JP4822738B2 - サービス認証システムおよびサービス認証方法 - Google Patents

サービス認証システムおよびサービス認証方法 Download PDF

Info

Publication number
JP4822738B2
JP4822738B2 JP2005140719A JP2005140719A JP4822738B2 JP 4822738 B2 JP4822738 B2 JP 4822738B2 JP 2005140719 A JP2005140719 A JP 2005140719A JP 2005140719 A JP2005140719 A JP 2005140719A JP 4822738 B2 JP4822738 B2 JP 4822738B2
Authority
JP
Japan
Prior art keywords
room
user
personal
authentication
management server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005140719A
Other languages
English (en)
Other versions
JP2006318240A (ja
JP2006318240A5 (ja
Inventor
喜宣 牧元
伸一 澤村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005140719A priority Critical patent/JP4822738B2/ja
Priority to US11/515,750 priority patent/US20070050634A1/en
Publication of JP2006318240A publication Critical patent/JP2006318240A/ja
Publication of JP2006318240A5 publication Critical patent/JP2006318240A5/ja
Application granted granted Critical
Publication of JP4822738B2 publication Critical patent/JP4822738B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/25Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
    • G07C9/257Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Human Computer Interaction (AREA)
  • Computing Systems (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、サービス認証システム、サーバ装置、ネットワーク機器およびサービス認証方法に係り、ビル等において、ビル内の部屋に入室しているか否かの情報を用いるサービス認証技術に関する。
従来のセキュリティシステムには、人の入退室の管理を行う入退室管理システムとネットワーク上またはPC上の情報へのアクセスの管理を行う情報セキュリティシステムがあり、これらは独立したシステムとして運用されてきた。
入退室管理システムでは、入退室管理ではドアに認証装置が設置され、認証装置には入室者を認証するための情報があらかじめ認証装置内に保持される。入室者がその情報を入力し、保持されている情報と比較することで認証が行われていた。ここでの認証の手段としては、パスコード、ICカード、生体認証等が利用されている。
一方、情報セキュリティシステムでは、情報にアクセスする際に利用者にパスワードを入力させる方法や、X509証明書を用いたPKI(Public Key Infrastructure)での認証を行う方法が利用されている。情報セキュリティシステムのサービスとして、インターネット介した社外からのリモート接続があり、この場合は証明書認証に基づくVPN(Virtual Private Network)接続が利用される。リモート接続時に認証を行い、その認証に基づきサービスを提供するシステムが文献1で知られている。
特開2004−133824号公報
特許文献1のリモート接続時の認証では、利用者の認証を行うが、場所を特定することができない。そのため、社外から接続している場合でもこのサービスを利用して情報を入手することが可能となり、利用者のキーやパスワードが盗難された場合に情報漏洩の危険性が高い問題がある。またこれを防ごうとすると、リモート接続サービスで提供できるサービス内容を制限する必要があり、社内で利用する際にも社外で利用するのと同様の限定されたサービスしか受けられなくなるといった問題がある。
本発明の目的は、上述した問題を解決することにある。
上記目的は、サービス要求がなされた部屋に利用権限のある利用者が入室していないときには、サービスを提供しないサービス認証システムにより達成される。
本発明によれば、サービス利用時の認証に入退室の情報を含めることで、利用者のいる場所が特定でき、場所に応じたきめ細かなセキュリティポリシーを設定することができる。
以下に、利用者の入退室の管理およびPCログイン管理を行うセキュリティシステムの実施形態について実施例について図面を参照しながら詳細に説明する。なお、以下に説明する実施例は、ビル内のオフィスに適用した例である。しかし、これに限定されるものではなく、これらをマンションやその他の施設に設置することも可能である。また、サービスとしてリモートログインを例に説明するが、適用できるサービスはこれに限定されるものではない。
図1は、入退室管理および認証管理システムを説明するブロック図である。図1において、ビル1の入退室管理サーバ101、認証サーバ102、サービス管理サーバ103、入退認証装置104、ルータ装置107は、LAN(Local Area Network)106に接続されている。同様に、ビル2の入退室管理サーバ201、入退認証装置204、ルータ装置207は、LAN206に接続されている。ルータ装置107、207は、ネットワーク(インターネット)108により接続されている。
