JP2004005647A - アクセス制御を提供する方法、記録媒体及びアクセスを制御するシステム - Google Patents

アクセス制御を提供する方法、記録媒体及びアクセスを制御するシステム Download PDF

Info

Publication number
JP2004005647A
JP2004005647A JP2003133821A JP2003133821A JP2004005647A JP 2004005647 A JP2004005647 A JP 2004005647A JP 2003133821 A JP2003133821 A JP 2003133821A JP 2003133821 A JP2003133821 A JP 2003133821A JP 2004005647 A JP2004005647 A JP 2004005647A
Authority
JP
Japan
Prior art keywords
unique identifier
sid
identifier
puid
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003133821A
Other languages
English (en)
Other versions
JP2004005647A5 (ja
JP4756817B2 (ja
Inventor
David R Mowers
デビッド アール.モウアー
Daniel Doubrovkine
ダニエル ダブロフキン
Roy Leban
ロイ レバン
Donald E Schmidt
ドナルド イー.シュミット
Ram Viswanathan
ラム ビスワナザン
John E Brezak
ジョン イー.ブレザック
Richard B Ward
リチャード ビー.ウォード
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2004005647A publication Critical patent/JP2004005647A/ja
Publication of JP2004005647A5 publication Critical patent/JP2004005647A5/ja
Application granted granted Critical
Publication of JP4756817B2 publication Critical patent/JP4756817B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)
  • Medicines Containing Antibodies Or Antigens For Use As Internal Diagnostic Agents (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Peptides Or Proteins (AREA)
  • Studio Devices (AREA)
  • Hardware Redundancy (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Exhaust Gas Treatment By Means Of Catalyst (AREA)
  • Electric Double-Layer Capacitors Or The Like (AREA)

Abstract

【課題】信頼される外部リソースによって認証されたユーザが、固有でローカルなユーザアカウントも有することを要せずに選択されたオブジェクトに制御されたレベルのアクセスを得ることを可能にし、認証のクレデンシャルの制約された委任を提供する。
【解決手段】動作555でU2がサーバY504にログオンしPUID524を受け取る。動作556でU2がサーバX502に接続しPUID524を含む情報を提供する。動作557でサーバX502がPUIDを認識し対応するSID532を構築し、U2に関連するトークン530の中に入れる。動作558でサーバX502がトークン530とACL518とのSIDを比較し、U2がオブジェクト516にアクセスするアクセス許可を有するか判定する。SIDが一致すると、動作559で認証コンテキスト526が作成されU2がオブジェクト516にアクセス可能になる。
【選択図】    図5

Description

【0001】
【発明の属する技術分野】
本発明は、一般にコンピュータアクセス制御に関連した、アクセス制御を提供する方法、記録媒体及びアクセスを制御するシステムに関する。
【0002】
より詳細には、ユーザの外部認証に基づいてユーザに関するローカルシステムの許可(authorization)コンテキストを提供するため、さらには、認証のクレデンシャル(credential;信任状)の委任(delegation)の範囲を制御するための、アクセス制御を提供する方法、アクセス制御許可を確立する方法、記録媒体、ペアワイズ固有識別子(PUID)を対応するセキュリティ識別子(SID)に変換する方法、アクセスを制御するシステム及びアクセス制御許可を設定するシステムに関する。
【0003】
【従来の技術】
アクセス制御は、コンピュータセキュリティに最も重要である。コンピュータシステムの完全性、および重要なデータの機密性を保護するため、許可のないユーザおよび悪意のある攻撃者がコンピュータリソースへのアクセスを得ることを防止する様々なアクセス制御スキームが実施されてきた。
【0004】
コンピュータセキュリティの包括性を確実にするため、アクセス制御は、しばしば、様々なレベルで実施される。例えば、1つのコンピュータのレベルで、ユーザは、通常、コンピュータが、ユーザがそのコンピュータを使用するのを許可されているかどうかを判定するログオン手続きを経ることを要求される。さらに、コンピュータネットワークのレベルで、ユーザは、様々なネットワークサービスに対するユーザのアクセスを制御する目的で、ユーザ認証プロセスを経ることを一般に要求される。ネットワークアクセス制御サーバがユーザを認証した後でさえ、ユーザは、サービスにアクセスするために特定のサーバに関する許可を要求しなければならない可能性がある。ケルベロス(Kerberos)5プロトコルなどの様々なプロトコルに基づく様々なスキームが、ユーザ認証を使用してネットワークアクセス制御を管理するために提案され、実施されてきた。
【0005】
一般に、コンピュータに関するユーザログオンとネットワークアクセス制御に関するユーザ認証は、2つの別個の手続きである。ただし、様々なアクセス制御スキームを扱う際のユーザにかかる負担を最小限に抑えるため、ユーザログオンとネットワークアクセスに関するユーザ認証は、ときとして、一緒に行われる。例えば、ユーザ認証がケルベロスプロトコルの下で実施されるケースでは、ユーザがコンピュータにログオンしたとき、コンピュータが、ケルベロス認証プロセスも開始することが可能である。ケルベロス認証プロセスでは、コンピュータが、KDC(Kerberos Key Distribution Center)にコンタクトして、ユーザのためにTGT(ticket−granting ticket)を最初に獲得する。次に、コンピュータは、TGTを使用してKDCから、そのコンピュータ自らのためのセッションチケットを獲得することができる。
【0006】
ネットワークが進化するにつれ、複数の層のサーバ/サービスコンピュータを配置してクライアントコンピュータの要求を扱うようにする傾向がある。簡単な例は、インターネットを介してWorld Wide WebのWebサイトに要求を行うクライアントコンピュータである。この場合、要求のフォーマッティングおよび関連するビジネス規則を扱うフロントエンドWebサーバと、Webサイトに関するデータベースを管理するバックエンドサーバが存在する可能性がある。さらなるセキュリティのため、Webサイトは、認証プロトコルが、例えば、ユーザのTGT、および/または、場合により、フロントエンドサーバからの他の情報などのクレデンシャルをバックエンドサーバに転送する(または委任する)ように構成されることが可能である。この慣行は、多くのWebサイト、および/または他の多層構成ネットワークにおいてますます一般的になっている。
【0007】
したがって、ユーザのTGTおよび関連する認証符号を所有するあらゆるサーバ/コンピュータが、ユーザ/クライアントに代行してKDCにチケットを要求することができる。この能力は、現在、先進のチケット委任を提供するのに使用されている。残念ながら、サーバへのそのような委任は、基本的にTGTの存命期間にわたって制約を受けない。したがって、複雑なネットワーク構成において認証のクレデンシャルの委任をサポートするが、より制約された形でサポートする改良された方法およびシステムの必要性が存在する。
【0008】
委任、およびその他の同様の技術は、サーバ/サービスのすべてとクライアントが、同一の認証プロセスを使用することに合意したとき、有用である。ただし、今日、ただ1つの認証プロセスだけが使用されているわけではない。米国特許出願第09/886,146号は、委任を制御することに関する改良を提示している。
【0009】
ユーザが、ネットワーク/システムに対して認証された場合、通常、ユーザがアクセスすることがそのユーザに許可されていないリソースにアクセスするのを防止する、1つまたは複数のさらなる許可アクセス制御チェックが存在する。ユーザは、認証され、該当するアクセス制御チェックにパスすると、「許可された」ものとされる。あるシステムでは、例えば、アクセス制御は、様々なサービスおよびリソース(例えば、オブジェクト)に関するアクセス制御リスト(ACL)を有することに基づく。ACLは、通常、ゼロまたは1つ以上のセキュリティ識別子(SID)が含まれるアクセス制御エントリ(ACE)を含む。SIDは、オブジェクトにアクセスすることが許可された1名のユーザ、またはグループのユーザに関連している。ACLの中にSIDが存在しない場合は、そのオブジェクトにアクセスするユーザは存在しない。ACLの中にSIDが存在する場合は、少なくとも1つの合致するSIDを提示することができるユーザが、オブジェクトにアクセスすることが許される。
【0010】
したがって、認証されたユーザがログオンしたとき、例えば、そのユーザに関連するトークン(例えば、アクセストークン)を生成することにより、そのユーザのための認証コンテキストが生成される。トークンは、通常、ユーザに関連するSIDを含む。例えば、ユーザのトークンは、そのユーザに割り当てられた固有SIDに加え、そのユーザのビジネス部門に割り当てられたグループSIDを含むことが可能である。ユーザが、あるオブジェクトにアクセスしようと試みるとき、そのオブジェクトのACLが、そのユーザのトークンと比較される。ユーザのトークンが、オブジェクトのACL内のSIDに合致する少なくとも1つのSIDを含む場合、その認証されたユーザは、何らかの形でそのオブジェクトにアクセスすることが許可される。例えば、ユーザは、ユーザ自身のビジネス部門の他のメンバ(すなわち、別のグループメンバ)によって生成されたファイルに関して読取り許可および書込み許可を有することが可能である。
【0011】
そのような認証スキームは、注意深く制御され、管理されているシステムに関してうまく機能する傾向がある。例えば、企業内の企業レベルのコンピュータネットワークは、通常、ユーザおよびACLが、集中型の認証−アクセス制御システムおよび/または分散型の認証−アクセス制御システムによって注意深く制御されることが可能な統一性のある(cohesive)環境を提供する。他方、非常に大型のネットワーク、例えば、インターネットの場合、および/またはそれ以外の形で相当に統一性の低いネットワークの場合、認証、およびアクセス制御は、特に、ローカルアクセス制御アカウントを有さないユーザも含め、ユーザのできる限り多くにサービスを提供することが所望されるとき、はるかに困難である可能性がある。ソフトウェアプログラムおよびリソースが、ネットワークベースのサービスの方に移行するにつれ、そのようなネットワークサービスに関連するユーザ活動を許可することができる必要性は、さらに高まる。
【0012】
したがって、改良された認証の方法およびシステムに対する必要性が存在する。好ましくは、この方法およびシステムは、信頼される外部リソースによって認証されたユーザが、オブジェクトに関連する固有ユーザアカウントも有することを要さずに、あるオブジェクトに対して何らかの制御されたレベルのアクセスを得ることを可能にしたい。さらに、この方法およびシステムは、非常に多数のユーザにオブジェクトに対するアクセスを提供することができる構成の拡張容易性を大きく低下してはならない。
【0013】
尚、出願人が知っている先行技術として、記載すべき先行技術文献情報は特に見あたらない。
【0014】
【発明が解決しようとする課題】
従来のシステムには上述したような種々の問題があり、さらなる改善が望まれている。
【0015】
本発明は、このような状況に鑑みてなされたもので、その目的とするところは、信頼される外部リソースによって認証されたユーザが、固有でローカルなユーザアカウントも有することを要せずに選択されたオブジェクトに制御されたレベルのアクセスを得ることを可能にし、認証のクレデンシャルの制約された委任を提供する、アクセス制御を提供する方法、記録媒体及びアクセスを制御するシステムを提供することにある。
【0016】
【課題を解決するための手段】
本明細書では、信頼される外部リソースによって認証されたユーザが、固有でローカルなユーザアカウントも有することを要せずに選択されたオブジェクトに制御されたレベルのアクセスを得ることを可能にする改良された方法およびシステムが提供される。この方法およびシステムは、非常に多数のユーザに様々なリソースへのアクセスを提供するように構成されたコンピュータシステム構成および/またはネットワーク構成の拡張容易性を大きく低下させることなしに実施することが可能である。
【0017】
前述した必要性およびその他の必要性は、例えば、少なくとも1つのコンピューティングリソースに対するアクセス制御を提供するための方法によって満たすことが可能である。本発明は、コンピュータリソースへのアクセスを求めるユーザに関連する固有識別子を受け取るステップを含む。好ましくは、固有識別子は、信頼に値すると考えられ、かつ/または何らかの形でユーザにサービスを提供し、しばしば、認証も行う別のコンピューティングリソースによって生成されている。この方法は、受け取られた固有識別子を、コンピューティングリソースを保護しているアクセス制御機構とともに使用するのに適したセキュリティ識別子(SID)に変換するステップを含む。この方法は、SIDが、アクセス制御機構により前に記憶され、コンピューティングリソースに関連している少なくとも1つの他のSIDに一致するかどうかを判定するステップをさらに含む。ある例としての実施形態では、固有識別子は、例えば、マイクロソフトコーポレーションによって提供されるPassport(商標)サービスによって使用されるようなペアワイズ固有識別子(PUID;pair wise unique identifier)を含み、またアクセス制御機構は、アクセス制御リスト(ACL)を使用して、コンピューティングリソースにアクセスすることを許されたユーザまたはユーザのグループを確立する。
【0018】
本発明のいくつかの他の実施形態によれば、少なくとも1つのコンピューティングリソースに対するアクセス制御許可を確立するための方法が提供される。この場合、その方法は、コンピューティングリソースに対して少なくとも限られたアクセスが許可される少なくとも1名のユーザの少なくとも1つの電子メール(e−mail)アドレスを受け取るステップを含む。例えば、アクセス制御機構によって許可されたユーザが、別のユーザの電子メールアドレスを入力することが可能であり、またアクセスされるコンピュータリソースを指定し、および/またはそのコンピュータリソースにアクセスする際にこの別のユーザが有する特権を指定することが可能である。この方法は、電子メールアドレスに基づいてユーザに関連する固有識別子を戻すことができる、信頼に値するサービスに電子メールアドレスを提供するステップをさらに含む。この方法は、固有識別子を受け取り、次に、その固有識別子に基づいて少なくとも1つのアクセス制御許可を設定するステップを含む。このステップは、例えば、固有識別子をSIDに変換するステップ、およびSIDをコンピューティングリソースに関する少なくとも1つのアクセス制御リストACLに関連付けるステップを含むことが可能である。
【0019】
本発明のさらに別の態様によれば、PUIDを対応するSIDに変換するための方法が提供される。この方法は、PUIDを受け取るステップ、PUIDを少なくとも1つの下位権限識別子部分(sub authority identifier portion)と少なくとも1つのメンバ識別子部分に細分するステップ、および下位権限識別子部分およびメンバ識別子部分を配列してSIDを形成するステップを含む。
【0020】
また、本発明のいくつかの実施形態によれば、少なくとも1つのコンピューティングリソースへのアクセスを制御するためのシステムも提供される。このシステムは、コンピューティングリソースへのアクセスの提供を受けるユーザに関連する固有識別子を受け取り、その固有識別子をセキュリティ識別子(SID)に変換し、そのSIDが、メモリの中に記憶され、コンピューティングリソースに関連する少なくとも1つの別のSIDに一致するかどうかを判定するように構成可能な論理およびメモリを含む。
【0021】
コンピューティングリソースに関するアクセス制御許可を設定するため、いくつかの例としてのシステムが提供される。1つのシステムは、第1のデバイスと少なくとも1つの別のデバイスを接続する通信網を含む。第1のデバイスは、コンピューティングリソースに対する少なくとも限られたアクセスが許可される少なくとも1名のユーザの電子メールアドレスを受け付け、ネットワークを介して他方のデバイスにその電子メールアドレスを提供し、他方のデバイスから、ネットワークを介してその電子メールアドレスに関連する対応する固有識別子を受け取り、その固有識別子に基づいてコンピューティングリソースに関連する少なくとも1つのアクセス制御許可を設定するように構成される。他方のデバイスは、ネットワークを介して電子メールアドレスを受け取り、電子メールアドレスを固有識別子に変換し、ネットワークを介して固有識別子を第1のデバイスに出力するように構成される。
【0022】
また本明細書では、認証のクレデンシャルの制約された委任を提供する改良された方法およびシステムを提供する。
【0023】
前述した必要性およびその他の必要性が、例えば、クライアントに代行してアクセスが求められる目標サービスを特定するステップと、サーバ自らによって使用されるための、信頼される第三者からの新しいサービスのクレデンシャルをサーバに要求させるステップとを含む方法によって満たされる。これを実行するため、サーバは、そのサーバを認証するクレデンシャル、目標サービスに関する情報、およびクライアントによって、またはクライアントに代行してサーバによって以前に獲得されたサービスのクレデンシャルを信頼される第三者に提供する。この場合、新しいサービスのクレデンシャルは、サーバの識別においてではなく、クライアントの識別において交付されるが、目標サービスにアクセスを得るためサーバによって使用されることだけが可能である。
【0024】
【発明の実施の形態】
以下、図面を参照して本発明の実施形態を詳細に説明する。本発明の様々な方法およびシステムのより完全な理解は、添付の図面と併せて考慮される以下の詳細な説明を参照することによって得ることができる。
【0025】
概要
ユーザ/リソースを認証する際に、かつ/または、あるリソースにアクセスを得ようと試みているユーザに許可コンテキストを提供する際に実施することが可能ないくつかの例としての方法およびシステムを本明細書で説明する。
【0026】
次のセクションは、例としてのコンピューティング環境を説明する。それに続くセクションは、米国特許出願第09/886,146号の主題である例としてのS4U2proxy技術およびS4U2self技術を簡単に説明する。
【0027】
その後、本発明のいくつかの態様による新しい許可スキームを提供する技術を説明し、添付の図面で示す。例えば、信頼される外部サービスによって認証されたクライアントサービス(例えば、ユーザ)が、ローカルアクセス制御能力も有することを要さずに、選択されたローカルサーバリソースに対して制御されたレベルのアクセスを得ることを可能にする改良された方法およびシステムが提供される。明らかとなるとおり、本明細書で説明する許可スキームを様々な仕方で使用して、コンピューティングリソースのセキュリティ、およびコンピューティングリソースによって提供されるサービスにユーザがアクセスを得る能力を向上させることが可能である。
【0028】
例としてのコンピューティング環境
同様の符号が同様の要素を指している図面を参照すると、本発明は、適切なコンピューティング環境において実施されているものとして示されている。必須ではないが、本発明は、パーソナルコンピュータによって実行される、プログラムモジュールなどの、コンピュータ実行可能命令の一般的な状況で説明する。一般に、プログラムモジュールには、特定のタスクを行う、または特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、構成要素、およびデータ構造等が含まれる。さらに、本発明は、ハンドヘルドデバイス、マルチプロセッサシステム、マイクロプロセッサベースの家庭用電化製品またはプログラマブル家庭用電化製品、ネットワークPC(personal computer)、ミニコンピュータ、メインフレームコンピュータ等を含め、他のコンピュータシステムの構成で実施できることが、当業者には理解されよう。また、本発明は、通信網を介してリンクされたリモートの処理デバイスによってタスクが行われる分散コンピューティング環境において実施してもよい。分散コンピューティング環境では、プログラムモジュールは、ローカルのメモリ記憶デバイスとリモートのメモリ記憶デバイスの両方の中に配置されることが可能である。
【0029】
図1は、以下に説明する方法およびシステムを実施することが可能な適切なコンピューティング環境120の例を示している。
【0030】
例としてのコンピューティング環境120は、適切なコンピューティング環境の一例に過ぎず、本明細書で説明する改良された方法およびシステムの用法または機能の範囲に関して何らかの限定を示唆するものではない。また、コンピューティング環境120が、コンピューティング環境120に図示した構成要素のいずれか1つ、または組合せに関連する依存性または要件を有するものと解釈されるべきでもない。
【0031】
本明細書の改良された方法およびシステムは、多数の他の汎用または特殊目的のコンピューティングシステム環境またはコンピューティングシステム構成で動作する。適切である周知のコンピューティングシステム、コンピューティングシステム環境、および/またはコンピューティングシステム構成の例には、パーソナルコンピュータ、サーバコンピュータ、シンクライアント(thin client)、シッククライアント(thick client)、ハンドヘルドデバイスまたはラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサベースのシステム、セットトップボックス、プログラマブル家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、以上のシステムまたはデバイスのいずれかを含む分散コンピューティング環境等が含まれるが、以上には限定されない。
【0032】
図1に示すとおり、コンピューティング環境120は、コンピュータ130の形態で汎用コンピューティングデバイスを含む。コンピュータ130の構成要素には、1つまたは複数のプロセッサまたは処理ユニット132、システムメモリ134、およびシステムメモリ134からプロセッサ132までを含む様々なシステム構成要素を結合するバス136が含まれることが可能である。
【0033】
バス136は、様々なバスアーキテクチャの任意のものを使用する、メモリバスまたはメモリコントローラ、周辺バス、アクセラレーテッドグラフィックスポート(accelerated graphics port)、およびプロセッサバスまたはローカルバスを含むいくつかのタイプのバス構造の任意のものの1つまたは複数を表す。例として、限定としてではなく、そのようなアーキテクチャには、ISA(Industry Standard Architecture)バス、MCA(Micro Channel Architecture)バス、EISA(Enhanced ISA)バス、VESA(VideoElectronics Standards Association)ローカルバス、およびメザニン(Mezzanine)バスとしても知られるPCI(Peripheral Component Interconnects)バスが含まれる。
【0034】
コンピュータ130は、通常、様々なコンピュータ可読媒体を含む。そのような媒体は、コンピュータ130がアクセス可能な任意の利用可能な媒体であることが可能であり、揮発性の媒体と不揮発性の媒体、リムーバルな媒体とノンリムーバルな媒体がともに含まれる。
【0035】
図1では、システムメモリ134が、ランダムアクセスメモリ(RAM)140のような揮発性メモリ、および/または読取り専用メモリ(ROM)138のような不揮発性メモリの形態でコンピュータ可読媒体を含む。スタートアップ中などに、コンピュータ130内部の要素間で情報を転送するのを助ける基本ルーチンを含むBIOS(Basic Input/Output System)142が、ROM138の中に記憶されている。RAM140は、通常、プロセッサ132によって即時にアクセス可能であり、かつ/または現在、演算が行われているデータおよび/またはプログラムモジュールを含む。
【0036】
コンピュータ130は、他のリムーバルな/ノンリムーバルな、揮発性/不揮発性のコンピュータ記憶媒体をさらに含む。例えば、図1は、ノンリムーバルな不揮発性の磁気媒体(図示せず、通常、「ハードドライブ」と呼ばれる)に対して読取りおよび書込みを行うためのハードディスクドライブ144、リムーバルな不揮発性の磁気ディスク148(例えば、「フロッピー(登録商標)ディスク」)に対して読取りおよび書込みを行うための磁気ディスクドライブ146、およびCD(compact disc [disk])−ROM/R(recordable)/RW(ReWritable)、DVD(digital versatile disk)−ROM/R/RW/+R/RAM、またはその他の光媒体などのリムーバルな不揮発性の光ディスク152に対して読取りおよび書込みを行うための光ディスクドライブ150を示している。ハードディスクドライブ144、磁気ディスクドライブ146、および光ディスクドライブ150はそれぞれ、1つまたは複数のインタフェース154でバス136に接続される。
【0037】
以上のドライブおよび関連するコンピュータ可読媒体により、コンピュータ可読命令、データ構造、プログラムモジュール、およびその他のデータの不揮発性ストーレッジがコンピュータ130に提供される。本明細書で説明する例としての環境は、ハードディスク、リムーバルな磁気ディスク148、およびリムーバルな光ディスク152を使用するが、磁気カセット、フラッシュメモリカード、デジタルビデオディスク、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)などの、コンピュータがアクセス可能なデータを記憶することができる他のタイプのコンピュータ可読媒体も、例としての動作環境において使用できることが、当業者には理解されよう。
【0038】
例えば、オペレーティングシステム158a、158b、1つまたは複数のアプリケーションプログラム160a、160b、その他のプログラムモジュール162a、162b、およびプログラムデータ164a、164bを含め、いくつかのプログラムモジュールが、ハードディスク、磁気ディスク148、光ディスク152、ROM138、またはRAM140に記憶されていることが可能である。
【0039】
本明細書で説明する改良された方法およびシステムは、オペレーティングシステム158a、158b、1つまたは複数のアプリケーションプログラム160a、160b、その他のプログラムモジュール162a、162b、および/またはプログラムデータ164a、164bの内部に実装することが可能である。
【0040】
ユーザは、キーボード166やポインティングデバイス168(「マウス」などの)などの入力デバイスを介してコマンドおよび情報をコンピュータ130に提供することができる。他の入力デバイス(図示せず)には、マイクロホン、ジョイスティック、ゲームパッド、サテライトディッシュ、シリアルポート、スキャナ、カメラ等が含まれることが可能である。以上の入力デバイスおよびその他の入力デバイスは、バス136に結合されたユーザ入力インタフェース170を介してプロセッサ132に接続されるが、パラレルポート、ゲームポート、またはUSB(Universal Serial Bus)などの他のインタフェースおよびバス構造で接続してもよい。
【0041】
モニタ172、またはその他のタイプの表示デバイスも、ビデオアダプタ174などのインタフェースを介してバス136に接続される。モニタ172に加えて、パーソナルコンピュータは、通常、出力周辺インタフェース175を介して接続することが可能なスピーカやプリンタなどの他の周辺出力デバイス(図示せず)も含む。
【0042】
コンピュータ130は、リモートコンピュータ182のような1つまたは複数のリモートコンピュータに対する論理接続を使用するネットワーク化された環境において動作することが可能である。リモートコンピュータ182は、コンピュータ130に関連して本明細書で説明した要素および特徴の多く、またはすべてを含むことが可能である。
【0043】
図1に示した論理接続は、ローカルエリアネットワーク(LAN)177、および一般的なワイドエリアネットワーク(WAN)179である。そのようなネットワーキング環境は、オフィス、企業全体のコンピュータ網、イントラネット、およびインターネットで一般的である。
【0044】
LANネットワーキング環境で使用されるとき、コンピュータ130は、ネットワークインタフェースまたはネットワークアダプタ186を介してLAN177に接続される。WANネットワーキング環境で使用されるとき、コンピュータは、通常、WAN179を介して通信を確立するためのモデム178、またはその他の手段を含む。内部にあることも外部にあることも可能なモデム178は、ユーザ入力インタフェース170または他の適切な機構を介してシステムバス136に接続されることが可能である。
【0045】
図1には、インターネットを介するWANの特定の実施形態を描いている。この場合、コンピュータ130は、モデム178を使用して、インターネット180を介して少なくとも1つのリモートコンピュータ182との通信を確立する。
【0046】
ネットワーク化された環境では、コンピュータ130に関連して描いたプログラムモジュール、またはプログラムモジュールの部分が、リモートのメモリ記憶デバイスの中に記憶されることが可能である。したがって、例えば、図1に描いたとおり、リモートのアプリケーションプログラム189が、リモートコンピュータ182のメモリデバイス上に常駐することが可能である。図示して説明したネットワーク接続は、例としてのものであり、コンピュータ間で通信リンクを確立する他の手段も使用できることが十分理解されよう。
【0047】
例としてのS4U2Proxy委任技術およびS4U2Self委任技術の概要
次に、以下の説明は、クライアント−サーバネットワーク環境において認証のクレデンシャルの委任の範囲を制御するためのある技術に簡単に焦点を当てる。この例では、ケルベロスベースのシステムを説明する。S4U2Proxy技術およびS4U2Self技術、および以下に説明する許可技術は、同一のシステムにおいて実施することも、しないことも可能であり、他の証明書ベースの認証システムにおいて実施することも可能である。
【0048】
以下の説明は、クライアント−サーバネットワーク環境における認証のクレデンシャルの委任の範囲を制御するための本発明のいくつかの態様を中心に扱う。以下の説明は、例としてのケルベロスベースのシステムおよびその改良形態を中心に扱うが、本発明の様々な方法およびシステムは、その他の認証システムおよび認証技術にも明らかに適用可能である。例えば、証明書ベースの認証システムおよび認証技術が、本発明のいくつかの態様を適合させることができる。
【0049】
前述したとおり、クライアントのTGT、および関連する認証符号(authenticator)を所有することにより、保持者は、信頼される第三者、例えば、KDCからクライアントに代行してチケットを要求することが可能になる。そのような制約なしの委任が、現在、先進のチケット委任スキームを有するケルベロスのある実施形態においてサポートされている。
【0050】
このことを念頭に、米国特許出願第09/886,146号は、委任プロセスを制約する、または別の形でよりよく制御する方法およびシステムを説明している。委任プロセスは、例えば、フロントエンドサーバ/サービスなどのサーバまたはサービスが、他のサーバ/サービスで使用するためにクライアントに代行してサービスチケットを要求すること可能にするS4U2proxy(service−for−user−to−proxy)技術を介して制御することが可能である。S4U2proxyプロトコルは、有利には、クライアントがTGTをフロントエンドサーバに転送することを要しない制御可能な仕方で制約された委任を提供する。別の技術は、サーバが、そのサーバ自らに対するサービスチケットを要求するが、クライアントの識別が結果のサービスチケットにおいて提供されることを可能にするS4U2self((service−for−user−to−self))プロトコルである。この技術により、例えば、他の認証プロトコルによって認証されたクライアントが、S4U2proxyプロトコルとともに使用して制約された委任を提供することができるサービスチケットを受け取ることが可能になる。S4U2self技術には2つの例としての形態、すなわち、「無証拠(no evidence)」形態、および「証拠」形態が存在する。無証拠形態では、サーバは、例えば、そのサーバに専用の別のセキュリティ/認証機構を使用してクライアントを認証するものと信頼されている。証拠形態では、KDC(または信頼される第三者)が、クライアントがサーバに対して認証されたときに獲得されたクライアントに関して提供される情報(証拠)に基づいて認証を行う。
【0051】
したがって、クライアントは、ケルベロスによって認証されたか、または何らかの他の認証プロトコルによって認証されたかに関わらず、ケルベロス環境内でサーバ/サービスにアクセスすることができる。したがって、バックエンドおよび/またはその他のサーバ/サービスは、基本的にケルベロスだけの環境において動作させることが可能である。
【0052】
次に、クライアント−サーバ環境200内のS4U2proxyプロトコル/プロセスを描いた図2のブロック図を参照する。図示するとおり、クライアント202は、認証サービス206、例えば、KDC、証明書交付機関、ドメインコントローラ、および/または以上に類するものを有する信頼される第三者204に動作上、結合される。認証サービス206は、データベース208の中に保持される情報にアクセスするように構成される。クライアント202、および信頼される第三者204は、動作上、サーバ、すなわち、サーバA210にさらに結合される。本明細書で使用するサーバおよびサービスという用語は、区別なく使用されて同一または同様の機能を表すことに留意されたい。
【0053】
この例では、サーバA210は、複数の他のサーバに対するフロントエンドサーバである。したがって、描いているように、サーバA210は、動作上、サーバB212およびサーバC214に結合される。図示するとおり、サーバB212は、複製されたサービスであることが可能である。また、サーバC214は、動作上、サーバD216にさらに結合される。
【0054】
クライアント202でログオンするユーザに応答して、認証要求(AS_REQ)メッセージ220が、認証サービス206に送信され、認証サービス206は、認証応答(AS_REP)メッセージ222で応答する。AS_REPメッセージ222内部には、ユーザ/クライアントに関連するTGTがある。サーバA210を認証するのに同一または同様の手続き(図示せず)が行われる。
【0055】
クライアント202は、サーバA210にアクセスすることを望むとき、チケット交付サービス要求(TGS_REQ)メッセージ224を認証サービス206に送信し、認証サービス206は、チケット交付サービス応答(TGS_REP)メッセージ226を戻す。TGS_REPメッセージ226は、クライアント202およびサーバA210に関連するサービスチケットを含む。続いて、通信セッションを開始するため、クライアント202が、アプリケーションプロトコル要求(AP_REQ)メッセージ228の中でサービスチケットをサーバA210に転送する。そのようなプロセス/手続きは周知であり、このため、本明細書でより詳細に開示することはしない。
【0056】
あるシステムでは、委任をサポートするため、クライアントは、クライアントのTGTをサーバA210に提供して、サーバA210が、クライアント202に代行してさらなるサービスチケットを要求することを可能にする必要がある。これは、S4U2proxyプロトコルでは必要ない。代わりに、サーバA210が、クライアント202に代行して別のサーバ、例えば、サーバC214にアクセスする必要があるとき、サーバA210および認証サービス206が、S4U2proxyプロトコルに従って動作する。
【0057】
サーバA210は、TGS_REQメッセージ230を認証サービス206に送信する。TGS_REQメッセージ230は、サーバA210のためのTGT、およびクライアント202から受け取れたサービスチケットを含み、クライアント202がアクセスを求めている所望のサーバ/サービスまたは目標のサーバ/サービス、例えば、サーバC214を特定する。例えば、ケルベロスでは、通常、「追加チケット」フィールドと呼ばれる定義された拡張可能なデータフィールドが存在する。この追加のチケットフィールドをS4U2proxyプロトコルにおいて使用して、クライアント202から受け取れたサービスチケットを搬送することが可能であり、またKDCオプションフィールドが、受信側KDCに、クライアントの識別を供給するのに使用されるチケットを追加チケットフィールドの中で探すように指示するフラグまたは他のインジケータを含むことが可能である。以上のフィールドおよびその他のフィールドおよび/またはデータ構造を使用して必要な情報を認証サービス206に搬送できることが、当業者には認識されよう。
【0058】
TGS_REQ230を処理する際、認証サービス206は、例えば、クライアント202によって確立された「転送可能フラグ」の値に基づき、クライアント202が委任を許可したかどうかを判定する。したがって、クライアントごとの委任が、クライアントのサービスチケットの中の転送可能フラグの存在によって実施される。クライアント202が、委任に参加することを望まない場合は、チケットには、転送可能なものとしてフラグが立てられない。認証サービス206は、このフラグをクライアントによって起こされた制限として遵守する。認証サービス206は、クライアント202に関してサーバA210が委任を受ける(または委任を受けない)ことが許可されている選択されたサービスを定義するデータベース208の中のさらなる情報にアクセスすることができる。
【0059】
認証サービス206が、サーバA210が目標のサーバ/サービスに対する委任を受けることが許されていると判定した場合、TGS_REPメッセージ232がサーバA210に送信される。TGS_REPメッセージ232は、目標のサーバ/サービスに関するサービスチケットを含む。このサービスチケットは、あたかも、クライアント202が、例えば、クライアントのTGTを使用してそのチケットを認証サービス206に直接に要求したかのように見える。しかし、直接の要求は行われていない。代わりに、認証されたサーバA210がクライアント202から受け取りTGS_REQメッセージ230に含まれるサービスチケットに基づき、認証されたクライアントが基本的にその要求に関わっていることの確信が得られた後、認証サービス206は、データベース208の中の同様の/必要なクライアント情報にアクセスする。ただし、クライアント情報は、クライアントのチケットの中で搬送されるので、サーバは、そのチケットからデータをコピーするだけでよい。
【0060】
したがって、データベース208を使用することが可能であるが、チケットの中のデータをコピーすることの方が、より効率的である傾向がある。
【0061】
ある実施形態では、TGS_REPメッセージ232が、目標のサーバ/サービス、およびクライアント202を特定し、また、例えば、PAC(privilege attribute certificate)、セキュリティ識別子、Unix(登録商標) ID、Passport ID、証明書等の形態で、実施形態特有の識別/ユーザ/クライアントアカウントのデータをさらに含む。PACは、例えば、認証サービス206によって生成されること、または単に、TGS_REQメッセージ230に含まれていたクライアントのサービスチケットからコピーされることが可能である。Passport IDの用法は、以下に提示する例としての許可コンテキスト生成スキームにおいてさらに説明する。
【0062】
PAC、またはその他のユーザ/クライアントアカウントのデータは、委任の範囲に関連する情報を含むように構成することが可能である。したがって、例えば、図4は、ヘッダ402およびPAC404を有するケルベロスメッセージ400の選択された部分を描いた図である。この場合、PAC404は、委任情報406を含む。図示するとおり、委任情報406は、合成識別情報408、およびアクセス制限情報410を含む。
【0063】
合成識別情報408は、例えば、サーバA210が、ユーザ/クライアント202に代行してサービスチケットを要求したことに関する指示などの、委任プロセスに関する記録された情報を含むことが可能である。この場合、複数の委任プロセスにわたる履歴を、つなぎ合わせる、または別の仕方で特定するのに使用することが可能な、複数のそのような記録された情報が提供されることが可能である。そのような情報は、監査目的および/またはアクセス制御目的で役立つ可能性がある。
【0064】
例えば、アクセス制御機構と併せてアクセス制限情報410を使用して、クライアント202が、直接的に、または間接的にサーバA210を介して、サーバ/サービスにアクセスすることを求めたという条件付きで、そのサーバ/サービスに対するアクセスを選択的に許可するが、サーバ/サービスが、サーバB212を介して間接的に求められた場合には、許可しないことが可能である。この特徴は認証のクレデンシャルの委任に対する追加の制御を追加する。
【0065】
前述した例では、クライアント202が、認証サービス206によって認証される。ただし、他のクライアントは、そのように認証されない可能性があることが認められる。そのような状況の例を図3Aで環境300aにおいて描いている。この場合、クライアント302aが、異なる認証プロトコル機構303を使用して認証されている。例えば、認証プロトコル機構303は、Passport、SSL(Secure Socket Layer)、NTLM、Digest、またはその他の同様な認証プロトコル/手続きを含むことが可能である。この場合、この例では、クライアント302aが、たまたま、サーバC214によって提供されている目標のサービスにアクセスすることを選択するものと想定されている。この選択は、前述したS4U2proxyプロトコルを使用して満たすことができるが、ただし、サーバA210が、S4U2selfプロトコル/手続きを完了/実行して初めて満たすことができる。
【0066】
S4U2selfプロトコルの1つの基本的な前提は、サーバ、例えば、サーバA210が、そのサーバにアクセスしており、そのサーバが認証した任意のユーザ/クライアントのために、そのサーバ自体に対するサービスチケットを要求することができることである。本明細書で説明する例としてのS4U2selfプロトコルは、認証する「証拠」を有するクライアント、およびそのような認証する証拠を有さないクライアントをサポートするように構成される。
【0067】
認証サービス206によって評価されることが可能な認証証拠が存在しない場合、サーバA210が、クライアント302aを「信頼」するようになる必要がある。したがって、例えば、クライアント302aが、サーバA210が確認することができる認証証明書または同様の機構304を有する場合には、クライアント302aは、「信頼される」ものと判定することが可能である。したがって、サーバA210が、基本的に、クライアント302aを認証している。
【0068】
次に、サーバA210が、TGS_REQメッセージ306を認証サービス206に送信して、クライアント302aのためにそのサーバ自らに対するサービスチケットを要求する。これに応答して、認証サービス206は、要求されたサービスチケットを含むTGS_REPメッセージ308を生成する。次に、受け取られたサービスチケットが、後続のS4U2proxyプロトコル/手続きにおいて、クライアント302aのためにサーバC214に対するサービスチケットを要求するのに使用される。例えば、あるケルベロス実施形態では、このことは、TGS_REPメッセージ308の中の転送可能フラグが、サービスチケットの転送を可能にするように設定されることを要する。また、信頼される第三者が、クライアント302aのためにPACを作成することも可能であり、次に、このPACを結果のサービスチケットの中に含めることが可能である。
【0069】
クライアント302bに関して認証の証拠が存在する場合、サーバA210は、そのような証拠を追加の認証前データとしてTGS_REQメッセージ312の中に含めることができる。このことを図3Bで環境300bにおいて描いている。この場合、証拠情報310は、クライアント302bによってサーバA210に提供される。証拠情報310は、例えば、チャレンジ/応答ダイアログ、または別の「信頼される」エンティティによって生成された他の情報を含むことが可能である。証拠情報310の受領、およびその後の確認の後、認証サービス206は、要求されたサービスチケットをサーバA210自体に交付する。ある実施形態では、証拠を使用することで、サーバが、クライアントに関する制限されたTGTを獲得することが可能になることに留意されたい。
【0070】
あるケルベロスの実施形態では、TGS_REPメッセージ314の中の転送可能フラグが、サービスチケットの転送を可能にするように設定される。PACがTGS_REQメッセージ312の中で提供されている場合、PACをサービスチケットの中で使用することができる。そうでない場合、PACが、証拠情報310に基づいて認証サービス206(この場合、KDC)によって生成されることが可能である。例えば、S4U2selfでは、クライアントの識別は、認証前データの中に含まれる。この識別をそのクライアントに関するPACの構成の際に使用し、(クライアントのために)サーバに発行されるサービスチケットに追加することができる。
【0071】
例としての許可コンテキスト生成技術
以下の説明は、本発明のある実施形態による例としての方法およびシステムを中心に扱う。この方法およびシステムは、S4U2proxyプロトコルおよび/またはS4U2selfプロトコルを使用してもしなくても実施することができる。この方法およびシステムは、ケルベロスを使用してもしなくても実施することができる。この方法およびシステムは、(ワシントン州レッドモンドのマイクロソフトコーポレーションによって提供される)Passportサービスを使用してもしなくても実施することができる。この技術は、様々な他のプロトコルおよび/またはサービスを使用して実施できることが当業者には認識されよう。それでも、以下の例では、必要な場合、許可コンテキスト生成技術をサポートするのに以上のプロトコルおよびサービスが利用可能なものと想定する。
【0072】
次に、あるリソースにアクセスする許可をさもなければ有さないユーザに許可コンテキストを提供することができる、クライアント−サーバネットワーク構成500に関連するある特徴/機能/プロセスを描いた例としてのブロック図である図5を参照する。
【0073】
図示するとおり、サーバX502が、サーバY504、ユーザ(U1)591に関連する第1のクライアント506、およびユーザ(U2)592に関連する第2のクライアント508に動作上、結合されている。この例では、破線のボックス510、512、および514で表すとおり、以上のデバイス間でいくつかの信頼関係が存在する。したがって、例えば、オブジェクト516などのサーバX502によって提供されるリソースにアクセスするため、U1がクライアント506およびサーバX502にログオンしたとき、信頼関係510を形成するようにクライアント506およびサーバX502が構成される。このログオン手続きは、認証およびアクセス制御を含むことが可能である。同様に、クライアント508およびサーバY504は、U2がクライアント508およびサーバY504にログオンしたとき、信頼関係512を形成するように構成される。さらに、この例では、サーバX502およびサーバY504は、信頼される第三者204を介して信頼関係514を形成することができる。ただし、この時点で、クライアント508とサーバX502の間には信頼関係が存在しないことに注目されたい。
【0074】
次に、図5を使用し、その後に図6を使用して、U2がオブジェクト516にアクセスを得ることを可能にするサーバX502に対する許可コンテキストを、クライアント508が有することを可能にする、本発明のいくつかの態様を示すプロセスを説明する。図中符号550〜559矢印は、プロセス動作を例示する。動作の一部は、他の実施形態では異なる順序で行われることが可能である。
【0075】
動作550は、前述したとおり、信頼関係510、512、および514の作成である。そのような信頼関係は、ある操作に関して必要になるのに応じて選択的に作成することができる。
【0076】
この例では、U2がオブジェクト516にアクセスできるようにすることをU1が所望するものと想定する。U1は、信頼関係510を介してオブジェクト516にアクセスすることが許可されているが、U2は、この時点で、オブジェクト516にアクセスすることが許可されていない。その上、サーバX502のアクセス制御システムに別の許可されたユーザのようなU2を追加するのを回避することが、さらに所望されている。この状況は、例えば、U1の雇用者を介して、ホストされまたは別の形で提供されるU1のオンライン計画カレンダに、U2がアクセス可能とすることをU1が所望するとき、生じる可能性がある。この場合、雇用者は、システムに新しい許可されたユーザのアカウントを追加することを望まない。
【0077】
次に、クライアント506を介してU1に提供されるグラフィカルユーザインタフェース(GUI)に関連するある代表的な特徴を示すブロック図600である図6を参照する。この例では、Webページ602またはそれに類するスクリーンが、サーバX502にログオンした後、U1に対して表示される。Webページ602内で、オブジェクト516が、U1に関する情報を表示するカレンダGUI604を提示する。U1は、識別子エントリフィールド608、および(オプションとして)1つまたは複数の選択可能な許可設定610を含むエントリフォーム606を開くことができる。最終的にU2がオブジェクト516に対するアクセスを得ることができるようにするプロセスをU1が開始するのは、このフォーム606においてである。
【0078】
U1は、U2に関する識別子を入力する。この例では、識別子は、U2に関する固有のWorld Wide Web電子メールアドレス、すなわち、user2@hotmail.comを含む。ここで入力される識別子は、マイクロソフトコーポレーションによって提供されるhotmail.comサービスの登録済みユーザに関するものである。hotmail.comの登録済みユーザとして、U2は、マイクロソフトコーポレーションに対して対応するPassportアカウントも有するものと想定される。また、U1は、オブジェクト516(この場合、例えば、オンライン計画カレンダアプリケーション)に対して許可されたアクセスに関して、U2に関する1つまたは複数の許可設定610を定義することもできる。現行では、U1は、U2が読み取り許可を有する許可を設定している。次に、図5を参照すると、このユーザ識別プロセスが、クライアント506とサーバX502の間の動作551によって表されている。
【0079】
サーバX502は、U1がU2に関するhotmail.com識別子を提供したことを認識し、動作552で、この場合、周知のPassportサーバであるものと想定されているサーバY504と通信する。この場合、識別子user2@hotmail.comをサーバY504に提供し、サーバY504が対応する一般的に固有なPassportのユーザ識別(PUID;しばしば、ペアワイズ固有IDとも呼ばれる)を提供することを、サーバX502は要求する。動作553で、サーバY504が、U2に関するPUID524を戻す。信頼関係514がケルベロスベースの関係である場合、例えば、前述したとおり、PACの中でPUIDを戻すことができる。
【0080】
この時点で、サーバX502は、U2に関するPUIDを有する。動作554で、サーバX502が、サーバX502のネイティブな認証システムで使用するのに適した対応するSID522にそのPUIDを変換する。図示するとおり、オブジェクト516は、SID522を含む少なくとも1つのACE520を有している、ACL518に関連している。
【0081】
64ビットのPUIDは、実際には、16ビットのPassportドメイン権限識別子(domain authority identifier)、および48ビットのメンバ識別子から成る。SIDを形成するため、ドメイン権限を別個の値として保持することが望ましい。これを行うため、MemberIDHighを2つの部分に分離し、これらの部分を、例えば、以下に示すとおり、別個の下位権限として形成する。
S−1−10−21−(HIWORD(MemberIDHigh))−(LOWORD(MemberIDHigh))−MemberIDLow−0
この例では、「S−1−10−21」は、ntseapi.hで定義される新しい識別子権限である。この例としての実施形態では、ntseapi.hは、PUID−SIDを構成するのに使用されるこのSID値に関する定義を含むMicrosoft(登録商標)Windows(登録商標)オペレーティングシステムを構築するのに使用されるヘッダファイルである。このヘッダは、通常は、開発者に直接に公開されないことに留意されたい。ただし、ntseapi.hの中の宣言は、winnt.hの中のPlatform SDK(Software Development Kit)において一般に公開されている。
【0082】
したがって、「信頼される」ソースから戻された、PUIDまたは他の同様な識別子から作成される、例としてのSIDは、基本的に、固有の組合せでかつネイティブな許可システムに互換性のある形式で、周知の下位権限およびメンバユーザを識別する。
【0083】
動作555で、U2が、サーバY504にログオンして(認証され)、そうする際にPUID524を受け取る。動作556で、U2が、デフォルトの(例えば、未知の、または匿名の)ユーザアカウントを使用してサーバX502に接続し、要求または他の同様なメッセージの中でPUID524を含む(例えば、PACの中の)情報を提供する。動作557で、サーバX502が、PUIDがこのデフォルトのユーザ(U2)によって提供されたことを認識し、これに応答して、対応するSID532を構築し、次にSID532が、オブジェクト516へのアクセスを求めているデフォルトのユーザ(U2)に関連するトークン530の中に入れられる。ある実施形態では、SIDは、PUIDをLsaLogonUserと呼ばれるAPI(Application Programming Interface)に送ることによって構築される。このAPIが、SIDを戻す。
【0084】
動作558で、サーバX502が、デフォルトのユーザのトークン530の中の1つまたは複数のSIDをACL518の中のSIDと比較することにより、このデフォルトのユーザ(U2)が、オブジェクト516にアクセスする適切なアクセス許可を有するかどうかを判定する。この場合、トークン530からのSID532は、ACE520の中のSID522に一致する。したがって、動作559で、U2に関する認証コンテキスト526が作成され、これにより、U2が、該当する許可設定に従ってオブジェクト516にアクセスすることが可能になる。したがって、例えば、U2は、U1の計画カレンダを閲覧し(読み取り)、U1とU2が、来週、一緒に昼食をとることができる可能性があるかどうかを判定することができる。U2は、サーバX502にログオンしなかった。実際、U2は、サーバX502にログオンすることができない。とうのは、U2は、U1のようにアカウントを有していないからである。この場合のU2の認証は、基本的に、信頼関係510、512、および514、ならびにクライアント508およびサーバY504を使用するU2の初期の認証に基づく。サーバX502に対するU2のアクセス制御は、基本的に、U1の信頼される許可(動作550におけるクライアント506およびサーバX502を介する)、および動作553においてPUIDを提供する際のサーバY504との信頼関係に基づいて許可される。
【0085】
PUIDを使用する利点の1つは、もたらされるSIDが、PassportによるPUIDの制御された割当てに基づいて、大域的に固有であり永続的であることである。
【0086】
概要
本発明の様々な方法およびシステムの一部の好適実施形態を添付の図面に示し、以上の詳細な説明で説明してきたが、本発明は、開示した例としての実施形態に限定されず、特許請求の範囲によって提示され、定義される本発明の趣旨を逸脱することなく、多数の再構成、変更、および置換が可能であることが理解されよう。
【0087】
【発明の効果】
以上説明したように本発明によれば、信頼される外部リソースによって認証されたユーザが、固有でローカルなユーザアカウントも有することを要せずに選択されたオブジェクトに制御されたレベルのアクセスを得ることを可能にし、認証のクレデンシャルの制約された委任を提供することができる。
【図面の簡単な説明】
【図1】本発明の実施形態の例としてのコンピュータシステムを一般的に示すブロック図である。
【図2】本発明の実施形態のクライアント−サーバ環境内のS4U2proxyプロセスを描いたブロック図である。
【図3A】本発明の実施形態のクライアント−サーバ環境内のS4U2selfプロセスを描いたブロック図である。
【図3B】本発明の実施形態のクライアント−サーバ環境内のS4U2selfプロセスを描いたブロック図である。
【図4】本発明の実施形態のメッセージ形式の選択された部分を描いた図である。
【図5】本発明の実施形態の、信頼されるリソースによって認証されたユーザにローカルアクセス制御を提供するためのシステムおよびプロセスを描いたブロック図である。
【図6】本発明の実施形態の、例えば、図5と同様に、ローカルアクセス制御アカウントを有さないユーザがあるリソースにアクセスするのを適切な許可信頼のレベルで許可するための、システムおよびプロセスの例としての使用を描いたブロック図である。
【符号の説明】
120 コンピューティング環境
130 コンピュータ
132 プロセッサ
134 システムメモリ
136 バス
138 ROM
140 RAM
142 BIOS
144 ハードディスクドライブ
146 磁気ディスクドライブ
148 磁気ディスク
150 光ディスクドライブ
152 光ディスク
154 インタフェース
158a、158b オペレーティングシステム
160a、160b アプリケーションプログラム
162a、162b その他のプログラムモジュール
164a、164b プログラムデータ
166 キーボード
168 ポインティングデバイス
170 ユーザ入力インタフェース
172 モニタ
174 ビデオアダプタ
175 出力周辺インタフェース
177 LAN
178 モデム
179 WAN
180 インターネット
182 リモートコンピュータ
186 ネットワークアダプタ
189 リモートのアプリケーションプログラム
200、300a、300b クライアント−サーバ環境
202、302a クライアント
204 信頼される第三者
206 認証サービス
208 データベース
210、212、214、216 サーバ
220、222、224、226、228、230、232 メッセージ
303 認証機構
306、308、310、312、314 メッセージ
400 ケルベロスメッセージ
402 ヘッダ
404 PAC
500 ネットワーク構成
502、504 サーバ
506、508 クライアント
510、512、514 信頼関係
516 オブジェクト
518 アクセス制御リスト
520 アクセス制御エントリ
522、532 セキュリティ識別子
524 ペアワイズ固有識別子
526 認証コンテキスト
530 トークン
550〜559 プロセス動作の矢印
591、592 ユーザ

Claims (62)

  1. 少なくとも1つのコンピューティングリソースに関するアクセス制御を提供する方法であって、
    前記少なくとも1つのコンピューティングリソースに対するアクセスが与えられるべきユーザに関連した、前記ユーザを認証した別のコンピューティングリソースに関連する固有識別子を受け取るステップと、
    前記固有識別子をセキュリティ識別子(SID)に変換するステップと、
    前記SIDが、前記少なくとも1つのコンピューティングリソースに関連するアクセス制御機構によって提供される少なくとも1つの他のSIDに一致するかどうかを判定するステップと
    を備えたことを特徴とするアクセス制御を提供する方法。
  2. 前記固有識別子は、ペアワイズ固有識別子(PUID)を含むことを特徴とする請求項1に記載のアクセス制御を提供する方法。
  3. 前記PUIDは、Passportサービスに関連することを特徴とする請求項2に記載のアクセス制御を提供する方法。
  4. 前記固有識別子を前記SIDに変換するステップは、
    前記PUIDを少なくとも1つの下位権限識別子部分と少なくとも1つのメンバ識別子部分とに分離するステップ
    をさらに含むことを特徴とする請求項3に記載のアクセス制御を提供する方法。
  5. 前記固有識別子を前記SIDに変換するステップは、
    前記PUIDをAPIに提供するステップと、
    引換えに前記SIDを前記APIから受け取るステップと
    をさらに含むことを特徴とする請求項3に記載のアクセス制御を提供する方法。
  6. 前記固有識別子を受け取るステップは、
    前記固有識別子をケルベロスベースのメッセージ内部で受け取るステップ
    をさらに含むことを特徴とする請求項1に記載のアクセス制御を提供する方法。
  7. 前記固有識別子は、前記ケルベロスベースのメッセージ内部のPACの中で提供されることを特徴とする請求項6に記載のアクセス制御を提供する方法。
  8. 前記ケルベロスベースのメッセージは、S4U2selfプロセスに関連することを特徴とする請求項6に記載のアクセス制御を提供する方法。
  9. 前記ケルベロスベースのメッセージは、S4U2proxyプロセスに関連することを特徴とする請求項6に記載のアクセス制御を提供する方法。
  10. 前記SIDが、前記アクセス制御機構によって提供される前記少なくとも1つの他のSIDに一致するかどうかを判定するステップは、
    前記SIDを、前記少なくとも1つのコンピューティングリソースに関連するアクセス制御リスト(ACL)の中の前記少なくとも1つの他のSIDと比較するステップ
    をさらに含むことを特徴とする請求項1に記載のアクセス制御を提供する方法。
  11. 前記少なくとも1つのコンピューティングリソースに対するアクセスが与えられるべき前記ユーザに関連した、前記固有識別子を受け取るステップは、
    前記少なくとも1つのコンピューティングリソースに対するアクセスが与えられるべき前記ユーザにデフォルトのアカウントを提供するステップ
    をさらに含むことを特徴とする請求項1に記載のアクセス制御を提供する方法。
  12. 少なくとも1つのコンピューティングリソースに関するアクセス制御許可を確立する方法であって、
    前記少なくとも1つのコンピューティングリソースに対する少なくとも限られたアクセスが許可されるべき少なくとも1つのユーザに関する少なくとも1つの電子メール(e−mail)アドレスを受け取るステップと、
    前記電子メールアドレスを、前記電子メールアドレスに基づいて前記ユーザに関連する固有識別子を出力することができる少なくとも1つの信頼されるサービスに提供するステップと、
    前記信頼されるサービスによって出力された前記固有識別子を受け取るステップと、
    前記固有識別子に基づき、前記少なくとも1つのコンピューティングリソースに関連する少なくとも1つのユーザアクセス制御許可を設定するステップと
    を備えたことを特徴とするアクセス制御許可を確立する方法。
  13. 前記少なくとも1つのユーザアクセス制御許可を設定するステップは、
    前記固有識別子をセキュリティ識別子(SID)に変換するステップと、
    前記SIDを前記少なくとも1つのコンピューティングリソースに関する少なくとも1つのアクセス制御リスト(ACL)に関連付けるステップと
    をさらに含むことを特徴とする請求項12に記載のアクセス制御許可を確立する方法。
  14. 前記固有識別子は、ペアワイズ固有識別子(PUID)を含むことを特徴とする請求項12に記載のアクセス制御許可を確立する方法。
  15. 前記PUIDは、Passportサービスに関連することを特徴とする請求項14に記載のアクセス制御許可を確立する方法。
  16. 前記固有識別子は、PUIDを含み、かつ前記固有識別子を前記SIDに変換するステップは、
    前記PUIDを少なくとも1つの下位権限識別子部分と少なくとも1つのメンバ識別子部分とに分離するステップ
    をさらに含むことを特徴とする請求項13に記載のアクセス制御許可を確立する方法。
  17. 前記固有識別子は、PUIDを含み、前記固有識別子を前記SIDに変換するステップは、
    前記PUIDをAPIに提供するステップと、
    その後、引換えに前記SIDを前記APIから受け取るステップと
    をさらに含むことを特徴とする請求項14に記載のアクセス制御許可を確立する方法。
  18. 前記固有識別子を受け取るステップは、
    ケルベロスベースのメッセージ内部で前記固有識別子を受け取るステップ
    をさらに含むことを特徴とする請求項12に記載のアクセス制御許可を確立する方法。
  19. 前記固有識別子は、前記ケルベロスベースのメッセージ内部のPACの中で提供されることを特徴とする請求項18に記載のアクセス制御許可を確立する方法。
  20. 少なくとも1つのコンピューティングリソースに対する制御されたアクセスを与えられるべきユーザに関連した、前記ユーザを認証した別のコンピューティングリソースに関連する固有識別子を受け取るステップと、
    前記固有識別子をセキュリティ識別子(SID)に変換するステップと、
    前記SIDが、前記少なくとも1つのコンピューティングリソースに関連するアクセス制御機構によって提供される少なくとも1つの他のSIDに一致するかどうかを確認するステップと
    を備えた動作を行うためのコンピュータ実行可能命令を有することを特徴とするコンピュータ読み取り可能な記録媒体。
  21. 前記固有識別子は、ペアワイズ固有識別子(PUID)を含むことを特徴とする請求項20に記載のコンピュータ読み取り可能な記録媒体。
  22. 前記PUIDは、Passportサービスに関連することを特徴とする請求項21に記載のコンピュータ読み取り可能な記録媒体。
  23. 前記固有識別子を前記SIDに変換するステップは、
    前記PUIDを少なくとも1つの下位権限識別子部分と少なくとも1つのメンバ識別子部分とに細分するステップ
    をさらに含むことを特徴とする請求項22に記載のコンピュータ読み取り可能な記録媒体。
  24. 前記固有識別子を前記SIDに変換するステップは、
    前記PUIDをAPIに出力するステップと、
    引換えに、前記SIDを前記APIから受け取るステップと
    をさらに含むことを特徴とする請求項22に記載のコンピュータ読み取り可能な記録媒体。
  25. 前記固有識別子を受け取るステップは、
    前記固有識別子をケルベロスベースのメッセージ内部で受け取るステップ
    をさらに含むことを特徴とする請求項20に記載のコンピュータ読み取り可能な記録媒体。
  26. 前記固有識別子は、前記ケルベロスベースのメッセージ内部のPACの中で提供されることを特徴とする請求項25に記載のコンピュータ読み取り可能な記録媒体。
  27. 前記ケルベロスベースのメッセージは、S4U2selfプロセスに関連することを特徴とする請求項25に記載のコンピュータ読み取り可能な記録媒体。
  28. 前記ケルベロスベースのメッセージは、S4U2proxyプロセスに関連することを特徴とする請求項25に記載のコンピュータ読み取り可能な記録媒体。
  29. 前記SIDが、前記アクセス制御機構によって提供される前記少なくとも1つの他のSIDに一致するかどうかを確認するステップは、
    前記SIDを、前記少なくとも1つのコンピューティングリソースに関連するアクセス制御リスト(ACL)の中の前記少なくとも1つの他のSIDと比較するステップ
    をさらに含むことを特徴とする請求項20に記載のコンピュータ読み取り可能な記録媒体。
  30. 前記少なくとも1つのコンピューティングリソースに対する制御されたアクセスが与えられるべき前記ユーザに関連する前記固有識別子を受け取るステップは、
    前記少なくとも1つのコンピューティングリソースに対するアクセスが与えられるべき前記ユーザに関するデフォルトのアカウントを提供するステップ
    をさらに含むことを特徴とする請求項20に記載のコンピュータ読み取り可能な記録媒体。
  31. 少なくとも1つのコンピューティングリソースに対する少なくとも限られたアクセスが許可されるべき少なくとも1つのユーザに関する少なくとも1つの電子メール(e−mail)アドレスを受け取るステップと、
    前記電子メールアドレスを、前記電子メールアドレスに基づいて前記ユーザに関連する対応する固有識別子を出力することができる少なくとも1つの信頼されるサービスに出力するステップと、
    前記信頼されるサービスによって出力された前記固有識別子を受け取るステップと、
    前記固有識別子に基づき、前記少なくとも1つのコンピューティングリソースに関連する少なくとも1つのユーザアクセス制御許可を確立するステップと
    を備えた動作を行うためのコンピュータ実行可能命令を有することを特徴とするコンピュータ読み取り可能な記録媒体。
  32. 前記固有識別子に基づいて前記ユーザに関する少なくとも1つのユーザアクセス制御許可を設定するステップは、
    前記固有識別子をセキュリティ識別子(SID)に変換するステップと、
    前記SIDを前記コンピューティングリソースに関する少なくとも1つのアクセス制御リスト(ACL)に割り当てるステップと
    をさらに含むことを特徴とする請求項31に記載のコンピュータ読み取り可能な記録媒体。
  33. 前記固有識別子は、ペアワイズ固有識別子(PUID)を含むことを特徴とする請求項31に記載のコンピュータ読み取り可能な記録媒体。
  34. 前記PUIDは、Passportサービスに関連することを特徴とする請求項33に記載のコンピュータ読み取り可能な記録媒体。
  35. 前記固有識別子は、PUIDを含み、かつ前記固有識別子を前記SIDに変換するステップは、
    前記PUIDを少なくとも1つの下位権限識別子部分と少なくとも1つのメンバ識別子部分とに細分するステップ
    をさらに含むことを特徴とする請求項34に記載のコンピュータ読み取り可能な記録媒体。
  36. 前記固有識別子は、PUIDを含み、かつ前記固有識別子を前記SIDに変換するステップは、
    前記Passportの固有識別子をAPIに提供するステップと、
    その後、前記SIDを前記APIから受け取るステップと
    をさらに含むことを特徴とする請求項34に記載のコンピュータ読み取り可能な記録媒体。
  37. 前記固有識別子を受け取るステップは、
    前記固有識別子をケルベロスベースのメッセージ内部で受け取るステップ
    をさらに含むことを特徴とする請求項31に記載のコンピュータ読み取り可能な記録媒体。
  38. 前記固有識別子は、前記ケルベロスベースのメッセージ内部のPACの中で提供されることを特徴とする請求項37に記載のコンピュータ読み取り可能な記録媒体。
  39. ペアワイズ固有識別子(PUID)を対応するセキュリティ識別子(SID)に変換する方法であって、
    前記PUIDを受け取るステップと、
    前記PUIDを少なくとも1つの下位権限識別子部分と少なくとも1つのメンバ識別子部分とに細分するステップと、
    前記少なくとも1つの下位権限識別子部分および前記少なくとも1つのメンバ識別子部分を前記SIDとして構成するステップと
    を備えたことを特徴とするPUIDを対応するSIDに変換する方法。
  40. 前記少なくとも1つの下位権限識別子部分および前記少なくとも1つのメンバ識別子部分を前記SIDとして構成するステップは、
    前記下位権限識別子、HIWORD(MemberIDHigh)、LOWORD(MemberIDHigh)、およびMemberIDLowを有するように前記SIDを構成するステップ
    をさらに含むことを特徴とする請求項39に記載のPUIDを対応するSIDに変換する方法。
  41. 前記SIDを出力するステップをさらに備えたことを特徴とする請求項39に記載のPUIDを対応するSIDに変換する方法。
  42. ペアワイズ固有識別子(PUID)を受け取るステップと、
    前記PUIDを少なくとも1つの下位権限識別子部分と少なくとも1つのメンバ識別子部分とに細分することによって前記PUIDを対応するセキュリティ識別子(SID)に変換し、かつ前記少なくとも1つの下位権限識別子部分および前記少なくとも1つのメンバ識別子部分を前記SIDとして構成するステップとを備えた動作を行うためのコンピュータ実行可能命令を有することを特徴とするコンピュータ読み取り可能な記録媒体。
  43. 前記少なくとも1つの下位権限識別子部分および前記少なくとも1つのメンバ識別子部分を前記SIDとして構成するステップは、
    前記下位権限識別子、HIWORD(MemberIDHigh)、LOWORD(MemberIDHigh)、およびMemberIDLowを有するように前記SIDを構成するステップ
    をさらに含むことを特徴とする請求項42に記載のコンピュータ読み取り可能な記録媒体。
  44. 前記SIDを出力するステップをさらに備えたことを特徴とする請求項42に記載のコンピュータ読み取り可能な記録媒体。
  45. 少なくとも1つのコンピューティングリソースに対するアクセスを制御するシステムであって、
    メモリと、
    動作上、前記メモリに結合され、かつ前記少なくとも1つのコンピューティングリソースに対する制御されたアクセスが与えられるべきユーザに関連した、前記ユーザを認証した別のコンピューティングリソースに関連する固有識別子を受け取るように構成可能なロジックであって、動作上、前記固有識別子をセキュリティ識別子(SID)に変換するように構成され、かつ前記SIDが、前記メモリの中に記憶され前記少なくとも1つのコンピューティングリソースに関連する少なくとも1つの他のSIDに一致する場合、前記ユーザが前記少なくとも1つのコンピューティングリソースにアクセスすることを可能にするロジックと
    を備えたことを特徴とするアクセスを制御するシステム。
  46. 前記固有識別子は、ペアワイズ固有識別子(PUID)を含むことを特徴とする請求項45に記載のアクセスを制御するシステム。
  47. 前記PUIDは、Passportサービスに関連することを特徴とする請求項46に記載のアクセスを制御するシステム。
  48. 前記論理は、前記Passportの固有識別子を少なくとも1つの下位権限識別子部分と少なくとも1つのメンバ識別子部分とに分離するようにさらに構成されることを特徴とする請求項47に記載のアクセスを制御するシステム。
  49. 前記ロジックは、ケルベロスベースのメッセージ内部で前記固有識別子を受け取るように構成可能であることを特徴とする請求項45に記載のアクセスを制御するシステム。
  50. 前記固有識別子は、前記ケルベロスベースのメッセージ内部のPACの中で提供されることを特徴とする請求項49に記載のアクセスを制御するシステム。
  51. 前記ケルベロスベースのメッセージは、S4U2selfプロセスに関連することを特徴とする請求項49に記載のアクセスを制御するシステム。
  52. 前記ケルベロスベースのメッセージは、S4U2proxyプロセスに関連することを特徴とする請求項50に記載のアクセスを制御するシステム。
  53. 前記メモリの中に記憶された前記少なくとも1つの他のSIDは、前記少なくとも1つのコンピューティングリソースに関連するアクセス制御リスト(ACL)の一部であることを特徴とする請求項45に記載のアクセスを制御するシステム。
  54. 前記ロジックは、前記少なくとも1つのコンピューティングリソースに対するアクセス制御が与えられるべき前記ユーザに匿名アカウント機能を提供するようにさらに構成可能であることを特徴とする請求項45に記載のアクセスを制御するシステム。
  55. 少なくとも1つのコンピューティングリソースに関するアクセス制御許可を設定するシステムであって、
    通信ネットワークと、
    動作上、前記ネットワークに結合され、かつ前記少なくとも1つのコンピューティングリソースに対する少なくとも限られたアクセスが許可されるべき少なくとも1つのユーザに関する少なくとも1つの電子メール(e−mail)アドレスを受け入れ、前記電子メールアドレスを前記ネットワークに提供し、その後、前記ネットワークを介して前記電子メールアドレスに関連する対応する固有識別子を受け取り、前記受け取られた固有識別子に基づき、前記ユーザに関して前記少なくとも1つのコンピューティングリソースに関連する少なくとも1つのアクセス制御許可を設定するように構成可能な第1のデバイスと
    を備えたことを特徴とするアクセス制御許可を設定するシステム。
  56. 動作上、前記ネットワークに結合され、かつ前記ネットワークから前記少なくとも1つの電子メールアドレスを受け取ることができる少なくとも1つの信頼に値するサービスを提供し、前記電子メールアドレスを前記固有識別子に変換し、前記固有識別子を前記ネットワークに出力するように構成された少なくとも1つの他のデバイス
    をさらに備えたことを特徴とする請求項55に記載のアクセス制御許可を設定するシステム。
  57. 前記第1のデバイスは、前記固有識別子をセキュリティ識別子(SID)に変換し、前記SIDを前記少なくとも1つのコンピューティングリソースに関する少なくとも1つのアクセス制御リスト(ACL)に関連付けるようにさらに構成されることを特徴とする請求項56に記載のアクセス制御許可を設定するシステム。
  58. 前記固有識別子は、ペアワイズ固有識別子(PUID)を含むことを特徴とする請求項57に記載のアクセス制御許可を設定するシステム。
  59. 前記PUIDは、Passportの固有識別子であることを特徴とする請求項58に記載のアクセス制御許可を設定するシステム。
  60. 前記第1のデバイスは、対応するSIDへの変換の最中に、前記Passortの固有識別子を少なくとも1つの下位権限識別子部分と少なくとも1つのメンバ識別子部分とに分離するようにさらに構成されることを特徴とする請求項59に記載のアクセス制御許可を設定するシステム。
  61. 前記第1のデバイスは、ケルベロスベースのメッセージ内部で前記固有識別子を受け取るように構成されることを特徴とする請求項55に記載のアクセス制御許可を設定するシステム。
  62. 前記固有識別子は、前記ケルベロスベースのメッセージ内部のPACの中で提供されることを特徴とする請求項61に記載のアクセス制御許可を設定するシステム。
JP2003133821A 2002-05-10 2003-05-12 アクセス制御を提供する方法、記録媒体及びアクセスを制御するシステム Expired - Fee Related JP4756817B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/144,059 US7401235B2 (en) 2002-05-10 2002-05-10 Persistent authorization context based on external authentication
US10/144,059 2002-05-10

Publications (3)

Publication Number Publication Date
JP2004005647A true JP2004005647A (ja) 2004-01-08
JP2004005647A5 JP2004005647A5 (ja) 2006-06-22
JP4756817B2 JP4756817B2 (ja) 2011-08-24

Family

ID=22506868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003133821A Expired - Fee Related JP4756817B2 (ja) 2002-05-10 2003-05-12 アクセス制御を提供する方法、記録媒体及びアクセスを制御するシステム

Country Status (18)

Country Link
US (1) US7401235B2 (ja)
EP (2) EP1939707B1 (ja)
JP (1) JP4756817B2 (ja)
KR (1) KR100986568B1 (ja)
CN (1) CN100367249C (ja)
AT (2) ATE398799T1 (ja)
AU (1) AU2003203708B2 (ja)
BR (1) BR0301034A (ja)
CA (1) CA2424782A1 (ja)
DE (1) DE60321618D1 (ja)
HK (1) HK1060201A1 (ja)
MX (1) MXPA03003709A (ja)
MY (1) MY145724A (ja)
NO (1) NO20032094L (ja)
PL (1) PL359993A1 (ja)
RU (2) RU2337399C2 (ja)
TW (1) TWI353154B (ja)
ZA (1) ZA200302999B (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008117069A (ja) * 2006-11-01 2008-05-22 Fuji Xerox Co Ltd 認証代行装置、認証代行プログラム、及び認証代行システム
JP2013513160A (ja) * 2009-12-03 2013-04-18 マイクロソフト コーポレーション Webアプリケーションとブラウザーの外部のプロセスとの間の通信チャンネル
KR20220006332A (ko) * 2020-07-08 2022-01-17 인제대학교 산학협력단 스토리지 활용 이력에 기반한 비용 책정 방법 및 시스템

Families Citing this family (245)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AUPQ654400A0 (en) * 2000-03-28 2000-04-20 Optimiser Pty Ltd Authorising use of a computer program
US7698381B2 (en) * 2001-06-20 2010-04-13 Microsoft Corporation Methods and systems for controlling the scope of delegation of authentication credentials
US7382787B1 (en) 2001-07-30 2008-06-03 Cisco Technology, Inc. Packet routing and switching device
JP2003108520A (ja) * 2001-09-28 2003-04-11 Canon Inc 情報提供サーバ、端末装置及びその制御方法並びに情報提供システム
WO2003058877A1 (en) 2001-12-28 2003-07-17 Woodstock Systems, Llc Personal digital servertm (pdstm)
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US7525904B1 (en) 2002-06-20 2009-04-28 Cisco Technology, Inc. Redundant packet routing and switching device and method
US7450438B1 (en) 2002-06-20 2008-11-11 Cisco Technology, Inc. Crossbar apparatus for a forwarding table memory in a router
US7152108B1 (en) * 2002-08-30 2006-12-19 Signiant Inc. Data transfer system and method with secure mapping of local system access rights to global identities
US7343301B1 (en) 2002-08-30 2008-03-11 Signiant, Inc. Method and apparatus for notification of data transfer
US7613812B2 (en) 2002-12-04 2009-11-03 Microsoft Corporation Peer-to-peer identity management interfaces and methods
US7536476B1 (en) * 2002-12-20 2009-05-19 Cisco Technology, Inc. Method for performing tree based ACL lookups
US7496953B2 (en) * 2003-04-29 2009-02-24 International Business Machines Corporation Single sign-on method for web-based applications
US7397922B2 (en) 2003-06-27 2008-07-08 Microsoft Corporation Group security
US7188254B2 (en) * 2003-08-20 2007-03-06 Microsoft Corporation Peer-to-peer authorization method
US7574603B2 (en) 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
US20050166070A1 (en) * 2003-12-24 2005-07-28 Ling Dynamic Systems Ltd. Web based user interface
US7412516B1 (en) 2003-12-29 2008-08-12 Aol Llc Using a network bandwidth setting based on determining the network environment
US20050149724A1 (en) * 2003-12-30 2005-07-07 Nokia Inc. System and method for authenticating a terminal based upon a position of the terminal within an organization
US20050144144A1 (en) * 2003-12-30 2005-06-30 Nokia, Inc. System and method for authenticating a terminal based upon at least one characteristic of the terminal located at a position within an organization
US7395319B2 (en) * 2003-12-31 2008-07-01 Checkfree Corporation System using contact list to identify network address for accessing electronic commerce application
US7636941B2 (en) * 2004-03-10 2009-12-22 Microsoft Corporation Cross-domain authentication
US20050246762A1 (en) * 2004-04-29 2005-11-03 International Business Machines Corporation Changing access permission based on usage of a computer resource
JP2006011768A (ja) * 2004-06-25 2006-01-12 Toshiba Corp 認証システム及び装置
US7526557B2 (en) * 2004-06-30 2009-04-28 Signiant, Inc. System and method for transferring data in high latency firewalled networks
US20060037062A1 (en) * 2004-08-09 2006-02-16 International Business Machines Corporation Method, system and program product for securing resources in a distributed system
US7603700B2 (en) * 2004-08-31 2009-10-13 Aol Llc Authenticating a client using linked authentication credentials
JP4643213B2 (ja) 2004-09-29 2011-03-02 シスメックス株式会社 アプリケーションプログラムの使用制限方法、測定装置のユーザ認証システム、認証サーバ、クライアント装置、及びアプリケーションプログラム
US7996881B1 (en) 2004-11-12 2011-08-09 Aol Inc. Modifying a user account during an authentication process
US7889712B2 (en) 2004-12-23 2011-02-15 Cisco Technology, Inc. Methods and apparatus for providing loop free routing tables
US8490168B1 (en) * 2005-10-12 2013-07-16 At&T Intellectual Property I, L.P. Method for authenticating a user within a multiple website environment to provide secure access
US20070130289A1 (en) * 2005-12-07 2007-06-07 Christopher Defazio Remote access
US7747647B2 (en) * 2005-12-30 2010-06-29 Microsoft Corporation Distributing permission information via a metadirectory
US20070156691A1 (en) * 2006-01-05 2007-07-05 Microsoft Corporation Management of user access to objects
US8117459B2 (en) 2006-02-24 2012-02-14 Microsoft Corporation Personal identification information schemas
US8104074B2 (en) 2006-02-24 2012-01-24 Microsoft Corporation Identity providers in digital identity system
US8078880B2 (en) 2006-07-28 2011-12-13 Microsoft Corporation Portable personal identity information
US7639629B2 (en) * 2006-07-28 2009-12-29 Microsoft Corporation Security model for application and trading partner integration
US7942740B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Verifying a first device is in communications with a server by storing a value from the first device and accessing the value from a second device
US7942738B2 (en) * 2006-11-15 2011-05-17 Cfph, Llc Verifying a gaming device is in communications with a gaming server
US7942741B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Verifying whether a device is communicating with a server
US10068421B2 (en) * 2006-11-16 2018-09-04 Cfph, Llc Using a first device to verify whether a second device is communicating with a server
US7942742B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Accessing identification information to verify a gaming device is in communications with a server
US7942739B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Storing information from a verification device and accessing the information from a gaming device to verify that the gaming device is communicating with a server
US8012015B2 (en) 2006-11-15 2011-09-06 Cfph, Llc Verifying whether a gaming device is communicating with a gaming server
US8407767B2 (en) 2007-01-18 2013-03-26 Microsoft Corporation Provisioning of digital identity representations
US8087072B2 (en) 2007-01-18 2011-12-27 Microsoft Corporation Provisioning of digital identity representations
US8689296B2 (en) * 2007-01-26 2014-04-01 Microsoft Corporation Remote access of digital identities
US8650615B2 (en) * 2007-09-28 2014-02-11 Emc Corporation Cross domain delegation by a storage virtualization system
US8635664B2 (en) * 2007-12-28 2014-01-21 Intel Corporation Method and system for securing application program interfaces in unified extensible firmware interface
US8001582B2 (en) * 2008-01-18 2011-08-16 Microsoft Corporation Cross-network reputation for online services
US7925516B2 (en) * 2008-03-14 2011-04-12 Microsoft Corporation Leveraging global reputation to increase personalization
US20100077208A1 (en) * 2008-09-19 2010-03-25 Microsoft Corporation Certificate based authentication for online services
EP2387765B1 (en) * 2009-01-19 2018-05-23 Koninklijke Philips N.V. Browser with dual scripting engine for privacy protection
US8613059B2 (en) 2009-12-18 2013-12-17 At&T Intellectual Property I, L.P. Methods, systems and computer program products for secure access to information
US9088580B2 (en) * 2009-12-31 2015-07-21 Microsoft Technology Licensing, Llc Access control based on user and service
US8924715B2 (en) * 2010-10-28 2014-12-30 Stephan V. Schell Methods and apparatus for storage and execution of access control clients
AU2010246354B1 (en) * 2010-11-22 2011-11-03 Microsoft Technology Licensing, Llc Back-end constrained delegation model
KR101868018B1 (ko) * 2011-02-09 2018-06-18 삼성전자주식회사 기기간 연결 제어 방법 및 그 장치
US9118686B2 (en) 2011-09-06 2015-08-25 Microsoft Technology Licensing, Llc Per process networking capabilities
US9773102B2 (en) 2011-09-09 2017-09-26 Microsoft Technology Licensing, Llc Selective file access for applications
US8990561B2 (en) 2011-09-09 2015-03-24 Microsoft Technology Licensing, Llc Pervasive package identifiers
US9800688B2 (en) 2011-09-12 2017-10-24 Microsoft Technology Licensing, Llc Platform-enabled proximity service
US8930475B1 (en) 2012-03-30 2015-01-06 Signiant Inc. Systems and methods for secure cloud-based media file sharing
US9317670B2 (en) * 2012-05-22 2016-04-19 Verizon Patent And Licensing Inc Security based on usage activity associated with user device
CN103532919B (zh) * 2012-07-06 2018-06-12 腾讯科技(深圳)有限公司 用户账户保持登录态的方法及系统
US9692799B2 (en) 2012-07-30 2017-06-27 Signiant Inc. System and method for sending and/or receiving digital content based on a delivery specification
US10356204B2 (en) 2012-12-13 2019-07-16 Microsoft Technology Licensing, Llc Application based hardware identifiers
US9858247B2 (en) 2013-05-20 2018-01-02 Microsoft Technology Licensing, Llc Runtime resolution of content references
US9319419B2 (en) * 2013-09-26 2016-04-19 Wave Systems Corp. Device identification scoring
US9825944B2 (en) * 2014-01-24 2017-11-21 Microsoft Technology Licensing, Llc Secure cryptoprocessor for authorizing connected device requests
US10073978B2 (en) 2014-04-16 2018-09-11 International Business Machines Corporation Efficient modification and creation of authorization settings for user accounts
US9729583B1 (en) 2016-06-10 2017-08-08 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US10181051B2 (en) 2016-06-10 2019-01-15 OneTrust, LLC Data processing systems for generating and populating a data inventory for processing data access requests
US9736165B2 (en) 2015-05-29 2017-08-15 At&T Intellectual Property I, L.P. Centralized authentication for granting access to online services
US9948662B2 (en) * 2015-07-31 2018-04-17 Fortinet, Inc. Providing security in a communication network
US9450944B1 (en) 2015-10-14 2016-09-20 FullArmor Corporation System and method for pass-through authentication
US9762563B2 (en) 2015-10-14 2017-09-12 FullArmor Corporation Resource access system and method
US9509684B1 (en) * 2015-10-14 2016-11-29 FullArmor Corporation System and method for resource access with identity impersonation
US11004125B2 (en) 2016-04-01 2021-05-11 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US20220164840A1 (en) 2016-04-01 2022-05-26 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US10423996B2 (en) 2016-04-01 2019-09-24 OneTrust, LLC Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments
US11244367B2 (en) 2016-04-01 2022-02-08 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US10706447B2 (en) 2016-04-01 2020-07-07 OneTrust, LLC Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments
US10706176B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data-processing consent refresh, re-prompt, and recapture systems and related methods
US10496803B2 (en) 2016-06-10 2019-12-03 OneTrust, LLC Data processing systems and methods for efficiently assessing the risk of privacy campaigns
US11341447B2 (en) 2016-06-10 2022-05-24 OneTrust, LLC Privacy management systems and methods
US11295316B2 (en) 2016-06-10 2022-04-05 OneTrust, LLC Data processing systems for identity validation for consumer rights requests and related methods
US10592692B2 (en) 2016-06-10 2020-03-17 OneTrust, LLC Data processing systems for central consent repository and related methods
US11520928B2 (en) 2016-06-10 2022-12-06 OneTrust, LLC Data processing systems for generating personal data receipts and related methods
US11087260B2 (en) 2016-06-10 2021-08-10 OneTrust, LLC Data processing systems and methods for customizing privacy training
US10873606B2 (en) 2016-06-10 2020-12-22 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10607028B2 (en) 2016-06-10 2020-03-31 OneTrust, LLC Data processing systems for data testing to confirm data deletion and related methods
US11586700B2 (en) 2016-06-10 2023-02-21 OneTrust, LLC Data processing systems and methods for automatically blocking the use of tracking tools
US11354434B2 (en) 2016-06-10 2022-06-07 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US10776517B2 (en) 2016-06-10 2020-09-15 OneTrust, LLC Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods
US11025675B2 (en) 2016-06-10 2021-06-01 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US11038925B2 (en) 2016-06-10 2021-06-15 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11544667B2 (en) 2016-06-10 2023-01-03 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10796260B2 (en) 2016-06-10 2020-10-06 OneTrust, LLC Privacy management systems and methods
US10503926B2 (en) 2016-06-10 2019-12-10 OneTrust, LLC Consent receipt management systems and related methods
US10565397B1 (en) 2016-06-10 2020-02-18 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10430740B2 (en) 2016-06-10 2019-10-01 One Trust, LLC Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods
US11301796B2 (en) 2016-06-10 2022-04-12 OneTrust, LLC Data processing systems and methods for customizing privacy training
US11057356B2 (en) 2016-06-10 2021-07-06 OneTrust, LLC Automated data processing systems and methods for automatically processing data subject access requests using a chatbot
US10740487B2 (en) 2016-06-10 2020-08-11 OneTrust, LLC Data processing systems and methods for populating and maintaining a centralized database of personal data
US10204154B2 (en) 2016-06-10 2019-02-12 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10416966B2 (en) 2016-06-10 2019-09-17 OneTrust, LLC Data processing systems for identity validation of data subject access requests and related methods
US11366786B2 (en) 2016-06-10 2022-06-21 OneTrust, LLC Data processing systems for processing data subject access requests
US10235534B2 (en) 2016-06-10 2019-03-19 OneTrust, LLC Data processing systems for prioritizing data subject access requests for fulfillment and related methods
US11354435B2 (en) 2016-06-10 2022-06-07 OneTrust, LLC Data processing systems for data testing to confirm data deletion and related methods
US10284604B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing and scanning systems for generating and populating a data inventory
US11403377B2 (en) 2016-06-10 2022-08-02 OneTrust, LLC Privacy management systems and methods
US11138242B2 (en) 2016-06-10 2021-10-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US10509894B2 (en) 2016-06-10 2019-12-17 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10437412B2 (en) 2016-06-10 2019-10-08 OneTrust, LLC Consent receipt management systems and related methods
US10726158B2 (en) 2016-06-10 2020-07-28 OneTrust, LLC Consent receipt management and automated process blocking systems and related methods
US10438017B2 (en) 2016-06-10 2019-10-08 OneTrust, LLC Data processing systems for processing data subject access requests
US10642870B2 (en) 2016-06-10 2020-05-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US11416590B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10509920B2 (en) 2016-06-10 2019-12-17 OneTrust, LLC Data processing systems for processing data subject access requests
US10242228B2 (en) 2016-06-10 2019-03-26 OneTrust, LLC Data processing systems for measuring privacy maturity within an organization
US11416109B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Automated data processing systems and methods for automatically processing data subject access requests using a chatbot
US11651106B2 (en) 2016-06-10 2023-05-16 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11481710B2 (en) 2016-06-10 2022-10-25 OneTrust, LLC Privacy management systems and methods
US11651104B2 (en) 2016-06-10 2023-05-16 OneTrust, LLC Consent receipt management systems and related methods
US10997318B2 (en) 2016-06-10 2021-05-04 OneTrust, LLC Data processing systems for generating and populating a data inventory for processing data access requests
US11343284B2 (en) 2016-06-10 2022-05-24 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US10353673B2 (en) 2016-06-10 2019-07-16 OneTrust, LLC Data processing systems for integration of consumer feedback with data subject access requests and related methods
US10896394B2 (en) 2016-06-10 2021-01-19 OneTrust, LLC Privacy management systems and methods
US10708305B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Automated data processing systems and methods for automatically processing requests for privacy-related information
US10776514B2 (en) 2016-06-10 2020-09-15 OneTrust, LLC Data processing systems for the identification and deletion of personal data in computer systems
US10614247B2 (en) 2016-06-10 2020-04-07 OneTrust, LLC Data processing systems for automated classification of personal information from documents and related methods
US10783256B2 (en) 2016-06-10 2020-09-22 OneTrust, LLC Data processing systems for data transfer risk identification and related methods
US10510031B2 (en) 2016-06-10 2019-12-17 OneTrust, LLC Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques
US11294939B2 (en) 2016-06-10 2022-04-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US11328092B2 (en) 2016-06-10 2022-05-10 OneTrust, LLC Data processing systems for processing and managing data subject access in a distributed environment
US11438386B2 (en) 2016-06-10 2022-09-06 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11366909B2 (en) 2016-06-10 2022-06-21 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11228620B2 (en) 2016-06-10 2022-01-18 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11277448B2 (en) 2016-06-10 2022-03-15 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10452864B2 (en) 2016-06-10 2019-10-22 OneTrust, LLC Data processing systems for webform crawling to map processing activities and related methods
US10586075B2 (en) 2016-06-10 2020-03-10 OneTrust, LLC Data processing systems for orphaned data identification and deletion and related methods
US11392720B2 (en) 2016-06-10 2022-07-19 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US10803200B2 (en) 2016-06-10 2020-10-13 OneTrust, LLC Data processing systems for processing and managing data subject access in a distributed environment
US10769301B2 (en) 2016-06-10 2020-09-08 OneTrust, LLC Data processing systems for webform crawling to map processing activities and related methods
US11134086B2 (en) 2016-06-10 2021-09-28 OneTrust, LLC Consent conversion optimization systems and related methods
US10685140B2 (en) 2016-06-10 2020-06-16 OneTrust, LLC Consent receipt management systems and related methods
US11336697B2 (en) 2016-06-10 2022-05-17 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11188862B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Privacy management systems and methods
US10848523B2 (en) 2016-06-10 2020-11-24 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10798133B2 (en) 2016-06-10 2020-10-06 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10885485B2 (en) 2016-06-10 2021-01-05 OneTrust, LLC Privacy management systems and methods
US10169609B1 (en) 2016-06-10 2019-01-01 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11727141B2 (en) 2016-06-10 2023-08-15 OneTrust, LLC Data processing systems and methods for synching privacy-related user consent across multiple computing devices
US10282700B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10565161B2 (en) 2016-06-10 2020-02-18 OneTrust, LLC Data processing systems for processing data subject access requests
US10592648B2 (en) 2016-06-10 2020-03-17 OneTrust, LLC Consent receipt management systems and related methods
US10706174B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data processing systems for prioritizing data subject access requests for fulfillment and related methods
US11416798B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing systems and methods for providing training in a vendor procurement process
US10713387B2 (en) 2016-06-10 2020-07-14 OneTrust, LLC Consent conversion optimization systems and related methods
US10949170B2 (en) 2016-06-10 2021-03-16 OneTrust, LLC Data processing systems for integration of consumer feedback with data subject access requests and related methods
US10282559B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques
US10706379B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data processing systems for automatic preparation for remediation and related methods
US10440062B2 (en) 2016-06-10 2019-10-08 OneTrust, LLC Consent receipt management systems and related methods
US10776518B2 (en) 2016-06-10 2020-09-15 OneTrust, LLC Consent receipt management systems and related methods
US11222309B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11227247B2 (en) 2016-06-10 2022-01-18 OneTrust, LLC Data processing systems and methods for bundled privacy policies
US11461500B2 (en) 2016-06-10 2022-10-04 OneTrust, LLC Data processing systems for cookie compliance testing with website scanning and related methods
US11023842B2 (en) 2016-06-10 2021-06-01 OneTrust, LLC Data processing systems and methods for bundled privacy policies
US11418492B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing systems and methods for using a data model to select a target data asset in a data migration
US10839102B2 (en) 2016-06-10 2020-11-17 OneTrust, LLC Data processing systems for identifying and modifying processes that are subject to data subject access requests
US10467432B2 (en) 2016-06-10 2019-11-05 OneTrust, LLC Data processing systems for use in automatically generating, populating, and submitting data subject access requests
US10572686B2 (en) 2016-06-10 2020-02-25 OneTrust, LLC Consent receipt management systems and related methods
US10565236B1 (en) 2016-06-10 2020-02-18 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11146566B2 (en) 2016-06-10 2021-10-12 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10909488B2 (en) 2016-06-10 2021-02-02 OneTrust, LLC Data processing systems for assessing readiness for responding to privacy-related incidents
US11416589B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11100444B2 (en) 2016-06-10 2021-08-24 OneTrust, LLC Data processing systems and methods for providing training in a vendor procurement process
US10452866B2 (en) 2016-06-10 2019-10-22 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10275614B2 (en) 2016-06-10 2019-04-30 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10318761B2 (en) 2016-06-10 2019-06-11 OneTrust, LLC Data processing systems and methods for auditing data request compliance
US10878127B2 (en) 2016-06-10 2020-12-29 OneTrust, LLC Data subject access request processing systems and related methods
US11625502B2 (en) 2016-06-10 2023-04-11 OneTrust, LLC Data processing systems for identifying and modifying processes that are subject to data subject access requests
US11144622B2 (en) 2016-06-10 2021-10-12 OneTrust, LLC Privacy management systems and methods
US10909265B2 (en) 2016-06-10 2021-02-02 OneTrust, LLC Application privacy scanning systems and related methods
US10997315B2 (en) * 2016-06-10 2021-05-04 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11238390B2 (en) 2016-06-10 2022-02-01 OneTrust, LLC Privacy management systems and methods
US10496846B1 (en) 2016-06-10 2019-12-03 OneTrust, LLC Data processing and communications systems and methods for the efficient implementation of privacy by design
US11210420B2 (en) 2016-06-10 2021-12-28 OneTrust, LLC Data subject access request processing systems and related methods
US11222139B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems and methods for automatic discovery and assessment of mobile software development kits
US10846433B2 (en) 2016-06-10 2020-11-24 OneTrust, LLC Data processing consent management systems and related methods
US11200341B2 (en) 2016-06-10 2021-12-14 OneTrust, LLC Consent receipt management systems and related methods
US11157600B2 (en) 2016-06-10 2021-10-26 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10454973B2 (en) 2016-06-10 2019-10-22 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11151233B2 (en) 2016-06-10 2021-10-19 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11188615B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Data processing consent capture systems and related methods
US10853501B2 (en) 2016-06-10 2020-12-01 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10944725B2 (en) 2016-06-10 2021-03-09 OneTrust, LLC Data processing systems and methods for using a data model to select a target data asset in a data migration
US11074367B2 (en) 2016-06-10 2021-07-27 OneTrust, LLC Data processing systems for identity validation for consumer rights requests and related methods
US10678945B2 (en) 2016-06-10 2020-06-09 OneTrust, LLC Consent receipt management systems and related methods
US10762236B2 (en) 2016-06-10 2020-09-01 OneTrust, LLC Data processing user interface monitoring systems and related methods
US11562097B2 (en) 2016-06-10 2023-01-24 OneTrust, LLC Data processing systems for central consent repository and related methods
US10949565B2 (en) 2016-06-10 2021-03-16 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11475136B2 (en) 2016-06-10 2022-10-18 OneTrust, LLC Data processing systems for data transfer risk identification and related methods
US11138299B2 (en) 2016-06-10 2021-10-05 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11222142B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems for validating authorization for personal data collection, storage, and processing
US10706131B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data processing systems and methods for efficiently assessing the risk of privacy campaigns
US10585968B2 (en) 2016-06-10 2020-03-10 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11675929B2 (en) 2016-06-10 2023-06-13 OneTrust, LLC Data processing consent sharing systems and related methods
US10606916B2 (en) 2016-06-10 2020-03-31 OneTrust, LLC Data processing user interface monitoring systems and related methods
US11636171B2 (en) 2016-06-10 2023-04-25 OneTrust, LLC Data processing user interface monitoring systems and related methods
KR102367738B1 (ko) * 2016-11-09 2022-02-25 한국전자기술연구원 가상 리소스의 그룹 멤버 유효성 검증 방법
US10505924B1 (en) 2016-12-09 2019-12-10 Wells Fargo Bank, N.A. Defined zone of authentication
US20180204215A1 (en) * 2017-01-17 2018-07-19 Hung-Tzaw Hu Detecting electronic intruders via updatable data structures
US11120057B1 (en) 2017-04-17 2021-09-14 Microstrategy Incorporated Metadata indexing
US10897462B2 (en) * 2017-05-16 2021-01-19 Citrix Systems, Inc. Systems and methods for encoding additional authentication data into an active directory security identifier
US10013577B1 (en) 2017-06-16 2018-07-03 OneTrust, LLC Data processing systems for identifying whether cookies contain personally identifying information
US11245701B1 (en) 2018-05-30 2022-02-08 Amazon Technologies, Inc. Authorization pre-processing for network-accessible service requests
US10803202B2 (en) 2018-09-07 2020-10-13 OneTrust, LLC Data processing systems for orphaned data identification and deletion and related methods
US11544409B2 (en) 2018-09-07 2023-01-03 OneTrust, LLC Data processing systems and methods for automatically protecting sensitive data within privacy management systems
US11144675B2 (en) 2018-09-07 2021-10-12 OneTrust, LLC Data processing systems and methods for automatically protecting sensitive data within privacy management systems
RU2738826C1 (ru) 2018-12-28 2020-12-17 Алибаба Груп Холдинг Лимитед Параллельное выполнение транзакций в сети блокчейнов
RU2731417C1 (ru) 2018-12-28 2020-09-02 Алибаба Груп Холдинг Лимитед Параллельное выполнение транзакций в сети цепочек блоков на основе белых списков смарт-контрактов
US10735516B1 (en) 2019-02-15 2020-08-04 Signiant Inc. Cloud-based authority to enhance point-to-point data transfer with machine learning
US11418353B2 (en) * 2019-08-26 2022-08-16 Micron Technology, Inc. Security descriptor generation
US11516213B2 (en) 2019-09-18 2022-11-29 Microstrategy Incorporated Authentication for requests from third-party interfaces
US11954218B2 (en) 2020-02-10 2024-04-09 Visa International Service Association Real-time access rules using aggregation of periodic historical outcomes
US11457017B2 (en) 2020-03-04 2022-09-27 The Whisper Company System and method of determing persistent presence of an authorized user while performing an allowed operation on an allowed resource of the system under a certain context-sensitive restriction
EP4179435A1 (en) 2020-07-08 2023-05-17 OneTrust LLC Systems and methods for targeted data discovery
EP4189569A1 (en) 2020-07-28 2023-06-07 OneTrust LLC Systems and methods for automatically blocking the use of tracking tools
US11475165B2 (en) 2020-08-06 2022-10-18 OneTrust, LLC Data processing systems and methods for automatically redacting unstructured data from a data subject access request
US11436373B2 (en) 2020-09-15 2022-09-06 OneTrust, LLC Data processing systems and methods for detecting tools for the automatic blocking of consent requests
US11526624B2 (en) 2020-09-21 2022-12-13 OneTrust, LLC Data processing systems and methods for automatically detecting target data transfers and target data processing
US11550942B2 (en) * 2020-10-27 2023-01-10 Bull Sas Universal file access control system and method
EP4241173A1 (en) 2020-11-06 2023-09-13 OneTrust LLC Systems and methods for identifying data processing activities based on data discovery results
WO2022159901A1 (en) 2021-01-25 2022-07-28 OneTrust, LLC Systems and methods for discovery, classification, and indexing of data in a native computing system
WO2022170047A1 (en) 2021-02-04 2022-08-11 OneTrust, LLC Managing custom attributes for domain objects defined within microservices
US20240111899A1 (en) 2021-02-08 2024-04-04 OneTrust, LLC Data processing systems and methods for anonymizing data samples in classification analysis
US20240098109A1 (en) 2021-02-10 2024-03-21 OneTrust, LLC Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system
US11775348B2 (en) 2021-02-17 2023-10-03 OneTrust, LLC Managing custom workflows for domain objects defined within microservices
WO2022178219A1 (en) 2021-02-18 2022-08-25 OneTrust, LLC Selective redaction of media content
US11533315B2 (en) 2021-03-08 2022-12-20 OneTrust, LLC Data transfer discovery and analysis systems and related methods
US11562078B2 (en) 2021-04-16 2023-01-24 OneTrust, LLC Assessing and managing computational risk involved with integrating third party computing functionality within a computing system
US11620142B1 (en) 2022-06-03 2023-04-04 OneTrust, LLC Generating and customizing user interfaces for demonstrating functions of interactive user environments

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0581204A (ja) * 1991-03-08 1993-04-02 Stc Internatl Computers Ltd 分散型コンピユータシステムにおけるアクセス制御
JPH08235116A (ja) * 1994-12-15 1996-09-13 Internatl Business Mach Corp <Ibm> 分散型計算環境から外部資源への安全保護アクセスを提供する機構

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5544322A (en) * 1994-05-09 1996-08-06 International Business Machines Corporation System and method for policy-based inter-realm authentication within a distributed processing system
US5550981A (en) * 1994-06-21 1996-08-27 At&T Global Information Solutions Company Dynamic binding of network identities to locally-meaningful identities in computer networks
US7188003B2 (en) * 1994-12-30 2007-03-06 Power Measurement Ltd. System and method for securing energy management systems
US7761910B2 (en) * 1994-12-30 2010-07-20 Power Measurement Ltd. System and method for assigning an identity to an intelligent electronic device
US5864665A (en) * 1996-08-20 1999-01-26 International Business Machines Corporation Auditing login activity in a distributed computing environment
US6055637A (en) 1996-09-27 2000-04-25 Electronic Data Systems Corporation System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential
US6092196A (en) 1997-11-25 2000-07-18 Nortel Networks Limited HTTP distributed remote user authentication system
US6785015B1 (en) * 1999-11-12 2004-08-31 Hewlett-Packard Development Company, L.P. System and method for monitoring a computer system process or peripheral
HK1023695A2 (en) * 2000-02-19 2000-08-11 Nice Talent Ltd Service sign on
US20020150253A1 (en) * 2001-04-12 2002-10-17 Brezak John E. Methods and arrangements for protecting information in forwarded authentication messages
JP4475646B2 (ja) * 2004-08-27 2010-06-09 キヤノン株式会社 画像表示装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0581204A (ja) * 1991-03-08 1993-04-02 Stc Internatl Computers Ltd 分散型コンピユータシステムにおけるアクセス制御
JPH08235116A (ja) * 1994-12-15 1996-09-13 Internatl Business Mach Corp <Ibm> 分散型計算環境から外部資源への安全保護アクセスを提供する機構

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008117069A (ja) * 2006-11-01 2008-05-22 Fuji Xerox Co Ltd 認証代行装置、認証代行プログラム、及び認証代行システム
US8549292B2 (en) 2006-11-01 2013-10-01 Fuji Xerox Co., Ltd. Authentication agent apparatus, authentication agent method, and authentication agent program storage medium
JP2013513160A (ja) * 2009-12-03 2013-04-18 マイクロソフト コーポレーション Webアプリケーションとブラウザーの外部のプロセスとの間の通信チャンネル
US9390172B2 (en) 2009-12-03 2016-07-12 Microsoft Technology Licensing, Llc Communication channel between web application and process outside browser
KR20220006332A (ko) * 2020-07-08 2022-01-17 인제대학교 산학협력단 스토리지 활용 이력에 기반한 비용 책정 방법 및 시스템
KR102359467B1 (ko) * 2020-07-08 2022-02-08 인제대학교 산학협력단 스토리지 활용 이력에 기반한 비용 책정 방법 및 시스템

Also Published As

Publication number Publication date
ATE538443T1 (de) 2012-01-15
EP1361494A3 (en) 2004-01-14
EP1939707B1 (en) 2011-12-21
MXPA03003709A (es) 2005-02-14
NO20032094L (no) 2003-11-11
CA2424782A1 (en) 2003-11-10
TWI353154B (en) 2011-11-21
EP1361494A2 (en) 2003-11-12
CN100367249C (zh) 2008-02-06
MY145724A (en) 2012-03-30
EP1361494B1 (en) 2008-06-18
DE60321618D1 (de) 2008-07-31
ZA200302999B (en) 2003-10-16
NO20032094D0 (no) 2003-05-09
RU2008118949A (ru) 2009-11-20
ATE398799T1 (de) 2008-07-15
PL359993A1 (en) 2003-11-17
TW200400741A (en) 2004-01-01
HK1060201A1 (en) 2004-07-30
BR0301034A (pt) 2004-08-17
RU2337399C2 (ru) 2008-10-27
RU2390838C2 (ru) 2010-05-27
US7401235B2 (en) 2008-07-15
KR100986568B1 (ko) 2010-10-07
EP1939707A1 (en) 2008-07-02
AU2003203708A1 (en) 2003-11-27
US20030212806A1 (en) 2003-11-13
AU2003203708B2 (en) 2009-12-10
JP4756817B2 (ja) 2011-08-24
CN1456983A (zh) 2003-11-19
KR20030087990A (ko) 2003-11-15

Similar Documents

Publication Publication Date Title
JP4756817B2 (ja) アクセス制御を提供する方法、記録媒体及びアクセスを制御するシステム
EP1619856B1 (en) Method and system for controlling the scope of delegation of authentication credentials
KR102390108B1 (ko) 정보 처리 시스템 및 제어 방법
KR101534890B1 (ko) 신뢰된 장치별 인증
KR101150108B1 (ko) 피어-투-피어 인증 및 허가
US8209394B2 (en) Device-specific identity
EP1914658B1 (en) Identity controlled data center
EP1662696B1 (en) Method and system for delegating authority with restricted access right in an online collaborative environment
RU2475837C2 (ru) Перемещение сущностей, обладающих учетными записями, через границы безопасности без прерывания обслуживания
EP1255179A2 (en) Methods and arrangements for controlling access to resources based on authentication method
Xu et al. Development of a flexible PERMIS authorisation module for Shibboleth and Apache server
Vullings et al. Secure federated authentication and authorisation to grid portal applications using saml and xacml
Gashi et al. Trust establishment between OAuth 2.0 resource servers using claims-based authorisation
White et al. Problems with DCE security services
Piger et al. A comprehensive approach to self-restricted delegation of rights in grids
Harisha et al. Open Standard Authorization Protocol: OAuth 2.0 Defenses and Working Using Digital Signatures

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060510

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060510

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100210

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110223

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110520

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110531

R150 Certificate of patent or registration of utility model

Ref document number: 4756817

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140610

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees