JP2000148469A - モジュラ―アプリケ―ション間のサ―ビスへのアクセス制御 - Google Patents

モジュラ―アプリケ―ション間のサ―ビスへのアクセス制御

Info

Publication number
JP2000148469A
JP2000148469A JP11182475A JP18247599A JP2000148469A JP 2000148469 A JP2000148469 A JP 2000148469A JP 11182475 A JP11182475 A JP 11182475A JP 18247599 A JP18247599 A JP 18247599A JP 2000148469 A JP2000148469 A JP 2000148469A
Authority
JP
Japan
Prior art keywords
computer program
program module
service
access
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP11182475A
Other languages
English (en)
Inventor
Efrem Lipkin
リプキン エフレム
Theodore C Goldstein
シー. ゴールドステイン セオドーレ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Microsystems Inc
Original Assignee
Sun Microsystems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Microsystems Inc filed Critical Sun Microsystems Inc
Publication of JP2000148469A publication Critical patent/JP2000148469A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/468Specific access rights for resources, e.g. using capability register
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

(57)【要約】 (修正有) 【課題】 異なる他のアプリケーションで提供されてい
るサービスへのアクセスを容易にし且つ制御するための
方法を提供する。 【解決手段】 第1のコンピュータプログラムモジュー
ルが第2のコンピュータプログラムモジュールからサー
ビスのアクセスを与える権力をデジタル的に署名された
かどうかを判定するステップと、デジタル的に署名され
た場合に第1のコンピュータプログラムモジュールにサ
ービスへのアクセスを提供するステップと、第1のコン
ピュータプログラムモジュールが第2のコンピュータプ
ログラムモジュールからのサービスにアクセスできるよ
うに、第1のコンピュータプログラムモジュールおよび
第2のコンピュータプログラムモジュールを同じコンピ
ューティングノード上の同じアドレス空間内で実行させ
ることのできるステップとを含んでいる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、コンピュータシス
テムにおける保護メカニズムに関する。より詳細には、
本発明は、サービスへのアクセスを制御する方法および
装置に関する。
【0002】
【従来の技術】JavaTMプログラミング言語(カリフ
ォルニア州Palo Altoのサンマイクロシステム
ズ社により開発)等のプログラミング言語および関連す
るサポーティングインターフェースが、現在、コンピュ
ータネットワークにわたるアプリケーションの転送をサ
ポートし、且つ、広い範囲のコンピュータプラットフォ
ーム上でアプリケーションを実行する、信頼できる安全
なインフラストラクチャを提供している。Java等の
開発のために、遠隔サーバからローカルマシン上にJa
vaアプレット等のアプリケーションを搭載し、ローカ
ルマシン上でアプリケーションを実行することが次第に
一般的になりつつある。
【0003】
【発明が解決しようとする課題】しかし、現在のコンピ
ュータシステムは、製造元が異なるコンピュータアプリ
ケーションが一緒に機能して所定のタスクを達成し得る
ように、制御された手段で互いにアプリケーションが相
互作用し得るように設計されていない。特に、これらの
システムはデータおよび機能の共有を容易にしない。例
えば、家屋仲介業務アプリケーションから得られるキャ
ピタルゲイン情報にアクセスすることは、課税アプリケ
ーションに役立ち得る。しかし、家屋仲介業務アプリケ
ーションは顧客のポートフォリオのプライバシーを保護
する必要がある。従って、課税アプリケーションは、家
屋仲介業務アプリケーションから得られるポートフォリ
オデータに無制限にアクセスさせ得ることはできない。
【0004】更に、ソフトウェアの製造元は補完的アプ
リケーションの間の契約上の取り決めを履行したいと望
み得る。例えば、家屋仲介業務アプリケーションは、金
融機構からアプリケーションによって供給される市価変
動(historical pricing)情報にアクセスしたいと望み得
る。家屋仲介業務アプリケーションの製造元が、家屋仲
介業務アプリケーションが市価変動情報にアクセスし得
るという内容の契約上の取り決めを金融機構と結ぶ場
合、この取り決めは容易になる。
【0005】残念なことに、現在のコンピュータシステ
ムは他のアプリケーションによって提供されるサービス
へのアクセスを容易にし且つ制御するためのメカニズム
をほとんど有していない。とりわけ、現在のシステムで
は、他のアプリケーションからのサービスにアクセスす
る権利を与えられたアプリケーションを識別すること、
ならびに、どのアプリケーションがどのようなサービス
を実行し得るかを制御することは不可能である。
【0006】本発明は上記を鑑みてなされたものであ
り、その目的は上記のような問題点を克服して、コンピ
ュータシステムの他のアプリケーションによって提供さ
れるサービスへのアクセスを容易にし且つ制御するため
の方法および装置を提供することである。
【0007】
【課題を解決するための手段】本発明は、第1のコンピ
ュータプログラムモジュールに、第2のコンピュータプ
ログラムモジュールからのサービスへアクセスする能力
を提供する方法および装置を提供する。本発明の方法
は、例えば第三者コンピュータシステムにおいて第1の
コンピュータプログラムモジュールを受け取るステッ
プ、および第1のコンピュータプログラムモジュールが
サービスについてのアクセスを与える権力を有する権限
によってデジタル的に署名されたかどうかを判定するス
テップを含む。署名されていた場合、本発明の方法は第
1のコンピュータプログラムモジュールにサービスへの
アクセスを提供する。この実施様態の変形例は、第1の
コンピュータプログラムモジュールがサービスについて
の権限付与(authorization)の鎖(chain)を確立する証
明書(certificate)の鎖を含むことを検証するステップ
を含む。この検証プロセスは、鎖内の第1の証明書がサ
ービスへのアクセスを与える権限を本来付与されている
エンティティによって署名されたことを検証するステッ
プ、および、鎖内の次の証明書がサービスについてのア
クセスを与える権限付与を委任されたエンティティによ
って署名されたことを検証するステップを含む。
【0008】上記実施様態の更なる変形例において、第
1のコンピュータプログラムモジュールにサービスへの
アクセスを提供するステップが、第1のコンピュータプ
ログラムモジュールに、第1のコンピュータプログラム
モジュールにサービスに関する制限されたセットの動作
を実行させる許可を提供するステップを含む。
【0009】上記実施様態の別の変形例において、第1
のコンピュータプログラムモジュールおよび第2のコン
ピュータプログラムモジュールは、第三者コンピュータ
システム上で互いに相互作用することができる。この場
合、第1のコンピュータプログラムモジュールは第1の
サーバから第三者システムへと転送され、第2のコンピ
ュータプログラムモジュールは第2のサーバから第三者
システムへと転送される。このことにより、第1のコン
ピュータプログラムモジュールおよび第2のコンピュー
タプログラムモジュールは、第三者コンピュータシステ
ム上で互いに相互作用することができる。
【0010】本発明による、第1のコンピュータプログ
ラムモジュールに第2のコンピュータプログラムモジュ
ールからのサービスへアクセスする能力を提供する方法
は、第1のコンピュータプログラムモジュールを受け取
るステップと、第1のコンピュータプログラムモジュー
ルが第2のコンピュータプログラムモジュールからのサ
ービスについてのアクセスを与える権力を有する権限に
よってデジタル的に署名されたかどうかを判定するステ
ップと、第1のコンピュータプログラムモジュールがサ
ービスについてのアクセスを与える権力を有する権限に
よってデジタル的に署名された場合に、第1のコンピュ
ータプログラムモジュールにサービスへのアクセスを提
供するステップと、第1のコンピュータプログラムモジ
ュールが第2のコンピュータプログラムモジュールから
のサービスにアクセスできるように、第1のコンピュー
タプログラムモジュールおよび第2のコンピュータプロ
グラムモジュールを同じコンピューティングノード上の
同じアドレス空間内で実行させることのできるステップ
とを含み、そのことにより上記目的が達成される。
【0011】第1のコンピュータプログラムモジュール
がサービスについてのアクセスを与える権力を有する権
限によってデジタル的に署名されたかどうかを判定する
ステップが、サービスに関連する公開鍵を用いて、第1
のコンピュータプログラムモジュールがサービスについ
ての対応する秘密鍵によってデジタル的に署名されたか
どうかを検証するステップを含んでもよい。
【0012】第1のコンピュータプログラムモジュール
がサービスについてのアクセスを与える権力を有する権
限によってデジタル的に署名されたかどうかを判定する
ステップが、第1のコンピュータプログラムモジュール
がサービスについての権限付与を確立する証明書の鎖を
含むことを検証するステップを含み、鎖内の第1の証明
書がサービスについてのアクセスを与える権限を本来与
えられているエンティティによって署名され、鎖内の次
の証明書がサービスについてのアクセスを与える権限付
与を委任されたエンティティによって署名されてもよ
い。
【0013】第1のコンピュータプログラムモジュール
にサービスへのアクセスを提供するステップが、第1の
コンピュータプログラムモジュールに制限されたセット
のサービスを実行させることのできる許可を第1のコン
ピュータプログラムモジュールに提供するステップを含
んでもよい。
【0014】サービスが、オブジェクト指向プログラミ
ングシステム内に規定されたオブジェクトを介してアク
セスされてもよい。
【0015】第1のコンピュータプログラムモジュール
がJavaアーカイブファイルを含んでもよい。
【0016】第1のコンピュータプログラムモジュール
がコンピュータコードおよび少なくとも1つのデジタル
証明書を含んでもよい。
【0017】第1のコンピュータプログラムモジュール
にサービスへのアクセスを提供するステップが、第1の
コンピュータプログラムモジュールを第2のコンピュー
タプログラムモジュールと相互作用させることができて
もよい。
【0018】第1のコンピュータプログラムモジュール
が第1のサーバに由来し、実行のためにコンピュータノ
ードに転送され、第2のコンピュータプログラムモジュ
ールが第2のサーバに由来し、実行のためにコンピュー
タノードに転送されてもよい。
【0019】第1のサーバおよび第2のサーバコンピュ
ータがコンピュータノードから分離して配置されてもよ
い。
【0020】サービスが複数のサービスを含んでもよ
い。
【0021】本発明による、第1のコンピュータプログ
ラムモジュールに第2のコンピュータプログラムモジュ
ールからのサービスへアクセスする能力を提供する方法
は、第1のコンピュータプログラムモジュールを受け取
るステップと、第1のコンピュータプログラムモジュー
ルがサービスについての権限付与を確立する証明書の鎖
を含むことを検証することによって、第1のコンピュー
タプログラムモジュールがサービスについてのアクセス
を与える権力を有する権限によってデジタル的に署名さ
れたかどうかを判定するステップであって、鎖内の第1
の証明書がサービスについてのアクセスを与える権限を
本来与えられているエンティティによって署名され、鎖
内の次の証明書がサービスについてのアクセスを与える
権限付与を委任されたエンティティによって署名される
判定ステップと、第1のコンピュータプログラムモジュ
ールがサービスについてのアクセスを与える権力を有す
る権限によってデジタル的に署名された場合に、第1の
コンピュータプログラムモジュールにサービスを含む制
限されたセットのサービスを実行させることのできる許
可を第1のコンピュータプログラムモジュールに提供す
るステップと、第1のコンピュータプログラムモジュー
ルが第2のコンピュータプログラムモジュールからのサ
ービスにアクセスできるように、第1のコンピュータプ
ログラムモジュールおよび第2のコンピュータプログラ
ムモジュールを同じコンピューティングノード上の同じ
アドレス空間内で実行させることのできるステップとを
含み、第1のコンピュータプログラムモジュールにサー
ビスへアクセスさせることのできるステップにより、第
1のコンピュータプログラムモジュールが第2のコンピ
ュータプログラムモジュールと相互作用することがで
き、そのことにより上記目的が達成される。
【0022】サービスがオブジェクト指向プログラミン
グシステム内に規定されたオブジェクトを介してアクセ
スされてもよい。
【0023】第1のコンピュータプログラムモジュール
がJavaアーカイブファイルを含んでもよい。
【0024】第1のコンピュータプログラムモジュール
が第1のサーバに由来し、実行のためにコンピュータノ
ードに転送され、第2のコンピュータプログラムモジュ
ールが第2のサーバに由来し、実行のためにコンピュー
タノードに転送されてもよい。
【0025】第1のサーバおよび第2のサーバコンピュ
ータがコンピュータノードから分離して配置されてもよ
い。
【0026】本発明による、コンピュータによって実行
される場合に、第1のコンピュータプログラムモジュー
ルに第2のコンピュータプログラムモジュールからのサ
ービスにアクセスする能力を提供するための方法をコン
ピュータに実行させる命令を格納するコンピュータ読み
出し可能記憶媒体は、第1のコンピュータプログラムモ
ジュールを受け取るステップと、第1のコンピュータプ
ログラムモジュールが第2のコンピュータプログラムモ
ジュールからのサービスについてのアクセスを与える権
力を有する権限によってデジタル的に署名されたかどう
かを判定するステップと、第1のコンピュータプログラ
ムモジュールがサービスについてのアクセスを与える権
力を有する権限によってデジタル的に署名された場合
に、第1のコンピュータプログラムモジュールにサービ
スへのアクセスを提供するステップと、第1のコンピュ
ータプログラムモジュールが第2のコンピュータプログ
ラムモジュールからのサービスにアクセスできるよう
に、第1のコンピュータプログラムモジュールおよび第
2のコンピュータプログラムモジュールを同じコンピュ
ーティングノード上の同じアドレス空間内で実行させる
ことのできるステップと、を含み、そのことにより上記
目的が達成される。
【0027】本発明による、第1のコンピュータプログ
ラムモジュールに第2のコンピュータプログラムモジュ
ールからのサービスへアクセスする能力を提供する方法
は、第1のコンピュータプログラムモジュールを受け取
るための受け取り手段と、第1のコンピュータプログラ
ムモジュールがサービスについてのアクセスを与える権
力を有する権限によってデジタル的に署名されたかどう
かを検証するための検証手段と、第1のコンピュータプ
ログラムモジュールがサービスについてのアクセスを与
える権力を有する権限によってデジタル的に署名された
場合に、第1のコンピュータプログラムモジュールにサ
ービスへのアクセスを提供するアクセス手段と、第1の
コンピュータプログラムモジュールが第2のコンピュー
タプログラムモジュールからのサービスにアクセスでき
るように、第1のコンピュータプログラムモジュールお
よび第2のコンピュータプログラムモジュールを同じコ
ンピューティングノード上の同じアドレス空間内で実行
させることのできる実行手段とを含み、そのことにより
上記目的が達成される。
【0028】本発明による、第1のコンピュータプログ
ラムモジュールに第2のコンピュータプログラムモジュ
ールからのサービスへアクセスする能力を提供する装置
は、コンピュータノードと、第1のコンピュータプログ
ラムモジュールを受け取る、コンピュータノード内の受
け取りメカニズムと、第1のコンピュータプログラムモ
ジュールがサービスについてのアクセスを与える権力を
有する権限によってデジタル的に署名されたかどうかを
検証する、コンピュータノード内の検証メカニズムと、
第1のコンピュータプログラムモジュールがサービスに
ついてのアクセスを与える権力を有する権限によってデ
ジタル的に署名された場合に、第1のコンピュータプロ
グラムモジュールにサービスへのアクセスを提供する、
コンピュータノード内のアクセスメカニズムと、コンピ
ュータノード内で、第1のコンピュータプログラムモジ
ュールが第2のコンピュータプログラムモジュールから
のサービスにアクセスできるように、第1のコンピュー
タプログラムモジュールおよび第2のコンピュータプロ
グラムモジュールを同じコンピューティングノード上の
同じアドレス空間内で実行させることのできる、コンピ
ュータノード内の実行メカニズムとを備え、そのことに
より上記目的が達成される。
【0029】検証メカニズムが、サービスに関連する公
開鍵を用いて、第1のコンピュータプログラムモジュー
ルがサービスについての対応する秘密鍵によってデジタ
ル的に署名されたかどうかを検証するように構成されて
もよい。
【0030】検証メカニズムが、第1のコンピュータプ
ログラムモジュールがサービスについての権限付与を確
立する証明書の鎖を含み、鎖内の第1の証明書がサービ
スへのアクセスを与える権限を本来与えられているエン
ティティによって署名され、鎖内のそれに続く証明書が
サービスへのアクセスを与える権限付与を委任されたエ
ンティティによって署名されることを検証するように構
成されてもよい。
【0031】アクセスメカニズムが、第1のコンピュー
タプログラムモジュールがサービスの制限されたセット
を実行することのできる許可を第1のコンピュータプロ
グラムモジュールに提供するように構成されてもよい。
【0032】サービスが、オブジェクト指向プログラミ
ングシステム内に規定されたオブジェクトを介してアク
セスされてもよい。
【0033】第1のコンピュータプログラムモジュール
がJavaアーカイブファイルを含んでもよい。
【0034】第1のコンピュータプログラムモジュール
がコンピュータコードおよび少なくとも1つのデジタル
証明書を含んでもよい。
【0035】受け取りメカニズムが、第1のコンピュー
タプログラムモジュールを第1のサーバから転送し、且
つ、第2のコンピュータプログラムモジュールを第2の
サーバから転送するように構成されてもよい。
【0036】第1のサーバおよび第2のサーバがコンピ
ュータノードから分離されていてもよい。
【0037】サービスが複数のサービスを含んでもよ
い。
【0038】本発明による、第2のコンピュータプログ
ラムモジュールからのサービスにアクセスすることがで
きる第1のコンピュータプログラムモジュールを含むコ
ンピュータ読み出し可能記憶媒体は、コンピュータコー
ドセクションであって、コンピュータノード上での実行
のためにコンピュータコードを含み、第1のコンピュー
タプログラムモジュールの機能を実行する、コンピュー
タコードセクションと、サービスへの権限付与を確立す
る証明書の鎖を含むデジタル署名セクションであって、
鎖内の第1の証明書がサービスへのアクセスを与える権
限を本来付与されているエンティティによって署名さ
れ、鎖内のそれに続く証明書がサービスへのアクセスを
与える権限付与を委任されたエンティティによって署名
され、デジタル署名セクションが、コンピュータプログ
ラムモジュールがサービスにアクセスする権限を与えら
れたかどうかをコンピュータノードに判定させる、デジ
タル署名セクションとを含み、それにより上記目的が達
成される。
【0039】
【発明の実施の形態】以下の説明は、当業者であれば誰
でも本発明を為し、且つ、本発明を用いることができる
ように提示され、特定のアプリケーションおよびその要
件の文脈内で提供される。開示された実施様態の様々な
変更が当業者には容易に明らかになり、本明細書中で規
定される一般原理が、本発明の精神および範囲から逸れ
ることなく他の実施様態およびアプリケーションに応用
され得る。従って、本発明は例示する実施様態に限定さ
れることは意図されておらず、本明細書中で開示される
原理および特徴と矛盾することのない最も広い範囲が与
えられる。
【0040】この詳細な説明のために、以下の用語を用
いる。(1)「Javaアーカイブファイル」は、グラ
フィックまたはオーディオファイル等のリソースに加え
て、JavaTMコードのモジュラーボディを含むファイ
ルであり得る。(2)「コンピュータ読み出し可能記憶
媒体」は、コンピュータシステムで使用するためのコー
ドおよび/またはデータを格納できる任意の装置または
媒体であり得る。これの例として、ディスクドライブ、
磁気テープ、CD(コンパクトディスク)およびDVD
(デジタルビデオディスク)等の磁気記憶装置および光
記憶装置、あるいは、搬送波内に統合されたコンピュー
タ命令信号が挙げられるが、これらに制限されない。
(3)「コンピュータプログラムモジュール」は、コン
ピュータによって実行され得る命令の集合を含むモジュ
ールであり得る。これらの命令は、コンピュータプログ
ラム全体または単に1つのコンピュータプログラムを含
み得る。コンピュータプログラムモジュールはしばし
ば、コンピュータネットワークをわたってコンピュータ
システム上にダウンロードすることを容易にするフォー
ム内に存在する。例えば、コンピュータプログラムモジ
ュールはJavaTMアプレットの様態をとり得る。
(4)「エンティティ」は、サービスへのアクセス権を
与える権力を有し、且つ、このような権力を他のエンテ
ィティに委任する能力を追加的に有する人間、コンピュ
ータプログラムまたはコンピュータシステムであり得
る。(5)「サービス」は1つのサービスまたは複数の
サービスを含み得る。従って、サービスについてのアク
セスを与えるステップはまた、複数のサービスへのアク
セスも与え得る。
【0041】コンピュータシステム図1は、本発明の実
施様態による、ネットワーク130を介して一体に結合
された複数のコンピュータノードを示す。図1におい
て、サーバ110および120はネットワーク130を
介して第三者システム140に結合される。コンピュー
タノードはコンピュータネットワークに結合された任意
の計算装置であり得る。コンピュータノードは、パーソ
ナルコンピュータ、ワークステーション、メインフレー
ムコンピュータ、ポータブルコンピュータまたは装置制
御器を含み得るが、これらに限定されない。通常、ネッ
トワーク130はコンピュータ間の任意のタイプの有線
リンクまたは無線リンクであり、リンクの例としてロー
カルエリアネットワーク、ワイドエリアネットワーク、
またはネットワークを組み合わせたものが挙げられる
が、これらに限定されない。本発明のある実施様態にお
いて、ネットワーク130はインターネットを含む。サ
ーバ110および120は、クライアントからの計算リ
ソースまたはデータ記憶リソースについての要求に対し
てサービスを行うメカニズムを含むコンピュータネット
ワーク上の任意のノードであり得る。第三者システム1
40は、サーバ110および120と通信し、サーバ1
10および120からコードおよび/またはデータをダ
ウンロードし得るコンピュータネットワーク上の任意の
ノードであり得る。
【0042】図1に示す実施様態において、サーバ11
0はサーバコードモジュール112を含み、サーバ12
0はクライアントコードモジュール122を含む。詳細
な開示のために、サーバコードモジュールを、クライア
ントコードモジュールにサービスを提供するコードを含
むモジュールとし、クライアントコードモジュールを、
サーバコードモジュールからサービスを要求するコード
を含むモジュールとする。サーバコードモジュール11
2およびクライアントコードモジュール122は、第三
者システム140上で一緒に動作し得るコードのモジュ
ラーピースを含む。図1の破線は、ネットワーク130
を渡って第三者システム140上にダウンロードされて
いるサーバコードモジュール112およびクライアント
コードモジュール122を示す。このダウンロードプロ
セスは複数の方法で行われ得る。本発明のある実施様態
において、サーバ110は、サーバコードモジュール1
12を第三者システム140にダウンロードするため
に、第三者システム140上のユーザによってアクセス
され得るウェブサイトを含む。それに対応して、サーバ
120は、クライアントコードモジュール122を第三
者システム140内にダウンロードするために、第三者
システム140上のユーザによってアクセスされ得るウ
ェブサイトを含む。別の実施様態において、サーバコー
ドモジュール112およびクライアントコードモジュー
ル122は、ネットワーク130を渡ってダウンロード
されない。その代わりに、サーバコードモジュール11
2およびクライアントコードモジュール122は、コン
ピュータディスク等のコンピュータ記憶媒体によって、
それぞれサーバ110および120から第三者システム
140へと転送される。
【0043】サーバコードモジュール112およびクラ
イアントコードモジュール122は、一旦第三者システ
ム140上に配置されると、図1に示すように一緒に動
作するように一体化され得る。例えば、サービスをクラ
イアントコードモジュール122に提供する際に、サー
バコードモジュール112は、クライアントコードモジ
ュール122のためにデータベースからデータを取り出
し得る。あるいは、サーバコードモジュール112は、
クライアントコードモジュール122についての計算動
作を実行し得る。この一体化プロセスは、クライアント
コードモジュール122がサーバコードモジュール11
2からサービスにアクセスする権利を与えたられたかど
うかを判定する工程を含み得る。逆の方向を考えると、
このプロセスは、サーバコードモジュール112がクラ
イアントコードモジュール122からサービスにアクセ
スする権利を与えたられたかどうかを判定する工程を含
み得る。
【0044】アクセスモデル図2は、本発明のある実施
様態に従ってサービスにアクセスするプロセスを示す。
図2は、サーバゲート202、システム204およびク
ライアントコードモジュール122(図1)の間の相互
作用を示す。サーバゲート202は、サーバコードモジ
ュール112(図1)によって提供されるサービスへの
アクセスを制御するアクセスメカニズムを含む。本発明
のある実施様態において、サーバゲート202は第三者
システム140上のサーバコードモジュール112内に
配置される。別の実施様態において、サーバゲート20
2はサーバ110内に配置され、ネットワーク130を
渡る通信を介してアクセスされる。システム204は、
クライアントコードモジュール122がサーバコードモ
ジュール112によって提供されるサービスにアクセス
する権限を適切に与えることを確立するメカニズムを含
む。このために、システム204は複数の方法で実行さ
れる。ある実施様態において、システム204は、第三
者システム140の一部であるコードによって実行され
る。別の実施様態において、システム204は第三者シ
ステム140内のサーバコードモジュール112の一部
として実行され得る。
【0045】図2に示すプロセスは以下のように動作す
る。クライアントコードモジュール122は、第三者シ
ステム140内に既に存在するものとする。所望のサー
ビスにアクセスするために、クライアントコードモジュ
ール122は、サーバコードモジュール122からのサ
ービスの集合にアクセスする「役割」のための「チケッ
ト」を要求する(この詳細な開示のために、チケット
を、オブジェクトの保有者が所定のサービスを使用する
ことを契約した旨を示す表示を偽造することができない
オブジェクトとする。)。役割は、サーバコードモジュ
ール112によって実行される1組の動作を規定する。
所定の役割は、他の役割よりも制限され得る。例えば、
サーバコードモジュール112がコンピュータファイル
システムを維持する場合、ある役割はファイルシステム
からのファイルを読み出す動作のみを含み得る。より広
い範囲の権利を有する役割は、ファイルシステムからの
ファイルの読み出し、書き込みおよび消去を行う動作を
含み得る。
【0046】要求に応答して、システム204がクライ
アントコードモジュール122を検査し、クライアント
コードモジュール122が役割に対する適切な権限を含
んでいるかどうかを判定する。本発明のある実施様態に
おいて、この検査は、証明書鎖310(図3に図示)が
権限の鎖によって適切に署名されることを確実にするた
めに証明書鎖310を検査するステップを含む。図3か
ら図5を参照しながら、以下に、このプロセスをより詳
細に説明する。
【0047】クライアントコードモジュール122が役
割についての権限を適切に付与された場合、システム2
04は役割のためのチケットを発行し、このチケットは
クライアントコードモジュール122に与えられる。次
に、クライアントコードモジュール122は、チケット
をサーバゲート202に渡す。サーバゲート202はチ
ケットをチェックして、チケットが有効であることを確
実にする。チケットが有効である場合、サーバゲート2
02はサービスについての許可をクライアントコードモ
ジュール122に送信する(この詳細な説明のために、
許可を、委任状、または許可の保有者にサービスまたは
サービスの群へのアクセスを与える能力とする。)。こ
の許可により、クライアントコードモジュール122が
役割によって規定されるサービスにアクセスすることが
できる。本発明のある実施様態において、この許可は、
オブジェクト指向プログラミングシステム内に規定され
たオブジェクトである。このオブジェクトにより、クラ
イアントコードモジュール122が役割を含む1組のメ
ソッドを実行することができる。許可を送信した後に、
サーバゲート202は、チケットを再び使用し得ないよ
うに取り消しにする。クライアントコードモジュール1
22は許可を所持したままなので、クライアントコード
モジュール122は許可を用いてサービスにアクセスす
ることができ、従って、チケットはもはや必要でない。
【0048】クライアントコードモジュール図3は本発
明の一実施様態による図1のクライアントコードモジュ
ール122の構造の一部を示す。クライアントコードモ
ジュール122は証明書鎖310およびクライアントコ
ード320を含む。証明書鎖310はサービスの権限付
与の鎖を確立する証明書の鎖を含む。鎖内の第1の証明
書は本来サービスに対するアクセスを与える権限を有す
るエンティティによって署名され、鎖内の次の証明書は
鎖内の前のエンティティからのサービスに対するアクセ
スを与える権限を委任されたエンティティにより署名さ
れる。
【0049】この詳細な開示で、証明書はあるものが真
実であることを証明する署名された電子文書である。証
明書は、通常、ある人が公開鍵の所有権を有することを
示す。本発明において、証明書はエンティティが鍵によ
って示されるサービスへアクセスできることを表示し得
る。証明書は(対応する公開鍵で確証できる)秘密鍵で
生成されるデジタル署名に加えて、署名権限のアイデン
ティティを含み得る。例えば、ある証明書形式はX.5
09規格下で規定される。
【0050】この詳細な開示で、デジタル署名は、その
値がシークレットを用いて導かれた値であることを明示
し得るように、シークレットを用いてファイルから導か
れる値であり、ここで、シークレットは署名者に対して
のみ知られている。デジタル署名は、鍵によって生成さ
れ、ファイルに付加されるメッセージダイジェストの形
態をとり得るか、または鍵を用いたファイル内でのデー
タ変換の形態をとり得る。デジタル署名はまた、公開鍵
秘密鍵暗号化システムの秘密鍵によって暗号化されたメ
ッセージダイジェストの形態をとり得る。
【0051】例えば、例示した実施様態において、証明
書鎖310は証明書−1 312、証明書−2 314
および証明書−N 316を含む。サーバコード所有者
は最初は秘密鍵0で開始する。役割のための権限を送信
するために、サーバコード所有者は証明書−1 312
および関連する公開鍵秘密鍵対を生成する。ここで、秘
密鍵は秘密鍵1である。サーバコード所有者は秘密鍵0
で証明書−1 312に署名し、証明書−1 312
を、対応する秘密鍵1と共に第1の仲介者へ送信する。
第1の仲介者は秘密鍵2を含む対応する公開鍵秘密鍵対
と共に証明書−2314を生成する。第1の仲介者は公
開鍵1で証明書−2 314に署名し、証明書−2 3
14を、関連する秘密鍵2および鎖内の先行する全ての
証明書と共に、後続の仲介者に送信する。最後の仲介者
が秘密鍵N−1で証明書−N 316に署名し、証明書
−N 316を、対応する秘密鍵Nおよび鎖内の先行す
る全ての証明書と共にクライアントコード所有者に送信
するまで、鎖について、このパターンが続けられる。ク
ライアントコード所有者は秘密鍵Nを用いてクライアン
トコード320に署名し、続いて、証明書鎖310およ
びクライアントコード320を含むクライアントコード
モジュール122を生成する。
【0052】従って、クライアントコードモジュール1
22はサーバコード所有者から最終的なクライアントコ
ード所有者までの仲介者によって署名される検証可能な
証明書鎖310を含む。証明書鎖310は、公開鍵を用
いて、鎖内の証明書が対応する秘密鍵で適切に署名され
ていることを検証することによって証明され得る。
【0053】権限の委任 図4は、本発明に従って、サービスにアクセスする権限
が証明書の鎖を用いて異なるエンティティ間で委任され
る様子を示す。この例において、サーバ会社400は、
図1のサーバコードモジュール112等のサーバコード
モジュールに関連するデータへアクセスする権限を委任
する。このサーバコードモジュールは様々な第三者シス
テムに分散され、これらの第三者システム上の適切に権
限が与えられたクライアントコードモジュールと相互作
用し得る。あるいは、サーバコードモジュールは、サー
バ会社400またはクライアントコードモジュールの所
有者のいずれかに属するコンピュータシステム上のクラ
イアントコードモジュールと相互作用し得る。
【0054】図4に示す実施例において、サーバ会社4
00は以下の処理を行う。第1に、サーバ会社400
は、秘密鍵0を含む公開鍵秘密鍵対を生成する。次に、
サーバ会社400はサーバコード460を生成し、サー
バコード460はクライアントコードモジュールが証明
書の鎖を含むことをチェックする。証明書の鎖は、秘密
鍵0で署名したルート証明書を含む。第2に、サーバ会
社400は、権限を委任しようと所望する各仲介者また
はクライアント会社のために証明書および公開鍵秘密鍵
対を生成する。第3に、サーバ会社400は秘密鍵0で
署名された証明書およびその証明書に関連する秘密鍵を
仲介会社またはクライアント会社に送る。図示した実施
例において、サーバ会社400は証明書X 404(秘
密鍵0で署名)および秘密鍵X 402をクライアント
会社X 430に送信する。サーバ会社400は証明書
Y 420(秘密鍵0で署名)および秘密鍵Y 418
を仲介者Y 450にさらに送信する。
【0055】図4に示す実施例において、クライアント
会社X 430は、3つのプロジェクトの各々について
の証明書および公開鍵秘密鍵対を生成し、証明書および
関連する秘密鍵を3つの異なるクライアントコードモジ
ュールの生成について責任を有するクライアント会社X
430内のエンティティに送信する。特に、クライア
ント会社X 430は、証明書X1 408(秘密鍵X
で署名)および秘密鍵X1 406をプロジェクトX1
432に送信する。クライアント会社X 430はま
た、証明書X2 412(秘密鍵Xで署名)および秘密
鍵X2 410をプロジェクトX2 434に送信す
る。クライアント会社X 430は、証明書X3 41
6(秘密鍵Xで署名)および秘密鍵X3 414をプロ
ジェクトX3 436に追加的に送信する。
【0056】次に、クライアント会社X 430内の各
プロジェクトがコードモジュールを生成する。特にプロ
ジェクトX1 432は、プロジェクトX1についてコ
ードモジュール438を生成する。このコードモジュー
ルは、証明書X 404(秘密鍵0で署名)および証明
書X1 408(秘密鍵X 402で署名)を含む証明
書の鎖を含む。コードモジュール438は、秘密鍵X1
406で署名されたコード(図示せず)も含む。プロ
ジェクトX2 434は、プロジェクトX2についてコ
ードモジュール440を生成する。このコードモジュー
ルは、証明書X404(秘密鍵0で署名)および証明書
X2 412(秘密鍵X 402で署名)を含む証明書
の鎖を含む。コードモジュール440はまた、秘密鍵X
2 410で署名されたコード(図示せず)も含む。プ
ロジェクトX3 436は、プロジェクトX3について
コードモジュール442を生成する。このコードモジュ
ールは、証明書X 404(秘密鍵0で署名)および証
明書X3 416(秘密鍵X 402で署名)を含む証
明書の鎖を含む。コードモジュール442はまた、秘密
鍵X3 414で署名されたコード(図示せず)も含
む。
【0057】図4に示す実施例において、仲介者Y 4
50は証明書Z 424および秘密鍵Z 422を含む
公開鍵秘密鍵対を生成する。仲介者Y 450は、秘密
鍵Y418を用いて証明書Z 424に署名し、証明書
Z 424(秘密鍵Y 418で署名)を秘密鍵Z 4
22と共にクライアント会社Z 452に送信する。
【0058】クライアント会社Z 452は、証明書の
鎖を含む、プロジェクトZについてコードモジュール4
54を生成する。証明書の鎖は、証明書Y 420(秘
密鍵0で署名)および証明書Z 424(秘密鍵Y 4
18で署名)を含む。コードモジュール454はまた、
秘密鍵Z 422で署名されたコード(図示せず)も含
む。
【0059】委任および権限付与プロセス 図5は、本発明の実施様態に従って、サービスへのアク
セスに対する権限付与が伝播し、最終的にサービスへの
アクセスを得るために使用される様子を示すフローチャ
ートである。システムは状態500において開始し、状
態502に進む。状態502において、サーバ会社40
0(図4)はサーバコード460を生成する。サーバコ
ード460は、鍵0で署名されているクライアントにつ
いてチェックを行う。鍵0は特定の役割に関連する。特
定の役割は、この役割内で実行され得る1組のサービス
を規定する。次に、システムは状態504に進む。状態
504において、サーバ会社400は各クライアントに
ついて新たな公開鍵秘密鍵対および証明書を生成する。
次に、システムは状態506に進む。状態506におい
て、サーバ会社400はこれらの証明書および秘密鍵を
クライアントと交換する。この交換は、サービスの使用
についての支払いにおける金銭の授受または他のいくつ
かの契約上の対価の転送を含み得る。次に、システムは
状態508に進む。
【0060】状態508において、各クライアント会社
は、鍵0によって示される役割を担う各クライアントコ
ードモジュールについて、自分の公開鍵秘密鍵対および
対応する証明書を必要に応じて生成する。このプロセス
は、クライアントコードを所有する最後のクライアント
に到達するまで、複数のレベルのクライアントおよび仲
介者について繰り返され得る。次に、システムは状態5
10に進む。
【0061】状態510において、最後のクライアント
が鎖内の最後の鍵でクライアントコードに署名し、鎖内
の全ての証明書でそれをパッケージする。次に、システ
ムは状態512に進む。状態512において、クライア
ントコードモジュール122は第三者システム140に
ダウンロードされる。第三者システム140は、サーバ
会社400からのサーバコードモジュール112も搭載
している。次に、システムは状態514に進む。
【0062】状態514において、クライアントコード
は、システムから役割のためのチケットを要求すること
によって、サーバコードによって格納されたサービスへ
のアクセスを要求する。この役割は、サービス上の所定
の動作を特定する。次に、システムは状態516に進
む。状態516において、システムは要求の有効性をチ
ェックする。この有効性チェックは、鎖およびクライア
ントコード内の全ての証明書を検査し、証明書およびク
ライアントコードが適切な秘密鍵で署名されていること
を確実にすることによって行われる。このことは、対応
する公開鍵を用いて、対応する秘密鍵による署名を検証
することによって達成される。要求が有効である場合、
システムはチケットをクライアントに返却する。
【0063】証明書の鎖を検査するプロセスは、サーバ
コードまたは第三者システム上の中間コードによって完
全に実行され得る。あるいは、検査の一部分はシステム
コードによって実行され得、また一部分は中間コードに
よって実行され得る。例えば、中間コードは第1の証明
書を除く全ての証明書を検査し得、サーバコードは第1
の証明書を検査し、それが秘密鍵0で署名されているこ
とを検証し得る。次に、システムは状態518に進む。
状態518において、クライアントコードは、(図2を
参照して上で説明したように)チケットをサーバゲート
202に送信する。次に、システムは状態520に進
む。状態520において、サーバゲート202はチケッ
トの有効性をチェックし、有効である場合、サーバゲー
ト202は、役割を介してサービスにアクセスする許可
をクライアントコードに送信する。次に、システムは状
態522に進むが、これが終了の状態である。上述のプ
ロセスは、新たなサーバコードモジュールの各々につい
て、またはシステムが生成することを望むクライアント
コードモジュールについて繰り返される。
【0064】クライアントコードについての許可を生成
する上述のプロセスは、特定の状況において、厳密には
必要でなく、無しで済ましてもよいことに注意された
い。サービスへのアクセスがまれである場合、所望のア
クセスは連続的なアクセスについての許可をクライアン
トコードに与えることなく、単に実行され得る。更に、
許可は受動的ではない。許可は、他の状況の間で一定期
間の後に許可を不活性化するメカニズム、および、許可
の使用のログを維持するメカニズムを含み得る。許可は
また、許可が無効にされないことを確実し、且つ、許可
のユーザを識別するメカニズムも含み得る。
【0065】本発明は、第1のコンピュータプログラム
モジュールに、第2のコンピュータプログラムモジュー
ルからのサービスへアクセスする能力を提供する方法お
よび装置を提供する。本発明の方法は、例えば第三者コ
ンピュータシステムにおいて第1のコンピュータプログ
ラムモジュールを受け取るステップ、および第1のコン
ピュータプログラムモジュールがサービスについてのア
クセスを与える権力を有する権限によってデジタル的に
署名されたかどうかを判定するステップを含む。署名さ
れていた場合、本発明の方法は第1のコンピュータプロ
グラムモジュールにサービスへのアクセスを提供する。
この実施様態の変形例は、第1のコンピュータプログラ
ムモジュールがサービスについての権限付与の鎖を確立
する証明書の鎖を含むことを検証するステップを含む。
この検証プロセスは、鎖内の第1の証明書がサービスへ
のアクセスを与える権限を本来付与されているエンティ
ティによって署名されたことを検証するステップ、およ
び、鎖内の次の証明書がサービスについてのアクセスを
与える権限付与を委任されたエンティティによって署名
されたことを検証するステップを含む。上記実施様態の
更なる変形例において、第1のコンピュータプログラム
モジュールにサービスへのアクセスを提供するステップ
が、第1のコンピュータプログラムモジュールに、第1
のコンピュータプログラムモジュールにサービスに関す
る制限されたセットの動作を実行させる許可を提供する
ステップを含む。
【0066】これまでに述べた本発明の実施様態の説明
は、例示および説明のみを目的として提示したものであ
る。上記説明は、網羅することを意図したものでなく、
また、開示した様態に本発明を限定することを意図する
ものでもない。複数の変更および改変が当業者には明ら
かである。従って、上記開示は本発明を限定することを
意図されない。本発明の範囲は添付した請求の範囲によ
ってのみ限定される。
【0067】
【発明の効果】上述したように、本発明によると、第1
のコンピュータプログラムモジュールに、第2のコンピ
ュータプログラムモジュールからのサービスへアクセス
する能力を提供する方法および装置が提供される。本発
明の方法は、例えば第三者コンピュータシステムにおい
て第1のコンピュータプログラムモジュールを受け取る
ステップ、および第1のコンピュータプログラムモジュ
ールがサービスについてのアクセスを与える権力を有す
る権限によってデジタル的に署名されたかどうかを判定
するステップを含む。署名されていた場合、本発明の方
法は第1のコンピュータプログラムモジュールにサービ
スへのアクセスを提供する。この実施様態の変形例は、
第1のコンピュータプログラムモジュールがサービスに
ついての権限付与の鎖を確立する証明書の鎖を含むこと
を検証するステップを含む。この検証プロセスは、鎖内
の第1の証明書がサービスへのアクセスを与える権限を
本来付与されているエンティティによって署名されたこ
とを検証するステップ、および、鎖内の次の証明書がサ
ービスについてのアクセスを与える権限付与を委任され
たエンティティによって署名されたことを検証するステ
ップを含む。上記実施様態の更なる変形例において、第
1のコンピュータプログラムモジュールにサービスへの
アクセスを提供するステップが、第1のコンピュータプ
ログラムモジュールに、第1のコンピュータプログラム
モジュールにサービスに関する制限されたセットの動作
を実行させる許可を提供するステップを含む。これらに
より、コンピュータシステムの他のアプリケーションに
よって提供されるサービスへのアクセスを容易にし且つ
制御することができる。
【図面の簡単な説明】
【図1】本発明の実施様態による、ネットワーク130
を介して一体に結合された複数のコンピュータノードを
示す図である。
【図2】本発明の実施様態による、サービスへのアクセ
スを受け取るプロセスを示す図である。
【図3】本発明の実施様態による、図1のクライアント
コードモジュール122の構造の一部分を示す図であ
る。
【図4】本発明の実施様態による、サーバへアクセスす
る権限が、証明書の鎖を用いて異なるエンティティ間で
転送される様子を示す図である。
【図5】本発明の実施様態による、サーバへのアクセス
に対する権限付与が伝播し、最終的に、サーバへのアク
セスを得るために使用される様子を示すフローチャート
である。
【符号の説明】
110、120 サーバ 112 サーバコードモジュール 122 クライアントコードモジュール 130 ネットワーク 140 第三者システム 202 サーバゲート 204 システム 312 証明書−1 314 証明書−2 316 証明書−N 320 クライアントコード 400 サーバ会社 402 秘密鍵X 404 証明書X 406 秘密鍵X1 408 証明書X1 410 秘密鍵X2 412 証明書X2 414 秘密鍵X3 416 証明書X3 418 秘密鍵Y 420 証明書Y 422 秘密鍵Z 424 証明書Z 430 クライアント会社X 432 プロジェクトX1 434 プロジェクトX2 436 プロジェクトX3 438、440、442 コードモジュール 450 仲介者Y 452 クライアント会社Z 454 コードモジュール 460 サーバコード
───────────────────────────────────────────────────── フロントページの続き (72)発明者 エフレム リプキン アメリカ合衆国 カリフォルニア 94703, バークレイ, ワード ストリート 1811 (72)発明者 セオドーレ シー. ゴールドステイン アメリカ合衆国 カリフォルニア 94306, パロ アルト, ラ パラ アベニュー 875

Claims (29)

    【特許請求の範囲】
  1. 【請求項1】 第1のコンピュータプログラムモジュー
    ルに第2のコンピュータプログラムモジュールからのサ
    ービスへアクセスする能力を提供する方法であって、該
    方法は、 該第1のコンピュータプログラムモジュールを受け取る
    ステップと、 該第1のコンピュータプログラムモジュールが該第2の
    コンピュータプログラムモジュールからの該サービスに
    ついてのアクセスを与える権力を有する権限によってデ
    ジタル的に署名されたかどうかを判定するステップと、 該第1のコンピュータプログラムモジュールが該サービ
    スについてのアクセスを与える権力を有する該権限によ
    ってデジタル的に署名された場合に、該第1のコンピュ
    ータプログラムモジュールに該サービスへのアクセスを
    提供するステップと、 該第1のコンピュータプログラムモジュールが該第2の
    コンピュータプログラムモジュールからの該サービスに
    アクセスできるように、該第1のコンピュータプログラ
    ムモジュールおよび該第2のコンピュータプログラムモ
    ジュールを同じコンピューティングノード上の同じアド
    レス空間内で実行させることのできるステップと、を含
    む方法。
  2. 【請求項2】 前記第1のコンピュータプログラムモジ
    ュールが前記サービスについてのアクセスを与える権力
    を有する前記権限によってデジタル的に署名されたかど
    うかを判定するステップが、該サービスに関連する公開
    鍵を用いて、該第1のコンピュータプログラムモジュー
    ルが該サービスについての対応する秘密鍵によってデジ
    タル的に署名されたかどうかを検証するステップを含
    む、請求項1に記載の方法。
  3. 【請求項3】 前記第1のコンピュータプログラムモジ
    ュールが前記サービスについてのアクセスを与える権力
    を有する前記権限によってデジタル的に署名されたかど
    うかを判定するステップが、該第1のコンピュータプロ
    グラムモジュールが該サービスについての権限付与を確
    立する証明書の鎖を含むことを検証するステップを含
    み、該鎖内の第1の証明書が該サービスについてのアク
    セスを与える権限を本来与えられているエンティティに
    よって署名され、該鎖内の次の証明書が該サービスにつ
    いてのアクセスを与える権限付与を委任されたエンティ
    ティによって署名される、請求項1に記載の方法。
  4. 【請求項4】 前記第1のコンピュータプログラムモジ
    ュールに前記サービスへのアクセスを提供するステップ
    が、該第1のコンピュータプログラムモジュールに制限
    されたセットのサービスを実行させることのできる許可
    を該第1のコンピュータプログラムモジュールに提供す
    るステップを含む、請求項1に記載の方法。
  5. 【請求項5】 前記サービスが、オブジェクト指向プロ
    グラミングシステム内に規定されたオブジェクトを介し
    てアクセスされる、請求項1に記載の方法。
  6. 【請求項6】 前記第1のコンピュータプログラムモジ
    ュールがJavaアーカイブファイルを含む、請求項1
    に記載の方法。
  7. 【請求項7】 前記第1のコンピュータプログラムモジ
    ュールがコンピュータコードおよび少なくとも1つのデ
    ジタル証明書を含む、請求項1に記載の方法。
  8. 【請求項8】 前記第1のコンピュータプログラムモジ
    ュールに前記サービスへのアクセスを提供するステップ
    が、該第1のコンピュータプログラムモジュールを前記
    第2のコンピュータプログラムモジュールと相互作用さ
    せることのできる、請求項1に記載の方法。
  9. 【請求項9】 前記第1のコンピュータプログラムモジ
    ュールが第1のサーバに由来し、実行のためにコンピュ
    ータノードに転送され、前記第2のコンピュータプログ
    ラムモジュールが第2のサーバに由来し、実行のために
    該コンピュータノードに転送される、請求項8に記載の
    方法。
  10. 【請求項10】 前記第1のサーバおよび前記第2のサ
    ーバコンピュータが前記コンピュータノードから分離し
    て配置された、請求項8に記載の方法。
  11. 【請求項11】 前記サービスが複数のサービスを含
    む、請求項1に記載の方法。
  12. 【請求項12】 第1のコンピュータプログラムモジュ
    ールに第2のコンピュータプログラムモジュールからの
    サービスへアクセスする能力を提供する方法であって、
    該方法は、 該第1のコンピュータプログラムモジュールを受け取る
    ステップと、 該第1のコンピュータプログラムモジュールが該サービ
    スについての権限付与を確立する証明書の鎖を含むこと
    を検証することによって、該第1のコンピュータプログ
    ラムモジュールが該サービスについてのアクセスを与え
    る権力を有する権限によってデジタル的に署名されたか
    どうかを判定するステップであって、該鎖内の第1の証
    明書が該サービスについてのアクセスを与える権限を本
    来与えられているエンティティによって署名され、該鎖
    内の次の証明書が該サービスについてのアクセスを与え
    る権限付与を委任されたエンティティによって署名され
    る、判定ステップと、 該第1のコンピュータプログラムモジュールが該サービ
    スについてのアクセスを与える権力を有する該権限によ
    ってデジタル的に署名された場合に、該第1のコンピュ
    ータプログラムモジュールに該サービスを含む制限され
    たセットのサービスを実行させることのできる許可を該
    第1のコンピュータプログラムモジュールに提供するス
    テップと、 該第1のコンピュータプログラムモジュールが該第2の
    コンピュータプログラムモジュールからの該サービスに
    アクセスできるように、該第1のコンピュータプログラ
    ムモジュールおよび該第2のコンピュータプログラムモ
    ジュールを同じコンピューティングノード上の同じアド
    レス空間内で実行させることのできるステップと、を含
    み、 該第1のコンピュータプログラムモジュールに該サービ
    スへアクセスさせることのできるステップにより、該第
    1のコンピュータプログラムモジュールが該第2のコン
    ピュータプログラムモジュールと相互作用することがで
    きる方法。
  13. 【請求項13】 前記サービスがオブジェクト指向プロ
    グラミングシステム内に規定されたオブジェクトを介し
    てアクセスされる、請求項12に記載の方法。
  14. 【請求項14】 前記第1のコンピュータプログラムモ
    ジュールがJavaアーカイブファイルを含む、請求項
    12に記載の方法。
  15. 【請求項15】 前記第1のコンピュータプログラムモ
    ジュールが第1のサーバに由来し、実行のためにコンピ
    ュータノードに転送され、前記第2のコンピュータプロ
    グラムモジュールが第2のサーバに由来し、実行のため
    に該コンピュータノードに転送される、請求項12に記
    載の方法。
  16. 【請求項16】 前記第1のサーバおよび前記第2のサ
    ーバコンピュータが前記コンピュータノードから分離し
    て配置された、請求項15に記載の方法。
  17. 【請求項17】 コンピュータによって実行される場合
    に、第1のコンピュータプログラムモジュールに第2の
    コンピュータプログラムモジュールからのサービスにア
    クセスする能力を提供するための方法をコンピュータに
    実行させる命令を格納するコンピュータ読み出し可能記
    憶媒体であって、該記憶媒体は、 該第1のコンピュータプログラムモジュールを受け取る
    ステップと、 該第1のコンピュータプログラムモジュールが該第2の
    コンピュータプログラムモジュールからの該サービスに
    ついてのアクセスを与える権力を有する権限によってデ
    ジタル的に署名されたかどうかを判定するステップと、 該第1のコンピュータプログラムモジュールが該サービ
    スについてのアクセスを与える権力を有する該権限によ
    ってデジタル的に署名された場合に、該第1のコンピュ
    ータプログラムモジュールに該サービスへのアクセスを
    提供するステップと、 該第1のコンピュータプログラムモジュールが該第2の
    コンピュータプログラムモジュールからの該サービスに
    アクセスできるように、該第1のコンピュータプログラ
    ムモジュールおよび該第2のコンピュータプログラムモ
    ジュールを同じコンピューティングノード上の同じアド
    レス空間内で実行させることのできるステップと、を含
    むコンピュータ読み出し可能記憶媒体。
  18. 【請求項18】 第1のコンピュータプログラムモジュ
    ールに第2のコンピュータプログラムモジュールからの
    サービスへアクセスする能力を提供する方法であって、
    該方法は、 該第1のコンピュータプログラムモジュールを受け取る
    ための受け取り手段と、 該第1のコンピュータプログラムモジュールが該サービ
    スについてのアクセスを与える権力を有する権限によっ
    てデジタル的に署名されたかどうかを検証するための検
    証手段と、 該第1のコンピュータプログラムモジュールが該サービ
    スについてのアクセスを与える権力を有する該権限によ
    ってデジタル的に署名された場合に、該第1のコンピュ
    ータプログラムモジュールに該サービスへのアクセスを
    提供するアクセス手段と、 該第1のコンピュータプログラムモジュールが該第2の
    コンピュータプログラムモジュールからの該サービスに
    アクセスできるように、該第1のコンピュータプログラ
    ムモジュールおよび該第2のコンピュータプログラムモ
    ジュールを同じコンピューティングノード上の同じアド
    レス空間内で実行させることのできる実行手段と、を含
    む方法。
  19. 【請求項19】 第1のコンピュータプログラムモジュ
    ールに第2のコンピュータプログラムモジュールからの
    サービスへアクセスする能力を提供する装置であって、
    該装置は、 コンピュータノードと、 該第1のコンピュータプログラムモジュールを受け取
    る、該コンピュータノード内の受け取りメカニズムと、 該第1のコンピュータプログラムモジュールが該サービ
    スについてのアクセスを与える権力を有する権限によっ
    てデジタル的に署名されたかどうかを検証する、該コン
    ピュータノード内の検証メカニズムと、 該第1のコンピュータプログラムモジュールが該サービ
    スについてのアクセスを与える権力を有する該権限によ
    ってデジタル的に署名された場合に、該第1のコンピュ
    ータプログラムモジュールに該サービスへのアクセスを
    提供する、該コンピュータノード内のアクセスメカニズ
    ムと、 該コンピュータノード内で、該第1のコンピュータプロ
    グラムモジュールが該第2のコンピュータプログラムモ
    ジュールからの該サービスにアクセスできるように、該
    第1のコンピュータプログラムモジュールおよび該第2
    のコンピュータプログラムモジュールを同じコンピュー
    ティングノード上の同じアドレス空間内で実行させるこ
    とのできる、該コンピュータノード内の実行メカニズム
    と、を備える装置。
  20. 【請求項20】 前記検証メカニズムが、前記サービス
    に関連する公開鍵を用いて、前記第1のコンピュータプ
    ログラムモジュールが該サービスについての対応する秘
    密鍵によってデジタル的に署名されたかどうかを検証す
    るように構成される、請求項19に記載の装置。
  21. 【請求項21】 前記検証メカニズムが、前記第1のコ
    ンピュータプログラムモジュールが前記サービスについ
    ての権限付与を確立する証明書の鎖を含み、該鎖内の第
    1の証明書が該サービスへのアクセスを与える権限を本
    来与えられているエンティティによって署名され、該鎖
    内のそれに続く証明書が該サービスへのアクセスを与え
    る権限付与を委任されたエンティティによって署名され
    ることを検証するように構成される、請求項19に記載
    の装置。
  22. 【請求項22】 前記アクセスメカニズムが、前記第1
    のコンピュータプログラムモジュールがサービスの制限
    されたセットを実行することのできる許可を該第1のコ
    ンピュータプログラムモジュールに提供するように構成
    される、請求項19に記載の装置。
  23. 【請求項23】 前記サービスが、オブジェクト指向プ
    ログラミングシステム内に規定されたオブジェクトを介
    してアクセスされる、請求項19に記載の装置。
  24. 【請求項24】 前記第1のコンピュータプログラムモ
    ジュールがJavaアーカイブファイルを含む、請求項
    19に記載の装置。
  25. 【請求項25】 前記第1のコンピュータプログラムモ
    ジュールがコンピュータコードおよび少なくとも1つの
    デジタル証明書を含む、請求項19に記載の装置。
  26. 【請求項26】 前記受け取りメカニズムが、前記第1
    のコンピュータプログラムモジュールを第1のサーバか
    ら転送し、且つ、前記第2のコンピュータプログラムモ
    ジュールを第2のサーバから転送するように構成され
    る、請求項19に記載の装置。
  27. 【請求項27】 第1のサーバおよび第2のサーバがコ
    ンピュータノードから分離されている、請求項26に記
    載の装置。
  28. 【請求項28】 前記サービスが複数のサービスを含
    む、請求項26に記載の装置。
  29. 【請求項29】 第2のコンピュータプログラムモジュ
    ールからのサービスにアクセスすることができる第1の
    コンピュータプログラムモジュールを含むコンピュータ
    読み出し可能記憶媒体であって、該記憶媒体は、 コンピュータコードセクションであって、コンピュータ
    ノード上での実行のためにコンピュータコードを含み、
    第1のコンピュータプログラムモジュールの機能を実行
    する、コンピュータコードセクションと、 該サービスへの権限付与を確立する証明書の鎖を含むデ
    ジタル署名セクションであって、該鎖内の第1の証明書
    が該サービスへのアクセスを与える権限を本来付与され
    ているエンティティによって署名され、該鎖内のそれに
    続く証明書が該サービスへのアクセスを与える権限付与
    を委任されたエンティティによって署名され、該デジタ
    ル署名セクションが、該コンピュータプログラムモジュ
    ールが該サービスにアクセスする権限を与えられたかど
    うかをコンピュータノードに判定させる、デジタル署名
    セクションと、を含む、コンピュータ読み出し可能記憶
    媒体。
JP11182475A 1998-06-29 1999-06-28 モジュラ―アプリケ―ション間のサ―ビスへのアクセス制御 Pending JP2000148469A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/106.567 1998-06-29
US09/106,567 US6138235A (en) 1998-06-29 1998-06-29 Controlling access to services between modular applications

Publications (1)

Publication Number Publication Date
JP2000148469A true JP2000148469A (ja) 2000-05-30

Family

ID=22312127

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11182475A Pending JP2000148469A (ja) 1998-06-29 1999-06-28 モジュラ―アプリケ―ション間のサ―ビスへのアクセス制御

Country Status (3)

Country Link
US (1) US6138235A (ja)
EP (1) EP0969366A1 (ja)
JP (1) JP2000148469A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005524910A (ja) * 2002-05-07 2005-08-18 ソニー・エリクソン・モバイルコミュニケーションズ, エービー デバイスにアプリケーションをローディングする方法、デバイス、及びそのデバイス用のスマートカード
WO2006001524A1 (ja) * 2004-06-25 2006-01-05 Nec Corporation 移動端末、移動端末のリソースアクセス制御システムおよび移動端末におけるリソースアクセス制御方法
JP2009087370A (ja) * 2008-12-22 2009-04-23 Ntt Docomo Inc 携帯端末およびデータ共用方法
JP2009169969A (ja) * 2009-03-23 2009-07-30 Ntt Docomo Inc 携帯端末およびデータ共用方法
US8181018B2 (en) 2001-05-25 2012-05-15 Aol Inc. Master key trust grants and revocations for minor keys
US8613076B2 (en) 2011-03-14 2013-12-17 Canon Kabushiki Kaisha Information processing apparatus, information processing method, and storage medium

Families Citing this family (71)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7290288B2 (en) 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
US6883100B1 (en) 1999-05-10 2005-04-19 Sun Microsystems, Inc. Method and system for dynamic issuance of group certificates
US7213262B1 (en) * 1999-05-10 2007-05-01 Sun Microsystems, Inc. Method and system for proving membership in a nested group using chains of credentials
US6947965B2 (en) 1999-11-30 2005-09-20 Recursion Software, Inc. System and method for communications in a distributed computing environment
US6961772B1 (en) * 1999-11-30 2005-11-01 Recursion Software, Inc. Transparent connection type binding by address range
US6678743B1 (en) 1999-11-30 2004-01-13 Recursion Software, Inc. Method for moving objects in a distributed computing environment
GB2357226B (en) 1999-12-08 2003-07-16 Hewlett Packard Co Security protocol
GB2357225B (en) 1999-12-08 2003-07-16 Hewlett Packard Co Electronic certificate
GB2357227B (en) 1999-12-08 2003-12-17 Hewlett Packard Co Security protocol
GB2357228B (en) 1999-12-08 2003-07-09 Hewlett Packard Co Method and apparatus for discovering a trust chain imparting a required attribute to a subject
GB2357229B (en) 1999-12-08 2004-03-17 Hewlett Packard Co Security protocol
US6636889B1 (en) * 2000-01-04 2003-10-21 International Business Machines Corporation System and method for client replication of collaboration space
GB0003920D0 (en) * 2000-02-21 2000-04-05 Ncipher Corp Limited Computer system
DE10008973B4 (de) * 2000-02-25 2004-10-07 Bayerische Motoren Werke Ag Autorisierungsverfahren mit Zertifikat
US7266681B1 (en) * 2000-04-07 2007-09-04 Intertrust Technologies Corp. Network communications security agent
IL135555A0 (en) * 2000-04-09 2001-05-20 Vidius Inc Preventing unauthorized access to data sent via computer networks
US7058798B1 (en) 2000-04-11 2006-06-06 Sun Microsystems, Inc. Method ans system for pro-active credential refreshing
US7243356B1 (en) * 2000-05-09 2007-07-10 Sun Microsystems, Inc. Remote method invocation with secure messaging in a distributed computing environment
WO2002010907A2 (en) * 2000-05-10 2002-02-07 Convera Corporation Method of revoking_authorizations for software components
JP2002108840A (ja) * 2000-09-28 2002-04-12 Toshiba Corp 分散型注文受付システム、受付サーバ、コンテンツサーバ、分散型注文受付方法及びコンピュータプログラム製品
FI20002255A (fi) * 2000-10-13 2002-04-14 Nokia Corp Menetelmä lukkojen hallintaan ja kontrollointiin
US20020080888A1 (en) * 2000-12-22 2002-06-27 Li Shu Message splitting and spatially diversified message routing for increasing transmission assurance and data security over distributed networks
US20020099668A1 (en) * 2001-01-22 2002-07-25 Sun Microsystems, Inc. Efficient revocation of registration authorities
US6965994B1 (en) * 2001-01-30 2005-11-15 Microsoft Corporation Security mechanism for computer processing modules
GB2372412A (en) * 2001-02-20 2002-08-21 Hewlett Packard Co Digital credential monitoring
JP2004537083A (ja) * 2001-03-09 2004-12-09 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 新しいコンポーネントを確認するサーバを有するシステム
US20020144120A1 (en) * 2001-03-28 2002-10-03 Ramanathan Ramanathan Method and apparatus for constructing digital certificates
US20020144110A1 (en) * 2001-03-28 2002-10-03 Ramanathan Ramanathan Method and apparatus for constructing digital certificates
US20030172297A1 (en) * 2002-03-05 2003-09-11 Gunter Carl A. Method and system for maintaining secure access to web server services using public keys
US20020162004A1 (en) * 2001-04-25 2002-10-31 Gunter Carl A. Method and system for managing access to services
US20030236977A1 (en) * 2001-04-25 2003-12-25 Levas Robert George Method and system for providing secure access to applications
US6885388B2 (en) * 2001-04-25 2005-04-26 Probaris Technologies Inc. Method for automatically generating list of meeting participants and delegation permission
US20020162019A1 (en) * 2001-04-25 2002-10-31 Berry Michael C. Method and system for managing access to services
US20020161999A1 (en) * 2001-04-25 2002-10-31 Gunter Carl A. Method and system for expediting delegation of permission
US20020162002A1 (en) * 2001-04-25 2002-10-31 Gunter Carl A. Method and system for controlling access to services
US7373499B2 (en) * 2001-06-26 2008-05-13 Lucent Technologies Inc. Methods and apparatus for delegation of cryptographic servers for capture-resilient devices
US20030069967A1 (en) * 2001-10-10 2003-04-10 International Business Machines Corporation Shared authorization data authentication method for transaction delegation in service-based computing environments
AU2002353312A1 (en) * 2001-12-12 2003-06-23 Schlumberger Systemes Method and system for module chaining control in a modular software architecture
KR100450795B1 (ko) 2001-12-12 2004-10-01 삼성전자주식회사 무선 독립망에서 혼합형 자원 공유 방법과 이를 위한 단말및 데이타 포맷
USRE43383E1 (en) 2001-12-12 2012-05-15 Samsung Electronics Co., Ltd. Method for sharing hybrid resources in a wireless independent network, a station for the method, and a data format for the method and the station
US7571314B2 (en) * 2001-12-13 2009-08-04 Intel Corporation Method of assembling authorization certificate chains
US7171493B2 (en) * 2001-12-19 2007-01-30 The Charles Stark Draper Laboratory Camouflage of network traffic to resist attack
US7117366B2 (en) * 2002-01-08 2006-10-03 International Business Machines Corporation Public key based authentication method for transaction delegation in service-based computing environments
US7818792B2 (en) * 2002-02-04 2010-10-19 General Instrument Corporation Method and system for providing third party authentication of authorization
US7636860B2 (en) * 2002-02-13 2009-12-22 Realnetworks, Inc. Scalable and extensible secure rendering of digital content
US7523490B2 (en) 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
JP2003337716A (ja) * 2002-05-20 2003-11-28 Ntt Docomo Inc 電子機器、データ共用方法、プログラム及び記憶媒体
US7356711B1 (en) 2002-05-30 2008-04-08 Microsoft Corporation Secure registration
GB0215911D0 (en) 2002-07-10 2002-08-21 Hewlett Packard Co Method and apparatus for encrypting data
US7512975B2 (en) * 2002-08-16 2009-03-31 Intel Corporation Hardware-assisted credential validation
US20040054901A1 (en) * 2002-09-17 2004-03-18 Microsoft Corporation Creating and verifying a sequence of consecutive data
GB2410660B (en) * 2002-10-14 2005-10-19 Toshiba Res Europ Ltd Methods and systems for flexible delegation
US7543140B2 (en) * 2003-02-26 2009-06-02 Microsoft Corporation Revocation of a certificate and exclusion of other principals in a digital rights management (DRM) system based on a revocation list from a delegated revocation authority
JP2004302543A (ja) * 2003-03-28 2004-10-28 Ntt Docomo Inc 受信装置およびプログラム
US7694330B2 (en) * 2003-05-23 2010-04-06 Industrial Technology Research Institute Personal authentication device and system and method thereof
US20050021954A1 (en) * 2003-05-23 2005-01-27 Hsiang-Tsung Kung Personal authentication device and system and method thereof
US7636941B2 (en) 2004-03-10 2009-12-22 Microsoft Corporation Cross-domain authentication
US7379551B2 (en) 2004-04-02 2008-05-27 Microsoft Corporation Method and system for recovering password protected private data via a communication network without exposing the private data
US7437551B2 (en) 2004-04-02 2008-10-14 Microsoft Corporation Public key infrastructure scalability certificate revocation status validation
US7104445B2 (en) * 2004-04-30 2006-09-12 Research In Motion Limited Content protection ticket system and method
US8312526B2 (en) * 2004-11-30 2012-11-13 Sap Aktiengesellschaft Method and system for delegating authority with restricted access right in an online collaborative environment
US8700523B2 (en) * 2005-06-10 2014-04-15 American Express Travel Related Services Company, Inc. System and method for delegating management of a financial transaction account to a designated assistant
ATE535877T1 (de) 2005-10-20 2011-12-15 Sap Ag Gesteuerte pfadbasierte prozessausführung
US9137664B2 (en) * 2007-05-01 2015-09-15 Qualcomm Incorporated Application logging interface for a mobile device
US8341715B2 (en) * 2008-02-29 2012-12-25 Research In Motion Limited System and method for shared resource owner based access control
US8689344B2 (en) * 2011-05-16 2014-04-01 Guest Tek Interactive Entertainment Ltd. System and method of integrating modules for execution on a computing device and controlling during runtime an ability of a first module to access a service provided by a second module
US9176739B2 (en) 2011-08-05 2015-11-03 Cisco Technology, Inc. System and method for checking run-time consistency for sequentially and non-sequentially fetched instructions
US11250423B2 (en) * 2012-05-04 2022-02-15 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
US20140289407A1 (en) * 2013-03-21 2014-09-25 Microsoft Corporation Group co-ownership of internet-accessible resources
WO2016078711A1 (en) 2014-11-20 2016-05-26 Widex A/S Secure connection between internet server and hearing aid
EP3291183A1 (en) * 2016-09-02 2018-03-07 Assa Abloy AB Sequence of delegations for controlling access to an access object

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05100939A (ja) * 1991-07-31 1993-04-23 Fuji Xerox Co Ltd フアイルシステム
JPH0778111A (ja) * 1993-06-30 1995-03-20 Sharp Corp 伝送媒体を介してプログラムを展開する機能を有した情報処理装置
JPH08166879A (ja) * 1994-06-10 1996-06-25 Sun Microsyst Inc 提供用ソフトウェアの安全性強化方法及び装置
JPH1083310A (ja) * 1996-06-11 1998-03-31 Internatl Business Mach Corp <Ibm> プログラム・コードの配布方法及びシステム
JPH1091427A (ja) * 1996-06-11 1998-04-10 Internatl Business Mach Corp <Ibm> 署名入り内容の使用の安全を保証する方法及びシステム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5218637A (en) * 1987-09-07 1993-06-08 L'etat Francais Represente Par Le Ministre Des Postes, Des Telecommunications Et De L'espace Method of transferring a secret, by the exchange of two certificates between two microcomputers which establish reciprocal authorization
US5557518A (en) * 1994-04-28 1996-09-17 Citibank, N.A. Trusted agents for open electronic commerce
US5649099A (en) * 1993-06-04 1997-07-15 Xerox Corporation Method for delegating access rights through executable access control program without delegating access rights not in a specification to any intermediary nor comprising server security
US5454039A (en) * 1993-12-06 1995-09-26 International Business Machines Corporation Software-efficient pseudorandom function and the use thereof for encryption
US5933503A (en) * 1996-03-15 1999-08-03 Novell, Inc Controlled modular cryptography apparatus and method
US6002768A (en) * 1996-05-07 1999-12-14 International Computer Science Institute Distributed registration and key distribution system and method
US6002767A (en) * 1996-06-17 1999-12-14 Verifone, Inc. System, method and article of manufacture for a modular gateway server architecture
US5823726A (en) * 1997-04-03 1998-10-20 Damage Prevention Company Reinforced slotted void filler
US5991399A (en) * 1997-12-18 1999-11-23 Intel Corporation Method for securely distributing a conditional use private key to a trusted entity on a remote system
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05100939A (ja) * 1991-07-31 1993-04-23 Fuji Xerox Co Ltd フアイルシステム
JPH0778111A (ja) * 1993-06-30 1995-03-20 Sharp Corp 伝送媒体を介してプログラムを展開する機能を有した情報処理装置
JPH08166879A (ja) * 1994-06-10 1996-06-25 Sun Microsyst Inc 提供用ソフトウェアの安全性強化方法及び装置
JPH1083310A (ja) * 1996-06-11 1998-03-31 Internatl Business Mach Corp <Ibm> プログラム・コードの配布方法及びシステム
JPH1091427A (ja) * 1996-06-11 1998-04-10 Internatl Business Mach Corp <Ibm> 署名入り内容の使用の安全を保証する方法及びシステム

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8181018B2 (en) 2001-05-25 2012-05-15 Aol Inc. Master key trust grants and revocations for minor keys
US8683198B2 (en) 2001-05-25 2014-03-25 Facebook, Inc. Master key trust grants and revocations for minor keys
JP2005524910A (ja) * 2002-05-07 2005-08-18 ソニー・エリクソン・モバイルコミュニケーションズ, エービー デバイスにアプリケーションをローディングする方法、デバイス、及びそのデバイス用のスマートカード
WO2006001524A1 (ja) * 2004-06-25 2006-01-05 Nec Corporation 移動端末、移動端末のリソースアクセス制御システムおよび移動端末におけるリソースアクセス制御方法
JPWO2006001524A1 (ja) * 2004-06-25 2008-04-17 日本電気株式会社 移動端末、移動端末のリソースアクセス制御システムおよび移動端末におけるリソースアクセス制御方法
JP4525939B2 (ja) * 2004-06-25 2010-08-18 日本電気株式会社 移動端末、移動端末のリソースアクセス制御システムおよび移動端末におけるリソースアクセス制御方法
JP2009087370A (ja) * 2008-12-22 2009-04-23 Ntt Docomo Inc 携帯端末およびデータ共用方法
JP4499813B2 (ja) * 2008-12-22 2010-07-07 株式会社エヌ・ティ・ティ・ドコモ 携帯端末およびデータ共用方法
JP2009169969A (ja) * 2009-03-23 2009-07-30 Ntt Docomo Inc 携帯端末およびデータ共用方法
US8613076B2 (en) 2011-03-14 2013-12-17 Canon Kabushiki Kaisha Information processing apparatus, information processing method, and storage medium

Also Published As

Publication number Publication date
EP0969366A1 (en) 2000-01-05
US6138235A (en) 2000-10-24

Similar Documents

Publication Publication Date Title
US6138235A (en) Controlling access to services between modular applications
JP4390911B2 (ja) 保護されたメモリシステム内のサービスへのアクセスを制御するための許可
US20210273931A1 (en) Decentralized authentication anchored by decentralized identifiers
JP4880331B2 (ja) アクセス管理システム等におけるリソース等にアクセスする権限の委任
EP1436682B1 (en) System and method for specifying security, privacy, and access control to information used by others
US10540484B2 (en) Networked services licensing system and method
EP1047992B1 (en) System and method for authenticating peer components
KR101477295B1 (ko) 인증서 발행을 위한 포맷-독립적 시스템 및 방법
US6971017B2 (en) Ad hoc secure access to documents and services
JP4746266B2 (ja) ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム
US7386513B2 (en) Networked services licensing system and method
US5649099A (en) Method for delegating access rights through executable access control program without delegating access rights not in a specification to any intermediary nor comprising server security
JP3731867B2 (ja) コンピュータ用のアクセス制御
US20070271618A1 (en) Securing access to a service data object
MXPA04001596A (es) Emision de una licencia de uso de editor fuera de linea en un sistema de administracion digital de derechos (drm).
MXPA04001292A (es) Conteniendo digital de publicacion dentro de un universo definido tal como una organizacion de acuerdo con un sistema de administracion digital de derechos (drm).
JP2004062890A (ja) デジタル権利管理サービスを提供するシステムおよび方法
JP2001077858A (ja) 通信ネットワーク管理方法、モバイルエージェント移動管理方法及び通信ネットワーク
AU2003219907B2 (en) Networked services licensing system and method
JP4201107B2 (ja) 埋め込み型権限委譲方法
Steffen et al. A trust based delegation system for managing access control
Toth et al. The persona concept: a consumer-centered identity model
US20220321345A1 (en) Secure exchange of session tokens for claims-based tokens in an extensible system
Shirinov Methods of Application Control in Cloud Computing Systems
KR20030070349A (ko) 홈 게이트웨이에서 네트워크 서비스를 인증받는 방법 및이러한 인증을 중계하는 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060517

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090713

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091007

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091112

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100129

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100415