JP6526181B2 - スマートカードによるログオンおよび連携されたフルドメインログオン - Google Patents
スマートカードによるログオンおよび連携されたフルドメインログオン Download PDFInfo
- Publication number
- JP6526181B2 JP6526181B2 JP2017515810A JP2017515810A JP6526181B2 JP 6526181 B2 JP6526181 B2 JP 6526181B2 JP 2017515810 A JP2017515810 A JP 2017515810A JP 2017515810 A JP2017515810 A JP 2017515810A JP 6526181 B2 JP6526181 B2 JP 6526181B2
- Authority
- JP
- Japan
- Prior art keywords
- smart card
- client device
- server
- certificate
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims description 80
- 230000015654 memory Effects 0.000 claims description 43
- 230000004044 response Effects 0.000 claims description 23
- 238000004891 communication Methods 0.000 claims description 18
- 230000009471 action Effects 0.000 claims description 8
- 230000000694 effects Effects 0.000 claims description 2
- 235000017304 Ruaghas Nutrition 0.000 claims 1
- 241000554738 Rusa Species 0.000 claims 1
- 238000004587 chromatography analysis Methods 0.000 claims 1
- 230000000977 initiatory effect Effects 0.000 claims 1
- 239000003795 chemical substances by application Substances 0.000 description 113
- 238000002507 cathodic stripping potentiometry Methods 0.000 description 82
- 238000007726 management method Methods 0.000 description 56
- 238000013507 mapping Methods 0.000 description 40
- 230000008569 process Effects 0.000 description 38
- 230000003993 interaction Effects 0.000 description 30
- 230000006870 function Effects 0.000 description 26
- 238000012384 transportation and delivery Methods 0.000 description 21
- 238000012545 processing Methods 0.000 description 18
- 238000005192 partition Methods 0.000 description 16
- 230000007246 mechanism Effects 0.000 description 14
- 230000002452 interceptive effect Effects 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 7
- 230000010354 integration Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 238000013475 authorization Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000009795 derivation Methods 0.000 description 4
- 230000006855 networking Effects 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 101100441251 Arabidopsis thaliana CSP2 gene Proteins 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000008676 import Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000002360 preparation method Methods 0.000 description 3
- 238000010200 validation analysis Methods 0.000 description 3
- 239000013598 vector Substances 0.000 description 3
- 241000699666 Mus <mouse, genus> Species 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000010348 incorporation Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 101100441252 Caenorhabditis elegans csp-2 gene Proteins 0.000 description 1
- 241000699670 Mus sp. Species 0.000 description 1
- 235000006508 Nelumbo nucifera Nutrition 0.000 description 1
- 240000002853 Nelumbo nucifera Species 0.000 description 1
- 235000006510 Nelumbo pentapetala Nutrition 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000012419 revalidation Methods 0.000 description 1
- 150000003839 salts Chemical class 0.000 description 1
- 230000008054 signal transmission Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Description
上述した先行技術の限界を克服し、本明細書の読解において明らかになるであろう他の限界を克服するために、本明細書に説明する発明の態様は、より高速かつより効率的な、スマートカードを用いる等によるログオンのための、および、リモートコンピューティング環境においてフルドメインアクセスをクライアントデバイスに与えるための方法およびシステムを指向する。
本明細書で説明する態様およびその利点は、添付の図面を考慮して以下の説明を参照すると、より完全な理解が得られる。図面において、同じ参照番号は同じ特徴を示す。
コンピュータのソフトウェア、ハードウェアおよびネットワークは、特に、スタンドアロン、ネットワーク化、リモートアクセス(別称、リモートデスクトップ)、仮想化および/またはクラウドベースの環境を含め、多様な異なるシステム環境で利用してもよい。
図1は、本明細書で説明する1つ以上の例示的な態様に係る、スタンドアロンおよび/またはネットワーク化環境で実装するために使用されるシステムアーキテクチャならびにデータ処理装置の一実施例を示す。様々なネットワークノード103,105,107および109は、インターネットなどの広域ネットワーク(WAN)101を介して相互接続されている。プライベートイントラネット、企業ネットワーク、LAN、メトロポリタンエリアネットワーク(MAN)、ワイヤレスネットワーク、パーソナルネットワーク(PAN)等を含む、他のネットワークもまた、または代わりに使用してもよい。
図1は、使用され得るネットワークアーキテクチャのほんの一実施例を示しており、当業者は、使用される特定のネットワークアーキテクチャおよびデータ処理装置を変更してもよいこと、ならびに、本明細書で詳細に説明するように、それが提供する機能に対して二次的なものであることを認識するであろう。たとえば、ウェブサーバ105およびデータサーバ103が提供するサービスは単一のサーバに結合されてもよい。
汎用コンピューティングデバイス201は、クライアントアクセスデバイスに仮想マシンを提供するように構成されている単一サーバまたはマルチサーバのデスクトップ仮想化システム(たとえば、リモートアクセスもしくはクラウドシステム)内のサーバ206aとして使用されてもよい。汎用コンピューティングデバイス201は、RAM205、ROM207、I/Oモジュール209およびメモリ215を含め、サーバおよびその関連コンポーネントのオペレーション全体を制御するプロセッサ203を有していてもよい。
図3に図示する仮想化サーバ301は、図2に図示するサーバ206の1つ以上の実施形態もしくは他の周知のコンピューティングデバイスとしてデプロイ(deploy)することができ、および/またはそれにより実装することができる。
仮想化サーバ301はハイパーバイザ302も含んでいてもよい。いくつかの実施形態では、ハイパーバイザ302は仮想化サーバ301のプロセッサ308によって実行されて、あらゆる数の仮想マシン332を作成して管理するプログラムであってもよい。ハイパーバイザ302は仮想マシンモニタ、またはプラットフォーム仮想化ソフトウェアと称されることもある。いくつかの実施形態では、ハイパーバイザ302は実行可能命令と、コンピューティングマシン上で実行する仮想マシンを監視するハードウェアとのあらゆる組合せとすることができる。ハイパーバイザ302はタイプ2ハイパーバイザであってもよく、当該ハイパーバイザは仮想化サーバ301上で実行するオペレーティングシステム314内で実行する。それから、仮想マシンはハイパーバイザより上のレベルで実行する。
システムのリソースは、物理的デバイス306、物理的ディスク304、物理的プロセッサ308、物理的メモリ316および仮想化サーバ301のハードウェアレイヤ310に含まれているあらゆる他のコンポーネントを含むことができるが、これだけに限定されない。ハイパーバイザ302を使用して、仮想ハードウェアをエミュレートし、物理的ハードウェアを分割し、物理的ハードウェアを仮想化し、および/またはコンピューティング環境へのアクセスを提供する仮想マシンを実行してもよい。さらに他の実施形態では、ハイパーバイザ302は仮想化サーバ301上で実行する仮想マシン332のプロセッサのスケジューリングおよびメモリの分割を制御する。
仮想化レイヤは、ネットワーク仮想化、ストレージ仮想化等を提供する他のコンポーネントとともに、上述の図3で説明したハイパーバイザを含んでいてもよい。仮想化レイヤは物理的リソースレイヤとは別のレイヤとしてもよく、または物理的リソースレイヤと同じハードウェアおよび/もしくはソフトウェア・リソースのいくつかもしくはすべてを共有していてもよい。たとえば、仮想化レイヤは物理的コンピューティングリソースを有する仮想化サーバ403のそれぞれにインストールされているハイパーバイザを含んでいてもよい。あるいは、たとえば、WINDOWS(登録商標) AZURE(ワシントン州レドモンドのマイクロソフト・コーポレーション)、AMAZON EC2(ワシントン州シアトルのアマゾン・ドット・コム・インク)、IBM BLUE CLOUD(ニューヨーク州アーモンクのIBMコーポレーション)、または他のものなど、周知のクラウドシステムを使用してもよい。
図5は、BYOD環境で使用するための企業モビリティ技術アーキテクチャ500を示す。このアーキテクチャはモバイルデバイス502のユーザがモバイルデバイス502から企業リソースまたは個人リソースにアクセスすることと、モバイルデバイス502を個人利用に使用することと、の両方を可能にする。
認証サービス558はユーザ認証サービス、デバイス認証サービス、アプリケーション認証サービス、データ認証サービス等を含んでいてもよい。認証サービス558は証明書を使用してもよい。証明書は企業リソース504等によりモバイルデバイス502に格納してもよい。モバイルデバイス502に格納されている証明書は、モバイルデバイスの暗号化された場所に格納してもよく、証明書は認証時点で使用する等のためにモバイルデバイス502に一時的に格納してもよい。脅威検出サービス564は侵入検出サービス、不正アクセス試行検出サービス等を含んでいてもよい。不正アクセス試行検出サービスはデバイス、アプリケーション、データ等への不正アクセスの試行を含んでいてもよい。
アプリケーション管理フレームワーク614からのデータ漏えいは、他の方法で阻止してもよい。たとえば、アプリケーション610がバックグラウンドに入る場合、所定(構成可能な)期間後にメモリをクリアにしてもよい。バックグラウンドに移るとき、アプリケーションの最後に表示されたスクリーンのスナップショットを取得して、フォアグラウンドに出すプロセスを迅速化してもよい。スクリーンショットは機密データを含むことがあり、そのためクリアにされるべきである。
クライアントエージェント604およびアプリケーション管理フレームワーク614は、内部PKI保護ネットワークリソースに認証を行うために、クライアント証明書の取得および使用をサポートするように増強してもよい。様々なレベルのセキュリティおよび/または隔離の要求事項に応じるためなど、2つ以上の証明書をサポートしてもよい。証明書はメール・ブラウザ管理対象アプリケーション、および最終的には任意にラッピングされたアプリケーションが使用してもよい(ただし、アプリケーション管理フレームワークがhttps要求を仲介するのが合理的な場合、これらのアプリケーションはウェブサービス型の通信パターンを使用する)。
限定およびフル両方のケルベロスサポートを追加の特徴としてもよい。フルサポート特徴は、ディレクトリサービスのパスワードまたは信頼できるクライアント証明書を使用したアクティブディレクトリ(AD)622へのフルケルベロスログインを行い、HTTP Negotiate認証チャレンジにレスポンスするためにケルベロスサービスチケットを取得する能力に関係する。限定サポート特徴はサイトリックス・アクセス・ゲートウェイ・エンタープライズ・エディション(AGEE)での制約付き委任に関係し、当該AGEEサポートはケルベロスプロトコル遷移の呼び出しをサポートするので、HTTP Negotiate認証チャレンジにレスポンスしてケルベロスサービスチケット(制約付き委任を条件とする)を取得して使用することができる。この機構はリバースウェブプロキシ(別名、企業仮想プライベートネットワーク(CVPN)モードで機能し、http(ただし、httpsではない)接続はVPNおよびマイクロVPNモードでプロキシされる。
障害のある場合に、いくつかの異なる場所のうちの1つからユーザがサービスを受けられる企業アプリケーションストアおよびアプリケーションコントローラのマルチサイト・アーキテクチャまたは構成をサポートしてもよい。
高速スマートカードログオンは、スマートカードを使用した、インタラクティブサーバ(たとえば、MICROSOFT仮想デスクトップ・インフラストラクチャ(VDI)/リモートデスクトップサービス(RDS)サーバなど)のようなサーバへのユーザまたはクライアントデバイスの認証のために使用してもよく、一方で、レイテンシを低減し、セキュリティを向上させることができる。たとえば、システムは、認証のために使用されるサーバデバイスとクライアントデバイスとの間の動作(たとえば、インタラクション)の数を低減させるであろう。これらの動作は、スマートカードからのユーザ証明書のフェッチまたはデータの署名を含んでいてもよい。したがって、PC/SCログオンを遅くさせるスマートカードネットワークチャターを低減させるであろう。高速スマートカードログオンはまた、PIN(または他の資格情報)のネットワークを介した送信を任意に回避することにより、セキュリティを向上させるであろうし、また、PINキャッシングに頼ることなく、実際のインタラクティブサーバログオンへの、スマートカードを使用した、認証イベント(たとえば、セキュア・ソケット・レイヤー(SSL)またはトランスポート・レイヤー・セキュリティ(TLS)認証)からのシングル・サイン・オンを可能とする。
いくつかの態様では、ユーザは、認証のための個人識別番号(PIN)または他の資格情報の入力を促される場合がある。クライアントエージェント703は、PINをキャプチャし、任意にPINを格納し、サーバ721における仮想エージェント723にネットワーク接続を介してPINを送信してもよい。サーバ721におけるCAPI 729は、サードパーティまたはパブリックのAPIを含んでもよい。さらに、スマートカード認証のためのドライバは、サーバ側であってもよく、これはオペレーティングシステムとの互換性を可能にしてもよい。サーバ側の暗号化サービスプロバイダ731は、クライアントデバイス701から受信したPINを格納(たとえば、キャッシュ)してもよい。認証処理中に、サーバ721は、PC/SC層739を介してクライアントデバイス701にPINを送信し戻して、クライアントデバイス701においてスマートカード717から1つ以上の証明書などの資格情報を得てもよい。PC/SC層715および739でのスマートカードインタラクションの間に、クライアントデバイス701およびサーバ721は、約500回のラウンドトリップ要求などのように数百回、インタラクトしてもよい。
図8は、本明細書に記載の1つ以上の例示的な態様に従った高速スマートカードログオンのためのシステムを示している。高速スマートカードログオンは、PC/SCレベル815および839ではなく、より高い通信レベルでのクライアントデバイス801およびサーバ821間のインタラクション(たとえば、クライアント証明書つきのドメインログオン)を伴っている。これにより、クライアントデバイス801およびサーバ821間のインタラクションの数、ならびに/または、クライアントデバイス801およびサーバ821間で交換されるデータの量(たとえば、ボリューム)が低減されるであろう。
参照により本明細書に組み込まれる米国特許出願第13/886,845号にさらに詳細に記載されているように、ケルベロスリソース認証は、ケルベロスのKDC(たとえば、アクティブディレクトリドメインコントローラ)からサービスチケットを取得することを含んでもよい。たとえば、サーバ821でのケルベロス認証パッケージは、アクティブディレクトリログオンを実行するためにコメント要求(RFC)4556に記載されているような、ケルベロスにおける初期認証用公開鍵暗号(PKINIT)プロトコルを使用してもよい。
上記で説明したように、クライアントデバイス801は、認証プロセス中にサーバ821から1つ以上の要求を受け取ってもよい。クライアントデバイス801上のプロセスを、1つ以上のプロセス間通信(IPC)機構を介して通信してもよい。さらに、各プロセスは第一のプロセスを他のどのプロセスが呼び出しているかを決定してもよく、これは、認証中に過剰なPINプロンプト(または他の資格情報プロンプト)を防止すべきかどうかを決定するために使用されてもよい。プロセスがすでにスマートカード817のロックを解除している場合、ユーザが再度PINを提供する必要がないように、1つ以上のその後のPINプロンプトがブロックされてもよい。しかし、プロセスがスマートカード817を使用していない場合は、ユーザはPINの入力を促されてもよい。クライアントエージェント803は、それが論理的に(ユーザの観点から)1つのアプリケーションを備えているとしても、複数のプロセスで構成されてもよい。これらのプロセスの1つが、ブローカリング中の以前の認証であるため、スマートカードの使用を許可されるかもしれず(そして他は許可されないかもしれず)、したがって、クライアントデバイス801は、より多くのPINプロンプトを回避するために、クライアントエージェントのログオンステップからのこれらの追加のスマートカード動作を、第一のプロセスにルーティングし戻してもよい。
サーバ821は、スマートカードの取り外しポリシーをサポートしてもよい。いくつかの態様では、クライアント側のPC/SC 815とサーバ側のPC/SC 839との間に別の仮想チャネル838が存在してもよい。サーバ821は、この仮想チャネル838を使用してスマートカード層を見ることができ、そのために、スマートカード817が取り外されたときを決定することができる。この実施例では、資格情報プロバイダ825は、正しいスマートカードリーダ名がKERB_SMARTCARD_CSP_INFOなどのデータフィールドでリスト化されていることを確認してもよく、それにより、それはPC/SC仮想チャネル838によって公開された情報と一致する。
図8に示すコンポーネントに加えて、図9の実施例におけるサーバ821は、サードパーティCSPである、CSP 932を含んでもよい。いくつかの態様では、CSP 932は、図7に示すCSP 731であってもよい。両方のCSPは、ユーザのPINまたはバイオメトリックを格納してもよい。この実施例では、クライアントデバイス801は、サーバ821へとPIN(または他の資格情報)を送信してもよい。PIN(または他の資格情報)を、たとえば、ディフィー・ヘルマンなどの、クライアントデバイス801およびサーバ821間の鍵ネゴシエーションにより、送信中に保護してもよい。鍵ネゴシエーションは、TLSなどの任意の下位レベルのトランスポートセキュリティ機構に加えて、PKOp仮想チャネルの内部で発生してもよい。PIN(または他の資格情報)を受信すると、CSP 932はPINを格納(たとえば、キャッシュ)してもよい。PINを格納することにより、CSP 932は、ログオン後のアプリケーション使用のために(たとえば、インタラクティブサーバセッションで実行中のアプリケーションおよび/または他の同様の機能のために)、スマートカード817のロックを解除してもよい。仮想セッション内の典型的なアプリケーションは、ウェブブラウザ、生産性ソフトウェア、電子メールクライアント等を含んでもよい。さらに、CSP 932は直接、ログオン中に使用されないかもしれず、よって、CSP 932でのPINの格納は、ログオン性能(たとえば、速度、レイテンシ、セキュリティ等)にほとんど、またはまったく影響を与えないであろう。CSP 932でのPINの格納は、インタラクティブサーバセッションで実行されているアプリケーションのシングル・サイン・オンのために使用されてもよい。たとえば、アプリケーションが、ユーザをサインオンさせるために、CSP 932からPINに直接、アクセスしてもよい。
ログオンシーケンスにおけるステップは、クライアントデバイス1001上の認証マネージャサービス1008によって制御してもよく、これは、グラフィカルユーザインターフェース(GUI)を介して情報の入力をユーザに促すかどうかを決定してもよい。起動時に、クライアントエージェント1003は、高速スマートカード仮想チャネルを有効化するかどうかを決定することに進んでもよい仮想チャネルをロードしてもよい。POLICY_VIRTUAL_CHANNEL_DISABLEDが偽で、ICAFILE_DISABLE_CTRL_ALT_DELが真で、認証マネージャサービスIsCertificateLogonEnabled()が真である場合に、高速スマートカード仮想チャネルを有効化してもよい。POLICY_VIRTUAL_CHANNEL_DISABLEDが偽で、スマートカードデバイスが検出された場合、IsCertificateLogonEnabled()は真であろう。
前述の高速スマートカードログオンを実装するために使用されるコンポーネントはまた、連携されたフルドメイン(たとえば、アクティブディレクトリ(AD))ログオンを実装するために使用されてもよい。フルドメインログオン後、セッションはフルネットワーク資格情報を有してもよい(たとえば、ケルベロスチケット認可チケット(TGT)およびチャレンジ/レスポンスのパスワードハッシュ(たとえば、NTLMパスワードハッシュ))。たとえば、ユーザは、SAML認証トークンを提供することにより、アクティブディレクトリのユーザアカウントとして、仮想デスクトップセッション、物理PC、またはリモートデスクトップサーバセッションに認証してもよい。
図12Aは、本明細書に記載の1つ以上の例示的な態様に従った連携されたログオン用の別の例示的なシステムを示している。いくつかの態様では、スマートカードは、この連携されたログオンの場合に使用されないかもしれない。その代わりに、証明書が認証に使用されてもよく、リソースシステム1221(たとえば、顧客の構内の)は、証明書がスマートカード証明書であると考えてもよい。
図12Bは、本明細書に記載の1つ以上の例示的な態様に従った連携されたログオンのためのさらに別の例示的なシステムを示す。図12Bに示す認証システムは、図12Aを参照して説明した認証システムと類似している。しかし、アイデンティティ確認(たとえば、SAMLトークン)を使用する代わりに、クライアントエージェント1201は、ワンタイムパスワード(OTP)または実際のスマートカード資格情報を、ゲートウェイサーバ1223などのリソースシステム1221内の1つ以上のコンポーネントに送信している。ゲートウェイサーバ1223は、以下でさらに詳細に説明するように、ベンダー認証サービス1251を用いてクライアントまたはユーザを認証してもよい。さらに、以下でも説明するように、ゲートウェイサーバ1223は、RADIUSまたはRESTプロトコルを使用して認証サービス1251と通信してもよい。
資格情報マッパー1229を、鍵のペアを作成しないように修正する。その代わりに、資格情報マッパー1229は、ユーザ証明書(たとえば、ユーザアイデンティティ、役割、または他のセキュリティコンテキスト情報)を取得するための関連情報を覚えていてもよい。資格情報ハンドルは、その情報を用いてすでに調製された仮想スマートカードではなく、この情報への参照であってもよい。
第二に、どの仮想化マシンがチケットを償還してよいかを制限してもよい。ブローカーの要求時に、チケットは、名付けられた仮想化マシン(たとえば、ケルベロスドメインアカウントまたは信頼エリアRID)により償還可能であってもよい。資格情報マッピングサービス1425は、仮想化マシンのリストを制限することができる場合がある。たとえば、1つの仮想化マシンカタログが本明細書に説明された機構を使用して認証を許可されるべきであると決定されてもよい。
第五に、SAMLアサーションの検証を実装してもよい。SAMLトークンの検証上の標準制御が提供されてもよい。Windows(登録商標)のUPNを主張するSAMLトークンを最初に許可してもよく、これは、サードパーティIdPの特別な構成を必要とするかもしれない。
先に論じた資格情報マッピングサービスの実施形態は、様々な方法で実装してもよい。1つの目標は、ユーザが簡単かつ迅速に証明書を使用してアクティブディレクトリユーザアカウントにログオンすることができるシステムである。
1つの態様において、本明細書に記載のリモートサービスは、クライアントデバイス上のクライアントエージェントに配置されていてもよい。これらの態様では、クライアントエージェントは直接、認証ステップを実行するためにユーザのスマートカードを使用してもよい。先に論じたように、これは、新しい仮想チャネルを使用してもよい。
高速スマートカードログオン特徴について、WINDOWS(登録商標) PKINITログオンシステムとの統合があってもよい。資格情報プロバイダパッケージを、この認証システムと相互運用するためのサーバマシンへインストールしてもよい。これは、すでにいくつかのシステムに含まれる資格情報プロバイダへの拡張を備えていてもよい。このパッケージの新機能は、CSPを使用してPKINITでログインするようにWINDOWS(登録商標)を指示することであってもよい。CSPは、最終的に実際のログオン証明書を提供し、関連する秘密鍵動作を行うリモートプロセスと通信してもよい。仮想チャネルは、CSPとクライアント上で実行されている既存の認証マネージャプログラムとの間のコンジットとして作用してもよい。3つのトランザクション(または動作)は、「スマートカードユーザ証明書の取得」、「秘密鍵署名の実行」および「秘密鍵による復号化」を含む。認証マネージャは、PKOp要求を満たすために直接、ローカルスマートカードを使用してもよく、これは、仮想化マシンにユーザをログインさせてもよい。認証マネージャは、すでにアプリケーションストアにログインするためのスマートカードのロックを解除しているであろうため、これはまた、SSO機能を提供するであろう。
関連出願の相互参照
本願は、2014年9月30日に出願され、「高速スマートカードログオンおよび連携されたフルドメインログオン」と題する、米国仮特許出願第62/057,344号の優先権を主張する。上記出願は、その全体が参照として本願に組み込まれる。
本発明の精神および範囲は、添付する特許請求の範囲の中に存在するが、本願の出願時に特許請求の範囲として存在し、その一部は補正により削除された、以下の[予備的な特許請求の範囲]の中にも潜在する。この[予備的な特許請求の範囲]の記載事項は、本願明細書の開示に含まれるものとする。
[予備的な特許請求の範囲]
[予備請求項1]・・・
[請求項21]
サーバデバイスの資格情報マッパーにおいて証明書を格納することと、
前記サーバデバイスにより、前記資格情報マッパーに格納されている前記証明書にトークンを対応させることと、
前記サーバデバイスにおいてクライアントデバイスから前記トークンを受信することと、
前記クライアントデバイスが前記クライアントデバイスから受信した前記トークンに基づいてアイデンティティ提供デバイスで認証したか否かを、前記サーバデバイスにおいて決定することと、
前記クライアントデバイスが前記アイデンティティ提供デバイスで認証したことの決定に応答して、前記クライアントデバイスがドメインへアクセスすることを許可するための一時的証明書を提供することと、を含む、方法。
[請求項22]
前記クライアントデバイスが前記アイデンティティ提供デバイスで認証したか否かを決定することは、
前記サーバデバイスにより前記アイデンティティ提供デバイスへと、前記クライアントデバイスから受信した前記トークンからの情報を送信することと、
前記アイデンティティ提供デバイスから、前記クライアントデバイスが前記アイデンティティ提供デバイスで認証したことの確認を受信することと
を含む、請求項21に記載の方法。
[請求項23]
前記クライアントデバイスが前記アイデンティティ提供デバイスで認証したか否かを決定することは、
前記サーバデバイスの前記資格情報マッパーにより、前記クライアントデバイスから受信した前記トークンが前記アイデンティティ提供デバイスにより発行されたトークンに対応するか否かを決定することと、
前記サーバデバイスのゲートウェイサービスにより、前記クライアントデバイスから受信した前記トークンが前記アイデンティティ提供デバイスにより発行された前記トークンに対応するか否かを決定することと、
前記サーバデバイスのアプリケーションストアにより、前記クライアントデバイスから受信した前記トークンが前記アイデンティティ提供デバイスにより発行された前記トークンに対応するか否かを決定することと
のうちの1つ以上を実行することを含む、請求項21に記載の方法。
[請求項24]
前記クライアントデバイスにおいて前記一時的証明書を証明鍵にリンクさせることをさらに含み、前記一時的証明書の前記提供は、前記クライアントデバイスが前記証明鍵を有することの決定に応答して前記一時的証明書を提供することを含む、
請求項21に記載の方法。
[請求項25]
前記一時的証明書を提供する前に、前記クライアントデバイスが前記トークンに基づいて前記アイデンティティ提供デバイスで認証したことの決定に応答して、前記資格情報マッパーに格納された前記証明書に基づいて前記一時的証明書を生成すること
をさらに含む、請求項21に記載の方法。
[請求項26]
前記一時的証明書は、時間制限付き証明書を含む、
請求項21に記載の方法。
[請求項27]
前記一時的証明書は、スマートカードのクラス証明書を含む、
請求項21に記載の方法。
[請求項28]
プロセッサとメモリとを含む装置であって、前記メモリは、
前記プロセッサによって実行されると、前記装置に、
前記装置の資格情報マッパーにおいて証明書を格納することと、
前記資格情報マッパーに格納されている前記証明書にトークンを対応させることと、
クライアントデバイスから前記トークンを受信することと、
前記クライアントデバイスが前記クライアントデバイスから受信した前記トークンに基づいてアイデンティティ提供デバイスで認証したか否かを決定することと、
前記クライアントデバイスが前記アイデンティティ提供デバイスで認証したことの決定に応答して、前記クライアントデバイスがドメインへアクセスすることを許可するための一時的証明書を提供することと
を行わせるコンピュータ実行可能命令を格納している、装置。
[請求項29]
前記クライアントデバイスが前記アイデンティティ提供デバイスで認証したか否かを決定することは、
前記アイデンティティ提供デバイスへと、前記クライアントデバイスから受信した前記トークンからの情報を送信することと、
前記アイデンティティ提供デバイスから、前記クライアントデバイスが前記アイデンティティ提供デバイスで認証したことの確認を受信することと
を含む、請求項28に記載の装置。
[請求項30]
前記クライアントデバイスが前記アイデンティティ提供デバイスで認証したか否かを決定することは、
前記装置の前記資格情報マッパーにより、前記クライアントデバイスから受信した前記トークンが前記アイデンティティ提供デバイスにより発行されたトークンに対応するか否かを決定することと、
前記装置のゲートウェイサービスにより、前記クライアントデバイスから受信した前記トークンが前記アイデンティティ提供デバイスにより発行された前記トークンに対応するか否かを決定することと、
前記サーバデバイスのアプリケーションストアにより、前記クライアントデバイスから受信した前記トークンが前記アイデンティティ提供デバイスにより発行された前記トークンに対応するか否かを決定することと
のうちの1つ以上を実行することを含む、請求項28に記載の装置。
[請求項31]
前記メモリは、前記プロセッサによって実行されると、前記装置に、
前記クライアントデバイスにおいて前記一時的証明書を証明鍵にリンクさせることであって、前記一時的証明書の前記提供は、前記クライアントデバイスが前記証明鍵を有することの決定に応答して前記一時的証明書を提供することを含むこと
を行わせるコンピュータ実行可能命令を格納している、
請求項28に記載の装置。
[請求項32]
前記メモリは、前記プロセッサによって実行されると、前記装置に、
前記一時的証明書を提供する前に、前記クライアントデバイスが前記トークンに基づいて前記アイデンティティ提供デバイスで認証したことの決定に応答して、前記資格情報マッパーに格納された前記証明書に基づいて前記一時的証明書を生成すること
を行わせるコンピュータ実行可能命令を格納している、
請求項28に記載の装置。
[請求項33]
前記一時的証明書は、時間制限付き証明書を含む、
請求項28に記載の装置。
[請求項34]
前記一時的証明書は、スマートカードのクラス証明書を含む、
請求項28に記載の装置。
[請求項35]
クライアントデバイスによってアイデンティティ提供デバイスへと、前記アイデンティティ提供デバイスで前記クライアントデバイスを認証するための資格情報を送信することと、
前記クライアントデバイスにおいて前記アイデンティティ提供デバイスから、前記クライアントデバイスが前記アイデンティティ提供デバイスで認証されたことを示すトークンを受信することと、
前記クライアントデバイスによってサーバデバイスへと、前記トークンを送信することと、 前記クライアントデバイスが前記トークンに基づいてドメインへのアクセスを許可されたことの前記サーバデバイスからの指示を前記クライアントデバイスが受信することに応答して、前記ドメインにアクセスするための一時的証明書を使用することと
を含む、方法。
[請求項36]
前記サーバデバイスは、前記クライアントデバイスが前記アイデンティティ提供デバイスで認証されたか否かを決定するために前記トークンを使用する、
請求項35に記載の方法。
[請求項37]
前記トークンは、前記サーバデバイスの資格情報マッパーにおいて格納された証明書にリンクされている、
請求項35に記載の方法。
[請求項38]
前記一時的証明書は、前記資格情報マッパーにおいて格納された前記証明書に基づいて生成される、
請求項37に記載の方法。
[請求項39]
前記一時的証明書は、時間制限付き証明書を含む、
請求項35に記載の方法。
[請求項40]
前記一時的証明書は、スマートカードのクラスの証明書を含む、
請求項35に記載の方法。
Claims (20)
- サーバデバイスにおいて、クライアントデバイスから、前記クライアントデバイスにあるスマートカードに基づいて前記クライアントデバイスの認証を求める要求を受信するステップと、
前記要求の受信に応答して、前記クライアントデバイスについての認証セッションを開始するステップと、
前記認証セッション中に、前記認証セッション中の動作が、前記クライアントデバイスにある前記スマートカードによって提供される署名、証明書、証明書のリスト、および、復号化動作のうちの少なくとも1つを使用することを決定するステップと、
前記決定に応答して、前記サーバデバイスから前記クライアントデバイスへ、前記サーバデバイスと前記クライアントデバイスとの間の仮想チャネルを介して、前記署名、前記証明書、前記証明書のリスト、および、前記復号化動作のうちの少なくとも1つについての要求を送信するステップとを含み、
前記仮想チャネルは、前記サーバデバイスと前記クライアントデバイスとの間でのパーソナルコンピュータ/スマートカード(PC/SC)層の接続よりも高いレベルのチャネルである、方法。 - 前記クライアントデバイスを認証するための前記要求を受信した後、前記サーバデバイスにおける資格情報プロバイダによって、前記認証セッション中に1つ以上の暗号化動作を実行するための前記サーバデバイスにおけるキーストレージプロバイダを選択することをさらに含む、請求項1に記載の方法。
- 前記クライアントデバイスを認証するための前記要求を受信した後、前記サーバデバイスにおける資格情報プロバイダによって、前記認証セッション中に1つ以上の暗号化動作を実行するための前記サーバデバイスにおける暗号化サービスプロバイダを選択することをさらに含む、請求項1に記載の方法。
- 前記決定するステップは、前記クライアントデバイスにある前記スマートカードによって提供される、前記署名、前記証明書、前記証明書のリスト、および、前記復号化動作のうちの少なくとも1つを使用する前記認証セッション中の前記動作をインターセプトする前記暗号化サービスプロバイダを含み、
前記要求を送信するステップは、前記動作のインターセプトに応答して前記要求を送信する前記暗号化サービスプロバイダを含む、
請求項3に記載の方法。 - 前記認証セッション中の動作が前記クライアントデバイスにある前記スマートカードを使用しないことの決定に応答して、前記暗号化サービスプロバイダによって、前記スマートカードを使用しない前記動作を第二の暗号化サービスプロバイダが実行することを要求するステップをさらに含む、請求項4に記載の方法。
- 前記要求を送信するステップは、サーバデバイスにおいて、前記要求を送信する暗号化サービスプロバイダを含む、請求項1に記載の方法。
- 前記クライアントデバイスにある前記スマートカードが取り外されたことを、前記仮想チャネルまたは前記PC/SC層の接続を介して前記サーバデバイスにより受信された通信を介して決定するステップをさらに含む、請求項1に記載の方法。
- 前記決定するステップは、前記認証セッション中の前記動作が前記クライアントデバイスにある前記スマートカードによって提供される前記署名を使用することを決定することを含み、
前記要求を送信するステップは、前記クライアントデバイスが前記スマートカードの秘密鍵を用いて署名動作を実行することの要求の送信を含む、請求項1に記載の方法。 - 前記決定するステップは、前記認証セッション中の前記動作が前記クライアントデバイスにおいて前記スマートカードによって提供される前記復号化動作を使用することを決定することを含み、
前記要求を送信するステップは、前記クライアントデバイスが前記スマートカードの秘密鍵を用いて前記復号化動作を実行することの要求の送信を含む、請求項1に記載の方法。 - 前記スマートカードは、物理スマートカードおよび仮想スマートカードのうちの1つ以上を含む、請求項1に記載の方法。
- 前記サーバデバイスにおいて前記クライアントデバイスから、前記スマートカードに対応するPINを受信することと、
前記サーバデバイスにおける暗号化サービスプロバイダにおいて、前記PINを格納することとをさらに含む、請求項1に記載の方法。 - プロセッサとメモリとを含む装置であって、前記メモリは、
前記プロセッサによって実行されると、前記装置に、
クライアントデバイスから、前記クライアントデバイスにあるスマートカードに基づいて前記クライアントデバイスの認証を求める要求を受信することと、
前記要求の受信に応答して、前記クライアントデバイスについての認証セッションを開始することと、
前記クライアントデバイスについての前記認証セッション中に、前記認証セッション中の動作が、前記クライアントデバイスにある前記スマートカードによって提供される、署名、証明書、証明書のリスト、および、復号化動作のうちの少なくとも1つを使用することを決定することと、
前記決定に応答して、前記クライアントデバイスへ、前記サーバデバイスと前記クライアントデバイスとの間の仮想チャネルを介して、前記署名、前記証明書、前記証明書のリスト、および、前記復号化動作のうちの少なくとも1つについての要求を送信することと
を行わせるコンピュータ実行可能命令を格納しており、
前記仮想チャネルは、前記サーバデバイスと前記クライアントデバイスとの間でのパーソナルコンピュータ/スマートカード(PC/SC)層の接続よりも高いレベルのチャネルである、装置。 - 前記メモリは、前記プロセッサによって実行されると、前記装置に、
前記クライアントデバイスを認証するための前記要求を受信した後、前記装置における資格情報プロバイダによって、前記認証セッション中に1つ以上の暗号化動作を実行するための前記装置におけるサービスプロバイダを選択することを行わせるコンピュータ実行可能命令を格納している、
請求項12に記載の装置。 - 前記決定することは、前記クライアントデバイスにある前記スマートカードによって提供される、前記署名、前記証明書、前記証明書のリスト、および、前記復号化動作のうちの少なくとも1つを使用する前記認証セッション中の前記動作をインターセプトする前記サービスプロバイダを含み、
前記要求を送信することは、前記動作のインターセプトに応答して前記要求を送信する前記サービスプロバイダを含む、
請求項13に記載の装置。 - 前記メモリは、前記プロセッサによって実行されると、前記装置に、
前記認証セッション中の動作が前記クライアントデバイスにある前記スマートカードを使用しないことの決定に応答して、前記サービスプロバイダによって、前記スマートカードを使用しない前記動作を第二のサービスプロバイダが実行することを要求すること
を行わせるコンピュータ実行可能命令を格納している、
請求項14に記載の装置。 - 前記要求を送信することは、前記要求を送信するサービスプロバイダを、装置内に含む、請求項12に記載の装置。
- 前記スマートカードは、物理スマートカードおよび仮想スマートカードのうちの1つ以上を含む、請求項12に記載の装置。
- クライアントデバイスからサーバデバイスへと、前記クライアントデバイスにあるスマートカードに基づいて前記クライアントデバイスの認証を求める要求を送信するステップと、
前記要求に応答して、前記クライアントデバイスについての認証セッション中に複数の動作を実行するステップと、
前記クライアントデバイスについての前記認証セッション中に、前記サーバデバイスと前記クライアントデバイスとの間の仮想チャネルを介して、前記クライアントデバイスにある前記スマートカードによって提供される、署名、証明書、証明書のリスト、および、復号化動作のうちの少なくとも1つについての要求を受信するステップとを含み、前記仮想チャネルは、前記サーバデバイスと前記クライアントデバイスとの間でのパーソナルコンピュータ/スマートカード(PC/SC)層の接続よりも高いレベルのチャネルである、方法。 - 前記スマートカードは、物理スマートカードおよび仮想スマートカードのうちの1つ以上を含む、請求項18に記載の方法。
- 前記サーバデバイスへと前記クライアントデバイスにより、前記PC/SC層の接続よりも高いレベルでの前記仮想チャネルを介してリモートされた動作を送信することにより前記サーバデバイスが前記クライアントデバイスを認証することの指示を送信するステップをさらに含む、請求項18に記載の方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462057344P | 2014-09-30 | 2014-09-30 | |
US62/057,344 | 2014-09-30 | ||
PCT/US2015/053118 WO2016054149A1 (en) | 2014-09-30 | 2015-09-30 | Fast smart card logon and federated full domain logon |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017535843A JP2017535843A (ja) | 2017-11-30 |
JP6526181B2 true JP6526181B2 (ja) | 2019-06-05 |
Family
ID=54292946
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017515810A Expired - Fee Related JP6526181B2 (ja) | 2014-09-30 | 2015-09-30 | スマートカードによるログオンおよび連携されたフルドメインログオン |
Country Status (5)
Country | Link |
---|---|
US (2) | US10122703B2 (ja) |
EP (2) | EP3770781B1 (ja) |
JP (1) | JP6526181B2 (ja) |
KR (1) | KR102036758B1 (ja) |
WO (1) | WO2016054149A1 (ja) |
Families Citing this family (126)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103975332B (zh) * | 2011-12-08 | 2018-08-14 | 英特尔公司 | 用于使用基于硬件的信任根以对等方式进行基于策略的内容共享的方法和装置 |
US9166962B2 (en) * | 2012-11-14 | 2015-10-20 | Blackberry Limited | Mobile communications device providing heuristic security authentication features and related methods |
US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
US10841316B2 (en) | 2014-09-30 | 2020-11-17 | Citrix Systems, Inc. | Dynamic access control to network resources using federated full domain logon |
US9942200B1 (en) * | 2014-12-02 | 2018-04-10 | Trend Micro Inc. | End user authentication using a virtual private network |
US10460313B1 (en) * | 2014-12-15 | 2019-10-29 | United Services Automobile Association (Usaa) | Systems and methods of integrated identity verification |
US9736165B2 (en) | 2015-05-29 | 2017-08-15 | At&T Intellectual Property I, L.P. | Centralized authentication for granting access to online services |
US9843572B2 (en) * | 2015-06-29 | 2017-12-12 | Airwatch Llc | Distributing an authentication key to an application installation |
US9825938B2 (en) * | 2015-10-13 | 2017-11-21 | Cloudpath Networks, Inc. | System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration |
KR20180066148A (ko) * | 2015-10-21 | 2018-06-18 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 네트워크 기능 가상화 아키텍처에서의 인증서 관리 방법 및 디바이스 |
US10218698B2 (en) * | 2015-10-29 | 2019-02-26 | Verizon Patent And Licensing Inc. | Using a mobile device number (MDN) service in multifactor authentication |
US10581617B2 (en) * | 2015-12-23 | 2020-03-03 | Mcafee, Llc | Method and apparatus for hardware based file/document expiry timer enforcement |
US10439954B1 (en) * | 2015-12-28 | 2019-10-08 | EMC IP Holding Company LLC | Virtual-enterprise cloud computing system |
US10817593B1 (en) * | 2015-12-29 | 2020-10-27 | Wells Fargo Bank, N.A. | User information gathering and distribution system |
US10581823B2 (en) * | 2016-03-21 | 2020-03-03 | Vmware, Inc. | Web client plugin manager in vCenter managed object browser |
US10050957B1 (en) * | 2016-04-08 | 2018-08-14 | Parallels International Gmbh | Smart card redirection |
US10142323B2 (en) * | 2016-04-11 | 2018-11-27 | Huawei Technologies Co., Ltd. | Activation of mobile devices in enterprise mobile management |
US10673838B2 (en) * | 2016-05-13 | 2020-06-02 | MobileIron, Inc. | Unified VPN and identity based authentication to cloud-based services |
US10523660B1 (en) | 2016-05-13 | 2019-12-31 | MobileIron, Inc. | Asserting a mobile identity to users and devices in an enterprise authentication system |
US10362021B2 (en) * | 2016-05-31 | 2019-07-23 | Airwatch Llc | Device authentication based upon tunnel client network requests |
US10171445B2 (en) * | 2016-06-30 | 2019-01-01 | International Business Machines Corporation | Secure virtualized servers |
US10356087B1 (en) * | 2016-08-26 | 2019-07-16 | Intelligent Waves Llc | System, method and computer program product for credential provisioning in a mobile device platform |
US10321313B2 (en) | 2016-09-09 | 2019-06-11 | Dell Products L.P. | Enabling remote access to a service controller having a factory-installed unique default password |
US10462228B2 (en) * | 2016-10-20 | 2019-10-29 | Wyse Technology L.L.C. | Providing access to a smartcard within a remote session |
US10333930B2 (en) * | 2016-11-14 | 2019-06-25 | General Electric Company | System and method for transparent multi-factor authentication and security posture checking |
US10764263B2 (en) | 2016-11-28 | 2020-09-01 | Ssh Communications Security Oyj | Authentication of users in a computer network |
US10951421B2 (en) | 2016-11-28 | 2021-03-16 | Ssh Communications Security Oyj | Accessing hosts in a computer network |
US10523445B2 (en) | 2016-11-28 | 2019-12-31 | Ssh Communications Security Oyj | Accessing hosts in a hybrid computer network |
US20190327093A1 (en) * | 2016-11-29 | 2019-10-24 | Habraken Holdings Llc | Cloud-implemented physical token based security |
EP3866491A1 (en) * | 2016-12-08 | 2021-08-18 | GN Hearing A/S | Fitting devices, server devices and methods of remote configuration of a hearing device |
CN108234409B (zh) * | 2016-12-15 | 2020-11-27 | 腾讯科技(深圳)有限公司 | 身份验证方法与装置 |
US11089028B1 (en) * | 2016-12-21 | 2021-08-10 | Amazon Technologies, Inc. | Tokenization federation service |
US10860342B2 (en) * | 2017-01-30 | 2020-12-08 | Citrix Systems, Inc. | Computer system providing cloud-based session prelaunch features and related methods |
US10666644B2 (en) * | 2017-02-08 | 2020-05-26 | Revbits, LLC | Enterprise key and password management system |
US10397006B2 (en) * | 2017-02-13 | 2019-08-27 | Amazon Technologies, Inc. | Network security with surrogate digital certificates |
US11115403B2 (en) | 2017-02-21 | 2021-09-07 | Baldev Krishan | Multi-level user device authentication system for internet of things (IOT) |
US10560476B2 (en) * | 2017-02-22 | 2020-02-11 | International Business Machines Corporation | Secure data storage system |
CN106685998B (zh) * | 2017-02-24 | 2020-02-07 | 浙江仟和网络科技有限公司 | 一种基于cas统一认证服务中间件的sso认证方法 |
US10791119B1 (en) * | 2017-03-14 | 2020-09-29 | F5 Networks, Inc. | Methods for temporal password injection and devices thereof |
US10491588B2 (en) * | 2017-03-23 | 2019-11-26 | Baldev Krishan | Local and remote access apparatus and system for password storage and management |
US10250723B2 (en) * | 2017-04-13 | 2019-04-02 | BlueTalon, Inc. | Protocol-level identity mapping |
US10645078B2 (en) * | 2017-05-01 | 2020-05-05 | Microsoft Technology Licensing, Llc | Smart card thumb print authentication |
CN108881130B (zh) * | 2017-05-16 | 2021-07-30 | 中国移动通信集团重庆有限公司 | 会话控制信息的安全控制方法和装置 |
US11544356B2 (en) * | 2017-06-19 | 2023-01-03 | Citrix Systems, Inc. | Systems and methods for dynamic flexible authentication in a cloud service |
WO2018236420A1 (en) * | 2017-06-20 | 2018-12-27 | Google Llc | CLOUD EQUIPMENT SECURITY MODULES FOR CRYPTOGRAPHIC EXTERNALIZATION OPERATIONS |
US10805284B2 (en) | 2017-07-12 | 2020-10-13 | Logmein, Inc. | Federated login for password vault |
GB2565282B (en) * | 2017-08-02 | 2021-12-22 | Vnc Automotive Ltd | Remote control of a computing device |
US11240240B1 (en) * | 2017-08-09 | 2022-02-01 | Sailpoint Technologies, Inc. | Identity defined secure connect |
US11303633B1 (en) | 2017-08-09 | 2022-04-12 | Sailpoint Technologies, Inc. | Identity security gateway agent |
US11240207B2 (en) | 2017-08-11 | 2022-02-01 | L3 Technologies, Inc. | Network isolation |
US10721222B2 (en) * | 2017-08-17 | 2020-07-21 | Citrix Systems, Inc. | Extending single-sign-on to relying parties of federated logon providers |
US11601467B2 (en) | 2017-08-24 | 2023-03-07 | L3 Technologies, Inc. | Service provider advanced threat protection |
JP2019062284A (ja) * | 2017-09-25 | 2019-04-18 | 株式会社野村総合研究所 | 情報処理装置および情報処理方法 |
US11178104B2 (en) | 2017-09-26 | 2021-11-16 | L3 Technologies, Inc. | Network isolation with cloud networks |
US9948612B1 (en) * | 2017-09-27 | 2018-04-17 | Citrix Systems, Inc. | Secure single sign on and conditional access for client applications |
US11223601B2 (en) | 2017-09-28 | 2022-01-11 | L3 Technologies, Inc. | Network isolation for collaboration software |
US11184323B2 (en) | 2017-09-28 | 2021-11-23 | L3 Technologies, Inc | Threat isolation using a plurality of containers |
US11552987B2 (en) | 2017-09-28 | 2023-01-10 | L3 Technologies, Inc. | Systems and methods for command and control protection |
US11336619B2 (en) | 2017-09-28 | 2022-05-17 | L3 Technologies, Inc. | Host process and memory separation |
US11374906B2 (en) | 2017-09-28 | 2022-06-28 | L3 Technologies, Inc. | Data exfiltration system and methods |
US10931669B2 (en) * | 2017-09-28 | 2021-02-23 | L3 Technologies, Inc. | Endpoint protection and authentication |
US10834081B2 (en) * | 2017-10-19 | 2020-11-10 | International Business Machines Corporation | Secure access management for tools within a secure environment |
US11120125B2 (en) | 2017-10-23 | 2021-09-14 | L3 Technologies, Inc. | Configurable internet isolation and security for laptops and similar devices |
US11170096B2 (en) | 2017-10-23 | 2021-11-09 | L3 Technologies, Inc. | Configurable internet isolation and security for mobile devices |
US11550898B2 (en) | 2017-10-23 | 2023-01-10 | L3 Technologies, Inc. | Browser application implementing sandbox based internet isolation |
US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
US20190182242A1 (en) * | 2017-12-11 | 2019-06-13 | Cyberark Software Ltd. | Authentication in integrated system environment |
US11095638B2 (en) * | 2017-12-11 | 2021-08-17 | Ssh Communications Security Oyj | Access security in computer networks |
FR3076363B1 (fr) * | 2017-12-30 | 2020-01-24 | Imprimerie Nationale | Procede d'authentification a l'aide d'un terminal mobile utilisant une cle et un certificat stockes sur un support externe |
US11831409B2 (en) * | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
US10931667B2 (en) * | 2018-01-17 | 2021-02-23 | Baldev Krishan | Method and system for performing user authentication |
US11070551B2 (en) * | 2018-01-18 | 2021-07-20 | Dell Products L.P. | System and method for remote access to a personal computer as a service using a remote desktop protocol and windows hello support |
US11463426B1 (en) | 2018-01-25 | 2022-10-04 | Sailpoint Technologies, Inc. | Vaultless authentication |
US10824744B2 (en) | 2018-02-08 | 2020-11-03 | Cisco Technology, Inc. | Secure client-server communication |
US10958640B2 (en) * | 2018-02-08 | 2021-03-23 | Citrix Systems, Inc. | Fast smart card login |
US10733329B1 (en) * | 2018-04-20 | 2020-08-04 | Automation Anywhere, Inc. | Robotic process automation system and method with secure credential vault |
EP3782058B1 (en) * | 2018-04-20 | 2024-03-20 | Vishal Gupta | Decentralized document and entity verification engine |
WO2019212579A1 (en) | 2018-04-30 | 2019-11-07 | Google Llc | Managing enclave creation through a uniform enclave interface |
WO2019212580A1 (en) * | 2018-04-30 | 2019-11-07 | Google Llc | Enclave interactions |
US11921905B2 (en) | 2018-04-30 | 2024-03-05 | Google Llc | Secure collaboration between processors and processing accelerators in enclaves |
US10887287B2 (en) | 2018-05-11 | 2021-01-05 | Citrix Systems, Inc. | Connecting client devices to anonymous sessions via helpers |
US11245683B2 (en) * | 2018-07-06 | 2022-02-08 | Citrix Systems, Inc. | Single-sign-on for third party mobile applications |
US11785114B1 (en) * | 2018-07-20 | 2023-10-10 | Verisign, Inc. | Caching proxy for a digital object architecture |
KR102553145B1 (ko) * | 2018-07-24 | 2023-07-07 | 삼성전자주식회사 | 디지털 키를 처리 및 인증하는 보안 요소 및 그 동작 방법 |
US11429753B2 (en) | 2018-09-27 | 2022-08-30 | Citrix Systems, Inc. | Encryption of keyboard data to avoid being read by endpoint-hosted keylogger applications |
CN109450872A (zh) * | 2018-10-23 | 2019-03-08 | 中国联合网络通信集团有限公司 | 用户身份认证方法、系统、存储介质及电子设备 |
CN109617858B (zh) * | 2018-11-05 | 2020-04-24 | 视联动力信息技术股份有限公司 | 一种流媒体链路的加密方法和装置 |
US10938846B1 (en) | 2018-11-20 | 2021-03-02 | Trend Micro Incorporated | Anomalous logon detector for protecting servers of a computer network |
US11036838B2 (en) | 2018-12-05 | 2021-06-15 | Bank Of America Corporation | Processing authentication requests to secured information systems using machine-learned user-account behavior profiles |
US11048793B2 (en) | 2018-12-05 | 2021-06-29 | Bank Of America Corporation | Dynamically generating activity prompts to build and refine machine learning authentication models |
US11159510B2 (en) * | 2018-12-05 | 2021-10-26 | Bank Of America Corporation | Utilizing federated user identifiers to enable secure information sharing |
US11113370B2 (en) | 2018-12-05 | 2021-09-07 | Bank Of America Corporation | Processing authentication requests to secured information systems using machine-learned user-account behavior profiles |
US11120109B2 (en) | 2018-12-05 | 2021-09-14 | Bank Of America Corporation | Processing authentication requests to secured information systems based on machine-learned event profiles |
US11176230B2 (en) | 2018-12-05 | 2021-11-16 | Bank Of America Corporation | Processing authentication requests to secured information systems based on user behavior profiles |
US11323431B2 (en) * | 2019-01-31 | 2022-05-03 | Citrix Systems, Inc. | Secure sign-on using personal authentication tag |
US11146961B2 (en) * | 2019-03-04 | 2021-10-12 | Jpmorgan Chase Bank, N.A. | Third party certificate management for native mobile apps and internet of things apps |
US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
US20220200973A1 (en) * | 2019-04-15 | 2022-06-23 | Bear System, LLC | Blockchain schema for secure data transmission |
US11483143B2 (en) * | 2019-04-15 | 2022-10-25 | Smart Security Systems, Llc | Enhanced monitoring and protection of enterprise data |
CN111835688B (zh) * | 2019-04-22 | 2021-07-30 | 中国科学院声学研究所 | 一种基于ssl/tls协议的流量快速转发方法及系统 |
US11949677B2 (en) * | 2019-04-23 | 2024-04-02 | Microsoft Technology Licensing, Llc | Resource access based on audio signal |
US11469894B2 (en) | 2019-05-20 | 2022-10-11 | Citrix Systems, Inc. | Computing system and methods providing session access based upon authentication token with different authentication credentials |
US11876798B2 (en) * | 2019-05-20 | 2024-01-16 | Citrix Systems, Inc. | Virtual delivery appliance and system with remote authentication and related methods |
US11362943B2 (en) | 2019-05-20 | 2022-06-14 | Citrix Systems, Inc. | System and method for validating virtual session requests |
EP3973681A4 (en) * | 2019-05-23 | 2022-12-21 | Citrix Systems, Inc. | SECURE WEB APPLICATION DELIVERY PLATFORM |
US11652801B2 (en) | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
KR102119257B1 (ko) * | 2019-09-24 | 2020-06-26 | 프라이빗테크놀로지 주식회사 | 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 |
US11381557B2 (en) | 2019-09-24 | 2022-07-05 | Pribit Technology, Inc. | Secure data transmission using a controlled node flow |
US11611549B2 (en) * | 2019-10-03 | 2023-03-21 | Fset Inc | System and method of securing access to a secure remote server and database on a mobile device |
US11432149B1 (en) | 2019-10-10 | 2022-08-30 | Wells Fargo Bank, N.A. | Self-sovereign identification via digital credentials for selected identity attributes |
US11729160B2 (en) * | 2019-10-16 | 2023-08-15 | Nutanix, Inc. | System and method for selecting authentication methods for secure transport layer communication |
US20210136114A1 (en) * | 2019-10-31 | 2021-05-06 | Microsoft Technology Licensing, Llc | Instant policy enforcement |
WO2021107178A1 (ko) * | 2019-11-27 | 2021-06-03 | (주)이스톰 | 로그인 계정 정보 관리 방법 |
US11907356B2 (en) * | 2020-01-09 | 2024-02-20 | Arris Enterprises Llc | System, method, and computer-readable recording medium of creating, accessing, and recovering a user account with single sign on password hidden authentication |
US10986504B1 (en) | 2020-03-24 | 2021-04-20 | Appbrilliance, Inc. | System architecture for accessing secure data from a mobile device in communication with a remote server |
US20230138622A1 (en) * | 2020-05-11 | 2023-05-04 | Acxiom Llc | Emergency Access Control for Cross-Platform Computing Environment |
US20220038502A1 (en) * | 2020-07-30 | 2022-02-03 | 9287-2621 Québec inc. | Method and system for processing authentication requests |
CN112153032A (zh) * | 2020-09-15 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、装置、计算机可读存储介质及系统 |
US10965665B1 (en) | 2020-09-16 | 2021-03-30 | Sailpoint Technologies, Inc | Passwordless privilege access |
US11777941B2 (en) * | 2020-09-30 | 2023-10-03 | Mideye Ab | Methods and authentication server for authentication of users requesting access to a restricted data resource using authorized approvers |
KR102557946B1 (ko) * | 2020-11-23 | 2023-07-19 | 주식회사 국민은행 | 수탁업무 보안 관리 시스템 및 방법 |
US20220173890A1 (en) | 2020-11-30 | 2022-06-02 | Citrix Systems, Inc. | Smart card and associated methods for initiating virtual sessions at kiosk device |
US20220377060A1 (en) * | 2021-05-19 | 2022-11-24 | Microsoft Technology Licensing, Llc | Maintaining and recovering secure cloud connections |
US11936658B2 (en) | 2021-11-15 | 2024-03-19 | Bank Of America Corporation | Intelligent assignment of a network resource |
US11971974B2 (en) * | 2021-12-10 | 2024-04-30 | Konica Minolta Business Solutions U.S.A., Inc. | Method and system for mapping a virtual smart card to a plurality of users |
EP4235324A1 (de) * | 2022-02-24 | 2023-08-30 | Schneider Electric Industries SAS | Verfahren zur steuerung einer industriellen anlage |
Family Cites Families (70)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6327578B1 (en) | 1998-12-29 | 2001-12-04 | International Business Machines Corporation | Four-party credit/debit payment protocol |
US7343351B1 (en) * | 1999-08-31 | 2008-03-11 | American Express Travel Related Services Company, Inc. | Methods and apparatus for conducting electronic transactions |
US7526560B1 (en) * | 2000-03-30 | 2009-04-28 | Oracle International Corporation | Method and apparatus for sharing a secure connection between a client and multiple server nodes |
CA2305249A1 (en) * | 2000-04-14 | 2001-10-14 | Branko Sarcanin | Virtual safe |
US6993521B2 (en) | 2000-06-09 | 2006-01-31 | Northrop Grumman Corporation | System and method for arranging digital certificates on a hardware token |
JP2003150553A (ja) | 2001-11-14 | 2003-05-23 | Nippon Telegr & Teleph Corp <Ntt> | 複数のアカウントを用いた認証方法及び装置並びに処理プログラム |
JP4304362B2 (ja) | 2002-06-25 | 2009-07-29 | 日本電気株式会社 | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
US20050021526A1 (en) | 2002-07-11 | 2005-01-27 | International Business Machines Corporation | Method for ensuring the availability of a service proposed by a service provider |
US20060005237A1 (en) * | 2003-01-30 | 2006-01-05 | Hiroshi Kobata | Securing computer network communication using a proxy server |
US7644275B2 (en) | 2003-04-15 | 2010-01-05 | Microsoft Corporation | Pass-thru for client authentication |
KR100524049B1 (ko) * | 2003-05-12 | 2005-10-27 | 박봉주 | 서버와 클라이언트간의 인증시스템과 그 방법 |
US20050154889A1 (en) * | 2004-01-08 | 2005-07-14 | International Business Machines Corporation | Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol |
JP3918827B2 (ja) | 2004-01-21 | 2007-05-23 | 株式会社日立製作所 | セキュアリモートアクセスシステム |
GB0411861D0 (en) | 2004-05-27 | 2004-06-30 | Koninkl Philips Electronics Nv | Authentication of applications |
GB2415580B (en) * | 2004-06-24 | 2006-08-16 | Toshiba Res Europ Ltd | Network node security analysis method |
US7430663B2 (en) | 2004-08-09 | 2008-09-30 | Research In Motion Limited | System and method for enabling bulk retrieval of certificates |
US7591008B2 (en) * | 2005-06-30 | 2009-09-15 | Microsoft Corporation | Client authentication using multiple user certificates |
US20090083537A1 (en) * | 2005-08-10 | 2009-03-26 | Riverbed Technology, Inc. | Server configuration selection for ssl interception |
US8220042B2 (en) | 2005-09-12 | 2012-07-10 | Microsoft Corporation | Creating secure interactive connections with remote resources |
US8024785B2 (en) | 2006-01-16 | 2011-09-20 | International Business Machines Corporation | Method and data processing system for intercepting communication between a client and a service |
US20090037728A1 (en) | 2006-02-28 | 2009-02-05 | Matsushita Electric Industrial Co., Ltd. | Authentication System, CE Device, Mobile Terminal, Key Certificate Issuing Station, And Key Certificate Acquisition Method |
US20070245414A1 (en) | 2006-04-14 | 2007-10-18 | Microsoft Corporation | Proxy Authentication and Indirect Certificate Chaining |
JP4867482B2 (ja) * | 2006-06-06 | 2012-02-01 | 富士ゼロックス株式会社 | 制御プログラムおよび通信システム |
US20070283143A1 (en) | 2006-06-06 | 2007-12-06 | Kabushiki Kaisha Toshiba | System and method for certificate-based client registration via a document processing device |
CN101090351B (zh) | 2006-06-14 | 2010-04-21 | 华为技术有限公司 | 一种WiMAX网络中功能实体的迁移方法 |
US20100242102A1 (en) | 2006-06-27 | 2010-09-23 | Microsoft Corporation | Biometric credential verification framework |
US8341411B2 (en) * | 2006-08-16 | 2012-12-25 | Research In Motion Limited | Enabling use of a certificate stored in a smart card |
US8214635B2 (en) | 2006-11-28 | 2012-07-03 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
CA2569355C (en) * | 2006-11-29 | 2014-10-14 | Diversinet Corp. | System and method for handling permits for user authentication tokens |
US20090037729A1 (en) * | 2007-08-03 | 2009-02-05 | Lawrence Smith | Authentication factors with public-key infrastructure |
US7748609B2 (en) * | 2007-08-31 | 2010-07-06 | Gemalto Inc. | System and method for browser based access to smart cards |
US8386776B2 (en) * | 2007-09-25 | 2013-02-26 | Nec Corporation | Certificate generating/distributing system, certificate generating/distributing method and certificate generating/distributing program |
US20090113543A1 (en) * | 2007-10-25 | 2009-04-30 | Research In Motion Limited | Authentication certificate management for access to a wireless communication device |
US10594695B2 (en) * | 2007-12-10 | 2020-03-17 | Nokia Technologies Oy | Authentication arrangement |
US8621561B2 (en) | 2008-01-04 | 2013-12-31 | Microsoft Corporation | Selective authorization based on authentication input attributes |
JP5276346B2 (ja) | 2008-03-31 | 2013-08-28 | 株式会社エヌ・ティ・ティ・データ | 認証サーバ、認証方法、及びそのプログラム |
WO2010094125A1 (en) * | 2009-02-19 | 2010-08-26 | Securekey Technologies Inc. | System and methods for online authentication |
US8639922B2 (en) * | 2009-06-01 | 2014-01-28 | Dhananjay S. Phatak | System, method, and apparata for secure communications using an electrical grid network |
JP5315137B2 (ja) | 2009-06-11 | 2013-10-16 | 株式会社エヌ・ティ・ティ・データ | 認証システム、認証方法、読取装置およびプログラム |
US8850554B2 (en) * | 2010-02-17 | 2014-09-30 | Nokia Corporation | Method and apparatus for providing an authentication context-based session |
US20110202989A1 (en) | 2010-02-18 | 2011-08-18 | Nokia Corporation | Method and apparatus for providing authentication session sharing |
US8353019B2 (en) | 2010-03-26 | 2013-01-08 | Canon Kabushiki Kaisha | Security token destined for multiple or group of service providers |
WO2011128183A2 (en) | 2010-04-13 | 2011-10-20 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for interworking with single sign-on authentication architecture |
AU2011245059A1 (en) | 2010-04-30 | 2012-11-08 | Kl Data Security Pty Ltd | Method and system for enabling computer access |
US8997196B2 (en) | 2010-06-14 | 2015-03-31 | Microsoft Corporation | Flexible end-point compliance and strong authentication for distributed hybrid enterprises |
DE102010030590A1 (de) * | 2010-06-28 | 2011-12-29 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Zertifikats |
CN101938520B (zh) * | 2010-09-07 | 2015-01-28 | 中兴通讯股份有限公司 | 一种基于移动终端签名的远程支付系统及方法 |
FR2969879A1 (fr) * | 2010-12-23 | 2012-06-29 | France Telecom | Acces anonyme a un service au moyen de certificats agreges |
CN102546570B (zh) | 2010-12-31 | 2014-12-24 | 国际商业机器公司 | 用于单点登录的处理方法和系统 |
WO2012140477A1 (en) | 2011-04-15 | 2012-10-18 | Nokia Corporation | Method and apparatus for providing secret delegation |
US9111086B2 (en) | 2011-04-18 | 2015-08-18 | Sap Se | Secure management of user rights during accessing of external systems |
US8630989B2 (en) | 2011-05-27 | 2014-01-14 | International Business Machines Corporation | Systems and methods for information extraction using contextual pattern discovery |
US8806602B2 (en) | 2011-08-15 | 2014-08-12 | Bank Of America Corporation | Apparatus and method for performing end-to-end encryption |
US8572683B2 (en) | 2011-08-15 | 2013-10-29 | Bank Of America Corporation | Method and apparatus for token-based re-authentication |
US8789162B2 (en) | 2011-08-15 | 2014-07-22 | Bank Of America Corporation | Method and apparatus for making token-based access decisions |
US9361443B2 (en) | 2011-08-15 | 2016-06-07 | Bank Of America Corporation | Method and apparatus for token-based combining of authentication methods |
US8539558B2 (en) | 2011-08-15 | 2013-09-17 | Bank Of America Corporation | Method and apparatus for token-based token termination |
US8950002B2 (en) | 2011-08-15 | 2015-02-03 | Bank Of America Corporation | Method and apparatus for token-based access of related resources |
US8688847B2 (en) | 2011-08-30 | 2014-04-01 | Qatar Foundation | System and method for network connection adaptation |
US8695060B2 (en) | 2011-10-10 | 2014-04-08 | Openpeak Inc. | System and method for creating secure applications |
JP5197843B1 (ja) | 2011-12-27 | 2013-05-15 | 株式会社東芝 | 認証連携システムおよびidプロバイダ装置 |
US8966268B2 (en) | 2011-12-30 | 2015-02-24 | Vasco Data Security, Inc. | Strong authentication token with visual output of PKI signatures |
US8707405B2 (en) | 2012-01-11 | 2014-04-22 | International Business Machines Corporation | Refreshing group membership information for a user identifier associated with a security context |
US20130185567A1 (en) | 2012-01-13 | 2013-07-18 | Greg Salyards | Method or process for securing computers or mobile computer devices with a contact or dual-interface smart card |
US9491620B2 (en) * | 2012-02-10 | 2016-11-08 | Qualcomm Incorporated | Enabling secure access to a discovered location server for a mobile device |
US8955041B2 (en) | 2012-02-17 | 2015-02-10 | Kabushiki Kaisha Toshiba | Authentication collaboration system, ID provider device, and program |
US20130275282A1 (en) | 2012-04-17 | 2013-10-17 | Microsoft Corporation | Anonymous billing |
US8935769B2 (en) | 2012-09-28 | 2015-01-13 | Liveensure, Inc. | Method for mobile security via multi-factor context authentication |
WO2014120183A1 (en) | 2013-01-31 | 2014-08-07 | Hewlett-Packard Development Company, L.P. | Synchronization of security-related data |
US9154488B2 (en) | 2013-05-03 | 2015-10-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
-
2015
- 2015-09-30 US US14/870,447 patent/US10122703B2/en active Active
- 2015-09-30 EP EP20196500.1A patent/EP3770781B1/en active Active
- 2015-09-30 KR KR1020177011978A patent/KR102036758B1/ko active IP Right Grant
- 2015-09-30 US US14/870,435 patent/US10021088B2/en active Active
- 2015-09-30 WO PCT/US2015/053118 patent/WO2016054149A1/en active Application Filing
- 2015-09-30 EP EP15778842.3A patent/EP3201816B1/en active Active
- 2015-09-30 JP JP2017515810A patent/JP6526181B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US10122703B2 (en) | 2018-11-06 |
JP2017535843A (ja) | 2017-11-30 |
KR102036758B1 (ko) | 2019-10-28 |
EP3201816A1 (en) | 2017-08-09 |
KR20170062529A (ko) | 2017-06-07 |
EP3770781A1 (en) | 2021-01-27 |
EP3201816B1 (en) | 2022-09-07 |
US20160094543A1 (en) | 2016-03-31 |
WO2016054149A1 (en) | 2016-04-07 |
EP3770781B1 (en) | 2022-06-08 |
US20160094546A1 (en) | 2016-03-31 |
US10021088B2 (en) | 2018-07-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11695757B2 (en) | Fast smart card login | |
US11641361B2 (en) | Dynamic access control to network resources using federated full domain logon | |
JP6526181B2 (ja) | スマートカードによるログオンおよび連携されたフルドメインログオン | |
US11997083B2 (en) | Secure authentication of a device through attestation by another device | |
JP6731023B2 (ja) | クライアントアプリケーションのためのセキュアなシングルサインオン及び条件付きアクセス | |
JP6121049B2 (ja) | プロキシを使用したリソースへの安全なアクセス | |
JP6335280B2 (ja) | 企業システムにおけるユーザおよびデバイスの認証 | |
JP6222592B2 (ja) | モバイルアプリケーション管理のためのモバイルアプリケーションのアイデンティティの検証 | |
CN113316783A (zh) | 使用活动目录和一次性口令令牌组合的双因素身份认证 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180726 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20181025 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181130 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190328 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190507 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6526181 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |