JP2016186708A - Access control device, access control system, access control method, and program - Google Patents
Access control device, access control system, access control method, and program Download PDFInfo
- Publication number
- JP2016186708A JP2016186708A JP2015066479A JP2015066479A JP2016186708A JP 2016186708 A JP2016186708 A JP 2016186708A JP 2015066479 A JP2015066479 A JP 2015066479A JP 2015066479 A JP2015066479 A JP 2015066479A JP 2016186708 A JP2016186708 A JP 2016186708A
- Authority
- JP
- Japan
- Prior art keywords
- access
- terminal
- information
- access control
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、ネットワークストレージ等の記憶手段に対するアクセス制御に関する。 The present invention relates to access control for storage means such as network storage.
ネットワークストレージのセキュリティ対策としては、MAC(Media Access Control)アドレスやIP(Internet Protocol)アドレスといった端末固有の情報を使用した接続制御、いわゆるユーザ認証のようなユーザ固有の情報を使用した接続制御、ファイルシステムによるアクセス権を使用した接続制御などが一般的である。しかし、いずれのセキュリティ対策も、一長一短があり、万全な対策とはいえない。例えば、MACアドレスやIPアドレスは、偽装が比較的容易である。また、パスワード等によるユーザ認証は、認証に用いる情報が第三者に漏えいした場合に、いわゆる「なりすまし」が可能になってしまう。 Network storage security measures include connection control using device-specific information such as MAC (Media Access Control) address and IP (Internet Protocol) address, connection control using user-specific information such as so-called user authentication, file Connection control using access rights by the system is common. However, each security measure has its merits and demerits, and is not a perfect countermeasure. For example, MAC addresses and IP addresses are relatively easy to impersonate. In addition, user authentication using a password or the like enables so-called “spoofing” when information used for authentication is leaked to a third party.
特許文献1は、ネットワークを介した情報(コンテンツ)のやり取りにおいて、コンテンツとユーザのIDとを組み合わせた値のハッシュ値をアクセスIDとして用いる技術を開示している。また、特許文献2は、記憶装置上のデータへの不正アクセスを排除するセキュアシステムにおいて、記憶装置のIDと当該記憶装置が接続されたホスト装置のIDとを用いてアクセスを制御することを開示している。
Patent Document 1 discloses a technique that uses a hash value of a value obtained by combining content and a user ID as an access ID in exchanging information (content) via a network.
特許文献1に記載の技術は、ユーザのIDが他人に盗まれた場合に、なりすましによる偽装を防ぐことができない。また、特許文献2に記載の技術も、ホスト装置が盗難された場合などに不正なアクセスが行われる可能性がある。
The technique described in Patent Document 1 cannot prevent impersonation due to impersonation when the user's ID is stolen by another person. In the technique described in
本発明は、なりすまし等による不正なアクセスが行われないようにすることを目的の一つとする。 An object of the present invention is to prevent unauthorized access by impersonation or the like.
本発明は、端末を識別する第1識別情報と、ユーザを識別する第2識別情報と、アクセス先を識別する第3識別情報とを用いて、当該アクセス先に対する当該端末及び当該ユーザによるアクセス権限を表すアクセス情報を生成する生成手段と、前記生成されたアクセス情報を端末に送信する送信手段と、所定の端末から所定のアクセス先に対してアクセスが要求された場合において、当該端末から前記アクセス情報が送信されたときには、当該送信されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御し、当該端末から前記アクセス情報が送信されなかったときには、前記生成手段にアクセス情報を生成させ、当該生成されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御する制御手段とを備えるアクセス制御装置を提供する。 The present invention uses the first identification information for identifying the terminal, the second identification information for identifying the user, and the third identification information for identifying the access destination, and the access authority by the terminal and the user for the access destination Generating means for generating access information representing the access information, transmitting means for transmitting the generated access information to the terminal, and when the access is requested from the predetermined terminal to the predetermined access destination, the access from the terminal When the information is transmitted, the access to the access destination is controlled based on the transmitted access information. When the access information is not transmitted from the terminal, the generation unit generates the access information, and the generation And a control means for controlling access to the access destination based on the access information To provide a control device.
また、本発明は、前記アクセス制御装置と前記端末とを備えるアクセス制御システムを提供する。 The present invention also provides an access control system comprising the access control device and the terminal.
また、本発明は、端末を識別する第1識別情報と、ユーザを識別する第2識別情報と、アクセス先を識別する第3識別情報とを用いて、当該アクセス先に対する当該端末及び当該ユーザによるアクセス権限を表すアクセス情報を生成する生成処理を実行し、前記生成処理によって生成されたアクセス情報を端末に送信し、所定の端末から所定のアクセス先に対してアクセスが要求された場合において、当該端末から前記アクセス情報が送信されたときには、当該送信されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御し、当該端末から前記アクセス情報が送信されなかったときには、前記生成処理を実行してアクセス情報を生成し、当該生成されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御するアクセス制御方法を提供する。 Further, the present invention uses the first identification information for identifying the terminal, the second identification information for identifying the user, and the third identification information for identifying the access destination. A generation process for generating access information representing access authority is executed, the access information generated by the generation process is transmitted to the terminal, and when access is requested from a predetermined terminal to a predetermined access destination, When the access information is transmitted from the terminal, access to the access destination is controlled based on the transmitted access information. When the access information is not transmitted from the terminal, the generation process is executed to perform access. Generating information and controlling access to the access destination based on the generated access information. To provide a scan control method.
また、本発明は、コンピュータに、端末を識別する第1識別情報と、ユーザを識別する第2識別情報と、アクセス先を識別する第3識別情報とを用いて、当該アクセス先に対する当該端末及び当該ユーザによるアクセス権限を表すアクセス情報を生成する生成処理を実行する第1ステップと、前記生成処理によって生成されたアクセス情報を端末に送信する第2ステップと、所定の端末から所定のアクセス先に対してアクセスが要求された場合において、当該端末から前記アクセス情報が送信されたときには、当該送信されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御し、当該端末から前記アクセス情報が送信されなかったときには、前記生成処理を実行しアクセス情報を生成し、当該生成されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御する第3ステップとを実行させるためのプログラムを提供する。 The present invention also provides a computer using the first identification information for identifying the terminal, the second identification information for identifying the user, and the third identification information for identifying the access destination. A first step of executing a generation process for generating access information representing an access right by the user; a second step of transmitting the access information generated by the generation process to the terminal; and a predetermined terminal to a predetermined access destination When access is requested to the terminal, when the access information is transmitted from the terminal, access to the access destination is controlled based on the transmitted access information, and the access information is not transmitted from the terminal. The access information is generated by executing the generation process, and the access information is generated based on the generated access information. It provides a program for executing the third step of controlling access to the access destination.
本発明によれば、なりすまし等による不正なアクセスが行われないようにすることが可能である。 According to the present invention, it is possible to prevent unauthorized access by impersonation or the like.
[第1実施形態]
図1は、本発明の一実施形態に係るアクセス制御装置1の構成を示すブロック図である。アクセス制御装置1は、生成部11と、送信部12と、制御部13とを備える。また、アクセス制御装置1は、端末2及び記憶装置3に接続される。なお、記憶装置3は、アクセス制御装置1に含まれる構成要素であってもよい。また、端末2及び記憶装置3は、アクセス制御装置1に複数接続されてもよい。
[First Embodiment]
FIG. 1 is a block diagram showing a configuration of an access control apparatus 1 according to an embodiment of the present invention. The access control device 1 includes a
生成部11は、アクセス情報を生成する。ここにおいて、アクセス情報とは、アクセス先の記憶装置3に対するアクセス権限を表す情報をいう。アクセス情報は、例えば、記憶装置3にアクセスできるか否かを特定可能なデータである。また、ここでいうアクセス先は、記憶装置3全体ではなく、記憶装置3の特定の記憶領域又は特定のファイルのことであってもよい。アクセス情報を生成する処理のことを、以下においては「生成処理」という。
The
生成部11は、例えば、記憶装置3にアクセスする端末2を識別する識別情報と、端末2のユーザを識別する識別情報と、アクセス先の記憶装置3を識別する識別情報とを用いて生成処理を実行する。以下においては、説明の便宜上、端末2を識別する識別情報を「第1識別情報」、ユーザを識別する識別情報を「第2識別情報」、記憶装置3を識別する識別情報を「第3識別情報」という。
The
生成部11は、あらかじめ決められた規則に従ったアクセス権限をユーザに設定することが可能である。例えば、生成部11は、端末2に割り当てられたIPアドレスに応じてアクセス権限を異ならせてもよいし、端末2に割り当てられたIPアドレスと記憶装置3に割り当てられたIPアドレスとの対応関係に応じたアクセス権限を設定してもよい。なお、アクセス権限は、記憶装置3のフォルダ毎又はファイル毎に異なっていてもよく、ユーザが記憶装置3にファイルをアップロードするときに設定可能であってもよい。
The
第1識別情報は、端末2に固有の情報であり、例えばMACアドレスやIPアドレスである。ただし、第1識別情報は、端末2を一意的に特定可能なデータであれば、その具体的なデータの種別を問わない。第2識別情報は、ユーザに一意的に割り当てられた情報であり、例えばIDとパスワードの組である。あるいは、第2識別情報は、ユーザの指紋、声紋、虹彩、指の静脈などのパターンを表す生体情報であってもよい。第3識別情報は、記憶装置3に固有の情報であり、第1識別情報と同様にMACアドレス等であってもよいが、記憶装置3にあらかじめ割り当てられた所定の文字列や数字列であってもよい。
The first identification information is information unique to the
送信部12は、生成部1により生成されたアクセス情報を端末2に送信する。端末2は、アクセス制御装置1からアクセス情報を受信し、受信したアクセス情報を用いて記憶装置3にアクセスする。なお、アクセス情報は、これを記憶するアクセス制御装置1によって異なる。また、記憶装置3が複数のユーザによって使用される場合、アクセス情報は、ユーザ毎に異なる。
The
制御部13は、端末2による記憶装置3へのアクセスを制御する。ここでいう制御とは、記憶装置3に対するアクセスを許可し、又は制限することをいう。制御部13は、端末2からアクセス情報が送信された場合には、送信されたアクセス情報に基づいて記憶装置3に対するアクセスを制御する。また、制御部13は、端末2からアクセス情報が送信されなかった場合、すなわち端末2がアクセス情報を送信せずにアクセスを要求した場合には、生成処理を実行するように生成部11を制御する。この場合、制御部13は、新たに生成されたアクセス情報に基づいて記憶装置3に対するアクセスを制御する。制御部13は、例えば、それまでアクセスしたことがない端末2からアクセスが要求された場合や、それまで使用していたユーザと異なるユーザが端末2を使用した場合などに、新たに生成されたアクセス情報を用いたアクセス制御を実行する。
The
アクセス制御装置1は、このようなアクセス情報を用いてアクセス制御を実行することにより、不正なアクセスを抑制することが可能である。例えば、アクセス制御装置1によれば、不正なアクセスを試みる第三者がある正当なユーザのパスワード等を盗み、当該正当なユーザになりすまして別の端末からアクセスを試みた場合、ユーザ認証に成功したとしても、生成部11によって別のアクセスIDが新たに生成される。この場合、新たに生成されるアクセスIDに正当なユーザの(本来の)アクセスIDと異なるアクセス権限を設定することにより、不正な第三者によるアクセスを制限することが可能である。
The access control device 1 can suppress unauthorized access by executing access control using such access information. For example, according to the access control device 1, when a third party who attempts unauthorized access steals a password or the like of a legitimate user and impersonates the legitimate user and tries to access from another terminal, the user authentication is successful. Even so, another access ID is newly generated by the
また、アクセス制御装置1は、記憶装置3にアクセスする端末2に応じた複数のアクセスIDを同一のユーザに対して付与することが可能である。これにより、アクセス制御装置1は、端末2に応じたアクセス権限を設定することが可能である。例えば、アクセス制御装置1によれば、あるユーザが常用している端末2に対して所定のアクセス権限を設定するとともに、別の端末2に対して当該所定のアクセス権限よりも制限されたアクセス権限を設定することが可能である。これにより、ユーザが出先などで別の端末2(例えば、不特定多数のユーザが利用可能なコンピュータや、他人のコンピュータ)で記憶装置3にアクセスする場合であっても、あらかじめ設定された一定の制限下でファイルにアクセスすることが可能になる。したがって、アクセス制御装置1によれば、第三者による不正なアクセスを抑制しつつ、正当なユーザによるアクセスを必要以上に妨げないようにすることが可能である。
Further, the access control device 1 can assign a plurality of access IDs corresponding to the
[第2実施形態]
図2は、本発明の別の実施形態に係るストレージシステム10の全体構成を示すブロック図である。ストレージシステム10は、ストレージ装置100と複数の端末2001〜200nとを備えるコンピュータシステムである。なお、ストレージ装置100は、ストレージシステム10に複数備わっていてもよい。
[Second Embodiment]
FIG. 2 is a block diagram showing the overall configuration of the
ストレージ装置100は、いわゆるネットワークストレージであり、ネットワーク300を介して端末2001〜200nによってアクセスされる。ストレージ装置100は、例えば、NAS(Network Attached Storage)である。端末2001〜200nは、ユーザU1〜Umによって用いられる。ストレージ装置100は、本発明に係るアクセス制御装置の一例に相当し、上述した第1実施形態のアクセス制御装置1及び記憶装置3を一体に構成したものである。
The
ここにおいて、mの値(すなわちユーザ数)及びnの値(すなわち端末数)は、特に限定されない。また、mの値とnの値は、同一であってもよいし、異なっていてもよい。例えば、ストレージシステム10においては、あるユーザが複数の端末を目的や用途に応じて使い分けることが可能である。また、ネットワークストレージシステム10においては、一の端末が複数のユーザによって共用されてもよい。
Here, the value of m (that is, the number of users) and the value of n (that is, the number of terminals) are not particularly limited. Further, the value of m and the value of n may be the same or different. For example, in the
端末2001〜200nは、ネットワーク300を介してストレージ装置100にアクセスする情報処理装置である。端末2001〜200nは、例えば、パーソナルコンピュータであってもよいし、スマートフォンやタブレットコンピュータであってもよい。なお、ここにおいて「アクセス」とは、記憶媒体に記憶された情報の読み出し及び書き込みの一方又は双方をいう。
The
端末2001〜200nは、その全てが同一の構成である必要はない。ただし、端末2001〜200nは、いずれも、ネットワーク300を介してストレージ装置100にアクセス可能である点において共通する構成を有している。以下において、端末2001〜200nは、互いを区別する必要がない場合には「端末200」と総称される。なお、ユーザU1〜Umは、互いを区別する必要がない場合には、符号の表記を省略し、単に「ユーザ」という。
The
図3は、端末200のハードウェア構成を示すブロック図である。端末200は、ストレージ装置100にアクセスするための構成として、制御部210と、記憶部220と、通信部230と、入出力部240とを少なくとも備える。なお、端末200は、図示されていない構成を端末2001〜200nの一部又は全部が備えていてもよい。
FIG. 3 is a block diagram illustrating a hardware configuration of the terminal 200. The terminal 200 includes at least a
制御部210は、端末200の各部の動作を制御する。制御部210は、CPU(Central Processing Unit)などの演算処理装置や主記憶装置を備える。制御部210は、プログラムを実行することによって所定の機能を実現することができる。例えば、制御部210は、ストレージ装置100にアクセスする機能を実現するためのプログラムを実行可能である。なお、この機能は、OS(Operation System)などのシステムソフトウェアとアプリケーションソフトウェアのいずれによって実現されてもよい。
The
記憶部220は、制御部210に用いられるデータを記憶する。記憶部220は、ハードディスク、フラッシュメモリなどの記憶媒体を備える。記憶部220は、例えば、ストレージ装置100に書き込むデータやストレージ装置100から読み出したデータを記憶することができる。また、記憶部220は、アクセスIDを記憶する。
The
アクセスIDは、ストレージ装置100に対する端末200のアクセス権限を表す情報である。アクセスIDは、端末200毎に異なる識別情報(ID)であり、ストレージ装置100において、ストレージ装置100の記憶領域に対するアクセスの可否を示す情報に関連付けられる。また、アクセスIDは、端末200毎だけでなく、ユーザ毎にも異なる。さらに、アクセスIDは、ストレージ装置100が複数ある場合には、ストレージ装置100毎にも異なる。すなわち、アクセスIDは、端末200毎、ストレージ装置100毎及びユーザ毎にユニーク(一意的)な値である。アクセスIDは、本発明に係るアクセス情報の一例である。
The access ID is information representing the access authority of the terminal 200 to the
図4は、アクセスIDと端末200及びユーザの関係を示す模式図である。図4に示すように、端末200は、複数のアクセスIDを記憶することができる。端末200に複数のアクセスIDが記憶される場合、それぞれのアクセスIDは、それぞれ異なるユーザに関連付けられる。また、アクセスIDは、同一のユーザについて複数存在し得る。
FIG. 4 is a schematic diagram showing the relationship between the access ID, the terminal 200, and the user. As illustrated in FIG. 4, the terminal 200 can store a plurality of access IDs. When a plurality of access IDs are stored in
図4の例において、ユーザU1は、自身に関連付けられたアクセスIDとしてアクセスID211とアクセスID221とを有している。アクセスID211は、端末2001に記憶されている。一方、アクセスID221は、端末2002に記憶されている。
In the example of FIG. 4, the user U 1 has an
また、図4の例において、端末2002は、ユーザU1のアクセスID221とユーザU2のアクセスID222とを記憶している。端末2002は、ユーザが使用を開始するときやストレージ装置100に対するアクセスを要求するときなど、所定のタイミングでユーザを識別し、識別したユーザに対応するアクセスIDを用いてストレージ装置100と通信を行う。なお、ユーザの識別には、周知のユーザ認証技術(パスワード認証、バイオメトリクス認証など)を用いることが可能である。
Further, in the example of FIG. 4, the terminal 200 2 stores the access ID222 user U 1 of the Access ID221 and the user U 2. Terminal 200 2, such as when the user is requesting access to and
通信部230は、ネットワーク300を介してデータを送受信する。通信部230は、データの送信及び受信に際し、ネットワーク300の通信方式に応じたデータ変換などを実行する。なお、通信部230による通信は、有線であっても無線であってもよい。
The
入出力部240は、いわゆるユーザインタフェースに相当し、データを入力及び出力する。すなわち、ここでいう入出力とは、ユーザとの情報のやり取りをいう。入出力部240は、例えば、出力部として表示装置やスピーカを含む。また、入出力部240は、入力部としてマウスやキーボードを含む。なお、入出力部240は、タッチスクリーンディスプレイのように入力部と出力部が一体に構成されたものを含んでもよい。
The input /
図5は、ストレージ装置100のハードウェア構成を示すブロック図である。ストレージ装置100は、制御部110と、記憶部120と、通信部130とを備える。制御部110、記憶部120及び通信部130は、それぞれ、その性能(処理能力、記憶容量など)に相違はあるものの、基本的な機能は制御部210、記憶部220及び通信部230と共通する。
FIG. 5 is a block diagram illustrating a hardware configuration of the
図6は、ストレージ装置100の機能的構成を示すブロック図である。ストレージ装置100は、制御部110が所定のプログラムを実行することにより、アクセス制御部101、アクセスID管理部102、アクセスID生成部103、アクセスID管理DB104、データアクセス制御部105、データアクセス管理部106、データアクセス管理DB107及びネットワークストレージ108に相当する機能を実現する。
FIG. 6 is a block diagram showing a functional configuration of the
アクセス制御部101は、ストレージ装置100に対する端末200からのアクセスを制御する。アクセス制御部101は、端末200から送信されたアクセスIDに基づいて端末200からのアクセスを制御する。また、アクセス制御部101は、端末200からのアクセス要求にアクセスIDが含まれるか否かを判断し、アクセス要求にアクセス情報が含まれない場合にはアクセスID生成部103に生成処理を実行させ、新たに生成されたアクセスIDを端末2に送信する。
The
さらに、アクセス制御部101は、アクセス要求を送信した端末200や当該端末を使用しているユーザが正当でないと判断した場合にも、アクセスID生成部103に生成処理を実行させる。具体的には、アクセス制御部101は、アクセス要求を送信した端末200や当該端末を使用しているユーザがアクセスIDに関連付けられた端末200やユーザと異なる場合には、端末200又はユーザが正当でないと判断する。
Furthermore, the
アクセスID管理部102は、アクセスIDを管理する。アクセスID管理部102は、アクセス制御部101からの指示(命令)に基づき、アクセスIDの生成、格納、送信などを制御する。アクセスID管理部102は、アクセスID管理DB104に対するデータの読み書きを実行するほか、アクセスID生成部103に対してアクセスIDの生成を指示し、生成されたアクセスIDを受け付ける。
The access
アクセスID生成部103は、アクセスIDを生成する。アクセスID生成部103は、アクセスIDの生成に必要な情報を取得した場合に、取得した情報を用いてアクセスIDを生成する。なお、アクセスIDの生成に必要な情報は、本実施形態においては、後述するユーザID、端末ID、ネットワークストレージID及び日時情報である。アクセスID生成部103は、これらの情報を用いて所定の演算を実行し、さらに暗号化処理を施すことによってアクセスIDを生成する。
The access
図7は、アクセスID管理DB104のデータ構造を例示する図である。アクセスID管理DB104は、アクセスIDを管理するためのデータベース(DB)であり、アクセスIDを端末ID、ユーザID及びネットワークストレージIDと関連付けて記憶する。なお、図7においては、説明の便宜上、アクセスID、ユーザID及び端末IDとして図4に例示した符号が用いられている。端末ID、ユーザID及びネットワークストレージIDは、それぞれ、本発明に係る第1識別情報、第2識別情報及び第3識別情報の一例に相当する。
FIG. 7 is a diagram illustrating an example of the data structure of the access
データアクセス制御部105は、ネットワークストレージ108に対するデータアクセスを制御する。データアクセス制御部105は、アクセス制御部101による制御に従い、ネットワークストレージ108に対するデータのアクセスを許可または禁止する。
The data
データアクセス管理部106は、各端末200及び各ユーザによるデータのアクセスを管理する。データアクセス管理部106は、アクセス制御の対象であるファイル及びフォルダの一覧をデータアクセス管理DB107から取得する。データアクセス管理部106は、取得した一覧をアクセス制御部101に供給する。
The data
本実施形態において、フォルダ及びファイルは、アクセス制御の対象であるものとそうでないものとを含んでもよい。ここにおいて、アクセス制御の対象外のフォルダ(又はファイル)とは、ユーザ及び端末200を問わずアクセス可能なフォルダ(又はファイル)をいう。このようなフォルダ(又はファイル)は、アクセスIDの有無によらず、あらゆる端末200からアクセス可能である。 In the present embodiment, folders and files may include those that are subject to access control and those that are not. Here, a folder (or file) that is not subject to access control refers to a folder (or file) that can be accessed regardless of the user and the terminal 200. Such a folder (or file) can be accessed from any terminal 200 regardless of the presence or absence of the access ID.
図8は、データアクセス管理DB107のデータ構造を例示する図である。データアクセス管理DB107は、アクセスが許可(又は禁止)されるファイル又はフォルダをアクセスID毎に記述したデータベースである。なお、ここにおいて、アクセスリストとは、アクセスIDのリスト(一覧)をいう。また、ここでいうフォルダは、ディレクトリと同義である。
FIG. 8 is a diagram illustrating a data structure of the data
ネットワークストレージ108は、端末200によるアクセスの対象となる記憶領域である。ネットワークストレージ108は、複数のファイルを記憶している。ネットワークストレージ108において、ファイルは、フォルダによって階層的に分類されている。
The
なお、アクセス制御部101は、本発明に係る制御手段及び送信手段の一例に相当する。また、アクセスID生成部103は、本発明に係る生成手段の一例に相当する。また、ネットワークストレージ108は、本発明に係る記憶手段の一例に相当する。
The
ストレージシステム10の構成は、以上のとおりである。ユーザU1〜Umは、端末2001〜200nを用いて、ストレージ装置100へのアクセスを試みる。端末200は、使用中のユーザを識別し、識別したユーザに応じたアクセスIDを用いてストレージ装置100にアクセスを要求する。このとき、端末200は、アクセスIDに加え、ユーザID及び端末IDを送信する。ストレージ装置100は、端末200からのアクセス要求に対し、アクセスIDに基づいてその正当性を判断し、判断結果に応じた処理を実行する。
The configuration of the
ユーザは、ストレージ装置100に対するアクセスが許可された場合、既存のフォルダ及びファイルにアクセスすることが可能である。また、ユーザは、既存のフォルダに対して新たなフォルダ又はファイルを作成することも可能である。ユーザは、フォルダ又はファイルを新規に作成する場合、当該フォルダ又はファイルにアクセス権限を設定することが可能である。さらに、ユーザは、フォルダ又はファイルに設定したアクセス権限を解除することも可能である。
When access to the
図9〜13は、ストレージ装置100が実行する処理を示すフローチャートである。図9は、端末200がストレージ装置100へのアクセスを要求した場合にアクセス制御部101が実行する処理を示すフローチャートである。なお、図9〜13の説明は、便宜上、図6のブロック図に従った動作主体で行われている。しかしながら、これらの図に示す処理は、実質的には、いずれも制御部110が実行しているものである。
9 to 13 are flowcharts showing processing executed by the
まず、アクセス制御部101は、端末200からアクセス要求を取得する(ステップSA1)。本実施形態において、アクセス要求は、アクセスID、端末ID及びユーザIDを含み得るものとする。また、アクセス要求は、アクセス先のフォルダ(又はファイル)を示す情報(パスなど)を含む。アクセス制御部101は、アクセス要求にアクセスIDが含まれるか否かを判断する(ステップSA2)。アクセス制御部101は、アクセスIDの有無に応じて異なる処理を実行する。
First, the
アクセスIDがある場合(SA2:YES)、アクセス制御部101は、アクセス要求に含まれる端末ID及びユーザIDの組み合わせとアクセスIDとの対応関係を判断することにより、アクセス要求の正当性を判断する(ステップSA3)。
When there is an access ID (SA2: YES), the
具体的には、アクセス制御部101は、アクセスID管理DB104に記憶されたデータに基づいて、取得したアクセスIDに関連付けられている端末ID及びユーザIDを特定する。次いで、アクセス制御部101は、アクセスIDから特定した端末ID及びユーザIDとアクセス要求に含まれる端末ID及びユーザIDとを比較し、これらが一致する場合にはアクセス要求が正当であると判断する。一方、アクセス制御部101は、これらが一致しない場合にはアクセス要求が不正であると判断する。
Specifically, the
アクセス要求が正当である場合(SA3:YES)、アクセス制御部101は、データアクセス制御部105にアクセスIDを渡してデータアクセス処理を実行させる(ステップSA4、SA5)。アクセス制御部101は、データアクセス制御部105からデータアクセス処理の実行結果を表すデータを取得し、これを端末200に送信する(ステップSA6)。
If the access request is valid (SA3: YES), the
なお、アクセス要求にアクセスIDが含まれない場合(SA2:NO)か、アクセス要求が不正である場合(SA3:NO)には、アクセス制御部101は、アクセスID生成部103にアクセスID生成処理を実行させる(ステップSA7)。その後、アクセス制御部101は、アクセスID生成処理を実行したアクセスID生成部103からアクセスIDを取得し、これを端末200に送信する(ステップSA8)。
When the access request does not include an access ID (SA2: NO) or when the access request is invalid (SA3: NO), the
図10は、アクセスID生成処理を示すフローチャートである。アクセスID管理部102は、アクセスIDを生成する指示をアクセス制御部101から受け付けると、アクセスIDの生成に必要な情報をアクセスID生成部103に渡し、アクセスIDを生成させる(ステップSB1)。
FIG. 10 is a flowchart showing the access ID generation process. When the access
このとき、アクセスID管理部102は、端末ID、ユーザID、ネットワークストレージID及び日時情報をアクセスID生成部103に渡す。日時情報は、アクセスID生成時の日時を表すデータである。アクセスID生成部103は、これらの情報に基づいてアクセスIDを生成する。アクセスID生成部103は、日時情報を用いてアクセスIDを生成することで、アクセスIDをユニークな値にすることができる。
At this time, the access
アクセスID生成部103がアクセスIDを生成したら、アクセスID管理部102は、生成したアクセスIDを取得してアクセスID管理DB104に格納する(ステップSB2)。アクセスID管理部102は、アクセスIDをキーとして、端末ID、ユーザID及びネットワークストレージIDを記録する。また、アクセスID管理部102は、アクセスIDをアクセス制御部101に渡す(ステップSB3)。
When the access
図11は、データアクセス処理を示すフローチャートである。データアクセス制御部105は、アクセス制御の対象であるフォルダ及びファイルの一覧をアクセス制御部101から取得する(ステップSC1)。また、データアクセス制御部105は、アクセス制御部101から取得したアクセスIDに基づき、当該アクセスIDによってアクセス可能なフォルダ及びファイルの一覧をアクセス制御部101から取得する(ステップSC2)。アクセスIDによってアクセス可能なフォルダ及びファイルは、アクセスID管理DB104を参照することで特定可能である。
FIG. 11 is a flowchart showing data access processing. The data
また、データアクセス制御部105は、アクセス要求を受けたフォルダ及びファイルの一覧を取得する(ステップSC3)。すなわち、このときデータアクセス制御部105は、端末200がアクセスしようとしているフォルダ及びファイルの一覧を取得する。なお、データアクセス制御部105は、アクセス要求に含まれるか否かによらず、ネットワークストレージ108に含まれるフォルダ及びファイルの一覧をネットワークストレージ108から取得してもよい。データアクセス制御部105は、ステップSC3において取得した一覧に含まれるフォルダ及びファイルのそれぞれについて、以下に示す処理を実行する。
Further, the data
データアクセス制御部105は、ステップSC3において取得した一覧に含まれるフォルダ及びファイルについて、以下の処理を実行していないものがあるか否かを判断する(ステップSC4)。データアクセス制御部105は、未処理のフォルダ又はファイルがある場合(SC4:YES)、当該フォルダ又はファイルについてステップSC5、SC6の判断を実行する。
The data
ステップSC5において、データアクセス制御部105は、処理対象であるフォルダ又はファイルがアクセス制御の対象であるか否かを判断する。データアクセス制御部105は、当該フォルダ又はファイルがアクセス制御の対象外であれば(SC5:NO)、当該フォルダ又はファイルについてアクセス制限を施すことなく本処理を終える。
In step SC5, the data
フォルダ又はファイルがアクセス制御の対象である場合(SC5:YES)、データアクセス制御部105は、アクセス要求に含まれるアクセスIDによって当該フォルダ又はファイルにアクセス可能か否かを判断する(ステップSC6)。データアクセス制御部105は、ステップSC2において取得した一覧に基づいてこの判断を行う。データアクセス制御部105は、このフォルダ又はファイルにアクセス可能であれば(SC6:NO)、当該フォルダ又はファイルについてアクセス制限を施すことなく本処理を終える。
If the folder or file is subject to access control (SC5: YES), the data
一方、このフォルダ又はファイルにアクセス不可能である場合(SC6:YES)、データアクセス制御部105は、当該フォルダ又はファイルにアクセス制限処理を実行する(ステップSC7)。アクセス制限処理は、例えば、フォルダ又はファイルを空(不可視)にし、あたかも存在していないかのようにユーザに見せる処理を含む。また、データアクセス制御部105は、アクセス制限の対象がフォルダである場合、当該フォルダに含まれるフォルダ又はファイルについても同様の処理を実行する。
On the other hand, if the folder or file cannot be accessed (SC6: YES), the data
なお、アクセス制限処理は、所定のフォルダ又はファイルに対するアクセスを制限する処理であればよく、上述した処理には限定されない。例えば、アクセス制限処理は、「指定されたフォルダ/ファイルにアクセスできません」といったメッセージを端末200に表示させ、当該フォルダ又はファイルへのアクセスを禁止する処理であってもよい。また、ここでいう制限は、複数の操作が可能なフォルダ又はファイルに対して、その一部の操作を禁止するものであってもよい。フォルダに対する操作は、例えば、当該フォルダの削除、フォルダ名の変更、当該フォルダに対するファイルの新規作成又は削除などである。また、ファイルに対する操作は、例えば、当該ファイルの出力(表示、再生など)、編集、削除、ファイル名の変更などである。 The access restriction process may be any process that restricts access to a predetermined folder or file, and is not limited to the above-described process. For example, the access restriction process may be a process of displaying a message such as “cannot access the specified folder / file” on the terminal 200 and prohibiting access to the folder or file. In addition, the restriction mentioned here may prohibit a part of operations on a folder or a file in which a plurality of operations can be performed. The operations on the folder include, for example, deletion of the folder, change of the folder name, new creation or deletion of a file for the folder. In addition, operations on a file include, for example, output (display, reproduction, etc.), editing, deletion, and file name change of the file.
データアクセス制御部105は、フォルダ又はファイルに対してアクセス制限処理を実行したら、当該フォルダ又はファイルに対する処理を終了する。そして、データアクセス制御部105は、未処理のフォルダ又はファイルがあるか否かを判断する(ステップSC4)。データアクセス制御部105は、未処理のフォルダ又はファイルがあれば、当該フォルダ又はファイルに対してステップSC5〜SC7の処理を実行する。データアクセス制御部105は、未処理のフォルダ又はファイルがなくなるまでこれらの処理を繰り返す。
When the data
全てのフォルダ及びファイルに対して処理を実行したら、データアクセス制御部105は、処理結果をアクセス制御部101に供給する(ステップSC8)。例えば、このときデータアクセス制御部105は、端末200から受信したアクセスIDによってアクセス可能なフォルダ及びファイルを一覧表示するデータをアクセス制御部101に供給する。
When the processing is executed for all folders and files, the data
図12は、フォルダ又はファイルに対してアクセス制御を追加する処理を示すフローチャートである。フォルダ又はファイルに対してアクセス制御を追加するとき、ユーザは、端末200を用いて、当該フォルダ又はファイルに対してアクセス制御追加フラグとアクセス制御情報とを付与する。アクセス制御情報は、フォルダ又はファイルに対するアクセス権限を表すデータであり、例えば、アクセスを許可又は制限するアクセスIDを記述したデータである。ストレージ装置100は、端末200からアクセス制御追加フラグ及びアクセス制御情報を受信すると、図12に示す処理を実行する。
FIG. 12 is a flowchart showing processing for adding access control to a folder or a file. When adding access control to a folder or file, the user uses the terminal 200 to give an access control addition flag and access control information to the folder or file. The access control information is data representing access authority for a folder or a file, for example, data describing an access ID that permits or restricts access. When the
データアクセス制御部105は、アクセス制御部101を介して、アクセス制御追加フラグ及びアクセス制御情報を取得する(ステップSD1)。また、データアクセス制御部105は、アクセス制御追加フラグ及びアクセス制御情報が付与されたフォルダ又はファイルのパスを取得する(ステップSD2)。データアクセス制御部105は、取得したパスとアクセス制御情報をデータアクセス管理部106に渡し、データアクセス管理DB107を更新させる(ステップSD3)。
The data
図13は、フォルダ又はファイルに対するアクセス制御を削除(解除)する処理を示すフローチャートである。フォルダ又はファイルに対するアクセス制御を削除するとき、ユーザは、端末200を用いて、当該フォルダ又はファイルに対してアクセス制御削除フラグを付与する。ストレージ装置100は、端末200からアクセス制御削除フラグを受信すると、図13に示す処理を実行する。
FIG. 13 is a flowchart showing processing for deleting (releasing) access control for a folder or file. When deleting access control for a folder or file, the user uses the terminal 200 to give an access control deletion flag to the folder or file. When the
データアクセス制御部105は、アクセス制御部101を介して、アクセス制御削除フラグを取得する(ステップSE1)。また、データアクセス制御部105は、アクセス制御削除フラグが付与されたフォルダ又はファイルのパスを取得する(ステップSE2)。データアクセス制御部105は、取得したパスをデータアクセス管理部106に渡し、データアクセス管理DB107を更新させる(ステップSE3)。
The data
[変形例]
本発明は、上述した実施形態に限らず、以下の変形例に示す形態でも実施可能である。また、本発明は、複数の変形例を組み合わせてもよい。
[Modification]
The present invention is not limited to the above-described embodiment, and can also be implemented in the forms shown in the following modifications. Moreover, you may combine a some modification in this invention.
(1)変形例1
アクセス制御の追加及び削除は、ストレージ装置100において端末200のユーザの操作によらずに実行されてもよい。例えば、アクセス制御の追加及び削除は、ストレージ装置100の管理者によって行われてもよい。また、ストレージ装置100は、所定の条件を満たした場合に特定のフォルダ又はファイルに対するアクセス権限を変更(更新)したり、ファイルが追加された場合に当該ファイルが格納されたフォルダと同様のアクセス権限を当該ファイルに設定したりしてもよい。
(1) Modification 1
The addition and deletion of access control may be executed in the
(2)変形例2
本発明は、いわゆるオブジェクトストレージに対しても適用可能である。この場合、上述した「ファイル」は、「オブジェクト」に読み替えればよい。また、本発明をオブジェクトストレージに対して適用した場合には、ファイルのパスに代えてオブジェクトのIDを用いればよい。
(2)
The present invention is also applicable to so-called object storage. In this case, the “file” described above may be read as “object”. Further, when the present invention is applied to an object storage, an object ID may be used instead of a file path.
(3)変形例3
本発明は、アクセス制御装置のほか、アクセス制御装置を備えたストレージ装置又はストレージシステム、アクセス制御方法、本発明に係るアクセス制御装置をコンピュータに実現させるためのプログラムなどの形態でも提供され得る。また、本発明に係るプログラムは、記録媒体に記録された形態で提供されてもよいし、ネットワークを介してアクセス制御装置にダウンロードされる形態で提供されてもよい。
(3)
The present invention can be provided in the form of a storage apparatus or storage system including an access control apparatus, an access control method, a program for causing a computer to implement the access control apparatus according to the present invention, in addition to the access control apparatus. The program according to the present invention may be provided in a form recorded on a recording medium, or may be provided in a form downloaded to an access control apparatus via a network.
1 アクセス制御装置
11 生成部
12 送信部
13 制御部
2 端末
3 記憶装置
10 ストレージシステム
100 ストレージ装置
101 アクセス制御部
102 アクセスID管理部
103 アクセスID生成部
104 アクセスID管理DB
105 データアクセス制御部
106 データアクセス管理部
107 データアクセス管理DB
108 ネットワークストレージ
110、210 制御部
120、220 記憶部
130、230 通信部
240 入出力部
200、2001、2002、…、200n 端末
300 ネットワーク
U、U1、U2、…、Um ユーザ
DESCRIPTION OF SYMBOLS 1
105 Data
108
Claims (8)
前記生成されたアクセス情報を端末に送信する送信手段と、
所定の端末から所定のアクセス先に対してアクセスが要求された場合において、当該端末から前記アクセス情報が送信されたときには、当該送信されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御し、当該端末から前記アクセス情報が送信されなかったときには、前記生成手段にアクセス情報を生成させ、当該生成されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御する制御手段と
を備えるアクセス制御装置。 Using the first identification information for identifying the terminal, the second identification information for identifying the user, and the third identification information for identifying the access destination, access information representing the access authority by the terminal and the user for the access destination Generating means for generating
Transmitting means for transmitting the generated access information to a terminal;
When access is requested from a predetermined terminal to a predetermined access destination, when the access information is transmitted from the terminal, access to the access destination is controlled based on the transmitted access information, An access control apparatus comprising: control means for causing the generation means to generate access information when the terminal does not transmit the access information and controlling access to the access destination based on the generated access information.
前記送信されたアクセス情報が不正である場合に、前記生成手段にアクセス情報を生成させ、当該生成されたアクセス情報に基づいて前記所定のアクセス先に対するアクセスを制御する
請求項1に記載のアクセス制御装置。 The control means includes
The access control according to claim 1, wherein when the transmitted access information is illegal, the generation unit generates access information and controls access to the predetermined access destination based on the generated access information. apparatus.
前記第1識別情報、前記第2識別情報及び前記第3識別情報の少なくともいずれかが異なる場合に、異なるアクセス情報を生成する
請求項1又は2に記載のアクセス制御装置。 The generating means includes
The access control apparatus according to claim 1, wherein different access information is generated when at least one of the first identification information, the second identification information, and the third identification information is different.
前記第1識別情報、前記第2識別情報、前記第3識別情報及び日時情報を用いてアクセス情報を生成する
請求項1ないし3のいずれか1項に記載のアクセス制御装置。 The generating means includes
The access control apparatus according to claim 1, wherein access information is generated using the first identification information, the second identification information, the third identification information, and date / time information.
前記端末と
を備えるアクセス制御システム。 An access control device according to any one of claims 1 to 5,
An access control system comprising the terminal.
前記生成処理によって生成されたアクセス情報を端末に送信し、
所定の端末から所定のアクセス先に対してアクセスが要求された場合において、当該端末から前記アクセス情報が送信されたときには、当該送信されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御し、当該端末から前記アクセス情報が送信されなかったときには、前記生成処理を実行してアクセス情報を生成し、当該生成されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御する
アクセス制御方法。 Using the first identification information for identifying the terminal, the second identification information for identifying the user, and the third identification information for identifying the access destination, access information representing the access authority by the terminal and the user for the access destination Execute the generation process to generate
Sending the access information generated by the generation process to the terminal;
When access is requested from a predetermined terminal to a predetermined access destination, when the access information is transmitted from the terminal, access to the access destination is controlled based on the transmitted access information, An access control method for generating access information by executing the generation process when the access information is not transmitted from a terminal, and controlling access to the access destination based on the generated access information.
端末を識別する第1識別情報と、ユーザを識別する第2識別情報と、アクセス先を識別する第3識別情報とを用いて、当該アクセス先に対する当該端末及び当該ユーザによるアクセス権限を表すアクセス情報を生成する生成処理を実行する第1ステップと、
前記生成処理によって生成されたアクセス情報を端末に送信する第2ステップと、
所定の端末から所定のアクセス先に対してアクセスが要求された場合において、当該端末から前記アクセス情報が送信されたときには、当該送信されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御し、当該端末から前記アクセス情報が送信されなかったときには、前記生成処理を実行しアクセス情報を生成し、当該生成されたアクセス情報に基づいて当該アクセス先に対するアクセスを制御する第3ステップと
を実行させるためのプログラム。 On the computer,
Using the first identification information for identifying the terminal, the second identification information for identifying the user, and the third identification information for identifying the access destination, access information representing the access authority by the terminal and the user for the access destination A first step of executing a generation process for generating
A second step of transmitting the access information generated by the generation process to the terminal;
When access is requested from a predetermined terminal to a predetermined access destination, when the access information is transmitted from the terminal, access to the access destination is controlled based on the transmitted access information, When the access information is not transmitted from the terminal, the generation process is executed to generate access information, and a third step of controlling access to the access destination based on the generated access information is executed. program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015066479A JP2016186708A (en) | 2015-03-27 | 2015-03-27 | Access control device, access control system, access control method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015066479A JP2016186708A (en) | 2015-03-27 | 2015-03-27 | Access control device, access control system, access control method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2016186708A true JP2016186708A (en) | 2016-10-27 |
Family
ID=57203738
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015066479A Pending JP2016186708A (en) | 2015-03-27 | 2015-03-27 | Access control device, access control system, access control method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2016186708A (en) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002132730A (en) * | 2000-10-20 | 2002-05-10 | Hitachi Ltd | System and method for authentication or access management based on reliability and disclosure degree of personal information |
JP2004151880A (en) * | 2002-10-29 | 2004-05-27 | Nippon Telegr & Teleph Corp <Ntt> | Cooperative service using device, server, cooperative service using method, cooperative service method, cooperative service using program and cooperative service program |
US20050108551A1 (en) * | 2003-11-18 | 2005-05-19 | Toomey Christopher N. | Method and apparatus for trust-based, fine-grained rate limiting of network requests |
JP2006215795A (en) * | 2005-02-03 | 2006-08-17 | Fuji Xerox Co Ltd | Server device, control method, and program |
JP2010508589A (en) * | 2006-10-25 | 2010-03-18 | イオヴェイション インコーポレイテッド | Generation and verification of unique device unique identifiers worldwide |
JP2010191807A (en) * | 2009-02-19 | 2010-09-02 | Fuji Xerox Co Ltd | Information repeater system and program |
JP2012108739A (en) * | 2010-11-18 | 2012-06-07 | Nippon Telegr & Teleph Corp <Ntt> | Digital moving image access control system and program |
-
2015
- 2015-03-27 JP JP2015066479A patent/JP2016186708A/en active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002132730A (en) * | 2000-10-20 | 2002-05-10 | Hitachi Ltd | System and method for authentication or access management based on reliability and disclosure degree of personal information |
JP2004151880A (en) * | 2002-10-29 | 2004-05-27 | Nippon Telegr & Teleph Corp <Ntt> | Cooperative service using device, server, cooperative service using method, cooperative service method, cooperative service using program and cooperative service program |
US20050108551A1 (en) * | 2003-11-18 | 2005-05-19 | Toomey Christopher N. | Method and apparatus for trust-based, fine-grained rate limiting of network requests |
JP2006215795A (en) * | 2005-02-03 | 2006-08-17 | Fuji Xerox Co Ltd | Server device, control method, and program |
JP2010508589A (en) * | 2006-10-25 | 2010-03-18 | イオヴェイション インコーポレイテッド | Generation and verification of unique device unique identifiers worldwide |
JP2010191807A (en) * | 2009-02-19 | 2010-09-02 | Fuji Xerox Co Ltd | Information repeater system and program |
JP2012108739A (en) * | 2010-11-18 | 2012-06-07 | Nippon Telegr & Teleph Corp <Ntt> | Digital moving image access control system and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8505084B2 (en) | Data access programming model for occasionally connected applications | |
EP3500972B1 (en) | Protection feature for data stored at storage service | |
RU2637878C2 (en) | Authentication of processes and resource permission | |
JP4007873B2 (en) | Data protection program and data protection method | |
US9787655B2 (en) | Controlling access to resources on a network | |
US9507964B2 (en) | Regulating access using information regarding a host machine of a portable storage drive | |
US20140108755A1 (en) | Mobile data loss prevention system and method using file system virtualization | |
JP2007241562A (en) | Computer readable recording medium having device driver program recorded thereon, storage device access method and storage device access system | |
TWI652592B (en) | Storage device and access control method thereof | |
WO2017112641A1 (en) | Dynamic management of protected file access | |
JP2007156959A (en) | Access control program, information processor, and access control method | |
JPWO2013080659A1 (en) | Confidential information leakage prevention system, confidential information leakage prevention method, and program | |
US20070271472A1 (en) | Secure Portable File Storage Device | |
WO2017112640A1 (en) | Obtaining a decryption key from a mobile device | |
EP3759629B1 (en) | Method, entity and system for managing access to data through a late dynamic binding of its associated metadata | |
JP2012118833A (en) | Access control method | |
JP4556636B2 (en) | Dynamic organization management system, dynamic organization management method, dynamic organization management device, and dynamic organization management program | |
US9733852B2 (en) | Encrypted synchronization | |
JP2016186708A (en) | Access control device, access control system, access control method, and program | |
KR101545897B1 (en) | A server access control system by periodic authentification of the smart card | |
JP7087932B2 (en) | Storage device, data sharing system and data sharing method | |
JP7008595B2 (en) | Service integrated authentication authorization system and service integrated authentication authorization method | |
JP2006190050A (en) | Multitask execution system and multitask execution method | |
JP6653249B2 (en) | Control server | |
WO2021172050A1 (en) | Secondary use management device, secondary use management method, and computer-readable recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170428 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170516 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170712 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171010 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171207 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180508 |