JP2012014434A - Information processor, authentication system and authentication method - Google Patents

Information processor, authentication system and authentication method Download PDF

Info

Publication number
JP2012014434A
JP2012014434A JP2010150341A JP2010150341A JP2012014434A JP 2012014434 A JP2012014434 A JP 2012014434A JP 2010150341 A JP2010150341 A JP 2010150341A JP 2010150341 A JP2010150341 A JP 2010150341A JP 2012014434 A JP2012014434 A JP 2012014434A
Authority
JP
Japan
Prior art keywords
network
time password
client device
service
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010150341A
Other languages
Japanese (ja)
Other versions
JP5586344B2 (en
Inventor
Noriaki Kitada
典昭 北田
Kenichi Yanai
謙一 谷内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2010150341A priority Critical patent/JP5586344B2/en
Publication of JP2012014434A publication Critical patent/JP2012014434A/en
Application granted granted Critical
Publication of JP5586344B2 publication Critical patent/JP5586344B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide an information processor capable of authenticating a client without storing a password in client equipment.SOLUTION: According to an embodiment, the information processor can provide a plurality of pieces of client equipment with service, and comprises transmission means, receiving means, and service means. The transmission means generates a one-time password for first client equipment in the plurality of pieces of client equipment, and transmits a start message including the generated one-time password and a start instruction to the first client equipment via a first network. The receiving means receives an authentication request including the one-time password via a second network from the first client equipment started by the start message. The service means executes service to the first client equipment via the second network when the generated one-time password matches to the one-time password in the received authentication request.

Description

本発明の実施形態は、クライアント機器を認証する情報処理装置及び認証システム、並びに該装置に適用される認証方法に関する。   Embodiments described herein relate generally to an information processing apparatus and an authentication system for authenticating a client device, and an authentication method applied to the apparatus.

一般に、サーバコンピュータとクライアント機器とをネットワークを介して接続してサービスを実行する際には、サービスを開始する前に、該クライアント機器がサーバコンピュータへの接続を許可された機器であるか否かが認証される。サーバは、例えば、クライアント機器からネットワークを介して送信されたパスワードを用いて、該クライアント機器が接続を許可された機器であるか否かを判定する。サーバは、正しいパスワードを送信したクライアント機器との接続を確立し、サービスの実行を開始する。   In general, when a service is executed by connecting a server computer and a client device via a network, whether or not the client device is permitted to connect to the server computer before starting the service. Is authenticated. For example, the server determines whether or not the client device is a device permitted to be connected, using a password transmitted from the client device via the network. The server establishes a connection with the client device that has transmitted the correct password, and starts executing the service.

特許第4302732号公報Japanese Patent No. 4302732

上述のパスワードには、クライアント機器内のフラッシュメモリ等に格納されたパスワードや電子証明書が用いられることがある。サーバコンピュータは、例えば、クライアント端末それぞれに関連付けられたパスワードを管理する。サーバコンピュータは、クライアント端末からネットワークを介して送信されたパスワードと、サーバコンピュータ内の当該クライアント端末に関連付けられたパスワードとを比較することによって、当該クライアント端末を認証する。通常、セキュリティ性を確保するためには、各クライアント端末のパスワードは定期的に更新することが必要とされる。   As the above-mentioned password, a password or an electronic certificate stored in a flash memory or the like in the client device may be used. For example, the server computer manages a password associated with each client terminal. The server computer authenticates the client terminal by comparing the password transmitted from the client terminal via the network with the password associated with the client terminal in the server computer. Usually, in order to ensure security, the password of each client terminal needs to be updated periodically.

しかし、たとえ各クライアント端末のパスワードを定期的に更新しても、十分なセキュリティを確保することは困難である。なぜなら、攻撃者は、複数のクライアント機器にそれぞれ設けられたフラッシュメモリのイメージを比較することによって、パスワード(または電子証明書)が格納されている記憶領域を特定するかもしれないからである。例えば、攻撃者は、フラッシュメモリのイメージがクライアント機器間で異なる領域を検出し、検出した領域を、パスワード(または電子証明書)が記憶された領域として特定するかもしれない。特定された領域はセキュリティホールとなる。   However, even if the password of each client terminal is updated regularly, it is difficult to ensure sufficient security. This is because an attacker may identify a storage area in which a password (or electronic certificate) is stored by comparing images of flash memories provided in a plurality of client devices. For example, an attacker may detect an area where the image of the flash memory differs between client devices, and specify the detected area as an area where a password (or electronic certificate) is stored. The identified area becomes a security hole.

本発明は、クライアント機器内にパスワードを格納せずに該クライアントを認証することができる情報処理装置、認証システム及び認証方法を提供することを目的とする。   An object of the present invention is to provide an information processing apparatus, an authentication system, and an authentication method that can authenticate a client without storing a password in the client device.

実施形態によれば、情報処理装置は、複数のクライアント機器にサービスを提供可能な情報処理装置であって、送信手段、受信手段及びサービス手段を具備する。送信手段は、前記複数のクライアント機器内の第1のクライアント機器のためのワンタイムパスワードを生成し、前記生成されたワンタイムパスワードと起動命令とを含む起動メッセージを、第1ネットワークを介して前記第1のクライアント機器に送信する。受信手段は、前記起動メッセージによって起動された前記第1のクライアント機器から第2ネットワークを介してワンタイムパスワードを含む認証要求を受信する。サービス手段は、前記生成されたワンタイムパスワードと前記受信された認証要求内のワンタイムパスワードとが一致するとき、前記第2ネットワークを介して、前記第1のクライアント機器に対するサービスを実行する。   According to the embodiment, the information processing apparatus is an information processing apparatus capable of providing services to a plurality of client devices, and includes a transmission unit, a reception unit, and a service unit. The transmission means generates a one-time password for a first client device in the plurality of client devices, and sends an activation message including the generated one-time password and an activation command via the first network. Transmit to the first client device. The receiving means receives an authentication request including a one-time password from the first client device activated by the activation message via the second network. The service means executes the service for the first client device via the second network when the generated one-time password matches the one-time password in the received authentication request.

一実施形態に係る認証システムの構成を示す概念図。The conceptual diagram which shows the structure of the authentication system which concerns on one Embodiment. 同実施形態の認証システムの構成を示す別の概念図。The another conceptual diagram which shows the structure of the authentication system of the embodiment. 同実施形態の認証システムの構成を示すブロック図。The block diagram which shows the structure of the authentication system of the embodiment. 同実施形態の認証システムに設けられる認証サーバによって用いられるクライアント情報の一構成例を示す図。The figure which shows one structural example of the client information used by the authentication server provided in the authentication system of the embodiment. 同実施形態の認証システムによって実行されるサービス開始処理の通信シーケンスを示す図。The figure which shows the communication sequence of the service start process performed by the authentication system of the embodiment. 同実施形態の認証システムによって実行されるサービス開始処理の手順の例を示すフローチャート。6 is an exemplary flowchart illustrating an example of a procedure of service start processing which is executed by the authentication system of the embodiment.

以下、実施の形態について図面を参照して説明する。
まず、図1を参照して、一実施形態に係る認証システムの概念的な構成例を説明する。認証システムには、認証サーバ1、端末起動サーバ2及び複数の端末3(クライアント)が設けられる。認証サーバ1と端末起動サーバ2との間は安全な通信路4で接続される。端末起動サーバ2と端末3との間は安全な通信路5で接続される。また、端末3と認証サーバ1との間は安全でない通信路6で接続される。 Hereinafter, embodiments will be described with reference to the drawings.
First, a conceptual configuration example of an authentication system according to an embodiment will be described with reference to FIG. The authentication system includes an authentication server 1, a terminal activation server 2, and a plurality of terminals 3 (clients). The authentication server 1 and the terminal activation server 2 are connected by a secure communication path 4. The terminal activation server 2 and the terminal 3 are connected by a secure communication path 5. Further, the terminal 3 and the authentication server 1 are connected by an insecure communication path 6.

認証サーバ1は、複数の端末(クライアント)3にサービスを提供する。このサービスは、例えば、複数の端末3の内の一つの端末3を起動し、端末3に設けられたGPSレシーバを用いて、端末3の位置情報を端末3から認証サーバ1に送信するためのサービスである。また、このサービスは、例えば、複数の端末3の内の端末3を起動し、端末3に設けられた記憶装置に格納されたデータを削除するためのサービスである。認証サーバ1は、安全な通信路4を介して、起動命令とワンタイムパスワードとを端末起動サーバ2に送信し、端末起動サーバ2に端末3へのメッセージの送信を依頼する(端末起動サーバ2に、端末3に対してメッセージを送信させる)。   The authentication server 1 provides services to a plurality of terminals (clients) 3. For example, this service starts one terminal 3 of a plurality of terminals 3 and uses the GPS receiver provided in the terminal 3 to transmit the location information of the terminal 3 from the terminal 3 to the authentication server 1. It is a service. In addition, this service is a service for activating the terminal 3 of the plurality of terminals 3 and deleting the data stored in the storage device provided in the terminal 3, for example. The authentication server 1 transmits an activation command and a one-time password to the terminal activation server 2 via the secure communication path 4, and requests the terminal activation server 2 to transmit a message to the terminal 3 (terminal activation server 2). To send a message to the terminal 3).

端末起動サーバ2は、認証サーバ1によって送信された起動命令とワンタイムパスワードとを受信する。端末起動サーバ2は、これら起動命令とワンタイムパスワードとを含むメッセージを生成する。そして、端末起動サーバ2は、安全な通信路5を介して生成したメッセージを端末3に送信する。   The terminal activation server 2 receives the activation command and the one-time password transmitted by the authentication server 1. The terminal activation server 2 generates a message including these activation instructions and a one-time password. Then, the terminal activation server 2 transmits the message generated via the secure communication path 5 to the terminal 3.

端末3は、端末起動サーバ2によって送信されたメッセージを受信する。そして、端末3は、メッセージに含まれる起動命令に応答して起動する。そして、端末3は、メッセージに含まれるワンタイムパスワードを用いて、認証サーバ1に認証を要求する。認証が成功したとき、端末3は、安全でない通信路6を介した、認証サーバ1によるサービスの実行に応じて、所定の処理を実行する。端末3は、認証サーバ1による要求(サービス)に応じて、例えば、端末3に設けられたGPSレシーバによって検出された端末3の位置情報を暗号化し、安全でない通信路6を介して認証サーバ1に送信する。また、端末3は、認証サーバ1による要求に応じて、例えば、端末3に設けられた記憶装置に格納されたデータを削除する。   The terminal 3 receives the message transmitted by the terminal activation server 2. Then, the terminal 3 is activated in response to the activation command included in the message. Then, the terminal 3 requests the authentication server 1 for authentication using the one-time password included in the message. When the authentication is successful, the terminal 3 executes a predetermined process according to the execution of the service by the authentication server 1 via the insecure communication path 6. In response to a request (service) from the authentication server 1, the terminal 3 encrypts the position information of the terminal 3 detected by a GPS receiver provided in the terminal 3, for example, and authenticates the authentication server 1 via the insecure communication path 6. Send to. Further, the terminal 3 deletes data stored in a storage device provided in the terminal 3, for example, in response to a request from the authentication server 1.

上述のように、認証サーバ1は、サービスを開始する前に、ワンタイムパスワードを用いて端末3を認証する。つまり、認証サーバ1は、ワンタイムパスワードを用いた認証が成功した端末3に対してサービスを実行する。ワンタイムパスワードは、1回の認証にのみ用いられるパスワードである。つまり、一度目の認証ではワンタイムパスワードを用いて認証が成功し、二度目以降の認証では同じワンタイムパスワードを用いて認証が失敗する。また、ワンタイムパスワードには、認証に用いることができる有効期間(例えば、数分)が規定され得る。そのため、例えば、ワンタイムパスワードが生成されてから有効期間が経過した後では、そのワンタイムパスワードを用いた認証は失敗する。以上により、ワンタイムパスワードを用いた認証では、例えば、パスワードが第三者に知られたときにもセキュリティを高めることができる。   As described above, the authentication server 1 authenticates the terminal 3 using the one-time password before starting the service. That is, the authentication server 1 executes the service for the terminal 3 that has been successfully authenticated using the one-time password. The one-time password is a password used only for one authentication. That is, in the first authentication, the authentication succeeds using the one-time password, and in the second and subsequent authentications, the authentication fails using the same one-time password. The one-time password can be defined with an effective period (for example, several minutes) that can be used for authentication. Therefore, for example, after the validity period has elapsed after the one-time password is generated, authentication using the one-time password fails. As described above, in the authentication using the one-time password, for example, security can be improved even when the password is known to a third party.

この認証システムでは、以下の手順でワンタイムパスワードを用いた認証が行われる。
まず、認証サーバ1に設けられたワンタイムパスワード生成器12は、端末3のためのワンタイムパスワードを生成する。そして、認証サーバ1は、通信機能101を用いて、端末起動サーバ2に起動メッセージの送信を依頼する。その際、認証サーバ1は、生成したワンタイムパスワードと起動命令とを、安全な通信路4を介して端末起動サーバ2に送信する。 In this authentication system, authentication using a one-time password is performed according to the following procedure.
First, the one-time password generator 12 provided in the authentication server 1 generates a one-time password for the terminal 3. Then, the authentication server 1 requests the terminal activation server 2 to transmit an activation message using the communication function 101. At that time, the authentication server 1 transmits the generated one-time password and the activation command to the terminal activation server 2 via the secure communication path 4.

端末起動サーバ2は、認証サーバ1によって送信されたワンタイムパスワードと起動命令とを受信する。端末起動サーバ2は、これらワンタイムパスワードと起動命令とを含む起動メッセージ生成する。そして、端末起動サーバ2は、安全な通信路5を介して、生成した起動メッセージを端末3に送信する。   The terminal activation server 2 receives the one-time password and activation command transmitted by the authentication server 1. The terminal activation server 2 generates an activation message including these one-time password and activation command. Then, the terminal activation server 2 transmits the generated activation message to the terminal 3 via the secure communication path 5.

端末3は、端末起動サーバ2によって送信された起動メッセージを受信する。端末3は、起動メッセージに含まれる起動命令に応答して起動する。なお、起動前の端末3では、安全な通信路5を介した通信を実行するための通信機能(通信モジュール)301が動作し、端末3内の他のモジュール、BIOS、OS等は動作していない。そのため、端末3は、起動命令に応答して、端末3内の通信モジュール301以外のモジュール、BIOS、OS等を起動する。起動した端末3は、安全でない通信路6を介して、ワンタイムパスワードを含む認証要求(ログイン要求)を認証サーバ1に送信する。   The terminal 3 receives the activation message transmitted by the terminal activation server 2. The terminal 3 is activated in response to the activation command included in the activation message. In addition, in the terminal 3 before starting, a communication function (communication module) 301 for executing communication via the secure communication path 5 operates, and other modules, BIOS, OS, etc. in the terminal 3 operate. Absent. Therefore, the terminal 3 activates a module other than the communication module 301 in the terminal 3, such as a BIOS and an OS, in response to the activation command. The activated terminal 3 transmits an authentication request (login request) including the one-time password to the authentication server 1 via the insecure communication path 6.

認証サーバ1は、端末3によって送信された認証要求を受信する。そして、生成したワンタイムパスワードと受信した認証要求に含まれるワンタイムパスワードとが一致するとき、認証サーバ1に設けられたサービス部11はメッセージを暗号化することにより、安全でない通信路6を介して、端末3に対するサービスの実行を開始する。
以上の構成により、認証サーバ1は、認証した端末3に対するサービスを実行することができる。また、認証に用いられるワンタイムパスワードは、安全な通信路4,5を介して、端末3に送信される。したがって、安全な通信路4,5を介して得られたワンタイムパスワードを用いて、安全でない通信路6を介して接続される端末3の認証を行うことができる。 The authentication server 1 receives the authentication request transmitted by the terminal 3. Then, when the generated one-time password matches the one-time password included in the received authentication request, the service unit 11 provided in the authentication server 1 encrypts the message so as to pass through the insecure communication path 6. Then, execution of the service for the terminal 3 is started.
With the above configuration, the authentication server 1 can execute a service for the authenticated terminal 3. The one-time password used for authentication is transmitted to the terminal 3 via the secure communication paths 4 and 5. Therefore, the terminal 3 connected via the insecure communication path 6 can be authenticated using the one-time password obtained via the secure communication paths 4 and 5.

また、図2は、本実施形態の認証システムの概念的な構成の別の例を示す。認証システムには、認証サーバ1、SMS(short message service)サーバ2及び複数の端末(クライアント)3が設けられる。認証サーバ1、SMSサーバ2及び端末3は、それぞれ、図1を参照して説明した認証サーバ1、端末起動サーバ2及び端末3と同様に動作する。なお、認証サーバ1とSMSサーバ2との間はイントラネット4で接続される。SMSサーバ2と端末3との間はセルラーネットワーク(移動通信網)5で接続される。また、端末3と認証サーバ1との間はインターネット(インターネットプロトコルネットワーク)6で接続される。   FIG. 2 shows another example of the conceptual configuration of the authentication system of the present embodiment. The authentication system includes an authentication server 1, an SMS (short message service) server 2, and a plurality of terminals (clients) 3. The authentication server 1, the SMS server 2, and the terminal 3 operate in the same manner as the authentication server 1, the terminal activation server 2, and the terminal 3 described with reference to FIG. The authentication server 1 and the SMS server 2 are connected by an intranet 4. The SMS server 2 and the terminal 3 are connected by a cellular network (mobile communication network) 5. The terminal 3 and the authentication server 1 are connected by the Internet (Internet protocol network) 6.

なお、図2に示す認証サーバ1は、イントラネット4を介して、SMSサーバ2にサービス対象の端末3に対応する電話番号、起動命令及びワンタイムパスワードを、SMSサーバに送信することによって、SMSサーバ2に端末3へのメッセージの送信を依頼する(SMSサーバ2に、端末3に対してメッセージを送信させる)。   The authentication server 1 shown in FIG. 2 transmits the telephone number, activation command, and one-time password corresponding to the service target terminal 3 to the SMS server 2 via the intranet 4 to the SMS server 2. 2 is requested to send a message to the terminal 3 (the SMS server 2 is caused to send a message to the terminal 3).

SMSサーバ2は、認証サーバ1によって送信された、端末3の電話番号、起動命令及びワンタイムパスワードを受信する。SMSサーバ2は、起動命令とワンタイムパスワードとを含むショートメッセージを生成する。そして、SMSサーバ2は、端末3の電話番号を用いてセルラーネットワーク5を介して、生成したショートメッセージを端末3に送信する。ショートメッセージは、例えば、所定のサイズ以内のデータを含むメッセージである。   The SMS server 2 receives the telephone number, activation command, and one-time password of the terminal 3 transmitted by the authentication server 1. The SMS server 2 generates a short message including an activation command and a one-time password. Then, the SMS server 2 transmits the generated short message to the terminal 3 via the cellular network 5 using the telephone number of the terminal 3. A short message is a message including data within a predetermined size, for example.

図2に示す認証サーバ1でも、図1に示す例と同様に、認証した端末3に対するサービスを実行することができる。また、認証に用いられるワンタイムパスワードは、安全なイントラネット4及びセルラーネットワーク5を介して、端末3に送信される。したがって、安全なイントラネット4及びセルラーネットワーク5を介して得られたワンタイムパスワードを用いて、安全でないインターネット6を介して接続される端末3の認証を行うことができる。   The authentication server 1 shown in FIG. 2 can execute a service for the authenticated terminal 3 as in the example shown in FIG. The one-time password used for authentication is transmitted to the terminal 3 via the secure intranet 4 and the cellular network 5. Therefore, the terminal 3 connected via the insecure Internet 6 can be authenticated using the one-time password obtained via the secure intranet 4 and the cellular network 5.

次いで、図3を参照して、本実施形態の認証システムの一構成例を説明する。認証システムには、認証サーバ1、メッセージ送信サーバ2、及び複数のクライアント機器3が設けられる。認証サーバ1とメッセージ送信サーバ2の間は第1ネットワーク4で接続される。第1ネットワーク4は、例えば、イントラネット、ローカルエリアネットワーク又はバーチャルプライベートネットワークである。メッセージ送信サーバ2とクライアント機器3との間は第2ネットワーク5で接続される。第2ネットワーク5は、例えば、移動通信網(セルラーネットワーク)である。クライアント機器3と認証サーバ1との間は第3ネットワーク6で接続される。第3ネットワーク6は、例えば、インターネットプロトコルネットワークである。   Next, a configuration example of the authentication system according to the present embodiment will be described with reference to FIG. The authentication system includes an authentication server 1, a message transmission server 2, and a plurality of client devices 3. The authentication server 1 and the message transmission server 2 are connected by the first network 4. The first network 4 is, for example, an intranet, a local area network, or a virtual private network. The message transmission server 2 and the client device 3 are connected by the second network 5. The second network 5 is, for example, a mobile communication network (cellular network). The client device 3 and the authentication server 1 are connected by a third network 6. The third network 6 is, for example, an Internet protocol network.

認証サーバ1は、複数のクライアント機器3に対してサービスを提供する。このサービスは、例えば、クライアント機器3を遠隔から起動して、そのクライアント機器3がある場所を特定するためのサービスである。クライアント機器3の場所の特定では、例えば、クライアント機器3に設けられたGPSレシーバを用いて、クライアント機器3の位置情報がクライアント機器3から認証サーバ1に送信される。また、このサービスは、例えば、クライアント機器3を遠隔から起動して、そのクライアント機器3に設けられた記憶装置に格納されたデータを削除するためのサービスである。   The authentication server 1 provides services to a plurality of client devices 3. This service is, for example, a service for remotely starting the client device 3 and specifying the location where the client device 3 is located. In specifying the location of the client device 3, for example, the position information of the client device 3 is transmitted from the client device 3 to the authentication server 1 using a GPS receiver provided in the client device 3. In addition, this service is a service for starting the client device 3 from a remote location and deleting data stored in a storage device provided in the client device 3, for example.

メッセージ送信サーバ2は、例えば、第1ネットワーク4を介して接続された認証サーバ1によってメッセージの送信を依頼され、依頼に応じて生成したメッセージを第2ネットワーク5を介して接続されたクライアント機器3に送信する。メッセージ送信サーバ2は、例えば、SMS(short message service)サーバとして実現され得る。   For example, the message transmission server 2 is requested to transmit a message by the authentication server 1 connected via the first network 4, and the client device 3 connected via the second network 5 with the message generated in response to the request. Send to. The message transmission server 2 can be realized as, for example, an SMS (short message service) server.

また、クライアント機器3は、第3ネットワーク6を介した、認証サーバ1によるサービスの実行に応じて、所定の処理を実行する。クライアント機器3は、認証サーバ1による要求(サービス)に応じて、例えば、クライアント機器3に設けられたGPSレシーバによって検出されたクライアント機器3の位置情報を、第3ネットワーク6を介して認証サーバ1に送信する。クライアント機器3は、認証サーバ1による要求に応じて、例えば、クライアント機器3に設けられた記憶装置に格納されたデータを削除する。なお、クライアント機器3では、動作状態と休止状態とが切り替えられる。動作状態では、クライアント機器3内のモジュール、BIOS、OS等が動作する。休止状態では、第2ネットワーク5を介して通信を行う通信モジュール(例えば、セルラーネットワークを介した通信を行うための通信デバイス)が動作し、クライアント機器3内の他のモジュール、BIOS、OS等は動作していない。クライアント機器3は、例えば、第2ネットワーク5を介して入力された起動命令に応答して起動する、すなわち、休止状態から動作状態に切り替わる(クライアント機器3内の他のモジュール、BIOS、OS等の動作が開始される)。また、クライアント機器3は、例えば、認証サーバ1によるサービスの実行が完了した後、動作状態から休止状態に切り替わる。   In addition, the client device 3 executes a predetermined process in accordance with the execution of the service by the authentication server 1 via the third network 6. In response to a request (service) from the authentication server 1, the client device 3 uses, for example, the location information of the client device 3 detected by a GPS receiver provided in the client device 3 via the third network 6. Send to. In response to a request from the authentication server 1, the client device 3 deletes data stored in a storage device provided in the client device 3, for example. Note that the client device 3 is switched between an operating state and a dormant state. In the operating state, modules, BIOS, OS, etc. in the client device 3 operate. In the dormant state, a communication module (for example, a communication device for performing communication via the cellular network) that performs communication via the second network 5 operates, and other modules, BIOS, OS, and the like in the client device 3 are Not working. For example, the client device 3 is activated in response to an activation command input via the second network 5, that is, switches from a sleep state to an operating state (other modules in the client device 3, BIOS, OS, etc. Operation starts). In addition, for example, after the execution of the service by the authentication server 1 is completed, the client device 3 switches from the operating state to the dormant state.

認証サーバ1、メッセージ送信サーバ2及びクライアント機器3は、例えばコンピュータ等の情報処理装置として実現され得る。認証サーバ1(第1情報処理装置)は、サービス部11、パスワード生成部12、第1通信部13、第2通信部14、及び認証部15を備える。メッセージ送信サーバ2(第2情報処理装置)は、通信部21、メッセージ生成部22及びメッセージ送信部23を備える。クライアント機器3は、メッセージ受信部31、起動部32、認証部33、通信部34、及びサービス部35を備える。   The authentication server 1, the message transmission server 2, and the client device 3 can be realized as an information processing apparatus such as a computer. The authentication server 1 (first information processing apparatus) includes a service unit 11, a password generation unit 12, a first communication unit 13, a second communication unit 14, and an authentication unit 15. The message transmission server 2 (second information processing apparatus) includes a communication unit 21, a message generation unit 22, and a message transmission unit 23. The client device 3 includes a message reception unit 31, an activation unit 32, an authentication unit 33, a communication unit 34, and a service unit 35.

認証サーバ1のサービス部11は、クライアント機器3に対するサービスを実行する。具体的には、まず、サービス部11は、サービス対象のクライアント機器3に対応するクライアント情報1Aを読み出す。クライアント情報1Aは、例えば、認証サーバ1内に設けられた記憶装置に格納されている。   The service unit 11 of the authentication server 1 executes a service for the client device 3. Specifically, first, the service unit 11 reads client information 1A corresponding to the client device 3 to be serviced. The client information 1A is stored in a storage device provided in the authentication server 1, for example.

図4は、クライアント情報1Aの一構成例を示す。クライアント情報1Aは、複数のクライアント機器3にそれぞれ対応する複数のエントリを含む。各エントリは、例えば、クライアントIDと電話番号とを含む。あるクライアント機器に対応するエントリにおいて、クライアントIDは、そのクライアント機器に固有の識別情報を示す。クライアントIDは、例えば、そのクライアント機器に内蔵された通信デバイスやHDDに付与されたIDであってもよい。電話番号は、そのクライアント機器に対応する電話番号を示す。   FIG. 4 shows a configuration example of the client information 1A. The client information 1A includes a plurality of entries respectively corresponding to the plurality of client devices 3. Each entry includes, for example, a client ID and a telephone number. In an entry corresponding to a certain client device, the client ID indicates identification information unique to the client device. The client ID may be, for example, an ID assigned to a communication device or HDD built in the client device. The telephone number indicates a telephone number corresponding to the client device.

サービス部11は、サービス対象のクライアント機器3のワンタイムパスワードの生成をパスワード生成部12に要求する。   The service unit 11 requests the password generation unit 12 to generate a one-time password for the client device 3 to be serviced.

パスワード生成部12は、サービス部11による要求に応答して、クライアント機器3のためのワンタイムパスワードを生成する。パスワード生成部12は、例えば、生成時の時刻をハッシュ関数を用いて変換した値を算出し、ワンタイムパスワードに設定する。そして、パスワード生成部12は、生成したワンタイムパスワードをサービス部11に出力する。   The password generation unit 12 generates a one-time password for the client device 3 in response to the request from the service unit 11. For example, the password generation unit 12 calculates a value obtained by converting the time of generation using a hash function, and sets it as a one-time password. Then, the password generation unit 12 outputs the generated one-time password to the service unit 11.

サービス部11は、クライアント機器3の電話番号、生成されたワンタイムパスワード、及び起動命令を第1通信部13に出力する。第1通信部13は、メッセージ送信サーバ2に起動メッセージの送信を依頼(要求)するために、クライアント機器3の電話番号、生成されたワンタイムパスワード、及び起動命令を、第1ネットワーク4を介して、メッセージ送信サーバ2の通信部21に送信する。第1通信部13は、例えば、イントラネットでの通信が可能な通信モジュールである。   The service unit 11 outputs the telephone number of the client device 3, the generated one-time password, and an activation command to the first communication unit 13. The first communication unit 13 sends the telephone number of the client device 3, the generated one-time password, and the activation command to the message transmission server 2 via the first network 4 in order to request (request) transmission of the activation message. To the communication unit 21 of the message transmission server 2. The first communication unit 13 is, for example, a communication module capable of communication on an intranet.

通信部21は、第1通信部13によって送信された起動メッセージの送信要求を受信する。また、通信部21は、第1通信部13によって送信されたワンタイムパスワード、起動命令及び電話番号を受信する。通信部21は、受信したワンタイムパスワードと起動命令とをメッセージ生成部22に出力する。なお、通信部21は、例えば、イントラネットでの通信が可能な通信モジュールである。   The communication unit 21 receives the transmission request for the activation message transmitted by the first communication unit 13. Further, the communication unit 21 receives the one-time password, the activation command, and the telephone number transmitted by the first communication unit 13. The communication unit 21 outputs the received one-time password and activation command to the message generation unit 22. Note that the communication unit 21 is a communication module capable of communication on an intranet, for example.

メッセージ生成部22は、通信部13によって出力されたワンタイムパスワードと起動命令とを含む起動メッセージを生成する。そして、メッセージ送信部22は、生成した起動メッセージをメッセージ送信部23に出力する。   The message generator 22 generates an activation message including the one-time password output by the communication unit 13 and an activation command. Then, the message transmission unit 22 outputs the generated activation message to the message transmission unit 23.

メッセージ送信部23は、メッセージ生成部22によって生成された起動メッセージを、第2ネットワーク5を介して、電話番号によって指定されるクライアント機器3(メッセージ受信部31)に送信する。メッセージ送信部23は、例えば、移動通信網(セルラーネットワーク)での通信が可能な通信モジュールである。   The message transmission unit 23 transmits the activation message generated by the message generation unit 22 to the client device 3 (message reception unit 31) specified by the telephone number via the second network 5. The message transmission unit 23 is a communication module that can communicate with a mobile communication network (cellular network), for example.

クライアント機器3のメッセージ受信部31は、メッセージ送信部23によって送信された起動メッセージを受信する。メッセージ受信部31は、受信した起動メッセージを起動部32に出力する。メッセージ受信部31は、例えば、移動通信網(セルラーネットワーク)での通信が可能な通信モジュールである。   The message receiving unit 31 of the client device 3 receives the activation message transmitted by the message transmitting unit 23. The message receiving unit 31 outputs the received activation message to the activation unit 32. The message receiving unit 31 is a communication module that can communicate with a mobile communication network (cellular network), for example.

起動部32は、起動メッセージに含まれる起動命令に応答して、クライアント機器3を起動する。つまり、起動部32は、クライアント機器3を休止状態から動作状態に切り替える。上述のように、起動前(休止状態)のクライアント機器3では、第2ネットワーク5を介した通信を実行するためのメッセージ受信部31が動作し、クライアント機器3内の他のモジュール、BIOS、OS等は動作していない。クライアント機器3では、休止状態から動作状態に移行することにより、クライアント機器3内の他のモジュール、BIOS、OS等の動作が開始される。起動部32は、認証部33に起動メッセージに含まれるワンタイムパスワードを出力する。   The activation unit 32 activates the client device 3 in response to the activation instruction included in the activation message. That is, the activation unit 32 switches the client device 3 from the hibernation state to the operation state. As described above, in the client device 3 before activation (hibernation), the message receiving unit 31 for executing communication via the second network 5 operates, and other modules, BIOS, OS in the client device 3 operate. Etc are not working. In the client device 3, the operation of other modules, BIOS, OS, etc. in the client device 3 is started by shifting from the hibernation state to the operation state. The activation unit 32 outputs the one-time password included in the activation message to the authentication unit 33.

認証部33は、起動部32によって出力されたワンタイムパスワードを用いて、認証サーバ1に認証を要求する。具体的には、まず、認証部33は、クライアントID3Aとワンタイムパスワードとを含む認証要求を通信部34に出力する。通信部34は、第3ネットワーク6を介して、認証サーバ1の第2通信部14に接続要求を送信する。その際、通信部34は、第2通信部14との間でHTTPSによるセッションを確立してもよい。また、通信部34は、セッション確立時に、認証サーバ1によって送信された電子証明書を受信し、認証サーバ1が信頼できるサーバであるか否かを判定してもよい(サーバ認証)。これにより、ワンタイムパスワードを含む認証要求をより安全に送信することができる。通信部34は、例えば、インターネットでの通信が可能な通信モジュールである。   The authentication unit 33 requests authentication from the authentication server 1 using the one-time password output by the activation unit 32. Specifically, the authentication unit 33 first outputs an authentication request including the client ID 3A and the one-time password to the communication unit 34. The communication unit 34 transmits a connection request to the second communication unit 14 of the authentication server 1 via the third network 6. At this time, the communication unit 34 may establish an HTTPS session with the second communication unit 14. Further, the communication unit 34 may receive an electronic certificate transmitted by the authentication server 1 at the time of session establishment, and determine whether or not the authentication server 1 is a reliable server (server authentication). Thereby, the authentication request including the one-time password can be transmitted more safely. The communication unit 34 is a communication module capable of communication over the Internet, for example.

第2通信部14は、通信部34によって送信された認証要求を受信する。そして、第2通信部14は、受信した認証要求を認証部15に出力する。第2通信部14は、例えば、インターネットでの通信が可能な通信モジュールである。   The second communication unit 14 receives the authentication request transmitted by the communication unit 34. Then, the second communication unit 14 outputs the received authentication request to the authentication unit 15. The second communication unit 14 is, for example, a communication module that can perform communication over the Internet.

認証部15は、パスワード生成部12によって生成された、クライアント機器3のためのワンタイムパスワードと、受信した認証要求に含まれるワンタイムパスワードとが一致するか否かを判定する(クライアント認証)。   The authentication unit 15 determines whether the one-time password for the client device 3 generated by the password generation unit 12 matches the one-time password included in the received authentication request (client authentication).

生成されたワンタイムパスワードと認証要求に含まれるワンタイムパスワードとが一致した場合、認証部15は、クライアント機器3がサービス対象のクライアントであると判定する。すなわち、認証サーバ1とクライアント機器3との間の相互認証が完了する。認証部15は、第2通信部14に、認証が成功したことを示すメッセージを出力する。そして、第2通信部14は、クライアント機器3の通信部34に認証成功を示すメッセージを送信する。また、認証部15は、サービス部11にクライアント機器3の認証が成功したことを通知する。サービス部11は、第3ネットワーク6を介して、クライアント機器3に対するサービスの実行を開始する。クライアント機器3のサービス部35は、サービス部11による要求に応じて、所定の処理を実行する。   If the generated one-time password matches the one-time password included in the authentication request, the authentication unit 15 determines that the client device 3 is a client to be serviced. That is, mutual authentication between the authentication server 1 and the client device 3 is completed. The authentication unit 15 outputs a message indicating that the authentication is successful to the second communication unit 14. Then, the second communication unit 14 transmits a message indicating successful authentication to the communication unit 34 of the client device 3. In addition, the authentication unit 15 notifies the service unit 11 that the authentication of the client device 3 has been successful. The service unit 11 starts executing a service for the client device 3 via the third network 6. The service unit 35 of the client device 3 executes a predetermined process in response to a request from the service unit 11.

具体的には、認証サーバ1のサービス部11は、クライアント機器3に対して、クライアント機器3の位置情報(現在位置)の送信を要求する。クライアント機器3のサービス部35は、この要求に応じて、例えば、クライアント機器3に設けられたGPSレシーバによって検出されたクライアント機器3の位置情報を、第3ネットワーク6を介して認証サーバ1に送信する。   Specifically, the service unit 11 of the authentication server 1 requests the client device 3 to transmit the location information (current location) of the client device 3. In response to this request, the service unit 35 of the client device 3 transmits, for example, the location information of the client device 3 detected by the GPS receiver provided in the client device 3 to the authentication server 1 via the third network 6. To do.

また、認証サーバ1のサービス部11は、クライアント機器3に対して、クライアント機器3に設けられた記憶装置(例えば、HDD)に格納されたデータの削除を要求する。   The service unit 11 of the authentication server 1 requests the client device 3 to delete data stored in a storage device (for example, HDD) provided in the client device 3.

クライアント機器3のサービス部35は、この要求に応じて、クライアント機器3に設けられた記憶装置に格納されたデータを削除する。 In response to this request, the service unit 35 of the client device 3 deletes the data stored in the storage device provided in the client device 3.

生成されたワンタイムパスワードと認証要求に含まれるワンタイムパスワードとが一致しない場合、認証部15は、第2通信部14に、認証が失敗したことを示すメッセージを出力する。第2通信部14は、クライアント機器3の通信部34に認証失敗を示すメッセージを送信する。そして、第2通信部14はクライアント機器3(通信部34)との間の接続を解除する。   When the generated one-time password does not match the one-time password included in the authentication request, the authentication unit 15 outputs a message indicating that the authentication has failed to the second communication unit 14. The second communication unit 14 transmits a message indicating authentication failure to the communication unit 34 of the client device 3. And the 2nd communication part 14 cancels | releases the connection between the client apparatuses 3 (communication part 34).

以上の構成により、認証サーバ1は、クライアント機器3に起動命令とワンタイムパスワードとを含む起動メッセージを送信することにより、クライアント機器3を起動させ、クライアント機器3に認証サーバ1への認証要求を送信させることができる。つまり、認証サーバ1は、クライアント機器3を起動させると同時に、クライアント機器3に対するサービスを実行するための認証を開始することができる。また、ワンタイムパスワードを含む起動メッセージを、安全なネットワークである第1ネットワーク4及び第2ネットワーク5を介して送信することにより、ワンタイムパスワードを安全にクライアント機器3に送信することができる。さらに、クライアント機器3では、サービスの実行が要求される毎に、認証サーバ1からワンタイムパスワードを受信するため、パスワードをクライアント機器3に格納しておく必要がない。そのため、例えば、クライアント機器3にそれぞれ設けられたフラッシュメモリのイメージを比較することによって、パスワード(または電子証明書)が格納されている記憶領域が特定されること(セキュリティホール)を回避できる。なお、認証サーバ1の第1通信部13と第2通信部14とは、一つの通信モジュール(デバイス)内に設けられてもよい。   With the configuration described above, the authentication server 1 sends the client device 3 a startup message including a startup command and a one-time password, thereby starting the client device 3 and requesting the client device 3 to request authentication from the authentication server 1. Can be sent. That is, the authentication server 1 can start authentication for executing a service for the client device 3 at the same time as starting the client device 3. In addition, the one-time password can be securely transmitted to the client device 3 by transmitting the activation message including the one-time password via the first network 4 and the second network 5 which are secure networks. Furthermore, since the client device 3 receives the one-time password from the authentication server 1 every time execution of the service is requested, it is not necessary to store the password in the client device 3. For this reason, for example, by comparing the images of the flash memories provided in the client devices 3, it is possible to avoid specifying the storage area in which the password (or electronic certificate) is stored (security hole). Note that the first communication unit 13 and the second communication unit 14 of the authentication server 1 may be provided in one communication module (device).

図5は、認証サーバ1、メッセージ送信サーバ2及びクライアント機器3の間の通信シーケンスを示す。
まず、認証サーバ1は、クライアント機器3のためのワンタイムパスワードを生成する。そして、認証サーバ1は、クライアント機器3にメッセージを送信することをメッセージ送信サーバ2に依頼する(S1)。その際、認証サーバ1は、生成したワンタイムパスワードをメッセージ送信サーバ2に送信する。 FIG. 5 shows a communication sequence among the authentication server 1, the message transmission server 2, and the client device 3.
First, the authentication server 1 generates a one-time password for the client device 3. Then, the authentication server 1 requests the message transmission server 2 to transmit a message to the client device 3 (S1). At that time, the authentication server 1 transmits the generated one-time password to the message transmission server 2.

次いで、メッセージ送信サーバ2は、認証サーバ1による依頼に応じて、ワンタイムパスワードを含むメッセージを生成する。そして、メッセージ送信サーバ2は、生成したメッセージをクライアント機器3に送信する(S2)。   Next, the message transmission server 2 generates a message including the one-time password in response to the request from the authentication server 1. Then, the message transmission server 2 transmits the generated message to the client device 3 (S2).

メッセージを受信したクライアント機器3は、認証サーバ1との間でHTTPSによるセッションを確立する(S3)。クライアント機器3は、セッションを確立するとき、認証サーバ1を認証(サーバ認証)する。クライアント機器3は、例えば、認証サーバ1によって送信された電子証明書を用いて、認証サーバ1が信頼できるサーバであるか否かを判定する。そして、認証サーバ1が信頼できるサーバであると判定されたとき、クライアント機器3は、認証サーバ1との間のセッションを確立する。   The client device 3 that has received the message establishes an HTTPS session with the authentication server 1 (S3). The client device 3 authenticates the authentication server 1 (server authentication) when establishing a session. For example, the client device 3 determines whether or not the authentication server 1 is a reliable server by using an electronic certificate transmitted by the authentication server 1. When it is determined that the authentication server 1 is a reliable server, the client device 3 establishes a session with the authentication server 1.

認証サーバ1との間のセッションを確立したクライアント機器3は、クライアントIDとワンタイムパスワードとを含む認証要求を認証サーバ1に送信する(S4)。認証サーバ1は、クライアント機器3によって送信された認証要求に応じて、クライアント機器3を認証(クライアント認証)する。認証サーバ1は、生成したワンタイムパスワードと、認証要求に含まれるワンタイムパスワードとが一致したとき、クライアント機器3が、認証サーバ1への接続を許可されたクライアントであると判定する。クライアント機器3が接続を許可されたクライアントと判定されたとき、認証サーバ1は、クライアント機器3に認証が完了したことを通知する(S5)。そして、認証サーバ1は、クライアント機器3に対するサービスの実行を開始する(S6)。   The client device 3 that has established a session with the authentication server 1 transmits an authentication request including the client ID and the one-time password to the authentication server 1 (S4). The authentication server 1 authenticates the client device 3 (client authentication) in response to the authentication request transmitted by the client device 3. The authentication server 1 determines that the client device 3 is a client permitted to connect to the authentication server 1 when the generated one-time password matches the one-time password included in the authentication request. When it is determined that the client device 3 is a client permitted to connect, the authentication server 1 notifies the client device 3 that the authentication is completed (S5). Then, the authentication server 1 starts executing a service for the client device 3 (S6).

以上の通信シーケンスにより、認証サーバ1は、クライアント機器3を認証し、クライアント機器3に対するサービスの実行を開始する。   Through the communication sequence described above, the authentication server 1 authenticates the client device 3 and starts executing a service for the client device 3.

次いで、図6のフローチャートを参照して、認証システムによって実行されるサービス開始処理の手順の例を説明する。
まず、サービス部11はサービスを開始するか否かを判定する(ブロックB101)。サービス部11は、例えば、前回サービスを実行してから所定の期間が経過したときにサービスを開始する。また、サービスは、例えば、サービスを開始する要求を検出したときにサービスを開始する。サービスを開始しない場合(ブロックB101のNO)、サービス部11は、ブロックB101に戻り、再度サービスを開始するか否かを判定する。 Next, an example of the procedure of service start processing executed by the authentication system will be described with reference to the flowchart of FIG.
First, the service unit 11 determines whether to start a service (block B101). For example, the service unit 11 starts a service when a predetermined period has elapsed since the previous service was executed. Also, the service starts the service when, for example, a request to start the service is detected. When the service is not started (NO in block B101), the service unit 11 returns to block B101 and determines whether to start the service again.

サービスを開始する場合(ブロックB101のYES)、サービス部11は、サービス対象のクライアント機器3を決定する(ブロックB102)。サービス部11は、決定したサービス対象のクライアント機器3に対応するクライアント情報1Aを読み出す。クライアント情報1Aは、クライアント機器3のクライアントIDと電話番号とを含む。   When starting the service (YES in block B101), the service unit 11 determines the client device 3 to be serviced (block B102). The service unit 11 reads the client information 1A corresponding to the determined client device 3 to be serviced. The client information 1A includes the client ID of the client device 3 and a telephone number.

次いで、パスワード生成部12は、クライアント機器3のためのワンタイムパスワードを生成する(ブロックB103)。パスワード生成部12は、例えば、生成する際の時刻をハッシュ関数を用いて変換した値をワンタイムパスワードとして生成する。そして、サービス部11は、クライアント機器3への起動メッセージの送信をメッセージ送信サーバ2に要求する(ブロックB104)。具体的には、第1通信部13は、サービス部11による起動メッセージ送信の要求に応じて、第1ネットワーク4を介して、生成したワンタイムパスワードと、クライアント機器3を起動するための起動命令と、クライアント機器3に対応する電話番号とをメッセージ送信サーバ2(通信部21)に送信する。   Next, the password generation unit 12 generates a one-time password for the client device 3 (block B103). For example, the password generating unit 12 generates a value obtained by converting the time of generation using a hash function as a one-time password. Then, the service unit 11 requests the message transmission server 2 to transmit an activation message to the client device 3 (block B104). Specifically, the first communication unit 13 responds to the request for transmitting the activation message by the service unit 11 and the generated one-time password and the activation command for activating the client device 3 via the first network 4. And the telephone number corresponding to the client device 3 are transmitted to the message transmission server 2 (communication unit 21).

メッセージ送信サーバ2の通信部21は、認証サーバ1によって送信された起動メッセージの送信要求を受信する(ブロックB105)。また、通信部21は、認証サーバ1によって送信されたワンタイムパスワード、起動命令及び電話番号を受信する。そして、メッセージ生成部22は、ワンタイムパスワードと起動命令とを含む起動メッセージを生成する(ブロックB106)。次いで、メッセージ送信部23は、受信した電話番号を用いて第2ネットワーク5を介して、生成した起動メッセージをクライアント機器3に送信する(ブロックB107)。   The communication unit 21 of the message transmission server 2 receives the activation message transmission request transmitted by the authentication server 1 (block B105). In addition, the communication unit 21 receives the one-time password, the activation command, and the telephone number transmitted by the authentication server 1. Then, the message generator 22 generates an activation message including a one-time password and an activation command (block B106). Next, the message transmission unit 23 transmits the generated activation message to the client device 3 via the second network 5 using the received telephone number (block B107).

クライアント機器3のメッセージ受信部31は、メッセージ送信部23によって送信された起動メッセージを受信する(ブロックB108)。起動部32は、起動メッセージに含まれる起動命令に応答して起動する(ブロックB109)。そして、通信部34は、認証サーバ1の第2通信部14との間で、第3ネットワーク6を介して接続を確立する(ブロックB110)。   The message receiving unit 31 of the client device 3 receives the activation message transmitted by the message transmitting unit 23 (block B108). The activation unit 32 is activated in response to the activation instruction included in the activation message (block B109). Then, the communication unit 34 establishes a connection with the second communication unit 14 of the authentication server 1 via the third network 6 (block B110).

次いで、認証部33は、クライアントIDとワンタイムパスワードとを含む認証要求を認証サーバ1に送信する(ブロックB111)。具体的には、認証部34は、通信部34にクライアントIDとワンタイムパスワードとを含む認証要求を出力する。通信部34は、認証要求を第3ネットワーク6を介して、認証サーバ1の第2通信部14に送信する。   Next, the authentication unit 33 transmits an authentication request including the client ID and the one-time password to the authentication server 1 (block B111). Specifically, the authentication unit 34 outputs an authentication request including a client ID and a one-time password to the communication unit 34. The communication unit 34 transmits an authentication request to the second communication unit 14 of the authentication server 1 via the third network 6.

第2通信部は、通信部34(クライアント機器3)によって送信された認証要求を受信する(ブロックB112)。第2通信部14は、受信した認証要求を認証部15に出力する。そして、認証部15は、パスワード生成部12によって生成された、クライアント機器3のためのワンタイムパスワードと、受信した認証要求に含まれるワンタイムパスワードとが一致するか否かを判定する(ブロックB113)。   The second communication unit receives the authentication request transmitted by the communication unit 34 (client device 3) (block B112). The second communication unit 14 outputs the received authentication request to the authentication unit 15. Then, the authentication unit 15 determines whether or not the one-time password for the client device 3 generated by the password generation unit 12 matches the one-time password included in the received authentication request (block B113). ).

生成されたワンタイムパスワードと認証要求に含まれるワンタイムパスワードとが一致した場合(ブロックB113のYES)、認証部15は、クライアント機器3に認証が成功したことを通知する(ブロックB114)。具体的には、認証部15は、第2通信部14に認証成功を示すメッセージを出力する。第2通信部14は、クライアント機器3の通信部34に認証成功を示すメッセージを送信する。また、認証部15は、サービス部11にクライアント機器3の認証が成功したことを通知する。そして、サービス部11は、第3ネットワーク6を介して、クライアント機器3に対するサービスの実行を開始する(ブロックB115)。クライアント機器3のサービス部35は、サービス部11による要求に応じて、所定の処理を実行する。   When the generated one-time password matches the one-time password included in the authentication request (YES in block B113), the authentication unit 15 notifies the client device 3 that the authentication has been successful (block B114). Specifically, the authentication unit 15 outputs a message indicating successful authentication to the second communication unit 14. The second communication unit 14 transmits a message indicating successful authentication to the communication unit 34 of the client device 3. In addition, the authentication unit 15 notifies the service unit 11 that the authentication of the client device 3 has been successful. Then, the service unit 11 starts executing a service for the client device 3 via the third network 6 (block B115). The service unit 35 of the client device 3 executes a predetermined process in response to a request from the service unit 11.

生成されたワンタイムパスワードと認証要求に含まれるワンタイムパスワードとが一致しない場合(ブロックB113のNO)、認証部15は、クライアント機器3に認証が失敗したことを通知する(ブロックB116)。具体的には、認証部15は、第2通信部14に認証失敗を示すメッセージを出力する。第2通信部14は、クライアント機器3の通信部34に認証失敗を示すメッセージを送信する。そして、第2通信部14はクライアント機器3(通信部34)との間の接続を解除する(ブロックB117)。   If the generated one-time password does not match the one-time password included in the authentication request (NO in block B113), the authentication unit 15 notifies the client device 3 that the authentication has failed (block B116). Specifically, the authentication unit 15 outputs a message indicating authentication failure to the second communication unit 14. The second communication unit 14 transmits a message indicating authentication failure to the communication unit 34 of the client device 3. Then, the second communication unit 14 releases the connection with the client device 3 (communication unit 34) (block B117).

以上の処理により、認証サーバ1は、クライアント機器3に起動命令とワンタイムパスワードとを含む起動メッセージを送信することにより、クライアント機器3を起動させ、クライアント機器3に認証サーバ1への認証要求を送信させることができる。つまり、認証サーバ1は、クライアント機器3を起動させると同時に、クライアント機器3に対するサービスを実行するための認証を開始することができる。   Through the above processing, the authentication server 1 sends the client device 3 a startup message including a startup command and a one-time password, thereby starting the client device 3 and requesting the client device 3 to authenticate the authentication server 1. Can be sent. That is, the authentication server 1 can start authentication for executing a service for the client device 3 at the same time as starting the client device 3.

なお、認証サーバ1は、メッセージ送信サーバ2を介さずに、直接クライアント機器3に、ワンタイムパスワードと起動命令とを含む起動メッセージを送信してもよい。換言すると、認証サーバ1は、メッセージ送信サーバ2が有する機能に対応する、起動メッセージを送信する機能を有してもよい。これにより、認証サーバ1とクライアント機器3とを接続する安全なネットワーク(例えば、イントラネットや移動通信網)を介して、ワンタイムパスワードをクライアント機器3に送信し、認証サーバ1とクライアント機器3とを接続する安全でないネットワーク(例えば、インターネット)を介して、クライアント機器3に対するサービスを実行することができる。   The authentication server 1 may transmit an activation message including a one-time password and an activation command directly to the client device 3 without using the message transmission server 2. In other words, the authentication server 1 may have a function of transmitting an activation message corresponding to the function of the message transmission server 2. As a result, the one-time password is transmitted to the client device 3 via a secure network (for example, an intranet or a mobile communication network) connecting the authentication server 1 and the client device 3, and the authentication server 1 and the client device 3 are connected. A service for the client device 3 can be executed via an insecure network to be connected (for example, the Internet).

また、クライアント機器3から、認証サーバ1にワンタイムパスワードを要求するメッセージを送信することもできる。その際にも、認証サーバ1は、安全なネットワークである第1ネットワーク4及び第2ネットワーク5を介してワンタイムパスワードをクライアント機器3に送信することができる。   In addition, a message requesting a one-time password can be transmitted from the client device 3 to the authentication server 1. Also at that time, the authentication server 1 can transmit the one-time password to the client device 3 via the first network 4 and the second network 5 which are secure networks.

以上説明したように、本実施形態によれば、クライアント機器内にパスワードを格納せずに該クライアントを認証することができる。認証サーバ1は、安全なネットワークである第1ネットワーク4及び第2ネットワーク5を介してワンタイムパスワードを含む起動メッセージを送信するため、ワンタイムパスワードを安全にクライアント機器3に送信することができる。さらに、クライアント機器3では、サービスの実行が要求される毎に認証サーバ1からワンタイムパスワードを受信する(すなわち、サービスの実行が要求される毎に認証サーバ1がワンタイムパスワードを生成する)ため、パスワードをクライアント機器3に格納しておく必要がない。そのため、例えば、クライアント機器3にそれぞれ設けられたフラッシュメモリのイメージを比較することによって、パスワード(または電子証明書)が格納されている記憶領域が特定されること(セキュリティホール)を回避できる。また、クライアント機器3にパスワード(又はクライアント証明書)を格納しておく必要がないため、パスワードを定期的に更新する必要がなくなり、運用の手間が軽減される。   As described above, according to this embodiment, the client can be authenticated without storing a password in the client device. Since the authentication server 1 transmits the activation message including the one-time password via the first network 4 and the second network 5 which are secure networks, the one-time password can be transmitted to the client device 3 safely. Further, the client device 3 receives a one-time password from the authentication server 1 every time a service execution is requested (that is, the authentication server 1 generates a one-time password every time a service execution is requested). The password need not be stored in the client device 3. For this reason, for example, by comparing the images of the flash memories provided in the client devices 3, it is possible to avoid specifying the storage area in which the password (or electronic certificate) is stored (security hole). In addition, since it is not necessary to store a password (or client certificate) in the client device 3, it is not necessary to update the password periodically, and the operation time is reduced.

なお、本実施形態のサービス開始処理の手順は全てソフトウェアによって実行することができる。このため、サービス開始処理の手順を実行するプログラムを格納したコンピュータ読み取り可能な記憶媒体を通じてこのプログラムを通常のコンピュータにインストールして実行するだけで、本実施形態と同様の効果を容易に実現することができる。   Note that all procedures of the service start processing of the present embodiment can be executed by software. For this reason, it is possible to easily realize the same effect as that of the present embodiment only by installing and executing this program on a normal computer through a computer-readable storage medium storing a program for executing the service start processing procedure. Can do.

本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。   Although several embodiments of the present invention have been described, these embodiments are presented by way of example and are not intended to limit the scope of the invention. These novel embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the scope of the invention. These embodiments and modifications thereof are included in the scope and gist of the invention, and are included in the invention described in the claims and the equivalents thereof.

1…認証サーバ、11…サービス部、12…パスワード生成部、13…第1通信部、14…第2通信部、15…認証部、1A…クライアント情報、2…メッセージ送信サーバ、21…通信部、22…メッセージ生成部、23…メッセージ送信部、3…クライアント機器、31…メッセージ受信部、32…起動部、33…認証部、34…通信部、35…サービス部、3A…クライアントID、4…第1ネットワーク、5…第2ネットワーク、6…第3ネットワーク。   DESCRIPTION OF SYMBOLS 1 ... Authentication server, 11 ... Service part, 12 ... Password production | generation part, 13 ... 1st communication part, 14 ... 2nd communication part, 15 ... Authentication part, 1A ... Client information, 2 ... Message transmission server, 21 ... Communication part , 22 ... message generation unit, 23 ... message transmission unit, 3 ... client device, 31 ... message reception unit, 32 ... activation unit, 33 ... authentication unit, 34 ... communication unit, 35 ... service unit, 3A ... client ID, 4 ... 1st network, 5 ... 2nd network, 6 ... 3rd network.

Claims (10)

複数のクライアント機器にサービスを提供可能な情報処理装置であって、
前記複数のクライアント機器内の第1のクライアント機器のためのワンタイムパスワードを生成し、前記生成されたワンタイムパスワードと起動命令とを含む起動メッセージを、第1ネットワークを介して前記第1のクライアント機器に送信する送信手段と、
前記起動メッセージによって起動された前記第1のクライアント機器から第2ネットワークを介してワンタイムパスワードを含む認証要求を受信する受信手段と、
前記生成されたワンタイムパスワードと前記受信された認証要求内のワンタイムパスワードとが一致するとき、前記第2ネットワークを介して、前記第1のクライアント機器に対するサービスを実行するサービス手段とを具備する情報処理装置。 An information processing apparatus capable of providing services to a plurality of client devices,
A one-time password for a first client device in the plurality of client devices is generated, and an activation message including the generated one-time password and an activation command is transmitted via the first network to the first client A transmission means for transmitting to the device;
Receiving means for receiving an authentication request including a one-time password from the first client device activated by the activation message via a second network;
Service means for executing a service for the first client device via the second network when the generated one-time password matches the one-time password in the received authentication request. Information processing device. 前記複数のクライアント機器の各々は移動通信網に接続可能な無線モジュールを含み、
前記送信手段は、イントラネットを介して、前記ワンタイムパスワードと前記起動命令と前記第1のクライアント機器に対応する電話番号とをショートメッセージサーバに送信し、前記ショートメッセージサーバに、前記電話番号を用いて前記移動通信網を介して、前記第1のクライアント機器に前記ワンタイムパスワードと前記起動命令とを含む起動メッセージを送信させ、
前記受信手段は、前記第1のクライアント機器からインターネットプロトコルネットワークを介して前記認証要求を受信し、
前記サービス手段は、前記インターネットプロトコルネットワークを介して前記サービスを実行する請求項1記載の情報処理装置。 Each of the plurality of client devices includes a wireless module connectable to a mobile communication network,
The transmission means transmits the one-time password, the activation command, and the telephone number corresponding to the first client device to the short message server via the intranet, and uses the telephone number for the short message server. Via the mobile communication network, causing the first client device to transmit an activation message including the one-time password and the activation command,
The receiving means receives the authentication request from the first client device via an Internet protocol network,
The information processing apparatus according to claim 1, wherein the service unit executes the service via the Internet protocol network. 前記複数のクライアント機器の各々は移動通信網に接続可能な無線モジュールを含み、
前記送信手段は、前記移動通信網を介して前記起動メッセージを前記第1のクライアント機器に送信し、
前記受信手段は、前記第1のクライアント機器からインターネットプロトコルネットワークを介して前記認証要求を受信し、
前記サービス手段は、前記インターネットプロトコルネットワークを介して前記サービスを実行する請求項1記載の情報処理装置。 Each of the plurality of client devices includes a wireless module connectable to a mobile communication network,
The transmission means transmits the activation message to the first client device via the mobile communication network,
The receiving means receives the authentication request from the first client device via an Internet protocol network,
The information processing apparatus according to claim 1, wherein the service unit executes the service via the Internet protocol network. 前記第1ネットワークは安全なネットワークであり、
前記第2ネットワークは安全でないネットワークである請求項1記載の情報処理装置。 The first network is a secure network;
The information processing apparatus according to claim 1, wherein the second network is an insecure network. 前記送信手段は、ハッシュ関数を用いて前記ワンタイムパスワードを生成する請求項1記載の情報処理装置。   The information processing apparatus according to claim 1, wherein the transmission unit generates the one-time password using a hash function. 複数のクライアント機器内の第1のクライアント機器のためのワンタイムパスワードを生成し、前記生成されたワンタイムパスワードと起動命令とを、第1ネットワークを介して、第2情報処理装置に送信する第1情報処理装置を具備し、
前記第2情報処理装置は、前記第1ネットワークを介して、前記ワンタイムパスワードと前記起動命令とを受信し、前記ワンタイムパスワードと前記起動命令とを含む起動メッセージを生成し、第2ネットワークを介して、前記起動メッセージを前記第1のクライアント機器に送信し、
前記第1のクライアント機器は、前記第2ネットワークを介して前記起動メッセージを受信し、前記起動メッセージに含まれる前記起動命令に応答して起動し、ワンタイムパスワードを含む認証要求を、第3ネットワークを介して前記第1情報処理装置に送信し、
前記第1情報処理装置は、前記第3ネットワークを介して前記認証要求を受信し、前記生成されたワンタイムパスワードと前記受信された認証要求内のワンタイムパスワードとが一致するとき、前記第3ネットワークを介して、前記第1のクライアント機器に対するサービスを実行する認証システム。 A one-time password for a first client device in a plurality of client devices is generated, and the generated one-time password and an activation command are transmitted to the second information processing apparatus via the first network. 1 with an information processing device,
The second information processing device receives the one-time password and the activation command via the first network, generates an activation message including the one-time password and the activation command, and transmits a second network to the second information processing device. The activation message is transmitted to the first client device via
The first client device receives the activation message via the second network, activates in response to the activation command included in the activation message, and sends an authentication request including a one-time password to the third network. To the first information processing device via
The first information processing apparatus receives the authentication request via the third network, and when the generated one-time password matches the one-time password in the received authentication request, the third information processing apparatus An authentication system for executing a service for the first client device via a network. 前記第1情報処理装置は、前記ワンタイムパスワードと前記起動命令と前記第1のクライアント機器に対応する電話番号とを、イントラネットを介して前記第2情報処理装置に送信し、
前記第2情報処理装置は、前記イントラネットを介して、前記ワンタイムパスワードと前記起動命令と前記第1のクライアント機器の電話番号とを受信し、前記生成されたワンタイムパスワードと前記起動命令とを含む起動メッセージを生成し、前記電話番号を用いて移動通信網を介して、前記起動メッセージを前記第1のクライアント機器に送信し、
前記第1のクライアント機器は、前記移動通信網に接続可能な無線モジュールを含み、前記移動通信網を介して前記起動メッセージを受信し、前記起動メッセージに含まれる前記起動命令に応答して起動し、インターネットプロトコルネットワークを介して、ワンタイムパスワードを含む認証要求を前記第1情報処理装置に送信し、
前記第1情報処理装置は、前記インターネットプロトコルネットワークを介して前記認証要求を受信し、前記生成されたワンタイムパスワードと前記受信された認証要求内のワンタイムパスワードとが一致するとき、前記インターネットプロトコルネットワークを介して前記サービスを実行する請求項6記載の認証システム。 The first information processing device transmits the one-time password, the activation command, and a telephone number corresponding to the first client device to the second information processing device via an intranet,
The second information processing apparatus receives the one-time password, the activation command, and the telephone number of the first client device via the intranet, and receives the generated one-time password and the activation command. Generating an activation message including, and transmitting the activation message to the first client device via the mobile communication network using the telephone number;
The first client device includes a wireless module connectable to the mobile communication network, receives the activation message via the mobile communication network, and activates in response to the activation command included in the activation message. Sending an authentication request including a one-time password to the first information processing apparatus via the Internet protocol network;
The first information processing apparatus receives the authentication request via the Internet protocol network, and when the generated one-time password matches the one-time password in the received authentication request, the Internet protocol The authentication system according to claim 6, wherein the service is executed via a network. 前記第1ネットワーク及び前記第2ネットワークは安全なネットワークであり、
前記第3ネットワークは安全でないネットワークである請求項6記載の認証システム。 The first network and the second network are secure networks;
The authentication system according to claim 6, wherein the third network is an insecure network. サービスを提供する複数のクライアント機器を認証する認証方法であって、
前記複数のクライアント機器内の第1のクライアント機器のためのワンタイムパスワードを生成し、前記生成されたワンタイムパスワードと起動命令とを含む起動メッセージを、第1ネットワークを介して前記第1のクライアント機器に送信し、
前記起動メッセージによって起動された前記第1のクライアント機器から第2ネットワークを介してワンタイムパスワードを含む認証要求を受信し、
前記生成されたワンタイムパスワードと前記受信された認証要求内のワンタイムパスワードとが一致するとき、前記第2ネットワークを介して、前記第1のクライアント機器に対するサービスを実行する認証方法。 An authentication method for authenticating a plurality of client devices providing a service,
A one-time password for a first client device in the plurality of client devices is generated, and an activation message including the generated one-time password and an activation command is transmitted via the first network to the first client To the device,
Receiving an authentication request including a one-time password from the first client device activated by the activation message via a second network;
An authentication method for executing a service for the first client device via the second network when the generated one-time password matches the one-time password in the received authentication request. 前記複数のクライアント機器の各々は移動通信網に接続可能な無線モジュールを含み、
前記送信することは、イントラネットを介して、前記ワンタイムパスワードと前記起動命令と前記第1のクライアント機器に対応する電話番号とをショートメッセージサーバに送信し、前記ショートメッセージサーバに、前記電話番号を用いて前記移動通信網を介して、前記第1のクライアント機器に前記ワンタイムパスワードと前記起動命令とを含む起動メッセージを送信させ、
前記受信することは、前記第1のクライアント機器からインターネットプロトコルネットワークを介して前記認証要求を受信し、
前記サービスを実行することは、前記インターネットプロトコルネットワークを介して前記サービスを実行する請求項9記載の認証方法。 Each of the plurality of client devices includes a wireless module connectable to a mobile communication network,
The transmitting includes transmitting the one-time password, the activation command, and a telephone number corresponding to the first client device to a short message server via an intranet, and transmitting the telephone number to the short message server. Using the mobile communication network to cause the first client device to transmit an activation message including the one-time password and the activation command;
Receiving the authentication request from the first client device via an Internet protocol network;
The authentication method according to claim 9, wherein executing the service executes the service via the Internet protocol network.
JP2010150341A 2010-06-30 2010-06-30 Information processing apparatus, authentication system, and authentication method Active JP5586344B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010150341A JP5586344B2 (en) 2010-06-30 2010-06-30 Information processing apparatus, authentication system, and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010150341A JP5586344B2 (en) 2010-06-30 2010-06-30 Information processing apparatus, authentication system, and authentication method

Publications (2)

Publication Number Publication Date
JP2012014434A true JP2012014434A (en) 2012-01-19
JP5586344B2 JP5586344B2 (en) 2014-09-10

Family

ID=45600783

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010150341A Active JP5586344B2 (en) 2010-06-30 2010-06-30 Information processing apparatus, authentication system, and authentication method

Country Status (1)

Country Link
JP (1) JP5586344B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014069701A (en) * 2012-09-28 2014-04-21 Softbank Mobile Corp Restriction lifting system and restriction lifting method
CN104079549A (en) * 2013-03-26 2014-10-01 富士施乐株式会社 Information processing apparatus, information processing system and information processing method
JP2017059135A (en) * 2015-09-18 2017-03-23 株式会社日立システムズ Additional information collection system and collection method
JP2017532638A (en) * 2014-08-18 2017-11-02 ドロップボックス, インコーポレイテッド Access management using electronic images

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002222173A (en) * 2001-01-29 2002-08-09 Yamasa Kk Automatic authentication system, automatic authentication method and program for automatic authentication in electronic commerce, and method for electronic commerce using authentication thereby
JP2004310581A (en) * 2003-04-09 2004-11-04 Nec Corp Network connecting method, and network system
JP2008097263A (en) * 2006-10-11 2008-04-24 Nec Corp Authentication system, authentication method and service providing server
JP2009509210A (en) * 2005-07-26 2009-03-05 ラネトロ ゼド、ソシエダ アノニマ How to start an application

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002222173A (en) * 2001-01-29 2002-08-09 Yamasa Kk Automatic authentication system, automatic authentication method and program for automatic authentication in electronic commerce, and method for electronic commerce using authentication thereby
JP2004310581A (en) * 2003-04-09 2004-11-04 Nec Corp Network connecting method, and network system
JP2009509210A (en) * 2005-07-26 2009-03-05 ラネトロ ゼド、ソシエダ アノニマ How to start an application
JP2008097263A (en) * 2006-10-11 2008-04-24 Nec Corp Authentication system, authentication method and service providing server

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014069701A (en) * 2012-09-28 2014-04-21 Softbank Mobile Corp Restriction lifting system and restriction lifting method
CN104079549A (en) * 2013-03-26 2014-10-01 富士施乐株式会社 Information processing apparatus, information processing system and information processing method
JP2014191455A (en) * 2013-03-26 2014-10-06 Fuji Xerox Co Ltd Information processing apparatus, information processing system and information processing program
US9306919B2 (en) 2013-03-26 2016-04-05 Fuji Xerox Co., Ltd. Information processing apparatus, information processing system, information processing method, and non-transitory computer readable storage medium
CN104079549B (en) * 2013-03-26 2019-04-26 富士施乐株式会社 Information processing equipment, information processing system and information processing method
JP2017532638A (en) * 2014-08-18 2017-11-02 ドロップボックス, インコーポレイテッド Access management using electronic images
US10270780B2 (en) 2014-08-18 2019-04-23 Dropbox, Inc. Access management using electronic images
JP2017059135A (en) * 2015-09-18 2017-03-23 株式会社日立システムズ Additional information collection system and collection method
WO2017047766A1 (en) * 2015-09-18 2017-03-23 株式会社日立システムズ Additional information collection device and collection method

Also Published As

Publication number Publication date
JP5586344B2 (en) 2014-09-10

Similar Documents

Publication Publication Date Title
JP5714768B2 (en) Connection of mobile devices, internet connection means and cloud services
US20230379327A1 (en) Mutual authentication system
KR101743195B1 (en) Method and apparatus for providing information, program and recording medium
US10575344B2 (en) Communication apparatus, communication control method, and storage medium
US10693879B2 (en) Methods, devices and management terminals for establishing a secure session with a service
JP5421584B2 (en) Communication system and communication method
KR102119586B1 (en) Systems and methods for relaying data over communication networks
JP6752013B2 (en) Hearing devices with service modes and related methods
EP2993859A1 (en) Secure communication method
JP5586344B2 (en) Information processing apparatus, authentication system, and authentication method
WO2020198991A1 (en) Methods and apparatus relating to authentication of a wireless device
JP2018041171A (en) Information processing system, information processing device, image forming apparatus, control method therefor, and program
US10779093B2 (en) Hearing system, devices and method of securing communication for a user application
JP2010045618A (en) Authentication coordination system, terminal apparatus, storage medium, authentication coordination method, and authentication coordination program
JP6388622B2 (en) COMMUNICATION SYSTEM, TERMINAL DEVICE, COMMUNICATION METHOD, AND PROGRAM
JP2009181194A (en) Authentication system, control device to be used for the same, authentication method and program for authentication
JP2018170806A (en) Communication system, communication method, and program
CN113099443B (en) Equipment authentication method, device, equipment and system
JP2015053609A (en) Connection control device, connection control method, and program
JP2013042335A (en) Communication system and program
JP6597342B2 (en) Verification method of electronic control device
JP2017158017A (en) Radio communication apparatus, system, method, and program
JP2023037733A (en) Communication apparatus, method for controlling communication apparatus, and program
CN113099443A (en) Equipment authentication method, device, equipment and system
JP2013232729A (en) Authentication device, authentication method, and authentication program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130415

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20130730

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140225

RD07 Notification of extinguishment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7427

Effective date: 20140319

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140428

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140624

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140722

R151 Written notification of patent or utility model registration

Ref document number: 5586344

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313121

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350