JP2023504600A - アクセス制御システム及び方法 - Google Patents
アクセス制御システム及び方法 Download PDFInfo
- Publication number
- JP2023504600A JP2023504600A JP2022528724A JP2022528724A JP2023504600A JP 2023504600 A JP2023504600 A JP 2023504600A JP 2022528724 A JP2022528724 A JP 2022528724A JP 2022528724 A JP2022528724 A JP 2022528724A JP 2023504600 A JP2023504600 A JP 2023504600A
- Authority
- JP
- Japan
- Prior art keywords
- computing system
- user
- resource
- maintenance mode
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
- H04L12/417—Bus networks with decentralised control with deterministic access, e.g. token passing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
【課題】コンピュータセキュリティ技術を記載する。一例は、セキュリティモジュールを提供する。【解決手段】このセキュリティモジュールは、コンピューティングシステムで実行し、ユーザー又はユーザーに関連付けられたプログラム(例えば、ネイティブ実行ファイル、スクリプトなど)がファイルの読み取り、書き込み、又は実行などによってリソースにアクセスすることを許可するか否かを判定する。この判定は、リソースに関連付けられたアクセス制御リストが、ユーザーに関連付けられたソース(例えば、IPアドレス、ハードウェアアドレス)がリソースへのアクセスに許可されることを特定するか否かに少なくとも部分的に基づいて行われる。加えて、又は代わりに、この判定は、コンピューティングシステムがメンテナンスモード、例えばシングルユーザー診断モードで実行しているか否かに基づいて行うことができる。【選択図】図2
Description
本開示は、コンピュータセキュリティのための、より具体的には悪意のあるソフトウェアの実行の抑制、制御又は制限のための方法、技術及びシステムに関する。
ハッカー及び他の悪意のある関係者は、ますますホームユーザー、企業又は政府によって運営されるコンピューティングシステムに侵入しようとしている。多くの場合、ハッカーは、ターゲットコンピューティングシステムに悪意のあるソフトウェアをインストールして実行しようとする。悪意のあるソフトウェア(例えば、ウイルス、トロイの木馬、ワームなど)は、ハッカーがコンピューティングシステムに対して、損傷、制御、アクセス、又はその他の方法で侵害を行うために使用することができる。
本開示は、コンピュータセキュリティ技術を記載する。一例は、セキュリティモジュールを提供する。
本明細書において説明される実施形態は、コンピュータセキュリティのための、より具体的には悪意のあるソフトウェアの実行の抑制、制御又は制限のための、改善されたコンピュータ及びネットワークベースの方法、デバイス並びにシステムを提供する。いくつかの実施形態は、コンピューティングシステムにおける悪意のあるソフトウェアの実行を制御(例えば、抑制、制限、監視)するように構成されたコンピュータセキュリティモジュール(「CSM」)を提供する。
CSMのコア機能は、プログラム(例えば、ネイティブ実行ファイル、スクリプトなど)の実行を許可するか否かを判定することである。この判定は、プログラムのソース、特にプログラムが一連の特権(又は「安全な」)ソースの1つによって提供されるか否かに少なくとも部分的に基づいて行われる。特権プログラムソースは、(例えば、ローカルディスク又はネットワークアクセス可能なストア上の)ディレクトリ又はフォルダ、コンピューティングデバイス(例えば、サーバーコンピュータ)、別のプログラム(例えば、ウェブサーバー)など、実行可能命令を提供できる任意のモジュール、メカニズム又はプロセスであってもよい。
場合によっては、特権ソースは、特権フォルダ又は特権ディレクトリである。特権フォルダは、コンピュータシステムで実行される資格のあるプログラムを記憶するものとして識別されたフォルダである。特権フォルダのセットは、オペレーティングシステムフォルダ(例えば、/bin、/sbin、/system32など)、アプリケーションフォルダ(例えば、/Program Files、/usr/bin)、スタートアップ又はサービスフォルダ、サードパーティのアプリケーションフォルダ、独自の許可プログラムをインストールするためにコンピュータを所有又は管理する組織(企業など)のフォルダなどのうちの1つ以上を含んでもよい。
場合によっては、特権ソースは、特権コンピュータ又は特権プロセスである。特権コンピュータは、マシン名、IPアドレス、ドメイン名、プロセス名、プロセス識別子、プロセス/プログラム署名(例えば、プログラム命令のハッシュ)などの1つ以上の識別子によって識別できる。
特権ソースは、「ホワイトリスト」又は類似するデータ構造によって管理できる。ホワイトリストは、特権ソースの複数の識別子を含む。識別子は、ディレクトリ名(system32)、ディレクトリパス(例えば、/usr/bin)、IPアドレス、ドメイン名、マシン名などであってもよく、又はこれらを含んでもよい。場合によっては、URLは、特権ソースを識別するために使用されてもよい。特権ソースは、他の属性又は追加の属性に基づいて識別又は決定されてもよい。例えば、いくつかの実施形態では、あるソースについて、このソースとの通信が特定の時刻に(例えば、時間範囲内で)発生している場合、このソースが特定の地理的地域に位置する場合、このソースのアドレスが特定の組織(例えば、WHOIS検索を介して)関連付けられている場合など、このソースは、特権があると考えられてもよい。いくつかの実施形態では、一般的に、ソースが特権を有するか否かについての判定は、ソースとの通信の1つ以上の許可された属性又は許可可能な属性があるか否かに基づいて行われてもよい。ネットワーク通信の許可性の決定に関する追加情報は、2018年9月25日に発行された発明の名称「Evaluating a Questionable Network Communication(疑わしいネットワーク通信の評価)」の米国特許第10,084,791号明細書に記載されており、その内容は参照により本明細書に組み込まれるものとする。
CSMは、様々な方法で実装されてもよい。CSMは、ローダー、スケジューラ、メモリマネージャなどを含む、オペレーティングシステム内の1つ以上の場所に存在するコードとして実装されてもよい。例えば、ローダーは、プログラムがメモリにロードされるときに全てのプログラムの場所をチェックしてもよい。場所が特権フォルダのセットに存在しない場合、ローダーはロードの実行を終了する。別の例として、スケジューラは、レディ(実行待ち状態の)キューにおける次のプログラムに切り替える前に、プログラムが特権フォルダの1つからロードされたか否かをチェックしてもよい。ロードされたものでない場合、スケジューラは、プログラムを終了する。同様に、メモリマネージャは、新しい仮想アドレス空間(例えば、ページテーブルなど)を作成するように要求されるときに、要求しているプログラムが特権フォルダの1つからロードされたか否かをチェックすることができる。
スクリプトインタプリタは、潜在的に悪意のあるプログラムの実行を制御するために使用されてもよい。いくつかの実施形態では、(例えば、シェルスクリプト、VBスクリプト、Perl、Pythonなどのための)スクリプトインタプリタは、所与のスクリプトが特権フォルダの1つからロードされていない場合、該スクリプトの実行/解釈を拒否する。
説明される技術は、もちろん、特権フォルダが「ロックダウン」されていることを必要とする。換言すれば、特権フォルダが通常のユーザーに対して書き込み保護されているため、適切な管理者特権を持つユーザーのみがこれらのフォルダにプログラムをインストールすることができる。また、悪意のある関係者がプログラムをインストールすることを制限するために、他の手段、例えば、セキュアブート、ロックされたBIOSなどが採られてもよい。
いくつかの実施形態では、変更されたアクセス制御リストを使用して、コンピューティングシステムのリソース(例えば、フォルダ、ファイル、ライブラリ、実行ファイル)へのアクセスを制限する。従来技術のアクセス制御リスト(ACL)は、リソースの読み取り、書き込み又は実行の権限を持つ1人以上のユーザー又は1つ以上のグループを識別する。従来技術のアクセス制御リストは、ユーザーによるアクセスのソース又は方法を制限することができない。いくつかの実施形態では、ACLにアクセスソースフィールドを含めることによってこの問題を解決する。アクセスソースフィールドは、ACLに関連付けられたリソースへのアクセスが許可されるコンピュータを識別する。アクセスソースフィールドは、IPアドレス、IPアドレス範囲、ハードウェア識別子(例えば、MACアドレス)などのうちの1つ以上を含んでもよい。
変更されたACLを使用するプロセスは以下の通りである。ユーザー(又はプログラム)がリソースにアクセスしようとすると、CSMは、リソースのACLをチェックする。ACLがアクセスソースフィールドを含む場合、CSMは、ユーザーのアクセスソースを決定する。ユーザーがリモートマシンを介してアクセスしている場合、CSMは、該マシンのソースIPアドレスを決定する。そして、CSMは、上記ソースIPアドレスをACLにおける許可可能なIPアドレスに照らしてチェックする。上記ソースIPアドレスが許可される場合、CSMは、リソースへのアクセスを許可する。そうでない場合、CSMは、アクセスを制限する。他の変形例が考えられる。例えば、ACLは、物理端末からのアクセスのみを許可し、リモートネットワークアクセスを許可しないように特定してもよい。或いは、ACLは、マシンのサブネットからの任意のアクセスを許可するように特定してもよい。
いくつかの実施形態では、オペレーティングシステムに新しい特権レベルが追加される。この特権レベルは、ルート又はスーパーユーザーのアクセス権限より高く、ルート、管理者、スーパーユーザーなどの特権ユーザーがセーフモード又はメンテナンスモードでシステムを起動した場合にのみアクセスが発生する必要がある。いくつかのシステムでは、メンテナンスモードは、問題を診断して解決するか又はオペレーティングシステムのコンポーネント、構成又は機能を変更するためにコアオペレーティングシステムサービスのみを開始する診断モード又は管理モードである。典型的なシステムでは、メンテナンスモード中に、特定の特権ユーザーのみのログインが許可される。このようなユーザーは、ローカルコンソールからのログインのみ(ネットワークログインなし)に制限される場合もある。いくつかのシステムでは、メンテナンスモードは、ローカル管理ユーザー(例えば、ルート)のみがログインできるようなシングルユーザーモードでもある。いくつかのオペレーティングシステムでは、起動中にキーボードのキーを押すか又はその他のコンソールで入力することによってのみ、メンテナンスモードに入ることができる。その他の場合、特定の物理媒体デバイス(例えば、USBスティック又はCD-ROM)から起動することによってのみ、メンテナンスモードに入ることができる。
いくつかの実施形態では、新しいフィールド(「セーフビット」)は、各リソースのACLに追加され、この新しいフィールドは、マシンがセーフモード又はメンテナンスモードで実行している場合にのみリソースを変更することができることを特定する。この技術は、ハッカーがルートアクセスを取得できたとしても、ハッカーがフォルダ又はその他のリソースにアクセスし、それを変更又は実行することを防ぐ。ハッカーがコンピューティングシステムに物理的にアクセスしてそれをセーフモードで起動することができない限り、ハッカーは、セーフビットで保護されたリソースにアクセスすることができない。
図1A~1Lは、例示的な実施形態によって実行される例示的なセキュリティプロセスの流れ図である。このプロセスは、コンピューティングシステムで実行されるコンピュータ命令として実装されてもよい。上述したように、これらの命令は、ローダー、スケジューラ、メモリマネージャなどを含む、オペレーティングシステムの1つ以上の部分に存在してもよい。加えて、又は代わりに、これらの命令は、オペレーティングシステムの「外部」で実行されるプログラム、例えばシェルコマンドインタプリタ、スクリプト言語インタプリタ、仮想マシン(例えば、Java仮想マシン、C#VM)などに存在してもよい。
図1Aは、コンピュータセキュリティの例示的な論理の流れ図である。この流れ図及び以下の流れ図に示される論理は、例えば、以下の図2に関して説明されるモジュール100によって実行されてもよい。図1Aは、以下のブロック1A01~1A04を含むプロセス1A00を示す。
ブロック1A01は、それぞれがコンピューティングシステムでの実行が許可されるプログラムを提供するように指定される1つ以上の特権ソースの指示を受信して記憶するステップを含む。ソースは、ローカルファイルシステム又はリモートファイルシステムのディレクトリ又はフォルダであってもよい。加えて、又は代わりに、ソースは、IPアドレス、ドメイン名、マシン名、URLなどによって識別されるコンピュータ(例えばサーバー)であってもよい。いくつかの実施形態では、このプロセスは、ファイルシステムに記憶された書き込み保護されたドキュメントから「セーフ」ソースの「ホワイトリスト」を読み取るか又はそれにアクセスする。ホワイトリストでは、各ソースは、実行に対して資格があるプログラムのソースとして指定される。
ブロック1A02は、プログラムの指示を受信するステップを含む。プログラムの指示は、プログラムの開始前又は開始中、例えばロードプロセスの前又はロードプロセス中に受信されてもよい。プログラムの指示は、プログラムの場所、特にプログラムがロードされているディレクトリのアイデンティティを含むか、又はそれを決定するために使用できる。リモートソースから取得されたプログラム(例えば、ウェブブラウザによって受信されたジャバスクリプトコード)の場合、指示は、リモートソースのURL、IPアドレス、ドメイン名又は他の識別子であってもよいし、又はそれらを含んでもよい。
ブロック1A03は、プログラムが1つ以上の特権ソースのうちの1つによって提供されるか否かを判定するステップを含む。プログラムは、特権ソースのホワイトリストで検索される。この検索は、辞書検索、ハッシュテーブルなどを介して完成してもよい。この動作は、プログラム名、リモートプログラムソース(例えば、ドメイン名、IPアドレス)などの検索を含んでもよい。
ブロック1A04は、プログラムが特権ソースのいずれによっても提供されない場合、プログラムの実行を拒否するステップを含む。プログラムの実行を拒否するステップは、ロードプロセスを終了すること、(プログラムがオペレーティングシステムによって終了されるように)例外を発生させること、仮想メモリスペースの作成を拒絶すること、スケジューラがプロセスの実行又は切り替えを拒絶することなど、様々な方法で完了してもよい。
図1Bは、図1Aのプロセス1A00の拡張を示す例示的な論理の流れ図である。図1Bは、プロセス1A00を含み、以下のブロック1B01~1B02を更に含むプロセス1B00を示す。
ブロック1B01は、指示されたプログラムがネットワークアクセス可能なソースによって提供される場合、ネットワークアクセス可能なソースが1つ以上の特権ソースのうちの1つであるか否かを判定するステップを含む。典型的な実施形態では、リモートソースからプログラムをフェッチ(fetch)するウェブブラウザ又は他のモジュールは、リモートソースがホワイトリストで識別されるか否かをチェックする。このチェックは、リモートソースのIPアドレス、ドメイン名、マシン名又は他の識別子がホワイトリストに存在するか否かをチェックするステップを含んでもよい。
ブロック1B02は、ネットワークアクセス可能なソースが1つ以上の特権ソースのうちの1つではない場合、プログラムの実行を拒否するステップを含む。例えば、ソース識別子がホワイトリストに存在しない場合、ウェブブラウザ又は類似するモジュールは、プログラムのロード又は実行を拒絶する。なお、このアプローチでは、これらのチェックを実行するように変更されたウェブブラウザを使用する必要がある場合がある。ユーザーは、任意のリモートコードを実行することができず、その原因は、(指定されたディレクトリにおけるコードのみを実行できるため)ユーザーがそのようなコードを手動でダウンロードして実行することができないこと、及びユーザーが指定された特権ディレクトリのいずれにも安全でないウェブブラウザをインストールすることもできないことである。
図1Cは、図1Aのプロセス1A00の拡張を示す例示的な論理の流れ図である。図1Cは、プロセス1A00を含み、以下のブロック1C01を更に含むプロセス1C00を示す。
ブロック1C01は、コンピューティングシステムによる実行が許可されるプログラムのプロバイダとして1つ以上のソースによって識別される1つ以上のディレクトリの変更を拒否するステップを含む。ディレクトリであるセーフソースの場合、非特権ユーザーが(例えば、プログラムの追加又は削除による)このようなディレクトリを変更することを制限するために、オペレーティングシステムの権限を使用することができる。
図1Dは、図1Aのプロセス1A00の拡張を示す例示的な論理の流れ図である。図1Dは、プロセス1A00を含み、プログラムの実行を拒否するステップが以下のブロック1D01を含むプロセス1D00を示す。
ブロック1D01は、プログラムを終了し、プログラムを一時停止し、及び/又は例外を発生させるステップを含む。
図1Eは、図1Aのプロセス1A00の拡張を示す例示的な論理の流れ図である。図1Eは、プロセス1A00を含み、プログラムの実行を拒否するステップが以下のブロック1E01を含むプロセス1E00を示す。
ブロック1E01は、代替実行環境でプログラムを実行するステップを含む。いくつかの実施形態では、プログラムは、実行が許可されてもよいが、サンドボックス又は分離された仮想マシンなどの代替実行環境内に配置される。このような実施形態では、潜在的に悪意のあるコードの動作及び属性をよりよく理解するために、プログラムを監視することができる。
図1Fは、図1Aのプロセス1A00の拡張を示す例示的な論理の流れ図である。図1Fは、プロセス1A00を含み、以下のブロック1F01~1F02を更に含むプロセス1F00を示す。
ブロック1F01は、ファイルから1つ以上のソースの指示を受信するステップを含む。いくつかの実施形態では、特権ソースのリストは、非管理ユーザーから書き込み保護されたファイルに記憶される。
ブロック1F02は、非特権ユーザーによるファイルの変更を拒否するステップを含む。管理ユーザーのみは、特権実行ソースを識別するファイルを変更してもよい。
図1Gは、コンピュータセキュリティの例示的な論理の流れ図である。図1Gは、以下のブロック1G01~1G04を含むプロセス1G00を示す。
ブロック1G01は、それぞれがコンピューティングシステムでの実行が許可されるプログラムを含むように指定される1つ以上のディレクトリの指示を受信して記憶するステップを含む。いくつかの実施形態では、このプロセスは、ファイルシステムに記憶された、書き込み保護されたドキュメントからファイルのリストを読み取る。
ブロック1G02は、プログラムの指示を受信するステップを含む。プログラムの指示は、プログラムの開始前又は開始中、例えばロードプロセスの前又はロードプロセス中に受信されてもよい。プログラムの指示は、プログラムの場所、特にロードされているプログラムが置かれているディレクトリのアイデンティティを含むか、又はそれを決定するために使用できる。
ブロック1G03は、プログラムが1つ以上のディレクトリのうちの1つに位置するか否かを判定するステップを含む。プログラムの場所は、特権フォルダのリストで検索される。この検索は、辞書検索、ハッシュテーブルなどを介して完成してもよい。
ブロック1G04は、プログラムが1つ以上のディレクトリのいずれにも位置しない場合、プログラムの実行を拒否するステップを含む。プログラムの実行を拒否するステップは、ロードプロセスを終了すること、(プログラムがオペレーティングシステムによって終了されるように)例外を発生させること、仮想メモリスペースの作成を拒絶すること、スケジューラがプロセスの実行又は切り替えを拒絶することなど、様々な方法で完了してもよい。
図1Hは、コンピュータセキュリティの例示的な論理の流れ図である。図1Hは、以下のブロック1H01~1H04を含むプロセス1H00を示す。
ブロック1H01は、ユーザーがコンピューティングシステムのリソースにアクセスしようとしているという指示を受信するステップを含む。例えば、プロセスは、ユーザー(又はユーザーに関連付けられたプログラム)がコンピューティングシステムのファイル、ディレクトリ又はプログラムを読み取るか、書き込むか又は実行しようとしているという指示を受信してもよい。
ブロック1H02は、ユーザーに関連付けられたソース識別子を決定するステップを含む。例えば、プロセスは、リソースのリモートアクセスに関連付けられたIPアドレスを受信してもよい。或いは、ソース識別子は、MACアドレスなどのハードウェア識別子であってもよい。場合によっては、プロセスは、ユーザーとシステム(又はいくつかの他の認証コンピュータシステム)との間の認証プロセス中に生成されたトークン(例えば、乱数)を受信してもよい。認証中に、このトークンは、(例えば、テーブル内で)ソース識別子への関連付けが完了してもよい。例えば、テーブルは、認証トークンをIPアドレス又はハードウェアアドレスに関連付けるために使用されてもよい。そして、このトークンは、ソース識別子を検索するために使用されてもよい。
ブロック1H03は、リソースに関連付けられたアクセス制御リストがソース識別子を許可可能なものとして特定するか否かを判定するステップを含む。いくつかの実施形態では、各リソースは、リソースへのアクセスが許可されるローカルソース又はリモートソースの1つ以上の識別子を追加的に特定するアクセス制御リストを有する。識別子は、ネットワークアドレス又は範囲、ハードウェア識別子などであってもよい。
ブロック1H04は、ソース識別子が許可不能なものとして特定される場合、リソースへのアクセスを拒否するステップを含む。アクセスを拒否するステップは、上述したように、リソースの実行を拒否するステップを含んでもよい。アクセスを拒否するステップは、リソースの開き、読み取り又は書き込みを拒絶するステップを含んでもよい。
図1Iは、図1Hのプロセス1H00の拡張を示す例示的な論理の流れ図である。図1Iは、プロセス1H00を含み、以下のブロック1I01~1I03を更に含むプロセス1I00を示す。
ブロック1I01は、コンピューティングシステムがメンテナンスモードで実行しているか否かを判定するステップを含む。例えば、このプロセスは、システムの起動中に設定されたフラグ、ファイル又はその他の識別子を読み取ることにより、コンピュータがセーフモード又はメンテナンスモードで起動されたか否かを判定してもよい。
ブロック1I02は、リソースがメンテナンスモードでのみアクセスできるか否かを判定するステップを含む。いくつかの実施形態では、各リソースは、セーフモードでのみアクセス可能であるか否かを示す、関連付けられた権限ビットを有する。このビットは、特定のユーザーのアクセスを制限するために、ユーザー識別子又はグループ識別子などの他の権限識別子と組み合わせることができる。
ブロック1I03は、(1)ソース識別子が許可可能なものとして特定されるか否か、(2)リソースがメンテナンスモードでのみアクセスできるか否か、及び(3)システムがメンテナンスモードで実行しているか否かに基づいて、アクセスを制御するステップを含む。アクセスを制御するステップは、リソースへのアクセスを許可又は拒否するステップを含む。いくつかの実施形態では、いくつかのリソースは、メンテナンスモードで、かつソース識別子が許可可能なソースとして特定される場合にのみアクセスできるという意味でロックダウンされる。
図1Jは、図1Hのプロセス1H00の拡張を示す例示的な論理の流れ図である。図1Jは、プロセス1H00を含み、ユーザーに関連付けられたソース識別子を決定するステップが以下のブロック1J01~1J02を含むプロセス1J00を示す。
ブロック1J01は、ユーザーとコンピューティングシステムとの間の認証プロセス中に生成されたトークンを受信するステップを含む。トークンは、例えば、乱数であってもよい。
ブロック1J02は、トークンに基づいてソース識別子を決定するステップを含む。このプロセスは、認証トークンをIPアドレス、ハードウェア識別子、ユーザー識別子などにマップするテーブルでソース識別子を検索することができる。
図1Kは、コンピュータセキュリティの例示的な論理の流れ図である。図1Kは、以下のブロック1K01~1K04を含むプロセス1K00を示す。
ブロック1K01は、ユーザーがコンピューティングシステムのリソースにアクセスしようとしているという指示を受信するステップを含む。例えば、プロセスは、ユーザー(又はユーザーに関連付けられたプログラム)がコンピューティングシステムのファイル、ディレクトリ又はプログラムを読み取るか、書き込むか又は実行しようとしているという指示を受信してもよい。
ブロック1K02は、コンピューティングシステムがメンテナンスモードで起動されたか否かを判定するステップを含む。例えば、このプロセスは、システムの起動中に設定されたフラグ、ファイル又はその他の識別子を読み取ることにより、コンピュータがセーフモード又はメンテナンスモードで起動されたか否かを判定してもよい。更に上述したように、いくつかのシステムでは、メンテナンスモードは、問題を診断して解決するか又はオペレーティングシステムのコンポーネント、構成又は機能を変更するためにコアオペレーティングシステムサービスのみを開始する診断モード又は管理モードである。
ブロック1K03は、リソースがメンテナンスモードでのみアクセスできるか否かを判定するステップを含む。いくつかの実施形態では、各リソースは、セーフモードでのみアクセス可能であるか否かを示す、関連付けられた権限ビットを有する。このビットは、特定のユーザーのアクセスを制限するために、ユーザー識別子又はグループ識別子などの他の権限識別子と組み合わせることができる。
ブロック1K04は、リソースがメンテナンスモードでのみアクセスでき、かつシステムがメンテナンスモードで起動されていない場合、リソースへのアクセスを拒否するステップを含む。アクセスを拒否するステップは、上述したように、リソースの実行を拒否するステップを含んでもよい。加えて、又は代わりに、アクセスを拒否するステップは、リソースの開き、読み取り又は書き込みを拒絶するステップを含んでもよい。
図1Lは、図1Kのプロセス1K00の拡張を示す例示的な論理の流れ図である。図1Lは、プロセス1K00を含み、以下のブロック1L01~1L03を更に含むプロセス1L00を示す。
ブロック1L01は、ユーザーに関連付けられたソース識別子を決定するステップを含む。例えば、プロセスは、リソースのリモートアクセスに関連付けられたIPアドレスを受信してもよい。或いは、ソース識別子は、MACアドレスなどのハードウェア識別子であってもよい。
ブロック1L02は、リソースに関連付けられたアクセス制御リストがソース識別子を許可可能なものとして特定するか否かを判定するステップを含む。いくつかの実施形態では、各リソースは、リソースへのアクセスが許可されるローカルソース又はリモートソースの1つ以上の識別子を追加的に特定するアクセス制御リストを有する。識別子は、ネットワークアドレス又は範囲、ハードウェア識別子などであってもよい。
ブロック1L03は、(1)ソース識別子が許可可能なものとして特定されるか否か、(2)リソースがメンテナンスモードでのみアクセスできるか否か、及び(3)システムがメンテナンスモードで起動されたか否かに基づいて、アクセスを制御するステップを含む。アクセスを制御するステップは、リソースへのアクセスを許可又は拒否するステップを含む。いくつかの実施形態では、いくつかのリソースは、メンテナンスモードで、かつソース識別子が許可可能なソースとして特定される場合にのみアクセスできるという意味でロックダウンされる。
図2は、例示的な実施形態に係る、コンピュータセキュリティモジュールを実装するための例示的なコンピューティングシステム又はデバイスのブロック図である。特に、図2は、本明細書で説明される技術の少なくともいくつかを実装するモジュール100を実行するコンピューティングシステム10を示す。
示される実施形態では、コンピューティングシステム10は、コンピュータメモリ(「メモリ」)11、ディスプレイ12、1つ以上の中央処理装置(「CPU」)13、入力/出力デバイス14(例えば、キーボード、マウス、CRT又はLEDディスプレイなど)、他のコンピュータ可読媒体15及びネットワーク接続部16を含む。モジュール100はメモリ11に存在することが示されている。他の実施形態では、コンテンツの一部、モジュール100のコンポーネントの一部又は全ては、他のコンピュータ可読媒体15に記憶及び/又は送信されてもよい。モジュール100は、好ましくは、1つ以上のCPU13で実行し、本明細書で説明される技術を実行する。他のコード又はプログラム30(例えば、管理インタフェース、ウェブサーバーなど)、及びデータリポジトリ20などの潜在的な他のデータリポジトリも、メモリ11に存在し、好ましくは1つ以上のCPU13で実行される。注目すべきこととして、図7の1つ以上のコンポーネントは、いずれの特定の実装にも存在しなくてもよい。例えば、いくつかの実施形態では、他のコンピュータ可読媒体15又はディスプレイ12が提供されなくてもよい。
モジュール100はデバイス100のメモリ11で実行することが示されている。メモリ11には、ユーザーインタフェースマネージャ41及びアプリケーションプログラムインタフェース(「API」)42も含まれる。ユーザーインタフェースマネージャ41及びAPI42は、それらのうちの1つ以上によって実行される機能が他の実施形態でモジュール100の外部で実行されてもよいことを示すために、破線で描かれている。
UIマネージャ41は、ユーザーとモジュール100及びその様々なコンポーネントとの対話を容易にするビュー及びコントローラを提供する。例えば、UIマネージャ41は、ユーザー又は管理者がモジュール100と対話できるように、モジュール100への対話型アクセスを提供してもよい。いくつかの実施形態では、UIマネージャ41の機能へのアクセスは、場合により他のプログラム30の1つとして実行するウェブサーバーを介して提供されてもよい。そのような実施形態では、ユーザーコンピューティングシステム60で実行するウェブブラウザを操作するユーザーは、UIマネージャ41を介してモジュール100と対話することができる。
API42は、モジュール100の1つ以上の機能へのプログラムによるアクセスを提供する。例えば、API42は、他のプログラム30の1つ又は他のモジュールによって呼び出されてもよいモジュール100の1つ以上の機能へのプログラムによるインタフェースを提供してもよい。このようにして、API42は、ユーザーインタフェース、プラグイン、(例えば、モジュール100の機能をウェブアプリケーションに統合するための)アダプタなどのサードパーティソフトウェアの開発を容易にする。
モジュール100は、ネットワーク99を介してネットワーク接続部16を使用してコンピューティングシステム60、62及び64を含む他のデバイス/システムと対話してもよい。ネットワーク99は、遠隔地にいる人間及び/又はデバイス間の通信を容易にする媒体(例えば、ツイストペア、同軸ケーブル、光ファイバ、無線周波数)、ハードウェア(例えば、ルーター、スイッチ、リピーター、トランシーバ)及びプロトコル(例えば、TCP/IP、UDP、イーサネット、Wi-Fi、WiMAX)の任意の組み合わせであってもよい。
なお、1つ以上の汎用又は専用のコンピューティングシステム/デバイスが、モジュール100を実装及び/又は実行するために使用されてもよい。しかしながら、モジュール100を汎用コンピューティングシステムに実装できるという理由だけで、本技術自体又は本技術を実装するために必要な操作(単独又は組み合わせて)が従来的又は周知であることを意味するものではない。これらの技術は、少なくとも、1つ以上のコンピューティングシステムの動作、統合又は効率を改善することなどにより既存の技術に対処して改善するため、従来的ではない。
例示的な実施形態では、モジュール100のコンポーネント/モジュールは、ソフトウェアプログラミング技術を使用して実装される。例えば、モジュール100は、1つ以上の静的ライブラリ又は動的ライブラリと共に、CPU13で実行する「ネイティブ」実行ファイルとして実装されてもよい。他の実施形態では、モジュール100は、他のプログラム30の1つとして実行する仮想マシンによって処理される命令として実装されてもよい。
様々なコンポーネントが、例えば、単一CPUのコンピュータシステムで実行される実行ファイルとして、よりモノリシックなプログラミング技術を使用して実装されてもよく、或いは、マルチプログラミング、マルチスレッディング、クライアントサーバー又はピアツーピアを含むがこれらに限定されない、それぞれが1つ以上のCPUを有する1つ以上のコンピュータシステムで実行する様々な構造化技術を使用して分解されてもよい。いくつかの実施形態では、これらのコンポーネントは、同時に及び非同期的に実行し、そしてメッセージパッシング、遠隔手続き呼び出し又は他の分散コンピューティングパラダイムを使用して通信してもよい。同等の同期の実施形態もサポートされる。また、他の機能は、各コンポーネント/モジュールによって、異なる順序で、異なるコンポーネント/モジュールによって実装及び/又は実行されてもよく、それでも説明された機能を実現する。
また、データストア20などのモジュール100の一部として記憶されたデータへのプログラミングインタフェースは、言語固有APIと、ファイル、データベース又はその他のデータリポジトリにアクセスするためのライブラリとによって、XMLなどの表現言語又はWebサーバー、FTPサーバー又は記憶されたデータへのアクセスを提供する他の種類のサーバーを介して利用可能である。データストア20は、分散コンピューティング技術を使用する実装を含む、1つ以上のデータベースシステム、ファイルシステム若しくはそのような情報を記憶するための他の任意の技術又はそれらの組み合わせとして実装されてもよい。
更に、いくつかの実施形態では、モジュール100のコンポーネントの一部又は全ては、他の形態、例えば、1つ以上の特定用途向け集積回路(「ASIC」)と、標準集積回路と、適切な命令を実行し、マイクロコントローラ及び/若しくは組み込みコントローラを含むコントローラと、フィールドプログラマブルゲートアレイ(「FPGA」)、コンプレックスプログラマブルロジックデバイス(「CPLD」)とを含むがこれらに限定されないファームウェア並びに/若しくはハードウェアで少なくとも部分的に実装又は提供されてもよい。システムコンポーネント及び/若しくはデータ構造の一部又は全ては、コンピュータ可読媒体及び/又は1つ以上の関連するコンピューティングシステム若しくはデバイスを有効化又は構成して、説明された技術の少なくともいくつかを実行するためにコンテンツを実行又は使用又は提供するように、コンテンツ(例えば、実行ファイル又はその他のマシン可読ソフトウェア命令又は構造化データ)としてコンピュータ可読媒体(例えば、ハードディスク、メモリ、コンピュータネットワーク若しくはセル無線ネットワーク若しくは他のデータ伝送媒体、若しくはDVD、フラッシュメモリデバイスなど、適切なドライブによって又は適切な接続部を介して読み取られる携帯用媒体物品)に記憶されてもよい。コンポーネント及び/又はデータ構造の一部又は全ては、有形の非一時的記憶媒体に記憶されてもよい。システムコンポーネント及びデータ構造の一部又は全ては、(例えば、搬送波の一部として暗号化されるか、又はアナログ若しくはデジタル伝搬信号の一部として含まれることによって)データ信号として様々なコンピュータ可読伝送媒体に記憶され、無線及び有線/ケーブルベースの媒体を介するなどして送信されてもよく、かつ様々な形態を(例えば、単一若しくは多重化されたアナログ信号の一部として、又は複数の個別デジタルパケット若しくはフレームとして)採用してもよい。このようなコンピュータプログラム製品はまた、他の実施形態で他の形態を採用してもよい。したがって、本開示の実施形態は、他のコンピュータシステム構成で実施されてもよい。
上述したように、本発明の実施形態を例示し説明したが、本発明の精神及び範囲から逸脱することなく、多くの変更を行うことができる。したがって、本発明の範囲は、上記開示によって限定されない。
Claims (19)
- ユーザーがコンピューティングシステムのリソースにアクセスしようとしているという指示を受信するステップと、
前記ユーザーに関連付けられたソース識別子を決定するステップと、
前記リソースに関連付けられたアクセス制御リストが前記ソース識別子を許可可能なものとして特定するか否かを判定するステップと、
前記ソース識別子が許可不能なものとして特定される場合、前記リソースへのアクセスを拒否するステップと
を含む、コンピュータセキュリティのための方法。 - 前記コンピューティングシステムがメンテナンスモードで実行しているか否かを判定するステップと、
前記リソースがメンテナンスモードでのみアクセスできるか否かを判定するステップと、
(1)前記ソース識別子が許可可能なものとして特定されるか否か、(2)前記リソースがメンテナンスモードでのみアクセスできるか否か、及び(3)前記システムがメンテナンスモードで実行しているか否かに基づいて、アクセスを制御するステップと
を更に含む、請求項1に記載の方法。 - 前記コンピューティングシステムがメンテナンスモードで実行しているか否かを判定するステップは、前記コンピューティングシステムで実行するオペレーティングシステムがシングルユーザー診断モードで動作しているか否かを判定するステップを含む、請求項2に記載の方法。
- 前記ユーザーがコンピューティングシステムのリソースにアクセスしようとしているという指示を受信するステップは、前記コンピューティングシステムで実行するプログラムに関連付けられたプロセス識別子に関連付けられたユーザー識別子を受信するステップを含む、請求項1に記載の方法。
- 前記ユーザーがコンピューティングシステムのリソースにアクセスしようとしているという指示を受信するステップは、前記ユーザーによって実行されるプログラムがファイルを読み取るか、書き込むか又は実行しようとしているという指示を受信するステップを含む、請求項1に記載の方法。
- 前記ユーザーに関連付けられたソース識別子を決定するステップは、前記ユーザーによって操作されるコンピューティングシステムのネットワークアドレスを受信するステップを含む、請求項1に記載の方法。
- 前記ユーザーに関連付けられたソース識別子を決定するステップは、前記ユーザーによって操作されるコンピューティングシステムのハードウェア識別子を受信するステップを含む、請求項1に記載の方法。
- 前記ユーザーに関連付けられたソース識別子を決定するステップは、
前記ユーザーと前記コンピューティングシステムとの間の認証プロセス中に生成されたトークンを受信するステップと、
前記トークンに基づいて前記ソース識別子を決定するステップと
を含む、請求項1に記載の方法。 - 前記リソースへのアクセスを拒否するステップは、前記プログラムを終了し、前記プログラムを一時停止し、及び/又は例外を発生させるステップを含む、請求項1に記載の方法。
- 前記リソースへのアクセスを拒否するステップは、代替実行環境で前記プログラムを実行するステップを含む、請求項1に記載の方法。
- ユーザーがコンピューティングシステムのリソースにアクセスしようとしているという指示を受信するステップと、
前記コンピューティングシステムがメンテナンスモードで起動されたか否かを判定するステップと、
前記リソースがメンテナンスモードでのみアクセスできるか否かを判定するステップと、
前記リソースがメンテナンスモードでのみアクセスでき、かつ前記システムがメンテナンスモードで起動されていない場合、前記リソースへのアクセスを拒否するステップと
を含む、コンピュータセキュリティのための方法。 - 前記ユーザーがコンピューティングシステムのリソースにアクセスしようとしているという指示を受信するステップは、前記コンピューティングシステムで実行するプログラムに関連付けられたプロセス識別子に関連付けられたユーザー識別子を受信するステップを含む、請求項1に記載の方法。
- 前記コンピューティングシステムがメンテナンスモードで起動されたか否かを判定するステップは、前記コンピューティングシステムで実行するオペレーティングシステムがシングルユーザー診断モードで動作しているか否かを判定するステップを含む、請求項11に記載の方法。
- 前記コンピューティングシステムがメンテナンスモードで起動されたか否かを判定するステップは、前記コンピューティングシステムで実行するオペレーティングシステムが、管理ユーザーのみのログインを許可するモードで動作しているか否かを判定するステップを含む、請求項11に記載の方法。
- 前記コンピューティングシステムがメンテナンスモードで起動されたか否かを判定するステップは、前記コンピューティングシステムで実行するオペレーティングシステムが、ローカルコンソールのみからのログインを許可するモードで動作しているか否かを判定するステップを含む、請求項11に記載の方法。
- 前記ユーザーに関連付けられたソース識別子を決定するステップと、
前記リソースに関連付けられたアクセス制御リストが前記ソース識別子を許可可能なものとして特定するか否かを判定するステップと、
(1)前記ソース識別子が許可可能なものとして特定されるか否か、(2)前記リソースがメンテナンスモードでのみアクセスできるか否か、及び(3)前記システムがメンテナンスモードで起動されたか否かに基づいて、アクセスを制御するステップと
を更に含む、請求項11に記載の方法。 - 前記コンピューティングシステムがメンテナンスモードで起動されたか否かを判定するステップは、
前記ユーザーと前記コンピューティングシステムとの間の認証プロセス中に生成されたトークンを受信するステップと、
前記トークンに基づいて前記ソース識別子を決定するステップと
を含む、請求項16に記載の方法。 - プロセッサと、モジュールとを含み、
前記モジュールは、前記プロセッサによって実行されると、
ユーザーがコンピューティングシステムのリソースにアクセスしようとしているという指示を受信し、
前記ユーザーに関連付けられたソース識別子を決定し、
前記リソースに関連付けられたアクセス制御リストが前記ソース識別子を許可可能なものとして特定するか否かを判定し、
前記コンピューティングシステムがメンテナンスモードで実行しているか否かを判定し、
前記リソースがメンテナンスモードでのみアクセスできるか否かを判定し、
(1)前記ソース識別子が許可可能なものとして特定されるか否か、(2)前記リソースがメンテナンスモードでのみアクセスできるか否か、及び(3)前記システムがメンテナンスモードで実行しているか否かに基づいて、アクセスを制御するように構成される、コンピュータセキュリティのためのシステム。 - システムの起動中に実行される全てのコードモジュールのデジタル署名をチェックするセキュアブートモジュールを更に含む、請求項18に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/708,423 | 2019-12-09 | ||
| US16/708,423 US11677754B2 (en) | 2019-12-09 | 2019-12-09 | Access control systems and methods |
| PCT/US2019/067003 WO2021118608A1 (en) | 2019-12-09 | 2019-12-17 | Access control systems and methods |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2023504600A true JP2023504600A (ja) | 2023-02-06 |
Family
ID=76210703
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022528724A Pending JP2023504600A (ja) | 2019-12-09 | 2019-12-17 | アクセス制御システム及び方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11677754B2 (ja) |
| EP (1) | EP4073670A1 (ja) |
| JP (1) | JP2023504600A (ja) |
| WO (1) | WO2021118608A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11677754B2 (en) * | 2019-12-09 | 2023-06-13 | Daniel Chien | Access control systems and methods |
Family Cites Families (213)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6167520A (en) | 1996-11-08 | 2000-12-26 | Finjan Software, Inc. | System and method for protecting a client during runtime from hostile downloadables |
| US6016553A (en) | 1997-09-05 | 2000-01-18 | Wild File, Inc. | Method, software and apparatus for saving, using and recovering data |
| US6185678B1 (en) | 1997-10-02 | 2001-02-06 | Trustees Of The University Of Pennsylvania | Secure and reliable bootstrap architecture |
| US6816904B1 (en) * | 1997-11-04 | 2004-11-09 | Collaboration Properties, Inc. | Networked video multimedia storage server environment |
| JP2002526830A (ja) * | 1998-09-28 | 2002-08-20 | アーガス システムズ グループ,インク. | コンパートメント化された信用コンピュータオペレーティングシステム |
| US6502135B1 (en) | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
| US6898636B1 (en) | 1999-02-04 | 2005-05-24 | Intralinks, Inc. | Methods and systems for interchanging documents between a sender computer, a server and a receiver computer |
| US6687226B1 (en) | 1999-04-01 | 2004-02-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Base station subsystem and method for handling an increase in traffic volume that overloads a terrestrial link in an internet protocol network |
| US6888834B1 (en) | 1999-09-10 | 2005-05-03 | Keyon Communications Llc | System and method for providing wireless internet services |
| US6654796B1 (en) | 1999-10-07 | 2003-11-25 | Cisco Technology, Inc. | System for managing cluster of network switches using IP address for commander switch and redirecting a managing request via forwarding an HTTP connection to an expansion switch |
| US20020049883A1 (en) | 1999-11-29 | 2002-04-25 | Eric Schneider | System and method for restoring a computer system after a failure |
| US7013482B1 (en) | 2000-07-07 | 2006-03-14 | 802 Systems Llc | Methods for packet filtering including packet invalidation if packet validity determination not timely made |
| US7111163B1 (en) | 2000-07-10 | 2006-09-19 | Alterwan, Inc. | Wide area network using internet with quality of service |
| US7089592B2 (en) | 2001-03-15 | 2006-08-08 | Brighterion, Inc. | Systems and methods for dynamic detection and prevention of electronic fraud |
| GB2376540B (en) | 2001-06-12 | 2005-05-04 | Hewlett Packard Co | Upgrade of licensed capacity on computer entity |
| US7672903B2 (en) | 2001-08-27 | 2010-03-02 | Dphi Acquisitions, Inc. | Revocation method and apparatus for secure content |
| US7310821B2 (en) | 2001-08-27 | 2007-12-18 | Dphi Acquisitions, Inc. | Host certification method and system |
| US20030084349A1 (en) | 2001-10-12 | 2003-05-01 | Oliver Friedrichs | Early warning system for network attacks |
| US7142651B2 (en) | 2001-11-29 | 2006-11-28 | Ectel Ltd. | Fraud detection in a distributed telecommunications networks |
| DE60139883D1 (de) | 2001-11-29 | 2009-10-22 | Stonesoft Oy | Kundenspezifische Firewall |
| US20030149887A1 (en) | 2002-02-01 | 2003-08-07 | Satyendra Yadav | Application-specific network intrusion detection |
| US7174566B2 (en) | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| US20030188190A1 (en) | 2002-03-26 | 2003-10-02 | Aaron Jeffrey A. | System and method of intrusion detection employing broad-scope monitoring |
| EP1495394B1 (en) | 2002-04-18 | 2008-07-23 | Advanced Micro Devices, Inc. | A computer system including a secure execution mode - capable cpu and a security services processor connected via a secure communication path |
| US7778606B2 (en) | 2002-05-17 | 2010-08-17 | Network Security Technologies, Inc. | Method and system for wireless intrusion detection |
| US7965842B2 (en) | 2002-06-28 | 2011-06-21 | Wavelink Corporation | System and method for detecting unauthorized wireless access points |
| US7315890B2 (en) | 2002-10-02 | 2008-01-01 | Lockheed Martin Corporation | System and method for managing access to active devices operably connected to a data network |
| US7540028B2 (en) | 2002-10-25 | 2009-05-26 | Intel Corporation | Dynamic network security apparatus and methods or network processors |
| US7346770B2 (en) | 2002-10-31 | 2008-03-18 | Microsoft Corporation | Method and apparatus for traversing a translation device with a security protocol |
| US7363656B2 (en) | 2002-11-04 | 2008-04-22 | Mazu Networks, Inc. | Event detection/anomaly correlation heuristics |
| US7461404B2 (en) | 2002-11-04 | 2008-12-02 | Mazu Networks, Inc. | Detection of unauthorized access in a network |
| EP1586054A4 (en) | 2002-12-13 | 2010-12-08 | Symantec Corp | METHOD, SYSTEM, AND SECURING COMPUTER PROGRAM WITHIN A GLOBAL COMPUTER NETWORK |
| US20040123141A1 (en) | 2002-12-18 | 2004-06-24 | Satyendra Yadav | Multi-tier intrusion detection system |
| US8645408B2 (en) | 2003-02-18 | 2014-02-04 | Apple Inc. | Discovery of application server in an IP network |
| US20040162992A1 (en) | 2003-02-19 | 2004-08-19 | Sami Vikash Krishna | Internet privacy protection device |
| JP4354201B2 (ja) | 2003-03-18 | 2009-10-28 | 富士通株式会社 | 不正アクセス対処システム、及び不正アクセス対処処理プログラム |
| US7653698B2 (en) | 2003-05-29 | 2010-01-26 | Sonicwall, Inc. | Identifying e-mail messages from allowed senders |
| US7278156B2 (en) | 2003-06-04 | 2007-10-02 | International Business Machines Corporation | System and method for enforcing security service level agreements |
| US7490237B1 (en) | 2003-06-27 | 2009-02-10 | Microsoft Corporation | Systems and methods for caching in authentication systems |
| US7409202B2 (en) | 2003-08-12 | 2008-08-05 | Nextel Communications Inc. | Communications restrictions for mobile group communication devices |
| US20050060566A1 (en) | 2003-09-16 | 2005-03-17 | Chebolu Anil Kumar | Online user-access reports with authorization features |
| US7457958B2 (en) | 2003-09-22 | 2008-11-25 | Proofprint, Inc. | System for detecting authentic e-mail messages |
| US7725936B2 (en) | 2003-10-31 | 2010-05-25 | International Business Machines Corporation | Host-based network intrusion detection systems |
| US7222158B2 (en) | 2003-12-31 | 2007-05-22 | Aol Llc | Third party provided transactional white-listing for filtering electronic communications |
| US20050172229A1 (en) | 2004-01-29 | 2005-08-04 | Arcot Systems, Inc. | Browser user-interface security application |
| US7627617B2 (en) * | 2004-02-11 | 2009-12-01 | Storage Technology Corporation | Clustered hierarchical file services |
| US7536723B1 (en) | 2004-02-11 | 2009-05-19 | Airtight Networks, Inc. | Automated method and system for monitoring local area computer networks for unauthorized wireless access |
| WO2005082101A2 (en) | 2004-02-26 | 2005-09-09 | Truefire, Inc. | Systems and methods for producing, managing, delivering, retrieving, and/or tracking permission based communications |
| GB2412189B (en) | 2004-03-16 | 2007-04-04 | Netcraft Ltd | Security component for use with an internet browser application and method and apparatus associated therewith |
| US7761574B2 (en) * | 2004-03-18 | 2010-07-20 | Andrew Liebman | Media file access and storage solution for multi-workstation/multi-platform non-linear video editing systems |
| US7457823B2 (en) | 2004-05-02 | 2008-11-25 | Markmonitor Inc. | Methods and systems for analyzing data related to possible online fraud |
| US7870200B2 (en) | 2004-05-29 | 2011-01-11 | Ironport Systems, Inc. | Monitoring the flow of messages received at a server |
| JP2006001087A (ja) * | 2004-06-16 | 2006-01-05 | Fuji Xerox Co Ltd | 画像形成装置および電子機器 |
| US7606821B2 (en) | 2004-06-30 | 2009-10-20 | Ebay Inc. | Method and system for preventing fraudulent activities |
| WO2006018647A1 (en) | 2004-08-20 | 2006-02-23 | Rhoderick John Kennedy Pugh | Server authentication |
| US7930413B2 (en) | 2004-09-03 | 2011-04-19 | Wizard Tower Techno Services Ltd. | System and method for controlling access to a network resource |
| WO2006031684A2 (en) | 2004-09-13 | 2006-03-23 | Network Solutions, Llc | Domain bar |
| GB0420548D0 (en) | 2004-09-15 | 2004-10-20 | Streamshield Networks Ltd | Network-based security platform |
| US20060069782A1 (en) | 2004-09-16 | 2006-03-30 | Michael Manning | Method and apparatus for location-based white lists in a telecommunications network |
| US7502923B2 (en) | 2004-09-16 | 2009-03-10 | Nokia Corporation | Systems and methods for secured domain name system use based on pre-existing trust |
| US8996603B2 (en) | 2004-09-16 | 2015-03-31 | Cisco Technology, Inc. | Method and apparatus for user domain based white lists |
| US7159765B2 (en) * | 2004-10-12 | 2007-01-09 | Aristocrat Technologies Australia Pty, Ltd. | Method and apparatus for employee access to a gaming system |
| US7826602B1 (en) | 2004-10-22 | 2010-11-02 | Juniper Networks, Inc. | Enabling incoming VoIP calls behind a network firewall |
| US10043008B2 (en) | 2004-10-29 | 2018-08-07 | Microsoft Technology Licensing, Llc | Efficient white listing of user-modifiable files |
| US20150213131A1 (en) | 2004-10-29 | 2015-07-30 | Go Daddy Operating Company, LLC | Domain name searching with reputation rating |
| US7634810B2 (en) | 2004-12-02 | 2009-12-15 | Microsoft Corporation | Phishing detection, prevention, and notification |
| US20060123478A1 (en) | 2004-12-02 | 2006-06-08 | Microsoft Corporation | Phishing detection, prevention, and notification |
| US7519818B2 (en) | 2004-12-09 | 2009-04-14 | Microsoft Corporation | Method and system for processing a communication based on trust that the communication is not unwanted as assigned by a sending domain |
| US20070022479A1 (en) | 2005-07-21 | 2007-01-25 | Somsubhra Sikdar | Network interface and firewall device |
| US7626940B2 (en) | 2004-12-22 | 2009-12-01 | Intruguard Devices, Inc. | System and method for integrated header, state, rate and content anomaly prevention for domain name service |
| US7602731B2 (en) | 2004-12-22 | 2009-10-13 | Intruguard Devices, Inc. | System and method for integrated header, state, rate and content anomaly prevention with policy enforcement |
| US7979889B2 (en) | 2005-01-07 | 2011-07-12 | Cisco Technology, Inc. | Methods and apparatus providing security to computer systems and networks |
| US20060230039A1 (en) | 2005-01-25 | 2006-10-12 | Markmonitor, Inc. | Online identity tracking |
| US20060190993A1 (en) | 2005-02-08 | 2006-08-24 | Finisar Corporation | Intrusion detection in networks |
| EP1866783B1 (en) | 2005-02-24 | 2020-11-18 | EMC Corporation | System and method for detecting and mitigating dns spoofing trojans |
| WO2006093917A2 (en) | 2005-02-28 | 2006-09-08 | Trust Digital | Mobile data security system and methods |
| WO2006094275A2 (en) | 2005-03-02 | 2006-09-08 | Markmonitor, Inc. | Trust evaluation systems and methods |
| US7548539B2 (en) | 2005-03-08 | 2009-06-16 | Audiocodes, Inc. | Method and apparatus for Voice-over-IP call recording |
| US7725930B2 (en) | 2005-03-30 | 2010-05-25 | Microsoft Corporation | Validating the origin of web content |
| US7681234B2 (en) | 2005-06-30 | 2010-03-16 | Microsoft Corporation | Preventing phishing attacks |
| WO2007016641A2 (en) | 2005-08-02 | 2007-02-08 | Comhouse Wireless, Lp | Methods of remotely identifying, suppressing and/or disabling wireless devices of interest |
| CN101495956B (zh) | 2005-08-11 | 2012-03-07 | 晟碟以色列有限公司 | 扩展一次性密码方法和装置 |
| US8666957B2 (en) | 2005-08-29 | 2014-03-04 | Hewlett-Packard Development Company, L.P. | Method or apparatus for locking shared data |
| US9015090B2 (en) | 2005-09-06 | 2015-04-21 | Daniel Chien | Evaluating a questionable network communication |
| US9674145B2 (en) | 2005-09-06 | 2017-06-06 | Daniel Chien | Evaluating a questionable network communication |
| US8621604B2 (en) | 2005-09-06 | 2013-12-31 | Daniel Chien | Evaluating a questionable network communication |
| US9912677B2 (en) | 2005-09-06 | 2018-03-06 | Daniel Chien | Evaluating a questionable network communication |
| US20070083670A1 (en) | 2005-10-11 | 2007-04-12 | International Business Machines Corporation | Method and system for protecting an internet user from fraudulent ip addresses on a dns server |
| US7832009B2 (en) | 2005-12-28 | 2010-11-09 | Foundry Networks, Llc | Techniques for preventing attacks on computer systems and networks |
| US20070174429A1 (en) * | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
| US20080005194A1 (en) * | 2006-05-05 | 2008-01-03 | Lockheed Martin Corporation | System and method for immutably cataloging and storing electronic assets in a large scale computer system |
| US7751339B2 (en) | 2006-05-19 | 2010-07-06 | Cisco Technology, Inc. | Method and apparatus for simply configuring a subscriber appliance for performing a service controlled by a separate service provider |
| GB2442023B (en) | 2006-09-13 | 2011-03-02 | Advanced Risc Mach Ltd | Memory access security management |
| CA2577030A1 (en) | 2007-01-31 | 2008-07-31 | Unlimi-Tech Software Inc. | Improved data transfer method, system and protocol |
| US8505091B2 (en) | 2007-04-30 | 2013-08-06 | Hewlett-Packard Development Company, L.P. | Method of protecting against denial-of-service attacks |
| US8341723B2 (en) | 2007-06-28 | 2012-12-25 | Microsoft Corporation | Filtering kernel-mode network communications |
| US9900347B2 (en) | 2007-09-14 | 2018-02-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Handling trust in an IP multimedia subsystem communication network |
| US8855103B2 (en) | 2008-01-17 | 2014-10-07 | Blackberry Limited | Personal network access control system and method |
| US8950007B1 (en) | 2008-04-07 | 2015-02-03 | Lumension Security, Inc. | Policy-based whitelisting with system change management based on trust framework |
| US8893242B2 (en) | 2008-04-29 | 2014-11-18 | Ebay Inc. | System and method for pool-based identity generation and use for service access |
| US8863235B2 (en) | 2008-05-13 | 2014-10-14 | At&T Mobility Ii Llc | Time-dependent white list generation |
| US8255994B2 (en) | 2008-08-20 | 2012-08-28 | Sprint Communications Company L.P. | Detection and suppression of short message service denial of service attacks |
| US9781148B2 (en) | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
| US9106426B2 (en) | 2008-11-26 | 2015-08-11 | Red Hat, Inc. | Username based authentication and key generation |
| US9256728B2 (en) | 2008-11-26 | 2016-02-09 | Nokia Technologies Oy | Method, apparatus, and computer program product for managing software versions |
| US8423631B1 (en) | 2009-02-13 | 2013-04-16 | Aerohive Networks, Inc. | Intelligent sorting for N-way secure split tunnel |
| US8127124B2 (en) | 2009-03-19 | 2012-02-28 | Hewlett-Packard Development Company, L.P. | Remote configuration of computing platforms |
| US8959353B2 (en) | 2009-03-31 | 2015-02-17 | Topaz Systems, Inc. | Distributed system for multi-function secure verifiable signer authentication |
| US20100325424A1 (en) | 2009-06-19 | 2010-12-23 | Etchegoyen Craig S | System and Method for Secured Communications |
| US8161552B1 (en) | 2009-09-23 | 2012-04-17 | Trend Micro, Inc. | White list creation in behavior monitoring system |
| ES2660541T3 (es) | 2009-09-30 | 2018-03-22 | Amazon Technologies, Inc. | Marco de autenticación de dispositivo modular |
| US8751808B2 (en) | 2009-11-12 | 2014-06-10 | Roy Gelbard | Method and system for sharing trusted contact information |
| US9727266B2 (en) * | 2009-12-29 | 2017-08-08 | International Business Machines Corporation | Selecting storage units in a dispersed storage network |
| US8752047B2 (en) | 2010-05-28 | 2014-06-10 | Bromium, Inc. | Automated management of virtual machines to process untrusted data based on client policy information |
| US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
| US8326370B2 (en) | 2010-09-23 | 2012-12-04 | Research In Motion Limited | System and method for rotating a user interface for a mobile device |
| US8869264B2 (en) | 2010-10-01 | 2014-10-21 | International Business Machines Corporation | Attesting a component of a system during a boot process |
| US9058607B2 (en) | 2010-12-16 | 2015-06-16 | Verizon Patent And Licensing Inc. | Using network security information to detection transaction fraud |
| US8863256B1 (en) | 2011-01-14 | 2014-10-14 | Cisco Technology, Inc. | System and method for enabling secure transactions using flexible identity management in a vehicular environment |
| US9015455B2 (en) | 2011-07-07 | 2015-04-21 | Intel Corporation | Processsor integral technologies for BIOS flash attack protection and notification |
| US8990356B2 (en) | 2011-10-03 | 2015-03-24 | Verisign, Inc. | Adaptive name resolution |
| US9971896B2 (en) | 2011-12-30 | 2018-05-15 | International Business Machines Corporation | Targeted security testing |
| US20140157355A1 (en) | 2012-01-06 | 2014-06-05 | Optio Labs, LLC | Systems and methods for enhancing mobile device security with a processor trusted zone |
| WO2014160479A1 (en) * | 2013-03-13 | 2014-10-02 | Arizona Board Of Regents, A Body Corporate Of The State Of Arizona, Acting For And On Behalf Of Arizone State University | Systems and apparatuses for a secure mobile cloud framework for mobile computing and communication |
| US8964973B2 (en) | 2012-04-30 | 2015-02-24 | General Electric Company | Systems and methods for controlling file execution for industrial control systems |
| US9585012B2 (en) | 2012-05-14 | 2017-02-28 | Futurewei Technologies, Inc. | System and method for establishing a secure connection in communications systems |
| US9497623B2 (en) | 2012-05-25 | 2016-11-15 | Nokia Technologies Oy | Method and apparatus for guest access sharing |
| US20130346628A1 (en) | 2012-06-21 | 2013-12-26 | Rodney S. Canion | Dynamically assigned mac addresses for devices in a computing system |
| US20130347111A1 (en) | 2012-06-25 | 2013-12-26 | Zimperium | System and method for detection and prevention of host intrusions and malicious payloads |
| US8874717B2 (en) | 2012-06-29 | 2014-10-28 | Microsoft Corporation | Techniques to discover services recursively in a distributed environment |
| US8788839B1 (en) | 2012-10-10 | 2014-07-22 | Google Inc. | Securely replacing boot loaders |
| US8949970B2 (en) * | 2012-10-31 | 2015-02-03 | Rockwell Automation Technologies, Inc. | Automation system access control system and method |
| JP5997588B2 (ja) | 2012-11-15 | 2016-09-28 | 株式会社エヌ・ティ・ティ・データ | 通信システム、通信方法、通信装置、および通信プログラム |
| CN103813330A (zh) | 2012-11-15 | 2014-05-21 | 中兴通讯股份有限公司 | 一种通信终端、系统以及权限管理方法 |
| US9374369B2 (en) | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
| US8995658B2 (en) | 2013-02-13 | 2015-03-31 | Honeywell International Inc. | Physics-based key generation |
| CN104981778A (zh) | 2013-02-22 | 2015-10-14 | 马维尔国际贸易有限公司 | 修补只读存储器的引导代码 |
| US9892284B2 (en) | 2013-03-11 | 2018-02-13 | Lantiq Beteiligungs-GmbH & Co. KG | Trusted execution thread in an embedded multithreaded system |
| US20140258465A1 (en) | 2013-03-11 | 2014-09-11 | Cisco Technology, Inc. | Identification of originating ip address and client port connection to a web server via a proxy server |
| US20140313975A1 (en) | 2013-04-19 | 2014-10-23 | Cubic Corporation | White listing for binding in ad-hoc mesh networks |
| WO2014176461A1 (en) | 2013-04-25 | 2014-10-30 | A10 Networks, Inc. | Systems and methods for network access control |
| US9411978B2 (en) | 2013-07-11 | 2016-08-09 | Open Text S.A. | System and method for access control using network verification |
| US9172721B2 (en) | 2013-07-16 | 2015-10-27 | Fortinet, Inc. | Scalable inline behavioral DDOS attack mitigation |
| US9059989B2 (en) | 2013-07-18 | 2015-06-16 | Vmware, Inc. | Hash synchronization for preventing unauthorized server access using stolen passwords |
| US10084791B2 (en) | 2013-08-14 | 2018-09-25 | Daniel Chien | Evaluating a questionable network communication |
| BR112016003033A2 (pt) | 2013-08-14 | 2017-09-12 | Chien Daniel | avaliação de uma comunicação de rede questionável |
| US9311475B2 (en) | 2013-08-30 | 2016-04-12 | Vmware, Inc. | Trusted execution of binaries and modules |
| US9736131B2 (en) | 2013-09-24 | 2017-08-15 | Cellco Partnership | Secure login for subscriber devices |
| US9154459B2 (en) | 2013-09-25 | 2015-10-06 | Malwarebytes Corporation | Access control manager |
| CN103607714A (zh) | 2013-11-18 | 2014-02-26 | 宽兆科技(深圳)有限公司 | 无线路由器及其快速接入控制方法、认证连接方法 |
| JP6478486B2 (ja) * | 2013-11-20 | 2019-03-06 | キヤノン株式会社 | 情報処理装置、その制御方法及びプログラム |
| US9614869B2 (en) | 2013-11-23 | 2017-04-04 | Universidade da Coruña—OTRI | System and server for detecting web page changes |
| US9740870B1 (en) * | 2013-12-05 | 2017-08-22 | Amazon Technologies, Inc. | Access control |
| US10104081B2 (en) | 2013-12-19 | 2018-10-16 | Google Llc | Privileged static hosted web applications |
| US9154460B1 (en) | 2014-02-12 | 2015-10-06 | Sonus Networks, Inc. | Methods and apparatus for denial of service resistant policing of packets |
| US9660974B2 (en) | 2014-02-18 | 2017-05-23 | Secureauth Corporation | Fingerprint based authentication for single sign on |
| CN104951316B (zh) | 2014-03-25 | 2018-09-21 | 华为技术有限公司 | 一种内核可信启动方法和装置 |
| US9413783B1 (en) | 2014-06-02 | 2016-08-09 | Amazon Technologies, Inc. | Network interface with on-board packet processing |
| US9667637B2 (en) | 2014-06-09 | 2017-05-30 | Guardicore Ltd. | Network-based detection of authentication failures |
| US9693296B2 (en) | 2014-07-17 | 2017-06-27 | Xiaomi Inc. | Network connection method and apparatus |
| US9654458B1 (en) | 2014-09-23 | 2017-05-16 | Amazon Technologies, Inc. | Unauthorized device detection in a heterogeneous network |
| CN105635084B (zh) | 2014-11-17 | 2018-12-14 | 华为技术有限公司 | 终端认证装置及方法 |
| WO2016079620A1 (en) | 2014-11-18 | 2016-05-26 | Vanhawks Inc. | Network-enabled bicycles, bicycles interconnected into a mesh network, electronic devices for bicycles and related methods |
| WO2016081867A1 (en) | 2014-11-20 | 2016-05-26 | Interdigital Patent Holdings, Inc. | Providing security to computing systems |
| CN105682093A (zh) | 2014-11-20 | 2016-06-15 | 中兴通讯股份有限公司 | 无线网络接入方法及接入装置和客户端 |
| US9928151B1 (en) * | 2014-12-12 | 2018-03-27 | Amazon Technologies, Inc. | Remote device interface for testing computing devices |
| US9886580B2 (en) * | 2014-12-23 | 2018-02-06 | Dell Products, L.P. | Method for optimizing boot time of an information handling system |
| WO2016176686A1 (en) | 2015-04-30 | 2016-11-03 | Drawbridge Networks, Inc. | Computer network security system |
| AU2016258533B2 (en) | 2015-05-01 | 2017-11-30 | Lookout, Inc. | Determining source of side-loaded software |
| US10015178B2 (en) | 2015-07-28 | 2018-07-03 | Sap Se | Real-time contextual monitoring intrusion detection and prevention |
| US10135790B2 (en) | 2015-08-25 | 2018-11-20 | Anchorfree Inc. | Secure communications with internet-enabled devices |
| RU2606564C1 (ru) | 2015-09-30 | 2017-01-10 | Акционерное общество "Лаборатория Касперского" | Система и способ блокировки выполнения сценариев |
| US20170118210A1 (en) | 2015-10-23 | 2017-04-27 | Comcast Cable Communications, Llc | Method Of Using Wireless Communications To Make A Determination |
| US9824233B2 (en) * | 2015-11-17 | 2017-11-21 | International Business Machines Corporation | Posixly secure open and access files by inode number |
| US9825911B1 (en) | 2015-11-18 | 2017-11-21 | Amazon Technologies, Inc. | Security policy check based on communication establishment handshake packet |
| US10375071B1 (en) * | 2015-12-16 | 2019-08-06 | Jpmorgan Chase Bank, N.A. | Access control system and method |
| US10171463B1 (en) | 2015-12-21 | 2019-01-01 | Amazon Technologies, Inc. | Secure transport layer authentication of network traffic |
| US20170185790A1 (en) | 2015-12-23 | 2017-06-29 | ThinAir Labs, Inc. | Dynamic management of protected file access |
| US10652748B2 (en) | 2016-04-23 | 2020-05-12 | Metacert, Inc. | Method, system and application programmable interface within a mobile device for indicating a confidence level of the integrity of sources of information |
| AU2017272079A1 (en) * | 2016-05-23 | 2018-12-13 | Jpmorgan Chase Bank, N.A. | Security design and architecture for a multi-tenant hadoop cluster |
| US20180020002A1 (en) | 2016-07-13 | 2018-01-18 | Frederick J Duca | System and method for filtering internet traffic and optimizing same |
| KR101883156B1 (ko) | 2016-08-10 | 2018-07-30 | 삼성에스디에스 주식회사 | 인증 시스템 및 방법과 이를 수행하기 위한 사용자 단말, 인증 서버 및 서비스 서버 |
| CN109964196B (zh) | 2016-09-30 | 2023-09-19 | 帕洛阿尔托网络公司 | 多因素认证作为网络服务 |
| US10200410B2 (en) | 2016-09-30 | 2019-02-05 | Intel Corporation | Networked peer device round-robin security controller |
| US10594732B2 (en) | 2016-11-08 | 2020-03-17 | Ca, Inc. | Selective traffic blockage |
| US10382436B2 (en) | 2016-11-22 | 2019-08-13 | Daniel Chien | Network security based on device identifiers and network addresses |
| US10542006B2 (en) | 2016-11-22 | 2020-01-21 | Daniel Chien | Network security based on redirection of questionable network access |
| US10282296B2 (en) * | 2016-12-12 | 2019-05-07 | Intel Corporation | Zeroing a cache line |
| US20180191510A1 (en) * | 2017-01-05 | 2018-07-05 | Revivermx, Inc. | Secure Communication System And Software Architecture For A Digital License Plate |
| JP2018124893A (ja) | 2017-02-03 | 2018-08-09 | 株式会社日立ソリューションズ | 計算機システム及びファイルアクセスコントロール方法 |
| CA3056814A1 (en) | 2017-02-27 | 2018-08-30 | Cord3 Innovation Inc. | Symmetric cryptographic method and system and applications thereof |
| US10616186B2 (en) | 2017-04-14 | 2020-04-07 | International Business Machines Corporation | Data tokenization |
| US11101999B2 (en) | 2017-11-08 | 2021-08-24 | Amazon Technologies, Inc. | Two-way handshake for key establishment for secure communications |
| US10866963B2 (en) * | 2017-12-28 | 2020-12-15 | Dropbox, Inc. | File system authentication |
| US11095706B1 (en) * | 2018-03-21 | 2021-08-17 | Pure Storage, Inc. | Secure cloud-based storage system management |
| US11552953B1 (en) * | 2018-06-18 | 2023-01-10 | Amazon Technologies, Inc. | Identity-based authentication and access control mechanism |
| US11520611B2 (en) * | 2018-08-20 | 2022-12-06 | Intel Corporation | Secure public cloud using extended paging and memory integrity |
| JP6914899B2 (ja) * | 2018-09-18 | 2021-08-04 | 株式会社東芝 | 情報処理装置、情報処理方法およびプログラム |
| US11080416B2 (en) * | 2018-10-08 | 2021-08-03 | Microsoft Technology Licensing, Llc | Protecting selected disks on a computer system |
| US11140166B2 (en) * | 2018-10-15 | 2021-10-05 | Uptake Technologies, Inc. | Multi-tenant authorization |
| US10944576B2 (en) * | 2018-10-29 | 2021-03-09 | Pensando Systems Inc. | Authorization with a preloaded certificate |
| US10826912B2 (en) | 2018-12-14 | 2020-11-03 | Daniel Chien | Timestamp-based authentication |
| US10848489B2 (en) | 2018-12-14 | 2020-11-24 | Daniel Chien | Timestamp-based authentication with redirection |
| US11372654B1 (en) * | 2019-03-25 | 2022-06-28 | Amazon Technologies, Inc. | Remote filesystem permissions management for on-demand code execution |
| CN111752604A (zh) * | 2019-03-27 | 2020-10-09 | 阿里巴巴集团控股有限公司 | 一种具有多个运行模式的处理器 |
| US11222123B2 (en) * | 2019-04-22 | 2022-01-11 | Cyberark Software Ltd. | Securing privileged virtualized execution instances from penetrating a virtual host environment |
| US11206262B2 (en) * | 2019-06-12 | 2021-12-21 | International Business Machines Corporation | Policy-based triggering of revision of access control information |
| US10623520B1 (en) * | 2019-06-13 | 2020-04-14 | Sailpoint Technologies, Inc. | System and method for tagging in identity management artificial intelligence systems and uses for same, including context based governance |
| US11163457B2 (en) * | 2019-06-24 | 2021-11-02 | International Business Machines Corporation | Authorizing modification of resources |
| US11099878B2 (en) * | 2019-06-28 | 2021-08-24 | Intel Corporation | Scalable virtual machine operation inside trust domains within the trust domain architecture |
| US10896135B1 (en) * | 2019-09-03 | 2021-01-19 | Microsoft Technology Licensing, Llc | Facilitating page table entry (PTE) maintenance in processor-based devices |
| US11677754B2 (en) * | 2019-12-09 | 2023-06-13 | Daniel Chien | Access control systems and methods |
| US11509463B2 (en) | 2020-05-31 | 2022-11-22 | Daniel Chien | Timestamp-based shared key generation |
-
2019
- 2019-12-09 US US16/708,423 patent/US11677754B2/en active Active
- 2019-12-17 EP EP19955914.7A patent/EP4073670A1/en not_active Withdrawn
- 2019-12-17 WO PCT/US2019/067003 patent/WO2021118608A1/en unknown
- 2019-12-17 JP JP2022528724A patent/JP2023504600A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20210176253A1 (en) | 2021-06-10 |
| WO2021118608A1 (en) | 2021-06-17 |
| EP4073670A1 (en) | 2022-10-19 |
| US11677754B2 (en) | 2023-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11531759B2 (en) | Trusted updates | |
| US10599841B2 (en) | System and method for reverse command shell detection | |
| US10691792B2 (en) | System and method for process hollowing detection | |
| CN109196505B (zh) | 基于硬件的虚拟化安全隔离 | |
| JP6482489B2 (ja) | 脆弱なアプリケーションによるファイルのオープンを制御するシステム及び方法。 | |
| US11222123B2 (en) | Securing privileged virtualized execution instances from penetrating a virtual host environment | |
| US7966643B2 (en) | Method and system for securing a remote file system | |
| GB2519608A (en) | Computer device and method for isolating untrusted content | |
| US10102371B2 (en) | Computer device and method for isolating untrusted content on a clipboard | |
| US20190005267A1 (en) | Dynamic privilege management in a computer system | |
| US9245108B1 (en) | Dynamic adjustment of the file format to identify untrusted files | |
| US10242182B2 (en) | Computer security system and method | |
| CN111742533A (zh) | 具有访问检查点的网关 | |
| GB2537814A (en) | Computer device and method for controlling untrusted access to a peripheral device | |
| US20230342498A1 (en) | Computer device and method for managing privilege delegation | |
| KR20060050768A (ko) | 액세스 인가 api | |
| WO2017003590A1 (en) | Temporary process deprivileging | |
| JP2005527905A (ja) | 実行可能なコードを格納するタンパーエビデントな取り外し可能な媒体 | |
| US11677754B2 (en) | Access control systems and methods | |
| US20230171267A1 (en) | Selective security scan to reduce signature candidates | |
| US20230198997A1 (en) | Access control systems and methods | |
| JP7248219B2 (ja) | コンピュータセキュリティのためのシステムおよび方法 | |
| US20230409717A1 (en) | System and method for detecting vulnerabilities in the operating system based on process and thread data | |
| Sabanal et al. | Digging Deep Into The Flash Sandboxes | |
| RU2606883C2 (ru) | Система и способ открытия файлов, созданных уязвимыми приложениями |