JP2007249805A - 電子認証方法及び電子認証システム - Google Patents

電子認証方法及び電子認証システム Download PDF

Info

Publication number
JP2007249805A
JP2007249805A JP2006074883A JP2006074883A JP2007249805A JP 2007249805 A JP2007249805 A JP 2007249805A JP 2006074883 A JP2006074883 A JP 2006074883A JP 2006074883 A JP2006074883 A JP 2006074883A JP 2007249805 A JP2007249805 A JP 2007249805A
Authority
JP
Japan
Prior art keywords
information
communication terminal
site
user
pwd
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006074883A
Other languages
English (en)
Inventor
Izuru Narita
出 成田
Masayuki Takayama
雅行 高山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2006074883A priority Critical patent/JP2007249805A/ja
Priority to US11/685,301 priority patent/US20070220007A1/en
Priority to CNA2007100881269A priority patent/CN101093562A/zh
Publication of JP2007249805A publication Critical patent/JP2007249805A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1025Identification of user by a PIN code
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

【課題】電子商取引を行なう際に、WEBサイトの認証において、パスワードを盗む不正行為から防御する。
【解決手段】電子サイト及びサイト情報テーブルを管理するホストおいて、通信端末から入力されたユーザ情報を認証する方法であって、入力画面に入力された第1の情報を取得しサイト情報テーブルに基づいて認証するステップと、通信端末において管理されるローカル情報テーブルから第1の情報に対応する第2の情報の送信を要求するステップと、第2の情報を受け取りサイトにおいて取引を可能にするためにサイト情報テーブルに基づいて第2の情報を認証するステップと、第2の情報を認証した後のサイトでの取引可能期間において、第2の情報を変更し前記ホスト情報テーブルを更新するステップと、ローカル情報テーブルの第2の情報を更新するために変更された第2の情報を通信端末に送信するステップとを備える。
【選択図】図5

Description

本発明は、電子商取引を行なう際に、WEBサイトの認証において、パスワードを盗む不正な行為から、電子認証を防御する技術に関する。より詳しくは、本発明は、インターネットバンキングやインターネット株取引など、インターネットを介しての取引の際に、フィッシング、スキミングなどの不正行為から守る電子認証方式及びそのシステムに関する。
インターネットの普及により、人を介さずネットワークを介した電子商取引が、拡大している。特に、銀行・証券などの金融取引、及び、電子コンテンツの取引のように、完全にネットワークで完結する取引に関しては、電子商取引の拡大は目を見張るものがある。この電子商取引の際の銀行またはクレジット決済の本人認証も人を介さず行なわれている。この電子商取引において、現実の取引と同様に本人認証を、安全かつ簡易に行える必要がある。
図1は、金融取引の例として、個人認証の必要なインターネットバンキング、ネット株取引の場合の概略的な流れを示す。銀行、証券会社などの金融機関は、実店舗とは別にホストコンピュータ150で管理されるインターネットバンキングを可能とするWEBバンキングサイト140をインターネット100を介して提供している。A銀行150のユーザ110は、通信端末120、例えばパーソナルコンピュータ(PC)、携帯端末などによりインターネット100を介してA銀行のWEBサイトにアクセスする。このWEBには、実店舗と同様に金融取引など各種サービス情報が提供されている。また、このWEBは、自己の口座へのアクセスを可能にするログイン画面130(図2)を表示する。ユーザはA銀行の自己の口座へのアクセスを可能とするために、口座番号(アカウントNo.)、パスワード(本願の静的パスワード(S−PWD:Static password)に相当)など特定ユーザの情報の入力を行なう。
図2は、ログイン画面130の入力の例を示す。入力されたユーザの口座番号(アカウントNo.)及びパスワード等の情報は、個人認証のためにWebサイト140を通じてA銀行のシステム(例えばホストコンピュータ150)に送られる。A銀行のシステム150は、受取ったユーザ情報(口座番号及びパスワード)からその口座(アカウント)に対して正しいユーザであるかを認証する必要がある。システム150はデータベース内の顧客情報を有し、その顧客情報を検索(サーチ)し参照してパスワード(S−PWD)が正しいか確認をする。システム150は、ユーザ110が入力されたパスワードが正しいことを確認した場合、ユーザ情報を認証しその認証の通知をユーザ110に知らせる。その認証と同時に、A銀行のシステム150の自己の口座へのアクセスとして、希望の取引を可能とする(ログイン完了)。
このインターネットバンキング、インターネット株取引、ネットオークション、など、電子商取引では金銭の授受が必要である。例えば、図3の入力画面に、個人に認証を行う際、その会社のWebサイト140でパスワードなどの個人の情報を入力して取引を行う。この場合、パスワードなどの個人情報が他人に漏れてしまうと、その他人がそのパスワードを使って取引することが可能になってしまう。特に最近はサービス提供会社に成りすましてユーザのパスワードを盗むフィッシング(Phishing)やカード情報を盗むスキミング(skimming)などの反社会的な不正行為が大きな脅威となってきている。
図3(a)及び(b)は、不正行為の例として、フィッシング詐欺の例を示す。
金融機関などからの正規のメールやWebサイトを装い、暗証番号やクレジットカード番号などを搾取する詐欺をいう。メールの送信者名を金融機関の窓口などのアドレスにしたメールを無差別に送りつけ、本文には個人情報を入力するよう促す案内文とWebページのリンクが載っている。リンクをクリックするとその金融機関の正規のWebサイトと、個人情報入力用のポップアップウィンドウが表示される。メインウィンドウに表示されるサイトは「本物」で、ポップアップページは「偽者」である。本物を見て安心したユーザが、表示された入力画面130にパスワード、クレジットカード番号などを入力すると、不正者に情報が送信される。
a.不正者による偽りメールに、偽りの金融機関サイトをリンクした場合を示す。
b.ユーザは偽りメールを受信する。
c.メール中に記載された正規サイトではなく偽りサイトに接続されるように偽りリンクをクリックする。
d.bに示されるように、ユーザは、正規サイトに情報を送っていると思っているために、口座番号及びパスワード等の個人情報を入力する。
最近、不正者は、このa−dのシーケンスにより、偽りのホームページのログイン画面において入力された口座番号及びパスワードを取得するという詐欺行為が生じている。
非特許文献1は、スキミング(skimming)を対策の技術を与えている。不正者により偽造されたカードに対して、所有者がカード情報を随時変更することにより不正者の偽造カードの使用を拒絶すものである。スキミングとは、他人のクレジットカードやキャッシュカードの磁気記録情報を不正に読み出して「コピー(偽造カード)」を作成し、使用する行為をいう。「スキマー」と呼ばれるカード情報を読み取る装置を用いて情報を複写する。
非特許文献1の技術は、カード情報をユーザ(所有者)がカード会社のシステムに接続される通信端末でカード情報を書換えることにより、それ以前に偽造されたカードの使用を拒絶する。この文献の記載からでは、カード情報の書換えの際にパスワードでの確認が要求されるか定かでない。仮にパスワードでの本人確認をカード情報の書換えの際に必要となる場合には、同文献の開示技術のパスワードを静的パスワード(S−PWD)と見なすことができる。この文献の場合、実際のカードを利用する時に使用する端末とカード情報(本発明で動的パスワード(D−PWD)に相当)を変更する端末とは異なる。変更から利用までにユーザが認識しないでスキミング行為があった場合には、その偽造カードの使用行為を防ぐことはできない。また、カード情報の書換えは、所有者の任意行為であるために、不正行為による偽造カードの不正使用を完全に防ぐことは困難である。
特許文献1は、サーバコンピュータや、プリンターなど各種デバイス及びアプリケーションプログラムのアクセスの可否の認証方法を提供している。PCにUSBメモリを接続してそのPCの有す得る記憶手段内の照合テーブル及びレジストリファイルと、USBメモリのパスワード、口座番号を照合して、目的のリソースにアクセス可能かを判断する。この認証方法は、USBメモリが口座番号及びパスワードなどユーザ情報の記憶管理しているため、このUSBメモリが盗難にあった場合に記録されたユーザ情報を読出され偽造USBメモリが作成できる。偽造USBメモリの使用は、目的のリソースへのアクセスを可能とし不正行為を防ぐことはできない。また、この文献の技術では、自己のUSBメモリと特定のPCに接続させなければ各種デバイスへのアクセスの可否を判断する技術であり、ユーザがUSBメモリを任意のPCに接続して使用する態様(可搬性)が確保できないため不便である。
「差し込むだけで偽造防止」UFJカード、日立と技術開発、 日本経済新 聞2005年9月30日(金曜日)13版 4頁 特許公開公報2002−212326号
上述したように、非特許文献1は、2つのパスワードを利用するか不明である。また、
動的パスワードの変更は利用者の任意作業である。従ってカード盗難された場合に、実質不正行為を防げない。
また、特許文献1の認証方法は、このUSBメモリが盗難に合い記録情報を読出され偽造USBメモリが作成された場合、偽造USBメモリを使用する目的リソースへのアクセスを防ぐことはできない。また、USBデバイスが接続されるアクセス利用を認証するコンピュータは限定さるため、ネット接続が可能なPCなどいたる所で認証を行なうためにUSBデバイスを持ち運ぶことを意図していない。
従って、本発明は、電子商取引の際のWEBサイトの認証において、不正行為により個人情報が第3に漏れてもその者のアクセスを出来ないようにする電子認証方式及びそのシステムを提供することにある。
上記の目的を達成する本発明は、次のような電子認証方法によって実現される。この電子認証方法は、電子サイト及びサイト情報テーブルを管理するホストおいて、電子サイトに通信可能に接続された通信端末において入力されたユーザ情報を認証する方法であって、通信端末におけるサイトの入力画面に入力された第1の情報を取得するステップと、取得した第1の情報を前記サイト情報テーブルに基づいて認証するステップと、通信端末において管理されるローカル情報テーブルから第1の情報に対応する第2の情報の送信を要求するステップと、第2の情報を受け取り、そのサイトにおいて取引を可能にするためにサイト情報テーブルに基づいて第2の情報を認証するステップと、第2の情報を認証した後のそのサイトでの取引可能期間において、第2の情報を変更してホスト情報テーブルを更新するステップと、ローカル情報テーブルの第2の情報を更新するために、変更された第2の情報を通信端末に送信するステップと、を備える。
より詳細には、上記電子認証方法において、第2の情報を更新するステップは、前記第2情報認証による取引可能の開始、および、ユーザからの取引終了通知、少なくともいずれか一方を応答して、前記第2の情報を変更することを特徴とする。
また、上記電子認証方法において、第1の情報は、特定のユーザに割当てられることを特徴とする。
また、上記電子認証方法において、第1の情報は、口座番号とその口座の静的パスワードであることを特徴とする。
また、上記電子認証方法において、第2の情報は、特定のユーザに前記第1の情報に対応して割当てられ該ユーザの通信端末の管理するローカル情報テーブルに記憶されることを特徴とする。
また、上記電子認証方法において、第2の情報は、ユーザが認識することのない動的なパスワードとして機能することを特徴とする。
また、上記電子認証方法において、通信端末は、ローカル情報テーブルを管理する手段を含むことを特徴とする。
また、上記電子認証方法において、管理手段は、ローカル情報テーブルを記憶する記録部を含むことを特徴とする。
また、上記電子認証方法において、管理手段は、通信端末に着脱可能な外部デバイスであることを特徴とする。
また、上記電子認証方法において、外部デバイスは、USBメモリ、または、ICカードであることを特徴とする。
また、上記電子認証方法において、通信端末は、PC、または 携帯端末であることを特徴とする。
上記記の目的を達成する本発明は、次のような電子認証システムによって実現される。この電子認証システムは、ホストに通信可能に接続され、ユーザ通信端末を介して電子商取引サイトの入力画面にユーザが入力された第1の情報により認証を行なう、その電子商取引サイト及びサイト情報テーブルを管理するホストによる電子認証システムであって、通信端末に通信可能に接続され、ホストに送信される、第1の情報に対応する第2の情報を保持するローカル情報テーブルを記憶する外部デバイスをユーザに提供し、ホストは、通信端末を介して電子商取引サイトの入力画面にユーザにより入力された第1の情報、及び第2の情報を取得し、取得した第1及び第2の情報をサイト情報テーブルに基づいて認証し、第2の情報を認証した後であって電子商取引サイトでの取引可能期間において、第2の情報を変更してホスト情報テーブルを更新し、ローカル情報テーブルの第2の情報を更新するために、変更された第2の情報を通信端末に送信し、通信端末に接続された外部デバイスに記録された第2の情報を書換えることを特徴とする。
以上のように構成された本発明によれば、電子商取引の際のユーザの認証において、パスワードを盗み及びカードを偽造する不正行為者によるアクセスを排除する電子認証を可能となる。
以下、添付図面を参照して、本発明を実施するための最良の形態(以下、実施形態)について詳細に説明する。
図4、本発明の一実施形態による認証方法により、物理デバイス、利用者、及び不正者の行為の関係を説明する。
図4に示すように、ユーザ410が利用するインターネットバンキングの利用形態は、ユーザが有する外部デバイス400と、外部デバイスが装着される通信端末420と、通信端末が外部ネットワーク470を介して通信接続されるA銀行のホストコンピュータ450とを備える。ユーザ410は、A銀行のWebバンキングサイト440からホストコンピュータ450にアクセスできる。外部デバイス400は、記録メモリ600を含む。記録メモリは不揮発性メモリ部である。外部デバイスは、更に暗号処理機能を含む演算部を含んでもよい。外部デバイス400の記憶部に静的パスワードに対応させて動的にパスワードを保存する。本発明では、このパスワードを静的パスワードに対して動的パスワード(Dynamic Password:D−PWDと言う)と呼ぶ。静的パスワードは、金融機関から各ユーザに提供された時から固定されたものであり基本的に変更されず、ユーザが管理するものである。動的パスワードを記憶させた外部デバイスを金融機関がユーザに提供する。または、ユーザが外部デバイスを通信端末に接続して電子商取引の初期手続きの際に、動的パスワードがネットワークを介して割当てられてもよい。
Webバンキングのサイト440へのアクセス方法は、動的パスワード(D−PWD)を保存した外部デバイス400を通信端末、例えばPC、携帯端末に接続する。その後、インターネットを介してWebサイト440へ接続すると、A銀行のWebサイトのログイン画面430が通信端末420に表示される。従来のインターネットバンキングのログインと同様に、ユーザ410は口座番号またはユーザIDと基本的には変更を要しないパスワードを入力する。このパスワードを静的パスワード(S−PWD:Statice Password:「S−PWD」と略す)と呼ぶ。ログイン画面430において、例えば口座番号(またはユーザID)と静的パスワード(S−PWD)の入力を受けて外部デバイス400から静的パスワード(S−PWD)に対応する動的パスワード(D−PWD)が存在するかサーチされる。外部デバイス400は、少なくともS−PWDとD−PWDのテーブル610を不揮発性の記憶領域に有している。また、入力された口座番号及びS−PWDをシード(seed)として演算回路620(暗号回路部)(図6を参照)によりD−PWDを生成してもよい。D−PWDを直接記録せずD−PWDを暗号回路により生成するのは、外部デバイス400を紛失、盗難にあった場合に不揮発性メモリ部からS−PWDに対応するD−PWDを直接安易に読出されるのを防ぐためのものである。
通信端末420に外部デバイスを接続した後、先に口座番号(またはユーザID)と静的パスワード(S−PWD)の入力を受けて外部デバイス400から静的パスワード(S−PWD)に対して、通信端末420が認証(対応する動的パスワード(D−PWD)が存在するかサーチ)してもよい。また、この通信端末での認証の前に、入力された口座番号とS−PWDをA銀行のWebサイト440を管理するホストシステム450に送り、ホストシステム450においても認証を受けてもよい。前者(通信端末のみでの認証)のサーチのほうが簡便であるが、後者(ホストシステムでの認証の後に通信端末での認証)のほうがセキュリティ上の安全性が高い。
通信端末420は、接続された外部デバイス400から該当するD−PWDを見つけだし通信端末420自身が認証した場合(前者)、または、ホストシステム450及び通信端末420両方が認証した場合(後者)の何れでも、外部デバイス400から読み出されたD−PWDがインターネットバンクサイト440を提供するサーバ(ホストシステム)450に送おくられる。A銀行のWebバンキングサイト440は、認証済みの口座番号及びS−PWDに関連付けられてD−PWDが照合可能か処理される。ホストシステム450でのD−PWDの認証は、そのホスト450が外部デバイス400の保持するS−PWDとD−PWDとを関連ける顧客テーブル610と同じものを有し、受取ったD−PWDが正当なユーザのものであるかを確認する方法である。
最終的に、S−PWDの認証に続いて D−PWDの認証が完了すると、銀行システム450は、ユーザに対して銀行サイト440での取引を許可する。ユーザは、この2つのS−PWDとD−PWDの認証シーケンスは内部的に自動的に行なわれるために、S−PWDのみの認証が完了したと認識している。少なくともD−PWDを認証されてサイトへのアクセス状態が可能なのは、正当なユーザによる認証された期間であると認識している。システム450は、正式なユーザによる認証されて取引が可能なアクセス可能期間を、D−PWDの変更可能期間と理解する。そして、ユーザが取引を終了するまでの期間の適当なときに、D−PWDを変更してそれを通信端末420に送り、通信端末420に接続されている外部メモリのS−PWDに対応するD−PWDを更新させる。
このように、通信端末410から送られたD−PWDがA銀行のWebサイト440を管理するホスト450において認証されると当該サイトが提供する金融などの商取引が可能になり、その可能期間において適当なときにD−PWDが変更される。例えば、Webバンキングサイトへアクセスが可能になるたび、そのサクセスの始めか、その取引の終了時にD−PWDを更新してもよい。または、取引の初めから終了までの間の任意の時にD−PWDが新たに生成させてもよく。いずれにしてもユーザは、D−PWDを所有していること自体を認識していないため、その値が変更されていることも認識しないで済む。ユーザはD−PWDを憶える必要がないため、サービス提供者(ホスト450)側はD−PWDをいくらでも長くできる。つまり、ホストは、長さの観点から解読に時間のかかるW−PWDを随時設定できる。一方、サービス提供側のA銀行ホストシステムは、各ユーザのD−PWDを取引時の適当なときに変更できる、ユーザに自主的なS−PWDの変更によりセキュリティの強化を図らなくてよい点で有利な効果を有する。この実施態様は、ホストシステム450がユーザにより管理されるS−PWDに対応させて、外部デバイス400に記憶させているD−PWDを適時変更して、カメラでの盗写などの視覚的に把握されない。また、ユーザが入力するS−PWDはフィッシュングされても、ユーザが認識せず、画面に表示されないD−PWDはフィッシュングされない。仮に、D−PWDをネットワーク回線から盗むにしても、D−PWDを適時変更され、不正行為者の使用するD−PWDは古い可能性が高い。不正者は、その古いD−PWDを使用してWebバンキングサイト440を介してA銀行ホストシステム450にアクセスしてもそのアクセス行為を阻止できる。本発明の2つのパスワードを使用する方法は、以上のように、不正行為を排除できる程度を高める効果がある。
別の実施態様として、S−PWDに対してD−PWDを外部デバイス400に記録するのではなく、その外部デバイス400がD−PWDを生成する演算回路(アルゴリズム)を有する場合であってもよい。図6は、ローカル認証テーブル610を保持する記録メモリ600と、S−PWDなどをシード(seed)としてD−PWDを生成する演算回路620と、を含む外部メモリの例を示す。サービスを提供する銀行ホストシステム450は、外部デバイス400が保持する演算回路と同じ暗号生成アルゴリズムをソフトウエアまたはハードウエアとして有する。ホストシステム450は、例えばS−PWDなどユーザ情報をシードとして、演算回路を用いて符号化(エンコード)してD−PWDを生成する。生成されたD−PWDを通信端末420に送り、D−PWDを受取ると通信端末420または外部デバイス400が保持する演算回路の復符号(デコード)機能により、生成されたシードをローカル認証テーブル610にS−PWDに対応させて保持させてもよい。ホスト450から通信端末420に送られた、暗号回路のためのシードは、口座番号、S−PWDと関連付けられたD−PWDとして記録し認証テーブル610を更新する。外部デバイス400、例えばUSBメモリは、ホストシステム450において更新されたD−PWDを直接格納する。なお、外部デバイス400が、記録メモリ600に暗号回路部620を有する場合は、認証テーブル610にシードをS−PWD及びアカウント番号と関連付けて格納してもよい。
本発明の認証方法においては、ユーザは、外部メモリに格納されたD−PWD又はそれを生成するシードについて認識し、または記憶する必要もない。まして、いつ更新されたかも意識する必要はない。ユーザは、自己の口座番号(アカウントNo.)とS−PWDと、外部デバイス、例えばUSBメモリを管理していれば十分である。
一方、インターネットバンキングのサービス提供の銀行Aにとっては、D−PWDを随時更新できる点で不正者の時間的不正行為を極力なくせることになる。つまり、ユーザの自主的なパスワードの変更により、不正者により不正取引により損害に晒されることから逃れる有利な効果がある。
図4の点線は、不正者が偽りのバンキングサイト460の不正のログイン画面435を正式なログイン画面430に似せて、ユーザ410のログインにより口座番号とS−PWDとを取得する経路を示す。この不正な経路は、既に説明したフィッシング詐欺の態様を示す。この不正者は、アカウントNo.とS−PWDなどログイン435において入力された個人情報を不正取得できる。従って、ユーザに成りすまして、A銀行のホスト450においてS−PWDの認証までは受けることは可能である。本発明の本人認証方法においては、本人も認識しない態様においてD−PWDを与えるため、そのD−PWDを不正者も取得は難しい。D−PWDを保持するのは、サービス提供者のホストシステム450と外部デバイス400のみである。より詳細には、外部デバイス400または通信端末420に含まれる不揮発性メモリ部の記憶する、S−PWDと関連付けられたD−PWDの情報(D−PWD自身、又はそれを生成するシード)をするローカル認証テーブル610と、そのテーブルと同じものをホストシステム450が有していれば十分である。
本発明では、インターネットバンキングにおいて口座番号やS−PWDの他に、外部デバイス(例えばUSBメモリ)400または通信端末420を用い、それがD−PWDを生成し記録することの3点により、仮にS−PWDが漏れたとしても第3者(不正者)には、D−PWDが知れないために金融取引が行えない。
図5は、本発明の第1の実施態様における個人認証方法のシーケンスの例(1〜11)を示す。外部デバイス、典型的には、通信端末に接続汎用性のある外部記憶装置(例えばUSBメモリ)である。図6に示すように、外部デバイスは、記憶メモリ600の他に暗号生成の演算回路620を含んでもよい。以下のシーケンスにおいて、USBメモリには、ユーザー自身が記憶しているパスワード(S−PWD)と、ホストコンピュータがユーザー認証に使用するパスワード(D−PWD) の両方が保持されている。
1.先ず、ユーザがA銀行のWebサイトにリンクすると図4に示すログイン画面430が通信端末420に表示される。
2.Webサイト440が、ユーザ410にログイン画面430において、口座番号とS−PWDの入力を求める。
3.ユーザ410は、ログイン画面430において口座番号とS−PWDを入力する。
4.Webサイト440は、ホストシステム450が管理する顧客テーブル(ローカル認証テーブル610と同一又はこれを含む)を参照して、入力された口座番号とS−PWDの認証処理を行う。簡略的には、ホストシステム450の顧客テーブルを参照することなく、単に外部デバイスが保持するローカル認証テーブル610を参照して、その口座番号に対応するS−PWDを認証してもよい。
5.Webサイト440は、S−PWDに認証結果の通知と同時に外部デバイスの通信端末への装着を要求する。3におけるS−PWDの入力の時点で外部デバイス400が通信端末に装着されている場合は、装着要求は省略される。ローカル認証テーブル610は外部デバイス400により保持される。
6.ユーザ410は、外部デバイス400を通信端末420に装着する。
既に外部デバイス410が装着されている場合はこのシーケンスを省略できる。
7.通信端末420は外部デバイス400から、認証されたS−PWDに関連するD−PWDを探す。
8.通信端末420は、発見されたD−PWDと口座番号などをWebサイト440(ホストシステム450)に送る。
9.Webサイト440は、ホストシステム450の保持する顧客テーブルを参照して、送られた口座番号とD−PWDからユーザの認証を行う。D−PWDによりユーザ認証がされた場合、その旨を通信端末に通知する。
この通知から次の10の終了までの間(斜線部分)において、ユーザ410は、自己の口座内において銀行サイトの提供する各種取引が可能となる
10.ユーザ410は、取引処理の終了を入力する。
11.Webサイト440は、金融取引の終了の要求を受付けると、D−PWDを変更すると同時に取引を終了し、変更されたD−PWDを通信端末に送る。
更にから10の斜線の間においてホストシステム450は、S−PWDに対応させてD−PWDを変更できる期間を柔軟に選定できる。
12.通信端末420は、ホスト450から送られたD−PWDにより、同端末に接続されている外部デバイスに記憶された古いD−PWDを更新する。ホスト450は、 D−PWD を変更し、それを外部デバイスへ更新要求を出す(11)。そして、外部デバイスでは、変更された D−PWD とS−PWD との変換テーブル610が更新される。
尚、図6は、外部メモリ400内の不揮発性メモリ600内のローカル認証テーブル610の典型例を示す。銀行Webバンキングサイト440を管理するホストシステム450は、実質的にローカル認証テーブル610を含む顧客情報を有している。
本発明のユーザ認証の2つのパスワードのシーケンスでは、D−PWD をユーザに意識させることなく変更でき、ホストシステム450及び外部デバイス400(または通信端末420)のみが管理でき、ユーザ本及び第3者の不正者からも認識されないセキュリティが高い有利な効果がある。しかも、D−PWDは取引毎に更新できるため、仮にローカルテーブル610が外部デバイス及び通信端末から複製された場合であっても、既にD−PWDが変更されている可能性が高いので、不正者のWebサイトでの認証を防げる機会が多くなる。更に、外部デバイス400が盗難にあっても不正者はS−PWDを知らなければ、D−PWDの認証が不可能である利点がある。仮に、ローカル認証テーブルが読出され、S−PWDが知られたとしても、D−PWDは暗号化されてホスト450に送られるため、暗号生成の演算回路のアルゴリズムがわからなければ、不正者は窃盗した外部デバイスにより最終認証を受けることは難しい。
上の説明では最も簡単な例を用いたが、外部デバイスは、ICカードなど記録メモリ機能を有するものであればUSBメモリに限定されず、記録メモリの機能だけでなく暗号化復号化機能を有するものも含まれる。また、外部デバイスは、携帯性の記憶装置が好ましいが、通信端末に固定的装着されていてもよい。また、ホストと通信端末間通信接続は、有線及び無線の両方を含む。更に、また、本発明の電子認証方法は、Webバンキングに限定されず、ネットワークを介するあらゆる商取引において目的サイトにおいてアクセスの可否のために電子認証が必要な場合に適用できる。
従来の金融取引の例として、個人認証の必要なインターネットバンキング、ネット株取引の場合の概略的な流れを示す。 インターネットバンキングBは、自己の口座へのアクセスを可能にするログイン画面を表示する。 インターネット取引における不正行為の例として、フィッシング詐欺の態様を示す。 本発明の一実施形態による認証方法における、物理デバイス、利用者、及び不正者の行為の関係を示す。 本発明の第1の実施態様における個人認証方法のシーケンスの例(1〜11)を示す。 ローカル認証テーブル610を記録する記録メモリ600と、S−PWDなどをシードとしてD−PWDを生成する演算回路620と、を含む外部メモリの例を示す。
符号の説明
110,410…ユーザ、120,400…外部メモリ、420…通信端末、
130,430,435…ログイン画面、
140,440,460…Webバンキングサイト、
100,470…外部ネットワーク、150,450…ホストシステム、
420…通信端末、400…外部デバイス、600… 記録メモリ,620…演算回路、

Claims (19)

  1. 電子サイト及びサイト情報テーブルを管理するホストおいて、前記電子サイトに通信可能に接続された通信端末において入力されたユーザ情報を認証する方法であって、
    前記通信端末における前記サイトの入力画面に入力された第1の情報を取得するステップと、
    前記取得した第1の情報を前記サイト情報テーブルに基づいて認証するステップと、
    前記通信端末において管理されるローカル情報テーブルから前記第1の情報に対応する第2の情報の送信を要求するステップと、
    前記第2の情報を受け取り、前記サイトにおいて取引を可能にするために前記サイト情報テーブルに基づいて第2の情報を認証するステップと、
    前記第2の情報を認証した後の前記サイトでの取引可能期間において、前記第2の情報を変更して前記ホスト情報テーブルを更新するステップと、
    前記ローカル情報テーブルの第2の情報を更新するために、前記変更された第2の情報を前記通信端末に送信するステップと、
    を備える電子認証方法。
  2. 前記第2の情報を更新するステップは、前記第2情報認証による取引可能の開始、および、ユーザからの取引終了通知、少なくともいずれか一方を応答して、前記第2の情報を変更することを特徴とする請求項1記載の方法。
  3. 前記第1の情報は、特定のユーザに割当てられることを特徴とする請求項2記載の方法。
  4. 前記第1の情報は、口座番号とその口座の静的パスワードであることを特徴とする請求項3記載の方法。
  5. 前記第2の情報は、特定のユーザに前記第1の情報に対応して割当てられ該ユーザの通信端末の管理するローカル情報テーブルに記憶されることを特徴とする請求項3または4記載の方法
  6. 前記第2の情報は、前記ユーザが認識することのない動的なパスワードとして機能することを特徴とする請求項5記載の方法。
  7. 前記通信端末は、前記ローカル情報テーブルを管理する手段を含むことを特徴とする請求項1〜5のいずれか1項記載の方法。
  8. 前記管理手段は、前記ローカル情報テーブルを記憶する記録部を含むことを特徴とする請求項7記載の方法。
  9. 前記管理手段は、更に前記第2の情報を生成する演算回路部を含むことを特徴とする請求項8記載の方法。
  10. 前記管理手段は、前記通信端末に着脱可能な外部デバイスであることを特徴とする請求項7または8記載の方法。
  11. 前記外部デバイスは、USBメモリ、及び、ICカードの少なくともいずれか一方である請求項10記載の方法。
  12. 前記通信端末は、PC、及び 携帯端末からの少なくともいずれか一方である請求項7〜11のいずれか1項記載の方法。
  13. 前記第1の情報を認証するステップは、前記通信端末おいて前記ローカル情報テーブルに基づいて認証するステップにより代替される請求項1記載の方法。
  14. ホストに通信可能に接続され、ユーザ通信端末を介して電子商取引サイトの入力画面にユーザが入力された第1の情報により認証を行なう、電子商取引サイト及びサイト情報テーブルを管理するホストによる電子認証システムであって、
    前記通信端末に通信可能に接続され、前記ホストに送信される、前記第1の情報に対応する第2の情報を保持するローカル情報テーブルを記憶する外部デバイスをユーザに提供し、
    前記ホストは、前記通信端末を介して前記サイトの入力画面にユーザにより入力された第1の情報、及び第2の情報を取得し、
    前記取得した第1及び第2の情報を前記サイト情報テーブルに基づいて認証し、
    前記第2の情報を認証した後であって前記サイトでの取引可能期間において、前記第2の情報を変更して前記ホスト情報テーブルを更新し、
    前記ローカル情報テーブルの第2の情報を更新するために、前記変更された第2の情報を前記通信端末に送信し、前記通信端末に接続された前記外部デバイスに記録された第2の情報を書換える、
    ことを特徴とする電子認証システム。
  15. 前記外部記憶デバイスは、前記通信端末に着脱可能に接続されることを特徴とする請求項14記載に電子認証システム。
  16. 前記第2の情報の更新は、前記第2情報認証による取引可能の開始からユーザからの取引終了通知の間において、前記第2の情報を変更することを特徴とする請求項15に記載のシステム。
  17. 前記第2の情報の更新は、前記第2情報認証による取引可能の開始、および、ユーザからの取引終了通知、少なくともいずれか一方を応答して、前記第2の情報を変更することを特徴とする請求項16記載のシステム。
  18. 前記外部デバイスは、USBメモリ、及び、ICカードの少なくともいずれか一方である請求項17記載のシステム。
  19. 前記通信端末は、PC、及び 携帯端末からの少なくともいずれか一方である請求項14〜18のいずれか1項記載のシステム。
JP2006074883A 2006-03-17 2006-03-17 電子認証方法及び電子認証システム Pending JP2007249805A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2006074883A JP2007249805A (ja) 2006-03-17 2006-03-17 電子認証方法及び電子認証システム
US11/685,301 US20070220007A1 (en) 2006-03-17 2007-03-13 Method and system for electronic authentication
CNA2007100881269A CN101093562A (zh) 2006-03-17 2007-03-15 电子验证方法和电子验证系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006074883A JP2007249805A (ja) 2006-03-17 2006-03-17 電子認証方法及び電子認証システム

Publications (1)

Publication Number Publication Date
JP2007249805A true JP2007249805A (ja) 2007-09-27

Family

ID=38519167

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006074883A Pending JP2007249805A (ja) 2006-03-17 2006-03-17 電子認証方法及び電子認証システム

Country Status (3)

Country Link
US (1) US20070220007A1 (ja)
JP (1) JP2007249805A (ja)
CN (1) CN101093562A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010134832A (ja) * 2008-12-08 2010-06-17 Ricoh Co Ltd 情報処理装置及びプログラム
JP2011507054A (ja) * 2007-11-19 2011-03-03 インターナショナル・ビジネス・マシーンズ・コーポレーション 電子取引を実施する方法及びシステム
JP2012517139A (ja) * 2009-02-04 2012-07-26 データ セキュリティー システムズ ソリューションズ プライヴェート リミテッド 静的パスワードシステムの2ファクタ認証になる変換
JP2015509632A (ja) * 2012-03-02 2015-03-30 テンセント テクノロジー (シェンジェン) カンパニー リミテッド ログイン方法及びログイン装置、端末並びにネットワークサーバー
JP2019139547A (ja) * 2018-02-13 2019-08-22 みずほ情報総研株式会社 サービス管理システム及びサービス管理方法
US12005237B2 (en) 2021-11-06 2024-06-11 West Pharma. Services IL, Ltd. Medicament delivery device comprising a visual indicator

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2187333A4 (en) * 2007-09-05 2011-09-07 Panasonic Corp ELECTRONIC DEVICE, PASSWORD CONTROL METHOD AND PROGRAM
US8205260B2 (en) * 2007-12-19 2012-06-19 Symantec Operating Corporation Detection of window replacement by a malicious software program
US8838803B2 (en) * 2007-12-20 2014-09-16 At&T Intellectual Property I, L.P. Methods and apparatus for management of user presence in communication activities
US8181861B2 (en) 2008-10-13 2012-05-22 Miri Systems, Llc Electronic transaction security system and method
CN101420436B (zh) * 2008-12-03 2011-10-05 腾讯科技(深圳)有限公司 网络服务系统的注册方法和注册系统
CN101673384A (zh) * 2009-08-03 2010-03-17 北京握奇数据系统有限公司 一种电子业务处理的方法及装置
BR112012007872B1 (pt) * 2009-10-05 2021-06-22 Miri Systems, Llc Método para proporcionar acesso a uma conta mantida por uma instituição, método para fornecer credenciais de login a um terminal de transação envolvendo um dispositivo móvel e método para proporcionar acesso a uma conta de um usuário identificado por identificador único
GB2513126A (en) * 2013-04-15 2014-10-22 Visa Europe Ltd Method and system for creating a unique identifier
US8886570B1 (en) * 2013-10-29 2014-11-11 Quisk, Inc. Hacker-resistant balance monitoring
RU2580032C2 (ru) * 2014-08-01 2016-04-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ определения категории доверенности приложения

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7636752B2 (en) * 1999-09-28 2009-12-22 Parlano, Inc. System and method for managing information and collaborating
US20030021417A1 (en) * 2000-10-20 2003-01-30 Ognjen Vasic Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US7487130B2 (en) * 2000-11-07 2009-02-03 Grdn. Net Solutions, Llc Consumer-controlled limited and constrained access to a centrally stored information account
US7010565B2 (en) * 2002-09-30 2006-03-07 Sampson Scott E Communication management using a token action log
US20040083296A1 (en) * 2002-10-25 2004-04-29 Metral Max E. Apparatus and method for controlling user access
WO2005003907A2 (en) * 2003-06-26 2005-01-13 Ebay Inc. Method and apparatus to authenticate and authorize user access to a system
US9191215B2 (en) * 2003-12-30 2015-11-17 Entrust, Inc. Method and apparatus for providing authentication using policy-controlled authentication articles and techniques
WO2005107137A2 (en) * 2004-04-23 2005-11-10 Passmark Security, Inc. Method and apparatus for authenticating users using two or more factors
US20060031174A1 (en) * 2004-07-20 2006-02-09 Scribocel, Inc. Method of authentication and indentification for computerized and networked systems
US7603700B2 (en) * 2004-08-31 2009-10-13 Aol Llc Authenticating a client using linked authentication credentials
US20070162961A1 (en) * 2005-02-25 2007-07-12 Kelvin Tarrance Identification authentication methods and systems
US7707626B2 (en) * 2005-06-01 2010-04-27 At&T Corp. Authentication management platform for managed security service providers
US7200576B2 (en) * 2005-06-20 2007-04-03 Microsoft Corporation Secure online transactions using a captcha image as a watermark
US20070033649A1 (en) * 2005-07-20 2007-02-08 Booleansoft Secure remote access technology
US20070101152A1 (en) * 2005-10-17 2007-05-03 Saflink Corporation Token authentication system
US7886346B2 (en) * 2006-02-13 2011-02-08 Vmware, Inc. Flexible and adjustable authentication in cyberspace

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011507054A (ja) * 2007-11-19 2011-03-03 インターナショナル・ビジネス・マシーンズ・コーポレーション 電子取引を実施する方法及びシステム
US8601256B2 (en) 2007-11-19 2013-12-03 International Business Machines Corporation System and method of performing electronic transactions with encrypted data transmission
US9313201B2 (en) 2007-11-19 2016-04-12 International Business Machines Corporation System and method of performing electronic transactions
JP2010134832A (ja) * 2008-12-08 2010-06-17 Ricoh Co Ltd 情報処理装置及びプログラム
JP2012517139A (ja) * 2009-02-04 2012-07-26 データ セキュリティー システムズ ソリューションズ プライヴェート リミテッド 静的パスワードシステムの2ファクタ認証になる変換
JP2015509632A (ja) * 2012-03-02 2015-03-30 テンセント テクノロジー (シェンジェン) カンパニー リミテッド ログイン方法及びログイン装置、端末並びにネットワークサーバー
JP2019139547A (ja) * 2018-02-13 2019-08-22 みずほ情報総研株式会社 サービス管理システム及びサービス管理方法
US12005237B2 (en) 2021-11-06 2024-06-11 West Pharma. Services IL, Ltd. Medicament delivery device comprising a visual indicator

Also Published As

Publication number Publication date
CN101093562A (zh) 2007-12-26
US20070220007A1 (en) 2007-09-20

Similar Documents

Publication Publication Date Title
JP2007249805A (ja) 電子認証方法及び電子認証システム
US8567670B2 (en) Dynamic card verification values and credit transactions
US9426134B2 (en) Method and systems for the authentication of a user
US8661520B2 (en) Systems and methods for identification and authentication of a user
US9904919B2 (en) Verification of portable consumer devices
US7548890B2 (en) Systems and methods for identification and authentication of a user
US10586229B2 (en) Anytime validation tokens
CA2937850C (en) Verification of portable consumer devices
JP5608081B2 (ja) 安全な金融取引を行うための装置および方法
US20130226813A1 (en) Cyberspace Identification Trust Authority (CITA) System and Method
US20010051924A1 (en) On-line based financial services method and system utilizing biometrically secured transactions for issuing credit
US20070170247A1 (en) Payment card authentication system and method
WO2008127431A2 (en) Systems and methods for identification and authentication of a user
JP2009505230A (ja) 2要素相互認証を実行するための方法及びシステム
KR20110081103A (ko) 보안 트랜잭션 시스템 및 방법
JP2006277715A (ja) サービス提供装置及びプログラム
US20150206147A1 (en) Dynamic Security Code
US20230196357A9 (en) Secure authentication and transaction system and method
WO2015138976A2 (en) Dynamic security code
JP2005065035A (ja) Icカードを利用した代理者認証システム
KR101079740B1 (ko) 단말기를 이용한 정보 입력 시스템 및 방법
AU2016203876B2 (en) Verification of portable consumer devices
AU2015200701A1 (en) Anytime validation for verification tokens
WO2023023824A1 (en) A method for electronic identity verification and management
GB2368168A (en) Transaction authentication

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080121

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20080131

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20080226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080304

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080403

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081021

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090206

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090310