【発明の詳細な説明】

【０００１】

【産業上の利用分野】本発明はコンピュータシステム上の別名の検出方法、分散型コンピュータシステム及びその作動方法、及び別名の検出を実行する分散型コンピュータシステムに関する。

【０００２】

【従来の技術】認可されたユーザでありながら故意に或いは偶発的に大きなダメージを引き起してしまうような人を無責任なユーザと言う。 例としては、あるコンピュータのファイルに対するアスセスを許可されているコンピュータのユーザが許可を得てキーファイルのコピーを作成し、それを不当に伝送するような場合である。 この種の違反行為は信用の侵害と定義することができる。 このような安全性の欠如による不正から陣地を保護するためにコンピュータのオペレーティングシステムができることは殆どない。 何故なら、初めのファイルへのアクセスは完全に許可されたものであり、この違反行為は許可されたアクセスで得たものを不当に伝送したことにより生じたものであるからである。

【０００３】ユーザプロービングとは、コンピュータのユーザがコンピュータシステムの充分には保護されていない部分を悪用して無許可でアクセス権を得るような状況を言う。 典型的にプロービングとは、コンピュータのユーザがコンピュータシステムを自由に見るための正当なアクセス権を得るトップレベルの設備を探査することを意味する。

【０００４】ユーザペネトレーションはインプリメンテーション内の比較的人目につかない弱点を見つけて既存の安全制御を迂回しようとすることを言う。 ユーザプロービングやユーザペネトレーションに対して保護するために、コンピュータシステムは通常、ユーザの識別を確認する工程を備えている。 コンピュータシステムにおけるユーザの識別の確認とは、ユーザの識別を照合することにより、そのユーザからの要求に安全対策を適切に適用できるようにすることである。 通常、ユーザが本人であることを確認することために、生体的な情報、暗号的な情報等の各自の資格証明書を審査する。 中規模から大規模にかけての分散型コンピュータシステムでは、ある特定のコンピュータのユーザが、それぞれ合法な幾つかの異なるコンピュータユーザのアカントを経由してコンピュータネットワークにアクセスできるような場合がしばしばある。 例えば、あるコンピュータのユーザが、仕事場では従業人用のコンピュータシステムにより、また自宅ではモデムを使用してパーソナルコンピュータによりネットワークを通してコンピュータにアクセスすることがある。 義務の分離の方針をコンピュータネットワークのサーバにより強制されるような場合、異なる２つのコンピュータの要求が別人からのものかどうかをそのサーバが判断できるための手段がなくてはならない。 一個人が複数のユーザアカントにアクセスできる場合、それらのアカントはその一個人の別名（alias ）アカントと呼ばれる。

【０００５】従って、別名とは自身の行動に責任が持てる個人のための別の識別と定義される。 コンピュータユーザの別名のアカントがある可能性がある場合、例えばパスワードや公衆的なキー等の、本人であることを確認するためのデータを直接比較するだけでは好ましくないユーザの別名を防止するのに不充分である。 一人のユーザが本人確認用の情報とは異なる情報を含んでいる可能性のある別個のユーザアカントを得ることを防止するための制御は事実上無いからである。

【０００６】多くのビジネス用及び商業用アプリケーションに要求されるコンピュータの安全対策の１つのタイプは義務の分離の方針と呼ばれている。 この方針は重要な仕事上の手続を行なうためにその仕事のある工程を異なる人間により実行することを要件とするものである。
この方針の目的はトランザクションの責任を異なる何人かの人間に分散することにより、単独で行動する一人の人間が問題となる行動をとれなくすることにある。 これにより、異なる責任を持つ異なる人間が互いに対してチェックを行うことになる。

【０００７】日常の生活で遭遇するかもしれない義務の分離の方針の例としては個人用の金庫がある。 通常、銀行はその従業人及び金庫の所有者が互いに別個の鍵を使い、その所有者が金庫の使用権を得られるように両者が業務日誌にサインするよう要求する。 ２つの鍵を必要とすることをアクセス制御と呼ぶ。 二人の人間に日誌にサインさせることを監査制御と呼ぶ。 銀行の方針によれば金庫の所有者と銀行の従業人とが別の異なる人間でなければならない。 別の例としては、企業の人間が出金伝票を渡してその出費のために会社から小切手を発行してもらう場合が挙げられる。 企業の方針によれば出金伝票にサインした人間と小切手を許可する人間が同じでないことが要求されているであろう。

【０００８】義務の分離の方針を実行するためにこれまで幾つかの手段が講じられてきた。 自動化されたコンピュータシステムにおける義務の分離を実行するための最も一般的な手段は安全面の管理者が異なるグループ或いは役割を定義し、各個人に与えた重要なグループ或いは役割が重複していないことを手作業で確認することである。

【０００９】

【発明が解決しようとする課題】しかし、この手段には２つの別個のアカントからコンピュータシステムにアクセスした人間がいるかも知れないという可能性を防ぐことができないという問題がある。 ユーザアカントによるユーザの確認及び識別に対する知られている手段は、ユーザアカントの別名化が操作上或いは手続上のルールを用いることにより防止されていることを必要条件としている。 義務の分離の方針を実行するための手段は別名が使われないこと、及び確認できるユーザのアカントの識別が人間も識別するのに充分であることを前提としている。 この手段の問題点は別名のアカントが特に大規模なコンピュータシステムに存在していないという前提が一般的に誤りであることである。 更に、ネットワークが大規模になればなる程、アカントの別名防止が困難になる。 新たなアカントを作る時にたとえ生体的な情報等の個人にとって独特な識別情報を得たとしても、新たなユーザのアカントをネットワーク上にその人間のために存在するかも知れない他のユーザのアカントと関連付けるためには、既にシステムにあるユーザアカントの総てを徹底的に調査しなければならないであろうためである。
このような調査は比較的小規模なコンピュータネットワークでも費用が高くつき、大規模なコンピュータネットワークでは事実上不可能である。

【００１０】ユーザを確認するための一つの手段はログインの間にコンピュータシステムに送られる生体的リーダ情報を使用するものである。 生体的情報は各ログインポイント或いはステーションで生体的リーダから得られる。 生体的リーダは通常、眼球スキャン、指紋、ＤＮＡ
の見本等の個人の独特な情報或いは性格を検知するものである。 ユーザの確認のために生体的情報を頻繁に使用する場合、生体的リーダは総てのログインポイントで生体的リーダが必要なため、一般に高価につく。 また、生体情報が公に漏洩された場合、ダメージを元に戻すことは不可能である。 これらの理由から、確認のためにバスワードやスマートカード等の暗号的な情報を継続して使うことは生体的データよりも良い選択であると考えられてきた。

【００１１】

【課題を解決するための手段】上記問題点を解決するために、本発明はその広い形態において請求項１記載のコンピュータシステム上の別名の検出を実行する方法にある。 また本発明は請求項８記載の別名の検出装置にある。 本発明の第１の側面によれば、複数のコンピュータユーザの各自を独特に特徴付けたユーザアカント識別情報のそれぞれを記憶する工程と；第１のユーザアカントからの最初の要求に応じてコンピュータシステムリソースの実行を開始し、実行するための第２の要求をユーザアカントを使用して処理し、前記第２の要求の間に使用されたユーザアカントに記憶された前記識別情報を前記第１ユーザアカントの識別情報と比較し、前記第１ユーザアカント及び前記第２の要求で使用された前記ユーザアカントが別名か否かを判断する工程と；よりなる、コンピュータシステム上の別名の検出方法が提案される。
かかる方法によれば、ユーザアカント情報のための第１
の要求を使用してコンピュータの実行時に実行される別名の検出テクニックが提供される。 このようなテクニックは例えば限定されたコンピュータのリソースへのアクセスを制御したり、コンピュータシステム上に別名のアカントの存在を監視及び制御したり、またコンピュータのリソース上の義務分離の方針を実行するために使用することができる。

【００１２】また後述の変形例では、複数のコンピュータユーザの各自を独特に特徴付けたユーザアカント識別情報のそれぞれを記憶する工程と；許可ストア内の選択されたユーザアカントのリストを記憶する工程と；ユーザアカントからの要求に応じてコンピュータシステムリソースアクセスプログラムの実行を開始する工程と；前記ユーザアカントに記憶された前記識別情報と選択されたユーザアカントの前記リストに記憶された前記識別情報とを比較することにより前記ユーザーアカントからの前記要求を処理して複数のコンピュータシステムリソースへのアクセスを許可し、前記ユーザアカントが選択されたユーザあの前記リストのいずれかの別名であるか否かを判断する工程と；よりなる分散型コンピュータシステムの作動方法が提案される。 かかる方法によれば、別名の検出はユーザがコンピュータシステムのリソースへアクセスしようとした時点で判断される。

【００１３】また、後述の変形例では、分散型コンピュータシステムの作動方法は複数のコンピュータユーザ各自の独特に特徴付けされたユーザアカント識別情報を記録する工程と、第１のユーザアカントからの要求に応じて複数の段階を有する選択されたトランザクションプログラムの工程の実行を開始する工程とよりなる。 この方法は、第２ユーザアカントからの要求を処理し、第１及び第２ユーザアカントに記憶されている識別情報を比較することにより選択されたトランザクションプログラムの次の工程の実行を認可し、第２ユーザアカントが第１
ユーザアカントの別名であるか否かを判断する工程を更に有する。 かかる構成によれば、別名の検出は次のユーザが選択したトランザクションを完了しようとした時点で判断できる。 ログイン確認も別名のアカントを持っているかも知れないユーザを独特に識別すると仮定すると、上記方法によれば別名が使用されている可能性のあるアカントを調べるためにネットワーク全体を徹底的に調査ことなく方針アプリケーションのポイントで別名を検出することができる。 本発明はユーザアカントの別名が防止されることを想定していない。 むしろ、本発明は別名によるアカントが自由に作成されることを想定したものであり、各アカントの所有者を独特に識別するデータを使用して保護された活動の開始が実行される直前の時点で好ましくない別名の存在を検出するものである。

【００１４】また本発明の更に別の側面によれば、確認情報、デジタル生体情報、及び複数のコンピュータユーザの各自を独特に特徴付けしたユーザアカント情報を含むデジタルサインされたアカント証明を有する各ユーザアカントのストアと；実行するには別個の開始要求を必要とする少なくとも２つの工程を有する記憶されたアプリケーショントランザクションプログラムと；前記アプリケーションプログラムの１方の工程を実行するための第１ユーザアカントトランザクション開始要求に応答する手段と；前記アプリケーションプログラムの続く工程を実行するための第２ユーザアカントトランザクション開始要求に応答し、前記ストア内の前記第１及び第２ユーザアカントの前記ユーザ証明に含まれる前記確認情報とデジタル生体情報とを比較する手段と；前記第２ユーザアカントが前記第１ユーザアカントの別名でない場合のみ少なくとも１つのプログラムの前記次の工程の実行を許可する手段と；よりなる、別名の検出を実行する分散型コンピュータシステムが提案される。 かかる構成によれば、生体的及び暗号的なテクニックの組合せを使用したコンピュータ安全システムが提供される。 特に本発明はアカント登録用の単一の確認制度、或いはアカントを重複しない異なるグループや役割に分離するための厳重なアカント管理（即ち、義務の分離の施行）、或いは個人用の多数のアカントを防止する等に依存しない義務分離の方針を支持するためのシステムを提供する。 本発明を具体化するこのようなシステムは、必要であれば個人に多数の役割を負わせることにより義務分離の動的な施行を支持することができ、ある仕事上の機能の関係において、個人が相反する役割を負わないということを確実にすることができる。 これらのことは、デジタル式生体的データ或いは他の独特な識別データを使用して一人の人間が異なるアカント、即ち別名を使用しているか否かを判断することにより達成される。

【００１５】

【実施例】図１を参照し、コンピュータシステム１０は個人ユーザ１０a ー１０c にアクセス可能な状態で示される。 各個人ユーザ１０a ー１０c はローカルエリアネットワークに接続されたワークステーション１２a ー１
２c を備えている。 ワークステーション１２a ー１２c
は各個人１０a ー１０c に自信の義務を遂行する一組のアプリケーションを提供する。 アプリケーションはローカルエリアネットワーク１４に接続されたアプリケーションサーバシステム１６上にある。

【００１６】アプリケーションサーバシステム１６は一組のアプリケーションプログラム（以下「アプリケーション」と称す）を含んだコンピュータシステムであり、
このアプリケーションもローカルエリアネットワーク１
４を介して他のコンピュータのユーザ（図示せず）によるアクセスが可能である。 各個人ユーザ１０a ー１０c
はネームサーバシステム１８上のネームサービスプログラム１９に保持された１つ或いは複数のアカントにより識別される。

【００１７】ネームサーバシステム１８はネームサービスソフトウエア１９を備えたコンピュータシステムであり、ローカルエリアネットワーク１４を介してどのコンピュータユーザからもアクセスできる。 ネームサービスソフトウエア１９はネットワークアプリケーション、システム及び他のネットワークでアクセス可能なオブジェクトの名前をローカルエリアネットワーク１４内の物理的な位置から独立させるものである。 例えば、ネームサーバシステム１８上のネームサービスプログラム１９に記憶され、個人ユーザ１０a ー１０c がアプリケーションサーバシステム１６の独特なアプリケーションを実行することができる。

【００１８】ネームサーバシステム１８では、各個人ユーザ１０a ー１０c は個人用のアカントと、１つ或いは複数の「特別」アカントを有している。 個人用或いは特別アカントはそれぞれアカント識別性を備え、これにより個人ユーザ１０a ー１０cがコンピュータシステム１
０にログオンしてネームサーバシステム１８に識別された特定のアプリケーションを使用することができる。 各「特別アカント」は特定のジョブ機能、例えば組織的役割に対応する。 このような特別なアカントによりログインされた個人ユーザ１０a ー１０c は対応するジョブ機能に特異なそれらのアプリケーションを実行することができる。

【００１９】図２を参照し、アプリカント１００は生体情報１０５をアカント処理の一部としてのレジストラー１１０に供給する。 コンピュータシステム１０内の総てのアカントは、自身の識別を有すると共に幾つかの企業のためのアカント管理の責任を持つエンティティーとしてのアカントレジストラー１１０により管理される。 アカントの発行或いは修正の間、レジストラー１１０はアプリカント１１０の生体情報１０５を確保する。 ここでシステムは確認のためにパブリックキーの暗号技術を使用して確認データを提供する。 ログインの確認に使用されるアカントに関連付けされることになる確認データはパブリックキーとプライベートキーとの一対のキーよりなるパブリックキーである。 レジストラー１１０は一対のパブリック及びプライベートキーを作成する。 プライベートキーは（典型的にはパスカードのような幾つかのデバイスに記憶された情報の形式で）ユーザに発行され、またアカントのためのパブリックキーはそのアカントのための所謂「証明書」内に他のアカント情報と共に記憶される。 アプリカント１００により供給された生体的データ１０５は確認データ（例えばユーザのパブリックキー等）及びシステムにより必要とされるかも知れない安全面で重要な情報（例えばユーザの確認された役割等）と共に証明書に完全にロックされるのが好ましい。
完全にロックされたデジタル式の規範となる生体的データは以下「証明書に基づく別名の検出データ（CBAD) 」
と称す。 最も簡単な形態のデジタルサインはレジストラー１１０のプライベートキー（これはレジストラー１１
０及びレジストラーのワークステーションにしか知られていない）を使用して暗号化された証明書を暗号化した単なるコピーである。 デジタルサインはそのサインを使用して「完全にロックされる」データと共に使用されて暗号チェックサム(checksum)或いは適切なコードを提供する。 デジタルサインを付加することで「完全にロックされた」或いはデジタル式にサインされたアカント/ 確認/ 証明書に基づく別名の検出データ１２０が提供され、そこでそれはネームサービスプログラム１９に記憶される。 上述のパブリックキー暗号式の技術が使用されてアカント/ 確認/ 証明書に基づく別名の検出データの不正な書き換えを検出することができる。

【００２０】その後の段階で、デジタル式サインをレジストラー１１０のパブリックキー（システム全体を通して知られている）を使用してデジタルサインを再度暗号化してそのデジタルサインの関連する生文の証明書と比較することによりアカント証明１３０が確かにレジストラー１１０によりサインされたことをエンティティーが立証することができる。 この生文の証明書はデジタルサインを再度暗号化したものである。 それらが同一であれば、アカント証明を使用したエンティティーは、生文の証明書もアカント証明の暗号化されたものの何れもレジストラー１１０により生成或いは修正された後に修正されてはいないこと、及びアカント証明のデータがレジストラーのワークステーションで作成されたものではないことを確認することができる。

【００２１】個人ユーザがワークステーションにログオンする時、個人ユーザは、自身を確認する或いはその識別を確認する第１の工程として、ネームサービスプログラム１９からのアカント証明を位置決め及びフェッチするためにローカルオペレーティングシステムにより使用される情報（ユーザの名前等）を提供する。 ローカルオペレーティングシステムはその後、レジストラー１１０
のパブリックキーを使用してアカント証明のデジタルサインを有効にする。 アカント証明が有効となると、レジストラー１１０によりそのアカントに与えられたパブリックキーは知られることになる。 ログイン使用とする個人ユーザはその後「ログイン委任証明」をワークステーションに渡す。 ログイン委任証明はユーザが、確認されるローカルオペレーティングシステムに送るものである。 （典型的に、これはレジストラー１１０により個人ユーザに発行されるスマートカードにより行われ、その個人ユーザの個人的なプライベートキーを含むものである。）オペレーティングシステムはアカント証明から得たパブリックキーを使用してそれを再度暗号化することによりログイン委任証明を有効化する。 有効となった場合、オペレーティングシステムは、アカント証明から得たパブリックキーがログオンしようとしている個人ユーザの所有のプライベートキーと一致し、その個人ユーザにアカントに関連した権利或いは特権を与えることが正当であることを知る。 確認中でない時は、処理は使用されるアカント証明におけるCBADデータである。 CBADデータはログイン確認が成功か失敗かを判断しないため、そのCBADデータがパブリックであれば、ログイン確認システムのに暗号がもれることはない。 正当に確認されたローカルユーザのため或いはその要求により実行されるべきリモートアプリケーションを呼び出すためには（例えばアプリケーションサーバシステム１６から）、ワークステーションオペレーティングシステムが、その要求に個人ユーザのログイン委任証明を付加してワークステーションのプライベートキーを用いてそれにデジタル式にサインすることによりその要求のための所謂リモート委任証明を発行する。 リモート委任証明は個人ユーザのためにサービスを得るためにローカルコンピュータオフシステムがアプリケーションサーバシステム１５に送るものである。 するとアプリケーションサーバシステム１６
はそのリモート委任証明がワークステーションから来たものであることを照合することができ（ワークステーションのパブリックキーをサインに適用することにより）、これが成功すると、与えられたユーザのパブリックキーを使用して含まれていたリモート委任証明のユーザのサインを照合することにより個人ユーザの識別を再度確認することができる。 これらのテストが両方共成功した場合、アプリケーションサーバシステム１６は請求されるワークステーションから発行された要求が請求されるユーザアカントのに基づき動作していることを知り、及び/ 或いはこの情報を使用してこの要求を受け入れるべきか否かを判断する。 CBADデータはリモート委任証明の有効性を判断するのには使用されないため、CBAD
データがパブリックであってもリモート要求確認システムに秘密が漏洩することはない。

【００２２】各ユーザは関連するアカント証明１３０も有している。 ユーザ証明１３０はオペレーティングシステムにより発生するデータ構造であり、それはユーザ情報１２０及びCBADデータを含み、それが存在する場合、
それらは互いに結合される。 チェックサムはユーザ情報１２０の破損をシステムにより検出可能にするものである。 暗号はレジストラー１１０のプライベートキー或いは暗号コードを使用し、従ってレジストラー１１０としてアカント情報のソースを独特に識別するデジタルサインを発生する。 アカント証明１３０はその後オペレーティングシステムによりネームサービスシステム１３５に公開される。 従って、選択されたタスクの実行は選択されたユーザ或いはユーザのグループに限定することができる。

【００２３】ユーザのログオン間、コンピュータシステム１０は上述のようにユーザ証明情報１３０を収集して特定のユーザのための資格証明書を作成する。 資格証明書は各ユーザを識別してそのユーザが特定のアプリケーションを実行するのに必要な特権を有しているかを判断するために今システム１０により使用される。 この時点で、コンピュータシステム１０はアカント証明情報１３
０を使用して、特定のユーザが特定の識別されたトランザクションを実行することを許可されていた場合に資格証明書を作成する。 従って、資格証明書を作成してどのユーザが特定の完アプリケーションにアクセスして良いかを判断するために、個人のアカント/確認/ 証明書に基づく別名の検出データがレジストラー１１０により収集される。 この情報は、上述のようにユーザの名前等の従来からのユーザの情報と、ユーザに与えた、或いはユーザから得た確認データとの両方、及び上述のようにここで証明書に基づく別名の検出データ(CBAD)と言及されるデジタル式の標準的なな生体的データ（BioM）を含んでいる。 このシステムはCBADデータを含むアカント、及びCBADデータを含まないアカントを有していても良い。
CBADデータの有無の効果について以下に説明する。

【００２４】以下に記載される別名の検出システムは単一のコンピュータシステムのコンテキストで説明されるが、この別名の検出は広域ネットワーク等の大規模コンピュータネットワークを介して互いに接続されたマルチコンピュータシステム上でも実行できることを理解されたい。 これにより大規模なコンピュータネットワーク中のコンピュータユーザが共通のアプリケーションを実行することが可能となる。

【００２５】図２に示されるように、CBADデータはアカントオペレーションの一部として確保され、義務の分離方針を実行する必要が生じた場合等の後の段階で使用できるように記憶される（これについては後述する）。 ここでは、CBADデータはユーザの区別を判断して別名によるアカントを検出するために使用される。 これを使用することにより多数の日常的な識別性を有する悪質なユーザによる攻撃に抵抗する義務の分離方針を実行することができる。 またこれにより個人ユーザに許可されるアカントの数を最小に抑えないラックス管理を使用するシステムでも義務の分離方針の実施を可能にすることができる。 更に、限定された目的のための個人用の別個のアカントの作成を用意にすることもできる。 ユーザは実行を許可される可能な総ての特権を蓄積したものを使用するのではなく特定な特権の組を使用してのみログインするため、上述の手段は特権の蓄積に抵抗するものである。

【００２６】図３を参照し、複数のユーザのために特定のプロセシングユニットが実行される時に呼び出される証明書に基づく別名の検出に含まれる工程が示されている。 証明書に基づく別名の検出は図１におけるコンピュータシステム１０のオペレーティングプラットフォーム（例えばオペレーティングシステムやトランザクションモニタ）に設けられる。

【００２７】コンピュータシステム１０はアカント証明からの関連するユーザのために資格証明書を発行する。
上述のように資格証明書は、確認されたユーザの識別と、そのユーザのための要求と、また場合にによってはそのユーザのためのCBADデータとに論理的に結合した完全にシールされた（即ちデジタル式にサインされた）パケットである。 確認されたユーザとはある特定のアプリケーションを実行するための所定の確認を有するユーザのことである。 この所定の確認は必要な特権を有するシステムマネージャ或いはレジストラーによりユーザに与えられる。 完全にシールされたパケットはアプリケーショントランザクションをユーザ情報に付加するオペレーティングシステムにより結合される。 しかし処理のユニットを実行する前に、そのユニットの安全対策が審査される。 安全を保護する必要があれば、ユーザが実行を選択する特定のアプリケーショントランザクションのための安全対策（図４の参照番号３８）において適切なステートメントによりトリガをかける。

【００２８】本発明の文脈におけるデータ処理システムでユーザのデータ及び別名の検出データを使用する一般的な方法について以下に説明する。 例として記載されるトランザクションはアプリケーション開始要求及びアプリケーション同意エントリーが、許可された異なるユーザによりシステムに入力される必要があると想定する。

【００２９】図３に示されるように、システムにログオンした個人ユーザがデータ処理アプリケーションの開始を要求した時にトランザクションは工程１５８で開始される。 するとトランザクションの処理が更に進む前に再考或いは同意エントリーが工程１５８で出される。 工程１６０では、ユーザの開始要求のための委任証明のデジタルサイン、及び同意要求のための委任証明のデジタルサインが先ず個々に照合される。 この工程で問題がなければ、アプリケーションサーバシステム１６はどちらの書類も変更されていないことが分かると共に、一対の要求、即ち開始要求のためのアカントの作成及び同意要求のためのアカントの作成という要求に関連する個人ユーザのアカントのための許可されたパブリックキーを知ることになる。 これら２つのパブリックキーが同じであれば、両方の要求は同じアカントに基づいて成されたものであり、これは両要求がそのアカントを有する単一のユーザのものであることを意味する。 この場合、これ以上のトランザクションの処理はなく、また同意エントリーは拒絶される。

【００３０】識別工程で異なるユーザアカントが同一であると認識された場合、２組のアカント資格証明にCBAD
データがあるか否かを工程１６２でチェックされる。 要求のこめに提供されたCBADデータがCBADデータそのものであった場合、確保されるレジストラー１１０はアカント証明を得て照合するアプリケーションサーバシステム１６の処理に含まれる。 CBADデータ及び確認データはレジストラー１１０によりアカント証明の中に互いに結合される。

【００３１】前述のように、コンピュータプラットフォームはユーザ確認で処理する前にログインの一部として得たアカント証明の照合に責任を持つ。 また、オペレーティングシステムを通じてコンピュータプラットフォームはトランザクションの実行要求をアカント証明に結合すること、及びこの情報をシールして完全にシールされたされたアカント証明を提供することにも責任を持つ。
コンピュータのプラットフォームはアカント証明を使用する前にこの証明を照合することにも責任を持つ。 コンピュータのプラットフォームが資格証明を照合し、特定の動作のための要求が許可された時のみ、CBADのチェックが行われる。 アカントの資格証明のいずれの組もCBAD
データを含んでいない場合、工程１６３で、両アカント資格証明はいずれも同じユーザに関連したものであると見做され、同意エントリーは拒絶され、処理は終了する。 これらのアカント資格証明が両方共CBADデータを含んでいた場合、各アカント資格証明に存在するデジタル式の生体的データが工程１６４で比較される。 比較されたデジタル生体データが所定の類似範囲内のものであれば、工程１６９でこれら２つのアカント資格証明は同一のユーザのものと判断され、同意エントリーが拒絶されて処理は終了する。 原則的に、２つのアカント資格証明は同一ではなく類似範囲は所定のユーザから受け取った生体データの通常の変化及び変動により生じる。 従って、類似性に許容される範囲は本当に異なるユーザ間で重複が生じるのを防ぐのに充分な程度狭くなければならないが、同じユーザの生体情報における通常予測される変化をカバーできる広さはなければならない。 工程１６
８で２組のアカント資格証明が別であると判断された場合、工程１６７で、アプリケーション開始要求及び同意エントリーが異なるユーザから発されたものと判断され、この比較結果は工程１７０に報告されてトランザクションの処理が進められる。

【００３２】アプリケーション開始要求及び同意エントリー要求が異なる人間からのものである場合、同意エントリー要求を開始するユーザは、以下に記載されるプログラムに関連するアクセス制御リストで許可されていればそのアプリケーション要求に同意することが許される。 本発明の例を典型的なコンピュータに基づく出金報告及びオフィス環境における同意処理について説明する。 いかなる個人も出金報告書を記入して提出することができる。 支払い小切手が用意されている場合には出金報告書は支出係に送られる前に許可されなければならない。 義務分離の本質的な要求事項はいかなる個人も自己の出金報告書を確認することができないことである。

【００３３】図１を参照し、各個人ユーザ１０a ー１０
c は自身の個人用アカントによりログインした時にネームサービスシステム１８に記憶された出金報告アプリケーションを実行することができる。 出金報告アプリケーションはユーザが記入できるようにワークステーションにフォームを表示する。 トランザクションを出すことで出金報告書がローカルエリアネットワーク１４に接続されたキューサービスシステム２０のキューに送られ、そこで確認のため保持される。 キューサービスシステム２
０はローカルエリアネットワーク１４を介して個人ユーザ１０a ー１０c によりアクセスできる例えばプリントキュー、バッチキュー等の種々キューを含むコンピュータシステムである。 一人或いは複数の個人ユーザ（例えば１０b ）は「管理アカント」が与えられる。 即ち、個人ユーザは出金報告書を確認して同意或いは拒絶することが許可される。 これは前述のものに関連して述べたように「特別アカント」である。 拒絶すればその出金報告書は元の人間に戻され、また同意すれば報告書はキューサービスシステム２０上の支出キューに送られる。 「ジェネレート(generate)小切手」トランザクションは小切手を発行するだけではなく、元の人間に自身の出金報告書が処理されて小切手が発行されることを通知する。

【００３４】引き続き図１を参照し、ワークステーション上の個人ユーザ１０a はローカルエリアネットワーク１４を介してアプリケーションサーバシステム１６にある出金報告アプリケーションを開始する。 結果は承認されなかった出金報告書でありそれはローカルエリアネットワーク１４を介してアプリケーションによりキューサーバシステム２０に送られる。 次いで、ワークステーション１２b の第２の個人ユーザ１０b は、アプリケーションサーバシステム１６上の出金報告アプリケーションを実行することにより、ローカルエリアネットワーク１
４を介してキューサーバシステム２０の出金報告書を確認して承認しようとする。 個人ユーザ１０a により作成され開始された出金報告書の承認を要求することで証明書に基づく別名の検出方法が開始される。 証明書に基づく別名の検出のローケーション及び作動については以下に詳述する。

【００３５】図４は証明書に基づく 別名検出（CBAD）
を使用して義務分離を支持するための一般的なデータ構造を示す。 ネームサーバシステム４８のネームサービスデータベース３０は個人ユーザのアカント（３３a ーc
）のためのアカント証明を含んでいる。 各アカント証明（３３a ーc ）は前述のように発行されたもので、個人のデジタルサイン、デジタル式の標準的な生体的データを含む各個人についての関連情報を有しており、これは図２について前述したようにCBADデータと呼ばれる。
アカント３３a ーc も前述のアカントレジストリーのサインを有している。 ある個人の個人用及び「特別」アカントは同じデジタル標準的な生体的データ、即ちCBADデータを含んでいる。 これはそれらが同じ個人ユーザにより所有される複数のアカントを示すためである。 異なる個人ユーザのためのアカントは、各個人ユーザのCBADデータが異なることにより識別される。

【００３６】それぞれのアプリケーションシステムはアプリケーションサーバシステム５０内のプログラムライブラリー３６にある。 これによりローカルエリアネットワーク５２の個人ユーザがプログラムライブラリー３６
にアクセス可能となる。 「出金報告書の作成」、「出金報告書の提出」、「出金報告書の承認」などのトランザクションの各タイプはそれぞれプログラムライブラリー３６に存在してアプリケーションサーバシステム５０に記憶された対応するアプリケーションシステムプログラムそれぞれ３５a ーc を有している。 このような各トランザクションプログラムに関連して、個人或いはグループが対応するトランザクションを実行できるか或いはできないかを記載した安全対策があり。 例えば、トランザクションプログラム３５a に関連しアクセス制御リスト（ACL ）には安全対策が含まれている。 ACL は多くのコンピュータオペレーティングシステムにおけるアクセス方針を記憶する共通の機構である。 安全対策及びそのトリガはアクセス方針言語への拡張として提供される。 安全対策はプラットホームとなるコンピュータシステムの特定のアクセス方針記憶機構に追加される。 オペレーティングシステムのプラットホームのアクセス制御モニタはアクセス制約を示してそのアクセス制約をアクセス方針内に記憶し、アクセス方針を実行する時点で適切な方法を呼び出す能力を提供する。 如何にして特定の拡張を実行するかはコンピュータオペレーティングシステムの日常的機能であるためここでは説明しない。 義務の分離を実行するかしないかは関連するトランザクション３５
a の安全対策３８内で定義される。 例えば、方針ステートメント３８は別名の検出が呼び出されることを示す。
安全対策３８は、元の人間或いは第１ユーザの識別が第２ユーザ、即ちこの例では出金報告書の承認を要求しているユーザと同じ場合に「expns rpt プログラム３５a
」の承認を実行する権利が定義される。 この比較については図３についての説明で既に記載した。

【００３７】ユーザによる各トランザクションの呼び出しに関連するのはユーザの合法な資格証明書（図４における４４、４５及び４７）であり、それはトランザクションを開始したユーザを識別する。 合法な資格証明書は図２に示されるユーザのアカント証明を要求されるアプリケーションにリンクするオペレーティングシステムにより生じた処理の完全にシールされたユニットである。
トランザクションの呼び出しに応じて、ユーザの合法な資格証明書はプロセシングユニットｘ４９の保護されたシステムメモリ４６及びネームサーバシステム４８のネームサービスデータベース３０に記憶される。 このシステム４８はユーザの識別に対する証拠を含んでおり、そのユーザのために特定のプロセシングユニットが実行される。 本発明によれば、プロセシングユニットはトランザクションの呼び出しである。 個人の合法な資格証明をトランザクション呼び出しに関連させることはこの例のアプリケーションのためのオペレーティングプラットホームを提供するオペレーティングシステム或いはトランザクション処理モニタの機能である。

【００３８】図４の説明に続き、第１ユーザはアカントユーザA によりネームサービスデータベース３０にログオンする。 ユーザA リモート合法な資格証明４４（証明書に基づく別名検出データを含む）はプロセシングユニットX ４９の保護されたシステムメモリ４６におけるオペレーティングシステムにより入力される。 出金報告書を作成することを希望しているユーザA は「create exp
ns rptプログラム３５b 」の実行を要求し、このプログラムがアプリケーションサーバシステム５０からロードされる。 「create expns rptプログラム３５b 」の実行を許可されたユーザアカントのアカント証明に名前をつけるべく以前に作成或いは修正された「create expns r
pt ACL 40b」を使用してそれらのアカントのためのパブリックキーを得る。 そしてこれらのキーを用いてリモート委任証明を照合する。 リモート証明が照合できた場合、その要求は許可され、プロセシングユニットX ４９
により「create expns rptプログラム３５b 」が実行され、出金報告書ファイルが作成される。 するとユーザA
はアプリケーションサーバ５０からロードされた「subm
ikt expns rpt プログラム３５c 」を実行しようとする。 「submikt expns rpt プログラム３５c 」を実行することを許可されたユーザアカントを示すべく以前に作成された或いは修正された「submit expns rpt ACL 40
c」がユーザA リモート合法な資格証明４４に対してチェックされる。 ユーザAvalidation 資格証明４４とACL
４０c 内のユーザアカントが一致すると、ユーザA 証明３３a 及び証明書に基づく別名検出データ（後述する）
を付加することにより出金報告書ファイルにサインをするプロセシングユニットX ４９により「submit expns r
ptプログラム３５c 」が実行される。 出金報告書ファイルはキューサーバ６０上の出金報告書キュー６２に送られる。

【００３９】ユーザA ３３a によりこれらのトランザクションに続き、ユーザA により作成された出金報告書ファイルの確認及び承認を希望する第２ユーザがアカントユーザB に基づきログインする。 ユーザB のリモート委任証明４５（証明書に基づく別名検出データを含む）がプロセシングユニットX ４９の保護されたシステムメモリのオペレーティングシステムにより入力される。 ユーザB は「review expnsrptプログラム３５d 」の実行を要求し、それはアプリケーションサーバ５０からロードされる。 「review expns rptプログラム 35d」の実行を許可されたユーザアカントを示すべく既に作成あるいは修正された「review expns rpt ACL 40d」はユーザB のリモート合法な資格証明４５に対してチェックされる。
このユーザB のリモート合法な資格証明４５とACL 40d
内のユーザアカントが一致していると、プロセシングユーザX ４９により「review expns rptプログラム 35d」
が実行され、これによりユーザB 用の出金報告書のファイルが作成されてたとえばビデオディスプレー上に読み込み或いはreviewできる。

【００４０】ここでユーザB はユーザA により作成された出金報告書に同意すべく「approve expns rpt プログラム 35a」を実行しようとする。 出金報告書のデジタルサイン（アプリケーションサーバシステム１１６のサイン）が先ず照合され、出金報告書或いはそれに関連する亜証明に何ら変更が行われていないことを確認する。 亜証明（レジストラーによりサインされたもの）は再度照合することもできるが、必ずしも必要ではない。 アカント証明は出金報告書を作成したユーザ、即ちユーザA のためのCBADデータを含んでいる。 この時点でアプリケーションサーバシステム１１６はそれぞれユーザA 及びB
のための２組の照合されたCBADデータを有している。 これら２組のCBADデータは類似性をチェックするために比較される。 別名の検出チェックが失敗すると、デジタル式生体的データは同じユーザを識別するものと見做される。 即ち、（たとえ対応するアカント証明が異なるユーザの名前で登録された異なる亜に属していても）アプリケーションサーバシステム１１６はユーザA 及びB が事実上同じ人間であると考えなければならない。 証明書に基づく別名検出チェックがユーザA とB が同一であると示した場合、「approve expns rpt プログラム 35a」へのアクセス権はユーザB には与えられず、システムマネージャ或いはレジストラーへの通知のための報告書を作成することができる。

【００４１】出金報告書の例は本発明が一人の人間が出金報告書を作成して確認することを防ぐ義務分離の方針を如何にして満たすかを示している。 本発明の実施例では、ユーザA 及びB のユーザアカントが最初に作成された特にこれらユーザA 及びBが異なる識別を有しているかを確認するのではなく、出金報告書の同意を実際に要求された時点で各ユーザの証明書に基づく別名検出データの比較を行なう。 ユーザのアカントが最初に作成された時或いはシステム管理者により修正れさた時にユーザの個人用の上方の照合のみを行えば良い。

【００４２】以上、本発明の好適な実施例について記載してきたが、本発明の概念を備えていれば他の実施例を使用できることは当業者にとって明らかであろう。 従って、本発明は記載された実施例だけに限定されるものではなく、添付の請求項の精神及び範囲によりのみ限定すべきことを理解されたい。

【００４３】

【発明の効果】以上のように本発明によるコンピュータシステム上の別名の検出方法は、複数のコンピュータユーザの各自を独特に特徴付けたユーザアカント識別情報のそれぞれを記憶する工程と；第１のユーザアカントからの最初の要求に応じてコンピュータシステムリソースの実行を開始し、実行するための第２の要求をユーザアカントを使用する処理し、前記第２の要求の間に使用されたユーザアカントに記憶された前記識別情報を前記第１ユーザアカントの識別情報と比較し、前記第１ユーザアカント及び前記第２の要求で使用された前記ユーザアカントが別名か否かを判断する工程と；よりなるので、
限定されたコンピュータのリソースへのアクセスを制御したり、コンピュータシステム上に別名のアカントの存在を監視及び制御したり、またコンピュータのリソース上の義務分離の方針を実行することができる。

【図面の簡単な説明】

【図１】本発明の１実施例による証明書に基づく別名の検出を実施するのに使用する分散型コンピュータシステムのブロック図である。

【図２】証明書の別名検出データを含むアカント証明の作成方法を示すブロック図である。

【図３】証明書に基づく別名の検出の利用方法を示すブロック図である。

【図４】証明書に基づく別名の検出の例を示すブロック図である。

【符号の説明】

１０ コンピュータシステム １０a 〜１０c 個人ユーザ １２a 〜１２c ワークステーション １６ アプリケーションサーバシステム １８ ネームサーバシステム １９ サービスソフトウエア ４４ 資格証明書 １０５ 生体情報 １１０ レジストラー １３０ アカント証明

───────────────────────────────────────────────────── フロントページの続き (72)発明者 ジョージ エミール ガイナック アメリカ合衆国 マサチューセッツ州 01451ハーヴァード ウォーセスター カ ウンティ オールド シャーリィ ロード 112