信頼できるネットワークノードへのアクセス特権を制御するための方法とシステム
【課題】 ローカルネットワークへの外部からのアクセスに対する強いセキュリティを維持しながら、ネットワーク内の緩いセキュリティを実現する。
【解決手段】 ユーザは、非管理ネットワーク内のセキュリティ保護されたグループにおける信頼できるノードに、ログインパスワードの選択、入力、記憶を求められることなくアクセスできる。コンピュータ上で、そのユーザのためにこのような安全なブランクパスワードまたはワンクリックログオンアカウントを確立するために、強いランダムパスワードが生成され、記憶され、そのアカウントはブランクパスワードアカウントと指定される。デバイスがセキュリティ保護されたネットワークグループの一部であれば、強いランダムパスワードは他の信頼できるノードに複写される。ブランクパスワードアカウントを持つユーザがコンピュータにログインしたいとき、記憶された強いランダムパスワードが読み出され、そのユーザは認証される。
【解決手段】 ユーザは、非管理ネットワーク内のセキュリティ保護されたグループにおける信頼できるノードに、ログインパスワードの選択、入力、記憶を求められることなくアクセスできる。コンピュータ上で、そのユーザのためにこのような安全なブランクパスワードまたはワンクリックログオンアカウントを確立するために、強いランダムパスワードが生成され、記憶され、そのアカウントはブランクパスワードアカウントと指定される。デバイスがセキュリティ保護されたネットワークグループの一部であれば、強いランダムパスワードは他の信頼できるノードに複写される。ブランクパスワードアカウントを持つユーザがコンピュータにログインしたいとき、記憶された強いランダムパスワードが読み出され、そのユーザは認証される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般的には、コンピュータおよびコンピュータネットワークに関し、より詳しくは、ユーザにログインパスワードを選択、入力、記憶させることなく、管理されていないコンピュータネットワーク内の信頼されたノードへのユーザアカウントの安全なアクセスを提供する方法とシステムに関する。
【背景技術】
【0002】
大規模コンピュータネットワークは、ユーザアクセスを管理するための高度な管理スキームを特徴とする。大型ネットワークには、典型的には、複数のドメインを含み、その各々に、ドメイン内のマシンに関するユーザ名、パスワードおよび許可情報のデータベースを備えたプライマリ・ドメイン・コントローラを有する。認可されたユーザは、同じユーザ名とパスワードを使って、そのドメイン内のどのマシンにもログオンできる。あるマシンにログオンしている間、ユーザによるパスワードの変更は、同じドメイン内の他のマシンにより認識される。
【0003】
これに対し、ホームネットワーク等の小規模ローカルネットワークは、一般に管理されておらず、中央集中化、自動化された方法でアカウント情報を扱うための専用の「常にオン状態の(always-on)」装置を持たない。管理されていないネットワーク内のマシンは、典型的には、同一のハブまたはルータに接続され、編成が厳格ではない、ピアツーピアのワークグループとして動作するのが普通である。このようなネットワークは、特徴として、ユーザにとって不便であった。例えば、最近まで、ユーザは、ネットワークの中で自分がアクセスしたいと希望する個々のデバイスにローカルアカウントを確立しなければならなかった。ユーザがひとつのマシンのパスワードを変更すると、その変更は、自動的にグループ内の残りのマシンにも複写されることはなかった。
【0004】
小規模の管理されていないネットワークに関する改良が、本願と同じ譲受人に譲渡された係属中の特許出願2件に開示されている。2003年4月15日に出願された出願番号第10/414,354号、「中央集中管理機能のない小規模なセキュリティ保護されたコンピュータネットワークグループ」では、相互に信頼するデバイスの安全なネットワークグループを編成するためのプラットフォームと方法が提供される。グループ内のコンピュータ間の共通のユーザアクセスおよびリソース共有は、ユーザアカウント、ユーザプロファイルおよびユーザセキュリティ識別のデータベースを各マシンに複写することによって実現される。認可されたユーザは、同じユーザ名とパスワードを使って、そのグループのどのコンピュータにでもログオンできる。ユーザがコンピュータのうちのいずれかについての自分のパスワードを変更すると、その変更はグループ内の残りのマシンに複写される。2003年10月23日に出願された出願番号第10/691,872号、「コンピュータネットワーク内で集合的なデータビューを生成するためのシステムと方法」では、ネットワーク内のマシン間のコンテンツを管理するシステムと方法が提供される。ユーザは、マシンにそのユーザのセキュリティ識別プロファイルに関連付けられたローカルコンテンツクエリを発行させ、このクエリを、ネットワーク内の複数のデバイスに分配する。クエリへのレスポンスがまとめられて、集合的なビューが生成される。米国特許出願第10/414,354号と10/691,872号の各々を、引用をもって本願に援用する。
【発明の開示】
【発明が解決しようとする課題】
【0005】
コンピュータのユーザは、利便性と自分たちのデータへの不正アクセスに対するセキュリティの両方を求める。ホームネットワークのユーザは、典型的には、外部からの不正な侵入に対する保護を必要とするが、ネットワーク内部にはそれほどのセキュリティを期待しない。なぜなら、普通、認可されたユーザしかそのネットワーク内のマシンに物理的にアクセスできないからである。独立型のコンピュータや小規模ネットワークのユーザが、別のユーザアカウントを持っているのは、主としてセキュリティ上の理由からではなく、データの分離や各ユーザの便宜のためである。従って、単独のマシンにおいて、ユーザは、一般的に、パスワードによって保護されていないアカウントの便利さ(より正確には、パスワードが空白のアカウント)を好む。しかしながら、Microsoft(登録商標)Windows(登録商標)のオペレーティングシステムに基づくホームネットワークの場合、そのネットワーク内の別のマシンからあるマシンにアクセスするには、ユーザはそのマシンにパスワードで保護されたアカウントを持つ必要がある。
【0006】
ユーザは、パスワードを推測するための辞書攻撃、総当り攻撃による不正アクセスに対する防衛のために、比較的複雑な、つまり「強い」アカウントパスワードを採用するよう勧められる。強いパスワードは、少なくとも7文字の長さで、数字と記号を含む。しかしながら、強いパスワードは比較的覚えにくく、コンピュータに打ち込みにくい。ユーザは、普通、単純で覚えやすいバスワードを好むが、このようなパスワードでは侵入者からの攻撃に弱い。ホームネットワークにおいて、ユーザが遠隔的にデータにアクセスしたい場合、ユーザは、パスワードを持っていなければならないが、強いパスワードを採用していないと、そのユーザのデータについては望ましいセキュリティが確保されない。一部のコンピュータシステムは、「オートログオン」機能を持ち、ここにユーザのパスワードが記憶され、ユーザがログインする際に読み出されるが、オートログオンアカウントについては、ユーザがそのアカウントについて選択したパスワードと同程度のセキュリティしか得られない。
【課題を解決するための手段】
【0007】
本発明は、非管理ネットワーク内のセキュリティ保護されたグループを構成する信頼できるノードのような単数または複数のコンピュータへのアクセスを、ネットワークへの外部からのアクセスに対する強い(strong)セキュリティを犠牲にすることなく、ローカルネットワーク内の緩い(loose)セキュリティの利点を実現するような方法で管理するための方法とシステムを提供することに関する。一実施形態において、あるネットワーク内のマシンに物理的にアクセスできるユーザは、パスワードの特定、入力、記憶を求められることなく、信頼できるどのノードからでもデータにアクセスすることができる。
【0008】
本発明の一側面によれば、セキュリティ保護されたネットワークグループ内のノードへのアクセスを制御するシステムが提供される。このシステムは、セキュリティ保護されたネットワークグループを構成する複数の、相互に信頼できるノードと、セキュリティ保護されたネットワークグループへの外部からのアクセスに対しては強いセキュリティを保ちながら、セキュリティ保護されたネットワークグループ内の緩いセキュリティを提供するためのメカニズムを含む。そのようなメカニズムのひとつにより、セキュリティ保護されたネットワークグループ内のユーザは、認証クレデンシャルの入力を求められずに、他のノードにアクセスすることができる。
【0009】
本発明の別の側面によれば、ユーザが単数または複数のコンピュータにアクセスできるようにするための方法が開示される。第一のコンピュータにおいて、新しいユーザアカウントのために強いランダムパスワードが生成される。このアカウントは、例えばフラッグを立てる等の方法によって、ブランクパスワードアカウントに指定され、強いランダムパスワードはデータベース等に記憶される。一実施形態において、ユーザは、ブランクパスワードアカウントまたは従来のアカウントを確立するよう選択できる。そのコンピュータが信頼できるノードで構成されるセキュリティ保護されたネットワークグループの一部であると、強いランダムパスワードはグループ内の他のノードに複写される。
【0010】
本発明のまた別の側面によれば、ユーザによるコンピュータへのアクセスを制御する方法が提供される。ユーザは、どのアカウントでマシンにログオンするかを選択する。選択されたアカウントが、フラッグをチェックする等の方法によって、ブランクパスワードアカウントであると判断されると、記憶されたそのアカウントに関係する強いランダムパスワードが、例えば、データベースを検索する等の方法によって読み出される。すると、ユーザは、そのパスワードに基づいて認証される。そのアカウントがブランクパスワードアカウントではない場合、ユーザは、従来のログインと同様に、パスワードを入力するよう指示される。
【0011】
本発明を利用して、バイオメトリックにより認証されたアカウントとして確立されたユーザアカウントのために、ブランクパスワードまたはワンクリックログオン機能を提供することができる。本発明の実施形態は、管理されていないおよび管理されているネットワークのどちらでも、また、独立型のマシンにおいても実現できる。さらに、本発明はハードウェアもしくはソフトウェアまたはその組み合わせの全部または一部において実現できる。
【発明を実施するための最良の形態】
【0012】
一般的に説明すれば、本発明は、セキュリティ保護されたローカルネットワーク内の信頼できるノード等のコンピュータへのアクセスを、ローカルネットワークへの外部からのアクセスに対する強いセキュリティを犠牲にすることなく、ネットワーク内の緩いセキュリティの利点が実現できるような方法で制御するシステムと方法を提供する。一実施形態において、ネットワーク内のマシンに物理的にアクセスできるユーザは、パスワードの特定、入力、記憶を求められることなく、信頼できるどのノードからでもデータにアクセスできる。それにより、独立型マシンのブランクパスワードアカウントの開放的で便利なモデルは、セキュリティ保護されたネットワークにも拡張される。ユーザアカウントがブランクパスワードアカウントとして確立されると、暗号を用いた強いランダムパスワードが生成され、生成されたこのパスワードは、セキュリティアカウントデータベースの中に安全に記憶される。本発明の実施形態において、ユーザは、単純にユーザタイル等をクリックするだけで、ネットワーク内のマシンにログインする。従って、本発明によるブランクパスワードアカウントは、「ワンクリックログオン」アカウントということができる。ユーザのセキュリティアカウント情報がネットワークの複数のマシンに複写されるため、ユーザは、これらすべてのマシンにワンクリックログオンでアクセスできる。
【0013】
図1を参照すると、本発明が、一実施形態として、少数のコンピューティングデバイスよりなる管理されていないローカルネットワーク100内で実現されている。このようなネットワークは、多くのホームネットワーク、小規模の企業用ネットワークの典型的なものである。ローカルネットワーク100は、ドメインコントローラ等の中央集中的な管理コンポーネントを持たないという意味で、管理されていない。図のローカルネットワーク100は、ネットワークハブまたはスイッチ104と、これに接続された複数のコンピューティングデバイスを備える。コンピュータ間の接続は、有線でも無線でもよい。例えば、デバイス116は、アクセスポイント114を介して、無線によってネットワークと通信する。ローカルネットワーク100のようなネットワークにおいて利用できるコンピューティングデバイスには、例えば、パーソナルコンピュータ、ハンドヘルドコンピューティングデバイス、携帯型情報端末、ラップトップコンピュータ、携帯電話、デジタルカメラ、プロセッサとメモリを有する電子機器、特定用途コンピューティングデバイスその他がある。このような機器の主な詳細は当業者にとって基本的事項であり、ここで詳しく説明する必要はない。
【0014】
図1に示されるように、ネットワーク100内のマシンのサブセットであるデバイス106,108,110,118は、セキュリティネットワークグループ102(デバイスをつなぐ点線で図式的に示す)を構成し、中央集中的な管理コンポーネントを必要とせずに、ユーザアクセスとリソース共有にわたる全グループ規模の制御を提供する。本発明の文脈において、「セキュリティ保護されたネットワークグループ(secured network group)」とは、セキュリティポリシーとアクセス制御がグループ全体にわたって実現され、グループ内のリソース共有をユーザ単位で可能にしながら、グループ外のコンピュータやユーザによる不正なアクセスやリソースの使用を防止することを意味する。セキュリティ保護されたネットワークグループ内のデバイスは、デバイス間の信頼を築き、グループ内のユーザアカウントデータやユーザプロファイルデータ等の情報を共有している。セキュリティ保護されたネットワークグループは、特定のネットワークトポロジーに依存しない。新しいデバイスをセキュリティ保護されたネットワークグループ102に参入させたり、グループ内のデバイスをセキュリティ保護されたグループから離し、あるいは場合によっては、グループから排除したりすることができる。
【0015】
グループ102内の各コンピューティングデバイスは、ユーザアカウントデータを含むセキュリティ情報のデータベースまたはこれと同等のものを保持する。ユーザアカウントデータには、認可を受けた各ユーザに関連付けられ、ユーザアカウントを特定するための内部プロセスで使用される固有のセキュリティ識別子(SID)が含まれる。代表的な実施形態において、SIDは、長さの異なる数値である。セキュリティ保護されたネットワークグループが形成された後、グループ内の各マシンに関するセキュリティ情報は、同じグループ内の他のマシンに複写される。セキュリティ情報が複写されることにより、有効なアカウントを持つユーザは、グループ内のどのコンピュータにもログオンできる。コンピュータネットワーク内のセキュリティプロファイル情報の複写に関するより詳細な説明は、本願と同じ譲受人に譲渡された係属中の出願である、2003年4月15日に出願された出願番号、第10/414,354号、「中央集中管理機能のない小規模なセキュリティ保護されたコンピュータネットワークグループ」(引用をもって本願に援用する)に記載されている。
【0016】
セキュリティ保護されたグループ102内にある、コンピュータ118等のデバイスは、ローカルセキュリティ機関(LSA)122、セキュリティサポートプロバイダ(SSP)120、セキュリティアカウントマネージャ(SAM)124、記憶されたセキュリティ情報126、認証エンジン(“WinLogon”)128およびユーザログインディスプレイ(“LogonUT”)130を備える。これらのコンポーネントについては、図4を参照しながら詳しく説明する。
【0017】
図2は、本発明のさまざまな面に従って新しいワンクリックログオンアカウントが作成されるプロセスを図示する。図2において、開始ブロックの後、プロセスは判断ブロック200に進み、ここで、新規アカウントがワンクリックログオンアカウントか、あるいはユーザが選択したパスワードを使用する従来のアカウントかが判断される。本発明一実施形態において、新規ユーザアカウントは、ユーザがそのアカウントについてパスワードを指定することを選択しないかぎり、ワンクリックログオンアカウントとして確立される。新規アカウントがワンクリックアカウントではない場合、ブロック202において、ユーザはパスワードを入力するよう指示される。他方、ブロック204において、新規アカウントのために暗号的に強いランダムパスワードが生成される。強いランダムパスワードが使用されることから、そのアカウントが作成されるマシンは、辞書攻撃やその他の不正な外部からのアクセスから保護される。ブロック206に進むと、データフラッグが立てられ、そのアカウントがワンクリックログオンアカウントであることが示される。フラッグは、そのアカウントに関する制御フラッグ一式のうちのひとつとすることができる。ブロック208において、生成された強いランダムパスワードを含むユーザのセキュリティプロファイル情報は、データベースに安全に記憶される。次に、プロセスは終了ブロックに進む。ユーザ固有の強いランダムパスワードを含むユーザアカウント情報は、セキュリティ保護されたネットワーク環境内の他の信頼できるマシンに複写される。その後、ユーザは、パスワードを入力せずに、セキュリティ保護されたグループ内のどの信頼できるマシンにもログオンできる。当業者であれば、これらのステップの一部の順序は任意であり、本発明の本質から逸脱することなく、変更できることがわかるであろう。
【0018】
図3は、ユーザがマシン上の既存のワンクリックアカウントにログオンするプロセスを図示する。開始ブロックの後、プロセスは、判断ブロック300に進み、ここで、このアカウントについてワンクリックログオンフラッグが立てられているか否かが判断される。フラッグが立てられていないと、ブロック302で、ユーザは、パスワードの入力を指示される。フラッグが立てられていれば、パスワード入力ダイアログは、ログインユーザインタフェースによって表示されず、プロセスはブロック304へと進み、ここで、そのユーザのワンクリックアカウントに関連付けられた強いランダムパスワードがデータベースで検索される。パスワードは、ブロック306でSSPに移され、認証を受けた状態となったユーザは、ブロック308でログインを完了する。その後、プロセスは終了ブロックに進む。
【0019】
本発明の一実施形態に従って構成されたコンピューティングデバイスのコンポーネントが、図4のブロック図にさらに示されている。コンピュータ400は、LSA402を備える。図の実施形態において、LSA402は、ローカルシステムセキュリティポリシーを担当するユーザモードプロセスである。セキュリティポリシーは、ユーザ認証、パスワードポリシー、ユーザとグループに与えられる特権、システムセキュリティ監査の設定等の事柄を管理する。SSP404は、図の実施形態において、セキュリティプロトコルパッケージをアプリケーションが利用できるようにする、動的にリンクされたライブラリよりなる。SAM406は、セキュリティ情報データベース408によってユーザアカウント情報を保持するサービスである。デバイス400はまた、LSA402とログインユーザインタフェース412と交信するユーザ認証エンジン410を備える。
【0020】
本発明のさまざまな面によれば、ユーザがワンクリックログオンアカウントによってコンピュータ400へのログオンを試みると、ユーザ認証エンジン410は、ログインユーザインタフェースコンポーネント412にコンピュータ400と関連付けられたユーザアカウントを表示させる。ユーザインタフェース412により、ユーザが自分のアカウントのユーザアカウントタイルまたはその他の表示をクリックすると、ユーザインタフェースコンポーネント412は、ユーザの選択をユーザ認証エンジン410に伝える。ユーザ認証エンジン410は、ユーザが選択されたユーザアカウントによってログオンすることを希望しているとLSA402に知らせる。LSA402の中で、SSP404は、SAM406を使ってデータベース408からパスワードを読み出し、これを使って、ワンクリックログオンアカウントによってマシン400にログオンしようとしているユーザを認証することができるようにする。
【0021】
本発明の実施形態は、バイオメトリックにより認証されたアカウントについても使用できる。バイオメトリックによるアカウント保護において、ユーザは、入力装置に親指の指紋等の個別の身体的特徴を提示することによってマシンに安全にログオンする。本発明の一実施形態によれば、ユーザがバイオメトリックによるアカウントを確立すると、上記のワンクリックログオンアカウントと同様に、そのアカウントについての強いランダムパスワードが生成され、セキュリティアカウントデータベースの中に記憶される。ユーザがあるマシンにログオンしようとすると、SSPは、データベースからその強いランダムパスワードを読み出し、そのアカウントは、ユーザログインについて認証される。
【0022】
本発明の別の実施形態は、管理されていないネットワーク環境だけでなく、管理されているネットワーク環境にも取り入れることができる。本発明により、パスワードダイアログを表示しないログインインタフェースをはじめとする、簡便ユーザインタフェースの使用も可能となる。これまでは独立型のマシンのブランクパスワードアカウントのみに限られていた簡便ユーザインタフェースも、本発明により、セキュリティ保護されたネットワークグループに使用することが可能となる。
【0023】
本明細書では、本発明を実施するために発明者が知る最良の態様を含む、本発明の好ましい実施形態について説明した。本発明の原理が応用される多くの可能な実施形態を鑑み、本明細書で説明した実施形態は例にすぎず、本発明の範囲を限定するものと解釈してはならない。当業者であれば、本発明の精神から逸脱することなく、上記の実施形態を、配置や詳細部分において変更できることがわかるであろう。従って、本明細書で説明する発明は、添付の請求範囲およびその同等物の中で実現できるすべての実施形態を予期するものである。
【図面の簡単な説明】
【0024】
【図1】少数のコンピューティングデバイスがひとつのセキュリティ保護されたネットワークグループに構成された、本発明の実施形態を使用することのできるローカルコンピュータネットワークを示す略図である。
【図2】本発明の実施形態に従ってユーザが新たなワンクリックログオンアカウントを作成することにかかわるステップを示すフロー図である。
【図3】本発明の実施形態に従ってユーザがワンクリックログオンアカウントによってマシンにログオンすることにかかわるステップを示すフロー図である。
【図4】本発明の実施形態に従って構成されたコンピュータのコンポーネントを示すブロック図である。
【符号の説明】
【0025】
100 ローカルネットワーク
102 ネットワークグループ
104 ハブまたはスイッチ
106,108,110,112,116,118 デバイス
114 アクセスポイント
120,404 セキュリティサポートプロバイダ(SSP)
122,402 ローカルセキュリティ機関(LSA)
124,406 セキュリティアカウントマネージャ(SAM)
126 セキュリティ情報
128,410 認証エンジン
130 ユーザログインディスプレイ
400 コンピュータ
408 セキュリティ情報データベース
412 ログインユーザインタフェース
【技術分野】
【0001】
本発明は、一般的には、コンピュータおよびコンピュータネットワークに関し、より詳しくは、ユーザにログインパスワードを選択、入力、記憶させることなく、管理されていないコンピュータネットワーク内の信頼されたノードへのユーザアカウントの安全なアクセスを提供する方法とシステムに関する。
【背景技術】
【0002】
大規模コンピュータネットワークは、ユーザアクセスを管理するための高度な管理スキームを特徴とする。大型ネットワークには、典型的には、複数のドメインを含み、その各々に、ドメイン内のマシンに関するユーザ名、パスワードおよび許可情報のデータベースを備えたプライマリ・ドメイン・コントローラを有する。認可されたユーザは、同じユーザ名とパスワードを使って、そのドメイン内のどのマシンにもログオンできる。あるマシンにログオンしている間、ユーザによるパスワードの変更は、同じドメイン内の他のマシンにより認識される。
【0003】
これに対し、ホームネットワーク等の小規模ローカルネットワークは、一般に管理されておらず、中央集中化、自動化された方法でアカウント情報を扱うための専用の「常にオン状態の(always-on)」装置を持たない。管理されていないネットワーク内のマシンは、典型的には、同一のハブまたはルータに接続され、編成が厳格ではない、ピアツーピアのワークグループとして動作するのが普通である。このようなネットワークは、特徴として、ユーザにとって不便であった。例えば、最近まで、ユーザは、ネットワークの中で自分がアクセスしたいと希望する個々のデバイスにローカルアカウントを確立しなければならなかった。ユーザがひとつのマシンのパスワードを変更すると、その変更は、自動的にグループ内の残りのマシンにも複写されることはなかった。
【0004】
小規模の管理されていないネットワークに関する改良が、本願と同じ譲受人に譲渡された係属中の特許出願2件に開示されている。2003年4月15日に出願された出願番号第10/414,354号、「中央集中管理機能のない小規模なセキュリティ保護されたコンピュータネットワークグループ」では、相互に信頼するデバイスの安全なネットワークグループを編成するためのプラットフォームと方法が提供される。グループ内のコンピュータ間の共通のユーザアクセスおよびリソース共有は、ユーザアカウント、ユーザプロファイルおよびユーザセキュリティ識別のデータベースを各マシンに複写することによって実現される。認可されたユーザは、同じユーザ名とパスワードを使って、そのグループのどのコンピュータにでもログオンできる。ユーザがコンピュータのうちのいずれかについての自分のパスワードを変更すると、その変更はグループ内の残りのマシンに複写される。2003年10月23日に出願された出願番号第10/691,872号、「コンピュータネットワーク内で集合的なデータビューを生成するためのシステムと方法」では、ネットワーク内のマシン間のコンテンツを管理するシステムと方法が提供される。ユーザは、マシンにそのユーザのセキュリティ識別プロファイルに関連付けられたローカルコンテンツクエリを発行させ、このクエリを、ネットワーク内の複数のデバイスに分配する。クエリへのレスポンスがまとめられて、集合的なビューが生成される。米国特許出願第10/414,354号と10/691,872号の各々を、引用をもって本願に援用する。
【発明の開示】
【発明が解決しようとする課題】
【0005】
コンピュータのユーザは、利便性と自分たちのデータへの不正アクセスに対するセキュリティの両方を求める。ホームネットワークのユーザは、典型的には、外部からの不正な侵入に対する保護を必要とするが、ネットワーク内部にはそれほどのセキュリティを期待しない。なぜなら、普通、認可されたユーザしかそのネットワーク内のマシンに物理的にアクセスできないからである。独立型のコンピュータや小規模ネットワークのユーザが、別のユーザアカウントを持っているのは、主としてセキュリティ上の理由からではなく、データの分離や各ユーザの便宜のためである。従って、単独のマシンにおいて、ユーザは、一般的に、パスワードによって保護されていないアカウントの便利さ(より正確には、パスワードが空白のアカウント)を好む。しかしながら、Microsoft(登録商標)Windows(登録商標)のオペレーティングシステムに基づくホームネットワークの場合、そのネットワーク内の別のマシンからあるマシンにアクセスするには、ユーザはそのマシンにパスワードで保護されたアカウントを持つ必要がある。
【0006】
ユーザは、パスワードを推測するための辞書攻撃、総当り攻撃による不正アクセスに対する防衛のために、比較的複雑な、つまり「強い」アカウントパスワードを採用するよう勧められる。強いパスワードは、少なくとも7文字の長さで、数字と記号を含む。しかしながら、強いパスワードは比較的覚えにくく、コンピュータに打ち込みにくい。ユーザは、普通、単純で覚えやすいバスワードを好むが、このようなパスワードでは侵入者からの攻撃に弱い。ホームネットワークにおいて、ユーザが遠隔的にデータにアクセスしたい場合、ユーザは、パスワードを持っていなければならないが、強いパスワードを採用していないと、そのユーザのデータについては望ましいセキュリティが確保されない。一部のコンピュータシステムは、「オートログオン」機能を持ち、ここにユーザのパスワードが記憶され、ユーザがログインする際に読み出されるが、オートログオンアカウントについては、ユーザがそのアカウントについて選択したパスワードと同程度のセキュリティしか得られない。
【課題を解決するための手段】
【0007】
本発明は、非管理ネットワーク内のセキュリティ保護されたグループを構成する信頼できるノードのような単数または複数のコンピュータへのアクセスを、ネットワークへの外部からのアクセスに対する強い(strong)セキュリティを犠牲にすることなく、ローカルネットワーク内の緩い(loose)セキュリティの利点を実現するような方法で管理するための方法とシステムを提供することに関する。一実施形態において、あるネットワーク内のマシンに物理的にアクセスできるユーザは、パスワードの特定、入力、記憶を求められることなく、信頼できるどのノードからでもデータにアクセスすることができる。
【0008】
本発明の一側面によれば、セキュリティ保護されたネットワークグループ内のノードへのアクセスを制御するシステムが提供される。このシステムは、セキュリティ保護されたネットワークグループを構成する複数の、相互に信頼できるノードと、セキュリティ保護されたネットワークグループへの外部からのアクセスに対しては強いセキュリティを保ちながら、セキュリティ保護されたネットワークグループ内の緩いセキュリティを提供するためのメカニズムを含む。そのようなメカニズムのひとつにより、セキュリティ保護されたネットワークグループ内のユーザは、認証クレデンシャルの入力を求められずに、他のノードにアクセスすることができる。
【0009】
本発明の別の側面によれば、ユーザが単数または複数のコンピュータにアクセスできるようにするための方法が開示される。第一のコンピュータにおいて、新しいユーザアカウントのために強いランダムパスワードが生成される。このアカウントは、例えばフラッグを立てる等の方法によって、ブランクパスワードアカウントに指定され、強いランダムパスワードはデータベース等に記憶される。一実施形態において、ユーザは、ブランクパスワードアカウントまたは従来のアカウントを確立するよう選択できる。そのコンピュータが信頼できるノードで構成されるセキュリティ保護されたネットワークグループの一部であると、強いランダムパスワードはグループ内の他のノードに複写される。
【0010】
本発明のまた別の側面によれば、ユーザによるコンピュータへのアクセスを制御する方法が提供される。ユーザは、どのアカウントでマシンにログオンするかを選択する。選択されたアカウントが、フラッグをチェックする等の方法によって、ブランクパスワードアカウントであると判断されると、記憶されたそのアカウントに関係する強いランダムパスワードが、例えば、データベースを検索する等の方法によって読み出される。すると、ユーザは、そのパスワードに基づいて認証される。そのアカウントがブランクパスワードアカウントではない場合、ユーザは、従来のログインと同様に、パスワードを入力するよう指示される。
【0011】
本発明を利用して、バイオメトリックにより認証されたアカウントとして確立されたユーザアカウントのために、ブランクパスワードまたはワンクリックログオン機能を提供することができる。本発明の実施形態は、管理されていないおよび管理されているネットワークのどちらでも、また、独立型のマシンにおいても実現できる。さらに、本発明はハードウェアもしくはソフトウェアまたはその組み合わせの全部または一部において実現できる。
【発明を実施するための最良の形態】
【0012】
一般的に説明すれば、本発明は、セキュリティ保護されたローカルネットワーク内の信頼できるノード等のコンピュータへのアクセスを、ローカルネットワークへの外部からのアクセスに対する強いセキュリティを犠牲にすることなく、ネットワーク内の緩いセキュリティの利点が実現できるような方法で制御するシステムと方法を提供する。一実施形態において、ネットワーク内のマシンに物理的にアクセスできるユーザは、パスワードの特定、入力、記憶を求められることなく、信頼できるどのノードからでもデータにアクセスできる。それにより、独立型マシンのブランクパスワードアカウントの開放的で便利なモデルは、セキュリティ保護されたネットワークにも拡張される。ユーザアカウントがブランクパスワードアカウントとして確立されると、暗号を用いた強いランダムパスワードが生成され、生成されたこのパスワードは、セキュリティアカウントデータベースの中に安全に記憶される。本発明の実施形態において、ユーザは、単純にユーザタイル等をクリックするだけで、ネットワーク内のマシンにログインする。従って、本発明によるブランクパスワードアカウントは、「ワンクリックログオン」アカウントということができる。ユーザのセキュリティアカウント情報がネットワークの複数のマシンに複写されるため、ユーザは、これらすべてのマシンにワンクリックログオンでアクセスできる。
【0013】
図1を参照すると、本発明が、一実施形態として、少数のコンピューティングデバイスよりなる管理されていないローカルネットワーク100内で実現されている。このようなネットワークは、多くのホームネットワーク、小規模の企業用ネットワークの典型的なものである。ローカルネットワーク100は、ドメインコントローラ等の中央集中的な管理コンポーネントを持たないという意味で、管理されていない。図のローカルネットワーク100は、ネットワークハブまたはスイッチ104と、これに接続された複数のコンピューティングデバイスを備える。コンピュータ間の接続は、有線でも無線でもよい。例えば、デバイス116は、アクセスポイント114を介して、無線によってネットワークと通信する。ローカルネットワーク100のようなネットワークにおいて利用できるコンピューティングデバイスには、例えば、パーソナルコンピュータ、ハンドヘルドコンピューティングデバイス、携帯型情報端末、ラップトップコンピュータ、携帯電話、デジタルカメラ、プロセッサとメモリを有する電子機器、特定用途コンピューティングデバイスその他がある。このような機器の主な詳細は当業者にとって基本的事項であり、ここで詳しく説明する必要はない。
【0014】
図1に示されるように、ネットワーク100内のマシンのサブセットであるデバイス106,108,110,118は、セキュリティネットワークグループ102(デバイスをつなぐ点線で図式的に示す)を構成し、中央集中的な管理コンポーネントを必要とせずに、ユーザアクセスとリソース共有にわたる全グループ規模の制御を提供する。本発明の文脈において、「セキュリティ保護されたネットワークグループ(secured network group)」とは、セキュリティポリシーとアクセス制御がグループ全体にわたって実現され、グループ内のリソース共有をユーザ単位で可能にしながら、グループ外のコンピュータやユーザによる不正なアクセスやリソースの使用を防止することを意味する。セキュリティ保護されたネットワークグループ内のデバイスは、デバイス間の信頼を築き、グループ内のユーザアカウントデータやユーザプロファイルデータ等の情報を共有している。セキュリティ保護されたネットワークグループは、特定のネットワークトポロジーに依存しない。新しいデバイスをセキュリティ保護されたネットワークグループ102に参入させたり、グループ内のデバイスをセキュリティ保護されたグループから離し、あるいは場合によっては、グループから排除したりすることができる。
【0015】
グループ102内の各コンピューティングデバイスは、ユーザアカウントデータを含むセキュリティ情報のデータベースまたはこれと同等のものを保持する。ユーザアカウントデータには、認可を受けた各ユーザに関連付けられ、ユーザアカウントを特定するための内部プロセスで使用される固有のセキュリティ識別子(SID)が含まれる。代表的な実施形態において、SIDは、長さの異なる数値である。セキュリティ保護されたネットワークグループが形成された後、グループ内の各マシンに関するセキュリティ情報は、同じグループ内の他のマシンに複写される。セキュリティ情報が複写されることにより、有効なアカウントを持つユーザは、グループ内のどのコンピュータにもログオンできる。コンピュータネットワーク内のセキュリティプロファイル情報の複写に関するより詳細な説明は、本願と同じ譲受人に譲渡された係属中の出願である、2003年4月15日に出願された出願番号、第10/414,354号、「中央集中管理機能のない小規模なセキュリティ保護されたコンピュータネットワークグループ」(引用をもって本願に援用する)に記載されている。
【0016】
セキュリティ保護されたグループ102内にある、コンピュータ118等のデバイスは、ローカルセキュリティ機関(LSA)122、セキュリティサポートプロバイダ(SSP)120、セキュリティアカウントマネージャ(SAM)124、記憶されたセキュリティ情報126、認証エンジン(“WinLogon”)128およびユーザログインディスプレイ(“LogonUT”)130を備える。これらのコンポーネントについては、図4を参照しながら詳しく説明する。
【0017】
図2は、本発明のさまざまな面に従って新しいワンクリックログオンアカウントが作成されるプロセスを図示する。図2において、開始ブロックの後、プロセスは判断ブロック200に進み、ここで、新規アカウントがワンクリックログオンアカウントか、あるいはユーザが選択したパスワードを使用する従来のアカウントかが判断される。本発明一実施形態において、新規ユーザアカウントは、ユーザがそのアカウントについてパスワードを指定することを選択しないかぎり、ワンクリックログオンアカウントとして確立される。新規アカウントがワンクリックアカウントではない場合、ブロック202において、ユーザはパスワードを入力するよう指示される。他方、ブロック204において、新規アカウントのために暗号的に強いランダムパスワードが生成される。強いランダムパスワードが使用されることから、そのアカウントが作成されるマシンは、辞書攻撃やその他の不正な外部からのアクセスから保護される。ブロック206に進むと、データフラッグが立てられ、そのアカウントがワンクリックログオンアカウントであることが示される。フラッグは、そのアカウントに関する制御フラッグ一式のうちのひとつとすることができる。ブロック208において、生成された強いランダムパスワードを含むユーザのセキュリティプロファイル情報は、データベースに安全に記憶される。次に、プロセスは終了ブロックに進む。ユーザ固有の強いランダムパスワードを含むユーザアカウント情報は、セキュリティ保護されたネットワーク環境内の他の信頼できるマシンに複写される。その後、ユーザは、パスワードを入力せずに、セキュリティ保護されたグループ内のどの信頼できるマシンにもログオンできる。当業者であれば、これらのステップの一部の順序は任意であり、本発明の本質から逸脱することなく、変更できることがわかるであろう。
【0018】
図3は、ユーザがマシン上の既存のワンクリックアカウントにログオンするプロセスを図示する。開始ブロックの後、プロセスは、判断ブロック300に進み、ここで、このアカウントについてワンクリックログオンフラッグが立てられているか否かが判断される。フラッグが立てられていないと、ブロック302で、ユーザは、パスワードの入力を指示される。フラッグが立てられていれば、パスワード入力ダイアログは、ログインユーザインタフェースによって表示されず、プロセスはブロック304へと進み、ここで、そのユーザのワンクリックアカウントに関連付けられた強いランダムパスワードがデータベースで検索される。パスワードは、ブロック306でSSPに移され、認証を受けた状態となったユーザは、ブロック308でログインを完了する。その後、プロセスは終了ブロックに進む。
【0019】
本発明の一実施形態に従って構成されたコンピューティングデバイスのコンポーネントが、図4のブロック図にさらに示されている。コンピュータ400は、LSA402を備える。図の実施形態において、LSA402は、ローカルシステムセキュリティポリシーを担当するユーザモードプロセスである。セキュリティポリシーは、ユーザ認証、パスワードポリシー、ユーザとグループに与えられる特権、システムセキュリティ監査の設定等の事柄を管理する。SSP404は、図の実施形態において、セキュリティプロトコルパッケージをアプリケーションが利用できるようにする、動的にリンクされたライブラリよりなる。SAM406は、セキュリティ情報データベース408によってユーザアカウント情報を保持するサービスである。デバイス400はまた、LSA402とログインユーザインタフェース412と交信するユーザ認証エンジン410を備える。
【0020】
本発明のさまざまな面によれば、ユーザがワンクリックログオンアカウントによってコンピュータ400へのログオンを試みると、ユーザ認証エンジン410は、ログインユーザインタフェースコンポーネント412にコンピュータ400と関連付けられたユーザアカウントを表示させる。ユーザインタフェース412により、ユーザが自分のアカウントのユーザアカウントタイルまたはその他の表示をクリックすると、ユーザインタフェースコンポーネント412は、ユーザの選択をユーザ認証エンジン410に伝える。ユーザ認証エンジン410は、ユーザが選択されたユーザアカウントによってログオンすることを希望しているとLSA402に知らせる。LSA402の中で、SSP404は、SAM406を使ってデータベース408からパスワードを読み出し、これを使って、ワンクリックログオンアカウントによってマシン400にログオンしようとしているユーザを認証することができるようにする。
【0021】
本発明の実施形態は、バイオメトリックにより認証されたアカウントについても使用できる。バイオメトリックによるアカウント保護において、ユーザは、入力装置に親指の指紋等の個別の身体的特徴を提示することによってマシンに安全にログオンする。本発明の一実施形態によれば、ユーザがバイオメトリックによるアカウントを確立すると、上記のワンクリックログオンアカウントと同様に、そのアカウントについての強いランダムパスワードが生成され、セキュリティアカウントデータベースの中に記憶される。ユーザがあるマシンにログオンしようとすると、SSPは、データベースからその強いランダムパスワードを読み出し、そのアカウントは、ユーザログインについて認証される。
【0022】
本発明の別の実施形態は、管理されていないネットワーク環境だけでなく、管理されているネットワーク環境にも取り入れることができる。本発明により、パスワードダイアログを表示しないログインインタフェースをはじめとする、簡便ユーザインタフェースの使用も可能となる。これまでは独立型のマシンのブランクパスワードアカウントのみに限られていた簡便ユーザインタフェースも、本発明により、セキュリティ保護されたネットワークグループに使用することが可能となる。
【0023】
本明細書では、本発明を実施するために発明者が知る最良の態様を含む、本発明の好ましい実施形態について説明した。本発明の原理が応用される多くの可能な実施形態を鑑み、本明細書で説明した実施形態は例にすぎず、本発明の範囲を限定するものと解釈してはならない。当業者であれば、本発明の精神から逸脱することなく、上記の実施形態を、配置や詳細部分において変更できることがわかるであろう。従って、本明細書で説明する発明は、添付の請求範囲およびその同等物の中で実現できるすべての実施形態を予期するものである。
【図面の簡単な説明】
【0024】
【図1】少数のコンピューティングデバイスがひとつのセキュリティ保護されたネットワークグループに構成された、本発明の実施形態を使用することのできるローカルコンピュータネットワークを示す略図である。
【図2】本発明の実施形態に従ってユーザが新たなワンクリックログオンアカウントを作成することにかかわるステップを示すフロー図である。
【図3】本発明の実施形態に従ってユーザがワンクリックログオンアカウントによってマシンにログオンすることにかかわるステップを示すフロー図である。
【図4】本発明の実施形態に従って構成されたコンピュータのコンポーネントを示すブロック図である。
【符号の説明】
【0025】
100 ローカルネットワーク
102 ネットワークグループ
104 ハブまたはスイッチ
106,108,110,112,116,118 デバイス
114 アクセスポイント
120,404 セキュリティサポートプロバイダ(SSP)
122,402 ローカルセキュリティ機関(LSA)
124,406 セキュリティアカウントマネージャ(SAM)
126 セキュリティ情報
128,410 認証エンジン
130 ユーザログインディスプレイ
400 コンピュータ
408 セキュリティ情報データベース
412 ログインユーザインタフェース
【特許請求の範囲】
【請求項1】
セキュリティ保護されたネットワークグループ内のノードへのアクセスを制御するシステムであって、
前記セキュリティ保護されたネットワークグループを形成する複数の、相互に信頼できるノードと、
前記セキュリティ保護されたネットワークグループへの外部からのアクセスに対する強いセキュリティを保ちながら、前記セキュリティ保護されたネットワークグループ内の緩いセキュリティを提供するメカニズムと
を備えたことを特徴とするシステム。
【請求項2】
請求項1に記載のシステムであって、前記セキュリティ保護されたネットワークグループ内の緩いセキュリティを提供するメカニズムは、前記セキュリティネットワークグループ内のユーザが、認証クレデンシャルの入力を求められることなく、他のノードにアクセスすることを可能にするメカニズムを備えたことを特徴とするシステム。
【請求項3】
請求項1に記載のシステムであって、前記セキュリティ保護されたネットワークグループは、管理されていないネットワーク内のセキュリティ保護されたネットワークグループをさらに備えることを特徴とするシステム。
【請求項4】
請求項1に記載のシステムであって、前記セキュリティ保護されたネットワークグループ内の緩いセキュリティを提供するメカニズムは、各ノードにおいて、
シングルクリックログオンアカウントに関連付けられた強いランダムパスワードを記憶するデータベースと、
ローカルシステムセキュリティ機関と、
ユーザが前記シングルクリックログオンアカウントへのログインを開始すると、前記強いランダムパスワードを読み出すセキュリティサポートプロバイダと、
前記データベースおよび前記セキュリティサポートプロバイダと交信するセキュリティアカウント管理サービスと、
ログインユーザインタフェースコンポーネントと前記ローカルシステムセキュリティ機関と交信し、前記シングルクリックログオンアカウントへのログインを規制する認証エンジンと
を備えたことを特徴とするシステム。
【請求項5】
ユーザが1または複数のコンピュータにアクセスすることを可能にする方法であって、
第一のコンピュータにおいて、
前記ユーザのための新規アカウントの強いランダムパスワードを生成するステップと、
前記新規アカウントをブランクパスワードアカウントに指定するステップと、
前記強いランダムパスワードを記憶するステップと
を備えたことを特徴とする方法。
【請求項6】
請求項5に記載の方法であって、前記強いランダムパスワードを記憶するステップは、前記パスワードを安全に記憶するステップを含むことを特徴とする方法。
【請求項7】
請求項5に記載の方法であって、前記新規アカウントがブランクパスワードアカウントであるか否かを最初に判断するステップをさらに備えたことを特徴とする方法。
【請求項8】
請求項7に記載の方法であって、前記新規アカウントがブランクパスワードアカウントでない場合には、前記ユーザにパスワードを選択するよう指示するステップをさらに備えたことを特徴とする方法。
【請求項9】
請求項7に記載の方法であって、前記新規アカウントがブランクパスワードアカウントであるか否かを最初に判断するステップは、前記ユーザが前記新規アカウントをブランクパスワードアカウントにすると示さないかぎり、前記新規アカウントをブランクパスワードアカウントとして確立するステップをさらに含むことを特徴とする方法。
【請求項10】
請求項5に記載の方法であって、前記新規アカウントをブランクパスワードアカウントに指定するステップは、フラッグを立てるステップをさらに含むことを特徴とする方法。
【請求項11】
請求項5に記載の方法であって、前記強いランダムパスワードを記憶するステップは、前記強いランダムパスワードをデータベースによって記憶するステップをさらに含むことを特徴とする方法。
【請求項12】
請求項5に記載の方法であって、前記1または複数のコンピュータが複数の連結されたコンピュータである場合には、前記強いランダムパスワードを、前記第一のコンピュータ以外の前記複数の連結されたコンピュータの中の各コンピュータに複写するステップをさらに備えたことを特徴とする方法。
【請求項13】
請求項12に記載の方法であって、前記強いランダムパスワードを複写するステップは、セキュリティ保護されたネットワークグループ内の1または複数の信頼できるノードに前記強いランダムパスワードを複写するステップをさらに含むことを特徴とする方法。
【請求項14】
請求項13に記載の方法であって、前記ユーザに対し、前記セキュリティ保護されたネットワークグループに関して、ブランクパスワードアカウント以外のユーザと少なくとも同じアクセス特権を提供するステップをさらに備えたことを特徴とする方法。
【請求項15】
請求項5に記載の方法であって、前記新規アカウントのための前記強いランダムパスワードを生成するステップは、バイオメトリックにより認証されたアカウントのために強いランダムパスワードを生成するステップをさらに含むことを特徴とする方法。
【請求項16】
コンピュータへのユーザのアクセスを制御する方法であって、
前記ユーザにより選択されたアカウントがブランクパスワードアカウントか否かを判断するステップと、
前記アカウントがブランクパスワードアカウントであれば、前記アカウントに関連付けられ、記憶された強いランダムパスワードを読み出すステップと、
前記ユーザを認証するステップと
を備えたことを特徴とする方法。
【請求項17】
請求項16に記載の方法であって、前記アカウントがブランクパスワードアカウントであるか否かを判断するステップは、前記アカウントに関連付けられたフラッグが立てられているか否かを判断するステップをさらに含むことを特徴とする方法。
【請求項18】
請求項16に記載の方法であって、前記アカウントがブランクパスワードアカウントである場合には、前記ユーザにパスワードを入力するよう指示するステップをさらに備えたことを特徴とする方法。
【請求項19】
請求項16に記載の方法であって、前記記憶された強いランダムパスワードを読み出すステップは、データベースを検索するステップをさらに含むことを特徴とする方法。
【請求項20】
請求項16に記載の方法であって、前記ユーザによって選択される前記アカウントがブランクパスワードアカウントであるか否かを判断するステップは、前記アカウントがバイオメトリックによって認証されたアカウントであるか否かを判断するステップをさらに含むことを特徴とする方法。
【請求項21】
ユーザがコンピュータにアクセスできるようにするための、コンピュータ実行可能命令を備えるコンピュータ読取り可能媒体であって、前記命令は、
前記ユーザのための前記アカウントの強いランダムパスワードを生成すること、
前記新規アカウントをブランクパスワードアカウントに指定すること、および、
前記強いランダムパスワードを記憶すること
を備えたことを特徴とする媒体。
【請求項22】
請求項21に記載のコンピュータ読取り可能媒体であって、前記コンピュータがネットワークによって第二のコンピュータに連結されている場合には、前記強いランダムパスワードを前記第二のコンピュータに複写することをさらに備えたことを特徴とする媒体。
【請求項23】
請求項21に記載のコンピュータ読取り可能媒体であって、
前記アカウントにログインするとの前記ユーザによるその後のリクエストがブランクパスワードアカウントへのログインリクエストであるか否かを判断すること、
前記その後のリクエストがブランクパスワードアカウントへのログインリクエストであれば、前記アカウントに関係する前記記憶された強いランダムパスワードを読み出すこと、および、
前記ユーザを認証すること
をさらに備えたことを特徴とする媒体。
【請求項24】
セキュリティ保護されたネットワークグループ内のノードへのアクセスを制御するシステムを実現するためのコンポーネントを有するコンピュータ読取り可能媒体であって、前記システムは、
シングルクリックログオンアカウントに関連けられた強いランダムパスワードを記憶するためのデータベースと、
ローカルシステムセキュリティ機関と、
ユーザが前記シングルクリックログオンアカウントへのログインを開始すると、前記強いランダムパスワードを読み出すセキュリティサポートプロバイダと、
前記データベースおよび前記セキュリティサポートプロバイダと交信するセキュリティアカウント管理サービスと、
ログインユーザインタフェースコンポーネントおよび前記ローカルシステムセキュリティ機関と交信し、前記シングルクリックログオンアカウントへのログインを規制する認証エンジンと
を備えたことを特徴とする媒体。
【請求項1】
セキュリティ保護されたネットワークグループ内のノードへのアクセスを制御するシステムであって、
前記セキュリティ保護されたネットワークグループを形成する複数の、相互に信頼できるノードと、
前記セキュリティ保護されたネットワークグループへの外部からのアクセスに対する強いセキュリティを保ちながら、前記セキュリティ保護されたネットワークグループ内の緩いセキュリティを提供するメカニズムと
を備えたことを特徴とするシステム。
【請求項2】
請求項1に記載のシステムであって、前記セキュリティ保護されたネットワークグループ内の緩いセキュリティを提供するメカニズムは、前記セキュリティネットワークグループ内のユーザが、認証クレデンシャルの入力を求められることなく、他のノードにアクセスすることを可能にするメカニズムを備えたことを特徴とするシステム。
【請求項3】
請求項1に記載のシステムであって、前記セキュリティ保護されたネットワークグループは、管理されていないネットワーク内のセキュリティ保護されたネットワークグループをさらに備えることを特徴とするシステム。
【請求項4】
請求項1に記載のシステムであって、前記セキュリティ保護されたネットワークグループ内の緩いセキュリティを提供するメカニズムは、各ノードにおいて、
シングルクリックログオンアカウントに関連付けられた強いランダムパスワードを記憶するデータベースと、
ローカルシステムセキュリティ機関と、
ユーザが前記シングルクリックログオンアカウントへのログインを開始すると、前記強いランダムパスワードを読み出すセキュリティサポートプロバイダと、
前記データベースおよび前記セキュリティサポートプロバイダと交信するセキュリティアカウント管理サービスと、
ログインユーザインタフェースコンポーネントと前記ローカルシステムセキュリティ機関と交信し、前記シングルクリックログオンアカウントへのログインを規制する認証エンジンと
を備えたことを特徴とするシステム。
【請求項5】
ユーザが1または複数のコンピュータにアクセスすることを可能にする方法であって、
第一のコンピュータにおいて、
前記ユーザのための新規アカウントの強いランダムパスワードを生成するステップと、
前記新規アカウントをブランクパスワードアカウントに指定するステップと、
前記強いランダムパスワードを記憶するステップと
を備えたことを特徴とする方法。
【請求項6】
請求項5に記載の方法であって、前記強いランダムパスワードを記憶するステップは、前記パスワードを安全に記憶するステップを含むことを特徴とする方法。
【請求項7】
請求項5に記載の方法であって、前記新規アカウントがブランクパスワードアカウントであるか否かを最初に判断するステップをさらに備えたことを特徴とする方法。
【請求項8】
請求項7に記載の方法であって、前記新規アカウントがブランクパスワードアカウントでない場合には、前記ユーザにパスワードを選択するよう指示するステップをさらに備えたことを特徴とする方法。
【請求項9】
請求項7に記載の方法であって、前記新規アカウントがブランクパスワードアカウントであるか否かを最初に判断するステップは、前記ユーザが前記新規アカウントをブランクパスワードアカウントにすると示さないかぎり、前記新規アカウントをブランクパスワードアカウントとして確立するステップをさらに含むことを特徴とする方法。
【請求項10】
請求項5に記載の方法であって、前記新規アカウントをブランクパスワードアカウントに指定するステップは、フラッグを立てるステップをさらに含むことを特徴とする方法。
【請求項11】
請求項5に記載の方法であって、前記強いランダムパスワードを記憶するステップは、前記強いランダムパスワードをデータベースによって記憶するステップをさらに含むことを特徴とする方法。
【請求項12】
請求項5に記載の方法であって、前記1または複数のコンピュータが複数の連結されたコンピュータである場合には、前記強いランダムパスワードを、前記第一のコンピュータ以外の前記複数の連結されたコンピュータの中の各コンピュータに複写するステップをさらに備えたことを特徴とする方法。
【請求項13】
請求項12に記載の方法であって、前記強いランダムパスワードを複写するステップは、セキュリティ保護されたネットワークグループ内の1または複数の信頼できるノードに前記強いランダムパスワードを複写するステップをさらに含むことを特徴とする方法。
【請求項14】
請求項13に記載の方法であって、前記ユーザに対し、前記セキュリティ保護されたネットワークグループに関して、ブランクパスワードアカウント以外のユーザと少なくとも同じアクセス特権を提供するステップをさらに備えたことを特徴とする方法。
【請求項15】
請求項5に記載の方法であって、前記新規アカウントのための前記強いランダムパスワードを生成するステップは、バイオメトリックにより認証されたアカウントのために強いランダムパスワードを生成するステップをさらに含むことを特徴とする方法。
【請求項16】
コンピュータへのユーザのアクセスを制御する方法であって、
前記ユーザにより選択されたアカウントがブランクパスワードアカウントか否かを判断するステップと、
前記アカウントがブランクパスワードアカウントであれば、前記アカウントに関連付けられ、記憶された強いランダムパスワードを読み出すステップと、
前記ユーザを認証するステップと
を備えたことを特徴とする方法。
【請求項17】
請求項16に記載の方法であって、前記アカウントがブランクパスワードアカウントであるか否かを判断するステップは、前記アカウントに関連付けられたフラッグが立てられているか否かを判断するステップをさらに含むことを特徴とする方法。
【請求項18】
請求項16に記載の方法であって、前記アカウントがブランクパスワードアカウントである場合には、前記ユーザにパスワードを入力するよう指示するステップをさらに備えたことを特徴とする方法。
【請求項19】
請求項16に記載の方法であって、前記記憶された強いランダムパスワードを読み出すステップは、データベースを検索するステップをさらに含むことを特徴とする方法。
【請求項20】
請求項16に記載の方法であって、前記ユーザによって選択される前記アカウントがブランクパスワードアカウントであるか否かを判断するステップは、前記アカウントがバイオメトリックによって認証されたアカウントであるか否かを判断するステップをさらに含むことを特徴とする方法。
【請求項21】
ユーザがコンピュータにアクセスできるようにするための、コンピュータ実行可能命令を備えるコンピュータ読取り可能媒体であって、前記命令は、
前記ユーザのための前記アカウントの強いランダムパスワードを生成すること、
前記新規アカウントをブランクパスワードアカウントに指定すること、および、
前記強いランダムパスワードを記憶すること
を備えたことを特徴とする媒体。
【請求項22】
請求項21に記載のコンピュータ読取り可能媒体であって、前記コンピュータがネットワークによって第二のコンピュータに連結されている場合には、前記強いランダムパスワードを前記第二のコンピュータに複写することをさらに備えたことを特徴とする媒体。
【請求項23】
請求項21に記載のコンピュータ読取り可能媒体であって、
前記アカウントにログインするとの前記ユーザによるその後のリクエストがブランクパスワードアカウントへのログインリクエストであるか否かを判断すること、
前記その後のリクエストがブランクパスワードアカウントへのログインリクエストであれば、前記アカウントに関係する前記記憶された強いランダムパスワードを読み出すこと、および、
前記ユーザを認証すること
をさらに備えたことを特徴とする媒体。
【請求項24】
セキュリティ保護されたネットワークグループ内のノードへのアクセスを制御するシステムを実現するためのコンポーネントを有するコンピュータ読取り可能媒体であって、前記システムは、
シングルクリックログオンアカウントに関連けられた強いランダムパスワードを記憶するためのデータベースと、
ローカルシステムセキュリティ機関と、
ユーザが前記シングルクリックログオンアカウントへのログインを開始すると、前記強いランダムパスワードを読み出すセキュリティサポートプロバイダと、
前記データベースおよび前記セキュリティサポートプロバイダと交信するセキュリティアカウント管理サービスと、
ログインユーザインタフェースコンポーネントおよび前記ローカルシステムセキュリティ機関と交信し、前記シングルクリックログオンアカウントへのログインを規制する認証エンジンと
を備えたことを特徴とする媒体。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2006−85697(P2006−85697A)
【公開日】平成18年3月30日(2006.3.30)
【国際特許分類】
【出願番号】特願2005−259125(P2005−259125)
【出願日】平成17年9月7日(2005.9.7)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
【公開日】平成18年3月30日(2006.3.30)
【国際特許分類】
【出願日】平成17年9月7日(2005.9.7)
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
[ Back to top ]