JP2006073029A - Single login control method using portable medium, recording medium with program for realizing it stored therein, and device - Google Patents

Single login control method using portable medium, recording medium with program for realizing it stored therein, and device Download PDF

Info

Publication number
JP2006073029A
JP2006073029A JP2005289512A JP2005289512A JP2006073029A JP 2006073029 A JP2006073029 A JP 2006073029A JP 2005289512 A JP2005289512 A JP 2005289512A JP 2005289512 A JP2005289512 A JP 2005289512A JP 2006073029 A JP2006073029 A JP 2006073029A
Authority
JP
Japan
Prior art keywords
portable medium
user
server
authentication
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005289512A
Other languages
Japanese (ja)
Other versions
JP4508066B2 (en
JP2006073029A5 (en
Inventor
Yoko Saito
洋子 齋藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005289512A priority Critical patent/JP4508066B2/en
Publication of JP2006073029A publication Critical patent/JP2006073029A/en
Publication of JP2006073029A5 publication Critical patent/JP2006073029A5/ja
Application granted granted Critical
Publication of JP4508066B2 publication Critical patent/JP4508066B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To realize a single login for carrying out security operation and simplification of business operation of a user. <P>SOLUTION: In order to execute a user authentication process for a plurality of pieces of business at one time, this single login method comprises: an access possibility determination means in a portable medium of a user; a means for transmitting user identification information to a user authentication screen requested in every operation for an authorized user; and a means for negating the portable medium for an unauthorized user. The method also comprises an issue application means for the portable medium, a reuse application screen and a linkage means to business. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

従来の企業情報システムでセキュリティ管理機能を提供すると、エンドユーザは、OSやアプリケーションシステムごとにログイン操作が要求された。例えば、モバイル端末から社内の業務サーバ内のAPを起動する場合には、まずVPN、次にグループウェア、さらには使用する業務AP、流通APやユーザAPごとにログインしなければならなかった。Windows(登録商標) NTサーバを使ってドメイン内のユーザ情報を管理している場合には、NTドメインへのログインも要求された。これは、エンドユーザにとっては大変な負担であり、覚えきれないパスワードをメモ書きして机上に貼っておくことにより、結果的にセキュリティレベルを低下させる危険もはらんでいた。   When providing a security management function with a conventional enterprise information system, an end user is required to perform a login operation for each OS or application system. For example, when starting an AP in an in-house business server from a mobile terminal, it was necessary to log in first for each VPN, then for groupware, and for each business AP, distribution AP, and user AP to be used. When using a Windows NT server to manage user information in the domain, login to the NT domain was also requested. This is a heavy burden for the end user, and there is a risk that the security level will be lowered as a result of writing a note that cannot be remembered and pasting it on the desk.

このようなセキュリティ運用負荷を軽減させるためには、シングルログインを実現するユティリティとAP開発環境及び実行環境の提供が重要である。本発明は、可搬媒体を利用して広域ネットワークシステムでシングルログインを実現するための画面制御方法に関わるもので、先願発明(特願平9-76954)で提案した統合認証サーバとの連携を実現するユーザ認証方法を対象とする。   In order to reduce such a security operation load, it is important to provide a utility that realizes single login, an AP development environment, and an execution environment. The present invention relates to a screen control method for realizing single login in a wide area network system using a portable medium, and cooperates with the integrated authentication server proposed in the prior invention (Japanese Patent Application No. 9-76954). The target is a user authentication method that realizes the above.

既に述べたように、セキュリティ運用負荷を軽減させるためには、シングルログインを実現するユティリティとAP開発環境及び実行環境の提供が重要である。シングルログイン方式としては、従来業務ごとに必要だったユーザIDとパスワードを、1つのユーザIDとパスワードに集約する方法がある。すなわち、ユーザが1回ログイン情報を入力すれば、以降全ての業務へのログインを可能とする。確かに、これは、セキュリティの運用負荷を軽減する方式ではあるが、同時にセキュリティを弱めてしまう危険もはらんでいる。もしも、前記集約したユーザIDとパスワードが破られてしまったら、悪意を持った第3者は以前より容易にシステム侵入ができ、これにより企業の機密情報が危険にさらされてしまうからである。   As described above, in order to reduce the security operation load, it is important to provide a utility that realizes single login, an AP development environment, and an execution environment. As a single login method, there is a method of consolidating user IDs and passwords, which were conventionally required for each business, into one user ID and password. In other words, once the user inputs login information, it is possible to log in to all business operations thereafter. Certainly, this is a method to reduce the operational load of security, but at the same time, there is a risk of weakening security. This is because if the aggregated user ID and password are broken, a malicious third party can infiltrate the system more easily than before, thereby exposing the confidential information of the company.

一回のログインにより企業情報システムの資源にアクセスさせるシングルログインは、強固なユーザ認証基盤の提供の上に初めて実現できる。従って、ログイン情報をきちんと管理する基盤として先願発明(特願平9-76954)の技術を用いた上での、シングルログイン方式の提供が必要と考えた。特に、知っている情報による認証から持っている情報、さらには生物的な情報(指紋や網膜、DNA情報等)を視野にいれた技術の適用が要求される。   Single login that allows access to corporate information system resources with a single login can be realized for the first time after providing a strong user authentication infrastructure. Therefore, it was considered necessary to provide a single login method using the technology of the prior invention (Japanese Patent Application No. 9-76954) as a basis for properly managing login information. In particular, it is required to apply technology that takes into account information that is obtained from authentication based on known information, as well as biological information (such as fingerprints, retina, and DNA information).

特開平9−76954号公報Japanese Patent Laid-Open No. 9-76954

本発明の目的は、企業情報システムにおいて、可搬媒体を利用したシングルログインを実現することである。特願平9-76954の方式では、1枚の証明証の情報で企業情報システムの中でシングルログインを実現するために、統合認証サーバで前記証明証の情報を確認しユーザ認証をする。同様のユーザ認証処理をクライアント側で実現することが本発明の課題である。クライアント側にログイン情報を管理するためには、セキュリティや運用の観点からPCのハードディスクに置くことはできない。そのため、セキュアな可搬媒体の利用が必須となっている。現在では、可搬媒体としてFDやICカードが主流かもしれないが、指輪やネクタイピン、イヤリングなどを用いたり、指紋や網膜等の生物的な情報との併用も課題となっている。   An object of the present invention is to realize a single login using a portable medium in an enterprise information system. In the method of Japanese Patent Application No. 9-76954, in order to realize a single login in the enterprise information system with one piece of certificate information, the information of the certificate is confirmed by the integrated authentication server and user authentication is performed. It is an object of the present invention to realize similar user authentication processing on the client side. In order to manage login information on the client side, it cannot be put on the hard disk of the PC from the viewpoint of security or operation. Therefore, it is essential to use a secure portable medium. Currently, FD and IC cards may be the mainstream as portable media, but the use of rings, tie pins, earrings, and other biological information such as fingerprints and retinas is also a challenge.

本発明は、クライアント,業務サーバおよび統合認証サーバが相互に通信可能なネットワークシステムにおいて、複数の業務に対するユーザ認証処理を1回にするために、ユーザの可搬媒体(ユーザのログイン情報が格納されている)へのアクセス可否を判定する手段を備え、アクセスが許可された場合には、業務でのユーザ認証処理が必要な度に前記可搬媒体からクライアント側のユーザ認証画面にユーザ識別情報を送信する。また、アクセスが許可されなかった場合には、前記可搬媒体を無効にする。前記可搬媒体を利用しないユーザに対しては、従来のユーザ認証処理を業務ごとにさせるためにユーザ認証画面を表示する。   In a network system in which a client, a business server, and an integrated authentication server can communicate with each other, the present invention provides a user portable medium (user login information is stored in order to perform user authentication processing for a plurality of business operations once. If the access is permitted, the user identification information is sent from the portable medium to the user authentication screen on the client side every time user authentication processing is required for business. Send. If the access is not permitted, the portable medium is invalidated. For a user who does not use the portable medium, a user authentication screen is displayed in order to perform the conventional user authentication process for each business.

ユーザに可搬媒体を発行するために、可搬媒体発行申請画面をユーザに表示する手段、ユーザが前記可搬媒体申請画面に入力した情報を統合認証サーバに送信する手段、前記統合認証サーバが発行する可搬媒体を受け取る手段を備える。   Means for displaying a portable medium issuance application screen to the user in order to issue a portable medium to the user, means for transmitting information input by the user to the portable medium application screen to the integrated authentication server, and the integrated authentication server, Means for receiving a portable medium to be issued are provided.

アクセス可否判定手段によりアクセスが拒否されたユーザが再度可搬媒体を用いた認証処理を利用したいユーザに対しては、可搬媒体再利用申請画面を表示する手段、ユーザが前記可搬媒体再利用申請画面に入力した情報を統合認証サーバに送信する手段、前記統合認証サーバにより前記ユーザに対する可搬媒体を用いたユーザ認証処理を許可する手段を備える。   A means for displaying a portable medium reuse application screen for a user whose access is denied by the access permission judging means and who wants to use an authentication process using a portable medium again. The user can reuse the portable medium. Means for transmitting information input on the application screen to the integrated authentication server, and means for permitting user authentication processing using a portable medium for the user by the integrated authentication server.

さらに、可搬媒体による処理を業務処理と連携させることも可能で、アクセスが許可されたユーザに対して、自動的に業務を開始する手段、前記ユーザが可搬媒体をはずした時に、自動的に業務を終了する手段も提供する。   In addition, it is possible to link the processing by portable media with business processing, means for automatically starting business for a user who is allowed access, automatically when the user removes the portable media It also provides a means to end work.

本発明によれば、企業情報システムで可搬媒体を利用したシングルログインを実現できる。先願発明(特願平9-76954)で提案した強固なユーザ認証及びアクセス制御の基盤を利用し、さらに、クライアント側に可搬媒体利用の画面制御手段、生物学情報による認証手段を設けることによりユーザを厳密に認証できる。アクセス可否判定の結果、不当なユーザに対しては可搬媒体を無効にするので高度なセキュリティが保証されている。ユーザは可搬媒体を用いない従来の認証処理も利用できるが、可搬媒体の利用申請や無効となった可搬媒体を再度利用可能にする処理も可能である。可搬媒体の利用と業務を連携させれば、ユーザの業務運用の簡易化や特定の業務向けに運用のカスタマイズ化もできる。   ADVANTAGE OF THE INVENTION According to this invention, the single login using a portable medium is realizable with a company information system. Utilize the strong user authentication and access control platform proposed in the prior invention (Japanese Patent Application No. 9-76954), and further provide screen control means using portable media and authentication means using biological information on the client side The user can be strictly authenticated. As a result of the access permission / inhibition determination, the portable medium is invalidated for an unauthorized user, so that high security is ensured. Although the user can use the conventional authentication process that does not use the portable medium, the user can apply for the use of the portable medium or can make the invalid portable medium usable again. If the use of portable media and business are linked, the user's business operation can be simplified and the operation can be customized for a specific business.

以下本発明の一実施形態について図面を用いて説明する。   Hereinafter, an embodiment of the present invention will be described with reference to the drawings.

図1は、本実施形態のネットワークシステムの構成図である。インターネットのような広域ネットワーク10には、企業ネットワークシステム1と他企業ネットワークシステム9が接続される。企業ネットワークシステム1には、クライアント8の他に、統合認証サーバ2,セキュリティ情報を管理するサーバ3、アクセス制御サーバ50、データベース(DB)サーバ5、業務サーバ6、グループウェアサーバ4,鍵管理サーバ17,証明証発行サーバ18等のサーバが接続される。DBサーバ5および業務サーバ6は、クライアント8からアクセスされ、業務処理のために利用されるサーバである。グループウェアサーバ4は、クライアント8へ最初の業務メニュー画面を送ったり、クライアント8の電子メールの送受信管理をしたり、ユーザのスケジュールを管理したりするサーバである。他企業ネットワークシステム9には、クライアント20が接続しており、クライアント8のユーザ11とクライアント20のユーザ14は、電子取り引き等の特定の業務を証明証や外部発行証明書を用いて行うものとする。ユーザ11及びユーザ14は、FD,ICカード、腕輪、指輪、ネクタイピン等の可搬媒体700を携帯し、可搬媒体700を用いた認証処理を行なう。サーバ3は、DBサーバ5および業務サーバ6または他企業ネットワークシステム9へのアクセスを制御する情報と業務に応じた証明証の情報を含むユーザの認証情報からなるセキュリティ情報を一元的に管理するサーバである。特願平9-76954の発明では、統合認証サーバ2は、クライアント8から送られる証明証を確認し、サーバ3からセキュリティ情報を取得してユーザが企業ネットワークシステム1にログインする資格を持つかどうか調べていた。しかし、本発明では、クライアント側に認証クライアント22を設けることにより、ログイン情報(証明証あるいはユーザ識別情報等)による認証処理を行なう。アクセス制御サーバ50は、各業務でのユーザのアクセス権限について管理するサーバ、鍵管理サーバ17は、企業ネットワークシステム1内での暗号化通信や認証処理で使用する通信当事者の鍵(秘密鍵と公開鍵の対)を生成するサーバである。広域ネットワーク10には、外部証明書発行サーバ7が接続されている。この外部証明書発行サーバ7は、所定の手順に従って外部証明書を発行するサーバである。なお、いわゆるディレクトリサーバと呼ばれるサーバがサーバ3の情報を有していても良い。   FIG. 1 is a configuration diagram of a network system according to the present embodiment. A corporate network system 1 and another corporate network system 9 are connected to a wide area network 10 such as the Internet. In addition to the client 8, the corporate network system 1 includes an integrated authentication server 2, a server 3 for managing security information, an access control server 50, a database (DB) server 5, a business server 6, a groupware server 4, a key management server 17. A server such as a certificate issuing server 18 is connected. The DB server 5 and the business server 6 are accessed from the client 8 and used for business processing. The groupware server 4 is a server that sends the first business menu screen to the client 8, manages the transmission / reception of e-mail of the client 8, and manages the user's schedule. The client 20 is connected to the network system 9 of another company, and the user 11 of the client 8 and the user 14 of the client 20 perform specific operations such as electronic transactions using certificates or externally issued certificates. To do. The user 11 and the user 14 carry a portable medium 700 such as an FD, an IC card, a bracelet, a ring, or a tie pin, and perform an authentication process using the portable medium 700. Server 3 is a server that centrally manages security information consisting of information that controls access to DB server 5 and business server 6 or other company network system 9 and user authentication information including certificate information according to the business. It is. In the invention of Japanese Patent Application No. 9-76954, the integrated authentication server 2 confirms the certificate sent from the client 8, obtains the security information from the server 3, and whether the user is qualified to log in to the corporate network system 1 I was investigating. However, in the present invention, by providing the authentication client 22 on the client side, authentication processing using login information (certificate or user identification information) is performed. The access control server 50 is a server that manages user access authority in each business, and the key management server 17 is a key of a communication party (private key and public information) used for encrypted communication and authentication processing in the corporate network system 1. A server that generates a key pair). An external certificate issuing server 7 is connected to the wide area network 10. The external certificate issuing server 7 is a server that issues an external certificate according to a predetermined procedure. Note that a server called a directory server may have information on the server 3.

図2には、ユーザ11が可搬媒体700を用いてクライアント8からログインする処理シーケンスを示す。特願平9-76954の発明では、クライアント側のユーザが証明証10を入力し、統合認証サーバで前記証明証10を確認することによりユーザ認証を行なっていた。しかし、本実施例の図2では同様の証明証の確認処理を認証クライアント22で行なう点で異なる。本来であれば、ユーザ11がクライアント8の表示する認証情報入力画面にICカード内の証明証10を入力することが必要であるが、可搬媒体700という特徴を活かし、可搬媒体700にアクセスできる人が正当はユーザと判定することにする。可搬媒体700については常にユーザ本人が所持する運用形態とし、ユーザしか知らないパスワードや生物的な情報によってアクセスが保護されている前提である。可搬媒体700は物理的にもセキュアである必要があり、悪意を持った第3者による不正な情報読み取りに対しても頑強であり、情報自体を暗号化して格納しておいたり、アクセス許可されていない読み取りに対して格納情報を消去するようなしかけを提供している。   FIG. 2 shows a processing sequence in which the user 11 logs in from the client 8 using the portable medium 700. In the invention of Japanese Patent Application No. 9-76954, a user on the client side inputs the certificate 10, and the user is authenticated by confirming the certificate 10 with the integrated authentication server. However, FIG. 2 of the present embodiment is different in that a similar certificate confirmation process is performed by the authentication client 22. Originally, it is necessary for the user 11 to input the certificate 10 in the IC card on the authentication information input screen displayed by the client 8, but the portable medium 700 is accessed by utilizing the feature of the portable medium 700. A person who can do so is determined to be a legitimate user. It is assumed that the portable medium 700 is always operated by the user himself / herself and access is protected by a password or biological information known only to the user. The portable medium 700 needs to be physically secure, and is robust against unauthorized reading of information by a malicious third party. The information itself is encrypted and stored, and access permission is granted. It provides an opportunity to erase stored information for unread reads.

まず、ユーザ11は、可搬媒体を可搬媒体読み取り装置705に取り付けると(2001)、認証情報入力画面(2002)が表示されるので、パスワードあるいは指紋や網膜などの生物的情報を入力する(2003)。すると、前記パスワードあるいは指紋や網膜などの生物的情報を確認することによりアクセス可否の判定をする(2004)。ユーザが正当なユーザ11であると判定した場合には、以降の業務認証処理についてシングルログインの処理を提供するが、そうでない場合には、認証クライアント22の公開鍵を用いて当可搬媒体700を無効にし(2005)、アクセス不可通知をユーザ11に送る(2006)。例えば、3回までの不正なパスワード入力を許すような運用も考えられる。可搬媒体700上あるいは可搬媒体700と連動する位置に、生物的情報による認証装置701を設けている場合には、生物的情報による認証装置701の精度を考慮してアクセス判定の失敗許容回数を設定する必要がある。いずれにしても、正当なユーザ11と判定されなかった場合には、可搬媒体700を以降使えなくする必要があるので、可搬媒体内の情報を参照不可能な状態にする。   First, when the user 11 attaches a portable medium to the portable medium reading device 705 (2001), an authentication information input screen (2002) is displayed, and therefore, the user 11 inputs biological information such as a password or a fingerprint or a retina ( 2003). Then, it is determined whether access is possible by confirming the password or biological information such as a fingerprint or retina (2004). If it is determined that the user is a legitimate user 11, a single login process is provided for the subsequent business authentication process. Otherwise, the portable medium 700 is used by using the public key of the authentication client 22. Is disabled (2005), and an inaccessible notification is sent to the user 11 (2006). For example, an operation that allows unauthorized password entry up to three times is also conceivable. When the authentication device 701 based on biological information is provided on the portable medium 700 or at a position linked to the portable medium 700, the allowable number of failed access determinations in consideration of the accuracy of the authentication device 701 based on biological information Need to be set. In any case, if it is not determined that the user 11 is valid, the portable medium 700 needs to be disabled from now on, so that the information in the portable medium cannot be referred to.

図2に示すように、正当なユーザに対しては、以降、本来なら業務ごとに要求されるユーザ認証画面は表示しない。ユーザ11が業務サーバ6に対して業務要求をすると(2007)、業務サーバ6からユーザ認証画面が送られるが(2008)、認証クライアント22は前記画面への情報入力をユーザ11に要求せず、可搬媒体700の中から必要なログイン情報を取り出してその情報を前記業務サーバ6に送る(2009)。同様に、次にユーザ11がDBサーバ5に対してアクセスしたい場合には(2014)、DBサーバ5からユーザ認証画面が送られるが(2015)、認証クライアント22は前記画面への情報入力をユーザ11に要求せず、可搬媒体700の中から必要なログイン情報を取り出してその情報をDBサーバ5に送る(2016)。特願平9-76954の発明では、統合認証サーバ2がサーバ3からセキュリティ情報(業務ごとのログイン情報等)を取得してユーザ11が企業ネットワークシステム1にログインする資格を持つかどうか調べていた。しかし、本実施例では、可搬媒体700内に前記セキュリティ情報を含むことができるので、必ずしもサーバ3に問い合わせに行く必要はない。但し、業務の詳細についてのアクセス制御情報まで可搬媒体700に含めることができない場合もあるので、そのような時には、サーバ3あるいはアクセス制御サーバ50との連携が要求される。   As shown in FIG. 2, for a legitimate user, the user authentication screen that is originally required for each job is not displayed. When the user 11 makes a business request to the business server 6 (2007), a user authentication screen is sent from the business server 6 (2008), but the authentication client 22 does not request the user 11 to input information on the screen, The necessary login information is taken out from the portable medium 700 and the information is sent to the business server 6 (2009). Similarly, when the user 11 next wants to access the DB server 5 (2014), a user authentication screen is sent from the DB server 5 (2015), but the authentication client 22 sends the information input to the screen to the user. The required login information is taken out from the portable medium 700 and sent to the DB server 5 (2016). In the invention of Japanese Patent Application No. 9-76954, the integrated authentication server 2 obtains security information (such as login information for each job) from the server 3 and checks whether or not the user 11 is qualified to log in to the corporate network system 1 . However, in this embodiment, since the security information can be included in the portable medium 700, it is not always necessary to go to the server 3. However, there are cases where even the access control information about the details of the business cannot be included in the portable medium 700. In such a case, cooperation with the server 3 or the access control server 50 is required.

ユーザ11が業務終了を要求すると(2012、2019)、業務終了が通知され(2013、2020)、クライアント8内の可搬媒体読み取り装置705から可搬媒体700が取り外される(2021)。   When the user 11 requests to end the business (2012, 2019), the business end is notified (2013, 2020), and the portable medium 700 is removed from the portable medium reading device 705 in the client 8 (2021).

可搬媒体700を用いないユーザは、図3に示すような従来の認証処理をしなければならない。すなわち、ユーザは、業務ごとに要求されるユーザ認証画面(3003、3010)に自分でログイン情報を入力する必要がある(3004、3011)。   A user who does not use the portable medium 700 must perform a conventional authentication process as shown in FIG. That is, the user needs to input login information on the user authentication screen (3003, 3010) required for each business (3004, 3011).

次に、可搬媒体700の発行要求シーケンスについて図4で示す。ユーザ14が可搬媒体700の発行要求をすると(4001)、認証クライアント22は可搬媒体発行申請画面を表示する(4002)。前記可搬媒体発行申請画面には、ユーザの識別情報、所属情報、職務権限情報等様々な情報の指定が必要であるが、基本的にこれらの情報はサーバ3で管理されているため、最低限ユーザに識別情報を入力する(4003)。認証クライアント22は、前記入力された情報を統合認証サーバ2に送信すると、統合認証サーバ2では、サーバ3にユーザ14に関するセキュリティ情報を問い合わせることにより、ユーザ14の権限を確認する(4004)。そして、前記権限情報に基づいてユーザ14のためのログイン情報を作成し(4005)、統合認証サーバ2の公開鍵で暗号化し(4006)、可搬媒体700に格納する。統合認証サーバ2と認証クライアント22間でセキュアな通信をすることにより、認証クライアント22側の可搬媒体に前記ユーザ14のためのログイン情報を書き込むことも可能であるし(4007)、可搬媒体自体を通信以外の方法で配送することもできる(4013)。いずれにしても、可搬媒体をユーザ14が受け取ったら、可搬媒体700についてのパスワード設定要求が出されるので(4014)、ユーザ14はパスワードを指定しなければならない。そして、前記パスワード情報は認証クライアント22及び統合認証サーバ2にも送付される(4015)。   Next, an issuance request sequence for the portable medium 700 is shown in FIG. When the user 14 issues a request for issuing the portable medium 700 (4001), the authentication client 22 displays a portable medium issuance application screen (4002). On the portable medium issuance application screen, it is necessary to specify various information such as user identification information, affiliation information, and job authority information. The identification information is input to the limited user (4003). When the authentication client 22 transmits the input information to the integrated authentication server 2, the integrated authentication server 2 confirms the authority of the user 14 by inquiring of the server 3 about security information about the user 14 (4004). Then, login information for the user 14 is created based on the authority information (4005), encrypted with the public key of the integrated authentication server 2 (4006), and stored in the portable medium 700. By performing secure communication between the integrated authentication server 2 and the authentication client 22, it is possible to write the login information for the user 14 in the portable medium on the authentication client 22 side (4007), and the portable medium. It can be delivered by a method other than communication (4013). In any case, when the user 14 receives the portable medium, a password setting request for the portable medium 700 is issued (4014), and the user 14 must specify a password. The password information is also sent to the authentication client 22 and the integrated authentication server 2 (4015).

図5では、可搬媒体700へのアクセスを拒否されたユーザが再度可搬媒体700を利用可能とするための処理について説明する。ここでは、ユーザ11がアクセスを拒否されたとしよう。ユーザ11は、可搬媒体700の可搬媒体再利用要求をすると(5001)、認証クライアント22は可搬媒体再利用要求画面を表示する(5002)。基本的には、前記可搬媒体発行申請画面に必要だった情報を入力する必要があるが、別の手段により、前記可搬媒体再利用要求をしているユーザが正当なユーザ11であることを確かめることもできる。例えば、ユーザ11しか知らない情報やユーザ11しか持っていない情報を入力させれば本人であることがわかるので、可搬媒体のパスワードをユーザ11の秘密鍵(証明証内の公開鍵に対応)で暗号して送信させるような手順も有効である(5004)。このようにして、正しいユーザ11であると確認できた場合には(5006)、統合認証サーバ2から認証クライアント22に可搬媒体700を再度利用可能な状態にするように指示する。図2の処理2005でも説明したように、可搬媒体700内の情報は認証クライアント22の公開鍵を用いて参照不可能な状態にされているので、それを解除するためには、ユーザ11本人のパスワードと認証クライアント22の秘密鍵が必要である。認証クライアント22は、ユーザ11のパスワードと前記秘密鍵を入力することにより、可搬媒体700を参照可能な状態に戻す(5007)。そして、可搬媒体700の無効化解除の通知をユーザ11に送る(5008)。   FIG. 5 illustrates a process for allowing a user who is denied access to the portable medium 700 to use the portable medium 700 again. Let's assume that user 11 is denied access. When the user 11 makes a request for reusing a portable medium 700 (5001), the authentication client 22 displays a portable medium reuse request screen (5002). Basically, it is necessary to input the necessary information on the portable medium issuance application screen, but the user who has requested the reuse of the portable medium by another means is a legitimate user 11 Can also be confirmed. For example, if you enter information that only user 11 knows or information that only user 11 has, you can know who you are, so the password of the portable medium is the user 11's private key (corresponding to the public key in the certificate) It is also effective to send the encrypted data with (5004). In this way, when it is confirmed that the user 11 is correct (5006), the integrated authentication server 2 instructs the authentication client 22 to make the portable medium 700 available again. As described in the process 2005 in FIG. 2, the information in the portable medium 700 is made inaccessible using the public key of the authentication client 22. Password and authentication client 22 private key are required. The authentication client 22 returns the portable medium 700 to a referable state by inputting the password of the user 11 and the secret key (5007). Then, a notification of invalidation cancellation of the portable medium 700 is sent to the user 11 (5008).

ユーザの業務運用を簡易化するという観点から、図6に示す業務との連携機能も実現できる。これは、特定の業務向けにカスタマイズした運用とも考えられる。前記アクセス可否の判定(6004)によりアクセスが許可されたユーザに対して、あらかじめスケジューリングされたとおりに業務を自動的に開始する。図6の例では、業務サーバ6に対する一連の処理を終えた後、それとは関連のないDBサーバ5の更新処理を行なった後で自動的に業務を終了するような運用情報があらかじめ可搬媒体700の中に入れられている。図6の処理6001から処理6006までは、図2と同様であるが、処理6007による業務サーバ6への処理要求が可搬媒体700から出されている点が図2の処理2007とは異なる。上述のように、可搬媒体700には、ユーザ11から次の業務要求が出されたら(6012)、業務サーバ6に対して業務終了通知を出し(6013)、次の業務であるDBサーバ5に対する業務要求を出す(6014)ように指定されている。従って、ユーザ11が業務サーバ6に対する業務終了要求やDBサーバ5に対する業務要求をする必要はない。同様に、可搬媒体700を取り出したら(6019)、DBサーバ5に対して業務終了通知を出すように指定されているので(6020)、ユーザ11がDBサーバ5に対する業務終了要求を出す必要はない。このようにして、可搬媒体700を読み取り装置からはずすと自動的に処理が終了するしかけになっているので、席を一時的にはずす時には、可搬媒体は抜かれることになりその分業務のセキュリティが高まることが期待される。   From the viewpoint of simplifying the user's business operation, it is also possible to realize a business cooperation function shown in FIG. This can be considered as an operation customized for a specific business. The business is automatically started as scheduled in advance for the user whose access is permitted by the access permission determination (6004). In the example of FIG. 6, after a series of processing for the business server 6 is completed, operation information that automatically terminates the business after performing update processing of the DB server 5 that is not related thereto is previously stored in the portable medium. In 700. Processes 6001 to 6006 in FIG. 6 are the same as those in FIG. 2, but differ from process 2007 in FIG. 2 in that a process request to the business server 6 by process 6007 is issued from the portable medium 700. As described above, when the next business request is issued from the user 11 to the portable medium 700 (6012), a business end notification is sent to the business server 6 (6013), and the DB server 5 which is the next business is issued. It is specified to issue a business request for (6014). Therefore, the user 11 does not need to make a business end request to the business server 6 or a business request to the DB server 5. Similarly, when the portable medium 700 is taken out (6019), it is specified to issue a business end notification to the DB server 5 (6020), so the user 11 needs to issue a business end request to the DB server 5. Absent. In this way, if the portable medium 700 is removed from the reading device, the process is about to end automatically. Therefore, when the seat is temporarily removed, the portable medium is removed, and the work is done accordingly. Security is expected to increase.

図7に、前記図2から図6までの処理手順や運用例を実現するための可搬媒体700、クライアント内の可搬媒体読み取り装置705、生物的情報による認証装置701、及びクライアント内の認証クライアント22との関係について説明をする。可搬媒体700は、情報制御部7010とアクセス可否判定部7020から構成される。情報制御部7010ではログイン情報7011、運用情報7012及び可搬媒体状態情報7013を管理する。情報制御部7010では、可搬媒体の状態(有効・無効など)を管理しており、可搬媒体が無効な状態になっている場合には、可搬媒体読み取り装置705を介した情報の読み取りを禁止し、認証クライアント22からの無効化解除機能7222や情報書き込み機能7223により可搬媒体を有効な状態にする。また、アクセス可否判定部7020は、ユーザが入力したパスワードや生物的情報を判定する部分である。   FIG. 7 shows a portable medium 700 for realizing the processing procedures and operation examples shown in FIGS. 2 to 6, a portable medium reading device 705 in the client, an authentication device 701 using biological information, and authentication in the client. The relationship with the client 22 will be described. The portable medium 700 includes an information control unit 7010 and an accessibility determination unit 7020. The information control unit 7010 manages login information 7011, operation information 7012, and portable medium state information 7013. The information control unit 7010 manages the state of the portable medium (valid / invalid etc.). When the portable medium is in an invalid state, the information is read via the portable medium reader 705. And the invalidation cancel function 7222 and the information writing function 7223 from the authentication client 22 are made valid. Further, the accessibility determination unit 7020 is a part that determines a password or biological information input by the user.

可搬媒体読み取り装置705は、可搬媒体700を挿入し、そこから情報を読み取る装置であり、情報読み取り部7110と挿入状態監視部7120から構成される。   The portable medium reading device 705 is a device that inserts the portable medium 700 and reads information therefrom, and includes an information reading unit 7110 and an insertion state monitoring unit 7120.

認証クライアント22は、画面制御部7210、可搬媒体制御部7220、情報入出力制御部7230から構成される。画面制御部7210は、可搬媒体の利用時や申請時に必要な認証情報入力画面7211、可搬媒体発行申請画面7212及び可搬媒体再利用要求画面7213、ユーザの業務要求時に必要なユーザ認証画面7212などを管理する。また、可搬媒体制御部7220では、可搬媒体の無効化機能7221、可搬媒体の無効化解除機能7222、可搬媒体への情報書き込み機能7223、パスワード管理機能7224などを含む。情報入出力制御部7230は、ユーザからの入力情報の受け付け機能7231、生物的情報による認証装置701とのインタフェース7232、ユーザへの情報表示機能7233を備える。クライアントの中に、前記認証クライアント22と可搬媒体読み取り装置705がある。   The authentication client 22 includes a screen control unit 7210, a portable medium control unit 7220, and an information input / output control unit 7230. The screen control unit 7210 includes an authentication information input screen 7211, a portable medium issuance application screen 7212 and a portable medium reuse request screen 7213 that are required when using or applying a portable medium, and a user authentication screen that is required when a user requests a job. Manage 7212 etc. The portable medium control unit 7220 includes a portable medium invalidation function 7221, a portable medium invalidation release function 7222, a portable medium information writing function 7223, a password management function 7224, and the like. The information input / output control unit 7230 has a function 7231 for accepting input information from the user, an interface 7232 with the authentication device 701 using biological information, and an information display function 7233 for the user. Among the clients are the authentication client 22 and the portable medium reading device 705.

以上述べたように、本発明によれば、企業情報システムで可搬媒体を利用したシングルログインを実現できる。先願発明(特願平9-76954)で提案した強固なユーザ認証及びアクセス制御の基盤を利用し、さらに、クライアント側に可搬媒体利用の画面制御手段、生物学情報による認証手段を設けることによりユーザを厳密に認証できる。アクセス可否判定の結果、不当なユーザに対しては可搬媒体を無効にするので高度なセキュリティが保証されている。ユーザは可搬媒体を用いない従来の認証処理も利用できるが、可搬媒体の利用申請や無効となった可搬媒体を再度利用可能にする処理も可能である。可搬媒体の利用と業務を連携させれば、ユーザの業務運用の簡易化や特定の業務向けに運用のカスタマイズ化もできる。   As described above, according to the present invention, a single login using a portable medium can be realized in a company information system. Utilize the strong user authentication and access control platform proposed in the prior invention (Japanese Patent Application No. 9-76954), and further provide screen control means using portable media and authentication means using biological information on the client side The user can be strictly authenticated. As a result of the access permission / inhibition determination, the portable medium is invalidated for an unauthorized user, so that high security is ensured. Although the user can use the conventional authentication process that does not use the portable medium, the user can apply for the use of the portable medium or can make the invalid portable medium usable again. If the use of portable media and business are linked, the user's business operation can be simplified and the operation can be customized for a specific business.

実施形態のネットワークシステムの構成図である。1 is a configuration diagram of a network system according to an embodiment. 実施形態のユーザ11が可搬媒体700を用いてクライアント8からログインする処理手順を示す図である。6 is a diagram illustrating a processing procedure in which a user 11 of the embodiment logs in from a client 8 using a portable medium 700. FIG. 従来の認証処理手順を示す図である。It is a figure which shows the conventional authentication processing procedure. 実施形態のユーザ14による可搬媒体700の発行要求処理の手順を示す図である。It is a figure which shows the procedure of the issuing request process of the portable medium 700 by the user 14 of embodiment. 実施形態の可搬媒体700へのアクセスを拒否されたユーザが再度可搬媒体700を利用可能とする処理手順を示す図である。FIG. 6 is a diagram illustrating a processing procedure for allowing a user who is denied access to the portable medium 700 of the embodiment to use the portable medium 700 again. 実施形態の可搬媒体700を業務と連携させることによる特定の業務向けにカスタマイズした運用の一例である。It is an example of the operation customized for the specific business by linking the portable medium 700 of the embodiment with the business. 実施形態の図2から図6までの処理手順や運用例を実現するための可搬媒体700、クライアント内の可搬媒体読み取り装置705、生物的情報による認証装置701、及びクライアント内の認証クライアント22との関係について説明をする構成図である。A portable medium 700 for realizing the processing procedures and operational examples of FIGS. 2 to 6 of the embodiment, a portable medium reading device 705 in the client, an authentication device 701 using biological information, and an authentication client 22 in the client It is a block diagram explaining the relationship.

符号の説明Explanation of symbols

企業ネットワークシステム1、他企業のネットワークシステム9、広域ネットワークシステム10…ネットワークシステム
FW60,FW61…ファイアウォール装置
統合認証サーバ2,セキュリティ情報を管理するサーバ3,グループウェアサーバ4,DBサーバ5,業務サーバ6,外部証明書発行サーバ7,鍵管理サーバ17,証明証発行サーバ18、証明証取り消しリスト管理サーバ54,アクセス制御サーバ50,ネットワーク管理サーバ41…サーバシステム
クライアント8、クライアント20…クライアント
認証クライアント22…統合認証サーバ2と連携してユーザ認証処理を行なうクライアント上のプログラム
ユーザ11,ユーザ14…ユーザ
可搬媒体700…FD,ICカード、腕輪、指輪、ネクタイピン等の可搬媒体
可搬媒体読み取り装置705…可搬媒体700の内容を読み取るクライアント上の装置生物的情報による認証装置701…指紋、網膜、DNA情報等を利用してユーザを認証する装置
2001〜2021…図2の処理内容
3001〜3014…図3の処理内容
4001〜4016…図4の処理内容
5001〜5008…図5の処理内容
6001〜6020…図6の処理内容
情報制御部7010、ログイン情報7011、運用情報7012、可搬媒体状態情報7013、アクセス可否判定部7020…可搬媒体700の構成要素
情報読み取り部7110、挿入状態監視部7120…可搬媒体読み取り装置705の構成要素
画面制御部7210、認証情報入力画面7211、可搬媒体発行申請画面7212、可搬媒体再利用要求画面7213、ユーザ認証画面7212、可搬媒体制御部7220、可搬媒体の無効化機能7221、可搬媒体の無効化解除機能7222、可搬媒体への情報書き込み機能7223、パスワード管理機能7224、情報入出力制御部7230、入力情報の受け付け機能7231、生物的情報による認証装置701とのインタフェース7232、情報表示機能7233…証クライアント22の構成要素
Corporate network system 1, Network system 9 of other companies, Wide area network system 10 ... Network system
FW60, FW61: Firewall device integrated authentication server 2, server 3 for managing security information, groupware server 4, DB server 5, business server 6, external certificate issuing server 7, key management server 17, certificate issuing server 18, Certificate revocation list management server 54, access control server 50, network management server 41 ... server system client 8, client 20 ... client authentication client 22 ... program user 11 on the client that performs user authentication processing in cooperation with the integrated authentication server 2 , User 14 ... user portable medium 700 ... portable medium portable medium reading device 705 such as FD, IC card, bracelet, finger ring, tie pin, etc. Authentication on the client that reads the contents of portable medium 700 using biological information Device 701: Device that authenticates a user using fingerprint, retina, DNA information, etc.
2001 ~ 2021 ... Processing contents of Fig. 2
3001 to 3014: Processing contents of FIG.
4001 to 4016 ... Processing contents of Fig. 4
5001 to 5008 ... Processing contents of FIG.
6001 to 6020... Processing content information control unit 7010 in FIG. 6, login information 7011, operation information 7012, portable medium state information 7013, access permission determination unit 7020... Unit 7120: Component screen control unit 7210 of portable medium reader 705, authentication information input screen 7211, portable medium issue application screen 7212, portable medium reuse request screen 7213, user authentication screen 7212, portable medium control unit 7220, portable medium invalidation function 7221, portable medium invalidation release function 7222, portable medium information writing function 7223, password management function 7224, information input / output control unit 7230, input information receiving function 7231, Biological information authentication device 701 interface 7232, information display function 7233 ... components of the certificate client 22

Claims (8)

認証を行うサーバであって、
第1の認証情報と可搬媒体とを用いて認証したクライアントから、前記可搬媒体に格納されていた第2の認証情報を受信する手段と、
該第2の認証情報を用いて認証処理を行う手段と、
を有するサーバ。
A server that performs authentication,
Means for receiving second authentication information stored in the portable medium from a client authenticated using the first authentication information and the portable medium;
Means for performing authentication processing using the second authentication information;
Server with.
請求項1記載の認証を行うサーバであって、
該サーバはクライアントに業務を提供する業務サーバであり、
前記認証処理により認証された場合に、前記業務サーバが前記クライアントに対する業務処理を行う手段
を有するサーバ。
A server for performing authentication according to claim 1,
The server is a business server that provides business to clients,
A server having means for the business server to perform business processing on the client when authenticated by the authentication processing.
請求項2記載の認証を行うサーバであって、
前記可搬媒体が前記クライアントからはずされたことに応じて前記クライアントから送信される、業務処理を終了する通知を受信する手段と、
該業務処理を終了する通知に応じて業務処理を終了する手段と、
を有するサーバ。
A server for performing authentication according to claim 2,
Means for receiving a notification to end business processing, transmitted from the client in response to the removal of the portable medium from the client;
Means for ending the business process in response to the notification of ending the business process;
Server with.
認証を行うサーバであって、
第1の認証情報と可搬媒体とを用いて認証したクライアントから、前記可搬媒体に格納されていた第2の認証情報を受信する手段と、
該第2の認証情報を用いて、自サーバの、オペレーティングシステム又はアプリケーションの少なくとも1への認証処理を行う手段と、
を有するサーバ。
A server that performs authentication,
Means for receiving second authentication information stored in the portable medium from a client authenticated using the first authentication information and the portable medium;
Means for performing authentication processing of at least one of an operating system or an application of the own server using the second authentication information;
Server with.
請求項4記載の認証を行うサーバであって、
前記可搬媒体が前記クライアントからはずされたことに応じて前記クライアントから送信される、前記オペレーティングシステム又は前記アプリケーションの少なくとも1の処理を終了する通知を受信する手段と、
該処理を終了する通知に応じて、前記オペレーティングシステム又は前記アプリケーションの少なくとも1の処理を終了する手段と、
を有するサーバ。
A server for performing authentication according to claim 4,
Means for receiving a notification sent from the client in response to the removal of the portable medium from the client to terminate at least one process of the operating system or the application;
Means for ending at least one process of the operating system or the application in response to a notification of ending the process;
Server with.
請求項1乃至5のいずれか1に記載の認証方法を行うコンピュータであって、
前記可搬媒体がICカードであることを特徴とするサーバ。
A computer that performs the authentication method according to claim 1,
A server characterized in that the portable medium is an IC card.
請求項1乃至6のいずれか1に記載の認証を行うコンピュータであって、
前記第1の認証情報が生物的な情報であることを特徴とするサーバ。
A computer for performing authentication according to any one of claims 1 to 6,
The server, wherein the first authentication information is biological information.
第1のコンピュータと第2のコンピュータが接続された、可搬媒体を用いた認証システムであって、
前記第1のコンピュータは、
第1の認証情報を受け付ける手段と、
前記第1の認証情報と可搬媒体とを用いて認証する手段と、
前記可搬媒体に格納された第2の認証情報を読み取る手段と、
前記第2の認証情報を用いて前記第2のコンピュータへの認証処理を行う手段と有し、
前記第2のコンピュータは、
前記認証処理により認証された場合に、前記第1のコンピュータに業務処理を行う手段を有する、
ことを特徴とする認証システム。
An authentication system using a portable medium in which a first computer and a second computer are connected,
The first computer is
Means for receiving first authentication information;
Means for authenticating using the first authentication information and a portable medium;
Means for reading second authentication information stored in the portable medium;
Means for performing authentication processing on the second computer using the second authentication information;
The second computer is
Means for performing business processing on the first computer when authenticated by the authentication processing;
An authentication system characterized by that.
JP2005289512A 2005-10-03 2005-10-03 A single login control method using a portable medium, and a recording medium and apparatus storing a program for realizing the method. Expired - Fee Related JP4508066B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005289512A JP4508066B2 (en) 2005-10-03 2005-10-03 A single login control method using a portable medium, and a recording medium and apparatus storing a program for realizing the method.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005289512A JP4508066B2 (en) 2005-10-03 2005-10-03 A single login control method using a portable medium, and a recording medium and apparatus storing a program for realizing the method.

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2004378761A Division JP2005149528A (en) 2004-12-28 2004-12-28 Single login control method using portable medium, recording medium with program for realizing the method stored, and device

Publications (3)

Publication Number Publication Date
JP2006073029A true JP2006073029A (en) 2006-03-16
JP2006073029A5 JP2006073029A5 (en) 2007-12-20
JP4508066B2 JP4508066B2 (en) 2010-07-21

Family

ID=36153509

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005289512A Expired - Fee Related JP4508066B2 (en) 2005-10-03 2005-10-03 A single login control method using a portable medium, and a recording medium and apparatus storing a program for realizing the method.

Country Status (1)

Country Link
JP (1) JP4508066B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010103663A1 (en) * 2009-03-13 2010-09-16 富士通株式会社 Person authentication system and person authentication method
JP2019125132A (en) * 2018-01-16 2019-07-25 株式会社デンソー Path code management program and path code management method

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS60181892A (en) * 1984-02-28 1985-09-17 Omron Tateisi Electronics Co Preventing device of illegal access of ic card
JPH09153891A (en) * 1995-06-19 1997-06-10 Nippon Telegr & Teleph Corp <Ntt> Communication equipment and equipment used therefore
JPH10111900A (en) * 1996-08-13 1998-04-28 N T T Data Tsushin Kk Information management system
JPH11345208A (en) * 1998-06-01 1999-12-14 Ibix Kk Authentication system, method and recording medium

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS60181892A (en) * 1984-02-28 1985-09-17 Omron Tateisi Electronics Co Preventing device of illegal access of ic card
JPH09153891A (en) * 1995-06-19 1997-06-10 Nippon Telegr & Teleph Corp <Ntt> Communication equipment and equipment used therefore
JPH10111900A (en) * 1996-08-13 1998-04-28 N T T Data Tsushin Kk Information management system
JPH11345208A (en) * 1998-06-01 1999-12-14 Ibix Kk Authentication system, method and recording medium

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010103663A1 (en) * 2009-03-13 2010-09-16 富士通株式会社 Person authentication system and person authentication method
JP5360192B2 (en) * 2009-03-13 2013-12-04 富士通株式会社 Personal authentication system and personal authentication method
JP2019125132A (en) * 2018-01-16 2019-07-25 株式会社デンソー Path code management program and path code management method

Also Published As

Publication number Publication date
JP4508066B2 (en) 2010-07-21

Similar Documents

Publication Publication Date Title
US10298568B1 (en) System integrating an identity selector and user-portable device and method of use in a user-centric identity management system
US20070271618A1 (en) Securing access to a service data object
JP2012503229A (en) Apparatus, system and computer program for authorizing server operation
JP2005242745A (en) Harware token, authentication method using same, computer apparatus, and program
US20110022838A1 (en) Method and system for secure remote login of a mobile device
EP1542135B1 (en) A method which is able to centralize the administration of the user registered information across networks
JP3659019B2 (en) Single login control method using portable medium and recording medium and apparatus storing program for realizing the method
JP2002312326A (en) Multiple authentication method using electronic device with usb interface
JP2007011795A (en) User authentication system and its method
JP2005215870A (en) Single sign-on method and system using rfid
KR101651563B1 (en) Using history-based authentication code management system and method thereof
JP4508066B2 (en) A single login control method using a portable medium, and a recording medium and apparatus storing a program for realizing the method.
Otterbein et al. The German eID as an authentication token on android devices
JP6351061B2 (en) Management system, management method, program, and user terminal
JP3966233B2 (en) Terminal usage authentication system
KR102288445B1 (en) On-boarding method, apparatus and program of authentication module for organization
JP3945518B2 (en) Computer performing authentication using portable medium and authentication method
JP2005065035A (en) Substitute person authentication system using ic card
KR20030091866A (en) Authentication Method And Authentication System Using Information About Computer System&#39;s State
JP2005149528A (en) Single login control method using portable medium, recording medium with program for realizing the method stored, and device
Toth et al. The persona concept: a consumer-centered identity model
JP2000259802A (en) Ic card, ic card access device and recording medium stored with ic card program and ic card access program
KR20010008028A (en) Smart card reading system having pc security and pki solution and for performing the same
EP4330837A1 (en) Method for authenticating an end-user account, method for single authenticating within a cluster of hsm, and method for implementing access control
Toth et al. Persona concept for privacy and authentication

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060421

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071031

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090317

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090518

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100216

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100413

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100426

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130514

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130514

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130514

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees