JPH09160876A - Lanサーバ環境における相互確認の方法及び装置 - Google Patents

Lanサーバ環境における相互確認の方法及び装置

Info

Publication number
JPH09160876A
JPH09160876A JP8229538A JP22953896A JPH09160876A JP H09160876 A JPH09160876 A JP H09160876A JP 8229538 A JP8229538 A JP 8229538A JP 22953896 A JP22953896 A JP 22953896A JP H09160876 A JPH09160876 A JP H09160876A
Authority
JP
Japan
Prior art keywords
server
token
response
client
security subsystem
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP8229538A
Other languages
English (en)
Inventor
Timothy Roger Kells
ティモシー・ロジャー・ケルス
Thomas Frank Peebles
トーマス・フランク・ピーブルズ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPH09160876A publication Critical patent/JPH09160876A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Multi Processors (AREA)

Abstract

(57)【要約】 【課題】 LANサーバ環境において分散コンピュータ
機構をサポートする。 【解決手段】 LANサーバが、既存の機構を利用し
て、総称セキュリティ・サブシステム(GSS)DCE
資格証明を渡すことができるように構成される。サーバ
管理ブロック(SMB)プロトコルが拡張され、サーバ
はGSS APIインタフェースを用いて資格証明を獲
得及び確認する。GSSインタフェースが、クライアン
トとサーバ間で相互確認を達成するために必要な全ての
情報をカプセル化するトークンを提供する。こうしたS
MBプロトコル拡張に関して、折衝プロトコル(NP)
SMBにより交換される新たなプロトコル名を含む新た
なプロトコル・レベルが定義される。既存のLANサー
バがNP応答内のSMB_secmodeフィールドのビットをオ
ンし、サーバがsecpkgX SMBの交換をサポートすること
を示す。サーバは次にSMBsecpkgXまたはSMBsesssetupX
要求を待機する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明はコンピュータ・シス
テムにおける確認(authentication)に関し、特に、ク
ライアント−サーバ・ローカル・エリア・ネットワーク
(LAN)環境における確認技術に関する。
【0002】
【従来の技術】通常のLANにおけるセッションのセッ
トアップでは、プロセスが従来通り発散し、図2に示さ
れるように、クライアント−ユーザ100及びサーバ1
02がネットワーク・プロトコル104(NP)を折衝
する。こうした折衝の間、プロトコル及び関連するプロ
トコル・レベル208が合意され(例えばCORE、LAN
2.1などに対応)、セッション・キー106がクライ
アント100に対して決定される。
【0003】クライアント−ユーザ100は通常、ユー
ザID、名前、及びパスワードなどの情報112をサー
バ102に、より詳細には、リダイレクタ116(図
5)に伝送する。これはLANサーバ102への(から
の)ネットワーク・インタフェースとして機能する。リ
ダイレクタ116は本来、ネットワーク・インタフェー
ス、ディスク・ドライブの再転送(redirecting)、及
びファイル入出力などの目的を果たす。例えばクライア
ントがドライブに接続する場合、クライアントにとって
それはローカル・ドライブと思われるかも知れない。し
かしながら、リダイレクタは本来、ドライブを管理する
実際のファイル・システムにドライブ指定を渡し得るフ
ァイル・システムとして機能することにより、要求をク
ライアントから、ドライブを処理する実際のファイル・
サーバに再転送する。こうしたプロセスはクライアント
には透過的である。
【0004】従来の動作では、サーバ102が通常、次
にそのデータベース118(図3)を調査し、ユーザI
Dにもとづき、ユーザのパスワード及びセッション・キ
ー106(図2)を抽出し、一致が存在したか否かを判
断する。存在した場合、サーバ102はサーバのローカ
ル・データベース118からユーザ定義120(図3)
をフェッチする。このセッション・キー106は本来、
タイムスタンプまたは通し番号である。ここでの技法で
は、本発明の説明の中で明らかとなる理由から、データ
ベース118を使用するのではなく、分散コンピュータ
環境(DCE:Distributed Computing Environment)
及び関連するカベロス・レジストリ(Kerberos registr
y)122(図4)を使用し、より詳細には、ユーザ定
義が内在するDCEのディレクトリ及びセキュリティ・
サーバ(DSS)・コンポーネントを使用する。
【0005】要するに、クライアント100は分散コン
ピュータ環境にログオンするとき、プロトコル104
(図2)を折衝し、その結果、プロトコル・レベル20
8が返却される。IBMのLANサーバ・エンタープラ
イズ(LSE)製品などの、DCEを使用する特定のL
ANサーバ環境では、DCEの利用を確認し、従ってL
ANに接続するユーザであるためのDCE資格証明(cr
edentials)を関連付けることが望ましい。なぜなら、
これは通常のLANサーバ確認機構によるよりも、相当
に安全な環境であると思われるからである。従って、ロ
グオン時に、サーバ102が理解し得るDCE資格証明
を獲得することが望ましく、こうしたDCE資格証明は
通常、遠隔プロシジャ呼び出し(RPC)を通じて獲得
される。
【0006】しかしながら、クライアント100からサ
ーバ102にこうしたDCE資格証明を獲得する機構が
提供されないLANでは、問題が生じ得ることが判明し
ている。より詳細には、例えばLSE及び類似のLAN
製品では、元来RPC呼び出しが利用されないにも関わ
らず、サーバはセッションのセットアップの間に、ユー
ザを確認するために、真正の資格証明を獲得する必要が
ある。こうした資格証明は、POSIXアクセス制御リ
スト(ACL)により保護されるLSE資源へのアクセ
スを決定するために使用される。
【0007】
【発明が解決しようとする課題】従って、従来のLAN
サーバ機構を利用する一方で、現プロトコルによりクラ
イアントからサーバに、こうしたDCE資格証明を獲得
する機構を提供する重大な問題が提示される。こうした
現プロトコルには、例えばサーバ管理ブロック(SM
B)・プロトコルなど、通常X/Open協会により定義され
るものが含まれる。
【0008】
【課題を解決するための手段】本発明の好適な実施例で
は、コンピュータ化LANネットワーク内のLANサー
バ・マシンが、それらの既存の機構を利用して、総称セ
キュリティ・サブシステム(GSS:generic security
subsystem)分散コンピュータ環境(DCE)資格証明
を渡すことができるように構成される。X/Openにより定
義されるサーバ管理ブロック(SMB)・プロトコル
が、こうした資格証明の交換を容易にするように拡張さ
れる。サーバはDCEにより提供されるGSS API
インタフェースを用いて、こうした資格証明を獲得及び
確認する。GSSインタフェースは、クライアントとサ
ーバ間で相互確認を達成するために必要な全ての情報を
カプセル化するトークンを提供する。
【0009】好適な実施例では、こうしたSMBプロト
コル拡張に関して新たなプロトコル・レベルが定義さ
れ、これは特定の実施例では、折衝プロトコル(NP:
negotiate protocol)SMBにより交換される新たなプ
ロトコル名を含む。IBM LANサーバ・エンタープ
ライズ(LSE)製品などの既存のLANサーバは、応
答内のSMB_secmodeフィールドのビット(LSEに関す
るビット2)をオンし、こうしたビットは、サーバがse
cpkgX SMBの交換をサポートすることを示す。サーバは
次にSMBsecpkgXまたはSMBsesssetupX要求を待機する。
前者の応答は、ユーザ/クライアント及びサーバがGS
Sトークンを交換し、相互に確認することを可能にし、
更に、サーバが複数のパッケージから選択することを可
能にする。既存のLANサーバ製品は、新たなパッケー
ジをSMB_pkgnameの名で定義し、LANサーバはこれを
GSS DCEトークンを処理するために送信及び認識
する。クライアント上のユーザは、SMBsecpkgXが伝送さ
れたとき確認される。なぜなら、確認は、サーバがユー
ザを追跡するために必要なデータ構造を割り当て、返却
するからである。
【0010】更に本発明によれば、GSSトークンの処
理に関して、クライアント側において、クライアントが
サーバに送信するトークンを獲得するためにgss_initia
te_sec_context機能が呼び出される。トークンがサーバ
に送信され、戻りトークンがサーバから受信される。戻
りトークンが次にgss_initiate_sec_context機能に渡さ
れ、これが次にサーバが確認されたか否かを返却する。
サーバが確認されない場合、セッションの確立が終了さ
れる。
【0011】サーバ側では、SMBsecpkgX応答が受信され
るとき、トークンがgss_accept_sec_context機能により
抽出され、処理される。クライアントが確認されると、
クライアントに送信するためのトークンも受信される。
トークンはSMBsecpkgX応答により、クライアントに送信
される。SMBを送信後、サーバはユーザの資格証明を
GSSトークンから抽出する。資格証明がセッションの
データ構造に付加され、その後、ユーザが資源をアクセ
スしようとする度に利用される。
【0012】リダイレクタ−GSS間インタフェースに
関して、ここで開示される好適な実施例では、LANサ
ーバ・リダイレクタは通常、リング0で実行され、GS
Sはリング3で実行される。このことは、リダイレクタ
及びGSSが直接通信し得ないことを意味する。従っ
て、本発明によれば、資格証明マネージャ・プロセスが
媒介として生成される。資格証明マネージャは、起動時
にリダイレクタに専用の(captive)スレッドを提供す
る。LANサーバへの接続が形成されるとき、リダイレ
クタは専用スレッドを用いてGSSトークンを要求し、
処理する。資格証明マネージャは、LANサーバに現在
ログオンされているユーザの資格証明を用いてトークン
を獲得する。ユーザ・プロファイル管理(UPM)プロ
セスは、資格証明マネージャにログオン及びログオフ事
象を通知する。これは資格証明マネージャが、セッショ
ンのセットアップ試行の度に、UPMに問い合わせるこ
と無く、ログオン・ユーザを追跡することを可能にす
る。
【0013】
【発明の実施の形態】最初に図1を参照して、本発明が
好適に実現され得るネットワーク環境について説明す
る。図1は、本発明の方法及びシステムを実現するため
に使用され得るデータ処理システム8を絵的に表してい
る。図示のように、データ処理システム8はLAN10
及びLAN32などの複数のネットワークを含み、各々
のLANは、好適には複数の個々のコンピュータ12、
12a乃至12c、30、31、33及び35を含む。
(以下、ネットワーク32内のコンピュータについて述
べる場合、コンピュータ30を任意に参照するが、説明
はネットワーク32内の任意のコンピュータに当てはま
る。)コンピュータ12及び30は、例えばIBMパー
ソナル・システム/2("PS/2"とも呼ばれる)・コ
ンピュータまたはIBM RISC SYSTEM/6000コンピュータ・
ワークステーションなどの、任意の好適なコンピュータ
を用いて実現される。ここで"RISC SYSTEM/6000"はIB
Mの商標であり、"パーソナル・システム/2"及び"P
S/2"はIBMの登録商標である。もちろん、当業者
には理解されるように、ホスト・プロセッサに接続され
る複数の高機能ワークステーション(IWS)が、こう
した各ネットワークにおいて使用され得る。
【0014】こうしたデータ処理システムにおいて一般
的なように、各個々のコンピュータは記憶装置14及び
(または)プリンタ/出力装置16に接続される。本発
明の方法によれば、1つ以上のこうした記憶装置14
が、文書、資源オブジェクト、または実行可能コードな
どのオブジェクトを記憶するために使用され、これらの
オブジェクトは、データ処理システム8内の任意のユー
ザにより周期的にアクセスされ得る。既知のようにし
て、記憶装置14内のこうした各オブジェクトは、オブ
ジェクトを例えば個々のコンピュータ12または30の
ユーザに転送することにより、データ処理システム8を
通じて自由に交換され得る。
【0015】更に図1を参照すると、データ処理システ
ム8はメインフレーム・コンピュータ18などの、複数
のメインフレーム・コンピュータを含むことが分かる。
これらは、好適には通信リンク22によりLAN10に
接続される。メインフレーム・コンピュータ18は、I
BMから提供されるエンタープライズ・システム・アー
キテクチャ/370("ESA/370"とも呼ばれ
る)、またはエンタープライズ・システム・アーキテク
チャ/390("ESA/390"とも呼ばれる)コンピ
ュータを用いて実現され得る。アプリケーションに依存
して、例えばアプリケーション・システム/400("
AS/400"とも呼ばれる)などの、中型コンピュー
タも使用され得る。"エンタープライズ・システム・ア
ーキテクチャ/370"、"ESA/370"、"エンター
プライズ・システム・アーキテクチャ/390"、及び"
ESA/390"は、IBMの商標であり、"アプリケー
ション・システム/400"及び"AS/400"は、I
BMの登録商標である。メインフレーム・コンピュータ
18は更に、LAN10の遠隔記憶装置として機能し得
る記憶装置20にも接続され得る。同様に、LAN10
は通信リンク24、更にサブシステム制御ユニット/通
信制御装置26及び通信リンク34を通じて、ゲートウ
ェイ・サーバ28に接続され得る。ゲートウェイ・サー
バ28は好適には、LAN32をLAN10にリンクす
る機能を果たす個々のコンピュータまたはIWSであ
る。
【0016】LAN32及びLAN10に関連して上述
したように、オブジェクトは記憶装置20内に記憶さ
れ、記憶されたオブジェクトのための資源マネージャま
たはファイル・システム・マネージャとしてのメインフ
レーム・コンピュータ18により制御され得る。もちろ
ん、当業者には、メインフレーム・コンピュータ18が
LAN10から地理的に遠く離れて配置されてもよく、
同様にLAN10がLAN32から遠く離れて配置され
得ることが理解されよう。例えば、LAN32がカルフ
ォルニア州に配置され、LAN10がテキサス州に配置
され、メインフレーム・コンピュータ18がニューヨー
ク州に配置されたりする。
【0017】本発明の好適な実施例は、データ処理シス
テム8内に示される様々なコンピュータに組み込まれ得
る。
【0018】DCEの一部であるDSSプロトコルで
は、クライアント100(図2)がレジストリ122
(図4)にチケットを要求し、これが次にサーバ102
(図2)に渡される。幾つかのアプリケーションでは、
図7の124で示されるようなネット利用(NetUse)を
リダイレクタ116に発行し、これがプロトコルを開始
する。すなわち、本来、ユーザ発行コマンドがクライア
ント100をトリガし、サーバ102とのセッションを
セットアップする。このネット利用に応答して、リダイ
レクタ116は、プロトコル及びセッション・セットア
ップの折衝のために、X/OpenのSMB通信プロトコルに
従い、サーバ管理ブロック(SMB)を発行する。しか
しながら、本発明によれば、DCEの総称セキュリティ
・サブシステム(GSS)・コンポーネント126(図
7)、及び前述の図7の116で示されるリダイレクタ
を利用するLANサーバにおいて、要求を資格証明マネ
ージャ128を通じてGSS126に伝達する機構を提
供する問題が提示される。この機構を実現するために、
資格証明マネージャ128に対して状態マシン(図8)
が定義される。なぜなら、セッションをセットアップす
るために、資格証明マネージャとリダイレクタとの間で
コマンドが交換されるからである。この状態マシンの動
作は、図8に関連して以下で詳述される。
【0019】X/Openプロトコルにより定義されるSMB
は、本来、ユーザを確認するために使用される機構であ
るパッケージの概念を提供する自由形式のセキュリティ
拡張である。固有のこうしたパッケージが、図7の13
0などのトークンの受け渡しを提供する本技法において
定義されることは、本発明の重要な特徴である。更に図
7を参照すると、このトークン130はGSS126か
ら資格証明マネージャ128に、そして次にリダイレク
タ116に渡されるように示される(図6にも示され
る)。ここで、リダイレクタ116が本来クライアント
のコンポーネントであることが思い起こされよう。サー
バはこのトークン130がGSSパッケージとして受信
された後に、これを処理するために、gss_accept_conte
xt呼び出し133(図6)を発行する。リダイレクタに
よるトークンの受信は、サーバ102に第2のトークン
132(図6)を獲得するように指示する。クライアン
ト100が次にこの第2のトークン132を資格証明マ
ネージャ128に、続いてGSS126転送し、この時
GSSがサーバ102を確認する。
【0020】要するに、第1のトークンがネットワーク
を通じて転送されるとき、クライアントは本来、それ自
身をサーバに証明済みである。証明されていない場合、
セッションのセットアップは終了し、一方、証明されて
いる場合には、セッションのセットアップが実行され
る。サーバは既にクライアントを確認済みであるので、
サーバは機能呼び出しをGSS126に発行し、前述の
ように、定義をユーザのGSSから獲得する。従来のシ
ステムでは、前述のように、ユーザを確認するためのユ
ーザ定義120を獲得するために、サーバがそれら自身
のデータベース(図3の参照番号118で示される)を
保守した。しかしながら、本発明によれば、GSSがあ
らゆるサーバに対して複製されず、また異なるセキュリ
ティ機構がGSSの下で提供され得る。DCE拡張によ
りシステムは資格証明を獲得でき、ユーザが確認される
だけでなく、本システムによればユーザを確認したサー
バを知ることができる。GSSが使用されるが、確認の
ために実際に下位で使用されるのは、DCE内のカベロ
ス機能である。
【0021】要するに、ここではDCEにより統合され
る従来のLANサーバ・ワークステーション及びサーバ
が、それらの既存の機構を用いて、確認のためにGSS
DCE資格証明を受け渡すことを可能にするシステム
が開示される。ここで開示される特定の実施例では、I
BMから提供されるOS/2(商標)オペレーティング
・システムを実行するワークステーション及びサーバに
対して、変更が成されるが、本発明はこれに限るもので
はない。代表的なLANシステムに関する詳細について
は、"OS/2 Lan Server、Programming Guide and Refere
nce"(著作権IBM、S10H-9687-00、1994)を参照され
たい。しかしながら、上述の概念は、他のオペレーティ
ング・システムを実行するワークステーション及びサー
バにも拡張され得る。
【0022】OS/2の実施例では、既存のLANサー
バ製品に対する変更が、NP応答内のsmb_secmodeフィ
ールドの第2ビットをオンする。サーバは次に前述のSM
BsecpkgXまたはSMBsesssetupX要求を待機する。前者は
もちろん、ユーザ及びサーバがGSSトークンを交換
し、相互に確認し合うことを可能にし、これについては
X/Open社から提供される"PROTOCOLS FOR X/OPEN PC INT
ERWORKING: SMB VERSION 2"、Section 11.2で定義され
ている。この機能は、サーバが複数のパッケージから選
択することを可能にする。
【0023】SMBsecpkgX要求に続くSMBsesssetupX要求
は、長さ0のsmb_apasswdを有し得る。なぜなら確認が
既に発生しており、その中のあらゆる内容が無視される
からである。SMBsecpkgX要求が受信されないか、SMBsec
pkgX要求内に既知のパッケージが含まれないで受信され
た場合、smb_apasswdフィールドは、サーバがユーザを
確認するための有効パスワードを含まねばならない。こ
の場合、サーバはユーザの資格証明を獲得しなければな
らない。
【0024】ここで述べられる本発明の実施例によれ
ば、折衝プロトコルが次のように変更されなければなら
ない。secpkgX(上述のsecmodeフィールドのビット番号
2)をイネーブルするために、セット・フラグが生成さ
れる。更に、サーバがレガシ・クライアント(legacy c
lient)をサポートするか否かを決定する新たなsrvhuer
isticビットが提供される。レガシ・サポートがオフの
場合、サーバは折衝時に、レガシ・プロトコルのセット
を提供しない。このことは安全性が不確かなレガシ・ク
ライアントの接続を阻止する。
【0025】更に前述のように、新たなプロトコル・レ
ベルが定義され、これは特定の技法では、ストリングL
SE10がワイヤー上を流れることを規定する。クロス
−セル・サーバのチケットを獲得するために、NP応答
がサーバのセル名及びその長さを含むように変化する。
セル名はドメイン名の後に置かれ、セキュリティ・コン
テキストを獲得するときに資格証明マネージャ128
(図5)により使用される。セル名はクロス−セル確認
のために要求されるが、折衝がLSE10ストリングに
帰着するときのみ送信される。
【0026】また前述のように、secpkgXの変化が要求
される。この機能はX/Open社から提供される前記"PROTO
COLS FOR X/OPEN PC INTERWORKING: SMB VERSION 2"、S
ection 11.2で定義されている。このフォーマットはこ
こで開示される実施例において使用され、特定の情報が
例えばIBMから提供されるLS4.0Eなどの、使用
される特定のLANサーバのために定義される。SMB_pk
glist構造では、SMB_pkgnameが"LANサーバ4.0E
GSS/DCEトークン"であり、これは前述のよう
に、LS4.0Eサーバ製品が送信または認識する唯一
のパッケージである。
【0027】下記の表では、前述のSMBsecpkgXのデータ
構造が、次のように定義される。
【表1】 Request Format: BYTE smb_com; /* 値=7E (????) */ BYTE smb_wct; /* 値=4 */ BYTE smb_com2; /* 2次(X)コマント゛、0xFF=none */ BYTE smb_reh2; /* 予約(0でなければならない) */ WORD smb_off2; /* (SMBヘッタ゛開始から)次のコマント゛(@smb_wct) */ /* へのオフセット */ WORD smb_pkgtype; /* ハ゜ッケーシ゛・タイフ゜=0 */ WORD smb_numpkge; /* リスト内のハ゜ッケーシ゛数 */ WORD smb_bcc; struct smb_pkglist[*]; /* ハ゜ッケーシ゛・リスト構造。LS4.0Eの1ハ゜ッケーシ゛・リスト */ Package List Structure (smb_pkglist) Format: WORD smb_pkgnamlen; /* ハ゜ッケーシ゛名の長さ */ WORD smb_pkgarglen; /* ハ゜ッケーシ゛特有情報の長さ */ BYTE smb_pkgname[*]; /* ハ゜ッケーシ゛名 */ struct smb_pkgargs[1]; /* LS4.0Eのハ゜ッケーシ゛特有情報 */ Package Specific Information (smb_pkgargs) Format: DWORD smb_xp_flags; /* ヒ゛ット - セットされると、GSSトークンを伴う応答が */ /* 相互確認のために要求される */ WORD smb_xp_TokenLen; /* GSSトークンの長さ */ BYTE smb_xp_Token[*]; /* 確認情報を含むGSSトークン */ BYTE smb_xp_name[*]; /* 確認されるユーサ゛名 */ Response Format: BYTE smb_com; /* 値=7E */ BYTE smb_wct; /* 値=4 */ BYTE smb_com2; /* 2次(X)コマント゛、0xFF=none */ BYTE smb_reh2; /* 予約(0でなければならない) */ WORD smb_off2; /* (SMBヘッタ゛開始から)次のコマント゛(@smb_wct) */ /* へのオフセット */ WORD smb_index; /* サーハ゛により選択されるパッケージの番号。 */ /* LS4.0Eでは0 */ WORD smb_pkgarglen; /* ハ゜ッケーシ゛特有情報の長さ */ WORD smb_bcc; struct smb_pkgargs[1]; /* ハ゜ッケーシ゛特有情報 */ Package Specific Information (smb_pkgargs) Format: DWORD smb_xp_flags; /* ヒ゛ット0、GSSトークンが別の一巡の交換を要求。 */ BYTE smb_xp_Token[*]; /* 確認情報を含むGSSトークン */
【0028】図5を参照すると、本システムの基本フロ
ーが図式的に示される。最初に、ユーザがログオンし
(210)、ログイン・コンテキストがシステム・コン
テキストとしてセットされる(211)。次に、LSCred
MGR機能がユーザの資格証明を獲得し(212)、GS
S資格証明がシステム・コンテキストから生成される
(213)。続いて、サーバへのセッション・セットア
ップ要求が生成される(214)。次の一連のステップ
215乃至218は、DCEへのGSS呼び出しを含む
サーバのコンテキスト・トークンが獲得されることを表
す。
【0029】次にステップ219で、システム・コンテ
キスト・トークンを含むSMBsecpkg_X呼び出しが送信さ
れる。この時点で、サーバは始動時の資格証明を獲得し
(220、221)、SMBsecpkg_Xが受信される(22
2)。次にステップ223、224で、サーバはGSS_Ac
cept_context機能によりユーザを確認し、DCEへのG
SS呼び出しを含む応答トークンを受信する。続いてス
テップ225、226で、サーバはGSSトークンから
EPACを抽出する。次に、GSSコンテキスト・トー
クンを含むSMBsecpkg_X応答が送信され、受信される
(227)。次にステップ228乃至231により示さ
れるように、DCEへのGSS呼び出しを含むサーバの
コンテキスト・トークンが確認される。最後に、ステッ
プ232により示されるように、SMBSessSetup_Xが送信
され、受信される。
【0030】本発明の別の面は、有限のライフタイムを
有するトークンを提供する従来の実施例に関連する。ト
ークンが消滅するとき、通常、サーバは自動的にクライ
アントとの接続を切断する。従って、トークンを周期的
にリフレッシュするための特定の手段が必要とされる。
【0031】本発明によれば、セッションがセットアッ
プされた後、資格証明マネージャ128(図5)が、チ
ケットの残りのライフタイムを判断する。消滅の直前
に、こうした判断を実施した後、資格証明マネージャ1
28は好適には新たなトークンを獲得し、それをサーバ
102に転送する。このトークンは図6のトークン24
2として表され、図8の状態マシンにより提供される事
象モニタリング機能に関連して、詳細に後述される。
【0032】現ログオン・ステータスは、資格証明マネ
ージャ128がどのようにコンテキストを管理するかに
影響する。本来、次に示すように、資格証明マネージャ
に影響する4つのログオン事象が存在する。
【0033】第1は、図8に示されるように、ログオン
機能238である。資格証明マネージャ128は、DC
Eシステム資格証明を獲得しなければならない。資格証
明はログオン実行からインポートされる。次に、ログオ
フ事象236が同様に、資格証明マネージャ128に影
響する。資格証明マネージャは、ログオン・ユーザのた
めに保持していた全てのセッション情報をクリアしなけ
ればならない。ログオフが発生するとき、リダイレクタ
が全てのセッションをクローズし、使用しているDCE
システム資格証明を解放する。この事象はクリーンアッ
プ及び状態保守のためにも必要とされる。第3に、資格
証明リフレッシュ234が上述のように提供される。こ
の事象は、資格証明マネージャが資格証明を消滅された
状態に遷移することを阻止する。資格証明キャッシュ名
は変化しない。システムが既に消滅状態の場合、新たな
コンテキスト及びキャッシュ名が獲得される。資格証明
マネージャは両方のタイプのリフレッシュを処理する。
第4に、図8の参照番号240で示されるように、資格
証明の消滅が状態マシンに提供される。資格証明が消滅
すると、資格証明マネージャ128はもはやチケットを
獲得できない。資格証明マネージャ128は従って、こ
の状態の間に要求が入来すると、エラー・コードをリダ
イレクタに返却する。ユーザがこの状態になると、資格
証明はリフレッシュされ得ずに、新たな資格証明のセッ
トがログオン実行により獲得される。
【0034】資格証明マネージャ128の別の面は、ク
ライアント100がシャットダウンされるときに言及さ
れるべきである。こうした事象において、リダイレクタ
116はこれ(例えばネット停止機能)を検出し、その
時、リダイレクタ116により発行されるクローズ・コ
マンド(図7の260)が、資格証明マネージャ・プロ
セス128を終了させる。システムが再始動されると
き、リダイレクタ116はブートに際して明らかに開始
される。しかしながら、資格証明マネージャ128はG
SSの残りが開始されるまで、依然実行されない。GS
Sが開始すると、資格証明マネージャ128はトークン
・コマンド130を送信し、これはリダイレクタ116
内で専用(captive)に保持される。この実行スレッド
は次にリダイレクタにより使用され、リダイレクタは接
続1コマンド262を発行する。接続2コマンド264
は、スレッドを資格証明マネージャ128内において専
用に保持する。
【0035】前述の説明を考慮し、ここで述べられる本
発明の技法の追加のファクタは、注目に値する。DCE
用語では、"資格証明(credentials)"はカベロス・チ
ケット、またはより総称的には、ユーザ及びグループの
定義と見なされ得る。ユーザは例えば管理者、ゲスト、
ユーザなどのメンバである。こうした資格証明は通常、
1プロセス当たりを基本とし(on a per process basi
s)、各プロセスはいわばそれ自身のプロセスを管理す
る責任を託される。しかしながら、本発明によれば、資
格証明マネージャが、個々のプロセスを管理する全ての
ネットワーク・システムとして提供される。従って本発
明によれば、全てのこうした個々のプロセスは、前記項
目の責任が、通常例えば特定のログインの使用のよう
に、プロセス特有であると見なされると想定する限り、
DCE資格証明がそれらの下で動作していることを考え
ない。通常、これはアプリケーション毎に固有である。
しかしながら本発明によれば、プロセス特有のアプリケ
ーションが様々な呼び出しをするとき、それらがシステ
ム・レベル・ベースで管理され、資格証明マネージャは
各々のプロセスが何であるかを知り、トークンを獲得す
るために適切な資格証明を送信する。
【0036】本発明によれば、セキュリティを管理する
比較的異類の機構を実現した2つのソフトウェア・エン
ティティが、本質的に併合される。より詳細には、本発
明はDCEコードと共に既存の機構を利用するLANサ
ーバ・マシンを提供し、それにより、従来のLANのこ
れら2つのエンティティ及びDCEコードが、継ぎ目無
く作用するようにまとめられる。セキュリティのLAN
技法が比較的単純な確認を提供し、そして本発明による
DCE確認を使用する利点の1つが、より複雑な確認機
構により、より安全な環境を提供することによることが
思い起こされよう。
【0037】LANサーバがGSS DCE資格証明と
共に動作することを可能にする資格証明マネージャ技法
の新規の提供に加え、X/Open仕様及びSMBアーキテク
チャの一部であるSMBsecpkgXパッケージを使用する本発
明のトークンの技法は、新規の結果を提供する。本発明
のこの面によれば、定義される新規のパッケージが、相
互確認を示すフラグ、前述のトークン、並びにユーザ名
を含む。ユーザ名は、通常、ユーザが定義されるセッシ
ョン・セットアップ時に、後のSMB内で獲得される。
SMBsecpkg_Xがセッション・セットアップ時に使用する
確認プロトコルの折衝であるのではなく、本発明によれ
ば、確認がセッション・セットアップから上流のSMBsec
pkgX機能に移される。
【0038】その体系的な定義により、セッション・セ
ットアップにおいて、ユーザが確認される。しかしなが
ら、本発明によれば、上述のように確認がSMBより以
前に移される。従って、システムがセッション・セット
アップに至るとき、セッション・セットアップを達成す
る作業が実行されるが、確認は要求されない。なぜな
ら、確認は既に達成されているからである。カスタムSM
Bsecpkg_Xパッケージの新規の使用を通じて確認が効果
的に、あるSMBから別のSMBに移される。しかしな
がら、このパッケージ機能の従来の利用は、製品がセッ
ション・キーにより暗号化されて送信されるときであ
り、本発明の特徴は、確認のための異なる機構(例えば
異なる暗号化アルゴリズム、キーなど)の指定を所望通
りに可能にする。しかしながら本発明の技法は、前述の
ように、確認をセッション・セットアップから上流のSM
Bsecpkg_Xパッケージの伝送に移すことを容易にする。
【0039】本発明は特定の実施例に関連して述べられ
てきたが、当業者には、本発明の趣旨及び範囲から逸脱
すること無しに、その形態及び詳細における他の変更が
可能であることが理解されよう。
【0040】まとめとして、本発明の構成に関して以下
の事項を開示する。
【0041】(1)遠隔プロシジャ呼び出しを元来サポ
ートしないローカル・エリア・ネットワーク・サーバ環
境において相互接続されるクライアントとサーバとの間
で、分散コンピュータ環境(DCE)資格証明により、
セッション・セットアップの間の相互確認を改良する方
法であって、資格証明を交換するためのサーバ管理ブロ
ック(SMB)・プロトコルの拡張を事前定義するステ
ップと、前記サーバにより、総称セキュリティ・サブシ
ステム(GSS)を前記事前定義済み拡張の機能とし
て、前記分散コンピュータ環境により定義される総称セ
キュリティ・サブシステムAPIインタフェースを通じ
てアクセスするステップと、前記アクセスに応答して、
前記総称セキュリティ・サブシステムから前記資格証明
を獲得し、確認するステップと、を含む、方法。 (2)前記アクセスするステップが、前記クライアント
及び前記サーバにより、前記相互確認を実行するために
必要な情報をカプセル化するトークンを取り出すステッ
プを含む、前記(1)記載の方法。 (3)前記サーバ管理ブロック・プロトコルの拡張が、
折衝プロトコル応答内のSMB_secmodeフィールド内の第
2ビットを活動化するステップを含む、前記(2)記載
の方法。 (4)前記サーバにより、SMBsecpkgX応答を検出するス
テップと、前記検出に応答して、前記クライアントと前
記サーバとの間で、前記相互確認を達成するための総称
セキュリティ・サブシステム・トークンを交換するステ
ップと、を含む、前記(3)記載の方法。 (5)前記SMBsecpkgX応答に対応する総称セキュリティ
・サブシステム/分散コンピュータ環境トークン・パッ
ケージを定義するステップを含む、前記(4)記載の方
法。 (6)前記クライアントにより、前記サーバに送信する
第1のトークンを獲得するためのGSS_initiate_sec_con
text機能を呼び出すステップと、前記クライアントから
の前記第1のトークンに応答して、前記GSS_initiate_s
ec_context機能に第2のトークンを転送するステップ
と、前記GSS_initiate_sec_context機能により、前記サ
ーバが確認されたか否かを返却するステップと、を含
む、前記(5)記載の方法。 (7)前記SMBsecpkgX応答の検出に応答して、前記サー
バにより前記第2のトークンを抽出するステップと、GS
S_accept_sec_context機能により、前記抽出されたトー
クンを処理するステップと、クライアント確認に応答し
て、前記サーバにより、前記クライアントに送信する総
称セキュリティ・サブシステム・トークンを受信するス
テップと、前記SMBsecpkgX応答にもとづき、前記総称セ
キュリティ・サブシステム・トークンを前記クライアン
トに転送するステップと、前記サーバにより、前記総称
セキュリティ・サブシステム・トークンから前記ユーザ
の資格証明を抽出するステップと、前記クライアントが
前記ネットワークの資源へのアクセスを探索するときの
ために、前記抽出された資格証明をセッション・データ
構造に付加するステップと、を含む、前記(6)記載の
方法。 (8)前記サーバがリダイレクタを含み、前記リダイレ
クタ及び前記総称セキュリティ・サブシステムが異なる
リングで動作し、前記方法が、資格証明マネージャ・プ
ロセスを、前記リダイレクタと前記総称セキュリティ・
サブシステムとの間の媒介として確立するステップを含
む、前記(7)記載の方法。 (9)遠隔プロシジャ呼び出しを元来サポートしないロ
ーカル・エリア・ネットワーク・サーバ環境において相
互接続されるクライアントとサーバとの間で、分散コン
ピュータ環境(DCE)資格証明によりセッション・セ
ットアップの間の相互確認を改良する装置であって、資
格証明を交換するためのサーバ管理ブロック(SMB)
・プロトコルの拡張を事前定義する手段と、前記サーバ
により、総称セキュリティ・サブシステム(GSS)を
前記事前定義済み拡張の機能として、前記分散コンピュ
ータ環境により定義される総称セキュリティ・サブシス
テムAPIインタフェースを通じてアクセスする手段
と、前記アクセスに応答して、前記総称セキュリティ・
サブシステムから資格証明を獲得し、確認する手段と、
を含む、装置。 (10)前記アクセスする手段が、前記クライアント及
び前記サーバにより、前記相互確認を実行するために必
要な情報をカプセル化するトークンを取り出す手段を含
む、前記(9)記載の装置。 (11)前記サーバ管理ブロック・プロトコルの前記拡
張のための手段が、折衝プロトコル応答内のSMB_secmod
eフィールド内の第2ビットを活動化する手段を含む、
前記(10)記載の装置。 (12)前記サーバにより、SMBsecpkgX応答を検出する
手段と、前記検出に応答して、前記クライアントと前記
サーバとの間で、前記相互確認を達成するための総称セ
キュリティ・サブシステム・トークンを交換する手段
と、を含む、前記(11)記載の装置。 (13)前記SMBsecpkgX応答に対応する総称セキュリテ
ィ・サブシステム/分散コンピュータ環境トークン・パ
ッケージを定義する手段を含む、前記(12)記載の装
置。 (14)前記クライアントにより、前記サーバに送信す
る第1のトークンを獲得するためのGSS_initiate_sec_c
ontext機能を呼び出す手段と、前記クライアントからの
前記第1のトークンに応答して、前記GSS_initiate_sec
_context機能に第2のトークンを転送する手段と、前記
GSS_initiate_sec_context機能により、前記サーバが確
認されたか否かを返却する手段と、を含む、前記(1
3)記載の装置。 (15)前記SMBsecpkgX応答の検出に応答して、前記サ
ーバにより前記第2のトークンを抽出する手段と、GSS_
accept_sec_context機能により、前記抽出されたトーク
ンを処理する手段と、クライアント確認に応答して、前
記サーバにより、前記クライアントに送信する総称セキ
ュリティ・サブシステム・トークンを受信する手段と、
前記SMBsecpkgX応答にもとづき、前記総称セキュリティ
・サブシステム・トークンを前記クライアントに転送す
る手段と、前記サーバにより、前記総称セキュリティ・
サブシステム・トークンから前記ユーザの資格証明を抽
出する手段と、前記クライアントが前記ネットワークの
資源へのアクセスを探索するするときのために、前記抽
出された資格証明をセッション・データ構造に付加する
手段と、を含む、前記(14)記載の装置。 (16)前記サーバがリダイレクタを含み、前記リダイ
レクタ及び前記総称セキュリティ・サブシステムが異な
るリングで動作し、前記装置が、資格証明マネージャ・
プロセスを、前記リダイレクタと前記総称セキュリティ
・サブシステムとの間の媒介として確立する手段を含
む、前記(15)記載の装置。 (17)遠隔プロシジャ呼び出しを元来サポートしない
ローカル・エリア・ネットワーク・サーバ環境において
相互接続されるクライアントとサーバとの間で、分散コ
ンピュータ環境(DCE)資格証明によりセッション・
セットアップの間の相互確認を改良するためのコンピュ
ータ・プログラム製品であって、資格証明を交換するた
めのサーバ管理ブロック(SMB)・プロトコルの拡張
を事前定義するコンピュータ読出し可能プログラム・コ
ード手段と、前記サーバにより、総称セキュリティ・サ
ブシステム(GSS)を前記事前定義済み拡張の機能と
して、前記分散コンピュータ環境により定義される総称
セキュリティ・サブシステムAPIインタフェースを通
じてアクセスするコンピュータ読出し可能プログラム・
コード手段と、前記アクセスに応答して、前記総称セキ
ュリティ・サブシステムから資格証明を獲得し、確認す
るコンピュータ読出し可能プログラム・コード手段と、
を含む、コンピュータ・プログラム製品。 (18)前記アクセスするコンピュータ読出し可能プロ
グラム・コード手段が、前記クライアント及び前記サー
バにより、前記相互確認を実行するために必要な情報を
カプセル化するトークンを取り出すコンピュータ読出し
可能プログラム・コード手段を含む、前記(17)記載
のコンピュータ・プログラム製品。 (19)前記サーバ管理ブロック・プロトコルの拡張の
ための前記コンピュータ読出し可能プログラム・コード
手段が、折衝プロトコル応答内のSMB_secmodeフィール
ド内の第2ビットを活動化するコンピュータ読出し可能
プログラム・コード手段を含む、前記(18)記載のコ
ンピュータ・プログラム製品。 (20)前記サーバにより、SMBsecpkgX応答を検出する
コンピュータ読出し可能プログラム・コード手段と、前
記検出に応答して、前記クライアントと前記サーバとの
間で、前記相互確認を達成するための総称セキュリティ
・サブシステム・トークンを交換するコンピュータ読出
し可能プログラム・コード手段と、を含む、前記(1
9)記載のコンピュータ・プログラム製品。 (21)前記SMBsecpkgX応答に対応する総称セキュリテ
ィ・サブシステム/分散コンピュータ環境トークン・パ
ッケージを定義するコンピュータ読出し可能プログラム
・コード手段を含む、前記(20)記載のコンピュータ
・プログラム製品。 (22)前記クライアントにより、前記サーバに送信す
る第1のトークンを獲得するためのGSS_initiate_sec_c
ontext機能を呼び出すコンピュータ読出し可能プログラ
ム・コード手段と、前記クライアントからの前記第1の
トークンに応答して、前記GSS_initiate_sec_context機
能に第2のトークンを転送するコンピュータ読出し可能
プログラム・コード手段と、前記GSS_initiate_sec_con
text機能により、前記サーバが確認されたか否かを返却
するコンピュータ読出し可能プログラム・コード手段
と、を含む、前記(21)記載のコンピュータ・プログ
ラム製品。 (23)前記SMBsecpkgX応答の検出に応答して、前記サ
ーバにより前記第2のトークンを抽出するコンピュータ
読出し可能プログラム・コード手段と、GSS_accept_sec
_context機能により、前記抽出されたトークンを処理す
るコンピュータ読出し可能プログラム・コード手段と、
クライアント確認に応答して、前記サーバにより、前記
クライアントに送信する総称セキュリティ・サブシステ
ム・トークンを受信するコンピュータ読出し可能プログ
ラム・コード手段と、前記SMBsecpkgX応答にもとづき、
前記総称セキュリティ・サブシステム・トークンを前記
クライアントに転送するコンピュータ読出し可能プログ
ラム・コード手段と、前記サーバにより、前記総称セキ
ュリティ・サブシステム・トークンから前記ユーザの資
格証明を抽出するコンピュータ読出し可能プログラム・
コード手段と、前記クライアントが前記ネットワークの
資源へのアクセスを探索するするときのために、前記抽
出された資格証明をセッション・データ構造に付加する
コンピュータ読出し可能プログラム・コード手段と、を
含む、前記(22)記載のコンピュータ・プログラム製
品。 (24)前記サーバがリダイレクタを含み、前記リダイ
レクタ及び前記総称セキュリティ・サブシステムが異な
るリングで動作し、前記コンピュータ・プログラム製品
が、資格証明マネージャ・プロセスを、前記リダイレク
タと前記総称セキュリティ・サブシステムとの間の媒介
として確立するコンピュータ読出し可能プログラム・コ
ード手段を含む、前記(23)記載のコンピュータ・プ
ログラム製品。
【図面の簡単な説明】
【図1】本発明が有利に採用され得るコンピュータ・ネ
ットワークの機能ブロック図である。
【図2】プロトコル折衝を図式的に示す図である。
【図3】ユーザ定義を獲得するための、サーバによるデ
ータベースの利用を示す図である。
【図4】ユーザ定義を獲得するための、サーバによるD
CEレジストリの利用を示すブロック図である。
【図5】図1のシステムにおいて実現可能な本発明のコ
ンポーネント及び信号フローを示すブロック図である。
【図6】本発明のトークン機構を図式的に示す図であ
る。
【図7】本発明の資格証明マネージャ及びリダイレクタ
を示すブロック図である。
【図8】本発明により採用される状態マシンを示す図で
ある。
【符号の説明】
8 データ処理システム 12、12a、12b、12c、30、31、33、3
5 コンピュータ 14、20 記憶装置 16 プリンタ/出力装置 18 メインフレーム・コンピュータ 22、24、34 通信リンク 26 サブシステム制御ユニット/通信制御装置 118 データベース
───────────────────────────────────────────────────── フロントページの続き (72)発明者 トーマス・フランク・ピーブルズ アメリカ合衆国78758、テキサス州オース ティン、ソーンワイルド・パス 2323

Claims (24)

    【特許請求の範囲】
  1. 【請求項1】遠隔プロシジャ呼び出しを元来サポートし
    ないローカル・エリア・ネットワーク・サーバ環境にお
    いて相互接続されるクライアントとサーバとの間で、分
    散コンピュータ環境(DCE)資格証明により、セッシ
    ョン・セットアップの間の相互確認を改良する方法であ
    って、 資格証明を交換するためのサーバ管理ブロック(SM
    B)・プロトコルの拡張を事前定義するステップと、 前記サーバにより、総称セキュリティ・サブシステム
    (GSS)を前記事前定義済み拡張の機能として、前記
    分散コンピュータ環境により定義される総称セキュリテ
    ィ・サブシステムAPIインタフェースを通じてアクセ
    スするステップと、 前記アクセスに応答して、前記総称セキュリティ・サブ
    システムから前記資格証明を獲得し、確認するステップ
    と、 を含む、方法。
  2. 【請求項2】前記アクセスするステップが、前記クライ
    アント及び前記サーバにより、前記相互確認を実行する
    ために必要な情報をカプセル化するトークンを取り出す
    ステップを含む、請求項1記載の方法。
  3. 【請求項3】前記サーバ管理ブロック・プロトコルの拡
    張が、折衝プロトコル応答内のSMB_secmodeフィールド
    内の第2ビットを活動化するステップを含む、請求項2
    記載の方法。
  4. 【請求項4】前記サーバにより、SMBsecpkgX応答を検出
    するステップと、 前記検出に応答して、前記クライアントと前記サーバと
    の間で、前記相互確認を達成するための総称セキュリテ
    ィ・サブシステム・トークンを交換するステップと、 を含む、請求項3記載の方法。
  5. 【請求項5】前記SMBsecpkgX応答に対応する総称セキュ
    リティ・サブシステム/分散コンピュータ環境トークン
    ・パッケージを定義するステップを含む、請求項4記載
    の方法。
  6. 【請求項6】前記クライアントにより、前記サーバに送
    信する第1のトークンを獲得するためのGSS_initiate_s
    ec_context機能を呼び出すステップと、 前記クライアントからの前記第1のトークンに応答し
    て、前記GSS_initiate_sec_context機能に第2のトーク
    ンを転送するステップと、 前記GSS_initiate_sec_context機能により、前記サーバ
    が確認されたか否かを返却するステップと、 を含む、請求項5記載の方法。
  7. 【請求項7】前記SMBsecpkgX応答の検出に応答して、前
    記サーバにより前記第2のトークンを抽出するステップ
    と、 GSS_accept_sec_context機能により、前記抽出されたト
    ークンを処理するステップと、 クライアント確認に応答して、前記サーバにより、前記
    クライアントに送信する総称セキュリティ・サブシステ
    ム・トークンを受信するステップと、 前記SMBsecpkgX応答にもとづき、前記総称セキュリティ
    ・サブシステム・トークンを前記クライアントに転送す
    るステップと、 前記サーバにより、前記総称セキュリティ・サブシステ
    ム・トークンから前記ユーザの資格証明を抽出するステ
    ップと、 前記クライアントが前記ネットワークの資源へのアクセ
    スを探索するときのために、前記抽出された資格証明を
    セッション・データ構造に付加するステップと、 を含む、請求項6記載の方法。
  8. 【請求項8】前記サーバがリダイレクタを含み、前記リ
    ダイレクタ及び前記総称セキュリティ・サブシステムが
    異なるリングで動作し、前記方法が、 資格証明マネージャ・プロセスを、前記リダイレクタと
    前記総称セキュリティ・サブシステムとの間の媒介とし
    て確立するステップを含む、 請求項7記載の方法。
  9. 【請求項9】遠隔プロシジャ呼び出しを元来サポートし
    ないローカル・エリア・ネットワーク・サーバ環境にお
    いて相互接続されるクライアントとサーバとの間で、分
    散コンピュータ環境(DCE)資格証明によりセッショ
    ン・セットアップの間の相互確認を改良する装置であっ
    て、 資格証明を交換するためのサーバ管理ブロック(SM
    B)・プロトコルの拡張を事前定義する手段と、 前記サーバにより、総称セキュリティ・サブシステム
    (GSS)を前記事前定義済み拡張の機能として、前記
    分散コンピュータ環境により定義される総称セキュリテ
    ィ・サブシステムAPIインタフェースを通じてアクセ
    スする手段と、 前記アクセスに応答して、前記総称セキュリティ・サブ
    システムから資格証明を獲得し、確認する手段と、 を含む、装置。
  10. 【請求項10】前記アクセスする手段が、前記クライア
    ント及び前記サーバにより、前記相互確認を実行するた
    めに必要な情報をカプセル化するトークンを取り出す手
    段を含む、請求項9記載の装置。
  11. 【請求項11】前記サーバ管理ブロック・プロトコルの
    前記拡張のための手段が、折衝プロトコル応答内のSMB_
    secmodeフィールド内の第2ビットを活動化する手段を
    含む、請求項10記載の装置。
  12. 【請求項12】前記サーバにより、SMBsecpkgX応答を検
    出する手段と、 前記検出に応答して、前記クライアントと前記サーバと
    の間で、前記相互確認を達成するための総称セキュリテ
    ィ・サブシステム・トークンを交換する手段と、 を含む、請求項11記載の装置。
  13. 【請求項13】前記SMBsecpkgX応答に対応する総称セキ
    ュリティ・サブシステム/分散コンピュータ環境トーク
    ン・パッケージを定義する手段を含む、請求項12記載
    の装置。
  14. 【請求項14】前記クライアントにより、前記サーバに
    送信する第1のトークンを獲得するためのGSS_initiate
    _sec_context機能を呼び出す手段と、 前記クライアントからの前記第1のトークンに応答し
    て、前記GSS_initiate_sec_context機能に第2のトーク
    ンを転送する手段と、 前記GSS_initiate_sec_context機能により、前記サーバ
    が確認されたか否かを返却する手段と、 を含む、請求項13記載の装置。
  15. 【請求項15】前記SMBsecpkgX応答の検出に応答して、
    前記サーバにより前記第2のトークンを抽出する手段
    と、 GSS_accept_sec_context機能により、前記抽出されたト
    ークンを処理する手段と、 クライアント確認に応答して、前記サーバにより、前記
    クライアントに送信する総称セキュリティ・サブシステ
    ム・トークンを受信する手段と、 前記SMBsecpkgX応答にもとづき、前記総称セキュリティ
    ・サブシステム・トークンを前記クライアントに転送す
    る手段と、 前記サーバにより、前記総称セキュリティ・サブシステ
    ム・トークンから前記ユーザの資格証明を抽出する手段
    と、 前記クライアントが前記ネットワークの資源へのアクセ
    スを探索するするときのために、前記抽出された資格証
    明をセッション・データ構造に付加する手段と、 を含む、請求項14記載の装置。
  16. 【請求項16】前記サーバがリダイレクタを含み、前記
    リダイレクタ及び前記総称セキュリティ・サブシステム
    が異なるリングで動作し、前記装置が、 資格証明マネージャ・プロセスを、前記リダイレクタと
    前記総称セキュリティ・サブシステムとの間の媒介とし
    て確立する手段を含む、 請求項15記載の装置。
  17. 【請求項17】遠隔プロシジャ呼び出しを元来サポート
    しないローカル・エリア・ネットワーク・サーバ環境に
    おいて相互接続されるクライアントとサーバとの間で、
    分散コンピュータ環境(DCE)資格証明によりセッシ
    ョン・セットアップの間の相互確認を改良するためのコ
    ンピュータ・プログラム製品であって、 資格証明を交換するためのサーバ管理ブロック(SM
    B)・プロトコルの拡張を事前定義するコンピュータ読
    出し可能プログラム・コード手段と、 前記サーバにより、総称セキュリティ・サブシステム
    (GSS)を前記事前定義済み拡張の機能として、前記
    分散コンピュータ環境により定義される総称セキュリテ
    ィ・サブシステムAPIインタフェースを通じてアクセ
    スするコンピュータ読出し可能プログラム・コード手段
    と、 前記アクセスに応答して、前記総称セキュリティ・サブ
    システムから資格証明を獲得し、確認するコンピュータ
    読出し可能プログラム・コード手段と、 を含む、コンピュータ・プログラム製品。
  18. 【請求項18】前記アクセスするコンピュータ読出し可
    能プログラム・コード手段が、前記クライアント及び前
    記サーバにより、前記相互確認を実行するために必要な
    情報をカプセル化するトークンを取り出すコンピュータ
    読出し可能プログラム・コード手段を含む、請求項17
    記載のコンピュータ・プログラム製品。
  19. 【請求項19】前記サーバ管理ブロック・プロトコルの
    拡張のための前記コンピュータ読出し可能プログラム・
    コード手段が、折衝プロトコル応答内のSMB_secmodeフ
    ィールド内の第2ビットを活動化するコンピュータ読出
    し可能プログラム・コード手段を含む、請求項18記載
    のコンピュータ・プログラム製品。
  20. 【請求項20】前記サーバにより、SMBsecpkgX応答を検
    出するコンピュータ読出し可能プログラム・コード手段
    と、 前記検出に応答して、前記クライアントと前記サーバと
    の間で、前記相互確認を達成するための総称セキュリテ
    ィ・サブシステム・トークンを交換するコンピュータ読
    出し可能プログラム・コード手段と、 を含む、請求項19記載のコンピュータ・プログラム製
    品。
  21. 【請求項21】前記SMBsecpkgX応答に対応する総称セキ
    ュリティ・サブシステム/分散コンピュータ環境トーク
    ン・パッケージを定義するコンピュータ読出し可能プロ
    グラム・コード手段を含む、請求項20記載のコンピュ
    ータ・プログラム製品。
  22. 【請求項22】前記クライアントにより、前記サーバに
    送信する第1のトークンを獲得するためのGSS_initiate
    _sec_context機能を呼び出すコンピュータ読出し可能プ
    ログラム・コード手段と、 前記クライアントからの前記第1のトークンに応答し
    て、前記GSS_initiate_sec_context機能に第2のトーク
    ンを転送するコンピュータ読出し可能プログラム・コー
    ド手段と、 前記GSS_initiate_sec_context機能により、前記サーバ
    が確認されたか否かを返却するコンピュータ読出し可能
    プログラム・コード手段と、 を含む、請求項21記載のコンピュータ・プログラム製
    品。
  23. 【請求項23】前記SMBsecpkgX応答の検出に応答して、
    前記サーバにより前記第2のトークンを抽出するコンピ
    ュータ読出し可能プログラム・コード手段と、 GSS_accept_sec_context機能により、前記抽出されたト
    ークンを処理するコンピュータ読出し可能プログラム・
    コード手段と、 クライアント確認に応答して、前記サーバにより、前記
    クライアントに送信する総称セキュリティ・サブシステ
    ム・トークンを受信するコンピュータ読出し可能プログ
    ラム・コード手段と、 前記SMBsecpkgX応答にもとづき、前記総称セキュリティ
    ・サブシステム・トークンを前記クライアントに転送す
    るコンピュータ読出し可能プログラム・コード手段と、 前記サーバにより、前記総称セキュリティ・サブシステ
    ム・トークンから前記ユーザの資格証明を抽出するコン
    ピュータ読出し可能プログラム・コード手段と、 前記クライアントが前記ネットワークの資源へのアクセ
    スを探索するするときのために、前記抽出された資格証
    明をセッション・データ構造に付加するコンピュータ読
    出し可能プログラム・コード手段と、 を含む、請求項22記載のコンピュータ・プログラム製
    品。
  24. 【請求項24】前記サーバがリダイレクタを含み、前記
    リダイレクタ及び前記総称セキュリティ・サブシステム
    が異なるリングで動作し、前記コンピュータ・プログラ
    ム製品が、 資格証明マネージャ・プロセスを、前記リダイレクタと
    前記総称セキュリティ・サブシステムとの間の媒介とし
    て確立するコンピュータ読出し可能プログラム・コード
    手段を含む、 請求項23記載のコンピュータ・プログラム製品。
JP8229538A 1995-12-11 1996-08-30 Lanサーバ環境における相互確認の方法及び装置 Pending JPH09160876A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/570463 1995-12-11
US08/570,463 US5764887A (en) 1995-12-11 1995-12-11 System and method for supporting distributed computing mechanisms in a local area network server environment

Publications (1)

Publication Number Publication Date
JPH09160876A true JPH09160876A (ja) 1997-06-20

Family

ID=24279747

Family Applications (1)

Application Number Title Priority Date Filing Date
JP8229538A Pending JPH09160876A (ja) 1995-12-11 1996-08-30 Lanサーバ環境における相互確認の方法及び装置

Country Status (7)

Country Link
US (1) US5764887A (ja)
EP (1) EP0779570B1 (ja)
JP (1) JPH09160876A (ja)
KR (1) KR100194252B1 (ja)
CN (1) CN1101021C (ja)
DE (1) DE69613948T2 (ja)
MY (1) MY112685A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001282649A (ja) * 2000-03-22 2001-10-12 Internatl Business Mach Corp <Ibm> クライアントのプロファイル情報をサーバに提供する方法とシステム
US7424743B2 (en) 2001-01-25 2008-09-09 Solutionary, Inc. Apparatus for verifying the integrity of computer networks and implementation of countermeasures

Families Citing this family (122)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088451A (en) * 1996-06-28 2000-07-11 Mci Communications Corporation Security system and method for network element access
US5987611A (en) * 1996-12-31 1999-11-16 Zone Labs, Inc. System and methodology for managing internet access on a per application basis for client computers connected to the internet
US5987608A (en) * 1997-05-13 1999-11-16 Netscape Communications Corporation Java security mechanism
US6070243A (en) 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
US5948064A (en) * 1997-07-07 1999-09-07 International Business Machines Corporation Discovery of authentication server domains in a computer network
US6418466B1 (en) * 1997-07-10 2002-07-09 International Business Machines Corporation Management of authentication discovery policy in a computer network
US6058426A (en) * 1997-07-14 2000-05-02 International Business Machines Corporation System and method for automatically managing computing resources in a distributed computing environment
US5983272A (en) 1997-08-29 1999-11-09 Cisco Technology, Inc. Option request protocol
US6311226B1 (en) * 1997-08-29 2001-10-30 Cisco Technology, Inc. Method and apparatus for dynamic link name negotiation
JP3748155B2 (ja) * 1997-11-14 2006-02-22 富士通株式会社 改ざん防止/検出機能を有するファイル管理システム
US6246771B1 (en) * 1997-11-26 2001-06-12 V-One Corporation Session key recovery system and method
US6035405A (en) * 1997-12-22 2000-03-07 Nortel Networks Corporation Secure virtual LANs
US6339826B2 (en) * 1998-05-05 2002-01-15 International Business Machines Corp. Client-server system for maintaining a user desktop consistent with server application user access permissions
DE19929515A1 (de) * 1998-07-01 2000-01-05 Nat Semiconductor Corp Sicherer Anschlußzugriff auf ein Gerät eines lokalen Netzwerks
US6209101B1 (en) * 1998-07-17 2001-03-27 Secure Computing Corporation Adaptive security system having a hierarchy of security servers
EP0978977A1 (en) 1998-08-07 2000-02-09 International Business Machines Corporation A method and system for improving high speed internetwork data transfers
US6711178B1 (en) 1998-09-08 2004-03-23 Cisco Technology, Inc. Enhanced claw packing protocol
US6606663B1 (en) * 1998-09-29 2003-08-12 Openwave Systems Inc. Method and apparatus for caching credentials in proxy servers for wireless user agents
US6374402B1 (en) * 1998-11-16 2002-04-16 Into Networks, Inc. Method and apparatus for installation abstraction in a secure content delivery system
US6763370B1 (en) 1998-11-16 2004-07-13 Softricity, Inc. Method and apparatus for content protection in a secure content delivery system
US7017188B1 (en) * 1998-11-16 2006-03-21 Softricity, Inc. Method and apparatus for secure content delivery over broadband access networks
US6182267B1 (en) 1998-11-20 2001-01-30 Cisco Technology, Inc. Ensuring accurate data checksum
US7181486B1 (en) 1998-12-07 2007-02-20 Network Ice Corporation Method and apparatus for remote installation of network drivers and software
IL143573A0 (en) 1998-12-09 2002-04-21 Network Ice Corp A method and apparatus for providing network and computer system security
US6324578B1 (en) 1998-12-14 2001-11-27 International Business Machines Corporation Methods, systems and computer program products for management of configurable application programs on a network
US6510466B1 (en) * 1998-12-14 2003-01-21 International Business Machines Corporation Methods, systems and computer program products for centralized management of application programs on a network
US6529937B1 (en) * 1999-01-29 2003-03-04 International Business Machines Corporation System and method for communicating client IP addresses to server applications
TW518497B (en) * 1999-03-30 2003-01-21 Sony Corp Information processing system
US7730169B1 (en) 1999-04-12 2010-06-01 Softricity, Inc. Business method and system for serving third party software applications
US7370071B2 (en) * 2000-03-17 2008-05-06 Microsoft Corporation Method for serving third party software applications from servers to client computers
US7213262B1 (en) 1999-05-10 2007-05-01 Sun Microsystems, Inc. Method and system for proving membership in a nested group using chains of credentials
US6883100B1 (en) 1999-05-10 2005-04-19 Sun Microsystems, Inc. Method and system for dynamic issuance of group certificates
US8099758B2 (en) 1999-05-12 2012-01-17 Microsoft Corporation Policy based composite file system and method
US7346929B1 (en) * 1999-07-29 2008-03-18 International Business Machines Corporation Method and apparatus for auditing network security
US6769068B1 (en) * 1999-09-02 2004-07-27 International Business Machines Corporation Dynamic credential refresh in a distributed system
US6865679B1 (en) 1999-10-01 2005-03-08 International Business Machines Corporation Method, system, and program for accessing a system without using a provided login facility
US6385701B1 (en) 1999-11-19 2002-05-07 International Business Machines Corporation Method, system and program products for sharing data between varied clients using token management
US8006243B2 (en) * 1999-12-07 2011-08-23 International Business Machines Corporation Method and apparatus for remote installation of network drivers and software
EP1109099A1 (en) * 1999-12-17 2001-06-20 Alcatel Using secured calls in object-oriented software applications
GB2366640B (en) * 2000-03-30 2004-12-29 Ibm Distribution of activation information
US7058798B1 (en) 2000-04-11 2006-06-06 Sun Microsystems, Inc. Method ans system for pro-active credential refreshing
US7574740B1 (en) 2000-04-28 2009-08-11 International Business Machines Corporation Method and system for intrusion detection in a computer network
JP4700884B2 (ja) * 2000-04-28 2011-06-15 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータのセキュリティ情報を管理するための方法およびシステム
US7921459B2 (en) * 2000-04-28 2011-04-05 International Business Machines Corporation System and method for managing security events on a network
US7162649B1 (en) 2000-06-30 2007-01-09 Internet Security Systems, Inc. Method and apparatus for network assessment and authentication
US6907531B1 (en) 2000-06-30 2005-06-14 Internet Security Systems, Inc. Method and system for identifying, fixing, and updating security vulnerabilities
US7093239B1 (en) * 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
US7178166B1 (en) 2000-09-19 2007-02-13 Internet Security Systems, Inc. Vulnerability assessment and authentication of a computer by a local scanner
US9027121B2 (en) * 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
US7146305B2 (en) * 2000-10-24 2006-12-05 Vcis, Inc. Analytical virtual machine
US7130466B2 (en) * 2000-12-21 2006-10-31 Cobion Ag System and method for compiling images from a database and comparing the compiled images with known images
US7412598B1 (en) * 2000-12-29 2008-08-12 Cisco Technology, Inc. Method and system for real-time insertion of service during a call session over a communication network
WO2002062049A2 (en) * 2001-01-31 2002-08-08 Timothy David Dodd Method and system for calculating risk in association with a security audit of a computer network
US6959336B2 (en) * 2001-04-07 2005-10-25 Secure Data In Motion, Inc. Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets
US7769845B2 (en) * 2001-05-04 2010-08-03 Whale Communications Ltd Method and system for terminating an authentication session upon user sign-off
US20020169967A1 (en) * 2001-05-14 2002-11-14 Sangeeta Varma Method and apparatus for multiple token access to thin client architecture session
WO2002097587A2 (en) * 2001-05-31 2002-12-05 Internet Security Systems, Inc. Method and system for implementing security devices in a network
US7237264B1 (en) 2001-06-04 2007-06-26 Internet Security Systems, Inc. System and method for preventing network misuse
US7657419B2 (en) * 2001-06-19 2010-02-02 International Business Machines Corporation Analytical virtual machine
US8751647B1 (en) 2001-06-30 2014-06-10 Extreme Networks Method and apparatus for network login authorization
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
US8200818B2 (en) * 2001-07-06 2012-06-12 Check Point Software Technologies, Inc. System providing internet access management with router-based policy enforcement
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US7590684B2 (en) * 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
US7222359B2 (en) * 2001-07-27 2007-05-22 Check Point Software Technologies, Inc. System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices
US7529778B1 (en) 2001-12-12 2009-05-05 Microsoft Corporation System and method for providing access to consistent point-in-time file versions
US7673137B2 (en) 2002-01-04 2010-03-02 International Business Machines Corporation System and method for the managed security control of processes on a computer system
US7076798B2 (en) * 2002-02-07 2006-07-11 International Business Machines Corporation Securing non-EJB corba objects using an EJB security mechanism
US7571467B1 (en) 2002-02-26 2009-08-04 Microsoft Corporation System and method to package security credentials for later use
US7370360B2 (en) 2002-05-13 2008-05-06 International Business Machines Corporation Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US7685287B2 (en) * 2002-05-30 2010-03-23 Microsoft Corporation Method and system for layering an infinite request/reply data stream on finite, unidirectional, time-limited transports
US7370194B2 (en) * 2002-06-10 2008-05-06 Microsoft Corporation Security gateway for online console-based gaming
US7565537B2 (en) * 2002-06-10 2009-07-21 Microsoft Corporation Secure key exchange with mutual authentication
US20040009815A1 (en) * 2002-06-26 2004-01-15 Zotto Banjamin O. Managing access to content
US6850943B2 (en) * 2002-10-18 2005-02-01 Check Point Software Technologies, Inc. Security system and methodology for providing indirect access control
US20040098614A1 (en) * 2002-11-14 2004-05-20 International Business Machines Corporation JAAS security and COBRA security integration
US7165076B2 (en) * 2002-11-15 2007-01-16 Check Point Software Technologies, Inc. Security system with methodology for computing unique security signature for executable file employed across different machines
US7913303B1 (en) 2003-01-21 2011-03-22 International Business Machines Corporation Method and system for dynamically protecting a computer system from attack
US8136155B2 (en) * 2003-04-01 2012-03-13 Check Point Software Technologies, Inc. Security system with methodology for interprocess communication control
US7318097B2 (en) 2003-06-17 2008-01-08 International Business Machines Corporation Security checking program for communication between networks
US7788726B2 (en) * 2003-07-02 2010-08-31 Check Point Software Technologies, Inc. System and methodology providing information lockbox
US7568107B1 (en) * 2003-08-20 2009-07-28 Extreme Networks, Inc. Method and system for auto discovery of authenticator for network login
US7657938B2 (en) * 2003-10-28 2010-02-02 International Business Machines Corporation Method and system for protecting computer networks by altering unwanted network data traffic
US8281114B2 (en) * 2003-12-23 2012-10-02 Check Point Software Technologies, Inc. Security system with methodology for defending against security breaches of peripheral devices
KR100962860B1 (ko) * 2004-02-03 2010-06-09 인터내셔널 비지네스 머신즈 코포레이션 소프트웨어 라이센스 관리 시스템, 소프트웨어 제어기, 라이센스 관리 서버, 소프트웨어 제품 사용의 제어 방법 및 라이센스 관리 서버의 작동 방법
US7496649B2 (en) * 2004-02-20 2009-02-24 Microsoft Corporation Policy application across multiple nodes
US7243157B2 (en) * 2004-02-20 2007-07-10 Microsoft Corporation Dynamic protocol construction
US7664828B2 (en) * 2004-02-20 2010-02-16 Microsoft Corporation Invalid policy detection
US8136149B2 (en) * 2004-06-07 2012-03-13 Check Point Software Technologies, Inc. Security system with methodology providing verified secured individual end points
US7617256B2 (en) * 2004-07-19 2009-11-10 Microsoft Corporation Remote file updates through remote protocol
KR100644637B1 (ko) * 2004-10-11 2006-11-10 삼성전자주식회사 Smb 프로토콜을 이용한 데이터 인쇄 장치 및 방법
US7627896B2 (en) * 2004-12-24 2009-12-01 Check Point Software Technologies, Inc. Security system providing methodology for cooperative enforcement of security policies during SSL sessions
US8332526B2 (en) * 2005-05-25 2012-12-11 Microsoft Corporation Data communication protocol including negotiation and command compounding
US20070101409A1 (en) * 2005-11-01 2007-05-03 Microsoft Corporation Exchange of device parameters during an authentication session
US7581004B2 (en) * 2006-02-15 2009-08-25 Gabriel Jakobson System and method for alerting on open file-share sessions on a user's electronic device
US8667076B2 (en) * 2006-07-28 2014-03-04 Microsoft Corporation Mapping universal plug and play discovered items to an SMB location
US8201218B2 (en) * 2007-02-28 2012-06-12 Microsoft Corporation Strategies for securely applying connection policies via a gateway
US8334891B2 (en) 2007-03-05 2012-12-18 Cisco Technology, Inc. Multipoint conference video switching
US7770214B2 (en) * 2007-04-17 2010-08-03 International Business Machines Corporation Apparatus, system, and method for establishing a reusable and reconfigurable model for fast and persistent connections in database drivers
US8264521B2 (en) 2007-04-30 2012-09-11 Cisco Technology, Inc. Media detection and packet distribution in a multipoint conference
US20090006537A1 (en) * 2007-06-29 2009-01-01 Microsoft Corporation Virtual Desktop Integration with Terminal Services
KR101092675B1 (ko) * 2007-07-06 2011-12-09 엘지전자 주식회사 무선 네트워크 관리 방법 및 그 방법을 지원하는 스테이션
JP2011507414A (ja) * 2007-12-21 2011-03-03 コクーン データ ホールディングス リミテッド データの安全を保護するためのシステムおよび方法
US9026623B2 (en) * 2008-01-31 2015-05-05 Microsoft Technology Licensing, Llc Layered architectures for remote dynamic administration of distributed client configurations
US8683062B2 (en) * 2008-02-28 2014-03-25 Microsoft Corporation Centralized publishing of network resources
US8725647B2 (en) * 2008-03-27 2014-05-13 Ca, Inc. Method and system for determining software license compliance
US20090249493A1 (en) * 2008-03-27 2009-10-01 Computer Associates Think, Inc. Method and System for Determining Software License Compliance
US20090259757A1 (en) * 2008-04-15 2009-10-15 Microsoft Corporation Securely Pushing Connection Settings to a Terminal Server Using Tickets
US8612862B2 (en) 2008-06-27 2013-12-17 Microsoft Corporation Integrated client for access to remote resources
US8489685B2 (en) 2009-07-17 2013-07-16 Aryaka Networks, Inc. Application acceleration as a service system and method
US20110209206A1 (en) * 2010-02-23 2011-08-25 Microsoft Corporation Access restriction for computing content
US8631277B2 (en) 2010-12-10 2014-01-14 Microsoft Corporation Providing transparent failover in a file system
US9331955B2 (en) 2011-06-29 2016-05-03 Microsoft Technology Licensing, Llc Transporting operations of arbitrary size over remote direct memory access
US8856582B2 (en) 2011-06-30 2014-10-07 Microsoft Corporation Transparent failover
AU2011101297B4 (en) 2011-08-15 2012-06-14 Uniloc Usa, Inc. Remote recognition of an association between remote devices
US8788579B2 (en) 2011-09-09 2014-07-22 Microsoft Corporation Clustered client failover
US20130067095A1 (en) 2011-09-09 2013-03-14 Microsoft Corporation Smb2 scaleout
US9286466B2 (en) 2013-03-15 2016-03-15 Uniloc Luxembourg S.A. Registration and authentication of computing devices using a digital skeleton key
KR101824895B1 (ko) 2013-10-25 2018-02-02 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 네트워크 기록을 통한 무선 장치에 대한 보안 접속
US9801055B2 (en) * 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy
US10341091B2 (en) * 2016-01-15 2019-07-02 Bittium Wireless Oy Secure memory storage

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5239662A (en) * 1986-09-15 1993-08-24 Norand Corporation System including multiple device communications controller which coverts data received from two different customer transaction devices each using different communications protocols into a single communications protocol
EP0398492B1 (en) * 1989-05-15 1997-01-22 International Business Machines Corporation A flexible interface to authentication services in a distributed data processing system
US5560008A (en) * 1989-05-15 1996-09-24 International Business Machines Corporation Remote authentication and authorization in a distributed data processing system
US5204961A (en) * 1990-06-25 1993-04-20 Digital Equipment Corporation Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols
DE69127965T2 (de) * 1990-08-29 1998-02-12 Hughes Aircraft Co Verteiltes benutzerauthentisierungsprotokoll
JP2671649B2 (ja) * 1991-07-08 1997-10-29 三菱電機株式会社 認証方式
US5434562A (en) * 1991-09-06 1995-07-18 Reardon; David C. Method for limiting computer access to peripheral devices
US5418854A (en) * 1992-04-28 1995-05-23 Digital Equipment Corporation Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system
US5369705A (en) * 1992-06-03 1994-11-29 International Business Machines Corporation Multi-party secure session/conference
US5235642A (en) * 1992-07-21 1993-08-10 Digital Equipment Corporation Access control subsystem and method for distributed computer system using locally cached authentication credentials
US5432932A (en) * 1992-10-23 1995-07-11 International Business Machines Corporation System and method for dynamically controlling remote processes from a performance monitor
US5329619A (en) * 1992-10-30 1994-07-12 Software Ag Cooperative processing interface and communication broker for heterogeneous computing environments
US5428351A (en) * 1992-12-28 1995-06-27 General Electric Company Method and apparatus for sharing passwords
US5491752A (en) * 1993-03-18 1996-02-13 Digital Equipment Corporation, Patent Law Group System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens
CA2107299C (en) * 1993-09-29 1997-02-25 Mehrad Yasrebi High performance machine for switched communications in a heterogenous data processing network gateway
US5414833A (en) * 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5434918A (en) * 1993-12-14 1995-07-18 Hughes Aircraft Company Method for providing mutual authentication of a user and a server on a network
US5495533A (en) * 1994-04-29 1996-02-27 International Business Machines Corporation Personal key archive

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001282649A (ja) * 2000-03-22 2001-10-12 Internatl Business Mach Corp <Ibm> クライアントのプロファイル情報をサーバに提供する方法とシステム
US6978373B1 (en) 2000-03-22 2005-12-20 International Business Machines Corporation Methods systems and computer program products for providing secure client profile completion by network intermediaries
US7424743B2 (en) 2001-01-25 2008-09-09 Solutionary, Inc. Apparatus for verifying the integrity of computer networks and implementation of countermeasures
US8261347B2 (en) 2001-01-25 2012-09-04 Solutionary, Inc. Security system for a computer network having a security subsystem and a master system which monitors the integrity of a security subsystem
US8931077B2 (en) 2001-01-25 2015-01-06 Solutionary, Inc. Security system for a computer network having a security subsystem and a master system which monitors the integrity of a security subsystem

Also Published As

Publication number Publication date
US5764887A (en) 1998-06-09
EP0779570B1 (en) 2001-07-18
CN1155119A (zh) 1997-07-23
EP0779570A1 (en) 1997-06-18
KR970049735A (ko) 1997-07-29
DE69613948T2 (de) 2002-01-24
MY112685A (en) 2001-07-31
CN1101021C (zh) 2003-02-05
KR100194252B1 (ko) 1999-06-15
DE69613948D1 (de) 2001-08-23

Similar Documents

Publication Publication Date Title
JPH09160876A (ja) Lanサーバ環境における相互確認の方法及び装置
US7526640B2 (en) System and method for automatic negotiation of a security protocol
JP6656157B2 (ja) ネットワーク接続自動化
TWI400922B (zh) 在聯盟中主用者之認證
US8819416B2 (en) Method and system for modular authentication and session management
US6339423B1 (en) Multi-domain access control
JP5139423B2 (ja) ネットワーク資源に対するシングルサインオン及び安全なアクセスのためのポリシ駆動の証明情報委譲
US8117317B2 (en) Systems and methods for integrating local systems with cloud computing resources
KR100188503B1 (ko) 원격 사용자와 응용 서버간의 통신 관리 방법, 원격 사용자의 주체 인증 방법, 분산 컴퓨터 환경을 제공하는 네트워크 및 프로그램 저장 장치
EP3132559B1 (en) Automatic log-in and log-out of a session with session sharing
CN112995219B (zh) 一种单点登录方法、装置、设备及存储介质
US8528057B1 (en) Method and apparatus for account virtualization
CN112136303A (zh) 用于耗时操作的刷新令牌的安全委托
CN103404103A (zh) 将访问控制系统与业务管理系统相结合的系统和方法
GB2440425A (en) Single sign-on system which translates authentication tokens
TW200811685A (en) System and method for tracking the security enforcement in a grid system
JPH10177548A (ja) セッション管理システム
US20230262045A1 (en) Secure management of a robotic process automation environment
JP2007520791A (ja) サーバベースのコンピュータシステムにおけるリモート認証のための方法および装置
KR100555745B1 (ko) 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템및 그 방법
WO2007064171A1 (en) Method and apparatus for transmitting message in heterogeneous federated environment, and method and apparatus for providing service using the message
Park Integrated Windows Authentication Support for SAS® 9.2 Enterprise BI Web Applications

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040419

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20040528

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20051006

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20051227

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20060105