JP2006072493A - 中継装置及び認証方法 - Google Patents
中継装置及び認証方法 Download PDFInfo
- Publication number
- JP2006072493A JP2006072493A JP2004252462A JP2004252462A JP2006072493A JP 2006072493 A JP2006072493 A JP 2006072493A JP 2004252462 A JP2004252462 A JP 2004252462A JP 2004252462 A JP2004252462 A JP 2004252462A JP 2006072493 A JP2006072493 A JP 2006072493A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal device
- certificate
- terminal
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
【課題】トラヒックが増加することなく、クライアント認証を行うことが可能な中継装置を提供する。
【解決手段】中継装置20は、発信端末10aから初めての発呼を受けた場合、発信端末aの証明書及び中継装置20の証明書を認証サーバ40へ送信し、認証サーバ40において発信端末10aの認証を行うことにより、クライアント認証を行うと共に、セキュアな暗号化した通信路を確保する送信手段20bと、認証サーバ40から発信端末10aの認証結果及び加入者情報を受信する受信手段20cと、クライアント証明書と加入者情報とを関連づけて蓄積する認証情報蓄積手段20dと、認証情報蓄積手段20dに蓄積された加入者情報に基づき、認証サーバ40において行われた発信端末10aの認証を代行して行うユーザ認証手段20eとを備える。
【選択図】図3
【解決手段】中継装置20は、発信端末10aから初めての発呼を受けた場合、発信端末aの証明書及び中継装置20の証明書を認証サーバ40へ送信し、認証サーバ40において発信端末10aの認証を行うことにより、クライアント認証を行うと共に、セキュアな暗号化した通信路を確保する送信手段20bと、認証サーバ40から発信端末10aの認証結果及び加入者情報を受信する受信手段20cと、クライアント証明書と加入者情報とを関連づけて蓄積する認証情報蓄積手段20dと、認証情報蓄積手段20dに蓄積された加入者情報に基づき、認証サーバ40において行われた発信端末10aの認証を代行して行うユーザ認証手段20eとを備える。
【選択図】図3
Description
本発明は、端末装置と、端末装置のサービス加入者認証を行う認証サーバとの間に設けられた中継装置及び認証方法に関する。
従来、VoIPを応用したインターネット電話などで用いられる、通話制御プロトコルとして、SIP(Session Initiation Protocol)が知られている。
SIPは、H.323と比べ、電話をかけて相手を呼び出すときの手順が簡略されている。具体的には、相手を呼び出すときにはSIPクライアントとSIPサーバの間だけで確認動作を行い、完了すればすぐ通話できるようになる。
一方、サーバとクライアントの間に設けられた中継装置が、クライアントが行うべきクライアント認証を代理する技術については、開示されている(例えば、特許文献1参照)。
特開2002−82907号公報
SIPにおけるクライアント認証を行うため、上述した特許文献1におけるクライアント認証機能を中継装置に組み込むことが考えられる。
しかしながら、クライアント認証機能を中継装置に組み込み、ユーザ・エージェント・クライアント(UAC)の発呼の度に、認証サーバへ認証要求を行うと、トラヒックが増加するという問題がある。
そこで、本発明は、上記の課題に鑑み、トラヒックが増加することなく、クライアント認証を行うことが可能な中継装置及び認証方法を提供することを目的とする。
上記目的を達成するため、本発明の第1の特徴は、端末装置と、端末装置のサービス加入者認証を行う認証サーバとの間に設けられた中継装置であって、(a)端末装置から初めての発呼を受けた場合、端末装置のID、当該IDに対応する秘密情報に関する証明書を認証サーバへ送信し、認証サーバにおいて端末装置の認証を行うことにより、クライアント認証を行うと共に、端末装置と認証サーバ間でセキュアな暗号化した通信路を確保する送信手段と、(b)認証サーバから端末装置の認証結果及び加入者情報を受信する第1の受信手段と、(c)端末装置の証明書と第1の受信手段によって受信された加入者情報とを関連づけて蓄積する認証情報蓄積手段と、(d)認証サーバにおいて行われた端末装置の認証を代行して行う認証手段とを備える中継装置であることを要旨とする。ここで、「加入者情報」とは、HLRなどのデータベースに保持される加入者を識別するための情報である。加入者情報には、加入者を認証する認証チケットの他、加入者ではないことを識別するRevocationリストも含まれる。
第1の特徴に係る中継装置によると、トラヒックが増加することなく、クライアント認証を行うことができる。
又、第1の特徴に係る中継装置は、端末装置から端末装置の証明書を受信する第2の受信手段を更に備え、送信手段は、第2の受信手段によって受信した証明書を送信してもよい。又、端末装置の証明書は、端末装置の内部メモリに記録されていたものであってもよい。ここで、「内部メモリ」とは、端末装置内のメモリの他、装着されたICカード(例えば、SIMカード)も含む。又、端末装置がSIMカードを装着している場合、SIMカードのクライアント認証を通して、端末装置をコードレスフォンの内線電話として使用することができる。
又、第1の特徴に係る中継装置は、端末装置からの発呼に、中継装置に蓄積されている端末装置の証明書を添付する証明書添付手段を更に備え、送信手段は、証明書添付手段によって添付された端末装置の証明書を送信してもよい。この中継装置によると、端末装置に、USIM機構を有さない一般端末を使用してもクライアント認証を行うことができる。
又、第1の特徴に係る中継装置において、認証サーバから端末装置の認証の結果を受信してから、所定の時間が経過した場合、あるいは、端末装置から所定の回数の発呼があった場合、送信手段は、端末装置の証明書を認証サーバへ送信し、認証サーバにおいて端末装置の認証を行うことにより、クライアント認証を行うと共に、端末装置と認証サーバ間でセキュアな暗号化した通信路を確保する手順を再度行い、第1の受信手段は、再度、認証サーバから端末装置の認証結果及び加入者情報を受信してもよい。この中継装置によると、定期的に認証サーバによる認証を行うことにより、認証の信頼性を向上することができる。
又、第1の特徴に係る中継装置は、予め認証サーバとの間で生成された共有鍵を蓄積し、端末装置から初めての発呼を受けた場合、共有鍵を用いて接続設定を行う鍵管理手段を更に備えてもよい。この中継装置によると、共有鍵を用いることにより、複数のサーバとのVPN接続において、ネゴシエーション時間を短縮することができる。
本発明の第2の特徴は、端末装置のサービス加入者認証を行う認証方法であって、(a)端末装置から初めての発呼を受けた場合、端末装置のID、当該IDに対応する秘密情報に関する証明書を認証サーバへ送信し、認証サーバにおいて前記端末装置の認証を行うことにより、クライアント認証を行うと共に、端末装置と前記認証サーバ間でセキュアな暗号化した通信路を確保するステップと、(b)認証サーバから端末装置の認証結果及び加入者情報を受信するステップと、(c)証明書と加入者情報とを関連づけて蓄積するステップと、(d)蓄積するステップにおいて蓄積された加入者情報に基づき、認証サーバにおいて行われた端末装置の認証を代行して行うステップとを含む認証方法であることを要旨とする。
第2の特徴に係る認証方法によると、トラヒックが増加することなく、クライアント認証を行うことができる。
本発明によると、トラヒックが増加することなく、クライアント認証を行う中継装置及び認証方法を提供することができる。
次に、図面を参照して、本発明の第1〜第3の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
<第1の実施の形態>
(通信システム及び中継装置)
第1の実施の形態に係る通信システムは、図1に示すように、中継装置20がインターネット80を介してSIPサーバ30へ接続する。
(通信システム及び中継装置)
第1の実施の形態に係る通信システムは、図1に示すように、中継装置20がインターネット80を介してSIPサーバ30へ接続する。
又、図1及び図2では、発信端末10a及び受信端末10b、10cが、中継装置20を介してSIPサーバ30へ接続を行うことを想定する。尚、中継装置20は、事業所内アクセスポイントとして機能する。
又、発信端末10aは、外部のインターネット80を介して接続される受信端末10bと通信を行ってもよく、同じLAN内に配置される受信端末10cと通信を行ってもよい。以下において、発信端末10aと受信端末10bとの通信を例にとり説明する。
発信端末10a(ユーザ・エージェント・クライアント(UAC))及び受信端末10b(ユーザ・エージェント・サーバ(UAS))は、ICカード90a、90bを装着した携帯機器であり、無線LAN機能を有する。そして、発信端末10a及び受信端末10bは、無線を介して中継装置20と接続する。
第1の実施の形態では、ICカード90a、90bとして、第三世代携帯電話に利用されるUIM(User Identity Module)を用いる。尚、UIMは、GSMに使われるSIMをベースにしていることからUSIM(Universal Subscriber Identity Module)と呼ばれることもある。又、本体から取り外せる形状から、R−UIM(Removable UIM)と表されることもある。このICカードを差し替えて使用することにより、異なる方式の電話機であっても、電話番号や課金情報をそのまま引き継いで使うことができる。
又、ICカード90a、90b(SIMカード)は、クライアント証明書(あるいはサーバ証明書)を記録する。
SIPサーバ30は、中継装置20からの接続要求に応じ、発信端末10a及び受信端末10bの呼制御を行う。
認証サーバ40は、SIPサーバ30によって通信を行う端末のサービス加入者認証を行う。具体的には、認証サーバ40は、SIPサーバ30から送信される証明書を受信し、保持している加入者情報に基づいて、SIPサーバによって通信可能なユーザであるかの認証を行う。ここで、「加入者情報」とは、HLRなどのデータベースに保持される加入者を識別するための情報である。例えば、Revocationリストや認証チケットがこれに該当する。又、認証サーバ40は、ユーザ認証に基づき、それぞれのユーザに対して課金処理を行う。
中継装置20は、図3に示すように、端末認証手段20aと、送信手段20bと、受信手段20cと、認証情報蓄積手段20dと、ユーザ認証手段20eとを備える。中継装置20は、SSL認証方式やTLS認証方式に加え、クライアント認証を付加したユーザ認証及び暗号化通信を行う。
端末認証手段20aは、クライアント認証などを用いて、発信端末10aが中継装置20に接続可能な端末であるか否かを認証する。
送信手段20bは、発信端末10aから初めての発呼を受けた場合、発信端末10aのID、当該IDに対応する秘密情報に関するクライアント証明書及び中継装置20のID、当該IDに対応する秘密情報に関するクライアント証明書を、SIPサーバ30を介して認証サーバ40へ送信し、認証サーバ40において発信端末10aの認証を行うことにより、クライアント認証を行うと共に、発信端末10aと認証サーバ40間でセキュアな暗号化した通信路を確保する。
又、送信手段20bは、認証サーバ40から発信端末10aのユーザ認証の結果を受信してから、所定の時間が経過した場合、あるいは、発信端末10aから所定の回数の発呼があった場合、発信端末10aのクライアント証明書及び中継装置20のクライアント証明書を、認証サーバ40へ送信し、認証サーバ40において発信端末10aの認証を行うことにより、クライアント認証を行うと共に、発信端末10aと認証サーバ40間でセキュアな暗号化した通信路を確保する手順を再度行う。
受信手段20c(第2の受信手段)は、発信端末10aからクライアント証明書を無線により受信する。又、受信手段20c(第1の受信手段)は、認証サーバ40からSIPサーバ30を介して発信端末10aのユーザ認証結果及び加入者情報を受信する。又、受信手段20c(第1の受信手段)は、認証サーバ40から発信端末10aのユーザ認証の結果を受信してから、所定の時間が経過した場合、あるいは、発信端末10aから所定の回数の発呼があった場合、再度、発信端末10aのユーザ認証結果及び加入者情報を受信する。尚、ここでは、説明の便宜上、認証サーバ40から情報を受信する受信手段を第1の受信手段、発信端末10aから情報を受信する受信手段を第2の受信手段としている。
認証情報蓄積手段20dは、クライアント証明書と加入者情報とを関連づけて蓄積する。又、認証情報蓄積手段20dは、受信端末10bのサーバ証明書と加入者情報とを関連づけて蓄積してもよい。
ユーザ認証手段20e(認証手段)は、認証情報蓄積手段20dに蓄積された加入者情報に基づき、認証サーバ40において行われた発信端末10aの認証を代行して行う。又、ユーザ認証手段20eは、認証情報蓄積手段20dに受信端末10bのサーバ証明書と加入者情報とが関連づけて蓄積されている場合、受信端末10bの認証を代行して行ってもよい。
(認証方法)
次に、第1の実施の形態に係る認証方法について、図4及び図5を用いて説明する。図4は、発信端末(ユーザ・エージェント・クライアント(UAC))10aと受信端末(ユーザ・エージェント・サーバ(UAS))10bとの通信において、発信端末10aから初めての発呼を受けた場合のシーケンス図である。第1の実施の形態に係る通信システムでは、中継装置20を介して、SSL認証方式やTLS認証方式に加え、クライアント認証を付加したユーザ認証及び暗号化通信を行う。
次に、第1の実施の形態に係る認証方法について、図4及び図5を用いて説明する。図4は、発信端末(ユーザ・エージェント・クライアント(UAC))10aと受信端末(ユーザ・エージェント・サーバ(UAS))10bとの通信において、発信端末10aから初めての発呼を受けた場合のシーケンス図である。第1の実施の形態に係る通信システムでは、中継装置20を介して、SSL認証方式やTLS認証方式に加え、クライアント認証を付加したユーザ認証及び暗号化通信を行う。
まず、ステップS101において、発信端末10aは、中継装置20へ接続要求(INVITE)を送信する。その後、具体的には、発信端末10aから中継装置20を介して認証サーバ40へ、発信端末10aでサポート可能な暗号化/圧縮アルゴリズム一覧を通知し、認証サーバ40は、アルゴリズム一覧の中から実際に使用するアルゴリズムを決定し、中継装置20を介して、その結果を発信端末10aへ通知する。そして、認証サーバ40及び中継装置20自身の身元を証明する証明書を発信端末10aへ送信する。尚、中継装置20が暗号化/圧縮アルゴリズム一覧を有し、認証サーバ40を利用せずに、上記の手順を行っても構わない。
次に、中継装置20は、ステップS102において、発信端末10aへ発信端末10a自身の身元を証明する、発信端末10aのID、当該IDに対応する秘密情報に関する証明書であるクライアント証明書(UE)要求を送信する。
ステップS103において、発信端末10aは、SIMカード90aに記録されたクライアント証明書(UE)を取得する。そして、ステップS104において、クライアント証明書(UE)を送信する。その後、発信端末10aは、ここまでの通信内容のダイジェストを発信端末10aの秘密鍵で暗号化して中継装置20へ送信する。これを受信した中継装置20は、公開鍵で復号化し、クライアント証明書(UE)の正当性を確認する。
クライアント証明書(UE)の正当性が確認された場合、ステップS105において、中継装置20は、SIPサーバ30に接続要求(INVITE)を送信し、発信端末10aのクライアント証明書(UE)及び中継装置20のクライアント証明書(AP)を送信する。ここで、中継装置20のクライアント証明書(AP)とは、中継装置の身元を証明する、中継装置20のID、当該IDに対応する秘密情報に関する証明書である。
次に、ステップS106において、SIPサーバ30は、認証サーバ40へ確認要求を送信し、発信端末10aのクライアント証明書(UE)及び中継装置のクライアント証明書(AP)を送信する。ステップS107において、認証サーバ40は、受信した発信端末10aのクライアント証明書(UE)及び中継装置のクライアント証明書(AP)と保持している加入者情報に基づいて、ユーザ認証を行うことにより、クライアント認証を行う。これにより、発信端末10aと認証サーバ40間でセキュアな暗号化した通信路が確保できる。そして、ユーザ毎の課金処理を行う。次に、ステップS108において、認証サーバ40は、SIPサーバ30へ認証結果を送信する。
次に、発信端末10a及び中継装置20のユーザ認証結果が正当であった場合は、ステップS109において、SIPサーバ30は、受信端末10bへ接続要求(INVITE)とともにサーバ証明書要求を送信する。図4では、SIPサーバ30から受信端末10bへ直接接続要求を送信しているが、図1に示すように、中継装置20を介して送信してもよい。以下の受信端末10bとSIPサーバ30間のやりとりについても同様である。ステップS110において、受信端末10bは、SIMカード90bに記録されたサーバ証明書を取得する。そして、ステップS111において、受信端末10bは、SIPサーバ30へ接続呼応答(180 Ringing)とともにサーバ証明書を送信する。
次に、ステップS112において、SIPサーバ30は、認証サーバ40へ確認要求を送信し、サーバ証明書を送信する。認証サーバ40は、受信したサーバ証明書と保持している加入者情報に基づいて、ユーザの特定を行い、ステップS113において、SIPサーバ30へ認証結果を送信する。
次に、受信端末10bのユーザ認証結果が正当であった場合は、ステップS114において、SIPサーバ30は、中継装置20へ、接続呼応答とともに、加入者情報を送信する。この加入者情報は、認証サーバ40から取得したものであり、SIPサーバ30は、ステップS108やステップS113に示すタイミングで取得してもよく、その他のタイミングで取得してもよい。
次に、ステップS115において、中継装置20は、加入者情報を加入者情報蓄積手段に蓄積する。そして、ステップS116において、接続呼応答を送信する。
一方、ステップS117〜S119に示すように、受信端末10bから発信端末10aへ、SIPサーバ30及び中継装置20を介して接続完了応答(200 OK)が送信される。又、ステップS120〜122に示すように、発信端末10aから受信端末10bへ、中継装置20及びSIPサーバ30を介して接続完了確認(ACK)が送信される。そして、ステップS122において、通話が可能となる。
次に、図5を用いて、端末装置から発呼を受けた場合、既に、中継装置20が加入者情報を蓄積している場合のシーケンスについて説明する。
まず、ステップS201〜204は、図4のステップS101〜104と同様であるので、ここでは説明を省略する。
次に、ステップS205において、中継装置20は既に加入者情報を蓄積しているので、受信した発信端末10aのクライアント証明書(UE)と保持している加入者情報に基づいて、認証サーバ40において行われた発信端末10aの認証を代行して行う。そして、発信端末10aのユーザ認証結果が正当であった場合は、ステップS206及び207に示すように、SIPサーバ30を介して、接続要求(INVITE)を送信する。
次に、ステップS208〜210に示すように、受信端末10bから発信端末10aへ、SIPサーバ30及び中継装置20を介して接続呼応答(180 Ringing)が送信される。次に、ステップS211〜213に示すように、受信端末10bから発信端末10aへ、SIPサーバ30及び中継装置20を介して接続完了応答(200 OK)が送信される。次に、ステップS214〜216に示すように、発信端末10aから受信端末10bへ、中継装置20及びSIPサーバ30を介して接続完了確認(ACK)が送信される。そして、ステップS217において、通話が可能となる。
図5では、クライアント証明書と加入者情報とに基づき、中継装置20が発信端末10aのユーザ認証を行っているが、中継装置20がサーバ証明書と受信端末10bに関する加入者情報とを関連づけて蓄積することにより、受信端末10bのユーザ認証を行うことも可能である。
又、図4は、発信端末10aから初めての発呼を受けた場合の処理を示しているが、その他のタイミングで図4に示す処理を行ってもよい。例えば、認証サーバ40から発信端末10aのユーザ認証の結果を受信してから、所定の時間が経過した場合、あるいは、発信端末10aから所定の回数の発呼があった場合、再度、認証サーバ40へユーザ認証処理の依頼をすることも可能である。
(作用及び効果)
第1の実施の形態に係る中継装置及び認証方法によると、中継装置20が加入者情報を有することにより、中継装置20において、ユーザ認証を行うことができる。このため、SIPサーバ30及び認証サーバ40へ証明書等を送付する必要がなく、トラヒックが増加することなく、クライアント認証を行うことができる。
第1の実施の形態に係る中継装置及び認証方法によると、中継装置20が加入者情報を有することにより、中継装置20において、ユーザ認証を行うことができる。このため、SIPサーバ30及び認証サーバ40へ証明書等を送付する必要がなく、トラヒックが増加することなく、クライアント認証を行うことができる。
又、中継装置20の受信手段20cは、発信端末10aから発信端末10aのクライアント証明書を受信することにより、ユーザに認証を行うことができる。
又、中継装置20の送信手段20bは、認証サーバ40から発信端末10aのユーザ認証の結果を受信してから、所定の時間が経過した場合、あるいは、端末装置から所定の回数の発呼があった場合、再度、発信端末10aのクライアント証明書を認証サーバ40へ送信し、発信端末10aのユーザ認証結果及び加入者情報を受信することができる。このように、定期的に認証サーバ40による認証を行うことにより、ユーザ認証の信頼性を向上することができる。
又、発信端末10aのクライアント証明書及び受信端末10bのサーバ証明書は、発信端末10a及び受信端末10bに装着されたSIMカードに記録することができる。このため、SIMカードのクライアント認証を通して、発信端末10a及び受信端末10bをコードレスフォンの内線電話として使用することができる。このようなUSIMクライアント認証を用いる端末としてFOMA(登録商標)が挙げられる。
又、中継装置20において、端末認証及びユーザ認証を行うことができるため、無線LAN及び上位サーバ(ここではSIPサーバ30)の認証を一度に行うことができる。
<第2の実施の形態>
第1の実施の形態では、中継装置20は、発信端末10aからクライアント証明書を取得したが、第2の実施の形態では、中継装置20において端末装置のクライアント証明書(サーバ証明書)を添付する。
第1の実施の形態では、中継装置20は、発信端末10aからクライアント証明書を取得したが、第2の実施の形態では、中継装置20において端末装置のクライアント証明書(サーバ証明書)を添付する。
(通信システム及び中継装置)
第2の実施の形態に係る通信システムは、図6に示すように、中継装置20にSIMカード90a、90bが装着されるなど、中継装置20がSIM機能を有する。第2の実施の形態に係る発信端末10a及び受信端末10bは、SIMカードを装着しない通常端末であり、中継装置20は、発信端末10a及び受信端末10bから証明書を受信せず、中継装置20において、証明書を添付する。
第2の実施の形態に係る通信システムは、図6に示すように、中継装置20にSIMカード90a、90bが装着されるなど、中継装置20がSIM機能を有する。第2の実施の形態に係る発信端末10a及び受信端末10bは、SIMカードを装着しない通常端末であり、中継装置20は、発信端末10a及び受信端末10bから証明書を受信せず、中継装置20において、証明書を添付する。
SIPサーバ30及び認証サーバ40については、第1の実施の形態と同様であるので、ここでは説明を省略する。
中継装置20は、図7に示すように、端末認証手段20aと、送信手段20bと、受信手段10cと、認証情報蓄積手段20dと、ユーザ認証手段20eと、証明書添付手段20fとを備える。
端末認証手段20aは、クライアント認証などを用いて、発信端末10aが中継装置20に接続可能な端末であるか否かを認証する。
送信手段20bは、発信端末10aから初めての発呼を受けた場合、発信端末10aのクライアント証明書及び中継装置20のクライアント証明書を、SIPサーバ30を介して認証サーバ40へ送信することにより、クライアント認証を行うと共にセキュアな通信路を確保する。又、送信手段20bは、認証サーバ40から発信端末10aのユーザ認証の結果を受信してから、所定の時間が経過した場合、あるいは、発信端末10aから所定の回数の発呼があった場合、発信端末10aのクライアント証明書及び中継装置20のクライアント証明書を、認証サーバ40へ送信することにより、クライアント認証を行うと共にセキュアな通信路を再接続する。
受信手段20c(第1の受信手段)は、認証サーバ40からSIPサーバ30を介して発信端末10aのユーザ認証結果及び加入者情報を受信する。又、受信手段20c(第1の受信手段)は、認証サーバ40から発信端末10aのユーザ認証の結果を受信してから、所定の時間が経過した場合、あるいは、発信端末10aから所定の回数の発呼があった場合、再度、発信端末10aのユーザ認証結果及び加入者情報を受信する。
認証情報蓄積手段20dは、クライアント証明書と受信手段20cによって受信された加入者情報とを関連づけて蓄積する。又、認証情報蓄積手段20dは、受信端末10bのサーバ証明書と加入者情報とを関連づけて蓄積してもよい。
ユーザ認証手段20eは、認証情報蓄積手段20dに蓄積された加入者情報に基づき、発信端末10aのユーザ認証を行う。又、認証手段20eは、認証情報蓄積手段20dに受信端末10bのサーバ証明書と加入者情報とが関連づけて蓄積されている場合、受信端末10bのユーザ認証を行ってもよい。
証明書添付手段20fは、発信端末10aからの発呼に、中継装置20に蓄積されている、発信端末10aに対するクライアント証明書を添付する。又、SIPサーバ30からのサーバ証明書要求応答に、受信端末10bに対するサーバ証明書を添付する。
(認証方法)
次に、第2の実施の形態に係る認証方法について、図7を用いて説明する。図7は、発信端末(ユーザ・エージェント・クライアント(UAC))10aと受信端末(ユーザ・エージェント・サーバ(UAS))10bとの通信において、発信端末10aから初めての発呼を受けた場合のシーケンス図である。第2の実施の形態に係る通信システムでは、第1の実施の形態と同様、中継装置20を介して、SSL認証方式やTLS認証方式に加え、クライアント認証を付加したユーザ認証及び暗号化通信を行う。
次に、第2の実施の形態に係る認証方法について、図7を用いて説明する。図7は、発信端末(ユーザ・エージェント・クライアント(UAC))10aと受信端末(ユーザ・エージェント・サーバ(UAS))10bとの通信において、発信端末10aから初めての発呼を受けた場合のシーケンス図である。第2の実施の形態に係る通信システムでは、第1の実施の形態と同様、中継装置20を介して、SSL認証方式やTLS認証方式に加え、クライアント認証を付加したユーザ認証及び暗号化通信を行う。
まず、ステップS301において、発信端末10aは、中継装置20へ接続要求(INVITE)を送信する。次に、中継装置20自身の身元を証明する証明書を発信端末10aへ送信する。次に、ステップS302において、中継装置20は、中継装置20に蓄積されている、端末装置10aのクライアント証明書(UE)を添付する。
次に、ステップS303において、中継装置20は、SIPサーバ30に接続要求(INVITE)を送信し、発信端末10aのクライアント証明書(UE)及び中継装置のクライアント証明書(AP)を送信する。
次に、ステップS304において、SIPサーバ30は、認証サーバ40へ確認要求を送信し、発信端末10aのクライアント証明書(UE)及び中継装置のクライアント証明書(AP)を送信する。そして、認証サーバ40は、受信した発信端末10aのクライアント証明書(UE)及び中継装置のクライアント証明書(AP)と保持している加入者情報に基づいて、ユーザの認証を行う。次に、ステップS305において、認証サーバ40は、SIPサーバ30へ認証結果を送信する。
次に、発信端末10a及び中継装置20のユーザ認証結果が正当であった場合は、ステップS306において、SIPサーバ30は、受信端末10bへ接続要求(INVITE)を送信する。ステップS307において、受信端末10bは、接続呼応答をSIPサーバ30へ送信する。
次に、ステップS308において、SIPサーバ30は、中継装置20へ、接続呼応答とともに、加入者情報を送信する。この加入者情報は、認証サーバ40から取得したものであり、SIPサーバ30は、ステップS308に示すタイミングで取得してもよく、その他のタイミングで取得してもよい。
次に、ステップS309において、中継装置20は、加入者情報を加入者情報蓄積手段に蓄積する。そして、ステップS310において、接続呼応答を送信する。
一方、ステップS311〜S313に示すように、受信端末10bから発信端末10aへ、SIPサーバ30及び中継装置20を介して接続完了応答(200 OK)が送信される。又、ステップS314〜316に示すように、発信端末10aから受信端末10bへ、中継装置20及びSIPサーバ30を介して接続完了確認(ACK)が送信される。そして、ステップS317において、通話が可能となる。
又、端末装置から発呼を受けた場合、既に、中継装置20が加入者情報を蓄積している場合のシーケンスについては、図5のステップS201及びステップS205〜217と同様であるのでここでは説明を省略する。
(作用及び効果)
第2の実施の形態に係る中継装置及び認証方法によると、中継装置20が、発信端末10aからの発呼に、発信端末10aに対するクライアント証明書を添付することができる。このため、発信端末10a及び受信端末10bに、USIM機構を有さない一般端末を使用しても、第1の実施の形態と同様の効果を得ることができる。
第2の実施の形態に係る中継装置及び認証方法によると、中継装置20が、発信端末10aからの発呼に、発信端末10aに対するクライアント証明書を添付することができる。このため、発信端末10a及び受信端末10bに、USIM機構を有さない一般端末を使用しても、第1の実施の形態と同様の効果を得ることができる。
<第3の実施の形態>
第3の実施の形態では、インターネット80を介して発信端末10aと受信端末10bとが通信を行う状態などにおいて、事前に中継装置20とSIPサーバ30間で共有鍵を生成しておき、発信端末10aから発呼を受信した際に、共有鍵を用いたVPN接続を行う。
第3の実施の形態では、インターネット80を介して発信端末10aと受信端末10bとが通信を行う状態などにおいて、事前に中継装置20とSIPサーバ30間で共有鍵を生成しておき、発信端末10aから発呼を受信した際に、共有鍵を用いたVPN接続を行う。
(通信システム及び中継装置)
第3の実施の形態に係る通信システムは、第1の実施の形態と同様に、図1に示すように、中継装置20がインターネット80を介してSIPサーバ30へ接続する。又、発信端末10a及び受信端末10b、10cが、中継装置20を介してSIPサーバ30へ接続を行うことを想定する。尚、中継装置20は、事業所内アクセスポイントとして機能する。
第3の実施の形態に係る通信システムは、第1の実施の形態と同様に、図1に示すように、中継装置20がインターネット80を介してSIPサーバ30へ接続する。又、発信端末10a及び受信端末10b、10cが、中継装置20を介してSIPサーバ30へ接続を行うことを想定する。尚、中継装置20は、事業所内アクセスポイントとして機能する。
又、発信端末10aは、外部のインターネット80を介して接続される受信端末10bと通信を行ってもよく、同じLAN内に配置される受信端末10cと通信を行ってもよい。以下において、発信端末10aと受信端末10bとの通信を例にとり説明する。
中継装置20は、図9に示すように、端末認証手段20aと、送信手段20bと、受信手段10cと、認証情報蓄積手段20dと、ユーザ認証手段20eと、鍵管理手段20gとを備える。
鍵管理手段20gは、予めSIPサーバ30及び認証サーバ40との間で生成された共有鍵を蓄積し、発信端末10aから初めての発呼を受けた場合、共有鍵を用いてVPN接続設定を行う。
端末認証手段20a、送信手段20b、受信手段10c、認証情報蓄積手段20d、ユーザ認証手段20eについては、第1の実施の形態と同様であるので、ここでは説明を省略する。
(認証方法)
次に、第3の実施の形態に係る認証方法について、図10を用いて説明する。図10は、発信端末(ユーザ・エージェント・クライアント(UAC))10aと受信端末(ユーザ・エージェント・サーバ(UAS))10bとの通信において、発信端末10aから初めての発呼を受けた場合のシーケンス図である。第3の実施の形態に係る通信システムでは、第1の実施の形態と同様、中継装置20を介して、SSL認証方式やTLS認証方式に加え、クライアント認証を付加したユーザ認証及び暗号化通信を行う。
次に、第3の実施の形態に係る認証方法について、図10を用いて説明する。図10は、発信端末(ユーザ・エージェント・クライアント(UAC))10aと受信端末(ユーザ・エージェント・サーバ(UAS))10bとの通信において、発信端末10aから初めての発呼を受けた場合のシーケンス図である。第3の実施の形態に係る通信システムでは、第1の実施の形態と同様、中継装置20を介して、SSL認証方式やTLS認証方式に加え、クライアント認証を付加したユーザ認証及び暗号化通信を行う。
まず、ステップS401において、中継装置20は、接続要求(INVITE)とともに、中継装置20のクライアント証明書(AP)を送信する。次に、ステップS402において、SIPサーバ30は、認証サーバ40へ確認要求を送信し、中継装置20のクライアント証明書(AP)を送信する。ステップS403において、認証サーバ40は、受信した中継装置のクライアント証明書(AP)と保持している加入者情報に基づいて、中継装置20の認証を行う。そして、ステップS403において、SIPサーバ30へ中継装置20の認証結果を送信する。
次に、中継装置20のユーザ認証結果が正当であった場合は、ステップS404において、SIPサーバ30は、事前に作成された共有鍵を中継装置20へ送信する。そして、ステップS406において、中継装置20は、共有鍵を蓄積する。尚、この共有鍵は、複数のSIPサーバ30毎に異なるものが用意されてもよく、1のSIPサーバ30(マスターサーバ)との間で作成された1の共有鍵をその他のサーバで共用してもよい。又、SIPサーバ30だけではなく、中継装置20同士の接続において、共有鍵が用意されてもよい。
次に、ステップS407において、発信端末10aは、中継装置20へ接続要求(INVITE)を送信する。その後、具体的には、発信端末10aから中継装置20を介して認証サーバ40へ、発信端末10aでサポート可能な暗号化/圧縮アルゴリズム一覧を通知し、認証サーバ40は、アルゴリズム一覧の中から実際に使用するアルゴリズムを決定し、中継装置20を介して、その結果を発信端末10aへ通知する。そして、認証サーバ40及び中継装置20自身の身元を証明する証明書を発信端末10aへ送信する。尚、中継装置20が暗号化/圧縮アルゴリズム一覧を有し、認証サーバ40を利用せずに、上記の手順を行っても構わない。
次に、ステップS408において、中継装置20は、発信端末10aへ発信端末10a自身の身元を証明する証明書であるクライアント証明書(UE)要求を送信する。
ステップS409において、発信端末10aは、SIMカードに記録されたクライアント証明書(UE)を取得する。そして、ステップS410において、クライアント証明書(UE)を送信する。その後、発信端末10aは、ここまでの通信内容のダイジェストを発信端末10aの秘密鍵で暗号化して中継装置20へ送信する。これを受信した中継装置20は、公開鍵で復号化し、クライアント証明書(UE)の正当性を確認する。
クライアント証明書(UE)の正当性が確認された場合、ステップS411において、中継装置20とSIPサーバ30は、事前に生成された共有鍵を用いて、VPN接続設定を行う。
ステップS412〜430については、図4のステップS105〜123と同様であるので、ここでは説明を省略する。
又、端末装置から発呼を受けた場合、既に、中継装置20が加入者情報を蓄積している場合のシーケンスについては、図5のステップS201〜217と同様であるのでここでは説明を省略する。
(作用及び効果)
第3の実施の形態に係る中継装置20及び認証方法によると、予め認証サーバ40との間で生成された共有鍵を蓄積し、発信端末10aから初めての発呼を受けた場合、共有鍵を用いてVPN接続設定を行うことができる。このため、複数のサーバ、あるいは中継装置同士でのVPN接続において、ネゴシエーション時間を短縮することができる。
第3の実施の形態に係る中継装置20及び認証方法によると、予め認証サーバ40との間で生成された共有鍵を蓄積し、発信端末10aから初めての発呼を受けた場合、共有鍵を用いてVPN接続設定を行うことができる。このため、複数のサーバ、あるいは中継装置同士でのVPN接続において、ネゴシエーション時間を短縮することができる。
(その他の実施形態)
本発明は上記の実施形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
本発明は上記の実施形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
例えば、第1〜第3の実施の形態において、SIPサーバ30に対するユーザ認証を例にとり、説明したが、加入者情報を必要とする他のサーバ、他のサービスに対して、本発明を用いても構わない。
このように、本発明はここでは記載していない様々な実施形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
10a…発信端末
10b、10c…受信端末
20…中継装置
20a…端末認証手段
20b…送信手段
20c…受信手段
20d…認証情報蓄積手段
20e…ユーザ認証手段
20f…証明書添付手段
20g…鍵管理手段
30…SIPサーバ
40…認証サーバ
80…インターネット
90a、90b、90c…SIMカード
10b、10c…受信端末
20…中継装置
20a…端末認証手段
20b…送信手段
20c…受信手段
20d…認証情報蓄積手段
20e…ユーザ認証手段
20f…証明書添付手段
20g…鍵管理手段
30…SIPサーバ
40…認証サーバ
80…インターネット
90a、90b、90c…SIMカード
Claims (7)
- 端末装置と、前記端末装置のサービス加入者認証を行う認証サーバとの間に設けられた中継装置であって、
前記端末装置から初めての発呼を受けた場合、前記端末装置のID、当該IDに対応する秘密情報に関する証明書を前記認証サーバへ送信し、前記認証サーバにおいて前記端末装置の認証を行うことにより、クライアント認証を行うと共に、前記端末装置と前記認証サーバ間でセキュアな暗号化した通信路を確保する送信手段と、
前記認証サーバから前記端末装置の認証結果及び加入者情報を受信する第1の受信手段と、
前記端末装置の証明書と前記第1の受信手段によって受信された加入者情報とを関連づけて蓄積する認証情報蓄積手段と、
前記認証情報蓄積手段に蓄積された加入者情報に基づき、前記認証サーバにおいて行われた前記端末装置の認証を代行して行う認証手段と
を備えることを特徴とする中継装置。 - 前記端末装置から前記端末装置の証明書を受信する第2の受信手段を更に備え、
前記送信手段は、前記第2の受信手段によって受信した前記端末装置の証明書を送信することを特徴とする請求項1に記載の中継装置。 - 前記端末装置の証明書は、前記端末装置の内部メモリに記録されていたものであることを特徴とする請求項2に記載の中継装置。
- 前記端末装置からの発呼に、前記中継装置に蓄積されている前記端末装置の証明書を添付する証明書添付手段を更に備え、
前記送信手段は、前記証明書添付手段によって添付された前記端末装置の証明書を送信することを特徴とする請求項1に記載の中継装置。 - 前記認証サーバから前記端末装置の認証結果を受信してから、所定の時間が経過した場合、あるいは、前記端末装置から所定の回数の発呼があった場合、
前記送信手段は、前記端末装置の証明書を前記認証サーバへ送信し、前記認証サーバにおいて前記端末装置の認証を行うことにより、クライアント認証を行うと共に、前記端末装置と前記認証サーバ間でセキュアな暗号化した通信路を確保する手順を再度行い、
前記第1の受信手段は、再度、前記認証サーバから前記端末装置の認証結果及び加入者情報を受信することを特徴とする請求項1〜4のいずれか1項に記載の中継装置。 - 予め前記認証サーバとの間で生成された共有鍵を蓄積し、前記端末装置から初めての発呼を受けた場合、前記共有鍵を用いて接続設定を行う鍵管理手段を更に備えることを特徴とする請求項1〜5のいずれか1項に記載の中継装置。
- 端末装置のサービス加入者認証を行う認証方法であって、
前記端末装置から初めての発呼を受けた場合、前記端末装置のID、当該IDに対応する秘密情報に関する証明書を前記認証サーバへ送信し、前記認証サーバにおいて前記端末装置の認証を行うことにより、クライアント認証を行うと共に、前記端末装置と前記認証サーバ間でセキュアな暗号化した通信路を確保するステップと、
前記認証サーバから前記端末装置の認証結果及び加入者情報を受信するステップと、
前記端末装置の証明書と加入者情報とを関連づけて蓄積するステップと、
前記蓄積するステップにおいて蓄積された加入者情報に基づき、前記認証サーバにおいて行われた前記端末装置の認証を代行して行うステップと
を含むことを特徴とする認証方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004252462A JP2006072493A (ja) | 2004-08-31 | 2004-08-31 | 中継装置及び認証方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004252462A JP2006072493A (ja) | 2004-08-31 | 2004-08-31 | 中継装置及び認証方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006072493A true JP2006072493A (ja) | 2006-03-16 |
Family
ID=36153090
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004252462A Pending JP2006072493A (ja) | 2004-08-31 | 2004-08-31 | 中継装置及び認証方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006072493A (ja) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010504670A (ja) * | 2006-09-23 | 2010-02-12 | 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信有限公司 | 公開鍵証明書状態の取得および確認方法 |
JP2010505334A (ja) * | 2006-09-27 | 2010-02-18 | マルチファクター コーポレイション | 安全なオンライン取引を容易にするシステム及び方法 |
JP2010086529A (ja) * | 2008-09-30 | 2010-04-15 | Avaya Inc | 連続する再認証を必要としないsipシグナリング |
JP2011203825A (ja) * | 2010-03-24 | 2011-10-13 | Sony Corp | 情報処理システム、情報処理装置、および管理サーバ |
JP2012205210A (ja) * | 2011-03-28 | 2012-10-22 | Sony Corp | 情報処理装置、情報処理方法、および、通信装置 |
JP5451950B2 (ja) * | 2012-02-10 | 2014-03-26 | パナソニック株式会社 | 設定方法、機器認証方法、機器認証システム、およびサーバ |
US8700901B2 (en) | 2006-09-27 | 2014-04-15 | Secureauth Corporation | Facilitating secure online transactions |
WO2014147741A1 (ja) * | 2013-03-19 | 2014-09-25 | 富士通株式会社 | プログラム、情報処理装置および更新方法 |
US10880219B2 (en) | 2012-04-27 | 2020-12-29 | Level 3 Communications, Llc | Load balancing of network communications |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11355266A (ja) * | 1998-06-05 | 1999-12-24 | Nec Corp | ユーザ認証装置およびユーザ認証方法 |
JP2002082907A (ja) * | 2000-09-11 | 2002-03-22 | Nec Corp | データ通信におけるセキュリティ機能代理方法、セキュリティ機能代理システム、及び、記録媒体 |
JP2003249944A (ja) * | 2002-02-21 | 2003-09-05 | Nippon Telegr & Teleph Corp <Ntt> | 無線アクセスネットワーク、無線マルチホップネットワーク、認証サーバ、基地局及び無線端末 |
JP2004164576A (ja) * | 2002-11-13 | 2004-06-10 | Korea Electronics Telecommun | 公衆無線lanサービスシステムにおけるユーザ認証方法およびユーザ認証システム、ならびに記録媒体 |
-
2004
- 2004-08-31 JP JP2004252462A patent/JP2006072493A/ja active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11355266A (ja) * | 1998-06-05 | 1999-12-24 | Nec Corp | ユーザ認証装置およびユーザ認証方法 |
JP2002082907A (ja) * | 2000-09-11 | 2002-03-22 | Nec Corp | データ通信におけるセキュリティ機能代理方法、セキュリティ機能代理システム、及び、記録媒体 |
JP2003249944A (ja) * | 2002-02-21 | 2003-09-05 | Nippon Telegr & Teleph Corp <Ntt> | 無線アクセスネットワーク、無線マルチホップネットワーク、認証サーバ、基地局及び無線端末 |
JP2004164576A (ja) * | 2002-11-13 | 2004-06-10 | Korea Electronics Telecommun | 公衆無線lanサービスシステムにおけるユーザ認証方法およびユーザ認証システム、ならびに記録媒体 |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010504670A (ja) * | 2006-09-23 | 2010-02-12 | 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信有限公司 | 公開鍵証明書状態の取得および確認方法 |
US8700901B2 (en) | 2006-09-27 | 2014-04-15 | Secureauth Corporation | Facilitating secure online transactions |
JP2010505334A (ja) * | 2006-09-27 | 2010-02-18 | マルチファクター コーポレイション | 安全なオンライン取引を容易にするシステム及び方法 |
US9900163B2 (en) | 2006-09-27 | 2018-02-20 | Secureauth Corporation | Facilitating secure online transactions |
US9294288B2 (en) | 2006-09-27 | 2016-03-22 | Secureauth Corporation | Facilitating secure online transactions |
JP2010086529A (ja) * | 2008-09-30 | 2010-04-15 | Avaya Inc | 連続する再認証を必要としないsipシグナリング |
JP2011203825A (ja) * | 2010-03-24 | 2011-10-13 | Sony Corp | 情報処理システム、情報処理装置、および管理サーバ |
JP2012205210A (ja) * | 2011-03-28 | 2012-10-22 | Sony Corp | 情報処理装置、情報処理方法、および、通信装置 |
JP2014075970A (ja) * | 2012-02-10 | 2014-04-24 | Panasonic Corp | コントローラ、及び通信方法 |
US9246895B2 (en) | 2012-02-10 | 2016-01-26 | Panasonic Intellectual Property Management Co., Ltd. | Setting method, device authentication method, device authentication system, and server |
JP5451950B2 (ja) * | 2012-02-10 | 2014-03-26 | パナソニック株式会社 | 設定方法、機器認証方法、機器認証システム、およびサーバ |
US10880219B2 (en) | 2012-04-27 | 2020-12-29 | Level 3 Communications, Llc | Load balancing of network communications |
WO2014147741A1 (ja) * | 2013-03-19 | 2014-09-25 | 富士通株式会社 | プログラム、情報処理装置および更新方法 |
JP5979304B2 (ja) * | 2013-03-19 | 2016-08-24 | 富士通株式会社 | プログラム、情報処理装置および更新方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2008212898B2 (en) | Support of UICC-less calls | |
US9191818B2 (en) | Methods and devices for OTA management of subscriber identity modules | |
TWI310650B (ja) | ||
US5537474A (en) | Method and apparatus for authentication in a communication system | |
EP3253092B1 (en) | Self provisioning of wireless terminals in wireless networks | |
US9246883B2 (en) | Subscriber identity module provisioning | |
US20120144463A1 (en) | System and method for extending secure authentication using unique session keys derived from entropy | |
CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
TW200421807A (en) | Authentication in a communication system | |
TW200952424A (en) | Authenticating a wireless device in a visited network | |
US20060154645A1 (en) | Controlling network access | |
US7898989B2 (en) | Call-number based customer identification method for personalizable internet portals | |
US20050195778A1 (en) | Method and device for setting up connections between communication terminals and data and/or communication networks having wireless transmission links, such as, for example, wireless local area networks (WLAN) and/or mobile telephone networks, and a corresponding computer program and a corresponding computer-readable storage medium | |
JP2006072493A (ja) | 中継装置及び認証方法 | |
US8229398B2 (en) | GSM authentication in a CDMA network | |
JP4289186B2 (ja) | 認証機能を有する電話機および電話システム | |
US20020042820A1 (en) | Method of establishing access from a terminal to a server | |
JPH0759154A (ja) | 網間認証鍵生成方法 | |
AU7211600A (en) | Internal line control system | |
KR100858606B1 (ko) | UICC를 이용한 이동통신망에서 VoIP망으로의 로밍서비스 방법 및 시스템 | |
JP3518474B2 (ja) | 位置情報サービスシステム及び方法及び位置情報サービスプログラムを格納した記憶媒体 | |
WO2015180324A1 (zh) | 主叫用户认证方法、装置及系统 | |
KR101719295B1 (ko) | 메시징 서비스 시스템 및 방법 | |
KR20080078214A (ko) | 휴대폰 미소지시 본인의 휴대폰 caller id를이용한 전화통화 방법 | |
KR20070022594A (ko) | 휴대 전화기, 통신 단말기, 통화 방법 및 통화 프로그램 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070330 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100622 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100823 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101102 |