JP4955679B2 - プロトコルのためのユーザ・マッピング情報拡張子 - Google Patents

プロトコルのためのユーザ・マッピング情報拡張子 Download PDF

Info

Publication number
JP4955679B2
JP4955679B2 JP2008521601A JP2008521601A JP4955679B2 JP 4955679 B2 JP4955679 B2 JP 4955679B2 JP 2008521601 A JP2008521601 A JP 2008521601A JP 2008521601 A JP2008521601 A JP 2008521601A JP 4955679 B2 JP4955679 B2 JP 4955679B2
Authority
JP
Japan
Prior art keywords
certificate
mapping information
user
mapping
computer device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008521601A
Other languages
English (en)
Other versions
JP2009501973A5 (ja
JP2009501973A (ja
Inventor
クラール,クリストファー・ジェイ
メッドビンスキー,ジェナディ
ボール,ジョシュア
ジャガナサン,カーシック
リーチ,ポール・ジェイ
ズゥ,リキアン
クロス,ディヴィッド・ビー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2009501973A publication Critical patent/JP2009501973A/ja
Publication of JP2009501973A5 publication Critical patent/JP2009501973A5/ja
Application granted granted Critical
Publication of JP4955679B2 publication Critical patent/JP4955679B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Description

エンティティとそのエンティティの公開鍵とに関する情報を含む証明書は、デジタル署名された陳述である。ハンドシェークは、エンティティ相互間の識別及び認証のために使用される2つのエンティティ間(例えば、ユーザとコンピュータとの間、コンピュータと他のコンピュータとの間、プログラムと他のプログラムとの間)の会話である。証明書がユーザの身元又は領域を識別するに足る情報を提供しない場合、ハンドシェークにしたがって証明書をユーザ・アカウント又は機密保護責任者にマッピングすると、不成功に終わることが多い。
証明書及びハンドシェークを用いるサービスの一例はセキュア・チャネル(Secure Channel)である。エスチャネル(Schannel)としても知られるセキュア・チャネルは、SSL/TLS(セキュア・ソケッツ・レイヤ/トランスポート・レイヤ・セキュリティ)プロトコルを実装するセキュリティ・サービス・プロバイダ・インターフェース(SSPI)の下でのセキュリティ・サポート・プロバイダ(SSP)の名称である。エスチャネルSSPはSSPIの下でプラグインする。ケルベロスSSPもSSPIの下でプラグインする。エスチャネルは、SSL又はTLSを介してのようなハイパーテキスト・トランスファ・プロトコル(HTTP)に対する拡張された機密保護を必要とするインターネット・アプリケーションに主に用いられる。例えばSSL又はTLSのようなエスチャネル・プロトコルは、サービスと(オプションとして)クライアントとを認証するために資格認定書を必要とする。サーバがその身元のプルーフをクライアントに提供する場合のサーバ認証は、エスチャネル機密保護プロトコルによって要求される。クライアント認証は常にサーバによって要求される。
エスチャネル資格認定書はX.509証明書であり得る。証明書からの秘密鍵及び公開鍵の情報は、サーバと(オプションとして)クライアントとを認証するのに用いられる。また、これらの鍵は、クライアントとサーバがセッション鍵を生成して交換するのに必要な情報を交換する間にメッセージの完全性を提供するために用いられる。
エスチャネルは、サーバ上でユーザ認証を確立するのに用いられるクライアント/サーバ・プロトコルであるSSL及びTLSを実装するモジュールである。この認証により、クライアントの擬人化のためにサーバによって用いられることができるトークンがもたらされる。エスチャネルは証明書を用いてユーザを認証する(証明書をユーザ・アカウントにマッピングする)。
ユーザ(クライアント)がサーバに対して身元を明らかにすると、サーバは(ユーザのアカウントに対する)権限を定めなければならない。典型的には、これはX.509証明書におけるユーザ・プリンシパル・ネーム(UPN)拡張子の使用によって確立される。しかし、UPNがない場合、又はUPNが(クロス・フォレスト・シナリオにおいて)ユーザの領域を識別するに足る情報を提供しない場合、ユーザ・アカウント(例えば、アクティブ・ディレクトリ・ユーザ・アカウント)への証明書のマッピングは失敗する。S4Uを用いてケルベロスによって証明書をユーザ・アカウントへマッピングする際にも、同様の問題が存在する。
(例えば、「ヒント」の形式の)ユーザ・マッピング情報が認証プロトコルで提供される。例えば、認証期間に、クライアントはサーバにユーザ・マッピング情報を提供する。ヒントは、ユーザ・アカウントをどこで見つけるかを識別するのを助け、それにより、証明書をユーザ・アカウントへマッピングする能力を提供するために用いられる。
例えば、データ・フォーマット(例えば、オン・ザ・ワイヤ・フォーマット)は、ドメイン名情報とユーザ名情報とを送出するためにTLSプロトコルに対して変更される。例えば、(TLS拡張子メカニズムの形式等の)ヒントは、ドメイン/ユーザ名情報を送出してサーバがユーザの証明書をアカウントへマッピングするのを助けるために用いられる。TLS拡張子メカニズムはクライアントによって送出されたマッピング・データの完全性と信頼性とを提供する。
サーバ側において、プロトコル層からの情報は拡張されてマッピングされ、ユーザ証明書をアカウントへマッピングするため及び機密保護(ユーザの擬人化)トークンを生成するために用いられる。同様に、ケルベロス・プロトコルへの拡張子は、マッピング・ヒントと証明書が供給され、ユーザ・トークンが返送されるのを可能にする。
ユーザ・マッピング情報を含むヒントは、クライアント/サーバ認証及び鍵交換ステップの一部として交換されるメッセージにおいて提供される。例えば、クライアントは認証期間にサーバにユーザ・マッピング情報を提供する。(例えば、TLS拡張子メカニズムの形の)ヒントを用いて、サーバがユーザの証明書をアカウントにマッピングするのを助けるよう、クライアントのドメイン/ユーザ名情報を送出する。拡張子メカニズムは、クライアントによって送出されたマッピング・データの完全性と信頼性とを提供する。ユーザは、正しいアカウント又は(正しいアカウントを示す又は維持する)ドメイン・コントローラをどこで見出すかに関するヒントを提供する。ヒントと証明書における他の情報とに基づいて、ユーザはアカウントへマッピングされる。ヒントは、ユーザがログインするときにユーザによって提供され得る。
こうして、ユーザを認証するために証明書が本人にマッピングされる。結び付けを実施するために、ヒントは証明書情報と共に送出される。拡張子プロトコルは、結び付けを実施するために追加のマッピング情報(ヒント)を伝えるよう拡張され得る。
図1は、例示のマッピング方法のフロー図である。ステップ10において、クライアントは、(例えば、マッピング情報又はヒントを含む)マッピング拡張子が使用されていることを示すために、データ又は信号をサーバに送る。ステップ15において、サーバは、拡張子を取り扱うことができる又はできないことを知らせる。ステップ20において、マッピング拡張子が例えばハッシュとしてのユーザ・マッピング・データ(UserMappingData)としてサーバへ送出される。サーバが拡張子を取り扱える場合には、サーバは、ステップ25において、マッピング拡張子データ(ヒント)を用いて、誰と話すべきかを決定する。ステップ30において、両者はアプリケーション・データを導出する。
プロバイダ(例えばエスチャネル)は、ユーザ・アカウントへの証明書のマッピングをサーバ側が実施するのを助けるよう、ユーザのプリンシパル・ネーム(UPN)及びドメインを含むマッピング情報を送出するよう拡張されることが望ましい。これは、UPNが証明書自体にも、複数のアクティブなディレクトリを持つ配置にもない場合に特に有用である。また、マッピング情報は、例えば俗称やアカウント名であってもよい。
図2のクライアント−サーバ・マッピング・システムに関して記述されるSSLハンドシェークの例は、クライアントとユーザのX.509証明書に基づいて相互認証をサポートするとともに、マスタ・シークレットから導出されるセッション鍵によるクライアント/サーバ通信チャネルのその後の秘密性と完全性とを提供する。
UPNと(ユーザ・アカウントが配置される)ドメイン名がハンドシェーク期間に特定されて送出されることが望ましい。ハンドシェークが完了した後、中間で情報の改竄が行われなかったことを保証するよう、両者によって情報が機密であるとして検証される。
クライアント側の認証のために、セキュリティ・サポート又はプロトコル・プロバイダ(例えば、エスチャネル)はユーザの証明書と、「証明書」メッセージ及び「証明書検証」メッセージにおける対応の署名とを送出する。ハンドシェークの完了時に、サーバ側は、擬人化トークンを生成するために、証明書をユーザ・アカウントにマッピングすることを試みる。
図2は、ユーザ・マッピング情報がTLSハンドシェークのようなハンドシェークにどのように統合されるかを示している。TLSハンドシェークについて記述するが、本発明はハンドシェーク、証明書及び/又は認証に関係する任意のプロトコルに関して使用され得るものとする。最初の「ハロー」メッセージ交換において、クライアント101とサーバ130はマッピング情報が(例えば、クライアントとサーバとのハローの拡張部分に追加される新たな拡張子形式を介して)サポートされるかどうかを交渉する。ユーザ・マッピング・データ(例えば、プリンシパル・ネーム及びドメイン名)は、ユーザ証明書メッセージに続く新たなメッセージ(例えば、「user_mapping_data」)において送出されることが望ましい。
上で述べたとおり、TLSメッセージに関しては、クライアントからサーバへのユーザ・マッピング情報の転送はTLS拡張子を使用する。新たな拡張子(例えば、user_mapping)はクライアントのハローにおいて確立されて送出される。サーバが同じ拡張子(user_mapping)をサーバのハローに置くならば、これはクライアントに対してサーバが拡張子を理解することを示すことになる。サーバが拡張子を理解しないならば、サーバは拡張されないサーバのハローで応答し、クライアントは通常のように進んで拡張子を無視する。
新たな拡張子が理解されると、クライアントは自己の証明書メッセージの前に新たなハンドシェーク・メッセージを入れる。このメッセージの位置付けにより、サーバは証明書を検証(してマッピング)しなければならない前にマッピング情報を受け取ることができる。次いで、サーバはこのメッセージを構文解析し、クライアントのドメインを抽出し、証明書マッピングの際の使用のためにクライアントのドメインをコンテキストに格納する。
「サーバ処理」はマッピング機能に完全に含まれる。この点で、そこに拡張子情報があるならば、拡張子情報が用いられ、拡張子情報がない場合には、処理は通常どおりに進行する。拡張子を持たないことによるエラーがないことが望ましい。
クライアントはこの拡張子のイニシエータであるから、クライアントがユーザ・マッピング情報を送出する時点が決定される。この情報は常に送出されるけれども、この情報を常に任意のサーバにブロードキャストすることは望ましくない。これは、ユーザ・マッピング情報がクライアントとサーバとで使用するネットワーク・インフラストラクチャを明らかにすることができるからである。一方、この情報が明らかにされると、該情報を取り消す試みがなされないことになる。
ユーザ・マッピング情報の必要以上の送出を回避するよう、その配布を抑えるために種々の技術が用いられている。その例は、(1)「ハロー」の交換の際に同意した場合にのみ、クライアントは拡張子を送出し、それによって、ユーザ・マッピング情報を理解しないサーバに対して該情報が送出されるのを防止すること、及び、(2)送出しても「安全な」ドメインのリストにサーバが載っている場合にのみ、クライアントはユーザ・マッピング情報を送出することである。このリストは例えばレジストリに設定され得る。
こうして、図3に示すように、方法は、ステップ200においてユーザ(例えば、クライアント)から受信者(例えば、サーバ)へ証明書と署名を送出することを含む。次いで、ステップ210において、受信者にヒント又はマッピング情報が送出されなければならないか否かが決定される。送出されなければならない場合には、次いで、ステップ220において、ヒント又はマッピング情報が受信者へ送出され、ヒント又はマッピング情報を用いて証明書がユーザ・アカウントにマッピングされる。ヒント又はマッピング情報が受信者に送出されるべきではないならば、ステップ230において、証明書は、ヒントの恩恵を受けることなくユーザ・アカウントにマッピングされるよう試みられる。
送出されるべきユーザ・マッピング情報の収集はプログラムにしたがって又は対話的に処理される。例えば、エスチャネルにおいて用いるための資格認定書を確立するために、ユーザ(例えば、エンド・ユーザのために動作するクライアント・プログラム)はSCHANNEL_CRED構造を構築し、これをAcquireCredentialsHandle()へ伝える。SCHANNEL_CRED構造により、ユーザは、(クライアントの証明書を添付している)資格認定書を構築するためにACH()が用いる証明書(CERT_CONTEXT)を供給することができる。代わりに、ユーザは証明書を特定せず、エスチャネルにユーザのデフォルトの証明書を選択させる。
ヒントをどのように実現するかの例として、UPN及びDNSドメイン名を抽出するために、NameUserPrincipalのEXTENDED_NAME_FORMAT及びNameDnsDomainを用いてGetUserNameEx()が2度呼び出される。NameUserPrincipal及びNameDnsDomainはPSPCredentialGroup構造に添付される。ユーザ名のための例示のヒントは、UNICODE_STRING UserPrincipalNameとしてメッセージにおいて提供され得る。ドメイン名の例示のヒントは、UNICODE_STRING DomainNameとしてメッセージにおいて提供され得る。
例えば、InitializeSecurityContext()は、そのパラメータの1つとして、コンテキストのターゲット(すなわち、セキュア・コンテキストを確立しているサーバの名称)を受け取る。InitializeSecurityContextはCheckUserMappingTarget()を呼び出し、その結果に対して以下のPSPContext構造フラグ、すなわち
BOOL fSendMappingExtension
をセットする。デフォルトにより、このフラグはセットされないので、クライアントは拡張子を送出しない。デバッグ・ログはフラグをセットする又はフラグをそのままにする判定を示す。
別の例として、ユーザ・マッピング拡張子が成功裡に交渉されたならば、UPN及びドメインはPSPContext構造に置かれることが望ましい。この情報はマッピング処理の開始時に用いられて、証明書を基礎とするLsaLogonUser()(S4U2Self)のバージョンへ送られる。
上記の例の特徴は、SSL及びTLSに関係するプロトコルに関するものであった。また、本発明の特徴はケルベロスのようなプロトコルにおいて具体化される。ケルベロス拡張子は証明書を供給し、オプションとして、証明書がマッピングされるユーザ名をも供給する。KDC(鍵分配センタ)はアカウント・マッピング及び検証を実施し、例えば、許可のために用いられるトークンを作るためにクライアントによって使用される認証データを返送する。
特に、例えばLsaLogonUser()呼び出しはヒントを含み得る。ネーム・ヒントがLsaLogonUser()へ送られる。例えば、メッセージにおいて、供給されるならば、UNICODE_STRING DomainName,//OPTIONALがフォレストを見つけるために用いられる。また、供給されるならば、UNICODE_STRING UserName,//OPTIONALがアカウントを見つけるために用いられる。ドメイン名は、マッピングされたユーザ・アカウントをどのドメインが含むかをクライアント(例えば、ユーザがログインしているローカルのマシン)に知らせる。
呼び出し側は、証明書が複数のユーザ・アカウントにマッピングされることを可能にするように、ユーザ名を供給することが許可される。ユーザ名が供給されると、KDCは当該ユーザ名を用いてユーザ・アカウントを見つけ、証明書がこのアカウントにマッピングされることを検証する。
ユーザ名ヒントが供給されず、ドメイン名が供給されるならば、ドメイン名は、認証のためにKDCを見つけるためにケルベロス・クライアントに用いられ、KDCは証明書をユーザ・アカウントへマッピングする。subjectAltName拡張子を含まないクライアント証明書をサポートすることが望ましい。こうした証明書はActiveDirectoryアカウントへマッピングされる。アカウント・マッピング問題に対して、包括的且つ拡張可能な解決法が証明書に用意される。
証明書がsubjectAltName/UPN拡張子を含むならば、KDCは当該拡張子を用いてクライアントをマッピングする。この場合、クライアント証明書はNT_AUTHポリシーを満足することが望ましい。UPNに基づいてユーザ・オブジェクトが見出されない場合、認証は不成功に終わるべきである。
証明書にUPNがない場合、KDCは検索のための゛X509:<I><S>″AltSecID名を構築する。この場合、クライアント証明書はNT_AUTHポリシーを満足する必要はない。
証明書にUPNがなく、上記のステップにおいてユーザ・オブジェクトが見つかったことがない場合、サブジェクトの著名な名称に基づいてクライアント・アカウントが検索され、KDCは検索のための゛X509:<S>″AltSecID名を構築する。この場合、クライアント証明書はNT_AUTHポリシーを満足することが望ましい。
証明書にUPNがなく、上記のステップにおいてユーザ・オブジェクトが見つからない場合、KDCはサブジェクトと連番とを用いて、検索のための゛X509:<I><SR>″AltSecID名を構築する。この場合、クライアント証明書はNT_AUTHポリシーを満足する必要はない。
証明書にUPNがなく、ユーザ・オブジェクトが見つからず、クライアント証明書がSKIIを含む場合、KDCは検索のための゛X509:<SKI>″AltSecID名を構築する。この場合、クライアント証明書はNT_AUTHポリシーを満足する必要はない。
証明書にUPNがなく、上記のステップにおいてユーザ・オブジェクトが見つからない場合、KDCは検索のための゛X509:<SHA1-PUKEY>″AltSecID名を構築する。この場合、クライアント証明書はNT_AUTHポリシーを満足する必要はない。
証明書にUPNがなく、上記のステップにおいてユーザ・オブジェクトが見つからない場合、クライアント・アカウントがSAN/822nameに基づいて検索され、KDCは検索のための”X509:<RFC822>″AltSecIDを構築する。この場合、クライアント証明書はNT_AUTHポリシーを満足することが望ましい。
留意されるように、上記のステップ及び基準は、単独で又は任意の組み合わせ又は順序で用いられる。追加のステップ及び基準も用いられ得る。アカウントを成功裡に見つける第1のステップ又は基準が成功すると検索が停止することが望ましい。しかし、同一の証明書を異なるユーザ・アカウントへマッピングする2つのマッピング方法が存在する場合には、構成エラーが生じ得る。
留意されるように、クライアント証明書がUPNを持たず、証明書におけるクライアントのDNがユーザ・アカウントのDNと一致するが、ユーザ・アカウントがマッピングされない場合、認証は不成功であるべきである。
例示のコンピュータ環境
図4は、本発明が実施される適宜のコンピューティング・システム環境800の例を示している。コンピューティング・システム環境800は適宜のコンピュータ環境の一例にすぎず、発明の用途及び機能の範囲を限定するものではない。コンピュータ環境800を、例示の動作環境800に示す任意の1つの構成要素又は構成要素の組み合わせに関係する依存性又は要件を持つものと解釈してはならない。
本発明は、他の多くの汎用の又は特定用途のコンピューティング・システム環境又は構成と共に動作可能である。本発明と共に使用するのに適したコンピューティング・システム、環境及び/又は構成は、パーソナル・コンピュータ、サーバ・コンピュータ、携帯型又はラップトップ装置、マルチプロセッサ・システム、マイクロプロセッサ型のシステム、セットトップ・ボックス、プログラム可能な家庭用電気機器、ネットワークPC、ミニコンピュータ、メインフレーム・コンピュータ、任意の上記システム及び装置を含む分散型コンピュータ環境を含むが、これらに限定されない。
本発明は、コンピュータによって実行されるプログラム・モジュールのようなコンピュータ実行可能命令の一般的な文脈で記述される。一般に、プログラム・モジュールは、特定のタスクを実施し又は特定の抽象的なデータ形式を実施するルーチン、プログラム、オブジェクト、データ構造等を含む。また、本発明は、通信ネットワーク又は他のデータ伝送媒体を介してリンクされるリモート処理装置によってタスクが実施される分散型コンピュータ環境において実施され得る。分散型コンピュータ環境においては、プログラム・モジュール及び他のデータは、メモリ記憶装置を含むローカルの及びリモートのコンピュータ記憶媒体に配置され得る。
図4を参照すると、本発明を実施するための例示のシステムは、コンピュータ810の形の汎用コンピューティング装置を備えている。コンピュータ810の構成要素は、処理ユニット820、システム・メモリ830、及び、システム・メモリを含む種々のシステム構成要素を処理ユニット820に接続するシステム・バス821を含む。システム・バス821は、種々のバス構造を用いたメモリ・バス又はメモリ・コントローラ、ペリフェラル・バス及びローカル・バスを含む複数の型式のバス・アーキテクチャのうちの任意のものであり得る。例えば、こうしたアーキテクチャは産業標準アーキテクチャ(ISA)、マイクロチャネル・アーキテクチャ(MCA)、エンハンストISA(EISA)バス、ビデオ・エレクトロニクス基準協会(VESA)バス、周辺コンポーネント相互接続(PCI)バス(メザニン・バスとしても知られている)を含むが、これらに限定されない。
典型的には、コンピュータ810は種々のコンピュータ読み取り可能媒体を備える。コンピュータ読み取り可能媒体は、コンピュータ810によってアクセス可能な任意の利用可能な媒体であり、揮発性及び不揮発性の媒体並びに取り外し可能及び取り外し不可能な媒体を含む。例えば、コンピュータ読み取り可能媒体はコンピュータ記憶媒体及び通信媒体を含むが、これらに限定されない。
コンピュータ記憶媒体は、コンピュータ読み取り可能命令、データ構造、プログラム・モジュール又は他のデータのような情報を記憶するための方法又は技術において実装される揮発性及び不揮発性で取り外し可能及び取り外し不可能な媒体を含む。コンピュータ記憶媒体はRAM、ROM、EEPROM、フラッシュ・メモリ又は他のメモリ技術、CD−ROM、ディジタル・バーサタイル・ディスク(DVD)又は他の光ディスク記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置又は他の磁気記憶装置、或いは、所望の情報を記憶するのに用いられ且つコンピュータ810がアクセスできる任意の他の媒体を含むが、これらに限定されない。
通信媒体は、典型的には、コンピュータ読み取り可能命令、データ構造、プログラム・モジュール又は他のデータを搬送波又は他の移送機構のような変調データ信号において具現するものであり、任意の情報配信媒体を含む。用語「変調データ信号」は、その特性の組の1つ以上を備えた信号又は情報を符号化するように変更された信号を意味する。例えば、通信媒体は、有線ネットワーク又は直接有線接続のような有線媒体や、音響、RF、赤外線及びその他の無線媒体を含む無線媒体を含むが、これらに限定されない。上記の媒体の任意の組み合わせもコンピュータ読み取り可能媒体の範囲内に含まれる。
システム・メモリ830はROM831及びRAM832のような揮発性及び/又は不揮発性のメモリの形のコンピュータ記憶媒体を含む。基本入力/出力システム833(BIOS)は、例えば起動期間にコンピュータ810の要素間で情報を転送するのを助ける基本ルーチンを含んでおり、典型的にはROM831に記憶される。典型的には、RAM832は、処理ユニット820に対して即座にアクセス可能であり及び/又は処理ユニットによって動作されているデータ及び/又はプログラム・モジュールを含む。例えば、図4はオペレーティング・システム834、アップリケーション・プログラム835、他のプログラム・モジュール836及びプログラム・データ837を示しているが、これらに限定されない。
また、コンピュータ810は他の取り外し可能/取り外し不可能な揮発性/不揮発性のコンピュータ記憶媒体を含む。例示のみであるが、図4は、取り外し不可能な不揮発性磁気媒体との間で読み出し、書き込みを行うハードディスク・ドライブ840、取り外し可能な不揮発性磁気ディスク852との間で読み出し、書き込みを行う磁気ディスク・ドライブ851、及び、CD−ROMその他の光媒体のような取り外し可能な不揮発性光ディスク856との間で読み取り、書き込みを行う光ディスク・ドライブ855を示している。例示の動作環境において使用可能な他の取り外し可能/取り外し不可能な揮発性/不揮発性コンピュータ記憶媒体は、磁気テープ・カセット、フラッシュメモリ・カード、ディジタル・バーサタイル・ディスク、ディジタル・ビデオ・テープ、固体RAM等を含むが、これらに限定されない。典型的には、ハードディスク・ドライブ841はインターフェース840のような取り外し不可能メモリ・インターフェースを介してシステム・バス821と接続され、磁気ディスク・ドライブ851及び光ディスク・ドライブ855は、典型的には、インターフェース850のような取り外し可能メモリ・インターフェースによってシステム・バス821と接続される。
ドライブとその関連のコンピュータ記憶媒体は、コンピュータ810のためのコンピュータ読み取り可能命令、データ構造、プログラム・モジュール及び他のデータの記憶装置を提供する。例えば、図4においては、ハードディスク・ドライブ841はオペレーティング・システム844、アプリケーション・プログラム845、他のプログラム・モジュール846及びプログラム・データ847を記憶するものとして図示されている。留意されるように、これらの構成要素はオペレーティング・システム834、アプリケーション・プログラム835、他のプログラム・モジュール836及びプログラム・データ837と同じであっても、違っていてもよい。ここでオペレーティング・システム844、アプリケーション・プログラム845、他のプログラム・モジュール846及びプログラム・データ847に別の番号を付したのは、異なるものであることを示すためである。
ユーザは、マウス、トラックボール、タッチパッドとして通常呼ばれるポインティング・デバイス861やキーボード862などの入力装置を介して、コンピュータ810にコマンド及び情報を入力する。他の入力装置(図示せず)はマイクロホン、ジョイスティック、ゲームパッド、衛星アンテナ、スキャナ等を含み得る。これらの及び他の入力装置は、システムと結合されたユーザ入力インターフェース860を介して処理ユニット820と接続されることが多いが、パラレル・ポート、ゲーム・ポート又はユニバーサル・シリアル・バス(USB)等の他のインターフェース及びバス構造によって接続されてもよい。また、モニタ891及び他の形式の表示装置が、ビデオ・インターフェース890のようなインターフェースを介してシステム・バス821と接続される。モニタに加えて、コンピュータは、出力周辺インターフェース895を介して接続される、スピーカ897及びプリンタ896のような他の周辺出力装置を備え得る。
コンピュータ810は、リモート・コンピュータ880のような1つ以上のリモート・コンピュータとの論理接続を用いたネットワーク環境において動作し得る。リモート・コンピュータ880はパーソナル・コンピュータ、サーバ、ルータ、ネットワークPC、ピア装置又は他の共通ネットワーク・ノードであり得、典型的には、コンピュータ810に関して上で説明した多くの又は全部の要素を備えるが、図4にはメモリ記憶装置881のみが示されている。図示の論理接続はLAN871及びWAN873を含むが、他のネットワークをも含み得る。こうしたネットワーク環境はオフィス、企業規模の広域コンピュータ・ネットワーク、イントラネット及びインターネットにおいて一般的である。
LANネットワーキング環境において用いられるとき、コンピュータ810はネットワーク・インターフェース又はアダプタ870を介してLAN871と接続される。WANネットワーキング環境において用いられるとき、典型的には、コンピュータ810はモデム872や、インターネットのような,WAN873を介して通信を確立する他の手段を備える。外付け又は内蔵のモデム872はユーザ入力インターフェース860又は他の適宜の機構を介してシステム・バス821と接続される。ネットワーク環境においては、コンピュータ810又はその一部に関して図示されているプログラム・モジュールはリモート・メモリ記憶装置に記憶され得る。図4は、メモリ装置881上に常駐するものとしてリモート・悪利けーション・プログラム885を図示している。理解されるように、図示のネットワーク接続は例示であり、コンピュータ間の通信リンクを確立する他の手段を用いることができる。
上で説明したように、本発明の例示の実施の形態を種々のコンピューティング装置と関連させて説明してきたが、その基礎となる概念は任意のコンピューティング装置又はシステムに対して適用され得る。
ここで記述された種々の技術はハードウェア又はソフトウェアとの関連において、及び、適切であれば、ハードウェアとソフトウェアの組み合わせとの関連において実現され得る。こうして、本発明の方法及び装置、或いは本発明の或る特徴又は一部は、フロッピー(登録商標)ディスク、CD−ROM、ハードドライブ又は他の任意の機械読み取り可能記憶媒体のような有形媒体において具現化されるプログラム・コード(すなわち命令)の形を取り得、プログラム・コードがコンピュータ等の機械にロードされて実行されるとき、機械は本発明を実施するための装置となる。プログラム可能なコンピュータ上でのプログラム・コードの実行の場合、一般に、コンピューティング装置は、プロセッサと、該プロセッサによって読み取り可能な(揮発性及び不揮発性のメモリ及び/又は記憶素子を含む)記憶媒体と、少なくとも1つの入力装置と、少なくとも1つの出力装置とを備える。所望であれば、プログラムはアセンブリ言語又は機械語で実現される。いずれにしても、言語は編集又は解釈された言語であり、ハードウェア実装と結合され得る。
また、本発明の方法及びシステムは、電線やケーブル、光ファイバ又は他の任意の伝送形式等の伝送媒体を介して伝送されるプログラム・コードの形に具現化される通信によって実施され得る。プログラム・コードがEEPROM、ゲートアレイ、プログラム可能論理デバイス(PLD)、クライアント・コンピュータ等のマシンによって受信され、ロードされ、実行されるとき、このマシンは本発明を実施するための装置となる。汎用プロセッサ上で実施されるとき、プログラム・コードはプロセッサと組み合わされて、本発明の機能を行使する独自の装置を提供する。さらに、本発明と結合して用いられる記憶技術は必ずハードウェアとソフトウェアとの組み合わせであり得る。
種々の図面の好ましい実施の形態との関連で本発明を説明してきたが、理解されるように、他の同様の実施の形態を用いることができ、本発明から逸脱することなく本発明と同じ機能を実施するために、説明してきた実施の形態に対して修正及び追加を行うことができる。したがって、本発明は任意の単一の実施の形態に限定されるべきではなく、特許請求の範囲にしたがって幅と範囲を解釈されるべきである。
例示のマッピング方法のフロー図である。 ハンドシェーク付きの例示のクライアント−サーバ・マッピング・システムの図である。 他の例示のマッピング方法のフロー図である。 本発明の特徴が実現される、例示のコンピュータ環境を示すブロック図である。

Claims (12)

  1. 第1のコンピュータ装置を第2のコンピュータ装置に対して認証する認証方法であって、
    前記第1のコンピュータ装置から前記第2のコンピュータ装置へ、前記第1のコンピュータ装置を前記第2のコンピュータ装置に対して識別する証明書を送出するステップと、
    前記第2のコンピュータ装置が、認証サーバにおいて前記証明書を前記第1のコンピュータ装置のアカウントにマッピングすることを少なくとも試みるステップと、
    前記証明書を送出するステップとは別に、前記第1のコンピュータ装置から前記第2のコンピュータ装置へマッピング拡張子インジケータを送出するステップであって、前記第2のコンピュータ装置が前記認証サーバにおいて前記第1のコンピュータ装置のアカウントを見出すのを助けるマッピング情報を前記第1のコンピュータ装置が前記第2のコンピュータ装置へ送出することができることを前記マッピング拡張子インジケータにより特定するステップと、
    受信した前記マッピング拡張子インジケータに応じて、前記証明書とは別に前記第2のコンピュータ装置が前記マッピング情報を受け入れることができることを前記第2のコンピュータ装置から前記第1のコンピュータ装置へ知らせるステップと、
    前記証明書を送出するステップとは別に、前記マッピング情報を前記第1のコンピュータ装置から前記第2のコンピュータ装置へ送出するステップと、
    送出された前記マッピング情報に基づいて、前記認証サーバにおける前記第1のコンピュータ装置のアカウントを前記第2のコンピュータ装置により見つけるステップと、
    を備える方法。
  2. 前記認証サーバがドメイン・コントローラを備える、請求項1に記載の方法。
  3. 前記アカウント又は前記認証サーバを見つけた後にアプリケーション・データを導出し、前記アプリケーション・データを検証するステップを更に備える、請求項に記載の方法。
  4. 前記第1のコンピュータ装置から前記第2のコンピュータ装置へ前記証明書を送出するステップを更に備える、請求項1に記載の方法。
  5. 前記マッピング情報と前記証明書とに基づいてユーザをアカウントへマッピングするステップを更に備える、請求項に記載の方法。
  6. 前記マッピング情報を用いて前記証明書をユーザ・アカウントへマッピングするステップを更に備える、請求項に記載の方法。
  7. 前記第2のコンピュータ装置が前記マッピング情報をサポートするかどうかを決定するステップと、サポートする場合に、前記第2のコンピュータ装置が前記マッピング情報を受け入れることができることを知らせるステップと、前記マッピング情報を前記第2のコンピュータ装置へ送出するステップとを更に備える、請求項1に記載の方法。
  8. 前記マッピング情報がドメイン名ヒント又はユーザ名ヒントを備える、請求項に記載の方法。
  9. 前記マッピング情報がプロトコル拡張子メカニズムの形式である、請求項9に記載の方法。
  10. 前記マッピング情報及び前記証明書に基づいてユーザを認証するステップを更に備える、請求項に記載の方法。
  11. 前記マッピング情報を前記第2のコンピュータ装置へ送出する前に、前記第2のコンピュータ装置が前記マッピング情報をサポートするかどうかを決定するステップを更に備える、請求項に記載の方法。
  12. 前記第1のコンピュータ装置に対して、前記第2のコンピュータ装置が前記マッピング情報を受け入れることができることを知らせるステップを更に備える、請求項11に記載の方法。
JP2008521601A 2005-07-14 2006-07-12 プロトコルのためのユーザ・マッピング情報拡張子 Expired - Fee Related JP4955679B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/181,525 US7434253B2 (en) 2005-07-14 2005-07-14 User mapping information extension for protocols
US11/181,525 2005-07-14
PCT/US2006/027182 WO2007011637A2 (en) 2005-07-14 2006-07-12 User mapping information extension for protocols

Publications (3)

Publication Number Publication Date
JP2009501973A JP2009501973A (ja) 2009-01-22
JP2009501973A5 JP2009501973A5 (ja) 2009-08-27
JP4955679B2 true JP4955679B2 (ja) 2012-06-20

Family

ID=37662964

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008521601A Expired - Fee Related JP4955679B2 (ja) 2005-07-14 2006-07-12 プロトコルのためのユーザ・マッピング情報拡張子

Country Status (7)

Country Link
US (1) US7434253B2 (ja)
EP (1) EP1902539B1 (ja)
JP (1) JP4955679B2 (ja)
KR (1) KR101247007B1 (ja)
CN (1) CN101218779B (ja)
RU (1) RU2411668C2 (ja)
WO (1) WO2007011637A2 (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060294366A1 (en) * 2005-06-23 2006-12-28 International Business Machines Corp. Method and system for establishing a secure connection based on an attribute certificate having user credentials
US8701168B2 (en) * 2005-11-21 2014-04-15 Oracle International Corporation Method and apparatus for associating a digital certificate with an enterprise profile
US7958102B1 (en) * 2007-03-28 2011-06-07 Symantec Corporation Method and apparatus for searching a storage system for confidential data
US7877602B2 (en) * 2007-07-27 2011-01-25 International Business Machines Corporation Transparent aware data transformation at file system level for efficient encryption and integrity validation of network files
US8621561B2 (en) * 2008-01-04 2013-12-31 Microsoft Corporation Selective authorization based on authentication input attributes
US8341433B2 (en) * 2008-01-04 2012-12-25 Dell Products L.P. Method and system for managing the power consumption of an information handling system
CA2712242C (en) * 2008-01-18 2017-03-28 Identrust, Inc. Binding a digital certificate to multiple trust domains
US8412932B2 (en) * 2008-02-28 2013-04-02 Red Hat, Inc. Collecting account access statistics from information provided by presence of client certificates
US8713177B2 (en) * 2008-05-30 2014-04-29 Red Hat, Inc. Remote management of networked systems using secure modular platform
US10146926B2 (en) * 2008-07-18 2018-12-04 Microsoft Technology Licensing, Llc Differentiated authentication for compartmentalized computing resources
US9100297B2 (en) 2008-08-20 2015-08-04 Red Hat, Inc. Registering new machines in a software provisioning environment
US8032930B2 (en) 2008-10-17 2011-10-04 Intuit Inc. Segregating anonymous access to dynamic content on a web server, with cached logons
US8782204B2 (en) 2008-11-28 2014-07-15 Red Hat, Inc. Monitoring hardware resources in a software provisioning environment
US8544083B2 (en) * 2009-02-19 2013-09-24 Microsoft Corporation Identification security elevation
US9313105B2 (en) * 2009-02-27 2016-04-12 Red Hat, Inc. Network management using secure mesh command and control framework
US9558195B2 (en) 2009-02-27 2017-01-31 Red Hat, Inc. Depopulation of user data from network
US9134987B2 (en) 2009-05-29 2015-09-15 Red Hat, Inc. Retiring target machines by a provisioning server
US9270471B2 (en) 2011-08-10 2016-02-23 Microsoft Technology Licensing, Llc Client-client-server authentication
US20150149651A1 (en) * 2012-05-10 2015-05-28 Telefonaktiebolaget L M Ericsson (Publ) System, method and computer program product for protocol adaptation
US10659366B1 (en) 2015-11-04 2020-05-19 Amazon Technologies, Inc. Load balancer metadata forwarding on secure connections
CN109547400A (zh) 2017-09-22 2019-03-29 三星电子株式会社 通信方法、完整性验证方法和客户端的服务器注册方法
CN113596795B (zh) * 2021-07-22 2023-08-15 中移(杭州)信息技术有限公司 设备绑定方法、装置及计算机可读存储介质

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5712914A (en) * 1995-09-29 1998-01-27 Intel Corporation Digital certificates containing multimedia data extensions
US6615347B1 (en) * 1998-06-30 2003-09-02 Verisign, Inc. Digital certificate cross-referencing
EP2043375B1 (en) * 1999-05-17 2011-10-26 Telefonaktiebolaget LM Ericsson (publ) Capability negotiation in a telecommunications network
US6754829B1 (en) * 1999-12-14 2004-06-22 Intel Corporation Certificate-based authentication system for heterogeneous environments
JP4689788B2 (ja) * 2000-03-02 2011-05-25 株式会社アニモ 電子認証システム、電子認証方法及び記録媒体
US6854056B1 (en) * 2000-09-21 2005-02-08 International Business Machines Corporation Method and system for coupling an X.509 digital certificate with a host identity
US7139911B2 (en) * 2001-02-28 2006-11-21 International Business Machines Corporation Password exposure elimination for digital signature coupling with a host identity
US6871279B2 (en) * 2001-03-20 2005-03-22 Networks Associates Technology, Inc. Method and apparatus for securely and dynamically managing user roles in a distributed system
US7143285B2 (en) * 2001-05-22 2006-11-28 International Business Machines Corporation Password exposure elimination for digital signature coupling with a host identity
FR2825209A1 (fr) * 2001-05-23 2002-11-29 Thomson Licensing Sa Dispositifs et procede de securisation et d'identification de messages
JP3724564B2 (ja) * 2001-05-30 2005-12-07 日本電気株式会社 認証システム及び認証方法並びに認証用プログラム
JP2003085321A (ja) * 2001-09-11 2003-03-20 Sony Corp コンテンツ利用権限管理システム、コンテンツ利用権限管理方法、および情報処理装置、並びにコンピュータ・プログラム
JP2003233586A (ja) * 2002-02-13 2003-08-22 Advanced Telecommunication Research Institute International 制御サーバ、サービス機能へのアクセス制御をコンピュータに実行させるためのプログラム、サービス機能の取得をコンピュータに実行させるためのプログラム、およびプログラムを記録したコンピュータ読取り可能な記録媒体
US20040098615A1 (en) * 2002-11-16 2004-05-20 Mowers David R. Mapping from a single sign-in service to a directory service
CN1477552A (zh) * 2003-06-12 2004-02-25 上海格尔软件股份有限公司 数字证书认证系统中实体证书跨应用互通方法
US20050257045A1 (en) * 2004-04-12 2005-11-17 Bushman M B Secure messaging system
US20060095767A1 (en) * 2004-11-04 2006-05-04 Nokia Corporation Method for negotiating multiple security associations in advance for usage in future secure communication

Also Published As

Publication number Publication date
CN101218779B (zh) 2011-09-07
RU2008101461A (ru) 2009-07-20
US7434253B2 (en) 2008-10-07
EP1902539B1 (en) 2018-01-24
EP1902539A2 (en) 2008-03-26
WO2007011637A3 (en) 2007-07-12
RU2411668C2 (ru) 2011-02-10
WO2007011637A2 (en) 2007-01-25
EP1902539A4 (en) 2016-11-23
CN101218779A (zh) 2008-07-09
KR20080023737A (ko) 2008-03-14
KR101247007B1 (ko) 2013-03-25
JP2009501973A (ja) 2009-01-22
US20070016782A1 (en) 2007-01-18

Similar Documents

Publication Publication Date Title
JP4955679B2 (ja) プロトコルのためのユーザ・マッピング情報拡張子
EP1872502B1 (en) Peer-to-peer authentication and authorization
US9565180B2 (en) Exchange of digital certificates in a client-proxy-server network configuration
JP4600851B2 (ja) コンピュータシステム間でメッセージを通信するための安全なコンテキストの確立
US7496755B2 (en) Method and system for a single-sign-on operation providing grid access and network access
US8578167B2 (en) System, apparatus, method, and program product for authenticating communication partner using electronic certificate containing personal information
EP1498800B1 (en) Security link management in dynamic networks
US8340283B2 (en) Method and system for a PKI-based delegation process
US8220032B2 (en) Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith
US9065823B2 (en) System and method for using a portable security device to cryptograhically sign a document in response to signature requests from a relying party to a digital signature service
US20060294366A1 (en) Method and system for establishing a secure connection based on an attribute certificate having user credentials
US20050154886A1 (en) Declarative trust model between reverse proxy server and websphere application server
US7246238B2 (en) System and method for providing integration via a dial-up interface
CA2436385C (en) A system and method for providing integration via a dial-up interface
Berbecaru et al. Efficient Attribute Management in a Federated Identity Management Infrastructure
US9378349B2 (en) Enabling secure transactions between spoken web sites
Carrel et al. Operations T. Dahm Internet-Draft A. Ota Intended status: Standards Track Google Inc Expires: December 14, 2015 D. Medway Gash Cisco Systems, Inc.

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090707

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090707

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20110908

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120215

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120315

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4955679

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150323

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees