KR101015354B1 - 서비스 인터럽션 없이 보안 경계를 가로지르는프린서펄들의 이동 - Google Patents

서비스 인터럽션 없이 보안 경계를 가로지르는프린서펄들의 이동 Download PDF

Info

Publication number
KR101015354B1
KR101015354B1 KR1020040060135A KR20040060135A KR101015354B1 KR 101015354 B1 KR101015354 B1 KR 101015354B1 KR 1020040060135 A KR1020040060135 A KR 1020040060135A KR 20040060135 A KR20040060135 A KR 20040060135A KR 101015354 B1 KR101015354 B1 KR 101015354B1
Authority
KR
South Korea
Prior art keywords
account
authentication
authority
principal
identifier
Prior art date
Application number
KR1020040060135A
Other languages
English (en)
Other versions
KR20050029677A (ko
Inventor
제프리 비. 파함
브렌단 더블유. 딕스온
무르리 디. 사타고판
리차드 비. 워드
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20050029677A publication Critical patent/KR20050029677A/ko
Application granted granted Critical
Publication of KR101015354B1 publication Critical patent/KR101015354B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Finance (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Software Systems (AREA)
  • General Business, Economics & Management (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

진보된 통신망 구조는 신원 카탈로그 (identity catalog)를 갖는 슈퍼 오써러티 (super authority)를 채택해서 로그인 인증 작업들을 적합한 오써러티들로 보낸다. 인증 작업들은, 프린서펄 어카운트 (principal account)가 어카운트 ID를 변경하지 않고 이동될 수 있도록, 슈퍼 오써러티에 의해 그렇게 보내지면 네임스페이스 (namespace) 경계들을 가로질러 오써러티들에 의해 수행될 수 있다. 본 발명의 한 실시예에서, 신원 카탈로그는 적합한 인증 오써러티들과 어카운트 ID들을 연계하는 리스트를 포함한다.
신원 카탈로그, 슈퍼 오써러티, 인증 오써러티, 프린서펄 어카운트 ID, 네임스페이스

Description

서비스 인터럽션 없이 보안 경계를 가로지르는 프린서펄들의 이동 {MOVING PRINCIPALS ACROSS SECURITY BOUNDARIES WITHOUT SERVICE INTERRUPTION}
도 1은 본 발명의 실시예들이 구현될 수 있는 디바이스 아키텍춰 (device architecture)의 예를 일반적으로 도시하는 블럭도이다.
도 2a는 프린서펄들과 연계된 인증 오써러티들이 구현될 수 있는 범용 통신망 아키텍춰의 한 예의 스키마도(schematic diagram) 이다.
도 2b는 프린서펄들과 인증 오써러티들 간의 연계의 논리도의 한 예이다.
도 3a는 슈퍼 오써러티가 본 발명의 한 실시예 내에 구현될 수 있는 범용 통신망 아키텍춰의 한 예의 스키마도이다.
도 3b는 본 발명의 한 실시예에 대응하는 슈퍼 오써러티들, 프린서펄들, 및 인증 오써러티들 간의 연계의 논리도의 한 예이다.
도 4a는 본 발명의 한 실시예를 구현하기 위해 사용가능한 환경 내에 슈퍼 오써러티를 도시하는 스키마도이다.
도 4b는 본 발명의 한 실시예에 대응해서 어카운트 식별자들을 인증 오써러티들에 맵핑하기 위한 신원 카탈로그를 도시하는 스키마도이다.
도 5는 본 발명의 한 실시예에 대응해서 프린서펄 어카운트 ID를 인증하기 위해 로그인 동안 사용가능한 스텝들을 도시하는 흐름도이다.
<주요 도면 부호 설명>
401: 슈퍼 오써러티
403: 통신망 인터페이스
405: 오써러티 레졸루션 로직 (authority resolution logic)
407: 신원 카탈로그 (identity catalog)
409: 통신망
411: 오써러티
413: 프린서펄 A
415: 프린서펄 B
본 발명은 일반적으로 통신망 관리에 관한 것이고, 더 구체적으로, 통신망 환경에서 프린서펄들을 인증하는 시스템 및 방법에 관한 것이다.
컴퓨터 통신망들이 산업 및 기업의 모든 부분들에서 점점 더 널리 쓰이게 되므로, 사용자들은 그들 자신의 머신으로부터 원거리의 컴퓨터에 위치된 리소스들을 좀 더 빈번히 액세스할 필요가 있다. 그러나, 로컬 데이타를 액세스하는 원격 사용자들의 가능성은 다수의 보안 문제들을 일으킨다. 예를 들어, 원격 사용자는, 그들이 액세스하도록 승인되지 않은 데이타를 액세스할 수 있고, 그런 데이타를 악의적으로 파괴하거나 변경할 수 조차 있을 수 있다.
따라서, 대부분의 통신망 도메인들은, 사용자들이 로그인하고 그 도메인에서 리소스들로의 액세스를 얻기 전에 인증받는 것을 요구한다. 인증은, 신원 및 그 사용자의 연계된 승인들 (permission)이 액세스를 부여하기 전에 알려지는 것을 확실시하도록 의도된다. 인증 프로세스는 액세스가 적합한지 여부를 체크하고, 그 다음 그 체크의 결과들에 기초해서 액세스를 부여하거나 거절하게 된다.
본 명세서에서 사용된 바와 같이, 프린서펄은 보안 리소스 또는 퍼실러티 (facility) (예를 들어, 응용 프로그램)를 액세스하기 위해 시도하는 개체 (전형적으로 인간, 컴퓨터, 응용 프로그램, 또는 서비스)이다. 인증은 신원을 증명하거나 확인하는 프로세스이다. 오써러티는 프린서펄들의 어떤 세트에 대해 인증 서비스들을 제공하기 위해 사용되는 위임된 개체이다. 주어진 오써러티에 대해서, 그것은 일단 프린서펄들을 인증하면 그들을 신뢰하지만, 그것은 다른 오써러티들이 그것의 프린서펄들을 적절히 인증한 것을 신뢰하지 않을 수 있다. 이 이유로, 네임스페이스 컨벤션 (convention)이 개발되었고, 특정 오써러티들은 어카운트 ID가 주어진 네임스페이스에 있는 그런 프린서펄들만을 인증한다. 어카운트 ID의 인증 오써러티 부분은 프린서펄 ID의 네임스페이스를 식별하고, 그래서 그 프린서펄을 인증해야하는 오써러티를 식별한다. 프린서펄 식별자 (identifier) 부분은 동일 네임스페이스 내에 다른 사용자들과 구별되게 특정 사용자를 보통 식별한다. 그러므로, 예를 들어, 어카운트 ID bob@dev.microsoft.com는 dev.microsoft.com 도메인을 위한 오써러티에 의해 인증되어야 하고, 어카운트 ID bob@mktg.microsoft.com는 mktg.microsoft.com 도메인을 위한 오써러티에 의해 인증되어야 한다.
이 솔루션은 통신망 리소스들에 대해 어느 정도의 보안을 제공했다. 그러나, 네임스페이스 분리의 정적 (static) 특성은 추가적 문제들을 발생시킨다. 예를 들어, 사용자가 한 도메인으로부터 다른 도메인으로 이동하거나 도메인 경계들을 가로질러 액세스를 하도록 요구될 때, 현재 시스템은 수용하기가 쉽지 않다. 제1의 경우에서, 사용자는 구 도메인 대신에 신 도메인의 네임스페이스를 식별하는 새 어카운트 ID를 얻도록 요구되고, 제2의 경우, 사용자는 적절한 네임스페이스에 추가 어카운트를 얻어야 하거나 또는 오써러티들 간에 강한 관리적 확신 (administrative confidence) (예를 들어, 신뢰성)이 존재해야 한다.
본 발명의 실시예들은, 프린서펄들이 어카운트 ID들을 변경하지 않고 보안 경계들을 가로질러 이동할 수 있고, 동시에 이전 방법들에 의해 제공된 리소스 프로텍션 (resource protection)을 잘 유지관리할 수 있도록, 프린서펄 인증에서 사용되는 네임스페이스 컨벤션의 변경을 허용하는 새 통신망 아키텍춰를 제공한다. 본 발명의 특정 실시예들에 따른 아키텍춰는 복수의 인증 오써러티들에 대해 책임을 갖는 슈퍼 오써러티를 포함한다. 인증 오써러티가 로그인 요구를 수신할 때, 그것은 어느 인증 오써러티가 연계된 프린서펄을 인증해야 하는지에 대한 결정을 위해 그 요구를 슈퍼 오써러티에게 전송한다. 응답에서, 슈퍼 오써러티는 신원 카테고리를 평가해서 어느 오써러티가 그 프린서펄을 인증해야 하는지를 결정한다. 신원 카테고리는 본 발명의 한 실시예에서 각 어카운트 ID를 한 개의 인증 오써러티에 맵핑하는 것을 포함한다. 맵핑은 네임스페이스 경계들을 준수하도록 제한되 기 보다는 팔러시 (policy) 또는 기타에 의해 고정되어서, 이전 시스템들과는 달리, 두 개의 다른 인증 오써러티들은 동일 네임스페이스에 인증할 수 있고, 임의의 인증 오써러티는 복수 네임스페이스들에 인증할 수 있다. 예를 들어, 맵핑은 기업 또는 프린서펄들의 지리적 위치, 기타 내의 프린서펄들의 조직 가입 (organizational affiliation)에 기초할 수 있다. 일단 인증 오써러티가 슈퍼 오써러티에 의해 식별되면, 슈퍼 오써러티는 인증을 위해 로그인 요구를 적절한 오써러티로 직접 전송하거나, 또는 인증을 위해 그 요구를 적절한 오써러티로 전송되게 한다.
본 발명의 추가 특성들 및 잇점들이 첨부된 도면들을 참조해서 진행되는 설명적 실시예들의 다음의 상세 기재로부터 명백하게 될 것이다.
도면들을 참조하면, 참조 번호들은 해당 소자들을 참조하고, 본 발명은 적절한 컴퓨팅 환경에서 구현되는 것으로서 설명된다. 요구되지는 않았지만, 본 발명은, 컴퓨터에 의해 실행되는, 프로그램 모듈들과 같은, 컴퓨터 실행가능 명령들의 일반적 컨텍스트 (context)로 기재될 것이다. 일반적으로, 프로그램 모듈들은 특정 작업들을 수행하거나 특정 추상 데이타 타입들을 구현하는 루틴들, 프로그램들, 객체들, 구성요소들, 데이타 구조들, 기타를 포함한다. 게다가, 이 기술의 숙련자들이라면 본 발명이, 핸드 핼드 디바이스들, 멀티프로세서 시스템들, 마이크로프로세서 기반 또는 프로그램 가능한 소비자 전자 제품들, 통신망 PC들, 미니 컴퓨터들, 메인프레임 컴퓨터들, 및 기타를 포함하는 기타 컴퓨터 시스템 구성들과 함께 실시될 수 있음을 이해할 것이다. 본 발명은, 작업들이 통신망을 통해 링크된 원격 프로세싱 디바이스들에 의해 수행되는 분산 컴퓨팅 환경들에서 실시될 수 있다. 분산 컴퓨팅 환경에서, 프로그램 모듈들은 로컬 및 원격 메모리 저장 디바이스들 모두에 위치될 수 있다.
이 기재는, 본 발명이 도 2-5의 참조에서 더 상세히 기재되는, 본 발명을 구현하는 시스템의 한 예에 사용될 수 있는 일반 목적 컴퓨팅 디바이스의 기재로부터 시작한다. 도 1를 참조하면, 일반 목적 컴퓨팅 디바이스는, 프로세싱 유닛(21), 시스템 메모리(22), 및 시스템 메모리를 포함하는 다양한 시스템 구성요소들을 프로세싱 유닛(21)으로 연결하는 시스템 버스(23)를 포함하는 관용 컴퓨터(20)의 형태로 도시된다. 시스템 버스(23)는 메모리 버스 또는 메모리 제어기, 주변 버스, 및 다양한 버스 구조들 중의 임의의 것을 사용하는 로컬 버스를 포함하는 버스 구조들의 몇 가지 타입들 중의 임의의 것일 수 있다. 시스템 메모리는 읽기용 메모리 (ROM)(24) 및 랜덤 액세스 메모리 (RAM)(25)를 포함한다. 스타트업 동안 같은 때, 컴퓨터(20) 내의 소자들 간에 정보를 전송하는 것을 돕는 기본 루틴들을 포함하는 기본 입/출력 시스템 (BIOS)(26)은 ROM(24)에 저장된다. 컴퓨터(20)은 하드 디스크(60)에 읽고 쓰는 하드 디스크 드라이브(27), 분리형 자기 디스크(29)에 읽고 쓰는 자기 디스크 드라이브(28), CD ROM 또는 기타 광 매체와 같은 분리형 광 디스크(31)에 읽고 쓰는 광 디스크 드라이브(30)를 더 포함한다. 미리 언급된 컴퓨터 판독가능 매체에 추가해서, 통신 매체는 전형적으로 컴퓨터 판독가능 명령들, 데이타 구조들, 프로그램 모듈들 , 또는 캐리어 웨이브나 기타 운송 메카니즘과 같 은 변조된 데이타 신호의 기타 데이타를 구현하고, 임의의 정보 배달 매체를 포함한다. 변조된 데이타 신호라는 용어는 신호에서 정보를 인코드하기 위한 방식으로 한 개 이상의 그자체의 특징들이 세트되거나 변경되는 신호를 의미한다. 예를 들어, 하지만 거기에 국한되지 않고, 통신 매체는 유선 통신망 또는 직접 유선 연결과 같은 유선 매체, 및 음향, RF, 적외선, 및 기타 무선 매체와 같은 무선 매체를 포함한다. 상술한 것들 중의 임의의 것의 조합들은 또한 컴퓨터 판독 가능 매체의 범위 내에 포함되어야 한다.
하드 디스크 드라이브(27), 자기 디스크 드라이브(28), 및 광 디스크 드라이브(30)는 하드 디스크 드라이브 인터페이스(32), 자기 디스크 드라이브 인터페이스(33), 및 광 디스크 드라이브 인터페이스(34) 각각에 의해 시스템 버스(23)로 연결된다. 드라이버들 및 그들의 연계된 컴퓨터 판독가능 매체는 컴퓨터 판독가능 명령들, 데이타 구조들, 프로그램 모듈들, 및 컴퓨터(20)를 위한 기타 데이타의 비휘발성 저장을 제공한다. 본 명세서에서 기재된 환경의 예는 하드 디스크(60), 분리형 자기 디스크(29), 및 분리형 광 디스크(31)를 채택하지만, 그 기술에 숙련자들이라면, 자기 카세트들, 플래쉬 메모리 카드들, 디지탈 비디오 디스크들, 버놀리 (Bernoulli) 카트리지들, 랜덤 액세스 메모리들, 읽기용 메모리들, 저장 지역 통신망들, 및 기타와 같은, 컴퓨터에 의해 액세스 가능한 데이타를 저장할 수 있는 기타 타입들의 컴퓨터 판독가능 매체가 운영 환경의 예에서 또한 사용될 수 있음을 이해할 수 있을 것이다.
다수의 프로그램 모듈들은 운영 체제(35), 한 개 이상의 응용 프로그램들(36), 기타 프로그램 모듈들(37), 및 프로그램 데이타(38)를 포함하는 하드 디스크(60), 자기 디스크(29), 광 디스크(31), ROM(24), RAM(25)에 저장될 수 있다. 사용자는 키보드(40) 및 포인팅 디바이스(42)와 같은 입력 디바이스들을 통해 컴퓨터(20)에 명령들 및 정보를 입력할 수 있다. 기타 입력 디바이스들 (도시 안됨)은 마이크로폰, 조이스틱, 게임 패드, 위성 접시, 스캐너, 또는 기타를 포함할 수 있다. 이런 그리고 기타의 입력 디바이스들은 시스템 버스에 연결된 직렬 포트 인터페이스(46)를 통해 프로세싱 유닛(21)으로 종종 연결되지만, 병렬 포트, 게임 포트, 또는 범용 직렬 버스(USB) 또는 통신망 인터페이스 카드와 같은 기타 인터페이스들에 의해 연결될 수 있다. 모니터(47) 또는 기타 타입의 디스플래이 디바이스는 비디오 어뎁터(48)과 같은 인터페이스를 통해 시스템 버스(23)로 또한 연결된다. 모니터에 추가해서, 컴퓨터들은 스피커들 및 프린터들과 같은, 도시 안된, 기타 주변 출력 디바이스들을 포함할 수 있다.
컴퓨터(20)는 원격 컴퓨터(49)와 같은 한 개 이상의 원격 컴퓨터들에 논리 연결들을 사용해서 통신망 환경에서 동작한다. 원격 컴퓨터(49)는 서버, 라우터, 통신망 PC, 퍼스널 컴퓨터, 피어 디바이스, 또는 기타 일반 통신망 노드일 수 있고, 단지 메모리 저장 장치(50)만이 도 1에 도시되지만, 컴퓨터(20)와 관련해서 상술한 다수의 또는 전체의 소자들을 전형적으로 포함한다. 도 1에 도시된 논리 연결들은 구내 통신망 (LAN)(51) 및 광역 통신망 (WAN)(52)을 포함한다. 상기 통신망 환경들은 사무실들, 기업 기반 컴퓨터 통신망들, 인트라넷, 및 인터넷에서 일반적이다.
LAN 통신망 환경에서 사용될 때, 컴퓨터(20)는 통신망 인터페이스 또는 어뎁터(53)를 통해 구내 통신망(51)에 연결된다. WAN 통신망 환경에서 사용될 때, 컴퓨터(20)는 WAN(52)을 통해 통신을 개통하는 모뎀(54) 또는 기타 수단을 전형적으로 포함한다. 외장 또는 내장일 수 있는, 모뎀(54)은 직렬 포트 인터페이스(46)를 통해 시스템 버스에 연결된다. 컴퓨터(20)에 관련해서 도시된 프로그램 모듈들, 또는 그것들의 일부들은, 존재한다면 원격 메모리 저장 디바이스에 저장될 수 있다. 도시된 통신망 연결들은 예들일 뿐이고 컴퓨터들 간에 통신 링크들을 개통하는 기타 수단들도 사용될 수 있다.
본 명세서에서, 본 발명은, 달리 지시하지 않는 한, 한 개 이상의 컴퓨터들에 의해 수행되는 연산 및 동작들의 심볼릭 표현들을 참조해서 일반적으로 기재된다. 그렇게 해서, 때때로 컴퓨터 실행가능한 것으로 참조되는 그런 연산들 및 동작들은 컴퓨터의 프로세싱 유닛에 의해 구조 형태로 데이타를 표현하는 전기 신호들을 조작하는 것을 포함함이 이해될 것이다. 본 명세서에서, 본 발명은, 달리 지시되지 않는 한, 한 개 이상의 컴퓨터들에 의해 수행되는 동작들 및 연산들의 심볼릭 표현들에의 참조와 함께 일반적으로 기재될 것이다. 그렇게 해서, 컴퓨터 실행되는 것으로 때때로 언급되는 그런 동작들 및 연산들은 구조적 형태로 데이타를 표현하는 전기 신호들의 컴퓨터의 프로세싱 유닛에 의한 조작 (manipulation)을 포함함이 이해될 것이다. 상기 조작은 데이타를 변환하거나 컴퓨터의 메모리 시스템의 위치들에서 그 데이타를 관리하고, 이것은 그 기술에 숙련된 이들이라면 잘 이해할 수 있는 방식으로 컴퓨터의 연산을 재설정하거나 또는 변경한다. 데이타가 관리되 는 데이타 구조들은 데이타 포맷에 의해 정의된 특정 특성들 (properties)을 갖는 메모리의 물리적 위치들이다. 그러나, 본 발명이 앞의 컨텍스트에서 기재되는 가운데, 그 기술의 숙련자들이라면, 본 명세서에 기재된 다양한 동작들 및 연산들은 또한 하드웨어에서 구현될 수 있음을 이해할 수 있는 것처럼 제한적일 의도는 아니다. 다음의 기재에서, 인증 디바이스들 및 슈퍼 오써러티 디바이스들과 같은 컴퓨팅 디바이스들은, 상술한 바와 같이, 컴퓨터(20) 및/또는 원격 컴퓨터(49)에 대해 도 1에 대응할 수 있거나, 다른 경우에서 다른 타입의 컴퓨팅 디바이스일 수 있다.
도 2a는 종래 통신망 리소스 관리 기술들이 사용되는 통신망 환경(200)의 예를 스키마적으로 도시한다. 특히, 프린서펄 A(201), 프린서펄 B(203), 프린서펄 C(205), 프린서펄 D(207), 프린서펄 E(209), 및 프린서펄 F(211)은 각각 오써러티 X(213), 오써러티 Y(215), 및 오써러티 Z(217) 중 하나와 연계된다. 프린서펄들 및 적어도 그들의 대응하는 인증 오써러티들은 통신망(219)을 통해 통신적으로 링크된다. 각 프린서펄은, 도 1에 논의된 컴퓨터(20), 워크스테이션, 또는 필요한 통신망 통신 및 프로세싱 작업들을 수행 가능한 임의의 기타 타입의 컴퓨팅 디바이스와 같은 컴퓨터에 의해 통신망(219)에 표현될 수 있다. 통신망(219)은 유선 및 무선 연결들, LAN, WAN, 및 인터넷 연결들 또는 그들의 임의의 조합, 및 임의의 기타 타입의 통신망 연결을 포함하는 임의의 수와 타입의 통신망 연결들을 포함할 수 있다.
기존 기술들에서, 오써러티 X(213), 오써러티 Y(215), 및 오써러티 Z(217)의 각각은 특정 네임스페이스 내에 어카운트 ID들을 인증하는 책임이 있어서, 어카운 트 ID가 인증을 위해 수신될 때, 오써러티가 인증할 책임이 있는 어카운트 ID 그 자체로부터 즉시 클리어 (clear)한다. 그러므로, 프린서펄들 중의 한 개가 특정 도메인에 로그인을 시도할 때 (예를 들어, 특정 오써러티에 연계된 네임스페이스 내의 통신망 리소스들), 적합한 오써러티는 그 목적을 위해 채택된 다수의 공지된 프로토콜들 중의 한 개에 의해 인증을 수행하고, 그 프린서펄에게 액세스를 허용하거나 거절한다. 프린서펄들 (201, 203, 205, 207, 209, 211)은 다수의 오써러티들 (213, 215, 217) 중 단지 한 개와 연계될 수 있지만, 통신망 연결은 다른 도메인들의 오써러티들 및 머신들과 직접 또는 간접으로 프린서펄이 통신하기 위해 환경(200) 내에 존재할 수 있음을 주목한다.
도 2b를 참조해서, 도 2a의 통신도에 대응하는 논리 도메인 아키텍춰(202)는 스키마적으로 도시된다. 도시된 예에서, 프린서펄 A(201) 및 프린서펄 C(205)는 오써러티 X(213)와 연계되고 (즉, 어카운트를 가짐), 프린서펄 B(203), 프린서펄 D(207), 프린서펄 F(211)는 오써러티 Y(215)와 연계되고, 프린서펄 E(209)는 오써러티 Z(217)와 연계된다. 각 프린서펄은 각각 연계된 인증 오써러티 보다 오써러티들 및 머신들에 대해 통신망 연결성을 갖거나 갖지 않을 수 있지만, 그런 연결들은, 도 2b의 구조(202)가 단지 인증 관계들을 도시하므로, 도 2b의 논리 구조(202)에 도시되지 않는다.
상술한 바와 같이, 통신망 리소스 보안 이유들로 채택된 네임스페이스 컨벤션때문에, 잠재적 서비스 붕괴를 유발하는, 프린서펄 어카운트 ID를 변경하지 않고 한 개 도메인으로부터 또 다른 도메인으로 프린서펄을 이동하는 것은 현재 시스템 에서 불가능하다. 즉, 어카운트 ID들은 인증을 용이하게 하기 위해 네임스페이스 식별자를 포함하므로, 그리고 인증 오써러티들은 겹치지 않는 네임스페이스들로 인증하므로, 특정 오써러티에 대해 사용가능한 어카운트 ID는, 제2 도메인의 액세스를 위한 승인이 다른 경우 주어지더라도, 또 다른 오써러티에 대해 사용가능하지 않다.
특정 기업이 복수 도메인들로 구성되거나, 또는 복수 오써러티들을 갖는 통신망 시스템을 관리하기 위해 선택할 수 있고, 특정 기업이 그런 복수 도메인들 간에 프린서펄들을 이동하기를 희망할 수 있는 많은 이유들이 있다. 예를 들어, 기업 병합기 (enyerprise merger)에서, 한 개 회사 또는 기업은 이전에 각각이 한 개 이상의 도메인들과 연계된 분리된 부분들로부터 형성될 수 있다. 구성요소 기업들의 신원들이 관리되어야 한다면, 결과적 기업 통신망은 병합된 회사들과 연계된 도메인들을 구성요소 부분들로서 종종 포함한다. 또 다른 예에서, 복수국가적 또는 복수지역적 법인 또는 관심이 분리된 도메인들의 제어을 관리하기 위해 법에 의해 요구될 수 있다. 예를 들어, 복수국가적 은행은 특정 국가 내에 고객 관리를 위해 분리된 제어 도메인을 개설하도록 로컬 법 (local law)에 의해 요구될 수 있어서, 로컬 액티버티들 (activities)의 제어 및 로컬 데이타의 액세스는 로컬 고객에만 귀속된다.
복수 오써러티들을 관리하기 위한 기타 이유들은 관리적 격리 (administrative insulation)및 데이타 분리 (data isolation)를 포함한다. 관리적 분리의 프린서펄은 분산화된 느슨히 연결된 복합기업 (conglomate)들이 어느 정 도 리소스들을 공유하기를 원하지만 그 리소스들 또는 그것들과 연계된 프린서펄들의 관리를 공유하기를 원치않을 때 유용하다. 데이타 분리의 프린서펄은, 통신망 리소스들이 고가의, 기밀의, 또는 민감한 데이타 또는 리소스들을 포함하고 복수 오써러티들의 생성은 리소스들의 그 특정 세트를 액세스할 수 있는 개인들의 수를 최소화할 때 유용하다.
상술한 바와 같이, 보안 경계들을 가로질러 프린서펄을 이동하는 것은 또한 종종 유익하거나 편리하다. 예를 들어, 이것은, 특정 사용자 어카운트와 연계된 한 개인 사용자가 한 개 구획 (division)에서 다른 구획으로 이동하면서 기업 내에 위치를 변경할 때 종종 바람직하다. 각 구획이 그자체의 오써러티와 연계되면, 전임된 (transferred) 피고용인은 한 개 오써러티에서 다른 오써러티로 그들의 어카운트를 전이할 필요가 있을 것이다. 종래 기술들에서, 이것은 어카운트 ID의 변경 및 서비스 또는 액세스의 수반되는 인터럽션 (interruption)을 요구한다. 사용자 어카운트를 이동하는 것이 바람직할 수 있는 또 다른 상황의 예는, 병합 (merger) 또는 획득 (acquisition) 이후 그 트랜잭션 (transaction)의 한 쪽이 그자신의 프린서펄들을 트랜잭션의 다른 쪽과 연계된 기존 오써러티로 옮기기를 원할 때 발생한다.
본 명세서에서 기재된 실시예의 시스템은 서비스 인터럽션 없이 프린서펄들의 이동 및 오써러티 병합들을 할 수 있게 하면서 관리적 격리 및 데이타 분리를 관리한다. 일반적으로, 이 수준의 성능은 신원 카탈로그와 함께 슈퍼 오써러티를 사용해서 성취된다. 본 명세서에서 더 상세히 기재되는 것처럼, 슈퍼 오써러티는 인증 오써러티가 아니고, 대신 액세스 시도를 인증을 위한 적합한 보통 오써러티로 보낸다. 슈퍼 오써러티는 상기 작업을 용이하게 하기 위해 신원 카탈로그를 채택한다. 신원 카탈로그는 어카운트 ID들을 인증 오써러티들에 효과적으로 맵핑하고 , 각 어카운트 ID는 한 개 인증 오써러티와 연계된다.
도 3a의 스키마도는 본 발명의 한 실시예에 대응하는 슈퍼 오써러티가 구현되는 통신망 아키텍춰(300)를 도시한다. 슈퍼 오써러티는 프린서펄들의 인증을 제어하지만 실제로 상기 프린서펄들에 대해 그런 인증을 수행하지 않으므로 제어 오써러티로서 또한 언급될 수 있다. 도 2a에 도시된 것들과 유사한 프린서펄들 및 인증 오써러티들에 추가해서, 아키텍춰(300)는 슈퍼 오써러티 I(321)의 예 및 슈퍼 오써러티 II(323)의 예를 통해 도시된 한 개 이상의 슈퍼 오써러티들을 더 포함한다. 각 슈퍼 오써러티(321, 323)는 통신망(들)(319)을 통해 상기 도면에서 도시된 기타 통신망 개체들 중의 일부 또는 전체에 연결될 수 있다. 그러나, 각 슈퍼 오써러티(321, 323), 및 상기 슈퍼 오써러티와 연계된 임의의 인증 오써러티 또는 오써러티들 간의 연결만이 오직 요구된다. 인증 오써러티들과 슈퍼 오써러티 간의 상호관계는 아래 더 상세히 설명된다.
도 3b를 참조하면, 인증 오써러티들 및 슈퍼 오써러티 간의 논리 관계의 예가 논리 구조(302)를 통해 스키마적으로 도시된다. 도시된 바와 같이, 각 슈퍼 오써러티 (321, 323)는 한 개 이상의 인증 오써러티들과 연계되고, 각 인증 오써러티는 많아야 한 개의 슈퍼 오써러티와 연계된다. 한 개의 오써러티가 한 개의 프린서펄과 연계되고, 그리고/또는 슈퍼 오써러티는 한 개 오써러티와 연계될 수 있지 만, 그런 상황들은, 항상 그런 것은 아니지만, 전형적으로 일시적이다.
본 발명은, 각 인증 오써러티가 단지 한 개의 슈퍼 오써러티와 연계되도록 요구하지는 않지만, 그것이 관리 및 인증 작업들을 단순화하는 경향이 있는 면에서 선호된다. 도시된 예에서, 슈퍼 오써러티I(321)는 오써러티 X(313) 및 오써러티 Y(315)와 연계되고, 슈퍼 오써러티II(323)는 오써러티 Z(317)와 연계된다.
반면, 오써러티 X(313), 오써러티 Y(315), 오써러티 Z(317)는 특정 사용자들 또는 프린서펄들, 예를 들어, 특정 어카운트들, 과 연계된다. 그러나, 기타 인증 기술들과는 달리, 인증 오써러티들과 프린서펄들 간의 연계는 겹치지 않는 네임스페이스들에 기초하는 것이 아니라, 관련 슈퍼 오써러티에 의해 관리되는 신원 카탈로그에 구현된 팔러시 (policy) 선택들에 대신 기초한다. 본 명세서에서 더 상세히 논의될 신원 카탈로그는, 기본적으로 각 프린서펄의 어카운트 식별자를 인증 오써러티에 맵핑하고, 상기 카탈로그의 맵핑은 어카운트 식별자들을 변경함이 없이 변경될 수 있다.
상기 맵핑이 네임스페이스 경계들에 제한되는 대신에 팔러시 또는 기타에 의해 고정되므로, 두 개의 구별되는 인증 오써러티들은 동일 네임스페이스에 인증할 수 있고, 임의의 인증 오써러티는 복수의 네임스페이스들에 인증할 수 있다. 상기 맵핑은 기업 내의 프린서펄들의 조직 가입, 프린서펄들의 지리적 위치, 서열 (seniority), 포지션 (posityion), 기타에 기초될 수 있다.
도 4a는 슈퍼 오써러티I(321) 및 슈퍼 오써러티II(323)과 같은 슈퍼 오써러티의 스키마적 표현을 도시한다. 도 4a의 다이어그램은 설명 및 단순화의 목적들 로 제공되고, 슈퍼 오써러티(401)의 한 가지 가능한 구현을 나타낸다. 본 발명은 본 명세서의 주어진 설명에서 그 기술에 숙련자들이라면 이해할 수 있는 기타 실시예들도 포함한다. 슈퍼 오써러티(401)의 예는 통신망 인터페이스(403), 오써러티 레졸루션 로직 (authority resolution logic)(405), 및 신원 카탈로그(407)로 구성된다. 구성요소들은 통신망 인터페이스(403) 및 신원 카탈로그(407)가 오써러티 레졸루션 로직(405)에게 이용가능하도록 통신적으로 서로 연관된다.
슈퍼 오써러티(401)는 다수의 타입들의 컴퓨터 디바이스들 중의 임의의 것에 구현될 수 있다. 본 발명의 한 실시예에서, 슈퍼 오써러티(401)는 서버에 구현되고, 슈퍼 오써러티(401)의 구성요소들은 도 1에 대해 일반적으로 상술된 대로 소프트웨어 모듈들 및 소자들이다. 본 발명의 한 실시예에서, 구성요소들 간의 통신 경로들은 서버 컴퓨터의 버스 또는 내부 통신 경로들을 포함한다.
본 발명의 한 실시예에 대응하는 신원 카탈로그(407)는 도 4b에 스키마적 상세히 도시된다. 특히, 신원 카탈로그(407)는 프린서펄 어카운트 ID들 (예를 들어, bobsmith@msn.com)에서 인증 오써러티들로의 맵핑을 제공한다. 맵핑은 도 4b에서 표 형식으로 일대일 맵핑으로서 도시되고, 신원 열(455)의 각 엔트리(453)는 표를 통해 인증 오써러티 열(459)의 대응하는 엔트리(457)에 맵핑된다.
도시된 예에서 설명된 바와 같이, 프린서펄 어카운트 ID들을 인증 오써러티들에 맵핑하는 것은 네임스페이스 경계들을 준수할 필요는 없다. 예를 들어, msn.com의 도메인의 클라이언트들은 인증 오써러티A 및 인증 오써러티B 모두에 의해 인증된다. microsoft.com 도메인의 클라이언트들에게도 마찬가지이다. 신원 카탈로그의 맵핑을 단순히 변경하는 것은 관련 프린서펄을 동일 슈퍼 오써러티 하에 다른 인증 오써러티에 재맵핑하는 결과를 만든다. 상술한 바와 같이, 이것은, 인증 오써러티가 어카운트 ID 그자체의 변경을 요구하지 않고 변경될 수 있는 잇점이 있다.
개관하면, 슈퍼 오써러티(401)의 동작은 본 발명의 한 실시예에 대응해서 다음과 같다. 프린서펄 A(413)라고 라벨화된 머신과 같이 사용자 또는 프린서펄에 속한 머신은 리소스들로의 액세스를 요구하는 오써러티(411)라고 라벨화된 머신에 상주하는 것과 같은 오써러티와 연락을 취한다. 상기 요구는 로그인 요구 또는 시도의 형태일 것이다. 그 다음, 연락된 오써러티(411)는, 신원 카탈로그를 사용해서 적합한 오써러티의 오써러티 레졸루션 로직(405)에 의해 신원확인을 위해 통신망(409) 및 통신망 인터페이스(403)를 통해 슈퍼 오써러티(401)에 요구를 전송해서, 상기 요구에서 식별된 프린서펄을 인증한다. 그 다음, 슈퍼 오써러티(401)는 인증 요구를 선택된 인증 오써러티에게 직접 전송하거나, 초기의 수신 오써러티에 의해서와 같이, 그런 요구가 전송되게 한다. 선택된 인증 오써러티는 처음에 프린서펄로부터 로그인 시도를 수신한 인증 오써러티일 수 있지만 꼭 그럴 필요는 없다.
예를 들어, 주어진 어카운트 ID를 다른 인증 오써러티에 재맵핑 (remapping)하기 위해서와 같이, 신원 카탈로그(407)의 내용들을 변경하는 프로세스는 본 발명의 한 실시예에 대응해서 오서러티 레졸루션 로직(405)에 의해 필요할 때 수행되는 것이 또한 선호된다. 전형적으로 관리자 (administrator)는 오써러티 레졸루션 로 직(405)이 신원 카탈로그(407)에 적절한 변경들을 하도록하는 명령들을 이슈 (issue)한다. 상기 명령들은 슈퍼 오써러티(401)를 호스트 (host)하는 컴퓨터의 사용자 인터페이스를 통해 수신되거나, 원격으로, 통신망 인터페이스 (403) 또는 기타 통신망 연결을 통해 도착할 수 있다.
도 5의 흐름도(500)는, 통신망 리소스들로의 액세스를 위한 요구를 프로세싱하면서, 본 명세서에 기재된 새로운 아키텍춰의 동작을 더 상세히 전달한다. 상기 요구는, 도 4b에 도시된 바와 같이, 개인 식별자 및 도메인 식별자로 전형적으로 구성되는 프린서펄 어카운트 ID를 포함한다. 스텝(503)에서, 상기 요구를 수신하는 오써러티는 요구하는 프린서펄을 인증할지 여부를 즉시 결정하지 않고, 그 대신 상기 특정 수신 오써러티에 대한 책임이 있는 슈퍼 오써러티로 요구를 전달한다.
순차적으로 스텝(505)에서, 슈퍼 오써러티는 전송으로부터 어카운트 ID 정보를 추출하고, 특정프린서펄과 연계된 인증 오써러티를 식별하는 신원 표 (identity table)의 키 (key)로서, 스텝(507)에서, 어카운트 ID 정보를 사용한다. 슈퍼 오써러티는 특정 전송 오써러티가 상기 슈퍼 오써러티가 책임이 있는 오써러티인지의 여부를 결정하기 위해 먼저 검사할 것임을 주목한다. 오써러티 식별자 (authority identifier)는 상기 목적으로 사용될 수 있다. 특정 프린서펄 신원과 연계된 인증 오써러티는 신원 카탈로그의 내용들에 기반해서 로그인 요구를 수신하고 전달하는 오써러티와 동일할 수도 동일하지 않을 수도 있음을 또한 주목한다. 스텝(509)에서, 슈퍼 오서러티는 신원 카탈로그를 통해 로그인 요구를 식별된 적합한 오써러티에 전송되도록 한다.
상기 스텝에서, 슈퍼 오써러티는 요구를 직접 전송하거나 또는 제3 자가 상기 요구를 전송하도록 한다. 상기 요구를 직접 전달하는 프로세스는 체이닝 (chaining)이라고 일컬어질 수 있다. 그러나, 체이닝은 요구사항이 아니고, 상기 요구는 다수의 기타 메카니즘들 중의 임의의 것을 통해서도 수행될 수 있다. 예를 들어, 스텝(507) 에서 적합한 인증 오써러티를 결정한 슈퍼 오써러티는 요구를 체이닝하는 대신 그것을 리퍼 (refer)할 수 있다. 리퍼럴 (referral)은 슈퍼 오써러티가 상기 요구를 전달한 상기 오써러티에게 응답하고, 적합한 인증 오써러티의 신원을 상기 오써러티에게 전달하는 결과를 수반한다. 그 다음, 상기 요구는 요구를 처음에 상기 슈퍼 오써러티에 전달한 상기 오써러티로부터 적합한 인증 오써러티로 전달된다. 체이닝 또는 리퍼럴, 또는 실제로 기타 방법들이 사용될 수 있는 가운데, 리퍼럴의 사용은 관련 오써러티들이 통신적으로 링크되어 있으면 선호된다. 이것은, 한 개의 슈퍼 오써러티는 특정 시간 동안 다수의 인증 요구들을 해결해야 할 수 있으므로 , 리퍼럴이 더 큰 시스템으로 스케일링 (scaling)을 일반적으로 허용한다는 사실 때문이다.
최종적으로, 스텝(511)에서, 선택된 오써러티는 상기 요구를 적절한 것으로 인증한다. 인증의 결과로, 성공하면, 인증 오써러티는 승인 통보를 상기 프린서펄로 전송할 수 있다.
본 명세서에서 기재된 실시예의 새로운 아키텍춰 및 시스템은 마스쿼래이딩 (masquerading) 및 기타 불법 행위에 대한 시스템의 취약성을 수반해서 증가시키지 않고 인증의 유연성이 증가하도록 한다. 예를 들어, 두 개의 구별되는 오써러티들 A 와 B가 프린서펄들, "@msn.com"와 "@microsoft.com", 을 인증하기 위해 위임되는 관용의 시스템에서, 오써러티A를 위한 관리자가 오써러티 B에 의해서만 인증되어야 하는 프린서펄을 인증하는 것이 가능하고, 그 반대도 성립하므로, 오써러티들 A와 B는 서로간에 높은 관리적 신뢰성을 가져야만 한다. 부언해서, 오써러티A는 그자신의 관리자들을 신뢰하는 정도로 오써러티B의 관리자들을 신뢰할 필요가 있을 것이고, 일부 경우들에서 이것은 단순히 불가능하다. 그러나, 본 명세서에 기재된 한 실시예는 오써러티들이 서로의 관리적 신뢰성을 가질 필요 없이 네임스페이스들을 공유하도록 한다. 각 오써러티는 단지 슈퍼 오써러티 관리자에 관리적 신뢰성을 가질 필요가 있고, 이것은 슈퍼 오써러티 관리자들의 수, 위치, 및 가입상태가 전형적으로 표준 오써러티들의 것들 보다 더 제한되어 있을 것이다. 본 발명의 다수의 실시예들에서 성취될 수 있는 더 유익한 결과는 프린서펄들이 그들의 신원을 변경하지 않고 네임스페이스 경계들을 가로질러 이동될 수 있다는 것이다; 슈퍼 오써러티 신원 카탈로그의 단순한 변경만이 프린서펄 신원을 인증 오써러티에 새롭게 맵핑하는 것을 기록하기 위해 요구된다.
프린서펄 어카운트 인증을 위한 진보된 시스템 및 방법이 기재됨이 이해될 것이다. 본 발명의 프린서펄들이 적용될 수 있는 다수의 가능한 실시예들의 관점에서, 본 명세서에서 도면들에 대해 기재된 실시예들은 설명 목적만을 위한 것들이고, 본 발명의 범위를 제한하는 것으로 받아들여져서는 안 된다. 예를 들어, 그 기술의 숙련자들이라면, 소프트웨어에서 설명된 실시예들의 일부 소자들은 하드웨어에서 구현될 수 있고, 그 반대도 성립하고, 또는 설명된 실시예들은 본 발명의 취지를 벗어나지 않고 배치 및 상세성에서 수정가능함을 인식할 것이다. 게다가, 본 발명은 임의의 크기 및 타입의 적절한 통신망 환경에서 구현될 수 있음이 이해될 것이다. 또한, 본 명세서의 설명들은 소수의 프린서펄들, 오써러티들, 및 슈퍼 오써러티들을 나타내지만, 본 발명은 더 이상 또는 더 이하의 수의 임의의 상기 개체들을 갖는 시스템들을 포함한다. 그러므로, 본 명세서에 기재된 바와 같이 본 발명은 다음의 청구항들 및 그것들의 동격들의 범위 내에 올 수 있는 모든 그런 실시예들을 고려한다.
신원 카탈로그를 갖는 슈퍼 오써러티를 채택해서, 프린서펄들이 어카운트 ID를 변경하지 않고 보안 경계들을 가로질러 이동할 수 있는 새로운 통신망 아키텍춰를 개시한다.

Claims (25)

  1. 통신망 환경에 슈퍼 오써러티(super authority)가 접속되고, 할당된(assigned) 인증 오써러티 및 하나 이상의 다른 인증 오써리티들이 또한 상기 통신망 환경에 접속되는 구성에서 - 각각의 인증 오써러티는 상이한 도메인들을 통해 상기 통신망 환경에 액세스하는 프린서펄(principal)들의 서브세트를 인증하도록 구성됨 - , 상기 통신망 환경 내의 네트워크 리소스들에 액세스하기 위한 프린서펄의 인증을 제어하는 방법으로서,
    상기 프린서펄의 어카운트 식별자(account identifier)는 상기 할당된 인증 오써러티 및 상기 하나 이상의 다른 인증 오써러티들으로부터의 인증 오써러티에서의 인증을 위해 구성되고,
    상기 방법은,
    상기 프린서펄을 인증하도록 위임되지 않은 인증 오써러티로부터의 인증 오써러티 레졸루션(authenticating authority resolution)에 대한 요구를 상기 슈퍼 오써러티에서 수신하는 단계 - 상기 요구는 인증될 상기 프린서펄의 어카운트 ID를 포함하고, 상기 어카운트 ID는 개별 식별자 및 도메인 식별자를 포함함 - ;
    복수의 어카운트 ID 내의 각각의 어카운트 ID를, 상기 어카운트 ID를 인증하도록 위임된 대응하는 복수의 인증 오써러티로 맵핑하는 할당 맵핑(assignment mapping)에 액세스하는 단계 - 상기 어카운트 ID는 개별 식별자 및 도메인 식별자를 포함하고, 상기 어카운트 ID는 상기 프린서펄의 신원(identity)을 포함하는지를 식별하는데 사용됨 - ;
    인증될 상기 프린서펄의 상기 어카운트 ID 내의 상기 개별 식별자 및 도메인 식별자에 대응하는 할당된 인증 오써러티의 신원을 상기 맵핑 내에서 상기 하나 이상의 인증 오써러티들로부터 찾아내는(locate) 단계;
    상기 하나 이상의 다른 인증 오써러티들로부터 찾아낸 상기 할당된 인증 오써러티로 인증 요구가 전송되게 하는 단계 - 상기 할당된 인증 오써러티는 상기 프린서펄의 어카운트 ID 내의 상기 프린서펄의 개별 식별자 및 도메인 식별자들을 이용하여 찾게 되며, 상기 요구는 상기 할당된 인증 오써러티에 상기 프린서펄을 인증하도록 요청함 - ; 및
    상기 할당 맵핑을 변경함으로써, 제1 인증 오써러티로 이전에 맵핑된 어카운트 ID가 제2 인증 오써러티로 재맵핑되는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    각각의 어카운트 ID는 네임스페이스(namespace) 식별자를 포함하고, 상기 복수의 어카운트 ID는 공통 네임스페이스 식별자를 갖는 적어도 2개의 어카운트 ID를 포함하고, 상기 적어도 2개의 어카운트 ID는 상기 할당 맵핑을 통해 상기 복수의 인증 오써러티 중 적어도 2개의 상이한 인증 오써러티 각각으로 맵핑되는 방법.
  3. 제1항에 있어서,
    각각의 어카운트 ID는 네임스페이스 식별자를 포함하고, 상기 복수의 어카운트 ID는 상이한 네임스페이스 식별자들을 갖는 적어도 2개의 어카운트 ID를 포함하고, 상기 적어도 2개의 어카운트 ID는 상기 할당 맵핑을 통해 상기 복수의 인증 오써러티 중 동일한 인증 오써러티로 맵핑되는 방법.
  4. 제1항에 있어서,
    상기 할당 맵핑은 개체(entity) 내의 프린서펄들의 조직 가입 (organizational affiliation)에 적어도 부분적으로 기초하는 방법.
  5. 제1항에 있어서,
    상기 할당 맵핑은 프린서펄들의 지리적 위치에 적어도 부분적으로 기초하는 방법.
  6. 통신망 환경에 슈퍼 오써러티가 접속되고, 할당된 인증 오써러티 및 하나 이상의 다른 인증 오써리티들이 또한 상기 통신망 환경에 접속되는 구성에서 - 각각의 인증 오써러티는 상이한 도메인들을 통해 상기 통신망 환경에 액세스하는 프린서펄들의 서브세트를 인증하도록 구성됨 - , 상기 통신망 환경 내의 네트워크 리소스들에 액세스하기 위한 프린서펄의 인증을 제어하는 장치로서,
    상기 프린서펄의 어카운트 식별자는 상기 할당된 인증 오써러티 및 상기 하나 이상의 다른 인증 오써러티들으로부터의 인증 오써러티에서의 인증을 위해 구성되고,
    상기 장치는,
    상기 프린서펄을 인증하도록 위임되지 않은 인증 오써러티로부터의 인증 오써러티 레졸루션에 대한 요구를 상기 슈퍼 오써러티에서 수신하는 수단 - 상기 요구는 인증될 상기 프린서펄의 어카운트 ID를 포함하고, 상기 어카운트 ID는 개별 식별자 및 도메인 식별자를 포함함 - ;
    복수의 어카운트 ID 내의 각각의 어카운트 ID를, 상기 어카운트 ID를 인증하도록 위임된 대응하는 복수의 인증 오써러티로 맵핑하는 할당 맵핑에 액세스하는 수단 - 상기 어카운트 ID는 개별 식별자 및 도메인 식별자를 포함하고, 상기 어카운트 ID는 상기 프린서펄의 신원을 포함하는지를 식별하는데 사용됨 - ;
    인증될 상기 프린서펄의 상기 어카운트 ID 내의 상기 개별 식별자 및 도메인 식별자에 대응하는 할당된 인증 오써러티의 신원을 상기 맵핑 내에서 상기 하나 이상의 인증 오써러티들로부터 찾아내는 수단;
    상기 하나 이상의 다른 인증 오써러티들로부터 찾아낸 상기 할당된 인증 오써러티로 인증 요구가 전송되게 하는 수단 - 상기 할당된 인증 오써러티는 상기 프린서펄의 어카운트 ID 내의 상기 프린서펄의 개별 식별자 및 도메인 식별자들을 이용하여 찾게 되며, 상기 요구는 상기 할당된 인증 오써러티에 상기 프린서펄을 인증하도록 요청함 - ; 및
    상기 할당 맵핑을 변경함으로써, 제1 인증 오써러티로 이전에 맵핑된 어카운트 ID가 제2 인증 오써러티로 재맵핑되는 수단
    를 포함하는 장치.
  7. 제6항에 있어서,
    각각의 어카운트 ID는 네임스페이스 식별자를 포함하고, 상기 복수의 어카운트 ID는 공통 네임스페이스 식별자를 갖는 적어도 2개의 어카운트 ID를 포함하고, 상기 적어도 2개의 어카운트 ID는 상기 할당 맵핑을 통해 상기 복수의 인증 오써러티 중 적어도 2개의 상이한 인증 오써러티 각각으로 맵핑되는 장치.
  8. 제6항에 있어서,
    각각의 어카운트 ID는 네임스페이스 식별자를 포함하고, 상기 복수의 어카운트 ID는 상이한 네임스페이스 식별자들을 갖는 적어도 2개의 어카운트 ID를 포함하고, 상기 적어도 2개의 어카운트 ID는 상기 할당 맵핑을 통해 상기 복수의 인증 오써러티 중 동일한 인증 오써러티로 맵핑되는 장치.
  9. 통신망 환경에 슈퍼 오써러티가 접속되고, 할당된 인증 오써러티 및 하나 이상의 다른 인증 오써리티들이 또한 상기 통신망 환경에 접속되는 구성에서 - 각각의 인증 오써러티는 상이한 도메인들을 통해 상기 통신망 환경에 액세스하는 프린서펄들의 서브세트를 인증하도록 구성됨 - , 상기 통신망 환경 내의 네트워크 리소스들에 액세스하기 위한 프린서펄의 인증을 제어하는 방법을 실행하는 컴퓨터 실행가능한 명령어들이 저장된 휘발성 또는 불휘발성 컴퓨터 판독가능한 기록 매체로서,
    상기 프린서펄의 어카운트 식별자는 상기 할당된 인증 오써러티 및 상기 하나 이상의 다른 인증 오써러티들으로부터의 인증 오써러티에서의 인증을 위해 구성되고,
    상기 방법은,
    상기 프린서펄을 인증하도록 위임되지 않은 인증 오써러티로부터의 인증 오써러티 레졸루션에 대한 요구를 상기 슈퍼 오써러티에서 수신하는 단계 - 상기 요구는 인증될 상기 프린서펄의 어카운트 ID를 포함하고, 상기 어카운트 ID는 개별 식별자 및 도메인 식별자를 포함함 - ;
    복수의 어카운트 ID 내의 각각의 어카운트 ID를, 상기 어카운트 ID를 인증하도록 위임된 대응하는 복수의 인증 오써러티로 맵핑하는 할당 맵핑에 액세스하는 단계 - 상기 어카운트 ID는 개별 식별자 및 도메인 식별자를 포함하고, 상기 어카운트 ID는 상기 프린서펄의 신원을 포함하는지를 식별하는데 사용됨 - ;
    인증될 상기 프린서펄의 상기 어카운트 ID 내의 상기 개별 식별자 및 도메인 식별자에 대응하는 할당된 인증 오써러티의 신원을 상기 맵핑 내에서 상기 하나 이상의 인증 오써러티들로부터 찾아내는 단계;
    상기 하나 이상의 다른 인증 오써러티들로부터 찾아낸 상기 할당된 인증 오써러티로 인증 요구가 전송되게 하는 단계 - 상기 할당된 인증 오써러티는 상기 프린서펄의 어카운트 ID 내의 상기 프린서펄의 개별 식별자 및 도메인 식별자들을 이용하여 찾게 되며, 상기 요구는 상기 할당된 인증 오써러티에 상기 프린서펄을 인증하도록 요청함 - ; 및
    상기 할당 맵핑을 변경함으로써, 제1 인증 오써러티로 이전에 맵핑된 어카운트 ID가 제2 인증 오써러티로 재맵핑되는 단계
    를 포함하는 휘발성 또는 불휘발성 컴퓨터 판독가능한 기록 매체.
  10. 제9항에 있어서,
    각각의 어카운트 ID는 네임스페이스 식별자를 포함하고, 상기 복수의 어카운트 ID는 공통 네임스페이스 식별자를 갖는 적어도 2개의 어카운트 ID를 포함하고, 상기 적어도 2개의 어카운트 ID는 상기 할당 맵핑을 통해 상기 복수의 인증 오써러티 중 적어도 2개의 상이한 인증 오써러티 각각으로 맵핑되는 휘발성 또는 불휘발성 컴퓨터 판독가능한 기록 매체.
  11. 제9항에 있어서,
    각각의 어카운트 ID는 네임스페이스 식별자를 포함하고, 상기 복수의 어카운트 ID는 상이한 네임스페이스 식별자들을 갖는 적어도 2개의 어카운트 ID를 포함하고, 상기 적어도 2개의 어카운트 ID는 상기 할당 맵핑을 통해 상기 복수의 인증 오써러티 중 동일한 인증 오써러티로 맵핑되는 휘발성 또는 불휘발성 컴퓨터 판독가능한 기록 매체.
  12. 제9항에 있어서,
    상기 할당 맵핑은 개체 내의 프린서펄들의 조직 가입에 적어도 부분적으로 기초하는 휘발성 또는 불휘발성 컴퓨터 판독가능한 기록 매체.
  13. 제9항에 있어서,
    상기 할당 맵핑은 프린서펄들의 지리적 위치에 적어도 부분적으로 기초하는 휘발성 또는 불휘발성 컴퓨터 판독가능한 기록 매체.
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
  21. 삭제
  22. 삭제
  23. 삭제
  24. 삭제
  25. 삭제
KR1020040060135A 2003-09-22 2004-07-30 서비스 인터럽션 없이 보안 경계를 가로지르는프린서펄들의 이동 KR101015354B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/667,582 US7370195B2 (en) 2003-09-22 2003-09-22 Moving principals across security boundaries without service interruption
US10/667,582 2003-09-22

Publications (2)

Publication Number Publication Date
KR20050029677A KR20050029677A (ko) 2005-03-28
KR101015354B1 true KR101015354B1 (ko) 2011-02-16

Family

ID=34194794

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040060135A KR101015354B1 (ko) 2003-09-22 2004-07-30 서비스 인터럽션 없이 보안 경계를 가로지르는프린서펄들의 이동

Country Status (10)

Country Link
US (3) US7370195B2 (ko)
EP (1) EP1517510B1 (ko)
JP (1) JP4558402B2 (ko)
KR (1) KR101015354B1 (ko)
CN (1) CN1601954B (ko)
AU (1) AU2004203412B2 (ko)
BR (1) BRPI0402910B1 (ko)
CA (1) CA2476340C (ko)
MX (1) MXPA04007410A (ko)
RU (2) RU2348075C2 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040236653A1 (en) * 2002-01-03 2004-11-25 Sokolic Jeremy N. System and method for associating identifiers with data
US7469417B2 (en) * 2003-06-17 2008-12-23 Electronic Data Systems Corporation Infrastructure method and system for authenticated dynamic security domain boundary extension
AU2006244447B2 (en) * 2005-05-06 2011-08-18 Symantec Corporation Token sharing system and method
US8155275B1 (en) 2006-04-03 2012-04-10 Verint Americas, Inc. Systems and methods for managing alarms from recorders
US8307404B2 (en) * 2007-04-16 2012-11-06 Microsoft Corporation Policy-management infrastructure
US7587718B1 (en) * 2008-10-31 2009-09-08 Synopsys, Inc. Method and apparatus for enforcing a resource-usage policy in a compute farm
US8561157B2 (en) 2011-09-23 2013-10-15 Canon U.S.A., Inc. Method, system, and computer-readable storage medium for establishing a login session
US9276932B2 (en) * 2013-11-07 2016-03-01 International Business Machines Corporation Federated identity mapping using delegated authorization
US10067949B1 (en) * 2013-12-23 2018-09-04 EMC IP Holding Company LLC Acquired namespace metadata service for controlling access to distributed file system
CA2895366C (en) 2014-06-23 2021-11-16 The Toronto-Dominion Bank Systems and methods for authenticating user identities in networked computer systems
CN106921555B (zh) * 2015-12-24 2020-04-07 北京北信源软件股份有限公司 一种用于跨网络即时通信的用户账号定义方法
CN107797721B (zh) * 2016-09-07 2020-10-09 腾讯科技(深圳)有限公司 一种界面信息显示方法及其装置
CN106407842B (zh) * 2016-09-29 2019-06-14 恒大智慧科技有限公司 一种签核发起用户管理方法和设备
US11941458B2 (en) * 2020-03-10 2024-03-26 Sk Hynix Nand Product Solutions Corp. Maintaining storage namespace identifiers for live virtualized execution environment migration
WO2023276826A1 (ja) * 2021-07-02 2023-01-05 株式会社デンソー ルーティング装置、管理センター装置、ユーザ認証方法、及びユーザ認証プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5875296A (en) 1997-01-28 1999-02-23 International Business Machines Corporation Distributed file system web server user authentication with cookies
WO2001011451A1 (en) * 1999-08-05 2001-02-15 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US20030163733A1 (en) 2002-02-28 2003-08-28 Ericsson Telefon Ab L M System, method and apparatus for federated single sign-on services

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5646534A (en) * 1995-01-06 1997-07-08 Chrysler Corporation Battery monitor for electric vehicles
US5908469A (en) 1997-02-14 1999-06-01 International Business Machines Corporation Generic user authentication for network computers
US6446206B1 (en) 1998-04-01 2002-09-03 Microsoft Corporation Method and system for access control of a message queue
US6324571B1 (en) * 1998-09-21 2001-11-27 Microsoft Corporation Floating single master operation
US6510236B1 (en) * 1998-12-11 2003-01-21 International Business Machines Corporation Authentication framework for managing authentication requests from multiple authentication devices
US6367009B1 (en) 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
TR200200463T2 (tr) 1999-08-25 2003-02-21 E.I. Du Pont De Nemours And Company Düşük seviyeli di(1,3-propilen glikol) ile poli(trimetilen tereftalat) hazırlanması.
US6693876B1 (en) * 1999-08-31 2004-02-17 Worldcom, Inc. Selecting IPX/IGX nodes in a multi-domain environment
US7194764B2 (en) * 2000-07-10 2007-03-20 Oracle International Corporation User authentication
RU2183348C2 (ru) * 2000-07-19 2002-06-10 Военный университет связи Способ аутентификации объектов
US6912582B2 (en) * 2001-03-30 2005-06-28 Microsoft Corporation Service routing and web integration in a distributed multi-site user authentication system
US7185359B2 (en) * 2001-12-21 2007-02-27 Microsoft Corporation Authentication and authorization across autonomous network systems
WO2003088571A1 (en) * 2002-04-12 2003-10-23 Karbon Systems, Llc System and method for secure wireless communications using pki
WO2003092217A1 (en) * 2002-04-23 2003-11-06 Patentek, Inc. Method and system for securely communicating data in a communications network
US20060005237A1 (en) * 2003-01-30 2006-01-05 Hiroshi Kobata Securing computer network communication using a proxy server
US20040177247A1 (en) * 2003-03-05 2004-09-09 Amir Peles Policy enforcement in dynamic networks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5875296A (en) 1997-01-28 1999-02-23 International Business Machines Corporation Distributed file system web server user authentication with cookies
WO2001011451A1 (en) * 1999-08-05 2001-02-15 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US20030163733A1 (en) 2002-02-28 2003-08-28 Ericsson Telefon Ab L M System, method and apparatus for federated single sign-on services

Also Published As

Publication number Publication date
US7370195B2 (en) 2008-05-06
JP4558402B2 (ja) 2010-10-06
EP1517510A2 (en) 2005-03-23
US20080184343A1 (en) 2008-07-31
US20080163348A1 (en) 2008-07-03
BRPI0402910A (pt) 2005-05-24
JP2005100358A (ja) 2005-04-14
RU2475837C2 (ru) 2013-02-20
RU2348075C2 (ru) 2009-02-27
BRPI0402910B1 (pt) 2018-05-29
EP1517510A3 (en) 2008-01-16
KR20050029677A (ko) 2005-03-28
CA2476340C (en) 2014-02-11
CN1601954B (zh) 2011-08-03
EP1517510B1 (en) 2014-06-25
US20050066160A1 (en) 2005-03-24
RU2008140652A (ru) 2010-04-20
RU2004123581A (ru) 2006-01-27
US7779248B2 (en) 2010-08-17
US7814312B2 (en) 2010-10-12
CA2476340A1 (en) 2005-03-22
MXPA04007410A (es) 2005-04-19
CN1601954A (zh) 2005-03-30
AU2004203412B2 (en) 2010-05-20
AU2004203412A1 (en) 2005-04-21

Similar Documents

Publication Publication Date Title
US7779248B2 (en) Moving principals across security boundaries without service interruption
US7496952B2 (en) Methods for authenticating a user&#39;s credentials against multiple sets of credentials
US7434048B1 (en) Controlling access to electronic documents
US7827598B2 (en) Grouped access control list actions
US5276901A (en) System for controlling group access to objects using group access control folder and group identification as individual user
US20070011749A1 (en) Secure clipboard function
US11580239B2 (en) Controlling access to cloud resources in data using cloud-enabled data tagging and a dynamic access control policy engine
US20110161370A1 (en) Apparatus, program, and method for file management
US20080271117A1 (en) Cascading Authentication System
CN110138785A (zh) 一种文档访问权限的处理方法、装置、介质和电子设备
US11799870B2 (en) System and method for the management of multi-domain access credentials of a user able to access a plurality of domains
US8219807B1 (en) Fine grained access control for linux services
US8271785B1 (en) Synthesized root privileges
Simpson et al. Assured identity for enterprise level security
JP4342242B2 (ja) セキュアファイル共有方法および装置
KR102157743B1 (ko) Sso 인증을 사용하는 시스템에서 사용자의 리소스 접근을 제어하는 방법
Marillonnet et al. An Efficient User‐Centric Consent Management Design for Multiservices Platforms
Huawei Technologies Co., Ltd. Database Security Fundamentals

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140123

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150121

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee