JP2022512352A - リダイレクションを含むタイムスタンプベースの認証 - Google Patents

リダイレクションを含むタイムスタンプベースの認証 Download PDF

Info

Publication number
JP2022512352A
JP2022512352A JP2021532905A JP2021532905A JP2022512352A JP 2022512352 A JP2022512352 A JP 2022512352A JP 2021532905 A JP2021532905 A JP 2021532905A JP 2021532905 A JP2021532905 A JP 2021532905A JP 2022512352 A JP2022512352 A JP 2022512352A
Authority
JP
Japan
Prior art keywords
computing system
client computing
authentication process
authentication
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021532905A
Other languages
English (en)
Other versions
JP7309880B2 (ja
JPWO2020122977A5 (ja
Inventor
ダニエル チエン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Publication of JP2022512352A publication Critical patent/JP2022512352A/ja
Publication of JPWO2020122977A5 publication Critical patent/JPWO2020122977A5/ja
Application granted granted Critical
Publication of JP7309880B2 publication Critical patent/JP7309880B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Abstract

コンピュータセキュリティの技術、より具体的にはタイムスタンプベースの認証が記載される。いくつかの実施は、クライアントとオーセンティケータとの間で秘密として共有される認証プロセスを利用する認証方法を提供する。プロセスは、タイムスタンプに基づく番号を出力として提供する。ターゲットサービスにアクセスしようとするときにクライアントを認証するために、クライアントとオーセンティケータの両方が、ローカルに生成されたタイムスタンプを使用して認証プロセスを実行する。認証プロセスの出力が一致する場合、クライアントが認証される。一致しない場合、クライアントからの後続のネットワーク通信は、拒否されるか、またはターゲットサービスとしてマスカレードする代替計算システムにリダイレクトされる。【選択図】図1

Description

関連出願の相互参照
本出願は、2018年12月14日に出願された、発明の名称が「タイムスタンプベースの認証」である、米国特許出願第16/220,652号の一部継続出願であり、その内容は、その全体が参照により本明細書に組み込まれる。
本開示は、コンピュータセキュリティの方法、技術、およびシステムに関し、より具体的には、そのユーザに加えて計算デバイスのアイデンティティを検証する認証に対するタイムスタンプベースのアプローチに関する。
ハッカーおよび他の悪意の当事者は、ホームユーザ、企業、または政府によって動作される計算システムまたはネットワークにますます侵入しようとしている。多くの場合、ハッカーは、正当なユーザの盗まれた認証情報(例えば、ユーザ名やパスワードなど)を使用して、システムやネットワークにアクセスする。例えば、ハッカーは、侵入を受けたシステムから盗まれたユーザ名やパスワードのリストにアクセスできる。多くのユーザが、多くの異なるサービスに同じパスワードを使用しているので、ハッカーは、これらのパスワードを他のシステムで試すことができる。
例示的実施形態によるシステムにおける相互作用する認証モジュールを示すブロック図である。 例示的実施形態による認証およびリダイレクションを示すブロック図である。 例示的実施形態による認証およびリダイレクションを示すブロック図である。 例示的実施形態による認証およびリダイレクションを示すブロック図である。 例示的実施形態による認証およびリダイレクションを示すブロック図である。 例示的実施形態によって提供される認証プロセスを示すフロー図である。 例示的実施形態によって提供される認証プロセスを示すフロー図である。 例示的実施形態によって提供される認証プロセスを示すフロー図である。 例示的実施形態によって提供される認証プロセスを示すフロー図である。 例示的実施形態によって提供される認証プロセスを示すフロー図である。 例示的実施形態によって提供される認証プロセスを示すフロー図である。 例示的実施形態によって提供される認証プロセスを示すフロー図である。 例示的実施形態による認証モジュールを実施する計算システムのブロック図である。
本明細書に記載する実施形態は、コンピュータセキュリティの方法、デバイス、およびシステムを提供し、より具体的には、タイムスタンプベースの認証技術は、システム、サービス、および組織の追加レベルのセキュリティを提供する。典型的実施形態は、第1計算システムと第2計算システムとの間で共有される認証プロセスを利用する認証方法を提供する。認証プロセスのアイデンティティは、2つの計算システム間で共有される秘密である。プロセスは、タイムスタンプに基づく番号を出力として提供する。第1計算システムは、そのクロックから取得したタイムスタンプを使用して認証プロセスを実行する。結果としての番号は、ユーザ名および/またはパスワードなどの他の認証データとおそらく共に、第2計算システムに送信される。これに応答して、第2計算システムは、そのクロックから取得したタイムスタンプを使用して認証プロセスを実行する。第1および第2計算システムによって生成された番号が一致する場合、第1計算システムが認証される。
認証は、他の情報または追加情報に基づいて決定できる。例えば、計算システムは、ユーザ名およびパスワード検証と組み合わせて、記載されたタイムスタンプベースの技術を使用することによって、認証されてよい。別の例として、認証は、許容されるIPアドレス範囲、デバイス識別子(例えば、ハードウェアアドレス、MAC識別子、CPU識別子)、時間範囲、地理的位置などの、許容されるネットワーク通信の特性を特定するホワイトリストまたは他のデータ構造と組み合わせた、タイムスタンプベースの技術に基づいてよい。
計算システムまたはデバイスが、記載される認証技術に失敗した場合、様々なアクションが考えられる。そのようなアクションには、任意のネットワーク接続のクローズ、認証失敗のロギング、ユーザへの通知などが含まれる。他の実施形態では、試みられた通信は、代替計算システムにリダイレクトされる。代替計算システムは、実際の宛先システムの機能、外観、構造、およびデータの少なくとも一部をコピーすることによって、実際の宛先計算システムとしてマスカレードする「モックシステム」である。モックシステムは、偽造の、偽の、またはそうでなければ本物でない、データを含むことが多い。場合によっては、偽造のデータは、その使用を追跡するように特別に構成される。例えば、偽造のデータは、データのソースを識別するのに使用されることができる固有のスペルやエラーを有する、名前、住所、または番号を含む架空の顧客リストを含み得る。デジタル画像データは、データを追跡するのに同様に使用され得る透かしまたは他の信号を含み得る。
典型的実施形態では、記載された第1計算システムはクライアントであり、第2計算システムはサーバである。クライアントは、サーバによって提供されるサービスにアクセスするために、それ自体を認証する。他の実施形態では、クライアントは、ある第三者によって提供または管理される可能性がある、ある他のシステムまたはサービスに対してクライアントを認証するために使用できる認証トークンを取得するために、サーバとそれ自体を認証することができる。いくつかの実施形態では、第1および第2システムは、インターネットを利用できる消費者デバイスのネットワークなどのピアである。
記載される技術は、1つ以上の計算システムの操作、統合、または効率を改善することなどによって、既存の技術を改善する。具体的には、記載される技術は、コンピュータセキュリティに対する現在のアプローチにおける欠点に対処する。記載される技術を使用すると、悪意の計算システムが、セキュアサービス、システム、またはネットワークに侵入することが、より困難になる。記載される技術は、適切な認証プロセスで構成されたコンピュータまたはデバイスのみにアクセスを制限する。記載される技術は、ユーザによって使用されているデバイスに加えて、ユーザのアイデンティティを検証するのに使用されることができる。従って、悪意の当事者がユーザのログイン認証情報(例えば、ユーザ名やパスワード)を盗んだとしても、その悪意の当事者は、その当事者がユーザのデバイスも盗んでいなければ、セキュアシステムにアクセスできない。
システム概観
図1は、一実施形態によるシステムにおける相互作用する認証モジュールを示すブロック図である。図1では、システム199は、サーバ計算システム10と、クライアント計算システム60と、認証プロセスリポジトリシステム62とを含む。サーバ10は、サーバ認証モジュール100と、認証プロセス110aとを含む。クライアント60は、クライアント認証モジュール101と、同じ認証プロセス110aとを含む。リポジトリシステム62は、複数の認証プロセス110a-110nを含む。
いくつかの実施形態では、クライアント60は、企業、大学、または他の組織によって提供され得るような、セキュアサービスまたはネットワークとの相互作用のために配備されるコンピュータである。クライアント60が最初に構成されるとき(例えば、それがアンボックスされておらず、そのユーザのために構成されるとき)、管理者120または他の特権ユーザは、初期認証プロセス110aの指示をクライアント60およびサーバ10に記憶する。これは、認証プロセスの識別子を入力するなど、手動で行われ得る。他の実施形態では、認証プロセス110aの指示は、セキュアチャネルを介してクライアントおよび/またはサーバに送信されてよい。これに応答して、クライアント60およびサーバ10は、それぞれ、リポジトリシステム110a-nから識別された認証プロセス110aを取得および記憶する。クライアント60は、そして、以下に説明するように、サーバ10との認証相互作用中に認証プロセス110aを使用する準備が整う。
典型的実施形態では、認証プロセスは、入力としてタイムスタンプを取り、タイムスタンプに基づいて番号を出力する。例示的プロセスは、K=a*timestamp+bと表されてよく、ここで、aおよびbは、認証プロセスの一部として記憶される定数である。いくつかの実施形態では、定数aおよびbは、プロセスの固定または静的部分であるが、他の実施形態では、定数は、プロセスが選択または記憶されるときに指定される構成データである。他の実施形態は、タイムスタンプに基づいて出力を計算するために、他のまたは追加の演算子(例えば、減算、指数化、モジュロ等)を使用し得る。
クライアント60は、次のようにサーバ10に対してそれ自体を認証する。まず、クライアントは、ハードウェアまたはソフトウェアクロックから、現在の時刻を反映するタイムスタンプを取得する。クロックは、典型的には、クライアント60に対してローカルであるが、いくつかの実施形態では、ネットワークアクセス可能なタイムサーバであってよい。クライアント60は、そして、認証プロセス110をタイムスタンプに適用して、認証キーとして使用される番号を取得する。例えば、タイムスタンプが1544512669で、プロセス110が機能K=34*timestamp+54543を適用する場合、結果としての番号は52513485289になる。決定された番号は、そして、認証データとしてサーバ10にクライアント60によって送信される。認証データは、ユーザ名およびパスワード(またはそのハッシュ)などの他の情報を含んでよい。認証データは、MACアドレス、CPU識別子、または同様のものなどのデバイス識別子も、あるいは代わりに、含んでよい。
サーバ10がクライアント60から認証データを受信すると、サーバ10はクライアント60と同様に認証番号を算出する。サーバ10は、まず、クライアントを認証プロセスに関連付けるテーブルまたはデータベース内のプロセス110aを検索することによって、利用する正しい認証プロセスを決定する。サーバ10は、典型的に、クライアントを各認証プロセスにマップする表を有し、クライアントごとに異なるプロセスを採用することができるようになっている。いくつかの実施形態では、この表は、クライアントの変更不可能なデバイス識別子(例えば、MACアドレス、CPU識別子)を認証プロセスの識別子にマップする。サーバ60は、認証データの一部として、別個のネットワーク伝送を介して、またはそうでなければ初期ネットワークハンドシェイクまたは他のネットワークプロトコル関連動作の一部として、デバイス識別子を受信する。
サーバ10は、そして、クロックからタイムスタンプを取得し、プロセス110をタイムスタンプに適用して、番号を取得する。この番号は、クライアント60から受信した番号と比較される。番号(およびパスワード、および存在する場合は他の識別子)が一致する場合、クライアント60は真正である。サーバ10は、そして、認証されたことをクライアント60に通知する。いくつかの実施形態では、この通知は、クライアント60がサーバ10と共に使用できるトークンを含む。このトークンは、サーバ10によって管理される認証されたアクセスを必要とする別のシステムまたはサービスと共に使用してもよく、代わりに使用してもよい。例えば、サーバ10は、他の(場合によっては第三者の)システムまたは組織によって使用される認証サービスを提供することができる。
サーバ10およびクライアント60によって使用されるタイムスタンプは、ネットワーク伝送待ち時間、クロックドリフト等のために、同じではない可能性がある。そのような変化を考慮するために、認証プロセス110は、タイムスタンプの精度をより大きな時間間隔に下げることができる。例えば、タイムスタンプが秒単位で表される場合、認証プロセス110は、タイムスタンプを最も近い10秒間隔に丸めるか、切り捨てるか、または切り上げることができる(例えば、1の位の数字をドロップすることによって)。また、時間間隔の境界を越えて移行するクライアントおよびサーバタイムスタンプを考慮するために、サーバ10は、プロセス110を、先の時間間隔と同様に電流を反映するタイムスタンプに適用することができる。一例として、クライアントによって取得されたタイムスタンプが1239であり、認証プロセスがその機能を適用する前に1の位の数字をドロップすると仮定する。K=34*modified timestamp+42yields34*123+42=4224を使用する。サーバ10によって取得されたタイムスタンプが1秒後(1240)である場合、サーバはK=34*124+42=4258を生成し、これはクライアント60から受信した番号とは一致しない。しかし、サーバ10が前の時間間隔(123)もチェックする場合、クライアント60から受信した番号と一致する番号(34*123+42=4224)を取得する。他の実施形態では、クライアント60は、代わりに、第1のものが現在の時間間隔に基づき、第2のものが次の今後の時間間隔に基づいている、2つの番号を送信することができる。サーバ10は、そして、これらの両方を現在時刻に基づいてその番号と照合し、いずれかの番号がサーバの番号と一致する場合にクライアント60を認証する。
認証プロセスは、時々、またはイベントの発生時に、修正または変更され得る。例えば、サーバ10は、n回目の認証ごと、時間(例えば、24時間)の経過後、一定の日付(例えば、2020年1月1日)等で、新たな認証プロセスを使用するようにクライアント60に指示してよい。認証プロセスを変更することによって、悪意の当事者が、記載する技術の核心で番号成機能を回復することがより困難になる。
リポジトリシステム62は、他のデバイスおよびシステムによって使用される認証プロセスを記憶および提供する。システム62は、いくつかの実施形態では、パブリックリポジトリである。いくつかの実施形態において記載される技術は、特定の認証方法のアイデンティティを秘密に保つことに依存するので、異なる認証プロセスの詳細は、公開されてよい。そのような実施形態では、システム62は、典型的に、多くの(例えば、何百万もの)認証プロセスをホストし、悪意の当事者が、それら全てを強引に試すことができないようになっている。また、あるいは代替的に、各認証プロセスは、構成可能な定数、またはクライアントとサーバとの間で秘密として保持することもできる他の入力を、利用してよい。いくつかの実施形態では、認証プロセスは、それ自体プライベートである。セキュリティを最大限に高めるために、認証プロセスは、組織内のシステムとマシンとの間でのみ共有される。例えば、企業は、従業員デバイスの認証目的でのみ使用される認証プロセスの秘密セットを確立することができる。このセットは、安全な共有リポジトリに保存されてもよく、各デバイスに直接ロードされてもよい。認証プロセスは少数の定数と演算子として表すことができるので、非常に多数のプロセスをかなり簡潔に表すことができる。
いくつかの実施形態では、記載する技術は、企業または組織ネットワークの文脈において、ユーザおよびそのデバイスを認証するために採用される。他の文脈では、この技術は、オンラインWebベースのサービスの文脈において採用されることができる。そのような実施形態では、ユーザがWebサービスにサインアップするたびに、サービスは、使用する初期認証プロセスの指示を提供する。ユーザのクライアントデバイスは、Webサービスを認証プロセスにマップする表を保持し、ユーザがアクセスしているWebサービスに基づいて正しい認証プロセスを採用することができるようになっている。さらに、上述したように、これらの技術は、セキュアシステムにアクセスするときにデバイスのアイデンティティを検証するために、デバイス識別子(例えば、マックまたはCPU識別子)を使用する他の技術と組み合わせることができる。そのような技術は、2016年11月22日に出願された、発明の名称が「デバイス識別子およびネットワークアドレスに基づくネットワークセキュリティ」である、米国特許出願公開第2018/0146001号に記載されており、それは、その全体が参照により本明細書に組み込まれる。
なお、作成および/または使用され得る異なる認証プロセスの数に実質的に制限はない。いくつかの実施形態は、多数(例えば、何百万もの)の異なる認証プロセスを提供し、そのうちの異なるサブセットは、異なる企業、組織等によって使用され得る。これにより、各組織は、他の組織に対してフレキシビリティおよび独自性を有することができる。従って、各組織は、認証プロセスを選択、置換、および更新するための独自のポリシーを実施することができる。
なお、記載される認証技術は、ユーザインタラクションなしに実行されることができる。特に、認証モジュールは、ユーザ介入なしに自動的に、適切な認証プロセスを適用し、結果としての数(場合によっては他のキャッシュしたログインクレデンシャルまたはトークンと共に)をサーバに送信することなどが可能である。このようにして、この技術は、ユーザに対して完全に透過的であってもよい。さらに、この技術は、異なる実施形態では、プロトコルスタックの異なるレベルで実施され得る。例えば、一実施形態は、HTTP接続などを介して、アプリケーション層で認証相互作用を実行し得る。別の実施形態は、レイヤ2(データリンク)または3(ネットワーク)などの下位層で認証相互作用を実行し得る。
図2A-2Dは、例示的実施形態による認証およびリダイレクションを示すブロック図である。概観として、図2Aは、例示的認証相互作用におけるリダイレクションを示し、図2Bは、例示的非認証相互作用におけるリダイレクションを示している。図2Cは、ルータやファイアウォールなどのネットワーク機器によって、非認証相互作用のリダイレクションが実行される変形例を示している。図2Dは、認証およびターゲットサービスが別個の計算システムによって実行される別の変形例を示している。
図2Aは、例示的認証相互作用におけるリダイレクションを示している。図2Aは、上述の図1などに記載されている、サーバ計算システム10と相互作用する認証計算デバイス201を示している。サーバ10は、認証モジュール100、リダイレクタ120およびターゲットサービス130を含む。認証デバイス201は、ターゲットサービス130と相互作用しようとしている。ターゲットサービス130は、ウェブページ、ウェブアプリ、ネットワークアクセス可能なAPIなど、サーバ10によって提供される任意のネットワークアクセス可能なサービスであってよい。
認証デバイス201は、上述したように、認証モジュール100との認証相互作用に関わる。デバイス201が認証されているので、認証モジュール100は、認証デバイス201による後続のアクセスをターゲットサービス130にリダイレクトするように、リダイレクタ120に指示する。モジュール100からの指示は、ターゲットサービス130に通信をリダイレクトする明示的なコマンド、認証が成功したことを示すレスポンスコード等を含む、様々な形態をとることができる。リダイレクションは、実施形態に応じて様々な方法で達成され得る。例えば、リダイレクションは、適切な認証トークンを含むかどうかを決定することなどによって、ネットワーク通信が認証されるかどうかに応じて、アプリケーション制御をリダイレクトするサーバアプリケーション内の制御ロジックによって実行されてよい。他の実施形態では、リダイレクションは、以下にさらに詳細に記載するように、ネットワークパケットをリルーティングすることによって実行されてよい。
図2Bは、例示的非認証相互作用におけるリダイレクションを示している。図2Bは、サーバ計算システム10と相互作用する非認証計算デバイス202を示している。図2Aのように、デバイス202は、最初に、認証モジュール100と相互作用することによって認証を試みる。認証が失敗すると、モジュール100は、モックシステム210とのさらなる相互作用をリダイレクトするように、リダイレクタ120に指示する。本明細書で提供される議論に加えて、リダイレクション技術は、2017年3月21日に出願された、発明の名称が「問題のあるネットワークアクセスのリダイレクションに基づくネットワークセキュリティ」である、米国特許出願第15/465,315号にさらに記載され、それは、その全体が参照により本明細書に組み込まれる。
ネットワーク通信は、様々な方法でリダイレクトすることができる。いくつかの実施形態では、パケットは、パケットを異なるホスト/ネットワークに送信することによってリダイレクトすることができる。そのような場合、パケットの宛先アドレスを修正する必要があるかもしれない。他の実施形態では、HTTPリダイレクトなどの、アプリケーションレベルのリダイレクトが採用されることができる。例えば、認証モジュール100は、Webサーバ上で実行されるアプリケーションによって利用されてよい。この文脈において、問題のある通信は、拒否されたソースIPアドレスに由来する(例えば、TCP/IPスタックから取得された)ものである可能性がある。要求されたページを非認証デバイス202に供給する代わりに、ウェブサーバは、デバイス202に代わりにモックシステム210と相互作用させるHTTPリダイレクト(例えば、レスポンスコード301)で応答する。
モック計算システム210は、ターゲットサービス130の挙動、構造、および機能の少なくとも一部をマスカレード、シミュレート、および/または模倣する計算システムである。モックシステム210は、ターゲットサービス130と実質的にまたは完全に同じ機能を提供することができるが、その代わりに、個人情報(例えば、クレジットカード情報、社会保障番号)、会社データ(例えば、企業秘密、金融データ、分類データ)、国家セキュリティデータ、または同様のものなどの偽造または偽のデータを記憶または提供し得る。提供されるデータは、悪意のユーザを惑わせる、欺く、混乱させる、または追跡するように設計され得る。上述のように、偽のデータのいくつかは、後にその使用を追跡するように特別に構成されてよい。例えば、個人情報は、後に識別することができる意図的なスペルミスを含んでよい。別の例として、デジタル画像、オーディオ、またはビデオコンテンツは、透かしまたは他の信号を含んでよく、透かしまたは他の信号は、人間には知覚できないが、認証なしにモックシステム803から取得されたものとしてコンテンツを一意に識別することができる。
モック計算システム210は、典型的に、非認証デバイス202からのネットワーク通信を追跡するように構成される。通信を追跡することは、非認証デバイス202の行動をロギング、記録、またはその他の方法で監視することを含むことができる。
場合によっては、モック計算システム210は、非認証デバイス202に対する「カウンタアタック」を開始しようと試みる。例えば、モックシステム210は、非認証デバイス202の動作を監視または制御するのに使用することができるプログラムコード(例えば、ルートキット、トロイの木馬、ワーム)をインストールするために、(例えば、バッファオーバーフロー、スクリプトインジェクション等を引き起こすことによって)問題のあるデバイスのセキュリティに侵入するようにネットワーク通信を使用しようと試みてよい。
いくつかの実施形態では、モックシステム210は仮想マシンである。いくつかの実施形態は、仮想マシンの一群を利用して、モックシステムとして機能する。これらの仮想マシンは、通信のソースIPアドレスなどの様々な要因に基づいて割り当てることができ、所定のアタッカーが、後でアクセスした際でも、所定の仮想マシンに常に導かれるようになっている。また、仮想マシンの使用により、異なるアタッカーを異なるモックコンピューティングシステムにリダイレクトできる。
図2Cは、非認証相互作用のリダイレクションが、ルータやファイアウォールなどのネットワークデバイスによって実行される、変形例を示している。この例は、非認証通信のリダイレクションが、サーバ計算システム10から分離および区別される計算デバイスによって実行される点で、図2Aおよび2Bのものとは異なる。この例では、デバイス201および202は、保護されたネットワーク252と相互作用しようとし、保護されたネットワーク252は、サーバシステム10、モックシステム210、およびネットワークデバイス260を含む。デバイス260は、ルータ、ファイアウォール、スイッチ、サーバ等であってよい。
図示の例では、ネットワークデバイス260は、少なくとも、場合によりサーバシステム10(または他のデバイス/システム)から受信した指示に基づいて、サーバシステム10またはモックシステム210のいずれかに着信通信を導くのに関与しているリダイレクションモジュール(例えば、モジュール120のような)を実行する。他の実施形態では、デバイス260は、ソースIPアドレス、地理的位置、時刻などの他の通信特性と場合により組み合わせられる、記載されるタイムスタンプベースの認証スキームを使用することによって、所定の通信が認証されるかどうかを決定することができる、認証モジュールも実行する。
例として、両方のデバイス201および202は、サーバ10への新しいTCP/IP接続を開くことなどによって、サーバシステム10と相互作用しようとする。新しい通信または相互作用を含むネットワークパケットは、本明細書に記載されるように、認証のためにシステム10にデバイス260によってリダイレクトされる。認証が失敗した場合(デバイス202の場合のように)、システム10は、非認証デバイス由来のさらなるパケットをモックシステム210にリダイレクトするように、デバイス260に指示する。そうでなければ、認証が成功した場合(デバイス201の場合のように)、システム10は、非認証デバイス由来のパケットをシステム10に伝え続けるように、デバイス260に指示する。
いくつかの実施形態では、システム10は、デバイス260にいかなる種類の指示も提供しない。そのような実施形態では、デバイス260は、認証トークンの有無に基づいてアクセスをリダイレクトしてよい。例えば、トークンを含まない新しい通信は、システム10にルーティングされてよい。通信が認証される場合(デバイス201)、システム10は、認証デバイス201に有効なトークンを提供する。その一方で、通信が認証できない場合(デバイス202)、システム10は、リダイレクションを必要とするものとしてデバイス260によって認識される、特別にフォーマットされたトークンを、非認証デバイス202に提供する。
場合によっては、認証およびリダイレクションロジックの両方がデバイス260にある。例えば、仮想プライベートネットワーク(VPN)を実施するファイアウォールに対してそのようなアプローチをとることができる。保護されたネットワーク252にアクセスするために、デバイス201および202は、まず、デバイス262とVPNを確立しなければならない。VPNをセットアップするには、ユーザ名/パスワード、タイムスタンプベースの認証、デバイス識別子、または本明細書で論じられる他の要因やプロパティ、のうちの1つ以上が必要である。非認証デバイス202は、ネットワーク252にアクセスすることが可能であってよいが、その通信の全ては、モックシステム210にリダイレクトされる。
図2Dは、認証およびターゲットサービスが、別個の計算システムによって実行される、別の変形例を示している。図2Dのシナリオは、認証が認証システム200によって実行されることと、ターゲットサービスがターゲットシステム230によって提供されることとを除いて、図2Cのシナリオと同様である。図2Dは、サービスおよび物理(または仮想)マシンが様々な方法で組織され得ることを強調する。典型的なMicrosoft Windows実施では、認証は、ドメインコントローラによって実行され、それは、多くの場合、ネットワークアクセス可能なサービスを提供するシステム(例えば、システム230)とは別個の計算システム(例えば、システム200)に存在する。他の実施形態では、デバイス201および202は、認証システム200と決して直接相互作用し得ない。その代わりに、それらのデバイスがターゲットシステム230と相互作用すると、ターゲットシステムは、それ自体がデバイス201および202のために認証システム200と相互作用する。
上述のように、いくつかの実施形態は、1つ以上の信頼できるデバイス識別子の存在があればベース認証をさらに行い得る。デバイス識別子は、典型的に、CPU、マザーボード、ディスク、ビデオカード、ネットワークインターフェースカード、MACアドレス、または同様のもの、に焼き付けられた識別子またはシリアル番号などの、ハードウェア識別子である変更不可能な識別子であってよい。変更不可能な識別子は、CPUおよびネットワークカード識別子を組み合わせることなどによって、複数のハードウェア識別子を組み込んでよい。
変更不可能な識別子を操作または偽造できないことを保証するために、特別な措置が講じられる。典型的実施形態では、全ての認証デバイスは、ネットワークを管理する会社または他のエンティティ(例えば、政府機関)によって制御される。認証デバイスは、典型的に「ロックダウン」される。つまり、一般ユーザは、管理者権限が付与されず、従って、起動シーケンスの変更、ソフトウェアのインストールまたは削除、ネットワーク設定の構成、非認証プログラム/スクリプトの実行、または同様のもの、などの動作を実行できない。いくつかの実施形態では、セキュアブート手順が採用され、それによって、ユーザが、記憶されたハードウェア識別子、BIOSまたは他の低レベルコードの改ざん、ブート非認証コード等を変更することができないことを、保証する。認証デバイスのデバイス識別子は、集中ホワイトリストに追加され、それは、真正性およびデータの完全性を保証するために、暗号手段(例えば、デジタル署名)を使用して認証モジュールに分配される。
変更不可能な識別子を通信するための異なるスキームが考えられる。あるプロトコルでは、認証モジュールが所定のソースアドレスから最初のパケットを受信および検証すると、そのモジュールは、そのソースアドレスのデバイスにメッセージを送信する。メッセージは、後続の全ての通信(例えば、パケット)でデバイスの変更不可能な識別子を提供するように、デバイスに指示する。後続のパケットは、認証ソースアドレスおよびデバイス識別子がチェックされる。
別のプロトコルでは、認証モジュールが所定のソースアドレスから最初のパケットを受信および検証すると、そのモジュールは、そのソースアドレスのデバイスに要求を送信し、デバイスの変更不可能な識別子も提供する。デバイスは、識別子を送信することで応答し、それは、そして認証モジュールによって検証されることができる。一旦識別子が検証されると、認証モジュールは、デバイス識別子に対する要求を更新することなく、所定のソースアドレスからの一定の数(または期間)のパケットを許容し得る。例えば、認証モジュールは、100パケットごとに、毎分、または何らかの他のスケジュール(例えば、ランダムウィンドウ)で、デバイス識別子を要求し得る。そのようなアプローチは、ネットワーク待ち時間およびスループットへの影響を最小限に抑える。パケットのごく一部のみがデバイス識別子検証動作をトリガーするからであり、それは、典型的に、リモートデバイスから情報を取得するために追加のネットワークラウンドトリップを要求する。認証モジュールによって「監査」されるパケットのごく一部は、異なるレベルのセキュリティが達成可能になるように、構成可能である。
いくつかの実施形態では、送信されたデバイス識別子は、送信デバイスによって暗号化および/またはデジタル署名される。デバイス識別子を暗号化することは、悪意のユーザが、傍受し、それによって認証デバイス識別子にアクセスすることが不可能であることを、保証する。デバイス識別子にデジタル署名することにより、認証モジュールは、デバイス識別子が認証デバイスによって実際に提供されたものであり、第三者によってではないことを検証できる。
いくつかの実施形態では、情報、プロパティ、ルール等は、認証が、1つ以上のホワイトリストまたは同様のデータ構造/ストアに組織または記憶され得るかどうかを決定するのに使用される。場合によっては、1つ以上のホワイトリストは、時間、場所、および通信方法に関するきめ細かい制御を提供するために、地理的位置、日付、時間、コンテンツタイプ等に関連するものなど、関連する許容可能なプロパティに、IPアドレス(または範囲)、デバイス識別子、ユーザ等をマップする。
例示的プロセス
図3A-3Gは、例示的実施形態によって提供される認証プロセスを示すフロー図である。
図3Aは、サーバ計算システムにおける例示的ロジックのフロー図である。このおよび以下のフロー図において示されているロジックは、例えば、上述の図1に関して記載されたサーバ認証モジュール100によって実行されてよい。図3Aは、以下のブロックを含むプロセス3A00を示している。
ブロック3A01は、第1の認証プロセスの指示をクライアント計算システムに関連付けることを含み、第1の認証プロセスは、入力としてタイムスタンプを取り、タイムスタンプに基づく番号を出力として生成する。典型的に、クライアント計算システムは、クライアント計算システムが、記載されるセキュリティ機構を使用している組織内に配備されるときなど、初期セットアップ中に認証プロセスが割り当てられる。認証プロセスは、関数、コードブロック、または、入力としてタイムスタンプ(例えば、64ビット整数)を取り、そのタイムスタンプに対して動作を実行し、出力として番号結果を提供する、同様のロジックである。
ブロック3A02は、クライアント計算システムから第1の番号を受信することを含み、第1の番号は、第1の認証プロセスを実行することによってクライアント計算システムによって生成される。サーバ計算システムは、クライアント計算システムがサーバ計算システムのまたはサーバ計算システムによって管理されているリソースにアクセスしようとしているときなど、クライアント計算システムとの認証相互作用の一部として番号を受信する。例えば、クライアント計算システムを運用する従業員が、サーバ計算システムによって管理される企業ネットワークに接続およびログインしている。受信される番号は、ローカルクロックから取得されたタイムスタンプにクライアント計算システムによって適用される、認証プロセスの出力である。
ブロック3A03は、サーバ計算システムに対してローカルであるクロックによって生成された第1のタイムスタンプを取得することを含む。サーバ計算システムは、次に、システムクロックからタイムスタンプを得るために適切なシステムコールを行うなどして、ローカルタイムスタンプを取得する。
ブロック3A04は、第1のタイムスタンプに基づいて第2の番号を生成するように第1のタイムスタンプに第2の認証プロセスを適用することを含む。サーバ計算システムは、様々な方法で第2の認証プロセスを決定または識別することができる。それは、表またはクライアントコンピュータを認証プロセスに関連付ける他のマッピングを検査するなどして、第2の認証プロセスを調べてよい。表は、典型的に、変更不可能なハードウェア識別子(例えば、MACアドレス、CPU識別子)などのクライアント識別子を、認証プロセスにマップする。いくつかの実施形態では、認証プロセスは公開されており、他の識別子の番号によって識別することができる。他の実施形態では、認証プロセスのセットは、組織によって秘密に保たれる。サーバ計算システムは、そして、第2の認証プロセスを取得されたタイムスタンプに適用し、それは、第2の番号をもたらし、それは、クライアント計算システムによって提供される第1の番号と比較されることができる。
ブロック3A05は、第1の番号が第2の番号と一致しない場合に、クライアント計算システムからモック計算システムにネットワーク通信をリダイレクトすることを含む。サーバは、クライアント計算システムによって提供された番号が、サーバ計算システムによってローカルに生成された番号と一致する場合にのみ、クライアント計算システムを認証する。これらの番号が一致する場合、クライアントとサーバは、同じ(または実質的に同じ)入力データ(タイムスタンプ)および任意の構成パラメータを有する同じ認証プロセスを使用している。数字が一致する場合、クライアント計算システムが認証される。そうでなければ、クライアントは、誤った認証プロセスを使用しており、認証されていない可能性がある。この場合、クライアントによる後続のアクセスは、モック計算システムにリダイレクトされる。
図3Bは、図3Aのプロセス3A00の延長を示す例示的ロジックのフロー図である。図3Bは、プロセス3A00を含み、さらに以下のブロックを含む、プロセス3B00を示す。
ブロック3B01は、クライアント計算システムの1つ以上の通信特性を決定することを含む。通信特性は、ネットワークアドレス(例えば、IPアドレス)、ネットワークポート、アクセスが発生している時間、変更不可能なデバイス識別子(例えば、MACアドレス)等の1つ以上を含むことができる。
ブロック3B02は、1つ以上の通信特性が許容可能である場合にのみ、クライアント計算システムを認証することを含む。いくつかの実施形態では、プロセスは、ネットワークアドレス、デバイス識別子、許容可能なアクセス時間、および同様のものなどの、許容可能な通信特性を、含むまたは識別するホワイトリストまたは他のデータ構造/ストアを記憶またはそれにアクセスする。
ブロック3B03は、1つ以上の通信特性の少なくとも1つが許容可能でない場合に、ネットワーク通信をクライアント計算システムからモック計算システムにリダイレクトすることを含む。プロセスは、そして、クライアント通信の特性を、許容可能なネットワーク特性に照らしてチェックする。1つ以上のクライアント特性が許容可能でない場合(例えば、許可されていないIPアドレス)、通信はモック計算システムにリダイレクトされる。
図3Cは、図3Aのプロセス3A00の延長を示す例示的ロジックのフロー図である。図3Cは、プロセス3A00を含み、さらに以下のブロックを含む、プロセス3C00を示す。
ブロック3C01は、(1)第1の番号が第2の番号と一致する場合、(2)クライアント計算システムのユーザが認められたユーザ名とパスワードを提供する場合、(3)クライアント計算システムに関連するネットワークアドレスが信頼されるネットワークアドレスのリストに含まれる場合、および(4)クライアント計算システムの変更不可能な識別子が信頼されるデバイス識別子のリストに含まれる場合にのみ、クライアント計算システムを認証することを含む。いくつかの実施形態は、ネットワークアドレス、デバイス識別子、およびユーザ名/パスワードを含む追加の要因の組み合わせに基づいて認証する。変更不可能な識別子は、典型的に、CPU、マザーボード、ディスク、ビデオカード、ネットワークインターフェースカード、MACアドレス、または同様のものに焼き付けられた識別子またはシリアル番号などの、ハードウェア識別子である。変更不可な識別子は、CPUおよびネットワークカード識別子を組み合わせることなどによって、複数のハードウェア識別子を組み込んでよい。変更不可能な識別子が認証されない場合、クライアント計算システムは認証されず、それ以上の通信はモックシステムにリダイレクトされる。
図3Dは、図3Aのプロセス3A00の延長を示す例示的ロジックのフロー図である。図3Dは、プロセス3A00を含むプロセス3D00を示し、第1の認証プロセスの指示をクライアント計算システムに関連付けることは、以下のブロックを含む。
ブロック3D01は、クライアント計算システムの識別子に関連付けられた表に第1の認証プロセスのインジケータを格納するステップを含み、第1の認証プロセスは、初期セットアップ中にクライアント計算システムに割り当てられ、第1の認証プロセスは、それぞれがタイムスタンプに基づく番号を出力として生成する複数の公開認証プロセスのうちの1つである。いくつかの実施形態では、全ての認証プロセスは公開されており、他の識別子の番号によって識別することができる。クライアント計算システムへの認証プロセスの選択および割り付けの後に、サーバ計算システムは、プロセスの識別子を表または類似のデータ構造またはリポジトリ(例えば、データベース)に格納することによって、この割り付けを記憶する。上述したように、クライアントハードウェア識別子は、クライアント計算システムを識別するのに使用されてよい。他の場合では、認証プロセスは、クライアントハードウェア識別子に加えて、あるいはその代わりに、ユーザ識別子と関連付けられる。
図3Eは、図3Aのプロセス3A00の延長を示す例示的ロジックのフロー図である。図3Eは、プロセス3A00を含むプロセス3E00を示し、第1のタイムスタンプに基づいて第2の番号を生成するように第1のタイムスタンプに第2の認証プロセスを適用することは、以下のブロックを含む。
ブロック3E01は、第1のタイムスタンプおよび整数に演算子を適用することを含み、演算子および整数は認証プロセスによって特定される。典型的認証プロセスは、1つ以上の演算子を使用してタイムスタンプおよび少なくとも1 つの他の整数を操作する。例示的プロセスは、kはtimestamp+bに等しいと表されてよく、ここで、kは出力番号で、aおよびbは定数である。定数は、認証プロセスにハードコードされてよい。他の実施形態では、より多様なプロセスを提供するために、定数aおよびbは、2つの乱数を選択することなどによって、サーバ計算システムによって選択されてよい。これらの定数は、クライアント計算システムに提供され、認証プロセスそれ自体の指示と共にクライアントおよびサーバによって格納される。なお、いくつかの実施形態では、認証プロセスは、時間を所定の時間間隔(例えば、最も近い秒、最も近い10秒ウィンドウ、最も近い分)に丸めるまたは切り捨てるなどによって、タイムスタンプの精度を低減してもよい。この技術は、クロックドリフト、通信遅延、および/またはクライアントクロックとサーバクロックとの間のわずかな差を考慮に入れるために使用することができる。
図3Fは、図3Aのプロセス3A00の延長を示す例示的ロジックのフロー図である。図3Fは、プロセス3A00を含み、さらに以下のブロックを含む、プロセス3F00を示す。
ブロック3F01は、第3の認証プロセスのインジケータをクライアント計算システムに送信することを含む。何らかのイベントに対応して、サーバ計算システムは、新しい認証プロセスを選択し、今後の相互作用でそのプロセスを使用するようにクライアント計算システムに指示する。ログイン毎に、n番目のログイン毎に、時間の経過後に(例えば、毎日、週など)、指定された日付で、または指定された日付後に、新たな認証プロセスを選択するなど、様々なイベント/条件が考えられる。第2の認証プロセスのインジケータをクライアント計算システムに送信することによって、サーバは、後続の相互作用で、およびしばらく後で新しいものが選択されるまで、第2の認証プロセスを使用するようにクライアントに指示する。いくつかの実施形態は、認証プロセスを更新するためのクライアント固有のルールを含み、各クライアントが、カスタマイズされた、または個別化された更新レジメンを有し得るようになっている。
ブロック3F02は、クライアント計算システムとの後続の認証相互作用において、第1のタイムスタンプよりも時間的に遅い第2のタイムスタンプに第3の認証プロセスを適用することを含む。サーバ計算システムは、クライアント計算システムとの今後の相互作用において、新しい認証プロセスを使用する。
図3Gは、クライアント計算システムにおける例示的ロジックのフロー図である。このおよび以下のフロー図において示されているロジックは、例えば、上述の図1に関して記載されるクライアント認証モジュール101によって、実行されてよい。図3Gは、以下のブロックを含むプロセス3G00を示している。
ブロック3G01は、クライアントの初期セットアップ中に、入力としてタイムスタンプを取り、タイムスタンプに基づく番号を出力として生成する、第1の認証プロセスの指示を受信および格納することを含む。典型的シナリオでは、クライアントは、高度な権限を持つユーザ(例えば、管理者、ルートユーザー)によって構成される。クライアントが最初に配備されるとき、管理者は、クライアントによる格納のための認証プロセスの識別子を入力する。管理者は、この識別子を、後の認証相互作用中に呼び出すことができるように、ユーザデータベースまたは他のデータストア(例えば、アクティブディレクトリ)に記録もする。
ブロック3G02は、クライアント計算システムに対してローカルであるクロックによって生成された第1のタイムスタンプを受信することを含む。クライアントは、ローカルハードウェアまたはソフトウェアクロックから現在の時刻にアクセスするために適切なシステムまたはAPIコールを行うことによって、タイムスタンプを取得する。いくつかの実施形態では、代わりにタイムサーバを使用してよい。
ブロック3G03は、タイムスタンプに基づいて第1の番号を生成するように第1のタイムスタンプに第1の認証プロセスを適用することを含む。クライアント計算システムは、そして、取得したタイムスタンプに認証プロセスを適用し、番号がもたらされる。
ブロック3G04は、第1の番号をサーバ計算システムに送信することを含む。認証プロセスによって生成された番号は、場合によりユーザ名および/またはパスワード(またはそのハッシュ)などの他の認証情報と共に、サーバ計算システムに送信される。送信は、典型的に、悪意の当事者が認証情報を傍受できないように、暗号化される。
ブロック3G05は、第1の番号がサーバ計算システムによって生成された第2の番号と一致する場合にのみ、クライアント計算システムが認証されるという指示を受信することを含み、第2の番号は、サーバ計算システムに対してローカルであるクロックによって生成された第2のタイムスタンプに第1の認証プロセスを適用することによって、サーバ計算システムによって生成される。送信された番号が、サーバによって同様に生成された番号と一致する場合、サーバは、クライアントが認証されるという指示を送信する。例えば、サーバは、アクセスキーとして使用可能なトークンを送信してよい。そのようなトークンは、一般に、時間制限がある。つまり、一定の時間(または使用回数)が経過した後、クライアントは、サーバによってそれ自体を再認証するように挑戦される。
例示的計算システム実施
図4は、例示的実施形態による認証モジュールを実施する計算システムのブロック図である。特に、図4は、上記のサーバ認証モジュール100を実行する計算システム10を示す。上記のクライアント認証モジュール101を実施するために、同様の技術を適用することができる。
図示の実施形態では、計算システム10は、コンピュータメモリ(「メモリ」)11、ディスプレイ12、1つ以上の中央処理ユニット(「CPU」)13、入力/出力デバイス14(例えば、キーボード、マウス、CRTまたはLCDディスプレイ等)、他のコンピュータ可読媒体15、およびネットワーク接続16を備える。モジュール100は、メモリ11に存在しているように示されている。他の実施形態では、コンテンツの一部、モジュール100の構成要素の一部または全部は、他のコンピュータ可読媒体15に格納および/または送信されてよい。リダイレクタ120および/またはターゲットサービス130など、他のモジュールもメモリ11に存在してよい。モジュール100は、好ましくは、1つ以上のCPU13で実行し、本明細書に記載する技術を実行する。他のコードまたはプログラム30(例えば、管理インターフェース、ウェブサーバ等)および潜在的にデータリポジトリ20などの他のデータリポジトリも、メモリ1に存在し、好ましくは1つ以上のCPU13で実行される。注目すべきは、図4の構成要素のうちの1つ以上は、任意の特定の実施に存在しなくてよいことである。例えば、いくつかの実施形態は、他のコンピュータ可読媒体15またはディスプレイ12を提供しないことがある。
モジュール100は、デバイス10のメモリ11内で実行しているように示されている。メモリ1には、ユーザインタフェースマネージャ41と、アプリケーションプログラムインタフェース(「API」)42も含まれる。ユーザインタフェースマネージャ41およびAPI42は、他の実施形態では、これらの構成要素のうちの1つ以上によって実行される機能が、モジュール100の外部で実行され得ることを示すように、破線で描かれている。
UIマネージャ41は、モジュール100およびその様々な構成要素とのユーザ相互作用を容易にするビューおよびコントローラを提供する。例えば、Ulマネージャ41は、ユーザまたは管理者がモジュール100と対話できるように、モジュール100へのインタラクティブアクセスを提供してよい。いくつかの実施形態では、Ulマネージャ41の機能性へのアクセスは、場合により他のプログラム30の1つとして実行するWebサーバを介して提供されてよい。そのような実施形態では、クライアントシステムまたはデバイス上で実行されるWebブラウザを操作するユーザは、Ulマネージャ41を介してモジュール100と対話できる。
API42は、モジュール100の1つ以上の機能へのプログラマチックアクセスを提供する。例えば、API42は、他のプログラム30または何らかの他のモジュールの1つによって呼び出され得るモジュール100の1つ以上の機能へのプログラマチックインターフェースを提供し得る。このようにして、API42は、ユーザインタフェース、プラグイン、アダプタ(例えば、モジュール100の機能をWebアプリケーションに統合するための)等の第三者ソフトウェアの開発を容易にする。
モジュール100は、計算システム60、62、および64を含む他のデバイス/システムとネットワーク99を介してネットワーク接続16を使用して相互作用し得る。ネットワーク99は、媒体(例えば、ツイストペア、同軸、光ファイバ、無線周波数)、ハードウェア(例えば、ルータ、スイッチ、リピータ、トランシーバ)、および遠隔に位置する人間および/またはデバイス間の通信を容易にするプロトコル(例えば、TCP/IP、UDP、イーサネット(登録商標)、Wi-Fi、WiMAX)、の任意の組み合わせであってよい。計算システム60、62、および64は、システム10と同様に構成されてよい。いくつかの実施形態では、クライアントシステム60は、それ自体をシステム10に対して認証し、それは、応答して、第三者計算システム64と使用できる認証トークンを提供する。
なお、1つ以上の汎用または専用計算システム/デバイスが、モジュール100を実施および/または実行するのに使用されてよい。しかしながら、単に汎用計算システム上でモジュール100を実施することが可能であるというだけで、技術自体、または技術を実施するのに必要とされる動作(単独でまたは組み合わせで)が、従来のものであるまたは周知であるというわけではない。技術は、少なくとも、1つ以上の計算システムの操作、統合、または効率を改善することなどによって、既存の技術を改善およびそれに対処するので、従来のものでない。
例示的実施形態では、モジュール100の構成要素/モジュールは、ソフトウェアプログラミング技術を使用して実施される。例えば、モジュール100は、1つ以上の静的または動的ライブラリと共に、CPU13上で実行される「ネイティブ」実行可能ファイルとして実施されてよい。他の実施形態では、モジュール100は、他のプログラム30のうちの1つとして実行される仮想マシンによって処理される指示として実施されてよい。
様々な構成要素は、例えば、単一のCPU計算システム上で実行可能なものとして、よりモノリシックなプログラミング技術を使用して実施されてよい、あるいは、各々が1つ以上のCPUを有する1つ以上のコンピュータシステム上で実行される、マルチプログラミング、マルチスレッド、クライアントサーバ、またはピアツーピアを含むがこれらに限定されない、様々な構造化技術を使用して分解されてよい。いくつかの実施形態は、同時におよび非同期的に実行され、メッセージパッシング、リモートプロシージャコール、または他の分散計算パラダイムを使用して通信してよい。同等の同期実施形態もサポートされる。また、他の機能は、各構成要素/モジュールによって、および異なる順序で、および異なる構成要素/モジュールによって、実施および/または実行され得るが、それでもなお、記載される機能を達成する。
さらに、データストア20などのモジュール100の一部として格納されたデータへのプログラミングインタフェースは、言語固有のAPI、ファイル、データベース、または他のデータリポジトリにアクセスするためのライブラリによって、XMLなどの表現言語を介して、または格納されたデータへのアクセスを提供するWebサーバ、FTPサーバ、または他のタイプのサーバを介して、利用可能であることができる。データストア20は、1つ以上のデータベースシステム、ファイルシステム、またはそのような情報を記憶する任意の他の技術、または分散計算技術を使用する実施を含む上記の任意の組み合わせとして、実施されてよい。
さらに、いくつかの実施形態では、モジュール100の構成要素の一部または全部は、1つ以上の特定用途向け集積回路(「ASIC」)、標準集積回路、適切な指示を実行し、マイクロコントローラおよび/または埋め込みコントローラを含む、コントローラ、フィールドプログラマブルゲートアレイ(「FPGA」)、複合プログラマブルロジックデバイス(「CPLD」)等、を含むがこれらに限定されない、少なくとも部分的にファームウェアおよび/またはハードウェアにおいてなど、他の方法で実施または提供されてよい。システム構成要素および/またはデータ構造の一部または全部は、コンピュータ可読媒体および/または1つ以上の関連する計算システムまたはデバイスが、記載される技術の少なくとも一部を実行または実行するようにコンテンツを実行または他の方法で使用または提供することを可能にするために、コンテンツとして(例えば、実行可能または他の機械可読ソフトウェア命令または構造化データとして)、コンピュータ可読媒体(例えば、ハードディスク、メモリ、コンピュータネットワークまたはセルラーワイヤレスネットワークまたは他のデータ伝送媒体、DVDまたはフラッシュメモリデバイスなどのまたは適切なドライブによってまたは適切な接続を介して読み取られるポータブル媒体物品)で、格納もされ得る。構成要素および/またはデータ構造の一部または全部は、有形の非一時的記憶媒体に格納されてよい。システム構成要素およびデータ構造の一部または全部は、データ信号として(例えば、搬送波の一部として符号化されることによって、またはアナログもしくはデジタル伝搬信号の一部として含まれることによって)様々なコンピュータ可読伝送媒体上に格納されてもよく、それは、そして、無線ベースおよび有線/ケーブルベースの媒体を含んで送信され、様々な形態をとってもよい(例えば、単一もしくは多重化アナログ信号の一部として、または複数の離散デジタルパケットもしくはフレームとして)。そのようなコンピュータプログラム製品は、他の実施形態では他の形態もとり得る。従って、本開示の実施形態は、他のコンピュータシステム構成で実施され得る。
本発明の実施形態を図示し、説明してきたが、上述のように、本発明の趣旨および範囲から逸脱することなく多くの変更を行うことができる。従って、本発明の範囲は、上記の開示によって限定されない。

Claims (20)

  1. サーバ計算システムにおける方法であって、前記方法は、
    第1の認証プロセスの指示をクライアント計算システムに関連付けるステップであって、第1の認証プロセスは、入力としてタイムスタンプを取り、タイムスタンプに基づく番号を出力として生成する、関連付けるステップと、
    前記クライアント計算システムから第1の番号を受信するステップであって、第1の番号は、第1の認証プロセスを実行することによって前記クライアント計算システムによって生成される、受信するステップと、
    前記サーバ計算システムに対してローカルであるクロックによって生成された第1のタイムスタンプを取得するステップと、
    第1のタイムスタンプに基づいて第2の番号を生成するように第1のタイムスタンプに第2の認証プロセスを適用するステップと、
    第1の番号が第2の番号と一致しない場合に、前記クライアント計算システムからモック計算システムにネットワーク通信をリダイレクトするステップと、
    を含む方法。
  2. 請求項1の方法であって、
    前記クライアント計算システムの1つ以上の通信特性を決定するステップと、
    1つ以上の通信特性が許容可能である場合にのみ、前記クライアント計算システムを認証するステップと、
    1つ以上の通信特性の少なくとも1つが許容可能でない場合に、ネットワーク通信を前記クライアント計算システムから前記モック計算システムにリダイレクトするステップと、
    をさらに含む方法。
  3. 請求項1の方法であって、
    (1)第1の番号が第2の番号と一致する、(2)前記クライアント計算システムのユーザが認められたユーザ名とパスワードを提供する、(3)前記クライアント計算システムに関連するネットワークアドレスが信頼されるネットワークアドレスのリストに含まれる、および(4)前記クライアント計算システムの変更不可能な識別子が信頼されるデバイス識別子のリストに含まれる、場合にのみ、前記クライアント計算システムを認証するステップ、
    をさらに含む方法。
  4. 請求項1の方法であって、第1の番号が第2の番号と一致しない場合に、前記クライアント計算システムからモック計算システムにネットワーク通信をリダイレクトするステップは、ネットワークパケットを前記モック計算システムに送信するステップであって、ネットワークパケットは、ネットワーク通信に関連し、前記サーバ計算システムに宛てられる、送信するステップを含む、方法。
  5. 請求項1の方法であって、第1の番号が第2の番号と一致しない場合に、前記クライアント計算システムからモック計算システムにネットワーク通信をリダイレクトするステップは、ネットワークパケットの宛先ネットワークアドレスを修正するステップであって、修正された宛先ネットワークアドレスは、前記モック計算システムを識別する、修正するステップを含む、方法。
  6. 請求項1の方法であって、第1の認証プロセスの指示をクライアント計算システムに関連付けるステップは、前記クライアント計算システムの識別子に関連付けられた表に第1の認証プロセスのインジケータを格納するステップであって、第1の認証プロセスは、初期セットアップ中に前記クライアント計算システムに割り当てられ、第1の認証プロセスは、それぞれがタイムスタンプに基づく番号を出力として生成する複数の公開認証プロセスのうちの1つである、格納するステップを含む、方法。
  7. 請求項1の方法であって、第1のタイムスタンプに基づいて第2の番号を生成するように第1のタイムスタンプに第2の認証プロセスを適用するステップは、第1のタイムスタンプおよび整数に演算子を適用するステップであって、前記演算子および前記整数は認証プロセスによって特定される、適用するステップを含む、方法。
  8. 請求項1の方法であって、
    第3の認証プロセスのインジケータを前記クライアント計算システムに送信するステップと、
    前記クライアント計算システムとの後続の認証相互作用において、第1のタイムスタンプよりも時間的に遅い第2のタイムスタンプに第3の認証プロセスを適用するステップと、
    をさらに含む方法。
  9. 請求項8の方法であって、第3の認証プロセスのインジケータを前記クライアント計算システムに送信するステップは、前記クライアント計算システムを認証することに応答して第3の認証プロセスのインジケータを送信し、それによって、前記クライアント計算システムが後続の認証相互作用で第3の認証プロセスを使用するようにするステップを含む、方法。
  10. 請求項1の方法であって、イベントに応答して、新しい認証プロセスの指示を前記クライアント計算システムに送信するステップであって、新しい認証は、先の認証プロセスに代わるものであり、前記サーバ計算システムとクライアント計算システムとの間の後続の認証相互作用で使用されるものであり、前記イベントは、前記クライアント計算システムとサーバ計算システムとの間の認証相互作用の回数または時間の経過に基づく、送信するステップを、さらに含む方法。
  11. システムであって、前記システムは、
    サーバ計算システムと、
    クライアント計算システムであって、
    前記クライアント計算システムに対してローカルであるクロックによって生成された第1のタイムスタンプを受信し、
    第1のタイムスタンプに、前記タイムスタンプに基づいて第1の番号を生成するように第1の認証プロセスを適用し、
    第1の番号を前記サーバ計算システムに送信する、
    ように構成されたクライアント計算システムと、
    を備え、
    前記サーバ計算システムは、
    前記クライアント計算システムから第1の番号を受信し、
    前記サーバ計算システムに対してローカルであるクロックによって生成された第2のタイムスタンプを受信し、
    前記タイムスタンプに基づいて第2の番号を生成するように第2のタイムスタンプに第2の認証プロセスを適用し、
    第1の番号が第2の番号と一致する場合にのみ、前記クライアント計算システムを認証し、
    第1の番号が第2の番号と一致しない場合に、前記クライアント計算システムからモック計算システムにネットワーク通信をリダイレクトする
    ように構成される、
    システム。
  12. 請求項11のシステムであって、前記サーバ計算システムは、
    前記クライアント計算システムの1つ以上の通信特性を決定し、
    1つ以上の通信特性が許容可能である場合にのみ、前記クライアント計算システムを認証し、
    1つ以上の通信特性の少なくとも1つが許容可能でない場合に、ネットワーク通信を前記クライアント計算システムから前記モック計算システムにリダイレクトする
    ように構成される、
    システム。
  13. 請求項12のシステムであって、前記サーバ計算システムは、許容可能な通信特性のホワイトリストを格納するように構成され、前記ホワイトリストは、ネットワークアドレス、ネットワークポート、プロトコルタイプ、変更不可能なデバイス識別子、アクセス時間、および/または地理的位置、のうちの1つ以上を含む、システム。
  14. 請求項11のシステムであって、前記サーバ計算システムおよび前記モック計算システムは、同じサービスをそれぞれ提供し、前記サーバ計算システムは、前記モック計算システムに存在しないプライベートデータを含む、システム。
  15. 請求項11のシステムであって、前記モック計算システムは、ネットワーク通信を追跡するように、および、前記ネットワーク通信が、前記サーバ計算システムに非認証アクセスする試みに関連することを、記録するように、構成される、システム。
  16. 請求項11のシステムであって、前記サーバ計算システムは、
    前記クライアント計算システムからハッシュ化されたパスワードを受信し、
    前記ハッシュ化されたパスワードが、前記サーバ計算システムによって格納された先に格納されたハッシュ化されたパスワードと一致する場合にのみ、前記クライアント計算システムを認証する
    ように構成される、システム。
  17. 請求項11のシステムであって、前記サーバ計算システムは、前記クライアント計算システムのクロックと前記サーバ計算システムのクロックとの差を考慮するために、第2のタイムスタンプから少なくとも1の位の数字の精度をドロップするように構成される、システム。
  18. 請求項11のシステムであって、前記サーバ計算システムは、イベントに応答して、第3の認証プロセスの指示を前記クライアント計算システムに送信するように構成され、第3の認証は、第1の認証プロセスに代わるものであり、前記サーバ計算システムとクライアント計算システムとの間の後続の認証相互作用で使用されるものである、システム。
  19. 請求項18のシステムであって、前記イベントは、
    前記クライアント計算システムが、少なくとも所定の時間、第1の認証プロセスを使用している;
    前記クライアント計算システムが、少なくとも所定の回数認証された;および
    所定の日付または時間が経過した、
    のうちの少なくとも1つを含む、システム。
  20. 請求項11のシステムであって、第1の認証プロセスは、演算子および整数を特定し、第1の認証プロセスは、前記演算子を前記タイムスタンプおよび前記整数に適用する、システム。

JP2021532905A 2018-12-14 2019-03-20 リダイレクションを含むタイムスタンプベースの認証 Active JP7309880B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/220,652 2018-12-14
US16/220,652 US10826912B2 (en) 2018-12-14 2018-12-14 Timestamp-based authentication
PCT/US2019/023274 WO2020122977A1 (en) 2018-12-14 2019-03-20 Timestamp-based authentication with redirection

Publications (3)

Publication Number Publication Date
JP2022512352A true JP2022512352A (ja) 2022-02-03
JPWO2020122977A5 JPWO2020122977A5 (ja) 2022-03-03
JP7309880B2 JP7309880B2 (ja) 2023-07-18

Family

ID=71073092

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021532905A Active JP7309880B2 (ja) 2018-12-14 2019-03-20 リダイレクションを含むタイムスタンプベースの認証

Country Status (4)

Country Link
US (1) US10826912B2 (ja)
EP (1) EP3895043A4 (ja)
JP (1) JP7309880B2 (ja)
WO (1) WO2020122977A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7234699B2 (ja) * 2019-03-05 2023-03-08 ブラザー工業株式会社 アプリケーションプログラムおよび情報処理装置
US11677754B2 (en) 2019-12-09 2023-06-13 Daniel Chien Access control systems and methods
US11277381B2 (en) * 2020-04-30 2022-03-15 Kyndryl, Inc. Multi-channel based just-in-time firewall control
US11438145B2 (en) 2020-05-31 2022-09-06 Daniel Chien Shared key generation based on dual clocks
US11509463B2 (en) 2020-05-31 2022-11-22 Daniel Chien Timestamp-based shared key generation
CN112804502B (zh) * 2021-03-10 2022-07-12 重庆第二师范学院 基于人工智能的视频监控系统、方法、存储介质及设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009508189A (ja) * 2005-08-11 2009-02-26 サンディスク アイエル リミテッド 拡張ワンタイム・パスワード方法および装置
JP2012147341A (ja) * 2011-01-14 2012-08-02 Seiko Epson Corp 共通鍵交換方法、共通鍵生成方法、共通鍵交換システム、共通鍵交換装置、及びそのプログラム
JP2014099793A (ja) * 2012-11-15 2014-05-29 Ntt Data Corp 通信システム、通信方法、通信装置、および通信プログラム
US20150237049A1 (en) * 2014-02-18 2015-08-20 Secureauth Corporation Device fingerprint updating for single sign on authentication
US20150358338A1 (en) * 2014-06-09 2015-12-10 Guardicore Ltd. Network-based detection of authentication failures
JP2018028759A (ja) * 2016-08-16 2018-02-22 富士ゼロックス株式会社 プログラム及び情報処理装置
US20180145986A1 (en) * 2016-11-22 2018-05-24 Daniel Chien Network security based on redirection of questionable network access
US20180198822A1 (en) * 2014-12-04 2018-07-12 Amazon Technologies, Inc. Virtualized network honeypots

Family Cites Families (145)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6016553A (en) 1997-09-05 2000-01-18 Wild File, Inc. Method, software and apparatus for saving, using and recovering data
US6185678B1 (en) 1997-10-02 2001-02-06 Trustees Of The University Of Pennsylvania Secure and reliable bootstrap architecture
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US6898636B1 (en) 1999-02-04 2005-05-24 Intralinks, Inc. Methods and systems for interchanging documents between a sender computer, a server and a receiver computer
US6687226B1 (en) 1999-04-01 2004-02-03 Telefonaktiebolaget Lm Ericsson (Publ) Base station subsystem and method for handling an increase in traffic volume that overloads a terrestrial link in an internet protocol network
US6888834B1 (en) 1999-09-10 2005-05-03 Keyon Communications Llc System and method for providing wireless internet services
US6654796B1 (en) 1999-10-07 2003-11-25 Cisco Technology, Inc. System for managing cluster of network switches using IP address for commander switch and redirecting a managing request via forwarding an HTTP connection to an expansion switch
US20020049883A1 (en) 1999-11-29 2002-04-25 Eric Schneider System and method for restoring a computer system after a failure
US7013482B1 (en) 2000-07-07 2006-03-14 802 Systems Llc Methods for packet filtering including packet invalidation if packet validity determination not timely made
US7111163B1 (en) 2000-07-10 2006-09-19 Alterwan, Inc. Wide area network using internet with quality of service
US7089592B2 (en) 2001-03-15 2006-08-08 Brighterion, Inc. Systems and methods for dynamic detection and prevention of electronic fraud
US20020188704A1 (en) 2001-06-12 2002-12-12 Stephen Gold Upgrade of licensed capacity on computer entity
US7672903B2 (en) 2001-08-27 2010-03-02 Dphi Acquisitions, Inc. Revocation method and apparatus for secure content
US7310821B2 (en) 2001-08-27 2007-12-18 Dphi Acquisitions, Inc. Host certification method and system
US20030084349A1 (en) 2001-10-12 2003-05-01 Oliver Friedrichs Early warning system for network attacks
US7142651B2 (en) 2001-11-29 2006-11-28 Ectel Ltd. Fraud detection in a distributed telecommunications networks
EP1317111B8 (en) 2001-11-29 2009-11-25 Stonesoft Corporation A personalized firewall
US7174566B2 (en) 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US20030149887A1 (en) 2002-02-01 2003-08-07 Satyendra Yadav Application-specific network intrusion detection
US20030188190A1 (en) 2002-03-26 2003-10-02 Aaron Jeffrey A. System and method of intrusion detection employing broad-scope monitoring
WO2003090052A2 (en) 2002-04-18 2003-10-30 Advanced Micro Devices Inc. A computer system including a secure execution mode - capable cpu and a security services processor connected via a secure communication path
US7778606B2 (en) 2002-05-17 2010-08-17 Network Security Technologies, Inc. Method and system for wireless intrusion detection
US7965842B2 (en) 2002-06-28 2011-06-21 Wavelink Corporation System and method for detecting unauthorized wireless access points
US7315890B2 (en) 2002-10-02 2008-01-01 Lockheed Martin Corporation System and method for managing access to active devices operably connected to a data network
US7540028B2 (en) 2002-10-25 2009-05-26 Intel Corporation Dynamic network security apparatus and methods or network processors
US7346770B2 (en) 2002-10-31 2008-03-18 Microsoft Corporation Method and apparatus for traversing a translation device with a security protocol
US7363656B2 (en) 2002-11-04 2008-04-22 Mazu Networks, Inc. Event detection/anomaly correlation heuristics
US7461404B2 (en) 2002-11-04 2008-12-02 Mazu Networks, Inc. Detection of unauthorized access in a network
AU2003293501A1 (en) 2002-12-13 2004-07-09 Wholesecurity, Inc. Method, system, and computer program product for security within a global computer network
US20040123141A1 (en) 2002-12-18 2004-06-24 Satyendra Yadav Multi-tier intrusion detection system
WO2004075512A1 (en) 2003-02-18 2004-09-02 Nortel Networks Limited Discovery of an application server in an ip network
US20040162992A1 (en) 2003-02-19 2004-08-19 Sami Vikash Krishna Internet privacy protection device
JP4354201B2 (ja) 2003-03-18 2009-10-28 富士通株式会社 不正アクセス対処システム、及び不正アクセス対処処理プログラム
US7653698B2 (en) 2003-05-29 2010-01-26 Sonicwall, Inc. Identifying e-mail messages from allowed senders
US7278156B2 (en) 2003-06-04 2007-10-02 International Business Machines Corporation System and method for enforcing security service level agreements
US7490237B1 (en) * 2003-06-27 2009-02-10 Microsoft Corporation Systems and methods for caching in authentication systems
US7409202B2 (en) 2003-08-12 2008-08-05 Nextel Communications Inc. Communications restrictions for mobile group communication devices
US7577995B2 (en) 2003-09-16 2009-08-18 At&T Intellectual Property I, L.P. Controlling user-access to computer applications
US7457958B2 (en) 2003-09-22 2008-11-25 Proofprint, Inc. System for detecting authentic e-mail messages
US7725936B2 (en) 2003-10-31 2010-05-25 International Business Machines Corporation Host-based network intrusion detection systems
US7222158B2 (en) 2003-12-31 2007-05-22 Aol Llc Third party provided transactional white-listing for filtering electronic communications
US20050172229A1 (en) 2004-01-29 2005-08-04 Arcot Systems, Inc. Browser user-interface security application
US7339914B2 (en) 2004-02-11 2008-03-04 Airtight Networks, Inc. Automated sniffer apparatus and method for monitoring computer systems for unauthorized access
WO2005082101A2 (en) 2004-02-26 2005-09-09 Truefire, Inc. Systems and methods for producing, managing, delivering, retrieving, and/or tracking permission based communications
GB2412189B (en) 2004-03-16 2007-04-04 Netcraft Ltd Security component for use with an internet browser application and method and apparatus associated therewith
US7457823B2 (en) 2004-05-02 2008-11-25 Markmonitor Inc. Methods and systems for analyzing data related to possible online fraud
US7870200B2 (en) 2004-05-29 2011-01-11 Ironport Systems, Inc. Monitoring the flow of messages received at a server
US7606821B2 (en) 2004-06-30 2009-10-20 Ebay Inc. Method and system for preventing fraudulent activities
EP1779216A1 (en) 2004-08-20 2007-05-02 Rhoderick John Kennedy Pugh Server authentication
WO2006031684A2 (en) 2004-09-13 2006-03-23 Network Solutions, Llc Domain bar
GB0420548D0 (en) 2004-09-15 2004-10-20 Streamshield Networks Ltd Network-based security platform
US8996603B2 (en) 2004-09-16 2015-03-31 Cisco Technology, Inc. Method and apparatus for user domain based white lists
US20060069782A1 (en) 2004-09-16 2006-03-30 Michael Manning Method and apparatus for location-based white lists in a telecommunications network
US7502923B2 (en) 2004-09-16 2009-03-10 Nokia Corporation Systems and methods for secured domain name system use based on pre-existing trust
US7826602B1 (en) 2004-10-22 2010-11-02 Juniper Networks, Inc. Enabling incoming VoIP calls behind a network firewall
US10043008B2 (en) 2004-10-29 2018-08-07 Microsoft Technology Licensing, Llc Efficient white listing of user-modifiable files
US20150213131A1 (en) 2004-10-29 2015-07-30 Go Daddy Operating Company, LLC Domain name searching with reputation rating
US20060123478A1 (en) 2004-12-02 2006-06-08 Microsoft Corporation Phishing detection, prevention, and notification
US7634810B2 (en) 2004-12-02 2009-12-15 Microsoft Corporation Phishing detection, prevention, and notification
US7519818B2 (en) 2004-12-09 2009-04-14 Microsoft Corporation Method and system for processing a communication based on trust that the communication is not unwanted as assigned by a sending domain
US20070022479A1 (en) 2005-07-21 2007-01-25 Somsubhra Sikdar Network interface and firewall device
US7602731B2 (en) 2004-12-22 2009-10-13 Intruguard Devices, Inc. System and method for integrated header, state, rate and content anomaly prevention with policy enforcement
US7626940B2 (en) 2004-12-22 2009-12-01 Intruguard Devices, Inc. System and method for integrated header, state, rate and content anomaly prevention for domain name service
US7979889B2 (en) 2005-01-07 2011-07-12 Cisco Technology, Inc. Methods and apparatus providing security to computer systems and networks
US20060230039A1 (en) 2005-01-25 2006-10-12 Markmonitor, Inc. Online identity tracking
US20060190993A1 (en) 2005-02-08 2006-08-24 Finisar Corporation Intrusion detection in networks
EP1866783B1 (en) 2005-02-24 2020-11-18 EMC Corporation System and method for detecting and mitigating dns spoofing trojans
WO2006093917A2 (en) 2005-02-28 2006-09-08 Trust Digital Mobile data security system and methods
EP1856639A2 (en) 2005-03-02 2007-11-21 Markmonitor, Inc. Distribution of trust data
US7548539B2 (en) 2005-03-08 2009-06-16 Audiocodes, Inc. Method and apparatus for Voice-over-IP call recording
US7725930B2 (en) 2005-03-30 2010-05-25 Microsoft Corporation Validating the origin of web content
US7681234B2 (en) 2005-06-30 2010-03-16 Microsoft Corporation Preventing phishing attacks
WO2007016641A2 (en) 2005-08-02 2007-02-08 Comhouse Wireless, Lp Methods of remotely identifying, suppressing and/or disabling wireless devices of interest
US8666957B2 (en) 2005-08-29 2014-03-04 Hewlett-Packard Development Company, L.P. Method or apparatus for locking shared data
US9674145B2 (en) 2005-09-06 2017-06-06 Daniel Chien Evaluating a questionable network communication
US9015090B2 (en) 2005-09-06 2015-04-21 Daniel Chien Evaluating a questionable network communication
US20070083670A1 (en) 2005-10-11 2007-04-12 International Business Machines Corporation Method and system for protecting an internet user from fraudulent ip addresses on a dns server
US7832009B2 (en) 2005-12-28 2010-11-09 Foundry Networks, Llc Techniques for preventing attacks on computer systems and networks
US7751339B2 (en) 2006-05-19 2010-07-06 Cisco Technology, Inc. Method and apparatus for simply configuring a subscriber appliance for performing a service controlled by a separate service provider
GB2442023B (en) 2006-09-13 2011-03-02 Advanced Risc Mach Ltd Memory access security management
CA2577030A1 (en) 2007-01-31 2008-07-31 Unlimi-Tech Software Inc. Improved data transfer method, system and protocol
US8505091B2 (en) 2007-04-30 2013-08-06 Hewlett-Packard Development Company, L.P. Method of protecting against denial-of-service attacks
US9900347B2 (en) 2007-09-14 2018-02-20 Telefonaktiebolaget Lm Ericsson (Publ) Handling trust in an IP multimedia subsystem communication network
US8855103B2 (en) 2008-01-17 2014-10-07 Blackberry Limited Personal network access control system and method
US8950007B1 (en) 2008-04-07 2015-02-03 Lumension Security, Inc. Policy-based whitelisting with system change management based on trust framework
US8893242B2 (en) 2008-04-29 2014-11-18 Ebay Inc. System and method for pool-based identity generation and use for service access
US8490156B2 (en) 2008-05-13 2013-07-16 At&T Mobility Ii Llc Interface for access management of FEMTO cell coverage
US8255994B2 (en) 2008-08-20 2012-08-28 Sprint Communications Company L.P. Detection and suppression of short message service denial of service attacks
US9256728B2 (en) 2008-11-26 2016-02-09 Nokia Technologies Oy Method, apparatus, and computer program product for managing software versions
US9106426B2 (en) 2008-11-26 2015-08-11 Red Hat, Inc. Username based authentication and key generation
US8423631B1 (en) 2009-02-13 2013-04-16 Aerohive Networks, Inc. Intelligent sorting for N-way secure split tunnel
US8127124B2 (en) 2009-03-19 2012-02-28 Hewlett-Packard Development Company, L.P. Remote configuration of computing platforms
US8959353B2 (en) 2009-03-31 2015-02-17 Topaz Systems, Inc. Distributed system for multi-function secure verifiable signer authentication
US20100325424A1 (en) 2009-06-19 2010-12-23 Etchegoyen Craig S System and Method for Secured Communications
US8161552B1 (en) 2009-09-23 2012-04-17 Trend Micro, Inc. White list creation in behavior monitoring system
JP5792732B2 (ja) 2009-09-30 2015-10-14 アマゾン テクノロジーズ インコーポレイテッド モジュラーデバイス認証フレームワーク
US8751808B2 (en) 2009-11-12 2014-06-10 Roy Gelbard Method and system for sharing trusted contact information
US8326370B2 (en) 2010-09-23 2012-12-04 Research In Motion Limited System and method for rotating a user interface for a mobile device
US8869264B2 (en) 2010-10-01 2014-10-21 International Business Machines Corporation Attesting a component of a system during a boot process
US9058607B2 (en) 2010-12-16 2015-06-16 Verizon Patent And Licensing Inc. Using network security information to detection transaction fraud
US8863256B1 (en) 2011-01-14 2014-10-14 Cisco Technology, Inc. System and method for enabling secure transactions using flexible identity management in a vehicular environment
US9015455B2 (en) 2011-07-07 2015-04-21 Intel Corporation Processsor integral technologies for BIOS flash attack protection and notification
US8990356B2 (en) 2011-10-03 2015-03-24 Verisign, Inc. Adaptive name resolution
US9585012B2 (en) * 2012-05-14 2017-02-28 Futurewei Technologies, Inc. System and method for establishing a secure connection in communications systems
US9497623B2 (en) 2012-05-25 2016-11-15 Nokia Technologies Oy Method and apparatus for guest access sharing
US20130346628A1 (en) 2012-06-21 2013-12-26 Rodney S. Canion Dynamically assigned mac addresses for devices in a computing system
US8874717B2 (en) 2012-06-29 2014-10-28 Microsoft Corporation Techniques to discover services recursively in a distributed environment
US8788839B1 (en) 2012-10-10 2014-07-22 Google Inc. Securely replacing boot loaders
CN103813330A (zh) 2012-11-15 2014-05-21 中兴通讯股份有限公司 一种通信终端、系统以及权限管理方法
US9374369B2 (en) * 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
CN104981778A (zh) 2013-02-22 2015-10-14 马维尔国际贸易有限公司 修补只读存储器的引导代码
US9892284B2 (en) 2013-03-11 2018-02-13 Lantiq Beteiligungs-GmbH & Co. KG Trusted execution thread in an embedded multithreaded system
US20140258465A1 (en) 2013-03-11 2014-09-11 Cisco Technology, Inc. Identification of originating ip address and client port connection to a web server via a proxy server
US20140313975A1 (en) 2013-04-19 2014-10-23 Cubic Corporation White listing for binding in ad-hoc mesh networks
WO2014176461A1 (en) 2013-04-25 2014-10-30 A10 Networks, Inc. Systems and methods for network access control
US9411978B2 (en) 2013-07-11 2016-08-09 Open Text S.A. System and method for access control using network verification
US9172721B2 (en) 2013-07-16 2015-10-27 Fortinet, Inc. Scalable inline behavioral DDOS attack mitigation
US9059989B2 (en) * 2013-07-18 2015-06-16 Vmware, Inc. Hash synchronization for preventing unauthorized server access using stolen passwords
US10084791B2 (en) 2013-08-14 2018-09-25 Daniel Chien Evaluating a questionable network communication
US9736131B2 (en) 2013-09-24 2017-08-15 Cellco Partnership Secure login for subscriber devices
US9154459B2 (en) 2013-09-25 2015-10-06 Malwarebytes Corporation Access control manager
CN103607714A (zh) 2013-11-18 2014-02-26 宽兆科技(深圳)有限公司 无线路由器及其快速接入控制方法、认证连接方法
US9614869B2 (en) 2013-11-23 2017-04-04 Universidade da Coruña—OTRI System and server for detecting web page changes
US9154460B1 (en) 2014-02-12 2015-10-06 Sonus Networks, Inc. Methods and apparatus for denial of service resistant policing of packets
CN104951316B (zh) 2014-03-25 2018-09-21 华为技术有限公司 一种内核可信启动方法和装置
US9413783B1 (en) 2014-06-02 2016-08-09 Amazon Technologies, Inc. Network interface with on-board packet processing
US9693296B2 (en) 2014-07-17 2017-06-27 Xiaomi Inc. Network connection method and apparatus
US9654458B1 (en) 2014-09-23 2017-05-16 Amazon Technologies, Inc. Unauthorized device detection in a heterogeneous network
CN105635084B (zh) 2014-11-17 2018-12-14 华为技术有限公司 终端认证装置及方法
US20170334522A1 (en) * 2014-11-18 2017-11-23 Vanhawks Inc. Network-enabled bicycles, bicycles interconnected into a mesh network, electronic devices for bicycles and related methods
WO2016081867A1 (en) 2014-11-20 2016-05-26 Interdigital Patent Holdings, Inc. Providing security to computing systems
CN105682093A (zh) 2014-11-20 2016-06-15 中兴通讯股份有限公司 无线网络接入方法及接入装置和客户端
EP3289476B1 (en) 2015-04-30 2022-01-26 Fortinet, Inc. Computer network security system
EP3289510B1 (en) 2015-05-01 2020-06-17 Lookout Inc. Determining source of side-loaded software
US10015178B2 (en) 2015-07-28 2018-07-03 Sap Se Real-time contextual monitoring intrusion detection and prevention
US10135790B2 (en) 2015-08-25 2018-11-20 Anchorfree Inc. Secure communications with internet-enabled devices
US20170118210A1 (en) 2015-10-23 2017-04-27 Comcast Cable Communications, Llc Method Of Using Wireless Communications To Make A Determination
US9825911B1 (en) 2015-11-18 2017-11-21 Amazon Technologies, Inc. Security policy check based on communication establishment handshake packet
US10171463B1 (en) 2015-12-21 2019-01-01 Amazon Technologies, Inc. Secure transport layer authentication of network traffic
US20170185790A1 (en) 2015-12-23 2017-06-29 ThinAir Labs, Inc. Dynamic management of protected file access
US20180020002A1 (en) 2016-07-13 2018-01-18 Frederick J Duca System and method for filtering internet traffic and optimizing same
KR101883156B1 (ko) 2016-08-10 2018-07-30 삼성에스디에스 주식회사 인증 시스템 및 방법과 이를 수행하기 위한 사용자 단말, 인증 서버 및 서비스 서버
US10200410B2 (en) 2016-09-30 2019-02-05 Intel Corporation Networked peer device round-robin security controller
EP3840334A1 (en) 2016-09-30 2021-06-23 Palo Alto Networks, Inc. Multifactor authentication as a network service
US10594732B2 (en) 2016-11-08 2020-03-17 Ca, Inc. Selective traffic blockage

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009508189A (ja) * 2005-08-11 2009-02-26 サンディスク アイエル リミテッド 拡張ワンタイム・パスワード方法および装置
JP2012147341A (ja) * 2011-01-14 2012-08-02 Seiko Epson Corp 共通鍵交換方法、共通鍵生成方法、共通鍵交換システム、共通鍵交換装置、及びそのプログラム
JP2014099793A (ja) * 2012-11-15 2014-05-29 Ntt Data Corp 通信システム、通信方法、通信装置、および通信プログラム
US20150237049A1 (en) * 2014-02-18 2015-08-20 Secureauth Corporation Device fingerprint updating for single sign on authentication
US20150358338A1 (en) * 2014-06-09 2015-12-10 Guardicore Ltd. Network-based detection of authentication failures
US20180198822A1 (en) * 2014-12-04 2018-07-12 Amazon Technologies, Inc. Virtualized network honeypots
JP2018028759A (ja) * 2016-08-16 2018-02-22 富士ゼロックス株式会社 プログラム及び情報処理装置
US20180145986A1 (en) * 2016-11-22 2018-05-24 Daniel Chien Network security based on redirection of questionable network access

Also Published As

Publication number Publication date
EP3895043A1 (en) 2021-10-20
US10826912B2 (en) 2020-11-03
JP7309880B2 (ja) 2023-07-18
WO2020122977A1 (en) 2020-06-18
US20200195658A1 (en) 2020-06-18
EP3895043A4 (en) 2022-08-17

Similar Documents

Publication Publication Date Title
US11641361B2 (en) Dynamic access control to network resources using federated full domain logon
US11711222B1 (en) Systems and methods for providing authentication to a plurality of devices
US11757641B2 (en) Decentralized data authentication
JP7309880B2 (ja) リダイレクションを含むタイムスタンプベースの認証
US8978125B2 (en) Identity controlled data center
US10848489B2 (en) Timestamp-based authentication with redirection
US20190356661A1 (en) Proxy manager using replica authentication information
EP3770781A1 (en) Fast smart card logon and federated full domain logon
US20140223178A1 (en) Securing Communication over a Network Using User Identity Verification
US20150039896A1 (en) System and method for pool-based identity generation and use for service access
EP3687139B1 (en) Secure provisioning and validation of access tokens in network environments
US10812272B1 (en) Identifying computing processes on automation servers
US11032270B1 (en) Secure provisioning and validation of access tokens in network environments
US20210314339A1 (en) On-demand and proactive detection of application misconfiguration security threats
US20170295142A1 (en) Three-Tiered Security and Computational Architecture
JP2024501752A (ja) 鍵付きハッシュメッセージ認証コードの鍵マテリアルとしての属性ベースの暗号化鍵ユーザ認証および認可
Kuzminykh et al. Mechanisms of ensuring security in Keystone service
Tank et al. Security analysis of OpenStack keystone
Harisha et al. Open Standard Authorization Protocol: OAuth 2.0 Defenses and Working Using Digital Signatures

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220222

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220222

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230207

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230508

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20230508

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230606

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230705

R150 Certificate of patent or registration of utility model

Ref document number: 7309880

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150