JPH09160876A - Lanサーバ環境における相互確認の方法及び装置 - Google Patents
Lanサーバ環境における相互確認の方法及び装置Info
- Publication number
- JPH09160876A JPH09160876A JP8229538A JP22953896A JPH09160876A JP H09160876 A JPH09160876 A JP H09160876A JP 8229538 A JP8229538 A JP 8229538A JP 22953896 A JP22953896 A JP 22953896A JP H09160876 A JPH09160876 A JP H09160876A
- Authority
- JP
- Japan
- Prior art keywords
- server
- token
- response
- client
- security subsystem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 58
- 238000012790 confirmation Methods 0.000 title claims description 44
- 230000004044 response Effects 0.000 claims description 72
- 230000008569 process Effects 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 13
- 238000001514 detection method Methods 0.000 claims description 7
- 230000003213 activating effect Effects 0.000 claims description 6
- 239000000284 extract Substances 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 3
- 230000003993 interaction Effects 0.000 claims 1
- 230000007246 mechanism Effects 0.000 abstract description 18
- 238000012797 qualification Methods 0.000 abstract description 5
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- TVZRAEYQIKYCPH-UHFFFAOYSA-N 3-(trimethylsilyl)propane-1-sulfonic acid Chemical compound C[Si](C)(C)CCCS(O)(=O)=O TVZRAEYQIKYCPH-UHFFFAOYSA-N 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 101000848724 Homo sapiens Rap guanine nucleotide exchange factor 3 Proteins 0.000 description 1
- 102100034584 Rap guanine nucleotide exchange factor 3 Human genes 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/163—Interprocessor communication
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Multi Processors (AREA)
Abstract
機構をサポートする。 【解決手段】 LANサーバが、既存の機構を利用し
て、総称セキュリティ・サブシステム(GSS)DCE
資格証明を渡すことができるように構成される。サーバ
管理ブロック(SMB)プロトコルが拡張され、サーバ
はGSS APIインタフェースを用いて資格証明を獲
得及び確認する。GSSインタフェースが、クライアン
トとサーバ間で相互確認を達成するために必要な全ての
情報をカプセル化するトークンを提供する。こうしたS
MBプロトコル拡張に関して、折衝プロトコル(NP)
SMBにより交換される新たなプロトコル名を含む新た
なプロトコル・レベルが定義される。既存のLANサー
バがNP応答内のSMB_secmodeフィールドのビットをオ
ンし、サーバがsecpkgX SMBの交換をサポートすること
を示す。サーバは次にSMBsecpkgXまたはSMBsesssetupX
要求を待機する。
Description
テムにおける確認(authentication)に関し、特に、ク
ライアント−サーバ・ローカル・エリア・ネットワーク
(LAN)環境における確認技術に関する。
トアップでは、プロセスが従来通り発散し、図2に示さ
れるように、クライアント−ユーザ100及びサーバ1
02がネットワーク・プロトコル104(NP)を折衝
する。こうした折衝の間、プロトコル及び関連するプロ
トコル・レベル208が合意され(例えばCORE、LAN
2.1などに対応)、セッション・キー106がクライ
アント100に対して決定される。
ザID、名前、及びパスワードなどの情報112をサー
バ102に、より詳細には、リダイレクタ116(図
5)に伝送する。これはLANサーバ102への(から
の)ネットワーク・インタフェースとして機能する。リ
ダイレクタ116は本来、ネットワーク・インタフェー
ス、ディスク・ドライブの再転送(redirecting)、及
びファイル入出力などの目的を果たす。例えばクライア
ントがドライブに接続する場合、クライアントにとって
それはローカル・ドライブと思われるかも知れない。し
かしながら、リダイレクタは本来、ドライブを管理する
実際のファイル・システムにドライブ指定を渡し得るフ
ァイル・システムとして機能することにより、要求をク
ライアントから、ドライブを処理する実際のファイル・
サーバに再転送する。こうしたプロセスはクライアント
には透過的である。
にそのデータベース118(図3)を調査し、ユーザI
Dにもとづき、ユーザのパスワード及びセッション・キ
ー106(図2)を抽出し、一致が存在したか否かを判
断する。存在した場合、サーバ102はサーバのローカ
ル・データベース118からユーザ定義120(図3)
をフェッチする。このセッション・キー106は本来、
タイムスタンプまたは通し番号である。ここでの技法で
は、本発明の説明の中で明らかとなる理由から、データ
ベース118を使用するのではなく、分散コンピュータ
環境(DCE:Distributed Computing Environment)
及び関連するカベロス・レジストリ(Kerberos registr
y)122(図4)を使用し、より詳細には、ユーザ定
義が内在するDCEのディレクトリ及びセキュリティ・
サーバ(DSS)・コンポーネントを使用する。
ピュータ環境にログオンするとき、プロトコル104
(図2)を折衝し、その結果、プロトコル・レベル20
8が返却される。IBMのLANサーバ・エンタープラ
イズ(LSE)製品などの、DCEを使用する特定のL
ANサーバ環境では、DCEの利用を確認し、従ってL
ANに接続するユーザであるためのDCE資格証明(cr
edentials)を関連付けることが望ましい。なぜなら、
これは通常のLANサーバ確認機構によるよりも、相当
に安全な環境であると思われるからである。従って、ロ
グオン時に、サーバ102が理解し得るDCE資格証明
を獲得することが望ましく、こうしたDCE資格証明は
通常、遠隔プロシジャ呼び出し(RPC)を通じて獲得
される。
ーバ102にこうしたDCE資格証明を獲得する機構が
提供されないLANでは、問題が生じ得ることが判明し
ている。より詳細には、例えばLSE及び類似のLAN
製品では、元来RPC呼び出しが利用されないにも関わ
らず、サーバはセッションのセットアップの間に、ユー
ザを確認するために、真正の資格証明を獲得する必要が
ある。こうした資格証明は、POSIXアクセス制御リ
スト(ACL)により保護されるLSE資源へのアクセ
スを決定するために使用される。
サーバ機構を利用する一方で、現プロトコルによりクラ
イアントからサーバに、こうしたDCE資格証明を獲得
する機構を提供する重大な問題が提示される。こうした
現プロトコルには、例えばサーバ管理ブロック(SM
B)・プロトコルなど、通常X/Open協会により定義され
るものが含まれる。
は、コンピュータ化LANネットワーク内のLANサー
バ・マシンが、それらの既存の機構を利用して、総称セ
キュリティ・サブシステム(GSS:generic security
subsystem)分散コンピュータ環境(DCE)資格証明
を渡すことができるように構成される。X/Openにより定
義されるサーバ管理ブロック(SMB)・プロトコル
が、こうした資格証明の交換を容易にするように拡張さ
れる。サーバはDCEにより提供されるGSS API
インタフェースを用いて、こうした資格証明を獲得及び
確認する。GSSインタフェースは、クライアントとサ
ーバ間で相互確認を達成するために必要な全ての情報を
カプセル化するトークンを提供する。
コル拡張に関して新たなプロトコル・レベルが定義さ
れ、これは特定の実施例では、折衝プロトコル(NP:
negotiate protocol)SMBにより交換される新たなプ
ロトコル名を含む。IBM LANサーバ・エンタープ
ライズ(LSE)製品などの既存のLANサーバは、応
答内のSMB_secmodeフィールドのビット(LSEに関す
るビット2)をオンし、こうしたビットは、サーバがse
cpkgX SMBの交換をサポートすることを示す。サーバは
次にSMBsecpkgXまたはSMBsesssetupX要求を待機する。
前者の応答は、ユーザ/クライアント及びサーバがGS
Sトークンを交換し、相互に確認することを可能にし、
更に、サーバが複数のパッケージから選択することを可
能にする。既存のLANサーバ製品は、新たなパッケー
ジをSMB_pkgnameの名で定義し、LANサーバはこれを
GSS DCEトークンを処理するために送信及び認識
する。クライアント上のユーザは、SMBsecpkgXが伝送さ
れたとき確認される。なぜなら、確認は、サーバがユー
ザを追跡するために必要なデータ構造を割り当て、返却
するからである。
理に関して、クライアント側において、クライアントが
サーバに送信するトークンを獲得するためにgss_initia
te_sec_context機能が呼び出される。トークンがサーバ
に送信され、戻りトークンがサーバから受信される。戻
りトークンが次にgss_initiate_sec_context機能に渡さ
れ、これが次にサーバが確認されたか否かを返却する。
サーバが確認されない場合、セッションの確立が終了さ
れる。
るとき、トークンがgss_accept_sec_context機能により
抽出され、処理される。クライアントが確認されると、
クライアントに送信するためのトークンも受信される。
トークンはSMBsecpkgX応答により、クライアントに送信
される。SMBを送信後、サーバはユーザの資格証明を
GSSトークンから抽出する。資格証明がセッションの
データ構造に付加され、その後、ユーザが資源をアクセ
スしようとする度に利用される。
関して、ここで開示される好適な実施例では、LANサ
ーバ・リダイレクタは通常、リング0で実行され、GS
Sはリング3で実行される。このことは、リダイレクタ
及びGSSが直接通信し得ないことを意味する。従っ
て、本発明によれば、資格証明マネージャ・プロセスが
媒介として生成される。資格証明マネージャは、起動時
にリダイレクタに専用の(captive)スレッドを提供す
る。LANサーバへの接続が形成されるとき、リダイレ
クタは専用スレッドを用いてGSSトークンを要求し、
処理する。資格証明マネージャは、LANサーバに現在
ログオンされているユーザの資格証明を用いてトークン
を獲得する。ユーザ・プロファイル管理(UPM)プロ
セスは、資格証明マネージャにログオン及びログオフ事
象を通知する。これは資格証明マネージャが、セッショ
ンのセットアップ試行の度に、UPMに問い合わせるこ
と無く、ログオン・ユーザを追跡することを可能にす
る。
好適に実現され得るネットワーク環境について説明す
る。図1は、本発明の方法及びシステムを実現するため
に使用され得るデータ処理システム8を絵的に表してい
る。図示のように、データ処理システム8はLAN10
及びLAN32などの複数のネットワークを含み、各々
のLANは、好適には複数の個々のコンピュータ12、
12a乃至12c、30、31、33及び35を含む。
(以下、ネットワーク32内のコンピュータについて述
べる場合、コンピュータ30を任意に参照するが、説明
はネットワーク32内の任意のコンピュータに当てはま
る。)コンピュータ12及び30は、例えばIBMパー
ソナル・システム/2("PS/2"とも呼ばれる)・コ
ンピュータまたはIBM RISC SYSTEM/6000コンピュータ・
ワークステーションなどの、任意の好適なコンピュータ
を用いて実現される。ここで"RISC SYSTEM/6000"はIB
Mの商標であり、"パーソナル・システム/2"及び"P
S/2"はIBMの登録商標である。もちろん、当業者
には理解されるように、ホスト・プロセッサに接続され
る複数の高機能ワークステーション(IWS)が、こう
した各ネットワークにおいて使用され得る。
的なように、各個々のコンピュータは記憶装置14及び
(または)プリンタ/出力装置16に接続される。本発
明の方法によれば、1つ以上のこうした記憶装置14
が、文書、資源オブジェクト、または実行可能コードな
どのオブジェクトを記憶するために使用され、これらの
オブジェクトは、データ処理システム8内の任意のユー
ザにより周期的にアクセスされ得る。既知のようにし
て、記憶装置14内のこうした各オブジェクトは、オブ
ジェクトを例えば個々のコンピュータ12または30の
ユーザに転送することにより、データ処理システム8を
通じて自由に交換され得る。
ム8はメインフレーム・コンピュータ18などの、複数
のメインフレーム・コンピュータを含むことが分かる。
これらは、好適には通信リンク22によりLAN10に
接続される。メインフレーム・コンピュータ18は、I
BMから提供されるエンタープライズ・システム・アー
キテクチャ/370("ESA/370"とも呼ばれ
る)、またはエンタープライズ・システム・アーキテク
チャ/390("ESA/390"とも呼ばれる)コンピ
ュータを用いて実現され得る。アプリケーションに依存
して、例えばアプリケーション・システム/400("
AS/400"とも呼ばれる)などの、中型コンピュー
タも使用され得る。"エンタープライズ・システム・ア
ーキテクチャ/370"、"ESA/370"、"エンター
プライズ・システム・アーキテクチャ/390"、及び"
ESA/390"は、IBMの商標であり、"アプリケー
ション・システム/400"及び"AS/400"は、I
BMの登録商標である。メインフレーム・コンピュータ
18は更に、LAN10の遠隔記憶装置として機能し得
る記憶装置20にも接続され得る。同様に、LAN10
は通信リンク24、更にサブシステム制御ユニット/通
信制御装置26及び通信リンク34を通じて、ゲートウ
ェイ・サーバ28に接続され得る。ゲートウェイ・サー
バ28は好適には、LAN32をLAN10にリンクす
る機能を果たす個々のコンピュータまたはIWSであ
る。
したように、オブジェクトは記憶装置20内に記憶さ
れ、記憶されたオブジェクトのための資源マネージャま
たはファイル・システム・マネージャとしてのメインフ
レーム・コンピュータ18により制御され得る。もちろ
ん、当業者には、メインフレーム・コンピュータ18が
LAN10から地理的に遠く離れて配置されてもよく、
同様にLAN10がLAN32から遠く離れて配置され
得ることが理解されよう。例えば、LAN32がカルフ
ォルニア州に配置され、LAN10がテキサス州に配置
され、メインフレーム・コンピュータ18がニューヨー
ク州に配置されたりする。
テム8内に示される様々なコンピュータに組み込まれ得
る。
は、クライアント100(図2)がレジストリ122
(図4)にチケットを要求し、これが次にサーバ102
(図2)に渡される。幾つかのアプリケーションでは、
図7の124で示されるようなネット利用(NetUse)を
リダイレクタ116に発行し、これがプロトコルを開始
する。すなわち、本来、ユーザ発行コマンドがクライア
ント100をトリガし、サーバ102とのセッションを
セットアップする。このネット利用に応答して、リダイ
レクタ116は、プロトコル及びセッション・セットア
ップの折衝のために、X/OpenのSMB通信プロトコルに
従い、サーバ管理ブロック(SMB)を発行する。しか
しながら、本発明によれば、DCEの総称セキュリティ
・サブシステム(GSS)・コンポーネント126(図
7)、及び前述の図7の116で示されるリダイレクタ
を利用するLANサーバにおいて、要求を資格証明マネ
ージャ128を通じてGSS126に伝達する機構を提
供する問題が提示される。この機構を実現するために、
資格証明マネージャ128に対して状態マシン(図8)
が定義される。なぜなら、セッションをセットアップす
るために、資格証明マネージャとリダイレクタとの間で
コマンドが交換されるからである。この状態マシンの動
作は、図8に関連して以下で詳述される。
は、本来、ユーザを確認するために使用される機構であ
るパッケージの概念を提供する自由形式のセキュリティ
拡張である。固有のこうしたパッケージが、図7の13
0などのトークンの受け渡しを提供する本技法において
定義されることは、本発明の重要な特徴である。更に図
7を参照すると、このトークン130はGSS126か
ら資格証明マネージャ128に、そして次にリダイレク
タ116に渡されるように示される(図6にも示され
る)。ここで、リダイレクタ116が本来クライアント
のコンポーネントであることが思い起こされよう。サー
バはこのトークン130がGSSパッケージとして受信
された後に、これを処理するために、gss_accept_conte
xt呼び出し133(図6)を発行する。リダイレクタに
よるトークンの受信は、サーバ102に第2のトークン
132(図6)を獲得するように指示する。クライアン
ト100が次にこの第2のトークン132を資格証明マ
ネージャ128に、続いてGSS126転送し、この時
GSSがサーバ102を確認する。
を通じて転送されるとき、クライアントは本来、それ自
身をサーバに証明済みである。証明されていない場合、
セッションのセットアップは終了し、一方、証明されて
いる場合には、セッションのセットアップが実行され
る。サーバは既にクライアントを確認済みであるので、
サーバは機能呼び出しをGSS126に発行し、前述の
ように、定義をユーザのGSSから獲得する。従来のシ
ステムでは、前述のように、ユーザを確認するためのユ
ーザ定義120を獲得するために、サーバがそれら自身
のデータベース(図3の参照番号118で示される)を
保守した。しかしながら、本発明によれば、GSSがあ
らゆるサーバに対して複製されず、また異なるセキュリ
ティ機構がGSSの下で提供され得る。DCE拡張によ
りシステムは資格証明を獲得でき、ユーザが確認される
だけでなく、本システムによればユーザを確認したサー
バを知ることができる。GSSが使用されるが、確認の
ために実際に下位で使用されるのは、DCE内のカベロ
ス機能である。
る従来のLANサーバ・ワークステーション及びサーバ
が、それらの既存の機構を用いて、確認のためにGSS
DCE資格証明を受け渡すことを可能にするシステム
が開示される。ここで開示される特定の実施例では、I
BMから提供されるOS/2(商標)オペレーティング
・システムを実行するワークステーション及びサーバに
対して、変更が成されるが、本発明はこれに限るもので
はない。代表的なLANシステムに関する詳細について
は、"OS/2 Lan Server、Programming Guide and Refere
nce"(著作権IBM、S10H-9687-00、1994)を参照され
たい。しかしながら、上述の概念は、他のオペレーティ
ング・システムを実行するワークステーション及びサー
バにも拡張され得る。
バ製品に対する変更が、NP応答内のsmb_secmodeフィ
ールドの第2ビットをオンする。サーバは次に前述のSM
BsecpkgXまたはSMBsesssetupX要求を待機する。前者は
もちろん、ユーザ及びサーバがGSSトークンを交換
し、相互に確認し合うことを可能にし、これについては
X/Open社から提供される"PROTOCOLS FOR X/OPEN PC INT
ERWORKING: SMB VERSION 2"、Section 11.2で定義され
ている。この機能は、サーバが複数のパッケージから選
択することを可能にする。
は、長さ0のsmb_apasswdを有し得る。なぜなら確認が
既に発生しており、その中のあらゆる内容が無視される
からである。SMBsecpkgX要求が受信されないか、SMBsec
pkgX要求内に既知のパッケージが含まれないで受信され
た場合、smb_apasswdフィールドは、サーバがユーザを
確認するための有効パスワードを含まねばならない。こ
の場合、サーバはユーザの資格証明を獲得しなければな
らない。
ば、折衝プロトコルが次のように変更されなければなら
ない。secpkgX(上述のsecmodeフィールドのビット番号
2)をイネーブルするために、セット・フラグが生成さ
れる。更に、サーバがレガシ・クライアント(legacy c
lient)をサポートするか否かを決定する新たなsrvhuer
isticビットが提供される。レガシ・サポートがオフの
場合、サーバは折衝時に、レガシ・プロトコルのセット
を提供しない。このことは安全性が不確かなレガシ・ク
ライアントの接続を阻止する。
ベルが定義され、これは特定の技法では、ストリングL
SE10がワイヤー上を流れることを規定する。クロス
−セル・サーバのチケットを獲得するために、NP応答
がサーバのセル名及びその長さを含むように変化する。
セル名はドメイン名の後に置かれ、セキュリティ・コン
テキストを獲得するときに資格証明マネージャ128
(図5)により使用される。セル名はクロス−セル確認
のために要求されるが、折衝がLSE10ストリングに
帰着するときのみ送信される。
される。この機能はX/Open社から提供される前記"PROTO
COLS FOR X/OPEN PC INTERWORKING: SMB VERSION 2"、S
ection 11.2で定義されている。このフォーマットはこ
こで開示される実施例において使用され、特定の情報が
例えばIBMから提供されるLS4.0Eなどの、使用
される特定のLANサーバのために定義される。SMB_pk
glist構造では、SMB_pkgnameが"LANサーバ4.0E
GSS/DCEトークン"であり、これは前述のよう
に、LS4.0Eサーバ製品が送信または認識する唯一
のパッケージである。
構造が、次のように定義される。
ーが図式的に示される。最初に、ユーザがログオンし
(210)、ログイン・コンテキストがシステム・コン
テキストとしてセットされる(211)。次に、LSCred
MGR機能がユーザの資格証明を獲得し(212)、GS
S資格証明がシステム・コンテキストから生成される
(213)。続いて、サーバへのセッション・セットア
ップ要求が生成される(214)。次の一連のステップ
215乃至218は、DCEへのGSS呼び出しを含む
サーバのコンテキスト・トークンが獲得されることを表
す。
キスト・トークンを含むSMBsecpkg_X呼び出しが送信さ
れる。この時点で、サーバは始動時の資格証明を獲得し
(220、221)、SMBsecpkg_Xが受信される(22
2)。次にステップ223、224で、サーバはGSS_Ac
cept_context機能によりユーザを確認し、DCEへのG
SS呼び出しを含む応答トークンを受信する。続いてス
テップ225、226で、サーバはGSSトークンから
EPACを抽出する。次に、GSSコンテキスト・トー
クンを含むSMBsecpkg_X応答が送信され、受信される
(227)。次にステップ228乃至231により示さ
れるように、DCEへのGSS呼び出しを含むサーバの
コンテキスト・トークンが確認される。最後に、ステッ
プ232により示されるように、SMBSessSetup_Xが送信
され、受信される。
有するトークンを提供する従来の実施例に関連する。ト
ークンが消滅するとき、通常、サーバは自動的にクライ
アントとの接続を切断する。従って、トークンを周期的
にリフレッシュするための特定の手段が必要とされる。
プされた後、資格証明マネージャ128(図5)が、チ
ケットの残りのライフタイムを判断する。消滅の直前
に、こうした判断を実施した後、資格証明マネージャ1
28は好適には新たなトークンを獲得し、それをサーバ
102に転送する。このトークンは図6のトークン24
2として表され、図8の状態マシンにより提供される事
象モニタリング機能に関連して、詳細に後述される。
ージャ128がどのようにコンテキストを管理するかに
影響する。本来、次に示すように、資格証明マネージャ
に影響する4つのログオン事象が存在する。
機能238である。資格証明マネージャ128は、DC
Eシステム資格証明を獲得しなければならない。資格証
明はログオン実行からインポートされる。次に、ログオ
フ事象236が同様に、資格証明マネージャ128に影
響する。資格証明マネージャは、ログオン・ユーザのた
めに保持していた全てのセッション情報をクリアしなけ
ればならない。ログオフが発生するとき、リダイレクタ
が全てのセッションをクローズし、使用しているDCE
システム資格証明を解放する。この事象はクリーンアッ
プ及び状態保守のためにも必要とされる。第3に、資格
証明リフレッシュ234が上述のように提供される。こ
の事象は、資格証明マネージャが資格証明を消滅された
状態に遷移することを阻止する。資格証明キャッシュ名
は変化しない。システムが既に消滅状態の場合、新たな
コンテキスト及びキャッシュ名が獲得される。資格証明
マネージャは両方のタイプのリフレッシュを処理する。
第4に、図8の参照番号240で示されるように、資格
証明の消滅が状態マシンに提供される。資格証明が消滅
すると、資格証明マネージャ128はもはやチケットを
獲得できない。資格証明マネージャ128は従って、こ
の状態の間に要求が入来すると、エラー・コードをリダ
イレクタに返却する。ユーザがこの状態になると、資格
証明はリフレッシュされ得ずに、新たな資格証明のセッ
トがログオン実行により獲得される。
ライアント100がシャットダウンされるときに言及さ
れるべきである。こうした事象において、リダイレクタ
116はこれ(例えばネット停止機能)を検出し、その
時、リダイレクタ116により発行されるクローズ・コ
マンド(図7の260)が、資格証明マネージャ・プロ
セス128を終了させる。システムが再始動されると
き、リダイレクタ116はブートに際して明らかに開始
される。しかしながら、資格証明マネージャ128はG
SSの残りが開始されるまで、依然実行されない。GS
Sが開始すると、資格証明マネージャ128はトークン
・コマンド130を送信し、これはリダイレクタ116
内で専用(captive)に保持される。この実行スレッド
は次にリダイレクタにより使用され、リダイレクタは接
続1コマンド262を発行する。接続2コマンド264
は、スレッドを資格証明マネージャ128内において専
用に保持する。
発明の技法の追加のファクタは、注目に値する。DCE
用語では、"資格証明(credentials)"はカベロス・チ
ケット、またはより総称的には、ユーザ及びグループの
定義と見なされ得る。ユーザは例えば管理者、ゲスト、
ユーザなどのメンバである。こうした資格証明は通常、
1プロセス当たりを基本とし(on a per process basi
s)、各プロセスはいわばそれ自身のプロセスを管理す
る責任を託される。しかしながら、本発明によれば、資
格証明マネージャが、個々のプロセスを管理する全ての
ネットワーク・システムとして提供される。従って本発
明によれば、全てのこうした個々のプロセスは、前記項
目の責任が、通常例えば特定のログインの使用のよう
に、プロセス特有であると見なされると想定する限り、
DCE資格証明がそれらの下で動作していることを考え
ない。通常、これはアプリケーション毎に固有である。
しかしながら本発明によれば、プロセス特有のアプリケ
ーションが様々な呼び出しをするとき、それらがシステ
ム・レベル・ベースで管理され、資格証明マネージャは
各々のプロセスが何であるかを知り、トークンを獲得す
るために適切な資格証明を送信する。
比較的異類の機構を実現した2つのソフトウェア・エン
ティティが、本質的に併合される。より詳細には、本発
明はDCEコードと共に既存の機構を利用するLANサ
ーバ・マシンを提供し、それにより、従来のLANのこ
れら2つのエンティティ及びDCEコードが、継ぎ目無
く作用するようにまとめられる。セキュリティのLAN
技法が比較的単純な確認を提供し、そして本発明による
DCE確認を使用する利点の1つが、より複雑な確認機
構により、より安全な環境を提供することによることが
思い起こされよう。
共に動作することを可能にする資格証明マネージャ技法
の新規の提供に加え、X/Open仕様及びSMBアーキテク
チャの一部であるSMBsecpkgXパッケージを使用する本発
明のトークンの技法は、新規の結果を提供する。本発明
のこの面によれば、定義される新規のパッケージが、相
互確認を示すフラグ、前述のトークン、並びにユーザ名
を含む。ユーザ名は、通常、ユーザが定義されるセッシ
ョン・セットアップ時に、後のSMB内で獲得される。
SMBsecpkg_Xがセッション・セットアップ時に使用する
確認プロトコルの折衝であるのではなく、本発明によれ
ば、確認がセッション・セットアップから上流のSMBsec
pkgX機能に移される。
ットアップにおいて、ユーザが確認される。しかしなが
ら、本発明によれば、上述のように確認がSMBより以
前に移される。従って、システムがセッション・セット
アップに至るとき、セッション・セットアップを達成す
る作業が実行されるが、確認は要求されない。なぜな
ら、確認は既に達成されているからである。カスタムSM
Bsecpkg_Xパッケージの新規の使用を通じて確認が効果
的に、あるSMBから別のSMBに移される。しかしな
がら、このパッケージ機能の従来の利用は、製品がセッ
ション・キーにより暗号化されて送信されるときであ
り、本発明の特徴は、確認のための異なる機構(例えば
異なる暗号化アルゴリズム、キーなど)の指定を所望通
りに可能にする。しかしながら本発明の技法は、前述の
ように、確認をセッション・セットアップから上流のSM
Bsecpkg_Xパッケージの伝送に移すことを容易にする。
てきたが、当業者には、本発明の趣旨及び範囲から逸脱
すること無しに、その形態及び詳細における他の変更が
可能であることが理解されよう。
の事項を開示する。
ートしないローカル・エリア・ネットワーク・サーバ環
境において相互接続されるクライアントとサーバとの間
で、分散コンピュータ環境(DCE)資格証明により、
セッション・セットアップの間の相互確認を改良する方
法であって、資格証明を交換するためのサーバ管理ブロ
ック(SMB)・プロトコルの拡張を事前定義するステ
ップと、前記サーバにより、総称セキュリティ・サブシ
ステム(GSS)を前記事前定義済み拡張の機能とし
て、前記分散コンピュータ環境により定義される総称セ
キュリティ・サブシステムAPIインタフェースを通じ
てアクセスするステップと、前記アクセスに応答して、
前記総称セキュリティ・サブシステムから前記資格証明
を獲得し、確認するステップと、を含む、方法。 (2)前記アクセスするステップが、前記クライアント
及び前記サーバにより、前記相互確認を実行するために
必要な情報をカプセル化するトークンを取り出すステッ
プを含む、前記(1)記載の方法。 (3)前記サーバ管理ブロック・プロトコルの拡張が、
折衝プロトコル応答内のSMB_secmodeフィールド内の第
2ビットを活動化するステップを含む、前記(2)記載
の方法。 (4)前記サーバにより、SMBsecpkgX応答を検出するス
テップと、前記検出に応答して、前記クライアントと前
記サーバとの間で、前記相互確認を達成するための総称
セキュリティ・サブシステム・トークンを交換するステ
ップと、を含む、前記(3)記載の方法。 (5)前記SMBsecpkgX応答に対応する総称セキュリティ
・サブシステム/分散コンピュータ環境トークン・パッ
ケージを定義するステップを含む、前記(4)記載の方
法。 (6)前記クライアントにより、前記サーバに送信する
第1のトークンを獲得するためのGSS_initiate_sec_con
text機能を呼び出すステップと、前記クライアントから
の前記第1のトークンに応答して、前記GSS_initiate_s
ec_context機能に第2のトークンを転送するステップ
と、前記GSS_initiate_sec_context機能により、前記サ
ーバが確認されたか否かを返却するステップと、を含
む、前記(5)記載の方法。 (7)前記SMBsecpkgX応答の検出に応答して、前記サー
バにより前記第2のトークンを抽出するステップと、GS
S_accept_sec_context機能により、前記抽出されたトー
クンを処理するステップと、クライアント確認に応答し
て、前記サーバにより、前記クライアントに送信する総
称セキュリティ・サブシステム・トークンを受信するス
テップと、前記SMBsecpkgX応答にもとづき、前記総称セ
キュリティ・サブシステム・トークンを前記クライアン
トに転送するステップと、前記サーバにより、前記総称
セキュリティ・サブシステム・トークンから前記ユーザ
の資格証明を抽出するステップと、前記クライアントが
前記ネットワークの資源へのアクセスを探索するときの
ために、前記抽出された資格証明をセッション・データ
構造に付加するステップと、を含む、前記(6)記載の
方法。 (8)前記サーバがリダイレクタを含み、前記リダイレ
クタ及び前記総称セキュリティ・サブシステムが異なる
リングで動作し、前記方法が、資格証明マネージャ・プ
ロセスを、前記リダイレクタと前記総称セキュリティ・
サブシステムとの間の媒介として確立するステップを含
む、前記(7)記載の方法。 (9)遠隔プロシジャ呼び出しを元来サポートしないロ
ーカル・エリア・ネットワーク・サーバ環境において相
互接続されるクライアントとサーバとの間で、分散コン
ピュータ環境(DCE)資格証明によりセッション・セ
ットアップの間の相互確認を改良する装置であって、資
格証明を交換するためのサーバ管理ブロック(SMB)
・プロトコルの拡張を事前定義する手段と、前記サーバ
により、総称セキュリティ・サブシステム(GSS)を
前記事前定義済み拡張の機能として、前記分散コンピュ
ータ環境により定義される総称セキュリティ・サブシス
テムAPIインタフェースを通じてアクセスする手段
と、前記アクセスに応答して、前記総称セキュリティ・
サブシステムから資格証明を獲得し、確認する手段と、
を含む、装置。 (10)前記アクセスする手段が、前記クライアント及
び前記サーバにより、前記相互確認を実行するために必
要な情報をカプセル化するトークンを取り出す手段を含
む、前記(9)記載の装置。 (11)前記サーバ管理ブロック・プロトコルの前記拡
張のための手段が、折衝プロトコル応答内のSMB_secmod
eフィールド内の第2ビットを活動化する手段を含む、
前記(10)記載の装置。 (12)前記サーバにより、SMBsecpkgX応答を検出する
手段と、前記検出に応答して、前記クライアントと前記
サーバとの間で、前記相互確認を達成するための総称セ
キュリティ・サブシステム・トークンを交換する手段
と、を含む、前記(11)記載の装置。 (13)前記SMBsecpkgX応答に対応する総称セキュリテ
ィ・サブシステム/分散コンピュータ環境トークン・パ
ッケージを定義する手段を含む、前記(12)記載の装
置。 (14)前記クライアントにより、前記サーバに送信す
る第1のトークンを獲得するためのGSS_initiate_sec_c
ontext機能を呼び出す手段と、前記クライアントからの
前記第1のトークンに応答して、前記GSS_initiate_sec
_context機能に第2のトークンを転送する手段と、前記
GSS_initiate_sec_context機能により、前記サーバが確
認されたか否かを返却する手段と、を含む、前記(1
3)記載の装置。 (15)前記SMBsecpkgX応答の検出に応答して、前記サ
ーバにより前記第2のトークンを抽出する手段と、GSS_
accept_sec_context機能により、前記抽出されたトーク
ンを処理する手段と、クライアント確認に応答して、前
記サーバにより、前記クライアントに送信する総称セキ
ュリティ・サブシステム・トークンを受信する手段と、
前記SMBsecpkgX応答にもとづき、前記総称セキュリティ
・サブシステム・トークンを前記クライアントに転送す
る手段と、前記サーバにより、前記総称セキュリティ・
サブシステム・トークンから前記ユーザの資格証明を抽
出する手段と、前記クライアントが前記ネットワークの
資源へのアクセスを探索するするときのために、前記抽
出された資格証明をセッション・データ構造に付加する
手段と、を含む、前記(14)記載の装置。 (16)前記サーバがリダイレクタを含み、前記リダイ
レクタ及び前記総称セキュリティ・サブシステムが異な
るリングで動作し、前記装置が、資格証明マネージャ・
プロセスを、前記リダイレクタと前記総称セキュリティ
・サブシステムとの間の媒介として確立する手段を含
む、前記(15)記載の装置。 (17)遠隔プロシジャ呼び出しを元来サポートしない
ローカル・エリア・ネットワーク・サーバ環境において
相互接続されるクライアントとサーバとの間で、分散コ
ンピュータ環境(DCE)資格証明によりセッション・
セットアップの間の相互確認を改良するためのコンピュ
ータ・プログラム製品であって、資格証明を交換するた
めのサーバ管理ブロック(SMB)・プロトコルの拡張
を事前定義するコンピュータ読出し可能プログラム・コ
ード手段と、前記サーバにより、総称セキュリティ・サ
ブシステム(GSS)を前記事前定義済み拡張の機能と
して、前記分散コンピュータ環境により定義される総称
セキュリティ・サブシステムAPIインタフェースを通
じてアクセスするコンピュータ読出し可能プログラム・
コード手段と、前記アクセスに応答して、前記総称セキ
ュリティ・サブシステムから資格証明を獲得し、確認す
るコンピュータ読出し可能プログラム・コード手段と、
を含む、コンピュータ・プログラム製品。 (18)前記アクセスするコンピュータ読出し可能プロ
グラム・コード手段が、前記クライアント及び前記サー
バにより、前記相互確認を実行するために必要な情報を
カプセル化するトークンを取り出すコンピュータ読出し
可能プログラム・コード手段を含む、前記(17)記載
のコンピュータ・プログラム製品。 (19)前記サーバ管理ブロック・プロトコルの拡張の
ための前記コンピュータ読出し可能プログラム・コード
手段が、折衝プロトコル応答内のSMB_secmodeフィール
ド内の第2ビットを活動化するコンピュータ読出し可能
プログラム・コード手段を含む、前記(18)記載のコ
ンピュータ・プログラム製品。 (20)前記サーバにより、SMBsecpkgX応答を検出する
コンピュータ読出し可能プログラム・コード手段と、前
記検出に応答して、前記クライアントと前記サーバとの
間で、前記相互確認を達成するための総称セキュリティ
・サブシステム・トークンを交換するコンピュータ読出
し可能プログラム・コード手段と、を含む、前記(1
9)記載のコンピュータ・プログラム製品。 (21)前記SMBsecpkgX応答に対応する総称セキュリテ
ィ・サブシステム/分散コンピュータ環境トークン・パ
ッケージを定義するコンピュータ読出し可能プログラム
・コード手段を含む、前記(20)記載のコンピュータ
・プログラム製品。 (22)前記クライアントにより、前記サーバに送信す
る第1のトークンを獲得するためのGSS_initiate_sec_c
ontext機能を呼び出すコンピュータ読出し可能プログラ
ム・コード手段と、前記クライアントからの前記第1の
トークンに応答して、前記GSS_initiate_sec_context機
能に第2のトークンを転送するコンピュータ読出し可能
プログラム・コード手段と、前記GSS_initiate_sec_con
text機能により、前記サーバが確認されたか否かを返却
するコンピュータ読出し可能プログラム・コード手段
と、を含む、前記(21)記載のコンピュータ・プログ
ラム製品。 (23)前記SMBsecpkgX応答の検出に応答して、前記サ
ーバにより前記第2のトークンを抽出するコンピュータ
読出し可能プログラム・コード手段と、GSS_accept_sec
_context機能により、前記抽出されたトークンを処理す
るコンピュータ読出し可能プログラム・コード手段と、
クライアント確認に応答して、前記サーバにより、前記
クライアントに送信する総称セキュリティ・サブシステ
ム・トークンを受信するコンピュータ読出し可能プログ
ラム・コード手段と、前記SMBsecpkgX応答にもとづき、
前記総称セキュリティ・サブシステム・トークンを前記
クライアントに転送するコンピュータ読出し可能プログ
ラム・コード手段と、前記サーバにより、前記総称セキ
ュリティ・サブシステム・トークンから前記ユーザの資
格証明を抽出するコンピュータ読出し可能プログラム・
コード手段と、前記クライアントが前記ネットワークの
資源へのアクセスを探索するするときのために、前記抽
出された資格証明をセッション・データ構造に付加する
コンピュータ読出し可能プログラム・コード手段と、を
含む、前記(22)記載のコンピュータ・プログラム製
品。 (24)前記サーバがリダイレクタを含み、前記リダイ
レクタ及び前記総称セキュリティ・サブシステムが異な
るリングで動作し、前記コンピュータ・プログラム製品
が、資格証明マネージャ・プロセスを、前記リダイレク
タと前記総称セキュリティ・サブシステムとの間の媒介
として確立するコンピュータ読出し可能プログラム・コ
ード手段を含む、前記(23)記載のコンピュータ・プ
ログラム製品。
ットワークの機能ブロック図である。
ータベースの利用を示す図である。
CEレジストリの利用を示すブロック図である。
ンポーネント及び信号フローを示すブロック図である。
る。
を示すブロック図である。
ある。
5 コンピュータ 14、20 記憶装置 16 プリンタ/出力装置 18 メインフレーム・コンピュータ 22、24、34 通信リンク 26 サブシステム制御ユニット/通信制御装置 118 データベース
Claims (24)
- 【請求項1】遠隔プロシジャ呼び出しを元来サポートし
ないローカル・エリア・ネットワーク・サーバ環境にお
いて相互接続されるクライアントとサーバとの間で、分
散コンピュータ環境(DCE)資格証明により、セッシ
ョン・セットアップの間の相互確認を改良する方法であ
って、 資格証明を交換するためのサーバ管理ブロック(SM
B)・プロトコルの拡張を事前定義するステップと、 前記サーバにより、総称セキュリティ・サブシステム
(GSS)を前記事前定義済み拡張の機能として、前記
分散コンピュータ環境により定義される総称セキュリテ
ィ・サブシステムAPIインタフェースを通じてアクセ
スするステップと、 前記アクセスに応答して、前記総称セキュリティ・サブ
システムから前記資格証明を獲得し、確認するステップ
と、 を含む、方法。 - 【請求項2】前記アクセスするステップが、前記クライ
アント及び前記サーバにより、前記相互確認を実行する
ために必要な情報をカプセル化するトークンを取り出す
ステップを含む、請求項1記載の方法。 - 【請求項3】前記サーバ管理ブロック・プロトコルの拡
張が、折衝プロトコル応答内のSMB_secmodeフィールド
内の第2ビットを活動化するステップを含む、請求項2
記載の方法。 - 【請求項4】前記サーバにより、SMBsecpkgX応答を検出
するステップと、 前記検出に応答して、前記クライアントと前記サーバと
の間で、前記相互確認を達成するための総称セキュリテ
ィ・サブシステム・トークンを交換するステップと、 を含む、請求項3記載の方法。 - 【請求項5】前記SMBsecpkgX応答に対応する総称セキュ
リティ・サブシステム/分散コンピュータ環境トークン
・パッケージを定義するステップを含む、請求項4記載
の方法。 - 【請求項6】前記クライアントにより、前記サーバに送
信する第1のトークンを獲得するためのGSS_initiate_s
ec_context機能を呼び出すステップと、 前記クライアントからの前記第1のトークンに応答し
て、前記GSS_initiate_sec_context機能に第2のトーク
ンを転送するステップと、 前記GSS_initiate_sec_context機能により、前記サーバ
が確認されたか否かを返却するステップと、 を含む、請求項5記載の方法。 - 【請求項7】前記SMBsecpkgX応答の検出に応答して、前
記サーバにより前記第2のトークンを抽出するステップ
と、 GSS_accept_sec_context機能により、前記抽出されたト
ークンを処理するステップと、 クライアント確認に応答して、前記サーバにより、前記
クライアントに送信する総称セキュリティ・サブシステ
ム・トークンを受信するステップと、 前記SMBsecpkgX応答にもとづき、前記総称セキュリティ
・サブシステム・トークンを前記クライアントに転送す
るステップと、 前記サーバにより、前記総称セキュリティ・サブシステ
ム・トークンから前記ユーザの資格証明を抽出するステ
ップと、 前記クライアントが前記ネットワークの資源へのアクセ
スを探索するときのために、前記抽出された資格証明を
セッション・データ構造に付加するステップと、 を含む、請求項6記載の方法。 - 【請求項8】前記サーバがリダイレクタを含み、前記リ
ダイレクタ及び前記総称セキュリティ・サブシステムが
異なるリングで動作し、前記方法が、 資格証明マネージャ・プロセスを、前記リダイレクタと
前記総称セキュリティ・サブシステムとの間の媒介とし
て確立するステップを含む、 請求項7記載の方法。 - 【請求項9】遠隔プロシジャ呼び出しを元来サポートし
ないローカル・エリア・ネットワーク・サーバ環境にお
いて相互接続されるクライアントとサーバとの間で、分
散コンピュータ環境(DCE)資格証明によりセッショ
ン・セットアップの間の相互確認を改良する装置であっ
て、 資格証明を交換するためのサーバ管理ブロック(SM
B)・プロトコルの拡張を事前定義する手段と、 前記サーバにより、総称セキュリティ・サブシステム
(GSS)を前記事前定義済み拡張の機能として、前記
分散コンピュータ環境により定義される総称セキュリテ
ィ・サブシステムAPIインタフェースを通じてアクセ
スする手段と、 前記アクセスに応答して、前記総称セキュリティ・サブ
システムから資格証明を獲得し、確認する手段と、 を含む、装置。 - 【請求項10】前記アクセスする手段が、前記クライア
ント及び前記サーバにより、前記相互確認を実行するた
めに必要な情報をカプセル化するトークンを取り出す手
段を含む、請求項9記載の装置。 - 【請求項11】前記サーバ管理ブロック・プロトコルの
前記拡張のための手段が、折衝プロトコル応答内のSMB_
secmodeフィールド内の第2ビットを活動化する手段を
含む、請求項10記載の装置。 - 【請求項12】前記サーバにより、SMBsecpkgX応答を検
出する手段と、 前記検出に応答して、前記クライアントと前記サーバと
の間で、前記相互確認を達成するための総称セキュリテ
ィ・サブシステム・トークンを交換する手段と、 を含む、請求項11記載の装置。 - 【請求項13】前記SMBsecpkgX応答に対応する総称セキ
ュリティ・サブシステム/分散コンピュータ環境トーク
ン・パッケージを定義する手段を含む、請求項12記載
の装置。 - 【請求項14】前記クライアントにより、前記サーバに
送信する第1のトークンを獲得するためのGSS_initiate
_sec_context機能を呼び出す手段と、 前記クライアントからの前記第1のトークンに応答し
て、前記GSS_initiate_sec_context機能に第2のトーク
ンを転送する手段と、 前記GSS_initiate_sec_context機能により、前記サーバ
が確認されたか否かを返却する手段と、 を含む、請求項13記載の装置。 - 【請求項15】前記SMBsecpkgX応答の検出に応答して、
前記サーバにより前記第2のトークンを抽出する手段
と、 GSS_accept_sec_context機能により、前記抽出されたト
ークンを処理する手段と、 クライアント確認に応答して、前記サーバにより、前記
クライアントに送信する総称セキュリティ・サブシステ
ム・トークンを受信する手段と、 前記SMBsecpkgX応答にもとづき、前記総称セキュリティ
・サブシステム・トークンを前記クライアントに転送す
る手段と、 前記サーバにより、前記総称セキュリティ・サブシステ
ム・トークンから前記ユーザの資格証明を抽出する手段
と、 前記クライアントが前記ネットワークの資源へのアクセ
スを探索するするときのために、前記抽出された資格証
明をセッション・データ構造に付加する手段と、 を含む、請求項14記載の装置。 - 【請求項16】前記サーバがリダイレクタを含み、前記
リダイレクタ及び前記総称セキュリティ・サブシステム
が異なるリングで動作し、前記装置が、 資格証明マネージャ・プロセスを、前記リダイレクタと
前記総称セキュリティ・サブシステムとの間の媒介とし
て確立する手段を含む、 請求項15記載の装置。 - 【請求項17】遠隔プロシジャ呼び出しを元来サポート
しないローカル・エリア・ネットワーク・サーバ環境に
おいて相互接続されるクライアントとサーバとの間で、
分散コンピュータ環境(DCE)資格証明によりセッシ
ョン・セットアップの間の相互確認を改良するためのコ
ンピュータ・プログラム製品であって、 資格証明を交換するためのサーバ管理ブロック(SM
B)・プロトコルの拡張を事前定義するコンピュータ読
出し可能プログラム・コード手段と、 前記サーバにより、総称セキュリティ・サブシステム
(GSS)を前記事前定義済み拡張の機能として、前記
分散コンピュータ環境により定義される総称セキュリテ
ィ・サブシステムAPIインタフェースを通じてアクセ
スするコンピュータ読出し可能プログラム・コード手段
と、 前記アクセスに応答して、前記総称セキュリティ・サブ
システムから資格証明を獲得し、確認するコンピュータ
読出し可能プログラム・コード手段と、 を含む、コンピュータ・プログラム製品。 - 【請求項18】前記アクセスするコンピュータ読出し可
能プログラム・コード手段が、前記クライアント及び前
記サーバにより、前記相互確認を実行するために必要な
情報をカプセル化するトークンを取り出すコンピュータ
読出し可能プログラム・コード手段を含む、請求項17
記載のコンピュータ・プログラム製品。 - 【請求項19】前記サーバ管理ブロック・プロトコルの
拡張のための前記コンピュータ読出し可能プログラム・
コード手段が、折衝プロトコル応答内のSMB_secmodeフ
ィールド内の第2ビットを活動化するコンピュータ読出
し可能プログラム・コード手段を含む、請求項18記載
のコンピュータ・プログラム製品。 - 【請求項20】前記サーバにより、SMBsecpkgX応答を検
出するコンピュータ読出し可能プログラム・コード手段
と、 前記検出に応答して、前記クライアントと前記サーバと
の間で、前記相互確認を達成するための総称セキュリテ
ィ・サブシステム・トークンを交換するコンピュータ読
出し可能プログラム・コード手段と、 を含む、請求項19記載のコンピュータ・プログラム製
品。 - 【請求項21】前記SMBsecpkgX応答に対応する総称セキ
ュリティ・サブシステム/分散コンピュータ環境トーク
ン・パッケージを定義するコンピュータ読出し可能プロ
グラム・コード手段を含む、請求項20記載のコンピュ
ータ・プログラム製品。 - 【請求項22】前記クライアントにより、前記サーバに
送信する第1のトークンを獲得するためのGSS_initiate
_sec_context機能を呼び出すコンピュータ読出し可能プ
ログラム・コード手段と、 前記クライアントからの前記第1のトークンに応答し
て、前記GSS_initiate_sec_context機能に第2のトーク
ンを転送するコンピュータ読出し可能プログラム・コー
ド手段と、 前記GSS_initiate_sec_context機能により、前記サーバ
が確認されたか否かを返却するコンピュータ読出し可能
プログラム・コード手段と、 を含む、請求項21記載のコンピュータ・プログラム製
品。 - 【請求項23】前記SMBsecpkgX応答の検出に応答して、
前記サーバにより前記第2のトークンを抽出するコンピ
ュータ読出し可能プログラム・コード手段と、 GSS_accept_sec_context機能により、前記抽出されたト
ークンを処理するコンピュータ読出し可能プログラム・
コード手段と、 クライアント確認に応答して、前記サーバにより、前記
クライアントに送信する総称セキュリティ・サブシステ
ム・トークンを受信するコンピュータ読出し可能プログ
ラム・コード手段と、 前記SMBsecpkgX応答にもとづき、前記総称セキュリティ
・サブシステム・トークンを前記クライアントに転送す
るコンピュータ読出し可能プログラム・コード手段と、 前記サーバにより、前記総称セキュリティ・サブシステ
ム・トークンから前記ユーザの資格証明を抽出するコン
ピュータ読出し可能プログラム・コード手段と、 前記クライアントが前記ネットワークの資源へのアクセ
スを探索するするときのために、前記抽出された資格証
明をセッション・データ構造に付加するコンピュータ読
出し可能プログラム・コード手段と、 を含む、請求項22記載のコンピュータ・プログラム製
品。 - 【請求項24】前記サーバがリダイレクタを含み、前記
リダイレクタ及び前記総称セキュリティ・サブシステム
が異なるリングで動作し、前記コンピュータ・プログラ
ム製品が、 資格証明マネージャ・プロセスを、前記リダイレクタと
前記総称セキュリティ・サブシステムとの間の媒介とし
て確立するコンピュータ読出し可能プログラム・コード
手段を含む、 請求項23記載のコンピュータ・プログラム製品。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US08/570463 | 1995-12-11 | ||
US08/570,463 US5764887A (en) | 1995-12-11 | 1995-12-11 | System and method for supporting distributed computing mechanisms in a local area network server environment |
Publications (1)
Publication Number | Publication Date |
---|---|
JPH09160876A true JPH09160876A (ja) | 1997-06-20 |
Family
ID=24279747
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP8229538A Pending JPH09160876A (ja) | 1995-12-11 | 1996-08-30 | Lanサーバ環境における相互確認の方法及び装置 |
Country Status (7)
Country | Link |
---|---|
US (1) | US5764887A (ja) |
EP (1) | EP0779570B1 (ja) |
JP (1) | JPH09160876A (ja) |
KR (1) | KR100194252B1 (ja) |
CN (1) | CN1101021C (ja) |
DE (1) | DE69613948T2 (ja) |
MY (1) | MY112685A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001282649A (ja) * | 2000-03-22 | 2001-10-12 | Internatl Business Mach Corp <Ibm> | クライアントのプロファイル情報をサーバに提供する方法とシステム |
US7424743B2 (en) | 2001-01-25 | 2008-09-09 | Solutionary, Inc. | Apparatus for verifying the integrity of computer networks and implementation of countermeasures |
Families Citing this family (122)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6088451A (en) * | 1996-06-28 | 2000-07-11 | Mci Communications Corporation | Security system and method for network element access |
US5987611A (en) * | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
US5987608A (en) * | 1997-05-13 | 1999-11-16 | Netscape Communications Corporation | Java security mechanism |
US6070243A (en) | 1997-06-13 | 2000-05-30 | Xylan Corporation | Deterministic user authentication service for communication network |
US5948064A (en) * | 1997-07-07 | 1999-09-07 | International Business Machines Corporation | Discovery of authentication server domains in a computer network |
US6418466B1 (en) * | 1997-07-10 | 2002-07-09 | International Business Machines Corporation | Management of authentication discovery policy in a computer network |
US6058426A (en) * | 1997-07-14 | 2000-05-02 | International Business Machines Corporation | System and method for automatically managing computing resources in a distributed computing environment |
US5983272A (en) | 1997-08-29 | 1999-11-09 | Cisco Technology, Inc. | Option request protocol |
US6311226B1 (en) * | 1997-08-29 | 2001-10-30 | Cisco Technology, Inc. | Method and apparatus for dynamic link name negotiation |
JP3748155B2 (ja) * | 1997-11-14 | 2006-02-22 | 富士通株式会社 | 改ざん防止/検出機能を有するファイル管理システム |
US6246771B1 (en) * | 1997-11-26 | 2001-06-12 | V-One Corporation | Session key recovery system and method |
US6035405A (en) * | 1997-12-22 | 2000-03-07 | Nortel Networks Corporation | Secure virtual LANs |
US6339826B2 (en) * | 1998-05-05 | 2002-01-15 | International Business Machines Corp. | Client-server system for maintaining a user desktop consistent with server application user access permissions |
DE19929515A1 (de) * | 1998-07-01 | 2000-01-05 | Nat Semiconductor Corp | Sicherer Anschlußzugriff auf ein Gerät eines lokalen Netzwerks |
US6209101B1 (en) * | 1998-07-17 | 2001-03-27 | Secure Computing Corporation | Adaptive security system having a hierarchy of security servers |
EP0978977A1 (en) | 1998-08-07 | 2000-02-09 | International Business Machines Corporation | A method and system for improving high speed internetwork data transfers |
US6711178B1 (en) | 1998-09-08 | 2004-03-23 | Cisco Technology, Inc. | Enhanced claw packing protocol |
US6606663B1 (en) * | 1998-09-29 | 2003-08-12 | Openwave Systems Inc. | Method and apparatus for caching credentials in proxy servers for wireless user agents |
US6374402B1 (en) * | 1998-11-16 | 2002-04-16 | Into Networks, Inc. | Method and apparatus for installation abstraction in a secure content delivery system |
US6763370B1 (en) | 1998-11-16 | 2004-07-13 | Softricity, Inc. | Method and apparatus for content protection in a secure content delivery system |
US7017188B1 (en) * | 1998-11-16 | 2006-03-21 | Softricity, Inc. | Method and apparatus for secure content delivery over broadband access networks |
US6182267B1 (en) | 1998-11-20 | 2001-01-30 | Cisco Technology, Inc. | Ensuring accurate data checksum |
US7181486B1 (en) | 1998-12-07 | 2007-02-20 | Network Ice Corporation | Method and apparatus for remote installation of network drivers and software |
IL143573A0 (en) | 1998-12-09 | 2002-04-21 | Network Ice Corp | A method and apparatus for providing network and computer system security |
US6324578B1 (en) | 1998-12-14 | 2001-11-27 | International Business Machines Corporation | Methods, systems and computer program products for management of configurable application programs on a network |
US6510466B1 (en) * | 1998-12-14 | 2003-01-21 | International Business Machines Corporation | Methods, systems and computer program products for centralized management of application programs on a network |
US6529937B1 (en) * | 1999-01-29 | 2003-03-04 | International Business Machines Corporation | System and method for communicating client IP addresses to server applications |
TW518497B (en) * | 1999-03-30 | 2003-01-21 | Sony Corp | Information processing system |
US7730169B1 (en) | 1999-04-12 | 2010-06-01 | Softricity, Inc. | Business method and system for serving third party software applications |
US7370071B2 (en) * | 2000-03-17 | 2008-05-06 | Microsoft Corporation | Method for serving third party software applications from servers to client computers |
US7213262B1 (en) | 1999-05-10 | 2007-05-01 | Sun Microsystems, Inc. | Method and system for proving membership in a nested group using chains of credentials |
US6883100B1 (en) | 1999-05-10 | 2005-04-19 | Sun Microsystems, Inc. | Method and system for dynamic issuance of group certificates |
US8099758B2 (en) | 1999-05-12 | 2012-01-17 | Microsoft Corporation | Policy based composite file system and method |
US7346929B1 (en) * | 1999-07-29 | 2008-03-18 | International Business Machines Corporation | Method and apparatus for auditing network security |
US6769068B1 (en) * | 1999-09-02 | 2004-07-27 | International Business Machines Corporation | Dynamic credential refresh in a distributed system |
US6865679B1 (en) | 1999-10-01 | 2005-03-08 | International Business Machines Corporation | Method, system, and program for accessing a system without using a provided login facility |
US6385701B1 (en) | 1999-11-19 | 2002-05-07 | International Business Machines Corporation | Method, system and program products for sharing data between varied clients using token management |
US8006243B2 (en) * | 1999-12-07 | 2011-08-23 | International Business Machines Corporation | Method and apparatus for remote installation of network drivers and software |
EP1109099A1 (en) * | 1999-12-17 | 2001-06-20 | Alcatel | Using secured calls in object-oriented software applications |
GB2366640B (en) * | 2000-03-30 | 2004-12-29 | Ibm | Distribution of activation information |
US7058798B1 (en) | 2000-04-11 | 2006-06-06 | Sun Microsystems, Inc. | Method ans system for pro-active credential refreshing |
US7574740B1 (en) | 2000-04-28 | 2009-08-11 | International Business Machines Corporation | Method and system for intrusion detection in a computer network |
JP4700884B2 (ja) * | 2000-04-28 | 2011-06-15 | インターナショナル・ビジネス・マシーンズ・コーポレーション | コンピュータのセキュリティ情報を管理するための方法およびシステム |
US7921459B2 (en) * | 2000-04-28 | 2011-04-05 | International Business Machines Corporation | System and method for managing security events on a network |
US7162649B1 (en) | 2000-06-30 | 2007-01-09 | Internet Security Systems, Inc. | Method and apparatus for network assessment and authentication |
US6907531B1 (en) | 2000-06-30 | 2005-06-14 | Internet Security Systems, Inc. | Method and system for identifying, fixing, and updating security vulnerabilities |
US7093239B1 (en) * | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
US7178166B1 (en) | 2000-09-19 | 2007-02-13 | Internet Security Systems, Inc. | Vulnerability assessment and authentication of a computer by a local scanner |
US9027121B2 (en) * | 2000-10-10 | 2015-05-05 | International Business Machines Corporation | Method and system for creating a record for one or more computer security incidents |
US7146305B2 (en) * | 2000-10-24 | 2006-12-05 | Vcis, Inc. | Analytical virtual machine |
US7130466B2 (en) * | 2000-12-21 | 2006-10-31 | Cobion Ag | System and method for compiling images from a database and comparing the compiled images with known images |
US7412598B1 (en) * | 2000-12-29 | 2008-08-12 | Cisco Technology, Inc. | Method and system for real-time insertion of service during a call session over a communication network |
WO2002062049A2 (en) * | 2001-01-31 | 2002-08-08 | Timothy David Dodd | Method and system for calculating risk in association with a security audit of a computer network |
US6959336B2 (en) * | 2001-04-07 | 2005-10-25 | Secure Data In Motion, Inc. | Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets |
US7769845B2 (en) * | 2001-05-04 | 2010-08-03 | Whale Communications Ltd | Method and system for terminating an authentication session upon user sign-off |
US20020169967A1 (en) * | 2001-05-14 | 2002-11-14 | Sangeeta Varma | Method and apparatus for multiple token access to thin client architecture session |
WO2002097587A2 (en) * | 2001-05-31 | 2002-12-05 | Internet Security Systems, Inc. | Method and system for implementing security devices in a network |
US7237264B1 (en) | 2001-06-04 | 2007-06-26 | Internet Security Systems, Inc. | System and method for preventing network misuse |
US7657419B2 (en) * | 2001-06-19 | 2010-02-02 | International Business Machines Corporation | Analytical virtual machine |
US8751647B1 (en) | 2001-06-30 | 2014-06-10 | Extreme Networks | Method and apparatus for network login authorization |
US20040107360A1 (en) * | 2002-12-02 | 2004-06-03 | Zone Labs, Inc. | System and Methodology for Policy Enforcement |
US8200818B2 (en) * | 2001-07-06 | 2012-06-12 | Check Point Software Technologies, Inc. | System providing internet access management with router-based policy enforcement |
US7546629B2 (en) * | 2002-03-06 | 2009-06-09 | Check Point Software Technologies, Inc. | System and methodology for security policy arbitration |
US7590684B2 (en) * | 2001-07-06 | 2009-09-15 | Check Point Software Technologies, Inc. | System providing methodology for access control with cooperative enforcement |
US7222359B2 (en) * | 2001-07-27 | 2007-05-22 | Check Point Software Technologies, Inc. | System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices |
US7529778B1 (en) | 2001-12-12 | 2009-05-05 | Microsoft Corporation | System and method for providing access to consistent point-in-time file versions |
US7673137B2 (en) | 2002-01-04 | 2010-03-02 | International Business Machines Corporation | System and method for the managed security control of processes on a computer system |
US7076798B2 (en) * | 2002-02-07 | 2006-07-11 | International Business Machines Corporation | Securing non-EJB corba objects using an EJB security mechanism |
US7571467B1 (en) | 2002-02-26 | 2009-08-04 | Microsoft Corporation | System and method to package security credentials for later use |
US7370360B2 (en) | 2002-05-13 | 2008-05-06 | International Business Machines Corporation | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine |
US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
US7685287B2 (en) * | 2002-05-30 | 2010-03-23 | Microsoft Corporation | Method and system for layering an infinite request/reply data stream on finite, unidirectional, time-limited transports |
US7370194B2 (en) * | 2002-06-10 | 2008-05-06 | Microsoft Corporation | Security gateway for online console-based gaming |
US7565537B2 (en) * | 2002-06-10 | 2009-07-21 | Microsoft Corporation | Secure key exchange with mutual authentication |
US20040009815A1 (en) * | 2002-06-26 | 2004-01-15 | Zotto Banjamin O. | Managing access to content |
US6850943B2 (en) * | 2002-10-18 | 2005-02-01 | Check Point Software Technologies, Inc. | Security system and methodology for providing indirect access control |
US20040098614A1 (en) * | 2002-11-14 | 2004-05-20 | International Business Machines Corporation | JAAS security and COBRA security integration |
US7165076B2 (en) * | 2002-11-15 | 2007-01-16 | Check Point Software Technologies, Inc. | Security system with methodology for computing unique security signature for executable file employed across different machines |
US7913303B1 (en) | 2003-01-21 | 2011-03-22 | International Business Machines Corporation | Method and system for dynamically protecting a computer system from attack |
US8136155B2 (en) * | 2003-04-01 | 2012-03-13 | Check Point Software Technologies, Inc. | Security system with methodology for interprocess communication control |
US7318097B2 (en) | 2003-06-17 | 2008-01-08 | International Business Machines Corporation | Security checking program for communication between networks |
US7788726B2 (en) * | 2003-07-02 | 2010-08-31 | Check Point Software Technologies, Inc. | System and methodology providing information lockbox |
US7568107B1 (en) * | 2003-08-20 | 2009-07-28 | Extreme Networks, Inc. | Method and system for auto discovery of authenticator for network login |
US7657938B2 (en) * | 2003-10-28 | 2010-02-02 | International Business Machines Corporation | Method and system for protecting computer networks by altering unwanted network data traffic |
US8281114B2 (en) * | 2003-12-23 | 2012-10-02 | Check Point Software Technologies, Inc. | Security system with methodology for defending against security breaches of peripheral devices |
KR100962860B1 (ko) * | 2004-02-03 | 2010-06-09 | 인터내셔널 비지네스 머신즈 코포레이션 | 소프트웨어 라이센스 관리 시스템, 소프트웨어 제어기, 라이센스 관리 서버, 소프트웨어 제품 사용의 제어 방법 및 라이센스 관리 서버의 작동 방법 |
US7496649B2 (en) * | 2004-02-20 | 2009-02-24 | Microsoft Corporation | Policy application across multiple nodes |
US7243157B2 (en) * | 2004-02-20 | 2007-07-10 | Microsoft Corporation | Dynamic protocol construction |
US7664828B2 (en) * | 2004-02-20 | 2010-02-16 | Microsoft Corporation | Invalid policy detection |
US8136149B2 (en) * | 2004-06-07 | 2012-03-13 | Check Point Software Technologies, Inc. | Security system with methodology providing verified secured individual end points |
US7617256B2 (en) * | 2004-07-19 | 2009-11-10 | Microsoft Corporation | Remote file updates through remote protocol |
KR100644637B1 (ko) * | 2004-10-11 | 2006-11-10 | 삼성전자주식회사 | Smb 프로토콜을 이용한 데이터 인쇄 장치 및 방법 |
US7627896B2 (en) * | 2004-12-24 | 2009-12-01 | Check Point Software Technologies, Inc. | Security system providing methodology for cooperative enforcement of security policies during SSL sessions |
US8332526B2 (en) * | 2005-05-25 | 2012-12-11 | Microsoft Corporation | Data communication protocol including negotiation and command compounding |
US20070101409A1 (en) * | 2005-11-01 | 2007-05-03 | Microsoft Corporation | Exchange of device parameters during an authentication session |
US7581004B2 (en) * | 2006-02-15 | 2009-08-25 | Gabriel Jakobson | System and method for alerting on open file-share sessions on a user's electronic device |
US8667076B2 (en) * | 2006-07-28 | 2014-03-04 | Microsoft Corporation | Mapping universal plug and play discovered items to an SMB location |
US8201218B2 (en) * | 2007-02-28 | 2012-06-12 | Microsoft Corporation | Strategies for securely applying connection policies via a gateway |
US8334891B2 (en) | 2007-03-05 | 2012-12-18 | Cisco Technology, Inc. | Multipoint conference video switching |
US7770214B2 (en) * | 2007-04-17 | 2010-08-03 | International Business Machines Corporation | Apparatus, system, and method for establishing a reusable and reconfigurable model for fast and persistent connections in database drivers |
US8264521B2 (en) | 2007-04-30 | 2012-09-11 | Cisco Technology, Inc. | Media detection and packet distribution in a multipoint conference |
US20090006537A1 (en) * | 2007-06-29 | 2009-01-01 | Microsoft Corporation | Virtual Desktop Integration with Terminal Services |
KR101092675B1 (ko) * | 2007-07-06 | 2011-12-09 | 엘지전자 주식회사 | 무선 네트워크 관리 방법 및 그 방법을 지원하는 스테이션 |
JP2011507414A (ja) * | 2007-12-21 | 2011-03-03 | コクーン データ ホールディングス リミテッド | データの安全を保護するためのシステムおよび方法 |
US9026623B2 (en) * | 2008-01-31 | 2015-05-05 | Microsoft Technology Licensing, Llc | Layered architectures for remote dynamic administration of distributed client configurations |
US8683062B2 (en) * | 2008-02-28 | 2014-03-25 | Microsoft Corporation | Centralized publishing of network resources |
US8725647B2 (en) * | 2008-03-27 | 2014-05-13 | Ca, Inc. | Method and system for determining software license compliance |
US20090249493A1 (en) * | 2008-03-27 | 2009-10-01 | Computer Associates Think, Inc. | Method and System for Determining Software License Compliance |
US20090259757A1 (en) * | 2008-04-15 | 2009-10-15 | Microsoft Corporation | Securely Pushing Connection Settings to a Terminal Server Using Tickets |
US8612862B2 (en) | 2008-06-27 | 2013-12-17 | Microsoft Corporation | Integrated client for access to remote resources |
US8489685B2 (en) | 2009-07-17 | 2013-07-16 | Aryaka Networks, Inc. | Application acceleration as a service system and method |
US20110209206A1 (en) * | 2010-02-23 | 2011-08-25 | Microsoft Corporation | Access restriction for computing content |
US8631277B2 (en) | 2010-12-10 | 2014-01-14 | Microsoft Corporation | Providing transparent failover in a file system |
US9331955B2 (en) | 2011-06-29 | 2016-05-03 | Microsoft Technology Licensing, Llc | Transporting operations of arbitrary size over remote direct memory access |
US8856582B2 (en) | 2011-06-30 | 2014-10-07 | Microsoft Corporation | Transparent failover |
AU2011101297B4 (en) | 2011-08-15 | 2012-06-14 | Uniloc Usa, Inc. | Remote recognition of an association between remote devices |
US8788579B2 (en) | 2011-09-09 | 2014-07-22 | Microsoft Corporation | Clustered client failover |
US20130067095A1 (en) | 2011-09-09 | 2013-03-14 | Microsoft Corporation | Smb2 scaleout |
US9286466B2 (en) | 2013-03-15 | 2016-03-15 | Uniloc Luxembourg S.A. | Registration and authentication of computing devices using a digital skeleton key |
KR101824895B1 (ko) | 2013-10-25 | 2018-02-02 | 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 | 네트워크 기록을 통한 무선 장치에 대한 보안 접속 |
US9801055B2 (en) * | 2015-03-30 | 2017-10-24 | Qualcomm Incorporated | Authentication and key agreement with perfect forward secrecy |
US10341091B2 (en) * | 2016-01-15 | 2019-07-02 | Bittium Wireless Oy | Secure memory storage |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5239662A (en) * | 1986-09-15 | 1993-08-24 | Norand Corporation | System including multiple device communications controller which coverts data received from two different customer transaction devices each using different communications protocols into a single communications protocol |
EP0398492B1 (en) * | 1989-05-15 | 1997-01-22 | International Business Machines Corporation | A flexible interface to authentication services in a distributed data processing system |
US5560008A (en) * | 1989-05-15 | 1996-09-24 | International Business Machines Corporation | Remote authentication and authorization in a distributed data processing system |
US5204961A (en) * | 1990-06-25 | 1993-04-20 | Digital Equipment Corporation | Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols |
DE69127965T2 (de) * | 1990-08-29 | 1998-02-12 | Hughes Aircraft Co | Verteiltes benutzerauthentisierungsprotokoll |
JP2671649B2 (ja) * | 1991-07-08 | 1997-10-29 | 三菱電機株式会社 | 認証方式 |
US5434562A (en) * | 1991-09-06 | 1995-07-18 | Reardon; David C. | Method for limiting computer access to peripheral devices |
US5418854A (en) * | 1992-04-28 | 1995-05-23 | Digital Equipment Corporation | Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system |
US5369705A (en) * | 1992-06-03 | 1994-11-29 | International Business Machines Corporation | Multi-party secure session/conference |
US5235642A (en) * | 1992-07-21 | 1993-08-10 | Digital Equipment Corporation | Access control subsystem and method for distributed computer system using locally cached authentication credentials |
US5432932A (en) * | 1992-10-23 | 1995-07-11 | International Business Machines Corporation | System and method for dynamically controlling remote processes from a performance monitor |
US5329619A (en) * | 1992-10-30 | 1994-07-12 | Software Ag | Cooperative processing interface and communication broker for heterogeneous computing environments |
US5428351A (en) * | 1992-12-28 | 1995-06-27 | General Electric Company | Method and apparatus for sharing passwords |
US5491752A (en) * | 1993-03-18 | 1996-02-13 | Digital Equipment Corporation, Patent Law Group | System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens |
CA2107299C (en) * | 1993-09-29 | 1997-02-25 | Mehrad Yasrebi | High performance machine for switched communications in a heterogenous data processing network gateway |
US5414833A (en) * | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
US5434918A (en) * | 1993-12-14 | 1995-07-18 | Hughes Aircraft Company | Method for providing mutual authentication of a user and a server on a network |
US5495533A (en) * | 1994-04-29 | 1996-02-27 | International Business Machines Corporation | Personal key archive |
-
1995
- 1995-12-11 US US08/570,463 patent/US5764887A/en not_active Expired - Fee Related
-
1996
- 1996-08-30 JP JP8229538A patent/JPH09160876A/ja active Pending
- 1996-10-21 KR KR1019960047086A patent/KR100194252B1/ko not_active IP Right Cessation
- 1996-11-13 DE DE69613948T patent/DE69613948T2/de not_active Expired - Fee Related
- 1996-11-13 EP EP96308205A patent/EP0779570B1/en not_active Expired - Lifetime
- 1996-11-28 CN CN96118517A patent/CN1101021C/zh not_active Expired - Fee Related
- 1996-11-28 MY MYPI96004997A patent/MY112685A/en unknown
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001282649A (ja) * | 2000-03-22 | 2001-10-12 | Internatl Business Mach Corp <Ibm> | クライアントのプロファイル情報をサーバに提供する方法とシステム |
US6978373B1 (en) | 2000-03-22 | 2005-12-20 | International Business Machines Corporation | Methods systems and computer program products for providing secure client profile completion by network intermediaries |
US7424743B2 (en) | 2001-01-25 | 2008-09-09 | Solutionary, Inc. | Apparatus for verifying the integrity of computer networks and implementation of countermeasures |
US8261347B2 (en) | 2001-01-25 | 2012-09-04 | Solutionary, Inc. | Security system for a computer network having a security subsystem and a master system which monitors the integrity of a security subsystem |
US8931077B2 (en) | 2001-01-25 | 2015-01-06 | Solutionary, Inc. | Security system for a computer network having a security subsystem and a master system which monitors the integrity of a security subsystem |
Also Published As
Publication number | Publication date |
---|---|
US5764887A (en) | 1998-06-09 |
EP0779570B1 (en) | 2001-07-18 |
CN1155119A (zh) | 1997-07-23 |
EP0779570A1 (en) | 1997-06-18 |
KR970049735A (ko) | 1997-07-29 |
DE69613948T2 (de) | 2002-01-24 |
MY112685A (en) | 2001-07-31 |
CN1101021C (zh) | 2003-02-05 |
KR100194252B1 (ko) | 1999-06-15 |
DE69613948D1 (de) | 2001-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JPH09160876A (ja) | Lanサーバ環境における相互確認の方法及び装置 | |
US7526640B2 (en) | System and method for automatic negotiation of a security protocol | |
JP6656157B2 (ja) | ネットワーク接続自動化 | |
TWI400922B (zh) | 在聯盟中主用者之認證 | |
US8819416B2 (en) | Method and system for modular authentication and session management | |
US6339423B1 (en) | Multi-domain access control | |
JP5139423B2 (ja) | ネットワーク資源に対するシングルサインオン及び安全なアクセスのためのポリシ駆動の証明情報委譲 | |
US8117317B2 (en) | Systems and methods for integrating local systems with cloud computing resources | |
KR100188503B1 (ko) | 원격 사용자와 응용 서버간의 통신 관리 방법, 원격 사용자의 주체 인증 방법, 분산 컴퓨터 환경을 제공하는 네트워크 및 프로그램 저장 장치 | |
EP3132559B1 (en) | Automatic log-in and log-out of a session with session sharing | |
CN112995219B (zh) | 一种单点登录方法、装置、设备及存储介质 | |
US8528057B1 (en) | Method and apparatus for account virtualization | |
CN112136303A (zh) | 用于耗时操作的刷新令牌的安全委托 | |
CN103404103A (zh) | 将访问控制系统与业务管理系统相结合的系统和方法 | |
GB2440425A (en) | Single sign-on system which translates authentication tokens | |
TW200811685A (en) | System and method for tracking the security enforcement in a grid system | |
JPH10177548A (ja) | セッション管理システム | |
US20230262045A1 (en) | Secure management of a robotic process automation environment | |
JP2007520791A (ja) | サーバベースのコンピュータシステムにおけるリモート認証のための方法および装置 | |
KR100555745B1 (ko) | 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템및 그 방법 | |
WO2007064171A1 (en) | Method and apparatus for transmitting message in heterogeneous federated environment, and method and apparatus for providing service using the message | |
Park | Integrated Windows Authentication Support for SAS® 9.2 Enterprise BI Web Applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040419 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20040528 |
|
RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20051006 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20051227 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20060105 |