JP2003099401A - 認証信用証明書の委任の有効範囲を制御するための方法とシステム - Google Patents

認証信用証明書の委任の有効範囲を制御するための方法とシステム

Info

Publication number
JP2003099401A
JP2003099401A JP2002180423A JP2002180423A JP2003099401A JP 2003099401 A JP2003099401 A JP 2003099401A JP 2002180423 A JP2002180423 A JP 2002180423A JP 2002180423 A JP2002180423 A JP 2002180423A JP 2003099401 A JP2003099401 A JP 2003099401A
Authority
JP
Japan
Prior art keywords
server
service
client
ticket
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002180423A
Other languages
English (en)
Other versions
JP4298969B2 (ja
JP2003099401A5 (ja
Inventor
John E Brezak
イー.ブレザック ジョン
Richard B Ward
ビー.ウォード リチャード
Donald E Schmidt
イー.シュミット ドナルド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2003099401A publication Critical patent/JP2003099401A/ja
Publication of JP2003099401A5 publication Critical patent/JP2003099401A5/ja
Application granted granted Critical
Publication of JP4298969B2 publication Critical patent/JP4298969B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Collating Specific Patterns (AREA)

Abstract

(57)【要約】 【課題】 ネットワーク環境において認証信用証明書の
委任の有効範囲を制御するための方法とシステムを提供
する。 【解決手段】 サーバは、サーバを認証するチケット、
サーバがクライアントに代わってアクセスしようとして
いるターゲットサービスに関する情報、およびクライア
ントに関連するサービスチケットを信頼できる第三者機
関に提供するように構成されている。このサービスチケ
ットはクライアントによって提供することも、あるいは
クライアントの名前でサーバ自身のためにサーバに発行
された発行済みサービスチケットとすることも可能であ
る。信頼できる第三者機関は、その委任がクライアント
に関連する委任拘束条件に従って許可されていれば、タ
ーゲットサービスにアクセスするための新サービスチケ
ットを、クライアントの名前でサーバに発行する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、一般的には、コン
ピュータアクセス制御に関し、さらに具体的には、認証
信用証明書の委任の有効範囲を制御するための方法とシ
ステムに関する。
【0002】
【従来の技術】アクセス制御は、コンピュータセキュリ
ティにとって非常に重要である。コンピュータシステム
の完全性 (integrity) と重要データの機密性を保護す
るために、無許可ユーザや悪意の攻撃者がコンピュータ
リソースへのアクセス権を取得するのを防止するための
種々のアクセス制御方式が実現されている。
【0003】コンピュータセキュリティの包括性を保証
するために、アクセス制御は、種々のレベルで実現され
ていることが多い。例えば、あるコンピュータのレベル
では、ユーザは、ログオンプロシージャ (logon proced
ure) に入ることを要求され、そこで、コンピュータ
は、ユーザがコンピュータを使用する権限をもっている
かどうかを判断しているのが代表的である。さらに、コ
ンピュータネットワークのレベルでは、ユーザによる種
々のネットワークサービスへのアクセスを制御する目的
で、ユーザは、ユーザ認証プロセスに入ることを要求さ
れているのが普通である。ネットワークアクセス制御サ
ーバがユーザを認証したあとでも、ユーザは、そのサー
ビスにアクセするためには、特定サーバの許可を要求す
る必要がある。ユーザ認証 (user authentication) に
よってネットワークアクセス制御を制御するために、ケ
ルベロス5 (Kerberos 5) プロトコルのような、異種の
プロトコルをベースとする種々の方式が提案され、実現
されている。
【0004】一般的に、コンピュータに対するユーザロ
グオンとネットワークアクセス制御のためのユーザ認証
は、別々のプロシージャになっている。それにもかかわ
らず、異種のアクセス制御方式を扱うときのユーザの負
担を最小限にするために、ユーザログオンとネットワー
クアクセスのためのユーザ認証は、一緒に実行されるこ
とが時々ある。例えば、ユーザ認証がケルベロスプロト
コルに基づいて実現されている場合には、ユーザがコン
ピュータにログオンしたとき、コンピュータは、ケルベ
ロス認証プロセスを開始することも可能になっている。
この認証プロセスでは、コンピュータはケルベロス鍵配
信センタ (Key Distribution Center -KDC) に連絡し、
最初に、ユーザのためのチケット認可チケット (ticket
granting ticket - TGT) を取得している。そのあと、
コンピュータはそのTGT を使用して、自身のためのセッ
ションチケットを鍵配信センタ (KDC)から取得すること
が可能になっている。
【0005】ネットワークが発達するのに伴い、サーバ
/サービスコンピュータは、クライアントコンピュータ
からの要求を処理するために複数の層に構成される傾向
がある。単純な例として、World Wide Web(ワールドワ
イドウェブ)のWebサイトに対する要求をインターネッ
ト (the Internet) を通して行うクライアントコンピュ
ータがある。この例では、要求のフォーマッティングお
よび関連ビジネスルールを処理するフロントエンドWeb
サーバと、Webサイトのためのデータベースを管理する
バックエンドサーバが存在している。セキュリティを強
化するために、Webサイトは、認証プロトコル (authent
ication protocol) が、例えば、ユーザのTGTなどの信
用証明書 (credential) および/または、可能ならば、
他の情報をフロントエンドサーバからバックエンドサー
バに転送(または委任 (delegate))するような構成に
なっている場合がある。このようなやり方は、多くのWe
bサイトおよび/または他の多層 (multiple-tiered) ネ
ットワークでは、ますます普及化されている。
【0006】従って、ユーザのTGTと関連認証符号を保
持するサーバ/コンピュータ(authenticator) は、ユー
ザ/クライアントに代わって鍵配信センタ (KDC)にチケ
ットを要求することが可能になっている。この機能は、
現在では、転送されるチケット委任を行うために使用さ
れている。残念ながら、このようなサーバへの委任は、
基本的には、TGTが存続する間、無拘束 (unconstraine
d) になっている。その結果として、複合ネットワーク
構成で、しかし、もっと拘束された形で、認証信用証明
書 (authentication credential) の委任をサポートす
る改良方法とシステムが要望されている。
【0007】
【発明が解決しようとする課題】本発明は、上述の点に
鑑みて、認証信用証明書 (authentication credential)
の委任を拘束された形で行う改良方法とシステムを提供
することを解決すべき課題にしている。
【0008】
【課題を解決するための手段】上述した要望および他の
要望は、例えば、クライアントに代わってアクセスしよ
うとしているターゲットサービスを特定し、サーバによ
って使用される新サービス信用証明書を、サーバから信
頼できる第三者機関 (trusted third party)に要求させ
る本発明による方法によって達成される。この要求を行
うために、サーバは、サーバを認証する信用証明書、タ
ーゲットサービスに関する情報、およびクライアントに
よって、あるいはクライアントに代わってサーバによっ
て以前に取得されたサービス信用証明書を信頼できる第
三者機関に提供する。この方法によれば、新サービス信
用証明書は、サーバのIDではなく、クライアントのIDで
発行されるが、これは、サーバだけによって使用され
て、ターゲットサービスへのアクセス権が得られるよう
にしている。
【0009】本発明の種々の方法とシステムの理解を容
易にするために、以下では、添付図面を参照して詳しく
説明されている。
【0010】
【発明の実施の形態】図面を参照して説明すると、本発
明は、適当なコンピューティング環境で実現されるもの
として示されている。なお、図面において、同様のエレ
メントは同様の参照符号を付けて示されている。必ずし
もその必要はないが、本発明は、プログラムモジュール
のように、パーソナルコンピュータによって実行される
コンピュータ実行可能命令の広い意味で説明されてい
る。一般的に、プログラムモジュールとしては、特定の
タスクを実行し、あるいは特定の抽象データ型を実装し
ているルーチン、プログラム、オブジェクト、コンポー
ネント、データ構造などがある。さらに、この分野の精
通者ならば理解されるように、本発明は、他のコンピュ
ータシステム構成で実施することも可能であり、その中
には、ハンドヘルドデバイス、マルチプロセッサシステ
ム、マイクロプロセッサベースまたはプログラマブルコ
ンシューマエレクトロニクス、ネットワークPC、ミニコ
ンピュータ、メインフレームコンピュータなどが含まれ
ている。また、本発明は、分散型コンピューティング環
境で実施することも可能であり、そこでは、タスクは、
通信ネットワークを通してリンクされたリモート処理デ
バイスによって実行されている。分散型コンピューティ
ング環境では、プログラムモジュールは、ローカルとリ
モートの両方のメモリストレージデバイスに置いておく
ことができる。
【0011】図1は、以下に説明されている方法とシス
テムを実現することが可能である、適当なコンピューテ
ィング環境120の例を示す図である。
【0012】例示のコンピューティング環境120は、
適当なコンピューティング環境の一例にすぎず、本明細
書で説明している改良方法とシステムの使用または機能
の有効範囲に関して、なんらの制限を意味するものでは
ない。また、コンピューティング環境120は、このコ
ンピューティング環境120に図示されているコンポー
ネントのどれとも、あるいはどの組み合わせとも、なん
らかの依存関係または要件があるものと解釈してはなら
ない。
【0013】ここに説明されている改良方法とシステム
は、多数の、他の汎用または特殊目的コンピューティン
グシステム環境または構成で動作可能である。適当と考
えられる、周知のコンピューティングシステム、環境、
および/または構成の例としては、パーソナルコンピュ
ータ、サーバコンピュータ、小型軽量 (thin) クライア
ント、大型重量 (thick) クライアント、ハンドヘルド
またはラップトップデバイス、マルチプロセッサシステ
ム、マイクロプロセッサベースのシステム、セットトッ
プボックス (set top box)、プログラマブルコンシュー
マエレクトロニクス、ネットワークPC、ミニコンピュー
タ、メインフレームコンピュータ、上述したシステムま
たはデバイスのいずれかを含んでいる分散型コンピュー
ティング環境などがあるが、これらに限定されるもので
はない。
【0014】図1に示すように、コンピューティング環
境120は、パーソナルコンピュータ130の形体をし
た汎用コンピューティングデバイスを含んでいる。コン
ピュータ130のコンポーネントとしては、1つまたは
2つ以上のプロセッサまたは処理ユニット132、シス
テムメモリ134、およびシステムメモリ134を含む
種々のシステムコンポーネントをプロセッサ132に結
合しているバス123がある。
【0015】バス136は、数種タイプのバス構造の1
つまたは2つ以上を表しており、その中には、種々のバ
スアーキテクチャのいずれかを採用したメモリバスまた
はメモリコントローラ、ペリフェラル(周辺)バス、高
速グラフィックスポート、およびプロセッサまたはロー
カルバスが含まれている。このようなアーキテクチャの
例としては、Industry Standard Architecture(ISA−
業界標準アーキテクチャ)バス、Micro Channel Archit
ecture(MCA −マイクロチャネルアーキテクチャ)バ
ス、Enhanced ISA(EISA−拡張ISA)バス、Video Elect
ronics StandardsAssociation(VESA−ビデオエレクト
ロニクス標準協会)ローカルバス、およびMezzanine
(メザニン:中二階)バスとも呼ばれているPeripheral
Component Interconnects(PCI−ペリフェラルコンポ
ーネント相互接続)バスがあるが、これらに限定されな
い。
【0016】コンピュータ130は、種々のコンピュー
タ読取可能媒体を装備しているのが代表的である。その
ような媒体としては、コンピュータ130によってアク
セス可能な媒体であれば、どのような媒体も利用可能で
あり、その中には、揮発性媒体と不揮発性媒体、取り外
し可能媒体と取り外し不能媒体が含まれている。
【0017】図1に示すように、システムメモリ134
には、ランダムアクセスメモリ (random access memory
- RAM) 140のような揮発性メモリ、および/または
リードオンリメモリ (read only memory - ROM) 138
のような不揮発性メモリの形体をしたコンピュータ読取
可能媒体が含まれている。スタートアップ時のときのよ
うに、コンピュータ130内のエレメント間で情報を転
送するのを支援する基本ルーチンで構成された基本入出
力システム (basic input/output system - BIOS) 14
2は、ROM 138に格納されている。RAM 140には、
プロセッサ132が即時にアクセス可能である、および
/またはプロセッサ132によって現在操作の対象にな
っているデータおよび/またはプログラムモジュールが
置かれているのが代表的である。
【0018】コンピュータ130は、さらに、他の取り
外し可能/取り外し不能の揮発性/不揮発性コンピュータ
ストレージ媒体を装備している場合もある。例えば、図
1は、取り外し不能の不揮発性磁気媒体(図示していな
いが、「ハードディスク」と呼ばれているのが代表的)
との間で読み書きを行うハードディスクドライブ14
4、取り外し可能の、不揮発性磁気ディスク148との
間で読み書きを行う磁気ディスクドライブ146(例え
ば、「フロッピー(登録商標)ディスク」)、およびCD
-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAMまたは他の光媒
体などの、取り外し可能の不揮発性光ディスク152と
の間で読み書きを行う光ディスクドライブ150を示し
ている。ハードディスクドライブ144、磁気ディスク
ドライブ146および光ディスクドライブ150は、そ
れぞれ、1つまたは2つ以上のインタフェース154に
よってバス136に接続されている。
【0019】これらのドライブとそれぞれに関連するコ
ンピュータ読取可能媒体は、不揮発性ストレージとして
コンピュータ読取可能命令、データ構造、プログラムモ
ジュールおよび他のデータをコンピュータ130のため
に格納している。ここで説明している例示環境では、ハ
ードディスク、取り外し可能磁気ディスク148、およ
び取り外し可能光ディスク152が採用されているが、
この分野の精通者ならば当然に理解されるように、コン
ピュータによってアクセス可能であるデータを格納して
置くことができる、他のタイプのコンピュータ読取可能
媒体を例示動作環境で採用することも可能である。その
ような他のタイプの媒体としては、磁気カセット、フラ
ッシュメモリカード、デジタルビデオディスク、ランダ
ムアクセスメモリ (RAM)、リードオンリメモリ (ROM)
などがある。
【0020】いくつかのプログラムモジュールは、ハー
ドディスク、磁気ディスク148、光ディスク152、
ROM 138またはRAM 140に格納しておくことが可能
であり、そのようなものとして、オペレーティングシス
テム158、1つまたは2つ以上のアプリケーションプ
ログラム160、他のプログラムモジュール162、お
よびプログラムデータ164がある。
【0021】ここで説明している改良方法とシステム
は、オペレーティングシステム158、1つまたは2つ
以上のアプリケーションプログラム160、他のプログ
ラムモジュール162、および/またはプログラムデー
タ164内で実現することが可能である。
【0022】ユーザは、キーボード166やポインティ
ングデバイス168(「マウス」など)などの、入力デ
バイスを通してコマンドと情報をコンピュータ120に
与えることができる。他の入力デバイス(図示せず)と
しては、マイクロホン、ジョイスティック、ゲームパッ
ド、サテライトディッシュ、シリアルポート、スキャ
ナ、カメラなどがある。上記および他の入力デバイス
は、バス136に結合されたユーザ入力インタフェース
170を通して処理ユニット132に接続されている
が、パラレルポートやゲームポート、ユニバーサルシリ
アルバス (universalserial bus - USB) などの、他の
インタフェースで接続することも可能である。
【0023】モニタ172や他のタイプのディスプレイ
デバイスも、ビデオアダプタ174などのインタフェー
スを介してバス136に接続されている。モニタ172
のほかに、パーソナルコンピュータは、スピーカやプリ
ンタなどの他のペリフェラル(周辺)出力デバイス(図
示せず)を装備しているのが代表的であり、これらのデ
バイスは、出力周辺インタフェース175を通して接続
可能になっている。
【0024】コンピュータ130は、リモートコンピュ
ータ182などの、1つまたは2つ以上のリモートコン
ピュータとの論理コネクションを使用するネットワーキ
ング環境で動作することができる。リモートコンピュー
タ182は、パーソナルコンピュータ130に関して上
述したエレメントの多くまたは全部を装備していること
がある。
【0025】図1に示す論理コネクションとしては、ロ
ーカルエリアネットワーク (localarea network - LAN)
177と広域ネットワーク (wide area network - WA
N)179がある。このようなネットワーキング環境は、
オフィス、企業内 (enterprise-wide) コンピュータネ
ットワーク、イントラネット (intranet)、およびイン
ターネット (the Internet) で普及している。
【0026】LANネットワーキング環境で使用されると
きは、コンピュータ130は、ネットワークインタフェ
ースまたはアダプタ186を通してLAN 177に接続さ
れている。WANネットワーキング環境で使用されるとき
は、コンピュータは、WAN 179上のコミュニケーショ
ンを確立するためのモデム178や他の手段を装備して
いるのが代表的である。モデム178は内蔵型と外付け
型があるが、どちらも、ユーザ入力インタフェース14
6や他の該当メカニズムを介してシステムバス136に
接続することが可能になっている。
【0027】図1に示されているのは、インターネット
を通したWANの具体的構築例である。そこでは、コンピ
ュータ130は、インターネット180を経由して少な
くとも1つのリモートコンピュータ182とのコミュニ
ケーションを確立するためにモデム178を採用してい
る。
【0028】ネットワーキング環境では、コンピュータ
130に関して上述したプログラムモジュールまたはそ
の一部は、リモートメモリストレージデバイスに置いて
おくことが可能である。従って、例えば、図1に示すよ
うに、リモートアプリケーションプログラム189は、
リモートコンピュータ182のメモリデバイスに置いて
おくことができる。当然に理解されるように、図示し、
説明してきたネットワークコネクションは例示であり、
