JP6880040B2 - 暗号化展開発見 - Google Patents
暗号化展開発見 Download PDFInfo
- Publication number
- JP6880040B2 JP6880040B2 JP2018535816A JP2018535816A JP6880040B2 JP 6880040 B2 JP6880040 B2 JP 6880040B2 JP 2018535816 A JP2018535816 A JP 2018535816A JP 2018535816 A JP2018535816 A JP 2018535816A JP 6880040 B2 JP6880040 B2 JP 6880040B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- key information
- segment
- server
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 46
- 238000013507 mapping Methods 0.000 claims description 10
- 230000010354 integration Effects 0.000 claims description 3
- 238000012546 transfer Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 17
- 230000008569 process Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 241000699670 Mus sp. Species 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0872—Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
- Alarm Systems (AREA)
Description
本開示の実施形態は一般にキー暗号化に関し、より詳細には、1つ以上のネットワークセグメントで用いられる様々な暗号化キーのキー情報を、発見し、抽出し、解析し、自動的に登録することに関する。
関連特許出願の相互参照
本出願は、2015年9月28日出願の米国仮特許出願第62/233,900号および2016年9月19日出願の米国仮特許出願第15/269,310号の優先権を主張するものであり、それらはそれぞれ全体の参照により本明細書に組み込まれる。
本出願は、2015年9月28日出願の米国仮特許出願第62/233,900号および2016年9月19日出願の米国仮特許出願第15/269,310号の優先権を主張するものであり、それらはそれぞれ全体の参照により本明細書に組み込まれる。
セキュリティシステムにおいて、暗号化キーは、暗号化プロセス中にそれを介して平文データが暗号データに変換され得るメカニズムと、復号プロセス中にそれを介して暗号データが平文データに変換され得るメカニズムを命令するパラメータまたはデータを指す。一般的に、各ネットワークセグメントは、暗号化キーを用いるサーバ、サービスおよびユーザデバイスを含み得る。各企業(例えば、会社、大学、機関、銀行、研究所等)は、そのオペレーションのための少なくとも1つのセグメントを有し得る。企業は、その企業に関連する各サーバ、サービスまたはユーザデバイスによって使用されるキーの種々の態様を把握していない可能性がある。例えば、企業は、キー/証明書の彼らの暗号化アセットのロケーションまたは状態(例えば、有効期限、長さ、強度等)を把握していない可能性がある。
これは、各セグメントで用いられるキーが、異なるソースに由来しており異なるキー特性を有する可能性があるからである。例えば、各キーは、セグメント内の他のキーとは異なり得る暗号の長さ、強度および/または有効期限に関連し得る。企業がキーを維持し、交換し、アクセスするために、企業は各キーのキー情報を知っている必要がある。したがって、キー情報の知識がなければ、企業はキーを有効に維持し、交換し、アクセスすることができない。
従来、企業のネットワーク管理者は、検査のためキー情報を得るためにサーバまたはデバイスにログオンしなければならなかった。例えば、ログインは、サーバまたはデバイスの任意のキーを作成、移動、更新または削除するために必要であり得る。したがって、キーの維持、交換およびセキュリティ強度査定は、如何なる企業にとっても実行に非常にコストがかかり労働集約的である。
種々の実施形態は、暗号化キーを用いるデバイス(暗号化アセット)に関連する1つ以上のネットワークセグメントをインテロゲートするための暗号化発見ツールに関する。特に、暗号化発見ツールは、より広いネットワークの各セグメントからのキー情報を取得するためにネットワークマッパー(NMAP)を使用し得る。そのようなキー情報は、限定はしないが、デバイス識別子、デバイスロケーション、キータイプ、有効期限、キー起源、キー長さ、キー強度等を含む。暗号化発見ツールは、キー管理のためにキー情報を収集してパースしてよい。
いくつかの実施形態において、キー情報を発見するための方法は、少なくとも1つのセグメントを、その少なくとも1つのセグメントの暗号化アセットに関連するキー情報に関してインテロゲートし、その少なくとも1つのセグメントからキー情報を受け取り、キー情報を記憶することを含む。
種々の実施形態により、プロセッサ可読命令を包含する非一時的コンピュータ可読媒体が記述される。命令が実行されると、プロセッサは、少なくとも1つのセグメントの暗号化アセットに関連するキー情報に関して少なくとも1つのセグメントをインテロゲートし、その少なくとも1つのセグメントからキー情報を受け取り、キー情報を記憶することを含む、キー情報を発見するための方法を実行する。
いくつかの実施形態において、キー情報を発見するためのサーバは、データべースと、プロセッサ可読命令で、少なくとも1つのセグメントを、その少なくとも1つのセグメントの暗号化アセットに関連するキー情報に関してインテロゲートし、その少なくとも1つのセグメントからキー情報を受け取り、キー情報を記憶するように構成されたプロセッサとを含む。
種々の実施形態において、少なくとも1つのセグメントの暗号化アセットに用いられるキーに対応するキー情報を発見し管理する方法は、少なくとも1つのセグメントに関連するキー情報を取得し、キー情報を記憶し、また、少なくとも1つの暗号化報告をキー情報に基づいて生成すること、キー情報をエクスポートすること、または、キーをキー情報に基づいて統合することのうち少なくとも1つを含む。
本明細書に組み込まれてその一部を構成する添付図面は、本開示の代表的実施形態を例示し、上記の概括的説明および以下の詳細な説明と共に、種々の実施形態の特徴を説明する働きをする。
添付図面を参照して種々の実施形態を詳細に説明する。可能な限り、同じ参照番号が、図面を通して、同じまたは同様な部品を指すために用いられ得る。異なる、同じ、または同様な部品を指すために異なる参照番号が用いられてよい。特定の例および実装に対してなされた言及は例示の目的のためであって、開示または特許請求の範囲を限定することを意図しない。
暗号化発見ツールの実施形態は、データ記憶装置(例えば、データベース)に結合された適切なコンピューティングプラットフォーム(例えば、サーバ)上で実行されるアプリケーションを含み得る。暗号化発見ツールは、1つ以上のネットワークセグメントを、そのネットワークセグメント上の暗号化アセットに関連付けられたキー情報に関してスキャンまたはインテロゲートしてもよい。キー情報は、キー管理業務のために収集、記憶、ソートまたはエクスポートされてよい。
本発明で言及する、暗号化キーに関連付けられた「キー情報」(「属性」、「暗号化属性」、「キー属性」等)は、キー、キーの暗号化またはセキュリティ特性、キーの暗号化アルゴリズム、暗号化キーを生成/送信/受信するデバイス、デバイスのユーザ、および/または同等物に関連する特性を指し得る。キーは、データ値または信号で表されたその関連するキー情報とともに送信および/または受信され得る。特定の実施形態において、キー情報は、限定はしないが、デバイス識別子、デバイスロケーション、キータイプ、キー起源、キー長さ、キー強度等を含み得る。
「キー管理」は、キー情報に基づいて報告を生成する、キー情報を表すデータをエクスポートする、キー情報に基づいてキーを統合する等のうち1つ以上を指し得る。特に、そのキー情報を収集して有するキーは、限定はしないが、2013年10月7日出願の「SYSTEM AND METHOD FOR ENCRYPTION KEY MANAGEMENT、FEDERATION AND DISTRIBUTION」というタイトルの米国仮特許出願第61/887,662号、2014年3月10日出願の「SYSTEM AND METHOD FOR POLICY−ENABLED DISTRIBUTION OF ENCRYPTION KEYS」というタイトルの米国仮特許出願第61/950,362号、2013年10月7日出願の米国仮特許出願第61/887,662号および2014年3月10日出願の米国仮特許出願第61/950,362号の利益を主張する、2014年10月3日出願の「SYSTEM AND METHOD FOR ENCRYPTION KEY MANAGEMENT、FEDERATION AND DISTRIBUTION」というタイトルの米国特許出願第14/506、346号、2013年10月7日出願の米国仮特許出願第61/887,662号、2014年3月10日出願の米国仮特許出願第61/950,362号の利益を主張する、2014年10月3日出願の「SYSTEM AND METHOD FOR ENCRYPTION KEY MANAGEMENT、FEDERATION、AND DISTRIBUTION」というタイトルのPCT出願PCT/US2014/059187号、2015年3月12日出願の「SERVER CLIENT PKI FOR KEY ORCHESTRATION SYSTEM AND PROCESS」というタイトルの米国仮特許出願第62/132,342号、2015年3月12日出願の「KO HIERARCHY FOR KEY ORCHESTRATION SYSTEM AND PROCESS」というタイトルの米国特許出願第62/132,372号、2015年3月13日出願の「SERVER−CLIENT KEY ESCROW FOR KEY ORCHESTRATION SYSTEM AND PROCESS」というタイトルの米国特許出願第62/133,172号、または、2015年3月13日出願の「CLIENT SERVICES FOR KEY ORCHESTRATION SYSTEM AND PROCESS」というタイトルの米国特許出願第62/132,379号のうち1つ以上に説明されるような方式で統合されてよく、上記はそれぞれ参照により全体が本明細書に組み込まれる。さらに、キー管理は、キー管理を実行するための1つ以上のサーバとの自動キー/証明書登録をも含み得る。
「企業」とは、会社、会社内のサブグループ、自律かつ独立した団体、通信グループ、セキュリティプロバイダー、種々の団体、組織、および/または同等物であり得る。企業の例は、限定はしないが、大学、機関、銀行、研究所等を含み得る。本明細書で言及する「セグメント」(「ネットワークセグメント」)は、ネットワークグルーピングまたはより大きなネットワークの一部分であり得る。いくつかの実施形態において、セグメントは、限定はしないが、インターネットプロトコル(IP)アドレス等の適切な識別子を用いて定義され得る。非限定的な例で例示すると、セグメントは、クラスAネットワーク、クラスBネットワーク、クラスCネットワーク、クラスDネットワーク、クラスEネットワーク等に対応し得る。各企業は、そのオペレーション用に少なくとも1つのセグメントを用いてよい。
本明細書で言及する「暗号化アセット」は、暗号化技術を実装するデバイス(例えば、デバイス、サーバ、またはデータベース)を指し得る。暗号化アセットの例は、限定はしないが、ファイルサーバ、ウェブサーバ、アプリケーションサーバ、証明書サーバ、メールサーバ、ディレクトリサーバ、ファイル転送プロトコル(FTP)サーバ、データベース、管理サーバ、Eコマースサーバ、またはエンドユーザデバイス(コンピュータワークステーション、モバイルデバイス、サーバ等)を含み得る。
図1は、種々の実施形態に従って暗号化を発見するための暗号化発見サーバ110を有する暗号化使用システム100の一例の模式図である。図1を参照すると、暗号化発見サーバ110は、1つ以上の企業のネットワークに、ネットワーク130を介して接続されてよい。非限定的な例で例示すると、暗号化発見サーバ110は、第1の企業(企業A120a)および第2の企業(企業B120b)のネットワークに接続されてよい。暗号化発見サーバ110は、1つまたは3つまたはそれ以上の企業に接続されてよい。企業120a、120bのネットワークは、1つ以上のサーバ(図示せず)によってサポートされてよい。
1つ以上の企業(例えば、企業A120aおよび企業B120b)のネットワークそれぞれは、1つ以上のサーバによってサポートされる少なくとも1つのセグメントと関連付けられてよい。セグメントは、限定はしないが、ネットワークリソースを共有する、または、他方式でそのセグメント内に含まれるように設計された暗号化アセットの群等のコンピュータネットワークの一部であってよい。非限定的な例で例示すると、企業A120aは第1のセグメント(セグメントA130a)、第2のセグメント(セグメントB130b)、および第3のセグメント(セグメントC130c)に関連付けられてよい。企業B120bは第4のセグメント(セグメントD130d)に関連付けられてよい。セグメント130a−130dそれぞれは、限定はしないが、ロケーション、仕事グループ、企業内の役割等の適切な基準に基づいて、それらの対応する企業(企業A120aおよび企業B120b)によって確立され得る。非限定的な例で例示すると、セグメントA130aは、企業A120aの第1のオフィスロケーションのためのネットワークに対応し得る。セグメントB130bは企業B120bの第2のオフィスロケーションのためのネットワークに対応し得る。セグメントC130cは企業C120cの第3のオフィスロケーションのためのネットワークに対応し得る。
各セグメントは少なくとも1つの暗号化アセットを含んでよい。非限定的な例で例示すると、セグメントA130aは、少なくとも、1つのファイルサーバ140、1つのウェブサーバ141、および1つ以上の第1のエンドユーザデバイス142に関連付けられてよい。セグメントB130bは、少なくとも、1つのアプリケーションサーバ143、1つの証明書サーバ144、および1つ以上の第2のエンドユーザデバイス145に関連付けられてよい。セグメントC130cは、少なくとも、1つのメールサーバ146、1つのディレクトリサーバ147、および1つ以上の第3のエンドユーザデバイス148に関連付けられてよい。セグメントD130dは、少なくとも、1つのFTPサーバ149、1つのデータベース150、および1つ以上の第4のエンドユーザデバイス151と関連付けられてよい。暗号化アセット140−151のうち1つ以上は、何らかの形式の暗号化キーまたは証明書を用いてよい。
いくつかの実施形態において、ネットワーク130は、暗号化発見サーバ110、企業120a、120bのネットワーク、セグメント130a−130d、および/または暗号化アセット140-151間の通信を可能にしてもよい。ネットワーク130は、限定はしないが、インターネット、または1つ以上のイントラネット、ローカルエリアネットワーク(LAN)、イーサネット(登録商標)ネットワーク、メトロポリタンエリアネットワーク(MAN)、ワイドエリアネットワーク(WAN)、それらの組み合わせ等のワイドエリア通信ネットワークであってよい。ネットワーク130はさらに、限定はしないが、3Gネットワーク、ロングタームエボリューション(LTE)ネットワーク、4Gネットワーク等のモバイルデータネットワークであってもよい。特定の実施形態において、ネットワーク130は、限定はしないが、ファイアウォール、暗号化またはその他のソフトウェアもしくはハードウェア構成などの、権限のない人員または団体によるネットワーク通信へのアクセスを防止する適切なセキュリティ特徴で構成された1つ以上のセキュリティで保護されたネットワークを表し得る。
いくつかの実施形態において、暗号化発見サーバ110はデータベース115を含んでもよい。いくつかの実施形態において、暗号化発見サーバ110はデータベース115に結合されてよい。いくつかの実施形態において、データベース115は、ネットワーク130を介して暗号化発見サーバ110に接続されてよい。いくつかの実施形態において、データベース115は、別の適切なネットワークを介して暗号化発見サーバ110に接続されてよい。データベース115は、セグメント130a−130dから受け取った、抽出されたキー情報を記憶またはパースするように構成されてよい。データベース115は、暗号化発見サーバ110のプロセッサ(例えば、プロセッサ210)を利用してもよい。代替的に、データベース115は、記憶、パース、報告生成またはデータベース115および/または暗号化発見サーバ110に関するその他の説明されたプロセスを実行するための独自のプロセッサ(限定はしないが、プロセッサ210など)を含んでもよい。非限定的な例で例示すると、データベース115はSQLiteデータベースであってよい。
特定の実施形態において、データベース115は、暗号化発見サーバ110のメモリ(例えば、図2のメモリ220)よりも、より大量の情報を記憶することができ、また、記憶された情報への権限のないアクセスに対してより高レベルのセキュリティを提供することができてよい。データベース115は、限定はしないが、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、フロッピー(登録商標)ディスク、ハードディスク、ドングル、またはその他のリコンプセンサリボード(Recomp Sensory Board(RSB))接続メモリデバイス等を含む任意の適切な電子的記憶装置またはシステムを含んでもよい。データベース115はまた、クラウドストレージで実装されてもよい。
キー管理サーバ160は、本明細書で説明されるキー管理またはキー統合業務を実行するために暗号化発見サーバ110および/またはデータベース115に結合されてよい。
図2は、種々の実施形態による暗号化発見サーバ110(図1に示す)の一例のコンポーネントブロック図である。図1−2を参照すると、暗号化発見サーバ110は、少なくとも1つのプロセッサ210と、プロセッサ210に作動的に結合されたメモリ220と、少なくとも1つの出力デバイス230と、少なくとも1つの入力デバイス240と、少なくとも1つのネットワークデバイス250を含んでもよい。
いくつかの実施形態において、暗号化発見サーバ110は、本明細書で説明される動作を実行するためにハードウェアおよびソフトウェアで構成された、デスクトップコンピュータ、メインフレームコンピュータ、サーバ コンピュータ、ラップトップコンピュータ、パッドデバイス、スマートフォンデバイス等を含んでもよい。例えば、暗号化発見サーバ110は、本明細書で説明される動作を実行するために、適切なアプリケーションソフトウェア(またはその他のソフトウェア)で構成された場合に、適切な処理能力、メモリ、ユーザインターフェース(例えば、表示および入力)機能および通信機能を有する、典型的なデスクトップパーソナルコンピュータ(PC)またはアップル(Apple(登録商標))コンピュータデバイスを含んでもよい。こうして、特定の実施形態は、多くのビジネスおよび/または組織上の環境に多くの場合既に存在するプロセッサデバイスを用いて、そのようなデバイスを、本明細書で説明される適切なソフトウェアプロセスで構成することによって実装され得る。したがって、そのような実施形態は、最小の追加ハードウェアコストで実装され得る。しかしながら、暗号化発見サーバ110の他の実施形態は、本明細書で説明される動作を実行するために特別に構成された専用デバイスハードウェアを含んでもよい。
プロセッサ210は、汎用プロセッサ(例えば、マイクロプロセッサ)等の任意の適切なデータ処理デバイスを含んでもよいが、代替的に、プロセッサ210は、任意の従来型プロセッサ、コントローラ、マイクロコントローラまたはステートマシンであってもよい。さらに、プロセッサ210は、コンピューティングデバイスの組み合わせ、例えば、デジタル信号プロセッサ(DSP)とマイクロプロセッサの組み合わせ、複数のマイクロプロセッサ、DPSコアと併せた少なくとも1つのマイクロプロセッサ、または任意の他のそのような構成として実装されてもよい。プロセッサ210は、本明細書で説明される暗号化発見サーバ110の特徴と機能を実行するためにプロセッサ可読命令で構成されてよい。
メモリ220は、プロセッサ210に作動的に結合されてよく、プロセッサ210を、本明細書で説明される動作と機能を実行させるように制御するためのソフトウェアおよびデータを記憶するための任意の適切なデバイスを含んでもよい。特に、メモリ220は、暗号化発見ツールアプリケーションのためのプロセッサ可読命令を記憶してもよい。メモリ220は、限定はしないが、RAM、ROM、フロッピーディスク、ハードディスク、ドングル、または、メモリデバイスに接続されたその他のRSB等を含んでよい。いくつかの実施形態において、メモリ220は、データベース115とは別個のコンポーネントであってよい。別の実施形態において、メモリ220とデータベース115は同じ記憶装置であってよい。
いくつかの実施形態において、暗号化発見サーバ110は、少なくとも1つの出力デバイス230を含んでもよい。出力デバイス230は、限定はしないが、タッチスクリーン、液晶ディスプレイ(LCD)、発光ダイオード(LED)、陰極線管(CRT)、プラズマ、またはその他の適切な表示スクリーン、オーディオスピーカーもしくはその他の音声発生装置、それらの組み合わせ等を含む、人間が知覚可能な可視信号、可聴信号、触覚信号、またはそれらの任意の組み合わせを提供する任意の適切なデバイスを含んでもよい。
いくつかの実施形態において、暗号化発見サーバ110は、人員(企業の従業員、技術者またはその他の権限のあるユーザ等)に、暗号化発見サーバ110へのアクセスを提供するインターフェースを提供する少なくとも1つの入力デバイス240を含んでよい。入力デバイス240は、限定はしないが、1つ以上の手動オペレータ(限定はしないが、スイッチ、ボタン、タッチスクリーン、ノブ、マウス、キーボード、キーパッド、スライダー等)、マイクロフォン等を含む、ユーザからの入力を受け取る任意の適切なデバイスを含んでもよい。
ネットワークデバイス250は、ネットワーク130との接続およびネットワーク130を介した通信のために構成されてよい。ネットワークデバイス250は、ネットワーク130との接続およびネットワーク130を介した通信のためのインターフェースソフトウェア、ハードウェア、またはそれらの組み合わせを含んでもよい。例えば、ネットワークデバイス250は、ネットワーク130(またはネットワーク接続デバイス)との無線通信リンクを提供するためのソフトウェアに結合される少なくとも1つの無線受信機、送信機、および/または送受信機エレクトロニクスを含んでもよい。特定の実施形態において、ネットワークデバイス250は、本明細書で説明される送信および受信などの有線または無線通信機能を提供するためにプロセッサ210とともに動作してもよい。ネットワークデバイス250は、限定はしないが、インターネット、または1つ以上のイントラネット、LAN、イーサネットネットワーク、MAN、WAN、3Gネットワーク、LTEネットワーク、4Gネットワーク等の典型的な業界標準に従って通信を提供してもよい。
図3は、種々の実施形態による暗号化発見方法300の一例を示すプロセスフローチャート図である。図1−3を参照すると、暗号化発見サーバ110のプロセッサ210は、ブロックB310で、少なくとも1つのセグメントに関連付けられたキー情報を取得してよい。例えば、暗号化発見サーバ110のプロセッサ210は、少なくとも1つのセグメント(例えば、セグメント130a−130dのうち1つ以上)に、暗号化アセット140-151のうち1つ以上に関連するキー情報を送信するようにインテロゲート、スキャンまたは要求するように構成されてよい。暗号化発見サーバ110は、それに応答してネットワークデバイス250でキー情報を受け取ってよい。
ブロックB320で、暗号化発見サーバ110のプロセッサ210は、いくつかの実施形態により、キー情報をデータベース115および/またはメモリ220に記憶するように構成されてよい。キー情報は、限定はしないが、スキャン(インテロゲーション)、セグメント、暗号化アセット、企業、キー情報のカテゴリ(例えば、デバイス識別子、デバイスロケーション、キータイプ、キー起源、キー長さまたはキー強度)、またはその他の適切な基準等の適切な基準に基づいて整理または記憶されてよい。
記憶された情報で、暗号化発見サーバ110のプロセッサ210(またはデータベース115等の別個のデバイス内の別のプロセッサ)は、(1)キー情報に基づいて少なくとも1つの暗号化報告を生成する(ブロックB330)、(2)キー情報をエクスポートする(ブロックB340)、および/または(3)キー情報に基づいて、キー情報に関連するキーを統合する(ブロックB350)のうち1つ以上を実行するように構成されてよい。
ブロックB330に関して、暗号化発見サーバ110のプロセッサ210は、ブロックB310で取得されてブロックB320で記憶されたキー情報を用いて少なくとも1つの暗号化報告を出力するように構成されてよい。暗号化報告は、キー情報の種々の態様を示すために説明的で情報を与えるような方式で整理されてよい。例えば、暗号化報告は、キー情報を取得するにあたりスキャンされた暗号化アセットの数、暗号化アセットに関連する地理的ロケーション、キーのカテゴリ、キーを発行する証明書/キーの権限、暗号強度(暗号の強度)、キーの有効期限に関する情報またはキーに関するその他の技術情報を含んでよい。暗号化報告は、暗号化発見サーバ110のプロセッサ210(またはデータベース115等の別個のデバイス内の別のプロセッサ)によって、スキャンされる1つ以上の特定のセグメントに関する、1つ以上の特定の暗号化アセットに関する、キー情報の1つ以上の特定のカテゴリに関する、またはその他の適切な基準に関する、1つ以上の特定のスキャン(インテロゲーション)に関するキー情報に基づいてコンパイルされてよい。人員(セキュリティオフィサー等の)は、報告によって提供される戦略的視野を整理した後で、暗号化キーと証明書のステータスに関する明確な理解を有することができ、それに従ってキー管理業務(例えば、キー管理サーバ160による)を実行できる。
報告は、ブラウザ−ウィンドウフォーマット等のウェブベースの表示に基づいて生成され得る。報告は、マイクロソフトワード文書、マイクロソフトエクセル文書、ポータブルドキュメントフォーマット(PDF)等の電子的可読フォーマットで生成されてもよい。
ブロックB340に関して、暗号化発見サーバ110のプロセッサ210は、データベース115または別の記憶装置から、限定はしないが、マイクロソフトエクセル、カンマ区切り値(CVS)、Simileモデル(SML)等の適切なフォーマットでキー情報をエクスポートするように構成されてよい。非限定的な例で例示すると、エクスポートされた、キー情報を含むSMLファイルは、キー情報に基づいてオブジェクトを作成するために用いられ得る。これは単純に、キー情報の余分な再キーイングをレンダリングすることによる、またはコピー/ペースト処理によるオブジェクト作成である。ブロックB350に関連して、キー統合(ならびに管理、フェデレーションおよび分散)が、暗号化発見サーバ110のプロセッサ210または他の適切なプロセッサ(例えば、キー管理サーバ160のプロセッサ)によって、取得されたキー情報に基づいてキーに関して実行され得る。
図4は、種々の実施形態による暗号化発見方法400の一例を示すプロセスフローチャート図である。図1−4を参照すると、暗号化発見方法400は、暗号化発見方法300の1つ以上のブロックに対応し得る。特に、ブロックB410−B420はブロックB310に対応し得る。ブロックB430はブロックB320に対応し得る。
ブロックB410において、暗号化発見サーバ110のプロセッサ210は、少なくとも1つのセグメントの暗号化アセットに関連するキー情報に関して少なくとも1つのセグメントをインテロゲートするように構成されてよい。いくつかの実施形態において、少なくとも1つのセグメントを選択するユーザ入力は、入力デバイス240を介して暗号化発見サーバ110によって受け取られてよい。いくつかの実施形態において、暗号化発見サーバ110のプロセッサ210は、1つ以上のセグメントを、限定はしないが、最近のインテロゲーションが実行されてからの時間等による適切な基準に基づいて自動選択してよい(時限自動スキャンに関して)。暗号化発見サーバ110のプロセッサ210は、少なくとも1つの選択されたセグメントに関連する暗号化アセットからのキー情報を含むデータを誘導するように構成されてよい。少なくとも1つの選択されたセグメントならびに暗号化アセットは、IPアドレス等の識別子で識別されてよい。インテロゲーションは、識別子に対応するセグメントに関して実行されてよい。
暗号化発見サーバ110のプロセッサ210は、選択されたセグメントに、信号に具現化された要求を送信することによって、選択されたセグメントをインテロゲートしてよい。いくつかの実施形態において、暗号化発見サーバ110のプロセッサ210は、そのような要求を送信するためのNMAP標準を用いるように構成されてよい。NMAP標準は、スキャンおよび、ネットワーク上のデバイス(例えば、選択されたセグメント)、ポート識別等に関する詳細情報のためのネットワークツールであり得る。キー情報は、NMAPを、キー情報を含むデータを出力させるように操作することによって引き出され得る。
インテロゲート対象に2つ以上のセグメントが選択されたことに応答して、暗号化発見サーバ110のプロセッサ210は、本明細書で説明されるインテロゲーションを2つ以上のセグメントに対して同時に実行するように構成されてよい。暗号化発見サーバ110のプロセッサ210は、2つ以上の選択されたセグメントを同時にインテロゲートするようにNMAPに指令することによってインテロゲーション対象の2つ以上の選択されたセグメントに関するプロセスを合計するように構成されてよい。別の実施形態において、セグメントは逐次インテロゲートされてよい。同時、逐次、いずれの場合にも、スキャン毎にインテロゲートされるセグメントの数は、プロセッサ210の処理能力に基づいてよい。
ブロックB420で、暗号化発見サーバ110のネットワークデバイス250に結合されたプロセッサ210は、インテロゲーションに応答して、少なくとも1つのセグメントからキー情報を受け取ってよい。いくつかの実施形態において、暗号化発見サーバ110は、インテロゲートされた少なくとも1つのセグメントからキー情報を受け取ってよい。いくつかの実施形態において、暗号化発見サーバ110は、少なくとも1つのセグメントに対応する暗号化アセットからキー情報を直接受け取ってよい。
NMAP標準が実装される場合、暗号化発見サーバ110は、キー情報を含み得る出力データをNMAPフォーマットで受け取ってよい。出力データは冗長であり得る。暗号化発見サーバ110のプロセッサ210は、出力データからキー情報を抽出するように構成されてよい。特に、プロセッサ210は、NMAP出力データのデータ層内のキー情報を抽出するように構成されてよい。非限定的な例で例示すると、キーがセキュアセル(SSH)キーであるか、セキュアソケットレイヤ(SSL)キーであるか、リベスト−シャミア−エーデマン(RSA)暗号システムであるか、デジタル署名アルゴリズム(DSA)であるかが抽出されて、キーのキータイプ/カテゴリを決定してもよい。限定はしないが、キー長さ、キー強度、有効期限等の他のキー情報が、同様にNMAP出力データから抽出されてよい。プロセッサ210は、出力データをフィルタリングするにあたり、注目すべきデータタイプ(デバイス識別子、デバイスロケーション、キータイプ、有効期限、キー起源、キー長さ、キー強度および/または同等物)に関連するデータ識別子を特定するように構成されてよい。そのようなデータ識別子は、データファイルタイプ、データ内容、識別可能なデータの特定の部分等を含んでもよい。特定後、プロセッサは、データ識別子に関連するデータを、データベース115または他の適切な記憶装置にコピーまたは移動してもよい。プロセッサ210は、出力データをフィルタ/パースするためにNMAPとインターフェースしてもよい。別の実施形態において、適切なネットワーク列挙および/またはネットワークマッピング標準が、同様な方式でキー情報を取得するために用いられてよい。
ブロックB430で、キー情報は、限定はしないが、ブロックB320に関して説明したような方式で記憶されてよい。
非限定的な例で例示すると、企業A120aのセキュリティオフィサーが、セグメントA130aとセグメントB130bに関する暗号化ステータスを知りたいとする。セキュリティオフィサーは、インテロゲートするセグメントA130aおよびセグメントB130bを、入力デバイス240を介して選択してもよい。暗号化発見サーバ110のプロセッサ210は、セグメントA130aとセグメントB130bに関するワークフローを合計するように構成されてよい。プロセッサ210は、セグメントA130aおよびセグメントB130bの両方に、対応する暗号化アセットに関連するキー情報を合計されるワークフローに基づいて要求(NMAP標準を用いて)してもよい(例えば、ブロックB410で)。次に、NMAP出力データが受け取られてよい(ブロックB420で)。プロセッサ210はNMAP出力データからキー情報を抽出してもよい。キー情報は記憶されてよい(ブロックB430またはB320で)。キー管理プロセスは次に、ブロックB330−B350のうち1つ以上で実行されてよい(キー管理サーバ160によって)。
図5は、種々の実施形態によるキー情報500の一例を示す図である。図1−5を参照すると、キー情報500が、セグメントまたは暗号化アセットから受信され得る。キー情報500は、NMAP出力データから、またはキー情報500を含む他のタイプの出力データから抽出されてよい。キー情報500は、限定はしないが、デバイス識別子510、デバイスロケーション520、キータイプ530、有効期限540、キー起源550、キー長さ560またはキー強度570のうち1つ以上を含んでもよい。
いくつかの実施形態において、デバイス識別子510は暗号化アセットの適切な記述を参照してもよい。デバイス識別子510の例は、限定はしないが、デバイス名、ネットワークアドレス(例えば、IPアドレス)、デバイスロケーション、それらの組み合わせ等を含み得る。いくつかの実施形態において、デバイス ロケーション520は、暗号化アセットが物理的に位置している地理的ロケーションであり得る。いくつかの実施形態において、デバイスロケーション520は、関連する企業、セグメント、および/または暗号化アセットのネットワークアドレス(IPアドレス)に基づいてプロセッサ210によって決定されてよい。例えば、取得されたネットワークアドレスから、プロセッサ210は、ネットワークアドレスに関連する暗号化アセットがどこにあるかを含むデバイス情報を取得するために企業/セグメントのデータベース(例えば、ライトウェイトディレクトリアクセスプロトコル(LDAP)またはアクティブディレクトリ(AD))に直接クエリーしてもよい。いくつかの実施形態において、デバイスロケーション520は、さらなる判断なしに、キー情報500の一部として直接受け取られる。例えば、暗号化アセット、企業サーバ、またはセグメントサーバに埋め込まれたGPSチップで決まるグローバルポジショニングシステム(GPS)データが、暗号化発見サーバ110に伝送されてよい。
いくつかの実施形態において、キータイプ530はキーのカテゴリまたは分類を指し得る。キータイプ530の例は、限定はしないが、パブリック、プライベート、SSH、SSL、RSA、DSA、自己署名式、署名局(CA)署名式、等を含んでよい。いくつかの実施形態において、有効期限540は、キーが失効または無効になった可能性がある時点であり得る。有効期限データ540は、CAによってキーが生成された場合に生成し得る。
いくつかの実施形態において、キー起源550は、そのキーを生成した源であり得る。特に、キーは、暗号化アセット(自己署名式)、CA(例えば、マイクロソフト)、ベンダー等によって生成され得る。いくつかの実施形態において、キー長さ560は、ビットでのキーのサイズを指す。いくつかの実施形態において、キー強度570は、キーの暗号化セキュリティレベル(暗号強度)を指し得る。
図6は、種々の実施形態による暗号化報告610の一例を示す表示スクリーン600である。図1−6を参照すると、表示スクリーン600はウェブページとして生成され得る。暗号化報告610は、いくつかの実施形態によれば、ブロックB330に従って表示され得る。暗号化報告610は、特定のインテロゲーションに対して(インテロゲーション毎)またはスキャニングに対して(スキャン毎)生成され得る。インテロゲーションの各行為は、同じ企業内の少なくとも1つのセグメントに関するもの、または、2つ以上の異なる企業内の2つ以上のセグメントに関するものであり得る。暗号化報告610は、いくつかの実施形態によれば、キー情報(例えば、キー情報500)の少なくとも一部を含み得る。非限定的な例で例示すると、暗号化報告610は、デバイス識別子510、デバイスロケーション520、キータイプ530、有効期限540、キー起源550、キー長さ560、またはキー強度570のうち1つ以上に関する情報を含み得る。
表示スクリーン600は、キー情報(例えば、キー情報500)に基づく統計を示すテキスト(例えば、テキスト部分620)を含んでもよい。表示スクリーン600の非限定的な例において、スキャンされた暗号化アセットの総数、配置された暗号化ポートの数、パブリックキーの数、SSHキーの数、SSL証明書の数、RSAの数、DSAの数、自己署名式証明書の数、CA署名式証明書の数が表示されてよい。
表示スクリーン600はさらに、少なくとも1つのグラフ(例えば、第1のグラフ630、第2のグラフ640、第3のグラフ650等)またはキー情報(例えば、キー情報500)に基づいて生成された、その他のタイプの視覚的表示をも含んでよい。非限定的な例で説明すると、第1のグラフ630は、キーの暗号強度(例えば、暗号強度570)を表すパイ図であってよい。暗号強度は、限定はしないが、「弱」、「中」または「強」などの適切なレベルに分けられてもよい。第2のグラフ640は、SSL、SSH、または付加的/代替的なキータイプ(例えば、RSA、DSA等)であり得るキータイプ(例えば、キータイプ530)を表すパイ図であり得る。第3のグラフ650は、キーの有効期限(例えば、有効期限540)を表す棒グラフであり得る。
表示スクリーン600はさらに、ブロックB340に従って、暗号化報告610または特定の暗号化報告610に関連するキー情報をダウンロードまたはエクスポートするための少なくとも1つのユーザインタラクティブ素子(例えば、ダウンロード素子695)を含んでよい。
図示され説明された種々の実施形態は、請求項の種々の特徴を例示するための例としてのみ提供されている。しかしながら、いずれの所与の実施形態に関して図示され説明された特徴も、その関連する実施形態に必ずしも限定されるわけではなく、図示され説明されるその他の実施形態と共に、または組み合わせて用いられてもよい。さらに、請求項は、いずれの1つの実施形態によっても限定されることを意図していない。
上記の説明された方法およびプロセス流れ図は、単に例示的な例として提供されたものであり、種々の実施形態のステップが、提示された順に実行されなければならないということを要求する意図も意味する意図もない。当業者には理解されるであろうように、上記の実施形態におけるステップの順は、任意の順に実行されてよい。「その後(thereafter)」、「次いで(then)」「次に(next)」等の語は、ステップの順を限定する意図はなく、これらの語は単に、読者に、方法の説明を通してガイドするために用いられている。さらに、請求項に記載された、例えば、冠詞「1つの(a)」、「1つの(an)」または「その(the)」を用いた単数の要素への言及は、その要素を単数に限定するものと解釈されるべきではない。
本明細書で開示される実施形態に関連して説明された種々の例示的論理ブロック、モジュール、回路およびアルゴリズムステップは、電子的ハードウェア、コンピュータソフトウェア、または両方の組み合わせとして実装されてよい。ハードウェアとソフトウェアのこの互換性を明確に説明するために、ブロック、モジュール、回路およびステップは一般的にそれらの機能性に関して説明されてきた。そのような機能性がハードウェアとして実装されるのか、またはソフトウェアとして実装されるのかは、特定のアプリケーションと、全体的なシステムに課される設計制約にかかっている。当業者ならば、記載された機能性を、それぞれの特定のアプリケーションに対して様々な方式で実装し得るであろうが、そのような実装に関する判断は、本発明の範囲からの逸脱を招くと解釈されるべきではない。
本明細書で開示される実施形態に関連して説明された種々の例示的ロジック、論理ブロック、モジュールおよび回路を実装するために用いられるハードウェアは、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)または他のプログラマブルロジックデバイス、離散ゲートまたはトランジスタロジック、離散ハードウェアコンポーネント、または、本明細書に記載される機能を実行することを目指したそれらの任意の組み合わせで実装または実行されてよい。汎用プロセッサはマイクロプロセッサであり得るが、代替的に、プロセッサは任意の従来型プロセッサ、コントローラ、マイクロコントローラまたはステートマシンであってよい。プロセッサは、コンピューティングデバイスの組み合わせとして実装されてもよく、例えば、1つのDSPと1つのマイクロプロセッサの組み合わせ、複数のマイクロプロセッサの組み合わせ、DSPコアと併用した1つ以上のマイクロプロセッサの組み合わせ、または任意のそのような構成で実装されてよい。代替的に、いくつかのステップまたは方法は、所与の機能専用の回路系によって実行されてもよい。
いくつかの例示的実施形態において、記載される機能はハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組み合わせで実装されてよい。ソフトウェアで実装される場合、機能は1つ以上の命令またはコードとして、非一時的コンピュータ可読記憶媒体または非一時的プロセッサ可読記憶媒体に記憶されてよい。本明細書で開示される方法のステップまたはアルゴリズムは、非一時的コンピュータ可読媒体またはプロセッサ可読記憶媒体に存在し得るプロセッサで実施可能なソフトウェアで具現化されてよい。非一時的コンピュータ可読またはプロセッサ可読記憶媒体は、コンピュータまたはプロセッサによってアクセスされ得る任意の記憶媒体であってよい。限定はしない例として、そのような非一時的コンピュータ可読またはプロセッサ可読記憶媒体は、RAM、ROM、EEPROM、フラッシュメモリ、CD−ROMまたは他の光学的ディスク記憶装置、磁気ディスク記憶装置または他の磁気記憶装置、または、コンピュータによってアクセスされ得る命令またはデータ構造の形式の所望のプログラムコードを記憶するために用いられ得る任意の他の媒体を含み得る。本明細書で用いるディスク(disk)およびディスク(disc)は、コンパクトディスク(CD)、レーザーディスク(登録商標)、光ディスク、デジタル多用途ディスク(DVD)、フロッピーディスク、およびブルーレイ(登録商標)ディスクを含み、ディスク(disk)は通常データを磁気的に再生するのに対し、ディスク(disc)はデータをレーザーで光学的に再生する。上記の組み合わせも、非一時的コンピュータ可読媒体およびプロセッサ可読媒体の範囲内に含まれる。さらに、方法またはアルゴリズムの操作は、コンピュータプログラム製品に組み込まれ得る非一時的プロセッサ可読記憶媒体および/またはコンピュータ可読記憶媒体上に、コードおよび/または命令の1つまたは任意の組み合わせ、またはセットとして存在してよい。
開示の実施形態の上記の説明は、当業者が本発明を作成または使用できるようにするために提供された。これらの実施形態への種々の改変は、当業者には容易にわかり得るものであり、本明細書に規定された包括的な原理は、本発明の趣旨または範囲から逸脱せずにいくつかの実施形態に適用され得る。したがって、本発明は本明細書に示された実施形態に限定されることを意図しておらず、以下の特許請求の範囲および本明細書で開示される原理および新規の特徴に整合する最も広い範囲に一致することを意図している。
Claims (16)
- キー情報を発見するための方法であって、コンピュータが、
少なくとも1つのセグメントに対して、その少なくとも1つのセグメントの暗号化アセットそれぞれに対応する暗号化キーに関連するキー情報を要求し、
前記少なくとも1つのセグメントから、前記要求の結果として、前記暗号化キーに関連する前記キー情報を含む出力データをネットワークマッピングフォーマットで受け取り、
前記出力データから前記暗号化キーに関連する前記キー情報を抽出し、
前記キー情報を記憶し、
保存された前記キー情報に基づいてキー管理業務を実行する、
ことを含み、
前記キー情報は、デバイス識別子、デバイスロケーション、キータイプ、キー起源、キー長さ、またはキー強度のうち少なくとも1つを含み、
前記ネットワークマッピングフォーマットはネットワークマッパー(NMAP)フォーマットであり、
前記暗号化キーに関連する前記キー情報は、前記NMAPフォーマットの前記出力データのデータ層内から抽出される、
ことを特徴とする方法。 - さらに、前記コンピュータが、少なくとも1つのセグメントを選択するためのユーザ入力を受け取り、選択された少なくとも1つのセグメントに対して前記キー情報を要求することを含む、請求項1に記載の方法。
- 前記少なくとも1つのセグメントはネットワークマッパー(NMAP)を用いて、前記キー情報が要求される、請求項1に記載の方法。
- 暗号化アセットが、ファイルサーバ、ウェブサーバ、アプリケーションサーバ、証明書サーバ、メールサーバ、ディレクトリサーバ、ファイル転送プロトコル(FTP)サーバ、データベース、管理サーバ、Eコマースサーバ、またはエンドユーザデバイスのうち少なくとも2つを含む、請求項1に記載の方法。
- 前記キー管理業務は、前記コンピュータが、少なくとも1つの暗号化に関する報告を、前記キー情報に基づいて生成することを含む、請求項1に記載の方法。
- 前記キー情報の1または複数の特徴を表示する前記暗号化に関する報告は、前記コンピュータによって生成されたウェブページに含まれる、請求項5に記載の方法。
- 前記キー管理業務は、前記コンピュータが、前記キー情報をエクスポートすることを含む、請求項1に記載の方法。
- 前記キー管理業務は、前記コンピュータが、前記キー情報に基づいてキーを統合することを含む、請求項1に記載の方法。
- 実行された場合に、プロセッサに、キー情報を発見するための方法を実行させるように、プロセッサ可読命令を包含する非一時的コンピュータ可読媒体であって、
前記方法が、
少なくとも1つのセグメントに対して、その少なくとも1つのセグメントの暗号化アセットそれぞれに対応する暗号化キーに関連するキー情報を要求し、
前記少なくとも1つのセグメントから、前記要求の結果として、前記暗号化キーに関連する前記キー情報を含む出力データをネットワークマッピングフォーマットで受け取り、
前記出力データから前記暗号化キーに関連する前記キー情報を抽出し、
前記キー情報を記憶し、
保存された前記キー情報に基づいてキー管理業務を実行することを含み、
前記キー情報は、デバイス識別子、デバイスロケーション、キータイプ、キー起源、キー長さ、またはキー強度のうち少なくとも1つを含み、
前記ネットワークマッピングフォーマットはネットワークマッパー(NMAP)フォーマットであり、
前記暗号化キーに関連する前記キー情報は、前記NMAPフォーマットの前記出力データのデータ層内から抽出される、
ことを特徴とする非一時的コンピュータ可読媒体。 - キー情報を発見するためのサーバであって、
データベースと、
プロセッサと、
前記プロセッサに結合され、プロセッサ可読命令を格納するメモリと、を備え、
前記プロセッサによって前記プロセッサ可読命令が実行されると、前記プロセッサが、
少なくとも1つのセグメントに対して、その少なくとも1つのセグメントの暗号化アセットそれぞれに対応する暗号化キーに関連するキー情報を要求し、
前記少なくとも1つのセグメントから、前記要求の結果として、前記暗号化キーに関連する前記キー情報を含む出力データをネットワークマッピングフォーマットで受け取り、
前記出力データから前記暗号化キーに関連する前記キー情報を抽出し、
前記キー情報を記憶し、
保存された前記キー情報に基づいてキー管理業務を実行するように構成されており、
前記キー情報は、デバイス識別子、デバイスロケーション、キータイプ、キー起源、キー長さ、またはキー強度のうち少なくとも1つを含み、
前記ネットワークマッピングフォーマットはネットワークマッパー(NMAP)フォーマットであり、
前記暗号化キーに関連する前記キー情報は、前記NMAPフォーマットの前記出力データのデータ層内から抽出される、
ことを特徴とするサーバ。 - 前記プロセッサはさらに、前記プロセッサ可読命令で、前記少なくとも1つのセグメントを選択するためのユーザ入力を受け取り、選択された少なくとも1つのセグメントに対して前記キー情報を要求するように構成されている、
請求項10に記載のサーバ。 - 前記プロセッサは、前記プロセッサ可読命令で、前記少なくとも1つのセグメントに対して、ネットワークマッパー(NMAP)を用いて前記キー情報を要求するように構成される、
請求項10に記載のサーバ。 - 前記暗号化アセットが、ファイルサーバ、ウェブサーバ、アプリケーションサーバ、証明書サーバ、メールサーバ、ディレクトリサーバ、ファイル転送プロトコル(FTP)サーバ、データベース、管理サーバ、Eコマースサーバ、またはエンドユーザデバイスのうち少なくとも2つを含む、請求項10に記載のサーバ。
- 少なくとも1つのセグメントの暗号化アセットに用いられるキーに対応するキー情報を発見し管理する方法であって、
前記少なくとも1つのセグメントの前記暗号化アセットそれぞれに対応するキーに関連するキー情報であってネットワークマッパー(NMAP)を用いて取得されたキー情報を含む出力データをネットワークマッピングフォーマットで取得し、
ネットワークマッピングフォーマットの前記出力データのデータ層内から、前記キーに関連し、デバイス識別子、デバイスロケーション、キータイプ、キー起源、キー長さ、またはキー強度のうち少なくとも1つを含む前記キー情報を抽出し、
前記キー情報を記憶し、
保存された前記キー情報に基づいてキー管理業務を実行する、
ことを含み、
前記キー管理業務は、
少なくとも1つの暗号化報告をキー情報に基づいて生成すること、
キー情報をエクスポートすること、または、
キーをキー情報に基づいて統合すること、
のうち少なくとも1つを含む、
ことを特徴とする方法。 - 前記キー情報を含む前記出力データを取得することは、
前記少なくとも1つのセグメントに対して、前記キーに関連する前記キー情報を要求し、
前記少なくとも1つのセグメントから、前記キーに関連する前記キー情報を含む前記出力データを、前記要求の結果としてネットワークマッピングフォーマットで受け取る、
ことを含む請求項14に記載の方法。 - 前記暗号化アセットのそれぞれが、少なくとも1つのセグメントに含まれるように設計されている、請求項1に記載の方法。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562233900P | 2015-09-28 | 2015-09-28 | |
| US62/233,900 | 2015-09-28 | ||
| US15/269,310 US10257175B2 (en) | 2015-09-28 | 2016-09-19 | Encryption deployment discovery |
| US15/269,310 | 2016-09-19 | ||
| PCT/US2016/052666 WO2017058574A1 (en) | 2015-09-28 | 2016-09-20 | Encryption deployment discovery |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018530283A JP2018530283A (ja) | 2018-10-11 |
| JP6880040B2 true JP6880040B2 (ja) | 2021-06-02 |
Family
ID=58407608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018535816A Active JP6880040B2 (ja) | 2015-09-28 | 2016-09-20 | 暗号化展開発見 |
Country Status (14)
| Country | Link |
|---|---|
| US (1) | US10257175B2 (ja) |
| EP (2) | EP3787224A1 (ja) |
| JP (1) | JP6880040B2 (ja) |
| KR (1) | KR20180050414A (ja) |
| AU (2) | AU2016332203B2 (ja) |
| CA (1) | CA2999469A1 (ja) |
| DK (1) | DK3363148T3 (ja) |
| ES (1) | ES2857501T3 (ja) |
| HU (1) | HUE052708T2 (ja) |
| IL (1) | IL258249B (ja) |
| PL (1) | PL3363148T3 (ja) |
| PT (1) | PT3363148T (ja) |
| UA (1) | UA125506C2 (ja) |
| WO (1) | WO2017058574A1 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10630686B2 (en) | 2015-03-12 | 2020-04-21 | Fornetix Llc | Systems and methods for organizing devices in a policy hierarchy |
| US10860086B2 (en) | 2016-02-26 | 2020-12-08 | Fornetix Llc | Policy-enabled encryption keys having complex logical operations |
| US10931653B2 (en) | 2016-02-26 | 2021-02-23 | Fornetix Llc | System and method for hierarchy manipulation in an encryption key management system |
| US11063980B2 (en) | 2016-02-26 | 2021-07-13 | Fornetix Llc | System and method for associating encryption key management policy with device activity |
| US10880281B2 (en) | 2016-02-26 | 2020-12-29 | Fornetix Llc | Structure of policies for evaluating key attributes of encryption keys |
| US10917239B2 (en) | 2016-02-26 | 2021-02-09 | Fornetix Llc | Policy-enabled encryption keys having ephemeral policies |
| JP7393209B2 (ja) | 2017-01-26 | 2023-12-06 | センパー フォーティス ソリューションズ リミテッド ライアビリティ カンパニー | マルチテナントクラウドにおける複数のシングルレベルセキュリティ(msls) |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4240930B2 (ja) * | 2002-07-15 | 2009-03-18 | 株式会社日立製作所 | 複数ネットワークストレージの仮送想一元化方法及び装置 |
| US20060178954A1 (en) | 2004-12-13 | 2006-08-10 | Rohit Thukral | Iterative asset reconciliation process |
| US7457824B1 (en) * | 2004-12-28 | 2008-11-25 | Emc Corporation | Methods and apparatus for managing groups of resources |
| JP2007272868A (ja) * | 2006-03-07 | 2007-10-18 | Sony Corp | 情報処理装置、情報通信システム、および情報処理方法、並びにコンピュータ・プログラム |
| KR101482211B1 (ko) * | 2008-03-10 | 2015-01-15 | 삼성전자 주식회사 | 이동성을 지원하는 서버, 단말 장치 및 방법 |
| CN102055747B (zh) | 2009-11-06 | 2014-09-10 | 中兴通讯股份有限公司 | 获取密钥管理服务器信息的方法、监听方法及系统、设备 |
| CN102098278B (zh) * | 2009-12-15 | 2015-01-21 | 华为技术有限公司 | 用户接入方法、系统及接入服务器、接入设备 |
| US9363080B2 (en) * | 2011-07-08 | 2016-06-07 | Venafi, Inc. | System for managing cryptographic keys and trust relationships in a secure shell (SSH) environment |
| EP2731040B1 (en) * | 2012-11-08 | 2017-04-19 | CompuGroup Medical SE | Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method |
| US8995667B2 (en) | 2013-02-21 | 2015-03-31 | Telefonaktiebolaget L M Ericsson (Publ) | Mechanism for co-ordinated authentication key transition for IS-IS protocol |
| US9253171B2 (en) * | 2013-06-20 | 2016-02-02 | Raytheon Cyber Products, Llc | Distributed network encryption key generation |
| US9124430B2 (en) * | 2013-09-23 | 2015-09-01 | Venafi, Inc. | Centralized policy management for security keys |
| US9461969B2 (en) | 2013-10-01 | 2016-10-04 | Racemi, Inc. | Migration of complex applications within a hybrid cloud environment |
| US9958955B2 (en) * | 2014-07-02 | 2018-05-01 | Suzhou Snail Technology Digital Co., Ltd. | Key function conversion method, key function conversion device and electronic equipment |
| US9894042B2 (en) * | 2015-07-24 | 2018-02-13 | Skyhigh Networks, Inc. | Searchable encryption enabling encrypted search based on document type |
-
2016
- 2016-09-19 US US15/269,310 patent/US10257175B2/en active Active
- 2016-09-20 PT PT168523173T patent/PT3363148T/pt unknown
- 2016-09-20 UA UAA201804459A patent/UA125506C2/uk unknown
- 2016-09-20 EP EP20203667.9A patent/EP3787224A1/en not_active Withdrawn
- 2016-09-20 EP EP16852317.3A patent/EP3363148B1/en active Active
- 2016-09-20 AU AU2016332203A patent/AU2016332203B2/en not_active Ceased
- 2016-09-20 ES ES16852317T patent/ES2857501T3/es active Active
- 2016-09-20 HU HUE16852317A patent/HUE052708T2/hu unknown
- 2016-09-20 JP JP2018535816A patent/JP6880040B2/ja active Active
- 2016-09-20 WO PCT/US2016/052666 patent/WO2017058574A1/en active Application Filing
- 2016-09-20 DK DK16852317.3T patent/DK3363148T3/da active
- 2016-09-20 CA CA2999469A patent/CA2999469A1/en not_active Abandoned
- 2016-09-20 PL PL16852317T patent/PL3363148T3/pl unknown
- 2016-09-20 KR KR1020187011452A patent/KR20180050414A/ko active IP Right Grant
-
2018
- 2018-03-20 IL IL258249A patent/IL258249B/en active IP Right Grant
-
2021
- 2021-03-22 AU AU2021201768A patent/AU2021201768A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| CA2999469A1 (en) | 2017-04-06 |
| HUE052708T2 (hu) | 2021-05-28 |
| PL3363148T3 (pl) | 2021-10-25 |
| KR20180050414A (ko) | 2018-05-14 |
| EP3363148B1 (en) | 2020-11-11 |
| EP3363148A1 (en) | 2018-08-22 |
| US10257175B2 (en) | 2019-04-09 |
| UA125506C2 (uk) | 2022-04-13 |
| DK3363148T3 (da) | 2021-02-15 |
| JP2018530283A (ja) | 2018-10-11 |
| US20170093819A1 (en) | 2017-03-30 |
| WO2017058574A1 (en) | 2017-04-06 |
| AU2016332203B2 (en) | 2020-12-24 |
| AU2021201768A1 (en) | 2021-04-15 |
| EP3787224A1 (en) | 2021-03-03 |
| PT3363148T (pt) | 2021-02-15 |
| EP3363148A4 (en) | 2019-07-24 |
| IL258249B (en) | 2020-07-30 |
| AU2016332203A1 (en) | 2018-04-12 |
| ES2857501T3 (es) | 2021-09-29 |
| IL258249A (en) | 2018-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6880040B2 (ja) | 暗号化展開発見 | |
| US10977269B1 (en) | Selective structure preserving obfuscation | |
| US10666684B2 (en) | Security policies with probabilistic actions | |
| EP3767896A1 (en) | A zero-knowledge environment based social networking engine | |
| US20140281520A1 (en) | Secure cloud data sharing | |
| US12034709B1 (en) | Centralized secure distribution of messages and device updates | |
| WO2015180666A1 (en) | Wireless network connection method, apparatus, and system | |
| JP2016524429A (ja) | 仮想サービスプロバイダゾーン | |
| US8930380B1 (en) | Automatic parser generation | |
| EP2354996A1 (en) | Apparatus and method for remote processing while securing classified data | |
| CN110851865B (zh) | 资源数据的处理方法、装置、系统和存储介质 | |
| Suzic et al. | Secure data sharing and processing in heterogeneous clouds | |
| Huynh et al. | A decentralized solution for web hosting | |
| JP2015090993A (ja) | 暗号制御装置、暗号制御方法、及びプログラム | |
| Khajuria et al. | Cybersecurity and Privacy-Bridging the Gap | |
| Gabel et al. | Privacy patterns for pseudonymity | |
| Lavarack et al. | Considering web services security policy compatibility | |
| US11343212B2 (en) | Interoperable clinical document-exchange system | |
| Sarddar et al. | Safety as a Service (SFaaS) Model-The New Invention in Cloud computing to establish a Secure Logical Communication Channel between Data Owner and the Cloud Service Provider before Storing, Retrieving or Accessing any Data in the Cloud | |
| Singh et al. | Secure and Efficient Enhanced Sharing of Data Over Cloud Using Attribute Based Encryption with Hash Functions | |
| Kaul | Efficient Private Analytics in a Cybersecurity Threat Intelligence Exchange | |
| Jain et al. | An approach to Data Masking: Exploration | |
| Demuth | Integration of geospatial services into e-Government applications based on e-Government and SDI standards |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190918 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201014 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201201 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210225 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210406 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210430 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6880040 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |