JP5791633B2 - 通信システム、クラウドサーバ、移動通信装置、通信システムの制御方法、及びプログラム - Google Patents

通信システム、クラウドサーバ、移動通信装置、通信システムの制御方法、及びプログラム Download PDF

Info

Publication number
JP5791633B2
JP5791633B2 JP2012549175A JP2012549175A JP5791633B2 JP 5791633 B2 JP5791633 B2 JP 5791633B2 JP 2012549175 A JP2012549175 A JP 2012549175A JP 2012549175 A JP2012549175 A JP 2012549175A JP 5791633 B2 JP5791633 B2 JP 5791633B2
Authority
JP
Japan
Prior art keywords
data
mobile communication
communication device
cloud server
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012549175A
Other languages
English (en)
Other versions
JP2013525871A (ja
Inventor
アー シュアン フレデリック フォック
アー シュアン フレデリック フォック
ベノア レクロアール
ベノア レクロアール
オリビエール ペロン
オリビエール ペロン
Original Assignee
レノボ・イノベーションズ・リミテッド(香港)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by レノボ・イノベーションズ・リミテッド(香港) filed Critical レノボ・イノベーションズ・リミテッド(香港)
Publication of JP2013525871A publication Critical patent/JP2013525871A/ja
Application granted granted Critical
Publication of JP5791633B2 publication Critical patent/JP5791633B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明はデータアクセス権を管理する通信システム、クラウドサーバ、移動通信装置、通信システムの制御方法、及びプログラムに関し、特に移動通信装置のメモリ又は移動通信装置への接続に適したポータブルストレージに格納されるデータのアクセス権の管理に関するが、これらに制限されない。
現在の開発傾向に基づくと、それぞれの新しい世代の移動装置は、前の世代と比較してメモリ記憶容量が向上することは必然であると考えられる。この向上したメモリ記憶容量は、例えば、ローカルの内部メモリ容量の増加とuniversal serial bus(USB)キー、secure digital(SD)カード、フラッシュメモリが組み込まれた他の装置等(これらのポータブルストレージ装置の開発もまた記憶容量を増加させる)のように接続されるポータブルストレージ装置の容量の増加を達成するかもしれない。
これと並行して、クラウドコンピューティングと呼ばれるより大きなエンファシスが到来するかもしれない。クラウドコンピューティングにおいては、オンデマンドアクセスが、インターネット上に共有された設定可能なコンピュータリソースに対して提供される。このやがて来るクラウドコンピューティング時代において、安全に企業データ(例えば、ユーザの雇用者によって所有されるデータ)を管理するという重要な問題を解決することが必要になるだろう。さらに、大容量の企業データが潜在的に局所的に端末装置に格納されている時に特に、安全とデータアクセスの柔軟性との間の正しいバランスを提供するという重要な問題を解決することがさらに必要になるだろう。
例えば、会社が内部において発生した情報を保存し、そのような情報が内部ネットワークの外において開示され、コピーされ、移動され、変更されることを防止したいと願うことは一般的である。しかしながら、クラウドコンピューティングの場合、格納された企業データの内容が変化する可能性があることは、有効なデータ権利管理に関する課題を生じさせる結果となる。例えば、データを内部ネットワークに残したままにすることは可能であるが、移動装置がネットワークと接続されていない場合、ユーザに対して柔軟に情報へのアクセスを許可するために、大容量のデータは、移動装置のローカルメモリ(かつ/または、接続されたポータブルストレージ装置)に存在することも可能である。このような状態は、例えば、移動状態(例えば、ユーザが会社の外に移動した場合又はユーザがバッテリーを保存するためにネットワークから移動装置を手動で切断する場合)の場合に生じるかもしれない。
企業データの内容が変化する可能性がある結果、データセキュリティとデータ完全性を著しく損なわせずにデータの効果的な制御を維持する柔軟なデータアクセス権管理(例えば、読み出し許可、書き込み許可、実行許可等の管理)を提供する必要がある。
これより、本発明は改善された通信システム、クラウドサーバ、移動通信装置、通信システムの制御方法、及びプログラムを提供することを試みる。
上記課題を解決するため、請求項1に記載の本発明における通信システムは、クラウドサーバと、前記クラウドサーバと仮想インタフェースアクセスを介して接続され、前記クラウドサーバとコンピュータネットワークを介して接続される移動通信装置にインタフェースを介してマウントされているストレージ装置と、を含む通信システムであって、前記クラウドサーバは、前記移動通信装置のユーザによってアクセスされるデータを記憶する手段を有し、前記移動通信装置は、前記データに対して仮想的なアクセスを提供する手段を有し、前記ストレージ装置は、前記移動通信装置が前記クラウドサーバに接続されていないとき、前記データをローカルに格納する手段を有し、前記移動通信装置が前記クラウドサーバに接続され、前記データが遠隔で解読されるとき、前記移動通信装置のユーザに対して前記ストレージ装置及び/又は前記移動通信装置に存在する前記データを仮想的にマウントするためのアクセス権を変更する手段と、前記移動通信装置が前記クラウドサーバから切り離されたとき、前記ストレージ装置及び前記移動通信装置に存在する前記データに対するアクセス権を調整する手段と、を含むことを特徴とする。
また、請求項2に記載の通信システムは、請求項1に記載の通信システムにおいて、前記アクセス権を変更する手段は、前記データの読み出し及び変更及び/又は前記移動通信装置が前記クラウドサーバに接続されている場合に実行可能なファイルを形成するデータを実行するための権利を含むフルアクセスを付与することを特徴とする。
さらに、請求項3に記載の通信システムは、請求項1又は2に記載の通信システムにおいて、前記アクセス権を調整する手段は、ユーザに対して前記データを変更することは許可せず前記データを読み出すことを許可することを特徴とする。
また、請求項4に記載の通信システムは、請求項1から3の何れか1項に記載の通信システムにおいて、前記移動通信装置は、自身が一以上の前記クラウドサーバに接続しているか否かを判定し、この判定された接続性により、前記クラウドサーバに記憶されている前記データ又は前記ストレージ装置に格納されている前記データに対するアクセス権を調整する権利調整手段を含むことを特徴とする。
そして、請求項5に記載の通信システムは、請求項4に記載の通信システムにおいて、前記クラウドサーバは、前記移動通信装置の前記権利調整手段を設定するために必要となる構成パラメータを提供することを特徴とする
上記課題を解決するため、請求項6に記載の本発明におけるクラウドサーバは、移動通信装置にインタフェースを介してマウントされているストレージ装置と仮想インタフェースアクセスを介して接続されると共に、前記移動通信装置とコンピュータネットワークを介して接続され、前記移動通信装置のユーザによってアクセスされるデータを記憶する手段を有するクラウドサーバであって、前記移動通信装置は、前記データに対して仮想的なアクセスを提供する手段を有し、前記ストレージ装置は、前記移動通信装置が自装置に接続されていないとき、前記データをローカルに格納する手段を有し、前記移動通信装置が接続され、前記データが遠隔で解読されるとき、前記移動通信装置のユーザに対して前記ストレージ装置及び/又は前記移動通信装置に存在する前記データを仮想的にマウントするためのアクセス権を変更する手段と、前記移動通信装置が切り離されたとき、前記ストレージ装置及び前記移動通信装置に存在する前記データに対するアクセス権を調整する手段と、を含むことを特徴とする
また、請求項7に記載のクラウドサーバは、請求項6に記載のクラウドサーバにおいて、前記アクセス権を変更する手段は、前記データの読み出し及び変更及び/又は前記移動通信装置が接続されている場合に実行可能なファイルを形成するデータを実行するための権利を含むフルアクセスを付与することを特徴とする
さらに、請求項8に記載のクラウドサーバは、請求項6又は7に記載のクラウドサーバにおいて、前記アクセス権を調整する手段は、ユーザに対して前記データを変更することは許可せず前記データを読み出すことを許可することを特徴とする
また、請求項9に記載のクラウドサーバは、請求項5から8の何れか1項に記載のクラウドサーバにおいて、少なくとも接続されているか否かが前記移動通信装置によって判定され、この判定された接続性により、前記データ又は前記ストレージ装置に格納されている前記データに対するアクセス権を調整する権利調整手段を含むことを特徴とする。
そして、請求項10に記載のクラウドサーバは、請求項9に記載のクラウドサーバにおいて、前記移動通信装置の前記権利調整手段を設定するために必要となる構成パラメータを提供することを特徴とする。
上記課題を解決するため、請求項11に記載の本発明における移動通信装置は、移動通信装置のユーザによってアクセスされるデータを記憶する手段を有するクラウドサーバと、前記クラウドサーバと仮想インタフェースアクセスを介して接続されるストレージ装置と、前記クラウドサーバとコンピュータネットワークを介して接続され、前記ストレージ装置がマウントされている移動通信装置であって、前記データに対して仮想的なアクセスを提供する手段を有し、前記クラウドサーバに接続されていないとき、前記ストレージ装置は、前記データをローカルに格納する手段を有し、前記クラウドサーバに接続され、前記データが遠隔で解読されるとき、前記ユーザに対して前記ストレージ装置及び/又は前記移動通信装置に存在する前記データを仮想的にマウントするためのアクセス権を変更する手段と、前記クラウドサーバから切り離されたとき、前記ストレージ装置及び前記移動通信装置に存在する前記データに対するアクセス権を調整する手段と、を含むことを特徴とする。
また、請求項12に記載の移動通信装置は、請求項11に記載の移動通信装置において、前記アクセス権を変更する手段は、前記データの読み出し及び変更及び/又は前記クラウドサーバに接続されている場合に実行可能なファイルを形成するデータを実行するための権利を含むフルアクセスを付与することを特徴とする。
さらに、請求項13に記載の移動通信装置は、請求項11又は12に記載の移動通信装置において、前記アクセス権を調整する手段は、ユーザに対して前記データを変更することは許可せず前記データを読み出すことを許可することを特徴とする
また、請求項14に記載の移動通信装置は、請求項11から13の何れか1項に記載の移動通信装置において、一以上の前記クラウドサーバに接続しているか否かを判定し、この判定された接続性によって、前記クラウドサーバに記憶されている前記データ又は前記ストレージ装置に格納されている前記データに対するアクセス権を調整する権利調整手段を含むことを特徴とする
そして、請求項15に記載の移動通信装置は、請求項14に記載の移動通信装置において、前記クラウドサーバは、権利調整手段を設定するために必要となる構成パラメータを提供することを特徴とする
上記課題を解決するため、請求項16に記載の本発明における制御方法は、クラウドサーバと、前記クラウドサーバと仮想インタフェースアクセスを介して接続され、前記クラウドサーバとコンピュータネットワークを介して接続される移動通信装置にインタフェースを介してマウントされているストレージ装置と、を含み、前記クラウドサーバは、前記移動通信装置のユーザによってアクセスされるデータを記憶する手段を有し、前記移動通信装置は、前記データに対して仮想的なアクセスを提供する手段を有し、前記ストレージ装置は、前記移動通信装置が前記クラウドサーバに接続されていないとき、前記データをローカルに格納する手段を有する通信システムの制御方法であって、前記移動通信装置が前記クラウドサーバに接続され、前記データが遠隔で解読されるとき、前記移動通信装置のユーザに対して前記ストレージ装置及び/又は前記移動通信装置に存在する前記データを仮想的にマウントするためのアクセス権を変更する工程と、前記移動通信装置が前記クラウドサーバから切り離されたとき、前記ストレージ装置及び前記移動通信装置に存在する前記データに対するアクセス権を調整する工程と、を含むことを特徴とする。
また、請求項17に記載の制御方法は、請求項16に記載の制御方法において、前記アクセス権を変更する工程は、前記データの読み出し及び変更及び/又は前記移動通信装置が前記クラウドサーバに接続されている場合に実行可能なファイルを形成するデータを実行するための権利を含むフルアクセスを付与することを特徴とする。
さらに、請求項18に記載の制御方法は、請求項16又は17に記載の制御方法において、前記アクセス権を調整する工程は、ユーザに対して前記データを変更することは許可せず前記データを読み出すことを許可することを特徴とする
また、請求項19に記載の制御方法は、請求項16から18の何れか1項に記載の制御方法において、前記移動通信装置は、自身が一以上の前記クラウドサーバに接続しているか否かを判定し、この判定された接続性により、前記クラウドサーバに記憶されている前記データ又は前記ストレージ装置に格納されている前記データに対するアクセス権を調整する工程を含むことを特徴とする
そして、請求項20に記載の制御方法は、請求項19に記載の制御方法において、前記クラウドサーバは、前記移動通信装置が前記アクセス権を調整する工程を行うために必要となる構成パラメータを提供することを特徴とする
上記課題を解決するため、請求項21に記載の本発明におけるプログラムは、クラウドサーバと、前記クラウドサーバと仮想インタフェースアクセスを介して接続され、前記クラウドサーバとコンピュータネットワークを介して接続される移動通信装置にインタフェースを介してマウントされているストレージ装置と、を含み、前記クラウドサーバは、前記移動通信装置のユーザによってアクセスされるデータを記憶する手段を有し、前記移動通信装置は、前記データに対して仮想的なアクセスを提供する手段を有し、前記ストレージ装置は、前記移動通信装置が前記クラウドサーバに接続されていないとき、前記データをローカルに格納する手段を有する通信システムのコンピュータに、前記移動通信装置が前記クラウドサーバに接続され、前記データが遠隔で解読されるとき、前記移動通信装置のユーザに対して前記ストレージ装置及び/又は前記移動通信装置に存在する前記データを仮想的にマウントするためのアクセス権を変更する処理と、前記移動通信装置が前記クラウドサーバから切り離されたとき、前記ストレージ装置及び前記移動通信装置に存在する前記データに対するアクセス権を調整する処理と、を実行させる
また、請求項22に記載のプログラムは、請求項21に記載のプログラムにおいて、前記アクセス権を変更する処理は、前記データの読み出し及び変更及び/又は前記移動通信装置が前記クラウドサーバに接続されている場合に実行可能なファイルを形成するデータを実行するための権利を含むフルアクセスを付与することを特徴とする。
さらに、請求項23に記載のプログラムは、請求項21又は22に記載のプログラムにおいて、前記アクセス権を調整する処理は、ユーザに対して前記データを変更することは許可せず前記データを読み出すことを許可することを特徴とする。
また、請求項24に記載のプログラムは、請求項21から23の何れか1項に記載のプログラムにおいて、前記移動通信装置は、自身が一以上の前記クラウドサーバに接続しているか否かを判定し、この判定された接続性によって、前記クラウドサーバに記憶されている前記データ又は前記ストレージ装置に格納されている前記データに対するアクセス権を調整する処理を含むことを特徴とする。
そして、請求項25に記載のプログラムは、請求項24に記載のプログラムにおいて、前記クラウドサーバは、前記移動通信装置が前記アクセス権を調整する処理を行うために必要となる構成パラメータを提供することを特徴とする。
本発明は、改善された通信システム、クラウドサーバ、移動通信装置、通信システムの制御方法、及びプログラムを有利に提供することができる。
図1は、企業データが複数の異なるコンテキストにおいてアクセスされる通信システムの概要を示している。 図2は、改良されたアクセス権管理を有する通信システムの概要を示している。 図3は、図2の通信システムにおける使用に適した移動装置に実装された機能ブロック構成を示している。 図4は、図2の通信システムにおける使用に適したクラウドサーバに実装された機能ブロック構成を示している。 図5は、図2の通信システムにおけるアクセス権管理処理を示すフローチャートである。
図1は、110において一般的な通信システムの概要を示している。通信システムは、インターネットのようなコンピュータネットワーク116を介してクラウドサーバ114と接続することができる移動通信装置112を含む。図1に示されるように、移動通信装置112は、例えば移動電話ネットワークの基地局118を介してかつ/または無線ルータ120を介して、無線によりコンピュータネットワーク116と接続される。
クラウドサーバ114は、ソフトウェアアプリケーション122(リモートアプリケーションと称される)と企業データ124とが記憶される記憶装置を備えている。これらのアプリケーション122と企業データ124は、コンピュータネットワーク116を介して移動通信装置112のユーザによって遠隔でアクセスされる。そのようなアクセスは、広い範囲の技術(ファイルトランスファープロトコルセッション、HTTPウェブセッション、シンクライアント接続、セキュアシェル接続等)を用いて行われる。企業データ124は、企業ポリシーに応じて企業データ124へのアクセスを管理することを希望する第三者によって所有される情報を含む。第三者は、例えば、ユーザの雇用者又はユーザが加入するサービスのプロバイダーである。
移動通信装置112は、ローカルソフトウェアアプリケーション126が格納されている内部メモリを備える。ローカルアプリケーション126は、クラウドサーバに備えられているリモートアプリケーション122と企業データ124とに対して仮想的なアクセス128を提供するアプリケーションを含む。移動通信装置112はさらに、適切なインタフェース(USB、SD等)を介して移動装置112にマウントされている外部ポータブルストレージ装置130も備えている。ポータブルストレージ装置130は、移動装置112がもはやクラウドサーバ114に接続されていない状態の時にアクセスされるための、企業データ131(または企業データのコピー)がローカルに格納されているセキュアメモリ領域132を含む。企業データ131(または企業データのコピー)のいくつかは、その代わりにもしくはそれに加えて移動通信装置112の内部メモリに蓄積されてもよい。
通信システムのクラウドサーバ114は、ストレージ装置130に格納された企業データ131に対して適切なアクセス制御手順を適用するようにかつ/またはリモートアプリケーション122と相互接続する方法を制限し、ポータブルストレージ装置130へのアクセスを許可し、かつ/または、企業データ124及び131を扱うために移動装置112に対してポリシーに基づいたルールを課すように構成される。
動作において、企業データ124及び131は、移動装置112がコンピュータネットワーク116を介してクラウドサーバ114に接続されている時に、リモートアプリケーション122に対する仮想インタフェースアクセス128を介して移動装置112のユーザによってアクセスされる。実際に、クラウドサーバ114においてローカルに利用することができるかのように、リモートアプリケーション122が企業データ131へアクセスすることができるように、セキュアメモリ領域132は、クラウドサーバ114にマウントされる。しかしながらローカルに格納された企業データ131はまた、ローカルアプリケーション126を使用して直接アクセスされる。このことは、例えば、移動装置112が、意図せず電波受信範囲外に移動した結果または、意図的に、バッテリー寿命を浪費させないためにクラウドサーバ114から切断された時に、ユーザがローカルに格納された企業データ131へアクセスすることを許可する。しかしながら、クラウドサーバ114によって課されたポリシーに基づくどんなアクセス制御手順かつ/またはルールにもかかわらず、このローカルアクセスは、効果的に企業データ124及び131を管理する、特に、企業データ124及び131の適切なセキュリティかつ/または完全性を保証するためのクラウドサーバ114の能力における潜在的な弱点となることを意味する。仮想的なアクセスを介したリモートアプリケーション122へのアクセスのみに制限する、もしくは移動装置112のローカルに、企業データ124及び131のコピーを保持することを防止することが行われるが、そのような制限は、柔軟ではなく、リモートユーザにとっては一部不便であり、オフィスの外にいる時に効果的に仕事を行う従業者の能力を制限することになる。
実施の形態にかかる通信システムは、改善されたアクセス権管理が上述した課題の少なくとも1つを解決することを提供することを示す。
図2は、210全体において、エンドユーザに対して柔軟性を提供することとデータセキュリティ及びデータ完全性を維持することとの間のバランスがより効果的に達成される多目的なシステムを提供することを目的とする発明の実施の形態を含む通信システムを示している。
通信システム210は、図1に示さる通信システム110と同様である(参照番号が、同じ最後の2つの数字を有している点において)。
通信システムは、インターネットや、一般的に前述したようなコンピュータネットワーク216を介して企業ネットワークの複数のクラウドサーバ214のいずれかに接続することができる移動通信装置212を含む。移動通信装置212は、例えば、VPN接続又は安全性が確保されたシンクライアント接続(例えば、リモートデスクトッププロトコル、インディペンデントコンピューティングアーキテクチャ等)のような既知の技術を使いこの接続性を達成するように構成される。
それぞれのクラウドサーバ214は、ソフトウェアアプリケーション222(リモートアプリケーションと称される)及び企業データ224が格納されるクラウドサーバ214にローカルストレージを備えている。これらのアプリケーション222及び企業データ224は、コンピュータネットワーク216を介して、移動通信装置212のユーザによって遠隔でアクセスされる。企業データ224は、企業ポリシーに応じて企業データ224へのアクセスを管理することを希望する第三者によって所有される情報を含む。第三者は、例えば、ユーザの雇用者又はユーザが加入するサービスのプロバイダーである。
移動通信装置212は、ローカルソフトウェアアプリケーション226が格納されている内部メモリを備えている。移動通信装置212はまた、複数のポータブルストレージ装置230のいずれかと移動通信装置212を接続するためのインタフェースを備えている。それぞれのポータブルストレージ装置230は、企業データ231(もしくはそのコピー)の一部又は全てがローカルに格納されるセキュアメモリ領域232及び個人データを格納するノンセキュアメモリ領域233を含む。同様に、移動装置212の内部メモリは、企業データ231の一部又は全てが格納されるセキュアメモリ領域227及び個人データを格納するノンセキュアメモリ領域229を有するローカルファイルシステム225を含む。
ポータブルストレージ装置230及びローカルファイルシステム225のセキュアメモリ領域232及び227における企業データは、ローカルに移動装置212にアクセスされ解読される(ローカルにマウントされると称される)。ポータブルストレージ装置230のセキュアメモリ領域232及び227における企業データはまた、移動装置212がサーバ214(仮想的にまたは遠隔によりマウントされると称する)に接続されている時に、サーバ214によって遠隔にアクセスされ解読される。
移動通信装置212及びサーバ214はまた、それぞれ権利調整モジュール236および権利提供モジュール462を備えている。権利調整モジュール236は、移動装置212が一以上のリモートサーバ214に接続されているか否かを判定し、この判定された接続性によって、ローカルに格納されているいずれかの企業データ231(例えば、メモリ領域227又はメモリ領域232に格納されている企業データ)に対するデータアクセス権利を調整する。権利提供モジュール462は、内部の企業ネットワークポリシーに基づいて、アクセス権利を広く管理するように構成され、移動装置212の権利調整モジュール236を設定するために(遠隔で設定する場合)必要となる構成パラメータを提供するように構成される。移動装置212が企業ネットワークのリモートサーバ214に接続する時、権利調整モジュール236は、その接続を検出する。企業データがローカルにマウントされ解読される場合、権利調整モジュール236はその時、内部の企業ネットワークポリシーに応じて移動装置212のユーザに対してデータアクセス権利を付与するために、外部ストレージ装置230のセキュア領域232かつ/またはローカルファイルシステム225のセキュア領域227に存在する企業データ231に対するアクセス権利を変更する。例えば、ユーザは、データの読み出し及び変更かつ/または移動装置212がサーバ214に接続されている場合に実行可能なファイルを形成するデータを実行するための権利を含むフルアクセス権利を付与される。
移動装置212が企業ネットワークのリモートサーバ214に接続されるとき、権利提供モジュール462もその接続を検出する。企業データが仮想的にマウントされリモートサーバ214において遠隔で解読される場合、権利提供モジュール462はその時、内部の企業ネットワークポリシーに応じて移動装置212のユーザに対してデータアクセス権利を付与するために、外部ストレージ装置230のセキュア領域232かつ/または移動装置212のローカルファイルシステム225のセキュア領域227に存在する企業データ231を仮想的にマウントするためのアクセス権利を変更する。移動装置212が企業ネットワークから切り離された時、権利調整モジュール236は、接続性のこの変化を検出し、企業ポリシーによってアクセス権利を制限するために、セキュアメモリ領域227及び232にローカルに存在する企業データ231に対するアクセス権利を調整する。例えば、アクセス権利は、ユーザにデータを変更することは許可せずデータを読み出すことを許可するように変更される。
移動装置212の権利調整モジュール236は、企業データ231の所有者が効率的にアクセス権利を管理することを許可するためにサーバ214の制御の下に動作する。このように、権利調整モジュール236は、例えば、セキュア領域227及び232に対するアクセス制御ポリシーを更新するためかつ/または必要とされる時に新しいローカルアクセス許可を提供するために、動的に提供される。
従って、システムは、ローカルに保持されている企業データ231に対するアクセス権利が動的に調整され、移動装置が企業サーバ214に接続されているか否かに応じてデータ所有者の制御の元に管理される方法及び装置を有利に提供する。このことは、企業データ224、231の所有者に対して、企業データ231が実際に企業ネットワークの外部に格納されている時にエンドユーザに対する柔軟性と企業データ224、231のセキュリティ及び完全性を維持するための必要性との間の適切なバランスを提供している。
移動装置
図3は、図2に示される移動通信装置212の主な要素を模式的に示している。この形態において、移動装置212は、ユーザセッションを介してサーバ214において動作する仮想マシンに接続しているシンクライアント装置として動作する。この形態において、移動装置212は、基地局インタフェース373を介して一般的な移動電話ネットワークの基地局と信号を送受信することを可能とするトランシーバ回路371を有する移動電話を構成している。トランシーバ回路371はまた、ネットワークインタフェース372を経由しアクセスポイントを通過するかもしくは基地局インタフェース373を経由して移動電話ネットワークを通過してコンピュータネットワーク216(例えばインターネット)上のサーバ214と信号の送受信することを可能とする。図に示されるように、移動装置212はまた、移動装置212の動作を制御し、トランシーバ回路371、ラウドスピーカー377、マイク379、ディスプレイ381及びキーパッド383と接続されているプロセッサを有する少なくとも一つのコントローラ375を含む。プロセッサ375は、メモリ385に格納されているソフトウェア命令に従って動作する。図に示すように、これらのソフトウェア命令は、特にオペレーティングシステム387、ローカルアプリケーション226、権利調整モジュール236及び接続/通信制御モジュール391を備えている。前に述べたように、権利調整モジュール236は、ローカルに格納された企業データ231に対するアクセス権利を制御することを可能とする。接続/通信制御モジュール391は、トランシーバ回路371を介して設定される通信を制御し、ネットワークインタフェース372もしくは移動ネットワークを介するリモートサーバ214とのネットワークコネクションを管理することを可能とする。
移動装置212は、メモリ385内のローカルファイルシステム225の形態において内部及び外部データストレージ能力を備え、さらに複数のポータブルストレージ装置230(例えば、USBキーかつ/またはSDカード)のいずれかを経由するストレージインタフェース389を備えている。ローカルファイルシステム225及びポータブルストレージ装置230は、パーソナルデータを格納するための個人メモリ領域229、233と、企業データ224、231を格納するためのセキュアメモリ領域227、232から構成されている。セキュアメモリ領域227、232に格納されている全てのデータは、暗号/解読キー、パスワードかつ/またはキーファイルを使用することなく読み出され変更されることを有効に防止するために暗号化されている。
権利調整モジュール236は、ローカルファイルシステム225もしくはマウントされたポータブルストレージ装置230のセキュア領域のいずれかにローカルに格納されている企業データの権利を管理する。権利調整モジュール236はまた、移動装置がサーバ214から切り離された時、暗号化された企業データを解読する。
権利調整モジュール236は、一般的には移動装置212に搭載されたオペレーティングシステム387上で動作するソフトウェアサービスの形態で導入されている。この形態において、権利調整モジュール236は、デーモンとして動作し、移動装置212がリモートサーバ214に接続されているかどうかを分析し、接続性の変化を監視しさらに企業データ231を保持するポータブルストレージ装置230がインタフェース389を介してマウントされているかどうかを判定した後に移動装置212の起動の間に起動される。
この形態において、権利調整モジュール236は、接続性に関するアクセス権管理が適用されている(例えば、企業ネットワークに属するサーバ)それぞれのリモートサーバ214を識別するためのコンフィグレーションパラメータを備えている。リモートサーバ214に対する接続が検出された時、権利調整モジュール236は、コンフィグレーションパラメータによって識別されるサーバの識別子と接続が検出されたリモートサーバ214から受信した識別データとを比較する。リモートサーバから受信した識別データが、コンフィグレーションパラメータによってしめされているサーバである場合、さらに、企業データ231がローカルにマウントされている場合、接続状態に関するアクセス権管理が適用される。一方、リモートサーバから受信した識別データが、コンフィグレーションパラメータによって示されたサーバではない場合、切断状態のアクセス権管理の適用を継続する。
前に説明したように、権利調整モジュール236は、移動装置212が、接続性に関するアクセス権管理が実施されている企業ネットワークのリモートサーバ214と接続されたことを検出すると、関連する企業ネットワークポリシーに応じて移動装置212のユーザに対してデータアクセス権利を付与するために、ポータブルストレージ装置230のセキュア領域232かつ/またはローカルファイルシステム225のセキュア領域227に配置されている企業データ231のアクセス権利を修正する。しかし、権利調整モジュール236は、移動装置212が接続状態から切断状態へ変化したことを検出した場合、データ安全性及び完全性を保証するためにこれらのアクセス権利を修正する。
権利調整モジュール236はまた、インタフェース389を介してセキュア領域232を有するポータブルストレージ装置230をマウントするかまたはローカルファイルシステム225のセキュア領域227と接続するという試行がいつ行われているかを検出する。そのような試行の検出において、移動装置212が企業ネットワークに接続されていない場合、権利調整モジュールは、秘密キー、パスワード等のような秘密入力情報の登録を要求する。登録された秘密入力情報は、検証処理を前提としており、もし成功(例えば、パスワード又は他の秘密情報が正しく登録された)であれば、権利調整モジュール236は、マウントされているポータブルストレージ装置230またはローカルファイルシステム225のセキュア領域227にアクセスすることを許可する。成功していなければ、ポータブルストレージ装置230のマウントまたはセキュアエリア227、232に対するアクセスは妨げられる。ポータブルストレージ装置230がうまくマウントされた時もしくはローカルファイルシステム225のセキュア領域227へのアクセスが許可された時、権利調整モジュール236は、ストレージ装置230に格納されている企業データ231に対するもしくはローカルファイルシステム225に格納されている企業データ231に対する適切なデータアクセス権利を付与する。たとえば、移動装置212は、クラウドサーバ214に接続されてなく、ユーザ(もしくはローカルアプリケーション)が企業データ231が格納されている暗号化されたボリュームをマウントする時、権利調整モジュール236は、企業ネットワークポリシーに応じて企業データ231に対するアクセス権利を調整する。
権利調整モジュール236は、ローカルに格納された企業データ231を解読するために必要とされるセキュリティ証明書(キー、パスワードかつ/又はキーファイル)を保持する。従って、移動装置212が企業ネットワークから切り離された場合、権利調整モジュール236の管理のもとに、セキュア領域227、232のいずれかに格納された企業データ224、231の解読がローカルメモリ385において実行される。同様に、移動装置212がサーバ214に接続される時、さらに企業データがローカルにマウントされるとき、セキュア領域227、232のいずれかに格納される企業データ224、231の解読は、権利調整モジュール236の管理のもとにローカルメモリ385において実行される。
企業ネットワークポリシーは権利調整モジュール236のためにコンフィグレーションパラメータをセットする。コンフィグレーションパラメータは、どのような状況において権利調整モジュール236がアクセス権利、この形態においては接続性に関するアクセス権管理が適用されるクラウドサーバ214の識別子、を調整するかを規定している。例えば、企業ネットワークポリシーは、様々なファイル、ファイルタイプ、ファイルが属するグループかつ/またはディレクトリに様々な機密性レベル又は権利アクセスレベルを規定してもよい。さらに、これらの様々な権利アクセスレベルに基づいて様々なアクセスポリシーが権利調整モジュール236によって適用されてもよい。企業ネットワークポリシーはまた、権利調整モジュール236の管理下においてローカルに格納された企業データ231の暗号/解読に必要となる最新のキー、パスワードかつ/またはキーファイルを規定する。移動装置212が企業データ224、231の所有者に実際にアクセス権利の管理を許可するために接続されている時、権利調整モジュール236は、時々サーバ214から最新の企業ポリシーを受信することを可能とする。このように権利調整モジュール236は、サーバによって動的にプロビジュニングされる。
企業ポリシーに応じて、例えば、接続されている時、ユーザは企業データ231に対してフルアクセス権利を付与されるかもしれない。もしくは切り離されている時、より制限されたもしくは部分的なアクセス権利(例えば読み出しのみ)が付与されるかもしれない。これらのアクセス権利は、全てのセキュアボリューム、個別のファイル、ファイルタイプもしくはそのボリュームに格納されたディレクトリにおいてこのように調整される。移動装置が切り離された場合、ファイルは読み出しのみが許可されるように、つまりユーザにファイルを読み出すための能力を付与すること、もしくはディレクトリ内のファイルの名前を読み出すことが規定される。一方、移動装置が接続されている時、同じファイルは、ファイルの変更及びディレクトリに登録することを許可するために読み出し及び書き込みが許可される。
要するに、図3に示される移動装置212は、SDカードやUSBスティック等のような外部ポータブルストレージ装置230と接続することができる。移動装置212はまた、ファイルシステム225が装置212を起動している間に保存されるローカルランダムアクセスメモリ385内の内部ファイルシステム225にアクセスすることもできる。移動装置212は、ユーザの推奨されたアプリケーションが動作するように構成された仮想マシン上のユーザセッションを介してクラウドサーバ214に接続することができる。移動装置212は、権利調整モジュール236を動作させる。権利調整モジュール236は、サーバ214上において動作する権利提供モジュール462によって提供され、暗号化されたボリュームがローカルにマウントされて移動装置212がクラウドサーバ214と切り離された時、暗号化されたボリューム227、232にローカルに格納されている企業データ231に対するアクセス許可を調整するように構成される。
サーバ
図4において、図2に示されるクラウドサーバ214の一つの主な要素が模式的に示されている。この形態において、クラウドサーバ214は、移動装置212からユーザ接続要求を受け入れることができるシンクライアントマネジメントサーバ装置として動作し、その要求に対する応答においてサーバ上で動作する仮想マシンのユーザセッションを設定する。
図4に示されるように、サーバ214は、ネットワークインタフェース451及びインターネットのようなコンピュータネットワークを介して移動装置212と信号を送受信することができるトランシーバ回路453を含んでいる。図に示すように、サーバ214は、クラウドサーバ214の動作を制御し、トランシーバ回路453と接続されるコントローラ450を含む。コントローラ450は、メモリ457に格納されているソフトウェア命令に応じて動作する。図に示すように、これらのソフトウェア命令は、特にオペレーティングシステム459、通信/接続モジュール460、権利提供モジュール462及び企業データ224が配置される暗号化ボリューム464を含む。上述したように、サーバ214が移動装置212の代わりに搭載されているリモートソフトウェアアプリケーション222がメモリに格納されている。
通信/接続モジュール460は、移動装置からの通信要求を受け入れ/拒絶するために、要求が受け入れた時に移動装置212との接続を設定するために、さらに一旦設定された通信を管理するために、トランシーバ回路453を経由して設定された通信を制御することを可能とする。
権利提供モジュール462は、企業ネットワークポリシーに基づいて、移動装置212の権利調整モジュール236を設定するために(もしくは遠隔で設定するために)必要なコンフィグレーションパラメータを提供する。権利提供モジュール462はまた、時々、権利調整モジュール236によって適用される権利調整ポリシーが最新であることを保持することを保証するために、権利調整モジュール236に対してこれらのコンフィグレーションパラメータの最新情報を供給する。この形態において、権利提供モジュール462はまた、移動装置がサーバ214と接続された時の暗号化された企業データの解読を制御する。
移動装置212が接続されている時、権利提供モジュール462はまた、複数のタスクを実行する。これは移動装置212が接続されていない時、権利調整モジュール236によって実行されることと同様である。たとえば、移動装置212が接続されている時、権利提供モジュール462は、仮想的に移動装置212のインタフェース389を介してセキュア領域232を有するポータブルストレージ装置230をマウントすること、仮想的にローカルファイルシステム225のセキュア領域227にアクセスすること、もしくはサーバ214の暗号化されたボリューム464をマウントすることといった試みがいつ行われたかを検出する。このような試みを検出すると、仮想的なマウントの場合、移動装置212の権利調整モジュールよりもむしろ、権利提供モジュール462が、セキュア領域227、232に対するアクセスを許可する前に秘密キー、パスワード等の登録を要求する。
権利提供モジュール462はまた、格納された企業データ224をローカル及び遠隔で解読するために必要となるセキュリティ証明書(キー、パスワードかつ/またはキーファイル)を保持する。従って、移動装置212がサーバ214に接続される時、さらに移動装置212にローカルに物理的に格納された企業データが仮想的にマウントされる時、ユーザがアクセスするためにローカルもしくは遠隔でセキュア及び暗号化領域227、232、464のいずれかに格納された企業データ224、231の解読がその都度サーバによって実行される。このように、暗号化された企業データ231がローカルにマウントされた場合に移動装置212において解読が実行される。さらに、移動装置212が仮想的に遠隔でマウントされた時にリモートサーバ224において解読が実行される。
要するに、クラウドサーバ214は、ユーザ接続要求を受け入れることができ、リモートユーザに対して仮想マシン上にユーザセッションを設定することができる。サーバ214はまた、移動装置に取り付けられたメモリ(ローカルファイルシステム225もしくは外部ポータブルストレージデバイス230)に格納された企業データ231にアクセスすることができる。サーバ214は、ユーザもしくはボリュームの所有者によって選択された正しい秘密キーの登録に応じて暗号化されたボリュームがリモートユーザによってマウントされることを許可する。暗号化されたボリュームは、移動装置が利用することができるファイルシステム225の一部となり、外部ポータブルストレージ装置230(SDカード、SIM、USBキー)に設定されるセキュアメモリ領域232(もしくはコンテナ)となり、もしくは、サーバ214に配置された遠隔でアクセス可能なセキュアメモリ領域464となる。サーバ214は、移動装置212のローカルアプリケーション226かつ/またはサーバ214のリモートアプリケーション222によってユーザのために暗号化されたデータをその都度解読する。サーバ214はまた、移動装置212の権利調整モジュール236を設定し、企業ポリシーかつ/または存在するポリシー、もしくは最新化された新しい企業データ224、231を変更することを許可するために動的に権利調整モジュール236を提供する。
権利調整手順
移動装置212の権利調整モジュール236によって実行される代表的な権利調整手続きが、図5のフローチャートに示されている。
図5に示されるように、権利調整モジュール236が企業ネットワークのサーバ214とのネットワーク接続を検出した場合(S1)、移動装置212においてローカルにマウントされ解読された企業データに対して、第1レベルのデータアクセス権利が企業ポリシーに応じて付与される(S2)。同様に、権利提供モジュール462が企業ネットワークの移動装置212とのネットワーク接続を検出した場合、サーバ214において仮想的にマウントされ解読された企業データ231に対して、第1レベルのデータアクセス権利が企業ポリシーに応じて付与される。
権利調整モジュール236は、移動装置が企業ネットワークから切り離されるまで接続を監視し続ける(S3)。移動装置が企業ネットワークから切り離された場合、権利調整モジュール236は、ローカルに格納されている企業データ231に対するアクセス権利を第2レベルに修正する。第2レベルは、第1レベルよりも制限されるが、それでも制限付きのアクセスは許可される(S4)。たとえば、アクセス権利の第1レベルは、データに対する読み出し及び書き込みを許可する。一方、第2レベルは、アクセス権利の読み出しのみ許可される。権利調整モジュール236と権利提供モジュール462はそれから接続が再び検出されるまで接続の監視に戻る(S5)。接続されると、企業データ231に対するアクセス権利は、企業ポリシーに応じて再び第1レベルに戻るように調整される。
従って、上述した通信システムは、装置が企業ネットワークから切り離された場合、ローカルに格納された企業データ231のためにデータ権利の管理をすることができる。権利管理に対するこのアプローチは、接続性に応じてデータに対してアクセス権利/許可の調整を許可することによって、より大きな柔軟性を提供する。このようにしてユーザは、企業セキュリティポリシーに基づいて、たとえ、企業ネットワークに接続された時よりも制限されていたとしても、切断された時に依然としてデータにアクセスするための能力を備えている。
修正及び変更
詳細な実施の形態について説明する。当業者であれば認識するように、複数の修正及び変更が上述した実施の形態においてなされている一方で、発明の効果が具体化されている。複数の変更及び修正について説明する。
上述した実施の形態においては、移動装置212及びサーバ214のそれぞれは、トランシーバ回路を含む。一般的にこの回路は、専用のハードウェア回路によって形成される。しかしながら、ある実施の形態においては、トランシーバ回路の一部が、通信コントローラによって動作されるソフトウェアとして実行されてもよい。
上述の実施の形態においては、複数のソフトウェアモジュールが説明されている。当業者であれば認識するように、ソフトウェアモジュールは、コンパイルされもしくはコンパイルされないで供給されてもよい。さらに、ソフトウェアモジュールは、コンピュータネットワークもしくは記録媒体を介して信号としてサーバもしくは移動装置に供給されてもよい。さらに、このソフトウェアの一部もしくは全てによって実行される機能は、ひとつもしくは一つより多くの専用のハードウェア回路を用いて実現されてもよい。しかしながら、ソフトウェアモジュールの使用は、機能を更新するためにサーバ及び移動装置の更新を容易にすることが好ましい。さらに、上述したモジュールは、独立したモジュールとして定義されておらず、代わりにサーバかつ/または移動電話のオペレーティングシステムに組み込まれていてもよい。
上述した説明において、サーバ214は及び移動装置212は、理解を容易とするために、複数の別々のモジュール(接続/通信制御及び権利割当モジュール391、236のように)を有するとして説明されている。一方、これらのモジュールは、あるアプリケーション、例えば既存のシステムが発明を実行するために修正されるアプリケーションのように提供されてもよく、他のアプリケーション、例えば、はじめから発明の特徴を用いて設計されたシステムのように提供されてもよく、これらのモジュールは、全てのオペレーティングシステムもしくはコードに組み込まれてもよく、これらのモジュールは、別々の要素として認識されなくてもよい。別々のモジュールが提供されると、上述のモジュールの一つ又はそれより多くの機能は、ひとつのモジュールによって実行されてもよい。
実施の形態において、ひとつの移動装置212及び一つのサーバ214に関して主に説明しているが、複数の移動装置が企業ネットワークに接続し、切り離され、それらの調整された権利を有してもよい。同様に、移動装置212は、企業ネットワーク(もしくは、様々なデータ所有者を有する様々なネットワーク)の任意の数のサーバ214に接続されてもよい。
さらに、移動装置212とコンピュータネットワーク214との間の通信は、無線もしくは有線通信プロトコル、さらには関連する技術が用いられてもよい。たとえば、移動装置は、無線通信におけるブルートゥースかつ/またはWiFiプロトコルを用いて通信を設定してもよく、赤外線通信におけるIrDA(Infrared Data Association)プロトコルを用いて通信を設定してもよく、かつ/または有線通信においてはUniversal Serial Bus(USB)プロトコルを用いて通信を設定してもよい。移動装置212及びサーバ214はまた、サーバ214に対する長距離通信を許可するために移動電話ネットワーク(例えば、基地局、無線ネットワークコントローラ、コアネットワーク等)を介して長距離通信を設定してもよい。
移動装置212は、移動電話もしくはセルラーフォン(例えばスマートフォン)として説明されているが、例えばPersonal digital assistant(PDA)、パームトップもしくはノートブックコンピュータのように適した装置であってもよい。
接続性に関するアクセス権管理が適用されるサーバの識別子は、その代りにまたはそれに加えて、クラウドサーバ214との接続設定が成功した場合にリモートユーザに対してアクセスを提供するローカルアプリケーション226によって権利調整モジュール236に提供されてもよい。さらに、接続性に関する権利管理をおこなうサーバを識別するデータは、外部ストレージデバイス230(例えば、USBデバイスのセキュア領域232等)かつ/またはローカルファイルシステム225のセキュアエリア227に格納される。
権利調整モジュール236は、企業ポリシーに応じて企業データに対するフルアクセスもしくは制限付きアクセスを付与するための管理の役割を実際に与えられたローカルエージェントとして動作する。しかしながら、個別のプログラムが、その代りに又はそれに加えて権利調整モジュールの制御の下に権利を調整する役割を与えられてもよい。
どのような状況において権利調整モジュール236がアクセス権利を調整するかを定義するためのコンフィグレーションパラメータの提供は、いずれかの適切なメカニズム、例えば、Over−the−Airメカニズム、SMS Pushメカニズムかつ/またはOMA Device Managementメカニズム、を用いて実行される。しかし、最初の提供は、その代りに又はそれに加えて、ローカルファイルシステム225(またはポータブルストレージデバイス230)のセキュアメモリ領域227における最初のかつ/またはデフォルトのコンフィグレーションパラメータを格納することによって権利調整モジュール236の最初のインストールかつ/または起動の間に提供されてもよい。
アクセス権利は、たとえば、ドキュメントに与えられたセキュリティレベルかつ/または特定ユーザの識別子または特定グループのユーザのメンバーシップに基づいてファイルもしくはドキュメントに定義されてもよい。さらに、ローカルかつ/または遠隔に格納されたデータ(企業または個人)は、明確にアクセス権利を付与されていないユーザがデータにアクセスすることができないように暗号化されている。
様々な譲渡可能なアクセス権利は、格納されているデータの単純な読み出しかつ書き込みを超えて拡張されてもよい。様々な譲渡可能なアクセス権利は、ドキュメントのコピーかつ/またはドキュメントを異なる場所に移動するための権利、データを印刷またはe-mailにファイルを添付するための権利、あるローカルアプリケーション(例えば、word processors、spreadsheets、document viewers)を使用しているデータにアクセスするための権利、ローカルアプリケーションの通信機能を用いる特定の方法においてデータを操作するための権利等を含んでもよい。それゆえ、アクセス権利は、読み出し許可、書き込み許可、印刷許可、コピー許可、共有許可、送信許可、トラッキング変化を伴う(もしくは伴わない)編集許可、実行許可等を含んでもよい。
接続されている時よりも企業ネットワークと切断されている時により制限されたアクセス権利を付与されることがユーザにとって効果がある一方で、権利調整モジュールは、移動装置が切り離されている時により少なく制限されたアクセス権利を付与するように設定される(例えば、接続されている時ではなく切断されている時にユーザがローカル編集を行うためにコピーすることを許可する)。さらに、切断されている時に、他のアクセス権利はほとんど制限されない(例えば、編集するためにコピーをすること)一方で、いくつかのアクセス権利はより制限される(例えば、マスターコピーへの書き込みを防止する)。より多くの制限された権利はまた、ユーザの移動装置に感染するウィルスによって企業ネットワークの感染のリスクを減らすために接続状態において用いられる(例えば、移動装置にローカルに格納された実行ファイルの実行を防止する)。
アクセス権利の二つの異なるレベルが説明される一方で、異なる要因及び企業ネットワークとの接続性に基づいて割り当てられたいくつかのレベル(または組み合わせ)のアクセス権利があってもよい。アクセス権利の組み合わせはまた、ユーザ装置が接続されていない複数の異なるサーバのアクセス権利に基づいて保障されてもよい。さらに、異なるアクセス権利は、移動装置がインターネットを介して特定のクラウドサーバに接続されているか否かに関係なく、移動装置がインターネットに接続されているか否かに単純に基づいて付与されてもよい。これは、機密ファイルが故意にもしくは故意でなく共有されることまたはインターネットを介して公に開示されることを防止することに特に有益である。
権利調整モジュール236かつ/または権利提供モジュール462は、移動装置がサーバに接続されている時にどのアクセス権利が適用されているか、さらに、移動装置が切断されている時にどのアクセス権利が適用されているかを知っているため、アクセス権利を調整(または再調整)する時にそれぞれのアクセス権利のセットの間で差分のみ適用するように設定することができる。このことは、第1及び第2レベルの間の差分のみが適用されるためにデータに対してより速いアクセスを提供することができる。様々な他の変更は、当業者にとって明らかであり、ここでは詳細については省略する。
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
この出願は、2010年4月29日に出願された英国出願番号1007151.2を基礎とする優先権を主張し、その開示の全てをここに取り込む。
(産業上利用性)
この発明は、データアクセス権利を管理する通信システム、クラウドサーバ、移動通信装置、通信システムの制御方法、及びプログラムに関する。特に、移動通信装置のメモリまたは移動通信装置に接続されたポータブルストレージデバイスに格納されたデータのアクセス権利の管理に関するが、これに制限されない。
110、210 通信システム
112、212 移動装置
114 クラウドサーバ
116 コンピュータネットワーク
118 基地局
120 無線ルータ
122 アプリケーション
124、131、224、231 企業データ
126、226 アプリケーション
128 仮想アクセス
130 ポータブルストレージ装置
132、227、232 セキュアメモリ領域
214 クラウドサーバ
216 IPネットワーク
222 アプリケーション
225 ローカルファイルシステム
229、233 個人領域
230 ポータブルストレージ装置
236 権利調整モジュール
371、453 トランシーバ回路
372、451 ネットワークインタフェース
373 基地局インタフェース
375、450 コントローラ
377 ラウドスピーカー
379 マイク
381 ディスプレイ
383 キーパッド
385、457 メモリ
387、459 オペレーティングシステム
389 ストレージユニットインタフェース
391、460 接続/通信コントロール
462 権利提供
464 暗号化ボリューム

Claims (25)

  1. クラウドサーバと、
    前記クラウドサーバと仮想インタフェースアクセスを介して接続され、前記クラウドサーバとコンピュータネットワークを介して接続される移動通信装置にインタフェースを介してマウントされているストレージ装置と、を含む通信システムであって、
    前記クラウドサーバは、前記移動通信装置のユーザによってアクセスされるデータを記憶する手段を有し、
    前記移動通信装置は、前記データに対して仮想的なアクセスを提供する手段を有し、
    前記ストレージ装置は、前記移動通信装置が前記クラウドサーバに接続されていないとき、前記データをローカルに格納する手段を有し、
    前記移動通信装置が前記クラウドサーバに接続され、前記データが遠隔で解読されるとき、前記移動通信装置のユーザに対して前記ストレージ装置及び/又は前記移動通信装置に存在する前記データを仮想的にマウントするためのアクセス権を変更する手段と、
    前記移動通信装置が前記クラウドサーバから切り離されたとき、前記ストレージ装置及び前記移動通信装置に存在する前記データに対するアクセス権を調整する手段と、を含むことを特徴とする通信システム。
  2. 前記アクセス権を変更する手段は、前記データの読み出し及び変更及び/又は前記移動通信装置が前記クラウドサーバに接続されている場合に実行可能なファイルを形成するデータを実行するための権利を含むフルアクセスを付与することを特徴とする請求項1に記載の通信システム
  3. 前記アクセス権を調整する手段は、ユーザに対して前記データを変更することは許可せず前記データを読み出すことを許可することを特徴とする請求項1又は2に記載の通信システム。
  4. 前記移動通信装置は、自身が一以上の前記クラウドサーバに接続しているか否かを判定し、この判定された接続性により、前記クラウドサーバに記憶されている前記データ又は前記ストレージ装置に格納されている前記データに対するアクセス権を調整する権利調整手段を含むことを特徴とする請求項1から3のれか1項に記載の通信システム
  5. 前記クラウドサーバは、前記移動通信装置の前記権利調整手段を設定するために必要となる構成パラメータを提供することを特徴とする請求項に記載の通信システム
  6. 移動通信装置にインタフェースを介してマウントされているストレージ装置と仮想インタフェースアクセスを介して接続されると共に、前記移動通信装置とコンピュータネットワークを介して接続され、前記移動通信装置のユーザによってアクセスされるデータを記憶する手段を有するクラウドサーバであって、
    前記移動通信装置は、前記データに対して仮想的なアクセスを提供する手段を有し、
    前記ストレージ装置は、前記移動通信装置が自装置に接続されていないとき、前記データをローカルに格納する手段を有し、
    前記移動通信装置が接続され、前記データが遠隔で解読されるとき、前記移動通信装置のユーザに対して前記ストレージ装置及び/又は前記移動通信装置に存在する前記データを仮想的にマウントするためのアクセス権を変更する手段と、
    前記移動通信装置が切り離されたとき、前記ストレージ装置及び前記移動通信装置に存在する前記データに対するアクセス権を調整する手段と、を含むことを特徴とするクラウドサーバ
  7. 前記アクセス権を変更する手段は、前記データの読み出し及び変更及び/又は前記移動通信装置が接続されている場合に実行可能なファイルを形成するデータを実行するための権利を含むフルアクセスを付与することを特徴とする請求項6に記載のクラウドサーバ
  8. 前記アクセス権を調整する手段は、ユーザに対して前記データを変更することは許可せず前記データを読み出すことを許可することを特徴とする請求項6又は7に記載のクラウドサーバ
  9. 少なくとも接続されているか否かが前記移動通信装置によって判定され、この判定された接続性により、前記データ又は前記ストレージ装置に格納されている前記データに対するアクセス権を調整する権利調整手段を含むことを特徴とする請求項5から8の何れか1項に記載のクラウドサーバ
  10. 前記移動通信装置の前記権利調整手段を設定するために必要となる構成パラメータを提供することを特徴とする請求項に記載のクラウドサーバ。
  11. 移動通信装置のユーザによってアクセスされるデータを記憶する手段を有するクラウドサーバと、前記クラウドサーバと仮想インタフェースアクセスを介して接続されるストレージ装置と、前記クラウドサーバとコンピュータネットワークを介して接続され、前記ストレージ装置がマウントされている移動通信装置であって、
    前記データに対して仮想的なアクセスを提供する手段を有し、
    前記クラウドサーバに接続されていないとき、前記ストレージ装置は、前記データをローカルに格納する手段を有し、
    前記クラウドサーバに接続され、前記データが遠隔で解読されるとき、前記ユーザに対して前記ストレージ装置及び/又は前記移動通信装置に存在する前記データを仮想的にマウントするためのアクセス権を変更する手段と、
    前記クラウドサーバから切り離されたとき、前記ストレージ装置及び前記移動通信装置に存在する前記データに対するアクセス権を調整する手段と、を含むことを特徴とする移動通信装置
  12. 前記アクセス権を変更する手段は、前記データの読み出し及び変更及び/又は前記クラウドサーバに接続されている場合に実行可能なファイルを形成するデータを実行するための権利を含むフルアクセスを付与することを特徴とする請求項11に記載の移動通信装置
  13. 前記アクセス権を調整する手段は、ユーザに対して前記データを変更することは許可せず前記データを読み出すことを許可することを特徴とする請求項11又は12に記載の移動通信装置
  14. 一以上の前記クラウドサーバに接続しているか否かを判定し、この判定された接続性によって、前記クラウドサーバに記憶されている前記データ又は前記ストレージ装置に格納されている前記データに対するアクセス権を調整する権利調整手段を含むことを特徴とする請求項11から13れか1項に記載の移動通信装置
  15. 前記クラウドサーバは、権利調整手段を設定するために必要となる構成パラメータを提供することを特徴とする請求項14に記載の移動通信装置
  16. クラウドサーバと、前記クラウドサーバと仮想インタフェースアクセスを介して接続され、前記クラウドサーバとコンピュータネットワークを介して接続される移動通信装置にインタフェースを介してマウントされているストレージ装置と、を含み、前記クラウドサーバは、前記移動通信装置のユーザによってアクセスされるデータを記憶する手段を有し、前記移動通信装置は、前記データに対して仮想的なアクセスを提供する手段を有し、前記ストレージ装置は、前記移動通信装置が前記クラウドサーバに接続されていないとき、前記データをローカルに格納する手段を有する通信システムの制御方法であって、
    前記移動通信装置が前記クラウドサーバに接続され、前記データが遠隔で解読されるとき、前記移動通信装置のユーザに対して前記ストレージ装置及び/又は前記移動通信装置に存在する前記データを仮想的にマウントするためのアクセス権を変更する工程と、
    前記移動通信装置が前記クラウドサーバから切り離されたとき、前記ストレージ装置及び前記移動通信装置に存在する前記データに対するアクセス権を調整する工程と、を含むことを特徴とする制御方法。
  17. 前記アクセス権を変更する工程は、前記データの読み出し及び変更及び/又は前記移動通信装置が前記クラウドサーバに接続されている場合に実行可能なファイルを形成するデータを実行するための権利を含むフルアクセスを付与することを特徴とする請求項16に記載の制御方法。
  18. 前記アクセス権を調整する工程は、ユーザに対して前記データを変更することは許可せず前記データを読み出すことを許可することを特徴とする請求項16又は17に記載の制御方法。
  19. 前記移動通信装置は、自身が一以上の前記クラウドサーバに接続しているか否かを判定し、この判定された接続性により、前記クラウドサーバに記憶されている前記データ又は前記ストレージ装置に格納されている前記データに対するアクセス権を調整する工程を含むことを特徴とする請求項16から18の何れか1項に記載の制御方法
  20. 前記クラウドサーバは、前記移動通信装置が前記アクセス権を調整する工程を行うために必要となる構成パラメータを提供することを特徴とする請求項19に記載の制御方法
  21. クラウドサーバと、前記クラウドサーバと仮想インタフェースアクセスを介して接続され、前記クラウドサーバとコンピュータネットワークを介して接続される移動通信装置にインタフェースを介してマウントされているストレージ装置と、を含み、前記クラウドサーバは、前記移動通信装置のユーザによってアクセスされるデータを記憶する手段を有し、前記移動通信装置は、前記データに対して仮想的なアクセスを提供する手段を有し、前記ストレージ装置は、前記移動通信装置が前記クラウドサーバに接続されていないとき、前記データをローカルに格納する手段を有する通信システムのコンピュータに、
    前記移動通信装置が前記クラウドサーバに接続され、前記データが遠隔で解読されるとき、前記移動通信装置のユーザに対して前記ストレージ装置及び/又は前記移動通信装置に存在する前記データを仮想的にマウントするためのアクセス権を変更する処理と、
    前記移動通信装置が前記クラウドサーバから切り離されたとき、前記ストレージ装置及び前記移動通信装置に存在する前記データに対するアクセス権を調整する処理と、
    を実行させるためのプログラム
  22. 前記アクセス権を変更する処理は、前記データの読み出し及び変更及び/又は前記移動通信装置が前記クラウドサーバに接続されている場合に実行可能なファイルを形成するデータを実行するための権利を含むフルアクセスを付与することを特徴とする請求項21に記載のプログラム
  23. 前記アクセス権を調整する処理は、ユーザに対して前記データを変更することは許可せず前記データを読み出すことを許可することを特徴とする請求項21又は22に記載のプログラム
  24. 前記移動通信装置は、自身が一以上の前記クラウドサーバに接続しているか否かを判定し、この判定された接続性によって、前記クラウドサーバに記憶されている前記データ又は前記ストレージ装置に格納されている前記データに対するアクセス権を調整する処理を含むことを特徴とする請求項21から23れか1項に記載のプログラム。
  25. 前記クラウドサーバは、前記移動通信装置が前記アクセス権を調整する処理を行うために必要となる構成パラメータを提供することを特徴とする請求項24に記載のプログラム
JP2012549175A 2010-04-29 2011-04-18 通信システム、クラウドサーバ、移動通信装置、通信システムの制御方法、及びプログラム Expired - Fee Related JP5791633B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB1007151.2 2010-04-29
GB1007151A GB2479916A (en) 2010-04-29 2010-04-29 Access rights management of locally held data based on network connection status of mobile device
PCT/JP2011/059994 WO2011136150A1 (en) 2010-04-29 2011-04-18 Access management system

Publications (2)

Publication Number Publication Date
JP2013525871A JP2013525871A (ja) 2013-06-20
JP5791633B2 true JP5791633B2 (ja) 2015-10-07

Family

ID=42271017

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012549175A Expired - Fee Related JP5791633B2 (ja) 2010-04-29 2011-04-18 通信システム、クラウドサーバ、移動通信装置、通信システムの制御方法、及びプログラム

Country Status (6)

Country Link
US (1) US9043898B2 (ja)
EP (1) EP2564347A4 (ja)
JP (1) JP5791633B2 (ja)
CN (1) CN102906758A (ja)
GB (1) GB2479916A (ja)
WO (1) WO2011136150A1 (ja)

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9361243B2 (en) 1998-07-31 2016-06-07 Kom Networks Inc. Method and system for providing restricted access to a storage medium
US8836601B2 (en) 2013-02-04 2014-09-16 Ubiquiti Networks, Inc. Dual receiver/transmitter radio devices with choke
US9496620B2 (en) 2013-02-04 2016-11-15 Ubiquiti Networks, Inc. Radio system for long-range high-speed wireless communication
US8552833B2 (en) 2010-06-10 2013-10-08 Ricoh Company, Ltd. Security system for managing information on mobile wireless devices
US9165289B2 (en) 2011-02-28 2015-10-20 Ricoh Company, Ltd. Electronic meeting management for mobile wireless devices with post meeting processing
US20130347054A1 (en) 2012-06-20 2013-12-26 Tetsuro Motoyama Approach For Managing Access To Data On Client Devices
US8886925B2 (en) * 2011-10-11 2014-11-11 Citrix Systems, Inc. Protecting enterprise data through policy-based encryption of message attachments
US10291658B2 (en) 2011-11-09 2019-05-14 Microsoft Technology Licensing, Llc Techniques to apply and share remote policies on mobile devices
JP5860762B2 (ja) * 2012-05-10 2016-02-16 株式会社日立ソリューションズ 携帯端末及び携帯端末用ファイル管理プログラム
US20130339865A1 (en) * 2012-06-11 2013-12-19 WiFiZapper, Inc Method and system for controlling network access
US9213805B2 (en) 2012-06-20 2015-12-15 Ricoh Company, Ltd. Approach for managing access to data on client devices
US8732792B2 (en) 2012-06-20 2014-05-20 Ricoh Company, Ltd. Approach for managing access to data on client devices
US8438654B1 (en) 2012-09-14 2013-05-07 Rightscale, Inc. Systems and methods for associating a virtual machine with an access control right
FR2996018A1 (fr) * 2012-09-27 2014-03-28 France Telecom Dispositif et procede de gestion de l'acces a un ensemble de ressources informatiques et reseaux mis a la disposition d'une entite par un systeme informatique en nuage
TWM456595U (zh) * 2012-12-07 2013-07-01 Feng-Yu Ye 網路連接裝置與無線電話相互結合以連接線連接視訊顯示裝置的控制系統結構
US9397820B2 (en) 2013-02-04 2016-07-19 Ubiquiti Networks, Inc. Agile duplexing wireless radio devices
US9373885B2 (en) 2013-02-08 2016-06-21 Ubiquiti Networks, Inc. Radio system for high-speed wireless communication
JP5853996B2 (ja) * 2013-06-10 2016-02-09 コニカミノルタ株式会社 情報システム、情報機器およびコンピュータプログラム
DE102013106119A1 (de) * 2013-06-12 2014-12-18 Deutsche Telekom Ag Hierarchisches Authentifizierungs- und Autorisierungssystem
US20150026465A1 (en) * 2013-07-18 2015-01-22 Alcatel Lucent Methods And Devices For Protecting Private Data
ES2767051T3 (es) 2013-10-11 2020-06-16 Ubiquiti Inc Optimización de sistema de radio inalámbrica mediante análisis de espectro persistente
PL3114884T3 (pl) * 2014-03-07 2020-05-18 Ubiquiti Inc. Uwierzytelnianie i identyfikacja urządzenia w chmurze
EP3120642B1 (en) 2014-03-17 2023-06-07 Ubiquiti Inc. Array antennas having a plurality of directional beams
US10198585B2 (en) 2014-03-31 2019-02-05 Mobile Iron, Inc. Mobile device management broker
WO2015153717A1 (en) 2014-04-01 2015-10-08 Ubiquiti Networks, Inc. Antenna assembly
US9875110B2 (en) 2014-04-08 2018-01-23 Vmware, Inc. Dynamic application overlay for remote desktop servers
CN103927170A (zh) * 2014-04-09 2014-07-16 可牛网络技术(北京)有限公司 获取和提供软件服务的方法、装置及系统
WO2016003862A1 (en) 2014-06-30 2016-01-07 Ubiquiti Networks, Inc. Methods and tools for assisting in the configuration of a wireless radio network using functional maps
WO2016032615A1 (en) 2014-08-31 2016-03-03 Ubiquiti Networks, Inc. Methods and apparatuses for monitoring and improving wireless network health
US10021137B2 (en) * 2014-12-27 2018-07-10 Mcafee, Llc Real-time mobile security posture
CN106161384A (zh) * 2015-04-15 2016-11-23 伊姆西公司 用于在移动设备中提供对数据的安全访问的方法和系统
CN107079035B (zh) 2015-09-25 2020-05-19 优倍快公司 用于监控网络的紧凑型和一体化的钥匙控制器装置
US10318721B2 (en) * 2015-09-30 2019-06-11 Apple Inc. System and method for person reidentification
CN105897682A (zh) * 2015-12-11 2016-08-24 乐视云计算有限公司 一种在线鉴权方法及装置
JP2017117243A (ja) 2015-12-24 2017-06-29 株式会社リコー 操作デバイス及び操作デバイスにおける通信路の利用権管理方法
US10013570B2 (en) * 2016-05-09 2018-07-03 International Business Machines Corporation Data management for a mass storage device
US9589397B1 (en) * 2016-06-06 2017-03-07 American Megatrends, Inc. Securing internet of things (IoT) based entrance/exit with multi-factor authentication
CN107786518B (zh) * 2016-08-30 2020-08-04 福建福昕软件开发股份有限公司 一种动态配置文档访问权限的方法
JP6745174B2 (ja) * 2016-09-09 2020-08-26 株式会社日立産機システム コントローラ及びコントロール管理システム
US11604795B2 (en) 2016-09-26 2023-03-14 Splunk Inc. Distributing partial results from an external data system between worker nodes
US10956415B2 (en) 2016-09-26 2021-03-23 Splunk Inc. Generating a subquery for an external data system using a configuration file
CN106407839B (zh) * 2016-09-26 2020-05-19 东莞市诺盛信息科技有限公司 移动终端的文件存储方法及存储装置
US12013895B2 (en) 2016-09-26 2024-06-18 Splunk Inc. Processing data using containerized nodes in a containerized scalable environment
US11860940B1 (en) 2016-09-26 2024-01-02 Splunk Inc. Identifying buckets for query execution using a catalog of buckets
US10353965B2 (en) 2016-09-26 2019-07-16 Splunk Inc. Data fabric service system architecture
CN107038382B (zh) * 2017-04-24 2020-05-22 深信服科技股份有限公司 一种基于文件描述符和会话的权限控制方法和系统
CN109165532A (zh) * 2017-06-27 2019-01-08 慧荣科技股份有限公司 存储装置管理方法以及存储装置管理系统
US11989194B2 (en) 2017-07-31 2024-05-21 Splunk Inc. Addressing memory limits for partition tracking among worker nodes
US12118009B2 (en) 2017-07-31 2024-10-15 Splunk Inc. Supporting query languages through distributed execution of query engines
US11921672B2 (en) * 2017-07-31 2024-03-05 Splunk Inc. Query execution at a remote heterogeneous data store of a data fabric service
CN111125642B (zh) * 2018-10-31 2022-06-03 北京数聚鑫云信息技术有限公司 一种管理api的方法、装置、存储介质及计算机设备
US11693980B2 (en) * 2019-04-19 2023-07-04 Datalocker Inc. Offline data storage device
US11494380B2 (en) 2019-10-18 2022-11-08 Splunk Inc. Management of distributed computing framework components in a data fabric service system
US11681826B2 (en) * 2019-12-05 2023-06-20 Jpmorgan Chase Bank, N.A. Systems and methods for protection of data across multiple users and devices
CN111222153B (zh) * 2020-01-07 2023-04-07 腾讯科技(深圳)有限公司 应用程序权限管理方法、装置和存储介质
US11922222B1 (en) 2020-01-30 2024-03-05 Splunk Inc. Generating a modified component for a data intake and query system using an isolated execution environment image
US12072939B1 (en) 2021-07-30 2024-08-27 Splunk Inc. Federated data enrichment objects
US12118113B2 (en) * 2022-04-27 2024-10-15 Couchbase, Inc. Access control system for access revocation in a database
US12093272B1 (en) 2022-04-29 2024-09-17 Splunk Inc. Retrieving data identifiers from queue for search of external data system

Family Cites Families (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5025A (en) * 1847-03-20 Horatio allen
US8234477B2 (en) * 1998-07-31 2012-07-31 Kom Networks, Inc. Method and system for providing restricted access to a storage medium
US6574657B1 (en) * 1999-05-03 2003-06-03 Symantec Corporation Methods and apparatuses for file synchronization and updating using a signature list
US7392391B2 (en) * 2001-11-01 2008-06-24 International Business Machines Corporation System and method for secure configuration of sensitive web services
KR20050070152A (ko) * 2002-10-02 2005-07-05 코닌클리케 필립스 일렉트로닉스 엔.브이. 휴대 가능한 디바이스의 스마트 연결 관리
TWI303764B (en) * 2002-10-25 2008-12-01 Digital information protecting method and system
US8745409B2 (en) 2002-12-18 2014-06-03 Sandisk Il Ltd. System and method for securing portable data
US20080177994A1 (en) * 2003-01-12 2008-07-24 Yaron Mayer System and method for improving the efficiency, comfort, and/or reliability in Operating Systems, such as for example Windows
US9197668B2 (en) * 2003-02-28 2015-11-24 Novell, Inc. Access control to files based on source information
JP2005122474A (ja) * 2003-10-16 2005-05-12 Fujitsu Ltd 情報漏洩防止プログラムおよびその記録媒体並びに情報漏洩防止装置
US8146148B2 (en) * 2003-11-19 2012-03-27 Cisco Technology, Inc. Tunneled security groups
US8234374B2 (en) 2004-04-26 2012-07-31 Microsoft Corporation Privacy model that grants access rights and provides security to shared content
EP1767031B1 (en) * 2004-05-24 2009-12-09 Computer Associates Think, Inc. System and method for automatically configuring a mobile device
EP2549442A3 (en) * 2004-09-16 2013-05-29 Fortress GB Ltd. A method for communication of information and data between a user and the operator of a venue attended by the user via a poster
US7950044B2 (en) * 2004-09-28 2011-05-24 Rockwell Automation Technologies, Inc. Centrally managed proxy-based security for legacy automation systems
US7716489B1 (en) * 2004-09-29 2010-05-11 Rockwell Automation Technologies, Inc. Access control method for disconnected automation systems
US8613048B2 (en) * 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
JP2008527475A (ja) * 2004-12-30 2008-07-24 ノキア コーポレイション 複数のコンフィギュレーションを有する装置内におけるコンフィギュレーションの使用法
US7793333B2 (en) * 2005-06-13 2010-09-07 International Business Machines Corporation Mobile authorization using policy based access control
US8082451B2 (en) * 2005-09-12 2011-12-20 Nokia Corporation Data access control
US7623548B2 (en) * 2005-12-22 2009-11-24 At&T Intellectual Property, I,L.P. Methods, systems, and computer program products for managing access resources in an internet protocol network
JP4843325B2 (ja) * 2006-02-06 2011-12-21 株式会社リコー 文書アクセス制御システム
CN100580642C (zh) * 2006-02-28 2010-01-13 国际商业机器公司 通用串行总线存储设备及其访问控制方法
EP1833222A1 (en) * 2006-03-10 2007-09-12 Abb Research Ltd. Access control protocol for embedded devices
JP2007257057A (ja) * 2006-03-20 2007-10-04 Ricoh Co Ltd 文書管理システム、情報処理装置及び情報処理プログラム
JP4164516B2 (ja) 2006-05-11 2008-10-15 キヤノン株式会社 画像出力装置、履歴管理方法、および履歴管理プログラム
JP4838916B2 (ja) * 2006-08-01 2011-12-14 株式会社日立ソリューションズ クライアントサーバシステム
US8528102B2 (en) * 2006-10-06 2013-09-03 Broadcom Corporation Method and system for protection of customer secrets in a secure reprogrammable system
US8024806B2 (en) * 2006-10-17 2011-09-20 Intel Corporation Method, apparatus and system for enabling a secure location-aware platform
DE102006050639A1 (de) * 2006-10-26 2008-04-30 Philip Behrens Methode und Gerät zur Kontrolle und/oder Begrenzung von elektronischen Medieninhalten
GB0623842D0 (en) * 2006-11-29 2007-01-10 British Telecomm Secure access
US9286481B2 (en) * 2007-01-18 2016-03-15 Honeywell International Inc. System and method for secure and distributed physical access control using smart cards
US8438619B2 (en) * 2007-09-21 2013-05-07 Netmotion Wireless Holdings, Inc. Network access control
US8782759B2 (en) 2008-02-11 2014-07-15 International Business Machines Corporation Identification and access control of users in a disconnected mode environment
US20100041365A1 (en) * 2008-06-12 2010-02-18 At&T Mobility Ii Llc Mediation, rating, and billing associated with a femtocell service framework
WO2010037201A1 (en) * 2008-09-30 2010-04-08 Wicksoft Corporation System and method for secure management of mobile user access to enterprise network resources
US8504847B2 (en) * 2009-04-20 2013-08-06 Cleversafe, Inc. Securing data in a dispersed storage network using shared secret slices
US8285681B2 (en) * 2009-06-30 2012-10-09 Commvault Systems, Inc. Data object store and server for a cloud storage environment, including data deduplication and data management across multiple cloud storage sites
US20110047614A1 (en) * 2009-08-19 2011-02-24 Chi-Feng Huang Permission management system for data accessing and method thereof
US8381264B1 (en) * 2009-09-10 2013-02-19 Amazon Technologies, Inc. Managing hardware reboot and reset in shared environments
US20110087603A1 (en) * 2009-10-13 2011-04-14 Google Inc. Cloud based media player and offline media access
US9274821B2 (en) * 2010-01-27 2016-03-01 Vmware, Inc. Independent access to virtual machine desktop content
US8412945B2 (en) * 2011-08-09 2013-04-02 CloudPassage, Inc. Systems and methods for implementing security in a cloud computing environment
US20130268582A1 (en) * 2012-04-05 2013-10-10 Nokia Corporation Method And Apparatus for Distributing Content Among Multiple Devices While In An Offline Mode

Also Published As

Publication number Publication date
GB201007151D0 (en) 2010-06-09
US9043898B2 (en) 2015-05-26
CN102906758A (zh) 2013-01-30
JP2013525871A (ja) 2013-06-20
EP2564347A1 (en) 2013-03-06
EP2564347A4 (en) 2016-12-21
US20130067564A1 (en) 2013-03-14
WO2011136150A1 (en) 2011-11-03
GB2479916A (en) 2011-11-02

Similar Documents

Publication Publication Date Title
JP5791633B2 (ja) 通信システム、クラウドサーバ、移動通信装置、通信システムの制御方法、及びプログラム
JP6348624B2 (ja) セキュア要素内のデータを管理するための方法及び装置
US8590052B2 (en) Enabling granular discretionary access control for data stored in a cloud computing environment
US8839354B2 (en) Mobile enterprise server and client device interaction
US8650620B2 (en) Methods and apparatus to control privileges of mobile device applications
US9065771B2 (en) Managing application execution and data access on a device
CA2778572C (en) Methods and devices for controlling access to a computing resource by applications executable on a computing device
KR102203399B1 (ko) 소셜 네트워크 사용자 안전 제어 방법, 소셜 앱 장치 및 단말
US9298930B2 (en) Generating a data audit trail for cross perimeter data transfer
US20130055347A1 (en) Hardware interface access control for mobile applications
US20110131421A1 (en) Method for installing an application on a sim card
US11483399B2 (en) Systems and methods for maintaining and transferring SaaS session state
TW201428535A (zh) 用於管理存取控制之基於原則技術
US10511574B2 (en) Methods and apparatuses for utilizing a gateway integration server to enhance application security
WO2016190949A1 (en) Authorization in a distributed system using access control lists and groups
CA2829805C (en) Managing application execution and data access on a device
KR20140071744A (ko) 스마트 통신단말을 위한 보안정책 협상 기반의 차등화된 보안제어 방법
US10756899B2 (en) Access to software applications
EP2790123B1 (en) Generating A Data Audit Trail For Cross Perimeter Data Transfer
CN113297589A (zh) 设置集群权限的方法、装置及系统
KR101869347B1 (ko) 네트워크 접속 제어 시스템 및 제어 방법
JP2024536923A (ja) リモートクラウド格納リソースのデュアルエンドポイントアクセス制御を行うためのシステム及び方法
KR20180021592A (ko) 전용망의 파일 보호 시스템, 디바이스의 동작 방법 및 디바이스

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140312

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20140917

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150721

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150804

R150 Certificate of patent or registration of utility model

Ref document number: 5791633

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees