JP4706165B2 - Account management system, account management method, and account management program - Google Patents
Account management system, account management method, and account management program Download PDFInfo
- Publication number
- JP4706165B2 JP4706165B2 JP2003147520A JP2003147520A JP4706165B2 JP 4706165 B2 JP4706165 B2 JP 4706165B2 JP 2003147520 A JP2003147520 A JP 2003147520A JP 2003147520 A JP2003147520 A JP 2003147520A JP 4706165 B2 JP4706165 B2 JP 4706165B2
- Authority
- JP
- Japan
- Prior art keywords
- user terminal
- account management
- account
- request
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Multi Processors (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、利用者端末からの要求に応じてコンピュータの資源を利用者に提供するコンピュータシステムにおける利用者のアカウントを管理するアカウント管理システム、アカウント管理方法およびアカウント管理プログラムに関する。
【0002】
【従来の技術】
ユーザに、それぞれ異なる管理主体によって管理される複数のコンピュータの資源を利用させる広域分散計算方式(グリッドコンピューティング(以下、単にグリッドという)の一つとして、ユーザが、高速計算処理などを、それぞれ異なるサイトに設置され異なる管理者によって管理されている複数のコンピュータに依頼する方式がある。そのような方式のコンピュータシステムでは、ユーザは、それぞれのコンピュータ毎にアカウントを取得しなければならない。なお、ユーザに利用されるコンピュータの資源は、一般にはコンピュータの計算能力である。また、アカウントは、ユーザのコンピュータ資源利用権能(利用できる資格)である。
【0003】
複数のコンピュータにおけるアカウントを管理する方式として、マイクロソフト株式会社のActive Directory(登録商標)などがある。しかし、それらの方式は、単一の管理者が複数のコンピュータのアカウント管理を行うための方式である。すなわち、管理対象の全てのコンピュータのアカウント管理を1台のコンピュータが行う。従って、グリッドのように、複数の管理主体が存在する環境におけるアカウント管理には適用できない。その理由は、グリッドのような広域分散型の計算環境では、個々の管理主体は、サイトの外部に存在するユーザに対してコンピュータの一部の利用権限(例えば、コンピュータの計算能力を利用できる権限のみ)を与え、利用権限の全てを与えることを望まないからである。
【0004】
非特許文献1には、グリッドによる広域分散型の計算環境におけるアカウント管理システムが記載されている。非特許文献1に記載されているアカウント管理システムでは、公開鍵暗号方式を用いた認証手段と、アクセスコントロールリストと呼ばれる手法を用いた認可手段とによってアカウント管理が行われる。なお、「認証」とは、ユーザが確かにそのユーザ本人であることを確認することをいう。また、「認可」とは、ユーザに何らかの権限を与えることをいう。
【0005】
非特許文献1に記載されているアカウント管理システムでは、公開鍵暗号方式を用いた認証手段が用いられている。公開鍵暗号による認証方式では、公開鍵と秘密鍵のペアが作成される。秘密鍵で暗号化したデータは公開鍵のみによって復号することができ、公開鍵で暗号化したデータは秘密鍵のみによって復号することができる。ユーザ端末は、秘密鍵を秘匿し、公開鍵を通信ネットワークを介してコンピュータに渡す。従って、コンピュータが乱数などを公開鍵で暗号化したデータを通信ネットワークを介してユーザ端末に渡し、ユーザ端末が秘匿している秘密鍵で受信したデータを復号し、通信ネットワークを介してコンピュータに送り返すことによって、コンピュータがユーザ認証を行うことができる。秘密鍵を保持しているのは秘密鍵を秘匿しているユーザ端末に限られるので、コンピュータは、送り返されたデータと元データとを比較し、それらが一致すればコンピュータは認証が成功したと判断する。
【0006】
公開鍵暗号方式を用いる場合には、公開鍵が正しいものであるかどうかが問題になる。公開鍵を郵送など別ルートを用いて配布する方法も考えられるが、配布する公開鍵の数が多い場合には負担がかかる。そのために、一般に、CA(Certification Authority :認証機関)が発行した証明書が用いられる。すなわち、公開鍵を含む証明書形式のデータが、通信ネットワークを介してコンピュータに渡される。証明書には、証明書保持者名、証明書保持者の公開鍵、およびCAによる電子署名などが含まれる。
【0007】
電子署名とは、CAによってなされた電子的な方法による署名である。例えば、証明書に含まれるデータについて一方向関数にもとづいてハッシュ値を算出し、算出したハッシュ値をCAが保持する秘密鍵で暗号化したデータが電子署名として証明書に付加される。一次方向関数として、MD(Message-Digest algorithm)5やSHA(Secure Hush Algorithm )−1などと呼ばれるアルゴリズムが用いられる。
【0008】
コンピュータは、証明書に含まれるデータから算出したハッシュ値と、証明書に含まれる電子署名をCAの公開鍵で復号したデータとを比較する。それらが一致すれば、コンピュータは、証明書に含まれる公開鍵がCAによって保証されたものであると判断し、ユーザ端末からの公開鍵を手に入れることができる。なお、CAの公開鍵の入手方法については、コンピュータは、そのCAよりさらに上位のCAによって署名された証明書を用いることによって入手することができる。コンピュータは、少なくともルートCAの証明書をあらかじめ保有していれば、CAの公開鍵を入手することができる。
【0009】
また、非特許文献1に記載されているアカウント管理システムでは、アクセスコントロールリストと呼ばれる手法を用いた認可手段が用いられている。そのような認可手段では、コンピュータは、あらかじめユーザごとにアカウントを作成する。また、コンピュータは、各アカウントとユーザ名との対応情報を含む対応テーブルを保持する。それぞれのコンピュータ上で計算処理を実行する際には、公開鍵方式を用いた認証確認を行ってユーザ名を確認した後に、コンピュータは、その対応テーブルにもとづいて、証明書に含まれるユーザ名に対応するアカウントが存在するか否かを確認する。そして、コンピュータは、そのユーザ名に対応するアカウントに認可されている権限に従って処理を実行する。
【0010】
また、非特許文献2には、グリッドによる広域分散型の計算環境における他のアカウント管理システムが記載されている。非特許文献2に記載されているアカウント管理システムは、CAS(Community Authorization Service )と呼ばれるアカウント共有型のシステムである。そのアカウント管理システムでは、公開鍵方式による認証システムを拡張して、ユーザ端末側に権限委譲を行うことを可能にし、権限委譲の機能を利用する。
【0011】
権限委譲を行うために、権限が委譲される側であるユーザ端末は、新たに証明書と秘密鍵のペアを作成する。ユーザ端末は、作成した証明書に秘密鍵を用いて署名する。ユーザ端末によって署名された証明書はプロキシ証明書と呼ばれる。なお、プロキシ証明書には、有効期限が設定されている。そして、プロキシ証明書に対応する秘密鍵を保持している端末が、ユーザ端末と同じ権限をもつ端末として扱われる。従って、本方式では、ルートCAまでつながるCAのツリー構造の中に、ユーザ端末が組み込まれたものと考えることができる。
【0012】
CASによるシステムは、このような権限委譲の仕組みを利用したものである。CASによるシステムでは、各コミュニティ(サイト)ごとにCASコンピュータを設置する。また、各リソース(端末)に対して、CASコンピュータの権限でアカウントを作成する。ユーザ端末は、CASコンピュータによって認証されて、CASコンピュータから権限の委譲を受ける。この場合に、委譲される権限を所定の内容に制限して、ユーザ端末は権限を委譲される。例えば、ユーザ端末は、CASコンピュータから委譲される権限の内容を示す情報を含む証明書を入手する。
【0013】
【非特許文献1】
Randy Butler,Von Welch ,Douglas Engert,Ian Foster,Steven Tuecke ,John Volmer ,Carl Kesselman,「A National-Scale Authentication Infrastructure」,IEEE Computer ,2000年,33巻,12号,p60−66
【非特許文献2】
Laura Pearlman,Von Welch ,Ian Foster,Carl Kesselman,Steven Tuecke ,「A Community Authorization Service for Group Collaboration 」,Proceedings of the IEEE 3rd International Workshop on Policies for Distributed Systems and Networks,2002年
【0014】
【発明が解決しようとする課題】
非特許文献1に記載されているアカウント管理システムでは、広域分散型の計算環境に参加する全てのコンピュータにおいて、ユーザのアカウントを作成しなければならない。また、全てのコンピュータにおいて、アカウントとユーザ名との対応テーブルの更新処理を行わなければならない。従って、各コンピュータの管理者の負担が大きく管理コストが大きい。
【0015】
また、非特許文献2に記載されているアカウント管理システムでは、アカウントの追加や削除などの処理をCASコンピュータのみで行えばよい。従って、個々のコンピュータ上でアカウントを作成したり対応テーブルの更新処理を行う必要が無く、管理負担およびコストが軽減される。しかし、CASを用いたシステムでは、ユーザ端末は、同一のアカウントを用いて複数のコンピュータに処理を依頼する。すなわち、CASを用いたシステムは、共通のアカウントを各コンピュータで使いまわす使いまわし型のモデルと言える。そのため、ファイルの所有者が各コンピュータで同一人になってしなうなどの可能性があり、自分の作成したファイルが他人に閲覧されたり削除される可能性がある。また、ユーザがコンピュータの処理能力を利用した利用時間の統計処理がしにくいとの問題点がある。
【0016】
そこで、本発明は、利用者端末からの要求に応じてコンピュータの資源を利用者に提供するコンピュータシステムにおける利用者のアカウントの管理に要する負担およびコストを低減できるアカウント管理システム、アカウント管理方法およびアカウント管理プログラムを提供することを目的とする。
【0017】
【課題を解決するための手段】
本発明によるアカウント管理システムは、利用者端末と、利用者端末からの要求に応じて所定の処理を実行する複数のコンピュータと、アカウントの生成を要求することができる権限を示すアカウント管理要求権限情報を送信して、各コンピュータに代行して、利用者端末がアカウントの生成の要求を行える端末であるか否かを判断する権限付与サーバと、を備え、利用者端末が、利用者を証明するための証明情報を権限付与サーバに送信する自己証明手段と、所定の処理の実行を要求する旨の処理要求と、権限付与サーバから受信したアカウント管理要求権限情報とを、各コンピュータに送信する処理要求手段と、を含み、権限付与サーバは、利用者端末から受信した証明情報にもとづいて、利用者端末を認証する認証手段と、認証手段による利用者端末の認証に成功したことを条件に、各コンピュータに代行して利用者端末がアカウントの生成の要求を行える端末であると判断し、利用者端末に対してアカウント管理要求権限情報を送信するアカウント管理要求権限情報送信手段と、を含み、各コンピュータが、利用者端末から受信したアカウント管理要求権限情報にもとづいて、利用者端末に対するアカウントを生成するアカウント生成手段と、アカウント生成手段が生成したアカウントにもとづいて、利用者端末から受信した処理要求で示される所定の処理を実行する処理実行手段と、を含むことを特徴とする。
【0019】
【発明の実施の形態】
実施の形態1.
以下、本発明の第1の実施の形態を図面を参照して説明する。図1は、本発明によるアカウント管理システムを適用した広域分散型の計算環境の構成の一例を示すブロック図である。図1に示すように、広域分散型の計算環境において、ユーザ(利用者)が使用するユーザ端末(利用者端末)100、ユーザの要求に応じて計算処理を実行するコンピュータ120、およびアカウント管理権限をユーザに対して発行する権限付与サーバ110が、インターネットを介して接続される。なお、ユーザ端末100、コンピュータ120および権限付与サーバ110は、インターネット以外の通信ネットワークを介して接続されてもよい。また、図1では、1つの権限付与サーバ110のみが示されているが、複数の権限付与サーバが存在していてもよい。
【0020】
ユーザは、ユーザ端末100を操作して、それぞれ異なるサイトにある複数のコンピュータ120に対して計算機利用要求を行うことができる。複数のコンピュータ120に対して計算機利用要求を行うことによって、ユーザは、高速に計算処理を実行する仮想的な計算環境を得ることができる。
【0021】
なお、「アカウント管理権限」とは、ユーザがコンピュータ120に対してアカウントの管理(アカウントの生成、更新および削除)を要求することができる権限である。ユーザは、権限付与サーバ110から1つのアカウント管理権限を受け取ると、そのアカウント管理権限を多数のコンピュータ120に提示することによって、各コンピュータ120において、アカウントの管理が実行される。なお、各コンピュータ120は、あらかじめ、権限付与サーバ110に対して、アカウント管理権限を発行する権能を与えている。また、ユーザは、複数の権限付与サーバ110からアカウント管理権限を発行してもらうこともできる。その場合には、各コンピュータ120がそれらの権限付与サーバ110にアカウント管理権限を発行する権能を与えていれば、複数の権限付与サーバ110から発行されたいずれのアカウント管理権限でも、どのコンピュータ120に対してアカウント管理を行わせることができる。
【0022】
ユーザ端末100は、ワークステーションなどの情報処理端末である。図1に示すように、ユーザ端末100は、ユーザであることを証明するための証明情報を保持する自己証明手段としての自己ID証明装置101を含む。自己ID証明装置101は、例えば、あらかじめユーザの識別子(以下、ユーザIDという。)を含む証明情報としての公開鍵証明書を作成してもらい、それを保持する。以下、公開鍵証明書を単に証明書という。なお、証明情報として、単なるIDとパスワードとによる、より簡易な構造の情報を用いてもよい。また、ユーザ端末100は、アカウント管理権限を示す情報をコンピュータ120に提示するアカウント管理権限提示手段(図示せず)を含む。
【0023】
なお、自己ID証明装置101およびアカウント管理権限提示手段は、ユーザ端末100の記憶装置(図示せず)が記憶するプログラムに従って処理を実行する制御部(演算処理装置:図示せず)によって実現される。
【0024】
コンピュータ120は、ユーザ端末100からの要求に応じて計算処理を実行する。本実施の形態では、ユーザ端末100は、それぞれ異なるサイトに設置され管理者が異なる複数のコンピュータ120を、インターネットを介してアクセス可能である。各コンピュータ120は、ユーザ端末100に対してそれぞれ別々にアカウントを生成したり、アカウントの属性変更や削除などの処理を行う。以下、ユーザ端末100に対してアカウントを発行したり、アカウントの属性変更や削除などの処理を行うことをアカウント管理を行うという。なお、アカウントの属性変更とは、コンピュータ120に登録されているアカウントについてユーザグループを変更したりすること等である。
【0025】
図1に示すように、コンピュータ120は、ユーザを認証する(具体的にはユーザIDを認証する)認証手段としての認証装置121、ユーザ端末100から受信したアカウント管理権限が有効であるか否か判断する権限確認手段としての権限確認装置122、およびアカウント管理を行うアカウント管理手段としてのアカウント管理装置123を含む。また、コンピュータ120の記憶装置(図示せず)は、コンピュータ120がアカウント管理権限を発行する権能を与えている権限付与サーバ110の識別子(以下、権限付与サーバIDという。)が記載されたアカウント管理許可権限付与サーバテーブル124を含む。なお、認証装置121、権限確認装置122、およびアカウント管理装置123は、コンピュータ120の記憶装置に記憶されているプログラムに従って処理を実行する制御部(演算処理装置:図示せず)によって実現される。
【0026】
権限付与サーバ110は、例えば、アカウント管理権限を発行する権能を与えられているアカウント管理業者によって運営される。インターネットを介してアクセスのあったユーザ端末100に対してアカウントの作成などをしてよいか否かを判断する処理、すなわちユーザ端末100がアカウント管理の要求を行える端末であるか否かを判断する処理は、本来コンピュータ120自身が行う処理である。本実施の形態では、権限付与サーバ110は、コンピュータ120に代行してユーザ端末100がアカウント管理の要求を行える端末であるか否かを判断する権能を与えられている。
【0027】
なお、コンピュータ120において、権限付与サーバ110の識別子がアカウント管理許可権限付与サーバテーブル124に記載されるということは、その権限付与サーバ110がアカウント管理権限をユーザに対して発行すれば、権限付与サーバ110が発行したアカウント管理権限を信頼して、発行を受けたユーザからのアカウント管理権限の提示に応じてアカウント管理を行うということを、コンピュータ120が権限付与サーバ110に認めたことを意味する。換言すれば、権限付与サーバ110に、ユーザ端末100がアカウント管理の要求を行える端末であるか否かを判断する権能を与えたことを意味する。
【0028】
図1に示すように、権限付与サーバ110は、ユーザを認証する、具体的にはユーザIDを認証する認証手段としての認証装置111、およびアカウント管理権限を示す情報であるアカウント管理権限情報102を発行する権限情報作成手段としての権限情報生成装置112を含む。また、権限付与サーバ110の記憶装置(図示せず)は、あらかじめ契約を締結しているユーザのユーザIDが記載されている権限付与対象ユーザ端末テーブル113を記憶している。なお、認証装置111および権限情報生成装置112は、権限付与サーバ110の記憶装置に記憶されているプログラムに従って処理を実行する制御部(演算処理装置:図示せず)によって実現される。
【0029】
なお、契約締結の際に、権限付与サーバ110の記憶装置には、ユーザの住所や利用代金の徴収のためのクレジットカード番号などの情報が登録される。また、IDなどの認証確認のために証明書を用いる場合には、あらかじめ契約によって権限付与サーバ110が信頼するCAが指定される。この場合に、権限付与サーバ110が信頼する複数のCAが指定され、ユーザは、その複数のCAの中から署名をうけるCAを選択できるようにしてもよい。
【0030】
図2は、ユーザ端末100における自己ID証明装置101および権限付与サーバ110における認証装置111が実行する処理を説明するためのブロック図である。
【0031】
自己ID証明装置101は、公開鍵暗号方式のアルゴリズムに従って秘密鍵301および公開鍵312を生成する。なお、秘密鍵301および公開鍵312を、CA等の第三者に生成してもらうこともできる。自己ID証明装置101は、秘密鍵301を保持する。また、自己ID証明装置101は、公開鍵312およびID313(本例では、ユーザID)を含む証明情報としての証明書311をCA320に発行してもらう。証明書311は、あらかじめアカウント管理業者とユーザとの契約時に指定されたCA320によって署名(電子署名:ディジタル署名)されている。本実施の形態では、証明書にCAによって署名データが付加されていることを、単に「CAによって署名されている」という。署名311aは、証明書311に含まれるデータのハッシュ値をCA320の秘密鍵で暗号化したデータである。
【0032】
また、権限付与サーバ110の記憶装置は、あらかじめ指定されたCA320の証明書314を記憶している。証明書314には、CA320の公開鍵315が存在する。
【0033】
ユーザ端末100は、証明情報としての証明書311を、インターネットを介して権限付与サーバ110に送信する。証明書311を受信すると、認証装置111は、CAの証明書314に含まれるCAの公開鍵315によって署名311aを復号する。また、認証装置111は、証明書311に含まれるデータのハッシュ値を算出する。そして、認証装置111は、算出したハッシュ値と、署名311aを復号して得られたハッシュ値とを比較する。それらが一致した場合には、認証装置111は、証明書311がCA320によって署名されたものであると判断する。
【0034】
次に、認証装置111は、証明書311に含まれる公開鍵312によって乱数データを暗号化したデータ(以下、乱数暗号データという)を生成する。権限付与サーバ110は、認証装置111が生成した乱数暗号データを、インターネットを介してユーザ端末100に送信する。ユーザ端末100が乱数暗号データを受信すると、自己ID証明装置101は、保持している秘密鍵301によって乱数暗号データを乱数データに復号する。ユーザ端末100は、復号した乱数データを、インターネットを介して権限付与サーバ110に送信する。
【0035】
権限付与サーバ110の認証装置111は、受信した乱数データと、公開鍵312によって暗号化される前の乱数データとを比較する。それらが一致した場合には、認証装置111は、証明書311に含まれるID313が、公開鍵312に対応する秘密鍵301を保有しているユーザのユーザIDであると判断する。
【0036】
なお、ユーザIDの確認方法は、公開鍵暗号方式および証明書を用いた方法に限られない。例えば、Kerberosなど共通鍵暗号方式を用いた方法によって、ユーザIDを確認してもよい。また、例えば、コンピュータ120は、インターネットを介してユーザ端末100から受信したユーザIDおよびパスワードをにもとづいて、ユーザIDを確認してもよい。
【0037】
また、上記のユーザIDの確認方法は、コンピュータ120における認証装置121とユーザ端末100における自己ID証明装置101との間でも使用される。
【0038】
図3は、権限付与サーバ110における権限情報生成装置112およびコンピュータ120における権限確認装置122の動作を説明するためのブロック図である。権限付与サーバ110は、ユーザ端末100の要求に応じて、ユーザ端末100にアカウント管理権限情報102を送信する。本例では、アカウント管理権限情報102は、ユーザ端末100からコンピュータ120に対するアカウント管理の要求が認められるべき旨が記述されているアカウント作成許可情報404を含む。また、図3に示すように、アカウント管理権限情報102は、ユーザID402および権限付与サーバID403を含む。権限付与サーバID403は、アカウント管理権限を発行した権限付与サーバを特定するための情報である。さらに、アカウント管理権限情報102は、権限付与サーバ110によって署名されている。すなわち、アカウント管理権限情報102は、権限付与サーバ110による署名405を含む
【0039】
コンピュータ120は、あらかじめ権限付与サーバ110の証明書423を権限付与サーバ110から受信して保持している。コンピュータ120は、例えば、アカウント管理業者との契約の際に郵送などによって取得した権限付与サーバの証明書423を、記憶装置などにあらかじめ記憶させる。また、コンピュータ120は、権限付与サーバの証明書423を、アカウント管理権限情報102とともにユーザ端末100を介して受信してもよい。権限付与サーバの証明書423は、権限付与サーバの公開鍵424および権限付与サーバID425を含む。また、権限付与サーバの証明書423は、あらかじめ契約の際に指定されたCA320によって署名されている。従って、権限付与サーバの証明書423は、コンピュータ120が信頼するCA320による署名426を含む。
【0040】
また、コンピュータ120は、あらかじめCA320の証明書421を取得し、記憶装置などに記憶させている。コンピュータ120は、CAの証明書421に含まれるCAの公開鍵422を用いて、権限付与サーバの証明書423が、権限付与サーバ110が発行した証明書であることを確認する。また、コンピュータ120のアカウント管理許可権限付与サーバテーブル124には、アカウント管理権限を発行する権能が与えられている権限付与サーバ110のIDが記載されている権限付与サーバIDリスト427が含まれる。よって、権限付与サーバIDリスト427に記載されていない権限付与サーバの証明書423は無効である。
【0041】
ユーザ端末100からアカウント管理権限情報102を受信すると、コンピュータ120は、アカウント管理権限情報102に含まれる署名405を、署名405を行った権限付与サーバの証明書423の公開鍵424によって復号する。また、コンピュータ120は、アカウント管理権限情報102に含まれるデータのハッシュ値を算出する。そして、コンピュータ120は、算出したハッシュ値と復号した署名405の値とを比較する。それらの値が一致する場合には、コンピュータ120は、アカウント管理権限情報102が権限付与サーバ110によって発行されたものであると判断する。すなわち、ユーザ端末100が提示したアカウント管理権限が有効であると判定する。
【0042】
以上のように、コンピュータ120の権限確認装置122は、ユーザ端末100がアカウント管理権限を提示した場合に、そのアカウント管理権限を発行した権限付与サーバが、アカウント管理権限を発行する権能を有する権限付与サーバであるか否かを確認する。そして、権能を有する権限付与サーバであることが確認されたら、ユーザ端末100が提示したアカウント管理権限を有効であるとし、アカウント管理装置123に、アカウント管理を実行させる。
【0043】
次に動作について説明する。図4は、ユーザ端末100からの要求に応じた計算のための処理およびアカウント管理の処理を示すフローチャートである。ユーザは、ユーザ端末100を操作して、コンピュータ120に処理を実行させるためのコマンドを入力する。
【0044】
コンピュータ120に実行させる処理は、一般には計算処理である。しかし、既にコンピュータ120に登録されているアカウントの属性変更や削除などのアカウント管理の処理を要求することもある。よって、ユーザは、コンピュータ120に対して計算機利用要求を行いたい場合には、計算処理を実行させるためのコマンドを入力する。また、既にコンピュータ120に登録されているアカウントのアカウント管理の処理を行わせたい場合には、アカウント管理を行うためのコマンドを入力する。コマンドが入力されると、ユーザ端末100、権限付与サーバ110およびコンピュータ120によって、以下に示すステップS101からステップS118までの処理が自動的に実行される。
【0045】
ユーザ端末100にコマンドが入力されると、ユーザ端末100において、自己ID証明装置101は、インターネットを介して証明情報を権限付与サーバ110に送信する(ステップS101)。権限付与サーバ110が証明情報を受信すると、権限付与サーバ110の認証装置111は、受信した証明情報にもとづいてユーザIDを確認する(ステップS102)。
【0046】
ユーザIDを確認すると、認証装置111は、アクセスしてきたユーザ端末100が、権限付与対象ユーザ端末テーブル113に記載されているユーザ端末であるか否か判断する(ステップS103)。権限付与対象ユーザ端末テーブル113に記載されている場合には、認証装置111は、ユーザ端末100に対してアカウント管理権限を発行してよいと判断する。
【0047】
アカウント管理権限を発行してよいと判断すると、権限付与サーバ110の権限情報生成装置112は、アカウント管理権限情報102を発行する(ステップS104)。そして、権限付与サーバ110は、アカウント管理権限情報102を、インターネットを介してユーザ端末100に送信する(ステップS104)。ユーザ端末100は、アカウント管理権限情報102を受信すると、アカウント管理権限情報102をユーザ端末100の記憶装置などに一旦記憶させる。
【0048】
なお、ステップS102においてユーザIDが確認できなかった場合には、権限情報生成装置112は、アカウント管理権限情報102を発行しない。また、ステップS103において、ユーザ端末100が、アカウント管理権限の発行を受けるべきでないユーザ端末であることが確認された場合、すなわち権限付与対象ユーザ端末テーブル113に記載されていないユーザ端末であることが確認された場合には、権限情報生成装置112は、アカウント管理権限情報102を発行しない。
【0049】
次に、ユーザ端末100において、自己ID証明装置101は、証明情報を、インターネットを介してコンピュータ120に送信する(ステップS105)。証明情報を受信すると、コンピュータ120の認証装置121は、受信した証明情報にもとづいてユーザ端末100のユーザIDを確認する(ステップS106)。なお、認証装置121によるユーザIDを確認する処理は、権限付与サーバ10における認証装置111による処理と同じである。
【0050】
また、ユーザ端末100は、アカウント管理権限情報102を、インターネットを介してコンピュータ120に送信する(ステップS107)。そして、ユーザ端末100は、ユーザによって入力されたコマンドがコンピュータ120に計算処理を要求するものであるか、アカウント管理を要求するものであるかを判断する(ステップS108)。計算処理を要求するコマンドである場合には、ユーザ端末100は、インターネットを介して、要求する計算内容とともに計算処理を要求する旨の計算要求情報をコンピュータ120に送信する(ステップS109)。アカウント管理の処理を要求するコマンドである場合には、ユーザ端末100は、インターネットを介して、アカウント管理を要求する旨のアカウント管理要求情報をコンピュータ120に送信する(ステップS110)。
【0051】
コンピュータ120は、受信した要求情報が計算要求情報であるかアカウント管理要求情報であるかを判断する(ステップS111)。計算要求情報であると判断した場合には、コンピュータ120のアカウント管理装置123は、ステップS106で確認したユーザIDに対応するアカウントが存在しているか否かを判断する(ステップS112)。例えば、ユーザ端末100が過去にコンピュータ120に対して計算機利用要求を行ったことがある場合には、そのユーザのアカウントは、有効期間内であれば既に登録されている。
【0052】
ステップS112においてアカウントが存在していないと判断した場合には、コンピュータ120の権限確認装置122は、ユーザ端末100から受信したアカウント管理権限情報102やアカウント管理許可権限付与サーバテーブル124の内容等にもとづいて、そのユーザのアカウントを作成してよいか否か確認する(ステップS113)。
【0053】
ユーザのアカウントを作成してよいことが確認されると、アカウント管理装置123は、ユーザ端末100に対するアカウントを生成する(ステップS114)。なお、本実施の形態において、コンピュータ120は、生成したアカウントを、ユーザ端末100に通知する必要はない。
【0054】
アカウントを生成すると、コンピュータ120は、要求された計算処理を実行する(ステップS115)。計算処理を終了すると、コンピュータ120は、ユーザ端末100がコンピュータ120を利用した利用時間などを示す計算機利用情報を、インターネットを介して権限付与サーバ110に送信する(ステップS116)。権限付与サーバ110は、受信した計算機利用情報にもとづいて、ユーザ端末100に対する課金処理を行う。
【0055】
ステップS112において、既にアカウントが存在していると判断した場合には、コンピュータ120は、ステップS113およびステップS114の処理を実行しない。この場合には、コンピュータ120は、既に登録されているアカウントにもとづいて、要求された計算処理を実行する(ステップS115)。そして、計算処理が終了すると、コンピュータ120は、計算機利用情報を、インターネットを介して権限付与サーバ110に送信する(ステップS116)。
【0056】
ステップS111において、受信した要求がアカウント管理要求情報であると判断した場合には、権限確認装置122は、アカウント管理権限情報102等にもとづいて、ユーザ端末100がアカウント管理権限を有するユーザの端末であるか否か確認する(ステップS117)。例えば、ユーザが既に登録されているアカウントの属性変更や削除などの処理を要求する場合に、アカウント管理要求情報がユーザ端末100から送信される。
【0057】
アカウント管理権限を有するユーザの端末であることが確認されると、アカウント管理装置123は、要求されたアカウント管理を実行する(ステップS118)。例えば、アカウントの削除を要求された場合には、アカウント管理装置123は、ユーザ端末100に対応するアカウントを削除する。また、アカウントの属性変更を要求された場合には、アカウント管理装置123は、ユーザ端末100に対応するアカウントのユーザグループの変更など属性変更の処理を行う。
【0058】
なお、ユーザ端末100は、ステップ107においてアカウント管理権限情報102をコンピュータ120に送信するのでなく、コンピュータ120から要求があった場合に送信するようにしてもよい。例えば、ステップS111において要求がアカウント管理の処理の要求であることを確認した場合や、ステップS112においてアカウントが存在していないことを確認した場合に、コンピュータ120は、ユーザ端末100にアカウント管理権限情報102を要求する。そして、ユーザ端末100は、コンピュータ120から要求に応じてアカウント管理権限情報102をコンピュータ120に送信する。
【0059】
また、ステップS116において、コンピュータ120は、計算機利用情報を計算処理が完了する毎に送信するのでなく所定の期間ごとに送信してもよい。例えば、コンピュータ120は、あらかじめ契約で定めた所定期間ごとに、その所定期間内にユーザ端末100がコンピュータ120を利用した利用時間の合計値を含む計算機利用情報を送信するようにしてもよい。
【0060】
権限付与サーバ110は、あらかじめ契約で定めた所定期間ごとに、ユーザ端末100からコンピュータ120の利用代金を徴収する。例えば、権限付与サーバ110は、あらかじめ登録しているユーザのクレジットカード情報などにもとづいて利用代金を徴収する。そして、権限付与サーバ110は、徴収した利用代金を、オンライン振り込みなどを利用して各コンピュータ120に配分する。なお、利用代金の徴収や配分の処理は、オンライン処理によらず人為的な手続きによって行ってもよい。
【0061】
以上のように、本実施の形態によれば、ユーザは、権限付与サーバ110から発行されたアカウント管理権限を、計算を依頼するコンピュータ120に提示するだけで、コンピュータ120において、自動的に、そのユーザのアカウントが生成される。すなわち、権限確認装置122がアカウント管理権限が有効であることを確認したら、アカウント管理装置123は、アカウントが存在しない場合には自動的にアカウントを生成する。従って、広域分散計算環境に存在する全てのコンピュータが、上記のコンピュータ120の機能と同じ機能を有していれば、ユーザは、いずれのコンピュータに計算を依頼するときにも、アカウント管理権限を提示するだけで、いずれのコンピュータにおいてもアカウントが生成される。
【0062】
すなわち、そのユーザに対して、各コンピュータにアカウント管理の要求を行ってもよいか否かを判断する権能を権限付与サーバ110に与えることによって、各コンピュータは、アクセスしてきたユーザ端末100を使用しているユーザのアカウントを生成してよいか否か判断する必要はない。よって、それぞれ異なる管理者が管理する各コンピュータにおけるアカウント管理の負担およびコストを低減することができる。
【0063】
また、ユーザは、広域分散計算環境に存在する多数のコンピュータに対して一々アカウント管理のための手続を踏むことなく、一つまたは少数の権限付与サーバにアカウント管理権限を発行してもらうだけで、各コンピュータにおいてアカウントを生成してもらうことができるようになる。さらに、ユーザは、計算処理の要求先のコンピュータ120が既にアカウントが登録されているコンピュータであるか否かを意識せずに、計算処理の要求を行うことができる。すなわち、ユーザは、アカウントが登録されているコンピュータであるか否かにかかわらず、同じ手順で計算処理を要求することができる。
【0064】
さらに、本実施の形態によれば、コンピュータ120が権限付与サーバ110に計算機利用情報を送信するので、権限付与サーバ110が、コンピュータ120に代行してユーザに対する課金処理を行うことができる。従って、権限付与サーバ110が、コンピュータ120に代行して利用代金の徴収を行うことができる。
【0065】
実施の形態2.
次に、本発明の第2の実施の形態を図面を参照して説明する。本実施の形態における広域分散型の計算環境の構成は、図1に示した構成と同様である。しかし、権限付与サーバ110における権限情報生成装置およびコンピュータにおける権限確認装置の動作は、第1の実施の形態の場合とは異なる。本実施の形態では、権限の委譲という概念を利用して、権限付与サーバが有するアカウント管理権限をユーザに委譲し、ユーザが、委譲されたアカウント管理権限にもとづいて、各コンピュータにアカウント管理を依頼する。
【0066】
図5は、権限付与サーバ110における権限情報生成装置112およびコンピュータ120における権限確認装置122の動作を説明するためのブロック図である。権限付与サーバ110は、あらかじめ公開鍵A512および秘密鍵A514を生成し、公開鍵A512を含む第1の証明書としての証明書A511をCA等に生成してもらう。証明書A511は、権限付与サーバ110を証明する証明書であり、権限付与サーバID513を含む。証明書A511は、あらかじめ指定されたCA530によって署名されている。従って、証明書A511は、CA530による署名511aを含む。
【0067】
ユーザ端末100は、あらかじめ公開鍵B502および秘密鍵B504を生成している。また、ユーザ端末100は、第2の証明書としての新たな証明書B501をCA等に生成してもらう。証明書B501は、公開鍵B502および権限付与サーバID503を含む。なお、証明書B501は、権限付与サーバ110によって生成され、インターネットを介してユーザ端末100が権限付与サーバ110から受信したものであってもよい。また、証明書B501には、アカウント管理権限の内容が明記されていてもよい。
【0068】
本実施の形態では、権限付与サーバ110が、証明書B501に秘密鍵A514を用いて署名501aを行うことによって、ユーザ端末100に、アカウント管理権限を委譲する。
【0069】
ユーザ端末100は、権限の委譲を受ける際に、証明書B501について署名を受けるとともに、権限付与サーバ110からインターネットを介して証明書A511を受信する。そして、ユーザ端末100は、計算処理を依頼するとき、またはアカウントの更新を依頼するときなどに、証明書A511および証明書B501を、インターネットを介してコンピュータ120に送信する。
【0070】
コンピュータ120は、あらかじめCA530の証明書521を保持している。コンピュータ120は、証明書A511および証明書B501を受信すると、CAの証明書521に含まれるCAの公開鍵522によって、証明書A511がCA530によって署名された証明書であるか否か確認する。
【0071】
コンピュータ120は、証明書A511がCA530によって署名された証明書であることを確認したら、証明書A511に含まれる公開鍵A512によって、証明書B501が権限付与サーバ110によって署名された証明書であるか否か確認する。
【0072】
次に、コンピュータ120は、ユーザ端末100の認証を行う。すなわち、コンピュータ120は、乱数データを公開鍵B502によって暗号化して乱数暗号データを生成し、インターネットを介してユーザ端末100に送信する。ユーザ端末100は、受信した乱数暗号データを秘密鍵B504によって乱数データに復号する。そして、ユーザ端末100は、復号した乱数データを、インターネットを介してコンピュータ120に送信する。
【0073】
コンピュータ120は、受信した乱数データと、公開鍵B502によって暗号化する前の乱数データとを比較する。これらの乱数データが一致した場合には、コンピュータ120は、ユーザ端末100の認証に成功したと判断する。以上の処理によって、コンピュータ120は、ユーザ端末100が権限付与サーバ110によってアカウント管理権限の委譲を受けた端末であると判断する。換言すれば、ユーザ端末100が委譲されたアカウント管理権限が有効であると判定する。
【0074】
ユーザ端末100がアカウント管理権限の委譲を受けた端末であることが確認されると、コンピュータ120は、証明書A511に含まれる権限付与サーバID513が権限付与サーバIDリスト524に含まれるか否かを判断する。権限付与サーバIDリスト524に含まれる場合には、コンピュータ120は、アカウント管理権限に従ってアカウント管理処理を実行する。
【0075】
以上のように、権限付与サーバ110によるアカウント権限の発行の仕方、およびコンピュータ120AにおけるユーザIDを確認する処理や権限を確認する処理は第1の実施の形態の場合とは異なるが、その他の処理は、第1の実施の形態の場合と同じである。
【0076】
本実施の形態によれば、ユーザが権限付与サーバ110からアカウント管理権限の委譲を受けたと捉え、アカウント管理権限の委譲を受けたユーザは、委譲されたアカウント管理権限にもとづいて、コンピュータ120に対して計算処理やアカウント管理の処理を要求することができる。
【0077】
また、第1の実施の形態と同様に、広域分散計算環境において、それぞれ異なる管理者が管理する各コンピュータのアカウント管理の負担およびコストを低減することができる。
【0078】
実施の形態3.
次に、本発明の第3の実施の形態を図面を参照して説明する。本実施の形態における広域分散型の計算環境の構成は、図1に示した構成と同様である。第1の実施の形態では、アカウントが登録されていないユーザ端末100から計算処理要求がなされた場合に、コンピュータ120は、自動的に、アカウントを生成して、要求された計算処理を実行した。しかし、本実施の形態では、コンピュータ120は、ユーザ端末100から計算処理要求がなされたときにアカウントを生成するのではなく、アカウント生成の要求に応じてアカウントを生成する。すなわち、ユーザは、アカウントの登録が完了した後に、コンピュータ120に計算処理を要求する。
【0079】
図6は、ユーザ端末100からの要求に応じて実行されるアカウント生成を含むアカウント管理の処理を示すフローチャートである。ユーザは、ユーザ端末100を操作して、アカウント管理を要求するためのコマンドを入力する。例えば、コンピュータ120にアカウントが登録されていない場合には、ユーザは、まずアカウントの生成を要求するコマンドを入力する。なお、コマンドが入力されると、ユーザ端末100、権限付与サーバ110およびコンピュータ120は、以下に示すステップS201からステップS209までの処理を自動的に実行する。
【0080】
ユーザ端末100は、ユーザの操作に応じて、インターネットを介して権限付与サーバ110に証明情報を送信する(ステップS201)。権限付与サーバ110が証明情報を受信すると、認証装置111は、受信した証明情報にもとづいてユーザIDを確認する(ステップS202)。
【0081】
ユーザIDを確認すると、認証装置111は、権限付与対象ユーザ端末テーブル113を参照して、アクセスしてきたユーザ端末100が、アカウント管理権限を付与してよい端末であるか否かを判断する(ステップS203)。アカウント管理権限を付与してよい端末と判断すると、権限情報生成装置112は、アカウント管理権限情報102を発行する(ステップS204)。
【0082】
次に、ユーザ端末100は、証明情報を、インターネットを介してコンピュータ120に送信する(ステップS205)。コンピュータ120が証明情報を受信すると、認証装置121は、受信した証明情報にもとづいてユーザ端末100のユーザIDを確認する(ステップS206)。なお、ユーザIDを確認する具体的な構成は図3に示す構成と同様であり、処理手順は図2に示すステップS101およびステップS102の場合と同様である。
【0083】
ユーザ端末100は、アカウント管理権限情報102を、インターネットを介してコンピュータ120に送信する(ステップS207)。また、ユーザ端末100は、アカウント管理要求情報を、インターネットを介してコンピュータ120に送信する(ステップS207)。以上の処理は、第1の実施の形態における処理と同じである。
【0084】
コンピュータ120は、受信したアカウント管理権限情報102およびアカウント管理許可権限付与サーバテーブル124にもとづいて、ユーザ端末100がアカウント管理権限の付与を受けることができる端末であるか否か確認する(ステップS208)。
【0085】
ステップS208において、アカウント管理権限の付与を受けることができる端末であることが確認されると、アカウント管理装置123は、要求されたアカウント管理の処理を実行する(ステップS209)。例えば、アカウントの生成を要求された場合には、アカウント管理装置123は、ユーザ端末100に対するアカウントを生成する。なお、既に登録済みのアカウントの属性変更や削除が要求された場合には、アカウント管理装置123は、アカウントの属性変更や削除を行う。
【0086】
次に、ユーザ端末100からの要求に従って計算処理を実行する場合の動作について説明する。図7は、ユーザ端末100から要求された計算処理を実行する処理を示すフローチャートである。ユーザは、アカウントが既に登録済みでありコンピュータ120に計算処理を依頼する場合に、ユーザ端末100を操作して、計算処理を要求するためのコマンドを入力したりプログラムを実行する。なお、コマンドが入力されると、ユーザ端末100およびコンピュータ120によって、以下に示すステップS301からステップS305までの処理が自動的に実行される。
【0087】
ユーザ端末100は、ユーザの操作に従って、コマンドが入力されると、証明情報を、インターネットを介して権限付与サーバ110に送信する(ステップS301)。コンピュータ120が証明情報を受信すると、認証装置121は、受信した証明情報にもとづいてユーザIDを確認する(ステップS302)。ユーザIDを確認し既にアカウントが登録されているユーザ端末100であることを確認すると、コンピュータ120は、ユーザIDおよびアカウントを確認できた旨を示す確認情報を、インターネットを介してユーザ端末100に送信する。すると、ユーザ端末100は、要求したい計算内容を含む計算要求情報を、インターネットを介してコンピュータ120に送信する(ステップS303)。
【0088】
計算要求情報を受信すると、コンピュータ120は、要求された計算処理を実行する(ステップS304)。計算処理が終了すると、コンピュータ120は、計算機利用情報を、インターネットを介して権限付与サーバ110に送信する(ステップS305)。そして、権限付与サーバ110は、受信した計算機利用情報にもとづいて、ユーザ端末100に対する課金処理を行う。
【0089】
以上のように、本実施の形態によれば、コンピュータ120に計算を実行させるための処理と、アカウント管理の処理とが独立して実行される。従って、ユーザは、アカウントが生成された後に、コンピュータ120に対して計算機利用要求を示す情報を送信する。第1の実施の形態の場合とは異なり、コンピュータ120に計算を実行させる際に権限確認処理を実行しないので、計算機利用要求の際の処理工程を軽減することができる。また、従来から存在する計算処理を要求するためのプロトコルをそのまま利用することができ、システム構築のための負担やコストを低減することができる。
【0090】
なお、第1の実施の形態および第3の実施の形態において、ユーザ端末100がアカウント管理権限情報102を権限付与サーバ110から受信することによって入手する場合を説明したが、ユーザは、CD−ROM等の記録媒体に書き込まれたアカウント管理権限情報102を郵送等によって入手してもよい。その場合には、例えば、図4および図6に示す処理において、ステップS101〜ステップS104の処理およびステップS201〜S204を実行する必要がなくなる。
【0091】
また、権限付与サーバ110を設置する必要はなく、アカウント管理業者にかかる管理負担およびコストを軽減することができる。なお、権限付与サーバ110からアカウント管理権限をオンラインで入手する場合に比べて、アカウント管理権限情報102の有効期限は十分長く設定される。また、アカウント管理業者は、ユーザ端末100に対する課金処理のみを行うためのコンピュータを設置してもよい。
【0092】
【発明の効果】
以上のように、本発明によれば、アカウント管理システム、アカウント管理方法およびアカウント管理プログラムは、権限付与サーバが、利用者端末の認証に成功したことを条件に、各コンピュータに代行して利用者端末がアカウントの生成の要求を行える端末であると判断し、利用者端末に対してアカウント管理要求権限情報を送信し、各コンピュータが、利用者端末から受信したアカウント管理要求権限情報にもとづいて、利用者端末に対するアカウントを生成し、生成したアカウントにもとづいて、利用者端末から受信した処理要求で示される所定の処理を実行するように構成されているので、広域分散型の計算環境において、それぞれ異なる管理者が管理する各コンピュータのアカウント管理の負担およびコストを低減することができる。
【図面の簡単な説明】
【図1】 本発明によるアカウント管理システムを適用した広域分散型の計算環境の構成の一例を示すブロック図である。
【図2】 自己ID証明装置および認証装置が実行する処理を説明するためのブロック図である。
【図3】 権限情報生成装置および権限確認装置の動作を説明するためのブロック図である。
【図4】 計算のための処理およびアカウント管理の処理を示すフローチャートである。
【図5】 権限情報生成装置および権限確認装置 の動作を説明するためのブロック図である。
【図6】 アカウント管理の処理を示すフローチャートである。
【図7】 計算のための処理を示すフローチャートである。
【符号の説明】
100 ユーザ端末
101 自己ID証明装置
102 アカウント管理権限情報
110 権限付与サーバ
111 認証装置
112 権限情報生成装置
113 権限付与対象ユーザ端末テーブル
120 コンピュータ
121 認証装置
122 権限確認装置
123 アカウント管理装置
124 アカウント管理許可権限付与サーバテーブル[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an account management system, an account management method, and an account management program for managing a user account in a computer system that provides computer resources to a user in response to a request from a user terminal.
[0002]
[Prior art]
One of the wide-area distributed computing methods (grid computing (hereinafter simply referred to as grid)) that allows users to use the resources of multiple computers managed by different management entities. There is a method of requesting a plurality of computers installed at a site and managed by different administrators, and in such a computer system, the user must acquire an account for each computer. In general, the computer resource used for the computer is the computer's computing power, and the account is the user's computer resource usage right (qualification that can be used).
[0003]
As a method of managing accounts in a plurality of computers, there is Active Directory (registered trademark) of Microsoft Corporation. However, these methods are methods for a single administrator to manage accounts of a plurality of computers. That is, one computer performs account management for all computers to be managed. Therefore, it cannot be applied to account management in an environment where a plurality of management entities exist like a grid. The reason for this is that in a wide-area distributed computing environment such as a grid, each management entity has the authority to use a part of the computer (for example, the authority to use the computing power of the computer) for users who exist outside the site. Only) and not wanting to give all of the usage rights.
[0004]
Non-Patent Document 1 describes an account management system in a wide-area distributed computing environment using a grid. In the account management system described in Non-Patent Document 1, account management is performed by an authentication means using a public key cryptosystem and an authorization means using a technique called an access control list. Note that “authentication” means confirming that the user is indeed the user. “Authorization” means giving a user some authority.
[0005]
In the account management system described in Non-Patent Document 1, authentication means using a public key cryptosystem is used. In the authentication method using public key cryptography, a public key and private key pair are created. Data encrypted with the private key can be decrypted only with the public key, and data encrypted with the public key can be decrypted with only the private key. The user terminal conceals the secret key and passes the public key to the computer via the communication network. Therefore, the computer passes the data encrypted with a public key such as a random number to the user terminal via the communication network, decrypts the data received with the secret key concealed by the user terminal, and sends it back to the computer via the communication network. Thus, the computer can perform user authentication. Since the secret key is held only by the user terminal that keeps the secret key secret, the computer compares the returned data with the original data, and if they match, the computer is successfully authenticated. to decide.
[0006]
When using a public key cryptosystem, whether the public key is correct becomes a problem. A method of distributing the public key using another route such as mail is conceivable, but it is burdensome when the number of public keys to be distributed is large. For this purpose, a certificate issued by a CA (Certification Authority) is generally used. That is, certificate format data including the public key is passed to the computer via the communication network. The certificate includes a certificate holder name, a public key of the certificate holder, an electronic signature by a CA, and the like.
[0007]
An electronic signature is a digital signature made by a CA. For example, a hash value is calculated for data included in a certificate based on a one-way function, and data obtained by encrypting the calculated hash value with a private key held by the CA is added to the certificate as an electronic signature. As the primary direction function, an algorithm called MD (Message-Digest algorithm) 5 or SHA (Secure Hush Algorithm) -1 is used.
[0008]
The computer compares the hash value calculated from the data included in the certificate with the data obtained by decrypting the electronic signature included in the certificate with the CA public key. If they match, the computer determines that the public key included in the certificate is guaranteed by the CA, and can obtain the public key from the user terminal. Note that the computer can obtain a CA public key by using a certificate signed by a CA higher than the CA. If the computer has at least a root CA certificate in advance, it can obtain the CA public key.
[0009]
Further, in the account management system described in Non-Patent Document 1, an authorization means using a method called an access control list is used. In such authorization means, the computer creates an account for each user in advance. Further, the computer holds a correspondence table including correspondence information between each account and a user name. When executing calculation processing on each computer, after confirming the user name by performing authentication confirmation using the public key method, the computer uses the correspondence table to determine the user name included in the certificate. Check if the corresponding account exists. Then, the computer executes processing according to the authority granted to the account corresponding to the user name.
[0010]
Non-Patent Document 2 describes another account management system in a wide-area distributed computing environment using a grid. The account management system described in Non-Patent Document 2 is an account sharing type system called CAS (Community Authorization Service). In the account management system, the authentication system based on the public key method is extended to enable authority delegation to the user terminal side, and the authority delegation function is used.
[0011]
In order to perform authority delegation, the user terminal to which authority is delegated newly creates a certificate / private key pair. The user terminal signs the created certificate using the private key. The certificate signed by the user terminal is called a proxy certificate. The proxy certificate has an expiration date. A terminal holding a secret key corresponding to the proxy certificate is treated as a terminal having the same authority as the user terminal. Therefore, in this system, it can be considered that the user terminal is incorporated in the CA tree structure leading to the root CA.
[0012]
The system based on CAS uses such a mechanism for delegating authority. In the CAS system, a CAS computer is installed for each community (site). Also, an account is created for each resource (terminal) with the authority of the CAS computer. The user terminal is authenticated by the CAS computer and receives authority transfer from the CAS computer. In this case, the authority to be delegated is limited to a predetermined content, and the user terminal is delegated authority. For example, the user terminal obtains a certificate including information indicating the contents of authority delegated from the CAS computer.
[0013]
[Non-Patent Document 1]
Randy Butler, Von Welch, Douglas Engert, Ian Foster, Steven Tuecke, John Volmer, Carl Kesselman, "A National-Scale Authentication Infrastructure", IEEE Computer, 2000, 33, 12, p60-66.
[Non-Patent Document 2]
Laura Pearlman, Von Welch, Ian Foster, Carl Kesselman, Steven Tuecke, "A Community Authorization Service for Group Collaboration", Proceedings of the IEEE 3rd International Workshop on Policies for Distributed Systems and Networks, 2002
[0014]
[Problems to be solved by the invention]
In the account management system described in Non-Patent Document 1, user accounts must be created in all computers participating in a wide-area distributed computing environment. In addition, all computers must update the correspondence table between accounts and user names. Therefore, the burden on the administrator of each computer is large and the management cost is high.
[0015]
Further, in the account management system described in Non-Patent Document 2, it is only necessary to perform processing such as addition or deletion of an account only by the CAS computer. Therefore, there is no need to create an account or update the correspondence table on each computer, and the management burden and cost are reduced. However, in a system using CAS, the user terminal requests processing from a plurality of computers using the same account. That is, a system using CAS can be said to be a reusable model in which a common account is reused on each computer. Therefore, there is a possibility that the owner of the file will be the same person on each computer, and there is a possibility that the file created by himself / herself will be viewed or deleted by others. In addition, there is a problem that it is difficult for a user to perform statistical processing of usage time using the processing capability of a computer.
[0016]
Therefore, the present invention provides an account management system, an account management method, and an account that can reduce the burden and cost required for managing a user account in a computer system that provides computer resources to a user in response to a request from a user terminal. The purpose is to provide a management program.
[0017]
[Means for Solving the Problems]
An account management system according to the present invention includes a user terminal, a plurality of computers that execute predetermined processing in response to a request from the user terminal, and an account generation Can request Account management request authority information indicating authority Send On behalf of each computer , User terminal Authorization server that determines whether or not is a terminal that can make account generation requests And the user terminal provides proof information for certifying the user. Authorization server A self-certification means to be transmitted to the server, a processing request for requesting execution of a predetermined processing, Authorization server Processing request means for transmitting the account management request authority information received from each computer to each computer, Authorization server On behalf of each computer on the condition that the authentication means for authenticating the user terminal based on the certification information received from the user terminal and that the authentication of the user terminal by the authentication means is successful. Judge that the user terminal is a terminal that can make a request to create an account. An account management request authority information transmitting means for transmitting account management request authority information to the user terminal, and each computer responds to the user terminal based on the account management request authority information received from the user terminal. Account generation means for generating an account, and process execution means for executing a predetermined process indicated by a process request received from a user terminal based on the account generated by the account generation means.
[0019]
DETAILED DESCRIPTION OF THE INVENTION
Embodiment 1 FIG.
Hereinafter, a first embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing an example of a configuration of a wide-area distributed computing environment to which an account management system according to the present invention is applied. As shown in FIG. 1, in a wide-area distributed computing environment, a user terminal (user terminal) 100 used by a user (user), a
[0020]
A user can operate the
[0021]
The “account management authority” is an authority that allows the user to request account management (account generation, update, and deletion) from the
[0022]
The
[0023]
The self
[0024]
The
[0025]
As shown in FIG. 1, the
[0026]
The
[0027]
In the
[0028]
As shown in FIG. 1, the
[0029]
When a contract is concluded, information such as a user's address and a credit card number for collecting a usage fee is registered in the storage device of the
[0030]
FIG. 2 is a block diagram for explaining processing executed by the self
[0031]
The self
[0032]
In addition, the storage device of the
[0033]
The
[0034]
Next, the
[0035]
The
[0036]
Note that the user ID confirmation method is not limited to a method using a public key cryptosystem and a certificate. For example, the user ID may be confirmed by a method using a common key cryptosystem such as Kerberos. For example, the
[0037]
The above-described user ID confirmation method is also used between the
[0038]
FIG. 3 is a block diagram for explaining the operation of the authority
[0039]
The
[0040]
In addition, the
[0041]
When the account
[0042]
As described above, when the
[0043]
Next, the operation will be described. FIG. 4 is a flowchart showing processing for calculation in response to a request from the
[0044]
The process executed by the
[0045]
When a command is input to the
[0046]
When the user ID is confirmed, the
[0047]
If it is determined that the account management authority may be issued, the authority
[0048]
If the user ID cannot be confirmed in step S102, the authority
[0049]
Next, in the
[0050]
In addition, the
[0051]
The
[0052]
If it is determined in step S112 that the account does not exist, the
[0053]
If it is confirmed that a user account may be created, the
[0054]
When the account is generated, the
[0055]
If it is determined in step S112 that an account already exists, the
[0056]
If it is determined in step S111 that the received request is account management request information, the
[0057]
If it is confirmed that the terminal is a user terminal having the account management authority, the
[0058]
Note that the
[0059]
In step S116, the
[0060]
The
[0061]
As described above, according to the present embodiment, the user can present the account management authority issued from the
[0062]
In other words, each computer uses the
[0063]
In addition, the user only has to issue account management authority to one or a few authorization servers without going through the procedure for account management for each of a large number of computers in a wide area distributed computing environment. Accounts can be created on each computer. Further, the user can make a calculation process request without being aware of whether the
[0064]
Furthermore, according to the present embodiment, since the
[0065]
Embodiment 2. FIG.
Next, a second embodiment of the present invention will be described with reference to the drawings. The configuration of the wide-area distributed computing environment in the present embodiment is the same as the configuration shown in FIG. However, the operations of the authority information generation apparatus in the
[0066]
FIG. 5 is a block diagram for explaining the operation of the authority
[0067]
The
[0068]
In the present embodiment, the
[0069]
When receiving the transfer of authority, the
[0070]
The
[0071]
When the
[0072]
Next, the
[0073]
The
[0074]
When it is confirmed that the
[0075]
As described above, the method of issuing the account authority by the
[0076]
According to the present embodiment, it is assumed that the user has received the account management authority from the
[0077]
Further, similarly to the first embodiment, it is possible to reduce the burden and cost of account management for each computer managed by different administrators in a wide area distributed computing environment.
[0078]
Embodiment 3 FIG.
Next, a third embodiment of the present invention will be described with reference to the drawings. The configuration of the wide-area distributed computing environment in the present embodiment is the same as the configuration shown in FIG. In the first embodiment, when a calculation processing request is made from the
[0079]
FIG. 6 is a flowchart showing account management processing including account generation executed in response to a request from the
[0080]
The
[0081]
When the user ID is confirmed, the
[0082]
Next, the
[0083]
The
[0084]
Based on the received account
[0085]
If it is confirmed in step S208 that the terminal can receive the account management authority, the
[0086]
Next, an operation when the calculation process is executed according to a request from the
[0087]
When a command is input in accordance with a user operation, the
[0088]
When the calculation request information is received, the
[0089]
As described above, according to the present embodiment, the process for causing the
[0090]
In the first embodiment and the third embodiment, the case where the
[0091]
In addition, it is not necessary to install the
[0092]
【The invention's effect】
As described above, according to the present invention, the account management system, the account management method, and the account management program are: Authorization server On behalf of each computer on the condition that the user terminal has been successfully authenticated. Judge that the user terminal is a terminal that can make a request to create an account. The account management request authority information is transmitted to the user terminal, and each computer generates an account for the user terminal based on the account management request authority information received from the user terminal, and based on the generated account. Since it is configured to execute the predetermined processing indicated by the processing request received from the user terminal, the burden and cost of account management for each computer managed by each different administrator in a wide-area distributed computing environment Can be reduced.
[Brief description of the drawings]
FIG. 1 is a block diagram showing an example of a configuration of a wide-area distributed computing environment to which an account management system according to the present invention is applied.
FIG. 2 is a block diagram for explaining processing executed by a self ID certification device and an authentication device.
FIG. 3 is a block diagram for explaining operations of an authority information generating apparatus and an authority confirming apparatus.
FIG. 4 is a flowchart showing a calculation process and an account management process.
FIG. 5 is a block diagram for explaining operations of an authority information generation device and an authority confirmation device.
FIG. 6 is a flowchart showing account management processing;
FIG. 7 is a flowchart showing processing for calculation.
[Explanation of symbols]
100 user terminal
101 Self ID certification device
102 Account management authority information
110 Authorization server
111 Authentication device
112 Authority information generation device
113 Authorized user terminal table
120 computers
121 Authentication device
122 Authority confirmation device
123 Account management device
124 Account management permission authority grant server table
Claims (11)
前記利用者端末と、
前記利用者端末からの要求に応じて所定の処理を実行する複数のコンピュータと、
アカウントの生成を要求することができる権限を示すアカウント管理要求権限情報を送信して、前記各コンピュータに代行して、前記利用者端末がアカウントの生成の要求を行える端末であるか否かを判断する権限付与サーバと、を備え、
前記利用者端末は、
利用者を証明するための証明情報を前記権限付与サーバに送信する自己証明手段と、
前記所定の処理の実行を要求する旨の処理要求と、前記権限付与サーバから受信した前記アカウント管理要求権限情報とを、前記各コンピュータに送信する処理要求手段と、を含み、
前記権限付与サーバは、
前記利用者端末から受信した前記証明情報にもとづいて、前記利用者端末を認証する認証手段と、
前記認証手段による前記利用者端末の認証に成功したことを条件に、前記各コンピュータに代行して前記利用者端末がアカウントの生成の要求を行える端末であると判断し、前記利用者端末に対して前記アカウント管理要求権限情報を送信するアカウント管理要求権限情報送信手段と、を含み、
前記各コンピュータは、
前記利用者端末から受信した前記アカウント管理要求権限情報にもとづいて、前記利用者端末に対するアカウントを生成するアカウント生成手段と、
前記アカウント生成手段が生成したアカウントにもとづいて、前記利用者端末から受信した処理要求で示される前記所定の処理を実行する処理実行手段と、を含む
ことを特徴とするアカウント管理システム。In an account management system for managing a user account in a computer system that provides computer resources to a user in response to a request from a user terminal,
The user terminal;
A plurality of computers that execute predetermined processing in response to a request from the user terminal;
Sending the account management request authorization information indicating the authority can request the generation of accounts, on behalf of each computer, the user terminal determines whether the terminal that allows a request for generation of accounts An authorization server to perform ,
The user terminal is
Self-certifying means for transmitting certification information for certifying a user to the authorization server ;
Processing request means for requesting execution of the predetermined processing, and processing request means for transmitting the account management request authority information received from the authority grant server to each of the computers,
The authorization server is
Authentication means for authenticating the user terminal based on the certification information received from the user terminal;
On the condition that the authentication of the user terminal by the authentication means is successful, it is determined that the user terminal is a terminal that can make an account generation request on behalf of each computer, and the user terminal And account management request authority information transmitting means for transmitting the account management request authority information,
Each computer is
Account generation means for generating an account for the user terminal based on the account management request authority information received from the user terminal;
An account management system comprising: a process execution unit that executes the predetermined process indicated by the process request received from the user terminal based on the account generated by the account generation unit.
請求項1記載のアカウント管理システム。The account management system according to claim 1, wherein the account generation unit automatically generates an account if the account does not exist after confirming that the received account management request authority information is valid.
請求項1記載のアカウント管理システム。The account management system according to claim 1, wherein the processing request unit transmits the account management request authority information, and transmits a processing request to each of the computers after an account is generated by the account generation unit.
請求項1から請求項3のうちのいずれか1項に記載のアカウント管理システム。The account management system according to any one of claims 1 to 3, wherein the account management request authority information transmitting unit transmits the account management request authority information with an electronic signature to a user terminal.
請求項1から請求項4のうちのいずれか1項に記載のアカウント管理システム。Each of the computers receives a certificate proving the authorization server directly from the authorization server or via the user terminal, and receives the account management request authority information and the certificate received from the user terminal. The account management system according to any one of claims 1 to 4, wherein whether or not the account management request authority information is valid is confirmed based on a certificate.
請求項1から請求項5のうちのいずれか1項に記載のアカウント管理システム。The processing request means includes a first certificate certifying the authorization server, and a second certificate electronically signed by said authorization server to delegate the right to grant the account management request authorization information The account management system according to claim 1, wherein the account management system is transmitted to each computer.
請求項6記載のアカウント管理システム。The account management system according to claim 6, wherein each of the computers confirms whether the account management request authority information is valid based on the first certificate and the second certificate received from the user terminal. .
請求項1から請求項7のうちのいずれか1項に記載のアカウント管理システム。The account management system according to any one of claims 1 to 7, wherein each computer transmits computer usage information to the authorization server when the predetermined processing is completed.
前記利用者端末が、利用者を証明するための証明情報を権限付与サーバに送信するステップと、
前記権限付与サーバが、前記利用者端末から受信した前記証明情報にもとづいて、前記利用者端末を認証するステップと、
前記権限付与サーバが、前記利用者端末の認証に成功したことを条件に、前記利用者端末からの要求に応じて所定の処理を実行する複数のコンピュータに代行して前記利用者端末がアカウントの生成の要求を行える端末であると判断し、前記利用者端末に対して、アカウントの生成を要求することができる権限を示すアカウント管理要求権限情報を送信するステップと、
前記利用者端末が、前記所定の処理の実行を要求する旨の処理要求と、前記権限付与サーバから受信した前記アカウント管理要求権限情報とを、前記各コンピュータに送信するステップと、
前記各コンピュータが、前記利用者端末から受信したアカウント管理要求権限情報にもとづいて、前記利用者端末に対するアカウントを生成するステップと、
前記各コンピュータが、生成したアカウントにもとづいて、前記利用者端末から受信した処理要求で示される前記所定の処理を実行するステップと、
を含むことを特徴とするアカウント管理方法。In an account management method for managing a user account in a computer system that provides computer resources to a user in response to a request from a user terminal,
The user terminal sending proof information for certifying the user to the authorization server ; and
The authorization server authenticating the user terminal based on the certification information received from the user terminal;
On the condition that the authorization server succeeds in the authentication of the user terminal, the user terminal has an account on behalf of a plurality of computers that execute predetermined processing in response to a request from the user terminal. Determining that the terminal is capable of requesting generation, and transmitting to the user terminal account management request authority information indicating authority to request generation of an account;
A step of transmitting the processing request that the user terminal requests execution of the predetermined processing and the account management request authority information received from the authorization server to the computers;
Each computer generates an account for the user terminal based on the account management request authority information received from the user terminal;
Each computer executing the predetermined processing indicated by the processing request received from the user terminal based on the generated account;
An account management method comprising:
前記コンピュータに、
前記利用者端末から受信した前記アカウント管理要求権限情報にもとづいて、前記利用者端末に対するアカウントを生成する処理と、
生成したアカウントにもとづいて、前記利用者端末から受信した処理要求で示される前記所定の処理を実行する処理と、
を実行させるためのアカウント管理プログラム。A user terminal transmits a plurality of computers for executing a predetermined processing in response to a request from the user terminal, the account management request authorization information indicating the authority can request the generation of accounts, each on behalf of the computer, and authorization server, wherein the user terminal determines whether a terminal that allows the request for generation of accounts, wherein the user terminal, certificate information for certifying user self certification means for transmitting to the authorization server, and that the processing request for requesting execution of the predetermined process, and the account management request authorization information received from the authorization server, and transmits to the each computer It includes a processing request means, wherein the authorization server, based on the certification information received from the user terminal, authentication means for authenticating the user terminal The the user condition that a successful authentication of the terminal by the authentication means, wherein determining that the user terminal on behalf of each computer is a terminal that enables a request for generation of accounts to the user terminal Account management request authority information transmitting means for transmitting the account management request authority information to a user account in a computer system that provides a user with computer resources in response to a request from the user terminal. An account management program for managing,
In the computer,
A process for generating an account for the user terminal based on the account management request authority information received from the user terminal;
Based on the generated account, a process of executing the predetermined processing indicated by the processing request received from the user terminal,
Account management program for running.
前記権限付与サーバに、
前記利用者端末から受信した前記証明情報にもとづいて、前記利用者端末を認証する処理と、
前記利用者端末の認証に成功したことを条件に、前記各コンピュータに代行して前記利用者端末がアカウントの生成の要求を行える端末であると判断し、前記利用者端末に対して前記アカウント管理要求権限情報を送信する処理と、
を実行させるためのプログラム。A user terminal transmits a plurality of computers for executing a predetermined processing in response to a request from the user terminal, the account management request authorization information indicating the authority can request the generation of accounts, each on behalf of the computer, and authorization server, wherein the user terminal determines whether a terminal that allows the request for generation of accounts, wherein the user terminal, certificate information for certifying user self certification means for transmitting to the authorization server, and that the processing request for requesting execution of the predetermined process, and the account management request authorization information received from the authorization server, and transmits to the each computer Processing request means, wherein each of the computers is based on the account management request authority information received from the user terminal. An account generation means for generating an account for the process, and a process execution means for executing the predetermined process indicated by the process request received from the user terminal based on the account generated by the account generation means, A program installed in the authorization server in a computer system that provides computer resources to a user in response to a request from a user terminal,
In the authorization server,
A process of authenticating the user terminal based on the certification information received from the user terminal;
The user terminal is determined to be a terminal that can make an account generation request on behalf of each computer on the condition that authentication of the user terminal is successful, and the account management for the user terminal Processing to send request authority information;
A program for running
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003147520A JP4706165B2 (en) | 2003-05-26 | 2003-05-26 | Account management system, account management method, and account management program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003147520A JP4706165B2 (en) | 2003-05-26 | 2003-05-26 | Account management system, account management method, and account management program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004348631A JP2004348631A (en) | 2004-12-09 |
| JP4706165B2 true JP4706165B2 (en) | 2011-06-22 |
Family
ID=33534018
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003147520A Expired - Fee Related JP4706165B2 (en) | 2003-05-26 | 2003-05-26 | Account management system, account management method, and account management program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4706165B2 (en) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4765572B2 (en) * | 2005-11-17 | 2011-09-07 | 村田機械株式会社 | Terminal device, time stamp management system, and time stamp management program |
| US8505078B2 (en) | 2008-12-28 | 2013-08-06 | Qualcomm Incorporated | Apparatus and methods for providing authorized device access |
| EP2334008A1 (en) * | 2009-12-10 | 2011-06-15 | Tata Consultancy Services Limited | A system and method for designing secure client-server communication protocols based on certificateless public key infrastructure |
| JP5736953B2 (en) * | 2011-05-17 | 2015-06-17 | 富士ゼロックス株式会社 | Information processing apparatus, authentication system, and program |
| JP6091450B2 (en) * | 2014-02-17 | 2017-03-08 | 三菱電機株式会社 | Information processing apparatus, information processing method, and program |
| JP2020135205A (en) * | 2019-02-15 | 2020-08-31 | Necソリューションイノベータ株式会社 | Information processing method |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002073419A (en) * | 2000-08-28 | 2002-03-12 | Ricoh Co Ltd | Electronic document management system, method, apparatus, and computer-readable recording medium recording program |
| JP2002197063A (en) * | 2000-12-26 | 2002-07-12 | Wellness On Line Inc | Domain crossing account system |
| JP2002312312A (en) * | 2001-04-13 | 2002-10-25 | Kit Asp:Kk | Application service method using network constitution of logical hierarchical structure and application server system |
-
2003
- 2003-05-26 JP JP2003147520A patent/JP4706165B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004348631A (en) | 2004-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110598394B (en) | Authority verification method and device and storage medium | |
| Humphrey et al. | Security for grids | |
| JP4226665B2 (en) | Logon certificate | |
| US9544297B2 (en) | Method for secured data processing | |
| US7844816B2 (en) | Relying party trust anchor based public key technology framework | |
| KR102410006B1 (en) | Method for creating decentralized identity able to manage user authority and system for managing user authority using the same | |
| CN114008968B (en) | System, method, and storage medium for licensing authorization in a computing environment | |
| US20110296172A1 (en) | Server-side key generation for non-token clients | |
| CA3180144A1 (en) | Method, apparatus, and computer-readable medium for secured data transfer over a decentrlaized computer network | |
| JP2002335239A (en) | Single sign-on authentication method and system device | |
| JP2003296281A (en) | Access control method and system | |
| US11954672B1 (en) | Systems and methods for cryptocurrency pool management | |
| CN112187470A (en) | Internet of things certificate distribution method, device and system, storage medium and electronic device | |
| US20020099668A1 (en) | Efficient revocation of registration authorities | |
| Koufil et al. | A credential renewal service for long-running jobs | |
| JP2000049766A (en) | Key management server system | |
| CN114598463B (en) | Data authentication system | |
| JP5012574B2 (en) | Common key automatic sharing system and common key automatic sharing method | |
| JP4706165B2 (en) | Account management system, account management method, and account management program | |
| JP3770173B2 (en) | Common key management system and common key management method | |
| CN115396209A (en) | Access authorization method, device, electronic device and readable storage medium | |
| JP2001202332A (en) | Certification program management system | |
| EP4243344A1 (en) | Certificate management device, certificate management system and certificate management method | |
| Fugkeaw et al. | Multi-Application Authentication based on Multi-Agent System. | |
| WO2022201581A1 (en) | Business audit assistance system and business audit assistance method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20051117 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20051117 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060414 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090831 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090908 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091109 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100622 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100726 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110215 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110228 |
|
| LAPS | Cancellation because of no payment of annual fees |