JP2004304710A - Authentication method for wireless connection apparatus - Google Patents
Authentication method for wireless connection apparatus Download PDFInfo
- Publication number
- JP2004304710A JP2004304710A JP2003098038A JP2003098038A JP2004304710A JP 2004304710 A JP2004304710 A JP 2004304710A JP 2003098038 A JP2003098038 A JP 2003098038A JP 2003098038 A JP2003098038 A JP 2003098038A JP 2004304710 A JP2004304710 A JP 2004304710A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- authentication server
- intranet
- client terminal
- access point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、無線LANやBluetooth等の無線通信機能を有する端末による小規模なLAN環境であるPAN(Personal Area Network)をセキュアに構築する際に用いられる無線接続装置の認証方法に関するものである。
【0002】
【従来の技術】
従来、無線LANやBluetoothでは、その通信媒体として電波を用いるため、通信先の制限が難しいという問題があった。このため、これらの規格では、通信先毎に暗号鍵を変更することで、たとえパケットを覗き見られても、それを解読できないようにするといった防御手段が執られている。
【0003】
現在、最も一般的な無線通信の暗号化手段は、IEEE802.11(以下「802.11」)方式であればWEPキー(40bit,128bit)による暗号化であり、またBluetooth方式であれば、Pinコードから自動生成される128bitの暗号鍵による暗号化である。しかし、これらの暗号化方式にも脆弱性があることが指摘されており、無線通信の安全性を更に高めるための暗号化方式として、802.11方式では、802.1xベースの認証を実施した上での動的WEPキー変換(EAP)やTKIP,AESといった、更に高度な暗号化方式、Bluetooth方式では、802.1xベースの上位アプリケーション層での認証・暗号化方式などが検討され、一部実施されている。この中でも802.1xをベースとしたEAP(Extensible Authentication Protocol)方式と呼ばれる認証・暗号化手段は、一部のOS環境において、802.11方式向けの認証・暗号化手段として標準的に実装されている。
【0004】
無線LAN(802.11)におけるEAP方式は、クライアント端末がネットワーク接続要求を行う際に、無線接続装置であるアクセスポイントを介して、TCP/IPの一部ポートを利用してイントラネットやインターネット上に設けられた認証サーバ(RADIUSサーバ等)とデータ通信を行い、認証サーバからクライアント端末への証明書の要求又はチャレンジを実施する。クライアント端末は、証明書所有の証明を行うか、チャレンジに対してアカウント名とパスワードとを返し、それらが認証サーバ内のデータと一致すれば、認証サーバはクライアント端末のネットワーク接続を許可し、無線通信を暗号化するための128bitの暗号鍵又は暗号鍵生成パラメータをアクセスポイントとクライアント端末に返す。
【0005】
このようなプロセスを経て、クライアント端末が認証サーバによる認証にパスすると、それ以降の無線通信は、128bitの暗号鍵をWEPキーとしてクライアント端末とアクセスポイントとの両者間で利用することで暗号化される。更に、このようなプロセスは一定時間毎に定期的に実施され、暗号鍵の更新を行う。
【0006】
また、Bluetooth方式では、無線通信機能を有する各端末で構築される小規模なLAN環境であるPAN(Personal Area Network)プロファイルにおいてセキュリティ向上のために802.1x認証・暗号化手段を用いることが推奨されている。このBluetoothの場合、無線媒体である電波を暗号化するための鍵の生成はBluetooth方式で通信を行うデバイス間のPinコードによる相互認証によって自動的に生成されるため、認証サーバから受け取った暗号鍵情報を、無線LANで用いられているWEPキーのような電波そのものの暗号化鍵としては利用できないが、無線媒体として電波を生成する前段階でパケットを暗号化する際の鍵として利用することで、二重に暗号化し通信のセキュリティを向上させることができる。
【0007】
以上述べてきた802.1x方式の認証・暗号化プロセスでは、認証を実施するための認証サーバがイントラネットなどのネットワーク内に存在し、その認証サーバがクライアント端末のアカウントを集中管理している。このため、802.1x方式を用いるならば、クライアント端末がどこにいても、認証サーバとのTCP/IPによる通信が実施可能な場合、同一アカウント及びパスワードを用いてイントラネットなどの基幹ネットワークに接続することができる。
【0008】
【発明が解決しようとする課題】
このように、上述した802.1x方式による認証・暗号化プロセスを用いることで、クライアント端末は無線通信を用いた安全なネットワーク接続を実現できる。但し、そのためには、ネットワーク内に認証サーバが設置され、かつ、その認証サーバには、予めクライアント端末のアカウントが登録されている必要がある。即ち、802.1x方式は、比較的規模の大きなイントラネット等の基幹ネットワーク上での運用を想定した方式であり、無線によるネットワーク接続を行うクライアント端末も認証サーバ上にアカウントを持ったメンバに限定されるといった制限があった。
【0009】
このため、認証サーバ上にアカウントの無い外来者が参加するミーティングを行う場合やイントラネット等の基幹ネットワークへの接続手段がない社外の会議室等でのミーティングを行う場合は、802.1x方式による認証・暗号化プロセスを利用した無線通信による安全なネットワーク構築ができないという不具合があった。
【0010】
尚、その際に、認証・暗号化を行うことなく、無線通信は実現可能であるが、セキュリティの面から大きな問題がある。
【0011】
また、手作業により無線通信用のパラメータを設定すれば、無線通信の暗号化は可能であるが、クライアント端末はイントラネット等の基幹ネットワーク上で通常利用する802.1x方式のアカウント及びパスワードの入力による自動接続とは、全く異なる接続手段を手動で行わなければならない。また、手作業による無線通信用パラメータの設定では、暗号鍵を一定時間毎に変更することも自動的には実施不可能であるため、安全性が損なわれる。
【0012】
上述のような不具合を無くすためには、PANを構築するメンバのために802.1x方式に対応した専用の認証サーバを設け、その認証サーバ上でPAN構成者を一元管理すれば良い。しかし、そうした場合、イントラネット等の基幹ネットワーク側に存在する正規の認証サーバにアカウントを所有するユーザも、PAN構築専用の認証サーバによって認証が行われるため、無線通信は暗号化されるもののイントラネット等の基幹ネットワークへのアクセスのために、再度、認証作業が必要であったり、或いはイントラネットへのアクセスに障害がでたりと言った不都合が生じる。
【0013】
本発明は、上記課題を解決するためになされたもので、基幹ネットワーク側に設けられた正規の認証サーバにアカウントを有するユーザを一回の認証処理で、基幹ネットワークと小規模なネットワーク双方への接続を許可することを目的とする。
【0014】
また、本発明は、基幹ネットワーク側に設けられた正規の認証サーバによって認証がなされなかったユーザの基幹ネットワークへのアクセスを禁止することを目的とする。
【0015】
本発明の更なる目的は、基幹ネットワーク側に設けられた正規の認証サーバによって認証がなされなかったユーザに対して小規模なネットワークへのアクセスに限って可能とすることである。
【0016】
本発明の更なる目的は、基幹ネットワーク側に設けられた正規の認証サーバによる認証可否を判断するための方法を提供することである。
【0017】
本発明の更なる目的は、基幹ネットワークが存在しない状態でアクセスポイントを使用する場合や基幹ネットワーク上に認証サーバが無い環境下でアクセスポイントを使用する場合に、クライアントの接続処理を迅速化することである。
【0018】
本発明の更なる目的は、クライアントに対してアクセスポイントによって発行されたアカウントや証明書を、会議などの期間内のみ有効とし、それ以降は無効化して会議非参加者の不正アカウント発生を防止することである。
【0019】
本発明の更なる目的は、アクセスポイントから一時的なアカウントや証明書の発行を受けるクライアントが、再認証実施時にネットワークの一時的な切断等の不具合を被ることを回避することである。
【0020】
【課題を解決するための手段】
上記目的を達成するために、本発明は、基幹ネットワークに接続され、無線通信により無線端末装置と接続する無線接続装置の認証方法であって、無線端末装置から無線通信による認証要求を受信する工程と、受信した認証要求を基幹ネットワークへ転送し、該認証要求に対する認証処理が基幹ネットワークで失敗した場合に、前記無線端末装置に対する一時的な認証処理を行う工程とを有することを特徴とする。
【0021】
【発明の実施の形態】
以下、図面を参照しながら本発明に係る実施の形態を詳細に説明する。
【0022】
図1は、本実施形態における無線ネットワークシステムの構成を示す図である。図1において、100は本実施形態のアクセスポイントであり、IEEE802.11やBluetooth等の無線通信手段によって安全なネットワークを構築する。アクセスポイント100において、101は無線通信回路部であり、無線通信手段により後述するクライアント端末との間で無線による通信を行う。102は認証サーバ機能部であり、後述するイントラネット上の認証サーバに代わってクライアント端末の認証処理を行う。103は証明書サーバ機能部であり、認証サーバ機能部102により認証されたクライアント端末へ証明書の発行を行う。104は表示部であり、アクセスポイント100からの一時認証のためのメッセージを表示する。
【0023】
110は無線媒体であり、802.11やBluetooth等の電波による無線通信手段である。111、112はPDA(Personal Digital Assistants)であり、アクセスポイント100と無線で接続する。113、114はノート型パソコン(PC)であり、アクセスポイント100と無線で接続する。120はアクセスポイント100と接続されたイントラネットやインターネットなどの基幹ネットワーク(以下「イントラネット」と称す)である。121はイントラネット120上に設けられた認証サーバであり、クライアント端末からの認証要求により認証処理を行う。122はイントラネット120上に設けられた証明書サーバである。尚、本実施形態では、上述のアクセスポイント100と無線通信手段110を介して接続されるPDA111、112、ノート型パソコン113、114を「クライアント端末」と称す。
【0024】
ここで、以下の説明を容易にするために、クライアント端末113はイントラネット120上の証明書サーバ122によって発行された証明書を所有しているか、イントラネット120上の認証サーバ121にアカウントを有するクライアント端末であると仮定する。同様に、クライアント端末114はイントラネット120上の証明書サーバ122によって発行された証明書を所有しておらず、かつイントラネット120上の認証サーバ121にアカウントを有していないクライアント端末であると仮定する。
【0025】
図2は、クライアント端末113がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。図2に示すように、クライアント端末113が、アクセスポイント100の無線通信回路部101と802.11アソシエーション(200)の一連のやり取りを実施した後に、EAP認証プロセス(201〜207)を開始する。先ず、クライアント端末113は無線通信回路部101に対してEAP認証を行うことを宣言し(201)、この宣言に呼応して、無線通信回路部101がEAP認証のための身分証明要求(202)をクライアント端末113に送信する。これに答えて、クライアント端末113は、無線通信回路部101に対してユーザID付きのEAP−Response(203)を送信する。そして、無線通信回路部101は受信パケットをイントラネット120上に存在する認証サーバ121に向けて転送する(210)。
【0026】
これにより、認証サーバ121は、クライアント端末113からの認証要求(210)に反応し、認証サーバ121内のデータベースに対して認証要求(210)に添付されたユーザIDに相当するユーザが登録されているか否かを検索する。ここで、対応するユーザが登録されていた場合には、無線通信回路部101を経由してクライアント端末113へ、認証のためのチャレンジ(211、204)を送信する。このチャレンジ(204)を受けたクライアント端末113は、そのチャレンジに対応する回答(一般的にはパスワードや証明書の内容)を無線通信回路部101経由でイントラネット120上の認証サーバ121へと返す(205、212)。そして、認証サーバ121は、クライアント端末113から返されたチャレンジ回答(212)の内容を吟味し、自身のデータベースに記録された認証データと一致していれば、認証OKを無線通信回路部101経由でクライアント端末113へ送信する(213、206)。ここでWEPキー等の無線通信用暗号鍵を変更する場合には、無線通信回路部101から無線通信用暗号鍵情報(207)がクライアント端末113へ送信される。
【0027】
上述のEAP認証プロセス(201〜207)が終了した後、クライアント端末113は、アクセスポイント100経由のイントラネット120へのアクセスが許可される。この際、イントラネット120上の認証サーバ121による認証がなされたクライアント端末113に対しては、イントラネット120だけでなく、アクセスポイント100を経由して接続された他のクライアント端末111、112、114へのPANアクセスも許可されることは言うまでもない。また、WEPキーの動的変更を実施する場合は、上述のプロセスが一旦完了した後、定期的に無線通信回路部101よりEAP認証のための身分証明要求(202)をクライアント端末113に送信する。そして、上述の処理と同様の再認証及び新しいWEPキーに関する無線通信用暗号鍵情報送信(202〜207)のプロセスを繰り返し実行することで、WEPキーの動的変更を実現する。
【0028】
上述の認証プロセスは、一般的なEAP認証の実施プロセスと何ら変わりない。即ち、本実施形態ではイントラネット120側の認証サーバ121にアカウントが存在するクライアント端末113に対しては、通常のEAP認証と同一の動作を行う。一方、イントラネット120上の証明書サーバ122によって発行された証明書を所有しておらず、かつ、イントラネット120上の認証サーバ121にアカウントを有していないクライアント端末114の場合は、一般的なEAP認証プロセスとは異なる動作を行う。
【0029】
図3は、クライアント端末114がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。図3に示すように、クライアント端末114も、アクセスポイント100の無線通信回路部101と802.11アソシエーション(300)の一連のやり取りを実施した後に、EAP認証プロセス(301〜309)を開始する。先ず、クライアント端末114は無線通信回路部101に対してEAP認証を行うことを宣言し(301)、この宣言に呼応して、無線通信回路部101がEAP認証のための身分証明要求(302)をクライアント端末114に送信する。これに答えて、クライアント端末114は、無線通信回路部101に対してユーザID付きのEAP−Response(303)を送信する。そして、無線通信回路部101は受信パケットをイントラネット120上に存在する認証サーバ121に向けて転送する(310)。ここまでの処理は、上述した一般的なEAP認証プロセスと全く同一である。
【0030】
ここで、上述の認証サーバ121は、クライアント端末114からの認証要求(310)に反応し、認証サーバ121内のデータベースに対して認証要求(310)に添付されたユーザIDに相当するユーザが登録されているか否かを検索するが、対応するユーザは登録されていないため、認証拒否応答(311)を無線通信回路部101へ送信する。そして、認証拒否応答(311)を受け取った無線通信回路部101は、一般的なEAP認証プロセスで行う認証拒否応答のクライアント端末114への転送を行わず、アクセスポイント100内に設けられた認証サーバ機能部102と証明書サーバ機能部103で、クライアント端末114用に新規に一時証明書又は一時アカウントを作成し、作成した一時証明書又は認証処理に必要な情報を、クライアント端末114へ無線通信手段110を用いて配布する。
【0031】
図4は、一時証明書又は一時アカウントの作成配布処理を示すフローチャートである。まずステップS401において、イントラネット120上の認証サーバ121によって認証を拒否された場合はステップS402へ進み、クライアント端末114がPAN参加資格を有しない不正ユーザである可能性があるため、アクセスポイント100内の認証サーバ機能部102や証明書サーバ機能部103で一時証明書や一時アカウントの発行を行う前に、クライアント端末所有者の個人情報をアクセスポイント100の表示部104にリスト表示する。そして、ステップS403において、PAN管理者が手入力によってPAN参加の可否入力を行う。具体的には、PAN管理者はアクセスポイント100の表示部104に表示された個人情報を見て、PAN参加者の更新や削除作業を実施した後、PAN参加者リストが過不足無いものになったら、リストの承認を行う。
【0032】
次に、ステップS404において、承認の結果、PAN参加資格を有するクライアントであるか否かを判定し、PAN参加資格を有するクライアントであればステップS405へ進み、証明書サーバ機能部103に一時証明書の発行を要求し、ステップS406で認証サーバ機能部102が一時アカウントを作成し、ステップS407で証明書、一時アカウント及び一時パスワードの情報をクライアントへ配布し、ステップS408で配布した一時認証情報によるEAP認証のための身分証明要求をクライアントへ送信する。また、ステップS404において、不正参加者などの正規のクライアントでない場合はステップS409へ進み、認証拒否をクライアント端末114へ転送し、PAN接続の許可を与えない。
【0033】
また、アクセスポイント100における一時証明書や一時アカウントの発行と配布処理(S405〜S408)において、EAP認証に一時証明書を利用せず、一時アカウント及び一時パスワードのみを使用するEAP−MD5等を利用する場合には、一時証明書の発行処理(S405)を省略できることは言うまでもない。
【0034】
ここで図3に戻り、配布終了後、無線通信回路部101は、EAP認証のための身分証明要求(304)をクライアント端末114へ再送信する。これに答えて、クライアント端末114は、無線通信回路部101経由で認証サーバ機能部102に対して新規に配布された一時証明書又は一時アカウントを用いてユーザID付きのEAP−Response(305)を送信する。これを受けて、無線通信回路部101は、受信したパケットをイントラネット120上に存在する認証サーバ121ではなく、アクセスポイント100内に内蔵された認証サーバ機能部102へ転送する(312)。
【0035】
これにより、アクセスポイント100内の認証サーバ機能部102は、クライアント端末114からの認証要求(312)に反応し、認証サーバ機能部102内のデータベースに対して認証要求(312)に添付されたユーザIDに相当するユーザが登録されているか否かを検索する。このユーザIDは、上述した一時証明書又は一時アカウント作成の際に認証サーバ機能部102内のデータベースに登録されているため、アクセスポイント100内の認証サーバ機能部102は無線通信回路部101を経由してクライアント端末114へ、認証のためのチャレンジ(313、306)を送信する。このチャレンジ(306)を受けたクライアント端末114は、そのチャレンジに対応する回答(先立って配布された一時パスワードや一時証明書の内容やそれを加工した物)を、無線通信回路部101を経由してアクセスポイント100内の認証サーバ機能部102へと返す(307、314)。そして、認証サーバ機能部102は、クライアント端末114から返されたチャレンジ回答(314)の内容を吟味する。
【0036】
このチャレンジ回答は、上述した一時証明書又は一時アカウント作成の際に認証サーバ機能部102内のデータベースに登録された情報より導き出されるため、アクセスポイント100内の認証サーバ機能部102は認証OK(315)を無線通信回路部101経由でクライアント端末114へ送信する。ここで、WEPキー等の無線通信用暗号鍵を変更する場合は、無線通信回路部101から無線通信用暗号鍵情報(309)がクライアント端末114へ送信される。
【0037】
上述のEAP認証プロセス(301〜309)が終了した後、クライアント端末114は、イントラネット120を除くアクセスポイント100を経由して接続された他のクライアント端末111、112、113へのPAN接続も許可される。また、WEPキーの動的変更を実施する場合は、上述のプロセスが一旦完了した後、定期的に無線通信回路部101よりEAP認証のための身分証明要求(304)をクライアント端末114に送信する。そして、上述の処理と同様の再認証及び新しいWEPキーに関する無線通信用暗号鍵情報送信(304〜309)のプロセスを繰り返し実行することで、WEPキーの動的変更を実現する。
【0038】
尚、図4に示すフローチャートにおけるイントラネット120上の認証サーバ121による認証可否の判定(S401)は、タイムアウトか認証拒否パケットの有無によって判断するものである。また、タイムアウト判定は、クライアント端末114がアクセスポイント100の無線通信回路部101経由で認証サーバ121に対してユーザID付きのEAP−Response(303)を送信し、これを受けた無線通信回路部101が受信パケットをイントラネット120上に存在する認証サーバ121に向けて転送した後、予めアクセスポイント100に設定したタイムアウト時間までにそのパケットに対するレスポンスがなされなかった場合に、タイムアウトと判断し、以降の処理(S402以降)へ進める。これは、イントラネット120上に認証サーバ121が存在しない様な場合に有効な判定処理である。
【0039】
また、認証拒否パケットの有無による判定は、図3に示す認証拒否応答(311)を無線通信回路部101でモニタし、そのパケットの有無によってイントラネット120上の認証サーバ121による認証可否を判定する。これは、クライアント端末114が、アカウントを有しない認証サーバ121が存在するイントラネット120に対してユーザID付きのEAP−Response(303)を送信する際には、タイムアウト待ち等による無駄な待ち時間を無くせる点で有効な判定処理である。
【0040】
従って、アクセスポイント100の無線通信回路部101で、イントラネット120上の認証サーバ121による認証可否の自動判定を最も効率良く行うためには、上述の判定方法を組み合わせて「認証拒否パケットが発行されるか、タイムアウト時間内にレスポンスが無かった場合は認証不可と判断する」ことが好ましい。
【0041】
また、本実施形態におけるアクセスポイント100は、携帯して利用するような場合も考えられるため、アクセスポイント100の設置状況が頻繁に変わることが想定される。即ち、アクセスポイント100がイントラネット120に接続されて使用されたり、イントラネット120の存在なしに使用される場合が考えられる。
【0042】
このように、事前にイントラネット120の有無が判明しているような場合に備え、アクセスポイント100上にスイッチを設け、そのスイッチによってクライアント端末から無線通信回路部101経由で認証サーバ121に対して送信されるユーザID付きのEAP−Response(210、310)をイントラネット120へ転送するか否かを設定可能としても良い。
【0043】
尚、このスイッチは物理スイッチ、ソフトスイッチの何れでも構わない。このようなスイッチを設けることで、イントラネット120が存在しないことが事前に分かっている環境でアクセスポイント100を使用する際に、このスイッチをイントラネット120への転送不要に設定すれば、図3に示す310、311のプロセスを省略できるため、一時証明書や一時アカウントの発行処理への移行を迅速に行うことが可能となり、ユーザの利便性を向上させることができる。
【0044】
また、図3に示したイントラネット120上の認証サーバ121にアカウントを持たないクライアント端末114がアクセスポイント100との間に無線通信による接続を確立しようとする際の認証処理プロセスでは、クライアント端末からユーザID付きのEAP−Responseが複数回発生する(303、305)。そこで、1回目のEAP−Response(303)はイントラネット120上の認証サーバ121へ転送し、それ以降のEAP−Response(305)はアクセスポイント100内の認証サーバ機能部102へ確実に転送する必要がある。この転送を正しく実現するために、無線通信回路部101では、あるクライアント端末のイントラネット120上の認証サーバ121による認証可否の履歴又はあるクライアント端末への一時証明書や一時アカウントの発行有無の履歴から転送先を決定すれば良い。
【0045】
つまり、あるクライアント端末のイントラネット120上の認証サーバ121による認証可否の履歴による判定を行う場合は、イントラネット120上の認証サーバ121による認証履歴が無いか、或いは認証に成功したクライアント端末については、常にイントラネット120上の認証サーバ121へEAP−Responseの転送を行い、またイントラネット120上の認証サーバ121による認証に失敗したクライアント端末については、常にアクセスポイント100内の認証サーバ機能部102へEAP−Responseの転送を行う。
【0046】
また、任意のクライアント端末への一時証明書や一時アカウントの発行有無の履歴による転送先判定は、任意のクライアント端末に対してアクセスポイント100内の認証サーバ機能部102や証明書サーバ機能部103による一時証明書や一時アカウントの発行履歴が無い場合はイントラネット120上の認証サーバ121へEAP−Responseの転送を行い、一時証明書や一時アカウントの発行履歴がある場合はアクセスポイント100内の認証サーバ機能部102へEAP−Responseの転送を行う。
【0047】
このようにして、クライアント端末から送信されるユーザID付きのEAP−Responseの転送先を決定することにより、動的にWEPキーを変更する際に繰り返されるユーザID付きのEAP−Responseを、そのクライアント端末を認証した認証サーバ(イントラネット120上の認証サーバ102、或いはアクセスポイント100内の認証サーバ機能部121)へ確実に転送することができ、ネットワーク接続の一時切断等の不具合を防止することができる。
【0048】
また、本実施形態で説明したアクセスポイント100を中心として構築されるPANは、恒久的に存在するものではなく、テンポラリに構築されるものである。従って、アクセスポイント100内の認証サーバ機能部102や証明書サーバ機能部103によって発行された一時証明書や一時アカウントは、恒久的に有効なものであってはならない。このため、これらの一時証明書や一時アカウントは、PAN構築期間が終了したら速やかに無効化する必要がある。この無効化のための方法としては、以下のものが考えられる。
【0049】
第1の方法は、アクセスポイント100に対して、会議の終了通知やスイッチ操作等のトリガが与えられた際に、それまで有効であった一時証明書や一時アカウントをアクセスポイント100側で破棄する方法である。
【0050】
第2の方法は、PAN構築時にユーザによってアクセスポイント100へ入力されたPAN構築予定時間が終了した場合に、それまで有効であった一時証明書や一時アカウントをアクセスポイント100側で破棄する方法である。
【0051】
第3の方法は、PAN構築時から一定時間(数時間が好ましい)が経過した後、無条件にそれまで有効であった一時証明書や一時アカウントをアクセスポイント100側で破棄する方法である。
【0052】
第4の方法は、アクセスポイント100から一時証明書や一時アカウントを発行する際に、ユーザによってアクセスポイント100へ入力されたPAN構築予定時間か、ある一定時間(数時間が好ましい)の有効期限情報(日付や時間情報)を一時証明書や一時アカウント内に設定しておき、認証毎に、その有効期限情報をチェックし、有効期限が経過した後は失効し、アクセスポイント100の認証サーバ機能部102や証明書サーバ機能部103が新たな一時証明書や一時アカウントを再発行しない限り、ネットワーク接続を不可能とする方法である。これらの接続時間制限は、セキュリティの上から有効である。
【0053】
以上説明したように、本実施形態によれば、イントラネット上の認証サーバに正規のアカウントを持つユーザや、認証サーバで有効な証明書を有するユーザを1回の認証処理でイントラネットとテンポラリに構築されるPAN(Personal Area Network)へセキュアに無線接続することができる。また、認証サーバにアカウントを持たない部外者等に対しても、テンポラリに構築されるPANへのセキュアな無線接続を実現することができる。このような無線接続構築のニーズは、会議等でテンポラリに安全なネットワークを構築したい場合等に最適である。
【0054】
尚、本発明は複数の機器(例えば、ホストコンピュータ,インターフェース機器,リーダ,プリンタなど)から構成されるシステムに適用しても、1つの機器からなる装置(例えば、複写機,ファクシミリ装置など)に適用しても良い。
【0055】
また、本発明の目的は前述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記録媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(CPU若しくはMPU)が記録媒体に格納されたプログラムコードを読出し実行することによっても、達成されることは言うまでもない。
【0056】
この場合、記録媒体から読出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコードを記憶した記録媒体は本発明を構成することになる。
【0057】
このプログラムコードを供給するための記録媒体としては、例えばフロッピー(登録商標)ディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,磁気テープ,不揮発性のメモリカード,ROMなどを用いることができる。
【0058】
また、コンピュータが読出したプログラムコードを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0059】
更に、記録媒体から読出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部又は全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0060】
【発明の効果】
以上説明したように、本発明によれば、基幹ネットワーク側に設けられた正規の認証サーバにアカウントを有するユーザを一回の認証処理で、小規模なネットワークへの接続を許可することにより、ユーザの利便性を向上させることが可能となる。
【図面の簡単な説明】
【図1】本実施形態における無線ネットワークシステムの構成を示す図である。
【図2】クライアント端末113がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。
【図3】クライアント端末114がアクセスポイント100との間に無線通信による接続を確立する場合の認証処理を示す遷移図である。
【図4】一時証明書又は一時アカウントの作成配布処理を示すフローチャートである。
【符号の説明】
100 アクセスポイント
101 無線通信回路部
102 認証サーバ
103 証明書サーバ
104 表示部
110 無線通信手段
111 PDA(Personal Digital Assistants)
112 PDA(Personal Digital Assistants)
113 ノート型パソコン
114 ノート型パソコン
120 基幹ネットワーク(イントラネット)
121 認証サーバ
122 証明書サーバ[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an authentication method of a wireless connection device used when a PAN (Personal Area Network), which is a small-scale LAN environment, is securely constructed by a terminal having a wireless communication function such as a wireless LAN or Bluetooth.
[0002]
[Prior art]
Conventionally, in a wireless LAN or Bluetooth, there is a problem that it is difficult to limit a communication destination because radio waves are used as a communication medium. For this reason, in these standards, protection measures are taken to change the encryption key for each communication destination so that even if a packet is peeped, it cannot be decrypted.
[0003]
At present, the most common encryption method for wireless communication is encryption using a WEP key (40 bits, 128 bits) in the case of the IEEE 802.11 (hereinafter, “802.11”) method, and Pin in the case of the Bluetooth method. This is encryption using a 128-bit encryption key automatically generated from the code. However, it has been pointed out that these encryption schemes are also vulnerable. In the 802.11 scheme, 802.1x-based authentication was performed as an encryption scheme for further enhancing the security of wireless communication. More advanced encryption methods such as dynamic WEP key conversion (EAP), TKIP, and AES above, and the Bluetooth method, such as authentication / encryption methods in the upper application layer based on 802.1x, have been studied. It has been implemented. Among them, an authentication / encryption unit called an EAP (Extensible Authentication Protocol) system based on 802.1x is standardly mounted as an authentication / encryption unit for the 802.11 system in some OS environments. I have.
[0004]
In the EAP method in the wireless LAN (802.11), when a client terminal makes a network connection request, it uses an access point, which is a wireless connection device, to use a partial TCP / IP port on an intranet or the Internet. Data communication is performed with the provided authentication server (such as a RADIUS server), and a request for a certificate or a challenge from the authentication server to the client terminal is performed. The client terminal performs proof of possession of the certificate or returns an account name and password in response to the challenge, and if they match the data in the authentication server, the authentication server permits the client terminal to connect to the network and establishes a wireless connection. A 128-bit encryption key or an encryption key generation parameter for encrypting communication is returned to the access point and the client terminal.
[0005]
When the client terminal passes the authentication by the authentication server through such a process, the subsequent wireless communication is encrypted by using the 128-bit encryption key as the WEP key between the client terminal and the access point. You. Further, such a process is periodically performed at regular intervals to update the encryption key.
[0006]
In the Bluetooth system, it is recommended to use 802.1x authentication / encryption means for improving security in a PAN (Personal Area Network) profile which is a small LAN environment constructed by terminals having a wireless communication function. Have been. In the case of Bluetooth, a key for encrypting radio waves as a wireless medium is automatically generated by mutual authentication using a PIN code between devices performing communication in the Bluetooth system, so that the encryption key received from the authentication server is generated. Although the information cannot be used as an encryption key for the radio wave itself such as a WEP key used in a wireless LAN, it can be used as a key for encrypting a packet before generating a radio wave as a wireless medium. , It is possible to improve the security of communication by double encryption.
[0007]
In the above-described 802.1x-based authentication / encryption process, an authentication server for performing authentication exists in a network such as an intranet, and the authentication server centrally manages the account of the client terminal. For this reason, if the 802.1x method is used, no matter where the client terminal is located, if TCP / IP communication with the authentication server can be performed, use the same account and password to connect to a backbone network such as an intranet. Can be.
[0008]
[Problems to be solved by the invention]
As described above, the client terminal can realize a secure network connection using wireless communication by using the above-described authentication / encryption process based on the 802.1x method. However, in order to do so, it is necessary that an authentication server is installed in the network, and an account of the client terminal is registered in the authentication server in advance. In other words, the 802.1x system is a system assuming operation on a backbone network such as a relatively large intranet, and client terminals for wireless network connection are limited to members having an account on the authentication server. There was a restriction such as.
[0009]
Therefore, when a meeting in which a visitor who does not have an account on the authentication server participates or a meeting is performed in a conference room outside the company where there is no means for connecting to a backbone network such as an intranet, authentication using the 802.1x method is performed. -There was a problem that a secure network could not be constructed by wireless communication using the encryption process.
[0010]
In this case, wireless communication can be realized without performing authentication / encryption, but there is a major problem in terms of security.
[0011]
If parameters for wireless communication are set manually, wireless communication can be encrypted. However, the client terminal is required to input an account and password of an 802.1x system normally used on a backbone network such as an intranet. Automatic connection requires a completely different means of connection to be made manually. Further, in the manual setting of the wireless communication parameters, it is impossible to automatically change the encryption key at regular intervals, so that the security is impaired.
[0012]
In order to eliminate the above-mentioned problems, a dedicated authentication server compatible with the 802.1x method may be provided for members configuring the PAN, and the PAN constituent may be centrally managed on the authentication server. However, in such a case, even a user who has an account on a legitimate authentication server existing on the backbone network such as an intranet is authenticated by an authentication server dedicated to PAN construction. For the access to the backbone network, there are disadvantages such as the necessity of the authentication work again or the failure of the access to the intranet.
[0013]
The present invention has been made in order to solve the above-mentioned problem, and a user having an account on a legitimate authentication server provided on a backbone network can perform a single authentication process to both a backbone network and a small network. The purpose is to allow the connection.
[0014]
Another object of the present invention is to prohibit a user who has not been authenticated by an authorized authentication server provided on the backbone network from accessing the backbone network.
[0015]
A further object of the present invention is to allow a user who has not been authenticated by an authorized authentication server provided on the backbone network to access only a small network.
[0016]
A further object of the present invention is to provide a method for determining whether or not authentication can be performed by a legitimate authentication server provided on the backbone network.
[0017]
A further object of the present invention is to speed up a client connection process when using an access point in a state where there is no backbone network or when using an access point in an environment where there is no authentication server on the backbone network. It is.
[0018]
A further object of the present invention is to make an account or certificate issued by an access point to a client valid only during a period such as a conference, and thereafter invalidate the certificate or certificate to prevent occurrence of an unauthorized account of a non-conference participant. That is.
[0019]
A further object of the present invention is to prevent a client receiving a temporary account or certificate from an access point from suffering a problem such as a temporary disconnection of a network when performing re-authentication.
[0020]
[Means for Solving the Problems]
To achieve the above object, the present invention provides a method of authenticating a wireless connection device connected to a backbone network and connected to a wireless terminal device by wireless communication, comprising: receiving an authentication request by wireless communication from the wireless terminal device. Transferring the received authentication request to the backbone network, and performing a temporary authentication process for the wireless terminal device when the authentication process for the authentication request fails in the backbone network.
[0021]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[0022]
FIG. 1 is a diagram illustrating a configuration of a wireless network system according to the present embodiment. In FIG. 1,
[0023]
[0024]
Here, in order to facilitate the following description, the
[0025]
FIG. 2 is a transition diagram showing an authentication process when the
[0026]
As a result, the
[0027]
After the above-described EAP authentication process (201 to 207) is completed, the
[0028]
The above-described authentication process is no different from a general EAP authentication implementation process. That is, in the present embodiment, the same operation as the normal EAP authentication is performed for the
[0029]
FIG. 3 is a transition diagram illustrating an authentication process when the
[0030]
Here, the above-described
[0031]
FIG. 4 is a flowchart showing a process for creating and distributing a temporary certificate or a temporary account. First, in step S401, when the authentication is rejected by the
[0032]
Next, in step S404, as a result of the approval, it is determined whether or not the client has the PAN participation qualification. If the client has the PAN participation qualification, the process proceeds to step S405. Is issued, the authentication
[0033]
In the issuance and distribution processing of the temporary certificate and the temporary account in the access point 100 (S405 to S408), EAP-MD5 or the like that uses only the temporary account and the temporary password without using the temporary certificate for EAP authentication is used. In this case, it goes without saying that the temporary certificate issuing process (S405) can be omitted.
[0034]
Here, returning to FIG. 3, after the distribution is completed, the wireless
[0035]
As a result, the authentication
[0036]
Since this challenge response is derived from the information registered in the database in the authentication
[0037]
After the above-described EAP authentication process (301 to 309) is completed, the
[0038]
The determination of whether or not the authentication is possible by the
[0039]
The determination based on the presence or absence of the authentication rejection packet is performed by monitoring the authentication rejection response (311) illustrated in FIG. 3 by the wireless
[0040]
Therefore, in order for the wireless
[0041]
Further, since the
[0042]
In this way, a switch is provided on the
[0043]
This switch may be either a physical switch or a soft switch. By providing such a switch, when the
[0044]
In the authentication process when the
[0045]
In other words, when a determination is made based on the history of whether or not a certain client terminal can be authenticated by the
[0046]
The transfer destination determination based on the history of whether a temporary certificate or a temporary account has been issued to any client terminal is determined by the authentication
[0047]
In this way, by determining the transfer destination of the EAP-Response with the user ID transmitted from the client terminal, the EAP-Response with the user ID that is repeated when dynamically changing the WEP key can be transmitted to the client. The terminal can be reliably transferred to the authentication server that has authenticated the terminal (the
[0048]
In addition, the PAN constructed around the
[0049]
According to the first method, when a notification such as a conference end notification or a switch operation is given to the
[0050]
The second method is a method in which, when the scheduled PAN construction time input by the user to the
[0051]
The third method is a method in which, after a lapse of a predetermined time (preferably several hours) from the establishment of the PAN, the temporary certificate and the temporary account that have been valid up to that point are unconditionally discarded on the
[0052]
In the fourth method, when a temporary certificate or a temporary account is issued from the
[0053]
As described above, according to the present embodiment, a user having a legitimate account on the authentication server on the intranet or a user having a valid certificate on the authentication server can be temporarily constructed with the intranet by a single authentication process. Wireless connection to a PAN (Personal Area Network). In addition, a secure wireless connection to a temporarily constructed PAN can be realized even for an outsider who does not have an account in the authentication server. Such a need for wireless connection construction is optimal when a temporary secure network is to be constructed at a conference or the like.
[0054]
Even if the present invention is applied to a system including a plurality of devices (for example, a host computer, an interface device, a reader, a printer, etc.), the present invention can be applied to an apparatus (for example, a copying machine, a facsimile device, etc.) including one device. May be applied.
[0055]
Further, an object of the present invention is to supply a recording medium in which a program code of software for realizing the functions of the above-described embodiments is recorded to a system or an apparatus, and a computer (CPU or MPU) of the system or apparatus stores the recording medium in the recording medium. Needless to say, this can also be achieved by reading and executing the program code thus read.
[0056]
In this case, the program code itself read from the recording medium realizes the functions of the above-described embodiment, and the recording medium storing the program code constitutes the present invention.
[0057]
As a recording medium for supplying the program code, for example, a floppy (registered trademark) disk, hard disk, optical disk, magneto-optical disk, CD-ROM, CD-R, magnetic tape, nonvolatile memory card, ROM, or the like is used. be able to.
[0058]
When the computer executes the readout program code, not only the functions of the above-described embodiments are realized, but also an OS (Operating System) running on the computer based on the instruction of the program code. It goes without saying that a case where some or all of the actual processing is performed and the functions of the above-described embodiments are realized by the processing is also included.
[0059]
Further, after the program code read from the recording medium is written into a memory provided in a function expansion board inserted into the computer or a function expansion unit connected to the computer, the function expansion is performed based on the instruction of the program code. It goes without saying that a CPU or the like provided in the board or the function expansion unit performs part or all of the actual processing, and the processing realizes the functions of the above-described embodiments.
[0060]
【The invention's effect】
As described above, according to the present invention, a user having an account on a legitimate authentication server provided on the backbone network is permitted to connect to a small-scale network in a single authentication process. Can be improved.
[Brief description of the drawings]
FIG. 1 is a diagram illustrating a configuration of a wireless network system according to an embodiment.
FIG. 2 is a transition diagram showing an authentication process when a
FIG. 3 is a transition diagram illustrating an authentication process when the
FIG. 4 is a flowchart illustrating a process for creating and distributing a temporary certificate or a temporary account.
[Explanation of symbols]
100 access points
101 wireless communication circuit
102 Authentication server
103 Certificate Server
104 Display
110 wireless communication means
111 PDA (Personal Digital Assistants)
112 PDA (Personal Digital Assistants)
113 Notebook PC
114 Notebook PC
120 backbone network (intranet)
121 Authentication server
122 Certificate Server
Claims (1)
無線端末装置から無線通信による認証要求を受信する工程と、
受信した認証要求を基幹ネットワークへ転送し、該認証要求に対する認証処理が基幹ネットワークで失敗した場合に、前記無線端末装置に対する一時的な認証処理を行う工程とを有することを特徴とする無線接続装置の認証方法。An authentication method for a wireless connection device connected to a backbone network and connected to a wireless terminal device by wireless communication,
Receiving an authentication request by wireless communication from the wireless terminal device;
Transferring the received authentication request to the backbone network, and performing a temporary authentication process on the wireless terminal device when the authentication process for the authentication request fails in the backbone network. Authentication method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003098038A JP4018584B2 (en) | 2003-04-01 | 2003-04-01 | Wireless connection device authentication method and wireless connection device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003098038A JP4018584B2 (en) | 2003-04-01 | 2003-04-01 | Wireless connection device authentication method and wireless connection device |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2004304710A true JP2004304710A (en) | 2004-10-28 |
JP2004304710A5 JP2004304710A5 (en) | 2006-06-01 |
JP4018584B2 JP4018584B2 (en) | 2007-12-05 |
Family
ID=33409673
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003098038A Expired - Fee Related JP4018584B2 (en) | 2003-04-01 | 2003-04-01 | Wireless connection device authentication method and wireless connection device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4018584B2 (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006186968A (en) * | 2004-12-01 | 2006-07-13 | Canon Inc | Wireless control apparatus, system, control method, and program |
JP2006217327A (en) * | 2005-02-04 | 2006-08-17 | Kddi Corp | Radio communications device and communication system |
WO2007112692A1 (en) * | 2006-04-04 | 2007-10-11 | Huawei Technologies Co., Ltd. | A communication method in the user network and a system thereof |
JP2014526726A (en) * | 2011-09-09 | 2014-10-06 | インテル コーポレイション | Mobile device and method for secure online sign-up and provision for WI-FI hotspots using SOAP-XML technology |
US9258706B2 (en) | 2010-09-15 | 2016-02-09 | Intel Corporation | Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using SOAP-XML techniques |
JP6152962B1 (en) * | 2016-12-15 | 2017-06-28 | 株式会社タウンWiFi | Terminal device, connection method, connection program, authentication support server, authentication support method, authentication support program, and authentication support system |
US20180102905A1 (en) * | 2014-12-15 | 2018-04-12 | Amazon Technologies, Inc. | Short-duration digital certificate issuance based on long-duration digital certificate validation |
-
2003
- 2003-04-01 JP JP2003098038A patent/JP4018584B2/en not_active Expired - Fee Related
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006186968A (en) * | 2004-12-01 | 2006-07-13 | Canon Inc | Wireless control apparatus, system, control method, and program |
JP2006217327A (en) * | 2005-02-04 | 2006-08-17 | Kddi Corp | Radio communications device and communication system |
WO2007112692A1 (en) * | 2006-04-04 | 2007-10-11 | Huawei Technologies Co., Ltd. | A communication method in the user network and a system thereof |
KR101076332B1 (en) | 2006-04-04 | 2011-10-26 | 후아웨이 테크놀러지 컴퍼니 리미티드 | Method and system for communication in user network |
US9258706B2 (en) | 2010-09-15 | 2016-02-09 | Intel Corporation | Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using SOAP-XML techniques |
US9628990B2 (en) | 2011-09-09 | 2017-04-18 | Intel Corporation | Mobile device and method for secure on-line sign-up and provisioning for Wi-Fi hotspots using SOAP-XML techniques |
JP2014526726A (en) * | 2011-09-09 | 2014-10-06 | インテル コーポレイション | Mobile device and method for secure online sign-up and provision for WI-FI hotspots using SOAP-XML technology |
US20180102905A1 (en) * | 2014-12-15 | 2018-04-12 | Amazon Technologies, Inc. | Short-duration digital certificate issuance based on long-duration digital certificate validation |
US11575522B2 (en) * | 2014-12-15 | 2023-02-07 | Amazon Technologies, Inc. | Short-duration digital certificate issuance based on long-duration digital certificate validation |
US11936797B1 (en) | 2014-12-15 | 2024-03-19 | Amazon Technologies, Inc. | Short-duration digital certificate issuance based on long-duration digital certificate validation |
JP6152962B1 (en) * | 2016-12-15 | 2017-06-28 | 株式会社タウンWiFi | Terminal device, connection method, connection program, authentication support server, authentication support method, authentication support program, and authentication support system |
WO2018109962A1 (en) * | 2016-12-15 | 2018-06-21 | 株式会社タウンWiFi | Terminal device, connection method, connection program, and authentication assist system |
JP2018098695A (en) * | 2016-12-15 | 2018-06-21 | 株式会社タウンWiFi | Terminal device, connection method, connection program, authentication support server, authentication support method, authentication support program and authentication support system |
US10524128B2 (en) | 2016-12-15 | 2019-12-31 | Townwifi Inc. | Terminal device, connection method, connection program, and authentication assist system |
Also Published As
Publication number | Publication date |
---|---|
JP4018584B2 (en) | 2007-12-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3961462B2 (en) | Computer apparatus, wireless LAN system, profile updating method, and program | |
US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
JP4746333B2 (en) | Efficient and secure authentication of computing systems | |
JP4599852B2 (en) | Data communication apparatus and method, and program | |
JP4551202B2 (en) | Ad hoc network authentication method and wireless communication terminal thereof | |
US7809354B2 (en) | Detecting address spoofing in wireless network environments | |
JP4777729B2 (en) | Setting information distribution apparatus, method, program, and medium | |
JP4808348B2 (en) | Arrangements and methods in communication networks | |
US20080263647A1 (en) | System and Method For Providing Network Device Authentication | |
JP4770423B2 (en) | Information management method for digital certificate, communication partner authentication method, information processing apparatus, MFP, and computer program | |
JP2004072682A (en) | Radio connection method, radio connection system and access point apparatus | |
WO2005004385A1 (en) | Radio communication authentication program and radio communication program | |
US7975293B2 (en) | Authentication system, authentication method and terminal device | |
CN101542965A (en) | Authentication delegation based on re-verification of cryptographic evidence | |
JP2003500923A (en) | Method, computer program and device for initializing secure communication and exclusively pairing devices | |
WO2007128134A1 (en) | Secure wireless guest access | |
KR100523058B1 (en) | Apparatus and Method of Dynamic Group Key Management in Wireless Local Area Network System | |
JP4536051B2 (en) | Authentication system, authentication method, authentication server, wireless LAN terminal, and program for authenticating wireless LAN terminal | |
JP2003338814A (en) | Communication system, administrative server, control method therefor and program | |
JP4018584B2 (en) | Wireless connection device authentication method and wireless connection device | |
JP2009277024A (en) | Connection control method, communication system and terminal | |
JP4574122B2 (en) | Base station and control method thereof | |
JP4499575B2 (en) | Network security method and network security system | |
JP2001111538A (en) | Communication system, method therefor, communication equipment and ic card | |
JP5545433B2 (en) | Portable electronic device and operation control method for portable electronic device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060331 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060331 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070618 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070622 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070815 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070907 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070920 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100928 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100928 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110928 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110928 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120928 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120928 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130928 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |