[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4420201B2 - ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム - Google Patents

ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム Download PDF

Info

Publication number
JP4420201B2
JP4420201B2 JP2004052835A JP2004052835A JP4420201B2 JP 4420201 B2 JP4420201 B2 JP 4420201B2 JP 2004052835 A JP2004052835 A JP 2004052835A JP 2004052835 A JP2004052835 A JP 2004052835A JP 4420201 B2 JP4420201 B2 JP 4420201B2
Authority
JP
Japan
Prior art keywords
public key
computer
certificate
hardware token
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004052835A
Other languages
English (en)
Other versions
JP2005242745A (ja
Inventor
正和 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2004052835A priority Critical patent/JP4420201B2/ja
Priority to TW094103750A priority patent/TWI335750B/zh
Priority to US11/063,095 priority patent/US7752445B2/en
Priority to CN2005100519936A priority patent/CN1661961A/zh
Priority to EP05101394A priority patent/EP1571525B1/en
Publication of JP2005242745A publication Critical patent/JP2005242745A/ja
Application granted granted Critical
Publication of JP4420201B2 publication Critical patent/JP4420201B2/ja
Priority to US12/794,210 priority patent/US8271781B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、本人の認証方法等に係り、より詳しくは、ICカードなどのハードウェアトークンを用いた認証方法等に関する。
近年、例えば企業における電子商取引が活発化しており、企業に対して個人情報の保護の機運が急速に高まっている。例えば個人情報の流出は、企業の社会的信用を大きく失うことにつながり、企業経営に対する影響が非常に大きい。一方、企業においては、派遣社員の採用や業務のアウトソーシングが一般化し、例えば社内ネットワークにアクセスする人やアクセスの形態が非常に多様化してきている。その結果、社内ネットワークと言えども、従来のユーザIDやパスワードだけではシステムをセキュアな状態に保つことが難しくなってきた。また、企業における社内システムの他に、金融における決済システム、教育現場における各種管理システム、行政機関や税務関係等の公共システム、例えば電子マネー等を利用する流通システム等においても、高いレベルでのセキュリティが要求されている。かかる状況から、「盗聴」、「改ざん」、「なりすまし」といった脅威に対応するために、ICカードに代表されるハードウェアトークンを用いて個人認証を行う技術が従来から採用されている。
図12(a),(b)は、ICカードを用いた従来のパスワード認証方式を説明するための図である。図12(a)は証明書のインストール時の処理を説明しており、図12(b)は証明書の利用時の処理を示している。ここでは、インターネット等のネットワークを介してリモートアクセス装置(図示せず)にアクセスするコンピュータ装置(PC)201、例えばICカードリーダ・ライタに挿入されてコンピュータ装置201に接続されるICカード202が示されている。また、インターネットを介してコンピュータ装置201に接続される認証局203が示されている。
従来のパスワード認証方式では、図12(a)に示す証明書のインストール時において、まず、コンピュータ装置201からICカード202に対してパスワード(PIN(Personal Identity Number)コード)の設定がなされる。また、ICカード202では、公開鍵と秘密鍵のペアが作成される。その後、コンピュータ装置201によってICカード202から公開鍵が読み出される。そして、コンピュータ装置201は、認証局203に対して公開鍵の登録(Enrollment)を申請し、認証局203は、この公開鍵の証明書をコンピュータ装置201に対して発行する。コンピュータ装置201は、ICカード202に、認証局203から得られた公開鍵の証明書を格納する。
次に、図12(b)に示す証明書の利用時では、ICカード202がコンピュータ装置201に接続された後、まず、コンピュータ装置201にてICカード202のパスワードが入力される。ICカード202ではパスワードの照合がなされ、正しいパスワードが入力された場合にはOK(正しい旨)の返事をコンピュータ装置201に対して出力する。このようなパスワードの入力と照合によって、ICカード202をICカードリーダ・ライタに挿入してコンピュータ装置201にアクセスした者(パスワードを入力した者)が本人であることを認証する。その後、コンピュータ装置201とICカード202との間で、公開鍵の読み出しや秘密鍵による認証等が行われる。
また、文献記載の従来技術として、ICカードに格納した証明書を使用した個人認証の実現方法についての提案がある(例えば、非特許文献1参照。)。この非特許文献1には、個人認証実現への検討課題として、不正使用の防止が取り上げられている。ここでは、不正使用の防止を図るために、他人にICカードを使用されないようにすること、他人がICカードを使用できないようにすること、秘密鍵を盗まれないようにすること、その他、不正使用の早期発見、発覚時の対応、使用不可時の対応等が提案されている。
佐藤良夫著 「ICカードによる個人認証」UNISYS TECHNOLOGY REVIEW 第73号、2002年5月 (第137〜139頁)
このように、図12(a),(b)に示す個人認証方式では、ユーザの公開鍵のディジタル証明書と、対となる秘密鍵とを格納するためにICカード202が用いられている。このICカード202に格納されるディジタル証明書と秘密鍵とのペアは、VPN(Virtual Private Network)等を用いてリモート拠点等からプライベートのネットワークに接続する際のユーザ認証手段として用いられている。即ち、従来では、証明書をコンピュータ装置201のWebブラウザに組み込むのではなく、「鍵」のように持ち運びできるICカード202などのハードウェアトークンに証明書を格納することで、本人認証の仕組みをハードウェアトークンを用いて運用している。
しかし、ICカード202などのハードウェアトークンは、紛失したり盗難される危険性がある。上述のように、従来では、ハードウェアトークンにアクセスするための一種のパスワードを設定することにより、第三者がハードウェアトークンを入手しても不正にその情報をアクセスできないように保護している。しかしながら、パスワードは、入力している最中に盗み見られたり、ユーザが不用意に書き残したものが漏洩するなど、保護手段としての堅牢性に欠ける。そもそもディジタル証明書を用いて認証を行うのは、そのようなパスワードの欠点を防ぐことが目的であったが、スマートカードのアクセスをパスワードだけで保護するのでは、この部分にセキュリティ上の弱点が残ってしまう。上記非特許文献1には、これらの課題の一部が提起されているが、あくまでも課題の提起に留まっている。上記非特許文献1には、「机の上などに放置しない。」、「生年月日等を用いたPINを使用しない。」、「秘密鍵については鍵預託方式を採用しない。」、「ログイン日時を表示することで不正使用を早期に発見する。」等の運用上での対策だけが検討されており、不正使用に対する実質的な解決策とはなり得ない。
本発明は、以上のような技術的課題を解決するためになされたものであって、その目的とするところは、ICカードなどのハードウェアトークンを用いて認証を行うシステムのセキュリティレベルを飛躍的に向上させることにある。
また他の目的は、あるハードウェアトークンが特定のコンピュータ装置でのみ利用できるようにする仕組みを提供することにある。
更に他の目的は、あるハードウェアトークンが特定の認証局で証明された複数または単数のコンピュータ装置でのみ利用できるようにする仕組みを提供することにある。
また更に他の目的は、不正アクセスに対するセキュリティレベルを飛躍的に向上させたICカードなどのハードウェアトークンを提供することにある。
かかる目的のもと、本発明は、ハードウェアトークンへのアクセス許可の認証手段として、パスワードではなく、他のディジタル証明書と秘密鍵とのペアを用いる点に主たる特徴がある。即ち、本発明は、コンピュータ装置に接続されるハードウェアトークンを用いた認証方法であって、コンピュータ装置や認証局にて生成されたコンピュータ公開鍵Ckおよびコンピュータ秘密鍵Ck’から、コンピュータ公開鍵Ckをこのコンピュータ装置によってハードウェアトークンに格納するステップと、ハードウェアトークンに格納されているユーザ公開鍵Ukをこのハードウェアトークンからコンピュータ装置にて読み出すステップと、読み出されたユーザ公開鍵Ukをコンピュータ装置から認証局に登録し、認証局からユーザ公開鍵Ukに対する証明書の発行をコンピュータ装置が受けるステップと、発行を受けたユーザ公開鍵Ukの証明書をコンピュータ装置によってハードウェアトークンに格納するステップとを含む。ここで、このハードウェアトークンは、ユーザ公開鍵Ukおよびユーザ秘密鍵Uk’を記憶装置に格納するICカードであることを特徴とすることができる。
また本発明が適用されるハードウェアトークンを用いた認証方法は、ハードウェアトークンにて発生した乱数Rをハードウェアトークンからコンピュータ装置にて取得するステップと、取得した乱数Rをコンピュータ秘密鍵Ck’で署名した署名Ck’(R)を、コンピュータ装置からハードウェアトークンに返すステップと、ハードウェアトークンにて格納されているコンピュータ公開鍵Ckを用いてハードウェアトークンにてなされた署名Ck’(R)の認証を、ハードウェアトークンからコンピュータ装置が受けるステップと、かかる署名Ck’(R)の認証の結果、正しいと判断される場合に、コンピュータ装置にてハードウェアトークンに格納されているユーザ公開鍵Ukおよびユーザ秘密鍵Uk’を用いたユーザ認証を行うステップを含む。
更に他の観点から捉えると、本発明が適用されるハードウェアトークンを用いた認証方法は、認証局からコンピュータ公開鍵Ckに対する証明書の発行をコンピュータ装置が受けるステップと、この認証局にて認証された認証局公開鍵Akの証明書をコンピュータ装置にて取得するステップと、取得された認証局公開鍵Akの証明書をコンピュータ装置からハードウェアトークンに格納するステップと、ハードウェアトークンに格納されているユーザ公開鍵Ukをコンピュータ装置にて読み出すステップと、読み出されたユーザ公開鍵Ukをコンピュータ装置から認証局に登録して、この認証局からユーザ公開鍵Ukに対する証明書の発行をコンピュータ装置が受けるステップと、発行を受けたユーザ公開鍵Ukの証明書をコンピュータ装置からハードウェアトークンに格納するステップとを含む。
また更に、本発明が適用されるハードウェアトークンを用いた認証方法は、このハードウェアトークンにて発生した乱数Rをコンピュータ装置にて取得するステップと、コンピュータ装置にて乱数Rをコンピュータ秘密鍵Ck’にて署名された署名Ck’(R)をコンピュータ装置からハードウェアトークンに送るステップと、認証局にて認証を受けているコンピュータ公開鍵Ckの証明書をコンピュータ装置からハードウェアトークンに送るステップと、格納されている認証局の認証局公開鍵Akの証明書を用いてこのハードウェアトークンにてコンピュータ公開鍵Ckが認証され、認証が正しかった場合に、ハードウェアトークンによってなされるコンピュータ公開鍵Ckを用いた署名Ck’(R)の認証をコンピュータ装置が受けるステップと、このハードウェアトークンによる署名Ck’(R)の認証の結果、正しいと判断される場合に、ハードウェアトークンに格納されているユーザ公開鍵Ukおよびユーザ秘密鍵Uk’を用いてユーザ認証を行うステップとを含む。
一方、本発明は、コンピュータ装置に接続して用いられるハードウェアトークンであって、コンピュータ装置から取得したコンピュータ公開鍵Ckをコンピュータ公開鍵格納手段にて格納し、本人認証に用いられるユーザ公開鍵Ukおよびユーザ秘密鍵Uk’をユーザ鍵格納手段にて格納する。また、証明書格納手段は、格納されているユーザ公開鍵Ukをコンピュータ装置に提供し、ユーザ公開鍵Ukについて認証局から発行された証明書をコンピュータ装置から取得して格納する。また、乱数提供手段は、生成した乱数をコンピュータ装置に提供し、取得手段は、コンピュータ装置のコンピュータ秘密鍵Ck’を用いてコンピュータ装置により乱数に署名が施された署名Ck’(R)をコンピュータ装置から取得する。その後、認証手段は、取得された署名Ck’(R)を格納されているコンピュータ公開鍵Ckで認証する。そして、ユーザ認証手段は、ユーザ認証のために、ユーザ公開鍵Ukと、ユーザ秘密鍵Uk’と認証サーバから提供される乱数R’とをもとに作られた情報(Uk’(R’))とをコンピュータ装置に提供する。
他の観点から捉えると、本発明が適用されるハードウェアトークンは、本人認証に用いられるユーザ公開鍵Ukおよびユーザ秘密鍵Uk’を格納するユーザ鍵格納手段と、格納されているユーザ公開鍵Ukをコンピュータ装置に提供し、このユーザ公開鍵Ukについて認証局から発行された証明書をコンピュータ装置から取得して格納する証明書格納手段と、認証局の公開鍵Akの証明書をコンピュータ装置から取得して格納する認証局証明書格納手段と含む。
また、生成した乱数をこのコンピュータ装置または他のコンピュータ装置に提供する乱数提供手段と、乱数を提供したコンピュータ装置または乱数を提供した他のコンピュータ装置のコンピュータ秘密鍵Ck’を用いて乱数に署名を施した署名Ck’(R)と、コンピュータ装置または他のコンピュータ装置のコンピュータ公開鍵Ckをコンピュータ装置または他のコンピュータ装置から取得する取得手段と、取得されたコンピュータ公開鍵Ckを認証局の公開鍵Akで認証する第1の認証手段と、この第1の認証手段によりコンピュータ公開鍵Ckが正しいと判断された場合に、取得された署名Ck’(R)をコンピュータ公開鍵Ckで認証する第2の認証手段とを含む。
更に、この第2の認証手段による署名Ck’(R)を認証した後、ユーザ鍵格納手段に格納されているユーザ公開鍵Ukをコンピュータ装置または他のコンピュータ装置に提供し、ユーザ秘密鍵Uk’を用いた認証を行うユーザ認証手段を含む。
また更に他の観点から捉えると、本発明が適用されるハードウェアトークンは、コンピュータ装置に対して証明書を発行する認証局の公開鍵Akの証明書を格納する格納手段と、生成した乱数をコンピュータ装置に提供する乱数提供手段と、このコンピュータ装置のコンピュータ秘密鍵Ck’を用いて乱数に署名を施した署名Ck’(R)と、このコンピュータ装置のコンピュータ公開鍵Ckをコンピュータ装置から取得する取得手段と、取得されたコンピュータ公開鍵Ckを認証局の公開鍵Akで認証する第1の認証手段と、この第1の認証手段によりコンピュータ公開鍵Ckが正しいと判断された場合に、取得された署名Ck’(R)をコンピュータ公開鍵Ckで認証する第2の認証手段とを含む。
ここで、この取得手段は、認証局にて認証されたコンピュータ証明書Ck(コンピュータ公開鍵Ckを含む)を取得することを特徴としている。
また、この第2の認証手段による署名Ck’(R)を認証した後、ユーザ認証のために、ユーザ公開鍵Ukと、ユーザ秘密鍵Uk’と認証サーバから提供される乱数R’とをもとに作られた情報(Uk’(R’))とをコンピュータ装置に提供するユーザ認証手段を更に含む。
一方、本発明は、ハードウェアトークンを用いて本人認証を行うコンピュータ装置から把握することができる。このコンピュータ装置は、生成されたコンピュータ公開鍵Ckおよびコンピュータ秘密鍵Ck’からコンピュータ公開鍵Ckを格納手段によりハードウェアトークンに格納する。そして、このハードウェアトークンに格納されているユーザ公開鍵Ukをユーザ公開鍵読み出し手段により読み出し、読み出されたユーザ公開鍵Ukを認証局に登録して、証明書受領手段によりこの認証局からユーザ公開鍵Ukに対する証明書の発行を受ける。その後、証明書格納手段では、証明書受領手段により受けたユーザ公開鍵Ukの証明書をハードウェアトークンに格納する。
ここで、このハードウェアトークンから乱数を取得する乱数取得手段と、取得した乱数についてコンピュータ秘密鍵Ck’を用いて署名を施し、署名Ck’(R)をハードウェアトークンに出力する署名出力手段と、ハードウェアトークンに格納されたコンピュータ公開鍵Ckを用いて署名Ck’(R)に対してハードウェアトークンによってなされた認証結果をこのハードウェアトークンから取得する取得手段とを更に含む。これによって、コンピュータ証明書と秘密鍵の対を保持する正当なコンピュータ装置の利用者だけがこのスマートカードにアクセスすることが可能となる点で好ましい。
しかして、本発明が適用されるコンピュータ装置は、コンピュータ公開鍵Ckおよびコンピュータ秘密鍵Ck’を鍵生成手段により生成し、生成されたコンピュータ公開鍵Ckを認証局に登録し、この認証局からコンピュータ公開鍵Ckの証明書とこの認証局の認証局公開鍵Akの証明書とを証明書取得手段により取得する。または、認証局により生成されたコンピュータ公開鍵Ckと認証局の認証局公開鍵Akとを証明書取得手段により取得する。そして、取得された認証局公開鍵Akを認証局証明書格納手段によりハードウェアトークンに格納し、格納されているユーザ公開鍵Ukをユーザ公開鍵読み出し手段により読み出す。その後、読み出されたユーザ公開鍵Ukを認証局に登録して、証明書受領手段では、この認証局からユーザ公開鍵Ukに対する証明書の発行を受ける。そして、受けたユーザ公開鍵Ukの証明書を証明書格納手段によってハードウェアトークンに格納する。
また他の観点から捉えると、本発明が適用されるコンピュータ装置は、生成されたコンピュータ公開鍵Ckおよびコンピュータ秘密鍵Ck’を格納する格納手段と、ハードウェアトークンから乱数を取得する乱数取得手段と、乱数取得手段により取得された乱数に対してコンピュータ秘密鍵Ck’を用いて署名を施し、署名Ck’(R)をハードウェアトークンに出力する署名出力手段と、この格納手段に格納されているコンピュータ公開鍵Ckをハードウェアトークンに出力する公開鍵出力手段と、ハードウェアトークンに格納されている認証局公開鍵Akの証明書を用いてコンピュータ公開鍵Ckが認証され、さらに、認証されたコンピュータ公開鍵Ckを用いて署名Ck’(R)に対してなされた認証結果をハードウェアトークンから取得する取得手段とを含む。
更に本発明は、コンピュータにて実行されるプログラムとして把握することができる。このプログラムは、接続されるハードウェアトークンを用いて本人認証を行うコンピュータに、コンピュータ公開鍵Ckをハードウェアトークンに格納する機能と、ハードウェアトークンに格納されているユーザ公開鍵Ukを読み出す機能と、読み出されたユーザ公開鍵Ukを認証局に登録して、この認証局からユーザ公開鍵Ukに対する証明書の発行を受ける機能と、発行を受けたユーザ公開鍵Ukの証明書をハードウェアトークンに格納する機能とを実現させる。
ここで、このコンピュータに、ハードウェアトークンから乱数を取得する機能と、取得した乱数をコンピュータ秘密鍵Ck’を用いて署名を施し、署名Ck’(R)をハードウェアトークンに出力する機能と、ハードウェアトークンに格納されたコンピュータ公開鍵Ckを用いて署名Ck’(R)に対してなされた認証結果をハードウェアトークンから取得する機能とを更に実現させることができる。
また他のプログラム発明として、コンピュータに、認証局からコンピュータ公開鍵Ckの証明書および認証局の認証局公開鍵Akの証明書を取得する機能と、取得された認証局公開鍵Akの証明書をハードウェアトークンに格納する機能と、ハードウェアトークンにて格納されているユーザ公開鍵Ukをハードウェアトークンから読み出す機能と、読み出されたユーザ公開鍵Ukを認証局に登録して、この認証局からユーザ公開鍵Ukに対する証明書の発行を受ける機能と、受けたユーザ公開鍵Ukの証明書をハードウェアトークンに格納する機能とを実現させる。
更に他のプログラム発明として、コンピュータに、生成されたコンピュータ公開鍵Ckおよびコンピュータ秘密鍵Ck’を格納する機能と、ハードウェアトークンから乱数を取得する機能と、取得された乱数に対してコンピュータ秘密鍵Ck’を用いて署名を施し、署名Ck’(R)をハードウェアトークンに出力する機能と、格納されているコンピュータ公開鍵Ckをハードウェアトークンに出力する機能と、ハードウェアトークンに格納されている認証局公開鍵Akの証明書を用いてコンピュータ公開鍵Ckが認証され、さらに、認証されたコンピュータ公開鍵Ckを用いて署名Ck’(R)に対してなされた認証結果をハードウェアトークンから取得する機能とを実現させる。
本発明によれば、ハードウェアトークンへのアクセス許可の認証手段として、パスワードではなく、例えば他のディジタル証明書と秘密鍵とのペアを用いることで、ハードウェアトークンを用いた場合の不正アクセスに対するセキュリティレベルを飛躍的に向上させることができる。
以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。
〔実施の形態1〕
図1は、本実施の形態(実施の形態1および実施の形態2)が適用される本人認証システムの全体構成を示した図である。本実施の形態が適用される本人認証システムは、リモートアクセスを行うクライアント側のPC(パーソナルコンピュータ)であるコンピュータ装置(PC)10、コンピュータ装置10との間で本人認証を行うハードウェアトークン30を備えている。また、図1には、インターネット90を介してコンピュータ装置10に接続されるものとして、ユーザ証明書やコンピュータ証明書の登録と取得をするための認証局50、例えば企業における社内システム等からなるリモートシステム70が示されている。リモートシステム70は、インターネット90に接続されてコンピュータ装置10との間でアクセスを行うリモートアクセス装置71、リモートアクセス時にユーザ証明書を用いたコンピュータ装置10の認証を行うリモートアクセス認証サーバ72を備えている。ユーザ証明書等のこれらのディジタル証明書には、シリアル番号や証明書を発行した認証局50の名前、有効期限、所有者(ユーザ)名、所有者の公開鍵などの情報が含まれる。
ハードウェアトークン30は、例えばICカードリーダ・ライタ等に挿入され、例えばUSB(Universal Serial Bus)を介してコンピュータ装置10に接続される。このハードウェアトークン30には、ユーザ公開鍵Ukとユーザ秘密鍵Uk’とが格納される。ハードウェアトークン30としては、スマートカード(商標)として総称されるICカードが最も一般的である。また、それ以外として、プラスチックカード、磁気カード、光カード等がハードウェアトークン30の一つとして挙げられる。また、ICカードの中でもメモリカード、マイクロプロセッサカードなどの接触型の他に、非接触型として、密着型や近接型、近傍型、マイクロ波型などがある。
認証局50は、ディジタル証明書を発行する第三者機関であり、公開鍵が正当であることを保証している。例えば、株式会社トリトン(Toriton,Inc.)や、日本ベリサイン株式会社等がある。コンピュータ装置10は、これらの認証局50に対してユーザ公開鍵Ukの登録を申請し、認証局50からユーザ公開鍵Ukの証明書を取得している。コンピュータ装置10は、リモートアクセス認証サーバ72に対して、ハードウェアトークン30に格納されているユーザ公開鍵Ukを用いてアクセスする。このリモートアクセス時に、認証局50により発行されたユーザ証明書を用いてコンピュータ装置10の認証を行うことで、リモートアクセス認証サーバ72は一定のセキュリティを確保している。
ここで、ハードウェアトークン30に格納されているユーザ公開鍵Ukを読み出す際に、コンピュータ装置10からハードウェアトークン30に対するアクセス許可が必要である。従来では、このハードウェアトークン30へのアクセス許可にパスワードが用いられていた。しかしながら、本実施の形態では、従来のパスワードではなく、他のディジタル証明書と秘密鍵とのペアをアクセス許可に用いている。ここで言う「他のディジタル証明書」と「秘密鍵ペア」の例としては、コンピュータ証明書が利用可能である。現在、ウィンドウズ(商標)などのシステムでは、証明書の被発行者(Subject)として、ユーザとは別に、コンピュータ装置10に対してコンピュータ証明書を発行することができる。コンピュータ証明書を使ったスマートカードの認証では、このコンピュータ証明書と秘密鍵との対を保持する正当なコンピュータの利用者のみが、ハードウェアトークン30にアクセスすることが可能である。実施の形態1において、ここでいう「正当」とは、狭義には、ハードウェアトークン30のユーザ証明書を発行されたユーザに用いることが許可された特定のコンピュータ装置10である。尚、後述する実施の形態2における「正当」とは、特定の認証局50から発行されたコンピュータ証明書と秘密鍵との対を保持するコンピュータ装置10である。但し、本実施の形態(実施の形態1および実施の形態2)の方式と従来のパスワード方式による認証は直交関係にあり、本実施の形態の方式だけを認証に用いても構わず、また、パスワード方式と組み合わせて認証に用いても構わない。
図2は、コンピュータ装置10の構成(ハードウェアおよびソフトウェア)を示したブロック図である。コンピュータ装置10は、コンピュータ装置10全体の頭脳として機能しオペレーティングシステム(OS)20の制御下で各種プログラムを実行するCPU11、CPU11の作業用メインメモリとして用いられるRAM12、ハードウェアトークン30との通信を行うインタフェース(I/F)13を備えている。また、例えばROMや、補助記憶装置としての例えばハードディスク装置等で構成される記憶装置14を備えている。記憶装置14には、コンピュータ公開鍵、コンピュータ秘密鍵、また、必要に応じて認証局公開鍵が格納される。インタフェース13としては、ハードウェアトークン30が例えばICカードである場合に、例えばICカードリーダ・ライタ等の装置を含む。
オペレーティングシステム20は、予めROMに格納されており、CPU11による実行に際してRAM12に書き込まれて実行される。この実行プログラムであるオペレーティングシステム20は、ハードウェアトークン30を駆動するハードウェアトークンドライバ21、ハードウェアトークン30を設定するためのソフトウェアであるハードウェアトークン設定ユーティリティ22が設けられている。また、公開鍵や秘密鍵を管理し、認証局50を利用するためのソフトウェアである公開鍵・秘密鍵管理,認証機関利用ユーティリティ23が設けられている。
図3は、ハードウェアトークン30のハードウェア構成を示したブロック図である。ハードウェアトークン30は、全体を制御するCPU31、CPU31の作業用メモリとして用いられる書き換え可能メモリであるRAM32、ハードウェアトークン30の実行プログラムが格納されているROM33を備えている。また、コンピュータ装置10に接続された例えばICカードリーダ・ライタとの通信を行うインタフェース(I/F)34を備えている。更に、例えば不揮発性メモリからなる安全保護された記憶装置35を備えている。安全保護された記憶装置35としては、例えばEEPROM(Electrically Erasable Programmable Read-Only Memory)やフラッシュメモリ、FeRAM(Ferro-electric Random Access Memory)等を用いることができる。この安全保護された記憶装置35には、ユーザ公開鍵Uk、ユーザ秘密鍵Uk’、コンピュータ公開鍵Ckまたは認証局公開鍵Akが格納される。また、必要に応じて、パスワード設定を行う際に用いられるパスコードが格納される場合がある。
次に、図4〜図7を用いて、上述した機能構成を用いた実施の形態1における本人認証方法について説明する。尚、以下の説明にて、「ユーザ証明書Uk」は認証局50で証明されたユーザ公開鍵Uk、「コンピュータ証明書Ck」は認証局50で証明されたコンピュータ公開鍵Ck、「認証局証明書Ak」は認証局50で証明された認証局公開鍵Akの意味で用いている。
図4は、実施の形態1におけるユーザ証明書インストール時に着目した処理の概要を説明するための図である。まずコンピュータ装置10は、ハードウェアトークン30にコンピュータ公開鍵Ckを格納する。また、コンピュータ装置10は、ハードウェアトークン30から、このハードウェアトークン30にて作成されたユーザ公開鍵Ukとユーザ秘密鍵Uk’の中から、ハードウェアトークン30のメモリに格納されているユーザ公開鍵Ukを読み出す。そして、コンピュータ装置10は、ユーザ公開鍵Ukの登録を認証局50に申請し、認証局50からユーザ公開鍵Ukの証明書を取得する。その後、コンピュータ装置10は、ユーザ証明書Uk(認証局50にて証明されたユーザ公開鍵Uk)をハードウェアトークン30に格納する。このように、ハードウェアトークン30にユーザ証明書Ukをインストールする際に、ないしはそれに先立って、そのユーザが利用可能なコンピュータ装置10のコンピュータ証明書Ckもインストールしておく。
図5は、実施の形態1におけるユーザ証明書利用時に着目した処理の概要を説明するための図である。まず、ハードウェアトークン30から乱数Rを発生し、コンピュータ装置10に送る。コンピュータ装置10側は、乱数Rをコンピュータ秘密鍵Ck’で署名したCk’(R)をハードウェアトークン30に返す。ハードウェアトークン30側でCk’(R)をCkで認証し、正しければコンピュータ装置10による以降のアクセスを許可する。以降のアクセスが許可されることで、コンピュータ装置10は、ハードウェアトークン30に対するユーザ公開鍵Ukの読み出しやユーザ秘密鍵Uk’による認証等を行うことができる。
図6は、図4に示したユーザ証明書インストール時の処理を示した制御フローである。ここでは、図2および図3に示すブロック図を引用して説明する。まず、コンピュータ装置10のCPU11にて実行される公開鍵・秘密鍵管理,認証機関利用ユーティリティ23では、コンピュータ公開鍵Ck、コンピュータ秘密鍵Ck’の生成がなされる(ステップ101)。コンピュータ装置10のハードウェアトークン設定ユーティリティ22は、各々のI/F(コンピュータ装置10のインタフェース13およびハードウェアトークン30のインタフェース34)を介して、ハードウェアトークン30の安全保護された記憶装置35に対してコンピュータ公開鍵Ckを格納する(ステップ102)。
ハードウェアトークン30のCPU31は、ユーザ公開鍵Uk、ユーザ秘密鍵Uk’を生成し(ステップ103)、ハードウェアトークン30の安全保護された記憶装置35に格納する。コンピュータ装置10の公開鍵・秘密鍵管理,認証機関利用ユーティリティ23は、各々のI/Fを介して、ハードウェアトークン30からユーザ公開鍵Ukを読み出し(ステップ104)、認証局50に対してユーザ公開鍵Ukの登録を申請する(ステップ105)。認証局50では、ユーザ公開鍵Ukへ署名がなされ(ステップ106)、コンピュータ装置10に対してユーザ公開鍵Ukのユーザ証明書が発行される(ステップ107)。コンピュータ装置10のハードウェアトークン設定ユーティリティ22は、各々のI/Fを介して、ハードウェアトークン30の安全保護された記憶装置35に対してユーザ証明書Uk(認証局50で認証されたユーザ公開鍵Uk)を格納する(ステップ108)。以上によって、ユーザ証明書インストール時の処理が終了する。
図7は、図5に示したユーザ証明書利用時の処理を示した制御フローである。ハードウェアトークン30のCPU31は、乱数Rを生成し(ステップ151)、各々のI/F(ハードウェアトークン30のインタフェース34およびコンピュータ装置10のインタフェース13)を介して、コンピュータ装置10に乱数Rを送る(ステップ152)。コンピュータ装置10では、乱数Rをコンピュータ秘密鍵Ck’で署名したCk’(R)が生成され(ステップ153)、生成されたCk’(R)が各々のI/Fを介してハードウェアトークン30に送られる(ステップ154)。
ハードウェアトークン30のCPU31は、コンピュータ装置10から送られたCk’(R)をコンピュータ公開鍵Ckで認証する(ステップ155)。CPU31では、認証によりCk’(R)が正しいか否かが判断され(ステップ156)、正しくなければリジェクト(Reject)処理が行われる(ステップ157)。正しければ、正しかった旨(OK)の情報がコンピュータ装置10に通知される(ステップ158)。その後、コンピュータ装置10では、ハードウェアトークン30の安全保護された記憶装置35に格納されたユーザ公開鍵Ukやユーザ秘密鍵Uk’を用いてユーザ認証(本人認証)され、各種処理が実行される(ステップ159)。認証は、リモートアクセス認証サーバ72で行われるが、ハードウェアトークン30は、ユーザ認証のために、ユーザ公開鍵Ukと、ユーザ秘密鍵Uk’とリモートアクセス認証サーバ72から提供される乱数R’をもとに作られた情報(Uk’(R’))をコンピュータ装置10に提供する。コンピュータ装置10では、この情報(Uk’(R’))を用いて、図1に示すリモートアクセス認証サーバ72に対するリモートアクセス等を実行する。
このように、実施の形態1によれば、ハードウェアトークン30に格納されたコンピュータ公開鍵Ckに対応するコンピュータ秘密鍵Ck’を有するコンピュータ装置10だけが、ハードウェアトークン30にアクセスすることが可能となる。これによって、ハードウェアトークン30を用いた不正使用に耐えるセキュリティレベルを向上させることができる。尚、ここでは、説明のためにコンピュータ証明書Ukを一種類としたが、複数のコンピュータ証明書を用いても構わない。
〔実施の形態2〕
実施の形態1では、正当である特定のコンピュータ装置10だけがハードウェアトークン30を使用することができた。実施の形態2ではこれを拡張し、認証局50の公開鍵で認証されているコンピュータ装置10がハードウェアトークン30を使用することができるものとした。尚、実施の形態1と同様な機能については同様な符号を用い、ここではその詳細な説明を省略する。
図8は、実施の形態2におけるユーザ証明書インストール時に着目した処理の概要を説明するための図である。まずコンピュータ装置10は、コンピュータ公開鍵Ckの登録を認証局50に申請し、認証局50からコンピュータ公開鍵Ckの証明書と、認証局50の公開鍵Ak(認証局公開鍵Ak)の発行を受ける。そして、コンピュータ装置10は、ハードウェアトークン30にこの認証局公開鍵Akを格納する。一方、ハードウェアトークン30は、ユーザ公開鍵Ukとユーザ秘密鍵Uk’のペアを作成する。コンピュータ装置10は、ハードウェアトークン30からユーザ公開鍵Ukを読み出し、ユーザ公開鍵Ukの登録を認証局50に申請し、認証局50からユーザ公開鍵Ukの証明書を取得する。そして、コンピュータ装置10は、ハードウェアトークン30にユーザ公開鍵Ukの証明書を格納する。これによって、ハードウェアトークン30にユーザ公開鍵Ukの証明書をインストールする際に、ないしはそれに先立って、そのユーザが利用を認める(複数の)コンピュータ装置10に対してコンピュータ公開鍵Ckを認証する認証局50で証明された認証局公開鍵Akを共にインストールする。
図9は、実施の形態2におけるユーザ証明書利用時に着目した処理の概要を説明するための図である。まず、ハードウェアトークン30から乱数Rを発生し、コンピュータ装置10に送る。コンピュータ装置10側は、乱数Rをコンピュータ秘密鍵Ck’で署名したCk’(R)を作り、コンピュータ証明書(コンピュータ公開鍵Ckを含む)と共にハードウェアトークン30に送る。ハードウェアトークン30側では、認証局50で証明された認証局公開鍵Akを用いてCkを認証する。Ckが正しければ、次にCkを用いてCk’(R)を認証する。Ck’(R)が正しければコンピュータ装置10による以降のアクセスを許可する。以降のアクセスが許可されることで、コンピュータ装置10は、ハードウェアトークン30に対するユーザ公開鍵Ukの読み出しやユーザ秘密鍵Uk’による認証等を行うことができる。
図10は、図8に示したユーザ証明書インストール時の処理を示した制御フローである。ここでは、図2および図3に示すブロック図を引用して説明する。まず、コンピュータ装置10のCPU11にて実行される公開鍵・秘密鍵管理,認証機関利用ユーティリティ23は、コンピュータ公開鍵Ck、コンピュータ秘密鍵Ck’を生成し(ステップ201)、認証局50に対してコンピュータ公開鍵Ckの登録を申請する(ステップ202)。認証局50では、コンピュータ公開鍵Ckへの署名がなされ(ステップ203)、コンピュータ公開鍵Ckの証明書がコンピュータ装置10に対して発行される(ステップ204)。また、認証局50からコンピュータ装置10に対して認証局50で証明された認証局証明書Akが発行される(ステップ205)。
コンピュータ装置10のハードウェアトークン設定ユーティリティ22は、各々のI/F(コンピュータ装置10のインタフェース13およびハードウェアトークン30のインタフェース34)を介して、ハードウェアトークン30の安全保護された記憶装置35に対して、認証局50で証明された認証局証明書Akを格納する(ステップ206)。ハードウェアトークン30のCPU31は、ユーザ公開鍵Uk、ユーザ秘密鍵Uk’を生成し(ステップ207)、ハードウェアトークン30の安全保護された記憶装置35に格納する。コンピュータ装置10の公開鍵・秘密鍵管理,認証機関利用ユーティリティ23は、各々のI/Fを介して、ハードウェアトークン30からユーザ公開鍵Ukを読み出し(ステップ208)、認証局50に対してユーザ公開鍵Ukの登録を申請する(ステップ209)。認証局50では、ユーザ公開鍵Ukへ署名がなされ(ステップ210)、コンピュータ装置10に対してユーザ公開鍵Ukに対するユーザ証明書Ukが発行(送信)される(ステップ211)。コンピュータ装置10のハードウェアトークン設定ユーティリティ22は、各々のI/Fを介して、ハードウェアトークン30の安全保護された記憶装置35に対して認証局50にて証明されたユーザ証明書Ukを格納する(ステップ212)。以上によって、ユーザ証明書インストール時の処理が終了する。
図11は、図9に示したユーザ証明書利用時の処理を示した制御フローである。ハードウェアトークン30のCPU31は、乱数Rを生成し(ステップ251)、各々のI/F(ハードウェアトークン30のインタフェース34およびコンピュータ装置10のインタフェース13)を介して、コンピュータ装置10に乱数Rを送る(ステップ252)。コンピュータ装置10では、乱数Rをコンピュータ秘密鍵Ck’で署名したCk’(R)が生成され(ステップ253)、生成されたCk’(R)が各々のI/Fを介してハードウェアトークン30に送られる(ステップ254)。また、これと同時に、認証局50で認証されているコンピュータ公開鍵Ck(コンピュータ証明書Ck)もハードウェアトークン30に送られる(ステップ255)。
ハードウェアトークン30のCPU31は、安全保護された記憶装置35に格納されている認証局公開鍵Akを用いて、コンピュータ装置10から送られたコンピュータ証明書Ckを認証する(ステップ256)。ハードウェアトークン30では、認証によりCkが正しいか否かが判断され(ステップ257)、正しくなければリジェクト(Reject)処理が行われる(ステップ258)。正しければ、コンピュータ装置10から送られたCk’(R)を、このCkで認証する(ステップ259)。そして、Ck’(R)が正しいか否かが判断され(ステップ260)、正しくなければリジェクト(Reject)処理が行われる(ステップ261)。正しければ、正しかった旨(OK)の情報がコンピュータ装置10に通知される(ステップ262)。その後、コンピュータ装置10は、ハードウェアトークン30の安全保護された記憶装置35に格納されたユーザ公開鍵Ukやユーザ秘密鍵Uk’を用いてユーザ認証(本人認証)され、各種処理を実行する(ステップ263)。認証は、リモートアクセス認証サーバ72で行われるが、ハードウェアトークン30は、ユーザ認証のために、ユーザ公開鍵Ukとユーザ秘密鍵Uk’とをもとに作られた情報(Uk’(R))をコンピュータ装置10に提供する。コンピュータ装置10では、この情報(Uk’(R))を用いて、図1に示すリモートアクセス認証サーバ72に対するリモートアクセス等を実行する。
このように、実施の形態2によれば、コンピュータ公開鍵Ckが認証局公開鍵Akで認証された場合に正しいコンピュータ公開鍵Ckであると判断し、そのコンピュータ公開鍵Ckを用いて認証している。これによって、認証局50で認証された正しいコンピュータ公開鍵Ckとコンピュータ秘密鍵Ck’を持つコンピュータ装置10であれば、ハードウェアトークン30にアクセスすることが可能となる。これによって、ハードウェアトークン30を用いた不正使用に対するセキュリティレベルを向上させることができると共に、特定の認証局50で認証された複数のコンピュータ装置10にてハードウェアトークン30を利用可能であり、利便性を大幅に向上させることができる。尚、本実施の形態では、認証局証明書Ak(認証局50で証明された認証局公開鍵Ak)を一種類としたが、複数であっても問題ない。また、本実施の形態では、コンピュータ公開鍵Ckとコンピュータ秘密鍵Ck’をコンピュータ装置10で生成されることで説明したが、場合によっては、認証局50が直接、生成し、証明書を発行する形態もある。また、同様に、本実施の形態ではユーザ公開鍵Ukとユーザ秘密鍵Uk’とがハードウェアトークン30で生成されるように説明したが、場合によっては認証局50で生成される場合もある。
以上詳述したように、本実施の形態では、ハードウェアトークン30に対するアクセス許可の認証手段として、パスワードではなく、他のディジタル証明書(認証局50で認証された公開鍵)と秘密鍵のペアを用いている。これによって、ハードウェアトークン30を利用できるコンピュータ装置10を特定することが可能となり、ハードウェアトークン30の不正使用を抑制でき、システムのセキュリティを大幅に向上させることが可能となる。
本発明の活用例としては、ノートPCやデスクトップ型PC等の各種コンピュータ装置、ICカードなどのハードウェアトークン、およびこれらを用いたネットワークシステムが挙げられる。また、これらのコンピュータ装置にて実行されるプログラムが活用例として挙げられる。
本実施の形態(実施の形態1および実施の形態2)が適用される本人認証システムの全体構成を示した図である。 コンピュータ装置の構成(ハードウェアおよびソフトウェア)を示したブロック図である。 ハードウェアトークンのハードウェア構成を示したブロック図である。 実施の形態1におけるユーザ証明書インストール時に着目した処理の概要を説明するための図である。 実施の形態1におけるユーザ証明書利用時に着目した処理の概要を説明するための図である。 図4に示したユーザ証明書インストール時の処理を示した制御フローである。 図5に示したユーザ証明書利用時の処理を示した制御フローである。 実施の形態2におけるユーザ証明書インストール時に着目した処理の概要を説明するための図である。 実施の形態2におけるユーザ証明書利用時に着目した処理の概要を説明するための図である。 図8に示したユーザ証明書インストール時の処理を示した制御フローである。 図9に示したユーザ証明書利用時の処理を示した制御フローである。 (a),(b)は、ICカードを用いた従来のパスワード認証方式を説明するための図である。
符号の説明
10…コンピュータ装置(PC)、11…CPU、12…RAM、13…インタフェース(I/F)、14…記憶装置、20…オペレーティングシステム(OS)、21…ハードウェアトークンドライバ、22…ハードウェアトークン設定ユーティリティ、23…公開鍵・秘密鍵管理,認証機関利用ユーティリティ、30…ハードウェアトークン、31…CPU、32…RAM、33…ROM、34…インタフェース(I/F)、35…安全保護された記憶装置、50…認証局、70…リモートシステム、71…リモートアクセス装置、72…リモートアクセス認証サーバ、90…インターネット

Claims (15)

  1. リモートシステムへのアクセス時にユーザ証明書を用いて認証されるコンピュータ装置に接続されるハードウェアトークンを用いた認証方法であって、
    認証局からコンピュータ公開鍵Ckに対する証明書の発行を当該コンピュータ装置が受けるステップと、
    前記コンピュータ公開鍵Ckを認証するための認証局公開鍵Akの証明書を前記コンピュータ装置にて取得するステップと、
    取得された前記認証局公開鍵Akの証明書を前記コンピュータ装置から前記ハードウェアトークンに格納するステップと、
    前記ハードウェアトークンに格納されているユーザ公開鍵Ukを前記コンピュータ装置にて読み出すステップと、
    読み出された前記ユーザ公開鍵Ukを前記コンピュータ装置から前記認証局に登録して、当該認証局から当該ユーザ公開鍵Ukに対する証明書の発行を当該コンピュータ装置が受けるステップと、
    発行を受けた前記ユーザ公開鍵Ukの前記証明書を前記コンピュータ装置から前記ハードウェアトークンに格納するステップと
    を含み、前記認証局公開鍵Akで前記コンピュータ公開鍵Ckが認証された前記コンピュータ装置と前記ハードウェアトークンとの間で当該コンピュータ公開鍵Ckと当該認証局公開鍵Akとのペアを用いた認証を行い、当該コンピュータ装置が前記リモートシステムに対して当該ユーザ公開鍵Ukを用いてアクセスすることを特徴とするハードウェアトークンを用いた認証方法。
  2. リモートシステムへのアクセス時にユーザ証明書を用いて認証されるコンピュータ装置に接続されるハードウェアトークンを用いた認証方法であって、
    前記ハードウェアトークンにて発生した乱数Rを前記コンピュータ装置にて取得するステップと、
    前記コンピュータ装置にて前記乱数Rをコンピュータ秘密鍵Ck’にて署名された署名Ck’(R)を当該コンピュータ装置から前記ハードウェアトークンに送るステップと、
    認証局にて認証を受けているコンピュータ公開鍵Ckの証明書を前記コンピュータ装置から前記ハードウェアトークンに送るステップと、
    格納されている前記認証局の認証局公開鍵Akの証明書を用いて当該ハードウェアトークンにて前記コンピュータ公開鍵Ckが認証され、認証が正しかった場合に、当該ハードウェアトークンによってなされる当該コンピュータ公開鍵Ckを用いた前記署名Ck’(R)の認証を前記コンピュータ装置が受けるステップと
    を含み、前記認証局公開鍵Akで前記コンピュータ公開鍵Ckが認証された前記コンピュータ装置と前記ハードウェアトークンとの間で当該コンピュータ公開鍵Ckと当該認証局公開鍵Akとのペアを用いた認証を行い、当該コンピュータ装置が前記リモートシステムに対して当該ユーザ公開鍵Ukを用いてアクセスすることを特徴とするハードウェアトークンを用いた認証方法。
  3. 前記ハードウェアトークンによる前記署名Ck’(R)の認証の結果、正しいと判断される場合に、前記ハードウェアトークンに格納されているユーザ公開鍵Ukおよびユーザ秘密鍵Uk’を用いてユーザ認証を行うステップを更に含む請求項記載のハードウェアトークンを用いた認証方法。
  4. リモートシステムへのアクセス時にユーザ証明書を用いて認証されるコンピュータ装置に接続して用いられるハードウェアトークンであって、
    本人認証に用いられるユーザ公開鍵Ukおよびユーザ秘密鍵Uk’を格納するユーザ鍵格納手段と、
    前記ユーザ鍵格納手段に格納されている前記ユーザ公開鍵Ukを前記コンピュータ装置に提供し、当該ユーザ公開鍵Ukについて認証局から発行された証明書を当該コンピュータ装置から取得して格納する証明書格納手段と、
    前記コンピュータ装置の前記認証局にて認証されたコンピュータ公開鍵Ckを認証するための認証局公開鍵Akの証明書を前記コンピュータ装置から取得して格納する認証局証明書格納手段と
    を含み、前記認証局公開鍵Akで前記コンピュータ公開鍵Ckが認証された前記コンピュータ装置との間で当該コンピュータ公開鍵Ckと当該認証局公開鍵Akとのペアを用いた認証を行い、当該コンピュータ装置が前記リモートシステムに対して当該ユーザ公開鍵Ukを用いてアクセスするために用いられるハードウェアトークン。
  5. 生成した乱数を前記コンピュータ装置または他のコンピュータ装置に提供する乱数提供手段と、
    前記乱数提供手段により前記乱数を提供した前記コンピュータ装置または前記他のコンピュータ装置のコンピュータ秘密鍵Ck’を用いて前記乱数に署名を施した署名Ck’(R)と、当該コンピュータ装置または当該他のコンピュータ装置のコンピュータ公開鍵Ckを当該コンピュータ装置または当該他のコンピュータ装置から取得する取得手段と、
    前記取得手段により取得され前記認証局で署名された前記コンピュータ公開鍵Ckを前記認証局公開鍵Akで認証する第1の認証手段と、
    前記第1の認証手段により前記コンピュータ公開鍵Ckが正しいと判断された場合に、前記取得手段により取得された前記署名Ck’(R)を当該コンピュータ公開鍵Ckで認証する第2の認証手段と
    を含む請求項記載のハードウェアトークン。
  6. 前記第2の認証手段による前記署名Ck’(R)を認証した後、前記ユーザ鍵格納手段に格納されている前記ユーザ公開鍵Ukを前記コンピュータ装置または前記他のコンピュータ装置に提供し、前記ユーザ秘密鍵Uk’を用いた認証を行うユーザ認証手段を更に含む請求項記載のハードウェアトークン。
  7. リモートシステムへのアクセス時にユーザ証明書を用いて認証されるコンピュータ装置に接続して用いられるハードウェアトークンであって、
    前記コンピュータ装置に対して証明書を発行する認証局公開鍵Akの証明書を格納する格納手段と、
    生成した乱数を前記コンピュータ装置に提供する乱数提供手段と、
    前記コンピュータ装置のコンピュータ秘密鍵Ck’を用いて前記乱数に署名を施した署名Ck’(R)と、当該コンピュータ装置のコンピュータ公開鍵Ckを当該コンピュータ装置から取得する取得手段と、
    前記取得手段により取得された前記コンピュータ公開鍵Ckを前記認証局公開鍵Akで認証する第1の認証手段と、
    前記第1の認証手段により前記コンピュータ公開鍵Ckが正しいと判断された場合に、前記取得手段により取得された前記署名Ck’(R)を当該コンピュータ公開鍵Ckで認証する第2の認証手段と
    を含み、前記認証局公開鍵Akで前記コンピュータ公開鍵Ckが認証された前記コンピュータ装置との間で当該コンピュータ公開鍵Ckと当該認証局公開鍵Akとのペアを用いた認証を行い、当該コンピュータ装置が前記リモートシステムに対してユーザ公開鍵Ukを用いてアクセスするために用いられるハードウェアトークン。
  8. 前記取得手段は、認証局にて認証されたコンピュータ証明書Ck(前記コンピュータ公開鍵Ckを含む)を取得することを特徴とする請求項7記載のハードウェアトークン。
  9. 前記第2の認証手段による前記署名Ck’(R)を認証した後、ユーザ認証のために、ユーザ公開鍵Ukと、ユーザ秘密鍵Uk’と認証サーバから提供される乱数R’とをもとに作られた情報(Uk’(R’))とを前記コンピュータ装置に提供するユーザ認証手段を更に含む請求項7記載のハードウェアトークン。
  10. リモートシステムへのアクセス時にユーザ証明書を用いて認証され、ハードウェアトークンを用いて本人認証を行うコンピュータ装置であって、
    コンピュータ公開鍵Ckを認証するための認証局公開鍵Akの証明書を取得する証明書取得手段と、
    前記証明書取得手段により取得された前記認証局公開鍵Akの証明書を前記ハードウェアトークンに格納する認証局証明書格納手段と、
    前記ハードウェアトークンにて格納されているユーザ公開鍵Ukを読み出すユーザ公開鍵読み出し手段と、
    読み出された前記ユーザ公開鍵Ukを認証局に登録して、当該認証局から当該ユーザ公開鍵Ukに対する証明書の発行を受ける証明書受領手段と、
    前記証明書受領手段により受けた前記ユーザ公開鍵Ukの前記証明書を前記ハードウェアトークンに格納する証明書格納手段と
    を含み、前記ハードウェアトークンとの間で当該コンピュータ公開鍵Ckと当該認証局公開鍵Akとのペアを用いた認証を行い、前記リモートシステムに対して当該ユーザ公開鍵Ukを用いてアクセスすることを特徴とするコンピュータ装置。
  11. 前記証明書取得手段は、前記認証局からコンピュータ公開鍵Ckの証明書を取得することを特徴とする請求項10記載のコンピュータ装置。
  12. リモートシステムへのアクセス時にユーザ証明書を用いて認証され、ハードウェアトークンを用いて本人認証を行うコンピュータ装置であって、
    生成されたコンピュータ公開鍵Ckおよびコンピュータ秘密鍵Ck’を格納する格納手段と、
    前記ハードウェアトークンから乱数を取得する乱数取得手段と、
    前記乱数取得手段により取得された乱数に対して前記コンピュータ秘密鍵Ck’を用いて署名を施し、署名Ck’(R)を前記ハードウェアトークンに出力する署名出力手段と、
    前記格納手段に格納されているコンピュータ公開鍵Ckを前記ハードウェアトークンに出力する公開鍵出力手段と、
    前記ハードウェアトークンに格納されている認証局公開鍵Akの証明書を用いて前記コンピュータ公開鍵Ckが認証され、さらに、認証されたコンピュータ公開鍵Ckを用いて前記署名Ck’(R)に対してなされた認証結果を当該ハードウェアトークンから取得する取得手段と
    を含み、前記ハードウェアトークンとの間で当該コンピュータ公開鍵Ckと当該認証局公開鍵Akとのペアを用いた認証を行い、前記リモートシステムに対して当該ユーザ公開鍵Ukを用いてアクセスすることを特徴とするコンピュータ装置。
  13. 前記公開鍵出力手段は、認証局にて認証されたコンピュータ証明書Ck(前記コンピュータ公開鍵Ckを含む)を出力することを特徴とする請求項12記載のコンピュータ装置。
  14. 接続されるハードウェアトークンを用いて本人認証を行い、リモートシステムへのアクセス時にユーザ証明書を用いて認証されるコンピュータに、
    前記コンピュータのコンピュータ公開鍵Ckの証明書および当該コンピュータ公開鍵Ckを認証するための認証局の認証局公開鍵Akの証明書を取得する機能と、
    取得された前記認証局公開鍵Akの証明書を前記ハードウェアトークンに格納する機能と、
    前記ハードウェアトークンにて格納されているユーザ公開鍵Ukを当該ハードウェアトークンから読み出す機能と、
    読み出された前記ユーザ公開鍵Ukを前記認証局に登録して、当該認証局から当該ユーザ公開鍵Ukの証明書の発行を受ける機能と、
    受けた前記ユーザ公開鍵Ukの証明書を前記ハードウェアトークンに格納する機能と
    を実現させ、前記ハードウェアトークンとの間で当該コンピュータ公開鍵Ckと当該認証局公開鍵Akとのペアを用いた認証を行い、前記リモートシステムに対して当該ユーザ公開鍵Ukを用いたアクセスをコンピュータに実現させるプログラム。
  15. 接続されるハードウェアトークンを用いて本人認証を行い、リモートシステムへのアクセス時にユーザ証明書を用いて認証されるコンピュータに、
    生成されたコンピュータ公開鍵Ckおよびコンピュータ秘密鍵Ck’を格納する機能と、
    前記ハードウェアトークンから乱数を取得する機能と、
    取得された前記乱数に対して前記コンピュータ秘密鍵Ck’を用いて署名を施し、署名Ck’(R)を前記ハードウェアトークンに出力する機能と、
    格納されているコンピュータ公開鍵Ckを前記ハードウェアトークンに出力する機能と、
    前記ハードウェアトークンに格納されている認証局公開鍵Akの証明書を用いて前記コンピュータ公開鍵Ckが認証され、さらに、認証されたコンピュータ公開鍵Ckを用いて前記署名Ck’(R)に対してなされた認証結果を当該ハードウェアトークンから取得する機能と
    を実現させ、前記ハードウェアトークンとの間で当該コンピュータ公開鍵Ckと当該認証局公開鍵Akとのペアを用いた認証を行い、前記リモートシステムに対して当該ユーザ公開鍵Ukを用いたアクセスをコンピュータに実現させるプログラム。
JP2004052835A 2004-02-27 2004-02-27 ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム Expired - Fee Related JP4420201B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2004052835A JP4420201B2 (ja) 2004-02-27 2004-02-27 ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム
TW094103750A TWI335750B (en) 2004-02-27 2005-02-04 A method, a hardware token, a computer and a program for authentication
US11/063,095 US7752445B2 (en) 2004-02-27 2005-02-22 System and method for authentication of a hardware token
CN2005100519936A CN1661961A (zh) 2004-02-27 2005-02-23 用于鉴权的方法、硬件标志及计算机
EP05101394A EP1571525B1 (en) 2004-02-27 2005-02-24 A method, a hardware token, and a computer program for authentication
US12/794,210 US8271781B2 (en) 2004-02-27 2010-06-04 System and method for authentication of a hardware token

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004052835A JP4420201B2 (ja) 2004-02-27 2004-02-27 ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム

Publications (2)

Publication Number Publication Date
JP2005242745A JP2005242745A (ja) 2005-09-08
JP4420201B2 true JP4420201B2 (ja) 2010-02-24

Family

ID=34747531

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004052835A Expired - Fee Related JP4420201B2 (ja) 2004-02-27 2004-02-27 ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム

Country Status (5)

Country Link
US (2) US7752445B2 (ja)
EP (1) EP1571525B1 (ja)
JP (1) JP4420201B2 (ja)
CN (1) CN1661961A (ja)
TW (1) TWI335750B (ja)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3758554B2 (ja) * 2001-10-31 2006-03-22 ソニー株式会社 情報提供システム及び情報提供方法、記憶媒体、並びにコンピュータ・プログラム
US7895443B2 (en) * 2002-11-05 2011-02-22 Safenet, Inc. Secure authentication using hardware token and computer fingerprint
EP1770584B1 (en) * 2005-09-27 2019-03-06 Omron Corporation Programmable controller system and aid device for control program development therefor
JP2007143066A (ja) * 2005-11-22 2007-06-07 Canon Inc 撮像装置及び鍵管理方法
US7751339B2 (en) * 2006-05-19 2010-07-06 Cisco Technology, Inc. Method and apparatus for simply configuring a subscriber appliance for performing a service controlled by a separate service provider
US20070283143A1 (en) * 2006-06-06 2007-12-06 Kabushiki Kaisha Toshiba System and method for certificate-based client registration via a document processing device
CN101366038A (zh) * 2006-09-11 2009-02-11 松下电器产业株式会社 Ic卡及其访问控制方法
US8166532B2 (en) * 2006-10-10 2012-04-24 Honeywell International Inc. Decentralized access control framework
GB2435533B (en) * 2006-11-23 2008-03-05 Richard Mervyn Gardner Integrated systems for simultaneous mutual authentication of database and user
CN101212293B (zh) * 2006-12-31 2010-04-14 普天信息技术研究院 一种身份认证方法及系统
US8387124B2 (en) * 2007-03-15 2013-02-26 Palo Alto Research Center Incorporated Wormhole devices for usable secure access to remote resource
DE102007019541A1 (de) * 2007-04-25 2008-10-30 Wincor Nixdorf International Gmbh Verfahren und System zum Authentifizieren eines Benutzers
EP2206275B1 (en) * 2007-10-24 2017-01-18 SecureKey Technologies Inc. Method and system for effecting secure communication over a network
WO2010104511A1 (en) * 2009-03-12 2010-09-16 Hewlett-Packard Development Company, L.P. Dynamic remote peripheral binding
US9015489B2 (en) * 2010-04-07 2015-04-21 Microsoft Technology Licensing, Llc Securing passwords against dictionary attacks
DE102010028133A1 (de) * 2010-04-22 2011-10-27 Bundesdruckerei Gmbh Verfahren zum Lesen eines Attributs aus einem ID-Token
US8751827B1 (en) * 2010-06-25 2014-06-10 Emc Corporation Apparatus for controlling embedded security on a storage platform
DE102010030590A1 (de) * 2010-06-28 2011-12-29 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Zertifikats
DE102010041804A1 (de) * 2010-09-30 2012-04-05 Siemens Aktiengesellschaft Verfahren zur sicheren Datenübertragung mit einer VPN-Box
WO2012147178A1 (ja) * 2011-04-27 2012-11-01 三菱電機株式会社 数値制御装置システム
US8842840B2 (en) 2011-11-03 2014-09-23 Arvind Gidwani Demand based encryption and key generation and distribution systems and methods
US20130126619A1 (en) * 2011-11-18 2013-05-23 Unisys Corporation Method and system for certifying contact information
PL2792100T3 (pl) 2011-12-15 2021-03-22 Intel Corporation Sposób i urządzenie do bezpiecznej komunikacji w sieci przy użyciu sprzętowego silnika bezpieczeństwa
WO2013089726A1 (en) * 2011-12-15 2013-06-20 Intel Corporation Method, device, and system for protecting and securely delivering media content
WO2013089728A1 (en) 2011-12-15 2013-06-20 Intel Corporation Method, device, and system for securely sharing media content from a source device
US9642005B2 (en) * 2012-05-21 2017-05-02 Nexiden, Inc. Secure authentication of a user using a mobile device
US20130311382A1 (en) 2012-05-21 2013-11-21 Klaus S. Fosmark Obtaining information for a payment transaction
CN103634265B (zh) * 2012-08-20 2019-01-11 腾讯科技(深圳)有限公司 安全认证的方法、设备及系统
US9819661B2 (en) * 2013-09-12 2017-11-14 The Boeing Company Method of authorizing an operation to be performed on a targeted computing device
US10169719B2 (en) * 2015-10-20 2019-01-01 International Business Machines Corporation User configurable message anomaly scoring to identify unusual activity in information technology systems
US10334434B2 (en) * 2016-09-08 2019-06-25 Vmware, Inc. Phone factor authentication
CN109495429B (zh) * 2017-09-12 2020-08-07 华为技术有限公司 一种鉴权方法、终端及服务器
TWI690820B (zh) * 2019-01-15 2020-04-11 臺灣網路認證股份有限公司 以嵌入式瀏覽器模組管理憑證之系統及方法
JP6735867B2 (ja) * 2019-03-04 2020-08-05 マイクロ モーション インコーポレイテッド ドングルを用いたインターフェースへのアクセスの制御

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5315657A (en) * 1990-09-28 1994-05-24 Digital Equipment Corporation Compound principals in access control lists
SE470001B (sv) * 1991-09-12 1993-10-18 Televerket Förfarande för identifiering och kryptonyckelutbyte mellan två kommunicerande apparater för krypterad trafik
US5544246A (en) 1993-09-17 1996-08-06 At&T Corp. Smartcard adapted for a plurality of service providers and for remote installation of same
US5701343A (en) * 1994-12-01 1997-12-23 Nippon Telegraph & Telephone Corporation Method and system for digital information protection
US6088450A (en) * 1996-04-17 2000-07-11 Intel Corporation Authentication system based on periodic challenge/response protocol
JP3086887B2 (ja) * 1996-08-08 2000-09-11 株式会社ローレルインテリジェントシステムズ 情報伝達方法、情報発信方法、情報再生方法及び通信装置
US6212634B1 (en) * 1996-11-15 2001-04-03 Open Market, Inc. Certifying authorization in computer networks
US6233685B1 (en) * 1997-08-29 2001-05-15 Sean William Smith Establishing and employing the provable untampered state of a device
JP3688879B2 (ja) 1998-01-30 2005-08-31 株式会社東芝 画像認識装置、画像認識方法及びその記録媒体
US6754820B1 (en) * 2001-01-30 2004-06-22 Tecsec, Inc. Multiple level access system
US6607136B1 (en) 1998-09-16 2003-08-19 Beepcard Inc. Physical presence digital authentication system
JP4812168B2 (ja) 1999-02-15 2011-11-09 ヒューレット・パッカード・カンパニー 信用コンピューティング・プラットフォーム
JP4176898B2 (ja) * 1999-02-19 2008-11-05 株式会社東芝 個人認証システム、それに使用される携帯装置及び記憶媒体
WO2000054126A1 (en) * 1999-03-05 2000-09-14 Hewlett-Packard Company Smartcard user interface for trusted computing platform
US7036738B1 (en) 1999-05-03 2006-05-02 Microsoft Corporation PCMCIA-compliant smart card secured memory assembly for porting user profiles and documents
JP2001066989A (ja) * 1999-08-31 2001-03-16 Fuji Xerox Co Ltd 一方向性関数生成方法,一方向性関数値生成装置,証明装置,認証方法および認証装置
US7069440B2 (en) * 2000-06-09 2006-06-27 Northrop Grumman Corporation Technique for obtaining a single sign-on certificate from a foreign PKI system using an existing strong authentication PKI system
GB0020416D0 (en) * 2000-08-18 2000-10-04 Hewlett Packard Co Trusted system
KR20020060572A (ko) 2001-01-11 2002-07-18 포만 제프리 엘 개인용 컴퓨터가 허가되지 않은 사용자에 의해 사용되는것을 방지하기 위한 보안 시스템
JP2002279390A (ja) 2001-03-15 2002-09-27 Sony Corp データアクセス制御システム、メモリ搭載デバイス、およびデータアクセス制御方法、並びにプログラム記憶媒体
JP2002281025A (ja) 2001-03-16 2002-09-27 Nippon Telegr & Teleph Corp <Ntt> カード内情報の外部出力装置への出力方法及び装置
JP2002312325A (ja) 2001-04-13 2002-10-25 Nippon Telegr & Teleph Corp <Ntt> Icカードと連携したサービスアクセス端末装置ならびにその方法
US6983364B2 (en) * 2001-06-29 2006-01-03 Hewlett-Packard Development Company, Lp. System and method for restoring a secured terminal to default status
US6834795B1 (en) * 2001-06-29 2004-12-28 Sun Microsystems, Inc. Secure user authentication to computing resource via smart card
JP2003036023A (ja) 2001-07-25 2003-02-07 Toyo Eng Corp ネットワークシステムおよびそれを用いた情報送信方法
US6990471B1 (en) * 2001-08-02 2006-01-24 Oracle International Corp. Method and apparatus for secure electronic commerce
JP2003044436A (ja) 2001-08-02 2003-02-14 Sony Corp 認証処理方法、および情報処理装置、並びにコンピュータ・プログラム
JP4602606B2 (ja) * 2001-08-15 2010-12-22 ソニー株式会社 認証処理システム、認証処理方法、および認証デバイス、並びにコンピュータ・プログラム
JP4969745B2 (ja) 2001-09-17 2012-07-04 株式会社東芝 公開鍵基盤システム
JP2003115841A (ja) 2001-10-05 2003-04-18 Ducomm Inc 電子認証方法および電子認証装置
US7206936B2 (en) * 2001-12-19 2007-04-17 Northrop Grumman Corporation Revocation and updating of tokens in a public key infrastructure system
JP2003298574A (ja) 2002-03-29 2003-10-17 Toshiba Corp 電子機器、認証局、電子機器認証システム、電子機器の認証方法
JP4009131B2 (ja) 2002-04-23 2007-11-14 日本電信電話株式会社 共通テナント管理者によるicカード相互運用方法及びシステム
JP4253167B2 (ja) 2002-06-28 2009-04-08 エヌ・ティ・ティ・コミュニケーションズ株式会社 個人情報アクセス制御方法、端末、システム、並びに、プログラム
US7895443B2 (en) * 2002-11-05 2011-02-22 Safenet, Inc. Secure authentication using hardware token and computer fingerprint

Also Published As

Publication number Publication date
TWI335750B (en) 2011-01-01
US8271781B2 (en) 2012-09-18
EP1571525A1 (en) 2005-09-07
US7752445B2 (en) 2010-07-06
CN1661961A (zh) 2005-08-31
US20060005011A1 (en) 2006-01-05
TW200539644A (en) 2005-12-01
EP1571525B1 (en) 2012-06-27
US20100325428A1 (en) 2010-12-23
JP2005242745A (ja) 2005-09-08

Similar Documents

Publication Publication Date Title
JP4420201B2 (ja) ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム
US11671267B2 (en) System and method for verifying an identity of a user using a cryptographic challenge based on a cryptographic operation
US20210409397A1 (en) Systems and methods for managing digital identities associated with mobile devices
US9832019B2 (en) Authentication in ubiquitous environment
US8775814B2 (en) Personalized biometric identification and non-repudiation system
US8661520B2 (en) Systems and methods for identification and authentication of a user
US8015417B2 (en) Remote access system, gateway, client device, program, and storage medium
Kim et al. A method of risk assessment for multi-factor authentication
US20100258625A1 (en) Dynamic Card Verification Values and Credit Transactions
US20110082801A1 (en) Secure Transaction Systems and Methods
Abhishek et al. A comprehensive study on multifactor authentication schemes
KR20110081103A (ko) 보안 트랜잭션 시스템 및 방법
US20200134149A1 (en) Login mechanism for operating system
US20010048359A1 (en) Restriction method for utilization of computer file with use of biometrical information, method of logging in computer system and recording medium
Singhal et al. Software tokens based two factor authentication scheme
US20070204167A1 (en) Method for serving a plurality of applications by a security token
Otterbein et al. The German eID as an authentication token on android devices
CN108668260B (zh) 一种sim卡数据自毁方法、sim卡、装置及服务器
KR100945907B1 (ko) 온라인 서비스에 있어서 인증을 위한 스마트 카드 및스마트 카드를 이용한 인증 처리 방법
KR101408968B1 (ko) 공인 인증서 접근 보안이 강화된 인증 시스템 및 그 방법
US20220067735A1 (en) Systems and methods for use with network authentication
Souppaya et al. Derived Personal Identity Verification (PIV) Credentials
KR20060043953A (ko) 저장매체에 저장된 공인 인증서에 접근하는 방법
CN113839785A (zh) 电子签名系统
BRPI1005627A2 (pt) Sistema embarcado em hardware para certificação de identificação e método de certificação de identificação móvel utilizando o dito sistema

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20071029

RD13 Notification of appointment of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7433

Effective date: 20071210

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20071227

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20071210

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20080218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080226

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080331

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080701

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080806

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20081007

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090203

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090707

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091007

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091117

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20091119

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091124

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121211

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121211

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131211

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees