JP4746266B2 - ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム - Google Patents

ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム Download PDF

Info

Publication number
JP4746266B2
JP4746266B2 JP2003406556A JP2003406556A JP4746266B2 JP 4746266 B2 JP4746266 B2 JP 4746266B2 JP 2003406556 A JP2003406556 A JP 2003406556A JP 2003406556 A JP2003406556 A JP 2003406556A JP 4746266 B2 JP4746266 B2 JP 4746266B2
Authority
JP
Japan
Prior art keywords
cookie
location
sub
computer
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003406556A
Other languages
English (en)
Other versions
JP2004185623A (ja
Inventor
エム.ヒムバーガー アンドリュー
ペアロ クリス
ジェイ.フォーシェラー ルーカス
ティー.サンダース スティルマン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2004185623A publication Critical patent/JP2004185623A/ja
Application granted granted Critical
Publication of JP4746266B2 publication Critical patent/JP4746266B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/52Network services specially adapted for the location of the user terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、ネットワーク・リソースへのアクセスに対してユーザを認証することに関する。より詳細には、本発明は、ネットワーク・ロケーション中の1つまたは複数の個々のサブ・ロケーションに対してユーザを認証することに関する。
コンピュータ・ネットワークは、異なるコンピュータ間でリソースを共有することを可能にする。たとえば、インターネットは、世界中のコンピュータが電子メールのような情報を交換することを可能にする。ワールド・ワイド・ウェブは、インターネットに接続されているコンピュータ間で視聴覚情報を交換することを提供する。さらに、集中型コンピュータ・サーバ(centralized computer)は、あるコンピュータ・ユーザが他のユーザによるアクセスのために投函した情報を記憶することができる。
サーバ・コンピュータは、複数のコンピュータ・ユーザがインターネットのドメインのようなネットワーク・ロケーションの様々なサブ・ロケーション内に記憶した情報にアクセスすることを可能にする。ネットワーク・ロケーションのサブ・ロケーションは、1つまたは複数のサーバの個々のディレクトリまたはサーバ・ファーム(server farm)内の個々サーバを含むことができる。特定のサブ・ロケーションを、ネットワーク・ロケーションに同様に接続されている他の複数のユーザによるアクセスのために、サブ・ロケーションに情報を書き込んだ特定のコンピュータ・ユーザまたは一群のユーザに割り当てることができる。ネットワーク中で共有しているそのような情報はコンピュータ・ユーザにとっては有益だが、ネットワーク管理には、様々なネットワーク・ロケーションおよびそのネットワーク・ロケーションのサブ・ロケーションに対する無許可アクセスを防止するようにする配慮が必要である。
無許可アクセスを防止するために、ユーザはネットワーク・ロケーションに対して認証される。ユーザの認証は様々な方法で行うことができる。1つの方法は、ネットワーク・ロケーションおよび対応するサブ・ロケーションへのアクセスが許可される前にユーザにユーザ名およびパスワードを入力することを要求するというものである。しかし、ユーザがアクセスを希望する可能性のあるネットワーク・ロケーションの数が増加するのに伴い、すべてのロケーションに対してユーザにユーザ名とパスワードの入力を要求することは非能率的になる。
この問題に対処するため、ユーザがユーザ名とパスワードを入力することに基づいて、ユーザに対してクッキーが一度発行され、そのクッキーは、ネットワーク・ロケーション内のサブ・ロケーションすべてに対して、ワールド・ワイド・ウェブ内のドメインのようなネットワーク・ロケーションでユーザのIDを認証するために使用することができる。そのクッキーは、ユーザの身分証明書であり、通常は将来のある時点で期限が切れる、1つまたは複数の長い番号を含めることによってユーザを識別するよう働くデータ・ファイルである。ユーザ名とパスワードを使用した最初(1回目)のログインは、通常、参照「ユーザ名とパスワード」を維持管理している、たとえば、.NET(商標)Passport(商標)のような信頼ある中央ネットワーク・ロケーションを介して行われる。ユーザがネットワーク・ロケーションへの訪問を試行する場合、ユーザのコンピュータは、そのネットワーク・ロケーションに対して暗号化されたクッキーをユーザのコンピュータに発行する信頼あるネットワーク・ロケーションに、誘導される。次いでユーザのコンピュータはそのネットワーク・ロケーションのサーバまで戻るよう誘導され、このサーバは次いで、ユーザのコンピュータに対して発行されたばかりのクッキーをチェックする。
そのサーバは、ユーザのコンピュータに対してクッキーを要求し、次いでクッキーを秘密鍵によって暗号解読し、暗号解読されたクッキーが期限切れでないと判定することによって、クッキーの有効性確認を試行する。訪問されたネットワーク・ロケーションのサーバがクッキーを有効であると確認すると、訪問されたネットワーク・ロケーションはアクセスを試行しているユーザを認証してしまう。何故ならば、有効であると確認されたクッキーが、ネットワーク・ロケーションへのアクセスを試行しているユーザが周知の信頼あるIDを有するユーザであることを立証するからである。このIDは、暗号解読されたクッキーに含まれる情報によって明記されていることになる。
複数のユーザが情報を書き込むことができるネットワーク・ロケーションのサブ・ロケーションについては、訪問されたネットワーク・ロケーションに対してユーザを認証するためにクッキーが使用される場合であっても、セキュリティ上の危険が依然として存在する。訪問したネットワーク・ロケーション内のサブ・ロケーションへのアクセス権を有するユーザは、そのサブ・ロケーションにアクセスしている他のユーザに対して視聴覚情報を提供するなどの様々な理由から各種スクリプト記述情報を書き込むことができる。しかし、悪意あるユーザは、そのネットワーク・ロケーションを訪問した他のユーザのコンピュータからアップロードされたクッキーを盗むような悪意ある行為を実行するスクリプトを書き込むことができる。
ネットワーク・ロケーションを訪問している他のユーザのクッキーを入手した時点で、そのクッキーを盗んだ悪意あるユーザは、盗まれたユーザに成りすまして、盗まれたユーザがアクセス権を有するネットワーク・ロケーション内のサブ・ロケーションにアクセスすることができる。したがって、クッキーを盗んだ悪意あるユーザは、この時点で、通常ならばその悪意あるユーザがアクセスすることのできないサブ・ロケーションおよび行為、すなわち成りすまされているユーザに関する個人情報、金融情報、または他の機密情報を含む行為および/またはサブ・ロケーションへのアクセス権を得ることができる。
本発明の実施形態は、サブ・ロケーションを提供するネットワーク・ロケーションに対してユーザを認証するクッキーを使用することに加え、ネットワーク・ロケーションの特定のサブ・ロケーションに対するユーザ認証のためにクッキーを提供することによって、これらおよび他の問題に対処する。ユーザがネットワーク・ロケーションおよびサブ・ロケーションにログインする場合、そのネットワーク・ロケーションに対するクッキーと個々のサブ・ロケーションに対するクッキーだけが、訪問されているサブ・ロケーション内で露出している。サブ・ロケーション内に悪意あるスクリプトを書き込んだ悪意あるユーザによって、これら2つのクッキーが盗まれた場合、クッキーを盗んだ悪意あるユーザは、クッキーを盗んだユーザが以前にアクセスしたのと同じサブ・ロケーションに対してのみ、そのユーザに成りすますことができる。クッキーを盗んだ悪意あるユーザは、サブ・ロケーション固有の異なるクッキーを要求する他のサブ・ロケーションに関してはそのユーザに成りすますことはできない。
一実施形態は、ネットワーク・アドレスのサブ・ロケーションに対してコンピュータのユーザを認証する方法である。この方法は、ネットワーク・アドレスに対するユーザ認証のためにコンピュータに第1のクッキーを提供することと、ネットワーク・アドレスの第1のサブ・ロケーションに対するユーザ認証のためにコンピュータに第2のクッキーを提供することを含む。コンピュータがネットワーク・アドレスへのアクセスを試行する場合、ネットワーク・アドレスに対してユーザを認証するために第1のクッキーが有効性確認される。ネットワーク・アドレスの第1のサブ・ロケーションに対してユーザを認証するために第2のクッキーが有効性確認される。
別の実施形態は、ネットワーク・インターフェースおよび処理装置を含むコンピュータ・システムである。処理装置は、ネットワーク・インターフェースを介して第1のクッキーを取得し、ネットワーク・アドレスに対してユーザを認証するために第1のクッキーを有効性確認するよう構成されている。処理装置は、ネットワーク・インターフェースを介して第2のクッキーを取得し、ネットワーク・アドレスの第1のサブ・ロケーションに対してユーザを認証するために第2のクッキーを有効性確認するようにも構成されている。
別の実施形態は、あるネットワーク・アドレス内の少なくとも1つのサブ・ロケーションを提供するネットワーク・アドレスのサーバ・コンピュータを含むネットワーク・システムである。クライアント・コンピュータは、ネットワークを介してサーバ・コンピュータと接続されており、またクライアント・コンピュータは、そのネットワーク・アドレスに対する第1のクッキーとそのネットワーク・アドレスのサブ・ロケーションに対する第2のクッキーとを記憶している。サーバ・コンピュータは、そのネットワーク・アドレスに対してクライアント・コンピュータのユーザを認証するために第1のクッキーにアクセスしてこれを有効性確認し、サーバ・コンピュータは、ネットワーク・アドレスのサブ・ロケーションに対してクライアント・コンピュータのユーザを認証するために第2のクッキーにアクセスして、有効性確認する。
別の実施形態は、コンピュータによって実行された場合に様々なステップを実行する命令を含んでいるコンピュータ可読媒体である。第1のクッキーは、ネットワーク・アドレスに対してユーザを認証するために、コンピュータのネットワーク・インターフェースを介して取得され、有効性確認される。第2のクッキーは、ネットワーク・アドレスの第1のサブ・ロケーションに対してユーザを認証するために、コンピュータのネットワーク・インターフェースを介して取得され、有効性確認される。
本発明の実施形態は、ネットワーク・ロケーション内の様々なサブ・ロケーションに対して、図1〜図4に示して議論するようなディレクトリ・クッキーなどの、サブ・ロケーション・クッキー(sub-location cookies)を提供する。ネットワーク・ロケーションの一例は、URLまたはIPアドレスで識別されるドメインである。ユーザが、サブ・ロケーションをホスティングするネットワーク・ロケーションに対して認証されることに加え、サブ・ロケーションに対して認証されるように、サブ・ロケーション・クッキーが提供される。したがって、ネットワーク・ロケーションに対する虚偽の認証を可能にする、クッキーを盗んだ、ユーザには、ネットワーク・ロケーション内のサブ・ロケーションに対して異なるクッキーによって認証されることがさらに要求される。
図1は、本発明の実施形態を実装することができる典型的なネットワーク動作環境を示している。クライアント・コンピュータ102は、ローカルエリア・ネットワーク、ワイドエリア・ネットワーク、またはグローバル・インターネットのようなネットワーク106にリンクされている。クライアント・コンピュータ102は、同様にネットワーク106にリンクされている様々なサーバ・コンピュータと通信することができる。たとえば、ネットワークにリンクされているログイン・サーバ108は、ユーザが電子メール・アドレスのようなユーザ名とパスワードでログインし、ネットワーク・ロケーションに対して再度ユーザ名とパスワードを入力することをユーザに要求せずにそのネットワーク・ロケーションでユーザを認証することを可能にする第1のサーバ・クッキーを取得することを可能にする。さらに、ログイン・サーバ108は、ユーザがネットワーク・ロケーションへの訪問を試行して、認証のためにログイン・サーバ108にリダイレクトされている場合に、クライアント・コンピュータのユーザに対してログイン・クッキーを発行することができ、そのログイン・クッキーは取得されて、ユーザ名とパスワードの再入力を要求せずにログイン・サーバ108に対してユーザを認証する。
ログイン・サーバ108は、参照「ユーザ名とパスワード」のストア110にアクセスすることができる。クライアント・コンピュータ102のユーザがログイン・サーバ108を最初に訪問し、ユーザ名とパスワードを入力した時点で、ログイン・サーバ108は、ストア110のユーザ名を調べて、入力されたパスワードを記憶されているパスワードと比較することができる。双方が一致した時点でクライアント・コンピュータ102のユーザはユーザ名の持ち主として既に認証されており、ログイン・サーバ108からクライアント・コンピュータ102にログイン・クッキーが提供される。またサービス・サーバ112への訪問を試行した結果クライアント・コンピュータがログイン・サーバに既にリダイレクトされている場合は、サーバ・クッキーを提供することができる。ログイン・クッキーとサーバ・クッキーは、クッキーを取得するためにログインしたユーザ名の持ち主に対応する識別子値を含むことができる。さらに、これらのクッキーは、秘密鍵で暗号化されることができ、かつ/または有効期限を有することができる。クライアント・コンピュータ102は、クライアント・コンピュータ102が対応するネットワーク・ロケーションへのアクセスを試行する場合、ネットワーク・ロケーションのサーバが、ストア104内のサーバ・クッキーを取得して、様々な方法のうちの1つでサーバ・クッキーを有効性確認することによってユーザを認証することができるように、クッキーをストア104に保存する。有効性確認は、秘密鍵によるサーバ・クッキーの暗号解読を試行すること、および/または有効期限に基づいてサーバ・クッキーが期限切れでないことを検証することを含むことができる。さらに、クライアント・コンピュータ102がログイン・サーバ108にリダイレクトされた場合、ユーザ名とパスワードの再入力を要求せずに、クライアント・コンピュータ102のユーザを再度認証するために、ログイン・サーバ108によってログイン・クッキーを取得することができる。
サービス・サーバ112は、ネットワーク106にリンクされており、サーバ112によって設定されたネットワーク・ロケーションのディレクトリ116、118、および120、またはネットワーク・ロケーションのサーバ・ファームの個々のサーバのような様々なサブ・ロケーションにアクセスを提供することを含めて、クライアント・コンピュータ102にサービスを提供する。個々のディレクトリ116、118、および120、またはサーバ・ファームの個々のサーバは、文書などのクライアント・コンピュータ102にとって有用な各種情報および個人情報またはその他の機密情報へのアクセスを提供することができる。たとえば、サブ・ロケーションに対してユーザが認証されている時点で、ユーザはサブ・ロケーションを介してオンライン購入できる場合がある。このサブ・ロケーションには認証済みのユーザに関する請求書情報が記憶されており、そのユーザが買い物をする際には、ユーザがその情報を再入力せずに記憶されている情報を、サブ・ロケーションが利用する。
サービス・サーバ112によって提供されたネットワーク・ロケーションへの、無許可のアクセスを防止するために、サーバ112は、特定のサブ・ロケーションまたはサーバ112が提供する他のサービスへのアクセスを試行しているユーザを、サーバ112へのアクセスを試行しているクライアント・コンピュータ102からサーバ・クッキーを取得することによって、認証する。サーバ112は、上記のように、記憶装置114にある特別な鍵による暗号解読を試行し、かつ/またはサーバ・クッキーが期限切れでないことを検証することによって、サーバ・クッキーを有効性確認する。ネットワーク・ロケーションへのアクセスが最初の認証の他に許可を要求する場合、クッキーの識別子情報を記憶装置114で維持管理されている識別子情報と比較することができる。
クライアント・コンピュータ102がサービス・サーバ112のネットワーク・ロケーションにアクセスすると、クライアント・コンピュータ102のユーザがネットワーク・ロケーションに対するサーバ・クッキーをまだ取得していないならば、クライアント・コンピュータ102は、ログイン・サーバ108にダイレクト(方向付け)される。認証された後、クライアント・コンピュータ102は、サーバ・クッキーによって、およびログイン・サーバ108からサービス・サーバ112へのクエリ・ストリング内のメッセージによって、サービス・サーバ112にリダイレクトされる。このメッセージは、そのユーザがそのログイン・サーバ108で認証されたばかりであることを示しており、これは、そのユーザがサーバ・クッキーを盗んだわけではなく正当に入手したことを意味していることを示している。サービス・サーバ112がメッセージを受け取り、受け取ったばかりのサーバ・クッキーの有効性確認によってユーザを認証すると、サービス・サーバ112は、認証を要求するサブ・ロケーションの1つまたは複数に対して認証済みのユーザのためにサブ・ロケーションのクッキーを生成する。
サブ・ロケーションのクッキーは、サービス・サーバ112からユーザのクライアント・コンピュータ102に提供され、それらは、大容量記憶装置のような記憶装置104に保存される。サブ・ロケーションのクッキーは、暗号化されることができ、かつ/または有効期限を有することができ、これによってサービス・サーバ112が記憶装置114内の別の秘密鍵によってサブ・ロケーション・クッキーを暗号解読することができ、かつ/または有効期限をチェックしてクッキーを有効性確認することができる。認証済みユーザにサブ・ロケーションに対しての許可が決定されるある実施形態では、ユーザに関する識別子情報もサブ・ロケーション・クッキーに含めることができ、一致した識別子は、様々なサブ・ロケーションの1つまたは複数に対する許可に関連付けられて、サービス・サーバ112のストア114に保存される。ユーザがサーバ・クッキーを有していないために、ネットワーク・ロケーションにアクセスする際にそのユーザが認証されることが不可能である場合、サービス・サーバ112は、上記のようにクライアント・コンピュータ102をログイン・サーバ108にリダイレクトすることができ、あるいはクライアント・コンピュータ102に対してアクセスを単純に拒否することができる。
クライアント・コンピュータ102のユーザが、サーバ・クッキーの有効性確認による認証後に、サービス・サーバ112のネットワーク・ロケーション内の特定サブ・ロケーションへのアクセスを試行する場合、サービス・サーバ112は、クライアント・コンピュータ102から、対応するサブ・ロケーション・クッキーを取得する。サービス・サーバ112は、アクセスされているサブ・ロケーションに対してクライアント・コンピュータ102のユーザを認証するために、暗号解読および/または有効期限チェックなどにより、サブ・ロケーション・クッキーの有効性確認を試行する。サブ・ロケーション・クッキーは、サブ・ロケーション・クッキーが適用されるサブ・ロケーションの識別子を収容することができ、またユーザに関してサーバ・クッキーでも使用される識別子を含めて様々な他の情報も含むことができる。ユーザの識別情報が含まれる実施形態の場合、サブ・ロケーション・クッキーは、サーバ・クッキーに含まれるユーザの識別子とは異なる、サービス・サーバ112によってユーザに関連付けられた、識別子を含むことができる。
ユーザがネットワーク・ロケーションにアクセスした後でそのユーザのサーバ・クッキーを何者かが盗んだ場合、盗まれたサーバ・クッキーは、サブ・ロケーション・クッキーを要求するネットワーク・ロケーションのサブ・ロケーションへのアクセスに必要とされる認証を提供しない。正当なユーザがユーザのコンピュータ102から入手したサブ・ロケーション・クッキーによってサブ・ロケーションに対して認証されて、そのユーザがそのサブ・ロケーションを訪問している間に何者かがそのサブ・ロケーション・クッキーを盗んだ場合、盗まれたサブ・ロケーション・クッキーは、ネットワーク・ロケーションの他のサブ・ロケーションにアクセスするために必要とされる認証を提供しない。盗まれたサブ・ロケーション・クッキーは、そのクッキーの盗用者が既にアクセスしているサブ・ロケーションに対する認証しか可能にしない。
図2および以下の説明は、本発明をサービス・サーバ・コンピュータ112で実装することができる適切なコンピューティング環境に関する簡潔で一般的な説明を提供することを意図したものである。本発明は、サーバ・コンピュータのオペレーティング・システムで実行されるアプリケーション・プログラムと共に実行されるプログラム・モジュールの一般的な状況で説明するが、当業者ならば、本発明は他のプログラム・モジュールと組み合わせて実装することもできるということを理解するだろう。一般に、プログラム・モジュールは、ルーチン、プログラム、コンポーネント、データ構造、および特定のタスクを実行し、または特定の抽象データタイプを実装する他のタイプの構造を含む。
さらに、当業者ならば、本発明は、ハンドヘルド・デバイス、マルチ・プロセッサ・システム、マイクロ・プロセッサ・ベースの、またはプログラム可能な家庭用電化製品、ミニ・コンピュータ、メイン・フレーム・コンピュータなどを含めて他のコンピュータ・システム構成によっても実行することができるということを理解するだろう。図1のサーバ・コンピュータ112に適用されるような本発明は、単体のコンピュータではなく通信ネットワークを介してリンクされている遠隔処理装置によってタスクが実行される分散コンピューティング環境でも実行することができる。分散コンピューティング環境では、プログラム・モジュールは、ローカル記憶装置と遠隔記憶装置の両方に置くことができる。
図2は、本発明の様々な実施形態を実行するためのサーバ・コンピュータ112用のコンピュータ・アーキテクチャの一例を示している。図2に示すコンピュータ・アーキテクチャは、中央演算処理装置204(「CPU」)、ランダム・アクセス・メモリ208(「RAM」)および読取専用メモリ(「ROM」)210を含むシステム・メモリ206、およびメモリをCPU204に結合するシステム・バス212を含めて従来のサーバ・コンピュータを示している。起動時などにコンピュータの素子間で情報を転送するために役立つ基本ルーチンを含む基本入出力システムはROM210に記憶される。サーバ・コンピュータ112は、オペレーティング・システム216と、ログインおよびサブ・ロケーション・クッキー認証機能を実行するクッキー・アプリケーション・プログラム218のようなアプリケーション・プログラムとを記憶するための大容量記憶装置214をさらに含む。大容量記憶装置214は、サブ・ロケーション・クッキーを生成するためのクッキー・ジェネレータ224とユーザのコンピュータのログインおよびサブ・ロケーション・クッキーを有効性確認するクッキー・チェッカー226とを含むクッキー・アプリケーション・プログラム218の2つの構成要素も記憶する。有効性確認は、ユーザを認証するために大容量記憶装置214にあるクッキー暗号解読鍵情報228を使用することができ、かつ/またはクッキーの有効期限値をチェックする。大容量記憶装置214は、ネットワーク・ロケーションで提供されている様々なサブ・ロケーションに関するサブ・ロケーション・データ230も含むことができる。
大容量記憶装置214は、バス212に接続されている大容量記憶コントローラ(図示せず)を介してCPU204に接続される。大容量記憶装置214およびその関連付けられたコンピュータ可読媒体は、サーバ・コンピュータ112に不揮発性記憶域を提供する。本明細書に記載されるコンピュータ可読媒体の説明はハードディスクまたはCD−ROMドライブなどの大容量記憶装置に言及しているが、当業者には、コンピュータ可読媒体がサーバ・コンピュータ112によってアクセスできる任意の入手可能な媒体であってもよいということを理解されたい。
限定ではなく一例として、コンピュータ可読媒体は、コンピュータ記憶媒体および通信媒体を含むことができる。コンピュータ記憶媒体は、コンピュータ可読命令、データ構造、プログラム・モジュールまたは他のデータのような情報を記憶するための任意の方法または技術によっても実装される揮発性および不揮発性、取り外し可能および取り外し不可能な媒体を含む。コンピュータ記憶媒体は、限定はしないが、RAM、ROM、EPROM、EEPROM、フラッシュ・メモリまたは他の固体メモリ技術、CD−ROM、DVD、または他の光記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置または他の磁気記憶装置、または所望の情報を記憶するために使用することができ、またコンピュータによってアクセスすることができる任意の他の媒体を含む。
通信媒体は、通常、コンピュータ可読命令、データ構造、プログラム・モジュールまたは搬送波または他の搬送機構のような変調データ信号形式の他のデータを実施し、任意の情報配信媒体を含む。「変調データ信号」という用語は、その特性セットの1つまたは複数を有しており、または信号形式に情報を符号化するような方法で変更された信号を意味する。限定ではなく一例として、通信媒体は、有線ネットワークまたは直接回線接続のような有線媒体、音響、RF、赤外線、および他の無線媒体のような無線媒体を含む。上記のどの組み合わせも、コンピュータ可読媒体の範疇に含まれるべきである。コンピュータ可読媒体はコンピュータ・プログラム製品と称することもできる。
本発明の様々な実施形態により、サーバ・コンピュータ112は、インターネットのようなネットワーク106を介して遠隔コンピュータに対する論理接続を使用してネットワーク接続された環境で動作することができる。サーバ・コンピュータ112は、バス212に接続されたネットワーク・インターフェース・ユニット220を介してネットワーク106に接続することができる。ネットワーク・インターフェース・ユニット220は、他のタイプのネットワークおよび遠隔コンピュータ・システムに接続するために使用することもできるということを理解されたい。サーバ・コンピュータ112は、キーボードまたはマウス(図示せず)を含めて複数の装置からの入力を受け取り、処理するための入出力コントローラ222も含むことができる。同様に、入出力コントローラ222は、表示画面、プリンタ、または他のタイプの出力装置への出力を提供することができる。
上記で概説したように、複数のプログラム・モジュールおよびデータ・ファイルを、ネットワーク接続されたサーバ・コンピュータ112の動作を制御するのに適したオペレーティング・システム216を含めてサーバ・コンピュータ112の大容量記憶装置214およびRAM208に記憶することができる。大容量記憶装置214およびRAM208は、クッキー・アプリケーション218のような1つまたは複数のアプリケーション・プログラム、クッキー・ジェネレータ224、クッキー・チェッカー226、およびクッキー暗号解読鍵情報228を含めて対応する構成要素も記憶することができる。
本発明の実施形態は、クッキー・アプリケーション・プログラム218と共に使用するためのプログラム・モジュールを提供する。プログラム・モジュールは、ネットワーク・ロケーションの様々なサブ・ロケーションへのアクセスを試行(try)しているユーザを認証するための論理動作を実装する。クッキー・アプリケーション・プログラム218のプログラム・モジュールの論理動作の様々な実施形態を、図3および図4を参照して以下で説明する。図3は、サービス・サーバ112のネットワーク・ロケーションのサブ・ロケーションに対してクライアント・コンピュータ102のユーザを認証するためにクライアント・コンピュータ102、ログイン・サーバ108、およびサービス・サーバ112が対話する図1のネットワーク環境に実装される論理動作を示している。図4は、ユーザ認証のためにサブ・ロケーション・クッキーを生成し、チェックするためにクッキー・アプリケーション218内に実装される論理動作を示している。
一実施形態の図3の論理動作例は、ユーザが訪問を試行しているサービス・サーバ112からリダイレクトされた後などで、ユーザ名およびパスワードを入力することによって、クライアント・コンピュータ102がログイン・サーバ108にログインするログイン動作302から始まる。ログイン・サーバ108は、ユーザ名およびパスワードをそのユーザに対する参照の「ユーザ名およびパスワード」(reference user name and password)と比較する。ログイン資格証明書についての一致を示す比較の成功に基づいて、ログイン・サーバ108は、クライアント・コンピュータ102にサーバ・クッキー(第1のクッキー)を提供する。上記のように、サーバ・クッキーを有効性確認することがきるように、サーバ・クッキーは、有効期限値を含むことができ、かつ/またはサービス・サーバ112に周知の鍵によって暗号化されることができる。また上記のように、ログイン・サーバ108は、ユーザが将来ログイン・サーバ108にリダイレクトされた場合に、ユーザを認証するログイン・サーバ108用のログイン・クッキーも提供することができる。
クライアント・コンピュータ102がサーバ・クッキーを取得するためにログインした後で、クライアント・コンピュータ102は、ログイン・サーバ108からサービス・サーバ112にダイレクトされて戻されると、アクセス動作306でサービス・サーバ112のネットワーク・ロケーションへのアクセスを試行する。そのリダイレクトにおいて、クエリ・ストリングは、サーバ・クッキーを有するクライアント・コンピュータ102のユーザが認証されたばかりであることを示す、ログイン・サーバ108からのメッセージを含む。この時点で、サービス・サーバ112は、クエリ・ストリングからのメッセージとクライアント・コンピュータ102からのサーバ・クッキーとを入手し、サーバ・クッキーの有効性確認を試行する。サービス・サーバ112は、サーバ・クッキーを暗号解読し、かつ/または期限切れでないことを検証することなどによるサーバ・クッキーの有効性確認に基づいて、認証動作308でユーザを認証する。認証において、サービス・サーバ112が、ユーザがログイン・サーバ108で認証されたばかりであるというメッセージをログイン・サーバ108から受け取ると、サービス・サーバ112は、サービス・サーバ112で提供されるサブ・ロケーションのそれぞれに対して、ユーザに複数のサブ・ロケーション・クッキーを生成し、提供する。
特定のサーバ・クッキーに関してサブ・ロケーション・クッキーがクライアント・コンピュータ102に一度提供されると、サービス・サーバ112は、これと同じサーバ・クッキーによって認証されているクライアント・コンピュータ102が、ユーザがアクセスを試行しているサブ・ロケーション用に発行されたサブ・ロケーション・クッキーを所有することを要求する。これにより、サービス・サーバ112は、サブ・ロケーション動作310で、アクセスされているサブ・ロケーションに対してユーザを認証するために、別の秘密鍵による暗号解読により、かつ/または期限切れでないことの検証により、サブ・ロケーション・クッキーの有効性確認を試行することができる。サーバ・クッキーを有するユーザがサブ・ロケーション・クッキーを有していない場合、サービス・サーバ112は、ログイン・サーバ108によって再度認証されるように、ユーザを指示することができる。
ある実施形態では、サービス・サーバ112は、ユーザが以前に認証済みであることをチェックする追加の許可も提供することができ、認証済みのユーザが特定のサブ・ロケーションにアクセスする権限を有するか否かを判定することができるということが理解されよう。サブ・ロケーション・クッキーはネットワーク・ロケーションのサブ・ロケーションに対してユーザを認証するよう働くが、ユーザは特定のサブ・ロケーションに対して許可を有しない場合があり、それに基づいてアクセスを拒否される場合がある。
図4は、ユーザを認証するためのクッキー・アプリケーション218の一実施形態の論理動作例を示す。この論理動作は、サービス・サーバ112がクライアント・コンピュータ102からアクセスの試行を受け取るアクセス動作402から始まる。ここで、アクセスの試行はログイン・サーバ108からサービス・サーバ112に戻るリダイレクトであってよい。アクセスの試行を受け取った際に、サービス・サーバ112は、暗号解読および/または期限切れでないことの検証によって有効性確認することができるサーバ・クッキー(第1のクッキー)をクライアント・コンピュータ102から取得するよう試行する。この時点で、サービス・サーバ112は、ログイン・サーバ108から、ユーザがログイン・サーバ108で認証されたばかりであることを示す何らかのメッセージを入手することもできる。
クエリ動作406は、サーバ・クッキーの有効性確認が成功したか否かを検出する。クエリ動作406が、サーバ・クッキーが暗号解読されなかった、または期限切れであるなどの理由でサーバ・クッキーの有効性確認が行われていないことを検出すると、サービス・サーバ112は、リダイレクト動作408でクライアント・コンピュータ102をログイン・サーバ108に誘導することができる。あるいは、サービス・サーバ112は、単純にユーザに対してアクセスを拒否することができる。クエリ動作406がサーバ・クッキーの有効性確認が成功したことを検出した場合、動作の流れはクエリ動作410に移行する。
クエリ動作410で、サービス・サーバ112は、現在入手しているサーバ・クッキーに関して、サブ・ロケーション・クッキーが既にクライアント・コンピュータ102に提供されているか否かをテストする。これは、ログイン・サーバ108からサービス・サーバ112に戻されたクエリ・ストリングのメッセージを参照することによって行うことができる。ログイン・サーバ108からのメッセージが既に受け取られている場合、サービス・サーバ112は、サービス・サーバ112のネットワーク・ロケーションに関してユーザがログイン・サーバ108で認証されたばかりであること、またディレクトリ・クッキーはまだ提供されていないことを認識する。このメッセージは、さらに、サーバ・クッキーを提示しているユーザは、そのサーバ・クッキーを盗んだ可能性のある悪意あるユーザではなく正当なユーザであることを示している。ログイン・サーバ108からのメッセージが提示されていない場合、サブ・ロケーション・クッキーが既にそのサーバ・クッキーに対して提供されているかのようにサービス・サーバ112は進行する。これにより、悪意あるユーザに対してサブ・ロケーション・クッキーが発行されることが防止される。
クエリ動作410が、ログイン・サーバ108からのクエリ・ストリング内にこのメッセージがあるという理由でこのサーバ・クッキーにはまだサブ・ロケーション・クッキーが提供されていないことを検出した場合、サービス・サーバ112は生成動作412で、現在のサーバ・クッキーに関連付けられて使用されるサブ・ロケーション・クッキーを生成する。上記のように、それら生成されたサブ・ロケーション・クッキーのそれぞれは、対応するサブ・ロケーションの識別子を含んでおり、またアクセスに対して追加の許可チェックが要求される場合にはユーザの識別子も含むことができる。これら生成されたサブ・ロケーション・クッキーは、送信動作414でクライアント・コンピュータ102に送信される。アクセスされているサブ・ロケーションに関する現在のユーザに対する認証が、認証動作416で許可される。
クエリ動作410が、アクセスの試行に関してログイン・サーバ108からメッセージが全く受け取られていないことに起因して、既にこのサーバ・クッキーにはサブ・ロケーション・クッキーが提供されているということを検出した場合、サービス・サーバ112は、クッキー動作418で、現在アクセスされているサブ・ロケーションに対するサブ・ロケーション・クッキーを取得することを試行する。サーバ・クッキーに関して上述したように、クライアント・コンピュータ102のサブ・ロケーション・クッキーは、サービス・サーバ112に周知の鍵によって暗号化されることができ、したがって、その鍵はサブ・ロケーション・クッキーを有効性確認することができるように暗号解読するために使用される。さらに、関連サブ・ロケーションはサブ・ロケーション・クッキーで特定される。クエリ動作420は、現在のサブ・ロケーションに対するサブ・ロケーション・クッキーが暗号解読および/または期限切れでないことの検証によって、さらにそのクッキーで特定されたサブ・ロケーションを、アクセスを受けているサブ・ロケーションと比較することによって、有効性確認されるか否かを検出する。
クエリ動作420がこのサブ・ロケーションに対して有効性確認することのできるサブ・ロケーション・クッキーが発見されなかったということを検出した場合、サービス・サーバ112は、現在のユーザがそのサブ・ロケーションにアクセスすることができないように、拒絶動作422でユーザに対してサブ・ロケーションに対する認証を拒否する。これで、サーバ・クッキーを盗んだ可能性があり、別のサブ・ロケーションへのディレクトリ・クッキーまでも盗んだ可能性のある悪意あるユーザが現在のサブ・ロケーションにアクセスすることが防止される。クエリ動作420がこのサブ・ロケーションに関してサブ・ロケーション・クッキーが有効性確認されることを検出した場合、サービス・サーバ112は、認証動作416でサブ・ロケーションに対する認証をユーザに許可する。必要ならば、認証されたユーザがこの対象サブ・ロケーションにアクセスする許可を得ているか否かを判定するために、認証されたユーザを、サブ・ロケーションに関する認証規則と、適宜、照らし合わせることができる。
以上、本発明を、それを説明する実施形態を参照して特に図示し説明したが、当業者には、本発明の趣旨および範囲を逸脱せずにその形式または詳細に様々なこの他の変更を行うことができるということが理解されよう。
本発明の実施形態のネットワーク接続された動作環境を示す図である。 本発明の一実施形態によるネットワーク・ロケーションのサーバ・コンピュータの構成要素を示す図である。 本発明の一実施形態による、クライアント・コンピュータのユーザを認証するために、ログイン・サーバとサービス・サーバとクライアント・コンピュータの間で図1のネットワーク内で行われる対話の論理動作を示す図である。 本発明の一実施形態による、1つまたは複数のサブ・ロケーションに対してクライアント・コンピュータのユーザを認証するために、サービス・サーバによって実行される論理動作を示す図である。
符号の説明
102 クライアント
104 クッキー
106 ネットワーク
108 ログイン・サーバ
110 参照「ユーザ名、パスワード」
112 サービス・サーバ
114 クッキー暗号解読鍵

Claims (40)

  1. ネットワーク・アドレス内の少なくとも1つのサブ・ロケーションに対してコンピュータのユーザを認証する方法において、
    サブ・ロケーションを持つネットワーク・アドレスを提供すること、前記ネットワーク・アドレスは、前記サブ・ロケーションにアクセスするためにユーザ認証を提供するのに少なくとも2つのクッキーを必要とするドメインであり、
    前記ネットワーク・アドレスに対するユーザ認証のために前記コンピュータに第1のクッキーを提供すること、前記第1のクッキーは前記ネットワーク・アドレスに対するユーザ認証を提供するが、前記サブ・ロケーションに対する認証は与えないものであり、
    前記ネットワーク・アドレス内の第1のサブ・ロケーションに対するユーザ認証のために前記コンピュータに第2のクッキーを提供すること、
    前記コンピュータが前記ネットワーク・アドレスへのアクセスを試行する場合、前記ネットワーク・アドレスに対して前記ユーザを認証するために前記第1のクッキーを有効性確認すること、および
    前記ネットワーク・アドレス内の前記第1のサブ・ロケーションに対して前記ユーザを認証するために前記第2のクッキーを有効性確認すること
    を備えることを特徴とする方法。
  2. 前記第2のクッキーは、前記コンピュータが前記ネットワーク・アドレス内の前記第1のサブ・ロケーションへのアクセスを試行する場合に、有効性確認されることを特徴とする請求項1に記載の方法。
  3. 前記ネットワーク・アドレスは、ワールド・ワイド・ウェブのドメインであることを特徴とする請求項1に記載の方法。
  4. 前記第2のクッキーは、前記ネットワーク・アドレスと前記ネットワーク・アドレス内の前記サブ・ロケーションとをホスティングするサーバに周知の鍵によって、暗号化されていることを特徴とする請求項1に記載の方法。
  5. 前記第2のクッキーは、ユーザ識別子と前記ネットワーク・アドレス内の前記第1のサブ・ロケーションの識別子とを明記していることを特徴とする請求項1に記載の方法。
  6. 前記第2のクッキーは、有効期限値を含むことを特徴とする請求項1に記載の方法。
  7. 前記ネットワーク・アドレスの追加のサブ・ロケーションに対するユーザ認証のために前記コンピュータに追加のクッキーを提供すること、および
    前記ネットワーク・アドレス内の前記追加のサブ・ロケーションに対して前記ユーザを認証するために前記追加のクッキーを有効性確認すること
    をさらに備えることを特徴とする請求項1に記載の方法。
  8. 前記ネットワーク・アドレス内の追加のサブ・ロケーションに対して有効性確認することができる追加のクッキーを検索すること、および
    前記追加のクッキーが見つからなかった場合、前記ネットワーク・アドレス内の前記追加のサブ・ロケーションに対して前記ユーザの認証を拒否すること
    をさらに備えることを特徴とする請求項1に記載の方法。
  9. 前記ユーザのコンピュータからユーザ名およびパスワードを取得すること、
    前記「ユーザ名およびパスワード」を参照「ユーザ名およびパスワード」と比較すること、
    前記「ユーザ名およびパスワード」が前記参照「ユーザ名およびパスワード」と一致した場合、前記第1のクッキーを提供すること、
    前記ユーザのコンピュータが前記第1のクッキーを受け取った後に前記ユーザが前記ネットワーク・ロケーションへのアクセスを最初(1回目)に試行した場合、前記第1のクッキーを有効性確認したことに基づいて前記ユーザのコンピュータに前記第2のクッキーを提供すること、および
    前記第1のクッキーによって前記1回目の後に前記ユーザが前記ネットワーク・ロケーションへのアクセスを試行した場合、前記コンピュータから前記第2のクッキーを取得すること
    をさらに備えることを特徴とする請求項1に記載の方法。
  10. 前記「ユーザ名およびパスワード」を前記「参照ユーザ名およびパスワード」と比較することは、第2のネットワーク・ロケーションで行われ、前記第1のクッキーが前記第2のネットワーク・ロケーションから前記ユーザのコンピュータに提供されることを特徴とする請求項9に記載の方法。
  11. ネットワーク・インターフェースと、
    前記ネットワーク・インターフェースを介して第1のクッキーを取得し、ネットワーク・アドレスに対してユーザを認証するために前記第1のクッキーを有効性確認し、前記ネットワーク・アドレスはサブ・ロケーションにアクセスするためにユーザ認証を提供するのに少なくとも2つのクッキーを必要とするドメインであり、前記第1のクッキーは前記ネットワーク・アドレスに対するユーザ認証を提供するが、前記サブ・ロケーションに対するユーザ認証は与えないものであり、また前記ネットワーク・インターフェースを介して第2のクッキーを取得し、前記ネットワーク・アドレス内の第1のサブ・ロケーションに対して前記ユーザを認証するために前記第2のクッキーを有効性確認するよう構成されている処理装置と
    を備えることを特徴とするコンピュータ・システム。
  12. 前記処理装置は、前記ネットワーク・アドレス内の前記第1のサブ・ロケーションへのアクセスの試行を受け取ったことに基づいて、前記第2のクッキーを有効性確認することを特徴とする請求項11に記載のコンピュータ・システム。
  13. 前記ネットワーク・アドレスは、ワールド・ワイド・ウェブのドメインであることを特徴とする請求項11に記載のコンピュータ・システム。
  14. 前記第2のクッキーを暗号解読する鍵を収容するストレージ(記憶域)をさらに備えることを特徴とする請求項11に記載のコンピュータ・システム。
  15. 前記第2のクッキーは、ユーザ識別子と前記ネットワーク・アドレス内の前記第1のサブ・ロケーションの識別子とを明記していることを特徴とする請求項11に記載のコンピュータ・システム。
  16. 前記第2のクッキーは、有効期限を含むことを特徴とする請求項11に記載のコンピュータ・システム。
  17. 前記処理装置は、前記ネットワーク・インターフェースを介して前記ネットワーク・アドレス内の追加のサブ・ロケーションに対する追加のクッキーを取得し、前記ネットワーク・アドレス内の前記追加のサブ・ロケーションに対して前記ユーザを認証するために前記追加のクッキーを有効性確認するように、さらに構成されていることを特徴とする請求項11に記載のコンピュータ・システム。
  18. 前記処理装置は、前記ネットワーク・インターフェースを介して、追加のサブ・ロケーションに対して有効性確認することができる追加のクッキーを検索し、前記追加のクッキーが見つからない場合は前記ネットワーク・アドレス内の前記追加のサブ・ロケーションに対して前記ユーザを認証することを拒否するように、さらに構成されていることを特徴とする請求項11に記載のコンピュータ・システム。
  19. 前記処理装置は、前記第1のクッキーが前記ネットワーク・インターフェースを介して最初(1回目)に取得された場合、前記第1のクッキーを有効性確認したことに基づいて前記ネットワーク・インターフェースを介して前記第2のクッキーを提供し、前記第1のクッキーが前記1回目の後に前記ネットワーク・インターフェースを介して取得された場合、前記ネットワーク・インターフェースを介して前記第2のクッキーを取得するようさらに構成されていることを特徴とする請求項11に記載のコンピュータ・システム。
  20. 前記サブ・ロケーションは、前記ネットワーク・アドレスのサーバのディレクトリであることを特徴とする請求項11に記載のコンピュータ・システム。
  21. ネットワーク・アドレス中に少なくとも1つのサブ・ロケーションを提供する前記ネットワーク・アドレスにあるサーバ・コンピュータであって、前記ネットワーク・アドレスはドメインであり、前記ネットワーク・アドレスのリソースにアクセスするためのユーザ認証を提供するのに少なくとも2つのクッキーを必要とするサーバ・コンピュータと
    ネットワークを介して前記サーバ・コンピュータと通信するクライアント・コンピュータであって、前記ネットワーク・アドレスに対する第1のクッキーと前記ネットワーク・アドレス内の前記サブ・ロケーションに対する第2のクッキーとを記憶し、前記第1のクッキーは、ネットワーク・アドレスに対するユーザ認証を提供するが、サブ・ロケーションに対する認証は与えないクライアント・コンピュータ
    を備え、
    前記サーバ・コンピュータは、前記ネットワーク・アドレスに対して前記クライアント・コンピュータのユーザを認証するために前記第1のクッキーにアクセスして有効性確認し、前記サーバ・コンピュータは、前記ネットワーク・アドレス内のサブ・ロケーションに対して前記クライアント・コンピュータの前記ユーザを認証するために前記第2のクッキーにアクセスして有効性確認することを特徴とするネットワーク・システム。
  22. 前記サーバ・コンピュータは、前記クライアント・コンピュータが前記ネットワーク・アドレス内の前記第1のサブ・ロケーションへのアクセスを試行しる場合、前記第2のクッキーを有効性確認することを特徴とする請求項21に記載のネットワーク・システム。
  23. 前記ネットワーク・アドレスは、ワールド・ワイド・ウェブのドメインであることを特徴とする請求項21に記載のネットワーク・システム。
  24. 前記第2のクッキーは、前記サーバ・コンピュータに周知の鍵によって暗号化されていることを特徴とする請求項21に記載のネットワーク・システム。
  25. 前記第2のクッキーは、ユーザ識別子と前記ネットワーク・アドレス内の前記第1のサブ・ロケーションの識別子とを明記していることを特徴とする請求項21に記載のネットワーク・システム。
  26. 前記第2のクッキーは、有効期限値を含むことを特徴とする請求項21に記載のネットワーク・システム。
  27. 前記クライアント・コンピュータは、前記ネットワーク・アドレス内の追加のサブ・ロケーションに対するユーザ認証のための追加のクッキーを記憶し、前記サーバ・コンピュータは、前記ネットワーク・アドレス内の前記追加のサブ・ロケーションに対して前記ユーザを認証するために前記追加のクッキーにアクセスして有効性確認することを特徴とする請求項21に記載のネットワーク・システム。
  28. 前記サーバ・コンピュータは、前記ネットワーク・アドレス内の追加のサブ・ロケーションに対して有効性確認することができる追加のクッキーを前記クライアント・コンピュータから検索し、前記追加のクッキーが見つからなかった場合、前記追加のサブ・ロケーションに対して前記ユーザの認証を拒否することを特徴とする請求項21に記載のネットワーク・システム。
  29. 前記クライアント・コンピュータから「ユーザ名およびパスワード」を取得して前記「ユーザ名およびパスワード」を参照「ユーザ名およびパスワード」と比較し、前記「ユーザ名およびパスワード」が前記「参照ユーザ名およびパスワード」と一致した場合、前記第1のクッキーを前記クライアント・コンピュータに提供する第2のサーバ・コンピュータをさらに備えることを特徴とする請求項21に記載のネットワーク・システム。
  30. 前記クライアント・コンピュータが前記第1のクッキーを受け取った後に、前記クライアント・コンピュータが前記ネットワーク・ロケーションへのアクセスを最初(1回目)に試行した場合、前記第1のクッキーを有効性確認したことに基づいて、前記サーバ・コンピュータは、前記クライアント・コンピュータに前記第2のクッキーを提供し、前記クライアント・コンピュータが前記1回目の後に前記ネットワーク・ロケーションへのアクセスを試行した場合、前記サーバ・コンピュータは、前記クライアント・コンピュータから前記第2のクッキーを取得することを特徴とする請求項21に記載のネットワーク・システム。
  31. コンピュータによって実行された場合に、
    少なくとも1つのサブ・ロケーションを持つネットワーク・アドレスを提供するステップと、前記ネットワーク・アドレスは、前記サブ・ロケーションにアクセスするためにユーザ認証を提供するのに少なくとも2つのクッキーを必要とするドメインであり、
    前記コンピュータのネットワーク・インターフェースを介して第1のクッキーを取得するステップと、
    ネットワーク・アドレスに対してユーザを認証するために前記第1のクッキーを有効性確認するステップと、前記第1のクッキーは、第1のサブ・ロケーションに対する認証は与えないものであり、
    前記コンピュータの前記ネットワーク・インターフェースを介して第2のクッキーを取得するステップと、
    前記ネットワーク・アドレス内の前記第1のサブ・ロケーションに対して前記ユーザを認証するために前記第2のクッキーを有効性確認するステップと
    を実行するプログラムを格納したことを特徴とするコンピュータ可読記録媒体。
  32. 前記第2のクッキーは、前記プログラムを実行している前記コンピュータが前記ネットワーク・アドレスの前記第1のサブ・ロケーションへのアクセスの試行を受け取った際に、有効性確認されることを特徴とする請求項31に記載のコンピュータ可読記録媒体。
  33. 前記ネットワーク・アドレスは、ワールド・ワイド・ウェブのドメインであることを特徴とする請求項31に記載のコンピュータ可読媒体。
  34. 前記第2のクッキーは、前記プログラムを実行している前記コンピュータに周知の鍵によって暗号化されていることを特徴とする請求項31に記載のコンピュータ可読記録媒体。
  35. 前記第2のクッキーは、ユーザ識別子と前記ネットワーク・アドレスの前記第1のサブ・ロケーションの識別子とを明記していることを特徴とする請求項31に記載のコンピュータ可読記録媒体。
  36. 前記第2のクッキーは、有効期限値を含むことを特徴とする請求項31に記載のコンピュータ可読記録媒体。
  37. 前記プログラムが前記コンピュータによって実行された場合に、
    前記ネットワーク・インターフェースを介して前記ネットワーク・アドレス内の追加のサブ・ロケーションに対する追加のクッキーを取得するステップと、
    前記ネットワーク・アドレスの前記追加のサブ・ロケーションに対して前記ユーザを認証するために前記追加のクッキーを有効性確認するステップと
    の追加のステップを実行することを特徴とする請求項31に記載のコンピュータ可読記録媒体。
  38. 前記プログラムが前記コンピュータによって実行された場合に、
    追加のサブ・ロケーションに対して有効性確認することができる追加のクッキーを、前記ネットワーク・インターフェースを介して検索するステップと、
    前記追加のクッキーが見つからなかった場合、前記ネットワーク・アドレスの前記追加のサブ・ロケーションに対して前記ユーザの認証を拒否するステップと
    の追加のステップを実行することを特徴とする請求項31に記載のコンピュータ可読記録媒体。
  39. 前記プログラムが前記コンピュータによって実行された場合に、
    前記コンピュータが前記第1のクッキーを最初(1回目)に受け取った場合、前記第1のクッキーを有効性確認することに基づいて、前記ネットワーク・インターフェースを介して前記第2のクッキーを提供するステップと、
    前記ユーザが前記1回目の後に前記ネットワーク・ロケーションへのアクセスを試行した場合、前記ネットワーク・インターフェースを介して前記第2のクッキーを取得するステップと
    の追加のステップを実行することを特徴とする請求項31に記載のコンピュータ可読記録媒体。
  40. 前記サブ・ロケーションは、前記プログラムを実行している前記コンピュータのネットワーク・アドレスにおける複数のサーバ・コンピュータから成るファームのうちの1つのサーバ・コンピュータであることを特徴とする請求項31に記載のコンピュータ可読記録媒体。
JP2003406556A 2002-12-05 2003-12-04 ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム Expired - Lifetime JP4746266B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/310,269 2002-12-05
US10/310,269 US7237118B2 (en) 2002-12-05 2002-12-05 Methods and systems for authentication of a user for sub-locations of a network location

Publications (2)

Publication Number Publication Date
JP2004185623A JP2004185623A (ja) 2004-07-02
JP4746266B2 true JP4746266B2 (ja) 2011-08-10

Family

ID=32312267

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003406556A Expired - Lifetime JP4746266B2 (ja) 2002-12-05 2003-12-04 ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム

Country Status (17)

Country Link
US (1) US7237118B2 (ja)
EP (1) EP1427160B1 (ja)
JP (1) JP4746266B2 (ja)
KR (1) KR100920871B1 (ja)
CN (1) CN100438421C (ja)
AT (1) ATE471022T1 (ja)
AU (1) AU2003262473B2 (ja)
BR (1) BR0305278A (ja)
CA (1) CA2448853C (ja)
DE (1) DE60332909D1 (ja)
HK (1) HK1066123A1 (ja)
MX (1) MXPA03010778A (ja)
MY (1) MY138346A (ja)
PL (1) PL363770A1 (ja)
RU (1) RU2348070C2 (ja)
TW (1) TWI330482B (ja)
ZA (1) ZA200308723B (ja)

Families Citing this family (99)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7343413B2 (en) 2000-03-21 2008-03-11 F5 Networks, Inc. Method and system for optimizing a network by independently scaling control segments and data flow
US8380854B2 (en) 2000-03-21 2013-02-19 F5 Networks, Inc. Simplified method for processing multiple connections from the same client
US20030084171A1 (en) * 2001-10-29 2003-05-01 Sun Microsystems, Inc., A Delaware Corporation User access control to distributed resources on a data communications network
US7275260B2 (en) 2001-10-29 2007-09-25 Sun Microsystems, Inc. Enhanced privacy protection in identification in a data communications network
US20030084302A1 (en) * 2001-10-29 2003-05-01 Sun Microsystems, Inc., A Delaware Corporation Portability and privacy with data communications network browsing
US7496751B2 (en) * 2001-10-29 2009-02-24 Sun Microsystems, Inc. Privacy and identification in a data communications network
US7730321B2 (en) * 2003-05-09 2010-06-01 Emc Corporation System and method for authentication of users and communications received from computer systems
CA2422334C (en) * 2003-03-17 2009-06-09 British Telecommunications Public Limited Company Authentication of network users
US8977763B1 (en) * 2003-04-25 2015-03-10 Aol Inc. Systems and methods for distributing streams and stream metadata
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
US8099503B2 (en) * 2003-12-23 2012-01-17 Microsoft Corporation Methods and systems for providing secure access to a hosted service via a client application
US10999298B2 (en) 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
US7857701B2 (en) * 2004-03-12 2010-12-28 Microsoft Corporation Silent sign-in for offline games
WO2006002068A2 (en) * 2004-06-15 2006-01-05 Passmark Security, Inc. Method and apparatus for making accessible a set of services to users
JP5075410B2 (ja) * 2004-07-07 2012-11-21 株式会社 アスリート テレビ受像機及びクライアント端末
US20100100967A1 (en) * 2004-07-15 2010-04-22 Douglas James E Secure collaborative environment
US7676834B2 (en) * 2004-07-15 2010-03-09 Anakam L.L.C. System and method for blocking unauthorized network log in using stolen password
US8296562B2 (en) * 2004-07-15 2012-10-23 Anakam, Inc. Out of band system and method for authentication
US8528078B2 (en) * 2004-07-15 2013-09-03 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
US8533791B2 (en) 2004-07-15 2013-09-10 Anakam, Inc. System and method for second factor authentication services
ES2420158T3 (es) * 2004-07-15 2013-08-22 Anakam, Inc. Sistema y método para bloquear un inicio de sesión de red no autorizado usando una contraseña robada
US20060190990A1 (en) * 2005-02-23 2006-08-24 Shimon Gruper Method and system for controlling access to a service provided through a network
US8171303B2 (en) * 2004-11-03 2012-05-01 Astav, Inc. Authenticating a login
EP1662820A1 (de) * 2004-11-25 2006-05-31 Siemens Aktiengesellschaft Übermittlung Dienst-relevanter Zugangsinformationen bei Authentisierung eines Endgeräts an einer Zugangseinrichtung eines Telekommunikationsnetzes
US20070027807A1 (en) * 2005-07-29 2007-02-01 Alexandre Bronstein Protecting against fraud by impersonation
US8533350B2 (en) 2005-11-01 2013-09-10 Ravenwhite Inc. Method and apparatus for storing information in a browser storage area of a client device
US20070124805A1 (en) * 2005-11-29 2007-05-31 Yahoo! Inc. Cookie with multiple staged logic for identifying an unauthorized type of user
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US7765275B2 (en) * 2006-01-27 2010-07-27 International Business Machines Corporation Caching of private data for a configurable time period
ES2530715T3 (es) * 2006-03-09 2015-03-04 Vasco Data Security Int Gmbh Método y sistema para autenticar a un usuario
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US8844003B1 (en) 2006-08-09 2014-09-23 Ravenwhite Inc. Performing authentication
US11075899B2 (en) 2006-08-09 2021-07-27 Ravenwhite Security, Inc. Cloud authentication
CN101540734A (zh) 2008-03-21 2009-09-23 阿里巴巴集团控股有限公司 一种跨域名Cookie访问方法、***及设备
US8719572B2 (en) * 2008-07-16 2014-05-06 Disney Enterprises, Inc. System and method for managing authentication cookie encryption keys
KR101048836B1 (ko) * 2009-01-22 2011-07-13 주식회사 인사이트랩 모바일 기기를 이용한 금융 서비스 제공 시스템 및 그 방법
US9112850B1 (en) 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
US8370908B2 (en) * 2009-06-10 2013-02-05 Microsoft Corporation Decreasing login latency
US8286225B2 (en) * 2009-08-07 2012-10-09 Palo Alto Research Center Incorporated Method and apparatus for detecting cyber threats
US10721269B1 (en) 2009-11-06 2020-07-21 F5 Networks, Inc. Methods and system for returning requests with javascript for clients before passing a request to a server
US8756319B2 (en) * 2010-06-17 2014-06-17 Bby Solutions, Inc. Automatic reauthentication in a media device
US9141625B1 (en) 2010-06-22 2015-09-22 F5 Networks, Inc. Methods for preserving flow state during virtual machine migration and devices thereof
US10015286B1 (en) 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
US9384112B2 (en) 2010-07-01 2016-07-05 Logrhythm, Inc. Log collection, structuring and processing
US8347100B1 (en) 2010-07-14 2013-01-01 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
US8886981B1 (en) 2010-09-15 2014-11-11 F5 Networks, Inc. Systems and methods for idle driven scheduling
US9361597B2 (en) 2010-10-19 2016-06-07 The 41St Parameter, Inc. Variable risk engine
WO2012058643A2 (en) 2010-10-29 2012-05-03 F5 Networks, Inc. System and method for on the fly protocol conversion in obtaining policy enforcement information
US10135831B2 (en) 2011-01-28 2018-11-20 F5 Networks, Inc. System and method for combining an access control system with a traffic management system
US9246819B1 (en) 2011-06-20 2016-01-26 F5 Networks, Inc. System and method for performing message-based load balancing
US8943571B2 (en) * 2011-10-04 2015-01-27 Qualcomm Incorporated Method and apparatus for protecting a single sign-on domain from credential leakage
US9118619B2 (en) * 2011-11-07 2015-08-25 Qualcomm Incorported Prevention of cross site request forgery attacks by conditional use cookies
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
US9270766B2 (en) 2011-12-30 2016-02-23 F5 Networks, Inc. Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof
US10230566B1 (en) 2012-02-17 2019-03-12 F5 Networks, Inc. Methods for dynamically constructing a service principal name and devices thereof
US9172753B1 (en) * 2012-02-20 2015-10-27 F5 Networks, Inc. Methods for optimizing HTTP header based authentication and devices thereof
US9231879B1 (en) 2012-02-20 2016-01-05 F5 Networks, Inc. Methods for policy-based network traffic queue management and devices thereof
US9633201B1 (en) 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
WO2013163648A2 (en) 2012-04-27 2013-10-31 F5 Networks, Inc. Methods for optimizing service of content requests and devices thereof
WO2014022813A1 (en) 2012-08-02 2014-02-06 The 41St Parameter, Inc. Systems and methods for accessing records via derivative locators
KR101293178B1 (ko) * 2012-09-11 2013-08-12 오정원 쿠키 포맷 인증 정보를 이용한 보안 접속 시스템 및 방법
US8769651B2 (en) * 2012-09-19 2014-07-01 Secureauth Corporation Mobile multifactor single-sign-on authentication
CN102857515B (zh) * 2012-09-21 2015-06-17 北京神州绿盟信息安全科技股份有限公司 一种访问网络的控制方法及装置
US9424543B2 (en) 2012-09-27 2016-08-23 International Business Machines Corporation Authenticating a response to a change request
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
US10375155B1 (en) 2013-02-19 2019-08-06 F5 Networks, Inc. System and method for achieving hardware acceleration for asymmetric flow connections
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
WO2015034384A1 (en) 2013-09-04 2015-03-12 Churyumov Anton Nikolaevich Apparatus and method for authenticating a user via multiple user devices
US10187317B1 (en) 2013-11-15 2019-01-22 F5 Networks, Inc. Methods for traffic rate control and devices thereof
CN103729903A (zh) * 2013-12-26 2014-04-16 乐视致新电子科技(天津)有限公司 以手机作为验证终端的认证***及方法
US10015143B1 (en) 2014-06-05 2018-07-03 F5 Networks, Inc. Methods for securing one or more license entitlement grants and devices thereof
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
US10122630B1 (en) 2014-08-15 2018-11-06 F5 Networks, Inc. Methods for network traffic presteering and devices thereof
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
US9734682B2 (en) 2015-03-02 2017-08-15 Enovate Medical, Llc Asset management using an asset tag device
US10834065B1 (en) 2015-03-31 2020-11-10 F5 Networks, Inc. Methods for SSL protected NTLM re-authentication and devices thereof
US20160301691A1 (en) * 2015-04-10 2016-10-13 Enovate Medical, Llc Layering in user authentication
US10505818B1 (en) 2015-05-05 2019-12-10 F5 Networks. Inc. Methods for analyzing and load balancing based on server health and devices thereof
US11350254B1 (en) 2015-05-05 2022-05-31 F5, Inc. Methods for enforcing compliance policies and devices thereof
US11757946B1 (en) 2015-12-22 2023-09-12 F5, Inc. Methods for analyzing network traffic and enforcing network policies and devices thereof
US10404698B1 (en) 2016-01-15 2019-09-03 F5 Networks, Inc. Methods for adaptive organization of web application access points in webtops and devices thereof
US11178150B1 (en) 2016-01-20 2021-11-16 F5 Networks, Inc. Methods for enforcing access control list based on managed application and devices thereof
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof
US10348712B2 (en) * 2016-02-26 2019-07-09 Ricoh Company, Ltd. Apparatus, authentication system, and authentication method
US10791088B1 (en) 2016-06-17 2020-09-29 F5 Networks, Inc. Methods for disaggregating subscribers via DHCP address translation and devices thereof
US9779405B1 (en) * 2016-09-26 2017-10-03 Stripe, Inc. Systems and methods for authenticating a user commerce account associated with a merchant of a commerce platform
US11063758B1 (en) 2016-11-01 2021-07-13 F5 Networks, Inc. Methods for facilitating cipher selection and devices thereof
US10505792B1 (en) 2016-11-02 2019-12-10 F5 Networks, Inc. Methods for facilitating network traffic analytics and devices thereof
US10812266B1 (en) 2017-03-17 2020-10-20 F5 Networks, Inc. Methods for managing security tokens based on security violations and devices thereof
US10645177B2 (en) * 2017-04-19 2020-05-05 International Business Machines Corporation Cookie based session timeout detection and management
US10972453B1 (en) 2017-05-03 2021-04-06 F5 Networks, Inc. Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof
US11122042B1 (en) 2017-05-12 2021-09-14 F5 Networks, Inc. Methods for dynamically managing user access control and devices thereof
US11343237B1 (en) 2017-05-12 2022-05-24 F5, Inc. Methods for managing a federated identity environment using security and access control data and devices thereof
US11122083B1 (en) 2017-09-08 2021-09-14 F5 Networks, Inc. Methods for managing network connections based on DNS data and network policies and devices thereof
US11212101B2 (en) * 2018-10-09 2021-12-28 Ca, Inc. Token exchange with client generated token

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1989003542A1 (en) * 1987-10-06 1989-04-20 Asahi Glass Company Ltd. Liquid crystal display device
ATE72118T1 (de) * 1987-11-30 1992-02-15 Gist Brocades Nv Pharmazeutische zusammensetzung und verfahren zu ihrer herstellung.
WO2000027089A1 (en) * 1998-10-30 2000-05-11 Lockstar, Inc. Secure authentication for access to back-end resources
US6226752B1 (en) * 1999-05-11 2001-05-01 Sun Microsystems, Inc. Method and apparatus for authenticating users
WO2001077780A2 (en) * 2000-04-06 2001-10-18 Freerun Technologies, Inc. Systems and methods for securing a web transaction between a client and a merchant using encrypted keys and cookies
US7194764B2 (en) * 2000-07-10 2007-03-20 Oracle International Corporation User authentication
KR100463514B1 (ko) * 2000-09-09 2004-12-29 엘지전자 주식회사 로그인 수행을 위한 시스템의 운영 방법 및 이를 위한시스템
US7380008B2 (en) * 2000-12-22 2008-05-27 Oracle International Corporation Proxy system
US20020129159A1 (en) * 2001-03-09 2002-09-12 Michael Luby Multi-output packet server with independent streams
US20030018707A1 (en) * 2001-07-20 2003-01-23 Flocken Philip Andrew Server-side filter for corrupt web-browser cookies

Also Published As

Publication number Publication date
CA2448853A1 (en) 2004-06-05
RU2348070C2 (ru) 2009-02-27
CA2448853C (en) 2013-02-19
TW200423661A (en) 2004-11-01
EP1427160A3 (en) 2008-09-24
KR100920871B1 (ko) 2009-10-09
ZA200308723B (en) 2004-10-08
AU2003262473A1 (en) 2004-06-24
DE60332909D1 (de) 2010-07-22
CN100438421C (zh) 2008-11-26
TWI330482B (en) 2010-09-11
BR0305278A (pt) 2004-08-31
MXPA03010778A (es) 2005-04-19
US20040111621A1 (en) 2004-06-10
HK1066123A1 (en) 2005-03-11
RU2003135433A (ru) 2005-05-10
EP1427160A2 (en) 2004-06-09
PL363770A1 (en) 2004-06-14
CN1507203A (zh) 2004-06-23
AU2003262473B2 (en) 2009-05-28
ATE471022T1 (de) 2010-06-15
MY138346A (en) 2009-05-29
KR20040049272A (ko) 2004-06-11
EP1427160B1 (en) 2010-06-09
US7237118B2 (en) 2007-06-26
JP2004185623A (ja) 2004-07-02

Similar Documents

Publication Publication Date Title
JP4746266B2 (ja) ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム
US11770261B2 (en) Digital credentials for user device authentication
KR102429633B1 (ko) 다수의 웹사이트들 간의 자동 로그인 방법 및 장치
KR102390108B1 (ko) 정보 처리 시스템 및 제어 방법
US9047458B2 (en) Network access protection
US7827318B2 (en) User enrollment in an e-community
EP1498800B1 (en) Security link management in dynamic networks
US7774611B2 (en) Enforcing file authorization access
US8266683B2 (en) Automated security privilege setting for remote system users
US8490168B1 (en) Method for authenticating a user within a multiple website environment to provide secure access
WO2011089788A1 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
US20150039896A1 (en) System and method for pool-based identity generation and use for service access
US11757877B1 (en) Decentralized application authentication
CN112532599B (zh) 一种动态鉴权方法、装置、电子设备和存储介质
US7487535B1 (en) Authentication on demand in a distributed network environment
CN115333840B (zh) 资源访问方法、***、设备及存储介质
US20080060060A1 (en) Automated Security privilege setting for remote system users
KR101066729B1 (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템
US20230198767A1 (en) Distribution of one-time passwords for multi-factor authentication via blockchain

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061204

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100518

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110311

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110414

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110510

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110513

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140520

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4746266

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term