JP2007189679A - IPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置 - Google Patents

IPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置 Download PDF

Info

Publication number
JP2007189679A
JP2007189679A JP2006344493A JP2006344493A JP2007189679A JP 2007189679 A JP2007189679 A JP 2007189679A JP 2006344493 A JP2006344493 A JP 2006344493A JP 2006344493 A JP2006344493 A JP 2006344493A JP 2007189679 A JP2007189679 A JP 2007189679A
Authority
JP
Japan
Prior art keywords
ipv4
node
ipv6
key
integrated network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006344493A
Other languages
English (en)
Other versions
JP4443558B2 (ja
Inventor
Taek-Jung Kwon
宅 靖 權
Kang-Young Moon
剛 英 文
Soo-Hwan Jeong
守 桓 鄭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2007189679A publication Critical patent/JP2007189679A/ja
Application granted granted Critical
Publication of JP4443558B2 publication Critical patent/JP4443558B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/251Translation of Internet protocol [IP] addresses between different IP versions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F24HEATING; RANGES; VENTILATING
    • F24CDOMESTIC STOVES OR RANGES ; DETAILS OF DOMESTIC STOVES OR RANGES, OF GENERAL APPLICATION
    • F24C3/00Stoves or ranges for gaseous fuels
    • F24C3/12Arrangement or mounting of control or safety devices
    • F24C3/126Arrangement or mounting of control or safety devices on ranges
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F24HEATING; RANGES; VENTILATING
    • F24CDOMESTIC STOVES OR RANGES ; DETAILS OF DOMESTIC STOVES OR RANGES, OF GENERAL APPLICATION
    • F24C3/00Stoves or ranges for gaseous fuels
    • F24C3/008Ranges
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F24HEATING; RANGES; VENTILATING
    • F24CDOMESTIC STOVES OR RANGES ; DETAILS OF DOMESTIC STOVES OR RANGES, OF GENERAL APPLICATION
    • F24C3/00Stoves or ranges for gaseous fuels
    • F24C3/08Arrangement or mounting of burners
    • F24C3/085Arrangement or mounting of burners on ranges
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2564NAT traversal for a higher-layer protocol, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Abstract

【課題】 IPv4網とIPv6網が混在した統合ネットワークにおいてPSK方式を基盤としてIPsecによって保安通信を可能にするIPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置を提供する。
【解決手段】 少なくとも1つのIPv4ノードと共有される各キー値を識別できる識別情報を生成し、IKEによる保安交渉過程で各IPv4ノードと生成された識別情報を交換する少なくとも1つのIPv6ノードと、各IPv6ノードと共有される各キー値を識別できる識別情報を生成し、保安交渉過程を通じて交換される識別情報に依存するキー値によって保安交渉過程を処理するIPv4ノードとを備える。
【選択図】 図7

Description

本発明は、IPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置に関する。
インターネットは、情報化社会の核心インフラとして位置付けられており、VoIP(Voice of IP)及びインターネットTVのようにリアルタイムで高品質サービスを提供する技術が開発されるに従って、インターネットを介して交換されるトラフィック(Traffic)もテキスト情報を含むトラフィックから音声情報、イメージ情報及び映像情報を含むマルチメディアトラフィックに変化し、トラフィックの量も爆発的に増加している。
現在構築されているIPv4(Internet Protocol Version 4)基盤のインターネットは、急激に増加するノードとマルチメディアトラフィックを収容するために、小さいアドレス情報と複雑なヘッダー構造を使用している。このため、トラフィックを処理するルータ及びノードの処理速度が遅れるようになり、全体としてのインターネットの性能を低下させるという問題点がある。
このようなIPv4基盤のインターネットの問題点を解決するために提案されたIPv6(Internet Protocol Version 6)は、128ビットの拡張されたアドレス体系と、単純化したヘッダー構造、向上したQoS(Quality of Service)及び強化した保安性などの特徴を有する。
しかしながら、現在のインターネットは、IPv4網で構築され、広く運用されているので、短期間にIPv6網へ転換することは現実的には不可能であり、当分の間は、IPv4網とIPv6網が共存しつつ、順次IPv6網に転換されることとが予想される。
したがって、成功的にIPv6網を構築するためには、IPv6ノードやルータが、現在構築されているIPv4網のIPv4ノード及びルータと共存することが重要である。
IPv6網に連結したノードとIPv4網に連結したノードとが、相互に連動して通信を行うためには、IPv6アドレスとIPv4アドレスとを相互に変換するアドレス変換器が必要である。
現在、IETF(internet Engineering Task Force)により多くの変換技術が標準化されており、これらのうち、ネットワークアドレス変換−プロトコル変換(Network Address Translation-Protocol Translation、以下、NAT−PTという)技術と、DSTM(Dual Stack Transition Mechanism)技術が登場している。
ここで、NAT−PTは、インターネット国際標準化機構であるIETFによりRFC 2766で制定された標準であって、IPv6−IPv4アドレス変換機能について記述している。
NAT−PTサーバーは、IPv6網とIPv4網との境界に位置し、IPv6ノードに動的に割り当てるIPv4アドレスを集めたIPv4アドレスプールを有している。
このようなNAT−PTサーバーは、IPv4アドレスプールに基づいてセッションが初期化される毎に、IPv6ノードにIPv4アドレスを割り当てるアドレス変換(NAT:Network Address Translation)機能と、プロトコル変換(PT:Protocol Translation)機能を有する。
特に、NAT−PTサーバーは、IPv6ノードから受信されるパケットのヘッダーアドレス情報を変換するIPヘッダー変換方法を使用する。
IP通信を行う両ノード間の認証処理方式には、PSK(Pre-shared Key:事前共有キー)方式が挙げられる。PSK方式は、両ノードに同一の秘密キーを入力し、ノード間の相互認証を処理する方式である。
一方、IPを保護するためにIPsecが開発されており、IPsecは、機密性(confidentiality)、無欠性(data integrity)、アクセス制御(access control)及びデータソース認証(data source authentication)など保安サービスを提供する。
このようなIPsecは、保安通信を行う両ノードが、所要の状態情報(shared associate:SA)を事前に設定し、これを維持及び管理しなければならない。SA情報は、暗号アルゴリズム及びキー値などになり得る。
大規模のネットワークにおいて、保安通信を行う各ノード間に流動的にSAを自動に設定できるようにするIKE(Inter Key Exchange)規約が開発され、IKEは、保安通信を行う両ノードに対する信号認証と、IPsecに使われるSAを設定する機能をする。
しかしながら、IPv4/IPv6統合ネットワークにおいては、IPv4ノードとIPv6ノード間の相互認証に効果的なPSK方式を基盤としては、保安通信を行うことはできない。
すなわち、IPv4/IPv6統合ネットワークにおいて、IPv6ノードとIPv4ノード間の保安通信を行う場合には、各ノードは、IKE規約によって同一の識別情報(ID)と共有キーを設定する。
この際、IKE規約がID保護モード(main mode)である場合には、IDには、ノードのIPアドレスが使われ、ID非保護モード(aggressive mode)である場合には、電子メールアドレスなどが使われる。
しかしながら、IPv4/IPv6統合ネットワークのIPv4ノードでNAT−PTサーバーは、IPv6ノードにIPv4アドレスを動的に割り当てるため、IPv4ノードは、IPv6ノードに割り当てられるIPv4アドレス情報を知ることができず、IPv4/IPv6統合ネットワークでは、PSK方式を基盤とした保安通信を行うことができない。
すなわち、IPv4/IPv6統合ネットワークにおいては、IKE規約のID保護モードを通じて保安通信がサポートされず、PSK方式によって共有された秘密キーを基盤としてIKE規約に基づく保安通信を行うことができない。
韓国公開特許公報2003−0092322
従って、本発明は、前述のような問題点を解決するためになされたもので、その目的は、IPv4網とIPv6網が混在した統合ネットワークにおいて、PSK方式を基盤として、IPsecによって保安通信を可能なようにするIPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置を提供することにある。
上記目的を達成するために、本発明の一態様に係るIPv4/IPv6統合ネットワークシステムは、相異なるネットワークに設けられた少なくとも1つのIPv4ノード及びIPv6ノードを含むIPv4/IPv6統合ネットワークであって、少なくとも1つのIPv4ノードと共有された各秘密キーを識別できるKEY−IDを生成し、保安交渉過程で各IPv4ノードとKEY−IDを交換する少なくとも1つのIPv6ノードと、各IPv6ノードと共有された各秘密キーを識別できるKEY−IDを生成し、交換されたKEY−IDに相当する秘密キーによって保安交渉過程を処理するIPv4ノードと、を備える。
本発明において、KEY−IDは、共有された秘密キー値をハッシュ関数処理した結果値のうち下位32ビット値である。
本発明において、各ノードは、IKE(Internet key exchange)ヘッダー(HDR)、SA(shared associate)情報及びKEY−IDが含まれるIKEペイロードを構成する。
本発明において、各ノードは、予約(reserved)ネクストペイロード値のうちKEY−IDであることを明示するペイロード値をネクストペイロードフィールドにセッティングし、ペイロードフィールドにKEY−IDがセッティングされたIKEペイロードにKEY−IDを転送する。
本発明に係るIPv4/IPv6統合ネットワークシステムは、各IPv6ノードにIPv4アドレスを動的に割り当てることができるアドレスプールを有し、各第1のノードに割り当てられるIPv4アドレスに依存するアドレステーブルを管理し、アドレステーブルに基づいてIPv6パケットをIPv4パケットに変換し、IPv4パケットをIPv6パケットに変換するNAT−PT(Network Address Translation-Protocol Translation)サーバーをさらに備える
本発明において、各ノードは、保安交渉過程で選択された秘密キー値と、暗号キー共有過程に共有されるキー交換(Key Exchange)及び乱数値(Ni、Nr)によって暗号キーを生成し、キー交換による認証過程が完了すれば、暗号キーによってデータを暗号化し、保安通信を行う。
また、本発明の他の態様に係るIPv4/IPv6統合ネットワークシステムは、相異なるネットワークに設けられた少なくとも1つのIPv4ノード及びIPv6ノードを含むIPv4/IPv6統合ネットワークであって、少なくとも1つのIPv6ノードと共有される各秘密キー値を識別できる識別情報を生成し、IKE(Internet key exchange)による保安交渉過程で各IPv6ノードと生成された識別情報を交換する少なくとも1つのIPv4ノードと、各IPv4のノードと共有された各秘密キー値を識別できる識別情報を生成し、保安交渉過程を通じて交換される識別情報に相当する秘密キー値を用いて保安交渉過程を処理するIPv6ノードと、を備える。
また、本発明のさらに他の態様に係るIPv4/IPv6統合ネットワークの保安通信方法は、相異なる種類のIP網に設けられる少なくとも1つのノードが秘密キー値を共有する段階と、各ノードが共有された秘密キー値を識別できるKEY−IDを生成する段階と、各ノードがKEY−IDを交換し、保安のための交渉過程を処理する段階と、を備える。
本発明において、KEY−IDを生成する段階は、秘密キー値をハッシュ関数処理した結果値の下位32ビット値をKEY−IDに設定する 。
本発明において、交渉過程を処理する段階は、第1のノードがIKEヘッダー(HDR)、SA(shared associate)情報及びKEY−IDが含まれるIKEペイロードを含む第1のパケットを第2のノードに転送する段階と、第2のノードがIKEヘッダー(HDR)、SA(shared associate)情報及びKEY−IDが含まれるIKEペイロードを含む第2のパケットを第1のノードに転送する段階と、を備える。
本発明に係るIPv4/IPv6統合ネットワークの保安通信方法は、第1のノードに動的にIPアドレスを割り当て、第1のパケットを第2のパケットに変換し、第2のパケットを第1のパケットに変換する段階をさらに備える。
本発明において、IKEペイロードは、予約(reserved)ネクストペイロード値のうちKEY−ID値として定義される値がネクストペイロードフィールドにセットされ、ペイロードフィールドにKEY−IDがセットされた識別ペイロードを含む。
本発明に係るIPv4/IPv6統合ネットワークの保安通信方法は、交渉過程で選択された秘密キー値と、暗号キー共有過程で共有されたキー交換(Key Exchange)及び乱数値(Ni、Nr)によって暗号キーを生成する段階と、暗号キーの交換によって認証過程が完了した場合には、暗号キーによってデータを暗号化し、保安通信を行う段階とをさらに備える。
また、本発明のさらに他の態様に係るIPv4/IPv6統合ネットワークの保安通信方法は、少なくとも1つのIPv6ノード及びIPv4ノードが秘密キーを共有する段階と、各ノードが各秘密キーを識別できる識別情報を生成する段階と、IKEによる保安交渉過程で各IPv6ノードとIPv4ノードが識別情報を交換する段階と、各IPv6ノード及びIPv4ノードが識別情報に相当する秘密キーによって保安交渉過程を処理する段階と、を備える。
本発明に係るIPv4/IPv6統合ネットワークの保安通信方法は、保安交渉過程で選択された前記秘密キーと、暗号キー共有過程で共有されたキー交換(Key Exchange)及び乱数値(Ni、Nr)によって暗号キーを生成する段階と、前記暗号キーの交換によって認証過程が完了した場合には、暗号キーによってデータを暗号化し、保安通信を行う段階とをさらに備える。
本発明によれば、IPv4網とIPv6網が混在した統合ネットワークにおいて、秘密キーを識別できるID情報を、IPアドレス情報として使用しないことによって、NAT−PTサーバーを介してパケットが変換される場合であっても、IPv4ノードとIPv6ノードが秘密キーを識別できるので、IPv4/IPv6統合ネットワークにおいて、秘密キー方式を基盤としてIPsecによる保安通信を実現することができる。
以下、添付の図面を参照して、本発明の実施形態のIPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置を詳細に説明する。
図1は、本発明の実施形態のIPv4/IPv6統合ネットワークを説明するブロック図である。
図1を参照すれば、IPv6網に設けられた多数のIPv6ノード100と、IPv4網に設けられたIPv4ノード300とが、NAT−PTサーバー200を介して連結されている。
NAT−PTサーバー200は、IPv4網とIPv6網との境界地点に位置し、IPv6ノード100に動的に割り当てるIPv4アドレスを集めたIPv4アドレスプール(不図示)に基づいて、セッションが初期化される時毎に、IPv6ノード100に動的にIPv4アドレスを割り当てる。
本実施形態では、各IPv6ノード100とIPv4ノード300間に、PSK方式に基づいて、IKE規約によって保安通信を行う場合について説明する。
また、本実施形態では、一例として、IPv4ノード300が、多数のIPv6ノード100と秘密キーを共有する場合について説明するが、その他、IPv6ノード100が、多数のIPv4ノード300と秘密キーを共有する場合にも、同様に適用することができる。
図2は、一般的なIPv4ノードに設定されるPSK(事前共有キー)を説明する図である。
図2に示すように、各PSKは、識別情報IDと秘密キーとを含む。各秘密キーの識別情報は、IPアドレス情報であり、‘220.70.2.50’は、NAT−PTサーバー200が、IPv6ノード100に動的に割り当てるIPv4アドレスである。また、‘220.70.2.100’は、IPv4ノード300のIPv4アドレスである。また、各識別情報にマッチングされる秘密キーは、‘1234’である。
図3は、一般的なIPv6ノードに設定されるPSK(事前共有キー)を説明する図である。
図3に示すように、各秘密キーの識別情報は、IPアドレス情報である。‘2001::1’は、第1のIPv6ノード100のIPv6アドレスである。‘3ffe:2e00:e:fff9::220.70.3.100’は、NAT−PTサーバー200のprefixアドレスである‘3ffe:2e00:e:fff9’の後段に、IPv4ノード300のIPアドレス‘220.70.2.100’を付けて生成されたアドレスである。また、各識別情報にマッチングされる秘密キーは、‘1234’である。
図2及び図3と関連して説明したように、各ノードは、同じ秘密キーを共有しており、各秘密キーを識別するための識別情報は、各ノードのIPアドレスが使われることが分かる。
しかしながら、IPv4/IPv6統合ネットワークにおいては、IPv6ノード100と保安通信を行うIPv4ノード300の秘密キーを識別する識別情報として、IPアドレスを使用することができない。なぜなら、IPv4ノード300は、NAT−PTサーバー200からIPv6ノード100に任意に割り当てられるIPv4アドレス220.70.2.50が、動的に割り当てられるので、IPv4ノード300は、IPv6ノード100のIPアドレスに依存する秘密キーを識別することができなくなり、保安通信を行うことができないためである。
したがって、本実施形態のIPv4ノード300及びIPv6ノード100は、それぞれ共有している秘密キーに基づいてIPアドレス情報ではない他の識別情報(以下、KEY−IDと言う)を生成し、秘密キーに基づいてIKE規約に基づく保安通信を行う。
図4は、本実施形態の各IPv6ノードに設定されるPSK(事前共有キー)を説明する図である。
図4に示すように、本実施形態の各IPv6ノード100は、PSKの秘密キーに基づいてKEY−IDを生成する。
例えば、第1のIPv6ノード100のKEY−IDは、‘12345678’であり、マッチングされる秘密キーは、‘1111’である。第2のIPv6ノード100のKEY−IDは、‘87654321’であり、マッチングされる秘密キーは、‘2222’である。第3のIPv6ノード100のKEY−IDは、‘12341234’であり、マッチングされる秘密キーは、‘3333’である。
図5は、本実施形態の各IPv4ノードに設定されるPSK(事前共有キー)を説明する図である。
図5に示すように、各IPv6ノード100と共有された各秘密キーに基づいて各秘密キーを識別できるKEY−IDを生成し、各KEY−IDと各KEY−IDにマッチングされる秘密キーとを保存して管理する。
例えば、IPv4ノード300は、第1の秘密キー‘1111’にマッチングされるKEY−ID‘12345678’と、第2の秘密キー‘2222’にマッチングされるKEY−ID‘87654321’と、第3の秘密キー‘3333’にマッチングされるKEY−ID‘12341234’とを有する。
このような各IPv6ノード100及びIPv4ノード300は、秘密キーのキー値をハッシュ関数処理した結果値のうち下位32ビット値をKEY−IDに設定する。
図6は、本実施形態のKEY−IDの生成を説明する図である。
図6に示すように、各IPv6ノード100及びIPv4ノード300は、共有されたPSKのうち秘密キーのキー値(key value)を、ハッシュ関数(Secure Hash Standard)処理した結果値の、下位32ビット値を該当秘密キーのKEY−IDに設定する。
各IPv6ノード100及びIPv4ノード300は、既存のIPアドレスを転送せず、IKE規約に従う秘密キーの識別情報を用いて保安通信を行うことにより、KEY−IDを交換する。
図4及び図5では、一例として、KEY−IDを10進数で表記したが、その他の進数方式で表現する場合にも、同様である。
図7は、本実施形態のIPv4/IPv6統合ネットワークの保安通信方法を説明するフローチャートである。
図7を参照すれば、各IPv6ノード100及びIPv4ノード300は、図4及び図5と関連して説明したように、共有されたPSKの秘密キーを識別できるKEY−IDを生成する。
IPv6ノード100及びIPv4ノード300は、‘IPsec’による保安通信を開始する。保安通信過程は大きく、保安交渉過程S110と、暗号キー共有過程S120と、認証手続過程S130と、保安通信実行過程S140とからなる。
保安交渉過程S110のフローは、次の通りである。
IPv6ノード100は、IKE(Internet Key Exchange)交渉のためにIKEヘッダー(Header、以下、HDRという)と、SA情報(例えば、暗号アルゴリズム)と、KEY−IDとが含まれたIKEペイロードを構成する。また、IPv6ノード100は、IKEペイロードが含まれたIPv6パケットを生成する。また、IPv6ノード100は、IPv6パケットをNAT−PTサーバー200に転送する(ステップS111。なお、図中ではステップをSと略す。)。
図8は、本実施形態のHDRの構成を説明する図である。図8に示すように、‘HDR’は、‘SA’情報を識別するために‘開始者’が選択した値を有する‘IKE_SA開始者のSPI’フィールドと、‘SA’情報を識別するために‘応答者’が選択した値を有する‘IKE_SA応答者のSPI’フィールドと、‘HDR’の次に位置するペイロードタイプを示す‘ネクストペイロード’フィールドと、使われるプロトコルのバージョンを示す‘MjVer’と、‘MnVer’フィールドと、メッセージ交換タイプを示す‘交換タイプ’フィールドと、メッセージに選択されたオプションを示す‘フラグ’フィールドと、データの再転送を制御し、要請と応答をマッチングさせるための‘メッセージID’フィールドと、ヘッダー以後のペイロード全体のメッセージ長さを示す‘長さ’フィールドとを含む。
図9は、本実施形態のペイロードタイプを説明する図である。
図9に示すように、ペイロードタイプのうち定義されていないペイロード値(私用の予約;Reserved for private use)のうち1つの値をKEY−IDのペイロードタイプ値として定義することができる。
図10は、本実施形態のKEY−IDペイロードを説明する図である。
図10に示すように、IPv6ノード100またはIPv4ノード300は、‘ネクストペイロード’フィールドに定義されるKEY−IDのペイロードタイプ値を設定し、ペイロードフィールドに秘密キーを識別できるKEY−IDを含めて、図8に示すHDRの後段に連結し、IKEペイロードを生成する。
NAT−PTサーバー200は、IPv4アドレスプールに基づいて各IPv6ノード100に割り当てられるIPv4アドレスを基盤としてIPv6パケットをIPv4パケットに変換する。この際、NAT−PTサーバー200は、各IPv6ノード100に割り当てられたIPv4アドレスをマッピングテーブルで管理する。
また、NAT−PTサーバー200は、変換されたIPv4パケットをIPv4ノード300に転送する(ステップS112)。
すなわち、IPv6ノード100からHDRと、SA情報と、KEY−IDとがIPv4ノード300に転送される。SA情報については、多数のSA情報がリスト(list)化された形態で転送される。
IPv4ノード300は、NAT−PTサーバー200からHDRと、SA情報と、KEY−IDとが含まれたIKEペイロードを含むIPv4パケットを受信した場合には、IKEペイロードに含まれたKEY−IDに従う秘密キーを選択する。
IPv4ノード300は、IPv6ノード100とのIKE交渉のために、HDRと、SA情報と、選択されたPSKの秘密キーを識別できるKEY−IDとが含まれたIKEペイロードを含むIPv4パケットを生成し、NAT−PTサーバー200に転送する(ステップS113)。
NAT−PTサーバー200は、マッピングテーブルに基づいて、IPv4パケットをIPv6パケットに変換し、IPv6ノード100に転送する(ステップS114)。
すなわち、IPv4ノード300から、HDRと、SA情報と、KEY−IDとがIPv6ノード100に転送される。この際、SA情報は、IPv6ノード100から伝達された多数のSA情報のうち、IPv4ノード300により、選択された(selected)SA情報が転送される。
すなわち、保安交渉過程S110で、IPv6ノード100とIPv4ノード300は、互いに共有しているPSKの秘密キーを、KEY−IDを通じて確認することができ、SA情報及び秘密キーに従う保安交渉を処理する。
次に、暗号キー共有過程S120でのデータ転送手続過程は、次の通りである。
IPv6ノード100は、HDRと、キー交換(Key Exchange、以下、KEという)と、臨時乱数値Niとが含まれたIKEペイロードを含むIPv6パケットを生成し、IPv6パケットをNAT−PTサーバー200に転送する(ステップS121)。
NAT−PTサーバー200は、マッピングテーブルに登録されたIPv6ノード100のIPv4アドレスに基づいて、IPv6パケットをIPv4パケットに変換し、IPv4パケットをIPv4ノード300に転送する(ステップS122)。
IPv4ノード300は、NAT−PTサーバー200からHDRと、KEと、Ni値とが含まれたIKEペイロードを受信した場合には、IPv6ノード100のKE及びNi値を把握する。
IPv4ノード300は、HDRと、KEと、Nr値とが含まれたIKEペイロードを含むIPv4パケットを生成し、NAT−PTサーバー200に転送する(ステップS123)。
NAT−PTサーバー200は、マッピングテーブルに基づいて、IPv4パケットをIPv6パケットに変換し、IPv6ノード100に転送する(ステップS124)。
すなわち、各IPv6ノード100及びIPv4ノード300は、暗号キー共有過程S120を通じて共有した秘密キーと、選択されたSA情報と、KEと、乱数値Ni、Nrとを用いてデータを暗号化する暗号キーを生成する。
認証手続S130でのデータ転送手続は、次の通りである。
IPv6ノード100は、アドレス情報IDiiと、認証情報[CERT,]SIG_Iとを生成し、共有されたキー情報KEを用いて、アドレス情報IDiiと、認証情報[CERT,]SIG_Iと、HDRとを暗号化したIKEペイロードを含むIPv6パケットを生成し、NAT−PTサーバー200に転送する(ステップS131)。
NAT−PTサーバー200は、IPv6パケットをマッピングテーブルに基づいてIPv4パケットに変換し、IPv4パケットをIPv4ノード300に転送する(ステップS132)。
IPv4ノード300は、受信されたIPv4パケットのIKEペイロードに含まれたアドレス情報IDii及び認証情報[CERT,]SIG_IなどによりIPv6ノード100を認証する。
IPv4ノード300は、IPv6ノード100が認証された場合には、自身のアドレス情報IDirと、そのアドレス情報が反映された認証情報[CERT,]SIG_Rを生成し、アドレス情報IDirと認証情報[CERT,]SIG_RとHDRを、キー情報KEを用いて暗号化したIKEペイロードを含むIPv4パケットを生成し、IPv4パケットをNAT−PTサーバー200に転送する(ステップS133)。
NAT−PTサーバー200は、マッピングテーブルに基づいてIPv4パケットをIPv6パケットに変換し、IPv6パケットをIPv6ノード100に転送する(ステップS134)。
IPv6ノード100は、IPv6パケットに含まれたアドレス情報IDirと認証情報[CERT,]SIG_Rとを用いてIPv4ノード300を認証する。
IPv6ノード100とIPv4ノード300間に相互認証が完了した場合には、暗号キー共有過程120を通じて共有した暗号キーを用いて、IPv6ノード100とIPv4ノード300間に、IPsecによる保安通信が行われる(ステップS140)。
図11は、本実施形態のIPv4/IPv6統合ネットワークシステムの保安通信方法を説明するフローチャートである。
図11を参照すれば、IPv4網に設けられたIPv4ノード300と、IPv6網に設けられた多数のIPv6ノード100とが、秘密キーを共有する(ステップS200)。
各IPv6ノード100及びIPv4ノード300は、共有された秘密キーに基づいて各秘密キーを識別できるKEY−IDを生成する(ステップS210)。
各IPv6ノード100及びIPv4ノード300は、共有されたPSKの秘密キーのキー値(key value)をハッシュ関数(Secure Hash Standard)処理した結果値の下位32ビット値を該当秘密キーのKEY−IDに設定する。
各IPv6ノード100とIPv4ノード300は、HDRと、SA情報と、KEY−IDとを含むIKEペイロードを交換し、保安交渉過程を処理する(ステップS220)。
各IPv6ノード100及びIPv4ノード300は、交換されるKEY−IDにマッチングする秘密キーを選択する(ステップS230)。
各IPv6ノード100及びIPv4ノード300は、HDRと、キー交換(Key Exchange)と、臨時乱数値Niとを含むIKEペイロードを交換し、共有している秘密キーと、SA情報と、KEと、乱数値Ni、Nrとを用いてデータを暗号化するための暗号キーを共有する(ステップS240)。
各IPv6ノード100は、アドレス情報IDiiと、認証情報[CERT,]SIG_Iとを生成し、共有されたキー情報KEを用いて、アドレス情報IDiiと、認証情報[CERT,]SIG_Iと、HDRとを暗号化したIKEペイロードを含むIPv6パケットを生成し、IPv6パケットをNAT−PTサーバー200を介してIPv4ノード300に転送する。
IPv4ノード300は、受信されたIKEペイロードに含まれたアドレス情報IDiiと、認証情報[CERT,]SIG_Iなどによって、IPv6ノード100を認証し、自身のアドレス情報IDirと、当該アドレス情報が反映された認証情報[CERT,]SIG_Rと、HDRとを、キー情報KEを用いて暗号化したIKEペイロードを含むIPv4パケットを、NAT−PTサーバー200を介してIPv6ノード100に転送する。
IPv6ノード100は、IPv6パケットに含まれたアドレス情報IDirと、認証情報[CERT,]SIG_Rとを用いて、IPv4ノード300を認証する(ステップS250)。
IPv6ノード100とIPv4ノード300間に相互認証が完了すれば、暗号キー共有過程120を通じて共有した暗号キーを用いてIPv6ノード100とIPv4ノード300間にIPsecによる保安通信が行われる(ステップS260)。
この際、NAT−PTサーバー200は、IPv4アドレスプール(pool)に基づいてIPv6ノード100に割り当てられたIPv4アドレスに基づいて、マッピングテーブルを管理し、IPv6パケットをIPv4パケットに変換し、IPv4パケットをIPv6パケットに変換する。
本実施形態のIPv4/IPv6統合ネットワークを説明するためのブロック図である。 一般的なIPv4ノードに設定されるPSKを説明するための図である。 一般的なIPv6ノードに設定されるPSKを説明するための図である。 本実施形態の各IPv6ノードに設定されるPSKを説明する図である。 本実施形態の各IPv4ノードに設定されるPSKを説明する図である。 本実施形態のKEY−IDの生成を説明する図である。 本実施形態のIPv4/IPv6統合ネットワークの保安通信方法を説明するフローチャートである。 本実施形態のHDRの構成を説明する図である。 本実施形態のペイロードタイプを説明する図である。 本実施形態のKEY−IDペイロードを説明する図である。 本実施形態のIPv4/IPv6統合ネットワークシステムの保安通信方法を説明するフローチャートである。
符号の説明
100 IPv6ノード
200 NAT−PTサーバー
300 IPv4ノード

Claims (16)

  1. 相異なるネットワークに設けられた少なくとも1つのIPv4ノード及びIPv6ノードを含むIPv4/IPv6統合ネットワークであって、
    少なくとも1つのIPv4ノードと共有された各秘密キーを識別できるKEY−IDを生成し、保安交渉過程で前記各IPv4ノードと前記KEY−IDを交換する少なくとも1つのIPv6ノードと、
    前記各IPv6ノードと共有された各秘密キーを識別できるKEY−IDを生成し、前記交換されたKEY−IDに相当する秘密キーによって前記保安交渉過程を処理するIPv4ノードと、
    を備えることを特徴とするIPv4/IPv6統合ネットワークシステム。
  2. 前記KEY−IDは、
    前記共有された秘密キー値をハッシュ関数処理した結果値の下位32ビット値であることを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
  3. 前記IPv6ノード及び前記IPv4ノードは、
    IKE(Internet key exchange)ヘッダー(HDR)と、SA(shared associate)情報と、KEY−IDとを含むIKEペイロードを構成することを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
  4. 前記IPv6ノード及び前記IPv4ノードは、
    予約(reserved)ネクストペイロード値のうちKEY−IDであることを示すペイロード値をネクストペイロードフィールドにセットし、
    ネクストペイロードフィールドに前記KEY−IDがセットされたIKEペイロードを用いて前記KEY−IDを転送することを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
  5. 前記各IPv6ノードにIPv4アドレスを動的に割り当てることができるアドレスプール(pool)を有し、前記各IPv6ノードに割り当てられるIPv4アドレスに依存するアドレステーブルを管理し、前記アドレステーブルに基づいてIPv6パケットをIPv4パケットに変換し、IPv4パケットをIPv6パケットに変換するNAT−PT(Network Address Translation-Protocol Translation)サーバーをさらに備えることを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
  6. 前記IPv6ノード及び前記IPv4ノードは、
    前記保安交渉過程で選択された前記秘密キー値と、暗号キー共有過程で共有されたキー交換(Key Exchange)値及び乱数値(Ni、Nr)と、に基づいて暗号キーを生成し、前記キー交換による認証過程が完了すれば、前記暗号キーによってデータを暗号化し、保安通信を行うことを特徴とする請求項1に記載のIPv4/IPv6統合ネットワークシステム。
  7. 相異なるネットワークに設けられた少なくとも1つのIPv4ノード及びIPv6ノードを含むIPv4/IPv6統合ネットワークであって、
    少なくとも1つのIPv6ノードと共有される各秘密キー値を識別できる識別情報を生成し、IKE(Internet key exchange)による保安交渉過程で前記各IPv6ノードと前記生成された識別情報を交換する少なくとも1つのIPv4ノードと、
    前記各IPv4ノードと共有された各秘密キー値を識別できる識別情報を生成し、前記保安交渉過程を通じて交換される識別情報に相当する秘密キー値を用いて保安交渉過程を処理するIPv6ノードと、
    を備えることを特徴とするIPv4/IPv6統合ネットワークシステム。
  8. 相異なるネットワークに設けられたIPv6ノード及びIPv4ノードを含むIPv4/IPv6統合ネットワークの保安通信方法であって、
    相異なる種類のIP網に設けられる少なくとも1つ以上のノードが秘密キー値を共有する段階と、
    前記各ノードが前記共有された秘密キー値を識別できるKEY−IDを生成する段階と、
    前記各ノードが前記KEY−IDを交換し、保安のための交渉過程を処理する段階と、
    を有することを特徴とするIPv4/IPv6統合ネットワークの保安通信方法。
  9. 前記KEY−IDを生成する段階は、
    前記秘密キー値をハッシュ関数処理した結果値の下位32ビット値を前記KEY−IDに設定することを特徴とする請求項8に記載のIPv4/IPv6統合ネットワークの保安通信方法。
  10. 前記交渉過程を処理する段階は、
    第1のノードが、IKEヘッダー(HDR)と、SA(shared associate)情報と、KEY−IDとが含まれるIKEペイロードを含む第1のパケットを第2のノードに転送する段階と、
    前記第2のノードが、IKEヘッダー(HDR)と、SA(shared associate)情報と、KEY−IDとが含まれるIKEペイロードを含む第2のパケットを前記第1のノードに転送する段階と、
    を備えることを特徴とする請求項8に記載のIPv4/IPv6統合ネットワークの保安通信方法。
  11. 前記第1のノードに動的にIPアドレスを割り当て、前記第1のパケットを前記第2のパケットに変換し、前記第2のパケットを前記第1のパケットに変換する段階をさらに備えることを特徴とする請求項10に記載のIPv4/IPv6統合ネットワークの保安通信方法。
  12. 前記IKEペイロードは、
    予約(reserved)ネクストペイロード値のうちKEY−ID値として定義される値がネクストペイロードフィールドにセットされ、ネクストペイロードフィールドに前記KEY−IDがセットされた識別ペイロードを含むことを特徴とする請求項10に記載のIPv4/IPv6統合ネットワークの保安通信方法。
  13. 前記各ノードは、
    IPv6網に設けられたIPv6ノードまたはIPv4網に設けられたIPv4ノードであることを特徴とする請求項8に記載のIPv4/IPv6統合ネットワークの保安通信方法。
  14. 前記交渉過程で選択された前記秘密キー値と、暗号キー共有過程で共有されたキー交換(Key Exchange)及び乱数値(Ni、Nr)とによって暗号キーを生成する段階と、
    暗号キーの交換による認証過程が完了した場合には、前記暗号キーによってデータを暗号化し、保安通信を行う段階と、
    をさらに備えることを特徴とする請求項8に記載のIPv4/IPv6統合ネットワークの保安通信方法。
  15. 相異なるネットワークに設けられたIPv6ノード及びIPv4ノードを含むIPv4/IPv6統合ネットワークの保安通信方法であって、
    少なくとも1つのIPv6ノード及びIPv4ノードが秘密キーを共有する段階と、
    前記IPv6ノード及び前記IPv4ノードが前記各秘密キーを識別できる識別情報を生成する段階と、
    IKEによる保安交渉過程で、前記各IPv6ノードと前記IPv4ノードが前記識別情報を交換する段階と、
    前記各IPv6ノード及び前記IPv4ノードが前記識別情報に相当する秘密キーによって前記保安交渉過程を処理する段階と、
    を備えることを特徴とするIPv4/IPv6統合ネットワークの保安通信方法。
  16. 前記保安交渉過程で選択された前記秘密キーと、暗号キー共有過程で共有されたキー交換(Key Exchange)及び乱数値(Ni、Nr)とによって、暗号キーを生成する段階と、
    暗号キーの交換による認証過程が完了した場合には、前記暗号キーによってデータを暗号化し、保安通信を行う段階と、
    をさらに備えることを特徴とする請求項15に記載のIPv4/IPv6統合ネットワークの保安通信方法。
JP2006344493A 2006-01-12 2006-12-21 IPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置 Expired - Fee Related JP4443558B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060003649A KR100814400B1 (ko) 2006-01-12 2006-01-12 IPv4/IPv6 통합 네트워크 시스템의 보안 통신방법 및 그 장치

Publications (2)

Publication Number Publication Date
JP2007189679A true JP2007189679A (ja) 2007-07-26
JP4443558B2 JP4443558B2 (ja) 2010-03-31

Family

ID=38234113

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006344493A Expired - Fee Related JP4443558B2 (ja) 2006-01-12 2006-12-21 IPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置

Country Status (4)

Country Link
US (1) US8266428B2 (ja)
JP (1) JP4443558B2 (ja)
KR (1) KR100814400B1 (ja)
CN (1) CN101005355B (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8635440B2 (en) * 2007-12-13 2014-01-21 Microsoft Corporation Proxy with layer 3 security
US10320951B2 (en) * 2011-10-31 2019-06-11 Hurricane Electric Systems and methods for establishing a virtual local area network
US20130218768A1 (en) 2012-02-21 2013-08-22 Mike Leber Systems and Methods for Facilitating Secured Financial Transactions
US9008093B2 (en) 2012-03-12 2015-04-14 Comcast Cable Communications, Llc Stateless protocol translation
US9965760B2 (en) 2012-06-29 2018-05-08 Hurricane Electric Systems and methods for facilitating electronic transactions utilizing a mobile computing device
US8990956B2 (en) 2012-08-06 2015-03-24 Hurricane Electric Systems and methods of exchanging information for a reward
US10212143B2 (en) * 2014-01-31 2019-02-19 Dropbox, Inc. Authorizing an untrusted client device for access on a content management system
US9641488B2 (en) 2014-02-28 2017-05-02 Dropbox, Inc. Advanced security protocol for broadcasting and synchronizing shared folders over local area network
US20160191478A1 (en) * 2014-12-31 2016-06-30 Motorola Solutions, Inc Method and computing device for integrating a key management system with pre-shared key (psk)-authenticated internet key exchange (ike)
US10263968B1 (en) * 2015-07-24 2019-04-16 Hologic Inc. Security measure for exchanging keys over networks
CN110198365B (zh) * 2019-05-27 2022-12-23 杭州迪普科技股份有限公司 一种地址转换检测方法及系统
CN110798316A (zh) * 2019-09-20 2020-02-14 西安瑞思凯微电子科技有限公司 加密密钥生成及其加密方法、解密密钥生成及其解密方法
KR102371803B1 (ko) * 2019-12-18 2022-03-08 고려대학교 산학협력단 차량-인프라 통신에서 세션 연속성 및 프라이버시 보호 방법 및 장치

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI105753B (fi) * 1997-12-31 2000-09-29 Ssh Comm Security Oy Pakettien autentisointimenetelmä verkko-osoitemuutosten ja protokollamuunnosten läsnäollessa
US7353541B1 (en) * 1999-09-07 2008-04-01 Sony Corporation Systems and methods for content distribution using one or more distribution keys
GB2363549B (en) * 2000-11-16 2002-05-29 Ericsson Telefon Ab L M Securing voice over IP traffic
JP2002344443A (ja) 2001-05-15 2002-11-29 Mitsubishi Electric Corp 通信システムおよびセキュリティアソシエーション切断/継続方法
KR100450973B1 (ko) * 2001-11-07 2004-10-02 삼성전자주식회사 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
KR100453050B1 (ko) 2002-05-29 2004-10-15 삼성전자주식회사 IPv4/IPv6 통신 방법 및 그 장치
KR20040028329A (ko) * 2002-09-30 2004-04-03 주식회사 케이티 차별화 서비스를 제공하는 가상 사설망 서비스 처리 방법
JP2004135134A (ja) 2002-10-11 2004-04-30 Tdk Corp 無線通信用アダプタ
KR100456626B1 (ko) * 2002-11-29 2004-11-10 한국전자통신연구원 인터넷에서 아이피섹을 위한 통합 키 관리 방법
US7870389B1 (en) * 2002-12-24 2011-01-11 Cisco Technology, Inc. Methods and apparatus for authenticating mobility entities using kerberos
JP3791497B2 (ja) 2003-01-14 2006-06-28 株式会社日立製作所 パケット変換方法
JP4352728B2 (ja) 2003-03-11 2009-10-28 株式会社日立製作所 サーバ装置、端末制御装置及び端末認証方法
KR20050058625A (ko) * 2003-12-12 2005-06-17 한국전자통신연구원 아이피 버전 식스 인터넷에서 인터넷 프로토콜 보안을이용한 가상사설망 서비스 장치 및 방법
JP3980564B2 (ja) 2004-01-26 2007-09-26 富士通株式会社 データ通信方法、データ通信システム、データ通信プログラム、およびデータ通信装置
US7624263B1 (en) * 2004-09-21 2009-11-24 Advanced Micro Devices, Inc. Security association table lookup architecture and method of operation
KR100596397B1 (ko) * 2004-12-20 2006-07-04 한국전자통신연구원 모바일 IPv6 환경에서 라디우스 기반 AAA 서버의세션키 분배 방법

Also Published As

Publication number Publication date
JP4443558B2 (ja) 2010-03-31
KR100814400B1 (ko) 2008-03-18
CN101005355A (zh) 2007-07-25
CN101005355B (zh) 2012-02-08
US8266428B2 (en) 2012-09-11
KR20070075181A (ko) 2007-07-18
US20070162746A1 (en) 2007-07-12

Similar Documents

Publication Publication Date Title
JP4443558B2 (ja) IPv4/IPv6統合ネットワークシステムの保安通信方法及びその装置
US11290420B2 (en) Dynamic VPN address allocation
JP4033868B2 (ja) IPv6ネットワークで認証を処理する方法及びその装置
JP3457645B2 (ja) ネットワーク・アドレス変換とプロトコル変換が存在する場合のパケット認証の方法
US7774837B2 (en) Securing network traffic by distributing policies in a hierarchy over secure tunnels
US8392716B2 (en) Communication apparatus, digital signature issuance method and apparatus, and digital signature transmission method
JP2009111437A (ja) ネットワークシステム
US20060253701A1 (en) Method for providing end-to-end security service in communication network using network address translation-protocol translation
TW201201554A (en) Network topology concealment using address permutation
WO2009082950A1 (fr) Procédé, dispositif et système de distribution de clés
JP4074283B2 (ja) 通信装置、通信システム及び通信方法
JP2005236728A (ja) サーバ装置、要求発行機器、要求受諾機器、通信システム及び通信方法
JP5151197B2 (ja) 通信システム、パケット転送処理装置及びそれらに用いる通信セッション制御方法
JP4426443B2 (ja) ネットワークを経て通信するための改善セキュリティ方法及び装置
WO2008114007A1 (en) Data communication method and apparatus
EP1973275A1 (en) Data communications method and apparatus
JP2005348251A (ja) 情報処理装置、データ通信方法、プログラム及び記録媒体
JP2006352710A (ja) パケット中継装置及びプログラム
Sarma Securing IPv6’s neighbour and router discovery using locally authentication process
JP2006033350A (ja) 代理セキュアルータ装置及びプログラム
Kampanakis anima Working Group M. Richardson Internet-Draft Sandelman Software Works Intended status: Standards Track P. van der Stok Expires: April 21, 2022 vanderstok consultancy
Alhoaimel Performance Evaluation of IPv6 and the Role of IPsec in Encrypting Data
JP4235672B2 (ja) 情報処理装置、データ通信方法、プログラム及び記録媒体
Demerjian et al. Network Security using E-DHCP over NAT/IPSEC.

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090703

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090721

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091215

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100112

R150 Certificate of patent or registration of utility model

Ref document number: 4443558

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130122

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees