JP2018504836A - シングルサインオンを含むアプリケーション用の共有秘密保管庫 - Google Patents
シングルサインオンを含むアプリケーション用の共有秘密保管庫 Download PDFInfo
- Publication number
- JP2018504836A JP2018504836A JP2017535436A JP2017535436A JP2018504836A JP 2018504836 A JP2018504836 A JP 2018504836A JP 2017535436 A JP2017535436 A JP 2017535436A JP 2017535436 A JP2017535436 A JP 2017535436A JP 2018504836 A JP2018504836 A JP 2018504836A
- Authority
- JP
- Japan
- Prior art keywords
- application
- vault
- key
- shared
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims description 119
- 230000015654 memory Effects 0.000 claims description 92
- 230000004044 response Effects 0.000 claims description 16
- 230000008859 change Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 description 80
- 238000007726 management method Methods 0.000 description 22
- 230000002085 persistent effect Effects 0.000 description 15
- 230000006870 function Effects 0.000 description 11
- 238000012795 verification Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 10
- 230000008901 benefit Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 9
- 238000013461 design Methods 0.000 description 9
- 230000014759 maintenance of location Effects 0.000 description 8
- 238000011084 recovery Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 230000010354 integration Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000002452 interceptive effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000002688 persistence Effects 0.000 description 3
- 230000002207 retinal effect Effects 0.000 description 3
- 230000002441 reversible effect Effects 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 235000006508 Nelumbo nucifera Nutrition 0.000 description 1
- 240000002853 Nelumbo nucifera Species 0.000 description 1
- 235000006510 Nelumbo pentapetala Nutrition 0.000 description 1
- 241001422033 Thestylus Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000001143 conditioned effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/544—Buffers; Shared memory; Pipes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
- Biomedical Technology (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
アイドル時間タイマーは、共有保管庫を使用するアプリケーションが所定時間休止したことを判定するために使用可能であり、システムに、共有秘密保管庫の再ロック、ならびに共有保管庫に格納されたロック解除鍵暗号化保管庫鍵の削除及び/または無効化を行わせることができる。結果として、いくつかの実施形態においてアプリケーションは、共有秘密保管庫へのアクセスを継続するために利用者にそのパスコード(または他の利用者エントロピー)を入力させ得る。
本明細書に記載されるいくつかの態様は、分散された認証サービスを提供し、1つの登録されたアプリケーションにおける成功した認証を他の登録されたアプリケーションに反映可能とし得る。認証マネージャ論理は、企業/モバイルアプリケーション管理アプリケーションの各ライン内に構築され得る。認証状態(例えば、アクセスゲートウェイチケット、証明書、SAMLトークン、部分または完全VPNスタック等)は、共有保管庫によって登録されたアプリケーション間において同期され得る。認証プロンプトは、各アプリケーションに埋め込まれ得る。結果として、利用者は、アプリケーションに登録し別のアプリケーションにおいて認証された企業リソースにアクセスを開始し得る。これは、複数のアプリケーション間におけるコンテキストスイッチ(または「フリップ」)を回避し得る。
用であり得る。サーバキャッシュの使用を通して、共有保管庫に格納された機密情報は、機器再起動後に復旧され得る。
本出願は、「Shared Secret Vault for Applications with Single Sign On」と題され、2014年12月31日に出願された米国仮特許出願番号第62/098,457号の非仮出願であり、その優先権を主張し、その全体が参照によって本明細書に組み込まれる。
本出願は、「Shared Secret Vault for Applications with Single Sign On」と題され、2014年12月31日に出願された米国仮特許出願番号第62/098,457号の優先権を主張し、その全体が参照によって本明細書に組み込まれる。
Claims (30)
- コンピュータ機器によって、保管庫鍵を使用して暗号化されロック解除鍵を含む保管庫データベースを備える共有保管庫を生成することと、
前記コンピュータ機器上で実行する第1のアプリケーションによって、前記共有保管庫に関連付けられた利用者から利用者エントロピーを受信することと、
前記保管庫鍵の第1のコピーを生成するために、前記利用者エントロピーを使用して前記共有保管庫に関連付けられた第1の保管庫鍵レコードを復号化することと、
前記コンピュータ機器上で実行し前記保管庫鍵の前記第1のコピーを使用する前記第1のアプリケーションによって、前記ロック解除鍵を取得するために前記保管庫データベースにアクセスすることと、
前記コンピュータ機器上で実行する前記第1のアプリケーションによって、前記第1のアプリケーションに関連付けられた第1のアプリケーションメモリに前記ロック解除鍵を格納することと、
前記保管庫鍵の第2のコピーを生成するために、前記第1のアプリケーションメモリに格納された前記ロック解除鍵を使用して前記共有保管庫に関連付けられた第2の保管庫鍵レコードを復号化することと、
前記コンピュータ機器上で実行し前記保管庫鍵の前記第2のコピーを使用する前記第1のアプリケーションによって、第1の格納データを取得するために前記保管庫データベースにアクセスすることと、を含む方法。 - 前記共有保管庫を生成することは、
前記利用者エントロピーを使用して暗号化された前記第1の保管庫鍵レコードを前記保管庫鍵に基づいて生成することと、
前記第1の保管庫鍵レコードを前記共有保管庫に格納することと、を含む請求項1に記載の方法。 - 前記第1の保管庫鍵レコードは、前記第1のアプリケーションに関連付けられた第1のアプリケーションエントロピーによってさらに暗号化され、前記第1の保管庫鍵を復号化することは、
前記保管庫鍵の前記第1のコピーを生成するために、前記利用者エントロピー及び前記第1のアプリケーションエントロピーを使用して前記第1の保管庫鍵レコードを復号化することを含む、請求項2に記載の方法。 - 前記第1の保管庫鍵レコードは、前記コンピュータ機器に関連付けられた機器エントロピーによってさらに暗号化され、前記第1の保管庫鍵を復号化することは、
前記保管庫鍵の前記第1のコピーを生成するために、前記利用者エントロピー及び前記機器エントロピーを使用して前記第1の保管庫鍵レコードを復号化することを含む、請求項2に記載の方法。 - 前記第1のアプリケーションによって前記第1の保管庫鍵レコードを復号化することに続いて、前記共有保管庫が前記第2の保管庫鍵レコードを含まないことを判定することと、
そのように判定することに応答して、前記保管庫鍵の前記第1のコピー及び前記ロック解除鍵を使用して前記第2の保管庫鍵レコードを生成し、前記第2の保管庫鍵レコードを前記共有保管庫に格納することと、をさらに含む請求項1に記載の方法。 - 前記第1のアプリケーションによって、前記共有保管庫に格納されたアイドル時間タイマーにアクセスすることと、
前記第1のアプリケーションによって、前記アイドル時間タイマーが、前記保管庫データベースが最後にアクセスされてから所定時間が経過したことを示すか否かを判定することと、
そのように判定することに応答して、前記第2の保管庫鍵レコードを前記共有保管庫から削除することと、をさらに含む請求項1に記載の方法。 - 前記第1のアプリケーションによって前記共有保管庫が前記第2の保管庫鍵レコードを含まないことを判定することと、
そのように判定することに応答して、
前記第1のアプリケーションによって、前記利用者に前記利用者エントロピーを提供させることと、
前記保管庫鍵の第3のコピーを生成するために、前記利用者エントロピーを使用して前記共有保管庫に関連付けられた前記第1の保管庫鍵レコードを復号化することと、
前記保管庫鍵の前記第3のコピー及び前記ロック解除鍵を使用して前記第2の保管庫鍵レコードを生成することと、
前記第2の保管庫鍵レコードを前記共有保管庫に格納することと、をさらに含む請求項1に記載の方法。 - 前記コンピュータ機器上で実行する第2のアプリケーションによって、前記保管庫鍵の第3のコピーを生成するために、前記第2のアプリケーションに関連付けられた第2のアプリケーションメモリにさらに格納される前記ロック解除鍵を使用して前記第2の保管庫鍵レコードを復号化することと、
前記コンピュータ機器上で実行し前記保管庫鍵の前記第3のコピーを使用する前記第2のアプリケーションによって、前記第1の格納データを取得するために前記保管庫データベースにアクセスすることと、をさらに含む請求項1に記載の方法。 - 前記第2のアプリケーションは、前記コンピュータ機器上で前記第1のアプリケーションと同時に実行するバックグラウンドアプリケーションである、請求項8に記載の方法。
- 前記第2のアプリケーションによって、前記共有保管庫に格納されたアイドル時間タイマーにアクセスすることと、
前記第2のアプリケーションによって、前記アイドル時間タイマーが、前記保管庫データベースが最後にアクセスされてから所定時間が経過したことを示すか否かを判定することと、
そのように判定することに応答して、前記第2の保管庫鍵レコードを前記共有保管庫から削除することと、をさらに含む請求項8に記載の方法。 - 前記第1のアプリケーションによって、前記利用者に関連付けられた利用者証明書を使用してネットワークサービスと認証を行うことと、
前記ネットワークサービスから第1のネットワークリソースアクセス証明書を取得することと、
前記第1のアプリケーションによって、前記第1のネットワークリソースアクセス証明書を前記保管庫データベースに書き込むことと、
前記コンピュータ機器上で実行する第2のアプリケーションによって、前記保管庫鍵の第3のコピーを生成するために、前記第2のアプリケーションに関連付けられた第2のアプリケーションメモリにさらに格納される前記ロック解除鍵を使用して前記第2の保管庫鍵レコードを復号化することと、
前記コンピュータ機器上で実行し前記保管庫鍵の前記第3のコピーを使用する前記第2のアプリケーションによって、前記第1のネットワークリソースアクセス証明書を取得するために前記保管庫データベースにアクセスすることと、をさらに含む請求項1に記載の方法。 - 前記コンピュータ機器によって、前記利用者に関連付けられた利用者証明書を受信することと、
前記コンピュータ機器によって、前記利用者証明書を使用して企業管理サーバと認証を行うことと、
前記認証することに応じて、前記利用者に関連付けられた前記利用者エントロピーを前記利用者に変更させることと、をさらに含む請求項1に記載の方法。 - 前記コンピュータ機器によって、企業管理サーバから前記保管庫鍵を受信し、前記コンピュータ機器が前記企業管理サーバから受信した前記保管庫鍵を使用して前記共有保管庫を暗号化することをさらに含む、請求項1に記載の方法。
- 前記コンピュータ機器によって、前記保管庫鍵を生成し、前記コンピュータ機器が前記生成された保管庫鍵を使用して前記共有保管庫を暗号化することをさらに含む、請求項1に記載の方法。
- 前記第1の格納データは、前記第1のアプリケーションに関連付けられた第1のアプリケーション保管庫内に格納され、前記第1のアプリケーション保管庫は、前記保管庫データベース内にある、請求項1に記載の方法。
- 前記共有保管庫へのアクセスを有する第2のアプリケーションは、前記第1のアプリケーションに関連付けられた前記第1のアプリケーション保管庫にアクセスすることができない、請求項15に記載の方法。
- 前記第1の格納データは、前記保管庫データベースの共有部内に格納され前記共有保管庫へのアクセスを有する第2のアプリケーションにアクセス可能である、請求項1に記載の方法。
- システムであって、
1つ以上のプロセッサと、
メモリと、
前記メモリに格納された第1のアプリケーションと、
保管庫レコード記憶部、及び保管庫鍵を使用して暗号化される保管庫データベースを備える共有保管庫と、を含み、
前記メモリは、コンピュータ実行可能命令を格納し、該コンピュータ実行可能命令は、前記1つ以上のプロセッサによって実行されたときに、本システムに、
前記第1のアプリケーションを介して、前記共有保管庫に関連付けられた利用者から利用者エントロピーを受信することと、
前記保管庫鍵の第1のコピーを生成するために、前記利用者エントロピーを使用して前記共有保管庫に関連付けられた第1の保管庫鍵レコードを復号化することと、
前記保管庫鍵の前記第1のコピーを使用して、前記保管庫鍵の第2のコピーを生成するために、前記共有保管庫に関連付けられた第2の保管庫鍵レコードを復号化するように操作可能なロック解除鍵を取得するために前記保管庫データベースにアクセスすることと、
前記第1のアプリケーションに関連付けられた第1のアプリケーションメモリに前記ロック解除鍵を格納することと、を行わせるシステム。 - 前記命令は、前記1つ以上のプロセッサによって実行されたときに、本システムに、
前記保管庫鍵の第2のコピーを生成するために、前記第1のアプリケーションメモリに格納された前記ロック解除鍵を使用して前記共有保管庫に関連付けられた第2の保管庫鍵レコードを復号化することと、
前記保管庫鍵の前記第2のコピーを使用して、第1の格納データを書き込むために前記保管庫データベースにアクセスすることと、をさらに行わせる、請求項18に記載のシステム。 - 前記命令は、前記1つ以上のプロセッサによって実行されたときに、本システムに、
前記保管庫鍵の第2のコピーを生成するために、前記第1のアプリケーションメモリに格納された前記ロック解除鍵を使用して前記共有保管庫に関連付けられた第2の保管庫鍵レコードを復号化することと、
前記保管庫鍵の前記第2のコピーを使用して、第1の格納データを取得するために前記保管庫データベースにアクセスすることと、をさらに行わせる、請求項18に記載のシステム。 - 前記第1の保管庫鍵レコードは、前記共有保管庫に格納される、請求項18に記載のシステム。
- 前記第2の保管庫鍵レコードは、前記共有保管庫に格納される、請求項18に記載のシステム。
- 前記第2の保管庫鍵レコードは、前記利用者エントロピーとは別の第2のエントロピーを使用して保証される安全なコンテナに格納される、請求項18に記載のシステム。
- 前記第2のエントロピーは、前記利用者に関連付けられた生体識別データを含む、請求項23に記載のシステム。
- 前記利用者エントロピーは、前記利用者によって提供された暗証番号(PIN)である、請求項18に記載のシステム。
- 前記利用者エントロピーは、前記利用者によって提供されたパスワードである、請求項18に記載のシステム。
- 前記保管庫データベースは、
前記保管庫へのアクセスを有する複数のアプリケーションによってアクセス可能な共有部と、
前記第1のアプリケーションにアクセス可能であり、前記第1のアプリケーションに関連付けられた第1のアプリケーションエントロピーを使用して暗号化された第1のアプリケーション部と、を含む請求項18に記載のシステム。 - システムであって、
1つ以上のプロセッサと、
メモリと、
保管庫レコード記憶部、及び保管庫鍵を使用して暗号化される保管庫データベースを備える共有保管庫と、
前記メモリに格納された第1のアプリケーションであって、前記1つ以上のプロセッサによって実行されたときに、本システムに、
前記第1のアプリケーションを介して、前記利用者に関連付けられた利用者証明書を使用してネットワークサービスと認証を行うことと、
前記ネットワークサービスから第1のネットワークリソースアクセス証明書を取得することと、
前記保管庫鍵を含む暗号化保管庫鍵レコードを使用して前記保管庫データベースを復号化することと、
前記第1のアプリケーションを介して、前記第1のネットワークリソースアクセス証明書を前記保管庫データベースに書き込むことと、
を行わせる命令を含む前記第1のアプリケーションと、
前記メモリに格納された第2のアプリケーションであって、前記1つ以上のプロセッサによって実行されたときに、本システムに、
前記第2のアプリケーションを介して、前記保管庫鍵のコピーを生成するために、前記第2のアプリケーションに関連付けられたアプリケーションメモリに格納されたロック解除鍵を使用して前記暗号化保管庫鍵レコードを復号化することと、
前記第2のアプリケーションを介して前記保管庫鍵の前記コピーを使用して、前記第1のネットワークリソースアクセス証明書を取得するために前記保管庫データベースにアクセスすることと、
を行わせる命令を含む前記第2のアプリケーションと、を含むシステム。 - 1つ以上の非一時的コンピュータ可読媒体であって、1つ以上のプロセッサによって実行されたときに、コンピュータ機器に、
前記コンピュータ機器上で実行する第1のアプリケーションによって、保管庫レコード記憶部、及び保管庫鍵を使用して暗号化される保管庫データベースを備える共有保管庫に関連付けられた利用者から第1の利用者エントロピーを受信することと、
前記保管庫鍵の第1のコピーを生成するために、前記第1の利用者エントロピーを使用して前記共有保管庫に関連付けられた第1の保管庫鍵レコードを復号化することと、
前記第1のアプリケーションによって前記保管庫鍵の前記第1のコピーを使用して、ロック解除鍵を取得するために前記保管庫データベースにアクセスすることと、
前記第1のアプリケーションによって、前記保管庫鍵及び前記ロック解除鍵に基づいて第2の保管庫鍵レコードを生成することと、
前記第1のアプリケーションによって、前記第1の利用者エントロピーとは別の第2の利用者エントロピーを使用して保証される安全なコンテナに前記第2の保管庫鍵レコードを格納することと、
前記第1のアプリケーションによって、前記利用者から前記第2の利用者エントロピーを受信することと、
前記第1のアプリケーションによって、前記第2の利用者エントロピーを使用して前記安全なコンテナから前記第2の保管庫鍵レコードにアクセスすることと、
前記保管庫鍵の第2のコピーを生成するために、前記ロック解除鍵を使用して前記共有保管庫に関連付けられた前記第2の保管庫鍵レコードを復号化することと、
を行わせる命令を含むコンピュータ可読媒体。 - 前記安全なコンテナは、前記共有保管庫とは論理的に異なり、前記第1の利用者エントロピーは、前記利用者に関連付けられたパスコードを含み、前記第2の利用者エントロピーは、前記利用者に関連付けられた生体識別データを含む、請求項29に記載のコンピュータ可読媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462098457P | 2014-12-31 | 2014-12-31 | |
US62/098,457 | 2014-12-31 | ||
PCT/US2015/068064 WO2016109666A1 (en) | 2014-12-31 | 2015-12-30 | Shared secret vault for applications with single sign on |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018155604A Division JP6424295B1 (ja) | 2014-12-31 | 2018-08-22 | シングルサインオンを含むアプリケーション用の共有秘密保管庫 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018504836A true JP2018504836A (ja) | 2018-02-15 |
JP6417483B2 JP6417483B2 (ja) | 2018-11-07 |
Family
ID=55182598
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017535436A Expired - Fee Related JP6417483B2 (ja) | 2014-12-31 | 2015-12-30 | シングルサインオンを含むアプリケーション用の共有秘密保管庫 |
JP2018155604A Active JP6424295B1 (ja) | 2014-12-31 | 2018-08-22 | シングルサインオンを含むアプリケーション用の共有秘密保管庫 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018155604A Active JP6424295B1 (ja) | 2014-12-31 | 2018-08-22 | シングルサインオンを含むアプリケーション用の共有秘密保管庫 |
Country Status (4)
Country | Link |
---|---|
US (4) | US9626525B2 (ja) |
EP (2) | EP3241139B1 (ja) |
JP (2) | JP6417483B2 (ja) |
WO (1) | WO2016109666A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200048268A (ko) * | 2018-10-29 | 2020-05-08 | 에스케이텔레콤 주식회사 | 게이트웨이장치 및 컴퓨터프로그램 |
Families Citing this family (62)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11785143B2 (en) | 2009-01-28 | 2023-10-10 | Virtual Hold Technology Solutions, Llc | System and method for secure storage and management of transitory data using a blockchain |
US11546472B2 (en) | 2009-01-28 | 2023-01-03 | Virtual Hold Technology Solutions, Llc | System and method for a cloud callback platform |
US11665282B2 (en) | 2009-01-28 | 2023-05-30 | Virtual Hold Technology Solutions, Llc | System and method for secure transitory data storage and management |
US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
WO2016109666A1 (en) * | 2014-12-31 | 2016-07-07 | Citrix Systems, Inc. | Shared secret vault for applications with single sign on |
CN105989511B (zh) * | 2015-02-09 | 2022-04-15 | 创新先进技术有限公司 | 业务实现方法及装置 |
US10146931B1 (en) * | 2015-03-13 | 2018-12-04 | EMC IP Holding Company LLC | Organization-level password management employing user-device password vault |
US10324926B2 (en) * | 2015-05-15 | 2019-06-18 | Microsoft Technology Licensing, Llc | System and method for extracting and sharing application-related user data |
US10230529B2 (en) * | 2015-07-31 | 2019-03-12 | Microsft Technology Licensing, LLC | Techniques to secure computation data in a computing environment |
US10467421B2 (en) * | 2015-10-23 | 2019-11-05 | Oracle International Corporation | Establishing trust between containers |
CA2913571A1 (en) * | 2015-12-01 | 2017-06-01 | Frederic Mailhot | Multi-platform user authentication device with double and multilaterally blind on-the-fly key generation |
US11424931B2 (en) * | 2016-01-27 | 2022-08-23 | Blackberry Limited | Trusted execution environment |
US10516530B2 (en) * | 2016-01-29 | 2019-12-24 | Mx Technologies, Inc. | Secure data handling and storage |
US10057255B2 (en) | 2016-07-20 | 2018-08-21 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using multi-device authentication techniques |
US10057249B2 (en) | 2016-07-20 | 2018-08-21 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using tokenized authentication techniques |
US10148646B2 (en) | 2016-07-20 | 2018-12-04 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using tokenized authentication techniques |
US10834231B2 (en) * | 2016-10-11 | 2020-11-10 | Synergex Group | Methods, systems, and media for pairing devices to complete a task using an application request |
US10255174B2 (en) * | 2016-11-30 | 2019-04-09 | Sap Se | Common cache pool for applications |
US11580201B2 (en) * | 2016-11-30 | 2023-02-14 | Blackberry Limited | Method and apparatus for accessing authentication credentials within a credential vault |
US10356079B2 (en) * | 2016-12-05 | 2019-07-16 | Keeper Security, Inc. | System and method for a single sign on connection in a zero-knowledge vault architecture |
US10469478B2 (en) | 2016-12-07 | 2019-11-05 | Vmware, Inc. | Inter-application secure data sharing workflow |
EP3364329B1 (en) * | 2017-02-21 | 2023-07-26 | Mastercard International Incorporated | Security architecture for device applications |
EP3586257B1 (en) * | 2017-02-22 | 2022-10-26 | Fingerprint Cards Anacatum IP AB | Biometrics-based remote login |
US10460115B2 (en) * | 2017-05-15 | 2019-10-29 | International Business Machines Corporation | Data anonymity |
US10466889B2 (en) * | 2017-05-16 | 2019-11-05 | Apple Inc. | Devices, methods, and graphical user interfaces for accessing notifications |
US10657239B2 (en) * | 2017-05-25 | 2020-05-19 | Oracle International Corporation | Limiting access to application features in cloud applications |
US10691837B1 (en) * | 2017-06-02 | 2020-06-23 | Apple Inc. | Multi-user storage volume encryption via secure enclave |
US10523425B2 (en) * | 2017-06-22 | 2019-12-31 | Salesforce.Com, Inc. | Database password changes |
US11233634B1 (en) | 2017-06-23 | 2022-01-25 | Wells Fargo Bank, N.A. | Systems and methods for network authentication with a shared secret |
US11163910B2 (en) * | 2017-06-29 | 2021-11-02 | Salesforce.Com, Inc. | Methods and systems for data migration |
US10644890B1 (en) | 2017-06-29 | 2020-05-05 | Salesforce.Com | Language-agnostic secure application deployment |
US10749689B1 (en) * | 2017-06-29 | 2020-08-18 | Salesforce.Com, Inc. | Language-agnostic secure application development |
US10805284B2 (en) * | 2017-07-12 | 2020-10-13 | Logmein, Inc. | Federated login for password vault |
CN109284603B (zh) * | 2017-07-20 | 2022-07-01 | 腾讯科技(深圳)有限公司 | 一种配置数据处理方法、装置及存储介质 |
US10346224B2 (en) * | 2017-08-30 | 2019-07-09 | Vmware, Inc. | Management framework for applications using passcode-based encryption |
US10909271B2 (en) | 2017-09-28 | 2021-02-02 | Citrix Systems, Inc. | Policy based persistence |
US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
US11023573B2 (en) * | 2018-04-20 | 2021-06-01 | Microsoft Technology Licensing, Llc | Password reset for multi-domain environment |
US10810585B2 (en) * | 2018-07-06 | 2020-10-20 | Mastercard International Incorporated | Systems and methods for authenticating users in connection with mobile operations |
US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
US11347411B2 (en) | 2019-07-17 | 2022-05-31 | Ubs Business Solutions Ag | Secure storing and processing of data |
US20220321357A1 (en) * | 2019-08-20 | 2022-10-06 | Nippon Telegraph And Telephone Corporation | User credential control system and user credential control method |
US20210111876A1 (en) * | 2019-10-11 | 2021-04-15 | Atakama LLC | Secure session for decryption |
US11328080B2 (en) * | 2019-11-18 | 2022-05-10 | Frostbyte, Llc | Cryptographic key management |
US11455412B2 (en) | 2019-12-03 | 2022-09-27 | Microsoft Technology Licensing, Llc | Enhanced management of access rights for dynamic user groups sharing secret data |
US11424914B2 (en) | 2019-12-03 | 2022-08-23 | Microsoft Technology Licensing, Llc | Enhanced security of secret data for dynamic user groups |
US11588794B2 (en) * | 2019-12-10 | 2023-02-21 | Winkk, Inc. | Method and apparatus for secure application framework and platform |
US11438316B2 (en) | 2020-01-16 | 2022-09-06 | 360 It, Uab | Sharing encrypted items with participants verification |
US11792201B2 (en) * | 2020-02-20 | 2023-10-17 | Gaurav Upadhyay | System and method to manage multiple-account access using a master key |
MX2022011136A (es) * | 2020-03-09 | 2022-10-13 | Spectrum Brands Inc | Emparejamiento de cerradura electrónica mediante contraseña. |
US11474674B2 (en) | 2020-03-10 | 2022-10-18 | Apple Inc. | Devices, methods, and graphical user interfaces for interacting with user interface objects corresponding to applications |
DE102020107805A1 (de) * | 2020-03-20 | 2021-09-23 | Bundesdruckerei Gmbh | Nutzerauthentifizierung unter Verwendung zweier unabhängiger Sicherheitselemente |
CN113515330B (zh) * | 2020-04-10 | 2024-04-26 | 南方电网科学研究院有限责任公司 | 一种基于国产密码技术的云桌面安全认证方法、系统 |
US11469887B1 (en) | 2020-06-29 | 2022-10-11 | Amazon Technologies, Inc. | Remote hardware execution service with customer consented debugging |
US20220318438A1 (en) * | 2021-04-06 | 2022-10-06 | Comcast Cable Communications, Llc | Systems and methods for data security on a mobile device |
US11743040B2 (en) | 2021-06-25 | 2023-08-29 | Bank Of America Corporation | Vault encryption abstraction framework system |
US11971974B2 (en) * | 2021-12-10 | 2024-04-30 | Konica Minolta Business Solutions U.S.A., Inc. | Method and system for mapping a virtual smart card to a plurality of users |
EP4273678A1 (en) | 2022-05-06 | 2023-11-08 | Apple Inc. | Devices, methods, and graphical user interfaces for updating a session region |
US11842028B2 (en) | 2022-05-06 | 2023-12-12 | Apple Inc. | Devices, methods, and graphical user interfaces for updating a session region |
CN115412323B (zh) * | 2022-08-23 | 2023-07-18 | 江苏云涌电子科技股份有限公司 | 一种基于tcm的单次登录访问多个应用的方法 |
WO2024046571A1 (en) * | 2022-09-01 | 2024-03-07 | Assa Abloy Ab | Dependent credentials |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05216409A (ja) * | 1991-09-27 | 1993-08-27 | Internatl Business Mach Corp <Ibm> | 制御ベクトルに基づく公開鍵暗号システムの鍵管理 |
WO2008036947A2 (en) * | 2006-09-22 | 2008-03-27 | Bea Systems, Inc. | Reverse proxy system |
US20130191629A1 (en) * | 2012-01-19 | 2013-07-25 | Laconic Security, Llc | Secure group-based data storage in the cloud |
US20140250511A1 (en) * | 2011-03-21 | 2014-09-04 | Mocana Corporation | Secure single sign-on for a group of wrapped applications on a computing device and runtime credential sharing |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5787169A (en) * | 1995-12-28 | 1998-07-28 | International Business Machines Corp. | Method and apparatus for controlling access to encrypted data files in a computer system |
US6795920B1 (en) * | 1999-06-30 | 2004-09-21 | International Business Machines Corporation | Vault controller secure depositor for managing secure communication |
AU2002213013A1 (en) * | 2000-09-29 | 2002-04-08 | Jill Fallon | Systems and methods for a personal, universal, integrated organizer for legacy planning and storage |
WO2002103496A2 (en) * | 2001-06-18 | 2002-12-27 | Daon Holdings Limited | An electronic data vault providing biometrically protected electronic signatures |
US8386797B1 (en) * | 2002-08-07 | 2013-02-26 | Nvidia Corporation | System and method for transparent disk encryption |
US7240219B2 (en) * | 2003-05-25 | 2007-07-03 | Sandisk Il Ltd. | Method and system for maintaining backup of portable storage devices |
US7565702B2 (en) * | 2003-11-03 | 2009-07-21 | Microsoft Corporation | Password-based key management |
US8224725B2 (en) * | 2004-10-14 | 2012-07-17 | Google Inc. | Escrowing digital property in a secure information vault |
US8429425B2 (en) * | 2007-06-08 | 2013-04-23 | Apple Inc. | Electronic backup and restoration of encrypted data |
US8438383B2 (en) * | 2010-04-05 | 2013-05-07 | White Sky, Inc. | User authentication system |
US20120036565A1 (en) * | 2010-04-05 | 2012-02-09 | Juan Gamez | Personal data protection suite |
JP5391756B2 (ja) * | 2009-03-17 | 2014-01-15 | 株式会社リコー | 画像形成装置、情報管理方法、及びプログラム |
WO2010143191A1 (en) * | 2009-06-11 | 2010-12-16 | Safend Ltd. | System and method for protecting information and related encryption keys |
US20110113235A1 (en) * | 2009-08-27 | 2011-05-12 | Craig Erickson | PC Security Lock Device Using Permanent ID and Hidden Keys |
WO2011137254A2 (en) * | 2010-04-30 | 2011-11-03 | Tobsc Inc. | Methods and apparatus for a document clearinghouse and secure delivery network |
US9413526B1 (en) * | 2011-03-08 | 2016-08-09 | Ciphercloud, Inc. | System and method to anonymize data transmitted to a destination computing device |
SG193041A1 (en) * | 2012-02-21 | 2013-09-30 | Global Blue Holdings Ab | Transaction processing system and method |
US9053340B2 (en) * | 2012-10-12 | 2015-06-09 | Citrix Systems, Inc. | Enterprise application store for an orchestration framework for connected devices |
US20140108793A1 (en) * | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
US8997197B2 (en) * | 2012-12-12 | 2015-03-31 | Citrix Systems, Inc. | Encryption-based data access management |
US9326145B2 (en) * | 2012-12-16 | 2016-04-26 | Aruba Networks, Inc. | System and method for application usage controls through policy enforcement |
US9165151B2 (en) * | 2013-03-13 | 2015-10-20 | Fred Federspiel | Systems, methods, and devices for encrypted data management |
US20150039908A1 (en) * | 2013-07-30 | 2015-02-05 | Deutsche Telekom Ag | System and Method for Securing A Credential Vault On A Trusted Computing Base |
US9639710B2 (en) * | 2013-12-23 | 2017-05-02 | Symantec Corporation | Device-based PIN authentication process to protect encrypted data |
US9760710B2 (en) * | 2014-02-28 | 2017-09-12 | Sap Se | Password recovering for mobile applications |
WO2016109666A1 (en) * | 2014-12-31 | 2016-07-07 | Citrix Systems, Inc. | Shared secret vault for applications with single sign on |
-
2015
- 2015-12-30 WO PCT/US2015/068064 patent/WO2016109666A1/en active Application Filing
- 2015-12-30 EP EP15826274.1A patent/EP3241139B1/en active Active
- 2015-12-30 JP JP2017535436A patent/JP6417483B2/ja not_active Expired - Fee Related
- 2015-12-30 US US14/983,961 patent/US9626525B2/en active Active
- 2015-12-30 EP EP20171406.0A patent/EP3702946B1/en active Active
-
2017
- 2017-03-10 US US15/455,751 patent/US10049224B2/en active Active
-
2018
- 2018-07-11 US US16/032,673 patent/US10699024B2/en active Active
- 2018-08-22 JP JP2018155604A patent/JP6424295B1/ja active Active
-
2020
- 2020-05-27 US US16/884,667 patent/US11288384B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05216409A (ja) * | 1991-09-27 | 1993-08-27 | Internatl Business Mach Corp <Ibm> | 制御ベクトルに基づく公開鍵暗号システムの鍵管理 |
WO2008036947A2 (en) * | 2006-09-22 | 2008-03-27 | Bea Systems, Inc. | Reverse proxy system |
US20140250511A1 (en) * | 2011-03-21 | 2014-09-04 | Mocana Corporation | Secure single sign-on for a group of wrapped applications on a computing device and runtime credential sharing |
US20130191629A1 (en) * | 2012-01-19 | 2013-07-25 | Laconic Security, Llc | Secure group-based data storage in the cloud |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200048268A (ko) * | 2018-10-29 | 2020-05-08 | 에스케이텔레콤 주식회사 | 게이트웨이장치 및 컴퓨터프로그램 |
KR102512414B1 (ko) * | 2018-10-29 | 2023-03-20 | 에스케이텔레콤 주식회사 | 게이트웨이장치 및 컴퓨터프로그램 |
Also Published As
Publication number | Publication date |
---|---|
EP3702946B1 (en) | 2021-10-20 |
US20160191499A1 (en) | 2016-06-30 |
US11288384B2 (en) | 2022-03-29 |
US10699024B2 (en) | 2020-06-30 |
US20170185787A1 (en) | 2017-06-29 |
US20180322298A1 (en) | 2018-11-08 |
JP6424295B1 (ja) | 2018-11-14 |
EP3702946A1 (en) | 2020-09-02 |
EP3241139B1 (en) | 2020-05-20 |
WO2016109666A1 (en) | 2016-07-07 |
US10049224B2 (en) | 2018-08-14 |
EP3241139A1 (en) | 2017-11-08 |
JP2018201239A (ja) | 2018-12-20 |
US20210234853A1 (en) | 2021-07-29 |
US9626525B2 (en) | 2017-04-18 |
JP6417483B2 (ja) | 2018-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6424295B1 (ja) | シングルサインオンを含むアプリケーション用の共有秘密保管庫 | |
US11297055B2 (en) | Multifactor contextual authentication and entropy from device or device input or gesture authentication | |
US10728044B1 (en) | User authentication with self-signed certificate and identity verification and migration | |
US9628448B2 (en) | User and device authentication in enterprise systems | |
CN113316783A (zh) | 使用活动目录和一次性口令令牌组合的双因素身份认证 | |
US8489889B1 (en) | Method and apparatus for restricting access to encrypted data | |
US20190332792A1 (en) | Access management system, access management method and program | |
US20150121498A1 (en) | Remote keychain for mobile devices | |
JP6669929B2 (ja) | シングルサインオンアプリケーション用の暗号化鍵を管理するためのシステム及び方法 | |
US20170026353A1 (en) | Management of access sessions | |
US10078747B2 (en) | Resumption of logon across reboots | |
US11550964B2 (en) | Account-specific security in an email client |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180423 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180524 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180822 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180906 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181005 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6417483 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |