JP2004533075A - サーバーセキュリティ及び権限付与処理のためのシステム及びその方法 - Google Patents

サーバーセキュリティ及び権限付与処理のためのシステム及びその方法 Download PDF

Info

Publication number
JP2004533075A
JP2004533075A JP2003504584A JP2003504584A JP2004533075A JP 2004533075 A JP2004533075 A JP 2004533075A JP 2003504584 A JP2003504584 A JP 2003504584A JP 2003504584 A JP2003504584 A JP 2003504584A JP 2004533075 A JP2004533075 A JP 2004533075A
Authority
JP
Japan
Prior art keywords
access
security
authorization
access request
resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003504584A
Other languages
English (en)
Other versions
JP2004533075A5 (ja
Inventor
ポール パトリック
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEA Systems Inc
Original Assignee
BEA Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEA Systems Inc filed Critical BEA Systems Inc
Publication of JP2004533075A publication Critical patent/JP2004533075A/ja
Publication of JP2004533075A5 publication Critical patent/JP2004533075A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy

Abstract

差し込み可能なアーキテクチャは、セキュリティ及びビジネスロジックのプラグインが、サーバー(206)をホストとするセキュリティサービスの中に挿入され、かつ、そのサーバー上、セキュリティドメイン(208)内の他のサーバー上、又はセキュリティドメイン間に存在する一以上の安全なリソースへのアクセスを制御することを可能にする。セキュリティサービス(222)は、セキュリティ実行、及びアクセス権判定における焦点として動作し、及び、一つのログイン処理内で使用又は判定された情報は、透過的かつ自動的に他のログイン処理に流通させることができる。権限付与は、特定のユーザー(204)が、特定の状況の中で、特定のリソース(226)を用いて、出来ること又は出来ないことを示している。権限の付与は、安全性の確保された環境の技術的側面(許可又は拒否の概念)を反映するだけでなく、サーバー提供者が要求するビジネスロジック又は機能を表現するためにも使用される。このようにして、権限の付与は、単純なセキュリティプラットフォームと複雑なビジネスポリシーのプラットフォームとの間の隔たりを埋める。

Description

【技術分野】
【0001】
本発明は、一般的にサーバーセキュリティ機構に関するものであり、特にサーバーセキュリティのためのアーキテクチャに関するものである。
【背景技術】
【0002】
サーバー技術、特定的にはeコマースのサーバーに適用される「セキュリティ」という用語は、この数年の間に、セキュリティ環境のいくつかの側面をカバーするまでに拡張されてきた。この用語の元来の定義は、特定のユーザー(あるいはクライアント)を認証したり、またアクセスを許可されていないサーバー上の情報を、ユーザーが検索、閲覧、あるいはアクセスしないようにする機構を、常に想定していた。
【0003】
図1は、今日一般に使用されているセキュリティ機構の典型例を示している。クライアント102,104は、多数のプロトコル、例えばhttp110及びIIOP112を介して、アプリケーションサーバー106のようなセキュリティの確保されたリソースにアクセスする。アクセス要求は、典型的には物理的に固定された一連の規則に基づいて、要求されたアクセスを許可するか又は許可しないかを判定するセキュリティレイヤー118を通して、フィルターされる。セキュリティレイヤーは、保護されたリソース(たとえば、アプリケーションサーバーそのもの)のコンポーネントとすることができ、又は別の実体(たとえば、ファイアウォールシステムやデバイスの一部)として動作するものとすることもできる。
【0004】
現在のシステムでは、アクセス要求の性質、クライアントの形式、又は保護されたリソースの形式を解析する試みは、殆ど又は全くなされていない。従って、セキュリティは、サーバーによって提供される保護されたリソースを理解し、それらのリソースへのユーザーやクライアントのアクセス権を支配する、あらかじめ定義された一連の規則を理解するような形態に設計された単純な「許可又は拒否」機構として考えられることが多い。要求が作成される方法、又は特定のユーザーがリソースへのアクセスを要求きるようにする環境設定についての理解は、殆ど又は全くなされず、またセキュリティ機構は、セキュリティについてのビジネスポリシーにおける新たな変更を反映するための規則の容易な修正には適していない。
【0005】
セキュリティの概念、とりわけユーザー特有の環境を表している情報を含むサーバーセキュリティの概念、及び特定の安全性の確保されたリソースへのアクセス要求の表現方法を発展させる試みがなされてきた。同様に、ビジネスポリシー、セキュリティポリシー、及びアクセス権における変更を反映するために、容易に修正可能なセキュリティの仕組みを提供する試みもなされている。一般的に、これらの方法は、一連のビジネスポリシーについての質問を一緒に集め、「これはOKですか?---このアクセスはセキュリティ規則に従って許可されますか?」と問いかけることを、依然としてアプリケーションプログラマーの責任とする。この過程を全て含んでおり、セキュリティ関連ビジネスポリシーの質問を尋ねるプログラム及びアプリケーションを開発できるようにするのに、プログラマーがビジネスの意味及びビジネスポリシーを理解する必要がないようにする機構が必要とされている。
【0006】
最近では、リソースの安全性確保に関する新しい一連の要求が、アプリケーションサーバーの顧客とシステムインテグレーターとの話し合いから生じている。これらの新たな要求は、構造基盤の代わりとしてのアプリケーションという観点からのセキュリティとして表現される。これらの新たな要求の中での主要な区別は、ビジネスポリシー実行の存在である。ビジネスポリシーの実行は、典型的には、ユーザーが行為する役割及びビジネス要求の状況に基づいて、ユーザーが遂行することの「権限が与えられた」行為として記述される。顧客及びシステムインテグレーターは、アプリケーションの中にビジネスポリシーを実行するコードを埋め込まなければならないことに、失望している。この形式のロジックの埋め込みは、ビジネスポリシーが変更される度に、アプリケーションが修正され、テストされ、かつ再配置されなければならないという点で、配置問題を生み出す。ビジネスポリシーの変更のレートが与えられると、修正及び再配置に対する現在の要求は受け入れられないものとなる。
【0007】
顧客及びシステムインテグレーターは、理想的にはこれらの新しい承認能力を、異なる形式の実行及びリソースコンテナ、例えばEnterpriseJavaBean(EJB)、WebApplications(Servlet、JSP)のためのものを含む実行及びリソースコンテナ、並びに他の形式のビジネス及びリソースコンテナにわたって、普遍的に適用できるようにしたいのであろう。役割ベースのアクセス制御(RBAC)は、顧客及びシステムインテグレーターが求める主要な許可形式の一つとなりつつある。役割を使用する傾向は、承認判定を行う時に、組織の識別情報を識別の抽象的な形態として用いることを許す。役割の使用は、管理全体を単純化するため、アプリケーションセキュリティの管理におけるコスト及びエラーの両方を軽減する機構を提供する。
【0008】
Java2EnterpriseEdition(J2EE)は、役割ベースのアクセス制御の宣言形態を定義する。しかしながら、それは宣言計画に基づくため、主体に対する役割の関連付けは静的なものである。さらに、現在のJ2EEの仕様は、与えられた主体と関連付けられる役割を決定する際に、要求のパラメータ又はターゲットの識別のようなビジネス要求の状況を考慮に入れることができる手段を、全く提供していない。その結果、アプリケーション開発者は、「オーナー」のような概念をサポートするために、動的な役割の関連付けを計算するビジネスポリシーの規則を、アプリケーション内に実装することが求められる。
【0009】
近頃では、顧客及びシステムインテグレーターは、Java2セキュリティで定義されるパーミッションベースのアクセス制御や、Java2EnterpriseEditionで定義される役割ベースのアクセス制御によって提供されるもの以上に、より豊かな一連の承認能力を要求している。より高レベルの承認に対する要求の基本は、アクセス制御リスト及びビジネスポリシー実行といった、従来の承認機構の共通部分に見ることができ、また承認判定を行う際に、ビジネス要求の状況を考慮に入れることができる能力を含むこともできる。要求の状況は、ターゲットオブジェクトの識別情報、要求のパラメータの値、及び手続開始クライアントのネットワークアドレス又はIPアドレスのような潜在的な環境情報を含んでいる。
【0010】
実行又はリソースコンテナの形式に関係なく、これらの新しい承認能力の統合のための単純な機構の欠如が、顧客及びシステムインテグレーターの失望の原因となっている。サービスプロバイダーインターフェース(SPI)は、外部の承認プロバイダーとの統合を許すための機構であり、カリフォルニア州サンノゼのBEAシステムIncの製品であるWebLogicサーバー等のいくつかのアプリケーションサーバーによって用いられている。このSPIの領域は、第三者承認機構を統合するための有効な手段として用いられる能力を制限するか、あるいは顧客及びシステムインテグレーターに新しい承認機能が求めらられるという点で、多くの限定がある。
【0011】
現在の「領域」SPIの最も大きな制限の一つは、実行の範囲である。現在、領域SPIの機構の実行範囲は、EnterpriseJavaBean及びWebアプリケーションのようなリソースをカバーしない。特に領域SPIは、JMSの宛先、JNDIのエントリー、及びきめの粗いレベルのサーブレットのようなRMI形式のリソースに焦点が当てられる。そのようなリソースの保護をサポートするのに必要な承認ポリシーの定義を維持するために、領域SPIはアップデートできるのであるが、これが、最終的に領域SPIをすべての承認要求を受け入れるのには非現実的な機構にしてしまう他の制限である。
【0012】
現在の領域SPIの第二の制限は、実行のポイントである。現在の領域SPIの機構は、保護されたリソースへのアクセスが領域自身の中に存在することを許すような判定がなされるポイントを許さない。そのかわり、実行のポイントは、アプリケーションサーバー自身の中にある。このアプローチのため、現在の領域SPIは、パーミッションベースの承認機構のみをサポートするように定義されており、領域SPIは単にアクセス制御リストのデータベースとして動作する。同様に、Java2sandboxもサポートできるJava2のポリシーオブジェクトを提供するほどの複雑さは、殆どのベンダーで受け入れられていない。
【0013】
さらに他の制限は、現在の領域SPIの実行機構のサポートである。実行ポイントについては、現在の領域SPIによって許されている実行の機構は、パーミッションベースの承認機構に基づくもののみに限定される。これが、第三者承認プロバイダーを導く能力に反するものであり、これらプロバイダーの統合は、日常ベースで顧客及びシステムインテグレーターによって望まれている。
【0014】
これらの制限は合わさって、プロバイダーの価値提供を最小化することなくエンタープライズアプリケーションサーバーと統合することができる承認プロバイダーの形式を抑制する。求められている高度の承認を提供するために、要求の状況を獲得するような能力は現在残っていない。
【0015】
(優先権の主張)
本出願は、2001年6月11日に出願された、「サーバーセキュリティ及び権限付与処理のためのシステム及びその方法」という名称の米国特許出願第09/878,536号に基づく優先権を主張するものであり、この出願を引用により本出願の中に組み入れる。
【0016】
(発明の概要)
本発明は、一般的に、サーバーセキュリティ、特にサーバーセキュリティと権限付与処理を提供するアーキテクチャに関するものである。差し込み可能なアーキテクチャは、セキュリティ及びビジネスロジックのプラグインが、サーバーをホストとするセキュリティサービスの中に挿入され、かつ、そのサーバー上、セキュリティドメイン内の他のサーバー上、又はセキュリティドメイン間にある一以上の安全性の確保されたリソースへのアクセスを制御することを可能にする。セキュリティサービスは、セキュリティ実行、及びアクセス権判定における焦点として動作し、また、ある一つのログインプロセスの中で使用又は判定された情報は、他のログイン処理にも透過的かつ自動的に流通させることができる。
【0017】
本発明はまた、アクセス状況内で使用される権限付与の概念を導入する。本出願の文脈の中で使用される、「ユーザー」又は「クライアント」は、同一の事−実際の人間、実際の人間の管理下にあるハードウェアデバイス或いはソフトウェアアプリケーション、又はユーザー介入なしの自己管理下で動作するハードウェアデバイス或いはソフトウェアアプリケーションのいずれか、をいう。ユーザー(又はクライアント)は、サーバー上にある保護されたリソースへアクセスしようとする実体である。この保護されたソフトウェアとは、たとえばサーバー上で動作するソフトウェアアプリケーション、特定のウェブページ或いはウェブサイトの一部、又はデータベース等である。
【0018】
ユーザーがリソースにアクセスしようとする時、セキュリティサービスは、アクセス要求の形式、宛先(保護されたリソース)、及びその要求が作成された環境−以下、アクセス状況または単に状況と呼ぶ、を判定する。この情報から、セキュリティサービスは、ユーザーに対する「権限の付与」、又は一連の権限の付与を決定することができる。権限の付与は、特定のユーザーが、特定の状況で、特定のリソースを用いて、出来ること又は出来ないことを明白に示すものである。権限の付与は、安全性の確保された環境の技術的側面(許可又は拒否の概念)を反映するのみならず、サーバー提供者が要求するビジネスロジック、又は機能を表すことにも使用される。このようにして、権限の付与は、単純なセキュリティプラットフォームと、複雑なビジネスポリシープラットフォームとの間の隔たりを埋める。
【0019】
その能力を説明するため、次のようなビジネス例を考える:
「スミス医師は、患者の医療カルテを更新することができますか?」という質問に対する答えは、その質問が尋ねられた状況に依存する。パーミッションベースの承認システムでは、リソースは『医療カルテ』オブジェクトのある事例であり、要求は『更新する』ことであり、そして対象は『スミス医師』であるので、状況はない。従って、もし返された答えが『はい』ならば、スミス医師はいかなる患者のカルテでも更新することができる。能力ベースの承認システムでは、質問中に、どの患者の、という必要な状況を付加することが可能である。従って、この質問は、「スミス医師は、ジョン・ジョー氏の医療カルテを更新することができますか?」というように言い換えられることができる。この質問に対する回答を判定するにあたり、スミス医師がジョン・ジョー氏の個人的な医者であるのか、又はおそらく医療センターでの担当医であるのか、を知る必要がある。単純な循環を使って、その概念を次のように表すことができる。
【0020】
ある実施形態では、本発明は、クライアントが保護されたリソースにアクセスすることを許し、保護されたリソースへのアクセスについてのクライアントアプリケーションからのアクセス要求を受け取り、及び前記アクセス要求をセキュリティサービスに伝えるアプリケーションインターフェース機構と;前記アクセス要求を許可または拒否する判定を行うセキュリティサービスと;許可されたアクセス要求を前記保護されたリソースに伝えるリソースインターフェースとを備えるセキュリティシステム、を備えるものである。
【0021】
他の実施形態では、本発明は、クライアントが保護されたリソースにアクセスすることを許し、保護されたリソースへのアクセスについてのクライアントアプリケーションからのアクセス要求をアプリケーションインターフェース機構で受け取り、前記アクセス要求をセキュリティサービスに伝えるステップと;前記セキュリティサービスで、前記アクセス要求を許可又は拒否する判定を行うステップと;リソースインターフェースを介して、許可されたアクセス要求を前記保護されたリソースへ伝えるステップとを備える方法、を備えるものである。
【0022】
(発明の詳細な説明)
本発明の実施形態は、サーバーセキュリティ及び権限付与処理を提供し、セキュリティ及びビジネスロジックプラグインがサーバーをホストとするセキュリティサービスに挿入されることを許し、かつ、そのサーバー上、そのセキュリティドメイン或いはセキュリティ領域内の別のサーバー上、又はセキュリティ領域間に存在する一以上の安全性の確保されたリソースへのアクセスを制御するのに使用されるセキュリティアーキテクチャを含む。セキュリティサービスは、セキュリティ実行及びアクセス権判定における焦点として動作し、かつ、シングルサイン又はセキュリティ実行を考慮して、一つのログイン処理内で使用された情報は、自動的に他のログイン処理にも流通させることができる。
【0023】
以下で定義される新しい用語を除いて、本文書で使用される用語は、Java、EnterpriseJavaBeans、WebLogicサーバーに関する標準書で定義される専門用語、及びその他一般的に認められているセキュリティ概念と一致するものである。
アクセス制御 - 承認されないリソースの使用を防ぐための、リソースへのアクセス制限
アクセス制御情報 (ACI) - リソースへのアクセス要求の発起者についての情報であり、アクセス制御実行の判定を行うために使用される。
アクセス制御リスト (ACL) - リソースにアクセスすることを承認された実体を、それらのアクセス権と共に示すリスト。
承認 - 権限の許可であり、アクセス権に基づくアクセスの許可を含む。
資格 - ユーザー又はその他の主体のセキュリティ属性(識別情報及び/又は特権)を記述する情報。資格は、認証又は権限の委任を通して主張され、かつアクセス制御によって使用される。
権限の委任 - おそらく制限を伴って、一人のユーザーあるいは主体が、他者に、自分の識別情報又は特権を使用する権限を与える行為。
権限の付与 - ある主体に認められた権利または許可。
識別情報 - 一意性を持つセキュリティ属性であり、如何なる二つの主体の識別情報も同一であることはない。主体は、それぞれ一意の、いくつかの異なった種類の識別情報を有する。
主体 - システムのリソースを使用できる能力を持つユーザー、又はあらかじめプログラムされた実体。
役割 - 承認されたユーザーに対する一連の許容される行為を定義する、組織的な識別情報。
役割ベースのアクセス制御 (RBAC) - 役割と呼ばれる組織的な識別情報を通じて、リソースへのアクセスを調停するセキュリティ機構のクラス。
セキュリティ属性 - その対象を支配するシステムポリシーの基礎を形成する、対象(ユーザーまたは主体)の特性。
セキュリティポリシー - システムのセキュリティサービスが何の保護を提供しなければならないか、を定義するデータ。アクセス制御ポリシー、検査ポリシー等を含む多数の種類のセキュリティポリシーがある。
サービスプロバイダーインターフェース (SPI) - サービスの一部の具体的な実装をサポートするパッケージ、又は一連のパッケージ。
ターゲット - 権限委任における「呼び出し連鎖」中の、最終受信者。呼び出しの発信者ではない、呼び出し連鎖における唯一の参加者である。
ターゲットオブジェクト - ビジネス要求メッセージの受信者。
信託モデル - もしシステムを安全のまま保つのであれば、システム中のどのコンポーネント及びシステム外のどの実体を信託すべきか、及び何についてそれらを信託すべきか、についての記述。
信託演算処理基盤 (TCB) - システムを安全に保持するために、正しく機能すべきシステムの部分。TCBは、耐不正性であることがのぞましく、そのポリシーの実行は妨げられてはならない。
認証されない主体 - 如何なる識別情報又は特権も認証されなかったユーザー、または他の主体。
ユーザー - 自分の代理としてオブジェクトにシステム内で機能を実行させるために、当該オブジェクトに要求を出すようにシステムを利用する人間。
【0024】
ここで記述される本発明の実施形態は、アクセスに関連して使用される権限付与の判定を可能にしている。典型的には、ユーザーは、サーバー上の保護されたリソースにアクセスしようとする。この保護されたリソースとは、例えば、サーバー上で動作するソフトウェアアプリケーション、特定のウェブページ又はウェブサイトの一部、或いはデータベースシステムである。他の形式の保護されたリソースも、本発明の技術的範囲内である限り使用することができる。ユーザーがリソースにアクセスしようとする時、セキュリティサービスは、アクセス要求の形式、宛先(保護されたリソース)、及び要求が作成された状況を判定する。この情報から、セキュリティサービスは、ユーザーに対する、権限の付与、又は一連の権限付与を判定することができる。権限の付与は、特定のユーザーが特定の状況のもとで特定のリソースを用いて出来ることを、明白に示す。権限の付与は、サーバー提供者が要求するビジネスロジック又は機能を表すのに使用され、それゆえ、単純なセキュリティプラットフォームと複雑なビジネスポリシープラットフォームとの間の隔たりを埋めている。
【0025】
本発明の実施形態は、さらに、以下のようなアプリケーション形式に保護を提供する第三者ベンダーのセキュリティ製品の統合も考慮に入れる:
・ EnterpeiseJavaBean
・ ウェブアプリケーション(Servlets、JavaServerPages(JSP's))
・ リソース(RemoteMethodInvocation(RMI)、JavaMessagingSystem(JMS))
【0026】
本発明の実施形態は、また、以下のような高度な機能をサポートするため、外部公開鍵の構造基盤の統合も考慮に入れる:
・ 証明書と鍵の検索
・ 証明書の有効化
・ 無効化機構(証明書革新リスト(CRL)、オンライン証明書状態プロトコル(OCSP))
【0027】
本発明を開発するにあたっての重要な目標は、Java2EnterpriseEdition(J2EE)の仕様、及びそれとの間の相互運用性のサポートを含むことである。このJ2EEの仕様の特徴は、共通安全相互運用性(CSI)プロトコル、ユーザー識別トークン、状態なし認証サービス(SAS)プロトコル、マシン、クラスタ、及び/又はドメインの境界間にわたるセキュリティ資格の伝搬のサポート、ポリシーに基づく識別情報の伝搬の制御、仮想ホスト/サイトの高度なサポート、ドメイン範囲内でのユーザー識別情報の生成能力、及びホスト/サイト特有のセキュリティポリシーを含む。
【0028】
本発明の他の重要な目標は、更新されたSSL能力、ハードウェア加速器、トランスポート層セキュリティ(TLS)プロトコル、セッション再開、証明書認可局、ネットワーク接続の保護、ウェブサーバーのプロキシ、サーバー対サーバー通信、セッションIDの暗号化、及びディレクトリサーバーとの高度な統合、のような機能のサポートを含むことである。
【0029】
セキュリティドメイン
本発明の状況において使用される、セキュリティ領域又はセキュリティドメインは、一つのサーバー、複数のサーバー、一群のサーバー、又は管理ドメインに及ぶものである。本発明は、セキュリティドメイン内での、セキュリティドメインにわたる、及びセキュリティドメイン間における識別情報伝搬の管理制御を考慮している。クライアントアプリケーション又はユーザーの識別情報は、伝搬され、かつセキュリティドメインによって有効範囲を絞られる。たとえば:
Principal-Identity@security-domain-name
【0030】
伝搬が動作不能の時は、手続開始識別情報は発信者不明(アノニマス)として表すことができる。たとえば:
Figure 2004533075
【0031】
フレームワーク
本発明によって提供されるセキュリティアーキテクチャ又はフレームワークは、出された要求及び多数の他の事に対処するよう意図されている。承認要求のみに焦点をあてると、このセキュリティアーキテクチャは、典型的なパーミッションベースの承認に加えて、次のような能力を提供しようと試みる。
【0032】
動的な役割の関連付け
動的な役割の関連付けとは、役割の主体への関連付けの遅い結合を許す機構、すなわち、主体に権限付与されている機能を判定する間に、要求の状況を考慮に入れることができるようにする機構である。動的な役割の関連付けは、実行時における、主体の役割との遅い結合として考えることもできる。この遅い結合は、主体対役割の関連付けが静的に定義されるか、動的に計算されるかに関わらず、保護されたリソースに対する承認判定の直前に生ずる。呼び出しシーケンスにおける位置付けにより、主体対役割の関連付けについてのどんな結果も、この要求の一部としてなされた何れかの承認判定の一部としての識別情報として、受け取ることが出来る。
【0033】
静的に定義された関連付けと異なり、主体の役割への関連付けは、実行時に動的に計算される。動的役割の計算は、ターゲットの識別情報(利用可能な場合)、要求のパラメータの値、手続開始主体に関連付けられたプロファイル属性の値、並びに潜在的な他の情報、を含む要求の背景を作り上げる多くの情報にアクセスすることができる。
【0034】
状況の情報は、典型的には、規則又は式評価エンジンによって評価されることとなる式の中のパラメータ値として利用される。評価エンジンによって提供される機能に依存して、主体が飛んだ距離の大きさのような外部計算を行う外部クラスを呼び出す能力を表現することも可能であり、これはその時、式のパラメータとして使用される。
【0035】
対象中の主体と動的に関連付けられるべき役割を計算することに加えて、この機能は、また、J2EEで定義された配置記述の使用を通じてか又は管理者によってか、のいずれかで静的に定義された役割を関連付ける任務もある。
【0036】
この能力の結果は、一実施形態においては、対象に含まれる体が所定の状況及びターゲットを受け取る権限を付与された役割を含む更新されたJAAS Subjectである。これらの役割は、次いで、ビジネスコンテナ及びアプリケーションコードと同様に、保護されたリソース上での何らかの承認判定に利用できる。たとえば、個人向けサーバー、アプリケーションサーバー、又はウェブサーバーは、特定の役割がウェブページを個人向けにする手段として対象によって保持されるか否か、を判定する標準的な方法を利用することが出来る。この機構は、アクセスが許可されるべきか否かを判定するビジネスポリシーの情報を持つことなく、フィールドレベルの承認という結果となる、データベースの記録からフィールドの検索を行うか否かを判定するために、EnterpriseJavaBean又は他のアプリケーションで使用される。
【0037】
パラメータ承認
パラメータ承認とは、保護されたリソースについての承認判定が、潜在的に要求の状況に基づいてなされることを可能にする機構である。本発明によって提供されるアーキテクチャの範囲内で、その実施範囲は、全ての実行及びリソースコンテナに適用できるまでに拡張された。これは、すべての実行及びリソースコンテナに、セキュリティサービスによって提供されるアクセス制御装置オブジェクトを通して、承認及び役割のマッピングサービスを獲得させることにより、遂行される。このアクセス制御装置は、要求される能力を提供するため、サービスプロバイダーインターフェース(SPI)を通して提供される承認サービスを利用する。
【0038】
動的な役割の関連付け及びパラメータ承認を提供するのに使用される機構を実際に定義するサービスプロバイダーインターフェースは、権限委任される承認デザインに基づくものであり、これは実行点がアプリケーションサーバー自身の中でなく機能の提供側に移るという結果を生ずる。
【0039】
さらに、承認フレームワークを備えるサービスプロバイダーインターフェース上で定義される方法は、第三者承認ベンダーによって提供されるサービスとより自然に提携するように設計された実施機構を利用するものである。能力ベース機構の使用は、権限委任される承認手法が、能力ベースとパーミッションベースの両方の実装をサポートすることを可能にする。
【0040】
従来のセキュリティ機構は、所定のリソースに対して主体に与えられた権限のみに基づくものであるので、状況なしの傾向が強い。それゆえ、なされる承認判定の唯一の形式は、主体がリソースにアクセスするのに必須な権限を持っているか否か、というものである。承認判定のこれらの形式は、ビジネス判定を表そうとするものではないので、より複雑になっている。結果として、この制限を補償するために、付加的なセキュリティチェックがアプリケーションコードの中でしばしば要求される。たとえば、従来の方法を使用することにより、主体が特定の口座にお金を転送することが許されるか否かについて、評価できた。しかしながら、送金の合計、発信元と送信先の両方の口座の通貨、及び曜日を考慮に入れることは不可能である。
【0041】
本発明に従ったパラメータ承認ベースの機構では、要求の状況を使って承認判定がなされ、それゆえ、その承認判定は、より綿密に現実のビジネス判定を表している。アプリケーション自身の中で、セキュリティチェックを補う必要は殆どない。例えば、実社会の銀行業務の例に本発明を使用すると、誰によって、及びどのような環境下で送金が許されるか否かを管理するビジネスポリシーの処理の一部として、送金の合計、送信元と送信先の両方の口座の通貨、及び曜日を考慮に入れて、承認判定することが可能となる。
【0042】
状況情報へのアクセス
いくつかの他のシステムが、上で述べたパラメータ承認の記述と同様な機能を提供しようとする一方で、これら先行のシステム及び方法はすべて、呼び出し元に対し、評価されているビジネスポリシーのパラメータについての以前の情報を持つように要求する。この情報への要求は、アプリケーションコード−ビジネスポリシーのある側面の情報の中で承認判定を行う場合と、事実上、全く同じ問題を提示する。他の状況情報を要求するためにビジネスポリシーが変更される度に、アプリケーションは修正かつ再配置されなければならない。
【0043】
ビジネスポリシーについての以前の情報なしで、状況情報を提供することの問題への対処は、承認プロバイダーからコンテナへの呼び戻しの使用によって遂行される。アプリケーションを根本的に変化させる要求のパラメータの形式又は数の変更が、アプリケーションの再配置を要求する一方で、動的な役割の関連付け及びパラメータ承認プロバイダーの実装が、アプリケーションに0ビジネスポリシー面の以前の情報を持つことを要求することなく、状況情報にアクセスすることが可能となる。
【0044】
本発明を用いて動作し、かつ承認フレームワークをサポートするように定義されたサービスプロバイダーインターフェース(SPI)は、Java認証及び承認サービス(JAAS)で定義されるのと同様な、標準化された呼び戻し機構を利用することができる。コンテナからサービスプロバイダーインターフェースの実装へ渡される呼び戻し処理ルーチンを利用することで、プロバイダーは特定の状況情報が返されるよう要求できる。コンテナの呼び戻し処理ルーチンが呼ばれると、コンテナは、呼び戻しに適切な値を代入することにより応答する。もしコンテナが、処理ルーチンの中で指定される呼び戻しを理解しない場合には、コンテナは、呼び戻しに値の変更を反映しない。アプリケーションもコンテナもいずれも、特定のビジネスポリシーの式の評価によって導き出される状況情報を問われるものであるため、ビジネスポリシーに対する変更は意識しない。
【0045】
機能説明
パラメータ承認の要求を満たすのに使用される、権限付与処理エンジン(権限付与エンジン)の実装は、次のような要求をサポートしなければならない:
【0046】
実装は、ビジネス要求からのパラメータ値、主キー、認証されたユーザーを意味するJAAS対象内の主体からの属性、及び状況の一部と考えられ得るその他の何らかの情報が、規則式の一部として表現されることを明示できるべきである。
【0047】
実装は、規則の評価によって使用される可能性のある如何なるパラメータ情報も、規則評価の最初に渡されることを要求するのではなく、呼び出し元からオンデマンドで、パラメータ情報を要求できるべきである。情報要求の機構は、JAASにおいて定義されるのと同様な呼び出し形式であるべきである。その実装は、個々の情報それぞれについて呼び戻しを行い、一つの呼び戻しの中で複数の情報を要求する、又はその組み合わせを行う。
【0048】
実装は、規則評価の一部として呼び出されるJavaクラス名を指定できるべきである。Javaクラスから返される値は、規則式の評価の中で使用される。これは、規則を評価する際に考慮される値を計算するためにユーザー提供のコードが呼び出されるという、マクロ機能として考えられる。たとえば、旅行予約の例では、規則式は、対象によって表される乗客が現在までに飛行したマイル数を計算、又は調べるユーザー提供クラスへの呼び出しを指定することもできる。
【0049】
一連の規則の評価は、規則が正常に満たされたか否かを示すブーリアン値となるべきである。
【0050】
本発明は、即座に適応及びカスタマイズできるビジネス機能及びシナリオを可能にするために、配置又は「プラグイン」されるアプリケーションの実装、特にログイン、承認、及び検査実装の範囲内でのフレームワークアーキテクチャを、企業アプリケーション開発者に提供する。
【0051】
本発明によって提供されるフレームワークアーキテクチャは、開発者(又はユーザー)に見えない、かつセキュリティ処理を付加的に階層化又は変換する必要なく、提供されたセキュリティを企業全体に分散させることができる方法でのこれらセキュリティ機能の利用を大幅に拡張することを除いて、特に、Java開発者が既存のJavaセキュリティ機能を利用することを可能にしている。
【0052】
本発明の実施形態は、特に、企業及びサーバーセキュリティ、及びビジネスワークフローの分野で役立つ。フレームワークは差し込み可能なアーキテクチャを使用するので、アーキテクチャの中核を修正する必要なく第三者ベンダーがセキュリティ実装のプラグインを提供することを可能にしている。これらのプラグインは、デジタル証明書及びキー検索、証明書の有効化及び無効化機構(例えばCRLやOCSP)のためのツールを含む。差し込み可能なフレームワークアーキテクチャは、それゆえ、EnterpriseJavaBeans(EJB's)、アプリケーション(Servlet及びJSP'sを含む)、及び他のネットワークリソース(例えばRMI,JNDI,JMSの宛先)、のような企業リソースの安全なアクセス制御を考慮に入れる。
【0053】
さらに、本発明のフレームワークアーキテクチャは、特に、安全な承認、及び企業全体のセキュリティドメイン全域にわたる安全なリソースアクセスの方法を提供するのに適している。ドメインを持つ各サーバーは、異なる一連の機能、サービス、及びアプリケーションを提供する。本発明は、ドメイン全域にわたる又は協調ドメイン間でのクライアントのアクセス権限を判定する一回限定ログオンの機構を通して、各サーバーの特定のサービスを利用することができるクライアントアプリケーションを、開発者が配置することを可能にしている。
【0054】
図2は、本発明の実施形態に従ったセキュリティアーキテクチャの例を示している。その中に示されるように、クライアント202,204(物理的なハードウェアクライアント、又はソフトウェアアプリケーション)は、トランザクション又はアプリケーションサーバー208を介して、持続的ディレクトリサーバーのような安全性の確保されたサービス又はリソース206にアクセスしようと試みる。そのようなトランザクションサーバーの一例として、カリフォルニア州サンノゼ所在のBEA Systems Inc.によるWeblogicサーバー製品があるが、本発明では、如何なる他のサーバー製品又は等価なシステムを使用することも可能である。インターネットCORBAのクライアントは、典型的には、InternetInter-ORBプロトコル(IIOP)要求212を通じて、そのようなアクセスを試みる。ウェブのクライアントは、典型的には、ウェブサーバー214を介して直接的に、又はプロキシプラグイン216(このケースでは、プロキシはまた、例えばSSL暗号化218のような付加的機能も提供する)を介してのいずれかにより、一連のhttp要求210を通してアクセスを試みる。いかなる場合においても、接続試行は、しばしば最初の接続フィルター220を介して、トランザクションサーバーに受け取られ、そしてセキュリティサービス222に渡される。本発明によれば、セキュリティサービス222は、クライアント及びユーザレベルのリソースアクセス、承認、証明、権限評価、及び権限付与の判定を含む、セキュリティ判定における焦点となる。EnterpriseJavaBeans(EJB's)224、ウェブアプリケーション(WebApp's)226、及び他の形式のアプリケーションはすべて、コンテナの使用を通じて、セキュリティサービスを利用する。図2の場合には、セキュリティサービスは、これらコンテナから保護されたリソースへの呼び出しを処理する。呼び出しは、例えば複数のMBeans230、又はJNDI232によって処理される。
【0055】
図3は、セキュリティサービスのアーキテクチャ300の実施形態を、非常に詳細に示している。セキュリティサービスは、標準Java2EnterpriseEditionのセキュリティセットにより提供される基本的なセキュリティサービス及び機能を強化するものである。この例に示されるように、基本的なJavaセキュリティセット302は、他との間の、鍵の保管、認証、証明書の有効化、及び安全なソケットのためのセキュリティプロバイダーインターフェース304を含む。顧客アプリケーション306は、Javaセキュリティ層、及びこれらSPI'sを直接利用するように書かれている。本発明は、図3に示すように、これら及び他のセキュリティ機能の利用における、開発者の選択の幅を大幅に広げている。本発明によれば、顧客アプリケーションは、例えばWebAppコンテナ310のEJBコンテナ308のようなコンテナの中に配置される。コンテナは直接、セキュリティサービス314(ここでは、セキュリティサービス222と同じ)と通信し、セキュリティサービス314は、Javaセキュリティ層302及びそのセキュリティSPI's304と、交替で通信する。これは、安全な承認判定に対する責務を、アプリケーションから移し、かつセキュリティサービス層に任せるとを可能にする。
【0056】
さらに、本発明は、既存のJavaセキュリティSPI's304の使用を、特化されたSPI's316,318と統合するのに理想的である。例えば、接続フィルター、アクセス判定インターフェース、検査チャネル、及び証明書認証者のような付加的SPI'sは、セキュリティサービスに含まれる、又は統合される。セキュリティサービスは、安全な企業リソース全域へのアクセスを調停する。
【0057】
図4は、アプリケーションが安全なリソースへアクセスするために本発明を使用する過程を示している。ステップ402で、開発者は顧客アプリケーションを作成する。アプリケーションは、実際のユーザーあるいは顧客によって使用されるものとすることができ、又は他のアプリケーションがセキュリティサーバーを利用できるようにするためのアプリケーションインターフェースプログラムとすることもできる。ステップ404で、アプリケーションはコンテナ内部に配置され、その配置過程については、以下でより詳細に開示する。次いで、アプリケーションは、ステップ406において、コンテナを用いてセキュリティサービスにアクセスする。任意で、ステップ408において、セキュリティサービスは、一連のJ2EE準拠のJavaセキュリティ機能と直接、整合性をとることができる。一方、ステップ410では、コンテナは、第三者又はカスタムのセキュリティプロバイダーインターフェースへのアクセスを可能にするのに使用される。ステップ412で、セキュリティプロバイダーインターフェースは、要求されたアクセスが許可されるべきであることをセキュリティサービスが示したのを受けて、アプリケーションが安全なリソースにアクセスすることを許可する。
【0058】
図5は、コンテナ内部にアプリケーションを配置するのに使用される配置機構の、一実施形態を示している。図5に示すように、データは、アプリケーションコンテナ504による使用のため、セキュリティサービス502(ここでは、セキュリティサービス314と同じ)に登録される。従来的には、コンテナが配置記述506から情報を読み取り、それから実際のコンテナが実行する。もし、WebAppのコンテナ、EJBのコンテナというように、異なる種類のコンテナが存在する場合、異なる実装エンジンである必要がある。さらに、コンテナを持たず、かつ配置説明も持たないJ2EE環境の内部に、一連のリソースが存在する。この方法を用いる一番の問題は、セキュリティの様々な側面が、一つの環境の中で、異なった方法で実行されることである。本発明は、第一に、配置記述子を読み取ったコンテナが、その中で定義されているセキュリティ制限及びポリシーをセキュリティサービスに伝えることを可能にすることにより、この問題に対処するが、これはセキュリティサービス内部のセキュリティポリシーの集団となる。第二に、コンテナは、その後保護されたリソースへのアクセス要求を作成した時には、全ての承認判定をセキュリティサービスに委任し、従って、実行点が、コンテナからセキュリティサービスに移ることになる。配置記述を通して提供される、並びに管理ツールを通して管理者によって定義されるセキュリティ制限及びポリシーを参照することにより、承認判定がなされる。配置ツールは、また、配置記述子を読み取る、及びセキュリティサービス内部に存在するセキュリティ情報を記録するのにも使用される。配置ツールは、次からは、配置記述子を読み取ることなく、直接セキュリティサービスへ向かうことができる。
【0059】
図6は、アプリケーションの配置の間に、データがセキュリティサービスの中に入り込む過程を示している。ステップ602で、開発者が、配置記述を作成する。その記述は、ステップ604でコンテナに渡され、コンテナは何の情報をセキュリティサービスに渡すべきか評価するため、その情報を解析する。任意で配置記述は配置ツールに与えられることもあり、ステップ606で、配置ツールはその情報をセキュリティサービスに渡す。
【0060】
図7は、ネットワーク上又はサーバー上の保護されたリソースにアクセスするために、本発明に従ってセキュリティサーバーを使用するクライアントの一例を示している。その処理は、要求を作り出すクライアント702で始まり、これは、自分自身を認証するクライアントという単純な場合の一例である。クライアントは、矢印704で示されるように、コンテナに接続する。トークン706は、要求と共に渡される。接続確立の一部として、システム(セキュリティサーバー710を含む)は、リソース708が保護されているかを判定し、そうであれば、クライアントは認証する必要がある。この例では、トークンは、クライアントの認証されたユーザーを表しており、呼び出し要求の中で順番にコンテナへ渡され、コンテナは、セキュリティサービス呼び出しにおける後のほうのステップで、それらを使用する。いくつかの実施形態では、トークンは、クライアント自身の認証された識別情報を表す。クライアントは、セキュリティサービス712(セキュリティサービス、又はセキュリティサービス314と同じ)に、「このトークンによって識別されるユーザーは、アクセス、及びターゲットリソース上で要求された能力を実行できるか?」という質問714を投げ掛ける。
【0061】
この質問に答えるために、セキュリティサービスは、図7においてAC716として示されるアクセス制御装置を使用する。AC716は次の2つのことを行う:それは、一連のアクセス判定(AD)プラグイン718,720,722全体に渡って、分散させる端末増設機構として動作し、それはまた判定器としても動作する。ACがアクセス判定を呼び出す時、それは「これはOKですか?」と尋ねながら、最初のアクセス判定718から順番に、トークンを各アクセス判定に回す。アクセス判定は、許可、拒否、又は保留という三つの返答のうちの一つを返す。もし次のアクセス判定があれば、アクセス制御装置は次のものに移る、というように全てのアクセス判定がポーリングされるまで行う。実際には、セキュリティ機構は、一連の窓ガラスのように動作する。もしX718が「許可」といえば、処理は続行する;もしX718が「拒否」といえば、処理は止まる。ACは、次にアクセス判定Y720へ移り、そして全く同じ識別情報を提示しながら、全く同じ質問を尋ねる、そしてY720も同様に、許可、拒否、又は保留で返答する。
【0062】
この処理は、サービスがこれらプラグインをどれだけ多く有していても、それらに対して続けられる。判断ポリシーは、もし何れか一つが拒否と言えば、処理を終了させる、又は、単に全体拒否を返す、ということを定めている。アーキテクチャは、もしX718が許可、及びY720が拒否、及びC722が保留であるならば許可とみなすような、充分に柔軟な判定を行う判断ポリシーを考慮している。他の実装は、もっと強硬路線を採る:もしどれか拒否するものがあれば、それは全体拒否とする。ACが、アクセス判定に対しアクセス判定が一義的に理解できない質問を尋ね、それゆえ明確な判定をできない時には必ず、保留が返される。これは、従来の承認システムが含まれるときは常に、最も一般的なものであり、全てではないが幾つかの動作、又はX718が企業ポリシーでありかつYがビジネス路線である時に、必要とされる。この場合、ビジネス路線ではなく、企業ポリシーによって実行されるような質問が尋ねられると、ビジネス路線の判定器は「これを理解できない、保留する」と言う。
【0063】
全てのアクセス判定器がポーリングされ、要求が最後に通過する点までどれも拒否を示さなければ、その時にはアクセス要求はどれも拒否しない、あるものは許可しかつあるものは保留する、例えばY720は保留しかつX718及びC722は両方とも許可、という点に到達する。次に判断ポリシーは、どのように結果を定めるかを制御するために使用することができる。ある一実施形態では、コンテナに対し、許可又は拒否という二つの結果のみがある。そこでアクセス制御装置は、どのようにして判定するかを決める判断ポリシー見る。たとえば、ある場合には、そのボックスの実装より、システムは、「全員一致の許可を要求しますか?」と言う判断ポリシーを使用するが、この場合、X、Y、及びCすべてが許可しなければならない。もしどれか一つでも許可しなければ、結果は拒否となる。その他のアプローチは、全員一致の同意を必要とするものではなく、その場合、どれかが拒否と言わない限り、アクセスは許可される。この判定は、判断ポリシーに基づいてなされる。
【0064】
アクセス判定の過程の中で何が起きたとしても、セキュリティサービス自身は、何が起きたのか及びその結果の検査を求めて、要求を検査サブシステム724に渡す。その点においてのみ、セキュリティサービスは、コンテナに最終結果が許可又は拒否であるかを教える。もし許可であるなら、コンテナは、要求された操作が保護されたリソースへ送られることを可能にする。もし拒否であるなら、要求はその点まで届かず、即座に拒絶される。
【0065】
本発明はまた、例えば後述の保護されたリソース上でのアクセス要求の正常な受け取り等、の途中で、アクセス判定過程を呼び出す方法を提供する。このシナリオでは、システムは要求に対する最初のチェックを通過し、かつ全てが許可され、そこでその方法がリソースへ送られたことを前提としている。リソースは、クライアントに戻すデータを返す。ただやみくもに、このデータを返すのではなく、むしろ、承認チェックが再実行され、今度はセキュリティサービス、特にアクセス判定が、そのデータがクライアントに返されるのがOKであるか否かを判定するために、返されるデータを調べる。ここでの一例は、ユーザーがドキュメントを要求しようとするビジネス操作の例である。ユーザーは最初に入るとき、彼らに割り当てられたセキュリティ許可を持ち、それは、ユーザーが、彼らのセキュリティ許可上で機密扱いとされないドキュメントを見ることができることを意味する。もし、彼らが秘密セキュリティ許可のみを持ち、かつ返されるはずのドキュメントが最高機密である場合には、たとえ彼らがそれを実行するための手段を持ち合わせていたとしても、システムは、出力をユーザーに戻すことを許さないが、その理由は、もしそれを許せば、ユーザーは見ることを許されないものを、見ることが可能になってしまうからである。アクセス判定は、今度はユーザーに戻す結果を見直しながら、再実行され、及び同種の判定を行う。この例では、例えばYアクセス判定720が「出力が何であろうと関係ない。入ってくる入力にのみ関心がある」と言うような、多くの保留が存在する。開発者は、ビジネス路線に基づいて、又は企業ポリシーに基づいて、異なるポリシーを実現させるために、プラグインを組み合わせ、及び整合させることができる。
【0066】
図8は、安全性の確保された、又は保護されたリソースへのアクセスの提供において、本発明の実施形態で使用される過程を示すフローチャートである。ステップ802で、クライアントはコンテナ内部で、アプリケーションを開発し、及び配置する。アプリケーションが保護されたリソースへのアクセスを要求するとき、呼び出しが作成され、ステップ804で示されるように適切なコンテナへ送られる。コンテナは、ステップ806で、セキュリティサービスを呼び出すために使用される。セキュリティサービス内では、ステップ808で、端末増設機構のアクセス制御装置が、この特定のアクセス要求を検証、又は確認するにあたって、どのアクセス判定が起こるべきかを判定する。ステップ810では、各アクセス判定が選択され、及びアクセス要求へのその寄与判定のために処理又はポーリングされ、各アクセス判定の結果は拒否、許可、又は保留となる。検査機構は、ステップ812で、各アクセス判定の結果の跡をたどる。アクセス判定の結果及び累積的な応答--それは許可、拒否、又は保留である--に基づいて、ステップ814では、コンテナは、保護されたリソースへのアクセスを与えられる(又は拒否される)。ステップ816では、データは次に、クライアントアプリケーションから保護されたリソースに、及び、逆に保護されたリソースからクライアントアプリケーションに、渡される。もし、クライアントがその後、同じリソース又は異なるリソース(ステップ818で判定されるように)に対して要求する場合には、その要求は適切なコンテナへ送られ、及び他の承認判定が要求され(ステップ820)、そうでなければ、セッションは終了する(ステップ822)。
【0067】
図9は、権限付与レイヤー904、及びビジネスアプリケーションレイヤー908に対するその位置付け、ビジネスポリシーレイヤー906及びセキュリティ承認レイヤー902を含む、本発明の一例に従ったセキュリティ及び個人化レイヤーを示している。当業者には、図9に示される説明図が、どのように権限付与レイヤーが開発されるかの概念表現であること、そしてこのアーキテクチャについて多くの他の変形を使用できるということよりもむしろ、このような個々のレイヤーをどれか特定のデザイン実装の中で使用することはできない(実際に殆ど使用されない)ということが、明らかであろう。図9は、権限付与904がどのように、従来のセキュリティアーキテクチャ(902として表現される)と、しばしば別個であるビジネスポリシーアーキテクチャ(906として表現される)との間の境界を越えるのに使用されるか、を示している。このような権限付与の使用を通して添えられる情報は、例えば会社のビジネスアプリケーションを個々の実体のために、その実体の権限付与に基づいて個人化するというような、908として表現される会社のビジネスアプリケーションの実施、を導くために使用される。
【0068】
図10は、権限付与が、動的に役割を生成するために、どのように使用されるかを示している。権限付与処理1002は、セキュリティの質問がある状況の中で尋ねられることを可能にする。本発明は、その権限付与に基づいて、特定の対象1000、例えば主体11004、主体21006から主体n1008までに、動的に役割を割り当てる能力を備え、これはさらに、システムがセキュリティレイヤーの中でアプリケーションの状況を提供することを可能にし、及び承認質問がアプリケーションの観点から表現されることを可能にする。医者と患者の一般的な例のように、質問が状況の観点から表現されるならば、システムはそれらの質問に正確に答えるだけである。もし質問が、「スミス医師は、患者のカルテを修正できますか?」と投げ掛けられたら、それは状況なしの質問である。従来の答えは、「ある時はイエス、及びある時はノー」である。厳密に答えを判定する唯一の方法は、例えばどの患者について話しているのか、あるいはどのカルテについて話しているのかというような、質問が尋ねられた状況を知ることである。システムはその時、所有者のように役割を割り当てる、又は、システムがセキュリティ判定ではなく、むしろビジネス判定を可能とするような、動的な割り当てを基本的に行う。
【0069】
単純な表記を用いて、この概念を次のように表現することができる:
各対象において、アクティブな役割ARは、その対象が現在使用しているものである:
AR(s:対象)={対象sにおけるアクティブな役割}
各対象は、一以上の承認された役割RAと関連付けられる:
RA(s:対象)={対象sについて承認された役割}
各役割は、一以上のタスクTAを実行するために、承認される:
TA(r:役割)={役割rについて承認されたタスク}
もし述語関数exec(s,t)が、現在の値で、時間内に、現時点で真であるならば、対象はタスクを実行する:
Figure 2004533075
【0070】
上記の記述が正しく評価を行うために、一組のルールが要求される:
1.役割割り当て - 役割を割り当てられた場合のみ、対象はトランザクションを実行することができる。システム上で実行される全ての他の動作はタスクを通して行われるが、識別及び認証の過程はタスクの一部と見なされない:
Figure 2004533075
2.役割承認 - ある対象のアクティブな役割は、その対象について承認されなければならない。このルールは、ユーザーが承認された役割のみを引き受けることができることを、保証するものである:
Figure 2004533075
3.タスク承認 - 対象は、タスクがその対象のアクティブな役割について承認された場合のみ、そのタスクを実行することができる:
Figure 2004533075
【0071】
別の例として、開発者が、ユーザーに権限付与されている事に基づいてウェブページを個人化するために、本発明を使用することができる。たとえば、自己登録又は自己支援機能は、クレジットカードのウェブページの一部とされることが可能であり、そこではユーザーが、クレジットカードナンバーを変更することができる唯一の者である。ベンダーは、それらを読むことは出来るが、変更することはできない、また他の誰もそれらを見ることは出来ない。システムは、その状況を知らなければ、これをどのようにして行うか解らない。誰かクレジットカードフィールドを修正することができるか?もちろん、誰かはクレジットカードフィールドを修正することができる。ではそれならば、誰がそれを修正することができるのか?如何なるメンバーも、他のメンバーのクレジットカードを修正することは許されないので、その時システムは、どの特定の一人であるか尋ねなければならない。そのためシステムは、どのオブジェクト及びどのプロファイルが審議中であるか、を知らなければならず、そこで「あなたは、そのプロファイルの所有者ですか?」と尋ねる。従来は、定義される唯一の事が、静的な役割であった。本発明は、権限付与の利用を通じて、ビジネスアナリスト及びビジネスポリシー作成者が、オブジェクト又は主体の識別情報を定義するために、実行時に計算される動的役割を定義することを可能にする。これらの役割は、サーバーアーキテクチャの基礎となっているセキュリティ仕様に違反しない。例えば、要求は、所有者の役割として登録された呼出元となることもできる。システムは所有者の役割を定義しないが、しかし所有者の役割は動的にユーザーと関連付けられることが可能であり、及びユーザーがもはや所有者ではないという何らかの行為を行うや否や、ユーザーから無効とさせることもできる。EJBのような技法は、何らかの行為を行うために、その使用が許されるべきかどうかという事が、あなたがその役割にあるか否かということに基づき、かつあなたがこの可能性を問い合わせるために標準EJBを使用する、という点でこれを利用することができる。
【0072】
本発明がどのように使用されるかの他の例は、一回限定ログオン機構の設備を通じたものであり、これは従来のセキュリティ実装の要素と、ビジネスポリシー実装の要素を組み合わせるものである。図11に示されるように、第一のセキュリティ領域A1102、例えば第三者アプリケーションによって提供され、及びユーザープロファイル又は企業のビジネスポリシーの情報を全く持たないセキュリティ領域での、最初のログイン処理の間に受け取られた情報は、第一のログインモジュール1108によって取り込まれ、及び第二のセキュリティ領域1104の中にある二番目のログインモジュール1110に渡される(矢印1104で示されるように)。第二のセキュリティ領域B1104は、ビジネスポリシーの情報を持ち、かつ元のログイン情報に加えて、ユーザーに対する権限付与又は権限付与プロファイル1102を判定又は計算することができる。元のログイン情報及び権限付与情報は、第三のセキュリティ領域C1106の中にある三番目のログインモジュール1112に渡される(それぞれ、矢印1108及び矢印1120で示されるように)、というように続く。
【0073】
セキュリティプロバイダーインターフェース
本発明と共に使用されるセキュリティプロバイダーインターフェース(SPI)は、次に挙げるものについてのインターフェースを含む:
・認証 - Java認証及び承認サービス(JASS)ログインモジュール
・承認 - アクセス判定
・検査 - 検査チャネル
・主体->役割マッピング - JAASログインモジュール
・主体->証明マッピング - JAASログインモジュール
・鍵記憶装置 - Java2鍵保管Spi
・証明書検索及び無効化 - Certパス
・証明書マッピング - Cert認証装置
・ハードウェア加速器 - Java暗号化拡張
・周辺保護 - 接続フィルター
【0074】
ここで記述されるSPIは、本発明と共に使用されるインターフェースの形式の単なる例にすぎず、かつ本発明によって提供されるセキュリティサービスアーキテクチャの柔軟性を説明する目的でここに列挙されたものであることは、当業者には明白であろう。本発明の技術的範囲内である限り、他の形式のインターフェースが、ここで記述されるインターフェースと置き換えられる、又は強化するということも可能である。
【0075】
認証 SPI
本発明で使用されるJAASログインモジュールは、標準JAASログインモジュールに基づくものであるが、しかしさらに、標準ログインモジュールの実装をサポートする。認証SPIは、ユーザー、グループの管理をサポートし、及び複数のJAASログインモジュールのサポートを提供するまでに、拡張される。資格は、ログインモジュールのインスタンス全体で共有され、かつユーザープロファイル情報を用いて更新する個々のログインモジュールが提供される。認証SPIの任務は、セキュリティ領域範囲及び、JAAS対象内の主体群に基づくユーザー認証を含む。
【0076】
承認 SPI
承認SPIはアクセス判定に備えるものであるが、これに対応するJavaの全くの等価物は存在しない。承認SPIは、宣言及びルールの両方をベースとした、様々な承認モデルをサポートする。呼び戻し処理装置は、呼び出し状況へのアクセスを獲得するために使用される。SPIはまた、主体の識別情報、グループの帰属資格、及び役割割り当てといった対象情報、及びユーザープロファイル情報(任意)へのアクセスを提供する。多重アクセス判定プロバイダーは、スタックの中で構築される。承認SPIの任務は、許可、拒否、又は保留の承認判定を行うこと、又はアプリケーションの適用範囲内である保護されたリソースへのアクセス要求を作成することを含む。図11は、ドメイン内のセキュリティ領域間に、プロファイル情報を分散させるために、本発明がどのように使用されるか、一例を示している。
【0077】
検査 SPI
検査SPIは検査チャネルを含むものであるが、これに対するJavaの等価物は何も定義されていない。呼び戻し処理装置は、対象情報、主体の識別情報、グループの帰属資格、及び役割割り当てへのアクセス、及びユーザープロファイル情報(任意)を含む呼び出し状況へのアクセスを獲得するために使用される。再度、多重検査チャネルプロバイダーがスタックの中で構築される。検査SPIの任務は、情報が検査されるべきか否かを判定することと、及びQoSポリシーに基づいてデータの実際の検査を行うことを含む。
【0078】
主体 −> 役割マッピング SPI
主体−>役割マッピング(JAASログインモジュール)SPIは、JAASログインモジュールに基づくものであり、かつ、役割を動的に、対象内に含まれる主体の識別情報にマッピングするために使用される。役割は、管理者によって、又は配置記述子から明確に定義されたもの、又はビジネス要求のパラメータ、主体のプロファイル中の属性値、並びにその他の条件に基づいて動的に計算されるものである。
【0079】
主体 −> 証明マッピング SPI
主体−>証明マッピング(JAASログインモジュール)SPIは、JAASログインモジュールに基づくものであり、かつセキュリティドメインポリシー又はセキュリティドメイン技術の境界を越える時に、主体の識別情報をマッピングするために使用される。主体マッピングSPIの任務は、提供された対象に基づくものであり、かつユーザー名/パスワードにおけるパスワード証明、及びトークン形式の証明における汎用的証明のような、適切な情報を有する公的証明を対象に付加するために使用される。
【0080】
鍵記憶装置 SPI
Java2鍵保管SPIは、Java2鍵保管インターフェースに基づくものであり、かつファイルベースの媒体:(PKCS #5/#8, PKCS #12)、HSMベースの媒体:(PKCS #11)、スマートカード/Javaカードといった様々な媒体内に保管される鍵への一貫したアクセスを提供する。鍵保管SPIは、暗号署名に必須なサポートを提供し、かつその任務は、保護されたリソースからの秘密鍵検索、及び保護された記憶装置からの機密検索を含む。
【0081】
証明書検索 SPI
証明書検索SPI(Certパス)はJSR55に基づくものであり、かつ複数の証明書形式のサポートのほか、デジタル証明書の検索、検証、及び無効化のための一貫した機構を提供する。
CertパスSPIの機能は、次のことを含む:
Cert保管:問い合わせを介して、記憶装置から証明書の検索;
Certパス:Cert保管を利用した、証明書の連鎖の検索;
Certパスチェッカー:証明書を確認する;
Certパス確認装置:証明書の連鎖を確認する
【0082】
証明書マッピング SPI
証明書マッピングSPI(Cert認証装置)についてJavaの等価物は定義されていないが、この証明書マッピングSPIは、セキュリティドメイン内での、デジタル証明書と主体識別情報との間のマッピングを可能にするための拡張可能な方法を提供する。それはさらに、Cert認証装置の呼び出しの前に実行される、検証及び無効化のチェックを提供する。
証明書マッピングSPIの任務は、検証されたクライアントのデジタル証明書に基づくものであり、それをユーザー名及び主体領域にマッピングする。
【0083】
ハードウェア加速器 SPI
ハードウェア加速器SPIはJava暗号化拡張を使用し、かつJava2セキュリティアーキテクチャに基づくものである。その任務は、セキュリティサービスの制御下で暗号化サービスを提供することを含む。
【0084】
周辺保護 SPI
周辺保護SPIは、組込みの接続フィルターの実装を提供するための接続フィルターを含む。これは使い易さに的が絞られ、かつMbeansを介してコンソールから設定できるものであり、それぞれ順番に実行されるユーザー作成フィルター、及び縦続接続フィルターの継続したサポートを可能とする。これは、顧客が運用しなけれならない条件を最小化するものである。
【0085】
セキュリティ管理 SPI
セキュリティ管理SPIは、第三者ベンダーのコンソールを、サーバーコンソールに統合させ、及びセキュリティが、これらベンダーからサーブレットへ転送することを可能にする。セキュリティ管理SPIは、ユーザー、グループ、役割、及び承認情報の完全なライフサイクルのサポートを提供する。
【0086】
一回限定ログオン (SSO)SPI
一回限定ログオンSPIは、手続開始主体の識別情報からリソース識別情報へのマッピングを行い、及びリソース証明の安全な記憶領域を提供するために、ログインモジュールを使用する。
【0087】
本発明のより好ましい実施形態についての上述の説明は、例証及び説明の目的のために提供されたものである。それは網羅的なもの、又は本発明を開示された厳密な形態に限定しようとするものではない。多くの修正及び変更が、当業者には明らかになることが明白であろう。本実施形態は、本発明の原理、及びその実用例を最もよく説明するために選択され、かつ記述されたものであり、それによって当業者は、意図された個別の利用に適した様々な実施形態における、及び様々な修正を伴った本発明を理解することができる。本発明の技術的範囲は、次に述べる特許請求の範囲及びその均等技術によって、定められるものである。
【図面の簡単な説明】
【0088】
【図1】従来の技術知識に従った、クライアント/サーバーのアーキテクチャの説明図を示している。
【図2】本発明に従った、クライアント/サーバーのアーキテクチャの説明図を示している。
【図3】本発明に従った、セキュリティサービスの説明図を示している。
【図4】本発明に従った、セキュリティサービスで使用される方法のフローチャートを示している。
【図5】本発明に従った、サーバーセキュリティの配置ツール及び処理の説明図を示している。
【図6】本発明に従った、サーバーセキュリティの配置ツールで使用される方法のフローチャートを示している。
【図7】本発明に従った、セキュリティサービス及び保護されたリソースの説明図を示している。
【図8】本発明に従った、保護されたリソースへのアクセスを許可するためにセキュリティサービスで使用される方法のフローチャートを示している。
【図9】本発明の実施形態に従った、セキュリティレイヤーの説明図を示している。
【図10】本発明の実施形態に従った、権限付与の機構の説明図を示している。
【図11】本発明に従った、いくつかのセキュリティドメインわたるログインの説明図を示している。

Claims (39)

  1. クライアントが保護されたリソースにアクセスすることを可能にするセキュリティシステムであって、
    保護されたリソースへのアクセスについての、クライアントアプリケーションからのアクセス要求を受け取り、前記アクセス要求をセキュリティサービスに伝えるアプリケーションインターフェース機構と、
    前記アクセス要求を許可又は拒否する判定を行うセキュリティサービスと、
    許可されたアクセス要求を前記保護されたリソースへ伝えるリソースインターフェースと、
    を備えるセキュリティシステム。
  2. 前記アプリケーションインターフェース機構が、アプリケーション配置記述を読み取り、前記配置記述をセキュリティサービス内に登録するためのアプリケーションコンテナを含む、
    請求項1記載のセキュリティシステム。
  3. 前記アプリケーションコンテナが、EnterpriseJavaBeansコンテナである、
    請求項2記載のセキュリティシステム。
  4. 前記アプリケーションコンテナが、WebAppコンテナである、
    請求項2記載のセキュリティシステム。
  5. 前記セキュリティサービスが、アクセスポリシーを定義し、前記アクセス要求を許可、拒否、又は保留の寄与判定を定めるための複数のアクセス判定機構を含む、
    請求項1記載のセキュリティシステム。
  6. 前記セキュリティサービスが、前記アクセス要求を前記複数のアクセス判定機構に転送し、前記寄与判定を合体させて、前記アクセス要求を許可又は拒否するセキュリティサービスによる一つの全体判定とするアクセス制御装置をさらに含む、
    請求項5記載のセキュリティシステム。
  7. 前記アクセス判定が、ビジネス機能に関連するアクセスポリシーを表すものである、
    請求項5記載のセキュリティシステム。
  8. アクセスポリシーにおける変更を反映するために、アクセス判定がセキュリティサービスに付加される、
    請求項5記載のセキュリティシステム。
  9. 前記保護されたリソースに前記クライアントがアクセスすることができる権限の付与を定義するために、前記アクセス判定機構が使用される、
    請求項5記載のセキュリティシステム。
  10. 前記アクセス判定機構のいずれか一つによる拒否又は保留によって、セキュリティサービスがアクセス要求を拒否するようになった、
    請求項5記載のセキュリティシステム。
  11. 前記アクセス判定機構のいずれか一つによる保留によっては、セキュリティサービスがアクセス要求を拒否しないようになった、
    請求項5記載のセキュリティシステム。
  12. 前記セキュリティサービスが、前記複数のアクセス要求に対する判定を検査するための検査メカニズムをさらに含む、
    請求項5記載のセキュリティシステム。
  13. 前記リソースインターフェースが、保護されたリソースへの要求、又は保護されたリソースからの要求を通すためのインターフェース機構を含む、
    請求項1記載のセキュリティシステム。
  14. 前記インターフェース機構が、JavaJ2EEセキュリティインターフェースを含む、
    請求項13記載のセキュリティシステム。
  15. 前記インターフェース機構が、セキュリティプロバイダーインターフェースを含む、
    請求項13記載のセキュリティシステム。
  16. 前記インターフェース機構が、前記リソースインターフェースの中にプラグインとして含まれる、
    請求項13記載のセキュリティシステム。
  17. セキュリティサービスがさらに、前記保護されたリソースから前記クライアントへの、前記アクセス要求に対する応答を許可するか又は拒否するかを判定する、
    請求項1記載のセキュリティシステム。
  18. クライアントが保護されたリソースにアクセスすることを可能にする方法であって、
    保護されたリソースへのアクセスについてのクライアントアプリケーションからのアクセス要求を、アプリケーションインターフェース機構で受け取り、前記アクセス要求をセキュリティサービスに伝えるステップと、
    前記セキュリティサービスにおいて、前記アクセス要求を許可するか、又は拒否するかを判定するステップと、
    許可されたアクセス要求を、リソースインターフェースを介して前記保護されたリソースへ伝達するステップと、
    を含む方法。
  19. 前記アプリケーションインターフェース機構が、アプリケーション配置記述を読み取り、前記配置記述をセキュリティサービス内に登録するアプリケーションコンテナを含む、
    請求項18記載の方法。
  20. 前記アプリケーションコンテナがEnterpriseJavaBeansコンテナである、
    請求項19記載の方法。
  21. 前記アプリケーションコンテナがWebAppコンテナである、
    請求項19記載の方法。
  22. 複数のアクセス判定機構を介して前記セキュリティサービス内にアクセスポリシーを定義するステップと、
    各アクセス判定機構において、前記アクセス要求を許可、拒否、又は保留するための寄与判定を定めるステップと、
    をさらに含む、請求項18記載の方法。
  23. 前記アクセス要求を、アクセス制御装置を介して、前記複数のアクセス判定機構に転送し、前記アクセス要求を許可又は拒否するために、前記寄与判定を合体させてセキュリティサービスによる一つの全体判定とするステップ、
    をさらに含む請求項22記載の方法。
  24. 前記アクセス判定が、ビジネス機能に関連するアクセスポリシーを表すものである、
    請求項22記載の方法。
  25. アクセスポリシーにおける変更を反映するために、アクセス判定がセキュリティサービスに付加される、
    請求項22記載の方法。
  26. 前記保護されたリソースに前記クライアントがアクセスすることができる権限の付与を定義するために、前記アクセス判定機構を使用するステップ、
    をさらに含む、請求項22記載の方法。
  27. 前記アクセス判定機構のいずれか一つの拒否又は保留によりセキュリティサービスがアクセス要求を拒否するようになった、
    請求項22記載の方法。
  28. 前記アクセス判定機構のいずれか一つの保留によってはセキュリティサービスがアクセス要求を拒否しないようになった、
    請求項22記載の方法。
  29. 検査機構を介して前記複数のアクセス要求の判定を検査するステップ、
    をさらに備える、請求項22記載の方法。
  30. リソースインターフェースを介して伝達する前記ステップが、インターフェース機構を介して、保護されたリソースへの、あるいは保護されたリソースからの要求を通すステップを含む、
    請求項18記載の方法。
  31. 前記インターフェース機構がJavaJ2EEセキュリティインターフェースを含む、
    請求項30記載の方法。
  32. 前記インターフェース機構がセキュリティプロバイダーインターフェースを含む、
    請求項30記載の方法。
  33. 前記インターフェース機構が、前記リソースインターフェースの中でプラグインとして含まれる、
    請求項30記載の方法。
  34. 前記保護されたリソースから前記クライアントへの前記アクセス要求に対する応答を、許可するか、又はは拒否するかの判定を行うステップ、
    をさらに備える、請求項18記載の方法。
  35. 安全性環境における保護されたリソースへのユーザーのアクセス権限の付与を定める方法であって、
    保護されたリソースへのアクセスについてのユーザーアプリケーションからのアクセス要求を受け取るステップと、
    前記アクセス要求で、セキュリティサービスを呼び出すステップと、
    前記保護されたリソースへのアクセスについてのユーザーの権限付与を定めるステップと、
    前記セキュリティサービスにおいて、前記ユーザーへの権限付与に基づき、前記アクセス要求を許可、又は拒否する判定を行うステップと、
    (a)許可されたアクセス要求を前記保護されたリソースへ伝えるステップ、又は(b)拒否されたアクセス要求を前記保護されたリソースに与えないステップ、のいずれか一方のステップと、
    を含む方法。
  36. 前記権限付与が、前記保護されたリソースのユーザーに利用可能なアクセスの形式を定めるものである、
    請求項35記載の方法。
  37. 前記アクセスの形式が、前記保護されたリソースの一部又は全部を、開く、修正する、削除する、コピーする、のいずれかを含む、
    請求項36記載の方法。
  38. 前記ユーザーの権限付与についての情報を、第一のセキュリティ領域から第二のセキュリティ領域へ伝えることができる、
    請求項35記載の方法。
  39. 前記ユーザーの権限付与についての情報を、前記第一のセキュリティ領域から前記第二のセキュリティ領域へ伝える前に、前記第一のセキュリティ領域からの付加的情報を使用してユーザーの権限付与を修正することができる、
    請求項38記載の方法。
JP2003504584A 2001-06-11 2002-05-29 サーバーセキュリティ及び権限付与処理のためのシステム及びその方法 Pending JP2004533075A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/878,536 US7392546B2 (en) 2001-06-11 2001-06-11 System and method for server security and entitlement processing
PCT/US2002/016644 WO2002101973A1 (en) 2001-06-11 2002-05-29 System and method for server security and entitlement processing

Publications (2)

Publication Number Publication Date
JP2004533075A true JP2004533075A (ja) 2004-10-28
JP2004533075A5 JP2004533075A5 (ja) 2006-01-05

Family

ID=25372222

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003504584A Pending JP2004533075A (ja) 2001-06-11 2002-05-29 サーバーセキュリティ及び権限付与処理のためのシステム及びその方法

Country Status (6)

Country Link
US (3) US7392546B2 (ja)
EP (1) EP1405457B1 (ja)
JP (1) JP2004533075A (ja)
CN (1) CN100361435C (ja)
AU (1) AU2002310144B2 (ja)
WO (1) WO2002101973A1 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006268125A (ja) * 2005-03-22 2006-10-05 Fuji Electric Systems Co Ltd アプリケーションサーバ、そのプログラム
JP2010519657A (ja) * 2007-03-16 2010-06-03 シーメンス アクチエンゲゼルシヤフト 端末装置に対するサービスを提供するための方法およびシステム
WO2011030755A1 (ja) * 2009-09-10 2011-03-17 日本電気株式会社 ロール設定装置、ロール設定方法及びロール設定プログラム
JP2011123872A (ja) * 2009-12-08 2011-06-23 Postech Academy-Industry Foundation 通信システムにおいて個人化サービスを提供及び管理するための装置及び方法
JP2017062840A (ja) * 2011-09-27 2017-03-30 オラクル・インターナショナル・コーポレイション Guiナビゲーション、プロパティシート、およびオートタブコンプリーションを含むサーバ構成を管理するためのシステムおよび方法
US10380245B2 (en) 2012-12-11 2019-08-13 International Business Machines Corporation Verifying the terms of use for access to a service

Families Citing this family (246)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7058817B1 (en) 1999-07-02 2006-06-06 The Chase Manhattan Bank System and method for single sign on process for websites with multiple applications and services
AU3438401A (en) 1999-11-04 2001-05-14 Jp Morgan Chase Bank System and method for automated financial project management
US10275780B1 (en) 1999-11-24 2019-04-30 Jpmorgan Chase Bank, N.A. Method and apparatus for sending a rebate via electronic mail over the internet
US8571975B1 (en) 1999-11-24 2013-10-29 Jpmorgan Chase Bank, N.A. System and method for sending money via E-mail over the internet
US7426530B1 (en) 2000-06-12 2008-09-16 Jpmorgan Chase Bank, N.A. System and method for providing customers with seamless entry to a remote server
US10185936B2 (en) 2000-06-22 2019-01-22 Jpmorgan Chase Bank, N.A. Method and system for processing internet payments
US8335855B2 (en) 2001-09-19 2012-12-18 Jpmorgan Chase Bank, N.A. System and method for portal infrastructure tracking
US8849716B1 (en) 2001-04-20 2014-09-30 Jpmorgan Chase Bank, N.A. System and method for preventing identity theft or misuse by restricting access
US7689506B2 (en) 2001-06-07 2010-03-30 Jpmorgan Chase Bank, N.A. System and method for rapid updating of credit information
US7392546B2 (en) * 2001-06-11 2008-06-24 Bea Systems, Inc. System and method for server security and entitlement processing
US7925616B2 (en) * 2001-06-19 2011-04-12 Microstrategy, Incorporated Report system and method using context-sensitive prompt objects
US7266839B2 (en) 2001-07-12 2007-09-04 J P Morgan Chase Bank System and method for providing discriminated content to network users
US8713623B2 (en) 2001-09-20 2014-04-29 Time Warner Cable Enterprises, LLC Technique for effectively providing program material in a cable television system
US7103576B2 (en) 2001-09-21 2006-09-05 First Usa Bank, Na System for providing cardless payment
WO2003036548A1 (en) * 2001-10-24 2003-05-01 Bea Systems, Inc. System and method for portal page layout
US7689504B2 (en) 2001-11-01 2010-03-30 Jpmorgan Chase Bank, N.A. System and method for establishing or modifying an account with user selectable terms
US7987501B2 (en) 2001-12-04 2011-07-26 Jpmorgan Chase Bank, N.A. System and method for single session sign-on
US20030126433A1 (en) * 2001-12-27 2003-07-03 Waikwan Hui Method and system for performing on-line status checking of digital certificates
US8256002B2 (en) * 2002-01-18 2012-08-28 Alcatel Lucent Tool, method and apparatus for assessing network security
JP2003233590A (ja) * 2002-02-08 2003-08-22 Hitachi Ltd 移動追従型サービス提供方法、システム及びプログラム
US7941533B2 (en) 2002-02-19 2011-05-10 Jpmorgan Chase Bank, N.A. System and method for single sign-on session management without central server
US7552481B2 (en) * 2002-03-18 2009-06-23 Sun Microsystems, Inc. Method of assessing an organization's network identity capability
US7496687B2 (en) * 2002-05-01 2009-02-24 Bea Systems, Inc. Enterprise application platform
US7725560B2 (en) 2002-05-01 2010-05-25 Bea Systems Inc. Web service-enabled portlet wizard
US7526797B2 (en) * 2002-07-24 2009-04-28 Sun Microsystems, Inc. System and method for processing callback requests included in web-based procedure calls through a firewall
US7058660B2 (en) 2002-10-02 2006-06-06 Bank One Corporation System and method for network-based project management
US7793342B1 (en) * 2002-10-15 2010-09-07 Novell, Inc. Single sign-on with basic authentication for a transparent proxy
US8301493B2 (en) 2002-11-05 2012-10-30 Jpmorgan Chase Bank, N.A. System and method for providing incentives to consumers to share information
US7779247B2 (en) 2003-01-09 2010-08-17 Jericho Systems Corporation Method and system for dynamically implementing an enterprise resource policy
US20060225138A1 (en) * 2005-04-02 2006-10-05 Takeshi Toyohara End-to-end digital media entitlement system
US7591000B2 (en) * 2003-02-14 2009-09-15 Oracle International Corporation System and method for hierarchical role-based entitlements
US8831966B2 (en) * 2003-02-14 2014-09-09 Oracle International Corporation Method for delegated administration
US7653930B2 (en) 2003-02-14 2010-01-26 Bea Systems, Inc. Method for role and resource policy management optimization
US7293286B2 (en) 2003-02-20 2007-11-06 Bea Systems, Inc. Federated management of content repositories
US7840614B2 (en) 2003-02-20 2010-11-23 Bea Systems, Inc. Virtual content repository application program interface
US7017051B2 (en) * 2003-02-24 2006-03-21 Bea Systems, Inc. System and method for enterprise authentication
US7610618B2 (en) * 2003-02-24 2009-10-27 Bea Systems, Inc. System and method for authenticating a subject
US7810036B2 (en) 2003-02-28 2010-10-05 Bea Systems, Inc. Systems and methods for personalizing a portal
US7403925B2 (en) * 2003-03-17 2008-07-22 Intel Corporation Entitlement security and control
US7467414B2 (en) 2003-03-17 2008-12-16 Intel Corporation Entitlement security and control for information system entitlement
US7404203B2 (en) * 2003-05-06 2008-07-22 Oracle International Corporation Distributed capability-based authorization architecture
US7461395B2 (en) * 2003-05-06 2008-12-02 Oracle International Corporation Distributed capability-based authorization architecture using roles
EP1629382A4 (en) 2003-06-02 2011-12-21 Liquid Machines Inc MANAGING DATA OBJECTS IN DYNAMIC, DISTRIBUTED AND COLLABORATIVE CONTEXTS
US7469417B2 (en) * 2003-06-17 2008-12-23 Electronic Data Systems Corporation Infrastructure method and system for authenticated dynamic security domain boundary extension
US7363487B2 (en) * 2003-07-01 2008-04-22 International Business Machines Corporation Method and system for dynamic client authentication in support of JAAS programming model
JP2005085266A (ja) * 2003-09-04 2005-03-31 Stmicroelectronics Sa マイクロプロセッサ周辺装置アクセス制御
US20050102401A1 (en) * 2003-10-10 2005-05-12 Bea Systems, Inc. Distributed enterprise security system for a resource hierarchy
US20050251851A1 (en) * 2003-10-10 2005-11-10 Bea Systems, Inc. Configuration of a distributed security system
US8190893B2 (en) 2003-10-27 2012-05-29 Jp Morgan Chase Bank Portable security transaction protocol
US7284000B2 (en) * 2003-12-19 2007-10-16 International Business Machines Corporation Automatic policy generation based on role entitlements and identity attributes
US7543331B2 (en) * 2003-12-22 2009-06-02 Sun Microsystems, Inc. Framework for providing a configurable firewall for computing systems
US7313820B2 (en) * 2003-12-29 2007-12-25 International Business Machines Corporation Method and system for providing an authorization framework for applications
US7478421B2 (en) * 2004-02-04 2009-01-13 Toshiba Corporation System and method for role based access control of a document processing device
US20090119755A1 (en) * 2004-02-04 2009-05-07 Kodimer Marianne L System and method for role based access control of a document processing device
US7523486B1 (en) * 2004-03-05 2009-04-21 Sprint Communications Company Lp User administration tool
US7505972B1 (en) * 2004-03-08 2009-03-17 Novell, Inc. Method and system for dynamic assignment of entitlements
US7437736B2 (en) * 2004-03-10 2008-10-14 Citibank, N.A. Method and apparatus for managing workflow in a single sign-on framework
US7774601B2 (en) 2004-04-06 2010-08-10 Bea Systems, Inc. Method for delegated administration
JP2005309703A (ja) * 2004-04-21 2005-11-04 Yokogawa Electric Corp 電子機器システム
US20050256899A1 (en) * 2004-05-14 2005-11-17 Bea Systems, Inc. System and method for representing hierarchical data structures
US20050257172A1 (en) * 2004-05-14 2005-11-17 Bea Systems, Inc. Interface for filtering for portal and webserver administration
US20050256906A1 (en) * 2004-05-14 2005-11-17 Bea Systems, Inc. Interface for portal and webserver administration-efficient updates
US20050257154A1 (en) * 2004-05-14 2005-11-17 Bea Systems, Inc. Graphical association of elements for portal and webserver administration
US20050262075A1 (en) * 2004-05-21 2005-11-24 Bea Systems, Inc. Systems and methods for collaboration shared state management
US7721283B2 (en) 2004-05-24 2010-05-18 Sap Ag Deploying a variety of containers in a Java 2 enterprise edition-based architecture
US8762981B2 (en) * 2004-05-24 2014-06-24 Sap Ag Application loading and visualization
US7735097B2 (en) * 2004-05-24 2010-06-08 Sap Ag Method and system to implement a deploy service to perform deployment services to extend and enhance functionalities of deployed applications
US7877735B2 (en) * 2004-05-25 2011-01-25 Sap Ag Application cloning
US7747698B2 (en) * 2004-05-25 2010-06-29 Sap Ag Transaction model for deployment operations
US7882502B2 (en) * 2004-05-25 2011-02-01 Sap Ag Single file update
US7650627B1 (en) * 2004-05-28 2010-01-19 Sap Ag Abstract configuration files for efficient implementation of security services
JP4527605B2 (ja) * 2004-06-21 2010-08-18 三星エスディアイ株式会社 リチウムイオン二次電池用電解液及びこれを含むリチウムイオン二次電池
US8266429B2 (en) 2004-07-20 2012-09-11 Time Warner Cable, Inc. Technique for securely communicating and storing programming material in a trusted domain
US8312267B2 (en) 2004-07-20 2012-11-13 Time Warner Cable Inc. Technique for securely communicating programming content
US7669226B2 (en) * 2004-07-30 2010-02-23 International Business Machines Corporation Generic declarative authorization scheme for Java
US8661420B2 (en) * 2004-08-03 2014-02-25 Oracle International Corporation System and method for runtime interface versioning
US7549054B2 (en) * 2004-08-17 2009-06-16 International Business Machines Corporation System, method, service method, and program product for managing entitlement with identity and privacy applications for electronic commerce
US8271527B2 (en) 2004-08-26 2012-09-18 Illinois Institute Of Technology Refined permission constraints using internal and external data extraction in a role-based access control system
US9032076B2 (en) * 2004-10-22 2015-05-12 International Business Machines Corporation Role-based access control system, method and computer program product
US7783670B2 (en) * 2004-11-18 2010-08-24 Bea Systems, Inc. Client server conversion for representing hierarchical data structures
US9723267B2 (en) 2004-12-15 2017-08-01 Time Warner Cable Enterprises Llc Method and apparatus for wideband distribution of content
US7562382B2 (en) * 2004-12-16 2009-07-14 International Business Machines Corporation Specializing support for a federation relationship
US7810105B2 (en) * 2004-12-29 2010-10-05 Motorola, Inc. Method and apparatus for running different types of applications on a wireless mobile device
US20060156418A1 (en) * 2005-01-10 2006-07-13 Ibm Corporation Method and apparatus for preventing unauthorized access to data
FR2881854B1 (fr) * 2005-02-04 2008-01-11 Radiotelephone Sfr Procede de gestion securisee de l'execution d'une application
US7555771B2 (en) * 2005-03-22 2009-06-30 Dell Products L.P. System and method for grouping device or application objects in a directory service
US7748026B1 (en) * 2005-03-30 2010-06-29 Sprint Communications Company L.P. Transparent interceptors for privacy policy implementation
US8078740B2 (en) 2005-06-03 2011-12-13 Microsoft Corporation Running internet applications with low rights
US7571473B1 (en) 2005-06-10 2009-08-04 Sprint Communications Company L.P. Identity management system and method
US20060287593A1 (en) * 2005-06-20 2006-12-21 General Electric Company System and method providing communication in a medical imaging system
US8185877B1 (en) 2005-06-22 2012-05-22 Jpmorgan Chase Bank, N.A. System and method for testing applications
US20070022459A1 (en) 2005-07-20 2007-01-25 Gaebel Thomas M Jr Method and apparatus for boundary-based network operation
US20070033196A1 (en) * 2005-08-02 2007-02-08 Sap Ag Service directory
US20070033571A1 (en) * 2005-08-02 2007-02-08 Sap Ag Dynamic work center
US7752450B1 (en) 2005-09-14 2010-07-06 Juniper Networks, Inc. Local caching of one-time user passwords
US8583926B1 (en) 2005-09-19 2013-11-12 Jpmorgan Chase Bank, N.A. System and method for anti-phishing authentication
US7752205B2 (en) 2005-09-26 2010-07-06 Bea Systems, Inc. Method and system for interacting with a virtual content repository
US7818344B2 (en) 2005-09-26 2010-10-19 Bea Systems, Inc. System and method for providing nested types for content management
US7917537B2 (en) 2005-09-26 2011-03-29 Oracle International Corporation System and method for providing link property types for content management
US7953734B2 (en) 2005-09-26 2011-05-31 Oracle International Corporation System and method for providing SPI extensions for content management system
US8001610B1 (en) * 2005-09-28 2011-08-16 Juniper Networks, Inc. Network defense system utilizing endpoint health indicators and user identity
US20070079373A1 (en) * 2005-10-04 2007-04-05 Computer Associates Think, Inc. Preventing the installation of rootkits using a master computer
US7945960B2 (en) * 2005-12-06 2011-05-17 Oracle International Corporation Dynamic conditional security policy extensions
US8635660B2 (en) * 2005-12-06 2014-01-21 Oracle International Corporation Dynamic constraints for query operations
US8042151B2 (en) * 2005-12-20 2011-10-18 Microsoft Corporation Application context based access control
US7882538B1 (en) 2006-02-02 2011-02-01 Juniper Networks, Inc. Local caching of endpoint security information
US7873967B2 (en) * 2006-02-27 2011-01-18 Microsoft Corporation Pluggable business logic
US8280982B2 (en) 2006-05-24 2012-10-02 Time Warner Cable Inc. Personal content server apparatus and methods
US9386327B2 (en) 2006-05-24 2016-07-05 Time Warner Cable Enterprises Llc Secondary content insertion apparatus and methods
US8024762B2 (en) 2006-06-13 2011-09-20 Time Warner Cable Inc. Methods and apparatus for providing virtual content over a network
US8185737B2 (en) 2006-06-23 2012-05-22 Microsoft Corporation Communication across domains
US8793490B1 (en) 2006-07-14 2014-07-29 Jpmorgan Chase Bank, N.A. Systems and methods for multifactor authentication
US20080250388A1 (en) * 2006-09-22 2008-10-09 Bea Systems, Inc. Pagelets in adaptive tags
US8463852B2 (en) 2006-10-06 2013-06-11 Oracle International Corporation Groupware portlets for integrating a portal with groupware systems
US8520850B2 (en) 2006-10-20 2013-08-27 Time Warner Cable Enterprises Llc Downloadable security and protection methods and apparatus
US8732854B2 (en) 2006-11-01 2014-05-20 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
US20080109292A1 (en) * 2006-11-03 2008-05-08 Sap Ag Voice-enabled workflow item interface
US8424077B2 (en) 2006-12-18 2013-04-16 Irdeto Canada Corporation Simplified management of authentication credentials for unattended applications
US8621540B2 (en) 2007-01-24 2013-12-31 Time Warner Cable Enterprises Llc Apparatus and methods for provisioning in a download-enabled system
US8181206B2 (en) 2007-02-28 2012-05-15 Time Warner Cable Inc. Personal content server apparatus and methods
US8156516B2 (en) * 2007-03-29 2012-04-10 Emc Corporation Virtualized federated role provisioning
US8719894B2 (en) 2007-03-29 2014-05-06 Apple Inc. Federated role provisioning
EP2140410A1 (en) * 2007-03-30 2010-01-06 Real Enterprise Solutions Development B.V. Method and system for determining entitlements to resources of an organization
US8327456B2 (en) * 2007-04-13 2012-12-04 Microsoft Corporation Multiple entity authorization model
US7992198B2 (en) * 2007-04-13 2011-08-02 Microsoft Corporation Unified authentication for web method platforms
US8904391B2 (en) * 2007-04-23 2014-12-02 International Business Machines Corporation Policy-based access control approach to staff activities of a business process
US8473735B1 (en) 2007-05-17 2013-06-25 Jpmorgan Chase Systems and methods for managing digital certificates
US7979893B2 (en) 2007-05-31 2011-07-12 Microsoft Corporation Tailored system management interface
US8806637B2 (en) * 2007-06-11 2014-08-12 Red Hat, Inc. Authorization framework
US10019570B2 (en) * 2007-06-14 2018-07-10 Microsoft Technology Licensing, Llc Protection and communication abstractions for web browsers
US7886335B1 (en) 2007-07-12 2011-02-08 Juniper Networks, Inc. Reconciliation of multiple sets of network access control policies
US20090019427A1 (en) * 2007-07-13 2009-01-15 International Business Machines Corporation Method and Apparatus for Providing Requirement Driven Static Analysis of Test Coverage for Web-Based, Distributed Processes
US9852428B2 (en) * 2007-08-20 2017-12-26 Oracle International Corporation Business unit outsourcing model
US9160752B2 (en) * 2007-08-31 2015-10-13 International Business Machines Corporation Database authorization rules and component logic authorization rules aggregation
US9760677B2 (en) 2009-04-29 2017-09-12 Onemednet Corporation Methods, systems, and devices for managing medical images and records
US8065166B2 (en) 2007-10-30 2011-11-22 Onemednet Corporation Methods, systems, and devices for managing medical images and records
US9171344B2 (en) 2007-10-30 2015-10-27 Onemednet Corporation Methods, systems, and devices for managing medical images and records
US8635618B2 (en) * 2007-11-20 2014-01-21 International Business Machines Corporation Method and system to identify conflicts in scheduling data center changes to assets utilizing task type plugin with conflict detection logic corresponding to the change request
US8321682B1 (en) 2008-01-24 2012-11-27 Jpmorgan Chase Bank, N.A. System and method for generating and managing administrator passwords
US8510796B2 (en) * 2008-01-25 2013-08-13 Oracle International Corporation Method for application-to-application authentication via delegation
US9503691B2 (en) 2008-02-19 2016-11-22 Time Warner Cable Enterprises Llc Methods and apparatus for enhanced advertising and promotional delivery in a network
JP2009259198A (ja) * 2008-03-27 2009-11-05 Hitachi Ltd 情報処理制限システム、情報処理制限装置、および情報処理制限プログラム
US8056119B2 (en) * 2008-04-25 2011-11-08 Oracle America, Inc. Method and system for controlling inter-zone communication
US20090320125A1 (en) * 2008-05-08 2009-12-24 Eastman Chemical Company Systems, methods, and computer readable media for computer security
US9092243B2 (en) 2008-05-28 2015-07-28 Red Hat, Inc. Managing a software appliance
US10657466B2 (en) 2008-05-29 2020-05-19 Red Hat, Inc. Building custom appliances in a cloud-based network
US8868721B2 (en) 2008-05-29 2014-10-21 Red Hat, Inc. Software appliance management using broadcast data
US20100031227A1 (en) * 2008-08-01 2010-02-04 International Business Machines Corporation Structured Representation of Integration Scenarios of Software Products
US20100049573A1 (en) * 2008-08-20 2010-02-25 Oracle International Corporation Automated security provisioning for outsourced operations
US9357247B2 (en) 2008-11-24 2016-05-31 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US9210173B2 (en) * 2008-11-26 2015-12-08 Red Hat, Inc. Securing appliances for use in a cloud computing environment
US8745361B2 (en) * 2008-12-02 2014-06-03 Microsoft Corporation Sandboxed execution of plug-ins
KR101224717B1 (ko) * 2008-12-26 2013-01-21 에스케이플래닛 주식회사 소프트웨어 라이센스 보호 방법과 그를 위한 시스템, 서버,단말기 및 컴퓨터로 읽을 수 있는 기록매체
US20100192193A1 (en) * 2009-01-23 2010-07-29 Microsoft Corporation Security restriction techniques for browser-based applications
US8856881B2 (en) * 2009-02-26 2014-10-07 Genpact Global Holdings (Bermuda) Ltd. Method and system for access control by using an advanced command interface server
US8272065B2 (en) * 2009-03-11 2012-09-18 Telefonaktiebolaget Lm Ericsson (Publ) Secure client-side aggregation of web applications
US11076189B2 (en) 2009-03-30 2021-07-27 Time Warner Cable Enterprises Llc Personal media channel apparatus and methods
US9215423B2 (en) 2009-03-30 2015-12-15 Time Warner Cable Enterprises Llc Recommendation engine apparatus and methods
GB2505375B (en) * 2009-05-05 2014-04-09 Egress Software Technologies Ltd Secure data exchange desktop
US9866609B2 (en) 2009-06-08 2018-01-09 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
US9602864B2 (en) 2009-06-08 2017-03-21 Time Warner Cable Enterprises Llc Media bridge apparatus and methods
US20100325684A1 (en) * 2009-06-17 2010-12-23 Microsoft Corporation Role-based security for messaging administration and management
US9608826B2 (en) 2009-06-29 2017-03-28 Jpmorgan Chase Bank, N.A. System and method for partner key management
US20100332544A1 (en) * 2009-06-29 2010-12-30 Collins Mark A Surrogate Management Capabilities For Heterogeneous Systems Management Support
US9323892B1 (en) * 2009-07-01 2016-04-26 Vigilytics LLC Using de-identified healthcare data to evaluate post-healthcare facility encounter treatment outcomes
US9118641B1 (en) 2009-07-01 2015-08-25 Vigilytics LLC De-identifying medical history information for medical underwriting
US8489685B2 (en) 2009-07-17 2013-07-16 Aryaka Networks, Inc. Application acceleration as a service system and method
US8977705B2 (en) * 2009-07-27 2015-03-10 Verisign, Inc. Method and system for data logging and analysis
US9237381B2 (en) 2009-08-06 2016-01-12 Time Warner Cable Enterprises Llc Methods and apparatus for local channel insertion in an all-digital content distribution network
US8250628B2 (en) * 2009-08-28 2012-08-21 International Business Machines Corporation Dynamic augmentation, reduction, and/or replacement of security information by evaluating logical expressions
US8396055B2 (en) 2009-10-20 2013-03-12 Time Warner Cable Inc. Methods and apparatus for enabling media functionality in a content-based network
US10264029B2 (en) 2009-10-30 2019-04-16 Time Warner Cable Enterprises Llc Methods and apparatus for packetized content delivery over a content delivery network
US9635421B2 (en) 2009-11-11 2017-04-25 Time Warner Cable Enterprises Llc Methods and apparatus for audience data collection and analysis in a content delivery network
US9519728B2 (en) 2009-12-04 2016-12-13 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and optimizing delivery of content in a network
US8332917B2 (en) 2009-12-29 2012-12-11 International Business Machines Corporation Providing secure dynamic role selection and managing privileged user access from a client device
US9342661B2 (en) 2010-03-02 2016-05-17 Time Warner Cable Enterprises Llc Apparatus and methods for rights-managed content and data delivery
US20110296523A1 (en) * 2010-05-26 2011-12-01 Microsoft Corporation Access control management mapping resource/action pairs to principals
US9300445B2 (en) 2010-05-27 2016-03-29 Time Warner Cable Enterprise LLC Digital domain content processing and distribution apparatus and methods
US20110321147A1 (en) 2010-06-28 2011-12-29 International Business Machines Corporation Dynamic, temporary data access token
US9906838B2 (en) 2010-07-12 2018-02-27 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US8997136B2 (en) 2010-07-22 2015-03-31 Time Warner Cable Enterprises Llc Apparatus and methods for packetized content delivery over a bandwidth-efficient network
US9185341B2 (en) 2010-09-03 2015-11-10 Time Warner Cable Enterprises Llc Digital domain content processing and distribution apparatus and methods
US8930979B2 (en) 2010-11-11 2015-01-06 Time Warner Cable Enterprises Llc Apparatus and methods for identifying and characterizing latency in a content delivery network
US10148623B2 (en) 2010-11-12 2018-12-04 Time Warner Cable Enterprises Llc Apparatus and methods ensuring data privacy in a content distribution network
US8793706B2 (en) 2010-12-16 2014-07-29 Microsoft Corporation Metadata-based eventing supporting operations on data
CN102148819B (zh) * 2010-12-31 2013-12-11 无锡华御信息技术有限公司 防信息泄漏协同办公安全系统及方法
US9602414B2 (en) 2011-02-09 2017-03-21 Time Warner Cable Enterprises Llc Apparatus and methods for controlled bandwidth reclamation
TWI419004B (zh) * 2011-03-22 2013-12-11 Chunghwa Telecom Co Ltd 授權資訊交換方法
US9064033B2 (en) * 2011-07-05 2015-06-23 International Business Machines Corporation Intelligent decision support for consent management
US9021017B2 (en) * 2011-09-03 2015-04-28 Barracuda Networks, Inc. Configuring a plurality of diverse devices/services from an adaptive configuration control hyper-server apparatus
US9069947B2 (en) 2011-09-29 2015-06-30 Oracle International Corporation Privileged account manager, access management
CN103095661A (zh) * 2011-11-01 2013-05-08 镇江华扬信息科技有限公司 一种基于Javascript虫洞技术的SSO实现方式
US8811177B1 (en) 2011-11-03 2014-08-19 Jpmorgan Chase Bank, N.A. Method and system for implementing a network analysis tool for endpoints deployments
GB2511975B (en) * 2011-12-21 2021-02-03 Intel Corp Incorporating access control functionality into a system on a chip (SoC)
US8874909B2 (en) 2012-02-03 2014-10-28 Daniel Joseph Lutz System and method of storing data
US20130218918A1 (en) * 2012-02-16 2013-08-22 Microsoft Corporation Claim based execution control
US9467723B2 (en) 2012-04-04 2016-10-11 Time Warner Cable Enterprises Llc Apparatus and methods for automated highlight reel creation in a content delivery network
US8745718B1 (en) 2012-08-20 2014-06-03 Jericho Systems Corporation Delivery of authentication information to a RESTful service using token validation scheme
US20140082645A1 (en) 2012-09-14 2014-03-20 Peter Stern Apparatus and methods for providing enhanced or interactive features
US9565472B2 (en) 2012-12-10 2017-02-07 Time Warner Cable Enterprises Llc Apparatus and methods for content transfer protection
US20140282786A1 (en) 2013-03-12 2014-09-18 Time Warner Cable Enterprises Llc Methods and apparatus for providing and uploading content to personalized network storage
US9066153B2 (en) 2013-03-15 2015-06-23 Time Warner Cable Enterprises Llc Apparatus and methods for multicast delivery of content in a content delivery network
US9419957B1 (en) 2013-03-15 2016-08-16 Jpmorgan Chase Bank, N.A. Confidence-based authentication
US10368255B2 (en) 2017-07-25 2019-07-30 Time Warner Cable Enterprises Llc Methods and apparatus for client-based dynamic control of connections to co-existing radio access networks
US9275221B2 (en) * 2013-05-01 2016-03-01 Globalfoundries Inc. Context-aware permission control of hybrid mobile applications
US9961052B2 (en) * 2013-06-28 2018-05-01 Extreme Networks, Inc. Virtualized host ID key sharing
US9430665B2 (en) 2013-07-22 2016-08-30 Siemens Aktiengesellschaft Dynamic authorization to features and data in JAVA-based enterprise applications
US9313568B2 (en) 2013-07-23 2016-04-12 Chicago Custom Acoustics, Inc. Custom earphone with dome in the canal
EP3025247B1 (en) * 2013-07-26 2018-10-24 Hewlett-Packard Enterprise Development LP Data view based on context
US9674168B2 (en) 2013-09-19 2017-06-06 Oracle International Corporation Privileged account plug-in framework-step-up validation
US9602545B2 (en) * 2014-01-13 2017-03-21 Oracle International Corporation Access policy management using identified roles
US9230134B1 (en) * 2014-01-17 2016-01-05 Google Inc. Privacy setting metadata for application developers
US10148726B1 (en) 2014-01-24 2018-12-04 Jpmorgan Chase Bank, N.A. Initiating operating system commands based on browser cookies
US9450820B2 (en) 2014-02-26 2016-09-20 International Business Machines Corporation Dynamic extensible application server management
US9300652B2 (en) * 2014-04-14 2016-03-29 Adobe Systems Incorporated Scoped access to user content
US9621940B2 (en) 2014-05-29 2017-04-11 Time Warner Cable Enterprises Llc Apparatus and methods for recording, accessing, and delivering packetized content
US11540148B2 (en) 2014-06-11 2022-12-27 Time Warner Cable Enterprises Llc Methods and apparatus for access point location
US9985992B1 (en) * 2014-09-19 2018-05-29 Jpmorgan Chase Bank, N.A. Entitlement system and method
US9935833B2 (en) 2014-11-05 2018-04-03 Time Warner Cable Enterprises Llc Methods and apparatus for determining an optimized wireless interface installation configuration
US10116676B2 (en) 2015-02-13 2018-10-30 Time Warner Cable Enterprises Llc Apparatus and methods for data collection, analysis and service modification based on online activity
CN106487743B (zh) * 2015-08-25 2020-02-21 阿里巴巴集团控股有限公司 用于支持多用户集群身份验证的方法和设备
US9986578B2 (en) 2015-12-04 2018-05-29 Time Warner Cable Enterprises Llc Apparatus and methods for selective data network access
US9918345B2 (en) 2016-01-20 2018-03-13 Time Warner Cable Enterprises Llc Apparatus and method for wireless network services in moving vehicles
US10404758B2 (en) 2016-02-26 2019-09-03 Time Warner Cable Enterprises Llc Apparatus and methods for centralized message exchange in a user premises device
US10492034B2 (en) 2016-03-07 2019-11-26 Time Warner Cable Enterprises Llc Apparatus and methods for dynamic open-access networks
US10205786B2 (en) 2016-04-22 2019-02-12 Microsoft Technology Licensing, Llc Multi-user application executing in user privilege mode
EP3608825B1 (en) * 2016-05-10 2021-06-23 CyberArk Software Ltd. Application control
US11188615B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Data processing consent capture systems and related methods
US11392720B2 (en) 2016-06-10 2022-07-19 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US11586700B2 (en) 2016-06-10 2023-02-21 OneTrust, LLC Data processing systems and methods for automatically blocking the use of tracking tools
US10909265B2 (en) * 2016-06-10 2021-02-02 OneTrust, LLC Application privacy scanning systems and related methods
US10164858B2 (en) 2016-06-15 2018-12-25 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and diagnosing a wireless network
US10756909B2 (en) * 2016-12-06 2020-08-25 Veniam, Inc. Systems and methods for self and automated management of certificates in a network of moving things, for example including a network of autonomous vehicles
US10645547B2 (en) 2017-06-02 2020-05-05 Charter Communications Operating, Llc Apparatus and methods for providing wireless service in a venue
US10638361B2 (en) 2017-06-06 2020-04-28 Charter Communications Operating, Llc Methods and apparatus for dynamic control of connections to co-existing radio access networks
US11070559B2 (en) * 2017-08-23 2021-07-20 Oracle International Corporation System and method for supporting object-based security
US11190608B2 (en) 2018-03-21 2021-11-30 Cdk Global Llc Systems and methods for an automotive commerce exchange
US11501351B2 (en) * 2018-03-21 2022-11-15 Cdk Global, Llc Servers, systems, and methods for single sign-on of an automotive commerce exchange
CN109948360B (zh) * 2019-02-26 2023-04-07 维正知识产权科技有限公司 一种用于复杂场景的多控制域安全内核构建方法及系统
US11397794B1 (en) * 2019-03-25 2022-07-26 Amazon Technologies, Inc. Automated role management for resource accessing code
US11184351B2 (en) * 2019-09-04 2021-11-23 Bank Of America Corporation Security tool
EP4189569A1 (en) 2020-07-28 2023-06-07 OneTrust LLC Systems and methods for automatically blocking the use of tracking tools
US11514021B2 (en) 2021-01-22 2022-11-29 Cdk Global, Llc Systems, methods, and apparatuses for scanning a legacy database
CN112579872B (zh) * 2021-03-01 2021-07-09 杭州筋斗腾云科技有限公司 基于资源插件的网络资源访问中介系统及其处理方法
US11803535B2 (en) 2021-05-24 2023-10-31 Cdk Global, Llc Systems, methods, and apparatuses for simultaneously running parallel databases
US20230095155A1 (en) * 2021-09-28 2023-03-30 Docusign, Inc. Delegated signing using sensitivity classification

Family Cites Families (207)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US1253438A (en) * 1916-03-13 1918-01-15 Charles E Stevens Jr Recording-gage.
US3748646A (en) * 1971-06-08 1973-07-24 Daktronics Voting system
US5173939A (en) 1990-09-28 1992-12-22 Digital Equipment Corporation Access control subsystem and method for distributed computer system using compound principals
US5426747A (en) 1991-03-22 1995-06-20 Object Design, Inc. Method and apparatus for virtual memory mapping and transaction management in an object-oriented database system
US5237614A (en) 1991-06-07 1993-08-17 Security Dynamics Technologies, Inc. Integrated network security system
US5347653A (en) 1991-06-28 1994-09-13 Digital Equipment Corporation System for reconstructing prior versions of indexes using records indicating changes between successive versions of the indexes
US5355474A (en) 1991-09-27 1994-10-11 Thuraisngham Bhavani M System for multilevel secure database management using a knowledge base with release-based and other security constraints for query, response and update modification
US5481700A (en) 1991-09-27 1996-01-02 The Mitre Corporation Apparatus for design of a multilevel secure database management system based on a multilevel logic programming system
CA2123924A1 (en) * 1993-06-02 1994-12-03 Charles Douglas Blewett Specifying contexts in callback style programming
US5557747A (en) 1993-06-22 1996-09-17 Rogers; Lawrence D. Network policy implementation system for performing network control operations in response to changes in network state
JPH0798669A (ja) 1993-08-05 1995-04-11 Hitachi Ltd 分散データベース管理システム
US5400248A (en) * 1993-09-15 1995-03-21 John D. Chisholm Computer network based conditional voting system
US5369702A (en) * 1993-10-18 1994-11-29 Tecsec Incorporated Distributed cryptographic object method
US5544322A (en) 1994-05-09 1996-08-06 International Business Machines Corporation System and method for policy-based inter-realm authentication within a distributed processing system
EP0697662B1 (en) 1994-08-15 2001-05-30 International Business Machines Corporation Method and system for advanced role-based access control in distributed and centralized computer systems
US5627886A (en) 1994-09-22 1997-05-06 Electronic Data Systems Corporation System and method for detecting fraudulent network usage patterns using real-time network monitoring
CN1869997A (zh) * 1995-02-13 2006-11-29 英特特拉斯特技术公司 用于安全交易管理和电子权利保护的系统和方法
US5872928A (en) 1995-02-24 1999-02-16 Cabletron Systems, Inc. Method and apparatus for defining and enforcing policies for configuration management in communications networks
US5848352A (en) * 1995-04-26 1998-12-08 Wink Communications, Inc. Compact graphical interactive information system
US5889953A (en) 1995-05-25 1999-03-30 Cabletron Systems, Inc. Policy management and conflict resolution in computer networks
US5757669A (en) 1995-05-31 1998-05-26 Netscape Communications Corporation Method and apparatus for workgroup information replication
DE69601149T2 (de) 1995-07-03 1999-08-05 Sun Microsystems Inc Systen und Verfahren zum Implementieren einer hierarchischen Politik für die Administration eines Computersystems
US6026368A (en) * 1995-07-17 2000-02-15 24/7 Media, Inc. On-line interactive system and method for providing content and advertising information to a targeted set of viewers
US5825883A (en) 1995-10-31 1998-10-20 Interval Systems, Inc. Method and apparatus that accounts for usage of digital applications
US5764958A (en) * 1995-11-30 1998-06-09 International Business Machines Corporation Method and apparatus for creating dynamic roles with a system object model
JP3023949B2 (ja) 1995-12-12 2000-03-21 株式会社村田製作所 誘電体フィルタ
US5802276A (en) * 1996-01-03 1998-09-01 International Business Machines Corporation Information handling system, method, and article of manufacture including a vault object for encapsulation of object security credentials
US5826000A (en) 1996-02-29 1998-10-20 Sun Microsystems, Inc. System and method for automatic configuration of home network computers
US5826268A (en) 1996-04-12 1998-10-20 Ontos, Inc. Secure multilevel object oriented database management system
US5848396A (en) 1996-04-26 1998-12-08 Freedom Of Information, Inc. Method and apparatus for determining behavioral profile of a computer user
US6216231B1 (en) 1996-04-30 2001-04-10 At & T Corp. Specifying security protocols and policy constraints in distributed systems
US5987469A (en) 1996-05-14 1999-11-16 Micro Logic Corp. Method and apparatus for graphically representing information stored in electronic media
US5918210A (en) 1996-06-07 1999-06-29 Electronic Data Systems Corporation Business query tool, using policy objects to provide query responses
US5956400A (en) 1996-07-19 1999-09-21 Digicash Incorporated Partitioned information storage systems with controlled retrieval
US6052723A (en) * 1996-07-25 2000-04-18 Stockmaster.Com, Inc. Method for aggregate control on an electronic network
US6055515A (en) 1996-07-30 2000-04-25 International Business Machines Corporation Enhanced tree control system for navigating lattices data structures and displaying configurable lattice-node labels
US5950195A (en) 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
US6055637A (en) 1996-09-27 2000-04-25 Electronic Data Systems Corporation System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential
US6029182A (en) 1996-10-04 2000-02-22 Canon Information Systems, Inc. System for generating a custom formatted hypertext document by using a personal profile to retrieve hierarchical documents
US6154844A (en) 1996-11-08 2000-11-28 Finjan Software, Ltd. System and method for attaching a downloadable security profile to a downloadable
US6058392A (en) 1996-11-18 2000-05-02 Wesley C. Sampson Revocable Trust Method for the organizational indexing, storage, and retrieval of data according to data pattern signatures
US6292900B1 (en) 1996-12-18 2001-09-18 Sun Microsystems, Inc. Multilevel security attribute passing methods, apparatuses, and computer program products in a stream
US5987611A (en) 1996-12-31 1999-11-16 Zone Labs, Inc. System and methodology for managing internet access on a per application basis for client computers connected to the internet
US6241608B1 (en) 1997-01-15 2001-06-05 Lawrence J. Torango Progressive wagering system
KR20000064776A (ko) 1997-01-24 2000-11-06 이데이 노부유끼 도형 데이터 생성 장치, 도형 데이터 생성 방법 및 그 매체
US5925126A (en) 1997-03-18 1999-07-20 Memco Software, Ltd. Method for security shield implementation in computer system's software
US6226745B1 (en) * 1997-03-21 2001-05-01 Gio Wiederhold Information sharing system and method with requester dependent sharing and security rules
US5867667A (en) 1997-03-24 1999-02-02 Pfn, Inc. Publication network control system using domain and client side communications resource locator lists for managing information communications between the domain server and publication servers
US6275941B1 (en) 1997-03-28 2001-08-14 Hiatchi, Ltd. Security management method for network system
US5991877A (en) 1997-04-03 1999-11-23 Lockheed Martin Corporation Object-oriented trusted application framework
US6684369B1 (en) * 1997-06-19 2004-01-27 International Business Machines, Corporation Web site creator using templates
US6185587B1 (en) 1997-06-19 2001-02-06 International Business Machines Corporation System and method for building a web site with automated help
US6108699A (en) * 1997-06-27 2000-08-22 Sun Microsystems, Inc. System and method for modifying membership in a clustered distributed computer system and updating system configuration
US6029144A (en) 1997-08-29 2000-02-22 International Business Machines Corporation Compliance-to-policy detection method and system
US9197599B1 (en) * 1997-09-26 2015-11-24 Verizon Patent And Licensing Inc. Integrated business system for web based telecommunications management
US6005571A (en) 1997-09-30 1999-12-21 Softline, Inc. Graphical user interface for managing security in a database system
US6006194A (en) 1997-10-01 1999-12-21 Merel; Peter A. Computer-implemented system for controlling resources and policies
US5954798A (en) 1997-10-06 1999-09-21 Ncr Corporation Mechanism for dependably managing web synchronization and tracking operations among multiple browsers
US6317868B1 (en) 1997-10-24 2001-11-13 University Of Washington Process for transparently enforcing protection domains and access control as well as auditing operations in software components
US6157924A (en) 1997-11-07 2000-12-05 Bell & Howell Mail Processing Systems Company Systems, methods, and computer program products for delivering information in a preferred medium
US6202066B1 (en) 1997-11-19 2001-03-13 The United States Of America As Represented By The Secretary Of Commerce Implementation of role/group permission association using object access type
US6385627B1 (en) 1997-11-24 2002-05-07 International Business Machines Corporation Method, apparatus and computer program product for providing document user role indication
IL122314A (en) 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
US6088679A (en) * 1997-12-01 2000-07-11 The United States Of America As Represented By The Secretary Of Commerce Workflow management employing role-based access control
US5966707A (en) 1997-12-02 1999-10-12 International Business Machines Corporation Method for managing a plurality of data processes residing in heterogeneous data repositories
US6202157B1 (en) 1997-12-08 2001-03-13 Entrust Technologies Limited Computer network security system and method having unilateral enforceable security policy provision
US6035423A (en) 1997-12-31 2000-03-07 Network Associates, Inc. Method and system for providing automated updating and upgrading of antivirus applications using a computer network
US6360363B1 (en) 1997-12-31 2002-03-19 Eternal Systems, Inc. Live upgrade process for object-oriented programs
US6202207B1 (en) 1998-01-28 2001-03-13 International Business Machines Corporation Method and a mechanism for synchronized updating of interoperating software
CA2228687A1 (en) 1998-02-04 1999-08-04 Brett Howard Secured virtual private networks
US6484261B1 (en) 1998-02-17 2002-11-19 Cisco Technology, Inc. Graphical network security policy management
US6357010B1 (en) * 1998-02-17 2002-03-12 Secure Computing Corporation System and method for controlling access to documents stored on an internal network
US6108687A (en) 1998-03-02 2000-08-22 Hewlett Packard Company System and method for providing a synchronized display to a plurality of computers over a global computer network
US6304881B1 (en) * 1998-03-03 2001-10-16 Pumatech, Inc. Remote data access and synchronization
US6141686A (en) 1998-03-13 2000-10-31 Deterministic Networks, Inc. Client-side application-classifier gathering network-traffic statistics and application and user names using extensible-service provider plugin for policy-based network control
US6182226B1 (en) * 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6052531A (en) * 1998-03-25 2000-04-18 Symantec Corporation Multi-tiered incremental software updating
US7185332B1 (en) * 1998-03-25 2007-02-27 Symantec Corporation Multi-tiered incremental software updating
US6285985B1 (en) 1998-04-03 2001-09-04 Preview Systems, Inc. Advertising-subsidized and advertising-enabled software
US6295607B1 (en) 1998-04-06 2001-09-25 Bindview Development Corporation System and method for security control in a data processing system
US6182277B1 (en) 1998-04-15 2001-01-30 Oracle Corporation Methods and apparatus for declarative programming techniques in an object oriented environment
US6339826B2 (en) 1998-05-05 2002-01-15 International Business Machines Corp. Client-server system for maintaining a user desktop consistent with server application user access permissions
US6148333A (en) 1998-05-13 2000-11-14 Mgi Software Corporation Method and system for server access control and tracking
US6122647A (en) 1998-05-19 2000-09-19 Perspecta, Inc. Dynamic generation of contextual links in hypertext documents
US6167407A (en) 1998-06-03 2000-12-26 Symantec Corporation Backtracked incremental updating
US6083276A (en) 1998-06-11 2000-07-04 Corel, Inc. Creating and configuring component-based applications using a text-based descriptive attribute grammar
US6253321B1 (en) 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US6285366B1 (en) 1998-06-30 2001-09-04 Sun Microsystems, Inc. Hierarchy navigation system
US6182142B1 (en) * 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US6170009B1 (en) 1998-07-17 2001-01-02 Kallol Mandal Controlling devices on a network through policies
US6209101B1 (en) 1998-07-17 2001-03-27 Secure Computing Corporation Adaptive security system having a hierarchy of security servers
US6141010A (en) 1998-07-17 2000-10-31 B. E. Technology, Llc Computer interface method and apparatus with targeted advertising
US6151599A (en) * 1998-07-17 2000-11-21 International Business Machines Corporation Web client scripting test architecture for web server-based authentication
AU5465099A (en) 1998-08-04 2000-02-28 Rulespace, Inc. Method and system for deriving computer users' personal interests
US6397222B1 (en) 1998-08-07 2002-05-28 Paul Zellweger Method and apparatus for end-user management of a content menu on a network
US6473791B1 (en) 1998-08-17 2002-10-29 Microsoft Corporation Object load balancing
US6397231B1 (en) 1998-08-31 2002-05-28 Xerox Corporation Virtual documents generated via combined documents or portions of documents retrieved from data repositories
US6412070B1 (en) 1998-09-21 2002-06-25 Microsoft Corporation Extensible security system and method for controlling access to objects in a computing environment
US6377973B2 (en) 1998-09-30 2002-04-23 Emrys Technologies, Ltd. Event management in a system with application and graphical user interface processing adapted to display predefined graphical elements resides separately on server and client machine
US6341352B1 (en) 1998-10-15 2002-01-22 International Business Machines Corporation Method for changing a security policy during processing of a transaction request
US6477543B1 (en) 1998-10-23 2002-11-05 International Business Machines Corporation Method, apparatus and program storage device for a client and adaptive synchronization and transformation server
US6167445A (en) 1998-10-26 2000-12-26 Cisco Technology, Inc. Method and apparatus for defining and implementing high-level quality of service policies in computer networks
US6158010A (en) 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
US6460141B1 (en) 1998-10-28 2002-10-01 Rsa Security Inc. Security and access management system for web-enabled and non-web-enabled applications and content on a computer network
JP3856969B2 (ja) * 1998-11-02 2006-12-13 株式会社日立製作所 オブジェクト分析設計支援方法
US6530024B1 (en) 1998-11-20 2003-03-04 Centrax Corporation Adaptive feedback security system and method
US6574736B1 (en) * 1998-11-30 2003-06-03 Microsoft Corporation Composable roles
US6301613B1 (en) 1998-12-03 2001-10-09 Cisco Technology, Inc. Verifying that a network management policy used by a computer system can be satisfied and is feasible for use
US6327618B1 (en) 1998-12-03 2001-12-04 Cisco Technology, Inc. Recognizing and processing conflicts in network management policies
CA2292272A1 (en) * 1998-12-22 2000-06-22 Nortel Networks Corporation System and method to support configurable policies for services in directory-based networks
US6381579B1 (en) 1998-12-23 2002-04-30 International Business Machines Corporation System and method to provide secure navigation to resources on the internet
US6393474B1 (en) 1998-12-31 2002-05-21 3Com Corporation Dynamic policy management apparatus and method using active network devices
US6510513B1 (en) 1999-01-13 2003-01-21 Microsoft Corporation Security services and policy enforcement for electronic data
US6412077B1 (en) 1999-01-14 2002-06-25 Cisco Technology, Inc. Disconnect policy for distributed computing systems
US6327594B1 (en) 1999-01-29 2001-12-04 International Business Machines Corporation Methods for shared data management in a pervasive computing environment
US6308163B1 (en) 1999-03-16 2001-10-23 Hewlett-Packard Company System and method for enterprise workflow resource management
US6260050B1 (en) 1999-03-23 2001-07-10 Microstrategy, Inc. System and method of adapting automatic output of service related OLAP reports to disparate output devices
US6154766A (en) 1999-03-23 2000-11-28 Microstrategy, Inc. System and method for automatic transmission of personalized OLAP report output
US6757698B2 (en) * 1999-04-14 2004-06-29 Iomega Corporation Method and apparatus for automatically synchronizing data from a host computer to two or more backup data storage locations
US20030069874A1 (en) * 1999-05-05 2003-04-10 Eyal Hertzog Method and system to automate the updating of personal information within a personal information management application and to synchronize such updated personal information management applications
GB9912494D0 (en) * 1999-05-28 1999-07-28 Hewlett Packard Co Configuring computer systems
US7472349B1 (en) * 1999-06-01 2008-12-30 Oracle International Corporation Dynamic services infrastructure for allowing programmatic access to internet and other resources
US6988138B1 (en) * 1999-06-30 2006-01-17 Blackboard Inc. Internet-based education support system and methods
US6769095B1 (en) * 1999-07-23 2004-07-27 Codagen Technologies Corp. Hierarchically structured control information editor
US6519647B1 (en) 1999-07-23 2003-02-11 Microsoft Corporation Methods and apparatus for synchronizing access control in a web server
US6581054B1 (en) * 1999-07-30 2003-06-17 Computer Associates Think, Inc. Dynamic query model and method
US6339423B1 (en) * 1999-08-23 2002-01-15 Entrust, Inc. Multi-domain access control
US6587876B1 (en) * 1999-08-24 2003-07-01 Hewlett-Packard Development Company Grouping targets of management policies
US6934934B1 (en) * 1999-08-30 2005-08-23 Empirix Inc. Method and system for software object testing
US6430556B1 (en) 1999-11-01 2002-08-06 Sun Microsystems, Inc. System and method for providing a query object development environment
US6865549B1 (en) * 1999-11-15 2005-03-08 Sun Microsystems, Inc. Method and apparatus for concurrency control in a policy-based management system
JP3963417B2 (ja) * 1999-11-19 2007-08-22 株式会社東芝 データ同期処理のための通信方法および電子機器
US6487594B1 (en) 1999-11-30 2002-11-26 Mediaone Group, Inc. Policy management method and system for internet service providers
US6418448B1 (en) 1999-12-06 2002-07-09 Shyam Sundar Sarkar Method and apparatus for processing markup language specifications for data and metadata used inside multiple related internet documents to navigate, query and manipulate information from a plurality of object relational databases over the web
US6587849B1 (en) * 1999-12-10 2003-07-01 Art Technology Group, Inc. Method and system for constructing personalized result sets
AU2582401A (en) * 1999-12-17 2001-06-25 Dorado Network Systems Corporation Purpose-based adaptive rendering
US6751657B1 (en) * 1999-12-21 2004-06-15 Worldcom, Inc. System and method for notification subscription filtering based on user role
US6584454B1 (en) * 1999-12-31 2003-06-24 Ge Medical Technology Services, Inc. Method and apparatus for community management in remote system servicing
US6633855B1 (en) * 2000-01-06 2003-10-14 International Business Machines Corporation Method, system, and program for filtering content using neural networks
US6484177B1 (en) 2000-01-13 2002-11-19 International Business Machines Corporation Data management interoperability methods for heterogeneous directory structures
EP1117220A1 (en) * 2000-01-14 2001-07-18 Sun Microsystems, Inc. Method and system for protocol conversion
US6957331B2 (en) * 2000-01-14 2005-10-18 International Business Machines Corporation Method of achieving multiple processor agreement in asynchronous networks
US6694336B1 (en) * 2000-01-25 2004-02-17 Fusionone, Inc. Data transfer and synchronization system
US6735586B2 (en) * 2000-02-08 2004-05-11 Sybase, Inc. System and method for dynamic content retrieval
US6901403B1 (en) * 2000-03-02 2005-05-31 Quovadx, Inc. XML presentation of general-purpose data sources
US7013485B2 (en) * 2000-03-06 2006-03-14 I2 Technologies U.S., Inc. Computer security system
US7657436B2 (en) * 2000-03-30 2010-02-02 Convergys Cmg Utah, Inc. System and method for establishing electronic business systems for supporting communications services commerce
US6735624B1 (en) * 2000-04-07 2004-05-11 Danger, Inc. Method for configuring and authenticating newly delivered portal device
US6697805B1 (en) * 2000-04-14 2004-02-24 Microsoft Corporation XML methods and systems for synchronizing multiple computing devices
EP1292886A1 (en) * 2000-04-21 2003-03-19 Togethersoft Corporation Methods and systems for supporting and deploying distributed computing components
US20020103818A1 (en) * 2000-05-04 2002-08-01 Kirkfire, Inc. Information repository system and method for an internet portal system
US6327628B1 (en) * 2000-05-19 2001-12-04 Epicentric, Inc. Portal server that provides a customizable user Interface for access to computer networks
WO2001090908A1 (en) * 2000-05-22 2001-11-29 Sap Portals Inc. Snippet selection
US7089584B1 (en) * 2000-05-24 2006-08-08 Sun Microsystems, Inc. Security architecture for integration of enterprise information system with J2EE platform
WO2001093655A2 (en) * 2000-06-05 2001-12-13 Shiman Associates, Inc. Method and apparatus for managing documents in a centralized document repository system
US6779002B1 (en) * 2000-06-13 2004-08-17 Sprint Communications Company L.P. Computer software framework and method for synchronizing data across multiple databases
US6785721B1 (en) * 2000-06-19 2004-08-31 International Business Machines Corporation System and method for providing a distributable runtime that deploys web applications and services from a workflow, enterprise, and mail-enabled web application server and platform
US7185192B1 (en) * 2000-07-07 2007-02-27 Emc Corporation Methods and apparatus for controlling access to a resource
WO2002019097A1 (en) * 2000-09-01 2002-03-07 International Interactive Commerce, Ltd. System and method for collaboration using web browsers
US6477575B1 (en) 2000-09-12 2002-11-05 Capital One Financial Corporation System and method for performing dynamic Web marketing and advertising
US6581071B1 (en) * 2000-09-12 2003-06-17 Survivors Of The Shoah Visual History Foundation Surveying system and method
US6754672B1 (en) * 2000-09-13 2004-06-22 American Management Systems, Inc. System and method for efficient integration of government administrative and program systems
US7728838B2 (en) * 2000-09-15 2010-06-01 Invensys Systems, Inc. Method and system for animating graphical user interface elements via a manufacturing/process control portal server
US6856999B2 (en) * 2000-10-02 2005-02-15 Microsoft Corporation Synchronizing a store with write generations
US6912538B2 (en) * 2000-10-20 2005-06-28 Kevin Stapel System and method for dynamic generation of structured documents
US6970939B2 (en) * 2000-10-26 2005-11-29 Intel Corporation Method and apparatus for large payload distribution in a network
KR100398711B1 (ko) * 2000-11-08 2003-09-19 주식회사 와이즈엔진 동적 데이터를 포함한 멀티미디어 콘텐츠의 실시간 통합및 처리 기능을 갖는 콘텐츠 출판 시스템 및 그 방법
US6889222B1 (en) * 2000-12-26 2005-05-03 Aspect Communications Corporation Method and an apparatus for providing personalized service
US6947989B2 (en) * 2001-01-29 2005-09-20 International Business Machines Corporation System and method for provisioning resources to users based on policies, roles, organizational information, and attributes
US20020107913A1 (en) * 2001-02-08 2002-08-08 Rivera Gustavo R. System and method for rendering documents in a user-familiar format
KR100393273B1 (ko) * 2001-02-12 2003-07-31 (주)폴리픽스 사설통신망 상의 온라인정보 교환시스템 및 그 교환방법
US6985915B2 (en) * 2001-02-28 2006-01-10 Kiran Somalwar Application independent write monitoring method for fast backup and synchronization of files
WO2002076077A1 (en) * 2001-03-16 2002-09-26 Leap Wireless International, Inc. Method and system for distributing content over a wireless communications system
US7080000B1 (en) * 2001-03-30 2006-07-18 Mcafee, Inc. Method and system for bi-directional updating of antivirus database
US7003578B2 (en) * 2001-04-26 2006-02-21 Hewlett-Packard Development Company, L.P. Method and system for controlling a policy-based network
US7047522B1 (en) * 2001-04-30 2006-05-16 General Electric Capital Corporation Method and system for verifying a computer program
US20020169893A1 (en) * 2001-05-09 2002-11-14 Li-Han Chen System and method for computer data synchronization
US6886100B2 (en) * 2001-05-15 2005-04-26 Hewlett-Packard Development Company, L.P. Disabling tool execution via roles
US20020178119A1 (en) * 2001-05-24 2002-11-28 International Business Machines Corporation Method and system for a role-based access control model with active roles
US7392546B2 (en) * 2001-06-11 2008-06-24 Bea Systems, Inc. System and method for server security and entitlement processing
US20030014442A1 (en) * 2001-07-16 2003-01-16 Shiigi Clyde K. Web site application development method using object model for managing web-based content
US7124192B2 (en) * 2001-08-30 2006-10-17 International Business Machines Corporation Role-permission model for security policy administration and enforcement
US6922695B2 (en) * 2001-09-06 2005-07-26 Initiate Systems, Inc. System and method for dynamically securing dynamic-multi-sourced persisted EJBS
US20030146937A1 (en) * 2001-09-11 2003-08-07 Lee Seung Woo Multi-level data management system
US20030078972A1 (en) * 2001-09-12 2003-04-24 Open Tv, Inc. Method and apparatus for disconnected chat room lurking in an interactive television environment
US7035944B2 (en) * 2001-09-19 2006-04-25 International Business Machines Corporation Programmatic management of software resources in a content framework environment
US7765484B2 (en) * 2001-09-28 2010-07-27 Aol Inc. Passive personalization of lists
US7496645B2 (en) * 2001-10-18 2009-02-24 Hewlett-Packard Development Company, L.P. Deployment of business logic software and data content onto network servers
WO2003036548A1 (en) * 2001-10-24 2003-05-01 Bea Systems, Inc. System and method for portal page layout
US6918088B2 (en) * 2001-11-05 2005-07-12 Sun Microsystems, Inc. Service portal with application framework for facilitating application and feature development
US20030126464A1 (en) * 2001-12-04 2003-07-03 Mcdaniel Patrick D. Method and system for determining and enforcing security policy in a communication session
US7219140B2 (en) * 2001-12-05 2007-05-15 Dennis Craig Marl Configuration and management systems for mobile and embedded devices
US7054910B1 (en) * 2001-12-20 2006-05-30 Emc Corporation Data replication facility for distributed computing environments
WO2003056449A2 (en) * 2001-12-21 2003-07-10 Xmlcities, Inc. Extensible stylesheet designs using meta-tag and/or associated meta-tag information
US7062511B1 (en) * 2001-12-31 2006-06-13 Oracle International Corporation Method and system for portal web site generation
US7565367B2 (en) * 2002-01-15 2009-07-21 Iac Search & Media, Inc. Enhanced popularity ranking
US7093283B1 (en) * 2002-02-15 2006-08-15 Cisco Technology, Inc. Method and apparatus for deploying configuration instructions to security devices in order to implement a security policy on a network
US20040078371A1 (en) * 2002-05-22 2004-04-22 Joel Worrall Method and system for providing multiple virtual portals on a computer network
US7302488B2 (en) * 2002-06-28 2007-11-27 Microsoft Corporation Parental controls customization and notification
US8631142B2 (en) * 2002-08-07 2014-01-14 International Business Machines Corporation Inserting targeted content into a portlet content stream
US20040098467A1 (en) * 2002-11-15 2004-05-20 Humanizing Technologies, Inc. Methods and systems for implementing a customized life portal
US7035879B2 (en) * 2002-12-26 2006-04-25 Hon Hai Precision Ind. Co., Ltd. System and method for synchronizing data of wireless devices
US20040167880A1 (en) * 2003-02-20 2004-08-26 Bea Systems, Inc. System and method for searching a virtual repository content
US20040215650A1 (en) * 2003-04-09 2004-10-28 Ullattil Shaji Interfaces and methods for group policy management
US20050021502A1 (en) * 2003-05-23 2005-01-27 Benjamin Chen Data federation methods and system
US7552109B2 (en) * 2003-10-15 2009-06-23 International Business Machines Corporation System, method, and service for collaborative focused crawling of documents on a network
US7953734B2 (en) * 2005-09-26 2011-05-31 Oracle International Corporation System and method for providing SPI extensions for content management system

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006268125A (ja) * 2005-03-22 2006-10-05 Fuji Electric Systems Co Ltd アプリケーションサーバ、そのプログラム
JP2010519657A (ja) * 2007-03-16 2010-06-03 シーメンス アクチエンゲゼルシヤフト 端末装置に対するサービスを提供するための方法およびシステム
US9444814B2 (en) 2007-03-16 2016-09-13 Siemens Aktiengesellschaft Method and system for the provision of services for terminal devices
WO2011030755A1 (ja) * 2009-09-10 2011-03-17 日本電気株式会社 ロール設定装置、ロール設定方法及びロール設定プログラム
JP5673543B2 (ja) * 2009-09-10 2015-02-18 日本電気株式会社 ロール設定装置、ロール設定方法及びロール設定プログラム
JP2011123872A (ja) * 2009-12-08 2011-06-23 Postech Academy-Industry Foundation 通信システムにおいて個人化サービスを提供及び管理するための装置及び方法
US8566293B2 (en) 2009-12-08 2013-10-22 Postech Academy-Industry Foundation Apparatus and method for creating and managing personalized services in communication system
JP2017062840A (ja) * 2011-09-27 2017-03-30 オラクル・インターナショナル・コーポレイション Guiナビゲーション、プロパティシート、およびオートタブコンプリーションを含むサーバ構成を管理するためのシステムおよび方法
US10380245B2 (en) 2012-12-11 2019-08-13 International Business Machines Corporation Verifying the terms of use for access to a service
US10387567B2 (en) 2012-12-11 2019-08-20 International Business Machines Corporation Verifying the terms of use for access to a service
US10915708B2 (en) 2012-12-11 2021-02-09 International Business Machines Corporation Verifying the terms of use for access to a service

Also Published As

Publication number Publication date
AU2002310144B2 (en) 2007-09-06
WO2002101973A1 (en) 2002-12-19
US7392546B2 (en) 2008-06-24
CN100361435C (zh) 2008-01-09
US20070157297A1 (en) 2007-07-05
CN1535515A (zh) 2004-10-06
US7823189B2 (en) 2010-10-26
EP1405457A4 (en) 2010-07-07
EP1405457B1 (en) 2020-03-04
EP1405457A1 (en) 2004-04-07
US20080256610A1 (en) 2008-10-16
US20020188869A1 (en) 2002-12-12

Similar Documents

Publication Publication Date Title
JP2004533075A (ja) サーバーセキュリティ及び権限付与処理のためのシステム及びその方法
AU2002310144A1 (en) System and method for server security and entitlement processing
EP2689372B1 (en) User to user delegation service in a federated identity management environment
US7657746B2 (en) Supporting statements for credential based access control
CN110995450B (zh) 基于Kubernetes的认证授权方法及系统
EP1436682B1 (en) System and method for specifying security, privacy, and access control to information used by others
US9560080B2 (en) Extending organizational boundaries throughout a cloud architecture
JP2004533075A5 (ja)
US8688591B2 (en) Anonymous separation of duties with credentials
Bacon et al. Enforcing End-to-End Application Security in the Cloud: (Big Ideas Paper)
US8543810B1 (en) Deployment tool and method for managing security lifecycle of a federated web service
Put et al. Attribute-based privacy-friendly access control with context
Riti et al. Identity and Access Management with Google Cloud Platform
Jensen et al. Policy expression and enforcement for handheld devices
Lu User-to-user delegation in a federated identity environment'
Skogsrud Trust negotiation policy management for service-oriented applications
Goovaerts et al. Security services in mainstream enterprise-oriented middleware Platforms
Georgieva et al. Security as a service model in SOA
Fernandez et al. Comparing the security architectures of Sun ONE and Microsoft. NET
Boettcher et al. Unleash the power of single sign-on with Microsoft and SAP
Baker et al. Conceptual Grid Authorization Framework and Classification
Samson Alternative Java Security Policy Model
Stenbäcka et al. A proposal of a method for evaluating third-party authentication services
Tu A Preliminary Security Analysis of New Zealand's Igovt System
Singhal et al. zyxwvutsrqponm

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050526

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050526

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081027

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090106

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090114

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090227

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090306

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090601