JP5258685B2 - Management device and terminal device - Google Patents
Management device and terminal device Download PDFInfo
- Publication number
- JP5258685B2 JP5258685B2 JP2009153224A JP2009153224A JP5258685B2 JP 5258685 B2 JP5258685 B2 JP 5258685B2 JP 2009153224 A JP2009153224 A JP 2009153224A JP 2009153224 A JP2009153224 A JP 2009153224A JP 5258685 B2 JP5258685 B2 JP 5258685B2
- Authority
- JP
- Japan
- Prior art keywords
- security policy
- authentication
- terminal device
- policy
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、組織内で適用するセキュリティポリシーを端末装置に配信する技術に関する。 The present invention relates to a technique for distributing a security policy applied in an organization to a terminal device.
本発明に関連する技術として、特許文献1に記載の技術がある。
特許文献1では、組織内の端末装置に対して、サーバからセキュリティポリシーを配布・更新するシステムを提案している。
特許文献1の方式では以下の手順で処理を行う。
(1)管理サーバにセキュリティポリシーを設定する。
(2)管理者は管理サーバに、どの端末装置に対してどのセキュリティポリシーを適用するかを設定する。
(3)管理サーバは、セキュリティポリシーに対応する鍵を端末装置に通知する。
(4)配信サーバが、セキュリティポリシーを暗号化してブロードキャストする。
(5)端末装置は、ブロードキャストされたセキュリティポリシーを鍵で復号して、端末に保存する。
(6)端末装置は、保存したセキュリティポリシーを使用して認証を実行する。
As a technique related to the present invention, there is a technique described in
In the method of
(1) Set a security policy in the management server.
(2) The administrator sets which security policy is applied to which terminal device in the management server.
(3) The management server notifies the terminal device of a key corresponding to the security policy.
(4) The distribution server encrypts and broadcasts the security policy.
(5) The terminal device decrypts the broadcast security policy with the key and stores it in the terminal.
(6) The terminal device performs authentication using the stored security policy.
特許文献1の方式では、即時適用させるセキュリティポリシーとして配布するために、セキュリティポリシーの端末装置への適用(反映)も即時に行われる。
このため、端末装置にログイン中のユーザが居る場合に、配布されたセキュリティポリシーの即時反映を保留して次のログインからの反映とすることはできない。
つまり、ユーザの端末へのログインからログアウトを1つのセッションとして管理する場合に、セッション単位で適用することが望ましいセキュリティポリシーも存在するが、特許文献1では、セッション単位で適用することが望ましいセキュリティポリシーと即時適用が望ましいセキュリティポリシーを区別することなく全てのセキュリティポリシーを即時適用の対象として配布するために、全てのセキュリティポリシーの反映が即時に行われ、セッション単位で適用することが望ましいセキュリティポリシーであっても次のセッション開始時(次のログイン時)まで適用を保留するといった柔軟な運用ができないという課題がある。
In the method of
For this reason, when there is a user who is logged in to the terminal device, the distributed security policy cannot be immediately reflected and reflected from the next login.
In other words, there is a security policy that is preferably applied in session units when managing log-in and logout of a user terminal as one session. However, in
セッション単位で適用すべきセキュリティポリシーの例として、「認証デバイスポリシー」がある。
「認証デバイスポリシー」とは、例えば、ユーザ認証にICカードが使用できるか、指紋認証用のデバイスが使用できるかを指定する。
IDとパスワードを利用するポリシーに従ったユーザ認証を経て端末装置に最初のログインを行ったユーザが、トイレなどで一時的に端末装置のスクリーンをロックしているときに、ICカードを必要とする認証デバイスポリシーが配布され、端末装置において新たな認証デバイスポリシーに変更すると、当該ユーザは、ICカードを持っていないためにスクリーンロックを解除できなくなる。
An example of a security policy to be applied on a session basis is “authentication device policy”.
The “authentication device policy” specifies, for example, whether an IC card can be used for user authentication or a device for fingerprint authentication can be used.
An IC card is required when a user who first logs into a terminal device through user authentication according to a policy using an ID and a password temporarily locks the screen of the terminal device in a toilet or the like When the authentication device policy is distributed and the terminal device is changed to a new authentication device policy, the user cannot release the screen lock because the user does not have the IC card.
また、逆に即時に反映すべきセキュリティポリシーとして「アカウントロックポリシー」がある。
「アカウントロックポリシー」は、パスワードの入力を何回間違えるとそのアカウントをロックするかを指定する。
この条件は、ユーザがログイン中でも(セッションの開始時以外でも)即時に反映しないとセキュリティ上問題があると考えることができる(スクリーンロックしている場合に不正なユーザがロックを解除しようと試みる恐れがあるため)。
Conversely, there is an “account lock policy” as a security policy that should be reflected immediately.
“Account lock policy” specifies how many times the password is entered incorrectly to lock the account.
This condition can be considered a security issue if the user is not logged in immediately (even at the start of a session) and may be considered a security issue (an unauthorized user may try to unlock the screen when it is locked) Because there is).
以上のようにセキュリティポリシーの種類によって、「即時に反映」すべきか「セッション単位に反映」すべきか異なる。また、どちらにするかは組織の方針によっても違いがある。
そこで、セキュリティポリシー単位で、「即時に反映」か「セッション単位に反映」するかを指定できるようになっている必要がある。
また、その組織の方針が変更されたときには、セキュリティポリシーも変更できるようになっている必要がある。
As described above, depending on the type of security policy, it should be “immediately reflected” or “reflected in session units”. There are also differences depending on the organization's policy.
Therefore, it is necessary to be able to specify whether to “immediately reflect” or “reflect to session” for each security policy.
In addition, when the policy of the organization is changed, it is necessary to be able to change the security policy.
従来の技術では、ユーザが端末装置にログインした後に新たなセキュリティポリシーが配布された場合には、ログインした時点のセキュリティポリシーが上書きされて消えてしまうため、セッション単位でセキュリティポリシーを反映させることができない。
また、セキュリティポリシー毎に「即時に反映」か「セッション単位に反映」するかを指定することもできない。
このように、従来の技術では、セキュリティポリシーごとに、端末装置に即時に適用させたり、セッション単位で適用させるといった柔軟な運用ができないという課題がある。
本発明は、このような課題を解決することを主な目的としており、柔軟にセキュリティポリシーの適用を行う仕組みを提供することを主な目的とする。
In the conventional technology, when a new security policy is distributed after the user logs in to the terminal device, the security policy at the time of login is overwritten and disappears. Therefore, the security policy can be reflected on a session basis. Can not.
Also, it is not possible to specify “immediately reflect” or “reflect on a session basis” for each security policy.
As described above, the conventional technology has a problem in that it cannot be flexibly operated such that it is immediately applied to a terminal device or applied on a session basis for each security policy.
The main object of the present invention is to solve such problems, and it is a main object of the present invention to provide a mechanism for flexibly applying a security policy.
本発明に係る管理装置は、
ユーザのログイン処理の開始からセッションが開始し、ログイン処理の完了後にセッションが確立し、少なくともログイン処理時にセキュリティポリシーの送信を要求する端末装置
に接続されている管理装置であって、
前記端末装置に適用させるセキュリティポリシーを、適用開始タイミングがセッション開始時に限られセッション開始時の適用開始以降セッション中は継続して適用させる第1種セキュリティポリシーと、適用開始タイミングはセッション開始時に限られずセッション確立後の追加適用も可能な第2種セキュリティポリシーとに区別して記憶するセキュリティポリシー記憶部と、
前記端末装置から、前記端末装置が現在ログイン処理中であるかログイン処理済であるかを示す状態識別子が含まれ、セキュリティポリシーの送信を要求するセキュリティポリシー送信要求を受信する受信部と、
前記セキュリティポリシー送信要求に含まれている状態識別子を解析し、前記端末装置が現在ログイン処理中であると判断した場合に、前記セキュリティポリシー記憶部から前記第1種セキュリティポリシーを取得し、前記端末装置が既にログイン処理済であると判断した場合に、前記セキュリティポリシー記憶部から前記第2種セキュリティポリシーを取得するセキュリティポリシー取得部と、
前記セキュリティポリシー取得部により取得されたセキュリティポリシーを前記端末装置に対して送信する送信部とを有することを特徴とする。
The management device according to the present invention is:
A session is started from the start of the user login process, a session is established after the login process is completed, and is a management apparatus connected to a terminal device that requests transmission of a security policy at least during the login process,
The security policy to be applied to the terminal device is a first type security policy in which the application start timing is limited at the start of the session and is continuously applied during the session after the start of application at the start of the session, and the application start timing is not limited to at the start of the session A security policy storage unit for storing separately from the second type security policy that can be additionally applied after session establishment;
A receiving unit for receiving a security policy transmission request for requesting transmission of a security policy, including a state identifier indicating whether the terminal device is currently performing login processing or login processing from the terminal device;
When the state identifier included in the security policy transmission request is analyzed and it is determined that the terminal device is currently performing a login process, the first type security policy is acquired from the security policy storage unit, and the terminal A security policy acquisition unit that acquires the second type security policy from the security policy storage unit when it is determined that the apparatus has already undergone login processing;
And a transmission unit that transmits the security policy acquired by the security policy acquisition unit to the terminal device.
本発明によれば、セキュリティポリシーを、第1種セキュリティポリシーと第2種セキュリティポリシーに区別し、セッション開始時には端末装置に第1種セキュリティポリシーを送信してセッションの間継続して第1種セキュリティポリシーを端末装置に適用させ、セッション確立後は第2種セキュリティポリシーを端末装置に送信して第2種セキュリティポリシーを追加的に即時に適用させるという柔軟な運用ができる。 According to the present invention, the security policy is classified into the first type security policy and the second type security policy, and at the start of the session, the first type security policy is transmitted to the terminal device to continue for the first type security. The policy can be applied to the terminal device, and after the session is established, the second type security policy can be transmitted to the terminal device and the second type security policy can be additionally applied immediately.
実施の形態1.
図1は、本実施の形態に係るシステム構成例である。
セキュリティ管理装置1(管理装置)は、セキュリティ管理者(以下、管理者という)により設定されたセキュリティポリシーを複数のセキュリティ端末装置11に送信する。
セキュリティ端末装置11(端末装置)は、セキュリティ管理装置1から受信したセキュリティポリシーに従ったセキュリティ対策を実施する。
セキュリティ端末装置11は、ユーザのログインからログアウトまでを1つのセッションとしている。ユーザのログイン処理の開始からセッションが開始し、ログイン処理の完了後にセッションが確立する。
なお、図1では、セキュリティ端末装置11は、1つしか図示していないが、複数のセキュリティ端末装置11が存在していてもよい。
FIG. 1 is a system configuration example according to the present embodiment.
The security management device 1 (management device) transmits a security policy set by a security administrator (hereinafter referred to as an administrator) to a plurality of
The security terminal device 11 (terminal device) implements security measures according to the security policy received from the
The
In FIG. 1, only one
セキュリティポリシーとは、企業などの組織における情報資産の情報セキュリティ対策に関する方針を示した情報であり、例えば、ユーザ認証の方式、ユーザ認証の実施手順、暗号化の対象となるデータの類型、暗号化の方式、外部からの不正アクセスに対する対策、機密漏洩に対する対策、コンピュータウイルスに対する対策、データの喪失に対する対策などの方針が含まれる。
以下では、セキュリティポリシーの一例として、ユーザ認証に関するポリシー(以下、認証ポリシーという)を用いて、本実施の形態に係るセキュリティ管理装置1及びセキュリティ端末装置11を説明する。
A security policy is information that indicates a policy regarding information security measures for information assets in an organization such as a company. For example, a user authentication method, a user authentication implementation procedure, a type of data to be encrypted, an encryption Policy, countermeasures against unauthorized access from outside, countermeasures against confidential leaks, countermeasures against computer viruses, countermeasures against data loss, and the like.
Hereinafter, the
なお、セキュリティ管理装置1及びセキュリティ端末装置11の内部構成等の詳細を説明する前に、ここで、本実施の形態に係るセキュリティ管理装置1及びセキュリティ端末装置11の概要を説明する。
Before describing details of the internal configuration and the like of the
セキュリティ管理装置1は、認証ポリシー単位で、「即時に反映」するか「セッション単位に反映」するかを示すタイミング情報を保持する。
セキュリティ端末装置11は、認証ポリシーと認証情報(ID/パスワードなど)のキャッシュを保持してキャッシュを使用して認証を実行できる。
セッションの開始時(ユーザログイン処理時)は、セキュリティ端末装置11は、最新の認証ポリシーと認証情報をセキュリティ管理装置1から受け取り、その情報を使用して認証を行う。
セッション途中での認証処理(スクリーンロックの解除など)では、セキュリティ端末装置11は、セキュリティ管理装置1から「即時に反映」指定の認証ポリシーのみ受け取り、ログイン時にキャッシュした他の認証ポリシーと認証情報を使用して認証を実行する。
これにより、「即時に反映」指定した認証ポリシーは認証の際にセキュリティ端末装置11に送信されて、最新の認証ポリシーが適用される。
「セッション単位に反映」指定の認証ポリシーは、セッションの開始時のみセキュリティ端末装置11に送信されて、セッション途中では、更新されない。
また、セキュリティ管理装置1は、各ユーザの取得済認証ポリシーを記憶することで、変更のあった認証ポリシーのみを選別してセキュリティ端末装置11に送ることができる。
これにより通信時のデータ量を削減することができる。
The
The
At the start of a session (during user login processing), the
In the authentication process (screen lock release, etc.) during the session, the
As a result, the authentication policy designated as “immediately reflected” is transmitted to the
The authentication policy designated “Reflect in session units” is transmitted to the
Further, the
As a result, the amount of data during communication can be reduced.
次に、本実施の形態に係るセキュリティ管理装置1の内部構成例を図2に示す。
図2に示すように、セキュリティ管理装置1は、情報記憶装置2と情報配信装置6に大別される。
Next, FIG. 2 shows an internal configuration example of the
As shown in FIG. 2, the
情報記憶装置2は、認証ポリシー3、認証情報4、各ユーザの取得済情報5を記憶している。
認証ポリシー3及び認証情報4は、管理者から情報記憶装置2に入力される。
認証ポリシー3には、「即時に反映」か「セッション単位に反映」するかを示すフラグが設定され、複数の認証ポリシー3は、即時に反映させる認証ポリシーかセッション単位に反映させる認証ポリシーかが区別されて記憶されている。
図2の例では、認証ポリシーA及び認証ポリシーCは、セッション単位に反映させる認証ポリシーであり、適用開始タイミングがセッション開始時に限られセッション開始時の適用開始以降セッション中は継続して適用させるセキュリティポリシーである。
認証ポリシーA及び認証ポリシーCのようなセッション単位に反映させる認証ポリシーは、第1種セキュリティポリシーの例である。
認証ポリシーBは、即時に反映させる認証ポリシーであり、適用開始タイミングはセッション開始時に限られずセッション確立後の追加適用も可能なセキュリティポリシーである。
認証ポリシーBのような即時に反映させる認証ポリシーは、第2種セキュリティポリシーの例である。
認証情報4は、ユーザのID、パスワードといった認証情報であり、図2の例では、ユーザX、Y、Zの認証情報が示されている。
各ユーザの取得済情報5は、既にユーザ向けに取得し送信している認証ポリシーが示される。図2の例では、ユーザX、Y、Zに取得・送信済の認証ポリシーが示されている。各ユーザの取得済情報5は、送信済セキュリティポリシー情報の例である。
また、情報記憶装置2は、セキュリティポリシー記憶部、送信済セキュリティポリシー情報記憶部の例である。
The
The
A flag indicating whether to “immediately reflect” or “apply to each session” is set in the
In the example of FIG. 2, the authentication policy A and the authentication policy C are authentication policies that are reflected on a session basis, and the application start timing is limited at the start of the session, and security is applied continuously during the session after the start of application at the start of the session. It is a policy.
The authentication policy reflected in the session unit such as the authentication policy A and the authentication policy C is an example of the first type security policy.
The authentication policy B is an authentication policy that is reflected immediately, and the application start timing is not limited to the session start time, and is a security policy that can be additionally applied after the session is established.
The authentication policy immediately reflected such as the authentication policy B is an example of the second type security policy.
The
The acquired information 5 of each user indicates an authentication policy that has already been acquired and transmitted for the user. In the example of FIG. 2, the authentication policies acquired and transmitted to the users X, Y, and Z are shown. Acquired information 5 for each user is an example of transmitted security policy information.
The
また、情報配信装置6は、セキュリティ端末装置11から、認証ポリシーの送信を要求するセキュリティポリシー送信要求(以下、ポリシー送信要求という)を受信し、受信したポリシー送信要求に基づいて、情報記憶装置2から認証ポリシーを取得し、また、認証情報を取得し、取得した認証ポリシー及び認証情報をセキュリティ端末装置11に送信する。
ポリシー送信要求には、セキュリティ端末装置11が現在ログイン処理中(セッション開始時)であるかログイン処理済(セッション確立済)であるかを示す状態識別子が含まれており、情報配信装置6は、状態識別子を解析して、ポリシー送信要求の送信元のセキュリティ端末装置11が現在ログイン処理中であるかログイン処理済であるかを判別する。
送信元のセキュリティ端末装置11が現在ログイン処理中であると判断した場合に、未送信のセッション単位で適用する認証ポリシー(第1種セキュリティポリシー)を取得し(更に、未送信の即時適用の認証ポリシーがあれば未送信の即時適用の認証ポリシーも取得し)、セキュリティ端末装置11に送信する。セキュリティ端末装置11では、受信した認証ポリシーを用いて、ログイン処理時のユーザ認証が行われる。
一方、送信元のセキュリティ端末装置11が既にログイン処理済であると判断した場合は、情報配信装置6は、未送信の即時適用の認証ポリシー(第2種セキュリティポリシー)を取得し、セキュリティ端末装置11に送信する。セキュリティ端末装置11では、受信した認証ポリシー及びキャッシュ内の認証ポリシーを用いて、セッション中のユーザ認証が行われる。
情報配信装置6は、セキュリティポリシー取得部、送信部、受信部の例である。
Further, the
The policy transmission request includes a state identifier indicating whether the
When the transmission source
On the other hand, if the source
The
次に、本実施の形態に係るセキュリティ端末装置11の内部構成例を図3に示す。
セキュリティ端末装置11は、ユーザが使用する端末であり、図3に示すように、情報更新装置12、キャッシュ用情報記憶装置13、認証実行装置16及び認証情報入力装置17に大別される。
Next, FIG. 3 shows an internal configuration example of the
The
情報更新装置12は、ログイン処理時又はセッション確立後の任意のタイミングで、認証ポリシーの送信を要求するポリシー送信要求をセキュリティ管理装置1に対して送信する。
ポリシー送信要求には、前述のように、現在ログイン処理中であるかログイン処理済であるかを示す状態識別子が含まれる。
なお、セッション確立後の任意のタイミングとは、例えば、セッション途中での認証処理時(スクリーンロックの解除など)である。
また、情報更新装置12は、セキュリティ管理装置11から送信された認証ポリシー及び認証情報を受信する。
情報更新装置12は、送信部及び受信部の例である。
The
As described above, the policy transmission request includes the state identifier indicating whether the login process is being performed or the login process has been completed.
The arbitrary timing after the session is established is, for example, at the time of authentication processing in the middle of the session (screen lock release, etc.).
The
The
キャッシュ用情報記憶装置13は、情報更新装置12が受信した認証ポリシー14と認証情報15を記憶する。
The cache
認証実行装置16は、キャッシュ用情報記憶装置13内の認証ポリシー14と認証情報15を用いて、認証ポリシーに従ったセキュリティ対策(認証処理)を実施する。
より具体的には、セッション単位で適用する認証ポリシー(認証ポリシーA、認証ポリシーC)に対しては、セッション開始時から適用を開始し、セッション中はセッション単位で適用する認証ポリシーに従った認証処理を継続して実施し、即時適用の認証ポリシーに対しては、即時適用の認証ポリシーの受信の度に受信した即時適用の認証ポリシーの適用を開始して認証処理を行う。
認証実行装置16は、セキュリティポリシー適用部の例である。
The
More specifically, for authentication policies (authentication policy A, authentication policy C) applied on a session basis, application is started from the start of the session, and authentication is performed according to the authentication policy applied on a session basis during the session. The processing is continued, and for the immediate application authentication policy, the application of the immediately applied authentication policy is started and the authentication process is performed every time the immediate application authentication policy is received.
The
認証情報入力装置17は、認証実行装置16による認証処理の際に用いる認証入力情報(ユーザのID、パスワード等)をユーザから入力する。
The authentication
次に、本実施の形態に係るセキュリティ管理装置1及びセキュリティ端末装置11の動作例を説明する。
Next, operation examples of the
先ず、初期設定の方法について説明する。
予め管理者は、認証ポリシーと認証情報の設定を行う。
First, an initial setting method will be described.
The administrator sets an authentication policy and authentication information in advance.
認証ポリシーの内容を図4に示す。
認証ポリシーの情報は、認証を実行するときに従うべきルールを示しており、認証ポリシーを識別するためのID(policy_id)と認証ポリシーの名前(name)と、認証ポリシーの値(value)と、「即時に反映」するか「セッション単位に反映」するかを示す認証ポリシーの適用タイミング(timing)から成る。
timingに、immediateを指定すると「即時に反映」となり、sessionを指定すると「セッション単位に反映」となる。
また、図5に認証ポリシーの種類を示す。
更に、図6に認証ポリシーをXML(Extensible Markup Language)形式で記述した例を示す。
この例は、認証デバイスとしてICカードのみが使用できることを表している。
また、認証情報の内容を図7に示す。
認証情報は、ユーザID(user_id)、ユーザのパスワード(password)、ユーザの権限(right)、認証情報の有効期限(term)から成る。
図8に認証情報をXML形式で記述した例を示す。
また、図9に各ユーザの取得済情報5の内容を示す。
保持する情報としては、認証ポリシーを識別するためのID(policy_id)と、認証ポリシーの名前(name)と、認証ポリシーの値(value)から成る。
図10に各ユーザの取得済情報5をXML形式で記述した例を示す。
この例は、認証デバイスとして指紋認証デバイスのみが使用できることを表している。
The contents of the authentication policy are shown in FIG.
The authentication policy information indicates a rule to be followed when executing the authentication. The ID (policy_id) for identifying the authentication policy, the name of the authentication policy (name), the value of the authentication policy (value), and “ It consists of an application timing (timing) of an authentication policy indicating whether to “immediately reflect” or “reflect in session units”.
If immediate is specified for timing, “immediately reflect” is specified, and if session is specified, “reflect in session units”.
FIG. 5 shows the types of authentication policies.
Further, FIG. 6 shows an example in which the authentication policy is described in an XML (Extensible Markup Language) format.
This example shows that only an IC card can be used as an authentication device.
The contents of the authentication information are shown in FIG.
The authentication information includes a user ID (user_id), a user password (password), a user authority (right), and an expiration date (term) of the authentication information.
FIG. 8 shows an example in which authentication information is described in XML format.
FIG. 9 shows the contents of the acquired information 5 for each user.
The information to be held includes an ID (policy_id) for identifying an authentication policy, an authentication policy name (name), and an authentication policy value (value).
FIG. 10 shows an example in which the acquired information 5 of each user is described in the XML format.
This example shows that only the fingerprint authentication device can be used as the authentication device.
次に、セッションを開始するときの、セキュリティ管理装置1とセキュリティ端末装置11の動作について説明する。
ここで、セッションの開始とは、未ログインのユーザがログインするときのことを指している。
Next, operations of the
Here, the start of a session refers to the time when an unlogged user logs in.
ユーザはセキュリティ端末装置11の認証情報入力装置17に対して、ユーザIDとパスワードを入力し、あるいはICカード(内部にユーザIDも含む)を使用して認証を要求する。ユーザが認証情報入力装置17に入力するこれらの情報が認証入力情報に相当する。
認証情報入力装置17は認証入力情報を認証実行装置16に渡して、認証を要求する。
認証実行装置16は、認証ポリシーと、ユーザIDに対応した認証情報をキャッシュ用情報記憶装置13に要求する。
キャッシュ用情報記憶装置13は、認証ポリシーと、ユーザIDに対応した認証情報を情報更新装置12に要求する。
情報更新装置12は、認証ポリシーと、ユーザIDに対応した認証情報の配信を要求するポリシー送信要求を情報配信装置6に送信する。
ポリシー送信要求には、状態識別子とユーザIDが含まれている。
ここで送信されるポリシー送信要求には、現在ログイン処理中であることを示す状態識別子が含まれる。
The user inputs a user ID and password to the authentication
The authentication
The
The cache
The
The policy transmission request includes a state identifier and a user ID.
The policy transmission request transmitted here includes a state identifier indicating that login processing is currently being performed.
情報配信装置6は、ポリシー送信要求を受信し、受信したポリシー送信要求に含まれているユーザIDを用いて、各ユーザの取得済情報5を検索して、当該ユーザに対して取得済の認証ポリシーを抽出する。
なお、セキュリティ端末装置11は現在ログイン処理中であるので、当該ユーザのセキュリティ端末装置11に対して過去に認証ポリシーが送信されていなければ、各ユーザの取得済情報5から認証ポリシーは抽出されない。また、当該ユーザのセキュリティ端末装置11に対して過去に認証ポリシーが送信されている場合は、前回のセッションの終了までに送信された認証ポリシーが抽出される。
次に、情報配信装置6は、認証ポリシー3の認証ポリシーのうち、抽出した取得済の認証ポリシーと比較して更新されている認証ポリシー(セッション単位適用認証ポリシーと即時適用認証ポリシーの両方)を情報記憶装置2から取得する。なお、抽出した取得済の認証ポリシーと比較して更新されている認証ポリシーには、取得済の認証ポリシーとは異なる新規に導入された認証ポリシーと、取得済の認証ポリシーの内容の更新にあたる認証ポリシー(以降、改訂版の認証ポリシーという)の両方が含まれる。
また、情報配信装置6は、ポリシー送信要求に含まれているユーザIDに対応した認証情報を情報記憶装置2から取得する。
そして、情報配信装置6は、取得した認証ポリシーと認証情報をセキュリティ端末装置11の情報更新装置12に送信する。
また、情報配信装置6は、セキュリティ端末装置11に送信した認証ポリシーを「各ユーザの取得済情報5」に書き込む。なお、セキュリティ端末装置11に送信した認証ポリシーが従前の認証ポリシーの改訂版にあたる場合は、改訂前の認証ポリシーに上書きして改訂後の認証ポリシーを記録する。
The
Since the
Next, the
Further, the
Then, the
Further, the
セキュリティ端末装置11では、情報更新装置12が認証ポリシーと認証情報を受信し、受信した認証ポリシーを暗号化し、認証ポリシー14としてキャッシュ用情報記憶装置13に記憶させ、また、受信した認証情報を暗号化して認証情報15としてキャッシュ用情報記憶装置13に記憶させる。
なお、認証ポリシー及び認証情報の暗号化は任意であり、暗号化を行わなくてもよい。また、情報配信装置6から情報更新装置12への送信時にも認証ポリシー及び認証情報を暗号化するようにしてもよい。
キャッシュ用情報記憶装置13は、認証ポリシー(新たに受信した認証ポリシーと従前からキャッシュ内にあった認証ポリシーの両方)と認証情報を認証実行装置16に返す。
認証実行装置16は、受け取った認証ポリシーと認証情報で認証を実行して結果を認証情報入力装置17に返す。
認証情報入力装置17は認証結果をユーザに返す。
認証実行装置16における認証に成功した場合は、ユーザはセキュリティ端末装置11へのログインに成功し、セッションが確立する。
In the
Note that the encryption of the authentication policy and the authentication information is arbitrary, and the encryption may not be performed. Further, the authentication policy and the authentication information may be encrypted also when transmitting from the
The cache
The
The authentication
When the authentication in the
次に、セッション中での認証を実行するときの、セキュリティ管理装置1とセキュリティ端末装置11の動作を説明する。
ここで、セッション中での認証とは、例えば、ログイン済みのユーザがスクリーンロック解除を行う際の認証のことを指している。
Next, operations of the
Here, the authentication during the session indicates, for example, authentication when a logged-in user performs screen lock release.
ユーザはセキュリティ端末装置11の認証情報入力装置17で、ユーザIDとパスワードを入力し、あるいはICカードを使用して認証を要求する。
認証情報入力装置17は、入力された認証入力情報を認証実行装置16に渡して認証を要求する。
認証実行装置16は、認証ポリシーと、ユーザIDに対応した認証情報をキャッシュ用情報記憶装置13に要求する。
キャッシュ用情報記憶装置13は、「即時に反映」(immediate)指定の認証ポリシーと、ユーザIDに対応した認証情報を情報更新装置12に要求する。
情報更新装置12は、「即時に反映」(immediate)指定の認証ポリシーと、ユーザIDに対応した認証情報の送信を要求するポリシー送信要求を情報配信装置6に送信する。
ポリシー送信要求には、状態識別子とユーザIDが含まれている。
ここで送信されるポリシー送信要求には、既にログイン処理済(セッション確立済)であることを示す状態識別子が含まれる。
The user inputs a user ID and password at the authentication
The authentication
The
The cache
The
The policy transmission request includes a state identifier and a user ID.
The policy transmission request transmitted here includes a state identifier indicating that login processing has already been completed (session has been established).
情報配信装置6は、ポリシー送信要求を受信し、受信したポリシー送信要求に含まれているユーザIDを用いて、各ユーザの取得済情報5を検索して、当該ユーザに対して取得済みの認証ポリシーを抽出する。
次に、情報配信装置6は、認証ポリシー3の認証ポリシーのうち、抽出した取得済の認証ポリシーと比較して更新されている「即時に反映」(immediate)指定の認証ポリシーを情報記憶装置2から取得する。つまり、セッション確立済の段階では、即時に適用する認証ポリシーのみを取得する。
そして、情報配信装置6は、取得した認証ポリシーをセキュリティ端末装置11の情報更新装置12に送信する。
また、情報配信装置6は、ユーザIDに対応した認証情報を認証情報4から取得して情報更新装置12に配信する。
また、情報配信装置6は、セキュリティ端末装置11に送信した認証ポリシーを「各ユーザの取得済情報5」に書き込む。ここでも、セキュリティ端末装置11に送信した認証ポリシーが従前の認証ポリシーの改訂版にあたる場合は、改訂前の認証ポリシーに上書きして改訂後の認証ポリシーを記録する。
The
Next, the
Then, the
Further, the
Further, the
セキュリティ端末装置11では、情報更新装置12が認証ポリシーと認証情報を受信し、受信した認証ポリシーを暗号化し、認証ポリシー14としてキャッシュ用情報記憶装置13に記憶させ、また、受信した認証情報を暗号化して認証情報15としてキャッシュ用情報記憶装置13に記憶させる。
キャッシュ用情報記憶装置13は、全ての認証ポリシー(新たに受信した認証ポリシーと従前からキャッシュ内にあった認証ポリシーの両方)とユーザIDに対応した認証情報を認証実行装置16に返す。
認証実行装置16は、受け取った認証ポリシーと認証情報で認証を実行して結果を認証情報入力装置17に返す。
認証情報入力装置17は認証結果をユーザに返す。
In the
The cache
The
The authentication
このように、本実施の形態では、セキュリティポリシーの性質に応じて、セッション単位で適用させるセキュリティポリシーと即時に適用させるべきセキュリティポリシーに区別し、セッション開始時にはセッション単位のセキュリティポリシーをセキュリティ端末装置に適用させ、セッション確立後は即時適用のセキュリティポリシーをセキュリティ端末装置に追加的に即時に適用させるという柔軟な運用ができる。
また、組織によってことなるセキュリティ方針を適切なタイミングで反映させることができる。
As described above, according to the present embodiment, according to the nature of the security policy, the security policy to be applied on a session basis is distinguished from the security policy that should be applied immediately, and the security policy on a session basis is assigned to the security terminal device at the start of the session. It is possible to flexibly operate such that a security policy of immediate application is additionally applied to the security terminal device immediately after the session is established.
In addition, security policies that differ depending on the organization can be reflected at an appropriate timing.
また、本実施の形態によれば、認証ポリシーを更新するときは、セッション開始時点から更新された認証ポリシーのみを通知するだけで済むため、通信する情報量を最小限に留めることができる。 Further, according to the present embodiment, when updating the authentication policy, it is only necessary to notify only the updated authentication policy from the session start time, so that the amount of information to be communicated can be minimized.
また、本実施の形態によれば、通信回線が故障して、セキュリティ管理装置とセキュリティ端末装置が通信できなくなった場合でも、セキュリティ端末装置が保持している認証ポリシーと認証情報を使用することで、セッション開始時点のポリシーで認証を実行することができる。 Further, according to the present embodiment, even when the communication line is broken and the security management device and the security terminal device cannot communicate with each other, the authentication policy and the authentication information held by the security terminal device are used. Authentication can be performed with the policy at the start of the session.
また、本実施の形態は、情報システムのユーザ認証の機能を実現する方式として利用することができる。
組織の方針に従ってセキュリティを管理する必要がある場合に有効と考えられる。
また、金融のようなセキュリティが厳しく管理される業務において、認証ポリシーの反映のタイミングが問題になる場合に対応することができる。
In addition, the present embodiment can be used as a method for realizing the user authentication function of the information system.
It is considered effective when security needs to be managed according to organizational policies.
In addition, it is possible to cope with a case where the timing of reflecting the authentication policy becomes a problem in a business where security is strictly managed such as finance.
実施の形態2.
実施の形態1では、セキュリティ管理装置1から認証ポリシーをセキュリティ端末装置11に送信し、セキュリティ端末装置11にて認証ポリシーに従ってユーザ認証を行う例を説明した。
本実施の形態では、セキュリティ管理装置1が認証ポリシーに従って、ユーザ認証を行う例を説明する。
In the first embodiment, an example in which an authentication policy is transmitted from the
In the present embodiment, an example will be described in which the
本実施の形態に係るシステム構成例は、図1に示すとおりである。
また、本実施の形態に係るセキュリティ管理装置1の構成例は図11に示すとおりである。
また、本実施の形態に係るセキュリティ端末装置11の構成例は図12に示すとおりである。
A system configuration example according to the present embodiment is as shown in FIG.
Moreover, the structural example of the
Moreover, the structural example of the
本実施の形態に係るセキュリティ管理装置1では、情報配信装置6の代わりに認証実行装置7が配置されている。
認証実行装置7は、情報記憶装置2の情報を利用してセキュリティ端末装置11のユーザに対する認証処理を行う。
より具体的には、認証実行装置7は、セキュリティ端末装置11からユーザ認証を要求するユーザ認証要求を受信し、ユーザ認証要求に含まれている状態識別子を解析し、セキュリティ端末装置11が現在ログイン処理中であると判断した場合に、情報記憶装置2からセッション単位に適用の認証ポリシーを取得し(更に、即時適用の認証ポリシーがあれば即時適用の認証ポリシーも取得し)、取得した認証ポリシーを用いてログイン処理時のユーザ認証を行う。
また、認証実行装置7は、状態識別子の解析の結果、セキュリティ端末装置11が既にログイン処理済(セッション確立済)であると判断した場合に、情報記憶装置2から即時適用の認証ポリシーを取得し、取得した認証ポリシーと、これまでに取得済の認証ポリシーを用いてセッション中のユーザ認証を行う。
このように、認証実行装置7は、セッション開始時とセッション途中を区別しながら認証を実行する。
認証実行装置7は、受信部、セキュリティポリシー取得部、認証実行部の例である。
図11において、認証実行装置7以外の要素は、図2に示したものと同様であるが、各ユーザの取得済情報5は、実施の形態では、セキュリティ端末装置11に送信済の認証ポリシーを示すが、本実施の形態では、認証ポリシーをセキュリティ端末装置11に送信しないので、各ユーザの取得済情報5では、各ユーザに対して取得済の認証ポリシーが示される。
また、各ユーザに対して取得済の認証ポリシー自体は、各ユーザの取得済情報5内にユーザごとにプールしていてもよいし、情報記憶装置2内の他の領域にユーザごとにプールしていてもよい。
また、各ユーザの取得済情報5の取得済の認証ポリシーのリストに従って、認証実行装置7が、対象となる認証ポリシーを認証ポリシー3の領域から再度取得するようにしてもよい。
In the
The authentication execution device 7 uses the information stored in the
More specifically, the authentication execution device 7 receives a user authentication request for requesting user authentication from the
Further, the authentication execution device 7 acquires an immediately applied authentication policy from the
In this way, the authentication execution device 7 executes authentication while distinguishing between the start of the session and the middle of the session.
The authentication execution device 7 is an example of a reception unit, a security policy acquisition unit, and an authentication execution unit.
In FIG. 11, the elements other than the authentication execution device 7 are the same as those shown in FIG. 2, but the acquired information 5 of each user is the authentication policy transmitted to the
In addition, the authentication policy itself acquired for each user may be pooled for each user in the acquired information 5 of each user, or may be pooled for each user in another area in the
Further, the authentication execution device 7 may acquire the target authentication policy again from the area of the
本実施の形態に係るセキュリティ端末装置11は、ユーザが使用する端末であり、認証入力情報を入力し、また、ユーザ認証要求をセキュリティ管理装置11に送信する認証情報入力装置17から構成されている。
すなわち、本実施の形態では、セキュリティ端末装置11でユーザ認証が行われないため、図3に示した情報更新装置12、キャッシュ用情報記憶装置13、認証実行装置16は不要である。
The
That is, in the present embodiment, since the
次に、本実施の形態に係るセキュリティ管理装置1及びセキュリティ端末装置11の動作例を説明する。
Next, operation examples of the
初期設定の方法は、実施の形態1で説明したものと同様なので、説明を省略する。 Since the initial setting method is the same as that described in the first embodiment, the description thereof is omitted.
次に、セッションを開始するときの、セキュリティ管理装置1とセキュリティ端末装置11の動作を説明する。
Next, operations of the
ユーザはセキュリティ端末装置11の認証情報入力装置17にユーザIDとパスワードを入力し、あるいはICカード(内部にユーザIDを含む)などを使用して認証を要求する。
認証情報入力装置17は入力された認証入力情報からユーザ認証要求を生成し、認証実行装置7にユーザ認証要求を送信する。
ユーザ認証要求には、状態識別子とユーザIDが含まれている。
ここで送信されるユーザ認証要求には、現在ログイン処理中であることを示す状態識別子が含まれる。
The user inputs a user ID and password to the authentication
The authentication
The user authentication request includes a state identifier and a user ID.
The user authentication request transmitted here includes a state identifier indicating that login processing is currently being performed.
認証実行装置7は、ユーザ認証要求を受信し、受信したユーザ認証要求に含まれているユーザIDを用いて各ユーザの取得済情報5を検索して、当該ユーザに対して取得済の認証ポリシーを抽出する。
なお、セキュリティ端末装置11は現在ログイン処理中であるので、当該ユーザのセキュリティ端末装置11に対して過去に認証ポリシーが取得されていなければ、各ユーザの取得済情報5から認証ポリシーは抽出されない。また、当該ユーザのセキュリティ端末装置11に対して過去に認証ポリシーが取得されている場合は、前回のセッションの終了までに取得された認証ポリシーが抽出される。
次に、認証実行装置7は、認証ポリシー3の認証ポリシーのうち、抽出した取得済の認証ポリシーと比較して更新されている認証ポリシー(セッション単位適用認証ポリシーと即時適用認証ポリシーの両方)を情報記憶装置2から取得する。なお、抽出した取得済の認証ポリシーと比較して更新されている認証ポリシーには、取得済の認証ポリシーとは異なる新規に導入された認証ポリシーと、取得済の認証ポリシーの改訂版にあたる認証ポリシーの両方が含まれる。
更に、認証実行装置7は、各ユーザの取得済情報5に記述されている認証ポリシーも情報記憶装置2から取得する。
また、認証実行装置7は、ユーザ認証要求に含まれているユーザIDに対応した認証情報を情報記憶装置2から取得する。
そして、認証実行装置7は、取得した認証ポリシーに従って、取得した認証情報を用いてログイン時のユーザ認証を行う。
なお、認証実行装置7は、認証処理において、不足している情報があれば、セキュリティ端末装置11に、不足している情報の送信を要求してもよい。例えば、取得した認証ポリシーが、指紋や静脈等の生体情報を用いた生体認証を規定している場合は、認証実行装置7は、ユーザの生体情報の送信をセキュリティ端末装置11に要求してもよい。
そして、認証実行装置7は、認証結果を認証情報入力装置17に返す。
同時に、認証実行装置7は、このときの認証ポリシーを「各ユーザの取得済情報5」に記録する。なお、従前の認証ポリシーの改訂版にあたる認証ポリシーを取得した場合は、改訂前の認証ポリシーに上書きして改訂後の認証ポリシーを記録する。
認証実行装置7における認証に成功した場合は、ユーザはセキュリティ端末装置11へのログインに成功し、セッションが確立する。
The authentication execution device 7 receives the user authentication request, searches the acquired information 5 of each user using the user ID included in the received user authentication request, and acquires the authentication policy acquired for the user To extract.
Since the
Next, the authentication execution device 7 selects an authentication policy (both the session-based application authentication policy and the immediate application authentication policy) that has been updated by comparing with the extracted acquired authentication policy among the authentication policies of the
Further, the authentication execution device 7 also acquires the authentication policy described in the acquired information 5 of each user from the
In addition, the authentication execution device 7 acquires authentication information corresponding to the user ID included in the user authentication request from the
And the authentication execution apparatus 7 performs user authentication at the time of login using the acquired authentication information according to the acquired authentication policy.
Note that the authentication execution apparatus 7 may request the
Then, the authentication execution device 7 returns an authentication result to the authentication
At the same time, the authentication execution device 7 records the authentication policy at this time in “acquired information 5 of each user”. When an authentication policy corresponding to a revised version of the previous authentication policy is acquired, the revised authentication policy is recorded over the previous authentication policy.
If the authentication in the authentication execution device 7 is successful, the user successfully logs in to the
セッション中での認証を実行するときの、セキュリティ管理装置1とセキュリティ端末装置11の動作を説明する。
The operations of the
ユーザはセキュリティ端末装置11の認証情報入力装置17で、ユーザIDとパスワードを入力し、あるいはICカードを使用して認証を要求する。
認証情報入力装置17は入力された認証入力情報からユーザ認証要求を生成し、認証実行装置7にユーザ認証要求を送信する。
ユーザ認証要求には、状態識別子とユーザIDが含まれている。
ここで送信されるユーザ認証要求には、既にログイン処理済(セッション確立済)であることを示す状態識別子が含まれる。
The user inputs a user ID and password at the authentication
The authentication
The user authentication request includes a state identifier and a user ID.
The user authentication request transmitted here includes a state identifier indicating that login processing has already been completed (session has been established).
認証実行装置7は、ユーザ認証要求を受信し、受信したユーザ認証要求に含まれているユーザIDを用いて各ユーザの取得済情報5を検索して、当該ユーザに対して取得済みの認証ポリシーを抽出する。
次に、認証実行装置7は、認証ポリシー3の認証ポリシーのうち、抽出した取得済の認証ポリシーと比較して更新されている「即時に反映」(immediate)指定の認証ポリシーを情報記憶装置2から取得する。つまり、セッション確立済の段階では、即時に適用する認証ポリシーのみを取得する。
更に、認証実行装置7は、各ユーザの取得済情報5に記述されている認証ポリシーも情報記憶装置2から取得する。
また、認証実行装置7は、ユーザIDに対応した認証情報を認証情報4から取得する。
次に、認証実行装置7は、取得した認証ポリシーに従って、取得した認証情報を用いてログイン時のユーザ認証を行う。
そして、認証実行装置7は、認証結果を認証情報入力装置17に返す。
同時に、認証実行装置7は、このときの認証ポリシーを「各ユーザの取得済情報5」に記録する。ここでも、従前の認証ポリシーの改訂版にあたる認証ポリシーを取得した場合は、改訂前の認証ポリシーに上書きして改訂後の認証ポリシーを記録する。
The authentication execution device 7 receives the user authentication request, searches the acquired information 5 of each user using the user ID included in the received user authentication request, and acquires the authentication policy acquired for the user To extract.
Next, the authentication execution device 7 displays the authentication policy designated as “immediately reflected” (immediate), which is updated by comparison with the extracted acquired authentication policy, among the authentication policies of the
Further, the authentication execution device 7 also acquires the authentication policy described in the acquired information 5 of each user from the
In addition, the authentication execution device 7 acquires authentication information corresponding to the user ID from the
Next, the authentication execution device 7 performs user authentication at the time of login using the acquired authentication information in accordance with the acquired authentication policy.
Then, the authentication execution device 7 returns an authentication result to the authentication
At the same time, the authentication execution device 7 records the authentication policy at this time in “acquired information 5 of each user”. Also here, when the authentication policy corresponding to the revised version of the previous authentication policy is obtained, the revised authentication policy is recorded over the old authentication policy.
このように、セキュリティ管理装置においてユーザ認証を行う場合でも、セッション単位に適用する認証ポリシーと即時に適用する認証ポリシーを区別することにより、柔軟な認証ポリシーの適用が可能となる。 As described above, even when user authentication is performed in the security management apparatus, it is possible to apply a flexible authentication policy by distinguishing between an authentication policy applied in units of sessions and an authentication policy applied immediately.
以上の実施の形態1及び2では、以下の装置を備えたセキュリティ管理装置を説明した。
(a)認証を実行する「認証実行装置」、
(b)認証ポリシーと認証情報の配信を行う「情報配信装置」、
(c)認証ポリシーと認証情報を保持する「情報記憶装置」。
In the first and second embodiments described above, the security management apparatus including the following apparatuses has been described.
(A) "Authentication execution device" for executing authentication,
(B) “Information distribution device” that distributes authentication policy and authentication information;
(C) “Information storage device” that holds authentication policy and authentication information.
また、実施の形態1では、以下の装置を備えたセキュリティ端末装置を説明した。
(a)認証を実行する「認証実行装置」、
(b)セキュリティ管理装置に問い合わせを行い、認証ポリシーと認証情報を取得する「情報更新装置」、
(c)認証ポリシーと認証情報を保持する「キャッシュ用情報記憶装置」、
(d)ユーザからパスワードやICカード情報などを受け取る「認証情報入力装置」。
In the first embodiment, a security terminal device including the following devices has been described.
(A) "Authentication execution device" for executing authentication,
(B) “Information update device” that makes an inquiry to the security management device and obtains an authentication policy and authentication information;
(C) “cache information storage device” that holds an authentication policy and authentication information;
(D) An “authentication information input device” that receives a password, IC card information, and the like from a user.
また、実施の形態2では、以下の動作を行う認証実行装置7を説明した。
(a)セッションの開始の場合は、認証情報入力装置17から受け取ったパスワードやユーザIDなどの情報と、認証ポリシー3の認証ポリシーと認証情報4の認証情報を使用して、認証を実行し、
(b)セッションの途中では、認証情報入力装置17から受け取ったパスワードやユーザIDなどの情報と、認証ポリシー3の「即時に反映」の認証ポリシーと、認証情報4の認証情報と、「各ユーザの取得済情報5」からユーザIDに対応するポリシー情報を取得して、認証を実行する。
In the second embodiment, the authentication execution device 7 that performs the following operations has been described.
(A) In the case of starting a session, authentication is executed using information such as a password and a user ID received from the authentication
(B) In the middle of the session, information such as a password and a user ID received from the authentication
また、実施の形態1では、認証情報入力装置17から受け取ったパスワードやユーザIDなどの情報と、認証ポリシー14の認証ポリシーと、認証情報15の認証情報を使用して、認証を実行する認証実行装置16を説明した。
In the first embodiment, the authentication execution is performed by using the information such as the password and the user ID received from the authentication
また、実施の形態1では、以下の動作を行う情報配信装置6を説明した。
(a)セッションの開始時は、認証ポリシー3の認証ポリシーのうち、取得済の情報5を比較して更新されていれば、情報更新装置12に送信し、セッション途中では、認証ポリシー3の情報を参照して、「即時に反映」(immediate)指定の認証ポリシーを抽出し、抽出した認証ポリシーと、取得済の情報5を比較して、更新されていれば、情報更新装置12に送信し、
(b)ユーザIDに対応した認証情報を認証情報4から取得して情報更新装置12に送信する。
In the first embodiment, the
(A) At the start of a session, if the acquired information 5 of the authentication policies of the
(B) The authentication information corresponding to the user ID is acquired from the
また、実施の形態1及び2では、以下の動作を行う情報記憶装置2を説明した。
(a)最新の認証ポリシーと、付随する情報として「即時に適用」するか「セッション単位に適用(セッションの開始時に適用)」するか、を表す情報を保持し、
(b)最新の認証情報を保持し、
(c)各ユーザがログインした時点の認証ポリシーを保持する。
In the first and second embodiments, the
(A) The latest authentication policy and the information indicating whether to apply “immediately” or “apply in session units (apply at the start of a session)” as the accompanying information are retained,
(B) keep the latest authentication information,
(C) The authentication policy at the time when each user logs in is held.
また、実施の形態1では、以下の動作を行うキャッシュ用情報記憶装置13を説明した。
(a)「即時に適用」指定の認証ポリシーについては最新の認証ポリシーを保持し、「セッション単位に適用」指定の認証ポリシーについてはセッション開始時の認証情報を保持し、
(b)最新の認証情報を保持する。
In the first embodiment, the cache
(A) The latest authentication policy is retained for the authentication policy designated “immediately apply”, and the authentication information at the start of the session is retained for the authentication policy designated “apply per session”.
(B) Hold the latest authentication information.
最後に、実施の形態1及び2に示したセキュリティ管理装置1及びセキュリティ端末装置11のハードウェア構成例について説明する。
図13は、実施の形態1及び2に示すセキュリティ管理装置1及びセキュリティ端末装置11のハードウェア資源の一例を示す図である。
なお、図13の構成は、あくまでもセキュリティ管理装置1及びセキュリティ端末装置11のハードウェア構成の一例を示すものであり、セキュリティ管理装置1及びセキュリティ端末装置11のハードウェア構成は図13に記載の構成に限らず、他の構成であってもよい。
Finally, a hardware configuration example of the
FIG. 13 is a diagram illustrating an example of hardware resources of the
The configuration in FIG. 13 is merely an example of the hardware configuration of the
図13において、セキュリティ管理装置1及びセキュリティ端末装置11は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
実施の形態1及び2で説明した「情報記憶装置2」、「キャッシュ用情報記憶装置13」は、RAM914、磁気ディスク装置920等により実現される。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは、入力装置の一例である。
また、実施の形態1及び2で説明した「認証情報入力装置17」はキーボード902、マウス903等を用いて認証入力情報を入力することができる。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
In FIG. 13, the
The
Further, the
The
The “
A
Further, the “authentication
The
通信ボード915は、図1に示すように、ネットワークに接続されている。例えば、通信ボード915は、LAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)、SAN(ストレージエリアネットワーク)などに接続されていても構わない。
As shown in FIG. 1, the
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
The
The programs in the
また、RAM914には、CPU911に実行させるオペレーティングシステム921のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
The
The
また、ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
セキュリティ管理装置1及びセキュリティ端末装置11の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
The
When the
上記プログラム群923には、実施の形態1及び2の説明において「情報配信装置6」「認証実行装置7」、「情報更新装置12」、「認証実行装置16」、「認証情報入力装置17」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
The
ファイル群924には、実施の形態1及び2の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の認証」、「〜の評価」、「〜の更新」、「〜の設定」、「〜の登録」、「〜の抽出」、「〜の選択」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1及び2で説明しているデータや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
In the
The “˜file” and “˜database” are stored in a recording medium such as a disk or a memory. Information, data, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by the
Information, data, signal values, variable values, and parameters are stored in the main memory, registers, cache memory, and buffers during the CPU operations of extraction, search, reference, comparison, calculation, processing, editing, output, printing, and display. It is temporarily stored in a memory or the like.
The data and signal values described in the first and second embodiments are the memory of the
また、実施の形態1及び2の説明において「情報配信装置6」「認証実行装置7」、「情報更新装置12」、「認証実行装置16」、「認証情報入力装置17」として説明しているものは、「〜回路」、「〜手段」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「情報配信装置6」「認証実行装置7」、「情報更新装置12」、「認証実行装置16」、「認証情報入力装置17」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1及び2の「情報配信装置6」「認証実行装置7」、「情報更新装置12」、「認証実行装置16」、「認証情報入力装置17」としてコンピュータを機能させるものである。あるいは、実施の形態1及び2の「「情報配信装置6」「認証実行装置7」、「情報更新装置12」、「認証実行装置16」、「認証情報入力装置17」の手順や方法をコンピュータに実行させるものである。
In the description of the first and second embodiments, “
このように、実施の形態1及び2に示すセキュリティ管理装置1及びセキュリティ端末装置11は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、実施の形態1及び2で示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
As described above, the
1 セキュリティ管理装置、2 情報記憶装置、3 認証ポリシー、4 認証情報、5 各ユーザの取得済情報、6 情報配信装置、7 認証実行装置、11 セキュリティ端末装置、12 情報更新装置、13 キャッシュ用情報記憶装置、14 認証ポリシー、15 認証情報、16 認証実行装置、17 認証情報入力装置。
DESCRIPTION OF
Claims (8)
に接続されている管理装置であって、
前記端末装置に適用させるセキュリティポリシーを、適用開始タイミングがセッション開始時に限られセッション開始時の適用開始以降セッション中は継続して適用させる第1種セキュリティポリシーと、適用開始タイミングはセッション開始時に限られずセッション確立後の追加適用も可能な第2種セキュリティポリシーとに区別して記憶するセキュリティポリシー記憶部と、
前記端末装置から、前記端末装置が現在ログイン処理中であるかログイン処理済であるかを示す状態識別子が含まれ、セキュリティポリシーの送信を要求するセキュリティポリシー送信要求を受信する受信部と、
前記セキュリティポリシー送信要求に含まれている状態識別子を解析し、前記端末装置が現在ログイン処理中であると判断した場合に、前記セキュリティポリシー記憶部から前記第1種セキュリティポリシーを取得し、前記端末装置が既にログイン処理済であると判断した場合に、前記セキュリティポリシー記憶部から前記第2種セキュリティポリシーを取得するセキュリティポリシー取得部と、
前記セキュリティポリシー取得部により取得されたセキュリティポリシーを前記端末装置に対して送信する送信部とを有することを特徴とする管理装置。 A session is started from the start of the user login process, a session is established after the login process is completed, and is a management apparatus connected to a terminal device that requests transmission of a security policy at least during the login process,
The security policy to be applied to the terminal device is a first type security policy in which the application start timing is limited at the start of the session and is continuously applied during the session after the start of application at the start of the session, and the application start timing is not limited to at the start of the session A security policy storage unit for storing separately from the second type security policy that can be additionally applied after session establishment;
A receiving unit for receiving a security policy transmission request for requesting transmission of a security policy, including a state identifier indicating whether the terminal device is currently performing login processing or login processing from the terminal device;
When the state identifier included in the security policy transmission request is analyzed and it is determined that the terminal device is currently performing a login process, the first type security policy is acquired from the security policy storage unit, and the terminal A security policy acquisition unit that acquires the second type security policy from the security policy storage unit when it is determined that the apparatus has already undergone login processing;
A management apparatus comprising: a transmission unit that transmits the security policy acquired by the security policy acquisition unit to the terminal device.
状態識別子の解析の結果、前記端末装置が現在ログイン処理中であると判断した場合に、前記セキュリティポリシー記憶部から前記第1種セキュリティポリシーを取得するとともに前記第2種セキュリティポリシーを取得し、
状態識別子の解析の結果、前記端末装置が既にログイン処理済であると判断した場合に、前記セキュリティポリシー記憶部から、前記端末装置のログイン処理中に取得した第2種セキュリティポリシー以外の第2種セキュリティポリシーを取得することを特徴とする請求項1に記載の管理装置。 The security policy acquisition unit
As a result of analyzing the state identifier, when it is determined that the terminal device is currently in the login process, the first type security policy is acquired from the security policy storage unit and the second type security policy is acquired,
As a result of the analysis of the state identifier, when it is determined that the terminal device has already been logged in, the second type other than the second type security policy acquired from the security policy storage unit during the login processing of the terminal device. The management apparatus according to claim 1, wherein a security policy is acquired.
前記送信部より前記端末装置に対して送信済のセキュリティポリシーを示す送信済セキュリティポリシー情報を記憶する送信済セキュリティポリシー情報記憶部を有し、
前記セキュリティポリシー取得部は、
状態識別子の解析の結果、前記端末装置が現在ログイン処理中であると判断した場合に、前記送信済セキュリティポリシー情報に基づき、前記端末装置に未送信の第1種セキュリティポリシーを前記セキュリティポリシー記憶部から取得し、
状態識別子の解析の結果、前記端末装置が既にログイン処理済であると判断した場合に、前記送信済セキュリティポリシー情報に基づき、前記端末装置に未送信の第2種セキュリティポリシーを前記セキュリティポリシー記憶部から取得することを特徴とする請求項1又は2に記載の管理装置。 The management device further includes:
A transmitted security policy information storage unit for storing transmitted security policy information indicating a security policy transmitted from the transmission unit to the terminal device;
The security policy acquisition unit
As a result of the analysis of the state identifier, when it is determined that the terminal device is currently in the login process, the security policy storage unit stores the first type security policy that has not been transmitted to the terminal device based on the transmitted security policy information. Get from
As a result of the analysis of the state identifier, when it is determined that the terminal device has already been logged in, the security policy storage unit stores the second type security policy that has not been transmitted to the terminal device based on the transmitted security policy information. The management device according to claim 1, wherein the management device is acquired from the above.
に接続されている管理装置であって、
前記端末装置のユーザ認証に適用するセキュリティポリシーを、適用開始タイミングがセッション開始時に限られセッション開始時の適用開始以降セッション中は継続して適用する第1種セキュリティポリシーと、適用開始タイミングはセッション開始時に限られずセッション確立後の追加適用も可能な第2種セキュリティポリシーとに区別して記憶するセキュリティポリシー記憶部と、
前記端末装置から、前記端末装置が現在ログイン処理中であるかログイン処理済であるかを示す状態識別子が含まれ、ユーザ認証を要求するユーザ認証要求を受信する受信部と、
前記ユーザ認証要求に含まれている状態識別子を解析し、前記端末装置が現在ログイン処理中であると判断した場合に、前記セキュリティポリシー記憶部から前記第1種セキュリティポリシーを取得し、前記端末装置が既にログイン処理済であると判断した場合に、前記セキュリティポリシー記憶部から前記第2種セキュリティポリシーを取得するセキュリティポリシー取得部と、
前記セキュリティポリシー取得部により取得されたセキュリティポリシーを適用して前記端末装置のユーザ認証を行う認証実行部とを有することを特徴とする管理装置。 A session is started from the start of a user login process, a session is established after the login process is completed, and is a management apparatus connected to a terminal device that requests user authentication at least during the login process,
A security policy applied to user authentication of the terminal device is a first type security policy that is applied only at the start of a session and is continuously applied during the session after the start of application at the start of the session. A security policy storage unit that stores the security policy separately from the second type security policy that is not limited to time and can be additionally applied after session establishment;
A reception unit that receives a user authentication request for requesting user authentication from the terminal device, including a state identifier indicating whether the terminal device is currently performing login processing or login processing,
When the state identifier included in the user authentication request is analyzed and it is determined that the terminal device is currently performing login processing, the first type security policy is acquired from the security policy storage unit, and the terminal device Security policy acquisition unit that acquires the second type security policy from the security policy storage unit,
A management apparatus comprising: an authentication execution unit that performs user authentication of the terminal device by applying the security policy acquired by the security policy acquisition unit.
状態識別子の解析の結果、前記端末装置が現在ログイン処理中であると判断した場合に、前記セキュリティポリシー記憶部から前記第1種セキュリティポリシーを取得するとともに前記第2種セキュリティポリシーを取得し、
状態識別子の解析の結果、前記端末装置が既にログイン処理済であると判断した場合に、前記セキュリティポリシー記憶部から、前記端末装置のログイン処理中に取得した第2種セキュリティポリシー以外の第2種セキュリティポリシーを取得することを特徴とする請求項4に記載の管理装置。 The security policy acquisition unit
As a result of analyzing the state identifier, when it is determined that the terminal device is currently in the login process, the first type security policy is acquired from the security policy storage unit and the second type security policy is acquired,
As a result of the analysis of the state identifier, when it is determined that the terminal device has already been logged in, the second type other than the second type security policy acquired from the security policy storage unit during the login processing of the terminal device. The management apparatus according to claim 4, wherein a security policy is acquired.
前記セキュリティポリシー取得部により前記端末装置が現在ログイン処理中であると判断された場合に、前記セキュリティポリシー取得部により取得された前記第1種セキュリティポリシー及び前記第2種セキュリティポリシーを適用して前記端末装置のユーザ認証を行い、
前記セキュリティポリシー取得部により前記端末装置が既にログイン処理済であると判断された場合に、前記端末装置のログイン処理中に前記セキュリティポリシー取得部により取得された前記第1種セキュリティポリシー及び前記第2種セキュリティポリシーと、前記セキュリティポリシー取得部により新たに取得された第2種セキュリティポリシーとを適用して前記端末装置のユーザ認証を行うことを特徴とする請求項5に記載の管理装置。 The authentication execution unit
When the security policy acquisition unit determines that the terminal device is currently in the login process, the security policy acquisition unit applies the first type security policy and the second type security policy acquired by the security policy acquisition unit. Perform user authentication of the terminal device,
When the security policy acquisition unit determines that the terminal device has already been logged in, the first type security policy and the second security policy acquired by the security policy acquisition unit during the login process of the terminal device 6. The management apparatus according to claim 5, wherein user authentication of the terminal device is performed by applying a seed security policy and a second security policy newly acquired by the security policy acquisition unit.
ユーザのログイン処理の開始からセッションが開始し、ログイン処理の完了後にセッションが確立する端末装置であって、
ログイン処理時又はセッション確立後の任意のタイミングで、現在ログイン処理中であるかログイン処理済であるかを示す状態識別子を含み、セキュリティポリシーの送信を要求するセキュリティポリシー送信要求を前記管理装置に対して送信する送信部と、
前記送信部よりログイン処理時にセキュリティポリシー送信要求が送信された場合に、適用開始タイミングがセッション開始時に限られセッション開始時の適用開始以降セッション中は継続して適用される第1種セキュリティポリシーを前記管理装置から受信し、前記送信部よりセッション確立後にセキュリティポリシー送信要求が送信された場合に、適用開始タイミングはセッション開始時に限られずセッション確立後の追加適用も可能な第2種セキュリティポリシーを受信する受信部と、
前記第1種セキュリティポリシーに対しては、セッション開始時から適用を開始し、セッション中は前記第1種セキュリティポリシーに従ったセキュリティ対策を継続して実施し、前記第2種セキュリティポリシーに対しては、第2種セキュリティポリシーの受信の度に受信した第2種セキュリティポリシーの適用を開始し、適用を開始した第2種セキュリティポリシーに従ったセキュリティ対策を実施するセキュリティポリシー適用部とを有することを特徴とする端末装置。 Connected to a management device that stores security policies,
A terminal device in which a session starts from the start of the login process of a user and the session is established after the login process is completed,
A security policy transmission request for requesting transmission of a security policy is included in the management apparatus, including a state identifier indicating whether login processing is currently being performed or login processing is completed at any timing during login processing or after session establishment. A transmitter for transmitting
When the security policy transmission request is transmitted from the transmission unit during the login process, the application start timing is limited at the start of the session, and the first type security policy applied continuously during the session after the start of application at the start of the session When a security policy transmission request is transmitted after the session is established from the management device and the transmission unit is established, the application start timing is not limited to the session start time, and the second type security policy that can be additionally applied after the session is established is received. A receiver,
The first type security policy starts to be applied from the start of the session, and security measures are continuously performed according to the first type security policy during the session. Has a security policy application unit that starts application of the second type security policy received each time the second type security policy is received and implements security measures in accordance with the second type security policy that has been applied. A terminal device characterized by the above.
前記送信部よりログイン処理時にセキュリティポリシー送信要求が送信された場合に、第1種セキュリティポリシーと第2種セキュリティポリシーを前記管理装置から受信し、前記送信部よりセッション確立後にセキュリティポリシー送信要求が送信された場合に、ログイン処理時に受信した第2種セキュリティポリシー以外の第2種セキュリティポリシーを受信することを特徴とする請求項7に記載の端末装置。 The receiver is
When a security policy transmission request is transmitted from the transmission unit during login processing, the first type security policy and the second type security policy are received from the management device, and the security policy transmission request is transmitted from the transmission unit after session establishment. The terminal device according to claim 7, wherein when received, the terminal device receives a second type security policy other than the second type security policy received during the login process.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009153224A JP5258685B2 (en) | 2009-06-29 | 2009-06-29 | Management device and terminal device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009153224A JP5258685B2 (en) | 2009-06-29 | 2009-06-29 | Management device and terminal device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011008655A JP2011008655A (en) | 2011-01-13 |
JP5258685B2 true JP5258685B2 (en) | 2013-08-07 |
Family
ID=43565203
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009153224A Expired - Fee Related JP5258685B2 (en) | 2009-06-29 | 2009-06-29 | Management device and terminal device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5258685B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7022306B2 (en) * | 2018-01-15 | 2022-02-18 | セイコーエプソン株式会社 | Electronics |
JP7044050B2 (en) * | 2018-12-21 | 2022-03-30 | オムロン株式会社 | Data management system and data management method |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006243791A (en) * | 2005-02-28 | 2006-09-14 | Hitachi Software Eng Co Ltd | System and method for delivering security policy |
JP4488953B2 (en) * | 2005-05-13 | 2010-06-23 | 株式会社東芝 | Password policy management server |
JP2009054119A (en) * | 2007-08-29 | 2009-03-12 | Hitachi Software Eng Co Ltd | Client-server system |
-
2009
- 2009-06-29 JP JP2009153224A patent/JP5258685B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2011008655A (en) | 2011-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4838610B2 (en) | Document management apparatus, document management method, and program | |
JP4914220B2 (en) | Communication method and system for software update | |
US9553858B2 (en) | Hardware-based credential distribution | |
JP4800968B2 (en) | How to update a file using a delta patch | |
US9106425B2 (en) | Method and system for restricting execution of virtual applications to a managed process environment | |
KR101098621B1 (en) | System and method for updating installation components in a networked environment | |
US8490165B2 (en) | Restoring secure sessions | |
US8572268B2 (en) | Managing secure sessions | |
US8254579B1 (en) | Cryptographic key distribution using a trusted computing platform | |
US20110060915A1 (en) | Managing Encryption of Data | |
US20120036565A1 (en) | Personal data protection suite | |
US20020120579A1 (en) | Method for updating a license period of a program, method for licensing the use of a program, and information processing system and program thereof | |
JP2007511821A (en) | Distributed document version control | |
WO2001042889A2 (en) | Client-side boot domains and boot rules | |
US20120198553A1 (en) | Secure auditing system and secure auditing method | |
JP2007523395A (en) | System and method for software distribution service | |
WO2013042306A1 (en) | Authentication system, authentication server, authentication method, and authentication program | |
WO2013011730A1 (en) | Device and method for processing document | |
WO2013035409A1 (en) | Cloud computing system | |
US8850563B2 (en) | Portable computer accounts | |
JP2004151863A (en) | Automatic log-in system, automatic log-in method, automatic log-in program, and storage medium | |
US20090228713A1 (en) | Authentication device, biological information management apparatus, authentication system and authentication method | |
JP2008015733A (en) | Log management computer | |
JP2006119799A (en) | Storage system and method for managing data stored in storage system | |
JP5258685B2 (en) | Management device and terminal device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120201 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130227 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130326 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130423 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160502 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5258685 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |