JP2003030149A - 認証方法に基づいてリソースへのアクセスを制御するための方法および装置 - Google Patents

認証方法に基づいてリソースへのアクセスを制御するための方法および装置

Info

Publication number
JP2003030149A
JP2003030149A JP2002129343A JP2002129343A JP2003030149A JP 2003030149 A JP2003030149 A JP 2003030149A JP 2002129343 A JP2002129343 A JP 2002129343A JP 2002129343 A JP2002129343 A JP 2002129343A JP 2003030149 A JP2003030149 A JP 2003030149A
Authority
JP
Japan
Prior art keywords
authentication mechanism
access
resource
computer
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002129343A
Other languages
English (en)
Other versions
JP4772256B2 (ja
JP2003030149A5 (ja
Inventor
John E Brezak
イー.ブレザック ジョン
Peter T Brundrett
ティー.ブランドレット ピーター
Richard B Ward
ビー.ウォード リチャード
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2003030149A publication Critical patent/JP2003030149A/ja
Publication of JP2003030149A5 publication Critical patent/JP2003030149A5/ja
Application granted granted Critical
Publication of JP4772256B2 publication Critical patent/JP4772256B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 認証方法に基づいて、コンピュータおよびコ
ンピュータネットワーク中の様々なリソースにわたり、
アクセスを一貫して制御する。 【解決手段】 コンピュータ内のアクセス制御を改良す
る、改良型の方法および装置の構成に容易に適合可能な
汎用的構成100を示す。この構成100は、固有の名
前を有するユーザがその名前が示唆する実際のユーザで
あることを検証する際に使用される認証機構104、お
よび/またはその特徴を識別し、その後でセキュリティ
機構116を操作する。したがって、この付加的な情報
に基づいてユーザ要求を区別することにより、付加的な
制御が提供される。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、認証方法に基づい
てリソースへのアクセスを制御するための方法および装
置に関する。より詳細には、コンピュータおよびコンピ
ュータネットワークに関し、認証方法に基づいて、コン
ピュータおよびコンピュータネットワーク中の様々なリ
ソースへのアクセスを制御する際に使用するための方法
および記録媒体並びに装置に関する。
【0002】
【従来の技術】過去においては、実行可能コンテンツ
は、物理的に磁気媒体をコンピュータに運び、適切な特
権(たとえば管理特権)を有するユーザにインストール
させることによってのみ、コンピュータシステム上にイ
ンストールすることができた。しかし現在では、インタ
ーネット、イントラネット、ワイドエリアネットワーク
(WAN)、ローカルエリアネットワーク(LAN)な
どにより、通常のコンピュータユーザが、たとえばAc
tiveX(登録商標)コントロール、プログラム、お
よびスクリプトなどの実行可能コンテンツをダウンロー
ドすることが非常に容易になっている。多くの場合、実
行可能コンテンツを、このようなイベントが行われたこ
とをユーザが気付くことすらなく、インターネットを介
してダウンロードし、実行させることができる。
【0003】残念ながら、時々このような実行可能コン
テンツは、意図的に、または意図せずに、何らかの方法
でクライアントマシンを不安定化させる。たとえば、コ
ンテンツがエラーを起こす傾向があり、クライアントマ
シンのクラッシュを引き起こすものであると判明するこ
とがある。コンテンツは、クライアント/ユーザについ
ての秘密情報を漏らすことによって、クライアントマシ
ンのセキュリティを弱めることもある。このタイプのコ
ンピュータ問題は、以前には「ウィルス」および「トロ
イの木馬」の形態で存在していたが、インターネットの
ワールドワイドウェブ(WWW)部分の普及により、こ
の問題がさらにより広範なものとなっている。一般に
は、大部分のクライアントの動作環境は、このような制
御し難いコードに対して十分には保護されていない。
【0004】一部のオペレーティングシステムは、特権
のないユーザが行えることを制限する、既存のセキュリ
ティ機構を既に有している。たとえば、Windows
(登録商標)NTオペレーティングシステムに組み込ま
れたセキュリティシステムは、ユーザの識別に基づいて
リソースへのアクセスを制御する。Windows(登
録商標)NTプロセスが、あるアクションを実行するた
めにリソースにアクセスしようとするとき、Windo
ws(登録商標)NT中のセキュリティ機構は、クライ
アントのユーザIDおよびグループID、ならびにその
プロセスに関連する特権と、そのリソースに割り当てら
れたセキュリティ情報とを比較し、リソースへのアクセ
スを許可するか、または拒絶する。このようにして、無
許可のユーザは、リソースにアクセスし、潜在的に害を
引き起こすことを妨げられるが、一方では、許可された
ユーザは、実行を許可されているアクションが制限され
る可能性がある。
【0005】クライアントオペレーティングシステムで
使用することのできる、多くの異なる認証方法が存在す
る。たとえば、クライアントは、ケルベロス、NTLM
(NTLAN Manager)、ダイジェスト、セキュアソケット
レイヤ(SSL)、またはオペレーティングシステム内
で利用可能な他のものの中から選択することができる。
これらのプロトコルはそれぞれ異なり、その差により、
関係する本人の識別に関する、保証の様々なレベルが生
み出される。生体情報認証(biometric authenticatio
n)などの高保証方法と、パスワードなどのより低い保
証方式との間の違いを当業者は理解されたい。
【0006】
【発明が解決しようとする課題】コンピュータオペレー
ティングシステムの末端エンドユーザまたは管理者は、
データへのアクセスを管理し、不正使用や他のタスクに
対して彼らのリソースを保護しなければならないので、
彼らが様々なタスクに対してどのような保証を必要とし
ているかを決定する、特殊な人々がいる。たとえばウェ
ブページの閲覧は、パスワードなどの低確認方法を使用
することを可能にするように、十分安価にすることがで
きる。会社の財務情報の更新は、SSLなどのより高度
な確認方法を必要とするであろう。明らかに、様々な可
能なアプリケーションにわたる、アクセスを制御するた
めの一貫した方法の利点が、重要であろう。
【0007】したがって、特にインターネット/イント
ラネットのネットワーク領域において、様々なネットワ
ーク型サーバ、装置、サービス、アプリケーションなど
へのアクセスを制御するための方法および装置を改良す
ることが引き続き求められている。
【0008】本発明は、このような課題に鑑みてなされ
たもので、その目的とするところは、認証方法に基づい
て、コンピュータおよびコンピュータネットワーク中の
様々なリソースにわたり、アクセスを一貫して制御する
ことが可能な、認証方法に基づいてリソースへのアクセ
スを制御するための方法および装置を提供することにあ
る。
【0009】
【課題を解決するための手段】本発明のある態様によれ
ば、コンピューティング環境でリソースへのアクセスを
制御するための改良型の方法および装置が提供される。
具体的には、この方法および装置は、ユーザを確認する
際に使用される、認証機構および/またはその特徴を識
別し、その後でセキュリティ機構を操作する。したがっ
て、この付加的な情報に基づいてユーザ要求を区別する
ことにより、付加的な制御が提供される。
【0010】たとえば、上記および他のニーズは、複数
の認証機構をサポートすることのできる、コンピュータ
で使用するための方法によって満たされる。この方法
は、少なくとも1つの認証機構に関連しその少なくとも
1つの認証機構を識別する、少なくとも1つの識別標
識、たとえばユーザまたはアカウントの識別の、オペレ
ーティングシステム表現(representation)「(たとえ
ばセキュリティトークンなど)を生成するステップと、
その後で、オペレーティングシステム表現に基づいて少
なくとも1つのリソースへのアクセスを制御するステッ
プとを含む。ある実装では、この方法は、認証機構を何
らかの方式、たとえば名前または番号によって、および
/または、恐らく、認証機構で使用される暗号化処理/
暗号鍵のタイプ/長さなどの強さの測定によって識別す
る、少なくとも1つのセキュリティ識別子(SID;se
curity identifier)を生成するステップをさらに含
む。たとえば他の実装では、この方法は、前記オペレー
ティングシステム表現と、少なくとも1つのアクセス制
御エントリをその中に有する少なくとも1つのアクセス
制御リストとを比較するステップを含む。たとえばここ
で、アクセス制御エントリは、認証機構によって認証さ
れたユーザがリソースにアクセスすることが許可されて
いるかどうかを、有効に指定することができる。
【0011】本発明の様々な方法および装置は、以下の
詳細な説明を添付の図面と共に参照することによってよ
り完全に理解されよう。
【0012】
【発明の実施の形態】認証は、基本的には、固有の名前
または他の識別子を主張するユーザが実際にそのユーザ
であることを検証する処理である。物理的な世界では、
このことはしばしば、政府などの信頼のおける第3者に
よって発行された、ある形態の文書を使用することによ
って実施される。非常に一般的な例はパスポートであ
る。コンピュータの領域では、このことはしばしば、認
証プロトコルを介して実施される。許可は、特定のユー
ザまたは他の本人が何を許可されているかを判定するこ
とである。許可は、制限の形態、たとえばクレジットカ
ードに対する信用限度、またはアクセス制御の形態、た
とえば従業員が入ることが許可される建物の領域を制限
する形態を取ることができる。認証と許可には相互関係
があるが、しばしば全く別々に解析され、さらには実装
される。
【0013】典型的なコンピュータシステム内の2つの
一般的な許可の形態は、名前ベースの許可と、識別ベー
スの許可である。名前ベースの許可は本質的に、単一の
識別子であるユーザ名を使用して、許可判定を管理す
る。多くのウェブサイトはこの形態を使用する。一例
は、典型的な商業ウェブサイトで、ユーザがそのユーザ
のアカウントに対するアクセスだけを有することであ
る。他の形態である識別ベースの許可は、よりリッチな
環境である。この場合、オペレーティングシステムは、
ユーザについての識別子と、場合によっては、アプリケ
ーションで使用するための、管理者により管理されるユ
ーザのグループまたは集合を示す付加的な識別子とを維
持する。多くのUNIX(登録商標)派生システムは、
ユーザ識別子と、グループ識別子のリストとして、これ
を公開する。Windows(登録商標)NTおよびW
indows(登録商標)2000は、ユーザ識別子、
グループのリスト、ならびに追加の制限および/または
特権を含む、アクセストークンと呼ばれる構造を用いて
これを表す。
【0014】認証は2つの方式のどちらかで実施するこ
とができる。1つの方式は、トラスティ名(trust
ee name)を、データソースオブジェクトへの初
期接続に関するパスワードに関連付けることである。第
2の、好適な方法は、認証されたユーザ/アカウントだ
けに、オペレーティングシステムによって認められたい
くつかの識別標識の、セキュアアクセストークンまたは
同様のオペレーティングシステム表現を使用することで
ある。この場合、アクセストークン、または同様のオペ
レーティングシステム表現は、データストア中に格納さ
れる1つまたは複数の任意アクセス制御リスト(AC
L;discretionary access control list)などと突き
合わせることのできる、1つまたは複数のセキュリティ
識別記述子(SID;security identifier descripto
r)を含む。
【0015】いくつかの従来の認証技法が認証パッケー
ジ中に実装されている。たとえば、Windows(登
録商標)NTおよびWindows(登録商標)200
0は、Windows(登録商標)NT LANマネー
ジャ(NTLM)に対するサポートを提供する。Win
dows(登録商標)2000は、ケルベロスセキュリ
ティプロトコルに対する付加的なサポートを提供する。
他の周知の認証技法には、セキュアソケットレイヤ(S
SL)、Schannel、パスポートなどが含まれ
る。加えて、同様の他のメーカ独自の認証技法を実装す
ることもできる。
【0016】このことを念頭に置いて、どのような同様
の構成にも容易に適合可能な汎用的構成100を図1に
示す。構成100での本質的な機能は、アクセストーク
ンまたは同様のオペレーティングシステム表現110を
使用することに関係する。アクセストークンまたは同様
のオペレーティングシステム表現110はさらに、ユー
ザ/アカウントを妥当性検査するために使用された認証
パッケージに関連する1つ、または複数のタイプ、特
徴、および/または他の面を識別する情報を含むように
修正されている。有利には、このオペレーティングシス
テム表現110は、全体のシステムセキュリティモデル
中のさらなる細分性を提供する。
【0017】したがって図1を参照すると、構成100
は、ユーザとのインタフェースを提供するログオン機能
102を含む。ユーザは、たとえば、ユーザ/アカウン
ト名、パスワード、または他のユーザ/グループ識別子
を与える(すなわち、入力する)ように要求される。あ
る実装では、ログオン機能102はさらに、スマートカ
ード上のロジック、または同様のポータブルトークン装
置とインタフェースすることができる。さらに他の実装
では、ユーザからの/ユーザについての生体情報情報を
ログオン機能102によって収集することができる。
【0018】ログオン機能102は、ユーザログオン情
報、たとえば名前およびパスワード(またはパスワード
のハッシュ)を認証パッケージ104に出力する。認証
パッケージ104は、(ユーザログオン情報に基づい
て)ユーザがその名前が示唆する実際のユーザであるこ
とを認証し、または妥当性検査するように構成される。
前述のように、今日いくつかの認証技法が使用されてい
る。
【0019】認証パッケージ104は、鍵106を必要
とする符号化方式または暗号化方式を利用することがで
きる。ある実装では、認証技法の信頼性を鍵106の強
さ(たとえば長さ)と結びつけることができる。このこ
とを述べたのは、これを、後にオペレーティングシステ
ム表現110に反映されるセキュリティ基準とすること
ができるからである。認証パッケージ104は、1つま
たは複数の他のサブ認証パッケージ108を呼び出して
ユーザログオンを検証することもできる。サブ認証パッ
ケージ108の使用も認証技法の信頼性に影響を与える
可能性があり、したがって、結果として得られるオペレ
ーティングシステム表現110に反映される可能性があ
る。
【0020】図示したように、認証パッケージ104
は、1つまたは複数の認証パッケージSID 112を
出力し、認証パッケージSID 112は、オペレーテ
ィングシステム表現110内に供給される。この例で
は、オペレーティングシステム表現110は、以下で説
明するようにユーザ/アカウントを識別するオブジェク
トであり、ユーザ/アカウントのプロセスに永続的に接
続される。
【0021】ここで、オペレーティングシステム表現1
10は、ログオン名および/またはパスワードなどに基
づく従来のユーザSIDと、少なくとも1つの認証パッ
ケージSID 112とを含む。オペレーティングシス
テム表現110は、たとえば1つまたは複数のグループ
ID、特権など、他の属性をさらに含むことができる。
【0022】オペレーティングシステム表現110内に
認証パッケージSID 112を提供することによっ
て、後続のセキュリティ機能はユーザ/アカウントをさ
らに区別できることになる。この利点や他の利点を、オ
ブジェクトマネージャ114、セキュリティ機構11
6、およびACL 118を備える例示的セキュリティ
構成の概要に続いて以下で説明する。
【0023】ユーザのプロセスが別のオブジェクトにア
クセスすることを求めるとき、ユーザのプロセスは、求
めるアクセスのタイプ(たとえばファイルオブジェクト
への読書きアクセスを得ること)を指定し、かつカーネ
ルレベルで、ユーザのプロセスがオブジェクトマネージ
ャ114に対応するオペレーティングシステム表現11
0であることを与える。シークされるオブジェクトは、
ACL 118を含むそのオブジェクトに関連するカー
ネルレベルセキュリティ記述子を有する。オブジェクト
マネージャ114は、オペレーティングシステム表現1
10およびACL 118をセキュリティ機構116に
供給する。
【0024】ACL 118内には、少なくとも1つの
アクセス制御エントリ(ACE;access control entr
y)120が存在する。アクセス制御エントリ(AC
E)120は、そのエントリに対応する、あるアクセス
権(許可されるアクションまたは拒絶されるアクショ
ン)を定義する。たとえば、ACE 120は、ビット
マスクの形態の、タイプ(拒絶または許可)標識、フラ
グ、1つまたは複数のSID、およびアクセス権を含む
ことができ、各ビットは許可に対応する(たとえば、読
取りアクセスについての1ビット、書込みについての1
ビットなど)。
【0025】したがって、セキュリティ機構116は、
ユーザのプロセスによって要求されたアクションのタイ
プと共に、オペレーティングシステム表現110中のS
IDと、ACL 118中のACE 120とを比較す
ることができる。許可されるユーザまたはグループとの
一致が見つかり、かつ要求するアクセスのタイプがその
ユーザまたはグループに対して許可できる場合、所望の
オブジェクトへのハンドルがユーザのプロセスに返さ
れ、そうでない場合、アクセスは拒絶される。
【0026】認証パッケージSID 112を追加する
と、セキュリティ機構116はまた、認証パッケージま
たは認証機構を考慮することができる。したがって、た
とえば、NTLMを使用して認証されたユーザは、所望
のオブジェクトにアクセスすることを、ACL 118
中の拒絶NTLM認証のACE120に基づいて拒絶さ
れることがあり、一方ケルベロスで認証された別のユー
ザは、所望のオブジェクトにアクセスすることが許可さ
れる。認証パッケージ104、サブ認証パッケージ10
8、鍵106、またはそれらの任意の組合せに基づい
て、異なるSID112およびACE 120を定義す
ることによって、さらなる細分性が提供される。
【0027】次に図2を参照する。図2は、構成100
に適した例示的コンピューティングシステム200を示
すブロック図である。
【0028】この例では、コンピューティングシステム
200はパーソナルコンピュータ(PC)の形態である
が、他の例では、コンピューティングシステムは、専用
サーバ、専用装置、家電電化製品、ハンドヘルドコンピ
ューティング装置、携帯電話装置、ページャ装置などの
形態を取ることもできる。
【0029】図示するように、コンピューティングシス
テム200は、プロセッサ221、システムメモリ22
2、およびシステムバス223を含む。システムバス2
23は、システムメモリ222およびプロセッサ221
を含む様々なシステム構成要素を結びつける。システム
バス223は、様々なバスアーキテクチャのうちのいず
れかを使用する、メモリバスまたはメモリコントロー
ラ、周辺バス、およびローカルバスを含むいくつかのタ
イプのバス構造のうちのどれでもよい。システムメモリ
222は一般に、読取り専用メモリ(ROM)224お
よびランダムアクセスメモリ(RAM)225を含む。
起動時などに、コンピューティングシステム200内の
要素間で情報を転送する助けになる基本ルーチンを含む
基本入出力システム226(BIOS)が、ROM 2
24中に格納される。コンピューティングシステム20
0は、ハードディスク(図示せず)を読み書きするため
のハードディスクドライブ227と、リムーバル磁気デ
ィスク229を読み書きするための磁気ディスクドライ
ブ228と、CD−ROMまたは他の光媒体などのリム
ーバル光ディスク231を読み書きするための光ディス
クドライブ230をさらに含む。ハードディスクドライ
ブ227、磁気ディスクドライブ228、および光ディ
スクドライブ230は、それぞれハードディスクドライ
ブインタフェース232、磁気ディスクドライブインタ
フェース233、および光ドライブインタフェース23
4によってシステムバス223に接続される。これらの
ドライブと、それに関連するコンピュータ可読媒体によ
り、コンピューティングシステム200に対するコンピ
ュータ可読命令、データ構造、コンピュータプログラ
ム、および他のデータの不揮発性記憶が実現される。
【0030】オペレーティングシステム235a、23
5b、1つまたは複数のアプリケーションプログラム2
36a、236b、他のプログラム237a、237
b、およびプログラムデータ238a、238bを含む
いくつかのコンピュータプログラムは、ハードディス
ク、磁気ディスク229、光ディスク231、ROM2
24、またはRAM225上に格納することができる。
【0031】ユーザは、キーボード240およびポイン
ティングデバイス242(マウスなど)などの様々な入
力装置を介して、コンピューティングシステム200に
コマンドおよび情報を入力することができる。リアルタ
イムデータ256を取り込み、または出力することがで
きるカメラ/マイクロフォン255または他の同様の媒
体装置も、コンピューティングシステム200への入力
装置として含めることができる。リアルタイムデータ2
56は、適切なインタフェース257を介してコンピュ
ーティングシステム200に入力することができる。イ
ンタフェース257は、システムバス223に接続する
ことができ、それによってリアルタイムデータ256を
RAM225または他のデータ記憶装置のうちの1つに
格納することが可能となり、あるいはリアルタイムデー
タ256を処理することが可能となる。
【0032】図示するように、モニタ247または他の
タイプのディスプレイ装置も、ビデオアダプタ245な
どのインタフェースを介してシステムバス223に接続
される。モニタに加えて、コンピューティングシステム
200は、スピーカ、プリンタなどの他の周辺出力装置
(図示せず)も含むことができる。
【0033】コンピューティングシステム200は、リ
モートコンピュータ249などの1つまたは複数のリモ
ートコンピュータへの論理接続を使用して、ネットワー
ク環境で動作することができる。リモートコンピュータ
249は、別のパーソナルコンピュータ、サーバ、ルー
タ、ネットワークPC、ピアデバイス、または他の共通
ネットワークノードでよく、一般にはコンピューティン
グシステム200に対して前述した要素のうちの多くを
含み、またはすべてを含むが、図2にはメモリ記憶装置
250だけを示してある。
【0034】図2に示す論理接続は、ローカルエリアネ
ットワーク(LAN)251およびワイドエリアネット
ワーク(WAN)252を含む。このようなネットワー
キング環境は、オフィス、企業全体のコンピュータネッ
トワーク、イントラネット、およびインターネットで一
般的なものである。
【0035】LANネットワーキング環境で使用する
際、コンピューティングシステム200は、ネットワー
クインタフェースまたはネットワークアダプタ253を
介してローカルネットワーク251に接続される。WA
Nネットワーキング環境で使用する際、コンピューティ
ングシステム200は一般に、インターネットなどのワ
イドエリアネットワーク252を介して通信を確立する
ためのモデム254または他の手段を含む。モデム25
4は内蔵でも外付けでもよく、シリアルポートインタフ
ェース246を介してシステムバス223に接続され
る。
【0036】ネットワーク環境では、コンピューティン
グシステム200に関して示したコンピュータプログラ
ムまたはその一部は、リモートメモリ記憶装置中に格納
することができる。図示したネットワーク接続は例示的
なものであって、コンピュータ間の通信リンクを確立す
る他の手段も使用できることを理解されたい。
【0037】本発明の様々な方法および装置の好適実施
形態を、添付の図面で図示し、前述の発明の実施の形態
で説明したが、本発明は開示した例示的実施形態に限定
されず、特許請求の範囲に記載され、それによって定義
される本発明の趣旨から逸脱することなく、多数の再構
成、修正、置換が可能であることを当業者は理解されよ
う。
【0038】
【発明の効果】以上、説明したように、本発明によれ
ば、認証方法に基づいて、コンピュータおよびコンピュ
ータネットワーク中の様々なリソースにわたり、アクセ
スを一貫して制御することが可能となる。
【図面の簡単な説明】
【図1】本発明の実施形態のリソースへのアクセスを制
御するための例示的機能構成を示すブロック図である。
【図2】本発明の実施形態の図1の構成と共に使用する
のに適した例示的コンピューティング環境を示すブロッ
ク図である。
【符号の説明】
102 ログオン機能 104 認証パッケージ 106 鍵 108 サブ認証パッケージ 110 識別子(たとえばアクセストークン) 112 SID 114 オブジェクトマネージャ 116 セキュリティ機構 200 コンピューティングシステム 221 プロセッサ 222 システムメモリ 223 システムバス 224 ROM 225 RAM 226 BIOS 227 ハードディスクドライブ 228 磁気ディスクドライブ 229 磁気ディスク 230 光ディスクドライブ 231 光ディスク 232 ハードディスクドライブインタフェース 233 磁気ディスクドライブインタフェース 234 光ドライブインタフェース 235a、235b オペレーティングシステム 236a、236b アプリケーションプログラム 237a、237b プログラムモジュール 238a、238b プログラムデータ 240 キーボード 242 ポインティングデバイス 245 ビデオアダプタ 246 シリアルポートインタフェース 247 モニタ 249 リモートコンピュータ 250 メモリ記憶装置 251 ローカルエリアネットワーク 252 ワイドエリアネットワーク 253 ネットワークインタフェース 254 モデム 255 入力機構 256 リアルタイムデータ 257 インタフェース
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ジョン イー.ブレザック アメリカ合衆国 98072 ワシントン州 ウッディンビル ノースイースト 188 ストリート 24033 (72)発明者 ピーター ティー.ブランドレット アメリカ合衆国 98115 ワシントン州 シアトル 57 アベニュー ノースイース ト 7343 (72)発明者 リチャード ビー.ウォード アメリカ合衆国 98053 ワシントン州 レッドモンド 261 アベニュー ノース イースト 8565 Fターム(参考) 5B085 AE01 AE29 BA06 BG02 5J104 AA07 KA01 PA07

Claims (26)

    【特許請求の範囲】
  1. 【請求項1】 複数の認証機構をサポートすることがで
    きる、コンピュータで使用するための方法であって、 少なくとも1つの認証機構に関連し、それを識別する少
    なくとも1つの標識を生成するステップと、 前記標識に基づいて、少なくとも1つのリソースへのア
    クセスを制御するステップとを備えたことを特徴とする
    方法。
  2. 【請求項2】 前記標識を生成するステップは、入力を
    受け取るステップと、該入力を前記認証機構に供給する
    ステップと、前記認証機構を識別する少なくとも1つの
    セキュリティ識別子(SID)を前記認証機構に生成さ
    せるステップとをさらに含むことを特徴とする請求項1
    に記載の方法。
  3. 【請求項3】 前記標識を生成するステップは、前記標
    識内で前記認証機構に関連する少なくとも1つの特徴を
    識別するステップをさらに含むことを特徴とする請求項
    1に記載の方法。
  4. 【請求項4】 前記認証機構に関連する前記少なくとも
    1つの特徴は、前記認証機構の強さの測定を含むことを
    特徴とする請求項3に記載の方法。
  5. 【請求項5】 前記認証機構の強さの測定は、前記認証
    機構によって使用される暗号鍵の長さを識別することを
    特徴とする請求項4に記載の方法。
  6. 【請求項6】 前記標識に基づいてリソースへのアクセ
    スを制御するステップは、前記標識と、少なくとも1つ
    のアクセス制御エントリを中に有する少なくとも1つの
    アクセス制御リストとを比較するステップを、さらに含
    むことを特徴とする請求項1に記載の方法。
  7. 【請求項7】 前記少なくとも1つの認証機構が前記リ
    ソースにアクセスすることを許可されていることを、前
    記アクセス制御エントリが有効に指定する場合に、前記
    少なくとも1つのリソースへのアクセスは続くことが許
    可されることを特徴とする請求項6に記載の方法。
  8. 【請求項8】 前記少なくとも1つの認証機構が前記リ
    ソースへのアクセスを許可されていないことを、前記ア
    クセス制御エントリが有効に指定する場合に、前記少な
    くとも1つのリソースへのアクセスは続くことが許可さ
    れないことを特徴とする請求項6に記載の方法。
  9. 【請求項9】 前記少なくとも1つの認証機構が前記リ
    ソースへのアクセスを許可されていることを、前記アク
    セス制御エントリが有効に指定しない場合、前記少なく
    とも1つのリソースへのアクセスは続くことが許可され
    ないことを特徴とする請求項6に記載の方法。
  10. 【請求項10】 前記標識はセキュリティトークンを含
    むことを特徴とする請求項1に記載の方法。
  11. 【請求項11】 複数の認証機構をサポートすることが
    できる装置で使用するためのコンピュータ読み取り可能
    な記録媒体であって、 前記装置によってサポートされる少なくとも1つの認証
    機構を一意的に識別する少なくとも1つの標識を生成す
    るステップと、 前記標識の少なくとも一部に基づいて、前記装置に動作
    可能に連結された少なくとも1つのリソースへのアクセ
    スを、前記装置に選択的に制御させるステップとを備え
    た動作を実行するためのコンピュータ実行可能命令を有
    することを特徴とするコンピュータ読み取り可能な記録
    媒体。
  12. 【請求項12】 前記標識を生成するステップは、入力
    を受け取るステップと、前記入力を前記認証機構に供給
    するステップと、それに応答して、前記認証機構を識別
    する少なくとも1つのセキュリティ識別子(SID)
    を、前記認証機構に生成させるステップとを、さらに含
    むことを特徴とする請求項11に記載のコンピュータ読
    み取り可能な記録媒体。
  13. 【請求項13】 前記標識を生成するステップは、前記
    標識内で、前記認証機構の少なくとも1つの特徴を識別
    するステップをさらに含むことを特徴とする請求項11
    に記載のコンピュータ読み取り可能な記録媒体。
  14. 【請求項14】 前記認証機構の前記少なくとも1つの
    特徴は、前記認証機構の強さ特徴を含むことを特徴とす
    る請求項13に記載のコンピュータ読み取り可能な記録
    媒体。
  15. 【請求項15】 前記強さ特徴は、前記認証機構によっ
    て使用される暗号鍵の長さを識別することを特徴とする
    請求項14に記載のコンピュータ読み取り可能な記録媒
    体。
  16. 【請求項16】 前記標識に基づいて前記少なくとも1
    つのリソースへのアクセスを前記装置に選択的に制御さ
    せるステップは、前記標識と制御データとを前記装置に
    比較させるステップをさらに含むことを特徴とする請求
    項11に記載のコンピュータ読み取り可能な記録媒体。
  17. 【請求項17】 前記認証機構が前記リソースにアクセ
    スすることを許可されていると前記制御データが指定す
    る場合、前記リソースへの後続のアクセスが許可される
    ことを特徴とする請求項16に記載のコンピュータ読み
    取り可能な記録媒体。
  18. 【請求項18】 前記認証機構が前記リソースにアクセ
    スすることを許可されていないと前記制御データが有効
    に指定する場合、前記リソースへの後続のアクセスが禁
    止されることを特徴とする請求項16に記載のコンピュ
    ータ読み取り可能な記録媒体。
  19. 【請求項19】 前記認証機構が前記リソースにアクセ
    スすることを許可されていると前記制御データが有効に
    指定しない場合、前記リソースへの後続のアクセスが禁
    止されることを特徴とする請求項16に記載のコンピュ
    ータ読み取り可能な記録媒体。
  20. 【請求項20】 前記標識がセキュリティトークンを含
    むことを特徴とする請求項11に記載のコンピュータ読
    み取り可能な記録媒体。
  21. 【請求項21】 認証機構を識別する少なくとも1つの
    標識を生成するように構成された少なくとも1つの認証
    機構と、 アクセス制御リストと、 少なくとも1つのアクセス制御されるリソースと、 前記標識と、前記アクセス制御リストとを比較し、前記
    標識に基づいて前記リソースへのアクセスを選択的に制
    御するように、動作可能に構成されたロジックとを備え
    たことを特徴とする装置。
  22. 【請求項22】 前記認証機構はさらに、ユーザ入力を
    受け取り、該ユーザ入力に基づいて前記認証機構を識別
    する少なくとも1つのセキュリティ識別子(SID)を
    生成するように構成されることを特徴とする請求項21
    に記載の装置。
  23. 【請求項23】 前記標識は、前記認証機構に関連する
    少なくとも1つの識別特徴をさらに含むことを特徴とす
    る請求項21に記載の装置。
  24. 【請求項24】 前記認証機構に関連する前記少なくと
    も1つの識別特徴は、前記認証機構の強さの測定を示す
    ことを特徴とする請求項23に記載の装置。
  25. 【請求項25】 前記認証機構の強さの測定は、前記認
    証機構によって使用される暗号鍵の長さを識別すること
    を特徴とする請求項24に記載の装置。
  26. 【請求項26】 前記識別子はセキュリティトークンを
    含むことを特徴とする請求項23に記載の装置。
JP2002129343A 2001-04-30 2002-04-30 認証方法に基づいてリソースへのアクセスを制御するための方法および装置 Expired - Fee Related JP4772256B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/846,175 2001-04-30
US09/846,175 US7305701B2 (en) 2001-04-30 2001-04-30 Methods and arrangements for controlling access to resources based on authentication method

