JP2008520018A - キーを提供することなく要求者を認証するための方法およびシステム - Google Patents
キーを提供することなく要求者を認証するための方法およびシステム Download PDFInfo
- Publication number
- JP2008520018A JP2008520018A JP2007540643A JP2007540643A JP2008520018A JP 2008520018 A JP2008520018 A JP 2008520018A JP 2007540643 A JP2007540643 A JP 2007540643A JP 2007540643 A JP2007540643 A JP 2007540643A JP 2008520018 A JP2008520018 A JP 2008520018A
- Authority
- JP
- Japan
- Prior art keywords
- node
- client
- requesting entity
- client node
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Storage Device Security (AREA)
Abstract
通信環境中で要求エンティティを認証するための方法。代表的な実施形態において、この方法は、要求エンティティと関連付けられたクライアント・ノードのクライアント識別を決定するステップと、クライアント・ノードと関連付けられた要求エンティティがスーパーバイザ・キャパシティ中で動作しているかどうかを決定するステップとを含む。プロバイダ・ノードの1つ以上の資源にアクセスすることをクライアント・ノードが許可されていること、およびクライアント・ノードがスーパーバイザ・キャパシティ中で作動していることをクライアント・ノードのクライアント識別が示していることが決定されると、要求エンティティへのキーが資源プロバイダ・ノードから返される。
Description
本発明は、通信環境内の資源管理に関し、より具体的には、キーを提供することなく要求者を認証するための方法およびシステムに関する。
通信環境は、通信媒体を介して1つ以上のノードに結合された複数のクライアント・ノードを含む。そのような通信媒体の一例がインフィニバンド(Infiniband)(商標)であり、これは、InfiniBand Trade Association(5440 SW Westgate Drive,Suite 217,Portland,Oregon,97221)から、またはwww.Infiniband,orgにてオンラインで入手可能な「インフィニバンド・アーキテクチャ仕様Volume1」、リリース1.2(2004年10月)においてさらに詳細に記載される。InfiniBandは、InfiniBand Trade Associationの商標である。
InfiniBandトランスポートは、サブネットと呼ばれる一組の相互接続されたクライアントおよびサーバ・ノードが互いに通信できるようにする。InfiniBandトランスポートは、サブネットがパーティションと呼ばれる複数組のノードに論理的にさらに分割されるようにする分割方式も提供する。1つのパーティションは、1つ以上のクライアント・ノード、ならびに1つ以上のサーバ・ノードを含む。サーバ・ノードのようなノードは、複数のパーティションに含めることができる。1つのパーティションのメンバは、互いに通信するが、他のどのパーティションも知らない。
InfiniBand(商標)(IB)ファブリック内では、様々なクライアント・ノードにより共用され得る資源プロバイダ・ノードは、各クライアント・ノードが共用ノードにおけるすべての資源を使用できるようにされるように、ネットワーク管理者により区画される。従って、ノード(例えば、サーバ・ノード)が複数のパーティション中に含まれる場合に、そのノードのすべての資源は、そのノードを含むすべてのパーティションによりアクセス可能である。資源プロバイダ・ノードがクライアント・ノードから要求を受け取ると、資源プロバイダ・ノードは、要求が来たクライアント内のアプリケーションにかかわらず、クライアント・ノードが使用することを許可されているすべての資源へのアクセスを提供する。しかしながら、各アプリケーションが使用できる資源をクライアントの全資源のサブセットに限定する必要がある場合、このアクセス可能性は、(例えば、セキュリティの観点から)望ましくない。従って、ある特定のノード上の各アプリケーションが使用することを許されている資源を制限する能力についての必要性が存在する。
そのような能力の当初のバージョンにおいて、64ビットまたは任意長さの2進キーがプロバイダ・ノード(例えば、ストレージ・デバイス)において入力され、次にクライアント・ノード(例えば、ホスト・オペレーティング・システム)において再度入力される。しかしながら、この認証方法は、エラーを起こしやすいだけでなく、時間がかかることがある。従って、顧客が資源プロバイダ・ノードにおいて定義を実施できるようにし、(InfiniBandアーキテクチャにおいて一意のハードウェア値により識別される)クライアントが、クライアントからキー・プロバイダ・ノード自体への要求中にキー(またはパスワード)を提供することを必要とせずに、そのように認証された2進キーをキー・プロバイダ・ノードから得ることを可能にすることが望ましいで。これにより今度は、クライアントにおいてキーを再入力する必要がなくなるだけでなく、そのキーの不正確な入力に関連したどのようなエラーも回避されるであろう。
先行技術の上述の欠点および欠陥は、通信環境における要求エンティティを認証する方法により克服または軽減される。代表的な実施形態において、この方法は、要求エンティティと関連したクライアント・ノードのクライアント識別を決定するステップと、クライアント・ノードと関連した要求エンティティがスーパーバイザ・キャパシティ中で動作しているかどうかを決定するステップとを含む。要求エンティティへのキーは、プロバイダ・ノードの1つ以上の資源にアクセスすることをクライアント・ノードが許可されていること、およびクライアント・ノードがスーパーバイザ・キャパシティ中で動作していることをクライアント・ノードのクライアント識別が示していることが決定されると、プロバイダ・ノードから返される。
別の実施形態において、通信環境における要求エンティティを認証するためのシステムは、要求エンティティと関連したクライアント・ノードのクライアント識別を決定するための手段と、クライアント・ノードと関連した要求エンティティがスーパーバイザ・キャパシティ中で動作しているかどうかを決定するための手段とを含む。資源プロバイダ・ノードは、プロバイダ・ノードの1つ以上の資源にアクセスすることをクライアント・ノードが許可されていること、およびクライアント・ノードがスーパーバイザ・キャパシティ中で動作していることをクライアント・ノードのクライアント識別が示していると決定されると、要求エンティティへキーを返すように構成される。
さらに別の実施形態において、ストレージ媒体は、通信環境における要求エンティティを認証するための機械可読コンピュータ・プログラム・コードと、コンピュータに方法を実施させるための命令とを含む。この方法は、要求エンティティと関連したクライアント・ノードのクライアント識別を決定するステップと、クライアント・ノードと関連した要求エンティティがスーパーバイザ・キャパシティ中で動作しているかどうかを決定するステップとを含む。要求エンティティへのキーは、プロバイダ・ノードの1つ以上の資源にアクセスすることをクライアント・ノードが許可されていること、およびクライアント・ノードがスーパーバイザ・キャパシティ中で動作していることをクライアント・ノードのクライアント識別が示していることが決定されると、資源プロバイダ・ノードから返される。
本発明を、以下の図面に関連して単に例として説明する。
InfiniBandのような通信媒体内の資源へのアクセスを提供するキーのセットをクライアントが要求できる環境において要求者を認証するための方法およびシステムが本明細書において開示される。要求者を適切に認証し、要求されたキー情報を返すために、一定の条件が前もって満たされる。最初に、要求は、要求者がその物理ノード識別子を偽装(spoof)していないことを立証するように、あらかじめ決められたクライアント識別(ID)と関連付けられる。例えば、InfiniBandにおいて、クライアントIDは、ハードウェアのピースと一般に関連付けられるグローバル一意識別子(GUID:globally unique identifier)である。次に、要求が、そのノードにおいて動作しているスーパーバイザ状態コードから来たか否かがさらに決定される。もし要求者のノード・クライアントIDおよびスーパーバイザ状態条件双方が満たされれば、1つのキーまたはキーのセットがノードに返されて、これらのキーは、その後の呼において使用することができ、その結果、この検証シーケンスは、それらの将来の呼について必要とされない。
簡潔に述べると、本明細書中で提示される実施形態は、要求がそこから送られ、キーがそこへ返され得る物理ノードを決定するための方法を説明する。代表的な実施形態において、この方法は、資源プロバイダ・ノードに要求する各クライアント・ノードにサービス、資源または私的データの異なるセットを提供する能力を有する資源プロバイダ・ノードに適用し得る。この方法は、偽装される可能性なしで、リモート・ノードのソース・ローカルID(SLID)を含むパケットを送るリモート・ノードの識別を決定することが必要などのような状況においても使用され得る。
さらに、私的情報についての要求の発信者としてスーパーバイザを認証するために非常により単純な認証機構が提供される。そうすることにより、証明書交換機構の複雑さおよび計算オーバーヘッドがなくなる。InfiniBand(商標)ネットワークにおいて実施される場合、この方法により、クライアント・ノードが資源プロバイダ・ノード内の資源にアクセスするために必要なキーのセットを決定するためにネットワーク管理者に手動で問い合わせる必要がなくなる。これらのキーは、構成の間に要求ノードおよび資源プロバイダ双方に提供され、1つのキーが、資源プロバイダへの要求パケット内に含まれる。資源プロバイダは、クライアント・ノードを一意的に識別し、それによって、要求クライアントが使用を許可されている資源を識別するために、クライアントの要求中に提供されるキーを用いる。キーの代表的なサイズは128ビットであるが、このサイズは、推測できないようにするために、必要に応じて長くまたは短くし得る。従って、本明細書中で説明される本発明の実施形態は、時間がかかりエラーを起こしやすい、恣意的に長い2進キー、または他のタイプのパスワードを用いて交換の両端を構成することを必要とせずに私的データを要求者に安全に渡す方法を提供する。
要求者のクライアントIDの決定
最初に図1を参照すると、本発明の実施形態による使用に適した代表的な通信環境100(例えば、サブネット)の概略ブロック図が示される。
最初に図1を参照すると、本発明の実施形態による使用に適した代表的な通信環境100(例えば、サブネット)の概略ブロック図が示される。
本明細書中で説明する方法は、パケット(要求)がそこから受信されるクライアント・ノードの識別を必要とするどのような状況においても用いることができる。
そのような枠組みにおいて、要求は、要求者のSLIDおよび要求を記述するペイロードを有するヘッダを含む。SLIDは信頼できるハードウェアにより生成されるが、これは一時的識別子にすぎない。要求がそこから来た実際のノードを決定するために、資源プロバイダは最初に、要求者のグローバル一意識別子(GUID)と呼ばれる要求者の物理ノードと関連付けられた永久識別子を決定する。要求を受信しその要求に応答する前に、IBサービスまたは資源プロバイダは、新しい要求をサブネット管理者(SA)に送ることにより要求ノードのGUIDを決定する。SAは、物理ノードへのSLIDのすべての割り当てを知っているので、SAは、どのような任意のSLIDにも対応するGUIDのセットで応答する。
クライアント・ノードのSLIDを含む要求は、要求中で送られたSLIDに対応するGUIDを返すことをSAに要求する。この要求に応答して、SAは、SLIDが現在割り当てられているノードのGUID(または複数のGUID)を返す。SAから応答を受信し、かくして要求者のGUIDを決定した後、資源プロバイダは、要求クライアントが資源にアクセスすることを許可されているか否かを決定することができる。もし資源が、SAから返されたGUIDにより識別されたノードにより使用されることが許可されていれば、サーバ・ノードは、要求ノードによる資源の使用を可能にする。
図1に示されるように、代表的な構成は、サブネット管理者(SA)102、ネットワーク管理者104、個々のクライアント・ノード106(クライアント物理ノードA〜Eと表示)、および共用資源プロバイダ・ノード108を含む。すべてのノードは、IBサブネット110により相互接続される。1つの考え得る実施において、ネットワーク管理者104は、各クライアント・ノードのGUIDを含むテーブル112、ならびにノードによるアクセスが許可されている対応する資源114を有する資源プロバイダ108を構成する。図示される例において、ノードAおよびCは、(資源のグループ114からの)単一の資源にアクセスすることが許されており、ノードBおよびDは、この資源のうちの2つにアクセスすることが許されているのに対し、ノードEは、各資源をGUIDに関連付けることにより3つの資源にアクセスすることが許されている。
通信環境100の初期構成の後、クライアント・ノード(例えば、クライアント物理ノードA)は、要求116を送り、その中で要求パケット・ヘッダは、要求者のSLIDを含んでいる。要求116を受信し応答する前に、資源プロバイダ108は、要求者のSLIDを含むSA102に問い合わせ118を送ることにより要求者のGUIDを決定する。そして次に、SA102は、応答120を、要求者のSLIDに関連付けられたGUIDと共に送る。
代わりに、資源プロバイダ108は、クライアントSLIDおよび資源プロバイダが以前決定したそれらの対応するGUIDのテーブル121を構成および維持こともできるであろう。言い換えれば、要求パケットからSLIDに対応するGUIDを決定するために資源プロバイダ108がSA102に問い合わせる時たびに、資源プロバイダは、この情報をSLIDからGUIDへのマッピングのテーブルに付加する。既知のSLIDを有するその後の要求を受信すると、資源プロバイダ108は、そのローカル・テーブル121から対応するGUIDを決定し、こうしてSAに問い合わせる必要がなくなる。しかしながら、この場合、資源プロバイダ108は、そのクライアントのいずれかのSLIDにおけるどのような変化も認識する能力を必要とするであろうことが理解されるべきである。この能力を保証することが常に可能なわけではないので、変化能力が保証できない限り、SLIDからGUIDへの情報を維持するための資源プロバイダ108の使用は、好ましくは実施されない。
要求116がクライアント・ノード106(以下で論じられる)のスーパーバイザにより送られたことをさらに決定した後、資源プロバイダ108は、要求者が使用することを許可されている資源/私的データを決定し、そのような資源/私的データを応答122を介して返す。
要求者がスーパーバイザであることを保証
要求エンティティの物理クライアントIDを決定することに加え、一定のクライアント・ノードにおける要求者が、例えば、クライアント・ノードにおいて動作しているアプリケーションとは対称的に、実際にスーパーバイザであるかどうかを決定する特定のタスクが依然としてある。提示されるInfiniBand通信ネットワークの例において、エンド・ノードがIBファブリック内で互いに通信する機構がある。IBアーキテクチャによれば、ノードは、通信確立の間にQ_キーを交換する。リモート・キュー・ペアにノードが提供したものと異なるQ_キーを有するパケットの受信は、パケットが有効ではなく、従って拒否されることを意味する。
要求エンティティの物理クライアントIDを決定することに加え、一定のクライアント・ノードにおける要求者が、例えば、クライアント・ノードにおいて動作しているアプリケーションとは対称的に、実際にスーパーバイザであるかどうかを決定する特定のタスクが依然としてある。提示されるInfiniBand通信ネットワークの例において、エンド・ノードがIBファブリック内で互いに通信する機構がある。IBアーキテクチャによれば、ノードは、通信確立の間にQ_キーを交換する。リモート・キュー・ペアにノードが提供したものと異なるQ_キーを有するパケットの受信は、パケットが有効ではなく、従って拒否されることを意味する。
IBアーキテクチャにおいて、Q_キーの2つの一般タイプ、すなわち特権(privileged)および非特権(non−privileged)がある。IBアーキテクチャによれば、最も重要なビット・セットを有するQ_キーは、その使用がオペレーティング・システムにより制御される特権Q_キーである。特権および非特権Q_キーの間の主要な相違は、非特権Q_キーが、いくつかの方法によりユーザモード・プログラムによってメッセージに添付され得ることである。しかしながら、InfiniBandアーキテクチャは、特権状態(すなわち、スーパーバイザ)において動作しているコードのみが、非特権Q_キーがメッセージに添付され得るようにできることを要求とする。これは、Q_キーをキュー・ペアに関連付ける操作を、そのように関連付けられたQ_キーが特権Q_キーである場合そしてその場合にのみ、特権操作とすることにより実施される。ひとたびその関連付けがなされると、キュー・ペアから送られたどのようなメッセージも、(非特権Q_キーを有する特定のメッセージについて無効にされない限り)そのQ_キーが添付される。特権Q_キーをメッセージに添付する他の方法は皆無であり、従って、もしメッセージが特権Q_キーを含んでいれば、(a)スーパーバイザがそのメッセージを送ったこと、あるいは(b)スーパーバイザは、キュー・ペアのQ_キーを特権Q_キーに設定することにより、そのメッセージが送られることを許可し、次にユーザモード・コードがそのキュー・ペアを使用することを許可したこと、のどちらか一方が保証される。
加えて、予約済み特権_キー(Well−Known Privileged_Key)(WKPQ_キー)と呼ばれる単一の予約済みQ_キーがある。IBマネージャ、エージェントおよびサービスは現在、IB仕様書中に述べられるWKPQ_キー値を含む接続要求を送ることにより接続を確立する。しかしながら、WKPQ_キーの使用は、スーパーバイザに限定されない。なぜならば、スーパーバイザかアプリケーション状態のいずれか一方において動作しているIBマネージャ、エージェントおよびサービスも、WKPQ_キーの使用を許可され得るからである。これらは、上記で論じたように、キュー・ペアのQ_キーを特権値に設定し、次いでそのキュー・ペアの使用をユーザ・モード・コードに許可するスーパーバイザの例である。その結果、現在のWKPQ_キーを含む接続要求は、その接続要求がスーパーバイザから来たことを認証するのに不十分である。
従って、この識別問題に対処するため、新しい特権Q_キーが定義され、本明細書中ではスーパーバイザ・オンリー特権Q_キー(Supervisor−Only Privileged Q_Key)(SOPQ_キー)と呼ばれる。接続要求におけるこのSOPQ_キー値の使用は、スーパーバイザまたはスーパーバイザが信頼するエージェントによってのみ許可され、従って、SOPQ_キーを用いる接続確立は、要求を送ったノードのスーパーバイザにより接続がなされていることを肯定的に示す。これにより、それに応じて、接続要求の受信機は、接続要求がSOPQ_キー値を含んでいることを検証することにより要求がスーパーバイザから来たことを決定することができる。要求がSOPQ_キー値を含んでいなければ、接続要求受信者は接続を拒否し、その結果、どのような私的情報の提供も拒否する。
要求ノード上のスーパーバイザがスーパーバイザ自身およびスーパーバイザが信頼するエージェントへのSOPQ_キーを用いるキュー・ペアの使用を制限するので、スーパーバイザと同じノード上にあるクライアント・アプリケーションは、SOPQ_キーを含む接続要求を送ることができない。スーパーバイザは、この使用をそのように制限できる。なぜならば、SOPQ_キーは特権Q_キーであり、従って、上記で説明されたように、スーパーバイザのみがSOPQ_キーをキュー・ペアと関連付けることができるからである。このプロセスは、SOPQ_キーを含む接続要求を受信するノードが、その要求が実際にスーパーバイザから来たこと、および特権資源についての要求が接続上で受け入れられ得ることを確信できるようにする。
上述のノード・クライアントIDおよびスーパーバイザ検証プロトコルを実施するための1つの実際的な使用は、スーパーバイザおよび資源キーのような私的情報の配布にある。スーパーバイザまたは資源キーは、推測できないようにするために十分恣意的に長い数列である。複数のノードにより共用され得るIBファブリック上の各資源は、1つ以上の資源キーのセットと関連付けることができ、各資源キーは、ある特定のノードがアクセスまたは消費することを許可された資源に対応する。共用資源を使用するために、各ノードのスーパーバイザは、プロバイダ・ノード中の資源のその部分へのアクセスを得るために、資源キーを取得しなければならない。資源キーを配布するために、要求時に資源キーを適切なスーパーバイザに配布するためのキー・サービスが提供される。従って、キー・サービスへの要求がスーパーバイザから来たことを検証するため、もし要求がSOPQ_キーを含んでいれば、キー・サービスはその要求を受け入れる。このプロセスは、スーパーバイザまたはスーパーバイザが信頼するエージェントを除くすべてのアプリケーションがキー・サービスから資源キーを得ることを防止する。キー・サービスは、資源プロバイダと同じノード上にあってもなくてもよい。
図2は、図1の通信環境100についてのSOPQ_キーの実施を例示する。特に、図2は、クライアント・ノードAからの4つの接続要求、すなわち、SOPQ_キーを含むそのスーパーバイザからの接続要求、WKPQ_キーを含む特権クライアントからの接続要求、および非特権Q_キーを含む非特権クライアントからの2つの接続要求を示している。これらの要求を受信すると、資源プロバイダ・ノード108は、ブロック202に示されるように、各要求中に含まれるQ_キーを検査する。もし要求がSOPQ_キーを含んでいなければ、その要求は、ブロック204に示されるように、資源プロバイダ・ノード108により拒否される。しかしながら、もし要求がSOPQ_キーを含んでいれば、その供給は受け入れられ、資源プロバイダ・ノード108は、ブロック206に示されるように、(キーのような)私的データがクライアント・ノード106に返される接続が行われるようにする。
このように構成され、資源プロバイダ・ノード108は、要求がクライアント・ノードのスーパーバイザから来た場合にのみ接続を許可し、それによって、私的データが、スーパーバイザではないどのプロセスにも配布されないことを保証する。SOPQ_キーの使用をスーパーバイザにより許可されたどのプロセスもスーパーバイザの一部と見なされることが留意される。従って、SOPQ_キーを定義し、これがスーパーバイザによってのみ使用されることを許可することにより、時間がかかるスーパーバイザ認証プロセス(例えば、証明書データの交換)の必要がなくなり、それによって、システム性能が改善され、複雑さおよびコストが低減される。
その後の呼へのキーの提供
ここで図3を参照すると、代表的な通信環境100の別の概略ブロック図が示され、そこでは、各クライアント・ノード106のGUIDおよびキー・マッピングを含むテーブル、ならびに、図1に示されたように、使用が認証された対応する資源114を含むテーブルを有する資源プロバイダ・ノード108をネットワーク管理者が構成しているのが示される。ネットワーク管理者104または何か他の信頼できるエンティティは、やはりテーブル302中に示されるような各クライアントにキーを関連付ける。資源プロバイダ・ノード108は、以下で説明されるように、様々なクライアントから要求を受信すると正常操作の間テーブル302および112を使用する。
ここで図3を参照すると、代表的な通信環境100の別の概略ブロック図が示され、そこでは、各クライアント・ノード106のGUIDおよびキー・マッピングを含むテーブル、ならびに、図1に示されたように、使用が認証された対応する資源114を含むテーブルを有する資源プロバイダ・ノード108をネットワーク管理者が構成しているのが示される。ネットワーク管理者104または何か他の信頼できるエンティティは、やはりテーブル302中に示されるような各クライアントにキーを関連付ける。資源プロバイダ・ノード108は、以下で説明されるように、様々なクライアントから要求を受信すると正常操作の間テーブル302および112を使用する。
正常動作の間、各クライアント・ノード106は、資源プロバイダ・ノード108へのすべての接続要求中にその対応するキーを含ませる。資源プロバイダ・ノード108が要求を受信する場合、資源プロバイダ・ノード108は、要求中で受信されたキーに対応する資源を識別するために、テーブル302および112(構成ステップの間に形成される)を検査することにより、クライアント・ノード106が使用を許可されている資源を決定する。例えば、クライアント・ノードBが要求304を送ると、要求304は、クライアント・ノードBのキーを含み、これは、表302中で「キーB」として表される。
この要求を受信すると、資源プロバイダ・ノード108は、クライアント・ノードBのGUIDを決定するためにテーブル302を用い、GUID Bを有するクライアント・ノードと関連付けられた許可された資源を決定するためにテーブル112をさらに用いる。次に接続応答306が資源プロバイダ・ノード108からクライアント・ノードBに送られる。この手続は、上記で説明されたように、いつも資源プロバイダ108への接続が行われるたびにクライアント・ノードBが使用を許可される資源を決定するために、資源プロバイダ・ノード108がSA102にアクセスする必要がなくなる。各SAアクセスは、SA上でのルックアップ操作、従ってSAに問い合わせる多くの資源プロバイダによって増倍される伝送遅延を必要とし、このこともSAの利用を低減するので、SA102にアクセスする必要がなくなることにより性能が大きく改善され、それによって、SAが他のトランザクションをより効率的に処理することが可能になる。
クライアントから資源プロバイダに発信するそのような要求は、ただ単に資源の使用についての独立した要求であったり、あるいは、クライアント・ノードと資源プロバイダ・ノードとの間の接続要求および応答でもあり得る。クライアント・ノードと資源プロバイダ・ノードとの間に接続が形成されれば、クライアントは、資源キーをその後の各要求に渡す必要なしに、接続期間中、接続要求に含まれる資源キーに対応するすべての資源を使うことを許可される。
本発明の実施形態のさらなる付加的な側面は、資源キーの更新を伴う。もし資源キーが、資源プロバイダ・ノードに転送された後に更新される必要があれば、信頼できる管理者104は、GUIDおよびそれらの対応するキーのリストを資源プロバイダ・ノード108に送り得る。しかしながら、各GUIDに関連付けられた資源のリストは、再送される必要はない。図3に関して、そのような操作は、テーブル112に影響を及ぼすことなく資源プロバイダ中のテーブル302を更新することによって実施されるであろう。
本発明の上述の代表的な実施形態は、要求クライアント・ノードのGUIDを含むテーブル302および112を使用するが、GUIDの使用は必要とされないことが認識されるべきである。例えば、別の実施形態は、GUIDの使用を除去し、キーを許可された資源リストまたは他のパラメータと単純に直接的に関連付け、こうしてテーブル302および112を単一のテーブルに効果的に併合する。そのような別法は、管理者が、GUIDに基づいてではなく、グローバル一意ソフトウェア識別子のような別の識別子に基づいて資源を割り当てる状況において応用できるであろう。
最後に、図4は、上述の要求認証方式を実施し得る代表的なコンピュータ・システム400の実施形態のブロック図である。図4に例示されるコンピュータ・システム400は、広い範囲のコンピュータ・システムを表することを意図するものであり、従って、別のコンピュータ・システムは、もっと多くの構成要素、もっと少ない構成要素、または異なる構成要素、あるいはそれらの組み合わせを含み得る。
図4に示されるように、コンピュータ・システム400は、情報を伝達するためのバス402または他の通信デバイス、ならびに情報を処理するためにバス402に結合されたプロセッサ404を含んでいる。コンピュータ・システム400は、単一プロセッサにより例示されているが、複数プロセッサおよびコプロセッサあるいはその両方も含み得る。
ランダム・アクセス・メモリ(RAM)または他のタイプの動的ストレージ・デバイス406(図4において主メモリとして描かれる)は、プロセッサ404により実行される情報および命令を格納するためにバス402に結合されている。主メモリ406は、プロセッサ404による命令の実行の間、一時的変数または他の中間情報を格納するために使用することもできる。静的情報およびプロセッサ404により実行される他の命令を格納するためにリード・オンリー・メモリ(ROM)および他の静的データ・ストレージ・デバイスあるいはその両方408もバス402に結合されているのが示される一方で、情報および命令を格納するためにデータ・ストレージ・デバイス410(例えば、磁気ディスクまたは光ディスクおよび対応するドライブ)がバス402に結合されている。
コンピュータ・システム400は、コンピュータ・ユーザに情報を表示するために、バス402を介して陰極線管(CRT)または液晶ディスプレイ(LCD)のような表示デバイス412にも結合され得る。ユーザが情報およびコマンド選択をプロセッサ404に伝達できるようにするために、英数字およびその他のキーを含む英数字入力デバイス414をバス402に結合することができる。コンピュータ・システム400と関連付け得る別のタイプのユーザ入力デバイスは、表示デバイス412上でカーソルの動きを制御するためだけでなく方向情報および命令選択をプロセッサ404に伝達するためのマウス、トラックボール、またはカーソル方向キーのようなカーソル制御デバイス416である。加えて、ローカル・エリア・ネットワークのようなネットワークへのアクセスを提供するために、ネットワーク・インタフェース418が使用できる。
従って、上記を考慮して、本発明の方法およびシステムの実施形態は、コンピュータまたはコントローラ実行プロセスおよびそれらのプロセスを実行するための装置という形をとり得る。本開示は、フレキシブル・ディスケット、CD−ROM、ハードドライブ、または他のいずれかのコンピュータ可読ストレージ媒体のような有形媒体中に組み入れられた命令を含むコンピュータ・プログラム・コードの形態で具現化することもでき、その場合、コンピュータ・プログラム・コードがコンピュータまたはコントローラにロードまたはこれらにより実行される際に、コンピュータが、本発明の実施形態を実施するための装置になる。本開示は、例えば、ストレージ媒体中に格納されようが、コンピュータまたはコントローラへロードまたはこれらにより実行あるいはその両方がなされようが、電線またはケーブル上での、光ファイバを通しての、または電磁放射を介しての伝送のような何らかの伝送媒体上で伝送されようが、コンピュータ・プログラム・コードまたは信号の形態で具現化することもでき、その場合、コンピュータ・プログラム・コードがコンピュータにロードされて実行される際に、そのコンピュータは、本発明を実施するための装置になる。汎用マイクロプロセッサ上で実施される場合、コンピュータ・プログラム・コード・セグメントは、特定の論理回路を作り出すようにマイクロプロセッサを構成する。
Claims (20)
- 通信環境中で要求エンティティを認証する方法であって、
前記要求エンティティと関連付けられたクライアント・ノードのクライアント識別を決定するステップと、
前記クライアント・ノードと関連付けられた前記要求エンティティがスーパーバイザ・キャパシティ中で動作しているかどうかを決定するステップと、
プロバイダ・ノードの1つ以上の資源にアクセスすることを前記クライアント・ノードが許可されていること、および前記クライアント・ノードがスーパーバイザ・キャパシティ中で動作していることを前記クライアント・ノードの前記クライアント識別が示していることが決定されると、資源プロバイダ・ノードから前記要求エンティティへキーを返すステップとを含む、
方法。 - 前記要求エンティティと関連付けられたクライアント・ノードのクライアント識別を決定する前記ステップは、
前記要求エンティティからソース識別子を受信するステップと、
前記ソース識別子を、前記クライアント・ノードの1つ以上の永久識別子と関連付けるステップとをさらに含む、
請求項1に記載の方法。 - 前記ソース識別子がソース論理識別子(SLID)であり、
前記1つ以上の永久識別子が前記クライアント・ノードの1つ以上のグローバル一意識別子(GUID)である、
請求項2に記載の方法。 - 前記SLIDを、前記クライアント・ノードの1つ以上のグローバル一意識別子(GUID)と関連付ける前記ステップは、
前記SLIDをサブネット管理者に転送するステップと、
前記サブネット管理者から、前記SLIDに対応する前記1つ以上のGUIDを受信するステップとをさらに含む、
請求項3に記載の方法。 - 前記資源プロバイダ・ノード内に第1のテーブルを維持するステップをさらに含み、前記第1のテーブルは、複数の既知のGUIDの各々についてアクセス可能な資源を関連付ける、請求項4に記載の方法。
- 前記資源プロバイダ・ノード内に第2のテーブルを維持するステップをさらに含み、前記第2のテーブルは、GUIDをSLIDと関連付ける、請求項5に記載の方法。
- 前記資源プロバイダ・ノード内に第3のテーブルを維持するステップをさらに含み、前記第3のテーブルは、知られている各GUIDについてキーの前記資源プロバイダ・ノードへの関連付けを含む、請求項6に記載の方法。
- 前記クライアント・ノードと関連付けられた前記要求エンティティがスーパーバイザ・キャパシティ中で動作しているかどうかを決定する前記ステップは、
通信環境中の各クライアント・ノードについてスーパーバイザ・オンリー特権キーを定義するステップと、
前記要求エンティティから受信された接続要求が、前記要求エンティティの前記クライアント・ノードに対応するスーパーバイザ・オンリー特権キーを含むかどうかを決定するステップとをさらに含む、
請求項1に記載の方法。 - 通信環境中で要求エンティティを認証するためのシステムであって、
前記要求エンティティと関連付けられたクライアント・ノードのクライアント識別を決定するための手段と、
前記クライアント・ノードと関連付けられた前記要求エンティティがスーパーバイザ・キャパシティ中で動作しているかどうかを決定するための手段と、
プロバイダ・ノードの1つ以上の資源にアクセスすることを前記クライアント・ノードが許可されていること、および前記クライアント・ノードがスーパーバイザ・キャパシティ中で動作していることを前記クライアント・ノードの前記クライアント識別が示していることが決定されると、前記要求エンティティへキーを返すように構成された資源プロバイダ・ノードとを含む、
システム。 - 前記要求エンティティと関連付けられたクライアント識別を決定するための手段は、
前記要求エンティティからソース識別子を受信するステップと、
前記ソース識別子を、前記クライアント・ノードの1つ以上の永久識別子と関連付けるステップとをさらに含む、
請求項9に記載のシステム。 - 前記ソース識別子がソース論理識別子(SLID)であり、
前記1つ以上の永久識別子が前記クライアント・ノードの1つ以上のグローバル一意識別子(GUID)である、
請求項10に記載のシステム。 - 前記SLIDを、前記クライアント・ノードの1つ以上のグローバル一意識別子(GUID)と関連付ける前記ステップは、
前記SLIDをサブネット管理者に転送するステップと、
前記サブネット管理者から、前記SLIDに対応する前記1つ以上のGUIDを受信するステップとをさらに含む、
請求項11に記載のシステム。 - 前記資源プロバイダ・ノード内に維持された第1のテーブルをさらに含み、前記第1のテーブルは、複数の既知のGUIDの各々についてアクセス可能な資源を関連付ける、請求項12に記載のシステム。
- 前記資源プロバイダ・ノード内に維持された第2のテーブルをさらに含み、前記第2のテーブルは、GUIDをSLIDと関連付ける、請求項13に記載のシステム。
- 前記資源プロバイダ・ノード内に第3のテーブルをさらに含み、前記第3のテーブルは、知られている各GUIDについてキーの前記資源プロバイダ・ノードへの関連付けを含む、請求項14に記載のシステム。
- 前記クライアント・ノードと関連付けられた前記要求エンティティがスーパーバイザ・キャパシティ中で動作しているかどうかを決定するための前記手段は、
通信環境中の各クライアント・ノードについてスーパーバイザ・オンリー特権キーを定義するステップと、
前記要求エンティティから受信された接続要求が、前記要求エンティティの前記クライアント・ノードに対応するスーパーバイザ・オンリー特権キーを含むかどうかを決定するステップとをさらに含む、
請求項9に記載のシステム。 - ストレージ媒体であって、
通信環境中で要求エンティティを認証するための機械可読コンピュータ・プログラム・コードと、
コンピュータに方法を実施させるための命令とを含み、前記方法は、
前記要求エンティティと関連付けられたクライアント・ノードのクライアント識別を決定するステップと、
前記クライアント・ノードと関連付けられた前記要求エンティティがスーパーバイザ・キャパシティ中で動作しているかどうかを決定するステップと、
プロバイダ・ノードの1つ以上の資源にアクセスすることを前記クライアント・ノードが許可されていること、および前記クライアント・ノードがスーパーバイザ・キャパシティ中で動作していることを前記クライアント・ノードの前記クライアント識別が示していることが決定されると、プロバイダ・ノードから前記要求エンティティへキーを返すステップとを含む、
ストレージ媒体。 - 前記要求エンティティと関連付けられたクライアント・ノードのクライアント識別を決定する前記ステップは、
前記要求エンティティからソース論理識別子(SLID)を受信するステップと、
前記SLIDを、前記クライアント・ノードの1つ以上のグローバル一意識別子(GUID)と関連付けるステップとをさらに含む、
請求項17に記載のストレージ媒体。 - 前記SLIDを、前記クライアント・ノードの1つ以上のグローバル一意識別子(GUID)と関連付ける前記ステップは、
前記SLIDをサブネット管理者に転送するステップと、
前記サブネット管理者から、前記SLIDに対応する前記1つ以上のGUIDを受信するステップとをさらに含む、
請求項18に記載のストレージ媒体。 - 前記クライアント・ノードと関連付けられた前記要求エンティティがスーパーバイザ・キャパシティ中で動作しているかどうかを決定するための前記ステップは、
通信環境中の各クライアント・ノードについてスーパーバイザ・オンリー特権キーを定義するステップと、
前記要求エンティティから受信された接続要求が、前記要求エンティティの前記クライアント・ノードに対応するスーパーバイザ・オンリー特権キーを含むかどうかを決定するステップとをさらに含む、
請求項17に記載のストレージ媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/987,280 | 2004-11-12 | ||
| US10/987,280 US7437447B2 (en) | 2004-11-12 | 2004-11-12 | Method and system for authenticating a requestor without providing a key |
| PCT/EP2005/055863 WO2006051083A1 (en) | 2004-11-12 | 2005-11-09 | Method and system for authenticating a requester without providing a key |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2008520018A true JP2008520018A (ja) | 2008-06-12 |
| JP2008520018A5 JP2008520018A5 (ja) | 2008-09-25 |
| JP4822224B2 JP4822224B2 (ja) | 2011-11-24 |
Family
ID=35614672
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007540643A Expired - Fee Related JP4822224B2 (ja) | 2004-11-12 | 2005-11-09 | キーを提供することなく要求者を認証するための方法およびシステム |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US7437447B2 (ja) |
| EP (1) | EP1825343B1 (ja) |
| JP (1) | JP4822224B2 (ja) |
| CN (1) | CN100547516C (ja) |
| TW (1) | TWI393400B (ja) |
| WO (1) | WO2006051083A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014529272A (ja) * | 2011-09-29 | 2014-10-30 | アマゾン テクノロジーズ インコーポレイテッド | サポートシステムにおけるセキュア通信の実行 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9088551B2 (en) * | 2005-06-29 | 2015-07-21 | International Business Machines Corporation | Method and system for easily and securely managing multiple keys used to have access to multiple computing resources |
| GB2434947B (en) * | 2006-02-02 | 2011-01-26 | Identum Ltd | Electronic data communication system |
| US7913077B2 (en) * | 2007-02-13 | 2011-03-22 | International Business Machines Corporation | Preventing IP spoofing and facilitating parsing of private data areas in system area network connection requests |
| US9055511B2 (en) * | 2007-10-08 | 2015-06-09 | Qualcomm Incorporated | Provisioning communication nodes |
| US9775096B2 (en) * | 2007-10-08 | 2017-09-26 | Qualcomm Incorporated | Access terminal configuration and access control |
| US9167505B2 (en) * | 2007-10-08 | 2015-10-20 | Qualcomm Incorporated | Access management for wireless communication |
| AU2012247065B2 (en) * | 2007-10-08 | 2015-04-16 | Qualcomm Incorporated | Access management for wireless communication |
| US8321503B2 (en) * | 2010-06-24 | 2012-11-27 | Microsoft Corporation | Context-specific network resource addressing model for distributed services |
| EP2617157B1 (en) | 2010-09-17 | 2018-07-18 | Oracle International Corporation | Performing partial subnet initialization in a middleware machine environment |
| US9935848B2 (en) | 2011-06-03 | 2018-04-03 | Oracle International Corporation | System and method for supporting subnet manager (SM) level robust handling of unkown management key in an infiniband (IB) network |
| US8743890B2 (en) | 2011-06-03 | 2014-06-03 | Oracle International Corporation | System and method for supporting sub-subnet in an infiniband (IB) network |
| WO2013170205A1 (en) | 2012-05-10 | 2013-11-14 | Oracle International Corporation | System and method for supporting state synchronization in a network environment |
| US9262155B2 (en) | 2012-06-04 | 2016-02-16 | Oracle International Corporation | System and method for supporting in-band/side-band firmware upgrade of input/output (I/O) devices in a middleware machine environment |
| US9401963B2 (en) | 2012-06-04 | 2016-07-26 | Oracle International Corporation | System and method for supporting reliable connection (RC) based subnet administrator (SA) access in an engineered system for middleware and application execution |
| US9723008B2 (en) | 2014-09-09 | 2017-08-01 | Oracle International Corporation | System and method for providing an integrated firewall for secure network communication in a multi-tenant environment |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5557678A (en) * | 1994-07-18 | 1996-09-17 | Bell Atlantic Network Services, Inc. | System and method for centralized session key distribution, privacy enhanced messaging and information distribution using a split private key public cryptosystem |
| JP3937475B2 (ja) * | 1996-06-14 | 2007-06-27 | キヤノン株式会社 | アクセス制御システムおよびその方法 |
| GB2319102B (en) * | 1998-01-30 | 1998-12-23 | Ibm | A security system for a transaction processing system |
| US6457129B2 (en) | 1998-03-31 | 2002-09-24 | Intel Corporation | Geographic location receiver based computer system security |
| JP2000165373A (ja) * | 1998-11-25 | 2000-06-16 | Toshiba Corp | 暗号装置、暗号通信システム及び鍵復元システム並びに記憶媒体 |
| FI112433B (fi) * | 2000-02-29 | 2003-11-28 | Nokia Corp | Sijaintiin sidotut palvelut |
| DE60135127D1 (de) * | 2000-05-24 | 2008-09-11 | Voltaire Ltd | Gefilterte kommunikation von anwendung zu anwendung |
| US6766353B1 (en) * | 2000-07-11 | 2004-07-20 | Motorola, Inc. | Method for authenticating a JAVA archive (JAR) for portable devices |
| JP2002132729A (ja) * | 2000-10-25 | 2002-05-10 | Nippon Telegraph & Telephone East Corp | 端末認証接続方法およびそのシステム |
| US20030058875A1 (en) * | 2001-09-24 | 2003-03-27 | International Business Machines Corporation | Infiniband work and completion queue management via head only circular buffers |
| US7360242B2 (en) | 2001-11-19 | 2008-04-15 | Stonesoft Corporation | Personal firewall with location detection |
| US7873985B2 (en) | 2002-01-08 | 2011-01-18 | Verizon Services Corp. | IP based security applications using location, port and/or device identifier information |
| US20030163731A1 (en) | 2002-02-28 | 2003-08-28 | David Wigley | Method, system and software product for restricting access to network accessible digital information |
| US20030217150A1 (en) | 2002-03-01 | 2003-11-20 | Roese John J. | Location based enhanced routing |
| US20040059914A1 (en) | 2002-09-12 | 2004-03-25 | Broadcom Corporation | Using signal-generated location information to identify and authenticate available devices |
| US7526798B2 (en) | 2002-10-31 | 2009-04-28 | International Business Machines Corporation | System and method for credential delegation using identity assertion |
| US7010633B2 (en) | 2003-04-10 | 2006-03-07 | International Business Machines Corporation | Apparatus, system and method for controlling access to facilities based on usage classes |
| US7451219B2 (en) * | 2003-11-05 | 2008-11-11 | International Business Machines Corporation | Determining server resources accessible to client nodes using information received at the server via a communications medium |
-
2004
- 2004-11-12 US US10/987,280 patent/US7437447B2/en not_active Expired - Fee Related
-
2005
- 2005-11-09 WO PCT/EP2005/055863 patent/WO2006051083A1/en active Application Filing
- 2005-11-09 JP JP2007540643A patent/JP4822224B2/ja not_active Expired - Fee Related
- 2005-11-09 CN CN200580038334.7A patent/CN100547516C/zh not_active Expired - Fee Related
- 2005-11-09 EP EP05803142A patent/EP1825343B1/en active Active
- 2005-11-10 TW TW094139492A patent/TWI393400B/zh not_active IP Right Cessation
-
2008
- 2008-07-07 US US12/168,198 patent/US7818413B2/en not_active Expired - Fee Related
- 2008-07-07 US US12/168,201 patent/US8015243B2/en not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014529272A (ja) * | 2011-09-29 | 2014-10-30 | アマゾン テクノロジーズ インコーポレイテッド | サポートシステムにおけるセキュア通信の実行 |
| US9037511B2 (en) | 2011-09-29 | 2015-05-19 | Amazon Technologies, Inc. | Implementation of secure communications in a support system |
| US9607162B2 (en) | 2011-09-29 | 2017-03-28 | Amazon Technologies, Inc. | Implementation of secure communications in a support system |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006051083A1 (en) | 2006-05-18 |
| TW200642391A (en) | 2006-12-01 |
| US7818413B2 (en) | 2010-10-19 |
| US8015243B2 (en) | 2011-09-06 |
| US20080271133A1 (en) | 2008-10-30 |
| EP1825343B1 (en) | 2012-07-25 |
| US7437447B2 (en) | 2008-10-14 |
| US20080271125A1 (en) | 2008-10-30 |
| TWI393400B (zh) | 2013-04-11 |
| CN101057201A (zh) | 2007-10-17 |
| CN100547516C (zh) | 2009-10-07 |
| JP4822224B2 (ja) | 2011-11-24 |
| EP1825343A1 (en) | 2007-08-29 |
| US20060117103A1 (en) | 2006-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4822224B2 (ja) | キーを提供することなく要求者を認証するための方法およびシステム | |
| US10263855B2 (en) | Authenticating connections and program identity in a messaging system | |
| US7568218B2 (en) | Selective cross-realm authentication | |
| US5761421A (en) | System and method for secure peer-to-peer communication between downloaded programs | |
| US11683213B2 (en) | Autonomous management of resources by an administrative node network | |
| US8549038B2 (en) | Pluggable session context | |
| US7730095B2 (en) | Controlling transactions in accordance with role based security | |
| CN103404103A (zh) | 将访问控制系统与业务管理系统相结合的系统和方法 | |
| WO2022022253A1 (zh) | 一种服务鉴权方法、装置、设备、系统及存储介质 | |
| US10237252B2 (en) | Automatic creation and management of credentials in a distributed environment | |
| US20210320923A1 (en) | Method and apparatus for revoking authorization of api invoker | |
| US20090199288A1 (en) | Distributed authentication in a protocol-based sphere of trust in which a given external connection outside the sphere of trust may carry communications from multiple sources | |
| KR20010041365A (ko) | 보안 조건의 방법당 지정 | |
| US11552948B1 (en) | Domain management intermediary service | |
| US9501513B2 (en) | Advanced concurrency management in enterprise service oriented architecture based integrated business processing of distributed application components | |
| US20090158047A1 (en) | High performance secure caching in the mid-tier | |
| US8185945B1 (en) | Systems and methods for selectively requesting certificates during initiation of secure communication sessions | |
| EP1981242B1 (en) | Method and system for securing a commercial grid network | |
| CN117131493A (zh) | 权限管理系统构建方法、装置、设备及存储介质 | |
| US20220239726A1 (en) | Communication device and communication method | |
| US7606917B1 (en) | Method, apparatus and system for principle mapping within an application container | |
| JP2001056795A (ja) | アクセス認証処理装置及びこれを備えるネットワーク及びその記憶媒体及びアクセス認証処理方法 | |
| US20220222655A1 (en) | Method for block consensus and method for managing transaction state | |
| JP2024010384A (ja) | シングルサインオン認証システムおよびシングルサインオン認証装置 | |
| CN116318939A (zh) | 计算集群中的安全通信方法及中心节点 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080806 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080806 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110524 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110705 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110705 |
|
| RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20110705 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110705 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110822 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110822 |
|
| RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20110822 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110830 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4822224 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140916 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |