JPH06274431A - 異機種接続環境における認証および認可方法 - Google Patents
異機種接続環境における認証および認可方法Info
- Publication number
- JPH06274431A JPH06274431A JP5057442A JP5744293A JPH06274431A JP H06274431 A JPH06274431 A JP H06274431A JP 5057442 A JP5057442 A JP 5057442A JP 5744293 A JP5744293 A JP 5744293A JP H06274431 A JPH06274431 A JP H06274431A
- Authority
- JP
- Japan
- Prior art keywords
- user
- authorization
- server computer
- access
- user identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
(57)【要約】
【目的】処理の中断やサーバ計算機を意識することなし
に、サーバ計算機内にて生成されたファイルの機密保護
を維持しつつ、サーバ計算機に未登録のユーザのアクセ
スも許すことのできるユーザ認証およびアクセス認可方
法を提供する。 【構成】サーバ計算機に未登録のユーザには共用ユーザ
識別子を割当て、クライアントユーザ名とネットワーク
共通の認可属性とによりクライアントユーザ生成ファイ
ルの認可を判別する。また、サーバ計算機に登録済のユ
ーザは、サーバ計算機のユーザ識別子とクライアントユ
ーザ名との対応をあらかじめ登録しておき、クライアン
トユーザ名からサーバ計算機のユーザ識別子に変換し、
サーバ計算機のユーザ識別子と認可属性とを用いてサー
バ計算機上のローカルファイルに対する認可を判別す
る。
に、サーバ計算機内にて生成されたファイルの機密保護
を維持しつつ、サーバ計算機に未登録のユーザのアクセ
スも許すことのできるユーザ認証およびアクセス認可方
法を提供する。 【構成】サーバ計算機に未登録のユーザには共用ユーザ
識別子を割当て、クライアントユーザ名とネットワーク
共通の認可属性とによりクライアントユーザ生成ファイ
ルの認可を判別する。また、サーバ計算機に登録済のユ
ーザは、サーバ計算機のユーザ識別子とクライアントユ
ーザ名との対応をあらかじめ登録しておき、クライアン
トユーザ名からサーバ計算機のユーザ識別子に変換し、
サーバ計算機のユーザ識別子と認可属性とを用いてサー
バ計算機上のローカルファイルに対する認可を判別す
る。
Description
【0001】
【産業上の利用分野】本発明は、異機種接続環境におけ
るユーザの認証方法および共用資源に対するアクセスの
認可方法に関する。
るユーザの認証方法および共用資源に対するアクセスの
認可方法に関する。
【0002】
【従来の技術】一般的に、スタンドアロンの環境におい
ては、計算機にログインする時に各ユーザごとのユーザ
識別子とパスワードとを入力させ、入力したユーザ識別
子がアクセスする計算機に登録されていることと、入力
したユーザ識別子に対応するパスワードが正しいことと
によってユーザを認証している。また、ファイル単位
に、各ユーザまたはユーザグループなどのアクセス権限
やパスワードを設定することができ、各ユーザ等がアク
セスする際に設定されたアクセス権限やパスワードに従
って、当該ファイルにアクセスすることができるか否か
のアクセス認可を行っている。これにより機密保護を行
っている。
ては、計算機にログインする時に各ユーザごとのユーザ
識別子とパスワードとを入力させ、入力したユーザ識別
子がアクセスする計算機に登録されていることと、入力
したユーザ識別子に対応するパスワードが正しいことと
によってユーザを認証している。また、ファイル単位
に、各ユーザまたはユーザグループなどのアクセス権限
やパスワードを設定することができ、各ユーザ等がアク
セスする際に設定されたアクセス権限やパスワードに従
って、当該ファイルにアクセスすることができるか否か
のアクセス認可を行っている。これにより機密保護を行
っている。
【0003】一方、近年では、複数の計算機をネットワ
ークにより接続し、ファイルなどの資源を共用すること
が広く行われている。この場合、資源を備えるサーバ計
算機と、該サーバ計算機に対してアクセスするクライア
ント計算機とを有するクライアント/サーバシステムを
構成することができる。クライアント計算機からサーバ
計算機の資源にアクセスする場合、資源の存在するサー
バ計算機に対してクライアント計算機のユーザが認証を
求め、サーバ計算機では、ユーザ識別子やパスワードを
用いて認証を行うとともに、ファイルへのアクセスを認
可する方法が一般的である。例えば、リモートログオン
では、サーバ計算機は、アクセス開始時にユーザ識別子
とパスワードとの入力をクライアント計算機のユーザに
要求し、ユーザ認証を行っている。
ークにより接続し、ファイルなどの資源を共用すること
が広く行われている。この場合、資源を備えるサーバ計
算機と、該サーバ計算機に対してアクセスするクライア
ント計算機とを有するクライアント/サーバシステムを
構成することができる。クライアント計算機からサーバ
計算機の資源にアクセスする場合、資源の存在するサー
バ計算機に対してクライアント計算機のユーザが認証を
求め、サーバ計算機では、ユーザ識別子やパスワードを
用いて認証を行うとともに、ファイルへのアクセスを認
可する方法が一般的である。例えば、リモートログオン
では、サーバ計算機は、アクセス開始時にユーザ識別子
とパスワードとの入力をクライアント計算機のユーザに
要求し、ユーザ認証を行っている。
【0004】しかし、上記の方法では、サーバ計算機に
おいて、ファイルへのアクセスの度にユーザ識別子やパ
スワードの入力を要求して認証しなければならず、入力
の受け付けや認証により、アクセス処理が遅くなってし
まう。これを解決する方式が、特開平3−94357号
公報の「セション制御方式」に記載されている。該従来
技術では、ホスト計算機上の利用者管理テーブルに、端
末識別名、利用者名、パスワードおよびコマンド名をあ
らかじめ登録し、端末側にログオンコマンドの自動起動
機能を設けることにより、ユーザ識別子とパスワードを
入力することなしに、ホスト計算機にログオンすること
のできる方法が記載されている。
おいて、ファイルへのアクセスの度にユーザ識別子やパ
スワードの入力を要求して認証しなければならず、入力
の受け付けや認証により、アクセス処理が遅くなってし
まう。これを解決する方式が、特開平3−94357号
公報の「セション制御方式」に記載されている。該従来
技術では、ホスト計算機上の利用者管理テーブルに、端
末識別名、利用者名、パスワードおよびコマンド名をあ
らかじめ登録し、端末側にログオンコマンドの自動起動
機能を設けることにより、ユーザ識別子とパスワードを
入力することなしに、ホスト計算機にログオンすること
のできる方法が記載されている。
【0005】また、同一ユーザ識別子にてログオンした
ユーザを個々に認証する方法として、特開平3−154
149号公報の「共用資源アクセス方法」に記載されて
いる技術がある。該従来技術は、同一ユーザ識別子にて
代理によりログオンした個々のユーザをあらかじめ登録
しておいたユーザリストのパスワードによって識別し、
アクセス権限をユーザ単位に設定できる方法が記載され
ている。
ユーザを個々に認証する方法として、特開平3−154
149号公報の「共用資源アクセス方法」に記載されて
いる技術がある。該従来技術は、同一ユーザ識別子にて
代理によりログオンした個々のユーザをあらかじめ登録
しておいたユーザリストのパスワードによって識別し、
アクセス権限をユーザ単位に設定できる方法が記載され
ている。
【0006】一方、サーバ計算機のユーザの入力以外の
認証方法として、「superASCII VOL3 #2」 p73-88に
は、ケルベロスを用いた認証方法が記載されている。ケ
ルベロスとは、ネットワーク一意の認証が可能なクライ
アント−サーバ型の異機種接続環境に適した認証方法で
ある。ケルベロスでは、あらかじめセキュリティサーバ
と呼ばれる計算機に、ネットワーク一意のユーザ識別子
とパスワードとを登録しておく。サーバ計算機へのアク
セス要求は、セキュリティサーバを経由し、セキュリテ
ィサーバにおいて、チケットおよびオーセンティケータ
と呼ばれる認証情報が暗合化されてアクセス要求データ
に付加される。サーバ計算機では、送られてくる認証情
報を復号し、チケットとオーセンティケータとの双方に
含まれるクライアントのキーと発信時刻とを照合してチ
ケットに含まれる有効期間の条件を満たすことを確かめ
ることと、チケットに含まれるサーバキーが正しいこと
を確かめることとにより、アクセスしてきたユーザが正
しいことを認証する。
認証方法として、「superASCII VOL3 #2」 p73-88に
は、ケルベロスを用いた認証方法が記載されている。ケ
ルベロスとは、ネットワーク一意の認証が可能なクライ
アント−サーバ型の異機種接続環境に適した認証方法で
ある。ケルベロスでは、あらかじめセキュリティサーバ
と呼ばれる計算機に、ネットワーク一意のユーザ識別子
とパスワードとを登録しておく。サーバ計算機へのアク
セス要求は、セキュリティサーバを経由し、セキュリテ
ィサーバにおいて、チケットおよびオーセンティケータ
と呼ばれる認証情報が暗合化されてアクセス要求データ
に付加される。サーバ計算機では、送られてくる認証情
報を復号し、チケットとオーセンティケータとの双方に
含まれるクライアントのキーと発信時刻とを照合してチ
ケットに含まれる有効期間の条件を満たすことを確かめ
ることと、チケットに含まれるサーバキーが正しいこと
を確かめることとにより、アクセスしてきたユーザが正
しいことを認証する。
【0007】
【発明が解決しようとする課題】前述のように、クライ
アント計算機からサーバ計算機へのアクセス要求時に、
ユーザ識別子とパスワードとの入力を受け付けて認証を
行なうと、ユーザ識別子およびパスワードの入力の受け
付け処理により、アクセス処理が遅くなるという問題が
ある。上記特開平3−94357号公報の「セション制
御方式」では、入力の受け付けをその都度行うことはな
いが、端末識別名と利用者名との対応関係を登録するた
め、アクセスを要求する端末すなわちクライアント計算
機が限定されてしまう問題がある。すなわち、対応関係
を示すテーブルに登録をしていないクライアント計算機
はアクセスすることができなず、事前に登録を行わなけ
ればいけないという問題がある。
アント計算機からサーバ計算機へのアクセス要求時に、
ユーザ識別子とパスワードとの入力を受け付けて認証を
行なうと、ユーザ識別子およびパスワードの入力の受け
付け処理により、アクセス処理が遅くなるという問題が
ある。上記特開平3−94357号公報の「セション制
御方式」では、入力の受け付けをその都度行うことはな
いが、端末識別名と利用者名との対応関係を登録するた
め、アクセスを要求する端末すなわちクライアント計算
機が限定されてしまう問題がある。すなわち、対応関係
を示すテーブルに登録をしていないクライアント計算機
はアクセスすることができなず、事前に登録を行わなけ
ればいけないという問題がある。
【0008】また、サーバ計算機においても、未登録の
不特定多数のユーザを別々に認証することができないと
いう問題もある。異機種接続環境では、多くのユーザが
他の計算機からアクセスする。そのため、従来のサーバ
計算機のユーザ識別子とパスワードとの入力による認証
方法では、アクセスするユーザを必ずサーバ計算機に登
録しなければならず、膨大な登録が必要となり、パブリ
ックドメインソフトウェア等へのアクセス要求でも事前
に登録しなければならない。サーバ計算機に未登録のユ
ーザでも共用ユーザ識別子を用いてログオンすることが
可能ではあるが、この場合は各未登録ユーザを別々に認
証することができない。上記特開平3−154149号
公報に記載されている方法では、共用ユーザ識別子を用
いてログオンしたユーザを別々に認証可能である。しか
し、サーバ計算機に登録したパスワードによりユーザを
識別するため、別々に認証するためにはサーバ計算機の
ユーザリストに必ず事前登録しなけらばならず、未登録
ユーザは別々に認証できない。
不特定多数のユーザを別々に認証することができないと
いう問題もある。異機種接続環境では、多くのユーザが
他の計算機からアクセスする。そのため、従来のサーバ
計算機のユーザ識別子とパスワードとの入力による認証
方法では、アクセスするユーザを必ずサーバ計算機に登
録しなければならず、膨大な登録が必要となり、パブリ
ックドメインソフトウェア等へのアクセス要求でも事前
に登録しなければならない。サーバ計算機に未登録のユ
ーザでも共用ユーザ識別子を用いてログオンすることが
可能ではあるが、この場合は各未登録ユーザを別々に認
証することができない。上記特開平3−154149号
公報に記載されている方法では、共用ユーザ識別子を用
いてログオンしたユーザを別々に認証可能である。しか
し、サーバ計算機に登録したパスワードによりユーザを
識別するため、別々に認証するためにはサーバ計算機の
ユーザリストに必ず事前登録しなけらばならず、未登録
ユーザは別々に認証できない。
【0009】また、ケルベロスを用いるとネットワーク
一意の認証が可能であるが、セキュリティサーバに登録
したユーザ識別子はサーバ計算機のユーザ識別子とは異
なる。また、異機種接続環境において、セキュリティサ
ーバによるネットワーク共通のセキュリティ方法は、サ
ーバ計算機のセキュリティ方法と必ずしも一致しない。
すなわち、各サーバでは、ファイルごとにアクセス可否
を示すアクセス権限を定める属性が定められており、こ
れらの属性の定義は各サーバで異なている。従って、セ
キュリティサーバのユーザ識別子では、ユーザ識別子に
属性が対応しないので、サーバ計算機上のユーザが生成
したファイルのアクセス認可を決定するのは困難であ
る。また、サーバ計算機を単にデータ格納のために利用
する場合でも、サーバ計算機を意識しなければならず、
属性を変更するのにサーバ計算機のセキュリティコマン
ドを与えなければならないという問題がある。
一意の認証が可能であるが、セキュリティサーバに登録
したユーザ識別子はサーバ計算機のユーザ識別子とは異
なる。また、異機種接続環境において、セキュリティサ
ーバによるネットワーク共通のセキュリティ方法は、サ
ーバ計算機のセキュリティ方法と必ずしも一致しない。
すなわち、各サーバでは、ファイルごとにアクセス可否
を示すアクセス権限を定める属性が定められており、こ
れらの属性の定義は各サーバで異なている。従って、セ
キュリティサーバのユーザ識別子では、ユーザ識別子に
属性が対応しないので、サーバ計算機上のユーザが生成
したファイルのアクセス認可を決定するのは困難であ
る。また、サーバ計算機を単にデータ格納のために利用
する場合でも、サーバ計算機を意識しなければならず、
属性を変更するのにサーバ計算機のセキュリティコマン
ドを与えなければならないという問題がある。
【0010】本発明の目的は、サーバ計算機内にて生成
されたファイルの機密保護を維持しつつ、該ファイルを
生成したユーザがアクセス可能な認証および認可方法を
提供することである。
されたファイルの機密保護を維持しつつ、該ファイルを
生成したユーザがアクセス可能な認証および認可方法を
提供することである。
【0011】
【課題を解決するための手段】上記目的達成のため、本
発明の認証および認可方法では、クライアント計算機か
らサーバ計算機にアクセスし、前記サーバ計算機にて前
記クライアント計算機を認証し、該サーバ計算機に備え
る資源へのアクセス認可を、該資源の生成時に付される
認可属性により判断する認証および認可方法であって、
前記クライアント計算機と、前記サーバ計算機における
ユーザ識別子との対応関係をあらかじめ前記サーバ計算
機に登録する対応関係登録処理と、前記クライアント計
算機から前記サーバ計算機へのアクセス時に、前記対応
関係が登録されているか否かを判別する認証処理と、前
記対応関係が登録されている場合に、登録した対応関係
に従って前記クライアント計算機に対応するユーザ識別
子を求める処理と、前求められた記ユーザ識別子と前記
認可属性とに従って前記資源へのアクセス認可を判断す
る認可判断処理とを含む。
発明の認証および認可方法では、クライアント計算機か
らサーバ計算機にアクセスし、前記サーバ計算機にて前
記クライアント計算機を認証し、該サーバ計算機に備え
る資源へのアクセス認可を、該資源の生成時に付される
認可属性により判断する認証および認可方法であって、
前記クライアント計算機と、前記サーバ計算機における
ユーザ識別子との対応関係をあらかじめ前記サーバ計算
機に登録する対応関係登録処理と、前記クライアント計
算機から前記サーバ計算機へのアクセス時に、前記対応
関係が登録されているか否かを判別する認証処理と、前
記対応関係が登録されている場合に、登録した対応関係
に従って前記クライアント計算機に対応するユーザ識別
子を求める処理と、前求められた記ユーザ識別子と前記
認可属性とに従って前記資源へのアクセス認可を判断す
る認可判断処理とを含む。
【0012】前記対応関係登録処理時に、前記ユーザ識
別子ごとに、前記資源の生成時に付される認可属性をあ
らかじめ登録しておき、前記資源の生成時に、該登録さ
れた認可属性に従って、生成された資源に対する認可属
性を付加する付加処理をさらに含むことができる。
別子ごとに、前記資源の生成時に付される認可属性をあ
らかじめ登録しておき、前記資源の生成時に、該登録さ
れた認可属性に従って、生成された資源に対する認可属
性を付加する付加処理をさらに含むことができる。
【0013】また、前記対応関係が登録されていない場
合に、未登録ユーザであることを示すユーザ識別子とし
て共用ユーザ識別子を割当てる割当て処理と、前記共用
ユーザ識別子を割り当てた未登録ユーザによる前記資源
の生成時に、該未登録ユーザのアクセスを認可する認可
属性と、該資源の所有者であることを示すオーナ情報と
して該未登録ユーザの前記クライアント計算機の識別情
報とを付加する付加処理をさらに含み、前記認可判断処
理時に、前記オーナ情報に従って前記資源へのアクセス
認可をさらに判断する。また、前記付加処理時に、前記
クライアント計算機から認可属性の設定を行うようにし
てもよい。
合に、未登録ユーザであることを示すユーザ識別子とし
て共用ユーザ識別子を割当てる割当て処理と、前記共用
ユーザ識別子を割り当てた未登録ユーザによる前記資源
の生成時に、該未登録ユーザのアクセスを認可する認可
属性と、該資源の所有者であることを示すオーナ情報と
して該未登録ユーザの前記クライアント計算機の識別情
報とを付加する付加処理をさらに含み、前記認可判断処
理時に、前記オーナ情報に従って前記資源へのアクセス
認可をさらに判断する。また、前記付加処理時に、前記
クライアント計算機から認可属性の設定を行うようにし
てもよい。
【0014】
【作用】まず、対応関係登録処理では、クライアント計
算機と、サーバ計算機において管理するためのユーザ識
別子との対応関係をあらかじめ前記サーバ計算機に登録
しておく。認証処理では、前記クライアント計算機から
前記サーバ計算機へのアクセス時に、前記対応関係が登
録されているか否かを判別する。ユーザ識別子を求める
処理では、前記対応関係が登録されている場合に、登録
した対応関係に従って前記クライアント計算機に対応す
るユーザ識別子に変換し、認可判断処理では、前記ユー
ザ識別子と前記認可属性とに従って前記資源へのアクセ
ス認可を判断する。これらの処理により、どのクライア
ント計算機からの要求でも、サーバ計算機へのアクセス
要求のたびにユーザ識別子やパスワードを入力すること
なしに、サーバ計算機の端末利用ユーザと同様に、クラ
イアント計算機がアクセスする際にも、サーバ計算機に
おけるユーザ識別子とアクセス認可属性によりアクセス
認可を判別することができる。また、前記対応関係登録
処理にて、前記ユーザ識別子ごとに、前記資源の生成時
に付される認可属性をさらに登録し、付加処理におい
て、前記資源の生成時に、該登録された認可属性に従っ
て、生成された資源に対する認可属性を付加する。ま
た、前記対応関係登録処理にて、前記ユーザ識別子ごと
に、サーバ計算機の認可属性のデフォルト値として、共
用ユーザ識別子によるアクセスの禁止属性を設定し、未
登録ユーザが生成したファイルに対して、認可属性のデ
フォルト値として、サーバ計算機のユーザ識別子による
アクセスの禁止属性を設定するようにしてもよい。これ
により、クライアント計算機からアクセスするユーザに
対するサーバ計算機のローカルファイルの機密保護と、
サーバ計算機内の端末からアクセスするユーザに対する
クライアント計算機から生成したファイルの機密保護と
を、それぞれ保つことができる。
算機と、サーバ計算機において管理するためのユーザ識
別子との対応関係をあらかじめ前記サーバ計算機に登録
しておく。認証処理では、前記クライアント計算機から
前記サーバ計算機へのアクセス時に、前記対応関係が登
録されているか否かを判別する。ユーザ識別子を求める
処理では、前記対応関係が登録されている場合に、登録
した対応関係に従って前記クライアント計算機に対応す
るユーザ識別子に変換し、認可判断処理では、前記ユー
ザ識別子と前記認可属性とに従って前記資源へのアクセ
ス認可を判断する。これらの処理により、どのクライア
ント計算機からの要求でも、サーバ計算機へのアクセス
要求のたびにユーザ識別子やパスワードを入力すること
なしに、サーバ計算機の端末利用ユーザと同様に、クラ
イアント計算機がアクセスする際にも、サーバ計算機に
おけるユーザ識別子とアクセス認可属性によりアクセス
認可を判別することができる。また、前記対応関係登録
処理にて、前記ユーザ識別子ごとに、前記資源の生成時
に付される認可属性をさらに登録し、付加処理におい
て、前記資源の生成時に、該登録された認可属性に従っ
て、生成された資源に対する認可属性を付加する。ま
た、前記対応関係登録処理にて、前記ユーザ識別子ごと
に、サーバ計算機の認可属性のデフォルト値として、共
用ユーザ識別子によるアクセスの禁止属性を設定し、未
登録ユーザが生成したファイルに対して、認可属性のデ
フォルト値として、サーバ計算機のユーザ識別子による
アクセスの禁止属性を設定するようにしてもよい。これ
により、クライアント計算機からアクセスするユーザに
対するサーバ計算機のローカルファイルの機密保護と、
サーバ計算機内の端末からアクセスするユーザに対する
クライアント計算機から生成したファイルの機密保護と
を、それぞれ保つことができる。
【0015】この際、変換方法の登録をサーバ計算機に
対する認証とセキュリティサーバに対する認証とを行っ
た状態において行なうことにより、セキュリティサーバ
のユーザ識別子からサーバ計算機のユーザ識別子への変
換を信頼することができるので、ケルベロスを用いたチ
ケットとオーセンティケータの情報の照合等の方法によ
ってセキュリティサーバのユーザ識別子が正しいことが
認証されれば、サーバ計算機のユーザ識別子は正しいと
みなすことができる。
対する認証とセキュリティサーバに対する認証とを行っ
た状態において行なうことにより、セキュリティサーバ
のユーザ識別子からサーバ計算機のユーザ識別子への変
換を信頼することができるので、ケルベロスを用いたチ
ケットとオーセンティケータの情報の照合等の方法によ
ってセキュリティサーバのユーザ識別子が正しいことが
認証されれば、サーバ計算機のユーザ識別子は正しいと
みなすことができる。
【0016】また、割当て処理において、前記対応関係
が登録されていない場合に、未登録ユーザであることを
示すユーザ識別子として共用ユーザ識別子を割当てて、
付加処理において、前記共用ユーザ識別子を割り当てた
未登録ユーザによる前記資源の生成時に、該未登録ユー
ザのアクセスを認可する認可属性と、該資源の所有者で
あることを示すオーナ情報として該未登録ユーザの前記
クライアント計算機の識別情報とを付加する。前記認可
判断処理時に、前記オーナ情報に従って前記資源へのア
クセス認可をさらに判断する。これにより、サーバ計算
機に未登録のユーザでも、オーナ情報のクライアントユ
ーザ名と該未登録ユーザのアクセスを認可する認可属性
を用いて、各ユーザ別々に認可を判別することができ、
サーバプログラムが配置されている計算機の種類を意識
することなく、生成を要求したファイルの他の未登録ユ
ーザおよびサーバ計算機のユーザに対して、機密保護を
保つことができる。
が登録されていない場合に、未登録ユーザであることを
示すユーザ識別子として共用ユーザ識別子を割当てて、
付加処理において、前記共用ユーザ識別子を割り当てた
未登録ユーザによる前記資源の生成時に、該未登録ユー
ザのアクセスを認可する認可属性と、該資源の所有者で
あることを示すオーナ情報として該未登録ユーザの前記
クライアント計算機の識別情報とを付加する。前記認可
判断処理時に、前記オーナ情報に従って前記資源へのア
クセス認可をさらに判断する。これにより、サーバ計算
機に未登録のユーザでも、オーナ情報のクライアントユ
ーザ名と該未登録ユーザのアクセスを認可する認可属性
を用いて、各ユーザ別々に認可を判別することができ、
サーバプログラムが配置されている計算機の種類を意識
することなく、生成を要求したファイルの他の未登録ユ
ーザおよびサーバ計算機のユーザに対して、機密保護を
保つことができる。
【0017】また、前記付加処理時に、前記クライアン
ト計算機から認可属性の設定を行うことにより、クライ
アント計算機から属性を設定することができる。
ト計算機から認可属性の設定を行うことにより、クライ
アント計算機から属性を設定することができる。
【0018】
【実施例】以下、本発明の一実施例を説明する。図1
は、本発明のクライアントサーバシステムのブロック図
および処理の概要図を示す。図1において、100は、
サーバ計算機でありファイルなどの資源を備え、フィル
へのアクセスを管理する。101は、クライアント計算
機であり、サーバ計算機のファイルに対してアクセスす
る。102は、ケルベロス等のアルゴリズムによりネッ
トワーク全体のユーザ管理を行なうセキュリティサーバ
である。103は、バスであり、サーバ計算機100と
クライアント計算機101とを接続し、イーサネット等
の任意のネットワークを構成する。また、図1には、サ
ーバ計算機100において処理される、ユーザ認証を行
なう認証処理110と、ファイルへのアクセスを認可す
る認可処理130/132とを示している。認証処理1
10としては、クライアントユーザ名から該クライアン
トユーザが正当なユーザであるかないかの認証をする認
証処理111、クライアントユーザ名からサーバ計算機
100のユーザ識別子への変換方法が登録されているか
否かを判別する変換方法登録判別処理112、否認証の
ときにあらかじめ定めた共用の識別子を割当る共用識別
子割当処理113、認証されたときにクライアントユー
ザ名をユーザ識別子へ変換するユーザ識別子変換処理1
14、サーバ計算機100のユーザ識別子とパスワード
とを用いた、従来と同じ認証処理115、クライアント
ユーザ名をユーザ識別子へ変換するための方法を登録す
る変換方法登録処理116、および、サーバ計算機10
0にアクセス可能なユーザ識別子を登録したユーザ登録
簿117の処理がある。
は、本発明のクライアントサーバシステムのブロック図
および処理の概要図を示す。図1において、100は、
サーバ計算機でありファイルなどの資源を備え、フィル
へのアクセスを管理する。101は、クライアント計算
機であり、サーバ計算機のファイルに対してアクセスす
る。102は、ケルベロス等のアルゴリズムによりネッ
トワーク全体のユーザ管理を行なうセキュリティサーバ
である。103は、バスであり、サーバ計算機100と
クライアント計算機101とを接続し、イーサネット等
の任意のネットワークを構成する。また、図1には、サ
ーバ計算機100において処理される、ユーザ認証を行
なう認証処理110と、ファイルへのアクセスを認可す
る認可処理130/132とを示している。認証処理1
10としては、クライアントユーザ名から該クライアン
トユーザが正当なユーザであるかないかの認証をする認
証処理111、クライアントユーザ名からサーバ計算機
100のユーザ識別子への変換方法が登録されているか
否かを判別する変換方法登録判別処理112、否認証の
ときにあらかじめ定めた共用の識別子を割当る共用識別
子割当処理113、認証されたときにクライアントユー
ザ名をユーザ識別子へ変換するユーザ識別子変換処理1
14、サーバ計算機100のユーザ識別子とパスワード
とを用いた、従来と同じ認証処理115、クライアント
ユーザ名をユーザ識別子へ変換するための方法を登録す
る変換方法登録処理116、および、サーバ計算機10
0にアクセス可能なユーザ識別子を登録したユーザ登録
簿117の処理がある。
【0019】また、異機種接続環境において生成された
ファイルやプログラムの種類は以下のように3つに分類
することができる。サーバ計算機100に未登録のユー
ザがクライアント計算機101からサーバへの生成要求
により生成したファイルまたはプログラム141と、サ
ーバ計算機100に登録済ユーザがクライアント計算機
101からサーバ計算機100への生成要求により生成
したファイルまたはプログラム142と、サーバ計算機
100に登録済ユーザがサーバ計算機100の端末から
TSSのコマンド等によりローカルアクセスして生成し
たファイルまたはプログラム143との3種類がある。
これらの各ファイルに対するアクセス認可を行なう認可
処理130には、クライアントユーザ名と認可属性とを
用いた認可処理131と、サーバ計算機100のユーザ
識別子とサーバ計算機100の認可属性とを用いた認可
処理132とがある。
ファイルやプログラムの種類は以下のように3つに分類
することができる。サーバ計算機100に未登録のユー
ザがクライアント計算機101からサーバへの生成要求
により生成したファイルまたはプログラム141と、サ
ーバ計算機100に登録済ユーザがクライアント計算機
101からサーバ計算機100への生成要求により生成
したファイルまたはプログラム142と、サーバ計算機
100に登録済ユーザがサーバ計算機100の端末から
TSSのコマンド等によりローカルアクセスして生成し
たファイルまたはプログラム143との3種類がある。
これらの各ファイルに対するアクセス認可を行なう認可
処理130には、クライアントユーザ名と認可属性とを
用いた認可処理131と、サーバ計算機100のユーザ
識別子とサーバ計算機100の認可属性とを用いた認可
処理132とがある。
【0020】本実施例では、サーバ計算機のユーザ登録
簿117に登録をしていない未登録のユーザに対して、
共用ユーザ識別子割当処理113においてサーバ計算機
100に未登録のユーザに共用ユーザ識別子を割当て、
認可処理131においてクライアントユーザ名と共通認
可属性を用いて認可を判別し、未登録ユーザでも共通認
可属性のファイルにはアクセスできることに特徴があ
る。また、サーバ計算機100のユーザ登録簿117に
登録済のクライアントユーザは、ユーザ識別子変換処理
114においてクライアントサーバ名をサーバ計算機1
00のユーザ識別子に変換し、認可処理132において
サーバ計算機100の既存ファイルに対する認可をサー
バ計算機100のユーザ識別子とサーバ計算機100の
認可属性とを用いて判別してアクセスさせることに特徴
がある。
簿117に登録をしていない未登録のユーザに対して、
共用ユーザ識別子割当処理113においてサーバ計算機
100に未登録のユーザに共用ユーザ識別子を割当て、
認可処理131においてクライアントユーザ名と共通認
可属性を用いて認可を判別し、未登録ユーザでも共通認
可属性のファイルにはアクセスできることに特徴があ
る。また、サーバ計算機100のユーザ登録簿117に
登録済のクライアントユーザは、ユーザ識別子変換処理
114においてクライアントサーバ名をサーバ計算機1
00のユーザ識別子に変換し、認可処理132において
サーバ計算機100の既存ファイルに対する認可をサー
バ計算機100のユーザ識別子とサーバ計算機100の
認可属性とを用いて判別してアクセスさせることに特徴
がある。
【0021】本実施例の認証方法では、複数のクライア
ント計算機のユーザをネットワーク一意に認証するため
に、ケルベロスアルゴリズムとセキュリティサーバ10
2とを利用する。ネットワーク内の各ユーザは、あらか
じめネットワーク一意のユーザ識別子であるクライアン
トユーザ名をセキュリティサーバ102に登録する。そ
して、クライアント計算機101からサーバ計算機10
0に要求を出す場合、あらかじめセキュリティサーバ1
02にクライアントユーザ名とパスワードとを送信し、
セキュリティサーバに対する認証操作を行なう。サーバ
計算機100へのアクセス要求データは、セキュリティ
サーバ102を経由することにより、クライアントユー
ザの認証情報であるチケットとオーセンティケータとが
付加される。サーバ計算機100では、チケットとオー
センティケータ内の認証情報を照合することにより、ク
ライアントユーザ名が正しいことを認証する。セキュリ
ティサーバを介さないアクセス要求は、すべて非認証ユ
ーザの要求であるとみなす。
ント計算機のユーザをネットワーク一意に認証するため
に、ケルベロスアルゴリズムとセキュリティサーバ10
2とを利用する。ネットワーク内の各ユーザは、あらか
じめネットワーク一意のユーザ識別子であるクライアン
トユーザ名をセキュリティサーバ102に登録する。そ
して、クライアント計算機101からサーバ計算機10
0に要求を出す場合、あらかじめセキュリティサーバ1
02にクライアントユーザ名とパスワードとを送信し、
セキュリティサーバに対する認証操作を行なう。サーバ
計算機100へのアクセス要求データは、セキュリティ
サーバ102を経由することにより、クライアントユー
ザの認証情報であるチケットとオーセンティケータとが
付加される。サーバ計算機100では、チケットとオー
センティケータ内の認証情報を照合することにより、ク
ライアントユーザ名が正しいことを認証する。セキュリ
ティサーバを介さないアクセス要求は、すべて非認証ユ
ーザの要求であるとみなす。
【0022】また、本実施例の認証方法では、サーバ計
算機とセキュリティサーバとの双方から認証された状態
で、サーバ計算機のユーザ識別子とクライアントユーザ
名との対応関係を登録する処理を設ける。対応関係を登
録したユーザは、クライアントユーザ名からサーバ計算
機100のユーザ識別子に変換する。これにより、登録
後は、パスワードの入力などの受け付け処理なしにアク
セスできる。また、クライアント計算機の区別なく、サ
ーバ計算機100のユーザ識別子と認可属性とを用いた
認可処理を可能とする。また、サーバ計算機100に未
登録のユーザは、あらかじめ定義しておいたサーバ計算
機の共用ユーザ識別子を割当て、共用ユーザ識別子とク
ライアントユーザ名との対応関係を記憶することによ
り、クライアントユーザ名を用いた認可処理を可能とす
る。
算機とセキュリティサーバとの双方から認証された状態
で、サーバ計算機のユーザ識別子とクライアントユーザ
名との対応関係を登録する処理を設ける。対応関係を登
録したユーザは、クライアントユーザ名からサーバ計算
機100のユーザ識別子に変換する。これにより、登録
後は、パスワードの入力などの受け付け処理なしにアク
セスできる。また、クライアント計算機の区別なく、サ
ーバ計算機100のユーザ識別子と認可属性とを用いた
認可処理を可能とする。また、サーバ計算機100に未
登録のユーザは、あらかじめ定義しておいたサーバ計算
機の共用ユーザ識別子を割当て、共用ユーザ識別子とク
ライアントユーザ名との対応関係を記憶することによ
り、クライアントユーザ名を用いた認可処理を可能とす
る。
【0023】また、本実施例の認可方法では、アクセス
リスト等の各計算機共通の認可属性によりアクセス認可
を判別する処理を、サーバ計算機100を含めたネット
ワーク内の各計算機に設ける。ファイル141に対する
アクセス要求は、クライアントユーザ名と共通認可属性
を用いて認可を判別する。これにより、クライアント計
算機101からサーバ計算機100を意識することなく
認可属性の変更が可能となるとともに、サーバ計算機1
00に未登録のユーザの生成したファイルに対しても機
密保護を保つことができる。一方、ファイル143に対
するアクセス要求は、サーバ計算機100のユーザ識別
子と認可属性とを用いて認可を判別する。未登録ユーザ
からのアクセス認可属性は、コマンドなどにより明示的
に許可しなければ与えないようにする。これにより、未
登録ユーザに対する機密保護を保つことができる。ファ
イル142に対するアクセス要求は、未登録ユーザはク
ライアントユーザ名に対して共用識別子を割り当て、登
録済ユーザはサーバ計算機100のユーザ識別子により
それぞれ認可を判別する。
リスト等の各計算機共通の認可属性によりアクセス認可
を判別する処理を、サーバ計算機100を含めたネット
ワーク内の各計算機に設ける。ファイル141に対する
アクセス要求は、クライアントユーザ名と共通認可属性
を用いて認可を判別する。これにより、クライアント計
算機101からサーバ計算機100を意識することなく
認可属性の変更が可能となるとともに、サーバ計算機1
00に未登録のユーザの生成したファイルに対しても機
密保護を保つことができる。一方、ファイル143に対
するアクセス要求は、サーバ計算機100のユーザ識別
子と認可属性とを用いて認可を判別する。未登録ユーザ
からのアクセス認可属性は、コマンドなどにより明示的
に許可しなければ与えないようにする。これにより、未
登録ユーザに対する機密保護を保つことができる。ファ
イル142に対するアクセス要求は、未登録ユーザはク
ライアントユーザ名に対して共用識別子を割り当て、登
録済ユーザはサーバ計算機100のユーザ識別子により
それぞれ認可を判別する。
【0024】つぎに、本実施例のユーザ登録について説
明し、その後、ユーザの認証方法および認可方法につい
て詳細に説明する。
明し、その後、ユーザの認証方法および認可方法につい
て詳細に説明する。
【0025】図5に、本実施例におけるユーザ登録簿1
17の構造を示す。ユーザ登録簿内は、ユーザ識別子単
位にエントリが割り当てられ、それぞれのエントリ内に
記憶される情報としては、パスワード、ファイル生成時
のアクセス認可属性値(設定されていない場合はデフォ
ルト値)、クライアントユーザ名およびユーザ識別子が
登録されている。また、クライアントユーザ名からサー
バ計算機100のユーザ識別子を探索しやすいように、
クライアントユーザ名からユーザ登録簿117のユーザ
識別子ごとに設けられる各エントリへのハッシュチェイ
ン500によるポインタを付加する。
17の構造を示す。ユーザ登録簿内は、ユーザ識別子単
位にエントリが割り当てられ、それぞれのエントリ内に
記憶される情報としては、パスワード、ファイル生成時
のアクセス認可属性値(設定されていない場合はデフォ
ルト値)、クライアントユーザ名およびユーザ識別子が
登録されている。また、クライアントユーザ名からサー
バ計算機100のユーザ識別子を探索しやすいように、
クライアントユーザ名からユーザ登録簿117のユーザ
識別子ごとに設けられる各エントリへのハッシュチェイ
ン500によるポインタを付加する。
【0026】つぎに、ユーザ登録簿117への登録方法
について説明する。
について説明する。
【0027】サーバ計算機100のユーザ識別子とクラ
イアントユーザ名との対応関係の登録は、サーバ計算機
100とセキュリティサーバとの双方から認証されてい
る状態で行なう必要がある。登録方法の一例として、サ
ーバ計算機100の端末から登録する場合について説明
する。図4に、サーバ計算機100のユーザ識別子とク
ライアントユーザ名との対応付けアルゴリズムのフロー
チャート図を示す。図4において、まず、登録要求ユー
ザがサーバ計算機100の端末からログオン操作を行う
と(ステップ401)、サーバ計算機100は、ログオ
ンに対する認証処理を行なう(ステップ411)。認証
されれば(ステップ412)、登録要求ユーザは、ユー
ザ登録簿117に対応関係の登録を要求するコマンドま
たはプログラムを入力する(ステップ402)。サーバ
計算機100では、登録要求コマンドを受け付けると
(ステップ413)、クライアントユーザ名とパスワー
ドとの入力を登録要求ユーザに対して要求する(ステッ
プ414)。登録要求ユーザがクライアントユーザ名と
パスワードとを入力すると(ステップ403)、サーバ
計算機100は自動的にセキュリティサーバ102に対
するログオン操作を行ない認証を要求する(ステップ4
15)。セキュリティサーバ102から認証されなかっ
た場合は、ユーザ登録簿117への登録を拒否する(ス
テップ419)。認証された場合(ステップ416)、
クライアントユーザ名とサーバ計算機100のユーザ識
別子との対応関係をユーザ登録簿117に登録する(ス
テップ417)。
イアントユーザ名との対応関係の登録は、サーバ計算機
100とセキュリティサーバとの双方から認証されてい
る状態で行なう必要がある。登録方法の一例として、サ
ーバ計算機100の端末から登録する場合について説明
する。図4に、サーバ計算機100のユーザ識別子とク
ライアントユーザ名との対応付けアルゴリズムのフロー
チャート図を示す。図4において、まず、登録要求ユー
ザがサーバ計算機100の端末からログオン操作を行う
と(ステップ401)、サーバ計算機100は、ログオ
ンに対する認証処理を行なう(ステップ411)。認証
されれば(ステップ412)、登録要求ユーザは、ユー
ザ登録簿117に対応関係の登録を要求するコマンドま
たはプログラムを入力する(ステップ402)。サーバ
計算機100では、登録要求コマンドを受け付けると
(ステップ413)、クライアントユーザ名とパスワー
ドとの入力を登録要求ユーザに対して要求する(ステッ
プ414)。登録要求ユーザがクライアントユーザ名と
パスワードとを入力すると(ステップ403)、サーバ
計算機100は自動的にセキュリティサーバ102に対
するログオン操作を行ない認証を要求する(ステップ4
15)。セキュリティサーバ102から認証されなかっ
た場合は、ユーザ登録簿117への登録を拒否する(ス
テップ419)。認証された場合(ステップ416)、
クライアントユーザ名とサーバ計算機100のユーザ識
別子との対応関係をユーザ登録簿117に登録する(ス
テップ417)。
【0028】上記ユーザ登録簿117の対応関係登録操
作において、ステップ414にてサーバ名も入力要求す
ることによりクライアントユーザ名とサーバ名との組み
合わせを登録可能にしておき、クライアントユーザ名と
サーバ名の組み合わせによりユーザ識別子を選択する
と、同一クライアントユーザ名でも複数のユーザ識別子
に変換することができる。
作において、ステップ414にてサーバ名も入力要求す
ることによりクライアントユーザ名とサーバ名との組み
合わせを登録可能にしておき、クライアントユーザ名と
サーバ名の組み合わせによりユーザ識別子を選択する
と、同一クライアントユーザ名でも複数のユーザ識別子
に変換することができる。
【0029】他の登録方法として、クライアント計算機
101からサーバ計算機100上のサーバプログラムに
対して登録要求メッセージを送信し、サーバ計算機10
0におけるクライアント計算機101のユーザ識別子と
パスワードとの入力を要求して認証する方法もある。
101からサーバ計算機100上のサーバプログラムに
対して登録要求メッセージを送信し、サーバ計算機10
0におけるクライアント計算機101のユーザ識別子と
パスワードとの入力を要求して認証する方法もある。
【0030】また、図3に、共用ユーザ識別子管理テー
ブル300の構造例を示す。共用ユーザ識別子管理テー
ブル300は、ユーザ登録簿117に登録されていない
ユーザを認証するために、共有ユーザの識別子を付与す
ることにより認証し、付与したクライアントを管理する
テーブルである。共用ユーザ識別子管理テーブル300
は、各共用ユーザ識別子301を単位にしてエントリを
持ち、クライアントユーザ名302、共用ユーザ識別子
を割り当てた時刻を示す割当時刻303、共用ユーザ識
別子割当状態を示すフラグ304等の情報を記憶する。
ブル300の構造例を示す。共用ユーザ識別子管理テー
ブル300は、ユーザ登録簿117に登録されていない
ユーザを認証するために、共有ユーザの識別子を付与す
ることにより認証し、付与したクライアントを管理する
テーブルである。共用ユーザ識別子管理テーブル300
は、各共用ユーザ識別子301を単位にしてエントリを
持ち、クライアントユーザ名302、共用ユーザ識別子
を割り当てた時刻を示す割当時刻303、共用ユーザ識
別子割当状態を示すフラグ304等の情報を記憶する。
【0031】つぎに、ファイル生成時のオーナ情報と属
性設定処理について、図6、図8および図9を参照して
説明する。図6に、本実施例におけるファイル生成時の
各種属性の種類を示す。図8は、ファイル生成時のオー
ナ情報と属性設定における処理フローを示す。図9は、
各ファイルに設定される属性情報を示している。図9に
おいて、属性情報は、各ファイル内に設定され、オーナ
情報と認可属性とが登録される。
性設定処理について、図6、図8および図9を参照して
説明する。図6に、本実施例におけるファイル生成時の
各種属性の種類を示す。図8は、ファイル生成時のオー
ナ情報と属性設定における処理フローを示す。図9は、
各ファイルに設定される属性情報を示している。図9に
おいて、属性情報は、各ファイル内に設定され、オーナ
情報と認可属性とが登録される。
【0032】本実施例においては、ファイル生成時に、
ファイル名とオーナ情報としてユーザ識別子およびクラ
イアントユーザ名と該ファイルヘのアクセス認可属性と
を含む情報が登録される。図6において、該ファイルの
所有者(オーナ情報)を示すための情報としては、サー
バ計算機における識別情報であるユーザ識別子(ローカ
ル側識別子)と、リモート側における識別情報のクライ
アント名(リモート側識別子)とを登録する。また、該
ファイルヘのアクセス認可属性は、アクセス者が、サー
バ計算機100の端末からTSSのコマンド等によりロ
ーカルアクセスした者か、クライアント計算機からリモ
ートアクセスした者かにより、それぞれ属性を設定する
ことができる。図6においては、図1に示した3種類の
ファイルにより、それぞれ設定する情報を示す。登録済
ユーザがクライアント計算機101からサーバプログラ
ム121を経由して生成したファイル(図1および図6
に示す、登録済ユーザがクライアント計算機101から
サーバ計算機100への生成要求により生成したファイ
ル142)であれば、ファイルの所有者情報として、サ
ーバ計算機100におけるクライアント計算機のユーザ
識別子とあわせてクライアントユーザ名も記録する。ま
た、未登録のユーザがクライアント計算機101からサ
ーバへの生成要求により生成したファイル141で場合
には、ユーザ識別子は共用ユーザ識別子とし、あわせて
クライアントユーザ名も記録する。また、端末からTS
Sコマンドまたはサーバ計算機100内のローカルアク
セスプログラム122を経由して生成したファイル14
3の場合には、ユーザ識別子を登録し、クライアントユ
ーザ名はないので記録しない。
ファイル名とオーナ情報としてユーザ識別子およびクラ
イアントユーザ名と該ファイルヘのアクセス認可属性と
を含む情報が登録される。図6において、該ファイルの
所有者(オーナ情報)を示すための情報としては、サー
バ計算機における識別情報であるユーザ識別子(ローカ
ル側識別子)と、リモート側における識別情報のクライ
アント名(リモート側識別子)とを登録する。また、該
ファイルヘのアクセス認可属性は、アクセス者が、サー
バ計算機100の端末からTSSのコマンド等によりロ
ーカルアクセスした者か、クライアント計算機からリモ
ートアクセスした者かにより、それぞれ属性を設定する
ことができる。図6においては、図1に示した3種類の
ファイルにより、それぞれ設定する情報を示す。登録済
ユーザがクライアント計算機101からサーバプログラ
ム121を経由して生成したファイル(図1および図6
に示す、登録済ユーザがクライアント計算機101から
サーバ計算機100への生成要求により生成したファイ
ル142)であれば、ファイルの所有者情報として、サ
ーバ計算機100におけるクライアント計算機のユーザ
識別子とあわせてクライアントユーザ名も記録する。ま
た、未登録のユーザがクライアント計算機101からサ
ーバへの生成要求により生成したファイル141で場合
には、ユーザ識別子は共用ユーザ識別子とし、あわせて
クライアントユーザ名も記録する。また、端末からTS
Sコマンドまたはサーバ計算機100内のローカルアク
セスプログラム122を経由して生成したファイル14
3の場合には、ユーザ識別子を登録し、クライアントユ
ーザ名はないので記録しない。
【0033】また、サーバ計算機100の端末からTS
Sのコマンド等によりローカルアクセスした者に対して
判断するための生成時の属性(ローカルアクセス者のア
クセス認可属性:以下、ローカル側認可属性という)と
しては、ファイル142またはファイル143には、サ
ーバ計算機100のユーザ登録簿117に登録してい
る、ユーザ識別子ごとの設定値またはデフォルト値にし
たがって認可属性を与える。また、共用ユーザ識別子が
割り当てられている未登録ユーザが生成したファイル1
41へのローカルアクセス者のアクセス認可属性は、フ
ァイル生成ユーザが許可権限を設定しなければ、共用ユ
ーザ識別子以外のユーザへのアクセス認可属性は与えな
いようにする。すなわち、未登録ユーザが生成したファ
イル141は、特に許可権限を与えないかぎり、ローカ
ルアクセス者は、アクセスすることができない。これに
より、ファイル141の機密保護を保つことができる。
Sのコマンド等によりローカルアクセスした者に対して
判断するための生成時の属性(ローカルアクセス者のア
クセス認可属性:以下、ローカル側認可属性という)と
しては、ファイル142またはファイル143には、サ
ーバ計算機100のユーザ登録簿117に登録してい
る、ユーザ識別子ごとの設定値またはデフォルト値にし
たがって認可属性を与える。また、共用ユーザ識別子が
割り当てられている未登録ユーザが生成したファイル1
41へのローカルアクセス者のアクセス認可属性は、フ
ァイル生成ユーザが許可権限を設定しなければ、共用ユ
ーザ識別子以外のユーザへのアクセス認可属性は与えな
いようにする。すなわち、未登録ユーザが生成したファ
イル141は、特に許可権限を与えないかぎり、ローカ
ルアクセス者は、アクセスすることができない。これに
より、ファイル141の機密保護を保つことができる。
【0034】また、ファイル141およびファイル14
2には、クライアント計算機からリモートアクセスした
者に対しての認可属性(以下、リモート側認可属性とい
う)として、ファイル生成時にサーバプログラム121
ごとにクライアントユーザ単位に設定された共通認可属
性を与える。すなわち、サーバプログラム121を複数
備え、そのサーバプログラム121により生成したファ
イルに共通の認可属性を与えるために、それぞれのサー
バプログラム121が共通認可属性を記憶するアクセス
リストを備えている。このアクセルリストにより、リモ
ート側認可属性を設定する。また、アクセスリストは、
クライアントがファイル生成時に認可属性を設定できる
ようにしてもよい。クライアント計算機101から共用
ユーザ識別子でリモートアクセスする場合は、共用ユー
ザ識別子ではなくクライアントユーザ名により認可を判
別する。すなわち、ファイルのオーナのみがアクセスす
る。これにより、各クライアントユーザ間の機密保護も
保つことができる。また、ファイル143には、ファイ
ル143のオーナが特別に設定しなければ共通認可属性
を与えないで、サーバ計算機未登録ユーザはファイル1
43にアクセスすることができない。これにより、登録
済みユーザの生成したファイルの機密保護を保つことが
できる。
2には、クライアント計算機からリモートアクセスした
者に対しての認可属性(以下、リモート側認可属性とい
う)として、ファイル生成時にサーバプログラム121
ごとにクライアントユーザ単位に設定された共通認可属
性を与える。すなわち、サーバプログラム121を複数
備え、そのサーバプログラム121により生成したファ
イルに共通の認可属性を与えるために、それぞれのサー
バプログラム121が共通認可属性を記憶するアクセス
リストを備えている。このアクセルリストにより、リモ
ート側認可属性を設定する。また、アクセスリストは、
クライアントがファイル生成時に認可属性を設定できる
ようにしてもよい。クライアント計算機101から共用
ユーザ識別子でリモートアクセスする場合は、共用ユー
ザ識別子ではなくクライアントユーザ名により認可を判
別する。すなわち、ファイルのオーナのみがアクセスす
る。これにより、各クライアントユーザ間の機密保護も
保つことができる。また、ファイル143には、ファイ
ル143のオーナが特別に設定しなければ共通認可属性
を与えないで、サーバ計算機未登録ユーザはファイル1
43にアクセスすることができない。これにより、登録
済みユーザの生成したファイルの機密保護を保つことが
できる。
【0035】以上のように、ファイル142には、ロー
カルアクセス者に対する認可属性と、リモートアクセス
者に対するアクセス認可属性との両方が与えられる。一
方、クライアントユーザ名からサーバ計算機100のユ
ーザ識別子に変換したユーザは、クライアントユーザ名
とサーバ計算機100のユーザ識別子との両方の識別子
を持つ。サーバ計算機100のユーザ識別子に変換した
ユーザは、一方の認可属性により認可されれば、認可さ
れたものとみなす。
カルアクセス者に対する認可属性と、リモートアクセス
者に対するアクセス認可属性との両方が与えられる。一
方、クライアントユーザ名からサーバ計算機100のユ
ーザ識別子に変換したユーザは、クライアントユーザ名
とサーバ計算機100のユーザ識別子との両方の識別子
を持つ。サーバ計算機100のユーザ識別子に変換した
ユーザは、一方の認可属性により認可されれば、認可さ
れたものとみなす。
【0036】また、認可属性は、ファイル生成時にクラ
イアント計算機が設定できるようにしてもよい。この場
合、ユーザ登録簿117に登録されているクライアント
ユーザのみが設定できるようにしてもよい。
イアント計算機が設定できるようにしてもよい。この場
合、ユーザ登録簿117に登録されているクライアント
ユーザのみが設定できるようにしてもよい。
【0037】つぎに、上記図6に示した属性を設定する
場合の処理について説明する。図8において、サーバ計
算機100は、クライアント計算機によりファイルが生
成されると、まず、オーナ情報付加処理を行う(S80
0)。サーバ計算機100は、ユーザ登録簿117に当
該クライアントユーザ名が登録されているか否かを検索
し(S801)、登録済みであれば、ローカル側のオー
ナ情報として、当該クライアントユーザ名に対応するユ
ーザ識別子を記録する(S803)。登録されていなけ
れば、オーナ情報として、共用ユーザ識別子をファイル
管理テーブルに記録する(S802)。つぎに、ファイ
ル生成要求信号がクライアント計算機から送出されたも
のであったか否かを判断し(S804)、クライアント
計算機から送出されていれば、ファイルのリモート側の
オーナ情報を格納する領域にクライアントユーザ名を付
加する(S805)。
場合の処理について説明する。図8において、サーバ計
算機100は、クライアント計算機によりファイルが生
成されると、まず、オーナ情報付加処理を行う(S80
0)。サーバ計算機100は、ユーザ登録簿117に当
該クライアントユーザ名が登録されているか否かを検索
し(S801)、登録済みであれば、ローカル側のオー
ナ情報として、当該クライアントユーザ名に対応するユ
ーザ識別子を記録する(S803)。登録されていなけ
れば、オーナ情報として、共用ユーザ識別子をファイル
管理テーブルに記録する(S802)。つぎに、ファイ
ル生成要求信号がクライアント計算機から送出されたも
のであったか否かを判断し(S804)、クライアント
計算機から送出されていれば、ファイルのリモート側の
オーナ情報を格納する領域にクライアントユーザ名を付
加する(S805)。
【0038】また、サーバ計算機100は、クライアン
ト計算機によりファイルが生成されると、認可属性付加
処理を行う(S810)。サーバ計算機100は、ユー
ザ登録簿117に当該クライアントユーザ名が登録され
ているか否かを検索し(S811)、登録済みであれ
ば、ローカル側認可属性として、当該クライアントユー
ザ名に対応してユーザ登録簿117に登録されている認
可属性を登録する(S813)。ユーザ登録簿117に
当該クライアントユーザ名が登録されていなければ、ロ
ーカル側の認可属性として、共用ユーザ識別子がアクセ
ス可能であることを示す認可属性を記録する(S81
2)。つぎに、ファイル生成要求信号がクライアント計
算機から送出されたものであったか否かを判断し(S8
14)、送出されたときに、リモート側認可属性を格納
する領域に、サーバプログラムのアクセスリストに設定
されている認可属性、もしくは、クライアントユーザか
ら指示された認可属性を付加する(S815)。
ト計算機によりファイルが生成されると、認可属性付加
処理を行う(S810)。サーバ計算機100は、ユー
ザ登録簿117に当該クライアントユーザ名が登録され
ているか否かを検索し(S811)、登録済みであれ
ば、ローカル側認可属性として、当該クライアントユー
ザ名に対応してユーザ登録簿117に登録されている認
可属性を登録する(S813)。ユーザ登録簿117に
当該クライアントユーザ名が登録されていなければ、ロ
ーカル側の認可属性として、共用ユーザ識別子がアクセ
ス可能であることを示す認可属性を記録する(S81
2)。つぎに、ファイル生成要求信号がクライアント計
算機から送出されたものであったか否かを判断し(S8
14)、送出されたときに、リモート側認可属性を格納
する領域に、サーバプログラムのアクセスリストに設定
されている認可属性、もしくは、クライアントユーザか
ら指示された認可属性を付加する(S815)。
【0039】以上のように処理を行うことにより図9に
示すような設定を行うことができる。ファイルの生成時
に、オーナ情報および認可属性を、ローカル側とリモー
ト側に別けてそれぞれ設定しておくことができる。ま
た、図9に示すような属性情報を管理するファイル属性
管理テーブルを備えてもよい。
示すような設定を行うことができる。ファイルの生成時
に、オーナ情報および認可属性を、ローカル側とリモー
ト側に別けてそれぞれ設定しておくことができる。ま
た、図9に示すような属性情報を管理するファイル属性
管理テーブルを備えてもよい。
【0040】つぎに、フローチャートにしたがって、認
証方法および認可方法について詳細に説明する。
証方法および認可方法について詳細に説明する。
【0041】まず、認証方法について説明する。サーバ
計算機100の認証処理110における認証アルゴリズ
ムのフローチャート図を図2に示す。図1に示す認証処
理110では、サーバ計算機100は、まず、クライア
ントユーザの認証処理111を行い、ケルベロスアルゴ
リズムを用いてチケットとオーセンティケータ内の情報
を照合し、クライアントユーザ名が正しいことを確認す
る(ステップ201)。クライアントユーザ名が認証さ
れたか否かを判断し(ステップ201−1)、認証され
なかった場合にはアクセスできないとして処理を終了す
る(ステップ201−2)。認証された場合には、次
に、サーバ計算機100の認証処理112において、ユ
ーザ登録簿117を参照し、クライアントユーザ名とサ
ーバ計算機100のユーザ識別子との対応関係があらか
じめ登録されているか否かを調べる(ステップ20
2)。あらかじめ登録されていれば、ユーザ識別子変換
処理114を行なう(ステップ203)。ユーザ識別子
変換処理114では、ユーザ登録簿117に登録されて
いるクライアントユーザ名に対応するサーバ計算機10
0のユーザ識別子を割当てる。また、登録されてない場
合は、共用ユーザ識別子割当処理113を行なう(ステ
ップ204)。共用ユーザ識別子割当処理113では、
サーバ計算機100に未登録のユーザ全体をグループと
する共用ユーザ識別子群の一共用ユーザ識別子を割当
て、共用ユーザ識別子管理テーブル300に共用ユーザ
識別子の割当状態と、共用ユーザ識別子とクライアント
ユーザ名との対応関係とを記憶する。
計算機100の認証処理110における認証アルゴリズ
ムのフローチャート図を図2に示す。図1に示す認証処
理110では、サーバ計算機100は、まず、クライア
ントユーザの認証処理111を行い、ケルベロスアルゴ
リズムを用いてチケットとオーセンティケータ内の情報
を照合し、クライアントユーザ名が正しいことを確認す
る(ステップ201)。クライアントユーザ名が認証さ
れたか否かを判断し(ステップ201−1)、認証され
なかった場合にはアクセスできないとして処理を終了す
る(ステップ201−2)。認証された場合には、次
に、サーバ計算機100の認証処理112において、ユ
ーザ登録簿117を参照し、クライアントユーザ名とサ
ーバ計算機100のユーザ識別子との対応関係があらか
じめ登録されているか否かを調べる(ステップ20
2)。あらかじめ登録されていれば、ユーザ識別子変換
処理114を行なう(ステップ203)。ユーザ識別子
変換処理114では、ユーザ登録簿117に登録されて
いるクライアントユーザ名に対応するサーバ計算機10
0のユーザ識別子を割当てる。また、登録されてない場
合は、共用ユーザ識別子割当処理113を行なう(ステ
ップ204)。共用ユーザ識別子割当処理113では、
サーバ計算機100に未登録のユーザ全体をグループと
する共用ユーザ識別子群の一共用ユーザ識別子を割当
て、共用ユーザ識別子管理テーブル300に共用ユーザ
識別子の割当状態と、共用ユーザ識別子とクライアント
ユーザ名との対応関係とを記憶する。
【0042】次に、認可方法について図7を参照して説
明する。図7に、本実施例の認可方法のフローチャート
図を示す。認可処理130において、未登録ユーザの共
用ユーザ識別子によるアクセスであれば(ステップ70
1)、クライアントユーザ名と共通ユーザ識別子とを用
いた認可処理131により認可を判別する(ステップ7
02)。すなわち、該ユーザがアクセスしたいファイル
を指定し、該ファイルが当該クライアントユーザが生成
したファイルであれば、クライアントユーザ名により認
可される。また、サーバ計算機に登録済みのユーザが作
成したファイルであって、共用ユーザ識別子によるリモ
ートアクセスが許可されているファイルであれば、認可
をする。また、共用ユーザ識別子によるアクセスでなけ
れば、サーバ計算機100におけるユーザ識別子とその
認可属性とを用いた認可処理132により認可を判別す
る(ステップ703)。すなわち、共用ユーザ識別子に
よるアクセスでなければ、登録済みのユーザのアクセス
であるとして、当該ユーザの識別子を用いてアクセスす
るファイルの属性に従って、認可するか否かを判断す
る。また、認可されない場合でも、リモートアクセスの
場合には、クライアントユーザ名からサーバ計算機10
0のユーザ識別子に変換したユーザであれば、認可処理
131を行なう(ステップ704)。すなわち、リモー
ト側識別子であるクライアントユーザ名を用いてアクセ
スするファイルの属性にしたがって認可するか否かを判
断することができる。また、アクセスしたいファイルを
指定せずに、アクセスできるファイルを検索するように
してもよい。
明する。図7に、本実施例の認可方法のフローチャート
図を示す。認可処理130において、未登録ユーザの共
用ユーザ識別子によるアクセスであれば(ステップ70
1)、クライアントユーザ名と共通ユーザ識別子とを用
いた認可処理131により認可を判別する(ステップ7
02)。すなわち、該ユーザがアクセスしたいファイル
を指定し、該ファイルが当該クライアントユーザが生成
したファイルであれば、クライアントユーザ名により認
可される。また、サーバ計算機に登録済みのユーザが作
成したファイルであって、共用ユーザ識別子によるリモ
ートアクセスが許可されているファイルであれば、認可
をする。また、共用ユーザ識別子によるアクセスでなけ
れば、サーバ計算機100におけるユーザ識別子とその
認可属性とを用いた認可処理132により認可を判別す
る(ステップ703)。すなわち、共用ユーザ識別子に
よるアクセスでなければ、登録済みのユーザのアクセス
であるとして、当該ユーザの識別子を用いてアクセスす
るファイルの属性に従って、認可するか否かを判断す
る。また、認可されない場合でも、リモートアクセスの
場合には、クライアントユーザ名からサーバ計算機10
0のユーザ識別子に変換したユーザであれば、認可処理
131を行なう(ステップ704)。すなわち、リモー
ト側識別子であるクライアントユーザ名を用いてアクセ
スするファイルの属性にしたがって認可するか否かを判
断することができる。また、アクセスしたいファイルを
指定せずに、アクセスできるファイルを検索するように
してもよい。
【0043】以上のように、本実施例によれば、サーバ
計算機に未登録のユーザでもクライアントユーザ名を用
いて共用識別子を付与して認証を行い、リモート側の認
可属性により個々に認可を判断することができるため、
サーバプログラムが配置されている計算機の種類を意識
することなく、生成者以外の未登録ユーザとサーバ計算
機のユーザとに対する機密保護を保つことができる。ま
た、サーバ計算機上のローカルファイルに対するアクセ
ス要求を、パスワードの入力などによる処理の中断なし
に、クライアント計算機を特定することなく、サーバ計
算機に登録されているユーザ識別子と認可属性とを用い
て認可を判断することができ、クライアント計算機から
アクセスするユーザに対するローカルファイルの機密保
護を保つことができる。
計算機に未登録のユーザでもクライアントユーザ名を用
いて共用識別子を付与して認証を行い、リモート側の認
可属性により個々に認可を判断することができるため、
サーバプログラムが配置されている計算機の種類を意識
することなく、生成者以外の未登録ユーザとサーバ計算
機のユーザとに対する機密保護を保つことができる。ま
た、サーバ計算機上のローカルファイルに対するアクセ
ス要求を、パスワードの入力などによる処理の中断なし
に、クライアント計算機を特定することなく、サーバ計
算機に登録されているユーザ識別子と認可属性とを用い
て認可を判断することができ、クライアント計算機から
アクセスするユーザに対するローカルファイルの機密保
護を保つことができる。
【0044】
【発明の効果】本発明の認証方法および認可方法によれ
ば、サーバ計算機内にて生成されたファイルの機密保護
を維持しつつ、該ファイルを生成したユーザが当該ファ
イルの存在するサーバを意識することなくアクセスする
ことができる。
ば、サーバ計算機内にて生成されたファイルの機密保護
を維持しつつ、該ファイルを生成したユーザが当該ファ
イルの存在するサーバを意識することなくアクセスする
ことができる。
【図1】本発明の処理ブロック図。
【図2】本発明の認証方法を示したフローチャート図。
【図3】本発明の共用識別子管理テーブルの構造例を示
した図。
した図。
【図4】本発明において、サーバ計算機のユーザとセキ
ュリティサーバのユーザ識別子との対応付け方法を示し
たフローチャート図。
ュリティサーバのユーザ識別子との対応付け方法を示し
たフローチャート図。
【図5】本発明のユーザ登録簿の構造を示した図。
【図6】本発明におけるファイル生成時の各種属性の付
与方法を示す説明図。
与方法を示す説明図。
【図7】本発明の認可方法を示したフローチャート図。
【図8】ファイル生成時のオーナ情報と属性設定におけ
る処理フロー。
る処理フロー。
【図9】属性情報説明図。
100…サーバ計算機、101…クライアント計算機、
102…セキュリティサーバ、103…ネットワーク、
110…認証処理、111…クライアントユーザの認証
処理、112…変換方法登録判別処理、113…共用識
別子割当処理、114…ユーザ識別子変換処理、115
…サーバ計算機の認証処理、116…変換方法登録処
理、117…サーバ計算機のユーザ登録簿、121…サ
ーバプログラム、122…サーバ計算機内のローカルア
クセスプログラム、130…認可処理、131…クライ
アントユーザ名と共通認可属性とを用いた認可処理、1
32…サーバ計算機のユーザ識別子と認可属性とを用い
た認可処理、141…サーバ計算機未登録ユーザがクラ
イアント計算機からサーバへの要求により生成したファ
イル、142…サーバ計算機登録済ユーザがクライアン
ト計算機からサーバへの要求により生成したファイル、
143…サーバ計算機登録済ユーザがサーバ計算機の端
末からTSSのコマンド等により生成したファイル。
102…セキュリティサーバ、103…ネットワーク、
110…認証処理、111…クライアントユーザの認証
処理、112…変換方法登録判別処理、113…共用識
別子割当処理、114…ユーザ識別子変換処理、115
…サーバ計算機の認証処理、116…変換方法登録処
理、117…サーバ計算機のユーザ登録簿、121…サ
ーバプログラム、122…サーバ計算機内のローカルア
クセスプログラム、130…認可処理、131…クライ
アントユーザ名と共通認可属性とを用いた認可処理、1
32…サーバ計算機のユーザ識別子と認可属性とを用い
た認可処理、141…サーバ計算機未登録ユーザがクラ
イアント計算機からサーバへの要求により生成したファ
イル、142…サーバ計算機登録済ユーザがクライアン
ト計算機からサーバへの要求により生成したファイル、
143…サーバ計算機登録済ユーザがサーバ計算機の端
末からTSSのコマンド等により生成したファイル。
Claims (6)
- 【請求項1】クライアント計算機からサーバ計算機にア
クセスし、前記サーバ計算機にて前記クライアント計算
機を認証し、該サーバ計算機に備える資源へのアクセス
認可を、該資源の生成時に付される認可属性により判断
する認証および認可方法であって、 前記クライアント計算機と、前記サーバ計算機にけるユ
ーザ識別子との対応関係をあらかじめ前記サーバ計算機
に登録する対応関係登録処理と、 前記クライアント計算機から前記サーバ計算機へのアク
セス時に、前記対応関係が登録されているか否かを判別
する認証処理と、 前記対応関係が登録されている場合に、登録した対応関
係に従って前記クライアント計算機に対応するユーザ識
別子を求める処理と、 前記求められたユーザ識別子と前記認可属性とに従って
前記資源へのアクセス認可を判断する認可処理と、を含
むことを特徴とする認証および認可方法。 - 【請求項2】請求項1において、前記対応関係登録処理
にて、前記ユーザ識別子ごとに、前記資源の生成時に付
される認可属性をあらかじめ登録しておき、 前記資源の生成時に、該登録された認可属性に従って、
生成された資源に対する認可属性を付加する付加処理を
さらに含むことを特徴とする認証および認可方法。 - 【請求項3】請求項1において、前記対応関係が登録さ
れていない場合に、未登録ユーザであることを示すユー
ザ識別子として共用ユーザ識別子を割当てる割当て処理
と、 前記共用ユーザ識別子を割り当てた未登録ユーザによる
前記資源の生成時に、該未登録ユーザのアクセスを認可
する認可属性と、該資源の所有者であることを示すオー
ナ情報として該未登録ユーザの前記クライアント計算機
の識別情報とを付加する付加処理とをさらに含み、 前記認可判断処理時に、前記オーナ情報に従って前記資
源へのアクセス認可をさらに判断することを特徴とする
認証および認可方法。 - 【請求項4】請求項3において、前記付加処理時に、前
記クライアント計算機から認可属性の設定を行うことを
特徴とする認証および認可方法。 - 【請求項5】請求項1において、他のネットワークから
の不正なアクセスを防止するためにクライアント計算機
の認証を行うセキュリティサーバにおいて、クライアン
ト計算機からサーバ計算機へのアクセス前に、他のネッ
トワークからの不正なアクセスを防止するための認証を
行うことを特徴とする認証および認可方法。 - 【請求項6】クライアント計算機からサーバ計算機にア
クセスし、前記サーバ計算機にて前記クライアント計算
機を認証し、該サーバ計算機に備える資源へのアクセス
認可を、該資源の生成時に付される認可属性により判断
する認証および認可方法であって、 前記クライアント計算機のアクセス時に、未登録ユーザ
であることを示すユーザ識別子として共用ユーザ識別子
を割当てる割当て処理と、 前記共用ユーザ識別子を割り当てた未登録ユーザによる
前記資源の生成時に、該未登録ユーザのアクセスを認可
する認可属性と、該資源の所有者であることを示すオー
ナ情報として該未登録ユーザの前記クライアント計算機
の識別情報とを付加する付加処理と、 前記認可属性と前記オーナ情報に従って前記資源へのア
クセス認可を判断する認可判断処理と、を含むことを特
徴とする認証および認可方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5057442A JPH06274431A (ja) | 1993-03-17 | 1993-03-17 | 異機種接続環境における認証および認可方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5057442A JPH06274431A (ja) | 1993-03-17 | 1993-03-17 | 異機種接続環境における認証および認可方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH06274431A true JPH06274431A (ja) | 1994-09-30 |
Family
ID=13055778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5057442A Pending JPH06274431A (ja) | 1993-03-17 | 1993-03-17 | 異機種接続環境における認証および認可方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH06274431A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11212850A (ja) * | 1998-01-29 | 1999-08-06 | Hitachi Ltd | 暗号化共有ファイル送受信システム |
| JP2002506248A (ja) * | 1998-03-03 | 2002-02-26 | ネットワーク・アプライアンス・インコーポレイテッド | マルチプロトコル・ファイルサーバにおけるファイル・アクセス制御 |
| JP2009009347A (ja) * | 2007-06-27 | 2009-01-15 | Ricoh Co Ltd | 情報処理システム及び情報処理装置 |
| JP2009104219A (ja) * | 2007-10-19 | 2009-05-14 | Softbank Mobile Corp | アカウントの開放閉塞手段を有するシステムおよびアカウント開放閉塞プログラム |
-
1993
- 1993-03-17 JP JP5057442A patent/JPH06274431A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11212850A (ja) * | 1998-01-29 | 1999-08-06 | Hitachi Ltd | 暗号化共有ファイル送受信システム |
| JP2002506248A (ja) * | 1998-03-03 | 2002-02-26 | ネットワーク・アプライアンス・インコーポレイテッド | マルチプロトコル・ファイルサーバにおけるファイル・アクセス制御 |
| JP2009009347A (ja) * | 2007-06-27 | 2009-01-15 | Ricoh Co Ltd | 情報処理システム及び情報処理装置 |
| JP2009104219A (ja) * | 2007-10-19 | 2009-05-14 | Softbank Mobile Corp | アカウントの開放閉塞手段を有するシステムおよびアカウント開放閉塞プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200228335A1 (en) | Authentication system for enhancing network security | |
| US11698958B2 (en) | Systems and methods for device and user authorization | |
| RU2337399C2 (ru) | Контекст устойчивой авторизации на основе внешней аутентификации | |
| RU2348070C2 (ru) | Способы и системы аутентификации пользователя для подобластей области сети | |
| US5339403A (en) | Access control in a distributed computer system | |
| EP1914658B1 (en) | Identity controlled data center | |
| US6807577B1 (en) | System and method for network log-on by associating legacy profiles with user certificates | |
| US6883100B1 (en) | Method and system for dynamic issuance of group certificates | |
| EP0456386B1 (en) | Access control in a distributed computer system | |
| US20020049912A1 (en) | Access control method | |
| US20040088543A1 (en) | Selective cross-realm authentication | |
| US20040098615A1 (en) | Mapping from a single sign-in service to a directory service | |
| CN109886675B (zh) | 基于区块链的资源访问令牌的分发和资源使用监控方法 | |
| JP2001265694A (ja) | 通信チャンネル設定の支援方法及びその具現のためのコンピューターで読出できる記録媒体 | |
| US11956228B2 (en) | Method and apparatus for securely managing computer process access to network resources through delegated system credentials | |
| US20230412400A1 (en) | Method for suspending protection of an object achieved by a protection device | |
| JP2007280393A (ja) | コンピューターログインをコントロールする装置およびその方法 | |
| CN111399980A (zh) | 容器编排器的安全认证方法、装置及系统 | |
| JPH05298174A (ja) | 遠隔ファイルアクセスシステム | |
| JPH06274431A (ja) | 異機種接続環境における認証および認可方法 | |
| KR100545676B1 (ko) | 사용자 단말기의 상태 정보를 이용한 인증 방법 및 시스템 | |
| JP2008090701A (ja) | 認証アクセス制御システム及びこれに使用するアドインモジュール | |
| EP1505795B1 (en) | Network device and method for use under non-security mode | |
| JP2024118884A (ja) | サーバシステム及び不正ユーザ検知方法 | |
| JP4611036B2 (ja) | ユーザ管理装置、ユーザ管理方法、ユーザ管理プログラム、およびユーザ管理プログラムを記録したコンピュータ読取り可能な記録媒体 |