JP2006085697A - 信頼できるネットワークノードへのアクセス特権を制御するための方法とシステム - Google Patents

信頼できるネットワークノードへのアクセス特権を制御するための方法とシステム Download PDF

Info

Publication number
JP2006085697A
JP2006085697A JP2005259125A JP2005259125A JP2006085697A JP 2006085697 A JP2006085697 A JP 2006085697A JP 2005259125 A JP2005259125 A JP 2005259125A JP 2005259125 A JP2005259125 A JP 2005259125A JP 2006085697 A JP2006085697 A JP 2006085697A
Authority
JP
Japan
Prior art keywords
account
password
user
security
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005259125A
Other languages
English (en)
Other versions
JP2006085697A5 (ja
Inventor
Sterling M Reasor
エム.リーサー スターリング
Ramesh Chinta
チンタ ラメシュ
Paul J Leach
ジェー.リーチ ポール
John E Brezak
イー.ブレザック ジョン
Eric R Flo
アール.フロ エリック
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2006085697A publication Critical patent/JP2006085697A/ja
Publication of JP2006085697A5 publication Critical patent/JP2006085697A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】 ローカルネットワークへの外部からのアクセスに対する強いセキュリティを維持しながら、ネットワーク内の緩いセキュリティを実現する。
【解決手段】 ユーザは、非管理ネットワーク内のセキュリティ保護されたグループにおける信頼できるノードに、ログインパスワードの選択、入力、記憶を求められることなくアクセスできる。コンピュータ上で、そのユーザのためにこのような安全なブランクパスワードまたはワンクリックログオンアカウントを確立するために、強いランダムパスワードが生成され、記憶され、そのアカウントはブランクパスワードアカウントと指定される。デバイスがセキュリティ保護されたネットワークグループの一部であれば、強いランダムパスワードは他の信頼できるノードに複写される。ブランクパスワードアカウントを持つユーザがコンピュータにログインしたいとき、記憶された強いランダムパスワードが読み出され、そのユーザは認証される。
【選択図】 図3

Description

本発明は、一般的には、コンピュータおよびコンピュータネットワークに関し、より詳しくは、ユーザにログインパスワードを選択、入力、記憶させることなく、管理されていないコンピュータネットワーク内の信頼されたノードへのユーザアカウントの安全なアクセスを提供する方法とシステムに関する。
大規模コンピュータネットワークは、ユーザアクセスを管理するための高度な管理スキームを特徴とする。大型ネットワークには、典型的には、複数のドメインを含み、その各々に、ドメイン内のマシンに関するユーザ名、パスワードおよび許可情報のデータベースを備えたプライマリ・ドメイン・コントローラを有する。認可されたユーザは、同じユーザ名とパスワードを使って、そのドメイン内のどのマシンにもログオンできる。あるマシンにログオンしている間、ユーザによるパスワードの変更は、同じドメイン内の他のマシンにより認識される。
これに対し、ホームネットワーク等の小規模ローカルネットワークは、一般に管理されておらず、中央集中化、自動化された方法でアカウント情報を扱うための専用の「常にオン状態の(always-on)」装置を持たない。管理されていないネットワーク内のマシンは、典型的には、同一のハブまたはルータに接続され、編成が厳格ではない、ピアツーピアのワークグループとして動作するのが普通である。このようなネットワークは、特徴として、ユーザにとって不便であった。例えば、最近まで、ユーザは、ネットワークの中で自分がアクセスしたいと希望する個々のデバイスにローカルアカウントを確立しなければならなかった。ユーザがひとつのマシンのパスワードを変更すると、その変更は、自動的にグループ内の残りのマシンにも複写されることはなかった。
小規模の管理されていないネットワークに関する改良が、本願と同じ譲受人に譲渡された係属中の特許出願2件に開示されている。2003年4月15日に出願された出願番号第10/414,354号、「中央集中管理機能のない小規模なセキュリティ保護されたコンピュータネットワークグループ」では、相互に信頼するデバイスの安全なネットワークグループを編成するためのプラットフォームと方法が提供される。グループ内のコンピュータ間の共通のユーザアクセスおよびリソース共有は、ユーザアカウント、ユーザプロファイルおよびユーザセキュリティ識別のデータベースを各マシンに複写することによって実現される。認可されたユーザは、同じユーザ名とパスワードを使って、そのグループのどのコンピュータにでもログオンできる。ユーザがコンピュータのうちのいずれかについての自分のパスワードを変更すると、その変更はグループ内の残りのマシンに複写される。2003年10月23日に出願された出願番号第10/691,872号、「コンピュータネットワーク内で集合的なデータビューを生成するためのシステムと方法」では、ネットワーク内のマシン間のコンテンツを管理するシステムと方法が提供される。ユーザは、マシンにそのユーザのセキュリティ識別プロファイルに関連付けられたローカルコンテンツクエリを発行させ、このクエリを、ネットワーク内の複数のデバイスに分配する。クエリへのレスポンスがまとめられて、集合的なビューが生成される。米国特許出願第10/414,354号と10/691,872号の各々を、引用をもって本願に援用する。
コンピュータのユーザは、利便性と自分たちのデータへの不正アクセスに対するセキュリティの両方を求める。ホームネットワークのユーザは、典型的には、外部からの不正な侵入に対する保護を必要とするが、ネットワーク内部にはそれほどのセキュリティを期待しない。なぜなら、普通、認可されたユーザしかそのネットワーク内のマシンに物理的にアクセスできないからである。独立型のコンピュータや小規模ネットワークのユーザが、別のユーザアカウントを持っているのは、主としてセキュリティ上の理由からではなく、データの分離や各ユーザの便宜のためである。従って、単独のマシンにおいて、ユーザは、一般的に、パスワードによって保護されていないアカウントの便利さ(より正確には、パスワードが空白のアカウント)を好む。しかしながら、Microsoft(登録商標)Windows(登録商標)のオペレーティングシステムに基づくホームネットワークの場合、そのネットワーク内の別のマシンからあるマシンにアクセスするには、ユーザはそのマシンにパスワードで保護されたアカウントを持つ必要がある。
ユーザは、パスワードを推測するための辞書攻撃、総当り攻撃による不正アクセスに対する防衛のために、比較的複雑な、つまり「強い」アカウントパスワードを採用するよう勧められる。強いパスワードは、少なくとも7文字の長さで、数字と記号を含む。しかしながら、強いパスワードは比較的覚えにくく、コンピュータに打ち込みにくい。ユーザは、普通、単純で覚えやすいバスワードを好むが、このようなパスワードでは侵入者からの攻撃に弱い。ホームネットワークにおいて、ユーザが遠隔的にデータにアクセスしたい場合、ユーザは、パスワードを持っていなければならないが、強いパスワードを採用していないと、そのユーザのデータについては望ましいセキュリティが確保されない。一部のコンピュータシステムは、「オートログオン」機能を持ち、ここにユーザのパスワードが記憶され、ユーザがログインする際に読み出されるが、オートログオンアカウントについては、ユーザがそのアカウントについて選択したパスワードと同程度のセキュリティしか得られない。
本発明は、非管理ネットワーク内のセキュリティ保護されたグループを構成する信頼できるノードのような単数または複数のコンピュータへのアクセスを、ネットワークへの外部からのアクセスに対する強い(strong)セキュリティを犠牲にすることなく、ローカルネットワーク内の緩い(loose)セキュリティの利点を実現するような方法で管理するための方法とシステムを提供することに関する。一実施形態において、あるネットワーク内のマシンに物理的にアクセスできるユーザは、パスワードの特定、入力、記憶を求められることなく、信頼できるどのノードからでもデータにアクセスすることができる。
本発明の一側面によれば、セキュリティ保護されたネットワークグループ内のノードへのアクセスを制御するシステムが提供される。このシステムは、セキュリティ保護されたネットワークグループを構成する複数の、相互に信頼できるノードと、セキュリティ保護されたネットワークグループへの外部からのアクセスに対しては強いセキュリティを保ちながら、セキュリティ保護されたネットワークグループ内の緩いセキュリティを提供するためのメカニズムを含む。そのようなメカニズムのひとつにより、セキュリティ保護されたネットワークグループ内のユーザは、認証クレデンシャルの入力を求められずに、他のノードにアクセスすることができる。
本発明の別の側面によれば、ユーザが単数または複数のコンピュータにアクセスできるようにするための方法が開示される。第一のコンピュータにおいて、新しいユーザアカウントのために強いランダムパスワードが生成される。このアカウントは、例えばフラッグを立てる等の方法によって、ブランクパスワードアカウントに指定され、強いランダムパスワードはデータベース等に記憶される。一実施形態において、ユーザは、ブランクパスワードアカウントまたは従来のアカウントを確立するよう選択できる。そのコンピュータが信頼できるノードで構成されるセキュリティ保護されたネットワークグループの一部であると、強いランダムパスワードはグループ内の他のノードに複写される。
本発明のまた別の側面によれば、ユーザによるコンピュータへのアクセスを制御する方法が提供される。ユーザは、どのアカウントでマシンにログオンするかを選択する。選択されたアカウントが、フラッグをチェックする等の方法によって、ブランクパスワードアカウントであると判断されると、記憶されたそのアカウントに関係する強いランダムパスワードが、例えば、データベースを検索する等の方法によって読み出される。すると、ユーザは、そのパスワードに基づいて認証される。そのアカウントがブランクパスワードアカウントではない場合、ユーザは、従来のログインと同様に、パスワードを入力するよう指示される。
本発明を利用して、バイオメトリックにより認証されたアカウントとして確立されたユーザアカウントのために、ブランクパスワードまたはワンクリックログオン機能を提供することができる。本発明の実施形態は、管理されていないおよび管理されているネットワークのどちらでも、また、独立型のマシンにおいても実現できる。さらに、本発明はハードウェアもしくはソフトウェアまたはその組み合わせの全部または一部において実現できる。
一般的に説明すれば、本発明は、セキュリティ保護されたローカルネットワーク内の信頼できるノード等のコンピュータへのアクセスを、ローカルネットワークへの外部からのアクセスに対する強いセキュリティを犠牲にすることなく、ネットワーク内の緩いセキュリティの利点が実現できるような方法で制御するシステムと方法を提供する。一実施形態において、ネットワーク内のマシンに物理的にアクセスできるユーザは、パスワードの特定、入力、記憶を求められることなく、信頼できるどのノードからでもデータにアクセスできる。それにより、独立型マシンのブランクパスワードアカウントの開放的で便利なモデルは、セキュリティ保護されたネットワークにも拡張される。ユーザアカウントがブランクパスワードアカウントとして確立されると、暗号を用いた強いランダムパスワードが生成され、生成されたこのパスワードは、セキュリティアカウントデータベースの中に安全に記憶される。本発明の実施形態において、ユーザは、単純にユーザタイル等をクリックするだけで、ネットワーク内のマシンにログインする。従って、本発明によるブランクパスワードアカウントは、「ワンクリックログオン」アカウントということができる。ユーザのセキュリティアカウント情報がネットワークの複数のマシンに複写されるため、ユーザは、これらすべてのマシンにワンクリックログオンでアクセスできる。
図1を参照すると、本発明が、一実施形態として、少数のコンピューティングデバイスよりなる管理されていないローカルネットワーク100内で実現されている。このようなネットワークは、多くのホームネットワーク、小規模の企業用ネットワークの典型的なものである。ローカルネットワーク100は、ドメインコントローラ等の中央集中的な管理コンポーネントを持たないという意味で、管理されていない。図のローカルネットワーク100は、ネットワークハブまたはスイッチ104と、これに接続された複数のコンピューティングデバイスを備える。コンピュータ間の接続は、有線でも無線でもよい。例えば、デバイス116は、アクセスポイント114を介して、無線によってネットワークと通信する。ローカルネットワーク100のようなネットワークにおいて利用できるコンピューティングデバイスには、例えば、パーソナルコンピュータ、ハンドヘルドコンピューティングデバイス、携帯型情報端末、ラップトップコンピュータ、携帯電話、デジタルカメラ、プロセッサとメモリを有する電子機器、特定用途コンピューティングデバイスその他がある。このような機器の主な詳細は当業者にとって基本的事項であり、ここで詳しく説明する必要はない。
図1に示されるように、ネットワーク100内のマシンのサブセットであるデバイス106,108,110,118は、セキュリティネットワークグループ102(デバイスをつなぐ点線で図式的に示す)を構成し、中央集中的な管理コンポーネントを必要とせずに、ユーザアクセスとリソース共有にわたる全グループ規模の制御を提供する。本発明の文脈において、「セキュリティ保護されたネットワークグループ(secured network group)」とは、セキュリティポリシーとアクセス制御がグループ全体にわたって実現され、グループ内のリソース共有をユーザ単位で可能にしながら、グループ外のコンピュータやユーザによる不正なアクセスやリソースの使用を防止することを意味する。セキュリティ保護されたネットワークグループ内のデバイスは、デバイス間の信頼を築き、グループ内のユーザアカウントデータやユーザプロファイルデータ等の情報を共有している。セキュリティ保護されたネットワークグループは、特定のネットワークトポロジーに依存しない。新しいデバイスをセキュリティ保護されたネットワークグループ102に参入させたり、グループ内のデバイスをセキュリティ保護されたグループから離し、あるいは場合によっては、グループから排除したりすることができる。
グループ102内の各コンピューティングデバイスは、ユーザアカウントデータを含むセキュリティ情報のデータベースまたはこれと同等のものを保持する。ユーザアカウントデータには、認可を受けた各ユーザに関連付けられ、ユーザアカウントを特定するための内部プロセスで使用される固有のセキュリティ識別子(SID)が含まれる。代表的な実施形態において、SIDは、長さの異なる数値である。セキュリティ保護されたネットワークグループが形成された後、グループ内の各マシンに関するセキュリティ情報は、同じグループ内の他のマシンに複写される。セキュリティ情報が複写されることにより、有効なアカウントを持つユーザは、グループ内のどのコンピュータにもログオンできる。コンピュータネットワーク内のセキュリティプロファイル情報の複写に関するより詳細な説明は、本願と同じ譲受人に譲渡された係属中の出願である、2003年4月15日に出願された出願番号、第10/414,354号、「中央集中管理機能のない小規模なセキュリティ保護されたコンピュータネットワークグループ」(引用をもって本願に援用する)に記載されている。
セキュリティ保護されたグループ102内にある、コンピュータ118等のデバイスは、ローカルセキュリティ機関(LSA)122、セキュリティサポートプロバイダ(SSP)120、セキュリティアカウントマネージャ(SAM)124、記憶されたセキュリティ情報126、認証エンジン(“WinLogon”)128およびユーザログインディスプレイ(“LogonUT”)130を備える。これらのコンポーネントについては、図4を参照しながら詳しく説明する。
図2は、本発明のさまざまな面に従って新しいワンクリックログオンアカウントが作成されるプロセスを図示する。図2において、開始ブロックの後、プロセスは判断ブロック200に進み、ここで、新規アカウントがワンクリックログオンアカウントか、あるいはユーザが選択したパスワードを使用する従来のアカウントかが判断される。本発明一実施形態において、新規ユーザアカウントは、ユーザがそのアカウントについてパスワードを指定することを選択しないかぎり、ワンクリックログオンアカウントとして確立される。新規アカウントがワンクリックアカウントではない場合、ブロック202において、ユーザはパスワードを入力するよう指示される。他方、ブロック204において、新規アカウントのために暗号的に強いランダムパスワードが生成される。強いランダムパスワードが使用されることから、そのアカウントが作成されるマシンは、辞書攻撃やその他の不正な外部からのアクセスから保護される。ブロック206に進むと、データフラッグが立てられ、そのアカウントがワンクリックログオンアカウントであることが示される。フラッグは、そのアカウントに関する制御フラッグ一式のうちのひとつとすることができる。ブロック208において、生成された強いランダムパスワードを含むユーザのセキュリティプロファイル情報は、データベースに安全に記憶される。次に、プロセスは終了ブロックに進む。ユーザ固有の強いランダムパスワードを含むユーザアカウント情報は、セキュリティ保護されたネットワーク環境内の他の信頼できるマシンに複写される。その後、ユーザは、パスワードを入力せずに、セキュリティ保護されたグループ内のどの信頼できるマシンにもログオンできる。当業者であれば、これらのステップの一部の順序は任意であり、本発明の本質から逸脱することなく、変更できることがわかるであろう。
図3は、ユーザがマシン上の既存のワンクリックアカウントにログオンするプロセスを図示する。開始ブロックの後、プロセスは、判断ブロック300に進み、ここで、このアカウントについてワンクリックログオンフラッグが立てられているか否かが判断される。フラッグが立てられていないと、ブロック302で、ユーザは、パスワードの入力を指示される。フラッグが立てられていれば、パスワード入力ダイアログは、ログインユーザインタフェースによって表示されず、プロセスはブロック304へと進み、ここで、そのユーザのワンクリックアカウントに関連付けられた強いランダムパスワードがデータベースで検索される。パスワードは、ブロック306でSSPに移され、認証を受けた状態となったユーザは、ブロック308でログインを完了する。その後、プロセスは終了ブロックに進む。
本発明の一実施形態に従って構成されたコンピューティングデバイスのコンポーネントが、図4のブロック図にさらに示されている。コンピュータ400は、LSA402を備える。図の実施形態において、LSA402は、ローカルシステムセキュリティポリシーを担当するユーザモードプロセスである。セキュリティポリシーは、ユーザ認証、パスワードポリシー、ユーザとグループに与えられる特権、システムセキュリティ監査の設定等の事柄を管理する。SSP404は、図の実施形態において、セキュリティプロトコルパッケージをアプリケーションが利用できるようにする、動的にリンクされたライブラリよりなる。SAM406は、セキュリティ情報データベース408によってユーザアカウント情報を保持するサービスである。デバイス400はまた、LSA402とログインユーザインタフェース412と交信するユーザ認証エンジン410を備える。
本発明のさまざまな面によれば、ユーザがワンクリックログオンアカウントによってコンピュータ400へのログオンを試みると、ユーザ認証エンジン410は、ログインユーザインタフェースコンポーネント412にコンピュータ400と関連付けられたユーザアカウントを表示させる。ユーザインタフェース412により、ユーザが自分のアカウントのユーザアカウントタイルまたはその他の表示をクリックすると、ユーザインタフェースコンポーネント412は、ユーザの選択をユーザ認証エンジン410に伝える。ユーザ認証エンジン410は、ユーザが選択されたユーザアカウントによってログオンすることを希望しているとLSA402に知らせる。LSA402の中で、SSP404は、SAM406を使ってデータベース408からパスワードを読み出し、これを使って、ワンクリックログオンアカウントによってマシン400にログオンしようとしているユーザを認証することができるようにする。
本発明の実施形態は、バイオメトリックにより認証されたアカウントについても使用できる。バイオメトリックによるアカウント保護において、ユーザは、入力装置に親指の指紋等の個別の身体的特徴を提示することによってマシンに安全にログオンする。本発明の一実施形態によれば、ユーザがバイオメトリックによるアカウントを確立すると、上記のワンクリックログオンアカウントと同様に、そのアカウントについての強いランダムパスワードが生成され、セキュリティアカウントデータベースの中に記憶される。ユーザがあるマシンにログオンしようとすると、SSPは、データベースからその強いランダムパスワードを読み出し、そのアカウントは、ユーザログインについて認証される。
本発明の別の実施形態は、管理されていないネットワーク環境だけでなく、管理されているネットワーク環境にも取り入れることができる。本発明により、パスワードダイアログを表示しないログインインタフェースをはじめとする、簡便ユーザインタフェースの使用も可能となる。これまでは独立型のマシンのブランクパスワードアカウントのみに限られていた簡便ユーザインタフェースも、本発明により、セキュリティ保護されたネットワークグループに使用することが可能となる。
本明細書では、本発明を実施するために発明者が知る最良の態様を含む、本発明の好ましい実施形態について説明した。本発明の原理が応用される多くの可能な実施形態を鑑み、本明細書で説明した実施形態は例にすぎず、本発明の範囲を限定するものと解釈してはならない。当業者であれば、本発明の精神から逸脱することなく、上記の実施形態を、配置や詳細部分において変更できることがわかるであろう。従って、本明細書で説明する発明は、添付の請求範囲およびその同等物の中で実現できるすべての実施形態を予期するものである。
少数のコンピューティングデバイスがひとつのセキュリティ保護されたネットワークグループに構成された、本発明の実施形態を使用することのできるローカルコンピュータネットワークを示す略図である。 本発明の実施形態に従ってユーザが新たなワンクリックログオンアカウントを作成することにかかわるステップを示すフロー図である。 本発明の実施形態に従ってユーザがワンクリックログオンアカウントによってマシンにログオンすることにかかわるステップを示すフロー図である。 本発明の実施形態に従って構成されたコンピュータのコンポーネントを示すブロック図である。
符号の説明
100 ローカルネットワーク
102 ネットワークグループ
104 ハブまたはスイッチ
106,108,110,112,116,118 デバイス
114 アクセスポイント
120,404 セキュリティサポートプロバイダ(SSP)
122,402 ローカルセキュリティ機関(LSA)
124,406 セキュリティアカウントマネージャ(SAM)
126 セキュリティ情報
128,410 認証エンジン
130 ユーザログインディスプレイ
400 コンピュータ
408 セキュリティ情報データベース
412 ログインユーザインタフェース

Claims (24)

  1. セキュリティ保護されたネットワークグループ内のノードへのアクセスを制御するシステムであって、
    前記セキュリティ保護されたネットワークグループを形成する複数の、相互に信頼できるノードと、
    前記セキュリティ保護されたネットワークグループへの外部からのアクセスに対する強いセキュリティを保ちながら、前記セキュリティ保護されたネットワークグループ内の緩いセキュリティを提供するメカニズムと
    を備えたことを特徴とするシステム。
  2. 請求項1に記載のシステムであって、前記セキュリティ保護されたネットワークグループ内の緩いセキュリティを提供するメカニズムは、前記セキュリティネットワークグループ内のユーザが、認証クレデンシャルの入力を求められることなく、他のノードにアクセスすることを可能にするメカニズムを備えたことを特徴とするシステム。
  3. 請求項1に記載のシステムであって、前記セキュリティ保護されたネットワークグループは、管理されていないネットワーク内のセキュリティ保護されたネットワークグループをさらに備えることを特徴とするシステム。
  4. 請求項1に記載のシステムであって、前記セキュリティ保護されたネットワークグループ内の緩いセキュリティを提供するメカニズムは、各ノードにおいて、
    シングルクリックログオンアカウントに関連付けられた強いランダムパスワードを記憶するデータベースと、
    ローカルシステムセキュリティ機関と、
    ユーザが前記シングルクリックログオンアカウントへのログインを開始すると、前記強いランダムパスワードを読み出すセキュリティサポートプロバイダと、
    前記データベースおよび前記セキュリティサポートプロバイダと交信するセキュリティアカウント管理サービスと、
    ログインユーザインタフェースコンポーネントと前記ローカルシステムセキュリティ機関と交信し、前記シングルクリックログオンアカウントへのログインを規制する認証エンジンと
    を備えたことを特徴とするシステム。
  5. ユーザが1または複数のコンピュータにアクセスすることを可能にする方法であって、
    第一のコンピュータにおいて、
    前記ユーザのための新規アカウントの強いランダムパスワードを生成するステップと、
    前記新規アカウントをブランクパスワードアカウントに指定するステップと、
    前記強いランダムパスワードを記憶するステップと
    を備えたことを特徴とする方法。
  6. 請求項5に記載の方法であって、前記強いランダムパスワードを記憶するステップは、前記パスワードを安全に記憶するステップを含むことを特徴とする方法。
  7. 請求項5に記載の方法であって、前記新規アカウントがブランクパスワードアカウントであるか否かを最初に判断するステップをさらに備えたことを特徴とする方法。
  8. 請求項7に記載の方法であって、前記新規アカウントがブランクパスワードアカウントでない場合には、前記ユーザにパスワードを選択するよう指示するステップをさらに備えたことを特徴とする方法。
  9. 請求項7に記載の方法であって、前記新規アカウントがブランクパスワードアカウントであるか否かを最初に判断するステップは、前記ユーザが前記新規アカウントをブランクパスワードアカウントにすると示さないかぎり、前記新規アカウントをブランクパスワードアカウントとして確立するステップをさらに含むことを特徴とする方法。
  10. 請求項5に記載の方法であって、前記新規アカウントをブランクパスワードアカウントに指定するステップは、フラッグを立てるステップをさらに含むことを特徴とする方法。
  11. 請求項5に記載の方法であって、前記強いランダムパスワードを記憶するステップは、前記強いランダムパスワードをデータベースによって記憶するステップをさらに含むことを特徴とする方法。
  12. 請求項5に記載の方法であって、前記1または複数のコンピュータが複数の連結されたコンピュータである場合には、前記強いランダムパスワードを、前記第一のコンピュータ以外の前記複数の連結されたコンピュータの中の各コンピュータに複写するステップをさらに備えたことを特徴とする方法。
  13. 請求項12に記載の方法であって、前記強いランダムパスワードを複写するステップは、セキュリティ保護されたネットワークグループ内の1または複数の信頼できるノードに前記強いランダムパスワードを複写するステップをさらに含むことを特徴とする方法。
  14. 請求項13に記載の方法であって、前記ユーザに対し、前記セキュリティ保護されたネットワークグループに関して、ブランクパスワードアカウント以外のユーザと少なくとも同じアクセス特権を提供するステップをさらに備えたことを特徴とする方法。
  15. 請求項5に記載の方法であって、前記新規アカウントのための前記強いランダムパスワードを生成するステップは、バイオメトリックにより認証されたアカウントのために強いランダムパスワードを生成するステップをさらに含むことを特徴とする方法。
  16. コンピュータへのユーザのアクセスを制御する方法であって、
    前記ユーザにより選択されたアカウントがブランクパスワードアカウントか否かを判断するステップと、
    前記アカウントがブランクパスワードアカウントであれば、前記アカウントに関連付けられ、記憶された強いランダムパスワードを読み出すステップと、
    前記ユーザを認証するステップと
    を備えたことを特徴とする方法。
  17. 請求項16に記載の方法であって、前記アカウントがブランクパスワードアカウントであるか否かを判断するステップは、前記アカウントに関連付けられたフラッグが立てられているか否かを判断するステップをさらに含むことを特徴とする方法。
  18. 請求項16に記載の方法であって、前記アカウントがブランクパスワードアカウントである場合には、前記ユーザにパスワードを入力するよう指示するステップをさらに備えたことを特徴とする方法。
  19. 請求項16に記載の方法であって、前記記憶された強いランダムパスワードを読み出すステップは、データベースを検索するステップをさらに含むことを特徴とする方法。
  20. 請求項16に記載の方法であって、前記ユーザによって選択される前記アカウントがブランクパスワードアカウントであるか否かを判断するステップは、前記アカウントがバイオメトリックによって認証されたアカウントであるか否かを判断するステップをさらに含むことを特徴とする方法。
  21. ユーザがコンピュータにアクセスできるようにするための、コンピュータ実行可能命令を備えるコンピュータ読取り可能媒体であって、前記命令は、
    前記ユーザのための前記アカウントの強いランダムパスワードを生成すること、
    前記新規アカウントをブランクパスワードアカウントに指定すること、および、
    前記強いランダムパスワードを記憶すること
    を備えたことを特徴とする媒体。
  22. 請求項21に記載のコンピュータ読取り可能媒体であって、前記コンピュータがネットワークによって第二のコンピュータに連結されている場合には、前記強いランダムパスワードを前記第二のコンピュータに複写することをさらに備えたことを特徴とする媒体。
  23. 請求項21に記載のコンピュータ読取り可能媒体であって、
    前記アカウントにログインするとの前記ユーザによるその後のリクエストがブランクパスワードアカウントへのログインリクエストであるか否かを判断すること、
    前記その後のリクエストがブランクパスワードアカウントへのログインリクエストであれば、前記アカウントに関係する前記記憶された強いランダムパスワードを読み出すこと、および、
    前記ユーザを認証すること
    をさらに備えたことを特徴とする媒体。
  24. セキュリティ保護されたネットワークグループ内のノードへのアクセスを制御するシステムを実現するためのコンポーネントを有するコンピュータ読取り可能媒体であって、前記システムは、
    シングルクリックログオンアカウントに関連けられた強いランダムパスワードを記憶するためのデータベースと、
    ローカルシステムセキュリティ機関と、
    ユーザが前記シングルクリックログオンアカウントへのログインを開始すると、前記強いランダムパスワードを読み出すセキュリティサポートプロバイダと、
    前記データベースおよび前記セキュリティサポートプロバイダと交信するセキュリティアカウント管理サービスと、
    ログインユーザインタフェースコンポーネントおよび前記ローカルシステムセキュリティ機関と交信し、前記シングルクリックログオンアカウントへのログインを規制する認証エンジンと
    を備えたことを特徴とする媒体。

JP2005259125A 2004-09-15 2005-09-07 信頼できるネットワークノードへのアクセス特権を制御するための方法とシステム Pending JP2006085697A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/941,559 US8230485B2 (en) 2004-09-15 2004-09-15 Method and system for controlling access privileges for trusted network nodes

Publications (2)

Publication Number Publication Date
JP2006085697A true JP2006085697A (ja) 2006-03-30
JP2006085697A5 JP2006085697A5 (ja) 2008-10-23

Family

ID=35539702

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005259125A Pending JP2006085697A (ja) 2004-09-15 2005-09-07 信頼できるネットワークノードへのアクセス特権を制御するための方法とシステム

Country Status (5)

Country Link
US (1) US8230485B2 (ja)
EP (1) EP1638034A3 (ja)
JP (1) JP2006085697A (ja)
KR (1) KR20060048819A (ja)
CN (2) CN101729551B (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014119233A1 (ja) 2013-01-31 2014-08-07 日本電気株式会社 ネットワークシステム
JP2016076116A (ja) * 2014-10-07 2016-05-12 キヤノン株式会社 画像形成装置、該装置の制御方法、及びプログラム

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8219807B1 (en) 2004-12-17 2012-07-10 Novell, Inc. Fine grained access control for linux services
US8271785B1 (en) 2004-12-20 2012-09-18 Novell, Inc. Synthesized root privileges
US7490072B1 (en) 2005-02-16 2009-02-10 Novell, Inc. Providing access controls
US8074214B2 (en) 2005-05-19 2011-12-06 Oracle International Corporation System for creating a customized software installation on demand
US8352935B2 (en) * 2005-05-19 2013-01-08 Novell, Inc. System for creating a customized software distribution based on user requirements
US8676973B2 (en) * 2006-03-07 2014-03-18 Novell Intellectual Property Holdings, Inc. Light-weight multi-user browser
US7886343B2 (en) * 2006-04-07 2011-02-08 Dell Products L.P. Authentication service for facilitating access to services
US8700788B2 (en) 2006-08-18 2014-04-15 Smarticon Technologies, Llc Method and system for automatic login initiated upon a single action with encryption
US7730480B2 (en) * 2006-08-22 2010-06-01 Novell, Inc. System and method for creating a pattern installation by cloning software installed another computer
US20080104239A1 (en) * 2006-10-27 2008-05-01 Lipinski Greg J Method and system of managing accounts by a network server
US8413222B1 (en) * 2008-06-27 2013-04-02 Symantec Corporation Method and apparatus for synchronizing updates of authentication credentials
US20110041166A1 (en) * 2009-08-17 2011-02-17 Avaya Inc. Method of Password Assignment
KR101876466B1 (ko) * 2009-09-09 2018-07-10 삼성전자 주식회사 컴퓨터시스템 및 그 제어방법
US9443078B2 (en) 2010-04-20 2016-09-13 International Business Machines Corporation Secure access to a virtual machine
CN102739404B (zh) * 2012-06-29 2016-01-06 浪潮(北京)电子信息产业有限公司 一种密码管理方法和系统
US20150333910A1 (en) * 2014-05-17 2015-11-19 Dylan Kirdahy Systems, methods, and apparatuses for securely accessing user accounts
CN108038367B (zh) * 2017-12-07 2021-02-26 上海摩软通讯技术有限公司 用户设备的权限管理的控制方法及系统
US11025425B2 (en) 2018-06-25 2021-06-01 Elasticsearch B.V. User security token invalidation
US11223626B2 (en) 2018-06-28 2022-01-11 Elasticsearch B.V. Service-to-service role mapping systems and methods
US11196554B2 (en) * 2018-07-27 2021-12-07 Elasticsearch B.V. Default password removal
US11023598B2 (en) 2018-12-06 2021-06-01 Elasticsearch B.V. Document-level attribute-based access control
CN113362085A (zh) * 2021-06-09 2021-09-07 广州智会云科技发展有限公司 一种子母账号管理方法及系统
CN114422182B (zh) * 2021-12-13 2024-01-16 以萨技术股份有限公司 一种统一身份管理平台

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63286950A (ja) * 1987-05-19 1988-11-24 Fujitsu Ltd ログイン処理方式
JPH0530103A (ja) * 1991-07-23 1993-02-05 Fujitsu Ltd リモートによるパスワード設定方式
JP2000172500A (ja) * 1998-12-07 2000-06-23 Fujitsu Ltd ソフトウエア利用管理システム及びそのシステムでの処理をコンピュータに行わせるためのプログラムを格納する記憶媒体
JP2001188755A (ja) * 1999-12-28 2001-07-10 Casio Comput Co Ltd 通信電子機器及び通信処理プログラムを記憶した記憶媒体
JP2003162509A (ja) * 2001-11-27 2003-06-06 Nec Soft Ltd ユーザ情報の一括管理システム及びその方法
JP2005501353A (ja) * 2001-08-20 2005-01-13 バイエリッシェ モートーレン ウエルケ アクチエンゲゼルシャフト 特に自動車両内に設けられている加入者ステーションを外部情報システム内で自動ログインするための方法
JP2006504189A (ja) * 2002-10-25 2006-02-02 エクスパートン、ベッティーナ ネットワークアドレスおよびアプリケーションを自動起動しアクセスするためのシステムおよび方法(優先権)これは、特許協力条約(pct)に基づいて提出された国際特許出願である。この国際出願は、参照として組み込まれた、2002年10月25日に出願された米国仮出願第60/421,622号の優先権を主張する。

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6275941B1 (en) * 1997-03-28 2001-08-14 Hiatchi, Ltd. Security management method for network system
US5944824A (en) * 1997-04-30 1999-08-31 Mci Communications Corporation System and method for single sign-on to a plurality of network elements
US6000033A (en) * 1997-11-26 1999-12-07 International Business Machines Corporation Password control via the web
JPH11265544A (ja) * 1998-03-16 1999-09-28 Fujitsu Ltd 記憶装置及びそのパスワード制御方法
US6182142B1 (en) * 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US6647497B1 (en) * 1999-03-31 2003-11-11 International Business Machines Corporation Method and system for secure computer system transfer
US6889328B1 (en) 1999-05-28 2005-05-03 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for secure communication
US6851060B1 (en) * 1999-07-15 2005-02-01 International Business Machines Corporation User control of web browser user data
US6993658B1 (en) * 2000-03-06 2006-01-31 April System Design Ab Use of personal communication devices for user authentication
US7150038B1 (en) * 2000-04-06 2006-12-12 Oracle International Corp. Facilitating single sign-on by using authenticated code to access a password store
BR0112909A (pt) * 2000-08-04 2004-06-08 Computer Ass Think Inc Sistemas e métodos para autenticação de um usuário para um servidor da rede
US6807577B1 (en) * 2000-09-14 2004-10-19 International Business Machines Corporation System and method for network log-on by associating legacy profiles with user certificates
US7260838B2 (en) * 2000-12-18 2007-08-21 International Business Machines Corporation Incorporating password change policy into a single sign-on environment
US7197765B2 (en) * 2000-12-29 2007-03-27 Intel Corporation Method for securely using a single password for multiple purposes
US7043489B1 (en) * 2001-02-23 2006-05-09 Kelley Hubert C Litigation-related document repository
US20040054592A1 (en) * 2002-09-13 2004-03-18 Konrad Hernblad Customer-based wireless ordering and payment system for food service establishments using terminals and mobile devices
US7308580B2 (en) * 2002-04-23 2007-12-11 International Business Machines Corporation System and method for ensuring security with multiple authentication schemes
EP1535127A2 (en) * 2002-07-03 2005-06-01 Aurora Wireless Technologies, Inc. Biometric private key infrastructure
US20040034583A1 (en) * 2002-08-15 2004-02-19 Lanier Cheryl Lynn Systems and methods for performing electronic check commerce
US7690025B2 (en) * 2003-04-03 2010-03-30 General Electric Company Methods and systems for accessing a network-based computer system
US7640324B2 (en) * 2003-04-15 2009-12-29 Microsoft Corporation Small-scale secured computer network group without centralized management
US7620679B2 (en) 2003-10-23 2009-11-17 Microsoft Corporation System and method for generating aggregated data views in a computer network
US20050170321A1 (en) * 2004-01-30 2005-08-04 Scully Helen M. Method and system for career assessment
US20050182654A1 (en) * 2004-02-14 2005-08-18 Align Technology, Inc. Systems and methods for providing treatment planning
US7506170B2 (en) * 2004-05-28 2009-03-17 Microsoft Corporation Method for secure access to multiple secure networks
US20060059346A1 (en) * 2004-09-14 2006-03-16 Andrew Sherman Authentication with expiring binding digital certificates

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63286950A (ja) * 1987-05-19 1988-11-24 Fujitsu Ltd ログイン処理方式
JPH0530103A (ja) * 1991-07-23 1993-02-05 Fujitsu Ltd リモートによるパスワード設定方式
JP2000172500A (ja) * 1998-12-07 2000-06-23 Fujitsu Ltd ソフトウエア利用管理システム及びそのシステムでの処理をコンピュータに行わせるためのプログラムを格納する記憶媒体
JP2001188755A (ja) * 1999-12-28 2001-07-10 Casio Comput Co Ltd 通信電子機器及び通信処理プログラムを記憶した記憶媒体
JP2005501353A (ja) * 2001-08-20 2005-01-13 バイエリッシェ モートーレン ウエルケ アクチエンゲゼルシャフト 特に自動車両内に設けられている加入者ステーションを外部情報システム内で自動ログインするための方法
JP2003162509A (ja) * 2001-11-27 2003-06-06 Nec Soft Ltd ユーザ情報の一括管理システム及びその方法
JP2006504189A (ja) * 2002-10-25 2006-02-02 エクスパートン、ベッティーナ ネットワークアドレスおよびアプリケーションを自動起動しアクセスするためのシステムおよび方法(優先権)これは、特許協力条約(pct)に基づいて提出された国際特許出願である。この国際出願は、参照として組み込まれた、2002年10月25日に出願された米国仮出願第60/421,622号の優先権を主張する。

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014119233A1 (ja) 2013-01-31 2014-08-07 日本電気株式会社 ネットワークシステム
US10129173B2 (en) 2013-01-31 2018-11-13 Nec Corporation Network system and method for changing access rights associated with account IDs of an account name
JP2016076116A (ja) * 2014-10-07 2016-05-12 キヤノン株式会社 画像形成装置、該装置の制御方法、及びプログラム

Also Published As

Publication number Publication date
CN101729551B (zh) 2013-07-31
US20060059359A1 (en) 2006-03-16
EP1638034A3 (en) 2013-01-16
CN101729551A (zh) 2010-06-09
US8230485B2 (en) 2012-07-24
CN1750537A (zh) 2006-03-22
EP1638034A2 (en) 2006-03-22
KR20060048819A (ko) 2006-05-18

Similar Documents

Publication Publication Date Title
JP2006085697A (ja) 信頼できるネットワークノードへのアクセス特権を制御するための方法とシステム
US10523656B2 (en) Session migration between network policy servers
CN110463161B (zh) 用于访问受保护资源的口令状态机
CN108293045B (zh) 本地和远程系统之间的单点登录身份管理
KR100920871B1 (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템
KR101120810B1 (ko) 캐스케이딩 인증 시스템
US7305701B2 (en) Methods and arrangements for controlling access to resources based on authentication method
US9172541B2 (en) System and method for pool-based identity generation and use for service access
US11425166B2 (en) Identifier-based application security
KR20160005111A (ko) 기업 시스템들에서 사용자 및 디바이스 인증
US10810295B2 (en) Unified authentication management system
Gkotsis Creating a Windows Active Directory Lab and Performing Simulated Attacks
KR101066729B1 (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템
Beckerle et al. Interactive rule learning for access control: Concepts and design
MacDonald Security Fundamentals
MacDonald Implementing Security
Armstrong Security and Encryption
Allen et al. Windows Authentication

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080905

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080905

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110530

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110603

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111028