Publications (3)

Publication Number Publication Date
JP2003030149A true JP2003030149A (ja) 2003-01-31
JP2003030149A5 JP2003030149A5 (ja) 2005-09-29
JP4772256B2 JP4772256B2 (ja) 2011-09-14

Family

ID=25297148

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002129343A Expired - Fee Related JP4772256B2 (ja) 2001-04-30 2002-04-30 認証方法に基づいてリソースへのアクセスを制御するための方法および装置

Country Status (6)

Country Link
US (1) US7305701B2 (ja)
EP (1) EP1255179B1 (ja)
JP (1) JP4772256B2 (ja)
AT (1) ATE334438T1 (ja)
AU (1) AU785250B2 (ja)
DE (1) DE60213314T2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006504167A (ja) * 2002-10-24 2006-02-02 ギーゼッケ ウント デフリエント ゲーエムベーハー 携帯型データ記憶媒体を使って安全な電子取引を実行する方法

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7035922B2 (en) * 2001-11-27 2006-04-25 Microsoft Corporation Non-invasive latency monitoring in a store-and-forward replication system
US7636937B1 (en) * 2002-01-11 2009-12-22 Cisco Technology, Inc. Method and apparatus for comparing access control lists for configuring a security policy on a network
JP2003304523A (ja) * 2002-02-08 2003-10-24 Ntt Docomo Inc 情報配信システム、情報配信方法、情報配信サーバ、コンテンツ配信サーバ及び端末
US7367044B2 (en) * 2002-06-14 2008-04-29 Clink Systems, Ltd. System and method for network operation
US20040054790A1 (en) * 2002-09-12 2004-03-18 International Business Machines Corporation Management of security objects controlling access to resources
US8117639B2 (en) 2002-10-10 2012-02-14 Rocksteady Technologies, Llc System and method for providing access control
WO2004036371A2 (en) 2002-10-16 2004-04-29 Rocksteady Networks, Inc. System and method for dynamic bandwidth provisioning
JP2004157892A (ja) 2002-11-08 2004-06-03 Hitachi Ltd 計算機システム、記憶装置、アクセス管理方法及びプログラム
AU2003293125A1 (en) * 2002-11-27 2004-06-23 Rsa Security Inc Identity authentication system and method
JP4639033B2 (ja) * 2003-01-29 2011-02-23 キヤノン株式会社 認証装置及び認証方法と認証プログラム
DE10307995B4 (de) * 2003-02-25 2008-02-07 Siemens Ag Verfahren zum Signieren von Daten
US7480798B2 (en) * 2003-06-05 2009-01-20 International Business Machines Corporation System and method for representing multiple security groups as a single data object
US7624438B2 (en) 2003-08-20 2009-11-24 Eric White System and method for providing a secure connection between networked computers
JP2007513402A (ja) * 2003-11-06 2007-05-24 インテュウェーブ リミテッド 携帯電話機上のリソースへのセキュア・マルチエンティティ・アクセス
US9489687B2 (en) 2003-12-04 2016-11-08 Black Duck Software, Inc. Methods and systems for managing software development
US7552093B2 (en) * 2003-12-04 2009-06-23 Black Duck Software, Inc. Resolving license dependencies for aggregations of legally-protectable content
US8700533B2 (en) 2003-12-04 2014-04-15 Black Duck Software, Inc. Authenticating licenses for legally-protectable content based on license profiles and content identifiers
JP4665406B2 (ja) 2004-02-23 2011-04-06 日本電気株式会社 アクセス制御管理方法、アクセス制御管理システムおよびアクセス制御管理機能付き端末装置
EP1571797B1 (en) * 2004-03-01 2007-12-26 Hitachi, Ltd. Command processing system by a management agent
US7610621B2 (en) 2004-03-10 2009-10-27 Eric White System and method for behavior-based firewall modeling
US7590728B2 (en) 2004-03-10 2009-09-15 Eric White System and method for detection of aberrant network behavior by clients of a network access gateway
US8543710B2 (en) 2004-03-10 2013-09-24 Rpx Corporation Method and system for controlling network access
US7665130B2 (en) 2004-03-10 2010-02-16 Eric White System and method for double-capture/double-redirect to a different location
US7509625B2 (en) 2004-03-10 2009-03-24 Eric White System and method for comprehensive code generation for system management
US8219807B1 (en) * 2004-12-17 2012-07-10 Novell, Inc. Fine grained access control for linux services
US8271785B1 (en) 2004-12-20 2012-09-18 Novell, Inc. Synthesized root privileges
US8214398B1 (en) 2005-02-16 2012-07-03 Emc Corporation Role based access controls
US7797245B2 (en) * 2005-03-18 2010-09-14 Black Duck Software, Inc. Methods and systems for identifying an area of interest in protectable content
US8887233B2 (en) * 2005-04-08 2014-11-11 Netapp, Inc. Cookie-based acceleration of an authentication protocol
US20060253534A1 (en) * 2005-05-09 2006-11-09 Milheron Patrick M Symmetric networking to support flexible teaching
US8074214B2 (en) 2005-05-19 2011-12-06 Oracle International Corporation System for creating a customized software installation on demand
US8352935B2 (en) 2005-05-19 2013-01-08 Novell, Inc. System for creating a customized software distribution based on user requirements
US7155213B1 (en) * 2005-09-16 2006-12-26 James R. Almeda Remote control system
US8676973B2 (en) * 2006-03-07 2014-03-18 Novell Intellectual Property Holdings, Inc. Light-weight multi-user browser
US7730480B2 (en) * 2006-08-22 2010-06-01 Novell, Inc. System and method for creating a pattern installation by cloning software installed another computer
US7681045B2 (en) * 2006-10-12 2010-03-16 Black Duck Software, Inc. Software algorithm identification
US8010803B2 (en) 2006-10-12 2011-08-30 Black Duck Software, Inc. Methods and apparatus for automated export compliance
US8850553B2 (en) * 2008-09-12 2014-09-30 Microsoft Corporation Service binding
US20100299738A1 (en) * 2009-05-19 2010-11-25 Microsoft Corporation Claims-based authorization at an identity provider
US8312157B2 (en) * 2009-07-16 2012-11-13 Palo Alto Research Center Incorporated Implicit authentication
US8776204B2 (en) * 2010-03-12 2014-07-08 Alcatel Lucent Secure dynamic authority delegation
US9582673B2 (en) 2010-09-27 2017-02-28 Microsoft Technology Licensing, Llc Separation of duties checks from entitlement sets
US20120227098A1 (en) * 2011-03-03 2012-09-06 Microsoft Corporation Sharing user id between operating system and application
US9183361B2 (en) 2011-09-12 2015-11-10 Microsoft Technology Licensing, Llc Resource access authorization

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5414844A (en) * 1990-05-24 1995-05-09 International Business Machines Corporation Method and system for controlling public access to a plurality of data objects within a data processing system
US6163383A (en) * 1996-04-17 2000-12-19 Fuji Xerox Co., Ltd. Method for providing print output security in a multinetwork environment
US5787177A (en) * 1996-08-01 1998-07-28 Harris Corporation Integrated network security access control system
US6052468A (en) * 1998-01-15 2000-04-18 Dew Engineering And Development Limited Method of securing a cryptographic key
US6687823B1 (en) 1999-05-05 2004-02-03 Sun Microsystems, Inc. Cryptographic authorization with prioritized and weighted authentication
US6711681B1 (en) * 1999-05-05 2004-03-23 Sun Microsystems, Inc. Cryptographic authorization with prioritized authentication
US6915426B1 (en) * 1999-07-23 2005-07-05 Networks Associates Technology, Inc. System and method for enabling authentication at different authentication strength-performance levels
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US7086085B1 (en) * 2000-04-11 2006-08-01 Bruce E Brown Variable trust levels for authentication
US6959336B2 (en) * 2001-04-07 2005-10-25 Secure Data In Motion, Inc. Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006504167A (ja) * 2002-10-24 2006-02-02 ギーゼッケ ウント デフリエント ゲーエムベーハー 携帯型データ記憶媒体を使って安全な電子取引を実行する方法

Also Published As

Publication number Publication date
DE60213314T2 (de) 2007-04-19
JP4772256B2 (ja) 2011-09-14
US20020162030A1 (en) 2002-10-31
DE60213314D1 (de) 2006-09-07
AU3299402A (en) 2002-10-31
ATE334438T1 (de) 2006-08-15
EP1255179A3 (en) 2004-08-11
US7305701B2 (en) 2007-12-04
EP1255179B1 (en) 2006-07-26
EP1255179A2 (en) 2002-11-06
AU785250B2 (en) 2006-12-07

Similar Documents

Publication Publication Date Title
JP4772256B2 (ja) 認証方法に基づいてリソースへのアクセスを制御するための方法および装置
KR100920871B1 (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템
US6609198B1 (en) Log-on service providing credential level change without loss of session continuity
US6668322B1 (en) Access management system and method employing secure credentials
US8997196B2 (en) Flexible end-point compliance and strong authentication for distributed hybrid enterprises
US6892307B1 (en) Single sign-on framework with trust-level mapping to authentication requirements
US8171287B2 (en) Access control system for information services based on a hardware and software signature of a requesting device
US20070245152A1 (en) Biometric authentication system for enhancing network security
EP1205057A2 (en) Security architecture with environment sensitive credentials
US20080010453A1 (en) Method and apparatus for one time password access to portable credential entry and memory storage devices
JP2006085697A (ja) 信頼できるネットワークノードへのアクセス特権を制御するための方法とシステム
JP2003099401A (ja) 認証信用証明書の委任の有効範囲を制御するための方法とシステム
US11063930B1 (en) Resource access provisioning for on-premises network client devices
JP2007058455A (ja) アクセス管理システム、および、アクセス管理方法
Abiodun et al. Securing Digital Transaction Using a Three-Level Authentication System
US20090327704A1 (en) Strong authentication to a network
KR101545897B1 (ko) 주기적인 스마트카드 인증을 통한 서버 접근 통제 시스템
Naito et al. Multiple-tiered security hierarchy for web applications using central authentication and authorization service
WO2024176494A1 (ja) サーバシステム及び不正ユーザ検知方法
KR101066729B1 (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템
Keil Social Security
Weaver A security architecture for data privacy and security
WO2012038449A2 (en) Authentication
Armstrong Security and Encryption
Henry Access Controls

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050427

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050427

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050427

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080930

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20081224

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090202

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090612

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091013

RD13 Notification of appointment of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7433

Effective date: 20091014

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20091014

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20091106

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20091127

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110622

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140701

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4772256

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees