JP6207696B2 - 安全移動体フレームワーク - Google Patents

安全移動体フレームワーク Download PDF

Info

Publication number
JP6207696B2
JP6207696B2 JP2016167495A JP2016167495A JP6207696B2 JP 6207696 B2 JP6207696 B2 JP 6207696B2 JP 2016167495 A JP2016167495 A JP 2016167495A JP 2016167495 A JP2016167495 A JP 2016167495A JP 6207696 B2 JP6207696 B2 JP 6207696B2
Authority
JP
Japan
Prior art keywords
enterprise
service
initiating device
application
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016167495A
Other languages
English (en)
Other versions
JP2016201149A (ja
Inventor
ダニエル ファルティン
ダニエル ファルティン
アンドリュー ジェイ アール スミス
アンドリュー ジェイ アール スミス
Original Assignee
シンクロノス テクノロジーズ インコーポレイテッド
シンクロノス テクノロジーズ インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by シンクロノス テクノロジーズ インコーポレイテッド, シンクロノス テクノロジーズ インコーポレイテッド filed Critical シンクロノス テクノロジーズ インコーポレイテッド
Publication of JP2016201149A publication Critical patent/JP2016201149A/ja
Application granted granted Critical
Publication of JP6207696B2 publication Critical patent/JP6207696B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications

Description

(関連出願の相互参照)
本願は、2012年3月30日出願の米国仮特許出願第61/618,511号及び2013年3月29日出願の米国仮特許出願第61/806,763号に対する優先権を主張し、両出願の内容全体をここに参考文献としてあらゆる目的に援用する。
本発明の様々な実施形態は、概括的には、移動体デバイスに関する。より厳密には、本発明の幾つかの実施形態は、移動体デバイス上で走るアプリケーションを企業内サービスへ安全に接続するための安全移動体フレームワークに関する。
多くの会社又は企業は、移動体デバイス(スマートフォン、タブレット、など)を従業員へ供与しているか又は従業員が自分の移動体デバイスを持ち込むことを容認している。しかしながら、従業員が会社内のサービスに移動体デバイスを通じてアクセスできるようにしていることで、会社が潜在的な機密保護侵害に曝されることが増加してきている。例えば、従業員が自分の移動体デバイスを紛失すれば、許可されていない当事者が電話機上で安全確保されていないデータを読み出し、そして恐らくは会社内のサービスにアクセスしてしまうかもしれない。別の例として、従業員が会社を去り、移動体デバイスを返還しないなら、元従業員がデバイス上に又は会社内に記憶されている機密データにアクセスしてしまう可能性も依然としてある。
この種の許可されていないアクセスを抑制するために、多くの会社は、移動体デバイスの制御を拘束する移動体デバイス管理(MDM)ポリシーを使用しており、それにより、企業内サービスへ接続する可能性のある移動体デバイスについての潜在的機密保護リスクの低減を図っている。企業によって設定されるMDMポリシーは、移動体デバイスの構成設定の管理を通じてデータを制御及び保護する。構成設定を管理するために、オーバー・ディ・エア・プログラミング(OTA)ケイパビリティが使用されることが多い。OTAケイパビリティの使用は、企業が、単一の移動体デバイス又は一団の移動体デバイス全体を遠隔的に構成すること、ソフトウェア及びOS更新を送信すること、及びデバイスが紛失又は盗難された場合などにデバイス上に記憶されているデータを保護するためにデバイスを遠隔的にロック及びワイプすること、を行えるようにしている。
しかしながら、MDMポリシーによって課される拘束は、個人的立場でもデバイスを使用しているユーザーにとっては煩わしいこともある。例えば、MDMポリシーは、移動体デバイスに、自動ロックし、そして移動体デバイスがロック解除される前にユーザーに特定の特徴のセットを有するパスワードを提供するよう入力を促すこと、を求めている場合がある。ユーザーは、これらの拘束がうっとうしいと感じているかもしれない。この様に、従来の移動体デバイス管理には多数の課題及び非効率が生じている。
米国仮特許出願第61/618,511号 米国仮特許出願第61/806,763号
移動体デバイス上で走るアプリケーションを企業内サービス(例えば、eメールサービス、取引サービス、又は予約サービス)へ安全に接続することのできる安全移動体フレームワークのためのシステム及び方法が記載されている。幾つかの実施形態では、遠隔デバイスからの、企業によって提供されるサービスにアクセスするための認証要求は、企業と関連付けられるゲートウェイにて受信されるようになっている。要求は、遠隔デバイス上で走る企業管理型アプリケーション(enterprise managed application)から生じるようになっている。フレームワーク認証トークン及び機密保護ポリシー(例えば、パスワード構造、パスワード存続期間、アプリケーション及び/又は安全データコンテナについてのアクセス制御、など)が生成されるようになっている。
機密保護ポリシーは、企業によって提供されているサービスであって遠隔デバイスがアクセスすることを要求してきているサービスに基づくものとされている。次いでフレームワーク認証トークン及び機密保護ポリシーが遠隔デバイスへ送信され、企業内サービスへ接続するための接続要求を生成する前に機密保護ポリシーの順守が保証されるようにする。接続要求は、フレームワーク認証トークン及び機密保護ポリシーに基づくものとされている。サービス認証部(service authenticator)は、遠隔デバイス上で走るアプリケーションがサービスにアクセスすることを許可されているかどうかを判定する。幾つかの実施形態は、企業管理型アプリケーションとサービスの間の対話を監視する。移動体デバイス及び/又はゲートウェイにて1つ又はそれ以上の不正ポリシーの違反が検知されるや、高位の認証要求が生成されるようになっている。
幾つかの実施形態では、開始デバイス上で走る企業管理型アプリケーションと企業サービスの間のサービス接続を確立するための要求が、開始デバイスから受信されるようになっている。要求は、エンドユーザーと関連付けられる認証信用証明書を含んでいる。フレームワーク認証トークンが生成され、開始デバイスへ送信されると、開始デバイスは、それを受信し次第、認証トークンに基づいてサービス接続要求を開始する。サービス接続要求の妥当性確認(例えば、許可及び認証)が成功し次第、企業サービスと開始デバイスの間に安全接続が作成されることになる。記憶された接続を使用して開始デバイスへ送信される何れかのデータは、企業管理型アプリケーションしかアクセスできない安全コンテナ内に記憶させることができる。
本発明の実施形態は、更に、1つ又はそれ以上のプロセッサにここに記載の方法、方法の変型、及び他の動作を遂行させる命令のセットを格納するコンピュータ可読記憶媒体を含んでいる。
様々な実施形態では、システムは、ゲートウェイ、認証部、トークン生成部、通信モジュール、発見サービス、及び/又は不正検知モジュール、を含むことができる。ゲートウェイは、企業のサービスへの遠隔デバイスアクセスを提供するように構成されていてもよい。幾つかの実施形態では、ゲートウェイは、それぞれ単独の認証プロトコル及び活動ロギングを提供している複数のレベルを含んでいてもよい。遠隔デバイスは、デバイス上に企業によって管理されている1つ又はそれ以上のアプリケーションを記憶させておくことができる。認証部は、ユーザーが企業にアクセスすることを許可されているかどうかを判定するように、及び1つ又はそれ以上のアプリケーションの管理に関してポリシーを構築するように、構成されていてもよい。
トークン生成部は、企業によって管理されている1つ又はそれ以上のアプリケーションとサーバの間に安全接続を作成するための1つ又はそれ以上のトークン(例えば、認証トークン、ユーザー束縛トークン、及び/又はフレームワーク認証トークン)を生成するように構成されていてもよい。トークンは様々な識別子に基づくものとすることができ、例えば、限定するわけではないが次のもの、即ち、ユーザー識別子、デバイス識別子、デバイス型式識別子、アプリケーション群識別子、など、であってもよい。トークンには、他のトークンの束縛を含んでいるものもあろう。例えば、1つの実施形態では、フレームワーク認証トークンは、企業認証トークン、ユーザー束縛トークン、及び/又はフレームワーク認証トークン有効期限、に基づくものであってもよい。幾つかの実施形態では、トークンの1つ又はそれ以上は、当該トークンが改ざん又は改変された場合にシステムが検知できるように、暗号学的に安全確保(例えば、デジタル署名)されるようになっている。
通信モジュールは、ポリシーを遠隔デバイスへ通信するように構成されていてもよい。発見サービスは、企業のサービスのうちのどれを1つ又はそれ以上のアプリケーションと接続するべきかを確定するように構成されていてもよい。異常検知部は、遠隔デバイスとサーバの間の活動を監視し活動での異常の表示を生成するように構成されていてもよい。例えば、異常検知部は、ユーザーのIP速度、ログイン試行の失敗、など、を監視するようになっていてもよい。
複数の実施形態が開示されているが、本発明の例示的な実施形態を示し説明している次の詳細な説明から当業者には本発明の更に他の実施形態が自明となるであろう。認識されてゆく様に、本発明は、各種態様に修正の余地があり、修正はどれも本発明の範囲から逸脱せずになされるものである。従って、図面及び詳細な説明は、本質的に説明目的と見なされるべきであって限定を課すものと見なされるべきではない。
本発明の実施形態を、添付図面の使用を通じて説明及び解説してゆく。
本発明の幾つかの実施形態を利用することのできるネットワークベース環境の一例を示している。 本発明の1つ又はそれ以上の実施形態による、企業管理型アプリケーションと企業サービスの間に束縛を作成するための例示としての動作のセットに係る流れ図である。 本発明の様々な実施形態により使用することのできる安全フレームワークのための全体としてのアーキテクチャを示している。 本発明の幾つかの実施形態による、企業管理型アプリケーションを許可するための例示としての動作のセットを示す流れ図である。 本発明の1つ又はそれ以上の実施形態による、企業サービスと遠隔デバイス上で走る企業管理型アプリケーションの間に安全チャネルを作成するための例示としての動作のセットを示す流れ図である。 本発明の様々な実施形態と共に使用することのできる安全移動体フレームワーク上に築かれたアプリケーションの一例である。 本発明の幾つかの実施形態による、企業内サービスにアクセスする遠隔デバイスを示している。 本発明の1つ又はそれ以上の実施形態による、デバイスアプリケーションと企業の間の初期認証フローを示すシーケンス線図である。 本発明の様々な実施形態による、デバイスアプリケーションと企業の間の連続的な認証フローを示すシーケンス線図である。 本発明の幾つかの実施形態を利用することのできるコンピュータシステムの一例を示している。
図面は必ずしも縮尺を合わせて描かれているわけではない。例えば、図中の要素のうちの幾つかの寸法は、本発明の実施形態の理解を高めるうえで助けとなるように拡大又は縮小されていることもある。同様に、幾つかの構成要素及び/又は幾つかの動作は、本発明の実施形態のうちの幾つかを論じることを目的に、異なったブロックへ別けられていることもあれば単一ブロックへ組み合わされていることもある。また、本発明は、様々な修正及び代替形態を受ける余地があるが、図面には特定の実施形態が一例として示されており、以下に詳細に説明されている。但し、本発明は、当該発明を説明されている特定の実施形態に限定するつもりはない。そうではなく、本発明は、付随の特許請求の範囲によって定義される本発明の範囲内に入るあらゆる修正物、等価物、及び代替物を網羅することを意図している。
本発明の様々な実施形態は、概括的には、移動体デバイス上で走るアプリケーションを企業内サービスへ安全に接続することのできる安全移動体フレームワークに関する。企業によって提供されているサ−ビスの幾つかの例には、限定するわけではないが、eメールサービス、取引サービス、支払処理サービス、顧客関係管理サービス、在庫システムサービス、ビジネスインテリジェンスサービス、保健サービス、学生情報サービス、予約サービス、安全サービス、及び/又は機密情報を内包する他のサービス、が含まれる。幾つかの実施形態によれば、安全移動体フレームワークは、ソフトウェア開発者に、非企業移動体デバイス上に安全アプリケーションを築く能力を提供するソフトウェアライブラリ及びサービス構成要素の集まりを提供している。安全移動体フレームワークは、ファイアウォール制御されているコンテンツ、サービス、及び公共ネットワークからのDMZ型式アーキテクチャ手段を介したネットワーク、を有する企業によって連係して使用されることが可能である。結果として、企業の既存の認証及び許可システムの多くが利用できるようになる。クライアントライブラリ及びサーバライブラリを利用又は拡張して、クライアントアプリケーションとサーバアプリケーションの両方で安全な記憶及び通信が提供されるようにすることができる。
内部ポリシー又は内部規定を通じて、確実に企業のコンテンツ及び通信が保護され、管理され、監視されるようにすることを必要としている企業は、多数存在する。通常は、企業によって管理されるデバイスについては、前述の制御要件はデバイス及びオペレーティングシステム(OS)管理を通じて直接実施されている。また一方で、企業によって管理されていないデバイス及び企業ネットワークへ直接接続することがあってはならないデバイスについては、確実に同じ制御がこれらの非管理デバイス上で走る企業アプリケーションに適用されるようにする必要性がある。
様々な実施形態によれば、安全移動体フレームワークは、企業内サービスを接続し利用するために以下の特徴のうちの1つ又はそれ以上を提供することができ、即ち、1)企業コンテンツをデバイス上に保護された方式で記憶する機構であって、それにより、企業コンテンツには、場合によってはオフラインの、許可されたユーザーしかアクセスできなくなり、企業コンテンツは企業ポリシーを通じてしか管理できなくなる、ようにする機構、2)ゲートウェイに対する認証(即ち、フレームワーク認証)及び企業サービスに対する認証(即ち、企業認証)の複数の認証を提供し、許可されている場合にはそれらの企業サービスへの安全接続を提供し、サービス毎にアクセスを企業ポリシーを通じて管理する機構、3)接続されたアプリケーション及びそれらの従属サービスを管理及びサポートする機構、4)好ましくない若しくは安全でないオペレーティングシステム環境を動的に検知し、多段処理(例えば、ポリシーを評価すること、プログラムの問合せ、OSの問合せ、及び/又はクライアント環境及び/又はサーバ環境での他のチェックを遂行すること)を通じて管理する機構、のうちの1つ又はそれ以上を提供することができる。
ゲートウェイは、認証のために使用できる1つ又はそれ以上のトークンを生成することができる。例えば、幾つかの実施形態では、単要素又は多要素信用証明書を表現する企業認証トークン(EAT)が生成されるようになっており、トークンは所与の会社に関して認証するに当たりあたかも当該単要素又は多要素信用証明書が提示されているかの如く或る有限期間に亘って使用できる。1つ又はそれ以上の実施形態ではユーザー束縛トークン(UBT)も使用されている。UBTは、ユーザー(id)、デバイス(id)、デバイスの型式、及びアプリ群、を合体させた固有表現であるとしてもよい。加えて、フレームワーク認証トークン(FAT)が様々な実施形態で使用されている。FATは、フレームワークに関して認証するのに使用されるEAT、UBT、及び有効期限を束縛することによって作成されていてもよい。FATをこの様に構築することの1つの利点は、詳細事項が許可されていない当事者によって改ざんされ得ないことである。
幾つかの実施形態では、安全移動体フレームワークのクライアント構成要素及びサーバ構成要素が、クライアントアプリケーションのための動作環境の完全性を検知するのに使用されている。クライアントアプリケーションが管理されていないオペレーティングシステム環境内で実行されようとしていることを考えれば、当該環境が安全でないと見なされるかどうかを、あらんかぎりの能力を尽くして確かめる必要があろう。
次に続く説明では、本発明の実施形態を十二分に理解してもらうために、解説を目的として数多くの特定の詳細事項が述べられている。とはいえ、本発明の実施形態はこれらの特定の詳細事項の幾つか無しに実践することもできることが当業者には自明であろう。
便宜上、本発明の実施形態は、専用の企業ベースのセットアップに関連付けて説明されているが、本発明の実施形態は、クラウドベースのモデルの様な他の様々な運用モデルにも等しく適用できる。また、ここに紹介されている技法は、特殊用途ハードウェア(例えば、回路構成)として、ソフトウェア及び/又はファームウェアに関して適切にプログラムされるプログラム可能回路構成として、又は特殊用途回路構成とプログラム可能回路構成の組合せとして、具現化させることができる。よって、実施形態は、処理を遂行するようコンピュータ(又は他の電子デバイス)をプログラムするのに使用することのできる命令を記憶させた機械可読媒体を含み得る。機械可読媒体には、限定するわけではないが、フロッピーディスケット、光ディスク、コンパクトディスク読み出し専用メモリ(CD−ROM)、光磁気ディスク、ROM、ランダムアクセスメモリ(RAM)、消去可能プログラム可能読み出し専用メモリ(EPROM)、電気的消去可能プログラム可能読み出し専用メモリ(EEPROM)、特定用途向け集積回路(ASIC)、磁気式又は光学式カード、フラッシュメモリ、又は電子的命令を記憶するのに適する他の型式の媒体/機械可読媒体が含まれよう。
用語法
本願全体を通して使用される用語、略語、及び語句の簡単な定義を以下に示す。
「接続されている」又は「連結されている」という用語及び関連語は、動作上の意味で使用されており、必ずしも直接の物理的接続又は連結に限定されるわけではない。よって、例えば、2つのデバイスは、直接に連結されていることもあれば、1つ又はそれ以上の中継の媒体又はデバイスを介して連結されていることもある。別の例として、デバイス(例えば、移動体デバイス、サーバ機械、など)は、何らの物理的接続も互いと共有していないにもかかわらず互いとの間で情報を受け渡すことのできるやり方で連結されていることがある。ここに提供されている開示に基づき、当業者には、上記定義に則った接続又は連結の様々な存在様式が認知されるであろう。
「幾つかの実施形態では」、「幾つかの実施形態によれば」、「示されている実施形態では」、「他の実施形態では」、など、の語句は、概して、当該語句の次にくる特定の特徴、構造、又は特性が、本発明の少なくとも1つの実施形に含まれている、及び1つより多くの実施形に含まれていることもあり得る、ということを意味する。加えて、その様な語句は、必ずしも同じ実施形態を又は異なった実施形態を指しているとは限らない。
本明細書が、或る構成要素又は特徴が、「含まれていることもある」、「含まれていてもよい」、「含まれ得る」、「含まれよう」、又は或る特性を「有していることもある」、「有していてもよい」、「有し得る」、「有していよう」と叙述している場合、当該特定の構成要素又は特徴は、含まれていること又は当該特性を有していることが必須とされているわけではない。
「モジュール」という用語は、広義に、ソフトウェア、ハードウェア、ファームウェア、又はサービス(又はそれらからなる何らかの組合せ)構成要素を指す。モジュールは、典型的には、有用なデータ又は他の出力を指定された(単数又は複数の)入力を使用して生成することのできる機能的構成要素である。モジュールは、内蔵型であってもよいし、内蔵型でなくてもよい。アプリケーションプログラム(「アプリケーション」とも呼ばれる)が1つ又はそれ以上のモジュールを含んでいることもあれば、モジュールが1つ又はそれ以上のアプリケーションプログラムを含んでいることもある。
全体としての説明
図1は、本発明の幾つかの実施形態を利用することのできるネットワークベースの環境100の一例を示している。図1に示されている様に、様々な企業管理型アプリケーション110A−110Nがユーザーデバイス120A−120N上で走っていよう。本発明の様々な実施形態によれば、ユーザーデバイス120A−120Nは、企業によって管理されていてもよいし、管理されていなくてもよい。ユーザーデバイス120A−120Nは、企業内サービス及びデータにアクセスするのに使用することのできる企業管理型アプリケーション110A−110Nを含んでいよう。ユーザーデバイス120A−120Nは、ネットワーク140を使用して企業内サービスからの情報を申し込み、読み出すことがある。ユーザーデバイス120A−120Nは、IOS(登録商標)又はANDROID(登録商標)の様な、デバイスのネイティブオペレーティングシステム上で走っているアプリケーションプログラミングインターフェース(API)を通じて、様々な企業サービスと対話することができる。
ゲートウェイ130は、企業管理型アプリケーション110A−110N及びユーザーデバイス120A−120Nのアクセスを管理する。ゲートウェイ130は、企業管理型アプリケーション110A−110Nと企業によって提供されているビジネス特定サービスの間の信頼関係を確認し確立するのに使用することができる。例えば、幾つかの実施形態では、企業管理型アプリケーション110A−110Nによって最初に提出されるデータ及び要求は、デバイスとゲートウェイ130の間をネットワーク140を介して転送される。ゲートウェイ130がデバイスの機密保護に納得したら、ゲートウェイ130は、アプリケーション管理プラットフォーム150内の何れかのビジネス特定サービス及び企業サービス160へのチャネルを開く。ゲートウェイ130及びアプリケーション管理プラットフォーム150内のサービスは、機密保護及びチェックの複数の独立した層を有していてもよい。
ユーザーデバイス120A−120Nは、ユーザー入力を受信することができると共にネットワーク140を介してデータを送信及び/又は受信することのできる何れかのコンピューティングデバイスとすることができる。1つの実施形態では、ユーザーデバイス120A−120Nは、パーソナルデジタルアシスタント(PDA)、移動体電話、スマートフォン、タブレット、着用型式の移動体コンピュータ、身体装着型コンピュータ、又は類似のデバイスの様な、コンピュータ機能性を有する何れかのデバイスとすることができる。ユーザーデバイス120A−120Nは、有線式及び/又は無線式の通信システムを使用するネットワーク140であってローカルエリアネットワーク及び/又はワイドエリアネットワークからなる何れかの組合せを備えていてもよいとされるネットワーク140を介して通信するように構成されていてもよい。1つの実施形態では、ネットワーク140は、標準通信技術及び/又はプロトコルを使用している。而して、ネットワーク140は、イーサネット(登録商標)、802.11、ワールドワイド・インターオペラビリティ・フォー・マイクロウェーブ・アクセス(WiMAX)、3G、4G、CDMA、デジタル加入者回線(DSL)、など、の様な技術を使用するリンクを含んでいよう。
同様に、ネットワーク140の様々な層内で使用されているネットワーキングプロトコルには、マルチプロトコルラベルスイッチング(MPLS)、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、ユーザーデータグラムプロトコル(UDP)、ハイパーテキスト輸送プロトコル(HTTP)、ハイパーテキスト輸送プロトコルセキュア(HTTPs)、簡易メール転送プロトコル(SMTP)、ファイル転送プロトコル(FTP)、安全ファイル転送プロトコル(SFTP)、及び/又は他のネットワーキングプロトコルが含まれよう。ネットワーク140上でやり取りされるデータは、ハイパーテキストマークアップ言語(HTML)又は拡張可能マークアップ言語(XML)を含む技術又はフォーマットを使用して表現されていてもよい。加えて、全てのリンク又は幾つかのリンクは、安全ソケット層(SSL)、輸送層機密保護(TLS)、及びインターネットプロトコル機密保護(IPsec)の様な、従来の暗号化技術を使用して暗号化することができる。
図2は、本発明の1つ又はそれ以上の実施形態による、企業管理型アプリケーションと企業サービスの間に束縛を作成するための例示としての動作のセット200に係る流れ図である。図2に示されている様に、インストール動作210が、企業制御アプリケーションを遠隔デバイスへインストールする。アプリケーションは、デバイスのエンドユーザー、企業からの個人、又は他のソース、によってインストールされよう。例えば、幾つかの実施形態では、アプリケーションは、アプリケーションストアから遠隔的にインストール又はダウンロードされるようになっている。アプリケーションがインストールされたら、認証動作220が、遠隔デバイスのユーザーに、フレームワークに対して認証させることのできる信用証明書のセットを提供するよう入力を促す。様々な機密保護プロトコル及び標準(例えば、パスワード、パスコード、時間ベースのトークン、暗号化されたデータ、自動ロック、など)が、遠隔デバイス及びアプリケーションの機密保護及び認証処理の一部として使用されよう。
認証動作230中、企業では、様々な認証チェック及び機密保護チェックが遂行される。幾つかの実施形態では、例えば、ユーザーから信用証明書のセットが受信されたら、認証要求が遠隔デバイス(即ち、クライアント)からゲートウェイサーバへ送られることになる。ゲートウェイサーバは、遠隔デバイスにて適用されるべき現在のポリシーを確定し、ポリシー情報をゲートウェイサーバから遠隔デバイスへ送る。次いで、デバイス特性がチェックされ、必要なら新しいコンテナ信用証明書が取得されることになる。ゲートウェイが、アプリケーションは企業内の1つ又はそれ以上のサーバへアクセスして当然であると判定した場合には、作成動作240が使用されて、アプリケーションと企業サービスの間に束縛が作成されることになる。
図3は、本発明の様々な実施形態による安全移動体フレームワークのための全体としてのアーキテクチャ300を示している。安全移動体フレームワークの構成要素は、移動体デバイス305上に記憶されている企業コンテンツを管理及び保護するのに使用することができる。幾つかの実施形態では、移動体デバイス305は、安全ストレージ310、ポリシー320、及び/又は移動体アプリケーション315のための認証ストア325、を含んでいてもよい。移動体アプリケーション315は、アプリケーションの下に置かれている仮想ファイルシステムを有していてもよい。幾つかの実施形態では、移動体アプリケーション315は1つ又はそれ以上の暫定キーを使用又は生成するようになっており、それらキーは複数の構成要素を有していることもある。暫定キーは、ファイル1つ1つをそれ独自のキーで暗号化するために仮想ファイルシステムの各パーティションに割り当てられるようになっていてもよい。
安全ストレージ310は、企業データを局所的に移動体デバイス305上に安全に記憶させることができる。安全ストレージ310は、ポリシー320を通じて単一ユニットとして管理されている保護ファイルのグループを含んでいよう。幾つかの実施形態では、企業コンテンツは、暗号化ファイルに記憶され、ランダムアクセス方式によりアクセスされるようになっていてもよい。加えて、様々な機構を使用して、暗号ブロックサイズをファイル単位で設定し、また同時にクライアントとサービスの間の同期コンテンツを支援するのに使用されるサイドカー索引ファイルを維持するようにしてもよい。保護ファイルは、ファイル毎の暗号化キー及びアプリケーションファイル名の間の翻訳を保持したりファイル名を難読化したりするのに単一のマスターファイルを使用している安全パーティションに保持される。この安全ファイルパーティション機構は、アプリケーションコンテンツを直接的に保障(securiteze)するのに使用されるのみならず、デバイス上でホストされるデータベースサーバ、ロギング、及び顧客サポートのためのテレメトリデータ、のための仮想ファイルシステムとして使用することもできる。
ポリシー320は、アプリケーション315が順守すべきとされる、企業によって設定されているアプリケーション特定(又はアプリケーション群)機密保護ポリシーとしてもよい。アプリケーション群とは、概して、共通ポリシーによって統制されるアプリケーションであって所与のユーザーについて所与のデバイス上での許可及び認証情報へのアクセスを共有するアプリケーションのグループ化を指す。ポリシー310は、デバイス上で許可、認証、及びデータ保障に使用される機密保護変数の値を含んでいてもよい。例えば、ポリシー320は、パスワード構造、どれほど長くデバイスをゲートウェイから切断されたままにしておくことができるか、何回までならユーザーは正しいパスワードの入力に失敗してもよいか、及び他の機密保護変数、を含んでいよう。
安全ファイルパーティションの更なる事例は認証ストア325であって、認証ストア325は、認証信用証明書(例えば、トークン及びアサーション)、ポリシー詳細事項、及び全ての他の安全ファイルパーティションマスターファイルを暗号化するのに使用されるマスター暗号化キー、を格納することができる。認証ストアマスターファイルストアは、ユーザーパスワード又はフレーズに基づいて生成される暫定キーで暗号化することができる。また、認証ストア325は、デバイス上の複数のアプリケーションの間で共有され、企業アクセス及び暗号化コンテンツ共有のための共通ストアが形成されるようにしていてもよい。
アプリケーション315及び対応する構成要素が移動体デバイス305上にインストールされたら、アプリケーション315は、1つ又はそれ以上のデバイス機密保護チェックに合格した後、サーバ330又は仮想機械335上で走る企業内の1つ又はそれ以上の内部サービスへのアクセスを要求することができる。アプリケーション315からの要求はまず境界ゲートウェイ340に受信され、そこで中継層345へのアプリケーションアクセスを許容する段階の前に認証の第1ラウンドが確立される。中継層345は、ユーザーを認証し、アプリケーション315によって施行されようとしているポリシーが最新であることを保証する。加えて、移動体デバイステレメトリ及び構成の諸設定が、収集され、処理され、分析され、評価され、及び/又はデータベース350内に記録されるようになっていてもよい。この情報は、不正又は異常検知の様々な表示を(例えば、リアルタイム又はほぼリアルタイムで)作成する場合に有用となろう。中継層345は、更に、アプリケーション315が移動体アプリケーションストア350の中へログインできるようにする。加えて、アプリケーション315とサーバ330の間の介在物としてプロキシ355が使用されていてもよい。
図4は、本発明の幾つかの実施形態による、企業管理型アプリケーションを許可するための例示としての動作のセット400を示す流れ図である。受信動作410中に、企業管理型アプリケーションからの要求が受信される。要求は、アプリケーションが接続したがっている名指しされた企業内サービスを識別している。開始動作420が境界ゲートウェイとの安全接続を開始する。次いで、境界ゲートウェイは、ポリシー確認動作430を使用して、デバイス上で機能するポリシーが最新であることを保証し、そしてユーザー確認動作440で、ユーザーが企業サービスにアクセスすることをまだ許可されていることを保証する。
ポリシーとユーザーの妥当性確認が成功した場合、次いで妥当性確認動作450がゲートウェイでユーザーの認証信用証明書を妥当性確認する。次いで提出動作460中に企業信用証明書が宛先サービスへ受け渡されると、そこでは確認動作470中に認証及び許可が行われる。認証が成功し次第、束縛動作480がアプリケーションと名指しされたサービスの間に束縛を作成する。
図5は、本発明の1つ又はそれ以上の実施形態による、企業サービスと遠隔デバイス上で走る企業管理型アプリケーションの間に安全チャネルを作成するための例示としての動作のセット500を示す流れ図である。図5に示されている様に、ユーザーは、立ち上げ動作510中に、クライアントデバイス上で走る企業管理型アプリケーションを立ち上げる。アプリケーションは、ユーザーに、コンテナ信用証明書のセットについて入力を促す。クライアントデバイスは、ユーザーから信用証明書を受け取ったら、暗号化動作520を使用して企業のサーバゲートウェイ相手のデータ及び通信を暗号化する。
企業管理型アプリケーションは、ゲートウェイ相手に認証するのにフレームワーク認証トークン(FAT)を、またサービス相手に認証するのに企業認証トークン(EAT)を使用することができる。妥当性確認動作530が、FATの妥当性を(例えば、フレームワーク認証システムを使用して)判定する。すると、サーバ許可部が、企業サービスへの安全接続を作成するための1つ又はそれ以上のトークンを構築することができる。例えば、幾つかの実施形態では、サーバ許可部は、ユーザーid、アプリケーションid、及びデバイスidから成るユーザー束縛トークン(UBT)を作成することができる。加えて、FATは、UBT、EAT、及び有効期限を束縛することによって作成されていてもよい。加えて、サーバ許可部は、ユーザーが企業にアクセスすることを許可されているかどうかを判定するようになっていてもよい。安全移動体フレームワークサーバは、ユーザーが対話することのできる企業サービスに基づいてポリシーを構築することができる。ポリシー内の情報には、FATの有効期限、FATが失効したときにユーザーが遂行しなくてはならない企業認証の型式、及び移動体デバイス上のデータを安全確保するのに使用される他のポリシー情報、を含めることができる。こうして、安全移動体フレームワークサーバゲートウェイは、移動体デバイスにFAT及びポリシーを応返する。
呼び出し側のクライアント(例えば、移動体デバイス)は、認証ストアを使用してFAT及びポリシーコンテンツを保存することができる。次いで、アプリケーションは、ポリシー施行が確認され次第、生成動作540を使用して接続要求を生成することができる。次いで、作成動作550が、企業管理型アプリケーションと企業サービスの間に安全チャネルを作成する。例えば、アプリケーションは、クライアント安全移動体フレームワークに、特定の企業サービスへ接続するように何らかの正準名(canonical name)を使用して依頼することができる。するとフレームワークは、サービス名をUBT共々、同じ接続上で安全移動体フレームワークサーバサービス認証部へ送る。サービス認証部は、UBTが当該宛先へ接続するのを許容されているかどうかを判定する。
安全移動体フレームワークサーバサービスルータが、次いで、正準名をサービスの実アドレスへマップし、接続を確立する。移動体アプリケーションは、企業認証が成功裏に完了したら、これより安全確保されたチャネル上で自由に通信することができる。以降の接続要求に際し、アプリケーションは安全移動体フレームワークに特定のサービスへ接続するように何らかの正準名を使用して依頼する。すると安全移動体フレームワークは、サービス名をUBT及びEAT共々、安全移動体フレームワークゲートウェイへ送る。幾つかの実施形態では、次にアプリケーションがサービスと接続しようと試みたときに、ユーザーが入力した企業信用証明書ではなしにこの情報が、少なくともFATが失効するまでは、使用されることになる。
図6は、本発明の様々な実施形態と共に使用することのできる安全移動体フレームワーク上に築かれたアプリケーションの一例である。図6に示されている様に、ウェブブラウザ605は、カスタムプロトコルにラップされていてもよいとされる標準HTTP/S要求を生成することのできるウェブブラウザの実施形を表現している。ウェブブラウザ605は、通信API610を使用してゲートウェイへの接続を確立することができる。幾つかの実施形態では、通信API610は、ユーザーを認証するにあたり安全ファクトリAPI615にアクセスするように安全ソケット層(SSL)の上に築かれていてもよい。典型的なウェブベースのアプリケーションは、サーバ及び履歴URLと共有されるクッキーの様なデータのストレージを必要とする。図6に示されているウェブブラウザの実施形は、ストレージAPI620及び安全ファイルパーティションマネジャを使用して、オペレーティングシステムの下層のファイルシステム625を利用する前にデータを暗号化する。
通信API610は、安全キーストア630を使用して企業ゲートウェイとの接続を確立するために、ユーザーの生の信用証明書又は記憶されているトークンを入手する。例えば、ユーザーの信用証明書を受信し次第、安全キーが安全キーストア630から読み出されるようになっていてもよい。このキーを使用してキーチェーンにアクセスすることができ、アクセスした後にフレームワークのサブコンポーネントが初期化されることになる。システム管理635は、デバイス/アプリケーションから、アプリケーションと関連付けられる現在のポリシーの識別を受信することができる。ポリシー管理640を使用すれば、アプリケーションと関連付けられる現在のポリシーが最新であるか又は更新される必要があるかに関して判定を下すことができる。システム管理635は、確実に、適正なロギング、仮想ファイルシステム管理、及びページキャッシングが起こるようにすることができる。
許可及び認証が成功し次第、ゲートウェイは、通信API610からのポリシー及びデバイス情報を要求する。妥当性確認が成功し次第、ゲートウェイは、企業内でHTTP/S呼び出しを行うことのできるウェブブラウザプロキシサービスへの接続を束縛することができる。するとウェブブラウザ605がラップされているHTTP/S要求をこのチャネルを通して送信する。
図7は、本発明の幾つかの実施形態による、企業内のサーバ710にアクセスする遠隔デバイス705を示している。図7に示されている様に、本発明の様々な実施形態は、遠隔デバイス705がマルチレベルの認証処理を経て企業にアクセスできるようにしている。例えば、企業内のサーバ710上で走るエンドポイントサービスへ接続するために、幾つかの実施形態では、コンテナ認証、フレームワーク認証、及び企業認証が、全て成功裏に完了されなくてはならない。多くの従来の認証システムであれば、移動体デバイス上のアプリケーションを使用するためには、ユーザーが典型的にパスワードを入力してデバイスをロック解除し、次いで遠隔デバイスに対して認証するためにユーザー名とパスワードを供給する、ということが求められるところである。対照的に、本発明の様々な実施形態は、複数の機密保護層を使用した末に始めてデバイス上のデータへのアクセス又は遠隔サービスへの接続が許容される。
アプリケーション715が立ち上がり次第、要求が遠方移動体コンテンツゲートウェイ720へ送られる。遠方移動体コンテンツゲートウェイ720の主積層725内で、ユーザーとデバイスの妥当性確認及び認証が承認される。例えば、幾つかの実施形態では、企業認証システム730(例えば、RSA(登録商標)又はKerberos(商標))を使用することができる。幾つかの実施形態では、認証処理は、ユーザー名、ホワイトリストチェック、ポリシーチェック、及び/又は宛先チェックを含むことができる。加えて、デバイスのテレメトリ及び構成が監視され第2の中継認証層へ送信されるようになっていてもよい。これらは、ユーザー、デバイス、及びアプリケーションを認証させることができる。
ユーザー、デバイス、及びアプリケーションが認証されたら、サーバ710相手に接続が確立されることになる。多くの実施形態は、ユーザー、デバイス、及びアプリケーションの認証中に作成された様々なトークンを、サーバ710との接続を確立するために使用する。遠方移動体コンテンツゲートウェイ720は、企業内のサーバへのアクセスについての追加の認証サービスのために移動体ゲートウェイサービス735と接続することができる。例えば、幾つかの実施形態では、ユーザーがパスワード又は他の認証信用証明書をアプリケーション715内に入力すれば、それを使用してデバイス上に局所的に記憶されているデータが復号されるようにしている。そうすれば、ユーザーは、遠隔環境上で走るゲートウェイ処理へFATを提示すればよい。ゲートウェイ処理は、FATを使用して、ユーザー及びデバイスを許可及び認証する。今度は、何れかの特定のサービスにアクセスするため、ユーザーはEATを遠隔サービスへ提示しようとするはずである。幾つかの実施形態では、FAT及びEATは、1つ又はそれ以上のプラガブル形式の認証(例えば、タイムコード+ピン、生体認証、パスワード、など)を事前に形成した後にデバイス上に局所的に記憶されるようになっている。
幾つかの実施形態では、認証の形式は、所定のスケジュールで(例えば、周期的に)又は1つ又はそれ以上の事象が検知された時点でローテーションさせることができる。例えば、ゲートウェイは、現在の認証形式を移動体デバイスへ安全に送信して、それを安全ストアに記憶させることができる。図7は、HTTPS及びTLSの様な、使用できる安全接続の例を示しているが、本発明の他の実施形態は、システム構成要素間のメッセージング及びデータ転送のために接続を作成するのに異なったプロトコルを使用することもできる。
図8は、本発明の1つ又はそれ以上の実施形態による、デバイスアプリケーションと企業の間の初期認証フローを示すシーケンス線図である。図8に示されている様に、ユーザーがデバイスアプリケーションを立ち上げる。完全性検知処理を使用して、期待されるOS完全性が存在しているかどうかが判定される。例えば、完全性検知処理は、デバイスが高位の許可されていない特権(例えば、ルート化又はジェイルブレイク)モードで動作していないかどうかを判定することができる。デバイスアプリケーションは、ノード識別子(例えば、Kerberos(商標)ID)及び認証パスワードを要求する。その時点でデバイス識別子がデバイスから入手される。次いで、初期認証要求が遠方コンテンツゲートウェイへ(例えば、安全接続を使用して)提出されることになる。初期認証要求は、認証パスワード、デバイス識別子、アプリケーション群、デバイス形式、及び/又は他の情報、を含んでいよう。すると、遠方コンテンツゲートウェイは、認証要求を認証サービスへ送ることになる。認証サービスがユーザーを認証したら、UBTが移動体認証サービスによって登録される。
移動体認証サービスは、アクセスを許可し、UBTを生成し、そしてデバイス識別子、ユーザー名、アプリケーション群、及びUBTを記憶する。移動体認証サービスは、UBT及び認証トークンに署名したうえで、ポリシー、UBT、及びデジタル署名を遠方コンテンツゲートウェイへ戻す。すると、遠方コンテンツゲートウェイは、FATを生成し、それが、ポリシー、UBT、及びデジタル署名と共にデバイスアプリケーションへ戻される。場合によっては、ポリシーは、デバイスアプリケーションに安全コンテナのための新しいパスワードを要求するように求めることもある。そうすれば、FAT、UBT、及びデジタル署名は、パスワードでロックすることのできる安全コンテナに記憶させることができる。
図9は、本発明の様々な実施形態による、デバイスアプリケーションと企業の間の連続的な認証フローを示すシーケンス線図である。図9に示されている実施形態では、ユーザーがデバイスアプリケーションを立ち上げる。すると、オペレーティングシステム完全性チェック(例えば、ジェイルブレイク検知処理)を使用して、オペレーティングシステムの完全性が危うくなっていないかどうかが判定される。オペレーティングシステム完全性チェックがオペレーティングシステムは期待通りでないと判定した場合、アプリケーションはゲートウェイと接続できなくなってしまう。オペレーティングシステムの完全性が期待通りである場合、デバイスアプリケーションは、ユーザーから安全コンテナパスワードを読み出し、安全コンテナをロック解除して現在のポリシーを読み出す。デバイスアプリケーションは、ポリシーの施行をチェックし、遠方コンテンツゲートウェイへ接続する。遠方コンテンツゲートウェイは、UBT及び認証トークンのデジタル署名をチェックする。遠方コンテンツゲートウェイは、更に、ディレクトリをチェックしてユーザー名の状態及びUBTがホワイトリストに載っているかどうかをチェックすることになる。
デバイスアプリケーションは、デバイスアプリケーションが接続したいと思っている企業サービスの正準名を提出する。遠方コンテンツゲートウェイは、宛先サービスモジュールを使用して、UBTが当該サービスへ接続するのを許容されているかどうかを判定する。UBTが接続を許容されている場合には、遠方コンテンツゲートウェイは、企業サービス又は当該サービスへのプロキシへの接続を束縛する。成功コードが遠方コンテンツゲートウェイからデバイスアプリケーションへ最新のポリシーバージョンと共に戻される。デバイスアプリケーションは、戻されたばかりのポリシーバージョンが安全コンテナから読み出されたポリシーを上回るかどうかをチェックして見極める。当該ポリシーバージョンが上回っている場合、新しいポリシーが適用される。次いで、FATが安全コンテナから読み出され、遠方コンテンツゲートウェイとの会話を開始できるようになる。
例示としてのコンピュータシステムの概観
本発明の実施形態は、以上に説明されてきた様々な段階及び動作を含んでいる。様々なこれらの段階及び動作は、本発明の実施形態の中で使用されている移動体デバイス、サーバ、又は他のコンピュータシステムの一部であるハードウェア構成要素によって遂行されていてもよい。幾つかの実施形態では、これらの段階及び動作は、機械実行可能命令に具現化され、当該命令をプログラムされた一般用途又は特定用途のプロセッサにそれら段階を遂行させるのに使用されるようになっていてもよい。代わりに、それら段階は、ハードウェア、ソフトウェア、及び/又はファームウェアの組合せによって遂行されるようになっていてもよい。而して、図10は、本発明の幾つかの実施形態を利用することのできるコンピュータシステム1000の一部として使用される幾つかの構成要素を示している。図10に示されている様に、コンピュータシステムは、バス1010、少なくとも1つのプロセッサ1020、少なくとも1つの通信ポート1030、主メモリ1040、取り外し可能な記憶媒体1050、読み出し専用メモリ1060、及び大容量ストレージ1070、を含んでいてもよい。場合によっては、コンピュータシステム1000は、取り外し可能な記憶媒体1050、大容量ストレージ1070、及び同種物、の様なローカルストレージを一切含んでいないこともあろう。
(単数又は複数の)プロセッサ1020は、限定するわけではないが、Intel(登録商標)Itanium(登録商標)又はItanium 2(登録商標)プロセッサ、AMD(登録商標)Opteron(登録商標)又はAthlon MP(登録商標)プロセッサ、ARMベースのプロセッサ、又はMotorola(登録商標)系統のプロセッサの様な、何れかの既知のプロセッサとすることができる。(単数又は複数の)通信ポート1030は、モデムベースのダイアルアップ式接続に係る使用のためのRS−232ポート、10/100イーサネット(登録商標)ポート、又は銅線又はファイバを使用するギガビットポート、のうちの何れかとすることができる。(単数又は複数の)通信ポート1030は、ローカルエリアネットワーク(LAN)、ワイドエリアワークネットワーク(WAN)、又はコンピュータシステム1000が接続している何れかのネットワークの様な、ネットワークに依存して選定されていてもよい。
主メモリ1040は、ランダムアクセスメモリ(RAM)又は当技術で一般的に知られている何れかの他の(単数又は複数の)動的ストレージデバイスとすることができる。読み出し専用メモリ1060は、プロセッサのための命令の様な静的情報を記憶するためのプログラマム可能読み出し専用メモリ(PROM)チップの様な、何れかの(単数又は複数の)静的ストレージデバイスとすることができる。
大容量ストレージ1070は、情報及び命令を記憶するのに使用することができる。例えば、Adaptec(登録商標)系のSCSIドライブの様なハードディスク、光ディスク、RAIDの様なディスクのアレイであって例えばAdaptec系のRAIDドライブ、又は何れかの他の大容量ストレージデバイス、が使用されてもよい。
バス1010は、(単数又は複数の)プロセッサ1020を、他のメモリ、ストレージデバイス、及び通信のブロックと、通信可能に連結する。バス1010は、使用されるストレージデバイスに依存して、PCI/PCI−Xベース又はSCSIベースのシステムバスとすることができる。
取り外し可能な記憶媒体1050は、外部ハードドライブ、フロッピードライブ、IOMEGA(登録商標)Zipドライブ、コンパクトディスク−読み出し専用メモリ(CD−ROM)、コンパクトディスク−書き込み可能(CD−RW)、及び/又はデジタルビデオディスク−読み出し専用メモリ(DVD−ROM)の何れかの種類であってもよい。
上述の構成要素は、候補の数型式を典型的に示そうとしたものである。上記の例は、単に例示としての実施形態であることから、発明の範囲を一切限定するものではない。また、本発明の実施形態によって企図されているコンピュータシステムの幾つか(例えば、サーバ、クライアント、移動体デバイス、など)は、これらの構成要素全てを含んでいるとは限らない。加えて、コンピュータシステムの幾つかは、図10に示されているものとは異なった構成及び/又は追加の構成要素を含んでいてもよい。例えば、幾つかのコンピュータシステム(例えば、移動体デバイス)は、GPSユニット及び様々な型式のI/Oデバイス(例えば、タッチスクリーン、視線追跡モジュール、自然言語プロセッサ、LCD、キーボード、など)を含んでいる場合もあろう。
総括すると、本発明は、企業管理型アプリケーションにとっての安全移動体フレームワークのための新規性のあるシステム、方法、及び配列を提供している。本発明の1つ又はそれ以上の実施形態の詳細な説明が以上に与えられているが、本発明の精神から外れることなく、様々な代替物、修正物、及び等価物が当業者には自明であろう。例えば、以上に説明されている実施形態は特定の特徴に言及しているが、本発明の範囲は、特徴の異なった組合せを有する実施形態及び記載されている特徴全てを含んでいるとは限らない実施形態も包含している。
100 ネットワークベースの環境
110A、110B、110N 企業管理型アプリケーション
120A、120B、120N ユーザーデバイス
130 ゲートウェイ
140 ネットワーク
150 アプリケーション管理プラットフォーム
160 企業サービス
300 安全移動体フレームワークの全体的なアーキテクチャ
305 移動体デバイス
310 安全ストレージ
315 移動体アプリケーション
320 ポリシー
325 認証ストア
330 サーバ
335 仮想機械
340 境界ゲートウェイ
345 中継層
350 データベース、移動体アプリケーションストア
355 プロキシ
605 ウェブブラウザ
610 通信API
615 安全ファクトリAPI
620 ストレージAPI
625 ファイルシステム
630 安全キーストア
635 システム管理
640 ポリシー管理
705 遠隔デバイス
710 サーバ
715 アプリケーション
720 遠方移動体コンテンツゲートウェイ
725 主積層
730 企業認証システム
735 移動体ゲートウェイサービス
1000 コンピュータシステム
1010 バス
1020 プロセッサ
1030 通信ポート
1040 主メモリ
1050 取り外し可能な記憶媒体
1060 読み出し専用メモリ
1070 大容量ストレージ

Claims (23)

  1. ゲートウェイにて、開始デバイス上で動作する企業管理型アプリケーションと企業サービスの間のサービス接続を確立するために、前記開始デバイスから、エンドユーザ、前記企業管理型アプリケーション及び前記開始デバイスを認証するための認証要求を受信する段階であって、
    当該認証要求は、前記エンドユーザと関連付けられる認証信用証明書、デバイス識別子、及び共通アプリケーション群機密保護ポリシーにより統制されるアプリケーション群の表示を含み、前記アプリケーション群におけるアプリケーションは所与のユーザーに対して所与のデバイスについての許可及び認証情報へのアクセスを共有する、段階と、
    有効期限を有するフレームワーク認証トークン及び前記共通アプリケーション群機密保護ポリシーを生成する段階であって、
    前記フレームワーク認証トークンは、前記エンドユーザと関連付けられる前記信用証明書、前記デバイス識別子、前記アプリケーション群、及び前記デバイス識別子と関連付けられるデバイスの型式を合体させた固有の表現を用いて生成される、段階と、
    前記フレームワーク認証トークン及び前記共通アプリケーション群機密保護ポリシーを前記開始デバイスへ送信する段階であって、
    前記開始デバイスは、受信し次第、前記フレームワーク認証トークン及び前記共通アプリケーション群機密保護ポリシーに基づいてサービス接続要求を開始し前記サービス接続要求は前記企業サービスの正準名を含む、段階と、
    前記開始デバイスから、前記サービス接続要求を受信する段階と、
    前記サービス接続要求の妥当性確認が成功し次第、前記企業サービスと関連付けられるアドレスに前記企業サービスの正準名をマップする段階と、
    前記企業サービスと関連付けられるアドレスを用いて、前記企業サービスと前記開始デバイスの間の安全接続を作成する段階と、を備える方法。
  2. 前記開始デバイスへ送信される何れかのデータは、前記企業管理型アプリケーションしかアクセスできない安全コンテナ内に記憶される、請求項に記載の方法。
  3. 前記開始デバイス及び前記企業管理型アプリケーションについての情報を収集する段階を更に備える、請求項1に記載の方法。
  4. 前記企業管理型アプリケーションを管理するにたり前記開始デバイスが制定するべきポリシーを確定する段階を更に備える、請求項に記載の方法。
  5. 前記企業が前記開始デバイスは前記ポリシーを制定しようとしていると確認できなければ、前記安全接続は作成されなくなってしまう、請求項に記載の方法。
  6. 前記開始デバイスのテレメトリ及び構成を能動的に監視する段階を更に備える、請求項1に記載の方法。
  7. 前記安全接続が終了したところにおいて、
    前記ゲートウェイにて、前記開始デバイスから、前記フレームワーク認証トークンを含む第2のサービス接続要求を受信する段階と、
    前記企業サービスと関連付けられるアドレスを用いて、前記企業サービスと前記開始デバイスの間の第2の安全接続を確立する前に前記フレームワーク認証トークンを用いて前記デバイス及びエンドユーザを認証する段階と、を更に備える請求項1に記載の方法。
  8. 非一時的コンピュータ可読媒体であって、1又は複数のプロセッサにより実行されるとき機械に、
    開始デバイス上で動作する企業管理型アプリケーションと企業サービスの間のサービス接続を確立するために、前記開始デバイスからエンドユーザ、前記企業管理型アプリケーション及び前記開始デバイスを認証するための認証要求を受信させ、
    当該認証要求は、前記エンドユーザと関連付けられる認証信用証明書、デバイス識別子、及び共通アプリケーション群機密保護ポリシーにより統制されるアプリケーション群の表示を含み、前記アプリケーション群におけるアプリケーションが所与のユーザーに対して所与のデバイスについての許可及び認証情報へのアクセスを共有するものであり、
    有効期限を有するフレームワーク認証トークン及び前記共通アプリケーション群機密保護ポリシーを生成させ、
    前記フレームワーク認証トークンは、前記エンドユーザと関連付けられる前記信用証明書、前記デバイス識別子、前記アプリケーション群、及び前記デバイス識別子と関連付けられるデバイスの型式を合体させた固有の表現を用いて生成されるものであり、
    前記フレームワーク認証トークン及び前記共通アプリケーション群機密保護ポリシーを前記開始デバイスへ送信させ、
    前記フレームワーク認証トークン及び前記共通アプリケーション群機密保護ポリシーに基づいて、前記開始デバイスからサービス接続要求を受信させ、
    前記サービス接続要求は前記企業サービスの正準名を含むものであり、
    前記サービス接続要求の妥当性確認が成功し次第、前記企業サービスと関連付けられるアドレスに前記企業サービスの正準名をマップさせ、及び
    前記企業サービスと関連付けられるアドレスを用いて、前記企業サービスと前記開始デバイスの間の安全接続を作成させる、
    命令を含む非一時的コンピュータ可読媒体。
  9. 前記開始デバイスへ送信される何れかのデータは、前記企業管理型アプリケーションしかアクセスできない安全コンテナ内に記憶される、請求項8に記載の非一時的コンピュータ可読媒体。
  10. 前記命令は、前記1又は複数のプロセッサにより実行されるとき前記機械に、更に、
    前記開始デバイス及び前記企業管理型アプリケーションについての情報を収集させる、請求項8に記載の非一時的コンピュータ可読媒体。
  11. 前記命令は、前記1又は複数のプロセッサにより実行されるとき前記機械に、更に、
    前記企業管理型アプリケーションを管理するにあたり前記開始デバイスが制定するべきポリシーを確定させる、請求項8に記載の非一時的コンピュータ可読媒体。
  12. 前記企業が前記開始デバイスは前記ポリシーを制定しようとしていると確認できなければ、前記安全接続は作成されなくなってしまう、請求項11に記載の非一時的コンピュータ可読媒体。
  13. 前記命令は、前記1又は複数のプロセッサにより実行されるとき前記機械に、更に、
    前記開始デバイスのテレメトリ及び構成を能動的に監視させる、請求項8に記載の非一時的コンピュータ可読媒体。
  14. 前記安全接続が終了したところにおいて、前記命令は、前記1又は複数のプロセッサにより実行されるとき前記機械に、更に、
    前記開始デバイスから、前記フレームワーク認証トークンを含む第2のサービス接続要求を受信させ、
    前記企業サービスと関連付けられるアドレスを用いて、前記企業サービスと前記開始デバイスの間の第2の安全接続を確立する前に前記フレームワーク認証トークンを用いて前記デバイス及びエンドユーザを認証させる、請求項8に記載の非一時的コンピュータ可読媒体。
  15. 開始デバイス上で動作する企業管理型アプリケーションと企業サービスの間のサービス接続を確立するために、前記開始デバイスから、エンドユーザ、前記企業管理型アプリケーション及び前記開始デバイスを認証するための認証要求を受信する手段であって、
    当該認証要求は、前記エンドユーザと関連付けられる認証信用証明書、デバイス識別子、及び共通アプリケーション群機密保護ポリシーにより統制されるアプリケーション群の表示を含み、前記アプリケーション群におけるアプリケーションは所与のユーザーに対して所与のデバイスについての許可及び認証情報へのアクセスを共有する、手段と、
    有効期限を有するフレームワーク認証トークン及び前記共通アプリケーション群機密保護ポリシーを生成する手段であって、
    前記フレームワーク認証トークンは、前記エンドユーザと関連付けられる前記信用証明書、前記デバイス識別子、前記アプリケーション群、及び前記デバイス識別子と関連付けられるデバイスの型式を合体させた固有の表現を用いて生成されるものである、手段と、
    前記フレームワーク認証トークン及び前記共通アプリケーション群機密保護ポリシーを前記開始デバイスへ送信する手段と、
    前記フレームワーク認証トークン及び前記共通アプリケーション群機密保護ポリシーに基づいて、前記開始デバイスからサービス接続要求を受信する手段であって、
    前記サービス接続要求は前記企業サービスの正準名を含む、手段と、
    前記サービス接続要求の妥当性確認が成功し次第、前記企業サービスと関連付けられるアドレスに前記企業サービスの正準名をマップする手段と、
    前記企業サービスと関連付けられるアドレスを用いて、前記企業サービスと前記開始デバイスの間の安全接続を作成する手段と、を備えるシステム。
  16. 前記開始デバイスへ送信される何れかのデータは、前記企業管理型アプリケーションしかアクセスできない安全コンテナ内に記憶される、請求項15に記載のシステム。
  17. 前記開始デバイス及び前記企業管理型アプリケーションについての情報を収集する手段を更に備える、請求項15に記載のシステム。
  18. 前記企業管理型アプリケーションを管理するにあたり前記開始デバイスが制定するべきポリシーを確定するための手段を更に備える、請求項15に記載のシステム。
  19. 前記企業が前記開始デバイスは前記ポリシーを制定しようとしていると確認できなければ、前記安全接続は作成されなくなってしまう、前記請求項18に記載のシステム。
  20. 前記開始デバイスのテレメトリ及び構成を能動的に監視する手段を更に備える、請求項15に記載のシステム。
  21. 前記安全接続は、前記開始デバイスが前記企業サービスと自由に通信できるような安全チャネルである、請求項1に記載の方法。
  22. 前記安全接続は、前記開始デバイスが前記企業サービスと自由に通信できるような安全チャネルである、請求項8に記載の非一時的コンピュータ可読媒体。
  23. 前記安全接続は、前記開始デバイスが前記企業サービスと自由に通信できるような安全チャネルである、請求項15に記載のシステム。
JP2016167495A 2012-03-30 2016-08-30 安全移動体フレームワーク Active JP6207696B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201261618511P 2012-03-30 2012-03-30
US61/618,511 2012-03-30
US201361806763P 2013-03-29 2013-03-29
US61/806,763 2013-03-29

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2015503684A Division JP6004408B2 (ja) 2012-03-30 2013-04-01 安全移動体フレームワーク

Publications (2)

Publication Number Publication Date
JP2016201149A JP2016201149A (ja) 2016-12-01
JP6207696B2 true JP6207696B2 (ja) 2017-10-04

Family

ID=49236902

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2015503684A Active JP6004408B2 (ja) 2012-03-30 2013-04-01 安全移動体フレームワーク
JP2016167496A Active JP6207697B2 (ja) 2012-03-30 2016-08-30 安全移動体フレームワーク
JP2016167495A Active JP6207696B2 (ja) 2012-03-30 2016-08-30 安全移動体フレームワーク

Family Applications Before (2)

Application Number Title Priority Date Filing Date
JP2015503684A Active JP6004408B2 (ja) 2012-03-30 2013-04-01 安全移動体フレームワーク
JP2016167496A Active JP6207697B2 (ja) 2012-03-30 2016-08-30 安全移動体フレームワーク

Country Status (6)

Country Link
US (3) US9565212B2 (ja)
EP (1) EP2831718A4 (ja)
JP (3) JP6004408B2 (ja)
CN (1) CN104718526B (ja)
CA (1) CA2868896C (ja)
WO (1) WO2013149257A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9816657B2 (en) 2011-08-01 2017-11-14 Sanoh Industrial Co., Ltd. Pipe fitting

Families Citing this family (101)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8989705B1 (en) 2009-06-18 2015-03-24 Sprint Communications Company L.P. Secure placement of centralized media controller application in mobile access terminal
US9692732B2 (en) * 2011-11-29 2017-06-27 Amazon Technologies, Inc. Network connection automation
US9027102B2 (en) 2012-05-11 2015-05-05 Sprint Communications Company L.P. Web server bypass of backend process on near field communications and secure element chips
US8862181B1 (en) 2012-05-29 2014-10-14 Sprint Communications Company L.P. Electronic purchase transaction trust infrastructure
US9282898B2 (en) 2012-06-25 2016-03-15 Sprint Communications Company L.P. End-to-end trusted communications infrastructure
US9066230B1 (en) 2012-06-27 2015-06-23 Sprint Communications Company L.P. Trusted policy and charging enforcement function
US8649770B1 (en) 2012-07-02 2014-02-11 Sprint Communications Company, L.P. Extended trusted security zone radio modem
KR102059643B1 (ko) * 2012-07-06 2019-12-26 삼성전자주식회사 디바이스 관리 방법과 서버, 시스템 및 모바일 장치
US8667607B2 (en) 2012-07-24 2014-03-04 Sprint Communications Company L.P. Trusted security zone access to peripheral devices
US8863252B1 (en) 2012-07-25 2014-10-14 Sprint Communications Company L.P. Trusted access to third party applications systems and methods
US9183412B2 (en) 2012-08-10 2015-11-10 Sprint Communications Company L.P. Systems and methods for provisioning and using multiple trusted security zones on an electronic device
US9015068B1 (en) 2012-08-25 2015-04-21 Sprint Communications Company L.P. Framework for real-time brokering of digital content delivery
US9215180B1 (en) 2012-08-25 2015-12-15 Sprint Communications Company L.P. File retrieval in real-time brokering of digital content
US8954588B1 (en) 2012-08-25 2015-02-10 Sprint Communications Company L.P. Reservations in real-time brokering of digital content delivery
GB2525742A (en) * 2012-09-18 2015-11-04 Cryptomathic Ltd CRM Security core
US9767854B2 (en) 2013-01-23 2017-09-19 Steven Schoenwald Video content distribution package
WO2014116873A1 (en) 2013-01-23 2014-07-31 Schoenwald Steven Video content distribution package
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9161227B1 (en) 2013-02-07 2015-10-13 Sprint Communications Company L.P. Trusted signaling in long term evolution (LTE) 4G wireless communication
US9104840B1 (en) 2013-03-05 2015-08-11 Sprint Communications Company L.P. Trusted security zone watermark
US9613208B1 (en) 2013-03-13 2017-04-04 Sprint Communications Company L.P. Trusted security zone enhanced with trusted hardware drivers
US8881977B1 (en) 2013-03-13 2014-11-11 Sprint Communications Company L.P. Point-of-sale and automated teller machine transactions using trusted mobile access device
US9049186B1 (en) 2013-03-14 2015-06-02 Sprint Communications Company L.P. Trusted security zone re-provisioning and re-use capability for refurbished mobile devices
US9049013B2 (en) 2013-03-14 2015-06-02 Sprint Communications Company L.P. Trusted security zone containers for the protection and confidentiality of trusted service manager data
US9191388B1 (en) 2013-03-15 2015-11-17 Sprint Communications Company L.P. Trusted security zone communication addressing on an electronic device
US8984592B1 (en) 2013-03-15 2015-03-17 Sprint Communications Company L.P. Enablement of a trusted security zone authentication for remote mobile device management systems and methods
US9021585B1 (en) 2013-03-15 2015-04-28 Sprint Communications Company L.P. JTAG fuse vulnerability determination and protection using a trusted execution environment
US9374363B1 (en) 2013-03-15 2016-06-21 Sprint Communications Company L.P. Restricting access of a portable communication device to confidential data or applications via a remote network based on event triggers generated by the portable communication device
US9171243B1 (en) 2013-04-04 2015-10-27 Sprint Communications Company L.P. System for managing a digest of biographical information stored in a radio frequency identity chip coupled to a mobile communication device
US9454723B1 (en) 2013-04-04 2016-09-27 Sprint Communications Company L.P. Radio frequency identity (RFID) chip electrically and communicatively coupled to motherboard of mobile communication device
US9324016B1 (en) 2013-04-04 2016-04-26 Sprint Communications Company L.P. Digest of biographical information for an electronic device with static and dynamic portions
US9838869B1 (en) 2013-04-10 2017-12-05 Sprint Communications Company L.P. Delivering digital content to a mobile device via a digital rights clearing house
US9443088B1 (en) 2013-04-15 2016-09-13 Sprint Communications Company L.P. Protection for multimedia files pre-downloaded to a mobile device
US9058503B2 (en) 2013-05-10 2015-06-16 Successfactors, Inc. Systems and methods for secure storage on a mobile device
US9344426B2 (en) * 2013-05-14 2016-05-17 Citrix Systems, Inc. Accessing enterprise resources while providing denial-of-service attack protection
US9069952B1 (en) 2013-05-20 2015-06-30 Sprint Communications Company L.P. Method for enabling hardware assisted operating system region for safe execution of untrusted code using trusted transitional memory
US9560519B1 (en) 2013-06-06 2017-01-31 Sprint Communications Company L.P. Mobile communication device profound identity brokering framework
US10489852B2 (en) * 2013-07-02 2019-11-26 Yodlee, Inc. Financial account authentication
US9183606B1 (en) 2013-07-10 2015-11-10 Sprint Communications Company L.P. Trusted processing location within a graphics processing unit
US9344833B2 (en) 2013-07-31 2016-05-17 Sap Se Data component in a mobile application framework
US9208339B1 (en) 2013-08-12 2015-12-08 Sprint Communications Company L.P. Verifying Applications in Virtual Environments Using a Trusted Security Zone
JP2015052996A (ja) * 2013-09-09 2015-03-19 キヤノン株式会社 画像形成装置、及び画像形成装置の制御方法
US10171501B2 (en) 2013-09-20 2019-01-01 Open Text Sa Ulc System and method for remote wipe
US10824756B2 (en) 2013-09-20 2020-11-03 Open Text Sa Ulc Hosted application gateway architecture with multi-level security policy and rule promulgations
EP2851833B1 (en) * 2013-09-20 2017-07-12 Open Text S.A. Application Gateway Architecture with Multi-Level Security Policy and Rule Promulgations
JP6354132B2 (ja) * 2013-10-09 2018-07-11 富士ゼロックス株式会社 中継装置、中継システム及びプログラム
ES2807547T3 (es) * 2013-10-14 2021-02-23 Cryptomathic Ltd Núcleo de seguridad CRM
US9218494B2 (en) * 2013-10-16 2015-12-22 Citrix Systems, Inc. Secure client drive mapping and file storage system for mobile device management type security
US9756047B1 (en) * 2013-10-17 2017-09-05 Mobile Iron, Inc. Embedding security posture in network traffic
US9185626B1 (en) 2013-10-29 2015-11-10 Sprint Communications Company L.P. Secure peer-to-peer call forking facilitated by trusted 3rd party voice server provisioning
US9191522B1 (en) 2013-11-08 2015-11-17 Sprint Communications Company L.P. Billing varied service based on tier
US9161325B1 (en) 2013-11-20 2015-10-13 Sprint Communications Company L.P. Subscriber identity module virtualization
RU2653984C2 (ru) 2013-12-05 2018-05-15 Закрытое акционерное общество "Лаборатория Касперского" Способ и система ассоциирования агентов управления устройством с пользователем устройства
US9213830B2 (en) 2013-12-12 2015-12-15 Microsoft Technology Licensing, Llc Managing applications in non-cooperative environments
US9661024B2 (en) 2013-12-12 2017-05-23 Microsoft Technology Licensing, Llc Configuring applications and policies in non-cooperative environments
WO2015103338A1 (en) * 2013-12-31 2015-07-09 Lookout, Inc. Cloud-based network security
US9118655B1 (en) 2014-01-24 2015-08-25 Sprint Communications Company L.P. Trusted display and transmission of digital ticket documentation
US10104538B2 (en) 2014-01-27 2018-10-16 Samsung Electronics Co., Ltd. Apparatus and method for providing a mobile device management service
US9510204B2 (en) 2014-02-28 2016-11-29 Life360, Inc. Apparatus and method of determining fraudulent use of a mobile device based on behavioral abnormality
JP2015177351A (ja) * 2014-03-14 2015-10-05 日本電気株式会社 通信接続先決定装置、通信接続装置、および、通信接続先決定方法
US9226145B1 (en) 2014-03-28 2015-12-29 Sprint Communications Company L.P. Verification of mobile device integrity during activation
WO2015187716A1 (en) * 2014-06-02 2015-12-10 Goldman, Sachs & Co. Secure mobile framework with operating system integrity checking
US9413740B2 (en) * 2014-07-22 2016-08-09 Microsoft Technology Licensing, Llc Establishing secure computing devices for virtualization and administration
US9230085B1 (en) 2014-07-29 2016-01-05 Sprint Communications Company L.P. Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services
US9736126B2 (en) * 2014-12-04 2017-08-15 International Business Machines Corporation Authenticating mobile applications using policy files
SG10201500276VA (en) * 2015-01-14 2016-08-30 Mastercard Asia Pacific Pte Ltd Method and system for making a secure payment transaction
US9779232B1 (en) 2015-01-14 2017-10-03 Sprint Communications Company L.P. Trusted code generation and verification to prevent fraud from maleficent external devices that capture data
US9838868B1 (en) 2015-01-26 2017-12-05 Sprint Communications Company L.P. Mated universal serial bus (USB) wireless dongles configured with destination addresses
US9473945B1 (en) 2015-04-07 2016-10-18 Sprint Communications Company L.P. Infrastructure for secure short message transmission
US9819679B1 (en) 2015-09-14 2017-11-14 Sprint Communications Company L.P. Hardware assisted provenance proof of named data networking associated to device data, addresses, services, and servers
US11593075B2 (en) 2015-11-03 2023-02-28 Open Text Sa Ulc Streamlined fast and efficient application building and customization systems and methods
US10282719B1 (en) 2015-11-12 2019-05-07 Sprint Communications Company L.P. Secure and trusted device-based billing and charging process using privilege for network proxy authentication and audit
US9817992B1 (en) 2015-11-20 2017-11-14 Sprint Communications Company Lp. System and method for secure USIM wireless network access
US9843474B2 (en) 2015-12-23 2017-12-12 Intel Corporation Telemetry adaptation
US10778435B1 (en) * 2015-12-30 2020-09-15 Jpmorgan Chase Bank, N.A. Systems and methods for enhanced mobile device authentication
US11388037B2 (en) 2016-02-25 2022-07-12 Open Text Sa Ulc Systems and methods for providing managed services
US10187413B2 (en) 2016-03-25 2019-01-22 Cisco Technology, Inc. Network-based approach for training supervised learning classifiers
JP6235677B2 (ja) * 2016-03-28 2017-11-22 住友化学株式会社 偏光フィルムの製造方法
US10284554B2 (en) 2016-05-05 2019-05-07 Airwatch, Llc Systems for providing device-specific access to an e-mail server
GB2566657B8 (en) 2016-06-30 2022-04-13 Sophos Ltd Proactive network security using a health heartbeat
US10986122B2 (en) * 2016-08-02 2021-04-20 Sophos Limited Identifying and remediating phishing security weaknesses
KR101719511B1 (ko) * 2016-08-04 2017-04-05 주식회사 에어큐브 네트워크를 사용하여 게이트에 대한 액세스 허용 여부를 결정하는 방법, 서버 및 컴퓨터 판독 가능한 기록 매체
EP3513543B1 (en) 2016-09-16 2021-05-12 Oracle International Corporation Dynamic policy injection and access visualization for threat detection
US10721239B2 (en) 2017-03-31 2020-07-21 Oracle International Corporation Mechanisms for anomaly detection and access management
CN110770695B (zh) * 2017-06-16 2024-01-30 密码研究公司 物联网(iot)设备管理
US10499249B1 (en) 2017-07-11 2019-12-03 Sprint Communications Company L.P. Data link layer trust signaling in communication network
US10909228B2 (en) 2017-07-19 2021-02-02 Box, Inc. Server-side authentication policy determination for mobile applications
US10326771B2 (en) 2017-10-19 2019-06-18 Sherpas Cyber Security Group, Inc. Secure file transaction system
CN109858238A (zh) * 2017-11-30 2019-06-07 北京神州泰岳软件股份有限公司 一种连接容器的方法、装置、系统和计算机可读存储介质
US10924517B2 (en) 2018-02-07 2021-02-16 Sophos Limited Processing network traffic based on assessed security weaknesses
US11277421B2 (en) * 2018-02-20 2022-03-15 Citrix Systems, Inc. Systems and methods for detecting and thwarting attacks on an IT environment
KR20200034020A (ko) 2018-09-12 2020-03-31 삼성전자주식회사 전자 장치 및 그의 제어 방법
US10467435B1 (en) 2018-10-24 2019-11-05 Palantir Technologies Inc. Approaches for managing restrictions for middleware applications
US10992670B1 (en) * 2018-11-12 2021-04-27 Amazon Technologies, Inc. Authenticating identities for establishing secure network tunnels
KR20220023963A (ko) * 2019-04-02 2022-03-03 트라이노미얼 글로벌 엘티디 사용자 장치의 원격 관리
US11290439B1 (en) 2019-04-03 2022-03-29 Snap Inc. Multiple application list prioritization
EP3761689A1 (en) * 2019-07-01 2021-01-06 Gemalto Sa Method for securing an execution of a local application and corresponding first and second user device and system
US11095637B2 (en) * 2019-08-16 2021-08-17 T-Mobile Usa, Inc. Interface for telecommunications by desktop native applications
CN110620815A (zh) * 2019-09-12 2019-12-27 北京笔新互联网科技有限公司 一种基于边车模式的分布式微服务系统
US11546358B1 (en) * 2021-10-01 2023-01-03 Netskope, Inc. Authorization token confidence system
CN117440377A (zh) * 2022-07-21 2024-01-23 荣耀终端有限公司 通信系统、方法及电子设备

Family Cites Families (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5857201A (en) 1996-06-18 1999-01-05 Wright Strategies, Inc. Enterprise connectivity to handheld devices
US6131116A (en) 1996-12-13 2000-10-10 Visto Corporation System and method for globally accessing computer services
US7287271B1 (en) 1997-04-08 2007-10-23 Visto Corporation System and method for enabling secure access to services in a computer network
US6023708A (en) 1997-05-29 2000-02-08 Visto Corporation System and method for using a global translator to synchronize workspace elements across a network
US6708221B1 (en) 1996-12-13 2004-03-16 Visto Corporation System and method for globally and securely accessing unified information in a computer network
US6085192A (en) 1997-04-11 2000-07-04 Roampage, Inc. System and method for securely synchronizing multiple copies of a workspace element in a network
US6766454B1 (en) 1997-04-08 2004-07-20 Visto Corporation System and method for using an authentication applet to identify and authenticate a user in a computer network
US5961590A (en) 1997-04-11 1999-10-05 Roampage, Inc. System and method for synchronizing electronic mail between a client site and a central site
US6151606A (en) 1998-01-16 2000-11-21 Visto Corporation System and method for using a workspace data manager to access, manipulate and synchronize network data
US6233341B1 (en) 1998-05-19 2001-05-15 Visto Corporation System and method for installing and using a temporary certificate at a remote site
US6298073B1 (en) 1998-06-26 2001-10-02 Lefever Ronald Stanton Method using elastic buffering for equalizing transmission delays in a non-earth-synchronous multiple satellite data transmission system
US6131096A (en) 1998-10-05 2000-10-10 Visto Corporation System and method for updating a remote database in a network
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US7373517B1 (en) 1999-08-19 2008-05-13 Visto Corporation System and method for encrypting and decrypting files
US7225231B2 (en) 2000-09-20 2007-05-29 Visto Corporation System and method for transmitting workspace elements across a network
US20030074206A1 (en) * 2001-03-23 2003-04-17 Restaurant Services, Inc. System, method and computer program product for utilizing market demand information for generating revenue
US7284045B1 (en) 2001-06-01 2007-10-16 Visto Corporation Method and system for determining information to access an electronic mail account
US7228383B2 (en) 2001-06-01 2007-06-05 Visto Corporation System and method for progressive and hierarchical caching
US7325143B2 (en) * 2001-10-15 2008-01-29 Linux Foundation Digital identity creation and coalescence for service authorization
JP2004062417A (ja) * 2002-07-26 2004-02-26 Nippon Telegr & Teleph Corp <Ntt> 認証サーバ装置、サーバ装置、およびゲートウェイ装置
JP4612416B2 (ja) 2002-08-09 2011-01-12 ヴィスト・コーポレーション 危殆化した遠隔装置上のデータへのアクセスを防止するシステムおよび方法
EP2325743B1 (en) 2003-01-31 2012-12-19 Good Technology Corporation Asynchronous real-time retrieval of data
US7673001B1 (en) 2003-11-21 2010-03-02 Microsoft Corporation Enterprise management of public instant message communications
JP4064914B2 (ja) * 2003-12-02 2008-03-19 インターナショナル・ビジネス・マシーンズ・コーポレーション 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム
US8321498B2 (en) * 2005-03-01 2012-11-27 Oracle International Corporation Policy interface description framework
US7970386B2 (en) 2005-06-03 2011-06-28 Good Technology, Inc. System and method for monitoring and maintaining a wireless device
US20060274695A1 (en) * 2005-06-03 2006-12-07 Nokia Corporation System and method for effectuating a connection to a network
US7702322B1 (en) 2006-02-27 2010-04-20 Good Technology, Llc Method and system for distributing and updating software in wireless devices
US8161164B2 (en) 2006-04-28 2012-04-17 Microsoft Corporation Authorizing service requests in multi-tiered applications
US8424061B2 (en) * 2006-09-12 2013-04-16 International Business Machines Corporation Method, system and program product for authenticating a user seeking to perform an electronic service request
US8091137B2 (en) * 2006-10-31 2012-01-03 Hewlett-Packard Development Company, L.P. Transferring a data object between devices
JP2008219266A (ja) * 2007-03-01 2008-09-18 Ntt Docomo Inc ネットワークアクセス認証システム、認証鍵生成サーバ、認証鍵配布サーバ、端末装置及びアクセス管理サーバ
US8185740B2 (en) 2007-03-26 2012-05-22 Microsoft Corporation Consumer computer health validation
US8910255B2 (en) 2008-05-27 2014-12-09 Microsoft Corporation Authentication for distributed secure content management system
US8032932B2 (en) 2008-08-22 2011-10-04 Citibank, N.A. Systems and methods for providing security token authentication
US20100125891A1 (en) * 2008-11-17 2010-05-20 Prakash Baskaran Activity Monitoring And Information Protection
US8898748B2 (en) * 2009-05-21 2014-11-25 Mobile Iron, Inc. Remote verification for configuration updates
US8527774B2 (en) 2009-05-28 2013-09-03 Kaazing Corporation System and methods for providing stateless security management for web applications using non-HTTP communications protocols
US8683196B2 (en) * 2009-11-24 2014-03-25 Red Hat, Inc. Token renewal
US8473743B2 (en) * 2010-04-07 2013-06-25 Apple Inc. Mobile device management
US8997196B2 (en) * 2010-06-14 2015-03-31 Microsoft Corporation Flexible end-point compliance and strong authentication for distributed hybrid enterprises
US8886773B2 (en) 2010-08-14 2014-11-11 The Nielsen Company (Us), Llc Systems, methods, and apparatus to monitor mobile internet activity
US8869307B2 (en) * 2010-11-19 2014-10-21 Mobile Iron, Inc. Mobile posture-based policy, remediation and access control for enterprise resources
AU2012201285A1 (en) * 2011-02-28 2012-09-13 Colla, Gregory Alan Authentication of a user
US8412945B2 (en) * 2011-08-09 2013-04-02 CloudPassage, Inc. Systems and methods for implementing security in a cloud computing environment
US8966572B2 (en) * 2011-09-30 2015-02-24 Oracle International Corporation Dynamic identity context propagation
US20130091557A1 (en) * 2011-10-11 2013-04-11 Wheel Innovationz, Inc. System and method for providing cloud-based cross-platform application stores for mobile computing devices
US9286455B2 (en) * 2012-10-04 2016-03-15 Msi Security, Ltd. Real identity authentication

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9816657B2 (en) 2011-08-01 2017-11-14 Sanoh Industrial Co., Ltd. Pipe fitting

Also Published As

Publication number Publication date
JP6004408B2 (ja) 2016-10-05
JP2016201149A (ja) 2016-12-01
US9473533B2 (en) 2016-10-18
EP2831718A1 (en) 2015-02-04
JP2015520880A (ja) 2015-07-23
US20140245378A1 (en) 2014-08-28
WO2013149257A1 (en) 2013-10-03
CA2868896A1 (en) 2013-10-03
EP2831718A4 (en) 2015-12-02
US9565212B2 (en) 2017-02-07
CN104718526A (zh) 2015-06-17
US9467475B2 (en) 2016-10-11
US20140245377A1 (en) 2014-08-28
CN104718526B (zh) 2018-04-17
JP2016201150A (ja) 2016-12-01
US20130263212A1 (en) 2013-10-03
CA2868896C (en) 2018-01-02
JP6207697B2 (ja) 2017-10-04

Similar Documents

Publication Publication Date Title
JP6207696B2 (ja) 安全移動体フレームワーク
US9860249B2 (en) System and method for secure proxy-based authentication
US20140281539A1 (en) Secure Mobile Framework With Operating System Integrity Checking
JP6170158B2 (ja) モバイルマルチシングルサインオン認証
US20180012012A1 (en) System and method for controlling state tokens
US11122047B2 (en) Invitation links with enhanced protection
US8997196B2 (en) Flexible end-point compliance and strong authentication for distributed hybrid enterprises
CN101227468B (zh) 用于认证用户到网络的方法、设备和系统
US9306953B2 (en) System and method for secure unidirectional transfer of commands to control equipment
JP2004185623A (ja) ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム
JP2015535984A5 (ja)
WO2015187716A1 (en) Secure mobile framework with operating system integrity checking
US11818114B2 (en) Systems, methods, and storage media for synchronizing identity information across identity domains in an identity infrastructure
JP5827680B2 (ja) IPsecとIKEバージョン1の認証を伴うワンタイム・パスワード
US10033719B1 (en) Mobile work platform for remote data centers
US20230421583A1 (en) Systems, methods, and storage media for abstracting session information for an application in an identity infrastructure
Paul et al. UI Component and Authentication
Huerta et al. Implementation of a open source security software platform in a telemedicine network
Peles et al. SpoofedMe-Intruding Accounts using Social Login Providers A Social Login Impersonation Attack
Dočár Bezpečnostní řešení pro cloudové technologie

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160902

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160902

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170807

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170905

R150 Certificate of patent or registration of utility model

Ref document number: 6207696

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250