JP7109909B2 - コンピュータネットワーク内のユーザの認証 - Google Patents
コンピュータネットワーク内のユーザの認証 Download PDFInfo
- Publication number
- JP7109909B2 JP7109909B2 JP2017224431A JP2017224431A JP7109909B2 JP 7109909 B2 JP7109909 B2 JP 7109909B2 JP 2017224431 A JP2017224431 A JP 2017224431A JP 2017224431 A JP2017224431 A JP 2017224431A JP 7109909 B2 JP7109909 B2 JP 7109909B2
- Authority
- JP
- Japan
- Prior art keywords
- authenticator
- temporary
- host
- user
- network device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Description
本開示は、コンピュータ化されたネットワーク内のホストへのアクセスに関する。特に、アクセス及び通信に認証子を使用することに関する。
コンピュータ化されたネットワークシステムは、典型的には、様々なコンピューティング装置及び装置間のデータ通信を可能にする他の機器を含む。物理コンピューティング装置は、しばしばホストと呼ばれる。ホストは、物理コンピューティング装置内の、仮想コンピューティング装置又はLinuxコンテナなどのコンテナ又は等価物であってもよい。各ホストは、1つ又は複数のユーザカウント、プロセス、及び/又はファイルを含むか、又はそれらと関連付けることができる。
ユーザは、コンピュータ化されたネットワークシステムにおける通信のために構成されたユーザ装置を用いてホストにアクセスできる。アクセスされるホストは、ターゲットホストと呼ばれることもある。ユーザは、様々な理由により、コンピュータ化されたネットワーク内のホストにアクセスしたい場合がある。例えば、ホストは、様々なサービスを提供することができ、及び/又はユーザが使用したいファイル又は他のコンテンツを格納できる。コンピュータ化されたネットワークシステム内のホスト及び他のエンティティにアクセスするための様々な構成がなされる。これらの非限定的な例には、ウェブベースのアクセス、セキュリティプロトコル(例えば、セキュアシェルプロトコル、 SSH)ベースのアクセス、ファイル転送アクセス、リモートプロシージャコールアクセス、及び/又はソフトウェアアップグレードアクセスが含まれる。そのようなアクセスは、例えば、エンドユーザ、自動化、及び/又はシステム管理者によって使用されてもよい。
データ通信、ホストへのアクセス、ユーザ装置及びホスト自体は、権限のない者による攻撃に対して脆弱である場合がある。したがって、セキュリティ(安全性)への配慮が重要である。例えば、企業、政府機関又は地方自治体組織又は非営利団体ならびに個人ユーザは、通常、コンピュータシステム及びそこに格納されたデータがどのようにアクセスされ使用されるのかを管理することを望む。
データの安全性を強化するための様々なソリューションが提案されている。これらの一部は、キー(鍵)の使用に基づいている。鍵は、例えば、装置間で通信されるデータの暗号化及び/又は格納されたデータの暗号化に使用できる。暗号化に加えて、鍵は、認証、承認機能、電子署名などにも使用される。公開鍵と秘密鍵が使用される。公開鍵暗号方式又は非対称暗号方式では、公開鍵と秘密鍵のペアが使用される。公開鍵は広く配布されてもよいが、秘密鍵は所有者にしか知られない。これは、認証(公開鍵はペアの秘密鍵の所有者がメッセージを送信したことを検証するために使用される)と暗号化(ペアの秘密鍵の所有者のみが公開鍵で暗号化されたメッセージを復号化できる)を達成する。別のセキュリティ機能は、鍵の検証や署名に使用される証明書の使用に基づいている。公開鍵証明書を使用して公開鍵の所有権を証明できる。公開鍵証明書は、電子証明書又はID証明書としても知られる電子文書であって、鍵に関する情報、鍵の所有者の身元(Identity、ID)に関する情報、及び証明書の内容が正しいことを検証したエンティティの電子署名を含む。原理は、署名が有効で証明書を調査する人が署名者を信頼している場合、その鍵を使用してその所有者と安全に通信できるということである。証明書は、攻撃者が安全なWebサイトや他のサーバに偽装するのを防ぐための優れた防御を提供すると考えられている。証明書は、認証局(CA: Certificate Authority)によって署名される。CAは、信頼できる者又は組織、例えば、自己証明書を発行するように顧客に請求する会社、であってもよい。ウェブの信頼スキームでは、鍵(自己署名証明書)の所有者又は証明書を調べる人が知っており、かつ信用しうる他のユーザ(「裏書」)を署名者とすることができる。
鍵と証明書は、セキュリティを強化するためにコンピュータ化されたネットワークシステムにおいて広く使用されている。そのような広範な使用は問題を引き起こす場合がある。例えば、任意の組織及び/又はコンピュータ化されたシステムでは、多数の証明書が使用されることがある。これらの証明書の一部は、誰も気づかない、又は把握しないシステムで使用されうる。特定の問題は、有効期間の設定がない証明書又は長期間の経過後に期限切れになる証明書によって生じる場合がある。また、アクセス権が失効したユーザ、例えば、元従業員又は下請け業者に証明書が発行されている場合がある。証明書が存在し無効にならない限り、証明書はホストへのアクセスに使用できる。さらに、ホストへのアクセス要求に応じて接続が確立されると、それは長期間にわたって、さらには無期限であっても、オープン状態のままになる場合がある。
システムをスキャンして、任意の古い及び/又は未使用の証明書及び/又はさもなければ疑わしい証明書及び鍵とオープン状態の古い接続を取り除くことができる。しかし、スキャンにはかなりの時間がかかり、及び/又は使用してはならないものを見逃すことがある。
多数の物理エンティティがユーザにホストへのアクセスを提供する仮想化環境やクラウドコンピューティングでは、証明書、その他の認証子、セキュリティ機能、古い接続の管理がさらに問題になる。例えば、クラウド内の異なる物理エンティティ又はホストによって異なるセッションで1つのサービスにアクセスする1人のユーザにそのサービスを提供すると、証明書及び/又は鍵が多数の場所で使用されることになる。さらに、異なるタイプのホストは、アクセスに異なる認証子の使用を必要とすることがある。ユーザは、例えば、レガシータイプ又はクラウドタイプのホストのどちらに彼/彼女がアクセスしようとしているかを認識していない場合がある。これは、鍵と証明書の使用、及び一般的なホストへのアクセスを管理する上で、多くの課題を設定することになる。
上記問題は、特定の通信プロトコル及びデータ処理装置に限定されず、証明書などの認証子がデータの安全性を強化するために使用される任意のコンピュータ化されたシステムで生じる場合があることに留意されたい。
本発明の実施形態は、上記問題の1つ又は複数に対処することを目的とする。
ある態様によれば、少なくとも1つのプロセッサと、実行されたとき、装置をエージェントとして動作させる命令を格納するメモリとを含む装置であって、接続要求を受信したことに応答して、一時的認証子を決定し、一時的認証子を使用して第2認証子を取得し、第2認証子は、一時的認証子の少なくとも一部の使用に基づいており、第2認証子を使用してホストの認証を実行する、ように構成された装置が提供される。
別の態様によれば、エージェントエンティティによってホストに対してユーザを認証する方法が提供される。本方法は、エージェントエンティティによってユーザからのホストへの接続要求を受信するステップと、受信した接続要求に応答して、エージェントエンティティによって一時的認証子を決定するステップと、エージェントエンティティによって一時的認証子を使用して第2認証子を取得するステップであって、第2認証子は、一時的認証子の少なくとも一部の使用に基づいている、ステップと、エージェントによって、第2認証子を使用してホストに対してユーザを認証するステップと、を含む。
さらに別の態様によれば、コンピュータ化されたネットワーク内のホストとホストへのアクセスを要求する装置との間のセキュリティ方法のための命令を、プロセッサに実行させるためのプログラムコードを含む非一時的なコンピュータ可読媒体が提供される。実行される本セキュリティ方法は、ユーザから受信したホストへの接続要求を処理するステップと、受信した接続要求に応答して、一時的認証子を決定するステップと、一時的認証子を使用して第2認証子を取得するステップであって、第2認証子は、一時的認証子の少なくとも一部の使用に基づいている、ステップと、第2認証子を使用してホストに対してユーザを認証するステップと、を含む。
より詳細な態様によれば、本装置は、ユーザ装置を含む。別の態様によれば、本装置は、ユーザ装置が接続要求を送信する接続先であるネットワーク装置を含む。本装置は、一時的認証子を生成するように構成できる。本装置はまた、一時的認証子をメモリに格納し、接続要求の受信に応答してメモリから一時的認証子を取り出すように構成されてもよい。このメモリは、揮発性メモリを含む。
第2認証子は、証明書を含めてもよい。一時的認証子は、公開鍵を含めてもよい。証明書は、一時的認証子の公開鍵部分の少なくとも一部を含めてもよい。
第2認証子は、制限された存続期間を有することができる。
第2認証子は、一時的なキーペア及び少なくとも1以上の永続的認証子の使用に基づくことができる。
より詳細な特定の態様は、本明細書から明らかになる。
本発明の様々な例示的な実施形態は、添付の図面によって例示される。ステップ及び要素は、並べ替えられ、省略され、結合されて新しい実施形態を形成してもよく、実行されるものとして示される任意のステップは、別の装置又はモジュールによって実行されるようにしてもよい。
図1は、本明細書に記載のいくつかの態様が具現化されているコンピュータ化されたネットワークシステム1の例を示す。より詳細には、図1は、中間装置20が、ホストとホストにアクセス可能な装置との間にセキュリティ機能を提供する態様の特定の例を示す。この特定の例では、ユーザ10は、ユーザ装置11を使用してホスト30にアクセスする。ネットワークを介したアクセスパスは、ユーザ装置11からホスト30への矢印100及び106によって示される。
ネットワークは、例えば、企業又は他の組織のイントラネット、又はインターネットなどのより広範なネットワークを含むことができる。ネットワークは、例えば、IPv4(インターネットプロトコルバージョン4)又はIPv6(インターネットプロトコルバージョン6)ベースのネットワークである。ネットワークシステムは、1以上のデータネットワークを含むことができる。
この態様の中間装置は、中間装置がホストと装置との間に中間ノードを提供するために、ホストとホストへのアクセスを要求する装置と通信するように構成されたインターフェース装置22、23を含む。中間装置は、インターフェース装置に接続され、少なくとも1つのプロセッサと、実行されたときに、制御装置に本明細書で説明するタスクを実行させる命令を格納するメモリとを含む制御装置28をさらに備える。プロセッサは、ホスト30へのアクセスのために装置11からの要求100を処理するように構成できる。要求を受信した後、プロセッサは、要求されたアクセスで使用する認証子40を取得できる。これは、要求102を外部セキュリティ装置25に送信し、そこから認証子40をメッセージ104で受信することによって提供できる。あるいは、統合セキュリティ装置に中間装置を設けることができ、そこから認証子を要求できる。中間装置20はさらに、取得された認証子を使用する通信を監視するように構成される。中間装置20は、セキュリティ装置からの認証子に基づいて確立された通信を制御するように構成することもできる。
認証子は、証明書を含むことができ、制御装置は、認証局(CA)を備えるセキュリティ装置から証明書を要求するように構成される。CAは、外部エンティティであってもよく、あるいは中間装置と統合されてもよい。
この説明では、「ホスト」又は「ターゲットホスト」という用語は、装置11によってアクセス可能なエンティティを指す。アクセスされたホスト30は、ネットワークを介してユーザにサービスを提供できる。ホストは、例えば、サーバ又は他の物理的なデータ処理エンティティによって提供されてもよい。ホストは、クラウドコンピューティングベースの仮想環境内に提供されてもよい。
ホストには論理的役割が与えられる。すなわち、ホストは必ずしも特定の名前とIDで識別される必要はないが、論理的役割を割り当てられる。例えば、ウェブサーバ、データベースサーバ(例えば、Oracleデータベースサーバ)などの論理的役割をホストに割り当てることができる。ターゲットホストは、静的役割ベース(static role-based)のテンプレートで構成できる。ホスト構成とアプリケーションソフトウェアは、自動システム構成ツールを使用してプロビジョニングできる。これらの例には、CHEF、PUPPET、ANSIBLEなどの商品名で提供されるものが含まれる。
論理的役割は、設定ツールテンプレートを使用してプロビジョニングできる。論理的役割に基づいてユーザプリンシパルなどの特徴が、システムレベルのアカウントにマッピングできる。プリンシパルは、システム内の論理的特権として理解される。ユーザは、自分自身を認証する場合にプリンシパルのセットが与えられる。次に、これらのプリンシパルがターゲットホストで使用され、ユーザをターゲットシステムアカウントにマッピングできる。例えば、xxxデータベースサーバでは、「xxx-admins」プリンシパルが「xxx」システムアカウントへのアクセスを提供する。
ユーザ装置11は、無線インターフェースを介してネットワークに接続されたモバイル装置を備えることができる。したがって、接続の少なくとも一部は、無線インターフェースを介して提供されることができる。例えば、ユーザ装置は、通信ネットワークへの無線アクセスを提供されてもよい。ネットワークへの無線接続は、例えば、無線ローカルエリアネットワーク(WLAN)、GSM/EDGE/HSPA、3G、4G、5G、又はWiMAX規格、及び/又は光ネットワーク及び近距離無線ネットワーク、又は任意の将来のワイヤレス標準の開発に基づいて、基地局を介して提供されることができる。ユーザ装置はまた、固定回線接続を介してネットワークに接続されたコンピュータ装置を備えてもよい。
通信ネットワークへのアクセスは、適切なセキュリティプロトコルに基づいて保護することができる。制御装置20は、認証子に対する要求をセキュリティ装置に送信する前に、ホスト30へのアクセス要求100を認証するように構成された認証コンポーネント(要素)を備えることができる。例えば、セキュアシェル(SSH)プロトコル、セキュアソケットレイヤ(SSL)プロトコル、トランスポートレイヤセキュリティ(TLS)プロトコルなどを使用できる。図1の例では、ユーザ装置11がネットワーク要素内に設けられた別のSSHエンティティ21との通信に適合したSSHクライアント12を備えるように示されている。
ネットワークシステム及びその中の通信は、悪意のあるユーザによる攻撃及びデータ漏洩及び他の不正なデータ通信からシステムを保護し、及び/又はデータ損失を防止するために、絶えず監視できる。中間装置は、装置とホスト間の通信を監視するための中間監視機能をネットワークに提供するために使用されてもよい。監視は、暗号化された通信にも適用できる。中間装置はまた、通信を仲介するように構成されてもよい。仲介は様々な理由で提供される場合がある。例えば、防御、分析、監査の目的のため、及び/又はデータの損失を防止するために仲介を用いてデータを作成できる。例えば、企業、政府機関又は地方自治体組織、非営利団体などの組織は、内部コンピュータシステムの使用及びアクセスを監査及び/又は監視することを望む場合がある。これを提供する方法は、適切な中間ノードによって二者間で通信されるデータを取得し、分析することである。
中間装置を流れるデータの少なくとも一部は、暗号化される場合がある。そのような場合、中間データ処理装置は、そこを流れる暗号化されたデータにMITM(Man-In-The-Middle)型の操作を提供して、データの平文を取得するように構成できる。MITM操作は、暗号化されたデータの復号化を含む。これは、秘密鍵又は暗号化に使用される他の暗号化クレデンシャルの知識に基づくことができる。データキャプチャ中間ノードは、信頼できる者、典型的にはネットワークの所有者によって操作され維持され、したがって、復号化に必要な鍵及び/又は他のセキュリティ情報を提供できる。これは一例に過ぎず、示されたアーキテクチャ及び/又はMITM型の操作がすべての状況で必要というわけではないことに留意されたい。例えば、監視される通過データフローは、平文であってもよく、例えば、平文転送制御プロトコル(TCP)又はユーザデータグラムプロトコル(UDP)通信であってもよい。示された構成の代わりに、他のネットワーク構成及びモードも可能である。例えば、インターフェースは、バスチオンモードにすることができる。
暗号監査部(auditor)のようなデータキャプチャ装置は、スタンドアローンのハードウェア要素として提供されてもよいし、別の要素、例えば、ファイアウォール又は同様の要素に埋め込まれてもよい。データキャプチャ装置は、クラウドコンピューティング環境に設定された仮想マシンとして提供することもできる。ファイアウォールは、一つ又は複数のプロトコル、例えば、セキュアシェル(SSH)プロキシ、リモートデスクトッププロトコル(RDP)プロキシ、仮想ネットワークコンピューティング(VNC)プロキシ、ファイル転送プロトコル/セキュア(FTP/S、FTP over secureソケット(SSL)、トランスポート層セキュリティ(TLS)プロトコル)プロキシ、又はHTTP/S(HTTP/SSL over SSL/TLS)プロキシ、を含むことができる。プロキシは、複数のプロトコルを実装することもできる。各プロキシは、セッションの平文へのアクセスを取得するために、MITM操作、又はキーエスクロー又は他の適切な方法を実行するMITM要素を含むことができる。
図1では、ユーザ装置11とターゲットホスト30との間の通信セッションが中間データキャプチャ装置20を通って流れる。中間ノード20は、そこを通るトラフィックを監視し、例えば、データ監査目的のためにデータを取得するよう構成されたデータキャプチャエンティティをホストする。キャプチャされたデータは、中間ノードで処理及び/又は格納されてもよい。可能性として、キャプチャされたデータの少なくとも一部は、格納及び/又は処理のために別のエンティティに転送される。これは、図1に監査ログエンティティ35によって示されている。監査ログエンティティは、インターフェース34を介して中間装置に連絡できる。したがって、装置は、暗号グラフィック監査部又はショート暗号監査部と呼ぶことができる。様々な理由により、システム内のデータトラフィックを監査することが望まれている。例えば、企業ポリシーでは、すべてのデータトラフィック、又は特定のホストからのトラフィックを強制的に監査することがある。ネットワーク・トポロジー上の理由により、監査ノードを処理するためにキーマネージャを設定する必要さえあるかもしれない。監査ノードは、パスワードとキーボードの双方向認証だけを透過的にサポートできる。すべての課題と応答は、暗号化されていないチャネルを通じて平文で送信されるため、監査ノードを介して透過的にリレーできる。コンテンツの暗号化が使用される場合、監査ノードは平文のパスワードを提供される必要があるだろう。監査システムのキャプチャ要素を高いセキュリティレベルの装置であると分類することができるので、ポリシーを介してこの操作を許可できる。
監査目的のためにキャプチャされたデータが、どのような方法で処理、例えば復号化され分析されるのかは、本明細書に開示される原理の理解にはあまり関連がないことに留意されたい。関連するのは、ユーザ装置11が中間データキャプチャ装置20を介してホスト30にアクセスし、アクセス要求とアクセスの許可後に装置間で通信された通信を含むデータが中間装置を介してルーティングされるということである。
図2のフローチャートは、一態様による動作を示している。200において、中間装置は、装置からホストへのアクセス要求を受信する。次いで、中間装置は、202で、ホストへの要求されたアクセスで使用する認証子を取得する。204において、中間装置は、認証子を使用する通信を監視する。
認証子は、外部セキュリティ装置又は統合セキュリティ装置から取得できる。認証子を取得することは、認証子の要求を中間装置からセキュリティ装置、例えば認証局(CA)に送信することを含めてもよい。監視は、証明書又は他の認証子を使用する通信を監視することを含めてもよい。使用は、アクセスに証明書を使用すること、アプリケーションに応じて、確立された通信セッション(複数可)中に認証子を他の目的のために使用することを意味すると理解されるものとする。
ホストへのアクセス要求は、認証子の要求を送信する前に、要求装置と中間装置との間の通信に使用される少なくとも1つの第2認証子に基づいて認証されてもよい。
監視は、認証子の使用に関する少なくとも1つの条件に基づくことができる。認証子の使用に関する少なくとも1つの条件は、セキュリティ装置とは独立して中間装置によって設定されてもよい。中間装置において、セキュリティ装置からの認証子の使用に関する少なくとも1つの条件の情報を受信することも可能である。特定の態様によれば、認証子は、装置から受信したアクセス要求の認証に使用される第2認証子の有効期間よりも短い有効期間を有する。認証子の有効期間は、セキュリティ装置から受信した認証子の有効期間よりも短くなるように設定されてもよい。また、認証子の有効期間は、ホストに関連して規定された最大セッション長及び/又は装置に関連して規定された最大セッション長よりも短くなるように規定されてもよい。
監視は、認証子の使用を監視することを含むことができる。例えば、認証子がどこで使用されるか、どの位の量のデータが誰によって転送されるか及び/又は認証子がいつ使用されるか、を監視できる。認証子のユーザ(装置及び/又はユーザ)の身元を監視して、悪者がそれを入手しないことを保証できる。ホスト及びホストにおける如何なる変更を監視してもよい。装置の挙動もまた監視できる。例えば、確立された通信に中断があることが検出される。次いで、中断は許容範囲か、又は認証子を無効にするか、及び/又は通信セッションを終了するかを決定できる。認証子に基づいて確立された1つ又は複数の通信セッションに関連する様々なイベントも監視できる。例えば、セキュリティ装置からの認証子に基づいて確立された通信セッションを有するユーザが、他の通信セッションを多数有する場合、許容範囲の数以上の通信セッションを開始しようとする場合、又はそのような通信セッションを仲介しようとする場合、適切な制御動作を行ってもよい。
適切な制御動作を、制御動作の必要性を引き起こすイベントを検出する監視動作に応答してとることができる。制御動作は、装置のための新しい認証子の要求を含めてもよい。これは、確立された通信セッション及び/又はホストに変更があった場合、又は通信が中断した後に継続される場合に、必要とされることがある。監視によってアラートが引き起こされることもある。アラートは、システムの管理者、ホスト及び/又はホストにアクセスするユーザのためのものであってもよい。中間装置はまた、装置によるホストへのアクセスを防止し、及び/又は、怪しい挙動あるいは予め規定された別のイベント、例えば、長すぎる中断、ユーザの身元又は装置の変更、及び/又は、多数のホストへのアクセスの試みの検出に応答し、装置による少なくとも1つの他のホストへのアクセスを防止できる。ホストへのアクセス又は少なくとも1つの他のホストへのアクセスは、中間装置によって、例えば、ホスト(複数可)へのアクセス用の認証子の使用を一時的に又は永続的に防止することによって、一時的又は永続的に制限されることもある。認証子に基づいて確立された通信セッションの長さも制御されてもよい。
図1は、別個のセキュリティ装置、より詳細には認証サーバ25を示す。認証サーバは、ネットワークシステムの証明書を発行する機能を提供する認証局(CA)を含むことができる。CAなどのセキュリティ装置は、記録システム29と通信して、ユーザを認証し、追加情報、例えばグループ情報を取得できる。セキュリティ装置は、ポリシーの決定をさらに実施できる。ポリシーの決定には、とりわけ、ユーザの認証方法、ユーザグループのプリンシパルへのマッピング方法、及び証明書に含まれるオプションと拡張機能が含まれる。
記録システム29は、信頼できるユーザ情報レジストリを提供できる。記録システムは、信頼できるユーザ情報源とシステムポリシー規定を提供するように構成できる。顧客側の環境では、これは、例えば、ユーザとグループ(プリンシパル)を保持する、アクティブディレクトリ、LDAP(Lightweight Directory Access Protocol)ディレクトリ/OpenLDAPディレクトリであってもよい。ユーザは、記録システムによって一意に識別できる。一意の識別子(ID)は、例えば、LDAP DN(cn=Markku Rossi、cn=users、dc=ssh、dc=com)であってもよい。他のユーザ属性を認証フロー中に使用することでユーザを識別することもできる。IDの他の例には、例えば、uid「mrossi」、電子メールアドレス、その他のアドレス情報、例えば電話番号、ユーザカウント名を含む。
ユーザ及びユーザグループは、記録システムに構成できる。構成は、例えば、3つのレベルを持つことができる。この場合、第1のレベルは、アクティブなユーザをログイン情報(ユーザ名、パスワード、電子メールアドレス、システムアカウント名など)で規定し、ユーザを論理グループにマッピングするためのもの、第2のレベルは、ユーザ認証情報をユーザアカウントにマッピングする規則を規定するためのもの、第3のレベルは、ユーザとユーザグループをプリンシパルにマッピングするポリシー規則を規定するためのものである。
中間監視装置20は、様々な他のエンティティと通信するための適切なインターフェース装置を備える。図1において、インターフェース22の例は、ユーザ装置11との通信のためのものである。ユーザ10は、自分のユーザ端末装置11を用いてホスト30へのアクセスを開始すると、ターゲットホストに直接アクセスするのではなく、ユーザはまず中間装置にアクセスする。装置20へのアクセスは、ユーザ装置11に設けられ、中間装置20に設けられたクライアント/サーバ21と通信するように構成されたクライアント12によって処理されることができる。図の例において、中間装置20は、ユーザ装置11、特にユーザ装置に設けられたSSHクライアント12との安全な通信のためのSSHクライアント21を備える。このために、変更されていないセキュアシェル(SSH)クライアントをユーザ装置11及び/又は中間装置20で使用できる。
中間装置20は、データ処理装置28に接続されたインターフェースを介して装置からアクセス100の要求を受信できる。アクセス要求は、アクセス要求の装置によって、認証に使用する少なくとも1つの第2認証子を含むことができる。中間装置20とホスト間の通信106は、インターフェース23を介して処理できる。通信は、セキュリティ装置25から取得された認証子に基づくことができる。インターフェース24は、セキュリティ装置25との通信のために提供できる。中間装置20は、要求102を送信し、セキュリティ装置からインターフェース24を介して認証子40を応答104で受信できる。
明瞭化のために別個のインターフェースが示され、論理インターフェースを示すことを理解されたい。インターフェース装置は、示されているものとは異なる数の物理的接続、又はただ1つの物理的接続を含むことができる。さらに、セキュリティ装置は、中間ノード内又は内部の統合要素として提供されてもよく、したがって、中間装置20とセキュリティ装置との間のインターフェースは、装置20内の内部インターフェースであってもよい。
認証子の要求は、少なくとも1つの第2認証子に基づいて中間装置によってアクセス要求が認証された後にセキュリティ装置に送信されてもよい。ユーザは、任意の適切な認証子に基づいて中間装置によって認証されることができる。認証子は、例えば、PKI構成に従い、公開鍵及び秘密鍵のペアなどの鍵を含むことができる。鍵の集中管理のために鍵管理装置を設けることができる。例えば、ユニバーサル・キーマネージャ・サーバが提供されてもよい。キーマネージャは、データネットワークシステムの装置及びアプリケーション用の鍵を生成し、配布し、管理する。例えば、キーマネージャは、鍵を作成し、システム内の各ホストに非対称鍵のセットを提供できる。
いくつかの例において、セキュリティ装置25に向けて通信するためのSSHエージェント27もまた提供されてもよい。SSHエージェント27は、SSHエージェントプロトコルを実装し、例えばCAと通信し、ユーザ認証情報を取得し、例えばキーペアなどのユーザ認証の複数の認証子に対処するように構成できる。
中間装置20は、ユーザのSSHセッションを終了させ、監査ポリシーに基づいてユーザを認証してもよい。中間装置は、CAクライアント機能を埋め込み、CAクライアントを使用して、ユーザの公開鍵にCAの署名をすることができる。CAは、記録システムでユーザ認証情報を検証できる。CAは、記録システムでユーザプリンシパルを解決することもできる。CAは、ユーザの公開鍵、及び他の属性、例えばプリンシパルを含む証明書を作成し、その結果物の証明書にその秘密鍵で署名する。暗号監査装置は、対応する秘密鍵と一緒にSSH認証で証明書を使用する。
次に、ターゲットサーバは、ユーザの証明書を検証する。ターゲットサーバは、ユーザプリンシパルを使用して要求されたシステムアカウントにログインできることを検証する。
この態様は、認証子、例えば、認証子の使用に関する追加の条件を設定できる証明書、を使用して確立された接続に対する監視及び制御を提供する。例えば、この態様は、セッション長の制御を可能にし、乗っ取られた上に不正目的で使用される有効な証明書を使用して作成されたセッションの可能性を防止/低減する。また、この態様は、必要とされる鍵の数を減らすことができる。
以下では、ハイブリッドコンピュータネットワーク環境においてホストにアクセスするための別の態様について、図3及び4を参照して説明する。図3において、いくつかの要素は、図1の要素と同様であるため、ここに詳細な説明は省略する。
ハイブリッド環境は、第1タイプのホスト32と第2タイプのホスト34とを少なくとも含むことができる。この異なるログイン資格(クレデンシャル)は、ターゲットホストにアクセスできるようにするため、ユーザ10に必要とされることがある。ユーザにとって透過的な操作は、ユーザがアクセスしたいターゲットホストのタイプと、ターゲットホストへのアクセスに必要な認証子(複数可)とを決定するように構成された中間装置38によって提供できる。中間装置は、必要に応じて、セキュリティ装置36から認証子を取得できる。中間装置38に含まれるエージェント39によって、応答及び/又は決定を提供できる。
中間装置は、少なくとも1つのプロセッサと、実行されたとき、装置に適切な動作を実行させる命令を格納するメモリとを備える。これには、ユーザからのホストへのアクセス要求の受信、ホストへのアクセス用の認証子の取得、ホストのタイプの決定、及びアクセス要求の処理が含まれる。処理は、第1タイプのホストへのアクセス用の第1タイプの認証子と、第2タイプのホストへのアクセス用の第2タイプの認証子とを使用する中間装置をもたらす決定を含む。
中間装置は、決定したホストのタイプに応じて、セキュリティ装置から認証子を選択的に要求してもよい。この場合、タイプの決定は、認証子を要求する前に実行される。あるいは、中間装置は、異なるタイプの認証子を含む認証子バスケットをホストに送信してもよい。次に、ホストは、使用するように適合された1以上の認証子を選択できる。
可能性として、中間装置が異なるタイプのホストの認証子を取得し、決定したホストのタイプに応じてセキュリティ装置からすでに受信した認証子を使用するかを決定する。
第1タイプのホストはレガシーホストを含むことができ、第2タイプのホストはクラウドホストを含むことができる。装置は、ターゲットホストがレガシーホスト又はクラウドホストであるかを決定するように構成されてもよい。レガシー・ターゲットホストは、証明書ベースの認証を必ずしもサポートしない、あるいはレガシーホストは、証明書を使用するように構成されていない。代わりに、レガシーホストは、例えば、プリンシパルキーのペアに基づいて操作できる。例えば、対象アカウントの「authorized_keys」ファイルは、対応する「プリンシパルキーのペア」の公開鍵を追加/投入(population)できる。追加/投入は、例えば、ホストのプロビジョニング段階で実行される。SSHユニバーサル・キーマネージャ(UKM(登録商標))のような鍵管理システムを使用して、追加/投入を動的に実行する可能性がある。中間装置は、証明書又はプリンシパルキーベースのアクセスが使用されるかを決定するように構成できる。一態様によれば、装置は、ホストへのアクセス要求に応答してホストのタイプを決定し、ホストがクラウドホストであると決定したことに応答して証明書を要求し、ホストがレガシーホストであると決定したことに応答してプリンシパルキーペアを使用するように構成される。
図4は、第1タイプのホスト及び第2タイプのホストを含むハイブリッドコンピュータネットワーク環境のための方法のフローチャートを示す。この方法では、400でホストへのアクセス要求が受信される。402でホストのタイプが決定される。次に、404で、アクセス要求は、第1タイプのホストへのアクセス用の第1タイプの認証子と、第2タイプのホストへのアクセス用の第2タイプの認証子とを使用して処理される。
適切な認証子は、ホストのタイプの決定の前、同時に、又はその後に取得できる。
図5a、図5b、及び図5cは、ハイブリッドコンピュータネットワーク内のホストにアクセスするための方法を実施する異なる可能性を示す。図5aによれば、50で、エージェントは、クライアントからアクセス要求を受信した後、クライアントがアクセスを要求するホストによって使用される認証子のタイプを決定する。認証子のタイプを決定すると、エージェントは、決定したタイプの認証子の要求としてメッセージ51をCAに送信する。CAは、決定したタイプの認証子を用いて52で応答する。エージェントは、メッセージ53で、この認証子を使用してクライアントにホストへのアクセスを提供する。このタイプの操作は、ホストへの変更が必要でないという利点がある。また、CAでの処理を最適に保つことができる。
図5bに示す可能性において、エージェントは、メッセージ54で、異なるタイプの複数の認証子の送信要求をCAに送信する。これらは、好ましくは、クライアント又はエージェント用にCAがサポートするあらゆるタイプのものであってもよい。CAは、メッセージ55でエージェントに異なるタイプの認証子のリストを返す。次に、エージェントは、56で特定のホストにアクセスするために使用される認証子のタイプを選択し、57で選択した認証子を使用してホストにアクセスする。この操作方法は、1つの要求で異なるタイプの複数のホストへのアクセスを可能にしながら、ホストでは何らの変更を必要としないという利点がある。
図5cは、58でエージェントが異なるタイプの複数の認証子の送信要求をCAに送信する動作を示す。この要求は、好ましくは、クライアント又はエージェント用にCAがサポートするあらゆるタイプの認証子に対してできる。CAは、メッセージ59でエージェントに異なるタイプの認証子のリストを返す。エージェントは、CAから受信した複数の認証子を使用して、アクセス要求60をホストに送信する。エージェントは、CAから受信したすべての認証子をホストに提供できる。ホストは、複数の認証子を含むアクセス要求60を受信し、61でその要求の処理に使用される適切な認証子を選択する。ホストは、選択した認証子を使用して認証プロセスを完了できる。
より具体的な態様によれば、証明書ベースの認証フローは、図1及び2を参照して上述したものと同様に動作する。この例と図1との間の相違点は、セキュリティ装置又はCA36が構成される方法である。レガシー・ターゲットホストが証明書ベースの認証をサポートしていない、あるいはそれを使用するように構成されていないので、CAはレガシー・ターゲットホストを含むすべてのプリンシパルに対して「プリンシパルキーペア」を持つ可能性がある。ユーザがターゲットホスト(レガシーホスト又はクラウドホストでもよい)へのアクセス要求を送信するとき、この要求は、CAがユーザ装置の公開鍵に署名して証明書を返すという指示を含むことができる。CAは、ユーザ認証を確認し、その結果物の証明書にユーザのプリンシパルを追加できる。
CAは、証明書応答においてすべての適用可能なプリンシパルキーの公開鍵を返す。次に、SSHハンドシェイクは、{Certificate(principal1、principal2 ...)、PrincipalKey1、PrincipalKey2 ...}というIDを用いて続行される。ターゲットホストの構成に基づいて、ターゲットホストは秘密鍵(証明書又はプリンシパルキー)のいずれかを使用して署名動作を要求する。ターゲットホストがクラウドホストである場合、中間装置38のエージェント39は、証明書の公開鍵と一致する秘密鍵を有する。ターゲットホストがレガシーホストの場合、エージェントは署名要求をCAに委任する。CAは、記録システムでユーザ認証を検証し、ユーザ承認が依然として有効な場合にその動作に署名する。証明書は、例えば、X.509規格に準拠する証明書、又は他の証明書の規格であってもよい。
ターゲットホストの設定は、「使用」と「プリンシパル」で行うことができる。クラウドホストは、「認証されたプリンシパル」マッピングを用いて設定できる。これは、証明書のプリンシパルをホスト上のローカルアカウントにマッピングする。レガシーホストのローカルアカウントは、アカウントの「authorized_keys」ファイル内のプリンシパルキーの公開鍵を許可するように設定できる。使用とプリンシパルの役割の例を図6に示す。
この例では、ユーザU1~Unを、ユーザ役割を規定するプリンシパルにマップしている。この例において、ユーザ役割は、管理者、ウェブマスター、及びデータベース管理者である。各ホストに対して、これらのプリンシパルをアカウントにマップして、そのホスト上での様々な管理アクション、ディレクトリ、及びファイルに対するアクセス権限を精緻化する。これにより、各ユーザが比較的少数のプリンシパルにしかマッピングされず、異なるアカウントに対して比較的少数のプリンシパルのマッピングだけがホストで必要となるため、異なるホストを有するユーザの権限のマッピングが簡略化される。さらに、ユーザのプリンシパルへのマッピングは、主として人事情報ベースのマッピングとなり得る。また、プリンシパルのアカウントへのマッピングは、主にIT部門が保有する情報に基づいたマッピングとなり得る。これにより、利用可能な特定のマッピングに関する最良の情報セットを持つ組織によって各マッピングを行うことが可能になる。
記録システムとCAの論理ポリシー構成は、「ユーザ」と「プリンシパル」だけを基準に動作できる。
ユーザ視点では、ログインフローは、レガシーホストとクラウドホストの両方で同じである。エージェントは、レガシーホストの場合にプロキシキー操作を実行して、ユーザ認証を提供する。
監査が必要な場合、両方のホストタイプは、ユーザからCAへの同様の監査証跡をターゲットホストに提供する。
この構成は、保持する必要がある鍵の量を大幅に減らせるという利点がある。クラウド型ホストの認証子は、比較的短い有効期間を持つように設定できる。したがって、アクセスに使用された直後に、スキャンによって発見される前に有効期間が切れる。これは、特に、新しい仮想ホスト又はサーバが絶えず作成され削除されるクラウド環境において利点がある。
次に、図7~10を参照して安全なアクセスを提供するエージェントに関連する態様を説明する。エージェント機能70は、中間装置に実装できる。エージェントは、受信に応答して、ユーザ装置11から接続要求100をホスト72に送信し、一時的なキーペア又は別の認証子を作成するように構成される。エージェントはまた、そのメモリ、例えば揮発性メモリから一時的認証子を取り出すことができる。接続要求は、上述したように、ユーザ装置と装置のSSHエンティティ間で通信されてもよい。SSHクライアント71は、システム構成に応じて、ネットワーク側のいずれか、例えば、上述したような中間装置、又はユーザ装置11に提供できる。
エージェント70は、作成された一時的なキーペアを使用して証明書を取得する。証明書は、一時的なキーペアの少なくとも一部を使用して制限された存続期間を有する。証明書は、より永続的認証子に基づいてもよい。次いで、取得された証明書74は、ホスト72への認証に使用される。より永続的認証子は、認証子の権威によって提供される任意の認証子とすることができる。
一時的なキーペア又は別の一時的認証子は、一度しか使用できないように、又は比較的短い有効期間を持つように作成できる。別の条件は、関連付けられた証明書の存続期間中にのみ使用できることである。また、一時的なキーペアを不揮発性メモリに格納できないと規定もできる。したがって、エージェントは、1回の認証動作のため、又は限られた時間(例えば、5分間のウィンドウ中のあらゆる認証動作)のため、又はSSHエージェントの存続期間のために、1回だけ使用される一時的なキーをメモリ内に作成できる。
SSHクライアントがユーザ装置上に実装されている場合、エージェントは、任意によりユーザのホームディレクトリからユーザのレガシーキーを読み取ることができる。
図8は、1つのタイプの認証子のみが必要な場面において、クライアント、エージェント、CA、及びCAに関連する要素間のシグナリングフローを示す。クライアント、この例ではSSHクライアントは、エージェントにIDを要求する。エージェントは、一時的なキーペアを、予め作成しておくか、この段階で作成できる。
エージェントは、公開鍵署名要求のためにCAに要求を送信する。CAは、適切なメッセージをアクティブディレクトリと交換することによって、ユーザを認証する。
ユーザが認証されると、CAは証明書を作成できる。証明書は、ボールト(Vault)で署名されている。次に、署名された証明書は、CAからエージェントに転送できる。次に、エージェントは、証明書をSSHクライアントに転送できる。これにより証明書を使用できるようになる。
クライアントは、証明書に対応する秘密鍵の所有を確認するためにチャレンジの署名を要求できる。チャレンジの署名要求を受信すると、エージェントは証明書に対応する一時的なキーでチャレンジに署名し、その署名応答によって要求に応答できる。
図9は、ハイブリッドモードのシグナリングを示す。この場合、鍵はCAのHSM/Vaultに格納され、秘密鍵がユーザに見られることはない。
上記のように、クライアントは、まずエージェントからIDを要求する。エージェントは、公開鍵の署名要求のためにCAに要求を送信する。CAは、適切なメッセージをアクティブディレクトリと交換することによって、ユーザを認証する。ユーザを認証すると、CAは証明書を作成できる。証明書は、ボールトで署名される。
この段階で、CAは、署名された証明書とプリンシパルキーをエージェントに返すことができる。エージェントは、証明書とプリンシパルキーをクライアントに転送できる。
クライアントは、プリンシパルキーの署名を要求できる。要求を受け取ると、CAは、アクティブディレクトリでユーザを認証し、その後、ボールトからプリンシパルキーの署名を要求できる。署名要求に対する応答は、CAからエージェントへ、さらにはクライアントへ転送される。
クライアントは、証明書又はプリンシパルキーのいずれかを選択して使用できる。あるいは、クライアントは、ホストに対して認証するときに証明書とプリンシパルキーの両方を使用でき、ホストは適切な認証メカニズムとキーを選択する。
図10は、一実施形態による様々なエンティティ間のシグナリングロジックを示す。ホストサーバ84への接続要求は、メッセージ1でクライアント80によって受信される。クライアントは、ステージ2で一時的なキーペアを作成する。キーペアは、例えば、{C1-PUB、C1-PRIV}とすることができる。次に、ユーザ名、パスワード、及びCl-PUBを含むアクセス要求3を、認証局(CA)82に送信する。次に、CAは、メッセージ4によって、Cl-Pub、CA-Publ、及び署名を含む証明書を返す。次に、クライアント80は、メッセージ5をホストサーバ84に送信するときに証明書を使用する。ステージ6で、ホストサーバは、証明書がCA pubを使用してCAによって発行されたことを検証する。肯定的検証の後、サーバは、証明書が信頼できるCA82によって認可されたものであると信頼できる。その代わり、チャレンジ7がクライアント80に送信される。クライアントは、チャレンジにCl-PRIVで署名することでそれに応答する。ステージ9で、ホストサーバ84はクライアントの身元を確認できる。
図11は、ホストに対してユーザを認証するためのエージェントエンティティの動作を示すフローチャートである。この方法では、エージェントエンティティは、500でユーザからホストへの接続要求を受信し、それに応答して、502で一時的認証子を決定する。決定は、一時的認証子を生成するエージェントエンティティを含むことができる。可能性として、エージェントは一時的認証子をそのメモリ内、例えば揮発性メモリ内、に格納し、決定するステップは、メモリから一時的認証子を取り出すステップを含む。次いで、エージェントエンティティは、504で一時的認証子を使用して第2認証子を取得できる。第2認証子は、その使用が一時的認証子に少なくとも部分的に基づいているように、外部認証権限によって生成できる。第2認証子は、例えば、一時的なキーペア及び少なくとももう一つの永続的認証子の使用に基づいてもよい。次に、エージェントは、506で第2認証子を使用してホストに対してユーザを認証できる。
受信した第2認証子は、証明書を含むことができる。一時的認証子は、公開鍵を含むことができる。次に、受信した証明書は、一時的認証子の公開鍵部分の少なくとも一部を含むことができる。
第2認証子の存続期間は、例えば上述したように、制限される。
この態様では、ホストサーバとのアクセス及び通信を安全にするためにキーを使用する必要性を低減するか、又は一切回避することさえ可能である。キーの数を減らすことで、キーの管理が容易になる。これは、特にクラウド環境の場合に当てはまる。ユーザが使用するキーは証明書に変換できる。証明書には、その使用を制限する様々な条件を設定できる。例えば、証明書は、制限された存続期間、例えば、制限された使用回数及び制限された使用、を有することができる。
図12は、上記実施形態を実現するために必要なデータ処理機能を提供するための制御装置の一例を示す。制御装置90は、例えば、図1の中間データセキュリティ装置20を制御し、あるいは図3の38又は図1、3、5及び7~10の任意のエージェントを実装するために、例えば、統合され、連結され、及び/又はさもなければ配置されることができる。制御装置90は、さらに通信セッション、認証子及び任意の追加情報の制御を提供するように構成できる。監視機能に加えて、制御装置は、要求装置、セキュリティ装置、及びホストによる認証、データの復号化、シグナリング及びデータ通信動作などの動作に関連した制御機能を提供するように構成できる。制御装置は、アクセス及び他の制御動作のために中間装置が必要とする鍵又は他の認証子を決定できる。これらの目的のために、制御装置は、少なくとも1つのメモリ91、少なくとも1つのデータ処理ユニット92、93、及び少なくとも1つの入力/出力インターフェース94を含む。インターフェースを介して、制御装置は、それぞれの装置の他のエンティティに結合できる。制御装置は、適切なソフトウェアコードを実行して制御機能を提供するように構成できる。制御装置は、他の制御エンティティと相互接続することもできる。コンピュータ化されたネットワークにおいてホストとホストにアクセスできる装置との間の中間セキュリティ機能を提供するための手段は、適切なデータ処理及びインターフェース構成を含むことができる。
一態様によれば、中間装置は、中間装置がホストと装置間に中間セキュリティ機能を提供するように、ホストとホストへのアクセスを要求する装置との通信用に構成されたインターフェース手段と、装置からホストへのアクセス要求を処理し、セキュリティ装置から、要求されたアクセスで使用するための少なくとも1つの認証子を取得し、少なくとも1つの認証子を使用する通信を監視するように構成された制御手段とを含むことができる。
別の態様によれば、ハイブリッドコンピュータネットワーク環境のための制御手段が提供され、環境は第1タイプのホストと第2タイプのホストとを含み、この場合、手段は、装置に、受信したホストへのアクセス要求を処理させ、ホストにアクセスするための認証子を取得させ、ホストのタイプを決定させ、第1タイプのホストへのアクセス用の第1タイプの認証子と、第2タイプのホストへのアクセス用の第2タイプの認証子とを使用して、アクセス要求を処理させる。
一態様によれば、接続要求の受信に応答して、一時的認証子を決定し、一時的認証子を使用して第2認証子を取得し、第2認証子は、一時的認証子の少なくとも一部の使用に基づいており、第2認証子を使用してホストで認証を実行するように構成されたエージェント機能を提供する。この態様における第2認証子は、CAなどの外部セキュリティ装置から要求されてもよい。制御手段は、ネットワーク要素又はユーザ装置に設けられてもよい。
制御手段は、認証子に対する要求をセキュリティ装置に送信する前に、ホストへのアクセス要求を認証するように構成された認証要素をさらに備えることができる。
さらに、制御手段は、アクセス要求装置からのアクセス要求を受信し認証するように構成されてもよく、アクセス要求はアクセス要求の認証に使用するための少なくとも1つの第2認証子を含み、アクセス要求がセキュリティ装置からの少なくとも1つの第2認証子に基づいて認証された後に、セキュリティ装置からの少なくとも1つの認証子を要求し受信し、セキュリティ装置からの少なくとも1つの認証子に基づいて装置とホスト間の通信を処理すること、を含む。
制御手段は、少なくとも1つの認証子の使用に関して少なくとも1つの条件に基づいて通信を監視するように構成することもできる。制御手段は、セキュリティ装置とは独立して少なくとも1つの認証子の使用に関して少なくとも1つの条件を設定できる。制御手段は、セキュリティ装置からの少なくとも1つの認証子の使用に関して少なくとも1つの条件の情報を受信できる。条件は、認証子の有効期間を含むことができる。有効期間は、装置から受信したアクセス要求の認証用の第2認証子の有効期間よりも短く設定できる。制御手段は、セキュリティ装置から受信した認証子の有効期間、装置から受信したアクセスの要求の認証に使用される第2認証子の有効期間、ホストに関連して規定された最大セッション長、及び/又は装置に関連して規定された最大セッション長よりも短い認証子の有効期間の満了を監視してもよい。
制御手段は、少なくとも1つの認証子の使用、少なくとも1つの認証子のユーザ、装置の動作、ホストに関連するイベント、少なくとも1つの認証子、及び/又は少なくとも1つの認証子がどのように及び/又はいつ使用されるかに基づいて確立された1以上の通信セッションに関連するイベントを監視するように構成されてもよい。
制御手段は、監視に基づいて制御動作をとるようにさらに構成できる。例えば、制御手段は、装置に対する新しい認証子を要求し、警告を出し、装置によるホストへのアクセスを防止し、装置による少なくとも1つの他のホストへのアクセスを防止し、装置によるホストへのアクセス又は少なくとも1つの他のホストへのアクセスを制限し、及び/又は少なくとも1つの認証子に基づいて確立された通信セッションの長さを制御する。
制御手段は、装置とホスト間の暗号化された通信を傍受するように構成された中間装置に含めることができる。中間装置は、データ監査システムの少なくともいくつかの機能を提供してもよい。
制御手段は、決定したホストのタイプに応じてセキュリティ装置から認証子を選択的に要求するように構成できる。制御手段は、決定したホストのタイプに応じて、セキュリティ装置から受信した少なくとも1つの認証子を使用するかを決定できる。制御手段は、複数の認証子から1つの認証子を選択してもよいし、セキュリティ装置から受信した複数又は全ての認証子を1以上のホストに送信してもよい。制御手段は、ホストへのアクセス要求に応答して、ホストのタイプを判定し、ホストがクラウドホストであると判定したことに応答して証明書を使用し、ホストがレガシーホストであると判定したことに応答してプリンシパルキーペアを使用してもよい。
中間装置は、セキュリティ装置を用いて、ホストとホストへのアクセスを要求する装置との通信を可能にするためのインターフェース手段を備えることができる。装置は、ユーザ装置と通信するための第1のインターフェース手段と、アクセス要求の認証用の第2認証子を用いるアクセス要求は、第1のインターフェース手段を介してユーザ装置から受信することができ、セキュリティ装置から認証子を要求する第2のインターフェース手段と、ホストと通信するための第3のインターフェース手段とを含む。
制御手段は、一時的認証子を作成及び/又は取り出すことができる。一時的認証子を格納するためのメモリ手段を設けることもできる。制御手段は、アクセス要求の受信に応答して、メモリ手段から一時的認証子を取り出すことができる。
一時的認証子は、公開鍵を含むことができる。一時的認証子に応答して作成された証明書又は別の認証子は、一時的認証子の公開鍵部分の少なくとも一部を含むことができる。認証子は、一時的なキーペア及び少なくとも1つのより永続的な認証子の使用に基づくことができる。
様々な実施形態及びそれらの組み合わせ又は下位区分は、方法、装置、又はコンピュータプログラム製品として実装されてもよい。一態様によれば、少なくともいくつかの機能は、仮想化された環境において提供される。同様に実行するためのコンピュータプログラムコードをダウンロードする方法も提供されてもよい。コンピュータプログラム製品は、非一時的なコンピュータ可読媒体に格納できる。例えば、メモリチップ、プロセッサ内に実装されたメモリブロック、ハードディスク又はフロッピーディスクなどの磁気媒体、及び例えばDVDなどの光学媒体、及びそのデータの変形例であるCD、磁気ディスク、又は半導体メモリなどに格納できる。方法ステップは、プロセッサ及びメモリを使用してコンピュータに方法ステップを実行させるように動作可能な命令を使用して実装できる。命令は、メモリ又は不揮発性記憶装置などの任意のコンピュータ可読媒体に格納されてもよい。
必要なデータ処理装置は、1つ又は複数のデータプロセッサによって提供されてもよい。上述した各機能は、別々のプロセッサ又は統合プロセッサによって提供されてもよい。データプロセッサは、ローカル技術環境に適した任意のタイプであってもよく、非限定的な例として、汎用コンピュータ、専用コンピュータ、マイクロプロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、ゲートレベル回路及び、マルチコアプロセッサアーキテクチャベースのプロセッサを含む。データ処理は、いくつかのデータ処理モジュールに分散させることができる。処理及び/又はホストの少なくとも一部は、仮想化された環境に提供できる。
データプロセッサは、例えば、少なくとも1つのチップによって提供されてもよい。メモリ(複数可)は、ローカル技術環境に適した任意のタイプであってもよく、半導体ベースのメモリ装置、磁気メモリ装置及びシステム、光メモリ装置及びシステム、固定メモリ及びリムーバブルメモリなどの任意の適切なデータ記憶技術を用いて実装されてもよい。
一般に、様々な実施形態は、ハードウェア又は専用回路、ソフトウェア、ロジック、又はそれらの任意の組み合わせで実装されてもよい。本発明のいくつかの態様は、ハードウェアで実装されてもよく、他の態様は、コントローラ、マイクロプロセッサ又は他のコンピューティング装置によって実行されるファームウェア又はソフトウェアで実装されてもよいが、本発明はそれらに限定されない。本発明の様々な態様は、ブロック図、フローチャート、又はその他の図的表現を使用して例示及び説明されているが、本明細書に記載されたこれらのブロック、装置、システム、技法又は方法は、以下において様々な組み合わせを含み、例として、ハードウェア、ソフトウェア、ファームウェア、専用回路又はロジック、汎用ハードウェア又はコントローラ又は他のコンピューティング装置、又はそれらのいくつかの組み合わせを含むが、それらに限定されない。
融通が利くクラウド環境向けに、集中化されたスケーラブルなアクセス管理ソリューションを提供できる。アクセス権の更新は即時に行うことができる。ホスト単位の変更は不要である。特定の態様は、対話型及び非対話型(マシン間)の両方の接続をサポートする。
特定のアプリケーションでは、プロキシ又はCAプロキシサービスを提供することもできる。CAプロキシは、ターゲットホストで実行される。プロキシは、「オンデマンドサーバベースの認証」の事例で使用して、ユーザの公開鍵をキャッシュし、CA通信を管理できる。CA通信を管理するための「オンデマンドユーザプロビジョニング」の事例で使用される。
NSS(Name Service Switch)サービスは、特定の実施形態において、ターゲットホストに対するネットワークユーザ情報を提供する。NSSサービスは、標準の「pam_mkhomedir」PAMモジュールとともに「オンデマンドユーザプロビジョニング」を実装している。Ordain NSSサービス及びPAMモジュールは、ターゲットホストにオンデマンドのユーザプロビジョニングを提供する。
状況によっては、SSOエージェントも提供される場合がある。SSOエージェントを使用して、非対話型シングルサインオン機能を実装し、非ユーザ特権で実行し、例えばユーザ認証情報を提供するための共有された秘密に基づいて認証局(CA)との信頼関係を確立できる。
可能性として、傍受監査装置の異なる構成を使用することができる。これらには、要塞モード、ルータモード、ブリッジモードなどがある。監視装置は、CAクライアント(SSHエージェント)機能を組み込んでいるので、発行されたユーザ証明書を確認できる。ユーザ証明書には、SSH固有の拡張機能を使用して注釈を付けることができるため、CAとCrypto Auditorはより細かいポリシーを適用できる。例えば、Crypto Auditorは、認証証明書の期限が切れた後にユーザのSSHセッションを終了する。また、証明書は、SSHポート転送オプションが許可されているプロトコルとポート番号レベルを記述できる。証明書は、Crypto Auditorパケット処理エンジンによって実装される詳細なセッション監査パラメータを記述できる。
上述の様々な態様及び特徴は、図面によって及び/又は上記には具体的に示されていない方法で組み合わせることができる。
前述の説明は、例示的かつ非限定的な例として、本発明の例示的な実施形態及び態様の完全かつ情報提供の説明を提供する。しかしながら、添付の図面及び添付の特許請求の範囲と併せて読めば、上記説明を考慮して、当業者には、本開示の精神及び範囲内に入る様々な変更及び適応が明らかになるであろう。
Claims (22)
- ネットワーク装置であって、
少なくとも1つのプロセッサと、実行されたとき、ホストに対してユーザ装置を認証する認証エージェントエンティティとして前記ネットワーク装置を動作させる命令を格納するメモリとを含むネットワーク装置であって、
ネットワークを介して、前記ユーザ装置からのホストへの接続要求を受信し、
前記接続要求を受信したことに応答して、前記ユーザ装置の少なくとも一つのユーザ役割を決定し、
一時的認証子を、決定した前記少なくとも一つのユーザ役割に基づいて認証装置から取得し、
前記接続要求に基づいて、前記ユーザ役割に基づいて取得した前記一時的認証子を使用して前記ホストの認証を実行する、ように構成されたネットワーク装置。 - 認証局を設けるように構成された装置から前記一時的認証子を取得するように構成された、請求項1に記載のネットワーク装置。
- 前記一時的認証子を前記メモリに格納し、前記接続要求の受信に応答して、決定した前記少なくとも一つのユーザ役割に基づいて、前記メモリから前記一時的認証子を取り出すように構成された、請求項1に記載のネットワーク装置。
- 前記メモリは、揮発性メモリを含む、請求項3に記載のネットワーク装置。
- 前記一時的認証子は、証明書を含む、請求項1に記載のネットワーク装置。
- 前記証明書は、他の一時的認証子の公開鍵部分の少なくとも一部を含む、請求項5に記載のネットワーク装置。
- 前記一時的認証子は、他の制限を有し、前記他の制限は、前記一時的認証子を使用することができる回数の制限及び/又は前記一時的認証子の使用の制限を含む、請求項1に記載のネットワーク装置。
- 取得した前記一時的認証子を使用して第2認証子を取得するように更に構成され、前記第2認証子は、前記一時的認証子の少なくとも一部に基づいている、請求項1に記載のネットワーク装置。
- 前記第2認証子は、一時的なキーペア及び少なくとも1以上の永続的認証子の使用に基づいている、請求項8に記載のネットワーク装置。
- 前記認証エージェントエンティティは、前記認証装置と異なる、請求項1に記載のネットワーク装置。
- 取得した前記一時的認証子は、有効期間に関連する、請求項1に記載のネットワーク装置。
- ネットワーク装置に設けられた認証エージェントエンティティによってホストに対してユーザ装置を認証する方法であって、
ネットワークを介して、前記認証エージェントエンティティによって前記ユーザ装置からの前記ホストへの接続要求を受信するステップと、
受信した前記接続要求に応答して、前記認証エージェントエンティティによって前記ユーザ装置の少なくとも一つのユーザ役割を決定するステップと、
前記認証エージェントエンティティによって、一時的認証子を、決定した前記少なくとも一つのユーザ役割に基づいて認証装置から取得するステップと、
前記認証エージェントエンティティによって、前記接続要求に基づいて、前記ユーザ役割に基づいて取得した前記一時的認証子を使用して前記ホストに対して前記ユーザ装置を認証するステップと、を含み、
前記認証エージェントエンティティは、前記認証装置と異なる、方法。 - 前記一時的認証子を取得するステップは、前記一時的認証子を生成することを含む、請求項12に記載の方法。
- 前記一時的認証子をメモリに格納することを含む、請求項12に記載の方法であって、前記取得するステップは、前記メモリから前記一時的認証子を取り出すことを含む、方法。
- 前記一時的認証子は、証明書を含む、請求項12に記載の方法。
- 前記証明書は、他の一時的認証子の公開鍵部分の少なくとも一部を含む、請求項15に記載の方法。
- 前記一時的認証子は、他の制限を有し、前記他の制限は、前記一時的認証子を使用することができる回数の制限及び/又は前記一時的認証子の使用の制限を含む、請求項12に記載の方法。
- 前記一時的認証子は、一時的なキーペア及び少なくとも1以上の永続的認証子の使用に基づいている、請求項12に記載の方法。
- 実行されたとき、ホストに対してユーザ装置を認証する認証エージェントエンティティとしてネットワーク装置を動作させる命令を、前記ネットワーク装置のプロセッサに実行させるためのプログラムコードを含む非一時的なコンピュータ可読媒体であって、前記命令は、
ネットワークを介して、前記プロセッサによって、前記ユーザ装置からの前記ホストへの接続要求を受信するステップと、
受信した前記接続要求に応答して、前記プロセッサによって、前記ユーザ装置の少なくとも一つのユーザ役割を決定するステップと、
前記プロセッサによって、一時的認証子を、決定した前記少なくとも一つのユーザ役割に基づいて認証装置から取得するステップと、
前記プロセッサによって、前記接続要求に基づいて、前記ユーザ役割に基づいて取得した前記一時的認証子を使用して前記ホストに対して前記ユーザ装置を認証するステップと、を含む、非一時的なコンピュータ可読媒体。 - 前記命令は、前記一時的認証子を前記ネットワーク装置のメモリに格納することを含み、前記取得するステップは、前記メモリから前記一時的認証子を取り出すことを含む、請求項19に記載の非一時的なコンピュータ可読媒体。
- 前記メモリは、揮発性メモリを含む、請求項20に記載の非一時的なコンピュータ可読媒体。
- 前記一時的認証子は、証明書を含む、請求項19に記載の非一時的なコンピュータ可読媒体。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/361,672 US10764263B2 (en) | 2016-11-28 | 2016-11-28 | Authentication of users in a computer network |
| US15/361,672 | 2016-11-28 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2018117340A JP2018117340A (ja) | 2018-07-26 |
| JP2018117340A5 JP2018117340A5 (ja) | 2021-01-14 |
| JP7109909B2 true JP7109909B2 (ja) | 2022-08-01 |
Family
ID=60480193
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017224431A Active JP7109909B2 (ja) | 2016-11-28 | 2017-11-22 | コンピュータネットワーク内のユーザの認証 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10764263B2 (ja) |
| EP (1) | EP3328023B1 (ja) |
| JP (1) | JP7109909B2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10951421B2 (en) * | 2016-11-28 | 2021-03-16 | Ssh Communications Security Oyj | Accessing hosts in a computer network |
| US11418352B2 (en) * | 2018-02-21 | 2022-08-16 | Akamai Technologies, Inc. | Certificate authority (CA) security model in an overlay network supporting a branch appliance |
| WO2019244650A1 (ja) | 2018-06-20 | 2019-12-26 | 住友金属鉱山株式会社 | 複合タングステン酸化物膜及びその製造方法、並びに該膜を有する膜形成基材及び物品 |
| US20210409385A1 (en) * | 2018-11-23 | 2021-12-30 | Nokia Solutions And Networks Oy | Method and apparatus for authenticating a device or user |
| US12099997B1 (en) | 2020-01-31 | 2024-09-24 | Steven Mark Hoffberg | Tokenized fungible liabilities |
| CN111404957B (zh) * | 2020-03-25 | 2022-12-30 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种基于ssh提升cdn服务器安全性的方法及系统 |
| CN112491867B (zh) * | 2020-11-24 | 2021-11-12 | 北京航空航天大学 | 一种基于会话相似性分析的ssh中间人攻击检测系统 |
| US11824860B2 (en) | 2021-06-16 | 2023-11-21 | Ebay Inc. | Session-centric access control for secure ephemeral shells |
| US20230101920A1 (en) * | 2021-09-30 | 2023-03-30 | Fortinet, Inc. | Proxy ssh public key authentication in cloud environment |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005085102A (ja) | 2003-09-10 | 2005-03-31 | Canon Inc | 保証システム |
| JP2008005434A (ja) | 2006-06-26 | 2008-01-10 | Toshiba Corp | 通信制御装置、通信制御方法および通信制御プログラム |
| JP2009533945A (ja) | 2006-04-10 | 2009-09-17 | トラスト インテグレーション サービシィズ ベスローテン フェンノートシャップ | データを安全に伝送するための装置および方法 |
| JP2010192947A (ja) | 2009-02-13 | 2010-09-02 | Fuji Xerox Co Ltd | 通信システム、中継装置、末端装置、及びプログラム |
| US20130081132A1 (en) | 2011-09-28 | 2013-03-28 | Samsung Sds Co., Ltd. | Apparatus and method for providing virtual private network service based on mutual authentication |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6367009B1 (en) * | 1998-12-17 | 2002-04-02 | International Business Machines Corporation | Extending SSL to a multi-tier environment using delegation of authentication and authority |
| US7085931B1 (en) | 1999-09-03 | 2006-08-01 | Secure Computing Corporation | Virtual smart card system and method |
| US20020080190A1 (en) | 2000-12-23 | 2002-06-27 | International Business Machines Corporation | Back-up and usage of secure copies of smart card data objects |
| JP4602606B2 (ja) | 2001-08-15 | 2010-12-22 | ソニー株式会社 | 認証処理システム、認証処理方法、および認証デバイス、並びにコンピュータ・プログラム |
| KR100449484B1 (ko) | 2001-10-18 | 2004-09-21 | 한국전자통신연구원 | 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 발급 방법 |
| SE0104344D0 (sv) | 2001-12-20 | 2001-12-20 | Au System Ab Publ | System och förfarande |
| US7506368B1 (en) * | 2003-02-13 | 2009-03-17 | Cisco Technology, Inc. | Methods and apparatus for network communications via a transparent security proxy |
| US8214884B2 (en) | 2003-06-27 | 2012-07-03 | Attachmate Corporation | Computer-based dynamic secure non-cached delivery of security credentials such as digitally signed certificates or keys |
| US7472277B2 (en) * | 2004-06-17 | 2008-12-30 | International Business Machines Corporation | User controlled anonymity when evaluating into a role |
| US7853995B2 (en) | 2005-11-18 | 2010-12-14 | Microsoft Corporation | Short-lived certificate authority service |
| CA2531533C (en) | 2005-12-28 | 2013-08-06 | Bce Inc. | Session-based public key infrastructure |
| US7882538B1 (en) | 2006-02-02 | 2011-02-01 | Juniper Networks, Inc. | Local caching of endpoint security information |
| US8015594B2 (en) | 2006-03-17 | 2011-09-06 | Cisco Technology, Inc. | Techniques for validating public keys using AAA services |
| JP5079803B2 (ja) * | 2006-07-18 | 2012-11-21 | サーティコム コーポレーション | ゲーム装置を認証するシステムおよび方法 |
| US8181227B2 (en) | 2006-08-29 | 2012-05-15 | Akamai Technologies, Inc. | System and method for client-side authenticaton for secure internet communications |
| US7469151B2 (en) | 2006-09-01 | 2008-12-23 | Vivotech, Inc. | Methods, systems and computer program products for over the air (OTA) provisioning of soft cards on devices with wireless communications capabilities |
| US8402514B1 (en) | 2006-11-17 | 2013-03-19 | Network Appliance, Inc. | Hierarchy-aware role-based access control |
| US8214635B2 (en) | 2006-11-28 | 2012-07-03 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
| US20090037729A1 (en) | 2007-08-03 | 2009-02-05 | Lawrence Smith | Authentication factors with public-key infrastructure |
| WO2009070430A2 (en) | 2007-11-08 | 2009-06-04 | Suridx, Inc. | Apparatus and methods for providing scalable, dynamic, individualized credential services using mobile telephones |
| US8539562B2 (en) | 2010-12-09 | 2013-09-17 | International Business Machines Corporation | Automated management of system credentials |
| US8843750B1 (en) * | 2011-01-28 | 2014-09-23 | Symantec Corporation | Monitoring content transmitted through secured communication channels |
| US9008316B2 (en) * | 2012-03-29 | 2015-04-14 | Microsoft Technology Licensing, Llc | Role-based distributed key management |
| US9369279B2 (en) | 2013-09-23 | 2016-06-14 | Venafi, Inc. | Handling key rotation problems |
| US9369282B2 (en) | 2014-01-29 | 2016-06-14 | Red Hat, Inc. | Mobile device user authentication for accessing protected network resources |
| EP3089091B1 (en) * | 2014-05-02 | 2020-03-11 | Barclays Execution Services Limited | Transaction authentication |
| KR102036758B1 (ko) | 2014-09-30 | 2019-10-28 | 사이트릭스 시스템스, 인크. | 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온 |
| US9538376B2 (en) * | 2014-12-23 | 2017-01-03 | Ssh Communications Security Oyj | Authenticating data communications |
| US10826712B2 (en) * | 2015-06-30 | 2020-11-03 | Visa International Service Association | Confidential authentication and provisioning |
| US10645577B2 (en) * | 2016-07-15 | 2020-05-05 | Avago Technologies International Sales Pte. Limited | Enhanced secure provisioning for hotspots |
-
2016
- 2016-11-28 US US15/361,672 patent/US10764263B2/en active Active
-
2017
- 2017-11-22 JP JP2017224431A patent/JP7109909B2/ja active Active
- 2017-11-24 EP EP17203651.9A patent/EP3328023B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005085102A (ja) | 2003-09-10 | 2005-03-31 | Canon Inc | 保証システム |
| JP2009533945A (ja) | 2006-04-10 | 2009-09-17 | トラスト インテグレーション サービシィズ ベスローテン フェンノートシャップ | データを安全に伝送するための装置および方法 |
| JP2008005434A (ja) | 2006-06-26 | 2008-01-10 | Toshiba Corp | 通信制御装置、通信制御方法および通信制御プログラム |
| JP2010192947A (ja) | 2009-02-13 | 2010-09-02 | Fuji Xerox Co Ltd | 通信システム、中継装置、末端装置、及びプログラム |
| US20130081132A1 (en) | 2011-09-28 | 2013-03-28 | Samsung Sds Co., Ltd. | Apparatus and method for providing virtual private network service based on mutual authentication |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018117340A (ja) | 2018-07-26 |
| US20180152426A1 (en) | 2018-05-31 |
| EP3328023A1 (en) | 2018-05-30 |
| EP3328023B1 (en) | 2022-03-16 |
| US10764263B2 (en) | 2020-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7109909B2 (ja) | コンピュータネットワーク内のユーザの認証 | |
| US12101416B2 (en) | Accessing hosts in a computer network | |
| US9887975B1 (en) | Systems and methods for delegated cryptography | |
| US10185963B2 (en) | Method for authentication and assuring compliance of devices accessing external services | |
| US8549300B1 (en) | Virtual single sign-on for certificate-protected resources | |
| EP2304639B1 (en) | Authentication for distributed secure content management system | |
| US20170302644A1 (en) | Network user identification and authentication | |
| Winter et al. | Transport layer security (TLS) encryption for RADIUS | |
| US10484357B1 (en) | Method and apparatus for federated single sign on using authentication broker | |
| EP3328025B1 (en) | Accessing hosts in a hybrid computer network | |
| US8281371B1 (en) | Authentication and authorization in network layer two and network layer three | |
| US20030217148A1 (en) | Method and apparatus for LAN authentication on switch | |
| US9538376B2 (en) | Authenticating data communications | |
| US20210067503A1 (en) | Secure communication network | |
| JP2009538478A5 (ja) | ||
| US20160182471A1 (en) | Network security broker | |
| US20240323033A1 (en) | System and method for pre-shared key (psk) based document security | |
| CN114189370B (zh) | 一种访问方法及装置 | |
| JP2006216014A (ja) | メッセージを認証するためのシステムおよび方法、メッセージを認証するためのファイアウォール、ネットワーク装置、および、コンピュータ読み取り可能な媒体 | |
| Ali et al. | Flexible and scalable public key security for SSH | |
| Winter et al. | RFC 6614: Transport Layer Security (TLS) Encryption for RADIUS | |
| Howlett | Internet-Draft Janet Intended status: Informational S. Hartman Expires: January 4, 2014 Painless Security July 3, 2013 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201117 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201117 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211020 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211116 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220621 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220720 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7109909 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |