JP2015053674A - パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント - Google Patents

パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント Download PDF

Info

Publication number
JP2015053674A
JP2015053674A JP2014129471A JP2014129471A JP2015053674A JP 2015053674 A JP2015053674 A JP 2015053674A JP 2014129471 A JP2014129471 A JP 2014129471A JP 2014129471 A JP2014129471 A JP 2014129471A JP 2015053674 A JP2015053674 A JP 2015053674A
Authority
JP
Japan
Prior art keywords
network
access point
access
personal device
white list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014129471A
Other languages
English (en)
Other versions
JP6337642B2 (ja
Inventor
ラジャクル モディヤンセラーギ フヌクンブレ ミスリ
Rajaguru Mudiyanselage Mythri Hunukumbure
ラジャクル モディヤンセラーギ フヌクンブレ ミスリ
スネリング デイビット
David Snelling
スネリング デイビット
メンデイ ロジャー
Menday Roger
メンデイ ロジャー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JP2015053674A publication Critical patent/JP2015053674A/ja
Application granted granted Critical
Publication of JP6337642B2 publication Critical patent/JP6337642B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/20Selecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】1つ以上の認可されたアクセスポイントを介してネットワークにアクセスすることのみが可能なパーソナルデバイスを使用してネットワークに安全にアクセスする方法を提供する。【解決手段】アクセスポイントを介してネットワークとパーソナルデバイスと間の接続を確立するS10ことと、ネットワークにおいて、アクセスポイントが、ネットワークを使用するための認可されたアクセスポイントのホワイトリスト上にあるかをチェックするS20ことと、アクセスポイントがホワイトリスト上にあれば、パーソナルデバイスがアクセスポイントを介してネットワークへ安全にアクセスすることを可能にするS30ことと、アクセスポイントがホワイトリスト上になければ、パーソナルデバイスがネットワークに安全アクセスすることを可能にしないS60ことと、を含む。【選択図】図2

Description

本発明はネットワークセキュリティに関し、より詳細には、無線接続のためのアクセスポイントを使用するネットワークのセキュリティに関する。ここにおいて、アクセスポイントとは、ユーザのデバイスまたは端末のようなデバイスに無線のリンクと、ネットワークへの有線(または潜在的には無線)のリンクを提供でき、そのネットワークへのデバイスのアクセスを可能にするネットワークプロバイダのことである。アクセスポイントまたは無線アクセスポイント(Wireless Access Point、WAP)はWi−Fi(Wireless Fidelity)、IEEE802.11、または関連する標準規格を使用できる。アクセスポイントは通常は、(有線ネットワークを介して)スタンドアロンのデバイスとしてルータに接続されるが、ルータ自体に統合された構成要素としてもよい。
デバイスは任意のラップトップ、PC、携帯電話、携帯端末デバイスのような無線接続を可能にするデバイスの任意の形式であってよい。通常は、デバイスは個人が所有し個人に特有のものである。
一実施形態は、オフィスにおいてBYOD(Bring Your Own Device(パーソナルデバイスのオフィスへの持ち込み))方針を実現するときの企業(会社/店または事業所)のネットワークに対する潜在的なセキュリティリスクに特に関連している。BYOD方針は、従業員が自身で選択した如何なるパーソナルデバイスをもオフィス内または他の作業環境内に持ち込むことを可能にし、従業員がそのパーソナルデバイスをオフィスの作業に使用することを可能にする。これは従業員の生産性を改善でき、企業にとってのIT関連のコストを下げることができる一方で、職務上のデータの安全な取扱いに関連する一連の問題をもたらす可能性もある。
BYODは、企業の世界に広まりつつある新しいトレンドである。このトレンドは、現在市場で入手可能な高性能デバイス(異なるオペレーティングシステム上で作動するデバイス)の非常に大きな数により拍車が掛けられている。従業員はそのような高性能デバイスを自身の個人使用のために所有し、同じデバイスが自分たちのオフィスの作業のいくらかまたはすべてに使用できることを要求する。これは、従業員が持ち運ばなければならないデバイスの数を削減し、従業員が慣れ親しんだデバイスとオペレーティングシステム(OS)で作業することも可能にする。
企業のITサービスが、従業員により好まれているすべてのタイプのデバイスを購入し、従業員のOSをサポートし、3G/LTEまたは異なるオペレータを通して他の無線接続をサポートすることができないのは明白である。この選択をした場合の相当な複雑性に対して、BYODは遥かに単純で魅力的なものである。従業員は自身のデバイスを管理する主要な責任を持ち、企業は、例えば、職務上の通信に対するコストを支払う。従業員が自身の役職を退く又は変更したとしても、デバイスと(電話)番号は従業員により依然として保持される。BYODは従業員の生産性を向上することが示され、また作業条件に対する従業員の満足度も増大することを支援することも示された。
そのような利点が、BYODを多数の企業が積極的に受け入れるトレンドにした。しかしBYODに関連するセキュリティリスクは、多数の企業(特に、高度機密データを取り扱う企業)に非常に慎重なアプローチを取ることを強要する。これらの企業は、BYODの利点を相殺するほどの、従来のITセキュリティ機構を改善するための巨大なコストを考えてしまうかもしれない。
BYODセキュリティについての重要な問題の1つは、デバイスの紛失、盗難、改竄の場合に、どのようにして企業のデータセキュリティを確実にするかということである。その性質上、BYODデバイスは、仕事から離れた社会的イベント、集まりにおいて広く使用され、デバイスの紛失/盗難は普通に起こり得る。重要な問題は、BYODの作業環境を、社会生活およびレジャー環境からどのように分離するかである。通常は、デバイスがサーバ/ネットワークにアクセス(例えば、VPNを通して)するためのITセキュリティは、2点セキュリティチェックを含む。サーバはデバイスの認証をチェックし、またパスワードを通して、ユーザの認証もチェックする。紛失、盗難、改竄されたデバイスに関しての問題は、パスワードを知ることができれば(これは不可能なことではない)、侵入者は、従業員の認証情報を使用して簡単にネットワークへのアクセスを得ることができる。
3点セキュリティチェックはこの状況を改善できる。上記のユーザパスワードとデバイスの2点チェックに加えて、ネットワークは、BYODデバイスにバイオメトリックチェック(指紋、虹彩認識、または他の物理的IDのようなもの)をアクセスが認められる前に行うように要求できる。これは有効なセキュリティ対策であるが、今日の高性能デバイスでは、これらのバイオメトリックチェックを含むものはない(または非常に少ない)。将来、そのような高性能デバイスが市場に出回るようになっても、これらのデバイスは標準の高性能デバイスよりも相当に高価であり、このため、従業員がBYODの選択をすることは、非常に少なくなるであろう。
そのため、デバイスまたはネットワークの複雑性またはコストに重大な影響を与えないで、パーソナルデバイスによるネットワークアクセスのセキュリティを増大する方法を提供することは望ましい。
第1態様の実施形態によれば、1つ以上の認可されたアクセスポイントを介してネットワークにアクセスすることのみが可能なパーソナルデバイスを使用して、ネットワークに安全にアクセスする方法が提供され、方法は、アクセスポイントを介してネットワークとパーソナルデバイスと間の接続を確立することと、ネットワークにおいてアクセスポイントが、ネットワークを使用するための認可されたアクセスポイントのホワイトリスト上にあるかをチェックすることと、アクセスポイントがホワイトリスト上にあれば、パーソナルデバイスがアクセスポイントを介してネットワークに安全にアクセスすることを可能にすることと、アクセスポイントがホワイトリスト上になければ、パーソナルデバイスがネットワークに安全にアクセスすることを可能にしないことと、を含む。
実施形態の背後にある原理は、ネットワークへのアクセスが、ユーザとユーザのパーソナルデバイスが利用できるアクセスポイントを制限することにより制限されるということである。
この実施形態は、安全に守られている企業のサーバ/ネットワークにアクセスポイント(Access Point、AP)の認証を設けることに基づいている。サーバ/ネットワークは、これらの認証されたアクセスポイント経由でのデバイスのみに接続を可能にする。これらの認証されたアクセスポイントは、オフィスネットワークにあってもよく、または従業員の家庭環境にあってもよい。出張の多い従業員には、企業は認証された携帯アクセスポイントも(WiFiルータまたはMiFiさえも)また提供することができる。基本的な考えは、このAPの認証により、企業は、BYODデバイスがオフィスのネットワークにアクセスできる場所を制限できるということである。これは、社会的な相互交流の状況において大部分が起こる、デバイスの紛失または盗難があっても、ネットワークへの侵入のリスクを大幅に削減する。考慮されるAPのサービスエリアは、好ましくは、このソリューションを実現可能にするように小さく且つ制御可能であるとよい。このため、APは、フェムトセルのレベル、またはWiFi AP、またはMiFiであってよい(MiFiは「My Wi−Fi」の略。MiFiデバイスは、携帯電話の通信事業者に接続でき、10個までのデバイスに対してインターネットアクセスを提供できる)。他の代替は、SoftAP(Software-Enabled APの略で、デバイス自体に組み込むことが可能)である。もちろん、ポータブルなAPは、位置に依存するセキュリティの利点は失うが、パーソナルデバイスの所有者の使用の柔軟性を増す。
技術的状況から、実施形態は、サーバ/ネットワークにおいてホワイトリストに登録された認証されたAPを使用することを含む。BYODデバイスがネットワークへのアクセスを要求するたびに、デバイスは、デバイスが接続するAPがこのホワイトリストにあるかを検証されるべきである。通常のアクセス方法(VPNを含む)は、ネットワーク(サーバ)とデバイスと間のハンドシェイクプロトコルを含むことができ、このプロトコルでは、デバイスの認証情報がチェックされ、ユーザはアクセスを得るためにパスワードを入力しなければならないこともよくある。実施形態が提案するものは、このハンドシェイクプロトコルに加えて、強化された保護を提供するためにAPを認証するプロトコルである。このため、方法は、安全なネットワークアクセスが認められる前に、APホワイトリストのチェック以外にも、少なくともパーソナルデバイスのチェックとユーザのチェックを含むセキュリティチェックのような追加的なチェックを更に含むことができる。
ホワイトリストは、任意の適切な方法で格納でき、例えば、車上、オンライン、セキュアチップ上、または他のセキュアメモリ内に格納できる。ホワイトリストは任意の適切な形状を取ることができ、好ましくは、各認可されたアクセスポイントに対するアクセスポイントの識別を含む。更に、登録事項の幾つか、またはそのすべてに対してIPアドレスのような情報を含むことができる。1つの好適な実施形態において、ホワイトリストは、認可されたアクセスポイントの幾つか、またはそのすべてに対して、認可の具体的な時間および/または日付を含み、ネットワークへの安全なアクセスは、ホワイトリストのチェックが、それらの認可されたアクセスポイントに対する認可の具体的な時間および/または日付の間に行われた場合のみ認められる。例えば、オフィス内のAPに対しては、オフィス時間以外はアクセスを遮断できる。失敗したハンドシェイクまたは間違ったユーザパスワードのようなこれらのおよび他の状況においては、アクセスポイントは認証され得るが、安全なアクセスは許可されない。効果の面では、APの認証はあってもよいが、認可は必ずしも常に行われるとは限らない。
アクセスポイントの識別自体は、任意の適切な形状を有することができる。例えば、識別はアクセスポイントのハードウェアを直接識別できる。このため、幾つかの実施形態において、アクセスポイントの識別は、アクセスポイントのハードウェアID、好ましくは、アクセスポイントのマイクロプロセッサのアクセスポイントのハードウェアIDを含む。
代替的または追加的に、アクセスポイントの識別は、構成ID、好ましくは、秘密鍵により暗号化され、公開鍵により抽出される暗号化フィールドを含むことができる。
ホワイトリストに対してアクセスポイントのIDをチェックする適切な方法は、パーソナルデバイスまたはネットワークの何れかがアクセスポイントのIDを要求することを含むことができる。
1つの好適な実施形態において、アクセスポイントがホワイトリスト上にあるかをチェックすることは、パーソナルデバイスがアクセスポイントからアクセスポイントの識別を要求することと、アクセスポイントがパーソナルデバイスに識別を提供することと、パーソナルデバイスがアクセスポイントの識別を、ホワイトリストとの比較のためにネットワークに送信することと、を含む。ホワイトリストとの比較が成功し、更なるセキュリティチェックが要求されない場合は(例えば、デバイスとユーザのチェックが既に行われている場合)は、最大限のVPNセッションのような安全なネットワークアクセスを認めることができる。代替的に、オフィス内のAPに対するタイミングチェックまたは追加のセキュリティクロスチェックのような更なるセキュリティチェックがあってもよい。
一実施形態において、パーソナルデバイスがアクセスポイントの識別をネットワークに送るステップは随意である。デバイスは、ネットワークがアクセスポイントをアドレス指定することを可能にするアクセスポイント参照情報を送ることができ、参照情報はアクセスポイントの識別を含んでも含まなくてもよい。アクセスポイントの識別が提供される(ホワイトリストとの初期の比較が可能となる)されないに拘わらず、ネットワークは、アクセスポイントに直接アクセスポイントの認証を要求し、このアクセスポイントの認証は、ネットワークアクセスが認められる前に、ホワイトリストのチェックのためにネットワークへ送信される。このようにして、情報はパーソナルデバイスとは独立して提供される(そして随意にパーソナルデバイスから供給されたIDを確証するために使用される)。これは、デバイスのセキュリティが危険に晒されているときは有用であり得る。
一旦安全なネットワークアクセスが認められた後でも、厳格なセキュリティ体制を適用し続けることは有益である可能性がある。これを行うための1つの方法は、デバイスがネットワークへのアクセスを停止しているときは如何なるデータも消去することである。そのようなデータは、例えばアプリケーションレベルで、時間情報または任意の他の適切な方法で識別できる。このため、1つの利点のある展開によれば、パーソナルデバイスが一旦ネットワークにアクセスポイントを介して安全にアクセスしていて、もはやパーソナルデバイスがネットワークに安全にこれ以上アクセスしない場合は、ネットワークからダウンロードされたデータは、パーソナルデバイスのメモリから消去される。
別のセキュリティ強化機能は、移動体通信システムにおけるハンドオーバーに関する。好ましくは、パーソナルデバイスがアクセスポイントと移動体通信システムを介してネットワークにアクセスしている間は、パーソナルデバイスは、現在のセルの外側へのハンドオーバーが阻止される。一実施形態において、アクセスポイントは、如何なる新しいアクセスポイントについてのアクセスポイントの認証を、ホワイトリストに対する比較のためにネットワークに供給する。
任意の適切なアクセスポイントを使用できる。例えば、アクセスポイントは、携帯ルータ、移動体通信システムへのポータブルなインターネット接続、またはフェムトセル用の携帯基地局のような携帯アクセスポイントであってよい。
従って、パーソナルデバイスとアクセスポイントと間の接続経路は無線であってよく、一方、アクセスポイントとネットワークと間の接続経路は有線、または場合によっては無線であってよい。例えば、APはホストネットワークに無線で接続してエクステンダ(機能拡張機器)として作動できる。
ホワイトリストを設定するために、APを登録する工程を含めることができる。このため、方法は、少なくとも1つのアクセスポイントがネットワークに登録され、認可されたアクセスポイントのリストに追加される初期設定段階を含むことができる。この工程は、会社のオフィスで、またはデバイスを使用して行われる「アクセス会社リソース(Access Corporate Resources)」動作としての既存のVPNセッションのような既存の安全なアクセス機構のもとで行うことができる。
一例において、デバイスはアクセスポイントのIDを要求でき、受け取った後、そのアクセスポイントのIDを、ホワイトリストにおける登録のためにネットワークに提供できる。
安全なネットワークアクセスの種々の方法が当業者には知られており、実施形態に適用可能である。1つの方法は、ウェブメールにアクセスするためにしばしば使用されるような、シンプルなHTTPS(Hypertext Transfer Protocol Secure(ハイパーテキスト転送プロトコルセキュア))ブラウザ接続である。別の方法は、完全なVirtual Client Solution(仮想クライアントソリューション)である。おそらくもっとも普通の方法は、VPN(Virtual Private Network(仮想プライベートネットワーク))アクセスであろう。これらのプロトコルの詳細は実施形態の範囲外である。これらのおよび他のプロトコルにおいて、基礎となるソフトウェアは、ここで詳述したアクセスポイントの認証と認可を含むように拡長可能である。
幾つかの実施形態によれば、ネットワークとパーソナルデバイスと間の接続はVPN接続であり、パーソナルデバイスは、アクセスポイントがホワイトリスト上にあれば(および何れの更なるセキュリティチェックも満足されれば)、最大限のVPN接続またはセッションを使用してネットワークにアクセスする。
パーソナルデバイスの態様の実施形態によれば、1つ以上の認可されたアクセスポイントを介してのみネットワークにアクセスするように配置されているパーソナルデバイスが提供され、パーソナルデバイスはコントローラと、送信機と、受信機と、を含み、コントローラは、アクセスポイントを介してネットワークに接続し、アクセスポイントとネットワークと通信して、アクセスポイントが、ネットワークを使用するための認可されたアクセスポイントのホワイトリスト上にあるかをチェックするように送信機と受信機を制御し、アクセスポイントがホワイトリスト上にあれば、パーソナルデバイスはアクセスポイントを介してネットワークへのアクセスが可能とされ、アクセスポイントがホワイトリスト上になければ、パーソナルデバイスはネットワークへのアクセスが可能とされない。
従って、パーソナルデバイスは認可されたアクセスポイントの1つを使用しない限りネットワークにアクセスできない。好ましくは、パーソナルデバイスは、上述のBYODである。
ネットワークサーバの態様の実施形態によれば、パーソナルデバイスからのネットワークへの安全なアクセスを、認可されたアクセスポイントを介してのみ可能にするように配置されているネットワークサーバが提供され、ネットワークサーバはプロセッサと、メモリと、ネットワークの外の外部リンクと、を含み、メモリは、ネットワークを使用するための認可されたアクセスポイントのホワイトリストを格納するように配置されており、プロセッサは、外部リンクと、パーソナルデバイス用のアクセスポイントを介してパーソナルデバイスへの外部接続を確立するように配置されており、プロセッサは、アクセスポイントがホワイトリスト上にあるかをチェックし、アクセスポイントがホワイトリスト上にあれば、パーソナルデバイスがアクセスポイントを介してネットワークにアクセスすることを可能にし、アクセスポイントがホワイトリスト上になければ、パーソナルデバイスがネットワークにアクセスすることを可能にしないように配置されている。
認可されたアクセスポイントを介してのパーソナルデバイスのアクセスを可能にするのみの結果としてネットワークのセキュリティは増大する。
アクセスポイントの形態の実施形態によれば、パーソナルデバイスがネットワークに安全にアクセスすることを可能にするように配置されている認可されたアクセスポイントが提供され、アクセスポイントは、アクセスポイントの識別と、プロセッサと、ネットワークとパーソナルデバイスへの接続のためのアクセス手段と、含み、プロセッサは、ネットワークとパーソナルデバイスと間の接続を、アクセス手段を介して確立するように配置されており、プロセッサは要求されると、アクセスポイントがネットワークを使用するための認可されたアクセスポイントのホワイトリスト上にあるかをネットワークでチェックするために、アクセスポイントの識別を送信するように配置されており、アクセスポイントは、アクセスポイントがホワイトリスト上にあればパーソナルデバイスとネットワークと間の安全な接続を可能にするように配置されており、一方、アクセスポイントがホワイトリスト上になければ、アクセスポイントは、ネットワークへの安全なアクセスを提供できない。
これらの個々のネットワーク構成要素(デバイス、AP、およびサーバ)のそれぞれに対して別の方法の態様もまた提供され、方法のステップは装置の態様に対する記述と同様に、ネットワーク構成要素により行われる。
VPNの態様の実施形態によれば、パーソナルデバイスと、アクセスポイントと、プライベートネットワークサーバと、を含むVirtual Private Network(仮想プライベートネットワーク) VPNが提供され、パーソナルデバイスとネットワークサーバは、アクセスポイントを介して最大限のVPNセッションの下で通信するように配置されており、ネットワークサーバは、ネットワークを使用するための認可されたアクセスポイントのホワイトリストを含み、アクセスポイントはホワイトリスト上にある。
VPNの態様の別の実施形態によれば、前述したパーソナルデバイスと、前述したアクセスポイントと、前述したネットワークサーバと、をリンクするVPNが提供される。
コンピュータプログラムの態様によれば、パーソナルデバイス、アクセスポイントおよび/またはネットワークサーバのプロセッサ(またはコントローラ)上で実行されると、前述した方法の何れかにおいて定義された方法を実行するコンピュータプログラムを提供できる。更なるコンピュータプログラムの態様は、パーソナルデバイスまたはアクセスポイントまたはネットワークサーバのプロセッサ(またはコントローラ)上で実行されると、パーソナルデバイスまたはアクセスポイントまたはネットワークサーバを、基地局の態様の何れかで定義されるように機能をさせるコンピュータプログラムを提供できる。
異なる態様の何れの特徴および副次的特徴を自由に組み合わせることができる。例えば、デバイス、アクセスポイント、ネットワークサーバ、またはVPNの好適な実施形態を、方法の態様の1つ以上の好適な特徴に対応する機能性を組み込むように構成できる。
実施形態は、コンピュータハードウェア、ファームウェア、ソフトウェア、またはそれらの組み合わせにおいて実現可能である。実施形態はコンピュータプログラムとして、またはコンピュータプログラム製品として、つまり、ある情報キャリア、例えば、機械読取り可能記憶デバイス、または1つ以上のハードウェアモジュールによる実行のため、その動作を制御するために伝達された信号において、具体的に具現化されたコンピュータプログラムとして実現可能である。
コンピュータプログラムは、1つのコンピュータプログラム部分または2つ以上のコンピュータプログラムの形状であることが可能で、機械語プログラム化された、または機械言語に翻訳処理された言語を含むプログラミング言語の如何なる形状でも記述することが可能で、スタンドアロンプログラムとしてまたはモジュール、コンポーネント、サブルーチン、またはデータ処理環境においての使用に適切な他のユニットを含む如何なる形状においても展開可能である。コンピュータプログラムは、1つのサイトにおいて1つのモジュールまたは複数のモジュール上で実行されるように展開可能であり、または複数のサイトを跨いで配布し、通信ネットワークにより相互接続することも可能である。
実施形態の方法のステップは、1つ以上のプログラム可能プロセッサがコンピュータプログラムを実行して、実施形態の機能を、入力データを処理して、出力を生成することにより実行することで行うことができる。各プロセッサは、1つ以上のコアを有することができる。
コンピュータプログラムの実行のために適切なプロセッサ/コントローラには、例として、汎用マイクロプロセッサおよび特殊用途マイクロプロセッサの双方と、デジタルまたは生物学的コンピュータ(バイオコンピュータ)の如何なる種類の如何なる1つ以上のプロセッサが含まれる。一般的に、プロセッサは読取り専用メモリまたはランダムアクセスメモリまたはその両者から指令とデータを受け取る。
実施形態は、特別な実施形態の観点から記述されている。他の実施形態は、特許請求の範囲内である。例えば、実施形態のステップは、異なる順序で行うことができ、それによっても所望の結果を達成できる。
好適な実施形態に係る装置は、ある機能を実行するように構成、または操作可能に、またはある機能を実行するように配置されているとして記述されている。この構成または配置は、ハードウェアまたはミドルウェアまたは任意の他の適切なシステムの使用に基づくことができる。好適な実施形態においては、構成または配置はソフトウェアによる。
実施形態はここで、図面に示されているように、具体的な、しかし非制限的な実施形態を参照して記述される。
パーソナルデバイスと、アクセスポイントと、ネットワークと間のリンクを示す模式図である。 発明の一般的な実施形態を例示するフローチャートである。 ホワイトリスト登録事項の設定フェーズを示す信号伝達図である。 会社のネットワークへの成功した接続を示す信号伝達図である。 会社のネットワークへの代替の成功した接続を示す信号伝達図である。 会社のネットワークへの失敗した接続を示す信号伝達図である。 パーソナルデバイスの模式図である。 アクセスポイントの模式図である。 ネットワークサーバの模式図である。
図1は、実施形態における構成要素を例示している。パーソナルデバイスまたはBYOD10はアクセスポイントまたはAP20に無線でリンクされ、AP20はBYODとネットワーク(のネットワークサーバ30のみが示されている)と間の接続を提供する。実施形態において、BYODのネットワークへの接続を可能にするためには、アクセスポイントはネットワークホワイトリスト(ネットワーク上の何れの場所にも格納できるが、ネットワークサーバが利用可能である)上になければならない。
図2は、実施形態の全体的なフローチャートである。ステップS10においてAPを介してネットワークとパーソナルデバイスと間で接続が確立される。この接続は、VPNセッションのようなネットワークのコンテンツへの安全なリンクではまだないが、ネットワークがステップS20で、APが認可されたAPのリスト上にあるかをチェックすることを可能にする。チェックの結果が(YES)であれば、ステップS30で、このAPを介してアクセス手順を継続できる。アクセスをこの段階で直接認めることもできる。代替として、ステップ40において更なるセキュリティチェックがあってもよい(これらのチェックは、手順のこの段階で使用されない場合は、前もって実行されていてもよい)。すべての更なるチェックもまた成功すると、ステップS50において安全なネットワークアクセスが開始する。
アクセスポイントがホワイトリスト上になければ(NO)、このAPを介してのネットワークアクセスは許可されず、そのため、アクセスはステップS60で拒絶される。
図3〜6は、より詳細な実施形態を示しており、BYODクライアントから会社のサーバへの安全なアクセスがVPNを介して認められる。これらの実施形態は、BYODクライアントと会社のサーバと間のVPN接続を確立する工程において、既知のセキュリティ機構の他に追加ステップを含む。これらの工程はまた、初期設定段階を必要とする。図3〜6のシーケンス図はこれら2つの工程の概要を示している。図3は、設定フェーズを示している。図4は、成功したアクセス接続を示している。図5は、成功する接続を交渉して取り決める代替の機構を示している。図6は、失敗したアクセス接続を示している。
ところで、これらの図すべてにおいて、会社のサービスへのアクセスは常にAPを介するものである。APがシーケンス図において現れるときは、例えば、要求に応えるためにプロトコルにおけるエージェント(仲介機構)として機能している。これ以外のときは、APはネットワークの構成要素としてユーザには見えない形で機能し、この役割はシーケンス図には例示されていない。これらの図における、より濃い垂直の区画は、単純なデータ交換ではなく、要求された処理に対するUML(Unified Modeling Language)表記法である。
図3において、BYODクライアントはAP IDを要求し、AP IDがBYODクライアントに返される。そしてBYODクライアントはこのAP IDを会社のITサービスへ送り、会社のITサービスはこのAP IDを会社のサーバにより保持されているホワイトリストに登録する。図3の設定工程は、会社のオフィス(この場合、更なるセキュリティは要求されなくてもよい)において行うことができ、またはBYODが会社のリソースにアクセスし、そのため、ホワイトリスト上に既に登録されているAPを介するVPNセッションのもとで行うことができる。
会社のITサービスはサーバから分離して示されており、重要な役割の分離がここにはあり、これは必要ないが、通常は分離したハードウェアである。会社のITサービスとの相互作用の間に何らかの使用された入力がある可能性があり、例えば、IT管理部は、会社の方針の何らかの形状を介する特別なAPを承認しなければならないこともあり得る。AP IDを提供するBYODからの最終メッセージは、APのネットワーク機能を介して、会社のIPサービス(ここでは何らかの承認がされなければならない)へ送られ、そして、後での使用のために利用可能な会社のサーバに送られる。
図4において、BYODはAPを介して会社のネットワークにアクセスを試みる。最初はVPN接続を確立して、VPN管理セッションを確立する。VPN接続とVPNセッション管理プロトコルは非常に複雑で、当業者であれば知っているであろう多数の異なる実現されたプロトコル(規格に基づいた実現されたプロトコルを含む)がある。これ以上の詳細は実施形態の範囲外である。これらの実施形態の目的のために、重要なポイントは、接続とセッションの分離であり、それにより、AP IDは、ウェブアクセス、eメール、会社のアプリケーション、バックアップのような、遠隔作業のために必要なすべての会社のリソースを含むことができるネットワークのリソースへのアクセスの前に認証される(そして、最大限のセッションが認可される)。
図4によれば、BYODクライアントはまず会社のサーバとのVPN接続を確立する(APを介するが、上記したようにこれは例示されていない)。会社のサーバはVPN管理セッションを可能にする。BYODクライアントはAP IDを要求し、AP IDはAPにより送られ、そしてBYODクライアントはIDを使用するAPの認証を要求する。IDはホワイトリストに対して有効性が確認され、認可に必要な他のすべてのステップが行われる(または、既に行われている)。会社のサーバは最大限のVPNセッションを作成し、それによりBYODクライアントは会社のリソースへのアクセスが可能とされる。
図5は等価な図を示しているが、接続のための認証と認可工程にわずかな違いがある。最初、BYODクライアントは会社のサーバとのVPN接続を確立して、これまでのようにAP IDを要求する。そしてBYODは、サーバがアクセスポイントをアドレス指定するための(つまり、インターネット上で探すための)十分な情報を含むAP参照情報を会社のサーバに提供する。参照情報は、APのIPアドレスと共にID情報を含むことができる。この段階でID情報が提供されると、ホワイトリストに対する最初の有効性の確認があり得るが、IDがホワイトリスト上にあっても、最大限のネットワークアクセスは認められない。
そして、会社のサーバはAPに認証を要求する。このため、APは、AP自体の認証の認証情報をサーバに直接提供する。これは、ID情報の独立した提供、またはBYODクライアントにより提供された情報の独立した確証を可能にし、BYODが何らかの安全でない状況のときには有用であり得る。APは認証を提供し、APの使用が認可され(おそらく、更なるセキュリティチェックの後で)、最大限のVPN接続が認められるのを可能にし、それによりBYODクライアントは会社のリソースにアクセスできる。
図4と5の両図は、図3に例示された設定フェーズで使用できる。図5の接続工程は潜在的に、より安全または、よりダイナミックであると見ることもでき、その理由は、会社の更なる制御を可能にし、一方、図4の工程は、APが最初に会社からアクセス可能であることを要求しないからである。
図6は、図4と同じ接続工程を示しているが、ホワイトリストに対する有効性の確認が失敗した場合は、VPN管理セッションの終了という結果になる。
実施形態は、上記の接続工程または、他の接続工程のいずれかにおける認証に対して、AP IDの代替形状を使用できる。
〔チップレベルの識別子によるAPの認証〕
2つの変形例の最初において(一般的には好適な変形例)、アクセスポイントのIDはアクセスポイントのハードウェア、おそらくデバイスの中心部のマイクロプロセッサにより提供される。これは、ハードウェアの不変属性であるので、改竄され得ないのでこのIDの好ましいソースである。
〔暗号化データ証明書によるAPの認証〕
これら2つの変形例の二番目において、アクセスポイントのIDは、構成IDに基づくアクセスポイントにより提供される。このIDは、この実施形態を利用する会社により保持されている秘密鍵で暗号化された暗号化フィールドであるべきである。公開鍵は、工程における有効性確認ステップにおいてIDを抽出するために使用される。
実施形態のソリューションを実施するための付随する特徴は、BYODデバイスがネットワークにアクセスした後に、BYODデバイス内のデータを消去するネットワーク(またはAP)の機能である。これは、デバイスが認証されたAPのサービスエリアを去るとき、またはデバイスがシャットダウンされるときに起こる。それは、安全に保管されたデータ(会社の情報)が何もデバイスに保持されていないことを確実にする。
データセキュリティを維持するために使用される別の付随する特徴は、認証されたAPを通してデバイスが、例えば、3Gまたは4Gセルラーモードを使用してサーバに接続するときに、それ(デバイス)が(例えば、外部のマクロセルネットワークへ)ハンドオーバーされることが可能にされないということである。仮にこのハンドオーバーが可能であると、デバイスがサーバアクセスを継続でき且つ依然として広域においてローミングできるので、セキュリティ破断が発生する可能性がある。
1つの実施形態において、デバイスがハンドオーバー(APの変更)を試みるときはいつも、ソースAPは試みられた目的地APのIDをサーバに示すべきである。そして、サーバは、このAPが登録されているか否かをホワイトリスト上でチェックすべきである。APが登録されていれば、サーバはこのデバイスにアクセスの提供を継続すべきである(これは、デバイスがオフィス(または他の「安全ゾーン」)の内部を移動していて、別のオフィスAPのサービスエリア内に移動しつつあることを示唆している)。目的地APがホワイトリストになければ、サーバは接続を切断して、随意に、デバイスから機密データを消去する手段を取るべきである。
図7は、パーソナルデバイス10における構成要素のブロック図であり、パーソナルデバイス10はBYODとして機能できる。コントローラ100は、送信機200と受信機300(この両者は送受信機として一緒に提供できる)の動作を制御する。コントローラは送信機と受信機を制御して、実施形態を使用して、ネットワークのリモートアクセスのために必要な通信を行う。これには、デバイスのための操作機能性と、更なるセキュリティチェックなどのための追加機能性を含むことができる。
図8は、アクセス手段500を制御するプロセッサ(またはコントローラ)400を含むAP20のブロック図である。アクセス手段は、パーソナルデバイスへの接続のための、およびネットワークに対する有線接続のための送信機/受信機または送受信機であることが予想されるが、他の構成もまた可能で、同じアクセス手段を、ネットワークとパーソナルデバイスへの接続のために潜在的に使用できる。
図9は、ホワイトリストを保持するメモリ800と、動作を制御するプロセッサ900と、APを介してのパーソナルデバイスへの外部リンク700(無線または有線または両者)を含むネットワークサーバ30のブロック図である。他のネットワークの構成要素への内部リンクのような更なる構成要素は図示されていない。
〔代替ソリューションに対する実施形態の利点〕
このセキュリティ問題に対するための他のソリューションは、会社のネットワークへのアクセスを可能にする前のユーザのより厳しい認証がおそらく中心となるであろう。これには3点チェック、つまり、証明書によるデバイスの認証、パスワードによるユーザの認証、および指紋または虹彩チェックなどを使用する更なるバイオメトリックなユーザの認証を含むことができる。そのようなソリューションに対する実施形態の利点は次のようである。
・バイオメトリックな認証を提供するデバイスは高価である可能性がある。すべてのユーザがそのようなデバイスを必要とするので、企業のネットワークを運営する総コストは増大するであろう。実施形態は、そのような追加的コストを引き起こさない。
・この追加的セキュリティの特徴のため、ネットワークへのアクセスを得ることは、ユーザの手順を含むので時間がかかり面倒なこととなる可能性がある。実施形態はユーザには見えず、ネットワークアクセス工程の複雑さをそれほどには増大させない。
・2つの分離した構成要素において認証責任を有していることは、侵入者がアクセスを得るためにはこれら両者のエンティティを違法に攻略しなければならないので、セキュリティを高める。
要約すると、実施形態は、オフィスにおけるBYOD(Bring Your Own Device)方針を実現する際の企業ネットワークに対する潜在的セキュリティリスクを調べて新しいソリューションを提供する。BYOD方針は、従業員が自身の選択による如何なるパーソナルデバイスでもオフィスに運び込み、それをオフィス作業に使用することを可能にする。これが従業員の生産性を改善し、企業に対するIT関連コストを削減する一方で、職務上のデータの安全な取扱いに関連する一連の問題をもたらす可能性がある。実施形態のソリューションは、前記BYODデバイスがオフィスのネットワークに接続できるアクセスポイントの数を制限することによりこれらのリスクを削減する。これらの選択的アクセスポイントは、オフィス内や従業員の家に置くことも可能で、従業員が持ち運べる携帯アクセスポイントも含むことができる。幾つかの実施形態は、このソリューションにおいて、企業のネットワークがどのようにアクセスポイントを(慣例のデバイスの認証に加えて)認証できるかに関する方法を提供する。
実施形態は、紛失、盗難、または改竄されたBYODデバイスが、安全に保護されているフィスネットワークへの認可されていないアクセスを得るために使用されるリスクを削減する。将来における企業のIT部門に対する大きな課題の1つは、上記のような方法による認可されていないアクセスからどのようにしてネットワークのセキュリティを確実にするかということに関することであろう。この問題に対する現在のソリューションは、例えば、ネットワークがアクセスされる都度のユーザに対するバイオメトリックチェックを含む3点方式のセキュリティの提供であるが、これは非常に複雑でコストがかかる。実施形態のソリューションは実現が遥かに簡単で、ユーザエンドにおける追加的な複雑さをもたらさず、また、ITサービスに対する追加的作業負荷ももたらさない。これがBYODが何れの場所からもネットワークアクセスができるという柔軟性を削減する可能性もあるが、大部分の普通の作業場(オフィスや家庭のような場所)に対してアクセスを提供する。また、そのようなチェックが必要になった場合に、IT部門がすべてのデバイスのネットワークアクセス地点を追跡することを可能にする。

Claims (17)

  1. 1つ以上の認可されたアクセスポイントを介してネットワークにアクセスすることのみが可能なパーソナルデバイスを使用して前記ネットワークへアクセスする方法であって、
    前記ネットワークと前記パーソナルデバイスと間の接続を、アクセスポイントを介して確立することと、
    前記ネットワークにおいて、前記アクセスポイントが、前記ネットワークを使用するための認可されたアクセスポイントのホワイトリスト上にあるかをチェックすることと、
    前記アクセスポイントが前記ホワイトリスト上にあれば、前記パーソナルデバイスが前記アクセスポイントを介して前記ネットワークに安全にアクセスすることを可能にすることと、
    前記アクセスポイントが前記ホワイトリスト上になければ、前記パーソナルデバイスが前記ネットワークに安全にアクセスすることを可能にしないことと、を含む方法。
  2. 前記ネットワークへの安全なアクセスが認められる前に、少なくともパーソナルデバイスのチェックとユーザのチェックとを含むセキュリティチェックを更に含む、請求項1に記載の方法。
  3. 前記ホワイトリストは、認可されたアクセスポイントのそれぞれに対するアクセスポイントの識別を含み、好ましくは、幾つかのまたはすべての認可されたアクセスポイントの認可の具体的な時間および/または日付も含み、
    前記ネットワークへの安全なアクセスは、前記ホワイトリストのチェックが、それらの認可されたアクセスポイントの認可の前記具体的な時間および/または日付の間に行われた場合のみ認められる、請求項1または2に記載の方法。
  4. 前記アクセスポイントの識別は、アクセスポイントのハードウェアID、好ましくは、アクセスポイントのマイクロプロセッサのアクセスポイントのハードウェアIDを含む、請求項3に記載の方法。
  5. 前記アクセスポイントの識別は、構成ID、好ましくは、秘密鍵で暗号化され、公開鍵で抽出される暗号化フィールドを含む、請求項3または4に記載の方法。
  6. 前記アクセスポイントが前記ホワイトリスト上にあるかをチェックすることは、
    前記パーソナルデバイスが前記アクセスポイントに前記アクセスポイントの識別を要求することと、
    前記アクセスポイントが、前記パーソナルデバイスに前記識別を提供することと、
    随意に、前記パーソナルデバイスが、前記ホワイトリストとの比較のために、前記ネットワークに前記アクセスポイントの識別を送信することと、を含む、請求項3〜5の何れか一項に記載の方法。
  7. 前記ネットワークは、前記アクセスポイントにアクセスポイントの認証を要求し、該アクセスポイントの認証は、ネットワークアクセスが認められる前に前記ホワイトリストとの比較のため前記ネットワークに直接送信される、請求項1〜6の何れか一項に記載の方法。
  8. いったん前記パーソナルデバイスが前記ネットワークに前記アクセスポイントを介して安全にアクセスしていて、前記パーソナルデバイスがもはや前記ネットワークに安全にアクセスしなければ、前記ネットワークからダウンロードされた如何なるデータも、前記パーソナルデバイスのメモリから消去される、請求項1〜7の何れか一項に記載の方法。
  9. 前記パーソナルデバイスが前記アクセスポイントと移動体通信システムを介して前記ネットワークにアクセスしている間、前記パーソナルデバイスは、現在のセルの外側へのハンドオーバーが阻止され、
    好ましくは、前記アクセスポイントは、前記ホワイトリストとの比較のために、前記ネットワークに如何なる新しいアクセスポイントの前記アクセスポイントの認証を供給する、請求項1〜8の何れか一項に記載の方法。
  10. 前記アクセスポイントは、携帯ルータ、移動体通信システムへのポータブルなインターネット接続、またはフェムトセル用の携帯基地局のような携帯アクセスポイントである、請求項1〜9の何れか一項に記載の方法。
  11. 前記パーソナルデバイスと前記アクセスポイントと間の接続経路は無線であり、前記アクセスポイントと前記ネットワークと間の前記接続経路は有線である、請求項1〜10の何れか一項に記載の方法。
  12. 少なくとも1つのアクセスポイントが前記ネットワークに登録され、認可されたアクセスポイントの前記リストに追加される初期設定段階を含む、請求項1〜11の何れか一項に記載の方法。
  13. 前記ネットワークと前記パーソナルデバイスと間の前記接続はVPN接続であり、前記パーソナルデバイスは、前記アクセスポイントが前記ホワイトリスト上にあれば、最大限のVPN接続またはセッションを使用して前記ネットワークにアクセスする、請求項1〜12の何れか一項に記載の方法。
  14. 1つ以上の認可されたアクセスポイントを介してのみネットワークにアクセスするように配置されているパーソナルデバイスであって、前記パーソナルデバイスはコントローラと、送信機と、受信機と、を含み、前記コントローラは前記送信機と受信機を、
    アクセスポイントを介して前記ネットワークに接続し、
    前記アクセスポイントと前記ネットワークと通信して、前記アクセスポイントが、前記ネットワークを使用するための認可されたアクセスポイントのホワイトリスト上にあるかをチェックするように制御し、
    前記アクセスポイントが前記ホワイトリスト上にあれば、前記パーソナルデバイスは、前記アクセスポイントを介して前記ネットワークにアクセスすることを可能とされ、
    前記アクセスポイントが前記ホワイトリスト上になければ、前記パーソナルデバイスは、前記ネットワークにアクセスすることを可能とされない、パーソナルデバイス。
  15. 認可されたアクセスポイントを介してのみパーソナルデバイスから前記ネットワークへの安全なアクセスを可能にするように配置されるネットワークサーバであって、
    前記ネットワークサーバはプロセッサと、メモリと、前記ネットワークの外の外部リンクと、を含み、
    前記メモリは、前記ネットワークを使用するための認可されたアクセスポイントのホワイトリストを格納するように配置されており、
    前記プロッサは、前記外部リンクと、前記パーソナルデバイス用のアクセスポイントを介して、前記パーソナルデバイスへの外部接続を確立するように配置されており、
    前記プロセッサは、前記アクセスポイントが前記ホワイトリスト上にあるかをチェックし、前記アクセスポイントが前記ホワイトリスト上にあれば、前記パーソナルデバイスが前記アクセスポイントを介して前記ネットワークにアクセスすることを可能にし、または、前記アクセスポイントが前記ホワイトリスト上になければ、前記パーソナルデバイスが前記ネットワークにアクセスすることを可能にしないように配置されている、ネットワークサーバ。
  16. パーソナルデバイスがネットワークに安全にアクセスすることを可能にするように配置されている認可されたアクセスポイントであって、前記アクセスポイントは、前記アクセスポイントの識別と、プロセッサと、前記ネットワークと前記パーソナルデバイスへの接続のためのアクセス手段と、を含み、
    前記プロセッサは、前記アクセス手段を介して、前記ネットワークと前記パーソナルデバイスと間の接続を確立するように配置されており、
    前記プロセッサは、要求されたときに、前記アクセスポイントが、前記ネットワークを使用するための認可されたアクセスポイントのホワイトリスト上にあるかを前記ネットワークでチェックするために、前記アクセスポイントの前記識別を送信するように配置されており、
    前記アクセスポイントが前記ホワイトリスト上にあれば、前記アクセスポイントは、前記パーソナルデバイスと前記ネットワークと間の安全な接続を可能にするように配置されており、
    前記アクセスポイントが前記ホワイトリストになければ、前記アクセスポイントは、前記ネットワークへの安全なアクセスを提供できない、認可されたアクセスポイント。
  17. パーソナルデバイスと、アクセスポイントと、プライベートネットワークサーバと、を含む仮想プライベートネットワーク(VPN)であって、
    前記パーソナルデバイスとネットワークサーバは、前記アクセスポイントを介して最大限のVPNセッションで通信するように配置されており、
    前記ネットワークサーバは、前記ネットワークを使用するための認可されたアクセスポイントのホワイトリストを含み、前記アクセスポイントは前記ホワイトリスト上にある、仮想プライベートネットワーク。
JP2014129471A 2013-09-06 2014-06-24 パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント Active JP6337642B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP13183447.5 2013-09-06
EP13183447.5A EP2846586B1 (en) 2013-09-06 2013-09-06 A method of accessing a network securely from a personal device, a corporate server and an access point

Publications (2)

Publication Number Publication Date
JP2015053674A true JP2015053674A (ja) 2015-03-19
JP6337642B2 JP6337642B2 (ja) 2018-06-06

Family

ID=49117741

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014129471A Active JP6337642B2 (ja) 2013-09-06 2014-06-24 パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント

Country Status (3)

Country Link
US (1) US9769172B2 (ja)
EP (1) EP2846586B1 (ja)
JP (1) JP6337642B2 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10095868B2 (en) 2013-11-13 2018-10-09 Via Technologies, Inc. Event-based apparatus and method for securing bios in a trusted computing system during execution
US10055588B2 (en) 2013-11-13 2018-08-21 Via Technologies, Inc. Event-based apparatus and method for securing BIOS in a trusted computing system during execution
US9547767B2 (en) * 2013-11-13 2017-01-17 Via Technologies, Inc. Event-based apparatus and method for securing bios in a trusted computing system during execution
US9798880B2 (en) 2013-11-13 2017-10-24 Via Technologies, Inc. Fuse-enabled secure bios mechanism with override feature
US9779243B2 (en) 2013-11-13 2017-10-03 Via Technologies, Inc. Fuse-enabled secure BIOS mechanism in a trusted computing system
US9779242B2 (en) 2013-11-13 2017-10-03 Via Technologies, Inc. Programmable secure bios mechanism in a trusted computing system
US9767288B2 (en) 2013-11-13 2017-09-19 Via Technologies, Inc. JTAG-based secure BIOS mechanism in a trusted computing system
US10049217B2 (en) 2013-11-13 2018-08-14 Via Technologies, Inc. Event-based apparatus and method for securing bios in a trusted computing system during execution
CN105578467B (zh) * 2015-12-29 2019-01-11 腾讯科技(深圳)有限公司 接入无线接入点的系统、方法及装置
CN108089928B (zh) * 2016-11-22 2022-01-14 华为技术有限公司 终端控制方法及装置
US11272443B2 (en) 2017-04-19 2022-03-08 Coronet Cyber Security Ltd. Distributed wireless communication access security
WO2019084524A1 (en) 2017-10-27 2019-05-02 Cleverdome, Inc. NETWORK DEFINED BY SOFTWARE TO CREATE A TRUSTED NETWORK SYSTEM
CN108809753A (zh) * 2018-05-04 2018-11-13 北京奇安信科技有限公司 一种共享wifi的处理方法及装置
US11647392B1 (en) 2021-12-16 2023-05-09 Bank Of America Corporation Systems and methods for context-aware mobile application session protection
US20230388307A1 (en) * 2022-05-27 2023-11-30 Pc Matic Inc System and Method for Improved Security when Working Remotely

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005064560A (ja) * 2003-08-11 2005-03-10 Hitachi Ltd 位置検出を用いたデータ管理システムおよびデータ管理方法
JP2008263445A (ja) * 2007-04-12 2008-10-30 Docomo Technology Inc 接続設定システム、認証装置、無線端末、及び接続設定方法
JP2010283607A (ja) * 2009-06-04 2010-12-16 Allied Telesis Holdings Kk ネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器
WO2013023966A1 (en) * 2011-08-12 2013-02-21 F-Secure Corporation Detection of suspect wireless access points
JP2013077957A (ja) * 2011-09-30 2013-04-25 Brother Ind Ltd 中継装置、暗号化通信システム、暗号化通信プログラム、および暗号化通信方法

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10285628A (ja) 1997-04-11 1998-10-23 Toshiba Corp 無線基地局装置および無線通信システム
US7797530B2 (en) * 2001-04-09 2010-09-14 Hewlett-Packard Company Authentication and encryption method and apparatus for a wireless local access network
JP4158358B2 (ja) 2001-06-20 2008-10-01 日本電気株式会社 移動通信端末への課金方法
US7620997B2 (en) * 2003-12-22 2009-11-17 Lenovo (Singapore) Pte. Ltd. System and method for controlling network access in wireless environment
US20050272430A1 (en) * 2004-05-10 2005-12-08 Griebling John L Reconfigurable micro-mesh communication system
US7451921B2 (en) * 2004-09-01 2008-11-18 Eric Morgan Dowling Methods, smart cards, and systems for providing portable computer, VoIP, and application services
US8200828B2 (en) * 2005-01-14 2012-06-12 Citrix Systems, Inc. Systems and methods for single stack shadowing
US8296441B2 (en) * 2005-01-14 2012-10-23 Citrix Systems, Inc. Methods and systems for joining a real-time session of presentation layer protocol data
DE202005021930U1 (de) * 2005-08-01 2011-08-08 Corning Cable Systems Llc Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen
US9049651B2 (en) * 2006-08-25 2015-06-02 Qualcomm Incorporated Selection of an access point in a communications system
WO2008049131A2 (en) * 2006-10-20 2008-04-24 T-Mobile Usa, Inc. Two stage mobile device geographic location determination
WO2008051933A2 (en) * 2006-10-20 2008-05-02 T-Mobile Usa, Inc. System and method for authorizing access to an ip-based wireless telecommunications service
US8205092B2 (en) * 2007-06-26 2012-06-19 Novell, Inc. Time-based method for authorizing access to resources
US8594663B2 (en) * 2007-09-24 2013-11-26 Airvana Llc Selecting embedded cells in wireless networks
US9167505B2 (en) * 2007-10-08 2015-10-20 Qualcomm Incorporated Access management for wireless communication
US9055511B2 (en) * 2007-10-08 2015-06-09 Qualcomm Incorporated Provisioning communication nodes
JP2009147531A (ja) 2007-12-12 2009-07-02 Mitsubishi Electric Corp ハンドオーバ制御方法および無線通信システム
JP2009181460A (ja) 2008-01-31 2009-08-13 Nec Corp シンクライアントシステム
JP2009181458A (ja) 2008-01-31 2009-08-13 Nec Corp シンクライアントシステム
US8893260B2 (en) * 2008-12-17 2014-11-18 Rockstar Consortium Us Lp Secure remote access public communication environment
US8599701B2 (en) * 2009-04-16 2013-12-03 Qualcomm Incorporated Systems, methods and devices to enable management of wireless network resources
US20120096519A1 (en) * 2009-06-24 2012-04-19 Nokia Corporation Methods and Apparatuses for Avoiding Denial of Service Attacks By Rogue Access Points
EP2490471A4 (en) 2009-10-16 2016-10-26 Sharp Kk ACCESS CONTROL METHOD, WIRELESS COMMUNICATION SYSTEM, BASE STATION APPARATUS, MOBILE STATION APPARATUS, AND ACCESS CONTROL PROGRAM
US8627423B2 (en) * 2010-04-09 2014-01-07 Aruba Networks, Inc. Authorizing remote access points
JP5452459B2 (ja) 2010-12-16 2014-03-26 株式会社Nttドコモ ホーム基地局及びハンドオーバ方法
US8630231B2 (en) * 2010-12-29 2014-01-14 Motorola Mobility Llc Method and system for facilitating wireless communication via alternate wireless pathway
US8867411B2 (en) * 2011-02-03 2014-10-21 T-Mobile Usa, Inc. Emergency call mode preference in wireless communication networks
US9426410B2 (en) * 2011-03-31 2016-08-23 Sony Dadc Us Inc. Secure online access control for accessing media content from discs
US8744439B2 (en) * 2011-10-07 2014-06-03 Apple Inc. Methods and apparatus for intelligent initiation of connections within a network
JP5529189B2 (ja) * 2012-03-01 2014-06-25 株式会社Nttドコモ 携帯端末、情報読取防止方法
US9021269B2 (en) * 2012-07-18 2015-04-28 TapLink, Inc. Blind hashing
KR101953547B1 (ko) * 2012-11-26 2019-03-04 한국전자통신연구원 보안 이벤트를 이용한 모바일 단말의 관리 제어 방법 및 그 장치

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005064560A (ja) * 2003-08-11 2005-03-10 Hitachi Ltd 位置検出を用いたデータ管理システムおよびデータ管理方法
JP2008263445A (ja) * 2007-04-12 2008-10-30 Docomo Technology Inc 接続設定システム、認証装置、無線端末、及び接続設定方法
JP2010283607A (ja) * 2009-06-04 2010-12-16 Allied Telesis Holdings Kk ネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器
WO2013023966A1 (en) * 2011-08-12 2013-02-21 F-Secure Corporation Detection of suspect wireless access points
JP2014527762A (ja) * 2011-08-12 2014-10-16 エフ−セキュア コーポレーション 疑わしい無線アクセスポイントの検出
JP2013077957A (ja) * 2011-09-30 2013-04-25 Brother Ind Ltd 中継装置、暗号化通信システム、暗号化通信プログラム、および暗号化通信方法

Also Published As

Publication number Publication date
EP2846586B1 (en) 2018-11-28
JP6337642B2 (ja) 2018-06-06
EP2846586A1 (en) 2015-03-11
US20150074769A1 (en) 2015-03-12
US9769172B2 (en) 2017-09-19

Similar Documents

Publication Publication Date Title
JP6337642B2 (ja) パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント
CN108173822B (zh) 智能门锁管控方法、智能门锁及计算机可读存储介质
KR101861026B1 (ko) 비공개 데이터를 보호하는 보안 프록시
CN107005442B (zh) 用于远程接入的方法和装置
US9769655B2 (en) Sharing security keys with headless devices
US9131378B2 (en) Dynamic authentication in secured wireless networks
CN110198539B (zh) 一种认证方法及其装置、设备和存储介质
US10356612B2 (en) Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access
CA3035817A1 (en) System and method for decentralized authentication using a distributed transaction-based state machine
US20210314293A1 (en) Method and system for using tunnel extensible authentication protocol (teap) for self-sovereign identity based authentication
DK2924944T3 (en) Presence authentication
CN101986598B (zh) 认证方法、服务器及系统
US12041452B2 (en) Non-3GPP device access to core network
US11917416B2 (en) Non-3GPP device access to core network
KR20220072657A (ko) 가상 블록체인이 결합된 이중 블록체인에 기반한 IoT 기기 플랫폼 보안 구축 방법 및 IoT 기기 플랫폼 보안 구축 시스템
CN105763517A (zh) 一种路由器安全接入和控制的方法及系统
WO2016070611A1 (zh) 一种数据处理方法、服务器及终端
CN104869121A (zh) 一种基于802.1x的认证方法及装置
KR102558821B1 (ko) 사용자 및 디바이스 통합 인증 시스템 및 그 방법
EP1927254B1 (en) Method and a device to suspend the access to a service
KR101879843B1 (ko) Ip 주소와 sms를 이용한 인증 방법 및 시스템
JP2017152877A (ja) 電子鍵再登録システム、電子鍵再登録方法およびプログラム
CN115277237A (zh) 移动终端接入企业内网的控制方法及装置
KR20210068832A (ko) 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법
CN101454767B (zh) 安全无线网络中的动态认证

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180130

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180131

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180410

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180423

R150 Certificate of patent or registration of utility model

Ref document number: 6337642

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150