JP4352210B2 - アクセス管理サーバ、ネットワーク装置、ネットワークシステム - Google Patents

アクセス管理サーバ、ネットワーク装置、ネットワークシステム Download PDF

Info

Publication number
JP4352210B2
JP4352210B2 JP2003095179A JP2003095179A JP4352210B2 JP 4352210 B2 JP4352210 B2 JP 4352210B2 JP 2003095179 A JP2003095179 A JP 2003095179A JP 2003095179 A JP2003095179 A JP 2003095179A JP 4352210 B2 JP4352210 B2 JP 4352210B2
Authority
JP
Japan
Prior art keywords
client
access
identification information
information
sso
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003095179A
Other languages
English (en)
Other versions
JP2004302869A (ja
Inventor
智 砂田
創一 鍵和田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2003095179A priority Critical patent/JP4352210B2/ja
Publication of JP2004302869A publication Critical patent/JP2004302869A/ja
Application granted granted Critical
Publication of JP4352210B2 publication Critical patent/JP4352210B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、クライアントが複数のサービスを利用する際のアクセス管理技術に関するものであり、特に、一度認証するだけで認証が必要な複数のサービスを利用可能とするシングルサインオン(以下SSO)機能に適用可能なアクセス管理技術に関するものである。
【0002】
【従来の技術】
クライアントがネットワークを通じてサービスを利用する場合、そのサービスを利用する権限を有していることを確認するため、ユーザ名やパスワード等の入力によるサインを行う。ユーザの利用権限のチェックはそれぞれのサービスごとに必要となるため、旧来はそれぞれのサービスを利用する毎にユーザはサインを行っていた。しかし、利用するサービスが複数存在する場合、いちいちサインを行うのは手間がかかる。このようなユーザの手間を軽減するため、クライアントがただ一度のサイン(ユーザ名,パスワード等の入力)を行うことで複数のサービスの利用を可能にしたシングルサインオンの技術が開発されている。
【0003】
シングルサインオンを実現する従来の方法の一つとして、例えばクライアント側で用いているブラウザにおいて、アプリケーション毎のサイン(ユーザ名,パスワード)を保持する方法がある。しかし、このような機能を有していないブラウザもあり、汎用的に利用できる技術ではない。
【0004】
別の方法として、例えば特許文献1に記載されているように、クライアントからのアクセスを受け付けるWebサーバを設け、このWebサーバを通じて各種のサービスを提供する方法がある。この場合、Webサーバに対して1回のサイン(ユーザ名,パスワード入力)のみで、各種のサービスを利用することが可能である。また、クライアントのログイン状態はすべてWebサーバにおいて一元管理することができる。
【0005】
しかし、WebサーバやSSOに参加している各サーバが利用するクライアント識別情報は同一であることを前提としているため、例えばWebアプリケーションに適用しようとした場合、必ずポータル的なサーバが必要となる。そのため、すでにネットワーク上にサーバが構成されている場合、導入への大きな障害となる。また、クライアントからの要求はすべてWebサーバを通過しなければならないため、パフォーマンスへの影響も大きい。
【0006】
別の方法として、例えば特許文献2に記載されているように、複数の認証が必要なWWWサーバのうち、一つのWWWサーバにおいて認証を行えば、そのWWWサーバから他のサーバへ認証済み情報が通知される技術がある。この技術では、認証が行われたときに、その旨を他のすべてのWWWサーバへ通知する。そのため、それぞれのWWWサーバが通知先となる全てのWWWサーバの情報を保持している必要がある。また、クライアントがアクセスしたか否かによらず、全てのWWWサーバへ認証済みである旨を通知するため、通知によるトラフィック量が増大し、パフォーマンスへの影響が大きいという問題がある。
【0007】
さらに別の方法として、特願2002−95755号公報に記載されている技術においても、SSOサーバにおいてクライアント識別情報とそのクライアントの認証情報を一元管理し、SSOを実現している。この技術では、クライアントからのアクセスを受けたWWWアプリケーションがSSOサーバに問い合わせ、また、WWWアプリケーションがSSOサーバから認証状況を受け取った後は、クライアントとWWWアプリケーションの間で通信を行うので、特定のサーバにアクセスが集中することもなく、パフォーマンスの影響は小さい。
【0008】
しかしこの技術では、ログイン状態を決定する情報をクライアントから受け取るのは、ログイン状態を管理しているサーバ(SSOサーバ)である。そのため、例えばDocuShare(登録商標)のように各々のサーバがログイン状態を管理し、またそれぞれのサーバが認証機能を有してクライアントからの要求により認証方法を切り替えるといった制御を行っているシステムをSSOに参加させることはできない。また、この技術では、SSOに参加しているサーバがSSOサーバへクライアントのログイン状態を問い合わせるのは最初の接続時のみであり、その後のログイン状態の変化を反映することができない。そのため、クライアントのログイン状態が自由に変更可能なシステムにおいては、ログイン状態の統一を保つことができないという問題があった。
【0009】
【特許文献1】
特開2000−106552号公報
【特許文献2】
特開2002−288138号公報
【0010】
【発明が解決しようとする課題】
本発明は、上述した事情に鑑みてなされたもので、SSOに参加しているサービス毎に自由にログイン状態の制御が可能であるとともに、そのクライアントのログイン状態の変更を、パフォーマンスへの影響を最小限に抑えながらも、即時に他のサービスへも反映することができ、さらに特別なポータルを必要としないネットワークシステムを提供するとともに、そのようなネットワークシステムにおいて利用可能なアクセス管理サーバ及びネットワーク装置を提供することを目的とするものである。
【0011】
【課題を解決するための手段】
本発明は、クライアントに対して提供されるサービスへの前記クライアントのアクセスを管理するアクセス管理サーバにおいて、通信制御手段は、サービスを提供するネットワーク装置が発行した一時的な識別子を用いて前記クライアントがアクセスした場合に前記クライアントが新規のアクセスであるか否かを判定し、新規のアクセスであれば前記一時的な識別子をもとに前記ネットワーク装置から第1のクライアント識別情報を取得して該第1のクライアント識別情報とアクセスしてきた前記クライアントを特定する新規に割り当てた第2のクライアント識別情報と当該クライアントがアクセスしたサービスの情報とを前記アクセス情報として前記アクセス情報保持手段に保持させ、新規のアクセスでない場合には前記一時的な識別子をもとに前記ネットワーク装置から第1のクライアント識別情報を取得して該第1のクライアント識別情報とアクセスしてきた前記クライアントに既に割り当てている前記第2のクライアント識別情報と当該クライアントがアクセスしたサービスの情報を前記アクセス情報として前記アクセス情報保持手段に保持させるとともに前記ネットワーク装置に対して前記第2のクライアント識別情報に対応するクライアントのログインの状態及び前記第1のクライアント識別情報を送ることを特徴とするものである。
【0015】
また本発明は、上述のようなアクセス管理サーバを利用し、ネットワークを通じて行われるクライアントからの要求に応じてサービスを提供するネットワーク装置において、クライアントのログイン状態に関するログイン状態情報をログイン状態情報保持手段に保持に保持しておき、クライアントからのアクセスを受けた際に、ログイン状態情報保持手段が保持するログイン状態情報を調べ、新たなクライアントからのアクセスである場合、当該クライアントを識別するクライアント識別情報を割り当てるとともに一時的な識別子を対応付けて該一時的な識別子をクライアントへ送ってアクセス管理サーバへのアクセスを行わせ、前記アクセス管理サーバから前記一時的な識別子を用いたクライアント識別情報の要求を受けた場合には前記一時的な識別子に対応するクライアント識別情報を前記アクセス管理サーバへ送り、前記アクセス管理サーバから前記クライアントに関するログインの状態及び前記クライアント識別情報を受け取った場合には前記クライアントの前記ログイン状態情報を更新し、前記処理手段は、前記ログイン状態情報に従って前記クライアントにサービスを提供することを特徴とするものである。
【0016】
なお、アクセス管理サーバから前記一時的な識別子を用いたクライアント識別情報の要求を受けた場合には、前記一時的な識別子と前記クライアント識別情報との対応付けを削除するように構成することができる。
【0018】
さらに本発明は、ネットワークを通じて行われるクライアントからの要求に応じてサービスを提供するネットワーク装置と、ネットワークを通じて前記クライアントのアクセスを管理するアクセス管理サーバを含むネットワークシステムであって、ネットワーク装置は、クライアントから新たなアクセスを受けた際に当該クライアントを識別する第1のクライアント識別情報を割り当てるとともに一時的な識別子を対応付けて該一時的な識別子をクライアントへ送って前記アクセス管理サーバへのアクセスを行わせる。アクセス管理サーバでは、前記ネットワーク装置が発行した一時的な識別子を用いて前記クライアントからのアクセスを受けた場合に、前記クライアントが新規のアクセスであれば前記一時的な識別子をもとに前記ネットワーク装置から第1のクライアント識別情報を取得して該第1のクライアント識別情報とアクセスしてきた前記クライアントを特定する新規に割り当てた第2のクライアント識別情報と当該クライアントがアクセスした前記ネットワーク装置の情報とを保持し、新規のアクセスでない場合には前記一時的な識別子をもとに前記ネットワーク装置から第1のクライアント識別情報を取得して該第1のクライアント識別情報とアクセスしてきた前記クライアントに既に割り当てている前記第2のクライアント識別情報と当該クライアントがアクセスしたネットワーク装置の情報とを保持するとともに前記ネットワーク装置に対して前記第2のクライアント識別情報に対応するクライアントのログインの状態及び前記第1のクライアント識別情報を送り、前記ネットワーク装置は、前記アクセス管理サーバから前記ログインの状態及び前記第1のクライアント識別情報を受け取ると、前記ログインの状態に基づいて前記クライアントにサービスを提供することを特徴とするものである。
【0019】
なお、ネットワーク装置では、アクセス管理サーバから一時的な識別子を用いたクライアント識別情報の要求を受けた場合に、一時的な識別子とクライアント識別情報との対応付けを削除するように構成するとよい。
【0022】
【発明の実施の形態】
図1は、本発明の実施の一形態を示すシステム構成図である。図中、1はSSOサーバ、2,3はSSOアプリケーション、4はネットワーク、5〜7はクライアント、11は通信制御部、12はSSOアクセス情報データベース、13はログイン状態情報データベース、14はユーザ認証情報データベース、21は通信制御部、22は処理部、23はログイン状態情報データベースである。図1に示す例では、SSOサーバ1、SSOアプリケーション2,3、クライアント5〜7などがネットワーク4を利用して通信可能に構成されている。もちろん、多くのクライアント、多くのSSOアプリケーション、その他多くのサーバ等と通信可能である。ネットワーク4は、LANやインターネットなど、各種のネットワークで構成することができ、またそれらが複合的に組み合わされた構成であってよい。
【0023】
SSOサーバ1は、クライアント5〜7からSSOアプリケーション2,3に対するアクセス及びログイン状態を管理するアクセス管理サーバとして機能する。クライアントが新たなSSOアプリケーションに対してアクセスする度にクライアントとアクセスしたSSOアプリケーションの情報をSSOアクセス情報としてSSOアクセス情報データベース12に保持しておく。また、管理しているログイン状態の情報をログイン状態情報データベース13に格納しており、このログイン状態情報を用いてSSOアプリケーション2,3からのログイン状態の問い合わせに応じることでSSO機能を提供する。さらに、ログイン状態の変更時には、必要に応じてクライアントの認証を行うとともに、SSOアクセス情報として登録されているそれまでにクライアントがアクセスしたSSOアプリケーションに対してログイン状態の変更を通知する。ログイン状態の変更としては、ログイン前のゲストからユーザアカウントへのログイン、及び、ログインの状態からのログアウトなどがある。
【0024】
この例ではSSOサーバ1は、通信制御部11、SSOアクセス情報データベース12、ログイン状態情報データベース13、ユーザ認証情報データベース14などを含んで構成されている。通信制御部11は、ネットワーク4を通じてSSOアプリケーション2,3やクライアント5〜7等との通信を行うとともに、上述のようなSSOサーバ1における機能を実現する。
【0025】
SSOアクセス情報データベース12は、クライアントがアクセスしたSSOアプリケーションに関するアクセス情報を保持する。またログイン状態情報データベース13は、それぞれのクライアントごとに、クライアントのログイン状態に関するログイン状態情報を保持する。さらにユーザ認証情報データベース14は、クライアントの認証情報を保持する。
【0026】
図2は、SSOサーバが保持する情報の一例の説明図である。図2(A)に示すSSOアクセス情報データベース12に格納するアクセス情報は、SSOサーバにおけるクライアント識別情報(以下、sidと呼ぶことがある)と、クライアントがアクセスしたSSOアプリケーションの名称などの識別情報と、当該SSOアプリケーションにおけるクライアント識別情報(以下、cidと呼ぶことがある)から構成されている。このようなアクセス情報を、クライアント毎、SSOアプリケーション毎に格納する。
【0027】
また図2(B)に示すログイン状態情報データベース13に格納するログイン状態情報は、SSOサーバにおけるクライアント識別情報(sid)と、ログイン状態から構成されている。ログイン状態には、例えば3行目に示しているように“guest”でSSOアプリケーション2,3にアクセスしている状態か、1,2行目に示しているように“user−A”や“user−B”といったユーザIDのアカウントによりログインした状態か、等を示す情報が格納されている。
【0028】
さらに図2(C)に示すユーザ認証情報データベース14に格納するユーザ認証情報は、ユーザIDと、対応する認証情報(例えばパスワードなど)によって構成されている。クライアントからログイン要求を受けたとき、ユーザIDと認証情報を用いて認証を行うことができる。
【0029】
なお、それぞれのデータベースに格納する情報は図2に示した情報に限られるものではなく、それぞれの機能が果たせればどのような情報であってもよいし、他の種々の情報を含んでいてもよい。また、SSOアクセス情報データベース12、ログイン状態情報データベース13、ユーザ認証情報データベース14は、この例ではSSOサーバ1内に設けているが、これに限らず、その一部又は全部をSSOサーバ1とは別のサーバにより構成することも可能である。
【0030】
SSOアプリケーション2,3は、クライアントに対して各種のサービスを提供する。SSOアプリケーション2,3は、例えばコンピュータなどのネットワーク装置(サーバ)で構成することができる。なお、1台のネットワーク装置(サーバ)が複数のサービスを提供することもあるし、複数台のネットワーク装置が協働して1つのサービスを提供することもある。ここでは、SSOアプリケーション2,3は、クライアントに対して提供されるサービスに対応するものとして示している。なお、SSOアプリケーション2,3は、それぞれがローカルユーザのための認証機構を有しており、ユーザの認証を独自で行うことができる。認証を独自で行うか、あるいはSSOサーバに任せるかは、それぞれのSSOアプリケーション2,3が判断して行う。従って、ログイン状態の制御をSSOアプリケーションにおいて行うことができる。
【0031】
SSOアプリケーション2は、通信制御部21、処理部22、ログイン状態情報データベース23を含んで構成されている。SSOアプリケーション3については図示していないが、同様の構成を含んで構成することができる。処理部22は、実際にサービスを提供する部分である。
【0032】
通信制御部21は、ネットワーク1を通じてクライアント5〜7及びSSOサーバ1などとの通信を行い、SSOアプリケーション2における処理部22で行うサービスのための処理以外の様々な処理を行う。例えばクライアントからのアクセスを受け付け、ログイン状態情報データベース23が保持するログイン状態情報を調べ、新たなクライアントからのアクセスである場合には、SSOサーバ1に対して問い合わせを行い、ログイン状態情報を受け取ってログイン状態情報を登録する。このとき、既に他のSSOアプリケーションでログイン済であり、SSO機能によりログインを許可する場合には、このSSOアプリケーション2においてもログイン済として扱う。また、例えばゲストとしてアクセスしているクライアントからログイン要求を受けたり、ログイン中のクライアントからログアウト要求を受けるなど、ログイン状態を変更する要求を受けた場合には、ローカルなユーザであれば自装置内で処理し、そうでなければSSOサーバ1に依頼する。さらに、SSOサーバ1からクライアントのログイン状態情報の変更が通知された場合には、当該通知に基づいてログイン状態情報の更新を行う。当然、SSOアプリケーション毎のクライアント管理の方針によりログイン状態情報の更新を行わなくても良い。(例えば、ローカルユーザのログイン状態を優先する方針であれば、SSOサーバ1からの通知では、ログイン状態を更新しない等。)
【0033】
ログイン状態情報データベース23は、それぞれのクライアントのログイン状態に関する情報であるログイン状態情報を保持している。図3は、SSOアプリケーションが保持するログイン状態情報の一例の説明図である。このログイン状態情報は、図2(B)に示したSSOサーバ1が保持するログイン状態情報と同様であり、SSOアプリケーション2におけるクライアント識別情報(cid)とログイン状態を保持している。このログイン状態情報は、SSOアプリケーション2においてローカルなユーザについてのログイン状態情報についても保持しておくことができる。なお、ログイン状態情報は、図3に示した構成に限られるものではない。また、このログイン状態情報データベース23はSSOアプリケーションとは別に設けることも可能である。
【0034】
なおクライアント5〜7は、コンピュータや携帯端末、携帯電話をはじめ、様々なネットワーク機器で構成することができる。
【0035】
次に、本発明の実施の一形態における動作について説明する。なお、以下の動作の説明では、利用するプロトコルはHTTPとして説明する。図4は、クライアントからSSOアプリケーションへの初回のアクセス時の動作の一例を示すシーケンス図である。ここではクライアント5がSSOにより利用可能なSSOアプリケーション群へのはじめてのアクセスとして、SSOアプリケーション2に対してアクセスを行ったものとする。クライアントは(1)において、SSOアプリケーション2のホームページなどのアドレス(url)を指定してアクセスする。
【0036】
SSOアプリケーション2は、クライアント5からのアクセスを受けると、クライアント5が既にSSOアプリケーション2にアクセスを行っているか否かを調べる。これは、例えばクライアント5からSSOアプリケーション2が発行した情報(例えばクッキー)の提示があるか否かを判定したり、あるいは、ログイン状態情報データベース23に格納されているログイン状態情報を調べることによって行うことができる。
【0037】
クライアント5からの新規のアクセスであることを確認したら、(2)において、クライアント5に対してクライアント識別情報(cid)を割り当てる。そして、ログイン状態情報として、クライアント識別情報(cid)と、まだログインしていない状態であることを示すログイン状態“ゲスト”を対応付けてログイン状態情報データベース23に格納する。さらに、一時的な識別子(oid)をクライアント識別情報(cid)と対応付けて保持しておく。そしてSSOアプリケーション2は、(3)において、クライアント5に対してリダイレクションによってSSOサーバ1へのアクセスを指示する。このとき、SSOサーバ1のアドレスとともに、SSOアプリケーション2のアドレス(SSOApp)と一時的な識別子(oid)を送る。
【0038】
クライアント5では、リダイレクションの指示をSSOアプリケーション2から受け取ると、自動的に、あるいはユーザの指示に従い、(4)において、送られてきたSSOサーバのアドレスを用いてSSOサーバ1へのアクセスが行われる。この時、同じく送られてきたSSOアプリケーション2のアドレス(SSOApp)と一時的な識別子(oid)についてもSSOサーバ1へ送る。
【0039】
SSOサーバ1では、クライアント5からのアクセスを受けると、クライアント5が既にSSOサーバ1(すなわちSSOアプリケーションのいずれか)にアクセスを行っているか否かを調べる。これは、例えばクライアント5からSSOサーバ1が発行した情報(例えばクッキー)の提示があるか否かを判定したり、あるいは、ログイン状態情報データベース13に格納されているログイン状態情報を調べることによって行うことができる。
【0040】
クライアント5からの新規のアクセスであることを確認したら、(5)において、クライアント5に対してクライアント識別情報(sid)を割り当てる。そして、ログイン状態情報として、クライアント識別情報(sid)と、まだログインしていない状態であることを示すログイン状態“ゲスト”を対応付けてログイン状態情報データベース23に格納する。さらに、(6)において、SSOサーバ1はSSOアプリケーション2に対して、クライアント5から送られてきたSSOアプリケーション2のアドレス(SSOApp)及び一時的な識別子(oid)をもとに、SSOアプリケーション2におけるクライアント識別情報(cid)を要求する。
【0041】
SSOサーバ1からの要求を受け取ったSSOアプリケーション2では、(7)において、送られてきた一時的な識別子(oid)をもとに、関連づけられているクライアント識別情報(cid)を取得し、一時的な識別子(oid)とクライアント識別情報(cid)との関連づけを消す。そして(8)において、SSOアプリケーション2におけるクライアント識別情報(cid)をSSOサーバ1へ送る。
【0042】
SSOサーバ1では、SSOアプリケーション2から送られてきたクライアント識別情報(cid)を受け取ると、(9)において、SSOサーバ1におけるクライアント識別情報(sid)と、SSOアプリケーション2を識別する情報(例えばSSOアプリケーション2のアドレス(SSOApp)など)と、SSOアプリケーション2におけるクライアント識別情報(cid)とを対応付けてアクセス情報としてSSOアクセス情報データベース12に格納する。SSOサーバ1は、アクセス情報の登録が終了した後、クライアント5が初回のアクセスであった場合には、(10)において、SSOアプリケーション2にアクセスを戻すため、SSOアプリケーション2のアドレス(SSOApp)を指定したリダイレクションをクライアント5に指示する。この時、以後、SSOサーバ1にアクセスする際に用いる情報(例えばクッキーなど)をクライアント5へ送っておく。
【0043】
クライアント5では、リダイレクションの指示をSSOサーバ1から受け取ると、自動的に、あるいはユーザの指示に従い、(11)において、送られてきたSSOアプリケーションのアドレス(SSOApp)を用いてSSOアプリケーション2へのアクセスが行われる。
【0044】
SSOアプリケーション2は、クライアント5からのアクセスを受け取ると、(12)において、今度はクライアント5にクライアント識別情報(cid)が割り当てられているので、これをもとにログイン状態情報データベース23に格納されているログイン状態情報を取得し、クライアント5のログインの状態を調べる。ここではクライアント5のログイン状態は“ゲスト”である。要求されているページが“ゲスト”のログイン状態で参照可能であることを確認後、(13)において、要求されているページをクライアント5へ送る。
【0045】
このようにして、(1)で要求したページがクライアント5において表示され、ユーザが参照することができる。以後、SSOアプリケーション2において“ゲスト”のログイン状態で参照可能なページについては、クライアント5からの要求に応じて、SSOアプリケーション2が当該ページを送ることによって、やりとりが行われる。
【0046】
図5は、クライアントから別のSSOアプリケーションへアクセスした時の動作の一例を示すシーケンス図である。ここではクライアント5が上述のようにしてSSOアプリケーション2にアクセスした後に、SSOアプリケーション3に対してアクセスを行ったものとする。なお、図4で説明した初回のアクセス時と同様の部分には同じ符号を付して概略のみを説明する。
【0047】
クライアント5が(1)においてSSOアプリケーション3にアクセスすると、SSOアプリケーション3は、クライアント5が既にSSOアプリケーション3にアクセスを行っているか否かを調べる。ここでは、クライアント5はSSOアプリケーション2に対しては既にアクセスを行っているものの、SSOアプリケーション3に対しては初回のアクセスとなる。
【0048】
SSOアプリケーション3は、クライアント5からの新規のアクセスであることを確認したら、(2)において、クライアント5に対するクライアント識別情報(cid)の割り当てと、ログイン状態情報の生成及びログイン状態情報データベースへの格納を行う。さらに、一時的な識別子(oid)をクライアント識別情報(cid)と対応付けて保持しておく。そして(3)において、クライアント5に対してリダイレクションによってSSOサーバ1へのアクセスを指示する。クライアント5は、リダイレクションの指示を受け、(4)において、SSOサーバ1へのアクセスを行う。
【0049】
SSOサーバ1では、クライアント5からのアクセスを受けると、(5’)において、クライアント5が既にSSOサーバ1(すなわちSSOアプリケーションのいずれか)にアクセスを行っているか否かを調べる。ここでは既にSSOアプリケーション2にアクセスしたときにSSOサーバ1へのアクセスを行っている。従って、ログイン状態情報データベース13にクライアント5のログイン状態情報が格納されている。また、例えばSSOサーバ1が例えばクッキー等の情報を発行している場合には、クライアント5からSSOサーバ1が発行した例えばクッキー等の情報が提示される。なお、クライアント5が既に他のSSOアプリケーションにアクセスしている場合には、新たなクライアント識別情報(sid)の割り当てや新たなログイン状態情報の生成及び登録などは行わない。
【0050】
SSOサーバ1は、(6)において、SSOアプリケーション3に対して一時的な識別子(oid)をもとに、SSOアプリケーション3におけるクライアント識別情報(cid)を要求する。この要求に対して、SSOアプリケーション3では、(7)において、送られてきた一時的な識別子(oid)をもとに、関連づけられているクライアント識別情報(cid)を取得し、一時的な識別子(oid)とクライアント識別情報(cid)との関連づけを消す。そして(8)において、SSOアプリケーション3におけるクライアント識別情報(cid)をSSOサーバ1へ送る。
【0051】
SSOサーバ1では、SSOアプリケーション3から送られてきたクライアント識別情報(cid)を受け取ると、(9)において、SSOサーバ1におけるクライアント識別情報(sid)と、SSOアプリケーション3を識別する情報(例えばSSOアプリケーション3のアドレス(SSOApp)など)と、SSOアプリケーション3におけるクライアント識別情報(cid)とを対応付けてアクセス情報としてSSOアクセス情報データベース12に格納する。このようにして、同じクライアント5であっても、異なるSSOアプリケーションにアクセスした場合には新たなアクセス情報が生成され、登録される。従ってクライアント5がいずれのSSOアプリケーションにアクセスしたかがアクセス情報として蓄積されることになる。
【0052】
SSOサーバ1は、アクセス情報の登録が終了した後、(10’)において、SSOアプリケーション3に対して、ログイン状態情報データベース13に格納されているクライアント5に対応するログイン状態情報(status)を、SSOアプリケーション3におけるクライアント5のクライアント識別情報(cid)とともに送る。この通知を受けたSSOアプリケーション3では、(12’)において、ログイン状態情報データベース23に格納されているクライアント5に対応するログイン状態情報を、受け取ったログイン状態情報に書き換える。そして(13)において、要求されているページをクライアント5へ送る。
【0053】
この例では、先にSSOアプリケーション2に対して“ゲスト”としてアクセスしているので、SSOサーバ1からSSOアプリケーション3に対してログイン状態が“ゲスト”である旨が通知され、SSOアプリケーション3におけるクライアント5に対するログイン状態情報は“ゲスト”のままである。例えば後述するログイン状態の変更要求がなされ、ユーザIDなどによってログインされた状態の場合には、その旨がSSOサーバ1からSSOアプリケーション3に通知され、SSOアプリケーション3においても通知されたユーザIDによってログインされた状態となる。これによって、クライアント5から改めてSSOアプリケーション3に対してログインを行わなくても、SSOアプリケーション3にログインしているものとしてSSOアプリケーション3のサービスを受けることができ、SSOを実現することができる。
【0054】
次に、ログイン状態の変更を要求された場合の動作について説明する。ログイン状態の変更としては、ユーザIDによるログインやログアウトなどがある。まずログイン時の動作について説明する。
【0055】
図6は、クライアントからSSOアプリケーションへログイン要求を行ったときの動作の一例を示すシーケンス図である。ここではクライアント5がSSOアプリケーション2にログイン要求を行うものとし、これまでにクライアント5はSSOアプリケーション2,3に対してアクセスを行っているものとする。すなわち、SSOサーバ1にはアクセス情報として、SSOアプリケーション2へのアクセス時のアクセス情報とSSOアプリケーション3へのアクセス時のアクセス情報がSSOアクセス情報データベース12に格納されているものとする。
【0056】
クライアント5は、ログインを要求するために、ここではSSOアプリケーション2に対して(21)においてログインフォームを要求し、SSOアプリケーション2は、この要求に応じて(22)においてログインフォームをクライアント5に送る。クライアント5では、送られてきたログインフォームにユーザIDやパスワードなどの所定事項を入力し、その内容をログイン情報として、(23)においてSSOアプリケーション2に送る。
【0057】
SSOアプリケーション2は、クライアント5からログイン情報を受け取ると、その内容をチェックした後、(24)においてクライアント5のクライアント識別情報(cid)とともにログイン情報をSSOサーバ1へ送る。
【0058】
SSOサーバ1では、SSOアプリケーション2からクライアント識別情報(cid)及びログイン情報を受け取ると、(25)において、ユーザ認証情報データベース14に格納されているユーザ認証情報を用いて認証を行う。認証に成功したら、SSOアプリケーション2におけるクライアント識別情報(cid)をもとにSSOサーバ1におけるクライアント識別情報(sid)を特定し、ログイン状態情報データベース13に格納されているクライアント5のログイン状態情報を更新する。さらに(26)において、SSOサーバ1におけるクライアント識別情報(sid)をもとにSSOアクセス情報データベース12を検索し、それまでクライアント5がアクセスしたSSOアプリケーションを特定する。
【0059】
そして(27)において、(26)で特定したSSOアプリケーションに対して、それぞれ、ログイン状態情報(status)をそれぞれのSSOアプリケーションにおけるクライアント識別情報(cid)とともに送る。クライアント5がSSOアプリケーション2,3にアクセスしていた場合、図中(27)として示すSSOアプリケーション2へのログイン状態情報の送信とともに、SSOアプリケーション3に対してもログイン状態情報が送信される。これを(27’)として示している。
【0060】
このように、ログインが行われてログイン状態が更新される場合には、SSOアクセス情報データベース12に蓄積されている、クライアントがそれまでにアクセスしたすべてのSSOアプリケーションに対して更新後のログイン状態情報が送信される。これによって即時性を保証する。しかし、SSOアプリケーションが多数存在する場合でも、クライアントがアクセスしたSSOアプリケーションのみにしかログイン状態情報を送信しないため、ネットワーク4などに対する負荷を最小限にとどめることができる。さらに、ログイン状態の変更はSSOサーバ1から通知されるため、SSOアプリケーションから定期的に、あるいはクライアントからのアクセス時毎にSSOサーバ1へ尋ねる必要もなく、この点でも即時性及び負荷の軽減に寄与することができる。
【0061】
SSOサーバ1からログイン状態情報を受け取ったSSOアプリケーション2では、(28)において、受け取ったログイン状態情報に従ってログイン状態情報データベース23を更新し、クライアント5はSSOアプリケーション2にログインした状態に変更される。そしてSSOアプリケーション2は、ログイン後のページを(29)においてクライアント5に送る。以後、クライアント5はログインしたユーザとして扱われ、ログインユーザのみに許されるページなどの参照が可能となる。
【0062】
また、SSOアプリケーション3においても、SSOサーバ1からクライアント5のログイン状態情報を受け取る。そしてSSOアプリケーション3のログイン状態情報データベースについても更新される。これによって、クライアント5がSSOアプリケーション2に対してログインを行うだけで、SSOアプリケーション3についてもログインを行ったのと同等のサービスを受けることができるようになり、SSOの機能を実現することができる。
【0063】
なお、(23)においてSSOアプリケーション2がクライアント5からログイン情報を受け取ったとき、このログイン情報を(24)でSSOサーバ1に転送するか否かはSSOアプリケーション2が制御可能である。例えばSSOアプリケーション2が個別の認証機構を有しており、SSOアプリケーション2のローカルユーザとしてクライアントの認証を行う場合には、クライアントの認証を自装置において行えばよく、SSOサーバ1にログイン情報を転送する必要はない。また、SSOアプリケーションにおいて、クライアントはローカルユーザとしてログインしており、かつそのSSOアプリケーションがローカルユーザを優先する方針であれば、SSOサーバからログイン状態情報変更の通知を受け取ったとしても、クライアントのログイン状態を更新する必要はない。既存のSSOアプリケーションでは、このように従来から用いているアカウント及び認証機構をそのまま維持している場合が多く、このようなSSOアプリケーションについてもSSOシステムに容易に加えることが可能である。またこのような機構によって、SSOアプリケーションがログイン状態を任意に制御できるようにしている。
【0064】
また、SSOサーバ1が(25)において認証を行った結果、認証が不成功に終わった場合には、その旨をSSOアプリケーション2に送り、さらにSSOアプリケーション2がクライアント5に対してログインが成功しなかった旨を伝えればよい。
【0065】
図7は、クライアントからSSOアプリケーションへログアウト要求を行ったときの動作の一例を示すシーケンス図である。ここではクライアント5がログイン中にSSOアプリケーション2に対してログアウトの要求を行うものとする。この例においても、これまでにクライアント5はSSOアプリケーション2,3に対してアクセスを行っているものとする。
【0066】
クライアント5は、ここではSSOアプリケーション2に対して(31)においてログアウトを要求する。SSOアプリケーション2は、クライアント5からログアウトの要求を受け取ると、(32)においてクライアント5のクライアント識別情報(cid)とともにログアウトの要求をSSOサーバ1へ送る。
【0067】
SSOサーバ1では、SSOアプリケーション2からクライアント識別情報(cid)及びログアウトの要求を受け取ると、(33)において、SSOアプリケーション2におけるクライアント識別情報(cid)をもとにSSOサーバ1におけるクライアント識別情報(sid)を特定し、ログイン状態情報データベース13に格納されているクライアント5のログイン状態情報を更新する。例えば“ゲスト”の状態に戻せばよい。
【0068】
さらに、SSOサーバ1におけるクライアント識別情報(sid)をもとにSSOアクセス情報データベース12を検索し、それまでクライアント5がアクセスしたSSOアプリケーションを特定する。
【0069】
そして(34)において、(33)で特定した各SSOアプリケーションに対して、ログアウトをそれぞれのSSOアプリケーションにおけるクライアント識別情報(cid)とともに送る。ログアウトは、例えば“ゲスト”のログイン状態情報(status)を送信してもよい。クライアント5がSSOアプリケーション2,3にアクセスしていた場合、図中(34)として示すSSOアプリケーション2へのログアウトの送信とともに、SSOアプリケーション3に対してもログアウトが送信される。これを(34’)として示している。
【0070】
このように、ログアウトが行われてログイン状態が更新される場合も、ログイン時と同様、SSOアクセス情報データベース12に蓄積されている、クライアントがそれまでにアクセスしたすべてのSSOアプリケーションに対してログアウトが送信される。これによって即時性を保証するとともに、クライアントがアクセスしたSSOアプリケーションのみにしかログアウトを送信しないことによって、ネットワーク4などに対する負荷を最小限にとどめることができる。さらに、ログアウトについてもSSOサーバ1からSSOアプリケーションに通知されるため、SSOアプリケーションから定期的に、あるいはクライアントからのアクセス時毎にSSOサーバ1へ尋ねる必要もなく、この点でも即時性及び負荷の軽減に寄与することができる。
【0071】
SSOサーバ1からログアウトを受け取ったSSOアプリケーション2では、(35)において、クライアント5のログイン状態情報をログアウトの状態(例えば“ゲスト”)に更新する。そしてSSOアプリケーション2は、ログアウト後のページを(36)においてクライアント5に送る。以後、クライアント5はログインしていない“ゲスト”として扱われる。
【0072】
また、SSOアプリケーション3においても、SSOサーバ1からクライアント5のログアウトを受け取る。そしてSSOアプリケーション3のログイン状態情報データベースについても更新される。これによって、クライアント5がSSOアプリケーション2に対してログアウトを行うだけで、SSOアプリケーション3についてもログアウトを行ったのと同等のサービスを受けることができるようになり、SSOの機能を実現することができる。
【0073】
なお、(31)においてSSOアプリケーション2がクライアント5からログアウトの要求を受け取ったとき、クライアント5がローカルユーザとしてログインしている場合にはSSOアプリケーション2においてログアウトの処理を行い、SSOサーバ1へのログアウトの要求の転送を行わないように制御すればよい。また、通知を受けるSSOアプリケーションにおいて、クライアントはローカルユーザとしてログインしており、かつそのSSOアプリケーションがローカルユーザを優先する方針であれば、SSOサーバからログイン状態情報変更の通知を受け取ったとしても、クライアントのログイン状態をログアウト状態へ更新する必要はない。
【0074】
上述の動作の説明では、SSOアプリケーション2,3及びSSOサーバ1においてクライアントに対して割り当てたクライアント識別情報(cid,sid)に対する有効期限については説明していないが、例えばログインしたら永続的にそのログインの状態を続けるのであれば、有効期限を設定しなければよい。あるいは、無期限の設定を行えばよい。
【0075】
もちろん有効期限を設定することもでき、その場合には、例えばそれぞれのSSOアプリケーション及びSSOサーバにおいて期限管理を行えばよい。あるいは、SSOアプリケーション及びSSOサーバがクライアントに対して発行した情報(例えばクッキー)に有効期限を設定しておき、クライアントからのアクセスを有効期限内に制限することもできる。有効期限としては、例えば時間を設定したり、例えばセッションの終了までなどといった特定の事象の発生までの期限を設定することもできる。
【0076】
このような有効期限は、ユーザの利用を制限するほか、クライアント識別情報(cid,sid)の漏洩による不正アクセスの防止にも利用することができる。例えばSSOサーバにおけるクライアント識別情報(sid)に有効期限を設けず、SSOアプリケーションにおけるクライアント識別情報(cid)に有効期限を設けておく。そして、SSOアプリケーションにおけるクライアント識別情報(cid)の有効期限切れの後にクライアントからSSOアプリケーションにアクセスされ、SSOサーバに問い合わせが行われた際に、SSOサーバにおけるクライアント識別情報(sid)を更新する。これによって、SSOサーバにおけるログイン状態は保ったまま、クライアント識別情報(sid)を変更してゆくことができる。従ってクライアント識別情報(sid)が漏洩しても永続的に利用できないため、不正アクセスを低減することができる。
【0077】
【発明の効果】
以上の説明から明らかなように、本発明によれば、SSOを実現するとともにログイン状態の変更にも対応し、またそのログイン状態をサービス側で自由に制御することができ、さらに特別なポータルサイトを必要としないネットワークシステムを提供することができる。また、クライアントがアクセスしたサービスに関する情報をアクセス管理サーバに保持しておき、ログイン状態の変更時にはクライアントがアクセスしたことのあるサービスに対してログイン状態の変更を通知するようにしたので、ログイン状態の変更が即時に行われるとともに、ネットワークに対する負荷を軽減し、パフォーマンスへの影響を最小限に抑えることができるという効果がある。
【図面の簡単な説明】
【図1】 本発明の実施の一形態を示すシステム構成図である。
【図2】 SSOサーバが保持する情報の一例の説明図である。
【図3】 SSOアプリケーションが保持するログイン状態情報の一例の説明図である。
【図4】 クライアントからSSOアプリケーションへの初回のアクセス時の動作の一例を示すシーケンス図である。
【図5】 クライアントから別のSSOアプリケーションへアクセスした時の動作の一例を示すシーケンス図である。
【図6】 クライアントからSSOアプリケーションへログイン要求を行ったときの動作の一例を示すシーケンス図である。
【図7】 クライアントからSSOアプリケーションへログアウト要求を行ったときの動作の一例を示すシーケンス図である。
【符号の説明】
1…SSOサーバ、2,3…SSOアプリケーション、4…ネットワーク、5〜7…クライアント、11…通信制御部、12…SSOアクセス情報データベース、13…ログイン状態情報データベース、14…ユーザ認証情報データベース、21…通信制御部、22…処理部、23…ログイン状態情報データベース。

Claims (5)

  1. クライアントに対して提供されるサービスへの前記クライアントのアクセスを管理するアクセス管理サーバにおいて、クライアントがアクセスしたサービスに関するアクセス情報を保持するアクセス情報保持手段と、前記サービスを提供するネットワーク装置が発行した一時的な識別子を用いて前記クライアントがアクセスした場合に前記クライアントが新規のアクセスであるか否かを判定し、新規のアクセスであれば前記一時的な識別子をもとに前記ネットワーク装置から第1のクライアント識別情報を取得して該第1のクライアント識別情報とアクセスしてきた前記クライアントを特定する新規に割り当てた第2のクライアント識別情報と当該クライアントがアクセスしたサービスの情報とを前記アクセス情報として前記アクセス情報保持手段に保持させ、新規のアクセスでない場合には前記一時的な識別子をもとに前記ネットワーク装置から第1のクライアント識別情報を取得して該第1のクライアント識別情報とアクセスしてきた前記クライアントに既に割り当てている前記第2のクライアント識別情報と当該クライアントがアクセスしたサービスの情報を前記アクセス情報として前記アクセス情報保持手段に保持させるとともに前記ネットワーク装置に対して前記第2のクライアント識別情報に対応するクライアントのログインの状態及び前記第1のクライアント識別情報を送る通信制御手段を有することを特徴とするアクセス管理サーバ。
  2. ネットワークを通じて行われるクライアントからの要求に応じてサービスを提供するネットワーク装置において、要求されたサービスを提供する処理手段と、前記クライアントのログイン状態に関するログイン状態情報を保持するログイン状態情報保持手段と、クライアントからのアクセスを受け付ける通信制御手段を有し、前記通信制御手段は、クライアントからのアクセスを受けた際に、前記ログイン状態情報保持手段が保持する前記ログイン状態情報を調べ、新たなクライアントからのアクセスである場合、当該クライアントを識別するクライアント識別情報を割り当てるとともに一時的な識別子を対応付けて該一時的な識別子をクライアントへ送ってアクセス管理サーバへのアクセスを行わせ、前記アクセス管理サーバから前記一時的な識別子を用いたクライアント識別情報の要求を受けた場合には前記一時的な識別子に対応するクライアント識別情報を前記アクセス管理サーバへ送り、前記アクセス管理サーバから前記クライアントに関するログインの状態及び前記クライアント識別情報を受け取った場合には前記クライアントの前記ログイン状態情報を更新し、前記処理手段は、前記ログイン状態情報に従って前記クライアントにサービスを提供することを特徴とするネットワーク装置。
  3. 前記通信制御手段は、前記アクセス管理サーバから前記一時的な識別子を用いたクライアント識別情報の要求を受けた場合には、前記一時的な識別子と前記クライアント識別情報との対応付けを削除することを特徴とする請求項2に記載のネットワーク装置。
  4. ネットワークを通じて行われるクライアントからの要求に応じてサービスを提供するネットワーク装置と、ネットワークを通じて前記クライアントのアクセスを管理するアクセス管理サーバを含み、前記ネットワーク装置は、クライアントから新たなアクセスを受けた際に当該クライアントを識別する第1のクライアント識別情報を割り当てるとともに一時的な識別子を対応付けて該一時的な識別子をクライアントへ送って前記アクセス管理サーバへのアクセスを行わせ、前記アクセス管理サーバは、前記ネットワーク装置が発行した一時的な識別子を用いて前記クライアントからのアクセスを受けた場合に、前記クライアントが新規のアクセスであれば前記一時的な識別子をもとに前記ネットワーク装置から第1のクライアント識別情報を取得して該第1のクライアント識別情報とアクセスしてきた前記クライアントを特定する新規に割り当てた第2のクライアント識別情報と当該クライアントがアクセスした前記ネットワーク装置の情報とを保持し、新規のアクセスでない場合には前記一時的な識別子をもとに前記ネットワーク装置から第1のクライアント識別情報を取得して該第1のクライアント識別情報とアクセスしてきた前記クライアントに既に割り当てている前記第2のクライアント識別情報と当該クライアントがアクセスしたネットワーク装置の情報とを保持するとともに前記ネットワーク装置に対して前記第2のクライアント識別情報に対応するクライアントのログインの状態及び前記第1のクライアント識別情報を送り、前記ネットワーク装置は、前記アクセス管理サーバから前記ログインの状態及び前記第1のクライアント識別情報を受け取ると、前記ログインの状態に基づいて前記クライアントにサービスを提供することを特徴とするネットワークシステム。
  5. 前記ネットワーク装置は、前記アクセス管理サーバから前記一時的な識別子を用いたクライアント識別情報の要求を受けた場合には、前記一時的な識別子と前記クライアント識別情報との対応付けを削除することを特徴とする請求項4に記載のネットワークシステム。
JP2003095179A 2003-03-31 2003-03-31 アクセス管理サーバ、ネットワーク装置、ネットワークシステム Expired - Lifetime JP4352210B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003095179A JP4352210B2 (ja) 2003-03-31 2003-03-31 アクセス管理サーバ、ネットワーク装置、ネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003095179A JP4352210B2 (ja) 2003-03-31 2003-03-31 アクセス管理サーバ、ネットワーク装置、ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2004302869A JP2004302869A (ja) 2004-10-28
JP4352210B2 true JP4352210B2 (ja) 2009-10-28

Family

ID=33407565

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003095179A Expired - Lifetime JP4352210B2 (ja) 2003-03-31 2003-03-31 アクセス管理サーバ、ネットワーク装置、ネットワークシステム

Country Status (1)

Country Link
JP (1) JP4352210B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4863777B2 (ja) 2006-06-07 2012-01-25 富士通株式会社 通信処理方法及びコンピュータ・システム
JP4993083B2 (ja) * 2007-03-14 2012-08-08 株式会社野村総合研究所 セッション管理装置、プログラム、及び記憶媒体
CN102065067B (zh) * 2009-11-11 2014-06-25 杭州华三通信技术有限公司 一种在门户服务器和客户端之间防重放攻击的方法及设备
JP2012137969A (ja) * 2010-12-27 2012-07-19 Kyocera Document Solutions Inc 画像形成装置
JP2012137968A (ja) * 2010-12-27 2012-07-19 Kyocera Document Solutions Inc 画像形成装置
CN111800511B (zh) * 2020-07-07 2023-07-04 上海携程商务有限公司 同步登录态的处理方法、系统、设备及可读存储介质

Also Published As

Publication number Publication date
JP2004302869A (ja) 2004-10-28

Similar Documents

Publication Publication Date Title
US10785037B2 (en) Managing secure content in a content delivery network
KR101475983B1 (ko) 통합 인증을 위한 시스템, 방법 및 프로그램 제품
US9313254B2 (en) Service request apparatus, service request method, and recording medium
JP3569122B2 (ja) セッション管理システム、サービス提供サーバ、セッション管理サーバ、セッション管理方法及び記録媒体
TWI400922B (zh) 在聯盟中主用者之認證
US8578465B2 (en) Token-based control of permitted sub-sessions for online collaborative computing sessions
US7082532B1 (en) Method and system for providing distributed web server authentication
CN103404103A (zh) 将访问控制系统与业务管理系统相结合的系统和方法
JP2001350718A (ja) コンピュータネットワークシステム及び同システムにおけるセキュリティ保証方法
JP2005516533A (ja) パブリックキー暗号法を用いたインターネット上でのシングルサインオン
WO2013041882A2 (en) User authentication in a network access system
JP2016115260A (ja) 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム
JP4352210B2 (ja) アクセス管理サーバ、ネットワーク装置、ネットワークシステム
KR102359070B1 (ko) 접속 및 인증 요청들이 재방향설정되는 포털 주소들로 서브캐리어 디바이스 식별자들을 매핑하고 대량 가입자 장치 설정을 용이하게 하는 포털 집성 서비스
US20170195426A1 (en) Maintaining session across plural providing devices
US7640580B1 (en) Method and apparatus for accessing a computer behind a firewall
JP2001056795A (ja) アクセス認証処理装置及びこれを備えるネットワーク及びその記憶媒体及びアクセス認証処理方法
JP2000172645A (ja) サーバコンピュータ及びサーバコンピュータにおける認証情報管理方法
JP2002318786A (ja) サービス利用制御装置
JP2024010384A (ja) シングルサインオン認証システムおよびシングルサインオン認証装置
KR20040053720A (ko) 복수의 웹서버로의 사용자 인증 처리 방법과 그 시스템
KR20010104906A (ko) 인터넷상의 아이디 관리방법
TW200942000A (en) Method for automatic MAC address identification and authentication
KR20050055852A (ko) 서브 id를 이용한 서비스 제어 시스템 및 방법
WO2006027774A2 (en) Method and system for controlling access to a service provided through a network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090210

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090410

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090701

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090714

R150 Certificate of patent or registration of utility model

Ref document number: 4352210

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120807

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120807

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130807

Year of fee payment: 4

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term