JP6865281B2 - デバイスをいわゆるクラウドに接続する方法、その方法を実装したコンピュータープログラム、及びその方法を実行する処理ユニット - Google Patents
デバイスをいわゆるクラウドに接続する方法、その方法を実装したコンピュータープログラム、及びその方法を実行する処理ユニット Download PDFInfo
- Publication number
- JP6865281B2 JP6865281B2 JP2019528709A JP2019528709A JP6865281B2 JP 6865281 B2 JP6865281 B2 JP 6865281B2 JP 2019528709 A JP2019528709 A JP 2019528709A JP 2019528709 A JP2019528709 A JP 2019528709A JP 6865281 B2 JP6865281 B2 JP 6865281B2
- Authority
- JP
- Japan
- Prior art keywords
- cloud
- security
- service
- concierge service
- concierge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、第一に、例えば、インターネット又はイントラネット等を介してアクセス可能なアプリケーション、プラットフォーム、及びIT基盤を用いるために、デバイス(クライアント)をいわゆるクラウドに接続する方法に関する。本発明はさらに、その方法が実装されたコンピュータープログラム、及び、その方法を実行する、例えばいわゆるゲートウェイの形態の処理ユニットに関する。
クラウドサービスの利用は、ますます一般的になっており、それは、いわゆるIIoT用途(IIoT=Industrial Internet of Things:産業用のモノのインターネット)についても言える。しかしながら、クラウドサービスの利用には、様々なセキュリティリスクの問題がある。そのため、例えば、クラウドに送信されるデータの不正な盗聴及び/又はクラウドに送信される若しくはクラウドから呼び出されるデータの改変によって、例えば、データの信頼性及び完全性の損失という脅威にさらされるおそれがある。
特許文献1から、デバイスを特別なゲートウェイに接続し、このゲートウェイに、デバイスのセキュリティステータスについての情報を送信する、デバイスをクラウドに接続する方法が既知である。セキュリティステータスがガイドラインに規定された要件に適合する場合にのみ、クラウドへの接続が可能になる。そのようなガイドラインの枠組において、例えば、要求元デバイスが、セキュリティソフトウェア、特にガイドラインの枠組内で設定されたバージョンのセキュリティソフトウェアを有しなければならないこと、所定の種類の鍵を所有しなければならないこと、及び/又はウイルス対策ソフトウェア若しくはファイアウォールを備えなければならないことを規定することができる。
本発明の課題は、デバイス(クライアント)をクラウドに安全に接続する方法を提示することにある。
上記課題は、本発明によれば、請求項1に記載の特徴を有する方法によって解決される。本方法によれば、デバイス(クライアント)をクラウドに安全に接続するために、以下でコンシェルジュサービスと称する特別なサービスが用いられる。このコンシェルジュサービスを用いる場合、本明細書において提案されるデバイスをクラウドに安全に接続する方法は、以下のステップを含む。クライアントをクラウドのコンシェルジュサービスに接続し、このコンシェルジュサービスに、クライアントが提供する1つ又は複数のセキュリティ機能に関する情報を送信する。コンシェルジュサービスは、続いて、クライアントから送信された1つ又は複数のセキュリティ機能についての情報に基づいて、要求元クライアントに適合するセキュリティプロファイルを確立する。最終的に、コンシェルジュサービスは、要求元クライアントを、通信チャネルの群の中から確立されたセキュリティプロファイルに適合する通信チャネルに接続するか、又はそのような接続を仲介する。
本明細書に提示される手法の利点は、各クライアントが、クライアントの提供するセキュリティ機能に応じて、通信チャネルの群の中からそのセキュリティ機能に適合する通信チャネルに接続し、そうすることで、強力なセキュリティ機能及び対応するセキュリティプロファイルを有するクライアントを、より強力でないセキュリティ機能を有するか又はセキュリティ機能及びそれに伴うセキュリティプロファイルを有しないクライアントとは別様に扱うことができることにある。これにより、クラウドによって利用可能なサービスを用いる際の、これまでにない監視及び制御の可能性がもたらされ、ひいては結果として、それぞれのクライアントのユーザーに対するセキュリティの向上につながり、特に、クラウド内の同じサービスを利用する別のクライアントのユーザーに対するセキュリティの向上につながる。
ここでは、通信チャネルの群のうちのそれぞれの通信チャネルを、クライアントのセキュリティプロファイルに応じてそれぞれのクライアントに割り当てることにより、例えば、個々の通信チャネルを介した暗号化通信のセキュリティプロファイルに応じた使用が可能であり、その場合、強力なセキュリティ機能及び対応するセキュリティプロファイルを有するクライアントが、それぞれのセキュリティ機能の使用を完全にサポートする通信チャネルを利用する一方で、より強力でないセキュリティ機能を有するか又はセキュリティ機能を有しないクライアントは、例えば、データを暗号化せずに伝送することができる通信チャネルを利用するようになっている。
本発明の有利な形態は、従属請求項の主題である。この場合に用いられる参照は、それぞれの従属請求項の特徴による独立請求項の主題の更なる発展を示す。これは、参照される従属請求項の特徴の組合せに対する独立した客観的保護を得ることを放棄するものとして理解されるべきではない。さらに、特許請求の範囲の説明に関して及び従属請求項の特徴をより具体的に説明する場合の記載に関して、それぞれ先行する請求項、及びデバイスをいわゆるクラウドに安全に接続する具体的な方法のより一般的な実施形態における制限は存在しないことが前提となる。したがって、従属請求項の態様に関する記載における各参照は、特に記載されていなくても、明示的に任意選択の特徴の記載として読まれるべきである。
例えば、デバイス/クライアントのセキュリティプロファイルに応じて、複数の通信チャネルの群の中からセキュリティプロファイルに適合する通信チャネルを選択することができ、その後、クラウドとの通信は、選択された通信チャネルを介して行うことができる。したがって、通信チャネルの群からの通信チャネルの選択は、要求元クライアントのセキュリティプロファイルに応じて可能になる。
通信チャネルの群は、例えば、(少なくとも部分的に)並列通信チャネルであり、これは、一方ではクラウド又はクラウド内の1つ以上のアプリケーション、特にクラウド内の1つ以上のいわゆるサービスと、他方では要求元デバイス又は要求元クライアントとの間の少なくとも1つの部分にわたって構成される場合がある又は構成可能である。また、デバイス又はクライアントは、選択された通信チャネルを介して、クラウド又はクラウド内の1つ以上のアプリケーション、特にクラウド内の1つ以上のいわゆるサービスに接続可能である又は接続されている。例えば、通信チャネルには1つ以上のマイクロサービスを割り当てることができ、又は、通信チャネルは1つ以上のマイクロサービスを含むか、若しくは1つ以上のマイクロサービスから構成することができる。この場合、通信チャネルの群の通信チャネルは、1つ以上のマイクロサービスの機能及び/又はマイクロサービスの数及び/又はマイクロサービスの順序に関して互いに異なることができる。1つ以上又は全ての通信チャネルは、例えば、1つ以上のマイクロサービスから構成することができる。このために、1つ以上のマイクロサービスを、デバイス又はクライアントのセキュリティプロファイル又はセキュリティ機能に応じて選択することができる。また、異なるセキュリティ機能及び/又は異なるセキュリティプロファイルに対して、異なるマイクロサービスを選択することもできる。
本方法の実施形態において、デバイス(クライアント)と、クライアントの確立されたセキュリティプロファイルに適合する通信チャネルとの接続は、デバイスに対する第1のマイクロサービスの群のうちの予め与えられた又は予め与えられることができる第1のマイクロサービスの有効化とリンクする。クライアントと通信チャネルとの接続は、所定のマイクロサービス、すなわち、区別のために第1のマイクロサービスと称される、例えば、クラウド内におけるデータの記憶を可能にするサービスの有効化とリンクし、これは、例えば、各通信チャネルを1つ又は複数の所定の第1のマイクロサービスに割り当てることによって、通信チャネルとの接続及び所定の第1のマイクロサービスの有効化が同時に又は少なくとも関連して行われることを意味する。所定の第1のマイクロサービスのみを有効にすることで、例えば、それぞれのクライアントに対するそれぞれ確立されたセキュリティプロファイルに対応して、クラウド内のデータを記憶、改変、及び/又は消去する可能性を制限するとともに、高レベルのセキュリティプロファイルを有するクライアントに、それよりも低レベルのセキュリティプロファイルを有するクライアントとは別の広範な可能性を保証する。
本方法の付加的又は代替的な実施形態において、デバイス(クライアント)と、クライアントの確立されたセキュリティプロファイルに適合する通信チャネルとの接続は、通信チャネルを介して伝送されるデータを監視する、第2のマイクロサービスのうちの予め与えられた又は予め与えられることができる第2のマイクロサービスのアクティベートとリンクする。クライアントと通信チャネルとの接続は、所定のマイクロサービス、すなわち、区別のために第2のマイクロサービスと称されるサービス、例えば、クライアントを認証及び/又は承認するサービスのアクティベートとリンクし、これは、例えば、各通信チャネルを1つ又は複数の所定の第2のマイクロサービスに割り当てることによって、通信チャネルとの接続及び所定の第2のマイクロサービスのアクティベートが同時に又は少なくとも関連して行われることを意味する。異なる通信チャネルを介して、例えば、異なる強力な暗号アルゴリズムを用いたデータ伝送が可能である一方で、所定の第2のマイクロサービスのアクティベートにより、例えば、暗号化されないデータ伝送のための通信チャネルにおいても、伝送されるデータ等のチェックが可能になる。
本方法の更なる一実施形態において、デバイス(クライアント)と、クライアントの確立されたセキュリティプロファイルに適合する通信チャネルとの接続は、コンシェルジュサービスに含まれる、コンシェルジュサービスに割り当てられるか又はコンシェルジュサービスにとって少なくともアクセス可能なチャネル構成データベースにおけるデータに対応して行われる。チャネル構成データベースは、本明細書において提案されるクライアントとクラウドとの安全な接続の、簡単かつ場合によっては動的に変更可能なパラメーター設定を可能にする。チャネル構成データベースは、必要に応じて、クライアントとそれぞれのクライアントに対する所定の通信チャネルとの接続の際に有効にされる第1のマイクロサービスに関するデータ、及び/又は、クライアントとそれぞれの通信チャネルを介して伝送されるデータに対する所定の通信チャネルとの接続の際に有効にされる第2のマイクロサービスに関するデータも含む。またこのデータは、任意には動的に変更可能であり、それにより、本明細書において提案されるクライアントをクラウドに安全に接続する方法のまた更なるパラメーター設定の可能性を与える。
最初に述べた課題は、本明細書において以下に記載される方法を実行する手段を含むことで、クラウド内又はクラウドに対するインターフェースユニットとして機能する処理ユニット、特にゲートウェイ又はノードコンピューター等の形態の処理ユニットによっても解決される。本発明は、ソフトウェアに実装されることが好ましい。したがって、本発明は、一方では、処理ユニットの形態のコンピューターによって実行可能なプログラムコード命令を有するコンピュータープログラム、他方では、そのようなコンピュータープログラムを備える記憶媒体、すなわち、プログラムコード手段を備えるコンピュータープログラム製品、また最後に、本方法及びその形態を実行する手段としてそのようなコンピュータープログラムをメモリにロードされた又はロード可能な処理ユニットである。
更なる記載では、無用な繰返しを避けるために、クライアントをクラウドに安全に接続する上述の方法及び可能な形態に関して記載した特徴及び詳細は、当然ながら、その方法を実行するために所定の及び確立された処理ユニットに伴って及びそれに関しても当てはまり、また逆もしかりである。それにより、処理ユニットが方法を実行する手段を含むことで、処理ユニットは、個々の又は複数の方法の特徴にも対応して開発することができる。
デバイスをクラウドに接続する以下に記載の方法は、コンピュータープログラムの形態、場合によっては分散コンピュータープログラムの形態で自動的に実行されるように実装される。コンピュータープログラムは、クラウド内の又はクラウドに対するインターフェースとして機能する少なくとも1つの処理ユニット(ゲートウェイ、ノードコンピューター)によって実行されるように意図される。方法ステップ又は方法ステップシーケンスが以下に記載される場合、それらは、ユーザーの介入なしに自動的に、コンピュータープログラムに基づいて又はコンピュータープログラムの制御下で行われる動作に関する。「自動的」という用語が使用される場合、少なくとも、関連する動作が、コンピュータープログラムに基づいて又はコンピュータープログラムの制御下で行われることを意味する。
当業者であれば、本明細書において提案される方法をソフトウェアに実装する代わりに、同様に、ファームウェア、又はファームウェア及びソフトウェア、又はファームウェア及びハードウェアにおいて実装することも可能であることが自明である。したがって、本明細書に提示される記載は、ソフトウェアという用語又はコンピュータープログラムという用語が、別の実装可能性、すなわち、特に、ファームウェア、又はファームウェア及びソフトウェア、又はファームウェア及びハードウェアにおける実装も含むように意図される。
以下、本発明の実施例を、図面に基づいてより詳細に説明する。互いに対応する対象物又は要素は、全ての図において同じ参照符号が付されている。
実施例は、本発明を限定するものとして理解すべきではない。むしろ、本開示の枠組内で、拡張形態及び変更形態も完全に可能であり、特に、それらは、当業者であれば、例えば、課題の解決のために、全般的な又は特定の記載部分に関して記載される並びに特許請求の範囲及び/又は図面に含まれる個々の特徴又は方法ステップの組合せ又は変更によって導き出すことができ、また、組合せ可能な特徴によって新たな主題又は新たな方法ステップ若しくは方法ステップシーケンスをもたらす。
図1は、概略的に簡略化された概要図であり、一方はいわゆるクラウド10を、もう一方は、クラウド10と通信接続するためにこれに接続されるデバイス12を、象徴的に示している。クラウド10は、既知の様式では、図示されていない多数の(例えばインターネットを介して)互いに通信接続するデバイス又はサーバーを含む。クラウド10に含まれるデバイスと区別するために、クラウド10に属しない、クラウド10に接続されるデバイス12を、以下、クライアント12と称することもある。クラウド10に含まれるデバイスのタイプ及び/又は数は、クライアント12には無関係であり、また通常、クライアント12にとって未知である。
本明細書に提示される新規事項は、クライアント12をクラウド10に接続する際のセキュリティ対策が、これまでほとんどなされていなかったことに基づく。そのため、理論的には、「悪意のある」クライアント12がクラウド10に接続する場合、例えば、クラウド10に保持されたデータが消去若しくは改変されるか、又はクラウド10に有害なプログラムが侵入することで、大きな損害がもたらされ得る。
図2における図は、図1の図に基づいて、本明細書に提示される新規事項を基本とするようなシナリオを示している。これによれば、様々なデバイス(クライアント)が、クラウド10との接続を試行することが可能である。クライアント12、13、14、15、16として、動作時の技術的プロセスの制御及び/又は監視のための自動化ソリューションに含まれるデバイスであれば、例えば、PCベースシステム、いわゆるインテリジェントセンサー(スマートセンサー)及び/又はセンサーゲートウェイ(例えば、Raspberry Piに基づく)、自動化デバイス又は制御デバイス(例えば、プロセス制御システム(DCS、SPS)のプログラマブルロジックコントローラー(PLS)又はプログラマブルロジックデバイス)、及び状態監視デバイス等が考えられる。クラウド10の内部において、クライアント12〜16は、例として、例えば、データをクラウド10に記憶するサービス20(データストレージ)、及びクラウド10を用いてデータ分析を行うサービス22(データ分析)を含む、IIoTサービス(IIoT-Services;IIoT=Industrial Internet ofThings:産業用のモノのインターネット)18を利用可能である。
それぞれのクライアント12〜16のタイプ、及びまた基本的にはクラウド10において利用されるサービス18〜22のタイプは、以下では本質的に重要でない。しかしながら、様々なクライアント12〜16は、例えば、それぞれの計算能力に関して異なり、したがって、それぞれのクライアント12〜16の様々なセキュリティ機能又はセキュリティプロファイルもそれに応じることに留意されたい。提供されるセキュリティ機能又はセキュリティプロファイルのそれぞれの範囲は、この図においてSPx(SP=Security Profile)の符号で示され、図2における図は、クラウド10に接続された/接続されるクライアント12〜16が、それぞれ様々なセキュリティ機能及びセキュリティプロファイル(SP1、SP2、SP3、SP4、SP5)を伴うことを示している。所定のセキュリティ機能及びその結果であるセキュリティプロファイルを有するクライアント12〜16を正確に示すために、それぞれのクライアント12〜16は、例えば、SP1クライアント12、SP2クライアント13、SP3クライアント14、SP4クライアント15、及びSP5クライアント16とも称することができる。
クラウド10が提供するサービス18〜22を利用する各デバイス12〜16は、そのそれぞれのセキュリティ機能、及びその結果であるセキュリティプロファイルに応じて、クラウド10が提供する機能(クラウドプラットフォーム)によって潜在的なリスクを示す。
現在一般的なPCベースシステムの形態のクライアント12〜16は、例えば、基本的に複雑な暗号アルゴリズム(例えば、SSL/TSL)を用いるのに十分過ぎるほどの計算能力を有し、通常、有害なプログラム(ウイルススキャナー、トロイの木馬等)を認識するソフトウェアを備える。そのようなクライアント12〜16は、強力なセキュリティ機能を有し、それに対応して、クライアントには、最大で又は少なくとも1つの高レベルのセキュリティプロファイル(SP1)を割り当てることができる。より低レベルのセキュリティプロファイル(SP2)は、クライアント12〜16が、より低い性能、及びそれに対応して、より強力でないセキュリティ機能又は総じて低減した数のセキュリティ機能を有する、より古いコンピューターシステム又はPCベースシステムである場合にもたらされる。そのようなクライアント12〜16では、例えば、暗号化されたデータ伝送の際に用いる鍵(キー)の長さの制限が行われ、及び/又は、より強力でないが、計算もより複雑でない暗号アルゴリズムが用いられる。更により低レベルのセキュリティプロファイル(SP3)は、例えば、クライアント12〜16が、いわゆる組込みシステム(例えば、状態監視用)の形態である場合に与えることができる。そのようなクライアント12〜16は、限られた計算能力に起因して、例えば、基本的により安全な非対称鍵暗号化の代わりに、クラウド10内で提供されるサービス18との間で交換されるデータの対称鍵暗号化しか可能でない。クライアント12〜16が所定のデータについてのみ暗号化されたデータ伝送を可能とし、別のデータは暗号化されずに伝送される場合、更により低いセキュリティプロファイル(SP4)が与えられる。より低レベルのセキュリティプロファイル(SP5)を有するクライアント12〜16は、クラウド10からデータを受信するとともに、クラウド10にデータを伝送するが、例えば、そこで用いられるサービス18は、概して暗号化されない。
以下の記載は、より広範な普遍性を放棄することなく、IIoTサービス18〜22を提供するクラウドプラットフォームに基づいて引き続き行われる。そのようなサービス18〜22は、基本的には様々なデバイス(クライアント)12〜16及び様々な製造業者によって利用することができるため、「悪意のある」クライアント12〜16によって又はクライアント12〜16の「ハッキング」によって、攻撃者がクラウド10内で提供されるサービス18〜22に対するアクセスを得ようとする並々ならぬリスクが存在する。クラウド10内で提供されるサービス18〜22の保護は、そこで提供されるサービス18〜22へのアクセスを難しくして、そのようなサービス18〜22の利用のセキュリティを高め、したがって、最終的には、接続された正当な「悪意のない」クライアント12〜16のセキュリティも高める。
本明細書において提案される新規事項は、現状では、クラウド10におけるサービス18〜22を利用する又は利用しようとする個々のクライアント12〜16のクライアント固有の処理がもたらされないという認識に基づく。この問題を解決するために、それぞれのセキュリティプロファイル(SP1、SP2等)に応じた、少なくともそれぞれのクライアント12〜16からクラウド10及びそれぞれのサービス18〜22に送られる要求及び/又はデータの処理が提供される。必要に応じて、セキュリティプロファイルに応じた処理は、それぞれのクライアント12〜16によってクラウド10に送られる要求/データ、及びクラウド10からそれぞれのクライアント12〜16に送られる要求/データにまで及ぶ。
このために、クラウド10に対するアクセス、特に、クラウド10内で提供される個々のサービス18〜22に対するアクセスを或る程度監視する特別なサービスが、クラウド10の側に設けられる。したがって、このサービスは、例えば、建造物又は地所に対するアクセスを監視するコンシェルジュのような機能を果たす。このサービスは、以下では、先行の概略図に対応して、クラウド10内で利用可能な他のサービス18〜22と言語上区別するために、コンシェルジュサービス24(図3)と称される。
図3における図は、コンシェルジュサービス24と、コンシェルジュサービス24が、個々のクライアント12〜16を、それぞれのセキュリティプロファイルに対応して、それぞれのセキュリティプロファイルに適合するクラウド10への通信チャネル26、27、28、29、30に接続した状況のスナップショットとを示している(図3に例示として概略的に示された通信チャネル26〜30は、更にCH1、CH2、CH3、CH4、及びCH5の符号で示されている)。クライアント12〜16を通信チャネル26〜30に接続するために、複数の通信チャネル26〜30が利用可能であり、コンシェルジュサービス24は、通信チャネル26〜30の群の中からそれぞれのクライアント12〜16に対応する通信チャネル26〜30を選択する。したがって、コンシェルジュサービス24は、以下に更に詳細に説明される機能に対応して、セキュリティプロファイル管理者(セキュリティプロファイルネゴシエーター)と称することもできる。
コンシェルジュサービス24は、クラウド10のサービス18〜22へのアクセスを得ることを望むクライアント12〜16に対する、クラウド10において実装されるインターフェース32の一部である。コンシェルジュサービス24は、インターフェース32内で、そのようなクライアント12〜16にとって少なくとも最初のスタートポイントとして機能する。そのようなクライアント12〜16は、コンシェルジュサービス24にログインし(したがって、それぞれのクライアント12〜16とコンシェルジュサービス24との間の通信接続が確立される)、クライアント12〜16は、コンシェルジュサービス24に、デバイス12〜16が提供するセキュリティ機能に関する情報を送信する。この際に送信される情報は、クライアント12〜16のそれぞれのセキュリティプロファイルをコード化する識別子等、したがって、例えば、数字又は英数字の識別子、特に、例えば「SP1」、「SP2」等の文字列の形態の英数字の識別子とすることができる。送信される情報は、付加的又は代替的に、例えば、クライアント12〜16が用いることのできる1つ若しくは複数の暗号アルゴリズム、及び/又はクライアント12〜16が用いることのできる鍵長等をコード化する情報とすることもできる。
クラウド10のサービス18〜22へのアクセスを試行するクライアント12〜16からそのような情報を受信すると、コンシェルジュサービス24は、クライアント12〜16のセキュリティプロファイルを確立する。コンシェルジュサービス24によってセキュリティプロファイルを確立することは、最も簡単な例では、コンシェルジュサービス24が、それぞれのクライアント12〜16から受信する情報及びクライアント12〜16のセキュリティプロファイルが直接コード化する情報(例えば、「SP1」等の英数字の文字列の形態)を解釈することを本質とすることができる。セキュリティプロファイルを確立することは、コンシェルジュサービス24が、それぞれのクライアント12〜16から受信する情報を処理し、例えば、ルックアップテーブル(LUT)等によって評価し、これに基づいてセキュリティプロファイルを確立することを本質とすることもできる。
確立されたセキュリティプロファイルに応じて、コンシェルジュサービス24は、要求元クライアント12〜16を、確立されたセキュリティプロファイルに適合する通信チャネル26〜30に接続する。クライアント12〜16をそのセキュリティプロファイルに適合する通信チャネル26〜30にそのように接続する結果が、例えば、図3における図に示されている。高レベルのセキュリティプロファイルを有する第1のクライアント12(SP1;SP1クライアント12)は、これに適合する通信チャネル26(CH1)に接続される。同様に、より低いセキュリティプロファイル(SP2、SP3、SP4、SP5)を有する更なるクライアント13、14、15、16が、それぞれのセキュリティプロファイルに適合する通信チャネル27、28、29、30(CH2、CH3、CH4、CH5)に接続される。
したがって、各セキュリティプロファイルには、それに適合する通信チャネル26〜30が対応する。通信チャネル26〜30は、通信チャネル26〜30が、ここでもクラウド10内で提供されるサービス18〜22に対する及びそれに伴うセキュリティプロファイルに適合する通信可能性を提供することによって、セキュリティプロファイルに適合する。最高レベルのセキュリティプロファイル(SP1)に対応する通信チャネル26(CH1)は、例えば、特に強力な暗号アルゴリズムの使用が可能であり、最低レベルのセキュリティプロファイル(SP5)に適合する通信チャネル30(CH5)は、例えば、クラウド10におけるサービス18〜22との間の暗号化されないデータ送信を可能にする。
クライアント12〜16とクラウド10内の1つ以上のサービス18〜22との間のインターフェース32は、コンシェルジュサービス24の他に、データベース34(チャネル構成データベース)と、クラウドサービスのため及びクラウドサービスに対する第1のルーター36(クラウドサービスルーター)と、セキュリティサービスのため及びセキュリティサービスに対する第2のルーター38(セキュリティサービスルーター)と、上述のサービス18〜22と区別するためにマイクロサービス40、42と称する第1のサービス及び第2のサービスとを含む。
第1のマイクロサービス40(クラウドマイクロサービス;C1、C2、C3、C4)は、例えば、クラウド10内にデータを記憶するサービス、テナント管理のためのサービス(テナントマネジメントサービス)、データ分析のためのサービス等、例えばフリートマネジメントアプリケーション、ベンチマーキングアプリケーション、アセットマネジメントアプリケーション、ワランティーマネジメントアプリケーション、又はそのようなサービス及びアプリケーションの部分機能を含む。第1のルーター36(クラウドサービスルーター)は、1つ又は少数の通信チャネル26〜30を1つ又は少数の第1のマイクロサービス40に接続する。通信チャネル26〜30の1つ又は少数の第1のマイクロサービス40への接続は、特に、チャネル構成データベース34に蓄積された、特にユーザーによって任意には動的に適合可能なデータに対応して行われる。
第2のマイクロサービス42(セキュリティマイクロサービス;S1、S2、S3、S4)は、認証及び/又は承認のためのサービス、有害なソフトウェアを発見するサービス、ヒューリスティックなセキュリティチェック(ヒューリスティックセキュリティスキャン)のためのサービス、通信リンクの範囲内で伝送されるデータの分析を行うサービス(ディープパケットインスペクション)、いわゆるサンドボックスのためのサービス等を含む。第2のルーター38(セキュリティサービスルーター)は、1つ又は少数の通信チャネル26〜30を介して、クライアント12〜16からクラウド10に、又は任意にクライアント12〜16からクラウド10に及びクラウド10からクライアント12〜16に送信されるデータに関して、1つ又は少数の第2のマイクロサービス42を実行させる。また、これに関して、通信チャネル26〜30の1つ又は少数の第1のマイクロサービス40への割当てと同様、通信チャネル26〜30の1つ又は少数の第2のマイクロサービス42への割当ても行われる。通信チャネル26〜30の1つ又は少数の第2のマイクロサービス42への割当ては、特に、チャネル構成データベース34に蓄積された、特にユーザーによって任意には動的に適合可能なデータに対応して行われる。
チャネル構成データベース34によって、例として、例えば、図面において参照符号28で示される通信チャネル(CH3)を利用する際、少なくとも、この通信チャネル(CH3)を介してクラウド10に送信されるデータに所定の第2のマイクロサービス42(例えば、S1、S2、及びS5の符号で示される第2のマイクロサービス42)が適用され、この通信チャネル28を用いる際、所定の第1のマイクロサービス40(例えば、C1、C3、C4の符号で示される第1のマイクロサービス40)を利用することができることを規定することができる。これに関して、チャネル構成データベース34内には、この割当てをコード化するデータが蓄積される。これは、直前に記載した例に関して記号を用いて以下のように示すことができる。CH3:S={S1,S2,S5};C={Cl,C3,C4}。したがって、一般的には、チャネル構成データベース34の内容は、インターフェース32によって保護及び監視される各通信チャネル26〜30に関して以下のように記載することができる。CHx:S={Sa...Sb}|Sa,Sb∈{S1...Sn};C={Ca...Cb}|Ca,Cb∈{C1...Cn}。
具体的な例において、クライアント12〜16として、クラウド10において提供される1つ以上のサービス18〜22を利用するためにクラウド10への接続を試行するデバイス12〜16は、組込みデバイス、例えば、センサーデータを受け取り、処理し、転送する組込みデバイスである。このデバイスが保護された、特に暗号化されたデータ伝送の可能性を提供しない場合、したがって、保護及び/又は暗号化されないデータしかクラウド10に伝送することができない場合、コンシェルジュサービス24は、低レベルのセキュリティプロファイル、例えば、最も低いセキュリティレベルのセキュリティプロファイル(SP5)を認識する。暗号化されない通信、又は別様に好適な様式で(例えば、クライアント12〜16の証明書に基づく認証によって)保護されない通信は、例えば、いわゆる中間者攻撃を受けやすい。したがって、クラウド10への及びクラウド10において提供されるサービス18〜22に対する全ての通信は、そのようなSP5クライアント16において、このために設けられた通信チャネル26〜30、ここでは図3において参照符号30で示された通信チャネル(CH5)を介して処理され、SP5クライアント16によるこの通信チャネル30(CH5)の利用の際、自動的に、すなわち、チャネル構成データベース34内のデータに従って、通信チャネル30(CH5)を介して伝送されるデータに対する、通信チャネル30(CH5)に接続された所定の第2のマイクロサービス42(セキュリティマイクロサービス)がアクティベートされる。したがって、SP5クライアント16からクラウド10に送信されるデータは、例えば、特に基礎的な検査(ディープパケットインスペクション)及び/又はヒューリスティックなセキュリティチェック(ヒューリスティックセキュリティスキャン)を受ける。一方で、SP5クライアント16は、同様にチャネル構成データベース34内のデータに基づいて、低いセキュリティレベルに適合する所定の第1のマイクロサービス40(クラウドマイクロサービス)に対して限定的なアクセスしか有しない。したがって、SP5クライアント16は、例えば、クラウド10内のデータメモリとして機能するサービス20(データストレージ)に時系列データ(Time Series Data)等しか送ることができない、例えば、データを伝送することができない、及び/又はデータをクラウド10からダウンロードすることができない。同様に、例えば、SP5クライアント16(デバイスマネジメントマイクロサービス)を構成するマイクロサービス40も利用することができない。したがって、セキュリティ機能を有しない又はセキュリティ機能が強力でないことによって生じる低レベルのセキュリティプロファイルを有するクライアント12〜16が、攻撃者によって乗っ取られるか、又は攻撃者がクライアント12〜16とクラウド10との通信に介入する場合、攻撃者の行動可能性が制限され、攻撃者が、例えば他者のデータを盗聴、改変、又は消去し得ることが有効に阻止される。
クラウド10内のサービス18〜22及び/又はデータを保護するために、また、クラウド10に対するアクセスに本明細書に提示される手法を組み込むために、当然ながら、保護されるサービス18〜22及びそのデータへのアクセスは、コンシェルジュサービス24によって、及び特定の実施形態ではコンシェルジュサービス24を含むインターフェース32によって処理される通信チャネル26〜30及び/又は有効にされた第1のマイクロサービス40を介してのみ可能であることが意図される。
最後に、図4における図は、概略的に簡略化された形態で、例としてソフトウェアにおいて方法を実装するコンピュータープログラム44をフロー図の形態で示している。これによれば、本方法は、デバイス12〜16がクラウド10のコンシェルジュサービス24に接続し、コンシェルジュサービス24に、デバイス12〜16が提供するセキュリティ機能に関する情報を送信する第1のステップ46を含む。第1のステップ46の間、コンシェルジュサービス24は、クラウド10への接続を試行するデバイス12〜16からこれらの情報を受信する。続く第2のステップ48において、コンシェルジュサービス24は、第1のステップ46の間にデバイス12〜16によって送信されたそのセキュリティ機能に関する情報に基づいて、要求元デバイス12〜16に適合するセキュリティプロファイルを確立する。最終的な第3のステップ50において、コンシェルジュサービス24は、要求元デバイス12〜16を、確立されたセキュリティプロファイルに適合する通信チャネル26〜30に接続する。第3のステップ50には、任意選択の第4のステップ52、又は第4のステップ52及び第5のステップ54が含まれる。第4のステップ52において、デバイス12〜16に対する第1のマイクロサービス40の群のうちの予め与えられた又は予め与えられることができる第1のマイクロサービス40の有効化が行われる。第5のステップ54において、選択された通信チャネル26〜30を介して伝送されるデータを監視するために、第2のマイクロサービス42の群のうちの予め与えられた又は予め与えられることができる第2のマイクロサービス42のアクティベートが行われる。第1のマイクロサービス40及び/又は第2のマイクロサービス42は、例えば、チャネル構成データベース34内の対応するデータの形態で予め与えられるか又は予め与えることができる。
図4に概略的に簡略化されて示されているように、本明細書に提示される方法が実装されたコンピュータープログラム44、及び場合によっては少数又は複数の実施形態が、処理ユニット58のメモリ56、例えば、クラウド10内又はクラウド10に対するゲートウェイとして機能する処理ユニット58のメモリ56にロードされ、デバイス12〜16をクラウド10に接続する処理ユニット58の動作時に実行される。
本発明を実施例によって比較的詳細に説明及び記載したが、本発明は、開示している例に限定されず、当業者であれば、本発明の保護範囲から逸脱することなく、本発明から別の変形形態を導き出すことができる。
したがって、本明細書に提示された記載の個々の重要な態様は、以下に短く要約することができる。本明細書において提案される新規事項は、それぞれのデバイス12〜16をまずクラウド10のコンシェルジュサービス24に接続し、コンシェルジュサービス24に、デバイス12〜16が提供するセキュリティ機能に関する情報を送信し、そして、コンシェルジュサービス24が、要求元デバイス12〜16によって送信されたそのセキュリティ機能についての情報に基づいて、デバイス12〜16に適合するセキュリティプロファイルを確立し、要求元デバイス12〜16を、複数の通信チャネル26〜30の群の中から確立されたセキュリティプロファイルに適合する通信チャネル26〜30に接続し、そのため、コンシェルジュサービス24によってクラウド10に接続する各クライアント12〜16は、それぞれのセキュリティプロファイルに対応して通信チャネル26〜30を利用することで、デバイス12〜16をクラウド10に安全に接続することを可能にする。本方法の形態において、各通信チャネル26〜30及び/又はセキュリティプロファイルによって、セキュリティプロファイルに固有の更なる制御可能性、例えば、保護されていない通信チャネル26〜30を介して伝送されるデータの特に基本的なチェック、及び/又は、クライアント12〜18のセキュリティプロファイル及び/又は使用される通信チャネル26〜30に応じたクライアント12〜18に対する機能制限を付加することができる。
Claims (10)
- デバイス(12〜16)をクラウド(10)に安全に接続する方法であって、
デバイス(12〜16)を前記クラウド(10)のコンシェルジュサービス(24)に接続し、該コンシェルジュサービス(24)に、前記デバイス(12〜16)が提供するセキュリティ機能に関する情報を送信するステップを含み、
前記コンシェルジュサービス(24)は、前記デバイス(12〜16)によって送信されるセキュリティ機能に関する情報に基づいて、前記要求元デバイス(12〜16)に適合するセキュリティプロファイルを確立し、
前記コンシェルジュサービス(24)は、前記要求元デバイス(12〜16)を、前記クラウド(10)との通信のため、通信チャネル(26〜30)の群の中から前記確立されたセキュリティプロファイルに適合する通信チャネル(26〜30)のいずれかに接続し、
前記コンシェルジュサービス(24)は、クラウドサービスルーター(36)を用いて、前記通信チャネル(26〜30)をクラウドマイクロサービス(40)の1つまたは複数に接続し、
前記コンシェルジュサービス(24)は、前記通信チャネル(26〜30)用の前記クラウドマイクロサービス(40)をチャネル構成データベース(34)内に記載する、
ことを特徴とする、方法。 - デバイス(12〜16)をクラウド(10)に安全に接続する方法であって、
デバイス(12〜16)を前記クラウド(10)のコンシェルジュサービス(24)に接続し、該コンシェルジュサービス(24)に、前記デバイス(12〜16)が提供するセキュリティ機能に関する情報を送信するステップを含み、
前記コンシェルジュサービス(24)は、前記デバイス(12〜16)によって送信されるセキュリティ機能に関する情報に基づいて、前記要求元デバイス(12〜16)に適合するセキュリティプロファイルを確立し、
前記コンシェルジュサービス(24)は、前記要求元デバイス(12〜16)を、前記クラウド(10)との通信のため、通信チャネル(26〜30)の群の中から前記確立されたセキュリティプロファイルに適合する通信チャネル(26〜30)のいずれかに接続し、
前記コンシェルジュサービス(24)は、セキュリティサービスルーター(38)を用いて、前記通信チャネル(26〜30)をセキュリティマイクロサービス(42)の1つまたは複数に接続し、
前記コンシェルジュサービス(24)は、前記通信チャネル(26〜30)用の前記セキュリティマイクロサービス(42)をチャネル構成データベース(34)内に記載する、
ことを特徴とする、方法。 - デバイス(12〜16)をクラウド(10)に安全に接続する方法であって、
デバイス(12〜16)を前記クラウド(10)のコンシェルジュサービス(24)に接続し、該コンシェルジュサービス(24)に、前記デバイス(12〜16)が提供するセキュリティ機能に関する情報を送信するステップを含み、
前記コンシェルジュサービス(24)は、前記デバイス(12〜16)によって送信されるセキュリティ機能に関する情報に基づいて、前記要求元デバイス(12〜16)に適合するセキュリティプロファイルを確立し、
前記コンシェルジュサービス(24)は、前記要求元デバイス(12〜16)を、前記クラウド(10)との通信のため、通信チャネル(26〜30)の群の中から前記確立されたセキュリティプロファイルに適合する通信チャネル(26〜30)のいずれかに接続し、
前記コンシェルジュサービス(24)は、クラウドサービスルーター(36)を用いて、前記通信チャネル(26〜30)をクラウドマイクロサービス(40)の1つまたは複数に接続し、
前記コンシェルジュサービス(24)は、セキュリティサービスルーター(38)を用いて、前記通信チャネル(26〜30)をセキュリティマイクロサービス(42)の1つまたは複数に接続し、
前記コンシェルジュサービス(24)は、前記通信チャネル(26〜30)用の前記クラウドマイクロサービス(40)と前記セキュリティマイクロサービス(42)とをチャネル構成データベース(34)内に記載する、
ことを特徴とする、方法。 - 前記デバイス(12〜16)と、該デバイス(12〜16)の前記確立されたセキュリティプロファイルに適合する通信チャネル(26〜30)との前記接続は、前記コンシェルジュサービス(24)にとってアクセス可能な前記チャネル構成データベース(34)内のデータに対応して行われる、請求項1、2、又は3に記載の方法。
- プログラムコード手段を備えるコンピュータープログラム(44)であって、該コンピュータープログラム(44)が、クラウド(10)に対する又は該クラウド(10)内のインターフェースとして機能する処理ユニット(58)上で実行されるときに、請求項1〜4のいずれか1項に記載の全てのステップを実行する、コンピュータープログラム。
- コンピューター可読データ媒体上に記憶されたプログラムコード手段を備えるコンピュータープログラムであって、該コンピュータープログラムが、クラウド(10)に対する又は該クラウド(10)内のインターフェースとして機能する処理ユニット(58)上で実行されると、請求項1〜4のいずれか1項に記載の方法を実行する、コンピュータープログラム。
- クラウド(10)に対する又は該クラウド(10)内のインターフェースとして機能する処理ユニット(58)とインタラクトすることができる電子的に読み出し可能な制御信号を伴うデジタル記憶媒体であって、請求項1〜4のいずれか1項に記載の方法を実行する、デジタル記憶媒体。
- 請求項5に記載のコンピュータープログラム(44)がロードされたメモリ(56)を備える処理ユニット(58)であって、該処理ユニット(58)の動作に際して、請求項1〜4のいずれか1項に記載のデバイス(12〜16)をクラウド(10)に安全に接続する方法を実行するように構成される、処理ユニット。
- デバイス(12〜16)をクラウド(10)内のサービス(18〜22)の1つまたは複数に接続する、クラウド(10)において実装されるインターフェース(32)であって、前記インターフェース(32)は、コンシェルジュサービス(24)、データベース(34)、クラウドサービスルーター(36)、セキュリティサービスルーター(38)を含み、
前記コンシェルジュサービス(24)は、前記デバイス(12〜16)を前記クラウド(10)に接続するとき、前記デバイス(12〜16)のセキュリティ機能に関する情報を受信し、
前記コンシェルジュサービス(24)は、受信した前記デバイス(12〜16)のセキュリティ機能に関する情報に基づいて、前記デバイス(12〜16)のセキュリティプロファイルを確立し、
前記コンシェルジュサービス(24)は、前記デバイス(12〜16)を、通信チャネル(CH1、CH2、CH3、CH4、CH5)のうちの通信チャネルのいずれか(CHx)に接続し、その際、接続された前記通信チャネル(CHx)は、確立された前記デバイス(12〜16)のセキュリティプロファイルに適合し、
前記コンシェルジュサービス(24)は、前記クラウドサービスルーター(36)を用いて、前記通信チャネル(CHx)にクラウドマイクロサービス(C)の1つ又は複数を接続し、
前記コンシェルジュサービス(24)は、前記セキュリティサービスルーター(38)を用いて、前記通信チャネル(CHx)にセキュリティマイクロサービス(S)の1つ又は複数を実行し、
前記コンシェルジュサービス(24)は、前記通信チャネル(26〜30)用の前記クラウドマイクロサービス(40)と前記セキュリティマイクロサービス(42)とをチャネル構成データベース(34)内に記載する、
インターフェース。 - 前記通信チャネル(CHx)用の前記クラウドマイクロサービス(C)と前記セキュリティマイクロサービス(S)とを前記チャネル構成データベース(34)内に以下の形で記載する、
CHx:S={Sa...Sb}|Sa,Sb∈{S1...Sn};C={Ca...Cb}|Ca,Cb∈{C1...Cn}、
請求項9に記載のインターフェース(32)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP16201204.1 | 2016-11-29 | ||
| EP16201204.1A EP3328016A1 (de) | 2016-11-29 | 2016-11-29 | Verfahren zum verbinden von geräten mit der sogenannten cloud, computerprogramm mit einer implementation des verfahrens und verarbeitungseinheit zur ausführung des verfahrens |
| PCT/EP2017/076546 WO2018099647A1 (de) | 2016-11-29 | 2017-10-18 | Verfahren zum verbinden von geräten mit der sogenannten cloud, computerprogramm mit einer implementation des verfahrens und verarbeitungseinheit zur ausführung des verfahrens |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019537381A JP2019537381A (ja) | 2019-12-19 |
| JP6865281B2 true JP6865281B2 (ja) | 2021-04-28 |
Family
ID=57460339
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019528709A Expired - Fee Related JP6865281B2 (ja) | 2016-11-29 | 2017-10-18 | デバイスをいわゆるクラウドに接続する方法、その方法を実装したコンピュータープログラム、及びその方法を実行する処理ユニット |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11349882B2 (ja) |
| EP (2) | EP3328016A1 (ja) |
| JP (1) | JP6865281B2 (ja) |
| CN (1) | CN110024351B (ja) |
| WO (1) | WO2018099647A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3798878B1 (de) * | 2019-09-24 | 2022-11-09 | Siemens Aktiengesellschaft | Anordnung und verfahren zur sicheren ausführung eines automatisierungsprogramms in einem cloud-computing-umfeld |
| CN110719169A (zh) * | 2019-11-07 | 2020-01-21 | 北京小米移动软件有限公司 | 传输路由器安全信息的方法及装置 |
| JP2024057979A (ja) | 2022-10-13 | 2024-04-25 | キヤノン株式会社 | 情報処理装置と、情報処理装置に接続されているデバイスをサーバに登録する方法、及びプログラム |
| US20240176911A1 (en) * | 2022-11-28 | 2024-05-30 | Mastercard International Incorporated | Device certification based on device capabilities |
| CN117922455A (zh) * | 2023-03-20 | 2024-04-26 | 小米汽车科技有限公司 | 联动系统、方法、车辆、存储介质与芯片 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8220042B2 (en) | 2005-09-12 | 2012-07-10 | Microsoft Corporation | Creating secure interactive connections with remote resources |
| US8655939B2 (en) * | 2007-01-05 | 2014-02-18 | Digital Doors, Inc. | Electromagnetic pulse (EMP) hardened information infrastructure with extractor, cloud dispersal, secure storage, content analysis and classification and method therefor |
| US8468244B2 (en) * | 2007-01-05 | 2013-06-18 | Digital Doors, Inc. | Digital information infrastructure and method for security designated data and with granular data stores |
| US20090254372A1 (en) * | 2007-12-05 | 2009-10-08 | Bartholomew Iii Samuel W | Medication Risk Assessment System |
| US8484174B2 (en) * | 2008-03-20 | 2013-07-09 | Microsoft Corporation | Computing environment representation |
| US20090248737A1 (en) * | 2008-03-27 | 2009-10-01 | Microsoft Corporation | Computing environment representation |
| US9032535B2 (en) * | 2009-12-31 | 2015-05-12 | Sandisk Technologies Inc. | Storage device and method for providing a scalable content protection system |
| US9087189B1 (en) * | 2011-05-03 | 2015-07-21 | Symantec Corporation | Network access control for cloud services |
| US9032494B2 (en) | 2011-11-10 | 2015-05-12 | Sony Corporation | Network-based revocation, compliance and keying of copy protection systems |
| US8830057B1 (en) * | 2012-02-09 | 2014-09-09 | Google Inc. | Systems and methods for using robots to monitor environmental conditions in an environment |
| EP2634736A1 (en) | 2012-02-29 | 2013-09-04 | Accenture Global Services Limited | Computer network, electronic transactions cloud and computer-implemented method for secure electronic transactions |
| CN103002445A (zh) * | 2012-11-08 | 2013-03-27 | 张维加 | 一种安全的提供应用服务的移动电子设备 |
| KR102069876B1 (ko) * | 2012-12-21 | 2020-01-23 | 삼성전자주식회사 | 전자 기기, 개인 클라우드 기기, 개인 클라우드 시스템 및 이들의 개인 클라우드 기기 등록 방법 |
| JP6188093B2 (ja) * | 2012-12-26 | 2017-08-30 | リアルテック シンガポール プライベート リミテッド | 通信トラフィック処理アーキテクチャおよび方法 |
| US10038726B2 (en) * | 2013-06-12 | 2018-07-31 | Visa International Service Association | Data sensitivity based authentication and authorization |
| US20150188949A1 (en) * | 2013-12-31 | 2015-07-02 | Lookout, Inc. | Cloud-based network security |
| KR102247410B1 (ko) | 2014-02-07 | 2021-05-04 | 오라클 인터내셔날 코포레이션 | 모바일 클라우드 서비스 아키텍처 |
| US9094407B1 (en) * | 2014-11-21 | 2015-07-28 | Citrix Systems, Inc. | Security and rights management in a machine-to-machine messaging system |
| US9781542B2 (en) * | 2014-11-21 | 2017-10-03 | Facebook, Inc. | Techniques for predictive power management of a mobile device |
| CN105812428B (zh) | 2014-12-30 | 2019-09-27 | 联芯科技有限公司 | 家庭公用资源管理方法和系统 |
| WO2016123112A1 (en) * | 2015-01-26 | 2016-08-04 | Mobile Iron, Inc. | Secure access to cloud-based services |
| US10171484B2 (en) * | 2016-08-30 | 2019-01-01 | International Business Machines Corporation | Securing services in a networked computing environment |
| US10874786B2 (en) * | 2017-05-31 | 2020-12-29 | Nephrodite LLC | Implantable dialysis device |
-
2016
- 2016-11-29 EP EP16201204.1A patent/EP3328016A1/de not_active Withdrawn
-
2017
- 2017-10-18 CN CN201780073540.4A patent/CN110024351B/zh active Active
- 2017-10-18 JP JP2019528709A patent/JP6865281B2/ja not_active Expired - Fee Related
- 2017-10-18 WO PCT/EP2017/076546 patent/WO2018099647A1/de not_active Ceased
- 2017-10-18 EP EP17791642.6A patent/EP3529967B1/de active Active
- 2017-10-18 US US16/464,016 patent/US11349882B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3328016A1 (de) | 2018-05-30 |
| US11349882B2 (en) | 2022-05-31 |
| US20190379706A1 (en) | 2019-12-12 |
| WO2018099647A1 (de) | 2018-06-07 |
| CN110024351B (zh) | 2022-04-08 |
| EP3529967B1 (de) | 2023-10-11 |
| EP3529967A1 (de) | 2019-08-28 |
| JP2019537381A (ja) | 2019-12-19 |
| CN110024351A (zh) | 2019-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10659434B1 (en) | Application whitelist using a controlled node flow | |
| US10659462B1 (en) | Secure data transmission using a controlled node flow | |
| JP6865281B2 (ja) | デバイスをいわゆるクラウドに接続する方法、その方法を実装したコンピュータープログラム、及びその方法を実行する処理ユニット | |
| US10938800B2 (en) | System and method for secure access of a remote system | |
| US11140195B2 (en) | Secure endpoint in a heterogenous enterprise network | |
| US11271950B2 (en) | Securing endpoints in a heterogenous enterprise network | |
| US10972431B2 (en) | Device management based on groups of network adapters | |
| US20080282080A1 (en) | Method and apparatus for adapting a communication network according to information provided by a trusted client | |
| US11362827B2 (en) | IOT security mechanisms for industrial applications | |
| US9306953B2 (en) | System and method for secure unidirectional transfer of commands to control equipment | |
| US11134056B2 (en) | Portal for managing admission of unrecognized devices to an enterprise network | |
| CN109479056A (zh) | 用于建立到工业自动化系统的安全的通信连接的方法和防火墙系统 | |
| US9716703B2 (en) | Systems and methods of geo-location based community of interest | |
| US20230006988A1 (en) | Method for selectively executing a container, and network arrangement | |
| KR102377248B1 (ko) | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| KR101896449B1 (ko) | 암호화 통신 프로토콜 기반 서버 원격 접근 세션에 대한 보안 감사 및 통제를 위한 접근 통제 시스템 | |
| CN107579993B (zh) | 一种网络数据流的安全处理方法及装置 | |
| US11139974B2 (en) | Control apparatus | |
| US20160205102A1 (en) | Secure Remote Authentication of Local Machine Services Using a Self Discovery Network Protocol | |
| JP6896264B2 (ja) | 通信装置、通信方法、及びプログラム | |
| KR102118380B1 (ko) | 사용자별 서버 작업 통제 기능을 탑재한 접근통제 시스템 | |
| US8108904B1 (en) | Selective persistent storage of controller information | |
| US11575654B1 (en) | Enabling efficient communication in a hybrid network | |
| WO2019152505A1 (en) | Managing admission of unrecognized devices onto an enterprise network | |
| KR101490227B1 (ko) | 트래픽 제어 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190716 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190716 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200625 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200728 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201023 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210309 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210405 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6865281 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |