JP2008071226A - クレデンシャルコンバージョンシステムと方法、コンピュータ装置、及びプログラム - Google Patents
クレデンシャルコンバージョンシステムと方法、コンピュータ装置、及びプログラム Download PDFInfo
- Publication number
- JP2008071226A JP2008071226A JP2006250438A JP2006250438A JP2008071226A JP 2008071226 A JP2008071226 A JP 2008071226A JP 2006250438 A JP2006250438 A JP 2006250438A JP 2006250438 A JP2006250438 A JP 2006250438A JP 2008071226 A JP2008071226 A JP 2008071226A
- Authority
- JP
- Japan
- Prior art keywords
- credential
- server device
- security domain
- time password
- proxy certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 属するセキュリティドメインが異なり、クレデンシャルの形式等が異なるシステムや情報処理装置間では、連携することができなくなるという問題があった。
【解決手段】第1のセキュリティドメインに属するクライアント装置100が、第2のセキュリティドメインのシステムに対応したクレデンシャルB201を、第1のセキュリティドメインのシステムでのクレデンシャルAに対応付けてリポジトリサーバ装置200の記憶装置に予め格納しておく手段と、サーバ装置300と連携するにあたり、リポジトリサーバ装置200よりクレデンシャルAをクレデンシャルとしてクレデンシャルB201を取得し、これをクレデンシャルとして連携先のサーバ装置300に処理を依頼する手段を有する。
【選択図】 図1
【解決手段】第1のセキュリティドメインに属するクライアント装置100が、第2のセキュリティドメインのシステムに対応したクレデンシャルB201を、第1のセキュリティドメインのシステムでのクレデンシャルAに対応付けてリポジトリサーバ装置200の記憶装置に予め格納しておく手段と、サーバ装置300と連携するにあたり、リポジトリサーバ装置200よりクレデンシャルAをクレデンシャルとしてクレデンシャルB201を取得し、これをクレデンシャルとして連携先のサーバ装置300に処理を依頼する手段を有する。
【選択図】 図1
Description
本発明はクレデンシャルコンバージョンシステムと方法、コンピュータ装置、及びプログラムに関し、特に、異なるセキュリティドメインにおける連携を可能とするため、リポジトリサーバを用いてクレデンシャルコンバージョンを行うシステムと方法、コンピュータ装置、及びプログラムに関する。
従来より、異なるセキュリティドメインに属する情報処理装置等が連携してサービスにアクセスしたり、或いは連携してサービスを提供したいといったニーズはサービス全般について存在する。
次に前記サービスを、最近注目されているグリッドコンピューティングサービスとしても、異なるセキュリティドメインに属する情報処理装置等を連携させてサービスにアクセスしたいというニーズはやはりある。特に、高性能なグリッドリソースが、他の地域や国に存在するがそれを是非使いたいというニーズはある。
グリッドコンピューティングサービス用の代表的なミドルウェアとしては、www.globus.orgのGlobusアライアンスによるGlobusToolkitと、www.unicore.orgによるUNICOREがある。
従って、異なるセキュリティドメインからのアクセスは、例えば、UNICORE環境の利用端末から、Globus対応サーバへのアクセスというようにグリッドミドルウェアAから異なるグリッドミドルウェアBへのアクセスになることも多い。
ここで、GlobusToolkitは、Grid Computingの実現に必要な機能を実装したオープンソースのミドルウェアであり、ユーザ認証、通信、資源管理・監視機構などの要素技術をライブラリおよびAPIという形で提供している。
UNICOREは、Globusと同様、グリッドサービスレイヤーの第2階層を提供するグリッドミドルウェアであり、認証機能には透過で矛盾がないX.509を用い、スーパーコンピュータへのアクセス、アプリケーションのコンパイルや実行、出入力データの転送にseamless HPC(High Performance Computer) portalを用いることでプラットフォームの差異を隠蔽している。
また、前記Globusのシステムでは、グリッド環境を利用する際のユーザ認証を、プロキシ証明書を作成し、サービス窓口の管理装置(MyProxyサーバ)に格納することで行っている。これによりユーザに対しSSO(Single Sign−On)を実現している(特許文献1参照。)。
一般的には、上記異なるセキュリティドメインに属する情報処理装置等が連携する場合には、異なるセキュリティドメインにおいては、用いられているクレデンシャル(利用する際の証明書)の違いにより、あるセキュリティドメインにおけるクレデンシャルは異なるセキュリティドメインにおいて使用することができず、異なるセキュリティドメインにおいては連携することができなくなるという問題がある。
次に、セキュリティドメインが異なり、ミドルウェアの異なるグリッドサービスが連携する場合を、例えばUNICOREとGlobusが連携する場合を考察する。両者は共に証明書を利用したユーザ認証機構を用いているがセキュリティ・アーキテクチャの違いにより、実装方法が大きく異なる。
GlobusはユーザProxy証明書を利用することによりクレデンシャルを伝播し、ユーザに対してはSSOとする方式であるが、UNICOREではジョブへの署名によりセキュリティを担保している。
このため、UNICOREのジョブ内からGlobusを利用しようとした場合SSOが出来ないという問題がある。
このため、UNICOREのジョブ内からGlobusを利用しようとした場合SSOが出来ないという問題がある。
これを解決するために何らかの手段でUNICOREがユーザProxy証明書を用意し、Globusに渡すことが考えられる。しかしUNICOREとGlobusが連携する環境では、ユーザがProxy証明書を作成する場所とGlobusが起動される計算機は異なるため、単純にユーザProxy証明書を送付してしまうとRFC3820の仕様に違反することになる。
本発明の目的は上記問題を解決した、クレデンシャルコンバージョンシステムと方法、コンピュータ装置、及びプログラムを提供することにある。
本発明の第1のクレデンシャルコンバージョンシステムは、リポジトリサーバ装置と、第1のセキュリティドメインに属するコンピュータと、第2のセキュリティドメインに属するサーバ装置とがネットワーク接続されたクレデンシャルコンバージョンシステムであって、前記リポジトリサーバ装置は、前記第1のセキュリティドメインに係る第1のクレデンシャルと前記第2のセキュリティドメインに係る第2のクレデンシャルとを対応付けて予め格納し、前記コンピュータは、自装置が属する前記第1のセキュリティドメインに係る前記第1のクレデンシャルに対応する、前記サーバ装置が属する前記第2のセキュリティドメインに係る前記第2のクレデンシャルを前記リポジトリサーバ装置から取得し、当該第2のクレデンシャルを用いて前記サーバ装置へアクセスすることを特徴とする。
本発明の第2のクレデンシャルコンバージョンシステムは、第1のグリッドミドルウェアを搭載した第1のクライアント装置と、前記第1のグリッドミドルウェアに対応したサービスを提供する第1のサーバ装置と、第2のクライアント装置と、第2のグリッドミドルウェアに対応したサービスを提供する第2のサーバ装置と、リポジトリサーバ装置とがネットワーク接続されたクレデンシャルコンバージョンシステムであって、前記第2のクライアント装置が、ユーザ証明書を取得し、当該ユーザ証明書に基づいてプロキシ証明書を作成し、ワンタイムパスワードをパスフレーズとして前記プロキシ証明書を前記リポジトリサーバ装置に格納し、前記ワンタイムパスワードを前記第1のクライアント装置に通知し、前記第1のクライアント装置が、前記ワンタイムパスワードを組み込んだジョブを前記第1のサーバ装置に投入し、前記第1のサーバ装置が、前記ワンタイムパスワードを用いて前記リポジトリサーバ装置から前記プロキシ証明書を取得し、当該プロキシ証明書を用いて前記第2のサーバ装置に前記ジョブを投入することを特徴とする。
本発明の第3のクレデンシャルコンバージョンシステムは、前記第2のクレデンシャルコンバージョンシステムであって、前記第2のクライアント装置は、前記ワンタイムパスワードを発生する装置を備えたことを特徴とする。
本発明の第1のコンピュータは、第1のセキュリティドメインに係る第1のクレデンシャルと第2のセキュリティドメインに係る第2のクレデンシャルとが予め対応付けて格納されているリポジトリサーバ装置から、自装置が属する第1のセキュリティドメインに係る第1のクレデンシャルに対応する第2のクレデンシャルを取得し、当該第2のクレデンシャルを用いて前記第2のセキュリティドメインに属するサーバ装置へアクセスすることを特徴とする。
本発明の第2のコンピュータは、ワンタイムパスワードを組み込まれたジョブを受信し、自装置のグリッドミドルウェアとは異なる他のグリッドミドルウェアに対応したコンピュータによりワンタイムパスワードとプロキシ証明書とが対応付けて格納されたリポジトリサーバ装置から、前記受信したジョブに組み込まれた前記ワンタイムパスワードに対応する前記プロキシ証明書を取得し、当該プロキシ証明書を用いて前記他のグリッドミドルウェアに対応したコンピュータに前記ジョブを投入することを特徴とする。
本発明の第1のプログラムは、第1のセキュリティドメインに係る第1のクレデンシャルと第2のセキュリティドメインに係る第2のクレデンシャルとが予め対応付けて格納されているリポジトリサーバ装置から、自装置が属する第1のセキュリティドメインに係る第1のクレデンシャルに対応する第2のクレデンシャルを取得し、当該第2のクレデンシャルを用いて前記第2のセキュリティドメインに属するサーバ装置へアクセスする処理をコンピュータに行わせることを特徴とする。
本発明の第2のプログラムは、ワンタイムパスワードを組み込まれたジョブを受信し、自装置のグリッドミドルウェアとは異なる他のグリッドミドルウェアに対応したコンピュータによりワンタイムパスワードとプロキシ証明書とが対応付けて格納されたリポジトリサーバ装置から、前記受信したジョブに組み込まれた前記ワンタイムパスワードに対応する前記プロキシ証明書を取得し、当該プロキシ証明書を用いて前記他のグリッドミドルウェアに対応したコンピュータに前記ジョブを投入する処理をコンピュータに行わせることを特徴とする。
本発明の第1のクレデンシャルコンバージョン方法は、リポジトリサーバ装置が、第1のセキュリティドメインに係る第1のクレデンシャルと第2のセキュリティドメインに係る第2のクレデンシャルとを対応付けて予め格納し、前記第1のセキュリティドメインに属するコンピュータが、自装置が属する前記第1のセキュリティドメインに係る前記第1のクレデンシャルに対応する前記第2のセキュリティドメインに係る前記第2のクレデンシャルを前記リポジトリサーバ装置から取得し、当該第2のクレデンシャルを用いて前記第2のセキュリティドメインに属するサーバ装置へアクセスすることを特徴とする。
本発明の第2のクレデンシャルコンバージョン方法は、第2のクライアント装置が、ユーザ証明書を取得し、当該ユーザ証明書に基づいてプロキシ証明書を作成し、ワンタイムパスワードをパスフレーズとして前記プロキシ証明書を前記リポジトリサーバ装置に格納し、前記ワンタイムパスワードを第1のグリッドミドルウェアを搭載した第1のクライアント装置に通知し、前記第1のクライアント装置が、前記ワンタイムパスワードを組み込んだジョブを、前記第1のグリッドミドルウェアに対応したサービスを提供する第1のサーバ装置に投入し、前記第1のサーバ装置が、前記ワンタイムパスワードを用いて前記リポジトリサーバ装置から前記プロキシ証明書を取得し、当該プロキシ証明書を用いて、第2のグリッドミドルウェアに対応したサービスを提供する第2のサーバ装置に前記ジョブを投入することを特徴とする。
本発明によれば、リポジトリサーバ装置に連携先のシステムに対応した形式のクレデンシャルを、自装置が属するシステムでのクレデンシャルに対応付けて格納しておき、連携依頼する装置が、リポジトリサーバ装置にアクセスし、クレデンシャル変換し、連携先のクレデンシャルを容易に取得できるので、異なるセキュリティドメインに属し、クレデンシャルの異なるシステム同士で連携を行うことができる。
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。図1は本発明のクレデンシャルコンバージョンシステムの第1の実施の形態を示したブロック図である。
本発明の第1の実施の形態のクレデンシャルコンバージョンシステムは、セキュリティドメイン#1に属するクライアント装置100とサーバ装置400と、セキュリティドメイン#2に属し、クライアント装置100の依頼により処理をする(連携する)サーバ装置300とクライアント装置100がアクセス可能なリポジトリサーバ装置200(例えばインターネット上のリポジトリサーバ)から構成される。
図1ではリポジトリサーバ装置200は、セキュリティドメイン#1に属してないとしているが、セキュリティドメイン#1に属していてもよい。
セキュリティドメイン#1のシステムと、セキュリティドメイン#2のシステムでは、クレデンシャル(ユーザの正当性を証明するもので、ユーザ証明書、Proxy証明書、パスワード、鍵等の何れか)の形式が異なり、それぞれクレデンシャルA、クレデンシャルBである。
クライアント装置100、サーバ装置400、リポジトリサーバ装置200、サーバ装置300は図示してないがそれぞれCPUやメインメモリを備え、プログラム制御で動作する情報処理装置である。
本発明の第1の実施の形態の動作を図2のフローチャートを参照し説明する。クライアント装置100が、クレデンシャルB201(セキュリティドメイン#2のシステムに対応した形式のクレデンシャル)を、クレデンシャルA(セキュリティドメイン#1のシステムに対応した形式のクレデンシャル)に対応付けてリポジトリサーバ装置200の記憶装置に予め格納しておく(ステップA1)。
クライアント装置100がサーバ装置300と連携するのであれば(ステップA2)、リポジトリサーバ装置200からクレデンシャルAをクレデンシャルとしてクレデンシャルB201を取得する(ステップA3)。クライアント装置100はクレデンシャルBをクレデンシャルとしてサーバ装置300に処理を依頼する(サーバ装置300を連携させる、ステップA4)。
クライアント装置100がサーバ装置300と連携しないのであれば(ステップA2)、セキュリティドメイン#1内のサーバアクセス要求があれば(ステップA5)、クレデンシャルAを用いてサーバ装置400等にアクセスする(ステップA6)。
以上の説明では連携依頼する装置をクライアント装置100としたが、セキュリティドメイン#1に属するサーバ装置であってもよい。
以上により、本発明の第1の実施の形態の動作が終了する。
本発明の第1の実施の形態によれば、リポジトリサーバを用いクレデンシャルコンバージョンを行い、異なるセキュリティドメインに属し、クレデンシャルの異なるシステム同士で連携を行うことができる。
次に本発明のクレデンシャルコンバージョンシステムの第2の実施の形態について説明する。本発明ではクレデンシャルを取得する手段として、リポジトリサーバを用いるが、リポジトリサーバとして一般的に知られているものにMyProxyサーバがある。
MyProxyでは、MyProxyサーバからのユーザProxy証明書取り出しの際、ユーザの認証のためにユーザ自身がユーザIDとパスワードを入力する必要がある。
しかし、本発明の第2の実施の形態のシステムでは、ユーザ自身がProxy証明書を取り出す場面は想定していない(UNICOREでは、ユーザの代わりにUNICOREサーバがMyProxyサーバにユーザProxy証明書を要求する)。
そこで、ユーザがユーザProxy証明書を取り出す代わりに、ある許可された特定のユーザが、MyProxyサーバから対象ユーザのユーザProxy証明書を取り出すための仕組みが必要となる。また、不正な要求に対して証明書を発行することのないよう、セキュリティについて十分に考慮することが必要となる。
図3は、本発明のクレデンシャルコンバージョンシステムの第2の実施の形態の全体構成を示したブロック図である。グリッドミドルウェアAクライアント装置30からグリッドミドルウェアBサーバ装置50に対してジョブの投入を行う際のSSO(Single−Sign−On)を可能にするためのシステムである。
本発明の第2の実施の形態のクレデンシャルコンバージョンシステムは、クライアント装置10とワンタイムパスワード生成装置60とグリッドミドルウェアAクライアント装置30とグリッドミドルウェアAサーバ装置40とグリッドミドルウェアBサーバ装置50とリポジトリサーバ装置20を含む。
クライアント装置10とワンタイムパスワード生成装置60とグリッドミドルウェアAクライアント装置30はLANやイントラネット等のネットワーク501で接続され、このネットワーク501とリポジトリサーバ装置20とグリッドミドルウェアAサーバ装置40とグリッドミドルウェアBサーバ装置50とはインターネット等のネットワーク502で接続されている。
クライアント装置10は、Proxy証明書11を作成し、またワンタイムパスワードを取得しこれをパスフレーズとして、Proxy証明書11をリポジトリサーバ装置20に格納するProxy証明書格納処理部12を有す。
ワンタイムパスワード生成装置60は、クライアント装置10から要求される都度、毎回ユニークなパスワードを生成し返信する。
グリッドミドルウェアAクライアント装置30は、ジョブ生成処理部31を有し、ジョブ32を生成する。グリッドミドルウェアAサーバ装置40は、Proxy証明書取得処理部41を有し、リポジトリサーバ装置20からProxy証明書11を取り出し、これをグリッドミドルウェアBサーバ装置50に渡す。
受け取ったProxy証明書11により、グリッドミドルウェアBサーバ装置50以降の装置で、使用する複数のグリッドリソースへのシングルサインオンを行う。
図3の各クライアント装置やサーバ装置は図示してないがそれぞれCPUやメインメモリを備え、プログラム制御で動作する情報処理装置であり、前記Proxy証明書格納処理部12、ジョブ生成処理部31、Proxy証明書取得処理部41は各装置をプログラム制御し実現されている。
また、グリッドミドルウェアAクライアント装置30はブラウザも搭載し、これを通じてネットワーク502上のグリッドミドルウェアAサーバ装置40にアクセスする。
次に、本発明の第2の実施の形態の動作について図4のフローチャートを参照し説明する。ここでグリッドミドルウェアAとしてUNICORE、グリッドミドルウェアBとしてGlobusToolkitを想定している。
クライアント装置10でCA(認証機関、図示せず)よりユーザ証明書を取得し(ステップB1)、これに対しgrid−proxy−initコマンドを実行することによりProxy証明書11を作成する(ステップB2)。
ワンタイムパスワード生成装置60にて生成したワンタイムパスワードを取得し(ステップB3)、ワンタイムパスワードをパスフレーズにしProxy証明書11をリポジトリサーバ装置20に格納する(ステップB4)。
グリッドミドルウェアAクライアント装置30のジョブ生成処理部31が、グリッドミドルウェアBに対応するジョブ32の中にワンタイムパスワードを組み込み、グリッドミドルウェアAサーバ装置40へ当該ジョブ32を投入する(ステップB5)。
グリッドミドルウェアAサーバ装置40のProxy証明書取得処理部41がジョブ32に記述されているワンタイムパスワードを元にリポジトリサーバ装置20からProxy証明書11を取得する(ステップB6)。Proxy証明書11を用いて、グリッドミドルウェアBサーバ装置50に対してジョブの投入を行う(ステップB7)。
以上の説明では、ワンタイムパスワード生成装置60がクライアント装置10に接続されている例を説明したが、クライアント装置がソフトウェアモジュールで、ワンタイムパスワードを生成するようにしてもよい。
以上により、本発明の第1の実施の形態の動作が終了する。
本発明の第2の実施の形態によれば、グリッドミドルウェアが異なり、クレデンシャル(利用する際の証明書)が異なる場合にも、ジョブ実行側のグリッドミドルウェアに対応したクレデンシャルをリポジトリサーバ装置20を使用してグリッドミドルウェアAサーバ装置40に渡すので、グリッドミドルウェアAクライアント装置30が、特に異質のProxy証明書11に対応することなく異なるグリッドミドルウェア間でジョブの実行およびファイル転送を行うことができる。
また、Proxy証明書11をクライアント装置10からグリッドミドルウェアAサーバ装置40に送付せずに実現しているため、RFC3820に違反することなくグリッドミドルウェアB(Globus)におけるSSOに対応できる。
さらに、ワンタイムパスワードをパスフレーズとしてProxy証明書11をリポジトリサーバ装置20に登録することにより、もしパスワードが盗まれることがあってもジョブを実行されるのは1回のみなので、従来のリポジトリサーバよりセキュリティを確保することができる。
即ち、リポジトリサーバ装置20からProxy証明書11を取り出すことが可能なのは1回のみのため、リポジトリサーバ装置20からProxy証明書11を盗むためにはユーザより先にリポジトリサーバ装置20へアクセスしなければならなくなり、Proxy証明書11が盗まれる可能性は非常に低くなる。
10 クライアント装置
11 Proxy証明書
12 Proxy証明書格納処理部
20 リポジトリサーバ装置
30 グリッドミドルウェアAクライアント装置
31 ジョブ生成処理部
32 ジョブ
40 グリッドミドルウェアAサーバ装置
41 Proxy証明書取得処理部
50 グリッドミドルウェアBサーバ装置
60 ワンタイムパスワード生成装置
100 クライアント装置
200 リポジトリサーバ装置
201 クレデンシャルB
300 サーバ装置
400 サーバ装置
501、502 ネットワーク
11 Proxy証明書
12 Proxy証明書格納処理部
20 リポジトリサーバ装置
30 グリッドミドルウェアAクライアント装置
31 ジョブ生成処理部
32 ジョブ
40 グリッドミドルウェアAサーバ装置
41 Proxy証明書取得処理部
50 グリッドミドルウェアBサーバ装置
60 ワンタイムパスワード生成装置
100 クライアント装置
200 リポジトリサーバ装置
201 クレデンシャルB
300 サーバ装置
400 サーバ装置
501、502 ネットワーク
Claims (9)
- リポジトリサーバ装置と、第1のセキュリティドメインに属するコンピュータと、第2のセキュリティドメインに属するサーバ装置とがネットワーク接続されたクレデンシャルコンバージョンシステムであって、
前記リポジトリサーバ装置は、前記第1のセキュリティドメインに係る第1のクレデンシャルと前記第2のセキュリティドメインに係る第2のクレデンシャルとを対応付けて予め格納し、
前記コンピュータは、自装置が属する前記第1のセキュリティドメインに係る前記第1のクレデンシャルに対応する、前記サーバ装置が属する前記第2のセキュリティドメインに係る前記第2のクレデンシャルを前記リポジトリサーバ装置から取得し、当該第2のクレデンシャルを用いて前記サーバ装置へアクセスすることを特徴とするクレデンシャルコンバージョンシステム。 - 第1のグリッドミドルウェアを搭載した第1のクライアント装置と、前記第1のグリッドミドルウェアに対応したサービスを提供する第1のサーバ装置と、第2のクライアント装置と、第2のグリッドミドルウェアに対応したサービスを提供する第2のサーバ装置と、リポジトリサーバ装置とがネットワーク接続されたクレデンシャルコンバージョンシステムであって、
前記第2のクライアント装置が、ユーザ証明書を取得し、当該ユーザ証明書に基づいてプロキシ証明書を作成し、ワンタイムパスワードをパスフレーズとして前記プロキシ証明書を前記リポジトリサーバ装置に格納し、前記ワンタイムパスワードを前記第1のクライアント装置に通知し、
前記第1のクライアント装置が、前記ワンタイムパスワードを組み込んだジョブを前記第1のサーバ装置に投入し、
前記第1のサーバ装置が、前記ワンタイムパスワードを用いて前記リポジトリサーバ装置から前記プロキシ証明書を取得し、当該プロキシ証明書を用いて前記第2のサーバ装置に前記ジョブを投入することを特徴とするクレデンシャルコンバージョンシステム。 - 前記第2のクライアント装置は、前記ワンタイムパスワードを発生する装置を備えたことを特徴とする請求項2記載のクレデンシャルコンバージョンシステム。
- 第1のセキュリティドメインに係る第1のクレデンシャルと第2のセキュリティドメインに係る第2のクレデンシャルとが予め対応付けて格納されているリポジトリサーバ装置から、自装置が属する第1のセキュリティドメインに係る第1のクレデンシャルに対応する第2のクレデンシャルを取得し、当該第2のクレデンシャルを用いて前記第2のセキュリティドメインに属するサーバ装置へアクセスすることを特徴とするコンピュータ。
- ワンタイムパスワードを組み込まれたジョブを受信し、自装置のグリッドミドルウェアとは異なる他のグリッドミドルウェアに対応したコンピュータによりワンタイムパスワードとプロキシ証明書とが対応付けて格納されたリポジトリサーバ装置から、前記受信したジョブに組み込まれた前記ワンタイムパスワードに対応する前記プロキシ証明書を取得し、当該プロキシ証明書を用いて前記他のグリッドミドルウェアに対応したコンピュータに前記ジョブを投入することを特徴とするコンピュータ。
- 第1のセキュリティドメインに係る第1のクレデンシャルと第2のセキュリティドメインに係る第2のクレデンシャルとが予め対応付けて格納されているリポジトリサーバ装置から、自装置が属する第1のセキュリティドメインに係る第1のクレデンシャルに対応する第2のクレデンシャルを取得し、当該第2のクレデンシャルを用いて前記第2のセキュリティドメインに属するサーバ装置へアクセスする処理をコンピュータに行わせることを特徴とするプログラム。
- ワンタイムパスワードを組み込まれたジョブを受信し、自装置のグリッドミドルウェアとは異なる他のグリッドミドルウェアに対応したコンピュータによりワンタイムパスワードとプロキシ証明書とが対応付けて格納されたリポジトリサーバ装置から、前記受信したジョブに組み込まれた前記ワンタイムパスワードに対応する前記プロキシ証明書を取得し、当該プロキシ証明書を用いて前記他のグリッドミドルウェアに対応したコンピュータに前記ジョブを投入する処理をコンピュータに行わせることを特徴とするプログラム。
- リポジトリサーバ装置が、第1のセキュリティドメインに係る第1のクレデンシャルと第2のセキュリティドメインに係る第2のクレデンシャルとを対応付けて予め格納し、
前記第1のセキュリティドメインに属するコンピュータが、自装置が属する前記第1のセキュリティドメインに係る前記第1のクレデンシャルに対応する前記第2のセキュリティドメインに係る前記第2のクレデンシャルを前記リポジトリサーバ装置から取得し、当該第2のクレデンシャルを用いて前記第2のセキュリティドメインに属するサーバ装置へアクセスすることを特徴とするクレデンシャルコンバージョン方法。 - 第2のクライアント装置が、ユーザ証明書を取得し、当該ユーザ証明書に基づいてプロキシ証明書を作成し、ワンタイムパスワードをパスフレーズとして前記プロキシ証明書を前記リポジトリサーバ装置に格納し、前記ワンタイムパスワードを第1のグリッドミドルウェアを搭載した第1のクライアント装置に通知し、
前記第1のクライアント装置が、前記ワンタイムパスワードを組み込んだジョブを、前記第1のグリッドミドルウェアに対応したサービスを提供する第1のサーバ装置に投入し、前記第1のサーバ装置が、前記ワンタイムパスワードを用いて前記リポジトリサーバ装置から前記プロキシ証明書を取得し、当該プロキシ証明書を用いて、第2のグリッドミドルウェアに対応したサービスを提供する第2のサーバ装置に前記ジョブを投入することを特徴とするクレデンシャルコンバージョン方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006250438A JP2008071226A (ja) | 2006-09-15 | 2006-09-15 | クレデンシャルコンバージョンシステムと方法、コンピュータ装置、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006250438A JP2008071226A (ja) | 2006-09-15 | 2006-09-15 | クレデンシャルコンバージョンシステムと方法、コンピュータ装置、及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008071226A true JP2008071226A (ja) | 2008-03-27 |
Family
ID=39292739
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006250438A Pending JP2008071226A (ja) | 2006-09-15 | 2006-09-15 | クレデンシャルコンバージョンシステムと方法、コンピュータ装置、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008071226A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009128278A1 (ja) * | 2008-04-17 | 2009-10-22 | 日本電気株式会社 | 要求側分散id管理装置、提供側分散id管理装置、分散id管理システムおよび提供側分散id管理方法 |
| WO2011016310A1 (en) * | 2009-08-04 | 2011-02-10 | Canon Kabushiki Kaisha | Information processing apparatus and method |
| JP2013041552A (ja) * | 2011-08-19 | 2013-02-28 | Canon Inc | 連携サーバおよびその制御方法、印刷システム、およびプログラム |
| JP2013509123A (ja) * | 2009-10-26 | 2013-03-07 | アルカテル−ルーセント | プライベートデジタルコンテンツにアクセスするためのシステムおよび方法 |
| JP2014511511A (ja) * | 2010-11-22 | 2014-05-15 | マイクロソフト コーポレーション | バックエンド制約委譲モデル |
| CN112054988A (zh) * | 2019-06-06 | 2020-12-08 | 富士通株式会社 | 存储介质、通信方法和通信装置 |
-
2006
- 2006-09-15 JP JP2006250438A patent/JP2008071226A/ja active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009128278A1 (ja) * | 2008-04-17 | 2009-10-22 | 日本電気株式会社 | 要求側分散id管理装置、提供側分散id管理装置、分散id管理システムおよび提供側分散id管理方法 |
| JP5365628B2 (ja) * | 2008-04-17 | 2013-12-11 | 日本電気株式会社 | 要求側分散id管理装置、提供側分散id管理装置、分散id管理システムおよび提供側分散id管理方法 |
| US8650275B2 (en) | 2008-04-17 | 2014-02-11 | Nec Corporation | Requester-side distributed ID management device, provider-side distributed ID management device, distributed ID management system, and provider-side distributed ID management method |
| WO2011016310A1 (en) * | 2009-08-04 | 2011-02-10 | Canon Kabushiki Kaisha | Information processing apparatus and method |
| US8191127B2 (en) | 2009-08-04 | 2012-05-29 | Canon Kabushiki Kaisha | Information processing apparatus and method |
| JP2013509123A (ja) * | 2009-10-26 | 2013-03-07 | アルカテル−ルーセント | プライベートデジタルコンテンツにアクセスするためのシステムおよび方法 |
| JP2014511511A (ja) * | 2010-11-22 | 2014-05-15 | マイクロソフト コーポレーション | バックエンド制約委譲モデル |
| JP2013041552A (ja) * | 2011-08-19 | 2013-02-28 | Canon Inc | 連携サーバおよびその制御方法、印刷システム、およびプログラム |
| CN112054988A (zh) * | 2019-06-06 | 2020-12-08 | 富士通株式会社 | 存储介质、通信方法和通信装置 |
| EP3748904A1 (en) | 2019-06-06 | 2020-12-09 | Fujitsu Limited | Communication program, communication method and communication device |
| CN112054988B (zh) * | 2019-06-06 | 2023-02-17 | 富士通株式会社 | 存储介质、通信方法和通信装置 |
| US11652645B2 (en) | 2019-06-06 | 2023-05-16 | Fujitsu Limited | Storage medium, communication method, and communication device |
| EP3748904B1 (en) * | 2019-06-06 | 2023-07-26 | Fujitsu Limited | Communication program, communication method and communication device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6682254B2 (ja) | 認証連携システム及び認証連携方法、認可サーバー及びプログラム | |
| US9386015B2 (en) | Security model for industrial devices | |
| JP6066647B2 (ja) | デバイス装置、その制御方法、およびそのプログラム | |
| US8347378B2 (en) | Authentication for computer system management | |
| EP2667318B1 (en) | Information processing apparatus, control method thereof, program, and image processing apparatus | |
| US8191127B2 (en) | Information processing apparatus and method | |
| US20140123236A1 (en) | Image forming apparatus, information processing method, and storage medium | |
| CN103748556A (zh) | 与虚拟受信任运行时bios通信 | |
| US9886222B2 (en) | Image forming apparatus that displays button for accessing server, method of controlling the same, and storage medium | |
| EP2310977B1 (en) | An apparatus for managing user authentication | |
| JP2013041552A (ja) | 連携サーバおよびその制御方法、印刷システム、およびプログラム | |
| JP2008009607A (ja) | 情報処理システムおよび制御プログラム | |
| JP2006252418A (ja) | 認証情報を用いたシングルサインオンの連携方法、そのシステム、仲介サーバ、動作方法及び動作プログラム | |
| JP2008071226A (ja) | クレデンシャルコンバージョンシステムと方法、コンピュータ装置、及びプログラム | |
| JP2014153805A (ja) | 情報処理システム、情報処理装置、認証方法及びプログラム | |
| Benedyczak et al. | Key aspects of the UNICORE 6 security model | |
| JP5626919B2 (ja) | ネットワークシステム、認証連携装置、認証連携方法、及びプログラム | |
| JP2007048241A (ja) | アクセス制御システム、アクセス制御方法およびアクセス制御プログラム | |
| EP2400716B1 (en) | Resource access proxy for efficient access to sensor resources | |
| JP2007257500A (ja) | 被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレット | |
| JP2008226148A (ja) | 認証システム、中継サーバ、認証方法、およびプログラム | |
| Oh et al. | Interoperable OAuth 2.0 Framework | |
| US20230171241A1 (en) | Security profile management for multi-cloud agent registration with multi-tenant, multi-cell service | |
| Ashley et al. | Applying authorization to intranets: architectures, issues and APIs | |
| JP2006260002A (ja) | シングルサインオンシステム、サーバ装置、シングルサインオン方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20080616 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20090511 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101207 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110405 |