JP6266170B2 - 3層セキュリティおよび算出アーキテクチャ - Google Patents
3層セキュリティおよび算出アーキテクチャ Download PDFInfo
- Publication number
- JP6266170B2 JP6266170B2 JP2017512865A JP2017512865A JP6266170B2 JP 6266170 B2 JP6266170 B2 JP 6266170B2 JP 2017512865 A JP2017512865 A JP 2017512865A JP 2017512865 A JP2017512865 A JP 2017512865A JP 6266170 B2 JP6266170 B2 JP 6266170B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- client device
- server computer
- user
- user authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
Description
本願は、2014年5月14日に出願された米国仮出願第61/996,704号の利益を主張するものであり、該米国仮出願の内容は、その全体が参照により本明細書中に援用される。
Claims (20)
- クライアントデバイスにネットワークサービスを提供するために、前記クライアントデバイスとサーバコンピュータとの間の暗号化分離を提供するためのコンピューティングシステムであって、前記コンピューティングシステムは、
前記クライアントデバイスに結合される、第1のデータポートと、
前記サーバコンピュータに結合される、第2のデータポートと、
非一過性の有形記憶媒体であって、
(a)不可逆暗号化アルゴリズムを使用する、前記クライアントデバイスの一意の特性および前記クライアントデバイスのユーザの一意の特性の関数であるオリジナルユーザ認証データの暗号と、
(b)前記オリジナルユーザ認証データを復号化パラメータとして使用する可逆暗号化アルゴリズムを使用する、前記ユーザが前記ネットワークサービスにアクセスすることを許可する条件として前記サーバコンピュータに提示されるために、前記サーバコンピュータによって要求されるサービス承認データの暗号と
が記憶される、非一過性の有形記憶媒体と、
コンピューティングプロセッサであって、前記ネットワークサービスにアクセスする要求と組み合わせて、未確認のユーザ認証データを受信するように構成され、そのような受信に応答して、
前記不可逆暗号化アルゴリズムを使用して、前記未確認のユーザ認証データを暗号化し、暗号化された未確認のユーザ認証データを生じさせるステップと、
前記暗号化された未確認のユーザ認証データが、前記オリジナルユーザ認証データの記憶された暗号と一致するときのみ、前記サービス承認データの暗号を復号化し、復号化されたサービス承認データを生じさせるステップと、
前記第2のデータポートを使用して、前記サーバコンピュータに、前記ユーザに代わって前記ネットワークサービスにアクセスする要求と組み合わせて、前記復号化されたサービス承認データを提示するステップと、
前記コンピューティングシステムにおける、前記ユーザが前記ネットワークサービスにアクセスすることが承認されることを示すデータの前記サーバコンピュータからの受信に応じて、前記第1のデータポートを使用するクライアントデバイスと前記第2のデータポートを使用するサーバコンピュータとの間でサービスデータを交換するステップと、
を実施する、コンピューティングプロセッサと、
を備える、コンピューティングシステム。 - 前記クライアントデバイスは、デスクトップコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、またはスマートフォンを含む、請求項1に記載のシステム。
- 前記第1のデータポートは、ローカルエリアネットワークに結合される、請求項1に記載のシステム。
- 前記第2のデータポートは、インターネットに結合される、請求項1に記載のシステム。
- 前記不可逆暗号化アルゴリズムは、暗号ハッシュ関数を含む、請求項1に記載のシステム。
- 前記可逆暗号化アルゴリズムは、公開鍵暗号化アルゴリズムまたは対称暗号化アルゴリズムを含む、請求項1に記載のシステム。
- 前記クライアントデバイスの一意の特性は、汎用一意識別子(UUID)またはグローバル一意識別子(GUID)を含む、請求項1に記載のシステム。
- 前記クライアントデバイスのユーザの一意の特性は、バイオメトリックまたは前記ユーザのみに把握されるパスワードを含む、請求項1に記載のシステム。
- 前記コンピューティングプロセッサはさらに、前記コンピューティングシステムと前記クライアントデバイスとの間でのみ共有される秘密を使用して、前記第1のデータポートを経由して暗号データ通信を実施するように構成される、請求項1に記載のシステム
- 前記コンピューティングプロセッサはさらに、前記コンピューティングシステムと前記サーバコンピュータとの間でのみ共有される秘密を使用して、前記第2のデータポートを経由して暗号データ通信を実施するように構成される、請求項1に記載のシステム。
- 前記コンピューティングプロセッサはさらに、前記クライアントデバイスのネットワークアドレスを前記第2のデータポートに通信することを回避し、前記サーバコンピュータのネットワークアドレスを前記第1のデータポートに通信することを回避するように構成される、請求項1に記載のシステム。
- クライアントデバイスとサーバコンピュータとの間を仲介するコンピューティングシステムを使用して、前記クライアントデバイスにネットワークサービスを提供するために、前記クライアントデバイスと前記サーバコンピュータとの間の暗号化分離を提供する方法であって、前記方法は、
前記クライアントデバイスの要求時に、前記コンピューティングシステムによって、不可逆暗号化アルゴリズムを使用して、前記クライアントデバイスの一意の特性および前記クライアントデバイスのユーザの一意の特性の関数であるオリジナルユーザ認証データの暗号を記憶するステップと、
前記サーバコンピュータの要求時に、前記コンピューティングシステムによって、前記オリジナルユーザ認証データを復号化パラメータとして使用する可逆暗号化アルゴリズムを使用して、前記ユーザが前記ネットワークサービスにアクセスすることを許可する条件として前記サーバコンピュータに提示されるために、前記サーバコンピュータによって要求されるサービス承認データの暗号を記憶するステップと、
前記コンピューティングシステムにおける、前記ネットワークサービスにアクセスする要求と組み合わせた、未確認のユーザ認証データの受信に応じて、
前記不可逆暗号化アルゴリズムを使用して、前記未確認のユーザ認証データを暗号化し、暗号化された未確認のユーザ認証データを生じさせるステップと、
前記暗号化された未確認のユーザ認証データが、前記オリジナルユーザ認証データの記憶された暗号と一致するときのみ、前記サービス承認データの暗号を復号化し、復号化されたサービス承認データを生じさせるステップと、
前記サーバコンピュータに、前記ユーザに代わって前記ネットワークサービスにアクセスする要求と組み合わせて、前記復号化されたサービス承認データを提示するステップと、
前記コンピューティングシステムにおける、前記ユーザが前記ネットワークサービスにアクセスすることが承認されることを示すデータの前記サーバコンピュータからの受信に応じて、前記クライアントデバイスと前記サーバコンピュータとの間でサービスデータを交換するステップと、
を含む、方法。 - 前記クライアントデバイスは、デスクトップコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、またはスマートフォンである、請求項12に記載の方法。
- 前記不可逆暗号化アルゴリズムは、暗号ハッシュ関数を含む、請求項12に記載の方法。
- 前記可逆暗号化アルゴリズムは、公開鍵暗号化アルゴリズムまたは対称暗号化アルゴリズムを含む、請求項12に記載の方法。
- 前記クライアントデバイスの一意の特性は、汎用一意識別子(UUID)またはグローバル一意識別子(GUID)を含む、請求項12に記載の方法。
- 前記クライアントデバイスのユーザの一意の特性は、バイオメトリックまたは前記ユーザのみに把握されるパスワードを含む、請求項12に記載の方法。
- 前記コンピューティングシステムと前記クライアントデバイスとの間でのみ共有される秘密を使用して、暗号データ通信を実施するステップをさらに含む、請求項12に記載の方法。
- 前記コンピューティングシステムと前記サーバコンピュータとの間でのみ共有される秘密を使用して、暗号データ通信を実施するステップをさらに含む、請求項12に記載の方法。
- クライアントデバイスとサーバコンピュータとの間を仲介するコンピューティングシステムを使用して、前記クライアントデバイスにネットワークサービスを提供するために、前記クライアントデバイスと前記サーバコンピュータとの間の暗号化分離を提供するためのコンピュータプログラムコードが記憶される、非一過性の有形記憶媒体であって、
前記クライアントデバイスの要求時に、前記コンピューティングシステムによって、不可逆暗号化アルゴリズムを使用して、前記クライアントデバイスの一意の特性および前記クライアントデバイスのユーザの一意の特性の関数であるオリジナルユーザ認証データの暗号を記憶するステップと、
前記サーバコンピュータの要求時に、前記コンピューティングシステムによって、前記オリジナルユーザ認証データを復号化パラメータとして使用する可逆暗号化アルゴリズムを使用して、前記ユーザが前記ネットワークサービスにアクセスすることを許可する条件として前記サーバコンピュータに提示されるために、前記サーバコンピュータによって要求されるサービス承認データの暗号を記憶するステップと、
前記コンピューティングシステムにおける、前記ネットワークサービスにアクセスする要求と組み合わせた、未確認のユーザ認証データの受信に応じて、
前記不可逆暗号化アルゴリズムを使用して、前記未確認のユーザ認証データを暗号化し、暗号化された未確認のユーザ認証データを生じさせるステップと、
前記暗号化された未確認のユーザ認証データが、前記オリジナルユーザ認証データの記憶された暗号と一致するときのみ、前記サービス承認データの暗号を復号化し、復号化されたサービス承認データを生じさせるステップと、
前記サーバコンピュータに、前記ユーザに代わって前記ネットワークサービスにアクセスする要求と組み合わせて、前記復号化されたサービス承認データを提示するステップと、
前記コンピューティングシステムにおける、前記ユーザが前記ネットワークサービスにアクセスすることが承認されることを示すデータの前記サーバコンピュータからの受信に応じて、前記クライアントデバイスと前記サーバコンピュータとの間でサービスデータを交換するステップと、
のためのコンピュータプログラムコードを備える、記憶媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201461996704P | 2014-05-14 | 2014-05-14 | |
US61/996,704 | 2014-05-14 | ||
PCT/US2015/030902 WO2015175841A1 (en) | 2014-05-14 | 2015-05-14 | Three-tiered security and computational architecture |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017518719A JP2017518719A (ja) | 2017-07-06 |
JP6266170B2 true JP6266170B2 (ja) | 2018-01-24 |
Family
ID=54480715
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017512865A Expired - Fee Related JP6266170B2 (ja) | 2014-05-14 | 2015-05-14 | 3層セキュリティおよび算出アーキテクチャ |
Country Status (5)
Country | Link |
---|---|
US (2) | US9722791B2 (ja) |
EP (1) | EP3143724B1 (ja) |
JP (1) | JP6266170B2 (ja) |
CN (1) | CN106576050B (ja) |
WO (1) | WO2015175841A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10198595B2 (en) * | 2015-12-22 | 2019-02-05 | Walmart Apollo, Llc | Data breach detection system |
CN108989307A (zh) * | 2018-07-10 | 2018-12-11 | 刘芳 | 用于项目管理多层加解密系统 |
US10812537B1 (en) * | 2018-07-23 | 2020-10-20 | Amazon Technologies, Inc. | Using network locality to automatically trigger arbitrary workflows |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6912655B1 (en) | 1999-08-09 | 2005-06-28 | Tristrata Security Inc. | Network security architecture system utilizing seals |
US7113994B1 (en) | 2000-01-24 | 2006-09-26 | Microsoft Corporation | System and method of proxy authentication in a secured network |
JP2001251297A (ja) * | 2000-03-07 | 2001-09-14 | Cti Co Ltd | 情報処理装置、該情報処理装置を具備する暗号通信システム及び暗号通信方法 |
US7370351B1 (en) * | 2001-03-22 | 2008-05-06 | Novell, Inc. | Cross domain authentication and security services using proxies for HTTP access |
US7100054B2 (en) | 2001-08-09 | 2006-08-29 | American Power Conversion | Computer network security system |
JP2004088768A (ja) * | 2002-08-06 | 2004-03-18 | Matsushita Electric Ind Co Ltd | パケットデータ中継装置及びその方法 |
EP1705941A1 (en) * | 2005-03-24 | 2006-09-27 | BRITISH TELECOMMUNICATIONS public limited company | Secure communication of password information in a network |
WO2006119184A2 (en) * | 2005-05-04 | 2006-11-09 | Tricipher, Inc. | Protecting one-time-passwords against man-in-the-middle attacks |
US8045995B2 (en) * | 2007-05-31 | 2011-10-25 | Yahoo! Inc. | Centralized location broker |
IL187492A0 (en) * | 2007-09-06 | 2008-02-09 | Human Interface Security Ltd | Information protection device |
US20120191615A1 (en) * | 2009-07-27 | 2012-07-26 | Suridx, Inc. | Secure Credit Transactions |
US8776212B2 (en) * | 2010-12-14 | 2014-07-08 | Suridx, Inc. | Protecting computers using an identity-based router |
US9146881B2 (en) * | 2011-06-03 | 2015-09-29 | Commandhub, Inc. | Mobile data vault |
US20130061310A1 (en) | 2011-09-06 | 2013-03-07 | Wesley W. Whitmyer, Jr. | Security server for cloud computing |
FR2985343B1 (fr) * | 2012-01-03 | 2014-01-03 | Inside Secure | Procede d'execution d'une application dans un dispositif nfc |
US9887989B2 (en) * | 2012-06-23 | 2018-02-06 | Pomian & Corella, Llc | Protecting passwords and biometrics against back-end security breaches |
US20140019745A1 (en) | 2012-07-12 | 2014-01-16 | David S. Dodgson | Cryptographic isolation of virtual machines |
EP2893690A4 (en) * | 2012-09-10 | 2016-02-24 | Nwstor Ltd | DATA SECURITY MANAGEMENT SYSTEM |
US9154488B2 (en) * | 2013-05-03 | 2015-10-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
CN103368973B (zh) * | 2013-07-25 | 2016-02-17 | 浪潮(北京)电子信息产业有限公司 | 一种云操作系统安全体系 |
WO2015153383A1 (en) | 2014-03-29 | 2015-10-08 | Akamai Technologies, Inc. | Traffic on-boarding for acceleration through out-of-band security authenticators |
-
2015
- 2015-05-14 US US14/712,769 patent/US9722791B2/en not_active Expired - Fee Related
- 2015-05-14 WO PCT/US2015/030902 patent/WO2015175841A1/en active Application Filing
- 2015-05-14 JP JP2017512865A patent/JP6266170B2/ja not_active Expired - Fee Related
- 2015-05-14 EP EP15793227.8A patent/EP3143724B1/en not_active Not-in-force
- 2015-05-14 CN CN201580031637.XA patent/CN106576050B/zh not_active Expired - Fee Related
-
2017
- 2017-06-22 US US15/630,483 patent/US20170295142A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
US20150333908A1 (en) | 2015-11-19 |
CN106576050A (zh) | 2017-04-19 |
JP2017518719A (ja) | 2017-07-06 |
EP3143724B1 (en) | 2018-12-19 |
EP3143724A4 (en) | 2018-01-17 |
US9722791B2 (en) | 2017-08-01 |
EP3143724A1 (en) | 2017-03-22 |
CN106576050B (zh) | 2020-07-28 |
WO2015175841A1 (en) | 2015-11-19 |
US20170295142A1 (en) | 2017-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6701364B2 (ja) | パスワードなしのコンピュータログインのサービス支援モバイルペアリングのためのシステム及び方法 | |
US8074264B2 (en) | Secure key distribution to internet clients | |
US9461820B1 (en) | Method and apparatus for providing a conditional single sign on | |
US7945779B2 (en) | Securing a communications exchange between computers | |
US20030196084A1 (en) | System and method for secure wireless communications using PKI | |
CN113553558A (zh) | 经由内部网络监视来检测使用泄漏证书的攻击 | |
US20130145447A1 (en) | Cloud-based data backup and sync with secure local storage of access keys | |
US20080276309A1 (en) | System and Method for Securing Software Applications | |
US10587605B2 (en) | Certificate pinning in highly secure network environments using public key certificates obtained from a DHCP (dynamic host configuration protocol) server | |
US10764294B1 (en) | Data exfiltration control | |
US10305914B1 (en) | Secure transfer of secrets for computing devices to access network resources | |
JP2015536061A (ja) | クライアントをサーバに登録するための方法および装置 | |
US20170295142A1 (en) | Three-Tiered Security and Computational Architecture | |
US11689517B2 (en) | Method for distributed application segmentation through authorization | |
Khan et al. | A brief review on cloud computing authentication frameworks | |
JP2024501728A (ja) | ブロックチェーンベースのsdpアクセス制御方法及びシステム | |
JP6425816B2 (ja) | コンピュータ・ネットワーク・インフラストラクチャーにおいて外部コンピュータ・システムをブロック解除する方法、かかるコンピュータ・ネットワーク・インフラストラクチャーをもつ分散コンピュータ・ネットワークおよびコンピュータ・プログラム・プロダクト | |
US11177958B2 (en) | Protection of authentication tokens | |
US11463433B1 (en) | Secure bearer-sensitive authentication and digital object transmission system and method for spoof prevention | |
US11611541B2 (en) | Secure method to replicate on-premise secrets in a cloud environment | |
Yasin et al. | Enhancing anti-phishing by a robust multi-level authentication technique (EARMAT). | |
Xu et al. | Qrtoken: Unifying authentication framework to protect user online identity | |
US20240012933A1 (en) | Integration of identity access management infrastructure with zero-knowledge services | |
ALnwihel et al. | A Novel Cloud Authentication Framework | |
WO2016124302A1 (en) | User opt-in computer implemented method for monitoring network traffic data, network traffic controller and computer programs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170516 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20170516 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20170601 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170606 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170906 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171128 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6266170 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |