JP2005310125A - セキュリティ情報を表示および管理するための方法およびシステム - Google Patents

セキュリティ情報を表示および管理するための方法およびシステム Download PDF

Info

Publication number
JP2005310125A
JP2005310125A JP2005084235A JP2005084235A JP2005310125A JP 2005310125 A JP2005310125 A JP 2005310125A JP 2005084235 A JP2005084235 A JP 2005084235A JP 2005084235 A JP2005084235 A JP 2005084235A JP 2005310125 A JP2005310125 A JP 2005310125A
Authority
JP
Japan
Prior art keywords
security
entity
resource
domain
store
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005084235A
Other languages
English (en)
Other versions
JP4936675B2 (ja
Inventor
Daniel W Hitchcock
ダブリュ ヒッチコック ダニエル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2005310125A publication Critical patent/JP2005310125A/ja
Application granted granted Critical
Publication of JP4936675B2 publication Critical patent/JP4936675B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

【課題】 コンピュータ・システムのドメイン用のセキュリティ情報を管理するための方法およびシステムを提供すること。
【解決手段】 セキュリティ・システムは、ユーザやコンピュータ・システムなどの選択されたセキュリティ・オブジェクト用のセキュリティ情報を表示する。このセキュリティ・システムは、先ず、それぞれが選択されたセキュリティ・オブジェクト用のエンティティ、リソース、およびアクセス権のIDを有するセキュリティ仕様を含むセキュリティ情報を取り出す。次に、エンティティとリソースのIDを、各セキュリティ仕様用のアクセス権と共に表示する。各リソースとそのリソースに対するアクセス権を有するエンティティ用のセキュリティ情報が、リソースごとに、(メイン)セキュリティ・ストア内に記憶されると、セキュリティ・システムは、補助セキュリティ・ストアを使用してセキュリティ情報の取り出しを容易にすることができる。
【選択図】 図4

Description

本明細書で説明する技術は、一般にコンピュータ・システムのドメイン用のセキュリティ情報を管理することに関する。
現行のネットワーク・システムによって、コンピュータ・システムのドメインの間で信頼関係を確立することができる。コンピュータ・システムのドメインは、同じドメイン内に存在するという共通の属性を共有するコンピュータ・システムの集合体である。たとえば、企業の全コンピュータ・システムは企業のドメインを形成することができ、企業の人事部のコンピュータ・システムは企業の人事ドメインを形成することができる。しばしば、あるドメイン内のコンピュータ・システムのユーザは、別のドメインのユーザが自分たちのリソース(たとえば、データ・ファイルおよびアプリケーション・ファイル)にアクセスするのを許可する場合がある。たとえば、自分のコンピュータ・システムが役員ドメインにある企業の社長は、人事ドメインのコンピュータ・システムに記憶されている人事ファイル(すなわち一種のリソース)へのアクセス(権)を有することができる。人事ファイルへのアクセスを許可するために、人事ドメインの管理者は、役員ドメインのユーザとの間で「信頼関係(trust relationship)」を確立することができる。いったん信頼関係が確立されると、企業の社長は、信頼されたドメインのメンバとなり、希望の人事ファイルにアクセスすることができる。人事ドメインの管理者は役員ドメインとの間で人事ドメイン用の「着信の信頼(incoming trust)」を確立したと言うことができ、これは、役員ドメインのユーザが人事ドメインの管理者によって信頼されていることを意味する。役員ドメインの管理者も、役員ドメインと人事ドメインの間で信頼関係を確立することができる。この信頼関係が確立されれば、人事ドメインのユーザは役員ドメインのリソースにアクセスできることになる。この場合、役員ドメインとの間で人事ドメイン用の「発信の信頼(outgoing trust)」が確立され、これによって人事ドメインのユーザは役員ドメインのリソースにアクセスすることができる。人事ドメイン用の「着信信頼」は役員ドメイン用の「発信の信頼」となり、役員ドメイン用の「着信の信頼」は人事ドメイン用の「発信の信頼」となる。
いったんドメインの間で信頼関係が確立されると、着信の信頼を有するドメインのリソースへのアクセスは、アクセス制御リスト(「ACL」)または他の何らかの制御メカニズムによって制御することができる。たとえば、人事ドメイン内のマネージャは、社長が自分の人事ファイルに対しては読取り専用アクセスを有し、会社の他の役員の人事ファイルに対しては読み書き両用アクセスを有するように指定することができる。社長が自分の人事ファイルへのアクセスを要求すると、人事ドメインのセキュリティ・メカニズムはその人事ファイルのACLをチェックし、要求されたアクセスが社長のアクセス権と整合することを確認する。もしも整合しない場合、社長はアクセスを拒否される。
着信信頼関係を有するドメインの管理者およびユーザにとって、信頼されたドメインの全ユーザ用にその全リソースへの適切なアクセス権を確立することは、非常に時間を要することがある。アクセス権の確立を容易にするために、少なくとも1つのネットワーク・セキュリティ・メカニズムが、着信信頼を有するドメインのコンピュータ・システムと、対応する発信信頼を有するドメインのユーザとの間で「認証により許可される(allowed-to-authenticate)」アクセス権を提供する。たとえば、人事ドメインの管理者は、人事ファイルを含む人事ドメインの人事サーバから会社の役員が認証を受けられるように指定することができる。社長が人事ファイルへのアクセスを要求すると、社長のコンピュータ・システムはまず人事サーバから認証を受けようと試みる。人事管理者が、人事サーバから認証を受ける権利を社長に認めた場合、ネットワーク・セキュリティ・メカニズムは社長を認証し、アクセスを要求しているのが本当に社長であることを確認する。認証が完了すると、社長は人事サーバのリソース(たとえば人事ファイル)にそれらのリソースのACLに従ってアクセスすることができる。人事サーバのどのリソースも、社長にアクセス権を認めるACLを有していない場合、社長は認証を受けることが可能であるものの、そのリソースのいずれにもアクセスすることはできない。
ネットワーク・セキュリティ・メカニズムによって使用される認証プロセスは、標準的なKerebos認証技術とすることができ、社長のコンピュータ・システムのKerebosクライアントは、人事ドメインのKerebosサーバにユーザ名およびパスワードを提供する。Kerebosサーバはユーザ名およびパスワードを検証して、要求されたコンピュータ・システムへの「認証により許可される」アクセス権をユーザが有しているかを確認し、もしそうであればユーザに「チケット」を提供する。そのユーザが、認証を受けたコンピュータ・システムのリソースにアクセスを試みるたびに、このチケットが使用される。このチケットが有効であれば、そのリソースのACLに従ってそのリソースへのアクセスが許可される。有効でなければ、アクセスは拒否される。
いくつかのネットワーク・セキュリティ・メカニズムは、LDAPディレクトリや「MICROSOFT ACTIVE DIRECTORY」などのディレクトリ・サーバを使用して中央リポジトリ内のドメイン用に「認証により許可される」情報などのセキュリティ情報を記憶する。ドメインの各コンピュータ・システムは中央リポジトリ内にエントリを有することができ、このエントリは、このドメインへの発信の信頼を有するドメインのどのユーザがそのコンピュータ・システムから認証を受けることができるか、を指定する。たとえば、人事ドメインの人事サーバ用のエントリは、「役員」と呼ばれる役員ドメインの一群のユーザが人事サーバから認証を受けることができるように、指定することができる。あるいは、このエントリは各役員のユーザ名を一覧にすることもできる。ネットワーク・セキュリティ・メカニズムは、このドメインへの発信信頼を有するドメインのユーザがこのドメインのコンピュータ・システムから認証を受けることを要求するたびに、この中央リポジトリにアクセスする。
こうしたセキュリティ情報の中央リポジトリは、各コンピュータ・システム用の情報を記憶するが、発信の信頼を有するドメインの個々のユーザのすべてのアクセス権を迅速に判定できる形で情報を記憶するわけではない。ユーザのアクセス権を判定するには、ユーザがどのコンピュータ・システムに対してアクセス権(たとえば、「認証により許可される」アクセス権)を有しているかを識別するために、セキュリティ情報のストア全体にアクセスする必要がある。ドメインは数十万のコンピュータ・システムを有する場合があり、それぞれが数十万のユーザを有する多くの異なるドメインとの間で着信の信頼関係を有する場合があるため、中央リポジトリのセキュリティ情報はきわめて膨大になる可能性があり、個々のユーザのすべてのアクセス権を識別するには長い時間を要することがある。たとえば、コンピュータ・プログラムが、「認証により許可される」アクセス権を有する各ユーザ用に示されたリスト、すなわちそのユーザが「認証により許可される」アクセス権を有するコンピュータ・システムのリストをコンパイルするのに3日以上かかった例もある。結果として、個々のユーザのアクセス権を識別および制御することは非現実的であるため、ネットワーク・セキュリティ・メカニズムの特定のセキュリティ機能を使用しない管理者もいる。
管理者が個々のユーザ用のセキュリティ情報を参照および制御できる効果的な方法があれば、望ましいであろう。
セキュリティ情報を整備する(maintaining)ためのセキュリティ・システムが提供される。一実施形態では、このセキュリティ・システムはドメイン用のメイン・セキュリティ・ストアを提供し、このメイン・セキュリティ・ストアはそのドメインのリソース用のエントリを含み、このエントリはエンティティおよびそのリソースへのそのエンティティのアクセス権を識別する。またこのセキュリティ・システムは補助セキュリティ・ストアも提供し、この補助セキュリティ・ストアは、リソースへのエンティティのアクセス権を識別するエントリを有する。このセキュリティ・システムは、ユーザ・インターフェースを提供する際に補助セキュリティ・ストアを使用し、管理者はこのユーザ・インターフェースを介してアクセス権を参照および更新することができる。このセキュリティ・システムは、リソースへのエンティティのアクセス権を検証する際にメイン・セキュリティ・ストアを使用する。ユーザがアクセス権の更新を指定すると、セキュリティ・システムはメイン・セキュリティ・ストアおよび補助セキュリティ・ストアの双方を更新する。このように、このセキュリティ・システムによって、管理者は、セキュリティ情報をエンティティごとに効果的に制御することができ補助セキュリティ・ストアに同期化したメイン・セキュリティ・ストアを維持することを可能になる。
コンピュータ・システムのドメイン用のセキュリティ情報を管理するための方法およびシステムが提供される。一実施形態では、セキュリティ・システムは、ユーザやコンピュータ・システムなどの選択されたセキュリティ・オブジェクト用のセキュリティ情報を表示する。このセキュリティ・システムは、はじめにセキュリティ情報を取り出す。このセキュリティ情報は、それぞれが選択されたセキュリティ・オブジェクト用のエンティティ、リソース、およびアクセス権のIDを有するセキュリティ仕様を含む。エンティティは、ユーザまたはユーザのグループを含むことができ、リソースは、コンピュータ・システムを含むことができ、アクセス権は、エンティティがリソースから認証を受けることができるかどうかを指定することができる。次いでセキュリティ・システムは、エンティティのIDおよびリソースを、各セキュリティ仕様用のアクセス権と共に表示する。各リソースとそのリソースに対するアクセス権を有するエンティティ用のセキュリティ情報が、リソースごとに、セキュリティ・ストア(すなわちメイン・セキュリティ・ストア)内に記憶されると、セキュリティ・システムは、補助セキュリティ・ストアを使用してセキュリティ情報の検索を容易にすることができる。一実施形態では、補助セキュリティ・ストアは、メイン・セキュリティ・ストア内で指定された各セキュリティ仕様のためのエントリを含む。
セキュリティ仕様は、エンティティ、リソース、およびアクセス権の3つから成る組(triplet)を定義し、これは、そのエンティティがそのリソースへの指定されたアクセス権を有するという関係を意味する。エンティティは、アクセス権の「発信元(source)」と言うこともでき、リソースはアクセス権の「宛先(destination)」と言うこともできる。この発信元および宛先という用語は、どんな発信元がどんな宛先に対してどんなアクセス権を有するかを指定するファイアウォール・メカニズムによって使用される用語に似ている。セキュリティ・システムは、セキュリティ情報へのアクセスを管理者に提供する際に補助セキュリティ・ストアを使用することができる。具体的には、管理者がセキュリティ情報を参照したい場合、セキュリティ・システムは、メイン・セキュリティ・ストアではなく、補助セキュリティ・ストアからセキュリティ仕様を取り出す。さらに、管理者がセキュリティ情報を修正したい場合、セキュリティ・システムは、どのセキュリティ情報が修正されるべきかを特定する際に、管理者支援するために、補助セキュリティ・ストアのセキュリティ仕様を用いる。またセキュリティ・システムは、メイン・セキュリティ・ストアおよび補助セキュリティ・ストアの双方を更新して、修正を反映する。このように、管理者はセキュリティ・システムを使用して(セキュリティ・システムは補助セキュリティ・ストアを使用して)、自らのドメイン用のセキュリティ情報を効果的に管理することができ、ネットワーク・セキュリティ・メカニズムは、リソースへのアクセスを要求しているエンティティが、要求されたアクセスを満足するアクセス権を有しているかどうかをチェックする際に、依然としてメイン・セキュリティ・ストアを使用することができる。
一実施形態では、セキュリティ・システムは、メイン・セキュリティ・ストアからのセキュリティ情報からセキュリティ仕様をコンパイルすることによって、当初においては、補助セキュリティ・ストアを取り込むことができる。メイン・セキュリティ・ストアのセキュリティ情報の取り出しおよび処理するには長い時間を要する場合があるが、その取り出しおよび処理は1回行うだけでよい。はじめに補助セキュリティ・ストアが取り込まれた後は、セキュリティ情報が更新されるたびに、セキュリティ・システムはメイン・セキュリティ・ストアおよび補助セキュリティ・ストアの双方を更新する。メイン・セキュリティ・ストアと補助セキュリティ・ストアが整合していることが重要であるため、セキュリティ・システムはメイン・セキュリティ・ストアおよび補助セキュリティ・ストアの双方を更新した後、更新されたセキュリティ情報を両セキュリティ・ストアから取り出して、更新が正しく完了したことを確認することができる。もしも更新が正しく完了していない場合、セキュリティ・システムは管理者に通知することができるので、修正の措置を講じることができる。セキュリティ・システムはセキュリティ情報に対する更新をすべて記録することもできるので、両セキュリティ・ストア用の更新を必要に応じてロール・フォワードまたはロール・バックワードすることができる。一実施形態では、セキュリティ・システムは、セキュリティ・システムによって管理されているアクセス権(たとえば、「認証により許可される」アクセス権)を有効にしたり無効にしたりする特権を有するユーザ(たとえば管理者)だけが、セキュリティ情報の更新をすることが認められる、ことを保証することができる。
一実施形態では、セキュリティ・システムは、親セキュリティ・オブジェクトからアクセス権が継承されることを認める。たとえば、ユーザがコンピュータ・システムのあるドメインから認証を受ける権利を許可されると、そのドメインの各サブ・コンテナはその許可を継承する。さらに、各サブ・コンテナの各コンピュータ・システムもその許可を継承する。しかしセキュリティ・システムは、受け継がれたアクセス権を管理者が指定変更する(override)ことを認める。たとえば管理者は、ユーザがサブ・コンテナのあるコンピュータ・システムに対する、受け継がれた許可を指定変更するアクセス権を持たないように指定することができる。一実施形態では、セキュリティ・システムはアクセス権のネストされた指定変更を認めない。たとえば管理者が、サブ・コンテナ用に受け継がれた許可を指定変更する場合、セキュリティ・システムは、サブ・コンテナのコンピュータ・システムによって受け継がれた指定変更を管理者がさらに指定変更するのを認めない。したがって、管理者はサブ・コンテナが受け継がれたアクセス権を認められないと指定することはできず、サブ・コンテナのコンピュータ・システムは受け継がれたアクセス権を認められる。もしも管理者が、コンピュータ・システムがアクセス権を認められるようにする必要がある場合、そのコンピュータ・システムが、受け継いだ権利を指定変更されたサブ・コンテナ内から外れるように、セキュリティ・オブジェクトの階層構造を編成し直すことができる。あるいは、コンピュータ・システムを別のドメイン内に置き、そこを通じてアクセス権を受け継ぐこともできる。
図1〜3は、一実施形態における「認証により許可される」セキュリティ情報の管理を示す表示ページである。図1は、一実施形態における表示ページであり、セキュリティ仕様が表示されることになる選択されるオブジェクトのエントリを示している。表示ページ100は、エンティティまたはリソースのIDを入力するためのデータ入力フィールド101および102を含む。このデータ入力フィールドは、セキュリティ・オブジェクトの選択を容易にするためのドロップ・ダウン・リストやブラウジング機能を提供することができる。送信ボタン103は、エンティティまたはリソースに対するその「認証により許可される」セキュリティ仕様を識別される確認する場合、管理者によって選択される。たとえば、企業の社長用のセキュリティ情報を参照するには、管理者は社長の氏名John Doeを入力フィールドに入力し、送信ボタンを選択する。あるいは、管理者はリソースの名前をリソース・フィールドに入力し、送信ボタンを選択して、そのリソース用のセキュリティ情報を参照する。送信ボタンが選択されると、識別されたセキュリティ・オブジェクト用のセキュリティ仕様が、図2Aに示すように表示される。
図2Aは、一実施形態における表示ページであり、エンティティ用の「認証により許可される」セキュリティ仕様の表示を示している。表示ページ200は、セキュリティ・オブジェクトIDフィールド201およびセキュリティ情報エリア202を含む。セキュリティ・オブジェクトIDフィールドは、図1の表示ページを介してセキュリティ・オブジェクトを識別する。この場合、「John Doe」という名前のユーザがエンティティであり、そのセキュリティ仕様が表示される。セキュリティ情報エリアは、「John Doe」が認証を受ける権利を有するリソースのリストを含む。この例では、「John Doe」は「コンピュータ1」、「コンピュータ5」、「コンピュータ8」、および「コンピュータ12」から認証を受ける権利を有する。セキュリティ仕様は、セキュリティ・オブジェクトの基礎をなす階層を反映する方法で選択できることを、当業者なら理解するであろう。たとえばエンティティは、さまざまなサブグループによって定義されるユーザのグループとすることができる。セキュリティ・システムは、管理者がグループ用のセキュリティ仕様を参照し、サブグループへ、そして最終的には個々のユーザへドリル・ダウンすることを許可することができる。同様に、リソースはサブ・ドメイン内のドメインとして指定することができ、管理者はドメインまたはサブ・ドメイン内のリソース用のすべてのセキュリティ仕様を参照することを選択することができる。
図2Bは、一実施形態における表示ページであり、リソースの「認証により許可される」セキュリティ仕様の表示を示している。表示ページ250は、ドメインIDエリア251およびセキュリティ仕様エリア252を含む。管理者がドメインを選択すると、セキュリティ・システムはそのドメイン用のセキュリティ仕様をセキュリティ仕様エリアに表示する。セキュリティ仕様エリアは、リソースの縦列253、エンティティの縦列254、およびアクセス権の縦列255を含む。セキュリティ仕様エリアの各横行は、リソースおよびエンティティならびに対応するアクセス権を同一の横行に表示する。
図3は、一実施形態における「認証により許可される」セキュリティ仕様の作成を示す表示ページである。表示ページ300は、エンティティIDフィールド301、リソースIDフィールド302、アクション指定ラジオ・ボタン303、および追加ボタン304を含む。エンティティIDは、セキュリティ仕様の作成対象となるエンティティを識別する。エンティティIDフィールドは、エンティティのドロップ・ダウン・リストを含むことができる。この例では、セキュリティ・オブジェクトはJohn Doeというエンティティである。リソースIDフィールドは、エンティティがセキュリティ仕様を追加する対象となるリソースを指定するために使用する。リソースIDフィールドは、着信の信頼を有するドメインのコンピュータ・システムのドロップ・ダウン・リストを含むことができる。アクション・ラジオ・ボタンは、そのエンティティがそのリソースから認証を受けることができるかどうかを指定する。管理者は、エンティティ、リソース、およびアクションを指定した後に追加ボタンを選択して、セキュリティ仕様を補助セキュリティ・ストアに追加し、それに応じてメイン・セキュリティ・ストアを更新する。
図4は、一実施形態におけるセキュリティ・システムを実装するドメインのコンポーネントを示すブロック図である。このドメインは、通信リンク402を介して相互に接続されたコンピュータ・システム401、セキュリティ・システム410、およびディレクトリ・サーバ420を含む。ディレクトリ・サーバは、メイン・セキュリティ・ストア421および補助セキュリティ・ストア422へのアクセスを提供する。補助セキュリティ・ストアは、メイン・セキュリティ・ストアが配置されているサーバとは別のサーバ上に配置できることを、当業者なら理解するであろう。セキュリティ・システムは、UIコントローラ411、補助セキュリティ・ストア初期設定コンポーネント412、エンティティ・エントリ検索コンポーネント413、リソース・エントリ検索コンポーネント414、およびエントリ更新コンポーネント415を含み、これらのそれぞれが、セキュリティ・システムがインストールされているコンピュータ・システムを実行することができる。UIコントローラは、たとえば図1〜3によって示されているように、セキュリティ・システム用のユーザ・インターフェースを提供する。UIコントローラは、エンティティ・エントリ検索コンポーネントおよびリソース・エントリ検索コンポーネントを呼び出して、補助セキュリティ・ストアからセキュリティ情報を取り出す。UIコントローラはエントリ更新コンポーネントを呼び出して、メイン・セキュリティ・ストアおよび補助セキュリティ・ストアの双方のセキュリティ情報を更新する。補助セキュリティ・ストア初期設定コンポーネントは、メイン・セキュリティ・ストアのセキュリティ情報に基づいて、はじめに補助セキュリティ・ストアを取り込む。
セキュリティ・システムが実装されているコンピューティング・デバイスは、中央演算処理装置、メモリ、入力装置(たとえば、キーボ−ドおよびポインティング・デバイス)、出力装置(たとえばディスプレイ装置)、ならびにストレージ・デバイス(たとえばディスクドライブ)を含むことができる。メモリおよびストレージ・デバイスは、セキュリティ・システムを実施する命令を含むことができるコンピュータ可読メディアである。さらにデータ構造およびメッセージ構造は、通信リンク上の信号などのデータ伝送メディアを介して記憶したり伝送したりすることができる。インターネット、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワーク、あるいはPoint−to−Pointダイヤル・アップ接続など、さまざまな通信リンクを使用することができる。
図4は、セキュリティ・システムを実装することができる好ましい動作環境の一例を示している。この動作環境は好ましい動作環境の一例にすぎず、セキュリティ・システムの使用や機能の範囲に関して何らかの限定を意図するものではない。使用に適する可能性のある他のよく知られたコンピューティングシステム、コンピューティング環境、およびコンピューティング構成としては、パーソナル・コンピュータ、サーバ・コンピュータ、ハンドヘルド・デバイスやラップトップ・デバイス、マルチ・プロセッサ・システム、マイクロ・プロセッサ・ベースのシステム、プログラム可能な家庭用電化製品、ネットワークPC、ミニ・コンピュータ、メインフレーム・コンピュータ、これらのシステムやデバイスを任意に含む分散コンピューティング環境などがある。
このセキュリティ・システムについては、1つまたは複数のコンピュータまたは他のデバイスによって実行される、プログラム・モジュールなどのコンピュータ実行可能命令という一般的な文脈において説明することができる。一般にプログラム・モジュールは、特定のタスクを実行したり特定の抽象データ型を実装したりするルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。通常、プログラム・モジュールの機能は、さまざまな実施形態において希望に応じて組み合わせたり分散させたりすることができる。
図5は、一実施形態における補助セキュリティ・ストア初期設定コンポーネントの処理を示す流れ図である。このコンポーネントは、「認証により許可される」情報をメイン・セキュリティ・ストアから取り出し、取り出したセキュリティ情報から導出されたセキュリティ仕様を補助セキュリティ・ストアに取り込む。ブロック501〜505において、コンポーネントは、メイン・セキュリティ・ストアの各リソースと、その各リソース用に指定された「認証により許可される」情報を有する各エンティティとを選択しながらループする。ブロック501では、コンポーネントはメイン・セキュリティ・ストアの次のリソースを選択する。判定ブロック502では、メイン・セキュリティ・ストアのすべてのリソースが既に選択されている場合、コンポーネントは終了し、そうでない場合、コンポーネントはブロック503で継続する。ブロック503では、コンポーネントは、選択されたリソース用の次のエンティティをメイン・セキュリティ・ストアから選択する。判定ブロック504では、すべてのエンティティが既に選択されている場合、コンポーネントはブロック501にループして次のリソースを選択し、そうでない場合、コンポーネントはブロック505で継続する。ブロック505では、コンポーネントは、選択されたリソースおよび選択されたエンティティならびに「認証により許可される」アクション(すなわち、拒否または許可)を指定するセキュリティ仕様を補助セキュリティ・ストアに追加する。次いでコンポーネントはブロック503にループして、選択されたリソース用の次のエンティティを選択する。
図6は、一実施形態におけるUIコントローラの処理を示す流れ図である。ブロック601では、UIコントローラは、図1の表示ページなどの表示ページを表示する。判定ブロック602では、管理者がエンティティのIDを入力してある場合、コンポーネントはブロック603で継続し、そうでない場合、コンポーネントはブロック604で継続する。ブロック603では、UIコントローラは、エンティティ情報表示コンポーネントを呼び出して、識別されたエンティティ用のセキュリティ仕様の表示を制御する。次いでコンポーネントは、表示ページを再表示するために、ブロック601にループする。判定ブロック604では、管理者がリソースのIDを入力してある場合、UIコントローラはブロック605で継続し、そうでない場合、UIコントローラは、表示ページを再表示するためにループする。ブロック605では、UIコントローラはリソース情報表示コンポーネントを呼び出して、識別されたリソース用のセキュリティ仕様を表示し、次いで、表示ページを再表示するためにブロック601にループする。
図7は、一実施形態におけるエンティティ情報表示コンポーネントの処理を示す流れ図である。このコンポーネントは、エンティティのIDを渡され、識別されたエンティティ用のセキュリティ仕様の表示を制御する。ブロック701では、コンポーネントは、エンティティが所属するグループを識別する。コンポーネントは、そのエンティティのドメインに連絡を取り、そのエンティティの所属するグループを識別するようそのドメインに要求することによって、グループを識別することができる。ドメインはツリーの「メンバ」を横断して、エンティティが過渡的に所属するすべてのグループを識別することができる。ブロック702〜704において、コンポーネントは、そのグループ用の補助セキュリティ・ストアからエントリを取り出しながらループする。エンティティは、それ自体グループとみなすことができる。ブロック702において、コンポーネントは次のグループを選択する。判定ブロック703では、既にすべてのグループが選択されている場合、コンポーネントはブロック705で継続し、そうでない場合、コンポーネントはブロック704で継続する。ブロック704では、コンポーネントは、選択されたグループ用のセキュリティ仕様を補助セキュリティ・ストアから取り出し、次いでブロック702にループして次のグループを選択する。ブロック705では、コンポーネントは、たとえば図2Aに示すように、取り出されたセキュリティ仕様を表示する。
図8は、一実施形態におけるセキュリティ仕様表示コンポーネントの処理を示す流れ図である。このコンポーネントはドメインのIDを渡され、識別されたドメインに関連するセキュリティ仕様を表示する。ブロック801では、コンポーネントは、識別されたドメイン用の補助セキュリティ・ストアからセキュリティ仕様を取り出す。ブロック802では、コンポーネントは、たとえば図2Bに示すように、取り出されたセキュリティ仕様を表示する。そしてコンポーネントは終了する。
図9は、一実施形態におけるセキュリティ仕様更新コンポーネントの処理を示す流れ図である。このコンポーネントは、エンティティ、リソース、およびアクセス権を識別するセキュリティ仕様を渡される。このコンポーネントは、(たとえば図3の表示ページを使用して)管理者がセキュリティ仕様を指定した後に、呼び出される。判定ブロック901では、エンティティとリソースのペア用のセキュリティ仕様が既に補助セキュリティ・ストア内にある場合、コンポーネントはブロック902で継続し、そうでない場合、コンポーネントはブロック904で継続する。図中には示されていないが、セキュリティ仕様を削除するかどうかを示すフラグも渡すことができる。ブロック902では、コンポーネントは補助セキュリティ・ストアのセキュリティ仕様を更新して、渡されたセキュリティ仕様の新しいアクセス権を反映する。ブロック903では、コンポーネントはメイン・セキュリティ・ストアのセキュリティ情報を更新して、戻る。ブロック904では、コンポーネントは、渡されたセキュリティ仕様を補助セキュリティ・ストアに追加する。ブロック905では、コンポーネントは、渡されたセキュリティ仕様によって示されるように、メイン・セキュリティ・ストア内のセキュリティ情報を更新して、戻る。
本明細書では、例示の目的でセキュリティ・システムの特定の実施形態について説明したが、本発明の趣旨および範囲から逸脱することなくさまざまな修正を施すことができることを、当業者なら理解するであろう。ドメインはユーザまたはコンピュータ・システムあるいはその両方の点から定義できることを、当業者なら理解するであろう。セキュリティ・システムは、メイン・セキュリティ・ストア内に記憶できるファイアウォールやIPセキュリティフィルタルールを管理するように適合できることを、当業者なら理解するであろう。したがって本発明は、添付の特許請求の範囲以外のものによって限定されるものではない。
一実施形態におけるセキュリティ仕様が表示される選択されたオブジェクトのエントリを示す表示ページの図である。 一実施形態におけるエンティティ用の「認証により許可される」セキュリティ仕様の表示を示す表示ページの図である。 一実施形態におけるリソースの「認証により許可される」セキュリティ仕様の表示を示す表示ページの図である。 一実施形態における「認証により許可される」セキュリティ仕様の作成を示す表示ページの図である。 一実施形態におけるセキュリティ・システムを実装するドメインのコンポーネントを示すブロック図である。 一実施形態における補助セキュリティ・ストア初期設定コンポーネントの処理を示す流れ図である。 一実施形態におけるUIコントローラの処理を示す流れ図である。 一実施形態におけるエンティティ情報表示コンポーネントの処理を示す流れ図である。 一実施形態におけるセキュリティ仕様表示コンポーネントの処理を示す流れ図である。 一実施形態におけるセキュリティ仕様更新コンポーネントの処理を示す流れ図である。
符号の説明
100 表示ページ
101 エンティティのIDを入力するためのデータ入力フィールド
102 リソースのIDを入力するためのデータ入力フィールド
200 表示ページ
201 セキュリティ・オブジェクトIDフィールド
202 セキュリティ情報エリア
250 表示ページ
251 ドメインIDエリア
252 セキュリティ仕様エリア
253 リソースの縦列
254 エンティティの縦列
255 アクセス権の縦列
300 表示ページ
301 エンティティIDフィールド
302 リソースIDフィールド
303 アクション指定ラジオ・ボタン
304 追加ボタン
401 コンピュータ・システム
402 通信リンク
410 セキュリティ・システム
411 UIコントローラ
412 補助セキュリティ・ストアの初期設定
413 エンティティ・エントリの検索
414 リソース・エントリの検索
415 エントリの更新
420 ディレクトリ・サーバ
421 メイン・セキュリティ・ストア
422 補助セキュリティ・ストア

Claims (39)

  1. 「認証により許可される」情報を表示するためのコンピュータ・システムにおける方法において、
    セキュリティ・オブジェクトの選択を受け取ること、
    前記選択されたセキュリティ・オブジェクト用の「認証により許可される」情報を取り出すことであって、(a)エンティティ、(b)リソース、および(c)前記エンティティが前記リソースから認証を受けようと試みる際に、前記リソースから認証を受けようとする前記試みを許可するかまたは拒否するかを示すアクション、を識別する前記情報を取り出すこと、ならびに
    前記選択されたセキュリティ・オブジェクトを指示する情報を、前記取り出された「認証により許可される」情報と共に表示すること
    を備えることを特徴とする方法。
  2. エンティティおよびリソースに関連した前記アクションを修正することを含むことを特徴とする請求項1に記載の方法。
  3. エンティティがリソースから認証を受けることができるかどうかを指定する、新たな「認証により許可される」情報を作成することを含むことを特徴とする請求項1に記載の方法。
  4. 前記選択されたセキュリティ・オブジェクトは、エンティティであることを特徴とする請求項1に記載の方法。
  5. 前記選択されたセキュリティ・オブジェクトは、リソースであることを特徴とする請求項1に記載の方法。
  6. 前記選択されたセキュリティ・オブジェクトがユーザである場合に、前記ユーザがメンバとなっているすべてのグループを識別すること、および前記識別されたグループ用の「認証により許可される」情報を取り出すことを含むことを特徴とする請求項1に記載の方法。
  7. エンティティがリソースから認証を受けようと試みる際に、前記「認証により許可される」情報は、セキュリティ・メカニズムによって使用されるメイン・セキュリティ・ストアとは別の補助セキュリティ・ストアから取り出されることを特徴とする請求項1に記載の方法。
  8. 前記エンティティは、発信元として表され、前記リソースは、宛先として表されることを特徴とする請求項1に記載の方法。
  9. 前記リソースは、あるドメイン内に存在し、前記エンティティは、別のドメイン内に存在し、前記あるドメインは、前記別のドメインとの間に着信の信頼関係を有することを特徴とする請求項1に記載の方法。
  10. セキュリティ情報を整備するためのコンピュータ・システムにおける方法において、
    ドメイン用のメイン・セキュリティ・ストアであって、前記ドメインのリソース用のエントリを含み、リソース用の各エントリはエンティティおよび前記リソースへの各エンティティのアクセス権を識別する、メイン・セキュリティ・ストアを提供すること、
    前記ドメイン用の補助セキュリティ・ストアであって、エンティティ用のエントリを含み、エンティティ用の各エントリはリソースおよび前記リソースへの前記エンティティのアクセス権を識別する、補助セキュリティ・ストアを提供すること、
    ユーザからセキュリティ・オブジェクトの選択を受け取ること、
    前記補助セキュリティ・ストアから前記選択されたセキュリティ・オブジェクトに関連したエントリを取り出すこと、ならびに
    前記取り出されたエントリのエンティティ、リソース、およびアクセス権を表示すること
    を備え、前記提供されたメイン・セキュリティ・ストアは、リソースへのエンティティのアクセス権を検証する際に使用されることを特徴とする方法。
  11. リソースへのエンティティのアクセス権を変更することを指示する情報を受け取ること、ならびに前記メイン・セキュリティ・ストアおよび前記補助セキュリティ・ストアの双方のエントリを更新することを含むことを特徴とする請求項10に記載の方法。
  12. はじめに前記メイン・セキュリティ・ストアの前記エントリから前記補助セキュリティ・ストアを作成することを含むことを特徴とする請求項10に記載の方法。
  13. 前記アクセス権は、エンティティは、リソースから認証を受けることができるかどうかということであることを特徴とする請求項10に記載の方法。
  14. 前記メイン・セキュリティ・ストアは、前記ドメインのディレクトリ・サービスを使用して実装されることを特徴とする請求項10に記載の方法。
  15. 前記ディレクトリ・サービスは、「ACTIVE DIRECTORY」であることを特徴とする請求項14に記載の方法。
  16. 前記補助セキュリティ・ストアは、前記ドメインの前記ディレクトリ・サービスを使用して実装されることを特徴とする請求項14に記載の方法。
  17. 前記選択されたセキュリティ・オブジェクトがエンティティである場合に、前記エンティティがメンバとなっているグループを識別すること、および前記識別されたグループに関連したエントリを前記補助セキュリティ・ストアから取り出すことを含むことを特徴とする請求項10に記載の方法。
  18. 前記エンティティは、発信元として表され、前記リソースは、宛先として表されることを特徴とする請求項10に記載の方法。
  19. 前記リソースは、あるドメイン内に存在し、前記エンティティは、別のドメイン内に存在し、前記あるドメインは、前記別のドメインとの間に着信の信頼関係を有することを特徴とする請求項10に記載の方法。
  20. セキュリティ情報を表示するためのコンピュータ・システムにおいて、
    セキュリティ・オブジェクトの選択を受け取るコンポーネントと、
    前記選択されたセキュリティ・オブジェクト用のセキュリティ情報であって、(a)発信元、(b)宛先、および(c)前記発信元が前記宛先にアクセスしようと試みる際に、前記宛先へのアクセスを制御するために使用されるアクセス権、を識別するセキュリティ情報を取り出すコンポーネントと、
    前記取り出されたセキュリティ情報の前記発信元、宛先、およびアクセス権を指示する情報を表示するコンポーネントと
    を備えることを特徴とするコンピュータ・システム。
  21. 前記セキュリティ情報は、「認証により許可される」情報であることを特徴とする請求項20に記載のコンピュータ・システム。
  22. 発信元および宛先に関連した前記アクセス権を修正するコンポーネントを含むことを特徴とする請求項20に記載のコンピュータ・システム。
  23. 宛先への発信元のアクセス権を指定する新たなセキュリティ情報を作成するコンポーネントを含むことを特徴とする請求項20に記載のコンピュータ・システム。
  24. 前記選択されたセキュリティ・オブジェクトは、発信元であることを特徴とする請求項20に記載のコンピュータ・システム。
  25. 前記選択されたセキュリティ・オブジェクトは、宛先であることを特徴とする請求項20に記載のコンピュータ・システム。
  26. 前記選択されたセキュリティ・オブジェクトがユーザである場合に、前記ユーザがメンバとなっているすべてのグループを識別すること、および前記識別されたグループ用のセキュリティ情報を取り出すことを含むことを特徴とする請求項20に記載のコンピュータ・システム。
  27. 前記セキュリティ情報は、発信元が宛先へのアクセスを試みる際に使用されるメイン・セキュリティ・ストアとは別の補助セキュリティ・ストアから取り出されることを特徴とする請求項20に記載のコンピュータ・システム。
  28. 前記発信元は、エンティティであり、前記宛先は、リソースであることを特徴とする請求項20に記載のコンピュータ・システム。
  29. 前記宛先は、あるドメイン内に存在し、前記発信元は、別のドメイン内に存在し、前記あるドメインは、前記別のドメインとの間に着信の信頼関係を有することを特徴とする請求項20に記載のコンピュータ・システム。
  30. セキュリティ情報を整備するためのコンピュータ・システムにおいて、
    ドメイン用のメイン・セキュリティ・ストアであって、前記ドメインのリソース用のエントリを含み、リソース用の各エントリはエンティティおよび前記リソースへの各エンティティのアクセス権を識別する、メイン・セキュリティ・ストアと、
    前記ドメイン用の補助セキュリティ・ストアであって、それぞれがリソースへのエンティティのアクセス権を識別するセキュリティ仕様を含む、補助セキュリティ・ストアと、
    前記補助セキュリティ・ストアから取り出されたエンティティ、リソース、およびアクセス権を表示するコンポーネントと、
    エンティティがリソースへのアクセスを試みる際に前記メイン・セキュリティ・ストアを使用してアクセス権を検証するコンポーネントと
    を備えることを特徴とするコンピュータ・システム。
  31. リソースへのエンティティのアクセス権を変更する指示する情報を受け取るコンポーネントと、前記メイン・セキュリティ・ストアおよび前記補助セキュリティ・ストアの双方を更新するコンポーネントとを含むことを特徴とする請求項30に記載のコンピュータ・システム。
  32. 前記メイン・セキュリティ・ストアから前記補助セキュリティ・ストアを作成するコンポーネントを含むことを特徴とする請求項30に記載のコンピュータ・システム
  33. アクセス権は、エンティティがリソースから認証を受けることができるかどうかということであることを特徴とする請求項30に記載のコンピュータ・システム。
  34. 前記メイン・セキュリティ・ストアは、前記ドメインのディレクトリ・サービスを使用して実装されることを特徴とする請求項30に記載のコンピュータ・システム。
  35. 前記ディレクトリ・サービスは、「ACTIVE DIRECTORY」であることを特徴とする請求項34に記載のコンピュータ・システム。
  36. 前記補助セキュリティ・ストアは、前記ドメインの前記ディレクトリ・サービスを使用して実装されることを特徴とする請求項34に記載のコンピュータ・システム。
  37. 前記エンティティがメンバとなっているグループを識別し、前記識別されたグループに関連したエントリを前記補助セキュリティ・ストアから取り出すコンポーネントを含むことを特徴とする請求項30に記載のコンピュータ・システム。
  38. 前記エンティティは、発信元として表され、前記リソースは、宛先として表されることを特徴とする請求項30に記載のコンピュータ・システム。
  39. 前記リソースは、あるドメイン内に存在し、前記エンティティは、別のドメイン内に存在し、前記あるドメインは、前記別のドメインとの間に着信信頼関係を有することを特徴とする請求項30に記載のコンピュータ・システム。
JP2005084235A 2004-04-23 2005-03-23 セキュリティ情報を表示および管理するための方法およびシステム Expired - Fee Related JP4936675B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/830,741 2004-04-23
US10/830,741 US7383576B2 (en) 2004-04-23 2004-04-23 Method and system for displaying and managing security information

Publications (2)

Publication Number Publication Date
JP2005310125A true JP2005310125A (ja) 2005-11-04
JP4936675B2 JP4936675B2 (ja) 2012-05-23

Family

ID=34939243

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005084235A Expired - Fee Related JP4936675B2 (ja) 2004-04-23 2005-03-23 セキュリティ情報を表示および管理するための方法およびシステム

Country Status (10)

Country Link
US (1) US7383576B2 (ja)
EP (1) EP1589398B1 (ja)
JP (1) JP4936675B2 (ja)
KR (1) KR101143108B1 (ja)
CN (1) CN1691573B (ja)
AU (1) AU2005201002B2 (ja)
BR (1) BRPI0500970A (ja)
CA (1) CA2500618A1 (ja)
MX (1) MXPA05003167A (ja)
RU (1) RU2385490C2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7143234B2 (en) * 2002-11-26 2006-11-28 Intel Corporation Bios storage array
US7490347B1 (en) * 2004-04-30 2009-02-10 Sap Ag Hierarchical security domain model
KR100704627B1 (ko) * 2005-04-25 2007-04-09 삼성전자주식회사 보안 서비스 제공 장치 및 방법
US8352999B1 (en) * 2006-07-21 2013-01-08 Cadence Design Systems, Inc. Method for managing data in a shared computing environment
KR100832093B1 (ko) * 2007-07-09 2008-05-27 주식회사 넷츠 통합 계정관리를 위한 권한기반 리소스 계정 및 권한의프로비저닝 장치
US8468519B2 (en) * 2008-08-27 2013-06-18 Red Hat, Inc. Multiple organization support in a networked system
CN103020519A (zh) * 2012-11-15 2013-04-03 百度在线网络技术(北京)有限公司 用于提供访问请求所对应的安全相关信息的方法和设备
CN105981027A (zh) * 2013-08-12 2016-09-28 哥莱菲特软件公司 安全认证并切换至加密域
CN106134230A (zh) * 2013-11-21 2016-11-16 哥莱菲特软件公司 用于移动信息设备上的远程内容和配置控制的管理域
CN104486506B (zh) * 2014-12-17 2017-09-08 宇龙计算机通信科技(深圳)有限公司 系统加载方法、系统加载装置与终端

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002373255A (ja) * 2000-07-14 2002-12-26 Tokyo Stock Exchange Inc 決済情報ネットワークシステム及び情報処理装置,決済情報配信方法,プログラム並びに記憶媒体

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6408336B1 (en) * 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
CN1248448C (zh) * 2002-05-15 2006-03-29 华为技术有限公司 一种宽带网络的接入方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002373255A (ja) * 2000-07-14 2002-12-26 Tokyo Stock Exchange Inc 決済情報ネットワークシステム及び情報処理装置,決済情報配信方法,プログラム並びに記憶媒体

Also Published As

Publication number Publication date
AU2005201002B2 (en) 2010-05-13
RU2005108108A (ru) 2006-10-10
CN1691573B (zh) 2010-09-29
CA2500618A1 (en) 2005-10-23
EP1589398B1 (en) 2015-08-05
EP1589398A3 (en) 2007-11-07
US20050240996A1 (en) 2005-10-27
JP4936675B2 (ja) 2012-05-23
MXPA05003167A (es) 2007-11-14
KR20060043725A (ko) 2006-05-15
BRPI0500970A (pt) 2005-12-06
AU2005201002A1 (en) 2005-11-10
US7383576B2 (en) 2008-06-03
KR101143108B1 (ko) 2012-05-08
CN1691573A (zh) 2005-11-02
EP1589398A2 (en) 2005-10-26
RU2385490C2 (ru) 2010-03-27

Similar Documents

Publication Publication Date Title
JP4936675B2 (ja) セキュリティ情報を表示および管理するための方法およびシステム
US11750609B2 (en) Dynamic computing resource access authorization
US7020750B2 (en) Hybrid system and method for updating remote cache memory with user defined cache update policies
US10498766B1 (en) User privacy framework
US8798579B2 (en) System and method for secure management of mobile user access to network resources
US9692765B2 (en) Event analytics for determining role-based access
US7529931B2 (en) Managing elevated rights on a network
US10148637B2 (en) Secure authentication to provide mobile access to shared network resources
US20120131646A1 (en) Role-based access control limited by application and hostname
WO2010037201A1 (en) System and method for secure management of mobile user access to enterprise network resources
KR20130046155A (ko) 클라우드 컴퓨팅 서비스에서의 접근제어 시스템
JP2006085697A (ja) 信頼できるネットワークノードへのアクセス特権を制御するための方法とシステム
US9912642B1 (en) Authorization path secured electronic storage system
TW201602833A (zh) 受保護資訊的共同所有權
Podgorelec et al. What is a (digital) identity wallet? a systematic literature review
US20230291744A1 (en) Systems and Methods for Providing Secure Access to Collaboration Rooms with Dynamic Tenancy in Response to an Event
CN111274569A (zh) 统一登录认证的研发运维集成系统及其登录认证方法
Nasim et al. Xacml-based access control for decentralized online social networks
US11657172B2 (en) Policy-based mobile access to shared network resources
JP2007004610A (ja) 複合的アクセス認可方法及び装置
Orawiwattanakul et al. User consent acquisition system for Japanese Shibboleth-based academic federation (GakuNin)
US20230412611A1 (en) Systems for Securely Tracking Incident Data and Automatically Generating Data Incident Reports Using Collaboration Rooms with Dynamic Tenancy
US20230421567A1 (en) Systems for Securely Tracking Incident Data and Automatically Generating Data Incident Reports Using Collaboration Rooms with Dynamic Tenancy
Copeland et al. Reduce Cyber Security Vulnerabilities: Identity Layer
Milutinovic The need for the use of XACML access control policy in a distributed EHR and some performance considerations

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080321

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110215

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110511

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110516

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110707

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110927

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120214

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120221

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150302

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4936675

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees