KR101634021B1 - 자동화된 패스워드 관리 - Google Patents
자동화된 패스워드 관리 Download PDFInfo
- Publication number
- KR101634021B1 KR101634021B1 KR1020147008289A KR20147008289A KR101634021B1 KR 101634021 B1 KR101634021 B1 KR 101634021B1 KR 1020147008289 A KR1020147008289 A KR 1020147008289A KR 20147008289 A KR20147008289 A KR 20147008289A KR 101634021 B1 KR101634021 B1 KR 101634021B1
- Authority
- KR
- South Korea
- Prior art keywords
- password
- systems
- credentials
- remotely
- time period
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2137—Time limited access, e.g. to a computer or data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
실시예는 자동 정책 관리형 패스워드 관리 시스템을 포함한다. 일 실시예는 (적은 사용자 상호작용과 함께 내지 사용자 상호작용 없이) 설정된 날짜수마다 패스워드를 변경하는 것을 관리한다. 또한, 패스워드 변경들은 사용자가 패스워드를 본 이후부터 설정된 시간의 양 내에 행해질 수 있다. 또한, 실시예는 웹 서비스를 이용하기 위해 요구되는 "선행 작업" 없이 패스워드 관리 기록을 관리되는 머신 및/또는 데이터베이스 내로 삽입하기 위한 "삽입 기록" 방법을 포함하는 웹 서비스를 포함한다. 예를 들어, 웹 서비스를 통해 패스워드들을 배치하기 전에 데이터베이스 및/또는 관리되는 머신들 상에 기록이 생성될 필요는 없다. 웹 서비스는 다양한 머신들에 푸쉬될 수 있고, 웹 서비스가 시작할 때, 그것은 그 자신의 기록을 데이터베이스 또는 관리되는 클라이언트 내로 삽입할 수 있다. 이는 확장성을 허용한다. 그외의 실시예들이 본원에 설명된다.
Description
데이터센터 내에서 로컬 패스워드들은, 낮과 밤의 모든 시간에 다수의 단체가 액세스 가능할 필요가 있다. 그러한 패스워드 액세스는 전형적으로 수동 행위들(예를 들어, 손으로 쓴 패스워드들의 노트를 보유하는 것)에 의존한다. 수동 행위들을 개선하기 위해, 소프트웨어 구현된 솔루션들이 존재한다. 그러나, 소프트웨어 기반 기법들은 과도하게 "사용자 중심"이다. 예를 들어, 사용자는 머신(예를 들어, 서버 또는 클라이언트) 상에서 패스워드를 로컬하게 변경하고 이후 패스워드 관리 데이터베이스를 업데이트한다. 하지만, 이러한 사용자는 데이터베이스를 업데이트한 이후 새로운 패스워드의 지식을 유지한다. 사용자는 미래의 어느 단계에서 패스워드가 다시 변경될 때까지 그것을 계속하여 알고 있다. 한 명의 사용자에 의한 지식의 이러한 보유는 보안 이유들로 인해 이상적이지 않다.
패스워드 관리의 그외의 종래의 방법들은 다수의 머신 상에 단일 패스워스를 설정하는 것을 포함한다. 그러나, 동일한 패스워드가 다수의 머신 상에서 이용되기 때문에 하나의 시스템 상의 하나의 틈은 많은 그외의 시스템들 상의 틈들을 야기할 수 있다. 그외의 기법들 또한 문제가 있다. 예를 들어, "서버 중심" 기법들은 각 클라이언트에 대한 패스워드를 원격으로 변경하는 동안 클라이언트들의 리스트를 루프 스루(loop through)하기 위해 액티브 디렉터리 계정을 이용할 수 있다. 그러나, 그렇게 하는 것은 각 타깃 머신에 대한 높은 레벨의 특권들을 요구한다. 이는 또한 각 머신과의 매우 엄격한 통합을 요구하고, 따라서 많은 타깃 머신들이 포함되면 패스워드 관리 시스템의 대규모의 롤아웃(rollout)을 실행 불가능하게 만든다.
계속하여 그외의 방법들은 단순히 패스워드를 매일 변경한다. 그러나, 이것 또한 대량의 머신들에 대해 확장 가능(scalable)하지 않다. 예를 들어, 100대의 머신을 갖는 데이터센터는, 매일 시스템이 100대의 머신 각각에 대해 새로운 패스워드를 발행하고, 전환의 확인을 수신하는 등을 해야만 한다면 어려움을 가질 것이다. 또한, 그러한 시스템은, 시스템이 패스워드들을 변경하기 이전에 생성될 클라이언트에 대한 데이터베이스 기록을 요구할 수 있다. 이는 또한 패스워드 관리 서비스의 초기의 롤아웃을 복잡하게 함으로써 부족한 확장성을 야기한다.
본 발명의 실시예들의 특징들 및 이점들은 첨부된 특허청구범위, 하나 이상의 예시의 실시예의 이하의 상세한 설명, 및 대응하는 도면들로부터 명료해질 것이다.
도 1은 본 발명의 일 실시예의 클라이언트 아키텍처를 포함하는 도면.
도 2는 본 발명의 실시예의 개략적인 흐름도를 포함하는 도면.
도 3은 본 발명의 실시예의 개략적인 흐름도를 포함하는 도면.
도 1은 본 발명의 일 실시예의 클라이언트 아키텍처를 포함하는 도면.
도 2는 본 발명의 실시예의 개략적인 흐름도를 포함하는 도면.
도 3은 본 발명의 실시예의 개략적인 흐름도를 포함하는 도면.
이하의 설명에서, 다수의 특정 상세가 기재되지만 본 발명의 실시예들은 이러한 특정 상세 없이 실시될 수 있다. 공지된 회로들, 구조들 및 기법들은 본 발명의 이해를 모호하게 하지 않기 위해 상세히 도시되지 않았다. "실시예", "다양한 실시예들" 등은, 그렇게 설명된 실시예(들)가 특정 특징들, 구조들, 또는 특성들을 포함할 수 있지만, 모든 실시예가 반드시 특정 특징들, 구조들, 또는 특성들을 포함할 필요는 없다는 것을 나타낸다. 일부 실시예들은 그외의 실시예들에 대해 설명된 특징들 중 일부, 전부를 가질 수 있거나 또는 가지지 않을 수 있다. "제1", "제2", "제3" 등은 공통 객체를 설명하고, 지칭되고 있는 유사한 객체들의 상이한 사례들을 나타낸다. 그러한 형용사들은, 그렇게 설명된 객체들이, 시간적으로, 공간적으로, 순위대로, 또는 임의의 그외의 방식대로 중 하나인, 주어진 시퀀스대로 있어야 한다는 것을 의미하지 않는다. "연결된"은 엘리먼트들이 서로 직접 물리적 또는 전기적 접촉을 한다는 것을 나타낼 수 있고, "결합된"은 엘리먼트들이 서로 협동하거나 또는 상호작용하지만, 그것들이 직접 물리적 또는 전기적 접촉을 하거나 또는 하지 않을 수 있다는 것을 나타낼 수 있다. 또한, 유사하거나 또는 동일한 번호들이 상이한 도면들에서 동일하거나 또는 유사한 부분들을 지시하는 데 이용될 수 있지만, 그렇게 하는 것이, 유사하거나 또는 동일한 번호들을 포함하는 모든 도면들이 단일 또는 동일한 실시예를 구성한다는 것을 의미하지는 않는다.
실시예는 강건한 자동 정책 기반 패스워드 관리 시스템을 포함한다. 실시예들은, 오직 예를 들어, 이하의 특징들: 강력한 계정 패스워드들, 설정된 간격들(예를 들어, 90일)에서의 패스워드 변경 빈도, 모든 관리되는 머신들에 대한 고유한 패스워드들, 사용자가 역할들을 변경하는(예를 들어, 고용인이 해고되거나 또는 휴가를 가는) 경우 액세스를 취소하는 능력, 패스워드들이 니트 투 노우(need to know)를 기초로 공유되는 것(예를 들어, 패스워드 권리들은 디바이스마다 또는 데이터 세트마다를 기초로 공지되는 것), 패스워드들이 보안 방법들을 이용하여 통신되는 것, 패스워드들의 감사(auditing)가 가능한 것, 패스워드 액세스의 추적 가능성이 가능하게 되는 것, 및 사용자가 패스워드에 대한 지식을 얻은 이후 설정된 시간에 그 패스워드를 변경하는 능력 중 임의의 것 또는 전부를 포함할 수 있다. 실시예들은 약간의 사용자 관리 작업들을 이용하여 고도하게 자동화될 수 있다. 또한 실시예들은 고도하게 확장 가능(scalable)할 수 있다. 또한, 실시예들은 정책 구동형(policy driven)일 수 있고, 따라서 상이한 요구사항 세트들에 기초하여 커스텀화될 수 있다.
도 1은 본 발명의 일 실시예의 클라이언트 아키텍처를 포함한다. 실시예는 정책 구동형의, 자동화된 로컬 관리자 패스워드 관리 시스템이다. 실시예는 다양한 컴포넌트들을 포함한다. 데이터베이스(140)는 계정들, 서버들의 리스트, 및/또는 그러한 계정들에 대한 액세스 제어 리스트들을 포함할 수 있다. 웹 애플리케이션(130)은, 사용자가 서버에 대해 검색하고 패스워드에 대해 질의하는 데 이용할 수 있는 사용자 인터페이스를 포함할 수 있다. 사용자(105)는 패스워드들을 보기 위한 허가를 갖기 위해 정확한 ACL(access control list)의 멤버일 필요가 있을 수 있다. 패스워드가 보여지는 경우, 이러한 행동은 감사 데이터베이스(120)에 로그될(logged) 수 있다. 웹 서비스(135)는, 기록을 서버(예를 들어, 서버 상에 위치한 데이터베이스(140)) 내로, 및/또는 패스워드를 기존의 그러한 기록이 없는 시스템(예를 들어, 타깃 또는 관리되는 서버 155, 156, 157)) 내로 삽입하기 위한 방법을 포함할 수 있다. 서비스(135)는 또한, 패스워드 기록이 관리되는 서버 상에 이미 존재하는 경우 (예를 들어, 데이터베이스(140) 및/또는 관리되는 서버(155, 156, 157) 상의) 서버의 패스워드를 업데이트할 수 있다. 서비스(135)는 또한, 그것들의 패스워드를 보여지게 한 서버들에 대해 질의할 수 있는 등이다.
보다 구체적으로는, 관리되는 클라이언트 서비스(115)는 각 관리되는 머신(155, 156, 157) 상에 설치되거나 또는 그와 통신하는 소프트웨어 서비스를 포함할 수 있다. 서비스는, 매 90일과 같은, 정책에 따라 로컬 관리자 패스워드를 변경할 수 있고, 웹서비스(135)를 통해 데이터베이스를 업데이트할 수 있다. 서비스는 또한, 다양한 형태의 원격 액세스를 통해(예를 들어, 감사 서비스(121)에 의한 .NET remoting을 통해) 머신(155, 156, 157) 상에서 원격으로 인보크(invoke)되는, 이하 더 논의되는 Change Password 커맨드와 같은, 특정 커맨드들을 허용하도록 포트를 개방할 수 있다. 전술한 시간 주기(90일 정책)는 로컬 구성 파일로부터 판독된다. 서비스(115)는 이후, 웹 서비스(135)를 통해, 데이터베이스(140)의 백엔드(backend)를 업데이트하고, 따라서 솔루션으로부터 사용자(105)를 제거한다. 리모팅 포트는, Change Password 기능이 원격으로 인보크되는 것을 허용하기 위해 서비스에 의해 개방된다. 실시예에서, Change Password에 대한 호출에 대한 파라미터들은 존재하지 않는다. 호출을 인보크하는 것은 단순히 패스워드가 변경되게 하고 데이터베이스(135)의 백엔드가 업데이트되게 하는 것을 개시한다.
패스워드에 대한 변경들을 자동으로 구현할 수 있는, 웹 서비스(115)에 더하여, 일 실시예에서 패스워드들에 대한 수동 변경들이 모듈(110)을 통해 구현될 수 있다.
감사 서비스(121)는, (예를 들어, GetViewedAccounts() 커맨드를 이용하여) 그들의 패스워드를 보여지게 한 서버에 대해, 그리고 보여진 이후로 얼마나 지났는지에 대해 감사 데이터베이스(120)에 질의할 수 있다. 서비스(121)는 보여진 이후 지나간 시간이 임계치(예를 들어, 2시간)를 넘었는지를 결정할 수 있다. 그러하다면, 서비스(121)는 당해 타깃이 된 서버 상에서 Change Password 커맨드(그의 예시들이 이하에 제시됨)를 원격으로 인보크할 수 있다. 그 결과, 사용자가 이전에 알았던 패스워드는 더 이상 유효하지 않다.
감사 서비스(121)는 모니터링 서비스를 포함할 수 있어서, 감사 서비스(121)가 패스워드를 원격으로 변경하도록 서버와 건택트할 수 없으면, 서비스(121)는, 경보 모니터링 서비스(예를 들어, MOM(Microsoft Operations Manager))가 모니터링하는 이벤트 로그에 이벤트를 로그할 수 있다. 이는 문제를 더 조사하기 위한 스탭 관리자들을 위한 티켓 또는 알람을 일으킨다.
실시예에서, EAM(enterprise access management) 서비스들(145)은 서버 상에 위치할 수 있고, 다양한 사용자들(150)에 대한 ACL들을 유지할 수 있다. 서버들(155, 156, 157)의 패스워드를 보기 위한 액세스는 그러한 ACL들을 통해 제어된다. 이러한 ACL들은, 각각의 사용자들(150)에 대해 액세스 또는 특권 레벨을 할당하는, EAM(145)를 통해 관리된다. 이는, 패스워드를 공유하는 것의 입도(granularity)를 디바이스마다, 데이터 세트마다 등에서 허용한다(즉, 사용자가 갖고 있는 권리들 및 사용자가 갖고 있지 않은 권리들을 정확하게 제어할 수 있다).
패스워드 관리 시스템의 배치에 관하여, 처음에는 패스워드 시스템 관리 시스템은 기록을 데이터베이스(140) 내로 "삽입"할 수 있는 서비스(135)를 동작시킨다. 기록은, 예를 들어, 서버 식별자, 서버 패스워드, 서버에 액세스하기 위한 관련된 ACL 특권들, 및 ACL에 대한 설명을 포함할 수 있다. 시스템(135)은 그것이 데이터베이스(140)에 접속할 때마다 이러한 패스워드 기록을 후속하여 업데이트할 수 있다. 이는 배치를 매우 확장 가능하게(예를 들어, 100,000대의 머신까지) 만들고, 데이터 세트 또는 디바이스 구분 레벨들에 액세스하는 니드 투 노우의 입도를 여전히 유지한다. 기록들은 또한 타깃 머신들(155, 156, 157) 그 자신들 상에 삽입될 수 있다.
도 2는 본 발명의 실시예의 개략적인 흐름도를 포함한다. 프로세스(200)는 블록(205)에서 시작한다. 블록(210)은, 사용자가 봤던 패스워드들 또는 크리덴셜(credential)들의 리스트를 결정한다. 이러한 결정은 감사 데이터베이스(120)에 로그된 활동을 감사하는 감사 서비스(121)에 기초할 수 있다.
블록(220)은 블록(210)으로부터의 리스트가 비어있는지를 결정한다. 그렇다면, 프로세스는 블록(250)에서 종료된다. 아니라면, 블록(225)이 타깃 머신 상에 Change Password 커맨드를 원격으로 인보크한다. 이는, 예를 들어, 관리되는 클라이언트 서비스(115) 및 이하의 의사 코드(pseudocode)를 이용하여 행해질 수 있다:
새로운 패스워드를 생성하는 것은, 예를 들어, 관리되는 클라이언트 서비스(115) 및 이하의 의사 코드를 이용하여 달성될 수 있다:
머신에 대한 액세스는 .NET remoting 등을 통해 행해질 수 있다.
블록(235)에서, 트랜잭션이 성공적으로 완료되지 않으면 이러한 문제를 팔로우 업(follow up)하기 위해 만들어지는 후속의 경보들(예를 들어, MOM 경보)과 함께 그 실패를 감사 데이터베이스(120)에 로그할 것이다(블록(240)). 트랜잭션이 성공적이면, 그 성공을 감사 데이터베이스(120)에 로그할 것이다(블록(245)). 트랜잭션 그 자신에 관해, 데이터베이스(140)의 기록은, 예를 들어, 관리되는 클라이언트 서비스(115) 및 이하의 의사 코드를 이용하여 편집될 수 있다:
도 3은 본 발명의 실시예의 개략적인 흐름도를 포함한다. 프로세스(300)는 블록(305)에서 시작할 수 있다. 정상 동작 동안, 서비스(예를 들어, Windows Service, Linux Daemon)는 24시간마다 웨이크 업(wake up)하여 프로세스(300)를 수행할 수 있다.
블록(310)은 마지막 패스워드 변경일을 체크한다. 이는 감사 데이터베이스(120) 및 감사 서비스(121)를 컨설팅(consulting)하는 것과 동시에 행해질 수 있다. "변경일"은, 레지스트리에, 암호화된 형태로, 저장될 수 있다. 블록(320)에서, 블록(310)으로부터의 조사 결과들을 임계치에 대하여 체크한다. 임계치가 충족되지 않으면 블록(355)에서 프로세스를 종료할 수 있다. 그러나, 임계치가 충족되면 블록(325)에서, 예를 들어, 이하의 의사 코드를 이용하여 새로운 패스워드를 생성할 수 있다:
블록(335)에서 웹 서비스(115)는 패스워드 기록이 이미 존재하는지를 결정한다. 아니라면, 블록(350)에서 새로운 기록을 생성할 수 있고, 예를 들어, 이하의 의사 코드를 이용하여 데이터베이스(140)에 삽입할 수 있다:
기록은 이하의 의사 코드를 이용하여 파퓰레이트(populate)될 수 있다:
블록(340)에서 타깃 머신들(155, 156, 157) 상에서 패스워드들을 변경할 수 있다. 블록(320)에서 변경될 필요가 있는 것으로 식별된 머신들이 있는 한, 그러한 변경 또는 변경들을 구현하기 위한 루프는 이하와 같다:
따라서, 블록들(340 및 350)에 관해, 실시예에서, 각 관리되는 머신 상에서 실행되고 있는 클라이언트 서비스는 데이터베이스 내의 그것의 패스워드를 업데이트하려고 시도한다. 예를 들어, 블록(335)에서 이를 시도할 수 있다. 관리되는 머신은, 예를 들어, 파라미터로서 머신 이름 및 패스워드만을 요구하는 UpdatePassword() 메소드(method)를 호출한다. 따라서, 그 메소드는 매우 빠르게 실행되고, 프로세스는 블록(335)으로부터 (블록(350)을 건너뛰고) 블록(340)으로 나아갈 수 있다. 그러나, 기록은 임의의 그러한 업데이트가 발생하기 이전에 데이터베이스 내에 존재해야 한다. 기록이 존재하지 않으면, 블록(350)에서 클라이언트는, 예를 들어, UpdatePassword() 메소드보다 많은 파라미터들을 받아들이고, 결과적으로 UpdatePassword() 메소드보다 느리게 실행되는 InsertRecord() 메소드를 호출해야 한다.
블록(345)에서 레지스트리(예를 들어, 감사 데이터베이스(120))를 업데이트할 수 있다. 블록(355)에서 프로세스가 종료된다.
부가적인 노트로서, 일 실시예에서 데이터베이스는 항상 첫 번째로 업데이트되고, 그런 다음에야만, 관리되는 클라이언트 머신 상에서 패스워드가 로컬하게 변경된다. 이는 관리되는 클라이언트 머신 상에서 패스워드를 로컬하게 변경하고 이후 (예를 들어, 접속 에러들로 인해) 데이터베이스를 업데이트할 수 없게 되는 시나리오를 회피할 수 있다. 그러한 상황은 아무도 새로운 패스워드를 질의할 수 없게 되어버릴 수 있다. 따라서, 일 실시예에서 데이터베이스와 컨택트할 수 없으면 패스워드는 로컬하게 변경되지 않는다.
따라서, 실시예들은 설정된 날짜수마다 사용자 상호작용 없이 패스워드를 변경하는 것을 관리하고, 이후 백엔드 시스템을 새로운 패스워드로 업데이트하는 "관리되는 클라이언트"를 포함할 수 있다. 또한, 패스워드 변경들은, 사용자가 패스워드를 본 이후부터 설정된 시간의 양 내에 행해질 수 있다. 상태(예를 들어, 패스워드가 변경된 후 얼마나 오래 지났는지)의 이러한 모니터링은 "관리되는 클라이언트" 서비스 대신 또는 그와 함께 "감사 서비스"에 의해 수행될 수 있다. 또한, 실시예는 "기록 삽입" 방법을 포함하는 웹 서비스를 포함한다. 따라서, 웹 서비스를 이용하기 위한 "사전 작업"이 요구되지 않는다. 예를 들어, 웹 서비스를 통해 패스워드들을 배치하기 이전에 데이터베이스 상에 기록이 생성될 필요는 없다. 웹 서비스는 임의의 머신에 푸쉬(push)될 수 있고, 웹 서비스가 시작할 때, 그것은 그 자신의 기록을 데이터베이스 내로 삽입할 수 있다. 이는 100,000대 또는 그 이상의 머신들까지의 확장 가능성을 허용한다.
실시예는, (a) 각각의 제1 패스워드 크리덴셜들(예를 들어, 리소스에 대해 특권을 가진 액세스를 얻는 데 이용되는 패스워드들 또는 그외의 엘리먼트들)이 제1 선행 시간 주기(예를 들어, 2시간) 동안 (예를 들어, 사람 사용자에 의해) 보여졌던 제1 복수의 프로세서 기반 시스템을 결정할 수 있고; (b) 제1 복수의 시스템으로부터 (예를 들어, 큰 물리적 영역에 걸쳐 확장되는 네트워크를 통해) 원격에 위치한 부가적인 프로세서 기반 시스템으로부터, 제1 선행 시간 주기 동안 제1 패스워드 크리덴셜들이 보여졌던 것을 결정하는 것에 기초하여 제1 복수의 시스템 각각에 대한 각각의 제1 패스워드 크리덴셜들을 원격으로 변경할 수 있다.
그 동일한 실시예 또는 또 다른 실시예는 (제1 패스워드 크리덴셜들과 동일할 수 있는) 각각의 제2 패스워드 크리덴셜들이 제2 선행 시간 주기(예를 들어, 90일) 동안 변경되지 않았던 제2 복수의 시스템을 결정할 수 있고; 부가적인 시스템으로부터, 제2 패스워드 크리덴셜들이 제2 선행 시간 주기 동안 변경되지 않았던 것을 결정하는 것에 기초하여 제2 복수의 시스템 각각에 대한 각각의 제2 패스워드 크리덴셜들을 원격으로 변경할 수 있다.
각각의 제1 또는 제2 패스워드 크리덴셜들을 변경하는 것은 고유한 패스워드들을 오래된 패스워드들에 대한 대체물로서 공급하는 것을 포함할 수 있다. 각 머신(예를 들어, 태블릿, 서버, PDA(personal digital assistant), 스마트폰)은 고유한 패스워드를 획득할 수 있다.
실시예는 시스템에 대한 패스워드 크리덴셜 관리 계정을 초기에 설정할 수 있고, 일단 계정을 초기에 설정하면, 부가적인 프로세서 기반 시스템으로부터 데이터베이스 내로 기록을 원격으로 삽입할 수 있다. 그러나, 데이터베이스는 패스워드 크리덴셜 관리 계정과 연관된 기존의 어떠한 기록도 갖지 않았을 수 있다. 이는, 관리될 많고 많은 머신들 중의 계정 시스템의 롤아웃 또는 확장성을 허용할 수 있다. 기록의 이러한 "삽입"은, (관리될 머신 상에, 또는 일부 그외의 별개의 머신 상에 저장되는) 패스워드 기록들의 데이터베이스를 유지하는 서버 상의, 관리되어야 하는 머신 상에서의 것일 수 있다.
본원의 실시예들이 특정 기술들(예를 들어, Windows Service, Linux Daemon, .NET Remoting 등과 같은 Microsoft 기술들)과 함께 본원에서 논의되었지만, 솔루션은 임의의 운영 체제, 다양한 플랫폼들 등에 걸쳐 지원될 수 있다.
실시예들은 코드로 구현될 수 있고, 시스템이 명령어들을 수행하게끔 프로그래밍하는 데 이용될 수 있는 명령어들을 그 안에 저장한 저장 매체에 저장될 수 있다. 저장 매체는, 플로피 디스크들, 광 디스크들, SSD(solid state drive)들, CD-ROM(compact disk read-only memory)들, CD-RW(compact disk rewritable)들, 및 광자기 디스크들을 포함하는 임의의 타입의 디스크, ROM(read-only memory)들, DRAM(dynamic random access memory)들, SRAM(static random access memory)들과 같은 RAM(random access memory)들, EPROM(erasable programmable read-only memory)들, 플래시 메모리들, EEPROM(electrically erasable programmable read-only memory)들과 같은 반도체 디바이스들, 자기 또는 광 카드들, 또는 전기적 명령어들을 저장하는데 적합한 임의의 그외의 타입의 매체를 포함할 수 있지만, 이에 한정되지 않는다.
본 발명의 실시예들은, 명령어들, 기능들, 절차들, 데이터 구조들, 애플리케이션 프로그램들, 구성 설정들, 코드 등과 같은 데이터를 참조하여 본원에 설명될 수 있다. 본원에서 더 상세히 설명된 바와 같이, 데이터가 머신에 의해 액세스되는 경우, 머신은, 작업들을 수행하고, 추상적인 데이터 타입들을 정의하고, 로우 레벨 하드웨어 컨텍스트들을 확립하고, 및/또는 그외의 동작들을 수행함으로써 응답할 수 있다. 데이터는 휘발성 및/또는 비휘발성 데이터 저장소에 저장될 수 있다. 본 발명의 목적들을 위해, 용어들 "코드" 또는 "프로그램"은, 애플리케이션들, 드라이버들, 프로세스들, 루틴들, 메소드들, 모듈들, 및 서브프로그램들을 포함하는, 넓은 범위의 컴포넌트들 및 구조물들을 포함한다. 따라서, 용어들 "코드" 또는 "프로그램"은, 프로세싱 시스템에 의해 실행되는 경우, 원하는 동작 또는 동작들을 수행하는, 명령어들의 임의의 컬렉션을 지칭하는 데 이용될 수 있다. 또한, 대안의 실시예들은, 모든 개시된 동작들보다 적은 것을 이용하는 프로세스들, 부가적인 동작들을 이용하는 프로세스들, 상이한 시퀀스로 동일한 동작들을 이용하는 프로세스들, 및 본원에 개시된 개별 동작들이 조합되거나, 세분화되거나, 또는 그렇지않으면 변경되는 프로세스들을 포함할 수 있다.
본 발명은 한정된 수의 실시예들에 관해 설명되었지만, 당업자들은 그로부터의 다수의 수정 및 변경을 이해할 것이다. 첨부된 특허청구범위는 모든 그러한 수정들 및 변경들을 본 발명의 참된 기술적 사상 및 범위 내에 속하는 것으로서 포함하도록 의도된다.
Claims (20)
- 머신에 의해 실행되는 경우, 상기 머신으로 하여금,
제1 선행 시간 주기 동안 각각의 제1 패스워드 크리덴셜(credential)들이 보여졌던 제1 복수의 프로세서 기반 시스템을 결정하고,
상기 패스워드 크리덴셜들이 보여진 이후 발생한 만료된 임계 시간 주기 내에서 각각의 제1 패스워드 크리덴셜들이 변경되지 않고 있는 상기 제1 복수의 시스템 중 하나의 시스템을 결정하고,
상기 제1 복수의 시스템으로부터 원격에 위치한 부가적인 프로세서 기반 시스템으로부터, 상기 제1 선행 시간 주기 동안 상기 제1 패스워드 크리덴셜들이 보여졌던 것을 결정하는 것 및 상기 임계 시간 주기의 만료에 기초하여 상기 제1 복수의 시스템 중 하나에 대한 상기 제1 패스워드 크리덴셜들을 자동으로, 원격으로 변경하게 하는 명령어들을 저장한 머신 액세스 가능 매체. - 제1항에 있어서,
머신에 의해 실행되는 경우, 상기 머신으로 하여금,
제2 선행 시간 주기 동안 각각의 제2 패스워드 크리덴셜들이 변경되지 않았던 제2 복수의 시스템을 결정하고,
상기 부가적인 시스템으로부터, 상기 제2 선행 시간 주기 동안 상기 제2 패스워드 크리덴셜들이 변경되지 않았던 것을 결정하는 것에 기초하여 상기 제2 복수의 시스템 각각에 대한 상기 각각의 제2 패스워드 크리덴셜들을 원격으로 변경하게 하는 명령어들을 더 포함하는 머신 액세스 가능 매체. - 제2항에 있어서,
상기 각각의 제2 패스워드 크리덴셜들을 원격으로 변경하는 것은 고유한 부가적인 제2 패스워드를 상기 제2 복수의 시스템 각각에 공급하는 것을 포함하는 머신 액세스 가능 매체. - 제1항에 있어서,
상기 각각의 제1 패스워드 크리덴셜들을 원격으로 변경하는 것은 고유한 부가적인 제1 패스워드를 상기 제1 복수의 시스템 각각에 공급하는 것을 포함하는 머신 액세스 가능 매체. - 제1항에 있어서,
머신에 의해 실행되는 경우, 상기 머신으로 하여금,
상기 제1 복수의 시스템 중 하나의 시스템에 대한 패스워드 크리덴셜 관리 계정을 초기에 설정하고,
상기 패스워드 크리덴셜 관리 계정을 초기에 설정하면, 상기 부가적인 프로세서 기반 시스템으로부터 데이터베이스 내로 기록을 원격으로 삽입하게 하는 명령어들을 더 포함하고,
상기 데이터베이스는 상기 패스워드 크리덴셜 관리 계정과 연관된 기존의 어떠한 기록도 갖지 않았던 머신 액세스 가능 매체. - 제5항에 있어서,
머신에 의해 실행되는 경우, 상기 머신으로 하여금 패스워드를 이용하여 상기 기록을 원격으로 파퓰레이트(populate)하게 하는 명령어들을 더 포함하는 머신 액세스 가능 매체. - 제1항에 있어서,
머신에 의해 실행되는 경우, 상기 머신으로 하여금,
상기 제1 복수의 시스템 중 하나의 시스템에 대한 패스워드 크리덴셜 관리 계정을 초기에 설정하고,
상기 패스워드 크리덴셜 관리 계정을 초기에 설정하면, 상기 제1 복수의 시스템 중 상기 하나의 시스템 내로 패스워드 기록을 원격으로 삽입하게 하는 명령어들을 더 포함하고,
상기 제1 복수의 시스템 중 상기 하나의 시스템은 상기 패스워드 크리덴셜 관리 계정과 연관된 기존의 어떠한 패스워드 기록도 갖지 않았던 머신 액세스 가능 매체. - 삭제
- 메모리,
상기 메모리에 결합되는 프로세서,
제1 선행 시간 주기 동안 각각의 제1 패스워드 크리덴셜들이 보여졌던 제1 복수의 프로세서 기반 시스템을 결정하는 수단,
상기 패스워드 크리덴셜들이 보여진 이후 발생한 만료된 임계 시간 주기 내에서 각각의 제1 패스워드 크리덴셜들이 변경되지 않고 있는 상기 제1 복수의 시스템 중 하나의 시스템을 결정하는 수단, 및
상기 제1 복수의 시스템으로부터 원격에 위치한 부가적인 프로세서 기반 시스템으로부터, 상기 제1 선행 시간 주기 동안 상기 제1 패스워드 크리덴셜들이 보여졌던 것을 결정하는 것 및 상기 임계 시간 주기의 만료에 기초하여 제1 복수의 시스템 중 상기 하나의 시스템에 대한 상기 제1 패스워드 크리덴셜들을 자동으로, 원격으로 변경하는 수단
을 포함하는 시스템. - 제9항에 있어서,
제2 선행 시간 주기 동안 각각의 제2 패스워드 크리덴셜들이 변경되지 않았던 제2 복수의 시스템을 결정하는 수단, 및
상기 부가적인 시스템으로부터, 상기 제2 선행 시간 주기 동안 상기 제2 패스워드 크리덴셜들이 변경되지 않았던 것을 결정하는 것에 기초하여 상기 제2 복수의 시스템 각각에 대한 상기 각각의 제2 패스워드 크리덴셜들을 원격으로 변경하는 수단을 포함하는 시스템. - 제10항에 있어서,
상기 각각의 제2 패스워드 크리덴셜들을 원격으로 변경하는 것은 고유한 부가적인 제2 패스워드를 상기 제2 복수의 시스템 각각에 공급하는 것을 포함하는 시스템. - 제9항에 있어서,
상기 각각의 제1 패스워드 크리덴셜들을 원격으로 변경하는 것는 고유한 부가적인 제1 패스워드를 상기 제1 복수의 시스템 각각에 공급하는 것을 포함하는 시스템. - 제9항에 있어서,
상기 제1 복수의 시스템 중 하나의 시스템에 대한 패스워드 크리덴셜 관리 계정을 초기에 설정하는 수단, 및
상기 패스워드 크리덴셜 관리 계정을 초기에 설정하면, 상기 부가적인 프로세서 기반 시스템으로부터 데이터베이스 내로 기록을 원격으로 삽입하는 수단을 포함하고,
상기 데이터베이스는 상기 패스워드 크리덴셜 관리 계정과 연관된 기존의 어떠한 기록도 갖지 않았던 시스템. - 삭제
- 제9항에 있어서,
제2 선행 시간 주기 동안 각각의 제2 패스워드 크리덴셜들이 보여졌던 제2 복수의 프로세서 기반 시스템을 결정하는 수단, 및
상기 제2 복수의 시스템으로부터 원격에 위치한 부가적인 프로세서 기반 시스템으로부터, 상기 제2 선행 시간 주기 동안 상기 제2 패스워드 크리덴셜들이 보여졌던 것을 결정하는 것에 기초하여 상기 제2 복수의 시스템 각각에 대한 상기 각각의 제2 패스워드 크리덴셜들을 원격으로 변경하는 수단을 포함하는 시스템. - 삭제
- 삭제
- 삭제
- 삭제
- 삭제
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2011/054445 WO2013048504A1 (en) | 2011-09-30 | 2011-09-30 | Automated password management |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20140069059A KR20140069059A (ko) | 2014-06-09 |
| KR101634021B1 true KR101634021B1 (ko) | 2016-07-08 |
Family
ID=47996235
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020147008289A KR101634021B1 (ko) | 2011-09-30 | 2011-09-30 | 자동화된 패스워드 관리 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9785766B2 (ko) |
| EP (1) | EP2761521B1 (ko) |
| JP (1) | JP5837987B2 (ko) |
| KR (1) | KR101634021B1 (ko) |
| CN (2) | CN107633168B (ko) |
| WO (1) | WO2013048504A1 (ko) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101634021B1 (ko) | 2011-09-30 | 2016-07-08 | 인텔 코포레이션 | 자동화된 패스워드 관리 |
| US9729575B1 (en) * | 2013-12-26 | 2017-08-08 | VCE IP Holding Company LLC | Methods, systems, and computer readable mediums for performing centralized management of converged infrastructure system credential information |
| US9305160B2 (en) | 2014-04-04 | 2016-04-05 | PassedWord LLC | Method and system for automatic updating of randomly generated user passwords |
| US10230736B2 (en) * | 2015-01-21 | 2019-03-12 | Onion ID Inc. | Invisible password reset protocol |
| US10042998B2 (en) * | 2015-06-04 | 2018-08-07 | International Business Machines Corporation | Automatically altering and encrypting passwords in systems |
| US9824208B2 (en) * | 2015-07-06 | 2017-11-21 | Unisys Corporation | Cloud-based active password manager |
| JP6180491B2 (ja) * | 2015-11-06 | 2017-08-16 | インテル・コーポレーション | 自動化されたパスワード管理 |
| US10055575B2 (en) * | 2016-04-22 | 2018-08-21 | Blackberry Limited | Smart random password generation |
| US11018860B2 (en) | 2016-10-28 | 2021-05-25 | Microsoft Technology Licensing, Llc | Highly available and reliable secret distribution infrastructure |
| US10404672B2 (en) | 2017-03-23 | 2019-09-03 | Honeywell International Inc. | Systems and methods for reducing cyber security incidents with intelligent password management |
| RU2724713C1 (ru) | 2018-12-28 | 2020-06-25 | Акционерное общество "Лаборатория Касперского" | Система и способ смены пароля учетной записи при наличии угрозы получения неправомерного доступа к данным пользователя |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006011894A (ja) * | 2004-06-28 | 2006-01-12 | Fujitsu Ltd | Id・パスワード自動作成プログラムおよびid・パスワード自動作成システム |
| JP2009116726A (ja) * | 2007-11-08 | 2009-05-28 | Nec Fielding Ltd | 情報管理システム、携帯端末、サーバ装置、情報処理装置、情報処理方法およびプログラム |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5734718A (en) | 1995-07-05 | 1998-03-31 | Sun Microsystems, Inc. | NIS+ password update protocol |
| JP3430896B2 (ja) * | 1998-01-13 | 2003-07-28 | 日本電気株式会社 | パスワード更新装置及び記録媒体 |
| US6567919B1 (en) * | 1998-10-08 | 2003-05-20 | Apple Computer, Inc. | Authenticated communication procedure for network computers |
| JP2001337929A (ja) * | 2000-05-26 | 2001-12-07 | Nec Corp | 動的暗証番号管理システム |
| JP2002236577A (ja) * | 2000-11-17 | 2002-08-23 | Canon Inc | 印刷処理における自動認証方法及びそのシステム |
| JP2002207700A (ja) * | 2001-01-11 | 2002-07-26 | Nec Eng Ltd | パスワード管理方法および装置 |
| JP2004295711A (ja) * | 2003-03-28 | 2004-10-21 | Hitachi Ltd | パスワード管理方法 |
| US20060271789A1 (en) * | 2003-04-10 | 2006-11-30 | Matsushita Electric Industrial Co., Ltd. | Password change system |
| JP4377679B2 (ja) | 2003-12-26 | 2009-12-02 | キヤノンマーケティングジャパン株式会社 | 認証サーバ、情報サーバ、クライアント、認証方法、認証システム、プログラム、記録媒体 |
| TWI255123B (en) * | 2004-07-26 | 2006-05-11 | Icp Electronics Inc | Network safety management method and its system |
| JP4020133B2 (ja) | 2005-08-29 | 2007-12-12 | ダイキン工業株式会社 | アカウント不正使用抑制装置およびアカウント不正使用抑制プログラム |
| CN1758650A (zh) * | 2005-10-27 | 2006-04-12 | 上海交通大学 | 基于可信计算的信任管理体系结构 |
| JP4800068B2 (ja) * | 2006-02-23 | 2011-10-26 | 富士通株式会社 | パスワード管理装置、パスワード管理方法、パスワード管理プログラム |
| JP2008225872A (ja) | 2007-03-13 | 2008-09-25 | Ricoh Co Ltd | 管理装置及び管理方法 |
| US8060919B2 (en) * | 2007-07-30 | 2011-11-15 | International Business Machines Corporation | Automated password tool and method of use |
| JP2009223452A (ja) | 2008-03-14 | 2009-10-01 | Hitachi Ltd | 認証システム並びに認証サーバ装置および利用者装置,アプリケーションサーバ装置 |
| US8060920B2 (en) * | 2008-06-20 | 2011-11-15 | Microsoft Corporation | Generating and changing credentials of a service account |
| WO2010039487A2 (en) * | 2008-09-23 | 2010-04-08 | Peer 1 | Password management systems and methods |
| US8539562B2 (en) * | 2010-12-09 | 2013-09-17 | International Business Machines Corporation | Automated management of system credentials |
| US20130014236A1 (en) * | 2011-07-05 | 2013-01-10 | International Business Machines Corporation | Method for managing identities across multiple sites |
| KR101634021B1 (ko) | 2011-09-30 | 2016-07-08 | 인텔 코포레이션 | 자동화된 패스워드 관리 |
-
2011
- 2011-09-30 KR KR1020147008289A patent/KR101634021B1/ko active IP Right Grant
- 2011-09-30 JP JP2014533280A patent/JP5837987B2/ja not_active Expired - Fee Related
- 2011-09-30 CN CN201710822249.4A patent/CN107633168B/zh not_active Expired - Fee Related
- 2011-09-30 WO PCT/US2011/054445 patent/WO2013048504A1/en active Application Filing
- 2011-09-30 CN CN201180073884.8A patent/CN103827878B/zh not_active Expired - Fee Related
- 2011-09-30 US US13/993,110 patent/US9785766B2/en not_active Expired - Fee Related
- 2011-09-30 EP EP11873076.1A patent/EP2761521B1/en not_active Not-in-force
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006011894A (ja) * | 2004-06-28 | 2006-01-12 | Fujitsu Ltd | Id・パスワード自動作成プログラムおよびid・パスワード自動作成システム |
| JP2009116726A (ja) * | 2007-11-08 | 2009-05-28 | Nec Fielding Ltd | 情報管理システム、携帯端末、サーバ装置、情報処理装置、情報処理方法およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107633168A (zh) | 2018-01-26 |
| CN103827878B (zh) | 2017-10-13 |
| CN107633168B (zh) | 2020-12-11 |
| EP2761521A4 (en) | 2015-06-17 |
| JP5837987B2 (ja) | 2015-12-24 |
| JP2014532226A (ja) | 2014-12-04 |
| EP2761521A1 (en) | 2014-08-06 |
| US9785766B2 (en) | 2017-10-10 |
| KR20140069059A (ko) | 2014-06-09 |
| WO2013048504A1 (en) | 2013-04-04 |
| US20130263250A1 (en) | 2013-10-03 |
| CN103827878A (zh) | 2014-05-28 |
| EP2761521B1 (en) | 2019-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101634021B1 (ko) | 자동화된 패스워드 관리 | |
| US10326795B2 (en) | Techniques to provide network security through just-in-time provisioned accounts | |
| US8254579B1 (en) | Cryptographic key distribution using a trusted computing platform | |
| US10165443B2 (en) | Transmitting management commands to a client device | |
| CN102576395A (zh) | 向用户标识符暂时提供对于计算系统的更高特权 | |
| CN107196951A (zh) | 一种hdfs系统防火墙的实现方法和防火墙系统 | |
| DE112016000576T5 (de) | Sicheres Booten eines Computers von einer für den Benutzer vertrauenswürdigen Einheit aus | |
| CN113572746B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| US11593463B2 (en) | Execution type software license management | |
| US8510819B2 (en) | System and method for managing and securing mobile devices | |
| CN106339629A (zh) | 一种应用程序管理方法及装置 | |
| US20160330241A1 (en) | Remote password management using local security policies | |
| US11983252B2 (en) | Software license manager security | |
| AU2022204137A1 (en) | Flexible implementation of user lifecycle events for applications of an enterprise | |
| US20170115979A1 (en) | Enforcement of updates for devices unassociated with a directory service | |
| US20210194904A1 (en) | Security management of an autonomous vehicle | |
| US11443029B2 (en) | Password hint policies on a user provided device | |
| US20160044060A1 (en) | Policy synchronization for multiple devices | |
| JP6180491B2 (ja) | 自動化されたパスワード管理 | |
| US20240330315A1 (en) | Event based source replication architecture | |
| CN114567435B (zh) | 一种设备带外管理密码更新方法及装置 | |
| EP3490214A1 (en) | Method for managing lifecycle of credentials | |
| CN117725564A (zh) | 软件的管理方法、装置、电子设备及存储介质 | |
| WO2020219539A1 (en) | Method of capturing user presence via session unlocking and centralizing using an identity directory platform | |
| CN118784482A (zh) | 用于远程设备管理的方法、装置、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20190530 Year of fee payment: 4 |