JP2012514779A - パスワード共有を伴わない安全なシステム・アクセス - Google Patents

パスワード共有を伴わない安全なシステム・アクセス Download PDF

Info

Publication number
JP2012514779A
JP2012514779A JP2011544009A JP2011544009A JP2012514779A JP 2012514779 A JP2012514779 A JP 2012514779A JP 2011544009 A JP2011544009 A JP 2011544009A JP 2011544009 A JP2011544009 A JP 2011544009A JP 2012514779 A JP2012514779 A JP 2012514779A
Authority
JP
Japan
Prior art keywords
owner
access
credentials
client
requesting user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011544009A
Other languages
English (en)
Other versions
JP5497065B2 (ja
Inventor
ボルゲッティ、ステファノ
セグロ、アントニオ
ジンファグナ、レオニーダ
デラコルテ、ジャンルカ
ハーグ、アレサンドロ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2012514779A publication Critical patent/JP2012514779A/ja
Application granted granted Critical
Publication of JP5497065B2 publication Critical patent/JP5497065B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】資格証明オーナのパスワードを共有することなく、要求するユーザによる安全なシステム・アクセスを行うための機構が提供される。
【解決手段】データベースは、リソースに対するシステム情報を保存する。リソースに対するスーパ・ユーザ権限のオーナは、そのリソースにアクセスするための資格証明を含むシステム情報をデータベースに与える。ユーザがシステムへのアクセスを望むとき、リクエスタのクライアント・ソフトウェアは、オーナのクライアント・ソフトウェアにアクセス要求を送る。オーナのクライアント・ソフトウェアは、オーナにアクセスを認可または拒否するように促す。オーナがアクセスを認可したことに応答して、オーナのクライアント・ソフトウェアはリクエスタのクライアント・ソフトウェアに認可を返し、次いでリクエスタのクライアント・ソフトウェアはシステム情報データベース中の資格証明を用いてリソースにアクセスする。リクエスタのクライアント・ソフトウェアは、資格証明をキャッシュまたは保存することも、資格証明をユーザに提供することもない。
【選択図】図3

Description

本出願は、一般的に改善されたデータ処理装置および方法に関し、より特定的には、資格証明オーナのパスワードを共有することなく、要求するユーザによる安全なシステム・アクセスを行うための装置に関する。
企業では、仕事または管理あるいはその両方の目的のために、1人またはそれ以上の社員に、システムまたはより一般的にはリソースを割当てる。企業は、1人のオーナにリソースに対するスーパ・ユーザの権限を割当てることがある。スーパ・ユーザまたはオーナは、オーナがそのリソースにアクセスすることを認可する資格証明を保持していてもよい。通常の資格証明は、ユーザ名およびパスワードを含む。ユーザ名は個人用であっても共用であってもよいが、ほとんどの場合において、パスワードは秘密にされるべきであり、スーパ・ユーザ権限オーナのみが知っているものである。
必要なときに、オーナ以外のユーザがリソースへのアクセスを必要とすることがある。オーナがそのユーザの近くにいれば、オーナがユーザ名およびパスワードを入力してユーザがリソースにアクセスできるようにしてもよい。代替的には、スーパ・ユーザ権限のオーナがユーザとパスワードを共有することによって、アクセスを可能にしてもよい。
たとえばソフトウェア開発など、いくつかの状況においては、ユーザがリソースを散発的に使用する必要があり得る。オーナが常に存在してユーザ・アクセスを可能にできないことがあるため、パスワード共有がしばしば起こり得る。この状況においては、パスワードの保全性が損なわれ、オーナはパスワードを頻繁に変更する必要がある。このことはオーナに、絶え間なく変わるパスワードを常時把握して、要求の厳しい環境においてパスワードの機密性を保護するという負担をもたらす。
例示的な実施形態の1つにおいて、データ処理システムにおいて安全なシステム・アクセスを行うための方法が提供される。この方法は、システム情報データベース内の共有システムに対するエントリを識別するステップを含む。このエントリは、ホストの識別子、プロトコル、オーナの識別子、および資格証明を含む。この方法は、オーナに関連するクライアントにアクセス要求を送るステップと、要求するユーザによる共有システムへのアクセスをオーナが認可したことに応答して、プロトコルおよび資格証明を用いてホストとのセッションを開くステップとをさらに含む。
他の例示的な実施形態において、コンピュータ読取可能プログラムを有するコンピュータ使用可能または読取可能媒体を含むコンピュータ・プログラム製品が提供される。このコンピュータ読取可能プログラムは、コンピューティング・デバイス上で実行されるときに、本方法の例示的な実施形態に関連して以下に概説されるさまざまなオペレーションおよびその組合わせをコンピューティング・デバイスに実行させる。
さらに別の例示的な実施形態において、システム/装置が提供される。このシステム/装置は、1つまたはそれ以上のプロセッサと、その1つまたはそれ以上のプロセッサに結合されたメモリとを含んでもよい。メモリは、1つまたはそれ以上のプロセッサによって実行されるときに、本方法の例示的な実施形態に関連して以下に概説されるさまざまなオペレーションおよびその組合わせを1つまたはそれ以上のプロセッサに実行させる命令を含んでもよい。
本発明のこれらならびにその他の特徴および利点は、以下の本発明の例示的実施形態の詳細な説明に記載されるか、またはその説明に鑑みて通常の当業者に明らかとなるであろう。
本発明ならびにその好ましい使用モードならびにさらなる目的および利点は、添付の図面とともに読まれるときに、以下の例示的な実施形態の詳細な説明を参照することによって最もよく理解されるであろう。
例示的な実施形態の局面を実現し得る分散型データ処理システムの例を絵で表した図である。 例示的な実施形態の局面を実現し得るデータ処理システムの例を示すブロック図である。 例示的な実施形態に従った、パスワード共有を伴わない安全なシステム・アクセスを示す図である。 例示的な実施形態に従った、パスワード共有を伴わない安全なシステム・アクセスのためのオーナ・クライアントのオペレーションの例を概説する流れ図である。 例示的な実施形態に従った、パスワード共有を伴わない安全なシステム・アクセスのためのリクエスタ・クライアントのオペレーションの例を概説する流れ図である。
例示的な実施形態は、資格証明オーナのパスワードを共有することなく、要求するユーザによる安全なシステム・アクセスを行うための機構を提供する。データベースは、リソースに対するシステム情報を保存する。リソースに対するスーパ・ユーザ権限のオーナは、そのリソースにアクセスするための資格証明を含むシステム情報をデータベースに与える。ユーザがシステムへのアクセスを望むとき、リクエスタのクライアント・ソフトウェアは、オーナのクライアント・ソフトウェアにアクセス要求を送る。オーナのクライアント・ソフトウェアは、オーナにアクセスを認可または拒否するように促す。オーナがアクセスを認可したことに応答して、オーナのクライアント・ソフトウェアはリクエスタのクライアント・ソフトウェアに認可を返し、次いでリクエスタのクライアント・ソフトウェアはシステム情報データベース中の資格証明を用いてリソースにアクセスする。リクエスタのクライアント・ソフトウェアは、資格証明をキャッシュまたは保存することも、資格証明をユーザに提供することもない。
よってこの例示的な実施形態は、分散型データ処理環境、単一のデータ処理デバイスなどを含む、多くの異なるタイプのデータ処理環境において利用され得る。例示的な実施形態の特定の構成要素および機能の説明に対する状況を提供するために、以下に例示的な実施形態の局面を実現し得る環境の例として、図1および図2を提供する。図1および図2に続く説明は主に分散型データ処理環境に焦点を当てているが、これは単なる例であって、本発明の特徴に関する何らかの限定を記述または暗示することは意図されない。反対に、例示的な実施形態は単一のデータ処理デバイス実現をも含むことが意図される。
ここで、図面、特に図1および図2を参照すると、本発明の例示的な実施形態を実現し得るデータ処理環境の例の図が提供される。図1および図2は単なる例であって、本発明の実施形態の局面を実現し得る環境に関する何らかの限定を主張または暗示することは意図されないことが認識されるべきである。本発明の範囲から逸脱することなく、図示される環境への多くの修正がなされてもよい。
ここで、図面を参照すると、図1は例示的な実施形態の局面を実現し得る分散型データ処理システムの例を絵で表した図である。分散型データ処理システム100は、例示的な実施形態の局面を実現し得るコンピュータのネットワークを含んでもよい。分散型データ処理システム100は少なくとも1つのネットワーク102を含み、これは分散型データ処理システム100内でともに接続されたさまざまなデバイスおよびコンピュータ間の通信リンクを提供するために用いられる媒体である。ネットワーク102は、たとえばワイヤ、無線通信リンク、または光ファイバ・ケーブルなどの接続を含んでもよい。
示される例において、サーバ104およびサーバ106は、記憶装置108とともにネットワーク102に接続される。加えて、クライアント110、112および114もネットワーク102に接続される。これらのクライアント110、112および114は、たとえばパーソナル・コンピュータまたはネットワーク・コンピュータなどであってもよい。示される例において、サーバ104は、たとえばブート・ファイル、オペレーティング・システム・イメージおよびアプリケーションなどのデータをクライアント110、112および114に与える。クライアント110、112および114は、示される例において、サーバ104に対するクライアントである。分散型データ処理システム100は、図示されない付加的なサーバ、クライアントおよびその他のデバイスを含んでもよい。
示される例において、分散型データ処理システム100は、ネットワークの世界的コレクションと、互いに通信するために伝送制御プロトコル/インターネット・プロトコル(Transmission Control Protocol/Internet Protocol:TCP/IP)のプロトコルの組を用いるゲートウェイとを表すネットワーク102を有するインターネットである。インターネットの中心には、主要なノードまたはホスト・コンピュータの間の高速データ通信ラインのバックボーンがあり、それはデータおよびメッセージを送る何千もの商業用、行政用、教育用およびその他のコンピュータ・システムからなっている。むろん、分散型データ処理システム100は、たとえばイントラネット、ローカル・エリア・ネットワーク(local area network:LAN)、広域ネットワーク(wide area network:WAN)などの、いくつかの異なるタイプのネットワークを含むように実現されてもよい。上述したとおり、図1は例として意図されており、本発明の異なる実施形態に対するアーキテクチャの限定としては意図されていないため、図1に示される特定の構成要素は、本発明の例示的な実施形態を実現し得る環境に関して限定的であると考えられるべきではない。
サーバ104は、たとえば、記憶装置108内のデータベース、ハードウェア・リソース、またはサーバ104上のソフトウェア・リソースなどのリソースへのアクセスを制御してもよい。たとえばクライアント110のユーザは、リソースに対するスーパ・ユーザ権限のオーナであってもよい。たとえばクライアント112のユーザは、そのリソースへのアクセスを望んでもよい。よってアクセスを許可するために、クライアント110のオーナはクライアント112まで移動して資格証明を入力するか、またはクライアント112のユーザと資格証明を共有してもよい。
例示的な実施形態に従うと、オーナは、リソースにアクセスするための資格証明を含むシステム情報を保存することによって、そのリソースをシステムとしてシステム情報データベース内に登録してもよい。システム情報データベースは、たとえば記憶装置108内に保存されてもよい。クライアント112のクライアント・ソフトウェアは、クライアント110のオーナに要求を送ってもよい。次いでクライアント110のクライアント・ソフトウェアは、オーナにリソースへのアクセスを認可または拒否するように促してもよい。もしオーナがアクセスを認可すれば、クライアント110はクライアント112に認可を送る。次いでクライアント112のクライアント・ソフトウェアは、システム情報データベースからの資格証明を用いて、その資格証明を保存したりキャッシュしたり外部に提供したりすることなく、リソースにアクセスしてもよい。
次に図2を参照すると、例示的な実施形態の局面を実現し得るデータ処理システムの例のブロック図が示される。データ処理システム200は、たとえば図1におけるクライアント110などのコンピュータの例であり、この中に、本発明の例示的な実施形態に対するプロセスを実現するコンピュータ使用可能コードまたは命令が位置していてもよい。
示される例において、データ処理システム200は、ノース・ブリッジおよびメモリ・コントローラ・ハブ(north bridge and memory controller hub:NB/MCH)202と、サウス・ブリッジおよび入出力(I/O)コントローラ・ハブ(south bridge and input/output(I/O)controller hub:SB/ICH)204とを含むハブ・アーキテクチャを用いる。処理ユニット206、メイン・メモリ208およびグラフィックス・プロセッサ210は、NB/MCH202に接続される。グラフィックス・プロセッサ210は、アクセラレーテッド・グラフィックス・ポート(accelerated graphics port:AGP)を通じてNB/MCH202に接続されてもよい。
示される例において、ローカル・エリア・ネットワーク(LAN)アダプタ212がSB/ICH204に接続する。オーディオ・アダプタ216、キーボードおよびマウス・アダプタ220、モデム222、リード・オンリ・メモリ(read only memory:ROM)224、ハード・ディスク・ドライブ(hard disk drive:HDD)226、CD−ROMドライブ230、ユニバーサル・シリアル・バス(universal serial bus:USB)ポートおよびその他の通信ポート232、ならびにPCI/PCIeデバイス234は、バス238およびバス240を通じてSB/ICH204に接続する。PCI/PCIeデバイスは、たとえばイーサネット・アダプタ、アドイン・カード、およびノート型コンピュータのためのPCカードなどを含んでもよい。PCIはカード・バス・コントローラを用いるが、PCIeは用いない。ROM224は、たとえばフラッシュ基本入出力システム(basic input/output system:BIOS)などであってもよい。
HDD226およびCD−ROMドライブ230は、バス240を通じてSB/ICH204に接続する。HDD226およびCD−ROMドライブ230は、たとえばインテグレーテッド・ドライブ・エレクトロニクス(integrated drive electronics:IDE)またはシリアル・アドバンスト・テクノロジ・アタッチメント(serial advanced technology attachment:SATA)インタフェースなどを使用していてもよい。スーパI/O(Super I/O:SIO)デバイス236がSB/ICH204に接続されてもよい。
処理ユニット206においてオペレーティング・システムが実行される。オペレーティング・システムは、図2におけるデータ処理システム200内のさまざまな構成要素を調和させてその制御を提供する。クライアントとしてのオペレーティング・システムは、たとえばMicrosoft(登録商標)Windows(登録商標)XPなどの商業的に入手可能なオペレーティング・システムであってもよい(MicrosoftおよびWindowsは、米国、その他の国、またはその両方におけるマイクロソフト社(Microsoft Corporation)の商標である)。Java(商標)プログラミング・システムなどのオブジェクト指向プログラミング・システムがオペレーティング・システムとともに実行されて、Java(商標)プログラムまたはデータ処理システム200において実行されるアプリケーションからオペレーティング・システムへのコールを提供してもよい(Javaは、米国、その他の国、またはその両方におけるサン・マイクロシステムズ社(Sun Microsystems,Inc.)の商標である)。
サーバとしてのデータ処理システム200は、たとえばアドバンスト・インタラクティブ・エグゼクティブ(Advanced Interactive Executive:AIX(IBM社の登録商標))オペレーティング・システムまたはLINUX(登録商標)オペレーティング・システムを実行するIBM(IBM社の登録商標)eServer(商標)System p(IBM社の登録商標)コンピュータ・システムなどであってもよい(eServer、System pおよびAIXは、米国、その他の国、またはその両方におけるインターナショナル・ビジネス・マシーンズ社(International Business Machines Corporation)の商標であり、LINUXは、米国、その他の国、またはその両方におけるリーナス・トーバルズ(Linus Torvalds)の商標である)。データ処理システム200は、処理ユニット206に複数のプロセッサを含む対称型マルチプロセッサ(symmetric multiprocessor:SMP)システムであってもよい。代替的には、単一のプロセッサ・システムが用いられてもよい。
オペレーティング・システムに対する命令、オブジェクト指向プログラミング・システム、およびアプリケーションまたはプログラムは、たとえばHDD226などの記憶装置に位置し、処理ユニット206による実行のためにメイン・メモリ208にロードされてもよい。本発明の例示的な実施形態に対するプロセスは、たとえばメイン・メモリ208、ROM224などのメモリ、またはたとえば1つもしくはそれ以上の周辺デバイス226および230などに位置してもよいコンピュータ使用可能プログラム・コードを用いて、処理ユニット206によって実行されてもよい。
図2に示されるバス238またはバス240などのバス・システムは、1つまたはそれ以上のバスを含んでもよい。むろんバス・システムは、ファブリックまたはアーキテクチャに取付けられた異なる構成要素またはデバイス間のデータ伝達を提供するあらゆるタイプの通信ファブリックまたはアーキテクチャを用いて実現されてもよい。図2のモデム222またはネットワーク・アダプタ212などの通信ユニットは、データを送信および受信するために用いられる1つまたはそれ以上のデバイスを含んでもよい。メモリは、たとえばメイン・メモリ208、ROM224、または図2のNB/MCH202において見出されるようなキャッシュなどであってもよい。
図1および図2におけるハードウェアは、実施によって異なり得ることを通常の当業者は認識するだろう。図1および図2に示されるハードウェアに加えて、またはその代わりに、他の内部ハードウェアまたは周辺デバイス、たとえばフラッシュ・メモリ、等価の不揮発性メモリ、または光ディスク・ドライブなどが用いられてもよい。加えて、本発明の範囲から逸脱することなく、例示的な実施形態のプロセスを、前述したSMPシステム以外のマルチプロセッサ・データ処理システムに適用してもよい。
さらに、データ処理システム200は、クライアント・コンピューティング・デバイス、サーバ・コンピューティング・デバイス、タブレット・コンピュータ、ラップトップ・コンピュータ、電話もしくはその他の通信デバイス、または携帯用情報端末(personal digital assistant:PDA)などを含むいくつかの異なるデータ処理システムのいずれかの形を取ってもよい。いくつかの例示的な実施例において、データ処理システム200は、たとえばオペレーティング・システム・ファイルまたはユーザの生成したデータ、あるいはその両方を保存するための不揮発性メモリを提供するためのフラッシュ・メモリとともに構成されたポータブル・コンピューティング・デバイスであってもよい。本質的に、データ処理システム200は、アーキテクチャの制限なく、あらゆる公知のデータ処理システムまたは将来開発されるデータ処理システムであってもよい。
図3は、例示的な実施形態に従った、パスワード共有を伴わない安全なシステム・アクセスを示す図である。リクエスタ・クライアント330およびオーナ・クライアント340は、たとえばセキュア・シェル(Secure Shell:SSH)、テルネット(Telnet)、ターミナル・サービス(Terminal Services:TS)などの複数の通信プロトコルを含む。クライアント330およびクライアント340は、異なるシステム・アクセス機構を実現できるクライアント・コンピュータ上の専用のクライアント・ソフトウェアを含んでもよい。クライアント330およびクライアント340は、共有システムをブラウズし、共有システムへのアクセスを要求し、共有システムへのアクセスを許可または拒否するプロセスの際に、アクティブであってユーザとやり取りを行ってもよい。実施形態の一例において、クライアント330およびクライアント340は、Sametime(IBM社の登録商標)などの企業メッセージング・ツールに組込まれていてもよい。「SAMETIME」は、米国、その他の国、またはその両方におけるインターナショナル・ビジネス・マシーンズ社の商標である。
オーナ・クライアント340は、データベース320にシステム情報を保存することによって、システムまたはリソースを登録する。システム情報は、たとえばホスト識別子、ホストにアクセスするためのプロトコル、およびシステムにアクセスするための資格証明などを含んでもよい。資格証明は、たとえばユーザ名およびパスワードなどを含んでもよい。加えてシステム情報は、アクセス要求を送るためにリクエスタ・クライアントによって用いられるオーナ識別子を含んでもよい。
クライアント330のリクエスタは、システム情報データベース320中のシステムをブラウズしてもよい。このシステムはデータベース、サーバ・アプリケーションなどを含んでもよい。リクエスタがアクセスする必要のある共有システムを識別したとき、リクエスタ・クライアント330はオーナ・クライアント340にアクセス要求を送る。アクセス要求はビジネス・ニーズ(ユーザがそのシステムへのアクセスを望む理由)を含んでもよい。これはアクセス・トラッキングにおいて非常に有用な情報である。次いでクライアント340は、オーナにリクエスタに対してアクセスを認可または拒否するように促す。オーナがアクセスを認可したことに応答して、クライアント340はクライアント330に認可通知またはメッセージを返す。もしオーナがアクセスを拒否すれば、クライアント340はクライアント330に拒否通知を返す。
認可通知を受取ったことに応答して、クライアント330はホストID、プロトコルおよび資格証明を用いてサーバ310のシステムにアクセスする。サーバ310は、クライアントと通信できる専用のサーバ・ソフトウェアをサーバ・コンピュータ上に含んでもよい。サーバ310は、クライアント330、340に共有システム・ブラウジング機能および共有システム資格証明を提供してもよい。クライアント330は、資格証明をキャッシュまたは保存することも、資格証明を外部に提供することもなしに、サーバ310とセッションを開く。つまり、ユーザ名およびパスワードを用いてセッションを開くことは、要求するユーザにとってトランスペアレントである。
実施形態の一例において、システム情報データベース320は、オーナが応じられないときに認可を要求できる人のエスカレーション・リストを含む。エスカレーション・リストは、別のオーナ、チーム・リーダ、管理者、第2の管理者などを含んでもよい。よって、クライアント340が予め定められた期間内に認可または拒否の結果をもたらさなかったとき、エスカレーション・リストの次の人物にアクセス要求がクライアント340から転送されるか、またはクライアント330から再送されてもよい。
実施形態の別の例においては、共有システム情報データベース320はパスワードを保存しない。ユーザがシステムへのアクセスを要求するとき、サーバ310がアクセスして、共有システムに対して要求される権限を有するダミー・ユーザ、たとえばルートまたはdb2admなどを生成してもよい。次いでサーバ310は、要求するユーザによるアクセスがもはや必要なくなったときに、ダミー・ユーザを削除する。
さらなる実施形態において、共有システム・オーナは、認可された要求するユーザがその中で共有システムを使用してもよいという時間ウィンドウを設定してもよい。クライアント340は、この時間ウィンドウをサーバ310に通信してもよい。時間ウィンドウの終わりに、サーバ310はユーザをシステムから自動的にログアウトしてもよい。サーバ310は、オーナの資格証明を用いるクライアント330のユーザに対してこの時間ウィンドウを適用してもよいし、要求するユーザのために生成されたダミー・ユーザに対して時間ウィンドウを適用してもよい。
当業者に認識されるとおり、本発明はシステム、方法またはコンピュータ・プログラム製品として実施されてもよい。したがって本発明は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態(ファームウェア、常駐ソフトウェア、マイクロコードなどを含む)、またはソフトウェアおよびハードウェアの局面を組合わせた実施形態の形を取ってもよく、本明細書においてこれらはすべて一般的に「回路」、「モジュール」または「システム」と呼ばれることがある。さらに、本発明は、媒体において実施されるコンピュータ使用可能プログラム・コードを有する表現式のあらゆる有形の媒体において実施されるコンピュータ・プログラム製品の形を取ってもよい。
1つまたはそれ以上のコンピュータ使用可能媒体またはコンピュータ読取可能媒体のあらゆる組合わせが使用されてもよい。コンピュータ使用可能媒体またはコンピュータ読取可能媒体は、たとえば電子、磁気、光学、電磁気、赤外、または半導体のシステム、装置、デバイス、または伝搬媒体などであってもよいが、それらに限定されない。コンピュータ読取可能媒体のより特定的な例(非網羅的なリスト)は以下を含み得る。すなわち、1つまたはそれ以上のワイヤを有する電気的接続、ポータブル・コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(random access memory:RAM)、リード・オンリ・メモリ(ROM)、消去可能プログラマブル・リード・オンリ・メモリ(erasable programmable read−only memory:EPROMまたはフラッシュ・メモリ)、光ファイバ、ポータブル・コンパクト・ディスク・リード・オンリ・メモリ(compact disc read−only memory:CDROM)、光学記憶装置、インターネットもしくはイントラネットを支持するものなどの伝送媒体、または磁気記憶装置である。なお、コンピュータ使用可能媒体またはコンピュータ読取可能媒体は、プログラムが印刷された紙または別の好適な媒体であってもよい。なぜなら、紙またはその他の媒体の光学的走査などによってプログラムを電子的に取得し、次いで必要であれば好適な態様で適合、解釈、またはその他の態様で処理して、コンピュータ・メモリに保存することができるからである。この文書の文脈において、コンピュータ使用可能媒体またはコンピュータ読取可能媒体とは、命令実行システム、装置またはデバイスによって、またはそれに関連して使用されるためのプログラムを含有、保存、通信、伝搬、または移送できるあらゆる媒体であってもよい。コンピュータ使用可能媒体は、ベースバンド内に、または搬送波の部分としてともに実施されるコンピュータ使用可能プログラム・コードを有する伝搬データ信号を含んでもよい。コンピュータ使用可能プログラム・コードは、無線、ワイヤライン、光ファイバ・ケーブル、無線周波数(radio frequency:RF)などを含むがこれらに限定されないあらゆる適切な媒体を用いて伝達されてもよい。
本発明のオペレーションを行うためのコンピュータ・プログラム・コードは、オブジェクト指向プログラミング言語、たとえばJava(商標)、Smalltalk(商標)、C++など、および従来の手続き型プログラミング言語、たとえば「C」プログラミング言語または類似のプログラミング言語などを含む、1つまたはそれ以上のプログラミング言語のあらゆる組合わせで書かれていてもよい。プログラム・コードは、すべてがユーザのコンピュータで実行されてもよいし、スタンド・アロン・ソフトウェア・パッケージとして、部分的にユーザのコンピュータで実行されてもよいし、一部がユーザのコンピュータで、一部がリモート・コンピュータで実行されてもよいし、すべてがリモート・コンピュータまたはサーバで実行されてもよい。後者のシナリオにおいて、リモート・コンピュータは、ローカル・エリア・ネットワーク(LAN)または広域ネットワーク(WAN)を含むあらゆるタイプのネットワークを通じてユーザのコンピュータに接続されてもよいし、(たとえば、インターネット・サービス・プロバイダを用いてインターネットを通じて)外部コンピュータへの接続が行われてもよい。
本発明の例示的な実施形態に従った方法、装置(システム)およびコンピュータ・プログラム製品の流れ図またはブロック図あるいはその両方を参照して、以下に例示的な実施形態を説明する。流れ図またはブロック図あるいはその両方の各ブロック、ならびに流れ図またはブロック図あるいはその両方におけるブロックの組合わせは、コンピュータ・プログラム命令によって実現され得ることが理解されるだろう。これらのコンピュータ・プログラム命令は、汎用コンピュータ、特定目的のコンピュータのプロセッサ、または機械を生産するためのその他のプログラマブル・データ処理装置に与えられることによって、そのコンピュータのプロセッサまたはその他のプログラマブル・データ処理装置を介して実行された命令が、流れ図またはブロック図あるいはその両方の1つまたはそれ以上のブロックにおいて指定された機能/動作を実現するための手段を生成するようにしてもよい。
これらのコンピュータ・プログラム命令は、コンピュータまたはその他のプログラマブル・データ処理装置に特定の態様で機能するよう指示できるコンピュータ読取可能媒体の中に保存されることによって、コンピュータ読取可能媒体中に保存された命令が、流れ図またはブロック図あるいはその両方の1つまたはそれ以上のブロックにおいて指定された機能/動作を実現する命令手段を含む製造品を生成するようにしてもよい。
コンピュータ・プログラム命令は、コンピュータまたはその他のプログラマブル・データ処理装置にロードされることによって、コンピュータに実現されるプロセスを生成するためにコンピュータまたはその他のプログラマブル装置において行われるべき一連の動作ステップをもたらすことにより、コンピュータまたはその他のプログラマブル装置において実行される命令が、流れ図またはブロック図あるいはその両方の1つまたはそれ以上のブロックにおいて指定された機能/動作を実現するためのプロセスを提供するようにしてもよい。
図面中の流れ図およびブロック図は、本発明のさまざまな実施形態に従うシステム、方法およびコンピュータ・プログラム製品の可能な実現のアーキテクチャ、機能およびオペレーションを例示するものである。これに関して、流れ図またはブロック図における各ブロックは、指定された論理機能(単数または複数)を実現するための1つまたはそれ以上の実行可能な命令を含むモジュール、セグメント、またはコードの部分を表していてもよい。さらに、いくつかの代替的な実現においては、ブロック中に示される機能が図面に示される以外の順序で起こることがあることに留意すべきである。たとえば、連続して示される2つのブロックは、伴われる機能に依存して、実際には実質的に同時に実行されてもよいし、それらのブロックがときには逆の順序で実行されてもよい。さらに、ブロック図または流れ図あるいはその両方の各ブロック、およびブロック図または流れ図あるいはその両方のブロックの組合わせは、指定された機能もしくは動作を行う特定目的のハードウェアに基づくシステム、または特定目的のハードウェアとコンピュータ命令との組合わせによって実現できることが注目される。
図4は、例示的な実施形態に従った、パスワード共有を伴わない安全なシステム・アクセスのためのオーナ・クライアントのオペレーションの例を概説する流れ図である。オペレーションが始まると、システム・オーナはシステム情報データベースに共有システムを登録する(ブロック402)。オーナ・クライアントは、終了状態が存在するかどうかを判定する(ブロック404)。たとえば、オーナ・クライアントが動作を停止するか、またはオーナがシステムの共有をやめるときには、終了状態が存在し得る。終了状態が存在すれば、オペレーションは終了する。
ブロック404において終了状態が存在しなければ、オーナ・クライアントはアクセス要求を受取ったかどうかを判定する(ブロック406)。アクセス要求を受取っていなければ、オペレーションはブロック404に戻って、終了状態が存在するかどうかを判定する。ブロック406においてオーナ・クライアントがアクセス要求を受取れば、オーナ・クライアントはオーナに、リクエスタによる共有システムへのアクセスを認可または拒否するように促す(ブロック408)。次いでオーナ・クライアントは、オーナがリクエスタによる共有システムへのアクセスを認可したか拒否したかを判定する(ブロック410)。
オーナが共有システムへのアクセスを認可するとき、オーナ・クライアントは要求するクライアントに認可通知を返す(ブロック412)。次いでオペレーションはブロック404に戻り、終了状態が存在するかどうかを判定する。ブロック410においてオーナが共有システムへのアクセスを拒否するとき、オーナ・クライアントはリクエスタに拒否通知を返し(ブロック414)、オペレーションはブロック404に戻って終了状態が存在するかどうかを判定する。
図5は、例示的な実施形態に従った、パスワード共有を伴わない安全なシステム・アクセスのためのリクエスタ・クライアントのオペレーションの例を概説する流れ図である。オペレーションが始まると、ユーザはシステム情報データベースに登録された共有システムをブラウズする(ブロック502)。ユーザが共有システムをブラウズするとき、リクエスタ・クライアントは、ユーザ名およびパスワードなどの資格証明情報を秘密にする。ユーザがアクセスを希望する共有システムを見出したとき、リクエスタ・クライアントはオーナ・クライアントにアクセス要求を送る(ブロック504)。
次いでリクエスタ・クライアントは、オーナが応じられるかどうかを判定する(ブロック506)。リクエスタ・クライアントは、オーナ・クライアントが利用不可通知を返したかどうかを判定するか、またはタイムアウト機構を用いることによって、この判定を行ってもよい。オーナが応じられないとき、リクエスタ・クライアントは、アクセス要求が送られたオーナが、共有リソースへのアクセスを許可することが認可されたユーザのエスカレーション・リストにおいて最後のオーナかどうかを判定する(ブロック508)。たとえば、スーパ・ユーザ権限のオーナは、他のユーザの部分集合に対して、共有リソースへのアクセスを許可することに対する許可を与えてもよい。次いでオーナは、これらのユーザをシステム情報データベース中のエスカレーション・リストに列挙してもよい。これらのユーザは、チーム・リーダ、管理者、第2の管理者などを含んでもよい。
ブロック508において、オーナが、共有リソースへのアクセスを許可することが認可された最後のユーザではないとき、リクエスタ・クライアントはエスカレーション・リストの次の人物にアクセス要求を送り(ブロック510)、オペレーションはブロック506に戻って、次の人物(オーナ)が応じられるかどうかを判定する。ブロック508において、現在のオーナがエスカレーション・リストの最後のオーナであれば、リクエスタ・クライアントは要求するユーザに拒否通知を表示し(ブロック512)、オペレーションは終了する。
ブロック506においてオーナが応じられれば、リクエスタ・クライアントはオーナ・クライアントが認可通知を返したか拒否通知を返したかを判定する(ブロック514)。オーナ・クライアントが拒否通知を返したとき、オペレーションはブロック512に進んで、ユーザに拒否通知を表示する。その後、オペレーションは終了する。ブロック514において、オーナ・クライアントが認可通知を返したことをリクエスタ・クライアントが判定するとき、次いでリクエスタ・クライアントはシステム情報および資格証明を用いて、ホストとのセッションを開く(ブロック516)。その後、オペレーションは終了する。
よって例示的な実施形態は、資格証明オーナのパスワードを共有することなく、要求するユーザによる安全なシステム・アクセスを行うための機構を提供する。データベースは、リソースに対するシステム情報を保存する。リソースに対するスーパ・ユーザ権限のオーナは、そのリソースにアクセスするための資格証明を含むシステム情報をデータベースに与える。ユーザがシステムへのアクセスを望むとき、リクエスタのクライアント・ソフトウェアは、オーナのクライアント・ソフトウェアにアクセス要求を送る。オーナのクライアント・ソフトウェアは、オーナにアクセスを認可または拒否するように促す。オーナがアクセスを認可したことに応答して、オーナのクライアント・ソフトウェアはリクエスタのクライアント・ソフトウェアに認可を返し、次いでリクエスタのクライアント・ソフトウェアはシステム情報データベース中の資格証明を用いてリソースにアクセスする。リクエスタのクライアント・ソフトウェアは、資格証明をキャッシュまたは保存することも、資格証明をユーザに提供することもない。よってパスワードは共有されない。アクセスは、すべてのアクセスを追跡する可能性を伴って、セッションごとの態様で制御される。さらに、オーナは、共有システムまたはリソースへのアクセスを提供するために要求するユーザの近くに物理的に位置する必要がない。
上記のとおり、例示的な実施形態は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、またはハードウェアおよびソフトウェア構成要素を両方とも含む実施形態の形を取ってもよいことが認識されるべきである。実施形態の一例において、例示的な実施形態の機構は、ファームウェア、常駐ソフトウェア、マイクロコードなどを含むがこれらに限定されないソフトウェアまたはプログラム・コードにおいて実現される。
プログラム・コードの保存または実行あるいはその両方を行うために好適なデータ処理システムは、システム・バスを通じてメモリ素子に直接的または間接的に結合された少なくとも1つのプロセッサを含む。メモリ素子は、プログラム・コードを実際に実行する際に用いられるローカル・メモリ、バルク記憶装置、および実行中にバルク記憶装置からコードを検索しなければならない回数を減らすために、少なくとも何らかのプログラム・コードの一時的記憶装置を提供するキャッシュ・メモリを含んでもよい。
(キーボード、ディスプレイ、ポインティング・デバイスなどを含むがこれらに限定されない)入出力またはI/Oデバイスは、直接的に、または介在するI/Oコントローラを通じて、システムに結合されてもよい。さらにネットワーク・アダプタがシステムに結合されることによって、データ処理システムが、介在するプライベートまたはパブリック・ネットワークを通じて他のデータ処理システムまたはリモート・プリンタまたは記憶装置に結合されることを可能にしてもよい。モデム、ケーブル・モデムおよびイーサネット・カードは、現在利用可能なネットワーク・アダプタのタイプのうちのほんのいくつかである。
本発明の説明は例示および説明の目的のために提供されたものであって、開示される形の発明に対して網羅的または限定的になることは意図されていない。通常の当業者には多くの修正形および変形が明らかになるだろう。実施形態は、本発明の原理、実際の適用を最もよく説明し、他の通常の当業者が、予期される特定の使用に対して好適であるようなさまざまな修正を伴うさまざまな実施形態に対して本発明を理解できるようにするために選択され説明されたものである。

Claims (13)

  1. 要求するユーザに関連するクライアントにおいて、安全なシステム・アクセスを行うための方法であって、前記方法は、
    システム情報データベース内の共有システムに対するエントリを識別するステップであって、前記エントリはホストの識別子、プロトコル、オーナの識別子、および資格証明を含む、ステップと、
    前記オーナに関連するクライアントにアクセス要求を送るステップと、
    前記要求するユーザによる前記共有システムへのアクセスを前記オーナが認可したことに応答して、前記プロトコルおよび前記資格証明を用いて前記ホストとのセッションを開くステップと
    を含む、方法。
  2. 前記要求するユーザに関連する前記クライアントは、前記要求するユーザに前記資格証明を提供しない、請求項1に記載の方法。
  3. 前記要求するユーザに関連する前記クライアントは、前記資格証明を保存もキャッシュもしない、請求項1に記載の方法。
  4. 前記資格証明はユーザ名およびパスワードを含む、請求項1に記載の方法。
  5. 前記エントリは、前記共有システムへのアクセスを許可することが認可されたユーザのエスカレーション・リストをさらに含む、請求項1に記載の方法。
  6. 前記オーナが応じられないことに応答して、前記エスカレーション・リスト中の次のユーザに関連するクライアントにアクセス要求を送るステップ
    をさらに含む、請求項5に記載の方法。
  7. 前記オーナに関連する前記クライアントは前記オーナに、前記要求するユーザによる前記共有システムへのアクセスを認可または拒否するように促す、請求項1に記載の方法。
  8. 前記オーナは、前記システム情報データベース中に前記エントリを生成することによって前記共有システムを登録する、請求項1に記載の方法。
  9. コンピュータ読取可能プログラムが記録されたコンピュータ記録可能媒体を含むコンピュータ・プログラム製品であって、前記コンピュータ読取可能プログラムは、コンピューティング・デバイスにおいて実行される場合には、前記プログラムがコンピュータにおいて実行されるときに請求項1から8のいずれか1つに記載の方法の前記ステップを実行するためのプログラミング・コード命令を含む、コンピュータ・プログラム製品。
  10. プロセッサと、
    前記プロセッサに結合されたメモリであって、前記メモリは、前記プロセッサによって実行されると、前記プロセッサに
    システム情報データベース中の共有システムに対するエントリを識別させる命令であって、前記エントリはホストの識別子、プロトコル、オーナの識別子、および資格証明を含む、命令、
    前記オーナに関連するクライアントにアクセス要求を送らせる命令、および
    要求するユーザによる前記共有システムへのアクセスを前記オーナが認可したことに応答して、前記プロトコルおよび前記資格証明を用いて前記ホストとのセッションを開かせる命令
    を含む、メモリと
    を含む、装置。
  11. 前記要求するユーザに関連する前記クライアントは、前記要求するユーザに前記資格証明を提供せず、前記要求するユーザに関連する前記クライアントは、前記資格証明を保存もキャッシュもしない、請求項10に記載の装置。
  12. 前記資格証明はユーザ名およびパスワードを含む、請求項10に記載の装置。
  13. 前記エントリは、前記共有システムへのアクセスを許可することが認可されたユーザのエスカレーション・リストをさらに含む、請求項10に記載の装置。
JP2011544009A 2009-01-05 2009-11-24 パスワード共有を伴わない安全なシステム・アクセス Expired - Fee Related JP5497065B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/348,389 2009-01-05
US12/348,389 US20100175113A1 (en) 2009-01-05 2009-01-05 Secure System Access Without Password Sharing
PCT/EP2009/065736 WO2010076088A2 (en) 2009-01-05 2009-11-24 Secure system access without password sharing

Publications (2)

Publication Number Publication Date
JP2012514779A true JP2012514779A (ja) 2012-06-28
JP5497065B2 JP5497065B2 (ja) 2014-05-21

Family

ID=41582041

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011544009A Expired - Fee Related JP5497065B2 (ja) 2009-01-05 2009-11-24 パスワード共有を伴わない安全なシステム・アクセス

Country Status (6)

Country Link
US (1) US20100175113A1 (ja)
EP (1) EP2374259A2 (ja)
JP (1) JP5497065B2 (ja)
KR (1) KR20110117136A (ja)
CN (1) CN102265579B (ja)
WO (1) WO2010076088A2 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9052861B1 (en) 2011-03-27 2015-06-09 Hewlett-Packard Development Company, L.P. Secure connections between a proxy server and a base station device
US8966588B1 (en) 2011-06-04 2015-02-24 Hewlett-Packard Development Company, L.P. Systems and methods of establishing a secure connection between a remote platform and a base station device
US9767296B2 (en) 2012-04-02 2017-09-19 Varonis Systems, Inc Requesting access to restricted objects by a remote computer
US9747459B2 (en) 2012-04-02 2017-08-29 Varonis Systems, Inc Method and apparatus for requesting access to files
EP2834954A1 (en) * 2012-04-02 2015-02-11 Varonis Systems, Inc. A method and apparatus for requesting access to files
US9978106B2 (en) 2012-04-24 2018-05-22 Facebook, Inc. Managing copyrights of content for sharing on a social networking system
US10325323B2 (en) 2012-04-24 2019-06-18 Facebook, Inc. Providing a claims-based profile in a social networking system
US20130282812A1 (en) * 2012-04-24 2013-10-24 Samuel Lessin Adaptive audiences for claims in a social networking system
US20130305328A1 (en) * 2012-05-08 2013-11-14 Wai Pong Andrew LEUNG Systems and methods for passing password information between users
US9275217B2 (en) 2013-01-14 2016-03-01 International Business Machines Corporation ID usage tracker
US9656568B2 (en) 2013-04-15 2017-05-23 Volvo Truck Corporation Method and arrangement for error detection during charging of an energy storage system
US10524122B2 (en) 2014-01-31 2019-12-31 Microsoft Technology Licensing, Llc Tenant based signature validation
US9565198B2 (en) * 2014-01-31 2017-02-07 Microsoft Technology Licensing, Llc Tenant based signature validation
JP2018515872A (ja) * 2015-05-15 2018-06-14 マイクロ モーション インコーポレイテッド ドングルを用いたインターフェースへのアクセスの制御
US9876783B2 (en) 2015-12-22 2018-01-23 International Business Machines Corporation Distributed password verification
US20190080103A1 (en) * 2016-02-23 2019-03-14 Carrier Corporation Policy-based automation and single-click streamlining of authorization workflows
CN107566367A (zh) * 2017-09-02 2018-01-09 刘兴丹 一种云存储信息网络认证共享的方法、装置
US11349926B1 (en) * 2019-04-02 2022-05-31 Trend Micro Incorporated Protected smart contracts for managing internet of things devices
US11722489B2 (en) 2020-12-18 2023-08-08 Kyndryl, Inc. Management of shared authentication credentials

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005157881A (ja) * 2003-11-27 2005-06-16 Canon Inc サーバ端末装置、クライアント端末装置、オブジェクト管理システム、オブジェクト管理方法、コンピュータプログラム及び記録媒体
JP2005250760A (ja) * 2004-03-03 2005-09-15 Ntt Data Corp アラート通知装置
JP2006092075A (ja) * 2004-09-22 2006-04-06 Fuji Xerox Co Ltd オブジェクト管理用コンピュータプログラムならびにオブジェクト管理装置および方法
JP2006171870A (ja) * 2004-12-13 2006-06-29 Canon Inc ネットワークデバイスにおけるジョブ操作許可方法
JP2007006041A (ja) * 2005-06-22 2007-01-11 Yamaha Corp 通信装置およびプログラム
JP2007206850A (ja) * 2006-01-31 2007-08-16 Casio Comput Co Ltd ログイン管理装置及びプログラム

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030018771A1 (en) * 1997-07-15 2003-01-23 Computer Associates Think, Inc. Method and apparatus for generating and recognizing speech as a user interface element in systems and network management
US6085191A (en) * 1997-10-31 2000-07-04 Sun Microsystems, Inc. System and method for providing database access control in a secure distributed network
US6338138B1 (en) * 1998-01-27 2002-01-08 Sun Microsystems, Inc. Network-based authentication of computer user
US20020002596A1 (en) * 1998-09-03 2002-01-03 Sony Corporation Apparatus and method for retrieving information over a computer network
US6510523B1 (en) * 1999-02-22 2003-01-21 Sun Microsystems Inc. Method and system for providing limited access privileges with an untrusted terminal
US6615264B1 (en) * 1999-04-09 2003-09-02 Sun Microsystems, Inc. Method and apparatus for remotely administered authentication and access control
US6934737B1 (en) * 2000-05-23 2005-08-23 Sun Microsystems, Inc. Method and apparatus for providing multi-level access control in a shared computer window
US7278023B1 (en) * 2000-06-09 2007-10-02 Northrop Grumman Corporation System and method for distributed network acess and control enabling high availability, security and survivability
US20030163438A1 (en) * 2000-10-19 2003-08-28 General Electric Company Delegated administration of information in a database directory using at least one arbitrary group of users
US7698381B2 (en) * 2001-06-20 2010-04-13 Microsoft Corporation Methods and systems for controlling the scope of delegation of authentication credentials
US7073195B2 (en) * 2002-01-28 2006-07-04 Intel Corporation Controlled access to credential information of delegators in delegation relationships
US7318155B2 (en) * 2002-12-06 2008-01-08 International Business Machines Corporation Method and system for configuring highly available online certificate status protocol responders
US7263614B2 (en) * 2002-12-31 2007-08-28 Aol Llc Implicit access for communications pathway
US7644275B2 (en) * 2003-04-15 2010-01-05 Microsoft Corporation Pass-thru for client authentication
US7735122B1 (en) * 2003-08-29 2010-06-08 Novell, Inc. Credential mapping
US20050060566A1 (en) * 2003-09-16 2005-03-17 Chebolu Anil Kumar Online user-access reports with authorization features
CN100525182C (zh) * 2004-03-11 2009-08-05 西安西电捷通无线网络通信有限公司 用于无线网络的鉴别与保密方法
CN1787513A (zh) * 2004-12-07 2006-06-14 上海鼎安信息技术有限公司 安全远程访问系统和方法
US8438400B2 (en) * 2005-01-11 2013-05-07 Indigo Identityware, Inc. Multiple user desktop graphical identification and authentication
US7770206B2 (en) * 2005-03-11 2010-08-03 Microsoft Corporation Delegating right to access resource or the like in access management system
AU2006201428A1 (en) * 2005-04-06 2006-10-26 Activldentity, Inc. Secure digital credential sharing arrangement
US20060294366A1 (en) * 2005-06-23 2006-12-28 International Business Machines Corp. Method and system for establishing a secure connection based on an attribute certificate having user credentials
US20070143834A1 (en) * 2005-12-20 2007-06-21 Nokia Corporation User authentication in a communication system supporting multiple authentication schemes
US7930736B2 (en) * 2006-01-13 2011-04-19 Google, Inc. Providing selective access to a web site
US8020197B2 (en) * 2006-02-15 2011-09-13 Microsoft Corporation Explicit delegation with strong authentication
US7913084B2 (en) * 2006-05-26 2011-03-22 Microsoft Corporation Policy driven, credential delegation for single sign on and secure access to network resources
JP4992332B2 (ja) * 2006-08-03 2012-08-08 富士通株式会社 ログイン管理方法及びサーバ
CN101132277A (zh) * 2006-08-26 2008-02-27 华为技术有限公司 一种生物认证方法
US7900252B2 (en) * 2006-08-28 2011-03-01 Lenovo (Singapore) Pte. Ltd. Method and apparatus for managing shared passwords on a multi-user computer
US20080133905A1 (en) * 2006-11-30 2008-06-05 David Carroll Challener Apparatus, system, and method for remotely accessing a shared password
US8327456B2 (en) * 2007-04-13 2012-12-04 Microsoft Corporation Multiple entity authorization model
CN100476828C (zh) * 2007-04-28 2009-04-08 华中科技大学 基于访问控制的安全搜索引擎系统
CN101083556B (zh) * 2007-07-02 2010-04-14 蔡水平 一种按地域分层次无线信息发布搜索交流应用系统
CN101183940A (zh) * 2007-12-11 2008-05-21 中兴通讯股份有限公司 一种多应用系统对用户身份进行认证的方法
US7992191B2 (en) * 2008-03-25 2011-08-02 International Business Machines Corporation System and method for controlling a websphere portal without the requirement of having the administrator credential ID and password
WO2009137371A2 (en) * 2008-05-02 2009-11-12 Ironkey, Inc. Enterprise device recovery

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005157881A (ja) * 2003-11-27 2005-06-16 Canon Inc サーバ端末装置、クライアント端末装置、オブジェクト管理システム、オブジェクト管理方法、コンピュータプログラム及び記録媒体
JP2005250760A (ja) * 2004-03-03 2005-09-15 Ntt Data Corp アラート通知装置
JP2006092075A (ja) * 2004-09-22 2006-04-06 Fuji Xerox Co Ltd オブジェクト管理用コンピュータプログラムならびにオブジェクト管理装置および方法
JP2006171870A (ja) * 2004-12-13 2006-06-29 Canon Inc ネットワークデバイスにおけるジョブ操作許可方法
JP2007006041A (ja) * 2005-06-22 2007-01-11 Yamaha Corp 通信装置およびプログラム
JP2007206850A (ja) * 2006-01-31 2007-08-16 Casio Comput Co Ltd ログイン管理装置及びプログラム

Also Published As

Publication number Publication date
WO2010076088A3 (en) 2010-10-14
EP2374259A2 (en) 2011-10-12
JP5497065B2 (ja) 2014-05-21
WO2010076088A2 (en) 2010-07-08
CN102265579B (zh) 2015-01-14
KR20110117136A (ko) 2011-10-26
US20100175113A1 (en) 2010-07-08
CN102265579A (zh) 2011-11-30

Similar Documents

Publication Publication Date Title
JP5497065B2 (ja) パスワード共有を伴わない安全なシステム・アクセス
US9686262B2 (en) Authentication based on previous authentications
US8590029B2 (en) Management of access authorization to web forums open to anonymous users within an organization
EP2973158B1 (en) Delegating authorization to applications on a client device in a networked environment
US8793509B1 (en) Web authorization with reduced user interaction
US7886339B2 (en) Radius security origin check
US8918856B2 (en) Trusted intermediary for network layer claims-enabled access control
US9886590B2 (en) Techniques for enforcing application environment based security policies using role based access control
US10021110B2 (en) Dynamic adjustment of authentication mechanism
US20070101401A1 (en) Method and apparatus for super secure network authentication
US9160731B2 (en) Establishing a trust relationship between two product systems
US7895645B2 (en) Multiple user credentials
US8601540B2 (en) Software license management
US9059987B1 (en) Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network
EP4278566A1 (en) Limiting scopes in token-based authorization systems
US20080229396A1 (en) Issuing a command and multiple user credentials to a remote system
US20060248578A1 (en) Method, system, and program product for connecting a client to a network
US10002241B2 (en) Managing data to diminish cross-context analysis
US7496762B1 (en) Security architecture for modified segregated environment for federal telecom services
US11483316B1 (en) System and method for access using a circle of trust
AU2021272478A1 (en) A system and method for management of access to customer data

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120615

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131024

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131029

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140305

R150 Certificate of patent or registration of utility model

Ref document number: 5497065

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees