JP2005303993A - クレデンシャルローミングのためのシステムおよび方法 - Google Patents

クレデンシャルローミングのためのシステムおよび方法 Download PDF

Info

Publication number
JP2005303993A
JP2005303993A JP2005055981A JP2005055981A JP2005303993A JP 2005303993 A JP2005303993 A JP 2005303993A JP 2005055981 A JP2005055981 A JP 2005055981A JP 2005055981 A JP2005055981 A JP 2005055981A JP 2005303993 A JP2005303993 A JP 2005303993A
Authority
JP
Japan
Prior art keywords
remote
credentials
local
credential
cache
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005055981A
Other languages
English (en)
Inventor
David B Cross
ビー.クロス デビッド
Hao Zhuang
ツァン ハオ
Philip J Hallin
ジェイ.ハリン フィリップ
Xiaohong Su
スゥ シャオホン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2005303993A publication Critical patent/JP2005303993A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • EFIXED CONSTRUCTIONS
    • E03WATER SUPPLY; SEWERAGE
    • E03CDOMESTIC PLUMBING INSTALLATIONS FOR FRESH WATER OR WASTE WATER; SINKS
    • E03C1/00Domestic plumbing installations for fresh water or waste water; Sinks
    • E03C1/02Plumbing installations for fresh water
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • EFIXED CONSTRUCTIONS
    • E03WATER SUPPLY; SEWERAGE
    • E03CDOMESTIC PLUMBING INSTALLATIONS FOR FRESH WATER OR WASTE WATER; SINKS
    • E03C2201/00Details, devices or methods not otherwise provided for
    • E03C2201/50Constructional features of escutcheons for domestic plumbing installations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Water Supply & Treatment (AREA)
  • Public Health (AREA)
  • Health & Medical Sciences (AREA)
  • Hydrology & Water Resources (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】 クレデンシャルローミングを提供すること。
【解決手段】 複数の異なる計算処理ユニット間でのクレデンシャルローミングを可能にする実施形態を説明する。例示的なシステムは、クライアントログオンなどのイベント通知を受け取るイベントハンドラを含む。このイベントハンドラは、イベント通知を受け取ったことに応答して、管理サービス300を呼び出す。管理サービス300は、ユーザのクレデンシャルが、いくつかの異なる計算処理デバイスのいずれからも利用可能になるように、ユーザのクレデンシャルをアクティブディレクトリなどのリモートディレクトリサービスと同期させる同期モジュール320を含む。
【選択図】 図3

Description

本発明はクレデンシャルローミング(credential roaming)に関するものである。より詳述すると、本発明は、電子計算処理システムにおけるクレデンシャルローミングのためのシステムおよび方法に関する。
ネットワークを介した通信でのデータ(電子メールメッセージやファイルなど)を保護するために、様々な種類の暗号化方式が広く使用されている。例えば、対称暗号(symmetric encryption)では、データを暗号化(encrypting)するユーザとそのデータを暗号化解除(decrypting)するユーザの両方が同じ暗号鍵(encryption key)のコピーを必要とする。非対称暗号(asymmetric encryption)は、公開鍵暗号とも呼ばれ、鍵ペア(例えば、公開鍵と秘密鍵)を使用する。非対称暗号では、公開鍵は共用され得るが、秘密鍵は共用されない。
暗号鍵(encryption key)は、コンピュータシステム上の、例えば、ユーザプロファイルやユーザ設定(user setting)、クレデンシャル(credential)のための他のリポジトリ(repository)の一部などとして格納され得る。暗号鍵は、無許可のユーザがその暗号化方式を解読し得る可能性を低減するために、やがて変更され、置換され得る。いずれにしても、ユーザには、そのユーザが認証(authenticate)され(ログオン時などに)、ユーザプロファイルがコンピュータシステム上にロードされた後で、暗号鍵へのアクセスが提供される。
しかしながら、ユーザは、複数のコンピュータシステム(例えば、1台のパーソナルコンピュータと1台または複数のモバイル機器など)で暗号鍵にアクセスすることを必要とし得る。ユーザは、1台のコンピュータシステムから別のシステムに(例えば、ディスケットや他の取り外し可能記憶媒体を使用して)暗号鍵を移すこともできるが、これは面倒で時間がかかる。スマートカードも使用され得るが、高価である。代替として、ユーザプロファイルをネットワークサーバ上に格納しておき、ユーザがネットワークに接続する度に、様々な異なるコンピュータシステムからアクセスすることもできる。しかしながら、ユーザプロファイルが大きく(数メガバイト)、ネットワークサーバからユーザプロファイルをダウンロードするとログオンプロセスが遅くなることもある。また、ユーザは、(ネットワークが利用できないときに)ローカルで格納されたユーザプロファイルなしでは、コンピュータにログオンし、それを使用することができないこともある。
本明細書では、複数の異なる計算処理ユニット間などで、クレデンシャルローミングを可能にする実施形態について説明し、特許請求の範囲を記載してある。例示的システムは、オペレーティングシステムから対話式またはネットワークログオンなどのイベント通知(event notification)を受け取るイベントハンドラ(event handler)を含み得る。イベントハンドラは、イベント通知を受け取ったことに応答して管理サービス(management service)を呼び出し得る。この管理サービスは、ユーザのクレデンシャル(user's credential)(暗号化クレデンシャル(encryption credential)など)をリモートキャッシュ(remote cache)またはディレクトリサービス(directory service)と同期させる同期モジュール(synchronizing module)を含み得る。したがって、そのユーザのクレデンシャルは、いくつかの異なる計算処理デバイスのいずれからも利用可能である。
一部の実施形態では、コンピュータプログラムプロダクトとして提供される。コンピュータプログラムプロダクトの一実施形態は、コンピュータシステムにより読み取り可能であり、クレデンシャルローミングのためのコンピュータプログラムを符号化しているコンピュータプログラム記憶媒体を提供する。コンピュータプログラムプロダクトの別の実施形態は、計算処理システムによって搬送波中に実現され、クレデンシャルローミングのためのコンピュータプログラムを符号化するコンピュータデータ信号として提供される。
このコンピュータプログラムプロダクトは、イベント通知(event notification)を受け取ったことに応答して、ローカルクレデンシャル(local credential)およびリモートクレデンシャル(remote credential)を列挙(enumerate)するためにコンピュータシステム上でコンピュータプロセスを実行し、それらのローカルクレデンシャルとリモートクレデンシャルを同期させるコンピュータプログラムを符号化する。
別の実施形態では、方法が提供される。例示的方法は、イベント通知を受け取ったことに応答してローカルクレデンシャルおよびリモートクレデンシャルを列挙するステップと、それらのローカルクレデンシャルとリモートクレデンシャルを同期させるステップとを含む。
別の実施形態では、システムが提供される。例示的システムは、イベント通知を受け取るイベントハンドラ(event handler)を含む。同期モジュール(synchronizing module)は、イベントハンドラと関連して動作する。この同期モジュールは、イベントハンドラがイベント通知を受け取ったときに、ローカルクレデンシャルとリモートクレデンシャルが相互に異なる場合、それらのローカルクレデンシャルとリモートクレデンシャルを同期させる。
クレデンシャルローミングは、任意の数(n個)の計算処理デバイスにおいてローカルクレデンシャル(暗号鍵、証明書、トークンなど)を同期させるために実施され得る。説明のために、ユーザは、自分のラップトップまたはデスクトップコンピュータにおいてクレデンシャルを変更し、修正し、付加し、かつ/または除去し得るものとする。ユーザがラップトップまたはデスクトップコンピュータをログアウトすると、管理サービスは、ローカルクレデンシャルをリモートキャッシュと同期させる。リモートキャッシュは、マイクロソフトWINDOWS(登録商標)動作環境に利用可能なアクティブディレクトリなどのリモートディレクトリサービスとして実施され得る。代替として、管理サービスは、他のイベントに応答しても同期され得る。例えば、リアルタイム同期は、1つまたは複数のクレデンシャルが付加され、除去され、かつ/または修正されたことに応答して行われ得る。
後で、ユーザが、自分の携帯情報端末(PDA)またはモバイル電話を用いて電子メールメッセージを取り出すとする。ユーザがそのモバイル機器にログオンすると、そのユーザが、電子メールメッセージを送受信するための最新の完全な、暗号化クレデンシャルなどのクレデンシャルセットを利用できるように、そのユーザのクレデンシャルがリモートディレクトリサービスと同期される。
例示的実施形態では、管理サービスが(例えば、システムイベントに応答して)自動的に呼び出され、ユーザの積極的措置は必要とすらされない。さらに、ユーザプロファイルは、ローカルで、例えばユーザのデスクトップまたはラップトップコンピュータなどに格納され得るが、ユーザは、なお、いくつかの異なる計算処理デバイスのいずれでも最新の完全なクレデンシャルセットにアクセスすることができる。また、例示的実施形態は、(削除を検出、伝搬し、またはクレデンシャルのタイムスタンプを調べることにより)古いまたは使用しないクレデンシャルが必要とされなくなったときに、それらがユーザのシステムから除去されるようにすることもできる。
§例示的システムについて
図1は、クレデンシャルローミングが実施され得る、例示的ネットワーク化計算処理システム100の概略図である。このネットワーク化コンピュータシステム100は、ローカルエリアネットワーク(LAN)および/または広域ネットワーク(WAN)など、1つまたは複数の通信ネットワーク110を含み得る。1つまたは複数のホスト120および1つまたは複数のクライアント130a〜cは、(1つまたは複数の)通信ネットワーク110を介して通信可能に結合され得る。
ホスト120およびクライアント130a〜c(以下一般にクライアント130と呼ぶ)は、イーサネット(登録商標)接続などの通信接続を介してネットワークに接続し得る。ネットワーク化計算処理システム100などのネットワークに含まれ得る装置数についての理論的限界はないが、装置数は、主に、その通信ネットワークで実施される接続性により制限される。
「ホスト」および「クライアント」という用語は、両方とも、様々な計算処理サービスを実行するのに使用されるハードウェアおよびソフトウェア(コンピュータシステム全体)を指すものである。例えば、ホストは、サーバアプリケーション専用の、あるいは他のアプリケーションも走らせるサーバコンピュータとして実施され得る。クライアントは、ほんの少数の例をあげれば、独立型デスクトップまたはラップトップパーソナルコンピュータ(PC)、ワークステーション、携帯情報端末(PDA)、あるいは多種多様な電子器具のいずれかなどとして実施され得る。
クレデンシャル140a〜c(以下一般にクレデンシャル140と呼ぶ)は、1つまたは複数のクライアント130で提供され得る。クレデンシャルは、ほんの少数の例をあげれば、例えば、ネットワーク110を介したセキュアな通信のためのデータの対称および/または非対称暗号化/暗号化解除で、コンテンツにデジタル署名を適用する、あるいはシステムに認証を行うなどのために提供され得る。任意の数のクレデンシャル140がローカルキャッシュ135a〜c(以下一般にローカルキャッシュ135と呼ぶ)に格納され得る。ローカルキャッシュ135には、ユーザプロファイルまたは(例えば、ユーザ設定およびクレデンシャルのための)その他のリポジトリが含まれ得るが、他の実施形態も企図されている。
クレデンシャル140には、ほんの少数の例示的クレデンシャルをあげれば、対称暗号鍵、非対称暗号鍵ペア、X.509証明書、XrMLライセンス、トークン、認証/許可証明書など、多種多様なクレデンシャルのいずれかが含まれ得ることに留意するものである。当然ながら、クレデンシャル140はこれらの例だけに限るものではなく、これには現在知られており、または後日開発される他の種類のクレデンシャルも含まれ得る。
クレデンシャル140は、例えば、異なる種類のデータを暗号化/暗号化解除するためにローカルキャッシュ135に付加され得る。また、クレデンシャル140は、例えば、無許可のユーザが暗号方式を解読し得る可能性を低減するなどのために、修正、置換され得る。使用されなくなったクレデンシャルは除去され得る。クライアントのいずれか1つ(130aなど)で1つまたは複数のクレデンシャル140が付加、修正、置換、または除去された場合、以下でより詳細に説明するように、ユーザが任意の数(n個)の異なるクライアントにおいて最新の完全な暗号化クレデンシャルセットを利用できるように、この変更は、1つまたは複数の他のクライアント(130b、130cなど)に伝搬され得る。
例示的実施形態では、ローカルクレデンシャル140は、例えば、1つまたは複数のホスト120や、ワークグループ環境中の別のクライアント130にある共用キャッシュなどのリモートキャッシュ125で提供されるリモートクレデンシャル150と同期され得る。したがって、ユーザは、他のクライアント130にログオンしたときに最新の完全なクレデンシャルセットを利用することができる。
リモートキャッシュ125は、分散軽量ディレクトリアクセスプロトコル(LDAP)やX.500ディレクトリサービスといったディレクトリサービスとして実施され得る。ディレクトリサービスは、モノリシックとすることができ、あるいはマルチマスタ実施形態またはマスタ/スレーブ実施形体として分散させることもできる。リモートキャッシュ125は、リモートクレデンシャル150が無許可のユーザによる暗号漏洩、窃盗、または悪用に曝されないように保護され、または暗号化された状態で格納され得る。
ディレクトリサービスの一例が、マイクロソフトWINDOWS(登録商標)動作環境と共に利用可能なアクティブディレクトリである。アクティブディレクトリは、包括的ディレクトリサービスを提供するために分散計算処理環境に配置され得るディレクトリサービスである。アクティブディレクトリは、一企業が必要とするディレクトリ数を隔離、移行、集中管理、削減するための統合点として働く。アクティブディレクトリは、ネットワークセキュリティのための中央権限(CA)としても働く。
ただし、リモートキャッシュ125は、本明細書に示す例に限定されず、任意の適当な方式で実施され得ることに留意されたい。
図2は、例えば通知サービスなどを用いてクレデンシャルローミングを実施する例示的モジュールの機能構成図である。通知サービス(notification service)200は、コンピュータ可読記憶装置またはメモリに格納され、1つまたは複数のクライアント(図1のクライアント130a〜cなど)にあるプロセッサ(または処理ユニット)によって実行可能なコンピュータ可読プログラムコード(ソフトウェアおよび/またはファームウェアなど)として実施され得る。通知サービス200は、様々なシステムイベントの通知を受け取り、ユーザのローカルクレデンシャルとリモートクレデンシャルを同期させるために管理サービス250を呼び出す。したがって、同期は、ユーザにとっては自動的、透過的である。
図2を参照すると、通知サービス200は、イベントハンドラ210を含み得る。イベントハンドラ210は、イベント220a〜c(以下一般にイベント220と呼ぶ)の通知を受け取る。イベント220には、例えば、ほんの少数の例示的イベントをあげれば、起動、シャットダウン、ログオン、ログオフ、ロック、アンロックなどが含まれ得る。他のイベントには、それだけに限らないが、セッションイベント(ポリシー更新、プロセスの実行、ネットワーク接続など)、タイマイベント(8時間ごと、月1回など)も含まれ得る。任意選択で、イベントは、手動で、例えば、ユーザがクレデンシャル同期を要求することによってもトリガされ得る。
イベントハンドラ210は、少なくとも一部はイベント220に基づいて1つまたは複数のジョブ230を生成し得る。ジョブ230には、他のサービスへの呼び出しが含まれ得る。例えば、ジョブ230は、自動登録サービス240を呼び出し得る。自動登録は、ユーザプロファイルにクレデンシャルなどを取り込むのに使用され、ユーザがシステムにとって新規(ゲストなど)であるときに、ネットワークセキュリティを危険に曝さずに限られた機能および基本リソースへのアクセスを提供するために呼び出され得るサービスである。自動登録(auto enrollment)は、その計算処理環境でのシステムポリシーなどに基づき、ユーザのためにクレデンシャルを要求/更新することにより、ユーザを自動的に「登録(enroll)する」。ジョブ230は、以下でより詳細に論じるように、暗号化クレデンシャルをリモートキャッシュ(図1のリモートキャッシュ125など)と同期させるために管理サービス250を呼び出すこともできる。
ジョブ230は、ディスパッチャ(dispatcher)260に渡され得る。ジョブディスパッチャ260は、待ち行列(queue)からジョブ230を取り出し、順次にジョブ230を処理することができる。ジョブディスパッチャ260は、ジョブを処理するためにどのプログラムコード(またはモジュール)をロードすべきか、そのプログラムコードをいつロードすべきか決定する。ジョブディスパッチャ260は、使用されていないプログラムコードをアンロードすることもできる。
通知サービス200は、不要なリソース消費を減らすためにジョブ230をインテリジェントに管理する論理も含み得る。例示的実施形態では、ジョブディスパッチャ260は、ジョブ230を処理するプログラムコード(またはモジュール)がすでにロードされたかどうか判定する。また、ジョブ待ち行列270が空である(例えば保留のジョブ230がない)場合、ジョブディスパッチャ260は、ロードされたプログラムコード(またはモジュール)を解放する。
別の例示的実施形態では、イベントハンドラ210は、待ち行列270で、自動登録サービス240を呼び出すジョブ230の前に、管理サービス250を呼び出すジョブ230を配列し得る。イベント220がジョブ230をトリガして自動登録サービス240と管理サービス250の両方を呼び出させたとき、管理サービスが同期時にユーザのクレデンシャルを提供し得る場合には、自動登録サービス240を呼び出すジョブ230が待ち行列270から除去され得る。
別の例示的実施形態では、(例えば、イベント220が他のイベントをトリガするときの)管理サービス250への反復呼び出しを減らすために、抑制論理が実施され得る。例えば、ディスパッチャ260は、ジョブ待ち行列270を調べ、重複した、あるいは不要なジョブ230があればそれを廃棄し得る。
先に進む前に、通知サービス200は、図2に示す例示的モジュールだけに限らないことに留意するものである。例えば、これらの機能は、別々のモジュールとして実施される必要はない。他の実施形態では、他の機能構成要素も含まれ得る。実施形態に関わらず、通知サービスは、ローカルクレデンシャルとリモートクレデンシャルを同期させるために管理サービス250を呼び出すことができる。
図3は、例えば管理サービスを用いて、クレデンシャルローミングを実施する例示的モジュールの機能構成図である。管理サービス(management service)300は、通知サービス310(例えば、図2を参照して詳述した通知サービスなど)と動作可能に関連付けられ得る。通知サービス310は、イベントの通知を受け取ったことに応答して、管理サービス300を呼び出し得る。管理サービス300は、ローカルクレデンシャルとリモートクレデンシャルを評価、比較し、それらが異なる場合は、ユーザが、任意の数(n個)の異なるクライアントを使用するときに、最新の完全なクレデンシャルセットを利用できるように、それらのローカルクレデンシャルとリモートクレデンシャルを同期させる。
管理サービス300は、コンピュータ可読記憶装置またはメモリに格納され、1つまたは複数のクライアント(図1のクライアント130a〜cなど)により実行可能なコンピュータ可読プログラムコード(ソフトウェアおよび/またはファームウェアなど)として実施され得る。管理サービス300は、クレデンシャルを評価し、競合を解決し、ローカルキャッシュとリモートキャッシュのクレデンシャルを更新する同期モジュール320を含み得る。
同期モジュール320は、ローカルストアマネージャ330およびリモートストアマネージャ340と動作可能に関連付けられ得る。ローカルストアマネージャ330は、ローカルクレデンシャル355のために1つまたは複数のローカルキャッシュ350と関連付けられ得る。また、ローカルストアマネージャ330は、ローカル暗号化クレデンシャル355をローカルでロード/保存する手順を抄録し得る。リモートストアマネージャ340は、1台または複数のサーバコンピュータまたはホスト370を介して提供されるリモートキャッシュ360(ディレクトリサービスなど)と動作可能に関連付けられ得る。また、リモートストアマネージャ340は、同期中などに、リモートディレクトリサービス360を介して1つまたは複数のリモートクレデンシャル365にアクセスするために、ホスト370にセキュアにバインドし得る。
先に進む前に、クレデンシャルは、例えばリモートディレクトリサービスなどを介して、ホストで提供されるものだけに限らないことに留意するものである。別の例示的実施形態では、リモートキャッシュは、ワークグループ環境などでの別のクライアントにある共用キャッシュとし得る。したがって、1つまたは複数のワークグループ中のクライアントは、そのワークグループ中のクライアント間で共用されるクレデンシャルを同期させることができる。
ストアマネージャ(store manager)330、340は、同期モジュール320が評価するために、クレデンシャル355、365を(ローミングクレデンシャルのリストなどとして)列挙し得る。ストアマネージャ330、340は、同期モジュール320が、任意の競合(conflict)を解決(resolve)し得るように、同期モジュール320に、クレデンシャル355、365の総体(collection)が変更された最終日時などの情報を提供することもできる。
同期モジュール320は、ローカルストアマネージャ330およびリモートストアマネージャ340と連動して、ローカル暗号化クレデンシャル355とリモート暗号化クレデンシャル365を同期させることができる。多くの呼び出しの際には、ローカル暗号化クレデンシャルにもリモート暗号化クレデンシャルにも変更がないことがある。呼び出し時に、ローカルクレデンシャル355だけ、またはリモートクレデンシャル365だけにしか変更を加える必要がないこともある。しかしながら、ローカルクレデンシャル355とリモートクレデンシャル365の両方に変更を加える必要がある状況もあり得る。したがって、同期モジュールは、これらのシナリオのそれぞれを処理するように実施され得る。
ローカルおよびリモートの暗号化クレデンシャルを評価するのは、特に、数百あるいは数千の暗号化クレデンシャルがある場合、時間のかかるプロセスとなり得る。したがって、同期モジュール320は、まず、暗号化クレデンシャルを配列にソートし、それから、ソートされた配列の線形比較を行い得る。当然ながら、それだけに限らないが、ハッシュおよびタイムスタンプを用いて変更の有無を判定するなど、他の実施形態も企図されている。
比較中、同期モジュール320は、ローカルクレデンシャル355とリモートクレデンシャル365を同期させるために解決する必要のある競合に遭遇し得る。例えば、ローカルクレデンシャル(説明のために「古いクレデンシャル(old credential)」と呼ぶ)は、修正(modify)され、あるいは不要になったためにローカルキャッシュ350から除去/削除され得る。しかしながら、同期モジュール320がローカルクレデンシャル355とリモートクレデンシャル365を比較するときに、リモートクレデンシャルが依然としてその古いクレデンシャルを含むことがある。同期モジュール320はそのような競合を解決し、それによって、古いクレデンシャルが修正され、あるいはリモートキャッシュ360から除去され、ローカルキャッシュ350再書き込みされないようにする。
例示的実施形態では、修正または除去/削除されているクレデンシャルは、「タグ付け(tagged)」され、あるいはリモートキャッシュ中で識別される。したがって、その修正または削除操作は、複数のクライアントにわたって貫徹される。一例としては、古いクレデンシャルが第1のクライアントから削除された場合、同期モジュール320は、リモートキャッシュにおいてその古いクレデンシャルを、除去または削除されていると識別する。やはりその古いクレデンシャルのコピーを持つ第2のクライアントがリモートキャッシュと同期すると、古いクレデンシャルが第2のクライアントから削除され、リモートキャッシュには再書き込みされない。別の例としては、古いクレデンシャルが第1のクライアントにおいて修正された場合、同期モジュール320は、リモートキャッシュにおいてその古いクレデンシャルを修正されていると識別する。やはりその古いクレデンシャルのコピーを持つ第2のクライアントがリモートキャッシュと同期すると、古いクレデンシャルが第2のクライアントにおいて修正され、リモートキャッシュではその元の状態に戻されない。
例示的実施形態では、同期モジュール320は、競合解決(conflict resolution)のために1つまたは複数のステートファイル(state file)395を維持(maintain)する。このステートファイルは、ユーザ毎に存続するデータ構造(per-user persisted data structure)(コンピュータファイル、データベース、メモリテーブル、ログなど)であり、ローカルクレデンシャル350の状態を格納するのに使用され得る。このステートファイルは、ローカルで、例えば、管理サービス300に動作可能に関連付けられたキャッシュ390などに格納され得る。例示的実施形態では、すべてのフィールドは、2進の、ネイティブバイト順で格納され得るが、他の実施形態も企図されている。
図4aは、例示的ステートファイル400(データ構造など)を示す。ステートファイル400は、ファイルバージョン(file version)410およびフラグ(flag)420を含み得る。フラグ420は、例えば、クレデンシャルがユーザ保護されているか、それともネットワーク上で交換され得るかを指示するのに使用され得る。代替として、フラグ420(または別のフラグ)を用いて、競合を解決するために厳密行列を使用すべきか、それとも寛容行列を使用すべきかを指示することもできる。
ステートファイル400は、1つまたは複数のクレデンシャル状態430〜432も含み得る。例えば、ステートファイル400は、同期モジュールが呼び出された最終日時(T)、ローカルストアが変更された最終日時(T)、リモートキャッシュが変更された最終日時(T)などの状態を含み得る。ステートファイルは、クレデンシャル・ステートエントリ(credential state entries)440も含み得る。
図4bは、例示的なステートエントリ450(データ構造(data structure)など)を示す。ステートエントリ(state entry)450は、各クレデンシャルごとのローカルステートのリスト(list of local state)を含み得る。ローカルステート(local state)は、クレデンシャルID460、フラグ470、タイムスタンプ480、およびハッシュ490を含み得る。
先に進む前に、タイムスタンプはクロックベースの(例えば、物理またはシステム)時間に限らないことに留意するものである。例えば、タイムスタンプは、更新が行われるたびに変更される更新連番などのカウンタを含み得る。実際には、クロックベースのタイムスタンプは、ローカルキャッシュに使用され、更新連番ベースのタイムスタンプは、リモートキャッシュに使用され得る。
図4に示す実施形態では、クレデンシャルID460は、暗号化クレデンシャルファイルの「圧縮(compressed)」パス(path)である。クレデンシャルID460は、1バイトのASCII文字列として表され得るが、他の実施形態も企図されている。また、任意の適当なフラグ470が定義され、オン(1など)またはオフ(0など)に設定され得る。例えば、フラグは、暗号化クレデンシャルがローミングである(同期され得る)か、それとも固定である(同期すべきでない)かを指示し得る。
図4に示すステートファイル400などのステートファイルを用いて競合解決(conflict resolution)のために実施し得る動作を、以下でより詳細に説明する。競合解決(conflict resolution)は、アービトレーション行列(arbitration matrix)により示すことができる。
図5aおよび図5bは、例示的なアービトレーション行列を示す。行列500は寛容(lenient)であり、行列550は厳密(strict)である。行列500、550では、エクスポート可能なクレデンシャルを文字「E」で表し、保護された(またはエクスポート不能な)クレデンシャルを文字「P」で表し、「/E」および「/P」は反対を表す。両方のクレデンシャルのタイムスタンプを用いて、どの証明書が最新ものであるか判定される。最新の証明書を用いて、ローカルおよびリモートキャッシュが上書きされる。その他の証明書は削除される。
前述の例示的実施形態は説明のために提供されていることに留意するものである。別の実施形態も企図されている。
§例示的な動作について
本明細書で説明するのは、暗号化クレデンシャルローミングを実施する例示的方法である。本明細書で説明する方法は、1つまたは複数のコンピュータ可読媒体上に論理命令として実施され得る。プロセッサ上で実行されると、この論理命令は、汎用計算処理デバイスを、本明細書で説明する方法を実施する専用マシンとしてプログラムさせる。以下の例示的動作では、図に示す構成要素および接続を用いて、暗号化クレデンシャルローミング(encryption credential roaming)を実施することができる。
図6は、暗号化クレデンシャルローミングのために実施され得る例示的動作を示す流れ図である。動作(operation)610において、クライアントは、イベント通知を受け取り得る。イベント通知には、例えば、セッションイベント、ログオンイベント、ログアウトイベント、ロックイベント、アンロックイベント、タイマイベント、ポリシー適用イベントおよび/またはクレデンシャル更新イベントなどが含まれ得る。動作620において、ローカルクレデンシャルが列挙され、動作630でリモートクレデンシャルが列挙され得る。
動作640で、競合の有無を判定するためにローカルクレデンシャルとリモートクレデンシャルが比較され得る。競合がない場合、動作は、矢印650で示すように動作610に戻る。あるいは、列挙されたローカルクレデンシャルのいずれか1つまたは複数が列挙されたリモートクレデンシャルと異なる場合には、競合が存在し得る。説明のために、クレデンシャルが付加され、修正され、またはローカルクレデンシャルキャッシュおよび/またはリモートクレデンシャルキャッシュから削除されている場合には、列挙されたローカルクレデンシャルが列挙されたリモートクレデンシャルと異なり得るものとする。
競合(conflict)が存在する場合、その競合は、動作660において、例えば、ローカルクレデンシャルキャッシュおよびリモートクレデンシャルキャッシュにどのクレデンシャルを付加/除去する必要があるか判定することにより解決される。例示的実施形態では、競合は、ローカルクレデンシャルおよびリモートクレデンシャルに関連付けられたタイムスタンプに基づいて解決され得る。動作670では、例えば、ローカルクレデンシャルキャッシュとリモートクレデンシャルキャッシュの両方が完全な、更新済みの暗号化クレデンシャルセットを含むように、ローカルクレデンシャルおよび/またはリモートクレデンシャルが同期される。
説明のために、動作660(競合解決(conflict resolution))および動作670(同期(synchronization))は以下のように実施され得る。
クレデンシャルローミングが最初にクライアントに使用可能にされたとき、そのクライアントは、すでに、リモートキャッシュにあるのと同じクレデンシャルを(手動鍵(manual key)またはPKCS#12ブロブインポート(blob import)を介して)持っている可能性がある。しかしながら、クレデンシャルストレージ(credential storage)およびリンカディテール(linker detail)は、そのクレデンシャルがどのようにインポートされたかに応じて異なり得る。この最初の競合は、以下のように解決され得る。
リモートクレデンシャルがすでにダウンロードされている場合、これらの動作が実行される前に(例えば、秘密鍵にアクセスするための)マスタ鍵が同期され、それによって、マスタ鍵を必要とする秘密鍵を使用可能にすることができる。
次いで、管理サービスは、例えば、属性のメタデータを介して、リモートキャッシュの作成日時を取り出すことができ、それをTに割り当てる。競合する証明書のタイムスタンプのどちらかまたは両方がTより新しい場合、それらの証明書の少なくとも1つは、クレデンシャルローミングの配置後に修正されており、その最新のキャッシュが使用される。
そうでない場合には、ローカルキャッシュとリモートキャッシュの両方が、クレデンシャルローミングの配置前に作成されている。クレデンシャルがユーザ保護されているか、それともエクスポート可能であるかを判定するために、両方の証明書の情報フラグが取り出される。また、ポリシーフラグも取り出され、競合を解決するのに寛容行列(図5の行列500など)を使用すべきか、それとも厳密行列(図5の行列550など)を使用すべきかが判定され得る。
クレデンシャルローミングのアルゴリズムの例示的実施形態を以下に示す。この実施形態によれば、Tは、全ローカルキャッシュが変更された最新日時を表す。Tは、ローカルマシンのシステム時間に基づくものであり、それがローカルキャッシュの更新日時と比較され得るため、タイマのずれは生じない。Tは、最終の同期で全リモートキャッシュの更新シーケンス番号(USN:Update Sequence Nunber)に変更が加えられた最新日時を表す。Tは、リモートキャッシュからのUSNを用いることができ、それがリモートキャッシュのUSNと比較され得るため、タイマのずれは生じない。
まず、現在の最終変更日時がローカルキャッシュから読み取られ、USNがリモートキャッシュから読み取られる。次いで、TおよびTがステートファイルヘッダから読み取られる。Tはローカルキャッシュから読み取られたばかりの最終変更日時と比較され、Tはリモートキャッシュから読み取られたUSNと比較される。それらが両方とも等しい場合、何も行う必要はない。そうでない場合、アルゴリズムは、ローカル変更リストCおよびリモート変更リストCを作成し得る。最初は両方とも空である。
ローカルキャッシュが変更された最終日時がTより新しい場合、すべてのローカルキャッシュクレデンシャルが読み取られ、ステートファイル中の対応するエントリと比較される。クレデンシャルのいずれかが異なる場合、Cに、そのクレデンシャルまたはステートファイルエントリ、クレデンシャルが更新された最新日時、および示唆された措置(例えば、リモート/ローカルキャッシュに付加する、対応するリモート/ローカルキャッシュクレデンシャルを修正する、対応するリモート/ローカルキャッシュクレデンシャルを削除する、ステートファイルエントリを更新するなど)を記録するエントリが作成され得る。クレデンシャルは、そのハッシュ値(hash value)が変化している場合、そのフラグ値が(例えば、DELETED(削除済み)、UNWRITEABLE(書込み不可)、UNREADABLE(読取り不可)などに)変化している場合、あるいはローカルキャッシュが、ステートファイルがそのレコードを持たないクレデンシャルを持ち、またはステートファイルが、ローカルキャッシュがそのレコードを持たないエントリを持つ場合には、異なるとみなされ得る。
リモートキャッシュの最終USNがTと異なる場合、リモートキャッシュクレデンシャルのすべてが読み取られ、前述と同じ動作が実行される。変更リストCも更新され得る。
次いで、両リスト中の同じクレデンシャルに対して措置が実行されているかどうか判定するために、CとC両方が評価され得る。両リスト中の同じクレデンシャルに対して措置が実行されている場合、競合の有無を判定するためにそれらの措置が評価され得る。例えば、CがクレデンシャルAでの「リモートを修正する(modify remote)」エントリを含み、Cが同じクレデンシャルでの「ローカルを修正する(modify local)」エントリを含む場合、競合が存在し得る。この競合は、ローカルクレデンシャルとリモートクレデンシャル両方の最終変更日時に基づいて解決され得る。すなわち、より古い変更日時を有するエントリがリストから削除され得る。
競合があればそれを解決した後で、ローカルキャッシュおよびリモートキャッシュは、CとCを併せたものに基づいて更新される。数回の再試行後でさえも更新されなかったエントリごとにフラグが設定される。
次いで、ステートファイルが更新される。例えば、過度に長時間設定されているDELETEDフラグが識別され、除去される。ステートファイルヘッダおよびエントリも、結果として生じたCおよびCエントリに基づいて更新される。数回の再試行後でさえもステートファイルが更新されなかった場合には、破損したステートファイルにより予測不能な結果が生じ得るため、クレデンシャルローミングが使用不能にされる。
前述のエントリは、ハッシュ値(hash value)として評価(evaluate)され得ることに留意されたい。ハッシュ値は、例えば、クレデンシャルが不必要なキャッシュで複製されないように、セキュリティを提供し、高性能を実現する(ハッシュ比較は、通常、高速である)。しかしながら、ハッシュの使用は一例にすぎないことに留意するべきである。例えば、ステートファイルが全クレデンシャル(entire credential)を格納している場合、ハッシュの代わりにそれが2進または厳密比較に使用され得る。
ステートファイルに維持された最終同期日時Tを用いて、ステートファイルには存在するが、リモートキャッシュには存在しないローカルキャッシュエントリをどのように処理するかが決定され得る。Tから現在の日時までの経過時間が閾値時間より短い場合、リモートキャッシュはこのエントリを付加する。そうでない場合、このエントリはローカルキャッシュから削除される。
また、クレデンシャルを同期させる際のエラー条件(error condition)によっても、部分的に更新され、または破損したクレデンシャルが生じ得る。したがって、障害(failure)が、リモートキャッシュ(remote cache)などに伝搬(propagate)されないように、エラーハンドリングが提供される。
任意の例示的実施形態では、書込み動作の完了状況を指示するために「Write State(書込み状態)」が返される。その値は、クレデンシャルが、それぞれ、(1)変更されていない、(2)部分的に変更された、または(3)正常に変更されたことを指示する、NONE、PARTIALまたはDONEとすることができる。保存動作(save operation)の結果としてPARTIAL書込み状態が生じた場合、そのステートファイルエントリはUNWRITEABLEとマークされる。削除動作(delete operation)の結果としてNONEまたはPARTIAL書込み状態が生じた場合、そのステートファイルエントリはUNWRITEABLEとマークされる。任意の散発的な書込みまたは削除失敗について、書込みまたは削除動作が再試行され、1つのクレデンシャルでのすべての試行が失敗したときにそのステートファイルエントリがマークされ得る。
同期(synchronization)は、それがUNWRITEABLEとマークされている場合には、そのローカル変更を無視し、それがUNWRITEABLEとマークされている場合には、そのローカルクレデンシャルの削除を再試行し得る。クレデンシャルが、UNWRITEABLEとマークされているときに正常に上書きされた場合、またはステートファイルがそれをUNWRITEABLEとマークしているときにそれが消滅した場合、UNWRITEABLEフラグはステートファイルエントリからクリアされ得る。
ステートファイルが更新できなかった(例えば、潜在的に破損したステートファイルを示すなどの)場合、その失敗したクライアントまたは特定のユーザについて、クレデンシャルローミングが使用不可とされ得る。後でその問題が解決された場合、それは手動で再度使用可能にされ得る。また、システムは、次の呼び出し間隔でリモートストアから知られている良好なデータをダウンロードすることにより、不良データがある場合はそれをオーバーライドする自動回復ステップを実行することもできる。
ローカルキャッシュ読取り失敗も処理され得る。読取り失敗は、ローミングクレデンシャルの読取り失敗が他のクレデンシャルでのローミングに影響を及ぼさないように、更新失敗より寛容に処理され得る。
例示的実施形態では、読取り失敗を有するクレデンシャルは、同期がそれを削除として処理しないように、GET ALL(すべてを取得する)動作により返されるローミングクレデンシャルセットに表示される。ローカルキャッシュ読取りは、失敗が生じたときに、後から再試行され得る。数回の再試行後にも依然として失敗が存在する場合、ローミングクレデンシャルは、それでもなお、UNREADABLEフラグビットを設定して生成される。トラブルシューティング/保守を容易にするために、情報、警告、および/またはエラーイベントが追跡され、または記録され得る。
本明細書で図示し、説明した動作は、単に、クレデンシャルローミングの例示的実施形態を示すものにすぎない。これらの動作は、どんな特定の順序にも限定されないことに留意すべきである。例えば、図6において、動作620は、動作630の前、後、またはそれと同時に行われ得る。別の例では、動作620〜670は、個々の暗号化クレデンシャル、異なる種類の暗号化クレデンシャル、または他の暗号化クレデンシャルのグループ(またはセット)ごとに反復され得る。クレデンシャルローミングを可能にする別の動作も実施され得る。
§例示的な計算処理デバイスについて
図7は、クレデンシャルローミングを実施するのに利用できる例示的な計算処理デバイス700を示す構成図である。計算処理デバイス700は、1つまたは複数のプロセッサまたは処理ユニット732、システムメモリ734、システムメモリ734を含む様々なシステム構成要素をプロセッサ732に結合するバス736を含む。バス736は、様々なバスアーキテクチャのいずれかを使用したメモリバスまたはメモリコントローラ、周辺バス、アクセラレーテッドグラフィックスポート、およびプロセッサまたはローカルバスを含むいくつかの種類のバス構造のいずれかの1つまたは複数を表す。システムメモリ734は、読取り専用メモリ(ROM)738およびランダムアクセスメモリ(RAM)740を含む。基本入出力システム(BIOS)742は、始動時などに、計算処理デバイス700内の要素間での情報転送を支援する基本ルーチンを含み、ROM738に格納される。
計算処理デバイス700は、ハードディスク(図示せず)との間で読取りおよび書込みを行うハードディスクドライブ744をさらに含み、取り外し可能磁気ディスク748との間で読取りおよび書込みを行う磁気ディスクドライブ746、およびCD−ROM他の光媒体などの取り外し可能光ディスク752との間で読取りおよび書込みを行う光ディスクドライブ750も含み得る。ハードディスクドライブ744、磁気ディスクドライブ746、光ディスクドライブ750は、適当なインターフェース754a、754b、754cによってバス736に接続される。各ドライブおよびそれに関連するコンピュータ可読媒体は、計算処理デバイス700にコンピュータ可読命令、データ構造、プログラムモジュールおよびその他のデータの不揮発性記憶を提供する。本明細書で記述する例示的環境はハードディスクを用いるが、例示的動作環境では、取り外し可能磁気ディスク748および取り外し可能光ディスク752、磁気カセット、フラッシュメモリカード、デジタルビデオディスク、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)など他の種類のコンピュータ可読媒体も使用され得る。
ハードディスク744、磁気ディスク748、光ディスク752、ROM738、またはRAM740には、オペレーティングシステム758、1つまたは複数のアプリケーションプログラム760、その他のプログラムモジュール762、プログラムデータ764を含めて、いくつかのプログラムモジュールが格納され得る。ユーザは、キーボード766やポインティング装置768などの入力装置を介して計算処理デバイス700にコマンドおよび情報を入力することができる。他の入力装置(図示せず)には、マイクロホン、ジョイスティック、ゲームパッド、衛星パラボラアンテナ、スキャナなどが含まれ得る。上記その他の入力装置は、バス736に結合されたインターフェース756を介して処理ユニット732に接続される。モニタ772またはその他の種類の表示装置も、ビデオアダプタ774などのインターフェースを介してバス736に接続される。
一般に、計算処理デバイス700のデータプロセッサは、コンピュータの様々なコンピュータ可読記憶媒体に様々なときに格納された命令によってプログラムされる。プログラムおよびオペレーティングシステムは、例えば、フロッピー(登録商標)ディスク、CD−ROMなどに、または電子的に分散することができ、コンピュータの2次メモリにインストールまたはロードされる。実行時に、プログラムの少なくとも一部が、コンピュータの1次電子メモリにロードされる。
計算処理デバイス700は、リモートコンピュータ776など、1台または複数のリモートコンピュータへの論理接続を用いてネットワーク化環境で動作し得る。リモートコンピュータ776は、パーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピアデバイス他の一般のネットワークノードとすることができ、通常は、計算処理デバイス700に関して前述した諸要素の多くまたはすべてを含む。図7に示す論理接続は、LAN780およびWAN782を含む。
LANネットワーク環境で使用されるとき、計算処理デバイス700は、ネットワークインターフェースまたはアダプタ784を介してローカルネットワーク780に接続される。WANネットワーク環境で使用されるとき、計算処理デバイス700は、通常、モデム786、またはインターネットなどの広域ネットワーク782を介して通信を確立する他の手段を含む。モデム786は、内蔵でも外付けでもよく、シリアルポートインターフェース756を介してバス736に接続される。ネットワーク化環境では、計算処理デバイス700に関連して示すプログラムモジュール、またはその一部は、リモート記憶装置に格納され得る。図示のネットワーク接続が例示的なものであり、コンピュータ間で通信リンクを確立する他の手段も使用され得ることが理解されるであろう。
ホストは、通信ネットワークへの接続を可能にするホストアダプタハードウェアおよびソフトウェアを含み得る。通信ネットワークへの接続は、帯域幅要件に応じて、光結合を介したものとすることも、より一般的な導電性ケーブルを介したものとすることもできる。ホストアダプタは、計算処理デバイス700上のプラグインカードとし実施され得る。ホストは、ハードウェアおよびソフトウェアがサポートするだけの数の通信ネットワークへの接続を提供する任意の数のホストアダプタを実装することができる。
本明細書で明示的に記述した具体的実施形態以外の、他の態様および実施形態は、本明細書の開示を参照することにより、当分野の技術者には明らかであろう。本明細書に記載した実施形態は一例として説明したにすぎない。
クレデンシャルローミングを実施するための例示的コンピュータネットワークを示す説明図である。 クレデンシャルローミングを実施するための例示的モジュールを示す機能構成図である。 クレデンシャルローミングを実施するための例示的モジュールを示す別の機能構成図である。 例示的なステートファイルを示す図である。 ステートファイル中の例示的なステートエントリを示す図である。 寛容行列である例示的勝者アービトレーション行列を示す図である。 厳密行列である例示的勝者アービトレーション行列を示す図である。 クレデンシャルローミングを実施するための例示的動作を示す流れ図である。 クレデンシャルローミングを実施するため利用できる例示的計算処理デバイスを示す構成図である。
符号の説明
110 ネットワーク
200 通知サービス
210 イベントハンドラ
220a イベント
220b イベント
220c イベント
230 ジョブ
240 自動登録サービス
250 管理サービス
260 ディスパッチャ
270 待ち行列
300 管理サービス
310 通知サービス
320 同期モジュール
330 ローカルストアマネージャ
340 リモートストアマネージャ
395 ステートファイル
732 処理ユニット
734 システムメモリ
736 システムバス
754a ハードディスクドライブインターフェース
754b 磁気ディスクドライブインターフェース
754c 光ドライブインターフェース
756 シリアルポートインターフェース
758 オペレーティングシステム
760 アプリケーションプログラム
762 その他のプログラムモジュール
764 プログラムデータ
772 モニタ
774 ビデオアダプタ
776 リモートコンピュータ
780 ローカルエリアネットワーク
782 広域ネットワーク
784 ネットワークインターフェース
786 モデム

Claims (44)

  1. イベント通知を受け取ったことに応答してローカルクレデンシャルおよびリモートクレデンシャルを列挙するステップと、
    前記ローカルクレデンシャルと前記リモートクレデンシャルを同期させるステップと、
    を含むことを特徴とする方法。
  2. 前記ローカルクレデンシャルと前記リモートクレデンシャルを同期させるステップは、前記ローカルクレデンシャルに関連付けられた少なくとも1つのタイムスタンプおよび前記リモートクレデンシャルに関連付けられた少なくとも1つのタイムスタンプに基づく、ことを特徴とする請求項1に記載の方法。
  3. 前記ローカルクレデンシャルと前記リモートクレデンシャルを同期させるステップは、ハッシュ値の比較に基づく、ことを特徴とする請求項1に記載の方法。
  4. 前記同期させるステップは、エラーハンドリングを含む、ことを特徴とする請求項1に記載の方法。
  5. 前記同期させるステップは、前記ローカルクレデンシャルの少なくとも1つをリモートクレデンシャルキャッシュに書き込むステップを含む、ことを特徴とする請求項1に記載の方法。
  6. 前記同期させるステップは、前記リモートクレデンシャルの少なくとも1つをローカルクレデンシャルキャッシュに書き込むステップを含む、ことを特徴とする請求項1に記載の方法。
  7. 前記同期させるステップは、前記ローカルクレデンシャルの少なくとも1つをローカルクレデンシャルキャッシュから削除するステップを含む、ことを特徴とする請求項1に記載の方法。
  8. 前記同期させるステップは、前記リモートクレデンシャルの少なくとも1つをリモートクレデンシャルキャッシュから削除するステップを含む、ことを特徴とする請求項1に記載の方法。
  9. 前記同期させるステップは、前記リモートクレデンシャルの少なくとも1つに基づいて、ローカルクレデンシャルキャッシュにある前記ローカルクレデンシャルの少なくとも1つを修正するステップを含む、ことを特徴とする請求項1に記載の方法。
  10. 前記同期させるステップは、前記ローカルクレデンシャルの少なくとも1つに基づいて、リモートクレデンシャルキャッシュにある前記リモートクレデンシャルの少なくとも1つを修正するステップを含む、ことを特徴とする請求項1に記載の方法。
  11. 前記ローカルクレデンシャルのリストを更新するステップをさらに含む、ことを特徴とする請求項1に記載の方法。
  12. 前記リモートクレデンシャルのリストを更新するステップをさらに含む、ことを特徴とする請求項1に記載の方法。
  13. 前記リモートクレデンシャルの状態を動的に決定するステップをさらに含む、ことを特徴とする請求項1に記載の方法。
  14. 前記リモートクレデンシャルのステートファイルを維持するステップをさらに含む、ことを特徴とする請求項1に記載の方法。
  15. 前記ローカルクレデンシャルのステートファイルを維持するステップをさらに含む、ことを特徴とする請求項1に記載の方法。
  16. 前記ローカルクレデンシャルと前記リモートクレデンシャルとの間における状態の競合を解決するステップをさらに含む、ことを特徴とする請求項1に記載の方法。
  17. コンピュータシステム上でコンピュータプロセスを実行させるコンピュータプログラムを符号化するコンピュータプログラムプロダクトであって、前記コンピュータプロセスは、
    イベント通知を受け取ったことに応答してローカルクレデンシャルおよびリモートクレデンシャルを列挙するステップと、
    前記ローカルクレデンシャルと前記リモートクレデンシャルを同期させるステップと、
    を含むことを特徴とするコンピュータプログラムプロダクト。
  18. 前記コンピュータプロセスにおいて、前記ローカルクレデンシャルと前記リモートクレデンシャルを同期させるステップは、前記ローカルクレデンシャルに関連付けられた少なくとも1つのタイムスタンプおよび前記リモートクレデンシャルに関連付けられた少なくとも1つのタイムスタンプに基づく、ことをさらに含むことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  19. 前記コンピュータプロセスにおいて、前記ローカルクレデンシャルと前記リモートクレデンシャルを同期させるステップはハッシュ値の比較に基づく、ことをさらに含むことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  20. 前記コンピュータプロセスは、前記ローカルクレデンシャルの少なくとも1つをリモートクレデンシャルキャッシュに書き込むステップをさらに含む、ことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  21. 前記コンピュータプロセスは、前記リモートクレデンシャルの少なくとも1つをローカルクレデンシャルキャッシュに書き込むステップをさらに含む、ことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  22. 前記コンピュータプロセスは、前記ローカルクレデンシャルの少なくとも1つをローカルクレデンシャルキャッシュから除去するステップをさらに含む、ことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  23. 前記コンピュータプロセスは、前記リモートクレデンシャルの少なくとも1つをリモートクレデンシャルキャッシュから除去するステップをさらに含む、ことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  24. 前記コンピュータプロセスは、ローカルクレデンシャルキャッシュにある前記ローカルクレデンシャルの少なくとも1つを修正するステップをさらに含む、ことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  25. 前記コンピュータプロセスは、リモートクレデンシャルキャッシュにある前記リモートクレデンシャルの少なくとも1つを修正するステップをさらに含む、ことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  26. 前記コンピュータプロセスは、ローカルクレデンシャルのリストを更新するステップをさらに含む、ことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  27. 前記コンピュータプロセスは、リモートクレデンシャルのリストを更新するステップをさらに含む、ことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  28. 前記コンピュータプロセスは、前記リモートクレデンシャルの状態を維持するステップをさらに含む、ことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  29. 前記コンピュータプロセスは、前記リモートクレデンシャルの状態を動的に決定するステップをさらに含む、ことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  30. 前記コンピュータプロセスは、前記ローカルクレデンシャルの状態を維持するステップをさらに含む、ことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  31. 前記コンピュータプロセスはエラーハンドリングをさらに含む、ことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  32. 前記コンピュータプロセスは、前記ローカルクレデンシャルと前記リモートクレデンシャルとの間における状態の競合を解決するステップをさらに含む、ことを特徴とする請求項17に記載のコンピュータプログラムプロダクト。
  33. イベント通知を受け取るイベントハンドラと、
    前記イベントハンドラがイベント通知を受け取ったとき、ローカルクレデンシャルとリモートクレデンシャルが相互に異なる場合には、前記ローカルクレデンシャルと前記リモートクレデンシャルを同期させるために、前記イベントハンドラと関連して動作する同期モジュールと、
    を具備したことを特徴とするシステム。
  34. 前記イベント通知は、セッションイベント、ログオンイベント、ログアウトイベント、ロックイベント、アンロックイベント、タイマイベント、ポリシー適用イベント、およびクレデンシャル更新イベントのうちの少なくとも1つである、ことを特徴とする請求項33に記載のシステム。
  35. 前記クレデンシャルは、暗号化クレデンシャル、トークン、非対称鍵ペア、対称鍵、デジタル証明書、XrMLライセンス、認証クレデンシャル、許可クレデンシャルのうちの少なくとも1つを含む、ことを特徴とする請求項33に記載のシステム。
  36. 前記同期モジュールのために前記ローカルクレデンシャルを列挙するローカルストアマネージャをさらに含む、ことを特徴とする請求項33に記載のシステム。
  37. 前記同期モジュールのために前記リモートクレデンシャルを列挙するリモートストアマネージャをさらに含む、ことを特徴とする請求項33に記載のシステム。
  38. 前記ローカルクレデンシャルはローカルキャッシュに格納される、ことを特徴とする請求項33に記載のシステム。
  39. 前記ローカルクレデンシャルは、任意の数(n個)のクライアントで提供されるローカルキャッシュに格納される、ことを特徴とする請求項33に記載のシステム。
  40. 前記ローカルクレデンシャルはマスタ鍵を用いて暗号化される、ことを特徴とする請求項33に記載のシステム。
  41. 前記リモートクレデンシャルはリモートキャッシュに格納される、ことを特徴とする請求項33に記載のシステム。
  42. 前記ローカルクレデンシャルは、任意の数(n個)のホストで提供されるリモートキャッシュに格納される、ことを特徴とする請求項33に記載のシステム。
  43. 前記リモートクレデンシャルは、リモートディレクトリサービスによって維持される、ことを特徴とする請求項33に記載のシステム。
  44. 前記リモートクレデンシャルは暗号化される、ことを特徴とする請求項33に記載のシステム。
JP2005055981A 2004-04-09 2005-03-01 クレデンシャルローミングのためのシステムおよび方法 Pending JP2005303993A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/821,603 US7984488B2 (en) 2004-04-09 2004-04-09 Credential roaming in electronic computing systems

Publications (1)

Publication Number Publication Date
JP2005303993A true JP2005303993A (ja) 2005-10-27

Family

ID=34912736

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005055981A Pending JP2005303993A (ja) 2004-04-09 2005-03-01 クレデンシャルローミングのためのシステムおよび方法

Country Status (10)

Country Link
US (1) US7984488B2 (ja)
EP (1) EP1585286B1 (ja)
JP (1) JP2005303993A (ja)
KR (1) KR101143053B1 (ja)
CN (1) CN1681240B (ja)
AU (1) AU2005200561B8 (ja)
BR (1) BRPI0501004A (ja)
CA (1) CA2499932C (ja)
MX (1) MXPA05002659A (ja)
RU (1) RU2408069C2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008171389A (ja) * 2007-01-09 2008-07-24 Lenovo Singapore Pte Ltd ドメイン・ログオンの方法、およびコンピュータ
US7841000B2 (en) 2006-10-16 2010-11-23 Lenovo (Singapore) Pte. Ltd. Authentication password storage method and generation method, user authentication method, and computer
US8166072B2 (en) 2009-04-17 2012-04-24 International Business Machines Corporation System and method for normalizing and merging credential stores
JP2020053054A (ja) * 2018-09-27 2020-04-02 アップル インコーポレイテッドApple Inc. デジタル資格情報無効化

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040068523A1 (en) * 2002-10-07 2004-04-08 Keith Robert Olan Method and system for full asynchronous master-to-master file synchronization
US9729321B2 (en) * 2015-04-29 2017-08-08 Citrix Systems, Inc. Autonomous private key recovery
CA2762119C (en) 2004-04-30 2015-06-30 Michael K. Brown System and method for obtaining certificate status of subkeys
US8015596B2 (en) * 2004-06-28 2011-09-06 International Business Machines Corporation Shared credential store
US7506164B2 (en) * 2004-08-09 2009-03-17 Research In Motion Limited Automated key management system and method
US8284942B2 (en) * 2004-08-24 2012-10-09 Microsoft Corporation Persisting private/public key pairs in password-encrypted files for transportation to local cryptographic store
US7643818B2 (en) 2004-11-22 2010-01-05 Seven Networks, Inc. E-mail messaging to/from a mobile terminal
US20070168562A1 (en) * 2005-12-14 2007-07-19 Kimbrell Jacob W Participant-selective event synchronization for portable electronic devices
US20070143596A1 (en) * 2005-12-15 2007-06-21 International Business Machines Corporation Untrusted certificate store for secure e-mail
KR100791291B1 (ko) * 2006-02-10 2008-01-04 삼성전자주식회사 디바이스에서 drm 컨텐츠를 로밍하여 사용하는 방법 및장치
KR100703805B1 (ko) * 2006-02-15 2007-04-09 삼성전자주식회사 원격 도메인의 디바이스에서 drm 컨텐츠를 로밍하여사용하는 방법 및 장치
US8321523B1 (en) * 2006-04-24 2012-11-27 Centrify Corporation Method and apparatus for dynamically and incrementally modifying NIS maps
US20070255958A1 (en) * 2006-05-01 2007-11-01 Microsoft Corporation Claim transformations for trust relationships
US7882550B2 (en) * 2006-12-29 2011-02-01 International Business Machines Corporation Customized untrusted certificate replication
US8108918B2 (en) * 2007-02-27 2012-01-31 Red Hat, Inc. Zero knowledge attribute storage and retrieval
KR101467174B1 (ko) * 2007-08-16 2014-12-01 삼성전자주식회사 통신 수행 방법 및 그 장치와, 통신 수행 제어 방법 및 그장치
US20090183255A1 (en) * 2007-12-21 2009-07-16 Kiester W Scott Server services on client for disconnected authentication
KR20120055772A (ko) * 2010-11-23 2012-06-01 한국전자통신연구원 서비스 에이전트 제공 시스템 및 방법
US20120158415A1 (en) * 2010-12-17 2012-06-21 Flexera Software Inc. method and system for license server synchronization
US9106645B1 (en) * 2011-01-26 2015-08-11 Symantec Corporation Automatic reset for time-based credentials on a mobile device
US8918853B2 (en) * 2011-06-29 2014-12-23 Sharp Laboratories Of America, Inc. Method and system for automatic recovery from lost security token on embedded device
US8989380B1 (en) * 2011-08-08 2015-03-24 Sprint Spectrum L.P. Controlling communication of a wireless communication device
US10798057B2 (en) 2013-02-12 2020-10-06 Centrify Corporation Method and apparatus for providing secure internal directory service for hosted services
US9438598B2 (en) 2013-02-15 2016-09-06 Verizon Patent And Licensing Inc. Securely updating information identifying services accessible via keys
US9154482B2 (en) * 2013-02-15 2015-10-06 Verizon Patent And Licensing Inc. Secure access credential updating
US9712508B2 (en) * 2013-03-13 2017-07-18 Intel Corporation One-touch device personalization
US9780578B2 (en) 2013-10-25 2017-10-03 Lg Chem, Ltd. Battery management system for transmitting secondary protection signal and diagnosis signal using a small number of insulation elements
US20150150013A1 (en) * 2013-11-25 2015-05-28 International Business Machines Corporation Reducing job credentials management load
RU2654810C2 (ru) * 2014-05-26 2018-05-22 Закрытое акционерное общество "Лаборатория Касперского" Система и способ блокирования использования приложений на мобильном устройстве
US9319430B2 (en) * 2014-06-17 2016-04-19 International Business Machines Corporation Managing software deployment
CN104125335B (zh) * 2014-06-24 2017-08-25 小米科技有限责任公司 权限管理方法、装置及系统
US9787685B2 (en) 2014-06-24 2017-10-10 Xiaomi Inc. Methods, devices and systems for managing authority
US10154082B2 (en) 2014-08-12 2018-12-11 Danal Inc. Providing customer information obtained from a carrier system to a client device
US9454773B2 (en) 2014-08-12 2016-09-27 Danal Inc. Aggregator system having a platform for engaging mobile device users
US9461983B2 (en) * 2014-08-12 2016-10-04 Danal Inc. Multi-dimensional framework for defining criteria that indicate when authentication should be revoked
EP3191949B1 (en) * 2014-09-08 2020-06-10 BlackBerry Limited Shared lock state
US9754100B1 (en) * 2014-12-22 2017-09-05 Amazon Technologies, Inc. Credential synchronization management
EP3329649B1 (en) * 2015-07-31 2019-06-12 BlackBerry Limited Managing access to resources
CN105260673A (zh) 2015-09-18 2016-01-20 小米科技有限责任公司 短信读取方法及装置
CN105303120B (zh) 2015-09-18 2020-01-10 小米科技有限责任公司 短信读取方法及装置
CN105307137B (zh) 2015-09-18 2019-05-07 小米科技有限责任公司 短信读取方法及装置
DE102015014168A1 (de) 2015-11-03 2017-05-04 Secardeo Gmbh Verfahren zur Verteilung privater Schlüssel von Benutzern auf Mobilgeräte
WO2018175980A1 (en) * 2017-03-24 2018-09-27 Comet Enterprises, Inc. A credential management system for distributed authentication, and related systems and methods
US11734044B2 (en) * 2020-12-31 2023-08-22 Nutanix, Inc. Configuring virtualization system images for a computing cluster
US11611618B2 (en) 2020-12-31 2023-03-21 Nutanix, Inc. Orchestrating allocation of shared resources in a datacenter

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04271465A (ja) * 1991-02-27 1992-09-28 Canon Inc 文書判定方式
JPH04271462A (ja) * 1991-02-27 1992-09-28 Canon Inc 文書処理装置及び方法
JP2000082045A (ja) * 1998-06-25 2000-03-21 Internatl Business Mach Corp <Ibm> パスワード認証装置およびその方法
JP2001109668A (ja) * 1999-10-07 2001-04-20 Casio Comput Co Ltd データ検索システム、携帯端末装置、及び記憶媒体

Family Cites Families (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05324544A (ja) * 1992-05-15 1993-12-07 Hitachi Ltd バス制御方法
US5341426A (en) * 1992-12-15 1994-08-23 Motorola, Inc. Cryptographic key management apparatus and method
US5689706A (en) * 1993-06-18 1997-11-18 Lucent Technologies Inc. Distributed systems with replicated files
EP0666550B1 (en) 1994-02-08 1997-05-02 Belle Gate Investment B.V. Data exchange system comprising portable data processing units
IL111151A (en) 1994-10-03 1998-09-24 News Datacom Ltd Secure access systems
US5796829A (en) 1994-09-09 1998-08-18 The Titan Corporation Conditional access system
US5838903A (en) * 1995-11-13 1998-11-17 International Business Machines Corporation Configurable password integrity servers for use in a shared resource environment
US5887065A (en) * 1996-03-22 1999-03-23 Activcard System and method for user authentication having clock synchronization
US5774545A (en) * 1996-03-28 1998-06-30 Lucent Technologies Inc. Method and apparatus for enhancing security in and discouraging theft of VLSI and ULSI devices
US5916307A (en) * 1996-06-05 1999-06-29 New Era Of Networks, Inc. Method and structure for balanced queue communication between nodes in a distributed computing application
US6151643A (en) * 1996-06-07 2000-11-21 Networks Associates, Inc. Automatic updating of diverse software products on multiple client computer systems by downloading scanning application to client computer and generating software list on client computer
US5892828A (en) * 1996-10-23 1999-04-06 Novell, Inc. User presence verification with single password across applications
HU229694B1 (en) 1997-03-21 2014-05-28 Nagra France Sas Conditional access system
US7631188B2 (en) * 1997-05-16 2009-12-08 Tvworks, Llc Hierarchical open security information delegation and acquisition
US6144959A (en) * 1997-08-18 2000-11-07 Novell, Inc. System and method for managing user accounts in a communication network
US6014669A (en) * 1997-10-01 2000-01-11 Sun Microsystems, Inc. Highly-available distributed cluster configuration database
US6978017B2 (en) * 1997-10-14 2005-12-20 Entrust Limited Method and system for providing updated encryption key pairs and digital signature key pairs in a public key system
US6490680B1 (en) 1997-12-04 2002-12-03 Tecsec Incorporated Access control and authorization system
US6351468B1 (en) * 1998-07-02 2002-02-26 Gte Service Corporation Communications protocol in a wireless personal area network
US6732277B1 (en) * 1998-10-08 2004-05-04 Entrust Technologies Ltd. Method and apparatus for dynamically accessing security credentials and related information
US6460051B1 (en) * 1998-10-28 2002-10-01 Starfish Software, Inc. System and methods for synchronizing datasets in a communication environment having high-latency or other adverse characteristics
US6510522B1 (en) * 1998-11-20 2003-01-21 Compaq Information Technologies Group, L.P. Apparatus and method for providing access security to a device coupled upon a two-wire bidirectional bus
US6349338B1 (en) 1999-03-02 2002-02-19 International Business Machines Corporation Trust negotiation in a client/server data processing network using automatic incremental credential disclosure
US6529949B1 (en) 2000-02-07 2003-03-04 Interactual Technologies, Inc. System, method and article of manufacture for remote unlocking of local content located on a client device
JP2000305831A (ja) * 1999-04-22 2000-11-02 Tadamitsu Ryu 分散環境におけるファイル管理の方法、システム。
US6560655B1 (en) * 1999-06-22 2003-05-06 Microsoft Corporation Synchronization manager for standardized synchronization of separate programs
US6490666B1 (en) * 1999-08-20 2002-12-03 Microsoft Corporation Buffering data in a hierarchical data storage environment
US7010683B2 (en) * 2000-01-14 2006-03-07 Howlett-Packard Development Company, L.P. Public key validation service
CA2397740C (en) 2000-01-14 2015-06-30 Catavault Method and system for secure registration, storage, management and linkage of personal authentication credentials data over a network
US6993653B1 (en) * 2000-02-22 2006-01-31 International Business Machines Corporation Identity vectoring via chained mapping records
WO2001092993A2 (en) * 2000-06-02 2001-12-06 Vigilant Systems, Inc. System and method for licensing management
US7124203B2 (en) 2000-07-10 2006-10-17 Oracle International Corporation Selective cache flushing in identity and access management systems
US6986039B1 (en) * 2000-07-11 2006-01-10 International Business Machines Corporation Technique for synchronizing security credentials using a trusted authenticating domain
US7363325B2 (en) * 2000-08-10 2008-04-22 Nec Laboratories America, Inc. Synchronizable transactional database method and system
JP4552294B2 (ja) * 2000-08-31 2010-09-29 ソニー株式会社 コンテンツ配信システム、コンテンツ配信方法、および情報処理装置、並びにプログラム提供媒体
CA2324732C (en) 2000-10-30 2004-06-22 Ibm Canada Limited-Ibm Canada Limitee Web-based application for inbound message synchronization
US20020087883A1 (en) * 2000-11-06 2002-07-04 Curt Wohlgemuth Anti-piracy system for remotely served computer applications
US6918113B2 (en) * 2000-11-06 2005-07-12 Endeavors Technology, Inc. Client installation and execution system for streamed applications
US7290133B1 (en) * 2000-11-17 2007-10-30 Entrust Limited Method and apparatus improving efficiency of end-user certificate validation
US7660902B2 (en) * 2000-11-20 2010-02-09 Rsa Security, Inc. Dynamic file access control and management
GB2372412A (en) * 2001-02-20 2002-08-21 Hewlett Packard Co Digital credential monitoring
CN1206595C (zh) 2001-02-28 2005-06-15 黎明网络有限公司 电子商务信息安全处理系统及其方法
US7325064B2 (en) * 2001-07-17 2008-01-29 International Business Machines Corporation Distributed locking protocol with asynchronous token prefetch and relinquish
US7222359B2 (en) * 2001-07-27 2007-05-22 Check Point Software Technologies, Inc. System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices
AU2002324620A1 (en) * 2001-08-06 2003-02-24 Certco, Inc. System and method for trust in computer environments
US7328344B2 (en) 2001-09-28 2008-02-05 Imagitas, Inc. Authority-neutral certification for multiple-authority PKI environments
US20030084171A1 (en) * 2001-10-29 2003-05-01 Sun Microsystems, Inc., A Delaware Corporation User access control to distributed resources on a data communications network
US20030105957A1 (en) * 2001-12-05 2003-06-05 International Business Machines Corporation Kernel-based security implementation
WO2003077053A2 (en) * 2002-03-13 2003-09-18 M-Systems Flash Disk Pioneers Ltd. Personal portable storage medium
US20040123138A1 (en) * 2002-12-18 2004-06-24 Eric Le Saint Uniform security token authentication, authorization and accounting framework
US7251732B2 (en) * 2003-06-18 2007-07-31 Microsoft Corporation Password synchronization in a sign-on management system
US8131739B2 (en) * 2003-08-21 2012-03-06 Microsoft Corporation Systems and methods for interfacing application programs with an item-based storage platform
US7647256B2 (en) * 2004-01-29 2010-01-12 Novell, Inc. Techniques for establishing and managing a distributed credential store

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04271465A (ja) * 1991-02-27 1992-09-28 Canon Inc 文書判定方式
JPH04271462A (ja) * 1991-02-27 1992-09-28 Canon Inc 文書処理装置及び方法
JP2000082045A (ja) * 1998-06-25 2000-03-21 Internatl Business Mach Corp <Ibm> パスワード認証装置およびその方法
JP2001109668A (ja) * 1999-10-07 2001-04-20 Casio Comput Co Ltd データ検索システム、携帯端末装置、及び記憶媒体

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7841000B2 (en) 2006-10-16 2010-11-23 Lenovo (Singapore) Pte. Ltd. Authentication password storage method and generation method, user authentication method, and computer
JP2008171389A (ja) * 2007-01-09 2008-07-24 Lenovo Singapore Pte Ltd ドメイン・ログオンの方法、およびコンピュータ
US8166072B2 (en) 2009-04-17 2012-04-24 International Business Machines Corporation System and method for normalizing and merging credential stores
JP2020053054A (ja) * 2018-09-27 2020-04-02 アップル インコーポレイテッドApple Inc. デジタル資格情報無効化
US11443028B2 (en) 2018-09-27 2022-09-13 Apple Inc. Digital credential revocation

Also Published As

Publication number Publication date
CN1681240A (zh) 2005-10-12
KR20060043510A (ko) 2006-05-15
RU2005105756A (ru) 2006-08-10
US7984488B2 (en) 2011-07-19
EP1585286A3 (en) 2006-07-19
US20050257072A1 (en) 2005-11-17
KR101143053B1 (ko) 2012-05-11
AU2005200561A1 (en) 2005-10-27
BRPI0501004A (pt) 2005-11-16
EP1585286B1 (en) 2017-01-18
AU2005200561B8 (en) 2010-12-16
RU2408069C2 (ru) 2010-12-27
CA2499932C (en) 2014-01-14
CN1681240B (zh) 2012-03-14
AU2005200561B2 (en) 2010-08-26
MXPA05002659A (es) 2005-10-12
EP1585286A2 (en) 2005-10-12
CA2499932A1 (en) 2005-10-09

Similar Documents

Publication Publication Date Title
CA2499932C (en) Credential roaming
US10693916B2 (en) Restrictions on use of a key
US10445517B1 (en) Protecting data in insecure cloud storage
US9639711B2 (en) Systems and methods for data verification and replay prevention
US8798272B2 (en) Systems and methods for managing multiple keys for file encryption and decryption
EP3042331B1 (en) Software revocation infrastructure
US20160092690A1 (en) Secure copy and paste of mobile app data
CN115758447A (zh) 信息安全业务处理及集群生成方法、电子设备和存储介质
JP2020017821A (ja) 外部情報受配信装置、データ送信方法、及びプログラム
US20230052663A1 (en) Internal key management for a storage subsystem encrypting data in the cloud
CN117785557A (zh) 数据同步备份方法及相关设备
Elhajj Deploying Microsoft Windows Server Update Services
Headquarters Security Best Practices for Cisco Intelligent Contact Management Software Release 6.0 (0)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110128

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110426

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110502

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110715

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110927

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120125

RD13 Notification of appointment of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7433

Effective date: 20120126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20120126

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20120216

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20120330

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20130712

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130719

RD15 Notification of revocation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7435

Effective date: 20130719