入退室管理サーバ101、201には、それぞれ入退室管理部111、211と、入退室状態データベース(以下DB)112、212と、入退室ログDB113、213と、入退室認証DB114、214を有する。ビル1の認証サーバ102には代理認証部121を有し、各種のサービス認証を一括して行う。管理サーバ103にはサービス認証DB131を有する。また、ルータ装置107には認証部171を有し、PC305が接続されている。
入退認証装置104、204が設置された居室には、それぞれログイン管理部151を有するPC105、リモートログイン管理部251を有するPC205が設置されている。
なお、後述する図11では、同一ビル内のリモートログインを説明するため、PC105にリモートログイン管理部251を実装した場合で説明する。
入退室管理部111は、入退認証装置104、代理認証部121およびログイン管理部151とローカルエリアネットワーク106を介して、TCP/IP(Transmission Control Protocol/Internet Protocol)でのソケット通信を行う。入退室管理部111は、入退認証装置104および代理認証部121の要求に応じて、SQL(Structured Query Language)を利用し、入退室状態DB112、入退室ログDB113、入退室認証DB114の各DBの参照・更新、DBの参照により得られたデータの処理を行い、入退認証装置104または代理認証部121へ応答する。入退室管理部211も入退室管理部111と同様に入退認証装置204との通信、およびDBの処理を行う。
代理認証部121は、入退室管理部111、管理サーバ103、認証部171とローカルエリアネットワーク106を介して、TCP/IPでのソケット通信を行う。代理認証部121は、認証部171の要求に応じて、入退室管理部111と管理サーバ103への問合せを行い、それぞれの返答結果を処理し、認証部171へ返答する。
管理サーバ103は、代理認証部121からの要求があると、要求に応じてサービス認証DB131の参照を行い、参照結果に応じて代理認証部121へ返答する。
入退認証装置104、204は居室のドアに設置され、利用者の認証とドアの鍵の施錠・開錠の処理を行う。利用者の認証は、ICカード、生体認証等が利用される。入退認証装置104は利用者の認証の後、認証結果を入退室管理部111へ送信する。入退認証装置204も入退認証装置104と同様に利用者の認証を行い、入退室管理部211と通信を行う。
ログイン管理部151は、PC105上のアプリケーションとして実装され、PC105のログインの管理を行う。PC105には、図示しないICカードリーダが接続されており、ログイン管理部151はICカードの有無に応じてログイン・ログオフの処理を行う。また、ログイン管理部151は入退室管理部111に対し利用者の入室の確認を行う要求を送信する。
リモートログイン部251はPC205上のアプリケーションとして実装され、PC205からリモートログインの管理を行う。PC205には、図示しないICカードリーダが接続されており、リモートログイン管理部251はICカードの有無に応じて、リモートログインの接続・切断を行う。リモートログイン接続の際にはリモートログイン管理部251は認証情報を認証部171へ送信する。また、リモートログイン管理部251は入退室管理部211に対し利用者の入室の確認を行う要求を送信する。
認証部171はリモートログイン管理部251から送信されてくる認証情報を認証代理部121に送信し、認証代理部121からの返答に応じて、PC205の認証可否を判断する。認証に成功した場合は、PC205とルータ107間で安全なネットワーク通信路を形成する。なお、PC(Personal Computer)は、サーバ等のネットワーク機器であっても良い。
図2は入退認証装置の内部構成を説明するブロック図である。図2において、入退認証装置104、204は、バス1404を介して、EPROM1401、CPU1402、メインメモリ1403、周辺制御装置1405が相互接続されている。周辺制御装置1405には、磁気ディスク装置またはフラッシュメモリ等から構成される不揮発性記憶装置1406、LAN I/F1407、カードリーダI/F1408、生体認証I/F1409、電子錠I/F1410、リアルタイムクロック(RTC)1414が接続されている。カードリーダI/F1408、生体認証I/F1409、電子錠I/F1410にはそれぞれ、カードリーダ1411、生体認証装置1412、電子錠1413が接続されている。LAN I/F1407は、LAN106、206とのインターフェースである。RTC1414は入退室管理装置104、204が現在時刻を取得する際に利用される。それぞれのI/FはUSBまたはシリアルで接続されている。
EPROM1401にはブートプログラムが保存されており、入退認証装置104、204が起動するとこのブートプログラムに応じてCPU1402が動作する。ブートプログラムは不揮発性記憶装置1405からOSのカーネルをメインメモリ1403へロードし、OSを起動する。OSが起動するとOSは入退認証装置104を制御するプログラムのロード・実行を行う。入退認証装置104を制御するプログラムは周辺制御装置1405を介して、カードリーダI/F1408、生体認証装置I/F1409、電子錠I/F1410への信号の送受信を行い、カードリーダ1411、生体認証装置1412、電子錠1413の制御を行う。
なお、カードリーダ1411、生体認証装置1412は、ドアの外と内とに2台あっても良い。カードリーダ1411のみドアの両側、生体認証装置1412はドアの外側のみであっても良い。カードリーダ1411、生体認証装置1412、電子錠1413まで含めて、入退認証装置と呼ぶこともある。生体認証装置として、指紋認証装置、静脈認証装置、虹彩認証装置があるが、これらに限定されない。
PC105、205も入退認証装置104と同様の手順で起動される。ログイン管理部151を有するPC105の場合は、OS起動後にログイン管理部151が起動され、そこで利用者がログインするのを待つ。リモートログイン管理部251を有するPC205の場合は、OS起動後に利用者がログインするのを待ち、ログイン後にリモートログイン部251が起動される。
図3は居室、入退認証装置、PCを一意に定めるために、それぞれに割り当てられるIDのフォーマットを示す図である。ID270は、サイトフィールド271と識別子フィールド272から構成される。サイトフィールド271はビルに固有に割り当てられる3桁の数値である。識別子フィールド272はそれぞれの機器を一意に定める4桁の数値である。サイトフィールド271と識別子フィールド272を組み合わせてIDとして登録しておくことで、サイトフィールド271を参照することにより、そのIDを持つ居室、入退認証装置、PCがどのビルに属するかを容易に特定することが可能となる。
本実施例では、サイトフィールドについてビル1に、”001”を、ビル2に”002”をアサインする。追って説明する図5の入退認証装置ID、居室IDが、このIDフォーマットに沿った具体的なIDである。
図4ないし図8は各DBに保存されるテーブルの内容を説明する図である。
図4は入退室状態テーブルである。入退室状態テーブル300は、入退室状態DB112上のテーブルであり、入退室情報でもある。入退室状態テーブル300は、個人IDフィールド301と居室IDフィールド302から構成される。個人IDフィールド301は利用者の個人IDを示し、居室IDフィールド302はその利用者が在室している居室の居室IDを示す。
図5は入退認証装置・居室対応テーブルである。入退認証装置・居室対応テーブル400は入退室状態DB112上のテーブルであり、入退認証装置IDフィールド401と居室IDフィールド402から構成される。入退認証装置IDフィールド401は入退認証装置の機器IDを示し、居室IDフィールド402はその入退認証装置で利用者が認証された場合に入室が許可される居室の居室IDを示す。
図6は入退室ログテーブルである。入退室ログテーブルは入退室ログDB113上のテーブルであり、個人IDフィールド501、入退認証装置IDフィールド502、居室IDフィールド503、認証時刻フィールド504、認証結果フィールド505から構成される。個人IDフィールド501は利用者の個人IDを示し、入退認証装置IDフィールド502はその利用者が認証を行った入退認証装置の機器IDを示し、居室IDフィールド503は入退認証装置・居室対応テーブル400を参照して得た居室IDを示す。認証時刻フィールド504はその認証が行われた時刻を示し、認証結果フィールド505はその時の認証結果を示す。なお、2005/1/21-12:44に行われた認証は何らかの原因で、認証NGとなったので居室IDが空欄となっている。
図7は個人・認証対応テーブルである。個人・認証対応テーブル600は入退室認証DB114上のテーブルであり、個人IDフィールド601と簡易認証情報フィールド602から構成される。個人IDフィールド601は利用者の個人IDを示し、簡易認証情報フィールド602はその利用者の認証情報から得られる簡易認証情報を示す。なお、個人・認証対応テーブルの必要部分のコピーは、入退認証装置104、204の記憶装置またはメモリにも保管される。
利用者は、個人IDと認証情報の二つを持っており、PCにログインする際には認証情報が利用される。この時、個人・認証対応テーブル600を参照することで、認証情報から利用者を特定する。ここで、簡易認証情報は、順に鍵の識別子と証明書のシリアル番号で構成され、認証情報を一意に決定する。
図8は位置問合せ先テーブルである。位置問合せ先テーブル700は入退室管理部111、211が持つテーブルであり、サイトIDフィールド701とアドレスフィールド702から構成される。サイトIDフィールド701は各入退室管理サーバに割り当てられるIDであるサイトIDまたはサイトIDの範囲(例えば003-005)が示される。アドレスフィールド702は、そのサイトIDに関する情報を取得する際に問合せを出すアドレスが記載されている。
図9は利用者が居室に入室する際の手順を説明するシーケンス図である。まず、利用者801は入退認証装置に個人認証情報を入力する(S801)。個人認証情報の入力は、入退認証装置に接続されるカードリーダと生体認証装置を用いて行われる、カードリーダは、利用者801が自身に配布されたカードをカードリーダにかざすことで、個人認証情報が入力される。ここで個人認証情報は、個人ID、カードID、証明書が利用できる。生体認証は、利用者801の生体情報が入力される。次に、入退認証装置104は、入力された個人認証情報の認証を行う(S802)。入退認証装置104には個人認証情報と個人IDの対応を示すテーブル(個人・認証対応テーブルのコピー)を記憶装置またはメモリに持つ。入退認証装置104はそのテーブルから個人認証情報に対応する個人IDを取得する。個人IDが取得できない場合は入室不可とする。入退認証装置104はまた、個人IDと入室可否を示す図示しないテーブルを持ち、このテーブルを参照することで、利用者801の入室可否を判断する。
入退認証装置104はS802で得られた個人IDと自身の機器ID(両者を入室認証情報と呼ぶ)と認証結果を入退管理部111に送信する(S803)。入退管理部111は、個人IDと機器IDと認証結果を受信すると、入退室状態DBにアクセスして、入室の状態を更新する(S804)。具体的には、入退認証装置104による認証結果が“OK”の場合は入退認証装置・居室対応テーブル400から入退認証装置の機器IDに対応する居室IDを取得し、個人IDと居室IDの組を入退室状態テーブル300に追加する。認証結果が“NG”の場合は入退室状態テーブル300の個人IDに対応する居室IDを削除する。次に、入退管理部111は入退室ログテーブル500に個人ID、機器ID、居室ID、認証時刻としての現在時刻、認証結果の組を追加する(S805)。なお、認証結果が“NG”の場合、居室ID欄は空白である。
入退認証装置104はS803の後、認証結果が“OK”だった場合は、ドアをオープンし(S806)、利用者801に対し入室を許可する(S807)。利用者801は入室が許可された後入室する(S808)。即ちS806は、S805よりも前に実行されても良いし、S804よりも前に実行されても良い。
以上により、利用者801が居室に入室し、入室状態が入退室状態テーブル300と入退室ログテーブル500に反映される。
なお、図9では入室を説明したが、退室にあたってもまったく同様の手順をとって入室状態が入退室状態テーブル300と入退室ログテーブル500に反映される。ただし、火災等も考えられるので守衛所連絡を伴う非常退室が可能にしておく必要がある。
図10は利用者がPCにログインする手順を説明するシーケンス図である。ここでPCは利用者が占有して利用するPCである。利用者801は、個人認証情報をPC105のログイン管理部151に入力する(S901)。この入力は、ログイン管理部151に接続されるカードリーダを用いる。利用者801は自身に配布されたカードをカードリーダにかざすことで、個人認証情報が入力される。ここで個人認証情報は個人ID、カードID、証明書が利用できる。また、利用者801はこれらの情報の入力後にさらにユーザ名・パスワードを入力する。ログイン管理部151は、ユーザ名・パスワードの認証を行う(S902)。次にログイン管理部151は、S901で入力された個人認証情報(サービス開始情報)を入退室管理部111に送信する(S903)。
入退室管理部111は、個人認証情報と個人IDの対応を示すテーブルを持つ。入退室管理部111は個人認証情報を受信後、そのテーブルから個人認証情報に対応する個人IDを取得する(S904)。個人IDが取得できない場合は認証結果を“NG”とする。入退室管理部111は個人IDを取得後、その個人IDを持つ利用者801の入退室の状態を確認する(S905)。具体的には、入退室管理部111が入退室状態DB112上の入退室状態テーブル300に問合せ、S904で取得した個人IDを持つコラムが存在する場合に、入室していると判定する。ここで、入退室ログDB113上の入退室ログテーブル500を参照することでも、入退室の状態を確認することが可能である。しかし、入退室ログテーブル500はそのテーブルの規模が大きいため、入退室の状態を示す専用のテーブルである入退室状態テーブル300を作成し、利用することで、入退室状態確認時の処理速度向上を図っている。
入退室管理部111はS905で入室が確認できた場合は認証結果を“OK”とし、入室が確認できなかった場合は認証結果を“NG”として認証結果を返信する(S906)。ログイン管理部151は、S906で受信した認証結果が“OK”だった場合は、利用者801に対しログインを許可する(S907)。認証結果が“NG”だった場合は、ログインを許可しない。以上により、利用者801が入室している場合にのみPC105にログイン可能となる。なお、個人認証情報の入力は生体認証を併用しても良い。
図11は利用者801が居室に入室後にPC105からPC305にリモートログインする手順を説明するシーケンス図である。図11の説明では、PC305が利用者801の占有するPCで、PC105が利用者間で共用利用されるPCであるとする。また、PC105が図1に図示しないリモートログイン管理部251を持つものとして説明する。
PC105にログインした利用者801の操作によって、PC105のリモートログイン管理部251は、リモートログイン先PC情報を取得する(S1001)。リモートログイン先PC情報は、リモートログイン先のPC305のアドレス、リモートログイン先のPC305の機器IDである。リモートログイン先PC情報は、PC105に接続されたカードリーダからICカードに記録された情報を読み取って取得する。ここで、リモートログイン先PCの機器IDのサイトフィールドとPC105の機器IDのサイトフィールドを比較し、これらが同じであるので、PC105とPC305が同じビル内に存在するものと判断する。
リモートログイン管理部251は、利用者801に対し認証情報を要求する(S1002)。認証要求を受けた利用者801は、個人認証情報を入力する(S1003)。ここでは、個人認証情報として、X509証明書を利用しX509証明書は利用者801に配布されるICカードに記録されているものとする。具体的には、利用者801はICカードをPC105に接続されたカードリーダにかざすことで、個人認証情報の入力を行う。リモートログイン管理部251は個人認証情報を受け取ると、認証部171に対して個人認証情報を送信する(S1004)。次に、認証部171は個人認証情報を代理認証部121に送信する(S1005)。
認証部171は認証を代理認証部121に丸投げしているように見えるが、これは、代理認証部121で集中的に行うことにより、様々な認証を一括管理することができ、認証情報の管理や認証処理が簡易化される。本実施例ではPCのサービス管理での認証と入退室管理での認証とを一元化している。
代理認証部121は個人認証情報を受信すると、サービス管理サーバ103に対し、認証情報を問い合わせる(S1006)。ここでは、個人認証情報であるX509証明書に署名を行ったCA(Certificate Authority:認証局)の証明書を要求する。サービス管理サーバ103は、要求された情報をサービス認証DB131から取得し(S1007)、代理認証部121に返信する(S1008)。
代理認証部121は、認証情報を受信すると、簡易個人認証情報を入退室管理部111に送信する(S1009)。ここでは簡易個人認証情報は、X509証明書に含まれる、証明書を発行したCAの鍵識別子と証明書のシリアル番号の組である。入退室管理部111は、受信した簡易個人認証情報に対応する個人IDを個人・認証対応テーブル600から取得する(S1010)。次に入退室管理部111は、入退室状態DB112上の入退室状態テーブル300を参照しS1010で取得した個人IDを含むコラムが存在するかどうかを確認する(S1011)。これにより、入室の確認を行う。その後、入退室管理部111はS1012で入室を確認できた場合は、“OK”を入室が確認できなかった場合は“NG”を代理認証部121に返信する。
次に、代理認証部121はS1012で受信した確認結果と、S1008で受信した認証情報を元にS1005で受信した個人認証情報の検証を行う。S1005で受信した個人認証情報であるX509証明書がS1008で受信した認証情報であるCA証明書での検証に成功し、S1012で得られた確認結果が“OK”であった場合に、S1005で受信した個人認証情報を検証成功とする。そして、検証結果を認証部171へ返信する(S1013)。
次に認証部171は検証結果が成功の場合に、S1014でリモートログイン管理部251に接続許可を出す。リモートログイン管理部251は接続が許可されると、PC105とルータ装置107間でVPN等の安全な通信経路を確保しPC305に対してリモートログインを行う。以上により、利用者801が入室しておりかつサービス管理側で認証できた場合にのみPC105からPC305にリモートログイン可能になる。
以上の説明では、いずれかの部屋に入室していた場合に接続可能となるが、S1006〜S1012において以下に説明する処理手順を追加することで、入室している部屋に応じて接続の可否を判定することが可能となる。S1006で代理認証部121からサービス管理サーバ103へ認証の情報の問合せがあると、サービス管理サーバ103はS1007で認証情報問合せの内容からサービスの種別を判定し、サービスに応じた認証情報とそのサービスが利用できる居室一覧を取得する。その後サービス管理サーバ103はS1008で認証情報とサービス利用可能居室一覧を送信する。次に、代理認証部121はS1009で簡易個人認証情報を入退室管理部111へ送信する。入退室管理部111は簡易個人認証情報を取得すると、S1010で簡易個人認証情報に対応する個人IDを個人・認証対応テーブル601から取得する。次に入退室管理部111は入退室状態テーブル301からS1010で得られた個人IDに対応する居室IDを取得し、S1012で代理認証部121にこの居室IDを返信する。代理認証部121は入退室管理部111から居室IDを取得すると、S1008で得られたサービス利用可能居室一覧の中にS1012で得られた居室IDが含まれるかどうかの判定を行う。居室IDが含まれていた場合、かつS1005で得られた個人認証情報がS1008で得られた認証情報で検証できた場合に、認証結果を“OK”とする。以上により、特定の部屋に入室している場合にのみリモート接続可能となる。
また、以上の説明では、サービスをリモート接続として説明しているが、メールサービス、イントラネットのサービスアクセスサービス、ウェブ参照等のサービスで認証部を用意し、それぞれの認証部が図11に示す処理を行うことで、各サービスで入退室の判定を含めた認証を行うことが可能となる。これにより、利用者の存在する場所に応じて利用できるサービスと利用できないサービスを区別することが可能となり、柔軟性の高いサービス構成を構築することが可能となる。
なお、S1001においてリモートログイン先PC情報は、利用者801が入力してもよい。
図12は利用者が自身が占有するPCの存在するビルと異なるビルの居室に入室した場合に、リモートログインする処理のシーケンス図である。図12の説明では、PC305が利用者801の占有するPCであり、PC205が利用者間で共用利用されるPCであるとする。なお、図11の説明と重複する箇所は説明を簡略に記載する。
PC205にログインした利用者801の操作によって、リモートログイン管理部251はリモートログイン先PC情報を取得する(S1101)。ここで、リモートログイン先情報の機器IDのサイトフィールド201とPC205の機器IDのサイトフィールド201を比較し、異なっているので、PC205とPC305が同じビル内に存在しないと判断する。
次に、リモートログイン管理部251は同一ビル内にある入退室管理部211に対し、接続通知を送信する(S1102)。この接続通知には、リモートログイン先PCの機器IDと利用者801の個人IDを含む。入退室管理部211は接続通知を受信すると、接続通知に含まれる機器IDのサイトフィールド201より接続先のビルのサイトIDを取得する。入退室管理部211は位置問合せテーブル700からサイトIDに対応するアドレスを取得する(S1103)。サイトIDに対応するアドレスが見つからない場合は、サイトIDを“000”とする。サイトIDに対応するアドレスが見つからない場合は、サイトIDを“000”とする理由は、各ビルの入退室管理手段のサイトIDの構成をツリー状として、位置問合せテーブル700のサイトIDが“000”のコラムに親の入退室管理手段のアドレスを設定し、その他のコラムに親にぶら下がる枝の入退室管理手段のサイトIDとアドレスの組を設定しておくことで、階層的な位置問合せが可能だからである。なお、ここでは、入退室管理部111のアドレスが取得されたものとする。入退室管理部211はまた、接続通知に含まれる個人IDから利用者801の入室場所を特定する。これは、入退室状態DB212上の入退室状態テーブル300から居室IDを取得することで特定できる。ここで取得した居室IDとS1102で受信した接続通知の組を、新たな接続通知データとする。入退室管理部211は取得したアドレスに対して新たな接続通知を送信する(S1104)。
なお、リモートログイン管理部251が入退室管理部211に送信する、接続通知はサービス利用通知である。
入退室管理部111は接続通知を受信すると、接続通知中の機器IDのサイトフィールド201よりサイトIDを取得し、自身のサイトIDと比較する。機器ID中のサイトIDと自身のサイトIDが同じだった場合は、入退室管理部111は入退室状態DB112中の入退室状態テーブル300に接続通知に含まれる個人IDと居室IDの組を登録する(S1105)。ここで、入退室状態テーブル300には別のビルの入退室の状態を示すコラムが含まれることとなる。このコラムはS1113で参照される。
以降のS1106からS1116までの処理は、図11におけるS1002からS1014と同様である。S1105において利用者801の入室状態が登録されているため、S1113での入室の確認が可能となる。以上により、利用者801が入室しておりかつサービス管理側で認証できた場合にのみPC205からPC305にリモートログイン可能になる。なお、図示を大幅に簡略化したので同じ図面になってはいない。具体的にはS1109の認証情報取得は、図11のS1006〜S1008を概ねまとめて記載したものである。
図13はPC105に接続されたカードリーダでのICカードの検知・非検知を考慮したログイン管理部151の処理を説明するフローチャートである。ログイン管理部151は、ICカードの検知を行う(S1201)。検知しない場合は、検知するまで繰り返し検知を試みる。ICカードを検知した場合は、ログイン管理部151は、ICカードから個人IDを読み取る(S1202)。その後、ログイン管理部151は入退室管理部111に対し入室の問合せを行う(S1203)。これは、図10のS903に相当する。ログイン管理部151は問合せ結果を判定し(S1204)、入室していた場合に次のステップへ進む。
ログイン管理部151はダイアログを表示し(S1205)、利用者801にユーザ名とパスワードの入力を促す。ログイン管理部151がユーザ名とパスワードを取得した(S1206)のち、パスワードの検証を行う(S1207)。パスワードの検証に成功した場合にログインを行う(S1208)。その後、ログイン管理部151は、カードの検知を繰り返し行う(S1209)。カードを検知できなくなった場合にログイン管理部151はログオフを行う(S1210)。
なお、S1204で入室していないと判定されたとき、S1207でパスワードの検証に失敗したときは、終了に遷移する。また、カードにカードアクセス用のパスワードを設定しておき、ログイン管理部151は、ダイアログでまずカードアクセス用のパスワード入力を促し、カードアクセス用のパスワードが正しいとき、利用者801にユーザ名とパスワードの入力を促しても良い。
以上により、カードを検知するとログインし、カードが検知できなくなると自動的にログオフすることが可能となる。ログオンの際に入室の確認を行うため、利用者が入室していない場合に、他人がPC105を利用する事を制限することが可能である。また、ステップS1210でログオフする代わりに、PC105をロックすることも可能である。この場合は、カード検知時の処理として、ステップ1208でログインする代わりにロックの解除を行う。以上により、一時退席の場合に一時的にPCの使用を停止することが可能となる。この場合は退席時にログオフされないが、ロック状態から一定時間経過後にログオフを行うことが可能である。また、入退室の状態を定期的に確認し、建物から退出した時にログオフを行うことも可能である。
図14はPC205に接続されたカードリーダでのICカードの検知・非検知を考慮したリモートログイン管理部251の処理を説明するフローチャートである。リモートログイン管理部251はICカードの検知を行う(S1301)。検知しない場合は、検知するまで繰り返し検知を試みる。ICカードを検知した場合は、リモートログイン管理部251はICカードから個人IDを読み取る(S1302)。その後、リモートログイン管理部251は入退室管理部211に対し入室の問合せを行う(S1303)。リモートログイン管理部251は問合せ結果を判定し(S1304)、入室していた場合に次のステップへ進む。次に、リモートログイン管理部251は接続先PC情報を読み取る(S1305)。これは図12のS1101に相当する。
その後、リモートログイン管理部251は、接続通知を送信する(S1306)。これは、S1102に相当する。その後、リモートログイン管理部251はリモート接続を開始する(S1307)。図12のS1103からS1116までの処理が正しく行われた場合にリモート接続が可能となっている。リモートログイン管理部251はリモート接続できたかどうかの判定を行う(S1308)。接続できていた場合は、リモートログイン管理部251は、カードの検知を繰り返し行う(S1309)。カードを検知できなくなった場合に、リモートログイン管理部251はリモート接続の切断を行う(S1310)。その後、リモートログイン管理部1411は切断通知を送信する。この切断通知は、図12のS1102からS1105の接続通知と同様な処理である。ただし、切断通知なのでS1106において、コラムを追加するのではなく、削除する点が異なる。以上により、カードを検知するとリモートログインし、カードが検知できなくなると自動的に切断することが可能となる。なお、PCはサーバのようなネットワーク機器であってもよい。
本実施例によれば、各種サービス利用時の認証に入退室の情報を統合することで場所の特定ができ、場所に応じたきめ細かなセキュリティポリシーを設定することができる。
入退室管理および認証管理システムを説明するブロック図である。 入退認証装置のハードウェア構成を説明するブロック図である。 IDのフォーマットを説明する図である。 入退室状態テーブルを説明する図である。 入退認証装置・居室対応テーブルを説明する図である。 入退室のログテーブルを説明する図である。 個人・認証情報対応テーブルを説明する図である。 位置問合せテーブルを説明する図である。 居室に入室する手順を説明するシーケンス図である。 PCにログインする手順を説明するのシーケンス図である。 同一ビル内でPCにリモートログインする処理のシーケンス図である。 異なるのビル間でPCにリモートログインする処理のシーケンス図である。 ログイン管理部の処理を説明するフローチャートである。 リモートログイン管理部の処理を説明するフローチャートである。
符号の説明
101…入退室管理サーバ、102…認証サーバ、103…サービス管理サーバ、104…入退認証装置、105…PC、106…LAN、107…ルータ装置、108…ネットワーク、111…入退室管理部、112…入退室状態データベース、113…入退室ログデータベース、114…入退室認証データベース、121…代理認証部、131…サービス認証データベース、151…ログイン管理部、171…認証部、201…入退室管理サーバ、204…入退認証装置、205…PC、206…LAN、207…ルータ装置、211…入退室管理部、213…入退室ログデータベース、251…リモートログイン管理部、212…入退室状態データベース、214…入退室認証データベース、270…IDフォーマット、271…サイトフィールド、272…識別子フィールド、300…入退室状態テーブル、301…個人IDフィールド、302…居室IDフィールド、305…PC、400…入退認証装置・居室対応テーブル、401…入退認証装置IDフィールド、402…居室IDフィールド、500…入退室ログテーブル、501…個人IDフィールド、502…機器IDフィールド、503…認証時刻フィールド、504…認証結果フィールド、600…個人・認証対応テーブル、601…個人IDフィールド、602…簡易認証情報フィールド、700…位置問合せ先テーブル、701…サイトIDフィールド、702…アドレスフィールド、801…利用者、1401…EPROM、1402…CPU、1403…メインメモリ1404…バス、1405…周辺制御装置、1406…不揮発性記憶装置、1407…LANインターフェース、1408…カードリーダインターフェース、1409…生体認証インターフェース、1410…電子錠インターフェース、1411…カードリーダ、1412…生体認証装置、1413…電子錠。

Claims (4)

  1. 利用者がどの居室に入室しているかを管理する入退室管理サーバと、利用者に固有な個人認証情報を受け取る代理認証部と、居室ごとに利用可能なサービスを管理するサービス管理サーバとが第1のネットワークで結合され、第2の入退室管理サーバとリモートログイン管理部とを備えた第2のネットワークを備えたサービス認証システムであって、
    前記代理認証部は、
    利用者から個人認証情報を受け取ると、前記個人認証情報を用いて前記利用者が入室している居室の居室IDを前記入退室管理サーバから取得し、
    前記サービス管理サーバから居室ごとに利用可能なサービスの一覧を取得し、
    前記居室IDと前記サービスの一覧とから前記利用者に提供可能なサービスを特定し、前記サービスの使用を前記利用者に対して許可し、
    前記リモートログイン管理部は、前記第1のネットワークに備えられた計算機へのリモートログイン要求を受信すると、前記ログイン要求に含まれる前記計算機の機器IDと利用者の個人IDとを受け取って前記第2の入退室管理サーバに送信し、
    前記第2の入退室管理サーバは、前記個人IDから前記利用者が入室している居室の居室IDを取得し、前記機器IDと前記個人IDと前記居室IDとを前記第1のネットワーク内の入退室管理サーバに送信し、
    前記第1のネットワーク内の前記入退室管理サーバは、前記機器ID中のサイトIDが前記入退室管理サーバのサイトIDと同じである場合に、前記個人IDと前記居室IDを保持することを特徴とするサービス認証システム。
  2. 前記リモートログイン管理部が利用者のICカードを検知した場合、
    前記リモートログイン管理部は前記ICカードから利用者の個人IDを読み取って前記第2の入退室管理サーバに送信し、
    前記第2の入退室管理サーバは前記利用者が入室している居室を特定し、
    前記第2の入退室管理サーバが前記居室を特定できた場合は、前記リモートログイン管理部は、利用者からリモートログイン先の機器IDを受け取り、前記機器IDと前記個人IDとを前記第2の入退室管理サーバに送信し、
    前記リモートログイン管理部が前記ICカードを検知しなくなった場合に、前記リモートログイン管理部は前記第2の入退室管理サーバに前記個人IDの削除を要求し、リモート接続の切断を行うことを特徴とする請求項1に記載のサービス認証システム。
  3. 利用者がどの居室に入室しているかを管理する入退室管理サーバと、利用者に固有な個人認証情報を受け取る代理認証部と、居室ごとに利用可能なサービスを管理するサービス管理サーバとが第1のネットワークで結合され、第2の入退室管理サーバとリモートログイン管理部とを備えた第2のネットワークをさらに備えたサービス認証システムにおけるサービス認証方法であって、
    前記代理認証部における、
    利用者から個人認証情報を受け取ると、前記個人認証情報を用いて前記利用者が入室している居室の居室IDを前記入退室管理サーバから取得するステップと、
    前記サービス管理サーバから居室ごとに利用可能なサービスの一覧を取得するステップと、
    前記居室IDと前記サービスの一覧とから前記利用者に提供可能なサービスを特定し、前記サービスの使用を前記利用者に対して許可するステップと
    前記リモートログイン管理部において、前記第1のネットワークに備えられた計算機へのリモートログイン要求を受信すると、前記ログイン要求に含まれる前記計算機の機器IDと利用者の個人IDとを受け取って前記第2の入退室管理サーバに送信するステップと、
    前記第2の入退室管理サーバにおいて、前記個人IDから前記利用者が入室している居室の居室IDを取得し、前記機器IDと前記個人IDと前記居室IDとを前記第1のネットワーク内の入退室管理サーバに送信するステップと、
    前記第1のネットワーク内の前記入退室管理サーバにおいて、前記機器ID中のサイトIDが前記入退室管理サーバのサイトIDと同じである場合に、前記個人IDと前記居室IDを保持するステップとを含むサービス認証方法。
  4. 前記リモートログイン管理部において、利用者のICカードを検知した場合、前記ICカードから利用者の個人IDを読み取って前記第2の入退室管理サーバに送信するステップと、
    前記第2の入退室管理サーバにおいて、前記利用者が入室している居室を特定するステップと、
    前記居室を特定できた場合は、前記リモートログイン管理部は、利用者からリモートログイン先の機器IDを受け取るステップと、前記機器IDと前記個人IDとを前記第2の入退室管理サーバに送信するステップと、
    前記リモートログイン管理部において、前記ICカードを検知しなくなった場合に、前記リモートログイン管理部において、前記第2の入退室管理サーバに前記個人IDの削除を要求し、リモート接続の切断を行うステップとを含む請求項3に記載のサービス認証方法。
JP2005140719A 2005-05-13 2005-05-13 サービス認証システムおよびサービス認証方法 Active JP4822738B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005140719A JP4822738B2 (ja) 2005-05-13 2005-05-13 サービス認証システムおよびサービス認証方法
US11/515,750 US20070050634A1 (en) 2005-05-13 2006-09-06 Service authentication system, server, network equipment, and method for service authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005140719A JP4822738B2 (ja) 2005-05-13 2005-05-13 サービス認証システムおよびサービス認証方法

Publications (3)

Publication Number Publication Date
JP2006318240A JP2006318240A (ja) 2006-11-24
JP2006318240A5 JP2006318240A5 (ja) 2007-09-13
JP4822738B2 true JP4822738B2 (ja) 2011-11-24

Family

ID=37538862

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005140719A Active JP4822738B2 (ja) 2005-05-13 2005-05-13 サービス認証システムおよびサービス認証方法

Country Status (2)

Country Link
US (1) US20070050634A1 (ja)
JP (1) JP4822738B2 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2006252035B2 (en) * 2006-09-18 2008-06-12 1851 Ecompliance Pty Ltd Access Management System
JP5011987B2 (ja) * 2006-12-04 2012-08-29 株式会社日立製作所 認証システムの管理方法
JP2008176493A (ja) * 2007-01-17 2008-07-31 Dainippon Printing Co Ltd 機器アクセス管理システム
US8639800B2 (en) * 2007-02-16 2014-01-28 Forescout Technologies, Inc. Method and device for determining network device status
JP5423394B2 (ja) * 2007-09-10 2014-02-19 日本電気株式会社 端末装置の認証方法、端末装置及びプログラム
FR2927452B1 (fr) * 2008-02-12 2013-07-05 Ingenico Sa Procede de controle d'acces, dispositif et produit programme d'ordinateur correspondants.
US8370911B1 (en) * 2008-11-20 2013-02-05 George Mallard System for integrating multiple access controls systems
JP2010152810A (ja) * 2008-12-26 2010-07-08 Fujitsu Fsas Inc 入退室ログイン認証連携システム,および入退室ログイン認証連携システムの連携装置
US20100226280A1 (en) * 2009-03-03 2010-09-09 Erf Wireless, Inc. Remote secure router configuration
JP2010277439A (ja) * 2009-05-29 2010-12-09 Fujitsu Frontech Ltd 認証装置および認証サーバ
JP5216074B2 (ja) * 2010-12-08 2013-06-19 キヤノンマーケティングジャパン株式会社 情報処理システム及び管理サーバ並びにそれらの制御方法、及び、プログラム
JP5695455B2 (ja) * 2011-03-08 2015-04-08 株式会社日立システムズ アクセス制御システム
WO2013002903A2 (en) * 2011-06-29 2013-01-03 Alclear, Llc System and method for user enrollment in a secure biometric verification system
US9509719B2 (en) * 2013-04-02 2016-11-29 Avigilon Analytics Corporation Self-provisioning access control
JP5538592B1 (ja) * 2013-05-17 2014-07-02 三菱電機株式会社 エネルギーマネジメントコントローラ、エネルギーマネジメントシステム、エネルギーマネジメント方法、及び、プログラム
US9363264B2 (en) * 2013-11-25 2016-06-07 At&T Intellectual Property I, L.P. Networked device access control
JP6201835B2 (ja) * 2014-03-14 2017-09-27 ソニー株式会社 情報処理装置、情報処理方法及びコンピュータプログラム
US10339736B2 (en) * 2016-01-27 2019-07-02 Honeywell International Inc. Remote application for controlling access
JP2020126337A (ja) * 2019-02-01 2020-08-20 パナソニックIpマネジメント株式会社 顔認証システム、顔認証機、顔認証方法および顔認証プログラム
JP7342606B2 (ja) * 2019-10-23 2023-09-12 日本電気株式会社 情報処理装置、アクセス制御方法及びアクセス制御プログラム
EP3958528A1 (en) * 2020-08-21 2022-02-23 Roche Diagnostics GmbH Location-based access control of a medical analyzer

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6690673B1 (en) * 1999-05-27 2004-02-10 Jeffeerson J. Jarvis Method and apparatus for a biometric transponder based activity management system
JP2002041469A (ja) * 2000-07-21 2002-02-08 Toshiba Corp 電子機器管理システムおよび電子機器管理方法
JP2005122594A (ja) * 2003-10-20 2005-05-12 Casio Comput Co Ltd データ表示システム及びプログラム

Also Published As

Publication number Publication date
JP2006318240A (ja) 2006-11-24
US20070050634A1 (en) 2007-03-01

Similar Documents

Publication Publication Date Title
JP4822738B2 (ja) サービス認証システムおよびサービス認証方法
US9438635B2 (en) Controlling physical access to secure areas via client devices in a network environment
US9237139B2 (en) Controlling access to a secure resource based on user credentials and location
JP5053368B2 (ja) 監視機器制御システム
US20220114245A1 (en) Method and system for performing user authentication
JP2009110068A (ja) 入場管理システム
US20220311763A1 (en) Method and system for performing user authentication
KR101637516B1 (ko) 출입 제어 방법 및 장치
JP2002041469A (ja) 電子機器管理システムおよび電子機器管理方法
KR102108347B1 (ko) 일회용 비밀번호를 이용한 도어락 잠금해제 방법 및 장치와 그 시스템
WO2017142098A1 (ja) 鍵ユニット、鍵管理システム、鍵管理方法
JP2010097510A (ja) リモートアクセス管理システム及び方法
KR102211272B1 (ko) 출입 관리 시스템 및 이를 이용한 출입 관리 방법
KR20200145334A (ko) 물리보안 및 논리보안을 이용한 생체정보 기반 보안 시스템 및 이의 운용 방법
JP5614178B2 (ja) リモートアクセスシステムおよびリモートアクセス方法
JP6228350B2 (ja) セキュリティ管理システム、およびセキュリティ管理方法
CN101136740B (zh) 服务认证系统、服务器装置、网络设备及服务认证方法
CN112735004A (zh) 一种虚拟钥匙的分配方法、服务器及分配系统
JP2005232754A (ja) セキュリティ管理システム
JP2001216547A (ja) セキュリティ方法及びその方法を利用するセキュリティシステム並びにセキュリティプログラムを記録した記録媒体
JP2009230325A (ja) 通信システム及びネットワーク接続管理装置
JP2008214862A (ja) 出入管理装置
KR102289969B1 (ko) 장정맥을 이용한 사물인터넷 기반의 도어락 제어 방법, 장치 및 시스템
JP2002096715A (ja) ドライバ認証のための方法ならびにそのシステム、およびその記録媒体
RU2817109C1 (ru) Технология обратной идентификации с трёхуровневой архитектурой

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070725

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070725

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20070725

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100702

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100706

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100906

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110329

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110525

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110817

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110906

R150 Certificate of patent or registration of utility model

Ref document number: 4822738

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140916

Year of fee payment: 3