JP6034368B2 - 認証情報処理 - Google Patents

認証情報処理 Download PDF

Info

Publication number
JP6034368B2
JP6034368B2 JP2014506730A JP2014506730A JP6034368B2 JP 6034368 B2 JP6034368 B2 JP 6034368B2 JP 2014506730 A JP2014506730 A JP 2014506730A JP 2014506730 A JP2014506730 A JP 2014506730A JP 6034368 B2 JP6034368 B2 JP 6034368B2
Authority
JP
Japan
Prior art keywords
authentication
information
node
circulation
authentication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014506730A
Other languages
English (en)
Other versions
JP2014513351A (ja
Inventor
リ、イャン
チョウ、ハオフォン
ウェイ、ウェイ
チェン、カイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2014513351A publication Critical patent/JP2014513351A/ja
Application granted granted Critical
Publication of JP6034368B2 publication Critical patent/JP6034368B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Description

本発明は一般的にデータを処理するための方法およびシステムに関し、より特定的には、本発明は認証情報を処理するための方法およびシステムに関する。
認証技術は、あるユーザまたはその他のエンティティが特定のシステムまたはリソースへのアクセスを許可されているかどうかを判断するために用いられる。認証技術は、さまざまなコンピュータ・アプリケーションに広く適用されている。パスワードに基づく認証はきわめて一般的な技術である。パスワード認証において、ユーザはユーザ・アカウントおよびパスワードを含むログイン要求を送り、サーバ側はこのログイン要求を認証ノードに転送し、認証ノードはノードに保存される認証情報に従ってログイン要求内の認証情報を認証する。
先行技術における認証情報は通常、1つまたはそれ以上の固定された認証ノードに保存される。認証ノードはハッカーに攻撃されやすいため、認証ノードを1つしか有さない認証システムはセキュリティが低い。ライトウェイト・ディレクトリ・アクセス・プロトコル(Lightweight Directory Access Protocol:LDAP)は、オンライン・ディレクトリ・サービスにアクセスするためのプロトコルである。分散LDAPシステムが認証に広く適用されることによって、複数の認証ノードが相互接続されて認証クラスタを形成することが可能になっている。パフォーマンスの最適化および災害復旧を考慮して、認証情報は複数の認証ノードに分散される。たとえば、ある会社に100名の従業員がおり、従業員番号No.1〜No.100を有していると仮定する。ユーザがその会社のイントラネットにログインするための認証情報は、5つの認証ノードに分散されている。ログイン要求が時宜を得た応答を得ることを可能にし、かつ災害または機械の誤動作によるデータ損失を防ぐために、100名の従業員の認証情報は5つの認証ノードに冗長に保存されてもよい。認証情報の分散結果は下の表1のとおりであってもよい。
Figure 0006034368
表1から分かるとおり、各従業員の認証情報は2つの異なる認証ノードに保存される。
本発明の発明者は、先行技術における各認証情報が1つまたはそれ以上の認証ノードに保存されることに気がついた。しかしながら、認証情報は一旦この1つまたはそれ以上の認証ノードに保存されると更新されることがなく、常時元の認証ノード(単数または複数)に保存される。したがって、このように認証情報を固定的に保存する態様はいくつかの潜在的なセキュリティの危険性を伴う。一旦ハッカーがこの1つまたはそれ以上の認証ノードに侵入すれば、ハッカーは対応する認証情報を手に入れるだろう。ある会社のイントラネットの認証情報が1つの認証ノードに集中している場合、ハッカーがその認証ノードに侵入すれば、ハッカーはすべての従業員の認証情報を永続的に得ることができる。もしある会社のイントラネットの認証情報が分散された態様で複数の国の複数の認証ノードに保存されていれば、ハッカーはその会社の本社がある場所の認証ノードを攻撃することによって、会社の上級管理者の認証情報を永続的に得るだろう。つまり、認証情報を固定的に保存する態様は、ハッカーが認証情報を得て、得られた認証情報を永続的に使用する可能性を高くすることになる。
上記の問題を解決するために、本発明は認証情報処理技術を提案しており、この技術は認証情報を複数の認証ノードの間で循環させることによって、ハッカーが認証情報を永続的に得られないようにするものである。
特定的には、本発明は認証情報を処理するための方法を提供し、この認証情報は第1の認証ノードに保存されており、この方法は、認証情報の循環順序を定めるステップと、認証情報の循環トリガ条件を定めるステップと、循環トリガ条件を満たすことに応答して、循環順序に従って認証情報の少なくとも一部を第2の認証ノードに送信するステップとを含む。
本発明はさらに、認証情報を処理するためのシステムを提供し、この認証情報は第1の認証ノードに保存されており、このシステムは、認証情報の循環順序を定めるように構成された循環順序決定手段と、認証情報の循環トリガ条件を定めるように構成された循環トリガ条件決定手段と、循環トリガ条件を満たすことに応答して、循環順序に従って認証情報の少なくとも一部を第2の認証ノードに送信するように構成された送信手段とを含む。
本発明の局面に従うと、認証情報はアカウント情報および認証モジュール情報を含み、循環順序はアカウント情報の循環順序および認証モジュール情報の循環順序を含み、循環順序に従って認証情報の少なくとも一部を第2の認証ノードに送信するステップは、アカウント情報の循環順序に従ってアカウント情報を第2の認証ノードに送信するステップを含み、この方法はさらに、認証モジュール情報の循環順序に従って認証モジュール情報を第3の認証ノードに送信するステップを含む。
本発明の一局面に従うと、認証情報は、認証情報の有効期間を示すためのタイムスタンプ情報を含む。
本発明によって参照される添付の図面は単に本発明の典型的な実施形態を例示するためのものであり、本発明の範囲の限定と解釈されるべきではない。
本発明の実施を実現するために好適な例示的コンピューティングシステムのブロック図である。 本発明の認証情報処理方法の流れ図である。 本発明の実施形態に従って認証情報の循環順序を定めるステップの流れ図である。 図4Aは、本発明の実施形態に従う認証情報の概略図である。図4Bは、本発明の別の実施形態に従う認証情報の概略図である。 本発明の実施形態に従って認証要求をディスパッチするステップの流れ図である。 本発明の別の実施形態に従って認証要求をディスパッチするステップの流れ図である。 本発明の実施形態に従って認証要求を処理するステップの流れ図である。 図8Aは、本発明の実施形態に従って認証情報が循環される前の認証システムの概略図である。図8Bは、本発明の実施形態に従って認証情報が循環された後の認証システムの概略図である。 図9Aは、本発明の別の実施形態に従って認証情報が循環される前の認証システムの概略図である。図9Bは、本発明の別の実施形態に従って認証情報が循環された後の認証システムの概略図である。 本発明の認証情報処理システムの流れ図である。
本明細書において用いられる用語は単に特定の実施形態を説明するためのものであって、本発明を限定することは意図されない。本明細書において用いられる単数形「a」、「an」および「the」は、状況が明らかに別様を示していない限り、複数形をも含むことが意図される。さらに、「含む(comprise)」という言葉が本明細書において用いられるとき、それは述べられる特徴、整数、ステップ、動作、ユニットもしくは構成要素、またはその組み合わせの存在を意味するが、1つまたはそれ以上の他の特徴、整数、ステップ、動作、ユニットもしくは構成要素またはその組み合わせ、またはそれらの組み合わせの存在または追加を排除するものではないことが知られるべきである。
請求項における機能的に定義された手段またはステップに対応する構造、材料、動作、およびそのすべての均等な代替物は、請求項において特定的に述べられるとおりにその他のユニットと組み合わせてその機能を実行するためのあらゆる構造、材料または動作を含むことが意図される。本発明の説明は例示および説明の目的のために提供されたものであり、網羅的なものでも、本発明を記載される形に限定するものでもない。本発明の範囲および趣旨から逸脱することなく多くの修正および変更が行われ得ることが当業者には明らかである。実施形態の選択および記載は、本発明の原理および実際の適用をより良く解釈することで、本発明が所望の特定の目的に好適なさまざまな変更を伴うさまざまな実施を有し得ることを当業者が知ることが意図されるものである。
本発明の多くの局面がシステム、方法またはコンピュータ・プログラム製品として具現化され得ることは当業者に公知である。したがって本発明の多くの局面は、特定的に以下のような形を取ってもよい。すなわち、完全にハードウェアの形、完全にソフトウェア(ファームウェア、常駐ソフトウェア、マイクロコードなどを含む)の形、またはソフトウェア部分およびハードウェア部分の組み合わせであり、本明細書においてこれは一般的に「回路」、「モジュール」または「システム」と呼ばれる。さらに、本発明の多くの局面は、コンピュータ読取り可能プログラム・コードが含まれる1つまたはそれ以上のコンピュータ読取り可能媒体において具現化されるコンピュータ・プログラム製品の形を取ってもよい。
1つまたはそれ以上のコンピュータ読取り可能媒体のあらゆる組み合わせが用いられてもよい。コンピュータ読取り可能媒体は、コンピュータ読取り可能信号媒体またはコンピュータ読取り可能記憶媒体であってもよい。コンピュータ読取り可能記憶媒体は、たとえば電子、磁気、光学、電磁気、赤外、または半導体のシステム、装置、デバイス、またはそのあらゆる組み合わせなどであってもよいがそれに限定されない。コンピュータ読取り可能記憶媒体のより特定的な例(非網羅的なリスト)は以下を含む。すなわち、1つまたはそれ以上のワイヤを有する電気的接続、ポータブル・コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(random access memory:RAM)、リード・オンリ・メモリ(read−only memory:ROM)、消去可能プログラマブル・リード・オンリ・メモリ(erasable programmable read−only memory)(EPROMまたはフラッシュ・メモリ)、光ファイバ、ポータブル・コンパクト・ディスク・リード・オンリ・メモリ(compact disc read−only memory:CD−ROM)、光学記憶装置、磁気記憶装置、またはそのあらゆる好適な組み合わせである。本文書の状況において、コンピュータ読取り可能記憶媒体は、命令実行システム、装置またはデバイスによる使用、またはそれに関連する使用のためのプログラムを含有または保存するあらゆる有形の媒体であってもよい。
コンピュータ読取り可能信号媒体は、媒体内で具現化されて、ベースバンド内を伝播されるかまたは搬送波の部分として伝播されるコンピュータ読取り可能プログラム・コードを有するデータ信号を含んでもよい。この伝播信号は、電磁気信号、光学信号、またはそのあらゆる好適な組み合わせを含むがそれに限定されないさまざまな形を取ってもよい。コンピュータ読取り可能信号媒体は、コンピュータ読取り可能記憶媒体ではないが、命令実行システム、装置またはデバイスによる使用、またはそれに関連する使用のためのプログラムを送信、伝播または移送できるあらゆるコンピュータ読取り可能媒体であってもよい。コンピュータ読取り可能媒体に含まれるコンピュータ・プログラム・コードは、ワイヤレス、ケーブル、光ファイバ・ケーブル、RF、またはそのあらゆる好適な組み合わせを含むがそれに限定されないあらゆる適切な媒体によって送信されてもよい。
コンピュータ読取り可能媒体に含まれるコンピュータ・プログラム・コードは、ワイヤレス、ケーブル、光ファイバ・ケーブル、RF、またはそのあらゆる好適な組み合わせを含むがそれに限定されないあらゆる適切な媒体によって送信されてもよい。
本発明の動作を行うためのコンピュータ・プログラム・コードは、オブジェクト指向プログラミング言語、たとえばJava(R)、Smalltalk(R)、C++など、および従来の手続き型プログラミング言語、たとえば「C」プログラミング言語または類似のプログラミング言語などを含む、1つまたはそれ以上のプログラミング言語のあらゆる組み合わせで書かれていてもよい。プログラム・コードは、すべてがユーザのコンピュータで実行されてもよいし、スタンド・アロン・ソフトウェア・パッケージとして部分的にユーザのコンピュータで実行されてもよいし、一部がユーザのコンピュータで、一部がリモート・コンピュータで実行されてもよいし、すべてがリモート・コンピュータまたはサーバで実行されてもよい。後者のシナリオにおいて、リモート・コンピュータは、ローカル・エリア・ネットワーク(local area network:LAN)または広域ネットワーク(wide area network:WAN)を含むあらゆるタイプのネットワークを通じてユーザのコンピュータに接続されてもよいし、(たとえば、インターネット・サービス・プロバイダを用いてインターネットを通じて)外部コンピュータへの接続が行われてもよい。
以下においては、本発明の実施形態に従う方法、装置(システム)およびコンピュータ・プログラム製品の流れ図もしくはブロック図またはその両方を参照して、本発明のさまざまな局面が説明される。流れ図もしくはブロック図またはその両方の各ブロック、および流れ図もしくはブロック図またはその両方におけるブロックの組み合わせは、コンピュータ・プログラム命令によって実現され得ることが理解されるべきである。これらのコンピュータ・プログラム命令が、汎用コンピュータもしくは特定目的のコンピュータのプロセッサ、またはマシンを生成するためのその他のプログラマブル・データ処理装置に与えられることによって、そのコンピュータまたはその他のプログラマブル・データ処理装置を介して実行された命令が、流れ図もしくはブロック図またはその両方のブロックにおいて指定された機能/動作を実現するための手段を作成するようにしてもよい。
これらのコンピュータ・プログラム命令は、コンピュータまたはその他のプログラマブル・データ処理装置に特定の態様で機能するよう指示できるコンピュータ読取り可能媒体の中に保存されることによって、コンピュータ読取り可能媒体に保存された命令が、流れ図もしくはブロック図またはその両方のブロックにおいて指定された機能/動作を実現する命令手段を含む製造品を生成するようにしてもよい。
さらに、コンピュータ・プログラム命令は、コンピュータまたはその他のプログラマブル・データ処理装置にロードされて、そのコンピュータまたはその他のプログラマブル装置において一連の動作ステップを行わせることにより、コンピュータまたはその他のプログラマブル装置において実行される命令が、流れ図もしくはブロック図またはその両方のブロックにおいて指定された機能/動作を実現するためのプロセスを提供するような、コンピュータに実現されるプロセスを生成してもよい。
本発明の図面中の流れ図およびブロック図は、本発明のさまざまな実施形態に従うシステム、方法およびコンピュータ・プログラム製品の実現可能なアーキテクチャ、機能および動作を例示するものである。これに関して、流れ図またはブロック図における各ブロックは、特定の論理機能(単数または複数)を実現するための1つまたはそれ以上の実行可能な命令を含むモジュール、セグメント、またはコードの部分を表していてもよい。さらに、いくつかの代替的な実現においては、ブロック中に示される機能が図面に示される以外の順序で起こることがあることに留意すべきである。たとえば、連続して示される2つのブロックは、伴われる機能に依存して、実際には実質的に同時に実行されてもよいし、それらのブロックがときには逆の順序で実行されてもよい。さらに、ブロック図もしくは流れ図またはその両方の各ブロック、およびブロック図もしくは流れ図またはその両方のブロックの組み合わせは、指定された機能もしくは動作を行う特定目的のハードウェアに基づくシステム、または特定目的のハードウェアとコンピュータ命令との組み合わせによって実現され得ることが留意される。
図1は、本発明の実施を実現するために好適な例示的コンピューティングシステムのブロック図を示す。図示されるとおり、コンピュータ・システム100は、CPU(中央処理ユニット(central processing unit))101と、RAM(ランダム・アクセス・メモリ)102と、ROM(リード・オンリ・メモリ)103と、システム・バス104と、ハード・ディスク・コントローラ105と、キーボード・コントローラ106と、直列インタフェース・コントローラ107と、並列インタフェース・コントローラ108と、ディスプレイ・コントローラ109と、ハード・ディスク110と、キーボード111と、直列周辺装置112と、並列周辺装置113と、ディスプレイ114とを含む。これらの構成要素のうち、システム・バス104に結合されているのはCPU101と、RAM102と、ROM103と、ハード・ディスク・コントローラ105と、キーボード・コントローラ106と、直列インタフェース・コントローラ107と、並列インタフェース・コントローラ108と、ディスプレイ・コントローラ109とである。ハード・ディスク110はハード・ディスク・コントローラ105に結合されており、キーボード111はキーボード・コントローラ106に結合されており、直列周辺装置112は直列インタフェース・コントローラ107に結合されており、並列周辺装置113は並列インタフェース・コントローラ108に結合されており、ディスプレイ114はディスプレイ・コントローラ109に結合されている。図1の構造ブロック図は例示の目的のためにのみ示されるものであって、本発明の範囲を限定するものではないことが理解されるべきである。場合によっては、特定の状況によっていくつかのデバイスが追加または除去されてもよい。
図2は、本発明の認証情報処理方法の流れ図を示す。図2に示される認証情報処理方法における認証情報は、第1の認証ノードに保存される。本発明の実施形態に従うと、認証情報は、たとえばアカウントID、個人識別番号(personal identification number)PINなどのアカウント情報を含む。アカウントIDはたとえばユーザ名、eメール、ナンバープレートの番号などのあらゆるアカウントIDであってもよく、識別番号はたとえばパスワードおよびID番号などのあらゆる識別番号であってもよい。図4Aは本発明の実施形態に従う認証情報の概略図を示しており、ここでの認証情報はアカウント情報Acc Aを含む。もしこのアカウント情報がリストとして保存されていれば、そのリストは以下のとおりに示されてもよい。
Figure 0006034368
本発明の別の実施形態に従うと、認証情報はアカウント情報および認証モジュール情報を含む。図4Bは本発明の別の実施形態に従う認証情報の概略図を示しており、ここでの認証情報はアカウント情報Acc Aおよび認証モジュール情報Mod Aを含む。IDおよびPINといった情報に加えて、アカウント情報はさらに認証モジュール・タグを含む。認証モジュール情報は認証モジュール・タグおよび暗号化アルゴリズムを含む。認証モジュール・タグは、アカウント情報と暗号化アルゴリズムとの間のブリッジである。一般的に、PINは暗号文として認証ノードに保存され、IDは暗号文として認証ノードに保存されてもよいし、プレーン・テキストとして認証ノードに保存されてもよいことが当業者に公知である。プレーン・テキストから暗号文への変換は暗号化アルゴリズムによって実現される。異なるアカウント情報は同一の暗号化アルゴリズムを用いてもよいし、異なる暗号化アルゴリズムを用いてもよい。異なるアカウント情報が同一の暗号化アルゴリズムを用いるときは、認証ノードに認証モジュール・タグを保存する必要はない。異なるアカウント情報が異なる暗号化アルゴリズムを用いるときは、認証情報における異なる暗号化アルゴリズムを区別する必要がある。簡単な実施の1つは、認証ノード内のアカウントIDに対応する認証モジュール・タグを保存することによって、対応する暗号化アルゴリズムを識別することである。ここに2つの暗号化アルゴリズムがあって、タグ=0は第1の暗号化アルゴリズムが適用されることを示し、タグ=1は第2の暗号化アルゴリズムが適用されることを示すとすれば、本実施形態におけるアカウント情報は下の表3のとおりに示され得る。
Figure 0006034368
本実施形態における認証モジュール情報は、下の表4のとおりに示されてもよい。
Figure 0006034368
表3および表4から、あるアカウントに適用可能な暗号化アルゴリズムを定めることができる。
上記実施形態の変形として、タグの数が暗号化アルゴリズムの数よりも多くなるように設定してもよく、それによってたとえ認証ノードがハッカーに攻撃されても、どの暗号化アルゴリズムが用いられているかをハッカーが推測することが困難となることによって、システム・セキュリティを高めることができる。このアカウント情報は下の表5のとおりに示されてもよく、認証モジュール情報は下の表6のとおりに示されてもよい。
Figure 0006034368
Figure 0006034368
アカウント情報を異なるノードに分散できる機構と同様にして、認証モジュール情報も異なる認証ノードに分散できる。
本発明は、認証情報の記憶形式に対するいかなる特定の限定も有さない。記憶形式はプレーン・テキスト・ファイル(CVSファイルなど)、データベース、リスト、またはディレクトリ・ツリー(LDAPおよびNIS(ネットワーク情報サービス(Network Information Service))ディレクトリ・ツリーなど)であってもよい。
図2に戻ると、ステップ201において、認証情報の循環順序が定められる。循環順序は少なくとも、ある認証ノードがそこに保存された認証情報をどの認証ノードに送信するかを記述するものである。本発明の実施形態に従うと、循環順序は循環前(例、循環の1日前または1時間前など)に時間的に定められる。循環順序を時間的に定めることはシステム・セキュリティを高め得る。なぜなら、ノードの認証情報がどこに循環されるかをハッカーが定められなくなるからである。
本発明の別の実施形態に従うと、循環順序は循環前の特定の期間内に定められる(例、循環の1週間前もしくは1ヵ月前、または前の循環の直後に次の循環の循環順序が定められるなど)。こうした実施形態においては、ある期間だけ先立って循環順序が定められるため、循環前に循環順序を定めることによってもたらされるオーバヘッドが節減される。
認証情報がアカウント情報および認証モジュール情報を含むとき、循環順序はさらに、アカウント情報の循環順序および認証モジュール情報の循環順序を含んでもよい。アカウント情報の循環順序および認証モジュール情報の循環順序は、同じであっても異なっていてもよい。アカウント情報の循環順序と認証モジュール情報の循環順序とが異なる場合には、アカウント情報が循環される先の認証ノードと、認証モジュール情報が循環される先の認証ノードとが異なることがある。たとえば、アカウント情報は第2の認証ノードに送信されてもよく、一方で認証モジュール情報は第3の認証ノードに送信されてもよい。
ステップ203において、認証情報の循環トリガ条件が定められる。循環トリガ条件は、いつ、またはどの条件下で循環が開始されるかを記述するものである。一般的な観点から、循環トリガ条件は静的トリガ条件であっても動的トリガ条件であってもよい。静的トリガ条件は、予め定められた時間(例、3ヵ月後)に達することであってもよく、すなわち予め定められた期間ごとに認証情報の循環が行われる。本発明の実施形態に従うと、予め定められた期間は固定された期間(例、常に3ヵ月)であってもよい。本発明の別の実施形態に従うと、この特定の期間は継続的に調整されてもよい(例、第1の循環と第2の循環との間隔は3ヵ月であるが、第2の循環と第3の循環との間隔は2ヵ月である)。認証ノードのクロックが正確でかつ安定している限り、静的トリガ条件に従って認証情報の循環を行うことができるため、静的トリガ条件を用いるときの管理コストは低くなる。
別の実施形態において、循環トリガ条件は動的トリガ条件である。たとえば、認証ノードがハッカーに攻撃されたときに認証情報の循環がトリガされてもよい。さらに、たとえばシステム管理者が特定の条件に従ってあらゆるときに認証情報の循環をトリガしてもよい。加えて、ある認証ノードが頻繁にアクセスされるときには、その認証ノードへのアクセス数が特定の数に達したときに認証情報の循環がトリガされてもよい。さらに、ある認証ノードが常にビジー状態であるために何度も循環に加わらないときは、この認証ノード自身が認証情報の循環をトリガしてもよい。本発明はさらに他の動的トリガ条件を含んでもよい。さらに、本発明の動的条件は静的トリガ条件と同時に用いられてもよい。たとえば、静的トリガ条件は3ヵ月ごとに1回循環することであるが、2ヵ月目のある日にある認証ノードがハッカーに攻撃されたために認証情報の循環をトリガすることなどである。
特定の観点から、循環トリガ条件は、ノードがアイドル状態であるときに認証情報の循環を開始することを含む。たとえば、その認証ノードは通常夜間には頻繁にアクセスされることがなく、夜間に認証情報の循環を行うように選択されていてもよい。または、たとえばある認証ノードが予め定められた循環時間になおもビジー状態であれば、そのノードは循環プロセスに加わらないようにスキップされてもよい。さらに、たとえば予定循環時刻の前に各認証ノードのビジー状態が照会されてもよい。もしあるノードがビジー状態であれば、すべての認証ノードがアイドル状態になるまで循環開始時刻を遅らせてもよい。
ステップ205において、循環トリガ条件が満たされたことに応答して、認証情報の少なくとも一部が循環順序に従って送信される。たとえば、第1の認証ノードがそこに保存された認証情報を第2の認証ノードに送信することによって、第2の認証ノードはその認証情報に関係する認証要求を処理する。
図2におけるステップ201および203の順序は固定されていない。ステップ201はステップ203の前に行われても後に行われてもよいし、ステップ201および203が同時に行われてもよい。
図3は、本発明の実施形態に従って認証情報の循環順序を定めるステップの流れ図を示す。図3は、図2のステップ201のさらなる説明である。ステップ301において、各認証ノードはランダム数を生成する。ステップ303において、生成されたランダム数に従って指令ノード(commander node)が定められる。ステップ305において、指令ノードが循環順序を定める。
以下では、認証情報の循環順序を定めるプロセスを図8Aおよび図8Bとともに説明する。
図8Aは、本発明の実施形態に従って認証情報が循環される前の認証システムの概略図を示す。図8Aに示される認証システムは、それぞれノード1からノード5という5つの認証ノードを有する。本実施形態において、各認証情報の暗号化アルゴリズムは同じであると想定し、よって認証ノードに保存される認証情報はアカウント情報のみを含み、認証モジュール情報は含んでいない。本実施形態において、現在のノード1は認証情報Acc Aを保存し、ノード2は認証情報Acc Bを保存し、ノード4は認証情報Acc Cを保存していると想定する。
ステップ301において、各認証ノードは0から99までの範囲のランダム数を生成し、各認証ノードがランダム数を生成した結果は下の表7のとおりに示される。
Figure 0006034368
ステップ303において、各認証ノードによって生成されたランダム数に従って指令ノードが定められる。たとえば、最大のランダム数を生成したノードが指令ノードとして用いられてもよい。表7においては、ノード3が最大のランダム数を生成しているため、ノード3が指令ノードとなる。
次にステップ305において、指令ノード「ノード3」が循環順序を定める。ノード3は、一時的に1〜5の数からなる整数順序、たとえば5→3→4→1→2→5などを生成してもよい。この整数順序は次の循環プロセスの循環順序を記述するものであり、つまりもしノード5に認証情報があればそれはノード3に送信され、もしノード3に認証情報があればそれはノード4に送信され、もしノード4に認証情報があればそれはノード1に送信され、もしノード1に認証情報があればそれはノード2に送信され、もしノード2に認証情報があればそれはノード5に送信される。上記の規則から定められ得るとおり、図8AのAcc Aはノード2に送信され、Acc Bはノード5に送信され、Acc Cはノード1に送信される。図8Bは、本発明の実施形態に従って認証情報が循環された後の認証システムの概略図を示す。循環後、認証情報は新たな認証ノードに保存されており、認証情報に関係する認証要求も新たな認証ノードによって処理される。本発明における循環順序は、認証情報を有する1つの認証ノードから別の認証ノードへの送信の順序、たとえば5→3などを示してもよいし、複数の認証ノード間での認証情報の循環順序、たとえば5→3→4→1→2→5などを示してもよい。
本発明の別の実施形態に従うと、指令ノードを設定する必要はない。最初に、たとえば表7と同様に各認証ノードがランダム数を生成する。次いで、生成されたランダム数の大きさの順序に従って、たとえば3→2→4→5→1などと循環順序が定められる。もしノード3に認証情報があればそれはノード2に送信され、もしノード2に認証情報があればそれはノード4に送信され、もしノード4に認証情報があればそれはノード5に送信され、もしノード5に認証情報があればそれはノード1に送信され、もしノード1に認証情報があればそれはノード3に送信される。
本発明の別の実施形態に従うと、指令ノードを設定する必要はない。最初に各認証ノードがランダム数を生成し、次いで生成されたランダム数に対してモジュラス演算(modulus operation)が行われ、そのモジュラス演算の剰余の大きさの順序に従って循環順序が定められる。
本発明のさらなる実施形態に従うと、認証情報の循環を開始する認証ノードによってランダム順序が生成され、たとえばそのランダム順序は1〜5の5つの数で形成されており(例、31245)、この生成されたランダム順序に従って循環順序が3→1→2→4→5→3と定められる。つまり、本発明における循環順序の決定は、循環トリガ条件の決定に関連していてもよいことが分かる。異なる循環トリガ条件に対しては、異なる循環順序生成の態様が存在してもよい。本段落の上記の例において、循環トリガ条件が動的トリガ条件であるとき、循環順序は特定の認証ノードによって動的に定められてもよい。
本発明は上述の循環順序生成の態様に限定されることなく、もっと多くの循環順序生成の態様に拡張され得る。生成された循環順序をハッカーが得る可能性をさらに低くするために、認証情報の循環順序はランダム数によって定められてもよく、そのランダム数はある認証ノードによって生成されるランダム順序であってもよいし、複数のノードによって生成されるランダム数であってもよい。
図9Aは、本発明の別の実施形態に従って認証情報が循環される前の認証システムの概略図を示す。図9Aに示される実施形態において、認証情報のアカウント情報および対応する認証モジュール情報は、循環前は同じ認証ノードに保存されている(アカウント情報Acc Aおよび認証モジュール情報Mod Aはどちらも認証ノード「ノード1」に保存され、アカウント情報Acc Bおよび認証モジュール情報Mod Bはどちらも認証ノード「ノード2」に保存され、アカウント情報Acc Cおよび認証モジュール情報Mod Cはどちらも認証ノード「ノード4」に保存されている)が、循環後、アカウント情報および対応する認証モジュール情報は異なる認証ノードに保存される。図9Bは、本発明の別の実施形態に従って認証情報が循環された後の認証システムの概略図を示す。図9Bに示される実施形態において、認証ノード「ノード1」はアカウント情報Acc Cおよび認証モジュール情報Mod Aを保存し、認証ノード「ノード2」はアカウント情報Acc Aを保存し、認証ノード「ノード3」は認証モジュール情報Mod Bを保存し、認証ノード「ノード4」は認証モジュール情報Mod Cを保存し、認証ノード「ノード5」はアカウント情報Acc Bを保存している。
上に言及したとおり、異なるアカウント情報が異なる暗号化アルゴリズムを適用するときは、認証情報において異なるアルゴリズムを区別する必要がある。簡単な実装は、認証ノード内のアカウントに対応する認証モジュール・タグを保存することによって、対応する暗号化アルゴリズムを識別することであり、ここで認証モジュール情報の循環順序はアカウント情報の循環順序と同じであっても異なっていてもよい。認証モジュール情報の循環順序とアカウント情報の循環順序とが同じであれば、認証モジュール情報は対応するアカウント情報に永続的に結合される。認証モジュール情報の循環順序とアカウント情報の循環順序とが異なっていれば、これら2つは異なる認証ノードに保存されるかもしれず、アカウント情報および認証モジュール情報はその後それぞれ別の態様で循環してもよい。
本発明の実施形態に従うと、アカウント情報だけが循環されてもよく、認証モジュール情報は循環されなくてもよい。別の実施形態に従うと、認証モジュール情報だけが循環されてもよく、アカウント情報は循環されなくてもよい。
任意には、認証モジュール情報が循環されるときに、システム・セキュリティをさらに高めるために認証モジュール・タグ「タグ」が変更されてもよい。たとえば表3および表4のタグが変更されてもよく、タグ=0がタグ=3に変更され、タグ=1がタグ=4に変更されてもよい。変更後のアカウント情報および認証モジュール情報は、下の表8および表9のとおりに示される。
Figure 0006034368
Figure 0006034368
本発明の実施形態に従うと、認証情報は、認証情報の有効期間を示すためのタイムスタンプ情報をさらに含んでもよい。一例において、タイムスタンプ情報は「20110417、3」であり、これは認証情報が2011年4月17日にローカル認証ノードに循環されたことと、その有効期間が3ヵ月であることとを示す。すなわち、3ヵ月後には次の循環が行われる必要がある。別の例において、タイムスタンプ情報は「20110717」であり、これは認証情報が2011年7月17日より前まで有効であることを示す。さらに別の例において、タイムスタンプ情報は「20110417、有効」であり、これは認証情報が2011年4月17日にローカル認証ノードに循環されたことと、認証情報の「有効」状態ビットが「有効」であることとを示す。認証情報の循環が始まると、「有効」状態ビットは「無効」と設定される。本例は、循環をトリガするために動的トリガ条件を用いる解決策に対して好適である。もちろん、本発明はタイムスタンプ情報を表すために他の表現を用いることに関して限定されない。タイムスタンプ情報を用いる認証情報は、システム・セキュリティをさらに高め得る。ハッカーがある認証ノードを攻撃したとしても、彼/彼女は常時そのノード内の認証情報を用いることができるわけではない。
本発明の実施形態に従うと、循環期間に認証ノードの部分的な循環のみが行われる。たとえば、元々設定された循環時刻は午前2:00であるが、その循環時刻より前に、第2の認証ノードの実際のパフォーマンスが評価される。もしその評価によって第2の認証ノードがビジー状態であることが見出されれば、この循環プロセスは第2の認証ノードをスキップして、他のノード間で認証情報の循環を行ってもよい。さらに、認証ノードが複数の循環プロセスでスキップされることを回避するために、認証ノードが永遠に循環に加われなくなることを防ぐように認証ノードの実際のパフォーマンスを改訂してもよい。たとえば、実際のパフォーマンスの値は0から100の範囲のスコアであり、スコアが高いほどその認証ノードがビジー状態であることを示し、スコアが低いほどその認証ノードがアイドル状態であることを示す。このとき、実際のパフォーマンスを改訂した後の改訂パフォーマンスは下記のとおりであってもよい。
CP=RP−(W*T) 等式1
ここでCPは改訂後のパフォーマンススコアを表し、RPは認証ノードの実際のパフォーマンススコアを表し、Wは重みを表し、Tはこの認証ノードが循環に加わらなかった回数を表す。等式1から、認証ノードが循環に加わらなかった回数が増えるにつれて、改訂後のパフォーマンススコアが低くなることが分かる。改訂後のパフォーマンススコアが特定の閾値よりも低ければ、この認証ノードは認証情報の循環に加わらなければならない。等式1によって、ある認証ノードが常にビジー状態であるために常に認証情報の循環に加われないことが防止される。
もちろん本発明は、循環プロセスにおいてある認証ノードが常に無視されることを回避するために他のやり方を用いることを排除するものではなく、たとえば、どの認証ノードも連続2回認証情報の循環プロセスに加わらないことは認められないことが指定されてもよい。
図5は、本発明の実施形態に従って認証要求をディスパッチするステップの流れ図を示す。図5は図8Aおよび図8Bに対応している。図5に示される実施形態においては、認証情報はアカウント情報を含むが認証モジュール情報は含まないものと想定し、すなわちすべてのアカウント情報に同じ暗号化アルゴリズムが適用されるものとする。ステップ501において、認証要求が受け取られる。認証要求はクライアントからのものであってもよく、たとえば認証要求は、従業員が会社のイントラネットにログインするときに彼/彼女から送られるログイン要求からのものであってもよい。
ステップ503において、認証要求は対応する認証ノードにディスパッチされる。認証要求を対応する認証ノードにディスパッチするためのやり方は多数存在する。本発明の実施形態に従うと、認証ノードからなる認証ネットワークにおいて認証要求を一斉通信するためにマルチキャスティングが用いられてもよい。認証ネットワークにおける認証ノードのアドレスは、マルチキャスト・アドレス・セットを形成する。認証ネットワークに新たな認証ノードが加わると、その新たな認証ノードのネットワーク・アドレスもマルチキャスト・アドレス・セットに加わる。認証ネットワークにおいて認証要求を受け取った認証ノードは、そのノードに認証要求を満たす情報があるかどうかをチェックする。もし情報がなければ、応答は行われない。もし情報があれば、後続ステップが行われる。一例においては、ユーザがクライアントにおいてアカウントIDおよびパスワードPINを入力し、そのIDおよびPIN(またはPINの変更形)が認証ノードに送られ、認証ノードはそこに保存されたIDをチェックしてそこに認証要求を満たす情報があるかどうかを定めるものと想定する。その後、認証ノードはユーザが入力したPINに従ってそのユーザを認証する。
別の例においては、ユーザがクライアントにおいてアカウントIDおよびパスワードPINを入力し、IDのみが認証ノードに送られ、認証ノードがそこに保存されたIDをチェックしてそこに認証要求を満たす情報があることを定めたときに、認証ノードがさらにクライアントに接触してPINを得ることによって、後続プロセス・ステップを行うものと想定する。より複雑な例においては、認証ノードはPINを得るためにクライアントに接触する必要があるだけでなく、認証要求の後続処理を行うために特別な認証ノードにも接触する必要があり、たとえば認証ノードは政府機関のサーバに接触して、ユーザが入力したIDカード番号が正しいかどうかを定める必要がある。
上記では、マルチキャスティングによって認証要求を認証ノードにディスパッチするステップの詳細を説明した。以下では、ノード・ルータを用いて認証要求を対応する認証ノードにディスパッチするプロセスを説明する。ノード・ルータは、認証要求を処理されるべき対応の認証ノードにディスパッチする役割を担う。ノード・ルータは特別なノードが引き受けてもよいし、複数の認証ノードのうちの1つが引き受けてもよい。ノード・ルータはディスパッチ表を保存していてもよく、その表は下の表10のとおりに示される。
Figure 0006034368
表10の内容は、ユーザ名「ジェームズ」の認証情報が第1のノードに保存されていることを示す。したがってノード・ルータは「ジェームズ」に関係する認証要求を第1のノードに送信してもよい。もし認証ノードの認証情報が循環されれば、循環後にディスパッチ表が最新の認証情報記憶状態を反映するように更新される。たとえば、もしノード1の認証情報がノード2に循環されれば、ディスパッチ表は下の表11に示されるとおりに修正されてもよい。
Figure 0006034368
ここで図5に戻って、ステップ505において認証要求が処理される。ステップ505の詳細な内容は下にさらに詳細に説明される。ステップ507において、認証要求が認証に成功したか失敗したかを示すために認証結果が戻される。
図6は、本発明の別の実施形態に従って認証要求をディスパッチするステップの流れ図を示す。図6の実施形態は図9Aおよび図9Bの実施形態に対応する。図6に示される実施形態においては、認証情報がアカウント情報および認証モジュール情報を含むものと想定し、すなわち異なるアカウント情報には異なる暗号化アルゴリズムが適用されるものとする。ステップ601において、認証要求を受け取る。ステップ603において、認証要求に従ってその認証要求に対応するアカウント情報を得る。ステップ605において、認証要求内の認証モジュール・タグをチェックして、その認証モジュール・タグに対応する認証モジュール情報(例、暗号化アルゴリズム)が存在する認証ノードを定める。ステップ607において、その認証モジュール情報を含む認証ノードにアカウント情報および認証要求をディスパッチすることによって、その認証モジュール情報を含む認証ノードが認証要求を処理するようにする。ステップ609において、認証要求を処理する。ステップ609の詳細は下に詳細に説明される。ステップ611において、認証要求が成功したかどうかを定めるために認証結果を戻す。
図7は、本発明の実施形態に従って認証要求を処理するステップの流れ図を示す。図7の流れ図は、図5のステップ505および図6のステップ609のさらなる説明である。図8Aおよび図8Bに示される実施形態または図9Aおよび図9Bに示される実施形態のいずれにおいても、認証要求の処理は、認証情報を送信する際に休止されても休止されなくてもよい。認証要求の処理が休止されるとき、その認証要求は循環の終了後に処理されるべき新たな認証ノードに転送される。つまり、認証情報はカット(cut)によって元の認証ノードから新たな認証ノードへと送信されてもよく、元の認証ノードはもはや元の認証情報のコピーをセーブしない。認証要求の処理が休止されないときは、認証情報を送信する間も認証要求はまだ元の認証ノードによって処理されていてもよく、すべての認証情報が元の認証ノードから新たな認証ノードにコピーされた後に、新たな認証ノードがその認証要求を処理する。本実施形態において、認証情報はコピー・アンド・ペーストによって元の認証ノードから新たな認証ノードへと送信されてもよい。
特定的には、ステップ701において、認証ノードが認証情報を送信する期間であるかどうかが定められる。もしその認証ノードがちょうど認証情報を送信する期間内であれば、次いでステップ703において、認証要求の処理が休止される必要があるかどうかがさらに定められる。もし認証要求の処理が休止される必要があれば、次いでステップ705において、認証情報を送信する期間の終了後に認証要求が別の認証ノードにディスパッチされ、その別の認証ノードが認証要求を処理する。別の認証ノードにディスパッチする動作は、上述のマルチキャストの態様で達成されてもよいし、上述のノード・ルータに助けられてもよいし、認証ノードが解決されるべき認証要求を別の認証ノードに直接転送してもよい。ステップ703において、もし認証ノードに対するプロセスが休止される必要がないと定められれば、次いでステップ707において、認証ノードは認証要求の処理を達成する。ステップ701において、もし認証ノードが認証情報を送信する期間ではないと定められれば、次いで流れは直接ステップ707に進み、そこで認証ノードは認証要求を処理する。
図10は、本発明の認証情報処理システムの流れ図を示す。図10の認証情報処理システムは、循環順序決定手段と、循環トリガ条件決定手段と、送信手段とを含む。図10の認証情報処理システムにおいて、認証情報は第1の認証ノードに保存されている。図10の循環順序決定手段は、認証情報の循環順序を定めるように構成される。循環トリガ条件決定手段は、認証情報の循環トリガ条件を定めるように構成される。送信手段は、認証情報の少なくとも一部を第2の認証ノードに送信することによって、第2の認証ノードが、循環トリガ条件を満たすことに応答して、循環順序に従って認証情報に関係する認証要求を処理するように構成される。
本発明の実施形態に従うと、図10の認証情報はアカウント情報を含む。
本発明の別の実施形態に従うと、図10の認証情報はアカウント情報に加えて、認証モジュール情報をさらに含む。
本発明の実施形態に従うと、図10の循環順序はアカウント情報の循環順序および認証モジュール情報の循環順序を含む。加えて送信手段はさらに、アカウント情報を第2の認証ノードに送信し、認証モジュール情報を第3の認証ノードに送信するように構成される。
本発明の実施形態に従うと、循環トリガ条件は、特定の時間間隔の後に認証情報の循環を開始することを含む。
本発明の別の実施形態に従うと、循環トリガ条件は動的トリガ条件である。
本発明のさらに別の実施形態に従うと、循環トリガ条件は、ノードがアイドル状態であるときに認証情報の循環を開始することを含む。
別の実施形態に従うと、認証情報は、認証情報の有効期間を示すためのタイムスタンプを含む。
図10に示される認証情報処理システムにおけるモジュールの機能は、上記の認証情報処理方法の説明に詳細に記載されており、ここには繰り返さない。
本発明のさまざまな実施形態は、本発明の概要に述べられている利点および技術的解決策自体から推論され得る利点を含む多くの利点を提供し得る。しかしながら、ある実施形態がすべての利点を達成するかどうか、およびこうした利点が本質的な改善を構成すると考えられるかどうかは、本発明に対する限定ではない。一方で、上に言及したさまざまな実施は単なる例示の目的のためのものであって、当業者は本発明の実体から逸脱することなく上記の実施にさまざまな修正および変更を加えることができる。本発明の範囲は、添付の請求項によって全体的に定義される。

Claims (20)

  1. 認証情報を処理するための方法であって、前記認証情報は第1の認証ノードに保存されており、前記方法は、情報処理システムが、
    前記認証情報の循環順序を定めるステップと、
    前記認証情報に対する循環トリガ条件を定めるステップと、
    前記循環トリガ条件を満たすことに応答して、前記循環順序に従って前記認証情報の少なくとも一部を新たな認証ノードである第2の認証ノードにカット(cut)により送信するステップと
    を含む、方法。
  2. 前記認証情報は、アカウント情報および認証モジュール情報を含む、請求項1に記載の方法。
  3. 前記循環順序は、前記アカウント情報の循環順序および前記認証モジュール情報の循環順序を含み、
    前記送信するステップは、
    前記アカウント情報の前記循環順序に従って前記アカウント情報を前記第2の認証ノードにカット(cut)により送信するステップを含み、
    前記方法はさらに、
    前記認証モジュール情報の前記循環順序に従って前記認証モジュール情報を新たな認証ノードである第3の認証ノードにカット(cut)により送信するステップを含む、請求項2に記載の方法。
  4. 前記循環トリガ条件は、予め定められた時間に達することを含む、請求項1に記載の方法。
  5. 前記循環トリガ条件は動的トリガ条件である、請求項1に記載の方法。
  6. 前記循環トリガ条件は、前記第1の認証ノードがアイドル状態であるときに前記認証情報の循環を開始することを含む、請求項1から5のいずれか1項に記載の方法。
  7. 前記認証情報の前記循環順序を定めるステップは、前記認証情報の前記循環順序をランダムに定めるステップをさらに含む、請求項1に記載の方法。
  8. 前記第1の認証ノードは、前記認証情報の送信の際に、前記認証情報に関係する認証要求の前記処理を休止する、請求項1に記載の方法。
  9. 前記第1の認証ノードは、前記認証情報の送信の際に、前記認証情報に関係する認証要求の前記処理を休止しない、請求項1に記載の方法。
  10. 前記認証情報は、前記認証情報の有効期間を示すためのタイムスタンプ情報を含む、請求項1に記載の方法。
  11. 認証要求はマルチキャスティングによって複数の認証ノードにディスパッチされる、請求項1に記載の方法。
  12. 認証要求はノード・ルータを通じて第2の認証ノードにディスパッチされ、前記ノード・ルータは前記認証情報に対するディスパッチ表を保存する、請求項1に記載の方法。
  13. 認証情報を処理するためのシステムであって、前記認証情報は第1の認証ノードに保存されており、前記システムは、
    前記認証情報の循環順序を定めるように構成された循環順序決定手段と、
    前記認証情報の循環トリガ条件を定めるように構成された循環トリガ条件決定手段と、
    前記循環トリガ条件を満たすことに応答して、前記循環順序に従って前記認証情報の少なくとも一部を新たな認証ノードである第2の認証ノードにカット(cut)により送信するように構成された送信手段と
    を含む、システム。
  14. 前記認証情報は、アカウント情報および認証モジュール情報を含む、請求項13に記載のシステム。
  15. 前記循環順序は、前記アカウント情報の循環順序および前記認証モジュール情報の循環順序を含み、
    前記送信手段はさらに、前記アカウント情報の前記循環順序に従って前記アカウント情報を前記第2の認証ノードにカット(cut)により送信し、かつ前記認証モジュール情報の前記循環順序に従って前記認証モジュール情報を新たな認証ノードである第3の認証ノードにカット(cut)により送信するように構成される、請求項14に記載のシステム。
  16. 前記循環トリガ条件は、予め定められた時間に達することを含む、請求項13に記載のシステム。
  17. 前記循環トリガ条件は動的トリガ条件である、請求項13に記載のシステム。
  18. 前記循環トリガ条件は、前記第1の認証ノードがアイドル状態であるときに前記認証情報の循環を開始することを含む、請求項13から17のいずれか1項に記載のシステム。
  19. 前記認証情報は、前記認証情報の有効期間を示すためのタイムスタンプ情報を含む、請求項13に記載のシステム。
  20. コンピュータ・プログラムであって、コンピュータにおいて前記プログラムが実行されるときに請求項1から12のいずれか1項に記載の前記方法ステップを行うように適合されたプログラム・コードを含む、コンピュータ・プログラム。
JP2014506730A 2011-04-26 2012-03-12 認証情報処理 Expired - Fee Related JP6034368B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201110104879.0A CN102761520B (zh) 2011-04-26 2011-04-26 认证信息处理方法和系统
CN201110104879.0 2011-04-26
PCT/CN2012/072183 WO2012146091A1 (en) 2011-04-26 2012-03-12 Authentication information processing

Publications (2)

Publication Number Publication Date
JP2014513351A JP2014513351A (ja) 2014-05-29
JP6034368B2 true JP6034368B2 (ja) 2016-11-30

Family

ID=47055842

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014506730A Expired - Fee Related JP6034368B2 (ja) 2011-04-26 2012-03-12 認証情報処理

Country Status (6)

Country Link
JP (1) JP6034368B2 (ja)
CN (1) CN102761520B (ja)
DE (1) DE112012000780B4 (ja)
GB (1) GB2505563B (ja)
SG (1) SG194072A1 (ja)
WO (1) WO2012146091A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB201811773D0 (en) 2018-07-19 2018-09-05 Nchain Holdings Ltd Computer-implemented system and method
CN110704823A (zh) * 2019-09-10 2020-01-17 平安科技(深圳)有限公司 数据请求方法、装置、存储介质及电子设备
CN112738045A (zh) * 2020-12-23 2021-04-30 中科三清科技有限公司 多源融合的身份认证系统和方法
CN113312656B (zh) * 2021-07-29 2022-04-15 阿里云计算有限公司 数据轮转方法、装置、设备及系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0668047A (ja) * 1992-08-13 1994-03-11 Nippon Telegr & Teleph Corp <Ntt> 分散システムのネットワーク利用共有記憶方法
JP3559471B2 (ja) * 1999-03-31 2004-09-02 株式会社東芝 設定情報サーバ装置、利用者計算機及び設定情報配送方法
US7322040B1 (en) * 2001-03-27 2008-01-22 Microsoft Corporation Authentication architecture
US7406597B2 (en) * 2004-10-29 2008-07-29 International Business Machines Corporation Methods for efficiently authenticating multiple objects based on access patterns
US7617257B2 (en) * 2004-12-03 2009-11-10 Oracle International Corporation System for persistent caching of LDAP metadata in a cluster LDAP server topology
US20070162862A1 (en) * 2005-07-06 2007-07-12 Gemini Mobile Technologies, Inc. Selective user monitoring in an online environment
JP2011008701A (ja) * 2009-06-29 2011-01-13 Sony Corp 情報処理サーバ、情報処理装置、および情報処理方法
US9390156B2 (en) * 2009-06-29 2016-07-12 International Business Machines Corporation Distributed directory environment using clustered LDAP servers

Also Published As

Publication number Publication date
JP2014513351A (ja) 2014-05-29
CN102761520A (zh) 2012-10-31
GB201313857D0 (en) 2013-09-18
DE112012000780B4 (de) 2014-07-31
SG194072A1 (en) 2013-11-29
GB2505563A (en) 2014-03-05
DE112012000780T5 (de) 2013-11-14
CN102761520B (zh) 2015-04-22
GB2505563B (en) 2015-07-01
WO2012146091A1 (en) 2012-11-01

Similar Documents

Publication Publication Date Title
US10454856B2 (en) Instant message processing method, apparatus, and system
US8474019B2 (en) Securing asynchronous client server transactions
US9699625B2 (en) Push notification middleware
US9043383B2 (en) Stream processing using a client-server architecture
US20110320582A1 (en) Online presence management system
US20170034091A1 (en) Dynamic attachment delivery in emails for advanced malicious content filtering
WO2015017481A1 (en) Messaging api over http protocol to establish context for data exchange
JP6034368B2 (ja) 認証情報処理
WO2016082756A1 (en) Application access authority control
TW202018645A (zh) 基於區塊鏈的資料處理方法、裝置和伺服器
CN110912990B (zh) 一种共识周期的更新方法及相关设备
CN112511316A (zh) 单点登录接入方法、装置、计算机设备及可读存储介质
EP3726446A1 (en) Method and device for sharing data across groups
US20150288770A1 (en) System and Computer Implemented Method of Personal Monitoring
WO2016155266A1 (zh) 虚拟桌面的数据共享方法和装置
US20210160180A1 (en) Secure preloading of serverless function sequences
US10257139B2 (en) Facilitating access to resource(s) identified by reference(s) in electronic communications
US11349926B1 (en) Protected smart contracts for managing internet of things devices
US10594657B1 (en) Methods for parameterized sub-policy evaluation for fine grain access control during a session and devices thereof
US10346352B2 (en) Providing notification based on destination of file operation
US9736256B2 (en) Implementing server push at server stack
US20230006841A1 (en) Machine-to-machine cryptographic material rotation
US20170201879A1 (en) Temporary Disposable Portable Identifier
JP6364262B2 (ja) サーバ、メッセージ処理システム、メッセージ処理方法及びプログラム
JP2005275481A (ja) ファイル管理システム、ファイル管理方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140905

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150818

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151112

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160426

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160818

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20160901

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161004

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161027

R150 Certificate of patent or registration of utility model

Ref document number: 6034368

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees