JP2010525471A - 段階的認証システム - Google Patents
段階的認証システム Download PDFInfo
- Publication number
- JP2010525471A JP2010525471A JP2010504617A JP2010504617A JP2010525471A JP 2010525471 A JP2010525471 A JP 2010525471A JP 2010504617 A JP2010504617 A JP 2010504617A JP 2010504617 A JP2010504617 A JP 2010504617A JP 2010525471 A JP2010525471 A JP 2010525471A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- plan
- user
- target server
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 56
- 230000004044 response Effects 0.000 claims abstract description 16
- 238000004590 computer program Methods 0.000 claims description 14
- 238000013475 authorization Methods 0.000 abstract description 7
- 238000004891 communication Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000005389 magnetism Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】全般的には、サーバに対するユーザ認証を、他のサーバに対する以前の認証に基づいて行うシステム、方法および媒体が開示される。
【解決手段】サーバに対してユーザの認証を行う方法の実施形態は、サーバに対してユーザの認証を行うリクエストを受信することと、認証計画との一致を、ユーザの認証を行うことが要求するかどうかを判断することとを含むとよい。計画が必要であれば、本方法はさらに、他のサーバへのユーザ・アクセスに関する期待情報をそれぞれ有する複数の認証記録を備えて格納されている認証計画にアクセスすることを含むとよい。本方法はさらに、ユーザの、現在の認証計画のインジケーションを、認証ストアから受信することを含むとよく、この計画は、ユーザ・アクセスに関する現在の情報をそれぞれ有する複数の承認記録を有する。本方法の実施形態はさらに、格納されている認証計画と、受信された現在の認証計画とを比較して、それらが一致するかどうかを判断することと、一致に応答して、ユーザを認証することとを含むとよい。
【選択図】図3
【解決手段】サーバに対してユーザの認証を行う方法の実施形態は、サーバに対してユーザの認証を行うリクエストを受信することと、認証計画との一致を、ユーザの認証を行うことが要求するかどうかを判断することとを含むとよい。計画が必要であれば、本方法はさらに、他のサーバへのユーザ・アクセスに関する期待情報をそれぞれ有する複数の認証記録を備えて格納されている認証計画にアクセスすることを含むとよい。本方法はさらに、ユーザの、現在の認証計画のインジケーションを、認証ストアから受信することを含むとよく、この計画は、ユーザ・アクセスに関する現在の情報をそれぞれ有する複数の承認記録を有する。本方法の実施形態はさらに、格納されている認証計画と、受信された現在の認証計画とを比較して、それらが一致するかどうかを判断することと、一致に応答して、ユーザを認証することとを含むとよい。
【選択図】図3
Description
本発明は、データ処理システムの分野に関し、特に、サーバに対するユーザ認証を、そのユーザによる、他のサーバに対する以前の認証に基づいて行う、段階的認証システム(cascading authentication system)を実装するシステム、方法および媒体に関する。
コンピュータ・システムは、当該技術分野において周知であり、今日の現代社会の数多くの部分にコンピュータの能力を提供するよう、広く使用されるようになった。半導体加工およびコンピュータ・アーキテクチャの進歩がコンピュータ・ハードウェアのパフォーマンスを引き続き押し進め、それにつれて、ハードウェアの高まるパフォーマンスを生かすよう、より高度なソフトウェアが発達し、結果として、複雑性および能力が上昇し続けるコンピュータ・システムがもたらされている。このように、コンピュータ・システムは、数多くの異なる環境にある極めて高度なデバイスへと発達した。
多くの組織が、電子商取引ウェブサイトの提供、複雑なマルチ・ユーザ・アプリケーションの提供、大規模データベースの保持、またはリソースを集中的に使用する他のタスクの実行など、複雑性の高いタスクにサーバ・コンピュータ・システムを利用する。コンピュータ処理のニーズが高い組織は、多岐にわたるタスクを実行する多数のサーバを、サーバがローカル・エリア・ネットワーク(LAN:local area network)などのネットワークを介して相互通信する状態で有することが多い。こういったシステムでは、個々のユーザは、サーバと対話して、アプリケーション、データベースまたはその他のリソースなどの種々のシステム・リソースにアクセスすることもあり、その結果、システム・リソースが複数のユーザによって共有されることもある。
多くの場合、ユーザは、複数レベルでの認証の通過に成功することで、ターゲット・サーバ(すなわち、ユーザがアクセスしたいソフトウェア・サーバ)に到達する。例えば、データベースであるターゲット・サーバにアクセスしたいユーザは、まず、そのユーザのコンピュータのオペレーティング・システムに対する認証を行い、次に、企業ネットワークにアクセスするためにインターネットから仮想プライベート・ネットワーク(VPN:Virtual Private Network)に対する認証を行い、続いて、ラボにアクセスするためにファイアウォールに対する認証を行い、さらに最後にラボのマシンにあるデータベースとの認証を行わなければならないこともある。リモート・マシンにログインするためにリモート・コントロール・セッションを確立すること、SSHまたはTelnetなどを用いたリモート・シェル・セッションを確立すること、またはその他のステップなど、他の認証ステップも考えられる。
しかし、そのような段階的認証のシステムは、ハッカーがレイヤを「スキップ」して、ターゲット・サーバからのレイヤ数をできる限り少なくし、そこから認証試行を開始することができる場合、セキュリティ・リスクをもたらし得る。例えば、誰かが特定のユーザになりすましたい場合、複数セットの証明書よりも1セットの証明書を推測または取得する方が格段に容易である(レイヤごとに異なる証明書を想定すれば)。このため、一般的には、レイヤが少ないことが一因となり、「内部者」として不正アクセスしやすくなる。実例としては、ハッカーを阻止する可能性95%の外側のウォール、可能性93%の内側のファイアウォール、可能性90%のセキュア・システム、および可能性85%のアプリケーション・レベルの認証という、4レイヤの認証を備えたシステムを想定することができる。外部からアプリケーションへと最後まで進む累積確率は、各ポイントで阻止される可能性を1から引いたものをシステム全体を通じて求めていくと、(0.05)(0.07)(0.10)(0.15)=0.0000525という確率になる。その一方、この例の場合、内部者がアプリケーションに直接アクセス可能であるとすれば、その前にあるレベルの認証を回避してしまうので、アプリケーションに達する可能性が15%(0.15)となる。
システム設計者らは、ハッカーが内部者をまねることにより複数レベルの認証をスキップする問題を解決しようと試みてきた。既知の解決策の1つは、定義済みのIPまたはMACアドレスからのみ認証を許し、アクセスを指定のアドレスに限定することである。しかし、この解決策は、特にVPNが関係している場合に実用的でないことが多い。さらにこの解決策は、承認されたマシンが共有されていると不十分であり、認証レイヤすべてを十分に活用せず、容易になりすましをされる可能性がある。別の既知の解決策は、スマート・カードまたはその他のデバイスなど、追加の認証を要求することである。しかし、この解決策は、インフラストラクチャの費用をかなり要求し、さらにユーザに不便さを感じさせる。これらの問題はどちらも、ユーザが複数レイヤの認証を行わなければならない場合に悪化する。これは、典型的には複数レイヤのそれぞれに別々のスマート・カードが要求されることになるためである。
上記で特定された問題は、大部分において、サーバに対するユーザ認証を、他のサーバに対する以前の認証に基づいて行うシステム、方法および媒体により対処される。サーバに対してユーザの認証を行う方法の実施形態は、サーバに対してユーザの認証を行うリクエストを受信することと、認証計画との一致を、ユーザの認証を行うことが要求するかどうかを判断することとを含むとよい。計画が要求される場合、本方法はさらに、ターゲット・サーバよりも前の認証レイヤにある別の特定のサーバへのユーザ・アクセスに関する期待情報をそれぞれ有する複数の認証記録を備えて格納されている認証計画にアクセスすることを含むとよい。本方法はさらに、ユーザの、現在の認証計画のインジケーション(indication)を、認証ストア(authentication store)から受信することを含むとよく、この計画は、ターゲット・サーバよりも前の認証レイヤにある別の特定のサーバへのユーザ・アクセスに関する現在の情報をそれぞれ有する複数の承認記録を有する。本方法の実施形態はさらに、格納されている認証計画と、受信された現在の認証計画とを、それらが一致するかどうかを判断するために比較することと、一致に応答して、ユーザの認証を行うこととを含むとよい。
別の実施形態は、コンピュータ可読プログラムを有するコンピュータ使用可能媒体を含むコンピュータ・プログラム製品を提供する。このコンピュータ可読プログラムは、コンピュータ上で実行されると、コンピュータに、サーバに対してユーザの認証を行う一連の動作を実行させる。一連の動作は、概して、サーバに対してユーザの認証を行うリクエストを受信することと、認証計画との一致を、ユーザの認証を行うことが要求するかどうかを判断することとを含む。計画が要求される場合、一連の動作はさらに、ターゲット・サーバよりも前の認証レイヤにある別の特定のサーバへのユーザ・アクセスに関する期待情報をそれぞれ有する複数の認証記録を備えて格納されている認証計画にアクセスすることを含むとよい。一連の動作の実施形態はさらに、ユーザの、現在の認証計画のインジケーションを、認証ストアから受信することを含むとよく、この計画は、ターゲット・サーバよりも前の認証レイヤにある別の特定のサーバへのユーザ・アクセスに関する現在の情報をそれぞれ有する複数の承認記録を有する。一連の動作の実施形態はさらに、格納されている認証計画と、受信された現在の認証計画とを、それらが一致するかどうかを判断するために比較することと、一致に応答して、ユーザの認証を行うこととを含むとよい。
さらなる実施形態は、段階的認証システムを提供する。段階的認証システムは、ターゲット・サーバへのアクセスをリクエストしているユーザに関連した格納されている認証計画にアクセスする認証計画マネージャ(authentication plan manager)を有するターゲット・サーバを含むとよく、格納されている認証計画は、ターゲット・サーバよりも前の認証レイヤにある別の特定のサーバへのユーザによるアクセスに関する期待情報をそれぞれ有する、1つ以上の認証記録を含む。段階的認証システムはさらに、ユーザに関連した現在の認証計画を格納する認証ストアを含むとよく、現在の認証計画は、ターゲット・サーバよりも前の認証レイヤにある別の特定のサーバへのユーザによるアクセスに関する現在の情報をそれぞれ有する、1つ以上の認証記録を含む。段階的認証システムの実施形態はさらに、特定のユーザに関連した現在の認証計画をターゲット・サーバの認証計画マネージャに提供する認証ストア・マネージャ(authentication store manager)を含むとよく、ターゲット・サーバの認証計画マネージャは、ユーザの認証を行うかどうかを、ユーザに関する格納されている認証計画と、ユーザに関する現在の認証計画との比較に基づいて判断する。
別の実施形態は、ターゲット・サーバに対してユーザの認証を行う方法を提供する。本方法の実施形態は、ターゲット・サーバより前の認証レイヤにある1つ以上のサーバに対して認証ステップを実行することと、実行された認証ステップそれぞれの認証イベント記録を、認証ストアに格納することとを含むとよい。本方法の実施形態はさらに、ターゲット・サーバに対する認証を試行することを含むとよく、そこでターゲット・サーバは、ユーザに関連した認証計画を要求する。本方法の実施形態はさらに、ターゲット・サーバへのアクセスが許可されたかどうかのインジケーションを受信することを含むとよい。
認証計画の各認証記録は、サーバ識別子と、認証イベント・ファクト(event fact)とを含むことが好ましい。認証ストアは、暗号化されたデータベースであるとより好ましい。認証ストア・マネージャは、ターゲット・サーバへのアクセスをリクエストしているユーザのユーザ・コンピュータ・システムの不揮発性メモリにおいて実行されるとさらに好ましい。認証ストア・マネージャは、信頼できる第三者機関のコンピュータ・システム上で実行されるとさらに好ましい。ターゲット・サーバへのアクセスが許可されなかったというインジケーションを受信するのに応答して、ターゲット・サーバとの認証計画の不一致が解消されるとさらに好ましい。
以下の詳細な説明を読み、添付の図面を参照することで、本発明の、特定の実施形態の態様が明らかとなる。図面では、同じ参照符号が同様の構成要素を示すこともある。
以下は、添付の図面に示されている本発明の実例としての実施形態の、詳細な説明である。例示としての実施形態は、本発明を明瞭に伝えるような詳しさとなっている。ただし、示される詳しさは、実施形態の予想される変形物を制限することを意図するものではなく、それどころか、添付の特許請求の範囲により定義される本発明の意図および範囲内に入るすべての変更物、等価物、代案を対象としようとするものである。以下の説明は、当業者に対しそのような実施形態を明らかなものとすることを目的とするものである。
全般的には、サーバに対するユーザ認証を、他のサーバに対する以前の認証に基づいて行うシステム、方法および媒体が開示される。サーバに対してユーザの認証を行う方法の実施形態は、サーバに対してユーザの認証を行うリクエストを受信することと、認証計画との一致を、ユーザの認証を行うことが要求するかどうかを判断することとを含むとよい。計画が要求される場合、本方法はさらに、ターゲット・サーバよりも前の認証レイヤにある別の特定のサーバへのユーザ・アクセスに関する期待情報をそれぞれ有する複数の認証記録を備えて格納されている認証計画にアクセスすることを含むとよい。本方法はさらに、ユーザの、現在の認証計画のインジケーションを、認証ストアから受信することを含むとよく、この計画は、ターゲット・サーバよりも前の認証レイヤにある特定のサーバである他のサーバへのユーザ・アクセスに関する現在の情報をそれぞれ有する複数の承認記録を有する。本方法の実施形態はさらに、格納されている認証計画と、受信された現在の認証計画とを、それらが一致するかどうかを判断するために比較することと、一致に応答して、ユーザの認証を行うこととを含むとよい。
開示される実施形態のシステムおよび方法は、ターゲット・サーバへのユーザの効果的かつ効率的な認証を可能にするものであり、これは、他のサーバに対して前に行われた他の認証に依存することによる。開示される実施形態によるターゲット・サーバは、ユーザの認証を行う前に、あらかじめ確立されている認証計画に従って、前の複数レイヤの認証を確認および要求する能力を与えられる。この解決策は、ハッカーまたは他の者が「内部者」を装うことなどによって最初の方の認証レイヤを迂回することの防止に役立ち、ターゲット・サーバの全般的なセキュリティを強化する。したがって、層構造の承認システムの内側レイヤが、前のレイヤの承認スキームからの恩恵をより直接的に受けることができるため、内側のレイヤは以前のシステムよりもセキュアになると考えられる。企業またはユーザ指定のルールが、複数の定義済み認証レイヤをユーザが通過しなければならないと命令する場合、開示されるシステムおよび方法は、特に内部者からのセキュリティを強化すると考えられる。
概して、本発明の実施形態を実装するために実行されるルーチンは、特定のアプリケーション、コンポーネント、プログラム、モジュール、オブジェクトまたは命令シーケンスの一部としてもよい。本発明のコンピュータ・プログラムは、典型的には、ネイティブ・コンピュータによって機械可読フォーマットに、ひいては実行可能命令に変換されることになる、多数の命令から成る。さらにプログラムは、プログラムに対してローカルにあるか、またはメモリ内もしくはストレージ・デバイス上にある変数およびデータ構造から成る。さらに、本願明細書に記載される種々のプログラムは、本発明の特定の実施形態においてプログラムが実装される用途に基づき特定されると考えられる。なお、当然のことながら、本願明細書の特定のプログラム用語は、いずれも単に便宜上使用されているものであり、したがって本発明は、そのような用語によって特定または暗示、あるいはその両方をされる特定の用途のみでの使用に限定されるべきではない。
以下では、ハードウェアまたはソフトウェアあるいはその両方の特定の構造を参照して特定の実施形態について記載するが、当業者であれば当然のことながら、本発明の実施形態は、有利には、実質的に等価な他のハードウェア、ソフトウェア・システム、手動操作、またはこれらのうちいずれかまたはすべての任意の組み合わせを用いて実装されるとよい。本発明は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、またはハードウェア要素およびソフトウェア要素両方を含んだ実施形態という形をとることができる。好適な実施形態では、本発明は、ファームウェア、常駐ソフトウェア、マイクロコードなどを含むがこれらに限定されないソフトウェアにおいて実装される。
本願明細書に記載される本発明の態様は、コンピュータ可読媒体に格納されても、またはコンピュータ可読媒体上で配布されてもよく、さらに、インターネット上または無線ネットワークなどの他のネットワーク上で電子的に配布されてもよい。本発明の態様に特有のデータ構造およびデータ送信(無線送信を含む)も、本発明の範囲内に含まれる。さらに、本発明は、コンピュータまたは任意の命令実行システムにより使用される、またはそれに関連して使用されるプログラム・コードを提供するコンピュータ可読媒体からアクセス可能な、コンピュータ・プログラム製品という形をとることができる。本記載では、コンピュータ使用可能媒体またはコンピュータ可読媒体は、命令実行システム、装置もしくはデバイスにより使用される、またはこれらに関連して使用されるプログラムを、含むこと、格納すること、伝達すること、伝播させること、または転送することができる任意の装置とすることができる。媒体は、電子、磁気、光学、電磁気、赤外線または半導体のシステム(もしくは装置もしくはデバイス)、または伝播媒質としてもよい。コンピュータ可読媒体の例には、半導体または固体メモリ、磁気テープ、取り外し可能なコンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM:random access memory)、読み取り専用メモリ(ROM:read−only memory)、剛体磁気ディスクおよび光ディスクがある。光ディスクの現在の例には、コンパクト・ディスク‐読み取り専用メモリ(CD‐ROM:compact disk‐read only memory)、コンパクト・ディスク‐リード/ライト(CD‐R/W:compact disk−read/write)およびDVDがある。
本願明細書に記載される各ソフトウェア・プログラムは、パーソナル・コンピュータ、サーバなど、任意の種類のデータ処理システム上で運用されればよい。プログラム・コードの格納または実行、あるいはその両方を行うのに適したデータ処理システムは、システム・バスを介して直接的または間接的にメモリ要素に結合された、少なくとも1つのプロセッサを含むと考えられる。メモリ要素は、プログラム・コードの実行中に用いられるローカル・メモリと、大容量ストレージと、実行中に大容量ストレージからコードを読み出さなければならない回数を減らすために少なくとも一部のプログラム・コードの一時的なストレージとなるキャッシュ・メモリとを含み得る。入出力(I/O:Input/Output)デバイス(限定されるものではないが、キーボード、ディスプレイ、ポインティング・デバイスなどを含む)を、直接、または介在するI/Oコントローラを介してシステムに結合可能である。データ処理システムを、介在するプライベート・ネットワークまたはパブリック・ネットワークを介して他のデータ処理システムまたはリモート・プリンタまたはストレージ・デバイスに結合できるよう、ネットワーク・アダプタもシステムに結合されているとよい。モデム、ケーブル・モデムおよびイーサネット(R)カードが、現時点で入手可能な種類のネットワーク・アダプタのごく一部である。
以下、図面を参照する。図1は、一部の実施形態による、ユーザ・コンピュータ・システム、複数のターゲット・サーバ、および認証ストアを備える段階的認証システムの環境を示す。示されている実施形態では、段階的認証システム100は、ネットワーク104を介して通信している、ユーザ・コンピュータ・システム102と、複数のターゲット・サーバ106とを含む。ターゲット・サーバ106は、後述のように、マシンの分類の意味よりもソフトウェアの意味でのサーバであり、したがって、アクセスのために認証が要求され得るソフトウェア・エンティティ(例えばアプリケーション、オペレーティング・システム、ネットワーク・インターフェースなど)と見なされるとよい。ユーザ・コンピュータ・システム102またはターゲット・サーバ106あるいはその両方はさらに、ネットワーク104を介して認証ストア108と通信しているとよい。
ユーザ・コンピュータ・システム102のユーザは、ファイアウォール・ターゲット・サーバ106およびオペレーティング・システムの認証プロトコルによって保護されているデータベース・ターゲット・サーバ106など、一連のターゲット・サーバ106において1以上内側のレイヤの、特定のターゲット・サーバ106にアクセスすることを望むこともある。後でさらに詳しく記載されるように、開示されるシステムは、有利には、データベース・ターゲット・サーバ106に対する認証の前にファイアウォールまたはオペレーティング・システム・ターゲット・サーバ106に対するユーザの認証についての情報を要求することなどによって、特定のターゲット・サーバ106に対する認証を与える前に下位レベルのターゲット・サーバ106における認証についての情報を要求するとよい。これを達成するために、ターゲット・サーバ106は、前に格納された認証計画と、ユーザの現在の認証についての情報とを比較して、それらが一致するかどうかを判断するとよい。それらが一致しなければ、そのユーザは内部者を装って複数レベルの認証をスキップしている可能性があるため、ターゲット・サーバ106はアクセスを拒否するとよく、一方、一致すれば、ユーザはターゲット・サーバ106へ認証されるとよい。認証計画は、ユーザが認証を許される前に実行されなくてはならない1つ以上の定義済み認証ステップを含むとよい。実例としての認証計画は、例えば、サーバAから独立しているとよいサーバBがユーザの認証を許す前に、ユーザはまず、他の点では証明書が完璧であっても、サーバAにて認証を行わなければならないと要求してもよい。認証計画は、必要なだけ、またはユーザもしくはターゲット・サーバ106が望むだけの数のステップを要求してよい。
ユーザは、認証を経てターゲット・サーバ106にアクセスするのを容易にするために、本実施形態によるユーザ・コンピュータ・システム102を利用するとよい。ユーザ・コンピュータ・システム102は、パーソナル・コンピュータ、ワークステーション、サーバ、ノートブックもしくはラップトップ・コンピュータ、デスクトップ・コンピュータ、携帯情報端末(PDA:personal digital assistant)、移動電話、無線デバイスまたはセット・トップ・ボックスなど、コンピュータ・プログラムを実行するようになっているパーソナル・コンピュータ・システムまたはその他のコンピュータ・システムであればよい。ユーザは、ユーザ・インターフェースを介してユーザ・コンピュータ・システム102と対話して、例えばターゲット・サーバ106へのアクセスをリクエストしても、またはターゲット・サーバ106からアクセスが許可されたかどうかについての情報を受信してもよい。ユーザ・コンピュータ・システム102は、情報の送受信のためにネットワーク104と通信しているとよい。
ユーザ・コンピュータ・システム102は、段階的認証に役立つ認証ストア・マネージャ112を含むとよい。図4に関してより詳しく記載される認証ストア・マネージャ112は、ターゲット・サーバ106または認証ストア108、あるいはその両方との対話を実現するとよい。認証ストア・マネージャ112は、例えば、実行された認証ステップそれぞれの認証イベント記録を、認証ストア108に格納してもよい。認証ストア・マネージャ112はさらに、ターゲット・サーバ106がアクセスを許可もしくは拒否するとき、認証計画をリクエストもしくは確立するとき、または認証計画とユーザの現在の認証との間の矛盾の解消をリクエストするときなどに、ターゲット・サーバ106と対話するとよい。したがって、認証ストア・マネージャ112は、承認情報をリクエストする様々なターゲット・サーバ106の承認メカニズム用承認情報の、信頼できるソースとして機能するとよい。
ネットワーク104は、インターネット、イントラネット、LAN、WAN、イーサネット(R)ネットワーク、無線ネットワーク、電話ネットワーク、固有ネットワーク、またはブロードバンド・ケーブル・ネットワークなど、任意のタイプのデータ通信チャネルまたは複数チャネルの組み合わせであればよい。一例では、組織内での通信を容易にするには、企業環境内でのユーザ・コンピュータ・システム102とターゲット・サーバ106との間のネットワーク104としてLANが特に有用なこともあり、一方、他の例では、ネットワーク104は、ユーザ・コンピュータ・システム102とウェブ・ベースの認証ストア108とを、ネットワーク104としての機能を果たすインターネットを用いて接続してもよい。なお、当業者には当然のことながら、本願明細書に記載される本発明は、本発明の範囲または意図から逸脱することなく、任意のタイプまたは組み合わせのデータ通信チャネル(単数または複数)を利用して実装され得る。
前述のように、ターゲット・サーバ106は、ソフトウェア・エンティティであり、各ターゲット・サーバ106のリソースにアクセスするためには、ソフトウェア・エンティティに対し認証が必要でそれが許可されるようにすればよい。ターゲット・サーバ106は、オペレーティング・システム、データベース、ファイアウォール、仮想プライベート・ネットワーク(VPN)、ネットワーク、アプリケーション、またはその他のエンティティを含め、多岐にわたるソフトウェア・エンティティを含んでよい。1つ以上のターゲット・サーバ106が、アプリケーション・サーバなどのサーバ・コンピュータ・システム、並びにその他任意のタイプのコンピュータ・システム(図2との関連で記載されているものなど)上に実装されるとよい。図1に示されているように、内側のターゲット・サーバ106へのアクセスが、最初に、外側(図1で)の下位レベル・ターゲット・サーバ106へのアクセスを要求するように、ターゲット・サーバ106がレイヤにネストされているとよい。例えば、示されている実施形態では、レベル3にあるターゲット・サーバ106へのアクセスは、レベル1および2にあるターゲット・サーバ106へのアクセスも要求することになる。
各ターゲット・サーバ106は、ターゲット・サーバ106へのアクセスをリクエストするユーザに関連した格納されている認証計画にアクセスするために、認証計画マネージャ110を含むとよい。格納されている認証計画は、ターゲット・サーバ106よりも前の認証レイヤにある別のターゲット・サーバ106へのユーザによるアクセスに関する期待情報をそれぞれ有する、1つ以上の認証記録を含むとよい。認証計画マネージャ110は、ユーザの現在の認証状況を表す現在の認証計画を、認証ストア・マネージャ112(それ自体が認証ストア108の現在の認証計画にアクセスするとよい)から提供するとよい。認証計画マネージャ110はさらに、ユーザの認証を行うかどうかを、格納されている認証計画と、現在の認証計画との比較に基づき判断するとよい。認証計画マネージャ110は、期待される、格納されている認証計画と、現在の認証計画とを比較することによって、ターゲット・サーバ106の下位レベルにおいてユーザが適切に認証してきたかどうかを確かめるとよく、ユーザの他の証明書(パスワードなど)が正確であってもそのようなユーザに対してアクセスを拒否することもでき、ターゲット・サーバ106の改善されたセキュリティを実現する。
レガシー・システムなどの一部のターゲット・サーバ106には、認証計画マネージャ110がなく、したがって関連の認証計画を要求しないこともあるが、それでもやはり、これらのターゲット・サーバ106からの認証が後続のターゲット・サーバ106によって使用されて、それらのセキュリティが強化されるとよい。したがって、開示されるシステムを実装していないターゲット・サーバ106は、認証情報をリクエストせず、代わりに、普通に認証を実行するため、開示されるシステムは既存のインフラストラクチャに適合する。図1に示されているように、1つの段階的認証システム100内で、一部のターゲット・サーバ106が、認証計画マネージャ110を有し(したがって開示されるシステムが実装されている)、一方、その他のターゲット・サーバ106が、認証計画マネージャ110を有しなくてもよい。
認証ストア108は、ハード・ドライブ、ストレージ・エリア・ネットワーク、メモリ、固定もしくは取り外し可能ストレージ、またはその他のストレージ・デバイスなどの揮発性または不揮発性ストレージを含め、任意のタイプまたは組み合わせのストレージ・デバイスを含めばよい。一部の実施形態では、認証ストア108は、読み書きをリクエストする承認された任意の認証メカニズムのための、認証ストア・マネージャ112などの信頼できるソースによって読み書き可能な、異種のローカルおよびリモート認証情報の暗号化データベースとしてもよい。認証ストア108は、スタンドアロン・コンポーネント(おそらく、信頼できる第三者機関によってリモート・サーバもしくは複数サーバのネットワーク上に実装される)である、またはユーザ・コンピュータ・システム102もしくは認証ストア・マネージャ112の一部であるなど、段階的認証システム100の種々の位置にあってよい。
図2は、段階的認証システムのコンポーネントとして使用するのに適したコンピュータ・システム200の一実施形態のブロック図を示す。本願明細書で与えられる機能以外の機能、および場合によってはそれら機能より勝る機能を有するコンピュータを含め、コンピュータ・システム200に関しては他の可能性も考えられ、他の実施形態では、ワークステーション、サーバ、メインフレーム・コンピュータ、ノートブックまたはラップトップ・コンピュータ、デスクトップ・コンピュータ、PDA、移動電話、無線デバイス、セット・トップ・ボックスまたは同様のものなどの、処理デバイスの任意の組み合わせとしてもよい。コンピュータ・システム200のコンポーネントのうち少なくともいくつかは、コンピュータ・システム200のコンポーネントを電気的に相互接続する手段を提供するべく、多層プレーナまたはマザーボード(それ自体がシャーシに取り付けられていてもよい)上に取り付けられてもよい。コンピュータ・システム200は、1つ以上のターゲット・サーバ106、ユーザ・コンピュータ・システム102、または認証ストア108、あるいはそれらすべてを実装するために利用されるとよい。
示されている実施形態では、コンピュータ・システム200は、バス212またはその他のインターコネクトに接続された、プロセッサ202、ストレージ204、メモリ206、ユーザ・インターフェース・アダプタ208、ディスプレイ・アダプタ210を含む。バス212は、プロセッサ202と、コンピュータ・システム200の他のコンポーネントとの間、並びにコンポーネント間の通信を促す。プロセッサ202は、命令を実行する、1つ以上のシステム中央処理ユニット(CPU:central processing unit)またはプロセッサを含むとよい。プロセッサ202は、ストレージ204を利用するとよく、ストレージ204は、1つ以上のハード・ドライブ、テープ・ドライブ、ディスケット・ドライブ、CD‐ROMドライブ、DVD‐ROMドライブまたは同様のものなどの不揮発性ストレージであればよい。プロセッサ202はさらに、メモリ・コントローラ・ハブ(MCH:memory controller hub)を介してなど、バス212を介してメモリ206に接続されているとよい。システム・メモリ206は、ランダム・アクセス・メモリ(RAM)またはダブル・データ・レート(DDR:double data rate)同期型ダイナミック・ランダム・アクセス・メモリ(SDRAM:synchronous dynamic random access memory)などの揮発性メモリを含むとよい。例えば、開示されるシステムでは、プロセッサ202は、命令を実行して認証ストア108と対話することなどによって、認証ストア・マネージャ112の機能を実行するとよく、さらに、その計算中に情報を、または計算後に結果を、ストレージ204またはメモリ206に一時的または恒久的に格納するとよい。例えば、認証ストア・マネージャ112の一部分はすべて、そのルーチンの実行中にメモリ206に格納されてもよい。
ユーザ・インターフェース・アダプタ208は、プロセッサ202と、マウス220またはキーボード222などのユーザ・インターフェース・デバイスとを接続するとよい。ユーザ・インターフェース・アダプタ208はさらに、タッチ・パッド、タッチ・スクリーン、電子ペン、マイクロホンなどの、他のタイプのユーザ入力デバイスと接続してもよい。例えば、ターゲット・サーバ106へのアクセスをリクエストするか、または認証計画の不一致を解消するクライアント102のユーザは、キーボード222およびマウス220を利用してコンピュータ・システムと対話してもよい。バス212はさらに、ディスプレイ・アダプタ210を介して、プロセッサ202をLCDディスプレイまたはCRTモニタなどのディスプレイに接続するとよい。
認証ストア・マネージャ112は、図2においてプロセッサ202内にあるように示されている(BIOSのコンポーネントなど)が、当業者には当然のことながら、他の選択肢も考えられる。好適な実施形態では、認証ストア・マネージャ112は、ハッキングの可能性を最小限にするために、セキュリティが十分なレベルにある位置で実行すればよい。認証ストア・マネージャ112は、認証ストア108から正確な情報を提供すると信頼されるため、信頼できる機関によって、信頼できる暗号化を用いて実装され、さらに、こういった記録の偽造を防止するよう、認証されている各ターゲット・サーバ106と秘密鍵(またはその他適切な暗号方式)を交換することが好ましい。したがって、認証ストア・マネージャ112は、図2に示されているようにハードウェアにおいて低レベルにて(BIOS)実装されても、オペレーティング・システム(すなわちカーネル)において実装されても、またはベリサイン社(VeriSign,Inc.)などの第三者機関、またはコーポレート・ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP:Lightweight Directory Access Protocol)ディレクトリ・エクステンション(directory extension)によって実装されてもよい。ファイアウォール、およびその他、ネットワークの限られた可視度が理由で、リクエストに対応するようネットワーク中を橋渡しするために代理認証ストア・マネージャ(proxy authentication store manager)112が要求されることもある。
図3は、一部の実施形態による認証計画マネージャ110のソフトウェア・コンポーネントの概念図を示す。前に(および図7に関してより詳しく)記載されているように、認証計画マネージャ110は、格納されている認証計画、および認証ストア108にあるユーザの現在の認証に基づいて、ユーザの認証を行うとよい。認証計画マネージャ110は、認証ストア・マネージャ・インターフェース・モジュール302と、ユーザ・コンピュータ・システム・インターフェース・モジュール304と、認証計画リポジトリ306と、認証モジュール308とを含むとよい。認証ストア・マネージャ・インターフェース・モジュール302は、認証ストア・マネージャ112を介した認証ストア108との通信を提供し、それによって、認証ストア108と、認証計画マネージャ110の他のコンポーネントとの間のインターフェースとしての機能を果たすとよい。ユーザ・コンピュータ・システム・インターフェース・モジュール304は、ターゲット・サーバ106に対するアクセスのリクエストの受信、ユーザにアクセスが許可されたかどうかのインジケーションの送信を含む、ユーザ・コンピュータ・システムとの通信を提供するとよい。ユーザ・コンピュータ・システム102が認証ストア・マネージャ112を含む場合など、一部の実施形態では、認証ストア・マネージャ・インターフェース・モジュール302およびユーザ・コンピュータ・システム・インターフェース・モジュール304の機能性が、1つのモジュールへと組み合わせられてもよい。
認証モジュール308は、本実施形態に従って、種々の機能を提供してユーザの認証を促せばよい。認証モジュール308は、認証計画リポジトリ306に複数のユーザに関連した認証計画を格納し、それらにアクセスするとよい。認証モジュール308は、認証計画がユーザから受信されたときまたはユーザ用に(もしくはユーザに関連して)作られたときに、認証計画を格納するとよく、認証計画マネージャ110を実装するターゲット・サーバ106へのアクセスをユーザがリクエストするのに応答して、格納されている認証計画にアクセスするとよい。ユーザ・コンピュータ・システム・インターフェース・モジュール304がユーザから認証リクエストを受信した後、認証モジュール308は、認証計画リポジトリ306の、そのユーザに関して格納されている認証計画にアクセスし、その計画と、現在の認証計画(認証ストア・マネージャ・インターフェース・モジュール302によって受信される)とを比較するとよい。
図4は、一部の実施形態による認証ストア・マネージャ112のソフトウェア・コンポーネントの概念図を示す。前に(および図6に関してより詳しく)記載されているように、認証ストア・マネージャ112は、認証ストア108を管理することにより、複数のターゲット・サーバ106の、ユーザの認証に関する認証情報の格納および管理を促せばよい。認証ストア・マネージャ112は、ユーザ・インターフェース・モジュール402と、認証ストア・インターフェース・モジュール404と、サーバ・インターフェース・モジュール406と、認証イベント・モニタ408と、認証計画生成器410とを含むとよい。ユーザ・インターフェース・モジュール402は、ターゲット・サーバ106へのアクセス要求を受け取ること、および、アクセスが許可または拒否されたというインジケーション、認証計画が作成または修正される必要があるというインジケーション、またはその他の情報を送ることを含む、ユーザとの通信を促せばよい。認証ストア・インターフェース・モジュール404は、認証イベントのインジケーションを認証ストア108へ格納すること、およびターゲット・サーバ106などの認証エンティティのリクエストに基づいて認証計画にアクセスすることを含む、認証ストア108との通信を促せばよい。サーバ・インターフェース・モジュール406は、ターゲット・サーバ106(およびその認証計画マネージャ110)と、認証ストア・マネージャ112との間の通信を促せばよい。3つのインターフェース・モジュール402、404および406はそれぞれ、認証ストア・マネージャ112のコンポーネントと、外部エンティティとの間の通信を実現すればよく、それらの機能性は任意の方法で組み合わせまたは分割されてもよい。
認証イベント・モニタ408は、ユーザの実行済み認証ステップ(例えばパスワードの入力、スマート・カードの使用など)を監視するとよく、そのようなステップの暗号化されたインジケーションを、認証ストア108に(認証ストア・インターフェース・モジュール404を介して)格納するとよい。一部の実施形態では、認証イベント・モニタ408は、認証ステップごとに、後続の認証レイヤがリクエストし得る情報と共に認証ストア108に格納する暗号化されたイベント記録を作成するとよい。認証記録の情報は、内部管理用の一意の記録識別子、1つ以上のターゲット・サーバ106識別子(MACアドレス、サーバ・タイプ、サーバ識別子、サーバ・グループ、IPアドレスなど)、1つ以上のユーザ識別子(ユーザ名、グループ名など)、1つ以上の認証イベント・ファクト(ログイン成功前に失敗した認証試行の数、認証ストア108に対してローカルのタイムスタンプなど)、または他の情報のうちの1つ以上を含むとよい。
認証計画生成器410は、ユーザに関する認証計画の作成および保持を促せばよい。ユーザは、ターゲット・サーバ106により要求または許可された場合に、特定のターゲット・サーバ106に関する認証計画において使用されるべき、その認証ストア内の現在の記録を特定することなどによって、計画を作成してもよい。一部の実施形態では、ターゲット・サーバ106の管理者が、任意の認証計画で要求される必要な認証ステップをあらかじめ決めていてもよい。例えばサーバ管理者は、認証計画が、少なくともサーバ・タイプBIOS、OS、VPNおよびFIREWALLを含み、さらに場合により、具体的なVPNサーバ・グループまたはファイアウォールIPアドレスなどのあらかじめ知られているさらなる情報を含むよう要求することができるであろう。ユーザはさらに、ユーザの保護のために、ターゲット・サーバ106により要求されるもの以上の追加のステップが含まれるようリクエストしてもよい。
図5は、一部の実施形態による、特定ユーザおよびターゲット・サーバに関する認証計画を作成する流れ図500の例を示す。流れ図500の方法は、一実施形態では、認証計画マネージャ110および認証ストア・マネージャ112などの、段階的認証システム100のコンポーネントにより実行されればよい。流れ図500は、特定のユーザの認証計画を作成するリクエストを受信する要素502から開始する。認証計画のリクエストは、認証計画が要求されていることをユーザに通知しようと試行するターゲット・サーバ106から受信されても、特定のターゲット・サーバ106との認証計画を確立することをリクエストするユーザから受信されてもよい。
決定ブロック504で、認証ストア・マネージャ112は、その特定のユーザおよび他の認証レベルに関して現在の認証記録が存在するかどうかを判断するとよい。存在すれば、認証ストア・マネージャ112は、ユーザが、どの認証イベントをターゲット・サーバ106に関する認証計画に含めたいかを選択できるように、(認証ストア108からの)存在する認証記録の現在のリストをユーザに示すとよい。認証ストア・マネージャ112は、認証計画で使用されることになる、認証ストア108内の、現在の記録の識別を、要素506にて受信するとよい。ターゲット・サーバ106はさらに、ユーザが選んだものに加えて、ユーザからの特定の認証イベントを要求してもよい。要素508で、認証ストア・マネージャ112の認証計画生成器410が、ユーザおよびターゲット・サーバ106のプリファレンスおよび選択に基づいて、認証計画を作成するとよい。
認証計画が作成された後、続いて認証ストア・マネージャ112のサーバ・インターフェース・モジュール406が、要素510で、計画をターゲット・サーバ106へ送信するとよい。ターゲット・サーバ106は、要素512で認証計画を受信し、要素514で計画を認証計画リポジトリ306に格納し、その後方法が終了する。認証計画リポジトリ306は、一部の実施形態において、多数のユーザの種々の認証計画用のストレージとしての機能を果たすとよい。
図6は、一部の実施形態による、ユーザによるターゲット・サーバに対する認証の流れ図600の例を示す。流れ図600の方法は、一実施形態では、認証ストア・マネージャ112などの、段階的認証システム100のコンポーネントにより実行されればよい。流れ図600は、認証ストア108内の認証記録を更新する省略可能な要素602から開始する。認証ストア・マネージャ112は、様々な理由で認証記録を更新し得る。例えば、一部の実施形態では、認証ストア・マネージャ112は、認証済みのターゲット・サーバ106がログ・アウトもしくは切断された場合、または認証計画において早い方のターゲット・サーバ106が同様にログ・アウトもしくは切断された場合は必ず認証記録を削除することにより、古い情報を回避することを試みるとよい。これらの実施形態では、認証記録はまず、レポートまたは使用分析など、保存を目的として、別のテーブルに書き込まれるとよい。認証ストア・マネージャ112は、ターゲット・サーバの認証システムに現在の状況を周期的に問い合わせること、ターゲット・サーバ106から記録削除のリクエストを受信すること、またはそのようなリクエストをユーザから受信すること、あるいはそのいずれかの組み合わせにより、これを達成してもよい。認証ストア・マネージャ112はさらに、認証計画において上位のターゲット・サーバ106がログ・アウトされた場合、またはそのようなサーバがユーザを無効化もしくはサスペンドした場合に、下流のターゲット・サーバ106をログ・アウトすることにより、逆の手順を実行してもよい。
ユーザ・コンピュータ・システム102は、要素604で、マシン・ハードウェア(パワー・オン・パスワードを用いて)、そのオペレーティング・システム、VPN、ファイアウォール、データベースなどのターゲット・サーバ106への認証に成功することなどによって、種々のターゲット・サーバ106に対して認証ステップを実行するとよい。要素606で認証ストア・マネージャ112は、前述のように、暗号化された認証記録をユーザの認証ストア108に格納するとよい。認証記録は、認証ステップの成功のインジケーション、タイムスタンプ、必要であった試行数のインジケーションなど、認証ステップの実行についての情報を含めばよい。続いて、ユーザ・コンピュータ・システム102は決定ブロック608で、ターゲット・サーバ106への認証を試行するとよい。当該のターゲット・サーバ106が認証計画を要求しなければ、本方法は、認証ステップを実行する要素604へ戻って、実行されたステップに基づいて認証記録を格納するとよい。
ターゲット・サーバ106が認証計画を要求する場合、認証ストア・マネージャ112は要素610で、現在の認証計画のリクエストをターゲット・サーバ106から受信するとよい。前述のとおり、現在の認証計画は、ターゲット・サーバ106より前の複数の認証レイヤにある複数サーバに関する、1つ以上の認証ステップの認証記録を含むとよい。したがって、現在の認証計画に含まれる認証記録は、ユーザに関して期待される認証記録(すなわち、ユーザが行ってきたとターゲット・サーバ106が期待すること)である。次に、認証ストア・マネージャ112は要素612で、ユーザに関する認証計画にアクセスするとよく、続いて要素614で、認証計画からの期待される情報を、ターゲット・サーバ106へ送信するとよい。
認証計画からの情報が送信された後、ユーザ・コンピュータ・システム102およびその認証ストア・マネージャ112は、要素616で、ターゲット・サーバ106によってアクセスが許可されたかどうかのインジケーションを受信するとよい。決定ブロック618でアクセスが許可されていたら、流れ図600の方法は終了する(ユーザは、遂行のためにアクセスを求めていた何らかのタスクを実行する)か、または要素604で認証ステップを実行するよう要素604に戻る。決定ブロック618でアクセスが許可されていなければ、認証ストア・マネージャ112は、それらが承認されていない認証計画によってアクセスしていると通知されるとよい。認証計画の変更が必要であれば、本方法は要素620へ進み、そこで認証ストア・マネージャ112が、ターゲット・サーバ106との任意の認証計画の不一致を解消するとよく、その後本方法が終了する。認証計画の変更が必要な場合、典型的にはユーザと連携した管理者の介入が必要であるが、これは、秘密のパスフレーズ、スマート・カード、またはその他の認証方法などによる追加の認証を要求することなどにより、任意の方法で実行されればよい。これは、ユーザになりすましている何者かが、認証計画を、なりすましを行う者(すなわちハッカー)にとってより容易なものへ変更するよう、またはサービス攻撃の拒否として、リクエストすることを防止するのに役立つ。
図7は、一部の実施形態に対する、ターゲット・サーバによるユーザ認証の流れ図700の例を示す。流れ図700の方法は、一実施形態では、ターゲット・サーバ106の認証計画マネージャ110などの、段階的認証システム100のコンポーネントにより実行されればよい。流れ図700は、ターゲット・サーバ106に対してユーザが認証を行うためのリクエストをユーザ・コンピュータ・システム102から受信する要素702から開始する。決定ブロック704で、認証計画マネージャ110は、ターゲット・サーバ106への認証を望む特定のユーザが、確立されている認証計画との一致を要求するかどうかを判断するとよい。認証計画が要求されなければ、本方法は要素722へ進み、ここで、ユーザは標準的な方法で(すなわちユーザの認証証明書を確認して)認証され、その後本方法が終了する。認証計画が要求される場合、本方法は要素706へ進む。
要素706で、認証計画マネージャ110の認証モジュール308は、認証計画リポジトリ306に格納済みの、ユーザに関して格納されている認証計画にアクセスするとよい。ユーザ・コンピュータ・システム・インターフェース・モジュール304は、要素708で、認証計画のリクエストを認証ストア・マネージャ112へ送信するとよい。認証計画マネージャ110は、要素710で、現在の認証計画が認証ストア108に存在するかどうかのインジケーションを認証ストア・マネージャ112から受信するとよい。決定ブロック714で、現在の計画が存在しなければ、本方法は要素724へ進み、ここで認証モジュール308が、ターゲット・サーバ106へのアクセスを拒否し、認証ストア・マネージャ112との認証計画の任意の不一致を解消しようと試行する。例えば、この試行が、そのターゲット・サーバ106に認証しようとする、ユーザの最初の(またはリセット後の)試行であれば、ユーザと連携してターゲット・サーバ106に関する認証計画を作るよう、認証計画作成メソッドが呼び出されるとよい。あるいは前述のように、認証のために、パスフレーズなどの追加の認証証明書を提供するようユーザがリクエストされてもよい。
決定ブロック714で現在の認証計画が存在すれば、認証計画マネージャ110は要素716で、認証ストア・マネージャ112を介して、認証ストア108からの、格納されている認証計画に関連した認証記録をリクエストするとよい。要素718で、認証計画マネージャ110は、現在の認証計画(または格納されている認証計画への一致が要求される、現在の認証計画の、認証記録のサブセット)を受信するとよい。
認証モジュール308は決定ブロック720で、格納されている認証計画と、受信された現在の認証計画とを比較して、それらがユーザのアクセスを許すのに十分一致するかどうかを判断する。一部の実施形態では、認証モジュール308は、アクセスを許すためには、格納されている認証計画と、現在の認証計画との完全な一致を要求してもよい。他の実施形態では、認証モジュール308は、現在の認証計画における認証イベントのタイムスタンプを分析すること(および、時間の点で古すぎるものを認めないこと)、前の認証イベントに関する認証の問題を分析すること(例えば、認証までの試行数が多すぎるなど、疑わしいパターンを示すものを認めないことなど)、またはその他のタイプの分析などによって、より高度な分析を行うとよい。
認証モジュール308が決定ブロック720で、一致があると判断すれば、本方法は要素722へ進み、ここでユーザは標準的な方法で(特定の認証証明書を要求することなどによって)認証されるとよく、その後本方法が終了する。一致がなければ流れ図700の方法は、前述のように、認証計画の不一致を解消する要素724へ進み、その後本方法が終了するとよい。したがって、流れ図700の方法は、ユーザの現在の認証と、前に確立された認証計画とを比較して、標準的な方法でのユーザ認証を許すために十分な一致を要求することにより、ターゲット・サーバ106に対するユーザの改善された認証を提供すると考えられる。
この開示を利用できる当該技術分野の当業者には当然のことながら、本発明は、サーバに対するユーザ認証を、そのユーザによる、他のサーバに対する以前の認証に基づいて行う、方法、システムおよび媒体を意図する。当然のことながら、詳細な説明および図面に図示および記載された本発明の形は、単に実例と見なされるべきである。以下の特許請求の範囲は、開示された実例としての実施形態の変形物すべてを含むよう、広く解釈されるものとする。
Claims (28)
- ターゲット・サーバに対してユーザの認証を行う方法であって、
前記ターゲット・サーバに対して前記ユーザの認証を行うリクエストを、ユーザ・コンピュータ・システムから受信するステップと、
認証計画との一致を、前記ユーザの認証を行うことが要求するかどうかを判断するステップと、
認証計画との一致が要求されると判断するのに応答して、前記ユーザに関連した格納されている認証計画にアクセスするステップであって、前記格納されている認証計画は、前記ターゲット・サーバよりも前の認証レイヤにあるサーバへのユーザ・アクセスに関連した期待データをそれぞれ有する1つ以上の認証記録を有する、前記ステップと、
前記ユーザの、現在の認証計画のインジケーションを、認証ストアから受信するステップであって、前記現在の認証計画は、前記ターゲット・サーバよりも前の認証レイヤにあるサーバへのユーザ・アクセスに関連した現在のデータをそれぞれ有する1つ以上の認証記録を有する、前記ステップと、
前記格納されている認証計画と、前記受信された現在の認証計画とを、それらが一致するかどうかを判断するために比較するステップと、
前記格納されている認証計画と、前記現在の認証計画との一致に応答して、前記ユーザの認証を行うステップと、
を含む方法。 - 認証計画との一致が要求されると判断するのに応答して、現在の認証計画のリクエストを前記ユーザ・コンピュータ・システムへ送信するステップをさらに含む、請求項1に記載の方法。
- 前記格納されている認証計画と、前記現在の認証計画との不一致に応答して、前記認証計画の不一致を解消するステップをさらに含む、請求項1に記載の方法。
- 前記認証計画の不一致を解消する前記ステップは、追加の認証データを要求するステップと、認証計画を修正するステップと、認証計画を作成するステップとのうちの少なくとも1つを含む、請求項3に記載の方法。
- 前記格納されている認証計画と、前記現在の認証計画とを、それらが一致するかどうかを判断するために比較する前記ステップは、前記認証計画間で、認証計画のうちの少なくとも指定のサブセットが一致するかどうかを判断するために、各認証計画の認証記録を比較するステップを含む、請求項1に記載の方法。
- 前記ターゲット・サーバより前の認証レイヤにある1つ以上のサーバに対して、認証ステップを実行するステップと、
実行された認証ステップそれぞれの認証イベント記録を、認証ストアに格納するステップと、
をさらに含む、請求項1に記載の方法。 - 前記ユーザに関連した認証計画を要求する前記ターゲット・サーバに対する認証を試行するステップと、
前記ターゲット・サーバへのアクセスが許可されたかどうかのインジケーションを受信するステップと、
をさらに含む、請求項1に記載の方法。 - 前記ターゲット・サーバより前の複数の認証レイヤにある複数のサーバに対して実行された1つ以上の認証ステップの、格納されている認証記録を有する現在の認証計画を、前記ターゲット・サーバへ送信するステップをさらに含む、請求項1に記載の方法。
- 現在の認証計画のリクエストを、前記ターゲット・サーバから受信するステップをさらに含む、請求項1に記載の方法。
- プログラム・コード手段を含むコンピュータ・プログラムであって、前記プログラムがコンピュータ上で実行されると、
ターゲット・サーバに対してユーザの認証を行うリクエストを、ユーザ・コンピュータ・システムから受信するステップと、
認証計画との一致を、前記ユーザの認証を行うことが要求するかどうかを判断するステップと、
認証計画との一致が要求されると判断するのに応答して、前記ユーザに関連した格納されている認証計画にアクセスするステップであって、前記格納されている認証計画は、前記ターゲット・サーバよりも前の認証レイヤにあるサーバへのユーザ・アクセスに関連した期待データをそれぞれ有する1つ以上の認証記録を有する、前記ステップと、
前記ユーザの、現在の認証計画のインジケーションを、認証ストアから受信するステップであって、前記現在の認証計画は、前記ターゲット・サーバよりも前の認証レイヤにあるサーバへのユーザ・アクセスに関連した現在のデータをそれぞれ有する1つ以上の認証記録を有する、前記ステップと、
前記格納されている認証計画と、前記受信された現在の認証計画とを、それらが一致するかどうかを判断するために比較するステップと、
前記格納されている認証計画と、前記現在の認証計画との一致に応答して、前記ユーザの認証を行うステップと、
を実行するようになっている、コンピュータ・プログラム。 - 認証計画との一致が要求されると判断するのに応答して、現在の認証計画のリクエストを前記ユーザ・コンピュータ・システムへ送信することをさらに含む、請求項10に記載のコンピュータ・プログラム。
- 前記格納されている認証計画と、前記現在の認証計画との不一致に応答して、前記認証計画の不一致を解消することをさらに含む、請求項10に記載のコンピュータ・プログラム。
- 前記認証計画の不一致を解消することは、追加の認証データを要求することと、認証計画を修正することと、認証計画を作成することとのうちの少なくとも1つを含む、請求項12に記載のコンピュータ・プログラム。
- 前記格納されている認証計画と、前記現在の認証計画とを、それらが一致するかどうかを判断するために比較する前記ステップは、前記認証計画間で、認証計画のうちの少なくとも指定のサブセットが一致するかどうかを判断するために、各認証計画の認証記録を比較することを含む、請求項10に記載のコンピュータ・プログラム。
- 前記ターゲット・サーバより前の認証レイヤにある1つ以上のサーバに対して、認証ステップを実行することと、
実行された認証ステップそれぞれの認証イベント記録を、認証ストアに格納することと、
をさらに含む、請求項10に記載のコンピュータ・プログラム。 - 前記ユーザに関連した認証計画を要求する前記ターゲット・サーバに対する認証を試行することと、
前記ターゲット・サーバへのアクセスが許可されたかどうかのインジケーションを受信することと、
をさらに含む、請求項10に記載のコンピュータ・プログラム。 - 前記ターゲット・サーバより前の複数の認証レイヤにある複数のサーバに対して実行された1つ以上の認証ステップの、格納されている認証記録を有する現在の認証計画を、前記ターゲット・サーバへ送信することをさらに含む、請求項10に記載のコンピュータ・プログラム。
- 現在の認証計画のリクエストを、前記ターゲット・サーバから受信することをさらに含む、請求項10に記載のコンピュータ・プログラム。
- ターゲット・サーバに対してユーザの認証を行う装置であって、
前記ターゲット・サーバに対して前記ユーザの認証を行うリクエストを、ユーザ・コンピュータ・システムから受信する手段と、
認証計画との一致を、前記ユーザの認証を行うことが要求するかどうかを判断する手段と、
認証計画との一致が要求されると判断するのに応答して、前記ユーザに関連した格納されている認証計画にアクセスする手段であって、前記格納されている認証計画は、前記ターゲット・サーバよりも前の認証レイヤにあるサーバへのユーザ・アクセスに関連した期待データをそれぞれ有する1つ以上の認証記録を有する、前記手段と、
前記ユーザの、現在の認証計画のインジケーションを、認証ストアから受信する手段であって、前記現在の認証計画は、前記ターゲット・サーバよりも前の認証レイヤにあるサーバへのユーザ・アクセスに関連した現在のデータをそれぞれ有する1つ以上の認証記録を有する、前記手段と、
前記格納されている認証計画と、前記受信された現在の認証計画とを、それらが一致するかどうかを判断するために比較する手段と、
前記格納されている認証計画と、前記現在の認証計画との一致に応答して、前記ユーザの認証を行う手段と、
を含む装置。 - 認証計画との一致が要求されるという判断に応答して、現在の認証計画のリクエストを前記ユーザ・コンピュータ・システムへ送信する手段をさらに含む、請求項19に記載の装置。
- 前記格納されている認証計画と、前記現在の認証計画との不一致に応答して、前記認証計画の不一致を解消する手段をさらに含む、請求項19に記載の装置。
- 解消する前記手段は、
追加の認証データを要求する手段と、
認証計画を修正する手段と、
認証計画を作成する手段と、
のうちの少なくとも1つをさらに含む、請求項21に記載の装置。 - 前記格納されている認証計画と、前記現在の認証計画とを、それらが一致するかどうかを判断するために比較する前記手段は、前記認証計画間で、認証計画のうちの少なくとも指定のサブセットが一致するかどうかを判断するために、各認証計画の認証記録を比較する手段をさらに含む、請求項19に記載の装置。
- 前記ターゲット・サーバより前の認証レイヤにある1つ以上のサーバに対して、認証ステップを実行する手段と、
実行された認証ステップそれぞれの認証イベント記録を、認証ストアに格納する手段と、
をさらに含む、請求項19に記載の装置。 - 前記ユーザに関連した認証計画を要求する前記ターゲット・サーバに対する認証を試行する手段と、
前記ターゲット・サーバへのアクセスが許可されたかどうかのインジケーションを受信する手段と、
をさらに含む、請求項19に記載の装置。 - 前記ターゲット・サーバより前の複数の認証レイヤにある複数のサーバに対して実行された1つ以上の認証ステップの、格納されている認証記録を有する現在の認証計画を、前記ターゲット・サーバへ送信する手段をさらに含む、請求項19に記載の装置。
- 現在の認証計画のリクエストを、前記ターゲット・サーバから受信する手段をさらに含む、請求項19に記載の装置。
- ターゲット・サーバに対してユーザの認証を行うシステムであって、
ターゲット・サーバへのアクセスをリクエストしているユーザに関連した格納されている認証計画にアクセスするよう動作可能な、認証計画マネージャを有する前記ターゲット・サーバであって、前記格納されている認証計画は、前記ターゲット・サーバよりも前の認証レイヤにあるサーバへのユーザによるアクセスに関連した期待データをそれぞれ有する1つ以上の認証記録を含む、前記ターゲット・サーバと、
前記ユーザに関連した現在の認証計画を格納するよう動作可能な認証ストアであって、前記現在の認証計画は、前記ターゲット・サーバよりも前の認証レイヤにあるサーバへのユーザによるアクセスに関連した現在のデータをそれぞれ有する1つ以上の認証記録を含む、前記認証ストアと、
前記ターゲット・サーバおよび前記認証ストアと通信するよう動作可能であり、特定のユーザに関連した前記現在の認証計画を、前記ターゲット・サーバの前記認証計画マネージャに提供するよう動作可能な、認証ストア・マネージャと、
を含むシステムであって、
前記ターゲット・サーバの前記認証計画マネージャは、ユーザの認証を行うかどうかを、前記格納されている認証計画と、前記現在の認証計画との比較に基づいて判断するよう動作可能である、システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/741,516 | 2007-04-27 | ||
| US11/741,516 US8726347B2 (en) | 2007-04-27 | 2007-04-27 | Authentication based on previous authentications |
| PCT/EP2008/054412 WO2008132036A1 (en) | 2007-04-27 | 2008-04-11 | Cascading authentication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010525471A true JP2010525471A (ja) | 2010-07-22 |
| JP5260634B2 JP5260634B2 (ja) | 2013-08-14 |
Family
ID=39580104
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010504617A Active JP5260634B2 (ja) | 2007-04-27 | 2008-04-11 | 段階的認証システム |
Country Status (8)
| Country | Link |
|---|---|
| US (3) | US8726347B2 (ja) |
| EP (1) | EP2150916B1 (ja) |
| JP (1) | JP5260634B2 (ja) |
| KR (1) | KR101120810B1 (ja) |
| CN (1) | CN101669128B (ja) |
| CA (1) | CA2673950C (ja) |
| IL (1) | IL201728A (ja) |
| WO (1) | WO2008132036A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019164590A (ja) * | 2018-03-20 | 2019-09-26 | 楽天銀行株式会社 | Api提供システム、認証サーバ、api提供方法、及びプログラム |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8726347B2 (en) | 2007-04-27 | 2014-05-13 | International Business Machines Corporation | Authentication based on previous authentications |
| US8327430B2 (en) | 2007-06-19 | 2012-12-04 | International Business Machines Corporation | Firewall control via remote system information |
| US8272041B2 (en) * | 2007-06-21 | 2012-09-18 | International Business Machines Corporation | Firewall control via process interrogation |
| US8272043B2 (en) * | 2007-06-21 | 2012-09-18 | International Business Machines Corporation | Firewall control system |
| US9355282B2 (en) * | 2010-03-24 | 2016-05-31 | Red Hat, Inc. | Using multiple display servers to protect data |
| US8839357B2 (en) * | 2010-12-22 | 2014-09-16 | Canon U.S.A., Inc. | Method, system, and computer-readable storage medium for authenticating a computing device |
| US11063920B2 (en) | 2011-02-03 | 2021-07-13 | mSignia, Inc. | Cryptographic security functions based on anticipated changes in dynamic minutiae |
| US8817984B2 (en) | 2011-02-03 | 2014-08-26 | mSignia, Inc. | Cryptographic security functions based on anticipated changes in dynamic minutiae |
| US8689304B2 (en) | 2011-04-27 | 2014-04-01 | International Business Machines Corporation | Multiple independent authentications for enhanced security |
| US9613052B2 (en) | 2012-06-05 | 2017-04-04 | International Business Machines Corporation | Establishing trust within a cloud computing system |
| CN103107985B (zh) * | 2012-12-04 | 2016-01-20 | 百度在线网络技术(北京)有限公司 | 一种云端认证方法、系统及装置 |
| US10447677B1 (en) | 2014-03-14 | 2019-10-15 | United Services Automobile Association (Usaa) | Mobile application authentication infrastructure |
| US9332013B2 (en) * | 2014-08-28 | 2016-05-03 | Bank Of America Corporation | Neural authentication system |
| US9705879B2 (en) * | 2014-09-17 | 2017-07-11 | Microsoft Technology Licensing, Llc | Efficient and reliable attestation |
| US9723002B2 (en) | 2016-01-04 | 2017-08-01 | International Business Machines Corporation | Protecting access to a hardware device through use of an aggregate identity instance |
| CA3028296C (en) * | 2016-02-25 | 2019-04-23 | Sas Institute Inc. | Cybersecurity system |
| US10425432B1 (en) * | 2016-06-24 | 2019-09-24 | EMC IP Holding Company LLC | Methods and apparatus for detecting suspicious network activity |
| CN107820250B (zh) * | 2017-11-13 | 2020-07-10 | 北京首信科技股份有限公司 | 认证方法和认证服务器 |
| EP3891927A4 (en) * | 2018-12-03 | 2021-11-24 | Visa International Service Association | TIME-BASED RISK MANAGEMENT MECHANISMS |
| CN109672602B (zh) * | 2019-01-03 | 2021-06-04 | 青岛聚好联科技有限公司 | 一种远程接入vpn的方法和设备 |
| CN116155631B (zh) * | 2023-04-21 | 2023-07-28 | 四川中电启明星信息技术有限公司 | 一种企业级的正反向级联认证方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11355267A (ja) * | 1998-06-08 | 1999-12-24 | Nec Corp | ユーザ認証システム |
| JP2000259567A (ja) * | 1999-03-09 | 2000-09-22 | Toshiba Corp | アクセス制御装置、アクセス制御方法および記憶媒体 |
| JP2002183089A (ja) * | 2000-12-11 | 2002-06-28 | Mitsubishi Electric Corp | ログイン認証装置、およびログイン認証方法 |
| JP2004206258A (ja) * | 2002-12-24 | 2004-07-22 | Komu Square:Kk | 多重認証システム、コンピュータプログラムおよび多重認証方法 |
| JP2006035631A (ja) * | 2004-07-27 | 2006-02-09 | Konica Minolta Business Technologies Inc | 画像形成装置および画像形成システム |
Family Cites Families (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6516416B2 (en) | 1997-06-11 | 2003-02-04 | Prism Resources | Subscription access system for use with an untrusted network |
| US6754820B1 (en) | 2001-01-30 | 2004-06-22 | Tecsec, Inc. | Multiple level access system |
| US6161182A (en) * | 1998-03-06 | 2000-12-12 | Lucent Technologies Inc. | Method and apparatus for restricting outbound access to remote equipment |
| US6219790B1 (en) | 1998-06-19 | 2001-04-17 | Lucent Technologies Inc. | Centralized authentication, authorization and accounting server with support for multiple transport protocols and multiple client types |
| US6651096B1 (en) * | 1999-04-20 | 2003-11-18 | Cisco Technology, Inc. | Method and apparatus for organizing, storing and evaluating access control lists |
| US6584505B1 (en) | 1999-07-08 | 2003-06-24 | Microsoft Corporation | Authenticating access to a network server without communicating login information through the network server |
| US6853988B1 (en) | 1999-09-20 | 2005-02-08 | Security First Corporation | Cryptographic server with provisions for interoperability between cryptographic systems |
| US7082532B1 (en) | 1999-12-30 | 2006-07-25 | Intel Corporation | Method and system for providing distributed web server authentication |
| US7039812B2 (en) | 2000-01-26 | 2006-05-02 | Citicorp Development Center, Inc. | System and method for user authentication |
| US7162649B1 (en) | 2000-06-30 | 2007-01-09 | Internet Security Systems, Inc. | Method and apparatus for network assessment and authentication |
| US7194764B2 (en) | 2000-07-10 | 2007-03-20 | Oracle International Corporation | User authentication |
| US7085934B1 (en) | 2000-07-27 | 2006-08-01 | Mcafee, Inc. | Method and system for limiting processor utilization by a virus scanner |
| US20020083325A1 (en) | 2000-11-03 | 2002-06-27 | Bharat Mediratta | Updating security schemes for remote client access |
| US20020133719A1 (en) | 2001-03-14 | 2002-09-19 | Jay Westerdal | Method and apparatus for sharing authentication information between multiple servers |
| US7546629B2 (en) | 2002-03-06 | 2009-06-09 | Check Point Software Technologies, Inc. | System and methodology for security policy arbitration |
| US8200818B2 (en) | 2001-07-06 | 2012-06-12 | Check Point Software Technologies, Inc. | System providing internet access management with router-based policy enforcement |
| US7054944B2 (en) * | 2001-12-19 | 2006-05-30 | Intel Corporation | Access control management system utilizing network and application layer access control lists |
| FI20021802A (fi) | 2002-10-09 | 2004-04-10 | Tycho Technologies Oy | Hajautetun palomuurin hallinta |
| US6850943B2 (en) | 2002-10-18 | 2005-02-01 | Check Point Software Technologies, Inc. | Security system and methodology for providing indirect access control |
| US20040103317A1 (en) * | 2002-11-22 | 2004-05-27 | Burns William D. | Method and apparatus for protecting secure credentials on an untrusted computer platform |
| US7526800B2 (en) | 2003-02-28 | 2009-04-28 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
| US7219154B2 (en) * | 2002-12-31 | 2007-05-15 | International Business Machines Corporation | Method and system for consolidated sign-off in a heterogeneous federated environment |
| US7603472B2 (en) | 2003-02-19 | 2009-10-13 | Google Inc. | Zero-minute virus and spam detection |
| US20040187029A1 (en) | 2003-03-21 | 2004-09-23 | Ting David M. T. | System and method for data and request filtering |
| US9003048B2 (en) | 2003-04-01 | 2015-04-07 | Microsoft Technology Licensing, Llc | Network zones |
| WO2004095266A2 (en) * | 2003-04-24 | 2004-11-04 | International Business Machines Corporation | Executable file creation |
| US8214481B2 (en) | 2004-02-10 | 2012-07-03 | Seagate Technology Llc | Firewall permitting access to network based on accessing party identity |
| US7526792B2 (en) | 2004-06-09 | 2009-04-28 | Intel Corporation | Integration of policy compliance enforcement and device authentication |
| JP4920878B2 (ja) * | 2004-07-14 | 2012-04-18 | 日本電気株式会社 | 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム |
| US7548903B2 (en) * | 2005-01-11 | 2009-06-16 | International Business Machines Corporation | Method and apparatus for automatic recommendation and selection of clustering indexes |
| FI20050770A (fi) * | 2005-07-19 | 2007-01-20 | Ssh Comm Security Corp | Todentaminen turvakäytännön yhteydessä |
| US8402093B2 (en) * | 2005-12-22 | 2013-03-19 | Microsoft Corporation | Workflow and in-context e-mail recipient handling |
| US20070172808A1 (en) * | 2006-01-26 | 2007-07-26 | Let's Go Learn, Inc. | Adaptive diagnostic assessment engine |
| US8237430B2 (en) | 2006-03-28 | 2012-08-07 | Norgren Gmbh | Displacement sensor for a rod |
| US7895657B2 (en) * | 2006-05-05 | 2011-02-22 | Broadcom Corporation | Switching network employing virus detection |
| GB2443229B (en) | 2006-08-23 | 2009-10-14 | Cramer Systems Ltd | Capacity management for data networks |
| US8239325B2 (en) * | 2007-01-18 | 2012-08-07 | Paymentone Corporation | Method and system to verify the identity of a user |
| US8726347B2 (en) | 2007-04-27 | 2014-05-13 | International Business Machines Corporation | Authentication based on previous authentications |
| US8327430B2 (en) | 2007-06-19 | 2012-12-04 | International Business Machines Corporation | Firewall control via remote system information |
| US8272043B2 (en) | 2007-06-21 | 2012-09-18 | International Business Machines Corporation | Firewall control system |
| US8272041B2 (en) | 2007-06-21 | 2012-09-18 | International Business Machines Corporation | Firewall control via process interrogation |
-
2007
- 2007-04-27 US US11/741,516 patent/US8726347B2/en not_active Expired - Fee Related
-
2008
- 2008-04-11 JP JP2010504617A patent/JP5260634B2/ja active Active
- 2008-04-11 WO PCT/EP2008/054412 patent/WO2008132036A1/en active Application Filing
- 2008-04-11 KR KR1020097024518A patent/KR101120810B1/ko not_active IP Right Cessation
- 2008-04-11 CA CA2673950A patent/CA2673950C/en active Active
- 2008-04-11 EP EP08736124.2A patent/EP2150916B1/en active Active
- 2008-04-11 CN CN2008800130864A patent/CN101669128B/zh active Active
-
2009
- 2009-10-25 IL IL201728A patent/IL201728A/en active IP Right Grant
-
2013
- 2013-11-11 US US14/076,392 patent/US9094393B2/en not_active Expired - Fee Related
-
2015
- 2015-05-07 US US14/706,044 patent/US9686262B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11355267A (ja) * | 1998-06-08 | 1999-12-24 | Nec Corp | ユーザ認証システム |
| JP2000259567A (ja) * | 1999-03-09 | 2000-09-22 | Toshiba Corp | アクセス制御装置、アクセス制御方法および記憶媒体 |
| JP2002183089A (ja) * | 2000-12-11 | 2002-06-28 | Mitsubishi Electric Corp | ログイン認証装置、およびログイン認証方法 |
| JP2004206258A (ja) * | 2002-12-24 | 2004-07-22 | Komu Square:Kk | 多重認証システム、コンピュータプログラムおよび多重認証方法 |
| JP2006035631A (ja) * | 2004-07-27 | 2006-02-09 | Konica Minolta Business Technologies Inc | 画像形成装置および画像形成システム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019164590A (ja) * | 2018-03-20 | 2019-09-26 | 楽天銀行株式会社 | Api提供システム、認証サーバ、api提供方法、及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101669128A (zh) | 2010-03-10 |
| US9686262B2 (en) | 2017-06-20 |
| CA2673950A1 (en) | 2008-11-06 |
| CN101669128B (zh) | 2012-06-20 |
| IL201728A (en) | 2016-11-30 |
| JP5260634B2 (ja) | 2013-08-14 |
| EP2150916A1 (en) | 2010-02-10 |
| IL201728A0 (en) | 2010-06-16 |
| US20150244701A1 (en) | 2015-08-27 |
| US8726347B2 (en) | 2014-05-13 |
| EP2150916B1 (en) | 2015-10-28 |
| US9094393B2 (en) | 2015-07-28 |
| KR20100020947A (ko) | 2010-02-23 |
| US20080271117A1 (en) | 2008-10-30 |
| CA2673950C (en) | 2015-03-31 |
| WO2008132036A1 (en) | 2008-11-06 |
| KR101120810B1 (ko) | 2012-03-22 |
| US20140068730A1 (en) | 2014-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5260634B2 (ja) | 段階的認証システム | |
| US12010248B2 (en) | Systems and methods for providing authentication to a plurality of devices | |
| US8209394B2 (en) | Device-specific identity | |
| US8800003B2 (en) | Trusted device-specific authentication | |
| KR100920871B1 (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템 | |
| US20080028453A1 (en) | Identity and access management framework | |
| US20080320566A1 (en) | Device provisioning and domain join emulation over non-secured networks | |
| KR20060048819A (ko) | 신뢰된 네트워크 노드들에 대한 액세스 권한을 제어하는방법 및 시스템 | |
| Berbecaru et al. | Providing login and Wi-Fi access services with the eIDAS network: A practical approach | |
| US8272043B2 (en) | Firewall control system | |
| Bazaz et al. | A review on single sign on enabling technologies and protocols | |
| Basu et al. | Strengthening Authentication within OpenStack Cloud Computing System through Federation with ADDS System | |
| US20220345491A1 (en) | Systems and methods for scalable zero trust security processing | |
| Gkotsis | Creating a windows active directory lab and performing simulated attacks | |
| CAMERONI | Providing Login and Wi-Fi Access Services With the eIDAS Network: A Practical Approach | |
| Pavelka et al. | Practical Aspects of Attacks Against Remote MS Windows Corporate Environment | |
| Ferle | Account Access and Security | |
| KR101066729B1 (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템 | |
| Hicks et al. | Enable Two-Factor Authentication | |
| Opikhalov | RADIUS server as centralized authentication | |
| Eldridge et al. | Final report for the network authentication investigation and pilot. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110124 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130227 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130305 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130312 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130409 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130425 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160502 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5260634 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |