JP4013175B2 - ユーザの簡易認証方法、認証サーバ、およびそのためのプログラムを格納した記録媒体 - Google Patents
ユーザの簡易認証方法、認証サーバ、およびそのためのプログラムを格納した記録媒体 Download PDFInfo
- Publication number
- JP4013175B2 JP4013175B2 JP20365498A JP20365498A JP4013175B2 JP 4013175 B2 JP4013175 B2 JP 4013175B2 JP 20365498 A JP20365498 A JP 20365498A JP 20365498 A JP20365498 A JP 20365498A JP 4013175 B2 JP4013175 B2 JP 4013175B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- authentication
- random number
- client
- session key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークシステムにおけるユーザ認証処理の、特にモバイル環境におけるオーバーヘッドを解決するためのユーザの簡易認証方法、認証サーバ、およびそのためのプログラムを格納した記録媒体に関する。
【0002】
【従来の技術】
従来、暗号化通信を行うためには、特開平9-148993号公報に記載された「通信システム」に示されるように、クライアントからサーバに対してコネクション要求があると、クライアントは認証サーバに対して使用する暗号アルゴリズムの種別を決定するためにネゴシエーションを行っていた。ユーザ認証は、ネゴシエーション時に行われている。そのため1つのクライアントから同じサーバに対して複数のコネクションを張るような場合でも、各コネクションごとに認証処理が必要であった。
このように、インターネットの普及に伴い、不特定多数の人が必要に応じてネットワークシステムにアクセスできるようになってきた。そのため、クライアントがサーバに対してコネクション要求してきた場合には、クライアントのユーザを認証することが重要である。しかしながら、実際の運用を考えると、ネットワークシステムが大規模化するに伴って、通信のコネクションが張られる度毎に行わなければならない認証処理のオーバーヘッドが問題になる。例えば、Webブラウザなどで1つのアプリケーションサーバに複数のコネクションを張るような場合、最初のコネクションでユーザ認証を行い、認証されればあとのコネクションでは簡易認証だけを行うユーザ要求ができれば極めて便利である。特に、モバイル環境に適用可能な認証方法の提案が課題となっている。ある程度のセキュリティを確保しながら認証処理のオーバヘットを削減する技術の検討が必要になった。
【0003】
【発明が解決しようとする課題】
前述のように、ネットワークシステムが大規模化すると、通信のコネクションが張られる度毎にユーザの認証を行う処理がサーバ側のオーバーヘッドとなっていた。
1つのアプリケーションサーバに複数のコネクションを張るような場合、1回目のコネクションでユーザ認証を行い、認証されれば2回目以降のコネクションでは簡易認証だけを行うユーザ要求ができればオーバーヘッドも低減されると考えられる。特に、モバイル環境では、多数のユーザが移動中にサーバにアクセスするため、その都度、ユーザの認証を行うのではサーバ側の負荷は過大になる。その結果として、特にモバイル環境に適用可能な認証方法の実現を希望しており、ある程度のセキュリティを確保しながら認証処理のオーバヘットを削減する技術の検討が必要になった。
そこで、本発明の目的は、このような従来の課題を解決し、ユーザの送信元アドレスとポート番号が一致し、かつユーザのコネクション接続要求がユーザの申請に符合した場合には、セキュリティレベルを落すことなく、簡易な認証を行うことができ、短時間でのデータ通信を可能にするユーザの簡易認証方法、認証サーバ、およびそのためのプログラムを格納した記録媒体を提供することにある。
【0004】
【課題を解決するための手段】
上記目的を達成するため、本発明のユーザの簡易認証方法では、▲1▼クライアントがサーバにコネクション接続要求する時に、ユーザを識別情報と認証情報により認証するステップと、ユーザの送信元のアドレス、ポート番号と認証時に生成されるセション鍵、および前記認証時にユーザが申請した使用コネクション数あるいはコネクション存続時間から構成されるユーザ情報を記憶するステップと、再度ユーザを認証する必要がある時には前記コネクション情報あるいはユーザ情報をもとにユーザを簡易認証するステップとからなることを特徴とする(図3の通常認証の後、図4の簡易認証の動作参照)。
【0005】
特に、▲2▼ユーザの送信元アドレスとポート番号が前回の認証時と一致し、かつユーザのコネクション接続要求がユーザの申請に符合した場合について、2回目以降の認証処理を簡易化する。具体的には、記憶されたユーザ情報と今回のユーザの送信元アドレスとポート番号が一致するか否かを確認するステップと、ユーザが乱数を生成しセション鍵により暗号するステップと、前記乱数及び前記暗号化された乱数を認証サーバに送信するステップと、前記乱数と前記暗号化された乱数とから次のセション鍵を生成するステップと、前記セション鍵を記憶するステップとからなることを特徴としている(図7の確認動作と図4のユーザ側動作参照)。
また、▲3▼ユーザによるコネクション接続要求が前記記憶されたユーザ情報に符合するかどうか確認するステップと、認証サーバがクライアントにより発生させた乱数と、前記乱数をセション鍵により暗号化されたものを受信するステップと、前記乱数と前記暗号化された乱数をセション鍵により復号するステップと、前記復号化された乱数と前記受信した乱数を比較するステップと、前記暗号化された乱数とから次のセション鍵を生成するステップと、前記セション鍵を記憶するステップとからなることを特徴としている(図4のサーバ側動作参照)。
さらに、本発明によるプログラム格納の記録媒体は、▲4▼上記▲1▼〜▲3▼に記載の各動作ステップ群をプログラムに変換し、変換されたプログラムを記録媒体に格納することを特徴としている。
【0006】
【発明の実施の形態】
以下、本発明の実施例を、図面により詳細に説明する。
図1は、本発明が適用されるネットワークシステムの構成図である。
図1において、クライアント111とサーバ113は、それぞれ独立したネットワーク101及び102を介して接続されている。クライアント111及びサーハ113は複数個存在するが、ここでは簡単のために1個ずつしか示されていない。また、認証サーバ112は、ネットワーク101と102を中継する位置で、前記2つのネットワーク間のコネクションを管理し、クライアント111に対しては事前に証明書121を発行しておく。
前記ネットワーク101及び102間では、秘密鍵暗号方式を使用してコネクションごとに生成したセション鍵を用いて暗号通信する。クライアント111には、そのクライアント端末を共用するユーザが複数存在し、それらのユーザ情報131が内部メモリに格納されている。一方、認証サーバ112の内部メモリにも、各クライアント端末111からの接続要求時に送られるユーザ情報を読み取ったものが格納される。
前記認証サーバ112から事前に配布されている証明書121の用紙は、規定のフォーマットが記載されており、各ユーザは、クライアント111の内部メモリに格納されたユーザ情報を読み込み、それを証明書121に書き込むことにより、証明書を完成させる。完成された証明書121には、前記セション鍵を生成するための共有鍵情報に加えて、クライアント111のユーザのユーザ名、当証明書の有効期限、接続サーバを限定するためのアクセス制御情報が格納されている。
【0007】
図2は、図1におけるユーザ情報の構成図である。
本発明では、図1におけるユーザ情報131,132を用いることにより、クライアント111からサーバ113への再度の接続要求に対して認証処理を簡易化することを目的としている。
前記ユーザ情報131,132は、接続先あるいは接続要求元のアドレスとポート番号、セション鍵、コネクション数による制御か、あるいはコネクション存続時間による制御かを示すフラグ、使用するコネクション数あるいはコネクション存続時間、及び次のユーザ情報へのポインタ情報から構成される。複数のユーザ情報201,202,203は、図2に示すようにリストの先頭からリストの最後に至るまでそれぞれポインタにより結合される。ユーザ情報131,132は、コネクションごとにクライアント111側と認証サーバ112側で生成される。例えば、1つのコネクションについて、クライアント111側のユーザ情報131には接続先であるサーバ113のアドレスとポート番号が格納され、認証サーバ112側のユーザ情報132には接続要求元であるクライアント111のアドレスとポート番号が格納されている。また、使用するコネクション数による制御とコネクション存続時間による制御のどちらを採用するかというネゴシェーションについては、事前にシステム定義で指定しておく運用もあるが、本実施例ではクライアント111からサーバ113への接続要求の最初の通常認証処理時に設定している。
クライアント111がユーザ情報131に格納されているアドレスとは異なるアドレスのサーバへアクセスした場合、また、認証サーバ112がユーザ情報132に格納されているアドレスとは異なるアドレスのクライアントからの認証を行った場合、新たなユーザ情報が生成されるが、これは図2に示すようにリストとして格納される。
【0008】
このようなネットワーク環境において、クライアント111の端末には、CPUが配置され、サーバ113に接続してデータを送受信するアプリケーションを実行することにより動作するようになっている。
クライアント111からサーバ113に接続要求があった場合、クライアント111はまず認証サーバ112と接続し、ユーザ認証を行う。認証が正しく行われた場合、セション鍵が生成され、以降の通信で使用するために前記セション鍵をクライアント111と認証サーバ112とで共有しておく。その後、このセション鍵を使用してクライアント111は認証サーバ112間と暗号通信を行い、認証サーバ112が中継することによりサーバ113に接続する。以上は、従来からの処理を説明したものである。
【0009】
図3は、本発明で最初に行われる通常の認証処理のフローチャートであり、図4は、本発明の一実施例を示す簡易認証処理のフローチャートである。
図3および図4により、クライアント、認証サーバ、サーバとの間の処理シーケンスを説明する。
図3では、ユーザからのサーバ接続要求を受けて(ステップ301)、クライアント111で認証サーバ112に対して通常認証要求を行う(ステップ302)。クライアント111が配布されている証明書を認証サーバ112に送信すると(ステップ303)、認証サーバ112では、証明書を受信した後(ステップ305)、自分が保持している証明書と比較して認証を行う(ステップ306)。一致しなかった場合、認証失敗をクライアント111に通知し、クライアント111との接続を切断する(ステップ317)。
これに対して一致した場合には、クライアント111に認証成功の応答を送信し(ステップ307)、セション鍵を生成する(ステップ309)。認証が成功すると(ステップ308)、クライアント111側では、セション鍵を生成し(ステップ310)、ユーザ情報131としてアドレス、ポート番号、セション鍵、フラグ、コネクション数あるいはコネクション存続時間等の情報を設定し、認証サーバ112に送信する(ステップ311)。そして、ユーザ情報131をリストに追加する(ステップ313)。なお、当設定の詳細のフローチャートについては図5で説明する。また、図3では、認証処理(ステップ306)を簡単に記載しているが、実際にはさらに乱数のやり取り等の複数のシーケンスが存在するが、それについては図8で後述する。
次に、認証サーバ112側では、受信した前記情報から図6に示すユーザ情報132の設定処理(ステップ312,314)を行い、サーバ113に対してクライアント111からの接続要求を中継する(ステップ315)。サーバ113との通信が終了したならば(ステップ316)、クライアント側と認証サーバ側とで接続断とする(ステップ318,317)。
【0010】
図8は、図3における通常認証時の認証処理の詳細なシーケンスチャートである。
図3において、クライアント側は配布された証明書を送信した後(ステップ303)、図8に移り、乱数を発生して、その乱数を認証サーバ側に送信する(ステップ801)。認証サーバ側では、受信した乱数を自身が保存している暗号鍵で暗号化し、クライアント側に送信する(ステップ802)。クライアント側では、暗号化したものを受信し(ステップ803)、乱数を復号して(ステップ804)、自身が保存している乱数と復号した乱数とを比較する(ステップ805)。その結果、一致していれば、暗号化したものを再度、認証サーバ側に送信する(ステップ806)。認証サーバ側では、暗号化したものを受信して(ステップ807)、これと最初にステップ802で暗号化したものとを比較し、一致するとともに、クライアント側から送られた証明書の内容を自身が保存している内容と比較して、一致すれば、認証成功と判断し、認証成功をクライアント側に送信する(ステップ307)。クライアント側では、認証成功を受信すると(ステップ308)、セション鍵を生成して(ステップ310)、以後はセション鍵で暗号化して通信を行う。
【0011】
次に、図4により本発明における簡易認証処理について説明する。
ユーザからのサーバ接続要求を受けた時(ステップ401)、クライアント111では、接続先のサーバのアドレスとポート番号を前記格納されたユーザ情報131と比較し、一致したならば、この接続先への認証は終わっているものとして、認証サーバ112に簡易認証要求を送信する(ステップ402)。一方、認証サーバ112は、クライアント111からの簡易認証要求を受信した時(ステップ403)、ユーザ情報確認処理を行う(ステップ404)。当該確認処理の詳細については、図7において後述する。
認証サーバ112では、それが通常認証なのか簡易認証なのかを判別するために、接続元クライアントのアドレスとポート番号を、自身が保持しているユーザ情報132と比較し、一致しなかった場合、認証失敗をクライアント111に通知し、クライアント111との接続を切断する(ステップ418)。
【0012】
一致した場合には、クライアント111は乱数を発生させ、それをクライアント111が保持しているユーザ情報131のセション鍵で暗号化し(ステップ405)、それら乱数と暗号化された乱数とを認証サーバ112に送信する(ステップ406)。認証サーバ112はそれを受信した後(ステップ407)、自身が保持しているユーザ情報132のセション鍵で、暗号化されている乱数を復号し(ステップ408)、同時に送られてくる乱数と比較する(ステップ409)。一致しなければ、認証失敗をクライアント111に通知し、クライアント111との接続を切断する(ステップ418)。一致すれば、認証成功をクライアント111に送信する(ステップ410)。
クライアント111では、認証成功を受信すると(ステップ411)、乱数と暗号化された乱数から新たなセション鍵を生成し(ステップ413)、新たなセション鍵をユーザ情報131に保存する(ステップ415)。一方、認証サーバ112も、クライアント111と同様にしてセション鍵を生成し(ステップ412)、ユーザ情報132に保存する(ステップ414)。次に、認証サーバ112は、クライアント111からの接続要求をサーバ113に中継する(ステップ416)。サーバ113との通信が終了した時点で(ステップ417)、クライアント側と認証サーバ側との接続を断にする(ステップ419,418)。
【0013】
以上が、2回目以降に行われる本発明の簡易認証処理である。
図3および図8に示した通常認証処理と、図4に示した本発明の簡易認証処理とを比較すると明らかなように、通常認証では証明書を送受信しているのに対して、簡易認証では証明書は省略して簡易認証要求のみで済むので、通信回数が1回少なくなり、また、通常認証ではクライアント側で乱数を発生して乱数自身の送受信を行い、クライアント側で乱数比較を行うので、乱数の通信回数が3回必要であるのに対して、簡易認証ではクライアント側で乱数を発生するがその暗号化したものを認証サーバに送信して、認証サーバ側で乱数の比較を行うので、通信回数は1回で済み、さらに通常認証ではユーザ情報の有効期限情報を送受信するのに対し、簡易認証ではユーザ情報確認処理(ステップ404)の時点でユーザ情報の有効期限情報を送受信しているので、余分な通信回数は不要となる。
結局、証明書の送信で1回、乱数比較のための送信で2回、ユーザ情報の有効期限の送信で1回の合計4回も通信回数が減少する。その結果、短時間でユーザ認証を行うことができるため、認証サーバのオーバーヘッドも低減される。
また、簡易認証について生成した乱数の暗号化したものを次のセション鍵として使用するため、セキュリティレベルを落とすことなく短時間での認証を実現することが可能である。
【0014】
図5は、クライアントにおけるユーザ情報設定処理のフローチャートである。図5により、クライアント111側でユーザ情報131を設定する処理の手順について説明する。クライアント111が通常認証に成功した場合には、クライアント111から認証サーバ112に対して使用するコネクション数あるいは接続先へのコネクション存続時間のどちらかを申請する(ステップ502、504)。クライアントが使用するコネクション数を申請した場合、申請した数のコネクションが張られるまでユーザ情報を有効とする(ステップ503)。また、クライアントが接続先へのコネクション存続時間を申請した場合、当該接続先サーバへのコネクションが張られている間、ユーザ情報を有効とする(ステップ505)。その後、接続先サーバのアドレス、ポート番号、生成されたセション鍵、有効期限をユーザ情報としてリストに追加する(ステップ506)。
【0015】
図6は、認証サーバにおけるユーザ情報設定処理のフローチャートである。
図6により、認証サーバ112でユーザ情報132を設定する処理手順について説明する。通常認証に成功した場合には、認証サーバ112はクライアント111からユーザ情報有効期限情報を受信し(ステップ601)、送られてきた情報を基にユーザ情報132のコネクション数またはコネクション存続時間のメンバを有効にする(ステップ603、604)。それから、接続元クライアントのアドレス、ポート番号、生成されたセション鍵、有効期限をユーザ情報としてリストに追加する(ステップ605)。
【0016】
図7は、認証サーバでのユーザ情報確認処理のフローチャートである。
最後に図7により認証サーバ112でのユーザ情報の確認方法について説明する。
簡易認証の場合には、認証サーバ112で以前認証したユーザと接続元が同じかどうかを確認(アドレスとポート番号の存在)した後(ステップ701)、ユーザ情報132の内容が有効期限内であるか否かを確認する必要がある(ステップ702,703,704)。認証サーバ112では、簡易認証時に有効期限が切れていた場合(ステップ703)、あるいは簡易認証に失敗した場合(ステップ707)、当該ユーザ情報をリストから削除する(ステップ705)。
クライアント111では、簡易認証に失敗した場合、当該ユーザ情報をリストから削除する。
【0017】
図4に示す簡易認証時のシーケンスチャート、図5に示すクライアントのユーザ情報設定処理のフローチャート、図6に示す認証サーバのユーザ情報設定処理のフローチャート、図7に示すユーザ情報確認処理のフローチャート、図3に示す通常認証時のシーケンスチャート、および図8に示す通常認証時の乱数比較に際してのシーケンスチャートの各動作をプログラムに変換し、変換されたプログラムをCD−ROMやハードディスク等の記録媒体に格納することにより、それらの記録媒体を通信システム中の任意のサーバやクライアント端末にローディングしてプログラムを実行すれば、本発明を任意の場所で実現することができる。
【0018】
【発明の効果】
以上説明したように、本発明によれば、ユーザの送信元アドレスとポート番号が前回の認証時と一致し、かつユーザのコネクション接続要求がユーザの申請に符合した場合について、2回目以降の認証処理を簡易化することができる。そして、簡易認証について生成した乱数の暗号化したものを次のセション鍵として使用するため、セキュリティレベルを落とすことなく短時間での認証を実現することが可能である。
【図面の簡単な説明】
【図1】本発明が適用されるネットワークシステムの構成図である。
【図2】図1におけるユーザ情報の構成図である。
【図3】通常認証時のクライアントと認証サーバとの間のシーケンスチャートである。
【図4】本発明における簡易認証時のクライアントと認証サーバ間のシーケンスチャートである。
【図5】クライアントにおけるユーザ情報設定処理のフローチャートである。
【図6】認証サーバにおけるユーザ情報設定処理のフローチャートである。
【図7】認証サーバでのユーザ情報確認処理のフローチャートである。
【図8】通常認証時の乱数比較に際しての詳細なシーケンスチャートである。
【符号の説明】
101、102:それぞれ独立したネットワーク、
111:クライアントアプリケーションが動作する計算機、
112:クライアントを認証し、ネットワーク間を中継する計算機、
113:サーバアプリケーションが動作する計算機、
121:認証サーバからクライアントへ配布された証明書、
131:クライアントにおけるユーザ情報、
132:認証サーバにおけるユーザ情報、
201,202,203:ポインタで結合されたユーザ情報のリスト。
【発明の属する技術分野】
本発明は、ネットワークシステムにおけるユーザ認証処理の、特にモバイル環境におけるオーバーヘッドを解決するためのユーザの簡易認証方法、認証サーバ、およびそのためのプログラムを格納した記録媒体に関する。
【0002】
【従来の技術】
従来、暗号化通信を行うためには、特開平9-148993号公報に記載された「通信システム」に示されるように、クライアントからサーバに対してコネクション要求があると、クライアントは認証サーバに対して使用する暗号アルゴリズムの種別を決定するためにネゴシエーションを行っていた。ユーザ認証は、ネゴシエーション時に行われている。そのため1つのクライアントから同じサーバに対して複数のコネクションを張るような場合でも、各コネクションごとに認証処理が必要であった。
このように、インターネットの普及に伴い、不特定多数の人が必要に応じてネットワークシステムにアクセスできるようになってきた。そのため、クライアントがサーバに対してコネクション要求してきた場合には、クライアントのユーザを認証することが重要である。しかしながら、実際の運用を考えると、ネットワークシステムが大規模化するに伴って、通信のコネクションが張られる度毎に行わなければならない認証処理のオーバーヘッドが問題になる。例えば、Webブラウザなどで1つのアプリケーションサーバに複数のコネクションを張るような場合、最初のコネクションでユーザ認証を行い、認証されればあとのコネクションでは簡易認証だけを行うユーザ要求ができれば極めて便利である。特に、モバイル環境に適用可能な認証方法の提案が課題となっている。ある程度のセキュリティを確保しながら認証処理のオーバヘットを削減する技術の検討が必要になった。
【0003】
【発明が解決しようとする課題】
前述のように、ネットワークシステムが大規模化すると、通信のコネクションが張られる度毎にユーザの認証を行う処理がサーバ側のオーバーヘッドとなっていた。
1つのアプリケーションサーバに複数のコネクションを張るような場合、1回目のコネクションでユーザ認証を行い、認証されれば2回目以降のコネクションでは簡易認証だけを行うユーザ要求ができればオーバーヘッドも低減されると考えられる。特に、モバイル環境では、多数のユーザが移動中にサーバにアクセスするため、その都度、ユーザの認証を行うのではサーバ側の負荷は過大になる。その結果として、特にモバイル環境に適用可能な認証方法の実現を希望しており、ある程度のセキュリティを確保しながら認証処理のオーバヘットを削減する技術の検討が必要になった。
そこで、本発明の目的は、このような従来の課題を解決し、ユーザの送信元アドレスとポート番号が一致し、かつユーザのコネクション接続要求がユーザの申請に符合した場合には、セキュリティレベルを落すことなく、簡易な認証を行うことができ、短時間でのデータ通信を可能にするユーザの簡易認証方法、認証サーバ、およびそのためのプログラムを格納した記録媒体を提供することにある。
【0004】
【課題を解決するための手段】
上記目的を達成するため、本発明のユーザの簡易認証方法では、▲1▼クライアントがサーバにコネクション接続要求する時に、ユーザを識別情報と認証情報により認証するステップと、ユーザの送信元のアドレス、ポート番号と認証時に生成されるセション鍵、および前記認証時にユーザが申請した使用コネクション数あるいはコネクション存続時間から構成されるユーザ情報を記憶するステップと、再度ユーザを認証する必要がある時には前記コネクション情報あるいはユーザ情報をもとにユーザを簡易認証するステップとからなることを特徴とする(図3の通常認証の後、図4の簡易認証の動作参照)。
【0005】
特に、▲2▼ユーザの送信元アドレスとポート番号が前回の認証時と一致し、かつユーザのコネクション接続要求がユーザの申請に符合した場合について、2回目以降の認証処理を簡易化する。具体的には、記憶されたユーザ情報と今回のユーザの送信元アドレスとポート番号が一致するか否かを確認するステップと、ユーザが乱数を生成しセション鍵により暗号するステップと、前記乱数及び前記暗号化された乱数を認証サーバに送信するステップと、前記乱数と前記暗号化された乱数とから次のセション鍵を生成するステップと、前記セション鍵を記憶するステップとからなることを特徴としている(図7の確認動作と図4のユーザ側動作参照)。
また、▲3▼ユーザによるコネクション接続要求が前記記憶されたユーザ情報に符合するかどうか確認するステップと、認証サーバがクライアントにより発生させた乱数と、前記乱数をセション鍵により暗号化されたものを受信するステップと、前記乱数と前記暗号化された乱数をセション鍵により復号するステップと、前記復号化された乱数と前記受信した乱数を比較するステップと、前記暗号化された乱数とから次のセション鍵を生成するステップと、前記セション鍵を記憶するステップとからなることを特徴としている(図4のサーバ側動作参照)。
さらに、本発明によるプログラム格納の記録媒体は、▲4▼上記▲1▼〜▲3▼に記載の各動作ステップ群をプログラムに変換し、変換されたプログラムを記録媒体に格納することを特徴としている。
【0006】
【発明の実施の形態】
以下、本発明の実施例を、図面により詳細に説明する。
図1は、本発明が適用されるネットワークシステムの構成図である。
図1において、クライアント111とサーバ113は、それぞれ独立したネットワーク101及び102を介して接続されている。クライアント111及びサーハ113は複数個存在するが、ここでは簡単のために1個ずつしか示されていない。また、認証サーバ112は、ネットワーク101と102を中継する位置で、前記2つのネットワーク間のコネクションを管理し、クライアント111に対しては事前に証明書121を発行しておく。
前記ネットワーク101及び102間では、秘密鍵暗号方式を使用してコネクションごとに生成したセション鍵を用いて暗号通信する。クライアント111には、そのクライアント端末を共用するユーザが複数存在し、それらのユーザ情報131が内部メモリに格納されている。一方、認証サーバ112の内部メモリにも、各クライアント端末111からの接続要求時に送られるユーザ情報を読み取ったものが格納される。
前記認証サーバ112から事前に配布されている証明書121の用紙は、規定のフォーマットが記載されており、各ユーザは、クライアント111の内部メモリに格納されたユーザ情報を読み込み、それを証明書121に書き込むことにより、証明書を完成させる。完成された証明書121には、前記セション鍵を生成するための共有鍵情報に加えて、クライアント111のユーザのユーザ名、当証明書の有効期限、接続サーバを限定するためのアクセス制御情報が格納されている。
【0007】
図2は、図1におけるユーザ情報の構成図である。
本発明では、図1におけるユーザ情報131,132を用いることにより、クライアント111からサーバ113への再度の接続要求に対して認証処理を簡易化することを目的としている。
前記ユーザ情報131,132は、接続先あるいは接続要求元のアドレスとポート番号、セション鍵、コネクション数による制御か、あるいはコネクション存続時間による制御かを示すフラグ、使用するコネクション数あるいはコネクション存続時間、及び次のユーザ情報へのポインタ情報から構成される。複数のユーザ情報201,202,203は、図2に示すようにリストの先頭からリストの最後に至るまでそれぞれポインタにより結合される。ユーザ情報131,132は、コネクションごとにクライアント111側と認証サーバ112側で生成される。例えば、1つのコネクションについて、クライアント111側のユーザ情報131には接続先であるサーバ113のアドレスとポート番号が格納され、認証サーバ112側のユーザ情報132には接続要求元であるクライアント111のアドレスとポート番号が格納されている。また、使用するコネクション数による制御とコネクション存続時間による制御のどちらを採用するかというネゴシェーションについては、事前にシステム定義で指定しておく運用もあるが、本実施例ではクライアント111からサーバ113への接続要求の最初の通常認証処理時に設定している。
クライアント111がユーザ情報131に格納されているアドレスとは異なるアドレスのサーバへアクセスした場合、また、認証サーバ112がユーザ情報132に格納されているアドレスとは異なるアドレスのクライアントからの認証を行った場合、新たなユーザ情報が生成されるが、これは図2に示すようにリストとして格納される。
【0008】
このようなネットワーク環境において、クライアント111の端末には、CPUが配置され、サーバ113に接続してデータを送受信するアプリケーションを実行することにより動作するようになっている。
クライアント111からサーバ113に接続要求があった場合、クライアント111はまず認証サーバ112と接続し、ユーザ認証を行う。認証が正しく行われた場合、セション鍵が生成され、以降の通信で使用するために前記セション鍵をクライアント111と認証サーバ112とで共有しておく。その後、このセション鍵を使用してクライアント111は認証サーバ112間と暗号通信を行い、認証サーバ112が中継することによりサーバ113に接続する。以上は、従来からの処理を説明したものである。
【0009】
図3は、本発明で最初に行われる通常の認証処理のフローチャートであり、図4は、本発明の一実施例を示す簡易認証処理のフローチャートである。
図3および図4により、クライアント、認証サーバ、サーバとの間の処理シーケンスを説明する。
図3では、ユーザからのサーバ接続要求を受けて(ステップ301)、クライアント111で認証サーバ112に対して通常認証要求を行う(ステップ302)。クライアント111が配布されている証明書を認証サーバ112に送信すると(ステップ303)、認証サーバ112では、証明書を受信した後(ステップ305)、自分が保持している証明書と比較して認証を行う(ステップ306)。一致しなかった場合、認証失敗をクライアント111に通知し、クライアント111との接続を切断する(ステップ317)。
これに対して一致した場合には、クライアント111に認証成功の応答を送信し(ステップ307)、セション鍵を生成する(ステップ309)。認証が成功すると(ステップ308)、クライアント111側では、セション鍵を生成し(ステップ310)、ユーザ情報131としてアドレス、ポート番号、セション鍵、フラグ、コネクション数あるいはコネクション存続時間等の情報を設定し、認証サーバ112に送信する(ステップ311)。そして、ユーザ情報131をリストに追加する(ステップ313)。なお、当設定の詳細のフローチャートについては図5で説明する。また、図3では、認証処理(ステップ306)を簡単に記載しているが、実際にはさらに乱数のやり取り等の複数のシーケンスが存在するが、それについては図8で後述する。
次に、認証サーバ112側では、受信した前記情報から図6に示すユーザ情報132の設定処理(ステップ312,314)を行い、サーバ113に対してクライアント111からの接続要求を中継する(ステップ315)。サーバ113との通信が終了したならば(ステップ316)、クライアント側と認証サーバ側とで接続断とする(ステップ318,317)。
【0010】
図8は、図3における通常認証時の認証処理の詳細なシーケンスチャートである。
図3において、クライアント側は配布された証明書を送信した後(ステップ303)、図8に移り、乱数を発生して、その乱数を認証サーバ側に送信する(ステップ801)。認証サーバ側では、受信した乱数を自身が保存している暗号鍵で暗号化し、クライアント側に送信する(ステップ802)。クライアント側では、暗号化したものを受信し(ステップ803)、乱数を復号して(ステップ804)、自身が保存している乱数と復号した乱数とを比較する(ステップ805)。その結果、一致していれば、暗号化したものを再度、認証サーバ側に送信する(ステップ806)。認証サーバ側では、暗号化したものを受信して(ステップ807)、これと最初にステップ802で暗号化したものとを比較し、一致するとともに、クライアント側から送られた証明書の内容を自身が保存している内容と比較して、一致すれば、認証成功と判断し、認証成功をクライアント側に送信する(ステップ307)。クライアント側では、認証成功を受信すると(ステップ308)、セション鍵を生成して(ステップ310)、以後はセション鍵で暗号化して通信を行う。
【0011】
次に、図4により本発明における簡易認証処理について説明する。
ユーザからのサーバ接続要求を受けた時(ステップ401)、クライアント111では、接続先のサーバのアドレスとポート番号を前記格納されたユーザ情報131と比較し、一致したならば、この接続先への認証は終わっているものとして、認証サーバ112に簡易認証要求を送信する(ステップ402)。一方、認証サーバ112は、クライアント111からの簡易認証要求を受信した時(ステップ403)、ユーザ情報確認処理を行う(ステップ404)。当該確認処理の詳細については、図7において後述する。
認証サーバ112では、それが通常認証なのか簡易認証なのかを判別するために、接続元クライアントのアドレスとポート番号を、自身が保持しているユーザ情報132と比較し、一致しなかった場合、認証失敗をクライアント111に通知し、クライアント111との接続を切断する(ステップ418)。
【0012】
一致した場合には、クライアント111は乱数を発生させ、それをクライアント111が保持しているユーザ情報131のセション鍵で暗号化し(ステップ405)、それら乱数と暗号化された乱数とを認証サーバ112に送信する(ステップ406)。認証サーバ112はそれを受信した後(ステップ407)、自身が保持しているユーザ情報132のセション鍵で、暗号化されている乱数を復号し(ステップ408)、同時に送られてくる乱数と比較する(ステップ409)。一致しなければ、認証失敗をクライアント111に通知し、クライアント111との接続を切断する(ステップ418)。一致すれば、認証成功をクライアント111に送信する(ステップ410)。
クライアント111では、認証成功を受信すると(ステップ411)、乱数と暗号化された乱数から新たなセション鍵を生成し(ステップ413)、新たなセション鍵をユーザ情報131に保存する(ステップ415)。一方、認証サーバ112も、クライアント111と同様にしてセション鍵を生成し(ステップ412)、ユーザ情報132に保存する(ステップ414)。次に、認証サーバ112は、クライアント111からの接続要求をサーバ113に中継する(ステップ416)。サーバ113との通信が終了した時点で(ステップ417)、クライアント側と認証サーバ側との接続を断にする(ステップ419,418)。
【0013】
以上が、2回目以降に行われる本発明の簡易認証処理である。
図3および図8に示した通常認証処理と、図4に示した本発明の簡易認証処理とを比較すると明らかなように、通常認証では証明書を送受信しているのに対して、簡易認証では証明書は省略して簡易認証要求のみで済むので、通信回数が1回少なくなり、また、通常認証ではクライアント側で乱数を発生して乱数自身の送受信を行い、クライアント側で乱数比較を行うので、乱数の通信回数が3回必要であるのに対して、簡易認証ではクライアント側で乱数を発生するがその暗号化したものを認証サーバに送信して、認証サーバ側で乱数の比較を行うので、通信回数は1回で済み、さらに通常認証ではユーザ情報の有効期限情報を送受信するのに対し、簡易認証ではユーザ情報確認処理(ステップ404)の時点でユーザ情報の有効期限情報を送受信しているので、余分な通信回数は不要となる。
結局、証明書の送信で1回、乱数比較のための送信で2回、ユーザ情報の有効期限の送信で1回の合計4回も通信回数が減少する。その結果、短時間でユーザ認証を行うことができるため、認証サーバのオーバーヘッドも低減される。
また、簡易認証について生成した乱数の暗号化したものを次のセション鍵として使用するため、セキュリティレベルを落とすことなく短時間での認証を実現することが可能である。
【0014】
図5は、クライアントにおけるユーザ情報設定処理のフローチャートである。図5により、クライアント111側でユーザ情報131を設定する処理の手順について説明する。クライアント111が通常認証に成功した場合には、クライアント111から認証サーバ112に対して使用するコネクション数あるいは接続先へのコネクション存続時間のどちらかを申請する(ステップ502、504)。クライアントが使用するコネクション数を申請した場合、申請した数のコネクションが張られるまでユーザ情報を有効とする(ステップ503)。また、クライアントが接続先へのコネクション存続時間を申請した場合、当該接続先サーバへのコネクションが張られている間、ユーザ情報を有効とする(ステップ505)。その後、接続先サーバのアドレス、ポート番号、生成されたセション鍵、有効期限をユーザ情報としてリストに追加する(ステップ506)。
【0015】
図6は、認証サーバにおけるユーザ情報設定処理のフローチャートである。
図6により、認証サーバ112でユーザ情報132を設定する処理手順について説明する。通常認証に成功した場合には、認証サーバ112はクライアント111からユーザ情報有効期限情報を受信し(ステップ601)、送られてきた情報を基にユーザ情報132のコネクション数またはコネクション存続時間のメンバを有効にする(ステップ603、604)。それから、接続元クライアントのアドレス、ポート番号、生成されたセション鍵、有効期限をユーザ情報としてリストに追加する(ステップ605)。
【0016】
図7は、認証サーバでのユーザ情報確認処理のフローチャートである。
最後に図7により認証サーバ112でのユーザ情報の確認方法について説明する。
簡易認証の場合には、認証サーバ112で以前認証したユーザと接続元が同じかどうかを確認(アドレスとポート番号の存在)した後(ステップ701)、ユーザ情報132の内容が有効期限内であるか否かを確認する必要がある(ステップ702,703,704)。認証サーバ112では、簡易認証時に有効期限が切れていた場合(ステップ703)、あるいは簡易認証に失敗した場合(ステップ707)、当該ユーザ情報をリストから削除する(ステップ705)。
クライアント111では、簡易認証に失敗した場合、当該ユーザ情報をリストから削除する。
【0017】
図4に示す簡易認証時のシーケンスチャート、図5に示すクライアントのユーザ情報設定処理のフローチャート、図6に示す認証サーバのユーザ情報設定処理のフローチャート、図7に示すユーザ情報確認処理のフローチャート、図3に示す通常認証時のシーケンスチャート、および図8に示す通常認証時の乱数比較に際してのシーケンスチャートの各動作をプログラムに変換し、変換されたプログラムをCD−ROMやハードディスク等の記録媒体に格納することにより、それらの記録媒体を通信システム中の任意のサーバやクライアント端末にローディングしてプログラムを実行すれば、本発明を任意の場所で実現することができる。
【0018】
【発明の効果】
以上説明したように、本発明によれば、ユーザの送信元アドレスとポート番号が前回の認証時と一致し、かつユーザのコネクション接続要求がユーザの申請に符合した場合について、2回目以降の認証処理を簡易化することができる。そして、簡易認証について生成した乱数の暗号化したものを次のセション鍵として使用するため、セキュリティレベルを落とすことなく短時間での認証を実現することが可能である。
【図面の簡単な説明】
【図1】本発明が適用されるネットワークシステムの構成図である。
【図2】図1におけるユーザ情報の構成図である。
【図3】通常認証時のクライアントと認証サーバとの間のシーケンスチャートである。
【図4】本発明における簡易認証時のクライアントと認証サーバ間のシーケンスチャートである。
【図5】クライアントにおけるユーザ情報設定処理のフローチャートである。
【図6】認証サーバにおけるユーザ情報設定処理のフローチャートである。
【図7】認証サーバでのユーザ情報確認処理のフローチャートである。
【図8】通常認証時の乱数比較に際しての詳細なシーケンスチャートである。
【符号の説明】
101、102:それぞれ独立したネットワーク、
111:クライアントアプリケーションが動作する計算機、
112:クライアントを認証し、ネットワーク間を中継する計算機、
113:サーバアプリケーションが動作する計算機、
121:認証サーバからクライアントへ配布された証明書、
131:クライアントにおけるユーザ情報、
132:認証サーバにおけるユーザ情報、
201,202,203:ポインタで結合されたユーザ情報のリスト。
Claims (7)
- ネットワークシステムに接続されたクライアントからサーバへのコネクション接続要求時に、認証サーバが該クライアントのユーザを認証する認証方法において、
該認証サーバで、該クライアントがサーバにコネクション接続要求する時に、ユーザを識別情報と認証情報により認証するステップと、
該ユーザの送信元アドレス、ポート番号、認証時に生成されるセション鍵、および前記認証時にユーザが申請したコネクション存続時間から構成されるユーザ情報を記憶するステップと、
再度、上記ユーザを認証する必要がある時には、前記記憶されたユーザ情報と今回のユーザの送信元アドレスおよびポート番号が一致するか否かを確認するステップと、
前記クライアント側で、ユーザが乱数を生成し、セション鍵により暗号化するステップと、
該乱数及び暗号化された該乱数を該認証サーバに送信するステップと、
該乱数と暗号化された該乱数とから次のセション鍵を生成するステップと、
該セション鍵を記憶するステップと
を有することを特徴とするユーザの簡易認証方法。 - 前記認証サーバは、再度、ユーザを認証する時に、ユーザによるコネクション接続要求が前記記憶されたユーザ情報に符合するか否かを確認するステップと、
クライアントにより発生させた乱数と、該乱数をセション鍵により暗号化されたものを受信するステップと、
暗号化された該乱数をセション鍵により復号するステップと、
復号化された乱数と受信した乱数を比較するステップと、
該乱数と暗号化された該乱数とから次のセション鍵を生成するステップと、
該セション鍵を記憶するステップと
を有することを特徴とする請求項1に記載のユーザの簡易認証方法。 - 前記ユーザ情報は、前記認証時にユーザが申請したコネクション存続時間の代わりに前記認証時にユーザが申請した使用コネクション数を含むことを特徴とする請求項1または2に記載のユーザの簡易認証方法。
- クライアントがサーバにコネクション接続要求する時に、ユーザを識別情報と認証情報により認証する手段と、
該ユーザの送信元アドレス、ポート番号、認証時に生成されるセション鍵、および前記認証時にユーザが申請したコネクション存続時間から構成されるユーザ情報を記憶する手段と、
再度、上記ユーザを認証する必要がある時に、前記記憶されたユーザ情報と今回のユーザの送信元アドレスとポート番号が一致するか否かを確認する手段と、
ユーザによるコネクション接続要求が前記記憶されたユーザ情報に符合するか否かを確認する手段と、
クライアントにより発生させた乱数と、該乱数をセション鍵により暗号化されたものを受信する手段と、
暗号化された該乱数をセション鍵により復号する手段と、
復号化された乱数と受信した乱数を比較する手段と、
該乱数と暗号化された該乱数とから次のセション鍵を生成する手段と、
該セション鍵を記憶する手段と
を有することを特徴とする認証サーバ。 - 前記ユーザ情報は、前記認証時にユーザが申請したコネクション存続時間の代わりに前記認証時にユーザが申請した使用コネクション数を含むことを特徴とする請求項4に記載の認証サーバ。
- 再度、ユーザを認証する時に、前記記憶されたユーザ情報と今回のユーザの送信元アドレスが一致するか否かを確認する手段を有することを特徴とする請求項4または5に記載の認証サーバ。
- コンピュータを、請求項4から請求項6のいずれかに記載の認証サーバにおける各手段として機能させるためのプログラムを格納したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP20365498A JP4013175B2 (ja) | 1998-07-17 | 1998-07-17 | ユーザの簡易認証方法、認証サーバ、およびそのためのプログラムを格納した記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP20365498A JP4013175B2 (ja) | 1998-07-17 | 1998-07-17 | ユーザの簡易認証方法、認証サーバ、およびそのためのプログラムを格納した記録媒体 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005205446A Division JP2005327315A (ja) | 2005-07-14 | 2005-07-14 | クライアントとサーバ間の簡易認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2000036809A JP2000036809A (ja) | 2000-02-02 |
| JP4013175B2 true JP4013175B2 (ja) | 2007-11-28 |
Family
ID=16477644
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP20365498A Expired - Fee Related JP4013175B2 (ja) | 1998-07-17 | 1998-07-17 | ユーザの簡易認証方法、認証サーバ、およびそのためのプログラムを格納した記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4013175B2 (ja) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000106552A (ja) * | 1998-09-29 | 2000-04-11 | Hitachi Ltd | 認証方法 |
| JP2002215480A (ja) * | 2001-01-15 | 2002-08-02 | Sony Corp | マルチプロセッサ・システム及びマルチプロセッサ・システムにおけるデータ通信制御方法 |
| JP4559648B2 (ja) * | 2001-03-21 | 2010-10-13 | トヨタ自動車株式会社 | 認証システム、および認証サーバ |
| KR20030056568A (ko) * | 2001-12-28 | 2003-07-04 | 한국전자통신연구원 | 에이전트 및 메시지 보호를 위한 인증 방법 |
| KR100458919B1 (ko) * | 2002-02-04 | 2004-12-03 | 주식회사 이트로닉스 | 인터넷 접속 장치 관리 시스템과 그 방법 및 인터넷 접속장치로의 데이터 전송 방법 |
| JP3747008B2 (ja) * | 2002-04-09 | 2006-02-22 | 株式会社エヌ・ティ・ティ・データ | 事前登録型電子決済システム、及び事前登録型電子決済プログラム |
| US7426382B2 (en) * | 2002-10-09 | 2008-09-16 | Motorola, Inc. | Contact validation and trusted contact updating in mobile wireless communications devices |
| JP2004246715A (ja) | 2003-02-14 | 2004-09-02 | Fujitsu Ltd | 認証情報処理方法 |
| JP4776890B2 (ja) * | 2004-04-12 | 2011-09-21 | 株式会社東芝 | ログイン管理システムと、このログイン管理システムで使用されるログイン管理装置、医療検査装置および可搬ユニット |
| US8046829B2 (en) | 2004-08-17 | 2011-10-25 | Toshiba America Research, Inc. | Method for dynamically and securely establishing a tunnel |
| JP4574335B2 (ja) * | 2004-11-19 | 2010-11-04 | 株式会社日立製作所 | セキュリティシステム、認証サーバ、認証方法、およびプログラム |
| WO2006072994A1 (ja) * | 2005-01-07 | 2006-07-13 | Systemk Corporation | ネットワークカメラへのログイン認証システム |
| JP4910313B2 (ja) * | 2005-06-10 | 2012-04-04 | コニカミノルタビジネステクノロジーズ株式会社 | 認証サーバおよび認証プログラム |
| JP4681990B2 (ja) * | 2005-09-06 | 2011-05-11 | ソフトバンクBb株式会社 | 通信システム及び通信方式 |
| JP4736729B2 (ja) * | 2005-11-14 | 2011-07-27 | 株式会社日立製作所 | Icカードを用いたセキュア端末システムおよびその方法 |
| JP2007334674A (ja) * | 2006-06-15 | 2007-12-27 | Ntt Docomo Inc | アクセス制御システム、このアクセス制御システムに用いて好適なサービス要求ノード及びサービス提供ノード |
| CN112367329B (zh) * | 2020-11-17 | 2023-05-02 | 北京知道创宇信息技术股份有限公司 | 通信连接认证方法、装置、计算机设备及存储介质 |
-
1998
- 1998-07-17 JP JP20365498A patent/JP4013175B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2000036809A (ja) | 2000-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6993652B2 (en) | Method and system for providing client privacy when requesting content from a public server | |
| EP1473869B1 (en) | Universal secure messaging for cryptographic modules | |
| EP1486025B1 (en) | System and method for providing key management protocol with client verification of authorization | |
| JP4013175B2 (ja) | ユーザの簡易認証方法、認証サーバ、およびそのためのプログラムを格納した記録媒体 | |
| JP4617763B2 (ja) | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム | |
| US7690026B2 (en) | Distributed single sign-on service | |
| CN101981890B (zh) | 安全工作组管理和通信的系统和方法 | |
| US9137017B2 (en) | Key recovery mechanism | |
| US20050144439A1 (en) | System and method of managing encryption key management system for mobile terminals | |
| JP2002290397A (ja) | セキュア通信方法 | |
| JP3842100B2 (ja) | 暗号化通信システムにおける認証処理方法及びそのシステム | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| JPH10242957A (ja) | ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体 | |
| JPH08335208A (ja) | 代理認証方法及びシステム | |
| JP3914193B2 (ja) | 認証を得て暗号通信を行う方法、認証システムおよび方法 | |
| JP2005327315A (ja) | クライアントとサーバ間の簡易認証方法 | |
| JP2002189976A (ja) | 認証システムおよび認証方法 | |
| US7890751B1 (en) | Method and system for increasing data access in a secure socket layer network environment | |
| Steiner | STATUS OF THIS MEMO |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050714 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060929 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061109 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20061201 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070202 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20070209 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070817 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070830 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100921 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |