KR100194252B1 - 상호 인증을 개선하는 방법 및 장치와, 컴퓨터 판독가능한 프로그램 제품 - Google Patents

상호 인증을 개선하는 방법 및 장치와, 컴퓨터 판독가능한 프로그램 제품 Download PDF

Info

Publication number
KR100194252B1
KR100194252B1 KR1019960047086A KR19960047086A KR100194252B1 KR 100194252 B1 KR100194252 B1 KR 100194252B1 KR 1019960047086 A KR1019960047086 A KR 1019960047086A KR 19960047086 A KR19960047086 A KR 19960047086A KR 100194252 B1 KR100194252 B1 KR 100194252B1
Authority
KR
South Korea
Prior art keywords
gss
server
response
token
client
Prior art date
Application number
KR1019960047086A
Other languages
English (en)
Other versions
KR970049735A (ko
Inventor
티모시 로저 켈스
토마스 프랭크 피블스
Original Assignee
포만 제프리 엘
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 포만 제프리 엘, 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 포만 제프리 엘
Publication of KR970049735A publication Critical patent/KR970049735A/ko
Application granted granted Critical
Publication of KR100194252B1 publication Critical patent/KR100194252B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Multi Processors (AREA)

Abstract

LAN 서버 머신은 기존의 메카니즘을 이용해서 포괄적 보안 서브 시스템(generic security subsystem: GSS)의 분산 컴퓨터 환경(distributing environment: DCE) 크리덴셜(credentials)을 제공하도록 구성된다.
서버 관리 블록(server management block: SMB) 프로토콜은 크리덴셜의 교환을 용이하게 수행하기 위해 확장되며, 서버는 크리덴셜을 획득 및 유효화시키기 위해 GSS API 인터페이스를사용한다. GSS 인터페이스는 클라이언트(client)와 서버간에 상호 인증을 수행하는데 필요한 모든 정보를 캡슬화(encapsulate)하는 토큰(tokens)을 제공한다.
프로토콜 설정(negotiate protocol: NP) SMB에서 교환되는 새로운 프로토콜 이름을 포함하는 새로운 프로토콜 레벨은 SMB 프로토콜 확장에 대해 정의된다.
서버가 secpkgX SMB의 교환을 지원하는 것을 나타내는 NP 응답시, 기존의 LAN서버는 비트를 턴온시킨다. 그후, 서버는 SMB secpkgX 또는 SMB sesssetupX응답을 대기한다. 전자의 응답은 전형적인 LAN 서버 메카니즘을 이용하여 사용자/클라이언트 및 서버가 GSS토큰을 교환할 수 있도록 하며, 이로 인해 상호 인증이 이루어진다.

Description

상호 인증을 개선하는 방법 및 장치와, 컴퓨터 판독가능한 프로그램 제품
본 발명은 컴퓨터 시스템의 인증(authentication)에 관한 것으로, 특히, 클라이언트-서버 근거리 통신망 환경(client-sever local area network environment)의 인증 기법에 관한 것이다.
제2도를 참조하면, 전형적인 근거리 통신망 세션 셋업(session setup)시, 클라이언트-사용자(100)와 서버(102)가 네트워크 프로토콜(network protocol: NP)(104)을 설정하는(negotiate) 전형적인 프로세스가 도시되어 있다. 이러한 설정 동안, 프로토콜과 이와 관련된 프로토콜 레벨(208)이 일치되며(예를 들어, CORE, LAN 2.1등에 대응하는) 세션 키(106)가 클라이언트(100)에 대해 결정된다.
클라이언트-사용자(100)는 사용자 ID, 이름, 패스워드(112)와 같은 정보를 서버(102)에 전송하며, 특히, 이러한 정보를 LAN 서버(102)로의 네트워크 인터페이스 및 LAN 서버(102)로부터의 네트워크 인터페이스로서 기능하는 제7도의 리디렉터(redirector)(116)에 전송한다. 전형적으로, 리디렉터(116)는 디스크 드라이브 및 화일 입/출력을 리디렉팅시키는 등의 네트워크 인터페이스의 기능을 수행한다.
예를 들어, 클라이언트가 드라이브에 접속하면, 클라이언트에 대해 이것은 로컬 드라이브처럼 보일 수 있다. 그렇지만, 본질적으로 리디렉터는 드라이브를 관리하는 실제화일 시스템에 드라이브에 관한 세부사항(drive speciflcation)을 전달하는 화일 시스템으로 기능함으로써 클라이언트로부터의 요구를 드라이브를 관리하는 실제파일 서버에 리디렉팅되도록 한다. 이러한 프로세스는 클라이언트에게 투명하게 이루어진다.
통상적인 동작에 있어서, 서버(102)는 전형적으로 자신의 데이타베이스(118)(제3도를 참조)를 조사하고, 사용자 ID에 기초하여 사용자의 패스워드 및 세션키(106)(제2도를 참조)를 추출하고, 매칭(match)되는 것이 있는지를 판단한다. 이러한 조건이 일치하면, 서버(102)는 서버의 로컬 데이타베이스(118)로부터 사용자 정의(user definition)(120)(제3도 참조)를 인출한다. 이러한 세션키(106)는 본질적으로 타임스탬프(timestamp) 또는 일련 번호(serial number)임을 유의하여야 한다. 본 발명의 설명을 용이하게 하기 위해, 고려중인 실시예 중에서 본 발명은 데이타베이스(118)의 사용대신 분산형 컴퓨팅 환경(Distributed Computing Environment: DCE)및 이와 관련된 커버로스 레지스터(Kerberos registry)(122)를 사용하며, 특히, 본 발명은 사용자 정의가 존재하는 DCE의 디렉토리 및 보안 서버(directory and security server: DSS)를 사용한다.
따라서, 요약해서 설명하면, 로그온(logon)시, 클라이언트(100)는 분산형 컴퓨터 환경으로 로깅(logging)할 때, 프로토콜(104)(제2도를 참조)을 설정한다. 그 결과, 프로토콜 레벨(208)이 반환된다. DCE를 채택하는 IBM사 제품인 LAN 서버 엔터프라이즈(LAN Server Enterprise: LSE)와 같은 몇몇 근거리 통신망 서버 환경에 있어서, DCE를 이용해서 사용을 인증하여 LAN에 접속하는 사용자에 대한 DCE 크리덴셜(credentials)을 연관시키는 것이 바람직한데, 그 이유는 전형적인 LAN 서버 인증 메카니즘에 의해 영향받는 것보다 비교적 더옥 안정된 환경을 갖기 때문이다. 따라서, 로그온시, 정상적으로 원격 프로시듀어 셀(remote procedure cell: RPC)을 통해 획득되는 DCE크리덴셜과 같이, 서버(102)가 이해할 수 있는 DCE 크리덴셜을 획득하는 것이 바람직하다.
그러나, 이러한 DCE 크리덴셜을 획득하기 위해 클라이언트(100)로부터 서버(102)로 제공되는 메카니즘이 존재하지 않는 근거리 통신망에서는 문제가 발생할 수 있는 것으로 알려져 있다. 특히, LSE 및 이와 유사한 LAN 제품등의 경우에서는 본질적으로 RPC 호출(call)이 이용되지 않지만, 그럼에도 불구하고 서버는 세션 셋업 동안 사용자를 인증하기 위해 올바른 크리덴셜을 획득하는 것이 필요하다. 이러한 크리덴셜은 LSE 자원에 대한 액세스를 결정할 때 사용되며, 이러한 자원은 POSIX 액세스 제어 리스트(access controls lists: ACL)에 의해 보호된다. 따라서, 예를 들어, 서버 관리 블럭(Server Management Block: SMB) 프로토콜로 표현된 바와 같은 X/Open Association에 의해 전형적으로 정의되는 현행 프로토콜을 이용해서 클라이언트로부터 서버로 제공되는 DCE 크리덴셜을 획득하는 메카니즘을 제공하는 경우 심각한 문제가 대두되었지만, 그럼에도 불구하고 전형적인 LAN 서버 메카니즘을 이용하고 있다.
본 발명의 바람직한 실시예에서, 컴퓨터 LAN 네트워크내의 LAN 서버 머신들은 이들 머신이 현 메카니즘을 이용하여 포괄적 보안 서브시스템(generic security subsystem: GSS)의 분산 컴퓨터 환경(DCE)의 크리덴셜이 전달되도록 구성된다.
X/Open으로 정의된 서버 관리 블럭(SMB) 프로토콜은 서버가 이러한 크리덴셜을 획득하고 유효화(validate)하기 위해 DCE에 의해 제공된 GSS API 인터페이스를 이용하는 이러한 크리덴셜의 교환(exchage)을 용이하게 하기 위해 확장된다. GSS인터페이스는 클라이언트와 서버간에 상호 확인을 수행하는데 요구되는 모든 정보를 캡슐화(encapsulate)하는 토큰(tokens)을 제공한다.
바람직한 실시예에서, 이러한 SMB프로토콜 확장에 관하여 새로운 프로토콜 레벨이 정의된다. 특정 실시예에 있어서, 이 프로토콜 레벨은 프로토콜 설정(negotiate protocol: NP) SMB에서 교환되는 새로운 프로토콜 명칭이 구비된다.
IBM의 LSE(Lan Sever Enterprise) 제품과 같은 기존의 LAN 서버는 응답시 SMB_secmode 필드의 비트(LSE에 관한 비트 2)를 턴온시킨다. 이 비트는 서버가 secpkgX SMB의 교환을 지원한다는 것을 나타낸다. 그후, 서버는 SMBsecpkgX 또는 SMBsesssetupX의 요구를 대기한다. SMBsecpkgX에 대한 응답은 사용자/클라이언트 및 서버가 GSS 토큰을 교환해서 상호 인증하도록 하고, 또한 서버가 다수의 패키지로부터 선택하게 한다. 기존의 LAN 서버 제품은 LAN 서버가 전달하고 인식하는 SMB_Pkgname에 따라 새로운 패키지를 정의해서, GSS DCE토큰을 처리한다. 일단 SMBsecpkgX가 전송되면 사용자 또는 클라이언트가 인증되는데, 그 이유는 이러한 인증이 서버가 사용자를 추적하는데 필수적인 데이타 구조를 할당(allocate)하고 복귀시키기 때문이다.
본 발명에 따르면, GSS 토큰 처리에 관해 클라이언트 측에서는 클라이언트가 서버로 전송할 토큰이 획득되도록 gss_initiate_sec_context 함수가 호출된다.
토큰은 서버로 전송되고, 그리고난 후, 서버로부터 반환 토큰(return taken)이 수신된다. 그후, 반환 토큰은 서버가 인증되었는지의 여부를 반환하는 gss_initiate_sec_context함수로 전달된다. 서버가 인증되지 않으면, 세션 설정이 종료된다.
서버측에서는 SMBsecpkgX 응답이 수신되면, 토큰이 추출되고 gss_initiate_sec_context함수에 의해 처리된다. 클라이언트가 인증되면, 클라이언트로 전송할 토큰이 또한 수신된다. SMBsecpkgX 응답시, 토큰은 클라이언트로전송된다. SMB가 전송된 후, 서버는 GSS 토큰으로부터 사용자의 크리덴셜을 추출한다. 이 크리덴셜은 세션 데이타 구조와 접속되며, 이후 사용자가 자원을 액세스할 때마다 사용된다.
리디렉터-GSS 인터페이스를 참조하면, 본 발명의 바람직한 실시예에서, LAN 서버 리디렉터는 일반적으로 링(ring) 0에서 실행하지만, GSS는 링 3에서 실행하며, 이는 이들 리디렉터 및 GSS가 직접적으로 통신하지 않음을 의미한다.
따라서, 본 발명에 따르면, 크리덴셜 관리자 프로세스(credential manager process)가 중간 매개체(intermediary)로서 생성된다. 개시시, 크리덴셜 관리자는 리디렉터에 전용 스레드(captive thread)를 제공한다. LAN 서버와 접속이 이루어질 때, 리디렉터는 전용 스레드를 사용해서 GSS 토큰을 요구 및 처리한다. 크리덴셜 관리자는 현재 LAN 서버으로 로깅된 사용자 크리덴셜을 사용해서 토큰이 획득되도록 한다. 사용자 프로파일 관리(user profile management: UPM) 프로세스는 크리덴셜 관리자에게 로그온 및 로그오프(logoff) 이벤트를 통지한다. 이로 인해, 크리덴셜 관리자는 세션 셋업때 마다 UPM에 질의(query)하지 않고 로그온 사용자(logged-on user)를 추적할 수 있다.
제1도는 본 발명에서 바람직하게 사용되는 컴퓨터 네트워크의 기능 블럭도.
제2도는 프로토콜 설정을 개략적으로 도시한 도면.
제3도는 서버가 데이타베이스를 이용하여 사용자 정의를 획득하는 것을 도시한 도면.
제4도는 서버가 DCE 레지스터를 사용해서 사용자 정의를 획득하는 것을 도시한 블럭도.
제5도는 제1도의 시스템에서 구현가능한 본 발명의 구성요소 및 신호 흐름을 도시한 블럭도.
제6도는 본 발명의 토큰 메카니즘을 개략적으로 도시한 도면.
제7도는 본 발명의 크리덴셜 관리자 및 리디렉터를 도시한 블럭도.
제8도는 본 발명에 따라 채택된 상태 머신을 도시한 도면.
* 도면의 주요부분에 대한 부호의 설명
8 : 데이타 처리 시스템 10, 32 : 근거리 통신망
18 : 메인 프레임 컴퓨터 14, 20 : 저장 장치
22, 24, 34 : 통신 링 100 : 클라이언트
102 : 서버 104 : 네트워크 프로토콜
106 : 세션키 116 : 리디렉터
120 : 사용자 정의 122 : 레지스터
128 : 크리덴셜 관리자 130, 132, 242 : 토큰
208 : 프로토콜 레벨 211 : 시스템 문맥
먼저, 제1을 참조하면, 본 발명이 바람직하게 구현될 수 있는 고수준의 네트워크 환경에 관한 설명이 제공될 것이다. 제1도를 참조하면, 본 발명의 시스템 및 방법을 구현하는데 사용되는 데이타 처리 시스템(8)이 도시되어 있다. 도시된 바와 같이, 데이타 처리 시스템(8)은 근거리 통신망(LAN)(10 및 32)과 같은 다수의 네트워크를 포함할 수 있으며, 이들 각각의 네트워크는 다수의 개별적인 컴퓨터(12, 12a-l2c, 30, 31, 33, 35)를 바람직하게 포함한다.(이하, 네트워크(32)내의 컴퓨터에 관해 논의하는 경우, 이러한 논의가 네트워크(32)내의 임의의 컴퓨터와 관련될 수 있지만, 컴퓨터(30)가 임의로 참조될 것이다). 컴퓨터(12 및 30)는 뉴욕 아몬크 소재의 IBM사의 제품인 IBM Personal System/2(PS/2로도 또한 일컬어짐) 컴퓨터 또는 IBM RISC System/6000 컴퓨터 워크스테이션과 같이 임의의 적절한 컴퓨터를 이용해 구현될 수 있다. RISC System/6000, Personal System/2, PS/2는 IBM사의 상표이다. 물론, 본 기술 분야에 통상의 지식을 가진 자라면, 호스트 프로세서(host processor)에 결합된 다수의 지능적 워크스테이션(intelligent work station: IWS)은 각각의 네트워크에 대해 사용될 수 있음을 이해할 것이다.
이러한 데이타 처리 시스템에서 통상적인 것처럼, 각각의 개별적인 컴퓨터는 저장 장치(14) 및/또는 프린터/출력 장치(16)에 접속될 수 있다. 본 발명의 방법에 따라, 하나 이상의 저장 장치(14)는 데이타 처리 시스템(8)내의 소정의 사용자에 의해 주기적으로 액세스될 수 있는 문서(documents), 자원 객체(resource objects)또는 실행가능한 코드와 같은 객체를 저장하는데 사용될 수 있다. 종래 기술에서 잘 알려진 방식으로, 즉, 데이타 처리 시스템(8)을 통해 객체를 개별적인 컴퓨터(12 또는 30)에 위치한 사용자에게 전송하는 등의 방법으로, 저장 장치(14)내에 저장된 각각의 객체가 자유롭게 상호 교환될 수 있다.
제1도를 참조하면, 데이타 처리 시스템(8)은 통신 링크(22)에 의해 LAN(10)에 바람직하게 접속되는 메인프레임 컴퓨터(18)와 같은 다수의 메인프레임 컴퓨터를 또한 포함할 수 있다. 메인프레임 컴퓨터(18)는 IBM사 제품인 Enterprise Systems Architecture/370(ESA370로도 또한 일컬어짐) 컴퓨터 또는 Enterprise Systems Architecture/390(ESA/390로도 또한 일컬어짐) 컴퓨터를 사용해 구현될 수 있다. 어플리케이션에 따라 Application System/400(AS/400로도 일컬어짐)과 같은 중형 컴퓨터가 사용될 수 있다. Enterprise Systems Architecture/370, ESA/370, Enterprise Systems Architecture/390, 및 ESA/390, Application System/400, AS/400은 IBM사의 상표이다. 또한, 메인프레임 컴퓨터(18)는 LAN(10)에 대해 원격 저장 장치로서 기능하는 저장 장치(20)에 접속될 수 있다. 유사하게, LAN(10)은 통신 링크(24)를 거쳐 서브시스템 제어 유닛/통신 제어기(subsystem control unit/communication controller)(26) 및 통신 링크(34)를 통해 게이트웨이 서버(gateway server)(28)에 접속될 수 있다. 게이트웨이 서버(28)는 바람직하게는 개별적인 컴퓨터이거나 혹은 LAN(32)과 LAN(10)을 연결시켜 주는 IWS이다.
LAN(32) 및 LAN(10)에 대해 전술한 바와 같이, 객체는 저장 장치(20)내에 저장되고, 저장된 객체에 대한 자원 관리자(Resource Manager) 또는 화일 시스템 관리자(File System Manager)와 같은 메인프레임 컴퓨터(18)에 의해 제어될 수 있다. 물론, 본 기술 분야에 통상의 지식을 가진 자라면, 메인프레임 컴퓨터(18)는 LAN(10)과 멀리 떨어진 장소에 위치될 수 있고, 유사하게 LAN(10)도 LAN(32)으로 부터 실질적으로 멀리 떨어진 장소에 위치될 수도 있음을 이해할 것이다. 예를 들어, LAN(32)은 캘리포니아주에 위치될 수 있고, LAN(10)은 텍사스주에 위치될 수 있고, 메인프레임 컴퓨터(18)는 뉴욕주에 위치될 수 있다.
본 발명의 바람직한 실시예는 데이타 처리 시스템(8)내에서 도시된 각종 컴퓨터내에서 구현될 수도 있다.
DCE의 일부인 DSS 프로토콜에서, 클라이언트(100)(제2도를 참조)는 레지스터(122)(제4도를 참조)로부터 티켓을 요구하여, 요구된 티켓이 서버(102)로 전달될 수 있도록 한다. 일부 어플리케이션은 제7도에서 참조 번호(124)로 도시된 NetUse신호, 즉, 클라이언트(100)를 트리거(trigger)시키는 사용자-송출 커맨드(user-issued command)를 프로토콜을 개시(kick off)하는 리디렉터(116)에 제공하여 서버(102)와 세션이 셋업되도록 한다. NetUse에 응답하여, 리디렉터(116)는 프로토콜 및 세션 셋업이 결정되도록 X/Open의 SMB 통신 프로토콜에 따르는 서버 관리 블럭(SMB)을 제공한다. 그러나, 전술한 바와 같이, 본 발명에 따라 제7도의 DCE(126)의 포괄적 보안 서브시스템(GSS)의 구성요소 및 제7도에서 참조번호(116)로 도시된 리디렉터를 이용하는 LAN 서버에서, 요구를 크리덴셜 관리자(128)를 통해 GSS(126)에 전달하는 메카니즘(제8도)이 제공되는 경우에는 문제가 있다. 이러한 메카니즘을 해결하기 위해, 제8도의 상태 머신은 크리덴셜 관리자(128)에 대해 정의되는데, 그 이유는 세션을 셋업하는데 요구되는 크리덴셜 관리자와 리디렉터 사이에서 상호 교환되는 커맨드가 존재하기 때문이다. 이러한 상태 머신의 동작은 이하 제8도를 참조하여 더욱 상세히 기술될 것이다.
본질적으로, X/Open프로토콜에 의해 정의되는 SMB는 사용자를 인증하는데 사용되는 메카니즘인 패키지 개념을 제공하는 자유형 보안 확장(free-form security extension)임에 유의하여야 한다. 제7도의 참조 번호(130)와 같은 토큰을 전송하기 위해 본 발명이 구현될 때 고유의 패키지가 정의되는 것이 본 발명의 두드러진 특징중 하나이다. 제7도를 참조하면, 이러한 토큰(130)은 GSS(126)로부터 크리덴셜 관리자(128)로 전송되고 나서, 리디렉터(116)(제6도 에도 도시됨)로 전송됨을 알 수 있다. 본질적으로, 리디렉터(116)는 클라이언트의 구성요소임에 유의하여야 한다.
서버는 GSS 패키지에서 토큰(130)을 수신한 후, 토큰(130)을 처리하기 위해 제6도의 gss_accept_context(133)을 호출한다. 그후, 리디렉터가 토큰을 수신하면 서버(102)는 제2의 토큰(132)을 획득하게 된다(제6도를 참조). 그후, 클라이언트(100)는 제2의 토큰(132)을 크리덴셜 관리자(128)로 전송하고 나서 GSS(126)로 전송하며, 이로 인해 GSS는 서버(102)를 인증할 수 있게 된다.
요약하면, 제1토큰이 네트워크를 가로질러 전달될 때, 클라이언트는 본질적으로 자기 자신을 서버에게 인증시킨다. 만일 인증되지 않으면 세션 셋업이 종료되지만, 인증되면 세션 셋업이 달성된다. 이미 서버가 클라이언트를 인증하였기 때문에, 서버는 GSS(126)에 기능 호출(funtion call)을 발송하여, 전술슬한 바와 같이 GSS로부터 사용자의 정의를 획득할 것이다. 전술한 바와 같이, 종래의 시스템의 경우, 서버는 사용자를 확인하는 사용자 정의(120)를 획득하기 위해 제3도에 참조부호(118)로 도시된 자체적인 데이타베이스를 보유함에 유의하여야 한다. 그러나, 본 발명에 따르면, GSS는 모든 서버에 대해 복제(replicate)되지 않으며, 또한 GSS하에 상이한 보안 메카니즘이 제공될 수 있다. DCE확장은 시스템이 크리덴셜을 획득하도록 하며, 본 시스템에 의해 사용자가 확인될 뿐 아니라, 어느 서버가 사용자를 인증했는지도 알 수 있다. GSS가 사용되지만, 실질적으로는 DCE의 커버로스 함수가 인증을 위해 기본적으로 사용된다.
요약하면, 본 발명의 시스템은 인증을 위한 GSS DCE 크리덴셜을 전송하기 위해 전형적인 LAN 서버 워크스테이션 및 DCE와 통합된 서버가 기존의 메카니즘을 사용하도록 하고 있다. 본 발명은 본 명세서에 개시된 특정한 실시예로 한정되지는 않지만, 본 발명에서는 IBM사 제품인 OS/2(TM) 운영체제를 동작시키는 워크스테이션 및 서버가 사용되었다. 대표적인 LAN 시스템에 관한 더욱 상세한 문헌은 OS/2 LAN Server, Programming Guide and Reference, copyright IBM Coporation, S10H-9687-00, 1994에 개시되어 있으며, 이는 본 명세서에서 참조로 인용된다. 그러나, 앞서 언급한 개념은 다른 운영체제를 실행시키는 스테이션 및 서버까지 확장될 수 있다.
OS/2 실시예에서, 기존의 LAN 서버에 대한 변경은 NP 응답시 smb_secmode 필드의 제2비트가 턴온되도록 한다. 그후, 서버는 전술한 SMBsecpkgX 또는 SMBsesssetupX 요구를 대기한다. 물론, 전자는 사용자 및 서버가 GSS 토큰을 상호 교환하고, 상호 인증하도록 하며, X/Open사 제품인 PROTOCOLS FOR X/OPEN PC INTERWORKING: SMB VERSION 2, Section 11.2에서 정의된다. 이러한 기능은 서버가 다수의 패키지로부터 선택할 수 있도록 한다.
SMBsecpkgX 요구에 이어서, SMBsesssetupX는 제로 길이의 smb_apasswd를 가질 수 있는데, 그 이유는 이미 인증이 이루어졌으며, 이로 인해 임의의 내용이 무시되기 때문이다. SMBseckgX의 요구가 수신되지 않거나 혹은 알려진 패키지가 SMBseckgX 요구에 포함되지 않고 수신되지 않으면, stab_apasswd 필드는 서버가 사용자를 인증할 수 있도록 유효한 패스워드를 포함한다. 이 경우, 서버는 사용자에 대한 크리덴셜을 획득해야 한다.
본 명세서에 개시된 본 발명의 구현에 따르면, 설정 프로토콜(NP)에 대한 변경이 다음과 같이 제공된다. secpkgX(전술한 secmode 필드의 제2비트)를 인에이블시키기 위해 세트 플래그(Set Flag)가 설정된다. 또한, 서버가 후속 클라이언트를 지원하는지의 여부를 판정하는 새로운 srvhueristic 비트가 제공된다. 후속 클라이언트 지원이 턴오프되면, 프로토콜 설정시 서버는 후속 프로토콜의 세트를 제공하지 않는다. 이로 인해, 보안성이 적은 후속 클라이언트는 접속이 차단된다.
또한, 전술한 바와 같이, 현재 고려되고 있는 특정한 실시예에서 있어서 스트링(string) LSE(10)이 와이어상을 흐르는 새로운 프로토콜 레벨이 정의된다. 셀간 서버(cross-cell servers)에 대한 티켓을 획득하기 위해 NP 응답은 서버의 셀 이름 및 셀의 길이를 포함하도록 변경된다. 셀 이름은 도메인 명칭(domain name) 뒤에 이어지며, 보안 문맥을 획득할 때 제5도의 크리덴셜 관리자(128)에 의해 사용된다.
셀 이름은 셀간 인증을 위해 필요하지만, 프로토콜 설정에 의해 LSE(10) 스트링이 생성될 때에만 전송된다.
또한, 전술한 바와 같이, secpkgX 변경이 요구된다. 이러한 기능은 X/Open사 제품인 PROTOCOLS FOR X/OPEN PC INTERWORKING: SMB VERSION 2의 섹션 11.2에서 정의된다. 이러한 포맷은 본 명세서에 개시된 실시예에서 사용되며, 특정 정보는 IBM사 제품인 LS 4.0E등과 같은 사용되는 특정 LAN 서버에 대해 정의된다. SMB_Pkglist 구조의 경우, SMB_pkgname는 Lan Server 4.0E GSS/DCE Token이며, 이는 전술한 바와 같이 LS 4.0E 서버 제품이 전송하거나 혹은 인식하는 유일한 패키지이다.
이하의 표 1에서, 전술한 SMBsecpkgX에 대한 데이타 구조는 다음과 같이 정의된다:
제5도를 참조하면, 본 발명의 기본 흐름이 개략적으로 도시되어 있다. 먼저, 사용자가 로그온(210)하여, 로그인 문맥은 시스템 문맥(211)으로서 세트된다.
그다음으로, LSCredMGR 함수는 사용자에 대한 크리덴셜을 획득하고, GSS 크리덴셜이 시스템 문맥으로부터 생성(212, 213)된다. 이어서, 서버에 대한 세션 셋업 요구(214)가 수행된다. 후속 일련의 단계(215-218)는 DCE에 대한 GSS 호출을 포함하여 서버에 대한 문맥 토큰이 획득되는 것을 나타낸다.
제5도를 참조하면, 단계(219)에서 시스템 문맥 토큰을 포함하는 SMBsecpkg_X 호출이 전송된다. 이때, 서버가 개시시의 크리덴셜을 획득하고(220, 221), SMBsecpkg_X가 수신된다(222). 그후, 단계(223, 224)에서, 서버는 GSS_Accept_context 함수로 사용자를 유효화하고, DCE에 대한 GSS 호출을 포함하는 응답 토큰을 수신한다. 이어서, 서버는 GSS 토큰으로부터 EPAC를 추출한다(225, 226). 그다음으로, GSS 문맥 토큰을 포함하는 SMBsecpkg_X 응답이 제공된다(227). 또한, SMBsecpkg_X 응답이 수신된다(단계(227)). 단계(228-231)로 도시된 바와 같이, 그후, DCE에 대한 GSS 호출을 포함하는 서버의 문맥 토큰이 유효화된다. 마지막으로, 참조번호(232)로 도시된 바와 같이, SMBSessSetup_X가 전송 및 수신된다.
본 발명의 또다른 측면은 유한한 수명을 갖는 토큰을 제공하는 전형적인 방안에 관한 것이다. 토큰이 만료되면, 전형적으로 서버는 클라이언트와의 접속을 자동적으로 차단시킨다. 따라서, 토큰을 주기적으로 리프레쉬하는데 몇가지 수단이 요구된다.
따라서, 본 발명에 따르면, 세션이 셋업된 후, 제5도의 크리덴셜 관리자(128)는 티켓의 잔여 수명이 어느 정도인지를 판정한다. 이러한 결정이 이루어진 후, 만료되기 직전에, 크리덴셜 관리자(128)는 바람직하게 새로운 토큰을 획득하고 획득된 토큰을 서버(102)에 전송한다. 이러한 토큰은 제6도에서 토큰(242)으로 도시되어 있으며, 제8도의 상태 머신에 의해 제공되는 이벤트 감시 함수(event monitoring function)를 참조하여 더욱 상세하게 기술될 것이다.
현재의 로그온 상태는 크리덴셜 관리자(128)가 문맥을 관리하는 방법에 영향을 끼친다. 본질적으로, 크리덴셜 관리자에 영향을 주는 로그온 이벤트는 다음과 같이 4가지가 존재한다.
제8도에 도시된 바와 같이, 첫째는 로그온 함수이다. 크리덴셜 관리자(128)는 DCE 시스템 크리덴셜을 획득해야 한다. 크리덴셜은 로그온 exec로부터 수신된다. 그다음으로, 제8도의 로그오프 이벤트(236)가 유사한 방식으로크리덴셜 관리자 (128) 에 영향을 끼친다. 크리덴셜 관리자는 로그온 사용자에 대해 보유하는 모든 세션 정보를 클리어시켜야 한다. 로그오프가 발생되면, RDR은 모든 세션을 종료시키고, 사용중인 DCE 시스템 크리덴셜을 해제(release)시킨다. 이러한 이벤트는 클린업(cleanup) 및 상태 유지를 위해서도 필요하다. 셋째, 크리덴셜 리프레쉬(234)는 전술한 방식으로 제공된다. 이 이벤트는 크리덴셜 관리자가 크리덴셜이 만료된 상태로 전이되는 것을 차단시킨다. 크리덴셜 캐쉬명(credential cache name)은 변경되지 않는다. 시스템이 이미 만료된 상태이면, 새로운 문맥 및 캐쉬명이 획득될 것이다. 크리덴셜 관리자는 이들 2가지 유형의 리프레쉬를 모두 처리한다. 넷째, 크리덴셜 만료는 제8도의 참조번호(240)로 도시된 바와 같이 상태머신으로 제공된다 크리덴셜이 만료되면, 크리덴셜 관리자(128)는 더이상 티켓을 획득하지 못한다. 따라서, 이러한 상태 동안 요구가 입력되면, 크리덴셜 관리자(128)는 에러 코드를 RDR에 반환한다. 일단 사용자가 이러한 상태로 되면, 크리덴셜은 리프레쉬될 수 없고, 로그온 exec에 의해 새로운 크리덴셜 세트가 획득된다.
크리덴셜 관리자(128)의 또다른 측면은 클라이언트(100)가 셧다운(shut down)될 때 나타난다. 이러한 이벤트에서, 리디렉터(116)는 이를(예를 들어, Net Stop 함수) 검출하며, 그후, 리디렉터(116)에 의해 발송된 종료 커맨드(close commad)(제7도의(260))에 의해 크리덴셜 관리자 프로세스(128)가 종료된다. 시스템이 재개되어 부팅(booting)될 때, 리디렉터(116)는 명백하게 개시된다. 그러나, GSS의 나머지 부분이 개시될 때까지 크리덴셜 관리자(128)는 실행되지 않는다. 일단 GSS가 개시되면, 크리덴셜 관리자(128)는 리디렉터(116)내에 유지될 토큰 커맨드(130)를 전송한다. 그러면, 이러한 실행 스레드(thread)는 접속 1커맨드(262)를 제공하는 리디렉터에 의해 사용된다. 접속 2커맨드(264)는 크리덴셜 관리자(128)내에 스레드를 유지하도록 한다.
전술한 설명을 참조하면, 본 명세서에서 기술된 바와 같이, 본 발명의 구현시 부가적인 요인을 감안해야 할 필요가 있다. DCE에서 크리덴셜은 커버로스 티켓, 특히, 사용자 및 사용자가 멤버가 되는 그룹(예를 들어, 관리자, 게스트, 사용자 등)의 정의로 간주될 수 있음에 유의하여야 한다. 전형적으로, 이러한 크리덴셜은 프로세스를 자체적으로 관리해야 하는 각 프로세스마다 존재한다. 그러나, 본 발명에 따른 크리덴셜 관리자는 각각의 프로세스를 관리하는 전체 네트워크 시스템에 대해 제공된 것이다. 따라서, 본 발명에 따라 사용될 특정 로그인과 같이 프로세스에 따라 달라지는(Process-specific) 것으로 통상 여겨지는 아이템에 대해 시스템이 책임지는 한, 이러한 모든 각각의 프로세스는 DCE크리덴셜이 이들 프로세스 아래에서 동작하는 것을 알지 못한다. 전형적으로, 이것은 어플리케이션에 따라 고유(unique per application)하다. 그러나, 본 발명에 따라, 어플리케이션이 본 발명에 의하지 않았을 경우 프로세스에 따라 달라지는 여러 호출을 행한 경우, 이 어플리케이션은 시스템 레벨에 기초하여 관리되며, 토큰을 획득하기 위해 크리덴셜 관리자는 각각의 프로세스가 어떤 것인지를 파악하여 적절한 크리덴셜을 전송한다.
본 발명에 따르면, 보안 관리를 위한 종래의 비교적 상이한 메카니즘을 구현하는 2개의 소프트웨어 엔티티가 병합되었다. 특히, 본 발명은 DCE코드와 함께 현행 메카니즘을 사용하기 위해 LAN 서버 머신을 제공하며, 연속적으로 통신하기 위해 이들 LAN 및 DCE 코드의 두 엔티티는 전형적으로 함께 사용된다. 보안 LAN 구현에서는 비교적 단순한 인증을 제공하며, 본 발명에 따른 DCE 인증을 채택하는 것이 유리한 이유는 더욱 복잡한 인증 메카니즘을 사용하는 경우에도 더욱 안정된 환경을 제공하기 때문이다.
크리덴셜 관리자 구현을 신규하게 제공하여 LAN 서버가 GSS DCE 크리덴셜과 함께 동작하도록 하는 것과 더불어, 본 발명의 토큰 구현에서는 X-Open 명세 및 SMB 아키덱처의 일부인 SMBsecpkgX 패키지를 사용하여 신규한 결과를 제공하였다. 본 발명의 이러한 측면에 따르면, 정의된 신규한 패키지는 상호 인증을 나타내는 플래그, 전술한 토큰 및 사용자가 정의될 때 통신 셋업시 통상적으로 SMB에서 획득되는 사용자 이름을 포함한다. 본 발명에 따른 인증은 세션 셋업시 사용하기 위한 인증 프로토콜의 설정 SMBsecpkg_X 대신, 세션 셋업에서 SMBsecpkg_X 함수로 이동된다.
구조적 정의에 의해, 세션 셋업은 사용자가 인증되는 경우에 이루어진다. 그러나, 본 발명에 따르면, 전술한 인증은 SMB로 제공된다. 따라서, 시스템이 세션 셋업에 도달하면, 세션 셋업을 실행하는 작업이 수행되지만 인증은 요구되지 않는데, 그 이유는 이미 인증이 실행되었기 때문이다. 신규한 커스텀(custom) SMBsecpkg_X 패키지가 사용되더라도, 인증은 한쪽 SMB로부터 다른쪽 SMB로 효율적으로 이동되었다. 그러나, 전형적으로 이러한 패키지 함수를 사용하면 세션키로 암호화된 제품이 제공될 때, 원하는 바와 같이(예를 들어, 상이한 암호화 알고리즘(encryption algorithm), 키등의) 인증에 대해 상이한 메카니즘 사양이 허용될 수 있다. 그러나, 전술한 바와 같이, 본 발명은 세션 셋업으로부터 SMBsecpkg_X 패키지 전통으로 인증을 이동하는 것을 용이하게 한다.
본 발명은 특정한 실시예를 참조하여 도시되고 기술되었지만, 본 기술 분야에 통상의 지식을 가진 자라면, 본 발명의 정신 및 영역을 벗어나지 않은 범위내에서 본 발명의 형태 및 세부 사항에 있어 여러가지 변경이 이루어질 수 있음을 이해할 것이다.

Claims (24)

  1. 원격 프로시듀어 호출(remote procedure calls: RPC)을 본질적으로 지원하지 않는 LAN 서버 환경내에서 상호접속된 클라이언트(clients)와 서버 사이에 분산 컴퓨터 환경(distributed computing environment: DCE) 크리덴셜(credentials)을 이용해서 세션 셋업(session setup) 동안의 상호 인증(mutual authentication)을 개선하는 방법에 있어서, ① 크리덴셜을 교환하기 위해 서버 관리 블럭(server management block: SMB) 프로토콜의 확장을 사전정의하는 단계와, ② 상기 서버를 이용해서, 상기 DCE에 의해 정의된 GSS API 인터페이스를 통해 포괄적 보안 서브시스템(a generic security subsystem: GSS)을 상기 사전 정의된 확장의 함수로서 액세스하는 단계와, ③ 상기 액세스에 응답하여, 상기 GSS로부터 상기 크리덴셜을 획득 및 유효화하는 단계를 포함하는 상호 인증을 개선하는 방법.
  2. 제1항에 있어서, 상기 액세스하는 단계는, 상기 클라이언트 및 상기 서버를 이용해서, 상기 상호 인증을 수행하는데 필요한 정보를 캡슐화(encapsulate)하는 토큰(tokens)을 검색하는 단계를 더 포함하는 상호 인증을 개선하는 방법.
  3. 제2항에 있어서, 상기 SMB 프로토콜의 상기 확장은, 프로토콜 설정(negotiate protocol: NP) 응답시, SMB_secmode 필드내의 제2비트를 활성화하는 단계를 포함하는 상호 인증을 개선하는 방법.
  4. 제3항에 있어서, 상기 서버를 이용해서 SMBsecpkgX응답을 검출하는 단계와, 상기 검출에 응답하여, 상기 클라이언트와 상기 서버간에 GSS 토큰을 교환하여 상기 상호 인증을 수행하는 단계를 더 포함하는 상호 인증을 개선하는 방법.
  5. 제4항에 있어서, 상기 SMBsecpkgX 응답에 대응하는 GSS/DCE 토큰 패키지를 정의하는 단계를 더 포함하는 상호 인증을 개선하는 방법.
  6. 제5항에 있어서, ① 상기 서버에 전송할 제1토큰을 획득하기 위해, 상기 클라이언트를 이용해서 GSS_initiate_sec_context 함수를 호출하는 단계와, ② 상기 제1토큰에 응답하여, 제2토큰을 상기 클라이언트로부터 상기 GSS_initiate_sec_context 함수에 전송하는 단계와, ③ 상기 GSS_initiate_sec_context 함수를 이용해서, 상기 서버가 인증되었는지의 여부를 반환(return)하는 단계를 더 포함하는 상호 인증을 개선하는 방법.
  7. 제6항에 있어서, ① 상기 SMBsecpkgX 응답을 검출하는 상기 단계에 응답하여, 상기 서버를 이용해서 상기 제2토큰을 추출하는 단계와, ② GSS_accept_sec_context 함수를 이용해서 상기 추출된 토큰을 처리하는 단계와, ③ 클라이언트 인증(a client authentication)에 응답하여, 상기 서버를 이용해서 상기 클라이언트에 전송할 GSS를 수신하는 단계와, ④ 상기 SMBsecpkgX 응답시, 상기 GSS 토큰을 상기 클라이언트에 전송하는 단계와, ⑤ 상기 서버를 이용해서 상기 GSS 토큰으로부터 상기 사용자의 상기 크리덴셜을 추출하는 단계와, ⑥ 상기 클라이언트가 상기 네트워크의 자원에 액세스하고자 할 때 사용하기 위해, 상기 추출된 크리덴셜을 세션 데이타 구조(session data structures)에 접속하는 단계를 더 포함하는 상호 인증을 개선하는 방법.
  8. 제7항에 있어서, 상기 서버는 리디렉터(a rdirector)를 포함하고, 상기 리디렉터 및 상기 GSS는 상이한 링(different rings)에서 동작하고, 상기 방법은, 크리덴셜 관리자 프로세스(a credential manager process)를 상기 리디렉터와 상기 GSS간의 중간매체로서 설정하는 단계를 더 포함하는 상호 인증을 개선하는 방법.
  9. 원격 프로시듀어 호출(RPC)을 본질적으로 지원하지 않는 LAN 서버환경내에서 상호접속된 클라이언트와 서버 사이에 분산 컴퓨터 환경(DCE) 크리덴셜을 이용해서 세션 셋업(session setup) 동안의 상호 인증(mutua1 authentication)을 개선하는 장치에 있어서, ① 크리덴셜을 교환하기 위해 서버 관리 블럭(SMB) 프로토콜의 확장을 사전정의하는 수단과, ② 상기 서버를 이용하여 상기 DCE에 의해 정의된 GSS API 인터페이스를 통해 포괄적 보안 서브시스템(a generic security subsystem: GSS)을 상기 사전정의된 확장의 함수로서 액세스하는 수단과, ③ 상기 액세스에 응답하여, 상기 GSS로부터 상기 크리덴셜을 획득 및 유효화하는 수단을 포함하는 상호 인증을 개선하는 장치.
  10. 제9항에 있어서, 상기 액세스 수단은, 상기 클라이언트 및 상기 서버를 이용해서, 상기 상호 인증을 수행하는데 필요한 정보를 캡슐화하는 토큰을 검색하는 수단을 더 포함하는 상호 인증을 개선하는 장치.
  11. 제10항에 있어서, 상기 SMB프로토콜의 상기 확장 수단은, 프로토콜 설정(NP) 응답시, SMB_secmode 필드내의 제2비트를 활성화시키는 수단을 포함하는 상호 인증을 개선하는 장치.
  12. 제11항에 있어서, 상기 서버를 이용해서 SMBsecpkgX응답을 검출하는 수단과, 상기 검출에 응답하여, 상기 클라이언트와 상기 서버간에 GSS 토큰을 교환하여 상기 상호 인증을 수행하는 수단을 더 포함하는 상호 인증을 개선하는 장치.
  13. 제12항에 있어서, 상기 SMBsecpkgX 응답에 대응하는 GSS/DCE 토큰 패키지를 정의하는 수단을 더 포함하는 상호 인증을 개선하는 장치.
  14. 제13항에 있어서, ① 상기 서버에 전송할 제1토큰을 획득하기 위해, 상기 클라이언트를 이용해서 GSS_initiate_sec_context 함수를 호출하는 수단과, ② 상기 제1토큰에 응답하여, 제2토큰을 상기 클라이언트로부터 상기 GSS_initiate_sec_context 함수에 전송하는 수단과, ③ 상기 GSS_initiate_sec_context 함수를 이용해서, 상기 서버가 인증되었는지의 여부를 반환(return)하는 수단을 더 포함하는 상호 인증을 개선하는 장치.
  15. 제14항에 있어서, ① 상기 SMBsecpkgX 응답 검출에 응답하여, 상기 서버를 이용해서 상기 제2토큰을 추출하는 수단과, ② GSS_accept_sec_context 함수를 이용해서 상기 추출된 토큰을 처리하는 수단과, ③ 클라이언트 인증에 응답하여, 상기 서버를 이용해서 상기 클라이언트에 전송할 GSS를 수신하는 수단과, ④ 상기 SMBsecpkgX 응답시, 상기 GSS 토큰을 상기 클라이언트에 전송하는 수단과, ⑤ 상기 서버를 이용해서 상기 GSS 토큰으로부터 상기 사용자의 상기 크리덴셜을 추출하는 수단과, ⑥ 상기 클라이언트가 상기 네트워크의 자원에 액세스하고자 할 때 사용하기 위해, 상기 추출된 크리덴셜을 세션 데이타 구조에 접속시키는 수단을 더 포함하는 상호 인증을 개선하는 장치.
  16. 제15항에 있어서, 상기 서버는 리디렉터를 포함하고, 상기 리디렉터 및 상기 GSS는 상이한 링에서 동작하고, 상기 장치는, 크리덴셜 관리자 프로세스를 상기 리디렉터와 상기 GSS간의 증간매체로서 설정하는 수단을 더 포함하는 상호 인증을 개선하는 장치.
  17. 원격 프로시듀어 호출(RPC)을 본질적으로 지원하지 않는 LAN 서버 환경내에 상호접속된 클라이언트와 서버 사이에 분산 컴퓨터 환경(DCE) 크리덴셜을 이용해서 세션 셋업 동안의 상호 인증을 개선하는 컴퓨터 프로그램 제품(a computer program product)에 있어서, ① 크리덴셜을 교환하기 위해 서버 관리 블럭(SMB) 프로토콜의 확장을 사전정의하는 컴퓨터 판독가능한 프로그램 코드 수단(computer readable program code means)과, ② 상기 서버를 이용해서, 상기 DCE에 의해 정의된 GSS API 인터페이스를 통해 포괄적 보안 서브시스템(GSS)을 상기 사전정의된 확장의 함수로서 액세스하는 컴퓨터 판독가능한 프로그램 코드 수단과, ③ 상기 액세스에 응답하여, 상기 GSS로부터 상기 크리덴셜을 획득 및 유효화하는 컴퓨터 판독가능한 프로그램 코드 수단을 포함하는 컴퓨터 판독가능한 프로그램 제품.
  18. 제17항에 있어서, 액세스하는 상기 컴퓨터 판독가능한 프로그램 코드 수단은, 상기 클라이언트 및 상기 서버를 이용해서, 상기 상호 인증을 수행하는데 필요한 정보를 캡슐화하는 토큰을 검색하는 컴퓨터 판독가능한 프로그램 수단을 더 포함하는 컴퓨터 판독가능한 프로그램 제품.
  19. 제18항에 있어서, 상기 SMB 프로토콜을 확장하는 상기 컴퓨터 판독가능한 프로그램 코드 수단은, 프로토콜 설정(NP) 응답시, SMB_secmode 필드내의 제2비트를 활성화하는 컴퓨터 판독가능한 프로그램 코드 수단을 포함하는 컴퓨터 판독가능한 프로그램 제품.
  20. 제19항에 있어서, 상기 서버를 이용해서 SMBsecpkgX 응답을 검출하는 컴퓨터 판독가능한 프로그램 코드 수단과, 상기 검출에 응답하여, 상기 클라이언트와 상기 서버간에 GSS 토큰을 교환하여 상기 상호 인증을 수행하는 컴퓨터 판독가능한 프로그램 코드 수단을 더 포함하는 컴퓨터 판독가능한 프로그램 제품.
  21. 제20항에 있어서, 상기 SMBsecpkgX 응답에 대응하는 GSS/DCE 토큰 패키지를 정의하는 컴퓨터 판독가능한 프로그램 코드 수단을 더 포함하는 컴퓨터 판독가능한 프로그램 제품.
  22. 제21항에 있어서, ① 상기 서버에 전송할 제1토큰을 획득하기 위해, 상기 클라이언트를 이용해서 GSS_initiate_sec_context함수를 호출하는 컴퓨터 판독가능한 프로그램 코드 수단과, ② 상기 제1토큰에 응답하여, 제2토큰을 상기 클라이언트로부터 상기 GSS_initiate_sec_context 함수에 전송하는 컴퓨터 판독가능한 프로그램 코드 수단과, ③ 상기 Gss_initiate_sec_context 함수를 이용해서, 상기 서버가 인증되었는지의 여부를 반환하는 컴퓨터 판독가능한 코드 수단을 더 포함하는 컴퓨터 판독가능한 프로그램 제품.
  23. 제22항에 있어서, ① 상기 SMBsecpkgX 응답 검출에 응답하여, 상기 서버를 이용해서 상기 제2토큰을 추출하는 컴퓨터 판독가능한 프로그램 코드 수단과, ② GSS_accept_sec_context 함수를 이용해서 상기 추출된 토큰을 처리하는 컴퓨터 판독가능한 프로그램 코드 수단과, ③ 클라이언트 인증에 응답하여, 상기 서버를 이용해서 상기 클라이언트에 전송할 GSS토큰을 수신하는 컴퓨터 판독가능한 프로그램 코드 수단과, ④ 상기 SMBsecpkgX응답시, 상기 GSS 토큰을 상기 클라이언트에 전송하는 컴퓨터 판독가능한 프로그램 코드 수단과, ⑤ 상기 서버를 이용해서 상기 GSS 토큰으로부터 상기 사용자의 상기 크리덴셜을 추출하는 컴퓨터 판독가능한 프로그램 코드 수단과, ⑥ 상기 클라이언트가 상기 네트워크의 자원에 액세스하고자 할 때 사용하기 위해, 상기 추출된 크리덴셜을 세션 데이타 구조에 접속하는 컴퓨터 판독가능한 프로그램 코드 수단을 더 포함하는 컴퓨터 판독가능한 프로그램 제품.
  24. 제23항에 있어서, 상기 서버는 리디렉터를 포함하고, 상기 리디렉터 및 상기 GSS는 상이한 링에서 동작하고, 상기 컴퓨터 프로그램 제품은, 크리덴셜 관리자 프로세스를 상기 리디렉터와 상기 GSS간의 중간매체로서 설정하는 컴퓨터 판독가능한 프로그램 코드 수단을 더 포함하는 컴퓨터 판독가능한 프로그램 제품.
KR1019960047086A 1995-12-11 1996-10-21 상호 인증을 개선하는 방법 및 장치와, 컴퓨터 판독가능한 프로그램 제품 KR100194252B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US08/570,463 1995-12-11
US08/570,463 US5764887A (en) 1995-12-11 1995-12-11 System and method for supporting distributed computing mechanisms in a local area network server environment
US8/570,463 1995-12-11

Publications (2)

Publication Number Publication Date
KR970049735A KR970049735A (ko) 1997-07-29
KR100194252B1 true KR100194252B1 (ko) 1999-06-15

Family

ID=24279747

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019960047086A KR100194252B1 (ko) 1995-12-11 1996-10-21 상호 인증을 개선하는 방법 및 장치와, 컴퓨터 판독가능한 프로그램 제품

Country Status (7)

Country Link
US (1) US5764887A (ko)
EP (1) EP0779570B1 (ko)
JP (1) JPH09160876A (ko)
KR (1) KR100194252B1 (ko)
CN (1) CN1101021C (ko)
DE (1) DE69613948T2 (ko)
MY (1) MY112685A (ko)

Families Citing this family (124)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088451A (en) * 1996-06-28 2000-07-11 Mci Communications Corporation Security system and method for network element access
US5987611A (en) * 1996-12-31 1999-11-16 Zone Labs, Inc. System and methodology for managing internet access on a per application basis for client computers connected to the internet
US5987608A (en) * 1997-05-13 1999-11-16 Netscape Communications Corporation Java security mechanism
US6070243A (en) 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
US5948064A (en) * 1997-07-07 1999-09-07 International Business Machines Corporation Discovery of authentication server domains in a computer network
US6418466B1 (en) * 1997-07-10 2002-07-09 International Business Machines Corporation Management of authentication discovery policy in a computer network
US6058426A (en) * 1997-07-14 2000-05-02 International Business Machines Corporation System and method for automatically managing computing resources in a distributed computing environment
US6311226B1 (en) * 1997-08-29 2001-10-30 Cisco Technology, Inc. Method and apparatus for dynamic link name negotiation
US5983272A (en) 1997-08-29 1999-11-09 Cisco Technology, Inc. Option request protocol
JP3748155B2 (ja) * 1997-11-14 2006-02-22 富士通株式会社 改ざん防止/検出機能を有するファイル管理システム
US6246771B1 (en) * 1997-11-26 2001-06-12 V-One Corporation Session key recovery system and method
US6035405A (en) * 1997-12-22 2000-03-07 Nortel Networks Corporation Secure virtual LANs
US6339826B2 (en) * 1998-05-05 2002-01-15 International Business Machines Corp. Client-server system for maintaining a user desktop consistent with server application user access permissions
DE19929515A1 (de) * 1998-07-01 2000-01-05 Nat Semiconductor Corp Sicherer Anschlußzugriff auf ein Gerät eines lokalen Netzwerks
US6209101B1 (en) * 1998-07-17 2001-03-27 Secure Computing Corporation Adaptive security system having a hierarchy of security servers
EP0978977A1 (en) 1998-08-07 2000-02-09 International Business Machines Corporation A method and system for improving high speed internetwork data transfers
US6711178B1 (en) 1998-09-08 2004-03-23 Cisco Technology, Inc. Enhanced claw packing protocol
US6606663B1 (en) * 1998-09-29 2003-08-12 Openwave Systems Inc. Method and apparatus for caching credentials in proxy servers for wireless user agents
US6763370B1 (en) * 1998-11-16 2004-07-13 Softricity, Inc. Method and apparatus for content protection in a secure content delivery system
US7017188B1 (en) * 1998-11-16 2006-03-21 Softricity, Inc. Method and apparatus for secure content delivery over broadband access networks
US6374402B1 (en) * 1998-11-16 2002-04-16 Into Networks, Inc. Method and apparatus for installation abstraction in a secure content delivery system
US6182267B1 (en) 1998-11-20 2001-01-30 Cisco Technology, Inc. Ensuring accurate data checksum
IL143592A0 (en) 1998-12-07 2002-04-21 Network Ice Corp A method and apparatus for remote installation of network drivers and software
WO2000034867A1 (en) 1998-12-09 2000-06-15 Network Ice Corporation A method and apparatus for providing network and computer system security
US6324578B1 (en) 1998-12-14 2001-11-27 International Business Machines Corporation Methods, systems and computer program products for management of configurable application programs on a network
US6510466B1 (en) 1998-12-14 2003-01-21 International Business Machines Corporation Methods, systems and computer program products for centralized management of application programs on a network
US6529937B1 (en) * 1999-01-29 2003-03-04 International Business Machines Corporation System and method for communicating client IP addresses to server applications
TW518497B (en) * 1999-03-30 2003-01-21 Sony Corp Information processing system
US7370071B2 (en) 2000-03-17 2008-05-06 Microsoft Corporation Method for serving third party software applications from servers to client computers
US7730169B1 (en) 1999-04-12 2010-06-01 Softricity, Inc. Business method and system for serving third party software applications
US6883100B1 (en) 1999-05-10 2005-04-19 Sun Microsystems, Inc. Method and system for dynamic issuance of group certificates
US7213262B1 (en) 1999-05-10 2007-05-01 Sun Microsystems, Inc. Method and system for proving membership in a nested group using chains of credentials
US8099758B2 (en) 1999-05-12 2012-01-17 Microsoft Corporation Policy based composite file system and method
US7346929B1 (en) * 1999-07-29 2008-03-18 International Business Machines Corporation Method and apparatus for auditing network security
US6769068B1 (en) * 1999-09-02 2004-07-27 International Business Machines Corporation Dynamic credential refresh in a distributed system
US6865679B1 (en) 1999-10-01 2005-03-08 International Business Machines Corporation Method, system, and program for accessing a system without using a provided login facility
US6385701B1 (en) 1999-11-19 2002-05-07 International Business Machines Corporation Method, system and program products for sharing data between varied clients using token management
US8006243B2 (en) * 1999-12-07 2011-08-23 International Business Machines Corporation Method and apparatus for remote installation of network drivers and software
EP1109099A1 (en) * 1999-12-17 2001-06-20 Alcatel Using secured calls in object-oriented software applications
US6978373B1 (en) * 2000-03-22 2005-12-20 International Business Machines Corporation Methods systems and computer program products for providing secure client profile completion by network intermediaries
GB2366640B (en) * 2000-03-30 2004-12-29 Ibm Distribution of activation information
US7058798B1 (en) * 2000-04-11 2006-06-06 Sun Microsystems, Inc. Method ans system for pro-active credential refreshing
WO2001084775A2 (en) * 2000-04-28 2001-11-08 Internet Security Systems, Inc. System and method for managing security events on a network
US7574740B1 (en) 2000-04-28 2009-08-11 International Business Machines Corporation Method and system for intrusion detection in a computer network
US7089428B2 (en) * 2000-04-28 2006-08-08 Internet Security Systems, Inc. Method and system for managing computer security information
US6907531B1 (en) 2000-06-30 2005-06-14 Internet Security Systems, Inc. Method and system for identifying, fixing, and updating security vulnerabilities
US7162649B1 (en) 2000-06-30 2007-01-09 Internet Security Systems, Inc. Method and apparatus for network assessment and authentication
US7093239B1 (en) * 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
US7178166B1 (en) 2000-09-19 2007-02-13 Internet Security Systems, Inc. Vulnerability assessment and authentication of a computer by a local scanner
US9027121B2 (en) * 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
US7146305B2 (en) * 2000-10-24 2006-12-05 Vcis, Inc. Analytical virtual machine
US7130466B2 (en) 2000-12-21 2006-10-31 Cobion Ag System and method for compiling images from a database and comparing the compiled images with known images
US7412598B1 (en) * 2000-12-29 2008-08-12 Cisco Technology, Inc. Method and system for real-time insertion of service during a call session over a communication network
US7168093B2 (en) 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
AU2002244083A1 (en) * 2001-01-31 2002-08-12 Timothy David Dodd Method and system for calculating risk in association with a security audit of a computer network
US6959336B2 (en) * 2001-04-07 2005-10-25 Secure Data In Motion, Inc. Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets
US7769845B2 (en) * 2001-05-04 2010-08-03 Whale Communications Ltd Method and system for terminating an authentication session upon user sign-off
US20020169967A1 (en) * 2001-05-14 2002-11-14 Sangeeta Varma Method and apparatus for multiple token access to thin client architecture session
US7562388B2 (en) * 2001-05-31 2009-07-14 International Business Machines Corporation Method and system for implementing security devices in a network
US7237264B1 (en) 2001-06-04 2007-06-26 Internet Security Systems, Inc. System and method for preventing network misuse
US7657419B2 (en) * 2001-06-19 2010-02-02 International Business Machines Corporation Analytical virtual machine
US8751647B1 (en) 2001-06-30 2014-06-10 Extreme Networks Method and apparatus for network login authorization
US8200818B2 (en) * 2001-07-06 2012-06-12 Check Point Software Technologies, Inc. System providing internet access management with router-based policy enforcement
US7590684B2 (en) * 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
US7222359B2 (en) * 2001-07-27 2007-05-22 Check Point Software Technologies, Inc. System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices
US7529778B1 (en) 2001-12-12 2009-05-05 Microsoft Corporation System and method for providing access to consistent point-in-time file versions
WO2003058451A1 (en) 2002-01-04 2003-07-17 Internet Security Systems, Inc. System and method for the managed security control of processes on a computer system
US7076798B2 (en) * 2002-02-07 2006-07-11 International Business Machines Corporation Securing non-EJB corba objects using an EJB security mechanism
US7571467B1 (en) 2002-02-26 2009-08-04 Microsoft Corporation System and method to package security credentials for later use
US7370360B2 (en) 2002-05-13 2008-05-06 International Business Machines Corporation Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US7685287B2 (en) * 2002-05-30 2010-03-23 Microsoft Corporation Method and system for layering an infinite request/reply data stream on finite, unidirectional, time-limited transports
US7565537B2 (en) * 2002-06-10 2009-07-21 Microsoft Corporation Secure key exchange with mutual authentication
US7370194B2 (en) * 2002-06-10 2008-05-06 Microsoft Corporation Security gateway for online console-based gaming
US20040009815A1 (en) * 2002-06-26 2004-01-15 Zotto Banjamin O. Managing access to content
US6850943B2 (en) * 2002-10-18 2005-02-01 Check Point Software Technologies, Inc. Security system and methodology for providing indirect access control
US20040098614A1 (en) * 2002-11-14 2004-05-20 International Business Machines Corporation JAAS security and COBRA security integration
US7165076B2 (en) * 2002-11-15 2007-01-16 Check Point Software Technologies, Inc. Security system with methodology for computing unique security signature for executable file employed across different machines
US7913303B1 (en) 2003-01-21 2011-03-22 International Business Machines Corporation Method and system for dynamically protecting a computer system from attack
US8136155B2 (en) * 2003-04-01 2012-03-13 Check Point Software Technologies, Inc. Security system with methodology for interprocess communication control
US7318097B2 (en) * 2003-06-17 2008-01-08 International Business Machines Corporation Security checking program for communication between networks
US7788726B2 (en) * 2003-07-02 2010-08-31 Check Point Software Technologies, Inc. System and methodology providing information lockbox
US7568107B1 (en) * 2003-08-20 2009-07-28 Extreme Networks, Inc. Method and system for auto discovery of authenticator for network login
US7657938B2 (en) * 2003-10-28 2010-02-02 International Business Machines Corporation Method and system for protecting computer networks by altering unwanted network data traffic
US8281114B2 (en) * 2003-12-23 2012-10-02 Check Point Software Technologies, Inc. Security system with methodology for defending against security breaches of peripheral devices
AU2005210818A1 (en) * 2004-02-03 2005-08-18 International Business Machines Corporation Digital rights management
US7243157B2 (en) * 2004-02-20 2007-07-10 Microsoft Corporation Dynamic protocol construction
US7496649B2 (en) * 2004-02-20 2009-02-24 Microsoft Corporation Policy application across multiple nodes
US7664828B2 (en) * 2004-02-20 2010-02-16 Microsoft Corporation Invalid policy detection
US8136149B2 (en) * 2004-06-07 2012-03-13 Check Point Software Technologies, Inc. Security system with methodology providing verified secured individual end points
US7617256B2 (en) * 2004-07-19 2009-11-10 Microsoft Corporation Remote file updates through remote protocol
KR100644637B1 (ko) * 2004-10-11 2006-11-10 삼성전자주식회사 Smb 프로토콜을 이용한 데이터 인쇄 장치 및 방법
US7627896B2 (en) * 2004-12-24 2009-12-01 Check Point Software Technologies, Inc. Security system providing methodology for cooperative enforcement of security policies during SSL sessions
US8332526B2 (en) 2005-05-25 2012-12-11 Microsoft Corporation Data communication protocol including negotiation and command compounding
US20070101409A1 (en) * 2005-11-01 2007-05-03 Microsoft Corporation Exchange of device parameters during an authentication session
US7581004B2 (en) * 2006-02-15 2009-08-25 Gabriel Jakobson System and method for alerting on open file-share sessions on a user's electronic device
US8667076B2 (en) * 2006-07-28 2014-03-04 Microsoft Corporation Mapping universal plug and play discovered items to an SMB location
US8201218B2 (en) * 2007-02-28 2012-06-12 Microsoft Corporation Strategies for securely applying connection policies via a gateway
US8334891B2 (en) 2007-03-05 2012-12-18 Cisco Technology, Inc. Multipoint conference video switching
US7770214B2 (en) * 2007-04-17 2010-08-03 International Business Machines Corporation Apparatus, system, and method for establishing a reusable and reconfigurable model for fast and persistent connections in database drivers
US8264521B2 (en) * 2007-04-30 2012-09-11 Cisco Technology, Inc. Media detection and packet distribution in a multipoint conference
US20090006537A1 (en) * 2007-06-29 2009-01-01 Microsoft Corporation Virtual Desktop Integration with Terminal Services
WO2009008630A2 (en) * 2007-07-06 2009-01-15 Lg Electronics Inc. Wireless network management procedure, station supporting the procedure, and frame format for the procedure
US8806207B2 (en) * 2007-12-21 2014-08-12 Cocoon Data Holdings Limited System and method for securing data
US9026623B2 (en) * 2008-01-31 2015-05-05 Microsoft Technology Licensing, Llc Layered architectures for remote dynamic administration of distributed client configurations
US8683062B2 (en) * 2008-02-28 2014-03-25 Microsoft Corporation Centralized publishing of network resources
US8725647B2 (en) * 2008-03-27 2014-05-13 Ca, Inc. Method and system for determining software license compliance
US20090249493A1 (en) * 2008-03-27 2009-10-01 Computer Associates Think, Inc. Method and System for Determining Software License Compliance
US20090259757A1 (en) * 2008-04-15 2009-10-15 Microsoft Corporation Securely Pushing Connection Settings to a Terminal Server Using Tickets
US8612862B2 (en) 2008-06-27 2013-12-17 Microsoft Corporation Integrated client for access to remote resources
US8489685B2 (en) 2009-07-17 2013-07-16 Aryaka Networks, Inc. Application acceleration as a service system and method
US20110209206A1 (en) * 2010-02-23 2011-08-25 Microsoft Corporation Access restriction for computing content
US8631277B2 (en) 2010-12-10 2014-01-14 Microsoft Corporation Providing transparent failover in a file system
US9331955B2 (en) 2011-06-29 2016-05-03 Microsoft Technology Licensing, Llc Transporting operations of arbitrary size over remote direct memory access
US8856582B2 (en) 2011-06-30 2014-10-07 Microsoft Corporation Transparent failover
AU2011101297B4 (en) 2011-08-15 2012-06-14 Uniloc Usa, Inc. Remote recognition of an association between remote devices
US8788579B2 (en) 2011-09-09 2014-07-22 Microsoft Corporation Clustered client failover
US20130067095A1 (en) 2011-09-09 2013-03-14 Microsoft Corporation Smb2 scaleout
US9286466B2 (en) 2013-03-15 2016-03-15 Uniloc Luxembourg S.A. Registration and authentication of computing devices using a digital skeleton key
US9374707B2 (en) 2013-10-25 2016-06-21 Empire Technology Development Llc Secure connection for wireless devices via network records
US9801055B2 (en) * 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy
US10341091B2 (en) * 2016-01-15 2019-07-02 Bittium Wireless Oy Secure memory storage

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5239662A (en) * 1986-09-15 1993-08-24 Norand Corporation System including multiple device communications controller which coverts data received from two different customer transaction devices each using different communications protocols into a single communications protocol
EP0398492B1 (en) * 1989-05-15 1997-01-22 International Business Machines Corporation A flexible interface to authentication services in a distributed data processing system
US5560008A (en) * 1989-05-15 1996-09-24 International Business Machines Corporation Remote authentication and authorization in a distributed data processing system
US5204961A (en) * 1990-06-25 1993-04-20 Digital Equipment Corporation Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols
WO1992004671A1 (en) * 1990-08-29 1992-03-19 Hughes Aircraft Company Distributed user authentication protocol
JP2671649B2 (ja) * 1991-07-08 1997-10-29 三菱電機株式会社 認証方式
US5434562A (en) * 1991-09-06 1995-07-18 Reardon; David C. Method for limiting computer access to peripheral devices
US5418854A (en) * 1992-04-28 1995-05-23 Digital Equipment Corporation Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system
US5369705A (en) * 1992-06-03 1994-11-29 International Business Machines Corporation Multi-party secure session/conference
US5235642A (en) * 1992-07-21 1993-08-10 Digital Equipment Corporation Access control subsystem and method for distributed computer system using locally cached authentication credentials
US5432932A (en) * 1992-10-23 1995-07-11 International Business Machines Corporation System and method for dynamically controlling remote processes from a performance monitor
US5329619A (en) * 1992-10-30 1994-07-12 Software Ag Cooperative processing interface and communication broker for heterogeneous computing environments
US5428351A (en) * 1992-12-28 1995-06-27 General Electric Company Method and apparatus for sharing passwords
US5491752A (en) * 1993-03-18 1996-02-13 Digital Equipment Corporation, Patent Law Group System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens
CA2107299C (en) * 1993-09-29 1997-02-25 Mehrad Yasrebi High performance machine for switched communications in a heterogenous data processing network gateway
US5414833A (en) * 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5434918A (en) * 1993-12-14 1995-07-18 Hughes Aircraft Company Method for providing mutual authentication of a user and a server on a network
US5495533A (en) * 1994-04-29 1996-02-27 International Business Machines Corporation Personal key archive

Also Published As

Publication number Publication date
US5764887A (en) 1998-06-09
DE69613948T2 (de) 2002-01-24
MY112685A (en) 2001-07-31
DE69613948D1 (de) 2001-08-23
CN1155119A (zh) 1997-07-23
KR970049735A (ko) 1997-07-29
EP0779570B1 (en) 2001-07-18
EP0779570A1 (en) 1997-06-18
CN1101021C (zh) 2003-02-05
JPH09160876A (ja) 1997-06-20

Similar Documents

Publication Publication Date Title
KR100194252B1 (ko) 상호 인증을 개선하는 방법 및 장치와, 컴퓨터 판독가능한 프로그램 제품
US7356833B2 (en) Systems and methods for authenticating a user to a web server
US7886061B1 (en) Virtual folders for tracking HTTP sessions
US8819416B2 (en) Method and system for modular authentication and session management
US5586260A (en) Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
EP3132559B1 (en) Automatic log-in and log-out of a session with session sharing
US8132242B1 (en) Automated authentication of software applications using a limited-use token
JP3696933B2 (ja) コンピュータ・ネットワークにおいて、ネットワークアイデンティティと、局部的に定義されたアイデンティティを結び付ける装置と方法
US6067623A (en) System and method for secure web server gateway access using credential transform
US6442695B1 (en) Establishment of user home directories in a heterogeneous network environment
US8375425B2 (en) Password expiration based on vulnerability detection
JP3415456B2 (ja) ネットワークシステム及びコマンド使用権限制御方法ならびに制御プログラムを格納した記憶媒体
CN111581631B (zh) 一种基于redis的单点登录方法
AU2001280975A1 (en) Systems and methods for authenticating a user to a web server
KR20050002628A (ko) 보안 프로토콜의 자동 협상 시스템 및 방법
Volchkov Revisiting single sign-on: a pragmatic approach in a new context
CN112035215A (zh) 节点集群的节点自治方法、系统、装置及电子设备
JP4099320B2 (ja) ストレージシステム
CN109040225A (zh) 一种动态端口桌面接入管理方法和系统
US7730122B2 (en) Authenticating a node requesting another node to perform work on behalf of yet another node
JP2001067319A (ja) Wwwサーバを用いた検索システム
US7577742B1 (en) Account creation method and apparatus
KR102269885B1 (ko) 사용자별 맞춤형 서버 작업 환경의 생성 기능을 구비한 접근통제 시스템
CN115130116A (zh) 业务资源访问方法、装置、设备、可读存储介质及系统
CN117195177A (zh) 一种面向大数据平台的统一用户管理系统及方法

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20011208

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee