JP6144186B2 - 認証方法、認証システム、Webサーバ、利用者端末、認証プログラム及び記録媒体 - Google Patents

認証方法、認証システム、Webサーバ、利用者端末、認証プログラム及び記録媒体 Download PDF

Info

Publication number
JP6144186B2
JP6144186B2 JP2013254357A JP2013254357A JP6144186B2 JP 6144186 B2 JP6144186 B2 JP 6144186B2 JP 2013254357 A JP2013254357 A JP 2013254357A JP 2013254357 A JP2013254357 A JP 2013254357A JP 6144186 B2 JP6144186 B2 JP 6144186B2
Authority
JP
Japan
Prior art keywords
user terminal
web server
password
terminal
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013254357A
Other languages
English (en)
Other versions
JP2015114715A (ja
Inventor
公洋 山越
公洋 山越
田中 政志
政志 田中
泰典 和田
泰典 和田
鈴木 勝彦
勝彦 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013254357A priority Critical patent/JP6144186B2/ja
Publication of JP2015114715A publication Critical patent/JP2015114715A/ja
Application granted granted Critical
Publication of JP6144186B2 publication Critical patent/JP6144186B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、セッション鍵を用いて認証を行う、利用者の認証方法、認証システム、Webサーバ、利用者端末、認証プログラム及び記録媒体に関する。
従来、Web認証では、Basic認証やDigest認証が知られている(例えば、非特許文献1参照)。Basic認証では、まず利用者は端末からWebサーバにアクセスし、サーバ証明書を受信して署名検証を行う。問題なければ利用者端末は、暗号化通信用の鍵を生成し証明書の公開鍵で鍵共有を行い、Webサーバとの間でSSLセッションを張る。利用者は、初回登録時、Webサーバからのユーザ情報登録要求に対して利用者端末からID及びパスワードを入力し、それをWebサーバに送信することでユーザ登録を完了する。パスワードの代わりに、ハッシュ化又は暗号化したパスワードが照合データとしてWebサーバに登録されることもある。ユーザ登録後のユーザ認証では、まず利用者はユーザ登録時と同様の方法でSSLセッションを張る。次に、利用者は、WebサーバからのID及びパスワード要求に対して、ID及びパスワードを入力してWebサーバに送信する。Webサーバは、送信されたID及びパスワードと、ユーザ登録されていたID及びパスワードとを照合してユーザ認証の判定を行う。
一方Digest認証では、Basic認証と同様の方法でユーザ登録が行われる。ユーザ登録後のユーザ認証では、まず利用者はユーザ登録時と同様の方法でSSLセッションを張る。次に、利用者は、Webサーバから送信されたID及びパスワード要求と乱数であるnonceに対して、利用者端末に入力したID及びパスワードとnonceのハッシュ値をWebサーバに送信する。Webサーバは、利用者端末から受信したハッシュ値と、ユーザ登録されていたID及びパスワード及びnonceから計算した値とを比較しユーザ認証の判定を行う。
"HTTP Authentication: Basic and Digest Access Authentication"、Network Working Group、[Online]、[平成25年11月22日検索]、インターネット<http://www.ietf.org/rfc/rfc2617.txt>
しかしながら、Basic認証やDigest認証では、Webサーバの利用者のパスワードが一度漏洩してしまうと、それらがリスト化され悪意のある第三者間で使いまわされるおそれがある。その結果、利用者がなりすまされて損害を被ったり、サービス提供者が利用者の損害の保障を請求されるケースも発生する。万一パスワードが漏洩した場合に備え、利用者がWebサーバ毎に異なるパスワードを設定することが推奨されているが、利便性の観点から現実には実行が難しい。
また、Webサーバが外部からの侵入攻撃を受け、Webサーバに登録されたユーザ認証用照合データが盗取されるケースが起こりうる。従来のBasic認証及びDigest認証においては、サーバ上のユーザ認証用照合データはID及びパスワードのハッシュ値として保管されているため、一旦これらの情報が盗取されると第三者によるなりすましログインを防ぐことができずサービス提供者が損害を被る。
更に、利用者のサービス利用過程において、端末のブラウザがウィルスに感染しユーザ認証用の照合データが悪意ある第三者に盗取されると(man in the browser攻撃、MITB攻撃ともいう。)、第三者によるなりすましログインを防ぐことができず利用者が損害を被る。
本発明は、このような従来の課題を解決するためになされたものであり、その目的とするところは、ユーザが複数のWebサーバに対して同一のパスワードを設定していた場合であっても、パスワードリストなどを利用した悪意のある第三者によるなりすましログインを防ぐことができる認証方法、認証システム、Webサーバ、利用者端末、認証プログラム及び記録媒体を提供することにある。
上記課題を解決するため、本発明に係る認証方法は、第1の利用者端末と、当該第1の利用者端末とネットワークを通じて通信するWebサーバと、を備える認証システムにおける認証方法であって、前記第1の利用者端末が、前記第1の利用者端末のIDと、前記Webサーバへの登録時に当該Webサーバによって発行されたセッション鍵と、を当該第1の利用者端末の耐タンパ領域に記憶するステップと、前記第1の利用者端末が、前記Webサーバの要求に応じて、前記ID、前記セッション鍵、パスワード及び端末名から、定期的又は不定期的に値が変わる第1の照合情報を計算し前記Webサーバに送信するステップと、前記Webサーバが、前記第1の利用者端末の前記Webサーバへの登録時に登録された前記第1の利用者端末のID及びパスワード並びに当該登録時に発行されたセッション鍵を当該Webサーバの耐タンパ領域に記憶し、当該記憶された情報を用いて定期的又は不定期的に第2の照合情報を計算するステップと、前記Webサーバが、前記第1の利用者端末から受信した前記第1の照合情報と前記第2の照合情報とが一致するか検証するステップと、を含み、前記第1の照合情報及び前記第2の照合情報は、更に、更新された日時を用いて計算される照合データであり、前記第2の照合情報は、定期的又は不定期的に前記Webサーバによって更新される、ことを特徴とする。
また、上記課題を解決するため、本発明に係る認証システムは、第1の利用者端末と、当該第1の利用者端末とネットワークを通じて通信するWebサーバと、を備える認証システムであって、前記第1の利用者端末は、前記第1の利用者端末のIDと、前記Webサーバへの登録時に当該Webサーバによって発行されたセッション鍵と、を当該第1の利用者端末の耐タンパ領域に記憶する手段と、前記Webサーバの要求に応じて、前記ID、前記セッション鍵、パスワード及び端末名から、定期的又は不定期的に値が変わる第1の照合情報を計算し前記Webサーバに送信する手段と、を含み、前記Webサーバは、前記第1の利用者端末の前記Webサーバへの登録時に登録された前記第1の利用者端末のID及びパスワード並びに当該登録時に発行されたセッション鍵を当該Webサーバの耐タンパ領域に記憶し、当該記憶された情報を用いて定期的又は不定期的に第2の照合情報を計算する手段と、前記第1の利用者端末から受信した前記第1の照合情報と前記第2の照合情報とが一致するか検証する手段と、を含み、前記第1の照合情報及び前記第2の照合情報は、更に、更新された日時を用いて計算される照合データであり、前記第2の照合情報は、定期的又は不定期的に前記Webサーバによって更新される、ことを特徴とする。
また、上記課題を解決するため、本発明に係るWebサーバは、利用者端末とネットワークを通じて通信するWebサーバであって、前記利用者端末の前記Webサーバへの登録時に登録された前記利用者端末のID及びパスワード並びに当該登録時に発行されたセッション鍵を当該Webサーバの耐タンパ領域に記憶し、当該記憶された情報を用いて定期的又は不定期的に第2の照合情報を計算する手段と、前記利用者端末から受信した第1の照合情報と前記第2の照合情報とが一致するか検証する手段と、を含み、前記第1の照合情報及び前記第2の照合情報は、更に、更新された日時を用いて計算される照合データであり、前記第2の照合情報は、定期的又は不定期的に前記Webサーバによって更新される、ことを特徴とする。
また、上記課題を解決するため、本発明に係る利用者端末は、Webサーバとネットワークを通じて通信する利用者端末であって、前記利用者端末のIDと、前記Webサーバへの登録時に当該Webサーバによって発行されたセッション鍵と、を前記利用者端末の耐タンパ領域に記憶する手段と、前記Webサーバの要求に応じて、前記ID、前記セッション鍵、パスワード及び端末名から、定期的又は不定期的に値が変わる第1の照合情報を計算し前記Webサーバに送信する手段と、を含み、前記第1の照合情報は、更に、更新された日時を用いて計算される照合データである、ことを特徴とする。
本発明によれば、利用者が複数の複数のWebサーバに対して同一のパスワードを設定していた場合であっても、Webサーバ毎に異なるセッション鍵を発行するため、パスワードの漏洩後の悪意のある第三者によるなりすまし認証を回避することができる。
また、Webサーバが保持する照合データが万一盗取されても、照合データを生成する種データ(例えば、IDやセッション鍵)は耐タンパ領域で守られ、更に、照合データはパスワードやセッション鍵をそのまま含まない形で保持され定期的又は不定期的に自動更新される。そのため、被害を最小限に限定することが可能となる。
更に、種データは耐タンパ領域で守られるため、利用者端末のWebブラウザがMITB攻撃にあっても、セッション鍵などの認証情報の漏洩を防ぐことができる。
本発明の一実施形態に係る認証システムの概略構成を示す図である。 本発明の一実施形態に係る認証システムにおける第1の利用者端末の機能ブロック図である。 本発明の一実施形態に係る認証システムにおける第2の利用者端末の機能ブロック図である。 本発明の一実施形態に係る認証システムにおけるWebサーバの機能ブロック図である。 本発明の一実施形態に係る認証システムの動作フローを示す図である。 本発明の一実施形態に係る認証システムの動作フローを示す図である。 本発明の一実施形態に係る認証システムの動作フローを示す図である。 本発明の変形例に係る認証システムの動作フローを示す図である。 本発明の変形例に係る認証システムの動作フローを示す図である。 本発明の一実施形態に係る認証システムにおける利用者情報DB、追加端末要求情報DB及び照合データDBの一例を示す図である。
以下、本発明の一実施形態を図面に基づいて説明する。
[システム構成]
図1は、本発明の一実施形態に係る認証システム1の概略構成を示す図である。本実施形態においては、ネットワークNWを介して第1の利用者端末11、第2の利用者端末12及びWebサーバ13が接続されている。ネットワークNWに接続されるWebサーバの数は1つに限定されず、利用者端末の数は2つに限定されない。端末の形態は、図1に図示されているような設置型の端末であっても、利用者が持ち運ぶことができる携帯型の端末であってもよい。
以下、より具体的に第1の利用者端末11、第2の利用者端末12及びWebサーバ13の構成について説明する。
図2は、本発明の一実施形態に係る認証システム1における第1の利用者端末11の機能ブロック図である。第1の利用者端末11は、耐タンパ領域111と、Webサーバ13が提供するWebコンテンツを表示するための表示装置112aを制御する表示制御部112と、利用者が操作するユーザインタフェース113aからの入力を制御するユーザインタフェース制御部113と、Webサーバ13とのWeb通信を行うインタフェースを構成する通信制御部114と、ブラウザ処理部115と、記憶部116とを備える。耐タンパ領域111は、記憶部1111と、計算部1112と、生成部1113とを備える。ブラウザ処理部115は、Webプロトコル処理部1151と、リクエスト情報生成部1152と、Web表示制御部1153とを備える。本発明に係る耐タンパ領域111及びブラウザ処理部115の各機能を説明するが、第1の利用者端末11が備える他の機能を排除することを意図したものではないことに留意されたい。第1の利用者端末11は、コンピュータとして構成することができる。第1の利用者端末11は、耐タンパ領域111及びブラウザ処理部115の各機能を実現する処理内容を記述したプログラムを、当該コンピュータの記憶部116に格納し、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。
記憶部1111は、ID、セッション鍵等の情報を記憶する機能を有する。
計算部1112は、記憶部1111に記憶したID、セッション鍵等から、利用者の認証に用いる照合データを計算する機能を有する。
生成部1113は、利用者端末で選択された端末名、ID、パスワード、日時等から照合データを計算する機能や、照合データ及びnonce(乱数)から利用者の認証に用いるレスポンスを計算する機能を有する。日時とは、例えばWebサーバ13及び利用者端末が保持するGMT(グリニッジ標準時)である。照合データが24時間毎に更新される場合、Webサーバ13及び利用者端末が保持する更新日時の情報(yyyy/mm/dd)を、ハッシュ演算の入力としてWebサーバ13と利用者端末とで(例えば、毎日午前0時に)同期して、照合データの計算に用いる。
Webプロトコル処理部1151は、Webサーバ13とのWeb通信を確立する機能を有する。特に、Webプロトコル処理部1151は、Webブラウザ等のWebアプリを起動させて、ネットワークNWを通じてWebサーバ13に対し、認証処理を実行する機能を有する。
リクエスト情報生成部1152は、Webブラウザを通じて利用者によって入力されるログインID及びパスワードをWebサーバ13に送信する際のリクエスト情報を生成する機能及びログアウト時のリクエスト情報を生成する機能を有する。
Web表示制御部1153は、Webサーバ13によってログイン処理が行われた後に、該当URLのWebコンテンツを、表示制御部112を介して表示装置112aに表示させる機能を有する。
図3は、本発明の一実施形態に係る認証システム1における第2の利用者端末12の機能ブロック図である。第2の利用者端末12は、耐タンパ領域121と、Webサーバ13が提供するWebコンテンツを表示するための表示装置122aを制御する表示制御部122と、利用者が操作するユーザインタフェース123aからの入力を制御するユーザインタフェース制御部123と、Webサーバ13とのWeb通信を行うインタフェースを構成する通信制御部124と、ブラウザ処理部125と、記憶部126とを備える。耐タンパ領域121は、記憶部1211と、計算部1212と、生成部1213とを備える。ブラウザ処理部125は、Webプロトコル処理部1251と、リクエスト情報生成部1252と、Web表示制御部1253とを備える。本発明に係る耐タンパ領域121及びブラウザ処理部125の各機能を説明するが、第2の利用者端末12が備える他の機能を排除することを意図したものではないことに留意されたい。第2の利用者端末12は、コンピュータとして構成することができる。第2の利用者端末12は、耐タンパ領域121及びブラウザ処理部125の各機能を実現する処理内容を記述したプログラムを、当該コンピュータの記憶部126に格納し、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。
記憶部1211は、ID、セッション鍵等の情報を記憶する機能を有する。
計算部1212は、記憶部1111に記憶したID、セッション鍵等から、利用者の認証に用いる照合データを計算する機能を有する。
生成部1213は、利用者端末で選択された端末名、ID、パスワード、日時等から照合データを計算する機能や、照合データ及びnonce(乱数)等から利用者の認証に用いるレスポンスを計算する機能を有する。
Webプロトコル処理部1251は、Webサーバ13とのWeb通信を確立する機能を有する。特に、Webプロトコル処理部1251は、Webブラウザ等のWebアプリを起動させて、ネットワークNWを通じてWebサーバ13に対し、認証処理を実行する機能を有する。
リクエスト情報生成部1252は、Webブラウザを通じて利用者によって入力されるログインID及びパスワードをWebサーバ13に送信する際のリクエスト情報を生成する機能及びログアウト時のリクエスト情報を生成する機能を有する。
Web表示制御部1253は、Webサーバ13によって認証処理が行われた後に、該当URLのWebコンテンツを、表示制御部122を介して表示装置122aに表示させる機能を有する。
図4は、本発明の一実施形態に係る認証システム1におけるWebサーバ13の機能ブロック図である。
Webサーバ13は、制御部131と、第1の利用者端末11及び/又は第2の利用者端末12に対してWeb通信を行うインタフェースを構成する通信制御部132と、利用者情報DB133(図10(a))と、追加端末要求情報DB134(図10(b))と、照合データDB135(図10(c))と、記憶部136とを備える。本実施形態においては利用者情報DB133(図10(a))と追加端末要求情報DB134(図10(b))は、Webサーバ13の耐タンパ領域1311に格納される。本実施形態において、照合データDB135(図10(c))はWebサーバ13の内部に格納されるが、外部に格納されてWebサーバ13によって必要なときにアクセスされてもよい。制御部131は、耐タンパ領域1311と、Web処理部1312とを備える。耐タンパ領域1311は、記憶部13111と、発行部13112と、計算部13113とを含む。Web処理部1312は、Webプロトコル処理部13121と、検証部13122と、生成部13123と、タイマ処理部13124と、照合部13125とを含む。本発明に係る制御部131の各機能を説明するが、Webサーバ13が備える他の機能を排除することを意図したものではないことに留意されたい。Webサーバ13は、コンピュータとして構成することができる。Webサーバ13は、制御部131の各機能を実現する処理内容を記述したプログラムを、当該コンピュータの記憶部136に格納しておき、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。
記憶部13111は、利用者端末から受信したID、パスワード、セッション鍵等や、後述する端末追加要求を利用者端末から受信した場合に発行する仮パスワードを、利用者情報DB133又は追加端末要求情報DB134に記憶させる機能を有する。
発行部13112は、利用者登録の際に発行するセッション鍵や、後述する端末追加要求を利用者端末から受信した場合に仮パスワードを発行する機能を有する。発行された仮パスワードは、利用者端末の表示装置に表示され、又は利用者端末の利用者が登録したメールアドレス宛に送信されることで利用者に通知される。
計算部13113は、記憶部13111によって記憶されたID、パスワード、セッション鍵等から利用者の認証に用いる照合データを計算したり、照合データ及び乱数からレスポンスを計算する機能を有する。
Webプロトコル処理部13121は、第1の利用者端末11及び/又は第2の利用者端末12とのWeb通信を確立する機能を有する。特に、Webプロトコル処理部13121は、リクエスト情報に基づく情報を生成する機能を有する。
検証部13122は、利用者端末から受信したリクエスト情報を解析する機能を有する。具体的には、Webプロトコル処理部13121に記憶される照合データと、利用者端末から受信した照合データとが一致するかどうか検証する機能を有する。検証部13122は、一致する場合はログインを許可し、そうでない場合は許可しない。更に、検証部13122は、Webプロトコル処理部13121に記憶される照合データ、Webプロトコル処理部13121が発行する乱数及び利用者端末が発行する乱数とから計算されるレスポンスと、利用者端末から受信したレスポンスが一致するかどうか検証する機能をも有する。一致する場合はログインを許可し、そうではない場合は許可しない。
生成部13123は、利用者の認証に用いる乱数を生成する機能を有する。
タイマ処理部13124は、第1の利用者端末11から端末追加要求を受信した場合に、タイマを起動し、追加端末要求情報DB134に、第1の利用者端末11のID、第1の利用者端末11から受信した追加端末名、発行部13112が発行した仮パスワード及び第1の利用者端末11の追加端末の追加を許可する期限であるタイマ期限を登録する。タイマ期限は仮パスワードを発行してから例えば数分から数十分という一定時間とする。
照合部13125は、利用者端末から受信したリクエスト情報を解析する機能を有する。具体的には、第2の利用者端末12から受信した端末名、ID、パスワード及び仮パスワードの情報が、利用者情報DB133及び追加端末要求情報DB134においてIDに対応付けて登録され記憶されている端末名、ID、パスワード及び仮パスワードの情報と一致するか照合する機能を有する。一致し且つ第2の利用者端末12が送信を行ったタイミング(タイマ値(T))がタイマ期限以内であれば、照合部13125は、第2の利用者端末12を第1の利用者端末11の追加端末として認証し、例えば利用者情報DB133の追加端末名の列に第2の利用者端末12の端末名を登録する。第2の利用者端末12が送信を行ったタイミングではなく、Webサーバ13が受信したタイミングや、他の何らかのタイミングがタイマ期限以内かどうかを判定することにより照合してもよい。タイマ値(T)がタイマ期限より後であればタイムアウトとする。
上述した各機能ブロックの数は1つに限定されず、複数備えて、処理を分割してもよい。また、機能ブロックのいくつかを統合してもよい。
[システム動作]
図5から図9は、本発明の一実施形態に係る認証システム1の動作フローを示す図である。
図5は、Webサーバ13に未登録の利用者端末の利用者が利用者登録を行うフローを示す図である。図5では一例として第1の利用者端末11が未登録の利用者端末である場合を説明する。
図5を参照するに、Webサーバ13に未登録の第1の利用者端末11は、第1の利用者端末11のユーザインタフェース113aを介してWebブラウザを起動させ(ステップS1)、Webサーバ13に接続要求を送信する(ステップS2)。Webサーバ13は耐タンパ領域1311においてサーバ証明書を発行して第1の利用者端末11に送信する(ステップS3及びステップS4)。第1の利用者端末11は、サーバ証明書を受信し、耐タンパ領域111においてサーバ証明書の署名を検証する(ステップS5及びステップS6)。第1の利用者端末11は、検証の結果問題なければ暗号化通信用の鍵を耐タンパ領域111において生成し(ステップS7)、証明書の公開鍵で鍵共有を行ってWebサーバ13との間でSSLセッションを張る(ステップS8及び9)。ステップS1からステップS9までの処理を接続処理と呼ぶ。
次に、Webサーバ13は、第1の利用者端末11へ、登録するID、パスワード及び端末名を要求する(ステップS10)。この時点ではまだ第1の利用者端末11はWebサーバ13に未登録である。第1の利用者端末11の利用者が、ユーザインタフェース113aを介して任意のID、パスワード及び端末名を入力すると(ステップS11)、耐タンパ領域111は、入力された情報の確認画面を、表示制御部112を介して表示装置112aに表示させる(ステップS12及びステップS13)。表示される情報の一例を図5に示す。第1の利用者端末11の利用者が確認画面を確認して内容を承認すると、Webサーバ13のWeb処理部1312と第1の利用者端末11のブラウザ処理部115との間でのSSL通信とは別に、Webサーバ13の耐タンパ領域1311と第1の利用者端末11の耐タンパ領域111との間でWebサーバ13の証明書を用いた暗号化通信が開始される。この暗号化通信においては、Webサーバ13のWeb処理部1312と第1の利用者端末11のブラウザ処理部115との間でのSSL通信で用いられた暗号化通信用鍵とは異なる暗号化通信用鍵が用いられる(ステップS14)。第1の利用者端末11が、ID、パスワード及び端末名を通信制御部114を介してWebサーバ13の耐タンパ領域1311に送信すると(ステップS15)、Webサーバ13は、受信したID、パスワード及び端末名を利用者情報DB133に登録する(ステップS16)。ステップS10からステップS16までの処理を登録処理と呼ぶ。
Webサーバ13は、耐タンパ領域1311において第1の利用者端末11に固有のセッション鍵を発行し(ステップS17)、それを第1の利用者端末11の耐タンパ領域111に共有(送信)した後(ステップS18)、第1の利用者端末11のIDに対応付けて、そのセッション鍵を最新セッション鍵として利用者情報DB133に登録する(ステップS19)。利用者情報DB133の一例を図10(a)に示す。第1の利用者端末11は、セッション鍵を受信すると、耐タンパ領域111の記憶部1111にセッション鍵を記憶する(ステップS20)。Webサーバ13は、セッション鍵の共有の前にセッション鍵の登録を行ってもよい。ステップS17からステップS20までの処理をセッション鍵発行・共有・登録処理と呼ぶ。なお、本実施形態ではセッション鍵が第1の利用者端末11及びWebサーバ13のそれぞれの耐タンパ領域に記憶される例を説明するが、必ずしも耐タンパ領域に記憶される必要はなく、例えば、第1の利用者端末11の記憶部116及びWebサーバ13の記憶部136に記憶されてもよい。
図6は、Webサーバ13に利用者端末が登録された後に行われる更新処理のフローを示す図である。図6では、一例として第1の利用者端末11が登録済の利用者端末である場合を説明する。
図6を参照するに、Webサーバ13は、耐タンパ領域1311の利用者情報DB133において第1の利用者端末11のID、パスワード、セッション鍵及び端末名を記憶している(ステップS21)。一方、第1の利用者端末11は、耐タンパ領域111の記憶部1111においてID及びセッション鍵を記憶している(ステップS22)。Webサーバ13は、第1の利用者端末11のID、パスワード、セッション鍵、端末名及び日時から、利用者の認証用の照合データを定期的又は不定期的に計算して更新し(ステップS23)、照合データをWebサーバ13のWeb処理部1312に渡す(ステップS24)。本実施形態における照合データは、ID、パスワード、セッション鍵、端末名及び日時から計算されるハッシュ値である。Web処理部1312は、渡された照合データを、照合データDB135として設定し記憶する(ステップS25)。照合データDB135の一例を図10(c)に示す。なお、図10(c)において、照合データDB135には最新の照合データしか記憶されていないが、過去の照合データの一部又は全部を記憶しておいてもよい。更に、照合データの更新直後は、Webサーバ13と第1の利用者端末11との時刻誤差を吸収可能な時間幅の間、更新前データを保持しておき、更新前後のいずれかの照合データを用いて検証を行ってもよい。このようにして、利用者登録以降の認証における照合データ更新前後の照合データの同期ずれを吸収してもよい。ステップS21からステップS25までの処理を更新処理と呼ぶ。
図7は、Webサーバ13に利用者端末が登録された後に行われるログイン処理のフローを示す図である。図7では、一例として、第1の利用者端末11が、ログインを行う登録済利用者端末である場合を説明する。
Webサーバ13と、Webサーバ13に登録済の第1の利用者端末11の利用者は、図7のステップS31からステップS41に示す接続処理を行う。図7における接続処理は、Webサーバ13がWeb処理部1312において照合データDBを保持し(ステップS31)、第1の利用者端末11がブラウザ処理部115においてID及びセッション鍵を保持(ステップS33)している点において図5における接続処理とは異なる。しかしながら、それ以外のステップS32及びステップS34からステップS41は図5のステップS1からステップS9と同様の処理であるため、説明を省略する。
Webサーバ13は、ID及びパスワードを第1の利用者端末11に要求すると共に、登録済端末リストを第1の利用者端末11に送信する(ステップS42)。第1の利用者端末11の利用者は、受信した登録済端末リストから端末名を選択し、ログイン画面にID及びパスワードを入力する(ステップS43)。選択された端末名並びに入力されたID及びパスワードを渡された耐タンパ領域111は、ID、パスワード、端末名、セッション鍵及び日時から照合データ(v)を計算し(ステップS44及びステップS45)、ブラウザ処理部115を介してWebサーバ13に照合データ(v)を送信する(ステップS46及びステップS47)。Web処理部1312は、照合データDB135に記憶されている照合データ(v)と、ステップS47で受信した照合データ(v)とが一致するかどうか検証する(ステップS48)。検証の結果一致すれば、利用者のログインを許可し、そうでなければ許可しない。なお、ログイン処理後はオンライン決済等の何らかの処理が行われる。
[本発明の変形例の説明]
次に、上述した実施形態に係る変形例について説明する。
図8は、Webサーバ13に利用者端末が登録された後に行われるログイン処理のフローを示す図である。図8では、一例として、第1の利用者端末11が、ログインを行う登録済利用者端末である場合を説明する。
Webサーバ13と、Webサーバ13に登録済の第1の利用者端末11の利用者は、図8のステップS51からステップS60に示す接続処理を行う。図8のステップS51からステップS60は、図7のステップS31からステップS41と同様であるため、説明を省略する。
Webサーバ13は、乱数であるnonce(以下、n1とする。)を生成する(ステップS61)。そしてWebサーバ13は、ID及びパスワードを第1の利用者端末11に要求すると共に、登録済端末リスト及びn1を第1の利用者端末11に送信する(ステップS62)。第1の利用者端末11の利用者は、受信した登録済端末リストから端末名を選択し、ログイン画面にID及びパスワードを入力する(ステップS63)。入力される内容の一例を図8に示す。選択された端末名、入力されたID及びパスワード並びにn1が耐タンパ領域111に渡されると、第1の利用者端末11は耐タンパ領域111において、乱数であるnonce(以下、n2とする。)を生成し(ステップS64及びステップS65)、ID、パスワード、端末名、セッション鍵及び日時から照合データ(v)を計算する(ステップS66)。なお、ステップS64とステップS65の順序は逆でもよい。そして、第1の利用者端末11は、ステップS66で計算した照合データ(v)、n1及びn2からレスポンス(r)を計算し(ステップS67)、n2及びレスポンス(r)を、ブラウザ処理部115を介してWebサーバ13に送信する(ステップS68及びステップS69)。Web処理部1312は、照合データDB135に記憶されている照合データ(v)、n1及び第1の利用者端末11から受信したn2から計算されるレスポンスと、第1の利用者端末11から受信したレスポンス(r)とを比較して、一致するかどうか検証する(ステップS70)。ステップS61からステップS70までの処理をログイン処理と呼ぶ。検証の結果一致すれば、利用者のログインを許可し、そうでなければ許可しない。なお、ログイン処理後はオンライン決済等の何らかの処理が行われる。
図8に示す変形例によれば、過去の認証で用いた情報(n1、n2、レスポンス)が悪意のある第三者により取得されてもリプレイ攻撃(パスワードや暗号鍵などを盗取して再利用することでその利用者になりすますこと)を回避することができる。
図9は、Webサーバ13の利用者が、2つの利用者端末のうち一方を、他方の追加端末として追加登録するフローを示す図である。図9では、一例として、第2の利用者端末12を第1の利用者端末11の追加端末として追加登録する場合を説明する。
図9を参照するに、Webサーバ13に登録済の第1の利用者端末11の利用者は、Webサーバ13との間でログイン処理を行う。ログイン処理は図7及び図8において説明したもの(ステップS42からステップS48及びステップS61からステップS69)と同一であるため、説明を省略する。
次に、第1の利用者端末11は、Webサーバ13へ、追加端末名及び端末追加要求を送信する(ステップS71)。端末追加要求を受信したWebサーバ13は、耐タンパ領域1311において仮パスワードを発行し、仮パスワードを追加端末要求情報DB134に記憶し、仮パスワードを第1の利用者端末11へ共有(送信)する(ステップS72からステップS75)。そして、Webサーバ13は、端末追加処理タイマを起動し、タイマ期限を設定する(ステップS76)。なお、ステップS73は、ステップS74、ステップS75又はステップS76の後に行われてもよい。Webサーバ13は、端末追加要求を送信した第1の利用者端末11のID、第1の利用者端末11から受信した追加端末名、ステップS72で発行された仮パスワード及びタイマ期限を、追加端末要求情報DB134に登録する。タイマ期限は、Webサーバ13が仮パスワードを発行してから数分から数十分程度の一定時間に設定する。一例を図10(b)に示す。なお、タイマ値(T)がタイマ期限より後であればタイムアウトとする。
一方で第1の利用者端末11の利用者は、第2の利用者端末12を用いてWebサーバ13との間で接続処理を行う。接続処理は図7及び8で説明したもの(ステップS31からステップS41及びステップS51からステップS60)と同一であるため、説明を省略する。
そして、Webサーバ13は、第2の利用者端末12へ、端末名、ID、パスワード(任意)及び仮パスワードを要求する(ステップS77)。第2の利用者端末12の利用者(第1の利用者端末11の利用者と共通)は、ユーザインタフェース123aを介して、端末名、第2の利用者端末12のID(第1の利用者端末11のIDと共通)、第2の利用者端末12のパスワード(第1の利用者端末11のパスワードと共通)(任意)及びステップS72で発行された仮パスワードを入力し、Webサーバ13に送信する(ステップS78)。
Webサーバ13のWeb処理部1312は、ステップS78で受信した情報が、耐タンパ領域1311の利用者情報DB133及び追加端末要求情報DB134に登録された、第2の利用者端末12の端末名、第2の利用者端末12のID(第1の利用者端末11のIDと共通)、第2の利用者端末12のパスワード(第1の利用者端末11のパスワードと共通)(任意)及びステップS72で発行された仮パスワードと一致するかどうか照合する(ステップS79からステップS81)。照合の結果、一致し且つステップS77の送信が行われた日時(タイマ値(T))がタイマ期限以内であれば、Webサーバ13は第2の利用者端末12を第1の利用者端末11の追加端末として利用者情報DB133に登録する。ID:foo@abc.com且つ端末名:PC123の追加端末として、端末名:Tabletの端末が登録された例を図10(a)に示す。図10(a)に示す通り、端末名:PC123の端末のセッション鍵と端末名:Tabletの端末のセッション鍵とは、それぞれdefgとpqrsとで異なっていることに留意されたい。図10(a)は追加端末が1つのみである場合を示しているが、任意の数の追加端末を登録可能である。
次に、Webサーバ13と第2の利用者端末12との間でセッション鍵発行・共有・登録処理が行われる。セッション鍵発行・共有・登録処理は図5で説明したもの(ステップS17からステップS20)と同一であるため、説明を省略する。
図9に示す変形例によれば、複数の端末を利用して共通のID及びパスワードでログインできる利便性が損なわれない。そして、万一ID及びパスワードが漏洩した場合であっても、端末毎に発行されるセッション鍵や端末名を用いて利用者の認証を行うことで、不正ログインを防ぐことができる。また、利用者が利用者端末を紛失し、又は利用者端末が盗難された場合でも、Webサーバに対してパスワード等の照合が必要であるため、不正ログインや不正利用を一定期間防ぐことができる。紛失や盗難の発覚後、遠隔制御により利用者端末の利用を直ちに停止することも可能である。
これらの本発明に係る第1の利用者端末11、第2の利用者端末12、及びWebサーバ13をコンピュータで構成した場合、各機能を実現する処理内容を記述したプログラムを、当該コンピュータの内部又は外部の記憶部に格納しておき、当該コンピュータの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。また、このようなプログラムは、例えばDVD又はCD−ROMなどの可搬型記録媒体の販売、譲渡、貸与等により流通させることができるほか、そのようなプログラムを、例えばネットワーク上にあるサーバの記憶部に記憶しておき、ネットワークを介してサーバから他のコンピュータにそのプログラムを転送することにより、流通させることができる。また、そのようなプログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラム又はサーバから転送されたプログラムを、一旦、自己の記憶部に記憶することができる。また、このプログラムの別の実施態様として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、更に、このコンピュータにサーバからプログラムが転送される度に、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。従って、本発明は、前述した実施形態に限定されるものではなく、その主旨を逸脱しない範囲において組み合わせたり一部削除したりするなどして種々変更可能である。
本発明によれば、利用者が複数の複数のWebサーバに対して同一のパスワードを設定していた場合であっても、Webサーバ毎に異なるセッション鍵を発行するため、パスワードの漏洩後の悪意のある第三者によるなりすまし認証を回避することができる。また、Webサーバが保持する照合データが万一盗取されても、照合データを生成する種データ(例えば、IDやセッション鍵)は耐タンパ領域で守られる。更に、照合データは、パスワードやセッション鍵をそのまま含まない形で保持され、定期的又は不定期的に自動更新されるため、被害を最小限に限定することが可能となる。更に、種データは耐タンパ領域で守られるため、利用者端末のWebブラウザがMITB攻撃にあっても、セッション鍵などの認証情報の漏洩を防ぐことができる。以上より、何らかのWebコンテンツを提供する際の利用者端末の認証に有用である。
1 認証システム
11 第1の利用者端末
12 第2の利用者端末
13 Webサーバ
111 耐タンパ領域
1111 記憶部
1112 計算部
1113 生成部
112 表示制御
112a 表示装置
113 ユーザインタフェース制御部
113a ユーザインタフェース
114 通信制御部
115 ブラウザ処理部
116 記憶部
121 耐タンパ領域
122 表示制御部
122a 表示装置
123 ユーザインタフェース制御部
123a ユーザインタフェース
124 通信制御部
125 ブラウザ処理部
126 記憶部
131 制御部
132 通信制御部
133 利用者情報DB
134 追加端末要求情報DB
135 照合データDB
136 記憶部
1151 Webプロトコル処理部
1152 リクエスト情報生成部
1153 Web表示制御部
1211 記憶部
1212 計算部
1213 生成部
1251 Webプロトコル処理部
1252 リクエスト情報生成部
1253 Web表示制御部
1311 耐タンパ領域
1312 Web処理部
13111 記憶部
13112 発行部
13113 計算部
13121 Webプロトコル処理部
13122 検証部
13123 生成部
13124 タイマ処理部
13125 照合部

Claims (11)

  1. 第1の利用者端末と、当該第1の利用者端末とネットワークを通じて通信するWebサーバと、を備える認証システムにおける認証方法であって、
    前記第1の利用者端末が、前記第1の利用者端末のIDと、前記Webサーバへの登録時に当該Webサーバによって発行されたセッション鍵と、を当該第1の利用者端末の耐タンパ領域に記憶するステップと、
    前記第1の利用者端末が、前記Webサーバの要求に応じて、前記ID、前記セッション鍵、パスワード及び端末名から、定期的又は不定期的に値が変わる第1の照合情報を計算し前記Webサーバに送信するステップと、
    前記Webサーバが、前記第1の利用者端末の前記Webサーバへの登録時に登録された前記第1の利用者端末のID及びパスワード並びに当該登録時に発行されたセッション鍵を当該Webサーバの耐タンパ領域に記憶し、当該記憶された情報を用いて定期的又は不定期的に第2の照合情報を計算するステップと、
    前記Webサーバが、前記第1の利用者端末から受信した前記第1の照合情報と前記第2の照合情報とが一致するか検証するステップと、
    を含み、
    前記第1の照合情報及び前記第2の照合情報は、更に、更新された日時を用いて計算される照合データであり、
    前記第2の照合情報は、定期的又は不定期的に前記Webサーバによって更新される、ことを特徴とする認証方法。
  2. 請求項1に記載の認証方法であって、
    前記第1の照合情報は、更に、前記Webサーバが発行した第1の乱数と前記第1の利用者端末が発行した第2の乱数とから計算される第1のレスポンスであり、
    前記送信するステップは、更に、前記第1の利用者端末が発行した前記第2の乱数を送信し、
    前記第2の照合情報は、更に、前記第1の乱数と前記第2の乱数とから計算される第2のレスポンスであることを特徴とする認証方法。
  3. 請求項1又は2に記載の認証方法であって、
    前記認証システムは、更に、前記Webサーバと前記ネットワークを通じて通信する第2の利用者端末を含み、
    前記Webサーバが、前記第1の利用者端末の要求に応じて、仮パスワードを前記第1の利用者端末に発行し、当該仮パスワードと前記第1の利用者端末から受信した追加端末名とを当該Webサーバの耐タンパ領域に記憶するステップと、
    前記Webサーバが、前記発行から所定期間内に前記第2の利用者端末のID及びパスワード、当該Webサーバによって発行された前記仮パスワード並びに前記追加端末名を送信した当該第2の利用者端末の情報を、前記第1の利用者端末の追加端末として当該Webサーバの耐タンパ領域に登録するステップと、
    前記第2の利用者端末が、当該第2の利用者端末のID及びパスワード並びに前記Webサーバによって発行される仮パスワードを前記Webサーバに送信するステップと、
    を更に含むことを特徴とする認証方法。
  4. 第1の利用者端末と、当該第1の利用者端末とネットワークを通じて通信するWebサーバと、を備える認証システムであって、
    前記第1の利用者端末は、
    前記第1の利用者端末のIDと、前記Webサーバへの登録時に当該Webサーバによって発行されたセッション鍵と、を当該第1の利用者端末の耐タンパ領域に記憶する手段と、
    前記Webサーバの要求に応じて、前記ID、前記セッション鍵、パスワード及び端末名から、定期的又は不定期的に値が変わる第1の照合情報を計算し前記Webサーバに送信する手段と、
    を含み、
    前記Webサーバは、
    前記第1の利用者端末の前記Webサーバへの登録時に登録された前記第1の利用者端末のID及びパスワード並びに当該登録時に発行されたセッション鍵を当該Webサーバの耐タンパ領域に記憶し、当該記憶された情報を用いて定期的又は不定期的に第2の照合情報を計算する手段と、
    前記第1の利用者端末から受信した前記第1の照合情報と前記第2の照合情報とが一致するか検証する手段と、
    を含み、
    前記第1の照合情報及び前記第2の照合情報は、更に、更新された日時を用いて計算される照合データであり、
    前記第2の照合情報は、定期的又は不定期的に前記Webサーバによって更新される、
    ことを特徴とする認証システム。
  5. 請求項に記載の認証システムであって、
    前記第1の照合情報は、更に、前記Webサーバが発行した第1の乱数と前記第1の利用者端末が発行した第2の乱数とから計算される第1のレスポンスであり、
    前記送信する手段は、更に、前記第1の利用者端末が発行した前記第2の乱数を送信し、
    前記第2の照合情報は、更に、前記第1の乱数と前記第2の乱数とから計算される第2のレスポンスであることを特徴とする認証システム。
  6. 請求項4又は5に記載の認証システムであって、
    前記認証システムは、更に、前記Webサーバと前記ネットワークを通じて通信する第2の利用者端末を含み、
    前記Webサーバは、更に、
    前記第1の利用者端末の要求に応じて、仮パスワードを前記第1の利用者端末に発行し、当該仮パスワードと前記第1の利用者端末から受信した追加端末名とを当該Webサーバの耐タンパ領域に記憶する手段と、
    前記発行から所定期間内に前記第2の利用者端末のID及びパスワード、前記Webサーバによって発行された前記仮パスワード並びに前記追加端末名を送信した当該第2の利用者端末の情報を、前記第1の利用者端末の追加端末として当該Webサーバの耐タンパ領域に登録する手段と、
    を含み、
    前記第2の利用者端末は、
    当該第2の利用者端末のID及びパスワード並びに前記Webサーバによって発行される仮パスワードを前記Webサーバに送信する手段を含むことを特徴とする認証システム。
  7. 利用者端末とネットワークを通じて通信するWebサーバであって、
    前記利用者端末の前記Webサーバへの登録時に登録された前記利用者端末のID及びパスワード並びに当該登録時に発行されたセッション鍵を当該Webサーバの耐タンパ領域に記憶し、当該記憶された情報を用いて定期的又は不定期的に第2の照合情報を計算する手段と、
    前記利用者端末から受信した第1の照合情報と前記第2の照合情報とが一致するか検証する手段と、
    を含み、
    前記第1の照合情報及び前記第2の照合情報は、更に、更新された日時を用いて計算される照合データであり、
    前記第2の照合情報は、定期的又は不定期的に前記Webサーバによって更新される、
    ことを特徴とするWebサーバ。
  8. Webサーバとネットワークを通じて通信する利用者端末であって、
    前記利用者端末のIDと、前記Webサーバへの登録時に当該Webサーバによって発行されたセッション鍵と、を前記利用者端末の耐タンパ領域に記憶する手段と、
    前記Webサーバの要求に応じて、前記ID、前記セッション鍵、パスワード及び端末名から、定期的又は不定期的に値が変わる第1の照合情報を計算し前記Webサーバに送信する手段と、
    を含み、
    前記第1の照合情報は、更に、更新された日時を用いて計算される照合データである、
    ことを特徴とする利用者端末。
  9. コンピュータを、請求項に記載のWebサーバとして機能させるための認証プログラム。
  10. コンピュータを、請求項に記載の利用者端末として機能させるための認証プログラム。
  11. 請求項9又は10に記載のプログラムを記録した記録媒体。
JP2013254357A 2013-12-09 2013-12-09 認証方法、認証システム、Webサーバ、利用者端末、認証プログラム及び記録媒体 Expired - Fee Related JP6144186B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013254357A JP6144186B2 (ja) 2013-12-09 2013-12-09 認証方法、認証システム、Webサーバ、利用者端末、認証プログラム及び記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013254357A JP6144186B2 (ja) 2013-12-09 2013-12-09 認証方法、認証システム、Webサーバ、利用者端末、認証プログラム及び記録媒体

Publications (2)

Publication Number Publication Date
JP2015114715A JP2015114715A (ja) 2015-06-22
JP6144186B2 true JP6144186B2 (ja) 2017-06-07

Family

ID=53528504

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013254357A Expired - Fee Related JP6144186B2 (ja) 2013-12-09 2013-12-09 認証方法、認証システム、Webサーバ、利用者端末、認証プログラム及び記録媒体

Country Status (1)

Country Link
JP (1) JP6144186B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108073598A (zh) * 2016-11-10 2018-05-25 北京国双科技有限公司 一种数据处理方法及其相关设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002290397A (ja) * 2001-03-23 2002-10-04 Iryo Joho Syst Kaihatsu Center セキュア通信方法
JP4265479B2 (ja) * 2004-05-26 2009-05-20 ソニー株式会社 通信システム
JP2008040908A (ja) * 2006-08-08 2008-02-21 Softbank Mobile Corp シード配布システム、携帯端末、シード配布プログラムおよびシード配布方法
EP2160864B8 (en) * 2007-06-26 2012-04-11 G3-Vision Limited Authentication system and method

Also Published As

Publication number Publication date
JP2015114715A (ja) 2015-06-22

Similar Documents

Publication Publication Date Title
US10541991B2 (en) Method for OAuth service through blockchain network, and terminal and server using the same
JP2021131870A (ja) クロスブロックチェーン認証方法および装置
US8510811B2 (en) Network transaction verification and authentication
EP1766852B1 (en) Device for user identity management
EP1766853B1 (en) Methods and devices for auditable privacy policies
US7620978B1 (en) Securely propagating authentication in an ensemble of devices using single sign-on
WO2019239591A1 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
KR100751428B1 (ko) 일회용 비밀번호 생성방법과 일회용 비밀번호 인증 시스템
US11463431B2 (en) System and method for public API authentication
JP2011215753A (ja) 認証システムおよび認証方法
JP4698751B2 (ja) アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
JP3833652B2 (ja) ネットワークシステム、サーバ装置、および認証方法
JP2022534677A (ja) ブロックチェーンを使用するオンラインアプリケーションおよびウェブページの保護
CN109981677A (zh) 一种授信管理方法及装置
TW201430608A (zh) 單點登入系統及方法
JP6144186B2 (ja) 認証方法、認証システム、Webサーバ、利用者端末、認証プログラム及び記録媒体
JP6076890B2 (ja) 認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体
CA2468351C (en) Distributed hierarchical identity management system authentication mechanisms
JP5161053B2 (ja) ユーザ認証方法、ユーザ認証システム、サービス提供装置、及び認証制御装置
CA2468585C (en) Auditable privacy policies in a distributed hierarchical identity management system
JP2005328373A (ja) ネットワークセキュリティシステム
JP5793593B2 (ja) ユーザ識別情報を安全に検証するためのネットワーク認証方法
KR20140043628A (ko) 보안 로그인 처리 방법
WO2021240613A1 (ja) 情報処理システム、情報処理方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170321

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170421

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170509

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170510

R150 Certificate of patent or registration of utility model

Ref document number: 6144186

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees