JP5852265B2 - 計算装置、コンピュータプログラム及びアクセス許否判定方法 - Google Patents
計算装置、コンピュータプログラム及びアクセス許否判定方法 Download PDFInfo
- Publication number
- JP5852265B2 JP5852265B2 JP2014547175A JP2014547175A JP5852265B2 JP 5852265 B2 JP5852265 B2 JP 5852265B2 JP 2014547175 A JP2014547175 A JP 2014547175A JP 2014547175 A JP2014547175 A JP 2014547175A JP 5852265 B2 JP5852265 B2 JP 5852265B2
- Authority
- JP
- Japan
- Prior art keywords
- computing device
- nonce
- mobile device
- approval request
- request packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Description
ネットワークへのアクセスが限られているか、又はネットワークへのアクセスをまったく有さない多くの装置に関し、こうした装置に対する管理及びサービス提供が困難であることに関する。
計算装置が日々の生活においてかなりどこにでも存在するようになり、したがって人間が多数のこうした装置と一日中やりとりをすることが珍しくはなくなった。多くの理由で、こうした計算装置の多くが、インターネットなどの1又は複数のネットワークに常時接続されている。こうした接続性は、計算装置がリモート装置及びサーバからセキュリティパッチ、ソフトウェアアップデート、ファームウェアアップデート、並びに種々の他の形式の情報及びデータを受信することを可能にする。
しかしながら、様々な要因に起因して、いくつかの装置に堅牢な接続性を提供することが実現可能でない場合がある。上記装置の多くはネットワークへのアクセスが限られているか、又はネットワークへのアクセスをまったく有さず、このことが、上記装置に対して管理及びサービス提供することを困難にしている。その上、上記装置の接続性の欠如に起因して、上記装置の多くが、リモートログオンサーバと確実に通信する能力がなく、結果として、しばしば共通のユーザ名及びパスワードを用いて構成される。こうした行為は、上記装置が迅速かつセキュアにパスワードを変更し、又はユーザの承認を無効にする能力を欠いているため、上記装置を多数のセキュリティ脅威にさらされる状態にする。
システムが、計算装置であり、(i)ワンタイムパスワード(OTP)及びノンスを生成し、(ii)上記計算装置の暗号鍵を用いて上記OTP、上記ノンス、及び一意的識別子を暗号化して承認要求メッセージを生成し、(iii)上記承認要求メッセージをモバイル装置と共有する、計算装置と、(i)上記モバイル装置から上記承認要求メッセージとユーザクレデンシャルとを受信し、(ii)上記承認要求メッセージと上記ユーザクレデンシャルとに応じて、ユーザが上記計算装置にアクセスすることを承認されるかどうかを決定し、(iii)上記ユーザが上記計算装置にアクセスすることを承認されるかどうかを決定することに応じて承認応答メッセージを生成し、(iv)上記モバイル装置に、上記計算装置と共有すべき上記承認応答メッセージを送信するアクセス制御サーバであり、上記計算装置は、上記承認応答メッセージに応じて上記計算装置へのアクセスを許可するか、それとも拒否するかを決定する、アクセス制御サーバと、を含む。
本願において説明される発明は、添付図面において、限定としてではなく例示として図示される。図示の簡潔さ及び明りょうさのため、図面に示される要素は、必ずしも縮尺どおりに描かれてはいない。例えば、いくつかの要素の寸法が、明りょうさのため、他の要素に対して誇張される場合がある。さらに、適切と考えられる場合、参照ラベルが図面にわたって繰り返されて対応する又は類似する要素を示している。
分散型ログオンサービスをオフライン計算装置に拡大するシステムの少なくとも1つの実施形態の簡素化されたブロック図である。
分散型ログオンサービスを図1のオフライン計算装置に拡大する方法の少なくとも1つの実施形態の簡素化された動作フロー図である。
図1及び図2の計算装置によって実行される、分散型ログオンサービスを拡大する方法の少なくとも1つの実施形態の簡素化されたフロー図である。
図1及び図2のモバイル装置によって実行される、分散型ログオンサービスを拡大する方法の少なくとも1つの実施形態の簡素化されたフロー図である。
図1及び図2のアクセス制御サーバによって実行される、分散型ログオンサービスを拡大する方法の少なくとも1つの実施形態の簡素化されたフロー図である。
本開示の概念は、種々の変更と代替的な形式とを受け入れる余地があるが、本開示の特定の例示的な実施形態が、例として図面において示されており、本明細書において詳細に説明されることになる。しかしながら、開示された特定の形式に本開示の概念を限定する意図はまったくなく、しかし逆に、その意図は、本開示と添付の特許請求の範囲とに調和するすべての変更、均等物及び代替手段におよぶものであることを、理解されたい。
以降の説明において、ロジック実装、演算コード、オペランドを指定する手段、リソース分割/共有/複製の実装、システムコンポーネントの種類及び相互関係並びにロジック分割/統合の選択などの多数の特定の詳細が、本開示のより完全な理解を与えるために説明される。しかしながら、本開示の実施形態は上記のような特定の詳細なしに実施することができることを、当業者は十分理解するであろう。他の例では、制御構造、ゲートレベル回路、及び完全なソフトウェア命令シーケンスは、本発明を分かりにくくしないために、詳細に示されていない。当業者は、本明細書に含まれる説明を用いて、過度の実験なしに適切な機能性を実施することができるであろう。
本明細書における「1つの実施形態」「ある実施形態」「ある例示的な実施形態」などの言葉は、説明される実施形態が特定の特性、構造又は特徴を含み得るが、しかしながらあらゆる実施形態が必ずしも上記特定の特性、構造又は特徴を含み得ないことを、示す。その上、上記の語句は、必ずしも同一の実施形態を参照するものではない。さらに、特定の特性、構造又は特徴がある実施形態に関連して説明されるとき、明示的に説明されるか否かにかかわらず、上記のような特性、構造又は特徴を他の実施形態と関連して達成することは当業者の知識の範囲内にあることが、提起される。
本発明の実施形態は、ハードウェア、ファームウェア、ソフトウェア、又はそれらの任意の組み合わせにおいて実施することができる。コンピュータシステムに実装された本発明の実施形態は、コンポーネント間の1若しくは複数のバスベースの相互接続若しくはリンク、及び/又はコンポーネント間の1若しくは複数のポイントツーポイント相互接続を含むことができる。本発明の実施形態は、さらに、一時的な又は固定の機械読み取り可能媒体によって担体され、又は上記機械読み取り可能媒体上に記憶された、命令として実施することができ、上記機械読み取り可能媒体は、1又は複数のプロセッサによって読み出され、実行されることができる。機械読み取り可能媒体は、機械(例えば、コンピュータ装置)によって読取可能な形式の情報を記憶する又は送信する任意の装置、メカニズム又は物理的構造として具体化されることができる。例えば、機械読み取り可能媒体は、読み取り専用メモリ(ROM);ランダムアクセスメモリ(RAM);磁気ディスク記憶媒体;光記憶媒体;フラッシュメモリ装置;ミニ又はマイクロSDカード、メモリスティック、電気信号及び他のものとして、具体化されることができる。
図面において、装置、モジュール、命令ブロック及びデータ要素を表す図解要素などの、図解要素の特定の配置又は順序が、説明を簡易にするために示される場合がある。しかしながら、図面における図解要素の特定の順序又は配置は、特定の処理の順序若しくはシーケンス又は処理の分離が必要とされることを示すように意図されていないことを、当業者には理解されたい。さらに、図面においてある図解要素を含むことは、上記の要素がすべての実施形態において必要とされること、あるいは上記の要素によって表される特性がいくつかの実施形態の中の他の要素に含まれない又は組み合わせされないことを、示すように意図されてはいない。
一般に、命令ブロックを表すために使用される図解要素は、ソフトウェア若しくはファームウェアアプリケーション、プログラム、関数、モジュール、ルーチン、プロセス、プロシージャ、プラグイン、アプレット、ウィジェット、コードフラグメント、及び/又は他のものなどの、任意の適切な形式の機械読み取り可能命令を用いて実装することができ、上記の各々のこうした命令は、任意の適切なプログラミング言語、ライブラリ、アプリケーションプログラミングインタフェース(API)、及び/又は他のソフトウェア開発ツールを用いて実装することができる。例えば、いくつかの実施形態を、Java(登録商標)、C++、及び/又は他のプログラミング言語を用いて実装することができる。同様にして、データ又は情報を表すために使用される図解要素は、レジスタ、データストア、テーブル、レコード、配列、インデックス、ハッシュ、マップ、ツリー、リスト、グラフ、(任意のファイル種別の)ファイル、フォルダ、ディレクトリ、データベース、及び/又は他のものなどの、任意の適切な電子的な配置又は構造を用いて実装することができる。
さらに、図面において、実線若しくは破線又は実線若しくは破線の矢印などの接続要素を使用して複数の他の図解要素の間の、又は間における接続、関係又は関連付けを示すとき、いかなる上記の接続要素の欠如も、接続、関係又は関連付けがまったく存在し得ないことを示すように意図されてはいない。換言すると、要素間のいくつかの接続、関係又は関連付けは、本開示を分かりにくくしないように、図面に示されない場合がある。加えて、図示を簡易にするため、単一の接続要素を用いて要素間の複数の接続、関係又は関連付けを表す場合がある。例えば、ある接続要素が信号、データ又は命令の通信を表す場合、上記の要素は、上記通信を達成するために必要とされ得るとおりの1又は複数の信号パス(例えば、バス)を表す場合があることを、当業者には理解されたい。
次に図1を参照すると、分散型ログオンサービスをオフライン計算装置に拡大するシステム100が、計算装置102とアクセス制御サーバ162とを含む。いくつかの実施形態において、計算装置102には、ネットワーク180などの1又は複数のネットワークに対して限定されたアクセスを有するか、又はアクセスをまったく有していない、「オフライン」装置を含む。さらに、又は別法として、他の実施形態において、オフライン計算装置102は、プライベートネットワークへのアクセスを有し、しかしながらネットワーク180へのアクセスを有さない場合がある。使用中、以下でより詳細に論じられるとおり、モバイル装置132は、オフライン計算装置102がアクセス制御サーバ162を用いてユーザを認証する際に、プロキシとして動作する。こうするために、オフライン計算装置102は、アクセス制御サーバ162によって検証されるべき承認要求メッセージを生成する。オフライン計算装置102は、承認要求メッセージの視覚的及び/又は電子的表現を生成し、これ以降上記承認要求メッセージが利用可能とされてモバイル装置132によって取り込まれることになる。いったん取得されると、承認要求メッセージは、プロキシとして動作するモバイル装置132によって、ネットワーク180を通じて、アクセス制御サーバ162へ送信される。承認要求メッセージ内に含まれる情報に基づいて、アクセス制御サーバ162は、オフライン計算装置102へのアクセスが承認されるべきかどうかを決定する。オフライン計算装置102へのアクセスが承認されることの決定に呼応して、アクセス制御サーバ162は、モバイル装置132に対して承認応答メッセージを生成及び送信し、モバイル装置132は再びプロキシとして動作する。受信すると、モバイル装置132は、承認応答メッセージの視覚的及び/又は電子的表現を生成し、これ以降上記承認応答メッセージが利用可能とされてオフライン計算装置102によって取り込まれることになる。それから、オフライン計算装置は、アクセスが許可されるべきかどうかを、承認要求メッセージ内に含まれる情報と承認応答メッセージ内に含まれる情報とを比較することに基づいて決定する。
計算装置102は、本明細書に説明される機能を実行する能力がある任意の種類の計算装置として具体化することができる。例えば、計算装置102は、デスクトップコンピュータ、ラップトップコンピュータ、モバイルインターネット装置、ハンドヘルドコンピュータ、スマートフォン、タブレット型コンピュータ、パーソナルデジタルアシスタント、テレフォニー装置、又は他の計算装置として具体化することができる。1つの具体的な実施形態において、計算装置102は、現金自動預け払い機として具体化される。図1の図示の実施形態において、計算装置102は、プロセッサ104、I/Oサブシステム110、メモリ108、データ記憶装置118、及び1又は複数の周辺装置126を含む。いくつかの実施形態において、前述のコンポーネントのうちいくつかを、計算装置102のマザーボード上に組み込むことができ、その上、他のコンポーネントを、例えば周辺ポートを介して、マザーボードに通信可能に結合することができる。さらに、計算装置102は、本説明の明りょうさのために図1に図示されていない、コンピュータ及び/又は計算装置に一般的に見られる他のコンポーネント、サブコンポーネント及び装置を含むことができることを、十分理解されたい。
計算装置102のプロセッサ104は、マイクロプロセッサ、デジタルシグナルプロセッサ、マイクロコントローラ又は類似のものなどの、ソフトウェア/ファームウェアを実行する能力がある任意の種類のプロセッサとして具体化することができる。プロセッサ104は、プロセッサコア106を有する単一のコアプロセッサとして、図として具体化されている。しかしながら、他の実施形態において、プロセッサ104は、複数のプロセッサコア106を有するマルチコアプロセッサとして具体化することができる。さらに、計算装置102は、1又は複数のプロセッサコア106を有する追加のプロセッサ104を含むことができる。
計算装置102のI/Oサブシステム110は、回路及び/又はコンポーネントとして具体化されて、プロセッサ104、及び/又は計算装置102の他のコンポーネントとの入力/出力動作を容易にすることができる。いくつかの実施形態において、I/Oサブシステム110は、メモリコントローラハブ(MCH、又は「ノースブリッジ」)、入力/出力コントローラハブ(ICH、又は「サウスブリッジ」)、及びファームウェア装置として具体化することができる。こうした実施形態において、I/Oサブシステム110のファームウェア装置は、基本入出力システム(BIOS)のデータ及び/若しくは命令並びに/又は他の情報(例えば、計算装置102のブート中に使用されるBIOSドライバ)を記憶するメモリ装置として具体化することができる。しかしながら、他の実施形態において、他の構成を有するI/Oサブシステムを使用することができる。例えば、いくつかの実施形態において、I/Oサブシステム110は、プラットフォームコントローラハブ(PCH)として具体化することができる。こうした実施形態において、メモリコントローラハブ(MCH)は、プロセッサ104に組み込まれ、又はその他の方法で関連付けられることができ、プロセッサ104は、(図1において点線(hashed line)で示されるとおり)メモリ108と直接通信することができる。さらに、他の実施形態において、I/Oサブシステム110は、システムオンチップ(SoC)の一部分を形成し、プロセッサ104、及び計算装置102の他のコンポーネントと共に、単一の集積回路チップ上に組み込まれることができる。
I/Oサブシステム110は、セキュリティエンジン(SE)112を含むことができる。セキュリティエンジン112は、セキュリティコプロセッサなどの、組み込み型マイクロプロセッサとして具体化することができ、プロセッサ104とは独立して動作して、プロセッサ104、又は計算装置102の他のコンポーネントがアクセスすることはできないセキュアな隔離された環境を提供する。いくつかの実施形態において、SE112は、計算装置102により使用される1又は複数の暗号鍵の記憶を管理して、計算装置102とモバイル装置132及び/又はアクセス制御サーバ162との間のデータ及び/又は通信を安全にすることができる。こうした実施形態において、上記1又は複数の暗号鍵は、SE112がアクセス可能であり、計算装置102の他のコンポーネントがアクセス不可能である、メモリ108の部分に記憶することができる。他の実施形態において、SE112は、ワンタイムパスワード(OTP)を生成することができ、上記ワンタイムパスワードは、以下でより詳細に論じられるものであるが、分散型ログオンサービスをオフライン計算装置102に拡大するために部分的に活用される。
プロセッサ104は、多数の信号パスを介してI/Oサブシステム110に通信可能に結合される。こうした信号パス(及び、図1に示される他の信号パス)は、計算装置102のコンポーネント間で通信を容易にする能力がある任意の種類の信号パスとして具体化することができる。例えば、上記信号パスは、バス、介在する装置、及び/又は類似のものを介して、任意の数のワイヤ、ケーブル、光ガイド、プリント回路基板トレースとして具体化することができる。
計算装置102のメモリ108は、1又は複数のメモリ装置又はデータ記憶場所として具体化され、又はその他の方法で上記1又は複数のメモリ装置又はデータ記憶場所を含むことができ、上記のメモリ装置又はデータ記憶場所には、例えば、ダイナミックランダムアクセスメモリ装置(DRAM)、同期型ダイナミックランダムアクセスメモリ装置(SDRAM)、ダブルデータレート同期型ランダムアクセスメモリ装置(DDR SDRAM)、マスク読取専用メモリ(ROM)装置、消去可能プログラマブルROM(EPROM)、電気的消去可能プログラマブルROM(EEPROM)装置、フラッシュメモリ装置、並びに/又は他の揮発性及び/若しくは不揮発性メモリ装置を含むことができる。メモリ108は、複数の信号パスを介してI/Oサブシステム110に通信可能に結合される。種々のデータ及びソフトウェアを、メモリ装置108に記憶することができる。例えば、プロセッサ104により実行されるソフトウェアスタックを構成する1又は複数のオペレーティングシステム、アプリケーション、プログラム、ライブラリ及びドライバが、実行中にメモリ108に存在し得る。さらに、メモリ108に記憶されるソフトウェア及びデータは、メモリ管理操作の一部として、メモリ108とデータ記憶装置118との間でスワップされることができる。
計算装置102は、他の実施形態においてさらなるメモリ装置を含むことができる。例えば、計算装置102は、セキュアメモリ114を含むことができ、セキュアメモリ114は、以下でより詳細に論じられるが、計算装置102のデータ又は通信を安全にするための1又は複数の暗号鍵116を記憶することができる。セキュアメモリ114は、メインメモリ108とは別個のメモリ装置として具体化することができ、あるいはメモリ108の安全にされた区画として具体化することができる。2つのメモリ装置108、114のみが図1に示されているが、計算装置102は、他の実施形態において、任意の数のさらなるメモリ装置を含むことができる。
計算装置102は、さらに、データ記憶装置(群)118を含むことができる。データ記憶装置(群)118は、例えば、メモリ装置及び回路、メモリカード、ハードディスクドライブ、ソリッドステートドライブ、又は他のデータ記憶装置などの、短期間又は長期間のデータ記憶をなすように構成された任意の種類の1又は複数の装置として具体化することができる。
さらに、計算装置102は、通信回路122を含んで、ネットワーク180を通じた1又は複数のリモート計算装置との通信を容易にすることができる。計算装置102は、例えば、ネットワーク(群)180の具体的な種類に依存して、任意の適切な通信プロトコルを使用してネットワーク180を通じて他の計算装置と通信することができる。通信回路122には、いくつかの実施形態において、近距離無線通信(near-field communication)(NFC)を含むことができる。計算装置102は、NFC回路124を使用して、ネットワーク180を用いることなしに1又は複数のリモート計算装置に情報又はデータを転送することができる。例えば、計算装置102は、NFC回路124を使用してモバイル装置132に情報又はデータを転送することができ、モバイル装置132もまた、以下で論じられるとおり、NFC回路154を含むことができる。
いくつかの実施形態において、計算装置102は、視覚的な画像又はオブジェクトを取り込むためのカメラ120又はスキャナを含むことができ、上記画像又はオブジェクトを1又は複数のリモート計算装置が表示することができる。例えば、計算装置102はカメラ120を使用して1又は複数の画像を取り込むことができ、上記画像をモバイル装置132が表示することができる。カメラ120は、画像を生成する能力があるスチールカメラ、ビデオカメラ又は類似のものなどの任意の種類のカメラとして具体化することができ、上記画像を1又は複数のリモート計算装置が表示することができ、あるいは計算装置102のユーザが提供することができる。いくつかの実施形態において、カメラ120は、計算装置102の筐体に組み込むことができ、あるいは計算装置102に通信可能に結合された周辺装置126とすることができる。例えば、カメラ120は、計算装置102の表示画面の近くに組み込むことができ、あるいは計算装置102の近くに位置付けることができる。
計算装置102の周辺装置126には、任意の数の周辺装置又はインタフェース装置を含むことができる。例えば、周辺装置126には、ディスプレイ、タッチスクリーン、キーボード、マウス、外部スピーカ、及び/又は他の周辺装置を含むことができる。周辺装置126は、複数の信号パスを介してI/Oサブシステム110に通信可能に結合され、したがってI/Oサブシステム110及び/又はプロセッサ104は周辺装置126から入力データを受領し、周辺装置126へ出力データを送出することが可能となる。周辺装置126に含まれる具体的な装置は、例えば、計算装置102の使用の意図に依存し得る。
図示されている例示の実施形態において、周辺装置126には、グラフィックス周辺機器カードのグラフィックス処理ユニットとして具体化されるグラフィックス回路128を含む。グラフィックス処理ユニットは、グラフィックスの生成の加速及び類似のことなどの種々のグラフィックス処理機能を実行するために使用される。したがって、通常は、グラフィックス処理ユニットを使用して、計算装置102上のグラフィックスの生成をサポートする。しかしながら、グラフィックス処理ユニットをさらに使用して、カメラ120によって取り込まれた視覚的な画像を処理し、及び/又は計算装置102のための他のタスクを実行することができる。例えば、グラフィックス処理ユニットは、プロセッサ104と連動して、又はプロセッサ104とは別個に、計算装置のソフトウェア/ファームウェアを実行することができる。いくつかの実施形態において、プロセッサ104はさらに、プロセッサコア106と共通のダイの上に定められたグラフィックス回路128を含むことができる。
モバイル装置132は、以下に説明されるプロキシ機能を実行する能力がある任意の種類のポータブル装置として具体化することができる。計算装置102と同様に、モバイル装置132は、ポータブルコンピュータ内に一般に見られる種々のコンポーネントを含むことができる。図1の例示の実施形態において、モバイル装置132は、プロセッサ134、メモリ138、I/Oサブシステム140、データ記憶装置148、カメラ150、通信回路152、及び1又は複数の周辺装置156を含む。通信回路152は、モバイル装置132とネットワーク180から切り離されている計算装置102との間の直接的な通信のためのNFC回路154を含むことができる。図1の例示の実施形態において示されるとおり、データ記憶装置148、カメラ150、通信回路152及びNFC回路154は、モバイル装置132の別個のコンポーネントから成ることができる。もちろん、他の実施形態において、周辺装置156がデータ記憶装置148、カメラ150、通信回路152及びNFC回路154のうち1又は複数を含むことができることを、理解されたい。
アクセス制御サーバ162は、本明細書において説明される認証機能を実行する能力がある任意の種類のサーバとして具体化することができる。アクセス制御サーバ162には、サーバコンピュータにおいて一般に見られる種々のコンポーネントを含むことができる。図1の例示の実施形態において、アクセス制御サーバ162は、プロセッサ164、メモリ166、データ記憶装置170及び通信回路172を含む。メモリ166は、アクセス制御サーバ162により使用される1又は複数の暗号鍵を記憶して、アクセス制御サーバ162と計算装置102及び/又はモバイル装置132との間のデータ及び/又は通信を安全にすることができる。いくつかの実施形態において、メモリ166は、ワンタイムパスワード(OTP)を記憶することができ、上記ワンタイムパスワードを活用して分散型ログオンサービスのオフライン計算装置102への拡大を容易にすることができる。
次に図2を参照して、分散型ログオンサービスをオフライン計算装置102に拡張する方法200の例示の実施形態を示す。動作において、計算装置102は、計算装置102へのアクセスを要求するユーザに呼応して承認要求パケットを生成する。こうした実施形態において、ユーザは、計算装置102の1又は複数のコンポーネントへのアクセスを要求することができ、あるいはユーザは、計算装置102上で実行中の1又は複数の機能又はプログラムへのアクセスを要求することができる。承認要求パケットを生成するために、計算装置102は、計算装置102により生成されるワンタイムパスワード(OTP)と、計算装置102により生成されるノンスと、計算装置102の一意的識別子とを、暗号鍵を用いて暗号化することができる。ノンスは、例えば反射攻撃を阻止するように、暗号法の機能で1回だけ使用されることを意図された乱数又は疑似乱数として具体化される。
いくつかの実施形態において、計算装置102は、データ送信202において、生成された承認要求パケットをモバイル装置132と共有する。こうした実施形態において、計算装置102は、バーコード及び/又は1若しくは複数のNFCデータ交換を用いて、生成された承認要求パケットをモバイル装置132と共有することができる。
生成された承認要求パケットを受信すると、モバイル装置132は、計算装置102へのアクセスを要求しているユーザからのユーザクレデンシャルを取得することができる。いくつかの実施形態におけるユーザクレデンシャルは、計算装置102へのアクセスを要求しているユーザに対して一意的である。ユーザからユーザクレデンシャルを取得した後、モバイル装置132は、データ送信204において、ネットワーク180を通じてアクセス制御サーバ162に承認要求パケットとユーザクレデンシャルとを送信する。
アクセス制御サーバ162は、モバイル装置132から承認要求パケットとユーザクレデンシャルとを受信すると、暗号鍵を用いて承認要求パケットを解読して、OTP、ノンス、及び計算装置102の一意的識別子を取得する。承認要求パケットを解読するために使用される暗号鍵は、承認要求パケットを暗号化するために使用された暗号鍵に対応することを、理解されたい。アクセス制御サーバ162は、いくつかの実施形態において、OTPと計算装置102の一意的識別子とを検証する。さらに、又は別法として、いくつかの実施形態において、アクセス制御サーバ162は、モバイル装置132により取得されたユーザクレデンシャルを検証する。
OTP、計算装置102の一意的識別子、及びモバイル装置132により取得されたユーザクレデンシャルを検証したことに呼応して、アクセス制御サーバ162は、暗号鍵を用いてノンスを再暗号化して、承認応答パケットを生成する。ノンスを再暗号化するために使用される暗号鍵は、OTP、ノンス、及び計算装置102の一意的識別子を暗号化するために使用された暗号鍵と対応する鍵又は異なる鍵であってよいことを、理解されたい。ノンスを再暗号化した後、アクセス制御サーバ162は、データ送信206において、生成された承認応答パケットを、ネットワーク180を通じてモバイル装置132に送信する。
生成された承認応答パケットを受信すると、モバイル装置132は、データ送信208において、生成された承認応答パケットを計算装置102と共有する。こうした実施形態において、モバイル装置132は、バーコード及び/又は1若しくは複数のNFCデータ交換を用いて、生成された承認応答パケットを計算装置102と共有する。モバイル装置132が承認応答パケットを計算装置102と共有するために使用するバーコード及び/又は1若しくは複数のNFCデータ交換は、計算装置102が承認要求パケットをモバイル装置132と共有するために使用するバーコード及び/又は1若しくは複数のNFCデータ交換とは異なることを、理解されたい。
計算装置102は、承認応答パケットを受信すると、承認応答パケットを解読して、アクセス制御サーバ162により再暗号化されたものであるノンスを取得する。承認応答パケットを解読するために使用される暗号鍵は、承認応答パケットを暗号化するために使用された暗号鍵に対応することを、理解されたい。計算装置102は、いくつかの実施形態において、アクセス制御サーバ162により再暗号化されたノンスが、計算装置102により当初生成されたノンスと同一であることを、確認する。これ以降、計算装置102は、ノンスの確認に基づいて、計算装置102へのアクセスを許可するか、それとも拒否するかを決定することができる。
上記で論じられたとおり、いくつかの実施形態において、計算装置102は、現金自動預け払い機(ATM)102として具体化することができる。こうした実施形態において、ATM102は、ATM102の1又は複数のコンポーネント又は機能へのアクセスを要求するユーザに呼応して、承認要求パケットを生成することができる。こうするために、ATM102は最初に、例えば1又は複数の暗号法アルゴリズムを用いて、OTPとノンスとを生成することができる。次いでATM102は、OTP、ノンス、及びATM102の一意的識別子を暗号化して承認要求パケットを生成する。
ATM102がネットワーク180に対して限定されたアクセスを有するか、又はアクセスをまったく有さないところの実施形態において、上記ATMは、モバイル装置132をプロキシとして使用してアクセス制御サーバ162に承認要求パケットを送信する。こうした実施形態において、ATM102は、承認要求パケットをNFCタグ又はバーコードに符号化し、又はその他の方法で変換することができ、それから、上記NFCタグ又はバーコードをモバイル装置132が読み取り、又は取り込むことができる。ATM102により提供されるNFCタグ又はバーコードから承認要求パケットを受信すると、モバイル装置132は、上記パケットをユーザクレデンシャルとともに、ネットワーク180を通じてアクセス制御サーバ162に転送する。
次いで、アクセス制御サーバ162は、承認要求パケットを解読し、承認要求パケット内に含まれる情報を検証することができる。上記情報(すなわち、OTP、ノンス、及びATM102の一意的識別子)が検証された場合、アクセス制御サーバ162は、ノンスを再暗号化してATM102への送信のための承認応答パケットを生成する。
上記で論じられたとおり、ATM102は、いくつかの実施形態において、ネットワーク180に対して限定されたアクセスを有するか、又はアクセスをまったく有さない。前述と同様に、モバイル装置132は、アクセス制御サーバ162とATM102との間のプロキシとして使用することができる。こうした実施形態において、アクセス制御サーバ162は、ネットワーク180を通じてモバイル装置132に承認応答パケットを送信する。モバイル装置132は、承認応答パケットをNFCタグ又はバーコードに符号化し、又はその他の方法で変換することができ、次いで、上記NFCタグ又はバーコードをATM102が読み取り、又は取り込むことができる。
ATM102は、こうした実施形態において、承認応答パケットを解読して、アクセス制御サーバ162により再暗号化されたノンスを取得する。1又は複数の要求されたコンポーネント又は機能へのアクセスが許可されるべきかどうかを決定するために、ATM102は、承認応答パケットから取得されたノンスとATM102が当初生成したノンスとを比較することができる。こうした実施形態において、ATM102は、ノンスが一致した場合に、ユーザが1又は複数の要求されたコンポーネント又は機能にアクセスすることを可能にすることができる。
次に図3を参照し、利用において、オフライン計算装置102は、分散型ログオンサービスを計算装置102に拡大する方法300を実行することができる。方法300は、ブロック302から始まり、ブロック302において、計算装置102は、ユーザが計算装置102へのアクセスを要求しているかどうかを決定する。上記で論じられたとおり、ユーザは、計算装置102の1又は複数のコンポーネントに対して、あるいは計算装置102上で実行中の1又は複数の機能又はプログラムに対して、アクセスを要求することができる。ユーザが計算装置102へのアクセスを要求していることの決定に呼応して、方法300はブロック304に進む。
ブロック304において、計算装置102は、上記で論じられたとおり、ワンタイムパスワード(OTP)を生成する。こうするために、いくつかの実施形態における計算装置102のセキュリティエンジン(SE)112は、適切な暗号法アルゴリズムを使用して、計算装置102に提供されるシードに応じてOTPを生成することができる。さらに、OTPが悪意のある第三者に取得されることを防ぐために、SE112は、OTP、アルゴリズム、シード、及び/又は任意の他の関連するデータを、計算装置102のセキュアメモリ114に記憶することができる。説明された実施形態においてOTPを生成するためにSE112によって使用されたアルゴリズムは1つだけであるが、他の実施形態においてSE112によって1より多くのアルゴリズムが使用されてよいことを、理解されたい。
さらに、ブロック304において、計算装置102は、ノンスを生成することができる。ノンスは、乱数又は疑似乱数として具体化することができる。計算装置102は、適切な暗号法アルゴリズムを使用して、計算装置102に提供されるシードに応じてノンスを生成することができる。例示の実施形態において、ノンスを生成するために使用されるアルゴリズム及びシードは、OTPを生成するために使用されるアルゴリズム及びシードとは異なる。さらに、例示の実施形態において、生成された各ノンスは計算装置102によって1回使用されることを、理解されたい。
計算装置102はさらに、一意的識別子に関連付けられることができる。一意的識別子は、1又は複数の他の計算装置から計算装置102を一意的に識別する数字、文字の英数字列、単語、又は任意の他の適切なマーク付けとして具体化することができる。例えば、いくつかの実施形態において、一意的識別子は、計算装置102に関連付けられた一意的シリアル番号を含む。こうした実施形態において、アクセス制御サーバ162のデータ記憶装置170は、一意的シリアル番号の、計算装置へのマッピングを記憶することができる。
図3への参照に戻り、ブロック306において、計算装置102は、OTP、ノンス、及び一意的識別子を、セキュアメモリ114から読み出された暗号鍵116を用いて暗号化して、承認要求パケットを生成することができる。さらに、又は別法として、計算装置102は、OTP、ノンス、及び一意的識別子を、計算装置102のメモリ166及び/又はデータ記憶装置118に記憶された1又は複数の暗号鍵を用いて暗号化することができる(上記暗号鍵は、暗号化された状態でこうした装置に記憶することができる)。計算装置102は、任意の適切な暗号化手法を使用してOTP、ノンス及び一意的識別子を暗号化することができることを、理解されたい。例えば、計算装置102は、1又は複数の対称鍵アルゴリズム(すなわち、共有鍵)、非対称鍵アルゴリズム(すなわち、公開/秘密鍵ペア)、又は任意の他の適切な暗号化メカニズムを使用して、OTP、ノンス、及び一意的識別子を暗号化し、承認要求パケットを生成することができる。OTP、ノンス、及び計算装置102の一意的識別子を暗号化して承認要求パケットを生成した後、方法300はブロック308に進む。
ブロック308において、計算装置102は、生成された承認要求パケットを承認のためのアクセス制御サーバ162に送信する。こうした実施形態において、計算装置102は、生成された承認要求パケットをモバイル装置132と最初に共有することによって、モバイル装置132をプロキシとして使用する。こうするために、計算装置102は、ブロック310において、承認要求パケットを含むNFCタグ又はバーコードを生成することができる。こうした実施形態において、計算装置102は、承認要求パケットをNFCタグ又はバーコードに符号化し、又はその他の方法で変換することができる。計算装置102により生成されるNFCタグは、計算装置102上の物理的NFCタグ又は「ソフト」NFCタグのいずれかとして具体化することができることを、理解されたい。さらに、計算装置102は、モバイル装置132による取り込みに適した任意のバーコード形式で承認要求パケットを符号化することができる。例えば、計算装置102は、承認要求パケットを、クイックレスポンス(QR)コード(QRコード(登録商標))などの2Dバーコード、又は任意の他の適切なバーコード形式として符号化することができる。モバイル装置132は、計算装置102から承認要求パケットを取り込み、又はその他の方法で受信し、承認のためのアクセス制御サーバ162に承認要求パケットを再送信することができる。
ブロック312において、計算装置102は、承認応答パケットをアクセス制御サーバ162から受信しているかどうかを決定する。いくつかの実施形態において、承認応答パケットは、計算装置102により生成され、しかし後にアクセス制御サーバ162により再暗号化されたノンスを含む。さらに、上記で論じられたとおり、アクセス制御サーバ162は、承認応答パケットの送信のためのプロキシとしてモバイル装置132を使用する。こうするために、計算装置102は、カメラ120及び/又はNFC回路124を使用して、モバイル装置132により生成されたバーコード又はNFCタグから承認応答パケットを取り込み、及び/又は受信することができる。モバイル装置132をプロキシとして用いて承認パケットをアクセス制御サーバ162から受信していることを決定すると、方法300はブロック314に進む。
ブロック314において、計算装置102は、承認応答パケットを解読してノンスを取得する。こうするために、計算装置102は、セキュアメモリ114から読み出された暗号鍵116又は対応する暗号鍵を使用する。さらに、又は別法として、計算装置102は、計算装置102のメモリ108及び/又はデータ記憶装置118に記憶された1又は複数の暗号鍵を用いて承認応答パケットを解読することができる。計算装置102は、任意の適切な解読手法を使用して承認応答パケットを解読し、ノンスを取得することができることを、理解されたい。例えば、計算装置102は、1又は複数の対称鍵アルゴリズム(すなわち、共有鍵)、非対称鍵アルゴリズム(すなわち、公開/秘密鍵ペア)、又は任意の他の適切な暗号化メカニズムを使用して承認応答パケットを解読し、ノンスを取得することができる。承認応答パケットを解読し、ノンスを取得した後、方法300は、ブロック316に進む。
ブロック316において、計算装置102は、解読された承認応答パケットから取得されたノンスが、計算装置102により当初生成されたノンスと一致するかどうかを決定することができる。いくつかの実施形態において、当初生成されたノンスは、セキュアメモリ114、メモリ108又はデータ記憶装置118から読み出すことができる。ブロック316において、計算装置102が、解読された承認応答パケットから取得されたノンスが計算装置102により当初生成されたノンスと一致することを決定した場合、方法300はブロック320に進み、ブロック320において、計算装置102へのアクセスが許可される。しかしながら、ブロック316において、計算装置102が、解読された承認応答パケットから取得されたノンスが計算装置102により当初生成されたノンスと一致しないことを決定した場合、方法300はブロック318に進み、ブロック318において、計算装置102へのアクセスは拒否される。
上記で論じられたとおり、モバイル装置132は、計算装置102によってプロキシとして使用される。こうするために、図4に示すとおり、モバイル装置132は、分散型ログオンサービスをオフライン計算装置102に拡大する方法400を実行することができる。方法400は、ブロック402から始まり、ブロック402において、モバイル装置132は、ユーザが計算装置102にアクセスしようと試行しているかどうかを決定する。こうした実施形態において、モバイル装置132は、アクセスのための要求を示す、周辺装置156のうち1又は複数からの入力データを受領することに基づいて、ユーザが計算装置102にアクセスしようと試行していることを、決定することができる。例えば、モバイル装置132は、ユーザが、モバイル装置の1又は複数のキーを押下している、モバイル装置132上で実行するための1又は複数のアプリケーションを起動している、かつ/あるいは計算装置102にアクセスするためのユーザの願望を示す任意の他の動作を実行していることを、決定することができる。ブロック402において、ユーザが計算装置102にアクセスしようと試行していることをモバイル装置132が決定した場合、方法400はブロック404に進む。
ブロック404において、モバイル装置132は、認証要求パケットを計算装置102から受信しているかどうかを決定する。上記で論じられたとおり、計算装置102は、ユーザが計算装置102の1又は複数のコンポーネント、機能及び/又はプログラムにアクセスしようと試行していることの決定に呼応して、認証要求パケットを生成することができる。モバイル装置132は、カメラ150及び/又はNFC回路152を使用して、計算装置102により生成されたバーコード又はNFCタグから認証要求パケットを取り込み、及び/又は受信することができる。承認要求パケットを受信していることを決定した後、方法400はブロック406に進む。
ブロック406において、モバイル装置132は、計算装置102へのアクセスを要求しているユーザからユーザクレデンシャルを取得する。例えば、モバイル装置132は、いくつかの実施形態において、ユーザのユーザ名とパスワードとを取得することができる。さらに、又は別法として、他の実施形態において、モバイル装置132は、ユーザから個人識別番号(PIN)を取得することができる。ユーザクレデンシャルは、モバイル装置132の周辺装置156(すなわち、キーパッド、タッチスクリーン、音声認識コンポーネントなど)のうち1又は複数を介してユーザから取得することができる。ブロック408において、モバイル装置132はさらに、いくつかの実施形態においてさらなるセキュリティデータを生成してユーザのアクセス要求に関連付けることができる。例えば、モバイル装置132は、モバイル装置132の位置情報(location)(すなわち、緯度及び経度、市、州、国など)を生成することができる。こうした実施形態において、モバイル装置132の周辺装置156はさらに、モバイル装置132の位置情報を決定するための位置情報回路(すなわち、全地球測位システム(GPS)回路、RF三角測量回路など)を含むことができる。さらに、又は別法として、モバイル装置132は、ユーザが計算装置102へのアクセスを要求した日付及び/又は時刻を生成することができる。
ブロック410において、ユーザクレデンシャルと任意の他のセキュリティデータとを取得した後、モバイル装置132は、計算装置102から受信された承認要求パケットをユーザクレデンシャル及びセキュリティデータとともにアクセス制御サーバ162に送信する。こうした実施形態において、モバイル装置132は、承認要求パケット、ユーザクレデンシャル、及び任意のセキュリティデータを、ネットワーク180を通じてアクセス制御サーバ162に送信する。方法400はブロック412に進む。
ブロック412において、モバイル装置132は、承認応答パケットをネットワーク180を通じてアクセス制御サーバから受信しているかどうかを決定する。モバイル装置132が、承認応答パケットをアクセス制御サーバ162から受信していることを決定した場合、方法400はブロック414に進む。
ブロック414において、モバイル装置132は、承認応答パケットを含むNFCタグ又はバーコードを生成することができる。こうした実施形態において、モバイル装置132は、承認応答パケットをNFCタグ又はバーコードに符号化し、又はその他の方法で変換することができる。モバイル装置132により生成されるNFCタグは計算装置102上の物理的NFCタグ又は「ソフト」NFCタグのいずれかとして具体化することができることを、理解されたい。さらに、モバイル装置132は、計算装置102による取り込みに適した任意のバーコード形式で承認応答パケットを符号化することができる。例えば、モバイル装置132は、承認応答パケットを、クイックレスポンス(QR)コードなどの2Dバーコード、又は任意の他の適切なバーコード形式として符号化することができる。計算装置102は、モバイル装置132から承認応答パケットを取り込み、又はその他の方法で受信することができる。
次に図5を参照し、利用において、アクセス制御サーバ162は、分散型ログオンサービスをオフライン計算装置102に拡大する方法500を実行することができる。方法500は、ブロック502から始まり、ブロック502において、アクセス制御サーバ162は、承認要求パケットを計算装置102から受信しているかどうかを決定する。いくつかの実施形態において、承認要求パケットは、計算装置102により生成されたOTPと、計算装置102により生成されたノンスと、計算装置102の一意的識別子とを含む。上記で論じられたとおり、計算装置102は、承認要求パケットの送信のためのプロキシとしてモバイル装置132を使用して、アクセス制御サーバ162にアクセスする。したがって、アクセス制御サーバ162は、モバイル装置132がネットワーク180を通じて承認要求パケットを再送信したかどうかを決定することができる。モバイル装置132をプロキシとして用いて承認要求パケットを計算装置102から受信していることを決定すると、方法500はブロック504に進む。
ブロック504において、アクセス制御サーバ162は、暗号鍵を用いて認証要求パケットを解読して、OTP、ノンス、及び計算装置102の一意的識別子を取得する。承認要求パケットを解読するために使用される暗号鍵は、承認要求パケットを暗号化するために使用された暗号鍵に対応することを、理解されたい。方法500は次いでブロック506に進む。
ブロック506において、アクセス制御サーバ162は、ユーザが計算装置102へのアクセスを提供されるべきかどうかを決定する。こうするために、アクセス制御サーバ162は、承認要求パケットから取得されたOTPと計算装置102の一意的識別子とを検証する。いくつかの実施形態において、アクセス制御サーバ162は、セキュリティエンジン(SE)又は他のセキュアな実行環境を含むことができる。こうした実施形態のSE又は他のセキュアな実行環境は、同一の又は対応する暗号法アルゴリズム及びシードを使用して、計算装置102により生成されたOTPに対応する、アクセス制御サーバ162上のOTPを生成することができる。したがって、プラットフォーム識別子を用いて、アクセス制御サーバ162は、認証要求パケットから取得されたOTPがアクセス制御サーバ162上で生成されたOTPに一致するかどうかを決定することができる。いくつかの実施形態において、アクセス制御サーバ162は、承認要求パケットから取得されたOTPがアクセス制御サーバ162により生成されたOTPに一致しない場合、ユーザは計算装置102にアクセスすることを許可されるべきでないと決定することができる。しかしながら、承認要求パケットから取得されたOTPがアクセス制御サーバ162により生成されたOTPに一致する場合、アクセス制御サーバ162は、ユーザが計算装置102へのアクセスを提供されるべきであると決定することができる。
さらに、上記で論じられたとおり、モバイル装置132は、承認要求パケットを、ユーザから取得されたユーザクレデンシャルとともに送信することができる。したがって、アクセス制御サーバ162はさらに、ユーザが計算装置102にアクセスすることを承認されていることを、検証することができる。動作において、アクセス制御サーバ162は、上記ユーザクレデンシャルと、データ記憶装置170に記憶された1又は複数の対応するユーザクレデンシャルとを比較することができる。例えば、アクセス制御サーバ162は、ユーザにより入力され、その後にアクセス制御サーバ162により受信されるユーザ名及びパスワードと、データ記憶装置170に記憶された対応するユーザ名及びパスワードとを比較することができる。いくつかの実施形態において、アクセス制御サーバ162は、モバイル装置132により取得されたユーザクレデンシャルがアクセス制御サーバ162のデータ記憶装置170に記憶されたユーザクレデンシャルに一致しない場合、ユーザは計算装置102にアクセスすることを許可されるべきでないと決定することができる。他の実施形態において、アクセス制御サーバ162は、モバイル装置132により取得されたユーザクレデンシャルがアクセス制御サーバ162のデータ記憶装置170に記憶されたユーザクレデンシャルに一致する場合、ユーザは計算装置102にアクセスすることを許可されるべきであると決定することができる。
さらに、又は別法として、先に論じられたとおり、モバイル装置132はさらに、アクセス要求に関連付けられたさらなるセキュリティデータをアクセス制御サーバ162に送信することができる。動作において、アクセス制御サーバ162は、さらなるセキュリティデータが計算装置102の管理者により設定された1又は複数のアクセスセキュリティポリシーに準拠するかどうかを決定することができる。例えば、アクセス制御サーバ162は、特定のユーザが、1日のうち特定の時間に、特定の場所から、計算装置102の基準の近さ(reference proximity)の範囲内で、又は計算装置102の使用法に対応する任意の他のアクセスセキュリティポリシーに基づいて、計算装置102にアクセスすることを許可されるかどうかを決定することができる。
ブロック506への参照に戻り、アクセス制御サーバ162が、ユーザは計算装置102にアクセスすることを許可されるべきでないと決定した場合、方法500はブロック502にループバックする。しかしながら、アクセス制御サーバ162が、ユーザは計算装置102にアクセスすることを許可されるべきであると決定した場合、方法500はブロック508に進む。
ブロック508において、アクセス制御サーバ162は、ユーザが計算装置102にアクセスすることを承認されたことの決定に呼応して、計算装置102により生成されたノンスを再暗号化する。動作において、アクセス制御サーバ162は、暗号鍵を用いてノンスを再暗号化して承認応答パケットを生成する。ノンスを再暗号化するために使用される暗号鍵は、OTP、ノンス、及び計算装置102の一意的識別子を暗号化するために使用された暗号鍵と対応する鍵又は異なる鍵であってよいことを、理解されたい。方法500は次いでブロック510に進む。
ブロック510において、ノンスを再暗号化した後、アクセス制御サーバ162は、生成された承認応答パケットを計算装置102に送信する。上記で論じられたとおり、アクセス制御サーバ162は、モバイル装置132をプロキシとして用いて、承認応答パケットを計算装置102に送信する。こうするために、アクセス制御サーバ162は、ネットワーク180を通じてモバイル装置132に承認応答パケットを送信する。これ以降、モバイル装置132は、バーコード及び/又は1若しくは複数のNFCデータ交換を用いて、生成された承認応答パケットを計算装置102と共有する。
本開示を、図面と前述の説明とにおいて詳細に図示及び説明してきたが、こうした図示及び説明は、文字どおり、限定的ではなく例示的と見なされるべきものである。ほんの例示の実施形態が図示及び説明されており、本開示と列挙される請求項とに調和するすべての変更及び調整が保護されるべきものであることを、理解されたい。
Claims (20)
- 計算装置であって、
ワンタイムパスワード(OTP)及びノンスを生成するセキュリティエンジン(SE)と、
プロセッサと、
複数の命令を含む少なくとも1つの機械読取可能な記憶媒体であり、前記複数の命令は、前記プロセッサによる実行に呼応して、前記プロセッサに、
前記OTP、前記ノンス、及び当該計算装置の一意的識別子を暗号化して承認要求パケットを生成するステップと、
前記承認要求パケットをモバイル装置と共有するステップと、
前記モバイル装置により転送された承認応答パケットを受信するステップであり、前記承認応答パケットはアクセス制御サーバにより再暗号化されたノンスを含む、ステップと、
前記アクセス制御サーバにより暗号化された前記承認応答パケットを解読するステップと、
前記承認応答パケットに応じて当該計算装置へのアクセスを許可するか、それとも拒否するかを決定するステップと、
を実行させる、機械読取可能な記憶媒体と、
を含む計算装置。 - 前記承認要求パケットをモバイル装置と共有するステップは、前記承認要求パケットを符号化してクイックレスポンス(QR)コードを生成するステップを含む、請求項1に記載の計算装置。
- 前記承認要求パケットをモバイル装置と共有するステップは、前記モバイル装置による取り込みのため、当該計算装置上に前記QRコードを表示するステップを含む、請求項2に記載の計算装置。
- 前記承認要求パケットをモバイル装置と共有するステップは、前記承認要求パケットを符号化して当該計算装置上で近距離無線通信(NFC)タグを生成するステップであり、前記承認要求パケットは前記NFCタグ内に記憶される、ステップを含む、請求項1に記載の計算装置。
- 前記承認要求パケットをモバイル装置と共有するステップは、前記モバイル装置のNFC回路による当該計算装置の前記NFCタグへのタッチに呼応して前記NFCタグ内に記憶された前記承認要求パケットを送信するステップを含む、請求項4に記載の計算装置。
- 当該計算装置へのアクセスを許可するか、それとも拒否するかを決定するステップは、前記アクセス制御サーバにより再暗号化されたノンスが当該計算装置により生成されたノンスに一致するかどうかを決定するステップを含む、請求項1乃至5のうちいずれか1項に記載の計算装置。
- 当該計算装置へのアクセスは、(i)前記アクセス制御サーバにより再暗号化されたノンスが当該計算装置により生成されたノンスに一致するとの決定に呼応して許可される、又は(ii)前記アクセス制御サーバにより再暗号化されたノンスが当該計算装置により生成されたノンスに一致しないとの決定に呼応して拒否される、のうち少なくとも1つである、請求項6に記載の計算装置。
- 機械読取可能な記憶媒体に記憶され、計算装置に方法を実行させるコンピュータプログラムであって、前記方法は、
ワンタイムパスワード(OTP)及びノンスを生成するステップと、
前記OTP、前記ノンス、及び前記計算装置の一意的識別子を暗号化して承認要求パケットを生成するステップと、
前記承認要求パケットをモバイル装置と共有するステップと、
前記モバイル装置により転送された承認応答パケットを受信するステップであり、前記承認応答パケットはアクセス制御サーバにより再暗号化されたノンスを含む、ステップと、
前記アクセス制御サーバにより暗号化された前記承認応答パケットを解読するステップと、
前記承認応答パケットに応じて前記計算装置へのアクセスを許可するか、それとも拒否するかを決定するステップと、
を有する、コンピュータプログラム。 - 前記承認要求パケットをモバイル装置と共有するステップは、前記承認要求パケットを符号化してクイックレスポンス(QR)コードを生成するステップを含む、請求項8に記載のコンピュータプログラム。
- 前記承認要求パケットをモバイル装置と共有するステップは、前記モバイル装置による取り込みのため、前記計算装置上に前記QRコードを表示するステップを含む、請求項9に記載のコンピュータプログラム。
- 前記承認要求パケットをモバイル装置と共有するステップは、前記承認要求パケットを符号化して前記計算装置上で近距離無線通信(NFC)タグを生成するステップであり、前記承認要求パケットは前記NFCタグ内に記憶される、ステップを含む、請求項8に記載のコンピュータプログラム。
- 前記承認要求パケットをモバイル装置と共有するステップは、前記モバイル装置のNFC回路による前記計算装置の前記NFCタグへのタッチに呼応して前記NFCタグ内に記憶された前記承認要求パケットを送信するステップを含む、請求項11に記載のコンピュータプログラム。
- 前記計算装置へのアクセスを許可するか、それとも拒否するかを決定するステップは、前記アクセス制御サーバにより再暗号化されたノンスが前記計算装置により生成されたノンスに一致するかどうかを決定するステップを含む、請求項8乃至12のうちいずれか1項に記載のコンピュータプログラム。
- 前記計算装置へのアクセスは、(i)前記アクセス制御サーバにより再暗号化されたノンスが前記計算装置により生成されたノンスに一致するとの決定に呼応して許可される、又は(ii)前記アクセス制御サーバにより再暗号化されたノンスが前記計算装置により生成されたノンスに一致しないとの決定に呼応して拒否される、のうち少なくとも1つである、請求項13に記載のコンピュータプログラム。
- ワンタイムパスワード(OTP)及びノンスを生成するステップは、前記計算装置のセキュリティエンジン(SE)の中で前記OTPを生成するステップを含む、請求項8乃至12のうちいずれか1項に記載のコンピュータプログラム。
- 前記方法は、前記計算装置のセキュリティエンジン(SE)を用いて、前記計算装置のセキュアメモリストアから前記計算装置の暗号鍵と前記アクセス制御サーバの暗号鍵とを読み出すステップをさらに有し、前記セキュアメモリストアは、前記SEにとってアクセス可能であり、前記計算装置の他のコンポーネントにとってアクセス不可能である、請求項8乃至12のうちいずれか1項に記載のコンピュータプログラム。
- 計算装置のセキュリティエンジン(SE)において、ワンタイムパスワード(OTP)及びノンスを生成するステップと、
前記計算装置上で、前記計算装置の暗号鍵を用いて前記OTP、前記ノンス、及び一意的識別子を暗号化して承認要求パケットを生成するステップであり、前記計算装置の前記暗号鍵は前記計算装置のセキュアメモリに記憶され、前記計算装置の前記セキュアメモリは、前記SEにとってアクセス可能であり、前記計算装置の他のコンポーネントにとってアクセス不可能である、ステップと、
前記計算装置上で、前記承認要求パケットをモバイル装置と共有するステップと、
前記計算装置上で、前記モバイル装置により転送された承認応答パケットを受信するステップであり、前記承認応答パケットはアクセス制御サーバの暗号鍵で再暗号化されたノンスを含む、ステップと、
前記計算装置上で、前記アクセス制御サーバの前記暗号鍵を用いて前記承認応答パケットを解読して前記アクセス制御サーバにより再暗号化されたノンスを取得するステップであり、前記アクセス制御サーバの前記暗号鍵は前記セキュアメモリに記憶される、ステップと、
前記計算装置上で、前記アクセス制御サーバにより再暗号化されたノンスが前記計算装置により当初生成されたノンスに一致するかどうかを決定することに応じて前記計算装置へのアクセスを許可するか、それとも拒否するかを決定するステップと、
を含む方法。 - 前記承認要求パケットをモバイル装置と共有するステップは、前記承認要求パケットを記憶したクイックレスポンス(QR)コード又は近距離無線通信(NFC)タグのうち少なくとも1つを生成するステップを含む、請求項17に記載の方法。
- 前記モバイル装置により転送された承認応答パケットを受信するステップは、前記モバイル装置により生成及び表示されたクイックレスポンス(QR)コードを取り込むステップであり、前記QRコードは前記QRコードの中に符号化された前記承認応答パケットを含む、ステップを含む、請求項17又は請求項18に記載の方法。
- 前記モバイル装置により転送された承認応答パケットを受信するステップは、前記モバイル装置により生成された近距離無線通信(NFC)タグから、前記計算装置のNFC回路が前記モバイル装置により生成された前記NFCタグにタッチすることに呼応して、前記承認応答パケットを受信するステップを含む、請求項17又は請求項18に記載の方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2011/067399 WO2013100905A1 (en) | 2011-12-27 | 2011-12-27 | Method and system for distributed off-line logon using one-time passwords |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015506153A JP2015506153A (ja) | 2015-02-26 |
| JP5852265B2 true JP5852265B2 (ja) | 2016-02-03 |
Family
ID=48698149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014547175A Expired - Fee Related JP5852265B2 (ja) | 2011-12-27 | 2011-12-27 | 計算装置、コンピュータプログラム及びアクセス許否判定方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9118662B2 (ja) |
| EP (1) | EP2798777B1 (ja) |
| JP (1) | JP5852265B2 (ja) |
| KR (1) | KR101641809B1 (ja) |
| CN (1) | CN104160652B (ja) |
| WO (1) | WO2013100905A1 (ja) |
Families Citing this family (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5852265B2 (ja) | 2011-12-27 | 2016-02-03 | インテル コーポレイション | 計算装置、コンピュータプログラム及びアクセス許否判定方法 |
| US10148629B1 (en) * | 2013-09-23 | 2018-12-04 | Amazon Technologies, Inc. | User-friendly multifactor authentication |
| US10181122B2 (en) | 2013-10-31 | 2019-01-15 | Cellco Partnership | Mobile authentication for web payments using single sign on credentials |
| US10135805B2 (en) * | 2013-10-31 | 2018-11-20 | Cellco Partnership | Connected authentication device using mobile single sign on credentials |
| US9614815B2 (en) * | 2013-12-30 | 2017-04-04 | Vasco Data Security, Inc. | Authentication apparatus with a bluetooth interface |
| US9319401B2 (en) * | 2014-01-27 | 2016-04-19 | Bank Of America Corporation | System and method for cross-channel authentication |
| KR20160102263A (ko) * | 2014-02-06 | 2016-08-29 | 아플릭스 아이피 홀딩스 가부시키가이샤 | 통신 시스템 |
| JP6170844B2 (ja) * | 2014-02-14 | 2017-07-26 | 株式会社Nttドコモ | 認証情報管理システム |
| US9721248B2 (en) * | 2014-03-04 | 2017-08-01 | Bank Of America Corporation | ATM token cash withdrawal |
| JP5960181B2 (ja) * | 2014-03-13 | 2016-08-02 | キーパスコ アーベーKeypasco AB | ユーザ位置情報を利用したユーザ識別情報を安全に検証するためのネットワーク認証方法 |
| JP6162071B2 (ja) | 2014-04-11 | 2017-07-12 | 株式会社Nttドコモ | 施錠制御装置、施錠制御システム及び施錠制御方法 |
| CN105337642B (zh) * | 2014-06-17 | 2018-08-24 | 阿里巴巴集团控股有限公司 | 一种离线终端访问网络数据的方法及系统 |
| EP2961200A1 (en) * | 2014-06-23 | 2015-12-30 | Nxp B.V. | Near Field Communication System |
| US10154409B2 (en) * | 2014-07-17 | 2018-12-11 | Cirrent, Inc. | Binding an authenticated user with a wireless device |
| US10356651B2 (en) | 2014-07-17 | 2019-07-16 | Cirrent, Inc. | Controlled connection of a wireless device to a network |
| US10834592B2 (en) | 2014-07-17 | 2020-11-10 | Cirrent, Inc. | Securing credential distribution |
| US9942756B2 (en) * | 2014-07-17 | 2018-04-10 | Cirrent, Inc. | Securing credential distribution |
| US10057240B2 (en) * | 2014-08-25 | 2018-08-21 | Sap Se | Single sign-on to web applications from mobile devices |
| US10419886B2 (en) * | 2014-09-25 | 2019-09-17 | Intel Corporation | Context-based management of wearable computing devices |
| US9870386B1 (en) | 2014-10-31 | 2018-01-16 | Amazon Technologies, Inc. | Reducing I/O operations for on-demand demand data page generation |
| CN104580175A (zh) * | 2014-12-26 | 2015-04-29 | 深圳市兰丁科技有限公司 | 一种设备授权方法和装置 |
| US10419223B2 (en) * | 2015-01-07 | 2019-09-17 | Cyph, Inc. | Method of using symmetric cryptography for both data encryption and sign-on authentication |
| US9954837B2 (en) | 2015-01-07 | 2018-04-24 | Cyph, Inc. | Method of multi-factor authenication during encrypted communications |
| US10298400B2 (en) * | 2015-02-06 | 2019-05-21 | eStorm Co., LTD | Authentication method and system |
| KR101652625B1 (ko) | 2015-02-11 | 2016-08-30 | 주식회사 이베이코리아 | 온라인 웹사이트의 회원 로그인을 위한 보안인증 시스템 및 그 방법 |
| CN107787568B (zh) | 2015-04-24 | 2021-09-07 | 7隧道公司 | 随机密码密码本密码学 |
| US9673979B1 (en) * | 2015-06-26 | 2017-06-06 | EMC IP Holding Company LLC | Hierarchical, deterministic, one-time login tokens |
| TWI567667B (zh) | 2016-01-21 | 2017-01-21 | 澧達科技股份有限公司 | 雲端投幣裝置 |
| US10601859B2 (en) | 2016-02-25 | 2020-03-24 | Trusona, Inc. | Anti-replay systems and methods |
| CN107154847B (zh) * | 2016-03-06 | 2022-04-12 | 北京火河科技有限公司 | 面向离线环境的密码生成方法、验证方法及其智能设备 |
| WO2018022993A1 (en) | 2016-07-29 | 2018-02-01 | Trusona, Inc. | Anti-replay authentication systems and methods |
| WO2018049234A1 (en) | 2016-09-09 | 2018-03-15 | Trusona, Inc. | Systems and methods for distribution of selected authentication information for a network of devices |
| JP7051859B2 (ja) | 2016-12-12 | 2022-04-11 | トゥルソナ,インコーポレイテッド | 光検出を用いたネットワーク対応アカウント作成のための方法及びシステム |
| US10382413B1 (en) | 2016-12-23 | 2019-08-13 | Cisco Technology, Inc. | Secure bootstrapping of client device with trusted server provided by untrusted cloud service |
| US10616186B2 (en) * | 2017-04-14 | 2020-04-07 | International Business Machines Corporation | Data tokenization |
| KR102007505B1 (ko) * | 2017-04-24 | 2019-08-05 | 한국스마트인증 주식회사 | 코드를 이용한 단말기간 데이터 통신 방법 |
| US10116635B1 (en) * | 2017-04-27 | 2018-10-30 | Otis Elevator Company | Mobile-based equipment service system using encrypted code offloading |
| US10455416B2 (en) * | 2017-05-26 | 2019-10-22 | Honeywell International Inc. | Systems and methods for providing a secured password and authentication mechanism for programming and updating software or firmware |
| EP3410410B1 (en) * | 2017-06-02 | 2021-01-20 | Deutsche Post AG | Locker system access control |
| WO2018236391A1 (en) * | 2017-06-23 | 2018-12-27 | Hewlett-Packard Development Company, L.P. | BIOMETRIC DATA SYNCHRONIZATION DEVICES |
| EP3441899A1 (de) * | 2017-08-10 | 2019-02-13 | Siemens Aktiengesellschaft | Verfahren, system und computerprogrammprodukt zum zugreifen auf eine geschützte einrichtung mit einer zugriffseinrichtung sowie geschützte einrichtung |
| CN108280369B (zh) * | 2018-03-05 | 2021-11-02 | 中国工商银行股份有限公司 | 云文档离线访问系统、智能终端及方法 |
| CN108762791B (zh) * | 2018-06-07 | 2022-09-16 | 深圳市元征科技股份有限公司 | 固件升级方法及装置 |
| EP3672308B1 (de) * | 2018-12-14 | 2021-08-25 | Deutsche Telekom AG | Authorization method and terminal for releasing or blocking resources |
| CN109858236A (zh) * | 2018-12-29 | 2019-06-07 | 北京奇安信科技有限公司 | 一种驱动加载监管方法及客户端 |
| CN109858201A (zh) * | 2018-12-29 | 2019-06-07 | 北京奇安信科技有限公司 | 一种安全软件模式切换授权方法、客户端及服务端 |
| US11233790B2 (en) * | 2019-02-22 | 2022-01-25 | Crowd Strike, Inc. | Network-based NT LAN manager (NTLM) relay attack detection and prevention |
| CN110516470A (zh) * | 2019-07-31 | 2019-11-29 | 中国移动通信集团黑龙江有限公司 | 访问控制方法、装置、设备及存储介质 |
| CN110719288A (zh) * | 2019-10-12 | 2020-01-21 | 深圳市道通科技股份有限公司 | 云端服务访问的方法、云端服务器及终端 |
| CN111147239B (zh) * | 2019-12-27 | 2022-02-11 | 郑州信大捷安信息技术股份有限公司 | 一种离线远程授权认证方法和系统 |
| US20220329577A1 (en) | 2021-04-13 | 2022-10-13 | Biosense Webster (Israel) Ltd. | Two-Factor Authentication to Authenticate Users in Unconnected Devices |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3207192B1 (ja) * | 2000-05-02 | 2001-09-10 | 株式会社 ジェネス | 認証方法および装置 |
| US7773754B2 (en) * | 2002-07-08 | 2010-08-10 | Broadcom Corporation | Key management system and method |
| US7716489B1 (en) | 2004-09-29 | 2010-05-11 | Rockwell Automation Technologies, Inc. | Access control method for disconnected automation systems |
| JP4486567B2 (ja) * | 2005-08-29 | 2010-06-23 | 日本電信電話株式会社 | 認証システム、認証方法および認証プログラム |
| US20070203850A1 (en) | 2006-02-15 | 2007-08-30 | Sapphire Mobile Systems, Inc. | Multifactor authentication system |
| NZ547903A (en) * | 2006-06-14 | 2008-03-28 | Fronde Anywhere Ltd | A method of generating an authentication token and a method of authenticating an online transaction |
| CN101127625B (zh) * | 2006-08-18 | 2013-11-06 | 华为技术有限公司 | 一种对访问请求授权的系统及方法 |
| JP4799496B2 (ja) * | 2007-07-11 | 2011-10-26 | 中国電力株式会社 | 個人認証方法 |
| DE602007012538D1 (de) * | 2007-07-27 | 2011-03-31 | Ntt Docomo Inc | Verfahren und Vorrichtung zur Durchführung delegierter Transaktionen |
| JP2009104509A (ja) * | 2007-10-25 | 2009-05-14 | Dainippon Printing Co Ltd | 端末認証システム、端末認証方法 |
| CN100488099C (zh) * | 2007-11-08 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | 一种双向接入认证方法 |
| US20110026716A1 (en) * | 2008-05-02 | 2011-02-03 | Weng Sing Tang | Method And System For On-Screen Authentication Using Secret Visual Message |
| US20100082490A1 (en) | 2008-09-30 | 2010-04-01 | Apple Inc. | Systems and methods for secure wireless transactions |
| US9665868B2 (en) * | 2010-05-10 | 2017-05-30 | Ca, Inc. | One-time use password systems and methods |
| CA2704864A1 (en) * | 2010-06-07 | 2010-08-16 | S. Bhinder Mundip | Method and system for controlling access to a monetary valued account |
| JP5852265B2 (ja) | 2011-12-27 | 2016-02-03 | インテル コーポレイション | 計算装置、コンピュータプログラム及びアクセス許否判定方法 |
-
2011
- 2011-12-27 JP JP2014547175A patent/JP5852265B2/ja not_active Expired - Fee Related
- 2011-12-27 WO PCT/US2011/067399 patent/WO2013100905A1/en active Application Filing
- 2011-12-27 CN CN201180075966.6A patent/CN104160652B/zh not_active Expired - Fee Related
- 2011-12-27 US US13/976,044 patent/US9118662B2/en active Active
- 2011-12-27 KR KR1020147017711A patent/KR101641809B1/ko not_active Application Discontinuation
- 2011-12-27 EP EP11878738.1A patent/EP2798777B1/en not_active Not-in-force
Also Published As
| Publication number | Publication date |
|---|---|
| US9118662B2 (en) | 2015-08-25 |
| CN104160652A (zh) | 2014-11-19 |
| KR101641809B1 (ko) | 2016-07-21 |
| US20140201517A1 (en) | 2014-07-17 |
| KR20140101823A (ko) | 2014-08-20 |
| JP2015506153A (ja) | 2015-02-26 |
| EP2798777A4 (en) | 2015-10-14 |
| EP2798777A1 (en) | 2014-11-05 |
| CN104160652B (zh) | 2017-06-13 |
| EP2798777B1 (en) | 2018-03-28 |
| WO2013100905A1 (en) | 2013-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5852265B2 (ja) | 計算装置、コンピュータプログラム及びアクセス許否判定方法 | |
| US11683187B2 (en) | User authentication with self-signed certificate and identity verification and migration | |
| CN110417750B (zh) | 基于区块链技术的文件读取和存储的方法、终端设备和存储介质 | |
| KR101712784B1 (ko) | 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법 | |
| US9252946B2 (en) | Method and system to securely migrate and provision virtual machine images and content | |
| KR101878149B1 (ko) | 패스워드의 보안 입력 및 처리 장치, 시스템 및 방법 | |
| TWI538462B (zh) | 用於管理文件之數位使用權的方法、非暫時性電腦可讀媒體及行動運算裝置 | |
| US20130067228A1 (en) | Method and device for securely sharing images across untrusted channels | |
| KR20150094548A (ko) | 원격 액세스, 원격 디지털 서명을 위한 방법 및 시스템 | |
| WO2013107362A1 (zh) | 一种保护数据的方法和系统 | |
| KR101690989B1 (ko) | Fido 인증모듈을 이용한 전자서명 방법 | |
| CN110445840B (zh) | 一种基于区块链技术的文件存储和读取的方法 | |
| JP6756056B2 (ja) | 身元検証による暗号チップ | |
| AU2015218632A1 (en) | Universal authenticator across web and mobile | |
| KR20240009957A (ko) | 보안 인터넷 통신을 위한 시스템 및 방법 | |
| KR20160050605A (ko) | 서비스 서버 및 그 동작 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150630 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150714 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151008 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151104 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151203 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5852265 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |