JP2007503637A - クレデンシャルを提供する方法、システム、認証サーバ、及びゲートウェイ - Google Patents

クレデンシャルを提供する方法、システム、認証サーバ、及びゲートウェイ Download PDF

Info

Publication number
JP2007503637A
JP2007503637A JP2006524380A JP2006524380A JP2007503637A JP 2007503637 A JP2007503637 A JP 2007503637A JP 2006524380 A JP2006524380 A JP 2006524380A JP 2006524380 A JP2006524380 A JP 2006524380A JP 2007503637 A JP2007503637 A JP 2007503637A
Authority
JP
Japan
Prior art keywords
gateway
authentication server
service
user
credential
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006524380A
Other languages
English (en)
Inventor
ラフデンシブ,キッモ
エクルンド,キッモ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj filed Critical Nokia Oyj
Publication of JP2007503637A publication Critical patent/JP2007503637A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本発明は、第1のデータネットワーク1のサービス2を利用するためにクレデンシャルを出力する方法及びシステムに関する。ユーザは、第2のネットワーク6からゲートウェイ7を介して認証サーバ4へ送信するユーザ識別子を用いて第2のデータネットワーク6へログインし、そこで上記ユーザ識別子の検証を行い、ログインの成功に関する情報を上記ゲートウェイ7へ送信する。認証サーバ4と接続してクレデンシャルに関連する情報が格納され、その場合、ログイン段階で認証サーバ4からゲートウェイ7へクレデンシャルに関連する情報が送信される。ゲートウェイ7から1のデータネットワーク1のサービス部へクレデンシャルは送信される。本発明は、上記システムとゲートウェイ7とにおいて使用する認証サーバ4にも関する。

Description

本発明は、第1のデータネットワークのサービスを第2のデータネットワークから利用するためにクレデンシャル(身分証明)を出力する方法に関し、ゲートウェイを介する上記第1のデータネットワークとのデータ送信接続部が設けられ、本方法では、ユーザが、ユーザ識別子を用いて上記ゲートウェイへログインし、上記第2のデータネットワークからゲートウェイを介して認証サーバへ前記ユーザ識別子が送信される。上記認証サーバにおいて上記ユーザ識別子の検証が行われ、ログインの成功に関する情報がゲートウェイへ送信される。さらに、本発明は、システムに関する発明であり、上記システムは、ゲートウェイを用いて互いに接続された少なくとも第1のデータネットワークおよび第2のデータネットワークと、第1のデータネットワークのサービスを利用するためにクレデンシャルを出力する手段と、ユーザが、ユーザ識別子を用いることによって端末装置を利用して上記ゲートウェイへログインする手段と、上記第2のデータネットワークから上記ゲートウェイを介して認証サーバへ上記ユーザ識別子を送信する手段と、を具備するシステムであって、上記認証サーバには上記ユーザ識別子を検証する手段と、上記ゲートウェイへのログインの成功に関する情報を送信する手段とが設けられる。さらに、本発明は、システムで使用する認証サーバに関する発明であり、上記システムは、ゲートウェイを用いて互いに接続された少なくとも第1のデータネットワークおよび第2のデータネットワークと、上記第1のデータネットワークのサービスを利用するためにクレデンシャルを出力する手段と、ユーザがユーザ識別子を用いることによって端末装置を利用して上記ゲートウェイへのログインを行う手段と、上記第2のデータネットワークから上記ゲートウェイを介して上記認証サーバへ上記ユーザ識別子を送信する手段と、を具備し、上記認証サーバには、上記ユーザ識別子を検証する手段と、上記ゲートウェイへのログインの成功時に情報を送信する手段とが設けられる。さらに、本発明は、システムで使用するゲートウェイに関する発明であり、上記システムは、前記ゲートウェイを用いて互いに接続された少なくとも第1のデータネットワークおよび第2のデータネットワークと、上記第1のデータネットワークのサービスを利用するためにクレデンシャルを出力する手段と、上記ユーザがユーザ識別子を用いることによって端末装置を利用して上記ゲートウェイへログインする手段と、上記第2のデータネットワークから上記ゲートウェイを介して認証サーバへ上記ユーザ識別子を送信する手段とを具備し、上記認証サーバには、上記ユーザ識別子を検証する手段と、上記ゲートウェイへのログインの成功に関する情報を送信する手段とが設けられる。
ユーザは、例えばインターネット網を介して何らかのローカルエリアネットワークと接続し、ローカルエリアネットワークのサービスの利用を図ることが可能である。ローカルエリアネットワークとは、例えば企業や他のコミュニティなどのデータネットワークであり、場合に応じてイントラネットとも呼ばれているものである。図1は、このタイプのシステムの一例を示す図であり、このシステムには、遠隔サーバ3で組み立てられた1以上のサービス2を有する少なくとも1つのローカルエリアネットワーク1が含まれている。ローカルエリアネットワーク1にはユーザ認証を行う認証サーバ4がある。ユーザは自分の端末装置5を用いてインターネットのような第2のデータネットワーク6を介してローカルエリアネットワークへログインする。ローカルエリアネットワーク1はゲートウェイ7によって第2のデータネットワーク6と接続されている。このゲートウェイの両端には、部外者がローカルエリアネットワーク1へアクセスするのを防止する手段であるファイアウォール(防火壁)8.1、8.2が好適に設けられている。ゲートウェイ7の実施構成は別のアプリケーションで変更することも可能である。ゲートウェイ7の目的として、ローカルエリアネットワーク1と第2のデータネットワーク6との間での、並びに、本発明に準拠するシステムでのデータ送信時における作動、並びに、何らかのサービス2を利用するためにユーザがシステムへログインする際のログイン手段としての機能が挙げられる。
ユーザがローカルエリアネットワークの何らかのサービス2の利用を望むとき、その操作は例えば以下のようなものとなる。ユーザは第2のデータネットワーク6を用いて端末装置5に接続し、ローカルエリアネットワークの認証サーバ4のアドレスを宛先アドレスとして指定する。この後、端末装置5と認証サーバ4とはユーザ認証を行うために互いに通信を行う。認証段階で、ユーザは一般にユーザ識別子とパスワードとをタイプ・インする必要があり、このユーザ識別子とパスワードとに基づいてユーザは認証サーバ4で特定され、ユーザがローカルエリアネットワーク1を利用するためにログインする権利を得ることが保証される。
認証プロトコルは、例えばRADIUS(ユーザサービスにおける遠隔認証ダイアル)、LDAP(軽量ディレクトリアクセスプロトコル)あるいは認証を行うための何らかの別の適切なプロトコルとすることができる。
ユーザが認証を受けて、ローカルエリアネットワーク1を利用するユーザの権利が確認された後、ユーザは所望のサービス2の利用を開始できることになる。しかし、サービスの利用は、通常ユーザが当該サービスのクレデンシャルの入力を行うことを前提条件としている。サービスがインストールされているサーバは、このクレデンシャルに基づいてユーザを特定し、サービスを利用できるユーザの権利を検証できるようになっている。これらのクレデンシャルは通常、ローカルエリアネットワークへログインするのにユーザが使用するクレデンシャルと同じものではない。したがって、ユーザは、一般に、個々のサービスに対して自分のクレデンシャルを別個に設ける必要があり、これは不便な操作となる。さらに、ユーザ識別子とパスワードのようないくつかのクレデンシャルを記憶することは困難な場合があり、クレデンシャルの記録が必要となる場合もある。
データネットワーク6やゲートウェイ7内での非暗号化形式でのクレデンシャルの格納はセキュリティ上安全ではない。というのは、通常、部外者はゲートウェイ7のみならず第2のデータネットワーク6にもアクセスすることが可能であり、その場合、ローカルエリアネットワーク1やそのサービス2を利用する権利のない何者かがクレデンシャルを知ることになる可能性があるからである。
セキュリティ上安全なクレデンシャルの格納方法を提供し、ローカルエリアネットワークのサービスを利用するユーザのためにクレデンシャルを出力することが本発明の目的である。本発明は、ユーザの認証時に、クレデンシャルに関連する情報をユーザの端末装置へ送信し、その場合、ローカルエリアネットワークのサービスを利用するためにユーザが移動するとき、この送信情報を利用してクレデンシャルの判定を行うという着想に基づくものである。この情報に基づいて、当該サービス用のユーザのクレデンシャルが判定され、これらのクレデンシャルは上記サービスへ送信され、この情報に基づいて、上記サービスを利用するユーザの権利の検証が可能となる。クレデンシャルを判定するために送信された情報は、クレデンシャルまたは1以上の暗号化キーを含むことが可能であり、この暗号化キーを用いておそらく暗号化形式のクレデンシャルの解読が可能となる。さらに正確に述べれば、本発明に準拠する方法は、認証サーバと接続してクレデンシャルに関連する情報の格納を行い、その場合、ログイン中に認証サーバからゲートウェイへクレデンシャルに関連する情報を送信し、次いで、ゲートウェイから第1のデータネットワークの前記サービス部へクレデンシャルを送信することを主たる特徴とするものである。本発明に準拠するシステムは、認証サーバと接続してクレデンシャルに関連する情報を格納し、その場合、上記システムが、ゲートウェイへのログインに関連してクレデンシャルに関連する情報を認証サーバから送信する手段を具備すること、並びに、上記システムが、第1のデータネットワークにおいてゲートウェイから前記サービス部へクレデンシャルを送信する手段を具備することを主たる特徴とするものである。本発明による認証サーバは、クレデンシャルに関連する情報を認証サーバと接続して格納し、その場合、上記認証サーバは、ゲートウェイへのログインに関連してクレデンシャルに関連する情報を送信する手段を具備することを主たる特徴とするものである。本発明によるゲートウェイは、クレデンシャルに関連する情報を認証サーバと接続して格納し、その場合、上記ゲートウェイは、ログインに関連してクレデンシャルに関連する情報を認証サーバから受け取る手段と、ログインに関連して第1のデータネットワークの前記サービス部へクレデンシャルに関連する情報を送信する手段とを具備することを主たる特徴とするものである。
本発明は従来技術によるソリューションよりも優れた顕著な利点を示すものである。本発明に準拠するシステムでは、ローカルエリアネットワークでの各種サービス用ユーザクレデンシャルを1つのユーザ識別子によって利用することが可能となる。したがって、ユーザはサービス専用クレデンシャルを個々に入力する必要がなくなり、1つのユーザ識別子の入力で十分となる。これによって、異なるクレデンシャルを記憶する必要が少なくなるのみならず、ローカルエリアネットワークのサービスの利用開始がスピードアップされることになる。また、クレデンシャルが部外者に曝されるリスクも少なくなる。というのは、ユーザがいくつかのクレデンシャルを格納したり、記録したりする必要がなくなるからである。
以下、添付図面を参照しながら本発明についてさらに詳細に説明する。
以下、本発明の第1の好適な実施形態に準拠する方法およびシステムについての説明において図2aに従うシステム9を発明を限定するものではない例として使用することにする。このシステムはローカルエリアネットワーク1を備え、少なくとも1つのサービス2がこのローカルエリアネットワーク1に対して構成され、ローカルエリアネットワーク1の外側から例えばデータネットワーク6を介してこのサービス2を利用することが可能となる。ローカルエリアネットワーク1は、データネットワーク6へつながるデータ送信接続部において好適にはゲートウェイ7により接続される。このゲートウェイは、好適には少なくともデータ処理手段7.1と、データ送信手段7.2(I/O、入出力)並びにメモリ7.3を備えることが望ましい。上記ゲートウェイ7の両端に、周知のような態様でファイアウォール8.1、8.2等を設けることが望ましい。さらに、データネットワーク6は移動通信ネットワークのような無線データ送信ネットワーク10と接続される。したがって、無線端末装置11によってローカルエリアネットワーク1との接続を形成することが可能となる。ローカルエリアネットワーク1には認証サーバ4が設けられ、この認証サーバ4によって、ローカルエリアネットワーク1へログインする端末装置5、11のユーザ認証を行うことが可能となる。好適には、少なくともデータ処理手段4.1、データ送信手段4.2(I/O、入出力)並びに、例えばユーザデータを含むデータベースを格納するメモリ4.3を認証サーバに設けることが望ましい。ローカルエリアネットワーク1で実施されるサービス2は例えば遠隔サーバ3と接続して構成される。しかし、認証サーバ4と遠隔サーバ3とが別々の装置である必要はなく、これら認証サーバ4と遠隔サーバ3とを1つのサーバ装置内に実装することも可能であることは明らかである。
本発明に準拠するログインを適用できる関連サービス2のいくつかの非限定例として、電子メール、ローカルエリアネットワーク1にインストールされたアプリケーションプログラム、支払い用アプリケーション、ローカルエリアネットワークの遠隔制御用アプリケーション、カレンダなどを挙げることができる。
以下、ユーザが無線端末装置11を用いてローカルエリアネットワーク1のサービス2を利用する意図を有しているものと仮定する。したがって、無線端末装置11は、必要な場合、無線データ送信ネットワーク10へログインして、無線データ送信ネットワーク10と無線端末装置11間のデータ送信接続を起動させることになる。データ送信接続は好適には、パケット接続のようないわゆるコネクションレス形接続であることが望ましく、その場合、データ送信接続はアクティブな接続継続時間全体の間無線データ送信ネットワークのリソースを予約せず、主として、データ送信接続を介してデータを送信するときにのみ、リソースの予約を行う。このようなコネクションレス形接続の1例としてパケット接続があり、その場合、データは必要な場合にのみパケットの形で送信される。例えば、GSM移動通信システムでは、GPRSサービス(一般パケット無線サービス)が実装され、その場合、パケット形データ送信が適用される。しかし、接続は音声接続のような、いわゆる接続指向型接続になる場合もあり、その場合、データ送信接続のアクティブな時間全体の間ずっと接続用リソースが予約される。
セキュリティ上安全なトンネルが移動電話とゲートウェイサーバとの間に形成され、このトンネルによって移動電話とゲートウェイサーバ間のすべてのトラフィックの暗号化が行われる。ユーザはゲートウェイサーバへのログインによってトンネルセッションを開くことになる。本発明によって、トンネルが開かれた後、ユーザは、トンネルの中を通る全てのサービスを1つのログインを用いて思い通りに処理することが可能となる。したがって、1つのログインを用いてセッションの開始が可能となり、このセッションの間、ゲートウェイサーバは、セッション中に利用されるサービスが遠隔サーバに対して要求するすべてのクレデンシャルを送信することになる。
無線端末装置用のデータ送信接続を起動した後、ユーザは、例えば、このブラウジングを目的として設計されたウェブブラウザを用いてデータネットワークのブラウズ(閲覧)を開始することが可能となる。このプログラムによってユーザは、システムに対してそのローカルエリアネットワークのアドレスあるいはローカルエリアネットワークの別の或る識別子を通知し、このアドレスあるいは識別子に基づいてシステムはローカルエリアネットワーク1へのログインを実行する。図2bは、本方法に関連して利用するサービスの利用を開始するためのメッセージ処理の簡略図を示す図である。この時点で、データは認証サーバ4またはローカルエリアネットワーク1と無線端末装置11との間でゲートウェイ7を介して送信される。無線端末装置11のユーザ用としてログインウィンドウ等が好適に提示され、そこでユーザは自分のユーザ識別子の提示を求められる。このユーザ識別子には、典型的にはユーザIDとパスワードとが含まれる。ユーザが無線端末装置へこのデータを入力すると、ユーザ識別子はデータ送信接続部を介してゲートウェイ7へ送信される(図2bのチャートの矢印201)。ゲートウェイ7から、上記データは認証メッセージ等としてさらに認証サーバ4へ送信される(矢印202)。ゲートウェイ7と認証サーバ4間でのデータ送信時に、上記目的に適したRADIUSまたはLDAPのような何らかのプロトコルが用いられ、その場合、使用しているプロトコルに従う1以上のメッセージとして上記ユーザ識別子が送信される。認証サーバ4では、単数または複数のメッセージが受信され、メッセージの中に含まれる情報がチェックされる(ブロック203)。認証サーバ4は、例えば、当該ユーザ識別子に対応するデータレコードが存在するかどうかのチェックを認証サーバ4のユーザデータベース4.3から行う。このようなレコードが発見された場合、当該ユーザがどのようなサービス2を利用できる権利を有するかなどのようなユーザ識別子用として予約されたアクセス権のチェックが必要に応じて行われることになる。この好適な実施形態では、ユーザが利用権を有するサービス2用のユーザクレデンシャルも同様に認証サーバのデータベース4.3に格納されることになる。したがって、認証サーバ4は、ユーザの認証並びに前記クレデンシャルに関する情報をゲートウェイ7へ送信することになる(矢印204)。その場合、前記クレデンシャルは、好適にはデータ送信接続がアクティブな継続時間の間サービスを利用するためにメモリ7.3(図2a)に格納される(ブロック205)。ゲートウェイ7はユーザの認証データに基づいて認証サーバ4が当該ユーザを認証したかどうかについて結論を下す。
認証が適切に行われた場合、ゲートウェイ7はその旨を示すメッセージを無線端末装置11へ送信する(矢印206)。この後、無線端末装置11においてサービスの利用を開始することが可能となり、その場合、サービスログインメッセージ等が無線端末装置11からゲートウェイ7へ送信(矢印207)される。このメッセージには利用を意図するサービスに関する情報が含まれている。ゲートウェイ7はこのサービスをチェックし、その格納されたクレデンシャルから開始されるサービス用の当該ユーザのクレデンシャルを探索する(ブロック208)。これらのクレデンシャルには、例えばユーザのサービス専用ユーザ識別子とパスワードとが含まれる。当該ユーザのクレデンシャルがゲートウェイのメモリ7.3に配置されているとき、ゲートウェイは、利用するサービスが配置されている当該遠隔サーバへサービスログインメッセージを送信する(矢印209)。ユーザのクレデンシャルはログインメッセージで送信される。遠隔サーバ3のサービス2は、ログインメッセージを受け取り、クレデンシャルが正しいものであることを検証する(ブロック210)。この後、遠隔サーバ3は上記サービスに従って情報をゲートウェイ7へ送信し(矢印211)、ゲートウェイ7は、ユーザへ提示されることになる上記情報を無線端末装置11へ更に送信する(矢印212)。これでサービスの利用が可能となる。上記サービスの利用に関連してデータ送信がゲートウェイ7を介して無線端末装置11と遠隔サーバ3との間で行われる。ユーザはクレデンシャルの入力を行う必要がない。本発明は上記のようなシステムに適したものであり、特に認証データの送信が、端末装置によって行われるのではなく、如上の例では、認証サーバ4と交信するゲートウェイ7であるシステムのある別の一部によって実行される。
ここで、ログインに関連してユーザが行う以外の違った形でユーザ専用クレデンシャルに対するアクセスがデータベースで行われないように、認証サーバ4のデータベース4.3が好適に実装されることを述べておくべきであろう。このようにして、少なくともクレデンシャルは暗号化形式で格納されることになり、ユーザIDとパスワードのような正しいユーザ識別子が入力された後でしかその解読は不可能である。しかし、ユーザ専用ユーザ識別子は認証サーバ4と接続して格納され、この格納によって、ログインを試みているユーザがシステムを利用する資格のあるユーザであり、ユーザ識別子が正しく入力されたものであることが認証サーバによって検証される。
図3aは本発明の第2の好適な実施形態に準拠するシステムを簡略図として示し、図3bは本発明の第2の好適な実施形態による方法で行われるメッセージ処理を簡略に示す図である。本発明の第2の好適な実施形態に準拠する本システムおよび方法は主として本発明の第1の好適な実施形態に準拠するものである。最も本質的な相違点として、この第2の実施形態では、クレデンシャルを認証サーバ4と接続して格納せず、ゲートウェイ7と接続して格納するという点が挙げられる。クレデンシャルは暗号化形式で格納され、解読時に使用するキーは認証サーバ4と接続して格納される。
さらに、本方法の諸段階について簡単に説明する。ユーザは、そのローカルエリアネットワークのアドレスあるいはローカルエリアネットワークの別の或る識別子をシステムに通知し、このアドレスあるいは識別子に基づいてシステムはローカルエリアネットワーク1へのログインを実行する。無線端末装置11のユーザのために、ログインウィンドウ等が好適に示され、そこでユーザは自分のユーザ識別子の提示を求められる。このユーザ識別子には、典型的にはユーザIDとパスワードとが含まれる。ユーザが無線端末装置へこのデータを入力すると、データ送信接続部を介してゲートウェイ7へユーザ識別子が送信される(図3bのチャートの矢印301)。ゲートウェイ7から認証サーバ4へ、上記データは認証メッセージ等として更に送信される(矢印302)。RADIUSやLDAPのような上記目的に適したプロトコルが、ゲートウェイ7と認証サーバ4間でのデータ送信時に用いられ、その場合、使用しているプロトコルに従う1以上のメッセージとして上記ユーザ識別子が送信される。認証サーバ4では、単数または複数のメッセージが受信され、メッセージの中に含まれる情報がチェックされる(ブロック303)。認証サーバ4は、例えば、当該ユーザ識別子に対応するデータレコードが存在するかどうかのチェックを認証サーバ4のユーザデータベース4.3から行う。このようなレコードが発見された場合、当該ユーザがどのようなサービス2を利用できる権利を有するかのような、ユーザ識別子用として予約されたアクセス権のチェックが必要に応じて行われることになる。この好適な実施形態では、ユーザが利用権を有するサービス2用のユーザクレデンシャルの解読時に使用する暗号化キーも、認証サーバのデータベース4.3に格納されることになる。暗号化キーは異なるサービスに対して同じであることが望ましいが、暗号化キーを設けられるように本発明を適用することも可能であり、その場合、当該サービスのクレデンシャルの解読に適した暗号化キーがクレデンシャルの解読時に用いられる。したがって、認証サーバ4はユーザの認証に関する情報並びに単数または複数暗号化キーをゲートウェイ7へ送信し(矢印304)、その場合、好適にはデータ送信接続のアクティブな継続時間の間サービスを利用するメモリ7.3(図3a)にこれらの複数暗号化キーが格納されることになる(ブロック305)。ユーザの認証データに基づいて、ゲートウェイ7は、認証サーバ4が当該ユーザを認証したかどうかについて結論を下す。
認証が適切に行われた場合、ゲートウェイ7はその旨を示すメッセージを無線端末装置11へ送信する(矢印306)。この後、無線端末装置11でサービスの利用を開始することが可能となり、その場合、サービスログインメッセージ等は無線端末装置11からゲートウェイ7へ送信(矢印307)される。このメッセージには利用を意図するサービスに関する情報が含まれている。ゲートウェイ7はこのサービスをチェックし、その格納されたクレデンシャルから開始されるサービス用の当該ユーザのクレデンシャル並びにサービスに対応する暗号化キーを探索し、その後ゲートウェイはクレデンシャルの解読を実行する(ブロック308)。当該ユーザのクレデンシャルがゲートウェイのメモリ7.3に配置され、クレデンシャルの解読時にゲートウェイは、利用するサービスが配置されている当該遠隔サーバへサービスログインメッセージを送信する(矢印309)。ユーザのクレデンシャルはログインメッセージで送信される。遠隔サーバ3のサービス2は、このログインメッセージを受け取り、クレデンシャルが正しいものであることを検証する(ブロック310)。この後、遠隔サーバ3は上記サービスに従って情報をゲートウェイ7へ送信し(矢印311)、ゲートウェイ7は、ユーザへ提示されることになる上記情報を無線端末装置11へ更に送信する(矢印312)。これでサービスの利用が可能となる。
本発明の上述の第2の好適な実施形態によって、ゲートウェイ7と関連する場合のような、セキュリティ上それほど安全ではない或る場所の中へクレデンシャルを格納することが可能となる。しかし、実際問題として、解読用の適用可能なキーなしで、これらのクレデンシャルを非暗号化形式に簡単に適合させることはできない。本発明に照らして考えると、どのようなタイプの暗号化方式を用いているかは本発明に関しては重要な意味を持つことではない。しかし、使用する暗号化方式は、解読用キーがなければ、ほとんどの場合解読の難しさを非常に大きくするのに影響を与えることになる。公知の暗号化方式は、暗号化と解読の双方を行うために同じ暗号化キーを用いる左右対称暗号化方式か、暗号化方式で使用する暗号化キーが解読時に使用するキーと同じキーではない(PKI、公開鍵インフラストラクチャなどの)非対称暗号化方式かのいずれかの方式に基づくものである。
本発明は、システムの装置の著しい変更を伴うことなく現行のシステムで適用することが可能である。主としてゲートウェイ7および認証サーバ4において既存装置のソフトウェアの形で本発明による方法段階を実現することが可能である。
認証サーバ4は必ずしもローカルエリアネットワーク1に配置する必要はなく、何らかの別のサーバを認証サーバ4として利用することも同様に可能であり、ユーザのログイン時に必要なデータをゲートウェイ7と認証サーバ4間で送信するために、この別のサーバからゲートウェイ7へのデータ送信接続部を設けることが可能である。
本発明は前述の実施形態に限定されるものではなく、添付の請求項の範囲内で変更が可能である。
ローカルエリアネットワークでユーザが利用できるサービスを実現するデータシステムを示す。 本発明の第1の好適な実施形態に準拠するシステムを簡略図で示す。 本発明の第1の好適な実施形態による方法で行われるメッセージ処理を簡略図で示す。 本発明の第2の好適な実施形態に準拠するシステムを簡略図で示す。 本発明の第2の好適な実施形態による方法で行われるメッセージ処理を簡略図で示す。

Claims (15)

  1. 第1のデータネットワーク(1)のサービス(2)を第2のデータネットワーク(6)から利用するためにクレデンシャルを出力する方法であって、ゲートウェイ(7)を介する前記第1のデータネットワーク(1)とのデータ送信接続部が設けられ、ユーザが、ユーザ識別子を用いて前記ゲートウェイ(7)へログインし、前記第2のデータネットワーク(6)からゲートウェイ(7)を介して認証サーバ(4)へ前記ユーザ識別子を送信し、該認証サーバ(4)において前記ユーザ識別子の検証を行い、ログインの成功に関する情報を前記ゲートウェイ(7)へ送信する方法において、前記認証サーバ(4)と接続して前記クレデンシャルに関連する情報を格納し、その場合、ログイン中に前記認証サーバ(4)から前記ゲートウェイ(7)へ前記クレデンシャルに関連する情報を送信し、次いで、前記ゲートウェイ(7)から前記第1のデータネットワーク(1)の前記サービス部へ前記クレデンシャルを送信することを特徴とする方法。
  2. 前記認証サーバ(4)と接続して前記ユーザのサービス専用クレデンシャルを格納し、その場合、認証段階で、前記認証サーバ(4)から前記ゲートウェイ(7)へ前記クレデンシャルを送信し、次いで、前記ゲートウェイ(7)から前記第1のデータネットワーク(1)の前記サービス(2)へ前記サービス(2)に関連する前記クレデンシャルを送信することを特徴とする請求項1に記載の方法。
  3. 前記ユーザの前記サービス専用クレデンシャルを暗号化キーを用いて暗号化し、前記暗号化キーと共に格納された前記サービス専用クレデンシャルを前記ゲートウェイ(7)に格納し、前記認証サーバ(4)と接続してサービス専用情報の少なくとも1つの暗号化キーを格納し、その場合、前記ログイン段階で前記認証サーバ(4)から前記ゲートウェイ(7)へ前記暗号化キーを送信し、前記ゲートウェイ(7)において前記解読キーを用いて前記サービス(2)に関連する前記クレデンシャルを解読し、前記ゲートウェイ(7)から前記第1のデータネットワーク(1)の前記サービス(2)へ前記サービス(2)に関連する前記クレデンシャルを送信することを特徴とする請求項1に記載の方法。
  4. 同じユーザのすべてのサービスの前記クレデンシャルを暗号化する際に同じ暗号化キーを用いることを特徴とする請求項3に記載の方法。
  5. 前記ゲートウェイ(7)へのログインを行い、その場合、前記クレデンシャルに関連する情報を前記認証サーバ(4)から得る前に、前記ユーザ識別子のチェックを行うことを特徴とする請求項1乃至4のいずれかに記載の方法。
  6. 前記認証サーバ(4)と接続して前記クレデンシャルに関連する情報を格納し、ユーザ識別子を用いて該情報を保護し、その場合、クレデンシャルの設定時に前記ユーザ識別子を用いることを特徴とする請求項1乃至5のいずれかに記載の方法。
  7. 前記ゲートウェイ(7)と前記認証サーバ(4)間で前記データを送信する際、次のプロトコルRADIUS/LDAPのうちの少なくとも一方のプロトコルを用いることを特徴とする請求項1乃至6のいずれかに記載の方法。
  8. システムであって、ゲートウェイ(7)を用いて互いに接続された少なくとも第1のデータネットワーク(1)および第2のデータネットワーク(6)と、第1のデータネットワークのサービス(2)を利用するためにクレデンシャルを出力する手段(4、7)と、ユーザが、ユーザ識別子を用いることによって端末装置(5、11)を利用して前記ゲートウェイ(7)へログインする手段と、前記第2のデータネットワーク(6)から前記ゲートウェイ(7)を介して認証サーバ(4)へ前記ユーザ識別子を送信する手段とを具備するシステムであって、前記認証サーバ(4)に前記ユーザ識別子を検証する手段と、前記ゲートウェイ(7)へのログインの成功に関する情報を送信する手段(4.2)とが設けられるシステムにおいて、前記認証サーバ(4)と接続して前記クレデンシャルに関連する情報を格納し、その場合、ログインに関連して前記認証サーバ(4)から前記ゲートウェイ(7)へ前記クレデンシャルに関連する情報を送信する手段(4.2、7.2)と、を具備し、前記ゲートウェイ(7)から前記第1のデータネットワーク(1)の前記サービス(2)へ前記クレデンシャルを送信する手段(7.2)を具備することを特徴とするシステム。
  9. 前記認証サーバ(4)と接続して前記ユーザの前記サービス専用クレデンシャルを格納するシステムであって、その場合、ログインに関連して前記クレデンシャルを前記認証サーバ(4)から前記ゲートウェイ(7)へ送信する手段(4.2、7.2)と、前記ゲートウェイ(7)から前記第1のデータネットワーク(1)の前記サービス(2)へ前記サービス(2)に関連する前記クレデンシャルを送信する手段(7.2)と、を具備することを特徴とする請求項8に記載のシステム。
  10. 前記ユーザの前記サービス専用クレデンシャルを暗号化キーを用いて暗号化し、前記暗号化キーと共に格納された前記サービス専用クレデンシャルを前記ゲートウェイ(7)に格納し、前記認証サーバ(4)と接続してサービス専用情報の少なくとも1つの解読キーを格納し、前記認証サーバ(4)から前記ゲートウェイ(7)へログインに関連する前記解読キーを送信する手段(4.2、7.2)と、前記ゲートウェイ(7)において前記サービス(2)に関連する前記クレデンシャルを前記解読キーを用いて解読する手段(7.1)と、前記ゲートウェイ(7)から前記第1のデータネットワーク(1)の前記サービス(2)へ前記サービス(2)に関連する前記クレデンシャルを送信する手段(7.2)と、を具備することを特徴とするシステム請求項8に記載のシステム。
  11. システムで使用する認証サーバ(4)であって、該システムが、ゲートウェイ(7)を用いて互いに接続された少なくとも第1のデータネットワーク(1)および第2のデータネットワーク(6)と、前記第1のデータネットワークのサービス(2)を利用するためにクレデンシャルを出力する手段(4、7)と、ユーザがユーザ識別子を用いることによって端末装置(5、11)を利用して前記ゲートウェイ(7)へのログインを行う手段と、前記第2のデータネットワーク(6)から前記ゲートウェイ(7)を介して認証サーバ(4)へ前記ユーザ識別子を送信する手段と、を具備する認証サーバ(4)において、前記ユーザ識別子を検証する手段と、前記ゲートウェイ(7)へのログインの成功に関する情報を送信する手段(4.2)とが設けられ、前記認証サーバ(4)と接続して前記クレデンシャルに関連する情報が格納され、その場合、ゲートウェイ(7)へのログインに関連して前記クレデンシャルに関連する情報を送信する手段(4.2)を具備することを特徴とする認証サーバ(4)。
  12. 前記認証サーバ(4)と接続して前記ユーザのサービス専用クレデンシャルを格納し、その場合、ログインに関連して、前記認証サーバ(4)から前記ゲートウェイ(7)へ前記クレデンシャルを送信するように構成されることを特徴とする請求項11に記載の認証サーバ(4)。
  13. 前記ユーザのサービス専用クレデンシャルを暗号化キーを用いて暗号化し、前記ゲートウェイ(7)と接続して該クレデンシャルを格納し、その場合、前記ユーザの前記サービス部専用クレデンシャルを解読する際に使用する解読キーを前記認証サーバ(4)と接続して格納し、その場合、ログインに関連して、前記認証サーバ(4)から前記ゲートウェイ(7)へ前記解読キーを送信するように構成されることを特徴とする請求項11に記載の認証サーバ(4)。
  14. システムで使用するゲートウェイ(7)であり、該システムが、前記ゲートウェイ(7)を用いて互いに接続された少なくとも第1のデータネットワーク(1)および第2のデータネットワーク(6)と、前記第1のデータネットワークのサービス(2)を利用するためにクレデンシャルを出力する手段(4、7)と、前記ユーザがユーザ識別子を用いることによって端末装置(5、11)を利用して前記ゲートウェイ(7)へログインする手段と、前記第2のデータネットワーク(6)から前記ゲートウェイ(7)を介して認証サーバ(4)へ前記ユーザ識別子を送信する手段とを具備するゲートウェイ(7)であって、該認証サーバ(4)には、前記ユーザ識別子を検証する手段と、前記ゲートウェイ(7)へのログインの成功に関する情報を送信する手段(4.2)とが設けられたゲートウェイ(7)において、前記認証サーバ(4)と接続して前記クレデンシャルに関連する情報を格納し、その場合、ログインに関連して前記クレデンシャルに関連する情報を前記認証サーバ(4)から受け取る手段(7.2)と、ログインに関連して前記第1のデータネットワーク(1)の前記サービス(2)へ前記クレデンシャルに関連する情報を送信する手段(7.2)とを具備することを特徴とするゲートウェイ(7)。
  15. 暗号化キーを用いて前記ユーザの前記サービス部専用クレデンシャルを暗号化し、前記ゲートウェイ(7)と接続して該クレデンシャルを格納し、次いで、前記ゲートウェイ(7)が、前記認証サーバ(4)と接続して格納された、前記ユーザの前記サービス部専用クレデンシャルを解読する際に使用する前記解読キーを受け取る手段(7.2)と、前記解読キーを用いて前記ユーザの前記サービス部専用クレデンシャルを解読する手段(7.1)とを具備することを特徴とする請求項14に記載のゲートウェイ(7)。
JP2006524380A 2003-08-27 2004-08-26 クレデンシャルを提供する方法、システム、認証サーバ、及びゲートウェイ Pending JP2007503637A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20035139A FI120021B (fi) 2003-08-27 2003-08-27 Valtuustiedon hankkiminen
PCT/FI2004/050119 WO2005022821A1 (en) 2003-08-27 2004-08-26 Providing credentials

Publications (1)

Publication Number Publication Date
JP2007503637A true JP2007503637A (ja) 2007-02-22

Family

ID=27839082

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006524380A Pending JP2007503637A (ja) 2003-08-27 2004-08-26 クレデンシャルを提供する方法、システム、認証サーバ、及びゲートウェイ

Country Status (6)

Country Link
US (1) US20050081066A1 (ja)
EP (1) EP1661299A1 (ja)
JP (1) JP2007503637A (ja)
CN (1) CN1842993B (ja)
FI (1) FI120021B (ja)
WO (1) WO2005022821A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011505735A (ja) * 2007-11-26 2011-02-24 チエッセピ−インノヴァツィオーネ・ネッレ・イチティ・ソシエタ・コーオペラティヴァ・ア・レスポンサビリタ・リミタータ 異なる組織に属する複数のユーザのためのクレデンシャルの複製を行わない認証方法
JP2016526201A (ja) * 2013-05-03 2016-09-01 サイトリックス システムズ,インコーポレイテッド 企業システムにおけるユーザおよびデバイスの認証

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7590685B2 (en) * 2004-04-07 2009-09-15 Salesforce.Com Inc. Techniques for providing interoperability as a service
US9645712B2 (en) 2004-10-01 2017-05-09 Grand Central Communications, Inc. Multiple stakeholders for a single business process
US7721328B2 (en) * 2004-10-01 2010-05-18 Salesforce.Com Inc. Application identity design
JP2006148661A (ja) * 2004-11-22 2006-06-08 Toshiba Corp 情報端末遠隔操作システム、そのリモートアクセス端末、そのゲートウェイサーバ、その情報端末制御装置、情報端末装置、およびその遠隔操作方法
US8543814B2 (en) * 2005-01-12 2013-09-24 Rpx Corporation Method and apparatus for using generic authentication architecture procedures in personal computers
US20060235804A1 (en) * 2005-04-18 2006-10-19 Sharp Kabushiki Kaisha Service providing system, service using device, service proving device, service relaying device, method for performing authentication, authentication program, and recording medium thereof
JP4709583B2 (ja) * 2005-05-31 2011-06-22 株式会社東芝 データ送信装置およびデータ送信方法
DE502005005624D1 (de) * 2005-07-09 2008-11-20 Ads Tec Gmbh Schutzsystem für eine Datenverarbeitungsanlage
GB0610113D0 (en) * 2006-05-20 2006-06-28 Ibm Method and system for the storage of authentication credentials
US8468359B2 (en) * 2006-06-30 2013-06-18 Novell, Inc. Credentials for blinded intended audiences
US8813200B2 (en) * 2007-12-21 2014-08-19 Oracle International Corporation Online password management
CA2677113A1 (en) * 2009-08-25 2011-02-25 01 Communique Laboratory Inc. System and method for remotely accessing and controlling a networked computer
US8452957B2 (en) * 2010-04-27 2013-05-28 Telefonaktiebolaget L M Ericsson (Publ) Method and nodes for providing secure access to cloud computing for mobile users
US8650657B1 (en) 2010-05-18 2014-02-11 Google Inc. Storing encrypted objects
US20120317184A1 (en) * 2011-06-07 2012-12-13 Syed Mohammad Amir Husain Zero Client Device With Integrated Global Position System Capability
EP2736213B1 (en) * 2012-11-21 2015-10-21 Mitsubishi Electric R&D Centre Europe B.V. Method and system for authenticating at least one terminal requesting access to at least one resource
CN103916849B (zh) * 2012-12-31 2018-08-24 上海诺基亚贝尔股份有限公司 用于无线局域网通信的方法和设备
US10104084B2 (en) * 2015-07-30 2018-10-16 Cisco Technology, Inc. Token scope reduction
CN106714127A (zh) * 2015-08-06 2017-05-24 中兴通讯股份有限公司 一种接入特殊业务网络的鉴权方法和装置
CN110995418B (zh) * 2019-11-27 2022-07-22 中国联合网络通信集团有限公司 云存储认证方法及系统、边缘计算服务器、用户路由器
CN110995759A (zh) * 2019-12-23 2020-04-10 中国联合网络通信集团有限公司 物联网的接入方法以及装置
US11611540B2 (en) * 2020-07-01 2023-03-21 Vmware, Inc. Protection of authentication data of a server cluster
US20220082284A1 (en) * 2020-07-14 2022-03-17 Venthalpy, Llc Systems and methods for measuring efficiencies of hvacr systems

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5276735A (en) * 1992-04-17 1994-01-04 Secure Computing Corporation Data enclave and trusted path system
US5898780A (en) * 1996-05-21 1999-04-27 Gric Communications, Inc. Method and apparatus for authorizing remote internet access
US6301661B1 (en) * 1997-02-12 2001-10-09 Verizon Labortories Inc. Enhanced security for applications employing downloadable executable content
US7366900B2 (en) * 1997-02-12 2008-04-29 Verizon Laboratories, Inc. Platform-neutral system and method for providing secure remote operations over an insecure computer network
US7290288B2 (en) * 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
US6065120A (en) * 1997-12-09 2000-05-16 Phone.Com, Inc. Method and system for self-provisioning a rendezvous to ensure secure access to information in a database from multiple devices
ATE407503T1 (de) * 1999-07-02 2008-09-15 Nokia Corp Authentifizierungsverfahren und system
US6697824B1 (en) * 1999-08-31 2004-02-24 Accenture Llp Relationship management in an E-commerce application framework
US6563800B1 (en) * 1999-11-10 2003-05-13 Qualcomm, Inc. Data center for providing subscriber access to data maintained on an enterprise network
US7047560B2 (en) * 2001-06-28 2006-05-16 Microsoft Corporation Credential authentication for mobile users
US8005965B2 (en) * 2001-06-30 2011-08-23 International Business Machines Corporation Method and system for secure server-based session management using single-use HTTP cookies
US7042988B2 (en) * 2001-09-28 2006-05-09 Bluesocket, Inc. Method and system for managing data traffic in wireless networks
US7206934B2 (en) * 2002-09-26 2007-04-17 Sun Microsystems, Inc. Distributed indexing of identity information in a peer-to-peer network
US7571472B2 (en) * 2002-12-30 2009-08-04 American Express Travel Related Services Company, Inc. Methods and apparatus for credential validation

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011505735A (ja) * 2007-11-26 2011-02-24 チエッセピ−インノヴァツィオーネ・ネッレ・イチティ・ソシエタ・コーオペラティヴァ・ア・レスポンサビリタ・リミタータ 異なる組織に属する複数のユーザのためのクレデンシャルの複製を行わない認証方法
JP2016526201A (ja) * 2013-05-03 2016-09-01 サイトリックス システムズ,インコーポレイテッド 企業システムにおけるユーザおよびデバイスの認証
US9628448B2 (en) 2013-05-03 2017-04-18 Citrix Systems, Inc. User and device authentication in enterprise systems

Also Published As

Publication number Publication date
FI120021B (fi) 2009-05-29
FI20035139A0 (fi) 2003-08-27
US20050081066A1 (en) 2005-04-14
FI20035139A (fi) 2005-02-28
CN1842993A (zh) 2006-10-04
EP1661299A1 (en) 2006-05-31
WO2005022821A1 (en) 2005-03-10
CN1842993B (zh) 2010-04-28

Similar Documents

Publication Publication Date Title
JP2007503637A (ja) クレデンシャルを提供する方法、システム、認証サーバ、及びゲートウェイ
EP1484856B1 (en) Method for distributing encryption keys in wireless lan
US7913080B2 (en) Setting information distribution apparatus, method, program, and medium, authentication setting transfer apparatus, method, program, and medium, and setting information reception program
US6772331B1 (en) Method and apparatus for exclusively pairing wireless devices
EP1179244B1 (en) Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices
CN101371550B (zh) 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统
KR100883648B1 (ko) 무선 환경에서의 네트웍 접근 통제 방법 및 이를 기록한기록매체
US6980660B1 (en) Method and apparatus for efficiently initializing mobile wireless devices
US7142851B2 (en) Technique for secure wireless LAN access
US8543814B2 (en) Method and apparatus for using generic authentication architecture procedures in personal computers
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
US20060155984A1 (en) Apparatus, method and computer software products for controlling a home terminal
US20060059344A1 (en) Service authentication
JP2002314549A (ja) ユーザ認証システム及びそれに用いるユーザ認証方法
CN103155512A (zh) 用于对服务提供安全访问的系统和方法
EP1779595B1 (en) Method for enrolling a user terminal in a wireless local area network
JP4109273B2 (ja) ネットワーク接続システム、ネットワーク接続装置およびプログラム
KR101451163B1 (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
KR100463751B1 (ko) 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치
JP4169534B2 (ja) モバイル通信サービスシステム
TW202215813A (zh) 用於加密通訊的電子裝置及方法
CN112398805A (zh) 在客户机和服务机之间建立通信通道的方法
CN113316141A (zh) 无线网络接入方法、共享服务器及无线接入点
KR100924315B1 (ko) 보안성이 강화된 무선랜 인증 시스템 및 그 방법
CN117424732A (zh) 一种虚拟专用网络服务的访问方法及系统

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090630

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100209