JP2005080242A - Method of providing ip interface information, providing apparatus thereof, providing program thereof and access authenticating apparatus - Google Patents
Method of providing ip interface information, providing apparatus thereof, providing program thereof and access authenticating apparatus Download PDFInfo
- Publication number
- JP2005080242A JP2005080242A JP2003312017A JP2003312017A JP2005080242A JP 2005080242 A JP2005080242 A JP 2005080242A JP 2003312017 A JP2003312017 A JP 2003312017A JP 2003312017 A JP2003312017 A JP 2003312017A JP 2005080242 A JP2005080242 A JP 2005080242A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- interface information
- encryption key
- granting
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、通信ネットワークにおける装置及び通信データの正当性の確認方法,その確認のための装置及びプログラムに関する。 The present invention relates to a device in a communication network, a method for confirming the validity of communication data, a device and a program for the confirmation.
IPネットワークにおいて、端末が通信の開始を要求するに際して、IPアドレスやネットワークプレフィックス,DNS(Domain Name System)アドレス,SIP(Session Initiation Protocol)サーバアドレス,ホスト名のうち少なくとも一つを含むIPインタフェース情報が、端末に対して動的に付与されることがある。その際に利用される代表的なプロトコルに、Neighbor DiscoveryとDHCPv6(Dynamic Host Configuration Protocol for IPv6)がある。 In an IP network, when a terminal requests to start communication, IP interface information including at least one of an IP address, a network prefix, a DNS (Domain Name System) address, a SIP (Session Initiation Protocol) server address, and a host name is included. , May be dynamically assigned to the terminal. Typical protocols used at that time include Neighbor Discovery and DHCPv6 (Dynamic Host Configuration Protocol for IPv6).
Neighbor Discoveryでは、IPv6におけるIPアドレスの一部であるネットワークプレフィックスを、ルータからRouter Advertisementメッセージを用いて、当該ルータに所属する端末に対して付与する。通常、Router Advertisementメッセージは、マルチキャスト機能を利用して、ルータから各端末に対して、定期的に通知されているが、端末がルータに対してRouter Solicitationメッセージを送信して、Router Advertisementメッセージを要求することも可能である。この場合、端末は要求すべきルータのIPアドレスがわからないため、Router Solicitationメッセージをマルチキャスト機能を利用して送信する。その際、当該端末を特定するためのインタフェースIDは、端末のMAC(Media Access Control)アドレス等から生成される(非特許文献1,2を参照)。 In Neighbor Discovery, a network prefix, which is a part of an IP address in IPv6, is assigned from a router to a terminal belonging to the router by using a Router Advertisement message. Usually, the Router Advertisement message is regularly notified from the router to each terminal using the multicast function, but the terminal sends a Router Solicitation message to the router to request a Router Advertisement message. It is also possible to do. In this case, since the terminal does not know the IP address of the router to be requested, it transmits a Router Solicitation message using the multicast function. At that time, an interface ID for specifying the terminal is generated from the MAC (Media Access Control) address of the terminal (see Non-Patent Documents 1 and 2).
DHCPv6では、次のようなサーバ−クライアント型の形態での手続を用いて、端末に対してIPインタフェース情報が付与される。端末は、マルチキャスト機能を利用して、DHCPSOLICITメッセージにより、IPネットワーク内で利用可能なDHCPサーバの探索を行う。DHCPサーバは、端末からのDHCPSOLICITメッセージを受信すると、DHCPOFFERメッセージを送信して、当該端末に対してDHCPサーバの存在を通知する。次に端末は、DHCPREQUESTメッセージを用いてIPインタフェース情報の送信を要求し、DHCPサーバは、DHCPACKメッセージを用いて、IPインタフェース情報を端末に対して付与する(非特許文献3を参照)。
NeighborDiscoveryとDHCPv6では、手順やメッセージの形式はそれぞれ異なるが、端末がIPインタフェース情報を付与するルータやDHCPサーバを探索するに際して、いずれもマルチキャスト機能を利用することが共通している。 Although Neighbor Discovery and DHCPv6 have different procedures and message formats, it is common that a terminal uses a multicast function when searching for a router or DHCP server to which IP interface information is added.
しかしながらマルチキャスト機能を利用した場合、ある端末が送信したIPインタフェース情報を要求するメッセージを、同一のネットワーク内に存在する他の端末が受信することは、原理的に可能である。この場合、同一ネットワーク内に存在する悪意を持つ端末や誤ってルータやDHCPサーバとして設定されている端末が、IPインタフェース情報を要求した端末に対し、不正なIPインタフェース情報を送信してくる可能性がある。 However, when the multicast function is used, in principle, it is possible for another terminal in the same network to receive a message requesting IP interface information transmitted from a certain terminal. In this case, there is a possibility that a malicious terminal existing in the same network or a terminal erroneously set as a router or a DHCP server may send illegal IP interface information to a terminal that has requested IP interface information. There is.
これに対して、端末と正当なルータやDHCPサーバとの間で、事前に暗号鍵を共有しておくことにより、端末が認証を行ない、当該ルータやDHCPサーバの正当性及びそれらから送信されたメッセージの正当性を確認することは可能である。 On the other hand, by sharing the encryption key in advance between the terminal and a legitimate router or DHCP server, the terminal performs authentication, and the legitimacy of the router or DHCP server and the transmitted from them. It is possible to confirm the validity of the message.
しかし端末が利用するルータやDHCPサーバが動的に変化する場合には、端末とルータやDHCPサーバとの間で、暗号鍵を事前に共有しておく方法では、ルータやDHCPサーバが変わる都度に暗号鍵を、再度、共有しなくてはならず、運用が困難になるという問題があった。 However, if the router or DHCP server used by the terminal changes dynamically, the method in which the encryption key is shared between the terminal and the router or DHCP server in advance will change every time the router or DHCP server changes. There was a problem that the encryption key had to be shared again, making it difficult to operate.
そこで本発明では、暗号鍵の共有を容易にし、それを用いて端末がルータやDHCPサーバの正当性及びそれら送信されたメッセージの正当性を確認できるようにすることを目的とする。 Therefore, an object of the present invention is to facilitate sharing of an encryption key so that a terminal can confirm the validity of a router or a DHCP server and the validity of those transmitted messages.
前記課題を解決するため、本発明では、端末が通信を要求した際に認証サーバが配布する当該端末の暗号鍵を、同時にルータやDHCPサーバにも配布することにより、端末の利用するルータやDHCPサーバが動的に変化した場合でも、当該端末とルータやDHCPサーバとの間での暗号鍵を共有できることを特徴とする。 In order to solve the above-described problem, in the present invention, the encryption key of the terminal distributed by the authentication server when the terminal requests communication is also distributed to the router and the DHCP server at the same time. Even when the server dynamically changes, the encryption key can be shared between the terminal and the router or the DHCP server.
さらにルータやDHCPサーバから端末へのIPインタフェース情報を送信するに際して、共有した暗号鍵を用いてメッセージダイジェストの生成やチャレンジ&レスポンスを行うことにより、当該IPインタフェース情報の改ざんや送信元のなりすましを発見でき、ルータやDHCPサーバ及びIPインタフェース情報の正当性を確認できることを特徴とする。 In addition, when sending IP interface information from a router or DHCP server to a terminal, by using a shared encryption key to generate a message digest or challenge and response, discover the alteration of the IP interface information or impersonate the sender The validity of the router, the DHCP server, and the IP interface information can be confirmed.
以上説明したように、請求項1に記載の発明によれば、暗号鍵を端末及びルータ,DHCPサーバへ配布することにより、端末とルータ,DHCPサーバとの間での暗号鍵の共有を実現する。 As described above, according to the first aspect of the present invention, the encryption key is distributed to the terminal, the router, and the DHCP server to realize sharing of the encryption key between the terminal, the router, and the DHCP server. .
請求項2,3の発明によれば、請求項1で共有した暗号鍵を用いたメッセージダイジェストにより、ルータ,DHCPサーバ及びIPインタフェース情報の正当性を確認することができる。 According to the second and third aspects of the invention, the validity of the router, the DHCP server, and the IP interface information can be confirmed by the message digest using the encryption key shared in the first aspect.
請求項4,5の発明によれば、請求項1で共有した暗号鍵を用いたチャレンジ&レスポンスにより、ルータ,DHCPサーバ及びIPインタフェース情報の正当性を確認することができる。 According to the fourth and fifth aspects of the present invention, the validity of the router, the DHCP server, and the IP interface information can be confirmed by a challenge and response using the encryption key shared in the first aspect.
請求項6の発明によれば、請求項1の発明で利用されるアクセス認証装置を実現できる。 According to the invention of claim 6, the access authentication device used in the invention of claim 1 can be realized.
請求項7の発明によれば、請求項2,4の発明で利用されるIPインタフェース情報付与装置を実現できる。 According to the seventh aspect of the present invention, the IP interface information providing apparatus used in the second and fourth aspects of the present invention can be realized.
請求項8の発明によれば、請求項3,5の発明で利用される端末用プログラムを実現できる。 According to the invention of claim 8, the terminal program used in the inventions of claims 3 and 5 can be realized.
次に本発明の実施形態について、適宜図面を参照しながら詳細に説明する。図1は、本発明の実施形態例を示すネットワーク構成図である。当該実施形態例を示すネットワークは、端末11,ネットワーク接続装置12,パケット転送装置13,通信ネットワーク14,認証クライアント15,アクセス認証装置16,IPインタフェース情報付与装置17,暗号鍵管理データベース18,サブネット19とを備えて構成される。
Next, embodiments of the present invention will be described in detail with reference to the drawings as appropriate. FIG. 1 is a network configuration diagram showing an embodiment of the present invention. The network showing the embodiment includes a
図1において端末11は、通信開始の要求及びIPインタフェース情報の要求を行う。ネットワーク接続装置12は、端末11からの通信要求を受け付け、端末11と他の装置との通信を中継する機能を有する。パケット転送装置13は、端末11から送信されたIPパケットを、端末11が所望する端末または装置へ転送する、またはその逆の転送をする機能を有する。通信ネットワーク14は、パケット転送装置13,アクセス認証装置16,IPインタフェース情報付与装置17,暗号鍵管理データベース18から構成される。認証クライアント15は、ネットワーク接続装置12に組み込まれており、通信開始時に端末11より通知されたユーザIDやパスワード,電子証明書を含む認証情報と、MACアドレスを含む端末識別子を、アクセス認証装置16へ通知する機能を有する。アクセス認証装置16は、認証クライアント15より通知された端末11の認証情報と、事前に保持していた端末11の認証情報とを比較することにより、端末11がネットワーク接続装置12を利用可能か否かを判断する機能を有する。またアクセス認証装置16は、前記において利用可能と判断した場合に、端末11に対して暗号鍵を配布し、自身と端末11との間で暗号鍵を共有する機能、及びIPインタフェース情報付与装置17に対して、端末11の端末識別子と共に同じ暗号鍵を配布し、端末11とIPインタフェース情報付与装置17との間で暗号鍵を共有する機能を有する。IPインタフェース情報付与装置17は、IPインタフェース情報を、端末11の通知する機能を有する。暗号鍵管理データベース18は、アクセス認証装置16が管理する暗号鍵を記憶する。サブネット19は、端末11,ネットワーク接続装置12,認証クライアント15から構成される。
In FIG. 1, a
図16は、アクセス認証装置16の構成を示す。図16において受信部161は、認証クライアント15からの端末11の認証情報を受信し、処理部163が受信した認証情報に基づいて端末11の正当性の確認を行なった後に、送信部162が暗号鍵を端末11に対して送信する。さらに送信部はIPインタフェース情報付与装置17へも暗号鍵を送信する。
FIG. 16 shows the configuration of the
図17は、IPインタフェース情報付与装置17の構成を示す。図17において、受信部171はアクセス認証装置16から端末11の暗号鍵を受信する。また受信部171は、端末11からIPインタフェース情報の付与を要求する信号、さらに必要な場合には乱数を受信する。処理部173は、受信した暗号鍵を用いて、IPインタフェース情報または受信した乱数の暗号化を行う。送信部172は、IPインタフェース情報と共に、当該暗号化IPインタフェース情報または当該暗号化乱数を送信する。
FIG. 17 shows the configuration of the IP interface
図18は、端末11の構成を示す。図18において、受信部181はアクセス認証装置16から暗号鍵を受信する。また受信部181はIPインタフェース情報付与装置からIPインタフェース情報及び暗号化IPインタフェース情報または暗号化乱数を受信する。処理部183は、必要に応じて乱数の生成を行う。また処理部183は、受信した暗号鍵を用いた受信したIPインタフェース情報の暗号化及び当該暗号化IPインタフェース情報と受信した暗号化IPインタフェース情報との比較を行ない、受信したIPインタフェース情報およびIPインタフェース情報付与装置の正当性の確認を行う。また処理部183は、受信した暗号鍵を用いた生成した乱数の暗号化及び当該暗号化乱数と受信した暗号化乱数の比較を行ない、受信したIPインタフェース情報の正当性の確認を行う。
FIG. 18 shows the configuration of the
図2は、端末11による通信開始要求から、アクセス認証装置16により端末11が認証されて端末11に対して暗号鍵が配布されるのと同時に、IPインタフェース情報付与装置17に対しても、暗号鍵が配布されるまでのシーケンスを示している。
FIG. 2 shows that when the terminal 11 is authenticated by the
端末11はネットワーク接続装置12に対して通信要求を行ない(S201)、ネットワーク接続装置12内の認証クライアント15からの認証情報要求を受ける(S202)。その後、端末11は、認証クライアント15を介してアクセス認証装置16へ端末識別子を送信し(S203)、アクセス認証装置16により正当な端末であると判断された場合、暗号鍵の配布を受ける(S204)。この結果、端末11とアクセス認証装置16は暗号鍵を共有したこととなる。その後、アクセス認証装置16は、IPインタフェース情報付与装置17に対して、端末11の端末識別子と共に、暗号鍵を配布する(S205)。これにより端末11とIPインタフェース情報付与装置17は、暗号鍵を共有したこととなる。その後、アクセス認証装置16は、認証クライアント15を介して、端末11に対して認証が成功したことを通知する(S206)。ここではアクセス認証装置16は、端末11の暗号鍵をIPインタフェース情報付与装置17に対して配布した後に、端末11に対して認証が成功したことを通知したが、アクセス認証装置16が、端末11に対して認証が成功したことを通知した後に、IPインタフェース情報付与装置17に対して、暗号鍵を配布してもよい。また前記説明では、暗号鍵はアクセス認証装置16から端末11に対して配布されるものとしたが、先に共有する情報を元にして、それぞれが同一の暗号鍵を生成することにより、暗号鍵を共有する方法としてもよい。以下、各方法の説明において、暗号鍵の共有は同様の方法で実現可能である。
The terminal 11 makes a communication request to the network connection device 12 (S201), and receives an authentication information request from the
図3では、まず端末11による通信開始要求から、アクセス認証装置16により端末11が認証され、端末11に対して暗号鍵が配布された後に、端末11からのIPインタフェース情報付与装置17の探索が行なわれたのを契機として、アクセス認証装置16からIPインタフェース情報付与装置17に対して、暗号鍵が配布されるまでのシーケンスを示している。
In FIG. 3, first, after a communication start request by the terminal 11, the terminal 11 is authenticated by the
端末11はネットワーク接続装置12に対して通信要求を行ない(S301)、ネットワーク接続装置12内の認証クライアント15からの認証情報要求を受ける(S302)。その後、端末11は、認証クライアント15を介してアクセス認証装置16へ端末識別子を送信し(S303)、アクセス認証装置16により正当な端末であると判断された場合、暗号鍵の配布を受ける(S304)。この結果、端末11とアクセス認証装置16は暗号鍵を共有したこととなる。その後、アクセス認証装置16は、認証クライアント15を介して、端末11に対して認証が成功したことを通知する(S305)。端末11からのIPインタフェース情報付与装置17の探索が行なわれたのを契機として(S306)、IPインタフェース情報付与装置17からアクセス認証装置16に対して暗号鍵が要求され(S307)、アクセス認証装置16は、IPインタフェース情報付与装置17に対して、端末11の端末識別子と共に暗号鍵を配布する(S308)。これにより端末11とIPインタフェース情報付与装置17は、暗号鍵を共有したこととなる。
The terminal 11 makes a communication request to the network connection device 12 (S301), and receives an authentication information request from the
図4は、アクセス認証装置16からIPインタフェース情報付与装置17に対して暗号鍵が配布された後であり、端末11によるIPインタフェース情報付与の要求を行うメッセージの送信から、IPインタフェース情報付与装置17が、IPインタフェース情報を送信するまでの、メッセージダイジェストによる認証を用いた場合のシーケンスを示している。
FIG. 4 shows the state after the encryption key is distributed from the
端末11は、IPネットワークにおけるマルチキャスト機能を用いて、IPインタフェース情報付与装置17に対して、IPインタフェース情報の付与を要求するメッセージを、自分の端末識別子を付加して送信する(S401)。これを受信したIPインタフェース情報付与装置17は、端末識別子から端末11の暗号鍵を選択した後(S402)、端末11に付与するIPインタフェース情報を作成し(S403)、当該暗号鍵を用いてIPインタフェース情報のメッセージダイジェスト(MDと呼ぶ)を作成する(S404)。その後、IPインタフェース情報とMDをIPインタフェース情報回答メッセージとして、IPv6のセキュリティプロトコルであるIPsecの認証ヘッダ(AHヘッダと呼ぶ)を利用して、端末11に対して送信する(S405)。端末11では、自分の暗号鍵と送られてきたIPインタフェース情報からMDを作成し(S406)、これと送られてきたMDが一致するか否かを比較する(S407)。一致した場合、IPインタフェース情報付与装置17の正当性とIPインタフェース情報の改ざんがないことを確認できる。その後、端末11は、得たIPインタフェース情報を今後の通信に利用する。ここで(S402)と(S403)は、順序が逆になっても差し支えない。
Using the multicast function in the IP network, the terminal 11 sends a message requesting the addition of IP interface information to the IP interface
前記において(S401)を実施する際に、IPインタフェース情報付与装置17は、端末11が送信したIPインタフェース情報付与要求メッセージが改ざんされる、または他の端末がなりすますことを防止するために、共有する暗号鍵を用いて、(S404)から(S407)までで行なったものと同様の手順で、端末11の認証を行うことも可能である。その際、MDの作成の元となるデータには、任意のデータを利用し、この任意のデータと作成したMDをIPインタフェース情報付与装置17に送付する。
When performing (S401) in the above, the IP interface
図5は、アクセス認証装置16からIPインタフェース情報付与装置17に対して暗号鍵が配布された後であり、端末11によるIPインタフェース情報付与の要求を行うメッセージの送信から、IPインタフェース情報付与装置17が、IPインタフェース情報を送信するまでの、チャレンジ&レスポンスによる認証を用いた場合のシーケンスを示している。
FIG. 5 shows the state after the encryption key is distributed from the
端末11は、チャレンジデータとなる乱数を生成した上で(S501)、IPネットワークにおけるマルチキャスト機能を用いて、IPインタフェース情報付与装置17に対して、IPインタフェース情報の付与を要求するメッセージを、自分の端末識別子とチャレンジデータを付加して送信する(S502)。これを受信したIPインタフェース情報付与装置17は、端末識別子から端末11の暗号鍵を選択し(S503)、選択した暗号鍵でチャレンジデータを暗号化して、レスポンスデータを生成する(S504)。その後、IPインタフェース情報付与装置17は、端末11に対して付与するIPインタフェース情報を作成し(S505)、レスポンスデータと共に、IPインタフェース情報回答メッセージとして、端末11に対して送信する(S506)。端末11では、自分の暗号鍵でチャレンジデータを暗号化し(S507)、その結果とIPインタフェース情報付与装置17から送られたレスポンスデータが一致するか否かを比較する(S508)。一致した場合、端末11は、IPインタフェース情報付与装置17の正当性を確認する。その後、端末11は、得たIPインタフェース情報を今後の通信に利用する。ここで(S503),(S504)と(S505)は、順序が逆になっても差し支えない。
The terminal 11 generates a random number as challenge data (S501), and then uses the multicast function in the IP network to send a message requesting the IP interface
(実施形態例1)
次に、本発明の具体的な実施形態例について説明する。(実施形態例1)は、IPインタフェース情報を取得するためのプロトコルとしてNeighbor Discoveryを用い、端末とネットワーク接続装置である無線LANアクセスポイントが、IEEE802.1xによる認証機能を備えた無線LANで接続され、アクセス認証装置にはRADIUSサーバ、パケット転送装置にはルータが使用されたネットワーク構成において本発明を実施した場合を、図6〜10を用いて説明している。
(Example 1)
Next, specific embodiments of the present invention will be described. (Embodiment 1) uses Neighbor Discovery as a protocol for acquiring IP interface information, and a wireless LAN access point that is a terminal and a network connection device is connected by a wireless LAN having an authentication function based on IEEE 802.1x. A case where the present invention is implemented in a network configuration in which a RADIUS server is used as the access authentication device and a router is used as the packet transfer device will be described with reference to FIGS.
図6は、本発明の実施例を示すネットワーク構成図である。当該実施例を示すネットワークは、端末61,無線LANアクセスポイント62,ルータ63,RADIUSサーバ64,通信ネットワーク65,サブネットワーク66とを備えて構成される。
FIG. 6 is a network configuration diagram showing an embodiment of the present invention. The network according to this embodiment includes a terminal 61, a wireless
図6において端末61は、通信の開始に際して、IPインタフェース情報を要求する。無線LANアクセスポイント62は、ネットワーク接続装置に相当する。無線LANアクセスポイント62には、認証クライアントに相当するRADIUSクライアント67が組み込まれている。ルータ63は、パケット転送装置に相当する。RADIUSサーバ64は、アクセス認証装置に相当する。通信ネットワーク65、RADIUSサーバ64とルータ63により構成される。サブネットワーク66は、端末61と無線LANアクセスポイント62により構成される。
In FIG. 6, the terminal 61 requests IP interface information when starting communication. The wireless
図7は、端末61による通信開始要求から、RADIUSサーバ64により端末61が認証され、端末61に対して暗号鍵が配布されるのと同時に、ルータ63に対しても、暗号鍵が配布されるまでのシーケンスを示している。またRADIUSサーバ64による端末61の認証と暗号鍵の配布は、LANの認証プロトコルであるIEEE802.1xを用いて行なわれる。
In FIG. 7, the terminal 61 is authenticated by the
端末61は、無線LANアクセスポイント62に対して通信要求を行ない(S701)、無線LANアクセスポイント62内のRADIUSクライアント67からの認証情報要求を受ける(S702)。その後、端末61から、RADIUSクライアント67を介して、RADIUSサーバ64に対して、ユーザIDやパスワード,電子証明書,MACアドレスが通知され(S703)、端末61の正当性が確認される(S704)。RADIUSサーバ64が、端末61は正当であると判断した場合、RADIUSサーバ64は、生成した暗号鍵をRADIUSクライアント67と端末61へ配布する(S705)。この結果、端末61とRADIUSサーバ64は、暗号鍵を共有したこととなる。RADIUSクライアント67は、暗号鍵を端末61のMACアドレスと共に無線LANアクセスポイント62に記憶させ(S706)、当該暗号鍵は、端末61と無線LANアクセスポイント62との間の無線LAN区間の通信データの暗号化に利用される。その後、RADIUSサーバ64は、RADIUSクライアント67を介して、端末61に対して認証が成功したことを通知する(S707)。次にRADIUSサーバ64は、ルータ63に対して、端末61のMACアドレスと共に、暗号鍵を配布する(S708)。これにより端末61とルータ63は、暗号鍵を共有したこととなる。
The terminal 61 makes a communication request to the wireless LAN access point 62 (S701), and receives an authentication information request from the
図8では、まず端末61による通信開始要求から、RADIUSサーバ64により端末61が認証され、端末61に対して暗号鍵が配布された後、端末61からIPインタフェース情報が要求された際に、RADIUSサーバ64からルータ63に対して、暗号鍵が配布されるシーケンスを示している。
In FIG. 8, when the terminal 61 is first authenticated by the
端末61の通信要求から認証成功までが、図7に示す(S701)から(S707)と同様に行なわれた後、端末61からRouterSolicitiationメッセージによりIPインタフェース情報が要求され(S801)、それを契機としてルータ63からRADIUSサーバ64に対して暗号鍵が要求され(S802)、その後、RADIUSサーバ64からルータ63に対して暗号鍵が配布される(S803)。これにより端末61とルータ63は、暗号鍵を共有したこととなる。
After the communication request from the terminal 61 to the authentication success is performed in the same manner as (S701) to (S707) shown in FIG. 7, the IP interface information is requested from the terminal 61 by the RouterSolution message (S801). The encryption key is requested from the
図9は、RADIUSサーバ64からルータ63に対して暗号鍵が配布された後であり、端末61によるIPインタフェース情報付与要求メッセージの送信から、端末61がIPインタフェース情報の正当性を検証するまでの、IPsecによる認証技術を用いた場合のシーケンスを示している。
FIG. 9 shows the state after the encryption key is distributed from the
端末61はRouterSolicitiationメッセージを送信することにより、ルータ63に対して、RouterAdvertisementメッセージを利用したIPインタフェース情報の付与を要求する(S901)。RouterSolicitiationメッセージを受信したルータ63は、端末61のMACアドレスを元にして、端末61の暗号鍵を選択する(S902)。ルータ63は、IPインタフェース情報を作成した後(S903)、選択した暗号鍵を用いてメッセージダイジェスト生成の一方法であるMD5を利用してIPインタフェース情報のMDを作成し(S904)、それをIPsecのAHヘッダに付加して、IPインタフェース情報と共に、端末61に対して、RouterAdvertisemantメッセージとして送信する(S905)。端末61は、受信したRouterAdvertisemantメッセージからIPインタフェース情報を取り出し、自分の暗号鍵を用いてMD5(Message Digest 5)によりMDを作成する(S906)。端末61は、作成したMDとルータ63より送られたMDが一致するか否かを比較し(S907)、一致した場合、ルータ63は正当なルータであり、IPインタフェース情報の改ざんはないと判断する。その後、端末61は付与されたIPインタフェース情報を用いて通信を行う。
The terminal 61 requests the
図10は、RADIUSサーバ64からルータ63に対して暗号鍵が配布された後であり、端末61によるIPインタフェース情報付与要求メッセージの送信から、端末61がIPインタフェース情報の正当性を検証するまでの、チャレンジ&レスポンスによる認証技術を用いた場合のシーケンスを示している。
FIG. 10 shows the state after the encryption key is distributed from the
端末61は、チャレンジデータとなる乱数を生成した上で(S1001)、IPネットワークにおけるマルチキャスト機能を用いて、ルータ63に対して、IPインタフェース情報の付与を要求するRouterSolicitationメッセージを、自分のMACアドレスとチャレンジデータを付加して送信する(S1002)。その際、チャレンジデータは、RouterSolicitationメッセージのOptionフィールドに収納する。これを受信したルータ63は、MACアドレスから端末61の暗号鍵を選択し(S1003)、当該暗号鍵でチャレンジデータを暗号化することにより、レスポンスデータを生成する(S1004)。その後、ルータ63は、端末61に対して付与するIPインタフェース情報を作成し(S1005)、レスポンスデータと共に、RouterAdvertisementメッセージとして、端末61に対して送信する(S1006)。端末61は、自分の暗号鍵を用いてチャレンジデータを暗号化し(S1007)、その結果とルータ63から送られたレスポンスデータが一致するか否かを比較する(S1008)。一致した場合、ルータ63は正当であると判断する。その後、端末61は、得たIPインタフェース情報を今後の通信に利用する。
The terminal 61 generates a random number as challenge data (S1001), and then uses a multicast function in the IP network to send a RouterSolution message for requesting the
(実施形態例2)
(実施形態例2)は、IPインタフェース情報を取得するためのプロトコルとしてDHCPv6を用い、実施例1と同じネットワーク構成において(ただしルータはDHCPサーバとなる)本発明を実施した場合を、図11〜15を用いて説明している。
Embodiment 2
(Embodiment 2) uses DHCPv6 as a protocol for acquiring IP interface information, and shows the case where the present invention is implemented in the same network configuration as that of Embodiment 1 (however, the router becomes a DHCP server). 15 is used for explanation.
図11は、本発明の実施例を示すネットワーク構成図である。当該実施例を示すネットワークは、端末111,無線LANアクセスポイント112,ルータ113,RADIUSサーバ114,通信ネットワーク115,サブネットワーク116とを備えて構成される。
FIG. 11 is a network configuration diagram showing an embodiment of the present invention. The network showing the embodiment includes a terminal 111, a wireless
端末111は、通信の開始に際して、IPインタフェース情報を要求する。無線LANアクセスポイント112は、ネットワーク接続装置に相当する。無線LANアクセスポイント112には、認証クライアントに相当するRADIUSクライアント117が組み込まれている。ルータ113は、パケット転送装置に相当し、DHCPサーバが組み込まれている。RADIUSサーバ114は、アクセス認証装置に相当する。通信ネットワーク115、RADIUSサーバ114とルータ113により構成される。サブネットワーク116は、端末111と無線LANアクセスポイント112により構成される。
The terminal 111 requests IP interface information at the start of communication. The wireless
図12及び図13は、図7及び図8と、ルータ113がDHCPサーバ機能を有することを除き、同一のシーケンスである。
FIGS. 12 and 13 are the same sequence as FIGS. 7 and 8 except that the
図14は、RADIUSサーバ114からルータ113に対して暗号鍵が配布された後であり、端末111によるIPインタフェース情報付与要求メッセージの送信から、端末111がIPインタフェース情報の正当性を検証するまでの、IPsecによる認証技術を用いた場合のシーケンスを示している。
FIG. 14 shows the state after the encryption key is distributed from the
端末111はDHCPSOLICITメッセージを送信することにより、ルータ113に対して、IPインタフェース情報の付与を要求する(S1401)。DHCPSOLICITメッセージを受信したルータ113は、端末111のMACアドレスを元にして、端末111の暗号鍵を選択する(S1402)。ルータ113は、IPインタフェース情報を作成した後(S1403)、選択した暗号鍵を用いたMD5によりIPインタフェース情報のMDを作成し(S1404)、それをIPsecのAHヘッダに付加して、IPインタフェース情報と共に、端末111に対して、DHCPOFFERメッセージとして送信する(S1405)。端末111は、受信したDHCPOFFERメッセージからIPインタフェース情報を取り出し、自分の暗号鍵を用いたMD5によりMDを作成する(S1406)。端末111は、作成したMDとルータ113より送られたMDが一致するか否かを比較し(S1407)、一致した場合、ルータ113は正当なルータであり、IPインタフェース情報の改ざんはないと判断する。その後、端末111は付与されたIPインタフェース情報を用いて通信を行う。
The terminal 111 requests the
図15は、RADIUSサーバ114からルータ113に対して暗号鍵が配布された後であり、端末111によるIPインタフェース情報付与要求メッセージの送信から、端末111がIPインタフェース情報の正当性を検証するまでの、チャレンジ&レスポンスによる認証技術を用いた場合のシーケンスを示している。
FIG. 15 is after the encryption key is distributed from the
端末111は、チャレンジデータとなる乱数を生成した上で(S1501)、IPネットワークにおけるマルチキャスト機能を用いて、ルータ113に対して、IPインタフェース情報の付与を要求するDHCPSOLICITメッセージを、自分のMACアドレスとチャレンジデータを付加して送信する(S1502)。その際、チャレンジデータは、DHCPSOLICITメッセージのOptionフィールドに収納する。これを受信したルータ113は、MACアドレスから端末111の暗号鍵を選択し(S1503)、当該暗号鍵でチャレンジデータを暗号化することにより、レスポンスデータを生成する(S1504)。その後、ルータ113は、端末111に対して付与するIPインタフェース情報を作成し(S1505)、レスポンスデータと共に、DHCPOFFERメッセージとして、端末111に対して送信する(S1506)。端末111は、自分の暗号鍵を用いてチャレンジデータを暗号化し(S1507)、その結果とルータ113から送られたレスポンスデータが一致するか否かを比較する(S1508)。一致した場合、ルータ113は正当であると判断する。その後、端末111は、得たIPインタフェース情報を今後の通信に利用する。
The terminal 111 generates a random number serving as challenge data (S1501), and uses a multicast function in the IP network to send a DHCPSOLICIT message requesting the
11 端末
12 ネットワーク接続装置
13 パケット転送装置
14 通信ネットワーク
15 認証クライアント
16 アクセス認証装置
17 IPインタフェース情報付与装置
18 暗号鍵管理データベース
19 サブネット
61 端末
62 無線LANアクセスポイント
63 ルータ
64 RADIUSサーバ
65 通信ネットワーク
66 サブネット
67 RADIUSクライアント
111 端末
112 無線LANアクセスポイント
113 ルータ(DHCPサーバ)
114 RADIUSサーバ
115 通信ネットワーク
116 サブネット
117 RADIUSクライアント
161 認証装置受信部
162 認証装置送信部
163 認証装置処理部
164 認証装置記憶部
171 付与装置受信部
172 付与装置送信部
173 付与装置処理部
174 付与装置記憶部
181 端末受信部
182 端末送信部
183 端末処理部
184 端末記憶部
DESCRIPTION OF
114
Claims (8)
前記端末の認証を行なうアクセス認証装置と、
前記端末に対してIPインタフェース情報を付与するIPインタフェース情報付与装置と
から構成される通信ネットワークにおいて、
前記IPインタフェース情報付与装置のIPアドレスが動的に変化する場合でも、
前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を保証するために、
前記アクセス認証装置は、認証装置受信部と認証装置送信部と認証装置処理部とを備え、
このアクセス認証装置は、
前記認証装置受信部が前記端末から通信要求信号を受信するステップと、
前記認証装置処理部が暗号鍵の生成又は取得を行うステップと、
前記認証装置送信部が前記暗号鍵を前記端末及び前記IPインタフェース情報付与装置へ送信するステップとを行うこと
を特徴とするIPインタフェース情報の付与方法。 A terminal using a communication service;
An access authentication device for authenticating the terminal;
In a communication network composed of an IP interface information giving device for giving IP interface information to the terminal,
Even when the IP address of the IP interface information assigning device changes dynamically,
In order to guarantee the validity of the IP interface information and the IP interface information adding device,
The access authentication device includes an authentication device receiver, an authentication device transmitter, and an authentication device processor.
This access authentication device
The authentication device receiving unit receiving a communication request signal from the terminal;
The authentication device processing unit generating or acquiring an encryption key;
And a step of transmitting the encryption key to the terminal and the IP interface information adding device.
このIPインタフェース情報付与装置は、
前記付与装置受信部が前記アクセス認証装置から前記暗号鍵を受信するステップと、
前記付与装置記憶部が受信した前記暗号鍵を記憶するステップと、
前記付与装置受信部が前記端末から前記IPインタフェース情報の付与を要求する信号を受信するステップと、
前記付与装置処理部が前記暗号鍵を用いて前記IPインタフェース情報のメッセージダイジェストを生成するステップと、
前記付与装置送信部が前記IPインタフェース情報及び前記メッセージダイジェストを前記端末へ送信するステップとを行うこと、
を特徴とする請求項1に記載のIPインタフェース情報の付与方法。 The IP interface information giving device includes a granting device receiving unit, a granting device transmitting unit, a granting device processing unit, and a granting device storage unit,
This IP interface information adding device
The granting device receiving unit receiving the encryption key from the access authentication device;
Storing the encryption key received by the assigning device storage unit;
The granting device receiving unit receiving a signal requesting the granting of the IP interface information from the terminal;
The granting device processing unit generating a message digest of the IP interface information using the encryption key;
The granting device sending unit sending the IP interface information and the message digest to the terminal;
The method for assigning IP interface information according to claim 1.
この端末は、
前記端末受信部が前記アクセス認証装置から前記暗号鍵を受信するステップと、
前記端末記憶部が受信した前記暗号鍵を記憶するステップと、
前記端末受信部が前記IPインタフェース情報付与装置から前記IPインタフェース情報及び前記メッセージダイジェストを受信するステップと、
前記端末処理部が前記暗号鍵を用いて前記IPインタフェース情報のメッセージダイジェストを生成するステップと、
前記端末処理部が前記生成したメッセージダイジェスト及び前記受信したメッセージダイジェストを比較して、前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を判断するステップとを行うこと、
を特徴とする請求項2に記載のIPインタフェース情報の付与方法。 The terminal includes a terminal receiving unit, a terminal storage unit, and a terminal processing unit,
This device
The terminal receiving unit receiving the encryption key from the access authentication device;
Storing the encryption key received by the terminal storage unit;
The terminal receiving unit receiving the IP interface information and the message digest from the IP interface information adding device;
The terminal processing unit generating a message digest of the IP interface information using the encryption key;
The terminal processing unit compares the generated message digest and the received message digest to determine the validity of the IP interface information and the IP interface information adding device;
The method for assigning IP interface information according to claim 2.
このIPインタフェース情報付与装置は、
前記付与装置受信部が前記アクセス認証装置から前記暗号鍵を受信するステップと、
前記付与装置記憶部が受信した前記暗号鍵を記憶するステップと、
前記付与装置受信部が前記端末からIPインタフェース情報の付与を要求する信号をチャレンジデータと共に受信するステップと、
前記付与装置処理部が前記暗号鍵を用いてチャレンジデータのレスポンスデータを生成するステップと、
前記付与装置送信部が前記IPインタフェース情報及び前記レスポンスデータを前記端末へ送信するステップとを行うこと、
を特徴とする請求項1に記載のIPインタフェース情報の付与方法。 The IP interface information giving device includes a granting device receiving unit, a granting device transmitting unit, a granting device processing unit, and a granting device storage unit,
This IP interface information adding device
The granting device receiving unit receiving the encryption key from the access authentication device;
Storing the encryption key received by the assigning device storage unit;
The granting device receiving unit receiving a signal requesting granting of IP interface information from the terminal together with challenge data;
The granting device processing unit generating response data of challenge data using the encryption key;
The granting device sending unit sending the IP interface information and the response data to the terminal;
The method for assigning IP interface information according to claim 1.
この端末は、
前記端末受信部が前記アクセス認証装置から前記暗号鍵を受信するステップと、
前記端末記憶部が受信した前記暗号鍵を記憶するステップと、
前記端末受信部が前記IPインタフェース情報付与装置から前記IPインタフェース情報及び前記レスポンスデータを受信するステップと、
前記端末処理部が前記暗号鍵を用いて前記端末記憶部に記憶しておいたチャレンジデータからレスポンスデータを生成するステップと、
前記端末処理部が前記生成したレスポンスデータ及び前記受信したレスポンスデータを比較して、前記IPインタフェース情報付与装置の正当性を判断するステップとを行うこと、
を特徴とする請求項4に記載のIPインタフェース情報の付与方法 The terminal includes a terminal receiving unit, a terminal storage unit, and a terminal processing unit,
This device
The terminal receiving unit receiving the encryption key from the access authentication device;
Storing the encryption key received by the terminal storage unit;
The terminal receiving unit receiving the IP interface information and the response data from the IP interface information providing device;
Generating response data from the challenge data stored in the terminal storage unit by the terminal processing unit using the encryption key;
The terminal processing unit comparing the generated response data and the received response data to determine the validity of the IP interface information providing device;
5. The method of assigning IP interface information according to claim 4,
前記端末の認証を行うアクセス認証装置と、
前記端末に対してIPインタフェース情報を付与するIPインタフェース情報付与装置と
から構成される通信ネットワークにおいて、
前記IPインタフェース情報付与装置のIPアドレスが動的に変化する場合でも、
前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を保証するために用いられるアクセス認証装置であって、
このアクセス認証装置は、
前記端末から通信要求信号を受信する認証装置受信部と、
暗号鍵を生成又は取得する認証装置処理部と、
前記暗号鍵を前記端末及び前記IPインタフェース情報付与装置へ送信する認証装置送信部とを備えること
を特徴とするIPインタフェース情報の付与のためのアクセス認証装置。 A terminal using a communication service;
An access authentication device for authenticating the terminal;
In a communication network composed of an IP interface information giving device for giving IP interface information to the terminal,
Even when the IP address of the IP interface information assigning device changes dynamically,
An access authentication device used to guarantee the validity of the IP interface information and the IP interface information providing device,
This access authentication device
An authentication device receiver for receiving a communication request signal from the terminal;
An authentication device processing unit for generating or acquiring an encryption key;
An access authentication apparatus for assigning IP interface information, comprising: an authentication apparatus transmitting unit that transmits the encryption key to the terminal and the IP interface information providing apparatus.
前記端末の認証を行うアクセス認証装置と、
前記端末に対してIPインタフェース情報を付与するIPインタフェース情報付与装置と
から構成される通信ネットワークにおいて、
前記IPインタフェース情報付与装置のIPアドレスが動的に変化する場合でも、
前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を保証するために用いられるIPインタフェース情報付与装置であって、
このIPインタフェース情報付与装置は、
前記アクセス認証装置から前記暗号鍵及び前記端末から前記IPインタフェース情報の付与を要求する信号を受信する付与装置受信部と、
前記アクセス認証装置から受信した暗号鍵を記憶する付与装置記憶部と、
前記暗号鍵を用いて前記IPインタフェース情報の暗号化を行う付与装置処理部と、
前記IPインタフェース情報及び前記暗号化IPインタフェース情報を前記端末へ送信する付与装置送信部とを備えること
を特徴とするIPインタフェース情報の付与のためのIPインタフェース情報付与装置。 A terminal using a communication service;
An access authentication device for authenticating the terminal;
In a communication network composed of an IP interface information giving device for giving IP interface information to the terminal,
Even when the IP address of the IP interface information assigning device changes dynamically,
An IP interface information giving device used for guaranteeing the validity of the IP interface information and the IP interface information giving device,
This IP interface information adding device
A granting device receiving unit that receives a signal requesting the granting of the encryption key and the IP interface information from the terminal from the access authentication device;
A granting device storage unit for storing an encryption key received from the access authentication device;
A granting device processing unit that encrypts the IP interface information using the encryption key;
An IP interface information assigning device for assigning IP interface information, comprising: an assigning device transmitting unit that transmits the IP interface information and the encrypted IP interface information to the terminal.
前記端末の認証を行うアクセス認証装置と、
前記端末に対してIPインタフェース情報を付与するIPインタフェース情報付与装置と
から構成される通信ネットワークにおいて、
前記IPインタフェース情報付与装置のIPアドレスが動的に変化する場合でも、
前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を保証するために用いられる端末用のプログラムであって、
端末受信部と端末記憶部と端末処理部とを備える前記端末の前記端末処理部に、
前記端末受信部が前記アクセス認証装置から受信した暗号鍵を前記端末記憶部に記憶する機能、
前記端末受信部が前記IPインタフェース情報付与装置から受信した前記IPインタフェース情報を、前記暗号鍵を用いて暗号化する機能、
前記暗号化IPインタフェース情報と前記IPインタフェース情報付与装置から受信した暗号化IPインタフェース情報との比較を行ない、前記IPインタフェース情報及び前記IPインタフェース情報付与装置の正当性を判断する機能、
を実行させることを特徴とする端末用プログラム。 A terminal using a communication service;
An access authentication device for authenticating the terminal;
In a communication network composed of an IP interface information giving device for giving IP interface information to the terminal,
Even when the IP address of the IP interface information assigning device changes dynamically,
A program for a terminal used to guarantee the validity of the IP interface information and the IP interface information adding device,
In the terminal processing unit of the terminal comprising a terminal receiving unit, a terminal storage unit, and a terminal processing unit,
A function of storing the encryption key received from the access authentication device by the terminal reception unit in the terminal storage unit;
A function of encrypting the IP interface information received from the IP interface information adding device by the terminal reception unit using the encryption key;
A function of comparing the encrypted IP interface information with the encrypted IP interface information received from the IP interface information providing device and determining the validity of the IP interface information and the IP interface information providing device;
A terminal program characterized by causing
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003312017A JP4236167B2 (en) | 2003-09-03 | 2003-09-03 | Method of assigning IP interface information, granting device, granting program thereof, and access authentication device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003312017A JP4236167B2 (en) | 2003-09-03 | 2003-09-03 | Method of assigning IP interface information, granting device, granting program thereof, and access authentication device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005080242A true JP2005080242A (en) | 2005-03-24 |
JP4236167B2 JP4236167B2 (en) | 2009-03-11 |
Family
ID=34413393
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003312017A Expired - Fee Related JP4236167B2 (en) | 2003-09-03 | 2003-09-03 | Method of assigning IP interface information, granting device, granting program thereof, and access authentication device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4236167B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007053681A (en) * | 2005-08-19 | 2007-03-01 | Ricoh Co Ltd | Device, method, and program for communication |
JP2009232199A (en) * | 2008-03-24 | 2009-10-08 | Nec Access Technica Ltd | Communication system, communication apparatus, address allocation device, communication control method, and communication control method, and communication control program |
-
2003
- 2003-09-03 JP JP2003312017A patent/JP4236167B2/en not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007053681A (en) * | 2005-08-19 | 2007-03-01 | Ricoh Co Ltd | Device, method, and program for communication |
JP2009232199A (en) * | 2008-03-24 | 2009-10-08 | Nec Access Technica Ltd | Communication system, communication apparatus, address allocation device, communication control method, and communication control method, and communication control program |
Also Published As
Publication number | Publication date |
---|---|
JP4236167B2 (en) | 2009-03-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4033868B2 (en) | Method and apparatus for processing authentication in IPv6 network | |
EP1355447B1 (en) | Public key certification providing apparatus | |
EP1361694B1 (en) | Public key certification issuing apparatus | |
US8266427B2 (en) | Secure mobile IPv6 registration | |
JP2009503916A (en) | Multi-key encryption generation address | |
JP2008541566A (en) | Secure address proxy using multi-key encryption generated address | |
EP2259542B1 (en) | Method, apparatus and system for processing dynamic host configuration protocol message | |
WO2003007102A2 (en) | Modular authentication and authorization scheme for internet protocol | |
WO2007092688A2 (en) | Method and apparatus for address creation and validation | |
JP2004274521A (en) | Server apparatus, terminal control apparatus, and terminal authentication method | |
CN101960814A (en) | IP address delegation | |
CN102231725A (en) | Method, equipment and system for authenticating dynamic host configuration protocol message | |
Cavalli et al. | Secure hosts auto-configuration in mobile ad hoc networks | |
JP2009118267A (en) | Communication network system, communication network control method, communication control apparatus, communication control program, service control device and service control program | |
JP2004007512A (en) | Public key certificate providing device | |
CN101232369B (en) | Method and system for distributing cryptographic key in dynamic state host computer collocation protocol | |
JP2006074451A (en) | IPv6/IPv4 TUNNELING METHOD | |
JP6056970B2 (en) | Information processing apparatus, terminal, information processing system, and information processing method | |
JP4236167B2 (en) | Method of assigning IP interface information, granting device, granting program thereof, and access authentication device | |
US8621198B2 (en) | Simplified protocol for carrying authentication for network access | |
JP2007166552A (en) | Communication apparatus and encryption communication method | |
JP4208868B2 (en) | Public key certificate issuance method | |
JP2004032699A (en) | Apparatus for issuing public key certificate | |
JP2006115033A (en) | Automatic setting system and method of user information | |
CN115694856A (en) | DHCP (dynamic host configuration protocol) -based authentication method and related equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050720 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080916 |
|
RD13 | Notification of appointment of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7433 Effective date: 20081002 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20081003 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081113 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081209 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20081212 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081212 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111226 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111226 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121226 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121226 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131226 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |