JP4992335B2 - ポリシーファイルの分配方法およびコミュニティシステム - Google Patents
ポリシーファイルの分配方法およびコミュニティシステム Download PDFInfo
- Publication number
- JP4992335B2 JP4992335B2 JP2006214127A JP2006214127A JP4992335B2 JP 4992335 B2 JP4992335 B2 JP 4992335B2 JP 2006214127 A JP2006214127 A JP 2006214127A JP 2006214127 A JP2006214127 A JP 2006214127A JP 4992335 B2 JP4992335 B2 JP 4992335B2
- Authority
- JP
- Japan
- Prior art keywords
- entity
- message
- policy
- community
- entities
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
例えば、駐車場みたいな小規模な場所で監視カメラを設置して、ユーザからそのカメラらへのアクセスに認証・認可を行う場合があるとする。アクセスは、管理者からの設定のためのアクセスと、ただカメラからの映像を見るだけのアクセスなど、アクセスのレベルが分かれている。ユーザのレベルによって、カメラへのアクセスの可能なリソースも分かれている。
例えば、友達とファイル共有のため、友達のPCから私のPCへのアクセスを許可しつつ、私のPC中のどのファイルやディレクトリへのアクセスを認可するかというポリシーを設定する。その設定によって、私と友達の間のファイル共有を可能にする。
仮想的に結ばれたコミュニティに属する各エンティティに同じポリシーファイルを分配する方法であって、
上記コミュニティを管理する管理者は、上記ポリシーファイルおよび該ポリシーファイルを配るエンティティが記載されたエンティティリストを、上記コミュニティに属する所定のエンティティであるメッセンジャノードに送り、
上記メッセンジャノードは、上記エンティティリストに基づき、上記コミュニティに属する他のエンティティに上記ポリシーファイルを分配し、
上記メッセンジャノードは、上記エンティティリストに含まれるエンティティ数が所定数より多いときは、該エンティティリストを複数のエンティティサブリストに分割し、該複数のエンティティサブリストをそれぞれ該エンティティサブリストに含まれる所定のエンティティであるサブメッセンジャノードに、上記ポリシーファイルと共に配り、
上記サブメッセンジャノードは、上記エンティティサブリストに基づき、該エンティティサブリストに含まれるエンティティに上記ポリシーファイルを配り、分配状況を上記メッセンジャノードに報告する
ポリシーファイルの分配方法にある。
同じ仮想コミュニティに属するエンティティに同じポリシーファイルを配る技術。配る時はポリシーを受けるエンティティが確実にそのコミュニティに属しているのかを確認(認証・認可)しながら分配を行う。
コミュニティの中で配られたポリシーファイルを用いて、実際にリソースへのアクセスがくる時、認証・認可を行う。
1.1 用語定義
1.2 ポリシー分配技術の機能要件
1.3 ポリシー分配モード
1.4 コミュニティメンバー(エンティティ)になる条件
1.5 ポリシーパッケージ(POLICY PACKAGE)
1.6 PDTOKEN
1.7 プッシュモード(Push Mode)
1.7.1 概要
1.7.2 プッシュモードのセッション生成とメッセージの種類
1.7.3 シナリオの例
1.7.4 シークエンスダイアグラム
1.8 プルモード
1.8.1 概要
1.8.2 プルモードで使われるメッセージの種類
1.8.3 シナリオの例
1.8.4 シークエンスダイアグラム
1.9 効果
コミュニティは、ネットワーク上で仮想的に結ばれたエンティティの集合である。コミュニティは、管理者(アドミニストレータ)が決めるコミュニティコンフィギュレーションファイルよって定義され、コミュニティのメンバーも管理者が決めるエンティティリストによって定義される。
エンティティは、自分のクリデンシャル(credential)を持っている、PKI(Public Key Infrastructure)概念上のエンティティを指している。クリデンシャルは、自分の個人鍵と公開鍵の証明書であって、コミュニティが認める信頼するルート認証局(Trusted Root CA)から発行したものである。
ポリシーは、コミュニティを管理する管理者(アドミニストレータ)により作成され、当該管理者により配られる。管理者が新しいポリシーを配り始めた後、コミュニティのエンティティの中で、どのエンティティが新しいポリシーを受け取ったのか、どのエンティティがまだ受け取ってないのかを確実に分かる必要がある。その分配の状況によって、管理者は分配を続けるか、一旦止めて、やり直すかを決定できる。
ポリシー分配は、図1に示すように、二つのモードで行う。
プッシュモードは、コミュニティを定義する管理者がコミュニティポリシーを作成、または更新した後、全てのコミュニティエンティティに配るとき使うモードである。このプッシュモードでは、基本的にネットワークに参加しているエンティティに限り分配される。すなわち、分配時にネットワークに参加していないエンティティはポリシーを受け取ることができない。
コミュニティに属するエンティティが、ネットワークから離れた後、新たにネットワークに参加するとき、コミュニティの他のエンティティから最新版のポリシーファイルを受け取るとき使うモードである。
あるエンティティが特定のコミュニティに属するには次の条件を満たす必要がある。
<community>
<communityName>SampleSecomiCommunity</communityName>
<communityUri>secomi://certain.organization.com/group1</communityUri>
</community>
<administrator>
<subjectDN>C=JP, ST=Tokyo, O=MyOrg, OU=OrgUnit,CN=Admin</subjectDN>
<issuerDN>C=JP, ST=Tokyo, O=MyOrg, OU=OrgUnit, CN=Root</issuerDN>
</administrator>
</communityConfig>
<entity>
<subjectDN>C=JP, ST=Tokyo, O=MyOrg, OU=OrgUnit,CN=Node-001</subjectDN>
<address port="7000">192.168.235.229</address>
</entity>
<entity>
<subjectDN>C=JP, ST=Tokyo, O=MyOrg, OU=OrgUnit, CN=Node-002</subjectDN>
<address port="7000">192.168.235.230</address>
</entity>
<entity>
<subjectDN>C=JP, ST=Tokyo, O=MyOrg, OU=OrgUnit,CN=Node-003</subjectDN>
<address port="7000">192.168.235.231</address>
</entity>
</entityList>
ポリシーファイルは、通常複数のファイルにより構成される。それらのファイルを一つのパッケージにして、分配することになる。ポリシーパッケージは<PolicyPackage>という一つのXML elementによってリンクされ、コミュニティ管理者によって一緒にXML署名される。<PolicyPackage>は、複数のポリシーファイルを一つのパッケージとしてパッケージングするだけではなく、次のような情報も含んでいる。
この発明ではポリシーのフォーマットは関係しない。ポリシーファイルのフォーマットはポリシー評価による認証・認可仕組みに依存する。ただし、ポリシーファイルを運ぶパッケージとして、パッケージの中のポリシーファイルがどのようなフォーマットになっているのかを記述する。
ポリシーバージョンは、ポリシーパッケージの識別のための固有ナンバーである。ポリシーバージョンは、ポリシーパッケージ間でバージョンを比較する際に使われる。
ポリシーファイルの分配を始めるたびに新しい番号をパッケージにつける。同じポリシーパッケージを分配するときでも、新しいシリアル番号が付けられる。シリアル番号はポリシー分配を識別するための識別子である。
図2は、ポリシーパッケージの一例を示している。
ポリシーパッケージの分配は、まずコミュニティ管理者がPDTokenを発行して、それをメッセンジャノードに送ることから始まる。PDTokenには、まず誰がポリシーパッケージの分配を開始したのか、すなわち、誰がコミュニティの管理者なのかを記述する。そして、どのエンティティがポリシーパッケージ分配の責任を持つか、すなわち、どのエンティティがメッセンジャノードになるかを記述する。そして、ポリシーパッケージのバージョン番号、シリアル番号、タイムスタンプ(Timestamp)など、ポリシーパッケージの分配に必要となる情報を入れ、それに管理者の個人鍵でXML署名を付ける。
<community>
<communityName>SampleSecomiCommunity</communityName>
<communityUri>secomi://certain.organization.com/group1</communityUri>
</community>
<policyVersion>1.0.0</policyVersion>
<messenger>
<subjectDN>C=JP, ST=Tokyo, L=Tokyo, O=Org, OU=OrgUnit,CN=Node-001</subjectDN>
<address port="7001">192.168.0.229</address>
</messenger>
<serialNumber>1</serialNumber>
<timestamp>2006-02-10 Fri 13:19:19</timestamp>
<adminEmail>community-admin@mycommunity.com</adminEmail>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethodAlgorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<SignatureMethodAlgorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<Reference>
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
</Transforms>
<DigestMethodAlgorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<DigestValue>im1HhEY5shsBz/3U5uG4nLKVR1M=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>hhB6fHkHxOwA0LKN+bZ0ApiBEw3LUIOi/rEeEtM3Hz3DV8Q/AA/3g/ES3eN62IR3
rZ1QLLpnehZdk87rHcxMVOg2dS2AI5xwJrI+l2KxWyjzEbRPMuSWoeZtUxFvUZ31
ZmDgdppIFZz7sOPoTt47JaSI6esSwWpuUJi0+FLUwsA=</SignatureValue>
<KeyInfo>
<X509Data>
<X509Certificate>MIIDDDCCAnWgAwIBAgIBCzANBgkqhkiG9w0BAQUFADBdMQswCQYDVQQGwJKUDEO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</X509Certificate>
</pdToken>
</X509Data>
</KeyInfo>
</Signature>
</pdToken>
1.7.1 概要
ポリシーパッケージが更新された時、コミュニティ管理者によって、新しいポリシーパッケージの分配が開始される。このポリシーパッケージの分配はセッションベースで行われる。セッションはPDTOKENメッセージによってオープン(open)され、CONTROL ENDメッセージによってクローズ(close)される。
(a)ポリシーパッケージの分配を開始する。(b)ポリシーファイルを分配する前に、コミュニティに属するエンティティの中から一つのエンティティを選び、そのエンティティをメッセンジャノードにする。(c)PDTokenを発行する。PDTokenにはメッセンジャノードの情報など、ポリシーパッケージの分配に必要となる情報を含める(1.6 PDTOKENの項参照)。
(a)コミュニティの中で、ポリシーパッケージの分配を管理する。(b)管理者からもらったポリシーパッケージを、エンティティリストに定義されている各エンティティに配る。(c)もし、エンティティの数が多い場合は、そのリストを少ない数のサブリストに分け、各サブリストに対して分配を行う。
(a)メッセンジャノードの代わりにポリシーパッケージをエンティティサブリストに定義されている各ノードに配る。(b)一回分配した後、分配のステータスをメッセンジャノードに報告する。このサブメッセンジャノードは、メッセンジャノードとは違い、分配が終わるまで分配を管理することではなく、一回分配した後、その結果をメッセンジャノードに報告するだけである。報告した後はサブメッセンジャノードとしての機能は終わる。
プッシュモードは、まず、最初に送り側のエンティティから受け側のエンティティへのTLS(TransportLayer Security)セッションを張ることから始まる。ポリシーパッケージの分配のとき、送り側は受け側のX509証明書のSubject DNを知っている。だから、その受け側のSubject DN情報を用いて、受け側のTLSサーバ認証することができる。したがって、プッシュモードで使われるTLSセッションは全てがサーバ認証を行う。さらに、後述するように、PDTOKENメッセージの種類によって、コンテキストベース(Context-based)で、クライアント認証を行うことも可能になる。
PDTOKENメッセージは、プッシュモードでポリシーパッケージを配るために、最初に他のエンティティとセッションを張るために使われるメッセージである。このメッセージは、TLSセッションが張られた後、すぐ送られる。このメッセージには、PDTokenの情報が含まれている。受け側はPDTokenを受け取って、上述したように、PDTokenの内容を確認した後、そのPDTokenセッションを続けるかどうかを判断する。
INITメッセージはコミュニティ管理者が最初にポリシーパッケージの分配を開始する時、メッセンジャノードに送るPDTOKENメッセージである。だから、送り側は必ずコミュニティ管理者であり、受け側を管理者が決めて、PDTokenデータにも書かれているメッセンジャノードでなければならない。このINITメッセージによって、新しいポリシーパッケージの分配が始まる。INITメッセージを受け取ったエンティティ、すなわち、メッセンジャノードは、一緒に受け取ったエンティティリストのサイズ(エンティティ数)を見て、次にDISTメッセージ、またはUPLOADメッセージを他のエンティティに送る。
DISTメッセージは、メッセンジャノードがPDTOKEN INITメッセージを受け取った後、管理者からもらったエンティティリストのサイズが所定サイズより大きい場合、エンティティリストを適当に分けてサブリストにし、各サブリストの一つのエンティティにポリシーパッケージとエンティティサブリストを配るためのPDTOKENメッセージである。DISTメッセージを受け取るエンティティはサブメッセンジャノードになる。
UPLOADメッセージは、メッセンジャノード、またはサブメッセンジャノードが、受け取ったポリシーパッケージを、一緒に受け取ったエンティティリストに含まれる各エンティティに配るためのPDTOKENメッセージである。UPLOADメッセージが成功すると、すなわち、このメッセージによって、ポリシーパッケージが受け側のエンティティに成功的に渡されると、UPLOADメッセージの送り側は、受け側が確かにポリシーパッケージを受け取ったと判断することができる。もし、エラーが出たときとか、ネットワークの問題でUPLOADメッセージを送ることができない場合には、受け側がポリシーパッケージを受け取れなかったと判断できる。サブメッセンジャノードは、その結果を後で、REPORTメッセージによってメッセンジャノードに知らせる。
REPORTメッセージは、サブメッセンジャノードが、メッセンジャノードからもらったエンティティリストの中の各エンティティにUPLOADメッセージでポリシーパッケージを送った後に、その結果をメッセンジャノードに報告するためのPDTOKENメッセージである。ここで、結果は、分配結果リスト(Distribution Result List)という形式で、エンティティ毎にそのエンティティの情報と分配結果を記述して、REPORTメッセージのセッションで一緒に送る。
QUERYメッセージは、管理者が現在進行中のポリシー分配の状態を調べるためのPDTOKENメッセージである。QUERYメッセージはコミュニティ管理者しか送れないし、メッセンジャノードにしか送れない。QUERYメッセージを受け取ったメッセンジャノードは現在の分配の状態を分配結果リストの形式で管理者に返す。
PDTOKENメッセージによってセッションができると、次にDATAメッセージによって実際に送ろうとしているデータを送る。データの種類によって、次のメッセージタイプに分かれる。
ENTITYLISTは、ポリシーパッケージが配られるエンティティのリストである。PDTOKENのINITメッセージやDISTメッセージでは、このENTITYLISTデータが一緒に送られる。
POLICYPACKAGEは、ポリシーパッケージである。PDTOKENのINITメッセージ、DISTメッセージ、さらにはUPLOADメッセージでは、このPOLICYPACKAGEデータが一緒に送られる。
DISTRIBUTIONRESULTは、ポリシーパッケージの分配結果である。エンティティ毎に、エンティティ情報と分配結果が記述されている。REPORTメッセージ、QUERYメッセージでは、このDISTRIBUTIONRESULTデータが一緒に送られる。
CONTROLメッセージは、PDTOKENメッセージによって作られたセッションを閉めるためのメッセージである。全てのデータが受け側に送られた後とか、セッション中に、進行中の処理をキャンセルするときに使う。注意することは、PDTOKENメッセージやDATAメッセージの処理の途中でも、エラーが発生したときは、その場でセッションが終わることになる。エラーが発生した時や、途中でキャンセルされた時は、受け側は今まで受けたデータは全部捨てることになる。このCONTROLメッセージには、次のように二つのタイプがある。
ENDメッセージは、進行中のセッションを成功的に終了するためのCONTROLメッセージである。PDTOKENメッセージの受け側は、このENDメッセージによって、今まで受け取ったデータの処理を反映し始める。
CANCELメッセージは、進行中のセッションをキャンセルするためのCONTROLメッセージである。PDTOKENメッセージの受け側はこのCANCELメッセージによって、今まで受け取ったデータを全部捨てて、元の状態に戻る。
このシナリオの例では、コミュニティ管理者が、コミュニティのメンバーになるエンティティAからエンティティOまで、ポリシーパッケージを分配することを説明する。
1.7.4.1 管理者とメッセンジャノード間のやり取り
1.8.1 概要
プルモード(Pull Mode)は、プッシュモード(Push Mode)でポリシーパッケージの分配を行う時点で、ネットワークに参加しておらず、ポリシーパッケージを受け取ることができなかったエンティティが、新たにネットワークに参加する時点で、最新版のポリシーパッケージを隣のエンティティからダウンロードするときに使うモードである。
1.8.2.1 プルモードで動くための条件
隣のエンティティを探すためにはマルティキャストパケットを使う。この場合、同じサブネット(サブネットとはこのマルティキャストパケットが届く範囲にあるエンティティで構成される)内のエンティティしかそのパケットを受け取ることができない。コミュニティに属するエンティティは、マルティキャストパケットを受けるために、あらかじめ決められたマルティキャストアドレスとポートにリッスン(listen)していることが必要である。
既に最新版のポリシーパッケージを持っている隣のエンティティを探すためのメッセージには、以下に詳述する、PDRequestメッセージと、そのレスポンスになるPDResponseメッセージとがある。
このPDRequestメッセージは、コミュニティのエンティティの全てがオープンしている、マルティキャストアドレスやポートに、(a)コミュニティ情報、(b)X509 証明書のSubject DN、(c)送り出し側のUDPアドレスとポート番号、等のデータを含むパケットを送る。
<community>
<communityName>SampleSecomiCommunity</communityName>
<communityUri>secomi://certain.organization.com/group1</communityUri>
</community>
<subjectDN>C=JP,ST=Tokyo,O=Org,OU=OrgUnit,CN=Node-003</subjectDN>
<returnAddress port=”8100”>192.168.0.229</returnAddress>
</pdRequest>
あるエンティティがPDRequestメッセージをマルティキャストポートに送ると、そのメッセージを受け取ったエンティティは、まずそのメッセージが、自分が属しているコミュニティに対するメッセージなのか、さらにはそのメッセージを送り出したエンティティがそのコミュニティに属しているエンティティなのかを確認する。メッセージの確認が成功的に終わると、そのメッセージを受け取ったエンティティは、PDRequestメッセージに記述されているreturn addressにPDResponseメッセージをUDPパケットで返す。
/C=JP/ST=Tokyo/O=Org/OU=OrgUnit/CN=Node-001
<?xml version”1.0”?>
<pdToken>
… …
</pdToken>
PDResponseメッセージを受けた後、そのメッセージに記述されているエンティティへポリシーパッケージをダウンロードするために接続する。ポリシーパッケージのダウンロードはプッシュモードで使われたPDTOKENメッセージの形のセッションベースで行うことになる。ダウンロードのために使われるPDTOKENメッセージには、「REQUEST」がある。
REQUESTメッセージは、PDResponseメッセージを送ってくれたエンティティに接続してポリシーパッケージを送ってもらうためのPDTOKENメッセージである。このメッセージの受け側、すなわち、PDResponseメッセージを送ったエンティティが、接続してくるエンティティに対して、そのエンティティがコミュニティに属しているのかをクライアント認証する。コミュニティに属していないエンティティにはポリシーパッケージを与えないためである。
REQUESTメッセージでポリシーパッケージをダウンロードした直後、エンティティは自分のポリシーパッケージのアップデートが終了されたことをメッセンジャノードにPDTOKEN ENDNODEREPORTメッセージで通知する。進行中のポリシーパッケージの分配を担当するメッセンジャノードの情報は、PDResponseメッセージで受け取ったPDTokenデータの中に記述されている。
このシナリオの例では、新しくコミュニティネットワークに参加したエンティティHがプルモードで最新版のポリシーパッケージを受け取ることを説明する。このシナリオは、上述したプッシュモードのシナリオの続きである。
図17は、プルモードで新しいポリシーパッケージをダウンロードし、その後、メッセンジャノードに通知することを示す。この図において、新しくコミュニティネットワークに参加したエンティティDと、エンティティB, Cは同じサブネットにある。
上述した実施の形態においては、コミュニティを管理する管理者から、所定のエンティティであるメッセンジャノードに、ポリシーファイル(ポリシーパッケージ)およびエンティティリストが送られ、その後にこのメッセンジャノードによりエンティティリストに基づいて他のエンティティにポリシーファイルが分配され(プッシュモード)、またこの分配時にコミュニティに入っておらず、その後にコミュニティに参加するエンティティは、その参加を、マルティキャストでコミュニティに属する他のエンティティに知らせ、このマルティキャストに対してレスポンスを返したエンティティからポリシーファイルを受け取るものであり、ポリシーファイルを簡単、かつ安全に分配することができる。このように分配されたポリシーファイルを用いて、コミュニティ内の各エンティティが同じポリシーで認証・認可を行うことによって、別の認証・認可サーバなしでも、高いレベルの認証・認可仕組みを実現することが可能になる。
Claims (5)
- 仮想的に結ばれたコミュニティに属する各エンティティに同じポリシーファイルを分配する方法であって、
上記コミュニティを管理する管理者は、上記ポリシーファイルおよび該ポリシーファイルを配るエンティティが記載されたエンティティリストを、上記コミュニティに属する所定のエンティティであるメッセンジャノードに送り、
上記メッセンジャノードは、上記エンティティリストに基づき、上記コミュニティに属する他のエンティティに上記ポリシーファイルを分配し、
上記メッセンジャノードは、上記エンティティリストに含まれるエンティティ数が所定数より多いときは、該エンティティリストを複数のエンティティサブリストに分割し、該複数のエンティティサブリストをそれぞれ該エンティティサブリストに含まれる所定のエンティティであるサブメッセンジャノードに、上記ポリシーファイルと共に配り、
上記サブメッセンジャノードは、上記エンティティサブリストに基づき、該エンティティサブリストに含まれるエンティティに上記ポリシーファイルを配り、分配状況を上記メッセンジャノードに報告する
ポリシーファイルの分配方法。 - 上記メッセンジャノードは、上記コミュニティに属する他のエンティティに対する上記ポリシーファイルの分配情報をアップデートしながら分配が終了するまで上記ポリシーファイルの分配を管理する
請求項1に記載のポリシーファイルの分配方法。 - 上記コミュニティに新たに参加するエンティティは、該参加をマルティキャストで上記コミュニティに属する他のエンティティに知らせ、該マルティキャストに対してレスポンスを返したエンティティから上記ポリシーファイルを受け取り、該受け取りを上記メッセンジャノードに知らせる
請求項1に記載のポリシーファイルの分配方法。 - 上記コミュニティに新たに参加するエンティティは、上記マルティキャストに対してレスポンスを返したエンティティが複数存在するとき、到着が最も早いレスポンスを返したエンティティから上記ポリシーファイルを受け取る
請求項3に記載のポリシーファイルの分配方法。 - 仮想的に結ばれた複数のエンティティからなり、各エンティティは同じポリシーファイルを用いて所定のリクエストに対して認証・認可を行うコミュニティシステムであって、
上記管理者は、上記各エンティティに上記ポリシーファイルを分配する際、該ポリシーファイルおよび該ポリシーファイルを配るエンティティが記載されたエンティティリストを、上記複数のエンティティのうち所定のエンティティであるメッセンジャノードに配り、
上記メッセンジャノードは、上記エンティティリストに基づき、上記コミュニティに属する他のエンティティに上記ポリシーファイルを分配し、
上記メッセンジャノードは、上記エンティティリストに含まれるエンティティ数が所定数より多いときは、該エンティティリストを複数のエンティティサブリストに分割し、該複数のエンティティサブリストをそれぞれ該エンティティサブリストに含まれる所定のエンティティであるサブメッセンジャノードに、上記ポリシーファイルと共に配り、
上記サブメッセンジャノードは、上記エンティティサブリストに基づき、該エンティティサブリストに含まれるエンティティに上記ポリシーファイルを配り、分配状況を上記メッセンジャノードに報告する
コミュニティシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006214127A JP4992335B2 (ja) | 2006-08-07 | 2006-08-07 | ポリシーファイルの分配方法およびコミュニティシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006214127A JP4992335B2 (ja) | 2006-08-07 | 2006-08-07 | ポリシーファイルの分配方法およびコミュニティシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008040782A JP2008040782A (ja) | 2008-02-21 |
JP4992335B2 true JP4992335B2 (ja) | 2012-08-08 |
Family
ID=39175709
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006214127A Expired - Fee Related JP4992335B2 (ja) | 2006-08-07 | 2006-08-07 | ポリシーファイルの分配方法およびコミュニティシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4992335B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102106770B1 (ko) * | 2018-05-28 | 2020-05-07 | (주)유엠로직스 | 4-tier 방식 CASB의 메타데이터 기반 보안정책 동기화 시스템 및 그 방법 |
KR102120225B1 (ko) * | 2018-05-30 | 2020-06-08 | (주)유엠로직스 | 4-tier 방식 CASB의 접근통제 관리 시스템 및 그 방법 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004094401A (ja) * | 2002-08-29 | 2004-03-25 | Ricoh Co Ltd | セキュリティポリシー配布システム、セキュリティポリシーに基づき動作する装置、セキュリティポリシー配布方法、セキュリティポリシー配布プログラム、及びプログラムを記録した記録媒体 |
JP2005085146A (ja) * | 2003-09-10 | 2005-03-31 | Toshiba Solutions Corp | コンテンツ再生装置、コンテンツ配信システム、コンテンツ再生プログラム、コンテンツ再生方法 |
JP3850859B2 (ja) * | 2005-01-06 | 2006-11-29 | ダイコク電機株式会社 | ホール管理システム |
-
2006
- 2006-08-07 JP JP2006214127A patent/JP4992335B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008040782A (ja) | 2008-02-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8756423B2 (en) | System and method for establishing a secure group of entities in a computer network | |
US20090158394A1 (en) | Super peer based peer-to-peer network system and peer authentication method thereof | |
US8762707B2 (en) | Authorization, authentication and accounting protocols in multicast content distribution networks | |
US8037514B2 (en) | Method and apparatus for securely disseminating security server contact information in a network | |
US8621567B2 (en) | Network security and applications to the fabric environment | |
US7873984B2 (en) | Network security through configuration servers in the fabric environment | |
US6996716B1 (en) | Dual-tier security architecture for inter-domain environments | |
JP4477494B2 (ja) | インターネットプロトコル(voip)通信において音声のデジタル証明書を登録し自動的に検索する方法およびシステム | |
US7036013B2 (en) | Secure distributed time service in the fabric environment | |
US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
CN102868709B (zh) | 一种基于p2p的证书管理方法及其装置 | |
CN101193103B (zh) | 一种分配和验证身份标识的方法及系统 | |
KR101250295B1 (ko) | 피어 투 피어 네트워크 | |
CN102447679B (zh) | 一种保障对等网络数据安全的方法及系统 | |
WO2008083628A1 (fr) | Serveur d'authentification, procédé, système et dispositif d'authentification mutuelle dans un réseau sans fil maillé | |
US20060075222A1 (en) | System for personal group management based on subscriber certificates | |
US20030120915A1 (en) | Node and port authentication in a fibre channel network | |
WO2012129934A1 (zh) | 一种实现cdn互通的认证方法、装置与系统 | |
US7673143B1 (en) | JXTA rendezvous as certificate of authority | |
JP4992335B2 (ja) | ポリシーファイルの分配方法およびコミュニティシステム | |
US7243367B2 (en) | Method and apparatus for starting up a network or fabric | |
Park et al. | Trusted P2P computing environments with role-based access control | |
Boeyen et al. | Liberty trust models guidelines | |
Münch et al. | Integration of a Security Gateway for Critical Infrastructure into Existing PKI Systems | |
Lin et al. | An Identity Management Protocol For Multi-Identifier Network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090727 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111025 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111026 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111226 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120117 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120306 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120410 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120423 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150518 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150518 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |