JP3973563B2 - Login request receiving apparatus, login request receiving method, and program therefor - Google Patents
Login request receiving apparatus, login request receiving method, and program therefor Download PDFInfo
- Publication number
- JP3973563B2 JP3973563B2 JP2003001391A JP2003001391A JP3973563B2 JP 3973563 B2 JP3973563 B2 JP 3973563B2 JP 2003001391 A JP2003001391 A JP 2003001391A JP 2003001391 A JP2003001391 A JP 2003001391A JP 3973563 B2 JP3973563 B2 JP 3973563B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- access
- authentication
- login
- input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、コンピュータシステムのセキュリティ管理に関し、特にコンピュータシステムに対するアクセス要求の正当性を判定する技術に関する。
【0002】
【従来の技術】
企業の社内システムなど、予め定められたユーザ(例えば、社員等)だけにアクセス権限が与えられている閉じたシステムにおいて、権限あるユーザがシステムの外部からアクセスすることを認めている場合がある。
【0003】
【発明が解決しようとする課題】
前記のようなシステムが外部からアクセス要求を受けたとき、真に権限あるユーザであるかどうかを確認することは、セキュリティ管理上極めて重要である。従って、係るシステムでは、通常、不正アクセスを防止するため、ユーザからのアクセス要求またはログイン要求を受けたとき、そのユーザが権限あるユーザであるかどうかを確認する(ユーザ認証)。このユーザ認証の方法として、パスワードによる認証や指紋などを用いた生体認証等が知られている。
【0004】
しかし、パスワードは盗まれたり、解読されたりすることもあるし、指紋はダミーを作成されてしまえば不正アクセスを許すことになってしまう。
【0005】
そこで、本発明の目的は、不正アクセスを防止するためのあらたなユーザ認証技術を提供することである。
【0007】
本発明のさらに別の目的は、ログイン要求があったときのログイン許否判定を支援することである。
【0008】
【課題を解決するための手段】
本発明の一つの態様に従う、コンピュータシステムに対するユーザ端末からのアクセス要求を受けて、当該ユーザの認証を行うログイン要求受付装置は、
前記ユーザのユーザIDおよびパスワード、ならびに、前記ユーザの前記コンピュータシステムへの過去のアクセスに関する情報の入力を受け付ける受付手段と、
前記ユーザについて、第1および第2の認証を行う認証手段と、
過去の通信記録に関する情報を記録するアクセスログと、を有し、
前記認証手段は、前記入力を受け付けたユーザIDおよびパスワードを予め登録されているユーザIDおよびパスワードと照合することにより第1の認証を行い、前記入力を受け付けた前記過去のアクセスに関する情報を、前記アクセスログに記録される過去の通信記録に関する情報と照合することにより第2の認証を行うこと
を特徴とする。
【0011】
本発明の他態様に従う、コンピュータシステムに対するユーザ端末からのアクセス要求を受けて、当該ユーザの認証を行うログイン要求受付方法は、
過去の通信記録に関する情報をアクセスログに記録し、
前記ユーザのユーザIDおよびパスワード、ならびに、前記ユーザの前記コンピュータシステムへの過去のアクセスに関する情報の入力を受け付け、
前記入力を受け付けたユーザIDおよびパスワードを予め登録されているユーザIDおよびパスワードと照合することにより第1の認証を行い、前記入力を受け付けた前記過去のアクセスに関する情報を、前記アクセスログに記録される過去の通信記録に関する情報と照合することにより第2の認証を行うこと
を特徴とする。
【0016】
本発明のさらに他の態様に従う、コンピュータシステムに対するユーザ端末からのアクセス要求を受けて、当該ユーザの認証を行うログイン要求受付をコンピュータに実行させるプログラムは、
過去の通信記録に関する情報をアクセスログに記録するステップと、
前記ユーザのユーザIDおよびパスワード識別情報、および、前記ユーザの前記コンピュータシステムへの過去のアクセスに関する情報の入力を受け付けるステップと、
前記入力を受け付けた前記入力を受け付けたユーザIDおよびパスワードを予め登録されているユーザIDおよびパスワードと照合することにより第1の認証を行うステップと、
前記入力を受け付けた前記過去のアクセスに関する情報を、前記アクセスログに記録される過去の通信記録に関する情報と照合することにより第2の認証を行うステップと、を含むことを特徴とする。
【0017】
【発明の実施の形態】
以下、本発明を適用した一実施形態に係るシステムついて、図面を用いて説明する。
【0018】
本システムの全体構成を図1に示す。本システムは、権限あるユーザ以外のユーザに対してアクセスを制限して、コンピュータシステムを保護するために、ユーザの認証および監視を行うための認証サーバ1を備える。保護すべきコンピュータシステムの好適な例として、本実施形態では企業の社内ネットワーク9を用いて説明する。社内ネットワーク9へアクセスできるのは、その企業の社員等の予め定められている者である。社員等が社内ネットワーク9へアクセスしたいときは、ユーザ端末2からインターネットなどのネットワーク3を介して認証サーバ1へログイン要求をする。このログイン要求が許可されると、そのユーザは社内ネットワーク9へアクセスすることができる。
【0019】
また、社内ネットワーク9へのアクセス要求の正当性の確認等のため、認証サーバ1はアクセス要求をしたユーザを管理する管理者の携帯電話機5との間で、ネットワーク3、無線基地局4および携帯電話機用無線電話網(図示しない)を通じてデータの送受信を行う。
【0020】
ここで、「管理者」は「ユーザ」を直接的、または間接的に管理、監督、監視、あるいは指導する立場にある者を含む。典型的には「管理者」と「ユーザ」とは、いわゆる上司と部下の関係であるが、必ずしもこれに限定されない。たとえば、「ユーザ」が外注先の社員であるときは、「管理者」は外注元の社員でもよいし、「ユーザ」と「管理者」とが相互に相手の行動を監視しあう立場でもよい。
【0021】
認証サーバ1およびユーザ端末2は、いずれも例えば汎用的なコンピュータシステムにより構成され、以下に説明する個々の構成要素または機能は、例えば、コンピュータプログラムを実行することにより実現される。また、携帯電話機5は、必ずしも現在実用されているタイプの携帯電話機でなければならないわけではなく、例えば電子メールやWWWによるインターネット通信機能を有する携帯型およびデスクトップのパーソナルコンピュータやPDA(パーソナルデータアシスタント)や現在のものから将来的に進化した携帯電話機等の他のタイプの携帯通信機器で置き換えられてもよい。
【0022】
認証サーバ1は、ネットワークインタフェース部11と、ログイン処理部12と、Webページ13と、管理者インタフェース14と、管理者テーブル15と、アクセス監視部16と、ユーザテーブル18と、アクセスログ19とを備える。
【0023】
ネットワークインタフェース部11は、ネットワーク3に対するデータの入出力を制御する。さらに、ネットワークインタフェース部11は、社内ネットワーク9へアクセスが許可されたユーザの通信記録(アクセス先や利用サービス)をアクセスログ19に記録する。アクセスログ19は、例えば、ユーザID、利用時間、容量、アクセス先の識別情報(アドレス等)、送受信コマンド、応答コード、送受信文字列等をデータ項目に含む。
【0024】
ユーザテーブル18は、社内ネットワーク9へアクセスする権限を有するユーザの個人情報を記憶する。たとえば、ユーザテーブル18は、図2(a)に示すように、ユーザID181と、パスワード182と、電子メールアドレス183とをデータ項目として有する。アクセス要求を受けたときに、ログイン処理部12がこのユーザテーブル18を参照してユーザ認証を行う。電子メールアドレス183は、社内ネットワーク9内(社内)の電子メールアドレスである。ユーザID181のユーザがユーザ端末2からログインしたとき、ログイン処理部12が電子メールアドレス183へログインの事実を通知するための電子メールを送信する。
【0025】
管理者テーブル15は、ユーザテーブル18に登録されているユーザの管理者を示す情報が登録されている。例えば、管理者テーブル15には、図2(b)に示すように、ユーザID151と、管理者の電子メールアドレス152、153とが対応づけて記憶されている。ここで、管理者の電子メールアドレスが複数あるのは、以下の理由による。すなわち、後述するように、管理者インタフェース14がこの管理者テーブル15を参照して管理者の携帯電話機5へ電子メールを送信する。このとき、複数の電子メールアドレスの中で予め優先順位を定めておき、順位の高い電子メールアドレスから順に送信し、送信できない場合に下位の電子メールアドレスへ送信するようにしてもよい。
【0026】
Webページ13は、認証サーバ1へアクセスしたユーザから情報の入力を受け付けたり、ユーザに情報を提供したりする。Webページ13の一例が図3に示すログイン申請画面100である。ログイン申請画面100の詳細については後述する。
【0027】
ログイン処理部12は、ユーザ端末2からアクセス要求を受け付けたとき、その要求を許可するかどうかを決定する。
【0028】
例えば、社内ネットワーク9へログインを希望するユーザが、ユーザ端末2から認証サーバ1へアクセスすると、ログイン申請画面100がユーザ端末2の図示しない表示部に表示される。そして、ログイン申請画面100から入力された情報を認証サーバ1が受け付ける。
【0029】
ここで、ログイン申請画面100の一例を図3に示す。ログイン申請画面100は、ユーザIDの入力領域101およびパスワードの入力領域102を有する。ログイン処理部12は、ここで入力されたユーザIDおよびパスワードをユーザテーブル18に予め記憶されているものと照合してユーザ認証を行う。ユーザ認証の結果、正規のユーザであることが確認されたら、ログイン処理部12はログインを許可するようにしてもよい。あるいは、後述するようにユーザIDおよびパスワードによる認証に加え、管理者からのログイン許可通知があったときにログインを許可するようにしてもよい。さらに、後述するような追加認証を行ってもよい。
【0030】
ログイン申請画面100は、ログインの付加情報の入力を受け付ける領域をさらに有する。つまり、ログイン申請画面100は、ログインした状態を継続する予定時間(アクセスを希望する時間)の入力領域103と、社内ネットワーク9内のどこへアクセスするか(アクセス先)、または何をするか(利用サービス)を選択するための入力領域104と、ログインする理由の入力領域105とを有する。ログイン付加情報に含まれる項目の一部または全部で、ログイン要求の正当性を確認することができる。ここで入力されたログイン付加情報の一部または全部が、後述するようにログインするユーザの管理者の携帯電話機5へ電子メール等で送信される(図4参照)。
【0031】
ここで入力されたログイン付加情報は、図示しない記憶部に記憶される。このとき、入力領域104に入力された情報は、アクセス先のサーバ名またはURL(Uniform Resource Locator)等、アクセス先を一意に識別可能な情報に置き換えられた後、記憶部に記憶するようにしてもよい。
【0032】
また、ログイン処理部12は、一度社内ネットワーク9へのアクセスを許可した場合であっても、アクセス監視部16または管理者インタフェース14から指示を受けたときなど、所定の場合にはそれを取り消して通信を切断する。
【0033】
管理者インタフェース14は、社内ネットワーク9へログインを希望するユーザの管理者との間で情報を送受信する。例えば、管理者インタフェース14は、電子メール機能を備える。そして、ログイン申請画面100に入力されたログイン付加情報を含むテキストファイルを生成して、アクセス要求をしたユーザの管理者の通信装置5へネットワークインタフェース11を介して送信する。このとき、送信先の電子メールアドレスは、管理者インタフェース14が、管理者テーブル15を参照してアクセス要求をしたユーザのIDと対応する管理者の携帯電話機5の電子メールアドレス152,153を取得する。
【0034】
図4は、上記電子メールを受信した管理者の携帯電話機5にログイン付加情報を表示したときの一例である。つまり、携帯電話機5の表示部51に受信した電子メールの内容が表示される。ここで、付加情報と併せて、アクセス要求をしたユーザを特定するための情報も含まれている。ユーザを特定するための情報は、受信した管理者がユーザを特定するのに十分な情報であればよい。例えば、ユーザID、ユーザ名(ニックネーム、イニシャル等を含む)、あるいは所属部署とユーザ名の組み合わせなどでもよい。
【0035】
また、管理者インタフェース14は、後述するようなアクセス監視部16からのメール通知指示を受けたときも、管理者のメールアドレスへ電子メールを送信する。
【0036】
管理者は、携帯電話機5を操作して、受信した電子メールに対する返信メールを送ることができる。返信メールには、ログイン許可、または不許可を示す情報を添付できる。管理者インタフェース14はこの返信メールを受信し、返信メールがログイン許可を示すときはその旨を、ログイン不許可を示すときはその旨または切断指示をログイン処理部12へ通知する。
【0037】
アクセス監視部16は、アクセスログ19を参照してユーザのアクセスを監視する。そして、予め申告したアクセス先と異なるところへアクセスしたときなど、不正なアクセスを検出したときは、ログイン処理部12へ切断指示をする。アクセス監視部16の処理の詳細は後述する。
【0038】
以上に説明した構成を備える認証サーバ1が行う処理の手順について、図5〜図8のフローチャートを用いて説明する。
【0039】
認証サーバ1の処理は、図5に示すように、ユーザのログインを許可するかどうかを判定するログイン処理S1と、ログインが許可された後、ユーザが社内ネットワーク9へアクセスしている間に行うアクセス中処理S2とに分かれる。
【0040】
認証サーバ1はログイン処理S1として以下の処理を行う。すなわち、社内ネットワーク9へログインを希望するユーザが、ユーザ端末2から認証サーバ1へアクセスすると、これを受け付けてユーザ端末2にログイン申請画面100を表示させる。ユーザが、ログイン申請画面100の各入力項目に必要な情報を入力してログイン申請を行う(S11)。このログイン申請を受け付けると、ログイン処理部12が入力されたユーザIDおよびパスワードと、ユーザテーブル18に登録されているユーザIDおよびパスワードとを照合して、ユーザ認証を行う(S12)。ユーザIDおよびパスワードが一致すると、管理者インタフェース14が、ログイン付加情報を含むテキストファイルを生成する。そして、管理者テーブル15を参照して、ユーザIDに対応する管理者の電子メールアドレス152を取得する。管理者インタフェース14は、生成されたテキストファイルを電子メール機能を利用して管理者へ送信する(S13)。なお、ステップS12とステップS13とは順序が逆でもよい。つまり、ステップS13をステップS12より先に行ってもよい。
【0041】
これにより、アクセスを要求するユーザにはログイン付加情報を入力させ、これをそのユーザの管理者へ通知することができる。ログイン付加情報の通知を受けた管理者は、自分の部下が外部から社内ネットワーク9へログインするために、付加情報としてどのようなことを申請しているか、リアルタイムで確認することができる。この結果、管理者は部下の申請内容が、その部下の業務や直近の行動に照らして矛盾しないかを確認できる。
【0042】
なお、ログイン付加情報は、本実施形態で例示する項目以外に、社内ネットワーク9へのアクセス要求の正当性を管理者が確認できるような情報であれば、他の項目に関する情報を入力させてもよい。
【0043】
次に、認証サーバ1は、アクセス中処理S2として以下の処理を行う。すなわち、図示しない計時部が、ユーザが実際にログインしている時間を計測し、自己申告したログイン予定時間と対比して残り時間を求め、ユーザ端末2に表示させる(S21)。社内ネットワーク9へのログインが許可されている間に、ユーザからログイン時間の延長を求める再申請があるとステップS1のログイン処理を繰り返し(S22:Yes)、再申請された時間を残り時間に追加する。再申請がないときは、ログイン処理部12が実際にアクセスしている時間が申請されたアクセス時間を超過していないか監視する(S23)。そして、実際のログイン時間が申請された時間を超過したとき、ログイン処理部12が強制的にアクセスを遮断する(S24)。
【0044】
なお、アクセスの強制切断の前に、残り時間が所定の時間(たとえば、2分)以下になったところで、警告をしてもよい。また、ステップS22で再申請があったとき、ログイン処理S1の繰り返しは省略してもよい。
【0045】
次に、ログイン処理S1は、図5に示した処理以外に、以下のような処理でもよい。例えば、図6はログイン処理S1の他の態様について示す。この態様では、ログインに当たり管理者の承認を必要とする。すなわち、ステップS11〜S13のあとに、ログイン許可通知を受信するとログインを許可するステップS14を追加してもよい。このログイン許可通知は、例えば、ステップS13でログイン付加情報を送信した管理者の携帯電話機5からの返信メールである。ステップS14では、所定時間内に返信メールを受信しない場合や、ログインを許可しない旨の電子メールを受信したときは、ログイン処理部12はそのアクセス要求を許可しない(S14:No)。
【0046】
この態様では、管理者が携帯電話機5でログイン付加情報の通知を受けると、この内容を確認して、管理者がそのログインを許可するかどうかを判断する。これにより、不審なログイン要求は未然に拒否することができる。
【0047】
また、図6の態様のようにログインに管理者の承認を必要とするかどうかは、ログインをするユーザ、あるいはアクセス先または利用サービスに応じて定めてもよい。この場合は、ユーザに与えられている権限あるいは担当業務、アクセス先等の機密の高さなどに応じて、管理者承認の要否を定めてもよい。
【0048】
ログイン処理S1のさらに別の態様について図7に示す。この態様では、ステップS12とS13との間にユーザの追加認証を行うステップS15が挿入されている。追加認証とは、ステップS12のユーザIDおよびパスワードによる認証に加えて行われる認証で、ログイン処理部12が行う。例えば、過去の通信記録に関する情報(前回のログイン時の理由など)をログイン申請時に入力させ、ログイン処理部12がアクセスログ19に記録されている情報と照合する。この場合、ログイン申請画面100に入力領域をさらに設けて入力させるようにしてもよい。
【0049】
なお、ステップS12のユーザ認証は、ユーザIDおよびパスワードによる認証を、電子証明書による認証またはワンタイムパスワードによる認証と置き換えることもできるし、これらの2つ以上を併用して適用することもできる。
【0050】
次に、アクセス中処理S2についても同様に、図5に示した処理以外の処理を行うこともできる。他の処理態様の例を図8に示す。
【0051】
この処理態様では、切断指示を受けたかどうかの判断を行うステップS25が追加されている。このステップS25は、アクセス監視部16または管理者の携帯電話機5から切断指示を受けたかどうかを判定する。そして、切断指示があったときは、ログイン処理部12がステップS24で強制的に切断する。これにより、アクセス監視部16が例えば不正アクセスを検出したとき、あるいは管理者が不正なアクセスであると判断したときに、その時点で強制的にそのユーザのアクセスを切断することができる。
【0052】
次に、アクセス監視部16が行う処理の詳細について説明する。なお、以下の処理は、複数のユーザが社内ネットワーク9へアクセスしている場合は、ユーザIDをキーにしてユーザごとに行う。
【0053】
アクセス監視部16は、ログイン時にユーザによって申告されたログイン付加情報とアクセスログ19とを比較する。この比較は、例えば、ログイン付加情報の各項目ごとに行い、アクセスログ19に記録されたアクセス先の識別情報とが、ログイン付加情報のアクセス先とが一致するかどうかを判定する。ここで、現実のアクセス先が申告されたアクセス先と一致しない場合、直ちに不正アクセスとしてもよいが、本実施形態では、不一致の回数が所定のしきい値を越えたときに不正アクセスとして検出する。
【0054】
これにより、自己申告とは異なるアクセスを繰り返すと不正なアクセスとして検出される。
【0055】
また、現実のアクセス先に応じて重要度を予め設定しておき(例えば図9参照)、その重要度に応じて不正アクセスとして検出するためのしきい値を定めてもよい。つまり、重要度が高いアクセス先は、重要度が低いアクセス先よりも、少ない(不一致)検出回数で不正アクセスと認定する。
【0056】
図9には、アクセス先別に重要度、および不正アクセス検出のしきい値が定義された重要度定義テーブル50を示す。このテーブル50は、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0057】
アクセス監視部16は、さらに、上記のアクセス先に基づく不正アクセス判定に加え、またはこれとは別に、ユーザが行っているアクセスの態様が、予め定めた不審な行為の類型に含まれるかどうかを判定する。この判定は、アクセス監視部16がアクセスログ19に記憶された内容を分析し、ユーザのアクセスの態様(ユーザが行っている行為)を特定する。そして、そのアクセス態様が不審なアクセスの類型(不審な行為)に属するかどうかを判別する。ここで、不審な行為とは、例えば、一般的に不正と思われるアクセス方法、または、ログイン付加情報に含まれる目的に照らし、その目的とは明らかに異なる行為、あるいはその目的とは関係ないと思われるような行為を含む。一般的に不正と思われるアクセス方法とは、例えば、連続してパスワードエラーを発生させる行為(応答コードを参照して判定する)、および所定時間内に所定数以上のサーバへアクセスするスキャン行為(IPアドレスの末尾を1から100まで順に辿るなど、実在しないサーバも含めてスキャンする行為)などである。不審な行為の中でも、さらに、危険度に応じて予めレベルを設定しておいてもよい。
【0058】
これにより、ユーザ認証をクリアしてログインしたときでも、不審な行為を行うと不正なアクセスとして検出される。
【0059】
ここで、不正なアクセス先を検出したときと同様に、不審な行為を検出すると直ちに不正アクセスとしてもよいが、本実施形態では、不審な行為の回数が所定のしきい値を越えたときに不正アクセスとして検出する。さらに、不正な行為の危険度に応じて不正アクセスとして検出するためのしきい値を定めてもよい(例えば図10)。つまり、危険度の高い不審な行為を検出したときは、危険度が低いものよりも少ない回数で不正アクセスと認定する。
【0060】
図10には、不審な行為別に危険度、および不正アクセス検出のしきい値が定義された危険度定義テーブル60を示す。このテーブル60は、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0061】
上述のようにして不正アクセスを検出したと判断したときは、アクセス監視部16は、予め定められた所定の処理(対策)を実行する。例えば、アクセス監視部16は、不正アクセスを行っているユーザの管理者のメールアドレス(社内ネットワーク9内の通常のメールアドレス、または携帯電話機5のメールアドレス)へ電子メールで通知するよう管理者インタフェース14へ指示したり、強制的にアクセスを切断するためにログイン処理部12へ切断指示をしたりする。管理者へ通知する電子メールには、検出された不正アクセスを行っているユーザを特定するための情報および不正アクセスの内容などが含まれる。
【0062】
アクセス監視部16が行う対策は、現実のアクセス先または不審な行為に基づいて定めてもよいし、所定のルールに基づいて、その時々で定めて行ってもよい。所定のルールの一例を、図11および図12を用いて説明する。すなわち、図11は、示すアクセス先の重要度と不審な行為の危険度とから対策レベルを定めるマトリックス70を示し、図12は、ユーザID別の対策レベルに応じた対策テーブル80を示す。このマトリックス70および対策テーブル80は、いずれも、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0063】
まず、アクセス監視部16がマトリックス70を用いて対策レベルを定める。対策レベルが定まると、対策テーブル80を参照し、ユーザID応じて実施する対策が定まる。
【0064】
次に、アクセス中処理S2として行われるアクセス先を監視するときの処理手順を、図13に示すフローチャートを用いて説明する。
【0065】
まず、アクセス監視部16が、図示しない記憶部に記憶されているログイン付加情報およびアクセスログ19を参照して、アクセス先がユーザが自己申告したアクセス先と一致するかどうかを判定する(S31,S32)。
【0066】
現実のアクセス先が申告したものと一致しない場合(S32:No)、アクセス先別の回数をカウントするためのカウンタをカウントアップする(S33)。そして、アクセス監視部16は、そのカウンタのカウント値が所定のしきい値を越えたかどうかを判定する(S34)。所定のしきい値を越えていた場合は(S34:Yes)、アクセス監視部16は、所定の対策または所定のルールに基づいて定まる対策を実施する(S35)。
【0067】
また、アクセス行為が不正なものであるかどうかの判定を行うときの処理手順を、図14に示すフローチャートを用いて説明する。
【0068】
まず、アクセス監視部16がアクセスログ19を参照して、ユーザの行為を分析ながら監視する(S36)。そして、ユーザが不審な行為を行っていることを検出すると(S37:Yes)、行為別の回数をカウントするためのカウンタをカウントアップする(S38)。アクセス監視部16は、そのカウンタのカウント値が所定のしきい値を越えたかどうかを判定する(S39)。所定のしきい値を越えていた場合は(S39:Yes)、アクセス監視部16は、所定の対策または所定のルールに基づいて定まる対策を実施する(S40)。
【0069】
上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。
【図面の簡単な説明】
【図1】本発明を適用したユーザ認証システムの構成図である。
【図2】管理者テーブルおよびユーザテーブルのデータ項目の一例を示す図である。
【図3】ログイン申請画面の一例を示す図である。
【図4】携帯電話機5が受信した電子メールの内容を表示したときの一例を示す図である。
【図5】認証サーバが行う処理の一例を示すフローチャートである。
【図6】ログイン処理の他の態様を示すフローチャートである。
【図7】ログイン処理の他の態様を示すフローチャートである。
【図8】アクセス中処理の態様を示すフローチャートである。
【図9】重要度定義テーブルの一例を示す図である。
【図10】危険度定義テーブルの一例を示す図である。
【図11】対策レベルを定めるマトリックスの一例を示す図である。
【図12】ユーザID別対策テーブルの一例を示す図である。
【図13】アクセス先を監視するための処理の態様を示すフローチャートである。
【図14】不正な行為を判定するための処理の態様を示すフローチャートである。
【符号の説明】
1…認証サーバ、2…ユーザ端末、3…ネットワーク、4…無線基地局、5…携帯電話機、9…社内ネットワーク、11…ネットワークインタフェース部、12…ログイン処理部、13…Webページ、14…管理者インタフェース、15…管理者テーブル、16…アクセス監視部、18…ユーザテーブル、19…アクセスログ。50…重要度定義テーブル、60…危険度定義テーブル、70…対策レベルを定めるマトリックス、80…ユーザID別対策テーブル。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to security management of a computer system, and more particularly to a technique for determining the validity of an access request to a computer system.
[0002]
[Prior art]
In a closed system in which access authority is given only to a predetermined user (for example, an employee) such as a company internal system, an authorized user may be permitted to access from outside the system.
[0003]
[Problems to be solved by the invention]
When such a system receives an access request from the outside, it is extremely important in terms of security management to confirm whether or not the user is a truly authorized user. Therefore, in such a system, in order to prevent unauthorized access, normally, when an access request or login request is received from a user, it is confirmed whether or not the user is an authorized user (user authentication). Known user authentication methods include password authentication and biometric authentication using fingerprints.
[0004]
However, passwords can be stolen or decrypted, and if a fingerprint is created as a dummy, unauthorized access is permitted.
[0005]
Therefore, an object of the present invention is to provide a new user authentication technique for preventing unauthorized access.
[0007]
Still another object of the present invention is to support login permission / rejection determination when a login request is made.
[0008]
[Means for Solving the Problems]
In accordance with one aspect of the present invention, a login request receiving apparatus that receives an access request from a user terminal to a computer system and authenticates the user,
Accepting means for accepting input of information relating to the user's user ID and password, and past access to the computer system of the user;
Authentication means for performing first and second authentication for the user;
An access log for recording information related to past communication records,
The authentication means performs first authentication by comparing the user ID and password that have received the input with a user ID and password that are registered in advance, and information on the past access that has received the input, Performing second authentication by collating with information on past communication records recorded in the access log
It is characterized by.
[0011]
In accordance with another aspect of the present invention, a login request receiving method for receiving an access request from a user terminal to a computer system and authenticating the user includes:
Record information about past communication records in the access log,
Accepting input of information regarding the user's user ID and password, and past access to the computer system of the user;
The first authentication is performed by comparing the user ID and password that have received the input with a previously registered user ID and password, and information about the past access that has received the input is recorded in the access log. To perform second authentication by collating with information about past communication records
It is characterized by.
[0016]
According to still another aspect of the present invention, a program for receiving a request for access to a computer system from a user terminal and causing a computer to execute a login request reception for authenticating the user,
Recording information about past communication records in an access log;
Receiving the user's user ID and password identification information, and input of information related to past access to the computer system of the user;
Performing the first authentication by collating the user ID and password that received the input with the user ID and password registered in advance,
Performing the second authentication by comparing the information related to the past access that has received the input with the information related to the past communication record recorded in the access log.
[0017]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, a system according to an embodiment to which the present invention is applied will be described with reference to the drawings.
[0018]
The overall structure of this system is shown in FIG. The system includes an
[0019]
Further, in order to confirm the validity of the access request to the in-
[0020]
Here, the “manager” includes a person who is in a position to manage, supervise, monitor, or guide the “user” directly or indirectly. Typically, the “manager” and the “user” have a so-called supervisor-subordinate relationship, but are not necessarily limited thereto. For example, when “User” is an outsourced employee, “Administrator” may be an outsourced employee, or “User” and “Administrator” may monitor each other's actions. .
[0021]
The
[0022]
The
[0023]
The
[0024]
The user table 18 stores personal information of users who have authority to access the
[0025]
In the administrator table 15, information indicating the administrator of the user registered in the user table 18 is registered. For example, as shown in FIG. 2B, the administrator table 15 stores a
[0026]
The
[0027]
When the
[0028]
For example, when a user who wishes to log in to the in-
[0029]
An example of the
[0030]
[0031]
The login additional information input here is stored in a storage unit (not shown). At this time, the information input in the input area 104 is stored in the storage unit after being replaced with information that can uniquely identify the access destination, such as the server name or URL (Uniform Resource Locator) of the access destination. Also good.
[0032]
Further, even if the
[0033]
The
[0034]
FIG. 4 is an example when login additional information is displayed on the
[0035]
The
[0036]
The administrator can send a reply mail to the received electronic mail by operating the
[0037]
The
[0038]
The procedure of the process performed by the
[0039]
As shown in FIG. 5, the processing of the
[0040]
The
[0041]
As a result, the user who requests access can input the login additional information and can notify the administrator of the user. The administrator who has received the notification of the additional login information can confirm in real time what his / her subordinate has applied for as additional information in order to log in to the
[0042]
In addition to the items exemplified in the present embodiment, the login additional information may be information regarding other items as long as the administrator can confirm the validity of the access request to the
[0043]
Next, the
[0044]
Note that a warning may be issued when the remaining time becomes a predetermined time (for example, 2 minutes) or less before the forced disconnection of access. Further, when there is a re-application in step S22, the repetition of the login process S1 may be omitted.
[0045]
Next, the login process S1 may be the following process in addition to the process shown in FIG. For example, FIG. 6 shows another aspect of the login process S1. In this aspect, an administrator's approval is required for login. That is, after step S11 to S13, step S14 for permitting login when a login permission notification is received may be added. This login permission notification is, for example, a reply mail from the
[0046]
In this aspect, when the administrator receives the notification of the login additional information with the
[0047]
Further, as in the aspect of FIG. 6, whether or not the administrator needs to be approved for login may be determined according to a user who logs in, an access destination, or a use service. In this case, whether or not to approve the administrator may be determined according to the authority given to the user, the work in charge, the level of confidentiality of the access destination, or the like.
[0048]
FIG. 7 shows still another aspect of the login process S1. In this aspect, step S15 for performing additional authentication of the user is inserted between steps S12 and S13. The additional authentication is authentication performed in addition to the authentication using the user ID and password in step S12, and is performed by the
[0049]
Note that the user authentication in step S12 can replace the authentication by the user ID and the password with the authentication by the electronic certificate or the authentication by the one-time password, or can be applied in combination of two or more of these.
[0050]
Next, similarly to the in-access processing S2, processing other than the processing shown in FIG. 5 can be performed. An example of another processing mode is shown in FIG.
[0051]
In this processing mode, step S25 for determining whether or not a cutting instruction has been received is added. This step S25 determines whether or not a disconnection instruction has been received from the
[0052]
Next, details of processing performed by the
[0053]
The
[0054]
Thereby, if an access different from the self-report is repeated, it is detected as an unauthorized access.
[0055]
Also, the importance level may be set in advance according to the actual access destination (see, for example, FIG. 9), and a threshold value for detecting unauthorized access may be set according to the importance level. That is, an access destination with a high importance level is identified as an unauthorized access with a smaller (mismatch) detection count than an access destination with a low importance level.
[0056]
FIG. 9 shows an importance level definition table 50 in which importance levels and threshold values for detecting unauthorized access are defined for each access destination. This table 50 is stored, for example, in a storage area (not shown) in the
[0057]
The
[0058]
As a result, even when the user authentication is cleared and the user logs in, a suspicious action is detected as an unauthorized access.
[0059]
Here, as in the case of detecting an unauthorized access destination, unauthorized access may be immediately performed when a suspicious activity is detected, but in this embodiment, when the number of suspicious activities exceeds a predetermined threshold value, Detect as unauthorized access. Furthermore, a threshold value for detecting as unauthorized access may be set according to the risk of unauthorized activity (for example, FIG. 10). That is, when a suspicious action with a high degree of risk is detected, it is recognized as unauthorized access with a smaller number of times than those with a low degree of risk.
[0060]
FIG. 10 shows a risk definition table 60 in which a risk level and a threshold for detecting unauthorized access are defined for each suspicious activity. The table 60 is stored in a storage area (not shown) in the
[0061]
When it is determined that unauthorized access has been detected as described above, the
[0062]
The measures taken by the
[0063]
First, the
[0064]
Next, a processing procedure for monitoring an access destination performed as the in-access processing S2 will be described with reference to a flowchart shown in FIG.
[0065]
First, the
[0066]
If the actual access destination does not match the reported one (S32: No), a counter for counting the number of times by access destination is counted up (S33). Then, the
[0067]
Further, a processing procedure for determining whether or not the access act is illegal will be described with reference to the flowchart shown in FIG.
[0068]
First, the
[0069]
The above-described embodiments of the present invention are examples for explaining the present invention, and are not intended to limit the scope of the present invention only to those embodiments. Those skilled in the art can implement the present invention in various other modes without departing from the gist of the present invention.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of a user authentication system to which the present invention is applied.
FIG. 2 is a diagram illustrating an example of data items of an administrator table and a user table.
FIG. 3 is a diagram illustrating an example of a login application screen.
FIG. 4 is a diagram showing an example when the content of an electronic mail received by the
FIG. 5 is a flowchart illustrating an example of processing performed by an authentication server.
FIG. 6 is a flowchart showing another aspect of login processing.
FIG. 7 is a flowchart showing another aspect of login processing.
FIG. 8 is a flowchart showing an aspect of processing during access.
FIG. 9 is a diagram illustrating an example of an importance level definition table.
FIG. 10 is a diagram illustrating an example of a risk definition table.
FIG. 11 is a diagram illustrating an example of a matrix for determining countermeasure levels.
FIG. 12 is a diagram illustrating an example of a countermeasure table for each user ID.
FIG. 13 is a flowchart illustrating a mode of processing for monitoring an access destination.
FIG. 14 is a flowchart showing a mode of processing for determining an illegal act.
[Explanation of symbols]
DESCRIPTION OF
Claims (8)
前記ユーザのユーザIDおよびパスワード、ならびに、前記ユーザの前記コンピュータシステムへの過去のアクセスに関する情報の入力を受け付ける受付手段と、
前記ユーザについて、第1および第2の認証を行う認証手段と、
過去の通信記録に関する情報を記録するアクセスログと、を有し、
前記受付手段は、前記ユーザの前記コンピュータシステムへの過去のアクセスに関する情報として、前回のログインする理由の入力を受け付け、
前記認証手段は、
前記入力を受け付けたユーザIDおよびパスワードを予め登録されているユーザIDおよびパスワードと照合することにより第1の認証を行い、
前記入力された前回のログインする理由を、前記アクセスログに記録される過去の通信記録に関する情報と照合することにより第2の認証を行うこと
を特徴とするログイン要求受付装置。In a login request accepting apparatus that receives an access request from a user terminal to a computer system and authenticates the user,
Accepting means for accepting input of information relating to the user's user ID and password, and past access to the computer system of the user;
Authentication means for performing first and second authentication for the user;
An access log for recording information related to past communication records,
The accepting means accepts an input of a reason for the previous login as information on past access to the computer system of the user,
The authentication means includes
The first authentication is performed by collating the user ID and password that have received the input with a previously registered user ID and password,
A log-in request acceptance device that performs second authentication by collating the input reason for previous log-in with information related to past communication records recorded in the access log.
前記受付手段は、前記ユーザ端末からのアクセス要求を受けると、前記ユーザ端末に、前記ユーザ識別情報として、ユーザIDおよびパスワードの入力を受け付ける領域、および、前記過去のアクセスに関する情報の入力を受け付ける領域を有するログイン申請画面を前記ユーザ端末に表示させてログイン申請を受け付けることを特徴とするログイン要求受付装置。The login request accepting apparatus according to claim 1,
When receiving the access request from the user terminal, the receiving unit receives an input of a user ID and a password as the user identification information and an input of information related to the past access to the user terminal. A login request receiving apparatus, wherein a login application screen is received by displaying a login application screen on the user terminal.
前記認証手段は、前記ログイン申請画面を介して入力された前記過去のアクセスに関する情報を、前記アクセスログに記録される過去の通信記録に関する情報と照合することにより、前記第2の認証を行うことを特徴とするログイン要求受付装置。The login request accepting device according to claim 2 ,
The authentication means performs the second authentication by collating information on the past access input via the login application screen with information on a past communication record recorded in the access log. A login request accepting device characterized by the above.
前記受付手段は、前記過去のアクセスに関する情報として、ログインする理由の入力を受け付ける領域を有するログイン申請画面を前記ユーザ端末に表示させてログイン申請を受け付け、
前記入力されたログインする理由を、前記アクセスログに記録される過去の通信記録に関する情報と照合することにより第2の認証を行うこと
を特徴とするログイン要求受付装置。In the login request accepting device according to claim 3 ,
The accepting means accepts a login application by displaying a login application screen having an area for accepting an input of a reason for logging in as information on the past access on the user terminal,
A login request accepting apparatus, wherein second authentication is performed by collating the inputted reason for logging in with information related to past communication records recorded in the access log.
過去の通信記録に関する情報をアクセスログに記録し、
前記ユーザのユーザIDおよびパスワード、ならびに、前記ユーザの前記コンピュータシステムへの過去のアクセスに関する情報として、前回のログインする理由の入力を受け付け、
前記入力を受け付けたユーザIDおよびパスワードを予め登録されているユーザIDおよびパスワードと照合することにより第1の認証を行い、
前記入力を受け付けた前回のログインする理由を、前記アクセスログに記録される過去の通信記録に関する情報と照合することにより第2の認証を行うこと
を特徴とするログイン要求受付方法。In a login request receiving method for receiving an access request from a user terminal to a computer system and authenticating the user,
Record information about past communication records in the access log,
As the user ID and password of the user, and information regarding past access to the computer system of the user, an input of a reason for logging in last time is accepted.
The first authentication is performed by collating the user ID and password that have received the input with a previously registered user ID and password,
A login request receiving method, wherein the second authentication is performed by comparing the reason for logging in the previous time when the input is accepted with information related to past communication records recorded in the access log.
前記第1の認証を、ユーザIDおよびパスワードによる認証に代えて、電子証明書による認証、または、ワンタイムパスワードによる認証とすることを特徴とするログイン要求受付方法。The login request accepting apparatus according to claim 5 ,
A login request receiving method, wherein the first authentication is authentication using an electronic certificate or authentication using a one-time password instead of authentication using a user ID and a password.
前記第1の認証を、前記ユーザIDおよびパスワードによる認証、電子証明書による認証、および、ワンタイムパスワードによる認証のうち二つ以上の併用とすることを特徴とするログイン要求受付方法。The login request accepting apparatus according to claim 5 ,
The login request receiving method, wherein the first authentication is a combination of two or more of authentication by the user ID and password, authentication by an electronic certificate, and authentication by a one-time password.
過去の通信記録に関する情報をアクセスログに記録するステップと、
前記ユーザのユーザIDおよびパスワード識別情報、および、前記ユーザの前記コンピュータシステムへの過去のアクセスに関する情報の入力を受け付けるステップと、
前記入力を受け付けた前記入力を受け付けたユーザIDおよびパスワードを予め登録されているユーザIDおよびパスワードと照合することにより第1の認証を行うステップと、
前記入力を受け付けた前記過去のアクセスに関する情報を、前記アクセスログに記録される過去の通信記録に関する情報と照合することにより第2の認証を行うステップと、を含み、
前記情報の入力を受け付けるステップは、前記ユーザの前記コンピュータシステムへの過去のアクセスに関する情報として、前回のログインする理由の入力を受け付け、
前記第2の認証を行うステップは、前記入力された前回のログインする理由を、前記アクセスログに記録される情報と照合することにより認証すること
を特徴とするプログラム。In response to an access request from a user terminal to a computer system, a program for causing a computer to execute a login request reception for authenticating the user,
Recording information about past communication records in an access log;
Receiving the user's user ID and password identification information, and input of information related to past access to the computer system of the user;
Performing the first authentication by collating the user ID and password that received the input with the user ID and password registered in advance;
The information on the past access accepted the input, look including the steps of: performing a second authentication by collating with the historical information regarding the communication record which is recorded in the access log,
The step of accepting the input of the information accepts the input of the reason for the previous log-in as information relating to past access to the computer system of the user,
The program according to claim 2, wherein the step of performing the second authentication is performed by comparing the input reason for the previous login with information recorded in the access log .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003001391A JP3973563B2 (en) | 2003-01-07 | 2003-01-07 | Login request receiving apparatus, login request receiving method, and program therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003001391A JP3973563B2 (en) | 2003-01-07 | 2003-01-07 | Login request receiving apparatus, login request receiving method, and program therefor |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007112931A Division JP2007226827A (en) | 2007-04-23 | 2007-04-23 | Log-in request receiving device and access management device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004213475A JP2004213475A (en) | 2004-07-29 |
JP3973563B2 true JP3973563B2 (en) | 2007-09-12 |
Family
ID=32819426
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003001391A Expired - Fee Related JP3973563B2 (en) | 2003-01-07 | 2003-01-07 | Login request receiving apparatus, login request receiving method, and program therefor |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3973563B2 (en) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4190508B2 (en) * | 2005-02-23 | 2008-12-03 | 日本電信電話株式会社 | Network control system and network control method |
JP2007094493A (en) * | 2005-09-27 | 2007-04-12 | Matsushita Electric Works Ltd | Access control system and method |
JP4933218B2 (en) * | 2006-10-31 | 2012-05-16 | 株式会社野村総合研究所 | Remote access control device |
JP2008117008A (en) * | 2006-10-31 | 2008-05-22 | Nomura Research Institute Ltd | Remote access controller |
JP5039402B2 (en) * | 2007-03-14 | 2012-10-03 | 株式会社野村総合研究所 | Business information protection device |
JP4227658B1 (en) * | 2007-10-31 | 2009-02-18 | Sky株式会社 | Authentication system and authentication program |
JP5055221B2 (en) | 2008-08-01 | 2012-10-24 | 株式会社エヌ・ティ・ティ・ドコモ | Mobile communication method and operation device |
JP5353298B2 (en) * | 2009-02-25 | 2013-11-27 | 日本電気株式会社 | Access authentication system, information processing apparatus, access authentication method, program, and recording medium |
JP5789390B2 (en) * | 2011-03-25 | 2015-10-07 | 株式会社野村総合研究所 | Business information protection device, business information protection method, and program |
JP6287213B2 (en) * | 2014-01-07 | 2018-03-07 | 日本電気株式会社 | Proxy login device, terminal, control method, and program |
JP5952466B2 (en) * | 2015-06-17 | 2016-07-13 | 株式会社野村総合研究所 | Business information protection device, business information protection method, and program |
JP7436051B2 (en) | 2021-12-20 | 2024-02-21 | Necプラットフォームズ株式会社 | Network connection device with VoIP function, its control method and program |
-
2003
- 2003-01-07 JP JP2003001391A patent/JP3973563B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2004213475A (en) | 2004-07-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11836261B2 (en) | Secure credentials control method | |
CA2738466C (en) | Apparatus for shielding sensitive file, server computer of the same, method and computer program product for the same | |
US8141138B2 (en) | Auditing correlated events using a secure web single sign-on login | |
US8327421B2 (en) | System and method for identity consolidation | |
US10339298B2 (en) | Weak password support in a multi-user environment | |
US8601531B1 (en) | System authorization based upon content sensitivity | |
JP2017508194A (en) | System and method for biometric protocol standards | |
US20100125891A1 (en) | Activity Monitoring And Information Protection | |
US20080016563A1 (en) | Systems and methods for measuring cyber based risks in an enterprise organization | |
KR20060010741A (en) | Network security system based on physical location | |
CN108287987A (en) | Data managing method, device, equipment and readable storage medium storing program for executing | |
JP3973563B2 (en) | Login request receiving apparatus, login request receiving method, and program therefor | |
JP2005234729A (en) | Unauthorized access protection system and its method | |
US20050238174A1 (en) | Method and system for secure communications over a public network | |
JP4599882B2 (en) | Unauthorized browsing monitoring system | |
JP3934062B2 (en) | Unauthorized access detection device | |
JP2007226827A (en) | Log-in request receiving device and access management device | |
JP6842951B2 (en) | Unauthorized access detectors, programs and methods | |
JP5730735B2 (en) | Security management system, method and program | |
CN108600178A (en) | A kind of method for protecting and system, reference platform of collage-credit data | |
KR100931326B1 (en) | A managing system for id/password search list and login list and the method thereof | |
JP2012103781A (en) | Management server and terminal management method therefor | |
JP2001175600A (en) | Method and device for reporting illegal access | |
KR101235293B1 (en) | History managing method for steal-proofing user account and system therefor | |
US12101327B2 (en) | Global approach for multifactor authentication incorporating user and enterprise preferences |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060529 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060725 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060925 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070220 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070423 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070529 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070612 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 3973563 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100622 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110622 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120622 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120622 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130622 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140622 Year of fee payment: 7 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |