロキシは、認証されるエンティティが前記1つまたは複数のネットワークを介して利用可能なリソースにアクセスすること、を許可するよう構成される、プロキシインフォーマと
    を備えることを特徴とする装置。
  8. 前記エンティティと、前記第1のネットワークを介して利用可能な、前記エンティティによりアクセスされるリソースと、を識別する情報を記憶するよう動作可能な履歴トラッカをさらに備えることを特徴とする請求項7に記載の装置。
  9. 前記エンティティと前記アクセスされるリソースとを識別する形式で、前記情報を提供するよう動作可能な報告コンポーネントをさらに備えることを特徴とする請求項8に記載の装置。
JP2013228511A 2008-05-27 2013-11-01 分散セキュアコンテンツ管理システムに対する認証 Active JP5714078B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/127,803 US8910255B2 (en) 2008-05-27 2008-05-27 Authentication for distributed secure content management system
US12/127,803 2008-05-27

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2011511664A Division JP5539335B2 (ja) 2008-05-27 2009-03-27 分散セキュアコンテンツ管理システムに対する認証

Publications (2)

Publication Number Publication Date
JP2014041652A true JP2014041652A (ja) 2014-03-06
JP5714078B2 JP5714078B2 (ja) 2015-05-07

Family

ID=41381539

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2011511664A Active JP5539335B2 (ja) 2008-05-27 2009-03-27 分散セキュアコンテンツ管理システムに対する認証
JP2013228511A Active JP5714078B2 (ja) 2008-05-27 2013-11-01 分散セキュアコンテンツ管理システムに対する認証

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2011511664A Active JP5539335B2 (ja) 2008-05-27 2009-03-27 分散セキュアコンテンツ管理システムに対する認証

Country Status (5)

Country Link
US (1) US8910255B2 (ja)
EP (1) EP2304639B1 (ja)
JP (2) JP5539335B2 (ja)
CN (1) CN102047262B (ja)
WO (1) WO2009151730A2 (ja)

Families Citing this family (87)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856782B2 (en) 2007-03-01 2014-10-07 George Mason Research Foundation, Inc. On-demand disposable virtual work system
US8701172B2 (en) * 2008-08-13 2014-04-15 Apple Inc. System and method for facilitating user authentication of web page content
US9098698B2 (en) 2008-09-12 2015-08-04 George Mason Research Foundation, Inc. Methods and apparatus for application isolation
US20100095117A1 (en) * 2008-10-15 2010-04-15 Shebanow Michael C Secure and positive authentication across a network
US8935773B2 (en) * 2009-04-09 2015-01-13 George Mason Research Foundation, Inc. Malware detector
US8839422B2 (en) 2009-06-30 2014-09-16 George Mason Research Foundation, Inc. Virtual browsing environment
US8489685B2 (en) 2009-07-17 2013-07-16 Aryaka Networks, Inc. Application acceleration as a service system and method
US9443078B2 (en) * 2010-04-20 2016-09-13 International Business Machines Corporation Secure access to a virtual machine
WO2013082437A1 (en) 2011-12-02 2013-06-06 Invincia, Inc. Methods and apparatus for control and detection of malicious content using a sandbox environment
US9787655B2 (en) 2011-12-09 2017-10-10 Airwatch Llc Controlling access to resources on a network
US8713646B2 (en) 2011-12-09 2014-04-29 Erich Stuntebeck Controlling access to resources on a network
US20130160144A1 (en) * 2011-12-14 2013-06-20 Microsoft Corporation Entity verification via third-party
US9124664B1 (en) 2011-12-27 2015-09-01 Google Inc. Distributing multi-platform content
US10257194B2 (en) 2012-02-14 2019-04-09 Airwatch Llc Distribution of variably secure resources in a networked environment
US9705813B2 (en) 2012-02-14 2017-07-11 Airwatch, Llc Controlling distribution of resources on a network
US10404615B2 (en) 2012-02-14 2019-09-03 Airwatch, Llc Controlling distribution of resources on a network
US9680763B2 (en) 2012-02-14 2017-06-13 Airwatch, Llc Controlling distribution of resources in a network
WO2013149257A1 (en) 2012-03-30 2013-10-03 Goldman, Sachs & Co. Secure mobile framework
US8949952B2 (en) * 2012-04-25 2015-02-03 Cisco Technology, Inc. Multi-stack subscriber sign on
US9317670B2 (en) * 2012-05-22 2016-04-19 Verizon Patent And Licensing Inc Security based on usage activity associated with user device
US8839375B2 (en) * 2012-05-25 2014-09-16 Microsoft Corporation Managing distributed operating system physical resources
US10044624B2 (en) * 2012-08-17 2018-08-07 F5 Networks, Inc. Network traffic management using stream-specific QoS bits
US20140082128A1 (en) * 2012-09-18 2014-03-20 Netapp, Inc. Dynamic detection and selection of file servers in a caching application or system
US9355036B2 (en) 2012-09-18 2016-05-31 Netapp, Inc. System and method for operating a system to cache a networked file system utilizing tiered storage and customizable eviction policies based on priority and tiers
US9247432B2 (en) 2012-10-19 2016-01-26 Airwatch Llc Systems and methods for controlling network access
US8826432B2 (en) 2012-12-06 2014-09-02 Airwatch, Llc Systems and methods for controlling email access
US8862868B2 (en) 2012-12-06 2014-10-14 Airwatch, Llc Systems and methods for controlling email access
US9021037B2 (en) 2012-12-06 2015-04-28 Airwatch Llc Systems and methods for controlling email access
US8978110B2 (en) 2012-12-06 2015-03-10 Airwatch Llc Systems and methods for controlling email access
US8832785B2 (en) 2012-12-06 2014-09-09 Airwatch, Llc Systems and methods for controlling email access
US9148285B2 (en) * 2013-01-21 2015-09-29 International Business Machines Corporation Controlling exposure of sensitive data and operation using process bound security tokens in cloud computing environment
US9473417B2 (en) 2013-03-14 2016-10-18 Airwatch Llc Controlling resources used by computing devices
US20140280955A1 (en) 2013-03-14 2014-09-18 Sky Socket, Llc Controlling Electronically Communicated Resources
US9203820B2 (en) 2013-03-15 2015-12-01 Airwatch Llc Application program as key for authorizing access to resources
US9378350B2 (en) 2013-03-15 2016-06-28 Airwatch Llc Facial capture managing access to resources by a device
US9148416B2 (en) 2013-03-15 2015-09-29 Airwatch Llc Controlling physical access to secure areas via client devices in a networked environment
US9819682B2 (en) 2013-03-15 2017-11-14 Airwatch Llc Certificate based profile confirmation
US9401915B2 (en) 2013-03-15 2016-07-26 Airwatch Llc Secondary device as key for authorizing access to resources
US10652242B2 (en) 2013-03-15 2020-05-12 Airwatch, Llc Incremental compliance remediation
US8997187B2 (en) 2013-03-15 2015-03-31 Airwatch Llc Delegating authorization to applications on a client device in a networked environment
US9275245B2 (en) 2013-03-15 2016-03-01 Airwatch Llc Data access sharing
US9787686B2 (en) 2013-04-12 2017-10-10 Airwatch Llc On-demand security policy activation
US10754966B2 (en) 2013-04-13 2020-08-25 Airwatch Llc Time-based functionality restrictions
US8914013B2 (en) 2013-04-25 2014-12-16 Airwatch Llc Device management macros
US9123031B2 (en) 2013-04-26 2015-09-01 Airwatch Llc Attendance tracking via device presence
US9426162B2 (en) 2013-05-02 2016-08-23 Airwatch Llc Location-based configuration policy toggling
US9246918B2 (en) 2013-05-10 2016-01-26 Airwatch Llc Secure application leveraging of web filter proxy services
US9058495B2 (en) 2013-05-16 2015-06-16 Airwatch Llc Rights management services integration with mobile device management
JPWO2014184942A1 (ja) * 2013-05-17 2017-02-23 株式会社日立製作所 セキュリティ管理システム、装置、および方法
US9584437B2 (en) 2013-06-02 2017-02-28 Airwatch Llc Resource watermarking and management
US9900261B2 (en) 2013-06-02 2018-02-20 Airwatch Llc Shared resource watermarking and management
US20140358703A1 (en) 2013-06-04 2014-12-04 SkySocket, LLC Item Delivery Optimization
US9270777B2 (en) 2013-06-06 2016-02-23 Airwatch Llc Social media and data sharing controls for data security purposes
US9535857B2 (en) 2013-06-25 2017-01-03 Airwatch Llc Autonomous device interaction
US8924608B2 (en) 2013-06-25 2014-12-30 Airwatch Llc Peripheral device management
US8775815B2 (en) 2013-07-03 2014-07-08 Sky Socket, Llc Enterprise-specific functionality watermarking and management
US8806217B2 (en) 2013-07-03 2014-08-12 Sky Socket, Llc Functionality watermarking and management
US8756426B2 (en) 2013-07-03 2014-06-17 Sky Socket, Llc Functionality watermarking and management
US9112749B2 (en) 2013-07-25 2015-08-18 Airwatch Llc Functionality management via application modification
US9226155B2 (en) 2013-07-25 2015-12-29 Airwatch Llc Data communications management
US9665723B2 (en) 2013-08-15 2017-05-30 Airwatch, Llc Watermarking detection and management
US9516005B2 (en) 2013-08-20 2016-12-06 Airwatch Llc Individual-specific content management
US20160041996A1 (en) 2014-08-11 2016-02-11 Netapp, Inc. System and method for developing and implementing a migration plan for migrating a file system
US9311331B2 (en) 2013-08-27 2016-04-12 Netapp, Inc. Detecting out-of-band (OOB) changes when replicating a source file system using an in-line system
US9311314B2 (en) 2013-08-27 2016-04-12 Netapp, Inc. System and method for migrating data from a source file system to a destination file system with use of attribute manipulation
US9300692B2 (en) 2013-08-27 2016-03-29 Netapp, Inc. System and method for implementing data migration while preserving security policies of a source filer
US9304997B2 (en) 2013-08-27 2016-04-05 Netapp, Inc. Asynchronously migrating a file system
US10860529B2 (en) 2014-08-11 2020-12-08 Netapp Inc. System and method for planning and configuring a file system migration
US10129242B2 (en) 2013-09-16 2018-11-13 Airwatch Llc Multi-persona devices and management
US9544306B2 (en) 2013-10-29 2017-01-10 Airwatch Llc Attempted security breach remediation
US9258301B2 (en) 2013-10-29 2016-02-09 Airwatch Llc Advanced authentication techniques
US9794227B2 (en) 2014-03-07 2017-10-17 Microsoft Technology Licensing, Llc Automatic detection of authentication methods by a gateway
US9736119B2 (en) * 2014-04-07 2017-08-15 Google Inc. Relay proxy providing secure connectivity in a controlled network environment
EP3172689A4 (en) 2014-07-22 2018-03-21 Hewlett-Packard Development Company, L.P. Security indicator access determination
US9584964B2 (en) 2014-12-22 2017-02-28 Airwatch Llc Enforcement of proximity based policies
US9413754B2 (en) 2014-12-23 2016-08-09 Airwatch Llc Authenticator device facilitating file security
US10803175B2 (en) 2015-03-06 2020-10-13 Microsoft Technology Licensing, Llc Device attestation through security hardened management agent
US9769661B2 (en) 2015-04-06 2017-09-19 Qualcomm, Incorporated Wireless network fast authentication / association using re-association object
US11032379B2 (en) * 2015-04-24 2021-06-08 Citrix Systems, Inc. Secure in-band service detection
US10805291B2 (en) * 2015-09-11 2020-10-13 Comcast Cable Communications, Llc Embedded authentication in a service provider network
US9916446B2 (en) 2016-04-14 2018-03-13 Airwatch Llc Anonymized application scanning for mobile devices
US9917862B2 (en) 2016-04-14 2018-03-13 Airwatch Llc Integrated application scanning and mobile enterprise computing management system
CN107784221B (zh) * 2016-08-30 2021-07-27 斑马智行网络(香港)有限公司 权限控制方法、服务提供方法、装置、系统及电子设备
CN113508379B (zh) * 2019-03-04 2024-02-20 日立数据管理有限公司 用于分布式系统中的多向信任形成的系统、方法和介质
DE102019208813A1 (de) * 2019-06-18 2020-12-24 Robert Bosch Gmbh Sicherheitsmodul für einen sicheren Betrieb einer Automatisierungssystembaugruppe
EP3772207B1 (en) 2019-08-01 2024-03-20 ISS IP Holding LLC Method and system for data transmission with significantly reduced latency losses
JP7142664B2 (ja) * 2020-06-23 2022-09-27 デジタルアーツ株式会社 情報処理装置、情報処理方法、及び情報処理プログラム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005011098A (ja) * 2003-06-19 2005-01-13 Fujitsu Ltd 代理認証プログラム、代理認証方法、および代理認証装置
JP2005184463A (ja) * 2003-12-19 2005-07-07 Toshiba Corp 通信装置および通信方法
JP2007164661A (ja) * 2005-12-16 2007-06-28 Fuji Xerox Co Ltd ユーザ認証プログラム、ユーザ認証装置、ユーザ認証方法
JP2007241717A (ja) * 2006-03-09 2007-09-20 Trans Cosmos Inc ポータルサーバシステム
JP2007299259A (ja) * 2006-05-01 2007-11-15 Nippon Telegr & Teleph Corp <Ntt> 認証情報管理システムおよびアプリケーションサーバ
US20080052771A1 (en) * 2004-06-29 2008-02-28 Frederic Delmond Method and System for Certifying a User Identity

Family Cites Families (99)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US6272538B1 (en) * 1996-07-30 2001-08-07 Micron Technology, Inc. Method and system for establishing a security perimeter in computer networks
US5684950A (en) * 1996-09-23 1997-11-04 Lockheed Martin Corporation Method and system for authenticating users to multiple computer servers via a single sign-on
US7287271B1 (en) * 1997-04-08 2007-10-23 Visto Corporation System and method for enabling secure access to services in a computer network
US6892226B1 (en) * 1997-03-27 2005-05-10 Intel Corporation System for delivery of dynamic content to a client device
US6119235A (en) * 1997-05-27 2000-09-12 Ukiah Software, Inc. Method and apparatus for quality of service management
US6574661B1 (en) * 1997-09-26 2003-06-03 Mci Communications Corporation Integrated proxy interface for web based telecommunication toll-free network management using a network manager for downloading a call routing tree to client
US5987610A (en) * 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
WO1999066384A2 (en) 1998-06-17 1999-12-23 Sun Microsystems, Inc. Method and apparatus for authenticated secure access to computer networks
US6330561B1 (en) * 1998-06-26 2001-12-11 At&T Corp. Method and apparatus for improving end to end performance of a data network
US6347375B1 (en) * 1998-07-08 2002-02-12 Ontrack Data International, Inc Apparatus and method for remote virus diagnosis and repair
US6158010A (en) * 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6182148B1 (en) * 1999-03-18 2001-01-30 Walid, Inc. Method and system for internationalizing domain names
US6757740B1 (en) * 1999-05-03 2004-06-29 Digital Envoy, Inc. Systems and methods for determining collecting and using geographic locations of internet users
US6401125B1 (en) * 1999-08-05 2002-06-04 Nextpage, Inc. System and method for maintaining state information between a web proxy server and its clients
US7877492B2 (en) * 1999-10-12 2011-01-25 Webmd Corporation System and method for delegating a user authentication process for a networked application to an authentication agent
US6789202B1 (en) * 1999-10-15 2004-09-07 Networks Associates Technology, Inc. Method and apparatus for providing a policy-driven intrusion detection system
US7954144B1 (en) * 2000-01-18 2011-05-31 Novell, Inc. Brokering state information and identity among user agents, origin servers, and proxies
US6954799B2 (en) * 2000-02-01 2005-10-11 Charles Schwab & Co., Inc. Method and apparatus for integrating distributed shared services system
US6535227B1 (en) * 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface
AU2001259075A1 (en) * 2000-04-17 2001-10-30 Circadence Corporation System and method for web serving
US8719562B2 (en) * 2002-10-25 2014-05-06 William M. Randle Secure service network and user gateway
US6721721B1 (en) * 2000-06-15 2004-04-13 International Business Machines Corporation Virus checking and reporting for computer database search results
US20030061506A1 (en) * 2001-04-05 2003-03-27 Geoffrey Cooper System and method for security policy
US7370364B2 (en) * 2000-07-31 2008-05-06 Ellacoya Networks, Inc. Managing content resources
US7178166B1 (en) * 2000-09-19 2007-02-13 Internet Security Systems, Inc. Vulnerability assessment and authentication of a computer by a local scanner
US6650890B1 (en) * 2000-09-29 2003-11-18 Postini, Inc. Value-added electronic messaging services and transparent implementation thereof using intermediate server
US20030051026A1 (en) * 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
US20070198432A1 (en) * 2001-01-19 2007-08-23 Pitroda Satyan G Transactional services
US20030005152A1 (en) * 2001-03-09 2003-01-02 Arif Diwan Content-request redirection method and system
US6871279B2 (en) * 2001-03-20 2005-03-22 Networks Associates Technology, Inc. Method and apparatus for securely and dynamically managing user roles in a distributed system
US6920558B2 (en) * 2001-03-20 2005-07-19 Networks Associates Technology, Inc. Method and apparatus for securely and dynamically modifying security policy configurations in a distributed system
US6986047B2 (en) 2001-05-10 2006-01-10 International Business Machines Corporation Method and apparatus for serving content from a semi-trusted server
US20040103315A1 (en) * 2001-06-07 2004-05-27 Geoffrey Cooper Assessment tool
US7383433B2 (en) * 2001-07-31 2008-06-03 Sun Microsystems, Inc. Trust spectrum for certificate distribution in distributed peer-to-peer networks
US8776230B1 (en) * 2001-10-02 2014-07-08 Mcafee, Inc. Master security policy server
US20040019656A1 (en) * 2001-10-04 2004-01-29 Smith Jeffrey C. System and method for monitoring global network activity
US20030093680A1 (en) * 2001-11-13 2003-05-15 International Business Machines Corporation Methods, apparatus and computer programs performing a mutual challenge-response authentication protocol using operating system capabilities
US7610390B2 (en) * 2001-12-04 2009-10-27 Sun Microsystems, Inc. Distributed network identity
US20030110392A1 (en) * 2001-12-06 2003-06-12 Aucsmith David W. Detecting intrusions
US7058970B2 (en) * 2002-02-27 2006-06-06 Intel Corporation On connect security scan and delivery by a network security authority
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
US7124438B2 (en) * 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US7587517B2 (en) * 2002-07-08 2009-09-08 Precache Inc. Packet routing via payload inspection for quality of service management
US7206934B2 (en) * 2002-09-26 2007-04-17 Sun Microsystems, Inc. Distributed indexing of identity information in a peer-to-peer network
US20040073629A1 (en) * 2002-10-10 2004-04-15 International Business Machines Corporation Method of accessing internet resources through a proxy with improved security
US20060031938A1 (en) * 2002-10-22 2006-02-09 Unho Choi Integrated emergency response system in information infrastructure and operating method therefor
US20040093419A1 (en) * 2002-10-23 2004-05-13 Weihl William E. Method and system for secure content delivery
US8364951B2 (en) * 2002-12-30 2013-01-29 General Instrument Corporation System for digital rights management using distributed provisioning and authentication
US7003117B2 (en) * 2003-02-05 2006-02-21 Voltage Security, Inc. Identity-based encryption system for secure data distribution
US20040177247A1 (en) * 2003-03-05 2004-09-09 Amir Peles Policy enforcement in dynamic networks
US20040193691A1 (en) * 2003-03-31 2004-09-30 Chang William I. System and method for providing an open eMail directory
US7640324B2 (en) * 2003-04-15 2009-12-29 Microsoft Corporation Small-scale secured computer network group without centralized management
JP2004328029A (ja) * 2003-04-21 2004-11-18 Nec Corp ネットワークアクセスシステム
US20040255167A1 (en) * 2003-04-28 2004-12-16 Knight James Michael Method and system for remote network security management
US7451488B2 (en) * 2003-04-29 2008-11-11 Securify, Inc. Policy-based vulnerability assessment
WO2004100487A1 (en) 2003-05-12 2004-11-18 Docomo Communications Laboratories Europe Gmbh Network security method and system
JP2004355073A (ja) 2003-05-27 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> ネットワーク認証とシングルサインオンの一括認証方法及びシステム
US8065725B2 (en) * 2003-05-30 2011-11-22 Yuliang Zheng Systems and methods for enhanced network security
US7496658B2 (en) * 2003-07-08 2009-02-24 Hewlett-Packard Development Company, L.P. Systems and methods for testing network services
JP4039632B2 (ja) 2003-08-14 2008-01-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 認証システム、サーバおよび認証方法並びにプログラム
US7603547B2 (en) * 2003-10-10 2009-10-13 Bea Systems, Inc. Security control module
US7346923B2 (en) * 2003-11-21 2008-03-18 International Business Machines Corporation Federated identity management within a distributed portal server
US8005112B2 (en) * 2003-12-19 2011-08-23 Teledata Networks, Ltd. Service connection method and architecture
EP1719316B1 (en) * 2003-12-29 2012-05-23 Telefonaktiebolaget LM Ericsson (publ) Means and method for single sign-on access to a service network through an access network
US20050160161A1 (en) * 2003-12-29 2005-07-21 Nokia, Inc. System and method for managing a proxy request over a secure network using inherited security attributes
US8214481B2 (en) * 2004-02-10 2012-07-03 Seagate Technology Llc Firewall permitting access to network based on accessing party identity
US7761923B2 (en) * 2004-03-01 2010-07-20 Invensys Systems, Inc. Process control methods and apparatus for intrusion detection, protection and network hardening
US7760882B2 (en) * 2004-06-28 2010-07-20 Japan Communications, Inc. Systems and methods for mutual authentication of network nodes
CN101014958A (zh) * 2004-07-09 2007-08-08 松下电器产业株式会社 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法
US7363366B2 (en) * 2004-07-13 2008-04-22 Teneros Inc. Network traffic routing
SG119237A1 (en) * 2004-07-30 2006-02-28 E Cop Net Pte Ltd An intrusion protection system and method
US7562382B2 (en) * 2004-12-16 2009-07-14 International Business Machines Corporation Specializing support for a federation relationship
US8887233B2 (en) * 2005-04-08 2014-11-11 Netapp, Inc. Cookie-based acceleration of an authentication protocol
US20070033641A1 (en) * 2005-07-07 2007-02-08 Acenet Technology Inc. Distributed Network Security System
KR20070032885A (ko) * 2005-09-20 2007-03-23 엘지전자 주식회사 유비쿼터스 망의 보안 시스템 및 방법
US8438643B2 (en) * 2005-09-22 2013-05-07 Alcatel Lucent Information system service-level security risk analysis
US8286002B2 (en) * 2005-12-02 2012-10-09 Alcatel Lucent Method and apparatus for providing secure remote access to enterprise networks
US20070150934A1 (en) * 2005-12-22 2007-06-28 Nortel Networks Ltd. Dynamic Network Identity and Policy management
US7533798B2 (en) * 2006-02-23 2009-05-19 Rockwell Automation Technologies, Inc. Data acquisition and processing system for risk assessment
US20070223462A1 (en) * 2006-03-27 2007-09-27 Steven Hite Enhanced service delivery platform that provides a common framework for use by IMS and Web applications in delivering services
US7552467B2 (en) * 2006-04-24 2009-06-23 Jeffrey Dean Lindsay Security systems for protecting an asset
CN101064604B (zh) 2006-04-29 2012-04-18 西门子公司 远程访问方法、系统及设备
US20070261109A1 (en) * 2006-05-04 2007-11-08 Martin Renaud Authentication system, such as an authentication system for children and teenagers
US8959596B2 (en) * 2006-06-15 2015-02-17 Microsoft Technology Licensing, Llc One-time password validation in a multi-entity environment
JP2008003745A (ja) 2006-06-21 2008-01-10 Sharp Corp 認証システムおよび認証方法
US7934253B2 (en) * 2006-07-20 2011-04-26 Trustwave Holdings, Inc. System and method of securing web applications across an enterprise
US20080028445A1 (en) * 2006-07-31 2008-01-31 Fortinet, Inc. Use of authentication information to make routing decisions
US20080127333A1 (en) * 2006-08-04 2008-05-29 Gabriel Raffi T Verification Authentication System and Method
JP4607082B2 (ja) 2006-09-27 2011-01-05 株式会社エヌ・ティ・ティ・データ 情報処理装置、管理方法、及びコンピュータプログラム
US8085936B2 (en) * 2006-11-27 2011-12-27 Echoworx Corporation Method and system for content management in a secure communication system
US20080159313A1 (en) * 2006-12-28 2008-07-03 Nokia Corporation Interworking policy and charging control and network address translator
US8086216B2 (en) * 2007-01-31 2011-12-27 Alcatel Lucent Mobility aware policy and charging control in a wireless communication network
US8533327B2 (en) * 2007-04-04 2013-09-10 Zte Corporation System and method of providing services via a peer-to-peer-based next generation network
US8209214B2 (en) * 2007-06-26 2012-06-26 Richrelevance, Inc. System and method for providing targeted content
WO2009029583A1 (en) * 2007-08-24 2009-03-05 Starent Networks, Corp Providing virtual services with an enterprise access gateway
US20090178131A1 (en) * 2008-01-08 2009-07-09 Microsoft Corporation Globally distributed infrastructure for secure content management
US7899849B2 (en) 2008-05-28 2011-03-01 Zscaler, Inc. Distributed security provisioning

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005011098A (ja) * 2003-06-19 2005-01-13 Fujitsu Ltd 代理認証プログラム、代理認証方法、および代理認証装置
JP2005184463A (ja) * 2003-12-19 2005-07-07 Toshiba Corp 通信装置および通信方法
US20080052771A1 (en) * 2004-06-29 2008-02-28 Frederic Delmond Method and System for Certifying a User Identity
JP2007164661A (ja) * 2005-12-16 2007-06-28 Fuji Xerox Co Ltd ユーザ認証プログラム、ユーザ認証装置、ユーザ認証方法
JP2007241717A (ja) * 2006-03-09 2007-09-20 Trans Cosmos Inc ポータルサーバシステム
JP2007299259A (ja) * 2006-05-01 2007-11-15 Nippon Telegr & Teleph Corp <Ntt> 認証情報管理システムおよびアプリケーションサーバ

Also Published As

Publication number Publication date
JP2011522326A (ja) 2011-07-28
EP2304639B1 (en) 2020-08-19
EP2304639A2 (en) 2011-04-06
JP5714078B2 (ja) 2015-05-07
WO2009151730A3 (en) 2010-02-04
US8910255B2 (en) 2014-12-09
EP2304639A4 (en) 2014-12-10
WO2009151730A2 (en) 2009-12-17
US20090300739A1 (en) 2009-12-03
JP5539335B2 (ja) 2014-07-02
CN102047262B (zh) 2015-07-22
CN102047262A (zh) 2011-05-04

Similar Documents

Publication Publication Date Title
JP5714078B2 (ja) 分散セキュアコンテンツ管理システムに対する認証
US11190493B2 (en) Concealing internal applications that are accessed over a network
Ertaul et al. Security Challenges in Cloud Computing.
US12101416B2 (en) Accessing hosts in a computer network
US20160292694A1 (en) Method for authentication and assuring compliance of devices accessing external services
JP2020502616A (ja) フェデレーテッド・シングル・サインオン(sso)のための非侵入型セキュリティの実施
US8769128B2 (en) Method for extranet security
CN107637044B (zh) 安全带内服务检测
US20070143408A1 (en) Enterprise to enterprise instant messaging
US10666655B2 (en) Securing shared components
US10764263B2 (en) Authentication of users in a computer network
JP2009538478A5 (ja)
WO2014185990A1 (en) Methods for authentication with denial-of-service attack protection
KR20050026624A (ko) 정책기반 네트워크를 이용한 피씨의 통합 보안시스템 및방법
EP3328025B1 (en) Accessing hosts in a hybrid computer network
JP5864598B2 (ja) ユーザにサービスアクセスを提供する方法およびシステム
WO2008155428A1 (en) Firewall control system
US11012432B2 (en) Method for distributed application segmentation through authorization
Koch et al. Securing HTTP/3 Web Architecture in the Cloud
Kuzminykh et al. Mechanisms of ensuring security in Keystone service
US20230308433A1 (en) Early termination of secure handshakes

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20131120

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20131121

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150123

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150209

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150310

R150 Certificate of patent or registration of utility model

Ref document number: 5714078

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250