KR20070114127A - 공유 계정을 이용한 퍼미션-기반 액세스 시스템 및 방법 - Google Patents

공유 계정을 이용한 퍼미션-기반 액세스 시스템 및 방법 Download PDF

Info

Publication number
KR20070114127A
KR20070114127A KR1020077018494A KR20077018494A KR20070114127A KR 20070114127 A KR20070114127 A KR 20070114127A KR 1020077018494 A KR1020077018494 A KR 1020077018494A KR 20077018494 A KR20077018494 A KR 20077018494A KR 20070114127 A KR20070114127 A KR 20070114127A
Authority
KR
South Korea
Prior art keywords
interactive user
session
credentials
identifier
electronic device
Prior art date
Application number
KR1020077018494A
Other languages
English (en)
Inventor
데이비드 아이켄
티모시 알. 가이로어
토마스 비. 딜스
Original Assignee
사이트릭스 시스템스, 인크.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 사이트릭스 시스템스, 인크. filed Critical 사이트릭스 시스템스, 인크.
Publication of KR20070114127A publication Critical patent/KR20070114127A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2147Locking files

Abstract

공유 계정으로부터 사용자의 원격 세션에 대한 퍼미션 기반 액세스를 가능하게 하기 위해 증명서 전달 애플리케이션을 사용함으로써 공유 계정에 기초하여 운영 체제 로그온 세션에서 대화형 사용자를 고속 인증하는 메커니즘이 공개된다. 본 발명은 클라이언트가 새로운 로컬 대화형 사용자와 연관된 새로운 로그온 세션을 먼저 설정하지 않고도 로컬 대화형 사용자들을 전환하고, 새로운 대화형 사용자를 인증하며, 원격 세션을 전환하는 능력을 제공한다. 본 발명은 또한, 클라이언트 장치에서 대화형 사용자들의 고속 전환을 허용하면서도 대화형 로컬 사용자의 애플리케이션들(로컬 및 원격)에 대한 액세스를 제한하기 위해 운영 체제 로그온 세션에서 발견되는 통상의 록킹 메커니즘을 변경한다.
공유 계정, 퍼미션, 증명서 전달 애플리케이션, 대화형 사용자, 로그온

Description

공유 계정을 이용한 퍼미션-기반 액세스 시스템 및 방법{SYSTEM AND METHOD FOR PERMISSION-BASED ACCESS USING A SHARED ACCOUNT}
본 발명의 실시예는 일반적으로 공유 운영 체제 로그온 세션(shared operating system logon session)의 이용에 관한 것으로, 특히 로그온 세션을 재시작하지 않고 공유 계정 내의 증명된 대화형 사용자들(credentialed interactive users)의 고속 전환 및 인증에 관한 것이다.
종래에는 윈도우즈(WINDOWS; 미국 워싱턴 레드몬드 소재의 마이크로소프트 코퍼레이션에서 제조) 로그온 세션과 같은 운영 체제 로그온 세션은 컴퓨터상에서의 각각의 성공적인 인증을 위해 발생된다. 윈도우즈 환경에서 Winlogon.exe 프로세스와 같은 개시 프로세스는 로그온 대화 상자를 대화형 사용자에 제공하는 GINA(Graphical Identification aNd Authentication)를 로딩한다. GINA는 디폴트 운영 체제 GINA(윈도우즈에서는 MSGINA.dll임)일 수 있고 또는 상기 운영 체제 GINA 대신에 또는 상기 운영 체제 GINA와 더불어 동작하는 제3자 GINA일 수 있다. 다수의 GINA들이 체인 구조로 이용될 수도 있다. 로그온 대화 상자는 사용자 정보, 예컨대 사용자명, 패스워드 및 옵션인 타깃 도메인을 요청한다. 독립된 운영 환경에서는, 대화형 사용자는 인증을 받고서, 인증 동안에 식별된 사용자 프로파일 에 기술된 액세스 권리들 및 특권들에 따라 동작을 진행한다. 네트워크 환경들에서, 로컬 대화형 사용자의 네트워크 로밍 프로파일(network roaming profile)의 날짜가, 시스템상에 이미 존재하는 파일들을 갱신하는데 이용되는 로밍 프로파일 내에 보다 새로운 파일들을 가진 로컬 프로파일의 날짜와 비교될 수 있다. 로컬 대화형 사용자가 클라이언트에 로그 온되고 서버-호스팅(hosted) 세션을 액세스하고자 하는 네트워크 환경에서는, 원격 호스팅된 세션을 액세스하는 종래의 방법들은 원격 세션을 액세스하는 대화형 사용자와 클라이언트 운영 체제 로그온 세션 내의 로컬 사용자는 동일한 것으로 가정한다. 원격 세션으로부터의 통신 정보들이 운영 체제 로그온 세션에 제공된다. 로컬 대화형 사용자가 원격 세션으로부터 로그 오프하여 클라이언트를 떠나면, 운영 체제 로그온 세션은 종료되고, 다음 로컬 사용자를 위해 새로운 로그온 세션이 시작된다.
도 1은 다수의 대화형 사용자들이 원격 세션들을 액세스하기 위해 클라이언트에 로그온하는 종래의 프로세스를 나타낸다. 시퀀스는 대화형 사용자가 클라이언트에서 윈도우즈 도메인과 같은 운영 체제 도메인에 로그온할 때 시작된다(단계 2). 윈도우즈 로그온 세션과 같은 운영 체제 로그온 세션이 발생되고 대화형 사용자와 연관된다(단계 4). 다음에, 운영 체제 도메인에 로그온하는데 이용되는 정보에 기초하여 대화형 사용자에 대해 네트워크-저장된 로밍 프로파일이 요구된다(단계 6). 네트워크 저장된 프로파일이 검색되고, 클라이언트는 로컬 프로파일이 존재하는지 체크받을 수 있다. 로컬 프로파일이 클라이언트 상에 존재하면, 프로파일들은 대화형 사용자의 프로파일을 갱신하는데 이용되는 로밍 프로파일 내의 보 다 새로운 파일들과 비교된다. 다음에, 대화형 사용자는 서버-호스팅 도메인 또는 서버 호스팅 도메인 상의 애플리케이션을 액세스하기 위해 인증 패스워드를 제출한다(단계 8). 대화형 사용자는 자신이 액세스하고자 하는 각각의 애플리케이션 또는 도메인에 대한 인증을 제출해야 한다(단계 9). 이는 다중 인증들을 필요로 할 수도 있다. 대화형 사용자가 원격 세션을 완료하고 원격 세션으로부터 로그 오프한 후에는, 운영 체제 로그온 세션 또한 로그 오프되어야 하고(단계 10), 다음에 후속 대화형 사용자가 클라이언트를 액세스할 수 있다(단계 12). 후속 대화형 사용자는 원격 세션을 액세스하기 전에 새로운 운영 체제 로그온 프로세스를 시작해야 한다(단계 2).
종래에, 서버와 통신하는 클라이언트 또는 키오스크(kiosk) 상에서의 대화형 사용자들의 전환은 원격 세션 및 운영 체제 로그온 세션의 종료, 새로운 운영 체제 로그온 세션의 후속 발생, 및 새로운 로컬 대화형 사용자를 위한 원격 세션에의 새로운 접속을 필요로 한다. 불행하게도, 각각의 새로운 로컬 대화형 사용자를 위해 새로운 운영 체제 로그온 세션이 필요하므로, 병원과 같은 시간에 민감한 장소에서는 사용자들이 차선의 대기 시간(sub-optimal wait times) 동안 기다리게 된다. 예컨대, 제1 의사가 병원에 있는 컴퓨터를 액세스하여 환자에 응답하면, 그 컴퓨터를 사용하는 제2 의사는 전혀 새로운 운영 체제 로그온 세션의 경우 요구되는 인증 프로세스를 기다리고 싶어하지 않을 것이다. 또한, 종래의 공유 워크스테이션들이 허가없이 사용되고 있어, 상기 워크스테이션들에서 사용자들이 취한 행동들에 대해 책임(accountability)을 제공하기 어렵게 만든다.
본 발명의 일 실시예는 공유 계정으로부터 사용자의 원격 세션에 대한 퍼미션 기반 액세스를 가능하게 하기 위해 증명서 전달 애플리케이션을 사용함으로써 공유 계정에 기초하여 운영 체제 로그온 세션에서 대화형 사용자를 고속 인증하는 메커니즘을 제공한다. 본 발명은 클라이언트가 새로운 로컬 대화형 사용자와 연관된 새로운 로그온 세션을 먼저 설정하지 않고도 로컬 대화형 사용자들을 전환하고, 새로운 대화형 사용자를 인증하며, 원격 세션을 전환하는 능력을 제공한다. 본 발명은 또한, 클라이언트 장치에서 대화형 사용자들의 고속 전환을 허용하면서도 대화형 로컬 사용자의 애플리케이션들(로컬 및 원격)에 대한 액세스를 제한하기 위해 운영 체제 로그온 세션에서 발견되는 통상의 록킹 메커니즘을 변경한다.
일 실시예에서, 시스템은 복수의 세트의 대화형 사용자 증명서들을 지닌 기억 장소를 포함한다. 각 세트의 증명서들은 다른 대화형 사용자와 연관되고, 하나 이상의 애플리케이션 및/또는 서버 호스팅 도메인에 대한 액세스 레벨에 대한 퍼미션 레벨을 나타낸다. 상기 시스템은 또한 클라이언트와 연결된 서버를 포함한다. 상기 서버는 상기 클라이언트의 제1 로컬 대화형 사용자에 대한 세션을 호스팅한다. 상기 클라이언트는 공유 계정에 대한 액티브 운영 체제 로그온 세션을 실행한다. 상기 액티브 운영 체제 로그온 세션은 특별한 대화형 사용자와 연관되지 않은 디폴트 사용자 프로파일과 설정된다. 상기 시스템은 또한 상기 서버 및 상기 클라이언트와 통신하는 증명서 전달 애플리케이션을 포함한다. 상기 증명서 전달 애플리케이션은 상기 클라이언트를 통해 상기 제1 로컬 대화형 사용자를 식별하는 식별자를 수신하고, 상기 기억 장소로부터 상기 제1 로컬 대화형 사용자에 대한 제1 세트의 증명서들을 검색하는데 상기 식별자를 이용한다. 상기 제1 세트의 증명서들은 상기 증명서 전달 애플리케이션에 의해 상기 서버에 전달되고, 상기 제1 로컬 대화형 사용자를 상기 제1 로컬 대화형 사용자에 대한 서버 호스팅 세션에 맵핑시키는데 이용된다.
다른 실시예에서, 전자 장치에서 액티브 운영 체제 로그온 세션에 대한 퍼미션 기반 액세스를 제공하는 방법은 공유 계정에 대한 액티브 운영 체제 로그온 세션을 전자 장치상에 호스팅하는 단계를 포함한다. 상기 공유 계정은 특별한 대화형 사용자와 연관되지 않은 디폴트 사용자 프로파일과 설정된다. 상기 전자 장치는 서버와 통신한다. 상기 방법은 또한, 상기 전자 장치를 통해 제1 로컬 대화형 사용자를 식별하는 제1 식별자를 수신하는 단계를 포함한다. 상기 방법은 또한 상기 제1 로컬 대화형 사용자에 대한 제1 세트의 증명서들을 검색하는데 상기 제1 식별자를 이용하는 단계를 포함하고, 상기 제1 세트의 증명서들은 상기 전자 장치 및 상기 서버가 액세스 가능한 위치에 저장되고, 적어도 하나의 애플리케이션 또는 상기 제1 로컬 대화형 사용자와 연관된 서버 호스팅 세션에 대한 액세스 레벨에 대한 적어도 하나의 퍼미션 레벨을 나타낸다. 상기 방법은 또한 상기 제1 세트의 증명서들을 이용하여 상기 제1 대화형 사용자에 대한 서버 호스팅 세션을 전자 장치상의 액티브 운영 체제 로그온 세션에 맵핑하는 단계를 포함한다.
일 실시예에서, 전자 장치에서 액티브 운영 체제 로그온 세션에 대한 퍼미션 기반 액세스를 제공하는 방법은 공유 계정에 대한 액티브 운영 체제 로그온 세션을 전자 장치상에 호스팅하는 단계를 포함하고, 상기 공유 계정은 특별한 대화형 사용자와 연관되지 않은 디폴트 사용자 프로파일과 처음에 설정된다. 상기 방법은 또한 제1 로컬 대화형 사용자를 식별하는 제1 식별자를 수신하는 단계; 상기 제1 로컬 대화형 사용자에 대한 제1 세트의 증명서들을 검색하는데 상기 제1 식별자를 이용하는 단계를 포함한다. 상기 제1 세트의 증명서들은 적어도 하나의 애플리케이션 또는 상기 제1 로컬 대화형 사용자와 세션에 대한 액세스 레벨에 대한 적어도 하나의 퍼미션 레벨을 나타낸다. 상기 방법은 또한 상기 제1 세트의 증명서들을 이용하여 상기 제1 대화형 사용자와 연관된 세션을 액티브 운영 체제 로그온 세션에 맵핑하는 단계를 포함한다.
도 1(종래 기술)은 로컬 대화형 사용자가 운영 체제 도메인에 로그 온하여 원격 세션을 액세스하는 종래의 단계들의 시퀀스의 플로 차트.
도 2는 본 발명의 일 실시예를 실시하기에 적합한 환경의 블록도.
도 3은 본 발명의 일 실시예를 실시하기에 적합한 다른 환경의 블록도.
도 4A 및 도 4B는 본 발명과 관련하여 사용 가능한 컴퓨터들의 실시예들을 나타낸 블록도.
도 5는 새로운 운영 체제 로그온 세션을 발생하지 않고 로컬 대화형 사용자들을 전환하는 본 발명의 일 실시예에 따른 단계들의 시퀀스의 플로 차트.
본 발명의 일 실시예는 시간에 민감한 환경에서 다수의 인증된 대화형 사용 자들 간을 고속 전환하는 능력을 제공한다. 용어 "대화형 사용자(interactive user)"는 자동화된 프로세스로부터 사람인 사용자들을 구별하는데 사용된다. 디폴트 사용자 프로파일에 기초하여 공유 계정에 대한 운영 체제 로그온 세션을 설정하고 그 로그온 세션으로부터 로컬 대화형 사용자들의 아이덴티티의 인증을 분리함으로써, 본 발명은 로컬 대화형 사용자들이 액세스 공유된 클라이언트 시스템상에서 원격 세션들을 안전하게 고속 액세스하는 것을 가능하게 한다. 본 발명은 또한, 원래 대화형 사용자의 애플리케이션들의 보안과 사생활을 유지하면서 서비스들을 원하는 후속 대화형 사용자의 시스템 이용 가능성을 증가시키기 위해 일반 운영 체제 로그온 세션에 의한 록킹 메커니즘의 변경을 가능하게 한다. 록킹 메커니즘의 변경은 또한, 클라이언트 시스템에서 취해진 행위에 대한 책임을 향상시키면서 무허가 사용을 방지하는데 도움이 된다.
도 2는 본 발명의 일 실시예를 실시하기에 적합한 환경을 나타낸다. 클라이언트 전자 장치(20)는 네트워크(40)를 통해 서버(50)와 통신한다. 클라이언트 전자 장치(20)는 운영 체제를 갖추고 있고 서버(50)에의 원격 액세스를 지원할 수 있는 데스크탑, 워크스테이션, 랩탑(laptop), PDA, 윈도우즈 키오스크, 또는 다른 전자 장치일 수 있다. 클라이언트 전자 장치(20)는 운영 체제(20) 및 제3자 GINA(24)를 포함한다. 제3자 GINA(24)의 동작에 대해서는 후술한다. 클라이언트 전자 장치(20)는 미리 결정된 세트의 퍼미션들 및 특권들을 가진 디폴트 사용자 프로파일에 기초하여 공유 운영 체제 로그온 세션(26)을 자동으로 발생한다. 디폴트 사용자 프로파일은 제3자에 의해 제공되는 것으로, 운영 체제에 의해 제공되는 디 폴트 프로파일이 아니다. 클라이언트 전자 장치(20)는 또한 대화형 사용자 1(30) 및 대화형 사용자 2(32)에 의해 여기서 설명되는 방식으로 이용될 수 있는 로컬 애플리케이션들(28)을 포함한다.
상기한 바와 같이, 클라이언트 전자 장치(20)는 네트워크(40)를 통해 서버(50)와 통신한다. 네트워크는 LAN(local area network), WAN(wide area network), 인트라넷, 인터넷 또는 다른 타입의 네트워크일 수 있다. 서버(50)는 대화형 사용자의 액세스 권리에 따라 애플리케이션(58, 60, 62)에 대한 원격 액세스를 제공한다. 한 가지 구현예에서, 서버(50)는 프리젠테이션 레벨 프로토콜을 사용하여 기업 애플리케이션들에 대한 원격 액세스를 제공하는, 미국 플로리다 포트 론더데일 소재의 시트릭스 시스템즈 인코퍼레이티드(Citrix Systems, Inc.)의 메타프레임(MetaFrame) 프리젠테이션 서버이다. 서버(50)는 제3자 GINA(24)로부터 사용자명, 패스워드 및 도메인과 같은 로컬 사용자 정보를 지닌 식별자를 받아들이는 증명서 전달 애플리케이션(56)을 포함한다. 증명서 전달 애플리케이션(56)은 네트워크-액세스가능 기억 장소(70)로부터 로컬 대화형 사용자와 연관된 한 세트의 증명서(72, 74 또는 76)를 검색하는데 로컬 대화형 사용자 정보를 이용한다. 각 세트의 증명서들(72, 74, 76)은 서로 다른 대화형 사용자와 연관되어 있다. 한 가지 구현예에서, 증명서 전달 애플리케이션은 시트릭스 시스템즈 인코퍼레이티드의 메타프레임(MetaFrame) 패스워드 관리자일 수 있다.
당업자는, 도 2에 도시된 구성 요소들은 한 가지 가능한 구조를 예시한 것으로 본 발명의 범위 내에서 많은 다른 구조들이 가능함을 인식할 것이다. 예컨대, 기억 장소(70)는 서버(50) 상에 위치될 수 있다. 유사하게, 서버(50)가 액세스를 제공하는 애플리케이션들(58, 60, 62)은 별도의 네트워크-액세스가능 장소에 서버로부터 원격 위치될 수 있다. 여기에 도시된 도면들은 예시하는 것으로 인식해야 하고, 제한하는 의미로 보아서는 안 된다. 또한, 마이크로소프트 코퍼레이션의 윈도우즈 운영 체제를 참조하고 있으나, 본 발명은 다른 운영 체제들을 이용하여 구현될 수도 있음을 이해해야 한다.
운영 체제(22)는 로그온 대화 상자를 대화형 사용자에 제공하는 제3자 GINA(24)를 로딩하는 초기 프로세스를 시작하도록 구성된다. 초기 프로세스는 또한 기본 프로파일을 가진 디폴트 사용자를 자동으로 로그온하도록 제3 GINA(24)에 의해 (이벤트 또는 유사한 프로세스의 트리거를 통해) 통보받으며, 이에 따라 최소 세트의 특권들을 가지고 공유 계정이 생성된다. 다음에, 제3자 GlNA(24)는 로컬 대화형 사용자로부터 로그온 정보를 수신하고, 그 정보를 증명서 전달 애플리케이션(56)에 전송한다. 증명서 전달 애플리케이션(56)은 로컬 대화형 사용자 정보를 수신하고, 로컬 대화형 사용자와 연관된 한 세트의 증명서들을 네트워크 액세스가능 기억 장소로부터 자동 검색한다. 로컬 대화형 사용자에 대한 증명서들은 대화형 사용자가 클라이언트 전자 장치(20)로부터 액세스할 수 있는 서버 호스팅 세션(52 또는 54) 내에 로컬 대화형 사용자에 대한 인증을 자동으로 설정하는데 사용된다. 예컨대, 한 세트의 증명서들은 서버를 액세스할 때 로컬 대화형 사용자 관리자 특권들을 허용할 수 있다. 대안으로, 로컬 대화형 사용자는 일부 애플리케이션들 내에 판독 특권을 가질 수 있고 다른 애플리케이션들 내에 판독-기록 특권을 가질 수 있다.
본 발명의 제3자 GINA는, 대화형 사용자가 쉘(shell)을 통해 직접적으로 또는 애플리케이션 내에서 간접적으로 워크스테이션을 록킹할 때 일어나는 전통적인 록킹 메커니즘을 변경시킨다. 일반적으로, 개시 프로세스(WINDOWS 도메인에서, winlogon.exe)는 제1 GINA 및 제1 GINA를 구현하는 다른 GINA들이 록킹 요청을 허용하는지를 알아보기 위해 체크한다. 대조적으로, 본 발명의 제3자 GINA는 GINA들의 체인에 먼저 로딩되어, 대화형 사용자를 록킹하라는 요청을 GINA들의 체인에 삽입한다. 다음 또는 후속 GINA가 거절하면, 프로세스는 중단된다. 다음 GINA 및 후속 GINA가 록킹 요청을 허용하면, 워크스테이션이 록킹되고 인증 대화 상자가 디스플레이된다. 후속 인증의 성공시, 취해지는 행위들은 대화형 사용자의 아이덴티티에 기초하여 변한다. 동일한 대화형 사용자가 인증하면, 대화형 사용자는 원격 세션에 다시 로그 온된다. 인증하는 대화형 사용자가 새로운 사용자이면, 원격 세션이 종료되고, 새로운 세션이 시작된다(또는 그 대화형 사용자에 대한 저장된 세션을 가지고 있는 경우에는 복원된다). 본 발명의 제3자 GINA는 공유 계정이 변하지 않도록 록킹 요청을 운영 체제로 다시 전달하지 않는다. 록킹 요청을 인터셉트한 결과, 새로운 로그온 세션 및 대화형 사용자에 대한 프로파일의 검색이 요구되지 않는다. 당업자는, 시간 파라미터가 초과된 결과 또는 다른 이벤트의 발생 결과, 록킹은 직접 대화형 사용자 명령에 응답하여 일어날 수도 있음을 인식할 것이다. 한 가지 구현예에서, 미리 결정된 파라미터보다 긴 시간 동안 록킹되어 있는 록킹된 워크스테이션은, 록킹이 해제될 때, 자동으로 원격 세션이 종료되게 하고 새로운 세션이 시작되게 한다. 로그오프 요청들은 록킹 요청들과 유사한 방식으로 처리될 수 있음을 유의해야 한다.
본 발명은 네트워크 환경들에 특히 유용하지만, 네트워킹되지 않은, 프로세서를 갖춘 장치들에서도 실시될 수 있다. 도 3은 다수의 대화형 사용자들에 대한 퍼미션 기반 액세스를 안전하게 고속 승인하는데 본 발명을 이용하는 독립형 전자 장치(90)의 다른 구현을 나타낸다. 전자 장치(90)는 본 발명의 운영 체제(92) 및 제3자 GINA(94)를 포함한다. 초기화시, 전자 장치(90)는 미리 결정된 세트의 퍼미션들 및 특권들을 가진 디폴트 사용자 프로파일을 이용하여 운영 체제 로그온 세션(96)을 자동으로 생성한다. 전자 장치(90)를 액세스하는 대화형 사용자(120)는 대화형 사용자 정보를 증명서 전달 애플리케이션(104)에 전달하는 제3자 GINA(94)를 통해 로그 온한다. 증명서 전달 애플리케이션(104)은, 대화형 사용자(120)와 연관된 한 세트의 대화형 사용자 증명서들(108, 110 또는 112)을 기억 장소(106)로부터 검색하는데, 입력된 대화형 사용자 정보를 이용한다. 증명서들은 서버로 전달되고, 서버는 대화형 사용자(120)가 상기 검색된 대화형 사용자 증명서와 일치되는 애플리케이션들(98, 100, 102)을 액세스하는 것을 가능하게 한다.
많은 실시예들에서, 클라이언트 전자 장치(20) 및 서버(50)는 미국 캘리포니아 팔로 알토 소재의 휴렛-팩커드 코퍼레이션(Hewlett-Packard Corporation) 또는 텍사스 라운드 록 소재의 델 코퍼레이션(Dell Corporation)에서 제조한 종류의 퍼스널 컴퓨터 또는 컴퓨터 서버로서 제공된다. 도 4A 및 도 4B는 이들 일 실시예에서 서버(50) 또는 클라이언트 장치(20)로서 유용한 일반 컴퓨터(200)의 블록도를 나타낸다. 도 4A 및 도 4B에 도시된 바와 같이, 각각의 컴퓨터(200)는 중앙 처리 장치(202) 및 메인 메모리 유닛(204)을 포함한다. 각각의 컴퓨터(200)는 또한, 다른 선택적인 요소들, 예컨대 하나 이상의 입력/출력 장치들(230a-230n)(일반적으로 참조 부호 230을 사용하여 참조함), 및 중앙 처리 장치(202)와 통신하는 캐시 메모리(240)를 포함할 수 있다.
중앙 처리 장치(202)는 메인 메모리 유닛(204)으로부터 페치된 명령들에 응답하고 그 명령들을 처리하는 논리 회로이다. 많은 실시예들에서, 중앙 처리 장치는 마이크로프로세서 유닛에 의해 제공되며, 이 마이크로프로세서 유닛의 예로는 미국 캘리포니아 마운틴 뷰 소재의 인텔 코퍼레이션에서 제조한 8088, 80286, 80386, 80486, 펜티엄(Pentium), 펜티엄 프로(Pentium Pro), 펜티엄 II(Pentium II), 셀러론(Celeron), 또는 지온(Xeon) 프로세서; 일리노이 샤움버그 소재의 모토롤라 코퍼레이션에서 제조한 68000, 68010, 68020, 68030, 68040, PowerPC 601, PowerPC604, PowerPC604e, MPC603e, MPC603ei, MPC603ev, MPC603r, MPC603p, MPC740, MPC745, MPC750, MPC755, MPC7400, MPC7410, MPC7441, MPC7445, MPC7447, MPC7450, MPC7451, MPC7455, MPC7457 프로세서; 캘리포니아 산타클라라 소재의 트랜스메타 코퍼레이션(Transmeta Corporation)에서 제조한 크루소(Crusoe) TM5800, 크루소 TM5600, 크루소 TM5500, 크루소 TM5400, 에피시온(Efficeon) TM8600, 에피시온 TM8300, 또는 에피시온 TM8620 프로세서; 뉴욕 화이트 플레인즈 소재의 인터내셔널 비즈니스 머신즈(International Business Machines)에서 제조한 RS/6000 프로세서, RS64, RS64 II, P2SC, POWER3, RS64 III, POWER3-II, RS 64 IV, POWER4, POWER4+, POWER5, 또는 POWER6 프로세서; 또는 캘리포니아 서니베일 소재의 어드밴스드 마이크로 디바이시즈(Advanced Micro Devices)에서 제조한 AMD 옵테론(Opteron), AMD 애슬론(Athalon) 64 FX, AMD 애슬론, 또는 AMD 듀론(Duron) 프로세서를 들 수 있다.
메인 메모리 유닛(204)은 데이터를 저장할 수 있고 어느 기억 장소가 마이크로프로세서(202)에 의해 직접 액세스되는 것을 가능하게 하는 하나 이상의 메모리 칩들일 수 있으며, 이 칩의 예로는 SRAM(Static random access memory), 버스트(Burst) SRAM 또는 BSRAM(SynchBurst SRAM), DRAM(Dynamic random access memory), FPM DRAM(Fast Page Mode DRAM), EDRAM(Enhanced DRAM), EDO RAM(Extended Data Output RAM), EDO DRAM (Extended Data Output DRAM), BEDO DRAM(Burst Extended Data Output DRAM), EDRAM (Enhanced DRAM), SDRAM(synchronous DRAM), JEDEC SRAM, PC100 SDRAM, DDR SDRAM(Double Data Rate SDRAM), ESDRAM(Enhanced SDRAM), SLDRAM(SyncLink DRAM), DRDRAM(Direct Rambus DRAM), 또는 FRAM(Ferroelectric RAM)을 들 수 있다.
도 4A에 도시된 실시예에서, 프로세서(202)는 시스템 버스(220)(상세히 후술됨)를 통해 메인 메모리(204)와 통신한다. 도 4B는 프로세서가 메모리 포트를 통해 메인 메모리(204)와 직접 통신하는 컴퓨터 시스템(200)의 일 실시예를 나타낸다. 예컨대, 도 4B에서, 메인 메모리(204)는 DRDRAM일 수 있다.
도 4A 및 도 4B는 메인 프로세서(202)가 "백사이드(backside)" 버스라고도 하는 보조 버스를 통해 캐시 메모리(240)와 직접 통신하는 실시예들을 나타낸다. 다른 실시예들에서, 메인 프로세서(202)는 시스템 버스(220)를 사용하여 캐시 메모리(240)와 통신한다. 캐시 메모리(240)는 일반적으로 메인 메모리(204)보다 빠른 응답 시간을 가지며 일반적으로 SRAM, BSRAM, 또는 EDRAM에 의해 제공된다.
도 4A에 도시된 실시예에서, 프로세서(202)는 로컬 시스템 버스(220)를 통해 각종 I/O 장치들(230)과 통신한다. VESA VL 버스, ISA 버스, EISA 버스, MCA(MicroChannel Architecture) 버스, PCI 버스, PCI-X 버스, PCI 익스프레스(PCI-Express) 버스, 또는 NuBus를 포함한 각종 버스들이 중앙 처리 장치(202)를 I/O 장치들(230)에 연결하는데 사용될 수도 있다. I/O 장치가 비디오 디스플레이(202)인 실시예들의 경우, 프로세서(202)는 디스플레이와 통신하기 위해 AGP(Advanced Graphics Port)를 사용할 수 있다. 도 4B는 메인 프로세서(202)가 하이퍼전송(HyperTransport), 고속 I/O(Rapid I/O), 또는 인피니밴드(InfiniBand)를 통해 I/O 장치(230b)와 직접 통신하는 컴퓨터 시스템(200)의 일 실시예를 나타낸다. 도 4B는 또한 로컬 버스들과 직접 통신이 혼합된 실시예를 나타낸다. 즉, 프로세서(202)는 I/O 장치(230b)와 직접 통신하면서 로컬 상호 접속 버스를 사용하여 I/O 장치들(230a)과 통신한다.
다양한 I/O 장치(230)가 컴퓨터 시스템(200)에 존재할 수 있다. 입력 장치들은 키보드, 마우스, 트랙패드, 트랙볼, 마이크로폰, 및 드로잉(drawing) 태블릿을 포함한다. 출력 장치는 비디오 디스플레이, 스피커, 잉크젯 프린터, 레이저 프린터, 및 염료 승화 방식 프린터를 포함한다. I/O 장치는, 또한 하드 디스크 드라이브와 같은 컴퓨터 시스템(200)용 대용량 기억 장치, 3.5-인치, 5.25-인치 디스크 또는 ZIP 디스크와 같은 플로피 디스크를 수납하기 위한 플로피 디스크 드라이브, CD-ROM 드라이브, CD-R/RW 드라이브, DVD-ROM 드라이브, 각종 포맷의 테이프 드라이브, 및 USB 기억 장치, 예컨대 캘리포니아 로스 알라미토스 소재의 트윈테크 인더스트리 인코퍼레이티드(Twintech Industry, Inc.)에서 제조한 장치의 USB 플래시 드라이브 라인을 제공할 수 있다.
다른 실시예들에서, I/O 장치(230)는 시스템 버스(220)와 외부 통신 버스 사이의 브리지일 수 있고, 외부 통신 버스는 예컨대 USB 버스, 애플 데스크탑 버스, RS-232 시리얼 접속, SCSI 버스, 파이어와이어(FireWire) 버스, 파이어 와이어 800 버스, 이더넷 버스, 애플토크(AppleTalk) 버스, 기가비트 이더넷 버스, 비동기 전송 모드 버스, HIPPI 버스, 수퍼 HIPPI 버스, 시리얼플러스(SerialPlus) 버스, SCI/LAMP 버스, 파이버채널(FibreChannel) 버스, 또는 시리얼 부착형의 소형 컴퓨터 시스템 인터페이스 버스를 포함한다.
도 4A 및 도 4B에 도시된 종류의 범용 데스크탑 컴퓨터는 일반적으로 작업 스케줄링 및 시스템 자원 액세스를 제어하는 운영체제의 제어 하에서 동작한다. 일반 운영 체제는 미국 워싱턴 레드몬드 소재의 마이크로소프트 코퍼레이션에서 제조된 마이크로소프트 윈도우즈; 캘리포니아 쿠퍼티노 소재의 애플 컴퓨터에서 제조한 MacOS; 뉴욕 아몽크 소재의 인터내셔널 비즈니스 머신즈(International Business Machines)에서 제조한 OS/2; 유타 솔트레이크 시티 소재의 칼데라 코퍼레이션(Caldera Corp.)에서 제공한 무료 이용가능 운영체제인 리눅스 등을 포함한다.
클라이언트 장치(20)가 모바일 장치인 실시예들의 경우, 클라이언트 장치는 JAVA-구동형 셀룰러 전화기, 예컨대 미국 일리노이 샤움버그 소재의 모토롤라 코퍼레이션에서 제조한 i50sx, i55sr, i58sr, i85s, i88s, i90c, i95cl 또는 iml 1000; 일본 교토 소재의 교세라에서 제조한 6035 또는 7135; 또는 대한민국 서울 소재의 삼성 전자에서 제조한 i300 또는 1330일 수 있다. 클라이언트 장치(20)가 모바일 장치인 다른 실시예들에서, 상기 클라이언트 장치는 PalmOS 운영 체제의 제어 하에서 동작하는 PDA(personal digital assistant)일 수 있으며, PalmOS 운영 체제의 예로는, 캘리포니아 밀피타스 소재의 팜원 인코퍼레이티드(PalmOne, Inc.)에서 제조한 텅스텐(Tungsten) W, VII, VIIx, i705를 들 수 있다. 다른 실시예들에서, 클라이언트 장치(20)는 미국 캘리포니아 팔로 알토 소재의 휴렛 팩커드에서 제조한 iPAQ 4155, iPAQ 5555, iPAQ 1945, iPAQ 2215, 및 iPAQ 4255와 같은 포켓 PC(PocketPC) 운영 체제 하에서 동작하는 PDA(personal digital assistant); 미국 캘리포니아 월넛 소재의 뷰소닉에서 제조한 뷰소닉(ViewSonic) V36; 또는 뉴욕 소재의 도시바 아메리카 인코퍼레이티드(Toshiba America, Inc.)에서 제조한 도시바 포켓PC e405(Toshiba PocketPC e405)일 수 있다. 또 다른 실시예들에서, 클라이언트 장치는 캘리포니아 밀피타스 소재의 팜원 인코퍼레이티드에서 제조한 Treo 180, Treo 270 또는 Treo 600과 같은 통합형 PDA/전화기 장치이다. 또 다른 실시예에서, 클라이언트 장치(20)는 모토롤라 코퍼레이션에서 제조한 MPx200와 같은 포켓 PC 운영 체제의 제어 하에서 동작하는 셀룰러 전화기이다.
도 5는 새로운 운영 체제 로그온 세션을 발생하지 않고 인증된 대화형 사용 자들 간을 고속으로 전환하는 본 발명의 일 실시예에 따른 단계들의 시퀀스의 플로 차트이다. 상기 시퀀스는 전자 장치가 디폴트 프로파일을 이용하여 공유 계정 로그온 세션을 자동으로 생성할 때 시작된다(단계 140). 이어서, 로컬 대화형 사용자는 제3자 GINA를 통해 이미 운영 체제 로그온 세션을 실행하고 있는 전자 장치에 로그 온한다(단계 142). 로그온 정보는 다수의 상이한 방식으로 전자 장치에 의해 수신될 수 있다. 상기 정보는 키보드부터 정보를 입력하는 대화형 사용자를 통해 수신될 수 있다. 대안으로, 대화형 사용자는, 근접식 센서 범위로 들어갈 때 판독되는 근접식 카드에 관한 아이덴티티 정보를 가지고 있음으로써, 스마트 카드를 스마트 카드 판독기에 삽입하여 정보를 입력할 수 있다. 인증은 망막 스캔, 지문, 얼굴 인식 프로세스 또는 다른 생물 측정 정보에 기초할 수 있다. 당업자는, 본 발명의 범위 내에서 벗어나지 않고 전자 장치에 의해 많은 상이한 방식으로 인증 정보가 수신될 수 있음을 인식할 것이다.
본 발명의 일양태에서, 암호화는 대화형 사용자 증명서를 검색하는 프로세스에 추가될 수 있다. 대화형 사용자의 증명서들의 세트는 기억 장소에 암호화 형태로 저장될 수 있다. 대화형 사용자의 식별자들은 또한 암호화될 수 있다. 증명서 전달 애플리케이션은 암호화된 식별자를 스마트 카드에 전달하고 스마트 카드는 식별자를 암호 해독하여 다시 증명서 전달 애플리케이션에 제공한다. 이때, 증명서 전달 애플리케이션은 암호화된 증명서 세트를 암호 해독할 때 암호 해독된 식별자를 이용할 수 있다. 당업자는, 암호 해독 기능을 제공하는 스마트 카드 또는 다른 장치를 포함하는 USB 토큰이 본 발명의 범위 내에서 벗어나지 않고 이용될 수 있음 을 인식할 것이다. 유사하게, 스마트 카드 또는 다른 장치는 다단 암호 해독 프로세스의 일부로 식별자를 부분적으로 암호 해독할 수 있으며, 대화형 사용자 증명서들의 남아 있는 암호 해독/변환은 추가적인 위치에서 일어난다. 암호화된 대화형 사용자 증명서 및 식별자를 처리하는 유사한 암호 해독 기술들을 본 발명의 범위 내에서 고려해야 한다.
대화형 사용자 로그온 정보는, 로컬 대화형 사용자와 연관된 한 세트의 증명서들을 검색하는데 상기 정보를 이용하는 증명서 전달 애플리케이션에 제공된다(단계 144). 상기 세트의 증명서들은 서버-호스팅 도메인, 및 대화형 사용자가 원격 액세스할 수 있는 서버상에서 구동되는 애플리케이션에 대한 관련 퍼미션들 및 특권들을 제공한다(단계 146). 이어서, 대화형 사용자의 세션이 자발적으로 또는 비자발적으로 인터럽트된다. 예컨대, 병원에서, 윈도우즈(WINDOWS) 키오스크를 사용하는 의사는 환자를 간호하도록 호출될 수 있다. 의사는 선택을 행하거나, 스마트 카드를 뽑거나, 또는 근접식 카드의 센서 범위 이탈과 같은 다른 방식으로 세션을 확실하게 분리할 수 있다. 대안으로, 세션은 의사가 떠난 후에 타임아웃 파라미터가 초과됨으로써 분리될 수 있다. 원격 세션의 인터럽트시에, 원격 세션이 저장되고 의사를 위해 개시된 로컬 애플리케이션들이 닫힌다(단계 148). 운영 체제 로그온 세션은 중단되지 않고 계속 유지된다.
로컬 대화형 사용자가 전자 장치로 복귀하면, 대화형 사용자는 자신이 복귀하는 이전의 대화형 사용자 또는 새로운 대화형 사용자인지를 판단할 것으로 추정된다(단계 149). 이전의 대화형 사용자가 전자 장치에 다시 로그 온하려는 다음 대화형 사용자이면, 원격 세션이 복원된다(단계 150). 전자 장치를 액세스하는 대화형 사용자가 새로운 대화형 사용자이면(단계 152), 제1 대화형 사용자에 대한 이전의 원격 세션이, 새로운 대화형 사용자 정보가 제3자 GINA에 입력된 후에 운영 체제 로그온 세션으로부터 언맵핑된다. 대신에, 새로운 대화형 사용자에 대한 새로운 세션이 서버상에서 시작되거나 복원된다. 병원 예로 돌아가서, 제2 의사가 제1 의사에 이어 사용하는 경우, 제2 의사는 새로운 로그온 세션을 개시할 필요 없이, 그리고 로밍 프로파일을 검색할 필요없이, 그리고 서버 호스팅 도메인 및 서버 호스팅 애플리케이션에 대한 인증 패스워드를 개별적으로 입력할 필요 없이 고속으로 인증될 수 있을 것이다. 동시에, 제2 의사는 제1 의사의 원격 세션에 액세스할 수 없다. 한 가지 구현예에서는, 다른 대화형 사용자가 전자 장치에 로그 온하는 경우, 제1 의사의 중단된 원격 세션이 소정의 시간 기간 동안 저장되며, 위에서 설명한 인증 절차 후 병원에서 상이한 전자 장치로 복원될 수 있다. 다른 구현예에서는, 대화형 사용자의 원격 세션은, 대화형 사용자가 자신이 이전에 사용하고 있었던 동일 전자 장치에 다시 로그 온하더라도 닫히기 전에 미리 결정된 시간 기간 동안 저장될 뿐이다.
본 발명의 일 양태에서, 클라이언트 장치를 액세스하는 대화형 사용자는 다른 장치상에서 대화형 사용자에 의해 개시된, 복원되는 이전에 저장된 원격 세션을 가진다. 본 발명의 다른 양태에서, 대화형 사용자는, 전자 장치상의 로컬 애플리케이션들이 개시되기 전에 추가적인 인증을 위해 프롬프트(prompt)를 제공받는다. 본 발명의 추가적인 양태에서, 세션 시작 스크립트(script)들이 자동으로 개시되어 애플리케이션들을 인증한다.
본 발명은 하나 이상의 제조 물품(article of manufacture) 상에서 또는 그 제조 물품에서 구현되는 하나 이상의 컴퓨터-판독가능 프로그램들로서 제공될 수 있다. 제조 물품은 플로피 디스크, 하드 디스크, 컴팩트 디스크, DVD(digital versatile disc), 플래시 메모리 카드, PROM, RAM, ROM, 또는 자기 테이프일 수 있다. 일반적으로, 컴퓨터-판독가능 프로그램들은 임의 프로그래밍 언어로 구현될 수 있다. 사용될 수 있는 언어들의 일부 예는 C, C++, C#, 또는 JAVA를 포함한다. 소프트웨어 프로그램들은 오브젝트 코드로서 하나 이상의 제조 물품 상에 또는 그 제조 물품에 저장될 수 있다.
본 발명의 범위를 벗어나지 않고 일정한 변화들이 행해질 수 있으므로, 상기한 설명에 포함되거나 첨부 도면에 도시된 모드 사항은 예시적인 것이며 글자 그대로의 의미로 해석되지 않도록 의도한 것이다. 당업자들은 여기서 도시하고 설명한 시스템 구성들은 본 발명의 범위 내에 속하는 다수의 가능한 시스템 구성들의 예임을 알 것이다. 마찬가지로, 예시된 플로 차트들에 이용된 단계들의 시퀀스는 예이며 본 발명의 범위 내에서 가능한 단계들의 유일한 시퀀스가 아니다. 유사하게, 여기서 언급한 데이터 구조들 이외의 데이터 구조는 본 발명의 범위 내에서 벗어나지 않고 데이터를 유지하는데 이용될 수 있다.
본 발명의 일 실시예는 공유 계정으로부터 사용자의 원격 세션에 대한 퍼미션 기반 액세스를 가능하게 하기 위해 증명서 전달 애플리케이션을 사용함으로써 공유 계정에 기초하여 운영 체제 로그온 세션에서 대화형 사용자를 고속 인증하는 메커니즘을 제공한다. 본 발명은 클라이언트가 새로운 로컬 대화형 사용자와 연관된 새로운 로그온 세션을 먼저 설정하지 않고도 로컬 대화형 사용자들을 전환하고, 새로운 대화형 사용자를 인증하며, 원격 세션을 전환하는 능력을 제공한다. 본 발명은 또한, 클라이언트 장치에서 대화형 사용자들의 고속 전환을 허용하면서도 대화형 로컬 사용자의 애플리케이션들(로컬 및 원격)에 대한 액세스를 제한하기 위해 운영 체제 로그온 세션에서 발견되는 통상의 록킹 메커니즘을 변경한다.

Claims (32)

  1. 기존의 로그온 세션에 대한 퍼미션 기반 액세스를 제공하는 시스템에 있어서,
    복수의 세트의 대화형 사용자 증명서들을 저장하되, 각 세트의 증명서들은 다른 대화형 사용자와 연관되고 적어도 하나의 애플리케이션과 서버 호스팅 도메인의 액세스 레벨 중 적어도 하나에 대한 적어도 하나의 퍼미션 레벨을 나타내는 기억 장소;
    클라이언트와 연결되어 상기 클라이언트의 제1 로컬 대화형 사용자에 대한 세션을 호스팅하는 서버로서, 상기 클라이언트는 공유 계정에 대한 액티브 운영 체제 로그온 세션을 실행하고, 상기 액티브 운영 체제 로그온 세션은 특별한 대화형 사용자와 연관되지 않은 디폴트 사용자 프로파일과 설정되는 상기 서버;
    상기 서버 및 상기 클라이언트와 통신하는 증명서 전달 애플리케이션을 포함하되,
    상기 증명서 전달 애플리케이션은 상기 클라이언트를 통해 상기 제1 로컬 대화형 사용자를 식별하는 식별자를 수신하고, 상기 기억 장소로부터 상기 제1 로컬 대화형 사용자에 대한 제1 세트의 증명서들을 검색하는데 상기 식별자를 이용하며, 상기 제1 세트의 증명서들은 상기 증명서 전달 애플리케이션에 의해 상기 서버에 전달되고, 상기 제1 세트의 증명서들은 상기 제1 로컬 대화형 사용자를 상기 제1 로컬 대화형 사용자에 대한 상기 서버 호스팅 세션에 맵핑시키는데 이용되는 퍼미 션 기반 액세스 제공 시스템.
  2. 제 1 항에 있어서,
    상기 서버는 상기 클라이언트로부터 원격 위치된 퍼미션 기반 액세스 제공 시스템.
  3. 제 1 항에 있어서,
    상기 클라이언트에 위치되어, 스마트 카드를 통해 상기 제1 로컬 대화형 사용자로부터 상기 식별자를 수신하는 스마트 카드 판독기를 더 포함하는 퍼미션 기반 액세스 제공 시스템.
  4. 제 1 항에 있어서,
    상기 클라이언트와 통신하고, 망막 스캔, 지문 분석, 소프트웨어 기반 얼굴 인식 프로세스, 및 근접 감지 프로세스 중 하나를 통해 상기 식별자를 수신하는데 사용되는 입력 장치를 더 포함하는 퍼미션 기반 액세스 제공 시스템.
  5. 전자 장치에서 액티브 운영 체제 로그온 세션에 대한 퍼미션 기반 액세스를 제공하는 방법에 있어서,
    공유 계정에 대한 액티브 운영 체제 로그온 세션을 전자 장치상에 호스팅하되, 상기 전자 장치는 서버와 통신하고, 상기 공유 계정은 특별한 대화형 사용자와 연관되지 않은 디폴트 사용자 프로파일과 설정되는 단계;
    상기 전자 장치를 통해 제1 로컬 대화형 사용자를 식별하는 제1 식별자를 수신하는 단계;
    상기 제1 로컬 대화형 사용자에 대한 제1 세트의 증명서들을 검색하는데 상기 제1 식별자를 이용하되, 상기 제1 세트의 증명서들은 상기 전자 장치 및 상기 서버가 액세스가능한 위치에 저장되고, 적어도 하나의 애플리케이션과 상기 제1 로컬 대화형 사용자와 연관된 서버 호스팅 세션에 대한 액세스 레벨 중 적어도 하나에 대한 적어도 하나의 퍼미션 레벨을 나타내는 단계; 및
    상기 제1 세트의 증명서들을 이용하여 상기 제1 로컬 대화형 사용자를 상기 제1 대화형 사용자에 대한 서버 호스팅 세션에 맵핑하는 단계를 포함하는 퍼미션 기반 액세스 제공 방법.
  6. 제 5 항에 있어서,
    상기 서버 호스팅 세션은 상기 제1 로컬 대화형 사용자에 대한 상기 제1 세트의 증명서들의 수신에 기초하여 개시되는 퍼미션 기반 액세스 제공 방법.
  7. 제 5 항에 있어서,
    상기 제1 로컬 대화형 사용자가 맵핑되는 상기 서버 호스팅 세션은 상기 제1 로컬 대화형 사용자와 연관된 이전에 저장된 세션인 퍼미션 기반 액세스 제공 방법.
  8. 제 5 항에 있어서,
    상기 액티브 운영 체제 로그온 세션을 상기 전자 장치에 록킹하는 단계;
    상기 전자 장치를 통해 제2 로컬 대화형 사용자를 식별하는 제2 식별자를 수신하는 단계; 및
    상기 제2 식별자의 수신시 상기 제1 로컬 대화형 사용자에 대한 상기 서버 호스팅 세션으로부터 상기 제1 로컬 대화형 사용자를 언맵핑하는 단계를 더 포함하되, 상기 제1 로컬 대화형 사용자는 상기 운영 체제 로그온 세션이 여전히 액티브 상태인 동안에 언맵핑(unmapping)되는 퍼미션 기반 액세스 제공 방법.
  9. 제 8 항에 있어서,
    상기 제2 로컬 대화형 사용자에 대한 제2 세트의 증명서들을 검색하는데 상기 제2 식별자를 이용하되, 상기 제2 세트의 증명서들은 상기 전자 장치 및 상기 서버가 액세스가능한 위치에 저장되고 적어도 하나의 애플리케이션과 상기 제2 로컬 대화형 사용자에 대한 서버 호스팅 세션에 대한 액세스 레벨 중 적어도 하나에 대한 적어도 하나의 퍼미션 레벨을 나타내는 단계;
    상기 제2 세트의 증명서들을 이용하여 상기 제2 로컬 대화형 사용자를 상기 제2 대화형 사용자에 대한 상기 서버 호스팅 세션에 맵핑하는 단계; 및
    상기 제2 로컬 대화형 사용자를 상기 제2 대화형 사용자에 대한 상기 서버 호스팅 세션에 맵핑한 이후에, 항상 액티브 상태인 동작 세션을 상기 전자 장치에 언록킹하는 단계를 더 포함하는 퍼미션 기반 액세스 제공 방법.
  10. 제 8 항에 있어서,
    상기 액티브 운영 체제 로그온 세션은 상기 제1 로컬 대화형 사용자로부터의 지시의 수신 후 록킹되는 퍼미션 기반 액세스 제공 방법.
  11. 제 8 항에 있어서,
    상기 액티브 운영 체제 로그온 세션은 시간 파라미터의 만료 후 록킹되는 퍼미션 기반 액세스 제공 방법.
  12. 제 8 항에 있어서,
    상기 액티브 운영 체제 로그온 세션은 상기 제1 로컬 대화형 사용자가 상기 전자 장치로부터 미리 결정된 거리만큼 이동하였음을 나타내는 통지를 근접식 센서로부터 수신할 때 록킹되는 퍼미션 기반 액세스 제공 방법.
  13. 제 5 항에 있어서,
    상기 제1 식별자는 스마트 카드로부터 전송되는 퍼미션 기반 액세스 제공 방법.
  14. 제 13 항에 있어서,
    상기 제1 식별자는 암호화 형태로 상기 스마트 카드에 의해 수신되고, 상기 스마트 카드에 의해 적어도 부분적으로 암호 해독되는 퍼미션 기반 액세스 제공 방법.
  15. 제 5 항에 있어서,
    상기 제1 식별자는 암호화되고,
    상기 복수의 세트의 대화형 사용자 증명서들을 암호화 형태로 저장하는 단계;
    상기 제1 식별자를 암호 해독하는 단계;
    상기 기억 장소로부터 암호화된 세트의 증명서들을 검색하는 단계; 및
    상기 기억 장소로부터 검색된 상기 암호화된 세트의 증명서들을 암호 해독하는데 상기 암호 해독된 제1 식별자를 이용하는 단계를 더 포함하는 퍼미션 기반 액세스 제공 방법.
  16. 제 5 항에 있어서,
    상기 제1 식별자는 망막 스캔, 지문 분석, 소프트웨어 기반 얼굴 인식 시스템, 및 근접식 센서 중 하나를 사용하여 수신되는 퍼미션 기반 액세스 제공 방법.
  17. 제 5 항에 있어서,
    상기 제1 세트의 증명서들은 상이한 애플리케이션들에 대한 상이한 퍼미션 레벨들을 포함하는 퍼미션 기반 액세스 제공 방법.
  18. 제 5 항에 있어서,
    상기 제1 로컬 대화형 사용자를 상기 제1 대화형 사용자와 연관된 서버 호스팅 세션에 맵핑하는 단계 이후에,
    상기 제1 로컬 대화형 사용자가 상기 전자 장치에 의해 호스팅되는 로컬 애플리케이션을 구동하는 것을 가능하게 하기 전에 상기 제1 로컬 대화형 사용자로부터 추가적인 식별자들을 수신하는 단계를 더 포함하는 퍼미션 기반 액세스 제공 방법.
  19. 제 5 항에 있어서,
    상기 서버 호스팅 세션에 대한 액세스 레벨은 판독과 판독-기록 중 하나인 퍼미션 기반 액세스 제공 방법.
  20. 제 5 항에 있어서,
    상기 서버와 상기 전자 장치는 네트워크를 통해 통신하는 퍼미션 기반 액세스 제공 방법.
  21. 전자 장치에서 기존의 액티브 운영 체제 로그온 세션에 대한 퍼미션 기반 액세스를 제공하는 방법에 있어서,
    공유 계정에 대한 액티브 운영 체제 로그온 세션을 전자 장치상에 호스팅하되, 상기 공유 계정은 특별한 대화형 사용자와 연관되지 않은 디폴트 사용자 프로파일과 처음에 설정되는 단계;
    제1 로컬 대화형 사용자를 식별하는 제1 식별자를 수신하는 단계;
    상기 제1 로컬 대화형 사용자에 대한 제1 세트의 증명서들을 검색하는데 상기 제1 식별자를 이용하되, 상기 제1 세트의 증명서들은 적어도 하나의 애플리케이션에 대한 적어도 하나의 퍼미션 레벨을 나타내는 단계; 및
    상기 제1 세트의 증명서들을 이용하여 상기 적어도 하나의 애플리케이션을 액세스하는 단계를 포함하는 퍼미션 기반 액세스 제공 방법.
  22. 제 21 항에 있어서,
    상기 액티브 운영 체제 로그온 세션을 상기 전자 장치상에 록킹하는 단계;
    상기 전자 장치를 통해 제2 로컬 대화형 사용자를 식별하는 식별자를 수신하는 단계;
    상기 제2 로컬 대화형 사용자에 대한 제2 세트의 증명서들을 검색하는데 상기 식별자를 이용하되, 상기 제2 세트의 증명서들은 상기 전자 장치가 액세스가능한 위치에 저장되고 적어도 하나의 애플리케이션에 대한 적어도 하나의 퍼미션 레벨을 나타내는 단계;
    상기 제2 로컬 대화형 사용자에 대한 식별자의 수신 이후에 상기 액티브 운영 체제 로그온 세션을 상기 전자 장치상에 언록킹하는 단계; 및
    상기 제2 세트의 증명서들을 이용하여 상기 적어도 하나의 애플리케이션을 액세스하는 단계를 더 포함하는 퍼미션 기반 액세스 제공 방법.
  23. 제 21 항에 있어서,
    상기 제1 세트의 증명서들은 상이한 애플리케이션들에 대한 상이한 퍼미션 레벨들을 포함하는 퍼미션 기반 액세스 제공 방법.
  24. 기존의 세션에 대한 퍼미션 기반 액세스를 제공하는 컴퓨터 판독가능 프로그램 수단이 구현된 제조 물품에 있어서,
    공유 계정에 대한 액티브 운영 체제 로그온 세션을 전자 장치상에 호스팅하되, 상기 전자 장치는 서버와 통신하고, 상기 공유 계정은 특별한 대화형 사용자와 연관되지 않은 디폴트 사용자 프로파일과 설정되는 컴퓨터 판독가능 프로그램 수단;
    상기 전자 장치를 통해 제1 로컬 대화형 사용자를 식별하는 제1 식별자를 수신하는 컴퓨터 판독가능 프로그램 수단;
    상기 제1 로컬 대화형 사용자에 대한 제1 세트의 증명서들을 검색하는데 상기 제1 식별자를 이용하되, 상기 제1 세트의 증명서들은 상기 전자 장치 및 상기 서버가 액세스가능한 위치에 저장되고, 적어도 하나의 애플리케이션과 상기 제1 로컬 대화형 사용자와 연관된 서버 호스팅 세션에 대한 액세스 레벨 중 적어도 하나에 대한 적어도 하나의 퍼미션 레벨을 나타내는 컴퓨터 판독가능 프로그램 수단; 및
    상기 제1 세트의 증명서들을 이용하여 상기 제1 로컬 대화형 사용자를 상기 제1 대화형 사용자에 대한 서버 호스팅 세션에 맵핑하는 컴퓨터 판독가능 프로그램 수단을 포함하는 제조 물품.
  25. 제 24 항에 있어서,
    상기 액티브 운영 체제 로그온 세션을 상기 전자 장치에 록킹하는 컴퓨터 판독가능 프로그램 수단;
    상기 전자 장치를 통해 제2 로컬 대화형 사용자를 식별하는 제2 식별자를 수신하는 컴퓨터 판독가능 프로그램 수단; 및
    상기 제2 식별자의 수신시 상기 제1 로컬 대화형 사용자에 대한 상기 서버 호스팅 세션으로부터 상기 제1 로컬 대화형 사용자를 언맵핑하는 컴퓨터 판독가능 프로그램 수단을 더 포함하되, 상기 제1 로컬 대화형 사용자는 상기 운영 체제 로그온 세션이 여전히 액티브 상태인 동안에 언맵핑되는 제조 물품.
  26. 제 25 항에 있어서,
    상기 제2 로컬 대화형 사용자에 대한 제2 세트의 증명서들을 검색하는데 상기 제2 식별자를 이용하되, 상기 제2 세트의 증명서들은 상기 전자 장치 및 상기 서버가 액세스가능한 위치에 저장되고, 적어도 하나의 애플리케이션과 상기 제2 로컬 대화형 사용자에 대한 서버 호스팅 세션에 대한 액세스 레벨 중 적어도 하나에 대한 적어도 하나의 퍼미션 레벨을 나타내는 컴퓨터 판독가능 프로그램 수단;
    상기 제2 세트의 증명서들을 이용하여 상기 제2 로컬 대화형 사용자를 상기 제2 대화형 사용자에 대한 상기 서버 호스팅 세션에 맵핑하는 컴퓨터 판독가능 프로그램 수단; 및
    상기 제2 로컬 대화형 사용자를 상기 제2 대화형 사용자에 대한 상기 서버 호스팅 세션에 맵핑한 이후에, 항상 액티브 상태인 동작 세션을 상기 전자 장치에 언록킹하는 컴퓨터 판독가능 프로그램 수단을 더 포함하는 제조 물품.
  27. 제 24 항에 있어서,
    상기 제1 세트의 증명서들은 상이한 애플리케이션들에 대한 상이한 퍼미션 레벨들을 포함하는 제조 물품.
  28. 제 24 항에 있어서,
    망막 스캔, 지문 분석, 소프트웨어 기반 얼굴 인식 시스템, 및 근접식 센서 중 하나를 통해 식별자를 수신하는 컴퓨터 판독가능 프로그램 수단을 더 포함하는 제조 물품.
  29. 제 24 항에 있어서,
    스마트 카드에서 상기 전자 장치와 통신하여 제1 식별자를 암호화 형태로 수신하기 위한 컴퓨터 판독가능 프로그램 수단을 더 포함하는 제조 물품.
  30. 제 29 항에 있어서,
    상기 스마트 카드는 상기 식별자를 적어도 부분적으로 암호 해독하는 제조 물품.
  31. 제 30 항에 있어서,
    암호 해독된 식별자는 암호화된 세트의 대화형 사용자 증명서들을 암호 해독하는데 이용되는 제조 물품.
  32. 제 24 항에 있어서,
    상기 제1 식별자는 암호화되고,
    상기 복수의 세트의 대화형 사용자 증명서들을 암호화 형태로 저장하는 컴퓨터 판독가능 프로그램 수단;
    상기 제1 식별자를 암호 해독하는 컴퓨터 판독가능 프로그램 수단;
    상기 기억 장소로부터 암호화된 세트의 증명서들을 검색하는 컴퓨터 판독가능 프로그램 수단; 및
    상기 기억 장소로부터 검색된 상기 암호화된 세트의 증명서들을 암호 해독하는데 상기 암호 해독된 제1 식별자를 이용하는 컴퓨터 판독가능 프로그램 수단을 더 포함하는 제조 물품.
KR1020077018494A 2005-01-14 2006-01-13 공유 계정을 이용한 퍼미션-기반 액세스 시스템 및 방법 KR20070114127A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/035,834 US7562226B2 (en) 2005-01-14 2005-01-14 System and method for permission-based access using a shared account
US11/035,834 2005-01-14

Publications (1)

Publication Number Publication Date
KR20070114127A true KR20070114127A (ko) 2007-11-29

Family

ID=36579942

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077018494A KR20070114127A (ko) 2005-01-14 2006-01-13 공유 계정을 이용한 퍼미션-기반 액세스 시스템 및 방법

Country Status (9)

Country Link
US (1) US7562226B2 (ko)
EP (1) EP1836639B1 (ko)
JP (1) JP2008527574A (ko)
KR (1) KR20070114127A (ko)
AU (1) AU2006204770A1 (ko)
CA (1) CA2594816C (ko)
HK (1) HK1115651A1 (ko)
IL (1) IL184595A0 (ko)
WO (1) WO2006076664A2 (ko)

Families Citing this family (54)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7117239B1 (en) 2000-07-28 2006-10-03 Axeda Corporation Reporting the state of an apparatus to a remote computer
US8108543B2 (en) 2000-09-22 2012-01-31 Axeda Corporation Retrieving data from a server
US7185014B1 (en) 2000-09-22 2007-02-27 Axeda Corporation Retrieving data from a server
US7254601B2 (en) 2001-12-20 2007-08-07 Questra Corporation Method and apparatus for managing intelligent assets in a distributed environment
US7178149B2 (en) 2002-04-17 2007-02-13 Axeda Corporation XML scripting of soap commands
US7966418B2 (en) 2003-02-21 2011-06-21 Axeda Corporation Establishing a virtual tunnel between two computer programs
US20070002367A1 (en) * 2005-06-29 2007-01-04 Eric Yuan Methods and apparatuses for selectively controlling a remote device
US7636851B2 (en) * 2005-06-30 2009-12-22 Microsoft Corporation Providing user on computer operating system with full privileges token and limited privileges token
WO2007007397A1 (ja) * 2005-07-12 2007-01-18 Fujitsu Limited 共用管理プログラム、共用管理方法、端末装置、及び共用管理システム
US8661540B2 (en) 2005-10-07 2014-02-25 Imation Corp. Method and apparatus for secure credential entry without physical entry
US8185605B2 (en) * 2006-07-18 2012-05-22 Cisco Technology, Inc. Methods and apparatuses for accessing an application on a remote device
US20080018649A1 (en) * 2006-07-18 2008-01-24 Zheng Yuan Methods and apparatuses for utilizing an application on a remote device
US7630386B2 (en) * 2006-09-11 2009-12-08 Eci Telecom Ltd. Method for providing broadband communication service
US8370479B2 (en) 2006-10-03 2013-02-05 Axeda Acquisition Corporation System and method for dynamically grouping devices based on present device conditions
EP2076864A1 (en) * 2006-10-23 2009-07-08 Real Enterprise Solutions Development B.V. Methods, programs and a system of providing remote access
US7904572B2 (en) * 2006-11-10 2011-03-08 Canon Denshi Kabushiki Kaisha Method, apparatus, and medium for controlling access to and setting for features of an imaging processing device
US8065397B2 (en) 2006-12-26 2011-11-22 Axeda Acquisition Corporation Managing configurations of distributed devices
US8819814B1 (en) * 2007-04-13 2014-08-26 United Services Automobile Association (Usaa) Secure access infrastructure
US7996885B2 (en) * 2007-04-19 2011-08-09 International Business Machines Corporation Password application
US8539568B1 (en) 2007-10-03 2013-09-17 Courion Corporation Identity map creation
WO2009076447A1 (en) * 2007-12-10 2009-06-18 Courion Corporaton Policy enforcement using esso
US20090320125A1 (en) * 2008-05-08 2009-12-24 Eastman Chemical Company Systems, methods, and computer readable media for computer security
US8533797B2 (en) * 2008-06-12 2013-09-10 Microsoft Corporation Using windows authentication in a workgroup to manage application users
JP2012515959A (ja) * 2009-01-21 2012-07-12 イメイション・コーポレイション 多重認証処理機能を有する着脱可能メモリ格納装置
US20100268831A1 (en) * 2009-04-16 2010-10-21 Microsoft Corporation Thin Client Session Management
US20110040979A1 (en) * 2009-08-14 2011-02-17 Michael Monasterio Networked secure logon system
US20110231940A1 (en) * 2010-03-19 2011-09-22 Microsoft Corporation Credential-based access to data
US9110581B2 (en) 2010-10-05 2015-08-18 Citrix Systems, Inc. Touch support for remoted applications
US20120278216A1 (en) * 2011-04-28 2012-11-01 Nokia Corporation Method and apparatus for sharing a self-created account for storing assets
CN103765845A (zh) * 2011-07-01 2014-04-30 惠普发展公司,有限责任合伙企业 提供对信息的访问
US9280377B2 (en) 2013-03-29 2016-03-08 Citrix Systems, Inc. Application with multiple operation modes
US9143529B2 (en) 2011-10-11 2015-09-22 Citrix Systems, Inc. Modifying pre-existing mobile applications to implement enterprise security policies
US9215225B2 (en) * 2013-03-29 2015-12-15 Citrix Systems, Inc. Mobile device locking with context
US8886670B2 (en) 2011-11-11 2014-11-11 International Business Machines Corporation Securely accessing remote systems
US9529993B2 (en) 2012-03-02 2016-12-27 International Business Machines Corporation Policy-driven approach to managing privileged/shared identity in an enterprise
US9774658B2 (en) 2012-10-12 2017-09-26 Citrix Systems, Inc. Orchestration framework for connected devices
US20140108558A1 (en) 2012-10-12 2014-04-17 Citrix Systems, Inc. Application Management Framework for Secure Data Sharing in an Orchestration Framework for Connected Devices
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US20140109176A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Configuring and providing profiles that manage execution of mobile applications
US20140108793A1 (en) 2012-10-16 2014-04-17 Citrix Systems, Inc. Controlling mobile device access to secure data
US9971585B2 (en) 2012-10-16 2018-05-15 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
US20140109072A1 (en) 2012-10-16 2014-04-17 Citrix Systems, Inc. Application wrapping for application management framework
WO2014064676A1 (en) * 2012-10-22 2014-05-01 Cyber-Ark Software Ltd. Maintaining continuous operational access augmented with user authentication and action attribution in shared environments
US9369449B2 (en) 2013-03-29 2016-06-14 Citrix Systems, Inc. Providing an enterprise application store
US9355223B2 (en) 2013-03-29 2016-05-31 Citrix Systems, Inc. Providing a managed browser
US9985850B2 (en) 2013-03-29 2018-05-29 Citrix Systems, Inc. Providing mobile device management functionalities
US10284627B2 (en) 2013-03-29 2019-05-07 Citrix Systems, Inc. Data management for an application with multiple operation modes
CN104184701A (zh) * 2013-05-21 2014-12-03 腾讯科技(深圳)有限公司 一种第三方应用的登录方法及装置、终端
DE102013013179A1 (de) * 2013-08-07 2015-02-12 Giesecke & Devrient Gmbh Verfahren zum Betreiben eines Sicherheitselements
US9363264B2 (en) * 2013-11-25 2016-06-07 At&T Intellectual Property I, L.P. Networked device access control
US10679141B2 (en) * 2015-09-29 2020-06-09 International Business Machines Corporation Using classification data as training set for auto-classification of admin rights
US20180096130A1 (en) * 2016-09-30 2018-04-05 Salesforce.Com, Inc. Associating multiple e-learning development environments with a single user
US11599620B2 (en) 2019-01-11 2023-03-07 Xanesti Technology Services, Llc Securing access to group accounts on a computer system
US20220400012A1 (en) * 2021-06-14 2022-12-15 Samsung Electronics Co., Ltd. Systems and methods for shared device access control

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5550981A (en) * 1994-06-21 1996-08-27 At&T Global Information Solutions Company Dynamic binding of network identities to locally-meaningful identities in computer networks
US6308273B1 (en) 1998-06-12 2001-10-23 Microsoft Corporation Method and system of security location discrimination
US6138120A (en) * 1998-06-19 2000-10-24 Oracle Corporation System for sharing server sessions across multiple clients
US7188180B2 (en) 1998-10-30 2007-03-06 Vimetx, Inc. Method for establishing secure communication link between computers of virtual private network
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
US7188181B1 (en) * 1999-06-30 2007-03-06 Sun Microsystems, Inc. Universal session sharing
US6704873B1 (en) 1999-07-30 2004-03-09 Accenture Llp Secure gateway interconnection in an e-commerce based environment
US6609128B1 (en) 1999-07-30 2003-08-19 Accenture Llp Codes table framework design in an E-commerce architecture
US6633878B1 (en) 1999-07-30 2003-10-14 Accenture Llp Initializing an ecommerce database framework
US6601233B1 (en) 1999-07-30 2003-07-29 Accenture Llp Business components framework
US6718535B1 (en) 1999-07-30 2004-04-06 Accenture Llp System, method and article of manufacture for an activity framework design in an e-commerce based environment
US7100195B1 (en) 1999-07-30 2006-08-29 Accenture Llp Managing user information on an e-commerce system
US6523027B1 (en) 1999-07-30 2003-02-18 Accenture Llp Interfacing servers in a Java based e-commerce architecture
US6748420B1 (en) * 1999-11-23 2004-06-08 Cisco Technology, Inc. Methods and apparatus for providing shared access to an application
US6871346B1 (en) 2000-02-11 2005-03-22 Microsoft Corp. Back-end decoupled management model and management system utilizing same
US6845383B1 (en) 2000-06-19 2005-01-18 International Business Machines Corporation System and method for managing concurrent scheduled or on-demand replication of subscriptions
US7210167B2 (en) * 2001-01-08 2007-04-24 Microsoft Corporation Credential management
US20030046586A1 (en) 2001-09-05 2003-03-06 Satyam Bheemarasetti Secure remote access to data between peers
US20030046587A1 (en) 2001-09-05 2003-03-06 Satyam Bheemarasetti Secure remote access using enterprise peer networks
US7296077B2 (en) * 2002-12-12 2007-11-13 International Business Machines Corporation Method and system for web-based switch-user operation
US7694328B2 (en) 2003-10-21 2010-04-06 Google Inc. Systems and methods for secure client applications
US20050262357A1 (en) 2004-03-11 2005-11-24 Aep Networks Network access using reverse proxy

Also Published As

Publication number Publication date
EP1836639A2 (en) 2007-09-26
EP1836639B1 (en) 2013-10-30
IL184595A0 (en) 2008-11-03
WO2006076664A2 (en) 2006-07-20
JP2008527574A (ja) 2008-07-24
US7562226B2 (en) 2009-07-14
US20060161783A1 (en) 2006-07-20
CA2594816C (en) 2016-10-11
AU2006204770A1 (en) 2006-07-20
HK1115651A1 (en) 2008-12-05
CA2594816A1 (en) 2006-07-20
WO2006076664A3 (en) 2006-12-07

Similar Documents

Publication Publication Date Title
US7562226B2 (en) System and method for permission-based access using a shared account
US10614200B2 (en) Login interface selection for computing environment user login
US9967261B2 (en) Method and system for secure authentication
US9769179B2 (en) Password authentication
JP4323473B2 (ja) コンピュータセキュリティシステムおよび方法
US8799666B2 (en) Secure user authentication using biometric information
US7831833B2 (en) System and method for key recovery
US9047456B2 (en) System and method for controlling access to a resource
TWI353154B (en) Method, system and computer readable medium for pr
US8348157B2 (en) Dynamic remote peripheral binding
US11514138B1 (en) Authentication translation
US20100146608A1 (en) Multi-Level Secure Collaborative Computing Environment
US20100186078A1 (en) Personal Portable Secured Network Access System
AU2006303992A1 (en) Systems and methods for facilitating distributed authentication
US20190098009A1 (en) Systems and methods for authentication using authentication management server and device application
US20170006066A1 (en) Electronic security container
US20080172750A1 (en) Self validation of user authentication requests
JP2012118833A (ja) アクセス制御方法
JP2006107182A (ja) アクセス制御システム及びプログラム
JP2005208993A (ja) 利用者認証システム
US9479492B1 (en) Authored injections of context that are resolved at authentication time

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid