JP2002207698A - 利用権制御を伴うサーバおよびクライアントならびにサービス提供方法および利用権証明方法 - Google Patents

利用権制御を伴うサーバおよびクライアントならびにサービス提供方法および利用権証明方法

Info

Publication number
JP2002207698A
JP2002207698A JP2001003603A JP2001003603A JP2002207698A JP 2002207698 A JP2002207698 A JP 2002207698A JP 2001003603 A JP2001003603 A JP 2001003603A JP 2001003603 A JP2001003603 A JP 2001003603A JP 2002207698 A JP2002207698 A JP 2002207698A
Authority
JP
Japan
Prior art keywords
client
server
challenge
response
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001003603A
Other languages
English (en)
Other versions
JP3593979B2 (ja
Inventor
Hitoki Kyojima
仁樹 京嶋
Yukifumi Takeda
幸史 竹田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ACCESSTICKET SYSTEMS Inc
Original Assignee
ACCESSTICKET SYSTEMS Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ACCESSTICKET SYSTEMS Inc filed Critical ACCESSTICKET SYSTEMS Inc
Priority to JP2001003603A priority Critical patent/JP3593979B2/ja
Priority to US10/014,362 priority patent/US7165176B2/en
Publication of JP2002207698A publication Critical patent/JP2002207698A/ja
Application granted granted Critical
Publication of JP3593979B2 publication Critical patent/JP3593979B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 ユーザアカウント情報を用いることなくクラ
イアント認証を行う。 【解決手段】 利用権認証制御部105は、要求された
Webページに対して割り当てられたRSA法数と公開
鍵が存在するならば、チャンレンジ生成部107を呼び
出してチャレンジを生成し、入出力制御部102を介し
てクライアント201に送付する。その後、利用権認証
部104は、クライアント201から入出力制御部10
2を介して送られてくるレスポンスを待つ。クライアン
ト201からレスポンスが届くと、利用権認証制御部1
05は利用権検査部108を呼び出し、レスポンスが正
しいかどうかを検査する。正しいレスポンスの場合には
利用権の認証に成功したことを出力し、ページアクセス
を許容する。

Description

【発明の詳細な説明】
【0001】
【発明の属する利用分野】この発明は、ネットワークを
介して接続されているクライアントに対してサービスを
提供するサーバが、サービスに対する正当な利用権をク
ライアントが持つことを認証するための利用権認証技術
に関する。
【0002】
【従来の技術】ネットワークを介して接続されているク
ライアントに対してサービスを提供するサーバの多く
が、クライアントにサービスを提供する際に、そのサー
ビスを提供して良いクライアントであるかどうか、ある
いは、サービスを提供して良いユーザが利用中のクライ
アントであるかどうかを判断するための仕組みを持って
いる。この仕組みをクライアント認証と呼ぶことにす
る。
【0003】たとえば、米国マイクロソフト社(Mic
rosoft Corporation)発行「Mic
rosoft Internet Informati
onServerリソースキット」(「Microso
ft」は米国マイクロソフト社の商標である)p.35
3−359には、米国マイクロソフト社が提供するIn
ternet Information Server
(以降IISと略記)が持つクライアント認証の機能
について記載されている。
【0004】IISでは、基本認証とよばれるクライア
ント認証の仕組みを持っている。
【0005】基本認証では、クライアントを使用してサ
ーバにアクセスするユーザにはアカウントが割り当てら
れる。また、サーバ上のファイルには、そのファイルに
アクセス可能なユーザのアカウントが決められる。
【0006】クライアントからサーバに対して、サーバ
中のファイルの要求があった場合、サーバは、ユーザに
対してユーザIDとパスワードの入力を要求する。入力
されたユーザIDとパスワードから、ユーザのアカウン
トを特定し、さらに要求されたファイルにアクセス可能
なアカウントであるかどうかが調べられ、アクセス可能
であった場合にのみ、要求したファイルがクライアント
に対して提供される。
【0007】IISの基本認証のような方式はきわめて
一般的である。インターネット、イントラネットを問わ
ず、Webを使ったアプリケーションでは、使用できる
ユーザを限定する際には、必ずといっていいほど使用さ
れている。
【0008】
【発明が解決しようとする課題】IISの基本認証のよ
うに、ユーザのアカウントを使ったクライアント認証に
は、次の2つの問題がある。 (1)ユーザアカウントの管理がサーバにもたらす負
荷。 (2)サーバに対してユーザの匿名性が保証されないこ
と。
【0009】これらの問題について、以下により詳細に
説明する。
【0010】ユーザのアカウントを使ったクライアント
認証では、サーバがユーザのアカウントを特定できるこ
とが必須である。これは、サーバがユーザのアカウント
を管理することが必要であることを意味する。このため
に、サーバはユーザのアカウントを管理するDB(デー
タベース)を持つことが必要になる。このDBはアカウ
ントの増減に応じて日々修正されなければならず、その
維持・運営コストはばかにならない。
【0011】多くのサーバで同一のクライアント認証を
行う場合には、ユーザのアカウントを管理するメインの
サーバ(アカウントサーバ)を設けて、個々のサーバが
そこに問い合わせるという方式をとることになる。この
方式では、個々のサーバとアカウントサーバとの間の通
信コストやセキュリティのが問題になる。
【0012】さらに、ユーザはサーバに対して、自己の
アカウントを明確にすることが必須となる。これは、ユ
ーザ毎のサービスの利用履歴がサーバ側に知られてしま
うことを意味する。収集された個人情報の悪用の事例が
後をたたない昨今の世情を考えれば、ユーザにとって大
きなリスクを負わせている方法であることがわかる。
【0013】
【課題を解決するための手段】クライアント認証におい
て、ユーザのアカウントを特定することは、実は必須で
はない。クライアント認証が行いたいのは、サービスを
要求しているクライアント、あるいはそのクライアント
のユーザに対して、サービスを提供してよいかどうかの
判断のみである。ユーザのアカウントを特定しているの
は、あくまで手段であって、それが目的ではない。
【0014】本発明では、サーバがクライアントに提供
するサービスに対して公開鍵がわりあてられる。クライ
アント、あるいはそのクライアントのユーザに対して、
サービスを提供するかどうかは、そのサービスに割り当
てられた公開鍵を使ったチャレンジーレスポンスを行う
ことで判断される。
【0015】たとえば、公開鍵暗号アルゴリズムとして
RSA(Rivest−Shamir−Adlema
n)を使用する場合、RSAの公開鍵ペア(法数n、公
開鍵e、秘密鍵d)のうち、法数nと公開鍵eをサービ
スに割り当て、そのサービスの提供を受けることが許さ
れるすべてのクライアントには秘密鍵dを渡す。
【0016】あるクライアントから、法数nと公開鍵e
が割り当てられたサービスに対する要求があった場合、
サーバはチャレンジと呼ぶ乱数値Cを生成し、クライア
ントに送付する。秘密鍵dを持っているクライアント
は、式(1)にしたがってレスポンスを計算し、サーバ
に送り返す。ここで法数nはサーバからクライアントに
チャレンジとともに送付しても良いし、秘密鍵dととも
にクライアントに渡しておいてもよい。公開可能な情報
であるので、誰でもアクセスできる別のサーバに置いて
おいてもよい。
【数1】R= C mod n (1)
【0017】レスポンスを受けとったサーバは、クライ
アントに送付したチャレンジCと、クライアントから受
け取ったレスポンスR、サービスに割り当てられた法数
nと公開鍵eとの間に、式(2)の関係が成り立つかど
うかを検査する。
【数2】C≡R mod n (2)
【0018】式(2)の関係が成り立つ場合には、クラ
イアントに対してサービスを提供し、そうでなければサ
ービスを提供しない。
【0019】この方式によれば、秘密鍵dが、法数nと
公開鍵eを割り当てられたサービスに対するクライアン
トの利用権を証明するためのデータ(利用権証明デー
タ)となる。秘密鍵dを持つユーザはすべて、法数nと
公開鍵eを割り当てられたサービスを利用することがで
きる。
【0020】同じ法数と公開鍵を割り当てられた複数の
サービスは、同じ秘密鍵によって利用することが可能で
ある。それらは、同一の利用権によって利用可能なサー
ビス群と考えることができる。これらのサービスが同一
のサーバのものであろうと、まったく異なるサーバのも
のであろうと、同一の利用権によって利用可能になる。
逆に異なる法数と公開鍵を割り当てられた複数のサービ
スは、異なる利用権を必要とするものだと考えることが
できる。
【0021】この方法では、サーバは、クライアントを
使用しているユーザのアカウントを特定する必要はな
い。ユーザアカウントのDBを持つ必要はないし、ユー
ザアカウントの特定のためにアカウントサーバにアクセ
スする必要もない。
【0022】また、ユーザアカウントがサーバに公開さ
れることもない。それどころか、チャレンジ−レスポン
スの過程でユーザを特定する情報は、サーバ側に一切に
流れることがない。ユーザの匿名性は、完全に守られる
のである。
【0023】上記の方式に使用可能な公開鍵暗号アルゴ
リズムは、RSAに限定されない。DSA(Digit
al Signature Algorithm)のよ
うな署名方式を使ったチャレンジ−レスポンスを適用し
ても良い。また、Schnorr認証のような、チャレ
ンジ−レスポンスの前に、コミットメントの送受信を必
要とするようなアルゴリズムを使用することも可能であ
る。
【0024】上記の方式の問題として、利用権を証明す
るデータとしてクライアントに渡される秘密鍵と法数
を、他のクライアントにコピーされれば、サービスを不
正に利用される危険が存在することがある。
【0025】この問題を解決するために、本発明では、
クライアントにクライアント固有の演算(固有演算)を
持たせている。また、利用権証明データは、サービスに
割り当てられた法数と公開鍵に対応する秘密鍵と、固有
演算から作成される。
【0026】たとえば、法数n、公開鍵e、秘密鍵d、
クライアントUが持つ固有演算をf (・)とした場
合、利用権証明データtを式(3)のように作成され、
クライアントUに渡される。ここで”|”は、bit連
結を示している。
【数3】t=d−f(n|e) (3)
【0027】クライアントUから、法数nと公開鍵eが
割り当てられたサービスに対する要求があった場合、サ
ーバはチャレンジCを生成し、クライアントに送付す
る。クライアントは、式(4)にしたがってレスポンス
を計算し、サーバに送り返す。ここで法数nや公開鍵e
はサーバからクライアントにチャレンジとともに送付し
ても良いし、利用権証明データtとともにクライアント
に渡しておいてもよい。公開可能な情報であるので、誰
でもアクセスできる別のサーバに置いておいてもよい。
【数4】
【0028】レスポンスを受けとったサーバは、クライ
アントに送付したチャレンジCと、クライアントから受
け取ったレスポンスR、サービスに割り当てられた法数
nと公開鍵eとの間に、式(2)の関係が成り立つかど
うかを検査する。式(2)の関係が成り立つ場合には、
クライアントに対してサービスを提供し、そうでなけれ
ばサービスを提供しない。
【0029】この方法によれば、サービスに割り当てら
れた利用権証明データを持つクライアント以外は、サー
ビスを提供されることがない点で、前出の方法と同じ機
能を実現している。さらに、同一のサービスに対する利
用権証明データであっても、クライアント毎に異なるこ
とになるので、固有演算f(・)の結果をクライアン
トのユーザがアクセスできないように守っておけば、利
用権証明データをいくらコピーしても、それが不正利用
につながることはないという利点がある。
【0030】上記の方式では、利用権証明データを用い
た演算を行うのがクライアントであるが、利用権証明デ
ータを用いるのがサーバであるように構成しても同じ効
果を得ることができる。この場合の手順を以下に示す。
【0031】クライアントUから、法数nと公開鍵eが
割り当てられたサービスに対する要求があった場合、サ
ーバはチャレンジCを生成し、クライアントに送付す
る。クライアントは、式(5)にしたがってレスポンス
を計算し、利用権証明データtとともにサーバに送り返
す。
【数5】
【0032】レスポンスを受けとったサーバは、クライ
アントに送付したチャレンジCと、クライアントから受
け取ったレスポンスRと利用権証明データt、サービス
に割り当てられた法数nと公開鍵eとの間に、式(6)
の関係が成り立つかどうかを検査する。式(6)の関係
が成り立つ場合には、クライアントに対してサービスを
提供し、そうでなければサービスを提供しない。
【数6】C≡CR mod n (6)
【0033】固有演算の実現方式としては、すべてのク
ライアントに共通の暗号学的ハッシュ関数f(・)(た
とえばSHA−1)とクライアント毎に異なる固有のデ
ータuを割り当てておき、式(5)のような演算を行う
ことで実現することができる。
【数7】f(x)=f(x|u) (7)
【0034】また、クライアント毎に異なる固有データ
uそのものを固有演算の結果として利用することも可能
である。
【0035】サーバが提供するサービスの利用を、一定
の条件下でのみクライアントが利用できるように限定し
たい場合に対応する場合には、利用条件を記述したデー
タ(利用条件データ)を利用する。たとえば、サービス
が利用できる期間を限定したい場合には、利用開始日時
と利用終了日時を利用条件データに記載する。
【0036】その上で、利用権証明データを、秘密鍵
と、クライアントの固有演算と、利用条件データとから
生成する。たとえば、秘密鍵d、クライアントの固有演
算f(・)、利用条件データをLとすると、利用権証
明データtを式(8)のように作成する。
【数8】 t=d−f(n|e|L) (8)
【0037】tとLはクライアントに渡される。
【0038】クライアントUから、法数nと公開鍵eが
割り当てられたサービスに対する要求があった場合、サ
ーバはチャレンジCを生成し、クライアントに送付す
る。クライアントは、まずLに記載されている利用条件
を評価し、それが満たされていれば、式(9)にしたが
ってレスポンスを計算して、サーバに送り返す。
【数9】
【0039】レスポンスを受けとったサーバは、クライ
アントに送付したチャレンジCと、クライアントから受
け取ったレスポンスR、サービスに割り当てられた法数
nと公開鍵eとの間に、式(2)の関係が成り立つかど
うかを検査する。式(2)の関係が成り立つ場合には、
クライアントに対してサービスを提供し、そうでなけれ
ばサービスを提供しない。
【0040】この方式によれば、Lに記載されている利
用条件を変更するとレスポンスRの値が変わり、その結
果として式(2)が成り立たなくなる。したがって、ク
ライアントのユーザがLを自分の有利なように書き換え
ることに意味がなくなる。
【0041】これまで説明した方式は、固有演算がクラ
イアントに割り当てられている。利用権証明データは固
有演算にあわせて作成されるので、同一のユーザが使用
するのであっても、クライアントが異なれば別の利用権
証明データが必要である。また、同一のクライアントを
使用している複数のユーザの間で、サービスの使用を許
したり許さなかったりという制御をすることも困難であ
る。
【0042】このように、固有演算がクライアントに割
り当てられる方式では、真にユーザにバインドした利用
権制御は困難である。このような問題を解決するための
解として、本発明では、固有演算部をスマートカード
(演算能力付きのICカード)のような携帯型の装置で
実現する。ユーザはこの携帯型装置を携帯し、使用する
クライアントに接続する。この方式であれば、どのクラ
イアントを使用しても、ユーザにバインドした利用権制
御が可能である。
【0043】本発明は、サーバ(サーバコンピュー
タ)、クライアント、コンピュータシステム等装置また
はシステムとして実現でき、また方法としても実現で
き、さらに、少なくともその一部をコンピュータプログ
ラムとして実現できることはもちろんである。クライア
ントとしてはパーソナルコンピュータ、ワークステーシ
ョン、携帯端末、セットトップボックス、情報家庭電気
製品、インテリジェント電話機(携帯電話機も含む)
等、種々の情報端末として構成することが可能である。
【0044】また、サーバはウェブサーバ、FTPサー
バ、アプリケーションサーバ等種々のサービスを提供す
る種々のサーバである。
【0045】サーバとクライアントとの間は有線または
無線のネットワークで接続可能であり、IP網、電話
網、移動体通信網等種々のネットワークの形態を採るこ
とが可能である。また、インターネット、イントラネッ
ト、エクストラネット等種々の利用環境に適用できる。
Bluetooth(商標)等の微弱電波を用いた通信
チャネルを用いてもよい。この場合、このような微弱電
波の通信機能を有する機器がクライアントとなることが
できる。
【0046】以上本発明について具体的に説明を行っ
た。本発明の以上の具体的な構成および本発明の種々の
側面については特許請求の範囲に記載され、以下、実施
例を用いて詳細に説明する。
【0047】
【発明の実施の形態】以下、本発明の実施例について説
明する。
【0048】[第1の実施例]第1の実施例は、クライ
アントに対してWebページを提供するWebサーバ
と、該Webサーバに対してWebページを要求してW
ebページの提供を受けるクライアントからなる。
【0049】本実施例のWebサーバは、本発明を適用
した利用権認証の機構をもつ。Webサーバが持つWe
bページには、必要に応じてRSA法数と公開鍵が割り
当てられている。割り当てられていないWebページ
は、どのクライアントに対しても提供される。
【0050】クライアントから、RSA法数と公開鍵が
割り当てられているページに対する要求があった場合、
クライアントとの間でチャレンジ−レスポンスを行うこ
とで、クライアントがWebページに対する利用権を持
つかどうかが検査される。チャレンジ−レスポンスは、
Webページに割り当てられたRSA法数と公開鍵に対
応する利用権証明データをクライアントが持っている場
合のみ成功する。この検査に成功した場合にのみ、要求
されたWebページがクライアントに対して提供され
る。
【0051】Webページに対するRSA法数と公開鍵
の割り当ての方法には、いくつかのバリエーションが考
えられる。各Webページ毎に対応するRSA法数と公
開鍵を決めておいても良いし、ディレクトリ等でまとめ
られたWebページの集合に対してRSA法数と公開鍵
を対応させ、Webページの集合に含まれるいずれのW
ebページに対する要求であっても、その集合にバイン
ドされているRSA法数と公開鍵を使ったチャレンジ−
レスポンスが行われるように構成してもよい。
【0052】本実施例のクライアントは、本発明を応用
した利用権証明の機構を持つ。自己が要求したWebペ
ージに対して、Webサーバからチャンレンジが送られ
てきた場合、レスポンスを作成して送りかえすことがで
きる。
【0053】本実施例のクライアントには、クライアン
ト毎に異なる固有データが割り当てられている。あるW
ebページに対する特定のクライアントの利用権証明デ
ータは、そのWebページに割り当てられたRSA法数
と公開鍵に対応する秘密鍵と、クライアントに割り当て
られた固有データ、クライアントに対してWebページ
の利用が許される条件を記した利用条件データから作成
される。利用条件データには、クライアントにWebペ
ージの利用が許される期間の開始と終了の日時が記載さ
れる。
【0054】たとえば、Webページに割り当てられた
RSA法数をn、公開鍵をe、nとeに対応する秘密鍵
をd、クライアントに割り当てられた固有データをu、
利用条件データをLとした場合、利用権証明データt
は、式(10)にしたがって作成される。
【数10】 t=d−f(n|e|L|u) (10) ここでf(・)はすべてのクライアントが共通に持つ暗
号学的ハッシュ関数である。
【0055】図1は、第1の実施例におけるWebサー
バの内部構成を示している。
【0056】Webサーバ101は、以下の部分から構
成される。
【0057】[入出力制御部102]:ネットワークを
経由して届くクライアントからWebサーバへの入力
と、ネットワークを経由して送られるWebサーバから
クライアントへの出力を制御する。
【0058】[ページデータ管理部103]:Webサ
ーバが持つWebページを管理する。クライアントから
のページの要求に対して、入出力制御部102を介して
Webページを提供する機能を持つ。Webページの提
供の際に、必要なら利用権認証部104を呼び出してク
ライアントが正しい利用権を持つかどうかを検査し、持
っていなければWebページの提供を中止することもで
きる。
【0059】[利用権認証部104]:ページデータ管
理部103からの呼び出しに応じて、クライアントが正
しい利用権を持つかどうかを検査し、その結果をページ
データ管理部103に返す。検査の過程で、入出力制御
部102を経由して、クライアントとの間で通信を行
う。
【0060】利用権認証部104は、以下の部分から構
成される。
【0061】[利用権認証制御部105]:クライアン
トが正しい利用権を持つかどうかの検査全体を制御す
る。
【0062】[公開鍵管理部106]:Webページ
と、そのWebページに対して割り当てられたRSA法
数と公開鍵の組み合わせを記憶・管理している。
【0063】[チャレンジ生成部107]:クライアン
トが利用権を持つかどうかは、Webサーバとクライア
ントの間で行われるチャレンジ−レスポンスによって検
査される。チャレンジ生成部は、クライアントに送付さ
れるチャレンジを生成する。
【0064】[利用権検査部108]:クライアントか
ら送付されるレスポンスが、チャレンジ生成部で生成さ
れたチャンレンジや、クライアントから要求されている
Webページに割り当てられたRSA法数や公開鍵と所
定の関係にあるかどうかを判断し、出力する。
【0065】図2は、第1の実施例におけるクライアン
トの内部構成を示している。
【0066】クライアント201は、以下の部分から構
成される。
【0067】[Webブラウザ202]:ネットワーク
を経由して届くWebサーバからクライアントへの入力
と、ネットワークを経由して送られるクライアントから
Webサーバへの出力を制御する。Webページに対す
る要求をWebサーバに送ったり、Webサーバから届
けられるWebページを処理するのも、Webブラウザ
202の役割である。
【0068】[利用権証明部204]:Webページに
対するクライアントの利用権をWebサーバに対して証
明する。利用権を認証するためのチャレンジが、Web
ブラウザ202を介してWebサーバから届けられた際
に、自己の利用権を証明するためのレスポンスを計算
し、Webブラウザ202を介してWebサーバに送付
する。
【0069】利用権証明部204は、以下の部分から構
成される。
【0070】[利用権証明制御部205]:クライアン
トの利用権を証明するためのレスポンスの計算全体を制
御する。
【0071】[利用権証明データ記憶部206]:We
bページに対する利用権証明データを記憶する。ここに
は複数の利用権証明データが記憶可能である。個々の利
用権証明データは、その利用権証明データの生成に使用
されたRSA法数、公開鍵、使用条件データとともに記
憶されている。
【0072】[利用条件評価部207]:利用条件デー
タに記載されている利用条件が満たされているかどうか
を判定する。本実施例の利用条件データには、クライア
ントがWebページを利用できる期間の開始日時と終了
日時が記載されており、利用条件評価部207は、現在
の時刻がWebページを利用できる期間内かどうかを判
定する機能を持つ。
【0073】[固有レスポンス生成部208]:本実施
例では、レスポンスを作成する際に、固有データを使用
した演算と、利用権証明データを使用した演算の2段階
に分かれる。固有レスポンス生成部208は、固有デー
タを使用した演算の部分を実行する。
【0074】[レスポンス生成部209]:Webサー
バ101に送付するレスポンスを生成する。
【0075】固有レスポンス生成部208は、さらに以
下の部分から構成される。
【0076】[固有データ記憶部210]:クライアン
トに割り当てられた固有データを記憶する。
【0077】[固有演算実行部211]:すべてのクラ
イアントが共通に持つ暗号学的ハッシュ関数f(・)を
内蔵し、固有データ記憶部210に記憶されている固有
データを使用したハッシュ演算を実行する。
【0078】[固有レスポンス演算部212]:固有演
算実行部211の結果を使用して、Webサーバ101
に送るレスポンスの計算の一部を実行する。
【0079】Webサーバ101は、クライアント20
1からのWebページの要求を受けた場合、その要求は
入出力制御部102を介してページデータ管理部103
に送付される。ページデータ管理部103は、依頼され
たWebページに対する利用権をクライアント201が
持つことを確認するために、利用権認証部104を呼び
出す。この呼び出しの際に、要求されたWebページを
特定するための情報(たとえばファイル名)が、利用権
認証部104に渡される。
【0080】利用権認証部104は、クライアント20
1から要求されたWebページに対する利用権を要求元
であるクライアント201が所持しているかどうかを検
査し、その結果をページデータ管理部103に送る。利
用権を所持していることが確認されれば、Webページ
のデータがクライアント201に対して送付される。そ
うでなければ、エラーメッセージが送付される。
【0081】図3は、ページデータ管理部103に呼び
出された際の利用権認証部104の動作を示したフロー
チャートである。利用権認証部104が実行する利用権
認証の手順を、図3のフローチャートにしたがって説明
する。
【0082】利用権認証部104の動作は、利用権認証
制御部105によってコントロールされる。
【0083】利用権認証制御部105は、まず公開鍵管
理部106呼び出し、クライアント201から要求され
ているWebページに割り当てられているRSA法数と
公開鍵が存在するかどうかを探索する(301)。割り
当てられたRSA法数と公開鍵が存在しなければ(30
2)、利用権の認証に成功したことを出力し(30
7)、処理は終了する。
【0084】要求されたWebページに対して割り当て
られたRSA法数と公開鍵が存在するならば(30
2)、利用権認証制御部105はチャンレンジ生成部1
07を呼び出してチャレンジを生成し、入出力制御部1
02を介してクライアント201に送付する(30
3)。また、チャレンジとともに、要求されたWebペ
ージに対して割り当てられたRSA法数と公開鍵も、同
時にクライアント201に送付される。
【0085】その後、利用権認証部104は、クライア
ント201から入出力制御部102を介して送られてく
るレスポンスを待つ。チャレンジを送付してから一定の
時間の間にレスポンスが届かなければ(304)、利用
権の認証に失敗したことを出力し(308)、処理は終
了する。
【0086】クライアント201からレスポンスが届い
た場合(304)、利用権認証制御部105は利用権検
査部108を呼び出し、レスポンスが正しいかどうかを
検査する(305)。303でクライアント201に送
付されたチャンレンジをC、304で受け取ったレスポ
ンスをR、要求されたWebページに割り当てられたR
SA法数をn、公開鍵をeとすると、利用権検査部10
8は式(2)が成り立つかどうかを検査する。成り立つ
場合(306)、利用権の認証に成功したことを出力し
(307)、処理は終了する。成り立たない場合(30
6)、利用権の認証に失敗したことを出力し(30
8)、処理は終了する。
【0087】Webサーバ101から、Webブラウザ
202を介してチャレンジ、およびRSA法数と公開鍵
を受け取ったクライアント201は、利用権証明部20
4に受け取ったチャレンジ、RSA法数、公開鍵を渡し
てレスポンスを作成し、Webブラウザ202を介して
Webサーバ101に送る。
【0088】図4は、チャレンジ、RSA法数、公開鍵
を渡された利用権証明部204の動作を示したフローチ
ャートである。利用権証明部204が実行するレスポン
ス作成の手順を、図4のフローチャートにしたがって説
明する。
【0089】利用権証明部204の動作は、利用権証明
制御部205によってコントロールされる。利用権証明
制御部205は、まず利用権証明データ記憶部206
に、Webサーバ101から受け取ったRSA法数と公
開鍵に対応する利用権証明データと利用条件データが存
在するかどうかを探索する(401)。利用権証明デー
タ記憶部206には、複数の利用権証明データが、その
利用権証明データの生成に使用されたRSA法数、公開
鍵、使用条件データとバインドされて記憶されており、
Webサーバ101から受け取ったRSA法数と公開鍵
と同じRSA法数と公開鍵にバインドされている利用権
証明データと利用条件データが探索される。
【0090】ここで、Webサーバ101から受け取っ
たRSA法数と公開鍵に対応する利用権証明データと利
用条件データが存在しなければ(402)、処理は終了
する。この場合、レスポンスがWebサーバ101に返
されることはない。
【0091】ここで、Webサーバ101から受け取っ
たRSA法数と公開鍵に対応する利用権証明データと利
用条件データが存在する場合(402)、利用条件評価
部207が呼び出され、401で見つかった利用条件デ
ータに記載されている利用条件が満たされているかどう
かが評価される(403)。
【0092】利用条件が満たされていない場合(40
4)、処理は終了する。この場合、レスポンスがWeb
サーバ101に返されることはない。利用条件が満たさ
れている場合(404)、レスポンスを計算してWeb
サーバ101にWebブラウザ202を介して送付し
(405)、処理は終了する。
【0093】405におけるレスポンスの計算では、ま
ず固有レスポンス生成部208を呼び出し、クライアン
トに割り当てられた固有データに基づく計算が行われ
る。固有レスポンス生成部208の呼び出し時には、W
ebサーバ101から送付されたチャレンジとRSA法
数と公開鍵、401で見つかった利用条件データが渡さ
れる。
【0094】固有レスポンス生成部208では、固有レ
スポンス演算部212が固有演算実行部211を呼び出
し、固有データ記憶部210に記憶されている固有デー
タに基づいた演算結果を入手する。固有演算実行部21
1は、固有データ記憶部210に記憶されている固有デ
ータ、Webサーバ101から送付されたRSA法数と
公開鍵、401で見つかった利用条件データから、所定
の演算を行う。Webサーバ101から送付されたRS
A法数をn、公開鍵をe、401で見つかった利用条件
データをLとすると、固有演算実行部211は式(1
1)に示す演算を実行し、結果Fを得る。
【数11】 F=f(n|e|L|u) (11)
【0095】その後、固有レスポンス演算部212は固
有演算実行部211の結果と、Webサーバ101から
送付されたチャレンジCとRSA法数nとから、式(1
2)の演算を実施し、R’を計算する。
【数12】 R’=C mod n (12)
【0096】固有レスポンス生成部208から計算結果
であるR’を受け取ると利用権証明制御部205はレス
ポンス生成部209を呼び出しレスポンスRを計算す
る。この計算は、Webサーバ101から送付されたチ
ャレンジCとRSA法数n、固有レスポンス生成部20
8の計算結果R’、401で見つかった利用権証明デー
タtとから、式(13)に示す演算を実施して得られ
る。
【数13】
【0097】本実施例では、Webページに割り当てら
れた法数nと公開鍵e、クライアントに割り当てられた
固有データuと、そのクライアントの利用権を示す利用
権証明データtと利用条件データLとの組み合わせが正
しければ、305おける検査に成功し、その結果、クラ
イアントが要求したWebページのデータがクライアン
トに送付される。この組み合わせのいずれがおきかえら
れても、305おける検査は成功せず、クライアントは
要求したWebページのデータを得ることができない。
【0098】本実施例では、利用権証明データが式(1
0)で定義されるので、固有レスポンス生成部208内
部の解析がセキュリティ上の問題となる。式(11)の
結果がもれれば、RSA法数n、公開鍵eに対する秘密
鍵dが計算でき、そのdによって、不正な利用が可能に
なる。式(11)がわからずとも、固有データ記憶部2
10が保持する固有データuがわかれば、そこから式
(11)の演算が誰にでも可能であり、やはり秘密鍵d
が計算できることになる。この問題を回避するために
は、固有レスポンス生成部208の計算過程や内部のメ
モリを解析されないような手段を講じる必要がある。た
とえば、耐タンパー性のあるハードウエアを使って固有
レスポンス生成部208を構成したり、プログラムやメ
モリの状態が解析されにくくなるようなソフトウエア的
な技術を使って固有レスポンス生成部208を構成する
といった手段をとらなければならない。
【0099】スマートカード(演算機能を持つICカー
ド)は、耐タンパー性の高いハードウエアであるので、
スマートカードを使って固有レスポンス生成部208を
構成することは有効である。この場合、固有データがク
ライアントに割り当てられるのではなく、スマートカー
ドに割り当てられることになり、スマートカードを携行
してクライアントに接続すれば、どのクライアントを使
用しても、同じ権利を行使することができる。スマート
カードに利用権証明データ記憶部206も含めれば、ユ
ーザにとってより使いやすいものとなる。
【0100】固有レスポンス生成部208と利用権証明
データ記憶部206をスマートカードで実現した場合
の、クライアント201の構成例を図5に示す。
【0101】図5では、理解のしやすさを考慮して、図
2の構成例と同じ機能を持つ部分には同じ番号を付与
し、新たに出現した部分にのみ新たな番号を割り当てて
ある。
【0102】図2の構成例と異なり、図5の構成例では
固有レスポンス生成部208と利用権証明データ記憶部
206がスマートカード502に含まれている。スマー
トカード502は、クライアント201との間のデータ
の入出力を制御するために、入出力制御部503を持っ
ている。クライアント201は、スマートカード502
を接続し、スマートカードとのデータの入出力を制御す
るために、スマートカード接続部501を持つ。なお、
他の構成は図2と同様であるので詳細な説明は省略す
る。
【0103】[第2の実施例]第2の実施例は、クライ
アントに対してWebアプリケーションを提供するWe
bサーバと、該Webサーバ上のWebアプリを利用す
るクライアントからなる。Webサーバ上のWebアプ
リケーションの動作は、サーバサイド上で解釈・実行さ
れるスクリプトを使って制御されている。
【0104】本実施例のWebサーバは、本発明を適用
した利用権認証の機構をもつ。利用権認証を呼び出すタ
イミングは、その利用権認証で使用するRSA法数と公
開鍵とともにスクリプトに記述することができる。スク
リプトの解釈・実行の過程で利用権認証の機構は呼び出
され、クライアントが利用権を持つことが認証される。
たとえば、Webアプリの特定の機能をクライアントに
提供する前にその機能に関する利用権認証を行い、利用
権を保持することが確認されたクライアントにのみ、該
機能が提供されるといったことが可能である。
【0105】利用権認証の機構が呼び出された場合、ク
ライアントとの間でチャレンジ‐レスポンスを行うこと
で、クライアントの利用権を持つかどうかが検査され
る。チャレンジ−レスポンスは、その利用権認証で使用
することが指定されたRSA法数と公開鍵に対応する利
用権証明データをクライアントが持っている場合のみ成
功する。
【0106】本実施例のクライアントは、本発明を応用
した利用権証明の機構を持つ。Webサーバからチャン
レンジが送られてきた場合、レスポンスを作成して送り
かえすことができる。
【0107】本実施例のクライアントには、クライアン
ト毎に異なる固有データが割り当てられている。あるR
SA法数と公開鍵に対する特定のクライアントの利用権
証明データは、そのRSA法数と公開鍵に対応する秘密
鍵と、クライアントに割り当てられた固有データ、クラ
イアントに対してWebページの利用が許される条件を
記した利用条件データから作成される。利用条件データ
には、クライアントの利用権が有効な期間の開始と終了
の日時が記載される。
【0108】たとえば、RSA法数をn、公開鍵をe、
nとeに対応する秘密鍵をd、クライアントに割り当て
られた固有データをu、利用条件データをLとした場
合、利用権証明データtは、式(10)にしたがって作
成される。
【0109】図6は、第2の実施例におけるWebサー
バの内部構成を示している。
【0110】Webサーバ601は、以下の部分から構
成される。
【0111】[入出力制御部602]:ネットワークを
経由して届くクライアントからWebサーバへの入力
と、ネットワークを経由して送られるWebサーバから
クライアントへの出力を制御する。
【0112】[スクリプト解釈部603]:Webサー
バが提供するWebアプリを構成するスクリプトを保持
し、クライアントからの要求に応じてスクリプトを解釈
・実行し、その結果を入出力制御部602を介してクラ
イアントに提供する。
【0113】スクリプトを解釈・実行の際に、利用権認
証部604を呼び出してクライアントが正しい利用権を
持つかどうかを検査することができる。
【0114】[利用権認証部604]:スクリプト解釈
部603からの呼び出しに応じて、クライアントが正し
い利用権を持つかどうかを検査し、その結果をスクリプ
ト解釈部603に返す。検査の過程で、入出力制御部6
02を経由して、クライアントとの間で通信を行う。
【0115】利用権認証部604は、以下の部分から構
成される。
【0116】[利用権認証制御部605]:クライアン
トが正しい利用権を持つかどうかの検査全体を制御す
る。
【0117】[チャレンジ生成部606]:クライアン
トが利用権を持つかどうかは、Webサーバとクライア
ントの間で行われるチャレンジ‐レスポンスによって検
査される。チャレンジ生成部は、クライアントに送付さ
れるチャレンジを生成する。
【0118】[利用権検査部607]:クライアントか
ら送付されるレスポンスが、チャレンジ生成部で生成さ
れたチャンレンジや、レスポンスとともにクライアント
から送付された利用権証明データや、スクリプト解釈部
603から指定されたRSA法数や公開鍵と所定の関係
にあるかどうかを判断し、出力する。
【0119】図7は、第2の実施例におけるクライアン
トの内部構成を示している。
【0120】クライアント701は、以下の部分から構
成される。
【0121】[Webブラウザ702]:ネットワーク
を経由して届くWebサーバからクライアントへの入力
と、ネットワークを経由して送られるクライアントから
Webサーバへの出力を制御する。Webアプリに対す
る要求をWebサーバに送り、Webサーバから届けら
れるWebページを処理するのも、Webブラウザ70
2の役割である。
【0122】[利用権証明部204]:利用権を認証す
るためのチャレンジが、Webブラウザ702を介して
Webサーバ601から届けられた際に、自己の利用権
を証明するためのレスポンスを計算し、利用権証明デー
タとともに、Webブラウザ702を介してWebサー
バ601に送付する。
【0123】利用権証明部704は、以下の部分から構
成される。
【0124】[利用権証明制御部705]:クライアン
トの利用権を証明するためのレスポンスの計算全体を制
御する。
【0125】[利用権証明データ記憶部706]:クラ
イアントが持つ利用権証明データを記憶する。ここには
複数の利用権証明データが記憶可能である。個々の利用
権証明データは、その利用権証明データの生成に使用さ
れたRSA法数、公開鍵、使用条件データとともに記憶
されている。
【0126】[利用条件評価部707]:利用条件デー
タに記載されている利用条件が満たされているかどうか
を判定する。本実施例の利用条件データには、対応する
利用権証明データの有効期間の開始日時と終了日時が記
載されており、利用条件評価部707は、現在の時刻が
この期間内かどうかを判定する機能を持つ。
【0127】[レスポンス生成部708]:Webサー
バ601に送付するレスポンスを生成する。
【0128】レスポンス生成部708は、さらに以下の
部分から構成される。
【0129】[固有データ記憶部709]:クライアン
トに割り当てられた固有データを記憶する。
【0130】[固有演算実行部710]:すべてのクラ
イアントが共通に持つ暗号学的ハッシュ関数f(・)を
内蔵し、固有データ記憶部709に記憶されている固有
データを使用したハッシュ演算を実行する。
【0131】[レスポンス演算部711]:固有演算実
行部710の結果を使用して、Webサーバ601に送
るレスポンスの計算を実行する。
【0132】Webサーバ601が保持しているスクリ
プトには、利用権認証の機構を呼び出すよう記載された
部分がある。利用権認証に使用するRSA法数と公開鍵
も、スクリプトに記載されている。スクリプトの解釈・
実行時に、利用権認証の機構を呼び出す部分に至った場
合、スクリプト解釈部603は、そこで指定されている
RSA法数と公開鍵に対応する利用権をクライアント7
01が持つことを確認するために、利用権認証部604
を呼び出す。
【0133】利用権認証部604は、指定されたRSA
法数と公開鍵に対応する利用権をクライアント701が
所持しているかどうかを検査し、その結果をスクリプト
解釈部603に送る。
【0134】図8は、スクリプト解釈部603に呼び出
された際の利用権認証部604の動作を示したフローチ
ャートである。利用権認証部604が実行する利用権認
証の手順を、図8のフローチャートにしたがって説明す
る。
【0135】利用権認証部604の動作は、利用権認証
制御部605によってコントロールされる。
【0136】利用権認証制御部605は、まず、チャン
レンジ生成部606を呼び出してチャレンジを生成し、
入出力制御部602を介してクライアント701に送付
する(801)。また、チャレンジとともに、利用権認
証に使用するRSA法数と公開鍵も、同時にクライアン
ト801に送付される。
【0137】その後、利用権認証部604は、クライア
ント701から入出力制御部602を介して送られてく
るレスポンスと利用権証明データを待つ。チャレンジを
送付してから一定の時間の間にレスポンスと利用権証明
データが届かなければ(802)、利用権の認証に失敗
したことを出力し(806)、処理は終了する。
【0138】クライアント701からレスポンスと利用
権証明データが届いた場合(802)、利用権認証制御
部605は利用権検査部607を呼び出し、レスポンス
が正しいかどうかを検査する(803)。801でクラ
イアント701に送付されたチャンレンジをC、802
で受け取ったレスポンスをR、利用権証明データをt、
利用権認証に使用するRSA法数をn、公開鍵をeとす
ると、利用権検査部607は式(6)が成り立つかどう
かを検査する。成り立つ場合(804)、利用権の認証
に成功したことを出力し(805)、処理は終了する。
成り立たない場合(804)、利用権の認証に失敗した
ことを出力し(806)、処理は終了する。
【0139】Webサーバ601から、Webブラウザ
702を介してチャレンジ、およびRSA法数と公開鍵
を受け取ったクライアント701は、利用権証明部70
4に受け取ったチャレンジ、RSA法数、公開鍵を渡し
てレスポンスを作成し、RSA法数と公開鍵に対応する
利用権証明データとともに、Webブラウザ702を介
してWebサーバ601に送る。
【0140】図9は、チャレンジ、RSA法数、公開鍵
を渡してレスポンスを渡された利用権証明部704の動
作を示したフローチャートである。利用権証明部704
が実行するレスポンス作成の手順を、図9のフローチャ
ートにしたがって説明する。
【0141】利用権証明部704の動作は、利用権証明
制御部705によってコントロールされる。利用権証明
制御部705は、まず利用権証明データ記憶部706
に、Webサーバ601から受け取ったRSA法数と公
開鍵に対応する利用権証明データと利用条件データが存
在するかどうかを探索する(901)。利用権証明デー
タ記憶部706には、複数の利用権証明データが、その
利用権証明データの生成に使用されたRSA法数、公開
鍵、使用条件データとバインドされて記憶されており、
Webサーバ601から受け取ったRSA法数と公開鍵
と同じRSA法数と公開鍵にバインドされている利用権
証明データと利用条件データが探索される。
【0142】ここで、Webサーバ601から受け取っ
たRSA法数と公開鍵に対応する利用権証明データと利
用条件データが存在しなければ(902)、処理は終了
する。この場合、レスポンスがWebサーバ601に返
されることはない。
【0143】ここで、Webサーバ601から受け取っ
たRSA法数と公開鍵に対応する利用権証明データと利
用条件データが存在する場合(902)、利用条件評価
部707が呼び出され、901で見つかった利用条件デ
ータに記載されている利用条件が満たされているかどう
かが評価される(903)。
【0144】利用条件が満たされていない場合(90
4)、処理は終了する。この場合、レスポンスがWeb
サーバ601に返されることはない。利用条件が満たさ
れている場合(904)、レスポンスを計算して、90
1で見つけた利用権証明データとともに、Webサーバ
601にWebブラウザ702を介して送付し(90
5)、処理は終了する。
【0145】905におけるレスポンスの計算では、ま
ずレスポンス生成部708を呼び出し、クライアントに
割り当てられた固有データに基づく計算が行われる。レ
スポンス生成部708の呼び出し時には、Webサーバ
601から送付されたチャレンジとRSA法数と公開鍵
が渡される。
【0146】レスポンス生成部708では、レスポンス
演算部711が固有演算実行部710を呼び出し、固有
データ記憶部709に記憶されている固有データに基づ
いた演算結果を入手する。固有演算実行部710は、固
有データ記憶部709に記憶されている固有データ、W
ebサーバ601から送付されたRSA法数と公開鍵か
ら、所定の演算を行う。Webサーバ601から送付さ
れたRSA法数をn、公開鍵をe、401で見つかった
利用条件データをLとすると、固有演算実行部710は
式(11)に示す演算を実行し、結果Fを得る。
【0147】その後、レスポンス演算部711は固有演
算実行部710の結果と、Webサーバ601から送付
されたチャレンジCとRSA法数nとから、式(14)
の演算を実施し、レスポンスRを計算する。
【数14】 R=C mod n (14)
【0148】本実施例の利用権認証では、スクリプト解
釈部603から指定された法数nと公開鍵e、クライア
ントに割り当てられた固有データuと、そのクライアン
トの利用権を示す利用権証明データtと利用条件データ
Lとの組み合わせが正しければ、805おける検査に成
功する。この組み合わせのいずれがおきかえられても、
805おける検査は成功しない。認証の結果はスクリプ
ト解釈部603に送り返され、その結果によって、We
bアプリの動作を変えることができる。たとえば、利用
権認証に成功した場合いクライアントに送付するHTM
L(ハイパーテキストマークアップ言語)文書と、失敗
した場合にクライアントに送付するHTML文書を変え
るといった制御が可能である。なお、HTML文書に代
えてXML(拡張可能言語)等の種々のウェブ言語を用
いることができる。
【0149】本実施例では、利用権証明データが式(1
0)で定義されるので、レスポンス生成部708内部の
解析がセキュリティ上の問題となる。式(11)の結果
がもれれば、RSA法数n、公開鍵eに対する秘密鍵d
が計算でき、そのdによって、不正な利用が可能にな
る。式(11)がわからずとも、固有データ記憶部21
0が保持する固有データuがわかれば、そこから式(1
1)の演算が誰にでも可能であり、やはり秘密鍵dが計
算できることになる。この問題を回避するためには、レ
スポンス生成部708の計算過程や内部のメモリを解析
されないような手段を講じる必要がある。たとえば、耐
タンパー性のあるハードウエアを使ってレスポンス生成
部708を構成したり、プログラムやメモリの状態が解
析されにくくなるようなソフトウエア的な技術を使って
固有レスポンス生成部708を構成するといった手段を
とらなければならない。
【0150】第1の実施例同様、スマートカードを使っ
てレスポンス生成部708を実現するのは、好適な方法
である。
【0151】レスポンス生成部708と利用権証明デー
タ記憶部706をスマートカードで実現した場合の、ク
ライアント701の構成例を図10に示す。
【0152】図10では、理解のしやすさを考慮して、
図7の構成例と同じ機能を持つ部分には同じ番号を付与
し、新たに出現した部分にのみ新たな番号を割り当てて
ある。
【0153】図7の構成例と異なり、図10の構成例で
はレスポンス生成部708と利用権証明データ記憶部7
06がスマートカード1002に含まれている。スマー
トカード1002は、クライアント701との間のデー
タの入出力を制御するために、入出力制御部1003を
持っている。クライアント701は、スマートカード1
002を接続し、スマートカードとのデータの入出力を
制御するために、スマートカード接続部1001を持
つ。なお、他の構成は図7と同様であるので詳細な説明
は省略する。
【0154】以上説明したように本発明の各実施例によ
れば、ユーザアカウントの情報を用いて認証を行わない
のでユーザアカウントを維持保守する必要がなく、ま
た、サーバ側にユーザのサービス利用履歴が知られると
いうこともない。
【0155】以上で実施例の説明を終了する。
【0156】なお、本発明は上述実施例に限定されるも
のではなく、その趣旨を逸脱しない範囲で種々変更が可
能である。
【0157】
【発明の効果】以上説明したように、本発明によればユ
ーザアカウントを用いずにクライアントの認証を行え、
ユーザアカウント維持コストを削減でき、またユーザの
プライバシを漏洩することもない。
【図面の簡単な説明】
【図1】 本発明の第1の実施例のWebサーバの構成
を示すブロック図である。
【図2】 本発明の第1の実施例のクライアントの構成
を示すブロック図である。
【図3】 本発明の第1の実施例の動作を説明するフロ
ーチャートである。
【図4】 本発明の第1の実施例の動作を説明するフロ
ーチャートである。
【図5】 本発明の第1の実施例の変形例を説明するブ
ロック図である。
【図6】 本発明の第2の実施例のWebサーバの構成
を示すブロック図である。
【図7】 本発明の第2の実施例のクライアントの構成
を示すブロック図である。
【図8】 本発明の第2の実施例の動作を説明するフロ
ーチャートである。
【図9】 本発明の第2の実施例の動作を説明するフロ
ーチャートである。
【図10】 本発明の第2の実施例の変形例を説明する
ブロック図である。
【符号の説明】
101 サーバ 102 入出力制御部 103 ページデータ管理部 104 利用権認証部 105 利用権認証制御部 106 公開鍵管理部 107 チャンレンジ生成部 108 利用権検査部 201 クライアント 202 ブラウザ 204 利用権証明部 205 利用権証明制御部 206 利用権証明データ記憶部 207 利用条件評価部 208 固有レスポンス生成部 209 レスポンス生成部 210 固有データ記憶部 211 固有演算実行部 212 固有レスポンス演算部 501 スマートカード接続部 502 スマートカード 503 入出力制御部 601 サーバ 602 入出力制御部 603 スクリプト解釈部 604 利用権認証部 605 利用権認証制御部 606 チャンレンジ生成部 607 利用権検査部 701 クライアント 702 ブラウザ 704 利用権証明部 705 利用権証明制御部 706 利用権証明データ記憶部 707 利用条件評価部 708 レスポンス生成部 709 固有データ記憶部 710 固有演算実行部 711 レスポンス演算部 801 クライアント 1001 スマートカード接続部 1002 スマートカード 1003 入出力制御部
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B085 AE13 AE23 BG07 5J104 AA07 AA13 KA01 KA05 MA01 NA12 NA35 NA40 PA07

Claims (16)

    【特許請求の範囲】
  1. 【請求項1】 ネットワークを介して接続されているク
    ライアントに対してサービスを提供するサーバであっ
    て、 該サーバが提供するサービス毎に割り当てられた公開鍵
    を記憶する公開鍵記憶部と、 クライアントからのサービス要求を受けた際に、サーバ
    からクライアントに対して送付するチャレンジを生成す
    るチャレンジ生成部と、 クライアントに送付されたチャレンジと、該チャレンジ
    に対してクライアントから送り返されたレスポンスとが
    所定の関係にあることを公開鍵を使って検査する利用権
    認証部とを備え、 該サーバが提供するサービスに対するクライアントの利
    用権を認証する際に、 クライアントに対してチャレンジ生成部で生成されたチ
    ャレンジを送付し、 クライアントからから送り返された該チャレンジに対す
    るレスポンスを受け取り、 利用権検査部で、そのチャレンジとレスポンスとが所定
    の関係にあることを、公開鍵記憶部に記憶された該サー
    ビスに割り当てられた公開鍵を使用して検査し、 検査に成功した場合にのみ該サービスをクライアントに
    提供することを特徴とするサーバ。
  2. 【請求項2】 ネットワークを介して接続されているサ
    ーバに対して、サービスを要求するクライアントであっ
    て、 クライアントに割り当てられた固有演算を実行する固有
    演算実行部と、 要求するサービスに割り当てられた公開鍵に対応する秘
    密鍵と、該クライアントに割り当てられた固有演算の結
    果から作成された利用権証明データを記憶する、利用権
    証明データ記憶部と、 サーバから送付されたチャレンジに対して、固有演算と
    利用権証明データとを使用して所定の計算を実行し、レ
    スポンスを生成するレスポンス生成部とを備え、 該サーバが提供するサービスに対する利用権をクライア
    ントが保持していることをサーバに対して証明する際
    に、 サーバから送付されたチャレンジを受け取り、 レスポンス生成部で、該チャレンジと、固有演算実行部
    で実行される固有演算の結果と、利用権証明データ記憶
    部に記憶されている利用権証明データとから、レスポン
    スを生成し、 生成したレスポンスをサーバに送付することを特徴とす
    るクライアント。
  3. 【請求項3】 ネットワークを介して接続されているサ
    ーバに対して、サービスを要求するクライアントであっ
    て、 固有演算を実行するための固有演算実行部を備える携帯
    型装置を接続する携帯型装置接続部と、 要求するサービスに割り当てられた公開鍵に対応する秘
    密鍵と、該携帯型装置に割り当てられた固有演算の結果
    から作成された利用権証明データを記憶する、利用権証
    明データ記憶部と、 サーバから送付されたチャレンジに対して、固有演算の
    結果と利用権証明データとを使用して所定の計算を実行
    し、レスポンスを生成するレスポンス生成部とを備え、 該サーバが提供するサービスに対する利用権をクライア
    ントが保持していることをサーバに対して証明する際
    に、 サーバから送付されたチャレンジを受け取り、 レスポンス生成部で、該チャレンジと、携帯型装置接続
    部に接続された携帯型装置が持つ固有演算実行部で実行
    される固有演算の結果と、利用権証明データ記憶部に記
    憶されている利用権証明データとから、レスポンスを生
    成し、 生成したレスポンスをサーバに送付することを特徴とす
    るクライアント。
  4. 【請求項4】 ネットワークを介して接続されているク
    ライアントに対してサービスを提供するサーバであっ
    て、 該サーバが提供するサービス毎に割り当てられた公開鍵
    を記憶する公開鍵記憶部と、 クライアントからのサービス要求を受けた際に、サーバ
    からクライアントに対して送付するチャレンジを生成す
    るチャレンジ生成部と、 クライアントに送付されたチャレンジと、該チャレンジ
    に対してクライアントから送り返されたレスポンスと、
    クライアントの利用権を証明するための利用権証明デー
    タとが所定の関係にあることを、公開鍵を使って検査す
    る利用権検査部とを備え、 該サーバが提供するサービスに対するクライアントの利
    用権を認証する際に、 クライアントに対してチャレンジ生成部で生成されたチ
    ャレンジを送付し、 クライアントからから送り返された、該チャレンジに対
    するレスポンスと、該サービスに対するクライアントの
    利用権を証明するための利用権証明データを受け取り、 利用権検査部で、該チャレンジと該利用権証明データと
    該レスポンスとが所定の関係にあることを、公開鍵記憶
    部に記憶されている該サービスに割り当てられた公開鍵
    を使用して検査し、 検査に成功した場合にのみ該サービスをクライアントに
    提供することを特徴とするサーバ。
  5. 【請求項5】 ネットワークを介して接続されているサ
    ーバに対して、サービスを要求するクライアントであっ
    て、 クライアントに割り当てられた固有演算を実行する固有
    演算実行部と、 要求するサービスに割り当てられた公開鍵に対応する秘
    密鍵と該クライアントに割り当てられた固有演算の結果
    とから作成された利用権証明データを記憶する、利用権
    証明データ記憶部と、 サーバから送付されたチャレンジに対して、固有演算の
    結果を使用して所定の計算を実行し、レスポンスを生成
    するレスポンス生成部とを備え、 該サーバが提供するサービスに対する利用権をクライア
    ントが保持していることをサーバに対して証明する際
    に、 サーバから送付されたチャレンジを受け取り、 レスポンス生成部で、該チャレンジと、固有演算実行部
    で実行される固有演算の結果とから、レスポンスを生成
    し、 生成したレスポンスと、利用権証明データ記憶部に記憶
    されている利用権証明データとをサーバに送付すること
    を特徴とするクライアント。
  6. 【請求項6】 ネットワークを介して接続されているサ
    ーバに対して、サービスを要求するクライアントであっ
    て、 固有演算を実行するための固有演算実行部を備える携帯
    型装置を接続する携帯型装置接続部と、 要求するサービスに割り当てられた公開鍵に対応する秘
    密鍵と該携帯型装置に割り当てられた固有演算の結果と
    から作成された利用権証明データを記憶する、利用権証
    明データ記憶部と、 サーバから送付されたチャレンジに対して、固有演算の
    結果を使用して所定の計算を実行し、レスポンスを生成
    するレスポンス生成部とを備え、 該サーバが提供するサービスに対する利用権をクライア
    ントが保持していることをサーバに対して証明する際
    に、 サーバから送付されたチャレンジを受け取り、 レスポンス生成部で、該チャレンジと、携帯型装置接続
    部に接続された携帯型装置が持つ固有演算実行部で実行
    される固有演算とから、レスポンスを生成し、 生成したレスポンスと、利用権証明データ記憶部に記憶
    されている利用権証明データとをサーバに送付すること
    を特徴とするクライアント。
  7. 【請求項7】 請求項3または6記載のクライアントで
    あって、利用権証明データ記憶部が、携帯型装置接続部
    で接続される携帯型装置に含まれることを特徴とするク
    ライアント。
  8. 【請求項8】 請求項1または4記載のサーバであっ
    て、 該サーバが、クライアントに対してWebアプリケーシ
    ョンを提供するWebサーバであって、 クライアントに対して提供する個々のWebページに対
    して公開鍵記憶部に記憶されている公開鍵が割り当てら
    れており、 クライアントからWebページに対してアクセスの要求
    があった際に、該Webページに対するクライアントの
    利用権を、該Webページに対して割り当てられている
    公開鍵を使用して検査することを特徴とするサーバ。
  9. 【請求項9】 請求項1または4記載のサーバであっ
    て、 該サーバが、クライアントに対してWebアプリケーシ
    ョンを提供するWebサーバであって、 クライアントに対して提供するWebページの集合に対
    して公開鍵記憶部に記憶されている公開鍵が割り当てら
    れており、 クライアントからWebページに対してアクセスの要求
    があった際に、該Webページに対するクライアントの
    利用権を、該Webページが属するWebページの集合
    に対して割り当てられている公開鍵を使用して検査する
    ことを特徴とするサーバ。
  10. 【請求項10】 ネットワークを介して接続されている
    クライアントに対してサービスを提供するサーバであっ
    て、 該サーバがクライアントに対して提供するサービスの内
    容を制御するためのスクリプトを解釈して、サーバの動
    作を制御するスクリプト解釈部と、 スクリプト解釈部から呼び出すことができ、クライアン
    トが持つ権利を認証する権利認証部を備えることを特徴
    とするサーバ。
  11. 【請求項11】 請求項10に記載のサーバであって、 該権利認証部が、 サーバからクライアントに対して送付するチャレンジを
    生成するチャレンジ生成部と、 クライアントに送付されたチャレンジと、該チャレンジ
    に対してクライアントから送り返されたレスポンスとが
    所定の関係にあることを公開鍵を使って検査する利用権
    認証部とを備え、 スクリプト解釈部から呼び出された際に、権利認証に使
    用する公開鍵の入力を受け、 クライアントに対してチャレンジ生成部で生成されたチ
    ャレンジを送付し、 クライアントからから送り返された該チャレンジに対す
    るレスポンスを受け取り、 利用権検査部で、そのチャレンジとレスポンスが所定の
    関係にあることを、入力された公開鍵を使用して検査す
    ることを特徴とするサーバ。
  12. 【請求項12】 請求項10に記載のサーバであって、 該権利認証部が、 サーバからクライアントに対して送付するチャレンジを
    生成するチャレンジ生成部と、 クライアントに送付されたチャレンジと、該チャレンジ
    に対してクライアントから送り返されたレスポンスとク
    ライアントの利用権を証明するための利用権証明データ
    とが所定の関係にあることを公開鍵を使って検査する利
    用権認証部とを備え、 スクリプト解釈部から呼び出された際に、権利認証に使
    用する公開鍵の入力を受け、 クライアントに対してチャレンジ生成部で生成されたチ
    ャレンジを送付し、 クライアントからから送り返された該チャレンジに対す
    るレスポンスとクライアントの利用権を証明するための
    利用権証明データを受け取り、 利用権検査部で、そのチャレンジと該利用権証明データ
    とレスポンスが所定の関係にあることを、入力された公
    開鍵を使用して検査することを特徴とするサーバ。
  13. 【請求項13】 サーバが、ネットワークを介して接続
    されているクライアントに対して、サービスに対するク
    ライアントの利用権を検査してからサービスを提供する
    方法であって、 該サーバが提供するサービス毎に公開鍵を割り当ててお
    き、 クライアントからのサービス要求を受けた際に、チャレ
    ンジを生成してクライアントに送付するステップと、 該チャレンジに対してクライアントから送り返されたレ
    スポンスを受け取るステップと、 クライアントに送付したチャレンジと、クライアントか
    ら送り返されたレスポンスとが所定の関係にあること
    を、要求されたサービスに割り当てた公開鍵を使って検
    査するステップと、 検査に成功した場合にのみ要求されたサービスをクライ
    アントに提供するステップとを有することを特徴とする
    サービス提供方法。
  14. 【請求項14】 クライアントが、ネットワークを介し
    て接続されているサーバに対してサービスを要求する際
    に、要求するサービスに対する利用権を所持しているこ
    とをサーバに対して証明する方法であって、 クライアントには固有の演算が割り当てられており、 要求するサービスに割り当てられた公開鍵が割り当てら
    れており、 そのサービスに対するクライアントの利用権が、該公開
    鍵に対応する秘密鍵と、該クライアントに割り当てられ
    た固有の演算の結果から作成された利用権証明データと
    して表現され、クライアントに渡されており、 サーバから送付されたチャレンジを受け取るステップ
    と、 自己に割り当てられた固有の演算を実行するステップ
    と、 サーバから送付されたチャレンジと、固有の演算の結果
    と、前記利用権証明データとからレスポンスを作成する
    ステップと、 レスポンスをサーバに送付するステップとを有すること
    を特徴とす利用権証明方法。
  15. 【請求項15】 サーバが、ネットワークを介して接続
    されているクライアントに対して、サービスに対するク
    ライアントの利用権を検査してからサービスを提供する
    方法であって、 該サーバが提供するサービス毎に公開鍵を割り当ててお
    き、 クライアントからのサービス要求を受けた際に、チャレ
    ンジを生成してクライアントに送付するステップと、 該チャレンジに対してクライアントから送り返されたレ
    スポンスと、該サービスに対するクライアントの利用権
    を表す利用権証明データを受け取るステップと、 クライアントに送付したチャレンジと、クライアントか
    ら送付されたレスポンスと利用権証明データが所定の関
    係にあることを、要求されたサービスに割り当てた公開
    鍵を使って検査するステップと、 検査に成功した場合にのみ要求されたサービスをクライ
    アントに提供するステップとを有することを特徴とする
    サービス提供方法。
  16. 【請求項16】 クライアントが、ネットワークを介し
    て接続されているサーバに対してサービスを要求する際
    に、要求するサービスに対する利用権を所持しているこ
    とをサーバに対して証明する方法であって、 クライアントには固有の演算が割り当てられており、 要求するサービスに公開鍵が割り当てられており、 そのサービスに対するクライアントの利用権が、該公開
    鍵に対応する秘密鍵と、該クライアントに割り当てられ
    た固有の演算の結果から作成された利用権証明データと
    して表現され、クライアントに渡されており、 サーバから送付されたチャレンジを受け取るステップ
    と、 自己に割り当てられた固有の演算を実行するステップ
    と、 サーバから送付されたチャレンジと、固有の演算の結果
    とからレスポンスを作成するステップと、 レスポンスと前記利用権証明データとをサーバに送付す
    るステップとを有することを特徴とする利用権証明方
    法。
JP2001003603A 2001-01-11 2001-01-11 利用権制御を伴うサーバおよびクライアントならびにサービス提供方法および利用権証明方法 Expired - Fee Related JP3593979B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2001003603A JP3593979B2 (ja) 2001-01-11 2001-01-11 利用権制御を伴うサーバおよびクライアントならびにサービス提供方法および利用権証明方法
US10/014,362 US7165176B2 (en) 2001-01-11 2001-12-11 Access privilege authentication of client computer for services provided by server computer

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001003603A JP3593979B2 (ja) 2001-01-11 2001-01-11 利用権制御を伴うサーバおよびクライアントならびにサービス提供方法および利用権証明方法

Publications (2)

Publication Number Publication Date
JP2002207698A true JP2002207698A (ja) 2002-07-26
JP3593979B2 JP3593979B2 (ja) 2004-11-24

Family

ID=18871923

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001003603A Expired - Fee Related JP3593979B2 (ja) 2001-01-11 2001-01-11 利用権制御を伴うサーバおよびクライアントならびにサービス提供方法および利用権証明方法

Country Status (2)

Country Link
US (1) US7165176B2 (ja)
JP (1) JP3593979B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160050605A (ko) * 2014-10-30 2016-05-11 에스케이텔레콤 주식회사 서비스 서버 및 그 동작 방법
JP2020096308A (ja) * 2018-12-14 2020-06-18 明雄 小田中 デジタル割符方式を利用した認証システム

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030172299A1 (en) * 2002-03-05 2003-09-11 Gunter Carl A. Method and system for maintaining secure access to web server services using permissions
US20020162004A1 (en) * 2001-04-25 2002-10-31 Gunter Carl A. Method and system for managing access to services
US20050210263A1 (en) * 2001-04-25 2005-09-22 Levas Robert G Electronic form routing and data capture system and method
US20020162002A1 (en) * 2001-04-25 2002-10-31 Gunter Carl A. Method and system for controlling access to services
US6885388B2 (en) * 2001-04-25 2005-04-26 Probaris Technologies Inc. Method for automatically generating list of meeting participants and delegation permission
US20030236977A1 (en) * 2001-04-25 2003-12-25 Levas Robert George Method and system for providing secure access to applications
US20030172297A1 (en) * 2002-03-05 2003-09-11 Gunter Carl A. Method and system for maintaining secure access to web server services using public keys
US20020162019A1 (en) * 2001-04-25 2002-10-31 Berry Michael C. Method and system for managing access to services
US8099503B2 (en) 2003-12-23 2012-01-17 Microsoft Corporation Methods and systems for providing secure access to a hosted service via a client application
KR100610317B1 (ko) * 2004-01-06 2006-08-09 삼성전자주식회사 홈 네트워크를 구성하는 기기들에 대한 인증 장치 및 방법
US20050188421A1 (en) * 2004-02-24 2005-08-25 Arbajian Pierre E. System and method for providing data security
US7587594B1 (en) * 2004-08-30 2009-09-08 Microsoft Corporation Dynamic out-of-process software components isolation for trustworthiness execution
US7665098B2 (en) * 2005-04-29 2010-02-16 Microsoft Corporation System and method for monitoring interactions between application programs and data stores
US20060282830A1 (en) * 2005-06-13 2006-12-14 Microsoft Corporation Analysis of the impact of application programs on resources stored in data stores
US20110167477A1 (en) * 2010-01-07 2011-07-07 Nicola Piccirillo Method and apparatus for providing controlled access to a computer system/facility resource for remote equipment monitoring and diagnostics
US10135613B2 (en) 2012-01-13 2018-11-20 Qualcomm Incorporated Method and apparatus for generating a privilege-based key
WO2015162985A1 (ja) * 2014-04-25 2015-10-29 株式会社セキュアブレイン 不正検知ネットワークシステム及び、不正検知方法
US10389708B1 (en) 2019-01-03 2019-08-20 Capital One Services, Llc Secure authentication of a user associated with communication with a service representative
CN112995325A (zh) * 2021-03-10 2021-06-18 中国民航信息网络股份有限公司 服务调试方法、调试服务、电子设备及计算机存储介质

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5740361A (en) * 1996-06-03 1998-04-14 Compuserve Incorporated System for remote pass-phrase authentication
JP3791131B2 (ja) 1997-07-14 2006-06-28 富士ゼロックス株式会社 電子チケットシステム
AUPO847897A0 (en) * 1997-08-08 1997-09-04 Canon Information Systems Research Australia Pty Ltd Network resource access method and apparatus
US6085249A (en) * 1997-10-24 2000-07-04 Pictra, Inc. Method and apparatuses for transferring data for multiple applications through a single communication link in response to authentication information
JPH11175474A (ja) 1997-12-10 1999-07-02 Machine Contorol System Kk ウェブサーバ用ログインマネージャ
JPH11234263A (ja) 1998-02-12 1999-08-27 Fuji Xerox Co Ltd 相互認証方法および装置
US6199113B1 (en) * 1998-04-15 2001-03-06 Sun Microsystems, Inc. Apparatus and method for providing trusted network security
FI107984B (fi) * 1998-05-20 2001-10-31 Nokia Networks Oy Palvelun luvattoman käytön estäminen
KR20010004791A (ko) * 1999-06-29 2001-01-15 윤종용 인터넷 환경의 이동통신시스템에서 사용자 정보 보안 장치 및그 방법
US20030115452A1 (en) * 2000-12-19 2003-06-19 Ravi Sandhu One time password entry to access multiple network sites

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160050605A (ko) * 2014-10-30 2016-05-11 에스케이텔레콤 주식회사 서비스 서버 및 그 동작 방법
KR102224974B1 (ko) * 2014-10-30 2021-03-08 에스케이텔레콤 주식회사 서비스 서버 및 그 동작 방법
JP2020096308A (ja) * 2018-12-14 2020-06-18 明雄 小田中 デジタル割符方式を利用した認証システム

Also Published As

Publication number Publication date
US7165176B2 (en) 2007-01-16
US20030084296A1 (en) 2003-05-01
JP3593979B2 (ja) 2004-11-24

Similar Documents

Publication Publication Date Title
JP3593979B2 (ja) 利用権制御を伴うサーバおよびクライアントならびにサービス提供方法および利用権証明方法
CN108259438B (zh) 一种基于区块链技术的认证的方法和装置
KR100463736B1 (ko) 보안 환경에서의 이동 통신 장치 소프트웨어의 디버깅 및테스팅 허가 방법
Vigano Automated security protocol analysis with the AVISPA tool
US9306930B2 (en) Service channel authentication processing hub
Miculan et al. Formal analysis of Facebook Connect single sign-on authentication protocol
US20040186912A1 (en) Method and system for transparently supporting digital signatures associated with web transactions
JPH1141230A (ja) ユーザ認証方法及びユーザ認証システム
WO2007094369A1 (ja) 分散認証システム及び分散認証方法
CN104969528A (zh) 确定验证功能的查询系统和方法
US20140006781A1 (en) Encapsulating the complexity of cryptographic authentication in black-boxes
EP2545676A1 (en) System and method for using a portable security device to cryptographically sign a document in response to signature requests from a relying party to a digital signature service
JP2005538434A (ja) 連携型(フェデレーテッド)環境におけるユーザ判定による認証のための方法およびシステム
US20160241536A1 (en) System and methods for user authentication across multiple domains
US20090288155A1 (en) Determining an identity of a third-party user in an saml implementation of a web-service
CN110365684A (zh) 应用集群的访问控制方法、装置和电子设备
JP2011215753A (ja) 認証システムおよび認証方法
JP2018197997A (ja) システム、情報処理装置、方法及びプログラム
Maganis et al. Opaak: using mobile phones to limit anonymous identities online
US20200403812A1 (en) Certificate issuing apparatus, verification apparatus, communication device, certificate issuing system, certificate issuing method, and non-transitory computer readable medium
Kumar Using automated model analysis for reasoning about security of web protocols
JP2006004314A (ja) 信用確立方法と信用に基づいたサービス制御システム
US11595215B1 (en) Transparently using macaroons with caveats to delegate authorization for access
CN112583602B (zh) 信息码数据传输方法、装置、系统、计算机设备和介质
Bauer Formal analysis of self-issued OpenID providers

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20031218

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20040122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20040122

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20040315

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040511

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040706

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040810

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040823

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20070910

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080910

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090910

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100910

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110910

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120910

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120910

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130910

Year of fee payment: 9

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S802 Written request for registration of partial abandonment of right

Free format text: JAPANESE INTERMEDIATE CODE: R311802

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees