JP6691545B2 - 組織ユーザ識別管理を使用した自動鍵管理 - Google Patents

組織ユーザ識別管理を使用した自動鍵管理 Download PDF

Info

Publication number
JP6691545B2
JP6691545B2 JP2017535998A JP2017535998A JP6691545B2 JP 6691545 B2 JP6691545 B2 JP 6691545B2 JP 2017535998 A JP2017535998 A JP 2017535998A JP 2017535998 A JP2017535998 A JP 2017535998A JP 6691545 B2 JP6691545 B2 JP 6691545B2
Authority
JP
Japan
Prior art keywords
user
identifier
private key
key
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017535998A
Other languages
English (en)
Other versions
JP2018511952A (ja
Inventor
スレーダール、バグラナム
ヘルナンデス、ミルトン
アダム、コスタンチン、ミルチャ
ヴィヴェカナンダン、プレマ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/621,852 external-priority patent/US10348727B2/en
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2018511952A publication Critical patent/JP2018511952A/ja
Application granted granted Critical
Publication of JP6691545B2 publication Critical patent/JP6691545B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

本発明の実施形態は一般に、認証鍵ペアを使用してユーザが通信ネットワークを介してサーバに安全にアクセスできるようにする、データ処理システム、ソフトウェア、および方法に関する。
鍵ベースの認証は、一般に、パスワードベースの認証よりも安全であると考えられる。セキュア・シェル(SSH)など、いくつかのツールは、鍵ベースの認証とパスワードベースの認証との両方に対するサポートを提供する。SSHについては、例えば、RFC 4253, "The Secure Shell (SSH) Transport LayerProtocol", T. Ylonen and C. Lonvick, 2006において一般に参照することができる。
識別(identity)の妥当性検査を補助するために、SSHは、鍵管理能力および関連エージェントを有する。公開鍵認証を用いて構成されたとき、鍵は、ユーザの識別をリモートSSHホストに対して証明する。SSHベースの識別は、公開鍵と秘密鍵という2つの部分からなる。秘密SSH鍵は、アウトバウンドSSH接続のためのユーザの識別であり、機密に維持されるべきである。ユーザがリモート・ホストまたはサーバへのSSHまたはSCPセッションを開始するとき、ユーザは、SSHクライアントを介して、リモート・ホストまたはサーバへのアクセスを得る。
秘密鍵は、決してクライアントを離れるべきでなく、「パスフレーズ」を使用して暗号化されるべきである。秘密鍵が紛失したかまたは盗まれたときは、新しい鍵ペアが再生成されるべきであり、組織(enterprise)は、すべてのパスワードベースのSSH認証をディセーブルにすることができる。
RFC 4253, "The Secure Shell(SSH) Transport Layer Protocol", T. Ylonen and C. Lonvick, 2006
SSHなどのツールによって使用される秘密鍵と公開鍵(鍵ペア)の管理は、組織セキュリティおよびコンプライアンスを確実にするために重要である。法人(corporation)、営利もしくは非営利団体(organization)、または行政機関など、大きい組織は、通常、数百万個の鍵ペアを追跡する必要がある。不正流用される秘密鍵は、組織にとって大きいセキュリティ・リスクとなり得る。さらに、秘密鍵を所有するユーザが組織を去るときは、組織の1つまたは複数のサーバ上に記憶されたどのような対応する公開鍵も無効化/除去することが重要である。一般的なルールとして、秘密鍵は、共有されるべきでなく、理想的には、共有されることが防止されるべきである。
鍵管理のための現在利用可能なツールおよび技法は、これらおよび他の問題に十分に対処しない。
本発明の非限定的な一態様によれば、ユーザのための鍵ペアを形成することであって、鍵ペアが公開鍵および秘密鍵を含み、秘密鍵が、ユーザに固有であり、パスフレーズを使用して暗号化され、パスフレーズが、ユーザの組織パスワードと、ユーザが組織にアクセスするためのデバイスを組織中で一意に識別する識別子とを含む、形成することと、秘密鍵をユーザ・デバイスに記憶し、公開鍵を、ユーザによってアクセスされる少なくとも1つの組織サーバに記憶することと、を含む方法が提供される。
一実施形態では、ユーザは、セキュア・シェル(SSH)クライアントを介して組織サーバにアクセスする。
一実施形態では、方法はさらに、パスワードおよび識別子と共に、秘密鍵をユーザ・デバイスからSSHクライアントに提供し、秘密鍵を復号して復号済みのパスワードおよび識別子を取得し、復号済みのパスワードおよび識別子が、秘密鍵と共に提供されたパスワードおよび識別子と一致する場合にのみ、ユーザが組織サーバにアクセスできるようにすること、を含む。しかし、本発明がSSHクライアントの使用に限定されないことは理解されるであろう。
本発明の別の非限定的な態様によれば、ソフトウェア命令を記憶した少なくとも1つのメモリに接続された少なくとも1つのデータ・プロセッサを備えるシステムが提供される。このシステム中では、少なくとも1つのデータ・プロセッサによるソフトウェア命令の実行が、ユーザのための鍵ペアを形成することであって、鍵ペアが公開鍵および秘密鍵を含み、秘密鍵が、ユーザに固有であり、パスフレーズを使用して暗号化され、パスフレーズが、ユーザの組織パスワードと、ユーザが組織にアクセスするためのデバイスを組織中で一意に識別する識別子とを含む、形成することと、秘密鍵をユーザのデバイスに記憶し、公開鍵を、ユーザによってアクセスされる少なくとも1つの組織サーバに記憶することと、を前記システムに行わせる。
本発明のさらに別の非限定的な態様によれば、コンピュータ可読媒体上のソフトウェア命令を含むコンピュータ・プログラム製品が提供される。コンピュータを使用してソフトウェア命令を実行する結果として、ユーザのための鍵ペアを形成することであって、鍵ペアが公開鍵および秘密鍵を含み、秘密鍵が、ユーザに固有であり、パスフレーズを使用して暗号化され、パスフレーズが、ユーザの組織パスワードと、ユーザが組織にアクセスするためのデバイスを組織中で一意に識別する識別子とを含む、形成することと、秘密鍵をユーザのデバイスに記憶し、公開鍵を、ユーザによってアクセスされる少なくとも1つの組織サーバに記憶することと、を含む動作が実施される。
次に、単なる例として、後続の図面を参照しながら本発明の好ましい一実施形態について述べる。
本発明の一実施形態による鍵管理システムのブロック図および信号流れ図である。 図1に示されるシステムのコンポーネントの1つまたは複数を実現するのに使用できるデータ処理システム200の一実施形態の非限定的な例を提示する図である。 本発明の方法の一実施形態の例による論理流れ図(フロー・チャート)、ならびに、本発明の実施形態によるコンピュータ・ソフトウェアの実行の結果を示す図である。
序論として、鍵管理は、理想的には、組織ユーザ識別子(ID)およびパスワードの管理と同じくらいシームレスであるべきである。通常の組織パスワード失効ポリシーの場合と同様、理想的には、ユーザの組織パスワードが失効したときは常に、ユーザの1つまたは複数のセキュリティ鍵は失効すべきである。さらに、組織ユーザが覚える必要のあるパスワードが1つだけであり、所有する必要のある秘密鍵が1つだけであれば、好ましいであろう。さらに、ユーザが複数の秘密鍵を必要とする場合は、理想的には、このユーザに関連するすべての秘密鍵は、例えばユーザがこの組織にもはや関連しなくなった場合に、失効すべきである。さらにまた、組織パスワードが失効したときは、対応するどのような秘密鍵もまた失効すべきであることが望ましい。また、ユーザが新しいデバイスを入手した場合、またはユーザのデバイスが置き忘れられたか盗まれた場合は、秘密鍵もまた失効すべきである。
本明細書で考察されるように、秘密鍵は、ユーザに固有である(少なくとも当該の組織または団体内では)。すなわち、秘密鍵は、(その組織または団体の)単一のユーザによってしか所有できない。加えて、通常、秘密鍵は、少数のデバイス上で有効であり、これらのデバイスはまた、同じユーザによって所有されるかまたは制御されるかあるいはその両方がなされるものである。
鍵のアカウンタビリティは、重要なセキュリティ考慮事項である。というのは、組織は、監査要件またはコンプライアンス要件あるいはその両方のため、すべての鍵を追跡する必要がある場合があるからである。組織はまた、鍵(秘密鍵と公開鍵の両方)の所有権も追跡できるべきである。さらに、組織が秘密鍵を常に追跡している必要がある場合は、好ましくは、クライアント・コンピュータ上に、すなわち、組織に関連するサーバに組織ユーザがアクセスする際に経由されるコンピューティング・デバイス上に、暗号化された秘密鍵が記憶されるべきである。これらの考慮事項はまた、組織が公衆クラウド・サービスなどのサード・パーティ・サービスを提供するときにも重要となり得る。一般に、組織ユーザ鍵管理は、明確に定義されたアプリケーション・プログラム・インタフェース(API)に基づくべきである。
様々な鍵ベースおよびパスワードベースの認証アプローチを比較することは、有益である。例えば、SSH鍵認証の場合、秘密鍵はワイヤを介して送られることは決してなく(すなわち決して曝されず)、認証は、ユーザが有するもの(鍵)に基づく。単一の秘密鍵を使用して、複数のサーバにログインすることができる。しかし、秘密鍵は、不正流用される可能性があり、したがって、パスフレーズの使用などによってセキュリティ保護されるべきである。一般に、秘密鍵はクライアントによって管理され、公開鍵はサーバによって管理される。秘密鍵はまた、いくつかのコマンドの実行を制限するのに使用することもでき、また、非対話式ログインを達成するのに使用することもできる。
SSHパスワード認証の場合、ユーザのパスワードは、サーバ認証のためにワイヤを介して送られる(サーバがパスワードを管理する)。この場合、認証は、ユーザが知っているもの(パスワード)に基づく。複数のパスワードが必要とされることがあり、これらのパスワードは、通常は平文で記録され、したがって不正流用されやすい。SSHパスワード認証は、一般に、コマンドの制限も非対話式ログインもサポートしない。
セキュリティ考慮事項は、中間者攻撃(man in the middle attack)の危険を含み得る。中間者攻撃では、安全なチャネル上でもパスワードが傍受される可能性がある。また、パスワード認証の場合、ブルート・フォース攻撃が成功する可能性もより高い。
本発明の様々な実施形態は、有益なことに、前述のおよび他の問題に対処し、これらの問題の解決を試みる。
本発明の様々な実施形態による鍵管理の教示を実施できるシステム100のブロック図を示すための図1を参照する。システム100は、以下のものに限定されないが、公開会社(company)、非公開会社、営利もしくは非営利団体、または行政機関などの、組織において実装することができる。いくつかの実施形態では、システム100は、組織のコンピュータ上で稼働するソフトウェアとして実装することができ、他の実施形態では、システム100は、クラウド・コンピューティング環境において少なくとも1つのバーチャル・マシン上で、全体的または部分的に実装することができる。
システム100は、本発明の実施形態によれば、識別および鍵管理システムまたはツール102を含み、この識別および鍵管理システムまたはツール102は、鍵生成サブシステムまたはツール102Aと、鍵管理ストア102Bとを備える。システム100はまた、1つまたは複数のサーバ104と、組織の従業員に関係する情報が記憶される組織ディレクトリ106と、SSHクライアント108と、少なくとも1つのクライアント・コンピュータ110とを含む。クライアント・コンピュータ110は、従業員によって使用されるものであり、デスクトップPC、ラップトップPC、ワークステーション、または、タブレット・コンピュータや、スマートフォンのような通信デバイス等の、モバイル・デバイスなど、任意の適切な形をとることができる。クライアント・コンピュータ110は、組織イントラネットと接続される。
動作時、「1」としてラベル付けされた図1の信号流れ線を参照すると、ユーザは、以下の情報を入力してから「鍵ペアを生成する」制御またはボタンを作動化するよう、クライアント・コンピュータ110におけるAPIを介して促される。
a)組織ユーザIDおよびイントラネット・パスワード。
b)ユーザの公開鍵が記憶されることになる、ユーザによってアクセスされるサーバ104のリスト。
c)サーバ104とのSSHセッションを確立するのに使用されることになる、クライアント・コンピュータ110の媒体アクセス制御(MAC)アドレス。いくつかの実施形態では、MACアドレスは、ユーザの直接関与なしにクライアント・コンピュータ110から出力されてよい。
秘密鍵が複数のクライアント・コンピュータによって共有されないことを確実にするために、秘密鍵は、MACアドレスを使用して暗号化されてよい。秘密鍵が複数のクライアント・コンピュータにわたって共有されることを組織が許可する場合は、別の実施形態では、MACアドレスは使用されず、クライアント・コンピュータ110の固有のモバイルIDなど、ユーザが有する他の何らかのメカニズムが採用される。いずれの場合も、秘密鍵の暗号化は、クライアント・コンピュータを組織中で一意に識別するクライアント・コンピュータ110の識別子を、部分的に使用することが好ましい。
「2」としてラベル付けされた図1の信号流れ線を参照すると、鍵生成ツール102Aは、組織ディレクトリ106を使用して、入力された組織IDおよびイントラネット・パスワードの有効性を検証する。
このユーザ情報が正しいと仮定すると、また、「3」としてラベル付けされた図1の信号流れ線を参照すると、鍵生成ツール102Aは、鍵ペアを生成し、公開鍵および秘密鍵を他の関連情報と共に鍵管理ストア102Bに記憶する。組織ユーザID(例えば従業員番号)が、この情報を記憶するための1次キーとして使用されてよい。記憶される情報は、非限定的な例として、公開鍵と、有効なイントラネット・パスワードおよび(例えば)クライアント・コンピュータ110のMACアドレスを使用して暗号化された秘密鍵と、ユーザがアクセスしたいと望む適切なサーバ104のリストと、クライアント・コンピュータ110のMACアドレス(またはクライアント・コンピュータ110を組織中で一意に識別する他の何らかの情報)と、を含むことができる。
鍵ペアの秘密鍵を作成するのに使用される暗号化アルゴリズムは、非限定的な例として、ディジタル署名アルゴリズム(DSA)暗号化、リベスト・シャミア・エーデルマン(RSA)暗号化、ディフィー・ヘルマン(DH)暗号化、のうちの1つであってよい。
「4」としてラベル付けされた図1の信号流れ線を参照すると、鍵生成ツール102Aは、鍵ペアの公開鍵104Aを、リストされたサーバ104のすべてに記憶する。
「5」としてラベル付けされた図1の信号流れ線を参照すると、鍵生成ツール102Aは次いで、鍵ペアの暗号化済みの秘密鍵110Aをクライアント・コンピュータ110に記憶する。上で説明したように、秘密鍵は、組織パスワードおよびMACアドレスを使用して暗号化されている。組織パスワードおよびMACアドレスは、秘密鍵110Aを保護するための「パスフレーズ」パスワードと考えることができる。秘密鍵110Aは、平文で見られることは決してない(次のステップで説明するように、SSHクライアント・ツール108を除いては)。
「4」および「5」としてラベル付けされた動作の実行順序は、逆でもよい。
「6」としてラベル付けされた図1の信号流れ線を参照すると、あとで新しいSSHセッションがユーザによって必要とされたとき、SSHクライアント・ツール108(例えば、PuTTYとして知られるSSHクライアントの修正バージョンに基づくもの)が作動化され、ユーザによって選択された接続先サーバ104(ターゲット・サーバ104)の識別子が、クライアント・コンピュータ110に記憶された暗号化済み秘密鍵110Aと共に、SSHクライアント・ツール108に通知される。これは、まず組織ユーザIDおよびパスワードをSSHクライアント108に入力することによって達成することができる。SSHクライアント108は、組織ディレクトリ106を用いて、ユーザIDおよびパスワードの有効性を検証することができる。
「7」としてラベル付けされた図1の信号流れ線を参照すると、SSHクライアント・ツール108は次いで、入力されたクライアント・コンピュータ110のMACアドレスおよびパスワードを使用して、暗号化済みの秘密鍵110Aを復号する。
「8」としてラベル付けされた図1の信号流れ線を参照すると、組織ユーザIDおよびパスワードが検証されたと仮定し、受け取られたクライアント・コンピュータ110のMACアドレスが復号済みの「パスフレーズ」パスワードと一致すると仮定すると、SSHクライアント108は、ターゲット・サーバ104とのSSHセッションを確立する。
「9」としてラベル付けされた図1の信号流れ線を参照すると、パスワードが無効である場合、または入力されたMACアドレスが復号済みのMACアドレスと一致しない場合は、SSHクライアント108は、ターゲット・サーバ104とのSSHセッションを確立せず、その代り、鍵生成ツール102Aに失敗を通知する。鍵生成ツール102Aは次いで、鍵ペアを再生成するオプションをユーザに与えることができる。
組織パスワードが、失効しているか、または他の何らかの理由で組織ユーザによって変更されなければならない場合は、組織ユーザは通知を受けることができ、鍵生成ツール102Aへのリンクが組織ユーザに送られる。これはまた、ユーザが新しいユーザ・デバイス(例えば新しいラップトップ)を手に入れた場合にも行われる。サーバのリストが取得され、このサーバのリストは、ユーザが接続したいと望むすべてのサーバ104を選択するために、組織ユーザに提示される。任意選択で、クライアント・コンピュータMACアドレスも取得されてよい。
鍵生成ツール102Aは次いで、ユーザに関連するサーバ104上の、ユーザのすべての公開鍵104Aを無効化する。公開鍵104Aをサーバ104から除去するのに適したツールの1つは、IBM(R)Endpoint Managerとして知られるものである。鍵生成ツール102Aは次いで、新しいデバイスMACアドレス、またはユーザの新しいパスワード、あるいはその両方を使用して、図1に関して説明したようにユーザの鍵ペアを再生成する。
組織ユーザが組織を去り、もはや組織内での有効なユーザ・パスワードを有しないとき、または場合によっては、組織内でのユーザの役割が変化し、それにより、ユーザによってアクセスされる少なくとも1つのサーバがもはやユーザの新しい役割に関係がない場合など、ユーザのステータスに変化があったときは、鍵生成ツール102Aは、ユーザに関連するサーバ104のセットを識別し、ユーザに関連するすべてのサーバ104上のすべての公開鍵104Aを無効化することができる。
図2に、図1に示されたシステム100のコンポーネントの1つまたは複数を実現するのに使用できるデータ処理システム200の一実施形態の非限定的な例を示す。例えば、データ処理システム200は、前述の様々な動作のすべてまたはいくつかを実施するように構成されたコンピュータ可読プログラム命令(ソフトウェア(SW))を記憶したメモリなど、少なくとも1つのコンピュータ可読媒体と接続された、少なくとも1つのデータ・プロセッサ202を備える。例えば、コンピュータ可読プログラム命令202Aは、鍵生成ツール102Aの機能性を実行するように構成されてよく、適切なインタフェース(I/F)206を介してクライアント・コンピュータ110と接続される。インタフェース206は、有線インタフェースとワイヤレス・インタフェース(例えば、光学インタフェースまたは無線周波数(RF)インタフェースあるいはその両方)とのうちの一方または両方を含むことができる。インタフェース206は、組織イントラネット(例えば、LANまたはWLAN)の一部を形成すると考えることができるが、インターネットなどのワイド・エリア・ネットワーク(WAN)に接続する能力を備えることもできる。
メモリ204は、鍵管理ストア102Bを含むように構成され、個々のユーザごとに、例えば、ユーザの暗号化済みの鍵ペアと、ユーザに関連するサーバのリストと、他のユーザ関連情報とを記録することができる。このユーザ関連情報は、非限定的な例として、ユーザの(例えばイントラネット)パスワード、ユーザのアクセス・デバイス(本実施形態では、クライアント・コンピュータ110)のMACアドレス(または他の固有の識別情報、あるいはその両方)、およびユーザの組織ID、を含む。データ・プロセッサ202はまた、データ・プロセッサ202の場所に対してローカルまたはリモートであってよいサーバ104ともインタフェースされる。データ・プロセッサ202はまた、組織ディレクトリ106(メモリ204中にあってもよい)ともインタフェースされる。コンピュータ可読プログラム命令202Aもまた、メモリ204中にあってもよい。
鍵生成ツール102Aの機能性がローカルSW202Aに含まれない場合、鍵生成ツール102Aの機能性は、データ・プロセッサ202と同じ場所に位置するか、または、データ・プロセッサ202からリモートに位置し、1つもしくは複数の適切で安全なインタフェースを介して接続される、別個のプロセッサ、システムまたはサブシステム中にあってもよい。
いくつかの非限定的な実施形態では、鍵生成ツール102Aの機能性は、組織によって加入されるサービスとして実装されてもよい。この場合、鍵生成ツール102Aは、ローカルにインストールされて操作されてもよく、または、リモートに接続されて操作されてもよい。
いくつかの実施形態では、データ処理システム200は、組織において物理的に配置して実装することができ、他のいくつかの実施形態では、データ処理システム200ならびに関連するモジュール、サブシステムおよびメモリ(例えばメモリ204)のいくつかまたはすべては、組織自体またはサード・パーティ・クラウド・プロバイダによってクラウド中でホストされる1つまたは複数の仮想システムとして実装することができる。
一般に、鍵生成ツール102Aを含むがこれに限定されない本発明の実施形態を実装する任意のコンピュータ・プログラム製品は、同じプラットフォーム上で具体化されてもよく、または、コンピュータ・プログラム製品と鍵生成ツール102Aは、異なるプラットフォーム上で具体化されてもよく、この1つまたは複数のプラットフォームは、ハードウェアによる実装と、仮想のクラウドベースの実装とのうちの一方または両方を含むことができる。
本発明の実施形態の様々な例では、ユーザは、修正されたSSHクライアント(PuTTYの修正バージョンなど。すなわち、ディレクトリ・サーバに接続する能力、またはユーザのイントラネット・パスワードとコンピュータMACアドレスとを使用して秘密鍵を復号する能力、あるいはその両方の能力を有するバージョンなど)を介して、ターゲット・サーバにアクセスすることができる。別法として、ユーザは、ジャンプ・サーバ(またはジャンプ・ホスト)、すなわち、デバイスを別個のセキュリティ・ゾーン中で管理するのに通常使用される、ネットワーク上の専用コンピュータを介して、ネットワークにアクセスすることもできる。この実施形態は、ユーザがサーバにアクセスする際に経由されるSSHクライアントを修正する機会がない場合に、特に有益である。
本発明の教示は、SSH接続だけでなく、鍵を用いて認証される他の接続(例えばHTTPS)にも適用可能である。
本発明の実施形態は、少なくとも1つのデータ・プロセッサによって実装される、または少なくとも1つのデータ・プロセッサを用いて実装される、方法、コンピュータ・プログラムおよびシステムを提供する。方法は、組織の従業員を一意に識別する向上した組織ユーザおよびパスワード能力を有する組織識別管理を提供する。
本発明の実施形態によれば、組織ユーザは鍵ペアのセットを所有することができ、ユーザの組織パスワードが失効したときは常に、鍵ペアのセットのうちのすべての鍵ペアがリフレッシュされるものとすることができる。
図3を参照すると、本発明の実施形態は、その一態様では、少なくとも1つのデータ・プロセッサによって実装される方法を提供し、方法は、ユーザのための鍵ペアを形成すること(ブロック3A)を含む。鍵ペアは公開鍵および秘密鍵を含み、秘密鍵は、ユーザに固有(組織中で)であり、パスフレーズを使用して暗号化され、パスフレーズは、ユーザの組織パスワードと、ユーザが組織にアクセスするためのデバイスを組織中で一意に識別する識別子と、を含む。方法はさらに、秘密鍵をユーザのデバイスに記憶し、公開鍵を、ユーザによってアクセスされる少なくとも1つの組織サーバに記憶すること(ブロック3B)を含む。
この方法では、識別子は、デバイスの媒体アクセス制御(MAC)アドレスを含むことができ、ユーザは、セキュア・シェル(SSH)クライアントを介して組織サーバにアクセスすることができる。
ブロック3Cを参照すると、方法はさらに、パスワードおよび識別子と共に、秘密鍵をユーザ・デバイスからSSHクライアントに提供し、秘密鍵を復号して復号済みのパスワードおよび識別子を取得し、復号済みのパスワードおよび識別子が、秘密鍵と共に提供されたパスワードおよび識別子と一致する場合にのみ、ユーザが組織サーバにアクセスできるようにすること、を含む。
ブロック3Dを参照すると、方法はさらに、暗号化済みの秘密鍵と、公開鍵と、デバイスの識別子と、ユーザによってアクセス可能な組織サーバのリストと、を少なくとも含むユーザ情報を、メモリに記憶することを含むことができる。ユーザ情報は、組織ユーザ識別子に関連付けられる。
ブロック3Eを参照すると、方法はさらに、ユーザの組織パスワードと、デバイスを一意に識別する識別子とのうちの少なくとも一方が変更されたことに応じて、組織パスワードと識別子とのうちの変更された少なくとも一方を使用してユーザのための新しい鍵ペアを形成し、結果として得られた新しい秘密鍵をユーザ・デバイスに記憶し、結果として得られた新しい公開鍵を組織サーバに記憶することを含む。
ブロック3Fを参照すると、方法はさらに、組織中でのユーザのステータスが変更されたことに応じて、ユーザがアクセスできた組織サーバをサーバのリストから識別し、リスト中のすべての組織サーバからユーザの公開鍵を除去することを含む。
本発明はまた、方法を実行するように構成されたシステムおよびコンピュータ・プログラム製品も包含することができる。このコンピュータ・プログラム製品は、本発明の態様をプロセッサに遂行させるためのコンピュータ可読プログラム命令を有する1つまたは複数のコンピュータ可読ストレージ媒体を含むことができる。
コンピュータ可読ストレージ媒体は、命令実行デバイスによって使用される命令を保持および記憶できる有形デバイスとすることができる。コンピュータ可読ストレージ媒体は、例えば、以下のものに限定されないが、電子ストレージ・デバイス、磁気ストレージ・デバイス、光学ストレージ・デバイス、電磁ストレージ・デバイス、半導体ストレージ・デバイス、またはこれらの任意の適切な組合せとすることができる。コンピュータ可読ストレージ媒体のより具体的な例の非網羅的なリストは、ポータブル・コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、読取専用メモリ(ROM)、消去可能プログラム可能な読取専用メモリ(EPROMまたはフラッシュ・メモリ)、スタティック・ランダム・アクセス・メモリ(SRAM)、ポータブル・コンパクト・ディスク読取専用メモリ(CD−ROM)、ディジタル多用途ディスク(DVD)、メモリ・スティック、フロッピー(R)・ディスク、機械的にエンコードされたデバイス(命令が記録された、パンチカード、または溝の中の隆起構造)、およびこれらの任意の適切な組合せを含む。本明細書におけるコンピュータ可読ストレージ媒体は、電波もしくは他の自由伝搬する電磁波、導波管もしくは他の伝送媒体を介して伝搬する電磁波(例えば、光ファイバ・ケーブルの中を通る光パルス)、またはワイヤを介して伝送される電気信号など、一時的な信号自体であると解釈されるべきではない。
本明細書に記載のコンピュータ可読プログラム命令は、コンピュータ可読ストレージ媒体からそれぞれのコンピューティング/処理デバイスにダウンロードされてよく、あるいは、ネットワーク(例えば、インターネット、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワーク、もしくはワイヤレス・ネットワーク、またはそれらの組合せ)を介して外部コンピュータまたは外部ストレージ・デバイスにダウンロードされてよい。ネットワークは、銅伝送ケーブル、光伝送ファイバ、ワイヤレス伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータ、またはエッジ・サーバ、あるいはそれらの組合せを含むことができる。各コンピューティング/処理デバイス中の、ネットワーク・アダプタ・カードまたはネットワーク・インタフェースが、コンピュータ可読プログラム命令をネットワークから受け取り、これらのコンピュータ可読プログラム命令を、それぞれのコンピューティング/処理デバイス内のコンピュータ可読ストレージ媒体に記憶されるように転送する。
本発明の動作を遂行するためのコンピュータ可読プログラム命令は、アセンブラ命令、命令セット・アーキテクチャ(ISA)命令、機械命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データであってよく、または、Smalltalk(R)やC++などのオブジェクト指向プログラミング言語、および、「C」プログラミング言語や類似のプログラミング言語などの従来の手続き型プログラミング言語を含めた、1つもしくは複数のプログラミング言語の任意の組合せで書かれたソース・コードとオブジェクト・コードとのいずれかであってよい。コンピュータ可読プログラム命令は、完全にユーザのコンピュータ上で実行されるか、スタンドアロン・ソフトウェア・パッケージとして部分的にユーザのコンピュータ上で実行されるか、部分的にユーザのコンピュータ上で実行され部分的にリモート・コンピュータ上で実行されるか、または完全にリモート・コンピュータもしくはサーバ上で実行される場合がある。後者のシナリオでは、リモート・コンピュータは、ローカル・エリア・ネットワーク(LAN)もしくはワイド・エリア・ネットワーク(WAN)を含めた任意のタイプのネットワークを介してユーザのコンピュータに接続されてもよく、または、接続は、外部コンピュータに対して(例えば、インターネット・サービス・プロバイダを使用してインターネット経由で)行われてもよい。いくつかの実施形態では、プログラマブル・ロジック回路、フィールド・プログラマブル・ゲート・アレイ(FPGA)、またはプログラマブル・ロジック・アレイ(PLA)、を例えば含む電子回路が、本発明の態様を実施するために、コンピュータ可読プログラム命令の状態情報を利用して電子回路を個人化することによって、コンピュータ可読プログラム命令を実行することができる。
本明細書では、本発明の態様が、本発明の実施形態による方法、装置(システム)、およびコンピュータ・プログラム製品の、フローチャート説明またはブロック図あるいはその両方に関して記述される。フローチャート説明またはブロック図あるいはその両方の各ブロック、および、フローチャート説明またはブロック図あるいはその両方の中のブロックの組合せを、コンピュータ可読プログラム命令によって実装できることは理解されるであろう。
これらのコンピュータ可読プログラム命令は、コンピュータまたは他のプログラム可能データ処理装置のプロセッサを介して実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロック中で指定される機能/行為を実装する手段をもたらすように、汎用コンピュータ、専用コンピュータ、または他のプログラム可能データ処理装置のプロセッサに提供されて、マシンを生み出すことができるものであってよい。これらのコンピュータ可読プログラム命令はまた、命令が記憶されたコンピュータ可読ストレージ媒体が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロック中で指定される機能/行為の態様を実装する命令を含む製造品を構成するように、コンピュータ可読ストレージ媒体に記憶され、コンピュータ、プログラム可能データ処理装置、または他のデバイス、あるいはそれらの組合せに、特定の方式で機能するよう指示することができるものであってもよい。
コンピュータ可読プログラム命令はまた、コンピュータ、他のプログラム可能装置、または他のデバイス上で実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロック中で指定される機能/行為を実装するように、コンピュータ実装プロセスが生み出すべく、コンピュータ、他のプログラム可能データ処理装置、または他のデバイスにロードされ、コンピュータ、他のプログラム可能装置、または他のデバイス上で一連の動作ステップを実施させるものであってもよい。
図中のフローチャートおよびブロック図は、本発明の様々な実施形態によるシステム、方法、およびコンピュータ・プログラム製品の可能な実装形態の、アーキテクチャ、機能性、および動作を示す。これに関して、フローチャートまたはブロック図の中の各ブロックは、モジュール、セグメント、または命令の一部を表すことができ、これは、指定される論理機能を実装するための1つまたは複数の実行可能命令を含む。いくつかの代替実装形態では、ブロック中で示される機能は、図中で示される順序とは異なる順序で生じる場合がある。例えば、関連する機能性に応じて、連続して示される2つのブロックが実際にはほぼ同時に実行される場合もあり、またはこれらのブロックが逆の順序で実行されることもある。また、ブロック図またはフローチャート説明あるいはその両方の各ブロック、および、ブロック図またはフローチャート説明あるいはその両方の中のブロックの組合せは、指定される機能もしくは行為を実施するかまたは専用ハードウェアとコンピュータ命令との組合せを遂行する、専用ハードウェアベースのシステムによって実装できることにも留意されるであろう。
本明細書で使用される用語は、特定の実施形態を記述するためのものに過ぎず、本発明を限定するものとはしない。本明細書において、単数形「a」、「an」、および「the」は、コンテキストが明確にそうでないと示さない限り、複数形も含むものとする。さらに、用語「含む、備える」(「comprises」または「comprising」あるいはその両方)」が本明細書で使用されるとき、これらは、記載された特徴、整数、ステップ、動作、要素、またはコンポーネント、あるいはそれらの組合せの存在を指定するが、1つまたは複数の他の特徴、整数、ステップ、動作、要素、コンポーネント、またはこれらのグループ、あるいはそれらの組合せの存在または追加を排除しないことも、理解されるであろう。
以下の特許請求の範囲におけるすべてのミーンズまたはステップ・プラス・ファンクション要素の、対応する構造、材料、行為、および均等物は、具体的に請求される他の特許請求要素との組合せで機能を実施するための任意の構造、材料、または行為を含むものとする。
本発明の様々な実施形態についての記述は、例証の目的で提示したものであり、網羅的なもの、または開示される形の実施形態に限定されるものとはしない。述べた実施形態の範囲および思想を逸脱することなく、多くの変更および変形が当業者には明らかであろう。本明細書で使用される用語は、実施形態の原理、実際の応用、もしくは市場で見られる技術に勝る技術的改善、を最もうまく説明するために、または、本明細書で開示される実施形態を他の当業者が理解できるようにするために、選ばれたものである。
したがって、以上の記述を添付の図面および添付の特許請求の範囲と共に読めば、以上の記述に鑑みて様々な変更および適応が当業者には明らかになるであろう。いくつかの例に過ぎないが、他の類似のまたは等価な安全接続システム、鍵ペア生成アルゴリズム、またはシステム・アーキテクチャ、あるいはそれらの組合せが、当業者によって使用されることも可能である。しかし、本発明の教示の、すべてのそのような変更および類似の変更も、やはり本発明の範囲内に入ることになる。

Claims (17)

  1. 少なくとも1つのデータ・プロセッサによって実行される方法であって、
    ユーザのユーザ・デバイスから、前記ユーザのパスワードと、前記ユーザ・デバイスを前記ユーザが属する組織中で一意に識別する識別子と、前記ユーザによって前記ユーザ・デバイスを介してアクセスされる複数の組織サーバを含むリストとを受け付けることと、
    前記ユーザのための鍵ペアを形成することであって、前記鍵ペアが公開鍵および秘密鍵を含み、前記秘密鍵が、前記ユーザに固有であ、前記形成することと、
    前記秘密鍵をパスフレーズを使用して暗号化することにより暗号化済み秘密鍵を生成することであって、前記パスフレーズが、前記パスワードと、前記識別子とを含み、前記暗号化済み秘密鍵が、前記パスワードと、前記識別子とを含む、前記生成することと、
    前記暗号化済み秘密鍵を前記ユーザ・デバイスに格納し、前記公開鍵を、前記リストに含まれる前記複数の組織サーバのそれぞれ格納することと
    前記パスワードおよび前記識別子と共に、前記暗号化済み秘密鍵を前記ユーザ・デバイスから前記リストに含まれる前記複数の組織サーバのうち少なくとも1つの組織サーバにアクセスする際に経由されるサーバ接続クライアントに提供し、前記暗号化済み秘密鍵を復号して前記暗号化済み秘密鍵に含まれるパスワードおよび識別子を取得し、前記取得されたパスワードおよび識別子が、前記暗号化済み秘密鍵と共に提供された前記パスワードおよび前記識別子と一致する場合にのみ、前記ユーザが前記少なくとも1つの組織サーバにアクセスできるようにすること
    を含む方法。
  2. 前記識別子が前記ユーザ・デバイスの媒体アクセス制御(MAC)アドレスを含む、請求項1に記載の方法。
  3. 前記サーバ接続クライアントは、セキュア・シェル(SSH)クライアントである、請求項1または2に記載の方法。
  4. 前記ユーザの前記パスワードと、前記ユーザ・デバイスを一意に識別する前記識別子とのうちの少なくとも一方が変更されたことに応じて、前記ユーザのための新しい鍵ペアを形成し、結果として得られた新しい秘密鍵を、前記パスワードと前記識別子とのうちの前記変更された少なくとも一方を使用して暗号化することにより新しい暗号化済み秘密鍵を生成し、前記新しい暗号化済み秘密鍵を前記ユーザ・デバイスに格納し、結果として得られた新しい公開鍵を前記複数の組織サーバのそれぞれ格納することをさらに含む、請求項1ないしのいずれかに記載の方法。
  5. 前記組織中での前記ユーザのステータスが変更されたことに応じて、前記ユーザがアクセスできた組織サーバを前記リストから識別し、前記リスト中のすべての組織サーバから前記ユーザの前記公開鍵を除去することをさらに含む、請求項1ないしのいずれかに記載の方法。
  6. 前記暗号化済みの秘密鍵と、前記公開鍵と、前記デバイスの前記識別子と、前記リストとを少なくとも含むユーザ情報をメモリに記憶することをさらに含み、前記ユーザ情報が前記ユーザを前記組織中で一意に識別する組織ユーザ識別子に関連付けられる、請求項1ないしのいずれかに記載の方法。
  7. ソフトウェア命令を記憶した少なくとも1つのメモリに接続された少なくとも1つのデータ・プロセッサを備えるシステムであって、前記少なくとも1つのデータ・プロセッサによる前記ソフトウェア命令の実行が、
    ユーザのユーザ・デバイスから、前記ユーザのパスワードと、前記ユーザ・デバイスを前記ユーザが属する組織中で一意に識別する識別子と、前記ユーザによって前記ユーザ・デバイスを介してアクセスされる複数の組織サーバを含むリストとを受け付けることと、
    前記ユーザのための鍵ペアを形成することであって、前記鍵ペアが公開鍵および秘密鍵を含み、前記秘密鍵が、前記ユーザに固有であ、前記形成することと、
    前記秘密鍵をパスフレーズを使用して暗号化することにより暗号化済み秘密鍵を生成することであって、前記パスフレーズが、前記パスワードと、前記識別子とを含み、前記暗号化済み秘密鍵が、前記パスワードと、前記識別子とを含む、前記生成することと、
    前記暗号化済み秘密鍵を前記ユーザ・デバイスに格納し、前記公開鍵を、前記リストに含まれる前記複数の組織サーバのそれぞれ格納することと
    前記パスワードおよび前記識別子と共に、前記暗号化済み秘密鍵を前記ユーザ・デバイスから前記リストに含まれる前記複数の組織サーバのうち少なくとも1つの組織サーバにアクセスする際に経由されるサーバ接続クライアントに提供し、前記暗号化済み秘密鍵を復号して前記暗号化済み秘密鍵に含まれるパスワードおよび識別子を取得し、前記取得されたパスワードおよび識別子が、前記暗号化済み秘密鍵と共に提供された前記パスワードおよび前記識別子と一致する場合にのみ、前記ユーザが前記少なくとも1つの組織サーバにアクセスできるようにすること
    を前記システムに行わせる、システム。
  8. 前記識別子が前記ユーザ・デバイスの媒体アクセス制御(MAC)アドレスを含む、請求項に記載のシステム。
  9. 前記サーバ接続クライアントは、セキュア・シェル(SSH)クライアントである、請求項またはに記載のシステム。
  10. 前記少なくとも1つのデータ・プロセッサによる前記ソフトウェア命令の実行がさらに、前記ユーザの前記パスワードと、前記ユーザ・デバイスを一意に識別する前記識別子とのうちの少なくとも一方が変更されたことに応じて、前記ユーザのための新しい鍵ペアを形成し、結果として得られた新しい秘密鍵を、前記パスワードと前記識別子とのうちの前記変更された少なくとも一方を使用して暗号化することにより新しい暗号化済み秘密鍵を生成し、前記新しい暗号化済み秘密鍵を前記ユーザ・デバイスに格納し、結果として得られた新しい公開鍵を前記複数の組織サーバのそれぞれ格納すること、を前記システムに行わせる、請求項7ないし9のいずれかに記載のシステム。
  11. 前記少なくとも1つのデータ・プロセッサによる前記ソフトウェア命令の実行がさらに、前記組織中での前記ユーザのステータスが変更されたことに応じて、前記ユーザがアクセスできた組織サーバを前記リストから識別し、前記リスト中のすべての組織サーバから前記ユーザの前記公開鍵を除去すること、を前記システムに行わせる、請求項7ないし10のいずれかに記載のシステム。
  12. 前記少なくとも1つのデータ・プロセッサによる前記ソフトウェア命令の実行がさらに、前記暗号化済みの秘密鍵と、前記公開鍵と、前記デバイスの前記識別子と、前記リストとを少なくとも含むユーザ情報を記憶すること、を前記システムに行わせ、前記ユーザ情報が前記ユーザを前記組織中で一意に識別する組織ユーザ識別子に関連付けられる、請求項ないし11のいずれかに記載のシステム。
  13. コンピュータ可読媒体上のソフトウェア命令を含むコンピュータ・プログラムであって、コンピュータに、
    ユーザのユーザ・デバイスから、前記ユーザのパスワードと、前記ユーザ・デバイスを前記ユーザが属する組織中で一意に識別する識別子と、前記ユーザによって前記ユーザ・デバイスを介してアクセスされる複数の組織サーバを含むリストとを受け付けることと、
    前記ユーザのための鍵ペアを形成することであって、前記鍵ペアが公開鍵および秘密鍵を含み、前記秘密鍵が、前記ユーザに固有であ、前記形成することと、
    前記秘密鍵をパスフレーズを使用して暗号化することにより暗号化済み秘密鍵を生成することであって、前記パスフレーズが、前記パスワードと、前記識別子とを含み、前記暗号化済み秘密鍵が、前記パスワードと、前記識別子とを含む、前記生成することと、
    前記暗号化済み秘密鍵を前記ユーザ・デバイスに格納し、前記公開鍵を、前記リストに含まれる前記複数の組織サーバのそれぞれ格納することと
    前記パスワードおよび前記識別子と共に、前記暗号化済み秘密鍵を前記ユーザ・デバイスから前記リストに含まれる前記複数の組織サーバのうち少なくとも1つの組織サーバにアクセスする際に経由されるサーバ接続クライアントに提供し、前記暗号化済み秘密鍵を復号して前記暗号化済み秘密鍵に含まれるパスワードおよび識別子を取得し、前記取得されたパスワードおよび識別子が、前記暗号化済み秘密鍵と共に提供された前記パスワードおよび前記識別子と一致する場合にのみ、前記ユーザが前記少なくとも1つの組織サーバにアクセスできるようにすること
    を実行させる、コンピュータ・プログラム。
  14. 前記識別子が前記ユーザ・デバイスの媒体アクセス制御(MAC)アドレスを含む、請求項13に記載のコンピュータ・プログラム。
  15. 前記サーバ接続クライアントは、セキュア・シェル(SSH)クライアントである、請求項13または14に記載のコンピュータ・プログラム。
  16. 前記コンピュータに、
    前記ユーザの前記パスワードと、前記ユーザ・デバイスを一意に識別する前記識別子とのうちの少なくとも一方が変更されたことに応じて、前記ユーザのための新しい鍵ペアを形成し、結果として得られた新しい秘密鍵を、前記パスワードと前記識別子とのうちの前記変更された少なくとも一方を使用して暗号化することにより新しい暗号化済み秘密鍵を生成し、前記新しい暗号化済み秘密鍵を前記ユーザ・デバイスに格納し、結果として得られた新しい公開鍵を前記複数の組織サーバのそれぞれ格納することと、
    前記組織中での前記ユーザのステータスが変更されたことに応じて、前記ユーザがアクセスできた組織サーバを前記リストから識別し、前記リスト中のすべての組織サーバから前記ユーザの前記公開鍵を除去すること
    をさらに実行させる、請求項13ないし15のいずれかに記載のコンピュータ・プログラム。
  17. 前記コンピュータに、前記暗号化済みの秘密鍵と、前記公開鍵と、前記デバイスの前記識別子と、前記リストとを少なくとも含むユーザ情報をメモリに記憶すること、を更に実行させ、前記ユーザ情報が前記ユーザを前記組織中で一意に識別する組織ユーザ識別子に関連付けられる、請求項13ないし16のいずれかに記載のコンピュータ・プログラム。
JP2017535998A 2015-02-13 2016-02-01 組織ユーザ識別管理を使用した自動鍵管理 Active JP6691545B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US14/621,852 US10348727B2 (en) 2015-02-13 2015-02-13 Automatic key management using enterprise user identity management
US14/621,852 2015-02-13
US14/746,051 2015-06-22
US14/746,051 US10454676B2 (en) 2015-02-13 2015-06-22 Automatic key management using enterprise user identity management
PCT/IB2016/050498 WO2016128856A1 (en) 2015-02-13 2016-02-01 Automatic key management using enterprise user identity management

Publications (2)

Publication Number Publication Date
JP2018511952A JP2018511952A (ja) 2018-04-26
JP6691545B2 true JP6691545B2 (ja) 2020-04-28

Family

ID=56614319

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017535998A Active JP6691545B2 (ja) 2015-02-13 2016-02-01 組織ユーザ識別管理を使用した自動鍵管理

Country Status (4)

Country Link
US (1) US10454676B2 (ja)
JP (1) JP6691545B2 (ja)
GB (1) GB2550786A (ja)
WO (1) WO2016128856A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10223549B2 (en) * 2015-01-21 2019-03-05 Onion ID Inc. Techniques for facilitating secure, credential-free user access to resources
CN106534113B (zh) * 2016-11-09 2021-02-09 海信视像科技股份有限公司 Ssh连接的建立方法及装置
US20180357411A1 (en) * 2017-06-13 2018-12-13 Ca, Inc. Authentication Of A Device
CN108737540A (zh) * 2018-05-18 2018-11-02 北京车和家信息技术有限公司 服务器的统一登录方法及装置
US11025598B1 (en) * 2020-02-08 2021-06-01 Mockingbird Ventures, LLC Method and apparatus for managing encryption keys and encrypted electronic information on a network server
CN112149106B (zh) * 2020-08-27 2024-01-09 摩尔元数(福建)科技有限公司 一种企业私有小程序的登录方法、装置、设备和介质

Family Cites Families (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6154543A (en) * 1998-11-25 2000-11-28 Hush Communications Anguilla, Inc. Public key cryptosystem with roaming user capability
US7194554B1 (en) * 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US6694025B1 (en) * 1999-06-02 2004-02-17 Koninklijke Philips Electronics N.V. Method and apparatus for secure distribution of public/private key pairs
US20020029350A1 (en) * 2000-02-11 2002-03-07 Cooper Robin Ross Web based human services conferencing network
US7299412B1 (en) 2000-05-15 2007-11-20 Ricoh Co., Ltd. Methods and apparatuses for publication of unconsciously captured documents
US7689510B2 (en) 2000-09-07 2010-03-30 Sonic Solutions Methods and system for use in network management of content
US7409061B2 (en) * 2000-11-29 2008-08-05 Noatak Software Llc Method and system for secure distribution of subscription-based game software
US20020144109A1 (en) * 2001-03-29 2002-10-03 International Business Machines Corporation Method and system for facilitating public key credentials acquisition
US8006280B1 (en) * 2001-12-12 2011-08-23 Hildebrand Hal S Security system for generating keys from access rules in a decentralized manner and methods therefor
JP3897613B2 (ja) 2002-02-27 2007-03-28 株式会社日立製作所 公開鍵暗号方式における登録局サーバの運用方法、登録局サーバ、及びプログラム
JPWO2003101040A1 (ja) * 2002-05-23 2005-09-29 アライドテレシスホールディングス株式会社 秘密鍵管理装置
JP4487490B2 (ja) 2003-03-10 2010-06-23 ソニー株式会社 情報処理装置、およびアクセス制御処理方法、情報処理方法、並びにコンピュータ・プログラム
US7921292B1 (en) * 2003-04-04 2011-04-05 Voltage Security, Inc. Secure messaging systems
US20040268120A1 (en) * 2003-06-26 2004-12-30 Nokia, Inc. System and method for public key infrastructure based software licensing
US7599535B2 (en) * 2004-08-02 2009-10-06 Siemens Medical Solutions Usa, Inc. System and method for tree-model visualization for pulmonary embolism detection
US7822200B2 (en) * 2005-03-07 2010-10-26 Microsoft Corporation Method and system for asymmetric key security
US7937458B2 (en) 2006-02-14 2011-05-03 Nanamura Roberto N On-demand software service system and method
US20090025080A1 (en) * 2006-09-27 2009-01-22 Craig Lund System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access
US9055041B2 (en) * 2007-08-31 2015-06-09 International Business Machines Corporation Device certificate based appliance configuration
JP5053032B2 (ja) * 2007-10-16 2012-10-17 株式会社バッファロー データ管理装置、データ管理方法およびデータ管理プログラム
US8397077B2 (en) * 2007-12-07 2013-03-12 Pistolstar, Inc. Client side authentication redirection
US8627410B2 (en) 2007-12-19 2014-01-07 Verizon Patent And Licensing Inc. Dynamic radius
US8515080B2 (en) * 2007-12-19 2013-08-20 International Business Machines Corporation Method, system, and computer program product for encryption key management in a secure processor vault
US8412522B2 (en) 2007-12-21 2013-04-02 Nvoq Incorporated Apparatus and method for queuing jobs in a distributed dictation /transcription system
US8798579B2 (en) 2008-09-30 2014-08-05 Xe2 Ltd. System and method for secure management of mobile user access to network resources
US9485254B2 (en) 2009-02-03 2016-11-01 Inbay Technologies Inc. Method and system for authenticating a security device
CN102013980A (zh) 2009-05-06 2011-04-13 刘海云 需要采用穷举法解密的随机加密方法
US8260262B2 (en) * 2009-06-22 2012-09-04 Mourad Ben Ayed Systems for three factor authentication challenge
US9306750B2 (en) * 2009-07-16 2016-04-05 Oracle International Corporation Techniques for securing supply chain electronic transactions
JP5380604B2 (ja) * 2010-03-26 2014-01-08 株式会社東芝 情報記録装置
US8788842B2 (en) 2010-04-07 2014-07-22 Apple Inc. System and method for content protection based on a combination of a user PIN and a device specific identifier
US20110252459A1 (en) * 2010-04-12 2011-10-13 Walsh Robert E Multiple Server Access Management
US8458741B2 (en) 2010-05-27 2013-06-04 Sony Corporation Provision of TV ID to non-TV device to enable access to TV services
US8788811B2 (en) 2010-05-28 2014-07-22 Red Hat, Inc. Server-side key generation for non-token clients
CN101951315A (zh) 2010-09-10 2011-01-19 中国联合网络通信集团有限公司 密钥处理方法及装置
US9596237B2 (en) * 2010-12-14 2017-03-14 Salt Technology, Inc. System and method for initiating transactions on a mobile device
US8719952B1 (en) * 2011-03-25 2014-05-06 Secsign Technologies Inc. Systems and methods using passwords for secure storage of private keys on mobile devices
KR101234784B1 (ko) 2011-05-30 2013-02-20 삼성에스디에스 주식회사 아이디 기반 암호화 방법 및 그 장치
US8953790B2 (en) * 2011-11-21 2015-02-10 Broadcom Corporation Secure generation of a device root key in the field
WO2013093209A1 (en) * 2011-12-21 2013-06-27 Ssh Communications Security Oyj Automated access, key, certificate, and credential management
US10003458B2 (en) * 2011-12-21 2018-06-19 Ssh Communications Security Corp. User key management for the secure shell (SSH)
US8613070B1 (en) 2012-10-12 2013-12-17 Citrix Systems, Inc. Single sign-on access in an orchestration framework for connected devices
EP3119059B1 (en) * 2012-10-24 2019-05-01 CyberArk Software Ltd. A system and method for secure proxy-based authentication
US9164926B2 (en) * 2012-11-22 2015-10-20 Tianjin Sursen Investment Co., Ltd. Security control method of network storage
US20140281515A1 (en) 2013-03-12 2014-09-18 Commvault Systems, Inc. Encrypted file presentation
US9203820B2 (en) 2013-03-15 2015-12-01 Airwatch Llc Application program as key for authorizing access to resources
US9098687B2 (en) * 2013-05-03 2015-08-04 Citrix Systems, Inc. User and device authentication in enterprise systems
US9654469B1 (en) * 2014-05-02 2017-05-16 Nok Nok Labs, Inc. Web-based user authentication techniques and applications
US10070155B2 (en) 2014-11-10 2018-09-04 Time Warner Cable Enterprises Llc Packetized content delivery apparatus and methods

Also Published As

Publication number Publication date
JP2018511952A (ja) 2018-04-26
GB2550786A (en) 2017-11-29
US10454676B2 (en) 2019-10-22
WO2016128856A1 (en) 2016-08-18
GB201713410D0 (en) 2017-10-04
US20160241397A1 (en) 2016-08-18

Similar Documents

Publication Publication Date Title
JP6691545B2 (ja) 組織ユーザ識別管理を使用した自動鍵管理
US10560476B2 (en) Secure data storage system
CA2864347C (en) Cloud-based key management
EP3398073B1 (en) Securely storing and distributing sensitive data in a cloud-based application
US9602500B2 (en) Secure import and export of keying material
US20150186657A1 (en) System and method for encryption and key management in cloud storage
US10348727B2 (en) Automatic key management using enterprise user identity management
US20120294445A1 (en) Credential storage structure with encrypted password
US11323274B1 (en) Certificate authority
US9529733B1 (en) Systems and methods for securely accessing encrypted data stores
US20200235925A1 (en) Access to secured information
JP6669929B2 (ja) シングルサインオンアプリケーション用の暗号化鍵を管理するためのシステム及び方法
EP3674938B1 (en) Identifying computing processes on automation servers
US11956242B2 (en) Distributed directory caching techniques for secure and efficient resource access
WO2022223036A1 (zh) 一种加密数据共享的方法、装置、设备及可读介质
AU2020279735A1 (en) Computing system and related methods providing connection lease exchange and mutual trust protocol
US11616780B2 (en) Security protection against threats to network identity providers
US20210044580A1 (en) Ultrasound assisted device activation
Pawar et al. Implementation of secure authentication scheme and access control in cloud computing
EP3886355B1 (en) Decentralized management of data access and verification using data management hub
US11012245B1 (en) Decentralized management of data access and verification using data management hub
US10931454B1 (en) Decentralized management of data access and verification using data management hub
Herman The Executive’s Guide to Quantum Computing and Quantum-secure Cybersecurity
WO2022206203A1 (en) Connection resilient multi-factor authentication
US20240012933A1 (en) Integration of identity access management infrastructure with zero-knowledge services

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170824

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181023

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190724

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20191023

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200407

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200410

R150 Certificate of patent or registration of utility model

Ref document number: 6691545

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250