JP2020536304A - 単一の産業ネットワーク上の多テナント・データアクセスを可能にすること - Google Patents
単一の産業ネットワーク上の多テナント・データアクセスを可能にすること Download PDFInfo
- Publication number
- JP2020536304A JP2020536304A JP2020516834A JP2020516834A JP2020536304A JP 2020536304 A JP2020536304 A JP 2020536304A JP 2020516834 A JP2020516834 A JP 2020516834A JP 2020516834 A JP2020516834 A JP 2020516834A JP 2020536304 A JP2020536304 A JP 2020536304A
- Authority
- JP
- Japan
- Prior art keywords
- transactions
- client device
- computer
- gateway
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/38—Services specially adapted for particular environments, situations or purposes for collecting sensor information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
2.0 構造概要
2.1 企業サービス
2.2 ブロックチェーンアーキテクチャー
2.3 分配サービス
3.0 機能概要
3.1 仮想IAMサービス
3.2 企業装置認証サービス
3.3 許可処理
3.4 検査ログ及び確認
3.5 多テナントアプリケーション認証サービス
3.6 単一入口
4.0 手順概要
5.0 ハードウェア概要。
様々な実施形態によれば、アプリケーションに加え企業装置、クライアント装置に単一の認証入口を提供することで改善されたコンピュータ及びネットワーク効率及び機密保護を可能にする方法及びシステムが提供される。その単一認証入口は、企業サーバーに代わってローカル識別及びアクセス管理(IAM)サービスをクライアント装置及びアプリケーションに提供し、一方、クライアント装置及びアプリケーションに代わって企業装置に認証してもらう。過去の手法はクライアント装置及びアプリケーションから企業サーバーへの接続を認証のために必要とし、認証後、クライアント装置及びアプリケーションは企業装置に直接接続した。これらの過去の手法では、いずれかの企業装置の機密保護が損なわれた時、企業サーバーはクライアント装置がその損なわれた装置にアクセスするのをまだ許可しようとするかもしれない。しかし、本手法は仲介者を利用して企業サーバーに代わって装置及びアプリケーションを認証し、装置及びアプリケーションに代わって企業装置に認証してもらう。この手法は全てのクライアント装置及び企業装置の状態を監視し機密保護違反を検出し、不審な動作を知らせる方法を提供する。この手法は、企業サーバーにとってIAMサービスを仲介者に移すことで処理資源の使用及びネットワーク通信量を低減する利点、ポリシーを自身に実施することをもはや負わないクライアント装置にとって処理資源の使用を低減する利点、及び検査ログ、データ確認、及びブロックチェーンを使用して機密データへの悪意のある攻撃に対する耐性を増加させる利点を有する。また、本手法は、地理的に分散され企業環境から離れた複数のIoT装置に広げることができ、資源集約的機密保護ソフトウェアを各IoT装置上又はにおいて実行することがない。
図1はネットワークコンピュータシステムを例示する。1つの実施形態では、コンピュータシステム100は、少なくとも部分的に1つ以上のコンピュータ装置のハードウェア、例えば本書に記載された機能を実行するために1つ以上のメモリに記憶されたプログラム命令群を実行する1つ以上のハードウェアプロセッサにより実現される構成要素を備える。様々な実施形態において、本書に記載された全ての機能が、特殊用途コンピュータ又は汎用コンピュータ内のプログラミングを使用して実行される動作を表すように意図されている。「コンピュータ」は1つ以上の物理的コンピュータ、仮想コンピュータ、及び/又はコンピュータ装置であってよい。例として、コンピュータは1つ以上のサーバーコンピュータ、クラウドベースのコンピュータ、クラウドベースのコンピュータ群、仮想マシンインスタンス又は仮想マシン計算要素、例えば仮想プロセッサ、記憶部及びメモリ、データセンター、記憶装置、卓上コンピュータ、ラップトップコンピュータ、携帯装置、及び/又は任意の他の特殊用途コンピュータ装置であってよい。特に明記されない限り、本書における「コンピュータ」へのいずれの言及も1つ以上のコンピュータを意味しうる。上記の命令群は実行可能な命令群であり、JAVA(登録商標)、C++、OBJECTIVE‐C、又は任意の他の適切なプログラミング環境で作成されたソースコードに基づいてコンパイル又は他のやり方で作製された1つ以上の実行可能なファイル又はプログラムから成ってもよい。
企業サービス110は企業によってプログラムで提供され識別及びアクセス管理(IAM)120サービスを含むサービスであってよい。通常、このようなサービスはコンピュータ上で制御プログラム又はアプリケーションプログラムを実行し、規定されたプロトコルに基づいてネットワークを通じたクライアント・サーバーデジタルメッセージ通信を使用してクライアントコンピュータ装置の要求を処理し応答することで提供される。IAM120サービスは、企業サーバーなどの装置が地理的に分散された複数のコンピュータ装置(これに限定されないがIoT装置を含む)のいずれに対しても装置及びユーザーアクセスを管理、認証、及び制御するのを可能にするかもしれない。
ブロックチェーン150はコンピュータの相互接続ネットワーク内に記憶された複数ブロックの繋がれたデータから成ってもよく、これらのコンピュータにおいてブロックチェーンデータの順序付けられた生成及び送信を支える適切なプログラムが記憶されている。ブロックチェーン150は、ブロックと呼ばれる順序付けられた記録の連続的に成長するリストを維持する分散されたデータベースを形成する。これらのブロックは時刻が刻印され先行のブロックにリンクされる。一連のブロック内の各ブロックは時間順に繋がれ、各新ブロックは先行するブロックのハッシュを含む。コンピュータのネットワーク内の各コンピュータ155又はノードは繋がれたデータブロックの全記録を記憶してもよい。これは各データブロックの完全性とブロックチェーン150全体の完全性とを検証できるコンピュータの合意ネットワークを作る。合意ネットワークは、ビザンチン障害を許容する計算システムの能力である高い耐ビザンチン障害性を有する利点を有する。結果として、ブロックチェーン150は、ハッシュ機能を利用して各ブロックをその先行するブロックに繋げデータブロックの全記録を各ノードにおいて記憶することでデータの完全性を保証する分散されたデータベースとして機能する。
分配サービス160は、IAMサービスをクライアント装置161にローカルに分配し企業装置180に認証してもらうように構成又はプログラムされたコンピュータ実行サービスであってもよい。クライアント装置161はコンピュータ、仮想コンピュータ、及び/又はコンピュータ装置であってよい。例として、コンピュータは1つ以上のサーバーコンピュータ、クラウドベースのコンピュータ、クラウドベースのコンピュータ群、仮想マシンインスタンス又は仮想マシン計算要素、例えば仮想プロセッサ、記憶部及びメモリ、データセンター、記憶装置、卓上コンピュータ、ラップトップコンピュータ、携帯装置、及び/又は任意の他の特殊用途コンピュータ装置であってよい。クライアント装置161はコンピュータネットワーク装置、例えばゲートウェイ、モデム、ルーター、無線アクセスポイント、スイッチ、ハブ、及びファイアウォールであってもよい。クライアント装置161はまた、自身がデータを収集及び交換することを可能にするネットワーク接続能力を有する物理的装置である他のIoT装置であってもよい。クライアント装置161はまた、コンピュータ又はIoT装置を使用する特定のユーザーであってもよい。クライアント装置161はまた、コンピュータ又はIoT装置上で動作するアプリケーションであってもよい。
機密保護ゲートウェイ170は、新しいやり方で結合された異なる技術基礎の収束された組みを表すことは明らかであろう。1つの実施形態では、機密保護ゲートウェイ170はクライアント装置161と企業装置180の間の仲介を行う。機密保護ゲートウェイ170の1つの目的は、ローカルな仮想IAMサービスを提供し、クライアント装置161がインターネットに接続してIAM120サービスをさもなければ実行する企業サーバーにアクセスする必要をなくすことである。機密保護ゲートウェイ170の別の目的は、クライアント装置161に代わって企業装置180に認証してもらうことである。機密保護ゲートウェイ170はまた、ユーザーアカウントを企業装置180毎に許可レベルと対応付け、クライアント装置161と企業装置180の間のトランザクションを検査及び確認目的のために追跡するよう機能する。従って、機密保護ゲートウェイ170は、クライアント装置161の企業装置180へのアクセスを認証し、統制し、追跡するため、及び本書の他の項で更に説明されるように企業装置180の可能性のある機密保護違反を検出するための単一の入口として機能する。
図2は1つの実施形態における機密保護ゲートウェイを例示する。機密保護ゲートウェイ170は、インターネットアクセスを伴って又はなしでローカル認証サービスのための識別情報を検出し、記憶し、利用する命令群及び/又はデータベースを記憶するコンピュータ、ソフトウェア及び/又はハードウェア、又は組み合わせであってもよい。具体的には、機密保護ゲートウェイ170は、クライアント装置161が機密保護ゲートウェイ170に接続するために呼び出すプログラム機能を規定するアプリケーション・プログラム・インターフェース(API)215を実現するプログラムされた命令群を含んでよい。API215は、例えばHTTPサーバーと一体化された表象状態転送(REST)APIであってもよく、そのため、REST原則に従うAPI呼び出しをパラメーター化されたURLでHTTPを通じてクライアント装置161からAPI215に発行できる。1つの実施形態では、API215を介してゲートウェイに接続されたクライアント装置161は仮想IAMサービス命令群220を使用して認証されてよい。仮想IAMサービス命令群220は仮想IAMデータリポジトリ225に記憶された識別情報を使用して接続されたクライアント装置161のためにローカルに仮想IAMサービスを実行してもよい。
ある企業装置はアクセスを許可するためにローカル認証を要求するかもしれない。例えば、小さい風力タービンは、フラッシュメモリ又は他の不揮発性記憶装置にハードコード化された工場出荷時設定認証情報を有する場合がある。そのタービンにアクセスするために、工場出荷時設定認証情報を入力し、次に機密保護のためにカスタム認証情報に変更される。その後、そのタービンにアクセスするために、そのカスタム認証情報を入力しなければならない。1つの実施形態では、機密保護ゲートウェイ170は、認証情報の設定、企業装置180とのローカル認証のための認証情報の記憶、及び機密保護向上のための認証情報の循環を、クライアント装置161の代わりに行う。
様々なIoT装置へのアクセスは異なる許可レベル、例えばルートレベル、管理レベル、読出し書込みレベル、及び読出し専用レベルの使用により統制されてもよい。機密保護ゲートウェイ170は認証されたユーザー又は認証された装置の特定のIoT装置へのアクセスを「管理者」又は「ユーザー」などの役割又は許可に関連する所定の許可レベルに基づいて統制するように構成されてよい。例えば、クライアント装置161は、企業サーバーに代わって仮想IAMサービスを提供する機密保護ゲートウェイ170に接続してもよい。ユーザーアカウントはクライアント装置161に関連してもよい。
機密保護ゲートウェイ170はクライアント装置161と企業装置180の間の仲介として働くようにプログラムされてもよいので、全てのIoT装置への及びからの全てのトランザクションを探してパケット、セグメント、フロー、又は他の通信を追跡するように論理的に位置付けられている。検査ログ処理命令群250は、例えば時刻印、行為者、動作/トランザクション、重大度、及び機密保護ゲートウェイ170により処理されたいずれの行動の状態も記録し、追跡及び機密保護目的で検査ログを生成するようプログラムされてもよい。検査ログは平文で記述された個別のトランザクションエントリであっても又は一連のトランザクションエントリであってもよい。
別の実施形態では、機密保護ゲートウェイ170は多様なソフトウェアアプリケーションのための単一の認証入口として働いてよい。機密保護ゲートウェイ170は、そのうち多くがデータの送受信に多様なアプリケーションを使用する複数の企業装置に認証してもらうので、機密保護ゲートウェイ170はまた、これらのアプリケーションのそれぞれをサポートし、各アプリケーションに認証サービスを提供してもよい。従って、機密保護ゲートウェイ170は単一の認証入口で多テナントデータアクセスを提供してもよい。
図4は1つの実施形態における機密保護ゲートウェイシステムを例示する。図4の例では、機密保護ゲートウェイ170は企業装置、ユーザー、アプリケーション、及びデータの単一入口として働いてよい。具体的には、機密保護ゲートウェイ170は、異なるプラットフォーム及びプロトコルに亘ってデータを制御及び分散するのに加え、IoT装置を登録し、認証情報を循環させ、企業装置、アプリケーション、及びクライアント装置を認証し、アプリケーションの多テナントをサポートするようにプログラムされてよい。
図5A及び図5Bは1つの実施形態における多テナント認証サービスを提供するためのアルゴリズム又は方法500を例示する。図5A及び図5Bは、機密保護ゲートウェイ170が実行又は管理する1つ以上のコンピュータプログラム又は他のソフトウェア要素をコード化するのに基礎として使用されてよい。1つの実施形態では、この項の手法を使用して、機密保護ゲートウェイ170は企業サーバーの代わりに仮想IAMサービスを提供する。もしそうでなければ、企業サーバーが認証サービスをクライアント装置及びアプリケーションに提供する必要がある。機密保護ゲートウェイ170はまた、クライアント装置161及びアプリケーション310の代わりに企業装置に認証してもらうことで、クライアント装置及びアプリケーションの代わりに働く。
1つの実施形態によれば、本書に記載した手法は1つ以上の特殊用途コンピュータ装置により実行される。特殊用途コンピュータ装置はそれらの手法を実行するように配線されていても、又はデジタル電子装置、例えば1つ以上の特定用途向け集積回路(ASIC)又はそれらの手法を実行するように永続的にプログラムされたフィールド・プログラマブル・ゲートアレイ(FPGA)を備えていても、又はファームウェア、メモリ、他の記憶装置、又は組み合わせ内のプログラマ命令群に従ってそれらの手法を実行するようにプログラマされた1つ以上の汎用ハードウェアプロセッサを備えていてもよい。このような特殊用途コンピュータ装置はまた、カスタム配線論理、ASIC、又はFPGAをカスタムプログラムと結合してそれらの手法を達成してもよい。特殊用途コンピュータ装置は卓上コンピュータシステム、携帯コンピュータシステム、ハンドヘルド装置、ネットワーク装置、又は配線及び/又はプログラム論理を内蔵しそれらの手法を実行する任意の他の装置であってもよい。
120 識別及びアクセス管理(IAM)
122 データリポジトリ
130 機密保護仲介者
140 ネットワーク
150 ブロックチェーン
155 コンピュータ
160 分配サービス
161 クライアント装置
170 機密保護ゲートウェイ
180 企業装置
215 アプリケーション・プログラム・インターフェース(API)
220 仮想IAMサービス命令群
225 仮想IAMデータリポジトリ
230 逆プロキシ命令群
235 企業装置認証命令群
240 装置データリポジトリ
245 認証情報処理命令群
250 検査ログ処理命令群
255 検査ログデータリポジトリ
260 データ検証命令群
265 許可処理命令群
270 許可データリポジトリ
310 アプリケーション
320 アプリケーション認証命令群
330 メッセージキュー処理命令群
340 メッセージキュー
410 エッジアプリケーション
420 企業ユーザー認証命令群
430 分配機構ノード
440 データ転送命令群
602 バス
604 プロセッサ
606 主メモリ
610 記憶装置
612 表示器
614 入力装置
616 カーソル制御
618 通信インターフェース
620 ネットワークリンク
622 ローカルネットワーク
624 ホスト
628 インターネット
630 サーバー
Claims (21)
- ゲートウェイを使用して第1の認証要求を1つ以上の第1コンピュータ装置から受信するステップと、
前記ゲートウェイを使用して、前記第1の認証要求を受信したことに応答して前記ゲートウェイに記憶され関連する第1組の識別情報を使用して第1クライアント装置の代わりに前記第1コンピュータ装置の1つ以上に認証してもらうことで、第1の認証サービスを前記1つ以上の第1コンピュータ装置のために実行するステップと、
前記第1の認証サービスを実行したことに応答して、前記ゲートウェイを使用して、前記1つ以上の第1コンピュータ装置の少なくとも1つに対応する第1組の1つ以上のトランザクションを生成しキューに入れるステップと、
前記ゲートウェイを使用して、第2の認証要求を前記第1組の1つ以上のトランザクションにアクセスするように構成された前記第1クライアント装置から受信するステップと、
前記第2の認証要求を受信したことに応答して、前記ゲートウェイを使用して、前記ゲートウェイに記憶され前記第1クライアント装置に関連する第2組の識別情報を使用して第2コンピュータ装置の代わりに第2の認証サービスを前記第1クライアント装置のために実行するステップと、
前記第2の認証サービスを実行したことに応答して、前記ゲートウェイを使用して、前記第1組の1つ以上のトランザクションを暗号化し前記第1クライアント装置に送信するステップと
を含むコンピュータ実行方法。 - 前記第1の認証サービスを実行したことに応答して、前記ゲートウェイを使用して、前記1つ以上の第1コンピュータ装置の少なくとも1つに対応する第2組の1つ以上のトランザクションを生成しキューに入れるステップと、
前記ゲートウェイを使用して、第3の認証要求を前記第2組の1つ以上のトランザクションにアクセスするように構成された第2クライアント装置から受信するステップと、
前記第3の認証要求を受信したことに応答して、前記ゲートウェイを使用して、前記ゲートウェイに記憶され前記第2クライアント装置に関連する第3組の識別情報を使用して前記第2コンピュータ装置の代わりに第3の認証サービスを前記第2クライアント装置のために実行するステップと、
前記第3の認証サービスを実行したことに応答して、前記第2組の1つ以上のトランザクションを暗号化し前記第2クライアント装置に送信するステップと
を更に含む請求項1記載の方法。 - 前記1つ以上の第1コンピュータ装置は1つ以上の物のインターネット(IoT)装置であり、前記第1の認証サービスを前記1つ以上の第1コンピュータ装置のために実行するステップは前記第1の認証サービスを前記1つ以上のIoT装置のために実行することを含む、請求項1記載の方法。
- 前記第2の認証サービスを実行するステップはアプリケーションを認証することを含む、請求項1記載の方法。
- 暗号化することは公開鍵暗号を使用することを含む、請求項1記載の方法。
- 前記第1組の1つ以上のトランザクションは第1組の1つ以上の時刻印・値ペアを含む、請求項1記載の方法。
- 前記第2組の1つ以上のトランザクションは第2組の1つ以上の時刻印・値ペアを含む、請求項2記載の方法。
- 1つ以上のプログラム命令シーケンスを記憶する1つ以上の持続性コンピュータ読取可能記憶媒体であって、前記プログラム命令シーケンスは1つ以上のコンピュータ装置により実行される時、
ゲートウェイを使用して第1の認証要求を1つ以上の第1コンピュータ装置から受信するステップと、
前記ゲートウェイを使用して、前記第1の認証要求を受信したことに応答して前記ゲートウェイに記憶され関連する第1組の識別情報を使用して第1クライアント装置の代わりに前記第1コンピュータ装置の1つ以上に認証してもらうことで、第1の認証サービスを前記1つ以上の第1コンピュータ装置のために実行するステップと、
前記第1の認証サービスを実行したことに応答して、前記ゲートウェイを使用して、前記1つ以上の第1コンピュータ装置の少なくとも1つに対応する第1組の1つ以上のトランザクションを生成しキューに入れるステップと、
前記ゲートウェイを使用して、第2の認証要求を前記第1組の1つ以上のトランザクションにアクセスするように構成された前記第1クライアント装置から受信するステップと、
前記第2の認証要求を受信したことに応答して、前記ゲートウェイを使用して、前記ゲートウェイに記憶され前記第1クライアント装置に関連する第2組の識別情報を使用して第2コンピュータ装置の代わりに第2の認証サービスを前記第1クライアント装置のために実行するステップと、
前記第2の認証サービスを実行したことに応答して、前記ゲートウェイを使用して、前記第1組の1つ以上のトランザクションを暗号化し前記第1クライアント装置に送信するステップと
を実行させる、1つ以上の持続性コンピュータ読取可能記憶媒体。 - 1つ以上の追加のプログラム命令シーケンスが記憶され、前記1つ以上のコンピュータ装置により実行される時、
前記第1の認証サービスを実行したことに応答して、前記ゲートウェイを使用して、前記1つ以上の第1コンピュータ装置の少なくとも1つに対応する第2組の1つ以上のトランザクションを生成しキューに入れるステップと、
前記ゲートウェイを使用して、第3の認証要求を前記第2組の1つ以上のトランザクションにアクセスするように構成された第2クライアント装置から受信するステップと、
前記第3の認証要求を受信したことに応答して、前記ゲートウェイを使用して、前記ゲートウェイに記憶され前記第2クライアント装置に関連する第3組の識別情報を使用して前記第2コンピュータ装置の代わりに第3の認証サービスを前記第2クライアント装置のために実行するステップと、
前記第3の認証サービスを実行したことに応答して、前記第2組の1つ以上のトランザクションを暗号化し前記第2クライアント装置に送信するステップと
を更に実行させる、請求項8記載の1つ以上の持続性マシン読取可能媒体。 - 前記1つ以上の第1コンピュータ装置は1つ以上の物のインターネット(IoT)装置であり、前記第1の認証サービスを前記1つ以上の第1コンピュータ装置のために実行するステップは前記第1の認証サービスを前記1つ以上のIoT装置のために実行することを含む、請求項8記載の1つ以上の持続性マシン読取可能媒体。
- 前記第2の認証サービスを実行するステップは前記第1組の1つ以上のトランザクションへのアクセスを許可することを含む、請求項8記載の1つ以上の持続性マシン読取可能媒体。
- 前記第3の認証サービスを実行するステップは前記第2組の1つ以上のトランザクションへのアクセスを許可することを含む、請求項9記載の1つ以上の持続性マシン読取可能媒体。
- 前記第1組の1つ以上のトランザクションは第1組の1つ以上の時刻印・値ペアを含み、前記第2組の1つ以上のトランザクションは第2組の1つ以上の時刻印・値ペアを含む、請求項9記載の1つ以上の持続性マシン読取可能媒体。
- 前記第1組の1つ以上のトランザクション及び前記第2組の1つ以上のトランザクションを暗号化することは、公開鍵暗号を使用することを含む、請求項9記載の1つ以上の持続性マシン読取可能媒体。
- 1つ以上のプロセッサと、
前記1つ以上のプロセッサに結合されたコンピュータ読取可能記憶媒体と、
前記コンピュータ読取可能記憶媒体に結合され命令群を記憶するメモリと
を備えたコンピュータシステムであって、前記1つ以上のプロセッサにより実行される時、前記命令群はゲートウェイに、
第1の認証要求を1つ以上の第1コンピュータ装置から受信するステップと、
前記第1の認証要求を受信したことに応答して前記ゲートウェイに記憶され関連する第1組の識別情報を使用して第1クライアント装置の代わりに前記第1コンピュータ装置の1つ以上に認証してもらうことで、第1の認証サービスを前記1つ以上の第1コンピュータ装置のために実行するステップと、
前記第1の認証サービスを実行したことに応答して、前記1つ以上の第1コンピュータ装置の少なくとも1つに対応する第1組の1つ以上のトランザクションを生成しキューに入れるステップと、
第2の認証要求を前記第1組の1つ以上のトランザクションにアクセスするように構成された前記第1クライアント装置から受信するステップと、
前記第2の認証要求を受信したことに応答して、前記ゲートウェイに記憶され前記第1クライアント装置に関連する第2組の識別情報を使用して第2コンピュータ装置の代わりに第2の認証サービスを前記第1クライアント装置のために実行するステップと、
前記第2の認証サービスを実行したことに応答して、前記第1組の1つ以上のトランザクションを暗号化し前記第1クライアント装置に送信するステップと
を実行させる、コンピュータシステム。 - 前記メモリは追加の命令群を記憶し、前記1つ以上のコンピュータ装置により実行される時、前記命令群は前記ゲートウェイに、
前記第1の認証サービスを実行したことに応答して、前記1つ以上の第1コンピュータ装置の少なくとも1つに対応する第2組の1つ以上のトランザクションを生成しキューに入れるステップと、
第3の認証要求を前記第2組の1つ以上のトランザクションにアクセスするように構成された第2クライアント装置から受信するステップと、
前記第3の認証要求を受信したことに応答して、前記ゲートウェイに記憶され前記第2クライアント装置に関連する第3組の識別情報を使用して前記第2コンピュータ装置の代わりに第3の認証サービスを前記第2クライアント装置のために実行するステップと、
前記第3の認証サービスを実行したことに応答して、前記第2組の1つ以上のトランザクションを暗号化し前記第2クライアント装置に送信するステップと
を実行させる、請求項15記載のコンピュータシステム。 - 前記1つ以上の第1コンピュータ装置は1つ以上の物のインターネット(IoT)装置であり、前記第1の認証サービスを前記1つ以上の第1コンピュータ装置のために実行するステップは前記第1の認証サービスを前記1つ以上のIoT装置のために実行することを含む、請求項16記載のコンピュータシステム。
- 前記第1組の1つ以上のトランザクションは第1組の1つ以上の時刻印・値ペアを含む、請求項17記載のコンピュータシステム。
- 前記第2組の1つ以上のトランザクションは第2組の1つ以上の時刻印・値ペアを含む、請求項18記載のコンピュータシステム。
- 前記第2の認証サービスを実行するステップは、前記第2組の1つ以上のトランザクションではなく前記第1組の1つ以上のトランザクションへのアクセスを許可することを含む、請求項19記載のコンピュータシステム。
- 前記第3の認証サービスを実行するステップは、前記第1組の1つ以上のトランザクションではなく前記第2組の1つ以上のトランザクションへのアクセスを許可することを含む、請求項20記載のコンピュータシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/727,476 | 2017-10-06 | ||
US15/727,476 US10104077B1 (en) | 2017-10-06 | 2017-10-06 | Enabling multitenant data access on a single industrial network |
PCT/US2018/052843 WO2019070475A1 (en) | 2017-10-06 | 2018-09-26 | ACTIVATING SHARED ACCESS TO DATA ON A SINGLE INDUSTRIAL NETWORK |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020536304A true JP2020536304A (ja) | 2020-12-10 |
JP7011709B2 JP7011709B2 (ja) | 2022-01-27 |
Family
ID=63761693
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020516834A Active JP7011709B2 (ja) | 2017-10-06 | 2018-09-26 | 単一の産業ネットワーク上の多テナント・データアクセスを可能にすること |
Country Status (3)
Country | Link |
---|---|
US (2) | US10104077B1 (ja) |
JP (1) | JP7011709B2 (ja) |
WO (1) | WO2019070475A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114697067A (zh) * | 2020-12-25 | 2022-07-01 | 扉睿科技股份有限公司 | 基于安全导向暨群组分享的物联网系统 |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11509486B2 (en) | 2017-05-24 | 2022-11-22 | Nxm Labs, Inc. | Identity attestation system and method |
US11429960B2 (en) | 2017-05-24 | 2022-08-30 | Nxm Labs, Inc. | Network configuration management for networked client devices using a distributed ledger service |
US11496462B2 (en) * | 2017-11-29 | 2022-11-08 | Jpmorgan Chase Bank, N.A. | Secure multifactor authentication with push authentication |
US20190166502A1 (en) * | 2017-11-29 | 2019-05-30 | Mojo Networks, LLC. | Security monitoring for wireless sensor nodes |
US11190513B2 (en) * | 2018-01-19 | 2021-11-30 | Vmware, Inc. | Gateway enrollment for internet of things device management |
US10728218B2 (en) * | 2018-02-26 | 2020-07-28 | Mcafee, Llc | Gateway with access checkpoint |
US11582042B2 (en) * | 2018-03-16 | 2023-02-14 | General Electric Company | Industrial data verification using secure, distributed ledger |
US11140133B2 (en) * | 2018-04-13 | 2021-10-05 | Cisco Technology, Inc. | Layer 7 proxy for immutable application audit trails |
GB2573178A (en) * | 2018-04-24 | 2019-10-30 | Arm Ip Ltd | Managing data access |
US11695735B2 (en) | 2018-05-10 | 2023-07-04 | Nxm Labs, Inc. | Security management for net worked client devices using a distributed ledger service |
US11481509B1 (en) * | 2018-07-10 | 2022-10-25 | United Services Automobile Association (Usaa) | Device management and security through a distributed ledger system |
US11005719B2 (en) | 2018-12-11 | 2021-05-11 | Vmware, Inc. | Internet of Things system topology generation |
CN109981633B (zh) * | 2019-03-19 | 2021-05-11 | 全链通有限公司 | 访问服务器的方法、设备及计算机可读存储介质 |
US11777712B2 (en) * | 2019-03-22 | 2023-10-03 | International Business Machines Corporation | Information management in a database |
US11330006B2 (en) | 2019-08-29 | 2022-05-10 | Bank Of America Corporation | Detecting and identifying devices at enterprise locations to protect enterprise-managed information and resources |
US11356462B2 (en) | 2019-08-29 | 2022-06-07 | Bank Of America Corporation | Detecting and identifying devices at enterprise locations to protect enterprise-managed information and resources |
US11494482B1 (en) * | 2019-11-19 | 2022-11-08 | Cyral Inc. | Centralized applications credentials management |
CN111327602B (zh) * | 2020-01-21 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 一种设备接入处理方法、设备及存储介质 |
US11184367B2 (en) | 2020-04-21 | 2021-11-23 | Lockheed Martin Corporation | Applying blockchain to a sensor tracker |
CN112218294B (zh) * | 2020-09-08 | 2021-08-27 | 深圳市燃气集团股份有限公司 | 基于5g的物联网设备的接入方法、系统及存储介质 |
US20220141658A1 (en) * | 2020-11-05 | 2022-05-05 | Visa International Service Association | One-time wireless authentication of an internet-of-things device |
DE102021109253B4 (de) * | 2021-04-13 | 2022-11-17 | Sma Solar Technology Ag | Verfahren zum login eines autorisierten nutzers auf ein gerät, insbesondere auf ein gerät für eine energieerzeugungsanlage, und energieerzeugungsanlage mit gerät |
US20230188471A1 (en) * | 2021-12-13 | 2023-06-15 | International Business Machines Corporation | Recertification of access control information based on context information estimated from network traffic |
US11888929B1 (en) | 2022-11-15 | 2024-01-30 | SimpliSafe, Inc. | Load balancing device connections |
CN116633696B (zh) * | 2023-07-25 | 2024-01-02 | 深圳市永达电子信息股份有限公司 | 网络计算节点接入控制器系统、管控方法和电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002082907A (ja) * | 2000-09-11 | 2002-03-22 | Nec Corp | データ通信におけるセキュリティ機能代理方法、セキュリティ機能代理システム、及び、記録媒体 |
US20110167250A1 (en) * | 2006-10-24 | 2011-07-07 | Dicks Kent E | Methods for remote provisioning of eletronic devices |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8285990B2 (en) * | 2007-05-14 | 2012-10-09 | Future Wei Technologies, Inc. | Method and system for authentication confirmation using extensible authentication protocol |
US20170302641A1 (en) * | 2014-03-28 | 2017-10-19 | Confia Systems, Inc. | Secure and Anonymized Authentication |
-
2017
- 2017-10-06 US US15/727,476 patent/US10104077B1/en active Active
-
2018
- 2018-09-17 US US16/133,513 patent/US10404696B2/en active Active
- 2018-09-26 WO PCT/US2018/052843 patent/WO2019070475A1/en active Application Filing
- 2018-09-26 JP JP2020516834A patent/JP7011709B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002082907A (ja) * | 2000-09-11 | 2002-03-22 | Nec Corp | データ通信におけるセキュリティ機能代理方法、セキュリティ機能代理システム、及び、記録媒体 |
US20110167250A1 (en) * | 2006-10-24 | 2011-07-07 | Dicks Kent E | Methods for remote provisioning of eletronic devices |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114697067A (zh) * | 2020-12-25 | 2022-07-01 | 扉睿科技股份有限公司 | 基于安全导向暨群组分享的物联网系统 |
JP2022103134A (ja) * | 2020-12-25 | 2022-07-07 | 扉睿科技股▲ふん▼有限公司 | セキュリティ指向及びグループ共有に基づくモノのインターネットシステム |
JP7233773B2 (ja) | 2020-12-25 | 2023-03-07 | 扉睿科技股▲ふん▼有限公司 | セキュリティ指向及びグループ共有に基づくモノのインターネットシステム |
Also Published As
Publication number | Publication date |
---|---|
JP7011709B2 (ja) | 2022-01-27 |
US10404696B2 (en) | 2019-09-03 |
US20190245852A1 (en) | 2019-08-08 |
US10104077B1 (en) | 2018-10-16 |
WO2019070475A1 (en) | 2019-04-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7011709B2 (ja) | 単一の産業ネットワーク上の多テナント・データアクセスを可能にすること | |
US11329989B2 (en) | Token-based access control and grouping | |
US10057282B2 (en) | Detecting and reacting to malicious activity in decrypted application data | |
US10715514B1 (en) | Token-based credential renewal service | |
US9866566B2 (en) | Systems and methods for detecting and reacting to malicious activity in computer networks | |
US10757103B2 (en) | Single authentication portal for diverse industrial network protocols across multiple OSI layers | |
US10673862B1 (en) | Token-based access tracking and revocation | |
US20090217342A1 (en) | Parental Control for Social Networking | |
US10681023B2 (en) | Self-service portal for provisioning passwordless access | |
CN103179134A (zh) | 基于Cookie的单点登录方法、系统及其应用服务器 | |
Otta et al. | Cloud identity and access management solution with blockchain | |
US20220343095A1 (en) | Fingerprint-Based Device Authentication | |
US11728973B2 (en) | System and method for secure access management | |
Bhatnagar et al. | An empirical study of security issues in grid middleware | |
Singh et al. | Security in amazon web services | |
Kaushik et al. | Cloud computing security: attacks, threats, risk and solutions | |
US20240073011A1 (en) | Systems and Methods for Securing a Quantum-Safe Digital Network Environment | |
Sukiasyan | Secure data exchange in IIoT | |
Schaffer | Ontology for authentication | |
Bahkali et al. | How Can Organizations Prevent Cyber Attacks Using Proper Cloud Computing Security? | |
Welch | Globus online security review | |
Foltz et al. | Enterprise Security with Endpoint Agents | |
WO2024073843A1 (en) | Systems and methods for establishing a secure digital network environment | |
Sharma et al. | Survey on Cloud Computing Security Policies and Privacy Concerns for Information Security. | |
Sharma et al. | An implementation for conserving privacy based on encryption process to secured cloud computing environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210401 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20210401 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20210428 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210630 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20210930 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211130 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211215 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220114 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7011709 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |