JP2004533046A - プラグ対応認可システムに対するサーバサポート方法およびシステム - Google Patents

プラグ対応認可システムに対するサーバサポート方法およびシステム Download PDF

Info

Publication number
JP2004533046A
JP2004533046A JP2002580140A JP2002580140A JP2004533046A JP 2004533046 A JP2004533046 A JP 2004533046A JP 2002580140 A JP2002580140 A JP 2002580140A JP 2002580140 A JP2002580140 A JP 2002580140A JP 2004533046 A JP2004533046 A JP 2004533046A
Authority
JP
Japan
Prior art keywords
authorization
dce
service
authorization service
plug
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002580140A
Other languages
English (en)
Other versions
JP4164855B2 (ja
Inventor
ヘムサス、デービット、ケー
スキービー、ドナ、イー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2004533046A publication Critical patent/JP2004533046A/ja
Application granted granted Critical
Publication of JP4164855B2 publication Critical patent/JP4164855B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)
  • Stored Programmes (AREA)

Abstract

レガシーアプリケーションが認可APIおよびレガシー認可システムのバックエンドリモートインタフェースを利用できるように新しい認可システムをプラグインするための方法、システム、装置およびコンピュータプログラム製品を提示する。レガシーアプリケーションがレガシー認可システム内のルーチンを対象に呼び出しを行うと、その呼び出しは転送され新たに配備された認可システムのAPIに適した呼び出しを行う。

Description

【技術分野】
【0001】
本発明は、一般的にコンピュータネットワークセキュリティに関し、特にアクセス制御フレームワークの状況内で確保されたシステムリソースにアクセスする技術に関する。
【背景技術】
【0002】
情報技術(IT)システムおよびインタネットは現在のグローバル経済成長の原動力となってきた。ITシステムには特筆すべき利点があるが、同時に未認可の第三者からセキュリティ上の脅威を被る可能性を秘めている。実際に、現代のITシステムにおけるセキュリティの欠如は、グローバルコンピュータネットワークの保全性を脅かすものとして浮上している。この問題に対処するため、ITシステムは、データ認証、データの機密保持、主体認証および認可等、多数の既知サービスを提供している。データ認証は、一般的に二つのサブサービスからなる。すなわち、データ保全サービスおよびデータの出所認証サービスである。データ保全サービスは、所定データの受信者に対し、転送中該データに変更がなかったことを証明するために用いられる。データの出所認証は真の発信者の身元を受信者に対して示すものである。データの機密保持は送信中にデータが開示されるのを防ぐ。主体認証は、ある主体が主張しているその主体であることの証明を該システムに与える。認可は、認証された主体がある行為を実行する権利があるかどうかを判断するものである。認可および認証はこのように関連したサービスである。権限認可を提供できるようにするため、誰がその主体であるかを(例えば主体認証によって)判断する必要がある。一般的に、認可は二つの独立した段階からなる。すなわち、ある特定の主体に対して特権(認定信任)を与える段階と、これら特権と該リソースのアクセス判定ルールとを組み合わせて、該主体に対してアクセスを許可すべきかどうかを判断する段階とからなる。
【0003】
多くのサーバが(オープングループの分散コンピューティング環境、すなわちDCE等)時代遅れになってしまった認可システムを利用しており、ロールベースの承認および資格授与等、新しい認可システム技術を活用していない。この認可システムもまた時代遅れになるかもしれない。なぜならば、アプリケーションは特定プロダクト向け認可APIを使用する必要があるためだ。一方、オープングループは標準的な認可(AZN)APIのための技術仕様、すなわち、規格に準拠する任意のシステムやアプリケーションとインタフェースをとることができるオープングループの技術標準規格C908を普及させてきた。
【0004】
現在、新しい認可技術および標準認可APIを活用する新しい認可システムが市販されている。一例がIBMのポリシーディレクタ(Policy Director)である。サーバアプリケーションの開発者はこのような新しい認可システムの使用を望んでいる。なぜならば、これら認可システムは、サーバアプリケーションが新しい認可技術を活用し、必要に応じて同一規格の認可APIを使用する他の認可システムへの接続(プラグイン)を可能にする。従来これは実用的ではなかった。
【0005】
新しい認可APIに対してレガシーアプリケーションをアップグレードすることは困難なだけではなく費用もかかる。有効な解決策はレガシーアプリケーションの大規模な再符号化とテストを要するが、これは費用がかかるだけではなく、レガシーアプリケーションを変更するのに必要な技量が即座に得られない場合には不可能である。それゆえ、企業の管理者が既存のレガシーアプリケーションを保持する必要がある場合、アプリケーションを新しい認可システムへとアップグレードする際、両方の認可システムによって使用されるデータベースをサポートするよう要求されるようなら、管理者はいずれのアプリケーションもアップグレードしたくないと考えるかもしれない。
【0006】
例えば、管理者がDCE認可システムに基づく既存のサーバアプリケーションを維持するとする。このアプリケーションは、DCEベースの認可システムによって使用されるデータベースのみならず、("dce_acl_is_client_authorized"という呼び出しとして了解する)サーバ上にDCEインタフェースを保持するよう管理者に要求する。ここで、管理者が認可システムとしてIBMのポリシーディレクタを利用する新しいサーバアプリケーションの追加を望んでいるとする。この場合、標準認可APIおよびDCEベースの認可システムの双方に対する呼び出しが了解される必要があるため、管理者は、サーバへのDCEインタフェースのみならず、ポリシーディレクタ用インタフェースも維持するよう求められる。また、管理者は、両認可システムによって要求される認可データベースを維持することも求められる。
【発明の開示】
【発明が解決しようとする課題】
【0007】
それゆえ、レガシーアプリケーションを変更することなく新しい認可システムをプラグインする方法論を提供することは有利である。
【課題を解決するための手段】
【0008】
レガシーアプリケーションが認可APIおよびレガシー認可システムのバックエンドリモートインタフェースを利用できるように新しい認可システムをプラグインするための方法、システム、装置およびコンピュータプログラムプロダクトを提示する。レガシーアプリケーションがレガシー認可システム内のルーチンに対して呼び出しを行うと、その呼び出しは転送され新たに配備された認可システムのAPIに適した呼び出しを行う。
【0009】
例えば、レガシーDCE認可システムにおいて、DCEリモートACL(rdac1)に明示されたバックエンドルーチンを呼び出すDCE APIを用いた管理アプリケーションを利用することにより、管理者はオブジェクトについてのアクセス制御リスト(ACL)を構成することができる。ACLが構成された後、DCEベースのサーバアプリケーションはDCE API(例えば、dce_ac1_is_client_authorizedと名付けられたAPI)を呼び出すことによりクライアントのアクセス権を判断することができる。
【0010】
このレガシー認可モデルはアップグレードでき、リモートACLバックエンドルーチンの新規セットと新しいDCE APIを配備することにより、新しい認可システムをコンピュータの使用環境に接続することを可能にする。新しい認可システムを利用するようにサーバが構成されると、リモートACLルーチンおよび新しいDCE APIが新しい認可システムで必要なAPIを呼び出す。
【0011】
以上、本発明により関連のあるオブジェクトおよび特徴をいくつか概略した。これらのオブジェクトは、本発明のより重要な特徴および応用の一部の単なる実例として構築されるべきものである。開示発明を異なる方法で適用したり、あるいは後述するように本発明を変更することにより、その他多くの有益な結果を得ることができる。したがって、他のオブジェクトおよび本発明のより完全な理解は、以下の「発明を実施するための最良の形態」を参照することにより得られるだろう。
【発明を実施するための最良の形態】
【0012】
以下図面を参照して説明する。図1はデータ処理システムの典型的なネットワークを表す。分散データ処理システム100はネットワーク102を含む。ネットワーク102は、分散データ処理システム100内で互いに接続する様々な装置およびコンピュータ間の通信リンクを提供するのに利用できる媒体である。ネットワーク102は、ワイヤや光ファイバケーブル等の永久接続や、電話や無線通信を介した一時的接続のいずれを含んでいてもよい。例えば、ネットワーク102はインタネットを含んでいてもよい。図示の例では、サーバ104−110が記憶ユニット112と共にネットワーク102に接続されている。また、クライアント114−118もネットワーク102に接続されている。
【0013】
本発明は様々なハードウェアプラットフォーム上で実現できる。図1は非均質計算環境の一例であり、本発明に対する構成上の制限を表すものではない。ネットワークに接続されたデータ処理システムは、メインフレームコンピュータ、パーソナルコンピュータ、携帯情報端末(PDA)等、様々な電算装置によって表される。分散データ処理システム100は、図示していない更なるサーバ、クライアント、ルータおよびその他装置を備えていてもよい。
【0014】
図2に関して説明すると、図1に示すようなデータ処理システムの典型的なコンピュータアーキテクチャを表す図である。データ処理システム120は内部システムバス123に接続された1つ以上の中央演算処理装置(CPU)122を含む。システムバス123は、ランダムアクセスメモリ(RAM)124および読み出し専用メモリ(ROM)126と、プリンタ130、ディスクユニット132、あるいはサウンドシステム等図示しない他の装置等、様々な入出力装置をサポートする入出力アダプタ128とを相互接続する。また、システムバス123は、通信リンク136にアクセスする通信アダプタ134も接続する。ユーザインタフェースアダプタ148は、キーボード140およびマウス142、あるいはスタイラス、マイクロホン等の図示しないその他装置等、様々なユーザ装置を接続する。ディスプレイアダプタ144はシステムバス123をディスプレイ装置146に接続する。
【0015】
図2のハードウェアがシステム実装に応じて変わる可能性があることを当業者なら理解するであろう。例えば、システムが1つ以上のプロセッサおよび複数種類の不揮発性メモリを有していてもよい。また、図2に表されたハードウェアに加えて、あるいはそれに代えてその他の周辺装置を用いてもよい。すなわち、当業者は、ネットワークアクセス可能な電話機やデスクトップワークステーション内で類似要素やアーキテクチャを見出すことを期待しているわけではない。図示の例は本発明に関して構成上の制限を示すものではない。
【0016】
様々なハードウェアプラットフォームで実現できることに加え、本発明は様々なソフトウェア環境においても実現可能である。典型的なオペレーティングシステムを用いて各データ処理システム内でプログラムの実行を制御してもよい。例えば、ある装置はUNIX(R)オペレーティングシステムを走らせ、他の装置にはMicrosoft(R)Windows(R)オペレーティングシステム環境が入っているかもしれない。
【0017】
本発明は、上述したように、様々なハードウェアおよびソフトウェアプラットフォーム上で実現され得る。しかしながら、より具体的には、本発明はレガシーアプリケーションおよびプラグ対応認可システムと共に用いられる認可フレームワークの提供に向けられたものである。本発明をより詳細に説明する前に、背景として、既成の標準的な認可システムおよび典型的なレガシー認可フレームワークを示す。
【0018】
図3に関して説明すると、既成のアクセス制御の方法論を表すブロック図である。周知の通り、アクセス制御は、未認可でのリソースの利用の防止を含むリソースの不正使用の防止に関係する。認可機能を提供する標準的なアクセス管理フレームワークは、"Access Control Framework"というタイトルがついたISOの10181−3標準規格(国際標準化機構、"InformationRetrieval, Transfer and Management for OSI: Access Control Framework," ISO/IECJTC 1/SC 21/WG 1 N6947, Second CD 10181-3、1992年5月)において規定されてきた。
【0019】
図3は、ISOの10181−3のアクセス制御フレームワーク内でアクセスリクエストに関係する構成要素の4つの確定した基本的役割を示す。すなわち、イニシエータ150、ターゲット152、アクセス制御実施(エンフォースメント)機能(AEF)154およびアクセス制御判定機能(ADF)156である。イニシエータ150はアクセスリクエストを提出し、制御または保護されたリソースへのアクセスを得る。1つのイニシエータは一主体である。例えば、個人ユーザやコンピュータベースの主体等であり、他の主体にアクセスしようと試みる。試みられるアクセスの一部をなす操作およびオペランドを含むアクセスリクエストは、アクセスされる可能性のある任意の主体としてのターゲット152に対して実行されるある操作を特定する。操作は、イニシエータのアクセスリクエストが保護リソースに対して実行されたことを照会する任意の動作である。アクセス制御実施機能154はアクセスリクエストを仲介する。特に、あるAEF154はアクセス制御判定機能156に対して判定リクエストを提出する。このように、判定リクエストは、AEF154がADF156に送信し、特定アクセスリクエストを許可すべきか拒絶すべきかを尋ねるメッセージである。そして、ADF156は、保護された、あるいは確保されたリソースに対するアクセスリクエストを許可すべきか拒絶すべきかを決定する。リソースは、データ処理システム内におけるアプリケーション、データ、ソフトウェアコンポーネント、ハードウェアコンポーネント、またはシステムやその他ソフトウェア・ハードウェア製品の計算値である。
【0020】
前述したようなアクセス制御フレームワークにおいて、認証機能はあるシステム主体によって、あるいはそれに対して請求された身元を検証するプロセスを参照する。そして認可機能は、ユーザやプログラム等の対象に対してアクセス権を与えるプロセスを参照する。特定イニシエータがアクセス権を有するかどうかは、通常1つ以上の所謂特権属性によって判断される。特権属性はイニシエータに関連する属性であり、保護リソースの制御属性に対してマッチングした場合、該特権属性を用いて保護リソースに対するアクセスの許可あるいは拒絶が行われる。代表的な特権属性はグループメンバーシップや役割の許可上限(クリアランス)等である。
【0021】
図4に関して説明すると、既成の標準的な認可アーキテクチャを表すブロック図である。以下さらに詳述するように、本発明は、レガシーアプリケーションに対して何ら変更を加えることなく、レガシーアプリケーションが標準的な認可権限を活用するのを可能にする。図4は、認可(AZN)APIに対するオープングループの技術標準規格C908に準拠する認可サービスを表す。該オープングループの技術標準規格C908はそれ自身ISOの10181−3標準規格に準拠している。
【0022】
図4において、認可サービスは、高信頼コンピューティング基盤(TCB)200における認可ドメインすなわち「信用」ドメイン内で動作する。認可権限は、ターゲット202に対して他の使用に関しては認可されている可能性のある主体による該リソースに対する不正使用の防止を含め、ターゲット202等保護リソースの不正使用を防止するのに用いられる。人間あるいはコンピュータベースの主体であるイニシエータ204は、ターゲット202に対するアクセスを要求する。認可権限は、特権属性証明書(PAC)サービス210、信任取得サービス(CAS)212、資格授与サービス213および所定のアクセス制御判定機能(ADF)214によって提供される認可サービスから認証サービス206(およびそれに関連した認証機構208)を分離するのに役立つアクセス制御(すなわち、認可または”azn”)アプリケーションプログラミングインターフェイス205を構成する。同時に、認可API205、CAS212、PACサービス210、資格授与サービス213およびADF214は認可サービス215を構成する。
【0023】
認証サービス206および認証機構208が認可権限の一部である必要はない。実例としての実施例において、認証サービス206はケルベロス認証、公開鍵認証、あるいはいずれか他の既成認証手法を実行し、トークン信号またはユーザIDを表すその他データ構成を返す。なお、認証の特定タイプは本発明の一部をなすものではない。
【0024】
ADF214は専門分野に特化した機能であり、所定の情報に基づきアクセス制御方針のルールをアクセスリクエストに適用することによりアクセス制御判定を行う。アクセス制御方針のルールはアクセス制御方針リポジトリ(収納庫)224に格納されている。CAS212は認証サービス206によって認証されたイニシエータについての情報を用い、特権属性リポジトリすなわちデータベース218におけるイニシエータの特権属性を調べる。
【0025】
特権属性はイニシエータに関連する属性であり、保護リソースの制御属性に対してマッチングした場合、その保護リソースに対するアクセスを許可または拒絶するために用いられる。信任証は、イニシエータの特権属性の内部表現を含む認可API205によって維持された内部構成である。イニシエータの特権属性の外部表現は特権属性証明書すなわち”PAC”である。このように、PACはそれを生成した当局によって署名される可能性のある特権属性を含むデータ構成である。PACはPACサービス210によって必要とされる場合に作成される。
【0026】
企業の管理者は、特権マネージャ220を用いて特権属性を設定、管理できる。特権マネージャ220は、管理者が所定ユーザの素性に割り当てられる認可属性に対する組織の観点を定義できるようにするインタフェースである。また、企業の管理者は、ポリシーマネージャ222を用いてアクセス制御方針のルールを設定、管理できる。ポリシーマネージャ222は、管理者がADF214を作成し組織の認可方針を定義、管理できるようにするインタフェースである。これらアクセス方針はアクセス制御方針リポジトリ224に格納される。マネージャ220および222は、各々固有の表示メニュと、属性または方針データの定義および管理を促進する制御手段を有するコンピュータインタフェースである。
【0027】
必要に応じて、認可サービス215はアクセス制御実施機能(AEF)216によって参照される。AEF216は専門分野に特化した機能であり、所定のアクセス制御リクエストに関するイニシエータ204およびターゲット202間のアクセス経路の一部をなす。図3に関して説明したように、AEF216はADF214によってなされた決定を実施する。
【0028】
望ましくは、図4に示す構成要素は以下の信頼関係を有する。すなわち、ターゲットリソース202のオーナはAEF216を当てにする。これは、高信頼コンピューティング基盤200内の認証および認可サービスが未認可のイニシエータによるターゲットに対するアクセスを防止することへの信頼を暗示している。また、認証サービス206は、その認証機構208が正しく機能しイニシエータ204に対して正しい身元保証を与えるものと信用する。AEF216は、認証サービス206が(したがって、暗示的にその認証機構208が)イニシエータ204に対して正しく認証された身元保証を与えるものと信用する。
【0029】
認可API205は、AEF216が正しいアクセス制御情報すなわち”ACL”を提供するものと信用する。該アクセス制御情報はアクセス制御目的に使用される任意の情報であり、状況(文脈)上の情報を含む。相補的に、AEF216はAPI205が、そして暗示的に認可サービス215が、正しいアクセス判定をして正しいPACおよび特権属性を返送するものと信用する。また、認可API205は、そのCASが(そしてその基礎をなす特権属性リポジトリ218が)信任を表すものとしてイニシエータの身元を正しく解釈するものと信用する。さらに、認可API205はPACサービス210が信任証から正しくPACを生成し、信任の特権属性を正しく返送するものと信用する。そして、認可API205およびPACサービス210は、特権属性リポジトリ218が正しい情報を含んでいるものと信用する。さらに、認可API205は、認可サービスのADF214が(そして、その基礎をなすアクセス制御方針リポジトリ224が)正しいアクセス判定をするものと信用する。
【0030】
認可サービス内で実現される可能性のある機能の一例として、以下の表は標準的な認可APIによって提供される機能群を記載すると共に、各機能群が何をするのかを簡単に説明する。
【表1】
Figure 2004533046
【0031】
図5に関して説明すると、既成のレガシー認可システムを表すブロック図である。この例において、レガシー認可システムは、以下のようにしてイニシエータにターゲットへのアクセス許可を与えるDCE認可システムである。しかしながら、他の認可システムもレガシー認可システムの一例として用いることができることに留意する必要がある。例えば、Microsoft(R)Windows(R)2000オペレーティングシステムもDCE認可サービスと同様に認可サービスを行う。
【0032】
イニシエータ300はDCEログインAPI302を呼び出す。それに応じ、DCEログインAPIが3つのステップを実行する。第一のステップとして、DCE認証システムを用い、DCEログインAPIがDCEケルベロス鍵発行局(KDC)サービス304のリモートルーチンを呼び出し、イニシエータに対するケルベロス認証信任証を得る。
【0033】
次いで、DCEログインAPIは3つのうち残りの2ステップのためにDCE認可システムを使用する。第二のステップでは、DCEログインAPIがDCEレジストリサービス306のリモート"rs_login_get_info"ルーチンを呼び出し、イニシエータの特権属性を得る。DCEレジストリサービス306はDCEレジストリデータベース308から特権属性を得る。
【0034】
第三のステップでは、DCEログインAPIがDCE特権サービス310のリモート"rpriv_get_eptgt"ルーチンを呼び出し、イニシエータの特権属性を検証し、これら属性をDCE EPACの構成に封印する。このDCE EPACの構成は随意DCE EPAC(拡張特権属性証明書)の構成に埋め込むことができる。(この例では、PACがEPAC構成に埋め込まれるが、PACがEPAC構成に埋め込まれなくても本例は機能する。)DCE特権サービス310は3つのステップを実行することによりこれを行う。第一のステップは、DCEケルベロスKDC認証サービス304からそれ自身のケルベロス認証の信任証を得るためのステップである。第二のステップはDCEレジストリサービス306を用い特権属性を検証するためのステップである。第三のステップはDCE PACに特権属性を封印し、そのDCE PACをDCE EPAC構成に埋め込み、(イニシエータの特権属性を含む)そのDCE EPACおよび(DCE特権サービス306の認証信任証である)ケルベロス認証の信任証をDCEログインAPI302に返送するためのステップである。DCEログインAPIはこの情報をイニシエータに返送する。
【0035】
次いで、イニシエータ300は保護リソースにアクセスすべくターゲット320に対してリクエストする。このリクエストと共に、イニシエータ300は、DCE特権サービスのケルベロス認証の信任証とイニシエータのDCE EPACを渡す。この例において、イニシエータはDCE RPC(遠隔手続き呼び出し)プロトコルを用いてリクエストする。周知のとおり、クライアント・サーバモデルに基づく分散アプリケーションは2つの部分からなる。すなわち、一方のマシンで走り、ユーザの代わりにサービス要求を行うクライアントサイドのアプリケーションと、ネットワーク上の他方のマシンで走りサービス要求を遂行するサーバサイドのアプリケーションとである。ここで、2つの異なるマシン上の二つのコードをネットワークで通信可能にする必要がある。アプリケーションのクライアントおよびサーバ間の通信を実現させる1つのモデルとして遠隔手続き呼び出し(RPC)があげられる。RPCにおいては、従来のローカル手続き呼出しにおけるように、制御があるコードセグメントから他のコードセグメントへと渡され、その後元のセグメントに返される。しかしながら、遠隔手続き呼び出しにおいて、呼び出される手続きは異なるアドレス空間で、通常は呼び出す手続きとは異なるマシンで実行されるので、因数および返値をメッセージに載せネットワークで送信しなければならない。基礎をなすRPC機構はこれをプログラマに対する手続き呼び出しであるかのように見せ、RPC機能がクライアントおよびサーバノード間のネットワーク通信の細部からアプリケーションプログラマを保護する。
【0036】
ターゲット320は、先ず、DCE特権サービスのケルベロス認証の信任証が本物であることを証明する。この例において、ターゲット320はDCE RPCプロトコルを用いてこれを行う。
【0037】
認証の後、ターゲット320はイニシエータが何れのリソースにアクセスを望んでいるかを判断し、イニシエータが要求しているアクセス権を判断し、そして要求されたアクセスを実行する権限をイニシエータに与えるかどうかを判断する。これを行うために、ターゲットは4つのステップを実行する。第一のステップは、DCE RPCプロトコルによって返送されたRPC構成を手に入れるためのステップである。第二のステップは、リクエストから所望のリソース名を抽出し、これを2つのDCE汎用一意識別子(UUID)へマッピングするためのステップである。ここで2つのUUIDは、リソースに対して構成されたアクセス制御リスト(ACL)のUUIDと、このリソースへのアクセスを制御するACLマネージャのUUIDとである。第三のステップは、リクエストから所望のアクセス権を抽出し、それらをDCE許可セットへマッピングするためのステップである。第四のステップは、"dce_acl_is_client_authorized"APIを呼び出し、ACL UUID、ACLマネージャUUID、および所望のアクセス権をRPC構成に入れてクライアントに所望のリクエストを実行する権限を与えるかどうかを判断するためのステップである。
【0038】
DCE"dce_acl_is_client_authorized"APIは、DCE API322内の様々なAPIを用いて6つのステップを実行する。第一のステップは、イニシエータから受信した認証信任証が有効かどうか判断するために、RPC構成に入れてDCE RPC APIを呼び出すステップである。第二のステップは、RPC構成に入れてDCE信任証APIを呼び出してイニシエータのDCE PACを入手するためのステップである。第三のステップは、イニシエータの所望するアクセス権をDCE PACと比較してイニシエータのアクセス権セットを手に入れるためのステップである。第四のステップはACLマネージャUUIDおよびACL UUIDを使用して所望のリソースに対するACLを見つけ、このACLにおいて構成されたアクセス権セットを手に入れるためのステップである。第五のステップは、イニシエータのアクセス権セットをACLにおいて構成されたアクセス権セットと比較し、そうすることによってイニシエータに権限を与えるかどうかを判断するためのステップである。最後のステップは、イニシエータに権限を与えるかどうかを示すYESまたはNOの値をターゲットに返送するためのステップである。
【0039】
図4におけるマネージャ220および222と同様に、1つ以上のマネージャアプリケーション326は、DCE API328を用いてしかるべきデータベース内で情報を構成する。DCE認可システムは2つのデータベースが前提となる。すなわち、各ユーザの特権属性が構成されるDCEレジストリデータベース308と、各リソースのDCE ACLを構成するDCE ACLデータベース324とである。DCEレジストリデータベース308を構成するために、マネージャアプリケーションは、DCEレジストリサービスのリモートインタフェースを呼び出すDCEレジストリAPIを呼び出す。ACLデータベース324を構成するために、マネージャは、DCEリモートACLサービス330のリモートインタフェースを呼び出すDCE ACL APIを呼び出す。
【0040】
図5はレガシーアプリケーションによる利用が考えられるレガシー認可システムを示す。そして図4は、様々な更新ノンレガシー(既成でない)アプリケーションによる利用が考えられる標準的な認可システムを示す。これらとは異なり、本発明は、標準的な認可システムに対するレガシー認可システムを対象とした再ルーティング認可リクエストに照準を合わせたものである。
【0041】
図5のDCEレガシー認可システムの例においては、イニシエータの代わりになされる全ての認可処理がDCEリモートルーチンによって行われる。レガシー認可システムにおける遠隔手続き呼び出しが途中で捕捉され得るということを認知することにより、本発明はリモートルーチンに対する呼び出しを途中で捕捉し、異なる機能をそれらリモートルーチンの代わりにする。
【0042】
図4の標準的な認可システムの例においては、イニシエータの代わりになされる全ての認可処理が、認可機能を呼び出すための標準インタフェースを提供する認可API経由で行われる。この標準的な認可APIは、様々な市販のプラグ対応認可システムによって入手可能な認可機能の潜在的に異なる実装に対して標準インタフェースを提供する。プラグ対応認可システムで利用可能な標準的な認可APIを備えたレガシー認可システムの遠隔呼び出しルートを変更する能力の観測結果を用いることにより、本発明は、標準的な認可APIを介したレガシー認可システムのリモートルーチンに対する呼び出しのうち途中で捕捉されるものに対して、様々なプラグ対応の認可システムへのルートを決める方法論を提供する。すなわち、本発明は、レガシーアプリケーション維持する一方、高価で大規模なレガシーアプリケーションの再符号化なしに、様々なプラグ対応認可システムでそれらレガシーアプリケーションを使用する方法論を提供する。
【0043】
図6乃至9を参照して説明すると、レガシー認可システムにおけるリモートルーチンへの呼び出しを、本発明の好適な実施形態に係わる認可プラグインを使用して標準的な認可システムに転送する方法を示す一組のブロック図である。特に、図6は、認可プラグインをどのように用いて図5に示すイニシエータ等のイニシエータの代わりになされた認可リクエストを途中で捕捉し処理することが可能かを示す。図7は、ターゲットの代わりになされる全ての認可処理のルートを認可プラグインにより変更する方法論を示す。図8および図9は、本実施形態内で正常に機能するように管理アプリケーションを変更する仕方を表す。
【0044】
図6を参照すると、認可プラグイン400は標準的な認可サーバにインストールできる。リモートルーチンRPCエンドポイントをエキスポートする公知技術を用い、認可プラグイン400はDCEリモートレジストリおよび特権サービスのためにリモートルーチンRPCエンドポイントをエキスポートし、そうすることにより、それら2つのサービスに対する全てのリモートルーチン呼び出しを途中で捕捉、処理する。認可プラグイン400は認可サーバ上に位置しているか、あるいは、リモートルーチン呼び出しを途中で捕捉、処理できると共に標準的な認可サービスと関連づけることができるのであれば、分散コンピューティング環境内のどこに位置していてもよい。
【0045】
例えば、図5のイニシエータ300に関して上述したのと同様に、イニシエータ402は、DCE API404内の多数のAPIの1つであるDCEログインAPIを呼び出す。しかしながら、図5に示すプロセスとは異なり、DCEログインAPIが"rs_login_get_info"リモートルーチンを呼び出す際、認可プラグイン400がこのルーチンを途中で補足、処理する。このプラグインは2つのステップを実行することにより呼び出しを処理する。先ず、標準的な認可API、すなわち、上記表1にて示した"azn_creds"API等、認可API406内のAPIの1つが呼び出され、該標準認可システムによって用いられる特権属性データベース408から特権属性を検索する。第二のステップは、DCEログインAPIによって要求されるフォーマットで特権属性をDCEログインAPIに返送するステップである。
【0046】
DCEログインAPIが"rpriv_get_epac"リモートルーチンを呼び出す際、認可プラグイン400がこのルーチンを途中で捕捉、処理する。このプラグインは3つのステップからなる一連の処理動作としてこのルーチンを処理する。すなわち、(1)DCE特権サービスの同一性を前提としながらケルベロスKDC信任証をケルベロスKDCサービス410から得る(この例では、管理者がDCE特権サービスの同一性を用いてDCEの範囲において認証を行うことができるようにプラグインを構成したものとする)。(2)"azn_creds"API等、標準的な認可APIを呼び出してイニシエータの特権属性を検証し、CAS412およびPACサービス414を用いてその標準認可システムによって使用される標準的なPACにそれらを封印する。(3)DCE特権サービスのケルベロス信任証を、DCE EPAC構成に埋め込まれた(イニシエータの特権属性を含む)該標準PACと共に(DCEログインAPIによって要求されるフォーマットで)DCEログインAPIに返送する。
【0047】
図6がイニシエータの代わりに呼び出しを処理する方法を表し、図7がターゲットの代わりに呼び出しを処理する方法を表す。レガシー認可システムにもよるが、ターゲットアプリケーションはレガシー認可システムにおけるリモートルーチンに対しても遠隔手続き呼び出しを行うかもしれない。その場合には、ターゲットアプリケーションからレガシー認可システムのアプリケーションプログラミングインターフェイスへの呼び出しも、エキスポートされたRPCエンドポイントを用いて認可プラグインが転送するかもしれない。
【0048】
他のレガシー認可システムにおいては、ターゲットアプリケーションからレガシー認可システムのアプリケーションプログラミングインターフェイスへの呼び出しが、ターゲットアプリケーションにコンパイルあるいはリンクされたコードに対して直接行われるかもしれない。それらタイプのシステムにおいて、認可プラグインは、認可プラグインが標準的な認可サーバ上に配置される場合にターゲットアプリケーションに再コンパイルあるいはリンクされ得るコードライブラリの形で機能を提供するかもしれない。
【0049】
図5のDCEレガシー認可システムの例に戻って説明すると、ターゲットの代わりになされる全ての認可処理がDCE"dce_is_client_authorized"APIによって処理される。図7はこのAPIへの呼び出しがどのようにして認可プラグインにおける同一名のAPIへ転送可能になるかを示す。この例では、ターゲットアプリケーションが認可プラグインライブラリで再コンパイルされる。認可プラグインライブラリは"dce_acl_is_client_authorized"APIを実装する。そして、ターゲットアプリケーションが公知の方法で再コンパイルされ、DCEライブラリからの"dce_acl_is_client_authorized"APIではなく、プラグインライブラリからの"dce_acl_is_client_authorized"APIが処理される。
【0050】
ターゲット502がDCE API504内の多数のAPIの1つであるDCE"dce_acl_is_client_authorized"APIを呼び出す際、認可プラグイン506がこのAPIに対する呼び出しを受信、処理する。プラグインは6つのステップからなる一連の処理動作を実行することにより該APIに対する呼び出しを処理する。この一連の6つのステップは、DCE"dce_acl_is_client_authorized"APIを処理するために図5に関して上述した6つのステップと同様である。
【0051】
最初の2つのステップは、イニシエータによって渡されたDCE RPC APIを用いてケルベロス認証信任証が本物であることを証明する。これは、DCEレガシー"dce_acl_is_client_authorized"APIによって実行される第一のステップと同様である。第二のステップはDCE EPACから標準認可PACを手入するためのもので、DCEレガシー"dce_acl_is_client_authorized"APIによって実行されるのと同じである。
【0052】
第三のステップは、DCE ACLマネージャUUIDを標準認可システムによって認識されたリソースマネージャにマッピングし、そのDCE ACL UUIDを該標準認可システムによって管理されたリソースにマッピングする。第四のステップは、DCEアクセス権セットを標準認可システムによって認識されたアクセス権セットへマッピングする。第五のステップは、標準的な認可API、すなわち、表1に示す"azn_decision"等の認可API508内のAPIの1つを用い、PAC、所望のアクセス権、リソース、およびADF510およびアクセス制御リポジトリ512の使用も要求するリソースマネージャに基づき認可判定を行う。最後のステップは、認可判定、すなわちイニシエータに権限を付与するかどうかを示すYESまたはNOの値をターゲットに返送するステップである。
【0053】
図5に戻って説明すると、特権マネージャアプリケーションは、DCEレジストリデータベースにそれら属性を格納するリモートDCEレジストリルーチンに対してDCE API呼び出しを行うことにより特権属性を構成する。同様に、ポリシーマネージャアプリケーションは、DCE ACIデータベースにそれら属性を格納するリモートDCE ACLルーチンに対してDCE API呼び出しを行うことによりACL属性を構成する。図6および図7に関して説明したルート変更と同様に、図8および図9は、認可プラグインによってリモートDCEレジストリルーチンのルートをどのようにして標準認可システムに変更できるかを示すブロック図である。図8および図9に対して、図6および図7に対するのと同様に、分散コンピューティング環境の他の場所に位置していたとしても、認可プラグインは標準的な認可システムサーバにインストールされる。
【0054】
図8を参照すると、認可プラグイン600はDCEレジストリルーチンのためのリモート・ルーチンRPCエンドポイントをエキスポートし、そうすることにより、標準認可システムによって使用される特権属性データベース606にデータを格納し、DCE特権マネージャアプリケーション602からDCE API604内のDCEレジストリルーチンへの如何なる呼び出しも途中で捕捉、処理する。図9を参照すると、認可プラグイン700はDCEレジストリルーチンのためのリモート・ルーチンRPCエンドポイントをエキスポートし、そうすることにより、標準認可システムによって使用されるアクセス制御リポジトリ706にデータを格納し、DCEポリシーマネージャアプリケーション702からDCE API704内のDCEレジストリルーチンへの如何なる呼び出しも途中で捕捉、処理する。
【0055】
本発明の利点は、以上説明した発明の詳細な説明から明らかであろう。新しい認可システムは、レガシーアプリケーションが認可APIおよびレガシー認可システムのバックエンドリモートインタフェースを使用し続けることができるようにしてコンピュータ環境への接続可を能にする認可システムである。しかしながら、レガシーアプリケーションがレガシー認可システム内のルーチンに向けて呼び出しを行う場合、その呼び出しは転送され新たに配備された認可システムのAPIに適した呼び出しが行われる。新しい認可APIを使用するためにレガシーアプリケーションをアップグレードすることは困難なだけではなく費用もかかるので、本発明は、新たに配備される認可システムと連動して動作するように変更されたレガシーアプリケーションの大規模な再符号化とテストを回避するためのものである。
【0056】
解決策によっては、一組のレガシーアプリケーションの使用を減らす認可システムを維持しながら同時に新しいアプリケーションのための認可システムを配備することを企業は決定するかもしれない。この解決策は、各認可システムのために異なるセットのデータベースを維持するようシステム管理者に要求する。職員の計算リソースからの変更、追加および削除等にもよるが、任意の変更に対して複数セットのデータベースを更新する必要が生じるかもしれない。一方、本発明に関しては、新たに配備された認可システムのデータベースだけが維持されればよい。レガシー認可システムで動作するよう設計されたレガシーアプリケーションは、標準の認可システム内で使用される同じデータベースから情報を取り出す。
【0057】
以上、本発明を完全に機能しているデータ処理システムの状況において説明したが、本発明のプロセスが、配布を行うのに実際用いられる媒体が特定タイプの信号搬送媒体であるかどうかに係わらず、コンピュータによって読み出し可能な媒体に格納した命令の形や、その他様々な形態で配布可能なことを当業者なら理解するであろうことに留意することが重要である。コンピュータによって読み出し可能な媒体には、EPROM、ROM、テープ、紙、フレキシブルディスク、ハードディスクドライブおよびRAMやCD−ROM等の媒体、そしてディジタルおよびアナログ通信リンク等の伝送型の媒体が含まれる。
【0058】
本発明に対する上述は説明のために提示されたもので、開示される実施形態に包括されたり限定されたりするものではない。多くの変更や変形が可能なことは当業者には明らかである。以上の実施形態は本発明とその実用化の原理を説明するために選択されたものであり、その他検討される利用にふさわしいかもしれない様々な変更を伴う様々な実施形態を実現するために、当業者が本発明を容易に理解できるようにしたものである。
【図面の簡単な説明】
【0059】
【図1】既成のアクセス制御方法論のブロック図である。
【図2】既成のアクセス制御方法論のブロック図である。
【図3】既成のアクセス制御方法論のブロック図である。
【図4】既成の標準的な認可アーキテクチャのブロック図である。
【図5】既成のレガシー認可システムのブロック図である。
【図6】本発明の好適実施形態に係わり、認可プラグインをどのように用いてイニシエータの代わりになされる認可リクエストを途中で捕捉し処理することが可能かを示すブロック図である。
【図7】本発明の好適実施形態に係わり、認可プラグインをどのように用いてターゲットの代わりになされる認可リクエストを途中で捕捉し処理することが可能かを示すブロック図である。
【図8】認可プラグインをどのように用いてマネージャアプリケーションによってなされるリクエストを途中で捕捉し処理することが可能かを示すブロック図である。
【図9】認可プラグインをどのように用いてマネージャアプリケーションによってなされるリクエストを途中で捕捉し処理することが可能かを示すブロック図である。

Claims (40)

  1. データ処理システム内の保護リソースに対するアクセス許可方法において、
    第一の認可サービスに向けられた許可要求に対する遠隔手続き呼び出しを第二の認可サービスに関連する認可プラグインによって途中で捕捉するステップであって、該認可プラグインが第一の認可サービスのための遠隔手続き呼び出しのエンドポイントをエクスポートするステップと、
    第二の認可サービスのアプリケーションプログラミングインターフェイスを呼び出すことにより認可プラグインにおいて許可要求を処理するステップとを備える方法。
  2. 遠隔手続き呼び出しがイニシエータから途中捕捉される請求項1記載の方法。
  3. 遠隔手続き呼び出しがターゲットアプリケーションから途中捕捉される請求項1記載の方法。
  4. 1つ以上の保護リソースを表すターゲットアプリケーションを再コンパイルまたは再リンクして認可プラグインからのプログラム命令を含めるステップと、
    ターゲットアプリケーション内の呼び出しを、認可プラグインからのプログラム命令によって実行される第一の認可サービスのアプリケーションプログラミングインターフェイスに送るステップとをさらに備える請求項1記載の方法。
  5. 第一の認可サービスが分散コンピューティング環境(DCE)の認可サービスである請求項1記載の方法。
  6. 第二の認可サービスがISOの標準規格10181−3に準拠する請求項1記載の方法。
  7. データ処理システム内の保護リソースに対するアクセス許可方法において、
    分散コンピューティング環境(DCE)認可サービスのリモートルーチンに対する遠隔手続き呼び出しを第二の認可サービスに関連する認可プラグインによって途中で捕捉するステップであって、該認可プラグインがDCE認可サービスのリモートルーチンのための遠隔手続き呼び出しのエンドポイントをエクスポートすると共に、該第二の認可サービスが標準規格準拠の認可アプリケーションプログラミングインターフェイスをサポートするステップと、
    第二の認可サービスのアプリケーションプログラミングインターフェイスを呼び出すことにより認可プラグインにおいて許可要求を処理するステップとを備える方法。
  8. DCE"rs_login_get_info"ルーチンに対する呼び出しを途中で捕捉するステップと、
    第二の認可サービスにおける特権属性データベースからイニシエータの特権属性を検索するステップと、
    該特権属性をDCEアプリケーションプログラミングインターフェイスに返送するステップとをさらに備える請求項7記載の方法。
  9. DCE"rpriv_get_epac"ルーチンに対する呼び出しを途中で捕捉するステップと、
    DCE特権サービスのための認可信任証を得るステップと、
    該特権属性を特権属性証明書に格納するステップと、
    認可信任証及び特権属性証明書をDCE拡張特権属性証明書(EPAC)構成に埋め込むステップと、
    該EPAC構成をアプリケーションプログラミングインターフェイスに返送するステップとをさらに備える請求項8記載の方法。
  10. 1つ以上の保護リソースを表すターゲットアプリケーションを再コンパイルまたは再リンクして認可プラグインからのプログラム命令を含めるステップと、
    ターゲットアプリケーション内の呼び出しを、認可プラグインからのプログラム命令によって実行されるDCE認可サービスのアプリケーションプログラミングインターフェイスに送るステップとをさらに備える請求項7記載の方法。
  11. "dce_acl_is_client_authorized"アプリケーションプログラミングインターフェイスに対する呼び出しを認可プラグインにおいて受け付けるステップと、
    イニシエータによってターゲットアプリケーションに渡された認可信任証が本物であることを確認するステップとをさらに備える請求項10記載の方法。
  12. DCE EPAC構成から特権属性証明書を検索するステップと、
    DCE EPAC構成からのDCEアクセス制御リスト(ACL)マネージャの汎用一意識別子(UUID)を第二の認可サービスのリソースマネージャへマッピングするステップと、
    DCE EPAC構成からのDCE ACL UUIDを第二の認可サービスによって管理されるリソースへマッピングするステップと、
    DCE EPAC構成からのDCEアクセス権セットを第二の認可サービスのアクセス権セットへマッピングするステップと、
    第二の認可サービスのアプリケーションプログラミングインターフェイスを呼び出し、第二の認可サービスのアクセス権セット、特権属性証明書、リソース、およびリソースマネージャに基づき認可判定を行うステップと、
    認可判定の指示をターゲットアプリケーションに返送するステップとをさらに備える請求項11記載の方法。
  13. 標準規格準拠の認可アプリケーションプログラミングインターフェイスが認可APIのオープングループの技術標準規格C908である請求項7記載の方法。
  14. データ処理システム内の保護リソースに対するアクセス許可方法において、
    サーバで保護リソースに対する許可要求を受信するステップであって、第一の認可サービスに対する遠隔手続き呼び出し(RPC)アプリケーションプログラミングインターフェイス(API)を用いて該許可要求を生成するステップと、
    第二の認可サービスに関連する認可プラグインによって遠隔手続き呼び出しを途中で捕捉するステップと、
    許可要求を第二の認可システムのAPIに転送するステップとを備える方法。
  15. データ処理システム内の保護リソースに対するアクセス許可装置において、
    第一の認可サービスに向けられた許可要求に対する遠隔手続き呼び出しを第二の認可サービスに関連する認可プラグインによって途中で捕捉する手段であって、該認可プラグインが第一の認可サービスのための遠隔手続き呼び出しのエンドポイントをエクスポートする途中捕捉手段と、
    第二の認可サービスのアプリケーションプログラミングインターフェイスを呼び出すことにより認可プラグインにおいて許可要求を処理する処理手段とを備える装置。
  16. 遠隔手続き呼び出しがイニシエータから途中捕捉される請求項15記載の装置。
  17. 遠隔手続き呼び出しがターゲットアプリケーションから途中捕捉される請求項15記載の装置。
  18. 1つ以上の保護リソースを表すターゲットアプリケーションを再コンパイルまたは再リンクして認可プラグインからのプログラム命令を含める変更手段と、
    ターゲットアプリケーション内の呼び出しを、認可プラグインからのプログラム命令によって実行される第一の認可サービスのアプリケーションプログラミングインターフェイスに送る送信手段とをさらに備える請求項15記載の装置。
  19. 第一の認可サービスが分散コンピューティング環境(DCE)の認可サービスである請求項15記載の装置。
  20. 第二の認可サービスがISOの標準規格10181−3に準拠する請求項15記載の装置。
  21. データ処理システム内の保護リソースに対するアクセス許可装置において、
    分散コンピューティング環境(DCE)認可サービスのリモートルーチンに対する遠隔手続き呼び出しを第二の認可サービスに関連する認可プラグインによって途中で捕捉する手段であって、該認可プラグインがDCE認可サービスのリモートルーチンのための遠隔手続き呼び出しのエンドポイントをエクスポートすると共に、該第二の認可サービスが標準規格準拠の認可アプリケーションプログラミングインターフェイスをサポートする第一の途中捕捉手段と、
    第二の認可サービスのアプリケーションプログラミングインターフェイスを呼び出すことにより認可プラグインにおいて許可要求を処理する処理手段とを備える装置。
  22. DCE"rs_login_get_info"ルーチンに対する呼び出しを途中で捕捉する第二の途中捕捉手段と、
    第二の認可サービスにおける特権属性データベースからイニシエータの特権属性を検索する第一の検索手段と、
    該特権属性をDCEアプリケーションプログラミングインターフェイスに返送する第一の返送手段とをさらに備える請求項21記載の装置。
  23. DCE"rpriv_get_epac"ルーチンに対する呼び出しを途中で捕捉する第三の途中捕捉手段と、
    DCE特権サービスのための認可信任証を得る取得手段と、
    該特権属性を特権属性証明書に格納する格納手段と、
    認認可信任証及び特権属性証明書をDCE拡張特権属性証明書(EPAC)構成に埋め込む埋込手段と、
    該EPAC構成をアプリケーションプログラミングインターフェイスに返送する第二の返送手段とをさらに備える請求項22記載の装置。
  24. 1つ以上の保護リソースを表すターゲットアプリケーションを再コンパイルまたは再リンクして認可プラグインからのプログラム命令を含める変更手段と、
    ターゲットアプリケーション内の呼び出しを、認可プラグインからのプログラム命令によって実行されるDCE認可サービスのアプリケーションプログラミングインターフェイスに送る送信手段とをさらに備える請求項21記載の装置。
  25. "dce_acl_is_client_authorized"アプリケーションプログラミングインターフェイスに対する呼び出しを認可プラグインにおいて受け付ける受付手段と、
    イニシエータによってターゲットアプリケーションに渡された認可信任証が本物であることを確認する認証手段とをさらに備える請求項24記載の装置。
  26. DCE EPAC構成から特権属性証明書を検索する第二の検索手段と、
    DCE EPAC構成からのDCEアクセス制御リスト(ACL)マネージャの汎用一意識別子(UUID)を第二の認可サービスのリソースマネージャへマッピングする第一のマッピング手段と、
    DCE EPAC構成からのDCE ACL UUIDを第二の認可サービスによって管理されるリソースへマッピングする第二のマッピング手段と、
    DCE EPAC構成からのDCEアクセス権セットを第二の認可サービスのアクセス権セットへマッピングする第三のマッピング手段と、
    第二の認可サービスのアプリケーションプログラミングインターフェイスを呼び出し、第二の認可サービスのアクセス権セット、特権属性証明書、リソース、およびリソースマネージャに基づき認可判定を行う呼出手段と、
    認可判定の指示をターゲットアプリケーションに返送する第三の返送手段とをさらに備える請求項25記載の装置。
  27. 標準規格準拠の認可アプリケーションプログラミングインターフェイスが認可APIのオープングループの技術標準規格C908である請求項21記載の装置。
  28. 保護リソースに対するアクセスを許可するデータ処理システムに用いられ、コンピュータによって読み出し可能な媒体に格納されたコンピュータプログラムプロダクトにおいて、
    第一の認可サービスに向けられた許可要求に対する遠隔手続き呼び出しを第二の認可サービスに関連する認可プラグインによって途中で捕捉するための命令であって、該認可プラグインが第一の認可サービスのための遠隔手続き呼び出しのエンドポイントをエクスポートする途中捕捉のための命令と、
    第二の認可サービスのアプリケーションプログラミングインターフェイスを呼び出すことにより認可プラグインにおいて許可要求を処理するための命令とを備えるプログラムプロダクト。
  29. 遠隔手続き呼び出しがイニシエータから途中捕捉される請求項28記載のプログラムプロダクト。
  30. 遠隔手続き呼び出しがターゲットアプリケーションから途中捕捉される請求項28記載のプログラムプロダクト。
  31. 1つ以上の保護リソースを表すターゲットアプリケーションを再コンパイルまたは再リンクして認可プラグインからのプログラム命令を含めるための命令と、
    ターゲットアプリケーション内の呼び出しを、認可プラグインからのプログラム命令によって実行される第一の認可サービスのアプリケーションプログラミングインターフェイスに送るための命令とをさらに備える請求項28記載のプログラムプロダクト。
  32. 第一の認可サービスが分散コンピューティング環境(DCE)の認可サービスである請求項28記載のプログラムプロダクト。
  33. 第二の認可サービスがISOの標準規格10181−3に準拠する請求項28記載のプログラムプロダクト。
  34. 保護リソースに対するアクセスを許可するデータ処理システムに用いられ、コンピュータによって読み出し可能な媒体に格納されたコンピュータプログラムプロダクトにおいて、
    分散コンピューティング環境(DCE)認可サービスのリモートルーチンに対する遠隔手続き呼び出しを第二の認可サービスに関連する認可プラグインによって途中で捕捉するための命令であって、該認可プラグインがDCE認可サービスのリモートルーチンのための遠隔手続き呼び出しのエンドポイントをエクスポートすると共に、該第二の認可サービスが標準規格準拠の認可アプリケーションプログラミングインターフェイスをサポートする途中捕捉のための命令と、
    第二の認可サービスのアプリケーションプログラミングインターフェイスを呼び出すことにより認可プラグインにおいて許可要求を処理するための命令とを備えるプログラムプロダクト。
  35. DCE"rs_login_get_info"ルーチンに対する呼び出しを途中で捕捉するための命令と、
    第二の認可サービスにおける特権属性データベースからイニシエータの特権属性を検索するための命令と、
    該特権属性をDCEアプリケーションプログラミングインターフェイスに返送するための命令とをさらに備える請求項34記載のプログラムプロダクト。
  36. DCE"rpriv_get_epac"ルーチンに対する呼び出しを途中で捕捉するための命令と、
    DCE特権サービスのための認可信任証を得るための命令と、
    該特権属性を特権属性証明書に格納するための命令と、
    認可信任証及び特権属性証明書をDCE拡張特権属性証明書(EPAC)構成に埋め込むための命令と、
    該EPAC構成をアプリケーションプログラミングインターフェイスに返送するための命令とをさらに備える請求項35記載のプログラムプロダクト。
  37. 1つ以上の保護リソースを表すターゲットアプリケーションを再コンパイルまたは再リンクして認可プラグインからのプログラム命令を含めるための命令と、
    ターゲットアプリケーション内の呼び出しを、認可プラグインからのプログラム命令によって実行されるDCE認可サービスのアプリケーションプログラミングインターフェイスに送るための命令とをさらに備える請求項34記載のプログラムプロダク。
  38. "dce_acl_is_client_authorized"アプリケーションプログラミングインターフェイスに対する呼び出しを認可プラグインにおいて受け付けるための命令と、
    イニシエータによってターゲットアプリケーションに渡された認可信任証が本物であることを確認するための命令とをさらに備える請求項37記載のプログラムプロダク。
  39. DCE EPAC構成から特権属性証明書を検索するための命令と、
    DCE EPAC構成からのDCEアクセス制御リスト(ACL)マネージャの汎用一意識別子(UUID)を第二の認可サービスのリソースマネージャへマッピングするための命令と、
    DCE EPAC構成からのDCE ACL UUIDを第二の認可サービスによって管理されるリソースへマッピングするための命令と、
    DCE EPAC構成からのDCEアクセス権セットを第二の認可サービスのアクセス権セットへマッピングするための命令と、
    第二の認可サービスのアプリケーションプログラミングインターフェイスを呼び出し、第二の認可サービスのアクセス権セット、特権属性証明書、リソース、およびリソースマネージャに基づき認可判定を行うための命令と、
    認可判定の指示をターゲットアプリケーションに返送するための命令とをさらに備える請求項38記載のプログラムプロダク。
  40. 標準規格準拠の認可アプリケーションプログラミングインターフェイスが認可APIのオープングループの技術標準規格C908である請求項34記載のプログラムプロダク。
JP2002580140A 2001-03-21 2002-03-01 プラグ対応認可システムに対するサーバサポート方法およびシステム Expired - Fee Related JP4164855B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/814,808 US7320141B2 (en) 2001-03-21 2001-03-21 Method and system for server support for pluggable authorization systems
PCT/EP2002/002210 WO2002082240A2 (en) 2001-03-21 2002-03-01 Method and system for server support for pluggable authorization systems

Publications (2)

Publication Number Publication Date
JP2004533046A true JP2004533046A (ja) 2004-10-28
JP4164855B2 JP4164855B2 (ja) 2008-10-15

Family

ID=25216048

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002580140A Expired - Fee Related JP4164855B2 (ja) 2001-03-21 2002-03-01 プラグ対応認可システムに対するサーバサポート方法およびシステム

Country Status (7)

Country Link
US (2) US7320141B2 (ja)
JP (1) JP4164855B2 (ja)
KR (1) KR20030085024A (ja)
AU (1) AU2002242714A1 (ja)
CA (1) CA2439446C (ja)
IL (1) IL157671A0 (ja)
WO (1) WO2002082240A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010528376A (ja) * 2007-05-25 2010-08-19 マイクロソフト コーポレーション クローズドシステム用のプログラミングフレームワーク

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7320141B2 (en) * 2001-03-21 2008-01-15 International Business Machines Corporation Method and system for server support for pluggable authorization systems
US7290266B2 (en) * 2001-06-14 2007-10-30 Cisco Technology, Inc. Access control by a real-time stateful reference monitor with a state collection training mode and a lockdown mode for detecting predetermined patterns of events indicative of requests for operating system resources resulting in a decision to allow or block activity identified in a sequence of events based on a rule set defining a processing policy
AU2002348916A1 (en) * 2001-11-27 2003-06-10 Koninklijke Philips Electronics N.V. Conditional access system
US7287277B2 (en) * 2001-12-21 2007-10-23 Hewlett-Packard Development Company, L.P. Method and apparatus for controlling execution of a computer operation
US7640267B2 (en) * 2002-11-20 2009-12-29 Radar Networks, Inc. Methods and systems for managing entities in a computing device using semantic objects
US7703128B2 (en) * 2003-02-13 2010-04-20 Microsoft Corporation Digital identity management
JP2004334330A (ja) * 2003-04-30 2004-11-25 Sony Corp 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体
WO2004109443A2 (en) * 2003-06-02 2004-12-16 Liquid Machines, Inc. Managing data objects in dynamic, distributed and collaborative contexts
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
US7617501B2 (en) 2004-07-09 2009-11-10 Quest Software, Inc. Apparatus, system, and method for managing policies on a computer having a foreign operating system
US8286223B2 (en) * 2005-07-08 2012-10-09 Microsoft Corporation Extensible access control architecture
US7904949B2 (en) * 2005-12-19 2011-03-08 Quest Software, Inc. Apparatus, systems and methods to provide authentication services to a legacy application
US8087075B2 (en) 2006-02-13 2011-12-27 Quest Software, Inc. Disconnected credential validation using pre-fetched service tickets
US8429712B2 (en) 2006-06-08 2013-04-23 Quest Software, Inc. Centralized user authentication system apparatus and method
US7895332B2 (en) 2006-10-30 2011-02-22 Quest Software, Inc. Identity migration system apparatus and method
US8086710B2 (en) 2006-10-30 2011-12-27 Quest Software, Inc. Identity migration apparatus and method
US8966584B2 (en) * 2007-12-18 2015-02-24 Verizon Patent And Licensing Inc. Dynamic authentication gateway
US8448218B2 (en) * 2008-01-17 2013-05-21 Josep Bori Method and apparatus for a cryptographically assisted computer system designed to deter viruses and malware via enforced accountability
CN101616136B (zh) * 2008-06-26 2013-05-01 阿里巴巴集团控股有限公司 一种提供互联网服务的方法及服务集成平台系统
US10628847B2 (en) 2009-04-15 2020-04-21 Fiver Llc Search-enhanced semantic advertising
US8255984B1 (en) 2009-07-01 2012-08-28 Quest Software, Inc. Single sign-on system for shared resource environments
CN101604371B (zh) * 2009-07-22 2012-02-08 阿里巴巴集团控股有限公司 插件权限的控制方法及系统
US9003543B2 (en) * 2010-12-21 2015-04-07 Microsoft Technology Licensing, Llc Providing a security boundary
KR101587030B1 (ko) * 2010-12-27 2016-02-03 에스케이텔레콤 주식회사 M2m 어플리케이션의 api 함수 호출 정책 관리 시스템 및 그 구현 방법
US9027141B2 (en) * 2012-04-12 2015-05-05 Netflix, Inc. Method and system for improving security and reliability in a networked application environment
US9197498B2 (en) * 2012-08-31 2015-11-24 Cisco Technology, Inc. Method for automatically applying access control policies based on device types of networked computing devices
US8925050B2 (en) 2012-10-29 2014-12-30 Oracle International Corporation Communication between authentication plug-ins of a single-point authentication manager and client systems
US9332019B2 (en) * 2013-01-30 2016-05-03 International Business Machines Corporation Establishment of a trust index to enable connections from unknown devices
US11681568B1 (en) 2017-08-02 2023-06-20 Styra, Inc. Method and apparatus to reduce the window for policy violations with minimal consistency assumptions
US11496517B1 (en) 2017-08-02 2022-11-08 Styra, Inc. Local API authorization method and apparatus
US10719373B1 (en) 2018-08-23 2020-07-21 Styra, Inc. Validating policies and data in API authorization system
US11853463B1 (en) 2018-08-23 2023-12-26 Styra, Inc. Leveraging standard protocols to interface unmodified applications and services
US11080410B1 (en) 2018-08-24 2021-08-03 Styra, Inc. Partial policy evaluation
US11245728B1 (en) 2018-10-16 2022-02-08 Styra, Inc. Filtering policies for authorizing an API
US10846155B2 (en) * 2018-10-16 2020-11-24 Samsung Electronics Co., Ltd. Method for NVMe SSD based storage service using RPC and gRPC tunneling over PCIe +
US11593525B1 (en) 2019-05-10 2023-02-28 Styra, Inc. Portable policy execution using embedded machines
US11886605B2 (en) * 2019-09-30 2024-01-30 Red Hat, Inc. Differentiated file permissions for container users
US11502992B1 (en) 2020-01-27 2022-11-15 Styra, Inc. Local controller and local agent for local API authorization
US11645423B1 (en) 2020-03-02 2023-05-09 Styra, Inc. Method and apparatus for distributing policies for authorizing APIs
US11513778B1 (en) 2020-08-14 2022-11-29 Styra, Inc. Graphical user interface and system for defining and maintaining code-based policies
US11593363B1 (en) 2020-09-23 2023-02-28 Styra, Inc. Comprehension indexing feature
US11520579B1 (en) 2020-11-30 2022-12-06 Styra, Inc. Automated asymptotic analysis

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04107741A (ja) * 1990-08-29 1992-04-09 Mitsubishi Electric Corp Rpcにおけるサービスプロシージャの外出し方式
JPH05113959A (ja) * 1991-10-23 1993-05-07 Hitachi Ltd リモ−トプロシジヤコ−ル要求代行処理方法および装置
JPH06214924A (ja) * 1992-09-25 1994-08-05 Bull Hn Inf Syst Inc ネットワーク・システムで動作する非分散計算環境(dce)およびdceシステムを連結する関連要素機構
JPH0926879A (ja) * 1994-11-21 1997-01-28 Internatl Business Mach Corp <Ibm> 要求伝達方法及びそのネットワーク
JPH09212365A (ja) * 1996-01-03 1997-08-15 Internatl Business Mach Corp <Ibm> 分散コンピューティング環境でのオブジェクト・セキュリティ・サービス認可の統合を含む情報取り扱いシステム、方法および製品
JPH09305419A (ja) * 1996-01-10 1997-11-28 Sun Microsyst Inc 遠隔プロシージャ・コール・システムおよび方法
JPH09319757A (ja) * 1996-05-29 1997-12-12 N T T Data Tsushin Kk 情報検索システム
JPH10187467A (ja) * 1996-12-27 1998-07-21 Hitachi Ltd リモートプロシジャコール処理方法
JPH1125052A (ja) * 1997-07-04 1999-01-29 Hitachi Ltd アクセス制御方式
JP2000003348A (ja) * 1998-04-01 2000-01-07 Hewlett Packard Co <Hp> 遠隔的にコマンドを実行する装置
JP2000057082A (ja) * 1998-08-12 2000-02-25 Nec Corp 上位アプリケーション資産を継承した新機種外部機器制御方式
WO2001011486A2 (en) * 1999-08-05 2001-02-15 Oracle Corporation Internet file system

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2719680B1 (fr) * 1994-05-05 1996-07-12 Gemplus Card Int Procédé de sécurisation des accès aux cartes amovibles pour ordinateur.
US5706286A (en) * 1995-04-19 1998-01-06 Mci Communications Corporation SS7 gateway
US5638431A (en) * 1995-05-01 1997-06-10 Mci Corporation Calling card validation system and method therefor
US5640446A (en) * 1995-05-01 1997-06-17 Mci Corporation System and method of validating special service calls having different signaling protocols
US5774551A (en) * 1995-08-07 1998-06-30 Sun Microsystems, Inc. Pluggable account management interface with unified login and logout and multiple user authentication services
US5999622A (en) * 1995-11-22 1999-12-07 Microsoft Corporation Method and apparatus for protecting widely distributed digital information
US5815657A (en) * 1996-04-26 1998-09-29 Verifone, Inc. System, method and article of manufacture for network electronic authorization utilizing an authorization instrument
US5963924A (en) * 1996-04-26 1999-10-05 Verifone, Inc. System, method and article of manufacture for the use of payment instrument holders and payment instruments in network electronic commerce
US6016484A (en) * 1996-04-26 2000-01-18 Verifone, Inc. System, method and article of manufacture for network electronic payment instrument and certification of payment and credit collection utilizing a payment
US5958008A (en) * 1996-10-15 1999-09-28 Mercury Interactive Corporation Software system and associated methods for scanning and mapping dynamically-generated web documents
US5870559A (en) * 1996-10-15 1999-02-09 Mercury Interactive Software system and associated methods for facilitating the analysis and management of web sites
US5959577A (en) * 1997-08-28 1999-09-28 Vectorlink, Inc. Method and structure for distribution of travel information using network
US6282703B1 (en) * 1998-10-29 2001-08-28 International Business Machines Corporation Statically linking an application process with a wrapper library
US7333942B1 (en) * 1999-03-26 2008-02-19 D-Net Corporation Networked international system for organizational electronic commerce
US6792605B1 (en) * 1999-06-10 2004-09-14 Bow Street Software, Inc. Method and apparatus for providing web based services using an XML Runtime model to store state session data
US7203946B2 (en) * 1999-10-11 2007-04-10 Hewlett-Packard Development Company, L.P. System and method for intercepting, instrumenting and characterizing usage of an application programming interface
US7320141B2 (en) * 2001-03-21 2008-01-15 International Business Machines Corporation Method and system for server support for pluggable authorization systems

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04107741A (ja) * 1990-08-29 1992-04-09 Mitsubishi Electric Corp Rpcにおけるサービスプロシージャの外出し方式
JPH05113959A (ja) * 1991-10-23 1993-05-07 Hitachi Ltd リモ−トプロシジヤコ−ル要求代行処理方法および装置
JPH06214924A (ja) * 1992-09-25 1994-08-05 Bull Hn Inf Syst Inc ネットワーク・システムで動作する非分散計算環境(dce)およびdceシステムを連結する関連要素機構
JPH0926879A (ja) * 1994-11-21 1997-01-28 Internatl Business Mach Corp <Ibm> 要求伝達方法及びそのネットワーク
JPH09212365A (ja) * 1996-01-03 1997-08-15 Internatl Business Mach Corp <Ibm> 分散コンピューティング環境でのオブジェクト・セキュリティ・サービス認可の統合を含む情報取り扱いシステム、方法および製品
JPH09305419A (ja) * 1996-01-10 1997-11-28 Sun Microsyst Inc 遠隔プロシージャ・コール・システムおよび方法
JPH09319757A (ja) * 1996-05-29 1997-12-12 N T T Data Tsushin Kk 情報検索システム
JPH10187467A (ja) * 1996-12-27 1998-07-21 Hitachi Ltd リモートプロシジャコール処理方法
JPH1125052A (ja) * 1997-07-04 1999-01-29 Hitachi Ltd アクセス制御方式
JP2000003348A (ja) * 1998-04-01 2000-01-07 Hewlett Packard Co <Hp> 遠隔的にコマンドを実行する装置
JP2000057082A (ja) * 1998-08-12 2000-02-25 Nec Corp 上位アプリケーション資産を継承した新機種外部機器制御方式
WO2001011486A2 (en) * 1999-08-05 2001-02-15 Oracle Corporation Internet file system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010528376A (ja) * 2007-05-25 2010-08-19 マイクロソフト コーポレーション クローズドシステム用のプログラミングフレームワーク
US8523666B2 (en) 2007-05-25 2013-09-03 Microsoft Corporation Programming framework for closed systems

Also Published As

Publication number Publication date
US20020178377A1 (en) 2002-11-28
CA2439446C (en) 2009-01-06
US7320141B2 (en) 2008-01-15
WO2002082240A3 (en) 2003-10-02
KR20030085024A (ko) 2003-11-01
WO2002082240A2 (en) 2002-10-17
CA2439446A1 (en) 2002-10-17
AU2002242714A1 (en) 2002-10-21
US20080052762A1 (en) 2008-02-28
JP4164855B2 (ja) 2008-10-15
IL157671A0 (en) 2004-03-28
US7752661B2 (en) 2010-07-06

Similar Documents

Publication Publication Date Title
JP4164855B2 (ja) プラグ対応認可システムに対するサーバサポート方法およびシステム
US6282652B1 (en) System for separately designating security requirements for methods invoked on a computer
US6934758B2 (en) Stack-based access control using code and executor identifiers
RU2523113C1 (ru) Система и способ целевой установки сконфигурированного программного обеспечения
US7865959B1 (en) Method and system for management of access information
US8239954B2 (en) Access control based on program properties
US6754829B1 (en) Certificate-based authentication system for heterogeneous environments
JP5635978B2 (ja) 人間が介入しないアプリケーションのための認証されたデータベース接続
US20030177376A1 (en) Framework for maintaining information security in computer networks
CN102299914A (zh) 用于启用网络层声明的访问控制的可信中介
BRPI0114066B1 (pt) sistema e método de assinatura de código
US6681330B2 (en) Method and system for a heterogeneous computer network system with unobtrusive cross-platform user access
US8522307B2 (en) Flexibly assigning security configurations to applications
US10178183B2 (en) Techniques for prevent information disclosure via dynamic secure cloud resources
KR20060134925A (ko) 확장가능하고 안전한 원격 데스크탑 접근을 위한 방법 및장치
US7950000B2 (en) Architecture that restricts permissions granted to a build process
US20050240765A1 (en) Method and apparatus for authorizing access to grid resources
US11947657B2 (en) Persistent source values for assumed alternative identities
KR20010040981A (ko) 스택에 기초한 보안 조건
US8875300B1 (en) Method and apparatus for authenticating a request between tasks in an operating system
US20100180329A1 (en) Authenticated Identity Propagation and Translation within a Multiple Computing Unit Environment
KR20240048518A (ko) 외부 id 관리 서비스를 사용한 유연한 구성 관리를 위한 방법 및 장치
Allen et al. The ASP. NET Security Infrastructure

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070417

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070605

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20070605

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20070605

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20070605

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080222

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080303

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20080303

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080716

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20080717

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20080717

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080718

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110808

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees