JP2686218B2 - コンピュータシステム上の別名の検出方法、分散型コンピュータシステム及びその作動方法、及び別名の検出を実行する分散型コンピュータシステム - Google Patents

コンピュータシステム上の別名の検出方法、分散型コンピュータシステム及びその作動方法、及び別名の検出を実行する分散型コンピュータシステム

Info

Publication number
JP2686218B2
JP2686218B2 JP5154791A JP15479193A JP2686218B2 JP 2686218 B2 JP2686218 B2 JP 2686218B2 JP 5154791 A JP5154791 A JP 5154791A JP 15479193 A JP15479193 A JP 15479193A JP 2686218 B2 JP2686218 B2 JP 2686218B2
Authority
JP
Japan
Prior art keywords
user
user account
account
computer system
accounts
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP5154791A
Other languages
English (en)
Other versions
JPH0695947A (ja
Inventor
ロバート ショックレイ ウィリアム
エミール ガイナック ジョージ
Original Assignee
ディジタル イクイプメント コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ディジタル イクイプメント コーポレイション filed Critical ディジタル イクイプメント コーポレイション
Publication of JPH0695947A publication Critical patent/JPH0695947A/ja
Application granted granted Critical
Publication of JP2686218B2 publication Critical patent/JP2686218B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/30Individual registration on entry or exit not involving the use of a pass
    • G07C9/32Individual registration on entry or exit not involving the use of a pass in combination with an identity check
    • G07C9/37Individual registration on entry or exit not involving the use of a pass in combination with an identity check using biometric data, e.g. fingerprints, iris scans or voice recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2147Locking files

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明はコンピュータシステム上
の別名の検出方法、分散型コンピュータシステム及びそ
の作動方法、及び別名の検出を実行する分散型コンピュ
ータシステムに関する。
【0002】
【従来の技術】認可されたユーザでありながら故意に或
いは偶発的に大きなダメージを引き起してしまうような
人を無責任なユーザと言う。例としては、あるコンピュ
ータのファイルに対するアスセスを許可されているコン
ピュータのユーザが許可を得てキーファイルのコピーを
作成し、それを不当に伝送するような場合である。この
種の違反行為は信用の侵害と定義することができる。こ
のような安全性の欠如による不正からサイトを保護する
ためにコンピュータのオペレーティングシステムができ
ることは殆どない。何故なら、初めのファイルへのアク
セスは完全に許可されたものであり、この違反行為は許
可されたアクセスで得たものを不当に伝送したことによ
り生じたものであるからである。
【0003】ユーザプロービングとは、コンピュータの
ユーザがコンピュータシステムの充分には保護されてい
ない部分を悪用して無許可でアクセス権を得るような状
況を言う。プロービングとは、通常、コンピュータのユ
ーザが、コンピュータシステムを自由に見ることができ
る正当なアクセス権を有するトップレベルのコンピュー
タ設備を使用することを意味する。
【0004】ユーザペネトレーションは実施において比
較的人目につかない弱点を見つけて既存の安全制御を迂
回しようとすることを言う。ユーザプロービングやユー
ザペネトレーションに対して保護するために、コンピュ
ータシステムは通常、ユーザの同一性を認証する工程を
備えている。コンピュータシステムにおけるユーザの同
一性の認証とは、ユーザの同一性を確認することによ
り、そのユーザからの要求に安全対策を適切に適用でき
るようにすることである。通常、ユーザ認証には、生体
的な情報、暗号的な情報等の各自の利用資格を審査する
ことが含まれる。中規模から大規模にかけての分散型コ
ンピュータシステムでは、ある特定のコンピュータのユ
ーザが、それぞれ正当な幾つかの異なるコンピュータユ
ーザのアカウントを経由してコンピュータネットワーク
にアクセスできるような場合がしばしばある。例えば、
あるコンピュータのユーザが、仕事場では従業員用のコ
ンピュータシステムにより、また自宅ではモデムを使用
してパーソナルコンピュータによりネットワークを通し
てコンピュータにアクセスすることがある。職務の分離
の方針がコンピュータネットワークのサーバにより実施
されるような場合、異なる2つのコンピュータの要求が
別人からのものかどうかをそのサーバが判断できるため
の手段がなくてはならない。一個人が複数のユーザアカ
ウントにアクセスできる場合、それらのアカウントはそ
の一個人の別名(alias)アカウントと呼ばれる。
【0005】従って、別名とは自身の行動に責任が持て
る個人のための別の識別と定義される。コンピュータユ
ーザの別名のアカウントがある可能性がある場合、例え
ばパスワードや公衆的なキー等の、認証データを直接比
較するだけでは好ましくないユーザの別名を防止するの
に不充分である。一人のユーザが認証情報とは異なる情
報を含んでいる可能性のある別個のユーザアカウントを
得ることを防止するための制御は事実上無いからであ
る。
【0006】多くのビジネス用及び商業用アプリケーシ
ョンに要求されるコンピュータの安全対策の1つのタイ
プは職務の分離の方針と呼ばれている。この方針は重要
な仕事上の手続を行なうためにその仕事のある工程を異
なる人間により実行することを要件とするものである。
この方針の目的はトランザクションの責任を異なる何人
かの人間に分散することにより、単独で行動する一人の
人間が問題となる行動をとれなくすることにある。これ
により、異なる責任を持つ異なる人間が互いに対してチ
ェックを行うことになる。
【0007】日常の生活で遭遇するかもしれない職務の
分離の方針の例としては個人用の金庫がある。通常、銀
行はその従業員及び金庫の所有者が互いに別個の鍵を使
い、その所有者が金庫の使用権を得られるように両者が
業務日誌にサインするよう要求する。2つの鍵を必要と
することをアクセス制御と呼ぶ。二人の人間に日誌にサ
インさせることを監査制御と呼ぶ。銀行の方針によれば
金庫の所有者と銀行の従業員とが別の異なる人間でなけ
ればならない。別の例としては、企業の人間が経費伝票
を渡してその費用のための小切手を会社から発行しても
らう場合が挙げられる。企業の方針によれば経費伝票に
サインした人間と小切手を許可する人間が同じでないこ
とが要求されているであろう。このような2つの例は、
マニュアルシステムに職務の分離の方針が広く必要とさ
れていることを示している。
【0008】職務の分離の方針を実行するためにこれま
で幾つかの手段が講じられてきた。自動化されたコンピ
ュータシステムにおける職務の分離を実行するための最
も一般的な手段は安全面の管理者が異なるグループ或い
は役割を定義し、各個人に与えた重要なグループ或いは
役割が重複していないことを手作業で確認することであ
る。
【0009】
【発明が解決しようとする課題】しかし、この手段には
2つの別個のアカウントからコンピュータシステムにア
クセスした人間がいるかも知れないという可能性を防ぐ
ことができないという問題がある。ユーザアカウントに
よるユーザの認証及び識別に対する知られている手段
は、ユーザアカウントの別名化が操作上或いは手続上の
ルールを用いることにより防止されていることを必要条
件としている。職務の分離の方針を実行するための手段
は別名が使われないこと、及び認証可能なユーザアカウ
ントの識別が個人を識別するのにも充分であることを前
提としている。この手段の問題点は別名のアカウントが
特に大規模なコンピュータシステムに存在していないと
いう前提が一般的に誤りであることである。更に、ネッ
トワークが大規模になればなる程、アカウントの別名防
止が困難になる。新たなアカウントを作る時にたとえ生
体的な情報等の個人にとって独特な識別情報を得たとし
ても、新たなユーザのアカウントをネットワーク上にそ
の人間のために存在するかも知れない他のユーザのアカ
ウントと関連付けるためには、既にシステムにあるユー
ザアカウントの総てを徹底的に調査しなければならない
であろうからである。このような調査は比較的小規模な
コンピュータネットワークでも費用が高くつき、大規模
なコンピュータネットワークでは事実上不可能である。
【0010】ユーザ認証の一つの手段はログインの間に
コンピュータシステムに送られる生体的リーダ情報を使
用するものである。生体的情報は各ログインポイント或
いはステーションで生体的リーダから得られる。生体的
リーダは通常、眼球スキャン、指紋、DNAの見本等の
個人の独特な情報或いは性格を検知するものである。ユ
ーザ認証のために生体的情報を頻繁に使用する場合、生
体的リーダは総てのログインポイントで生体的リーダが
必要なため、一般に高価につく。また、生体情報が公に
漏洩された場合、ダメージを元に戻すことは不可能であ
る。これらの理由から、認証のためにパスワードやスマ
ートカード等の暗号的な情報を継続して使うことは生体
的データよりも良い選択であると考えられてきた。
【0011】
【課題を解決するための手段】上記問題点を解決するた
めに、本発明はその広い形態において請求項1ないし3
に記載の別名検出付き分散型コンピュータシステムの作
動方法にある。また本発明は請求項4ないし5に記載の
別名検出付き又は別名検出を行う分散型コンピュータシ
ステムにある。本発明の第1の特徴によれば、(a)前
記コンピュータシステムのユーザアカウントストアに、
複数のユーザアカウントのそれぞれと関連する識別情報
であって、各ユーザアカウントについてそのユーザアカ
ウントに関連するコンピュータユーザを独特に特徴付け
る識別情報を記憶する工程と、(b)許可ストアに前記
ユーザアカウントのうちの選択されたユーザアカウント
のリストを記憶する工程と、(c)工程(a)と(b)
の後、前記ユーザアカウントのうちの第1のユーザアカ
ウントのための要求に応答してコンピュータシステムリ
ソースアクセスプログラムの実行を開始する工程と、
(d)工程(c)の後、i)前記第1のユーザアカウン
トに関連して前記ユーザアカウントストアに記憶された
識別情報と、前記選択されたユーザアカウントのリスト
の中の各ユーザアカウントに関連する識別情報とを比較
し、ii)前記比較された識別情報が一致せず、前記第
1ユーザアカウントが前記選択されたユーザアカウント
のどれかの別名でないことを表示する場合に、前記コン
ピュータシステムアクセスプログラムを実行する、こと
により、コンピュータシステムリソースへのアクセスの
許可に対する前記第1のユーザアカウントからの要求を
処理する工程と、から成る別名検出付き分散型コンピュ
ータシステムの作動方法が提案される。かかる方法によ
れば、ユーザアカウント情報のための第1の要求を使用
してコンピュータリソースの実行時に実施される別名の
検出技術が提供される。このような技術は、例えば限定
されたコンピュータのリソースへのアクセスを制御した
り、コンピュータシステム上の別名のアカウントの存在
の監視や制御をしたり、またコンピュータのリソース上
の職務の分離の方針を実行するために使用することがで
きる。
【0012】また、本発明の第2の特徴によれば、前記
別名検出付き分散型コンピュータシステムの作動方法に
おいて、前記要求を処理する工程が、i)前記ユーザア
カウントが前記選択されたユーザアカウントの一つと同
じである、ii)前記ユーザアカウントが前記ユーザア
カウントストアに関連する識別情報を全く有しない、及
びiii)前記ユーザアカウントストア内の前記ユーザ
アカウントの識別情報が前記選択されたユーザアカウン
トの識別情報の一つと同じである、のイベントのいずれ
かが起きた場合に、前記要求を否定する工程を更に含む
ことを特徴とする方法が提案される。かかる方法によれ
ば、別名の検出はユーザがコンピュータシステムのリソ
ースへアクセスしようとした時点で判断される。
【0013】また、本発明の第3の特徴によれば、
(a)前記コンピュータシステムのそれぞれのユーザア
カウントのユーザアカウントストアに、複数のユーザア
カウントのそれぞれと関連する識別情報であって、各ユ
ーザアカウントについてそのユーザアカウントと関連す
るコンピュータユーザを独特に特徴付ける識別情報を記
憶する工程と、(b)第1のユーザアカウントからの第
1の要求に応答して、複数の段階を有する選択されたト
ランザクションプログラムの一つの段階の実行を開始す
る工程と、(c)i)前記第1のユーザアカウントのユ
ーザアカウントメモリに記憶された識別情報と第2のユ
ーザアカウントのユーザアカウントメモリに記憶された
識別情報とを比較し、ii)前記比較された識別情報が
一致し、前記第2のユーザアカウントが前記第1のユー
ザアカウントの別名であることを表示する場合に、前記
第2のユーザアカウントに対する許可を否定する、こと
により、前記選択されたトランザクションプログラムの
後続の段階の実行の許可に対する前記第2のユーザアカ
ウントからの第2の要求を処理する工程と、から成る別
名検出付き分散型コンピュータシステムの作動方法が提
案される。かかる方法によれば、別名の検出は次のユー
ザが選択したトランザクションを完了しようとした時点
で判断できる。ログイン認証も別名アカウントを持って
いるかも知れないユーザを独特に識別すると仮定しない
ことにより、上記方法によれば別名が使用されている可
能性のあるアカウントを調べるためにネットワーク全体
を徹底的に調査することなく方針アプリケーションのポ
イントで別名を検出することができる。本発明はユーザ
アカウントの別名が防止されることを想定していない。
むしろ、本発明は別名によるアカウントが自由に作成さ
れることを想定したものであり、各アカウントの所有者
を独特に識別するデータを使用して、保護された活動の
実行が開始される直前の時点で好ましくない別名の存在
を検出するものである。
【0014】また、本発明の第4の特徴によれば、
(a)複数のコンピュータユーザのそれぞれを独特に特
徴付けたユーザアカウント識別情報を含むそれぞれのユ
ーザアカウントの記録ストアと、(b)実行のために別
個の要求を必要とする少なくとも2つの段階を有する記
憶されたアプリケーショントランザクションプログラム
と、(c)第1のユーザアカウントのトランザクション
開始要求に応答して前記アプリケーションプログラムの
1つの段階を実行する手段と、(d)第2のユーザアカ
ウントのトランザクション開始要求の許可に応答して前
記アプリケーションプログラムの後続の段階を実行する
手段と、(e)前記ストア内の前記第1と第2のユーザ
アカウントの識別情報を比較し、該比較した情報が一致
せずに前記第2のユーザアカウントが前記第1のユーザ
アカウントの別名でないことを表示する場合に、前記許
可を与える手段と、から成る別名検出付き分散型コンピ
ュータシステムが提案される。また、本発明の第5の特
徴によれば、別名検出を行う分散型コンピュータシステ
ムにおいて、(a)複数のユーザアカウントであって、
認証情報、デジタル化された生体情報及びユーザアカウ
ント情報を含む、各ユーザアカウントに対して複数のコ
ンピュータユーザの1つを独特に特徴付けたデジタルサ
インされたアカウント証明書を含むユーザアカウントの
ためのストアと、(b)実行するには別個の開始要求を
必要とする少なくとも2つの段階を有する記憶されたア
プリケーショントランザクションプログラムと、(c)
第1のユーザアカウントのトランザクション開始要求に
応答して前記少なくとも1つのアプリケーションプログ
ラムの第1の段階を実行する手段と、(d)第2のユー
ザアカウントのトランザクション開始要求に応答して前
記少なくとも1つのアプリケーションプログラムの後続
の段階を実行して、前記ストア内の前記第1及び第2の
ユーザアカウントの前記アカウント証明書に含まれる前
記認証情報とデジタル生体情報とを比較する手段と、
(e)前記比較した認証情報とデジタル生体情報とが一
致しない場合のみ、したがって、前記第2のユーザアカ
ウントが前記第1のユーザアカウントの別名でない場合
のみ前記少なくとも1つのアプリケーションプログラム
の前記後続の段階の実行を許可する手段と、から成る別
名検出を行う分散型コンピュータシステムが提案され
る。かかる構成によれば、生体的及び暗号的な技術の組
合せを使用したコンピュータ安全システムが提供され
る。特に、本発明は、アカウント登録用の単一の認証制
度、或いはアカウントを重複しない異なるグループや役
割に分離するための厳重なアカウント管理(即ち、職務
の分離の静的な実施)、或いは個人用に多数のアカウン
トを与えないことに依存しない職務の分離の方針を支持
するためのシステムを提供する。本発明を具体化するこ
のようなシステムは、必要であれば個人に多数の役割を
負わせることにより職務の分離の動的な実施を支持する
ことができ、与えられた職務の関係の中で、個人が相反
する役割を負わないということを確実にすることができ
る。これらのことは、デジタル化された生体的データ或
いは他の独特な識別データを使用して一人の人間が異な
るアカウント、即ち別名を使用しているか否かを判断す
ることにより達成される。
【0015】
【実施例】図1を参照し、コンピュータシステム10は
個人ユーザ10a−10cにアクセス可能な状態で示さ
れる。各個人ユーザ10a−10cはローカルエリアネ
ットワークに接続されたワークステーション12a−1
2cを備えている。ワークステーション12a−12c
は各個人10a−10cに自身の職務を遂行する一組の
アプリケーションを提供する。アプリケーションはロー
カルエリアネットワーク14に接続されたアプリケーシ
ョンサーバシステム16上にある。
【0016】アプリケーションサーバシステム16は一
組のアプリケーションプログラム(以下「アプリケーシ
ョン」と称す)を含んだコンピュータシステムであり、
このアプリケーションもローカルエリアネットワーク1
4を介して他のコンピュータのユーザ(図示せず)によ
るアクセスが可能である。各個人ユーザ10a−10c
はネームサーバシステム18上のネームサービスプログ
ラム19に保持された1つ或いは複数のアカウントによ
り識別される。
【0017】ネームサーバシステム18はネームサービ
スソフトウエア19を備えたコンピュータシステムであ
り、ローカルエリアネットワーク14を介してどのコン
ピュータユーザからもアクセスできる。ネームサービス
ソフトウエア19はネットワークアプリケーション、シ
ステム及び他のネットワークでアクセス可能なオブジェ
クトのネームをローカルエリアネットワーク14内の物
理的な位置から独立させるものである。例えば、唯一の
ネームが、ネームサーバシステム18上のネームサービ
スプログラム19に記憶され、個人ユーザ10a−10
cがアプリケーションサーバシステム16の唯一のアプ
リケーションを実行することができる。
【0018】ネームサーバシステム18では、各個人ユ
ーザ10a−10cは個人用のアカウントと、1つ或い
は複数の「特別」アカウントを有している。個人用或い
は特別アカウントはそれぞれアカウント識別性を備え、
これにより個人ユーザ10a−10cがコンピュータシ
ステム10にログオンしてネームサーバシステム18に
識別された特定のアプリケーションを使用することがで
きる。各「特別アカウント」は特定のジョブ機能、例え
ば組織的役割に対応する。このような特別なアカウント
によりログインされた個人ユーザ10a−10cは対応
するジョブ機能に特異なそれらのアプリケーションを実
行することができる。
【0019】図2を参照し、アプリカント100は生体
情報105をアカウント処理の一部としてのレジストラ
ー110に供給する。コンピュータシステム10内の総
てのアカウントは、エンティティが自身の識別を有する
と共に幾つかの企業のためのアカウント管理の責任を持
つアカウントレジストラー110により管理される。ア
カウントの作成或いは修正の間、レジストラー110は
アプリカント100の生体情報105を確保する。ここ
でシステムは、認証のためにパブリックキーの暗号技術
を使用して認証データを提供する。ログインの認証に使
用されるアカウントに関連付けされることになる認証デ
ータは、パブリックキーとプライベートキーとの一対の
キーよりなるパブリックキーである。レジストラー11
0は一対のパブリック及びプライベートキーを作成す
る。プライベートキーは(典型的にはパスカードのよう
な幾つかのデバイスに記憶された情報の形式で)ユーザ
に発行され、またアカウントのためのパブリックキー
は、そのアカウントのための所謂「証明書」内に他のア
カウント情報と共に記憶される。アプリカント100に
より供給された生体的データ105は、認証データ(例
えばユーザのパブリックキー等)及びシステムにより必
要とされるかも知れない安全面で重要な情報(例えばユ
ーザの許可された役割等)と共に証明書に完全にロック
されるのが好ましい。完全にロックされたデジタル化さ
れた基準の生体的データは、以下「証明書に基づく別名
の検出データ(CBAD)」と称す。レジストラーは、
デジタルサインを付すことにより証明書を完全にロック
する。最も簡単な形態のデジタルサインは、証明書を暗
号化した単なるコピーであり、これは、レジストラー1
10の割り当てられたプライベートキー(これはレジス
トラー110及びレジストラーのワークステーションに
しか知られていない)を使用して暗号化される。デジタ
ルサインは、そのサインを使用して「完全にロックされ
る」べきデータと共に使用されて暗号チェックサム或い
は適切なコードを提供する。デジタルサインを付加する
ことで「完全にロックされた」或いはデジタル化された
にサインされたアカウント/認証/証明書に基づく別名
の検出データ120が提供され、そこでそれはネームサ
ービスプログラム19に記憶される。上述のパブリック
キー暗号化技術が使用されてアカウント/認証/証明書
に基づく別名の検出データの不正な書き換えを検出する
ことができる。
【0020】その後の段階で、レジストラー110のパ
ブリックキー(システム全体を通して知られている)を
使用してデジタルサインを解読し、その結果をその解読
したデジタルサインに関連する平文の証明書と比較する
ことにより、アカウント証明書130が確かにレジスト
ラー110によりサインされたことをエンティティーが
立証することができる。この平文の証明書はデジタルサ
インを解読したものである。それらが同一であれば、ア
カウント証明書を使用したエンティティーは、アカウン
ト証明書の平文のもの及び暗号化されたものの何れもが
レジストラー110により生成或いは修正された後に修
正されてはおらず、アカウント証明書のデータがレジス
トラーのワークステーションで作成されたものであるこ
とを確信する。
【0021】個人ユーザがワークステーションにログオ
ンする時、個人ユーザは、その個人ユーザを認証する或
いはその同一性を確認する第1の工程として、ネームサ
ービスプログラム19からアカウント証明書を探してフ
ェッチするために、ローカルオペレーティングシステム
により使用される情報(ユーザの名前等)を提供する。
ローカルオペレーティングシステムは、その後、レジス
トラー110のパブリックキーを使用してアカウント証
明書のデジタルサインを確認する。アカウント証明書が
正当なものであれば、レジストラー110によりそのア
カウントに割り当てられたパブリックキーは既知であ
る。ログインしようとする個人ユーザは、その後、デジ
タルサインされた「ログイン委任証明書」をワークステ
ーションに提示する。ログイン委任証明書は、ユーザが
認証されるべきローカルオペレーティングシステムに送
るものである。(通常、これはレジストラー110によ
り個人ユーザに発行される、その個人ユーザの個人的な
プライベートキーを含む、スマートカードにより行われ
る。)オペレーティングシステムは、アカウント証明書
から得たパブリックキーを使用してそれを解読すること
によりログイン委任証明書の正当性を確認する。確認で
きた場合には、オペレーティングシステムは、アカウン
ト証明書から得たパブリックキーがログオンしようとし
ている個人ユーザの所有のプライベートキーと一致し、
その個人ユーザにアカウントに関連した権利或いは特権
を与えることが正当であることを認識する。確認処理の
間の瞬く間に、アカウント証明書におけるCBADデー
タが使用される。CBADデータはログイン認証の成功
又は失敗を判断しないため、そのCBADデータがパブ
リックであれば、ログイン認証システムの完全性を危険
にさらすことはない。正当に認証されたローカルユーザ
のため或いはその要求により実行されるべきリモートア
プリケーションを(例えばアプリケーションサーバシス
テム16から)呼び出すためには、ワークステーション
オペレーティングシステムが、その要求に個人ユーザの
ログイン委任証明書を付加し、ワークステーションのプ
ライベートキーを用いてそれにデジタル式にサインする
ことにより、その要求のための所謂リモート委任証明書
を発行する。リモート委任証明書は、個人ユーザのため
にサービスを得るようにローカルコンピュータオペレー
ションシステムがアプリケーションサーバシステム16
に送るものである。するとアプリケーションサーバシス
テム16は、(ワークステーションのパブリックキーを
サインに適用することにより)そのリモート委任証明書
がワークステーションから来たものであることを確認す
ることができる。これが確認できると、割り当てられた
ユーザのパブリックキーを使用して、含まれていたリモ
ート委任証明書のユーザのサインを確認することにより
個人ユーザの同一性を再度認証することができる。これ
らの確認テストが両方共成功した場合、アプリケーショ
ンサーバシステム16は、含まれる要求が請求されたワ
ークステーションから発生され、ユーザアカウントのた
めに作用することを知り、及び/或いはこの情報を使用
してこの要求を受け入れるべきか否かを判断することが
できる。CBADデータはリモート委任証明書の正当性
を判断するのには使用されないため、CBADデータが
パブリックであってもリモート要求認証システムが危険
にさらされることはない。
【0022】各ユーザは関連するアカウント証明書13
0も有している。ユーザ証明書130はオペレーティン
グシステムにより発生されるデータ構造であり、それ
は、ユーザ情報120と、存在すればCBADデータと
から成り、それらは互いに結合されている。これらのデ
ータの結合は、暗号用チェックサムを使用することによ
り与えられる。チェックサムはユーザ情報120の破損
をシステムにより検出可能にするものである。暗号化は
レジストラー110のプライベートキー或いは暗号コー
ドを使用し、従ってアカウント情報のソースがレジスト
ラー110であると独特に確認するデジタルサインを発
生する。アカウント証明書130は、その後、オペレー
ティングシステムによりネームサービスシステム135
に送られる。従って、選択されたタスクの実行は選択さ
れたユーザ或いはユーザのグループに限定することがで
きる。
【0023】ユーザのログオンの間、コンピュータシス
テム10は上述のようにユーザ証明書情報130を収集
して特定のユーザのための資格証明書を作成する。資格
証明書は各ユーザを識別してそのユーザが特定のアプリ
ケーションを実行するのに必要な特権を有しているかを
判断するためにコンピュータシステム10により使用さ
れる。特定のユーザが特定の識別されたトランザクショ
ンを実行することを許可されていた場合には、この時点
で、コンピュータシステム10はアカウント証明書情報
130を使用して、資格証明書を作成する。従って、資
格証明書を作成してどのユーザが特定のコンピュータア
プリケーションにアクセスして良いかを判断するため
に、個人のアカウント/認証/証明書に基づく別名の検
出データがレジストラー110により収集される。この
情報は、上述のようにユーザの名前等の従来からのユー
ザの情報と、ユーザに割り当てられた或いはユーザから
得た認証データとの両方、及び上述のようにここで証明
書に基づく別名の検出データ(CBAD)と称されるデ
ジタル化された基準の生体的データ(BioM)を含ん
でいる。このシステムは、CBADデータを含むアカウ
ント、及びCBADデータを含まないアカウントを有し
ていても良い。CBADデータの有無の効果について以
下に説明する。
【0024】以下に記載される別名の検出システムは、
ここでは、単一のコンピュータシステムについて説明す
るが、この別名の検出は広域ネットワーク等の大規模コ
ンピュータネットワークを介して互いに接続されたマル
チコンピュータシステム上でも実行できることを理解さ
れたい。これにより大規模なコンピュータネットワーク
中のコンピュータユーザが共通のアプリケーションを実
行することが可能となる。
【0025】図2に示されるように、CBADデータは
アカウントオペレーションの一部として確保され、職務
の分離の方針を実行する必要が生じた場合等の後の段階
で使用できるように記憶される(これについては後述す
る)。ここでは、CBADデータはユーザの同一性を判
断して別名によるアカウントを検出するために使用され
る。これを使用することにより多数の日常的な同一性を
装う悪質なユーザによる攻撃に耐える職務の分離の方針
を実行することができる。またこれにより個人ユーザに
許可されるアカウントの数を最小に抑えない緩い管理を
使用するシステムでも職務の分離の方針の実施を可能に
することができる。更に、限定された目的のための個人
用の別個のアカウントの作成を容易にすることもでき
る。ユーザは実行を許可される可能な総ての特権を蓄積
したものを使用するのではなく特定な特権の組を使用し
てのみログインするため、上述の手段は特権の蓄積に抵
抗するものである。
【0026】図3を参照すると、複数のユーザのために
特定の処理ユニットが実行される時に呼び出される証明
書に基づく別名の検出に含まれる工程が示されている。
証明書に基づく別名の検出は図1におけるコンピュータ
システム10のオペレーティングプラットフォーム(例
えばオペレーティングシステムやトランザクションモニ
タ)に設けられる。
【0027】コンピュータシステム10はアカウント証
明書から、関連するユーザのために資格証明書を発行す
る。上述のように、資格証明書は、認証されたユーザの
同一性と、そのユーザのための要求と、また場合によっ
てはそのユーザのためのCBADデータとを論理的に結
合した完全にシールされた(即ちデジタル式にサインさ
れた)パケットである。認証されたユーザとは、ある特
定のアプリケーションを実行するための所定の認証を有
するユーザのことである。この所定の認証は、システム
マネージャ或いはレジストラーにより必要な特権を有す
るユーザに与えられる。完全にシールされたパケット
は、オペレーティングシステムがアプリケーショントラ
ンザクションをユーザ情報に付加することにより結合さ
れる。しかしその処理ユニットを実行する前に、その処
理ユニットの安全対策が審査される。安全を保護する必
要があれば、証明書に基づく別名の検出が、ユーザが実
行を選択する特定のアプリケーショントランザクション
のための安全対策(図4の参照番号38)において適切
なステートメントによりトリガされる。
【0028】本発明の文脈におけるデータ処理システム
でユーザのデータ及び別名の検出データを使用する一般
的な方法について以下に説明する。例として、記載され
るトランザクションには、アプリケーション開始要求及
びアプリケーション承認エントリーが異なる許可された
ユーザによりシステムに入力されることが必要であると
想定する。
【0029】図3に示されるように、トランザクション
は、工程158において個人ユーザがシステムにログオ
ンしてデータ処理アプリケーションの開始を要求した時
に、開始される。その後、工程158において再考或い
は承認エントリーが出された後、トランザクションの処
理が更に進むことができる。工程160では、ユーザの
開始要求のための委任証明書のデジタルサイン、及び承
認要求のための委任証明書のデジタルサインが先ず個々
に照合される。この工程で問題がなければ、アプリケー
ションサーバシステム16はどちらの書類も変更されて
いないことが分かると共に、一対の要求に関連する個人
のユーザアカウント、即ち開始要求がなされたアカウン
ト及び承認要求がなされたアカウントについて割り当て
られたパブリックキーを知ることになる。これら2つの
パブリックキーが同じであれば、両方の要求は同じアカ
ウントに基づいて成されたものであり、これは両要求が
そのアカウントを有する単一のユーザのものであること
を意味する。この場合、これ以上のトランザクションの
処理はなく、また承認エントリーは拒絶される。
【0030】識別工程で異なるユーザアカウントが同一
であると認識された場合、2組のアカウント資格証明書
にCBADデータがあるか否かが工程162でチェック
される。要求のために提供されたCBADデータが、レ
ジストラー110が確保したCBADデータそのもので
あるかどうかのチェックは、アカウント証明書を得てそ
の正当性を確認するアプリケーションサーバシステム1
6の処理に含まれる。CBADデータ及び認証データ
は、レジストラー110によりアカウント証明書の中に
互いに結合される。
【0031】前述のように、コンピュータプラットフォ
ームはユーザ認証を行う前にログインの一部として得た
アカウント証明書の正当性を確認する責任を持つ。ま
た、コンピュータプラットフォームは、そのオペレーテ
ィングシステムを通じて、トランザクションの実行要求
をアカウント証明書に結合すること、及びこの情報をシ
ールして完全にシールされたアカウント証明書を提供す
ることにも責任を持つ。コンピュータのプラットフォー
ムは、アカウント証明書を使用する前にこの証明書の正
当性を確認することにも責任を持つ。認証されたユーザ
又は認証されたコンピュータプラットホームに特定の動
作が許可されていないというだけの理由で要求が拒絶さ
れる。コンピュータのプラットフォームが資格証明書の
正当性を確認し、特定の動作のための要求が許可された
時のみ、CBADのチェックが行われる。アカウントの
資格証明書のいずれの組もCBADデータを含んでいな
い場合、工程163で、両方のアカウント資格証明書は
いずれも同じユーザに関連したものであると見做され、
承認エントリーは拒絶され、処理は終了する。これらの
アカウント資格証明書が両方共CBADデータを含んで
いた場合、各アカウント資格証明書に存在するデジタル
化された生体的データが工程164で比較される。比較
されたデジタル化された生体データが所定の類似範囲内
のものであれば、工程169でこれら2つのアカウント
資格証明書は同一のユーザのものと判断され、承認エン
トリーが拒絶されて処理は終了する。原則的に、2つの
アカウント資格証明書の間の同一性というよりむしろ類
似性の範囲は、所定のユーザから受け取った生体データ
の通常の変化及び変動に起因する。従って、類似性に許
容される範囲は本当に異なるユーザ間で重複が生じるの
を防ぐのに充分な程度狭くなければならないが、同じユ
ーザの生体情報における通常予測される変化をカバーで
きる広さはなければならない。工程168で2組のアカ
ウント資格証明書が別であると判断された場合、工程1
67で、アプリケーション開始要求及び承認エントリー
が異なるユーザから発されたものと推定され、この比較
結果は工程170に報告されてトランザクションの処理
が進められる。
【0032】アプリケーション開始要求及び承認エント
リー要求が異なる人間からのものである場合、承認エン
トリー要求を開始するユーザは、以下に記載されるプロ
グラムに関連するアクセス制御リストで許可されていれ
ばそのアプリケーション要求に承認することが許され
る。本発明の例を典型的なコンピュータに基づく経費報
告及びオフィス環境における承認手続きについて説明す
る。いかなる個人も経費報告書を記入して提出すること
ができる。払い戻し小切手が作成される場合には経費報
告書は支払いに廻される前に承認されなければならな
い。職務の分離の本質的な要求事項はいかなる個人も自
己の経費報告書を承認することができないことである。
【0033】図1を参照し、各個人ユーザ10a〜10
cは自身の個人用アカウントによりログインした時にネ
ームサービスシステム18に記憶された個人用経費報告
アプリケーションを実行することができる。経費報告ア
プリケーションはユーザが記入できるようにワークステ
ーションにフォームを表示する。トランザクションを出
すことで経費報告書がローカルエリアネットワーク14
に接続されたキューサービスシステム20のキューに送
られ、そこで検討のため保持される。キューサービスシ
ステム20はローカルエリアネットワーク14を介して
個人ユーザ10a〜10cによりアクセスできる例えば
プリントキュー、バッチキュー等の種々キューを含むコ
ンピュータシステムである。一人或いは複数の個人ユー
ザ(例えば10b)には「管理アカウント」が与えられ
る。即ち、そのような個人ユーザは経費報告書を検討し
て承認或いは拒絶することが許可される。これは前述の
ものに関連して述べたように「特別アカウント」であ
る。拒絶すればその経費報告書は元の人間に戻され、ま
た承認すれば報告書はキューサービスシステム20上の
支払いキューに送られる。「小切手作成」トランザクシ
ョンは小切手を発行するだけではなく、その経費報告書
を文書にファイルし、元の人間に自身の経費報告書が処
理されて小切手が発行されることを通知する。
【0034】引き続き図1を参照し、ワークステーショ
ン12a上の個人ユーザ10aはローカルエリアネット
ワーク14を介してアプリケーションサーバシステム1
6にある経費報告アプリケーションを開始する。その結
果、未承認の経費報告書は、ローカルエリアネットワー
ク14を介してアプリケーションによりキューサーバシ
ステム20に送られる。次いで、ワークステーション1
2bの第2の個人ユーザ10bは、アプリケーションサ
ーバシステム16上の経費報告アプリケーションを実行
することにより、ローカルエリアネットワーク14を介
してキューサーバシステム20の経費報告書を検討して
承認しようとする。個人ユーザ10aにより作成され開
始された経費報告書の承認の要求が、証明書に基づく別
名の検出方法をトリガする。証明書に基づく別名の検出
のロケーション及び作動については以下に詳述する。
【0035】図4は証明書に基づく別名検出(CBA
D)を使用して職務の分離を支持するための一般的なデ
ータ構造を示す。ネームサーバシステム48のネームサ
ービスデータベース30は、個人ユーザのアカウントの
ためのアカウント証明書(33a〜33c)を含んでい
る。各アカウント証明書(33a〜33c)は、前述し
たように発行されたもので、デジタルサインされた、デ
ジタル化された基準の生体的データを含む各個人につい
ての関連情報(これは図2について前述したようにCB
ADデータと呼ばれる)を有しており。アカウント証明
書33a〜33cも前述のアカウントレジストリーのサ
インを含んでいる。ある個人の個人用及び「特別」アカ
ウントは、同じデジタル化された基準の生体的データ、
即ちCBADデータを含んでいる。というのは、それら
が同じ個人ユーザにより所有される複数のアカウントを
示すからである。異なる個人ユーザのためのアカウント
は、各個人ユーザのCBADデータが異なることにより
識別される。
【0036】それぞれのアプリケーションシステムプロ
グラム35a〜35dはアプリケーションサーバシステ
ム50内のプログラムライブラリー36にある。これに
よりローカルエリアネットワーク52の個人ユーザがプ
ログラムライブラリー36にアクセス可能となる。「経
費報告書の作成」、「経費報告書の提出」、「経費報告
書の承認」などの各種のトランザクションは、それぞ
れ、プログラムライブラリー36に存在してアプリケー
ションサーバシステム50に記憶された、対応するアプ
リケーションシステムプログラム35a〜35cを有し
ている。このような各トランザクションプログラムに関
連して、個人或いはグループが、対応するトランザクシ
ョンを実行できるか或いはできないかを記載した安全対
策がある。例えば、トランザクションプログラム35a
に関連したアクセス制御リスト(ACL)40aには安
全対策が含まれている。ACLは多くのコンピュータオ
ペレーティングシステムにおけるアクセス方針を記憶す
る通常の機構である。安全対策及びそのトリガはアクセ
ス方針言語への拡張として提供される。その安全対策は
プラットホームとなるコンピュータシステムの特定のア
クセス方針記憶機構に追加される。オペレーティングシ
ステムのプラットホームのアクセス制御モニタは、アク
セス制約を表し、そのアクセス制約をアクセス方針内に
記憶し、アクセス方針を実行する時点で適切な方法を呼
び出す能力を提供する。如何にして特定の拡張を実行す
るかはコンピュータオペレーティングシステムの日常的
機能であるためここでは説明しない。職務の分離を実行
するかしないかは、関連するトランザクション35aの
安全対策38内で定義される。例えば、方針ステートメ
ント38は別名の検出が呼び出されることを示す。安全
対策38は、元の人間或いは第1ユーザが、第2ユー
ザ、即ちこの例では経費報告書の承認を要求しているユ
ーザと同一人物である場合に「approve exp
ns rptプログラム35a」を実行する権利が否定
されるべきことを要求する。この比較については図3に
ついての説明で既に記載した。
【0037】ユーザによる各トランザクションの呼び出
しに関連するのは、ユーザの正当な資格証明書(図4に
おける44、45及び47)であり、これが、トランザ
クションを開始したユーザを識別する。正当な資格証明
書は、オペレーティングシステムにより発生された完全
にシールされた処理ユニット(プロセシングユニット)
であり、図2に示されるユーザのアカウント証明書を、
要求されたアプリケーションとリンクさせたものであ
る。トランザクションの呼び出しに応じて、ユーザの正
当な資格証明書はプロセシングユニットX49の保護さ
れたシステムメモリ46及びネームサーバシステム48
のネームサービスデータベース30に記憶される。この
システム48は、特定の処理ユニットが実行されるユー
ザの識別性についての証拠を含んでいる。本発明のこの
実施例によれば、その処理ユニットはトランザクション
の呼び出しである。個人の正当な資格証明書をトランザ
クション呼び出しに関連させることは、この例のアプリ
ケーションのためにオペレーティングプラットホームを
提供するオペレーショングシステム或いはトランザクシ
ョン処理モニタの一つの機能である。
【0038】図4の説明に続き、第1ユーザは、アカウ
ント:ユーザAによりネームサービスデータベース30
にログオンする。ユーザAのリモートの正当な資格証明
書44(証明書に基づく別名検出データを含む)は、オ
ペレーティングシステムによりプロセシングユニットX
49の保護されたシステムメモリ46に入力される。経
費報告書を作成することを希望しているユーザAは、ア
プリケーションサーバシステム50からロードされる
「create expns rptプログラム35
b」の実行を要求する。「create expns
rptプログラム35b」の実行を許可されたユーザア
カウントのアカウント証明書に名前をつけるべく以前に
作成或いは修正された「create expns r
pt ACL40b」を使用して、それらのアカウント
のためのパブリックキーを得る。そしてこれらのキーを
用いてリモートの委任証明書の正当性を確認する。その
リモートの証明書の正当性が確認された場合、その要求
は許可され、プロセシングユニツトX49により「cr
eate expns rptプログラム35b」が実
行され、経費報告書ファイルが作成される。するとユー
ザAはアプリケーションサーバ50からロードされる
「submit expns rptプログラム35
c」を実行しようとする。「submit expns
rptプログラム35c」を実行することを許可され
たユーザアカウントを示すべく以前に作成された或いは
修正された「submit expns rpt AC
L40c」が、ユーザAのリモートの正当な資格証明書
44に対してチェックされる。ユーザAの正当な資格証
明書44とACL40c内のユーザアカウントが一致す
ると、プロセシングユニットX49がユーザAの証明書
33a及び証明書に基づく別名検出データ(後述する)
を付加することにより経費報告書ファイルにサインをす
ることにより、「submit expns rptプ
ログラム35c」が実行される。経費報告書ファイルは
キューサーバ60上の経費報告書キュー62に送られ
る。
【0039】ユーザA33aによりこれらのトランザク
ションに続き、ユーザAにより作成された経費報告書フ
ァイルの検討及び承認を希望する第2ユーザがアカウン
ト:ユーザBに基づきログインする。ユーザBのリモー
トの正当な委任証明書45(証明書に基づく別名検出デ
ータを含む)が、オペレーティングシステムによりプロ
セシングユニットX49の保護されたシステムメモリに
入力される。ユーザBは、アプリケーションサーバ50
からロードされる「review expnsrptプ
ログラム35d」の実行を要求する。「review
expnsrptプログラム35d」の実行を許可され
たユーザアカウントを示すべく既に作成あるいは修正さ
れた「review expns rpt ACL40
d」が、ユーザBのリモートの正当な資格証明書45に
対してチェックされる。このユーザBのリモートの正当
な資格証明書45とACL40d内のユーザアカウント
が一致すると、プロセシングユーザX49が、たとえば
ビデオディスプレー上でユーザBが読み取る或いは検討
できるように経費報告書のファイルを作成することによ
り、「review expns rptプログラム3
5d」が実行される。
【0040】ここでユーザBはユーザAにより作成され
た経費報告書を承認すべく「approve expn
s rptプログラム35a」を実行しようとする。経
費報告書のデジタルサイン(アプリケーションサーバシ
ステム16のサイン)の正当性が先ず確認され、経費報
告書或いはそれに関連するアカウント証明書に何ら変更
が行われていないことを確認する。アカウント証明書
(レジストラーによりサインされたもの)の正当性を再
度確認することもできるが、必ずしも必要ではない。ア
カウント証明書は経費報告書を作成したユーザ、即ちユ
ーザAのためのCBADデータを含んでいる。この時点
でアプリケーションサーバシステム16はそれぞれユー
ザA及びBのための2組の正当なCBADデータを有し
ている。これら2組のCBADデータは類似性をチェッ
クするために比較される。この別名の検出チェックがで
きないと、デジタル化された生体的データは同じユーザ
を識別するものと見做される。即ち、(たとえ対応する
アカウント証明書が異なるユーザの名前で登録された異
なるアカウントに属していても)、アプリケーションサ
ーバシステム16は、ユーザA及びBが事実上同じ人間
であると考えなければならない。証明書に基づく別名検
出チェックがユーザAとBが同一であると示した場合、
「approve expns rptプログラム35
a」へのアクセス権はユーザBには与えられず、システ
ムマネージャ或いはレジストラーへの通知のための報告
書が作成される。
【0041】経費報告書の例は、本発明の実施例が、許
可されていない人物及び同一人物が経費報告書を作成し
て承認することを許さないという職務の分離の方針を如
何にして満たすかを示している。本発明の実施例では、
ユーザA及びBのユーザアカウントが最初に作成された
時に、これらユーザA及びBが異なる識別性を有してい
る、すなわち別人である、かを確認するのではなく、経
費報告書の承認を実際に要求された時点で各ユーザの証
明書に基づく別名検出データの比較を行なう。ユーザの
アカウントが最初に作成された時或いはシステム管理者
により修正された時には、ユーザの個人情報の正当性の
確認だけしか行われない。
【0042】以上、本発明の好適な実施例について記載
してきたが、本発明の概念を備えていれば他の実施例を
使用できることは当業者にとって明らかであろう。従っ
て、本発明は記載された実施例だけに限定されるもので
はなく、添付の請求項の精神及び範囲によりのみ限定す
べきことを理解されたい。
【0043】
【発明の効果】以上述べたように、本発明によれば、
(a)前記コンピュータシステムのユーザアカウントス
トアに、複数のユーザアカウントのそれぞれと関連する
識別情報であって、各ユーザアカウントについてそのユ
ーザアカウントに関連するコンピュータユーザを独特に
特徴付ける識別情報を記憶する工程と、(b)許可スト
アに前記ユーザアカウントのうちの選択されたユーザア
カウントのリストを記憶する工程と、(c)工程(a)
と(b)の後、前記ユーザアカウントのうちの第1のユ
ーザアカウントのための要求に応答してコンピュータシ
ステムリソースアクセスプログラムの実行を開始する工
程と、(d)工程(c)の後、i)前記第1のユーザア
カウントに関連して前記ユーザアカウントストアに記憶
された識別情報と、前記選択されたユーザアカウントの
リストの中の各ユーザアカウントに関連する識別情報と
を比較し、ii)前記比較された識別情報が一致せずに
前記第1ユーザアカウントが前記選択されたユーザアカ
ウントのどれかの別名でないことを表示する場合に、前
記コンピュータシステムアクセスプログラムを実行す
る、ことにより、コンピュータシステムリソースへのア
クセスの許可に対する前記第1のユーザアカウントから
の要求を処理する工程と、から成る別名検出付き分散型
コンピュータシステムの作動方法が提案される。かかる
方法によれば、ユーザアカウント情報のための第1の要
求を使用してコンピュータの実行時に実行される別名の
検出技術が提供されるので、限定されたコンピュータの
リソースへのアクセスを制御したり、コンピュータシス
テム上に別名のアカウントの存在を監視及び制御した
り、またコンピュータのリソース上の職務の分離の方針
を実行するために使用することができる。
【図面の簡単な説明】
【図1】本発明の1実施例による証明書に基づく別名の
検出を実施するのに使用する分散型コンピュータシステ
ムのブロック図である。
【図2】証明書の別名検出データを含むアカウント証明
書の作成方法を示すブロック図である。
【図3】証明書に基づく別名の検出の利用方法を示すブ
ロック図である。
【図4】証明書に基づく別名の検出の例を示すブロック
図である。
【符号の説明】
10 コンピュータシステム 10a〜10c 個人ユーザ 12a〜12c ワークステーション 16 アプリケーションサーバシステム 18 ネームサーバシステム 19 サービスソフトウエア 44 資格証明書 105 生体情報 110 レジストラー 130 アカウント証明書
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ジョージ エミール ガイナック アメリカ合衆国 マサチューセッツ州 01451ハーヴァード ウォーセスター カウンティ オールド シャーリィ ロ ード112 (56)参考文献 特開 平3−137759(JP,A) 特開 平3−288954(JP,A)

Claims (5)

    (57)【特許請求の範囲】
  1. 【請求項1】 別名検出付き分散型コンピュータシステ
    ムの作動方法において、 (a)前記コンピュータシステムのユーザアカウントス
    トアに、複数のユーザアカウントのそれぞれと関連する
    識別情報であって、各ユーザアカウントについてそのユ
    ーザアカウントに関連するコンピュータユーザを独特に
    特徴付ける識別情報を記憶する工程と、 (b)許可ストアに前記ユーザアカウントのうちの選択
    されたユーザアカウントのリストを記憶する工程と、 (c)工程(a)と(b)の後、前記ユーザアカウント
    のうちの第1のユーザアカウントのための要求に応答し
    てコンピュータシステムリソースアクセスプログラムの
    実行を開始する工程と、 (d)工程(c)の後、 i)前記第1のユーザアカウントに関連して前記ユーザ
    アカウントストアに記憶された識別情報と、前記選択さ
    れたユーザアカウントのリストの中の各ユーザアカウン
    トに関連する識別情報とを比較し、 ii)前記比較された識別情報が一致せずに前記第1ユ
    ーザアカウントが前記選択されたユーザアカウントのど
    れかの別名でないことを表示する場合に、前記コンピュ
    ータシステムアクセスプログラムを実行する、 ことにより、コンピュータシステムリソースへのアクセ
    スの許可に対する前記第1のユーザアカウントからの要
    求を処理する工程と、 から成る方法。
  2. 【請求項2】 前記要求を処理する工程が、 i)前記ユーザアカウントが前記選択されたユーザアカ
    ウントの一つと同じである、 ii)前記ユーザアカウントが前記ユーザアカウントス
    トアに関連する識別情報を全く有しない、及び iii)前記ユーザアカウントストア内の前記ユーザア
    カウントの識別情報が前記選択されたユーザアカウント
    の識別情報の一つと同じである、 のイベントのいずれかが起きた場合に、前記要求を否定
    する工程を更に含むことを特徴とする請求項1に記載の
    方法。
  3. 【請求項3】 別名検出付き分散型コンピュータシステ
    ムの作動方法において、 (a)前記コンピュータシステムのそれぞれのユーザア
    カウントのユーザアカウントストアに、複数のユーザア
    カウントのそれぞれと関連する識別情報であって、各ユ
    ーザアカウントについてそのユーザアカウントと関連す
    るコンピュータユーザを独特に特徴付ける識別情報を記
    憶する工程と、 (b)第1のユーザアカウントからの第1の要求に応答
    して、複数の段階を有する選択されたトランザクション
    プログラムの一つの段階の実行を開始する工程と、 (c)i)前記第1のユーザアカウントのユーザアカウ
    ントメモリに記憶された識別情報と第2のユーザアカウ
    ントのユーザアカウントメモリに記憶された識別情報と
    を比較し、 ii)前記比較された識別情報が一致し、前記第2のユ
    ーザアカウントが前記第1のユーザアカウントの別名で
    あることを表示する場合に、前記第2のユーザアカウン
    トに対する許可を否定する、 ことにより、前記選択されたトランザクションプログラ
    ムの後続の段階の実行の許可に対する前記第2のユーザ
    アカウントからの第2の要求を処理する工程と、から成
    る方法。
  4. 【請求項4】 別名検出付き分散型コンピュータシステ
    ムにおいて、 (a)複数のコンピュータユーザのそれぞれを独特に特
    徴付けたユーザアカウント識別情報を含むそれぞれのユ
    ーザアカウントの記録ストアと、 (b)実行のために別個の要求を必要とする少なくとも
    2つの段階を有する記憶されたアプリケーショントラン
    ザクションプログラムと、 (c)第1のユーザアカウントのトランザクション開始
    要求に応答して前記アプリケーションプログラムの1つ
    の段階を実行する手段と、 (d)第2のユーザアカウントのトランザクション開始
    要求の許可に応答して前記アプリケーションプログラム
    の後続の段階を実行する手段と、 (e)前記ストア内の前記第1と第2のユーザアカウン
    トの識別情報を比較し、該比較した情報が一致せずに前
    記第2のユーザアカウントが前記第1のユーザアカウン
    トの別名でないことを表示する場合に、前記許可を与え
    る手段と、 から成るコンピュータシステム。
  5. 【請求項5】 別名検出を行う分散型コンピュータシス
    テムにおいて、 (a)複数のユーザアカウントであって、認証情報、デ
    ジタル化された生体情報及びユーザアカウント情報を含
    む、各ユーザアカウントに対して複数のコンピュータユ
    ーザの1つを独特に特徴付けたデジタルサインされたア
    カウント証明書を含むユーザアカウントのためのストア
    と、 (b)実行するには別個の開始要求を必要とする少なく
    とも2つの段階を有する記憶されたアプリケーショント
    ランザクションプログラムと、 (c)第1のユーザアカウントのトランザクション開始
    要求に応答して前記少なくとも1つのアプリケーション
    プログラムの第1の段階を実行する手段と、 (d)第2のユーザアカウントのトランザクション開始
    要求に応答して前記少なくとも1つのアプリケーション
    プログラムの後続の段階を実行して、前記ストア内の前
    記第1及び第2のユーザアカウントの前記アカウント証
    明書に含まれる前記認証情報とデジタル生体情報とを比
    較する手段と、 (e)前記比較した認証情報とデジタル生体情報とが一
    致しない場合のみ、したがって、前記第2のユーザアカ
    ウントが前記第1のユーザアカウントの別名でない場合
    のみ前記少なくとも1つのアプリケーションプログラム
    の前記後続の段階の実行を許可する手段と、 から成るコンピュータシステム。
JP5154791A 1992-07-20 1993-06-25 コンピュータシステム上の別名の検出方法、分散型コンピュータシステム及びその作動方法、及び別名の検出を実行する分散型コンピュータシステム Expired - Fee Related JP2686218B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US91681892A 1992-07-20 1992-07-20
US07/916818 1992-07-20
US7/916818 1992-07-20

Publications (2)

Publication Number Publication Date
JPH0695947A JPH0695947A (ja) 1994-04-08
JP2686218B2 true JP2686218B2 (ja) 1997-12-08

Family

ID=25437883

Family Applications (1)

Application Number Title Priority Date Filing Date
JP5154791A Expired - Fee Related JP2686218B2 (ja) 1992-07-20 1993-06-25 コンピュータシステム上の別名の検出方法、分散型コンピュータシステム及びその作動方法、及び別名の検出を実行する分散型コンピュータシステム

Country Status (4)

Country Link
US (1) US5534855A (ja)
EP (1) EP0581421B1 (ja)
JP (1) JP2686218B2 (ja)
DE (1) DE69332633T2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002077147A (ja) * 2000-08-31 2002-03-15 Sony Corp 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体
JP2002169464A (ja) * 2000-08-31 2002-06-14 Sony Corp 個人識別証明書リンクシステム、情報処理装置、および情報処理方法、並びにプログラム提供媒体

Families Citing this family (185)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10361802B1 (en) 1999-02-01 2019-07-23 Blanding Hovenweep, Llc Adaptive pattern recognition based control system and method
US5999711A (en) * 1994-07-18 1999-12-07 Microsoft Corporation Method and system for providing certificates holding authentication and authorization information for users/machines
US7882032B1 (en) 1994-11-28 2011-02-01 Open Invention Network, Llc System and method for tokenless biometric authorization of electronic communications
US6950810B2 (en) 1994-11-28 2005-09-27 Indivos Corporation Tokenless biometric electronic financial transactions via a third party identicator
US6230148B1 (en) 1994-11-28 2001-05-08 Veristar Corporation Tokenless biometric electric check transaction
US20040128249A1 (en) 1994-11-28 2004-07-01 Indivos Corporation, A Delaware Corporation System and method for tokenless biometric electronic scrip
US6397198B1 (en) 1994-11-28 2002-05-28 Indivos Corporation Tokenless biometric electronic transactions using an audio signature to identify the transaction processor
US7613659B1 (en) 1994-11-28 2009-11-03 Yt Acquisition Corporation System and method for processing tokenless biometric electronic transmissions using an electronic rule module clearinghouse
US6269348B1 (en) 1994-11-28 2001-07-31 Veristar Corporation Tokenless biometric electronic debit and credit transactions
US5576363A (en) * 1994-12-23 1996-11-19 Owens Corning Fiberglas Technology, Inc. Thermosetting asphalt
US5748738A (en) * 1995-01-17 1998-05-05 Document Authentication Systems, Inc. System and method for electronic transmission, storage and retrieval of authenticated documents
US7162635B2 (en) * 1995-01-17 2007-01-09 Eoriginal, Inc. System and method for electronic transmission, storage, and retrieval of authenticated electronic original documents
US6237096B1 (en) 1995-01-17 2001-05-22 Eoriginal Inc. System and method for electronic transmission storage and retrieval of authenticated documents
US7743248B2 (en) * 1995-01-17 2010-06-22 Eoriginal, Inc. System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
US6157721A (en) 1996-08-12 2000-12-05 Intertrust Technologies Corp. Systems and methods using cryptography to protect secure computing environments
US6948070B1 (en) 1995-02-13 2005-09-20 Intertrust Technologies Corporation Systems and methods for secure transaction management and electronic rights protection
US7133846B1 (en) * 1995-02-13 2006-11-07 Intertrust Technologies Corp. Digital certificate support system, methods and techniques for secure electronic commerce transaction and rights management
US5892900A (en) 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US7143290B1 (en) * 1995-02-13 2006-11-28 Intertrust Technologies Corporation Trusted and secure techniques, systems and methods for item delivery and execution
US6658568B1 (en) * 1995-02-13 2003-12-02 Intertrust Technologies Corporation Trusted infrastructure support system, methods and techniques for secure electronic commerce transaction and rights management
EP2110732A3 (en) 1995-02-13 2009-12-09 Intertrust Technologies Corporation Systems and methods for secure transaction management and electronic rights protection
US5943422A (en) 1996-08-12 1999-08-24 Intertrust Technologies Corp. Steganographic techniques for securely delivering electronic digital rights management control information over insecure communication channels
DE19522527A1 (de) * 1995-06-23 1997-01-02 Ibm Verfahren zur Vereinfachung der Kommunikation mit Chipkarten
JPH0981519A (ja) * 1995-09-08 1997-03-28 Kiyadeitsukusu:Kk ネットワーク上の認証方法
US5740422A (en) * 1995-09-27 1998-04-14 International Business Machine Corporation Method and apparatus for resource management for a lan server enterprise
AU706481B2 (en) * 1995-10-05 1999-06-17 Fujitsu Denso Ltd. Fingerprint registering method and fingerprint checking device
JPH09293036A (ja) * 1996-04-26 1997-11-11 Fuji Xerox Co Ltd プリント処理装置
US6055637A (en) * 1996-09-27 2000-04-25 Electronic Data Systems Corporation System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential
US5915001A (en) * 1996-11-14 1999-06-22 Vois Corporation System and method for providing and using universally accessible voice and speech data files
US6408336B1 (en) * 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US7580919B1 (en) 1997-03-10 2009-08-25 Sonicwall, Inc. Query interface to policy server
US8914410B2 (en) 1999-02-16 2014-12-16 Sonicwall, Inc. Query interface to policy server
US7272625B1 (en) 1997-03-10 2007-09-18 Sonicwall, Inc. Generalized policy server
US7912856B2 (en) * 1998-06-29 2011-03-22 Sonicwall, Inc. Adaptive encryption
US7821926B2 (en) 1997-03-10 2010-10-26 Sonicwall, Inc. Generalized policy server
US6035406A (en) * 1997-04-02 2000-03-07 Quintet, Inc. Plurality-factor security system
US6105010A (en) * 1997-05-09 2000-08-15 Gte Service Corporation Biometric certifying authorities
US6202151B1 (en) * 1997-05-09 2001-03-13 Gte Service Corporation System and method for authenticating electronic transactions using biometric certificates
US7290288B2 (en) 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
US6092199A (en) * 1997-07-07 2000-07-18 International Business Machines Corporation Dynamic creation of a user account in a client following authentication from a non-native server domain
US7092914B1 (en) * 1997-11-06 2006-08-15 Intertrust Technologies Corporation Methods for matching, selecting, narrowcasting, and/or classifying based on rights management and/or other information
JP2001523903A (ja) * 1997-11-14 2001-11-27 ディジタル・パソナ・インコーポレーテッド 指紋を使用してリモートからアクセス可能なプライベート・スペース
JP4006796B2 (ja) 1997-11-17 2007-11-14 株式会社日立製作所 個人情報管理方法および装置
US6225890B1 (en) 1998-03-20 2001-05-01 Trimble Navigation Limited Vehicle use control
US6618806B1 (en) * 1998-04-01 2003-09-09 Saflink Corporation System and method for authenticating users in a computer network
US6128738A (en) * 1998-04-22 2000-10-03 International Business Machines Corporation Certificate based security in SNA data flows
US6965999B2 (en) * 1998-05-01 2005-11-15 Microsoft Corporation Intelligent trust management method and system
US6928547B2 (en) * 1998-07-06 2005-08-09 Saflink Corporation System and method for authenticating users in a computer network
JP2000092046A (ja) * 1998-09-11 2000-03-31 Mitsubishi Electric Corp 遠隔認証システム
US6820202B1 (en) * 1998-11-09 2004-11-16 First Data Corporation Account authority digital signature (AADS) system
US7047416B2 (en) * 1998-11-09 2006-05-16 First Data Corporation Account-based digital signature (ABDS) system
JP2000188594A (ja) * 1998-12-21 2000-07-04 Sony Corp 認証システム及び指紋照合装置並びに認証方法
US6490679B1 (en) * 1999-01-18 2002-12-03 Shym Technology, Inc. Seamless integration of application programs with security key infrastructure
US6256737B1 (en) 1999-03-09 2001-07-03 Bionetrix Systems Corporation System, method and computer program product for allowing access to enterprise resources using biometric devices
US7305562B1 (en) 1999-03-09 2007-12-04 Citibank, N.A. System, method and computer program product for an authentication management infrastructure
US7711152B1 (en) * 1999-04-30 2010-05-04 Davida George I System and method for authenticated and privacy preserving biometric identification systems
US8325994B2 (en) 1999-04-30 2012-12-04 Davida George I System and method for authenticated and privacy preserving biometric identification systems
US6697947B1 (en) * 1999-06-17 2004-02-24 International Business Machines Corporation Biometric based multi-party authentication
US7058817B1 (en) 1999-07-02 2006-06-06 The Chase Manhattan Bank System and method for single sign on process for websites with multiple applications and services
WO2001015369A1 (en) * 1999-08-24 2001-03-01 Smart Tone, Inc. System and method of user verification
WO2001031828A2 (en) 1999-08-27 2001-05-03 The Voice.Com, Inc. System and method for integrating paper-based business documents with computer-readable data entered via a computer network
US6189009B1 (en) 1999-08-27 2001-02-13 The Voice.Com, Inc. System and method for integrating paper-based business documents with computer-readable data entered via a computer network
US7240363B1 (en) * 1999-10-06 2007-07-03 Ellingson Robert E System and method for thwarting identity theft and other identity misrepresentations
US7321864B1 (en) 1999-11-04 2008-01-22 Jpmorgan Chase Bank, N.A. System and method for providing funding approval associated with a project based on a document collection
WO2001033477A2 (en) 1999-11-04 2001-05-10 Jpmorgan Chase Bank System and method for automated financial project management
US10275780B1 (en) 1999-11-24 2019-04-30 Jpmorgan Chase Bank, N.A. Method and apparatus for sending a rebate via electronic mail over the internet
US8571975B1 (en) 1999-11-24 2013-10-29 Jpmorgan Chase Bank, N.A. System and method for sending money via E-mail over the internet
US6505193B1 (en) 1999-12-01 2003-01-07 Iridian Technologies, Inc. System and method of fast biometric database searching using digital certificates
US6496692B1 (en) 1999-12-06 2002-12-17 Michael E. Shanahan Methods and apparatuses for programming user-defined information into electronic devices
US7149509B2 (en) * 1999-12-06 2006-12-12 Twenty Year Innovations, Inc. Methods and apparatuses for programming user-defined information into electronic devices
US8170538B2 (en) * 1999-12-06 2012-05-01 Solocron Media, Llc Methods and apparatuses for programming user-defined information into electronic devices
JP4101420B2 (ja) * 1999-12-27 2008-06-18 株式会社日立製作所 電子認証方法及びその実施装置
US6867789B1 (en) 2000-02-15 2005-03-15 Bank One, Delaware, National Association System and method for generating graphical user interfaces
US7441263B1 (en) * 2000-03-23 2008-10-21 Citibank, N.A. System, method and computer program product for providing unified authentication services for online applications
US7698565B1 (en) * 2000-03-30 2010-04-13 Digitalpersona, Inc. Crypto-proxy server and method of using the same
US7409543B1 (en) * 2000-03-30 2008-08-05 Digitalpersona, Inc. Method and apparatus for using a third party authentication server
US7237114B1 (en) 2000-04-26 2007-06-26 Pronvest, Inc. Method and system for signing and authenticating electronic documents
US6968317B1 (en) * 2000-04-28 2005-11-22 Charles Schwab & Co., Inc. Method and apparatus for new accounts program
US7318050B1 (en) * 2000-05-08 2008-01-08 Verizon Corporate Services Group Inc. Biometric certifying authorities
WO2001093167A1 (en) 2000-05-31 2001-12-06 Indivos Corporation Biometric financial transaction system and method
US9165323B1 (en) 2000-05-31 2015-10-20 Open Innovation Network, LLC Biometric transaction system and method
US7426530B1 (en) 2000-06-12 2008-09-16 Jpmorgan Chase Bank, N.A. System and method for providing customers with seamless entry to a remote server
US10185936B2 (en) 2000-06-22 2019-01-22 Jpmorgan Chase Bank, N.A. Method and system for processing internet payments
IL137099A (en) 2000-06-29 2006-12-10 Yona Flink Method and system for performing a secure digital signature
AU7182701A (en) * 2000-07-06 2002-01-21 David Paul Felsher Information record infrastructure, system and method
US7558965B2 (en) * 2000-08-04 2009-07-07 First Data Corporation Entity authentication in electronic communications by providing verification status of device
US6978369B2 (en) * 2000-08-04 2005-12-20 First Data Corporation Person-centric account-based digital signature system
US7096354B2 (en) * 2000-08-04 2006-08-22 First Data Corporation Central key authority database in an ABDS system
US6789189B2 (en) * 2000-08-04 2004-09-07 First Data Corporation Managing account database in ABDS system
US7082533B2 (en) * 2000-08-04 2006-07-25 First Data Corporation Gauging risk in electronic communications regarding accounts in ABDS system
EP1320956A4 (en) * 2000-08-04 2006-06-21 First Data Corp DIGITAL SIGNATURE SYSTEM WITH CERTIFICATION OF AUTHENTITICITY
US7552333B2 (en) * 2000-08-04 2009-06-23 First Data Corporation Trusted authentication digital signature (tads) system
US6983368B2 (en) * 2000-08-04 2006-01-03 First Data Corporation Linking public key of device to information during manufacture
US7010691B2 (en) * 2000-08-04 2006-03-07 First Data Corporation ABDS system utilizing security information in authenticating entity access
JP4556308B2 (ja) * 2000-08-31 2010-10-06 ソニー株式会社 コンテンツ配信システム、コンテンツ配信方法、および情報処理装置、並びにプログラム提供媒体
US8335855B2 (en) 2001-09-19 2012-12-18 Jpmorgan Chase Bank, N.A. System and method for portal infrastructure tracking
US7246263B2 (en) 2000-09-20 2007-07-17 Jpmorgan Chase Bank System and method for portal infrastructure tracking
US20020083012A1 (en) * 2000-11-16 2002-06-27 Steve Bush Method and system for account management
US7181017B1 (en) 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
US7577904B1 (en) * 2001-03-28 2009-08-18 Vianeta Communication Definition and distribution of business rules while enforcing syntactic and semantic validation
US8849716B1 (en) 2001-04-20 2014-09-30 Jpmorgan Chase Bank, N.A. System and method for preventing identity theft or misuse by restricting access
JP2003022228A (ja) * 2001-04-24 2003-01-24 Square Co Ltd 通信システムにおける状態の通知方法、状態通知サーバ、通信システム、記録媒体、及びプログラム
WO2002099598A2 (en) 2001-06-07 2002-12-12 First Usa Bank, N.A. System and method for rapid updating of credit information
US7100207B1 (en) * 2001-06-14 2006-08-29 International Business Machines Corporation Method and system for providing access to computer resources that utilize distinct protocols for receiving security information and providing access based on received security information
WO2003001363A1 (en) * 2001-06-25 2003-01-03 Jp Morgan Chase Bank Electronic vouchers and a system and method for issuing the same
US7266839B2 (en) 2001-07-12 2007-09-04 J P Morgan Chase Bank System and method for providing discriminated content to network users
US20020010715A1 (en) * 2001-07-26 2002-01-24 Garry Chinn System and method for browsing using a limited display device
US20040128508A1 (en) * 2001-08-06 2004-07-01 Wheeler Lynn Henry Method and apparatus for access authentication entity
TWI270788B (en) * 2001-08-29 2007-01-11 Via Tech Inc Expense application review method
US7269737B2 (en) * 2001-09-21 2007-09-11 Pay By Touch Checking Resources, Inc. System and method for biometric authorization for financial transactions
US7099850B1 (en) 2001-09-21 2006-08-29 Jpmorgan Chase Bank, N.A. Methods for providing cardless payment
CA2460886A1 (en) * 2001-09-21 2003-04-03 Bank One, Delaware, National Association Method for providing cardless payment
US7103576B2 (en) * 2001-09-21 2006-09-05 First Usa Bank, Na System for providing cardless payment
US20030128099A1 (en) * 2001-09-26 2003-07-10 Cockerham John M. System and method for securing a defined perimeter using multi-layered biometric electronic processing
US20040015243A1 (en) * 2001-09-28 2004-01-22 Dwyane Mercredi Biometric authentication
US7689504B2 (en) 2001-11-01 2010-03-30 Jpmorgan Chase Bank, N.A. System and method for establishing or modifying an account with user selectable terms
US7987501B2 (en) 2001-12-04 2011-07-26 Jpmorgan Chase Bank, N.A. System and method for single session sign-on
JP3967914B2 (ja) * 2001-12-14 2007-08-29 富士通株式会社 バイオメトリクス認証システム及び方法
MXPA04006390A (es) * 2001-12-28 2005-06-08 James Jonas Jeffrey Creacion de depositos de datos en tiempo real.
US7069444B2 (en) * 2002-01-25 2006-06-27 Brent A. Lowensohn Portable wireless access to computer-based systems
US7941533B2 (en) 2002-02-19 2011-05-10 Jpmorgan Chase Bank, N.A. System and method for single sign-on session management without central server
US20040015702A1 (en) * 2002-03-01 2004-01-22 Dwayne Mercredi User login delegation
US7353383B2 (en) 2002-03-18 2008-04-01 Jpmorgan Chase Bank, N.A. System and method for single session sign-on with cryptography
US20030200322A1 (en) * 2002-04-18 2003-10-23 International Business Machines Corporation Autonomic system for selective administation isolation of a secure remote management of systems in a computer network
US7246324B2 (en) 2002-05-23 2007-07-17 Jpmorgan Chase Bank Method and system for data capture with hidden applets
US7143174B2 (en) 2002-06-12 2006-11-28 The Jpmorgan Chase Bank, N.A. Method and system for delayed cookie transmission in a client-server architecture
US7472171B2 (en) 2002-06-21 2008-12-30 Jpmorgan Chase Bank, National Association Method and system for determining receipt of a delayed cookie in a client-server architecture
US8393001B1 (en) * 2002-07-26 2013-03-05 Mcafee, Inc. Secure signature server system and associated method
KR20100095659A (ko) * 2002-07-29 2010-08-31 이데시아 엘티디. 전자 생체 신원 인식을 위한 방법 및 장치
US20040059590A1 (en) * 2002-09-13 2004-03-25 Dwayne Mercredi Credential promotion
US7058660B2 (en) 2002-10-02 2006-06-06 Bank One Corporation System and method for network-based project management
US7568218B2 (en) * 2002-10-31 2009-07-28 Microsoft Corporation Selective cross-realm authentication
US8301493B2 (en) 2002-11-05 2012-10-30 Jpmorgan Chase Bank, N.A. System and method for providing incentives to consumers to share information
JP2006505873A (ja) * 2002-11-06 2006-02-16 インターナショナル・ビジネス・マシーンズ・コーポレーション 機密データ共用および匿名エンティティ解決
US8620937B2 (en) * 2002-12-27 2013-12-31 International Business Machines Corporation Real time data warehousing
CA2511117A1 (en) 2002-12-31 2004-07-22 International Business Machines Corporation Authorized anonymous authentication
US20060136743A1 (en) * 2002-12-31 2006-06-22 Polcha Andrew J System and method for performing security access control based on modified biometric data
US20040148226A1 (en) * 2003-01-28 2004-07-29 Shanahan Michael E. Method and apparatus for electronic product information and business transactions
US9818136B1 (en) 2003-02-05 2017-11-14 Steven M. Hoffberg System and method for determining contingent relevance
US7200602B2 (en) * 2003-02-07 2007-04-03 International Business Machines Corporation Data set comparison and net change processing
WO2004097596A2 (en) * 2003-03-24 2004-11-11 Systems Research & Development Secure coordinate identification method, system and program
US7376838B2 (en) 2003-07-17 2008-05-20 Jp Morgan Chase Bank Method for controlled and audited access to privileged accounts on computer systems
US8190893B2 (en) 2003-10-27 2012-05-29 Jp Morgan Chase Bank Portable security transaction protocol
US7421696B2 (en) 2003-12-22 2008-09-02 Jp Morgan Chase Bank Methods and systems for managing successful completion of a network of processes
US7113981B2 (en) * 2003-12-29 2006-09-26 Mixxer, Inc. Cellular telephone download locker
US7392386B2 (en) 2004-01-28 2008-06-24 J P Morgan Chase Bank Setuid-filter method for providing secure access to a credentials store for computer systems
CA2567053C (en) * 2004-05-17 2012-07-03 Dexrad (Proprietary) Limited Method and system for creating an identification document
US20060075477A1 (en) * 2004-09-30 2006-04-06 Shenoy Rajesh K Electronic device communication methods, appliance verification methods, appliance programming methods, appliances, articles of manufacture, and client electronic devices
US20060136741A1 (en) * 2004-12-16 2006-06-22 Saflink Corporation Two factor token identification
US8185877B1 (en) 2005-06-22 2012-05-22 Jpmorgan Chase Bank, N.A. System and method for testing applications
US20070021981A1 (en) * 2005-06-29 2007-01-25 James Cox System for managing emergency personnel and their information
US7725717B2 (en) * 2005-08-31 2010-05-25 Motorola, Inc. Method and apparatus for user authentication
US8583926B1 (en) 2005-09-19 2013-11-12 Jpmorgan Chase Bank, N.A. System and method for anti-phishing authentication
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US8793490B1 (en) 2006-07-14 2014-07-29 Jpmorgan Chase Bank, N.A. Systems and methods for multifactor authentication
US20090249079A1 (en) * 2006-09-20 2009-10-01 Fujitsu Limited Information processing apparatus and start-up method
US8204831B2 (en) * 2006-11-13 2012-06-19 International Business Machines Corporation Post-anonymous fuzzy comparisons without the use of pre-anonymization variants
US7933835B2 (en) * 2007-01-17 2011-04-26 The Western Union Company Secure money transfer systems and methods using biometric keys associated therewith
US8818904B2 (en) 2007-01-17 2014-08-26 The Western Union Company Generation systems and methods for transaction identifiers having biometric keys associated therewith
US8473735B1 (en) 2007-05-17 2013-06-25 Jpmorgan Chase Systems and methods for managing digital certificates
US8214832B2 (en) * 2007-09-19 2012-07-03 International Business Machines Corporation Techniques for implementing separation of duties using prime numbers
US8321682B1 (en) 2008-01-24 2012-11-27 Jpmorgan Chase Bank, N.A. System and method for generating and managing administrator passwords
US8555333B2 (en) * 2008-08-18 2013-10-08 International Business Machines Corporation Identifying and resolving separation of duties conflicts in a multi-application environment
EP2243295B1 (en) * 2008-09-24 2018-02-28 Nec Corporation A method and a system for distributing tv content over a network
US20100088753A1 (en) * 2008-10-03 2010-04-08 Microsoft Corporation Identity and authentication system using aliases
US20100311482A1 (en) 2009-05-30 2010-12-09 Lange Daniel H Electro-Biometric Methods and Apparatus
US9608826B2 (en) * 2009-06-29 2017-03-28 Jpmorgan Chase Bank, N.A. System and method for partner key management
US20110010759A1 (en) * 2009-07-09 2011-01-13 Apple Inc. Providing a customized interface for an application store
JP2011108148A (ja) * 2009-11-20 2011-06-02 Sony Corp 情報処理装置、情報処理方法およびプログラム
US8782134B2 (en) * 2009-11-23 2014-07-15 Microsoft Corporation Common organization estimation at registration
US20130124327A1 (en) * 2011-11-11 2013-05-16 Jumptap, Inc. Identifying a same user of multiple communication devices based on web page visits
US9419957B1 (en) 2013-03-15 2016-08-16 Jpmorgan Chase Bank, N.A. Confidence-based authentication
US9363264B2 (en) * 2013-11-25 2016-06-07 At&T Intellectual Property I, L.P. Networked device access control
US10148726B1 (en) 2014-01-24 2018-12-04 Jpmorgan Chase Bank, N.A. Initiating operating system commands based on browser cookies
US9501881B2 (en) * 2014-08-20 2016-11-22 Gate Labs Inc. Access management and resource sharing system based on biometric identity
US10453058B2 (en) 2014-12-17 2019-10-22 Heartland Payment Systems, Inc. E-signature
US11200560B2 (en) * 2014-12-19 2021-12-14 Capital One Services, Llc Systems and methods for contactless and secure data transfer
US10074224B2 (en) 2015-04-20 2018-09-11 Gate Labs Inc. Access management system
US9967096B2 (en) 2016-05-23 2018-05-08 Accenture Global Solutions Limited Rewritable blockchain
GB2561537B (en) 2017-02-27 2022-10-12 Emteq Ltd Optical expression detection
US10296248B2 (en) 2017-09-01 2019-05-21 Accenture Global Solutions Limited Turn-control rewritable blockchain
EP3711260A1 (en) 2017-11-16 2020-09-23 Accenture Global Solutions Limited Blockchain operation stack for rewritable blockchain
US10931630B2 (en) * 2017-11-16 2021-02-23 Servicenow, Inc. System and method for connecting using aliases
US11144620B2 (en) * 2018-06-26 2021-10-12 Counseling and Development, Inc. Systems and methods for establishing connections in a network following secure verification of interested parties
US11201746B2 (en) 2019-08-01 2021-12-14 Accenture Global Solutions Limited Blockchain access control system

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4310720A (en) * 1978-03-31 1982-01-12 Pitney Bowes Inc. Computer accessing system
US4839640A (en) * 1984-09-24 1989-06-13 Adt Inc. Access control system having centralized/distributed control
US4669487A (en) * 1985-10-30 1987-06-02 Edward Frieling Identification device and method
US5056141A (en) * 1986-06-18 1991-10-08 Dyke David W Method and apparatus for the identification of personnel
US4780821A (en) * 1986-07-29 1988-10-25 International Business Machines Corp. Method for multiple programs management within a network having a server computer and a plurality of remote computers
CA1287910C (en) * 1986-09-30 1991-08-20 Salvador Barron Adjunct processor for providing computer facility access protection via call transfer
US5560008A (en) * 1989-05-15 1996-09-24 International Business Machines Corporation Remote authentication and authorization in a distributed data processing system
JPH03137759A (ja) * 1989-10-24 1991-06-12 Mitsubishi Electric Corp 情報資源管理装置
EP0426595A3 (en) * 1989-11-02 1992-08-05 International Business Machines Corporation Method of permitting access of shared resources using user set definition to support affinity and surrogate user relations
JPH03288954A (ja) * 1990-04-06 1991-12-19 Hitachi Ltd ユーザ認証方法
US5173939A (en) * 1990-09-28 1992-12-22 Digital Equipment Corporation Access control subsystem and method for distributed computer system using compound principals

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002077147A (ja) * 2000-08-31 2002-03-15 Sony Corp 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体
JP2002169464A (ja) * 2000-08-31 2002-06-14 Sony Corp 個人識別証明書リンクシステム、情報処理装置、および情報処理方法、並びにプログラム提供媒体
JP4581200B2 (ja) * 2000-08-31 2010-11-17 ソニー株式会社 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体

Also Published As

Publication number Publication date
DE69332633D1 (de) 2003-02-20
JPH0695947A (ja) 1994-04-08
US5534855A (en) 1996-07-09
EP0581421B1 (en) 2003-01-15
EP0581421A1 (en) 1994-02-02
DE69332633T2 (de) 2003-11-06

Similar Documents

Publication Publication Date Title
JP2686218B2 (ja) コンピュータシステム上の別名の検出方法、分散型コンピュータシステム及びその作動方法、及び別名の検出を実行する分散型コンピュータシステム
US6510523B1 (en) Method and system for providing limited access privileges with an untrusted terminal
US7788700B1 (en) Enterprise security system
JP5695120B2 (ja) システム間シングルサインオン
US7461249B1 (en) Computer platforms and their methods of operation
US8225384B2 (en) Authentication system for enhancing network security
EP1255179B1 (en) Methods and arrangements for controlling access to resources based on authentication method
EP1914658B1 (en) Identity controlled data center
US20020032665A1 (en) Methods and systems for authenticating business partners for secured electronic transactions
US7844832B2 (en) System and method for data source authentication and protection system using biometrics for openly exchanged computer files
US20100146609A1 (en) Method and system of securing accounts
US8631486B1 (en) Adaptive identity classification
US20170171189A1 (en) Distributed authentication system
US20010048359A1 (en) Restriction method for utilization of computer file with use of biometrical information, method of logging in computer system and recording medium
US7047409B1 (en) Automated tracking of certificate pedigree
US20090204544A1 (en) Activation by trust delegation
JPH10260939A (ja) コンピュータネットワークのクライアントマシン認証方法,クライアントマシン,ホストマシン及びコンピュータシステム
KR100386852B1 (ko) 전자서명 인증 기반 다단계 보안용 보안커널 시스템
Schulze Identity and access management for cloud services used by the payment card industry
JP6464544B1 (ja) 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム
CN117914601A (zh) 档案机器人的多级安全认证及访问控制系统
Van de Velde et al. The Security Component
Davis et al. A Case for Multi-factor Authentication in Public Key Infrastructure
Mrdović E-banking fat client security analysis
Taylor et al. A Comparison of Authentication, Authorization and Auditing in Windows and Linux

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees