JP4772256B2 - 認証方法に基づいてリソースへのアクセスを制御するための方法および装置 - Google Patents
認証方法に基づいてリソースへのアクセスを制御するための方法および装置 Download PDFInfo
- Publication number
- JP4772256B2 JP4772256B2 JP2002129343A JP2002129343A JP4772256B2 JP 4772256 B2 JP4772256 B2 JP 4772256B2 JP 2002129343 A JP2002129343 A JP 2002129343A JP 2002129343 A JP2002129343 A JP 2002129343A JP 4772256 B2 JP4772256 B2 JP 4772256B2
- Authority
- JP
- Japan
- Prior art keywords
- sid
- access
- user
- access control
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、認証方法に基づいてリソースへのアクセスを制御するための方法および装置に関する。より詳細には、コンピュータおよびコンピュータネットワークに関し、認証方法に基づいて、コンピュータおよびコンピュータネットワーク中の様々なリソースへのアクセスを制御する際に使用するための方法および記録媒体並びに装置に関する。
【0002】
【従来の技術】
過去においては、実行可能コンテンツは、物理的に磁気媒体をコンピュータに運び、適切な特権(たとえば管理特権)を有するユーザにインストールさせることによってのみ、コンピュータシステム上にインストールすることができた。しかし現在では、インターネット、イントラネット、ワイドエリアネットワーク(WAN)、ローカルエリアネットワーク(LAN)などにより、通常のコンピュータユーザが、たとえばActiveX(登録商標)コントロール、プログラム、およびスクリプトなどの実行可能コンテンツをダウンロードすることが非常に容易になっている。多くの場合、実行可能コンテンツを、このようなイベントが行われたことをユーザが気付くことすらなく、インターネットを介してダウンロードし、実行させることができる。
【0003】
残念ながら、時々このような実行可能コンテンツは、意図的に、または意図せずに、何らかの方法でクライアントマシンを不安定化させる。たとえば、コンテンツがエラーを起こす傾向があり、クライアントマシンのクラッシュを引き起こすものであると判明することがある。コンテンツは、クライアント/ユーザについての秘密情報を漏らすことによって、クライアントマシンのセキュリティを弱めることもある。このタイプのコンピュータ問題は、以前には「ウィルス」および「トロイの木馬」の形態で存在していたが、インターネットのワールドワイドウェブ(WWW)部分の普及により、この問題がさらにより広範なものとなっている。一般には、大部分のクライアントの動作環境は、このような制御し難いコードに対して十分には保護されていない。
【0004】
一部のオペレーティングシステムは、特権のないユーザが行えることを制限する、既存のセキュリティ機構を既に有している。たとえば、Windows(登録商標)NTオペレーティングシステムに組み込まれたセキュリティシステムは、ユーザの識別に基づいてリソースへのアクセスを制御する。Windows(登録商標)NTプロセスが、あるアクションを実行するためにリソースにアクセスしようとするとき、Windows(登録商標)NT中のセキュリティ機構は、クライアントのユーザIDおよびグループID、ならびにそのプロセスに関連する特権と、そのリソースに割り当てられたセキュリティ情報とを比較し、リソースへのアクセスを許可するか、または拒絶する。このようにして、無許可のユーザは、リソースにアクセスし、潜在的に害を引き起こすことを妨げられるが、一方では、許可されたユーザは、実行を許可されているアクションが制限される可能性がある。
【0005】
クライアントオペレーティングシステムで使用することのできる、多くの異なる認証方法が存在する。たとえば、クライアントは、ケルベロス、NTLM(NT LAN Manager)、ダイジェスト、セキュアソケットレイヤ(SSL)、またはオペレーティングシステム内で利用可能な他のものの中から選択することができる。これらのプロトコルはそれぞれ異なり、その差により、関係する本人の識別に関する、保証の様々なレベルが生み出される。生体情報認証(biometric authentication)などの高保証方法と、パスワードなどのより低い保証方式との間の違いを当業者は理解されたい。
【0006】
【発明が解決しようとする課題】
コンピュータオペレーティングシステムの末端エンドユーザまたは管理者は、データへのアクセスを管理し、不正使用や他のタスクに対して彼らのリソースを保護しなければならないので、彼らが様々なタスクに対してどのような保証を必要としているかを決定する、特殊な人々がいる。たとえばウェブページの閲覧は、パスワードなどの低確認方法を使用することを可能にするように、十分安価にすることができる。会社の財務情報の更新は、SSLなどのより高度な確認方法を必要とするであろう。明らかに、様々な可能なアプリケーションにわたる、アクセスを制御するための一貫した方法の利点が、重要であろう。
【0007】
したがって、特にインターネット/イントラネットのネットワーク領域において、様々なネットワーク型サーバ、装置、サービス、アプリケーションなどへのアクセスを制御するための方法および装置を改良することが引き続き求められている。
【0008】
本発明は、このような課題に鑑みてなされたもので、その目的とするところは、認証方法に基づいて、コンピュータおよびコンピュータネットワーク中の様々なリソースにわたり、アクセスを一貫して制御することが可能な、認証方法に基づいてリソースへのアクセスを制御するための方法および装置を提供することにある。
【0009】
【課題を解決するための手段】
本発明のある態様によれば、コンピューティング環境でリソースへのアクセスを制御するための改良型の方法および装置が提供される。具体的には、この方法および装置は、ユーザを確認する際に使用される、認証機構および/またはその特徴を識別し、その後でセキュリティ機構を操作する。したがって、この付加的な情報に基づいてユーザ要求を区別することにより、付加的な制御が提供される。
【0010】
たとえば、上記および他のニーズは、複数の認証機構をサポートすることのできる、コンピュータで使用するための方法によって満たされる。この方法は、少なくとも1つの認証機構に関連しその少なくとも1つの認証機構を識別する、少なくとも1つの識別標識、たとえばユーザまたはアカウントの識別の、オペレーティングシステム表現(representation)「(たとえばセキュリティトークンなど)を生成するステップと、その後で、オペレーティングシステム表現に基づいて少なくとも1つのリソースへのアクセスを制御するステップとを含む。ある実装では、この方法は、認証機構を何らかの方式、たとえば名前または番号によって、および/または、恐らく、認証機構で使用される暗号化処理/暗号鍵のタイプ/長さなどの強さの測定によって識別する、少なくとも1つのセキュリティ識別子(SID;security identifier)を生成するステップをさらに含む。たとえば他の実装では、この方法は、前記オペレーティングシステム表現と、少なくとも1つのアクセス制御エントリをその中に有する少なくとも1つのアクセス制御リストとを比較するステップを含む。たとえばここで、アクセス制御エントリは、認証機構によって認証されたユーザがリソースにアクセスすることが許可されているかどうかを、有効に指定することができる。
【0011】
本発明の様々な方法および装置は、以下の詳細な説明を添付の図面と共に参照することによってより完全に理解されよう。
【0012】
【発明の実施の形態】
認証は、基本的には、固有の名前または他の識別子を主張するユーザが実際にそのユーザであることを検証する処理である。物理的な世界では、このことはしばしば、政府などの信頼のおける第3者によって発行された、ある形態の文書を使用することによって実施される。非常に一般的な例はパスポートである。コンピュータの領域では、このことはしばしば、認証プロトコルを介して実施される。許可は、特定のユーザまたは他の本人が何を許可されているかを判定することである。許可は、制限の形態、たとえばクレジットカードに対する信用限度、またはアクセス制御の形態、たとえば従業員が入ることが許可される建物の領域を制限する形態を取ることができる。認証と許可には相互関係があるが、しばしば全く別々に解析され、さらには実装される。
【0013】
典型的なコンピュータシステム内の2つの一般的な許可の形態は、名前ベースの許可と、識別ベースの許可である。名前ベースの許可は本質的に、単一の識別子であるユーザ名を使用して、許可判定を管理する。多くのウェブサイトはこの形態を使用する。一例は、典型的な商業ウェブサイトで、ユーザがそのユーザのアカウントに対するアクセスだけを有することである。他の形態である識別ベースの許可は、よりリッチな環境である。この場合、オペレーティングシステムは、ユーザについての識別子と、場合によっては、アプリケーションで使用するための、管理者により管理されるユーザのグループまたは集合を示す付加的な識別子とを維持する。多くのUNIX(登録商標)派生システムは、ユーザ識別子と、グループ識別子のリストとして、これを公開する。Windows(登録商標)NTおよびWindows(登録商標)2000は、ユーザ識別子、グループのリスト、ならびに追加の制限および/または特権を含む、アクセストークンと呼ばれる構造を用いてこれを表す。
【0014】
認証は2つの方式のどちらかで実施することができる。1つの方式は、トラスティ名(trustee name)を、データソースオブジェクトへの初期接続に関するパスワードに関連付けることである。第2の、好適な方法は、認証されたユーザ/アカウントだけに、オペレーティングシステムによって認められたいくつかの識別標識の、セキュアアクセストークンまたは同様のオペレーティングシステム表現を使用することである。この場合、アクセストークン、または同様のオペレーティングシステム表現は、データストア中に格納される1つまたは複数の任意アクセス制御リスト(ACL;discretionary access control list)などと突き合わせることのできる、1つまたは複数のセキュリティ識別記述子(SID;security identifier descriptor)を含む。
【0015】
いくつかの従来の認証技法が認証パッケージ中に実装されている。たとえば、Windows(登録商標)NTおよびWindows(登録商標)2000は、Windows(登録商標)NT LANマネージャ(NTLM)に対するサポートを提供する。Windows(登録商標)2000は、ケルベロスセキュリティプロトコルに対する付加的なサポートを提供する。他の周知の認証技法には、セキュアソケットレイヤ(SSL)、Schannel、パスポートなどが含まれる。加えて、同様の他のメーカ独自の認証技法を実装することもできる。
【0016】
このことを念頭に置いて、どのような同様の構成にも容易に適合可能な汎用的構成100を図1に示す。構成100での本質的な機能は、アクセストークンまたは同様のオペレーティングシステム表現110を使用することに関係する。アクセストークンまたは同様のオペレーティングシステム表現110はさらに、ユーザ/アカウントを妥当性検査するために使用された認証パッケージに関連する1つ、または複数のタイプ、特徴、および/または他の面を識別する情報を含むように修正されている。有利には、このオペレーティングシステム表現110は、全体のシステムセキュリティモデル中のさらなる細分性を提供する。
【0017】
したがって図1を参照すると、構成100は、ユーザとのインタフェースを提供するログオン機能102を含む。ユーザは、たとえば、ユーザ/アカウント名、パスワード、または他のユーザ/グループ識別子を与える(すなわち、入力する)ように要求される。ある実装では、ログオン機能102はさらに、スマートカード上のロジック、または同様のポータブルトークン装置とインタフェースすることができる。さらに他の実装では、ユーザからの/ユーザについての生体情報情報をログオン機能102によって収集することができる。
【0018】
ログオン機能102は、ユーザログオン情報、たとえば名前およびパスワード(またはパスワードのハッシュ)を認証パッケージ104に出力する。認証パッケージ104は、(ユーザログオン情報に基づいて)ユーザがその名前が示唆する実際のユーザであることを認証し、または妥当性検査するように構成される。前述のように、今日いくつかの認証技法が使用されている。
【0019】
認証パッケージ104は、鍵106を必要とする符号化方式または暗号化方式を利用することができる。ある実装では、認証技法の信頼性を鍵106の強さ(たとえば長さ)と結びつけることができる。このことを述べたのは、これを、後にオペレーティングシステム表現110に反映されるセキュリティ基準とすることができるからである。認証パッケージ104は、1つまたは複数の他のサブ認証パッケージ108を呼び出してユーザログオンを検証することもできる。サブ認証パッケージ108の使用も認証技法の信頼性に影響を与える可能性があり、したがって、結果として得られるオペレーティングシステム表現110に反映される可能性がある。
【0020】
図示したように、認証パッケージ104は、1つまたは複数の認証パッケージSID 112を出力し、認証パッケージSID 112は、オペレーティングシステム表現110内に供給される。この例では、オペレーティングシステム表現110は、以下で説明するようにユーザ/アカウントを識別するオブジェクトであり、ユーザ/アカウントのプロセスに永続的に接続される。
【0021】
ここで、オペレーティングシステム表現110は、ログオン名および/またはパスワードなどに基づく従来のユーザSIDと、少なくとも1つの認証パッケージSID 112とを含む。オペレーティングシステム表現110は、たとえば1つまたは複数のグループID、特権など、他の属性をさらに含むことができる。
【0022】
オペレーティングシステム表現110内に認証パッケージSID 112を提供することによって、後続のセキュリティ機能はユーザ/アカウントをさらに区別できることになる。この利点や他の利点を、オブジェクトマネージャ114、セキュリティ機構116、およびACL 118を備える例示的セキュリティ構成の概要に続いて以下で説明する。
【0023】
ユーザのプロセスが別のオブジェクトにアクセスすることを求めるとき、ユーザのプロセスは、求めるアクセスのタイプ(たとえばファイルオブジェクトへの読書きアクセスを得ること)を指定し、かつカーネルレベルで、ユーザのプロセスがオブジェクトマネージャ114に対応するオペレーティングシステム表現110であることを与える。シークされるオブジェクトは、ACL 118を含むそのオブジェクトに関連するカーネルレベルセキュリティ記述子を有する。オブジェクトマネージャ114は、オペレーティングシステム表現110およびACL 118をセキュリティ機構116に供給する。
【0024】
ACL 118内には、少なくとも1つのアクセス制御エントリ(ACE;access control entry)120が存在する。アクセス制御エントリ(ACE)120は、そのエントリに対応する、あるアクセス権(許可されるアクションまたは拒絶されるアクション)を定義する。たとえば、ACE 120は、ビットマスクの形態の、タイプ(拒絶または許可)標識、フラグ、1つまたは複数のSID、およびアクセス権を含むことができ、各ビットは許可に対応する(たとえば、読取りアクセスについての1ビット、書込みについての1ビットなど)。
【0025】
したがって、セキュリティ機構116は、ユーザのプロセスによって要求されたアクションのタイプと共に、オペレーティングシステム表現110中のSIDと、ACL 118中のACE 120とを比較することができる。許可されるユーザまたはグループとの一致が見つかり、かつ要求するアクセスのタイプがそのユーザまたはグループに対して許可できる場合、所望のオブジェクトへのハンドルがユーザのプロセスに返され、そうでない場合、アクセスは拒絶される。
【0026】
認証パッケージSID 112を追加すると、セキュリティ機構116はまた、認証パッケージまたは認証機構を考慮することができる。したがって、たとえば、NTLMを使用して認証されたユーザは、所望のオブジェクトにアクセスすることを、ACL 118中の拒絶NTLM認証のACE120に基づいて拒絶されることがあり、一方ケルベロスで認証された別のユーザは、所望のオブジェクトにアクセスすることが許可される。認証パッケージ104、サブ認証パッケージ108、鍵106、またはそれらの任意の組合せに基づいて、異なるSID112およびACE 120を定義することによって、さらなる細分性が提供される。
【0027】
次に図2を参照する。図2は、構成100に適した例示的コンピューティングシステム200を示すブロック図である。
【0028】
この例では、コンピューティングシステム200はパーソナルコンピュータ(PC)の形態であるが、他の例では、コンピューティングシステムは、専用サーバ、専用装置、家電電化製品、ハンドヘルドコンピューティング装置、携帯電話装置、ページャ装置などの形態を取ることもできる。
【0029】
図示するように、コンピューティングシステム200は、プロセッサ221、システムメモリ222、およびシステムバス223を含む。システムバス223は、システムメモリ222およびプロセッサ221を含む様々なシステム構成要素を結びつける。システムバス223は、様々なバスアーキテクチャのうちのいずれかを使用する、メモリバスまたはメモリコントローラ、周辺バス、およびローカルバスを含むいくつかのタイプのバス構造のうちのどれでもよい。システムメモリ222は一般に、読取り専用メモリ(ROM)224およびランダムアクセスメモリ(RAM)225を含む。起動時などに、コンピューティングシステム200内の要素間で情報を転送する助けになる基本ルーチンを含む基本入出力システム226(BIOS)が、ROM 224中に格納される。コンピューティングシステム200は、ハードディスク(図示せず)を読み書きするためのハードディスクドライブ227と、リムーバル磁気ディスク229を読み書きするための磁気ディスクドライブ228と、CD−ROMまたは他の光媒体などのリムーバル光ディスク231を読み書きするための光ディスクドライブ230をさらに含む。ハードディスクドライブ227、磁気ディスクドライブ228、および光ディスクドライブ230は、それぞれハードディスクドライブインタフェース232、磁気ディスクドライブインタフェース233、および光ドライブインタフェース234によってシステムバス223に接続される。これらのドライブと、それに関連するコンピュータ可読媒体により、コンピューティングシステム200に対するコンピュータ可読命令、データ構造、コンピュータプログラム、および他のデータの不揮発性記憶が実現される。
【0030】
オペレーティングシステム235a、235b、1つまたは複数のアプリケーションプログラム236a、236b、他のプログラム237a、237b、およびプログラムデータ238a、238bを含むいくつかのコンピュータプログラムは、ハードディスク、磁気ディスク229、光ディスク231、ROM224、またはRAM225上に格納することができる。
【0031】
ユーザは、キーボード240およびポインティングデバイス242(マウスなど)などの様々な入力装置を介して、コンピューティングシステム200にコマンドおよび情報を入力することができる。リアルタイムデータ256を取り込み、または出力することができるカメラ/マイクロフォン255または他の同様の媒体装置も、コンピューティングシステム200への入力装置として含めることができる。リアルタイムデータ256は、適切なインタフェース257を介してコンピューティングシステム200に入力することができる。インタフェース257は、システムバス223に接続することができ、それによってリアルタイムデータ256をRAM225または他のデータ記憶装置のうちの1つに格納することが可能となり、あるいはリアルタイムデータ256を処理することが可能となる。
【0032】
図示するように、モニタ247または他のタイプのディスプレイ装置も、ビデオアダプタ245などのインタフェースを介してシステムバス223に接続される。モニタに加えて、コンピューティングシステム200は、スピーカ、プリンタなどの他の周辺出力装置(図示せず)も含むことができる。
【0033】
コンピューティングシステム200は、リモートコンピュータ249などの1つまたは複数のリモートコンピュータへの論理接続を使用して、ネットワーク環境で動作することができる。リモートコンピュータ249は、別のパーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピアデバイス、または他の共通ネットワークノードでよく、一般にはコンピューティングシステム200に対して前述した要素のうちの多くを含み、またはすべてを含むが、図2にはメモリ記憶装置250だけを示してある。
【0034】
図2に示す論理接続は、ローカルエリアネットワーク(LAN)251およびワイドエリアネットワーク(WAN)252を含む。このようなネットワーキング環境は、オフィス、企業全体のコンピュータネットワーク、イントラネット、およびインターネットで一般的なものである。
【0035】
LANネットワーキング環境で使用する際、コンピューティングシステム200は、ネットワークインタフェースまたはネットワークアダプタ253を介してローカルネットワーク251に接続される。WANネットワーキング環境で使用する際、コンピューティングシステム200は一般に、インターネットなどのワイドエリアネットワーク252を介して通信を確立するためのモデム254または他の手段を含む。モデム254は内蔵でも外付けでもよく、シリアルポートインタフェース246を介してシステムバス223に接続される。
【0036】
ネットワーク環境では、コンピューティングシステム200に関して示したコンピュータプログラムまたはその一部は、リモートメモリ記憶装置中に格納することができる。図示したネットワーク接続は例示的なものであって、コンピュータ間の通信リンクを確立する他の手段も使用できることを理解されたい。
【0037】
本発明の様々な方法および装置の好適実施形態を、添付の図面で図示し、前述の発明の実施の形態で説明したが、本発明は開示した例示的実施形態に限定されず、特許請求の範囲に記載され、それによって定義される本発明の趣旨から逸脱することなく、多数の再構成、修正、置換が可能であることを当業者は理解されよう。
【0038】
【発明の効果】
以上、説明したように、本発明によれば、認証方法に基づいて、コンピュータおよびコンピュータネットワーク中の様々なリソースにわたり、アクセスを一貫して制御することが可能となる。
【図面の簡単な説明】
【図1】本発明の実施形態のリソースへのアクセスを制御するための例示的機能構成を示すブロック図である。
【図2】本発明の実施形態の図1の構成と共に使用するのに適した例示的コンピューティング環境を示すブロック図である。
【符号の説明】
102 ログオン機能
104 認証パッケージ
106 鍵
108 サブ認証パッケージ
110 識別子(たとえばアクセストークン)
112 SID
114 オブジェクトマネージャ
116 セキュリティ機構
200 コンピューティングシステム
221 プロセッサ
222 システムメモリ
223 システムバス
224 ROM
225 RAM
226 BIOS
227 ハードディスクドライブ
228 磁気ディスクドライブ
229 磁気ディスク
230 光ディスクドライブ
231 光ディスク
232 ハードディスクドライブインタフェース
233 磁気ディスクドライブインタフェース
234 光ドライブインタフェース
235a、235b オペレーティングシステム
236a、236b アプリケーションプログラム
237a、237b プログラムモジュール
238a、238b プログラムデータ
240 キーボード
242 ポインティングデバイス
245 ビデオアダプタ
246 シリアルポートインタフェース
247 モニタ
249 リモートコンピュータ
250 メモリ記憶装置
251 ローカルエリアネットワーク
252 ワイドエリアネットワーク
253 ネットワークインタフェース
254 モデム
255 入力機構
256 リアルタイムデータ
257 インタフェース
【発明の属する技術分野】
本発明は、認証方法に基づいてリソースへのアクセスを制御するための方法および装置に関する。より詳細には、コンピュータおよびコンピュータネットワークに関し、認証方法に基づいて、コンピュータおよびコンピュータネットワーク中の様々なリソースへのアクセスを制御する際に使用するための方法および記録媒体並びに装置に関する。
【0002】
【従来の技術】
過去においては、実行可能コンテンツは、物理的に磁気媒体をコンピュータに運び、適切な特権(たとえば管理特権)を有するユーザにインストールさせることによってのみ、コンピュータシステム上にインストールすることができた。しかし現在では、インターネット、イントラネット、ワイドエリアネットワーク(WAN)、ローカルエリアネットワーク(LAN)などにより、通常のコンピュータユーザが、たとえばActiveX(登録商標)コントロール、プログラム、およびスクリプトなどの実行可能コンテンツをダウンロードすることが非常に容易になっている。多くの場合、実行可能コンテンツを、このようなイベントが行われたことをユーザが気付くことすらなく、インターネットを介してダウンロードし、実行させることができる。
【0003】
残念ながら、時々このような実行可能コンテンツは、意図的に、または意図せずに、何らかの方法でクライアントマシンを不安定化させる。たとえば、コンテンツがエラーを起こす傾向があり、クライアントマシンのクラッシュを引き起こすものであると判明することがある。コンテンツは、クライアント/ユーザについての秘密情報を漏らすことによって、クライアントマシンのセキュリティを弱めることもある。このタイプのコンピュータ問題は、以前には「ウィルス」および「トロイの木馬」の形態で存在していたが、インターネットのワールドワイドウェブ(WWW)部分の普及により、この問題がさらにより広範なものとなっている。一般には、大部分のクライアントの動作環境は、このような制御し難いコードに対して十分には保護されていない。
【0004】
一部のオペレーティングシステムは、特権のないユーザが行えることを制限する、既存のセキュリティ機構を既に有している。たとえば、Windows(登録商標)NTオペレーティングシステムに組み込まれたセキュリティシステムは、ユーザの識別に基づいてリソースへのアクセスを制御する。Windows(登録商標)NTプロセスが、あるアクションを実行するためにリソースにアクセスしようとするとき、Windows(登録商標)NT中のセキュリティ機構は、クライアントのユーザIDおよびグループID、ならびにそのプロセスに関連する特権と、そのリソースに割り当てられたセキュリティ情報とを比較し、リソースへのアクセスを許可するか、または拒絶する。このようにして、無許可のユーザは、リソースにアクセスし、潜在的に害を引き起こすことを妨げられるが、一方では、許可されたユーザは、実行を許可されているアクションが制限される可能性がある。
【0005】
クライアントオペレーティングシステムで使用することのできる、多くの異なる認証方法が存在する。たとえば、クライアントは、ケルベロス、NTLM(NT LAN Manager)、ダイジェスト、セキュアソケットレイヤ(SSL)、またはオペレーティングシステム内で利用可能な他のものの中から選択することができる。これらのプロトコルはそれぞれ異なり、その差により、関係する本人の識別に関する、保証の様々なレベルが生み出される。生体情報認証(biometric authentication)などの高保証方法と、パスワードなどのより低い保証方式との間の違いを当業者は理解されたい。
【0006】
【発明が解決しようとする課題】
コンピュータオペレーティングシステムの末端エンドユーザまたは管理者は、データへのアクセスを管理し、不正使用や他のタスクに対して彼らのリソースを保護しなければならないので、彼らが様々なタスクに対してどのような保証を必要としているかを決定する、特殊な人々がいる。たとえばウェブページの閲覧は、パスワードなどの低確認方法を使用することを可能にするように、十分安価にすることができる。会社の財務情報の更新は、SSLなどのより高度な確認方法を必要とするであろう。明らかに、様々な可能なアプリケーションにわたる、アクセスを制御するための一貫した方法の利点が、重要であろう。
【0007】
したがって、特にインターネット/イントラネットのネットワーク領域において、様々なネットワーク型サーバ、装置、サービス、アプリケーションなどへのアクセスを制御するための方法および装置を改良することが引き続き求められている。
【0008】
本発明は、このような課題に鑑みてなされたもので、その目的とするところは、認証方法に基づいて、コンピュータおよびコンピュータネットワーク中の様々なリソースにわたり、アクセスを一貫して制御することが可能な、認証方法に基づいてリソースへのアクセスを制御するための方法および装置を提供することにある。
【0009】
【課題を解決するための手段】
本発明のある態様によれば、コンピューティング環境でリソースへのアクセスを制御するための改良型の方法および装置が提供される。具体的には、この方法および装置は、ユーザを確認する際に使用される、認証機構および/またはその特徴を識別し、その後でセキュリティ機構を操作する。したがって、この付加的な情報に基づいてユーザ要求を区別することにより、付加的な制御が提供される。
【0010】
たとえば、上記および他のニーズは、複数の認証機構をサポートすることのできる、コンピュータで使用するための方法によって満たされる。この方法は、少なくとも1つの認証機構に関連しその少なくとも1つの認証機構を識別する、少なくとも1つの識別標識、たとえばユーザまたはアカウントの識別の、オペレーティングシステム表現(representation)「(たとえばセキュリティトークンなど)を生成するステップと、その後で、オペレーティングシステム表現に基づいて少なくとも1つのリソースへのアクセスを制御するステップとを含む。ある実装では、この方法は、認証機構を何らかの方式、たとえば名前または番号によって、および/または、恐らく、認証機構で使用される暗号化処理/暗号鍵のタイプ/長さなどの強さの測定によって識別する、少なくとも1つのセキュリティ識別子(SID;security identifier)を生成するステップをさらに含む。たとえば他の実装では、この方法は、前記オペレーティングシステム表現と、少なくとも1つのアクセス制御エントリをその中に有する少なくとも1つのアクセス制御リストとを比較するステップを含む。たとえばここで、アクセス制御エントリは、認証機構によって認証されたユーザがリソースにアクセスすることが許可されているかどうかを、有効に指定することができる。
【0011】
本発明の様々な方法および装置は、以下の詳細な説明を添付の図面と共に参照することによってより完全に理解されよう。
【0012】
【発明の実施の形態】
認証は、基本的には、固有の名前または他の識別子を主張するユーザが実際にそのユーザであることを検証する処理である。物理的な世界では、このことはしばしば、政府などの信頼のおける第3者によって発行された、ある形態の文書を使用することによって実施される。非常に一般的な例はパスポートである。コンピュータの領域では、このことはしばしば、認証プロトコルを介して実施される。許可は、特定のユーザまたは他の本人が何を許可されているかを判定することである。許可は、制限の形態、たとえばクレジットカードに対する信用限度、またはアクセス制御の形態、たとえば従業員が入ることが許可される建物の領域を制限する形態を取ることができる。認証と許可には相互関係があるが、しばしば全く別々に解析され、さらには実装される。
【0013】
典型的なコンピュータシステム内の2つの一般的な許可の形態は、名前ベースの許可と、識別ベースの許可である。名前ベースの許可は本質的に、単一の識別子であるユーザ名を使用して、許可判定を管理する。多くのウェブサイトはこの形態を使用する。一例は、典型的な商業ウェブサイトで、ユーザがそのユーザのアカウントに対するアクセスだけを有することである。他の形態である識別ベースの許可は、よりリッチな環境である。この場合、オペレーティングシステムは、ユーザについての識別子と、場合によっては、アプリケーションで使用するための、管理者により管理されるユーザのグループまたは集合を示す付加的な識別子とを維持する。多くのUNIX(登録商標)派生システムは、ユーザ識別子と、グループ識別子のリストとして、これを公開する。Windows(登録商標)NTおよびWindows(登録商標)2000は、ユーザ識別子、グループのリスト、ならびに追加の制限および/または特権を含む、アクセストークンと呼ばれる構造を用いてこれを表す。
【0014】
認証は2つの方式のどちらかで実施することができる。1つの方式は、トラスティ名(trustee name)を、データソースオブジェクトへの初期接続に関するパスワードに関連付けることである。第2の、好適な方法は、認証されたユーザ/アカウントだけに、オペレーティングシステムによって認められたいくつかの識別標識の、セキュアアクセストークンまたは同様のオペレーティングシステム表現を使用することである。この場合、アクセストークン、または同様のオペレーティングシステム表現は、データストア中に格納される1つまたは複数の任意アクセス制御リスト(ACL;discretionary access control list)などと突き合わせることのできる、1つまたは複数のセキュリティ識別記述子(SID;security identifier descriptor)を含む。
【0015】
いくつかの従来の認証技法が認証パッケージ中に実装されている。たとえば、Windows(登録商標)NTおよびWindows(登録商標)2000は、Windows(登録商標)NT LANマネージャ(NTLM)に対するサポートを提供する。Windows(登録商標)2000は、ケルベロスセキュリティプロトコルに対する付加的なサポートを提供する。他の周知の認証技法には、セキュアソケットレイヤ(SSL)、Schannel、パスポートなどが含まれる。加えて、同様の他のメーカ独自の認証技法を実装することもできる。
【0016】
このことを念頭に置いて、どのような同様の構成にも容易に適合可能な汎用的構成100を図1に示す。構成100での本質的な機能は、アクセストークンまたは同様のオペレーティングシステム表現110を使用することに関係する。アクセストークンまたは同様のオペレーティングシステム表現110はさらに、ユーザ/アカウントを妥当性検査するために使用された認証パッケージに関連する1つ、または複数のタイプ、特徴、および/または他の面を識別する情報を含むように修正されている。有利には、このオペレーティングシステム表現110は、全体のシステムセキュリティモデル中のさらなる細分性を提供する。
【0017】
したがって図1を参照すると、構成100は、ユーザとのインタフェースを提供するログオン機能102を含む。ユーザは、たとえば、ユーザ/アカウント名、パスワード、または他のユーザ/グループ識別子を与える(すなわち、入力する)ように要求される。ある実装では、ログオン機能102はさらに、スマートカード上のロジック、または同様のポータブルトークン装置とインタフェースすることができる。さらに他の実装では、ユーザからの/ユーザについての生体情報情報をログオン機能102によって収集することができる。
【0018】
ログオン機能102は、ユーザログオン情報、たとえば名前およびパスワード(またはパスワードのハッシュ)を認証パッケージ104に出力する。認証パッケージ104は、(ユーザログオン情報に基づいて)ユーザがその名前が示唆する実際のユーザであることを認証し、または妥当性検査するように構成される。前述のように、今日いくつかの認証技法が使用されている。
【0019】
認証パッケージ104は、鍵106を必要とする符号化方式または暗号化方式を利用することができる。ある実装では、認証技法の信頼性を鍵106の強さ(たとえば長さ)と結びつけることができる。このことを述べたのは、これを、後にオペレーティングシステム表現110に反映されるセキュリティ基準とすることができるからである。認証パッケージ104は、1つまたは複数の他のサブ認証パッケージ108を呼び出してユーザログオンを検証することもできる。サブ認証パッケージ108の使用も認証技法の信頼性に影響を与える可能性があり、したがって、結果として得られるオペレーティングシステム表現110に反映される可能性がある。
【0020】
図示したように、認証パッケージ104は、1つまたは複数の認証パッケージSID 112を出力し、認証パッケージSID 112は、オペレーティングシステム表現110内に供給される。この例では、オペレーティングシステム表現110は、以下で説明するようにユーザ/アカウントを識別するオブジェクトであり、ユーザ/アカウントのプロセスに永続的に接続される。
【0021】
ここで、オペレーティングシステム表現110は、ログオン名および/またはパスワードなどに基づく従来のユーザSIDと、少なくとも1つの認証パッケージSID 112とを含む。オペレーティングシステム表現110は、たとえば1つまたは複数のグループID、特権など、他の属性をさらに含むことができる。
【0022】
オペレーティングシステム表現110内に認証パッケージSID 112を提供することによって、後続のセキュリティ機能はユーザ/アカウントをさらに区別できることになる。この利点や他の利点を、オブジェクトマネージャ114、セキュリティ機構116、およびACL 118を備える例示的セキュリティ構成の概要に続いて以下で説明する。
【0023】
ユーザのプロセスが別のオブジェクトにアクセスすることを求めるとき、ユーザのプロセスは、求めるアクセスのタイプ(たとえばファイルオブジェクトへの読書きアクセスを得ること)を指定し、かつカーネルレベルで、ユーザのプロセスがオブジェクトマネージャ114に対応するオペレーティングシステム表現110であることを与える。シークされるオブジェクトは、ACL 118を含むそのオブジェクトに関連するカーネルレベルセキュリティ記述子を有する。オブジェクトマネージャ114は、オペレーティングシステム表現110およびACL 118をセキュリティ機構116に供給する。
【0024】
ACL 118内には、少なくとも1つのアクセス制御エントリ(ACE;access control entry)120が存在する。アクセス制御エントリ(ACE)120は、そのエントリに対応する、あるアクセス権(許可されるアクションまたは拒絶されるアクション)を定義する。たとえば、ACE 120は、ビットマスクの形態の、タイプ(拒絶または許可)標識、フラグ、1つまたは複数のSID、およびアクセス権を含むことができ、各ビットは許可に対応する(たとえば、読取りアクセスについての1ビット、書込みについての1ビットなど)。
【0025】
したがって、セキュリティ機構116は、ユーザのプロセスによって要求されたアクションのタイプと共に、オペレーティングシステム表現110中のSIDと、ACL 118中のACE 120とを比較することができる。許可されるユーザまたはグループとの一致が見つかり、かつ要求するアクセスのタイプがそのユーザまたはグループに対して許可できる場合、所望のオブジェクトへのハンドルがユーザのプロセスに返され、そうでない場合、アクセスは拒絶される。
【0026】
認証パッケージSID 112を追加すると、セキュリティ機構116はまた、認証パッケージまたは認証機構を考慮することができる。したがって、たとえば、NTLMを使用して認証されたユーザは、所望のオブジェクトにアクセスすることを、ACL 118中の拒絶NTLM認証のACE120に基づいて拒絶されることがあり、一方ケルベロスで認証された別のユーザは、所望のオブジェクトにアクセスすることが許可される。認証パッケージ104、サブ認証パッケージ108、鍵106、またはそれらの任意の組合せに基づいて、異なるSID112およびACE 120を定義することによって、さらなる細分性が提供される。
【0027】
次に図2を参照する。図2は、構成100に適した例示的コンピューティングシステム200を示すブロック図である。
【0028】
この例では、コンピューティングシステム200はパーソナルコンピュータ(PC)の形態であるが、他の例では、コンピューティングシステムは、専用サーバ、専用装置、家電電化製品、ハンドヘルドコンピューティング装置、携帯電話装置、ページャ装置などの形態を取ることもできる。
【0029】
図示するように、コンピューティングシステム200は、プロセッサ221、システムメモリ222、およびシステムバス223を含む。システムバス223は、システムメモリ222およびプロセッサ221を含む様々なシステム構成要素を結びつける。システムバス223は、様々なバスアーキテクチャのうちのいずれかを使用する、メモリバスまたはメモリコントローラ、周辺バス、およびローカルバスを含むいくつかのタイプのバス構造のうちのどれでもよい。システムメモリ222は一般に、読取り専用メモリ(ROM)224およびランダムアクセスメモリ(RAM)225を含む。起動時などに、コンピューティングシステム200内の要素間で情報を転送する助けになる基本ルーチンを含む基本入出力システム226(BIOS)が、ROM 224中に格納される。コンピューティングシステム200は、ハードディスク(図示せず)を読み書きするためのハードディスクドライブ227と、リムーバル磁気ディスク229を読み書きするための磁気ディスクドライブ228と、CD−ROMまたは他の光媒体などのリムーバル光ディスク231を読み書きするための光ディスクドライブ230をさらに含む。ハードディスクドライブ227、磁気ディスクドライブ228、および光ディスクドライブ230は、それぞれハードディスクドライブインタフェース232、磁気ディスクドライブインタフェース233、および光ドライブインタフェース234によってシステムバス223に接続される。これらのドライブと、それに関連するコンピュータ可読媒体により、コンピューティングシステム200に対するコンピュータ可読命令、データ構造、コンピュータプログラム、および他のデータの不揮発性記憶が実現される。
【0030】
オペレーティングシステム235a、235b、1つまたは複数のアプリケーションプログラム236a、236b、他のプログラム237a、237b、およびプログラムデータ238a、238bを含むいくつかのコンピュータプログラムは、ハードディスク、磁気ディスク229、光ディスク231、ROM224、またはRAM225上に格納することができる。
【0031】
ユーザは、キーボード240およびポインティングデバイス242(マウスなど)などの様々な入力装置を介して、コンピューティングシステム200にコマンドおよび情報を入力することができる。リアルタイムデータ256を取り込み、または出力することができるカメラ/マイクロフォン255または他の同様の媒体装置も、コンピューティングシステム200への入力装置として含めることができる。リアルタイムデータ256は、適切なインタフェース257を介してコンピューティングシステム200に入力することができる。インタフェース257は、システムバス223に接続することができ、それによってリアルタイムデータ256をRAM225または他のデータ記憶装置のうちの1つに格納することが可能となり、あるいはリアルタイムデータ256を処理することが可能となる。
【0032】
図示するように、モニタ247または他のタイプのディスプレイ装置も、ビデオアダプタ245などのインタフェースを介してシステムバス223に接続される。モニタに加えて、コンピューティングシステム200は、スピーカ、プリンタなどの他の周辺出力装置(図示せず)も含むことができる。
【0033】
コンピューティングシステム200は、リモートコンピュータ249などの1つまたは複数のリモートコンピュータへの論理接続を使用して、ネットワーク環境で動作することができる。リモートコンピュータ249は、別のパーソナルコンピュータ、サーバ、ルータ、ネットワークPC、ピアデバイス、または他の共通ネットワークノードでよく、一般にはコンピューティングシステム200に対して前述した要素のうちの多くを含み、またはすべてを含むが、図2にはメモリ記憶装置250だけを示してある。
【0034】
図2に示す論理接続は、ローカルエリアネットワーク(LAN)251およびワイドエリアネットワーク(WAN)252を含む。このようなネットワーキング環境は、オフィス、企業全体のコンピュータネットワーク、イントラネット、およびインターネットで一般的なものである。
【0035】
LANネットワーキング環境で使用する際、コンピューティングシステム200は、ネットワークインタフェースまたはネットワークアダプタ253を介してローカルネットワーク251に接続される。WANネットワーキング環境で使用する際、コンピューティングシステム200は一般に、インターネットなどのワイドエリアネットワーク252を介して通信を確立するためのモデム254または他の手段を含む。モデム254は内蔵でも外付けでもよく、シリアルポートインタフェース246を介してシステムバス223に接続される。
【0036】
ネットワーク環境では、コンピューティングシステム200に関して示したコンピュータプログラムまたはその一部は、リモートメモリ記憶装置中に格納することができる。図示したネットワーク接続は例示的なものであって、コンピュータ間の通信リンクを確立する他の手段も使用できることを理解されたい。
【0037】
本発明の様々な方法および装置の好適実施形態を、添付の図面で図示し、前述の発明の実施の形態で説明したが、本発明は開示した例示的実施形態に限定されず、特許請求の範囲に記載され、それによって定義される本発明の趣旨から逸脱することなく、多数の再構成、修正、置換が可能であることを当業者は理解されよう。
【0038】
【発明の効果】
以上、説明したように、本発明によれば、認証方法に基づいて、コンピュータおよびコンピュータネットワーク中の様々なリソースにわたり、アクセスを一貫して制御することが可能となる。
【図面の簡単な説明】
【図1】本発明の実施形態のリソースへのアクセスを制御するための例示的機能構成を示すブロック図である。
【図2】本発明の実施形態の図1の構成と共に使用するのに適した例示的コンピューティング環境を示すブロック図である。
【符号の説明】
102 ログオン機能
104 認証パッケージ
106 鍵
108 サブ認証パッケージ
110 識別子(たとえばアクセストークン)
112 SID
114 オブジェクトマネージャ
116 セキュリティ機構
200 コンピューティングシステム
221 プロセッサ
222 システムメモリ
223 システムバス
224 ROM
225 RAM
226 BIOS
227 ハードディスクドライブ
228 磁気ディスクドライブ
229 磁気ディスク
230 光ディスクドライブ
231 光ディスク
232 ハードディスクドライブインタフェース
233 磁気ディスクドライブインタフェース
234 光ドライブインタフェース
235a、235b オペレーティングシステム
236a、236b アプリケーションプログラム
237a、237b プログラムモジュール
238a、238b プログラムデータ
240 キーボード
242 ポインティングデバイス
245 ビデオアダプタ
246 シリアルポートインタフェース
247 モニタ
249 リモートコンピュータ
250 メモリ記憶装置
251 ローカルエリアネットワーク
252 ワイドエリアネットワーク
253 ネットワークインタフェース
254 モデム
255 入力機構
256 リアルタイムデータ
257 インタフェース
Claims (15)
- 複数の認証機構をサポートすることができるコンピュータで実行する方法であって、
ユーザにより入力されたログオン情報を前記複数の認証機構の1つに入力するステップと、
前記ログオン情報に基づいて、前記ユーザを識別するユーザセキュリティ識別記述子(SID)と、前記複数の認証機構のうち、前記ユーザまたは前記ユーザが所有するアカウントの妥当性検査に使用された認証機構を識別する少なくとも1つの認証機構SIDとを生成するステップと、
生成された前記ユーザSIDと、生成された前記少なくとも1つの認証機構SIDとを含むアクセストークンであって、前記ユーザが属しているプロセスに永続的に付随する少なくとも1つのアクセストークンを生成するステップと、
前記アクセストークン内の前記ユーザSIDおよび前記認証機構SIDと、アクセス制御リストに含まれるアクセス制御エントリとに基づいて、前記ユーザがアクセスを望むリソースへのアクセスを制御するステップであって、前記アクセス制御リストは、少なくとも1つのアクセス制御エントリを含み、前記アクセス制御エントリは、各リソースについて各SIDによるアクセスを許可するかに関する情報を含む、リソースへのアクセスを制御するステップと
を備え、
前記リソースへのアクセスを制御するステップは、
前記アクセストークン内の前記ユーザSIDおよび前記認証機構SIDを用いて、前記アクセス制御リストを検索するステップと、
前記ユーザSIDおよび前記認証機構SIDが、前記アクセス制御リスト内の前記少なくとも1つのアクセス制御エントリと一致するか判定するステップと、
前記アクセス制御エントリの情報に従って前記リソースへのアクセスを許可するか判定するステップと
をさらに含むことを特徴とする方法。 - 前記複数の認証機構は、使用する暗号鍵の長さが異なる認証機構を含むことを特徴とする請求項1に記載の方法。
- 前記リソースへのアクセスは、前記ユーザSIDおよび前記認証機構SIDが、前記アクセス制御リスト内の前記少なくとも1つのアクセス制御エントリと一致すると判断された場合、許可されることを特徴とする請求項1に記載の方法。
- 前記リソースへのアクセスは、前記ユーザSIDまたは前記認証機構SIDが、前記アクセス制御リスト内の拒絶されるSIDと一致すると判断された場合、許可されないことを特徴とする請求項1に記載の方法。
- 前記リソースへのアクセスは、前記ユーザSIDおよび前記認証機構SIDの少なくとも1つが、前記アクセス制御リスト内の前記少なくとも1つのアクセス制御エントリと一致しないと判断された場合、許可されないことを特徴とする請求項1に記載の方法。
- 複数の認証機構をサポートすることができる装置で使用するコンピュータ読み取り可能な記録媒体であって、
ユーザにより入力されたログオン情報を、前記装置によってサポートされる前記複数の認証機構の1つに入力するステップと、
前記ログオン情報に基づいて、前記ユーザを識別するユーザセキュリティ識別記述子(SID)と、前記複数の認証機構のうち、前記ユーザまたは前記ユーザが所有するアカウントの妥当性検査に使用された認証機構を識別する少なくとも1つの認証機構SIDとを生成するステップと、
生成された前記ユーザSIDと、生成された前記少なくとも1つの認証機構SIDとを含むアクセストークンであって、前記ユーザが属しているプロセスに永続的に付随する少なくとも1つのアクセストークンを生成するステップと、
前記アクセストークン内の前記ユーザSIDおよび前記認証機構SIDと、アクセス制御リストに含まれるアクセス制御エントリとに基づいて、前記装置に動作可能に連結されており前記ユーザがアクセスを望んでいるリソースへのアクセスを、前記装置に選択的に制御させるステップであって、前記アクセス制御リストは、少なくとも1つのアクセス制御エントリを含み、前記アクセス制御エントリは、各リソースについて各SIDによるアクセスを許可するかに関する情報を含む、リソースへのアクセスを前記装置に選択的に制御させるステップと
を備え、
前記リソースへのアクセスを前記装置に選択的に制御させるステップは、
前記アクセストークン内の前記ユーザSIDおよび前記認証機構SIDを用いて、前記アクセス制御リストを検索させるステップと、
前記ユーザSIDおよび前記認証機構SIDが、前記アクセス制御リスト内の前記少なくとも1つのアクセス制御エントリと一致するか判定させるステップと、
前記アクセス制御エントリの情報に従って前記リソースへのアクセスを許可するか判定させるステップと
をさらに含む動作を実行するためのコンピュータ実行可能命令を有することを特徴とするコンピュータ読み取り可能な記録媒体。 - 前記複数の認証機構は、使用する暗号鍵の長さが異なる認証機構を含むことを特徴とする請求項6に記載のコンピュータ読み取り可能な記録媒体。
- 前記リソースへのアクセスは、前記ユーザSIDおよび前記認証機構SIDが、前記アクセス制御リスト内の前記少なくとも1つのアクセス制御エントリと一致すると判断された場合、許可されることを特徴とする請求項6に記載のコンピュータ読み取り可能な記録媒体。
- 前記リソースへのアクセスは、前記ユーザSIDまたは前記認証機構SIDが、前記アクセス制御リスト内の拒絶されるSIDと一致すると判断された場合、許可されないことを特徴とする請求項6に記載のコンピュータ読み取り可能な記録媒体。
- 前記リソースへのアクセスは、前記ユーザSIDおよび前記認証機構SIDの少なくとも1つが、前記アクセス制御リスト内の前記少なくとも1つのアクセス制御エントリと一致しないと判断された場合、許可されないことを特徴とする請求項6に記載のコンピュータ読み取り可能な記録媒体。
- ユーザにより入力されたログオン情報を複数の認証機構の1つに入力するログオンプロセスと、
前記ログオン情報に基づいて、前記ユーザを識別するユーザセキュリティ識別記述子(SID)と、前記前記複数の認証機構のうち、前記ユーザまたは前記ユーザが所有するアカウントの妥当性検査に使用された認証機構を識別するための少なくとも1つの認証機構SIDとを生成して、生成された前記ユーザSIDと生成された前記少なくとも1つの認証機構SIDとを含むアクセストークンであって、前記ユーザが属しているプロセスに永続的に付随する少なくとも1つのアクセストークンを生成する、複数の認証機構と、
各アクセス制御エントリが各リソースについて各SIDによるアクセスを許可するかに関する情報を含む、少なくとも1つのアクセス制御エントリを含むアクセス制御リストと、
少なくとも1つのアクセス制御されるリソースと、
前記アクセストークン内の前記ユーザSIDおよび前記認証機構SIDと、前記アクセス制御リストに含まれる前記アクセス制御エントリとに基づいて、前記ユーザがアクセスを望む前記リソースへのアクセスを選択的に制御するように、動作可能に構成されたロジックと
を備え、
前記ロジックは、
前記アクセストークン内の前記ユーザSIDおよび前記認証機構SIDを用いて、前記アクセス制御リストを検索し、
前記ユーザSIDおよび前記認証機構SIDが、前記アクセス制御リスト内の前記少なくとも1つのアクセス制御エントリと一致するか判定し、
前記アクセス制御エントリの情報に従って前記リソースへのアクセスを許可するか判定する
ようにさらに構成されることを特徴とする装置。 - 前記複数の認証機構は、使用する暗号鍵の長さが異なる認証機構を含むことを特徴とする請求項11に記載の装置。
- 前記ロジックは、前記ユーザSIDおよび前記認証機構SIDが、前記アクセス制御リスト内の前記少なくとも1つのアクセス制御エントリと一致すると判断された場合は、前記リソースへのアクセスを許可するようにさらに構成されることを特徴とする請求項11に記載の装置。
- 前記ロジックは、前記ユーザSIDまたは前記認証機構SIDが、前記アクセス制御リスト内の拒絶されるSIDと一致すると判断された場合は、前記リソースへのアクセスを許可しないようにさらに構成されることを特徴とする請求項11に記載の装置。
- 前記ロジックは、前記ユーザSIDおよび前記認証機構SIDの少なくとも1つが、前記アクセス制御リスト内の前記少なくとも1つのアクセス制御エントリと一致しないと判断された場合は、前記リソースへのアクセスを許可しないようにさらに構成されることを特徴とする請求項11に記載の装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/846,175 US7305701B2 (en) | 2001-04-30 | 2001-04-30 | Methods and arrangements for controlling access to resources based on authentication method |
| US09/846,175 | 2001-04-30 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2003030149A JP2003030149A (ja) | 2003-01-31 |
| JP2003030149A5 JP2003030149A5 (ja) | 2005-09-29 |
| JP4772256B2 true JP4772256B2 (ja) | 2011-09-14 |
Family
ID=25297148
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002129343A Expired - Fee Related JP4772256B2 (ja) | 2001-04-30 | 2002-04-30 | 認証方法に基づいてリソースへのアクセスを制御するための方法および装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7305701B2 (ja) |
| EP (1) | EP1255179B1 (ja) |
| JP (1) | JP4772256B2 (ja) |
| AT (1) | ATE334438T1 (ja) |
| AU (1) | AU785250B2 (ja) |
| DE (1) | DE60213314T2 (ja) |
Families Citing this family (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7035922B2 (en) * | 2001-11-27 | 2006-04-25 | Microsoft Corporation | Non-invasive latency monitoring in a store-and-forward replication system |
| US7636937B1 (en) * | 2002-01-11 | 2009-12-22 | Cisco Technology, Inc. | Method and apparatus for comparing access control lists for configuring a security policy on a network |
| JP2003304523A (ja) * | 2002-02-08 | 2003-10-24 | Ntt Docomo Inc | 情報配信システム、情報配信方法、情報配信サーバ、コンテンツ配信サーバ及び端末 |
| US7367044B2 (en) * | 2002-06-14 | 2008-04-29 | Clink Systems, Ltd. | System and method for network operation |
| US20040054790A1 (en) * | 2002-09-12 | 2004-03-18 | International Business Machines Corporation | Management of security objects controlling access to resources |
| US8117639B2 (en) | 2002-10-10 | 2012-02-14 | Rocksteady Technologies, Llc | System and method for providing access control |
| US7587512B2 (en) | 2002-10-16 | 2009-09-08 | Eric White | System and method for dynamic bandwidth provisioning |
| DE10249801B3 (de) * | 2002-10-24 | 2004-05-06 | Giesecke & Devrient Gmbh | Verfahren zum Ausführen einer gesicherten elektronischen Transaktion unter Verwendung eines tragbaren Datenträgers |
| JP2004157892A (ja) | 2002-11-08 | 2004-06-03 | Hitachi Ltd | 計算機システム、記憶装置、アクセス管理方法及びプログラム |
| AU2003293125A1 (en) * | 2002-11-27 | 2004-06-23 | Rsa Security Inc | Identity authentication system and method |
| JP4639033B2 (ja) * | 2003-01-29 | 2011-02-23 | キヤノン株式会社 | 認証装置及び認証方法と認証プログラム |
| DE10307995B4 (de) * | 2003-02-25 | 2008-02-07 | Siemens Ag | Verfahren zum Signieren von Daten |
| US7480798B2 (en) * | 2003-06-05 | 2009-01-20 | International Business Machines Corporation | System and method for representing multiple security groups as a single data object |
| US7624438B2 (en) | 2003-08-20 | 2009-11-24 | Eric White | System and method for providing a secure connection between networked computers |
| GB2408121B (en) * | 2003-11-06 | 2006-03-15 | Intuwave Ltd | Secure multi-entity access to resources on mobile telephones |
| US8700533B2 (en) * | 2003-12-04 | 2014-04-15 | Black Duck Software, Inc. | Authenticating licenses for legally-protectable content based on license profiles and content identifiers |
| US9489687B2 (en) * | 2003-12-04 | 2016-11-08 | Black Duck Software, Inc. | Methods and systems for managing software development |
| US7552093B2 (en) * | 2003-12-04 | 2009-06-23 | Black Duck Software, Inc. | Resolving license dependencies for aggregations of legally-protectable content |
| JP4665406B2 (ja) | 2004-02-23 | 2011-04-06 | 日本電気株式会社 | アクセス制御管理方法、アクセス制御管理システムおよびアクセス制御管理機能付き端末装置 |
| DE602004010879T2 (de) * | 2004-03-01 | 2008-12-11 | Hitachi, Ltd. | System zur Befehlsverwaltung durch einen Verwaltungsagent |
| US7665130B2 (en) | 2004-03-10 | 2010-02-16 | Eric White | System and method for double-capture/double-redirect to a different location |
| US7509625B2 (en) | 2004-03-10 | 2009-03-24 | Eric White | System and method for comprehensive code generation for system management |
| US7610621B2 (en) | 2004-03-10 | 2009-10-27 | Eric White | System and method for behavior-based firewall modeling |
| US8543710B2 (en) | 2004-03-10 | 2013-09-24 | Rpx Corporation | Method and system for controlling network access |
| US7590728B2 (en) | 2004-03-10 | 2009-09-15 | Eric White | System and method for detection of aberrant network behavior by clients of a network access gateway |
| US8219807B1 (en) * | 2004-12-17 | 2012-07-10 | Novell, Inc. | Fine grained access control for linux services |
| US8271785B1 (en) | 2004-12-20 | 2012-09-18 | Novell, Inc. | Synthesized root privileges |
| US8214398B1 (en) | 2005-02-16 | 2012-07-03 | Emc Corporation | Role based access controls |
| US7797245B2 (en) * | 2005-03-18 | 2010-09-14 | Black Duck Software, Inc. | Methods and systems for identifying an area of interest in protectable content |
| US8887233B2 (en) * | 2005-04-08 | 2014-11-11 | Netapp, Inc. | Cookie-based acceleration of an authentication protocol |
| US20060253534A1 (en) * | 2005-05-09 | 2006-11-09 | Milheron Patrick M | Symmetric networking to support flexible teaching |
| US8074214B2 (en) | 2005-05-19 | 2011-12-06 | Oracle International Corporation | System for creating a customized software installation on demand |
| US8352935B2 (en) | 2005-05-19 | 2013-01-08 | Novell, Inc. | System for creating a customized software distribution based on user requirements |
| US7155213B1 (en) | 2005-09-16 | 2006-12-26 | James R. Almeda | Remote control system |
| US8676973B2 (en) * | 2006-03-07 | 2014-03-18 | Novell Intellectual Property Holdings, Inc. | Light-weight multi-user browser |
| US7730480B2 (en) * | 2006-08-22 | 2010-06-01 | Novell, Inc. | System and method for creating a pattern installation by cloning software installed another computer |
| US7681045B2 (en) * | 2006-10-12 | 2010-03-16 | Black Duck Software, Inc. | Software algorithm identification |
| US8010803B2 (en) | 2006-10-12 | 2011-08-30 | Black Duck Software, Inc. | Methods and apparatus for automated export compliance |
| US8850553B2 (en) * | 2008-09-12 | 2014-09-30 | Microsoft Corporation | Service binding |
| US20100299738A1 (en) * | 2009-05-19 | 2010-11-25 | Microsoft Corporation | Claims-based authorization at an identity provider |
| US8312157B2 (en) * | 2009-07-16 | 2012-11-13 | Palo Alto Research Center Incorporated | Implicit authentication |
| US8776204B2 (en) * | 2010-03-12 | 2014-07-08 | Alcatel Lucent | Secure dynamic authority delegation |
| US9582673B2 (en) | 2010-09-27 | 2017-02-28 | Microsoft Technology Licensing, Llc | Separation of duties checks from entitlement sets |
| US20120227098A1 (en) * | 2011-03-03 | 2012-09-06 | Microsoft Corporation | Sharing user id between operating system and application |
| US9183361B2 (en) | 2011-09-12 | 2015-11-10 | Microsoft Technology Licensing, Llc | Resource access authorization |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5414844A (en) * | 1990-05-24 | 1995-05-09 | International Business Machines Corporation | Method and system for controlling public access to a plurality of data objects within a data processing system |
| US6163383A (en) * | 1996-04-17 | 2000-12-19 | Fuji Xerox Co., Ltd. | Method for providing print output security in a multinetwork environment |
| US5787177A (en) * | 1996-08-01 | 1998-07-28 | Harris Corporation | Integrated network security access control system |
| US6052468A (en) * | 1998-01-15 | 2000-04-18 | Dew Engineering And Development Limited | Method of securing a cryptographic key |
| US6687823B1 (en) * | 1999-05-05 | 2004-02-03 | Sun Microsystems, Inc. | Cryptographic authorization with prioritized and weighted authentication |
| US6711681B1 (en) * | 1999-05-05 | 2004-03-23 | Sun Microsystems, Inc. | Cryptographic authorization with prioritized authentication |
| US6915426B1 (en) * | 1999-07-23 | 2005-07-05 | Networks Associates Technology, Inc. | System and method for enabling authentication at different authentication strength-performance levels |
| US6609198B1 (en) * | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| US7086085B1 (en) * | 2000-04-11 | 2006-08-01 | Bruce E Brown | Variable trust levels for authentication |
| US6959336B2 (en) * | 2001-04-07 | 2005-10-25 | Secure Data In Motion, Inc. | Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets |
-
2001
- 2001-04-30 US US09/846,175 patent/US7305701B2/en not_active Expired - Fee Related
-
2002
- 2002-04-08 AU AU32994/02A patent/AU785250B2/en not_active Ceased
- 2002-04-15 DE DE60213314T patent/DE60213314T2/de not_active Expired - Lifetime
- 2002-04-15 EP EP02008495A patent/EP1255179B1/en not_active Expired - Lifetime
- 2002-04-15 AT AT02008495T patent/ATE334438T1/de not_active IP Right Cessation
- 2002-04-30 JP JP2002129343A patent/JP4772256B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| AU785250B2 (en) | 2006-12-07 |
| JP2003030149A (ja) | 2003-01-31 |
| EP1255179A3 (en) | 2004-08-11 |
| US7305701B2 (en) | 2007-12-04 |
| DE60213314T2 (de) | 2007-04-19 |
| AU3299402A (en) | 2002-10-31 |
| EP1255179A2 (en) | 2002-11-06 |
| DE60213314D1 (de) | 2006-09-07 |
| ATE334438T1 (de) | 2006-08-15 |
| US20020162030A1 (en) | 2002-10-31 |
| EP1255179B1 (en) | 2006-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4772256B2 (ja) | 認証方法に基づいてリソースへのアクセスを制御するための方法および装置 | |
| JP6426189B2 (ja) | 生体認証プロトコル標準のためのシステムおよび方法 | |
| KR100920871B1 (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템 | |
| US9246887B1 (en) | Method and apparatus for securing confidential data for a user in a computer | |
| US20150039896A1 (en) | System and method for pool-based identity generation and use for service access | |
| Emam | Additional authentication and authorization using registered email-ID for cloud computing | |
| EP2186254A2 (en) | Transferable restricted security tokens | |
| JPH0695947A (ja) | コンピュータシステム上の別名の検出方法、分散型コンピュータシステム及びその作動方法、及び別名の検出を実行する分散型コンピュータシステム | |
| US11063930B1 (en) | Resource access provisioning for on-premises network client devices | |
| US7836310B1 (en) | Security system that uses indirect password-based encryption | |
| Kizza | Access control and authorization | |
| Hasan et al. | Please permit me: Stateless delegated authorization in mashups | |
| KR100545676B1 (ko) | 사용자 단말기의 상태 정보를 이용한 인증 방법 및 시스템 | |
| Sagar et al. | Information security: safeguarding resources and building trust | |
| Alsmadi | Identity management | |
| Naito et al. | Multiple-tiered security hierarchy for web applications using central authentication and authorization service | |
| Rao et al. | Access controls | |
| Rawal et al. | Manage the Identification and Authentication of People, Devices, and Services | |
| US20230370473A1 (en) | Policy scope management | |
| Gkotsis | Creating a Windows Active Directory Lab and Performing Simulated Attacks | |
| Piger et al. | A comprehensive approach to self-restricted delegation of rights in grids | |
| Keil | Social Security | |
| Kizza et al. | Access control, authentication, and authorization | |
| Anand | Role of IAM in an Organization | |
| Vishnoi | Authentication Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050427 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050427 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050427 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080930 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20081224 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20090105 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090202 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090612 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091013 |
|
| RD13 | Notification of appointment of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7433 Effective date: 20091014 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20091014 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20091106 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20091127 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110622 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140701 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4772256 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |