JP2010016834A - Filtering method - Google Patents

Filtering method Download PDF

Info

Publication number
JP2010016834A
JP2010016834A JP2009167746A JP2009167746A JP2010016834A JP 2010016834 A JP2010016834 A JP 2010016834A JP 2009167746 A JP2009167746 A JP 2009167746A JP 2009167746 A JP2009167746 A JP 2009167746A JP 2010016834 A JP2010016834 A JP 2010016834A
Authority
JP
Japan
Prior art keywords
policy
packet
user
home
user packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009167746A
Other languages
Japanese (ja)
Inventor
Kazuhiko Osada
和彦 長田
Yoshikazu Nakamura
義和 中村
Ryoichi Suzuki
亮一 鈴木
Shinichiro Chagi
愼一郎 茶木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009167746A priority Critical patent/JP2010016834A/en
Publication of JP2010016834A publication Critical patent/JP2010016834A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a firewall function by a network even in Mobile IP communication. <P>SOLUTION: A user terminal transmits an HA (home address registration) in order to notify a home agent of correspondence between HoA (user packet home ID) and CoA (user packet ID). In accordance with the HA registration, the home agent manages the correspondence between HoA and CoA. Furthermore, the home agent requests policy loading to a policy server. At such a time, HoA and CoA are reported together. The policy server loads a policy to a firewall device. At the same time, CoA is reported. The firewall device manages correspondence between CoA and the policy. The firewall device distributes a data packet to a policy of the corresponding user in accordance with CoA by utilizing CoA as a user packet ID. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、フィルタリング方法に係り、特に、インタネットに接続するユーザを保護するための認証連携型ネットワークファイアウォールシステムにおけるフィルタリング方法に関する。   The present invention relates to a filtering method, and more particularly to a filtering method in an authentication cooperative network firewall system for protecting users connected to the Internet.

移動体/無線アクセスを通じたIP通信やユビキタスサービスの普及、端末の多様化に伴い、セキュリティに関し以下に示すニーズが高まると考えられる。
(1)悪意トラヒックによる無線区間の帯域圧迫の回避
(2)CPUやメモリ容量が少なく、ファイアウォール機能の内蔵が困難な小型モバイル端末の保護
移動体/無線アクセスでは、図7に示すように、ファイアウォール機能を配備する位置は、端末あるいはネットワーク側の2つが考えられる。しかしながら、前述した2つのニーズを満足するのは、ネットワーク側に配備した場合のみであり、ファイアウォール機能をネットワークにて提供する意義は大きい。
ネットワークにてファイアウォール機能を提供する場合、ファイアウォール装置は複数のユーザを収容するため、セキュリティポリシをユーザ毎に提供する必要がある。
特に、移動体/無線アクセスについては、ユーザがどこからネットワークに接続しても、各ユーザに所望のセキュリティポリシを提供する必要があり、ファイアウォール装置は、(1)ポリシサーバによるポリシの集中管理、(2)ユーザの接続拠点へのポリシロードの2つの機能が必要である。
本機能を提供するため、従来技術では、以下に示す方法が用いられている。(下記、非特許文献1、非特許文献2参照) With the widespread use of IP communications and ubiquitous services through mobile / wireless access and the diversification of terminals, the following needs for security are expected to increase.
(1) Avoidance of band compression in the wireless section due to malicious traffic (2) Protection of small mobile terminals with little CPU and memory capacity and difficult to incorporate firewall function In mobile / wireless access, as shown in FIG. There are two possible locations for function deployment: the terminal or the network side. However, the two needs described above are satisfied only when deployed on the network side, and it is significant to provide the firewall function on the network.
When a firewall function is provided in a network, the firewall device accommodates a plurality of users, so that it is necessary to provide a security policy for each user.
In particular, for mobile / wireless access, it is necessary to provide each user with a desired security policy, regardless of where the user connects to the network. The firewall apparatus can perform (1) centralized policy management by a policy server, ( 2) Two functions of policy loading to the user connection base are required.
In order to provide this function, the following method is used in the prior art. (See Non-Patent Document 1 and Non-Patent Document 2 below)

図8は、従来の認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
同図において、10はユーザ端末、11はアクセスポイント装置、12はファイアウォール装置、13は認証サーバ、14はポリシサーバ、15は通信相手端末、16はアクセスネットワーク、17はインタネットである。
アクセスポイント装置11は、ユーザ端末10からの接続を受け付け、ユーザ端末10からのパケットをアクセスネットワーク16に転送し、あるいは、アクセスネットワーク16からのパケットをユーザ端末10に転送する。
ファイアウォール装置12は、ユーザ端末10と認証サーバ13との間に位置し、複数の独立したポリシを有する。
認証サーバ13は、インタネット17側に配置され、ユーザ端末10のアクセスネットワーク16またはインタネット17ヘの接続のための認証を行う。
ポリシサーバ14は、ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理する。即ち、ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。なお、ユーザIDは、例えば、ネットワークに接続するためのユーザ名や、IEEE802.1x等で利用される認証鍵があげられる。 FIG. 8 is a block diagram for explaining a schematic configuration and operation of a conventional authentication cooperative network firewall system.
In the figure, 10 is a user terminal, 11 is an access point device, 12 is a firewall device, 13 is an authentication server, 14 is a policy server, 15 is a communication partner terminal, 16 is an access network, and 17 is the Internet.
The access point device 11 accepts a connection from the user terminal 10 and transfers a packet from the user terminal 10 to the access network 16 or transfers a packet from the access network 16 to the user terminal 10.
The firewall device 12 is located between the user terminal 10 and the authentication server 13 and has a plurality of independent policies.
The authentication server 13 is arranged on the Internet 17 side, and performs authentication for connecting the user terminal 10 to the access network 16 or the Internet 17.
The policy server 14 manages policies for each user, and manages the correspondence between user IDs and policies. In other words, the correspondence between the user ID and the policy is registered in the policy server 14 in advance. The user ID includes, for example, a user name for connecting to a network and an authentication key used in IEEE802.1x.

以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図8に示す丸付き数字と対応する。
(1)ユーザ端末10と認証サーバ13との間で認証処理が行われるとき、ファイアウォール装置12はその制御パケットを監視し、ユーザID、認証サーバ13等から付与されるIPアドレスを抽出し、それを保持する。IPアドレスはユーザパケットIDとして利用する。
(2)ファイアウォール装置12は、ポリシサーバ14にポリシロード要求を行う。このとき、ユーザIDを併せて通知する。
(3)ポリシサーバ14は、ユーザIDを検索キーとして、当該ユーザのポリシを抽出し、ファイアウォール装置12にポリシをロードする。
(4)ポリシを受信したファイアウォール装置12は、(1)で保持したIPアドレスとポリシの対応を管理する。これにより、ファイアウォール装置12は、ユーザ端末10から到着するデータパケットをIPアドレスによって、当該ユーザのポリシに振分ける。 Hereinafter, an operation from when the user terminal 10 is connected to the Internet 17 until policy loading is completed will be described. The numbers in parentheses used in the following explanation correspond to the numbers with circles shown in FIG.
(1) When an authentication process is performed between the user terminal 10 and the authentication server 13, the firewall device 12 monitors the control packet, extracts a user ID, an IP address given from the authentication server 13, etc. Hold. The IP address is used as a user packet ID.
(2) The firewall device 12 makes a policy load request to the policy server 14. At this time, the user ID is also notified.
(3) The policy server 14 extracts the user's policy using the user ID as a search key, and loads the policy into the firewall device 12.
(4) The firewall apparatus 12 that has received the policy manages the correspondence between the IP address held in (1) and the policy. Thereby, the firewall apparatus 12 distributes the data packet arriving from the user terminal 10 to the policy of the user by the IP address.

岡大祐他,“ユビキタス環境に向けたネットワークベースファイアウォール,”信学技報 NS2002-252, IN2002-225, Mar.2003.Daisuke Oka et al., “Network-based firewall for ubiquitous environment,” IEICE Tech. Bulletin NS2002-252, IN2002-225, Mar.2003.

石川忠司他,“ユビキタス環境におけるネットワークベースファイアウォールモビリティサポート,”信学会ソサイエティ大会(2003)B-6-54.Tadashi Ishikawa et al. “Network-based firewall mobility support in ubiquitous environment,” Society of Science Society Conference (2003) B-6-54.

前記従来技術では、認証サーバ13がインタネット17側に配置され、ファイアウォール装置12がユーザ端末10と認証サーバ13との間に位置するため、前記制御パケットを監視できることが前提となっている。
したがって、認証サーバ13がアクセスネットワーク側に配置される場合には、前記従来技術が利用できず、ネットワークによるファイアウォール機能を提供することができないという問題点があった。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。 The prior art is premised on that the control packet can be monitored because the authentication server 13 is arranged on the Internet 17 side and the firewall device 12 is located between the user terminal 10 and the authentication server 13.
Therefore, when the authentication server 13 is arranged on the access network side, the conventional technology cannot be used, and there is a problem that a firewall function by the network cannot be provided.
The present invention has been made to solve the above-described problems of the prior art, and an object of the present invention is to provide a technique capable of providing a firewall function by a network even in the case of Mobile IP communication. There is.
The above and other objects and novel features of the present invention will become apparent from the description of this specification and the accompanying drawings.

本発明の参考例を図1を用いて説明する。
図1は、本発明の参考例のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
同図において、10はユーザ端末、11はアクセスポイント装置、12はファイアウォール装置、13は認証サーバ、14はポリシサーバ、15は通信相手端末、16はアクセスネットワーク、17はインタネットである。
アクセスポイント装置11は、ユーザ端末10からの接続を受け付け、ユーザ端末10からのパケットをアクセスネットワーク16に転送し、あるいは、アクセスネットワーク16からのパケットのユーザ端末10に転送する。
ファイアウォール装置12は、ユーザ端末10と認証サーバ13との間に位置し、ポリシサーバ14からロードされた複数の独立したポリシを有する。
認証サーバ13は、インタネット17側に配置され、ユーザ端末10のアクセスネットワーク16またはインタネット17ヘの接続のための認証を行う。なお、図1では、認証サーバ13をインタネット17側に配置しているが、認証サーバ13は、アクセスネットワーク16側に配置することも可能である。
ポリシサーバ14は、ユーザ毎のポリシを管理し、ユーザIDとポリシとの対応を管理する。即ち、ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。
なお、ユーザIDは、前記従来技術と同様に、例えば、ネットワークに接続するためのユーザ名や、IEEE802.1x等で利用される認証鍵があげられる。 A reference example of the present invention will be described with reference to FIG.
FIG. 1 is a block diagram for explaining a schematic configuration and operation of an authentication cooperative network firewall system to which a filtering method according to a reference example of the present invention is applied.
In the figure, 10 is a user terminal, 11 is an access point device, 12 is a firewall device, 13 is an authentication server, 14 is a policy server, 15 is a communication partner terminal, 16 is an access network, and 17 is the Internet.
The access point device 11 accepts a connection from the user terminal 10 and transfers a packet from the user terminal 10 to the access network 16 or transfers a packet from the access network 16 to the user terminal 10.
The firewall device 12 is located between the user terminal 10 and the authentication server 13 and has a plurality of independent policies loaded from the policy server 14.
The authentication server 13 is arranged on the Internet 17 side, and performs authentication for connecting the user terminal 10 to the access network 16 or the Internet 17. In FIG. 1, the authentication server 13 is arranged on the Internet 17 side. However, the authentication server 13 can be arranged on the access network 16 side.
The policy server 14 manages policies for each user, and manages the correspondence between user IDs and policies. In other words, the correspondence between the user ID and the policy is registered in the policy server 14 in advance.
The user ID is, for example, a user name for connecting to a network or an authentication key used in IEEE802.1x, as in the conventional technique.

以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図1に示す丸付き数字と対応する。
(1)ユーザ端末10は、アクセスポイント装置11に対して認証情報を送信する。アクセスポイント装置11は、認証情報に記載されているユーザIDおよびユーザ端末10の端末固有IDを抽出し、認証サーバ13に対して前記ユーザIDおよび前記端末固有IDを通知する。
(2)認証サーバ13は、ポリシサーバ14にポリシロード要求を行う。このとき、前記ユーザID、前記端末固有IDを併せて通知する。
(3)ポリシサーバ14は、前記従来技術と同様に、ユーザIDを検索キーとして、当該ユーザのポリシを抽出し、ファイアウォール装置12にポリシをロードする。このとき、前記端末固有IDを併せて通知する。
(4)前記ポリシと前記端末固有IDを受信したファイアウォール装置12は、前記端末固有IDと前記ポリシの対応を管理する。ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、前記データパケットに記載される前記端末固有IDとIPアドレスを抽出することにより、前記端末固有IDを媒介として、IPアドレスとポリシの対応を管理する。
前記従来技術と同様に、IPアドレスをユーザパケットIDとして利用することにより、ファイアウォール装置12は、以降のデータパケットをIPアドレスによって該当ユーザのポリシに振分ける。 Hereinafter, an operation from when the user terminal 10 is connected to the Internet 17 until policy loading is completed will be described. The numbers in parentheses used in the following explanation correspond to the numbers with circles shown in FIG.
(1) The user terminal 10 transmits authentication information to the access point device 11. The access point device 11 extracts the user ID described in the authentication information and the terminal unique ID of the user terminal 10 and notifies the authentication server 13 of the user ID and the terminal unique ID.
(2) The authentication server 13 makes a policy load request to the policy server 14. At this time, the user ID and the terminal unique ID are also notified.
(3) The policy server 14 extracts the user's policy using the user ID as a search key and loads the policy to the firewall device 12 in the same manner as in the prior art. At this time, the terminal unique ID is also notified.
(4) The firewall device 12 that has received the policy and the terminal unique ID manages the correspondence between the terminal unique ID and the policy. When the firewall apparatus 12 receives the data packet arriving from the user terminal 10, the firewall apparatus 12 extracts the terminal unique ID and IP address described in the data packet, thereby using the terminal unique ID as a medium to determine the IP address and policy. Manage correspondence.
As in the prior art, by using the IP address as the user packet ID, the firewall device 12 distributes subsequent data packets to the policy of the corresponding user by the IP address.

本参考例では、ファイアウォール装置12が端末固有IDを媒介として、IPアドレスとポリシの対応を管理するため、ユーザ端末10と認証サーバ13の間に位置しない場合でも、ネットワークによるファイアウォール機能を提供することができる。
なお、ファイアウォール装置が端末固有IDを媒介として、IPアドレスとポリシの対応を管理する手段の代わりに、ファイアウォール装置12は、前記端末固有IDと前記ポリシの対応を管理した後、この管理情報を用い、ユーザ端末10から到着するデータパケットを受信すると、それに記載されている前記端末固有IDを検索キーとして前記ポリシを選択し、前記端末固有IDによって該当ユーザのポリシに振分ける手段を用いてもよい。 In this reference example, since the firewall device 12 manages the correspondence between the IP address and the policy using the terminal unique ID as a medium, a firewall function by the network is provided even when not located between the user terminal 10 and the authentication server 13. Can do.
The firewall device 12 uses the management information after managing the correspondence between the terminal unique ID and the policy in place of the means for managing the correspondence between the IP address and the policy using the terminal unique ID as a medium. When a data packet arriving from the user terminal 10 is received, a means may be used in which the policy is selected using the terminal unique ID described therein as a search key and distributed to the policy of the user according to the terminal unique ID. .

前記課題を解決する本願発明の手段を説明する。
本手段は、有線/無線の通信媒体を問わず、移動時に途切れることなくIP通信を継続することが可能なMobile IP通信技術を利用する。
Mobile IP通信は、図2に示すように、ホームエージェント20というルータ配下のネットワークに属する固定IPアドレスであるホームアドレス(以下、HoAという)をユーザ端末10に持たせる。
ユーザ端末10は、ネットワークを移動すると、HoAとは別に、移動先ネットワークにてIPアドレス(以下、CoAという)を取得し、これを用い、ホームエージェント20との間で、2階層のIPヘッダをもつIP in IPトンネルを確立する。
これによって、通信相手端末は、HoAさえ知っていれば、ユーザ端末10がどこにいても、ホームエージェント20を経由してパケットをユーザ端末10に届けることができる。
以下、本発明の手段を図3を用いて説明する。
図3は、本発明のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。
ポリシサーバ14には、ユーザIDとポリシとの対応が事前に登録されている。なお、ユーザIDは、例えば、HoAや認証鍵があげられる。 Means of the present invention for solving the above problems will be described.
This means uses Mobile IP communication technology capable of continuing IP communication without interruption when moving regardless of wired / wireless communication media.
In the Mobile IP communication, as shown in FIG. 2, the user terminal 10 has a home address (hereinafter referred to as HoA) that is a fixed IP address belonging to a network under the router called the home agent 20.
When the user terminal 10 moves through the network, it acquires an IP address (hereinafter referred to as CoA) in the destination network separately from the HoA, and uses this to obtain a two-layer IP header with the home agent 20. Establish an IP in IP tunnel.
Accordingly, the communication partner terminal can deliver the packet to the user terminal 10 via the home agent 20 wherever the user terminal 10 is, as long as it knows only HoA.
Hereinafter, the means of the present invention will be described with reference to FIG.
FIG. 3 is a block diagram for explaining a schematic configuration and operation of an authentication cooperative network firewall system to which the filtering method of the present invention is applied.
In the policy server 14, the correspondence between the user ID and the policy is registered in advance. Examples of the user ID include HoA and an authentication key.

以下に、ユーザ端末10がインタネット17に接続し、ポリシロードが完了するまでの動作を説明する。なお、以下の説明に用いるかっこ内の番号は、図3に示す丸付き数字と対応する。
(1)ユーザ端末10は、HoAとCoAの対応をホームエージェント20に通知するために、HA登録を送信する。HA登録によって、ホームエージェント20は前記HoAと前記CoAの対応を管理する。また、ホームエージェント20はポリシサーバ14にポリシロード要求を行う。このとき、HoA、CoAを併せて通知する。
(2)ポリシサーバ14は、ファイウォール装置12にポリシをロードする。これと併せ、前記CoAを通知する。
(3)ファイアウォール装置12は、前記CoAと前記ポリシの対応を管理する。ファイアウォール装置12は、前記従来技術と同様に、CoA(IPアドレス)をユーザパケットIDとして利用することにより、データパケットをCoAによって該当ユーザのポリシに振分ける。
本手段でも、ファイアウォール装置12が端末固有IDを媒介として、IPアドレスとポリシの対応を管理するため、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる技術を提供することにある。 Hereinafter, an operation from when the user terminal 10 is connected to the Internet 17 until policy loading is completed will be described. The numbers in parentheses used in the following explanation correspond to the numbers with circles shown in FIG.
(1) The user terminal 10 transmits HA registration in order to notify the home agent 20 of the correspondence between HoA and CoA. By the HA registration, the home agent 20 manages the correspondence between the HoA and the CoA. Further, the home agent 20 makes a policy load request to the policy server 14. At this time, HoA and CoA are notified together.
(2) The policy server 14 loads the policy to the firewall device 12. At the same time, the CoA is notified.
(3) The firewall device 12 manages the correspondence between the CoA and the policy. The firewall device 12 uses the CoA (IP address) as the user packet ID to distribute the data packet to the policy of the corresponding user by CoA, as in the prior art.
Also in this means, since the firewall device 12 manages the correspondence between the IP address and the policy using the terminal unique ID as a medium, a technique capable of providing a firewall function by the network even in the case of Mobile IP communication is provided. It is in.

本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
(1)本発明によれば、Mobile IP通信の場合でも、ネットワークによるファイアウォール機能を提供することが可能となる。 The effects obtained by the representative ones of the inventions disclosed in the present application will be briefly described as follows.
(1) According to the present invention, it is possible to provide a firewall function by a network even in the case of Mobile IP communication.

本発明の参考例のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。It is a block diagram for demonstrating schematic structure and operation | movement of the authentication cooperation type | mold network firewall system to which the filtering method of the reference example of this invention is applied. Mobile IP通信技術を説明するための図である。It is a figure for demonstrating Mobile IP communication technology. 本発明のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。It is a block diagram for demonstrating schematic structure and operation | movement of the authentication cooperation type | mold network firewall system to which the filtering method of this invention is applied. 本発明の参考例1のフィルタリング方法を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the filtering method of the reference example 1 of this invention. 本発明の参考例2のフィルタリング方法を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the filtering method of the reference example 2 of this invention. 本発明の実施例1のフィルタリング方法を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the filtering method of Example 1 of this invention. 移動体/無線アクセスにおいて、ファイアウォール機能をネットワーク側に配備する利点を説明する図である。It is a figure explaining the advantage which arrange | positions a firewall function in the network side in a mobile / wireless access. 従来の認証連携型ネットワークファイアウォールシステムの概略構成と動作を説明するためのブロック図である。It is a block diagram for demonstrating schematic structure and operation | movement of the conventional authentication cooperation type | mold network firewall system.

以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
[参考例1]
本発明の参考例1のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図1と同じであるので、再度の詳細な説明は省略する。
図4は、本発明の参考例1のフィルタリング方法を説明するためのシーケンス図である。以下、本参考例1のフィルタリング方法を図4を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図4に示す丸付き数字と対応する。
本参考例1では、ユーザIDはユーザ名、端末固有IDは、ユーザ端末10のMACアドレス、ユーザパケットIDはユーザIPアドレスとする。ユーザIDは、ユーザ名の代わりに認証鍵を用いた場合でも同様の処理となる。さらに、ポリシサーバ14には、ユーザ名とポリシとの対応が事前に登録されている。
(1)ユーザ端末10は、インタネット17に接続するため、アクセスポイント装置11に対し、認証情報を送信する。本送信は、例えば、PPP(Point to Point Protocol)やIEEE802.1xなどのプロトコルを用い行われる。
(2)アクセスポイント装置11は、認証情報に記載されているユーザIDおよびMACアドレスを抽出し、認証サーバ13に対して、ユーザIDおよびMACアドレスを通知する。本通知は、例えば、RADIUSなどのプロトコルを用い行われる。
(3)認証サーバ13は、ユーザ名およびMACアドレスを受信し、ユーザ端末10の認証許可を決定すると、ポリシサーバ14にポリシロード要求を行う。このとき、ユーザ名およびMACアドレスを併せて通知する。
(4)また、認証サーバ13は、ユーザ端末10の認証許可を決定したことにより、ユーザ端末10にユーザIPアドレスを付与する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In all the drawings for explaining the embodiments, parts having the same functions are given the same reference numerals, and repeated explanation thereof is omitted.
[Reference Example 1]
The authentication cooperation type network firewall system to which the filtering method of Reference Example 1 of the present invention is applied is the same as that in FIG.
FIG. 4 is a sequence diagram for explaining the filtering method of Reference Example 1 of the present invention. Hereinafter, the filtering method of the first reference example will be described with reference to FIG. The numbers in parentheses used in the following description correspond to the numbers with circles shown in FIG.
In the first reference example, the user ID is a user name, the terminal unique ID is a MAC address of the user terminal 10, and the user packet ID is a user IP address. The user ID is processed in the same manner even when an authentication key is used instead of the user name. Furthermore, in the policy server 14, the correspondence between the user name and the policy is registered in advance.
(1) The user terminal 10 transmits authentication information to the access point device 11 in order to connect to the Internet 17. This transmission is performed using a protocol such as PPP (Point to Point Protocol) or IEEE802.1x.
(2) The access point device 11 extracts the user ID and MAC address described in the authentication information, and notifies the authentication server 13 of the user ID and MAC address. This notification is performed using, for example, a protocol such as RADIUS.
(3) When the authentication server 13 receives the user name and the MAC address and determines the authentication permission of the user terminal 10, it makes a policy load request to the policy server 14. At this time, the user name and the MAC address are notified together.
(4) Moreover, the authentication server 13 gives a user IP address to the user terminal 10 by determining the authentication permission of the user terminal 10.

(5)ポリシサーバ14は、ユーザ名およびMACアドレスを受信すると、ユーザ名を検索キーとして、対応するポリシを選択する。
(6)ポリシサーバ14は、ファイアウォール装置12にポリシをロードする。このとき、MACアドレスを併せて通知する。
(7)ファイアウォール装置12は、受信したポリシとMACアドレスとの対応を管理し、ポリシを保持する。
(8)ユーザ端末10は、インタネット17ヘの接続が確立された後、データパケットを送信する。
(9)ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、それに記載されているユーザIPアドレスおよびMACアドレスを抽出し、MACアドレスを検索キーとして、対応するポリシとユーザパケットIDとを対応づける。
(10)ファイアウォール装置12は、以降に到着するユーザ端末10からのデータパケットに対して、その送信元ユーザIPアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(11)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対して、その宛先ユーザIPアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。 (5) Upon receiving the user name and the MAC address, the policy server 14 selects a corresponding policy using the user name as a search key.
(6) The policy server 14 loads the policy to the firewall device 12. At this time, the MAC address is also notified.
(7) The firewall device 12 manages the correspondence between the received policy and the MAC address, and holds the policy.
(8) The user terminal 10 transmits a data packet after the connection to the Internet 17 is established.
(9) Upon receipt of the data packet arriving from the user terminal 10, the firewall device 12 extracts the user IP address and the MAC address described therein, and uses the MAC address as a search key and the corresponding policy and user packet ID. Associate.
(10) The firewall device 12 selects a policy for the data packet from the user terminal 10 that arrives later, using the source user IP address as a search key, and performs filtering processing of the data packet based on the selected policy. Do.
(11) The firewall device 12 selects a policy for the data packet from the communication partner terminal of the user terminal 10 using the destination user IP address as a search key, and performs a data packet filtering process based on the selected policy. I do.

[参考例2]
本発明の実施例2のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図1と同じであるので、再度の詳細な説明は省略する。
図5は、本発明の参考例2のフィルタリング方法を説明するためのシーケンス図である。以下、本参考例2のフィルタリング方法を図5を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図5に示す丸付き数字と対応する。
本参考例2では、参考例1と同様に、ユーザIDはユーザ名、端末固有IDはユーザ端末10のMACアドレス、ユーザパケットIDはユーザIPアドレスとする。
また、図5において、(1)から(7)の動作は、前述の実施例1と同様であるため、説明を省略する。
(8)ファイアウォール装置12は、ユーザ端末10から到着するデータパケットを受信すると、それに記載されているMACアドレスを抽出し、MACアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(9)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対して、ユーザ端末10に転送する際に付与されるMACアドレスを抽出し、当該MACアドレスを検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。 [Reference Example 2]
The authentication cooperative network firewall system to which the filtering method according to the second embodiment of the present invention is applied is the same as that shown in FIG.
FIG. 5 is a sequence diagram for explaining the filtering method of Reference Example 2 of the present invention. Hereinafter, the filtering method of the present reference example 2 will be described with reference to FIG. The numbers in parentheses used in the following description correspond to the numbers with circles shown in FIG.
In Reference Example 2, as in Reference Example 1, the user ID is the user name, the terminal unique ID is the MAC address of the user terminal 10, and the user packet ID is the user IP address.
In FIG. 5, the operations from (1) to (7) are the same as those in the first embodiment, and the description thereof is omitted.
(8) Upon receipt of the data packet arriving from the user terminal 10, the firewall device 12 extracts the MAC address described therein, selects a policy using the MAC address as a search key, and uses the selected policy to generate the data packet Perform the filtering process.
(9) Further, the firewall device 12 extracts a MAC address assigned when the data packet from the communication partner terminal of the user terminal 10 is transferred to the user terminal 10, and uses the MAC address as a search key as a policy. And filtering the data packet according to the selected policy.

[実施例1]
本発明の実施例1のフィルタリング方法が適用される認証連携型ネットワークファイアウォールシステムは、図3と同じであるので、再度の詳細な説明は省略する。
図6は、本発明の実施例1のフィルタリング方法を説明するためのシーケンス図である。以下、本実施例1のフィルタリング方法を図6を用いて説明する。なお、以下の説明に用いるかっこ内の番号は、図6に示す丸付き数字と対応する。
本実施例1では、ユーザパケットホームIDはHoA、ユーザパケットIDはCoAとする。また、HoAはユーザIDも兼ねているものとする。なお、ユーザIDは、ユーザ名の代わりに認証鍵を用いた場合でも同様の処理となる。さらに、ポリシサーバ14には、HoAとポリシとの対応が事前に登録されている。
(1)ユーザ端末10は、HoAとCoAの対応をホームエージェント20に通知するために、ホームエージェント20にHA登録を送信する。これによって、ユーザ端末10とホームエージェント20との間でトンネルが確立され、ユーザ端末10と通信相手端末との間の通信パケットは、ホームエージェント20とユーザ端末10間では、IP in IPトンネルにより転送される。
(2)HA登録によって、ホームエージェント20は、HoAとCoAの対応を管理する。また、ホームエージェント20は、ポリシサーバ14にポリシロード要求を行う。このとき、HoAおよびCoAを併せて通知する。 [Example 1]
The authentication cooperative network firewall system to which the filtering method according to the first embodiment of the present invention is applied is the same as that shown in FIG. 3, and thus detailed description thereof is omitted.
FIG. 6 is a sequence diagram for explaining the filtering method according to the first embodiment of this invention. Hereinafter, the filtering method of the first embodiment will be described with reference to FIG. The numbers in parentheses used in the following explanation correspond to the numbers with circles shown in FIG.
In the first embodiment, the user packet home ID is HoA and the user packet ID is CoA. Further, HoA is assumed to also serve as a user ID. The user ID is processed in the same manner even when an authentication key is used instead of the user name. Furthermore, in the policy server 14, the correspondence between the HoA and the policy is registered in advance.
(1) The user terminal 10 transmits HA registration to the home agent 20 in order to notify the home agent 20 of the correspondence between HoA and CoA. As a result, a tunnel is established between the user terminal 10 and the home agent 20, and a communication packet between the user terminal 10 and the communication partner terminal is transferred between the home agent 20 and the user terminal 10 by an IP in IP tunnel. Is done.
(2) By the HA registration, the home agent 20 manages the correspondence between HoA and CoA. In addition, the home agent 20 makes a policy load request to the policy server 14. At this time, HoA and CoA are notified together.

(3)ポリシサーバ14は、HoAおよびCoAを受信すると、HoAを検索キーとして、対応するポリシを選択する。
(4)ポリシサーバ14は、ファイウォール装置12にポリシをロードする。これと併せ、CoAを通知する。
(5)ファイアウォール装置12は、受信したポリシとCoAとの対応を管理し、ポリシを保持する。
(6)ファイアウォール装置12は、到着するユーザ端末10からのデータパケットを受信すると、そのCoA(送信元ユーザIPアドレス)を検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
(7)また、ファイアウォール装置12は、ユーザ端末10の通信相手端末からのデータパケットに対し、そのCoA(宛先ユーザIPアドレス)を検索キーとしてポリシを選択し、当該選択したポリシによって、データパケットのフィルタリング処理を行う。
なお、(4)において、CoAとともにHoAを通知し、(5)において、ファイアウォール装置12が、ポリシとCoAおよびHoAの対応を管理し、(6)および(7)において、データパケットのCoAおよびHoAを検索キーとしてポリシを選択する方法を用いてもよい。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。 (3) Upon receiving HoA and CoA, policy server 14 selects a corresponding policy using HoA as a search key.
(4) The policy server 14 loads the policy to the firewall device 12. At the same time, CoA is notified.
(5) The firewall device 12 manages the correspondence between the received policy and the CoA, and holds the policy.
(6) When the firewall apparatus 12 receives a data packet from the arriving user terminal 10, the firewall apparatus 12 selects a policy using the CoA (source user IP address) as a search key, and performs a data packet filtering process based on the selected policy. I do.
(7) In addition, the firewall device 12 selects a policy for the data packet from the communication partner terminal of the user terminal 10 using the CoA (destination user IP address) as a search key, and the data packet is determined by the selected policy. Perform filtering processing.
In (4), the HoA is notified together with the CoA. In (5), the firewall device 12 manages the correspondence between the policy and the CoA and HoA. In (6) and (7), the CoA and HoA of the data packet. A method of selecting a policy using as a search key may be used.
As mentioned above, the invention made by the present inventor has been specifically described based on the above embodiments. However, the present invention is not limited to the above embodiments, and various modifications can be made without departing from the scope of the invention. Of course.

10 ユーザ端末
11 アクセスポイント装置
12 ファイアウォール装置
13 認証サーバ
14 ポリシサーバ
15 通信相手端末
16 アクセスネットワーク
17 インタネット
20 ホームエージェント DESCRIPTION OF SYMBOLS 10 User terminal 11 Access point apparatus 12 Firewall apparatus 13 Authentication server 14 Policy server 15 Communication partner terminal 16 Access network 17 Internet 20 Home agent

Claims (2)

複数の独立したポリシを有するファイアウォール装置と、
ユーザ毎のポリシを管理し、ユーザパケットホームIDと前記ポリシとの対応を管理するポリシサーバと、
前記ユーザ端末との間でトンネルを確立し、通信相手端末から前記ユーザ端末に送信されるパケットを前記ユーザ端末に前記トンネルを通じて転送するホームエージェントとから成る認証連携型ネットワークファイアウォールシステムにおけるフィルタリング方法において、
前記ホームエージェントが、前記ユーザ端末から前記トンネル確立のための制御パケットを受信し、当該制御パケットに記載されている前記ユーザパケットホームIDおよび前記ユーザパケットIDを抽出し、前記ポリシサーバに対してポリシ要求を行うとともに、併せて前記ユーザパケットホームIDおよび前記ユーザパケットIDを通知するステップ1と、
前記ポリシサーバが、前記ユーザパケットホームIDおよび前記ユーザパケットIDを受信し、前記ユーザパケットホームIDを検索キーとして、対応するポリシを選択し、当該選択したポリシを前記ファイアウォール装置に対してロードするとともに、併せて前記ユーザパケットIDを通知するステップ2と、
前記ファイアウォール装置が、前記ポリシと前記ユーザパケットIDとを受信し、当該受信した前記ポリシと前記ユーザパケットIDとの対応を管理し、前記ポリシを保持するステップ3と、
前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続が確立された後に、前記ユーザ端末から送信されるパケットを受信し、当該パケットに記載されている送信元ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ4と、
前記通信相手端末から送信されるパケットを受信し、当該パケットに記載されている宛先ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ5とを備えることを特徴とするフィルタリング方法。 A firewall device having a plurality of independent policies;
A policy server for managing a policy for each user and managing a correspondence between the user packet home ID and the policy;
In a filtering method in an authentication cooperative network firewall system comprising a home agent that establishes a tunnel with the user terminal and forwards a packet transmitted from a communication partner terminal to the user terminal through the tunnel to the user terminal.
The home agent receives a control packet for tunnel establishment from the user terminal, extracts the user packet home ID and the user packet ID described in the control packet, and sends a policy to the policy server. Making a request and simultaneously notifying the user packet home ID and the user packet ID;
The policy server receives the user packet home ID and the user packet ID, selects a corresponding policy using the user packet home ID as a search key, and loads the selected policy to the firewall device. And step 2 of notifying the user packet ID together,
Step 3, wherein the firewall device receives the policy and the user packet ID, manages the correspondence between the received policy and the user packet ID, and holds the policy;
After a connection to the access network or the Internet of the user terminal is established, a packet transmitted from the user terminal is received, and the policy is selected using a transmission source user packet ID described in the packet as a search key. Performing a filtering process on the packet according to the selected policy; and
Receiving a packet transmitted from the communication partner terminal, selecting the policy using a destination user packet ID described in the packet as a search key, and filtering the packet according to the selected policy; and A filtering method characterized by comprising: 前記ステップ2ないしステップ5に代えて、前記ポリシサーバが、前記ユーザパケットホームIDおよび前記ユーザパケットIDを受信し、前記ユーザパケットホームIDを検索キーとして、対応する前記ポリシを選択し、前記ファイアウォール装置に対して前記ポリシをロードするとともに、併せて前記ユーザパケットホームIDおよび前記ユーザパケットIDを通知するステップ10と、
前記ファイアウォール装置が、前記ポリシ、前記ユーザパケットホームIDおよび前記ユーザパケットIDを受信し、当該受信した前記ポリシと、前記ユーザパケットホームIDおよび前記ユーザパケットIDとの対応を管理し、前記ポリシを保持するステップ11と、
前記ユーザ端末のアクセスネットワークまたはインタネットヘの接続が確立された後に、前記ユーザ端末から送信されるパケットを受信し、当該パケットに記載されている送信元ユーザパケットホームIDおよび送信元ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ12と、
前記通信相手端末から送信されるパケットを受信すると、当該パケットに記載されている宛先ユーザパケットホームIDおよび宛先ユーザパケットIDを検索キーとして前記ポリシを選択し、前記選択したポリシによって前記パケットにフィルタリング処理を行うステップ13とを備えることを特徴とする請求項1に記載のフィルタリング方法。 Instead of Steps 2 to 5, the policy server receives the user packet home ID and the user packet ID, selects the corresponding policy using the user packet home ID as a search key, and the firewall device A step 10 for loading the policy and notifying the user packet home ID and the user packet ID together,
The firewall device receives the policy, the user packet home ID, and the user packet ID, manages the correspondence between the received policy, the user packet home ID, and the user packet ID, and holds the policy Step 11 to
After the connection to the access network or the Internet of the user terminal is established, the packet transmitted from the user terminal is received, and the source user packet home ID and the source user packet ID described in the packet are searched. Selecting the policy as a key and filtering the packet with the selected policy;
When a packet transmitted from the communication partner terminal is received, the policy is selected by using the destination user packet home ID and the destination user packet ID described in the packet as a search key, and the packet is filtered by the selected policy. The filtering method according to claim 1, further comprising:
JP2009167746A 2009-07-16 2009-07-16 Filtering method Pending JP2010016834A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009167746A JP2010016834A (en) 2009-07-16 2009-07-16 Filtering method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009167746A JP2010016834A (en) 2009-07-16 2009-07-16 Filtering method

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2004298528A Division JP4357401B2 (en) 2004-10-13 2004-10-13 Filtering method

Publications (1)

Publication Number Publication Date
JP2010016834A true JP2010016834A (en) 2010-01-21

Family

ID=41702439

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009167746A Pending JP2010016834A (en) 2009-07-16 2009-07-16 Filtering method

Country Status (1)

Country Link
JP (1) JP2010016834A (en)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014511616A (en) * 2011-02-23 2014-05-15 マカフィー, インコーポレイテッド Logic device, processing method and processing device
US9356909B2 (en) 2011-10-17 2016-05-31 Mcafee, Inc. System and method for redirected firewall discovery in a network environment
US9413785B2 (en) 2012-04-02 2016-08-09 Mcafee, Inc. System and method for interlocking a host and a gateway
US9424154B2 (en) 2007-01-10 2016-08-23 Mcafee, Inc. Method of and system for computer system state checks
US9467470B2 (en) 2010-07-28 2016-10-11 Mcafee, Inc. System and method for local protection against malicious software
US9578052B2 (en) 2013-10-24 2017-02-21 Mcafee, Inc. Agent assisted malicious application blocking in a network environment
US9576142B2 (en) 2006-03-27 2017-02-21 Mcafee, Inc. Execution environment file inventory
US9594881B2 (en) 2011-09-09 2017-03-14 Mcafee, Inc. System and method for passive threat detection using virtual memory inspection
US9832227B2 (en) 2010-07-28 2017-11-28 Mcafee, Llc System and method for network level protection against malicious software
US9864868B2 (en) 2007-01-10 2018-01-09 Mcafee, Llc Method and apparatus for process enforced configuration management
US10171611B2 (en) 2012-12-27 2019-01-01 Mcafee, Llc Herd based scan avoidance system in a network environment

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10360382B2 (en) 2006-03-27 2019-07-23 Mcafee, Llc Execution environment file inventory
US9576142B2 (en) 2006-03-27 2017-02-21 Mcafee, Inc. Execution environment file inventory
US9424154B2 (en) 2007-01-10 2016-08-23 Mcafee, Inc. Method of and system for computer system state checks
US9864868B2 (en) 2007-01-10 2018-01-09 Mcafee, Llc Method and apparatus for process enforced configuration management
US9832227B2 (en) 2010-07-28 2017-11-28 Mcafee, Llc System and method for network level protection against malicious software
US9467470B2 (en) 2010-07-28 2016-10-11 Mcafee, Inc. System and method for local protection against malicious software
US9866528B2 (en) 2011-02-23 2018-01-09 Mcafee, Llc System and method for interlocking a host and a gateway
US9112830B2 (en) 2011-02-23 2015-08-18 Mcafee, Inc. System and method for interlocking a host and a gateway
JP2016106296A (en) * 2011-02-23 2016-06-16 マカフィー, インコーポレイテッド Logic apparatus, processing method and processing apparatus
JP2014511616A (en) * 2011-02-23 2014-05-15 マカフィー, インコーポレイテッド Logic device, processing method and processing device
US9594881B2 (en) 2011-09-09 2017-03-14 Mcafee, Inc. System and method for passive threat detection using virtual memory inspection
US9356909B2 (en) 2011-10-17 2016-05-31 Mcafee, Inc. System and method for redirected firewall discovery in a network environment
US9882876B2 (en) 2011-10-17 2018-01-30 Mcafee, Llc System and method for redirected firewall discovery in a network environment
US10652210B2 (en) 2011-10-17 2020-05-12 Mcafee, Llc System and method for redirected firewall discovery in a network environment
US9413785B2 (en) 2012-04-02 2016-08-09 Mcafee, Inc. System and method for interlocking a host and a gateway
US10171611B2 (en) 2012-12-27 2019-01-01 Mcafee, Llc Herd based scan avoidance system in a network environment
US10205743B2 (en) 2013-10-24 2019-02-12 Mcafee, Llc Agent assisted malicious application blocking in a network environment
US9578052B2 (en) 2013-10-24 2017-02-21 Mcafee, Inc. Agent assisted malicious application blocking in a network environment
US10645115B2 (en) 2013-10-24 2020-05-05 Mcafee, Llc Agent assisted malicious application blocking in a network environment
US11171984B2 (en) 2013-10-24 2021-11-09 Mcafee, Llc Agent assisted malicious application blocking in a network environment

Similar Documents

Publication Publication Date Title
JP2010016834A (en) Filtering method
US11051350B2 (en) Wireless internet system and method
US10880730B2 (en) Predictive and nomadic roaming of wireless clients across different network subnets
EP3777270B1 (en) Network address policy information received in a pre-associated state
WO2018145654A1 (en) Multi-access management implementation method and device, and computer storage medium
JP4310193B2 (en) Method and system for connecting a mobile client device to the Internet
US7450544B2 (en) Apparatus and method for supporting mobility between subnetworks of mobile node in wireless LAN
JP4410070B2 (en) Wireless network system and communication method, communication apparatus, wireless terminal, communication control program, and terminal control program
US9781579B2 (en) Method and device for realizing terminal WIFI talkback
CN104247505A (en) System and method for andsf enhancement with anqp server capability
WO2021047454A1 (en) Location information acquisition method, location service configuration method, and communication device
WO2015005158A1 (en) Communication control method, terminal device, and base station device
JP2010279057A (en) Secure roaming between wireless access points
EP1947818B1 (en) A communication system and a communication method
WO2017167153A1 (en) Mobile communication system and paging method
WO2016112674A1 (en) Communication method, terminal, system and computer storage medium
EP3703462B1 (en) COMMUNICATION METHODS AND, A COMMUNICATIONS APPARATUS, A COMMUNICATIONS SYSTEM, A COMPUTER &amp;#xA;READABLE STORAGE MEDIUM, AND A COMPUTER PROGRAM PRODUCT
JP4357401B2 (en) Filtering method
JP2010068488A (en) Handover method in wireless lan system and apparatus to be used by method
JP2007282129A (en) Radio information transmission system, radio communication terminal, and access point
JP4305087B2 (en) Communication network system and security automatic setting method thereof
JP2007028234A (en) Wireless lan system
JP2012090245A (en) Radio communication equipment
CN103973570B (en) A kind of method of message transmissions, AP and system
JP2006217198A (en) Radio base station with a plurality of layer-2 functions

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110215

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110414

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110510