ES2730125T3 - Procedimiento de conexión de seguridad, desde un dispositivo informático cliente, a un recurso informático - Google Patents

Procedimiento de conexión de seguridad, desde un dispositivo informático cliente, a un recurso informático Download PDF

Info

Publication number
ES2730125T3
ES2730125T3 ES16781511T ES16781511T ES2730125T3 ES 2730125 T3 ES2730125 T3 ES 2730125T3 ES 16781511 T ES16781511 T ES 16781511T ES 16781511 T ES16781511 T ES 16781511T ES 2730125 T3 ES2730125 T3 ES 2730125T3
Authority
ES
Spain
Prior art keywords
server
gateway
session
agent
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16781511T
Other languages
English (en)
Inventor
Serge Adda
Raphaël Zhou
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wallix SARL
Original Assignee
Wallix SARL
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wallix SARL filed Critical Wallix SARL
Application granted granted Critical
Publication of ES2730125T3 publication Critical patent/ES2730125T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Procedimiento de conexión de seguridad, desde un dispositivo informático cliente, a un recurso informático objetivo que comprende un servidor y si es necesario una aplicación ejecutada en dicho servidor, implementando una pasarela intermediaria que comprende una memoria para el registro de las informaciones relativas a dicha conexión así como al menos un agente ejecutable en dicho servidor durante una sesión, comprendiendo el procedimiento las etapas siguientes: - la emisión de una solicitud de apertura de sesión por una aplicación instalada en la estación cliente, que implica la creación de una sesión primaria entre la estación cliente y la pasarela intermediaria. Dicha solicitud puede contener el identificador del servidor objetivo o de la aplicación objetivo. - la apertura de una sesión entre dicha pasarela intermediaria y dicho servidor estando dicho procedimiento caracterizado por que - dicha etapa de emisión de una solicitud se implementa mediante la apertura previa de una sesión primaria [RDP] entre la estación cliente y la pasarela intermediaria por el envío de un mensaje que comprende el identificador del servidor objetivo o de la aplicación objetivo - dicha etapa de instalación de al menos un agente se ejecuta comprendiendo sucesivamente: - dicha etapa de apertura de una sesión secundaria entre dicha pasarela intermediaria y dicho servidor, comprendiendo dicha etapa la colocación de la redirección de un disco emulado por la pasarela intermediaria en el que se registra dicho agente, - la ejecución de un guion de temporización que espera a que dicho disco emulado esté disponible. - la copia del agente hacia un directorio situado en el servidor. - la ejecución del agente en dicho servidor - el establecimiento de un canal virtual entre el servidor y la pasarela para la comunicación entre el agente y la pasarela - a continuación, la apertura de un canal ascendente entre la estación cliente y el servidor. - finalmente el agente lanza el administrador o la aplicación objetivo inyectándole los identificadores aplicativos necesarios transmitidos por la pasarela.

Description

DESCRIPCIÓN
Procedimiento de conexión de seguridad, desde un dispositivo informático cliente, a un recurso informático Campo de la invención
La presente invención se refiere al campo de los servidores de aplicación, y más particularmente de los procedimientos y sistemas de acceso a recursos aplicativos alojados en uno o varios servidores, por un usuario. Estado de la técnica
Se conoce en particular en el estado de la técnica la solicitud de patente europea EP2894814 de un procedimiento de supervisión de una sesión sobre un sistema objetivo.
Se instala un agente transitorio específico para la supervisión de la sesión en el sistema objetivo durante la recepción de la solicitud de apertura que procede del cliente del usuario.
La sesión se establece entre el usuario y el sistema objetivo a través de una red de comunicación.
El agente transitorio supervisa la sesión, recoge los datos de los eventos que se producen en el sistema objetivo en el transcurso de la sesión.
El agente transitorio se desinstala cuanto termina la sesión.
Inconvenientes de la técnica anterior
La solución propuesta por la solicitud EP2894814 prevé una etapa de instalación, por ejemplo mediante un comando PsExec, que necesita conexiones de redes adicionales y privilegios particulares en el servidor objetivo.
Por otra parte, necesita proceder a una etapa específica de desinstalación del agente, para evitar que su ejecución fuera de la sesión consuma inútilmente capacidades de cálculo del servidor.
Solución aportada por la invención
El objeto de la presente invención es solucionar estos inconvenientes proponiendo una solución más simple y más segura, evitando en particular una etapa expresa de desinstalación. La solución objeto de la presente invención evita igualmente fallos de seguridad.
La invención se refiere según su acepción más general a un procedimiento de conexión de seguridad, desde un dispositivo informático cliente, a un recurso informático objetivo que comprende un servidor y si es necesario una aplicación ejecutada en dicho servidor, implementando una pasarela intermediaria que comprende una memoria para el registro de las informaciones relativas a dicha conexión así como al menos un agente ejecutable en dicho servidor durante una sesión, comprendiendo el procedimiento las etapas siguientes:
- la emisión de una solicitud de apertura de sesión por una aplicación instalada en la estación cliente, que implica la creación de una sesión primaria entre la estación cliente y la pasarela intermediaria. Dicha solicitud puede contener el identificador del servidor objetivo o de la aplicación objetivo.
- la apertura de una sesión entre dicha pasarela intermediaria y dicho servidor
Estando dicho procedimiento caracterizado por que
- dicha etapa de instalación de al menos un agente se ejecuta comprendiendo sucesivamente:
o dicha etapa de apertura de una sesión secundaria entre dicha pasarela intermediaria y dicho servidor, comprendiendo dicha etapa la colocación de la redirección de un disco emulado por la pasarela intermediaria en el que se registra dicho agente,
o la ejecución de un guion de temporización que espera que dicho disco emulado esté disponible, o la copia del agente hacia un directorio. Este directorio puede ser ventajosamente un directorio temporal situado en el servidor. La destrucción automática de dicho directorio por dicho servidor al final de la sesión hace inútil una etapa específica de desinstalación del agente.
o la ejecución del agente en dicho servidor
o el establecimiento de un canal virtual entre el servidor y la pasarela para la comunicación entre el agente y la pasarela
o a continuación, la apertura de un canal ascendente entre la estación cliente y el servidor.
El procedimiento comprende igualmente el lanzamiento por el agente de una aplicación previamente seleccionada por el usuario, pudiendo ser esta llegado el caso el administrador si no se ha seleccionado ninguna aplicación por el usuario.
Según una variante, el procedimiento según la invención incluye una etapa previa de selección de un recurso objetivo, mediante la transmisión por el terminal cliente de un mensaje numérico que incluye un identificador de usuario y verificación por dicha pasarela de si las informaciones relativas a los derechos de utilización asociados a dicha identificación en una base de datos (302) se refieren a dicho recurso objetivo.
Ventajosamente, incluye una etapa previa de selección de un recurso objetivo, consistente en la transmisión por parte de la pasarela de datos digitales que comprenden la lista de los objetivos correspondientes a los datos registrados en una base de datos (302) en relación con el identificador transmitido y la selección por el usuario de uno de los objetivos propuestos.
Ventajosamente, dicha base de datos (302) comprende una lista de las aplicaciones y de los servidores que alojan cada una de dichas aplicaciones, así como las cuentas que permiten conectarse a estos servidores.
Preferentemente, dicha pasarela incluye unos medios para el cálculo de un balance de las cargas en función del número de conexiones ya abiertas hacia cada uno de los servidores y de selección para la nueva petición del servidor menos solicitado.
Según un modo de realización ventajoso, el procedimiento incluye una etapa de ejecución de un código informático para:
- interrogar a la pasarela para obtener las informaciones de autenticación que corresponden a la cuenta de la aplicación,
- inyectar estos datos en la aplicación con el fin de abrir una sesión aplicativa y permitir al usuario usar dicha aplicación.
Según una primera variante, dicho código se instala en el servidor (500) de manera permanente y por que el camino de acceso a este código se define en la base de datos (302).
Según una segunda variante, dicho código se transmite transitoriamente, por un canal dedicado previsto en el protocolo multicanal (400), para ejecutarse transitoriamente en el servidor (500).
Descripción detallada de un ejemplo no limitativo de realización
La presente invención se comprenderá mejor con la lectura de la descripción que sigue, con referencia a unos ejemplos no limitativos de realización, ilustrados por los dibujos adjuntos en los que:
- la figura 1 representa un esquema de la arquitectura funcional de la invención
- la figura 2 representa un esquema de la arquitectura funcional de una variante de realización de la invención - la figura 3 representa una vista esquemática de las etapas del proceso y unos datos intercambiados entre los diferentes recursos informáticos.
Arquitectura funcional
El usuario es un administrador de la red o del sistema que dispone de derechos limitados de administración, para un conjunto de recursos de los que se encarga.
Dispone de un terminal (100) que comunica con la pasarela intermediaria (300) (o “pasarela de administración”) por la mediación de una conexión (200) según un protocolo por ejemplo SSH (“secure shell”, en español, intérprete de órdenes seguro) o RDP (“remote desktop protocol”, en español, protocolo de escritorio remoto).
La conexión conlleva la creación de una sesión primaria (301) en la pasarela (300).
El usuario se identifica mediante identificadores digitales que le son propios, y que definen sus derechos, así como la imputación de las acciones que efectúa.
La pasarela (300) incluye una base de datos (302) en la que se registran los identificadores de los usuarios autorizados así como los derechos asociados, que definen los objetivos (cuentas y equipos) en los que el usuario tiene el derecho de actuar.
Durante la conexión, son posibles dos modos de selección del recurso:
- según el primer modo, el usuario precisa, durante la conexión, el objetivo al que quiere acceder. En este caso la pasarela verifica si el usuario identificado por su identificador dispone de las autorizaciones necesarias para acceder a este objetivo, en función de las informaciones registradas en la base de datos (302).
- Según el segundo modo, la pasarela transmite al usuario la lista de los objetivos que corresponden a los datos registrados en la base de datos (302) en relación con el identificador transmitido, para permitir al usuario la selección de uno de los objetivos propuestos.
La etapa siguiente consiste en abrir una conexión, generalmente con el mismo protocolo SSH o RDP o incluso con un segundo protocolo; con la cuenta asociada al objetivo seleccionado. Esta etapa comprende sucesivamente: o dicha etapa de apertura de una sesión secundaria entre dicha pasarela intermediaria y dicho servidor, comprendiendo dicha etapa la colocación de la redirección de un disco emulado por la pasarela intermediaria en el que se registra dicho agente,
o la ejecución de un guion de temporización que espera a que dicho disco emulado esté disponible
o la copia del agente hacia un directorio temporal situado en el servidor. La destrucción automática de dicho directorio por dicho servidor al final de la sesión hace inútil una etapa específica de desinstalación del agente. o la ejecución del agente en dicho servidor
o el establecimiento de un canal virtual entre el servidor y la pasarela para la comunicación entre el agente y la pasarela
o a continuación, la apertura de un canal ascendente entre la estación cliente y el servidor.
Cuando el objetivo es una aplicación, la pasarela (300) elige el servidor (500) adecuado para la ejecución de dicha aplicación. Para tal fin, la base de datos (302) comprende una lista de las aplicaciones y de los servidores que alojan cada una de dichas aplicaciones, así como las cuentas que permiten conectarse a estos servidores.
Cuando varios servidores alojan una misma aplicación, la pasarela realiza un balance de las cargas en función del número de conexiones ya abiertas hacia cada uno de los servidores y selecciona para la nueva petición el servidor menos solicitado.
Asimismo, en ausencia de respuesta por un servidor que aloja una aplicación, la pasarela busca sucesivamente los otros servidores que alojan la misma aplicación, para seleccionar un objetivo disponible.
El procedimiento comprende igualmente el lanzamiento por el agente de una aplicación previamente seleccionada por el usuario, pudiendo ser esta llegado el caso el administrador si no se ha seleccionado ninguna aplicación por el usuario. El lanzamiento de una aplicación puede delegarse si es necesario en un código informático especializado para:
- interrogar a la pasarela para obtener las informaciones de autenticación que corresponden a la cuenta de la aplicación, por ejemplo una contraseña o un certificado criptográfico, o un ticket Kerberos
- inyectar estos datos en la aplicación con el fin de abrir una sesión aplicativa y permitir al usuario usar dicha aplicación.
Este código puede:
- instalarse en el servidor (500) de manera permanente. En este caso, el camino de acceso a este código se define en la base de datos (302)
- o transmitirse transitoriamente, por un canal dedicado previsto en el protocolo multicanal (400), para ejecutarse transitoriamente en el servidor (500).
El nombre de este código puede generarse de manera única, con el fin de dificultar la alteración de este código durante la ejecución de la aplicación, por un ataque informático.
Este código instalado transitoriamente puede incluir igualmente un testigo único con el fin de reducir los riesgos de acceso no autorizado a los datos registrados en la base (302), por medio de la sesión abierta, por un atacante que tenga acceso al servidor (500).
Acceso concurrente a aplicaciones en un mismo servidor por varios usuarios.
La figura 2 representa un esquema funcional de una solución que permite a varios usuarios el acceso a aplicaciones alojadas en un mismo servidor. El objetivo es evitar las interferencias entre las sesiones y hacerlas estancas en términos de seguridad.
Para tal fin, cuando un segundo usuario (150) trata de ejecutar una aplicación alojada en el mismo servidor (500) que una aplicación ejecutada para un primer usuario (l00), la pasarela (300) inhibirá los datos de la base (302) relativos a la cuenta usada por el primer usuario (100), en el servidor (500). Solo autorizará la ejecución de una aplicación en este mismo servidor (500) si una cuenta permanece disponible para un segundo usuario (150).
Datos intercambiados entre los recursos informáticos
La figura 3 representa una vista esquemática de los datos intercambiados entre los diferentes recursos informáticos. Durante la conexión por un usuario, el terminal (100) transmite a la pasarela intermediaria (300) los identificadores digitales primarios.
Estos datos de autenticación se verifican por la pasarela (300), en función de las informaciones registradas en su base de datos (302).
En caso de validación, la pasarela (302) transmite la lista de los objetivos autorizados (C1 a C3).
Cada objetivo corresponde a un par:
- aplicación
- cuenta asociada a la aplicación.
La cuenta comprende:
- una información de identificación
- una información de autenticación, tal como una contraseña.
La pasarela transmite al usuario (100), para cada uno de los objetivos autorizados, solamente la designación de la aplicación y la designación del identificador de la cuenta, pero no la información de autenticación, en la forma de cadenas de caracteres que designan los pares aplicación/cuenta.
El usuario (100) selecciona uno de los objetivos propuestos y transmite de ellos el identificador a la pasarela (300). La pasarela (300) elige un servidor, y una cuenta para abrir una sesión en dicho servidor (500), según el proceso de selección del servidor y de la cuenta que se ha descrito anteriormente.
Abre de este modo una sesión secundaria, en el servidor. Esta sesión presenta un disco emulado por la pasarela. Este disco incluye un agente. Posteriormente la pasarela vuelve a copiar y arranca el agente según el procedimiento anteriormente descrito. Esto inicia el administrador o en el caso en el que el usuario ha seleccionado una aplicación específica, procede a su ejecución ya sea directamente o ya sea por medio de un código informático especializado. Este código solicita a la pasarela el identificador de la cuenta de la aplicación así como los datos de autenticación asociados a esta cuenta.
El código informático transmite entonces estas informaciones a la aplicación para mandar la ejecución de la aplicación.

Claims (11)

REIVINDICACIONES
1. Procedimiento de conexión de seguridad, desde un dispositivo informático cliente, a un recurso informático objetivo que comprende un servidor y si es necesario una aplicación ejecutada en dicho servidor, implementando una pasarela intermediaria que comprende una memoria para el registro de las informaciones relativas a dicha conexión así como al menos un agente ejecutable en dicho servidor durante una sesión, comprendiendo el procedimiento las etapas siguientes:
- la emisión de una solicitud de apertura de sesión por una aplicación instalada en la estación cliente, que implica la creación de una sesión primaria entre la estación cliente y la pasarela intermediaria. Dicha solicitud puede contener el identificador del servidor objetivo o de la aplicación objetivo.
- la apertura de una sesión entre dicha pasarela intermediaria y dicho servidor
estando dicho procedimiento caracterizado por que
- dicha etapa de emisión de una solicitud se implementa mediante la apertura previa de una sesión primaria [RDP] entre la estación cliente y la pasarela intermediaria por el envío de un mensaje que comprende el identificador del servidor objetivo o de la aplicación objetivo
- dicha etapa de instalación de al menos un agente se ejecuta comprendiendo sucesivamente:
o dicha etapa de apertura de una sesión secundaria entre dicha pasarela intermediaria y dicho servidor, comprendiendo dicha etapa la colocación de la redirección de un disco emulado por la pasarela intermediaria en el que se registra dicho agente,
o la ejecución de un guion de temporización que espera a que dicho disco emulado esté disponible.
o la copia del agente hacia un directorio situado en el servidor.
o la ejecución del agente en dicho servidor
o el establecimiento de un canal virtual entre el servidor y la pasarela para la comunicación entre el agente y la pasarela
o a continuación, la apertura de un canal ascendente entre la estación cliente y el servidor.
o finalmente el agente lanza el administrador o la aplicación objetivo inyectándole los identificadores aplicativos necesarios transmitidos por la pasarela.
2. Procedimiento de conexión de seguridad según la reivindicación 1 caracterizado por que incluye una etapa de destrucción automática de dicho directorio por dicho servidor al final de la sesión.
3. Procedimiento de conexión de seguridad según la reivindicación 1 caracterizado por que el agente se ejecuta en el seno de la sesión con la identidad utilizada para la apertura de la sesión.
4. Procedimiento de conexión de seguridad según la reivindicación 1 caracterizado por que incluye una etapa previa de selección de un recurso objetivo, mediante la transmisión por el terminal cliente de un mensaje numérico que incluye un identificador de usuario y verificación por dicha pasarela de si las informaciones relativas a los derechos de utilización asociados a dicha identificación en una base de datos (302) se refieren a dicho recurso objetivo.
5. Procedimiento de conexión de seguridad según la reivindicación 1 caracterizado por que incluye una etapa previa de selección de un recurso objetivo, consistente en la transmisión por parte de la pasarela de datos digitales que comprenden la lista de los objetivos correspondientes a los datos registrados en una base de datos (302) en relación con el identificador transmitido y la selección por el usuario de uno de los objetivos propuestos.
6. Procedimiento de conexión de seguridad según la reivindicación 4 o 5 caracterizado porque dicha base de datos (302) comprende una lista de las aplicaciones y de los servidores que alojan cada una de dichas aplicaciones, así como las cuentas que permiten conectarse a estos servidores.
7. Procedimiento de conexión de seguridad según la reivindicación 1 caracterizado por que incluye una etapa de apertura de una conexión con la cuenta asociada al objetivo seleccionado.
8. Procedimiento de conexión de seguridad según la reivindicación 1 caracterizado por que dicha pasarela incluye unos medios para el cálculo de un balance de las cargas en función del número de conexiones ya abiertas hacia cada uno de los servidores y de selección para la nueva petición del servidor menos solicitado.
9. Procedimiento de conexión de seguridad según la reivindicación 1 caracterizado por que incluye una etapa de ejecución de un código informático para:
- interrogar a la pasarela para obtener las informaciones de autenticación que corresponden a la cuenta de la aplicación,
- inyectar estos datos en la aplicación con el fin de abrir una sesión aplicativa y permitir al usuario usar dicha aplicación.
10. Procedimiento de conexión de seguridad según la reivindicación anterior caracterizado por que dicho código se instala en el servidor (500) de manera permanente y por que el camino de acceso a este código se define en la base de datos (302).
11. Procedimiento de conexión de seguridad según la reivindicación 9 caracterizado por que dicho código se transmite transitoriamente, por un canal dedicado previsto en el protocolo multicanal (400), para ejecutarse transitoriamente en el servidor (500).
ES16781511T 2015-09-21 2016-09-20 Procedimiento de conexión de seguridad, desde un dispositivo informático cliente, a un recurso informático Active ES2730125T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1558890A FR3041492B1 (fr) 2015-09-21 2015-09-21 Procede de connexion securise, depuis un equipement informatique client, a une ressource informatique.
PCT/FR2016/052372 WO2017051104A1 (fr) 2015-09-21 2016-09-20 Procede de connexion securise, depuis un equipement informatique client, a une ressource informatique

Publications (1)

Publication Number Publication Date
ES2730125T3 true ES2730125T3 (es) 2019-11-08

Family

ID=55072840

Family Applications (1)

Application Number Title Priority Date Filing Date
ES16781511T Active ES2730125T3 (es) 2015-09-21 2016-09-20 Procedimiento de conexión de seguridad, desde un dispositivo informático cliente, a un recurso informático

Country Status (8)

Country Link
US (1) US10594662B2 (es)
EP (1) EP3353986B1 (es)
CA (1) CA2997495C (es)
DK (1) DK3353986T3 (es)
ES (1) ES2730125T3 (es)
FR (1) FR3041492B1 (es)
PL (1) PL3353986T3 (es)
WO (1) WO2017051104A1 (es)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3074329B1 (fr) * 2017-11-24 2021-03-05 Wallix Procede et dispositif d'affichage sur un terminal local d'une application executee sur un serveur distant au moyen d'un protocole de bureau a distance
US10832010B2 (en) 2018-06-05 2020-11-10 International Business Machines Corporation Training of conversational agent using natural language
US20250247429A1 (en) * 2024-01-29 2025-07-31 Hewlett Packard Enterprise Development Lp Command validation at an intermediary device

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7324473B2 (en) * 2003-10-07 2008-01-29 Accenture Global Services Gmbh Connector gateway
US10469533B2 (en) * 2012-01-24 2019-11-05 Ssh Communications Security Oyj Controlling and auditing SFTP file transfers
WO2014064686A1 (en) * 2012-10-24 2014-05-01 Cyber-Ark Software Ltd. A system and method for secure proxy-based authentication
US9699261B2 (en) * 2014-01-14 2017-07-04 Cyber-Ark Software Ltd. Monitoring sessions with a session-specific transient agent

Also Published As

Publication number Publication date
US10594662B2 (en) 2020-03-17
FR3041492B1 (fr) 2017-10-06
CA2997495C (en) 2023-10-03
PL3353986T3 (pl) 2019-09-30
FR3041492A1 (fr) 2017-03-24
EP3353986B1 (fr) 2019-03-13
DK3353986T3 (da) 2019-05-06
WO2017051104A1 (fr) 2017-03-30
US20180248849A1 (en) 2018-08-30
EP3353986A1 (fr) 2018-08-01
CA2997495A1 (en) 2017-03-30

Similar Documents

Publication Publication Date Title
US10541991B2 (en) Method for OAuth service through blockchain network, and terminal and server using the same
KR102869336B1 (ko) 차량에 개별 인증서의 보안 탑재를 위한 방법
JP4410821B2 (ja) 保護された処理システムへの初期トラステッド・デバイスのバインディングの検証
CN106603483B (zh) 车辆系统和认证方法
CN109417545A (zh) 用于下载网络接入简档的技术
ES2719538T3 (es) Transferencia segura de información de autenticación
US20080077592A1 (en) method and apparatus for device authentication
EP2065800A2 (en) Remote provisioning utilizing device identifier
EP3862899A1 (en) Information communication apparatus, authentication program for information communication apparatus, and authentication method
KR102192370B1 (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
CN104737177B (zh) 用于提供安全服务的方法
CN111786799B (zh) 基于物联网通信模组的数字证书签发方法及系统
KR102252086B1 (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
US11671246B2 (en) Data provisioning device for provisioning a data processing entity
ES2730125T3 (es) Procedimiento de conexión de seguridad, desde un dispositivo informático cliente, a un recurso informático
CN107040501B (zh) 基于平台即服务的认证方法和装置
CN112270000B (zh) 密码服务提供方法、装置和计算机可读存储介质
WO2015178597A1 (ko) Puf를 이용한 비밀키 업데이트 시스템 및 방법
KR20200112769A (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
KR20200112770A (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
KR102192382B1 (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
CN110830465B (zh) 一种访问UKey的安全防护方法、服务器和客户端
CN114090963A (zh) 一种微服务间授信调用方法与系统
KR20200112771A (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
CN105404795B (zh) 基于云计算的软件安装权限控制方法及装置