JP5009294B2 - 分散シングルサインオンサービス - Google Patents

分散シングルサインオンサービス Download PDF

Info

Publication number
JP5009294B2
JP5009294B2 JP2008527997A JP2008527997A JP5009294B2 JP 5009294 B2 JP5009294 B2 JP 5009294B2 JP 2008527997 A JP2008527997 A JP 2008527997A JP 2008527997 A JP2008527997 A JP 2008527997A JP 5009294 B2 JP5009294 B2 JP 5009294B2
Authority
JP
Japan
Prior art keywords
computing device
authentication
client
computer
service provider
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008527997A
Other languages
English (en)
Other versions
JP2009505308A (ja
Inventor
チュウ ビン
チェン ティエルイ
リー シーペン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2009505308A publication Critical patent/JP2009505308A/ja
Application granted granted Critical
Publication of JP5009294B2 publication Critical patent/JP5009294B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

オンラインユーザは、概して、そのユーザがアクセスする権限を与えられる各サービスプロバイダ用の一連の認証証明物(例えば、ユーザ名およびパスワード)を維持することが要求される。これらのユーザは、高レベルのセキュリティを保つためにそれぞれの個々のサービスプロバイダ用に異なる認証証明物を使用するか、または低下したレベルのセキュリティをもたらす様々なサービスプロバイダに対する同一の認証証明物を使用するかのジレンマに直面することが多くある。多数の認証証明物を記録および維持することが難しいので前者よりも後者が選択されることが多い。さらに、セキュリティの影響は別として、サービスプロバイダに対してアクセスする度にユーザに認証証明物を入力するように要求することが必要となるのは、概して不便で時間がかかる手続きである。
様々なオンラインサービスに対するアクセスを提供する認証証明物の複数の組を維持する必要を減らすかまたはなくすために様々な従来技術が提案されてきた。そのような技術の1つは、加入しているサービスプロバイダに対する認証サービスを提供する集中的な証明物管理を利用する。ユーザが最初に集中的な証明物管理と関係を確立し、認証を行った後で、集中的な証明物管理は、その後ユーザが加入しているサービスプロバイダのうちのいずれかに対するアクセスを要求するときに認証プロセスを管理する。この技術は、多数のサービスプロバイダのアクセスを要求しなければならないという複雑性を著しく減らす。高レベルのユーザのセキュリティが維持されながら、集中的な証明物管理は加入している様々なサービスプロバイダとの認証の詳細を透過的に処理する。
現在の通常の集中的な証明物管理技術は、全てのオンライン環境に適している訳ではない。ある通常の集中的な証明物管理技術は、ユーザに認証サーバと認証を行うように要求する。認証の後、認証サーバは認証チケットをユーザに発行する。認証チケットは、サービスアクセスチケット(service access tickets)を発行するサーバにアクセスするためにユーザによって使用される。このサーバは、認証チケットが有効である場合にサービスアクセスチケットをユーザに発行する。ユーザはその後、サービスアクセスチケットを使用してサービスプロバイダにアクセスすることができる。
説明された通常の集中的な証明物管理技術は、サービスプロバイダが集中的に維持される場合に安全なアクセス機能を提供する。しかし、サービスプロバイダがインターネットなどの、多数の異なるユーザ/エンティティを有するネットワークの一部である場合にはサービスプロバイダに対する安全なアクセスは危険にさらされる。
別の従来の認証技術は、登録ユーザおよびそれらの登録ユーザの関連する認証証明物を含む集中的なデータベースを使用する。登録ユーザのそれぞれはユニークな64ビットのID番号を有する。この従来の認証技術は、加入しているそれぞれのサービスプロバイダにもユニークなIDを割り当てる。これらのユニークなIDは集中的なデータベースにも保持される。加入しているサービスプロバイダは、集中的なデータベースを管理するエンティティとの安全な通信を容易にするサーバコンポーネントを実装することに同意する。登録ユーザが加入しているサービスプロバイダと認証を行うように試みるとき、ユーザは認証を容易にするための管理エンティティに透過的にリダイレクトされる。加入しているサービスプロバイダと管理エンティティとの間の実装された安全な通信経路は、許可された認証要求を確実にすることを支援する。
前述の認証技術は安全なウェブベースの認証を提供する。しかし、当該技術はインターネットコミュニティによって広く採用されてこなかった。これは、当該技術の集中的なデータベースの設計の特徴が主な原因である。一部のサービスプロバイダは、集中データベースが使用されるので当該技術を容認しない。具体的には、サービスプロバイダは、ユーザ認証の成功を保証するために、集中的なデータベースを管理するエンティティに頼らなければならない。当該エンティティが技術的な困難を経験する場合、ユーザ認証が途絶されることがある。サービスプロバイダが制御できないこの途絶の可能性は、サービスプロバイダが進んで冒したくはないリスクとなる場合がある。さらに、集中的なデータベースの使用は、この認証技術をハッカーおよびマルウェアからの攻撃を特に受けやすくする。
ここに説明される実装は、クライアントコンピューティングデバイスとサービスプロバイダの間の認証された通信を確立することに関する。通信が、クライアントコンピューティングデバイスおよびサービスプロバイダの秘密を保持する信頼された機関の使用なしに可能となる。
登録プロセスの後、クライアントコンピューティングデバイスは、認証サーバを使用してサービスプロバイダとの認証された通信を要求する。クライアントコンピューティングデバイスは、そのクライアントコンピューティングデバイスが登録されている複数の認証サーバの任意の集合(この集合内のサーバの数は閾値以上である。)を使用して、サービスプロバイダとの認証された通信を要求することができる。サービスプロバイダも同様に、クライアントコンピューティングデバイスが認証された通信を確立するために使用する認証サーバに登録されるべきである。
クライアントコンピューティングデバイスは、そのクライアントコンピューティングデバイスのユニークな識別IDを含む認証要求並びに、ユニークな識別ID、デバイスのIPアドレスなどのネットワークアドレス、およびナンスを含む暗号化された認証トークンをサービスプロバイダに送信することができる。暗号化された認証トークンは、認証サーバとの以前の通信で受信したものである。各認証サーバは、部分的な認証トークンを暗号化および生成するために、クライアントコンピューティングデバイスが認証された通信を望んでいるサービスプロバイダから取得された分割鍵を使用した。サービスプロバイダは、非公開の秘密鍵を使用して認証トークンを暗号化解除し、それによって、暗号化された認証情報を明らかにする。この情報は、送信されたユニークな識別IDと共に、認証された通信が認可されるかどうかを判断するためにサービスプロバイダによって使用される。
この概要は、以下でさらに詳細に説明される概念の選択を簡素化した形式で導入するために提供される。この概要は、発明の構成要件の主要な特徴または必須の特徴を特定することを意図しておらず、発明の構成要件の範囲を決定するのを支援するために使用されることを意図していない。
図面を参照して非限定的で非網羅的な実施形態を説明するが、別途指定されない限り、種々の図を通じて同様の参照番号は同様の部分を示す。
[概要]
サービスプロバイダとの認証を行うためのシステムおよび方法を説明する。以下に、クライアントコンピューティングデバイスとサービスプロバイダのデバイスとの間で認証された通信を確立するために、クライアントとサービスプロバイダと認証デバイスとの間で利用される処理の広範な検討が提供される。この検討は、図1に示される例示的な環境を使用する。その後、種々のデバイス間で使用される様々な処理の例示的な実装をさらに詳細に説明する。具体的には、サービスプロバイダに対する認証されたアクセスを行うためにクライアントコンピューティングデバイスによって使用される処理の詳細な検討が図2と共に提供され、認証サーバとのサービスプロバイダ登録処理の詳細な検討が図3と共に提供され、認証サーバとのクライアントコンピューティングデバイス登録処理の詳細な検討が図4と共に提供され、認証サーバとのクライアントコンピューティングデバイス認証処理の詳細な検討が図5と共に提供される。最後に、サービスプロバイダ、クライアントコンピューティングデバイス、および認証サーバの例示的な実装がそれぞれ図6〜8と共に検討される。
[例示的環境]
図1に、1つまたは複数のサービスプロバイダ104(1)〜104(n)と通信可能ないくつかのクライアントコンピューティングデバイス102(1)〜102(n)を含むコンピュータネットワーク環境100の例示的な実装を示す。クライアントコンピューティングデバイス102(1)〜102(n)とサービスプロバイダ104(1)〜104(n)の間の双方向通信を、ネットワーク120(例えば、インターネット)を用いて容易にする。認証サーバ106(1)〜106(n)もネットワーク120に接続される。1つまたは複数の認証サーバ106は、クライアントコンピューティングデバイス102(1)〜102(n)およびサービスプロバイダ104(1)〜104(n)に対して認証サービスを提供するために協働する。各認証サーバは通常、別の認証サーバと同じ機能を有する。
所定の任意の時間に、クライアントコンピューティングデバイス102(1)などの、複数のクライアントコンピューティングデバイス102(1)〜102(n)のうちの1つは、サービスプロバイダ104(1)などの、サービスプロバイダ104(1)〜104(n)のうちの1つが提供するサービスを要求することができる。認証サーバ106(1)〜106(n)のサブセットが、クライアントコンピューティングデバイス102(1)がサービスプロバイダ104(1)と適切に認証を行うことを可能にする技術を提供する。サービスプロバイダ104(1)は通常、適切な認証が得られるまでクライアントコンピューティングデバイス102(1)〜102(n)のうちのいずれにもサービスを提供しない。
サービスプロバイダ104(1)およびクライアントコンピューティングデバイス102(1)はそれぞれ、サーバ106(1)〜106(n)の認証サービスを要求する前に認証サーバ106(1)〜106(n)との関係を確立する。サービスプロバイダ104(1)が認証サーバ106(1)〜106(n)との最初の接触を確立した後、サーバモジュール130がサービスプロバイダ104(1)に提供される。このサーバモジュール130は、サービスプロバイダ104(1)が関係登録フェーズ中に必要とする動作パラメータを提供する。サーバモジュール130をサービスプロバイダ104(1)の揮発性または不揮発性メモリ内に直接記録できる。サービスプロバイダ104(1)が複数のサーバ(例えば、サーバファーム)を有する場合、サーバモジュール130をそれらの複数のサーバのうちの適切な1つに記録できる。
サーバモジュール130を取得した後、サービスプロバイダ104(1)は、秘密暗号化キーおよび対応する秘密暗号化解除キーを生成する。秘密暗号化キーは、追加的なキーを生成するために分割される。1つの実装において、秘密キーは閾値法(threshold scheme)を使用して分割される。しかしながら、その他の分割法が同様に使用されてよい。分割キーは、サービスプロバイダ104(1)を特定するユニークなIDと共に106(1)などの各認証サーバに安全に送信される。認証サーバ106(1)は、分割キーおよびサービスプロバイダのユニークなIDを受信した後に、サービスプロバイダ104(1)に成功応答を送信する。秘密暗号化解除キーはサービスプロバイダ104(1)に留まり、認証サーバ106(1)などのいずれのその他のエンティティにも公開されない。サーバモジュール130は、秘密キーを生成し、秘密暗号化キーを分割するためのルーチンを提供する。
クライアントコンピューティングデバイス102(1)は、クライアントモジュール140を受信する。クライアントモジュール140は、クライアントコンピュータデバイス102(1)のウェブブラウザに組み込まれるウェブブラウザのプラグインモジュールであってよい。クライアントモジュール140は、クライアントコンピューティングデバイス102(1)と各認証サーバ106(i)の間で実行される関係登録処理の間に必要とされる動作パラメータを提供する。クライアントモジュール140は、クライアントコンピューティングデバイス102(1)の揮発性または不揮発性メモリ内に直接記録することができる。
クライアントモジュール140を取得した後、クライアントコンピューティングデバイス102(1)は、各認証サーバ106(i)への登録を開始することができる。これは、クライアントモジュール140がサービスプロバイダ104(1)〜104(n)のうちの1つまたは複数からのサービスを要求する前に行われるべきである。クライアントモジュール140と認証サーバ106(i)の間の登録プロセスは、クライアントモジュール140を使用することを伴う。クライアントコンピューティングデバイス102(1)のユーザは、関連するウェブブラウザなどのユーザインターフェースを介してクライアントモジュール140を利用してユニークなユーザ名およびパスワードを入力する。クライアントモジュール140は、ユニークなユーザ名からユニークなクライアント識別子を生成する。また、クライアントモジュール140は、クライアントモジュール140を用いて受信したユニークなユーザ名、パスワード、および認証サーバIDから、クライアントが認証サーバ106(i)への認証を行うためのクライアント認証キーを生成する。クライアント認証キーを作成するためにハッシュ関数を使用することができる。クライアントモジュール140は、クライアント認証キーおよびクライアント識別子を認証サーバ106(i)に安全に送信する。クライアント識別子およびクライアント認証キーを受信および保持した後、サーバ106(i)は、成功メッセージをクライアントコンピューティングデバイス102(1)に送信する。
各認証サーバ106(i)への登録の後、クライアントコンピューティングデバイス102(1)は認証サーバ106(1)〜106(n)のサブセットを使用して、認証サーバ106(1)〜106(n)との関係を既に確立したサービスプロバイダ104(1)〜104(n)のうちの1つとの認証された通信を確立することができる。
サービスプロバイダ104(1)〜104(n)のうちの1つとの認証された通信を要求する前に、クライアントコンピューティングデバイス102(1)は、当該クライアントコンピューティングデバイスに認証サービスを提供することになる認証サーバ106(1)〜106(n)のサブセットとの認証を行う。この認証処理は、その後の秘密通信のために、クライアントコンピューティングデバイス102(1)および認証サーバ106(1)〜106(n)のサブセットが使用するセッションキーを生成する。
認証を行うために、クライアントコンピューティングデバイス102(1)のユーザは、当該サブセット内の各認証サーバ106(i)に認証要求を送信する。認証要求を行うことおよびセッションキーを生成することは、クライアントモジュール140を使用して容易になされる。各認証サーバ106(i)は、クライアントコンピューティングデバイス102(1)にナンスを送信することによって認証要求に応答する。それに応じて、クライアントコンピューティングデバイス102(1)は、認証サーバ106(i)にクライアント識別子と、クライアント認証キーを使用して暗号化された受信ナンスとを認証サーバ106(i)に送信する。暗号化は、クライアントデバイスの乱数およびクライアントデバイスのナンスも含む。クライアントデバイスの乱数およびクライアントデバイスはクライアントモジュール140によって生成される。クライアント識別子およびクライアント認証キーは上述の登録プロセス中に生成された。
認証サーバ106(i)は、クライアント識別子を使用して、登録プロセス中に生成されたクライアント認証キーを取り出す。取り出されたクライアント認証キーを使用して、暗号化された認証サーバのナンス、クライアントデバイスの乱数、およびクライアントデバイスのナンスの暗号化を解除する。暗号化解除が成功であり、暗号化解除された認証サーバのナンスが前のプロセスにおいて認証サーバによってクライアントに送信されたナンスと一致する場合、認証サーバ106(i)は、サーバ106において生成された認証サーバの乱数と、ナンスと、クライアントデバイスのナンスとを含む暗号化をクライアント102(1)に送信する。この時点で、サーバ106およびクライアント102(1)の両方が2つの乱数を所有する。ハッシュ関数がサーバ106(i)およびクライアント102(1)によって2つの乱数に対して使用され、両端においてセッションキーを生成する。このセッションキーは、クライアントコンピューティングデバイス102(1)が選択された認証サーバのサブセット内の認証サーバ106(i)を使用してサービスプロバイダ104(1)〜104(n)のうちの1つとの認証された通信を確立するときに、クライアントコンピューティングデバイス102(1)と認証サーバ106(i)との間で安全なリンクを確立するために使用される。
認証サーバ106(i)からセッションキーを取得した後、クライアントデバイス102(1)は、認証サーバ106(1)〜106(n)に既に登録されたサービスプロバイダ(例えば、サービスプロバイダ104(1))との認証された通信をいつでも要求できる。この要求は、クライアントコンピューティングデバイス102(1)がサービスプロバイダ104(1)にアクセス要求を送信した時点で始まる。サービスプロバイダ104(1)は、そのサービスプロバイダのユニークなIDおよびチャレンジ(例えば、サービスプロバイダのナンス)をクライアントコンピューティングデバイス102(1)に送信することによって応答する。選択的に、クライアントがサーバからの認証サービスを要求することができるように、サービスプロバイダ104(1)はそのサービスプロバイダ104(1)に既に登録されている認証サーバのリストをクライアントコンピューティングデバイス102(1)に送信してもよい。クライアントがリスト内の認証サーバと認証を行っていない場合、クライアントはそれらの認証サーバと認証を行い、それらの認証サーバのそれぞれとのその後の秘密通信のためのセッションキーを生成する。
今やクライアントコンピューティングデバイス102(1)は、サービスプロバイダ104(1)との認証された通信を確立するために、認証サーバのサブセット内の認証サーバのそれぞれ、例えば、認証サーバ106(i)といつでも接触することができる。クライアントコンピューティングデバイス102(1)は、それぞれの認証サーバ106(i)にサービスプロバイダのユニークなIDおよびサービスプロバイダのナンスを送信する。選択的に、クライアントコンピューティングデバイス102(1)は、そのクライアントコンピューティングデバイス102(1)自体のクライアント識別子を認証サービスプロバイダ104(1)に送信してもよい。認証サーバ106(i)は、当該2つのデバイス間の前の通信からメモリ内に保持されたクライアントコンピューティングデバイス102(1)のクライアント識別子およびセッションキーも有するべきである。
認証サーバ106(i)は、クライアント識別子、クライアントコンピューティングデバイス102(1)のIPアドレスなどのネットワークアドレス、およびサービスプロバイダのナンスをサービスプロバイダ104(1)から以前受信した分割キーを使用して暗号化する。このプロセスは、クライアントコンピューティングデバイス102(1)に伝えられる部分的な認証トークンを作成する。クライアントコンピューティングデバイス102(1)は、受信した部分的な認証トークンから認証トークンを生成し、当該認証トークンをそのクライアントコンピューティングデバイス102(1)自体のクライアント識別子と共にパッケージングし、当該パッケージをサービスプロバイダ104(1)に送信する。サービスプロバイダ104(1)は、暗号化された認証トークンをそのサービスプロバイダ104(1)の秘密暗号化解除キーを使用して暗号化解除するように試みる。暗号化解除が成功であり、暗号化解除されたナンスが認証された以前の通信においてクライアントに送信されたナンスと一致する場合、認証された通信は成功であり、サービスプロバイダのサービスに対するアクセスが許可される。サービスプロバイダ104(1)は、認証された通信が許可されるかどうかをクライアントコンピューティングデバイス102(1)に知らせる。
検討された認証処理の利点は少なくとも以下の通りである。サービスプロバイダの秘密キーを知っているのは当該プロバイダのみである。確実に、認証サーバは秘密キーを知らず、サービスプロバイダの秘密キーを取得することは通常、万が一種々の認証サーバの間で重大な共謀が行われた場合にしか起こり得ない。クライアントコンピューティングデバイス側で、ユーザのパスワードは認証プロセス中に直接使用されない。実際、認証プロセスにおける各エンティティ、クライアントコンピューティングデバイスおよびサービスプロバイダはそれらのエンティティ自体の秘密を制御する。これは、信頼できる機関の存在が必要とされないので、ここで説明された認証処理を非常に魅力のあるものにする。信用できる機関は、多くのその他の暗号化/認証技術(例えば、PKI)と共に使用される。
[クライアントデバイスのサービスプロバイダへのアクセス処理]
図2は、クライアントデバイス102(1)がクライアントデバイスのサービスプロバイダアクセス処理200を使用してサービスプロバイダ104(1)との認証された通信を要求する例示的な実装を示す。認証された通信が、認証サーバ106(1)〜106(n)のサブセットを使用して容易にされる。表Iは、後に続く文章において使用される表記に関する詳細を提供する。
Figure 0005009294
処理は、クライアントコンピューティングデバイス102(1)が通信201においてサービスプロバイダ104(1)にアクセス要求を送信したときに始まる。サービスプロバイダ104(1)は、通信202においてSID、nS
Figure 0005009294
、[t個の認証サーバのリスト
Figure 0005009294
]と共に応答し、ここで、tは認証サービスを提供するために必要とされる認証サーバの数に対する閾値である。いったん通信202を受信すると、クライアントコンピューティングデバイス102(1)は、通信204においてSID、nS
Figure 0005009294
、[UID]を認証サーバ106に送信する。認証サーバ106は通信206において
Figure 0005009294
を送信することによって応答し、ここで、UはクライアントのIPアドレス(IP Address)などのクライアントコンピューティングデバイス102(1)のネットワーク識別子である。通信206の内容は部分的な認証トークンを定義する。クライアントコンピューティングデバイス102(1)は、認証サーバとの通信206において受信した部分的な認証トークンを使用して、UIDおよび[<nSk]と共にパッケージングされてサービスプロバイダ104(1)に送信される認証トークン
Figure 0005009294
を生成し、ここで、
Figure 0005009294
である。サービスプロバイダ104(1)は、そのサービスプロバイダ104(1)の秘密暗号化解除キーKS -1を使用して、暗号化された認証トークンを暗号化解除し、ここで、
Figure 0005009294
mod p2である。
上記暗号化解除、および認証トークンと共に受信した追加的な情報に基づいて、サービスプロバイダ104(1)は、通信210においてアクセス応答をクライアントコンピューティングデバイス102(1)に返送し、認証されたアクセスが許可されるかどうかを指示する。認証された通信中の
Figure 0005009294
における生成元(g)の選択的な使用は、認証されたセッションが確立された後に、クライアントコンピューティングデバイス102(1)とサービスプロバイダ104(1)との間のその後の安全な通信のために使用されるセッションキーを生成する方法を提供する。
通信204および206は、クライアントコンピューティングデバイス102(1)および認証サーバ106(i)の間で生成されたセッションキーを使用することにより安全である。クライアントコンピューティングデバイス102(1)および認証サーバ106(i)はそれぞれセッションキーを所有している。そのようなセッションキーの作成の詳細は後で説明される。
検討された様々な通信は、クライアントモジュール140およびサーバモジュール130を使用して容易にされる。しかし、様々な通信および命令は、そのような通信および命令を実行し、それによって記載のクライアントデバイスのサービスプロバイダへのアクセス処理/方法を提供することを可能にする任意のデバイスによって実行することができる。
[サービスプロバイダ登録処理]
図3は、サービスプロバイダ104(1)がサービスプロバイダ登録処理300を使用して認証サーバ106(i)に登録する例示的な実装を示す。サービスプロバイダ登録処理300は、サービスプロバイダが認証サーバによって提供される認証サービスから利益を受けることができる前に実行される。上記表Iは、後に続く文章において使用される表記に関する詳細を提供する。
処理が開始する前に、サービスプロバイダ104(1)はサーバモジュール130をダウンロードおよびインストールする。この実装におけるサーバモジュール130は、サービスプロバイダ104(1)が認証に関連する要求と、認証サーバ106(i)への、および認証サーバ106(i)からの通信とを処理することを可能にする機能を提供する。処理は、サービスプロバイダ104(1)がサービスプロバイダの登録を要求する通信302を認証サーバ106(i)に送信するときに開始する。認証サーバ106(i)は、その認証サーバ106(i)が登録をいつでも受け付けることができることをサービスプロバイダ104(1)に知らせる通信304によって応答する。
サービスプロバイダ104(1)はサーバモジュール130を使用して、図3に示されたサービスプロバイダ登録処理を完了する。サービスプロバイダ104(1)は、秘密キーKS(1≦KS≦p2−2)を生成し、KS -1S=KSS -1=1 mod (p2−1)であるようにKS -1を計算する。次に、サービスプロバイダ104(1)は、(t,n)閾値法を使用してKSをn個の分割キー部分
Figure 0005009294
に分割する。これらの分割キー
Figure 0005009294
のうちの1つとSIDとが、安全な通信306において各認証サーバ106(i)に送信される。認証サーバ106(i)は、図2に関連して検討されたクライアントデバイスのサービスプロバイダアクセス処理200の間に使用するために分割キー
Figure 0005009294
およびSIDを記録する。分割キー
Figure 0005009294
およびSIDを受信および記録した後、認証サーバ106(i)は、通信308においてサービスプロバイダ104(1)に成功応答を送信する。
検討された様々な通信は、サーバモジュール130を使用して容易にされる。しかし、様々な通信および命令は、そのような通信および命令を実行可能な任意のデバイスによって実行されてもよく、それによって記載のサービスプロバイダ登録処理/方法を提供する。
[クライアントデバイス登録処理]
図4は、クライアントコンピューティングデバイス102(1)がクライアントデバイス登録処理400を使用して各認証サーバ106(i)に登録する例示的な実装を示す。クライアントデバイス登録処理400は、クライアントコンピューティングデバイスが認証サーバによって提供される認証サービスから利益を受けることができる前に実行される。上記表Iは、後に続く文章において使用される表記に関する詳細を提供する。
処理が開始する前に、クライアントコンピューティングデバイス102(1)はクライアントモジュール140をダウンロードおよびインストールする。この実装においてクライアントモジュール140は、クライアントコンピューティングデバイス102(1)が各認証サーバ106(i)への、および各認証サーバ106(i)からの通信を処理することを可能にする機能を提供する。処理は、クライアントコンピューティングデバイス102(1)が、クライアントコンピューティングデバイスの登録を要求する通信402を認証サーバ106(i)に送信するときに開始する。認証サーバ106(i)は、その認証サーバ106(i)が登録をいつでも受け付けることができることをクライアントコンピューティングデバイス102(1)に知らせる通信404によって応答する。
クライアントコンピューティングデバイス102(1)はクライアントモジュール140を使用して、クライアントコンピューティングデバイス102(1)のユーザによって入力されたユーザ名からユニークなクライアントIDであるUIDを作成する。UIDは、ユーザ名をハッシュすることによって、またはユーザ名の部分をハッシュすることによって作成されてもよい。ユーザ名からユニークなクライアントIDであるUIDを生成する別のプロセスが使用されてもよい。クライアントコンピューティングデバイス102(1)はその後、クライアントモジュール140を使用して、図5に示された認証サーバ106(i)とのクライアントコンピューティングデバイス認証処理500において使用されることになるクライアントキー
Figure 0005009294
(1≦i≦n)を作成する。クライアントキーは、ユーザ名のみを使用して作成することもできる。AIDiは、i番目の認証サーバ、この場合は認証サーバ106(i)を特定する。
クライアントコンピューティングデバイス102(1)は、安全な通信406を介して認証サーバ106(i)にUID、
Figure 0005009294
、Ai(1≦i≦n)を送信する。認証サーバ106は、後で使用するためにユニークなクライアントIDであるUID、およびクライアントキー
Figure 0005009294
を保存する。具体的には、認証サーバは、クライアントコンピューティングデバイス102(1)がサービスプロバイダとの認証通信を要求するときに、ユニークなクライアントIDであるUID、およびクライアントキー
Figure 0005009294
を使用する。サービスプロバイダとの認証のプロセスは通常、クライアントコンピューティングデバイス102(1)と認証サーバ106(i)の間の安全な通信を必要とし、ユニークなクライアントIDであるUID、およびクライアントキー
Figure 0005009294
はこの目的のために使用されるセッションキーの生成を容易にする。
検討された様々な通信が、クライアントモジュール140を使用して容易になされる。しかし、様々な通信および命令は、そのような通信および命令を実行可能な任意のデバイスによって実行されてもよく、それによって記載のクライアントコンピューティングデバイス登録処理/方法を提供する。
[クライアントデバイス認証処理]
図5は、クライアントコンピューティングデバイス102(1)がクライアントコンピューティングデバイス認証処理500を使用して認証サーバ106(i)との認証を行う例示的な実装を示す。クライアントコンピューティングデバイス認証処理500は、クライアントコンピューティングデバイス102(1)を認証サーバ106(i)によって認証するために、およびクライアントデバイスがサービスプロバイダとの認証された通信を確立するように試みている間にクライアントコンピューティングデバイスおよび認証サーバによって使用されるセッションキーを生成するために実行される。上記表Iは、後に続く文章において使用される表記に関する詳細を提供する。
処理は、クライアントコンピューティングデバイス102(1)が、認証を要求する通信502を認証サーバ106(i)に送信するときに開始する。認証サーバ106(i)は、ナンス
Figure 0005009294
を含む通信504によって応答する。クライアントコンピューティングデバイス102(1)は、クライアントモジュール140の支援の下に、ユニークなクライアントIDであるUID、および暗号化
Figure 0005009294
を含む通信506によって応答する。認証サーバ106(i)は、以前の通信において受信されたクライアントキー
Figure 0005009294
を使用して暗号化
Figure 0005009294
を暗号化解除するように試みる。暗号化解除が成功であり、暗号化解除されたナンスが以前のプロセスにおいてクライアントに送信されたナンス
Figure 0005009294
と一致する場合、認証サーバ106(i)は、
Figure 0005009294
または失敗メッセージを含む通信508をクライアントコンピューティングデバイス102(1)に送信する。
この時点で、クライアントコンピューティングデバイス102(1)および認証サーバ106の両方が乱数値
Figure 0005009294
を有する。これらの乱数値を使用して、クライアントコンピューティングデバイス102(1)および認証サーバ106(i)の両方がセッションキー
Figure 0005009294
を計算する。このセッションキーは、クライアントコンピューティングデバイス102(1)がサービスプロバイダとの認証された通信を要求するために認証サーバ106(i)に接触するときに使用される。サービスプロバイダとの認証された通信を確立することに関連するセッションキーの使用は、この文書の前の部分で詳細に検討されている。
検討された様々な通信は、クライアントモジュール140を使用して容易にされる。しかし、様々な通信および命令は、そのような通信および命令を実行可能な任意のデバイスによって実行されてもよく、それによって記載のクライアントコンピューティング認証処理/方法を提供する。
[例示的コンピューティングデバイス]
図6〜8は、説明された処理および方法を実装するために使用できる例示的なコンピューティングデバイスを示す。図6は、サービスプロバイダ104(1)の例示的な実装を示し、図7は、クライアントコンピューティングデバイス102(1)の例示的な実装を示し、図8は、コンピューティングデバイス800の例示的な実装を示す。認証サーバ106(i)などの認証サーバは、コンピューティングデバイス800に関連して説明される動作要素を使用することができる。これは、ここで検討されるクライアントコンピューティングデバイスおよびサービスプロバイダにも当てはまる。
図6は、サービスプロバイダ104(1)を実装するために使用できる例示的なコンピューティングデバイスである。ごく基本的な構成において、コンピューティングデバイスは、少なくとも1つの処理ユニット604、およびシステムメモリ606を含む。コンピューティングデバイス600の正確な構成および種類に応じて、システムメモリ606を揮発性(RAMなど)、不揮発性(ROM、フラッシュメモリなど)、またはこれら2つの何らかの組合せとすることができる。システムメモリ606は通常、オペレーティングシステム608と、1つまたは複数のプログラムモジュール610とを含み、プログラムデータ612を含むことができる。プログラムモジュール610のうちの少なくとも1つは、サーバモジュール130を含む。
コンピューティングデバイスは、追加的な特徴または機能を有してもよい。例えば、コンピューティングデバイスには、例えば、磁気ディスク、光ディスク、またはテープなどの(取外し可能および/または取外し不可能な)追加的なデータ記録装置も含まれうる。コンピュータ記録媒体には、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータなどの情報を記録するための任意の方法または技術で実装された揮発性および不揮発性の取外し可能および取外し不可能な媒体が含まれうる。システムメモリ606はコンピュータ記録媒体の一例である。したがって、コンピュータ記録媒体は、RAM、ROM、EEPROM、フラッシュメモリ、もしくはその他のメモリ技術、CD−ROM、デジタルバーサタイルディスク(DVD)、もしくはその他の光学式記録装置、磁気カセット、磁気テープ、磁気ディスク記録装置、もしくはその他の磁気記録装置、または所望の情報を記録するために使用可能でコンピューティングデバイスによってアクセス可能な任意のその他の媒体を含むが、これらに限定されない。任意のそのようなコンピュータ記録媒体は、デバイスの一部であってもよい。コンピューティングデバイスは、キーボード、マウス、ペン、音声入力デバイス、タッチ入力デバイスなどの(1つまたは複数の)入力デバイスも有することもできる。ディスプレイ、スピーカ、プリンタなどの(1つまたは複数の)出力デバイスも含むことができる。これらのデバイスは当技術分野においてよく知られており、詳細に検討/説明される必要はない。
コンピューティングデバイスは、ネットワークを介するなど、当該デバイスがその他のコンピューティングデバイスと通信することを可能にする通信接続も含むことができる。そのようなネットワークが図1のネットワーク120として示される。(1つまたは複数の)通信接続は、通信媒体の一例である。通信媒体は通常、搬送波またはその他の搬送メカニズムなどの変調されたデータ信号内のコンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータによって具現化することができ、任意の情報配信媒体を含む。用語「変調されたデータ信号」は、その信号の特徴のうちの1つまたは複数を、信号中に情報を符号化するようなやり方で設定または変更された信号を意味する。限定ではなく例として、通信媒体は、有線ネットワークまたは直接有線接続(direct−wired connection)などの有線媒体、ならびに音響、RF、赤外線、およびその他の無線媒体などの無線媒体を含む。コンピュータ可読媒体をコンピュータがアクセス可能な任意の利用可能な媒体とすることができる。限定でなく例として、コンピュータ可読媒体には、「コンピュータ記録媒体」および「通信媒体」が含まれる可能性がある。
様々なモジュールおよび技術が、1つまたは複数のコンピュータまたはその他のデバイスによって実行されるプログラムモジュールなどのコンピュータが実行可能な命令の一般的な文脈でここに説明されているかもしれない。概して、プログラムモジュールは、特定のタスクを実行するか、または特定の抽象データ型を実装するためのルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。これらのプログラムモジュール等は、ネイティブコードとして実行されても、バーチャルマシンもしくはその他のジャストインタイムコンパイル実行環境などにダウンロードされて実行されてもよい。通常、プログラムモジュールの機能は、種々の実施形態において要求に応じて組み合わされ、または分散されてもよい。これらのモジュールおよび技術の実装は、何らかの形態のコンピュータ可読媒体に記録されても、何らかの形態のコンピュータ可読媒体を介して伝達されてもよい。
図7は、クライアントコンピューティングデバイス102(1)を実装するために使用できる例示的なコンピューティングデバイスである。ごく基本的な構成において、コンピューティングデバイスは、少なくとも1つの処理ユニット704、およびシステムメモリ706を含む。コンピューティングデバイス700の正確な構成および種類に応じて、システムメモリ706は、揮発性(RAMなど)、不揮発性(ROM、フラッシュメモリなど)、またはこれら2つの何らかの組合せであってもよい。システムメモリ706は通常、オペレーティングシステム708と1つまたは複数のプログラムモジュール710とを含み、プログラムデータ712を含むことができる。プログラムモジュール710のうちの少なくとも1つは、クライアントモジュール140を含む。
コンピューティングデバイスは、追加的な特徴または機能を有してもよい。例えば、コンピューティングデバイスは、例えば、磁気ディスク、光ディスク、またはテープなどの(取外し可能および/または取外し不可能な)追加的なデータ記録装置も含む可能性がある。コンピュータ記録媒体は、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータなどの情報を記録するための任意の方法または技術で実装された揮発性および不揮発性の取外し可能および取外し不可能な媒体を含む可能性がある。システムメモリ706はコンピュータ記録媒体の一例である。したがって、コンピュータ記録媒体には、RAM、ROM、EEPROM、フラッシュメモリ、もしくはその他のメモリ技術、CD−ROM、デジタルバーサタイルディスク(DVD)、もしくはその他の光学式記録装置、磁気カセット、磁気テープ、磁気ディスク記録装置、もしくはその他の磁気記録装置、または所望の情報を記録するために使用可能でコンピューティングデバイスによってアクセス可能な任意のその他の媒体が含まれるが、これらに限定されない。任意のそのようなコンピュータ記録媒体は、デバイスの一部であってもよい。コンピューティングデバイスは、キーボード、マウス、ペン、音声入力デバイス、タッチ入力デバイスなどの(1つまたは複数の)入力デバイスも有することもできる。ディスプレイ、スピーカ、プリンタなどの(1つまたは複数の)出力デバイスも含むことができる。これらのデバイスは当技術分野においてよく知られており、詳細に検討/説明される必要はない。
コンピューティングデバイスは、ネットワークを介するなど、当該デバイスがその他のコンピューティングデバイスと通信することを可能にする通信接続も含むことができる。そのようなネットワークが図1のネットワーク120として示される。(1つまたは複数の)通信接続は通信媒体の一例である。通信媒体は通常、搬送波またはその他の搬送メカニズムなどの変調されたデータ信号内のコンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータによって具現化されることができ、任意の情報配信媒体を含む。用語「変調されたデータ信号」は、その信号の特徴のうちの1つまたは複数を、信号中に情報を符号化するようなやり方で設定または変更された信号を意味する。限定ではなく例として、通信媒体は、有線ネットワークまたは直接有線接続などの有線媒体、ならびに音響、RF、赤外線、およびその他の無線媒体などの無線媒体を含む。コンピュータ可読媒体をコンピュータがアクセス可能な任意の利用可能な媒体とすることができる。限定でなく例として、コンピュータ可読媒体には、「コンピュータ記録媒体」および「通信媒体」が含まれる可能性がある。
様々なモジュールおよび技術が、1つまたは複数のコンピュータまたはその他のデバイスによって実行されるプログラムモジュールなどのコンピュータが実行可能な命令の一般的な文脈でここに説明されているかもしれない。概して、プログラムモジュールは、特定のタスクを実行するか、または特定の抽象データ型を実装するためのルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。これらのプログラムモジュール等は、ネイティブコードとして実行されても、バーチャルマシンもしくはその他のジャストインタイムコンパイル実行環境などにダウンロードされて実行されてもよい。通常、プログラムモジュールの機能は、種々の実施形態において要求に応じて組み合わされ、または分散されてもよい。これらのモジュールおよび技術の実装は、何らかの形態のコンピュータ可読媒体に記録されても、何らかの形態のコンピュータ可読媒体を介して伝達されてもよい。
図8は、認証サーバ、または本明細書において説明された任意のその他のコンピューティングデバイスを実装するために使用可能な例示的なコンピューティングデバイス800である。ごく基本的な構成において、コンピューティングデバイス800は、少なくとも1つの処理ユニット804、およびシステムメモリ806を含む。コンピューティングデバイス800の正確な構成および種類に応じて、システムメモリ806は、揮発性(RAMなど)、不揮発性(ROM、フラッシュメモリなど)、またはこれら2つの何らかの組合せであっても良い。システムメモリ806は通常、オペレーティングシステム808と、1つまたは複数のプログラムモジュール810とを含み、プログラムデータ812を含むことができる。
コンピューティングデバイス800は、追加的な特徴または機能を有してもよい。例えば、コンピューティングデバイス800は、例えば、磁気ディスク、光ディスク、またはテープなどの(取外し可能および/または取外し不可能な)追加的なデータ記録装置も含む可能性がある。そのような追加的な記録装置が、取外し可能な記録装置820および取外し不可能な記録装置822によって図8に示される。コンピュータ記録媒体は、コンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータなどの情報を記録するための任意の方法または技術で実装された揮発性および不揮発性の取外し可能および取外し不可能な媒体を含む可能性がある。システムメモリ806、取外し可能な記録装置820、および取外し不可能な記録装置822は全てコンピュータ記録媒体の例である。したがって、コンピュータ記録媒体は、RAM、ROM、EEPROM、フラッシュメモリ、もしくはその他のメモリ技術、CD−ROM、デジタルバーサタイルディスク(DVD)、もしくはその他の光学式記録装置、磁気カセット、磁気テープ、磁気ディスク記録装置、もしくはその他の磁気記録装置、または所望の情報を記録するために使用されることができ、コンピューティングデバイス800によってアクセス可能な任意のその他の媒体を含むがこれらに限定されない。任意のそのようなコンピュータ記録媒体はデバイス800の一部であってもよい。コンピューティングデバイス800は、キーボード、マウス、ペン、音声入力デバイス、タッチ入力デバイスなどの(1つまたは複数の)入力デバイス824も有することができる。ディスプレイ、スピーカ、プリンタなどの(1つまたは複数の)出力デバイス826も含まれることができる。これらのデバイスは当技術分野においてよく知られており、詳細に検討される必要はない。
コンピューティングデバイス800は、ネットワークを介するなど、当該デバイスがその他のコンピューティングデバイス830と通信することを可能にする通信接続828も含むことができる。そのようなネットワークが図1のネットワーク120として示される。(1つまたは複数の)通信接続828は通信媒体の一例である。概して、通信媒体は、搬送波またはその他の搬送メカニズムなどの変調されたデータ信号内のコンピュータ可読命令、データ構造、プログラムモジュール、またはその他のデータによって具現化されることができ、任意の情報配信媒体を含む。用語「変調されたデータ信号」は、その信号の特徴のうちの1つまたは複数を、信号中に情報を符号化するようなやり方で設定または変更された信号を意味する。限定ではなく例として、通信媒体は、有線ネットワークまたは直接有線接続などの有線媒体、ならびに音響、RF、赤外線、およびその他の無線媒体などの無線媒体を含む。コンピュータ可読媒体は、コンピュータによってアクセスされることができる任意の利用可能な媒体であることができる。限定でなく例として、コンピュータ可読媒体は、「コンピュータ記録媒体」および「通信媒体」を含む可能性がある。
様々なモジュールおよび技術が、1つまたは複数のコンピュータまたはその他のデバイスによって実行されるプログラムモジュールなどのコンピュータが実行可能な命令の一般的な文脈でここに説明されているかもしれない。概して、プログラムモジュールは、特定のタスクを実行するか、または特定の抽象データ型を実装するためのルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。これらのプログラムモジュールなどは、ネイティブコードとして実行されても、またはバーチャルマシンもしくはその他のジャストインタイムコンパイル実行環境などにダウンロードされて実行されてもよい。通常、プログラムモジュールの機能は、種々の実施形態において要求に応じて組み合わされ、または分散されてもよい。これらのモジュールおよび技術の実装は、何らかの形態のコンピュータ可読媒体に記録されても、何らかの形態のコンピュータ可読媒体を介して伝達されてもよい。
実施形態の例が示され、説明されたが、本発明は上述の厳密な構成およびリソースに限定されないことを理解されたい。当業者に明らかな種々の修正、変更、および変形が、特許請求の範囲に記載された発明の範囲を逸脱することなしに、ここに開示された実施形態の構成、動作、および詳細においてなされることができる。
1つまたは複数のサービスプロバイダと通信可能ないくつかのクライアントコンピューティングデバイスを含むコンピュータネットワーク環境の例示的な実装を示す図である。 クライアントデバイスがクライアントデバイスのサービスプロバイダアクセス処理を使用してサービスプロバイダとの認証された通信を要求する例示的な実装を示す図である。 サービスプロバイダがサービスプロバイダ登録処理を使用して認証サーバに登録する例示的な実装を示す図である。 クライアントコンピューティングデバイスがクライアントデバイス登録処理を使用して認証サーバに登録する例示的な実装を示す図である。 クライアントコンピューティングデバイスがクライアントコンピューティングデバイス登録処理を使用して認証サーバとの認証を行う例示的な実装を示す図である。 サービスプロバイダを実装するために使用可能な例示的なコンピューティングデバイスの図である。 クライアントコンピューティングデバイスを実装するために使用可能な例示的なコンピューティングデバイスの図である。 認証サーバを実装するために使用可能な例示的なコンピューティングデバイスの図である。

Claims (11)

  1. 処理ユニットを含むコンピューティングデバイスが実行し、少なくとも1つの他のコンピューティングデバイスに対して通信を許可するか否かを判定するコンピュータ実行方法であって、前記コンピュータ実行方法は、
    前記処理ユニットが、少なくともクライアント識別子、および部分的な認証トークンから得られた暗号化された認証トークンを含む認証要求を前記他のコンピューティングデバイスから受信するステップであって、前記部分的な認証トークンは、前記コンピューティングデバイスによってのみ知られる秘密キーから生成された分割キーを用いて、前記他のコンピューティングデバイスと安全なセッションが確立された認証サーバによって暗号化され、前記部分的な認証トークンは、前記クライアント識別子、前記他のコンピューティングデバイスのネットワークアドレス、およびナンスを含む、受信するステップと、
    前記処理ユニットが、前記暗号化された認証トークンを前記秘密キーを使用して暗号化解除を試みるステップと、
    前記処理ユニットが、前記秘密キーを用いて暗号化解除が可能であり、前記暗号化された認証トークンの暗号化解除された内容を取得可能な場合に、前記コンピューティングデバイスとの認証された通信を、前記他のコンピューティングデバイスに許可するステップと
    備えたことを特徴とするコンピュータ実行方法。
  2. 前記暗号化された認証トークンは、前記クライアント識別子およびチャレンジを含むことを特徴とする請求項1に記載のコンピュータ実行方法。
  3. 前記クライアント識別子によって前記他のコンピューティングデバイスの中から、前記コンピューティングデバイスとの認証された通信を望んでいる1つのクライアントデバイスを特定させることができることを特徴とする請求項2に記載のコンピュータ実行方法。
  4. 前記チャレンジは、前記暗号化された認証トークンを暗号化解除するように試みる前記コンピューティングデバイスによって供給されることを特徴とする請求項2に記載のコンピュータ実行方法。
  5. 前記暗号化された認証トークンは、前記他のコンピューティングデバイスのネットワークアドレスをさらに含むことを特徴とする請求項1に記載のコンピュータ実行方法。
  6. 処理ユニットを含む認証サーバにおいて、認証サービスを提供するために実行されるコンピュータ実行方法であって、前記コンピュータ実行方法は、
    前記処理ユニットが、サービスプロバイダにアクセスを試みるクライアントコンピューティングデバイスと前記認証サーバとの間の安全なセッションが未だ確立されていない場合にセッションキーを用いて前記安全なセッションを確立するステップと、
    前記処理ユニットが、前記クライアントコンピューティングデバイスのユニークID、前記サービスプロバイダによって供給されたサービスプロバイダIDおよびチャレンジを受信するステップと、
    前記処理ユニットが、前記クライアントコンピューティングデバイスのユニークID、前記クライアントコンピューティングデバイスのネットワークアドレス、および前記サービスプロバイダによって供給された前記チャレンジを、前記サービスプロバイダによってのみ知られる秘密キーから分割して生成された暗号化キーを用いて暗号化するステップと、
    前記処理ユニットが、前記サービスプロバイダに対してアクセスを試みるときに前記暗号化されたユニークID、ネットワークアドレスおよびチャレンジ、前記サービスプロバイダに対するアクセス許否判定のために前記クライアントコンピューティングデバイスに提供するステップと
    を備えことを特徴とするコンピュータ実行方法。
  7. 前記セッションキーは、前記クライアントコンピューティングデバイスの認証キーから生成され、前記認証キーは認証を望んでいる前記クライアントコンピューティングデバイスのログイン証明物、および前記認証サーバのIDから得られることを特徴とする請求項に記載のコンピュータ実行方法。
  8. 前記ログイン証明物は、パスワードおよびユーザ名を含むことを特徴とする請求項に記載のコンピュータ実行方法。
  9. 前記ユニークIDは、少なくともログイン名から得られることを特徴とする請求項に記載のコンピュータ実行方法。
  10. 前記認証キーおよび前記ユニークIDは、安全なセッションを確立する認証処理の間に、認証を望んでいる前記クライアントコンピューティングデバイスのモジュールによって生成され、前記認証キーおよび前記ユニークIDは前の処理において、前記クライアントコンピューティングデバイスのモジュールによって前記認証サーバに送信され保存されていることを特徴とする請求項に記載のコンピュータ実行方法。
  11. 請求項1乃至10のうちの1つに記載のコンピュータ実行方法を実行させるコンピュータ実行可能命令を有することを特徴とするコンピュータ可読記憶媒体。
JP2008527997A 2005-08-22 2006-08-16 分散シングルサインオンサービス Active JP5009294B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/208,509 2005-08-22
US11/208,509 US7690026B2 (en) 2005-08-22 2005-08-22 Distributed single sign-on service
PCT/US2006/032156 WO2007024626A1 (en) 2005-08-22 2006-08-16 Distributed single sign-on service

Publications (2)

Publication Number Publication Date
JP2009505308A JP2009505308A (ja) 2009-02-05
JP5009294B2 true JP5009294B2 (ja) 2012-08-22

Family

ID=37768631

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008527997A Active JP5009294B2 (ja) 2005-08-22 2006-08-16 分散シングルサインオンサービス

Country Status (15)

Country Link
US (1) US7690026B2 (ja)
EP (1) EP1917603B1 (ja)
JP (1) JP5009294B2 (ja)
KR (1) KR101265873B1 (ja)
CN (1) CN100580657C (ja)
AU (1) AU2006283634A1 (ja)
BR (1) BRPI0615053A2 (ja)
CA (1) CA2619420C (ja)
ES (1) ES2701873T3 (ja)
IL (1) IL189131A (ja)
MX (1) MX2008002504A (ja)
NO (1) NO20080532L (ja)
RU (1) RU2417422C2 (ja)
WO (1) WO2007024626A1 (ja)
ZA (1) ZA200801179B (ja)

Families Citing this family (101)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE602004010098T3 (de) 2003-05-06 2014-09-04 Apple Inc. Verfahren zur änderung von einer nachrichtspeicherungs und weiterleitungsnetzwerkssystem und datenbenachrichtigungssystem
GB0321337D0 (en) * 2003-09-11 2003-10-15 Massone Mobile Advertising Sys Method and system for distributing advertisements
JP4372030B2 (ja) * 2005-03-02 2009-11-25 キヤノン株式会社 印刷装置、印刷装置の制御方法及びコンピュータプログラム
US7877387B2 (en) 2005-09-30 2011-01-25 Strands, Inc. Systems and methods for promotional media item selection and promotional program unit generation
NO324315B1 (no) * 2005-10-03 2007-09-24 Encap As Metode og system for sikker brukerautentisering ved personlig dataterminal
US20070245152A1 (en) * 2006-04-13 2007-10-18 Erix Pizano Biometric authentication system for enhancing network security
WO2008018055A2 (en) * 2006-08-09 2008-02-14 Neocleus Ltd Extranet security
US8200967B2 (en) * 2006-10-18 2012-06-12 Rockstar Bidco Lp Method of configuring a node, related node and configuration server
US20080096507A1 (en) * 2006-10-24 2008-04-24 Esa Erola System, apparatus and method for creating service accounts and configuring devices for use therewith
US20080141352A1 (en) * 2006-12-11 2008-06-12 Motorola, Inc. Secure password distribution to a client device of a network
US8424077B2 (en) * 2006-12-18 2013-04-16 Irdeto Canada Corporation Simplified management of authentication credentials for unattended applications
GB2438475A (en) 2007-03-07 2007-11-28 Cvon Innovations Ltd A method for ranking search results
WO2008114257A2 (en) * 2007-03-21 2008-09-25 Neocleus Ltd. Protection against impersonation attacks
WO2008114256A2 (en) * 2007-03-22 2008-09-25 Neocleus Ltd. Trusted local single sign-on
GB2441399B (en) * 2007-04-03 2009-02-18 Cvon Innovations Ltd Network invitation arrangement and method
US8671000B2 (en) 2007-04-24 2014-03-11 Apple Inc. Method and arrangement for providing content to multimedia devices
CN102333100B (zh) * 2007-11-08 2013-11-06 华为技术有限公司 进行认证的方法及终端
US8875259B2 (en) * 2007-11-15 2014-10-28 Salesforce.Com, Inc. On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service
US8370937B2 (en) * 2007-12-03 2013-02-05 Cisco Technology, Inc. Handling of DDoS attacks from NAT or proxy devices
US8474037B2 (en) 2008-01-07 2013-06-25 Intel Corporation Stateless attestation system
US20090183246A1 (en) * 2008-01-15 2009-07-16 Authlogic Inc. Universal multi-factor authentication
CN101227275A (zh) * 2008-02-13 2008-07-23 刘海云 随机加密和穷举法解密相结合的加密方法
US8209744B2 (en) * 2008-05-16 2012-06-26 Microsoft Corporation Mobile device assisted secure computer network communication
WO2009147631A1 (en) * 2008-06-05 2009-12-10 Neocleus Israel Ltd Secure multi-purpose computing client
US7600253B1 (en) * 2008-08-21 2009-10-06 International Business Machines Corporation Entity correlation service
US20100067035A1 (en) * 2008-09-16 2010-03-18 Kawakubo Satoru Image forming apparatus, information processing apparatus, information processing system, information processing method, and program
AU2009295193A1 (en) * 2008-09-22 2010-03-25 Tefaye, Joseph Elie Mr Method and system for user authentication
KR101510473B1 (ko) * 2008-10-06 2015-04-08 에스케이커뮤니케이션즈 주식회사 컨텐츠 제공자에 제공되는 회원 정보의 보안을 강화한 인증방법 및 시스템
US8151333B2 (en) 2008-11-24 2012-04-03 Microsoft Corporation Distributed single sign on technologies including privacy protection and proactive updating
JP5802137B2 (ja) 2009-02-05 2015-10-28 ダブリューダブリューパス コーポレイションWwpass Corporation 安全なプライベート・データ記憶装置を有する集中型の認証システム、および方法
US8839391B2 (en) 2009-02-05 2014-09-16 Wwpass Corporation Single token authentication
US8751829B2 (en) 2009-02-05 2014-06-10 Wwpass Corporation Dispersed secure data storage and retrieval
US8752153B2 (en) 2009-02-05 2014-06-10 Wwpass Corporation Accessing data based on authenticated user, provider and system
US8713661B2 (en) 2009-02-05 2014-04-29 Wwpass Corporation Authentication service
IT1393199B1 (it) * 2009-02-25 2012-04-11 Asselle Sistema di controllo per la gestione degli accessi ad aree riservate
US8520855B1 (en) * 2009-03-05 2013-08-27 University Of Washington Encapsulation and decapsulation for data disintegration
CN101610515A (zh) * 2009-07-22 2009-12-23 中兴通讯股份有限公司 一种基于wapi的认证***及方法
US8776214B1 (en) 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
US8887250B2 (en) * 2009-12-18 2014-11-11 Microsoft Corporation Techniques for accessing desktop applications using federated identity
US9367847B2 (en) 2010-05-28 2016-06-14 Apple Inc. Presenting content packages based on audience retargeting
KR101770297B1 (ko) * 2010-09-07 2017-09-05 삼성전자주식회사 온라인 서비스 접속 방법 및 그 장치
US8713589B2 (en) 2010-12-23 2014-04-29 Microsoft Corporation Registration and network access control
US8590017B2 (en) * 2011-02-28 2013-11-19 International Business Machines Corporation Partial authentication for access to incremental data
US9536074B2 (en) 2011-02-28 2017-01-03 Nokia Technologies Oy Method and apparatus for providing single sign-on for computation closures
US20120291096A1 (en) 2011-05-12 2012-11-15 Nokia Corporation Method and apparatus for secure signing and utilization of distributed computations
US8600061B2 (en) * 2011-06-24 2013-12-03 Broadcom Corporation Generating secure device secret key
WO2013012531A2 (en) * 2011-07-18 2013-01-24 Wwpass Corporation Authentication service
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US9767262B1 (en) 2011-07-29 2017-09-19 Amazon Technologies, Inc. Managing security credentials
KR101620246B1 (ko) * 2011-10-24 2016-05-23 코닌클리즈케 케이피엔 엔.브이. 콘텐츠의 보안 배포
WO2013071087A1 (en) * 2011-11-09 2013-05-16 Unisys Corporation Single sign on for cloud
KR101306442B1 (ko) * 2011-11-30 2013-09-09 에스케이씨앤씨 주식회사 휴대용 디바이스에 발급된 토큰을 이용한 사용자 인증 방법 및 시스템
FR2984555A1 (fr) * 2011-12-19 2013-06-21 Sagemcom Documents Sas Procede d'appairage d'un appareil electronique et d'un compte utilisateur au sein d'un service en ligne
US9356924B1 (en) 2011-12-27 2016-05-31 Majid Shahbazi Systems, methods, and computer readable media for single sign-on (SSO) using optical codes
US8819444B2 (en) 2011-12-27 2014-08-26 Majid Shahbazi Methods for single signon (SSO) using decentralized password and credential management
KR101378520B1 (ko) * 2011-12-28 2014-03-28 경북대학교 산학협력단 위치 기반 의료 정보 제공 시스템 및 방법
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
US8955065B2 (en) * 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
GB2504457A (en) * 2012-06-06 2014-02-05 Univ Bruxelles Message authentication via distributed secret keys
US9626503B2 (en) 2012-11-26 2017-04-18 Elwha Llc Methods and systems for managing services and device data
US10069703B2 (en) 2012-10-31 2018-09-04 Elwha Llc Methods and systems for monitoring and/or managing device data
US10091325B2 (en) 2012-10-30 2018-10-02 Elwha Llc Methods and systems for data services
US9088450B2 (en) 2012-10-31 2015-07-21 Elwha Llc Methods and systems for data services
US20140123325A1 (en) 2012-11-26 2014-05-01 Elwha Llc Methods and systems for managing data and/or services for devices
US9619497B2 (en) * 2012-10-30 2017-04-11 Elwah LLC Methods and systems for managing one or more services and/or device data
WO2014137063A1 (ko) 2013-03-08 2014-09-12 에스케이플래닛 주식회사 어플리케이션을 이용한 인증 방법, 이를 위한 시스템 및 장치
US9282098B1 (en) 2013-03-11 2016-03-08 Amazon Technologies, Inc. Proxy server-based network site account management
US9037858B1 (en) * 2013-03-12 2015-05-19 Emc Corporation Distributed cryptography using distinct value sets each comprising at least one obscured secret value
US9203832B2 (en) * 2013-03-12 2015-12-01 Cable Television Laboratories, Inc. DTCP certificate authentication over TLS protocol
US9032212B1 (en) * 2013-03-15 2015-05-12 Emc Corporation Self-refreshing distributed cryptography
US9628467B2 (en) 2013-03-15 2017-04-18 Aerohive Networks, Inc. Wireless device authentication and service access
US20140281502A1 (en) * 2013-03-15 2014-09-18 General Instrument Corporation Method and apparatus for embedding secret information in digital certificates
PT3010962T (pt) * 2013-06-20 2017-09-05 Pharmathen Sa Preparação de micropartículas polilactida-poliglicolida com um perfil de libertação sigmoide
US9521146B2 (en) * 2013-08-21 2016-12-13 Microsoft Technology Licensing, Llc Proof of possession for web browser cookie based security tokens
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
JP6398308B2 (ja) * 2014-05-15 2018-10-03 株式会社リコー 情報処理システム、情報処理方法、及びプログラム
US9350545B1 (en) * 2014-06-30 2016-05-24 Emc Corporation Recovery mechanism for fault-tolerant split-server passcode verification of one-time authentication tokens
GB2530726B (en) * 2014-09-25 2016-11-02 Ibm Distributed single sign-on
US9674158B2 (en) * 2015-07-28 2017-06-06 International Business Machines Corporation User authentication over networks
US10509900B1 (en) 2015-08-06 2019-12-17 Majid Shahbazi Computer program products for user account management
KR102368614B1 (ko) * 2015-08-12 2022-02-25 삼성전자주식회사 인증 처리 방법 및 이를 지원하는 전자 장치
US9882901B2 (en) * 2015-12-14 2018-01-30 International Business Machines Corporation End-to-end protection for shrouded virtual servers
CN106341413A (zh) * 2016-09-29 2017-01-18 上海斐讯数据通信技术有限公司 一种portal认证方法及装置
KR101962349B1 (ko) * 2017-02-28 2019-03-27 고려대학교 산학협력단 인증서 기반 통합 인증 방법
EP3376421A1 (en) * 2017-03-17 2018-09-19 Gemalto Sa Method for authenticating a user and corresponding device, first and second servers and system
US10116635B1 (en) * 2017-04-27 2018-10-30 Otis Elevator Company Mobile-based equipment service system using encrypted code offloading
US10891372B1 (en) 2017-12-01 2021-01-12 Majid Shahbazi Systems, methods, and products for user account authentication and protection
EP3791533A1 (en) * 2018-05-08 2021-03-17 Visa International Service Association Password based threshold token generation
EP3579595B1 (en) * 2018-06-05 2021-08-04 R2J Limited Improved system and method for internet access age-verification
US11410159B2 (en) * 2018-08-10 2022-08-09 Tzero Ip, Llc Upgradeable security token
CN109922042B (zh) * 2019-01-21 2020-07-03 北京邮电大学 遗失设备的子密钥管理方法和***
CN109698746B (zh) * 2019-01-21 2021-03-23 北京邮电大学 基于主密钥协商生成绑定设备的子密钥的方法和***
US10862689B1 (en) 2019-07-23 2020-12-08 Cyberark Software Ltd. Verification of client identities based on non-distributed data
CN111065097B (zh) * 2019-10-11 2021-08-10 上海交通大学 移动互联网中基于共享密钥的通道保护方法及***
US11314876B2 (en) 2020-05-28 2022-04-26 Bank Of America Corporation System and method for managing built-in security for content distribution
US11652613B2 (en) * 2020-09-04 2023-05-16 Citrix Systems, Inc. Secure information exchange in federated authentication
US11343085B2 (en) * 2020-09-19 2022-05-24 International Business Machines Corporation Threshold encryption for broadcast content
US11792021B2 (en) 2021-06-11 2023-10-17 Humana Inc. Resiliency architecture for identity provisioning and verification
US11941266B2 (en) 2021-10-20 2024-03-26 Samsung Electronics Co., Ltd. Resource isolation in computational storage devices
CN113923056B (zh) * 2021-12-15 2022-03-15 天津联想协同科技有限公司 多网段网盘的匹配认证方法、装置、网盘及存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5706349A (en) * 1995-03-06 1998-01-06 International Business Machines Corporation Authenticating remote users in a distributed environment
JP3620138B2 (ja) * 1996-02-05 2005-02-16 松下電器産業株式会社 鍵共有システム
US5839119A (en) * 1996-09-27 1998-11-17 Xerox Corporation Method of electronic payments that prevents double-spending
US6185685B1 (en) * 1997-12-11 2001-02-06 International Business Machines Corporation Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same
JPH11282982A (ja) * 1998-03-31 1999-10-15 Oki Electric Ind Co Ltd 利用者カード、通信端末機、通信サーバ、通信システム、および、通信システムの利用者認証方法
US6421768B1 (en) 1999-05-04 2002-07-16 First Data Corporation Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment
EP1264463A2 (en) 2000-03-17 2002-12-11 AT & T Corp. Web-based single-sign-on authentication mechanism
US20030115452A1 (en) * 2000-12-19 2003-06-19 Ravi Sandhu One time password entry to access multiple network sites
KR20020095815A (ko) 2001-06-15 2002-12-28 (주) 비씨큐어 인증서 기반의 전자 신분증 발급 시스템 및 방법
JP2003099403A (ja) * 2001-09-25 2003-04-04 Sony Corp 個人認証システム、個人認証方法、および個人情報収集装置、情報処理装置、並びにコンピュータ・プログラム
JP4148461B2 (ja) * 2003-01-15 2008-09-10 日本電信電話株式会社 匿名サービス提供方法とこの方法を実現するサーバ装置及びプログラム
JP2004334330A (ja) * 2003-04-30 2004-11-25 Sony Corp 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体
KR100626341B1 (ko) 2003-05-12 2006-09-20 학교법인 호서학원 토큰을 이용한 무선 인증시스템과 그 인증방법
JP2005167412A (ja) * 2003-11-28 2005-06-23 Toshiba Corp 通信システム、通信システムで使用される通信端末及びサーバ装置、及び通信システムで使用される接続認証方法

Also Published As

Publication number Publication date
NO20080532L (no) 2008-05-21
EP1917603B1 (en) 2018-09-19
IL189131A (en) 2011-10-31
ES2701873T3 (es) 2019-02-26
CN100580657C (zh) 2010-01-13
EP1917603A1 (en) 2008-05-07
CA2619420C (en) 2014-09-30
CA2619420A1 (en) 2007-03-01
RU2417422C2 (ru) 2011-04-27
CN101243438A (zh) 2008-08-13
WO2007024626A1 (en) 2007-03-01
KR20080041220A (ko) 2008-05-09
US7690026B2 (en) 2010-03-30
KR101265873B1 (ko) 2013-05-20
MX2008002504A (es) 2008-04-07
JP2009505308A (ja) 2009-02-05
RU2008106779A (ru) 2009-08-27
AU2006283634A1 (en) 2007-03-01
US20070044143A1 (en) 2007-02-22
IL189131A0 (en) 2008-08-07
EP1917603A4 (en) 2015-01-21
BRPI0615053A2 (pt) 2011-04-26
ZA200801179B (en) 2009-06-24

Similar Documents

Publication Publication Date Title
JP5009294B2 (ja) 分散シングルサインオンサービス
US11711219B1 (en) PKI-based user authentication for web services using blockchain
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
JP5619019B2 (ja) 認証のための方法、システム、およびコンピュータ・プログラム(1次認証済み通信チャネルによる2次通信チャネルのトークンベースのクライアント・サーバ認証)
JP4226665B2 (ja) ログオン証明書
US7496755B2 (en) Method and system for a single-sign-on operation providing grid access and network access
US9137017B2 (en) Key recovery mechanism
US8984613B2 (en) Server pool Kerberos authentication scheme
JP4863777B2 (ja) 通信処理方法及びコンピュータ・システム
US20010020274A1 (en) Platform-neutral system and method for providing secure remote operations over an insecure computer network
MXPA04007546A (es) Metodo y sistema para proporcionar una tercera autenticacion de autorizacion.
GB2440425A (en) Single sign-on system which translates authentication tokens
CA2503271A1 (en) A method and system for recovering password protected private data via a communication network without exposing the private data
US20220417241A1 (en) Methods, Systems, and Devices for Server Control of Client Authorization Proof of Possession
JP2001186122A (ja) 認証システム及び認証方法
US8875244B1 (en) Method and apparatus for authenticating a user using dynamic client-side storage values
Schardong et al. Post-quantum electronic identity: adapting OpenID connect and OAuth 2.0 to the post-quantum era
Corella et al. Strong and convenient multi-factor authentication on mobile devices
Chen et al. Threspassport–a distributed single sign-on service
US20110307700A1 (en) System and method for performing two factor authentication and digital signing

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090717

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111222

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120322

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120525

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120530

R150 Certificate of patent or registration of utility model

Ref document number: 5009294

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150608

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250