JP5327834B2 - パーティ間の推移的信頼に基づいてユーザのデジタルアイデンティティを受け入れる方法及び装置 - Google Patents

パーティ間の推移的信頼に基づいてユーザのデジタルアイデンティティを受け入れる方法及び装置 Download PDF

Info

Publication number
JP5327834B2
JP5327834B2 JP2008059977A JP2008059977A JP5327834B2 JP 5327834 B2 JP5327834 B2 JP 5327834B2 JP 2008059977 A JP2008059977 A JP 2008059977A JP 2008059977 A JP2008059977 A JP 2008059977A JP 5327834 B2 JP5327834 B2 JP 5327834B2
Authority
JP
Japan
Prior art keywords
identity
party
asserted
self
relying party
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008059977A
Other languages
English (en)
Other versions
JP2008287701A5 (ja
JP2008287701A (ja
Inventor
サティッシュ ソウラブ
ハーネキー ブライアン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2008287701A publication Critical patent/JP2008287701A/ja
Publication of JP2008287701A5 publication Critical patent/JP2008287701A5/ja
Application granted granted Critical
Publication of JP5327834B2 publication Critical patent/JP5327834B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

発明の分野
[0001]本発明の実施形態は、一般に、デジタルアイデンティティ管理に関する。より詳細には、本発明は、パーティ間の推移的信頼に基づいてユーザのデジタルアイデンティティを受け入れるための方法及び装置に関する。
関連技術の説明
[0002]インターネットの如きコンピュータネットワークにおいて、ユーザは、典型的には、特定のアプリケーション又はサービスが要求するところに従って個人及び秘密情報を送信する。ある場合において、このような秘密情報は、ユーザが後でアクセスするため、遠隔ホストによって記憶される。これらアプリケーションは、典型的には、そのような秘密情報を受け入れる前に、又はそのような情報へのアクセスを許す前に、ユーザの認証を行う。認証のための1つの良く知られたシナリオは、ネットワークを通してユーザ名及びパスワードをインターネット上のウエブサイトの如きアプリケーションへ送信することを含む。認証のための別の最近のより安全な機構は、デジタルアイデンティティを使用することを含む。ネットワークを通して送信されるとき、デジタルアイデンティティは、セキュリティートークン(トークンとも称される)によって表される。トークンは、デジタルアイデンティティによって送信される全情報のある部分を各々が含む1つ以上のクレーム(CLAIM)を含む。例えば、トークンは、ユーザ名、パスワード、クレジットカード番号及び/又は無数の他のタイプの情報に対するクレームを含む。
[0003]あるデジタルアイデンティティ管理システムによれば、2つのタイプのデジタルアイデンティティ、即ち、自己表明型アイデンティティ及び被管理アイデンティティが管理される。これらの2つのタイプのアイデンティティを区別するためには、3つの異なる役割を定めるのが有用である。ユーザは、デジタルアイデンティティに関連付けられたエンティティである。アイデンティティプロバイダーは、ユーザにデジタルアイデンティティを提供するエンティティである。依拠パーティは、デジタルアイデンティティに何らかの仕方で依拠するエンティティである。例えば、依拠パーティは、ユーザを認証するためそのデジタルアイデンティティを使用する。自己表明型アイデンティティは、ユーザとアイデンティティプロバイダーとが1つで同じであるような場合のものである。例えば、ユーザがアマゾンドットコムの如きオンラインプロバイダーでアカウントを生成している場合には、そのユーザは、自分自身のアイデンティティ(例えば、ユーザ名及びパスワード)を生成しているのである。被管理アイデンティティは、情報が第三者により支持され、従って、より信頼できるものであると推定されるようなより強い形式のデジタルアイデンティティである。即ち、ユーザとは無関係のアイデンティティプロバイダーにより、そのユーザへデジタルアイデンティティが提供されるのである。
[0004]自己表明型アイデンティティの場合には、依拠パーティは、ユーザ及びそのユーザの自己表明型クレームの妥当性検証をするのに依拠パーティ自身の処理を使用しなければならない。被管理アイデンティティの場合には、ユーザは、典型的には、アイデンティティプロバイダーからそのアイデンティティを得るため直接的又は間接的料金を支払うことを必要とされる。その上、依拠パーティは、そのアイデンティティプロバイダーを知り、ユーザに対して発行された被管理アイデンティティを受け入れる前に、そのアイデンティティプロバイダーのポリシーを知らねばならない。もし、ユーザでないならば、依拠パーティは、典型的には、その発行されたアイデンティティを使用するためそのアイデンティティプロバイダーに支払をすることが必要とされる。従って、ユーザ、依拠パーティ及びアイデンティティプロバイダーの間でのデジタルアイデンティティの確立及び使用に関連付けられたコストを減少又は排除するようなアイデンティティ管理機構が当業分野において必要とされている。
[0005]パーティ間の推移的信頼に基づいてユーザのデジタルアイデンティティを受け入れるための方法及び装置を提供する。本発明の一態様は、ユーザのデジタルアイデンティティを管理することに関する。自己表明型クレームを含むデジタルアイデンティティが第1のパーティに提供される。受入れトークンがその第1のパーティから得られる。その受入れトークンは、その第1のパーティによる自己表明型クレームの真正性主張している。それらデジタルアイデンティティ及び受入れトークンは第2のパーティに提供されて、受入れトークンに基づいて第2のパーティによる自己表明型クレームの妥当性検証が要求される。
[0006]別の実施形態では、自己表明型クレームを含むデジタルアイデンティティが、コンピュータから第1のパーティに提供される。その自己表明型クレームは、その第1のパーティにて妥当性検証される。受入れトークンがその第1のパーティからそのコンピュータへと送られる。その受入れトークンは、その第1のパーティによるその自己表明型クレームの真正性主張している。それらデジタルアイデンティティ及び受入れトークンは、そのコンピュータから第2のパーティに提供される。その自己表明型クレームは、その受入れトークン及びその第1のパーティとその第2のパーティとの間に確立される推移的信頼に基づいて、その第2のパーティにて妥当性検証される。
[0007]本発明の前述した特徴を詳細に理解できるように、その概要を簡単に前述したような本発明について、図面に幾つかを例示している実施形態に関連して、以下より詳細に説明する。しかしながら、添付図面は、本発明の典型的な実施態様のみを例示しているのであり、それらに本発明の範囲を限定しようとしているものではなく、本発明は、その他の均等の効果のある実施形態が考えられるものであることに注意されたい。
詳細な説明
[0011]図1は、本発明の1つ以上の態様によるネットワークコンピュータシステム100の典型的な実施形態を示すブロック図である。このシステム100は、コンピュータ104に結合されるネットワーク102を含む。コンピュータ104は、プロセッサ108,メモリ114、種々のサポート回路110、入出力インターフェース106を含むものとして例示されている。プロセッサ108は、当業分野において知られている1つ以上のマイクロプロセッサを含むことができる。プロセッサ108のためのサポート回路110は、通常のキャッシュ、電力供給装置、クロック回路、データレジスタ、入出力インターフェース等を含む。入出力インターフェース106は、メモリ114に直接結合することもできるし、又は、プロセッサ108を通してメモリ114に結合することもできる。入出力インターフェース106は、ネットワーク装置、種々の記憶装置、マウス、キーボード、ディスプレイ等の如き入力装置111及び/又は出力装置113と通信するように構成しておくこともできる。入出力インターフェース106は、ネットワーク102にも結合される。ネットワーク102は、ワイヤ、ケーブル、ファイバーオプチック及び/又はハブ、スイッチ、ルーター等の如き種々のタイプの良く知られたネットワーク要素により実施されるワイヤレスリンクによりコンピュータシステムを接続する通信システムを備える。ネットワーク102は、情報を通信するため、種々の良く知られたプロトコルを使用することができる。例えば、ネットワーク102は、インターネットの部分である。
[0012]メモリ114は、プロセッサ108によって実行及び/又は使用されるプロセッサ実行可能な命令及び/又はデータを記憶する。これらプロセッサ実行可能な命令は、ハードウエア、ファームウエア、ソフトウエア等又はそれらの組合せを含むことができる。メモリ114に記憶されたプロセッサ実行可能な命令を有するモジュールは、アイデンティティマネージャー116を含むことができる。コンピュータ104は、良く知られたプラットフォームのなかでも、オーエスツー、ジャバ仮想マシン、リナックス、ソラリス、ユニックス、エイチピーユーエックス、エーアイエックス、ウインドーズ、ウインドーズ95、ウインドーズ98、ウインドーズNT、ウインドーズ2000、ウインドーズME、ウインドーズXP、ウインドーズサーバーを含むことのできるオペレーティングシステム124でプログラムされることができる。オペレーティングシステム124の少なくとも一部分は、メモリ114に配設することができる。メモリ114は、ランダムアクセスメモリ、リードオンリーメモリ、磁気抵抗効果リード/ライトメモリ、光リード/ライトメモリ、キャッシュメモリ、磁気リード/ライトメモリ等並びに以下に説明するような信号担持媒体のうちの1つ以上のものを含むことができる。
[0013]アイデンティティマネージャー116は、コンピュータ104の1人以上のユーザのためのデジタルアイデンティティを管理するように構成されている。一般的に、デジタルアイデンティティは、このデジタルアイデンティティによって送信される全情報のうちのある部分を各々が含む1つ以上のクレームを有するセキュリティートークン(トークン)によって表される。デジタルアイデンティティは、Eメールアドレスのように簡単なものであることができるし、又は、ユーザ名、パスワード、クレジットカード番号、ソーシャルセキュリティー番号及び/又は無数の他のタイプの情報の如きより多くの情報を含むこともできる。トークンは、X.509証明書、ケルベロスチケット等を含めて、種々の良く知られたフォーマットであることができる。トークンは、セキュリティーアサーションマークアップ言語(SAML)の如き標準言語を使用して生成することもできる。トークンの一実施形態は、マイクロソフトカードスペースである。他の実施形態としては、オープンID、軽量アイデンティティプロトコル(LID)、安全拡張アイデンティティプロトコル(SXIP)等に従うトークンがある。
[0014]一実施形態では、アイデンティティマネージャー116は、自己表明型アイデンティティ150を管理する。自己表明型アイデンティティの各々は、1つ以上の自己表明型クレームを含む。例えば、ユーザは、自分のEメールアドレスのためのクレームを有する自己表明型アイデンティティを確立することができる。特に、どのビジネスモデルも被管理アイデンティティを使用することを要求しているとは限らない。ある依拠パーティは、ユーザがユニークユーザであることを知るだけでよいとし、ユーザEメールアドレス等を要求するだけである。このような依拠パーティの場合には、ユーザは、Eメールアドレスの如き要求される識別符号を有する自己表明型アイデンティティを使用して自身を同定することができる。本発明の一態様によれば、自己表明型アイデンティティは、他のパーティがそのアイデンティティを受け入れた(従って、妥当性検証した)ことを示す情報を含む。もし、所定のパーティがそれらの他のパーティを信頼できるものと考える場合には、そのパーティは、それら他のパーティによる受入れにのみ基づいてその自己表明型アイデンティティを受け入れることを選択することができる。即ち、依拠パーティのあるグループは、互いの間で「推移的信頼」を確立して、それらパーティのうちの1人により受け入れたユーザによる自己表明型クレームを、そのグループにおける他のパーティのすべてが受け入れるというようにすることができる。従って、信頼が確立されるとき、他のパーティは、その自己表明型アイデンティティを妥当性検証しなければならないというような負担を避けることができる。
[0015]図2は、本発明の1つ以上の態様によるユーザに対する自己表明型デジタルアイデンティティを管理するための方法の典型的な実施形態を示すフロー図である。この方法200は、コンピュータ104によって行われる方法201、依拠パーティ128によって行われる方法202及び依拠パーティ130によって行われる方法203を含む。この実施形態では、ユーザは、初期的に、自己表明型アイデンティティを依拠パーティ128へ提示し、その依拠パーティ128がそれにおける1つ以上のクレームを妥当性検証する。依拠パーティ128と依拠パーティ130とは、互いの間で推移的信頼を確立している。そのユーザがその自己表明型アイデンティティを依拠パーティ130へ提示するとき、その依拠パーティ130は、依拠パーティ128がそのアイデンティティを正当であると受け入れした事実に基づいて、そのアイデンティティを正当であると見なす。
[0016]詳述するに、方法201は、ステップ204で始まり、このステップ204において、コンピュータ104のユーザは、自己表明型デジタルアイデンティティを依拠パーティ128へ提示する。そのユーザは、典型的には、依拠パーティ128による要求に応答してその自己表明型アイデンティティを提供する。依拠パーティ128は、典型的には、特定のフォーマットを有し特定の1つのクレーム又は複数のクレームを含むユーザのデジタルアイデンティティを要求する。例えば、ユーザは、その依拠パーティとのアカウントを確立しようとする、又は、既に確立されたアカウントにアクセスしようとする。
[0017]それから、方法202は、ステップ206で始まる。このステップ206では、依拠パーティ128は、その自己表明型デジタルアイデンティティを受け取る。ステップ208にて、依拠パーティ128は、その自己表明型アイデンティティにおける少なくとも1つのクレームを妥当性検証する。依拠パーティ128は、当業分野において良く知られた種々の機構のうちの任意のものを使用して、このような妥当性検証を行うことができる。ステップ210にて、依拠パーティ128は、そのユーザへ受入れトークンを提供する。その受入れトークンは、その依拠パーティ128によるその自己表明型クレームの真正性主張する情報を含む(即ち、その受入れトークンは、その依拠パーティがそれらクレームを妥当性検証したこと又はその依拠パーティがそれらクレームを真正であるとして信頼したことを示している)。一実施形態では、依拠パーティ128は、公開キー基盤(PKI)システムを使用してその信頼を立証する。依拠パーティ128は、その自己表明型クレームにデジタル的に署名するか、又は、そのような自己表明型クレームのある表現(例えば、それらクレームのハッシュ)にデジタル的に署名する。このデジタル署名は、非対称暗号化アルゴリズム及びプライベートキーを使用するクレーム(又はクレームの表現)の暗号化を含むことができる。別のパーティは、依拠パーティ128の公開キーを使用して、依拠パーティ128がそれらクレームにデジタル的に署名したことを検証することができる。他のパーティは、このようなデジタル署名を、依拠パーティ128がそれらクレームを真正であるとして信頼した証拠として取り扱うことができる。
[0018]一実施形態では、受入れトークンは、その自己表明型クレームが真正であるとされてきた時間期間を示す情報の如きそのユーザと依拠パーティ128との間の関係に関連付けられた他のタイプの属性を含む。例えば、もし、依拠パーティ128がユーザのEメールアドレスが真正であることを検証した場合には、依拠パーティ128は、そのEメールアドレスがどのくらい長くそのユーザとの関係の一部であった(例えば、そのEメールアドレスがX月/年の間使用されていた)ことを含めることができる。
[0019]方法201に戻って、受入れトークンは、ステップ212にて受け取られる。ステップ214にて、この受入れトークンは、自己表明型アイデンティティにおけるクレームとして含まれる。一実施形態では、この受入れトークンは、任意的クレームである。即ち、ユーザがその自己表明型アイデンティティをあるパーティへ提示するとき、受入れトークンは、そのユーザの好みに基づいて選択的に送られる。ステップ216にて、ユーザは、その自己表明型アイデンティティ及び受入れトークンを依拠パーティ130へ提示する。ユーザは、典型的には、依拠パーティ130による要求に応答して、その自己表明型アイデンティティを提供する。依拠パーティ130は、典型的には、特定のフォーマットを有し特定の1つのクレーム又は複数のクレームを含むユーザのデジタルアイデンティティを要求する。例えば、ユーザは、依拠パーティ130とのアカウントを確立しようとするか、又は、既に確立されたアカウントにアクセスしようとすることができる。
[0020]それから、方法203は、ステップ218で始まる。このステップ218にて、依拠パーティ130は、その自己表明型アイデンティティ及び受入れトークンを受け取る。ステップ220にて、依拠パーティ130は、その受入れトークンに基づいてその自己表明型クレームを妥当性検証する。即ち、依拠パーティ130は、その受入れトークンを、依拠パーティ128がその自己表明型クレームが正当であると受け入れた証拠として使用する。もし、依拠パーティ130が依拠パーティ128を信頼できるものであると考える場合には、その依拠パーティ130は、その受入れのトークンにのみ基づいてその自己表明型クレームを妥当性検証することができる。換言すると、もし、依拠パーティ130が依拠パーティ128を信頼できるものであると考える場合には、その自己表明型クレームは、受入れトークンにより支持されていない他のクレームより依拠できるものである。従って、依拠パーティ130は、このようなクレームが別の信頼できるパーティにより既に妥当性検証されているので、その自己表明型クレームを妥当性検証しなければならいというような負担を負う必要はない。
[0021]前述したように、一実施形態では、依拠パーティ128は、受入れのトークンにおけるデジタル署名を含む。ステップ220での妥当性検証中に、依拠パーティ130は、その受入れのトークンにおけるデジタル署名を認証するため、依拠パーティ128の公開キーを得ることができる。従って、依拠パーティ130は、依拠パーティ128がその自己表明型クレームを受け入れたことを確かめることができる。一実施形態では、依拠パーティ130は、依拠パーティ128から直接にその公開キーを得ることができるし、又は、公開キーのリストからその公開キーを得ることができる。別の仕方として、依拠パーティ130は、ユーザから依拠パーティ128のための公開キーを得ることができる。即ち、任意的ステップ217にて、ユーザは、依拠パーティ128のための公開キーを依拠パーティ130へ提供する。いかなる場合においても、依拠パーティ130によって得られる公開キーは、認証局によって署名されたデジタル証明書の一部でありうる。こうして、依拠パーティ130は、その公開キーが真正のものであることを知る。
[0022]単一の自己表明型アイデンティティについて説明してきたのであるが、当業者には、各々が1つ以上の自己表明型クレームを有する複数の自己表明型アイデンティティを使用する場合にも、この方法200を使用することができることは理解されよう。更に又、2つの依拠パーティのみを示しているが、推移的信頼を確立するパーティのグループは、2つより多いパーティを含むことができるものである。
[0023]一実施形態では、アイデンティティマネージャー116は、被管理アイデンティティ152を管理するように構成される。被管理アイデンティティの各々は、アイデンティティプロバイダーにより支持される1つ以上のクレームを含む。例えば、被管理アイデンティティは、アイデンティティプロバイダーによって妥当性検証されているユーザのEメールアドレスを含むことができる。本発明の一態様によれば、アイデンティティプロバイダーは、ユーザにより提供された自己表明型アイデンティティに基づいて被管理アイデンティティを発行する。この場合において、その自己表明型アイデンティティは、他のパーティがそのアイデンティティを受け入れている(従って、妥当性検証している)ことを示す情報を含んでいる。もし、アイデンティティプロバイダーがこれらの他のパーティを信頼できるものであると考える場合には、そのアイデンティティプロバイダーは、その他のパーティによる受入れのみに基づいてその被管理アイデンティティを発行することを選択することができる。
[0024]図3は、本発明の1つ以上の態様によるユーザに対する自己表明型デジタルアイデンティティを管理するための方法300の別の典型的な実施形態を示すフロー図である。この方法300は、コンピュータ104によって行われる方法301、依拠パーティ128によって行われる方法302及びアイデンティティプロバイダー132によって行われる方法303を含む。この実施形態では、ユーザは、初期的に、依拠パーティ128へ自己表明型アイデンティティを提示する。依拠パーティ128は、そこにおける1つ以上のクレームを妥当性検証する。依拠パーティ128とアイデンティティプロバイダー132とは、互いの間に推移的信頼を確立している。アイデンティティプロバイダー132は、2つのタイプの被管理アイデンティティを発行する。即ち、その一方のタイプの被管理アイデンティティは、アイデンティティプロバイダー132自身により妥当性検証された1つ以上のクレームを含むものであり、他方のタイプの被管理アイデンティティは、アイデンティティプロバイダー132が信頼する1つ以上のパーティ(例えば、依拠パーティ128)によって妥当性検証されているクレームを含むものである。その第2のタイプの被管理アイデンティティは、そのアイデンティティプロバイダー132が信頼する他のパーティがそれらクレームを妥当性検証している事実を伝えるものである。これら他のパーティのアイデンティティは、その被管理アイデンティティ内には含まれていない。ユーザは、この被管理アイデンティティを、アイデンティティプロバイダー132との信頼を確立している他の依拠パーティへ提示することができる。
[0025]より詳細には、この方法30は、ステップ304で始まり、このステップ304にて、コンピュータ104のユーザは、自己表明型デジタルアイデンティティを依拠パーティ128へ提示する。ユーザは、典型的には、依拠パーティ128による要求に応答してその自己表明型アイデンティティを提供する。依拠パーティ128は、典型的には、特定のフォーマットを有し特定の1つ又は複数のクレームを含むユーザのデジタルアイデンティティを要求する。例えば、ユーザは、依拠パーティ128とのアカウントを確立しようとするか、又は、既に確立されたアカウントにアクセスしようとすることができる。
[0026]それから、方法302は、ステップ306で始まり、このステップ306にて、依拠パーティ128は、自己表明型デジタルアイデンティティを受け取る。ステップ308にて、依拠パーティ128は、その自己表明型アイデンティティにおける少なくとも1つのクレームを妥当性検証する。依拠パーティ128は、当業分野において良く知られた種々の機構のうちのいずれかを使用して、このような妥当性検証を行うことができる。ステップ310にて、依拠パーティ128は、ユーザへ受入れトークンを提供する。その受入れトークンは、依拠パーティ128によるその自己表明型クレームの真正性主張する情報を含む(即ち、その受入れトークンは、依拠パーティ128がそれらクレームを妥当性検証したこと、又は、依拠パーティ128がそれらクレームを真正のものであると信頼していること、を示している)。一実施形態では、依拠パーティ128は、前述したように、公開キー基盤(PKI)システムを使用してこのような信頼を立証する。即ち、この受入れトークンは、依拠パーティ128のデジタル署名を含むことができる。一実施形態では、この受入れトークンは、その自己表明型クレームが真正なものであるとされてきた時間期間を示す情報の如き、ユーザと依拠パーティとの間の関係と関連付けられた他のタイプの属性を含む。
[0027]方法301に戻って、受入れトークンがステップ312にて受け取られる。ステップ314にて、受入れトークンは、自己表明型アイデンティティにおいてクレームとして含ませられる。一実施形態では、受入れトークンは、任意的クレームである。即ち、ユーザがその自己表明型アイデンティティをあるパーティへ提示するとき、受入れトークンは、そのユーザの好みに基づいて選択的に送られる。ステップ316にて、ユーザは、その自己表明型アイデンティティ及び受入れトークンをアイデンティティプロバイダー132へ提示する。ユーザは、被管理アイデンティティを得るために、自己表明型アイデンティティをアイデンティティプロバイダー132へ提示することができる。
[0028]方法303は、ステップ316で始まり、このステップ318で、アイデンティティプロバイダー132は、自己表明型アイデンティティ及び受入れトークンを受け取る。ステップ320にて、アイデンティティプロバイダー132は、受入れトークンに基づいてその自己表明型クレームを妥当性検証する。即ち、アイデンティティプロバイダー132は、依拠パーティ128がその自己表明型クレームが正当なものであると受け入れた証拠としてその受入れトークンを使用する。もし、アイデンティティプロバイダー132がその依拠パーティ128を信頼できるものと考える場合には、そのアイデンティティプロバイダー132は、その受入れのトークンのみに基づいてその自己表明型クレームを妥当性検証することができる。
[0029]前述したように、一実施形態では、依拠パーティ128は、その受入れのトークンにデジタル署名を含ませる。ステップ320での妥当性検証中に、アイデンティティプロバイダー132は、その受入れのトークンにおけるデジタル署名を認証するため、その依拠パーティ128の公開キーを得ることができる。従って、アイデンティティプロバイダー132は、その依拠パーティ128がその自己表明型クレームを受け入れたことを確かめることができる。一実施形態では、アイデンティティプロバイダー132は、依拠パーティ128から直接的に公開キーを得ることができるし、又は、公開キーのリストからその公開キーを得ることができる。別の仕方として、アイデンティティプロバイダー132は、ユーザからその依拠パーティ128に対する公開キーを得ることができる。即ち、任意的ステップ317にて、ユーザは、その依拠パーティ128に対する公開キーをアイデンティティプロバイダー132へ提供する。いずれの場合にも、アイデンティティプロバイダー132により得られた公開キーは、認証局によって署名されたデジタル証明書の一部でありうる。このようにして、アイデンティティプロバイダー132は、その公開キーが真正のものであることを知る。
[0030]ステップ322にて、アイデンティティプロバイダー132は、それら自己表明型クレームを有する被管理アイデンティティを生成する。この被管理アイデンティティは、そのアイデンティティプロバイダー132が1つ以上の依拠パーティとの推移的信頼に基づいてそこにあるクレームを妥当性検証したことを示す情報を含む。アイデンティティプロバイダー132は、その被管理アイデンティティにデジタル的に署名し、その被管理アイデンティティがそのアイデンティティプロバイダー132から発せられたものであることを他のパーティが検証することができるようにする。ステップ324にて、アイデンティティプロバイダー132は、その被管理アイデンティティをユーザへ送る。方法301に戻って、ステップ326にて、ユーザは、そのアイデンティティプロバイダー132からその被管理アイデンティティを受け取る。ステップ328にて、ユーザは、その被管理アイデンティティを1つ以上の依拠パーティへ提示する。
[0031]単一の自己表明型アイデンティティ及びそれに対応する被管理アイデンティティについて説明してきたのであるが、当業者には、各々が1つ以上の自己表明型クレームを有し、各々が個々の被管理アイデンティティを生ずるような複数の自己表明型アイデンティティを使用する場合にも、この方法300を使用することができるものであることは理解されよう。
[0032]本発明の一態様は、コンピュータシステムで使用するためのプログラム製品として実施される。このプログラム製品のプログラムは、実施形態の機能を定めており、種々の信号担持媒体に含ませることができ、これは、これに限定されるものではないが、(i)非書き込み記憶媒体(例えば、CD-ROMドライブ又はDVDドライブによって読み取り可能なCD-ROM又はDVD-ROMディスクの如きコンピュータ内のリードオンリーメモリ装置)に恒久的に記憶された情報、(ii)書き込み可能記憶媒体(例えば、ディスケットドライブ又はハードディスクドライブ内のフロッピーディスク又は読み取り/書き込み可能CD又は読み取り/書き込み可能DVD)に記憶された変更可能な情報、又は(iii)ワイヤレス通信を含むコンピュータ又は電話ネットワークを介しての如き通信媒体によってコンピュータへ送信される情報、を含む。後者の実施形態は、特に、インターネット及び他のネットワークからダウンロードされる情報を含む。このような信号担持媒体は、本発明の機能を指示するコンピュータ読み取り可能な命令を担持するとき、本発明の実施形態となっている。
[0033]本発明の実施形態について前述してきたのであるが、本発明の基本的範囲から逸脱せずに、本発明の他の更なる実施形態を考えることができるものであり、本発明の範囲は、特許請求の範囲によって決定されるものである。
本発明の1つ以上の態様によるネットワークコンピュータシステムの典型的な実施形態を示すブロック図である。 本発明の1つ以上の態様によるユーザに対する自己表明型デジタルアイデンティティを管理するための方法の典型的な実施形態を示すフロー図である。 本発明の1つ以上の態様によるユーザに対する自己表明型デジタルアイデンティティを管理するための方法の別の典型的な実施形態を示すフロー図である。
100・・・ネットワークコンピュータシステム、102・・・ネットワーク、104・・・コンピュータ、106・・・入出力インターフェース、108・・・プロセッサ、110・・・サポート回路、111・・・入力装置、113・・・出力装置、114・・・メモリ、116・・・アイデンティティマネージャー、128・・・依拠パーティ、130・・・依拠パーティ、132・・・アイデンティティプロバイダー、150・・・自己表明型アイデンティティ、152・・・被管理アイデンティティ

Claims (15)

  1. ユーザのデジタルアイデンティティを管理する方法であって
    記デジタルアイデンティティを依拠パーティに提供するステップであって、前記デジタルアイデンティティは、前記ユーザが前記デジタルアイデンティティのアイデンティティプロバイダーとして機能する自己表明型クレームを有している、ステップと、
    前記依拠パーティから受入れトークンを得るステップであって、前記受入れトークンは、前記依拠パーティに従って前記自己表明型クレームの真正性を主張し、前記受入れトークンは、前記依拠パーティのプライベートキーを使用して前記依拠パーティによりデジタル的に署名された前記自己表明型クレームの一つの表現を含んでいる、ステップと、
    前記デジタルアイデンティティ及び前記受入れトークンを第2のパーティに提供し、前記受入れトークンに基づい前記第2のパーティによる前記自己表明型クレームの妥当性検証を要求するステップであって、前記第2のパーティは、前記受入れトークンに依拠して、前記自己表明型クレームの真正性を、前記依拠パーティによる検証済みであると示す、ステップと、
    前記依拠パーティの公開キーを、前記受入れトークンを前記依拠パーティによってデジタル的に署名されたものと確認する際に使用するために、認証局によってデジタル的に署名されたデジタル証明書の一部として、前記第2のパーティに提供するステップと、
    前記アイデンティティプロバイダーから被管理デジタルアイデンティティを受け取るステップであって、前記被管理デジタルアイデンティティは、前記自己表明型クレームに対応するクレームを含んでおり、前記被管理デジタルアイデンティティは、前記アイデンティティプロバイダーに従って該クレームの真正性を主張する、ステップと
    を備え
    前記被管理デジタルアイデンティティは、前記アイデンティティプロバイダーにより妥当性検証された1つ以上のクレームを有する被管理デジタルアイデンティティ、及び前記アイデンティティプロバイダーが信頼する1つ以上の依拠パーティにより妥当性検証された1つ以上のクレームを有する被管理デジタルアイデンティティの1つ以上を含んでいる
    方法。
  2. 前記受入れトークンを任意的クレームとして含むようデジタルアイデンティティを拡張するステップを更に備える、請求項1に記載の方法。
  3. 前記受入れトークンは、前記自己表明型クレームの真正性が前記依拠パーティにより維持されてきた期間を示す情報を含む、請求項1に記載の方法。
  4. 前記第2のパーティはアイデンティティプロバイダーである、請求項1に記載の方法。
  5. 前記依拠パーティの前記アイデンティティは、前記被管理デジタルアイデンティティに含まれない、請求項1に記載の方法。
  6. ユーザのデジタルアイデンティティを管理するシステムにおいて、
    ネットワークに通信可能に結合された1つ以上のプロセッサを備え、前記1つ以上のプロセッサは、
    記デジタルアイデンティティを依拠パーティに提供し、ここで、前記デジタルアイデンティティは、前記ユーザが前記デジタルアイデンティティのアイデンティティプロバイダーとして機能する自己表明型クレームを有し
    前記依拠パーティから受入れトークンを得て、ここで、前記受入れトークンは、前記依拠パーティに従って前記自己表明型クレームの真正性を主張し、前記受入れトークンは、前記依拠パーティのプライベートキーを使用して前記依拠パーティによりデジタル的に署名された前記自己表明型クレームの一つの表現を含んでおり
    前記デジタルアイデンティティ及び前記受入れトークンを第2のパーティに提供して、前記受入れトークンに基づい前記第2のパーティによる前記自己表明型クレームの妥当性検証を要求し、ここで、前記第2のパーティは、前記受入れトークンに依拠して、前記自己表明型クレームの真正性を、前記依拠パーティによる検証済みであると示し
    前記依拠パーティの公開キーを、前記受入れトークンを前記依拠パーティによってデジタル的に署名されたものと確認する際に使用するために、認証局によってデジタル的に署名されたデジタル証明書の一部として、前記第2のパーティに提供し、
    前記アイデンティティプロバイダーから被管理デジタルアイデンティティを受け取り、ここで、前記被管理デジタルアイデンティティは、前記自己表明型クレームに対応するクレームを含んでおり、前記被管理デジタルアイデンティティは、前記アイデンティティプロバイダーに従って該クレームの真正性を主張する
    ように構成され、
    前記被管理デジタルアイデンティティは、前記アイデンティティプロバイダーにより妥当性検証された1つ以上のクレームを有する被管理デジタルアイデンティティ、及び前記アイデンティティプロバイダーが信頼する1つ以上の依拠パーティにより妥当性検証された1つ以上のクレームを有する被管理デジタルアイデンティティの1つ以上を含んでいる
    システム
  7. 前記1つ以上のプロセッサは、任意的クレームとして前記受入れトークンを含むようデジタルアイデンティティを拡張するようにさらに構成された、請求項に記載のシステム
  8. 前記受入れトークンは、前記自己表明型クレームの真正性が前記依拠パーティにより維持されてきた期間を示す情報を含む、請求項に記載のシステム
  9. 前記第2のパーティはアイデンティティプロバイダーである、請求項に記載のシステム
  10. 前記依拠パーティの前記アイデンティティは、前記被管理デジタルアイデンティティに含まれない、請求項6に記載のシステム。
  11. ユーザのデジタルアイデンティティを管理する方法であって
    記デジタルアイデンティティをコンピュータから依拠パーティに提供するステップであって、前記デジタルアイデンティティは、前記ユーザが前記デジタルアイデンティティのアイデンティティプロバイダーとして機能する自己表明型クレームを有している、ステップと、
    前記依拠パーティで前記自己表明型クレームを妥当性検証するステップと、
    前記依拠パーティから受入れトークンを前記コンピュータに送るステップであって、前記受入れトークンは、前記依拠パーティに従って前記自己表明型クレームの真正性を主張し、前記受入れトークンは、前記依拠パーティのプライベートキーを使用して前記依拠パーティによりデジタル的に署名された前記自己表明型クレームの一つの表現を含んでいる、ステップと、
    前記デジタルアイデンティティ及び前記受入れトークンを前記コンピュータから第2のパーティに提供するステップと、
    前記依拠パーティの公開キーを、前記受入れトークンを前記依拠パーティによってデジタル的に署名されたものと確認する際に使用するために、認証局によってデジタル的に署名されたデジタル証明書の一部として、前記第2のパーティに提供するステップと、
    前記受入れトークン及び前記依拠パーティと前記第2のパーティとの間に確立された推移的信頼に基づいて前記第2のパーティで前記自己表明型クレームを妥当性検証するステップであって、前記第2のパーティは、前記受入れトークンに依拠して、前記自己表明型クレームの真正性を、前記依拠パーティによる検証済みであると示す、ステップと、
    前記アイデンティティプロバイダーから前記コンピュータへ被管理デジタルアイデンティティを送るステップであって、前記被管理デジタルアイデンティティは、前記自己表明型クレームに対応するクレームを含んでおり、前記被管理デジタルアイデンティティは、前記アイデンティティプロバイダーに従って該クレームの真正性を主張する、ステップと
    を備え
    前記被管理デジタルアイデンティティは、前記アイデンティティプロバイダーにより妥当性検証された1つ以上のクレームを有する被管理デジタルアイデンティティ、及び前記アイデンティティプロバイダーが信頼する1つ以上の依拠パーティにより妥当性検証された1つ以上のクレームを有する被管理デジタルアイデンティティの1つ以上を含んでいる
    方法。
  12. 任意的クレームとして前記受入れトークンを含むデジタルアイデンティティを拡張するステップを更に含む、請求項11に記載の方法。
  13. 前記受入れトークンは、前記自己表明型クレームの真正性が前記依拠パーティにより維持されてきた期間を示す情報を含む、請求項11に記載の方法。
  14. 前記第2のパーティはアイデンティティプロバイダーである、請求項11に記載の方法。
  15. 前記依拠パーティの前記アイデンティティは、前記被管理デジタルアイデンティティに含まれない、請求項11に記載の方法。
JP2008059977A 2007-03-28 2008-03-10 パーティ間の推移的信頼に基づいてユーザのデジタルアイデンティティを受け入れる方法及び装置 Expired - Fee Related JP5327834B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/729,381 US8881253B2 (en) 2007-03-28 2007-03-28 Method and apparatus for accepting a digital identity of a user based on transitive trust among parties
US11/729,381 2007-03-28

Publications (3)

Publication Number Publication Date
JP2008287701A JP2008287701A (ja) 2008-11-27
JP2008287701A5 JP2008287701A5 (ja) 2013-07-25
JP5327834B2 true JP5327834B2 (ja) 2013-10-30

Family

ID=39327686

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008059977A Expired - Fee Related JP5327834B2 (ja) 2007-03-28 2008-03-10 パーティ間の推移的信頼に基づいてユーザのデジタルアイデンティティを受け入れる方法及び装置

Country Status (4)

Country Link
US (1) US8881253B2 (ja)
JP (1) JP5327834B2 (ja)
CN (1) CN101277189B (ja)
GB (2) GB2484438B (ja)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8074257B2 (en) 2007-03-16 2011-12-06 Felsted Patrick R Framework and technology to enable the portability of information cards
US8151324B2 (en) 2007-03-16 2012-04-03 Lloyd Leon Burch Remotable information cards
US20090249430A1 (en) * 2008-03-25 2009-10-01 Novell, Inc. Claim category handling
US20090228885A1 (en) * 2008-03-07 2009-09-10 Novell, Inc. System and method for using workflows with information cards
US8949325B1 (en) * 2007-06-29 2015-02-03 Symantec Corporation Dynamic discovery and utilization of current context information
US20090205035A1 (en) * 2008-02-11 2009-08-13 Novell, Inc. Info card selector reception of identity provider based data pertaining to info cards
US20090217368A1 (en) * 2008-02-27 2009-08-27 Novell, Inc. System and method for secure account reset utilizing information cards
US8079069B2 (en) * 2008-03-24 2011-12-13 Oracle International Corporation Cardspace history validator
US9973491B2 (en) * 2008-05-16 2018-05-15 Oracle International Corporation Determining an identity of a third-party user in an SAML implementation of a web-service
US8561172B2 (en) * 2008-08-29 2013-10-15 Novell Intellectual Property Holdings, Inc. System and method for virtual information cards
US8083135B2 (en) 2009-01-12 2011-12-27 Novell, Inc. Information card overlay
US8632003B2 (en) 2009-01-27 2014-01-21 Novell, Inc. Multiple persona information cards
US8776214B1 (en) 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
US8990562B2 (en) * 2010-10-08 2015-03-24 Microsoft Technology Licensing, Llc Secure deployment of provable identity for dynamic application environments
US9767262B1 (en) 2011-07-29 2017-09-19 Amazon Technologies, Inc. Managing security credentials
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
CA2861384C (en) * 2012-02-01 2017-10-31 Amazon Technologies, Inc. Account management for multiple network sites
US8955065B2 (en) 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
US9385869B1 (en) * 2014-03-26 2016-07-05 Symantec Corporation Systems and methods for trusting digitally signed files in the absence of verifiable signature conditions
US9208284B1 (en) * 2014-06-27 2015-12-08 Practice Fusion, Inc. Medical professional application integration into electronic health record system
CN110167082B (zh) 2018-02-14 2021-11-30 中兴通讯股份有限公司 网络的切换方法、装置及系统,切换确定方法及装置
US11615403B1 (en) * 2019-05-24 2023-03-28 Workday, Inc. System and method for dynamically retrieving an attribute value of an identity claim from an issuing party using a digitally signed access token
CN111277577B (zh) * 2020-01-14 2022-06-07 北京百度网讯科技有限公司 数字身份验证方法、装置、设备和存储介质

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2357228B (en) 1999-12-08 2003-07-09 Hewlett Packard Co Method and apparatus for discovering a trust chain imparting a required attribute to a subject
US7703128B2 (en) * 2003-02-13 2010-04-20 Microsoft Corporation Digital identity management
JP2005050330A (ja) * 2003-07-16 2005-02-24 Nippon Telegr & Teleph Corp <Ntt> サービス提供方法及びシステム
JP4332071B2 (ja) * 2004-06-03 2009-09-16 日本電信電話株式会社 クライアント端末、ゲートウエイ装置、及びこれらを備えたネットワークシステム
CN1812403A (zh) * 2005-01-28 2006-08-02 广东省电信有限公司科学技术研究院 一种跨管理域实现身份认证的单点登录方法
US7900247B2 (en) * 2005-03-14 2011-03-01 Microsoft Corporation Trusted third party authentication for web services
US8104074B2 (en) * 2006-02-24 2012-01-24 Microsoft Corporation Identity providers in digital identity system
US8078880B2 (en) * 2006-07-28 2011-12-13 Microsoft Corporation Portable personal identity information
US9660812B2 (en) * 2007-02-28 2017-05-23 Red Hat, Inc. Providing independent verification of information in a public forum

Also Published As

Publication number Publication date
CN101277189A (zh) 2008-10-01
CN101277189B (zh) 2012-04-25
GB2484438A (en) 2012-04-11
JP2008287701A (ja) 2008-11-27
US20080244722A1 (en) 2008-10-02
US8881253B2 (en) 2014-11-04
GB2448027B (en) 2012-03-14
GB2448027A (en) 2008-10-01
GB201200983D0 (en) 2012-03-07
GB0804241D0 (en) 2008-04-16
GB2484438B (en) 2012-06-27

Similar Documents

Publication Publication Date Title
JP5327834B2 (ja) パーティ間の推移的信頼に基づいてユーザのデジタルアイデンティティを受け入れる方法及び装置
JP2008287701A5 (ja)
JP5300045B2 (ja) 単一インターフェースを通してデジタルアイデンティティを管理する方法及び装置
EP3756328B1 (en) Identity-based certificate authority system architecture
JP5791814B2 (ja) シングルサインオンドメインを信用情報漏洩から保護するための方法および装置
US8666904B2 (en) System and method for trusted embedded user interface for secure payments
JP5745690B2 (ja) マルチテナントサービスプロバイダによるダイナミックプラットフォームの再構成
US7512785B2 (en) Revocation distribution
CN114008968B (zh) 用于计算环境中的许可授权的系统、方法和存储介质
JP2016208510A (ja) ユーザ・コンピュータの認証
EP2107757A1 (en) Identity management
US20240031149A1 (en) Systems and methods for blockchain transactions with offer and acceptance
US20080127321A1 (en) System and method for handling permits for user authentication tokens
US11481509B1 (en) Device management and security through a distributed ledger system
KR20190114434A (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
JP2009503967A (ja) 単一の物理デバイスを用いた保護されたトランザクションの制御方法、それに対応する物理デバイス、システム及びコンピュータプログラム
EP2768178A1 (en) Method of privacy-preserving proof of reliability between three communicating parties
US20170104748A1 (en) System and method for managing network access with a certificate having soft expiration
Koulolias et al. STORK e-privacy and security
US10878472B2 (en) System and method for managing classifications in digital stores
Boyd Single sign-on to the Web with an EMV card
TWI670990B (zh) 自動連線安全無線網路的方法與系統
CN107925653B (zh) 用于安全传输其中数据的电信系统以及与该电信系统相关联的设备
KR20100128413A (ko) 인증서 관리 시스템 및 방법
KR20220112013A (ko) 인증서를 포함하는 검증 가능 자격 증명을 발행하는 방법 및 그 방법에 의해 발행된 검증 가능 자격 증명을 이용한 인증 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130205

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130502

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130509

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20130604

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130625

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130718

R150 Certificate of patent or registration of utility model

Ref document number: 5327834

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees