分散セキュアコンテンツ管理システムに対する認証
本発明は、分散セキュアコンテンツ管理システムのための認証に関する。いくつかの態様において、インターネットを介して利用可能なリソースにアクセスする要求が、セキュリティコンポーネントにルーティングされる。セキュリティコンポーネントは、インターネット全体に分散される複数のセキュリティコンポーネントのうちの1つであり、企業に関連するエンティティの認証に責任を負う。セキュリティコンポーネントは、エンティティに使用する認証プロトコルを判定し、次に、エンティティを認証する。エンティティが認証されると、エンティティは、フォワードプロキシを使用することが許可される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、分散セキュアコンテンツ管理システムに対する認証に関する。
【背景技術】
【0002】
従来、企業は、種々のセキュリティ製品およびセキュリティ電化製品に含まれる機能を使用して、会社の情報技術資産を保護してきた。そのような機能には、例えば、企業に出入りするネットワークトラフィックをマルウェア等の悪質なコードに対してフィルタリングすること、不適切な外部のコンテンツへのアクセスを制限すること、企業ネットワークへの攻撃および他の侵入を阻止すること、等が含まれる。
【0003】
可動式、家庭用、および他のコンピュータデバイスの可用性の広がりに伴い、従業員は、社内ネットワークの外部に仕事を持ちだすようになった。企業ネットワークに対して与えられるものと同じ保護レベルを取得し、かつ、企業ネットワークに対して与えられるようなポリシーを強化するために、そのような従業員に対して、企業ネットワークにログオンまたはアクセスし、かつ、企業ネットワークを介して企業ネットワーク外のリソースにアクセスする、ことを要求する企業がある。種々の理由により、これは、ローミングユーザが企業ネットワークに近接していないときは、最適ではなくなる。
【0004】
本明細書において請求される発明は、任意の不都合を解決する実施形態、または、上述のような実施形態においてのみ作動する実施形態、に限定されない。むしろ、本背景技術は、本明細書に記載されるいくつかの実施形態を実践できる一例の技術領域を例示するためにのみ与えられる。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明は、上述したような問題に鑑みてなされたものであり、その目的とするところは、分散セキュアコンテンツ管理システムに対する認証を提供することにある。
【課題を解決するための手段】
【0006】
簡潔に説明すると、本発明のいくつかの態様は、分散セキュアコンテンツ管理システムに対する認証に関する。いくつかの態様において、インターネットを介して利用可能なリソースにアクセスする要求が、セキュリティコンポーネントにルーティングされる。セキュリティコンポーネントは、インターネット全体に分散される複数のセキュリティコンポーネントのうちの1つであり、企業に関連するエンティティの認証に責任を負う。セキュリティコンポーネントは、エンティティに使用する認証プロトコルを判定し、次に、エンティティを認証する。エンティティが認証されると、エンティティは、フォワードプロキシを使用することが許可される。
【0007】
この説明は、以下の「発明を実施するための形態」でさらに述べる本発明のいくつかの態様を簡潔に確認するために提供するものである。この説明は、本発明の重要な特徴または主要な特徴を確認することを意図しておらず、本発明の範囲を制限するために使用されることを意図してもいない。
【0008】
「本明細書に記載される発明」という表現は、特に明示しない限り、「発明を実施するための形態」において記載される発明に言及する。用語「態様」は、「少なくとも1つの態様」として解釈されるべきである。「発明を実施するための形態」に記載される発明の態様を確認することは、本発明の重要な特徴および主要な特徴を確認することを意図していない。
【0009】
上述した態様および本明細書に記載される発明の他の態様は、例として示すものであり、添付の図面にも限定されない。なお、複数の図面において、同様の数字は同様の要素を示す。
【図面の簡単な説明】
【0010】
【図1】本発明のいくつかの態様を組み込むことができる例示の汎用コンピュータ環境を表すブロック図である。
【図2】本発明のいくつかの態様を実装することができる例示の環境を概して表すブロック図である。
【図3】本発明のいくつかの態様に従って、セキュリティコンポーネントと共に構成される例示の装置を表すブロック図である。
【図4】本発明のいくつかの態様に従って、認証と連動して起こる動作を概して表すフロー図である。
【図5】本発明のいくつかの態様に従って、認証と連動して起こる動作を概して表すフロー図である。
【発明を実施するための形態】
【0011】
(例示的動作環境)
図1は、本発明のいくつかの態様を実行することができる適切なコンピュータシステム環境100の例を示す。コンピュータシステム環境100は、適切なコンピュータ環境のほんの一例であり、本発明のいくつかの態様の使用または機能の範囲について任意の制限を示唆することは意図しない。また、コンピュータ環境100は、例示の動作環境100において示されるコンポーネントの任意の1つのまたは組み合わせに関する、任意の依存または要求を有するものとして解釈されるものでもない。
【0012】
本発明のいくつかの態様は、多数の他の汎用のまたは専用のコンピュータシステム環境または構成で動作可能である。本発明のいくつかの態様での使用に適切な周知のコンピュータシステム、環境、および/または構成の例には、パーソナルコンピュータ、サーバコンピュータ、ハンドヘルドまたはラップトップのデバイス、マルチプロセッサシステム、マイクロコントローラベースのシステム、セットトップボックス、プログラム可能家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、任意の上記のシステムまたはデバイスを含む分散コンピュータ環境、等が含まれるがこれに限定されない。
【0013】
本発明のいくつかの態様を、プログラムモジュール等の、コンピュータにより実行されているコンピュータ実行可能命令の一般的コンテキストにおいて記載することができる。一般に、プログラムモジュールには、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造、等が含まれ、これらは、特定のタスクを実行し、または、特定の抽象データ型を実装する。本発明のいくつかの態様はまた、通信ネットワークを介してリンクされるリモート処理デバイスによりタスクが実行される、分散コンピュータ環境において実践することができる。分散コンピュータ環境において、プログラムモジュールは、メモリストレージデバイスを含む、ローカルおよびリモート両方のコンピュータ記憶媒体に置くことができる。
【0014】
図1を参照すると、本発明のいくつかの態様を実装するための例示のシステムには、コンピュータ110の形式の汎用コンピュータデバイスが含まれる。コンピュータ110のコンポーネントには、プロセシングユニット120、システムメモリ130、および、システムメモリを含む種々のシステムコンポーネントをプロセシングユニット120に連結するシステムバス121を含むことができるが、これに限定されない。システムバス121は、メモリバスまたはメモリコントローラ、周辺機器用バス、および様々なバスアーキテクチャのうちの任意のものを使用するローカルバスを含む、いくつかのタイプのバス構造のうちの任意のものとすることができる。制限ではなく例として、そのようなアーキテクチャには、ISA(Industry Standard Architecture)バス、MCA(Micro Channel Architecture)バス、EISA(Enhanced ISA)バス、VESA(Video Electronics Standards Association)ローカルバス、メザニン(Mezzanine)バスとしても既知のPCI(Peripheral Component Interconnect)バス、PCI−X(Peripheral Component Interconnect Extended)バス、AGP(Advanced Graphics Port)、および、PCIe(PCI express)が含まれる。
【0015】
コンピュータ110には典型的には、様々なコンピュータ可読媒体が含まれる。コンピュータ可読媒体は、コンピュータ110によりアクセス可能な、かつ、揮発性媒体および不揮発性媒体、ならびに、着脱可能媒体および着脱不可能媒体を含む、任意の利用可能な媒体とすることができる。制限ではなく例として、コンピュータ可読媒体には、コンピュータ記憶媒体および通信媒体を備えることができる。
【0016】
コンピュータ記憶媒体には、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータ等の情報を記憶するための任意の方法または技術で実装される、揮発性および不揮発性の、着脱可能および着脱不可能な媒体が含まれる。コンピュータ記憶媒体には、RAM、ROM、EEPROM、フラッシュメモリもしくは他のメモリ技術、CD−ROM、DVD(digital versatile disc)もしくは他の光ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置もしくは他の磁気ストレージデバイス、または、所望の情報の記憶に使用可能で、かつ、コンピュータ110によりアクセス可能な、任意の他の媒体、が含まれるがこれに限定されない。
【0017】
通信媒体は、典型的には、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータを、搬送波または他の転送機構等の変調データ信号で具現化し、かつ、任意の情報配信媒体を含む。「変調データ信号」という用語には、1つまたは複数のその特徴が信号における情報を符号化するような方法などで設定または変更される信号、という意味がある。制限ではなく例として、通信媒体には、有線ネットワークまたは直接線式接続等の有線媒体、および、音響、RF、赤外線、および、他の無線媒体等の無線媒体、が含まれる。上記の任意のものの組み合わせもまた、コンピュータ可読媒体の範囲内に含まれるべきある。
【0018】
システムメモリ130には、ROM(read only memory)131およびRAM(random access memory)132等の、揮発性および/または不揮発性メモリの形式のコンピュータ記憶媒体が含まれる。基本入出力システム133(BIOS)は、起動時等にコンピュータ110内の要素間での情報の転送の支援をする基本ルーチンを含有し、典型的には、ROM131に記憶される。RAM132は典型的には、プロセシングユニット120により、直ちにアクセル可能である、および/または現在操作されている、データおよび/またはプログラムモジュールを含有する。制限ではなく例として、図1には、オペレーティングシステム134、アプリケーションプログラム135、他のプログラムモジュール136、およびプログラムデータ137を例示する。
【0019】
コンピュータ110にはまた、他の着脱可能/着脱不可能、揮発性/不揮発性コンピュータ記憶媒体を含むことができる。単なる例として、図1には、着脱不可能、不揮発性磁気媒体に読み書きするハードディスクドライブ141、着脱可能、不揮発性磁気ディスク152に読み書きする磁気ディスクドライブ151、および、CD−ROMまたは他の光媒体等の、着脱可能、不揮発性光ディスク156に読み書きする光ディスクドライブ155を例示する。例示の動作環境で使用可能な他の着脱可能/着脱不可能、揮発性/不揮発性コンピュータ記憶媒体には、磁気テープカセット、フラッシュメモリカード、DVD(digital versatile disc)、他の光ディスク、デジタルビデオテープ、ソリッドステートRAM、ソリッドステートROM等、が含まれるがこれに限定されない。ハードディスクドライブ141は典型的には、インターフェース140等の着脱不可能メモリインターフェースを介してシステムバス121に接続され、磁気ディスクドライブ151および光ディスクドライブ155は典型的には、インターフェース150等の着脱可能メモリインターフェースによりシステムバス121に接続される。
【0020】
上記で検討し図1において例示した、ドライブおよびその関連するコンピュータ記憶媒体は、コンピュータ可読命令、データ構造、プログラムモジュール、およびコンピュータ110の他のデータの記憶場所を提供する。図1において、例えば、ハードディスクドライブ141は、オペレーティングシステム144、アプリケーションプログラム145、他のプログラムモジュール146、およびプログラムデータ147を記憶するものとして例示される。なお、これらのコンポーネントは、オペレーティングシステム134、アプリケーションプログラム135、他のプログラムモジュール136、およびプログラムデータ137と同じでも異なっていても良い。オペレーティングシステム144、アプリケーションプログラム145、他のプログラムモジュール146、およびプログラムデータ147には、本明細書においては異なる番号が与えられ、それらが少なくとも異なる複製品であることを例示する。ユーザは、キーボード162、および、一般にはマウス、トラックボール、またはタッチパッドと称されるポインティングデバイス161等の入力デバイスを介して、コマンドおよび情報をコンピュータ20に入力することができる。他の入力デバイス(図示せず)には、マイク、ジョイスティック、ゲームパッド、パラボラアンテナ、スキャナ、タッチスクリーン、ライティングタブレット等を含むことができる。これらおよび他の入力デバイスは、システムバスに連結されるユーザ入力インターフェース160を介してプロセシングユニット120に接続されることが多いが、他のインターフェースおよびパラレルポート、ゲームポート、またはUSB(universal serial bus)等のバス構造により接続することができる。モニタ191または他のタイプのディスプレイデバイスもまた、ビデオインターフェース190等のインターフェースを介してシステムバス121に接続される。モニタに加えて、コンピュータにはまた、スピーカ197およびプリンタ196等の他の周辺出力デバイスを含むことができ、これらは、出力周辺インターフェース190を介して接続させることができる。
【0021】
コンピュータ110は、リモートコンピュータ180等の1つまたは複数のリモートコンピュータへの論理接続を使用して、ネットワーク化環境において動作することができる。リモートコンピュータ180は、図1にはメモリストレージデバイス181のみが例示されるが、パーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ページャ、ピアデバイス、または他の共通ネットワークノードとすることができ、かつ、典型的には、コンピュータ110に関して上述される要素のうちの多くまたは全てを含む。図1に示す論理接続には、ローカルエリアネットワーク(LAN)171およびワイドエリアネットワーク(WAN)173が含まれるが、他のネットワークを含むこともできる。そのようなネットワーク環境は、事務所、企業規模のコンピュータネットワーク、イントラネット、およびインターネットにおいて一般的なものである。
【0022】
LANネットワーク環境において使用されるとき、コンピュータ110は、ネットワークインターフェースまたはアダプタ170を介してLAN171に接続される。WANネットワーク環境において使用されるとき、コンピュータ110には、モデム172またはインターネット等のWAN173上の通信を確立する他の手段を含むことができる。モデム172は、内部のものでも外部のものでも良く、ユーザ入力インターフェース160または他の適切な機構を介してシステムバス121に接続することができる。ネットワーク化環境において、コンピュータ110に関して示されるプログラムモジュールまたはその一部を、リモートメモリストレージデバイスに記憶することができる。制限ではなく例として、図1にはメモリデバイス181上に存在するリモートアプリケーションプログラム185を例示する。図示のネットワーク接続は例示のものであり、コンピュータ間の通信リンクを確立する他の手段を使用することができることは理解されるであろう。
【0023】
(認証)
先に述べたように、従業員は、ビジネスネットワークの外部で仕事をすることが多い。しかし、同時に、会社は、同じ保護レベルの提供、ユーザの動作に基づく報告の提供が可能であること、かつ、ユーザがビジネスネットワーク使用してリモートネットワークのリソースにアクセスするときに適用されるものと同じポリシーを適用すること、を望んでいる。
【0024】
本発明のいくつかの態様に従うと、クラウド内に配置される1つまたは複数のフォワードプロキシが提供される。論理的には、フォワードプロキシは、クライアントとクライアントがアクセスを試みているネットワークリソースとの間に位置する。フォワードプロキシは、クライアントからの要求を受け取り、クライアントへの接続性を要求されるリソースに提供し、必要に応じて、上記で確認された他の機能をこれらの要求に提供することができる。フォワードプロキシは、エンティティを認証しそれに関連する動作のログを取る、1つまたは複数のセキュリティコンポーネントと関連付けられることが可能である。これらのコンポーネントは、様々な認証プロトコルを使用してエンティティを認証することができ、かつ、企業に設置される識別システムと通信し、この認証を実行することができる。コンポーネントはまた、識別子を取得してエンティティの動作のログを取る際に使用することができる。
【0025】
セキュリティコンポーネントと関連付けられるということは、フォワードプロキシがセキュリティコンポーネントの全てまたは一部を含むことができる、または、セキュリティコンポーネントの全てまたは一部をフォワードプロキシの外部に設置することができる、ということを意味する。
【0026】
図2は、本発明のいくつかの態様が実装される例示の環境を概して表すブロック図である。図2に例示する環境には、ローミングデバイス205から206、家庭用デバイス207、企業デバイス208、ネットワークアクセスデバイス209、および識別システム210(以下、まとめてエンティティと称する場合がある)を含むことができ、かつ、他のエンティティ(図示せず)を含むことができる。種々のエンティティが、企業内ネットワークおよび社内ネットワークならびにネットワーク215を含む種々のネットワークを介して通信することができる。
【0027】
一実施形態において、ネットワーク215は、インターネットを備えることができる。一実施形態において、ネットワーク215には、1つまたは複数のローカルエリアネットワーク、ワイドエリアネットワーク、直接接続、上記のものの何らかの組み合わせ、等を備えることができる。
【0028】
デバイス205から208には、1つまたは複数の汎用または専用のコンピュータデバイスを備えることができる。そのようなデバイスには、例えば、パーソナルコンピュータ、サーバコンピュータ、ハンドヘルドまたはラップトップのデバイス、マルチプロセッサシステム、マイクロコントローラベースのシステム、セットトップボックス、プログラム可能家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、PDA(personal digital assistant)、ゲームデバイス、プリンタ、セットトップ、メディアセンターを含む電化製品または他の電化製品、自動車に埋め込まれるまたは取り付けられるコンピュータデバイス、他のモバイルデバイス、任意の上記のシステムまたはデバイスを含む分散コンピュータ環境、等を含むことができる。1つまたは複数のデバイス205から208として動作するよう構成される例示のデバイスは、図1のコンピュータ110を備える。
【0029】
ローミングデバイス205から206には、ある場所からある場所へ運ばれるコンピュータデバイスを備えることができる。例えば、従業員は、ノートブックコンピュータを出張に持っていくことができる。別の例として、従業員は、携帯電話、PDA,または従業員がほとんどどこででも使用できる何らかの他のハンドヘルドデバイスを持って移動することができる。
【0030】
家庭用デバイス207には、例えば、従業員の家に設置されるパーソナルコンピュータまたは他の電子デバイスを含むことができる。
【0031】
企業デバイス208には、1つまたは複数の会社の場所に設置され、かつビジネスネットワークに接続されるデバイスを含むことができる。例えば、企業デバイス208には、ワークステーション、サーバ、ルータ、モバイルデバイス、および、先に述べたものとは別の汎用および専用のコンピュータデバイスを含むことができる。
【0032】
ネットワークアクセスデバイス209には、許可、拒否、プロキシ、伝送、キャッシュ、または、コンピュータトラフィック上の他の動作の実行、を行うよう構成される、1つまたは複数のデバイスおよび/またはソフトウェアコンポーネントを備えることができる。ファイアウォールとして構成されて、ネットワークアクセスデバイス209は、企業デバイス208および識別システム210、ならびにネットワークアクセスデバイス209に接続される他のデバイス(ある場合)、に対する保護を提供するよう動作することができる。ネットワークアクセスデバイス209は、仮想プライベートネットワークに対するエンドポイントとして構成することができる。そのような構成において、ネットワークアクセスデバイス209は、セキュアな通信チャネルを、1つまたは複数のフォワードプロキシ220から222に、同様に、ローカル識別システム230等のネットワーク215に属する他のコンポーネントに、提供することができる。ローカル識別システム230を有するセキュアな通信チャネルを使用して、識別システム210とローカル識別システム230との間の一方向または双方向の信頼関係を確立することができる。一実施形態において、ネットワークアクセスデバイス209には、例えば、適切なハードウェアおよびソフトウェアと共に構成される図1のコンピュータ110を備えることができる。別の実施形態において、ネットワークアクセスデバイス209には、特定用途の電化製品を備えることができる。
【0033】
識別システム210には、上記で述べたデバイス等の1つまたは複数のデバイス上でホストされる1つまたは複数の処理を含むことができる。以下でさらに詳細に説明するように、識別システム210を利用して、ユーザおよび/またはデバイスを識別することができる。一実施形態において、識別システム210には、ワシントン州レドモンドのマイクロソフト社により製造されるアクティブディレクトリ(Active Directory)を備えることができる。識別システムの他の例には、ラディウス(RADIUS)系のIDシステム、LDAP系のIDシステム、一般的データベースIDシステム等が含まれる。
【0034】
図2に例示するように、一実施形態において、識別システム210は、ネットワークアクセスデバイス209を介してアクセス可能な企業ネットワーク上に存在する。別の実施形態において、識別システム210は、企業のネットワークの外部のネットワーク上に存在しても良い。例えば、識別システム210は、ネットワーク215内の種々の場所に存在または分散させることができる。一実施形態において、識別システム210は、ネットワーク215に属するサーバによりホストされるサービスとすることができる。
【0035】
フォワードプロキシ220から222は、ネットワークを介してアクセス可能な種々の場所に配置される。これらのフォワードプロキシは、接続性、アンチウィルス、スパイウェア、およびフィッシング保護、URLフィルタリング、ファイアウォール、侵入検出、情報漏洩防止(ILP)、ならびに、企業ネットワークにおけるデバイスにより提供されることもある同様の類、等の種々の機能を提供することができる。フォワードプロキシ220から222はまた、ネットワーク215に接続されるローミングデバイスに対して中央集中型の管理を提供することもできる。フォワードプロキシ220から222はまた、モバイルデバイスに対するレンダリング、ウェブページおよび他のコンテンツのキャッシュ、および、任意の他の接続性および/または企業により所望され得るセキュリティ機能、等の他の機能を種々のデバイスに提供することもできる。
【0036】
デバイスが、ネットワーク215に接続されるリソースにアクセスを試みるとき、デバイスとの間のトラフィックがフォワードプロキシにルーティングされて、例えば、上述の1つまたは複数の機能を提供することができる。しかし、デバイスにこれらの機能が提供される前に、フォワードプロキシに関連するセキュリティコンポーネントが、デバイスおよび/またはそのデバイスを使用するユーザを認証する。認証というコンテキストにおいて、用語「エンティティ」を使用して、本明細書においては、デバイスおよび/またはそのデバイスを使用するユーザを示すことがある。
【0037】
エンティティの認証は、種々の理由でなされ得る。例えば、登録されるエンティティのみがフォワードプロキシの使用が許可されることが所望されるかもしれない。これが起こることを確実にするために、認証を実行することができる。別の例として、エンティティの認証を、デバイスとの間でルーティングされるトラフィクにどのポリシーを適用するかを知るための識別に使用することができる。さらに別の例として、エンティティの認証を、報告、監査、他には、エンティティの動作の追跡に使用することができる。
【0038】
上記で述べた、エンティティを認証する理由の例では、包括的であることも網羅的であることも意図されない。本発明のいくつかの態様を1つまたは複数の上記の例を含む実装に限定することも意図されない。実際、本明細書の教示に基づき、当業者は、本発明のいくつかの態様の精神または範囲から逸脱することなく本明細書に表される概念を適用することができる、多くの他の状況を認めることができる。
【0039】
企業の認証情報に基づくエンティティの認証において、識別システム210からの情報を、エンティティの認証を試みているセキュリティコンポーネントに伝送することができる。一実施形態において、セキュリティコンポーネントは、フォワードプロキシの使用が許可されたエンティティの認証情報の、それ自身が所有するデータベースを保持しなくともよい。その代わり、認証情報を、識別システム210を介してアクセス可能な認証情報データベース上などの企業が制御する場所に記憶することができる。これは、種々の理由による。例えば、クラウド内に認証情報のデータベースがない場合、システムは、クラウド内に記憶される認証情報のデータベースと企業ネットワーク上に記憶される認証情報のデータベースとを保持することおよび同期させることを回避することが可能である。また、クラウドの認証情報のデータベースは、企業以外の団体により制御され得るため、認証情報のデータベースを企業ネットワーク上に記憶していることにより、セキュリティ上のリスクを小さくすることができる。別の効果として、企業ネットワーク上に最近作成された新しいエンティティが、同期されることを待つ必要がないため、直ちにフォワードプロキシにアクセスすることができる。加えて、もはやフォワードプロキシへのアクセスを許可されないエンティティは、それらの認証情報が認証情報のデータベースから削除されることより、フォワードプロキシへのアクセスが直ちに拒否される。さらに、エンティティのネットワーク動作に関して生成される報告は、エンティティがどの場所からフォワードプロキシにアクセスするのかに関係なくエンティティを追跡することが可能である。
【0040】
本実施形態において、エンティティを認証するために、セキュリティコンポーネントは、必要に応じて、識別システム210と通信して、エンティティを認証するのに十分な情報を取得することができる。そのような情報には、例えば、エンティティの認証情報、チャレンジ/応答データ、証明関連の情報、または、エンティティの認証に使用可能な任意の他の情報を含むことができる。
【0041】
別の実施形態において、セキュリティコンポーネントは、一方向または双方向の信頼関係を使用して識別システム210と同期されるローカル識別システム230にアクセスすることができる。一方向の信頼関係において、ローカル識別システム230に対して同期される企業の認証情報を使用して認証されるエンティティは、フォワードプロキシを介してリソースにアクセスすることが許可される。
【0042】
セキュリティコンポーネントと識別システム210および230との間の通信は、様々な方法でなされ、これには例えば、仮想プライベートネットワーク(VPN)、マルチプロトコルラベルスイッチング(MPLS)、インターネットプロトコルセキュリティ(IPSec),インターネットプロトコル6(IPv6)グローバルアドレシング、他の通信プロトコル等が含まれる。
【0043】
一実施形態において、特定の通信プロトコルにより必要とされるポート(複数可)のみを、識別システムとセキュリティコンポーネントとの間の仮想プライベートネットワークに関与させることができる。言い換えれば、通信プロトコルに関与するポートに対するメッセージを転送し、通信プロトコルに関与しないポートに対するメッセージを転送しないようにすることができる。これは、攻撃面(例えば、転送されるポートの数)を大幅に減らすことができるため、企業ネットワークのセキュリティ維持に役立つ。
【0044】
フォワードプロキシおよび識別システムは、IPv6を介して通信するよう構成される。IPsecおよび構成されたポリシーと併せて、これを使用して、特定のフォワードプロキシのみが識別システムと通信することが許可されることを保証する。
【0045】
エンティティを認証するために、フォワードプロキシに関連するセキュリティコンポーネントは、多くの異なる機構のうちの1つまたは複数を使用することができる。例えば、仮想プライベートネットワーク(VPN)を、セキュリティコンポーネントとデバイスの間で確立することができる。そのような構成において、VPNが成功裏に確立されたということが、エンティティの認証に役立つ。他の例として、統合Windows「登録商標」認証、IPSec、フォームベース認証、RADIUS、MPLS、基本アクセス認証、ケルベロス、クライアント証明書ベース認証、いくつかの他の認証プロトコル等、を使用して、エンティティを認証することができる。一実施形態において、認証はHTTPプロキシ認証の一部として起動される。
【0046】
認証プロトコルのタイプは、セキュリティコンポーネントとデバイスとの間で取り決められる。例えば、デバイスが第1の組の認証プロトコルをサポートし、セキュリティコンポーネントが第2の組の認証プロトコルをサポートする場合、デバイスとセキュリティコンポーネントの双方がサポートする認証プロトコルが選択されて、エンティティを認証することができる。別の例として、デバイスが、デバイス自体、および/または、ユーザのインタラクション無しでユーザを、認証することを可能にする認証プロトコル(例えば、統合Windows「登録商標」認証など)を、デバイスがサポートする場合、このプロトコルが選択され得る。
【0047】
エンティティを認証するための多くの方法がある。例えば、エンティティを認証するために、セキュリティコンポーネントは、エンティティの認証情報(例えば、ユーザ名およびパスワードまたはエンティティに関連する他の認証情報)を要求することができる。これらの認証情報を使用して、セキュリティコンポーネントは、識別システム210と通信して、認証情報を検証することができる。これを行うために、エンティティは、例えば、基本、フォーム、RADIUS、またはいくつかの他の認証プロトコルを使用することができる。
【0048】
認証情報が有効である場合、識別システム210は、これをセキュリティコンポーネントに対して示し、かつ、エンティティに関連する識別子をセキュリティコンポーネントに送ることができる。この識別子には、エンティティの企業アイデンティティを含むことができる。この識別子は、エンティティによる後の動作のログを取る際に使用することができる。
【0049】
エンティティを認証するための別の例として、セキュリティコンポーネントは、認証情報を受け取らずに、認証情報を認証することができる。例えば、セキュリティコンポーネントは、エンティティに対してチャレンジを提供し、そのチャレンジに対する応答を使用してエンティティを認証することができる。セキュリティコンポーネントは、チャレンジの判定、および/または、チャレンジに対する応答の実証に、識別システム210を関与させることができる。
【0050】
別の例として、セキュリティコンポーネントは、一方向または双方向の信頼関係を使用して識別システム210と同期されるローカル識別システム230に関連することができる。セキュリティコンポーネントは、ローカル識別システム230を利用してエンティティを認証することができる。
【0051】
別の例として、セキュアソケットレイヤ(SSL)および/またはトランスポートレイヤセキュリティ(TLS)の能力を、HTTPプロトコルにおいて定義されるプロキシの能力に追加することができる。HTTPプロキシのための現在のHTTPプロトコルは、HTTPプロキシにおいてSSLまたはTLSを使用することを規定していない。HTTPプロキシは、クライアントとの通信時にSSLおよび/またはTLSを使用するよう強化され得る。SSL/TLSはまた、相互の認証に使用することもできる。接続を確立する際の一部として、クライアントを、SSLまたはTLSを介して認証することができる。この認証方法において、セキュリティコンポーネントは、例えば、クライアント証明書が信頼できる認証機関により署名されていることを検証することにより、クライアントを認証することができる。SSL/TLSをHTTPプロキシに追加することにより、エンドポイントとフォワードプロキシとの間のセキュアな(例えば、暗号化された)通信を可能にすることもできる。
【0052】
一実施形態において、クライアントとセキュリティコンポーネントとの間の最初の認証の後、後に続く要求と共に使用するために、クッキーをクライアントに提供することができる。現在のHTTPプロトコルは、対象のサーバがクライアントにクッキーを提供することを許可するが、HTTPプロキシが単独でクッキーを生成してクライアントに供給することは許可しない。さらに、現在のHTTPプロトコルにおいて、クライアントは、クライアントにクッキーを送った対象のサーバと通信するときのみ、クッキーを提供する。
【0053】
フォワードプロキシがHTTPプロキシとして機能するとき、フォワードプロキシ(または、それに関連するセキュリティコンポーネント)は、クッキーを生成して、クライアントが認証されたあとにクライアントに送ることができる。そして、後に続く要求において、クライアントはこのクッキーを、クッキーをクライアントに提供したフォワードプロキシ(または、それに関連するセキュリティコンポーネント)、または、別のフォワードプロキシに、提供することができる。また、クライアントが異なる対象のサーバ上のリソースにアクセスしようとするときでも、クライアントはこのクッキーを送ることができる。
【0054】
クライアントが、後に続く要求において、クッキーを送るとき、フォワードプロキシ(または、それに関連するセキュリティコンポーネント)は、クッキーを調べて、クライアントが既に認証されているかを判定することができる。これにより、クライアントから受け取る各要求に伴う再認証に関連するオーバヘッドを回避することができる。クッキーは、有効期限のパラメータと共に構成され、設定時間後は有効期限が切れる。
【0055】
本明細書において使用されるクッキーには、エンティティが既に認証されていることを検証するために使用することができる任意のデータが含まれる。例えば、クッキーには、データベースのレコードにアクセスするためにセキュリティコンポーネントにより使用される識別子を含むことができる。レコードは、エンティティが既に認証されたかどうかを示すことができる。別の例として、クッキーには、エンティティが認証されたかどうかを判定するための、セキュリティコンポーネントが解読可能な暗号化された情報を含むことができる。
【0056】
クッキーにはまた、エンティティに関する他のデータを含むことができる。例えば、クッキーには、エンティティに関連する識別子を含むことができる。この識別子は、エンティティが、例えば、企業ネットワークにアクセスするときに使用する識別子に対応することができる。この識別子を、エンティティの動作のログを取る時に使用することができる。別の例として、クッキーには、エンティティに関連するポリシー情報を含むことができる。例えば、クッキーには、どのサイトにエンティティがアクセスすることを許可されているかを示す情報を含むことができる。
【0057】
エンティティの認証に使用することができる別の機構は、接続コンポーネント(例えば、接続コンポーネント125)を介する。接続コンポーネントは、デバイス上に存在し、かつ、デバイスからの接続を監視するコンポーネントである。例えば、接続コンポーネントは、デバイスとの間で送信されるTCPトラフィックを監視することができる。接続コンポーネントが、フォワードプロキシに対してルーティングされる接続要求を確認すると、接続コンポーネントは、フォワードプロキシに関連するセキュリティコンポーネントを一緒に認証し、かつ、その接続を暗号化することができる。これは、デバイスを使用するユーザに対して透過的であるような方法で行われる。ユーザが、フォワードプロキシを通してルーティングされる必要がある要求(例えば、URL要求)を入力すると、接続コンポーネントは、フォワードプロキシに関連するセキュリティコンポーネントを一緒に認証し、次に、セキュアなチャネル上でフォワードプロキシに要求を転送することができる。
【0058】
一実施形態において、クッキーが、後に続く要求における認証に使用するために、エンティティに提供されると、接続コンポーネントは、クッキーを操作し、かつ、後に続く要求においてそれを提供することができる。別の実施形態において、クッキーが、後に続く要求において認証に使用するためにエンティティに提供されると、接続コンポーネントは、エンティティがクッキーを操作し、かつ、クッキーを後に続く要求において提供する、ことを可能にすることができる。
【0059】
エンティティを認証するためのいくつかの機構の例が、上記において提供されたが、これらの例では、包括的であることも網羅的であることも意図されない。実際、本発明のいくつかの態様は、認証方法に限定されず、実質的に、既存または開発される任意の認証方法を、本発明のいくつかの態様の精神または範囲から逸脱することなく、採用することができる。
【0060】
認証処理の結果、次にロギング、監査、ポリシーの適用等に使用するための識別子を取得することができる。この識別子は、本発明のいくつかの態様から逸脱することなく、識別システム210により、ローカル識別システム230により、または、いくつかの他のコンポーネントにより、提供することができる。識別子は、エンティティを、エンティティに関連する企業ネットワークに対して識別するために使用されるものと同じ識別子とすることができる。
【0061】
上述の環境には、各エンティティおよび関連するインフラストラクチャが様々な数で含まれるが、より多くの、より少ない、または異なる組み合わせの、これらのエンティティおよびその他を、本発明のいくつかの態様の精神および範囲から逸脱することなく採用することができることが認識されるであろう。さらに、環境に含まれるエンティティおよび通信ネットワークは、本発明のいくつかの態様の精神および範囲から逸脱することなく、当業者が理解するであろう様々な方法で構成することができる。
【0062】
図3は、本発明のいくつかの態様に従って、セキュリティコンポーネントと共に構成される例示の装置を表すブロック図である。図3において例示されるコンポーネントは例示のものであり、必要とされるかまたは含まれるコンポーネントが全て含まれる訳ではない。他の実施形態において、図3と併せて記載されるコンポーネントまたは機能を、本発明のいくつかの態様の精神および範囲から逸脱することなく、他のコンポーネントに含む、または、サブコンポーネントに配置することができる。いくつかの実施形態において、図3と併せて記載されるコンポーネントまたは機能は、装置305にアクセス可能な複数のデバイスに亘って分散させることができる。
【0063】
図3を参照すると、装置305には、セキュリティコンポーネント310、記憶装置、および、通信機構345を含むことができる。セキュリティコンポーネント310には、プロトコルセレクタ315、クライアントコンポーネント320、アイデンティティバリデータ325、プロキシインフォーマ330、履歴トラッカ335、および報告コンポーネント337を含むことができる。セキュリティコンポーネント310は、図1と併せて記載されるフォワードプロキシに関連付けることができる。関連付けられるという文脈は、同じデバイスに含まれる、または、フォワードプロキシをホストしないがフォワードプロキシと通信することができる1つまたは複数のデバイスに配置される、等を意味する。
【0064】
通信機構345により、装置305は図2に示すような他のエンティティとの通信が可能になる。通信機構345は、ネットワークインターフェースもしくはアダプタ170、モデム172、または図1と併せて記載されるような通信を確立するための任意の他の機構とすることができる。
【0065】
記憶装置340は、エンティティにより行われる動作に関して履歴情報を記憶することができる任意の記憶媒体である。記憶装置340は、ファイルシステム、データベース、RAM等の揮発性メモリ、他の記憶装置、上記の何らかの組み合わせ等を備えることができ、かつ、複数のデバイスに渡って分散させることができる。記憶装置340は、装置305の外部または内部とすることができる。
【0066】
プロトコルセレクタ315は、第1のネットワークを介して利用可能なリソースへのアクセスを獲得しようとするエンティティの認証と併せて利用するための認証プロトコルを判定するよう動作可能である。例えば、図2を参照すると、プロトコルセレクタは、デバイス205から208のうちの1つを、これらのデバイスがネットワーク215を介してアクセス可能なリソースにアクセスしようとするときに、認証するために使用する認証プロトコルを判定することができる。
【0067】
クライアントコンポーネント320は、プロトコルセレクタ315により判定される認証プロトコルを使用してエンティティを認証するよう動作可能である。エンティティには、デバイスを使用するユーザおよび/またはデバイスを含むことができる。例えば、図2を参照すると、クライアントコンポーネントは、相互TLSプロトコルを使用してローミングデバイス205を使用するユーザを認証することができる。
【0068】
アイデンティティバリデータ(identity validator)325は、エンティティに関連する識別子を識別システムから取得するよう動作可能である。識別システムは、先に示したように、ローカルネットワークまたはクライアントコンポーネント320の外部のネットワーク上に配置することができる。識別システムは、クライアントコンポーネント320の外部のこのネットワーク(例えば、企業ネットワーク)を制御する企業に関連するエンティティのための識別子を含む、データベースにアクセスすることができる。例えば、図2を参照すると、アイデンティティバリデータは、識別システム210と通信して識別子を取得することができる。
【0069】
プロキシインフォーマ(proxy informer)330は、エンティティが、クライアントコンポーネント320から取得された結果に基づき認証されるかどうかを、フォワードプロキシ対して示すよう動作可能である。例えば、図2を参照すると、プロキシインフォーマは、エンティティが、フォワードプロキシにより提供されるセキュリティ機能の使用を認証されることを、フォワードプロキシ220から222のうちの1つに対して示すことができる。
【0070】
履歴トラッカ(history tracker)335は、エンティティおよびエンティティによりアクセスされるリソースを識別する情報を記憶するよう動作可能である。例えば、図2を参照すると、履歴トラッカは、ローミングデバイス205を使用するユーザによりフォワードプロキシ220に送られる各URLと共にユーザ名を記憶することができる。履歴トラッカ335は、記憶装置340を利用して履歴情報を記憶することができる。
【0071】
報告コンポーネント(reporting component)337は、エンティティおよびエンティティによりアクセスされるリソース(例えば、URL、ネットワークアドレス、等)を識別する形式で、履歴情報を提供するよう動作可能である。この形式には、ユーザ名、またはリソース識別子と共に他の識別子を含むことができる。情報には、企業のエンティティを識別するのに十分な情報が含まれるため、デバイスが(例えば、マルウェアを介して)汚染されても、ユーザがデバイスを企業ネットワークに持ち込むときに、デバイスが汚染され、社内ネットワークへのアクセスが許可される前に汚染を取り除く必要があることを、報告により示すことができる。
【0072】
図4から5は、本発明のいくつかの態様に従う認証と併せて起こり得る動作を概略的に示すフロー図である。説明を簡略化するために、図4から5と併せて記載される方法論は、一連の動作として示され記載される。本発明のいくつかの態様が、例示される動作により、および/または、動作の順番により制限されないことを理解および認識すべきである。一実施形態において、動作は以下に記載する順番で起こる。しかし、他の実施形態においては、動作は、並行して、別の順番で、および/または、本明細書に表されないかつ記載されない他の動作と共に、起こり得る。さらに、全ての例示の動作が、本発明のいくつかの態様に従う方法論を実装することを要求されるわけではない。加えて、あるいは方法論を、状態図を介する一連の相互に関連する状態として、または事象として表すことができることを、当業者は理解および認識するであろう。
【0073】
図4を参照すると、ブロック405にて、動作が開始される。ブロック407にて、信頼関係が確立される。例えば、図2を参照すると、ローカル識別システム230は、企業の識別システム210との信頼関係を確立することができる。ブロック410にて、デバイスは、デバイスの外部のネットワーク(例えば、インターネット)上のリソースへのアクセスを試みる。例えば、図2を参照すると、ローミングデバイス206は、ネットワーク215を介して利用可能なリソース(例えば、ウェブページ)へのアクセスを試みる。
【0074】
ブロック415にて、フォワードプロキシに関連するセキュリティコンポーネントに、要求がルーティングされる。例えば、図2を参照すると、接続コンポーネント125が、フォワードプロキシ222に関連するセキュリティコンポーネントに、要求をルーティングする。
【0075】
ブロック420にて、セキュリティコンポーネントは、デバイスからメッセージを受け取る。例えば、図3を参照すると、セキュリティコンポーネント310が、要求を受け取る。
【0076】
ブロック425にて、デバイスに関連するエンティティを認証する認証プロトコルが判定される。例えば、図3を参照すると、プロトコルセレクタ315が、図2のローミングデバイス206に関連するユーザを認証する際に使用する認証プロトコルを判定する。
【0077】
ブロック430にて、セキュリティコンポーネントは、デバイスに関連するエンティティを認証する。例えば、図2および3を参照すると、クライアントコンポーネント320が、ローミングデバイス206に関連するユーザを認証する。
【0078】
ブロック435にて、クッキーが使用されると、クッキーはデバイスに送られて後に続く要求において使用される。例えば、図2を参照すると、フォワードプロキシ222に関連するセキュリティコンポーネントが、クッキーをローミングデバイス206に送る。
【0079】
ブロック440にて、デバイスは後に続く要求においてクッキーを送る。例えば、図2を参照すると、ローミングデバイス206が、受け取ったクッキーを、ネットワーク215を介してアクセス可能なリソースを求める後に続く要求において、送る。
【0080】
ブロック445にて、他の動作が、もしあれば、起こる。例えば、周期的に、エンティティを再認証することができる。
【0081】
図5を参照すると、ブロック505にて、動作が開始される。ブロック510にて、第2のネットワーク上のリソースにアクセスする要求が、第1のネットワークに属するデバイスに関連するエンティティから送られる。例えば、図2を参照すると、ネットワーク215を介してアクセス可能なリソースにアクセスする要求が、デバイス206に関連するエンティティから送られる。
【0082】
ブロック515にて、要求が通信コンポーネントで受け取られる。例えば、図2を参照すると、通信コンポーネント125が要求を受け取る。
【0083】
ブロック520にて、エンティティは、通信コンポーネントを介して認証される。例えば、図2を参照すると、通信コンポーネント125が、フォワードプロキシ222に関連するセキュリティコンポーネントと通信して、デバイス206を使用するユーザを認証する。
【0084】
ブロック525にて、要求は、フォワードプロキシに送られる。例えば、図2を参照すると、デバイス206からの要求が、フォワードプロキシ222に送られる。
【0085】
ブロック530にて、クッキーを、デバイスで受け取ることができる。クッキーは、セキュリティコンポーネントによりエンティティが先に認証されたことを示す。これは、例えば、後に続く認証を促進するために起こる。
【0086】
ブロック535にて、クッキーは、後に続く要求において送られる。例えば、図2を参照すると、通信コンポーネント125は、リソースを求める後に続く要求においてクッキーを送ることができる。
【0087】
ブロック540にて、他の動作が、もしあれば起こる。
【0088】
上述した詳細な説明から分かるように、本発明のいくつかの態様を、分散セキュリティコンテンツ管理システムにおける認証に関して記載した。本発明のいくつかの態様は、種々の修正および代替の構造に影響を受けやすいが、その特定の例示の実施形態を図面において示し、上記において詳細に記載した。しかし、本発明の態様を、開示される特定の形式に限定する意図はなく、逆に、本明細書に記載される発明の種々の態様の趣旨および範囲内にある全ての修正、代替の構造、および等価物を対象とすることが意図されることを理解すべきである。
【技術分野】
【0001】
本発明は、分散セキュアコンテンツ管理システムに対する認証に関する。
【背景技術】
【0002】
従来、企業は、種々のセキュリティ製品およびセキュリティ電化製品に含まれる機能を使用して、会社の情報技術資産を保護してきた。そのような機能には、例えば、企業に出入りするネットワークトラフィックをマルウェア等の悪質なコードに対してフィルタリングすること、不適切な外部のコンテンツへのアクセスを制限すること、企業ネットワークへの攻撃および他の侵入を阻止すること、等が含まれる。
【0003】
可動式、家庭用、および他のコンピュータデバイスの可用性の広がりに伴い、従業員は、社内ネットワークの外部に仕事を持ちだすようになった。企業ネットワークに対して与えられるものと同じ保護レベルを取得し、かつ、企業ネットワークに対して与えられるようなポリシーを強化するために、そのような従業員に対して、企業ネットワークにログオンまたはアクセスし、かつ、企業ネットワークを介して企業ネットワーク外のリソースにアクセスする、ことを要求する企業がある。種々の理由により、これは、ローミングユーザが企業ネットワークに近接していないときは、最適ではなくなる。
【0004】
本明細書において請求される発明は、任意の不都合を解決する実施形態、または、上述のような実施形態においてのみ作動する実施形態、に限定されない。むしろ、本背景技術は、本明細書に記載されるいくつかの実施形態を実践できる一例の技術領域を例示するためにのみ与えられる。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明は、上述したような問題に鑑みてなされたものであり、その目的とするところは、分散セキュアコンテンツ管理システムに対する認証を提供することにある。
【課題を解決するための手段】
【0006】
簡潔に説明すると、本発明のいくつかの態様は、分散セキュアコンテンツ管理システムに対する認証に関する。いくつかの態様において、インターネットを介して利用可能なリソースにアクセスする要求が、セキュリティコンポーネントにルーティングされる。セキュリティコンポーネントは、インターネット全体に分散される複数のセキュリティコンポーネントのうちの1つであり、企業に関連するエンティティの認証に責任を負う。セキュリティコンポーネントは、エンティティに使用する認証プロトコルを判定し、次に、エンティティを認証する。エンティティが認証されると、エンティティは、フォワードプロキシを使用することが許可される。
【0007】
この説明は、以下の「発明を実施するための形態」でさらに述べる本発明のいくつかの態様を簡潔に確認するために提供するものである。この説明は、本発明の重要な特徴または主要な特徴を確認することを意図しておらず、本発明の範囲を制限するために使用されることを意図してもいない。
【0008】
「本明細書に記載される発明」という表現は、特に明示しない限り、「発明を実施するための形態」において記載される発明に言及する。用語「態様」は、「少なくとも1つの態様」として解釈されるべきである。「発明を実施するための形態」に記載される発明の態様を確認することは、本発明の重要な特徴および主要な特徴を確認することを意図していない。
【0009】
上述した態様および本明細書に記載される発明の他の態様は、例として示すものであり、添付の図面にも限定されない。なお、複数の図面において、同様の数字は同様の要素を示す。
【図面の簡単な説明】
【0010】
【図1】本発明のいくつかの態様を組み込むことができる例示の汎用コンピュータ環境を表すブロック図である。
【図2】本発明のいくつかの態様を実装することができる例示の環境を概して表すブロック図である。
【図3】本発明のいくつかの態様に従って、セキュリティコンポーネントと共に構成される例示の装置を表すブロック図である。
【図4】本発明のいくつかの態様に従って、認証と連動して起こる動作を概して表すフロー図である。
【図5】本発明のいくつかの態様に従って、認証と連動して起こる動作を概して表すフロー図である。
【発明を実施するための形態】
【0011】
(例示的動作環境)
図1は、本発明のいくつかの態様を実行することができる適切なコンピュータシステム環境100の例を示す。コンピュータシステム環境100は、適切なコンピュータ環境のほんの一例であり、本発明のいくつかの態様の使用または機能の範囲について任意の制限を示唆することは意図しない。また、コンピュータ環境100は、例示の動作環境100において示されるコンポーネントの任意の1つのまたは組み合わせに関する、任意の依存または要求を有するものとして解釈されるものでもない。
【0012】
本発明のいくつかの態様は、多数の他の汎用のまたは専用のコンピュータシステム環境または構成で動作可能である。本発明のいくつかの態様での使用に適切な周知のコンピュータシステム、環境、および/または構成の例には、パーソナルコンピュータ、サーバコンピュータ、ハンドヘルドまたはラップトップのデバイス、マルチプロセッサシステム、マイクロコントローラベースのシステム、セットトップボックス、プログラム可能家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、任意の上記のシステムまたはデバイスを含む分散コンピュータ環境、等が含まれるがこれに限定されない。
【0013】
本発明のいくつかの態様を、プログラムモジュール等の、コンピュータにより実行されているコンピュータ実行可能命令の一般的コンテキストにおいて記載することができる。一般に、プログラムモジュールには、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造、等が含まれ、これらは、特定のタスクを実行し、または、特定の抽象データ型を実装する。本発明のいくつかの態様はまた、通信ネットワークを介してリンクされるリモート処理デバイスによりタスクが実行される、分散コンピュータ環境において実践することができる。分散コンピュータ環境において、プログラムモジュールは、メモリストレージデバイスを含む、ローカルおよびリモート両方のコンピュータ記憶媒体に置くことができる。
【0014】
図1を参照すると、本発明のいくつかの態様を実装するための例示のシステムには、コンピュータ110の形式の汎用コンピュータデバイスが含まれる。コンピュータ110のコンポーネントには、プロセシングユニット120、システムメモリ130、および、システムメモリを含む種々のシステムコンポーネントをプロセシングユニット120に連結するシステムバス121を含むことができるが、これに限定されない。システムバス121は、メモリバスまたはメモリコントローラ、周辺機器用バス、および様々なバスアーキテクチャのうちの任意のものを使用するローカルバスを含む、いくつかのタイプのバス構造のうちの任意のものとすることができる。制限ではなく例として、そのようなアーキテクチャには、ISA(Industry Standard Architecture)バス、MCA(Micro Channel Architecture)バス、EISA(Enhanced ISA)バス、VESA(Video Electronics Standards Association)ローカルバス、メザニン(Mezzanine)バスとしても既知のPCI(Peripheral Component Interconnect)バス、PCI−X(Peripheral Component Interconnect Extended)バス、AGP(Advanced Graphics Port)、および、PCIe(PCI express)が含まれる。
【0015】
コンピュータ110には典型的には、様々なコンピュータ可読媒体が含まれる。コンピュータ可読媒体は、コンピュータ110によりアクセス可能な、かつ、揮発性媒体および不揮発性媒体、ならびに、着脱可能媒体および着脱不可能媒体を含む、任意の利用可能な媒体とすることができる。制限ではなく例として、コンピュータ可読媒体には、コンピュータ記憶媒体および通信媒体を備えることができる。
【0016】
コンピュータ記憶媒体には、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータ等の情報を記憶するための任意の方法または技術で実装される、揮発性および不揮発性の、着脱可能および着脱不可能な媒体が含まれる。コンピュータ記憶媒体には、RAM、ROM、EEPROM、フラッシュメモリもしくは他のメモリ技術、CD−ROM、DVD(digital versatile disc)もしくは他の光ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置もしくは他の磁気ストレージデバイス、または、所望の情報の記憶に使用可能で、かつ、コンピュータ110によりアクセス可能な、任意の他の媒体、が含まれるがこれに限定されない。
【0017】
通信媒体は、典型的には、コンピュータ可読命令、データ構造、プログラムモジュール、または他のデータを、搬送波または他の転送機構等の変調データ信号で具現化し、かつ、任意の情報配信媒体を含む。「変調データ信号」という用語には、1つまたは複数のその特徴が信号における情報を符号化するような方法などで設定または変更される信号、という意味がある。制限ではなく例として、通信媒体には、有線ネットワークまたは直接線式接続等の有線媒体、および、音響、RF、赤外線、および、他の無線媒体等の無線媒体、が含まれる。上記の任意のものの組み合わせもまた、コンピュータ可読媒体の範囲内に含まれるべきある。
【0018】
システムメモリ130には、ROM(read only memory)131およびRAM(random access memory)132等の、揮発性および/または不揮発性メモリの形式のコンピュータ記憶媒体が含まれる。基本入出力システム133(BIOS)は、起動時等にコンピュータ110内の要素間での情報の転送の支援をする基本ルーチンを含有し、典型的には、ROM131に記憶される。RAM132は典型的には、プロセシングユニット120により、直ちにアクセル可能である、および/または現在操作されている、データおよび/またはプログラムモジュールを含有する。制限ではなく例として、図1には、オペレーティングシステム134、アプリケーションプログラム135、他のプログラムモジュール136、およびプログラムデータ137を例示する。
【0019】
コンピュータ110にはまた、他の着脱可能/着脱不可能、揮発性/不揮発性コンピュータ記憶媒体を含むことができる。単なる例として、図1には、着脱不可能、不揮発性磁気媒体に読み書きするハードディスクドライブ141、着脱可能、不揮発性磁気ディスク152に読み書きする磁気ディスクドライブ151、および、CD−ROMまたは他の光媒体等の、着脱可能、不揮発性光ディスク156に読み書きする光ディスクドライブ155を例示する。例示の動作環境で使用可能な他の着脱可能/着脱不可能、揮発性/不揮発性コンピュータ記憶媒体には、磁気テープカセット、フラッシュメモリカード、DVD(digital versatile disc)、他の光ディスク、デジタルビデオテープ、ソリッドステートRAM、ソリッドステートROM等、が含まれるがこれに限定されない。ハードディスクドライブ141は典型的には、インターフェース140等の着脱不可能メモリインターフェースを介してシステムバス121に接続され、磁気ディスクドライブ151および光ディスクドライブ155は典型的には、インターフェース150等の着脱可能メモリインターフェースによりシステムバス121に接続される。
【0020】
上記で検討し図1において例示した、ドライブおよびその関連するコンピュータ記憶媒体は、コンピュータ可読命令、データ構造、プログラムモジュール、およびコンピュータ110の他のデータの記憶場所を提供する。図1において、例えば、ハードディスクドライブ141は、オペレーティングシステム144、アプリケーションプログラム145、他のプログラムモジュール146、およびプログラムデータ147を記憶するものとして例示される。なお、これらのコンポーネントは、オペレーティングシステム134、アプリケーションプログラム135、他のプログラムモジュール136、およびプログラムデータ137と同じでも異なっていても良い。オペレーティングシステム144、アプリケーションプログラム145、他のプログラムモジュール146、およびプログラムデータ147には、本明細書においては異なる番号が与えられ、それらが少なくとも異なる複製品であることを例示する。ユーザは、キーボード162、および、一般にはマウス、トラックボール、またはタッチパッドと称されるポインティングデバイス161等の入力デバイスを介して、コマンドおよび情報をコンピュータ20に入力することができる。他の入力デバイス(図示せず)には、マイク、ジョイスティック、ゲームパッド、パラボラアンテナ、スキャナ、タッチスクリーン、ライティングタブレット等を含むことができる。これらおよび他の入力デバイスは、システムバスに連結されるユーザ入力インターフェース160を介してプロセシングユニット120に接続されることが多いが、他のインターフェースおよびパラレルポート、ゲームポート、またはUSB(universal serial bus)等のバス構造により接続することができる。モニタ191または他のタイプのディスプレイデバイスもまた、ビデオインターフェース190等のインターフェースを介してシステムバス121に接続される。モニタに加えて、コンピュータにはまた、スピーカ197およびプリンタ196等の他の周辺出力デバイスを含むことができ、これらは、出力周辺インターフェース190を介して接続させることができる。
【0021】
コンピュータ110は、リモートコンピュータ180等の1つまたは複数のリモートコンピュータへの論理接続を使用して、ネットワーク化環境において動作することができる。リモートコンピュータ180は、図1にはメモリストレージデバイス181のみが例示されるが、パーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ページャ、ピアデバイス、または他の共通ネットワークノードとすることができ、かつ、典型的には、コンピュータ110に関して上述される要素のうちの多くまたは全てを含む。図1に示す論理接続には、ローカルエリアネットワーク(LAN)171およびワイドエリアネットワーク(WAN)173が含まれるが、他のネットワークを含むこともできる。そのようなネットワーク環境は、事務所、企業規模のコンピュータネットワーク、イントラネット、およびインターネットにおいて一般的なものである。
【0022】
LANネットワーク環境において使用されるとき、コンピュータ110は、ネットワークインターフェースまたはアダプタ170を介してLAN171に接続される。WANネットワーク環境において使用されるとき、コンピュータ110には、モデム172またはインターネット等のWAN173上の通信を確立する他の手段を含むことができる。モデム172は、内部のものでも外部のものでも良く、ユーザ入力インターフェース160または他の適切な機構を介してシステムバス121に接続することができる。ネットワーク化環境において、コンピュータ110に関して示されるプログラムモジュールまたはその一部を、リモートメモリストレージデバイスに記憶することができる。制限ではなく例として、図1にはメモリデバイス181上に存在するリモートアプリケーションプログラム185を例示する。図示のネットワーク接続は例示のものであり、コンピュータ間の通信リンクを確立する他の手段を使用することができることは理解されるであろう。
【0023】
(認証)
先に述べたように、従業員は、ビジネスネットワークの外部で仕事をすることが多い。しかし、同時に、会社は、同じ保護レベルの提供、ユーザの動作に基づく報告の提供が可能であること、かつ、ユーザがビジネスネットワーク使用してリモートネットワークのリソースにアクセスするときに適用されるものと同じポリシーを適用すること、を望んでいる。
【0024】
本発明のいくつかの態様に従うと、クラウド内に配置される1つまたは複数のフォワードプロキシが提供される。論理的には、フォワードプロキシは、クライアントとクライアントがアクセスを試みているネットワークリソースとの間に位置する。フォワードプロキシは、クライアントからの要求を受け取り、クライアントへの接続性を要求されるリソースに提供し、必要に応じて、上記で確認された他の機能をこれらの要求に提供することができる。フォワードプロキシは、エンティティを認証しそれに関連する動作のログを取る、1つまたは複数のセキュリティコンポーネントと関連付けられることが可能である。これらのコンポーネントは、様々な認証プロトコルを使用してエンティティを認証することができ、かつ、企業に設置される識別システムと通信し、この認証を実行することができる。コンポーネントはまた、識別子を取得してエンティティの動作のログを取る際に使用することができる。
【0025】
セキュリティコンポーネントと関連付けられるということは、フォワードプロキシがセキュリティコンポーネントの全てまたは一部を含むことができる、または、セキュリティコンポーネントの全てまたは一部をフォワードプロキシの外部に設置することができる、ということを意味する。
【0026】
図2は、本発明のいくつかの態様が実装される例示の環境を概して表すブロック図である。図2に例示する環境には、ローミングデバイス205から206、家庭用デバイス207、企業デバイス208、ネットワークアクセスデバイス209、および識別システム210(以下、まとめてエンティティと称する場合がある)を含むことができ、かつ、他のエンティティ(図示せず)を含むことができる。種々のエンティティが、企業内ネットワークおよび社内ネットワークならびにネットワーク215を含む種々のネットワークを介して通信することができる。
【0027】
一実施形態において、ネットワーク215は、インターネットを備えることができる。一実施形態において、ネットワーク215には、1つまたは複数のローカルエリアネットワーク、ワイドエリアネットワーク、直接接続、上記のものの何らかの組み合わせ、等を備えることができる。
【0028】
デバイス205から208には、1つまたは複数の汎用または専用のコンピュータデバイスを備えることができる。そのようなデバイスには、例えば、パーソナルコンピュータ、サーバコンピュータ、ハンドヘルドまたはラップトップのデバイス、マルチプロセッサシステム、マイクロコントローラベースのシステム、セットトップボックス、プログラム可能家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、PDA(personal digital assistant)、ゲームデバイス、プリンタ、セットトップ、メディアセンターを含む電化製品または他の電化製品、自動車に埋め込まれるまたは取り付けられるコンピュータデバイス、他のモバイルデバイス、任意の上記のシステムまたはデバイスを含む分散コンピュータ環境、等を含むことができる。1つまたは複数のデバイス205から208として動作するよう構成される例示のデバイスは、図1のコンピュータ110を備える。
【0029】
ローミングデバイス205から206には、ある場所からある場所へ運ばれるコンピュータデバイスを備えることができる。例えば、従業員は、ノートブックコンピュータを出張に持っていくことができる。別の例として、従業員は、携帯電話、PDA,または従業員がほとんどどこででも使用できる何らかの他のハンドヘルドデバイスを持って移動することができる。
【0030】
家庭用デバイス207には、例えば、従業員の家に設置されるパーソナルコンピュータまたは他の電子デバイスを含むことができる。
【0031】
企業デバイス208には、1つまたは複数の会社の場所に設置され、かつビジネスネットワークに接続されるデバイスを含むことができる。例えば、企業デバイス208には、ワークステーション、サーバ、ルータ、モバイルデバイス、および、先に述べたものとは別の汎用および専用のコンピュータデバイスを含むことができる。
【0032】
ネットワークアクセスデバイス209には、許可、拒否、プロキシ、伝送、キャッシュ、または、コンピュータトラフィック上の他の動作の実行、を行うよう構成される、1つまたは複数のデバイスおよび/またはソフトウェアコンポーネントを備えることができる。ファイアウォールとして構成されて、ネットワークアクセスデバイス209は、企業デバイス208および識別システム210、ならびにネットワークアクセスデバイス209に接続される他のデバイス(ある場合)、に対する保護を提供するよう動作することができる。ネットワークアクセスデバイス209は、仮想プライベートネットワークに対するエンドポイントとして構成することができる。そのような構成において、ネットワークアクセスデバイス209は、セキュアな通信チャネルを、1つまたは複数のフォワードプロキシ220から222に、同様に、ローカル識別システム230等のネットワーク215に属する他のコンポーネントに、提供することができる。ローカル識別システム230を有するセキュアな通信チャネルを使用して、識別システム210とローカル識別システム230との間の一方向または双方向の信頼関係を確立することができる。一実施形態において、ネットワークアクセスデバイス209には、例えば、適切なハードウェアおよびソフトウェアと共に構成される図1のコンピュータ110を備えることができる。別の実施形態において、ネットワークアクセスデバイス209には、特定用途の電化製品を備えることができる。
【0033】
識別システム210には、上記で述べたデバイス等の1つまたは複数のデバイス上でホストされる1つまたは複数の処理を含むことができる。以下でさらに詳細に説明するように、識別システム210を利用して、ユーザおよび/またはデバイスを識別することができる。一実施形態において、識別システム210には、ワシントン州レドモンドのマイクロソフト社により製造されるアクティブディレクトリ(Active Directory)を備えることができる。識別システムの他の例には、ラディウス(RADIUS)系のIDシステム、LDAP系のIDシステム、一般的データベースIDシステム等が含まれる。
【0034】
図2に例示するように、一実施形態において、識別システム210は、ネットワークアクセスデバイス209を介してアクセス可能な企業ネットワーク上に存在する。別の実施形態において、識別システム210は、企業のネットワークの外部のネットワーク上に存在しても良い。例えば、識別システム210は、ネットワーク215内の種々の場所に存在または分散させることができる。一実施形態において、識別システム210は、ネットワーク215に属するサーバによりホストされるサービスとすることができる。
【0035】
フォワードプロキシ220から222は、ネットワークを介してアクセス可能な種々の場所に配置される。これらのフォワードプロキシは、接続性、アンチウィルス、スパイウェア、およびフィッシング保護、URLフィルタリング、ファイアウォール、侵入検出、情報漏洩防止(ILP)、ならびに、企業ネットワークにおけるデバイスにより提供されることもある同様の類、等の種々の機能を提供することができる。フォワードプロキシ220から222はまた、ネットワーク215に接続されるローミングデバイスに対して中央集中型の管理を提供することもできる。フォワードプロキシ220から222はまた、モバイルデバイスに対するレンダリング、ウェブページおよび他のコンテンツのキャッシュ、および、任意の他の接続性および/または企業により所望され得るセキュリティ機能、等の他の機能を種々のデバイスに提供することもできる。
【0036】
デバイスが、ネットワーク215に接続されるリソースにアクセスを試みるとき、デバイスとの間のトラフィックがフォワードプロキシにルーティングされて、例えば、上述の1つまたは複数の機能を提供することができる。しかし、デバイスにこれらの機能が提供される前に、フォワードプロキシに関連するセキュリティコンポーネントが、デバイスおよび/またはそのデバイスを使用するユーザを認証する。認証というコンテキストにおいて、用語「エンティティ」を使用して、本明細書においては、デバイスおよび/またはそのデバイスを使用するユーザを示すことがある。
【0037】
エンティティの認証は、種々の理由でなされ得る。例えば、登録されるエンティティのみがフォワードプロキシの使用が許可されることが所望されるかもしれない。これが起こることを確実にするために、認証を実行することができる。別の例として、エンティティの認証を、デバイスとの間でルーティングされるトラフィクにどのポリシーを適用するかを知るための識別に使用することができる。さらに別の例として、エンティティの認証を、報告、監査、他には、エンティティの動作の追跡に使用することができる。
【0038】
上記で述べた、エンティティを認証する理由の例では、包括的であることも網羅的であることも意図されない。本発明のいくつかの態様を1つまたは複数の上記の例を含む実装に限定することも意図されない。実際、本明細書の教示に基づき、当業者は、本発明のいくつかの態様の精神または範囲から逸脱することなく本明細書に表される概念を適用することができる、多くの他の状況を認めることができる。
【0039】
企業の認証情報に基づくエンティティの認証において、識別システム210からの情報を、エンティティの認証を試みているセキュリティコンポーネントに伝送することができる。一実施形態において、セキュリティコンポーネントは、フォワードプロキシの使用が許可されたエンティティの認証情報の、それ自身が所有するデータベースを保持しなくともよい。その代わり、認証情報を、識別システム210を介してアクセス可能な認証情報データベース上などの企業が制御する場所に記憶することができる。これは、種々の理由による。例えば、クラウド内に認証情報のデータベースがない場合、システムは、クラウド内に記憶される認証情報のデータベースと企業ネットワーク上に記憶される認証情報のデータベースとを保持することおよび同期させることを回避することが可能である。また、クラウドの認証情報のデータベースは、企業以外の団体により制御され得るため、認証情報のデータベースを企業ネットワーク上に記憶していることにより、セキュリティ上のリスクを小さくすることができる。別の効果として、企業ネットワーク上に最近作成された新しいエンティティが、同期されることを待つ必要がないため、直ちにフォワードプロキシにアクセスすることができる。加えて、もはやフォワードプロキシへのアクセスを許可されないエンティティは、それらの認証情報が認証情報のデータベースから削除されることより、フォワードプロキシへのアクセスが直ちに拒否される。さらに、エンティティのネットワーク動作に関して生成される報告は、エンティティがどの場所からフォワードプロキシにアクセスするのかに関係なくエンティティを追跡することが可能である。
【0040】
本実施形態において、エンティティを認証するために、セキュリティコンポーネントは、必要に応じて、識別システム210と通信して、エンティティを認証するのに十分な情報を取得することができる。そのような情報には、例えば、エンティティの認証情報、チャレンジ/応答データ、証明関連の情報、または、エンティティの認証に使用可能な任意の他の情報を含むことができる。
【0041】
別の実施形態において、セキュリティコンポーネントは、一方向または双方向の信頼関係を使用して識別システム210と同期されるローカル識別システム230にアクセスすることができる。一方向の信頼関係において、ローカル識別システム230に対して同期される企業の認証情報を使用して認証されるエンティティは、フォワードプロキシを介してリソースにアクセスすることが許可される。
【0042】
セキュリティコンポーネントと識別システム210および230との間の通信は、様々な方法でなされ、これには例えば、仮想プライベートネットワーク(VPN)、マルチプロトコルラベルスイッチング(MPLS)、インターネットプロトコルセキュリティ(IPSec),インターネットプロトコル6(IPv6)グローバルアドレシング、他の通信プロトコル等が含まれる。
【0043】
一実施形態において、特定の通信プロトコルにより必要とされるポート(複数可)のみを、識別システムとセキュリティコンポーネントとの間の仮想プライベートネットワークに関与させることができる。言い換えれば、通信プロトコルに関与するポートに対するメッセージを転送し、通信プロトコルに関与しないポートに対するメッセージを転送しないようにすることができる。これは、攻撃面(例えば、転送されるポートの数)を大幅に減らすことができるため、企業ネットワークのセキュリティ維持に役立つ。
【0044】
フォワードプロキシおよび識別システムは、IPv6を介して通信するよう構成される。IPsecおよび構成されたポリシーと併せて、これを使用して、特定のフォワードプロキシのみが識別システムと通信することが許可されることを保証する。
【0045】
エンティティを認証するために、フォワードプロキシに関連するセキュリティコンポーネントは、多くの異なる機構のうちの1つまたは複数を使用することができる。例えば、仮想プライベートネットワーク(VPN)を、セキュリティコンポーネントとデバイスの間で確立することができる。そのような構成において、VPNが成功裏に確立されたということが、エンティティの認証に役立つ。他の例として、統合Windows「登録商標」認証、IPSec、フォームベース認証、RADIUS、MPLS、基本アクセス認証、ケルベロス、クライアント証明書ベース認証、いくつかの他の認証プロトコル等、を使用して、エンティティを認証することができる。一実施形態において、認証はHTTPプロキシ認証の一部として起動される。
【0046】
認証プロトコルのタイプは、セキュリティコンポーネントとデバイスとの間で取り決められる。例えば、デバイスが第1の組の認証プロトコルをサポートし、セキュリティコンポーネントが第2の組の認証プロトコルをサポートする場合、デバイスとセキュリティコンポーネントの双方がサポートする認証プロトコルが選択されて、エンティティを認証することができる。別の例として、デバイスが、デバイス自体、および/または、ユーザのインタラクション無しでユーザを、認証することを可能にする認証プロトコル(例えば、統合Windows「登録商標」認証など)を、デバイスがサポートする場合、このプロトコルが選択され得る。
【0047】
エンティティを認証するための多くの方法がある。例えば、エンティティを認証するために、セキュリティコンポーネントは、エンティティの認証情報(例えば、ユーザ名およびパスワードまたはエンティティに関連する他の認証情報)を要求することができる。これらの認証情報を使用して、セキュリティコンポーネントは、識別システム210と通信して、認証情報を検証することができる。これを行うために、エンティティは、例えば、基本、フォーム、RADIUS、またはいくつかの他の認証プロトコルを使用することができる。
【0048】
認証情報が有効である場合、識別システム210は、これをセキュリティコンポーネントに対して示し、かつ、エンティティに関連する識別子をセキュリティコンポーネントに送ることができる。この識別子には、エンティティの企業アイデンティティを含むことができる。この識別子は、エンティティによる後の動作のログを取る際に使用することができる。
【0049】
エンティティを認証するための別の例として、セキュリティコンポーネントは、認証情報を受け取らずに、認証情報を認証することができる。例えば、セキュリティコンポーネントは、エンティティに対してチャレンジを提供し、そのチャレンジに対する応答を使用してエンティティを認証することができる。セキュリティコンポーネントは、チャレンジの判定、および/または、チャレンジに対する応答の実証に、識別システム210を関与させることができる。
【0050】
別の例として、セキュリティコンポーネントは、一方向または双方向の信頼関係を使用して識別システム210と同期されるローカル識別システム230に関連することができる。セキュリティコンポーネントは、ローカル識別システム230を利用してエンティティを認証することができる。
【0051】
別の例として、セキュアソケットレイヤ(SSL)および/またはトランスポートレイヤセキュリティ(TLS)の能力を、HTTPプロトコルにおいて定義されるプロキシの能力に追加することができる。HTTPプロキシのための現在のHTTPプロトコルは、HTTPプロキシにおいてSSLまたはTLSを使用することを規定していない。HTTPプロキシは、クライアントとの通信時にSSLおよび/またはTLSを使用するよう強化され得る。SSL/TLSはまた、相互の認証に使用することもできる。接続を確立する際の一部として、クライアントを、SSLまたはTLSを介して認証することができる。この認証方法において、セキュリティコンポーネントは、例えば、クライアント証明書が信頼できる認証機関により署名されていることを検証することにより、クライアントを認証することができる。SSL/TLSをHTTPプロキシに追加することにより、エンドポイントとフォワードプロキシとの間のセキュアな(例えば、暗号化された)通信を可能にすることもできる。
【0052】
一実施形態において、クライアントとセキュリティコンポーネントとの間の最初の認証の後、後に続く要求と共に使用するために、クッキーをクライアントに提供することができる。現在のHTTPプロトコルは、対象のサーバがクライアントにクッキーを提供することを許可するが、HTTPプロキシが単独でクッキーを生成してクライアントに供給することは許可しない。さらに、現在のHTTPプロトコルにおいて、クライアントは、クライアントにクッキーを送った対象のサーバと通信するときのみ、クッキーを提供する。
【0053】
フォワードプロキシがHTTPプロキシとして機能するとき、フォワードプロキシ(または、それに関連するセキュリティコンポーネント)は、クッキーを生成して、クライアントが認証されたあとにクライアントに送ることができる。そして、後に続く要求において、クライアントはこのクッキーを、クッキーをクライアントに提供したフォワードプロキシ(または、それに関連するセキュリティコンポーネント)、または、別のフォワードプロキシに、提供することができる。また、クライアントが異なる対象のサーバ上のリソースにアクセスしようとするときでも、クライアントはこのクッキーを送ることができる。
【0054】
クライアントが、後に続く要求において、クッキーを送るとき、フォワードプロキシ(または、それに関連するセキュリティコンポーネント)は、クッキーを調べて、クライアントが既に認証されているかを判定することができる。これにより、クライアントから受け取る各要求に伴う再認証に関連するオーバヘッドを回避することができる。クッキーは、有効期限のパラメータと共に構成され、設定時間後は有効期限が切れる。
【0055】
本明細書において使用されるクッキーには、エンティティが既に認証されていることを検証するために使用することができる任意のデータが含まれる。例えば、クッキーには、データベースのレコードにアクセスするためにセキュリティコンポーネントにより使用される識別子を含むことができる。レコードは、エンティティが既に認証されたかどうかを示すことができる。別の例として、クッキーには、エンティティが認証されたかどうかを判定するための、セキュリティコンポーネントが解読可能な暗号化された情報を含むことができる。
【0056】
クッキーにはまた、エンティティに関する他のデータを含むことができる。例えば、クッキーには、エンティティに関連する識別子を含むことができる。この識別子は、エンティティが、例えば、企業ネットワークにアクセスするときに使用する識別子に対応することができる。この識別子を、エンティティの動作のログを取る時に使用することができる。別の例として、クッキーには、エンティティに関連するポリシー情報を含むことができる。例えば、クッキーには、どのサイトにエンティティがアクセスすることを許可されているかを示す情報を含むことができる。
【0057】
エンティティの認証に使用することができる別の機構は、接続コンポーネント(例えば、接続コンポーネント125)を介する。接続コンポーネントは、デバイス上に存在し、かつ、デバイスからの接続を監視するコンポーネントである。例えば、接続コンポーネントは、デバイスとの間で送信されるTCPトラフィックを監視することができる。接続コンポーネントが、フォワードプロキシに対してルーティングされる接続要求を確認すると、接続コンポーネントは、フォワードプロキシに関連するセキュリティコンポーネントを一緒に認証し、かつ、その接続を暗号化することができる。これは、デバイスを使用するユーザに対して透過的であるような方法で行われる。ユーザが、フォワードプロキシを通してルーティングされる必要がある要求(例えば、URL要求)を入力すると、接続コンポーネントは、フォワードプロキシに関連するセキュリティコンポーネントを一緒に認証し、次に、セキュアなチャネル上でフォワードプロキシに要求を転送することができる。
【0058】
一実施形態において、クッキーが、後に続く要求における認証に使用するために、エンティティに提供されると、接続コンポーネントは、クッキーを操作し、かつ、後に続く要求においてそれを提供することができる。別の実施形態において、クッキーが、後に続く要求において認証に使用するためにエンティティに提供されると、接続コンポーネントは、エンティティがクッキーを操作し、かつ、クッキーを後に続く要求において提供する、ことを可能にすることができる。
【0059】
エンティティを認証するためのいくつかの機構の例が、上記において提供されたが、これらの例では、包括的であることも網羅的であることも意図されない。実際、本発明のいくつかの態様は、認証方法に限定されず、実質的に、既存または開発される任意の認証方法を、本発明のいくつかの態様の精神または範囲から逸脱することなく、採用することができる。
【0060】
認証処理の結果、次にロギング、監査、ポリシーの適用等に使用するための識別子を取得することができる。この識別子は、本発明のいくつかの態様から逸脱することなく、識別システム210により、ローカル識別システム230により、または、いくつかの他のコンポーネントにより、提供することができる。識別子は、エンティティを、エンティティに関連する企業ネットワークに対して識別するために使用されるものと同じ識別子とすることができる。
【0061】
上述の環境には、各エンティティおよび関連するインフラストラクチャが様々な数で含まれるが、より多くの、より少ない、または異なる組み合わせの、これらのエンティティおよびその他を、本発明のいくつかの態様の精神および範囲から逸脱することなく採用することができることが認識されるであろう。さらに、環境に含まれるエンティティおよび通信ネットワークは、本発明のいくつかの態様の精神および範囲から逸脱することなく、当業者が理解するであろう様々な方法で構成することができる。
【0062】
図3は、本発明のいくつかの態様に従って、セキュリティコンポーネントと共に構成される例示の装置を表すブロック図である。図3において例示されるコンポーネントは例示のものであり、必要とされるかまたは含まれるコンポーネントが全て含まれる訳ではない。他の実施形態において、図3と併せて記載されるコンポーネントまたは機能を、本発明のいくつかの態様の精神および範囲から逸脱することなく、他のコンポーネントに含む、または、サブコンポーネントに配置することができる。いくつかの実施形態において、図3と併せて記載されるコンポーネントまたは機能は、装置305にアクセス可能な複数のデバイスに亘って分散させることができる。
【0063】
図3を参照すると、装置305には、セキュリティコンポーネント310、記憶装置、および、通信機構345を含むことができる。セキュリティコンポーネント310には、プロトコルセレクタ315、クライアントコンポーネント320、アイデンティティバリデータ325、プロキシインフォーマ330、履歴トラッカ335、および報告コンポーネント337を含むことができる。セキュリティコンポーネント310は、図1と併せて記載されるフォワードプロキシに関連付けることができる。関連付けられるという文脈は、同じデバイスに含まれる、または、フォワードプロキシをホストしないがフォワードプロキシと通信することができる1つまたは複数のデバイスに配置される、等を意味する。
【0064】
通信機構345により、装置305は図2に示すような他のエンティティとの通信が可能になる。通信機構345は、ネットワークインターフェースもしくはアダプタ170、モデム172、または図1と併せて記載されるような通信を確立するための任意の他の機構とすることができる。
【0065】
記憶装置340は、エンティティにより行われる動作に関して履歴情報を記憶することができる任意の記憶媒体である。記憶装置340は、ファイルシステム、データベース、RAM等の揮発性メモリ、他の記憶装置、上記の何らかの組み合わせ等を備えることができ、かつ、複数のデバイスに渡って分散させることができる。記憶装置340は、装置305の外部または内部とすることができる。
【0066】
プロトコルセレクタ315は、第1のネットワークを介して利用可能なリソースへのアクセスを獲得しようとするエンティティの認証と併せて利用するための認証プロトコルを判定するよう動作可能である。例えば、図2を参照すると、プロトコルセレクタは、デバイス205から208のうちの1つを、これらのデバイスがネットワーク215を介してアクセス可能なリソースにアクセスしようとするときに、認証するために使用する認証プロトコルを判定することができる。
【0067】
クライアントコンポーネント320は、プロトコルセレクタ315により判定される認証プロトコルを使用してエンティティを認証するよう動作可能である。エンティティには、デバイスを使用するユーザおよび/またはデバイスを含むことができる。例えば、図2を参照すると、クライアントコンポーネントは、相互TLSプロトコルを使用してローミングデバイス205を使用するユーザを認証することができる。
【0068】
アイデンティティバリデータ(identity validator)325は、エンティティに関連する識別子を識別システムから取得するよう動作可能である。識別システムは、先に示したように、ローカルネットワークまたはクライアントコンポーネント320の外部のネットワーク上に配置することができる。識別システムは、クライアントコンポーネント320の外部のこのネットワーク(例えば、企業ネットワーク)を制御する企業に関連するエンティティのための識別子を含む、データベースにアクセスすることができる。例えば、図2を参照すると、アイデンティティバリデータは、識別システム210と通信して識別子を取得することができる。
【0069】
プロキシインフォーマ(proxy informer)330は、エンティティが、クライアントコンポーネント320から取得された結果に基づき認証されるかどうかを、フォワードプロキシ対して示すよう動作可能である。例えば、図2を参照すると、プロキシインフォーマは、エンティティが、フォワードプロキシにより提供されるセキュリティ機能の使用を認証されることを、フォワードプロキシ220から222のうちの1つに対して示すことができる。
【0070】
履歴トラッカ(history tracker)335は、エンティティおよびエンティティによりアクセスされるリソースを識別する情報を記憶するよう動作可能である。例えば、図2を参照すると、履歴トラッカは、ローミングデバイス205を使用するユーザによりフォワードプロキシ220に送られる各URLと共にユーザ名を記憶することができる。履歴トラッカ335は、記憶装置340を利用して履歴情報を記憶することができる。
【0071】
報告コンポーネント(reporting component)337は、エンティティおよびエンティティによりアクセスされるリソース(例えば、URL、ネットワークアドレス、等)を識別する形式で、履歴情報を提供するよう動作可能である。この形式には、ユーザ名、またはリソース識別子と共に他の識別子を含むことができる。情報には、企業のエンティティを識別するのに十分な情報が含まれるため、デバイスが(例えば、マルウェアを介して)汚染されても、ユーザがデバイスを企業ネットワークに持ち込むときに、デバイスが汚染され、社内ネットワークへのアクセスが許可される前に汚染を取り除く必要があることを、報告により示すことができる。
【0072】
図4から5は、本発明のいくつかの態様に従う認証と併せて起こり得る動作を概略的に示すフロー図である。説明を簡略化するために、図4から5と併せて記載される方法論は、一連の動作として示され記載される。本発明のいくつかの態様が、例示される動作により、および/または、動作の順番により制限されないことを理解および認識すべきである。一実施形態において、動作は以下に記載する順番で起こる。しかし、他の実施形態においては、動作は、並行して、別の順番で、および/または、本明細書に表されないかつ記載されない他の動作と共に、起こり得る。さらに、全ての例示の動作が、本発明のいくつかの態様に従う方法論を実装することを要求されるわけではない。加えて、あるいは方法論を、状態図を介する一連の相互に関連する状態として、または事象として表すことができることを、当業者は理解および認識するであろう。
【0073】
図4を参照すると、ブロック405にて、動作が開始される。ブロック407にて、信頼関係が確立される。例えば、図2を参照すると、ローカル識別システム230は、企業の識別システム210との信頼関係を確立することができる。ブロック410にて、デバイスは、デバイスの外部のネットワーク(例えば、インターネット)上のリソースへのアクセスを試みる。例えば、図2を参照すると、ローミングデバイス206は、ネットワーク215を介して利用可能なリソース(例えば、ウェブページ)へのアクセスを試みる。
【0074】
ブロック415にて、フォワードプロキシに関連するセキュリティコンポーネントに、要求がルーティングされる。例えば、図2を参照すると、接続コンポーネント125が、フォワードプロキシ222に関連するセキュリティコンポーネントに、要求をルーティングする。
【0075】
ブロック420にて、セキュリティコンポーネントは、デバイスからメッセージを受け取る。例えば、図3を参照すると、セキュリティコンポーネント310が、要求を受け取る。
【0076】
ブロック425にて、デバイスに関連するエンティティを認証する認証プロトコルが判定される。例えば、図3を参照すると、プロトコルセレクタ315が、図2のローミングデバイス206に関連するユーザを認証する際に使用する認証プロトコルを判定する。
【0077】
ブロック430にて、セキュリティコンポーネントは、デバイスに関連するエンティティを認証する。例えば、図2および3を参照すると、クライアントコンポーネント320が、ローミングデバイス206に関連するユーザを認証する。
【0078】
ブロック435にて、クッキーが使用されると、クッキーはデバイスに送られて後に続く要求において使用される。例えば、図2を参照すると、フォワードプロキシ222に関連するセキュリティコンポーネントが、クッキーをローミングデバイス206に送る。
【0079】
ブロック440にて、デバイスは後に続く要求においてクッキーを送る。例えば、図2を参照すると、ローミングデバイス206が、受け取ったクッキーを、ネットワーク215を介してアクセス可能なリソースを求める後に続く要求において、送る。
【0080】
ブロック445にて、他の動作が、もしあれば、起こる。例えば、周期的に、エンティティを再認証することができる。
【0081】
図5を参照すると、ブロック505にて、動作が開始される。ブロック510にて、第2のネットワーク上のリソースにアクセスする要求が、第1のネットワークに属するデバイスに関連するエンティティから送られる。例えば、図2を参照すると、ネットワーク215を介してアクセス可能なリソースにアクセスする要求が、デバイス206に関連するエンティティから送られる。
【0082】
ブロック515にて、要求が通信コンポーネントで受け取られる。例えば、図2を参照すると、通信コンポーネント125が要求を受け取る。
【0083】
ブロック520にて、エンティティは、通信コンポーネントを介して認証される。例えば、図2を参照すると、通信コンポーネント125が、フォワードプロキシ222に関連するセキュリティコンポーネントと通信して、デバイス206を使用するユーザを認証する。
【0084】
ブロック525にて、要求は、フォワードプロキシに送られる。例えば、図2を参照すると、デバイス206からの要求が、フォワードプロキシ222に送られる。
【0085】
ブロック530にて、クッキーを、デバイスで受け取ることができる。クッキーは、セキュリティコンポーネントによりエンティティが先に認証されたことを示す。これは、例えば、後に続く認証を促進するために起こる。
【0086】
ブロック535にて、クッキーは、後に続く要求において送られる。例えば、図2を参照すると、通信コンポーネント125は、リソースを求める後に続く要求においてクッキーを送ることができる。
【0087】
ブロック540にて、他の動作が、もしあれば起こる。
【0088】
上述した詳細な説明から分かるように、本発明のいくつかの態様を、分散セキュリティコンテンツ管理システムにおける認証に関して記載した。本発明のいくつかの態様は、種々の修正および代替の構造に影響を受けやすいが、その特定の例示の実施形態を図面において示し、上記において詳細に記載した。しかし、本発明の態様を、開示される特定の形式に限定する意図はなく、逆に、本明細書に記載される発明の種々の態様の趣旨および範囲内にある全ての修正、代替の構造、および等価物を対象とすることが意図されることを理解すべきである。
【特許請求の範囲】
【請求項1】
コンピュータにより少なくとも一部が実装される方法であって、
セキュリティコンポーネントにおいて、デバイスから送られるメッセージを受け取るステップ(420)であって、前記セキュリティコンポーネントは、前記デバイスと前記デバイスがアクセスしようとするリソースとの間に論理的に存在するフォワードプロキシと関連付けられる、ステップと
前記セキュリティコンポーネントを介して、前記デバイスに関連するエンティティを認証するステップ(430)と、
クッキーを前記デバイスに送るステップ(435)であって、前記クッキーは、前記セキュリティコンポーネントにより前記エンティティが先に認証されたことを示し、前記デバイスは、前記フォワードプロキシを介してアクセス可能なリソースを求める後に続く要求と共に前記クッキーを提示する、ステップと
を含むことを特徴とする方法。
【請求項2】
前記フォワードプロキシが少なくともHTTPプロキシとして動作し、かつ、前記デバイスに関連するエンティティを認証するステップが、前記フォワードプロキシと前記デバイスと間のセキュアな接続を確立するステップを含む、ことを特徴とする請求項1に記載の方法。
【請求項3】
前記セキュアな接続が、セキュアソケットレイヤ接続を含むことを特徴とする請求項2に記載の方法。
【請求項4】
前記セキュアな接続が、トランスポートレイヤセキュリティ接続を含むことを特徴とする請求項2に記載の方法。
【請求項5】
前記フォワードプロキシが、少なくともHTTPプロキシとして動作し、かつ、前記デバイスに関連するエンティティを認証するステップが、クライアント証明書を使用するステップを含む、ことを特徴とする請求項1に記載の方法。
【請求項6】
前記クッキーが、前記エンティティに関連するアイデンティティを示し、前記アイデンティティは、前記デバイスに関連する前記エンティティに関連するビジネスエンティティにより制御されるネットワーク上の前記エンティティを識別することを特徴とする請求項1に記載の方法。
【請求項7】
前記クッキーが、前記エンティティに関連するポリシー情報を含み、前記ポリシー情報は、前記後に続く要求のためのポリシーの強化に使用可能であることを特徴とする請求項1に記載の方法。
【請求項8】
前記クッキーの有効期限を確立するステップであって、前記クッキーは、有効期限が切れた後は認証には有効でなくなるステップ、をさらに含むことを特徴とする請求項1に記載の方法。
【請求項9】
前記デバイスにより識別子と共に送られる後に続く要求の履歴を記憶するステップをさらに含むことを特徴とする請求項6に記載の方法。
【請求項10】
フォワードプロキシにローカルな第1のネットワーク上に配置される第1の識別システムと、前記第1のネットワークの外部のネットワーク上の第2の識別システムとの間に信頼関係を確立するステップをさらに含むことを特徴とする請求項1に記載の方法。
【請求項11】
前記信頼関係を確立するステップが、前記第1の識別システムと前記第2の識別システムとの間で認証情報を同期させるステップを含むことを特徴とする請求項10に記載の方法。
【請求項12】
コンピュータ実行可能命令を有するコンピュータ記憶媒体であって、前記命令は実行されるときに、
第1のネットワークに属するデバイスに関連するエンティティから、第2のネットワークからのリソースにアクセスする要求を送信するステップ(510)と、
前記デバイス上でホストされるコンポーネントにおいて前記要求を受け取るステップ(515)であって、前記コンポーネントは、前記デバイスと前記第2のネットワークとの間のトラフィックを監視する、ステップと、
前記第2のネットワークに前記要求を送る前に、前記コンポーネントを介して前記エンティティを認証するステップ(520)と、
フォワードプロキシに前記要求を送るステップ(525)と
を含む動作を実行することを特徴とするコンピュータ記憶媒体。
【請求項13】
前記コンポーネントを介して、前記デバイスに関連するエンティティを認証するステップが、前記第2のネットワークに属する前記フォワードプロキシに関連するセキュリティコンポーネントと通信するステップであって、前記フォワードプロキシが、前記デバイスと前記第2のネットワークとの間に論理的に存在するステップ、を含むことを特徴とする請求項12に記載のコンピュータ記憶媒体。
【請求項14】
前記フォワードプロキシが、少なくともHTTPプロキシとして動作し、かつ、前記コンポーネントを介して、前記デバイスに関連するエンティティを認証するステップが、クライアント証明書を使用するステップを含む、ことを特徴とする請求項13に記載のコンピュータ記憶媒体。
【請求項15】
前記フォワードプロキシからクッキーを受け取るステップであって、前記クッキーは、前記セキュリティコンポーネントにより前記エンティティが先に認証されたことを示すステップ、をさらに含むことを特徴とする請求項13に記載のコンピュータ記憶媒体。
【請求項16】
前記コンポーネントを介して前記クッキーを操作するステップをさらに含み、前記クッキーを操作するステップが、前記クッキーを記憶するステップと、前記第2のネットワークを介してアクセス可能なリソースを求める後に続く要求において、前記クッキーを送るステップと、を含むことを特徴とする請求項15に記載のコンピュータ記憶媒体。
【請求項17】
前記エンティティは、前記デバイスおよび/またはユーザを含むことを特徴とする請求項12に記載のコンピュータ記憶媒体。
【請求項18】
コンピュータ環境における装置であって、
第1のネットワークを介して利用可能なリソースへのアクセスを獲得しようとするエンティティの認証と併せて利用するための、認証プロトコルを判定するよう動作可能なプロトコルセレクタ(315)と、
前記エンティティに関連するデバイスを介して、前記認証プロトコルを使用して前記エンティティを認証するよう動作可能なクライアントコンポーネント(320)と、
第2の識別システムとの信頼関係を有する第1の識別システムから、前記エンティティの識別子を取得するよう動作可能なアイデンティティバリデータ(325)であって、前記第1の識別システムは前記第1のネットワーク上に存在し、前記第2の識別システムは第2のネットワーク上に存在する、アイデンティティバリデータと、
前記エンティティが認証されるかどうかをフォワードプロキシに対して示すよう動作可能なプロキシインフォーマ(330)であって、前記フォワードプロキシは、1つまたは複数のネットワークに亘って分散される複数のフォワードプロキシのうちの1つであり、前記フォワードプロキシは、認証されるエンティティが前記1つまたは複数のネットワークを介して利用可能なリソースにアクセスすること、を許可するよう構成される、プロキシインフォーマと
を備えることを特徴とする装置。
【請求項19】
前記エンティティと、前記第1のネットワークを介して利用可能な、前記エンティティによりアクセスされるリソースと、を識別する情報を記憶するよう動作可能な履歴トラッカをさらに備えることを特徴とする請求項18に記載の装置。
【請求項20】
前記エンティティと前記アクセスされるリソースとを識別する形式で、前記情報を提供するよう動作可能な報告コンポーネントをさらに備えることを特徴とする請求項19に記載の装置。
【請求項1】
コンピュータにより少なくとも一部が実装される方法であって、
セキュリティコンポーネントにおいて、デバイスから送られるメッセージを受け取るステップ(420)であって、前記セキュリティコンポーネントは、前記デバイスと前記デバイスがアクセスしようとするリソースとの間に論理的に存在するフォワードプロキシと関連付けられる、ステップと
前記セキュリティコンポーネントを介して、前記デバイスに関連するエンティティを認証するステップ(430)と、
クッキーを前記デバイスに送るステップ(435)であって、前記クッキーは、前記セキュリティコンポーネントにより前記エンティティが先に認証されたことを示し、前記デバイスは、前記フォワードプロキシを介してアクセス可能なリソースを求める後に続く要求と共に前記クッキーを提示する、ステップと
を含むことを特徴とする方法。
【請求項2】
前記フォワードプロキシが少なくともHTTPプロキシとして動作し、かつ、前記デバイスに関連するエンティティを認証するステップが、前記フォワードプロキシと前記デバイスと間のセキュアな接続を確立するステップを含む、ことを特徴とする請求項1に記載の方法。
【請求項3】
前記セキュアな接続が、セキュアソケットレイヤ接続を含むことを特徴とする請求項2に記載の方法。
【請求項4】
前記セキュアな接続が、トランスポートレイヤセキュリティ接続を含むことを特徴とする請求項2に記載の方法。
【請求項5】
前記フォワードプロキシが、少なくともHTTPプロキシとして動作し、かつ、前記デバイスに関連するエンティティを認証するステップが、クライアント証明書を使用するステップを含む、ことを特徴とする請求項1に記載の方法。
【請求項6】
前記クッキーが、前記エンティティに関連するアイデンティティを示し、前記アイデンティティは、前記デバイスに関連する前記エンティティに関連するビジネスエンティティにより制御されるネットワーク上の前記エンティティを識別することを特徴とする請求項1に記載の方法。
【請求項7】
前記クッキーが、前記エンティティに関連するポリシー情報を含み、前記ポリシー情報は、前記後に続く要求のためのポリシーの強化に使用可能であることを特徴とする請求項1に記載の方法。
【請求項8】
前記クッキーの有効期限を確立するステップであって、前記クッキーは、有効期限が切れた後は認証には有効でなくなるステップ、をさらに含むことを特徴とする請求項1に記載の方法。
【請求項9】
前記デバイスにより識別子と共に送られる後に続く要求の履歴を記憶するステップをさらに含むことを特徴とする請求項6に記載の方法。
【請求項10】
フォワードプロキシにローカルな第1のネットワーク上に配置される第1の識別システムと、前記第1のネットワークの外部のネットワーク上の第2の識別システムとの間に信頼関係を確立するステップをさらに含むことを特徴とする請求項1に記載の方法。
【請求項11】
前記信頼関係を確立するステップが、前記第1の識別システムと前記第2の識別システムとの間で認証情報を同期させるステップを含むことを特徴とする請求項10に記載の方法。
【請求項12】
コンピュータ実行可能命令を有するコンピュータ記憶媒体であって、前記命令は実行されるときに、
第1のネットワークに属するデバイスに関連するエンティティから、第2のネットワークからのリソースにアクセスする要求を送信するステップ(510)と、
前記デバイス上でホストされるコンポーネントにおいて前記要求を受け取るステップ(515)であって、前記コンポーネントは、前記デバイスと前記第2のネットワークとの間のトラフィックを監視する、ステップと、
前記第2のネットワークに前記要求を送る前に、前記コンポーネントを介して前記エンティティを認証するステップ(520)と、
フォワードプロキシに前記要求を送るステップ(525)と
を含む動作を実行することを特徴とするコンピュータ記憶媒体。
【請求項13】
前記コンポーネントを介して、前記デバイスに関連するエンティティを認証するステップが、前記第2のネットワークに属する前記フォワードプロキシに関連するセキュリティコンポーネントと通信するステップであって、前記フォワードプロキシが、前記デバイスと前記第2のネットワークとの間に論理的に存在するステップ、を含むことを特徴とする請求項12に記載のコンピュータ記憶媒体。
【請求項14】
前記フォワードプロキシが、少なくともHTTPプロキシとして動作し、かつ、前記コンポーネントを介して、前記デバイスに関連するエンティティを認証するステップが、クライアント証明書を使用するステップを含む、ことを特徴とする請求項13に記載のコンピュータ記憶媒体。
【請求項15】
前記フォワードプロキシからクッキーを受け取るステップであって、前記クッキーは、前記セキュリティコンポーネントにより前記エンティティが先に認証されたことを示すステップ、をさらに含むことを特徴とする請求項13に記載のコンピュータ記憶媒体。
【請求項16】
前記コンポーネントを介して前記クッキーを操作するステップをさらに含み、前記クッキーを操作するステップが、前記クッキーを記憶するステップと、前記第2のネットワークを介してアクセス可能なリソースを求める後に続く要求において、前記クッキーを送るステップと、を含むことを特徴とする請求項15に記載のコンピュータ記憶媒体。
【請求項17】
前記エンティティは、前記デバイスおよび/またはユーザを含むことを特徴とする請求項12に記載のコンピュータ記憶媒体。
【請求項18】
コンピュータ環境における装置であって、
第1のネットワークを介して利用可能なリソースへのアクセスを獲得しようとするエンティティの認証と併せて利用するための、認証プロトコルを判定するよう動作可能なプロトコルセレクタ(315)と、
前記エンティティに関連するデバイスを介して、前記認証プロトコルを使用して前記エンティティを認証するよう動作可能なクライアントコンポーネント(320)と、
第2の識別システムとの信頼関係を有する第1の識別システムから、前記エンティティの識別子を取得するよう動作可能なアイデンティティバリデータ(325)であって、前記第1の識別システムは前記第1のネットワーク上に存在し、前記第2の識別システムは第2のネットワーク上に存在する、アイデンティティバリデータと、
前記エンティティが認証されるかどうかをフォワードプロキシに対して示すよう動作可能なプロキシインフォーマ(330)であって、前記フォワードプロキシは、1つまたは複数のネットワークに亘って分散される複数のフォワードプロキシのうちの1つであり、前記フォワードプロキシは、認証されるエンティティが前記1つまたは複数のネットワークを介して利用可能なリソースにアクセスすること、を許可するよう構成される、プロキシインフォーマと
を備えることを特徴とする装置。
【請求項19】
前記エンティティと、前記第1のネットワークを介して利用可能な、前記エンティティによりアクセスされるリソースと、を識別する情報を記憶するよう動作可能な履歴トラッカをさらに備えることを特徴とする請求項18に記載の装置。
【請求項20】
前記エンティティと前記アクセスされるリソースとを識別する形式で、前記情報を提供するよう動作可能な報告コンポーネントをさらに備えることを特徴とする請求項19に記載の装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公表番号】特表2011−522326(P2011−522326A)
【公表日】平成23年7月28日(2011.7.28)
【国際特許分類】
【出願番号】特願2011−511664(P2011−511664)
【出願日】平成21年3月27日(2009.3.27)
【国際出願番号】PCT/US2009/038673
【国際公開番号】WO2009/151730
【国際公開日】平成21年12月17日(2009.12.17)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
【公表日】平成23年7月28日(2011.7.28)
【国際特許分類】
【出願日】平成21年3月27日(2009.3.27)
【国際出願番号】PCT/US2009/038673
【国際公開番号】WO2009/151730
【国際公開日】平成21年12月17日(2009.12.17)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
[ Back to top ]