JP2003070068A - 認証区間判定方法、および認証区間判定装置 - Google Patents

認証区間判定方法、および認証区間判定装置

Info

Publication number
JP2003070068A
JP2003070068A JP2001258246A JP2001258246A JP2003070068A JP 2003070068 A JP2003070068 A JP 2003070068A JP 2001258246 A JP2001258246 A JP 2001258246A JP 2001258246 A JP2001258246 A JP 2001258246A JP 2003070068 A JP2003070068 A JP 2003070068A
Authority
JP
Japan
Prior art keywords
authentication
network
connection
connection form
management server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001258246A
Other languages
English (en)
Other versions
JP4230683B2 (ja
Inventor
Yoji Osako
陽二 大迫
Takatoshi Okagawa
隆俊 岡川
Takeshi Ihara
武 井原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2001258246A priority Critical patent/JP4230683B2/ja
Publication of JP2003070068A publication Critical patent/JP2003070068A/ja
Application granted granted Critical
Publication of JP4230683B2 publication Critical patent/JP4230683B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

(57)【要約】 【課題】 移動通信端末および網内装置に対して配布し
た認証鍵を用いて認証を行うに際し、移動通信端末およ
び網内装置の処理負荷を軽減すること。 【解決手段】 前記パケットを受信した認証管理サーバ
が接続する可能性のあるノードのアドレスまたはノード
識別子を示す網構成情報を導出するステップと、前記導
出された情報に基いて、認証を必要とする区間が予め定
められた接続形態を認定するステップとを含む。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、移動通信端末およ
び移動通信網内の装置に対して配布した認証鍵を用いて
認証を行うに際し、移動通信端末および移動通信網内の
装置における処理負荷を軽減する方法に関する。
【0002】
【従来の技術】従来、移動通信端末とパケットによる通
信を実現する方式のひとつとして、Mobile IP
技術(RFC2002、IP Mobility Su
pport,1996)が知られている。このMobi
le IP技術における認証では、移動通信端末からの
位置登録時に、移動通信端末の正当性が確認された後
に、移動通信端末と、アクセスルータに相当するフォー
リンエージェント(FA:Foreign Agen
t、外部エージェントともいう。)と、その移動通信端
末が契約している網に属するホームエージェント(H
A:Home Agent)に対して、認証管理サーバ
に相当するAAAサーバ(Authenticatio
n,Authorization,Accountin
gに関するサーバ)から認証鍵を配布し、その移動通信
端末と、フォーリンエージェントと、ホームエージェン
ト相互の全区間において認証処理を実行している。な
お、AAAサーバから認証鍵を配布する技術は、IETFの
draft−ietf−mobilerp−aaa−k
ey−08.txtに開示されている。
【0003】図9は、従来のMobile IPを適用
した基本ネットワーク構成を示す図である。HAは、セ
キュリティの確保されていない接続、例えばインターネ
ットを介してCN(Correspondent No
de)と接続が可能である。また、図9においては、H
AはFA1およびFA2と通信が可能に接続されてお
り、MNは、この時点でFA1と通信しているものとす
る。AAAは、MNの正当性を確認後HA、FA1、およ
びMN間の認証に必要な認証鍵又は認証鍵を生成するた
めの資源の配布を実施する。MNが移動先で送信するパ
ケットは、HAによりインターセプトされ移動先の中継機
であるFA1のIPアドレスでカプセル化され、移動元
の中継機であるFAに届けられ、カプセル化をといた後
にMN宛に転送される。これにより、MNは移動元のIP
アドレスのままで移動元のLANに接続されているかの
ように通信を行うことが可能となる。
【0004】図10は、従来の認証鍵の配布方式を示す
図である。図10において、MN(Mobile No
de:移動ノード)はユーザであり、ユーザ識別子であ
るNAI(Network Access Ident
ifier)とMN〜AAA間で予め保存されている共有秘
密鍵をもとに生成したMN−AAA認証拡張を位置登録要求
メッセージ内に格納し、FA宛に送信する。FAは、送
信されてきた位置登録要求メッセージを、AAAとの通
信プロトコルであるDIAMETERメッセージ内にマ
ッピングし、自らが所属するドメイン内のAAAに情報
を送信する。AAAでは、NAIによってユーザのホー
ムのAAAを識別し、プロキシーとなってホームのAA
Aに送信する。AAAでは、事前にMNと共有していた
認証鍵を元にユーザ認証を実施し、AAA内で管理して
いる各認証鍵又は認証鍵を生成する資源をそれぞれ払い
出し、HA宛のメッセージ内にそれらの鍵を格納して転
送する。各認証鍵には、網へのアクセスのためのMN−
FA認証鍵、ノード間認証であるFA−HA認証鍵、M
NとHAとの間の認証であるMN−HA認証鍵がある。
【0005】図11は、従来のMobile IPにお
ける各種認証の種類と目的を示す図である。網へのアク
セスのためのMN−FA認証は、不正FAによる盗聴防
止、ローミングに契約していないユーザからの網アクセ
ス防止を目的とする。ノード間認証であるFA−HA認
証は、オープンなネットワーク環境下における不正移動
エージェント(FAまたはHA)のなりすまし防止を目
的とする。ユーザ認証であるMN−HA認証は、HAとして
不正MNへのパケット転送防止、不正HAへの登録防止
を目的とする。なお、MN−AAA認証は、課金、サー
ビス情報、ユーザ認証等の加入者情報を管理するAAA
における不正MNからのアクセス防止を目的とする。し
かし、RFC2002における規定では、対象外とされ
ている。
【0006】図10において、HAでは、位置登録処理
を実施すると共に、AAAから払い出されたMN−HA
認証鍵とノード間認証鍵であるFA−HA認証鍵を取得
する。また、HAからAAAを経由してFA、MNへ位
置登録の応答メッセージが返信され、そのメッセージを
受信する時点で、FA、MNは、AAAから払い出され
た認証鍵を取得する。
【0007】
【発明が解決しようとする課題】上記のように、従来の
Mobile IPにおける認証鍵の配布技術では、図
10に示すように、無条件に移動通信端末、フォーリン
エージェント、および、その移動通信端末が契約してい
る網に属するホームエージェント相互の全区間において
認証処理を実行する。しかし、例えば、移動通信端末が
通信可能であるフォーリンエージェントがその移動通信
端末と同一の通信事業者で管理されている場合には、両
者の正当性を確認するための認証処理は本来不必要と考
えられる。このため、従来の技術では、本来不必要な認
証処理をせざるをしてしまう場合があった。その結果、
移動通信端末および網内装置の処理負荷が増大するとい
う問題があった。
【0008】本発明は、このような事情に鑑みてなされ
たものであり、移動通信端末および網内装置に対して配
布した認証鍵を用いて認証を行うに際し、移動通信端末
および網内装置の処理負荷を軽減することができる認証
方法を提供することを目的とする。
【0009】
【課題を解決するための手段】上記の目的を達成するた
めに、本発明は、以下のような手段を講じた。すなわ
ち、本発明は、移動通信端末とパケット通信を行う移動
通信網における認証区間判定方法であって、前記パケッ
トを受信した認証管理サーバが接続する可能性のあるノ
ードに関する網構成情報を導出するステップと、前記導
出された情報に基いて、認証を必要とする区間が予め定
められた接続形態を認定するステップとを含むことを特
徴とする。上記認証区間判定方法において、更に前記パ
ケットに設定されているユーザ識別子を抽出するステッ
プを含み、前記接続形態認定ステップでは、前記抽出さ
れたユーザ識別子に関する情報を加味して、認証を必要
とする区間が予め定められた接続形態を認定するように
してもよい。また、上記認証区間判定方法において、更
に、前記移動通信端末と外部エージェントとの通信可否
を示すローミング契約情報を抽出するステップを含み、
前記接続形態認定ステップでは、前記抽出されたローミ
ング契約情報を加味して、認証を必要とする区間が予め
定められた接続形態を認定するようにしてもうよい。ま
た、上記認証区間判定方法において、更に、前記移動通
信端末が所属する網を識別すると共に、前記移動通信端
末が自網に所属している場合に前記認証管理サーバで管
理しているかどうかを識別するユーザ管理情報を抽出す
るステップを含み、前記接続形態認定ステップでは、前
記抽出されたユーザ管理情報を加味して、認証を必要と
する区間が予め定められた接続形態を認定するようにし
てもよい。また、上記認証区間判定方法において、前記
接続形態を認定するステップで、前記認証管理サーバへ
アクセスするためのメッセージ(例えばDIAMETE
Rメッセージ)の送出元を検出し、検出された送信元が
自網の認証管理サーバ(例えばAAA)であるか他網の
認証管理サーバであるかに応じて接続形態を認定するス
テップと、前記認証管理サーバへアクセスするためのメ
ッセージの送出元が自網の外部エージェントである場合
に、自網のアクセス網をサポートしているかどうかによ
って接続形態を認定するステップとを含むこともでき
る。
【0010】また、上記認証区間判定方法において、前
記認証管理サーバへアクセスするためのメッセージの送
出元が自網の認証管理サーバである場合に、認証管理サ
ーバ間の接続がセキュリティの確保された接続、例えば
専用線、VPN(仮想プライベートネットワーク)等によ
るものかセキュリティの確保されていない接続、例えば
インターネットを介するものかを判断するステップと、
認証管理サーバ間の接続がセキュリティの確保された接
続、例えば専用線、VPN(仮想プライベートネットワー
ク)等によるものである場合は、自網のアクセス網をサ
ポートしているかどうかによって接続形態を認定するス
テップと、認証管理サーバ間の接続がセキュリティの確
保されていない接続、例えばインターネットを介するも
のである場合は、自網のアクセス網をサポートしている
かどうかによって接続形態を認定するステップとを含む
ようにしてもよい。また、上記認証区間判定方法におい
て、前記ローミング契約情報抽出ステップが、前記移動
通信端末とアクセスルータとの通信可否を示すローミン
グ契約情報を抽出するようにしてもよい。
【0011】また、上記認証区間判定方法において、前
記接続形態を認定するステップが、前記認証サーバへの
アクセスするためのメッセージの送出元を検出し、検出
された送信元が自網の認証管理サーバであるか他網の認
証管理サーバであるかに応じて接続形態を認定するステ
ップと、前記メッセージの送出元が自網のアクセスルー
タである場合に、自網のアクセス網をサポートしている
かどうかによって接続形態を認定するステップとを含む
ようにしてもよい。
【0012】また、上記認証区間判定方法において、前
記認定された接続形態に応じて必要な認証鍵または認証
鍵を生成するための資源を該当するノードに払い出すス
テップを含むように構成してもよい。
【0013】また、上記認証区間判定方法において、前
記認定された接続形態に応じて必要な認証鍵または認証
鍵を生成するための資源を該当するノードに払い出すス
テップを含むこともできる。
【0014】また、移動通信端末とパケット通信を行う
移動通信網に設けられる認証区間判定装置であって、前
記パケットを受信した認証管理サーバが接続する可能性
のあるノードに関する網構成情報を導出する網構成情報
導出手段と、前記導出された情報に基いて、認証を必要
とする区間が予め定められた接続形態を認定する接続形
態認定手段とを備える。また、上記認証区間判定装置に
おいて、更に、前記パケットに設定されているユーザ識
別子を抽出するユーザ識別子抽出手段を含み、前記接続
形態認定手段が、前記ユーザ識別子抽出手段で抽出され
た前記ユーザ識別子更に加味して、接続形態を認定する
ように構成してもよい。また、上記認証区間判定装置に
おいて、更に、前記移動通信端末と外部エージェントと
の通信可否を示すローミング契約情報を抽出するローミ
ング契約情報抽出手段を含み、前記接続形態認定手段
が、前記ローミング契約情報抽出手段で抽出された前記
ローミング契約情報を更に加味して、接続形態を認定す
るように構成してもよい。また、上記認証区間判定装置
おいて、更に、前記移動通信端末が所属する網を識別す
ると共に、前記移動通信端末が自網に所属している場合
に前記認証管理サーバで管理しているかどうかを識別す
るユーザ管理情報を抽出するユーザ管理情報抽出手段を
含み、前記接続形態認定手段が、前記抽出されたユーザ
管理情報を更に加味して、接続形態を認定するように構
成してもよい。また、前記接続形態認定手段は、認証管
理サーバへアクセスするためのメッセージ(例えば、D
IAMETERメッセージ)の送出元を検出する送信元
検出手段と、前記検出された送信元が自網の認証管理サ
ーバ(例えば、AAA)であるか他網の認証管理サーバ
であるかに応じて接続形態を定める第1テーブルと、前
記認証管理サーバへアクセスするためのメッセージの送
出元が自網の外部エージェントである場合に、自網のア
クセス網をサポートしているかどうかに応じて接続形態
を定める第2テーブルとを備えることもできる。
【0015】また、前記認証管理サーバへアクセスする
ためのメッセージの送出元が自網の認証管理サーバであ
る場合に、認証管理サーバ間の接続がセキュリティの確
保された接続、例えば専用線、VPN(仮想プライベート
ネットワーク)等によるものか、セキュリティの確保さ
れていない接続、例えばインターネットを介するものか
を判断する接続判断手段と、認証管理サーバ間の接続が
セキュリティの確保された接続、例えば専用線、VPN
(仮想プライベートネットワーク)等によるものである
場合は、自網のアクセス網をサポートしているかどうか
に応じて接続形態を定める第3テーブルと、認証管理サ
ーバ間の接続がセキュリティの確保されていない接続、
例えばインターネットを介するものである場合は、自網
のアクセス網をサポートしているかどうかに応じて接続
形態を定める第4テーブルとを備えることもできる。
【0016】これにより、ネットワーク側で接続形態を
判断することができるため、接続形態に応じて認証が必
要となる各ノードに、必要な認証鍵または認証鍵を生成
するための資源を配布することが可能となる。このた
め、接続形態によっては不必要な認証鍵を配布すること
がなくなり、各ノード内の認証処理の削減および網内で
配布した認証鍵管理コストの低減を図ることができる。
同時に、接続形態をユーザが判断し、接続形態毎に異な
る位置登録要求を送出する機能、例えば、判定する手順
や機能の実装が不要となる。
【0017】
【発明の実施の形態】以下、本発明の実施の形態につい
て、図面を参照して説明する。本実施の形態において、
MN、HA、FA、およびAAAは、それぞれ、次の条
件を満たすものとする。
【0018】MNは、Mobile Node、すなわ
ち移動ノードであり、次の条件を満たす。 Mobile IPプロトコルを実装しているこ
と。ここでは、RFC2002で示されているMobi
le IPv4とする。 MN−NAI拡張(RFC2794)をサポートし
ていること。NAIとは、Network Acces
s Identifier、すなわち、ユーザ識別子の
ことである。 MN−AAA認証(RFC3012)をサポートし
ていること。 AAAとの間で共有秘密鍵を保持していること。 MNが認証鍵を作る資源を受け取ったとき、それを
用いて認証鍵を生成することができること。
【0019】HAは、Home Agent、すなわち
ホームエージェントであり、次の条件を満たす。 Mobile IPプロトコルを実装しているこ
と。 AAAとの通信プロトコルであるDIAMETER
プロトコルをサポートしていること。
【0020】FAは、Foreign Agent、す
なわち外部エージェントであり、次の条件を満たす。 Mobile IPプロトコルを実装しているこ
と。 AAAとの通信プロトコルであるDIAMETER
プロトコルをサポートしていること。
【0021】AAAは、Authenticatio
n,Authorization,Accountin
g、すなわち、認証、承認、課金であり、次の条件を満
たす。 DIAMETERプロトコルをサポートしているこ
と。 MN−AAA認証(RFC3012)をサポートして
いること。 自分がAMR(DIAMETERメッセージ)を受け
取る可能性のある相手ノードに関して、以下の情報を含
む網構成情報を記憶しておくこと。 1)自ノードと接続する可能性のあるノードのIPアドレ
ス及びNAI 2)自ノードと接続するノードの種別(自網又は他網の
AAA、自網のFA) 3)自ノードとそれが接続しているノードとの接続情報
(セキュリティが確保されていない接続、例えばインタ
ーネット経由又は、セキュリティが確保されている接
続、例えば専用線、VPN) 4)接続ノードが自ノードの場合、接続しているアクセ
ス網の種別(自アクセス網又は他アクセス網) 受け取ったAMRメッセージ(DIAMETERメ
ッセージ)に含まれるMNのNAI値とAMR値の送信元
IPアドレス(又はNAI値)、AAA内に保持する網構成情
報から、接続形態を判断可能であること。 MNとの間で共有秘密鍵を保持していること。
【0022】(実施の形態1)実施の形態1では、図1
0に示されるAAAサーバにおける処理を図1に示すよ
うな処理アルゴリズムで行う。これにより、ユーザ/ノ
ード識別情報(NAIなど)や、ネットワークの接続情
報などを用いて、接続形態をネットワーク側で判断し、
接続形態に応じて必要と考えられる認証鍵(あるいは認
証鍵を生成する資源)を該当するノードに払い出す方法
を提案する。以下、Mobile IPv4を用いた場
合の処理手順を示す。なお、ここでは、気付アドレス
は、外部気付アドレスを使用するものとする。
【0023】MNは、ユーザ識別情報(例えば、MN−
NAI)と、自分の管理ドメインにあるAAAとの間で
予め保持している共有認証鍵情報を用いて、認証を行う
ための情報(例えば、MN−AAA認証拡張)を付与し
た位置登録要求メッセージをFAに送出する(ステップ
S1)。
【0024】FAでは、受け取った位置登録要求メッセ
ージを元に、MNのユーザ識別情報と認証を行うための
情報、そして位置登録要求メッセージの内容を含むDI
AMETERメッセージを作成し、FAのドメインを管
理するAAAに対して送出する。AAAは、MNが送出
した位置登録情報を含むDIAMETERメッセージ
(例えば、AMRメッセージ)を受信する(ステップS
2)。なお、ステップS6、ステップS8に分岐した場
合は、他網のAAAまたは自網のAAAからDIAME
TERメッセージが転送される。
【0025】AAAは、AMRメッセージに含まれるM
Nのユーザ識別情報を参照し、自分に割り当てられてい
るNAI値と照合することによって、自網ユーザである
か他網ユーザであるかを識別する(ステップS3)。具
体的には、NAI値から自網ユーザであるか他網ユーザ
であるかを判断するテーブルをAAAで保持しておき、
それと照合することによってMNが自網ユーザであるか
他網ユーザであるかを識別する。
【0026】ステップS3において、登録要求を送出し
たMNが自網ユーザでない場合は、AAAで保持してい
るドメイン名に基づくローミング契約情報を参照し、M
Nの所属する他網とローミング契約を行っているかどう
かの判定を行う(ステップS4)。ここでは、MN−N
AIとAAAで管理しているローミング契約情報を使用
する。ステップS4において、MNの属する他網とロー
ミング契約を行っていない場合は、ローミング非契約の
MNからの位置登録要求であるため、位置登録を拒否す
るエラーメッセージをFA経由でMNに返す(ステップ
S5)。一方、ステップS4において、MNの属する他
網とローミング契約を行っている場合は、ローミング先
のAAAへDIAMETERメッセージ(AMR)を転
送し(ステップS6)、ステップS2へ移行する。
【0027】一方、ステップS3において、登録要求を
送出したMNが自網ユーザである場合は、NAI値に含
まれるドメイン名とAAAで管理するドメイン名管理情
報(例えば、サブドメイン名によって自網ユーザであ
り、かつユーザが管理されているAAAまでを識別でき
る情報)により、DIAMETERメッセージ(AM
R)を受信したAAAの管理配下のユーザであるかどう
かを判定する(ステップS7)。
【0028】以下に説明するステップS7以降の手順が、
本発明の特徴であり、特に詳細に説明する。
【0029】ステップS7において、自網のユーザであ
るが、DIAMETERメッセージを受信したAAA配
下のユーザでない場合は、そのユーザの所属するドメイ
ンを管理しているAAAへDIAMETERメッセージ
を転送する(ステップS8)。一方、ステップS7にお
いて、自網のユーザであり、かつDIAMETERメッ
セージを受信したAAA配下のユーザである場合、受信
したDIAMETERメッセージの送信元のIPアドレス
から、AAA内で管理する網接続情報(例えば、Con
figファイル等)を参照することにより、メッセージ
送出元ノードの判定を行う(ステップS9)。
【0030】ステップS9において、DIAMETER
メッセージの送出元ノードが他網のAAAである場合
は、「接続形態A」であると判定する(ステップS1
0)。また、ステップS9において、DIAMETER
メッセージの送出元ノードが自網のAAAである場合
は、「接続形態B」であると判定する(ステップS1
1)。また、ステップS9において、DIAMETER
メッセージの送出元ノードが自網のFAである場合は、
AAA内で管理する網接続情報(例えば、Config
ファイル等)を参照することによって、自網のアクセス
網と接続しているFAであるか、他網のアクセス網に接
続しているFAであるかを判定する(ステップS1
2)。
【0031】ステップS12において、自網のアクセス
網をサポートしていない場合は、「接続形態C」である
と判定し、自網のアクセス網をサポートしている場合
は、「接続形態D」であると判定する。
【0032】なお、Mobile IPv6の場合は、
Mobile IPv4の場合と異なりFAが存在しな
いが、ユーザの移動検知を補助するAccess Ro
uter(AR)にAAAと連携する機能を持たせるこ
とにより、図4において、FAをARと置き換えること
が可能である。本発明は、Mobile IPv4のみ
ならず、Mobile IPv6にも適用可能である。
【0033】次に、上記のように識別された接続形態A
〜Dの具体例について説明する。ここでは、Mobil
e IPv4を例にとって説明する。Mobile I
Pでは、認証区間として、MN〜FA間、FA〜HA
間、MN〜HA間の3種類の区間において、なりすまし
防止や改竄防止のための認証方法がRFC2002で規
定されている。しかし、それぞれの使用方法や目的につ
いては詳細に言及されていないため、明確ではない。M
N〜HA間については、ユーザ認識のために必要となる
認証であると考えられるが、MN〜FA間、FA〜HA
間については、それぞれ網へのアクセス認証やノード間
の認証に用いられると考えられる。
【0034】そこで、この網アクセス認証とノード間認
証について、MN〜FA及びFA〜HA間のセキュリティ保
証性により、従って、この2種類の認証方法の必要性か
ら、Mobile IPを用いた接続パターンは、それ
ぞれ、図2に示す接続形態A〜Dの4種類に分類できる
ことが分かる。接続形態A〜Dの4パターンそれぞれの
接続形態例としては、図2に示すような接続形態例(サ
ービス例)が考えられる。各接続形態の構成例を図3に
示す。なお、これらの接続例はあくまでも例示であり、
本発明は、これに限定されるわけではない。
【0035】図2および図3において、接続形態Aは異
種キャリア間のローミング形態、すなわち、Mobil
e IPを用いた移動制御を網内で適用している移動キ
ャリア間のローミングサービス等が該当する。この接続
形態Aでは、MN〜FA間、FA〜HA間は管理するキ
ャリアが両端ノードで異なるためセキュリティが保証さ
れておらず、両方の区間での認証が必要であると考えら
れる。
【0036】また、接続形態BはMobile IPに
よる移動管理機能を有する私設LAN間に、セキュリティ
の確保されていない接続、例えばインターネット網を介
した網において、MNが任意の私設LAN配下にローミング
する形態などが該当する。この接続形態Bでは、MNは、
私設LANと契約もしくは私設LANに管理されているためMN
−FA間の認証は不要であるが、FA〜HA区間はインタ
ーネット内でのデータの改ざん等の可能性があるため認
証が必要であると考えれる。
【0037】また、接続形態CはMobile IPに
よる移動管理機能を有するキャリアに複数の私設LAN
が収容されている網においてMNが任意の私設LAN配下に
ローミングする形態などが該当する。例えば、移動キャ
リア内の移動制御を用い、私設LAN間の移動をサービ
スとして提供する形態や、移動キャリア自身がホットS
pot的にLANや異種アクセス網を収容し、その間の
移動サービスを提供する形態も考えられる。この接続形
態Cでは、HAとFAは閉域網内にあるためキャリアが保証
されているためFA〜HA区間の認証は不要であるが、MN
〜FA区間は管理するキャリアが異なるため認証が必要
であると考えられる。
【0038】また、接続形態Dは同一キャリア内の移動
制御の形態が該当する。すなわち、同一キャリア内にお
けるハンドオーバ等の移動制御へのMobile IP
の適用が考えられる。この接続形態Dでは、MN〜FA
間、FA〜HA間いずれも認証は不要であると考えられ
る。
【0039】ただし、上記の接続形態A〜Dでは、MN
〜HA間、およびMN〜認証管理サーバ間の認証は、い
ずれの接続形態でも必要であることとする。
【0040】また、実施の形態1において、移動通信端
末が、実施の形態1における「接続形態B」の形態で通
信を行う場合、図1に示すアルゴリズムによって、ま
ず、該当する移動通信端末の所属する網に属するが、そ
の移動通信端末を管理していない認証管理サーバに対
し、その移動通信端末が送出する位置登録メッセージ
を、DIAMETERプロトコルにマッピングしたメッ
セージが送出される。そして、ステップS2、ステップ
S3、ステップS7、ステップS8の処理を経て、その
移動通信端末を管理する認証管理サーバにそのメッセー
ジが転送される。そのメッセージを受信した、その移動
通信端末を管理する認証管理サーバは、ステップS2、
ステップS3、ステップS7、ステップS9、ステップ
S11の処理を経て、接続形態Bであることが判別され
る。このため、この接続形態に必要なMN−HA認証鍵
およびFA−HA認証鍵を、該当するノードである、M
N、FA、HAに対してDIAMETERメッセージと
Mobile IPメッセージを使用して配布する。こ
のような手順により、接続形態に応じた認証を行うこと
が可能となる。
【0041】なお、接続形態A、C、Dの場合も上記の
接続形態Bの場合と同様に、必要な認証区間に応じた認
証を行うことが可能となる。
【0042】(実施の形態2)実施の形態2では、ま
ず、次のような前提条件が設定されている。 MN〜HA、およびMN〜AAA間の認証は必須と
する。 MN〜AAA間では、共有認証鍵を予め保持してい
る。 MN〜FA、FA〜HA間の接続形態により、ユー
ザの接続形態を4つのパターンに分類する。この4つの
パターンを図4に示す。
【0043】図4において、接続形態Aは、例えば、他
キャリアのMNのローミングが該当する。接続形態B
は、例えば、セキュリティの確保されていない接続、例
えばインターネット網を介した私設LAN間のローミン
グが該当する。接続形態Cは、例えば、キャリア移動管
理による複数の私設LANを収容する形態が該当する。
接続形態Dは、例えば、同一キャリア内の移動制御の形
態が該当する。これらの各接続形態の構成例を、図5に
示す。
【0044】また、網構成情報に対する前提条件が次の
ように設定されている。 自網AAA〜他網AAA間は、セキュリティの確保
されていない接続、例えばインターネット経由を前提と
する。 自網AAA〜自網FA間はセキュリティの確保され
た接続、例えば専用線、VPN(仮想プライベートネット
ワーク)等による接続を前提とする。 自網AAA〜自網AAA間は、セキュリティの確保
されていない接続、例えばインターネット経由またはセ
キュリティの確保された接続、例えば専用線、VPN(仮
想プライベートネットワーク)接続のどちらも許容す
る。
【0045】次に、接続種別判定に必要な情報について
説明する。 (1)MNが保持する情報としては、NAI(Netw
ork AccessIdentifier)であり、
ユーザ名と、そのユーザが所属するドメインが識別可能
なものである。例えば、xxxxxxx@yyy.zzz.ne.jpの形で
ある。 (2)AAAが保持する情報としては、以下のものがあ
る。 まず、NAIであり、自分の管理するドメインが識
別可能なものである。例えば、aaa@yyy.zzz.ne.jpの形
である。 次に、ローミング情報であり、登録要求を送出した
MNがローミング可能なユーザであるかどうかをMN−
NAIのドメイン名を参照することにより判断する。 さらに、網構成情報であり、DIAMETERメッ
セージを送出したノードのIPアドレスと、AAAが接
続する可能性のあるノード(自網のFA、自網/他網の
AAA)との対応表、およびそれらのノードとの間の接
続状況(セキュリティの確保されていない接続、例えば
インターネット経由/セキュリティの確保された接続、
例えば専用線、VPN(仮想プライベートネットワーク)
接続)を含めた情報である。ここでは、接続元IPアド
レスとNAIとの対応表も保持していてもよい。また、
自網ノードである場合、管理するアクセス網が自網/他
網であるかの情報を含む。
【0046】次に、AAAの管理テーブルについて説明
する。図6に示すように、AAAの管理テーブルは、I
Pアドレス(NAI値)、接続ノード又は、接続状況、
および管理アクセス網とから構成される。ローミング情
報としては、例えば、ローミング契約を行っているキャ
リアのドメイン名(@以下)を保持する。これにより、
AAAで保持していないドメイン名を持つMNの要求を
拒否することができる。
【0047】次に、実施の形態2に係る処理手順につい
て図7を参照して説明する。まず、ステップT1〜T7
は、該当するMNを管理しているAAAを特定する手順
である。具体的には、AAAが受信したDIAMETE
Rメッセージに含まれるMNのNAI値とAAAのNA
I値とを比較することにより、該当するユーザが管理さ
れているAAAを特定する。その後、ステップT8にお
いて、受信したDIAMETERメッセージの送信元I
Pアドレスを元にして、AAAで予め保持している網構
成情報から、メッセージの送信元を特定する。その際、
他網のAAAからであれば、ステップT9に移行し、
「接続形態A」であると判断する。
【0048】一方、ステップT8において、自網のAA
Aからであれば、AAA間の接続はセキュリティの確保
された接続、例えば専用線、VPN(仮想プライベートネ
ットワーク)等であるのか、セキュリティの確保されて
いない接続、例えばインターネット経由であるのかを判
断する(ステップT10)。ステップT10における判
断の結果、セキュリティの確保されていない接続、例え
ばインターネット経由である場合は、DIAMETER
メッセージ中のMobile IPメッセージに含まれ
る気付アドレスと、AAAで予め保持している網構成情
報よりMNが接続しているFAが、自アクセス網/他ア
クセス網のどちらを管理しているかを判定する(ステッ
プT11)。この判定の結果、他アクセス網を管理して
いる場合は、ステップT12に移行し、「接続形態A」
であると判断する。一方、自アクセス網を管理している
場合は、ステップT13に移行し、「接続形態B」であ
ると判断する。
【0049】ステップT8において、DIAMETER
の送信元ノードが自網FAである場合およびステップT
10においてAAA間の接続がセキュリティの確保され
た接続、例えば専用線、VPN(仮想プライベートネット
ワーク)接続である場合は、ステップT14に移行し、
MNが接続しているFAのアクセス網のサポート状況に
ついて判定を行う。この判定の結果、他アクセス網を管
理している場合は、ステップT15に移行し、「接続形
態C」であると判断する。一方、自アクセス網を管理し
ている場合は、ステップT16に移行し、「接続形態
D」であると判断する。
【0050】以上のように接続形態を特定した後、MN
を管理するAAAはその接続形態に応じて必要となる認
証鍵(又は認証鍵の資源)を該当するノードのみに配布
する。
【0051】なお、本実施の形態において、認証区間判
定装置としてのAAAの概略構成について説明する。図
8に示すように、AAA80において、ユーザ識別子抽
出手段81は、移動通信端末が送信したパケットに設定
されているユーザ識別子を抽出する。ローミング契約情
報抽出手段82は、移動通信端末と外部エージェントと
の通信可否を示すローミング契約情報を抽出する。網構
成情報抽出手段83は、パケットを受信した認証管理サ
ーバが接続する可能性のあるノードのアドレスまたはノ
ード識別子を示す網構成情報を抽出する。
【0052】ユーザ管理情報抽出手段84は、移動通信
端末が所属する網を識別すると共に、移動通信端末が自
網に所属している場合に前記認証管理サーバで管理して
いるかどうかを識別するユーザ管理情報を抽出する。そ
して、本発明の特徴のひとつである接続形態認定手段8
5は、抽出された各情報に基いて、認証を必要とする区
間が予め定められた接続形態を認定する。さらに、送信
元検出手段86は、DIAMETERメッセージの送出
元を検出する。
【0053】第1〜第4テーブル87は、検出された送
信元が自網のAAAであるか他網のAAAであるかに応
じて接続形態を定め、DIAMETERメッセージの送
出元が自網の外部エージェントである場合に、自網のア
クセス網をサポートしているかどうかに応じて接続形態
を定め、AAA間の接続がセキュリティの確保された接
続、例えば専用線、VPN(仮想プライベートネットワー
ク)等によるものである場合は、自網のアクセス網をサ
ポートしているかどうかに応じて接続形態を定め、AA
A間の接続がセキュリティの確保されていない接続、例
えばインターネットを介するものである場合は、自網の
アクセス網をサポートしているかどうかに応じて接続形
態を定める。接続判断手段88は、DIAMETERメ
ッセージの送出元が自網のAAAである場合に、AAA
間の接続がセキュリティの確保された接続、例えば専用
線、VPN(仮想プライベートネットワーク)等によるも
のか、セキュリティの確保されていない接続、例えばイ
ンターネットを介するものかを判断する。以上の構成要
素は、制御バス89に接続されており、図示しないCP
Uによる制御を受ける。
【0054】以上のように、本実施の形態によれば、ネ
ットワーク側で接続形態を判断することができるため、
接続形態に応じて認証が必要となる各ノードに、必要な
認証鍵または認証鍵を生成するための資源を配布するこ
とが可能となる。このため、接続形態によっては不必要
な認証鍵を配布することがなくなり、各ノード内の認証
処理の削減および網内で配布した認証鍵管理コストの低
減を図ることができる。同時に、接続形態をユーザが判
断し、接続形態毎に異なる位置登録要求を送出する機
能、例えば、判定する手順や機能の実装が不要となる。
【0055】
【発明の効果】以上説明したように、本発明は、移動通
信端末とパケット通信を行う移動通信網における認証区
間判定方法であって、前記パケットを受信した認証管理
サーバが接続する可能性のあるノードのアドレスまたは
ノード識別子を示す網構成情報を抽出するステップと、
前記抽出された情報に基いて、認証を必要とする区間が
予め定められた接続形態を認定するステップとを含む。
【0056】これにより、ネットワーク側で接続形態を
判断することができるため、接続形態に応じて認証が必
要となる各ノードのみに、必要な認証鍵または認証鍵を
生成するための資源を配布することが可能となる。
【図面の簡単な説明】
【図1】実施の形態1において、接続形態をネットワー
ク側で識別するためのフローチャートである。
【図2】実施の形態1における接続形態A〜Dの具体的
説明を示す図である。
【図3】実施の形態1における接続形態A〜Dの構成例
を示す図である。
【図4】実施の形態2における接続形態A〜Dの具体的
説明を示す図である。
【図5】実施の形態2における接続形態A〜Dの構成例
を示す図である。
【図6】AAAの管理テーブルの例を示す図である。
【図7】実施の形態2において、接続形態をネットワー
ク側で識別するためのフローチャートである。
【図8】AAAの概略構成を示す図である。
【図9】従来提案されているMobile IPを適用
した場合の基本的なネットワーク構成を示す図である。
【図10】従来提案されているMobile IPの位
置登録とAAAの連携による認証鍵の配布方法の処理シ
ーケンスを示す図である。
【図11】従来のMobile IPにおける各種認証
の種類と目的を示す図である。
【符号の説明】
MN…Mobile Node、HA…Home Ag
ent、FA…Foerign Agent、AAA…
Authentication,Authorizat
ion,Accounting、CN…Corresp
ondentNode、AR…Access Rout
er、80…AAA、81…ユーザ識別子抽出手段、8
2…ローミング契約情報抽出手段、83…網構成情報抽
出手段、84…ユーザ管理情報抽出手段、85…接続形
態認定手段、86…送信元抽出手段、87…第1〜第4
テーブル、88…接続判断手段。
フロントページの続き (72)発明者 井原 武 東京都千代田区永田町二丁目11番1号 株 式会社エヌ・ティ・ティ・ドコモ内 Fターム(参考) 5J104 AA07 KA01 KA02 MA01 PA02 5K067 CC08 DD17 HH21 HH22 HH24

Claims (15)

    【特許請求の範囲】
  1. 【請求項1】 移動通信端末とパケット通信を行う移動
    通信網における認証区間判定方法であって、 前記パケットを受信した認証管理サーバが接続する可能
    性のあるノードに関する網構成情報を導出するステップ
    と、 前記導出された情報に基いて、認証を必要とする区間が
    予め定められた接続形態を認定するステップとを含むこ
    とを特徴とする認証区間判定方法。
  2. 【請求項2】 請求項1記載の認証区間判定方法におい
    て、更に前記パケットに設定されているユーザ識別子を
    抽出するステップを含み、 前記接続形態認定ステップでは、前記抽出されたユーザ
    識別子に関する情報を加味して、認証を必要とする区間
    が予め定められた接続形態を認定することを特徴とす
    る。
  3. 【請求項3】請求項1又は2記載の認証区間判定方法に
    おいて、更に、前記移動通信端末と外部エージェントと
    の通信可否を示すローミング契約情報を抽出するステッ
    プを含み、前記接続形態認定ステップでは、前記抽出さ
    れたローミング契約情報を加味して、認証を必要とする
    区間が予め定められた接続形態を認定することを特徴と
    する。
  4. 【請求項4】請求項1,2又は3記載の認証区間判定方
    法において、更に、前記移動通信端末が所属する網を識
    別すると共に、前記移動通信端末が自網に所属している
    場合に前記認証管理サーバで管理しているかどうかを識
    別するユーザ管理情報を抽出するステップを含み、前記
    接続形態認定ステップでは、前記抽出されたユーザ管理
    情報を加味して、認証を必要とする区間が予め定められ
    た接続形態を認定することを特徴とする。
  5. 【請求項5】 前記接続形態を認定するステップは、 前記認証管理サーバへアクセスするためのメッセージの
    送出元を検出し、検出された送信元が自網の認証管理サ
    ーバであるか他網の認証管理サーバであるかに応じて接
    続形態を認定するステップと、 前記メッセージの送出元が自網の外部エージェントであ
    る場合に、自網のアクセス網をサポートしているかどう
    かによって接続形態を認定するステップとを含むことを
    特徴とする請求項1乃至4記載の認証区間判定方法。
  6. 【請求項6】 前記メッセージの送出元が自網の認証管
    理サーバである場合に、認証管理サーバ間の接続がセキ
    ュリティの確保された接続によるものかセキュリティの
    確保されていない接続を介するものかを判断するステッ
    プと、 認証管理サーバ間の接続が、セキュリティが確保された
    接続によるものである場合は、自網のアクセス網をサポ
    ートしているかどうかによって接続形態を認定するステ
    ップと、 認証管理サーバ間の接続が、セキュリティが確保されて
    いない接続を介するものである場合は、自網のアクセス
    網をサポートしているかどうかによって接続形態を認定
    するステップとを含むことを特徴とする請求項5記載の
    認証区間判定方法。
  7. 【請求項7】 請求項3記載の認証区間判定方法におい
    て、前記ローミング契約情報抽出ステップが、前記移動
    通信端末とアクセスルータとの通信可否を示すローミン
    グ契約情報を抽出することを特徴とする。
  8. 【請求項8】 前記接続形態を認定するステップは、 前記認証サーバへのアクセスするためのメッセージの送
    出元を検出し、検出された送信元が自網の認証管理サー
    バであるか他網の認証管理サーバであるかに応じて接続
    形態を認定するステップと、 前記メッセージの送出元が自網のアクセスルータである
    場合に、自網のアクセス網をサポートしているかどうか
    によって接続形態を認定するステップとを含むことを特
    徴とする請求項7記載の認証区間判定方法。
  9. 【請求項9】 前記認定された接続形態に応じて必要な
    認証鍵または認証鍵を生成するための資源を該当するノ
    ードに払い出すステップを含むことを特徴とする請求項
    1乃至8のいずれかに記載の認証区間判定方法。
  10. 【請求項10】 移動通信端末とパケット通信を行う移
    動通信網に設けられる認証区間判定装置であって、 前記パケットを受信した認証管理サーバが接続する可能
    性に関する網構成情報を導出する網構成情報導出手段
    と、 前記導出された情報に基いて、認証を必要とする区間が
    予め定められた接続形態を認定する接続形態認定手段と
    を備えることを特徴とする認証区間判定装置。
  11. 【請求項11】 請求項10記載の認証区間判定装置に
    おいて、更に、前記パケットに設定されているユーザ識
    別子を抽出するユーザ識別子抽出手段を含み、前記接続
    形態認定手段が、前記ユーザ識別子抽出手段で抽出され
    た前記ユーザ識別子更に加味して、接続形態を認定する
    ことを特徴とする。
  12. 【請求項12】 請求項10又は11記載の認証区間判
    定装置において、更に、前記移動通信端末と外部エージ
    ェントとの通信可否を示すローミング契約情報を抽出す
    るローミング契約情報抽出手段を含み、前記接続形態認
    定手段が、前記ローミング契約情報抽出手段で抽出され
    た前記ローミング契約情報を更に加味して、接続形態を
    認定することを特徴とする。
  13. 【請求項13】 請求項10,11又は12記載の認証
    区間判定装置おいて、更に、前記移動通信端末が所属す
    る網を識別すると共に、前記移動通信端末が自網に所属
    している場合に前記認証管理サーバで管理しているかど
    うかを識別するユーザ管理情報を抽出するユーザ管理情
    報抽出手段を含み、前記接続形態認定手段が、前記抽出
    されたユーザ管理情報を更に加味して、接続形態を認定
    することを特徴とする。
  14. 【請求項14】 前記接続形態認定手段は、 前記認証サーバへアクセスするためのメッセージの送出
    元を検出する送信元検出手段と、 前記検出された送信元が自網の認証管理サーバであるか
    他網の認証管理サーバであるかに応じて接続形態を定め
    る第1テーブルと、 前記メッセージの送出元が自網の外部エージェントであ
    る場合に、自網のアクセス網をサポートしているかどう
    かに応じて接続形態を定める第2テーブルとを備えるこ
    とを特徴とする請求項10乃至12記載の認証区間判定
    装置。
  15. 【請求項15】 前記メッセージの送出元が自網の認証
    管理サーバである場合に、認証管理サーバ間の接続がセ
    キュリティの確保された接続、例えばセキュリティの確
    保された接続によるものかセキュリティの確保されてい
    ない接続、例えばインターネットを介するものかを判断
    する接続判断手段と、 認証管理サーバ間の接続が信頼性のある接続よるもので
    ある場合は、自網のアクセス網をサポートしているかど
    うかに応じて接続形態を定める第3テーブルと、 認証管理サーバ間の接続が信頼性に欠ける接続を介する
    ものである場合は、自網のアクセス網をサポートしてい
    るかどうかに応じて接続形態を定める第4テーブルとを
    備えることを特徴とする請求項13記載の認証区間判定
    装置。
JP2001258246A 2001-08-28 2001-08-28 セキュリティ判定方法、およびセキュリティ判定装置 Expired - Fee Related JP4230683B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001258246A JP4230683B2 (ja) 2001-08-28 2001-08-28 セキュリティ判定方法、およびセキュリティ判定装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001258246A JP4230683B2 (ja) 2001-08-28 2001-08-28 セキュリティ判定方法、およびセキュリティ判定装置

Publications (2)

Publication Number Publication Date
JP2003070068A true JP2003070068A (ja) 2003-03-07
JP4230683B2 JP4230683B2 (ja) 2009-02-25

Family

ID=19085801

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001258246A Expired - Fee Related JP4230683B2 (ja) 2001-08-28 2001-08-28 セキュリティ判定方法、およびセキュリティ判定装置

Country Status (1)

Country Link
JP (1) JP4230683B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1905734B (zh) * 2005-07-25 2010-05-05 华为技术有限公司 一种目标基站获取鉴权密钥的方法及系统
JP2010537571A (ja) * 2007-08-17 2010-12-02 クゥアルコム・インコーポレイテッド アドホック・モバイル・サービス・プロバイダにおけるハンドオフ
US8644206B2 (en) 2007-08-17 2014-02-04 Qualcomm Incorporated Ad hoc service provider configuration for broadcasting service information
US9179367B2 (en) 2009-05-26 2015-11-03 Qualcomm Incorporated Maximizing service provider utility in a heterogeneous wireless ad-hoc network

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1905734B (zh) * 2005-07-25 2010-05-05 华为技术有限公司 一种目标基站获取鉴权密钥的方法及系统
JP2010537571A (ja) * 2007-08-17 2010-12-02 クゥアルコム・インコーポレイテッド アドホック・モバイル・サービス・プロバイダにおけるハンドオフ
US8644206B2 (en) 2007-08-17 2014-02-04 Qualcomm Incorporated Ad hoc service provider configuration for broadcasting service information
US9167426B2 (en) 2007-08-17 2015-10-20 Qualcomm Incorporated Ad hoc service provider's ability to provide service for a wireless network
US9392445B2 (en) 2007-08-17 2016-07-12 Qualcomm Incorporated Handoff at an ad-hoc mobile service provider
US9398453B2 (en) 2007-08-17 2016-07-19 Qualcomm Incorporated Ad hoc service provider's ability to provide service for a wireless network
US9179367B2 (en) 2009-05-26 2015-11-03 Qualcomm Incorporated Maximizing service provider utility in a heterogeneous wireless ad-hoc network

Also Published As

Publication number Publication date
JP4230683B2 (ja) 2009-02-25

Similar Documents

Publication Publication Date Title
CN1650576B (zh) 在wlan漫游时用于gsm鉴权的方法和系统
KR101401605B1 (ko) 접속에 특화된 키를 제공하기 위한 방법 및 시스템
US8477945B2 (en) Method and server for providing a mobile key
US9686669B2 (en) Method of configuring a mobile node
JP4586071B2 (ja) 端末へのユーザポリシーの提供
KR100651716B1 (ko) Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템
US9113332B2 (en) Method and device for managing authentication of a user
US8533471B2 (en) Method and server for providing mobility key
US7213144B2 (en) Efficient security association establishment negotiation technique
US20080026724A1 (en) Method for wireless local area network user set-up session connection and authentication, authorization and accounting server
CN101006682B (zh) 快速网络附着
US9043599B2 (en) Method and server for providing a mobility key
US20040066769A1 (en) Method and system for establishing a connection via an access network
US20040153555A1 (en) Method and apparatus enabling reauthentication in a cellular communication system
WO2000002406A2 (en) System and method for authentication in a mobile communications system
EP1741308A1 (en) Improved subscriber authentication for unlicensed mobile access signaling
JP2004241976A (ja) 移動通信ネットワークシステムおよび移動端末認証方法
JP5044690B2 (ja) Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て
EP1629653B1 (en) Secure traffic redirection in a mobile communication system
WO2006079953A1 (en) Authentication method and device for use in wireless communication system
JP2003070068A (ja) 認証区間判定方法、および認証区間判定装置
CN101355578B (zh) 基于radius和diameter协议的移动ip应用的兼容方法及系统
US8817786B2 (en) Method for filtering packets coming from a communication network
KR100628304B1 (ko) 모바일 네트워크에서의 핸드오프 방법 및 그 시스템
EP1443712B1 (en) A method and a system for controlling handoff of a terminal

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041012

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070116

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070319

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080108

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080229

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081202

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081204

R150 Certificate of patent or registration of utility model

Ref document number: 4230683

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111212

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111212

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121212

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121212

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131212

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees