JP2013109620A - Information system and authentication state management method thereof - Google Patents
Information system and authentication state management method thereof Download PDFInfo
- Publication number
- JP2013109620A JP2013109620A JP2011254825A JP2011254825A JP2013109620A JP 2013109620 A JP2013109620 A JP 2013109620A JP 2011254825 A JP2011254825 A JP 2011254825A JP 2011254825 A JP2011254825 A JP 2011254825A JP 2013109620 A JP2013109620 A JP 2013109620A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- external system
- data operation
- operation request
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
この発明は、複数のサーバが連携して動作する情報システムと、この情報システムで使用される認証状態管理方法に関する。 The present invention relates to an information system in which a plurality of servers operate in cooperation, and an authentication state management method used in the information system.
複数のサーバが連携して動作する情報システムの各サーバに対し、ユーザ登録/更新やデータ登録といったデータ操作を行うには、それぞれのサーバに対して認証を行い、操作を行うシステム利用者が正当なアクセス権限を持つことを確認する必要がある。この場合、システム内の全てのサーバとの間で個別に認証手順を行うことは、システム利用者にとって非常に不便である。 In order to perform data operations such as user registration / update and data registration for each server of an information system in which multiple servers operate in cooperation, authentication is performed for each server, and the system user who performs the operation is authorized. You need to make sure you have the correct access rights. In this case, it is very inconvenient for the system user to individually perform the authentication procedure with all the servers in the system.
そこで、一度の認証手順によって情報システム内の全てのサーバに対して一元的にシステム利用者の認証状態を通知できるようにした、シングルサインオンと呼ばれる技術が導入されている。シングルサインオンは、例えばSAML(Security Assertion Markup Language)やOpenIDにより定義され、システム内のサーバ間で予め必要な認証・承認情報の属性や処理について合意しておく。そして、例えばシステム利用者がサーバAから認証を受けると、この認証された証明書をSOAP/HTTPメッセージ部分に挿入してサーバBに転送するようにしたものである。このシングルサインオンを使用すると、システム利用者がシステム内のいずれかのサーバから認証されると、以後は面倒な認証手続きを繰り返すことなくシステム内の他のサーバに対しアクセスすることが可能となり、大変便利である(例えば非特許文献1又は2を参照)。
Therefore, a technique called single sign-on has been introduced that can notify the authentication status of the system user centrally to all servers in the information system by a single authentication procedure. Single sign-on is defined by, for example, SAML (Security Assertion Markup Language) or OpenID, and an attribute and processing of necessary authentication / authorization information is agreed in advance between servers in the system. For example, when the system user receives authentication from the server A, the authenticated certificate is inserted into the SOAP / HTTP message part and transferred to the server B. Using this single sign-on, once a system user is authenticated from any server in the system, it is possible to access other servers in the system without repeating the troublesome authentication procedure. This is very convenient (see, for example, Non-Patent
ところが、情報システムを管理ポリシーが異なる外部システムと連携させ、システム利用者に代わって外部システムから情報システム内のデータ操作を実施しようとした場合には、以下のような解決すべき課題がある。
(1)データ操作元がシステム利用者の場合には、ID/パスワードやICカード等を用いた認証手順により、能動的に認証操作を実施させることができる。しかし、データ操作元が外部システムの場合には、ID/パスワードやICカード等を用いた個人用の認証手順を使用できない。このため、何らかの方法で、外部システムからのデータ操作のためのアクセスを正当に認証されたものと認識させる必要がある。
However, when an information system is linked with an external system having a different management policy and data manipulation in the information system is performed from the external system on behalf of the system user, there are problems to be solved as follows.
(1) When the data operation source is a system user, the authentication operation can be actively performed by an authentication procedure using an ID / password or an IC card. However, when the data operating source is an external system, a personal authentication procedure using an ID / password or an IC card cannot be used. For this reason, it is necessary to recognize that access for data operation from an external system is properly authenticated by some method.
(2)外部システムからのアクセスは、個人であるシステム利用者からのアクセスと異なり、処理を多重に実施することが可能であり、性能向上の観点から複数のスレッドを同時に起動して処理が行われる。この場合、複数のスレッドで同一の証明書を共用すると、証明書の有効期限が切れた場合に処理中の複数のスレッドに対するセッションが同時に無効となってしまう可能性がある。 (2) Unlike access from an individual system user, access from an external system can be performed in multiple processes, and multiple threads are started simultaneously to improve performance. Is called. In this case, if the same certificate is shared by a plurality of threads, sessions for the plurality of threads being processed may be invalidated at the same time when the certificate expires.
(3)(2)で述べた課題を解決するためにスレッド単位に証明書を発行すると、その都度認証手順を実行しなくてはならなくなり、データ操作に要する処理時間が長くなる。また、複数の外部システムからのアクセスが発生した場合に、特定の外部システムからのアクセスがスレッドと証明書を占有してしまうことがあり、外部システム間の公正性が保たれない。 (3) If a certificate is issued for each thread in order to solve the problem described in (2), the authentication procedure must be executed each time, and the processing time required for data operation becomes longer. In addition, when access from a plurality of external systems occurs, access from a specific external system may occupy a thread and a certificate, and fairness among external systems cannot be maintained.
この発明は上記事情に着目してなされたもので、その目的とするところは、個人用の認証手順を使用できない外部システムからのアクセスに対しても認証処理が適切に行われるようにし、かつ1回の認証処理により複数のサーバに対しアクセス可能とした情報システム及びその認証状態管理方法を提供することにある。 The present invention has been made paying attention to the above circumstances, and the object of the present invention is to make it possible to properly perform authentication processing even for an access from an external system that cannot use a personal authentication procedure. It is an object of the present invention to provide an information system that is accessible to a plurality of servers by a single authentication process and an authentication state management method thereof.
上記目的を達成するためにこの発明の1つの観点は、各々データを保存する複数のサーバが連携して動作しかつ外部システムとの間でネットワークを介して通信可能な情報システムにあって、情報システムと外部システムとの間で真正性が担保されたシステム識別情報を予め保持しておき、外部システムから当該外部システムのシステム識別情報を含む最初のデータ操作要求が送られた場合に、当該データ操作要求に含まれるシステム識別情報を上記保持されているシステム識別情報と照合することにより擬似的な認証処理を実行し、この擬似的な認証処理により上記要求元の外部システムの正当性が確認された場合に、その認証結果を表す認証状態識別子を発行する。そして、この発行された認証状態識別子を保存し、当該認証状態識別子の有効期間内に上記外部システムから2回目以降のデータ操作要求が送られた場合に、当該データ操作要求に応じて起動されたスレッドに対し上記保存されている認証状態識別子を割り当て、この割り当てられた認証状態識別子を上記外部システムから送られたデータ操作要求と共にデータ操作先となるサーバに与えることで、当該サーバに保存されているデータに対し操作を実行させるようにしたものである。 In order to achieve the above object, one aspect of the present invention is an information system in which a plurality of servers each storing data operate in cooperation and can communicate with an external system via a network. When system identification information whose authenticity is guaranteed between the system and the external system is held in advance, and the first data operation request including the system identification information of the external system is sent from the external system, the data A pseudo authentication process is executed by comparing the system identification information included in the operation request with the held system identification information, and the validity of the requesting external system is confirmed by the pseudo authentication process. In the case of authentication, an authentication status identifier representing the authentication result is issued. The issued authentication status identifier is stored, and when the second or subsequent data operation request is sent from the external system within the validity period of the authentication status identifier, the authentication status identifier is activated in response to the data operation request. By assigning the stored authentication status identifier to a thread and giving the assigned authentication status identifier to a data operation destination server together with a data operation request sent from the external system, The operation is performed on the existing data.
したがって、情報システムと外部システムとの間で真正性が担保されたシステム識別情報を予め定義したことで、ID/パスワードやICカード等を用いた個人用の認証手順を使用できない外部システムからのアクセスに対しても、当該システム識別情報を担保にして擬似的な認証処理を行うことが可能となる。また、この擬似的な認証処理により発行された認証状態識別子を保存し、以後同一の外部システムからデータ操作要求が送られた場合に、上記保存されている認証状態識別子をスレッドに割り当ててデータ操作を実行することで、シングルサインオンと同一の仕組みで認証状態を管理することができる。 Therefore, access from an external system that cannot use a personal authentication procedure using an ID / password, IC card, etc., by predefining system identification information that guarantees authenticity between the information system and the external system. However, it is possible to perform a pseudo authentication process with the system identification information as collateral. Also, the authentication status identifier issued by this pseudo authentication process is stored, and when a data operation request is sent from the same external system thereafter, the stored authentication status identifier is assigned to a thread to perform data operation. By executing this, the authentication status can be managed by the same mechanism as single sign-on.
また、この発明の1つの観点は以下のような態様を備えることも特徴とする。
第1の態様は、上記割り当てられた認証状態識別子が有効か無効かを判定し、無効と判定された場合には上記擬似的な認証処理を再度実行して新たな認証状態識別子を発行するようにしたものである。
このようにすれば、認証状態識別子に有効期限などの付加的な認証条件を設定することが可能となり、これにより認証状態識別子の信頼性をさらに高めることが可能となる。
One aspect of the present invention is also characterized by comprising the following aspects.
In the first aspect, it is determined whether the assigned authentication state identifier is valid or invalid, and if it is determined to be invalid, the pseudo authentication process is executed again to issue a new authentication state identifier. It is a thing.
In this way, it is possible to set an additional authentication condition such as an expiration date for the authentication state identifier, thereby further improving the reliability of the authentication state identifier.
第2の態様は、認証状態識別子を割り当てる際に、1つの外部システムに対し発行される認証状態識別子の数に上限値を設定し、同一の外部システムからのデータ操作要求に応じて複数のスレッドが用意された場合には、これらのスレッドに対し上記設定された上限値を超えない範囲で上記認証状態識別子を割り当てるようにしたものである。
このようにすれば、1つの外部システムが同時に使用可能なスレッド数が制限されることになる。このため、1つの外部システムにより情報システムが占有される不具合を防止して、複数の外部システムからのデータ操作要求に対し外部システム間の公平性を保つことが可能となる。
In the second aspect, when assigning an authentication state identifier, an upper limit is set for the number of authentication state identifiers issued to one external system, and a plurality of threads are set in response to a data operation request from the same external system. Is prepared, the authentication status identifier is assigned to these threads within a range not exceeding the set upper limit value.
In this way, the number of threads that can be used simultaneously by one external system is limited. For this reason, it is possible to prevent a problem that the information system is occupied by one external system, and to maintain fairness among the external systems with respect to data operation requests from a plurality of external systems.
すなわちこの発明によれば、個人用の認証手順を使用できない外部システムからのアクセスに対しても認証処理が適切に行われるようにし、かつ1回の認証処理により複数のサーバに対しアクセス可能とした情報システム及びその認証状態管理方法を提供することができる。 That is, according to the present invention, it is possible to appropriately perform authentication processing even from an external system that cannot use a personal authentication procedure, and to access a plurality of servers by one authentication processing. An information system and an authentication state management method thereof can be provided.
以下、図面を参照してこの発明に係わる実施形態を説明する。
[第1の実施形態]
(構成)
図1は、この発明の第1の実施形態に係る情報システムと外部システムの機能構成を示すブロック図である。情報システムSSと外部システムESは、ネットワークNWを介して通信可能となっている。ネットワークNWとしてはIP(Internet Protocol)網が用いられる。
Embodiments according to the present invention will be described below with reference to the drawings.
[First Embodiment]
(Constitution)
FIG. 1 is a block diagram showing functional configurations of an information system and an external system according to the first embodiment of the present invention. The information system SS and the external system ES can communicate with each other via the network NW. An IP (Internet Protocol) network is used as the network NW.
情報システムSSは、何れもWebサーバからなる複数のサービスサーバSVS、中継サーバSVR及び認証サーバSVA1を備えている。なお、図1では図示の簡単のためサービスサーバSVSは1つのみ示している。
複数のサービスサーバSVSは何れもデータの操作先となるサーバであり、個人情報等のデータを記憶する操作先データ記憶部42と、この操作先データ記憶部42に対するデータの登録、変更及び削除を行うデータ操作部41を有している。
The information system SS includes a plurality of service servers SVS, a relay server SVR, and an authentication server SVA1, all of which are Web servers. In FIG. 1, only one service server SVS is shown for simplicity of illustration.
Each of the plurality of service servers SVS is an operation destination of data, and an operation destination
中継サーバSVRは、認証状態保持部22と、データ操作中継部21を備えている。
データ操作中継部21は以下の処理機能を有する。
(1) 外部システムESから送信されたデータ操作要求を受信した場合に、当該データ操作要求に含まれるシステム識別情報をもとに要求元の外部システムESを確認したのちスレッドを用意し、認証状態保持部22に対し認証結果を表す認証状態識別子の割り当てを要求する処理。
The relay server SVR includes an authentication
The data
(1) When a data operation request transmitted from an external system ES is received, a thread is prepared after confirming the requesting external system ES based on the system identification information included in the data operation request, and the authentication status Processing for requesting the
(2) 上記割り当て要求に対し認証状態保持部22から認証状態識別子が割り当てられた場合に、当該認証状態識別子をもとに認証状態が認証済でかつ有効期限内であるか否かを判定する処理。
(2) When an authentication state identifier is assigned from the authentication
(3) 認証状態が認証済でかつ有効期限内であると判定された場合には、上記用意しておいたスレッドに上記認証状態識別子を割り当てて当該スレッドを起動し、先に受信したデータ操作要求を上記認証状態識別子と共にサービスサーバSVSへ転送し、データ操作を実行させる処理。 (3) If it is determined that the authentication status is authenticated and within the expiration date, the authentication status identifier is assigned to the prepared thread, the thread is started, and the data operation received earlier A process of transferring a request together with the authentication status identifier to the service server SVS to execute a data operation.
(4) 認証状態が未認証又は有効期限切れであると判定された場合には、認証サーバSVA1に対し擬似的な認証を要求して新たな認証状態識別子を受け取り、この受け取った新たな認証状態識別子を認証状態保持部22に保存させる。そして、上記用意しておいたスレッドに上記新たな認証状態識別子を割り当てて当該スレッドを起動し、先に受信したデータ操作要求と共にサービスサーバSVSへ転送し、データ操作を実行させる処理。
(4) If it is determined that the authentication status is unauthenticated or expired, the authentication server SVA1 is requested to perform pseudo authentication and a new authentication status identifier is received, and the received new authentication status identifier Is stored in the authentication
認証状態保持部22は、上記データ操作中継部21から転送された認証状態識別子をメモリに保存する。そして、上記データ操作中継部21から認証状態識別子の割り当て要求が送られた場合に、上記保存されている認証状態識別子を予め定められた数を上限として割り当てを行う。
The authentication
認証サーバSVA1は、認証データ記憶部32と、擬似認証部31を有している。
認証データ記憶部32には、システム利用者及び外部システムESの認証を行うために必要な情報が予め記憶されている。システム利用者の認証を行うために必要な情報としては、例えばシステム利用者のID及びパスワードが用いられる。また、外部システムESの認証を行うために必要な情報としては、外部システムESのシステム識別情報が用いられる。このシステム識別情報は、技術的又は運用対処により外部システムを一意に示すことが担保された情報であり、例えばIPアドレスやサーバ証明書が使用される。
The authentication server SVA1 includes an authentication
The authentication
擬似認証部31は、上記中継サーバSVRから外部システムESについての認証要求が送られた場合に、この認証要求に含まれるシステム識別情報を上記認証データ記憶部32に記憶されたシステム識別情報と照合することにより擬似的な認証処理を行う。そして、外部システムESの正当性が確認された場合に、当該外部システムES用の認証状態識別子を発行して要求元の中継サーバSVRに返送する処理を行う。認証状態識別子としては、例えばCookieが用いられる。
When the authentication request for the external system ES is sent from the relay server SVR, the
外部システムESは、例えば自治体が所有するWebサーバからなり、データ操作要求部11と、操作元データ記憶部12を備えている。
操作元データ記憶部12には、情報システムSSに登録すべき個人情報等のデータが記憶されている。データ操作要求部11は、例えば定期的又はオペレータの操作に応じて、上記操作元データ記憶部12に記憶されたデータをもとに、当該データの操作要求を情報システムSSへ送信する処理を行う。このとき、データ操作要求には外部システムESのシステム識別情報を付加する。
The external system ES includes, for example, a web server owned by a local government, and includes a data
The operation source
(動作)
次に、以上のように構成された情報システムによる認証状態管理動作を説明する。図2はその処理手順と処理内容を示すフローチャートである。
なお、ここでは自治体等のように独立して個人情報を取り扱う組織が、自己が運用する外部システムESを用いて情報システムSSに対しデータ操作を要求し、これにより情報システム内のサービスサーバに対しユーザデータの登録、更新又は削除を行う場合を例にとって説明を行う。
(Operation)
Next, an authentication state management operation by the information system configured as described above will be described. FIG. 2 is a flowchart showing the processing procedure and processing contents.
In this case, an organization that handles personal information independently, such as a local government, requests data operation from the information system SS using the external system ES that it operates, and this causes a service server in the information system to A case where user data is registered, updated, or deleted will be described as an example.
情報システムSSにおける認証サーバSVA1の認証データ記憶部32には、当該情報システムSSと外部システムESとの間で真正性が担保されたシステム識別情報、例えば外部システムESのIPアドレスやサーバ証明書が保存される。なお、図1では図示の簡単化のため外部システムESを1つしか図示していないが、実際には複数の外部システムが存在する。この場合、認証データ記憶部32には、上記複数の外部システムのそれぞれについてそのシステム識別情報が保存される。
In the authentication
外部システムESがデータ操作要求を送信すると、このデータ操作要求は情報システムSSの中継サーバSVRにより受信される。中継サーバSVRは、データ操作中継部21の制御の下、先ず上記受信されたデータ操作要求に含まれるシステム識別情報、例えばIPアドレスやサーバ証明書をもとに要求元の外部システムESを確認する(ステップS1)。そして、その確認結果に基づいて、要求元の外部システムESに対応するスレッドをステップS2で用意し、認証状態保持部22に対し認証状態識別子の割り当てを要求する。
When the external system ES transmits a data operation request, the data operation request is received by the relay server SVR of the information system SS. Under the control of the data
認証状態保持部22は、上記割り当て要求を受け取ると、先ず当該割り当て要求に含まれるシステム識別情報をもとに該当する外部システムESに対応する認証状態識別子(例えばcookie)を選択し、この認証状態識別子の割り当て数が既に予め設定された上限値に達しているか否かをステップS3で判定する。この判定の結果、認証状態識別子の割り当て数が上限値に達していなければ、保存されている認証状態識別子を1つ読み出して要求元のデータ操作中継部21に返送する(ステップS4)。なお、割り当て済(使用中)の認証状態識別子の数が上限値に達している場合には、使用中の認証状態識別子が解放されるまで待機する。
Upon receiving the allocation request, the authentication
データ操作中継部21は、上記認証状態保持部22から返送された認証状態識別子に記載された認証状態をもとに、当該認証状態識別子が認証済でかつ有効期間中であるか否かを判定する。そして、認証状態が認証済でかつ有効期間中であれば、上記用意しておいたスレッドを起動し、先に外部システムESから受信されたデータ操作要求に当該認証状態識別子を付加して、このデータ操作要求及び認証状態識別子を操作先となる各サービスサーバSVSへ転送する。
Based on the authentication state described in the authentication state identifier returned from the authentication
以上の認証状態保持部22及びデータ操作中継部21の動作をより具体的に説明する。図3はこの動作を示す図である。いま、外部システムESに対し5つのスレッドTH1〜TH5が用意され、かつ認証状態識別子として最大4個のCookieC1〜C4が割り当て可能であるとする。この場合、スレッドTH1〜TH4に対しては、その起動順に上記保存中のCookieが1つずつ選択されて割り当てられ、この結果スレッドTH1〜TH4は起動する。しかし、スレッドTH5に対しては、既に外部システムES用のCookieC1〜C4が全て割り当て済であるため割り当てが行われない。このため、スレッドTH5は起動しない。
データ操作中継部21は、上記起動されたスレッドTH1〜TH4を用いて、それぞれ異なるサービスサーバSVSに対しデータ操作要求及び認証状態識別子を転送する。
The operations of the authentication
The data
一方、認証状態保持部22に外部システムES用の認証状態識別子(Cookie)がまだ保存されていないか、或いは保存されていても当該認証状態識別子(Cookie)に記載された認証状態が未認証或いは有効期限切れだったとする。この場合データ操作中継部21は、図2に示すように認証サーバSVA1に対し認証要求を送る。この認証要求には、外部システムESのシステム識別情報を含める。
On the other hand, the authentication state identifier (Cookie) for the external system ES is not yet stored in the authentication
上記認証要求受け取ると認証サーバSVA1は、擬似認証部31の制御の下で、ステップS6において、上記受け取った認証要求に含まれるシステム識別情報を認証データ記憶部32に予め記憶されているシステム識別情報と照合することにより認証を行う。すなわち、情報システムSSと外部システムESとの間で真正性が保証されたシステム識別情報を担保にして、外部システムESに対する擬似的な認証処理が行われる。そして、この擬似的な認証処理により外部システムESの正当性が確認された場合に、当該外部システムES用の認証状態識別子(Cookie)を再発行して要求元の中継サーバSVRに返送する。
Upon receiving the authentication request, the authentication server SVA1 controls the system identification information stored in advance in the authentication
中継サーバSVRのデータ操作中継部21は、上記返送された認証状態識別子(Cookie)を認証状態保持部22に保存させると共に、当該再発行された認証状態識別子(Cookie)を外部システムESから受信されたデータ操作要求に付加し、操作先となるサービスサーバSVSへ転送する。
The data
サービスサーバSVSは、上記中継サーバSVRからデータ操作要求が送られると、当該データ操作要求と共に送られた認証状態識別子(Cookie)をもとに、当該データ操作要求が承認されたものか否かをステップS7で判定し、承認されたものであればステップS8において上記データ操作要求の指示内容に従い操作先データ記憶部42に対しユーザデータの登録、変更又は削除を行う。そして、データ操作が終了すると、その操作結果を表す情報を中継サーバSVRに返送する。
When a data operation request is sent from the relay server SVR, the service server SVS determines whether or not the data operation request is approved based on the authentication status identifier (cookie) sent together with the data operation request. If it is determined in step S7 and approved, in step S8, user data is registered, changed, or deleted in the operation destination
中継サーバSVRは、上記操作結果を表す情報を受信すると、データ操作中継部21の制御の下で、ステップS8において上記データ操作に対応するスレッドを終了すると共に、当該スレッドに割り当てられていた認証状態識別子(Cookie)を認証状態保持部22に返却する。認証状態保持部22は、この返却された認証状態識別子(Cookie)を空きの認証状態識別子として保存する。また、上記操作結果を表す情報はデータ操作中継部21からネットワークNWを介して要求元の外部システムESへ返送される。
When the relay server SVR receives the information representing the operation result, the relay server SVR terminates the thread corresponding to the data operation in step S8 under the control of the data
(第1の実施形態の効果)
以上詳述したように第1の実施形態では、認証サーバSVA1において、情報システムSSと外部システムESとの間で真正性が保証されたシステム識別情報を担保にして外部システムESに対する擬似的な認証処理を行い、その認証結果を表す認証状態識別子(Cookie)を発行する。そして、中継サーバSVRにおいて、外部システムESから送信されたデータ操作要求を受信した場合に、スレッドを用意し、認証状態保持部22で保持されている外部システムES用の認証状態識別子(Cookie)を、認証済でかつ有効期限内であるかどうかを確認したのち上記スレッドに割り当てることで当該スレッドを起動し、上記データ操作要求を当該認証状態識別子(Cookie)と共にサービスサーバSVSへ転送してデータ操作を実行させるようにしている。
(Effects of the first embodiment)
As described above in detail, in the first embodiment, in the authentication server SVA1, pseudo-authentication for the external system ES is ensured by using the system identification information whose authenticity is guaranteed between the information system SS and the external system ES. Processing is performed and an authentication status identifier (cookie) representing the authentication result is issued. When the relay server SVR receives a data operation request transmitted from the external system ES, a thread is prepared, and the authentication status identifier (Cookie) for the external system ES held in the authentication
したがって、ID/パスワードやICカード等を用いた個人用の認証手順を使用できない外部システムESからのアクセスに対しても、当該システム識別情報を担保にして擬似的な認証処理を行うことが可能となる。また、この擬似的な認証処理により発行された認証状態識別子(Cookie)を保存し、以後同一の外部システムESからデータ操作要求が送られた場合に、上記保存されている認証状態識別子(Cookie)をスレッドに割り当ててデータ操作を実行することで、シングルサインオンと同一の仕組みで認証状態を管理することができる。 Therefore, it is possible to perform a pseudo authentication process using the system identification information as collateral even for an access from an external system ES that cannot use a personal authentication procedure using an ID / password or an IC card. Become. Further, the authentication state identifier (Cookie) issued by the pseudo authentication process is stored, and when the data operation request is sent from the same external system ES, the stored authentication state identifier (Cookie) is stored. By assigning to the thread and executing the data operation, the authentication state can be managed by the same mechanism as single sign-on.
また、認証状態保持部22に外部システムES用の認証状態識別子(Cookie)がまだ保存されていない場合や、保存されていても当該認証状態識別子(Cookie)に記載された認証状態が未認証或いは有効期限切れだった場合には、認証サーバSVA1において上記擬似的な認証を行って認証状態識別子を再発行するようにしている。したがって、認証状態識別子に有効期限等の付加的な認証条件を設定することが可能となり、これにより認証状態識別子の信頼性をさらに高めることが可能となる。
Further, when the authentication state identifier (Cookie) for the external system ES is not yet stored in the authentication
さらに、認証状態識別子(Cookie)を割り当てる際に、1つの外部システムESに対し割り当てる認証状態識別子の数に上限値を設定し、同一の外部システムESからのデータ操作要求に応じて複数のスレッドが起動された場合には、これらのスレッドに対し上記設定された上限値を超えない範囲で認証状態識別子(Cookie)を割り当てるようにしている。 Furthermore, when assigning an authentication status identifier (cookie), an upper limit is set for the number of authentication status identifiers assigned to one external system ES, and a plurality of threads are set in response to data operation requests from the same external system ES. When activated, an authentication state identifier (cookie) is assigned to these threads in a range not exceeding the set upper limit value.
このようにすると、1つの外部システムESが同時に使用可能なスレッド数が制限されることになり、その結果1つの外部システムESにより情報システムSSに対するアクセスが占有される不具合は防止される。 In this way, the number of threads that can be used simultaneously by one external system ES is limited, and as a result, a problem that access to the information system SS is occupied by one external system ES is prevented.
[第2の実施形態]
図4は、この発明の第2の実施形態に係る情報システムとこの情報システムに対しアクセスする外部システムの機能構成を示すブロック図である。なお、同図において前記図1と同一部分には同一符号を付して詳しい説明は省略する。
[Second Embodiment]
FIG. 4 is a block diagram showing a functional configuration of an information system according to the second embodiment of the present invention and an external system accessing the information system. In the figure, the same parts as those in FIG.
情報システムSSには、複数(同図では2つの場合を例示)の外部システムES1,ES2がネットワークNWを介して接続可能となっている。また情報システムSSには、当該システムの運用担当者が使用する運用担当者端末MTがネットワークNWを介して、或いは直接接続可能となっている。 A plurality of external systems ES1 and ES2 (two examples are shown in the figure) can be connected to the information system SS via the network NW. In addition, an operation staff terminal MT used by an operator of the system can be connected to the information system SS via the network NW or directly.
外部システムES1,ES2は、例えば異なる自治体或いは1つの自治体の異なる部署が運用するWebサーバからなり、それぞれデータ操作要求部111,112と、操作元データ記憶部121,122を備えている。これらのデータ操作要求部111,112及び操作元データ記憶部121,122の機能は、図1で述べたデータ操作要求部11及び操作元データ記憶部12と同じである。
The external systems ES1 and ES2 include, for example, Web servers operated by different local governments or different departments of one local government, and include data
一方、情報システムSSの認証サーバSVA2は、擬似認証部31及び認証データ記憶部32に加え、正規の認証部33を備えている。
正規の認証部33は、運用担当者端末MTから送信された運用担当者のID及びパスワードを含む認証要求が、中継サーバSVRのデータ操作中継部21から転送された場合に、この認証要求に含まれるID及びパスワードを上記認証データ記憶部32に記憶されたID及びパスワードと照合することにより運用担当者の認証を行う。そして、運用担当者の正当性が確認された場合に、当該運用担当者用の認証状態識別子を発行する。この場合も認証状態識別子としてはCookieが用いられる。上記発行された認証状態識別子(Cookie)は、運用担当者端末MT上のブラウザに格納される。
On the other hand, the authentication server SVA2 of the information system SS includes a
The
中継サーバSVRの認証状態保持部22は、複数の外部システムES1,ES2の各々に対し認証状態識別子の割り当て上限数を設定している。そして、外部システムES1,ES2ごとに、上記設定された上限数を超えないように認証状態識別子の割り当てを行っている。
The authentication
次に、以上のように構成された情報システムSSによる認証状態の管理動作を説明する。図5はその動作内容を説明するための図である。
例えば、外部システムES1,ES2がそれぞれ使用可能な認証状態識別子(Cookie)の上限数を“3”、中継サーバSVRで起動可能なスレッド数を“4”に設定したとする。この状態で、いま外部システムES1からデータ操作要求が到来し、この要求に応じて中継サーバSVRのデータ操作中継部21が4個のスレッドTH1〜TH4を起動しようとしたとする。しかし、このとき中継サーバSVRの認証状態保持部22は、外部システムES1が使用可能なCookieの上限数が“3”に設定されているため、上記4個のスレッドTH1〜TH4のうちの3個のスレッドTH1〜TH3に対してのみ、上記外部システムES1用の3個の CookieC1−1〜C1−3を割り当てる。この結果、上記4個のスレッドTH1〜TH4のうち3個のスレッドTH1〜TH3のみが起動する。
Next, an authentication state management operation by the information system SS configured as described above will be described. FIG. 5 is a diagram for explaining the operation contents.
For example, it is assumed that the upper limit number of authentication status identifiers (Cookies) that can be used by the external systems ES1 and ES2 is set to “3”, and the number of threads that can be activated by the relay server SVR is set to “4”. In this state, it is assumed that a data operation request arrives from the external system ES1, and the data
なお、この割り当てに際しデータ操作中継部21は、CookieC1−1〜C1−3ごとに当該Cookieに記載された認証状態を表す情報により上記CookieC1−1〜C1−3が認証済でかつ有効期限内であるか否かを判定する。そして、認証済でかつ有効期限内であると判定された場合にのみ、当該CookieC1−1〜C1−3をスレッドTH1〜TH3に割り当てる。
In this allocation, the data
また、この状態で外部システムES2からデータ操作要求が到来したとする。そうすると、中継サーバSVRのデータ操作中継部21は、中継サーバSVRで起動可能なスレッド数の上限値が“4”に設定され、このうちの3個が既に上記外部システムES1用として起動しているため、残りの1個のスレッドTH4を上記外部システムES2用として用意する。そして、認証状態保持部22が、外部システムES2が使用可能なCookieC2−1〜C2−3のうちの1つを上記データ操作中継部21に通知し、データ操作中継部21がこの通知されたCookieC2−1を、当該CookieC2−1に記載された認証状態により認証済でかつ有効期限内であることを確認したのち、上記起動されたスレッドTH4に割り当てる。この結果、上記スレッドTH4は上記外部システムES2用として起動する。
In this state, it is assumed that a data operation request comes from the external system ES2. Then, in the data
一方、運用担当者が自身の端末MTを使用して情報システムSSのデータ操作を行う場合には、データ操作要求に担当者IDとパスワードを含めて送信する。そうすると情報システムSSでは、上記データ操作要求に含まれる担当者ID及びパスワードが中継サーバSVRから認証サーバSVAに転送される。 On the other hand, when the person in charge of operation performs data operation of the information system SS using his / her terminal MT, the person in charge of the operation is transmitted including the person in charge ID and the password. Then, in the information system SS, the person-in-charge ID and password included in the data operation request are transferred from the relay server SVR to the authentication server SVA.
認証サーバSVAでは、正規の認証部33により、上記運用担当者端末MTから送信された運用担当者のID及びパスワードが認証データ記憶部32に記憶されたID及びパスワードと照合され、これにより運用担当者の認証が行われる。そして、運用担当者の正当性が確認されると、当該運用担当者用の認証状態識別子(Cookie)が発行され、この認証状態識別子(Cookie)が運用担当者端末MT上のブラウザに格納される。
In the authentication server SVA, the
したがって、以後運用担当者端末MTにおいて情報システムSS内のサービスサーバSVSまたは他のサーバに対するデータ操作が行われると、当該運用担当者端末MTからは上記データ操作の要求とブラウザに格納されている認証状態識別子(Cookie)が情報システムSSへ送信される。これに対し情報システムSSでは、上記データ操作要求及び認証状態識別子(Cookie)は中継サーバSVRを経由することなくアクセス先のサービスサーバSVSに対し直接転送される。このデータ操作要求を受信するとサービスサーバSVSは、認証サーバSVAに対し認証状態識別子(Cookie)の問い合わせを行い、この結果受信した認証状態識別子(Cookie)と認証サーバSVAで管理されている認証状態識別子(Cookie)とが対応すれば、データ操作を実行する。そして、その操作結果を表す情報を要求元の運用担当者端末MTに返送する。 Therefore, when a data operation is subsequently performed on the service server SVS or another server in the information system SS at the operation staff terminal MT, the operation staff terminal MT requests the data operation and the authentication stored in the browser. A state identifier (Cookie) is transmitted to the information system SS. On the other hand, in the information system SS, the data operation request and the authentication status identifier (Cookie) are directly transferred to the service server SVS to be accessed without going through the relay server SVR. Upon receiving this data operation request, the service server SVS makes an inquiry about the authentication status identifier (Cookie) to the authentication server SVA, and the authentication status identifier (Cookie) received as a result and the authentication status identifier managed by the authentication server SVA. If (Cookie) corresponds, the data operation is executed. Then, information representing the operation result is returned to the requesting operation staff terminal MT.
なお、情報システムSS内に複数のサービスサーバが存在し、運用担当者端末MTから上記複数のサービスサーバに対しデータ操作要求が送られた場合には、これらのサービスサーバはそれぞれ認証サーバSVAとの間で認証状態識別子(Cookie)の承認処理を行い、承認されれば要求内容に応じてデータ操作を実行し、その結果を表す情報を要求元の運用担当者端末MTに返送する。すなわち、運用担当者は情報システムSS内の複数のサービスサーバに対しそれぞれ認証手順を実行することなく、かつ並行してデータ操作を行うことができる。 If there are a plurality of service servers in the information system SS and a data operation request is sent from the operator terminal MT to the plurality of service servers, each of these service servers is connected to the authentication server SVA. Authentication status identifier (Cookie) approval processing is performed between them, and if approved, data operation is executed according to the request contents, and information representing the result is returned to the requesting operation staff terminal MT. That is, the person in charge of operation can perform data operations in parallel without executing the authentication procedure for each of the plurality of service servers in the information system SS.
以上述べたように第2の実施形態によれば、外部システムES1,ES2からのデータ操作要求に対し、中継サーバSVRが同時に起動可能なスレッド数(4個)の範囲でスレッドが起動し、かつこの起動したスレッドに対し予め設定されたCookieの割り当て数の上限(3個)を超えないようにCookieが割り当てられる。このため、外部システムES1,ES2ごとに、同時に使用可能なスレッド数がCookieの上限数により制限され、1つの外部システムが全てのスレッドを占有する不具合は防止される。したがって、情報システムSSに対しデータ操作を行う際の、外部システムES1,ES2間の公平性を最低限保つことが可能となる。 As described above, according to the second embodiment, in response to a data operation request from the external systems ES1 and ES2, threads are activated within the range of the number of threads (4) that the relay server SVR can simultaneously activate, and Cookies are assigned to the activated thread so as not to exceed the upper limit (three) of the preset number of assigned cookies. For this reason, the number of threads that can be used simultaneously for each of the external systems ES1 and ES2 is limited by the upper limit number of cookies, and a problem that one external system occupies all threads is prevented. Therefore, it is possible to keep the fairness between the external systems ES1 and ES2 to a minimum when performing data operations on the information system SS.
[他の実施形態]
前記各実施形態では情報システムSSに1つのサービスサーバSVSが配置された場合を例にとって説明したが、複数のサービスサーバが配置されている場合でもこの発明を適用可能である。また、中継サーバSVRが起動可能なスレッド数及び1つの外部システムES1,ES2に対し割り当てられる認証状態識別子の上限数については、それぞれ“4”、“3”に限らず、スレッド数の上限数より認証状態識別子の上限数が小さければ、それ以外の数に設定してもよい。
[Other Embodiments]
In each of the embodiments described above, the case where one service server SVS is arranged in the information system SS has been described as an example. However, the present invention can be applied even when a plurality of service servers are arranged. Further, the number of threads that can be activated by the relay server SVR and the upper limit number of authentication status identifiers assigned to one external system ES1, ES2 are not limited to “4” and “3”, respectively. If the upper limit number of authentication status identifiers is small, other numbers may be set.
その他、情報システムや外部システムの構成、情報システムによる認証状態管理の処理手順とその処理内容、操作対象となるデータの種類、ネットワークの種類等についても、この発明の要旨を逸脱しない範囲で種々変形して実施できる。 In addition, the configuration of the information system and the external system, the authentication status management processing procedure and processing contents by the information system, the type of data to be operated, the type of network, and the like are variously modified without departing from the scope of the present invention Can be implemented.
要するにこの発明は、上記各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記各実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、各実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。 In short, the present invention is not limited to the above-described embodiments as they are, and can be embodied by modifying the components without departing from the scope of the invention in the implementation stage. Moreover, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the above embodiments. For example, some components may be deleted from all the components shown in each embodiment. Furthermore, you may combine suitably the component covering different embodiment.
SS…情報システム、ES…外部システム、NW…ネットワーク、SVR…中継サーバ、SVA1,SVA2…認証サーバ、SVS…サービスサーバ(操作先サーバ)、11…データ操作要求部、12…操作元データ記憶部、21…データ操作中継部、22…認証状態保持部、31…疑似認証部、32…認証データ記憶部、33…認証部、41…データ操作部、42…操作先データ記憶部。 SS ... Information system, ES ... External system, NW ... Network, SVR ... Relay server, SVA1, SVA2 ... Authentication server, SVS ... Service server (operation destination server), 11 ... Data operation request unit, 12 ... Operation source data storage unit , 21 ... Data operation relay unit, 22 ... Authentication state holding unit, 31 ... Pseudo authentication unit, 32 ... Authentication data storage unit, 33 ... Authentication unit, 41 ... Data operation unit, 42 ... Operation destination data storage unit.
Claims (6)
前記外部システムと情報システムとの間で真正性が担保されたシステム識別情報を保持する手段と、
前記外部システムから当該外部システムのシステム識別情報を含む最初のデータ操作要求が送られた場合に、当該データ操作要求に含まれるシステム識別情報を前記保持されているシステム識別情報と照合することにより擬似的な認証処理を実行し、この擬似的な認証処理により前記要求元の外部システムの正当性が確認された場合にその認証結果を表す認証状態識別子を発行する擬似認証手段と、
前記発行された認証状態識別子を保存し、当該認証状態識別子の有効期間内に前記外部システムから2回目以降のデータ操作要求が送られた場合に、当該データ操作要求に応じて起動されたスレッドに対し前記保存されている認証状態識別子を割り当てる認証状態保持手段と、
前記割り当てられた認証状態識別子を前記外部システムから送られたデータ操作要求と共にデータ操作先となるサーバに転送し、当該サーバに保存されているデータに対するデータ操作を実行させる中継手段と
を具備することを特徴とする情報システム。 In an information system in which a plurality of servers each storing data operate in cooperation and can communicate with an external system via a network,
Means for retaining system identification information whose authenticity is ensured between the external system and the information system;
When the first data operation request including the system identification information of the external system is sent from the external system, the system identification information included in the data operation request is compared with the held system identification information. A pseudo-authentication unit that issues an authentication status identifier representing an authentication result when the validity of the requesting external system is confirmed by the pseudo-authentication process;
The issued authentication state identifier is stored, and when a second or subsequent data operation request is sent from the external system within the validity period of the authentication state identifier, the thread activated in response to the data operation request Authentication state holding means for assigning the stored authentication state identifier to the storage device;
Relay means for transferring the assigned authentication status identifier to a data operation destination server together with a data operation request sent from the external system, and executing data operation on the data stored in the server; An information system characterized by
前記情報システムが、当該情報システムと前記外部システムとの間で真正性が担保されたシステム識別情報を保持する過程と、
前記情報システムが、前記外部システムから当該外部システムのシステム識別情報を含む最初のデータ操作要求が送られた場合に、当該データ操作要求に含まれるシステム識別情報を前記保持されているシステム識別情報と照合することにより擬似的な認証処理を実行し、この擬似的な認証処理により前記要求元の外部システムの正当性が確認された場合にその認証結果を表す認証状態識別子を発行する過程と、
前記情報システムが、前記発行された認証状態識別子を保存し、当該認証状態識別子の有効期間内に前記外部システムから2回目以降のデータ操作要求が送られた場合に、当該データ操作要求に応じて起動されたスレッドに対し前記保存されている認証状態識別子を割り当てる過程と、
前記情報システムが、前記割り当てられた認証状態識別子を前記外部システムから送られたデータ操作要求と共にデータ操作先となるサーバに与え、当該サーバに保存されているデータに対するデータ操作を実行させる過程と
を具備することを特徴とする認証状態管理方法。 An authentication status management method executed in an information system in which a plurality of servers each storing data operate in cooperation and can communicate with an external system via a network,
A process in which the information system holds system identification information whose authenticity is ensured between the information system and the external system;
When the first data operation request including the system identification information of the external system is sent from the external system, the information system includes the system identification information included in the data operation request as the held system identification information. Performing a pseudo authentication process by collating, and issuing an authentication status identifier representing an authentication result when the validity of the requesting external system is confirmed by the pseudo authentication process;
When the information system stores the issued authentication status identifier and a second or subsequent data operation request is sent from the external system within the validity period of the authentication status identifier, in response to the data operation request Assigning the stored authentication state identifier to an activated thread;
The information system gives the assigned authentication status identifier to a data operation destination server together with the data operation request sent from the external system, and executes the data operation on the data stored in the server. An authentication state management method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011254825A JP5478591B2 (en) | 2011-11-22 | 2011-11-22 | Information system and authentication state management method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011254825A JP5478591B2 (en) | 2011-11-22 | 2011-11-22 | Information system and authentication state management method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013109620A true JP2013109620A (en) | 2013-06-06 |
JP5478591B2 JP5478591B2 (en) | 2014-04-23 |
Family
ID=48706299
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011254825A Active JP5478591B2 (en) | 2011-11-22 | 2011-11-22 | Information system and authentication state management method thereof |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5478591B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015095056A (en) * | 2013-11-11 | 2015-05-18 | キヤノン株式会社 | Authorization server system, control method thereof, and program thereof |
CN107493574A (en) * | 2013-12-31 | 2017-12-19 | 福建三元达网络技术有限公司 | Wireless controller equipment, parallel authentication processing method, system, network device |
JP2022054382A (en) * | 2020-09-25 | 2022-04-06 | ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド | Authentication method and apparatus, computing device, and medium |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6340308B2 (en) * | 2014-12-05 | 2018-06-06 | 日本電信電話株式会社 | Parallel processing system, method, and program |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006260201A (en) * | 2005-03-17 | 2006-09-28 | Hitachi Ltd | Distributed authentication system and communication controller |
JP2007166082A (en) * | 2005-12-12 | 2007-06-28 | Hitachi Communication Technologies Ltd | Packet transfer device |
JP2008197973A (en) * | 2007-02-14 | 2008-08-28 | Mitsubishi Electric Corp | User authentication system |
JP2010283607A (en) * | 2009-06-04 | 2010-12-16 | Allied Telesis Holdings Kk | Network management method, network management program, network system, and relay equipment |
JP2011257810A (en) * | 2010-06-04 | 2011-12-22 | Fujitsu Ltd | Relay server device, cookie control method and cookie control program |
-
2011
- 2011-11-22 JP JP2011254825A patent/JP5478591B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006260201A (en) * | 2005-03-17 | 2006-09-28 | Hitachi Ltd | Distributed authentication system and communication controller |
JP2007166082A (en) * | 2005-12-12 | 2007-06-28 | Hitachi Communication Technologies Ltd | Packet transfer device |
JP2008197973A (en) * | 2007-02-14 | 2008-08-28 | Mitsubishi Electric Corp | User authentication system |
JP2010283607A (en) * | 2009-06-04 | 2010-12-16 | Allied Telesis Holdings Kk | Network management method, network management program, network system, and relay equipment |
JP2011257810A (en) * | 2010-06-04 | 2011-12-22 | Fujitsu Ltd | Relay server device, cookie control method and cookie control program |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015095056A (en) * | 2013-11-11 | 2015-05-18 | キヤノン株式会社 | Authorization server system, control method thereof, and program thereof |
CN107493574A (en) * | 2013-12-31 | 2017-12-19 | 福建三元达网络技术有限公司 | Wireless controller equipment, parallel authentication processing method, system, network device |
JP2022054382A (en) * | 2020-09-25 | 2022-04-06 | ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド | Authentication method and apparatus, computing device, and medium |
JP7194212B2 (en) | 2020-09-25 | 2022-12-21 | ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド | Authentication methods and devices, computing equipment, and media |
Also Published As
Publication number | Publication date |
---|---|
JP5478591B2 (en) | 2014-04-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6066647B2 (en) | Device apparatus, control method thereof, and program thereof | |
JP6166596B2 (en) | Authorization server system, control method therefor, and program | |
US20180082053A1 (en) | Application token through associated container | |
JP6055934B2 (en) | Bi-directional authorization system, client and method | |
US9626137B2 (en) | Image forming apparatus, server device, information processing method, and computer-readable storage medium | |
JP6198477B2 (en) | Authority transfer system, authorization server system, control method, and program | |
CA2758810C (en) | Collaborative rules based security | |
JP6245949B2 (en) | Authorization server system, control method thereof, and program thereof. | |
JP6141076B2 (en) | System, control method therefor, access management service system, control method therefor, and program | |
JP6929181B2 (en) | Devices and their control methods and programs | |
US20140230020A1 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
US20120246695A1 (en) | Access control of distributed computing resources system and method | |
JP7096736B2 (en) | System and data processing method | |
WO2017114262A1 (en) | Method for managing distributed storage system, and distributed storage system | |
JP2017004301A (en) | Authentication server system, method, program, and storage medium | |
JP2014534515A5 (en) | ||
JP5478591B2 (en) | Information system and authentication state management method thereof | |
JP2013140480A (en) | Server system, service providing server, and control method | |
JP2007048241A (en) | Access control system, access control method and access control program | |
US20180241748A1 (en) | Authentication server, authentication method, and program | |
JP2013182302A (en) | Network system, authentication cooperation device, authentication cooperation method, and program | |
JP2007058720A (en) | License management system and method, license server, transfer license server, and program | |
JP5268785B2 (en) | Login restriction method for Web server system | |
JP4573559B2 (en) | Distributed authentication system, load distribution apparatus and authentication server, and load distribution program and authentication program | |
JP2014142732A (en) | Authority delegation system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130515 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131016 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131112 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131227 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140204 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140210 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5478591 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |