JP2009517723A - パスワードを入力することによって分散コンピュータ・システムの複数システムに確実にアクセスするための方法、その方法を実行するための分散コンピュータ・システムおよびコンピュータ・プログラム - Google Patents
パスワードを入力することによって分散コンピュータ・システムの複数システムに確実にアクセスするための方法、その方法を実行するための分散コンピュータ・システムおよびコンピュータ・プログラム Download PDFInfo
- Publication number
- JP2009517723A JP2009517723A JP2008541665A JP2008541665A JP2009517723A JP 2009517723 A JP2009517723 A JP 2009517723A JP 2008541665 A JP2008541665 A JP 2008541665A JP 2008541665 A JP2008541665 A JP 2008541665A JP 2009517723 A JP2009517723 A JP 2009517723A
- Authority
- JP
- Japan
- Prior art keywords
- password
- systems
- iii
- accessible
- passwords
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
Abstract
【課題】 パスワードを入力することによって分散コンピュータ・システムの複数システム(I、II)に確実にアクセスするための方法(改良されたシングル・サインオン)を提供することにある。
【解決手段】 この方法において、いくつかのシステムは等しいパスワードによってアクセス可能であり、いくつかのシステムは異なるパスワードによってアクセス可能であり、
どのシステム(I、II)が等しいパスワードによってアクセス可能であり、どのシステムが異なるパスワードによってアクセス可能であるかという情報を保管するステップと、
上記分散コンピュータ・システムのシステム(I、II)にアクセスすることによってセッションを開くときに適切なパスワードを入力するよう要求するステップと、上記パスワードをキャッシュに入れるステップと、現行セッション中にアクセスすべき他のシステム(I、II)が、上記セッション中にすでにアクセスされたシステム(I、II)に等しいパスワードによってアクセス可能であるかどうかを検証するために、保管情報を使用するステップと、検証の結果が真である場合に、妥当なキャッシュ・パスワードを再利用するステップと、検証の結果が偽である場合に、他のシステム(I、II)にアクセスするために適切なパスワードを入力するよう要求するステップと、現行セッション中に、同じパスワードによってアクセス可能な他のシステム(I、II)にアクセスするときに再利用できるように、他のシステム(I、II)にアクセスするために必要な上記パスワードをキャッシュに入れるステップと、を含む。
【選択図】 図2
【解決手段】 この方法において、いくつかのシステムは等しいパスワードによってアクセス可能であり、いくつかのシステムは異なるパスワードによってアクセス可能であり、
どのシステム(I、II)が等しいパスワードによってアクセス可能であり、どのシステムが異なるパスワードによってアクセス可能であるかという情報を保管するステップと、
上記分散コンピュータ・システムのシステム(I、II)にアクセスすることによってセッションを開くときに適切なパスワードを入力するよう要求するステップと、上記パスワードをキャッシュに入れるステップと、現行セッション中にアクセスすべき他のシステム(I、II)が、上記セッション中にすでにアクセスされたシステム(I、II)に等しいパスワードによってアクセス可能であるかどうかを検証するために、保管情報を使用するステップと、検証の結果が真である場合に、妥当なキャッシュ・パスワードを再利用するステップと、検証の結果が偽である場合に、他のシステム(I、II)にアクセスするために適切なパスワードを入力するよう要求するステップと、現行セッション中に、同じパスワードによってアクセス可能な他のシステム(I、II)にアクセスするときに再利用できるように、他のシステム(I、II)にアクセスするために必要な上記パスワードをキャッシュに入れるステップと、を含む。
【選択図】 図2
Description
本発明は、パスワードを入力することによって分散コンピュータ・システムの複数システムに確実にアクセスするための方法に関し、複数システムのうちのいくつかは等しいパスワードによってアクセス可能であり、複数システムのうちのいくつかは異なるパスワードによってアクセス可能である。
最新のコンピュータ・システム、特に分散コンピュータ・システム、ならびに多くのアプリケーションおよびサービスは、パスワードによって保護されている。それにより、ユーザが有するパスワードが多すぎ、そのパスワードが異なる時点で有効期限切れになり、異なるパスワード・ルールを有するという問題が発生する。さらに、いくつかのシステムではパスワード・ルールを施行するが、他のシステムでは施行しない。一般に、ユーザは、容易に記憶しておくために、複数のシステムのために同じパスワードを選択する場合が多い。その上、ユーザは、パスワードを書き留めておく場合も多く、これはパスワードに関する基本的なセキュリティ・ルールに違反するものである。
パスワードを忘れると、ヘルプデスク呼び出し率が高くなり、それに伴ってコストも高くなる。すべてのヘルプデスク要求の約30%はパスワード関連のものである。
複数のパスワードを管理するという問題を解決するための手法の1つはシングル・サインオン(SSO:single sign on)である。SSOは、複数のパスワードを入力する必要なしに、ユーザ認証および許可の単一アクションによって、ユーザがアクセス許可を有する分散アプリケーション環境内のすべてのコンピュータ、システム、または複数のアプリケーション・コンポーネント、あるいはそれらの組み合わせにユーザがアクセスできるようにするメカニズムである。
SSOをサポートする2通りのカテゴリの製品が知られている。一方はパスワード同期であり、もう一方はマスタ・パスワードを有するデータベースベースのパスワードである。
パスワード同期をサポートする製品は、複数のシステムにアクセスするために1つの単一パスワードを使用する。パスワード同期により、ユーザは、単一ユーザ・アクションで複数のシステムのためのパスワードを変更することができる。パスワード同期の不利点は、パスワードが悪い人の掌中に陥った場合、このパスワードによってこの人がすべてのシステムに直接アクセスできることである。このため、パスワード同期は安全ではない。
マスタ・パスワードを有するデータベースベースのパスワードをサポートする製品は、複数のシステムのための複数のパスワードを保管するためにデータベースを使用する。ユーザはマスタ・パスワードを入力することによってすべてのシステムにアクセスし、SSO製品はデータベース内の所与のシステムのための正しいパスワードをルックアップする。したがって、このデータベースは、後でパスワードを平文で検索してユーザを認証するために、双方向暗号化によりパスワードを保管しなければならない。このようなマスタ・パスワードを有するデータベースベースのパスワードの不利点は、システム・パスワードが片方向暗号化によるリソース・アクセス管理機能(RACF:Resource Access Control Facility)などの非常に安全な製品に保管された場合に双方向暗号化が安全ではないことである。それにより、片方向暗号化は、たとえば、セキュア・ハッシュ・アルゴリズム(SHA:Secure Hash Algorithm)のように、元の一連の文字を復元するために他のアルゴリムを作成することが可能ではないように、たとえば、パスワードなどの一連の文字をコード化するアルゴリズムであり、双方向暗号化は、たとえば、データ暗号化規格(DES:Data Encryption Standard)のように、同じアルゴリズムによって元の一連の文字を復元することのみが可能であるように、一連の文字をコード化するアルゴリズムである。この場合も、マスタ・パスワードが悪い人の掌中に陥った場合、SSO製品を使用してこの1つのパスワードによってすべてのシステムにアクセスすることができる。
SSOによりすべてのシステムへのマスタ・パスワード・アクセス権がユーザに与えられるという事実があるので、単一マスタ・パスワードの代わりにスマート・カード、バイオメトリック・スキャナ、あるいはその両方を使用することが推奨される。いくつかのSSO製品はこのような機能をサポートしている。
その上、完全な情報技術(IT)インフラストラクチャ用の市販のSSO製品は、非常に高価であり、上述の欠点など、それに独特の問題が発生する可能性がある。
本発明の一目的は、SSO製品のセキュリティならびにパスワード保護を可能にする分散コンピュータ・システムのセキュリティを改善することにある。
本発明の目的は、パスワードを入力することによって分散コンピュータ・システムの複数システムに確実にアクセスするための提案された方法によって満足され、分散コンピュータ・システムの複数システムのうちのいくつかは等しいパスワードによってアクセス可能であり、複数システムのうちのいくつかは異なるパスワードによってアクセス可能であり、前記方法は、
分散コンピュータ・システムのどのシステムが等しいパスワードによってアクセス可能であり、分散コンピュータ・システムのどのシステムが異なるパスワードによってアクセス可能であるかという情報を保管するステップと、
前記分散コンピュータ・システムの第1のシステムにアクセスすることによってセッションを開くときに適切なパスワードを入力するようユーザに要求するステップと、
現行セッション中に、同じパスワードによってアクセス可能な分散コンピュータ・システムの他のシステムにアクセスするときに再利用できるように、前記パスワードをキャッシュに入れるステップと、
現行セッション中にアクセスすべき他のシステムが、前記セッション中にすでにアクセスされたシステムに等しいパスワードによってアクセス可能であるかどうかを検証するために、保管情報を使用するステップと、
検証の結果が真である場合に、他のシステムにアクセスするために妥当なキャッシュ・パスワードを再利用するステップと、
検証の結果が偽である場合に、他のシステムにアクセスするために適切なパスワードを入力するようユーザに要求するステップと、
現行セッション中に、同じパスワードによってアクセス可能な分散コンピュータ・システムの他のシステムにアクセスするときに再利用できるように、他のシステムにアクセスするために必要な前記パスワードをキャッシュに入れるステップと、
を含む。
分散コンピュータ・システムのどのシステムが等しいパスワードによってアクセス可能であり、分散コンピュータ・システムのどのシステムが異なるパスワードによってアクセス可能であるかという情報を保管するステップと、
前記分散コンピュータ・システムの第1のシステムにアクセスすることによってセッションを開くときに適切なパスワードを入力するようユーザに要求するステップと、
現行セッション中に、同じパスワードによってアクセス可能な分散コンピュータ・システムの他のシステムにアクセスするときに再利用できるように、前記パスワードをキャッシュに入れるステップと、
現行セッション中にアクセスすべき他のシステムが、前記セッション中にすでにアクセスされたシステムに等しいパスワードによってアクセス可能であるかどうかを検証するために、保管情報を使用するステップと、
検証の結果が真である場合に、他のシステムにアクセスするために妥当なキャッシュ・パスワードを再利用するステップと、
検証の結果が偽である場合に、他のシステムにアクセスするために適切なパスワードを入力するようユーザに要求するステップと、
現行セッション中に、同じパスワードによってアクセス可能な分散コンピュータ・システムの他のシステムにアクセスするときに再利用できるように、他のシステムにアクセスするために必要な前記パスワードをキャッシュに入れるステップと、
を含む。
それにより、前記セッション中にアクセスされた分散コンピュータ・システムのすべてのシステムを終了すると好ましくは現行セッションが閉じられ、その結果、分散コンピュータ・システムのすべてのシステムを終了した後でもう一度分散コンピュータ・システムのあるシステムにアクセスするときに新しいセッションが開始される。
システムへのアクセスは、たとえば、ユーザがアプリケーション内のボタンをクリックし、デスクトップ上のアイコンをクリックすることなどにより、たとえば、アプリケーションを始動または選択し、記憶装置にアクセスし、文書を使用することなどによって行われる。
セッション中にアクセスされたすべてのシステムの終了は、たとえば、タイムアウトにより自動的に、文書を閉じることにより、またはアプリケーションを終了することによって行うことができる。それにより、分散コンピュータ・システムが、たとえば、対話なしの1時間後に、すべてのシステムについて自動タイムアウトを特徴とし、その結果、対話なしの1時間後にすべてのシステムが終了されることが考えられる。キャッシュ・パスワードが、たとえば、30分の遅延で有効期限切れになり、すなわち、対話なしの1時間半後にすべてのキャッシュ・パスワードが有効期限切れになることが考えられる。
それにより、「分散コンピュータ・システム」という用語は、それぞれが1つのパスワードによってアクセス可能なパーソナル・コンピュータ、サーバ、記憶装置、およびその他のハードウェア装置の分散配置ならびに分散アプリケーション環境を含み、同じかまたは異なるコンピュータ、サーバ、およびその他のハードウェア装置上に位置し、異なるリソースを使用する異なるアプリケーションはパスワードにより1つまたは複数の端末によってリモートでアクセスすることができる。「システム」という用語は、分散コンピュータ・システムのパーソナル・コンピュータ、サーバ、記憶装置、およびその他のリソースのようなハードウェア装置、ならびにパスワードによって個別にアクセス可能で、このようなハードウェア装置上に保管されたアプリケーション、データベースなどを含む。
さらに、「キャッシュ」または「キャッシュに入れる」という用語は、たとえば、データベース、磁気ディスク記憶装置などのような永続記憶装置とは対照的に、たとえば、ランダム・アクセス・メモリ(RAM:Random Access Memory)などの非永続記憶装置を意味する。キャッシュに入れることはセッション中にのみ行われ、たとえば、キャッシュを消去することにより、セッションを閉じるときにキャッシュ・パスワードが積極的に削除されることが考えられる。
本発明による方法は、既知のSSO製品と同様のユーザが、アクセスを必要とする各システムごとに自分のパスワードを入力する必要がないという、最新技術を上回る利点を有し、既知のSSO製品とは対照的に、前記パスワードによってアクセス可能なすべてのシステムに直ちにアクセスするためにそのパスワードが使用されず、異なるシステムにアクセスするために必要なパスワードが分散コンピュータ・システムのデータベースなどに永続的に保管されることもない。キャッシュ・パスワードは、ユーザによってアクセスするために特定のシステムが選択されたその瞬間にそのキャッシュ・パスワードによってアクセス可能なシステムにアクセスするためにのみ使用される。
このようにすることにより、パスワードが悪い人の掌中に陥った場合、単一ユーザ・アクションにより、等しいパスワードによってアクセス可能なすべてのシステムのパスワードを変更することは可能ではなくなる。というのは、キャッシュ・パスワードは、同じパスワードによってアクセス可能な他のシステムにアクセスするときにのみ使用され、そのパスワードによってアクセス可能なシステムがセッション中にアクセスされない場合にキャッシュ・パスワードが使用されないからである。さらに、パスワードは永続的に保管されるのではなく、そのセッション中にのみパスワードを保管するために使用されるキャッシュ内にのみ保管されるので、たとえば、データベースをくまなく捜すことによりパスワードを取得することは可能ではない。
本発明による前記方法の好ましい一実施形態では、どのシステムが等しいパスワードによってアクセス可能であり、どのシステムが異なるパスワードによってアクセス可能であるかを構成するステップは、ユーザ自身または分散コンピュータ・システムの管理者あるいはその両方によって行われるか、分散コンピュータ・システムによって決定されるか、あるいはその両方が行われる。
本発明による前記方法の他の好ましい実施形態では、キャッシュ・パスワードはセッションの終了時に削除される。このようにすることにより、分散コンピュータ・システムのデータベース、メモリ・ダンプなどをくまなく捜すことによってパスワードを盗むことはできない。
本発明による前記方法の追加の好ましい一実施形態では、メモリ・ダンプ内の平文パスワードを予防するために、パスワードが暗号化方式でキャッシュに入れられる。キャッシュ・パスワードについて使用すべき暗号化は好ましくは双方向暗号化である。
本発明による前記方法の特に好ましい一実施形態では、前記分散コンピュータ・システムは、少なくとも2つの異なるセキュリティ・ゾーンを有し、異なるセキュリティ・ゾーンに位置するシステムは異なるパスワードのみによってアクセス可能である。第1のセキュリティ・ゾーンに位置するシステムにアクセスするために、ユーザは第1のパスワードを入力しなければならない。第1のパスワードはキャッシュに入れられ、キャッシュに入れられた第1のパスワードは同じ第1のパスワードによってアクセス可能な第1のセキュリティ・ゾーンに位置する他のシステムにアクセスするために再利用される。第2のセキュリティ・ゾーンに位置するシステムにアクセスするために、ユーザは第2のパスワードを入力するよう要求され、その第2のパスワードもキャッシュに入れられ、同じ第2のパスワードによってアクセス可能な第2のセキュリティ・ゾーンの他のシステムにアクセスするために再利用される。それにより、たとえば、ユーザ設定次第で、同じセキュリティ・ゾーンのいくつかのシステムが他のパスワードによってアクセス可能であることが考えられる。分散コンピュータ・システムを異なるセキュリティ・ゾーンに分割することにより、同じパスワードで異なるセキュリティ・ゾーンに位置するシステムにアクセスすることが可能ではなくなる。これによりセキュリティが増大する。これに反して、同じパスワードを使用して同じセキュリティ・ゾーンに位置するシステムにアクセスできるようにすることにより、ユーザはいくつかのパスワードのみを処理すればよいので、ユーザ対話は依然として都合の良いものになる。
本発明の目的のもう1つの部分は、上記の方法を実行するために使用すべき分散コンピュータ・システムによって満足され、前記分散コンピュータ・システムは、等しいパスワードによってアクセス可能な少なくとも2つのシステムと、どのシステムが等しいパスワードによってアクセス可能であり、どのシステムが異なるパスワードによってアクセス可能であるかという情報を保管するための手段と、前記分散コンピュータ・システムのシステムにアクセスするために入力されたパスワードをキャッシュに入れるための手段と、現行セッション中にアクセスすべき他のシステムが、前記セッション中にすでにアクセスされたシステムに等しいパスワードによってアクセス可能であるかどうかを検証するために、保管情報を使用するための手段と、前記セッション中にすでにアクセスされたシステムに等しいパスワードによってアクセス可能な前記分散コンピュータ・システムの他のシステムにアクセスするときに妥当なキャッシュ・パスワードを再利用するための手段とを有する。それにより、どのシステムが等しいパスワードを必要とし、どのシステムが異なるパスワードを必要とするかという情報は、好ましくは分散コンピュータ・システムに永続的に保管される。したがって、この情報はユーザ端末にローカルにまたはサーバ上に集中的に保管されることが考えられる。
本発明による分散コンピュータ・システムの好ましい一実施形態では、前記分散コンピュータ・システムは少なくとも2つの異なるセキュリティ・ゾーンを有し、異なるセキュリティ・ゾーンに位置するシステムはそれにアクセスするために異なるパスワードを必要とする。それにより、異なるセキュリティ・ゾーンの定義は好ましくは分散コンピュータ・システムに永続的に保管される。ユーザが同じパスワードによって異なるセキュリティ・ゾーンに位置する2つのシステムにアクセスしようと試みた場合、そのアクセスは拒否される。
本発明による分散コンピュータ・システムの追加の好ましい一実施形態は、分散コンピュータ・システムのユーザまたは分散コンピュータ・システムの管理者あるいはその両方が、どのシステムが等しいパスワードによってアクセス可能であり、どのシステムが異なるパスワードによってアクセス可能であるかを構成できるようにするための手段を有する。
本発明の特に好ましい一実施形態では、上述の方法は、コンピュータ・プログラムがコンピュータ上で実行されるときに上述の方法をコンピュータに実行させるためのコンピュータ可読プログラム手段を有するコンピュータ使用可能媒体上に保管されたコンピュータ・プログラム(computer program product)によって実行される。それにより、コンピュータ・プログラムは、セッション中にパスワードを保持するランタイム・メモリ内パスワード・キャッシュを実装しなければならない。
本発明は、ハードウェア、ソフトウェア、またはハードウェアとソフトウェアの組み合わせで実現することができる。任意の種類のコンピュータ・システムまたは本明細書に記載した方法を実行するために適合されたその他の装置でも適している。ハードウェアとソフトウェアの典型的な組み合わせとしては、ロードされ実行されたときに、コンピュータ・システムが本明細書に記載された方法を実行するようにコンピュータ・システムを制御するコンピュータ・プログラムを備えた汎用コンピュータ・システムにすることができるであろう。また、本発明は、本明細書に記載された方法の実装を可能にするすべての特徴を有し、コンピュータ・システムにロードされたときにこれらの方法を実行できるコンピュータ・プログラムに組み込むこともできる。
これに関連してコンピュータ・プログラム手段またはコンピュータ・プログラムは、直接またはa)他の言語、コード、または表記への変換、またはb)異なる物質的形式による複製のいずれか一方または両方の後、情報処理機能を有するシステムに特定の機能を実行させるための1組の命令を任意の言語、コード、または表記で表した任意の表現を意味する。
本発明の上記その他の目的、特徴、および利点は、以下の明細書、特許請求の範囲、および図面に関連してより適切に理解することができる。
図1に見られるように、本発明による方法は9つのステップa)〜i)で描写することができる。
ステップa)では、分散コンピュータ・システムのどのシステムが等しいパスワードによってアクセス可能であり、どのシステムが異なるパスワードによってアクセス可能であるかという情報が保管される。
ステップb)では、ユーザは、分散コンピュータ・システムの第1のシステムにアクセスすることによりセッションを開く。セッションを開くことは、たとえば、分散コンピュータ・システムのユーザ端末を始動すること、アプリケーションを始動すること、分散コンピュータ・システムのサーバにアクセスすることなどにより行われる。それにより、ユーザは、第1のシステムにアクセスするために適切なパスワードを入力するよう要求される。正しいパスワードが入力された場合、ユーザは第1のシステムにアクセスでき、セッションが開かれる。好ましくは、ステップb)では、ユーザは、自分のユーザ識別番号(ユーザID)の入力も要求される。これは、たとえば、ユーザがどのシステムへのアクセスが許可されているかを検証するために必要なことである。
ステップc)では、現行セッション中にすでにアクセスされたシステムに等しいパスワードによってアクセス可能な分散コンピュータ・システムの他のシステムにアクセスするために現行セッション中に再利用できるようにパスワードがキャッシュに入れられる。好ましくは、ステップb)で入力されたユーザIDもステップc)でキャッシュに入れられる。
ステップd)では、セッションが依然としてアクティブであるかどうかまたはセッションが閉じられたかどうかという検証が行われる。セッションが依然としてアクティブである場合、この方法はステップe)に移行し、たとえば、分散コンピュータ・システムのすべてのシステムを終了することにより、セッションが閉じられた場合、この方法はステップi)に移行する。
ステップe)では、ユーザは、たとえば、他のシステム上に保管された文書を要求することにより、分散コンピュータ・システムの他のシステムにアクセスする必要がある。
ステップf)では、他のシステムが、現行セッション中にすでにアクセスされたシステムのパスワードに等しいパスワードによってアクセス可能であるかどうかという検証が行われる。
ユーザが現行セッション中に、実際にアクセスすべきシステムと同じパスワードを必要とするシステムにすでにアクセスした場合、ステップg)で他のシステムにアクセスするために妥当なキャッシュ・パスワードが再利用される。好ましくは、ステップg)では、ユーザが他のシステムへのアクセスが許可されているかどうかを検証するために、キャッシュに入れられたユーザIDも使用される。ステップg)の後、この方法はステップd)に移行する。
他のシステムが現行セッション中にすでにアクセスされた任意のシステムとは異なる他のパスワードを必要とする場合、ステップh)でユーザは、他のシステムにアクセスするために適切なパスワードを入力するよう要求される。好ましくは、適切なパスワードを入力するときに、ユーザが自分のユーザIDをこれ以上入力しなくても済むように、キャッシュに入れられたユーザIDが再利用される。さらに、ユーザが他のシステムへのアクセスが許可されている場合、これにより制御が許可される。
この新たに入力されたパスワードもステップc)で保管され、この時点で、キャッシュ・パスワードのうちの1つによってアクセス可能な分散コンピュータ・システムの他のシステムにアクセスするために、第1の入力パスワードと第2の入力パスワードの両方が再利用可能になる。次にこの方法はステップd)に移行する。
ステップd)でセッションが閉じられたという結果に導かれた場合、この方法はステップi)に移行し、そこでキャッシュを消去することによってキャッシュ・パスワードが削除される。
分散コンピュータ・システムが異なるパスワードによってアクセス可能な少なくとも2つのシステムを有する場合、本発明による方法は、
どのシステムが等しいパスワードによってアクセス可能であり、どのシステムが異なるパスワードによってアクセス可能であるかという情報を保管するステップと、
前記分散コンピュータ・システムの第1のシステムにアクセスすることによってセッションを開くときに適切な第1のパスワードを入力するようユーザに要求するステップと、
前記セッション中に前記第1のパスワードをキャッシュに入れるステップと、
前記分散コンピュータ・システムの第2のシステムにアクセスするときに、保管情報を使用して、前記第2のシステムが第1のシステムと同じパスワードによってアクセス可能であるかどうかを検証するステップと、
検証の結果、第2のシステムが第1のシステムと同じ第1のパスワードによってアクセス可能であるときに、前記キャッシュに入れた第1のパスワードを再利用するステップと、
検証の結果、第2のシステムがすでにアクセスされた第1のシステムとは異なる他のパスワードによってアクセス可能であるときに、第2のパスワードを入力するようユーザに要求するステップと、
前記セッション中に前記第2のパスワードもキャッシュに入れるステップと、
前記第2のパスワードによってアクセス可能な他のシステムにアクセスするときに、前記キャッシュに入れた第2のパスワードを再利用するステップと、
によって実行される。
どのシステムが等しいパスワードによってアクセス可能であり、どのシステムが異なるパスワードによってアクセス可能であるかという情報を保管するステップと、
前記分散コンピュータ・システムの第1のシステムにアクセスすることによってセッションを開くときに適切な第1のパスワードを入力するようユーザに要求するステップと、
前記セッション中に前記第1のパスワードをキャッシュに入れるステップと、
前記分散コンピュータ・システムの第2のシステムにアクセスするときに、保管情報を使用して、前記第2のシステムが第1のシステムと同じパスワードによってアクセス可能であるかどうかを検証するステップと、
検証の結果、第2のシステムが第1のシステムと同じ第1のパスワードによってアクセス可能であるときに、前記キャッシュに入れた第1のパスワードを再利用するステップと、
検証の結果、第2のシステムがすでにアクセスされた第1のシステムとは異なる他のパスワードによってアクセス可能であるときに、第2のパスワードを入力するようユーザに要求するステップと、
前記セッション中に前記第2のパスワードもキャッシュに入れるステップと、
前記第2のパスワードによってアクセス可能な他のシステムにアクセスするときに、前記キャッシュに入れた第2のパスワードを再利用するステップと、
によって実行される。
異なるパスワードによってアクセス可能な少なくとも2つのシステムを有する分散コンピュータ・システムにアクセスするときに本発明による方法を実行することは、図2および図3に関してより適切に理解することができる。それにより、図2および図3には、本発明による方法の実行が非常に正確に記載されており、必要なステップは詳細な単一アクションに細分される。
図2に示されている通り、分散コンピュータ・システムは、パスワードによってアクセスでき、同じセキュリティ・ゾーンに位置する4つのシステムI、II、III、IVを有する。4つのシステムすべてにアクセスするために認証されたユーザは、4つのシステムに1つずつアクセスする。システムI、II、IIIは同じパスワードによってアクセス可能であり、システムIVはシステムI、II、IIIのパスワードとは異なるパスワードを必要とする。この情報はユーザ構成に保管される。
システムI、II、III、IVにアクセスするために認証されたユーザによるこれらのシステムへのアクセスは、以下のステップで行われる。
システムI、II、III、IVにアクセスするために、ステップ1では、ユーザはアプリケーションを始動するが、そのアプリケーションは、ユーザが最初にどのシステムにアクセスする必要があるかに応じて、アクセスすべき第1のシステムの特定のパスワードをユーザに要求する。アプリケーションは好ましくは、コンピュータ・プログラムがコンピュータ上で実行されるときに上述の方法をコンピュータに実行させるためのコンピュータ可読プログラム手段を有するコンピュータ・プログラムを含む。
ステップ2では、ユーザは最初にアクセスするためにシステムIを選択する。
ステップ3では、アプリケーションは、自分のユーザIDとシステムI用のパスワードを入力するようユーザに要求する。
ユーザIDをチェックすることにより、アプリケーションは、ユーザがシステムIへのアクセスを許可されているかどうかをチェックする。ユーザが許可されている場合であって、パスワードが正しい場合、アプリケーションはステップ4でユーザをシステムIにログインさせる。
ステップ5では、アプリケーションは、ユーザIDと、パスワードと、システムIの名前をキャッシュに入れる。
ステップ6では、ユーザはアクセスするためにシステムIIを選択する。
ステップ7では、アプリケーションは、システムIIがシステムIと同じパスワードを使用しなければならないかどうかについてユーザ構成をチェックする。
これは真であるので、ステップ8では、アプリケーションはキャッシュ内のユーザIDルックアップを実行し、ユーザ構成内で検出されたシステムの1つについてユーザIDがすでにキャッシュに入れられているかどうかをチェックする。
ステップ9では、アプリケーションは、システムIにアクセスするために使用されたユーザIDおよびキャッシュ・パスワードを使用することにより、ユーザをシステムIIにログインさせる。キャッシュ・パスワードは、パスワード・ルックアップによりキャッシュから受信される。
ステップ10では、ユーザはシステムIIIにアクセスすることを選択する。
ステップ11では、アプリケーションは、システムIIIがシステムIと同じパスワードを使用しなければならないかどうかについてユーザ構成をもう一度チェックする。
これは真であるので、ステップ12では、アプリケーションはキャッシュ内のユーザIDルックアップを実行し、ユーザ構成内で検出されたシステムの1つについてユーザIDがすでにキャッシュに入れられているかどうかをチェックする。
ステップ13では、アプリケーションは、システムIにアクセスするために使用されたユーザIDおよびキャッシュ・パスワードを使用することにより、ユーザをシステムIIIにログインさせる。キャッシュ・パスワードは、パスワード・ルックアップによりキャッシュから受信される。
ステップ14では、ユーザはシステムIVにアクセスすることを選択する。
ステップ15では、アプリケーションは、システムIVがシステムIと同じパスワードを使用しなければならないかどうかについてユーザ構成をもう一度チェックする。
これは偽であるので、ステップ16では、ユーザは自分のユーザIDとシステムIVのパスワードを入力しなければならない。
ユーザIDをチェックすることにより、アプリケーションは、ユーザがシステムIVへのアクセスを許可されているかどうかをチェックする。ユーザが許可されている場合であって、パスワードが正しい場合、アプリケーションはステップ17でユーザをシステムIVにログインさせる。
ステップ18では、アプリケーションは、ユーザIDと、パスワードと、システムIVの名前をキャッシュに入れる。
図3に示されている分散コンピュータ・システムも、パスワードによってアクセスできる4つのシステムI′、II′、III′、IV′を有する。それにより、システムI′およびII′は第1のセキュリティ・ゾーンに位置し、システムIII′およびIV′は第2のセキュリティ・ゾーンに位置する。システムI′およびII′は同じパスワードによってアクセス可能であり、システムIII′およびIV′はシステムI′およびII′のパスワードとは異なる同じパスワードによってアクセス可能である。この情報はユーザ構成に保管される。4つのシステムすべてにアクセスするために認証されたユーザは、4つのシステムに1つずつアクセスする。
システムI′、II′、III′、IV′にアクセスするために認証されたユーザによるこれらのシステムへのアクセスは、以下のステップで行われる。
システムI′、II′、III′、IV′にアクセスするために、ステップ1′では、ユーザはアプリケーションを始動するが、そのアプリケーションは、ユーザが最初にどのシステムにアクセスする必要があるかに応じて、アクセスすべき第1のシステムの特定のパスワードをユーザに要求する。アプリケーションは好ましくは、コンピュータ・プログラムがコンピュータ上で実行されるときに上述の方法をコンピュータに実行させるためのコンピュータ可読プログラム手段を有するコンピュータ・プログラムを含む。
ステップ2′では、ユーザは最初にアクセスするためにシステムI′を選択する。
ステップ3′では、アプリケーションは、自分のユーザIDとシステムI′用のパスワードを入力するようユーザに要求する。
ステップ4′では、アプリケーションは、ユーザをシステムI′にログインさせる。
ステップ5′では、アプリケーションは、ユーザIDと、パスワードと、システムI′の名前をキャッシュに入れる。
ステップ6′では、ユーザはアクセスするためにシステムII′を選択する。
ステップ7′では、アプリケーションは、システムII′がシステムI′と同じパスワードを使用しなければならないかどうかについてユーザ構成をチェックする。
これは真であるので、ステップ8′では、アプリケーションはキャッシュ内のユーザIDルックアップを実行し、ユーザ構成内で検出されたシステムの1つについてユーザIDがすでにキャッシュに入れられているかどうかをチェックする。
ステップ9′では、アプリケーションは、システムII′がシステムI′と同じセキュリティ・ゾーンに位置するかどうかについて、分散コンピュータ・システムの管理者によって定義されたルールをチェックする。
これは真であるので、アプリケーションはステップ10′で、システムI′にアクセスするために使用されたユーザIDおよびキャッシュ・パスワードを使用することにより、ユーザをシステムII′にログインさせる。キャッシュ・パスワードは、パスワード・ルックアップによりキャッシュから受信される。
ステップ11′では、ユーザはシステムIII′にアクセスすることを選択する。
ステップ12′では、アプリケーションは、システムIII′がシステムI′と同じパスワードを使用しなければならないかどうかについてユーザ構成をもう一度チェックする。
これは偽であるので、アプリケーションはステップ13′で、自分のユーザIDとシステムIII′用のパスワードを入力するようユーザに要求する。
ステップ14′では、アプリケーションは、システムIII′がシステムI′と同じセキュリティ・ゾーンに位置するかどうかについて、分散コンピュータ・システムの管理者によって定義されたルールをチェックする。
これは偽であるので、アプリケーションはステップ15′で、第2のセキュリティ・ゾーン用のパスワードが第1のセキュリティ・ゾーンとは異なるかどうかについて、パスワード・キャッシュをチェックする。
これは真であるので、アプリケーションはステップ16′で、ステップ13′のユーザIDおよびパスワードを使用して、ユーザをシステムIII′にログインさせる。
ステップ17′では、アプリケーションは、ユーザIDと、パスワードと、システムIII′の名前をキャッシュに入れる。
ステップ18′では、ユーザはシステムIV′にログインすることを選択する。
ステップ19′では、アプリケーションは、システムIV′がシステムIII′と同じパスワードを使用しなければならないかどうかについてユーザ構成をチェックする。
これは真であるので、ステップ20′では、アプリケーションはキャッシュ内のユーザIDルックアップを実行し、ユーザ構成内で検出されたシステムの1つについてユーザIDがすでにキャッシュに入れられているかどうかをチェックする。
ステップ21′では、アプリケーションは、システムIV′がシステムIII′と同じセキュリティ・ゾーンに位置するかどうかについて、分散コンピュータ・システムの管理者によって定義されたルールをチェックする。
これは真であるので、アプリケーションはステップ22′で、システムIII′にアクセスするために使用されたユーザIDおよびキャッシュ・パスワードを使用することにより、ユーザをシステムIV′にログインさせる。キャッシュ・パスワードは、パスワード・ルックアップによりキャッシュから受信される。
一般に、少なくとも2つの異なるセキュリティ・ゾーンを有し、異なるセキュリティ・ゾーンのシステムが異なるパスワードによってアクセスされる分散コンピュータ・システムと組み合わせた場合、本発明による方法は、ユーザが第1のセキュリティ・ゾーンに位置するシステムにアクセスするために少なくとも第1のパスワードを入力しなければならず、第2のセキュリティ・ゾーンに位置するシステムにアクセスするために少なくとも第2のパスワードを入力しなければならず、セッション中にパスワードがキャッシュに入れられ、そのセッション中にユーザがアクセスを許可されている同じセキュリティ・ゾーンの他のシステムにアクセスするためにキャッシュ・パスワードが再利用されるように実行される。セッションを終了すると、キャッシュ・パスワードは削除される。
本発明による方法がクロスクラスタ認証およびクロスプラットフォーム認証をサポートするとともに、たとえば、1つのクラスタ内などの他のコンテキストでも適用可能であることは、言及すべき重要なことである。
本発明には以下の利点がある。
多くのシステムが関わる場合にユーザ・ログインを大幅に削減できる。
ユーザが記憶しなければならないパスワードの数が減少し、その結果、パスワードを忘れた場合のヘルプデスク呼び出しが減少する。
分散コンピュータ・システムに応じて、どのシステムが同じパスワードを使用するかをユーザが構成することができ、その結果、スケーラビリティが高くなる。
異なるセキュリティ・ゾーンについて異なるパスワードを施行することができ、マスタ・パスワードは一切存在しない。
パスワードが永続的に保管されない。
本発明による方法の実装は単純かつ安価であり、完全なITインフラストラクチャの場合のセキュリティ・リスクが低くなる。
完全なITインフラストラクチャを変更せずに、様々な既存のアプリケーションに適用することができる。
多くのシステムが関わる場合にユーザ・ログインを大幅に削減できる。
ユーザが記憶しなければならないパスワードの数が減少し、その結果、パスワードを忘れた場合のヘルプデスク呼び出しが減少する。
分散コンピュータ・システムに応じて、どのシステムが同じパスワードを使用するかをユーザが構成することができ、その結果、スケーラビリティが高くなる。
異なるセキュリティ・ゾーンについて異なるパスワードを施行することができ、マスタ・パスワードは一切存在しない。
パスワードが永続的に保管されない。
本発明による方法の実装は単純かつ安価であり、完全なITインフラストラクチャの場合のセキュリティ・リスクが低くなる。
完全なITインフラストラクチャを変更せずに、様々な既存のアプリケーションに適用することができる。
どのシステムが同じパスワードを使用するかを構成するために、ユーザは、どの特定のシステム・セットが同じパスワードを使用するかをアプリケーション内に構成する。この情報は、たとえば、任意選択の双方向暗号化により、ファイル内またはデータベース内に永続的に保管される。
さらに、分散コンピュータ・システムの管理者は、任意選択で、異なるパスワードを必要とし施行する異なるセキュリティ・ゾーンを定義するために、アプリケーション用のルールを構成することができる。この情報は、たとえば、任意選択の双方向暗号化により、ファイル内またはデータベース内に永続的に保管されるか、あるいはアプリケーション内にハードコードされる。ユーザが2つの異なるセキュリティ・ゾーンについて同じパスワードを入力した場合、第2のゾーンへのログインはアプリケーションによって拒否されることになる。
所与のセキュリティ・ゾーン内でパスワードを同期化するために、パスワード同期をサポートするSSO製品を使用することが考えられる。また、ユーザがこれを手動で実行することも考えられる。セキュリティ・ゾーンは、たとえば、すべてのUNIXシステムまたはすべてのWindowsシステムあるいはすべてのメインフレーム・システムなどを含むことができる。
特定の好ましい諸実施形態に関して本発明を詳細に説明してきたが、上記の説明を考慮すれば、多くの代替例、変更例、および変形例が当業者にとって明らかになることは明白である。したがって、特許請求の範囲は、本発明の真の範囲および精神に該当するこのような代替例、変更例、および変形例をすべて包含することが企図されている。
Claims (10)
- パスワードを入力することによって分散コンピュータ・システムの複数システム(I、II、III、IV、I′、II′、III′、IV′)に確実にアクセスするための方法において、いくつかのシステムは等しいパスワードによってアクセス可能であり、いくつかのシステムは異なるパスワードによってアクセス可能であり、
どのシステム(I、II、III、IV、I′、II′、III′、IV′)が等しいパスワードによってアクセス可能であり、どのシステムが異なるパスワードによってアクセス可能であるかという情報を保管するステップと、
前記分散コンピュータ・システムの第1のシステム(I、II、III、IV、I′、II′、III′、IV′)にアクセスすることによってセッションを開くときに適切なパスワードを入力するよう要求するステップと、
現行セッション中に、同じパスワードによってアクセス可能な他のシステム(I、II、III、IV、I′、II′、III′、IV′)にアクセスするときに再利用できるように、前記パスワードをキャッシュに入れるステップと、
前記現行セッション中にアクセスすべき他のシステム(I、II、III、IV、I′、II′、III′、IV′)が、前記セッション中にすでにアクセスされたシステム(I、II、III、IV、I′、II′、III′、IV′)に等しいパスワードによってアクセス可能であるかどうかを検証するために、保管情報を使用するステップと、
前記検証の結果が真である場合に、前記他のシステム(I、II、III、IV、I′、II′、III′、IV′)にアクセスするために前記妥当なキャッシュ・パスワードを再利用するステップと、
前記検証の結果が偽である場合に、前記他のシステム(I、II、III、IV、I′、II′、III′、IV′)にアクセスするために適切なパスワードを入力するよう要求するステップと、
前記現行セッション中に、前記同じパスワードによってアクセス可能な他のシステム(I、II、III、IV、I′、II′、III′、IV′)にアクセスするときに再利用できるように、前記他のシステム(I、II、III、IV、I′、II′、III′、IV′)にアクセスするために必要な前記パスワードをキャッシュに入れるステップと、
を含む、方法。 - どのシステム(I、II、III、IV、I′、II′、III′、IV′)が等しいパスワードによってアクセス可能であり、どのシステムが異なるパスワードによってアクセス可能であるかを構成するステップが、ユーザ自身または前記分散コンピュータ・システムの管理者あるいはその両方によって行われるか、前記分散コンピュータ・システムによって決定されるか、あるいはその両方が行われる、請求項1に記載の方法。
- 前記キャッシュ・パスワードが前記セッションの終了時に削除される、請求項1または2に記載の方法。
- 前記パスワードが暗号化方式でキャッシュに入れられる、請求項1ないし3のいずれか1項に記載の方法。
- 前記分散コンピュータ・システムが少なくとも2つの異なるセキュリティ・ゾーンを有し、異なるセキュリティ・ゾーンに位置するシステム(I′、II′、III′、IV′)が異なるパスワードによってアクセス可能である、請求項1ないし4のいずれか1項に記載の方法。
- 請求項1ないし5のいずれか1項に記載の方法を実行するために使用すべき分散コンピュータ・システムにおいて、等しいパスワードによってアクセス可能な少なくとも2つのシステム(I、II、III、IV、I′、II′、III′、IV′)と、どのシステムが等しいパスワードによってアクセス可能であり、どのシステムが異なるパスワードによってアクセス可能であるかという情報を保管するための手段と、前記分散コンピュータ・システムのシステム(I、II、III、IV、I′、II′、III′、IV′)にアクセスするために入力されたパスワードをキャッシュに入れるための手段と、現行セッション中にアクセスすべき他のシステムが、前記セッション中にすでにアクセスされたシステムに等しいパスワードによってアクセス可能であるかどうかを検証するために、保管情報を使用するための手段と、前記セッション中にすでにアクセスされたシステムに等しいパスワードによってアクセス可能な前記分散コンピュータ・システムの他のシステム(I、II、III、IV、I′、II′、III′、IV′)にアクセスするときに妥当なキャッシュ・パスワードを再利用するための手段とを有する、分散コンピュータ・システム。
- 前記分散コンピュータ・システムが少なくとも2つの異なるセキュリティ・ゾーンを有し、異なるセキュリティ・ゾーンに位置するシステム(I′、II′、III′、IV′)が異なるパスワードによってアクセス可能である、請求項6に記載の分散コンピュータ・システム。
- ユーザまたは管理者あるいはその両方が、どのシステム(I、II、III、IV、I′、II′、III′、IV′)が等しいパスワードによってアクセス可能であり、どのシステムが異なるパスワードによってアクセス可能であるかを構成できるようにするための手段を有する、請求項7に記載の分散コンピュータ・システム。
- コンピュータ・プログラムがコンピュータ上で実行されるときに請求項1ないし5のいずれか1項に記載の方法をコンピュータに実行させるためのコンピュータ可読プログラム手段を有するコンピュータ使用可能媒体上に保管されたコンピュータ・プログラム。
- プログラムがコンピュータ上で実行されるときに請求項1ないし5のいずれか1項に記載の方法を実行するためのソフトウェア・コード部分を含む、データ処理システムで実行するためのデータ処理プログラム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP05111261 | 2005-11-24 | ||
PCT/EP2006/065398 WO2007060034A1 (en) | 2005-11-24 | 2006-08-17 | Improved single sign on |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009517723A true JP2009517723A (ja) | 2009-04-30 |
Family
ID=37106371
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008541665A Pending JP2009517723A (ja) | 2005-11-24 | 2006-08-17 | パスワードを入力することによって分散コンピュータ・システムの複数システムに確実にアクセスするための方法、その方法を実行するための分散コンピュータ・システムおよびコンピュータ・プログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US9251323B2 (ja) |
JP (1) | JP2009517723A (ja) |
CN (1) | CN101310286B (ja) |
WO (1) | WO2007060034A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009151723A (ja) * | 2007-12-21 | 2009-07-09 | Nec Biglobe Ltd | ウェブページ安全性判定システム |
JP2012190337A (ja) * | 2011-03-11 | 2012-10-04 | Brother Ind Ltd | 通信装置 |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5090834B2 (ja) | 2007-09-11 | 2012-12-05 | 株式会社リコー | 情報処理装置及び認証制御プログラム |
US8539568B1 (en) | 2007-10-03 | 2013-09-17 | Courion Corporation | Identity map creation |
US8601562B2 (en) * | 2007-12-10 | 2013-12-03 | Courion Corporation | Policy enforcement using ESSO |
US8875261B2 (en) * | 2008-10-22 | 2014-10-28 | International Business Machines Corporation | Rules driven multiple passwords |
US8281381B2 (en) * | 2009-08-03 | 2012-10-02 | Novell, Inc. | Techniques for environment single sign on |
JP4856225B2 (ja) * | 2009-09-15 | 2012-01-18 | 株式会社沖データ | 画像データ生成装置 |
CN102971740B (zh) | 2010-07-01 | 2016-01-27 | 惠普发展公司,有限责任合伙企业 | 计算设备上的用于多个环境的用户管理框架 |
CN102625297B (zh) | 2011-01-27 | 2016-01-13 | 腾讯科技(深圳)有限公司 | 用于移动终端的身份管理方法及装置 |
US9356924B1 (en) | 2011-12-27 | 2016-05-31 | Majid Shahbazi | Systems, methods, and computer readable media for single sign-on (SSO) using optical codes |
US10742634B1 (en) | 2011-12-27 | 2020-08-11 | Majid Shahbazi | Methods for single sign-on (SSO) using optical codes |
US8819444B2 (en) | 2011-12-27 | 2014-08-26 | Majid Shahbazi | Methods for single signon (SSO) using decentralized password and credential management |
US20130232072A1 (en) * | 2012-03-01 | 2013-09-05 | Robert D. Fish | Method of Using a Cell Phone to Authenticate a Commercial Transaction |
US9529993B2 (en) * | 2012-03-02 | 2016-12-27 | International Business Machines Corporation | Policy-driven approach to managing privileged/shared identity in an enterprise |
GB201217084D0 (en) * | 2012-09-25 | 2012-11-07 | Uni I Oslo | Network security |
US20150339656A1 (en) * | 2014-05-21 | 2015-11-26 | Square, Inc. | Verified purchasing by push notification |
US9922324B2 (en) | 2014-05-21 | 2018-03-20 | Square, Inc. | Verified purchasing by email |
US10776809B1 (en) | 2014-09-11 | 2020-09-15 | Square, Inc. | Use of payment card rewards points for an electronic cash transfer |
CN104239776B (zh) * | 2014-09-23 | 2018-04-20 | 浪潮(北京)电子信息产业有限公司 | 多控存储系统单点登录方法及多控存储系统 |
US20160132676A1 (en) * | 2014-11-11 | 2016-05-12 | Meir Avganim | Secure password storage and recall system |
US11042863B1 (en) | 2015-03-20 | 2021-06-22 | Square, Inc. | Grouping payments and payment requests |
US10509900B1 (en) | 2015-08-06 | 2019-12-17 | Majid Shahbazi | Computer program products for user account management |
US10467615B1 (en) | 2015-09-30 | 2019-11-05 | Square, Inc. | Friction-less purchasing technology |
US20180260556A1 (en) * | 2017-03-09 | 2018-09-13 | Meir Avganim | Secure data and password storage and recall system |
CN107395614B (zh) * | 2017-08-09 | 2021-06-22 | 深圳国泰安教育技术有限公司 | 单点登录方法及系统 |
US10891372B1 (en) | 2017-12-01 | 2021-01-12 | Majid Shahbazi | Systems, methods, and products for user account authentication and protection |
US11144620B2 (en) * | 2018-06-26 | 2021-10-12 | Counseling and Development, Inc. | Systems and methods for establishing connections in a network following secure verification of interested parties |
US10747900B1 (en) * | 2019-08-19 | 2020-08-18 | Cyberark Software Ltd. | Discovering and controlling sensitive data available in temporary access memory |
US11823191B1 (en) | 2022-08-29 | 2023-11-21 | Block, Inc. | Integration for performing actions without additional authorization requests |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08263417A (ja) * | 1994-12-13 | 1996-10-11 | Microsoft Corp | コンピュータネットワークの独立リソースにアクセスする方法及びネットワークサブシステム |
JP2002183094A (ja) * | 2000-12-19 | 2002-06-28 | Nec Corp | 複数サーバ間ログイン連携システム、クライアント装置、ログイン管理装置、サーバ装置及び記憶媒体 |
JP2003228509A (ja) * | 2002-02-05 | 2003-08-15 | Canon Inc | 情報処理装置、情報処理システム、認証方法、記憶媒体、及びプログラム |
JP2003323409A (ja) * | 2002-05-07 | 2003-11-14 | Seiko Epson Corp | シングルサインオンシステム、そのプログラム及びその方法 |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5226172A (en) * | 1989-06-12 | 1993-07-06 | Motorola, Inc. | Methods for configuring and performing 3-level password searching in a distributed computer system |
US5418854A (en) * | 1992-04-28 | 1995-05-23 | Digital Equipment Corporation | Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system |
US5491752A (en) * | 1993-03-18 | 1996-02-13 | Digital Equipment Corporation, Patent Law Group | System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens |
WO1995008885A1 (en) * | 1993-09-20 | 1995-03-30 | International Business Machines Corporation | System and method for changing the key or password in a secure distributed communications network |
US5581700A (en) * | 1995-08-11 | 1996-12-03 | Dell U.S.A., L.P. | Hierarchical multiple password acceptance system |
US6006334A (en) * | 1997-05-01 | 1999-12-21 | International Business Machines Corp. | Method and system for authentication over a distributed service to limit password compromise |
US6094721A (en) * | 1997-10-31 | 2000-07-25 | International Business Machines Corporation | Method and apparatus for password based authentication in a distributed system |
US6061799A (en) * | 1997-10-31 | 2000-05-09 | International Business Machines Corp. | Removable media for password based authentication in a distributed system |
US6161178A (en) * | 1998-12-07 | 2000-12-12 | International Business Machine Corporation | Data processing system and method for specification of one of a plurality of password requirements for each boot device |
US6718415B1 (en) * | 1999-05-14 | 2004-04-06 | Acqis Technology, Inc. | Computer system and method including console housing multiple computer modules having independent processing units, mass storage devices, and graphics controllers |
US6996718B1 (en) * | 2000-04-21 | 2006-02-07 | At&T Corp. | System and method for providing access to multiple user accounts via a common password |
US7080077B2 (en) * | 2000-07-10 | 2006-07-18 | Oracle International Corporation | Localized access |
US7260836B2 (en) * | 2002-02-26 | 2007-08-21 | Aol Llc | System and method for distributed authentication service |
CN100592827C (zh) * | 2002-02-28 | 2010-02-24 | 艾利森电话股份有限公司 | 用于联合单点登录服务的系统、方法和设备 |
US7392536B2 (en) * | 2003-06-18 | 2008-06-24 | Microsoft Corporation | System and method for unified sign-on |
US7251732B2 (en) * | 2003-06-18 | 2007-07-31 | Microsoft Corporation | Password synchronization in a sign-on management system |
US7275259B2 (en) * | 2003-06-18 | 2007-09-25 | Microsoft Corporation | System and method for unified sign-on |
US20050015490A1 (en) * | 2003-07-16 | 2005-01-20 | Saare John E. | System and method for single-sign-on access to a resource via a portal server |
CN1323508C (zh) * | 2003-12-17 | 2007-06-27 | 上海市高级人民法院 | 一种基于数字证书的单点登录方法 |
-
2006
- 2006-08-17 JP JP2008541665A patent/JP2009517723A/ja active Pending
- 2006-08-17 WO PCT/EP2006/065398 patent/WO2007060034A1/en active Application Filing
- 2006-08-17 CN CN200680042660XA patent/CN101310286B/zh active Active
- 2006-08-17 US US12/094,858 patent/US9251323B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08263417A (ja) * | 1994-12-13 | 1996-10-11 | Microsoft Corp | コンピュータネットワークの独立リソースにアクセスする方法及びネットワークサブシステム |
JP2002183094A (ja) * | 2000-12-19 | 2002-06-28 | Nec Corp | 複数サーバ間ログイン連携システム、クライアント装置、ログイン管理装置、サーバ装置及び記憶媒体 |
JP2003228509A (ja) * | 2002-02-05 | 2003-08-15 | Canon Inc | 情報処理装置、情報処理システム、認証方法、記憶媒体、及びプログラム |
JP2003323409A (ja) * | 2002-05-07 | 2003-11-14 | Seiko Epson Corp | シングルサインオンシステム、そのプログラム及びその方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009151723A (ja) * | 2007-12-21 | 2009-07-09 | Nec Biglobe Ltd | ウェブページ安全性判定システム |
JP4604253B2 (ja) * | 2007-12-21 | 2011-01-05 | Necビッグローブ株式会社 | ウェブページ安全性判定システム |
US8392987B2 (en) | 2007-12-21 | 2013-03-05 | Nec Biglobe, Ltd. | Web page safety judgment system |
JP2012190337A (ja) * | 2011-03-11 | 2012-10-04 | Brother Ind Ltd | 通信装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101310286A (zh) | 2008-11-19 |
US9251323B2 (en) | 2016-02-02 |
CN101310286B (zh) | 2011-12-14 |
WO2007060034A1 (en) | 2007-05-31 |
US20080276308A1 (en) | 2008-11-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9251323B2 (en) | Secure access to a plurality of systems of a distributed computer system by entering passwords | |
US11818272B2 (en) | Methods and systems for device authentication | |
US20180115551A1 (en) | Proxy system for securely provisioning computing resources in cloud computing environment | |
US11601412B2 (en) | Securely managing digital assistants that access third-party applications | |
US10805301B2 (en) | Securely managing digital assistants that access third-party applications | |
CN113316783A (zh) | 使用活动目录和一次性口令令牌组合的双因素身份认证 | |
US9848001B2 (en) | Secure access to mobile applications | |
US7987357B2 (en) | Disabling remote logins without passwords | |
US9917832B2 (en) | Remote keychain for mobile devices | |
CN114662079A (zh) | 用于从多个装置访问数据的方法和系统 | |
CN101771689A (zh) | 通过管理性引擎进行企业网单点登录的方法和系统 | |
CA2655467A1 (en) | Authentication system, authentication server apparatus, user apparatus and application server apparatus | |
WO2008003175A1 (en) | One time password access to portable credential entry and memory storage devices | |
US20150341362A1 (en) | Method and system for selectively permitting non-secure application to communicate with secure application | |
WO2017084569A1 (zh) | 在智能终端中获取登陆凭证的方法、智能终端以及操作系统 | |
US20220237282A1 (en) | Decentralized password vault | |
US20230388304A1 (en) | Decentralized application authentication | |
US20230171087A1 (en) | Server Side Authentication | |
US9218501B2 (en) | Secure access management against volatile identity stores | |
US10078747B2 (en) | Resumption of logon across reboots | |
US9742761B2 (en) | Dynamic authentication for a computing system | |
Pravinbhai | Implementation of multi-tier authentication technique for single-sign on access of cloud services | |
Marchang et al. | Multidimensional: User with File Content and Server’s Status Based Authentication for Secure File Operations in Cloud |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090427 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111026 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111101 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120327 |