KR20180002841A - 비-관리 비-보안 장치에서의 리소스 액세스 및 배치를 위한 안전한 컨테이너 플랫폼 - Google Patents

비-관리 비-보안 장치에서의 리소스 액세스 및 배치를 위한 안전한 컨테이너 플랫폼 Download PDF

Info

Publication number
KR20180002841A
KR20180002841A KR1020177035263A KR20177035263A KR20180002841A KR 20180002841 A KR20180002841 A KR 20180002841A KR 1020177035263 A KR1020177035263 A KR 1020177035263A KR 20177035263 A KR20177035263 A KR 20177035263A KR 20180002841 A KR20180002841 A KR 20180002841A
Authority
KR
South Korea
Prior art keywords
computing device
user interface
user
services
access
Prior art date
Application number
KR1020177035263A
Other languages
English (en)
Inventor
타일러 노먼
앤소니 피지
유리 밀슈타인
폴 카네프스키
앤드루 멜리코프
Original Assignee
앱버스, 인크.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 앱버스, 인크. filed Critical 앱버스, 인크.
Publication of KR20180002841A publication Critical patent/KR20180002841A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/451Execution arrangements for user interfaces
    • G06F9/452Remote windowing, e.g. X-Window System, desktop virtualisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Abstract

제 1 컴퓨팅 장치는 다른 컴퓨팅 장치에 의해 제공되는 서비스에 액세스하기 위한 서비스 액세스 요청을 수신하고, 상기 요청은 사용자의 사용자 인증 특성을 포함한다. 제 1 컴퓨팅 장치는 서비스 액세스 요청을 상기 다른 컴퓨팅 장치(가령, 제 2 컴퓨팅 장치)로 전송한다. 제 1 컴퓨팅 장치는 제 2 컴퓨팅 장치에 의해 실행될 때 서비스에 대한 액세스를 제공하는 사용자 인터페이스를 제 2 컴퓨팅 장치로 하여금 디스플레이할 수 있게 하는 사용자 인터페이스 구성 파일을 제 2 컴퓨팅 장치로부터 수신한다. 제 1 컴퓨팅 장치는 사용자 인증 특성에 기초하여 사용자 인터페이스 구성 파일을 수정하여 서비스에 대한 선택적 액세스를 제공한다. 제 1 컴퓨팅 장치는 수정된 사용자 인터페이스 구성 파일을 제 2 컴퓨팅 장치에 송신하여, 제 2 컴퓨팅 장치에 의해 실행될 때 서비스에 선택적 액세스를 제공하는 수정된 사용자 인터페이스를 제 2 컴퓨팅 장치로 하여금 디스플레이하게 한다.

Description

비-관리 비-보안 장치에서의 리소스 액세스 및 배치를 위한 안전한 컨테이너 플랫폼
관련 출원에 대한 상호 참조
본 출원은 그 전체가 본 명세서에 참고로 인용된, "MULTI FORM FACTOR CONTROL PLANE"이라는 제목의 2015 년 5 월 7 일자로 출원된 미국특허가출원 제 62/158,337 호의 우선권을 주장한다.
기술분야
본 발명은 일반적으로 컴퓨터 네트워크를 통한 리소스에 대한 원격 액세스에 관한 것으로, 보다 상세하게는 컴퓨터 네트워크를 통해 리소스에 대한 원격 액세스를 제공하는 방법 및 시스템에 관한 것이다.
전부는 아니더라도 대부분의 기업들이 컴퓨팅 서비스에 대한 액세스를 제공하기 위해 컴퓨터 네트워크를 구현한다. 이러한 서비스에 연결하기 위해 회사 직원은 일반적으로 컴퓨터 네트워크 내에 연결해야 한다. 그렇지 않으면 외부에 연결하는 경우 가상 사설망을 만들어야 한다. 또한 회사 직원은 일반적으로 컴퓨팅 서비스를 호스팅하는 회사 서버와 동일한 운영 체제를 실행하는 장치를 사용해야 한다.
기업 직원은 신뢰할 수 없고 보안되지 않은 환경에 있은 신뢰되지 않고 보안되지 않은 장치로부터 기업 네트워크 내에서만 정상적으로 이용 가능한 애플리케이션 및 비즈니스 데이터에 액세스할 것을 요구한다. 예를 들어 회사 직원은 개인 랩톱, 태블릿 또는 스마트 폰에서 작업하고 회사 전자 메일 또는 문서 관리 시스템에 액세스할 수 있다. 시간이 지남에 따라 많은 유형의 최종 사용자 컴퓨팅 및 통신이 소비자 생태계 및 시장의 일부가 되었다. 운영 체제의 차이점, 이기종 하드웨어 및/또는 소프트웨어 설비 등을 수용하는 여러 폼 팩터의 하드웨어를 포함하여 다양한 변형을 포괄하는 다양한 사용자 장치 유형이 있다. 이는 새로운 유형의 기능을 필요로하는 폭넓은 범위의 대상 장치들을 제공한다. 기존 기업의 경우 많은 조직(예: CRM, 관리 시스템, 메일, 웹 기반, 장치-별 애플리케이션 및 기타)에서 사용되는 다양한 기존 애플리케이션은 일반적으로 BYOD(Bring Your Own Device)라 지칭되는 선호 장치에 기초하여 최종 사용자를 위해 배치 또는 최적화될 수 없다.
이것은 이들 장치의 소유자가 자신의 장치에서 이러한 애플리케이션을 사용하는 데 장애가 있는 시나리오를 만든다. 또한 사용자가 직무를 수행하기 위해 액세스해야하는 애플리케이션을, 상황에 따라 함께 작동시켜서 사용자의 업무를 효과적이고 효율적으로 수행할 수 있도록 사용자 능력을 향상시키는 것이 불가능하다. 애플리케이션 및 조직 데이터 및 프로세스를 모든 장치에서 실시간으로 공유할 수 있어야 한다.
일 실시예에서, 맞춤화된 그래픽 사용자 인터페이스의 선택적 제공 방법이 개시되며, 상기 방법은 제 1 컴퓨팅 장치에서, 제 3 컴퓨팅 장치에 의해 제공되는 하나 이상의 서비스에 액세스하기 위한 서비스 액세스 요청을 제 2 컴퓨팅 장치로부터 수신하는 단계 - 상기 요청은 상기 제 2 컴퓨팅 장치의 사용자의 인증 특성을 포함함 - 와, 상기 서비스 액세스 요청을 상기 제 3 컴퓨팅 장치로 전달하는 단계와, 상기 하나 이상의 서비스에 대한 액세스를 제공하는 사용자 인터페이스를 상기 제 2 컴퓨팅 장치에 의해 디스플레이할 수 있도록 상기 제 2 컴퓨팅 장치에 의해 실행되도록 구성되는 사용자 인터페이스 구성 파일을, 상기 제 3 컴퓨팅 장치로부터 수신하는 단계와, 상기 하나 이상의 서비스에 선택적 액세스를 제공하기 위해 상기 사용자 인증 특성에 기초하여 상기 사용자 인터페이스 구성 파일을 수정하는 단계와, 상기 수정된 사용자 인터페이스 구성 파일을 상기 제 2 컴퓨팅 장치에 전송하는 단계 - 상기 수정된 사용자 인터페이스 구성 파일은 상기 하나 이상의 서비스에 대한 선택적 액세스를 제공하는 수정된 사용자 인터페이스를 상기 제 2 컴퓨팅 장치에 의해 디스플레이할 수 있도록 상기 제 2 컴퓨팅 장치에 의해 실행되도록 구성됨 - 를 포함한다.
추가 실시예에서, 상기 제 2 컴퓨팅 장치는 클라이언트 장치이고, 상기 제 3 컴퓨팅 장치는 가상 데스크톱 인프라스트럭처 서버다.
추가 실시예에서, 상기 요청은 상기 제 2 컴퓨팅 장치의 컴퓨팅 장치 특성을 포함하고, 상기 방법은, 상기 제 2 컴퓨팅 장치의 컴퓨팅 장치 특성에 기초하여 사용자 인터페이스 구성 파일을 수정하는 단계를 더 포함한다.
추가 실시예에서, 상기 컴퓨팅 장치 특성은, i) 상기 제 2 컴퓨팅 장치의 운영 체제 및 ii) 상기 제 2 컴퓨팅 장치의 디스플레이 스크린 폼 팩터 특성 중 적어도 하나를 포함한다.
추가 실시예에서, 상기 제 1 컴퓨팅 장치는 상기 서비스 액세스 요청을 수신하고, 상기 보안 하이퍼 텍스트 전송 프로토콜(HTTPS)을 사용하여 상기 제 2 컴퓨팅 장치에 상기 수정된 사용자 인터페이스 구성을 전송한다.
추가 실시예에서, 상기 방법은, 보안 컨테이너를 사용하여 상기 제 2 컴퓨팅 장치에서, 상기 하나 이상의 서비스에 대한 선택적 액세스를 제공하는 상기 수정된 사용자 인터페이스를 디스플레이하는 단계를 더 포함한다.
추가 실시예에서, 상기 방법은, 상기 수정된 사용자 인터페이스를 통해 상기 사용자에 의해 제공된 데이터를 상기 제 2 컴퓨팅 장치의 로컬 저장소에 저장하는 단계와, 상기 제 2 컴퓨팅 장치의 로컬 저장소에서, 상기 수정된 사용자 인터페이스를 통해 사용자에 의해 요청된 데이터에 액세스하는 단계를 더 포함하며, 상기 로컬 저장소는 암호화된다.
추가 실시예에서, 상기 방법은, 상기 제 2 컴퓨팅 장치에서 로컬 애플리케이션 사용자 인터페이스를 디스플레이하는 애플리케이션을 실행하는 단계와, 상기 보안 컨테이너를 사용하여 상기 제 2 컴퓨팅 장치에서 상기 로컬 애플리케이션 사용자 인터페이스를 디스플레이하는 단계를 더 포함한다.
추가 실시예에서, 상기 방법은, 상기 제 2 컴퓨팅 장치의 로컬 저장소에서, 상기 로컬 애플리케이션 사용자 인터페이스를 통해 상기 사용자에 의해 제공된 데이터를 저장하는 단계와, 상기 제 2 컴퓨팅 장치의 로컬 저장소에서, 상기 로컬 애플리케이션 사용자 인터페이스를 통해 상기 사용자에 의해 요청된 데이터에 액세스하는 단계를 더 포함하며, 상기 로컬 저장소는 암호화된다.
추가 실시예에서, 상기 하나 이상의 서비스에 대한 선택적 액세스를 제공하는 단계는, i) 상기 하나 이상의 서비스의 일 특징에 대한 액세스를 제한하는 단계와, ii) 상기 하나 이상의 서비스 중 적어도 하나의 서비스에 대한 액세스를 제한하는 단계 중 적어도 하나를 포함한다.
추가 실시예에서, 상기 방법은, 상기 제 2 컴퓨팅 장치에 암호화된 세션 키를 제공함으로써 상기 제 1 컴퓨팅 장치와 상기 제 2 컴퓨팅 장치 간에 암호화된 세션을 호출하는 단계 - 상기 암호화된 세션 키는 상기 암호화된 세션에 대해 고유함 - 를 더 포함한다.
추가 실시예에서, 상기 방법은, 상기 수정된 사용자 인터페이스를 통해 상기 사용자에 의해 제공된 데이터를, 상기 암호화된 세션 키를 사용하여 상기 제 2 컴퓨팅 장치의 로컬 저장소에 저장하는 단계와, 상기 암호화된 세션 키를 사용하여 상기 제 2 컴퓨팅 장치의 로컬 저장소에서, 상기 수정된 사용자 인터페이스를 통해 사용자가 요청한 데이터에 액세스하는 단계를 더 포함한다.
추가 실시예에서, 상기 방법은, 상기 암호화된 세션의 중단시 상기 암호화된 세션 키를 삭제하는 단계를 더 포함한다.
일 실시예에서, 제 1 컴퓨팅 장치에서 프로세서에 의해 실행될 때, 선행 실시예들 중 임의의 실시예의 단계들을 수행하는 컴퓨터 실행 가능 명령어들을 저장한 비-일시적 컴퓨터 판독 가능 저장 매체가 제공된다.
일 실시예에서, 제 1 컴퓨팅 장치에서, 적어도 하나의 프로그램을 저장하도록 각각 동작 가능한 하나 이상의 메모리 유닛과, 상기 적어도 하나의 메모리 유닛에 통신가능하게 연결되는 적어도 하나의 프로세서를 포함하는 시스템이 제공되며, 상기 적어도 하나의 프로그램은, 상기 적어도 하나의 프로세서에 의해 실행될 때, 선행 실시예들 중 임의의 실시예의 단계들을 상기 적어도 하나의 프로세서에 의해 수행하게 한다.
전술한 요약 및 본 발명의 실시예에 대한 다음의 상세한 설명은 예시적인 실시예의 첨부된 도면과 함께 읽혀질 때 더 잘 이해될 것이다. 그러나, 본 발명은 도시된 정확한 구성 및 수단에 제한되지 않는다는 것을 이해해야 한다.
도면에서:
도 1은 하나 이상의 실시예에 따라 비-보안 및 비-신뢰 사용자 장치에서 컨테이너 기반 관리를 용이하게 하도록 구성된 예시적인 시스템의 블록도이다.
도 2는 본 발명의 적어도 일부 실시예에 따라, 내부 네트워크 (예컨대, 인트라넷) 내에 사용자 장치(예를 들어, 에지 장치)를 보안하도록 구성된 예시적인 시스템의 블록도이다.
도 3은 본 발명의 하나 이상의 실시예들에 따라, 네트워크 서비스로부터 획득된 세션 키들에 기초하여 사용자 장치에서 컨테이너-기반 관리를 위한 프로비저닝을 용이하게 하는 예시적인 프로세스의 흐름도이다.
도 4는 본 발명의 적어도 하나의 실시예에 따라 사용자 장치를 프로비저닝하기 위한 프로세스의 흐름도이다.
도 5는 본 발명의 하나 이상의 실시예에 따른 예시적인 사용자 장치(예를 들어, 비-보안 및 비-신뢰 장치)상의 데이터 저장 아키텍쳐의 개략도이다.
도 6은 본 발명의 하나 이상의 실시예에 따른, 예시적인 사용자 장치상의 네트워크 보안 구조의 개략도이다.
도 7은 본 발명의 하나 이상의 실시예에 따른, 장치 보안의 개략도이며, 어떻게 신뢰되지 않은 비-보안 에지 장치상의 보안 네트워크 리소스의 인증을 관리 하는지를 도시한다.
도 8a-8h는 본 발명의 적어도 일부 실시예에 따른 컨테이너의 예시적인 스크린 샷을 도시한다.
도 9는 본 발명의 하나 이상의 실시예에 따라, 사용자 장치에 맞춤화된 그래픽 사용자 인터페이스를 선택적으로 제공하는 방법의 흐름도이다.
본 발명의 적어도 일부 실시예의 목적은 사용자(예를 들어, 회사의 직원)에게 개인 장치를 위한 사용자 친화적인 운영 환경을 제공하는 동시에 기존 애플리케이션 또는 기업 시스템과 비-침습적 통합을 제공하는 것이다. 이러한 실시예에서, 보험 회사, 은행, 중개 회사, 병원, 소매업자 및/또는 다른 기업과 같은 기업은 다수의 상이한 채널을 통해 애플리케이션, 데이터, 서비스 및 기능을 모든 구성원들(예: 직원, 계약자, 독립 대리점, 고객, 직원, 및 상이한 채널, 등)에게 제공함으로써 기술적 경쟁 우위를 구축할 수 있고, PCI, HIPAA 및 기타 데이터 보안 표준에 부합하는 카테고리에서 고도의 기밀 고객 및 금융 데이터를 보호하고 지키기 위한 그 책임에 의해, 상이한 채널의 수가 종종 최소화된다. 사용자가 개인 장치를 활용할 수 있게함으로써 생산성 및 사용자 만족도를 향상시킬 수 있다. 이러한 실시예에서, 장치가 분실, 도난 또는 파손될 수 있는 경우에도 기밀 정보를 보호할 수 있는 능력을 보장하는 보안 수준을 유지하는 것은 기업의 책임이다.
동일한 참조 부호가 전체에 걸쳐 동일한 구성요소를 지시하는 도면을 상세하게 참조하면, 본 발명의 일부 실시예에 따라, 비-보안 장치 상에서 원격 애플리케이션에 액세스를 제공하는 시스템 및 방법이 도 1-9에 도시된다.
시스템 기능
도 1은 하나 이상의 실시예에 따라 비-보안 및 비-신뢰 사용자 장치에서 컨테이너 기반 관리를 용이하게 하도록 구성된 예시적인 시스템의 블록도이다.
일부 실시예에서, 시스템(100)은 하나 이상의 기업 서비스(1.20-1.80)를 포함한다. 기업 서비스들(1.20-1.80) 각각은 다른 장치들(예컨대, 사용자 장치(1.1))에 제공되는 하나 이상의 서비스들을 구현하기 위해 컴퓨터 애플리케이션을 실행한다. 일부 실시예에서, 기업 서비스(1.20-1.80)는 그래픽 사용자 인터페이스 (GUI) 구성 파일을 다른 장치에 제공한다. GUI 구성 파일을 실행하면 다른 장치에 GUI가 표시된다.
기업 서비스의 한 예는 가상 데스크톱 인프라 (VDI) 서버(1.20)이다. VDI 서버(1.20)은 다른 장치에 VDI 서버(1.20)에서 호스팅되는 가상 데스크톱에 대한 원격 액세스 권한을 제공한다. 이들 실시예에서, VDI 서버(1.20)는 다른 장치 상에 가상 데스크톱으로서 디스플레이하기 위한 GUI 구성 파일을 생성한다. 일부 실시예에서, 가상 데스크톱은 하나 이상의 기업 서비스(1.30-1.60)에 의해 제공되는 하나 이상의 서비스에 대한 액세스를 제공할 수 있다. 일부 실시예에서, VDI 서버(1.20)는 로그인시 최상의 성능을 보장하고 기업 애플리케이션을 다른 장치에 전달하기 위해 모든 활성 사용자 장치에 대한 VDI 세션 할당을 관리하는 VDI 풀 관리자를 포함한다.
기업 서비스의 다른 예는 사용자 디렉토리(1.30), 메일 서비스(1.40), 제 2 팩터 서버(1.50), SHAREPOINT® 서버(1.60), 파일 서버(1.70) 및 애플리케이션 서버(1.80)를 포함한다. 사용자 디렉토리(1.30)는 기업 서비스의 여러 사용자에 대한 디렉토리 데이터를 저장하고, 사용자 로그온 프로세스, 인증 및 디렉토리 검색을 비롯한 사용자와 서비스 간의 통신을 관리한다. 메일 서비스(1.40)은 사용자로부터 수신 및 발신 이메일을 수신하고 처리한다. 제 2 팩터 서버(1.50)은 인증을 수행한다. SHAREPOINT® 서버(1.60)은 구성 관리 애플리케이션을 호스팅한다. 파일 서버(1.70)은 다른 장치에 의한 공유 저장 장치 액세스를 위한 저장 위치를 제공한다. 애플리케이션 서버(1.80)은 인터넷 기반 애플리케이션을 실행하기 위한 서버 환경을 제공한다.
일부 실시예에서, 시스템(100)은 하나 이상의 사용자 장치(11) (예를 들어, 에지 장치)를 포함한다. 일부 실시예에서, 사용자 장치(1.1)는 VDI 서버(1.20)에 의해 제공되는 가상 데스크톱에 액세스하고 및/또는 기업 서비스(예를 들어, 기업 서비스(1.30- 1.60))에 의해 제공되는 하나 이상의 서비스 또는 데이터(가령, 스트리밍 비디오, 이미지, 멀티미디어)에 액세스한다. 사용자 장치(1.1)는 하나 이상의 기업 서비스(1.20-1.80) (예를 들어, 가상 데스크톱)로부터 사용자에게 데이터를 디스플레이하는 디스플레이를 포함한다. 사용자 장치(11)의 예로는 랩톱, 태블릿, 스마트 폰 및 퍼스널 컴퓨터가 포함된다. 일부 실시예에서, 적어도 일부 사용자 장치(11)는 동일한 운영 체제 (예를 들어, WINDOWS, iOS) 또는 상이한 운영 체제를 실행한다.
일부 실시예에서, 사용자 장치(1.1)는 가상 데스크톱을 액세스 및 디스플레이하기 위해 사용자 장치(1.1)상에서 국부적으로 실행되는 컨테이너를 포함한다. 본 명세서에서 사용되는 바와 같이, 컨테이너는 사용자 장치(1.1)에 의해 실행될 때 사용자 장치(1.1)의 디스플레이 상에 사용자 인터페이스를 렌더링하기 위해 GUI 구성 파일 (예를 들어, XML 파일)을 처리하는 애플리케이션일 수 있다.
사용자가 컨테이너의 기능을 어떻게 이용할 수 있는지에 대한 다수의 예가 존재한다. 한 예로 기업의 직원은 개인 장치(가령, 사용자 장치(1.1))(IPAD®, WINDOWS® 랩탑, ANDROID® 스마트 폰, 또는 MAC® 노트북을 포함하되 이에 국한되지 않음)로부터 전자 메일, 달력, 연락처, 문서, 인트라넷 사이트, 교육 자료를 포함한 법인 리소스에 액세스할 필요가 있을 수 있다. 일 실시예에서, 그러한 직원은 사용자 장치(1.1)의 지원 플랫폼 중 임의의 플랫폼 상에 컨테이너를 다운로드 및 설치한 다음, 적절한 기업 인증서를 제공함으로써 자격이 부여된 회사 리소스에 액세스할 수 있다. 일단 설치되면, 사용자 장치(1.1)상의 컨테이너는 모든 보안 및 정책 시행 기능뿐만 아니라 기업 정책 서버에 의해 구성된 배치 및 상호 작용 모델을 관리한다. 컨테이너는 또한 컨테이너 내부에서 실행되는 모든 회사 애플리케이션과 사용자 장치간에 시행되는 보안 격리 계층을 구현할 수도 있다. 격리는 모든 저장소 액세스에 적용되어 회사 애플리케이션의 모든 요청을, 그리고, 기업 방화벽 내부 또는 외부에 위치하는지에 관계없이, 적절한 기업 서버와 기업 애플리케이션 간의 모든 네트워크 통신을 보안화 및 암호화하기 위해 이러한 애플리케이션에 의해 이루어지는 모든 네트워크 요청을, 컨테이너에서 제공하는 안전한 암호화된 저장소로 인터셉트하여 리디렉션한다.
컨테이너는 회사 직원이 요구할 수 있는 복수의 애플리케이션을 지원하는 다중 애플리케이션 뷰어 아키타입(multiple application viewer archetypes)뿐만 아니라 네비게이션 기능성을 더 포함한다. 아키타입의 예로는 안전하고 관리되는 웹 브라우저, 가상화된 WINDOWS® 애플리케이션, 보안 RSS 리더, 오프 라인 기능을 갖춘 보안 문서 뷰어, 및 사용자 장치(1.1)에서 실행되도록 생성된 장치-기본 애플리케이션용 컨트롤러가 있다. 네비게이션 기능 및 뷰어 아키타입을 통해 사용자는 상이한 기업 서비스(1.20-1.80) 및 다른 타사 컨텐츠 제공자 (예: 공개적으로 사용 가능한 웹 사이트)가 제공하는 다양한 유형의 애플리케이션 간을 원활하게 액세스하고 항법(탐색)할 수 있다.
일부 실시예에서, 시스템(100)은 보안 게이트웨이(1.8)를 포함한다. 보안 게이트웨이(1.8)는 하나 이상의 서비스(1.20-1.80)에 액세스하는 사용자의 유효성을 검사하고 인증한다. 이 기능은 도 3-4에 더 도시되어있다.
일부 실시예에서, 시스템(100)은 플랫폼 서비스 구성요소(1.12)를 포함한다. 플랫폼 서비스 구성요소(1.12)는 사용자 장치(1.1)상의 하나 이상의 서비스(1.20-1.80)의 기능을 수정하여, 하나 이상의 서비스(1.20-1.80)가 더 많은 장치에 제공될 수 있고 더 많은 사용자에 의해 액세스될 수 있다. 이들 실시예에서, 플랫폼 서비스 구성요소(1.12)는 그래픽 사용자 인터페이스(GUI) 구성 파일에 지정된 GUI 특성을 수정하여 사용자 장치(1.1)상의 그래픽 사용자 인터페이스의 디스플레이를 개선한다.
여기에 설명된 플랫폼 서비스 구성요소(1.12)의 실시예 중 임의의 것을 구현함으로써 실현되는 다수의 다른 이점이 있다. 예를 들어 GUI 구성 파일을 수정함으로써, 제 1 장치 유형에 대해 기업 용으로 작성된 사용자 정의 애플리케이션을 (제 1 장치 유형과 다른)제 2 장치 유형의 컨테이너 내부에 "랩핑"(wrapping)되어, 사용자 정의 GUI를 표시할 수 있다.
플랫폼 서비스 구성요소(1.12)는 사용자의 사용자 인증 특성 및 장치 특성을 포함하는 다수의 상이한 인자에 대한 GUI 구성 파일을 수정할 수 있다.
사용자 인증 특성과 관련하여, 일부 실시예에서, 플랫폼 서비스 구성요소(1.12)는 사용자 인증 특성에 기초하여 하나 이상의 서비스(1.20-1.80) 또는 하나 이상의 서비스(1.20-1.80)의 하나 이상의 특성으로의 액세스를 제한할 수 있다. 예를 들어 첫 번째 사용자는 하나 이상의 서비스(1.20-1.80)에 모두 액세스할 수 있는 모든 권한을 가질 수 있는 반면 두 번째 사용자는 서비스 1.20에 액세스할 수 있는 권한 만 가질 수 있다. 이들 실시예에서, 플랫폼 서비스 구성요소(1.12)는 제 1 및 제 2 사용자의 사용자 인증 특성을 평가한다. 그 후, 플랫폼 서비스 구성요소(1.12)는 평가 결과에 기초하여 제 2 사용자에 의한 액세스를 하나 이상의 서비스(1.30-1.80)로 제한하면서 제 1 사용자에 의한 하나 이상의 서비스(1.20-1.80)에 대한 완전한 액세스를 제공할 수 있다.
장치 특성들에 관하여, 일부 실시예들에서, 사용자 장치(1.1)는 하나 이상의 기업 서비스(1.20-1.80)(가령, VDI 서버(120))들에 의해 제공되는 GUI 구성 파일에 지정된 GUI 특성들과 비교하여 상이한 그래픽 사용자 인터페이스 특성들 (예를 들어, 디스플레이 폼 팩터)을 가질 수 있다. 이들 실시예에서, 플랫폼 서비스 구성요소(1.12)는 장치 특성에 기초하여 하나 이상의 서비스(1.20-1.80)로부터 GUI 구성 파일에 지정된 GUI 특성을 수정하여 사용자 장치(1.1)상에서 보다 양호한 GUI를 렌더링하는 것을 용이하게 한다.
일부 실시예에서, 시스템(100)은 하나 이상의 방화벽을 포함할 수 있다. 예를 들어, 시스템(100)은 사용자 장치(1.1)와 보안 게이트웨이(1.8) 사이에 배치된 방화벽(1.4); 보안 게이트웨이(1.8)와 플랫폼 서비스 구성요소(1.12) 사이에 배치된 방화벽(1.10); 및 플랫폼 서비스 구성요소(1.12)와 기업 서비스(1.20-1.80) 사이에 배치된 방화벽(1.16)을 포함한다. 방화벽(1.4, 1.10 및 1.16) 각각은 회사의 네트워크에 대한 서로 다른 액세스 계층을 나타낸다. 예를 들어 방화벽(1.4)는 외부 회사 네트워크에서 내부 회사 네트워크의 비무장 지대 (DMZ)에 대한 액세스를 나타낸다. 방화벽(1.10)은 비무장 지대 (DMZ)에서 내부 회사 네트워크로의 액세스를 나타낸다. 방화벽(1.16)은 내부 회사 네트워크에서 기업 서비스(1.20-1.80)에 대한 액세스를 나타낸다.
일부 실시예에서, 시스템(100)의 구성요소는 보안 하이퍼 텍스트 전송 프로토콜(HTTPS) 터널링을 사용하여 서로에 데이터를 전송하고 서로로부터 데이터를 수신한다. 보안 터널은 기업 인증 및 권한 부여 시스템을 활용하여 통신 채널을 설정한다. 일부 실시예에서, 시스템(100)은 트래픽 차단 및 "Man in the Middle" 공격의 위험을 제거하기 위해 클라이언트 측 인증서 및 서버 측 인증서 피닝(pinning)을 사용한다. 일부 실시예에서, 사용자 장치(1.1)에서 컨테이너 내부에서 실행중인 웹 기반 및 기본 애플리케이션으로부터의 보안 및 비-보안 요청은 차단되어 보안 HTTPS 터널을 통해 라우팅된다. 일부 실시예에서, 사용자 장치(1.1)는 모든 데이터 요청에 암호화 인증 토큰 (OAuth2)을 첨부하여 요청 진위를 확인한다. 보안 게이트웨이(1.8)는 시스템(100)의 구성요소가 시스템(100)의 내부 및 외부 리소스에 액세스하려 시도하거나 시스템(100)의 내부 및 외부 구성요소간에 데이터를 전송하려고 시도할 때 기업 규칙 및 제한을 시행한다. 일부 실시예에서, 시스템(100)은 리소스 화이트리스트 사용을 통한 추가의 제어 레벨을 제공한다. 일부 실시예에서, 보안 게이트웨이(1.8)는 애플리케이션 및 데이터 채널 유휴 타임 아웃(idle timeout)을 호출하여 사용자 장치(1.1)와 기업 서비스(1.20-1.80) 사이의 무인 세션이 자동적으로 종료되는 것을 보장한다.
일부 실시예에서, 시스템(100)은 복수의 사용자 장치(1.1) 상에 설치된 보안 중앙 관리 컨테이너 애플리케이션 세트를 통해 액세스 가능한 회사 네트워크 내에 보안 지원 인프라 구조를 제공한다. 이러한 실시예에서, 사용자는 데이터 유출 또는 정보 손실의 위험없이, 잠재적으로 신뢰할 수 없는 임의의 장치로부터 기업 리소스(예를 들어, 기업 데이터 및 애플리케이션)에 액세스하여 이를 사용한다. 이러한 실시예에서, 회사 네트워크 서버는 리소스의 배치를 관리하고, 다양한 기업 정책을 시행한다. 기업 정책의 예로는 자격, 인증, 세션 관리, 워크플로우 통합, 데이터 보호 및 리소스 권한 등이 있다. 일부 실시예에서, 시스템(100)은 기존의 기업 자격증명 시스템을 사용하여 회사 네트워크에 사용자 장치(1.1)의 사용자를 인증함으로써 회사 정책을 적용한다. 이들 실시예에서, 사용자 인증 정보는 수집되어 기업 인증 시스템으로 안전하게 전달된다. 사용자 인증이 성공적이면, 시스템(100)은 이전에 신뢰되지 않은 사용자 장치(1.1)에 회사 인트라넷 리소스에 대한 액세스를 제공한다. 인증 후에, 보안 게이트웨이(1.8) 및 플랫폼 서비스 구성요소(1.12)는 사용자 장치(1.1)의 인증 및 접속된 사용자에게 맞는 정책 및 배치 구성을 불러와서, 컨테이너 정책 집행 시스템을 통해 구성 정책을 시행한다.
일부 실시예에서, 시스템(100)은 사용자를 대신하여 회사 기업 서비스 서버(1.20-1.80)(가령, 이메일 서버(1.40))와의 연결을 확립함으로써 신뢰되지 않은 사용자 장치(1.1)로부터 기업 이메일, 캘린더, 연락처, 파일 공유 및 문서 관리 리소스를 포함하는 기업 리소스에 대한 보안 액세스를 제공한다. 일부 실시예에서, 사용자 장치(1.1)상의 컨테이너는 회사 네트워크로부터 검색된 모든 회사 정보에 대해 암호화 및 보안을 시행한다. 일부 실시예에서, 사용자 장치(1.1)상의 컨테이너는 사용자 장치(1.1)가 손상된 경우(예를 들어, 분실 또는 직원 해고 또는 자격 상실) 사용자 장치(1.1)로부터의 그러한 정보의 원격 삭제를 위한 자동화 관리 시스템을 또한 제공한다.
일부 실시예에서, 사용자 장치(1.1)는 다음과 같이 기업 서비스(1.20-1.80)와 데이터를 교환한다. 처음에, 사용자 장치(1.1)는 공용 네트워크 방화벽(1.4)을 통해 보안 게이트웨이(1.8)로 요청을 전송한다. 보안 게이트웨이(1.8)는 내부 요청 방화벽(1.10)을 통해 서비스 요청을 플랫폼 서비스 구성요소(1.12)로 전송한다. 그런 다음 요청은 분리된 방화벽(1.16) (선택 사항)을 통해 1.20 - 1.80 서비스로 기존 기업으로 전달된다. 일부 실시예에서, 요청의 흐름은 요청되는 기업 서비스에 관계없이 동일하다. 이 예는 기업의 녹색 영역에 대한 대중의 접근을 나타낸다. 이들 실시예에서, 사용자 장치(1.1)는 상업적인 광대역 제공자를 사용하여 인터넷에 접속된다. 사용자 장치(1.1)는 보안 https 세션을 통해 기업의 DMZ에 연결하여 요청을 전송한다. 그런 다음 요청은 플랫폼 서비스 구성요소(1.12)에 대한 또 다른 보안 https 세션을 사용하여 방화벽(1.10)을 통해 보안 게이트웨이(1.8)을 통해 녹색 영역으로 전달된다. 플랫폼 서비스 구성요소(1.12)의 커넥터는 녹색 영역의 기존 기업 서비스(1.20-1.80)의 기능을 플랫폼 서비스 구성요소(1.12)에 연결한다. 이 연결에는 애플리케이션 서버(1.80), 파일 서버(1.70), 문서 서버(1.60), 제 2 팩터 인증 서버(1.50), 메일 서버(1.40) 및 액티브 디렉토리(1.30) 등 및 가상 Windows 세션(1.20)에 대한 액세스가 포함된다.
도 2는 본 발명의 적어도 일부 실시예에 따라, 내부 네트워크(예컨대, 인트라넷) 내에 사용자 장치(예를 들어, 에지 장치)를 보안하도록 구성된 예시적인 시스템의 블록도이다. 이러한 실시예에서, 시스템(100)은 예를 들어 기업 내의 장치의 보안을 가능하게한다. 이러한 실시예에서, 사용자는 내부 사용자 장치(1.1)를 통해, 선택적 분리 방화벽(1.4)을 거쳐 인트라넷을 통해 접속하고 있다. 사용자 장치(1.1)는 사용자로부터 플랫폼 서비스 구성요소(2.12)로 요청을 전송한다. 이들 실시예에서, 플랫폼 서비스 구성요소(2.12)는 또한 보안 게이트웨이(도 1에 도시 됨) 및 플랫폼 서비스 구성요소(도 1에 도시 됨)를 하나의 장치에 통합한다. 플랫폼 서비스 구성요소(2.12)는 방화벽(1.16)의 녹색 영역에 있는 기존 기업 서비스(1.20-1.80)의 기능을 사용자 장치(2.1)에 연결한다. 일단 접속되면, 사용자 장치(2.1)는 애플리케이션 서버(1.80), 파일 서버(1.70), 문서 서버(1.60), 제 2 팩터 인증 서버(1.50), 메일 서버(1.40) 및 액티브 디렉토리 (1.30)와, 가상 윈도우즈 세션(1.20)에 액세스할 수 있다.
인증 및 프로비저닝 기능
도 3은 본 발명의 하나 이상의 실시예들에 따라, 네트워크 서비스로부터 획득된 세션 키들에 기초하여 사용자 장치에서 컨테이너-기반 관리를 위한 프로비저닝을 용이하게 하는 예시적인 프로세스에 대한 흐름도이다.
단계(3.10)에서, 사용자는 사용자 장치(1.1)에서 컨테이너를 개시한다.
단계 (3.12)에서, 컨테이너는 보안 게이트웨이(1.8)에 접속한다. 그 다음, 보안 게이트웨이(1.8)는 컨테이너와의 저레벨 연결을 설정한다. 컨테이너는 보안 게이트웨이 인증서를 보안 게이트웨이(1.8)으로 전송한다.
단계 (3.14)에서, 보안 게이트웨이(1.8)는 컨테이너의 보안 게이트웨이 인증서를 유효화한다.
검증이 실패하면, 단계 (3.17)에서 보안 게이트웨이(1.8)는 컨테이너에 대한 액세스를 거부하고 로그인을 중단한다.
보안 게이트웨이 인증서의 검증이 성공하면, 단계(3.16)에서, 장치는 클라이언트 인증서를 보안 게이트웨이(1.8)에 제시한다.
단계 (3.18)에서, 보안 게이트웨이(1.8)는 클라이언트가 알려진 클라이언트이고 신뢰되는지 여부에 관한 클라이언트 인증서의 검증을 수행한다.
검증이 실패하면, 단계 (3.17)에서, 보안 게이트웨이(1.8)는 컨테이너에 대한 액세스를 거부하고 로그인을 중단한다.
인증서의 검증이 성공하면, 단계(3.20)에서, 컨테이너는 장치가 프로비저닝되는지 여부를 결정한다.
장치가 프로비저닝되지 않은 경우, 단계(3.21)에서, 사용자 장치(1.1)는 장치 프로비저닝을 수행한다. 장치 프로비저닝은 도 4에서 보다 상세하게 설명된다.
장치가 프로비저닝되면, 단계(3.22)에서, 컨테이너는 장치 식별자 (장치 ID) 및 사용자 자격증명 (예를 들어, 사용자 이름 및 패스워드)을 보안 게이트웨이(1.8)에 제출한다.
단계(3.24)에서, 보안 게이트웨이(1.8)는 장치가 기업 서비스(1.20-1.80)에 액세스하는 것이 허용되는지를 결정하기 위해 장치 ID의 검증 (예를 들어, 플랫폼 서비스 구성요소(1.12)를 참조)을 수행한다.
유효성 검사가 실패하면 단계 3.17에서 보안 게이트웨이(1.8)은 컨테이너에 대한 액세스를 거부하고 로그인이 중지된다.
장치 ID의 유효성 검사가 성공하면, 단계 (3.30)에서, 보안 게이트웨이(1.8)는 플랫폼 서비스 구성요소(1.12)를 사용자 신임장으로 문의한다.
사용자 자격증명의 검증이 실패하면, 단계 (3.17)에서, 보안 게이트웨이(1.8)는 컨테이너에 대한 액세스를 거부하고 로그인을 중단한다.
사용자 자격증명이 유효한 경우, 단계 (3.32)에서, 보안 게이트웨이(1.8)는 사용자가 서비스들 (1.20-1.80)에 액세스할 자격이 있음을 결정하고 인가 토큰을 할당한다. 후속 데이터 요청에서, 사용자 장치(1.1) 또는 컨테이너는 요청 신뢰성을 확인하기 위해 기업 서비스(1.20-1.80)에 대한 모든 데이터 요청에 인증 토큰을 첨부한다.
도 4는 본 발명의 적어도 하나의 실시예에 따라 사용자 장치를 프로비저닝하기 위한 프로세스의 흐름도이다.
단계 (4.1)에서, 사용자 장치(1.1)는 설치시에 장치에 대응하는 고유 설치 식별자(설치 ID)를 생성한다. 사용자가 컨테이너를 제거하고 컨테이너를 다시 재설치하는 경우, 프로비저닝 프로세스가 반복되고 사용자 장치(1.1)는 상이한 설치 ID를 갖는 새로운 장치로서 취급된다.
단계 (4.2)에서, 사용자 장치(1.1)는 설치 ID의 생성을 개시하기 위해 프로비저닝 서비스(예를 들어, 보안 게이트웨이(1.8))에 접속한다.
단계 (4.3)에서, 사용자 장치(1.1)는 프로비저닝 서비스에 프로비저닝 인증서를 제공한다.
프로비저닝 인증서가 유효하지 않은 경우, 프로세스는 단계 (4.22)로 건너 뛰고 프로비저닝 프로세스가 종료된다.
프로비저닝 인증서가 유효한 경우, 단계 (4.4)에서, 사용자 장치(1.1)는 클라이언트 인증서를 프로비저닝 서비스에 제공한다.
클라이언트 인증서가 유효하지 않은 경우, 프로세스는 단계 (4.22)로 건너 뛰고 프로비저닝 프로세스가 종료된다.
클라이언트 인증서가 수락되면, 단계 (4.6)에서, 사용자 장치(1.1)는 사용자 자격증명을 프로비저닝 서비스에 제공한다.
단계 (4.7)에서, 프로비저닝 서비스는 플랫폼 서비스 구성요소(1.12)를 참조하여 사용자 자격증명이 유효한지를 결정한다.
사용자 자격증명이 유효하지 않은 경우, 프로세스는 단계 (4.22)로 진행하고 프로비저닝 프로세스가 종료된다.
사용자 자격증명이 수락되면, 단계(4.8)에서 프로비저닝 서비스 플랫폼은 구성요소 서비스 구성요소(1.12)를 서비스하여 사용자가 컨테이너를 사용할 자격이 있는지 여부를 결정한다.
사용자에게 자격이 부여되지 않으면, 프로세스는 단계 (4.22)로 건너 뛰고 프로비저닝 프로세스가 종료된다.
사용자에게 자격이 주어지면, 단계(4.9)에서 프로비저닝 서비스는 대역 외 인증에 대한 요청을 전송한다.
대역 외 유효성 검사가 유효하지 않은 경우, 프로세스는 단계 (4.22)로 건너 뛰고 프로비저닝 프로세스가 종료된다.
대역 외 검증이 수락되면, 단계 (4.14)에서 플랫폼 서비스 구성요소(1.12)는 고유하고 확실한 장치로서 고유 설치 ID를 등록한다.
단계(4.18)에서 프로비저닝 서비스는 프로비저닝 구성을 컨테이너에 전송한다. 단계(4.18) 후에 프로비저닝 프로세스가 완료된다.
컨테이너 기능
도 5는 본 발명의 하나 이상의 실시예에 따른, 예시적인 사용자 장치(예를 들어, 비-보안 장치 및 비-신뢰 장치) 상의 데이터 저장 아키텍쳐의 개략도이다.
일부 실시예에서, 사용자 장치(1.1)는 설치된 애플리케이션(5.1) 및 웹 브라우저(5.2)를 포함한다. 웹 브라우저(5.2)는 브라우저 캐시(5.21), URL (uniform resource locator) 캐시(5.22) 및 쿠키(5.23)를 포함한다.
일부 실시예에서, 사용자 장치(1.1)는 보안 컨테이너(5.3)를 포함한다. 보안 컨테이너 (5.3)는 보안 브라우저(5.4); 보안 기본 구성요소(5.5); 보안 RSS 뷰어(5.6); 보안 문서 뷰어(5.8)를 포함한다. 사용자 또는 기업 서비스(1.20-1.80)에 의해 제공된 데이터는 암호화된 저장소(5.9)에 저장되고 그 후 로컬 장치 저장소(5.7)에 저장된다. 일부 실시예에서, 암호화된 저장소(5.9)는 암호화된 파일 저장소, 암호화된 데이터베이스, 보안 저장소 암호화를 포함하는 구성요소의 세트를 포함한다. 암호화된 데이터베이스는 SQL Cypher를 기반으로 하며 사용자가 로그인할 때 만들어진다. 암호화는 AES-256 CBC를 사용하여 SHA512 HMAC의 10,000 (구성 가능한) PBKDF-2 반복에서 파생된, 128 비트 무작위 염(random salt)과 결합된, 사용자 ID 및 암호를 기반으로 하는 파생 256 비트 키를 사용하여 수행할 수 있다.
일부 실시예에서, 기본 애플리케이션 및 웹 애플리케이션은 각각의 데이터를 보안 저장소 내에서만 저장한다. 브라우저 캐시는 암호화된 파일 저장소에 저장된다. 다운로드한 모든 첨부 파일 및 파일은 암호화된 파일 저장소에 저장된다.
이들 실시예들 중 임의의 것을 구현함으로써, 사용자 장치(1.1)는 데이터가 이동중에 그리고 정지 상태에 있는 동안 데이터 취급의 모든 실시양상을 안전하게 할 수 있다.
도 6은 본 발명의 하나 이상의 실시예에 따른 예시적인 사용자 장치상의 네트워크 보안 구조의 개략도이다. 도 6에서, 사용자 장치(1.1)는 신뢰할 수 없는 장치이다. 데이터의 보안을 제공하기 위해, 사용자 장치(1.1)는 네트워크 인터페이스에 관한 보안 네트워크 리소스의 인증을 관리한다. 일부 실시예에서, 사용자 장치(1.1)는 설치된 애플리케이션 (6.1) 및 웹 브라우저 구성요소(6.2)를 포함한다. 설치된 애플리케이션(6.1) 및 웹 브라우저 구성요소(6.2)는 장치 네트워크 인터페이스(6.3)을 사용하여 임의의 기업 서비스(1.20-1.80)과 데이터를 교환한다.
일부 실시예에서, 사용자 장치(1.1)는 SSL 인증서를 적용하는 프록시 터널(6.9)을 통해 암호화되는 보안 브라우저(6.4); 기본 구성요소(6.5); 안전한 RSS(6.6); 가상 애플리케이션 뷰어 (6.7) 및 보안 문서(6.8)를 관리하는 보안 컨테이너(6.10)를 포함한다. 컨테이너로부터 전송되는 모든 데이터는 프록시 터널(6.9)을 통해 암호화되고, 그 후, 시스템(100)의 다른 구성요소 중 하나로 라우팅하기 위해 네트워크 인터페이스(6.3)에 번들링된다.
도 7은 본 발명의 하나 이상의 실시예에 따른, 장치 저장소 보안의 개략도이며, 어떻게 신뢰되지 않은 비-보안 에지 장치상의 보안 네트워크 리소스의 인증을 관리 하는지를 도시한다.
컨테이너 사용자 인터페이스
도 8A-8H는 본 발명의 적어도 일부 실시예에 따른 컨테이너의 예시적인 스크린 샷을 도시한다. 도 8a는 사용자 장치(1.1)의 컨테이너를 사용하여 실행되는 MICROSOFT® Outlook 클라이언트의 예시적인 스크린 샷이다. 도 8b는 사용자 장치(1.1)의 컨테이너를 사용하여 실행되는 SaaS 애플리케이션의 예시적인 스크린 샷이다. 도 8c는 사용자 장치(1.1)의 컨테이너를 사용하여 실행되는 PDF 뷰어의 예시적인 스크린 샷이다. 도 8D는 (사용자 장치(1.1)가 iOS를 실행하는 IPAD(등록 상표)인 경우) 사용자 장치(1.1)의 컨테이너를 사용하여 실행되는 맞춤형 WINDOWS 애플리케이션의 예시적인 스크린 샷이다. 도 8e는 사용자 장치(1.1)의 컨테이너를 사용하여 실행되는 보안 RSS 피드 뷰어의 예시적인 스크린 샷이다. 도 8F는 사용자 장치(1.1)의 컨테이너를 사용하여 실행되는 메인 프레임 뷰어의 예시적인 스크린 샷이다. 도 8G는 사용자 장치(1.1)의 컨테이너를 사용하여 실행되는 보안 문서 뷰어의 예시적인 스크린 샷이다. 도 8h는 사용자 장치(1.1)의 컨테이너를 사용하여 실행되는 제 3 자 웹 애플리케이션 뷰어의 예시적인 스크린 샷이다.
예시적 구현예
도 9는 본 발명의 하나 이상의 실시예에 따라 사용자 장치(1.1)에 맞춤형 그래픽 사용자 인터페이스를 선택적으로 제공하는 방법의 흐름도이다.
단계 901에서, 플랫폼 서비스 구성요소(1.12)는 VDI 서버(1.20)에 의해 제공되는 하나 이상의 서비스에 액세스하기 위해 사용자 장치(1.1)로부터 서비스 액세스 요청을 수신한다. 일부 실시예에서, 요청은 i) 제 2 컴퓨팅 장치의 사용자의 사용자 인증 특성(예를 들어, 역할 유형 또는 역할(role) 레벨), 및/또는 ii) 사용자 장치(1.1)의 장치 특성(예를 들어, 디스플레이 폼 팩터, 운영 체제)를 포함할 수 있다.
단계 902에서, 플랫폼 서비스 구성요소(1.12)는 서비스 액세스 요청을 VDI 서버(1.20)로 전송한다.
단계 903에서, 플랫폼 서비스 구성요소(1.12)는 VDI 서버(1.20)로부터 사용자 인터페이스 구성 파일을 수신한다.
단계 904에서, 플랫폼 서비스 구성요소(1.12)는 사용자 인증 특성 및/또는 장치 특성에 기초하여 사용자 인터페이스 구성 파일을 수정하여 하나 이상의 서비스에 선택적 액세스를 제공한다.
단계 905에서, 플랫폼 서비스 구성요소(1.12)는 수정된 사용자 인터페이스 구성 파일을 사용자 장치(1.1)에 전송하며, 수정된 사용자 인터페이스 구성 파일은, 사용자 장치(1.1)가 하나 이상의 서비스에 대한 선택적 액세스를 제공하는 수정된 사용자 인터페이스를 사용자 장치(1.1)가 디스플레이할 수 있도록, 사용자 장치(1.1)에 의해 실행되도록 구성된다.
추가적인 실시예들
일부 실시예에서, 컨테이너는 구성, 설정, 관리 및 문제 해결을 위한 포괄적 인 관리 포털(포털)을 포함한다. 일부 실시예에서, 보고 및 상세한 감사 도구가 또한 포털에 내장된다. 감사 도구(audit tools)는 컨테이너로부터의 모든 활동을 추적하는 데이터 집합과, 동시에 모든 사용자에 대해 모든 장치의 활동을 실시간으로 추적하는 플랫폼 서비스 구성요소(1.12)를 포함한다. 그런 다음 이 정보는 기업에 제공되어 더 많은 데이터 조정 및 상황화(contextualization)를 제품 내에 구현된 기업 애플리케이션 내에서 수행한다. 이 데이터는 사기, 중재, 프로세스 개선, 생산성 향상 및 기업의 가치있는 기타 기능을 중심으로 분석 및 추적 활동에 활용되도록 기업이 선택한 데이터 저장소에 기록할 수 있다.
신뢰되지 않는(비-신뢰), 보안되지 않은(비-보안) 및 관리되지 않는(비-관리) 임의의 장치를 보안함으로써, 시스템(100)은 또한 회사 네트워크 내의 관리 및 보안 과제에 대한 해결책을 제공한다. 대기업 내부의 일반적인 데스크톱은 운영 체제, 브라우저 및 수많은 보안 및 비-보안 맞춤형 및 기성품 애플리케이션으로 구성된다. 이러한 데스크톱의 관리 프로세스는 매우 복잡하고 비용이 많이 든다. 새로운 버전의 브라우저 및 O/S로 변경하려면 수백 개의 복잡한 기간 업무 (LOB) 애플리케이션을 다시 테스트하고 다시 작성할 필요가 있다. 이러한 데스크톱의 보안은 보장되지 않으며, 각 애플리케이션 및 애플리케이션 공급 업체는 데이터 또는 네트워크 트래픽을 보호하기 위해 무언가 다른 것을 수행하지만 일부는 보안을 유지하지 못한다. 일부 실시예에서, 시스템(100)은 IT 부서가 양방향 인증서 피닝에 의해 보안되는 단일 HTTPS 채널을 통해 기존 데스크톱 애플리케이션에 대한 모든 통신을 암호화하면서 데이터 센터 내에서 보안되어야하는 모든 데이터 및 리소스를 중앙 집중화할 수 있게 하여, 지리적으로 분산된 데스크톱의 업그레이드, 관리 및 유지 관리 필요성을 줄이다. 이를 통해 IT 부서는 해당 표준을 염두에 두고 개발되지 않은 애플리케이션에 대해서도 이러한 보안 표준을 보편적으로 적용할 수 있도록 특정 애플리케이션 데이터 필드 또는 페이지에 정책을 적용하기 위해, NIST와 같은, 데이터 보안 표준을 또한 활용할 수 있다.
일 실시예는, 애플리케이션에서 원래 구현되었을 수도 있는 더 많은 양의 세밀한 객체에 대한 애플리케이션 레벨에서 이용 가능한 액세스 제어 기능이 존재함을 보장한다. 보아야하는 문서는 승인되지 않은 한, 안전하게 장치 상에 문서를 남기지 않고 완료된다.
일부 실시예에서, 맞춤화된 애플리케이션 뷰는 컨텍스트 및 보안 요구 사항에 따라 제공될 수 있다. 시스템(100)이 원 애플리케이션에서 제공되는 것보다 미세한 입도의 객체 액세스 제어를 구현하는 것이 가능하다.
일부 실시예에서, 컨텍스트 멀티 팩터 에스컬레이션(contextual multifactor escalation)은 고유한 특징으로서, 컨테이너 내의 미세한 특징 및 기능의 최상부에서 액세스 제어를 가능하게한다. 예를 들어, 클라이언트 데이터에 액세스하기 위해 추가 인증을 프롬프트로 요구할 수 있다. 이 모든 것이, 애플리케이션 자체를 변경하지 않고 관리 포털에서 구성될 수 있다.
일 실시예는 기업 리소스에 대한 보안 액세스를 위한 시스템을 제공하며, 적어도 하나의 사용자 장치에 설치된 컨테이너 애플리케이션을 포함하되, 상기 컨테이너 애플리케이션은, 기존의 기업 인증 시스템을 사용하여 회사 네트워크에 인증하고; 신뢰할 수없는 장치로부터 회사 인트라넷 리소스에 대한 액세스를 제공하며; 양방향 인증서 피닝을 사용하여 장치와 회사 네트워크 서버간에 보안 HTTPS 연결을 구축하고; 사용자 자격증명을 수집하여 회사 인증 시스템에 안전하게 전달하며; 로그온한 사용자에게 맞는 정책 및 배치 구성을 불러오고; 컨테이너 정책 시행 시스템을 통해 구성된 정책을 시행한다.
적어도 하나의 실시예에서, 하나 이상의 프로세서 및 메모리 (예를 들어, 하나 이상의 비 휘발성 저장 장치)를 갖는 하나 이상의 컴퓨터가 포함된다. 일부 실시예에서, 메모리 또는 메모리의 컴퓨터 판독 가능 저장 매체는 본 명세서에 개시된 다양한 시스템 및 방법을 제어하고 실행하기 위한 프로세서를 위한 프로그램, 모듈 및 데이터 구조 또는 그 서브세트를 저장한다. 일 실시예에서, 프로세서에 의해 실행될 때, 여기에 개시된 방법 중 하나 이상을 수행하는 컴퓨터 실행 가능 명령어가 저장된 비 일시적 컴퓨터 판독 가능 저장 매체가 구현된다.
당 업자는 본 발명의 광범위한 개념으로부터 벗어남이 없이 상기에 도시되고 설명된 예시적인 실시예에 변경이 가해질 수 있음을 이해할 것이다. 따라서, 본 발명은 도시되고 설명된 예시적인 실시예들에 한정되지 않으며, 청구 범위에 의해 정의된 바와 같은 본 발명의 사상 및 범위 내의 변경들을 커버하도록 의도된다. 예를 들어, 예시적인 실시예의 특정 특징은 청구된 발명의 일부일 수도 아닐 수도 있으며, 개시된 실시예의 특징은 결합될 수 있다. 본원에서 특별히 언급하지 않는 한, 용어 "a", "an" 및 "the"는 하나의 요소에 한정되지 않고 "적어도 하나"를 의미하는 것으로 읽어야 한다.
본 발명의 도면 및 설명 중 적어도 일부는 본 발명의 명확한 이해와 관련된 요소들에 초점을 맞추기 위해 단순화되었고, 명료성을 위해 다른 요소들을 제거하였으나, 당 업자는 또한 본 발명의 일부를 포함할 수 있음을 이해할 것이다. 그러나, 이러한 요소들이 당해 기술 분야에 잘 알려져 있으며, 반드시 본 발명의 더 나은 이해를 돕는 것은 아니기 때문에, 그러한 요소에 대한 설명이 본 명세서에 제공되지 않는다.
또한, 방법이 본 명세서에 설명된 단계들의 특정 순서에 의존하지 않는 한, 단계들의 특정 순서는 청구항에 대한 제한으로 해석되어서는 안된다. 본 발명의 방법에 관한 청구 범위는 기재된 순서로 단계를 수행하는 것으로 제한되어서는 안되며, 당 업자는 단계들이 본 발명의 사상 및 범위 내에서 변경될 수 있고 그래도 머무를 수도 있음을 이해할 것이다.

Claims (15)

  1. 맞춤화된 그래픽 사용자 인터페이스의 선택적 제공 방법에 있어서, 상기 방법은 제 1 컴퓨팅 장치에서,
    제 3 컴퓨팅 장치에 의해 제공되는 하나 이상의 서비스에 액세스하기 위한 서비스 액세스 요청을 제 2 컴퓨팅 장치로부터 수신하는 단계 - 상기 요청은 상기 제 2 컴퓨팅 장치의 사용자의 인증 특성을 포함함 - 와,
    상기 서비스 액세스 요청을 상기 제 3 컴퓨팅 장치로 전달하는 단계와,
    상기 하나 이상의 서비스에 대한 액세스를 제공하는 사용자 인터페이스를 상기 제 2 컴퓨팅 장치에 의해 디스플레이할 수 있도록 상기 제 2 컴퓨팅 장치에 의해 실행되도록 구성되는 사용자 인터페이스 구성 파일을, 상기 제 3 컴퓨팅 장치로부터 수신하는 단계와,
    상기 하나 이상의 서비스에 선택적 액세스를 제공하기 위해 상기 사용자 인증 특성에 기초하여 상기 사용자 인터페이스 구성 파일을 수정하는 단계와,
    상기 수정된 사용자 인터페이스 구성 파일을 상기 제 2 컴퓨팅 장치에 전송하는 단계 - 상기 수정된 사용자 인터페이스 구성 파일은 상기 하나 이상의 서비스에 대한 선택적 액세스를 제공하는 수정된 사용자 인터페이스를 상기 제 2 컴퓨팅 장치에 의해 디스플레이할 수 있도록 상기 제 2 컴퓨팅 장치에 의해 실행되도록 구성됨 - 를 포함하는
    선택적 제공 방법.
  2. 제 1 항에 있어서,
    상기 제 2 컴퓨팅 장치는 클라이언트 장치이고, 상기 제 3 컴퓨팅 장치는 가상 데스크톱 인프라스트럭처 서버인 것을 특징으로 하는 방법.
  3. 제 1 항에 있어서, 상기 요청은 상기 제 2 컴퓨팅 장치의 컴퓨팅 장치 특성을 포함하고, 상기 방법은,
    상기 제 2 컴퓨팅 장치의 컴퓨팅 장치 특성에 기초하여 사용자 인터페이스 구성 파일을 수정하는 단계를 더 포함하는, 방법.
  4. 제 3 항에 있어서, 상기 컴퓨팅 장치 특성은, i) 상기 제 2 컴퓨팅 장치의 운영 체제 및 ii) 상기 제 2 컴퓨팅 장치의 디스플레이 스크린 폼 팩터 특성 중 적어도 하나를 포함하는, 방법.
  5. 제 1 항에 있어서, 상기 제 1 컴퓨팅 장치는 상기 서비스 액세스 요청을 수신하고, 상기 보안 하이퍼 텍스트 전송 프로토콜(HTTPS)을 사용하여 상기 제 2 컴퓨팅 장치에 상기 수정된 사용자 인터페이스 구성을 전송하는, 방법.
  6. 제 1 항에 있어서,
    보안 컨테이너를 사용하여 상기 제 2 컴퓨팅 장치에서, 상기 하나 이상의 서비스에 대한 선택적 액세스를 제공하는 상기 수정된 사용자 인터페이스를 디스플레이하는 단계를 더 포함하는, 방법.
  7. 제 6 항에 있어서,
    상기 수정된 사용자 인터페이스를 통해 상기 사용자에 의해 제공된 데이터를 상기 제 2 컴퓨팅 장치의 로컬 저장소에 저장하는 단계와,
    상기 제 2 컴퓨팅 장치의 로컬 저장소에서, 상기 수정된 사용자 인터페이스를 통해 사용자에 의해 요청된 데이터에 액세스하는 단계를 더 포함하며,
    상기 로컬 저장소는 암호화되는 것을 특징으로 하는 방법.
  8. 제 6 항에 있어서,
    상기 제 2 컴퓨팅 장치에서 로컬 애플리케이션 사용자 인터페이스를 디스플레이하는 애플리케이션을 실행하는 단계와,
    상기 보안 컨테이너를 사용하여 상기 제 2 컴퓨팅 장치에서 상기 로컬 애플리케이션 사용자 인터페이스를 디스플레이하는 단계를 더 포함하는, 방법.
  9. 제 8 항에 있어서,
    상기 제 2 컴퓨팅 장치의 로컬 저장소에서, 상기 로컬 애플리케이션 사용자 인터페이스를 통해 상기 사용자에 의해 제공된 데이터를 저장하는 단계와,
    상기 제 2 컴퓨팅 장치의 로컬 저장소에서, 상기 로컬 애플리케이션 사용자 인터페이스를 통해 상기 사용자에 의해 요청된 데이터에 액세스하는 단계를 더 포함하며,
    상기 로컬 저장소는 암호화되는 것을 특징으로 하는 방법.
  10. 제 1 항에 있어서, 상기 하나 이상의 서비스에 대한 선택적 액세스를 제공하는 단계는, i) 상기 하나 이상의 서비스의 일 특징에 대한 액세스를 제한하는 단계와, ii) 상기 하나 이상의 서비스 중 적어도 하나의 서비스에 대한 액세스를 제한하는 단계 중 적어도 하나를 포함하는, 방법.
  11. 제 1 항에 있어서,
    상기 제 2 컴퓨팅 장치에 암호화된 세션 키를 제공함으로써 상기 제 1 컴퓨팅 장치와 상기 제 2 컴퓨팅 장치 간에 암호화된 세션을 호출하는 단계 - 상기 암호화된 세션 키는 상기 암호화된 세션에 대해 고유함 - 를 더 포함하는, 방법.
  12. 제 11 항에 있어서,
    상기 수정된 사용자 인터페이스를 통해 상기 사용자에 의해 제공된 데이터를, 상기 암호화된 세션 키를 사용하여 상기 제 2 컴퓨팅 장치의 로컬 저장소에 저장하는 단계와,
    상기 암호화된 세션 키를 사용하여 상기 제 2 컴퓨팅 장치의 로컬 저장소에서, 상기 수정된 사용자 인터페이스를 통해 사용자가 요청한 데이터에 액세스하는 단계를 더 포함하는 방법.
  13. 제 11 항에 있어서,
    상기 암호화된 세션의 중단시 상기 암호화된 세션 키를 삭제하는 단계를 더 포함하는, 방법.
  14. 제 1 컴퓨팅 장치에서 프로세서에 의해 실행될 때, 제 1 항 내지 제 13 항 중 어느 한 항의 방법의 단계들을 수행하는 컴퓨터 실행 가능 명령어들을 저장한 비-일시적 컴퓨터 판독 가능 저장 매체.
  15. 시스템에 있어서,
    제 1 컴퓨팅 장치에서,
    적어도 하나의 프로그램을 저장하도록 각각 동작 가능한 하나 이상의 메모리 유닛과,
    상기 적어도 하나의 메모리 유닛에 통신가능하게 연결되는 적어도 하나의 프로세서를 포함하며,
    상기 적어도 하나의 프로그램은, 상기 적어도 하나의 프로세서에 의해 실행될 때, 제 1 항 내지 제 13 항 중 어느 한 항에 따른 방법의 단계들을 상기 적어도 하나의 프로세서에 의해 수행하게 하는
    시스템.
KR1020177035263A 2015-05-07 2016-05-06 비-관리 비-보안 장치에서의 리소스 액세스 및 배치를 위한 안전한 컨테이너 플랫폼 KR20180002841A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201562158337P 2015-05-07 2015-05-07
US62/158,337 2015-05-07
PCT/US2016/031300 WO2016179536A1 (en) 2015-05-07 2016-05-06 Secure container platform for resource access and placement on unmanaged and unsecured devices

Publications (1)

Publication Number Publication Date
KR20180002841A true KR20180002841A (ko) 2018-01-08

Family

ID=57217822

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177035263A KR20180002841A (ko) 2015-05-07 2016-05-06 비-관리 비-보안 장치에서의 리소스 액세스 및 배치를 위한 안전한 컨테이너 플랫폼

Country Status (9)

Country Link
US (1) US11115211B2 (ko)
EP (2) EP3292475B1 (ko)
JP (1) JP2018521431A (ko)
KR (1) KR20180002841A (ko)
CN (1) CN108027799A (ko)
AU (1) AU2016258176A1 (ko)
CA (1) CA2985173A1 (ko)
HK (1) HK1253010A1 (ko)
WO (1) WO2016179536A1 (ko)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2542175B (en) * 2015-09-10 2019-12-04 Openwave Mobility Inc Intermediate network entity
US10516653B2 (en) 2016-06-29 2019-12-24 Airwatch, Llc Public key pinning for private networks
US11605037B2 (en) * 2016-07-20 2023-03-14 Fisher-Rosemount Systems, Inc. Fleet management system for portable maintenance tools
US10438019B2 (en) 2017-05-04 2019-10-08 Microsoft Technology Licensing, Llc Cross container user model
US10587582B2 (en) * 2017-05-15 2020-03-10 Vmware, Inc Certificate pinning by a tunnel endpoint
US11177963B2 (en) * 2017-12-12 2021-11-16 Thales Dis France Sa Method for authenticating a user based on an image relation rule and corresponding first user device, server and system
US11381575B2 (en) * 2019-05-03 2022-07-05 Microsoft Technology Licensing, Llc Controlling access to resources of edge devices
CN110213274B (zh) * 2019-05-31 2022-06-21 深信服科技股份有限公司 文件传输方法、装置、设备及计算机可读存储介质
US11546334B2 (en) * 2019-07-29 2023-01-03 Citrix Systems, Inc. Client device configuration for remote digital workspace access
US11182995B1 (en) * 2019-11-25 2021-11-23 Wells Fargo Bank, N.A. Systems and methods for remotely accessing secured spaces
US11449625B2 (en) * 2021-01-18 2022-09-20 Vmware, Inc. Optimized directory enumeration and data copy for client drive redirection in virtual desktops
CN114511970A (zh) * 2022-01-07 2022-05-17 湖南省烟草公司怀化市公司 一种智助烟仓

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5878258A (en) 1996-05-06 1999-03-02 Merrill Lynch, Pierce, Fenner & Smith Seamless application interface manager
US6327628B1 (en) * 2000-05-19 2001-12-04 Epicentric, Inc. Portal server that provides a customizable user Interface for access to computer networks
JP2003069547A (ja) * 2001-08-29 2003-03-07 Fujitsu Ltd マルチキャスト通信システム
US7062502B1 (en) 2001-12-28 2006-06-13 Kesler John N Automated generation of dynamic data entry user interface for relational database management systems
US7577907B2 (en) * 2004-11-15 2009-08-18 Sap, Aktiengesellschaft System and method for dynamically constructing synchronized business information user interfaces
US8364845B2 (en) 2005-05-19 2013-01-29 Wyse Technology Inc. Method and system for thin client configuration
US20070078705A1 (en) * 2005-09-30 2007-04-05 Timothy Abels Virtualizing portals for electronic commerce
CN107018171A (zh) * 2007-05-03 2017-08-04 三维实验室公司 远程配置便携式设备的用户界面的方法
US7886050B2 (en) * 2007-10-05 2011-02-08 Citrix Systems, Inc. Systems and methods for monitoring components of a remote access server farm
US8850525B1 (en) * 2008-09-17 2014-09-30 United Services Automobile Association (Usaa) Access control center auto configuration
US8370509B2 (en) * 2009-04-09 2013-02-05 Alcatel Lucent Identity management services provided by network operator
US20100275200A1 (en) * 2009-04-22 2010-10-28 Dell Products, Lp Interface for Virtual Machine Administration in Virtual Desktop Infrastructure
US8468455B2 (en) * 2010-02-24 2013-06-18 Novell, Inc. System and method for providing virtual desktop extensions on a client desktop
EP2548132A4 (en) 2010-03-19 2016-11-09 Siemens Healthcare Diagnostics MODULAR DIAGNOSTIC INSTRUMENT WORKSTATION ARCHITECTURE AND METHOD
US9189228B2 (en) 2011-07-01 2015-11-17 Adobe Systems Incorporated Systems and methods for developing and testing electronic content using multiple devices
US9529996B2 (en) * 2011-10-11 2016-12-27 Citrix Systems, Inc. Controlling mobile device access to enterprise resources
CN102438216B (zh) * 2011-12-26 2013-11-20 郑州信大捷安信息技术股份有限公司 增强智能手机短消息、电子邮件和语音通信安全性的方法
US20140108793A1 (en) 2012-10-16 2014-04-17 Citrix Systems, Inc. Controlling mobile device access to secure data
US20140122875A1 (en) * 2012-10-31 2014-05-01 Ubs Ag Container-based management at a user device
CN103812829B (zh) * 2012-11-08 2018-01-19 华为技术有限公司 一种提高远程桌面安全性的方法、远程桌面服务器及系统
US9355223B2 (en) 2013-03-29 2016-05-31 Citrix Systems, Inc. Providing a managed browser
CN103810021B (zh) * 2014-02-19 2017-10-24 福建升腾资讯有限公司 一种vdi下基于宿主机的虚拟桌面显示方法及其系统

Also Published As

Publication number Publication date
EP3292475B1 (en) 2020-07-08
AU2016258176A1 (en) 2017-11-30
CN108027799A (zh) 2018-05-11
WO2016179536A1 (en) 2016-11-10
US11115211B2 (en) 2021-09-07
EP3292475A4 (en) 2018-10-31
JP2018521431A (ja) 2018-08-02
US20180123795A1 (en) 2018-05-03
EP3828718A1 (en) 2021-06-02
CA2985173A1 (en) 2016-11-10
HK1253010A1 (zh) 2019-06-06
EP3292475A1 (en) 2018-03-14

Similar Documents

Publication Publication Date Title
US11115211B2 (en) Secure container platform for resource access and placement on unmanaged and unsecured devices
US20210336946A1 (en) Single Sign-On Access to Cloud Applications
US9521147B2 (en) Policy based application management
EP3422237B1 (en) Policy-based application management
US8806570B2 (en) Policy-based application management
US9043480B2 (en) Policy-based application management
JP2016513851A (ja) ネットワーク接続時に安全なアプリケーションを識別するためのシステム及び方法
US11812273B2 (en) Managing network resource permissions for applications using an application catalog
Mini Analysis of cloud security