コンピュータ間の通信リンクを確立する他の手段を使用
することも可能である。
【0029】以下では、クライアント−サーバのネット
ワーク環境において認証信用証明書(authentication cr
edential) の委任の有効範囲 (scope of delegation)
を制御するための、本発明のいくつかの態様を中心に説
明することにする。以下では、例示のケルベロスベース
(Kerberos-based) のシステムとその改良を中心に説明
されているが、本発明の種々の方法とシステムは、明ら
かであるように、他の認証システムと手法にも適用可能
である。例えば、証明書ベース (certificate-based)
の認証システムと手法を、本発明のいくつかの側面に適
応させることが可能である。
【0030】上述したように、クライアントのチケット
認可チケット (ticket granting ticket - TGT) と関連
認証符号 (authenticator) を保持すると、保持者は、
クライアントに代わってチケットを信頼できる第三者機
関 (trusted third-party)、例えば、鍵配信センタ (ke
y distribution center - KDC) に要求することができ
る。この無拘束委任 (unconstrained delegation) は、
現在、転送チケット委任方式 (forwarded ticket deleg
ation schemes) を採用している、ある種のケルベロス
実装でサポートされている。
【0031】本発明によれば、以上のことを念頭に置い
て、委任プロセスを拘束し、あるいはその制御を改善す
る方法とシステムが提供されている。これらの方法とシ
ステムは、異種の認証プロトコルで使用すること可能に
なっている。いくつかの例示実施形態では、この委任プ
ロセスは、サービス・フォー・ユーザ・トゥ・プロキシ
ー(service-for-user-to-proxy )(S4U2proxy) 手法を
通して制御されている。このS4U2proxy(委任)手法
は、好ましくは、例えば、フロントエンドサーバ/サー
ビスのような、サーバまたはサービスがクライアントに
代わってサービスチケットを要求し、他のサーバ/サー
ビスで使用されるようにするプロトコルとして実現され
ている。以下で詳しく説明するように、S4U2proxyプロ
トコルによると、拘束された委任 (constrained delega
tion) が制御された形で行われるので、クライアントは
TGTをフロントエンドサーバに転送しないで済むという
利点が得られる。
【0032】ここに開示されているもう1つの手法は、
サービス・フォー・ユーザ・トゥ・セルフ(service-fo
r-user-to-self) (S4U2self) 手法である。このS4U2se
lf(自身)手法またはプロトコルによると、ユーザは自
身のためにサービスチケットを要求することができる
が、クライアントのIDは、その結果として得られたサー
ビスチケットの中に入っている。このようにすると、例
えば、クライアントは、他の認証プロトコルによって認
証されているので、基本的にサービスチケットを得るこ
とができ、そのサービスチケットをS4U2proxyプロトコ
ルで使用すると、拘束委任が得られることになる。S4U2
proxy手法には、2つの例示形式がある。すなわち、
「無証拠(no evidence)」形式と「証拠(evidence)」形
式である。無証拠形式では、サーバは、例えば、そのサ
ーバに専用されている別のセキュリティ/認証メカニズ
ムを使用して、例えば、クライアントを認証するものと
信用されている。証拠形式では、鍵配信センタ (KDC)
(または信頼できる第三者機関)は、クライアントに関
して用意されていて、クライアントがサーバに対して認
証をしたとき得られる情報(証拠)に基づいて認証を行
っている。
【0033】本明細書に開示されている方法とシステム
によると、クライアントは、そのクライアントがケルベ
ロス認証プロトコルによって認証されたか、他のなんら
かの認証プロトコルによって認証されたかに関係なく、
ケルベロス環境内でサーバ/サービスにアクセスするこ
とができる。その結果、バックエンドおよび/または他
のサーバ/サービスは、基本的にケルベロスのみの環境
で動作させることが可能になっている。
【0034】次に、図2のブロック図を参照して説明す
ると、図2は、本発明のいくつかの例示実施形態による
クライアント−サーバ環境200内のS4U2proxyプロト
コル/プロセスを示している。
【0035】図示のように、クライアント202は、信
頼できる第三者機関204に動作状態で結合され、信頼
できる第三者機関は、認証サービス206、例えば、鍵
配信センタ (KDC)、認証交付機関 (certificate granti
ng authority −証明書発行局とも呼ばれる)、ドメイン
コントローラなどが動作状態で置かれている構成になっ
ている。認証サービス206は、データベース208に
保存されている情報にアクセスするように構成されてい
る。クライアント202と信頼できる第三者機関204
は、さらに、サーバ、つまり、サーバA 210に動作状
態で結合されている。なお、本明細書で用いられている
「サーバ」と「サービス」という用語は、同一または類
似機能を表すために同じ意味で用いられている。
【0036】この例では、サーバA 210は、複数の他
のサーバに対してフロントエンドサーバになっている。
従って、図示のように、サーバA 210は、サーバB 2
12とサーバC 214に動作状態で結合されている。図
示のように、サーバB 212は、複製サービス (replic
ated service) にすることができる。また、サーバC2
14は、さらに、サーバD 216に動作状態で結合され
ている。
【0037】ユーザがクライアント202でログオンす
ると、認証要求 (AS_REQ) メッセージ220が認証サー
ビス206に送信され、これに対する応答として、認証
サービス206は、認証応答 (AS_REP) メッセージ22
2を返送する。AS_REPメッセージ222には、ユーザ/
クライアントに関連するTGTが入っている。サーバA 2
10も、同じまたは類似プロシージャ(図示せず)に従
って認証される。
【0038】クライアント202がサーバA 210にア
クセスしたいときは、クライアントは、チケット認可サ
ービス要求 (TGS_REQ) メッセージ224を認証サービ
ス206に送信し、認証サービス206からは、チケッ
ト認可サービス応答 (TGS_REP) メッセージ226が返
送される。このTGS_REPメッセージ226には、クライ
アント202とサーバA 210に関連するサービスチケ
ットが入っている。そのあと、通信セッションを開始す
るために、クライアント202は、アプリケーションプ
ロトコル要求 (AP_REQ) メッセージ228の中で、その
サービスチケットをサーバA 210に転送する。これら
のプロセス/プロシージャは周知であるので、ここで詳
しく説明することは省略する。
【0039】従来では、委任をサポートするために、ク
ライアントはサーバA 210にクライアントのTGTを提
供して、サーバA 210がクライアント202に代わっ
て追加のサービスチケットを要求できるようにする必要
があった。いまでは、その必要がなくなった。その代わ
りに、サーバA 210がクライアント202に代わって
別のサーバ、例えば、サーバC 214にアクセスする必
要があるときは、サーバA 210と認証サービス206
は、S4U2proxyプロトコルに従って動作している。
【0040】従って、例えば、S4U2proxyプロトコルを
実装している、いくつかの例示実施形態によれば、サー
バA 210は、TGS_REQメッセージ230を認証サービ
ス206に送信している。このTGS_REQメッセージ23
0は、サーバA 210のためのTGTとクライアント20
2から受信したサービスチケットを含んでおり、クライ
アント202がアクセスしようとしている望みの、また
はターゲットとしているサーバ/サービス、例えば、サ
ーバC 214を示している。例えば、ケルベロスでは、
拡張可能データフィールドが定義されており、これは、
「追加チケット」フィールドと呼ばれているのが代表的
である。この追加チケットフィールドは、クライアント
202から受信したサービスチケットを伝達するために
S4U2proxyプロトコルで使用することができ、また、ク
ライアントIDを与えるために使用されるチケットを得る
ために、受信側鍵配信センタ (KDC)にこの追加チケット
フィールドを調べるように指示するフラグまたは他のイ
ンジケータは、鍵配信センタ (KDC)オプションフィール
ドで指定することが可能になっている。この分野の精通
者ならば理解されるように、これらのフィールドまたは
他のフィールドおよび/またはデータ構造は、必要な情
報を認証サーバ206に伝達するために使用することが
可能である。
【0041】TGS_REQ 230を処理するとき、認証サー
ビス206は、クライアント202が委任を許可してい
たかどうかを、例えば、クライアント202によって設
定された「転送可能(forwardable)フラグ」の値に基づ
いて判断する。従って、クライアントによる委任は、こ
の転送可能フラグがクライアントのサービスチケットの
中に存在すると強制される。クライアント202が委任
に関与することを望んでいなければ、チケットには、転
送可能フラグが付けられない。認証サービス206は、
このフラグをクライアントによる制限として尊重する。
【0042】他の実施形態では、認証サービス206
は、サーバA 210がクライアント202に対して、ど
のサービスに委任することが許されているか(または委
任することが許されていないか)を定義している追加情
報を、データベース208からアクセスすることが可能
になっている。
【0043】サーバA 210がターゲットとしているサ
ーバ/サービスに委任することを許されていないと認証
サービス206が判断したときは、TGS_REPメッセージ
232がサーバA 210に送信される。このTGS_REPメ
ッセージ232には、ターゲットとするサーバ/サービ
スのためのサービスチケットが含まれている。このサー
ビスチケットは、クライアント202が、例えば、クラ
イアントのTGTを使用して認証サービス206から直接
にサービスチケットを要求したかのようになっている。
しかし、実際はそうではない。その代わりに、認証サー
ビス206は、認証されたサーバA 210がクライアン
ト202から受信し、TGS_REQメッセージ230に入っ
ているサービスチケットに基づく要求に、認証されたク
ライアントが基本的に関与していると納得したあとで、
類似の/必要なクライアント情報をデータベース208
からアクセスしている。しかし、クライアント情報はク
ライアントチケットに入って伝達されるので、サーバ
は、そのチケットからデータをコピーするだけで済むこ
とになる。従って、データベース208を使用すること
ができるが、チケットに入っているデータをコピーした
方が効率的である。
【0044】いくつかの実施形態では、例えば、TGS_RE
Pメッセージ232は、ターゲットとしているサーバ/サ
ービスとクライアント202を示しているが、さらに、
処理系専用のID/ユーザ/クライアントアカウントデータ
を、例えば、特権属性証明書 (privilege attribute ce
rtificate - PAC)、セキュリティID、Unix(登録商標)
ID、Passport ID、証明書などの形で含んでいる。例え
ば、PACは、認証サービス206によって生成すること
ができるが、TGS_REQメッセージ230に入っていたク
ライアントのサービスチケットからコピーするだけで済
むこともある。
【0045】PACまたは他のユーザ/クライアントアカウ
ントデータは、委任の有効範囲 (scope of delegation)
に関する情報を含むように構成することも可能であ
る。従って、例えば、図5に示すように、ケルベロスメ
ッセージ400には、ヘッダ402とPAC 404を収め
ている部分がある。そこでは、PAC 404は、委任情報
406を含んでいる。図示のように、委任情報406
は、複合ID情報 (compoundidentity information) 40
8とアクセス制限情報 (access restriction informati
on) 410を含んでいる。
【0046】複合ID情報408の例としては、例えば、
サーバA 210がユーザ/クライアント202に代わっ
てサービスチケットを要求したことを示す通知のよう
に、委任プロセスに関する記録情報がある。そこでは、
複数の記録情報を得ることができるので、1つのストリ
ングにしたり、あるいは複数の委任プロセスにわたるヒ
ストリ(活動記録)を示したりするために使用すること
ができる。この情報は、監査 (audit) 目的および/また
はアクセス制御目的に使用すると便利である。
【0047】アクセス制限情報410は、例えば、アク
セス制御メカニズムと関連付けて使用すると、クライア
ント202が直接的に、またはサーバA 210を通して
間接的にサーバ/サービスにアクセスしようとした場合
は、ある種のサーバ/サービスへのアクセスを許可し、
サーバ/サービスがサーバB 212を通して間接的に求
められる場合は、アクセスを許可しない、といったよう
にアクセスを選択的に制御することができる。この機能
によると、認証信用証明書の委任に対する制御が強化さ
れることになる。
【0048】上記の例では、クライアント202は、認
証サーバ206によって認証されていた。しかし、当然
に理解されるように、他のクライアントはそのように認
証されない場合がある。そのような場合の例を示したの
が、図3である。そこでは、クライアント302は、異
なる認証プロトコルメカニズム303を使用して認証さ
れている。認証プロトコルメカニズム303の例として
は、Passport、セキュアソケットレイヤ (secure socke
ts layer - SSL)、NTLM、Digest、またはその他の類似
認証プロトコル/プロシージャがある。なお、この例で
は、クライアント302は、ターゲットとするサービス
にアクセスすることを選択したが、そのサービスがサー
バC 214によって提供されるのは、偶然にすぎないも
のと想定されている。この選択は、上述したS4U2proxy
プロトコルを使用すると満たすことができるが、それが
できるのは、サーバA 210がS4U2proxyプロトコル/プ
ロシージャを完了/に従った後だけである。
【0049】S4U2selfプロトコルには、1つの基本的前
提がある。つまり、サーバ、例えば、サーバA 210
が、サーバにアクセスしようとしていて、サーバが自身
で認証したユーザ/クライアントのために、自身に対す
るサービスチケットを要求できることを前提としてい
る。ここで説明している例示のS4U2selfプロトコルは、
認証「証拠」をもっているクライアントおよびそのよう
な認証証拠をもたないクライアントをサポートするよう
に構成されている。
【0050】認証サービス206によって評価できる認
証証拠がないときは、サーバA 210は、クライアント
302を「信用」する必要がある。従って、例えば、サ
ーバA 210が有効性検査できる認証証明書または類似
のメカニズム304をクライアント302がもっていれ
ば、そのクライアント302は、「信用」されているも
のと判断することができる。ここでは、クライアント3
02は、基本的には、サーバA 210によって認証され
ている。次に、サーバA 210は、TGS_REQメッセージ
306を認証サービス206に送信し、クライアント3
02のために自身に対するサービスチケットを要求す
る。その応答として、認証サービス206は、要求され
たサービスチケットを含んでいるTGS_REPメッセージ3
08を生成する。そのサービスチケットが受信される
と、これは、クライアント302のためにサーバC 21
4に対するサービスチケットを要求するために、後続の
S4U2proxyプロトコル/プロシージャで使用される。いく
つかのケルベロス実装例では、そのためには、TGS_REP
メッセージの中の転送可能フラグは、サービスチケット
の転送を可能にするようにセットされている必要があ
る。信頼できる第三者機関は、クライアント302のた
めにPACを作成することもできるので、これは、結果と
して得られたサービスチケットに組み入れておくことが
できる。
【0051】認証の証拠がクライアント302’に対し
て存在しないときは、サーバA 210は、その証拠を追
加の事前認証データとしてTGS_REQメッセージ312に
組み入れることができる。このことは、図4の環境30
0'に示されている。そこでは、証拠情報310は、ク
ライアント302’からサーバA 210に与えられてい
る。証拠情報310の例としては、チャレンジ/応答ダ
イアログのほかに、別の「信用」エンティティによって
生成される情報がある。証拠情報310を受信し、その
あとに続いて有効性検査が行われると、認証サービス2
06は、要求されたサービスチケットをサーバA 210
自身に発行する。なお、いくつかの実施形態では、証拠
を使用すると、サーバはクライアントのために、制限さ
れたTGTを取得することが可能になる。
【0052】いくつかのケルベロス実装では、TGS_REP
メッセージ314の中の転送可能フラグは、サービスチ
ケットの転送を可能にするようにセットされる。PACがT
GS_REQメッセージ312に入っていれば、これは、サー
ビスチケットの中で使用することが可能であり、そうで
なければ、PACは、証拠情報310に基づいて認証サー
ビス206(この例では、鍵配信センタ (KDC))によっ
て生成することができる。例えば、S4U2selfでは、クラ
イアントのIDは、事前認証データに組み込まれている。
このIDは、クライアントのためにPACを構築するときに
使用して、(クライアントのために)サーバに対する発
行サービスチケットに追加することができる。
【0053】以上、本発明の種々の方法とシステムの、
いくつかの好ましい実施形態を添付図面に図示し、詳細
な説明の中で説明してきたが、当然に理解されるよう
に、本発明は上述してきた例示実施形態に限定されるも
のではなく、各請求項に記載され、明確化されている本
発明の精神から逸脱しない限り、数多くの再構成、変
更、および置換を行うことが可能である。
【図面の簡単な説明】
【図1】本発明を実現することができる例示コンピュー
タシステムを示すブロック図である。
【図2】本発明のいくつかの例示実施形態に従って、ク
ライアント−サーバ環境内で実行されるservice-for-us
er-to-proxy (S4U2proxy) プロセスを示すブロック図で
ある。
【図3】本発明のいくつかの例示実施形態に従って、ク
ライアント−サーバ環境内で実行されるservice-for-us
er-to-self (S4U2self) プロセスを示すブロック図であ
る。
【図4】本発明のいくつかの、別の例示実施形態に従っ
て、クライアント−サーバ環境内で実行されるservice-
for-user-to-self (S4U2self) プロセスを示すブロック
図である。
【図5】本発明のいくつかの実施形態で使用するのに適
したメッセージフォーマットの一部を選択して示す概略
図である。
【符号の説明】
200 クライアント−サーバ環境 202 クライアント 204 信頼できる第三者機関 206 認証サービス 208 データベース 210 サーバA 212 サーバB 214 サーバC 216 サーバD 220 認証要求 (AS_REQ) メッセージ 222 認証応答 (AS_REP) メッセージ 224 チケット認可サービス要求 (TGS_REQ) メッセ
ージ 226 チケット認可サービス応答 (TGS_REP) メッセ
ージ 228 アプリケーションプロトコル要求 (AP_REQ) メ
ッセージ 230 TGS_REQメッセージ 232 TGS_REPメッセージ
フロントページの続き (72)発明者 ジョン イー.ブレザック アメリカ合衆国 98072 ワシントン州 ウッディンビル ノースイースト 188 ストリート 24033 (72)発明者 リチャード ビー.ウォード アメリカ合衆国 98053 ワシントン州 レッドモンド 261 アベニュー ノース イースト 8565 (72)発明者 ドナルド イー.シュミット アメリカ合衆国 98052 ワシントン州 レッドモンド ノースイースト 133 ス トリート 18316 Fターム(参考) 5B085 AE00 AE23 5J104 AA06 EA15 MA01 MA05 NA02 PA07

Claims (64)

    【特許請求の範囲】
  1. 【請求項1】 クライアントに代わってアクセスしよう
    としているターゲットサービスを特定し、 クライアントに動作状態で結合されているサーバに、ク
    ライアントに代わってターゲットサービスにアクセスす
    ることを信頼できる第三者機関に要求させることを含
    み、サーバは、サーバを認証する信用証明書、ターゲッ
    トサービスに関する情報、およびクライアントによって
    サーバに前もって提供されているサービス信用証明書と
    を信頼できる第三者機関に提供することを特徴とする方
    法。
  2. 【請求項2】 請求項1に記載の方法において、信頼で
    きる第三者機関は、鍵配信センタ (KDC) サービス、認
    証交付機関サービス、およびドメインコントローラサー
    ビスを含むサービスグループから選択された、少なくと
    も1つのサービスを含んでいることを特徴とする方法。
  3. 【請求項3】 請求項2に記載の方法において、信頼で
    きる第三者機関は、サーバの名前ではなく、クライアン
    トの名前で認可された新サービス信用証明書をサーバに
    提供することを特徴とする方法。
  4. 【請求項4】 請求項3に記載の方法において、新サー
    ビス信用証明書は、サーバおよびアクセスしようとして
    いるターゲットサービスによって使用されるように構成
    されていることを特徴とする方法。
  5. 【請求項5】 請求項3に記載の方法において、サーバ
    を認証する信用証明書は、サーバに関連するチケット認
    可チケットを含むチケットであることを特徴とする方
    法。
  6. 【請求項6】 請求項1に記載の方法において、さら
    に、クライアントが委任を許可していることを信頼でき
    る第三者機関に検証させることを含むことを特徴とする
    方法。
  7. 【請求項7】 請求項6に記載の方法において、 信頼できる第三者機関は鍵配信センタ (KDC) を含み、 クライアントが委任を許可していたことを信頼できる第
    三者機関に検証させることは、クライアントから出され
    たチケットに載せられた制限のステータスを検証するこ
    とを含むことを特徴とする方法。
  8. 【請求項8】 請求項1に記載の方法において、さら
    に、 クライアントが委任に関与することを許可されているか
    どうかを、クライアントのID(識別子)を含むグループか
    ら選択された情報またはクライアントに関連するグルー
    プ所属に基づいて、信頼できる第三者機関に選択的に判
    断させることを含むことを特徴とする方法。
  9. 【請求項9】 請求項1に記載の方法において、サーバ
    は、バックエンドサーバに対するフロントエンドサーバ
    として、バックエンドサーバに結合されており、 バックエンドサーバは、アクセスしようとしているター
    ゲットサービスを提供するように構成されていることを
    特徴とする方法。
  10. 【請求項10】 請求項1に記載の方法において、 信頼できる第三者機関は鍵配信センタ (KDC) を含み、 鍵配信センタ (KDC)は、クライアントに関連するチケッ
    ト認可チケットをクライアントに提供し、 クライアントは、チケット認可チケットをサーバに提供
    しないことを特徴とする方法。
  11. 【請求項11】 請求項1に記載の方法において、 信頼できる第三者機関は鍵配信センタ (KDC) を含み、 サーバは、クライアントによってサーバに提供されたサ
    ービスチケットを含んでいる新信用証明書を、チケット
    認可サービス要求メッセージの中で要求することを特徴
    とする方法。
  12. 【請求項12】 クライアントに代わってアクセスしよ
    うとしているターゲットサービスを特定し、 クライアントに動作状態で結合されたサーバに、クライ
    アントに代わってターゲットサービスにアクセスするこ
    とを信頼できる第三者機関に要求させることを含み、サ
    ーバは、サーバを認証する信用証明書、ターゲットサー
    ビスに関する情報、およびクライアントからサーバに前
    もって提供されているサービス信用証明書とを信頼でき
    る第三者機関に提供し、クライアントチケットは処理系
    専用のID情報を含んでいることを特徴とする方法。
  13. 【請求項13】 請求項12に記載の方法において、処
    理系専用のID情報は、特権属性証明 ( PAC) 情報、セキ
    ュリティID情報、Unix(登録商標)ID情報、Passport I
    D情報、および証明情報を含むグループから選択された
    情報を含んでいることを特徴とする方法。
  14. 【請求項14】 請求項13に記載の方法において、特
    権属性証明 ( PAC)は、複合ID情報を含んでいることを
    特徴とする方法。
  15. 【請求項15】 請求項13に記載の方法において、特
    権属性証明 ( PAC)は、委任拘束条件として使用される
    アクセス制御制限を含んでいることを特徴とする方法。
  16. 【請求項16】 タスクを実行するためのコンピュータ
    実行可能命令を格納しているコンピュータ読取可能媒体
    であって、前記タスクは、 サーバ側において、そのサーバに結合されたクライアン
    トに代わってアクセスしようとしているターゲットサー
    ビスを判断し、 サーバを認証する信用証明書、ターゲットサービスに関
    する情報、およびクライアントと要求側サーバに関連す
    るサービス信用証明書を信頼できる第三者機関に提供す
    ることによって、新サービス信用証明書を信頼できる第
    三者機関に要求すること、を含むことを特徴とするコン
    ピュータ読取可能媒体。
  17. 【請求項17】 請求項16に記載のコンピュータ読取
    可能媒体において、信頼できる第三者機関は、鍵配信セ
    ンタ ( KDC) サービス、認証交付機関サービス、および
    ドメインコントローラサービスを含むサービスグループ
    から選択された、少なくとも1つのサービスを含んでい
    ることを特徴とするコンピュータ読取可能媒体。
  18. 【請求項18】 請求項17に記載のコンピュータ読取
    可能媒体において、新サービス信用証明書は、サーバの
    名前ではなく、クライアントの名前で発行されることを
    特徴とするコンピュータ読取可能媒体。
  19. 【請求項19】 請求項18に記載のコンピュータ読取
    可能媒体において、新サービス信用証明書は、サーバと
    ターゲットサービスによって使用されるように構成され
    ていることを特徴とするコンピュータ読取可能媒体。
  20. 【請求項20】 請求項18に記載のコンピュータ読取
    可能媒体において、サーバを認証する信用証明書は、サ
    ーバに関連するチケット認可チケットを含んでいること
    を特徴とするコンピュータ読取可能媒体。
  21. 【請求項21】 請求項16に記載のコンピュータ読取
    可能媒体において、さらに、 クライアントが委任を許可していたことを信頼できる第
    三者機関に検証させることを含むことを特徴とするコン
    ピュータ読取可能媒体。
  22. 【請求項22】 請求項21に記載のコンピュータ読取
    可能媒体において、信頼できる第三者機関は鍵配信セン
    タ (KDC) を含み、 クライアントが委任を許可していたことを信頼できる第
    三者機関に検証させることは、クライアントによってセ
    ットされた転送可能フラグ値のステータスを検証するこ
    とを含むことを特徴とするコンピュータ読取可能媒体。
  23. 【請求項23】 請求項16に記載のコンピュータ読取
    可能媒体において、サーバは、バックエンドサーバに対
    するフロントエンドサーバとして、バックエンドサーバ
    に結合されており、 バックエンドサーバは、アクセスしようとしているター
    ゲットサービスを提供するように構成されていることを
    特徴とするコンピュータ読取可能媒体。
  24. 【請求項24】 請求項16に記載のコンピュータ読取
    可能媒体において、 信頼できる第三者機関は鍵配信センタ (KDC) を含み、 鍵配信センタ (KDC)は、クライアントに関連するチケッ
    ト認可チケットをクライアントに提供し、 クライアントは、チケット認可チケットをサーバに提供
    しないことを特徴とするコンピュータ読取可能媒体。
  25. 【請求項25】 請求項16に記載のコンピュータ読取
    可能媒体において、 信頼できる第三者機関は鍵配信センタ (KDC) を含み、 要求側サーバは、クライアントによってサーバに提供さ
    れたサービスチケットを含んでいる新信用証明書を、チ
    ケット認可サービス要求メッセージの中で要求すること
    を特徴とするコンピュータ読取可能媒体。
  26. 【請求項26】 新サービス信用証明書の要求をサーバ
    から受信し、委任が許可可能であれば、その応答として
    新サービス証明書を生成するように構成された信用証明
    書発行メカニズムを備えていて、前記要求は、 要求側サーバを認証する信用証明書と、 サーバに結合されたクライアントに代わってアクセスし
    ようとしているターゲットサービスに関する識別情報
    と、 サーバ側で使用するためにクライアントに以前に認可さ
    れたサービス信用証明書と、を含んでいることを特徴と
    するシステム。
  27. 【請求項27】 請求項26に記載のシステムにおい
    て、信用証明書発行メカニズムは信頼できる第三者機関
    によって提供され、鍵配信センタ ( KDC) サービス、認
    証交付機関サービス、およびドメインコントローラサー
    ビスを含むサービスグループから選択された、少なくと
    も1つのサービスを含んでいることを特徴とするシステ
    ム。
  28. 【請求項28】 請求項27に記載のシステムにおい
    て、新サービス信用証明者は、サーバの名前ではなく、
    クライアントの名前で発行されることを特徴とするシス
    テム。
  29. 【請求項29】 請求項28に記載のシステムにおい
    て、新サービス信用証明書は、サーバおよびアクセスし
    ようとしているターゲットサービスによって使用される
    ように構成されていることを特徴とするシステム。
  30. 【請求項30】 請求項28に記載のシステムにおい
    て、サーバを認証する信用証明書は、サーバに関連して
    いて、信用証明書発行メカニズムによって以前に発行さ
    れたチケット認可チケットを含んでいることを特徴とす
    るシステム。
  31. 【請求項31】 信頼できる第三者機関からの新サービ
    ス信用証明書の要求を生成するように構成されたサーバ
    を備え、新サービス信用証明者はクライアントに関連付
    けられていて、前記要求は、 サーバを認証する信用証明書と、 ターゲットサービスに関する情報と、 クライアントとサーバに関連するサービス信用証明書
    と、 を含んでいることを特徴とするシステム。
  32. 【請求項32】 請求項31に記載のシステムにおい
    て、信頼できる第三者機関は、鍵配信センタ ( KDC) サ
    ービス、認証交付機関サービス、およびドメインコント
    ローラサービスを含むサービスグループから選択され
    た、少なくとも1つのサービスを含んでいることを特徴
    とするシステム。
  33. 【請求項33】 請求項31に記載のシステムにおい
    て、サーバを認証する信用証明書は、サーバに関連する
    チケット認可チケットを含んでいることを特徴とするシ
    ステム。
  34. 【請求項34】 請求項31に記載のシステムにおい
    て、サーバは、サービスに対してフロントエンドサーバ
    であることを特徴とするシステム。
  35. 【請求項35】 請求項31に記載のシステムにおい
    て、サーバは、クライアントとサーバに関連するサービ
    スチケットを含んでいる新サービス信用証明書を、チケ
    ット認可サービス要求メッセージの中で要求することを
    特徴とするシステム。
  36. 【請求項36】 データ構造がそこに格納されているコ
    ンピュータ読取可能媒体であって、前記データ構造は、 第1サーバを認証する信用証明書と、 第2サーバを特定する情報と、 クライアントと第1サーバに関連するサービス信用証明
    書と、を含んでいることを特徴とするコンピュータ読取
    可能媒体。
  37. 【請求項37】 請求項36に記載のコンピュータ読取
    可能媒体において、第1サーバを認証する信用証明書は
    チケット認可チケット (TGT) を含み、サービス信用証
    明書はサービスチケットを含んでいることを特徴とする
    コンピュータ読取可能媒体。
  38. 【請求項38】 サーバとクライアントを別々に認証
    し、 サーバチケット認可チケットをサーバに提供し、 サーバで使用するためのクライアントチケット認可チケ
    ットとサービスチケットをクライアントに提供し、 サーバをクライアントチケット認可チケットにアクセス
    する要求をさせなくても、新サービスで使用するために
    サーバによって使用される新サービスチケットをサーバ
    に提供する、ことを含むことを特徴とする方法。
  39. 【請求項39】 請求項38に記載の方法において、さ
    らに、 サーバチケット認可チケット、新サービスを特定する情
    報、およびサービスチケットを信頼できる第三者機関に
    転送することによって、クライアントに代わって新サー
    ビスチケットをサーバに要求させることを含むことを特
    徴とする方法。
  40. 【請求項40】 第1認証方法を使用して認証されたク
    ライアントに代わって、アクセスしようとしているター
    ゲットサービスを特定し、 ターゲットサービスとクライアントに動作状態で結合さ
    れているサーバに、クライアントと第1認証方法を特定
    することによって、自身に対するサービス信用証明書を
    第2認証方法の信頼できる第三者機関に要求させ、 サーバとターゲットサービスで使用するための新サービ
    ス信用証明書を、サーバに第2認証方法の信頼できる第
    三者機関に要求させることを含み、サーバは、サーバを
    認証する信用証明書、ターゲットサービスに関する情
    報、および自身に対するサービス信用証明書を信頼でき
    る第三者機関に提供することを特徴とする方法。
  41. 【請求項41】 請求項40に記載の方法において、第
    2認証方法の信頼できる第三者機関は、鍵配信センタ
    (KDC) サービス、認証交付機関サービス、およびドメイ
    ンコントローラサービスを含むサービスグループから選
    択された、少なくとも1つのサービスを含んでいること
    を特徴とする方法。
  42. 【請求項42】 請求項41に記載の方法において、新
    サービス信用証明書は、サーバのIDではなく、クライア
    ントのIDで発行されることを特徴とする方法。
  43. 【請求項43】 請求項42に記載の方法において、サ
    ービス信用証明書は、サーバおよびアクセスしようとし
    ているターゲットサービスによって使用されるように構
    成されていることを特徴とする方法。
  44. 【請求項44】 請求項42に記載の方法において、サ
    ーバを認証する信用証明書は、サーバに関連するチケッ
    ト認可チケットを含んでいることを特徴とする方法。
  45. 【請求項45】 請求項40に記載の方法において、さ
    らに、 サーバから新サービス信用証明書の要求を受信したと
    き、クライアントが委任を許可していたことを、第2認
    証方法の信頼できる第三者機関に検証させることを含む
    ことを特徴とする方法。
  46. 【請求項46】 請求項40に記載の方法において、サ
    ーバは、バックエンドサーバに対するフロントエンドサ
    ーバとして、バックエンドサーバに結合されており、 バックエンドサーバは、ターゲットサービスを提供する
    ように構成されていることを特徴とする方法。
  47. 【請求項47】 請求項40に記載の方法において、第
    1認証方法は、Passport、SSL、NTLM、およびDigestを
    含む認証方法のグループから選択されることを特徴とす
    る方法。
  48. 【請求項48】 請求項40に記載の方法において、第
    2認証方法は、ケルベロス (Kerberos) 認証プロトコル
    を含むことを特徴とする方法。
  49. 【請求項49】 タスクを実行するためのコンピュータ
    実行可能命令を格納しているコンピュータ読取可能媒体
    であって、前記タスクは、 第1認証方法を使用して認証されたクライアントに代わ
    って、アクセスしようとしているターゲットサービスを
    特定し、 ターゲットサービスとクライアントに結合されて、動作
    状態にあるサーバに、クライアントと第1認証方法を特
    定することによって、自身に対するサービス信用証明書
    を第2認証方法の信頼できる第三者機関に要求させ、 サーバとターゲットサービスで使用するための新サービ
    ス信用証明書を、サーバに第2認証方法の信頼できる第
    三者機関に要求させることを含み、サーバは、サーバを
    認証する信用証明書、ターゲットサービスに関する情
    報、および自身に対するサービス信用証明書を信頼でき
    る第三者機関に提供することを特徴とするコンピュータ
    読取可能媒体。
  50. 【請求項50】 請求項49に記載のコンピュータ読取
    可能媒体において、第2認証方法の信頼できる第三者機
    関は、鍵配信センタ (KDC) を含んでいることを特徴と
    するコンピュータ読取可能媒体。
  51. 【請求項51】 請求項50に記載のコンピュータ読取
    可能媒体において、新サービスチケットは、サーバのID
    ではなく、クライアントのIDで発行されたサービスチケ
    ットを含むことを特徴とするコンピュータ読取可能媒
    体。
  52. 【請求項52】 請求項51に記載のコンピュータ読取
    可能媒体において、サービス信用証明書は、サーバおよ
    びアクセスしようとしているターゲットサービスによっ
    て使用されるように構成されていることを特徴とするコ
    ンピュータ読取可能媒体。
  53. 【請求項53】 請求項51に記載のコンピュータ読取
    可能媒体において、サーバを認証する信用証明書は、サ
    ーバに関連するチケット認可チケットを含んでいること
    を特徴とするコンピュータ読取可能媒体。
  54. 【請求項54】 請求項49に記載のコンピュータ読取
    可能媒体において、さらに、 サーバから新サービス信用証明書の要求を受信したと
    き、クライアントが委任を許可していたことを、第2認
    証方法の信頼できる第三者機関に検証させることを含む
    ことを特徴とするコンピュータ読取可能媒体。
  55. 【請求項55】 請求項49に記載のコンピュータ読取
    可能媒体において、サーバは、バックエンドサーバに対
    するフロントエンドサーバとして、バックエンドサーバ
    に結合されており、 バックエンドサーバは、ターゲットサービスを提供する
    ように構成されていることを特徴とするコンピュータ読
    取可能媒体。
  56. 【請求項56】 請求項49に記載のコンピュータ読取
    可能媒体において、第1認証方法は、Passport、SSL、N
    TLM、およびDigestを含む認証方法のグループから選択
    されることを特徴とするコンピュータ読取可能媒体。
  57. 【請求項57】 請求項49に記載のコンピュータ読取
    可能媒体において、第2認証方法は、ケルベロス (Kerb
    eros) 認証プロトコルを含むことを特徴とするコンピュ
    ータ読取可能媒体。
  58. 【請求項58】 第1認証方法を使用して認証されたク
    ライアントに代わってアクセスしようとしているターゲ
    ットサービスを特定し、 クライアントと第1認証方法を特定することによって、
    自身に対するサービス信用証明書を第2認証方法の信頼
    できる第三者機関に要求し、 そのあと、サーバとターゲットサービスで使用するため
    の新サービス信用証明書を第2認証方法の信頼できる第
    三者機関に要求するように構成可能であるサーバを備
    え、 サーバは、サーバを認証する信用証明書、ターゲットサ
    ービスに関する情報、および自身に対するサービス信用
    証明書を第2認証方法の信頼できる第三者機関に提供す
    ることを特徴とするシステム。
  59. 【請求項59】 請求項58に記載のシステムにおい
    て、新サービス信用証明書は、サーバのIDではなく、ク
    ライアントのIDで発行されることを特徴とするシステ
    ム。
  60. 【請求項60】 請求項59に記載のシステムにおい
    て、新サービス信用証明書は、サーバおよびターゲット
    サービスによって使用されるように構成されていること
    を特徴とするシステム。
  61. 【請求項61】 請求項59に記載のシステムにおい
    て、サーバを認証する信用証明書は、サーバに関連する
    チケット認可チケットを含んでいることを特徴とするシ
    ステム。
  62. 【請求項62】 請求項57に記載のシステムにおい
    て、サーバは、バックエンドサーバに対するフロントエ
    ンドサーバとして、バックエンドサーバに結合されてお
    り、 バックエンドサーバは、ターゲットサービスを提供する
    ように構成されていることを特徴とするシステム。
  63. 【請求項63】 請求項57に記載のシステムにおい
    て、第1認証方法は、Passport、SSL、NTLM、およびDig
    estを含む認証方法のグループから選択されることを特
    徴とするシステム。
  64. 【請求項64】 請求項57に記載のシステムにおい
    て、第2認証方法は、ケルベロス (Kerberos) 認証プロ
    トコルを含むことを特徴とするシステム。
JP2002180423A 2001-06-20 2002-06-20 認証信用証明書の委任の有効範囲を制御するための方法とシステム Expired - Fee Related JP4298969B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/886,146 US7698381B2 (en) 2001-06-20 2001-06-20 Methods and systems for controlling the scope of delegation of authentication credentials
US09/886,146 2001-06-20

Publications (3)

Publication Number Publication Date
JP2003099401A true JP2003099401A (ja) 2003-04-04
JP2003099401A5 JP2003099401A5 (ja) 2005-10-13
JP4298969B2 JP4298969B2 (ja) 2009-07-22

Family

ID=25388472

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002180423A Expired - Fee Related JP4298969B2 (ja) 2001-06-20 2002-06-20 認証信用証明書の委任の有効範囲を制御するための方法とシステム

Country Status (6)

Country Link
US (1) US7698381B2 (ja)
EP (2) EP1271882B1 (ja)
JP (1) JP4298969B2 (ja)
AT (2) ATE400130T1 (ja)
AU (2) AU785166B2 (ja)
DE (2) DE60225378T2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006209224A (ja) * 2005-01-25 2006-08-10 Nippon Telegr & Teleph Corp <Ntt> アクセスコード発行システム、アクセスコード発行方法およびアクセスコード発行プログラム
JP2008108137A (ja) * 2006-10-26 2008-05-08 Ricoh Co Ltd なりすまし防止方法、画像処理装置、なりすまし防止プログラム及び記録媒体
JP2010541059A (ja) * 2007-09-27 2010-12-24 エヌエックスピー ビー ヴィ トラステッドアプリケーションに対するアクセス権を管理する方法、システム、トラステッドサービスマネジャー、サービスプロバイダ及びメモリ素子
JP2011180972A (ja) * 2010-03-03 2011-09-15 Konica Minolta Business Technologies Inc 画像処理システム、情報処理装置、プログラムおよびジョブ実行方法

Families Citing this family (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7444368B1 (en) * 2000-02-29 2008-10-28 Microsoft Corporation Methods and systems for selecting methodology for authenticating computer systems on a per computer system or per user basis
US7237257B1 (en) * 2001-04-11 2007-06-26 Aol Llc Leveraging a persistent connection to access a secured service
US20030236977A1 (en) * 2001-04-25 2003-12-25 Levas Robert George Method and system for providing secure access to applications
US7562146B2 (en) * 2003-10-10 2009-07-14 Citrix Systems, Inc. Encapsulating protocol for session persistence and reliability
US20050198379A1 (en) * 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
US7698381B2 (en) 2001-06-20 2010-04-13 Microsoft Corporation Methods and systems for controlling the scope of delegation of authentication credentials
US7428749B2 (en) * 2001-08-03 2008-09-23 International Business Machines Corporation Secure delegation using public key authorization
US7818792B2 (en) * 2002-02-04 2010-10-19 General Instrument Corporation Method and system for providing third party authentication of authorization
US7984157B2 (en) * 2002-02-26 2011-07-19 Citrix Systems, Inc. Persistent and reliable session securely traversing network components using an encapsulating protocol
US7661129B2 (en) * 2002-02-26 2010-02-09 Citrix Systems, Inc. Secure traversal of network components
GB2392590B (en) * 2002-08-30 2005-02-23 Toshiba Res Europ Ltd Methods and apparatus for secure data communication links
US7546633B2 (en) 2002-10-25 2009-06-09 Microsoft Corporation Role-based authorization management framework
JP2005064770A (ja) * 2003-08-11 2005-03-10 Ricoh Co Ltd 情報処理装置、認証装置、外部装置、証明情報取得方法、認証方法、機能提供方法、証明情報取得プログラム、認証プログラム、機能提供プログラム及び記録媒体
US7827595B2 (en) * 2003-08-28 2010-11-02 Microsoft Corporation Delegated administration of a hosted resource
US8255422B2 (en) 2004-05-28 2012-08-28 Microsoft Corporation Highly reliable and scalable architecture for data centers
US7617501B2 (en) 2004-07-09 2009-11-10 Quest Software, Inc. Apparatus, system, and method for managing policies on a computer having a foreign operating system
GB0419479D0 (en) * 2004-09-02 2004-10-06 Cryptomathic Ltd Data certification methods and apparatus
US20060236385A1 (en) * 2005-01-14 2006-10-19 Citrix Systems, Inc. A method and system for authenticating servers in a server farm
US8042165B2 (en) * 2005-01-14 2011-10-18 Citrix Systems, Inc. Method and system for requesting and granting membership in a server farm
EP1955251A2 (en) 2005-10-11 2008-08-13 Citrix Systems, Inc. Systems and methods for facilitating distributed authentication
US7904949B2 (en) 2005-12-19 2011-03-08 Quest Software, Inc. Apparatus, systems and methods to provide authentication services to a legacy application
US8087075B2 (en) 2006-02-13 2011-12-27 Quest Software, Inc. Disconnected credential validation using pre-fetched service tickets
US8429712B2 (en) 2006-06-08 2013-04-23 Quest Software, Inc. Centralized user authentication system apparatus and method
WO2008018055A2 (en) * 2006-08-09 2008-02-14 Neocleus Ltd Extranet security
US8086710B2 (en) * 2006-10-30 2011-12-27 Quest Software, Inc. Identity migration apparatus and method
US7895332B2 (en) * 2006-10-30 2011-02-22 Quest Software, Inc. Identity migration system apparatus and method
US8012015B2 (en) 2006-11-15 2011-09-06 Cfph, Llc Verifying whether a gaming device is communicating with a gaming server
US7942742B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Accessing identification information to verify a gaming device is in communications with a server
US7942739B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Storing information from a verification device and accessing the information from a gaming device to verify that the gaming device is communicating with a server
US7942738B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Verifying a gaming device is in communications with a gaming server
US7942740B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Verifying a first device is in communications with a server by storing a value from the first device and accessing the value from a second device
US10068421B2 (en) * 2006-11-16 2018-09-04 Cfph, Llc Using a first device to verify whether a second device is communicating with a server
US7942741B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Verifying whether a device is communicating with a server
US9055107B2 (en) * 2006-12-01 2015-06-09 Microsoft Technology Licensing, Llc Authentication delegation based on re-verification of cryptographic evidence
WO2008114256A2 (en) * 2007-03-22 2008-09-25 Neocleus Ltd. Trusted local single sign-on
US8474037B2 (en) * 2008-01-07 2013-06-25 Intel Corporation Stateless attestation system
US9973491B2 (en) * 2008-05-16 2018-05-15 Oracle International Corporation Determining an identity of a third-party user in an SAML implementation of a web-service
US8910257B2 (en) * 2008-07-07 2014-12-09 Microsoft Corporation Representing security identities using claims
US8863234B2 (en) 2008-08-06 2014-10-14 The Boeing Company Collaborative security and decision making in a service-oriented environment
US20100175113A1 (en) * 2009-01-05 2010-07-08 International Business Machine Corporation Secure System Access Without Password Sharing
US8255984B1 (en) 2009-07-01 2012-08-28 Quest Software, Inc. Single sign-on system for shared resource environments
US9231758B2 (en) * 2009-11-16 2016-01-05 Arm Technologies Israel Ltd. System, device, and method of provisioning cryptographic data to electronic devices
US10454674B1 (en) * 2009-11-16 2019-10-22 Arm Limited System, method, and device of authenticated encryption of messages
US20120072972A1 (en) * 2010-09-20 2012-03-22 Microsoft Corporation Secondary credentials for batch system
AU2010246354B1 (en) 2010-11-22 2011-11-03 Microsoft Technology Licensing, Llc Back-end constrained delegation model
US8839357B2 (en) * 2010-12-22 2014-09-16 Canon U.S.A., Inc. Method, system, and computer-readable storage medium for authenticating a computing device
US8701169B2 (en) 2011-02-11 2014-04-15 Certicom Corp. Using a single certificate request to generate credentials with multiple ECQV certificates
US8973108B1 (en) * 2011-05-31 2015-03-03 Amazon Technologies, Inc. Use of metadata for computing resource access
US9032492B2 (en) 2011-09-01 2015-05-12 Microsoft Corporation Distributed computer systems with time-dependent credentials
US8640210B2 (en) 2011-09-01 2014-01-28 Microsoft Corporation Distributed computer systems with time-dependent credentials
US9058467B2 (en) 2011-09-01 2015-06-16 Microsoft Corporation Distributed computer systems with time-dependent credentials
US9047456B2 (en) * 2012-03-20 2015-06-02 Canon Information And Imaging Solutions, Inc. System and method for controlling access to a resource
GB2512062A (en) * 2013-03-18 2014-09-24 Ibm A method for secure user authentication in a dynamic network
US9450944B1 (en) 2015-10-14 2016-09-20 FullArmor Corporation System and method for pass-through authentication
US9509684B1 (en) * 2015-10-14 2016-11-29 FullArmor Corporation System and method for resource access with identity impersonation
US9762563B2 (en) 2015-10-14 2017-09-12 FullArmor Corporation Resource access system and method
CN108737093B (zh) * 2017-04-13 2022-07-12 山东量子科学技术研究院有限公司 一种加密的方法、装置及系统

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5586260A (en) * 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
US5590199A (en) * 1993-10-12 1996-12-31 The Mitre Corporation Electronic information network user authentication and authorization system
US5764890A (en) * 1994-12-13 1998-06-09 Microsoft Corporation Method and system for adding a secure network server to an existing computer network
US5864665A (en) * 1996-08-20 1999-01-26 International Business Machines Corporation Auditing login activity in a distributed computing environment
US5684950A (en) * 1996-09-23 1997-11-04 Lockheed Martin Corporation Method and system for authenticating users to multiple computer servers via a single sign-on
US5875296A (en) * 1997-01-28 1999-02-23 International Business Machines Corporation Distributed file system web server user authentication with cookies
US5923756A (en) * 1997-02-12 1999-07-13 Gte Laboratories Incorporated Method for providing secure remote command execution over an insecure computer network
US6453419B1 (en) * 1998-03-18 2002-09-17 Secure Computing Corporation System and method for implementing a security policy
US6199113B1 (en) * 1998-04-15 2001-03-06 Sun Microsystems, Inc. Apparatus and method for providing trusted network security
US6405312B1 (en) * 1998-09-04 2002-06-11 Unisys Corporation Kerberos command structure and method for enabling specialized Kerbero service requests
US6298383B1 (en) * 1999-01-04 2001-10-02 Cisco Technology, Inc. Integration of authentication authorization and accounting service and proxy service
US6601171B1 (en) * 1999-02-18 2003-07-29 Novell, Inc. Deputization in a distributed computing system
US6643774B1 (en) * 1999-04-08 2003-11-04 International Business Machines Corporation Authentication method to enable servers using public key authentication to obtain user-delegated tickets
IL145654A0 (en) * 1999-05-04 2002-06-30 Du Pont Polyfluorinated epoxides and associated polymers and processes
US6769068B1 (en) * 1999-09-02 2004-07-27 International Business Machines Corporation Dynamic credential refresh in a distributed system
US6401211B1 (en) * 1999-10-19 2002-06-04 Microsoft Corporation System and method of user logon in combination with user authentication for network access
US6678733B1 (en) * 1999-10-26 2004-01-13 At Home Corporation Method and system for authorizing and authenticating users
US7113994B1 (en) * 2000-01-24 2006-09-26 Microsoft Corporation System and method of proxy authentication in a secured network
EP1168763B1 (en) 2000-06-30 2006-11-15 Microsoft Corporation Systems and methods for delegated digest access authorization
US20020150253A1 (en) 2001-04-12 2002-10-17 Brezak John E. Methods and arrangements for protecting information in forwarded authentication messages
US7698381B2 (en) 2001-06-20 2010-04-13 Microsoft Corporation Methods and systems for controlling the scope of delegation of authentication credentials
US7246230B2 (en) * 2002-01-29 2007-07-17 Bea Systems, Inc. Single sign-on over the internet using public-key cryptography
US20030188193A1 (en) * 2002-03-28 2003-10-02 International Business Machines Corporation Single sign on for kerberos authentication
US7401235B2 (en) * 2002-05-10 2008-07-15 Microsoft Corporation Persistent authorization context based on external authentication

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006209224A (ja) * 2005-01-25 2006-08-10 Nippon Telegr & Teleph Corp <Ntt> アクセスコード発行システム、アクセスコード発行方法およびアクセスコード発行プログラム
JP4602099B2 (ja) * 2005-01-25 2010-12-22 日本電信電話株式会社 アクセスコード発行システム、アクセスコード発行方法およびアクセスコード発行プログラム
JP2008108137A (ja) * 2006-10-26 2008-05-08 Ricoh Co Ltd なりすまし防止方法、画像処理装置、なりすまし防止プログラム及び記録媒体
JP2010541059A (ja) * 2007-09-27 2010-12-24 エヌエックスピー ビー ヴィ トラステッドアプリケーションに対するアクセス権を管理する方法、システム、トラステッドサービスマネジャー、サービスプロバイダ及びメモリ素子
US9608989B2 (en) 2007-09-27 2017-03-28 Nxp B.V. Method, system, trusted service manager, service provider and memory element for managing access rights for trusted applications
JP2011180972A (ja) * 2010-03-03 2011-09-15 Konica Minolta Business Technologies Inc 画像処理システム、情報処理装置、プログラムおよびジョブ実行方法
US8630006B2 (en) 2010-03-03 2014-01-14 Konica Minolta Business Technologies, Inc. Image processing system, information processing device, non-transitory computer readable medium, and job execution method

Also Published As

Publication number Publication date
ATE400130T1 (de) 2008-07-15
JP4298969B2 (ja) 2009-07-22
EP1271882A2 (en) 2003-01-02
EP1619856B1 (en) 2008-07-02
EP1271882B1 (en) 2008-03-05
DE60225378T2 (de) 2009-03-26
AU2007200114A1 (en) 2007-02-01
DE60225378D1 (de) 2008-04-17
ATE388564T1 (de) 2008-03-15
DE60227427D1 (de) 2008-08-14
EP1271882A3 (en) 2004-09-29
US20030018913A1 (en) 2003-01-23
EP1619856A1 (en) 2006-01-25
AU785166B2 (en) 2006-10-12
AU4242502A (en) 2003-01-02
AU2007200114B2 (en) 2009-08-27
US7698381B2 (en) 2010-04-13

Similar Documents

Publication Publication Date Title
JP4298969B2 (ja) 認証信用証明書の委任の有効範囲を制御するための方法とシステム
KR100986568B1 (ko) 제1 사용자가 로컬 컴퓨팅 자원과 연관된 고유의 사용자 계정을 가질 필요 없이 제1 사용자에게 로컬 컴퓨팅 자원으로의 제어되는 액세스를 제공하기 위한 방법, 시스템 및 이 방법을 수행하는 컴퓨터 실행가능 명령어를 갖는 컴퓨터 판독가능 매체
Chadwick Federated identity management
EP1498800B1 (en) Security link management in dynamic networks
US7716722B2 (en) System and method of proxy authentication in a secured network
US6401211B1 (en) System and method of user logon in combination with user authentication for network access
KR101534890B1 (ko) 신뢰된 장치별 인증
US8209394B2 (en) Device-specific identity
US7305701B2 (en) Methods and arrangements for controlling access to resources based on authentication method
EP1914658B1 (en) Identity controlled data center
US20190306148A1 (en) Method for oauth service through blockchain network, and terminal and server using the same
US20070143829A1 (en) Authentication of a principal in a federation

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050607

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050607

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050607

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080527

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080826

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080829

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080929

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20081002

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081027

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090302

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090324

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090416

R150 Certificate of patent or registration of utility model

Ref document number: 4298969

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120424

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120424

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130424

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130424

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140424

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees